張忠

摘 要： 在基于虛擬網(wǎng)絡(luò)技術(shù)的基礎(chǔ)上進行無線網(wǎng)絡(luò)組網(wǎng)，可以將一個傳統(tǒng)的獨立無線物理網(wǎng)絡(luò)邏輯劃分成不同平面的網(wǎng)絡(luò)，每個網(wǎng)絡(luò)平面可以根據(jù)企業(yè)的具體業(yè)務(wù)需求實現(xiàn)不同的網(wǎng)絡(luò)功能，具有良好的擴展性和靈活性，支持跨地域組網(wǎng)，同時降低了企業(yè)無線網(wǎng)絡(luò)的建設(shè)成本。多平面的網(wǎng)絡(luò)相對獨立，實現(xiàn)了不同業(yè)務(wù)之間的安全隔離，大大提高了企業(yè)無線網(wǎng)絡(luò)的安全性。

關(guān)鍵詞： 虛擬網(wǎng)絡(luò) 邏輯獨立 安全策略 無線認證

中圖分類號： TP309；TP311.5文獻標識碼： A文章編號： 1679-3567（2024）03-0005-03

Applications of Wireless Networks Based on Virtual Networks

ZHANG Zhong

Zhanjiang Branch， CNOOC Information Technology Co.， Ltd.， Zhanjiang， Guangdong Province， 524057 China

Abstract： The networking of wireless networks based on virtual network technology can logically divide a tradi‐tional independent wireless physical network into a network with different planes， and each network plane can achieve different network functions according to the specific business needs of enterprises， which has good scalability and flexibility， supports cross-regional networking， and reduces the construction cost of enterprise wireless net‐works. The multi-plane network is relatively independent， which achieves the secure isolation between different businesses and greatly improves the security of enterprise wireless networks.

Key Words： Virtual network； Logical independence； Security strategy； Wireless certification

1 虛擬網(wǎng)絡(luò)

虛擬網(wǎng)絡(luò)技術(shù)（VPN）主要是在公共網(wǎng)絡(luò)上建立起專有網(wǎng)絡(luò)的一種隧道技術(shù)，在原基礎(chǔ)網(wǎng)絡(luò)之上，對數(shù)據(jù)包進行重新封裝和拆解，以實現(xiàn)不同網(wǎng)絡(luò)層面的物理共享，但業(yè)務(wù)邏輯功能獨立。不同虛擬網(wǎng)絡(luò)之間通過一定方式進行互聯(lián)互通，不被規(guī)則允許的虛擬網(wǎng)絡(luò)間無法進行互聯(lián)互通，從而增強了網(wǎng)絡(luò)安全，提高了組網(wǎng)的靈活性。

2 基于虛擬網(wǎng)絡(luò)技術(shù)的無線網(wǎng)絡(luò)

在傳統(tǒng)無線網(wǎng)絡(luò)中，所有業(yè)務(wù)都在同一個網(wǎng)絡(luò)平面中，要限制不同業(yè)務(wù)間的訪問，要通過QOS策略，這種方式低效，又不夠安全，同時維護不便。根據(jù)虛擬網(wǎng)絡(luò)技術(shù)的特點，可以將不同的無線網(wǎng)絡(luò)業(yè)務(wù)劃分成不同的類型，實現(xiàn)邏輯獨立分層，面向不同的用戶群體，以實現(xiàn)不同的功能需求。如面向員工的無線互聯(lián)網(wǎng)平面；面向員工的無線內(nèi)網(wǎng)網(wǎng)絡(luò)平面、針對特殊人員的VIP無線互聯(lián)網(wǎng)平面、面向訪客的無線互聯(lián)網(wǎng)平面[1]。借助虛擬網(wǎng)絡(luò)技術(shù)，不同的無線網(wǎng)絡(luò)平面都共享同一張物理網(wǎng)絡(luò)，但在業(yè)務(wù)邏輯上是不同的網(wǎng)絡(luò)平面。

3 無線網(wǎng)絡(luò)組網(wǎng)

3.1 網(wǎng)絡(luò)結(jié)構(gòu)

