企业WLAN继往开来(二)

WLAN的企业、家庭甚至公众接入服务应用的全面展开，很关键的一项动因是技术自身的不断完善。上期我们不但简要回顾了802.11a/b/g这些主要协议的基本规范，还较详细地了解了一系列对我们多数人而言尚显陌生的扩展标准。本期我们将重点关注WLAN的网络安全技术发展，以及未来的进一步提速计划。

网络安全

网络安全是影响WLAN应用的重要因素。据调查，约45%的IT管理人员把安全视为部署无线局域网的主要障碍。由于802.11b基于WEP的安全性漏洞较多，因此WLAN设备制造商和服务提供商采取多种措施来堵塞这些漏洞，如用户认证、加长密钥、IPSec(IP安全)、安全套接层、公共密钥基础设施(PKI)技术以及VPN。IEEE则通过制定更完善的技术标准来解决802.11的安全性问题，如WPA、802.1x和802.11i（表3）。

1. WPA

为了给数据加密，WPA用称作瞬时密钥整体协议(TKIP)的增强型加密协议，增加对数据的加密。为增强用户认证，又用802.1x和可扩展认证协议(EAP)充实WPA。这种新的认证方式采用中央认证服务器(如RADIUS服务器)，在允许用户接入网络之前完成对该用户的认证。WPA与802.1x和EAP的有机结合，将提供较强的数据加密、密钥管理和用户认证。关于WPA的更详细情况，可参阅本栏目在2003年第19期的相关文章。

大多数WLAN设备和软件厂商已经开始把WPA集成到自己的产品中。Microsoft正通过升级Windows XP来支持WPA，即对连接到无线网络的每台计算机提供不同的密钥，而不是让所有的用户使用相同的密钥。

2. VPN

VPN是保证WLAN安全的另一种办法。采用这种办法时，无线接入点部署在工作区域，以把WLAN与有线LAN分离开。VPN网关放置在无线接入点的后面，以管理通过无线接入点接入有线LAN。这种接入办法对于让企业内的用户接入企业网，以及通过连接到Internet的公共无线“热点”连接企业网都是行之有效的。

许多厂商在这方面都提供了解决方案。例如，Certicom公司提供的movianVPN解决方案，将支持802.11网络和多种网关，Columbitech公司的无线VPN用无线传送层安全而不是IPSec给数据加密；Coluris公司在其接入点中把VPN和防火墙能力捆绑在一起；而Bluesocket公司的WG-100无线网关则提供IPSec加密。

3. PKI

PKI(公共密钥基础设施)可用于给企业部署的WLAN加密。PKI技术通过利用中央证书机构，对授权用户配发少量的数字证书，并周而复始地保证其有效性，从而能够建立安全环境。证书类似数字识别卡，它能用于授权用户接入无线网络，并支持安全环境内或不同环境之间的通信双密钥加密。

PKI是保证任何一类网络安全的好方法，不过不同厂商的PKI解决方案不具备互用性。但是，如果企业已经使用PKI系统，将它扩展为满足WLAN的安全要求，那么它可能也是一种行之有效的选择。

4. 减少RF泄漏

在配置企业WLAN时还可采取的一种措施是，减少企业以外的窃听者访问其WLAN的潜在危险性。最简单的办法在于确保使用适当的天线，射频(RF)信号只向需要覆盖的区域发射。除按比例降低输出功率，还应防止RF信号通过企业房间墙壁泄漏到外面去，因此在一般情况下没有必要随意调高RF信号的发射功率。

5. 检查非法接入点

许多Wi-Fi产品很容易安装，因此，在企业网中存在非法接入点连接到网络的可能性。在这种情况下，如果没有正确的配置和管理，这些非法接入点可能对安全构成严重危险。因此应采用常规物理检测和网络管理工具，经常扫描是否存在这样的非法接入点。

网络漫游

漫游是无线网络非常重要的功能。无线用户必须能够在不中断数据通信和安全控制的情况下，实现所有接入点之间的“无缝”漫游。

1. 接入点间漫游

当用户在WLAN内漫游时，需要一个在接入点之间无缝移动的系统。过去，这种漫游功能是靠特定厂商的专用装置实现的。但是，在2001年12月，IEEE 802.11f标准实施方案建议书草拟了接入点间协议(IAPP)，其目的在于促进不同厂商提供的接入点实现无缝漫游。IAPP控制网络内接入点的登记，并当用户在不同厂商的接入点支持的覆盖地区之间漫游时交换信息。它将有助于从一个接入点快速切换到另一个接入点。802.11f标准规定的IAPP即将得到正式批准，与之兼容的产品推出在即。

2 .扩大漫游范围

目前，用户能够在不跨越路由器边界的情况下，在第2层(链路层)上从一个接入点漫游到另一个接入点。当用户围绕企业园区网运行时，能够在跨越路由器边界的情况下在第3层(网络层)漫游，实现第3层漫游的措施之一是更新其动态主机配置协议(DHCP)。该措施人工或自动实施均可，对于没有本机DHCP业务的企业环境，当客户在路由器边界漫游时，本地主机内的嵌入式DHCP服务器能够起自动分配有效IP地址的作用。在未来，当IPv6被广泛采用时，并且在实现第3层漫游过程中所需要的所有装置支持IPv6时，这一措施的实现将变得更加容易。

为未来提速

从发展的眼光来看，在部署802.11b网络时，若同时支持802.11a或g，则能以最低的成本和最高的性能，实现最大范围内的地区覆盖。对于企业网络规划人员来说，即使现在不需要这种较高性能的网络，但在部署WLAN时作这样的考虑，也有利益于未来的平稳过渡。例如，

许多公司目前推出了同时支持 802.11a/b的双模接入点产品，甚至同时支持802.11a/b/g的三模无线网卡。此外，像3Com这样的公司还推出了“Turbo”模式的802.11a接入点，可将数据带宽峰值从54Mbps提高到108Mbps。

为了增大802.11系统的容量，2003年初，IEEE组建了高吞吐率研究小组，研究的首要目标是对802.11媒体存取(MAC)层和物理层进行标准化改进，先将WLAN的传输速率提高到108Mbps（该标准被命名为802.11n），最终提高到320Mbps；其次是对现有的应用提供较高的吞吐率，以提高WLAN用户的接入速率。

尽管这样的新标准在2005年前可能不会生效，但制造商将在新规范生效之前先行引入新规范的草本。这样，在现有的2.4GHz和5GHz这两个频段内，WLAN朝着更高带宽的无线应用迈进。