企業專用無線局域網研究與實現

張東升，張寶軍，阮一凡

（1.中國鐵道科學研究院 鐵道科學技術研究發展中心，北京 100081；2.中國鐵道科學研究院 標準計量研究所，北京 100081）

隨著無線移動技術的不斷進步，特別是移動終端的迅猛發展，無線局域網（W LAN）應用日趨普及，機場、商場、酒店等各種公共場所都提供了WLAN服務，很多單位和家庭也都搭建了自己的移動熱點，提供無線上網服務。這些服務大多只提供了較簡單的認證加密方式，存在一定安全風險。企業WLAN不同于社會公共無線服務網絡，它是一個較封閉的、必須確保企業內部數據安全的服務支撐網絡。這就需要從企業對W LAN的特殊需求入手，對網絡架構、認證方式和抗干擾措施等方面加以研究，得出適合企業專用的WLAN解決方案。

1 企業WLAN特點

1.1 業務安全性

信息社會企業數據安全關系到企業的生命，每個企業都有自己的核心數據和內部資源，例如辦公系統、資產管理系統、人事系統等，只提供企業內部員工訪問，不提供對外服務，有封閉性的特點。如何保護自己的這些數據和資源，是企業構建專用WLAN中非常重要的環節。

企業W LAN安全性管理主要涉及2個環節，（1）網絡出口管理，主要體現在邊界網關，對于出入數據的安全控制；（2）用戶私建熱點的影響，隨著無線路由器的大量普及，企業內部個人私建熱點不可避免，如何有效杜絕其造成的安全隱患，也是需要研究的問題。

1.2 穩定與高效

作為服務支撐網絡，企業WLAN應穩定高效，提高工作生產效率。企業W LAN作為有線網絡的延伸，應提供與有線網絡相當的服務等級，不應在無線接入環節產生瓶頸，特別是在大數據傳輸、視頻會議、網絡教學課堂等環節要保證無線接入帶寬要求。工作期間的企業網絡應用相對集中，需要平衡無線網絡負荷，分散網絡接入需求。

無線網絡應用環境復雜，多徑傳輸及網絡時延都會影響無線接入服務質量，特別是W LAN技術及產品都是針對公眾開放的2.4 G和5 G民用頻段，因此無論是同頻干擾還是鄰頻干擾都將在用戶端產生網絡不穩定、經常掉線、網絡接入慢甚至無法提供網絡服務等各種無線接入服務體驗。

1.3 可溯源性

在當前的社會安全形勢下，企業網絡不能獨善其身。在有線網絡監控技術手段日臻完善的前提下，空口接入的隨意性要求無線網絡服務更需要處于可溯源的可控范圍內。特別是企業數據信息泄密及員工互聯網絡非法使用都是企業W LAN需要特別關注的問題，無論對于防范于未然還是調查取證，網絡日志都成為必不可少的安全環節。

2 組網方案

W LAN基本框架由AC（無線控制器）、AP和POE（以太網供電）交換機組成。AP通過AC實現集中管理和自動配置，POE交換機為AP供電。此外，提供驗證、授權和記賬服務的Radius（遠程身份驗證撥號服務）服務器、負責AP和移動客戶終端IP地址分配的DHCP（動態主機配置協議）服務器和負責直觀查看系統使用情況與告警狀況的網管系統必不可少。

建設企業專用W LAN，還需在網絡邊界布置硬件防火墻，配置安全策略、訪問控制列表、病毒防護等功能，提高安全性；配置網關認證設備，綁定IP地址和網卡MAC地址，強調唯一性；部署日志服務器，記錄員工的歷史訪問記錄，解決可溯源需求；添加證書管理系統，實現安全性更高的認證與加密管理。網絡拓撲圖如圖1所示。

圖1 企業專用WLAN網絡拓撲圖

3 系統原理及關鍵技術

3.1 系統原理

系統上電后，AP首先需要自動獲取網絡信息。通過DHCP服務器，可以得到AC、AP、網關和DNS（域名服務）的IP地址信息。獲得AC的IP地址后，AP向AC發送發現請求，AC收到后檢查該AP是否有接入權限，如果有則發送發現響應給AP。AP收到后，即可與AC建立隧道連接。

