无线论坛 - 随时随地无线 - 无线局域网：自由和安全的对抗？(1)

无线局域网：自由和安全的对抗？

　　什么是无线转换器和网关？您是否需要它们？

　　Wi-Fi是不安全的，因此您需要通过安装更多的Wi-Fi 交换装置来改善网络的安全性。这听起来并不是一个非常好的销售方针，但是对于安装无线局域网（WLAN）来说，这却是一个非常紧迫的问题。如果IT部门不这样做的话，那么您的用户会的。

　　供应商们坚持说WLAN有能力将用户从办公桌前解放出来、提高生产力、并且还可以得到更快的投资回报。他们的说法也许是正确的，但是许多的网络工作者还是将WLAN看作是一种问题，而不是将其看作是一种解决方案。廉价的IEEE 802.11硬件设备目前已经可以在每个面向用户的电子商店购买到，因此每个雇员现在都可以很方便地设立接入点，有意或无意地和无线发射范围内的其他人分享网络的接入。

　　有一种方法可以避免产生这种无授权的接入点，那就是建立官方的无线网络，制定集中管理的安全策略。但是，不幸的是，大部分的接入点都无法很容易地实现这一点。每个接入点都需要单独进行配置，而且这种配置并不是遵照安全策略和接入控制表中的规定进行的。要充分发挥大型的无线网络的优势，您需要处理不同的接入点之间的灵活性、不同的接入点之间的流量分配以及减少相互之间的干扰问题。尽管无授权接入点问题已经得到了广泛的关注，但是这仅仅是一个非常大的问题中的一个很小的部分：WLAN很难进行管理。

　　这一切得到了供应商们的注意。一些刚起步的公司表示他们将对WLAN的管理提供帮助，同时提高安全性和灵活性。一些公司为目前已经存在的接入点提供可以一起工作的网关设备，其他的一些公司则重新为接入点进行设计。所有的这些公司都承诺要最大程度地简化WLAN的设计、建立和运行，使网络管理员可以简单地通过点击鼠标即可为新的用户提供服务。但是采用这样的方式也意味着要使用某个未知的供应商的未经过实践的技术，对目前的网络进行替换。

　　一、网关

　　要对WLAN进行集中管理，采用的第一种产品就是无线网关，比如下面的表格中列出的产品。Bluesocket，ReefEdge，和Vernier Networks早在2001年的后期就已经开始提供这些设备了，现在这些公司已经采用的是第二代或者是第三代的技术了。他们所有的产品都可以用来满足用户的需要，不管是对于运行私人网络的企业用户，还是对于运营接入点的无线服务提供商。他们获得的最大的成功是在学术界，因为大学经常需要运行支持非常多的终端用户设备的大型的网络。Bluesocket已经被美国的超过100个大学校园所采用，他们当中的每个大学都建立和十到一百个不等的接入点。

　　二、无线局域网安全和移动网关

供应商

产品

产量

体系结构

价格

Vernier Networks

www.verniernetworks.com

CS-6500,

AM-6500

150兆比特/秒

Hierarchical

$3,695

Bluesocket

www.bluesocket.com

WG-1100,

WGX-4000

100, 200,或 400兆比特/秒

Peer-to-Peer

最低 $5,995

ReefEdge

www.reefedge.com

CS series

EC series

6, 100, 或 200兆比特/秒

Hierarchical

最低 $7,500

表1

　　尽管仍然是刚起步的公司，但是所有的这些无线网关设备供应商提供他们的产品至少已经有一年的时间了。所有的设备都可以进行无线检测，通过直接的方式或者是通过交换设备或路由器连接到其他的供应商的接入点。

　　简单的说，无线局域网的网关就是一个盒子，所有的无线局域网的数据流量都通过它到达有线的网络。网关并不需要在接入点和有线网络之间设置一个设备，但是它必须位于和正在管理的接入点的同一个IP子网下。网关可以处理子网之间的无线通信，不管是Internet上的还是带有路由的私人网络，但是这需要为每个不同的子网设置一个单独的网关。这是因为客户端在从一个子网漫游到另一个子网的时候，他们就被移交同的网关进行管理。这是通过使用无线IP和专利技术实现的。如果网关能够以理想的方式进行工作的话，那么这种移交应该是无缝的，并且对于网络中的其他的用户是不可见的。

