无线网络基于厂办公区域的安全应用

一、客户需求分析

相对于传统的有线网络，无线网络因其布置便捷、灵活及优越的可拓展性得到越来越多的企业的青睐。同时随着无线网络技术的发展，之前受人质疑的速度和安全性都已经有了很大的改善，因此这两项已经不再是无线网络进一步推广的技术瓶颈。而且随着越来越多的厂商推出更多款式的无线产品也给企业的无线应用提供了更多的产品选择，同时无线覆盖的成本也以比以前大大的降低。但选择合适的无线产品和拥有一套完善的无线解决方案仍旧是无线应用及推广的成功关键。

为了给员工和访客提供便捷的网络接入，计划在该厂的办公区域和访客区域实施无线网络覆盖。初步的无线规划先针对目前全厂的访客区域进行无线网络覆盖。目前全部访客区域包括以下各厂：F1，F2，F4，F6，F7，QBUS，H1和H2。各厂区的具体覆盖范围为各厂区的大厅会议室和厂区内部会议室。具体的应用需求如下：

1、大厅会议室要求发送两个无线ESSID：Staff和Guest。其中Staff供内部员工（包括普通员工和VIP员工）使用；Guest供到访的来宾使用。

2、厂内办公区域部分发送一个ESSID：Staff供内部员工使用（包括普通员工和VIP员工），访客用户无权通过Staff使用内部网络。

其中普通员工在大厅会议室或在厂内办公区域通过Staff只能访问访问内部网络，无权访问Internet；VIP员工通过Staff既可以访问内部网络也可以访问Internet。当员工通过Staff这个ESSID连接到网络时，无需提供无线连接密码，自动会获取到公司内部网段IP地址。此时还无权访问任何内部资源。当员工打开一个网页时，自动显示无线网络登陆验证画面。员工输入公司内部的AD帐号和密码后方可登陆无线网络。之后员工就可以正常公司的内部网络，而VIP员工在访问内部网络的同时还可以访问Internet网络。

而访客到大厅会议室时，先到前台获取一组无线网络访问的用户名和密码。访客通过无线网络先获取到一个非内部网段的私有IP地址。打开网页时，出现无线网络登陆验证画面，输入从前台获取的用户名和密码后，则可正常访问Internet，但无权访问内部网络。

二、无线网络覆盖方案介绍

2.1方案应用介绍

为了实现内部员工和访客对无线网络的使用需求，本技术方案主要会应用到以下几个技术要点：

2.1.1无线访问的使用者权限要和内部的活动目录（ActiveDirectory）整合

为了控制不同的内部员工的无线访问权限，在进行无线登陆验证时员工输入自己在公司内部分配的活动目录中的帐号。验证服务器根据不同的帐号传递给无线控制器相关的帐号信息，而无线控制则根据预先设定好的不同使用者权限进行验证和区分。

2.1.2利用Windows本身的验证服务器（IAS）来整合活动目录和无线控制器的帐号

为了整合活动目录中的使用者帐号和无限控制对不同帐号的使用权限进行控制，需要用到Radius服务器来整合帐号的认证和权限的控制。虽然目前第三方的Radius服务器也有很多，如cisco的ACS、TekRadius、WinRadius等的，但WindowsServer2003系统本身自带的IAS作为Radius有其必然的优越性。IAS作为Microsoft本身的一款服务器系统能够很好的和Windows活动目录进行整合，而且沿用windows所有产品的方便操作、容易上手的特点为部署IAS提供了很好的条件。

在活动目录中对不同的内部员工分成两个组一个是普通员工组（StaffGroup），另外一组是特权用户组（VIPGroup）。把只能访问内部网络而不能访问Internet的内部员工加入到StaffGroup中；把既能够访问内部网络又需要访问Internet的内部员工加入到VIPGroup中。在IAS中设定不同的访问策略来区分StaffGroup和VIPGroup的访问权限，并把不同组的ID号传递给无限控制器来处理。

2.1.3利用无线控制器的角色（Role）功能来区分不同的Windows帐号的访问网络权限

通过购买高级角色安全证书可以激活无线控制器的角色（Role）管理功能。在无线控制其中设定不同的组，这些组和活动目录中的组一一对应。当IAS根据不同的访问者组传递回不同的组ID（GroupID）时，利用角色管理功能，无线控制可以接收这些不同的GroupID。并根据不同的GroupID和访问列表进行绑定，从而达到不同使用者组访问不通网络的目的。

