无线网络基于厂办公区域的安全应用.docVIP

无线网络基于厂办公区域的安全应用 　　一、客户需求分析 　　相对于传统的有线网络，无线网络因其布置便捷、灵活及优越的可拓展性得到越来越多的企业的青睐。同时随着无线网络技术的发展，之前受人质疑的速度和安全性都已经有了很大的改善，因此这两项已经不再是无线网络进一步推广的技术瓶颈。而且随着越来越多的厂商推出更多款式的无线产品也给企业的无线应用提供了更多的产品选择，同时无线覆盖的成本也以比以前大大的降低。但选择合适的无线产品和拥有一套完善的无线解决方案仍旧是无线应用及推广的成功关键。 　　为了给员工和访客提供便捷的网络接入，计划在该厂的办公区域和访客区域实施无线网络覆盖。初步的无线规划先针对目前全厂的访客区域进行无线网络覆盖。目前全部访客区域包括以下各厂：F1，F2，F4，F6，F7，QBUS，H1和H2。各厂区的具体覆盖范围为各厂区的大厅会议室和厂区内部会议室。具体的应用需求如下： 　　1、大厅会议室要求发送两个无线ESSID：Staff和Guest。其中Staff供内部员工（包括普通员工和VIP员工）使用；Guest供到访的来宾使用。 　　2、厂内办公区域部分发送一个ESSID：Staff供内部员工使用（包括普通员工和VIP员工），访客用户无权通过Staff使用内部网络。 　　其中普通员工在大厅会议室或在厂内办公区域通过Staff只能访问访问内部网络，无权访问Internet；VIP员工通过Staff既可以访问内部网络也可以访问Internet。当员工通过Staff这个ESSID连接到网络时，无需提供无线连接密码，自动会获取到公司内部网段IP地址。此时还无权访问任何内部资源。当员工打开一个网页时，自动显示无线网络登陆验证画面。员工输入公司内部的AD帐号和密码后方可登陆无线网络。之后员工就可以正常公司的内部网络，而VIP员工在访问内部网络的同时还可以访问Internet网络。 　　而访客到大厅会议室时，先到前台获取一组无线网络访问的用户名和密码。访客通过无线网络先获取到一个非内部网段的私有IP地址。打开网页时，出现无线网络登陆验证画面，输入从前台获取的用户名和密码后，则可正常访问Internet，但无权访问内部网络。 　　二、无线网络覆盖方案介绍 　　2.1方案应用介绍 　　为了实现内部员工和访客对无线网络的使用需求，本技术方案主要会应用到以下几个技术要点： 　　2.1.1无线访问的使用者权限要和内部的活动目录（ActiveDirectory）整合 　　为了控制不同的内部员工的无线访问权限，在进行无线登陆验证时员工输入自己在公司内部分配的活动目录中的帐号。验证服务器根据不同的帐号传递给无线控制器相关的帐号信息，而无线控制则根据预先设定好的不同使用者权限进行验证和区分。 　　2.1.2利用Windows本身的验证服务器（IAS）来整合活动目录和无线控制器的帐号 　　为了整合活动目录中的使用者帐号和无限控制对不同帐号的使用权限进行控制，需要用到Radius服务器来整合帐号的认证和权限的控制。虽然目前第三方的Radius服务器也有很多，如cisco的ACS、TekRadius、WinRadius等的，但WindowsServer2003系统本身自带的IAS作为Radius有其必然的优越性。IAS作为Microsoft本身的一款服务器系统能够很好的和Windows活动目录进行整合，而且沿用windows所有产品的方便操作、容易上手的特点为部署IAS提供了很好的条件。 　　在活动目录中对不同的内部员工分成两个组一个是普通员工组（StaffGroup），另外一组是特权用户组（VIPGroup）。把只能访问内部网络而不能访问Internet的内部员工加入到StaffGroup中；把既能够访问内部网络又需要访问Internet的内部员工加入到VIPGroup中。在IAS中设定不同的访问策略来区分StaffGroup和VIPGroup的访问权限，并把不同组的ID号传递给无限控制器来处理。 　　2.1.3利用无线控制器的角色（Role）功能来区分不同的Windows帐号的访问网络权限 　　通过购买高级角色安全证书可以激活无线控制器的角色（Role）管理功能。在无线控制其中设定不同的组，这些组和活动目录中的组一一对应。当IAS根据不同的访问者组传递回不同的组ID（GroupID）时，利用角色管理功能，无线控制可以接收这些不同的GroupID。并根据不同的GroupID和访问列表进行绑定，从而达到不同使用者组访问不通网络的目的。 　　2.1.4利用核心无线控制器的本地的验证服务器来来验证访客的使用权限 　　无线控制器本身提供了内置的验证服务器功能，这可以为访客系统提供相关的访客帐号信息。前台工作人员可以根据管理