主頁（http://www.130131.com）：摩托羅拉無線網(wǎng)絡(luò)基于角色認證的安全應(yīng)用方案(2)

通過購買高級角色安全證書可以激活無線控制器的角色（Role） 管理功能。在無線控制其中設(shè)定不同的組，這些組和活動目錄中的組一一對應(yīng)。當IAS 根據(jù)不同的訪問者組傳遞回不同的組ID （GroupID）時，利用角色管理功能，無線控制可以接收這些不同的GroupID。并根據(jù)不同的GroupID 和訪問列表進行綁定，從而達到不同使用者組訪問不通網(wǎng)絡(luò)的目的。

 利用核心無線控制器的本地的驗證服務(wù)器來來驗證訪客的使用權(quán)限

無線控制器本身提供了內(nèi)置的驗證服務(wù)器功能，這可以為訪客系統(tǒng)提供相關(guān)的訪客賬號信息。前臺工作人員可以根據(jù)管理提供的賬號和密碼登陸無線控制，無限控制器根據(jù)前臺工作人員賬號權(quán)限提供給前臺創(chuàng)建訪客賬號權(quán)限。通過簡單且易操作的賬號設(shè)置畫面，前臺可以為訪客打印一張含有訪客賬號信息的卡片，卡片中包含了賬號、密碼及可訪問的時間段等信息。訪客可根據(jù)這張賬號卡片方便的訪問的無線網(wǎng)絡(luò)。

 考慮到這次的無線網(wǎng)絡(luò)覆蓋點較多及后續(xù)的拓展性，在本次方案中選用摩托羅拉最新的無線控制交換機RFS7000作為無線網(wǎng)絡(luò)控制中心，選用AP300 作為各個無線訪問接入點。

 RFS7000 是基于摩托羅拉下一代無線技術(shù)架構(gòu)Wi-NG 之上的核心級無線網(wǎng)絡(luò)控制交換機。RFS7000 提供支持最大、要求最苛刻的環(huán)境所需的性能、安全性、靈活性和擴展性。可通過企業(yè)內(nèi)部和外部交付運營商級的移動語音和數(shù)據(jù)服務(wù)簡化企業(yè)的運營。并且可通過其強大的綜合功能降低移動性的成本，這些功能包括：摩托羅拉的下一代無線（Wi-NG） 體系架構(gòu)、Wi-Fi 和RFID； 自適應(yīng)AP 技術(shù)、定位服務(wù)、802.11n 高數(shù)據(jù)速率連接（支持Mesh）、綜合分層安全性、集中管理以及許多摩托羅拉獨特的移動功能。

 摩托羅拉的AP300 提供了豐富的802.11a/b/g 連接性。通過與無線交換控制器RFS7000 的配合使用，為本方案的整個無線網(wǎng)絡(luò)提供了極其靈活的可拓展性。AP300 是摩托羅拉的“瘦”下一代無線接入訪問點，可通過摩托絡(luò)的無限控制進行集中和遠程管理，所有的配置和設(shè)置都是在無線訪問控制器上來實現(xiàn)。此設(shè)備的配置迅速，并可輕松、迅速升級以支持新的功能、特性和安全協(xié)議， 從而可大大降低部署、實現(xiàn)和管理無線網(wǎng)絡(luò)的成本；同時可顯著增強無線網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的特性、功能和安全性。

 2. 方案架構(gòu)分析

該應(yīng)用方案系統(tǒng)架構(gòu)圖如下所示：

在活動目錄中定義兩個組，一個組名是StaffGroup，這個組的成員為普通內(nèi)部員工，其權(quán)限定義為只能訪問內(nèi)部網(wǎng)絡(luò)；另外一個組名為VIPGroup，這個組的成員是特權(quán)內(nèi)部員工，其權(quán)限定義為既可以訪問內(nèi)部網(wǎng)絡(luò)，也可以訪問Internet。

在RFS7000 中也定義兩個組， 組名也分別為StaffGroup 和VIPGroup，這個組用來分別接收活動目錄中傳遞過來的兩個同名組的賬號和權(quán)限。

另外在RFS7000 中再定義一個GuestGroup，這個Group 主要用來存放訪客的賬號。這部分的賬號直接存儲在RFS7000 的本地Radius 數(shù)據(jù)庫中。這些賬號由前臺工作人員創(chuàng)建，主要用來驗證訪客的權(quán)限信息等。

 在IAS 中設(shè)定兩組策略，一組策略為StaffPolicy, 主要用來驗證StaffGroup 中的成員信息，并把賬號認證信息傳遞給RFS7000 中的StaffGroup； 另外一組策略為VIPPolicy， 主要用來驗證VIPGroup 中的成員信息，并把賬號認證信息傳遞給RFS7000 中的VIPGroup。

 在RFS7000 中分別設(shè)定StaffGroup 和VIPgroup 兩個角色的規(guī)則，分別接收AD 中傳過來的賬號信息，并根據(jù)這些信息訪問不同的IP 地址段。而對訪客的控制則直接通過綁定訪問列表的方式來實現(xiàn)。

 當內(nèi)部員工訪問 Staff 無線網(wǎng)絡(luò)時，首先獲取到內(nèi)部的合法IP。根據(jù)輸入的用戶名和密碼，RFS7000 判斷該賬號是域賬號，并將賬號傳遞給IAS 去認證。IAS 會判斷該用戶是屬于StaffGroup 還是VIPGroup，并把相關(guān)的賬號信息傳遞給RFS7000。在RFS7000 收到這些賬號信息時，根據(jù)定義好的角色規(guī)則去匹配，從而正確的控制內(nèi)部員工對授權(quán)網(wǎng)絡(luò)的訪問。

 當訪客從前臺工作人員獲取賬號后，便可訪問 Guest 無線網(wǎng)，訪問時首先獲取到是RFS7000 定義的本地網(wǎng)段。RFS7000 發(fā)現(xiàn)該賬號是本地賬號，可直接和本地的訪問列表去匹配，從而授權(quán)訪客正確的訪問Internet 網(wǎng)。

 3. 方案優(yōu)勢分析

該無線方案的實施和部署考慮到了最大化優(yōu)化無線網(wǎng)絡(luò)的目的，同時相對于其他品牌的設(shè)備來講，又可以大大降低部署的成本； 而且為今后無線網(wǎng)絡(luò)的拓展又有很大的延伸空間。相對于Aruba 等其他競爭廠商和摩托羅拉的整體優(yōu)勢總結(jié)如下：

解決方案成本：RFS7000 內(nèi)置了 VPN 網(wǎng)關(guān),狀態(tài)防火墻和 Radius 服務(wù)器等特性，這些特性不需要額外購買License。而Aruba 需要為單獨功能購買License，而且WPA2 AES ／遠程部署AP 和通過ARM 實現(xiàn)的AP 自動調(diào)整功能也需要購買License。RFS7000 的備份無線交換機不需要額外購買相關(guān)的 AP License，而Aruba 的備機需要購買和主機相同數(shù)量的AP License。
(中國集群通信網(wǎng) | 責任編輯：陳曉亮)