　　接入点可以通过集线器和layer-2交换设备连接到接入点，或者是直接插入。上文所提到的三个供应商都支持这些类型的连接，尽管不同的设备都针对不同的架构机型作了优化处理。ReefEdge的所有的网关都设计成可以支持比它们实际提供的物理接口还要多的接入点。它的最快的EC-200型号的设备仅仅提供了两个10/100接口，还提供了Gigabit以太网接口作为可选，但是它却可以以200Mbits/sec的速度处理加密的数据流量。这可以满足大约100个接入点的需求，因此大部分的接入点必须采用非直接的方式进行连接。

　　Vernier坚信它们的许多设备将会被放置在线路盒中，取代交换设备。它的AM-6500最多可以提供16个提供交换功能的以太网接口，每个接口都提供可选的Power-over-Ethernet，可以与Cisco Systems的专利接口和IEEE's 802.3af标准兼容。许多接入点现在可以通过使用这些系统中的任何一个直接从以太网电缆获取电能，其他不支持直接PoE方式的可以采用便宜的分离电缆，将电能和数据分离开。

　　不管采用的是哪种连接方式，所有网关的工作原理基本上都是相同的。网关使接入控制、数据加密和QoS得到了加强，而不管客户端是通过哪个接入点连接到网络的。网关可以提供许多可以在高端的接入点上才可以找到的安全特性，例如通过使用RADIUS服务器和数字签名来进行验证，此外网关还有其自己的特性，如VPN终止等。

　　所有这些都采用无客户端的VPN，这样说或许有些不恰当。所有的VPN实际上都需要客户端软件，但是大部分的用户已经使用了一些兼容的软件，这些软件可以使他们无需再安装新的客户端软件了。举例来说，Windows 2000 和 XP都提供了IPSec客户端，而且大部分的Web浏览器都支持Secure Sockets Layer (SSL)。

　　对于接入点运营商和大学校园来说，这种兼容性使至关重要的，因为这些服务必须能够通过各种不同的硬件和软件配置进行访问。虽然对于那些可以定义专用的平台的公司来说显得不是那么的重要，但是这至少意味着更少的管理工作和花费更少的时间来解决问题。

三、无需授权网络的优点

　　网关能够提供的不仅仅是安全性能，它还可以解决其他的问题，比如用户的移动性和带宽的管理等。这使得机场可以给予行李检测人员比旅客更高的优先级。大学可以让IP电话获得比MP3下载更高的优先级等等。个人用户甚至可以被限制在某一特定的区域或者是时间段，举例来说，在演讲厅中进行考试的学生可以被拒绝使用Internet，但是演讲者仍然可以通过网络发送电子邮件。

　　甚至仅仅是在复制接入点的功能上，网关也可以通过简化管理和为不同的网络提供一系列统一的功能，从而来增加其价值。策略仅需要应用到网关即可，而无需应用到每个接入点，且和接入点的品牌以及所使用的无线技术无关。没有任何一家网关公司建立接入点，所以它们都主张那些占据主要地位的接入点提供商能够提供免费的网络管理。一个廉价的商业接入点可以和昂贵的企业级别的接入点一样工作良好，这意味着即使是无授权的接入点也可以得到恢复，而无需将它们抛弃。

　　当然，购买WLAN网关也要冒一定的风险，那就是占据主要地位的网关类型还不能够确定，因为每个提供商都采用自己的专利技术来处理配置和网关之间的移交问题。一个单独的网关可以用来帮助加强多个接入点的管理，因此如果采用多个网关的话，这其中的好处即可以得到体现了。这需要对专用的系统进行标准化：Bluesocket的位于某个子网的网关盒不能将用户移交给其他子网的Vernier 或 ReefEdge网关盒，反过来也不可以。