2.1.4利用核心无线控制器的本地的验证服务器来来验证访客的使用权限

无线控制器本身提供了内置的验证服务器功能，这可以为访客系统提供相关的访客帐号信息。前台工作人员可以根据管理提供的帐号和密码登陆无线控制，无限控制器根据前台工作人员帐号权限提供给前台创建访客帐号权限。通过简单且易操作的帐号设置画面，前台可以为访客打印一张含有访客帐号信息的卡片，卡片中包含了帐号、密码及可访问的时间段等信息。访客可根据这张帐号卡片方便的访问的无线网络。

考虑到这次的无线网络覆盖点较多及后续的拓展性，在本次方案中选用Motorola最新的无线控制交换机RFS7000来作为无线网络控制中心，选用AP300作为各个无线访问接入点。

RFS7000是基于Motorola下一代无线技术架构Wi-NG之上的核心级无线网络控制交换机。RFS7000提供支持最大、要求最苛刻的环境所需的性能、安全性、灵活性和扩展性。可通过企业内部和外部交付运营商级的移动语音和数据服务简化企业的运营。并且可通过其强大的综合功能降低移动性的成本，这些功能包括：摩托罗拉的下一代无线（Wi-NG）体系架构、Wi-Fi和RFID；自适应AP技术、定位服务、802.11n高数据速率连接（支持Mesh）、综合分层安全性、集中管理以及许多摩托罗拉独特的移动功能。

摩托罗拉的AP300提供了丰富的802.11a/b/g连接性。通过与无线交换控制器RFS7000的配合使用，为本方案的整个无线网络提供了极其灵活的可拓展性。AP300是摩托罗拉的“瘦”下一代无线接入访问点，可通过摩托络的无限控制进行集中和远程管理，所有的配置和设置都是在无线访问控制器上来实现。此设备的配置迅速，并可轻松、迅速升级以支持新的功能、特性和安全协议，从而可大大降低部署、实现和管理无线网络的成本；同时可显著增强无线网络基础架构的特性、功能和安全性。

2.2方案架构分析

该应用方案系统架构图如下所示：

在活动目录中定义两个组，一个组名是StaffGroup，这个组的成员为普通内部员工，其权限定义为只能访问内部网络；另外一个组名为VIPGroup，这个组的成员是特权内部员工，其权限定义为既可以访问内部网络，也可以访问Internet。

在RFS7000中也定义两个组，组名也分别为StaffGroup和VIPGroup，这个组用来分别接收活动目录中传递过来的两个同名组的帐号和权限。

另外在RFS7000中再定义一个GuestGroup，这个Group主要用来存放访客的帐号。这部分的帐号直接存储在RFS7000的本地Radius数据库中。这些帐号由前台工作人员创建，主要用来验证访客的权限信息等。

在IAS中设定两组策略，一组策略为StaffPolicy，主要用来验证StaffGroup中的成员信息，并把帐号认证信息传递给RFS7000中的StaffGroup；另外一组策略为VIPPolicy，主要用来验证VIPGroup中的成员信息，并把帐号认证信息传递给RFS7000中的VIPGroup。

在RFS7000中分别设定StaffGroup和VIPgroup两个角色的规则，分别接收AD中传过来的帐号信息，并根据这些信息访问不同的IP地址段。而对访客的控制则直接通过绑定访问列表的方式来实现。

当内部员工访问Staff无线网络时，首先获取到内部的合法IP。根据输入的用户名和密码，RFS7000判断该帐号是域帐号，并将帐号传递给IAS去认证。IAS会判断该用户是属于StaffGroup还是VIPGroup，并把相关的帐号信息传递给RFS7000。在RFS7000收到这些帐号信息时，根据定义好的角色规则去匹配，从而正确的控制内部员工对授权网络的访问。

当访客从前台工作人员获取帐号后，访问Guest无线网时，首先获取到是RFS7000定义的本地网段。RFS7000发现该帐号是本地帐号，直接和本地的访问列表去匹配，从而授权访客正确的访问Internet网。

2.3方案优势分析

该无线方案的实施和部署考虑到了最大化优化无线网络的目的，同时相对于其他品牌的设备来讲，又可以大大降低部署的成本；而且为今后无线网络的拓展又有很大的延伸空间。相对于Aruba等其他竞争厂商和Motorola的整体优势总结如下：