采用典型的接入、匯聚、核心三層結(jié)構(gòu)。接入層由無線AP和無線接入交換機組成，負責(zé)終端用戶的設(shè)備接入；匯聚層由無線匯聚交換機、無線認證系統(tǒng)和無線AC控制器組成，負責(zé)流量轉(zhuǎn)發(fā)、無線AP管理、策略下發(fā)、用戶認證；核心層由核心交換機、行為管理、防火墻、外網(wǎng)代理交換機組成，負責(zé)入侵防御、抗DDoS、行為管理，實現(xiàn)無線終端訪問互聯(lián)網(wǎng)的安全防護及安全管理需求[2]。

3.2 無線業(yè)務(wù)流量

無線的業(yè)務(wù)流量主要包括管理流、認證流和業(yè)務(wù)流。（1）管理流：無線AC控制器與無線AP之間交互的流量，涉及AP、接入交換機、無線匯聚交換機和無線AC控制器。（2）認證流：用戶認證、權(quán)限控制時產(chǎn)生的流量，涉及設(shè)備包括無線終端、無線AP、無線接入交換機、無線匯聚交換機和無線認證系統(tǒng)。（3）業(yè)務(wù)流：包括內(nèi)網(wǎng)流量和互聯(lián)網(wǎng)流量。內(nèi)網(wǎng)流量涉及設(shè)備包括無線終端、無線AP、無線接入交換機、無線匯聚交換機、園區(qū)核心交換機；互聯(lián)網(wǎng)流量涉及用戶終端、無線AP、接入交換機、無線匯聚交換機、防火墻、行為管理、互聯(lián)網(wǎng)外網(wǎng)代理交換機[3]。

4 無線基礎(chǔ)規(guī)劃

4.1 AC/AP部署方式

采用AC+FitAP的集中式進行部署，方便統(tǒng)一管理。AC采用雙機VRRP熱備方式旁掛在無線匯聚交換機上，為AP和無線接入用戶提供高可靠性接入。

4.2 業(yè)務(wù)轉(zhuǎn)發(fā)方式

用戶連接至對應(yīng)的SSID后，有兩種轉(zhuǎn)發(fā)方式：一種是直接轉(zhuǎn)發(fā)，另一種是集中轉(zhuǎn)發(fā)，建議采用直接轉(zhuǎn)發(fā)方式。直接轉(zhuǎn)發(fā)是由AP直接將數(shù)據(jù)透傳至接入交換機，接入交換機再透傳到無線匯聚交換機再進行出網(wǎng)訪問。不使用集中方式進行業(yè)務(wù)轉(zhuǎn)發(fā)，增加了網(wǎng)絡(luò)健壯性，避免集中方式下AC成為整個無線網(wǎng)絡(luò)的瓶頸。

4.3 SSID規(guī)劃

企業(yè)園區(qū)無線網(wǎng)絡(luò)按照業(yè)務(wù)需求劃分不同的SSID（Service Set Identification）。一個無線AP可以對應(yīng)數(shù)個SSID，通過配置多個SSID，允許將一個AP劃分為多個虛擬訪問點，每一個SSID對應(yīng)一個虛擬訪問點，會對虛擬訪問點會接收無線控制器AC的下發(fā)策略，虛擬訪問點會根據(jù)下發(fā)的策略進行業(yè)務(wù)和終端管理。

4.4 IP地址規(guī)劃

IP地址規(guī)劃主要是對無線控制器AC、無線AP和無線終端三個類型設(shè)備進行分配IP地址。無線控制器AC用于管理無線AP，可以手工設(shè)置固定IP地址；無線AP只用于接收無線控制器AC的管理，可以在無線匯聚交換機上設(shè)置DHCP服務(wù)進行動態(tài)分配；無線終端的地址可以由第三方服務(wù)器提供DHCP服務(wù)進行動態(tài)分配。

4.5 VLAN規(guī)劃

VLAN規(guī)劃的原則：管理VLAN和業(yè)務(wù)VLAN用不同的VLAN段；業(yè)務(wù)VLAN應(yīng)根據(jù)實際需要與SSID進行映射，映射關(guān)系包括1對1、1對多、多對1和多對多。

