将虚拟局域网扩展为无线局域网

　　既然我们已经了解了虚拟局域网在有线以太局域网中是如何工作的，我们再探讨一些我们为什么要将其扩展为无线802.11局域网，以及如何扩展。

　　从区分无线信息流的优先次序和控制这些信息流的流向中，许多公司可以受益不少。通过无线网，使用802.11e 的服务质量(Quality of Service，QoS)，可以区分802.11数据包的优先次序。此外，尽管我们不能控制对无线网的访问，但是我们可以允许/拒绝和802.1X端口访问控制一起使用的无线接入点。虚拟局域网标签可以使这些无线安全性和性能措施适合你的有线网络。

　　比如，所有的无线接入点可以分组到一个单一的虚拟局域网，指定一个任何以太网工作组都没有使用的标识符。边缘交换器可以将无线虚拟局域网的标签应用到从任何接入点接收到的信息包中。上游交换器可以将所有的无线虚拟局域网信息流传入因特网访问路由器中，并且网络层访问控制列表可以阻止无线虚拟局域网到达您公司网络内部的其它目的地。

　　这样隔离到达无线网信息流的方式适合于仅使用802.11来提供客户因特网访问的网络。无线信息流也可以指派给较低的优先权，这样交换器和路由器会首先服务其它信息流。无线虚拟局域网也可以用于将接入点和工作站分组到一个IP子网中，地址独立。那样的话，当无线工作站在接入点之间漫游时，它们可以更新相同的IP，防止TCP会话和VPN信道的中断。

　　最终，这种单一虚拟局域网的方法会面临与物理局域网相同的问题：随着无线网络规模的增加，虚拟局域网会发生堵塞情况。此外，随着无线网络变得更加多样化，将单一虚拟局域网分别分割成不同的工作组（几个虚拟局域网），这对解决问题有所帮助。

　　无线虚拟局域网标记

　　所幸的是，802.1Q标记也为我们提供了将无线信息流分到多个虚拟局域网时所需要的基础，这是以定义好的标准为基础的。

　　当来自无线接入点的信息流集中通过802.1Q-capable无线交换器或者网关时，这个设备在转发这些信息流之前，可以标记信息包。比如，无线网关可以位于接入点和受保护网络、认证工作站之间，然后按照职能将其送达到目的地。职能可以定义访问控制列表和虚拟局域网标签，进而可以应用于允许通过网关的任何信息包。“客户”职能的工作站可以接收虚拟局域网标签#1，而“员工”职能的工作站可以接收虚拟局域网标签#2，诸如此类。

　　另外，在将这些信息包送到分布式网络（比如，因特网）之前，802.1Q-capable接入点可以标记到达802.11的信息包。换句话说，这个接入点扮演着边缘交换器的角色，在将其从虚拟局域网主干发送到任何上游交换器、网关或者路由器之前，首先标记这些信息包。接入点是以无线局域网入口的标签（比如，无线电接口、或者服务集标识符）为基础，而不是以准入交换器端口的标签为基础。比如，所有连接到SSID“客户”端的工作站都可以接收虚拟局域网标签#1，而所有连接到SSID“员工”端的工作站都可以接收虚拟局域网标签#2。

　　以上任何一种方法都可以按照需要将无线信息流分离到许多虚拟局域网中，以实现网络的目标。比如，虚拟局域网可用于从数据中区分无线语音，并赋予RTP在无线网（带有802.1e）和以太网（带有802.1P）中传播的优先权。虚拟局域网也可以用于把管理信息流从终端用户信息流中分离开来，进而减少管理威胁带来的风险。最后，无限局域网可以使用RADIUS来绘制信息流的虚拟局域网标记——详细情况，请查看我们的另一条技巧：综合802.1X和VLAN实现无线局域网认证。

　　虚拟局域网的最佳做法

　　不论有多少个前提条件，虚拟局域网可以帮助在有线网络和无线网络中划分信息流。然而，必须仔细配置虚拟局域网，以防发生制约到正确操作或者威胁到安全性的错误。比如，无线安全专家认证(CWSP)学习指南中有如下建议：

• 应当对在接入点和交换器之间的主要信道中传送的信息流进行过滤，仅允许属于正在工作的无线虚拟局域网的信息包通过。
• 为了避免动态虚拟局域网的重新配置，接入点不应该使用通用VLAN注册协议（GVRP）。
• 广播和多点传送到接入点的信息流都应当进行过滤，比如，通过使用因特网组管理协议（IGMP），进行窥探。
• 访问控制列表应该可将无线安全融入到有线基础设施中。
• 访问控制列表应当可以阻止终端用户访问接入点的默认局域网。