基于802.1X企业无线局域网应用和研究.docVIP

基于802.1X企业无线局域网应用和研究 　　【 摘 要 】 针对现有无线网络安全性差、稳定性差、管理性差的情况，在对公司无线网络的使用需求进行了深入分析和研究后，提出使用基于802.1X的无线网络解决方案，构建一套安全的、稳定的、易管理的无线网络系统。 　　【 关键词 】 无线网络；802.1X 　　1 引言 　　随着无线通信技术的广泛应用，传统局域网络已无法满足人们的需求，于是无线局域网（Wireless Local Area Network，WLAN）应运而生且发展迅速。尽管目前无线局域网还不能完全独立于有线网络，但近年来无线局域网的产品逐渐走向成熟，正以它优越的灵活性和便捷性在网络应用中发挥日益重要的作用，而企业中随着工作的移动性增加，员工需要利用便携式笔记本到办公室工作，到会议室开会的需求也越来越多。 　　目前，很多企业都建设了自己的无线局域网络，但这些无线网络大多存在不能统一管理、统一验证，不能有效和公司有线网络结合等不足。 　　在公司网络架构中，没有独立的无线网络系统，对于无线网络的应用只是临时通过简单的家用无线路由器来实现。这种方式主要存在几种问题。 　　（1）对于无线网络和无线网络设备无法做到统一的管理和部署。 　　（2）对于无线网络接入用户不能做有效的管理，对用户角色不能做有效的区分。 　　（3）无线网络设备的性能、稳定性都不能满足用户需求。 　　（4）无线网络的安全性得不到保障，甚至影响到了公司局域网的安全，无线网络的接入采用密钥认证的方式，密钥没有办法做到统一的定期修改，想采用其它更安全的认证方式也是不能实现的。 　　针对以上问题，本文引入了基于802.1X的Cisco 集中型无线局域网络来构建公司新的无线网络系统，从而解决公司无线网络在管理、应用、性能、安全等方面存在的问题。 　　2 集中型无线局域网 　　2.1 什么是集中型无线局域网 　　无线局域网控制器适用于企业无线局域网部署，并提供了系统级无线局域网功能，无线控制器（WLC）和轻量级AP（LAP）是思科统一无线网络架构的组成部分。统一无线网络架构将整个无线局域网由无线控制器来集中控制和配置，LAP 不能独立于WLC而工作，WLC管理LAP的配置及硬件版本，LAP是“零接触”部署，所有的LAP均不需要单独配置。思科无线局域网控制器可平稳地集成入现有企业网络中。它们使用轻型接入点协议（LWAPP），与Cisco 1000系列轻型接入点在任意第二层（以太网）或第三层（IP）基础设施上通信。这种新型IETF标准有助于确保接入点和无线局域网控制器间的通信安全，可完全自动地支持重要的无线局域网配置和管理功能，从而实现经济有效的无线局域网运营，公司接入无线网络后2.2 构建基中型无线局域网 　　2.2.1 WLC接入核心交换机 　　WLC和有线网络之间通过802.1Q的trunk进行连接，WLC上的Distribution port默认即为802.1q的trunk口，而无线AP和WLC之间，因为是通过LWAPP的隧道进行通讯，所以，AP和WLC之间无需配置成trunk口，无线AP和交换机连接的口只是manage IP address及AP manage IP addess所在的vlan即可， 　　2.2.3 LAP接入层交换机 　　根据AP安装的具体位置，将AP接入交换机，交换机接口配置为Access口即可。 　　2.2.4 WLC联系LAP 　　为了WLC能够管理这些LAP，LAP必须首先发现控制器并且注册到控制器上，当LAP注册到WLC上时，WLC与LAP之间通过LWAPP进行信息交换，同时LAP将从WLC上下载固件代码（当LAP与WLC本地存储的固件版本不匹配时）。如果LAP的固件代码与WLC不同时，LAP将从WLC下载固件代码以保持与控制器之间同步。固件代码下载将通过LWAPP来实现，然后，WLC将相关无线局域网的配置部署到LAP上，以便无线客户端能够与LAP关联，CISCO一般通过DHCP的方式式和DNS的方式来建立WLC和AP的关系，在公司采用了第二种方式。 　　（1）DHCP服务器方式 　　当LAP加电启动后，它会寻找一个DHCP服务器，以获得一个IP地址。DHCP服务器给该LAP分配一个IP地址，同时还使用DHCP option 43选项来提供WLC IP地址列表。LAP发送一个单播发现请求消息给列表中的每个WLC，WLC接收到这些消息后回复一个发现响应消息，同时启动注册程序，DHCP 服务器所包含厂商特定的“option 43”选项来存储WLC的IP 地址，并通过DHCP 方式发送给LAP。 　　（2）DNS方式 　　DHCP 服务器不仅为LAP 分配IP 地址，同时也通过DHCP 提供DNS 服务器的IP 地址。当LAP 获得DNS 服