分类:
2012-03-07 19:58:11
原文地址:摩托罗拉无线网络基于角色认证的安全应用方案 作者:潇翔
上海敏照计算机科技有限公司 黄升新
一、客户需求分析
相对于传统的有线网络,无线网络因其布置便捷、灵活及优越的可拓展性得到越来越多的企业的青睐。同时随着无线网络技术的发展,之前受人质疑的速度和安全性都已经有了很大的改善,因此这两项已经不再是无线网络进一步推广的技术瓶颈。而且随着越来越多的厂商对新品的不断推出,为企业的无线应用提供了更多选择的机会,同时无线覆盖的成本也较以往大大的降低。但选择合适的无线产品和拥有一套完善的无线解决方案仍旧是无线应用及推广的成功关键。
为了给员工和访客提供便捷的网络接入,我们计划在该厂的办公区域和访客区域实施无线网络覆盖。初步的无线规划是针对目前全厂的访客区域进行无线网络覆盖。目前全部访客区域包括以下各厂:F1、 F2、 F4、 F6、 F7、 QBUS、H1 和 H2。各厂区的具体覆盖范围为各厂区的大厅会议室和厂区内部会议室。具体的应用需求如下:
大厅会议室要求发送两个无线ESSID:Staff 和 Guest。其中 Staff 供内部员工(包括普通员工和VIP 员工)使用; Guest 供到访的来宾使用。
厂内办公区域部分发送一个ESSID: Staff 供内部员工使用(包括普通员工和VIP 员工),访客用户无权通过 Staff 使用内部网络。其中普通员工在大厅会议室或在厂内办公区域通过 Staff 只能访问访问内部网络,无权访问Internet;VIP 员工通过 Staff 既可以访问内部网络也可以访问Internet。当员工通过 Staff 这个ESSID 连接到网络时,无需提供无线连接密码,便可自动获取到公司内部网段IP 地址。此时还无权访问任何内部资源。当员工打开一个网页时,自动显示无线网络登陆验证画面。员工输入公司内部的AD 账号和密码后方可登陆无线网络。之后员工就可以正常公司的内部网络,而VIP 员工在访问内部网络的同时还可以访问Internet网络。
而访客到大厅会议室时,先到前台获取一组无线网络访问的用户名和密码。访客通过无线网络先获取到一个非内部网段的私有IP 地址。打开网页时,出现无线网络登陆验证画面,输入从前台获取的用户名和密码后,则可正常访问Internet,但无权访问内部网络。
二、无线覆盖方案介绍
1. 方案应用介绍
为了实现内部员工和访客对无线网络的使用需求,本技术方案主要会应用到以下几个技术要点:
无线访问的使用者权限要和内部的活动目录(ActiveDirectory) 整合
为了控制不同的内部员工的无线访问权限,在进行无线登陆验证时,员工输入自己在公司内部分配的活动目录中的账号。验证服务器根据不同的账号传递给无线控制器相关的账号信息,而无线控制则根据预先设定好的不同使用者权限进行验证和区分。
利用Windows 本身的验证服务器(IAS)来整合活动目录和无线控制器的账号
为了整合活动目录中的使用者账号和无限控制对不同账号的使用权限进行控制,需要用到Radius 服务器来整合账号的认证和权限的控制。虽然目前第三方的Radius 服务器也有很多,如cisco 的ACS、TekRadius、WinRadius 等等, 但Windows Server2003 系统本身自带的IAS 作为Radius 有其必然的优越性。IAS 作为Microsoft 本身的一款服务器系统能够很好的和Windows 活动目录进行整合,而且沿用windows 所有产品的方便操作、容易上手的特点为部署IAS 提供了很好的条件。
在活动目录中对不同的内部员工分成两个组一个是普通员工组(StaffGroup),另外一组是特权用户组(VIPGroup)。把只能访问内部网络而不能访问Internet 的内部员工加入到StaffGroup中;把既能够访问内部网络又需要访问Internet 的内部员工加入到VIPGroup 中。在IAS 中设定不同的访问策略来区分StaffGroup 和VIPGroup 的访问权限,并把不同组的ID 号传递给无限控制器来处理。
利用无线控制器的角色(Role)功能来区分不同的Windows 账号的访问网络权限
通过购买高级角色安全证书可以激活无线控制器的角色(Role) 管理功能。在无线控制其中设定不同的组,这些组和活动目录中的组一一对应。当IAS 根据不同的访问者组传递回不同的组ID (GroupID)时,利用角色管理功能,无线控制可以接收这些不同的GroupID。并根据不同的GroupID 和访问列表进行绑定,从而达到不同使用者组访问不通网络的目的。
利用核心无线控制器的本地的验证服务器来来验证访客的使用权限
无线控制器本身提供了内置的验证服务器功能,这可以为访客系统提供相关的访客账号信息。前台工作人员可以根据管理提供的账号和密码登陆无线控制,无限控制器根据前台工作人员账号权限提供给前台创建访客账号权限。通过简单且易操作的账号设置画面,前台可以为访客打印一张含有访客账号信息的卡片,卡片中包含了账号、密码及可访问的时间段等信息。访客可根据这张账号卡片方便的访问的无线网络。