4.6 無線安全策略

無線的安全策略主要包括WEP（Wired Equivalent Privacy）、Wi-Fi安全訪問協(xié)議WPA（Wi-Fi Protected Ac？ cess）、WPA2、無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPI（WLAN Authentication and Privacy Infrastructure）四種安全策略機制。每種安全策略體現(xiàn)為一套安全機制，包括無線鏈路建立時的鏈路認證方式，無線用戶上線時的用戶接入認證方式和無線用戶傳輸數(shù)據(jù)業(yè)務(wù)時的數(shù)據(jù)加密方式。通常在考慮網(wǎng)絡(luò)準入時，應(yīng)綜合考慮安全策略，形成適合不同場景的組合控制方案，無線網(wǎng)絡(luò)安全策略建議如表1所示。

5 無線設(shè)備準入控制

準入控制是指當(dāng)無線終端設(shè)備進行接入時，需要對接入的設(shè)備進行認證和授權(quán)，只有通過認證和授權(quán)后，終端設(shè)備才被允許接入網(wǎng)絡(luò)，并且在接入網(wǎng)絡(luò)后，制定與用戶身份匹配的訪問策略。準入控制包括用戶管理、認證服務(wù)器、認證和策略管控3個方面：（1）用戶管理，明確用戶身份教研信息存儲的位置和用戶管理方式；（2）認證服務(wù)器，根據(jù)用戶規(guī)模和物理組網(wǎng)，選擇認證服務(wù)器部署方案；（3）認證和策略管控，根據(jù)網(wǎng)絡(luò)訴求，為不同用戶選擇不同的策略。

5.1 用戶管理

確定用戶數(shù)據(jù)的來源，常用的用戶數(shù)據(jù)來源主要有LDAP服務(wù)器、域服務(wù)器和Radius服務(wù)器。通常企業(yè)都已建立了完整用戶管理服務(wù)器，無線的用戶管理可以直接與企業(yè)建好的用戶管理服務(wù)器進行數(shù)據(jù)同步。

5.2 認證服務(wù)器

通常在部署認證服務(wù)器時會考慮系統(tǒng)可靠性問題，認證服務(wù)器可靠性技術(shù)主要包括集群和異地容災(zāi)服務(wù)，其中集群包括服務(wù)器集群和主備數(shù)據(jù)庫集群[4-5]。

5.2.1 服務(wù)器集群

認證服務(wù)器采用多臺服務(wù)器集群部署，當(dāng)其中任意一臺服務(wù)器出現(xiàn)故障時，其他正常運行的服務(wù)器接管原故障服務(wù)器的服務(wù)，不會影響認證系統(tǒng)的正常運行。

5.2.2 主備數(shù)據(jù)庫集群

數(shù)據(jù)庫集群采用主備模式，可以實時進行數(shù)據(jù)備份。系統(tǒng)正常運行時，由主用數(shù)據(jù)庫提供正常的服務(wù)，當(dāng)主用數(shù)據(jù)庫異常后，系統(tǒng)檢測到該異常后，會主動切換到備用數(shù)據(jù)庫上，將集群內(nèi)的備用數(shù)據(jù)庫升級為主用數(shù)據(jù)庫，原異常的主數(shù)據(jù)庫自動降為備用數(shù)據(jù)庫。

5.2.3 異地容災(zāi)

在不同的物理位置部署兩套集群，集群間通過心跳、數(shù)據(jù)鏈接技術(shù)形成主備集群，同時實現(xiàn)數(shù)據(jù)的自動同步，大大提高的系統(tǒng)容災(zāi)能力。

5.3 無線用戶認證策略

采用鏈路層用戶身份驗證比通過簡單STA身份認證過濾機制的安全性高。為了有效判斷用戶身份的合法性，可以在不影響網(wǎng)絡(luò)安全的前提條件下，通過提供有限的網(wǎng)絡(luò)服務(wù)資源用于用戶認證，只有用戶通過認證后才提供完整的網(wǎng)絡(luò)服務(wù)資源。由于鏈路層身份認證是透明的，可以和其他網(wǎng)絡(luò)層協(xié)議一起配合使用。MAC認證、802.1x認證和Portal認證是無線的鏈路層最常用的三種身份認證方式。