解决方案成本：RFS7000内置了VPN网关，状态防火墙和Radius服务器等特性，这些特性不需要额外购买License。而Aruba需要为单独功能购买License，而且WPA2AES/远程部署AP和通过ARM实现的AP自动调整功能也需要购买License。RFS7000的备份无线交换机不需要额外购买相关的APLicense，而Aruba的备机需要购买和主机相同数量的APLicense。

三层移动/冗余：RFS7000通过移动对等实现无缝的三层移动，移动对等中的成员地位平等，所以不存在单点故障。基于cluster可以通过L2，L3实现冗余且非常易于配置和维护；而Aruba需要一个专用的移动服务器实现三层移动，这样就存在单点故障。并且Aruba的主机和备机无法实现Active：Active负载分担

网络安全：RFS7000集成IDS功能，同时Motorola提供一个专业的功能强大的无线入侵防御系统（AirDefense），该系统可以保存数个月的数据供分析和问题追溯；而Aruba的Airwave侦测的攻击种类非常少，并且打开此功能会影响性能。交换机上的数据库也只能保存很短时间的数据。而且目前该厂已经购买了一套AirDefense，以后如果需要监控office部分的网络只需要购买额外的Sensor和License就可以实现强大的入侵防御功能。如果office部分也是采用Motorola的无线设备，这就为省去了一笔额外购买一套入侵防御系统的成本开支，同时也能和QMS的无线网络能更好的协调和配合，给构建一整套完整的无线网络，提供可靠的保证。

体系架构：32路专用CPU，RFS7000管理平面独立于数据和控制层面，所以设备不但易于管理，而且扩展能力和稳定性好；而且对于带宽有限的广域网链路，提供本地转发解决方案。而Aruba的配置只能通过Master交换机来完成，所以难于配置，同时扩展性和可靠性差。对控制器的备份还需要备份数据库，备份复杂并且无法提供本地转发解决方案

AP性能和功能：硬件加密解密，在起用最高强度WPAAES最高强度加密的情况下性能几乎没有下降.AP支持MESH，在AP和无线交换机的广域网链路的故障情况下，本地流量仍然可以转发；而Aruba在起用最高强度WPAAES最高强度加密的情况下性能下降明显.；在AP和无线交换机的广域网链路的故障情况下，AP完全无法工作

移动特性：30年的企业移动解决方案经验，提供非常好的粒度控制（可以基于BSSID配置DTIM，基于组播标记的负载分担，抢先切换漫游等），对于Motorola手持终端可以最大限度的延长终端的电池使用时间并增强切换等性能。而Aruba缺少企业移动经验和相应的对终端电池使用时间和性能增强的优化。

和目前架构的整合性：目前在的H1、H2，F7仓库、F6成品仓等地方都已经部署了Motorola的WS5100和AP300等无线网络设备。如果后续采用RFS7000作为核心控制器，则可以整合目前的这些无线设备，让所有目前的AP300可以顺利的迁移到RFS7000的管理中。而且目前仓库、产线等多出地方都采用了Motorola的手持终端，如MC3090G和MC9090G等设备，这些设备能无缝的和Motorola无线设备进行连接和通讯。MISoffice部分如果也能采用Motorola设备，一则可会目前这些Motorola的终端设备提供了更大的使用环境，同时也能减少将来由于不同的无线厂商和终端设备厂商所造成的不匹配或协调性等方面的问题。

后续网络的拓展性：一台RFS7000主机最多可支持256个瘦AP，而通过购买额外的AAPLicense，最多可再增加支持1024个AAP（AdaptiveAccessPoint）。AAP是Motorola率先推出的一个全新的AP概念。这种AP既可以作为胖AP单独工作，也可以作为瘦AP通过RFS7000等无线交换机来集中管理和配置。而且两种模式之间的转换无需像其他厂商那样需要重装AP的操作系统，只需在AP的模式选择中选择相应的模式即可。而且在瘦AP模式下工作时，当AAP和无线交换机暂时失去联系时，AAP可作为胖AP继续沿用之前的功能继续工作48个小时。这会今后无线AP的选择提供更加多的选择空间。当一台RFS7000不足以支持相应数量的AP时，只需再增加一台，加入之前的无线交换机的Cluster即可。而之前的备用RFS7000也能为新加入的RFS7000提供冗余的功能。这样的Cluster群组最多可支持6X1架构，即最多可支持的瘦AP数量为：256x6=1536；如果加上对AAP的支持，则可增加数量为：1024x6=6144.这样的数量应该完全满足今后整个厂的扩容需求。