主页(http://www.pttcn.net):摩托罗拉无线网络基于角色认证的安全应用方案(2) 通过购买高级角色安全证书可以激活无线控制器的角色(Role) 管理功能。在无线控制其中设定不同的组,这些组和活动目录中的组一一对应。当IAS 根据不同的访问者组传递回不同的组ID (GroupID)时,利用角色管理功能,无线控制可以接收这些不同的GroupID。并根据不同的GroupID 和访问列表进行绑定,从而达到不同使用者组访问不通网络的目的。 利用核心无线控制器的本地的验证服务器来来验证访客的使用权限 无线控制器本身提供了内置的验证服务器功能,这可以为访客系统提供相关的访客账号信息。前台工作人员可以根据管理提供的账号和密码登陆无线控制,无限控制器根据前台工作人员账号权限提供给前台创建访客账号权限。通过简单且易操作的账号设置画面,前台可以为访客打印一张含有访客账号信息的卡片,卡片中包含了账号、密码及可访问的时间段等信息。访客可根据这张账号卡片方便的访问的无线网络。 考虑到这次的无线网络覆盖点较多及后续的拓展性,在本次方案中选用摩托罗拉最新的无线控制交换机RFS7000作为无线网络控制中心,选用AP300 作为各个无线访问接入点。
RFS7000 是基于摩托罗拉下一代无线技术架构Wi-NG 之上的核心级无线网络控制交换机。RFS7000 提供支持最大、要求最苛刻的环境所需的性能、安全性、灵活性和扩展性。可通过企业内部和外部交付运营商级的移动语音和数据服务简化企业的运营。并且可通过其强大的综合功能降低移动性的成本,这些功能包括:摩托罗拉的下一代无线(Wi-NG) 体系架构、Wi-Fi 和RFID; 自适应AP 技术、定位服务、802.11n 高数据速率连接(支持Mesh)、综合分层安全性、集中管理以及许多摩托罗拉独特的移动功能。
摩托罗拉的AP300 提供了丰富的802.11a/b/g 连接性。通过与无线交换控制器RFS7000 的配合使用,为本方案的整个无线网络提供了极其灵活的可拓展性。AP300 是摩托罗拉的“瘦”下一代无线接入访问点,可通过摩托络的无限控制进行集中和远程管理,所有的配置和设置都是在无线访问控制器上来实现。此设备的配置迅速,并可轻松、迅速升级以支持新的功能、特性和安全协议, 从而可大大降低部署、实现和管理无线网络的成本;同时可显著增强无线网络基础架构的特性、功能和安全性。 2. 方案架构分析 该应用方案系统架构图如下所示:
在活动目录中定义两个组,一个组名是StaffGroup,这个组的成员为普通内部员工,其权限定义为只能访问内部网络;另外一个组名为VIPGroup,这个组的成员是特权内部员工,其权限定义为既可以访问内部网络,也可以访问Internet。 在RFS7000 中也定义两个组, 组名也分别为StaffGroup 和VIPGroup,这个组用来分别接收活动目录中传递过来的两个同名组的账号和权限。 另外在RFS7000 中再定义一个GuestGroup,这个Group 主要用来存放访客的账号。这部分的账号直接存储在RFS7000 的本地Radius 数据库中。这些账号由前台工作人员创建,主要用来验证访客的权限信息等。 在IAS 中设定两组策略,一组策略为StaffPolicy, 主要用来验证StaffGroup 中的成员信息,并把账号认证信息传递给RFS7000 中的StaffGroup; 另外一组策略为VIPPolicy, 主要用来验证VIPGroup 中的成员信息,并把账号认证信息传递给RFS7000 中的VIPGroup。 在RFS7000 中分别设定StaffGroup 和VIPgroup 两个角色的规则,分别接收AD 中传过来的账号信息,并根据这些信息访问不同的IP 地址段。而对访客的控制则直接通过绑定访问列表的方式来实现。 当内部员工访问 Staff 无线网络时,首先获取到内部的合法IP。根据输入的用户名和密码,RFS7000 判断该账号是域账号,并将账号传递给IAS 去认证。IAS 会判断该用户是属于StaffGroup 还是VIPGroup,并把相关的账号信息传递给RFS7000。在RFS7000 收到这些账号信息时,根据定义好的角色规则去匹配,从而正确的控制内部员工对授权网络的访问。 当访客从前台工作人员获取账号后,便可访问 Guest 无线网,访问时首先获取到是RFS7000 定义的本地网段。RFS7000 发现该账号是本地账号,可直接和本地的访问列表去匹配,从而授权访客正确的访问Internet 网。 3. 方案优势分析 该无线方案的实施和部署考虑到了最大化优化无线网络的目的,同时相对于其他品牌的设备来讲,又可以大大降低部署的成本; 而且为今后无线网络的拓展又有很大的延伸空间。相对于Aruba 等其他竞争厂商和摩托罗拉的整体优势总结如下:
解决方案成本:RFS7000 内置了 VPN 网关,状态防火墙和 Radius 服务器等特性,这些特性不需要额外购买License。而Aruba 需要为单独功能购买License,而且WPA2 AES /远程部署AP 和通过ARM 实现的AP 自动调整功能也需要购买License。RFS7000 的备份无线交换机不需要额外购买相关的 AP License,而Aruba 的备机需要购买和主机相同数量的AP License。
|