5.3.1 MAC認證

MAC認證是指根據(jù)終端設(shè)備MAC地址的唯一特性進行認證的一種認證方法。當(dāng)終端設(shè)備接入網(wǎng)絡(luò)時，無線終端設(shè)備會發(fā)送的認證數(shù)據(jù)包會攜帶的MAC地址信息，認證系統(tǒng)接收到后會與系統(tǒng)設(shè)置的合法MAC地址表進行匹配認證，只有當(dāng)發(fā)送的MAC地址與認證系統(tǒng)的合法MAC地址表匹配后，無線終端設(shè)備才被允許接入網(wǎng)絡(luò)。MAC認證主要用于IP電話、打印機、掃描儀等啞終端設(shè)備的接入。

5.3.2 802.1x認證

802.1x認證是基于端口的認證方法，通過網(wǎng)絡(luò)物理層特性，對連接到網(wǎng)絡(luò)端口的無線終端設(shè)備進行身份認證，當(dāng)認證不通過時，會根據(jù)授權(quán)策略部分禁止或完全禁止無線終端設(shè)備訪問網(wǎng)絡(luò)資源。802.1x體系包含請求方、認證方和認證服務(wù)器三個主要組件。

5.3.3 Portal認證

Portal認證也就是常說的網(wǎng)頁認證。終端設(shè)備通過瀏覽器打開網(wǎng)頁時，需要輸入用戶名和密碼信息，提交后，由Portal認證服務(wù)器完成相關(guān)的認證。在進行認證之前，終端設(shè)備會通過DHCP、靜態(tài)配置等方式獲得相關(guān)IP地址，用戶在進行HTTP請求時會重定向到后臺的Portal服務(wù)器，在提交用戶名、密碼后進行認證和授權(quán)。

6 結(jié)語

相對于傳統(tǒng)的無線組網(wǎng)方式，基于虛擬網(wǎng)絡(luò)的無線網(wǎng)絡(luò)雖然增加了組網(wǎng)的復(fù)雜性，對技術(shù)人員的知識水平要求提高，但在移動端業(yè)務(wù)需求不斷增加及網(wǎng)絡(luò)安全形勢越來越嚴峻的背景下，基于虛擬網(wǎng)絡(luò)的無線網(wǎng)絡(luò)是解決企業(yè)移動業(yè)務(wù)多樣性和網(wǎng)絡(luò)安全問題理想的組網(wǎng)方式，不僅最大程度整合了網(wǎng)絡(luò)資源，為差異化業(yè)務(wù)之間建立了相對獨立的專用通道，將支撐著企業(yè)中長期移動業(yè)務(wù)可持續(xù)發(fā)展。

參考文獻

[1]萬強. 無線網(wǎng)絡(luò)技術(shù)在企業(yè)中的應(yīng)用分析[J].現(xiàn)代職業(yè)教育，2020（7）：182-183.

[2]徐國臣.企業(yè)中無線網(wǎng)絡(luò)技術(shù)的應(yīng)用[J].電腦知識與技術(shù)， 2021，17（28）：37-38，49.

[3]黎永東.F5G全光網(wǎng)在轉(zhuǎn)化醫(yī)學(xué)中心應(yīng)用的研究[J].數(shù)字通信世界，2023（10）：116-118.

[4]賈濱誠，祁鑫，趙樹法，等.5G電力虛擬專網(wǎng)在電網(wǎng)監(jiān)測及調(diào)控中的應(yīng)用分析[J].內(nèi)蒙古電力技術(shù)，2023， 41（5）：35-41.

[5]蘇奕豪.基于國產(chǎn)云基座的私有化容器云平臺構(gòu)建研究[J].鐵路計算機應(yīng)用，2023，32 （9）：43-47.