　　每个提供商用来处理多个网关所采用的架构都有些不同。Bluesocket是一个单纯的点对点的系统，其管理是作用于所有的设备的。用户可以在开始的时候仅使用一台设备，以后如果有需要可以再添加新的设备。ReefEdge 和 Vernier使用的都是级层式的架构，采用一个单独的主设备，ReefEdge 称其为"控制服务器"，而Vernier称其为"连接服务器"。服务器的作用是充当一个单独的网络管理的节点，将管理策略分发到其他的网关。它同时也充当了一个可能发生问题的节点，因此它们都允许使用额外的服务器来形成冗余。

　　即使是两种级层式的系统，它们之间也有些许的不同：ReefEdge的控制服务器本身也作为网关来使用，这意味着用户也可以只购买一个网关盒，然后再添加常用的网关，它们被称为"边缘控制器"。Vernier的连接服务器是一个专用的设备，位于网络的中心，它本身并不具有网关的功能，因此最初进行部署的时候意味着您需要购买两个设备：一个服务器，还要至少有一个Vernier的网关，它被称为"接入管理器"。但是现在，Vernier已经发布了一款新的整合式的系统，其目标是采用更小的规模，该系统整合了连接服务器盒接入管理器的功能。

　　Vernier 的技术也被其他的两家提供商所采用，它们是SMC Networks 和 HP。它们都采用OEM的控制服务器和接入管理器，然后将它们和接入点一起销售，分别称为EliteConnect 和ProCurve 700 线路。尽管它们外部的标识不同，但是内部结构是一样的，并可以相互兼容。

　　WLAN的网关功能大部分是在layer 3。接入点对较低的层进行处理，将802.11帧转换为802.3 Ethernet，这样，802.11的属性会使用它们到达的时间来进行分离。这种处理方式一般被认为是安全的，因为它需要加密技术采用VPN而不是容易被侵入的原802.11标准中的Wired Equivalent Privacy (WEP)协议。

　　这些想法或许很快就会过时了。在2003年的5月份，Wi-Fi联盟发布了Wi-Fi保护接入（WPA）。这是一套和安全性有关的功能，所有的Wi-Fi 认证产品都需要在2003年的年底之前提供这样的功能（许多产品已经具备了这样的功能）。IEEE也正在对其他的一些加强安全性的方面进行工作，为QoS和电源管理提供帮助，并提供增强的安全性。

四、转换到无线技术

　　为了充分利用802.11的性能，一些提供商采用了不同的方式进行处理：将接入点的智能性分离出来，然后使用集中盒的方式进行集中管理。这样的盒子通常被称为是交换设备，因为它可以提供layer-2的功能。

　　首个这样的系统是Symbol的Mobius，它初次是在2002年的后期出现的。但是令人不解的是，Mobius的交换设备和常用的LAN交换设备之间并没有多少相同之处，即使是在外观上也是不同的。它仅仅拥有两个10/100以太网接口，但是Symbol说它可以支持大约30个Axon接入点，具体可以支持的数字要根据网络的负载情况来定。

　　隐藏在此背后的技术原理是，802.11b能够提供的数据传输的速度是非常慢的，因此为每个接入点分配实际的交换以太网端口是一种浪费。就如同ReefEdge 和 Bluesocket的网关一样，它处理的是原始的802.11，而不是将Wi-Fi转换为以太网，Axon接入点在802.3帧内部对802.11帧进行加密，然后将其发送到Mobius。从有线网络的角度来看，交换设备本身就是一个大的接入点。

　　WLAN交换直接促成了一大批公司的成立，它们当中的大部分都不仅仅是希望可以进行网络的交换，它们希望在微观上控制整个无线世界。各种系统之间从表面上看起来很相似，但是如果我们仔细的做一下分析，我们会发现它们实际上是不同的（请参阅表2）。大部分系统所使用的接入点并不是像Symbol那样稀疏分布，将智能性分布到边缘。大部分系统都使用中心处理的方式进行加密，但是Trapeze和 Chantry仍然使用接入点来对这些进行处理。Airespace采用的是一种混合式的处理方式，它的接入点采用的是RC4加密，该加密方式被WEP 和WPA采用，但是对于AES几何算法采用中心硬件进行处理，这种处理方式被IEEE即将公布的802.11i安全标准所采用。