由于AP和AC是采用隧道模式傳輸數據，網絡中的交換機并不對用戶的數據進行處理，數據報文的解封和轉發均在AC中進行，所以只需在AC和核心交換機上為AP創建一個VLAN，其它接入交換機上不用添加該VLAN。

AP首次與AC建立隧道后，AC會將無線業務參數、射頻參數和軟件版本等配置信息下發至AP，完成AP與AC的連接建立過程。

3.2 無線認證方式

通過建立多個不同SSID（服務集標識）服務，分別采取不同認證方式的辦法，來解決企業專用W LAN認證時的安全性需求。訪問含有企業核心數據和內部資源的網絡，可以采用高安全級別的EAP-TLS（傳輸層安全的擴展認證協議）的認證方式，為員工配置含有數字證書的USBKEY（USB接口的鑰匙）。非重要網絡可以采用低安全級別的Web Portal（網絡入口）的認證方式。2個網絡之間通過設置實現互不訪問，邏輯隔離。

3.2.1 EAP-TLS認證

EAP即擴展認證協議，是一個使用非常普遍的認證框架，常被用于W LAN連接中。EAP 支持多種認證方法，其中EAP-TLS由于其基于證書的雙向認證功能，被認為是最安全的EAP標準，可為接入的客戶端提供極高的安全保障。

USBKEY是一個硬件設備，內含CPU和安全存儲空間，可以實現加密、解密和簽名的各種算法，存儲數字證書和密鑰的數據。USBKEY是在硬件內部進行計算，密鑰不出現在計算機內存中，避免了被盜取的可能性。

USBKEY里面除了包含自身的序列號，還有員工的數字證書和與這個證書對應的私鑰。數字證書主要是由員工的公鑰和CA（證書頒發機構）對該證書的簽名組成，還有算法、頒發者和有效期等其它信息。私鑰一般設置為不可導出，保證了USBKEY使用者的唯一性。

數字證書有根證書、客戶端證書和服務器證書等多種形式。在W LAN中，USBKEY里的數字證書和Radius服務器上的服務器證書，最好是同一個CA頒發的，相互認證時可以信任。

