張忠

摘 要： 在基于虛擬網(wǎng)絡(luò)技術(shù)的基礎(chǔ)上進(jìn)行無線網(wǎng)絡(luò)組網(wǎng)，可以將一個傳統(tǒng)的獨(dú)立無線物理網(wǎng)絡(luò)邏輯劃分成不同平面的網(wǎng)絡(luò)，每個網(wǎng)絡(luò)平面可以根據(jù)企業(yè)的具體業(yè)務(wù)需求實(shí)現(xiàn)不同的網(wǎng)絡(luò)功能，具有良好的擴(kuò)展性和靈活性，支持跨地域組網(wǎng)，同時降低了企業(yè)無線網(wǎng)絡(luò)的建設(shè)成本。多平面的網(wǎng)絡(luò)相對獨(dú)立，實(shí)現(xiàn)了不同業(yè)務(wù)之間的安全隔離，大大提高了企業(yè)無線網(wǎng)絡(luò)的安全性。

關(guān)鍵詞： 虛擬網(wǎng)絡(luò) 邏輯獨(dú)立 安全策略 無線認(rèn)證

中圖分類號： TP309；TP311.5文獻(xiàn)標(biāo)識碼： A文章編號： 1679-3567（2024）03-0005-03

Applications of Wireless Networks Based on Virtual Networks

ZHANG Zhong

Zhanjiang Branch， CNOOC Information Technology Co.， Ltd.， Zhanjiang， Guangdong Province， 524057 China

Abstract： The networking of wireless networks based on virtual network technology can logically divide a tradi‐tional independent wireless physical network into a network with different planes， and each network plane can achieve different network functions according to the specific business needs of enterprises， which has good scalability and flexibility， supports cross-regional networking， and reduces the construction cost of enterprise wireless net‐works. The multi-plane network is relatively independent， which achieves the secure isolation between different businesses and greatly improves the security of enterprise wireless networks.

Key Words： Virtual network； Logical independence； Security strategy； Wireless certification

1 虛擬網(wǎng)絡(luò)

虛擬網(wǎng)絡(luò)技術(shù)（VPN）主要是在公共網(wǎng)絡(luò)上建立起專有網(wǎng)絡(luò)的一種隧道技術(shù)，在原基礎(chǔ)網(wǎng)絡(luò)之上，對數(shù)據(jù)包進(jìn)行重新封裝和拆解，以實(shí)現(xiàn)不同網(wǎng)絡(luò)層面的物理共享，但業(yè)務(wù)邏輯功能獨(dú)立。不同虛擬網(wǎng)絡(luò)之間通過一定方式進(jìn)行互聯(lián)互通，不被規(guī)則允許的虛擬網(wǎng)絡(luò)間無法進(jìn)行互聯(lián)互通，從而增強(qiáng)了網(wǎng)絡(luò)安全，提高了組網(wǎng)的靈活性。

2 基于虛擬網(wǎng)絡(luò)技術(shù)的無線網(wǎng)絡(luò)

在傳統(tǒng)無線網(wǎng)絡(luò)中，所有業(yè)務(wù)都在同一個網(wǎng)絡(luò)平面中，要限制不同業(yè)務(wù)間的訪問，要通過QOS策略，這種方式低效，又不夠安全，同時維護(hù)不便。根據(jù)虛擬網(wǎng)絡(luò)技術(shù)的特點(diǎn)，可以將不同的無線網(wǎng)絡(luò)業(yè)務(wù)劃分成不同的類型，實(shí)現(xiàn)邏輯獨(dú)立分層，面向不同的用戶群體，以實(shí)現(xiàn)不同的功能需求。如面向員工的無線互聯(lián)網(wǎng)平面；面向員工的無線內(nèi)網(wǎng)網(wǎng)絡(luò)平面、針對特殊人員的VIP無線互聯(lián)網(wǎng)平面、面向訪客的無線互聯(lián)網(wǎng)平面[1]。借助虛擬網(wǎng)絡(luò)技術(shù)，不同的無線網(wǎng)絡(luò)平面都共享同一張物理網(wǎng)絡(luò)，但在業(yè)務(wù)邏輯上是不同的網(wǎng)絡(luò)平面。

3 無線網(wǎng)絡(luò)組網(wǎng)

3.1 網(wǎng)絡(luò)結(jié)構(gòu)