利用无线控制器的角色(Role)功能来区分不同的Windows 账号的访问网络权限
通过购买高级角色安全证书可以激活无线控制器的角色(Role) 管理功能。在无线控制其中设定不同的组,这些组和活动目录中的组一一对应。当IAS 根据不同的访问者组传递回不同的组ID (GroupID)时,利用角色管理功能,无线控制可以接收这些不同的GroupID。并根据不同的GroupID 和访问列表进行绑定,从而达到不同使用者组访问不通网络的目的。
利用核心无线控制器的本地的验证服务器来来验证访客的使用权限
无线控制器本身提供了内置的验证服务器功能,这可以为访客系统提供相关的访客账号信息。前台工作人员可以根据管理提供的账号和密码登陆无线控制,无限控制器根据前台工作人员账号权限提供给前台创建访客账号权限。通过简单且易操作的账号设置画面,前台可以为访客打印一张含有访客账号信息的卡片,卡片中包含了账号、密码及可访问的时间段等信息。访客可根据这张账号卡片方便的访问的无线网络。
考虑到这次的无线网络覆盖点较多及后续的拓展性,在本次方案中选用摩托罗拉最新的无线控制交换机RFS7000作为无线网络控制中心,选用AP300 作为各个无线访问接入点。
RFS7000 是基于摩托罗拉下一代无线技术架构Wi-NG 之上的核心级无线网络控制交换机。RFS7000 提供支持最大、要求最苛刻的环境所需的性能、安全性、灵活性和扩展性。可通过企业内部和外部交付运营商级的移动语音和数据服务简化企业的运营。并且可通过其强大的综合功能降低移动性的成本,这些功能包括:摩托罗拉的下一代无线(Wi-NG) 体系架构、Wi-Fi 和RFID; 自适应AP 技术、定位服务、802.11n 高数据速率连接(支持Mesh)、综合分层安全性、集中管理以及许多摩托罗拉独特的移动功能。
摩托罗拉的AP300 提供了丰富的802.11a/b/g 连接性。通过与无线交换控制器RFS7000 的配合使用,为本方案的整个无线网络提供了极其灵活的可拓展性。AP300 是摩托罗拉的“瘦”下一代无线接入访问点,可通过摩托络的无限控制进行集中和远程管理,所有的配置和设置都是在无线访问控制器上来实现。此设备的配置迅速,并可轻松、迅速升级以支持新的功能、特性和安全协议, 从而可大大降低部署、实现和管理无线网络的成本;同时可显著增强无线网络基础架构的特性、功能和安全性。
2. 方案架构分析
该应用方案系统架构图如下所示:
在活动目录中定义两个组,一个组名是StaffGroup,这个组的成员为普通内部员工,其权限定义为只能访问内部网络;另外一个组名为VIPGroup,这个组的成员是特权内部员工,其权限定义为既可以访问内部网络,也可以访问Internet。
在RFS7000 中也定义两个组, 组名也分别为StaffGroup 和VIPGroup,这个组用来分别接收活动目录中传递过来的两个同名组的账号和权限。
另外在RFS7000 中再定义一个GuestGroup,这个Group 主要用来存放访客的账号。这部分的账号直接存储在RFS7000 的本地Radius 数据库中。这些账号由前台工作人员创建,主要用来验证访客的权限信息等。
在IAS 中设定两组策略,一组策略为StaffPolicy, 主要用来验证StaffGroup 中的成员信息,并把账号认证信息传递给RFS7000 中的StaffGroup; 另外一组策略为VIPPolicy, 主要用来验证VIPGroup 中的成员信息,并把账号认证信息传递给RFS7000 中的VIPGroup。
在RFS7000 中分别设定StaffGroup 和VIPgroup 两个角色的规则,分别接收AD 中传过来的账号信息,并根据这些信息访问不同的IP 地址段。而对访客的控制则直接通过绑定访问列表的方式来实现。
当内部员工访问 Staff 无线网络时,首先获取到内部的合法IP。根据输入的用户名和密码,RFS7000 判断该账号是域账号,并将账号传递给IAS 去认证。IAS 会判断该用户是属于StaffGroup 还是VIPGroup,并把相关的账号信息传递给RFS7000。在RFS7000 收到这些账号信息时,根据定义好的角色规则去匹配,从而正确的控制内部员工对授权网络的访问。
当访客从前台工作人员获取账号后,便可访问 Guest 无线网,访问时首先获取到是RFS7000 定义的本地网段。RFS7000 发现该账号是本地账号,可直接和本地的访问列表去匹配,从而授权访客正确的访问Internet 网。
3. 方案优势分析
该无线方案的实施和部署考虑到了最大化优化无线网络的目的,同时相对于其他品牌的设备来讲,又可以大大降低部署的成本; 而且为今后无线网络的拓展又有很大的延伸空间。相对于Aruba 等其他竞争厂商和摩托罗拉的整体优势总结如下:
