综合802.1X和VLAN实现无线局域网认证

日期: 2008-09-15 作者:Lisa Phifer翻译:李娜娜 来源:TechTarget中国 英文

许多无线局域网的业主都知道802.1X使得验证无线用户成为可能。但是你是否知道802.1X也可以用于过滤虚拟局域网中的无线信息流?而这些信息可以反映出用户和组的许可。在本节技巧中,我们将探讨如何在认证和授权之间建立这一关键的连接。   标记无线信息流   正如在“使用VLAN分隔WLAN信息流”中所提到的,使用802.1Q标记可以将以太网信息包分割为逻辑组。

信息包进入局域网时,可以被标记,这样上游的设备(比如,网关、路由器、防火墙)可以应用安全过滤器和服务质量过滤器。比如,接入点可以标记无线信息流,这样就可以在通过网络,从接入点到边缘交换器、核心交换器、再到因特网路由器时,保证无线信息流与有线……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

许多无线局域网的业主都知道802.1X使得验证无线用户成为可能。但是你是否知道802.1X也可以用于过滤虚拟局域网中的无线信息流?而这些信息可以反映出用户和组的许可。在本节技巧中,我们将探讨如何在认证和授权之间建立这一关键的连接。

  标记无线信息流

  正如在“使用VLAN分隔WLAN信息流”中所提到的,使用802.1Q标记可以将以太网信息包分割为逻辑组。信息包进入局域网时,可以被标记,这样上游的设备(比如,网关、路由器、防火墙)可以应用安全过滤器和服务质量过滤器。比如,接入点可以标记无线信息流,这样就可以在通过网络,从接入点到边缘交换器、核心交换器、再到因特网路由器时,保证无线信息流与有线信息流分割开来。

  在前面的文章中,我们讨论了有线设备如何使用并过滤标记,以及与虚拟局域网配置有关的最佳方式。但是,你的接入点怎么可以决定哪个虚拟局域网标签可以应用到哪些信息包中?

  1. 为了将相同的安全和服务质量策略应用到通过无线进入网络的所有信息流,可以配置你所有的接入点或者边缘交换器,进而分配单一标签。这种方式仅适用于小型、特殊用途特的无线局域网,比如游客因特网访问无线局域网。
  2. 为了把基于SSID的无线用户分组,配置所有的接入点,进而使SSID与独特的虚拟局域网标签(比如,所有从工作站连接到SSID“员工”端到达的信息包会接收到标签#1;而从SSID“管理员”端到达的信息包会接收标签#2)一一对应。这种方法虽然很普遍,但是很容易受到虚拟局域网跳跃攻击的威胁。在本例中,通过连接到“管理员”SSID,用户可以规避与虚拟局域网#1相关的过滤器,并将其放置于虚拟局域网#2。
  3. 为了防止虚拟局域网跳跃攻击,让你的802.1X RADIUS服务器为每个经过验证的用户返回一个许可的SSID列表。比如,当Joe Admin使用802.1X验证时,接收访问信息就可以携带一些属性,允许其使用“员工”或者“管理员”的SSID。但是,当Jane Doe尝试使用“管理员”SSID时,接收信息提示仅允许她使用“员工”的SSID。在Jane发送任何数据之前,她先前所连接到的接入点会与她断开。虽然这种方法支持具有相同认证程度的静态虚拟局域网,但是却具有更强大的访问控制。
  4. 为了将你现有的有线网络虚拟局域网应用到与无线网络相连接的站点,必须以用户或者组身份为基础,动态地应用标签。这可以通过让你的802.1X RADIUS服务器为每个成功认证的用户返回一个标签实现。比如,假设你的有线网络分割为有组织的虚拟局域网——标签#1用于管理部;标签#2用于会计部;标签#3用于工程部;标签#4用于人力资源部。以太网交换器和防火墙过滤器已经存在,以阻止工程信息流到达会计部的数据库。为了将这些控制扩展到与无线网连接的用户,可以配置你的RADIUS服务器,只要有来自工程部认证的人通过了802.1X,都使RADIUS服务器返回标签#3。诸如此类。这种方法在你的RADIUS服务器中集中了虚拟局域网的分配,而不是要求把 标签配置到每个接入点中。它减少了管理方面的辛苦和错误,并且使你可以减少SSID和标签的影响,这样你就可以将SSID用于别的用途(比如,WPA2的转移)。

  如何使用RADIUS实现虚拟局域网的分配

  RFC 3580详细说明如何使用带有远端用户拨号认证服务(RADIUS)的802.1X。这些指导解释了如何把RADIUS的特性与802.1X协议的相应领域相对应起来,包括终止原因、工作站和接入点的验证、超时设定和厂商的特殊属性。特别是,RFC 3580还讲述了RADIUS服务器如何可以使用下面的通道属性,进而在接收访问的信息中返回虚拟局域网标签,这里,虚拟局域网标识符(VLANID)是1到4094之间的一个整数,编码为一个字符串:

信道-类型= VLAN (13)
信道-媒介-类型=802
信道-个人-组-ID= VLANID

  你的RADIUS服务器和所有的接入点必须要么支持这个符合RFC定义的映射,要么支持专有厂商相同的特殊属性。

  你必须配置你的接入点,使其可以从RADIUS服务器中接收虚拟局域网的标签值,并将该标签值应用到信息流中,才可以使用这种方法。由你的接入点而定,这可能通过可以应用到单个无线电接收装置或者SSID的全程接入点参数或者“RADIUS概况”而实现。比如,你可以使用WPA或者WPA2-企业版,将一个RADIUS概况应用到所有的SSID中,而将静态的虚拟局域网标签应用到其它不使用802.1X 的SSID中(比如,访客无线局域网)。当配置虚拟局域网时,建议将独立的虚拟局域网用于接入点的管理部门。

  你也许要用用户或者组、以及你希望与它们有关系的虚拟局域网标签,来配置你的RADIUS。这个RADIUS服务器可能本身需要咨询另一个认证服务器,比如域控制器,来确定用户证书。举例来说,域控制器可以返回经过认证用户的组联系,这样RADIUS服务器将其用于发现正确的标签,并作为信道-个人-组-ID属性传递回到接入点。

  此外,也需要具有虚拟局域网性能的上游设备,包括连接到接入点的以太网交换器、RADIUS服务器本身、以及可能还需要一个DHCP服务器来将IP地址分发到无线工作站。接入点和RADIUS服务器可以交换未标记的信息包或者(最好)使用它们自己的虚拟局域网。DHCP服务器必须参与所有的现行虚拟局域网,对来自每个虚拟局域网的工作站的DHCP请求作出响应。

  最后,不论你是否将你的整个无线局域网与一个虚拟局域网对应,或是通过802.1X分配用户到不同的虚拟局域网,仍然需要访问控制列表来加强安全性或者执行质量服务策略。虚拟局域网标签使得上游设备可以将不同的策略应用到到达相同物理界面(主干)的局域网信息包。但是,如何定义这些策略,并确定在哪里应用这些策略,仍然取决于你。

作者

Lisa Phifer
Lisa Phifer

Lisa Phifer owns Core Competence Inc., a consultancy specializing in safe business use of emerging Internet technologies.

相关推荐