设计和部署无线局域网连接

　　Microsoft WLAN 的历史

　　移动计算设备 (如膝上型电脑和个人数字助理 PDA) 数量的增长，以及用户想一直连接到网络上而不受“接入区域”限制 (因为“接入区域”会限制用户使其不能移动办公) 的需求都刺激了无线访问企业局域网(LAN) 的需求。

　　Microsoft 一直致力于为最终用户提供一种可随时随地使用我们的增强产品的连接，并兑现其为用户提供一种安全可靠的企业无线网络基础设施的承诺。

　　Microsoft 是第一家将无线局域网技术作为有线连接膝上电脑备选方案的大型企业。由于 IEEE 802.11WLAN 标准最近被批准为一种国际标准，因而 Microsoft 欣然将 IEEE 802.1b 扩展标准认可为新发布的标准 (于 1999 年 9 月 16 日批准)，并于 1999 年 12 月开始在其 Redmond 企业园区部署 IEEE 802.11b。自此以后，Microsoft 一直积极投身于改进和引领 IEEE 802.11 标准，并致力于增强和提高数据加密、身份验证功能以及网络可靠性。

　　在 IEEE 802.11b 批准后不久，IEEE 802.1 MAC Bridging 小组便开始研究从 IEEE 802.1X 扩展到 802.1 桥接标准的工作，主要研究方向是对局域网网络 (如 IEEE 802.3 (Ethernet)、IEEE 802.5 (令牌网)、光线分布式数据接口 (FDDI) 和 IEEE 802.11) 验证端口访问的支持。

　　开始时，Microsoft 只是将无线连接作为普通有线连接的补充提供。并没有将它作为最终用户的主要网络连接设备。但是，由于无线连接的特点可使员工们参与即席讨论、进行软件演示并将工作带至会场，这些都提高了他们的工作效率，因而 WLAN 很快成为人们理想的连接方式。

　　在 Redmond 园区的首次演示结束之后，Microsoft 便拥有了世界上最大的企业 WLAN。几乎是同时的，Microsoft 开始面对大型 WLAN 的部署、集成以及维护问题。从包含 2,800 个无线访问点 (AP) 和 19,000 个无线网络适配器的首次部署开始，Microsoft 从一开始就要处理网络的安全性和伸缩性问题。例如，Microsoft 意识到 MAC 地址过滤和早期的 VPN解决方案不能作为支持全球 WLAN 的可伸缩最终解决方案。

　　在园区进行的首次 802.11b 演示中，Microsoft 使用静态 WEP 128 位加密密钥用于数据加密，并使用 IEEE 802.11 共享密钥用于身份验证。对 WEP 和共享密钥身份验证所做出的持续安全性妥协消息促使 Microsoft 积极面对无线局域网基础设施的安全性问题。结果便产生了当前的 WLAN 部署，即使用 802.1X 基于证书的 EAP-TLS 身份验证，并对每个会话使用 WEP 密钥。

　　Microsoft 继续在 IEEE 802.11i 安全性任务小组中进行身份验证和数据加密方面的安全性研究工作。同时，Microsoft 还对其他领域作出了贡献，满足了最终用户对无线网络适配器的“全球模式”操作需求，还提供了一种用于连接相关信息会话的内部无线 AP 协议。

　　在认识到无线技术为其用户和客户带来了方便的同时，Microsoft 还意识到了将无线技术引入到企业网络所带来的新威胁。

　　Microsoft WLAN 技术

　　Microsoft WLAN 利用了以下技术：

　　IEEE 802.11b

　　IEEE 802.1X

　　EAP-TLS 身份验

　　RADIUS

　　Active Directory

　　证书

　　IEEE 802.11b

　　IEEE 802.11 是一个共享无线局域网 (WLAN) 的行业标准，它为无线通信定义了物理层和介质访问控制(MAC) 子层。IEEE 802.11b 是最初 IEEE 802.11 规范的增强规范。其主要增强表现在物理层的标准化，可以支持更高的比特率。

　　IEEE 802.11b 支持两种其他的传输速率，5.5 Mbps 和 11 Mbps，使用工业、科学及医药设备 (ISM) 的 2.45 GHz 频段。“直接序列展频”(DSSS) 调制方案可用于提供更高的数据传输速率。理想状态下可以达到 11 Mbps 的比特率。在不太理想的情况下，可使用 5.5 Mbps、2 Mbps 以及 1 Mbps 等较低速率。

　　IEEE 802.1X

　　802.1X 标准定义了基于端口的网络访问控制，用来为以太网提供经过验证的网络访问。这种基于端口的网络访问控制使用可交换 LAN 基础设施的物理特性来验证连接到 LAN 端口的设备。如果验证过程失败，会拒绝对端口的访问。虽然这个标准最初是为有线以太网设计的，但它同样适用于 802.11 无线 LAN。

　　为了给 IEEE 802.1X 提供标准的身份验证机制，选择了可扩展身份验证协议 (EAP)。EAP 是一种基于点对点协议 (PPP) 的身份验证机制，适用于点对点的 LAN 网段。EAP 消息一般作为 PPP 帧的有效负荷发送。为了使 EAP 消息能通过以太网或无线 LAN 网段传送，IEEE 802.1X 标准定义了 EAP over LAN (EAPOL) —— 一种封装 EAP 消息的标准方法。