采用典型的接入、匯聚、核心三層結(jié)構(gòu)。接入層由無線AP和無線接入交換機(jī)組成，負(fù)責(zé)終端用戶的設(shè)備接入；匯聚層由無線匯聚交換機(jī)、無線認(rèn)證系統(tǒng)和無線AC控制器組成，負(fù)責(zé)流量轉(zhuǎn)發(fā)、無線AP管理、策略下發(fā)、用戶認(rèn)證；核心層由核心交換機(jī)、行為管理、防火墻、外網(wǎng)代理交換機(jī)組成，負(fù)責(zé)入侵防御、抗DDoS、行為管理，實(shí)現(xiàn)無線終端訪問互聯(lián)網(wǎng)的安全防護(hù)及安全管理需求[2]。

3.2 無線業(yè)務(wù)流量

無線的業(yè)務(wù)流量主要包括管理流、認(rèn)證流和業(yè)務(wù)流。（1）管理流：無線AC控制器與無線AP之間交互的流量，涉及AP、接入交換機(jī)、無線匯聚交換機(jī)和無線AC控制器。（2）認(rèn)證流：用戶認(rèn)證、權(quán)限控制時產(chǎn)生的流量，涉及設(shè)備包括無線終端、無線AP、無線接入交換機(jī)、無線匯聚交換機(jī)和無線認(rèn)證系統(tǒng)。（3）業(yè)務(wù)流：包括內(nèi)網(wǎng)流量和互聯(lián)網(wǎng)流量。內(nèi)網(wǎng)流量涉及設(shè)備包括無線終端、無線AP、無線接入交換機(jī)、無線匯聚交換機(jī)、園區(qū)核心交換機(jī)；互聯(lián)網(wǎng)流量涉及用戶終端、無線AP、接入交換機(jī)、無線匯聚交換機(jī)、防火墻、行為管理、互聯(lián)網(wǎng)外網(wǎng)代理交換機(jī)[3]。

4 無線基礎(chǔ)規(guī)劃

4.1 AC/AP部署方式

采用AC+FitAP的集中式進(jìn)行部署，方便統(tǒng)一管理。AC采用雙機(jī)VRRP熱備方式旁掛在無線匯聚交換機(jī)上，為AP和無線接入用戶提供高可靠性接入。

4.2 業(yè)務(wù)轉(zhuǎn)發(fā)方式

用戶連接至對應(yīng)的SSID后，有兩種轉(zhuǎn)發(fā)方式：一種是直接轉(zhuǎn)發(fā)，另一種是集中轉(zhuǎn)發(fā)，建議采用直接轉(zhuǎn)發(fā)方式。直接轉(zhuǎn)發(fā)是由AP直接將數(shù)據(jù)透傳至接入交換機(jī)，接入交換機(jī)再透傳到無線匯聚交換機(jī)再進(jìn)行出網(wǎng)訪問。不使用集中方式進(jìn)行業(yè)務(wù)轉(zhuǎn)發(fā)，增加了網(wǎng)絡(luò)健壯性，避免集中方式下AC成為整個無線網(wǎng)絡(luò)的瓶頸。

4.3 SSID規(guī)劃

企業(yè)園區(qū)無線網(wǎng)絡(luò)按照業(yè)務(wù)需求劃分不同的SSID（Service Set Identification）。一個無線AP可以對應(yīng)數(shù)個SSID，通過配置多個SSID，允許將一個AP劃分為多個虛擬訪問點(diǎn)，每一個SSID對應(yīng)一個虛擬訪問點(diǎn)，會對虛擬訪問點(diǎn)會接收無線控制器AC的下發(fā)策略，虛擬訪問點(diǎn)會根據(jù)下發(fā)的策略進(jìn)行業(yè)務(wù)和終端管理。

4.4 IP地址規(guī)劃

IP地址規(guī)劃主要是對無線控制器AC、無線AP和無線終端三個類型設(shè)備進(jìn)行分配IP地址。無線控制器AC用于管理無線AP，可以手工設(shè)置固定IP地址；無線AP只用于接收無線控制器AC的管理，可以在無線匯聚交換機(jī)上設(shè)置DHCP服務(wù)進(jìn)行動態(tài)分配；無線終端的地址可以由第三方服務(wù)器提供DHCP服務(wù)進(jìn)行動態(tài)分配。

4.5 VLAN規(guī)劃

VLAN規(guī)劃的原則：管理VLAN和業(yè)務(wù)VLAN用不同的VLAN段；業(yè)務(wù)VLAN應(yīng)根據(jù)實(shí)際需要與SSID進(jìn)行映射，映射關(guān)系包括1對1、1對多、多對1和多對多。

