标准WLAN安全设计(1)

　　SAFE无线技术能解决WLAN的一般安全问题，在此，思科介绍一种通用的WLAN安全设计策略。在标准WLAN设计中，假定所有WLAN设备都与唯一的IP子网相连，适用于有线网络的多数服务也将适用于无线网络。

　　在介绍标准WLAN设计之前，还要介绍主要安全设备的性能，讨论如何实现WLAN用户分离等问题。

　　一、保证安全性能的同时提高可用性

　　提供安全服务的关键设备主要有DHCP、RADIUS、IPSec，它们都需要在保证安全性能的同时提高可用性。

　　动态主机配置协议（DHCP）

　　·每秒请求——实施WLAN之后，DHCP服务器必须能保证以一定的速度处理新DHCP请求。如果DHCP服务器负担过重，那么LEAP用户无法在认证之后获得IP连接，IPSec用户则无法用VPN网关设置安全通道。

　　·DHCP安全故障恢复协议——DHCP服务器应该遵循RFCDHCP安全故障恢复协议草案，并配置成冗余的双服务器。

　　·地址管理——如果使用LEAP，网络设计时应该考虑实施WLAN后带来的额外IP地址需求；如果使用IPSecVPN保护无线接入，则应该为VPN通道增加IP地址。

　　·网络设计问题——为实现高可用性，需要在两个位置之间建立冗余网络。最好不要将所有DHCP服务器都放在一个子网中，否则对一个子网的DoS攻击可能会影响所有无线DHCP服务。

　　DADIUS

　　·每秒请求——实施WLAN之后，DHCP服务器必须以一定的速度处理新RADUIS请求。如果RADUIS服务器负担过重，无线接入点和VPN网关将无法对用户进行认证。

　　·冗余服务器部署——必须部署多台RADIUS服务器，并将认证设备组合在一起，以便主用和备用RADIUS服务器的相互替代。这种设置能实现两个目标：当服务器发生故障时限制故障区域；有效扩展每台RADIUS服务器的性能。

　　·用户管理——为了保证RADIUS服务器的性能，如果用户数据库在本地保存，网络设计时应该考虑配备用于实现数据同步的服务器这，种设置有利于提供单管理点。如果用户数据库保存在外部（LDAP、NT域），网络设计时应该考虑将RADIUS服务器放置于后端数据库，因为两个资源之间的网络停顿会拒绝无线用户接入公司网。

　　IP安全协议（IPSec）

　　·每秒连接——在无线LAN中，VPN网关必须满足以一定的速度处理新IPSec连接。

　　·加密吞吐量——对VPN网关而言，对小包进行加密的工作量更大，这样会降低VPN网关的加密吞吐量。网络设计时必须了解数据包的大小分布，这样才能为无线网络确定大小适当的网关。

　　·并发IPSec操作数——VPN网关必须能处理一定数量的并发IPSec操作。

　　为解决这三个问题，VPN厂商推出了几种集群技术。集群技术能够将新IPSec连接转到负担最小的VPN网关上，为新IPSec连接提供最好的服务。

　　二、实现WLAN用户分离

　　在有线网络中，通常可以用第3层网段对用户进行分类，这种划分在大厦分布模块中进行，尽管这种分离很难，但仍然是可行的；但是，在WLAN中，依靠目前的技术实现这一点几乎是不可能的。只有部署了上层安全机制，如IPSec，才可以实现这种水平的区分。

　　如果要求用户在其主机上运行VPN终端软件，只用无线网络传输，并允许VPN处理所有安全控制，这种设计也可以实现用户区分。