解决方案成本:RFS7000 内置了 VPN 网关,状态防火墙和 Radius 服务器等特性,这些特性不需要额外购买License。而Aruba 需要为单独功能购买License,而且WPA2 AES /远程部署AP 和通过ARM 实现的AP 自动调整功能也需要购买License。RFS7000 的备份无线交换机不需要额外购买相关的 AP License,而Aruba 的备机需要购买和主机相同数量的AP License。
三层移动/ 冗余:RFS 7000 通过移动对等实现无缝的三层移动,移动对等中的成员地位平等,所以不存在单点故障。基于cluster 可以通过L2,L3 实现冗余且非常易于配置和维护;而Aruba 需要一个专用的移动服务器实现三层移动,这样就存在单点故障。并且Aruba 的主机和备机无法实现Active:Active 负载分担。
网络安全:RFS 7000 集成 IDS 功能,同时摩托罗拉提供一个专业的功能强大的无线入侵防御系统(AirDefense), 该系统可以保存数个月的数据供分析和问题追溯;而Aruba 的Airwave 侦测的攻击种类非常少,并且打开此功能会影响性能。交换机上的数据库也只能保存很短时间的数据。而且目前该厂已经购买了一套AirDefense,以后如果需要监控office 部分的网络只需要购买额外的Sensor 和License 就可以实现强大的入侵防御功能。如果office 部分也是采用摩托罗拉的无线设备,这就为省去了一笔额外购买一套入侵防御系统的成本开支,同时也能和QMS 的无线网络能更好的协调和配合,给构建一整套完整的无线网络,提供可靠的保证。
体系架构:32 路专用CPU,RFS7000 管理平面独立于数据和控制层面,所以设备不但易于管理,而且扩展能力和稳定性好;而且对于带宽有限的广域网链路,提供本地转发解决方案,而Aruba 的配置只能通过Master 交换机来完成,所以难于配置,同时扩展性和可靠性差。对控制器的备份还需要备份数据库,备份复杂并且无法提供本地转发解决方案。
AP 性能和功能:硬件加密解密,在起用最高强度WPA AES 最高强度加密的情况下性能几乎没有下降。AP 支持MESH,在AP 和无线交换机的广域网链路的故障情况下,本地流量仍然可以转发;而Aruba 在起用最高强度WPA AES 最高强度加密的情况下性能下降明显;在AP 和无线交换机的广域网链路的故障情况下,AP 完全无法工作。
移动特性:30 年的企业移动解决方案经验,提供了非常好的粒度控制(可以基于BSSID配置 DTIM, 基于组播标记的负载分担, 抢先切换漫游等,对于摩托罗拉手持终端可以最大限度的延长终端的电池使用时间并增强切换等性能。而Aruba 缺少企业移动经验和相应的对终端电池使用时间和性能增强的优化。
和目前架构的整合性:目前在的H1、H2、F7 仓库、F6 成品仓等地方都已经部署了摩托罗拉的WS5100 和AP300 等无线网络设备。如果后续采用RFS7000 作为核心控制器,则可以整合目前的这些无线设备,让所有目前的AP300 可以顺利的迁移到RFS7000 的管理中。而且目前仓库、产线等多处地方都采用了摩托罗拉的手持终端,如MC3090G 和MC9090G 等设备,这些设备能无缝的与摩托罗拉无线设备进行连接和通讯。MIS office 部分如果也能采用Motorola 设备,不仅能为目前这些Motorola 的终端设备提供了更大的使用环境,同时也能减少将来由于不同的无线厂商和终端设备厂商所造成的不匹配或协调性等方面的问题。
后续网络的拓展性:一台RFS7000 主机最多可支持256 个瘦AP,而通过购买额外的AAP License,最多可再增加支持1024个AAP(Adaptive Access Point)。AAP 是摩托罗拉率先推出的一个全新的AP 概念。这种AP 既可以作为胖AP 单独工作,也可以作为瘦AP 通过RFS7000 等无线交换机来集中管理和配置。而且两种模式之间的转换无需像其他厂商那样需要重装AP 的操作系统,只需在AP 的模式选择中选择相应的模式即可。在瘦AP 模式下工作时,当AAP 和无线交换机暂时失去联系的时候,AAP 可作为胖AP 继续沿用之前的功能继续工作48个小时。这会今后无线AP 的选择提供更加多的选择空间。当一台RFS7000 不足以支持相应数量的AP 时,只需再增加一台,并加入之前的无线交换机的Cluster 即可。而之前的备用RFS7000 也能为新加入的RFS7000 提供冗余的功能。这样的Cluster 群组最多可支持6X1 架构,即最多可支持的瘦AP 数量为:256x6=1536;如果加上对AAP 的支持,则可增加数量为:1024x6=6144。这样的数量应该完全满足今后整个厂的扩容需求。