4.6 無線安全策略

無線的安全策略主要包括WEP（Wired Equivalent Privacy）、Wi-Fi安全訪問協(xié)議WPA（Wi-Fi Protected Ac？ cess）、WPA2、無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPI（WLAN Authentication and Privacy Infrastructure）四種安全策略機(jī)制。每種安全策略體現(xiàn)為一套安全機(jī)制，包括無線鏈路建立時的鏈路認(rèn)證方式，無線用戶上線時的用戶接入認(rèn)證方式和無線用戶傳輸數(shù)據(jù)業(yè)務(wù)時的數(shù)據(jù)加密方式。通常在考慮網(wǎng)絡(luò)準(zhǔn)入時，應(yīng)綜合考慮安全策略，形成適合不同場景的組合控制方案，無線網(wǎng)絡(luò)安全策略建議如表1所示。

5 無線設(shè)備準(zhǔn)入控制

準(zhǔn)入控制是指當(dāng)無線終端設(shè)備進(jìn)行接入時，需要對接入的設(shè)備進(jìn)行認(rèn)證和授權(quán)，只有通過認(rèn)證和授權(quán)后，終端設(shè)備才被允許接入網(wǎng)絡(luò)，并且在接入網(wǎng)絡(luò)后，制定與用戶身份匹配的訪問策略。準(zhǔn)入控制包括用戶管理、認(rèn)證服務(wù)器、認(rèn)證和策略管控3個方面：（1）用戶管理，明確用戶身份教研信息存儲的位置和用戶管理方式；（2）認(rèn)證服務(wù)器，根據(jù)用戶規(guī)模和物理組網(wǎng)，選擇認(rèn)證服務(wù)器部署方案；（3）認(rèn)證和策略管控，根據(jù)網(wǎng)絡(luò)訴求，為不同用戶選擇不同的策略。

5.1 用戶管理

確定用戶數(shù)據(jù)的來源，常用的用戶數(shù)據(jù)來源主要有LDAP服務(wù)器、域服務(wù)器和Radius服務(wù)器。通常企業(yè)都已建立了完整用戶管理服務(wù)器，無線的用戶管理可以直接與企業(yè)建好的用戶管理服務(wù)器進(jìn)行數(shù)據(jù)同步。

5.2 認(rèn)證服務(wù)器

通常在部署認(rèn)證服務(wù)器時會考慮系統(tǒng)可靠性問題，認(rèn)證服務(wù)器可靠性技術(shù)主要包括集群和異地容災(zāi)服務(wù)，其中集群包括服務(wù)器集群和主備數(shù)據(jù)庫集群[4-5]。

5.2.1 服務(wù)器集群

認(rèn)證服務(wù)器采用多臺服務(wù)器集群部署，當(dāng)其中任意一臺服務(wù)器出現(xiàn)故障時，其他正常運(yùn)行的服務(wù)器接管原故障服務(wù)器的服務(wù)，不會影響認(rèn)證系統(tǒng)的正常運(yùn)行。

5.2.2 主備數(shù)據(jù)庫集群

數(shù)據(jù)庫集群采用主備模式，可以實(shí)時進(jìn)行數(shù)據(jù)備份。系統(tǒng)正常運(yùn)行時，由主用數(shù)據(jù)庫提供正常的服務(wù)，當(dāng)主用數(shù)據(jù)庫異常后，系統(tǒng)檢測到該異常后，會主動切換到備用數(shù)據(jù)庫上，將集群內(nèi)的備用數(shù)據(jù)庫升級為主用數(shù)據(jù)庫，原異常的主數(shù)據(jù)庫自動降為備用數(shù)據(jù)庫。

5.2.3 異地容災(zāi)

在不同的物理位置部署兩套集群，集群間通過心跳、數(shù)據(jù)鏈接技術(shù)形成主備集群，同時實(shí)現(xiàn)數(shù)據(jù)的自動同步，大大提高的系統(tǒng)容災(zāi)能力。

5.3 無線用戶認(rèn)證策略

采用鏈路層用戶身份驗(yàn)證比通過簡單STA身份認(rèn)證過濾機(jī)制的安全性高。為了有效判斷用戶身份的合法性，可以在不影響網(wǎng)絡(luò)安全的前提條件下，通過提供有限的網(wǎng)絡(luò)服務(wù)資源用于用戶認(rèn)證，只有用戶通過認(rèn)證后才提供完整的網(wǎng)絡(luò)服務(wù)資源。由于鏈路層身份認(rèn)證是透明的，可以和其他網(wǎng)絡(luò)層協(xié)議一起配合使用。MAC認(rèn)證、802.1x認(rèn)證和Portal認(rèn)證是無線的鏈路層最常用的三種身份認(rèn)證方式。