　　图2：802.11 Layer 2 和 3 交换

Product

Frequency

Switched

Ports

Throughput

(WPA)

WPA

(RC4)

802.11i

(Rijndael)

VPN

Location

Device

Size

Cost

Switch

Cost

Shipping

Airespace 4000

www.airespace.com

Dual

12 of 24

1.5Gbits/sec

Switch

Anywhere

$200

From $10,000

Early 2003

Aruba Wireless 4000

www.aruba-wireless.com

2.5GHz or Dual

24, 48, or 72

1Gbit/sec

Switch

Anywhere

$200 or $400

From $16,995

June 2003

Chantry Networks

BeaconMaster

www.chantrynetworks.com

Dual

N/A (100)

2Gbits/sec

Anywhere

$300

From $25,000

June 2003

Extreme Networks

Summit 300-48

www.extremenetworks.com

Dual

4Gbits/sec

Switch

Wiring closet

$595

$6,495

Fall 2003

Symbol Technologies

Mobius Axon

www.symbol.com

2.4GHz,

5GHz,

Dual

N/A

(30)

100 to 400 Mbits/sec

Switch

Anywhere

From $250

From $2,895

2002

Trapeze Networks

Mobility Exchange

www.trapezenetworks.com

Tunable

4Gbits/sec

Wiring closet

$250

$9,000

June 2003

　　一些公司已经发布了一些交换器（或者是被Chantry称为路由器），它们可以被用来加强IEEE 802.11接入点的MAC层的功能。除了上表中的六家公司以外，无线提供商的老牌企业Proxim 和刚起步的公司 Airflow Networks也正在开发WLAN交换器。

　　Trapeze的Mobility Exchange和以太网交换器非常相似，它被设计可以放置在线路柜中，并且可以提供PoE。Aruba和Airespace正在脚踏两条船：交换器可以间接的方式连接到接入点，但是它们的交换接口和PoE功能与Vernier的网关一样，意味着它们必须位于室内的线路柜中。

　　Chantry的BeaconMaster是与Symbol原来的设备最接近的，至少是在物理结构上。该公司将其描述为路由器，而不是交换器，是因为它可以通过IP网络连接到接入点，包括Internet。每个BeaconMaster都可以处理大约100个接入点，但这只是个粗略的估计数字。由于直接连接的数目受交换器的物理接口的数目的限制，间接连接取决于设备的总吞吐量和每个接入点的实际的使用方式。

　　802.11标准现在提供几个不同的物理层，其中的三个是位于Wi-Fi之下的：802.11b 以及更快的802.11a 和802.11g。所有的交换器均支持所有这三个物理层。Symbol还支持较早的频率跳跃物理层，Airespace计划添加对蓝牙的支持。

　　如何对三种类型的Wi-Fi所需求的不同的波段提供支持，不同的交换器所采取的方法是不一样的：802.11b 和 802.11g 都使用 2.4GHz，802.11a 使用5GHz，人们通常认为双频接入点需要两个无线波。

　　Trapeze正试图通过采用Atheros的无线芯片来解决这个问题，该芯片可以在2.4 和 5GHz之间进行调节。这使得接入点变得非常得灵活，用户只需要轻轻地点击一下鼠标，就可以在802.11标准之间进行切换。Networkers可以安装802.11b，然后升级到802.11a，无需安装任何新的硬件，它们甚至还可以根据用户所安装的Wi-Fi卡的类型来在不同的标准之间进行切换。

　　和通常的双频接入点不同，这些接入点的优点是它们仅仅使用了一个无线波，这意味着它们无法同时支持2.4GHz 和5GHz的客户端。但是，这两种不同的频率具有不同的传播特性，因此为每个不同的频率使用不同的接入点，对于优化覆盖范围来说是非常有必要的。