　　EAP-TLS 身份验证

　　EAP 传输层级安全性 (EAP-TLS) 是 RFC 2716 中描述的一种 EAP 类型，用在基于证书的安全环境中。如果使用智能卡进行远程访问验证，则必须使用 EAP-TLS 身份验证方法。EAP-TLS 身份验证过程交换安装在访问客户端和验证服务器的证书，并提供交互式身份验证、完整性保护密码组合协商以及安全的密钥交换和鉴定。EAP-TLS 提供了一种非常强壮的身份验证方法。

　　远程验证拨号用户服务 (RADIUS)

　　远程验证拨号用户服务 (RADIUS) 是一种广泛部署的协议，实现了集中式的身份验证、授权以及网络访问计数。RADIUS 在 RFC 2865 中被描述为“远程验证拨号用户服务 (RADIUS)”(IETF 草案标准)，在 RFC 2866 中的描述为“RADIUS 计数”(参考)。

　　最初，RADIUS 是为远程拨号访问而开发的，但是现在 RADIUS 已经广受支持，其中包括无线 AP、以太网验证交换机、虚拟专用网(VPN) 服务器、数字用户线路 (DSL) 访问服务器以及其他网络访问服务器。

　　Windows 2000Server和 Windows Server 2003家族提供的 Internet身份验证服务 (IAS) 是 Microsoft 对 RADIUS 服务器和 RADIUS 代理 (适用于 Windows Server 2003 家族) 的一种实现。IAS 为多种类型的网络访问进行集中的连接身份验证、授权和计数，包括无线、相互身份验证、拨号和虚拟专用网 (VPN) 远程访问以及路由器到路由器的连接。IAS 支持 RFC 2865 和 RFC 2866，还支持额外的 RADIUS 扩展 RFC 以及 Internet 草案。IAS 中允许使用不同种类的无线、交换、远程访问或 VPN 设备，可以和 Windows 2000 Server 或 Windows Server 2003 路由及远程访问服务一起使用。

　　IAS 服务器作为基于 Active Directory 的域的成员时，IAS 使用 Active Directory 作为其用户计数数据库并将其作为单一登录解决方案的一部分。网络访问控制 (对网络的身份验证和授权访问) 使用同一套证书登录到基于 Active Directory 的主域访问资源。

　　Active Directory

　　Active Directory 是为分布式计算环境设计的一种目录服务。当作为网络安全管理中心时，Active Directory 允许企业集中管理以及共享网络资源和用户信息。除了提供 Windows 环境下的综合目录服务外，Active Directory 还被设计作为一种合并机制，用于隔离、迁移、集中管理和减少目录的数量。

　　为了进行无线访问，Active Directory 主域包含了要验证的用户和计算机的帐户，以及用于部署计算机证书的“组策略”设置。

　　证书

　　证书是一种使用公共密钥加密技术的数字签名声明，公共密钥加密技术绑定了对持有私有密钥的个人、设备或服务进行识别的公共密钥值。证书由证书颁发机构 (CA) 发布。公共密钥加密技术使用“公共密钥和私有密钥对”对消息进行加密或数字签名。有关公共密钥加密技术以及 Windows 2000 公共密钥基础设施的更多信息，请参见 Windows 2000 安全性服务网站.

　　设计和部署注意事项

　　Microsoft 的无线连接部署用于访问企业内部网(以下均称为 Corpnet)。一旦进入 Microsoft Corpnet，便不再有限制员工或其他授权用户访问网络和公司资源的防火墙。

　　性能

　　因为 WLAN 的设计初衷只是作为 Microsoft 有线以太网 LAN 基础设施的补充，并未设计为其替代产品，因此平均每个无线 AP 上可供 2 至 4 个用户分享 11 Mbps 的速率。实际的吞吐量在 4 到 6.5 Mbps 之间。这种设计规则的结果是：在一个满载的 AP (25 个用户) 上，用户的体验和使用家用 DSL 或 电缆调制解调器连接相类似。

　　为了保证能在集中了大量用户的高密度区域 (如会议室和培训教室) 下保持高性能的连接，可以采用其他技术。通过降低无线 AP 的传输功率，从 30 毫瓦 (mW) 降低到 15 或 5 毫瓦 (甚至低于 1 毫瓦)，可以创建较小的覆盖区域。这样就可以在同一区域内放置更多的无线 AP。例如在一个 200 人的房间内，原本因为覆盖区载重叠而只能放置 3 个无线 AP，而采取这种策略后则可放置多个无线 AP，而且由于每个无线 AP 承载的无线客户端减少，每个无线客户端都能获得更好的平均带宽。

　　伸缩性：

　　Microsoft WLAN 的设计基础是直径 20 米的覆盖区域。这是为了确保可以对单个无线访问点的潜在失败进行冗余覆盖，并提供建筑内的无缝漫游。“Microsoft 信息技术组”(ITG) 负责检验无线 AP 的安装，以保证其和内部开发的任务检查清单保持一致。他们还检查每个无线 AP 的覆盖范围和网络连接情况。在工程方面，Microsoft 致力于研究降低覆盖面积、通过配置通道重叠覆盖区域，以及缓和蓝牙 (BT) 冲突。

　　漫游和移动性

　　在 Microsoft 的 WLAN 部署中，每个建筑物中所有的无线 AP 都在相同的 IP 子网上。因此，建筑内部的无线漫游天衣无缝。当无线客户端连接到不同的无线 AP 上，DHCP 更新过程只更新现有 TCP/IP配置的使用期限。建筑内部漫游和 DHCP 更新协议过程更改了 TCP/IP 配置，这可能会导致那些不能正确处理 TCP/IP 配置更改的应用程序发生问题。