5.3.1 MAC認(rèn)證

MAC認(rèn)證是指根據(jù)終端設(shè)備MAC地址的唯一特性進(jìn)行認(rèn)證的一種認(rèn)證方法。當(dāng)終端設(shè)備接入網(wǎng)絡(luò)時，無線終端設(shè)備會發(fā)送的認(rèn)證數(shù)據(jù)包會攜帶的MAC地址信息，認(rèn)證系統(tǒng)接收到后會與系統(tǒng)設(shè)置的合法MAC地址表進(jìn)行匹配認(rèn)證，只有當(dāng)發(fā)送的MAC地址與認(rèn)證系統(tǒng)的合法MAC地址表匹配后，無線終端設(shè)備才被允許接入網(wǎng)絡(luò)。MAC認(rèn)證主要用于IP電話、打印機(jī)、掃描儀等啞終端設(shè)備的接入。

5.3.2 802.1x認(rèn)證

802.1x認(rèn)證是基于端口的認(rèn)證方法，通過網(wǎng)絡(luò)物理層特性，對連接到網(wǎng)絡(luò)端口的無線終端設(shè)備進(jìn)行身份認(rèn)證，當(dāng)認(rèn)證不通過時，會根據(jù)授權(quán)策略部分禁止或完全禁止無線終端設(shè)備訪問網(wǎng)絡(luò)資源。802.1x體系包含請求方、認(rèn)證方和認(rèn)證服務(wù)器三個主要組件。

5.3.3 Portal認(rèn)證

Portal認(rèn)證也就是常說的網(wǎng)頁認(rèn)證。終端設(shè)備通過瀏覽器打開網(wǎng)頁時，需要輸入用戶名和密碼信息，提交后，由Portal認(rèn)證服務(wù)器完成相關(guān)的認(rèn)證。在進(jìn)行認(rèn)證之前，終端設(shè)備會通過DHCP、靜態(tài)配置等方式獲得相關(guān)IP地址，用戶在進(jìn)行HTTP請求時會重定向到后臺的Portal服務(wù)器，在提交用戶名、密碼后進(jìn)行認(rèn)證和授權(quán)。

6 結(jié)語

相對于傳統(tǒng)的無線組網(wǎng)方式，基于虛擬網(wǎng)絡(luò)的無線網(wǎng)絡(luò)雖然增加了組網(wǎng)的復(fù)雜性，對技術(shù)人員的知識水平要求提高，但在移動端業(yè)務(wù)需求不斷增加及網(wǎng)絡(luò)安全形勢越來越嚴(yán)峻的背景下，基于虛擬網(wǎng)絡(luò)的無線網(wǎng)絡(luò)是解決企業(yè)移動業(yè)務(wù)多樣性和網(wǎng)絡(luò)安全問題理想的組網(wǎng)方式，不僅最大程度整合了網(wǎng)絡(luò)資源，為差異化業(yè)務(wù)之間建立了相對獨(dú)立的專用通道，將支撐著企業(yè)中長期移動業(yè)務(wù)可持續(xù)發(fā)展。

參考文獻(xiàn)

[1]萬強(qiáng). 無線網(wǎng)絡(luò)技術(shù)在企業(yè)中的應(yīng)用分析[J].現(xiàn)代職業(yè)教育，2020（7）：182-183.

[2]徐國臣.企業(yè)中無線網(wǎng)絡(luò)技術(shù)的應(yīng)用[J].電腦知識與技術(shù)， 2021，17（28）：37-38，49.

[3]黎永東.F5G全光網(wǎng)在轉(zhuǎn)化醫(yī)學(xué)中心應(yīng)用的研究[J].數(shù)字通信世界，2023（10）：116-118.

[4]賈濱誠，祁鑫，趙樹法，等.5G電力虛擬專網(wǎng)在電網(wǎng)監(jiān)測及調(diào)控中的應(yīng)用分析[J].內(nèi)蒙古電力技術(shù)，2023， 41（5）：35-41.

[5]蘇奕豪.基于國產(chǎn)云基座的私有化容器云平臺構(gòu)建研究[J].鐵路計(jì)算機(jī)應(yīng)用，2023，32 （9）：43-47.