移动安全 安全管理 应用案例 网络威胁 系统安全应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用安全 >

企业实施轻量级AP应该注意三大问题

时间:2011-05-05 20:25来源: 点击:
在思科的统一无线管理策略中,将无线发射点分为轻量级AP与无线局域网控制器两个部分,两者各司其责。
Tags轻量级AP(4)  

  在的统一管理策略中,将无线发射点分为轻量级AP与控制器两个部分,两者各司其责。轻量级AP只负责信号的接收与发送,而无线控制器则负责客户端身份认证、安全策略管理等等。所以在部署思科无线局域网的时候,就需要注意合理部署轻量级 AP,让其能够跟无线局域网有机的联系起来。

  为了帮助大家能够深一步认识轻量级AP的部署,笔者就先谈谈轻量级AP的工作原理。然后结合这个工作原理来谈谈其部署的重点与注意事项。简单的来说,轻量级AP从启动到正常运行大致可以分为四个步骤。

  第一步:轻量级AP从DHCP那里获得一个IP地址。虽然轻量级AP只是一个无线信号接入点,但是其仍然是一个网络设备。其要在局域网络中进行正常的数据传送,其仍然需要一个合法的IP地址。为此在启动的时候,轻量级AP需要从DHCP服务器中获得一个合法的IP地址。

  第二步:与无线局域网控制器建立联系。轻量级AP在启动过程中,会通过广播的方式取得所有无线局域网控制器的IP地址。如果不考虑其他因素的话,则其会先向其获得的第一个无线局域网控制器发送连接请求。如果无线局域网控制器没有回应的话,则会尝试下一个IP地址。无线局域网控制器接收到这个请求信息时,便会向轻量级AP发送加入应达的信息。如此就可以把轻量级AP与无线局域网控制器绑定在一起。

  第三步:策略代码的比较与更新。无线局域网控制器在绑定了轻量级AP之后,就会把其代码印象版本与本地的代码映像版本进行比较。如果在连接之前,无线局域网控制器中的某些策略发生了变更,则轻量级AP将会从无线局域网控制器中下载并启用最新的印象代码。不过要生效的话,轻量级AP必须重新启动。

  第四步:隧道的建立。当以上三个步骤完成之后,轻量级AP与无线局域网控制器之间会建立起两条隧道,分别为传送管理信息的LWAPP控制信息隧道与用户数据的数据隧道。这两个隧道并不能够用来实现数据负载均衡,而是各有各的用途。即使在客户端数据交换频繁的时候,用来传输控制信息的隧道也不用购用来传递数据信息。

  可见,轻量级AP的工作原理是非常简单的。因为其大部分的复杂工作,如客户端的身份认证等等,都是由独立的无线局域网控制器完成的。为此在部署轻量级AP的时候,其重点就是如何保证轻量级AP与无线局域网控制器之间的连接。如果这个连接中断的话,则即使轻量级AP工作正常,用户仍然无法通过这个轻量级AP来收发信息。为了保障他们之间的有效连接,网络管理员需要注意以下几个方面的问题。

  1、虚拟局域网的问题

  如果处于安全的考虑,在企业网络中部署了虚拟局域网。此时对于轻量级AP与无线局域网控制器的通信是否会造成影响?如通过DHCP服务器,轻量级AP与无线局域网控制器设备的IP地址分属于不同的局域网。此时这两个设备虽然通过仍然可以进行通信,但是对于其传递的管理信息是否会造成不利的影响呢?通常情况下,使不会造成不利影响的。或者说,其不利影响可以忽略不计。这主要是因为隧道的原因。在无线局域网控制器与轻量级AP进行数据传送时,隧道会将他们之间需要传送的数据封装到IP分组中,从而可以跨越虚拟局域网交换或者路由这些信息。如果此时需要通过路由器来进行路由,所以其在传送的环节中就多出了一环,其速率稍微受到了一些影响。不过除非这个路由器是企业网络中的瓶颈资源,否则的话,这个不利影响可以忽略不计。

  不过如果部署在不同的虚拟局域网中,对于后续故障的排测也会产生不利的影响。如当无线局域网控制器与轻量级AP无法正常通信的话,那么造成这个故障的原因还需要考虑路由器路由信息的原因。所以在遇到故障时,就必须多测试几个地方。所以虽然无线局域网控制器与轻量级AP可以分属于不同的局域网,但是,为了后续工作的方面,尽量不要这么做。即尽量部署在相同的虚拟局域网中。把他们部署在不同的局域网中只是不得已而为之的做法。如企业中有三个无线接入点,分属于三个不同的虚拟局域网。此时,为他们分别配制三个不同的无线局域网控制器则显然是不合理的。在遇到这种情况时,只需要配备一个无线局域网控制器。其中有两个轻量级AP只好与无线局域网控制器分属于不同的虚拟局域网,以节省硬件的成本,并实现统一管理。

  2、轻量级AP与无线局域网控制器的关联方式

  从上面的工作原理中,我们可以看到,都是轻量级AP主动与无线局域网控制器进行联系。也就是说,如果企业无线网络比较复杂,有多个无线局域网控制器的话,轻量级AP会与那个无线局域网控制器进行绑定的?这个主动权主要在轻量级AP,而不在于无线局域网控制器上。通常情况下,轻量级AP会发送广播信息,以获得其周边的所有无线局域网控制器的IP地址。并会根据得到IP地址时间的先后顺与,依次进行连接请求。并自动绑定第一个允许其连接请求的无线局域网控制器。但是,这往往会造成管理上的混乱。如企业网络管理员出于负载均衡的需要,或者出于安全的需要,往往希望轻量级AP能够连接到特定的无线局域网控制器上去。而这种绑定方式,显然不能够满足管理员维护无线网络的需要。

  为此,思科的轻量级AP采取了一个自定义无线局域网控制器IP地址列表的功能。即在每一个轻量级AP内,都能够维护一个组多可达三个IP地址的列表,而且这个三个无线局域网控制器的IP地址有先后顺序。第一个IP地址代表的无线局域网控制器为主控制器,第二个辅助无线局域网控制器,第三个会后给辅助无线局域网控制器。如果采用了这个列表之后,那么当轻量级AP启动时,就不会去搜寻其周围的无线局域网控制器。而是直接利用这个列表中的IP地址与无线局域网控制器进行连接,要求与其建立联系。如果当这规定的三个IP地址都不可用时,才会发送IP子网广播来寻找可用的无线局域网控制器。

  3、隧道安全机制的不同

  在轻量级AP与无线局域网控制器进行通信时,会采用两条隧道,分别用来传送控制信息与数据信息。通常情况下,控制信息在传送的过程中是不加密的,而数据信息在传送的过程中是加密的。虽然有隧道的保护,但是其管理信息在隧道中进行明文传输则仍然会有一定的安全隐患。为此需要通过IPSec等安全策略,来保障其信息传输的安全性。否则的话,非法供给者就可以通过窃听等手段来获取管理信息,并进行伪造,从而让一些非法的客户端可以通过其认证,连接到这个无线局域网中。所以,如果企业无线网络中的数据比较重要,会让一些攻击者不惜花大代价来进行攻击的话,则通过IP安全策略等手段来加密管理信息仍然是非常有必要的。不过在采用这些额外的安全手段时,需要进行仔细的测试,以判断能否与思科无线统一安全策略兼容。虽然说思科的产品其兼容性一般不会有多大的问题,因为其本身就是很多网络标准的制定者。不过为了保险,这个兼容性测试仍然是必需的。

相关文章
------分隔线----------------------------

推荐内容