為解決這一問題,人們開始采用先進的無線驗證技術,并利用基于角色的VLAN關聯來進行用戶識別。這種方法可以利用一系列標準的驗證方法,如基于HTTP捕獲端口和802.1x等可選驗證機制來判斷出正確的VLAN用戶身份。
![]("http://www.vlan9.com/ArtImage/20050822/4869_1.jpg")
我們可以假設一個情景。一位財務部的無線用戶可能要安全地連接至財務vlan,使用的是一種安全鏈接加密方法,如wi-fi受保護訪問。然而,當該vlan中的用戶漫游至其他接入點時,他們可能會無法再訪問財務vlan,因而也就無法獲取需要的網絡資源。如果要對網絡進行重新配置,并使用戶在整個公司里的每個接入點都能訪問vlan的話,整個重新配置的過程將變得非常繁雜,當然也不可能成為有競爭力的解決方案。
然而,802.1x基于端口的驗證方法則可以提供一個有效的框架,為以太網和無線網絡上的用戶提供基站訪問授權。802.1x使用可擴展驗證協議(EAP)來中繼局域網基站(請求者)、以太網交換機或無線接入點(驗證者)與RADIUS服務器(驗證服務器)之間的端口訪問請求。
用于保護Wi-Fi網絡用戶的核心機制是基于數據加密和用戶驗證的方法,而非通常使用的基于角色的驗證方法。基于角色的802.1x VLAN關聯具有很大的吸引力,因為它可以提供合理的工作組流量分割,并且更容易與有線網絡上配置的安全和流量工程策略集成在一起。
網絡管理員通常都希望為所有用戶保留原有的擴展服務集ID(ESSID)和加密檔案。這樣,當用戶進入無線局域網時,系統可根據驗證服務器上已經配置好的屬性,將用戶分配至不同VLAN內的不同工作組中。如果不使用基于角色的VLAN,這種方法基本上是不可能實現的,除非對無線局域網的許許多多配置逐個調整,為每個用戶組引入新的ESSID。這種做法無疑需要巨大的資金投入和高昂的運營費用。
無線局域網交換機可以支持各種類型的用戶角色,以及不同的訪問權限和VLAN關聯。它還可以支持多種類型的服務器規則,并從中引申出用戶角色,如RADIUS服務器發出的訪問接受信息中的RADIUS屬性。例如,某一條服務器規則用于提取某個特定RADIUS屬性中的數值,并使用該數值作為角色。在802.1x驗證中,客戶機通過一個無線局域網交換機驗證至RADIUS服務器。然后,無線局域網根據執行服務器規則后產生的角色,在VLAN與客戶機之間建立關聯。
一旦與接入點之間的關聯建立完成,無線局域網交換機將客戶機置于未授權狀態下。在這種狀態下,只有客戶機生成的802.1x EAP包才能通過無線局域網轉發。無線局域網交換機發送一條EAP Request-ID,即用戶身份請求信息給客戶機。客戶機則回應一條EAP Response-ID信息。此后,無線局域網交換機將EAP Response-ID封包為一條RADIUS訪問請求信息,并將其轉發給RADIUS服務器。
如果驗證成功,RADIUS服務器將訪問接受信息發送給無線局域網交換機。這條信息可以識別不同的用戶屬性,如角色和訪問權限。然后,無線局域網交換機會對這條回應信息進行解析,并確定客戶機應當被分配至哪一個VLAN。
使用該信息,無線局域網交換機便將客戶機分置于授權狀態下,并發送一條EAP Success信息。此后,交換機才將來自客戶機的所有數據流量轉發給合適的VLAN。在收到EAP Success信息后,客戶機將啟動動態主機配置協議,并從基于角色的VLAN上獲得一個IP地址