EAP-TLS認證方式的基本業務流程是：

（1）移動客戶端插入含有證書和密鑰信息的USBKEY，攜帶合法的身份標識，如員工姓名等，向AP發出請求；

（2）AP收到該信息后，將數據封裝傳給AC，AC轉發給Radius服務器；

（3）Radius服務器驗證信息合法后，將自己的服務器證書發給客戶端；

（4）客戶端通過USBKEY內的自身證書驗證該服務器證書的身份，如果可以信任，則向Radius服務器發送自己的數字證書；

（5）此時客戶端計算機上應彈出選擇證書的對話框，并要求輸入pin（個人識別）碼，因為客戶端需要私鑰才能將證書提取出來并發送出去；

（6）Radius服務器通過自身證書驗證客戶端證書的身份，如果可以信任，則完成了EAP-TLS的雙向認證；

（7）認證成功后，Radius服務器向AC和AP發送允許客戶端接入的信息，從而完成客戶端接入企業專用W LAN的整個過程。EAP-TLS認證過程如圖2所示。

圖2 EAP-TLS認證過程

3.2.2 Web Portal認證

Web Portal認證的基本業務流程是：

（1）客戶端直接通過DHCP協議就可獲取IP地址，無需任何認證即可接入到網絡里；

（2）但此時客戶端因為AC訪問控制列表控制，并不能通過W LAN訪問其它資源，在認證通過前只能訪問Portal服務器的IP地址；

（3）在客戶端會自動彈出Portal服務器的登錄界面，只要輸入用戶名和密碼并提交，就會被Web客戶端上傳至Portal服務器；

（4）Po rtal服務器從內部數據庫查找并驗證該用戶數據的合法性，實現用戶的認證和上線過程。

Portal認證的優點是不需要特殊的客戶端軟件，只需通過W eb瀏覽器即可實現，操作簡單。缺點是只要用戶名和密碼即可完成認證，安全性低。

3.3 反制Rogue（欺騙）AP

如何解決企業防干擾的需求，比較理想的辦法就是反制Rogue AP，通過反干擾使其功能失效。

通過RF信號檢測到的干擾AP，可以分為以下3種類別：Rogue AP、Suspect AP（懷疑AP）和Neighbor AP（鄰居AP）。Rogue AP就是需要反制的AP，它的判定規則可以管理者自己定義，例如冒充企業正常SSID的AP；未經允許就私自接入企業網絡里的AP；起用Ad Hoc（點對點）模式的無線終端等，都可以設定為Rogue AP。Neighbor AP即信任AP，不會被反制。Suspect AP是未知的AP或者還沒有被分類的AP，可以通過手動添加變成Rogue AP或Neighbor AP。

反制的基本業務流程是：

（1）首先在AC中配置反制規則；

（2）AP開始掃描所有信道并把接收到的信息數據傳給AC。這些信息數據包括BSSID（基本服務集標識）、設備類型、信道、RSSI（接收信號強度）、SSID等；

（3）AC根據預先制定的反制規則對設備分類，判斷其是否是Rogue AP并將結果回送給AP；

（4）AP根據判斷結果，冒充Rogue AP的信息數據，發送虛假的、解除認證的報文給正與之關聯的移動客戶端，通知其“下線”，如圖3所示；

（5）移動客戶端誤以為Rogue AP失去了可連接功能，達到了反制的效果。

圖3 反制技術效果示意圖

4 測試、維護和優化

企業專用W LAN想具備穩定性特點，需要后期的系統測試、故障維護和網絡優化逐步完善。

4.1 系統測試

系統測試包括功能測試和性能測試。功能測試主要是檢測一些正常的連接和認證的功能。例如員工能否正常連接網絡SSID；能夠正常獲取IP地址；EAP-TLS認證時能否彈出選擇證書并輸入pin碼的提示界面；Web Portal認證前訪問任何網頁能否自動跳轉到Portal認證頁面，輸入用戶名密碼后是否能訪問網絡等。性能測試主要是檢測信號強度、信噪比、接入帶寬、時延和丟包率等性能指標。

4.2 故障維護

故障維護需要對整個系統的設備參數、軟硬件配置、無線接入過程和認證過程充分了解，才能分析和解決具體問題。例如客戶端連接不上網絡；連接后經常掉線；無法通過認證；無法獲取IP地址；雖然能連接上網絡，但是速度很慢等諸多問題，都需要具體措施來解決。分析問題的思路包括：是否是個別現象；是否存在干擾源；信號強度是否穩定；是否處在覆蓋邊緣；客戶端電腦是否配置正確；AC、AP、POE交換機等硬件設備是否正常運行等。

4.3 網絡優化

客戶端和網絡的一些問題自身無法解決，需要進行網絡優化。網絡優化是對現有網絡的小幅度調整。例如通過調整AP的功率、信道、位置和天線朝向等手段，解決信號覆蓋和信號質量的問題；單個AP在線用戶數量過多時，在無線接入的負載均衡功能無法解決的情況下，可通過減少單個AP的發射功率，增加AP數量的方式；可以建立只允許802.11 a/n終端訪問的5 G頻段SSID服務，供有條件的用戶選擇，避開干擾較多的2.4 G頻段；同頻干擾或鄰頻干擾時調整信道，及時找到并關閉干擾源等一系列網絡優化手段。

5 結束語

安全高效是企業局域網的建設宗旨。通過使用EAP-TLS無線認證方式提高安全性；做好系統維護和網絡優化，提高穩定性；施加反制能力，增加抗干擾性；部署網管系統和日志服務器，增加可溯源性，由此基本形成了一個比較完善的企業專用W LAN解決方案。隨著W LAN技術的飛速發展，企業專用W LAN技術將不斷完善，為服務企業生產提供強大的業務支撐。

[1] 石 穎.基于EAP-TLS認證的無線網絡安全接入[J].計算機安全，2009（9）：26-30.

[2] 徐 剛.構建安全無線環境，讓釣魚Wi-Fi無處藏身[J].信息通信技術，2013（4）：61-65.