基于虚拟网络的无线网络应用

张忠

摘 要： 在基于虚拟网络技术的基础上进行无线网络组网，可以将一个传统的独立无线物理网络逻辑划分成不同平面的网络，每个网络平面可以根据企业的具体业务需求实现不同的网络功能，具有良好的扩展性和灵活性，支持跨地域组网，同时降低了企业无线网络的建设成本。多平面的网络相对独立，实现了不同业务之间的安全隔离，大大提高了企业无线网络的安全性。

关键词： 虚拟网络 逻辑独立 安全策略 无线认证

中图分类号： TP309；TP311.5文献标识码： A文章编号： 1679-3567（2024）03-0005-03

Applications of Wireless Networks Based on Virtual Networks

ZHANG Zhong

Zhanjiang Branch， CNOOC Information Technology Co.， Ltd.， Zhanjiang， Guangdong Province， 524057 China

Abstract： The networking of wireless networks based on virtual network technology can logically divide a tradi‐tional independent wireless physical network into a network with different planes， and each network plane can achieve different network functions according to the specific business needs of enterprises， which has good scalability and flexibility， supports cross-regional networking， and reduces the construction cost of enterprise wireless net‐works. The multi-plane network is relatively independent， which achieves the secure isolation between different businesses and greatly improves the security of enterprise wireless networks.

Key Words： Virtual network； Logical independence； Security strategy； Wireless certification

1 虚拟网络

虚拟网络技术（VPN）主要是在公共网络上建立起专有网络的一种隧道技术，在原基础网络之上，对数据包进行重新封装和拆解，以实现不同网络层面的物理共享，但业务逻辑功能独立。不同虚拟网络之间通过一定方式进行互联互通，不被规则允许的虚拟网络间无法进行互联互通，从而增强了网络安全，提高了组网的灵活性。

2 基于虚拟网络技术的无线网络

在传统无线网络中，所有业务都在同一个网络平面中，要限制不同业务间的访问，要通过QOS策略，这种方式低效，又不够安全，同时维护不便。根据虚拟网络技术的特点，可以将不同的无线网络业务划分成不同的类型，实现逻辑独立分层，面向不同的用户群体，以实现不同的功能需求。如面向员工的无线互联网平面；面向员工的无线内网网络平面、针对特殊人员的VIP无线互联网平面、面向访客的无线互联网平面[1]。借助虚拟网络技术，不同的无线网络平面都共享同一张物理网络，但在业务逻辑上是不同的网络平面。

3 无线网络组网

3.1 网络结构

采用典型的接入、汇聚、核心三层结构。接入层由无线AP和无线接入交换机组成，负责终端用户的设备接入；汇聚层由无线汇聚交换机、无线认证系统和无线AC控制器组成，负责流量转发、无线AP管理、策略下发、用户认证；核心层由核心交换机、行为管理、防火墙、外网代理交换机组成，负责入侵防御、抗DDoS、行为管理，实现无线终端访问互联网的安全防护及安全管理需求[2]。

3.2 无线业务流量

无线的业务流量主要包括管理流、认证流和业务流。（1）管理流：无线AC控制器与无线AP之间交互的流量，涉及AP、接入交换机、无线汇聚交换机和无线AC控制器。（2）认证流：用户认证、权限控制时产生的流量，涉及设备包括无线终端、无线AP、无线接入交换机、无线汇聚交换机和无线认证系统。（3）业务流：包括内网流量和互联网流量。内网流量涉及设备包括无线终端、无线AP、无线接入交换机、无线汇聚交换机、园区核心交换机；互联网流量涉及用户终端、无线AP、接入交换机、无线汇聚交换机、防火墙、行为管理、互联网外网代理交换机[3]。

4 无线基础规划

4.1 AC/AP部署方式

采用AC+FitAP的集中式进行部署，方便统一管理。AC采用双机VRRP热备方式旁挂在无线汇聚交换机上，为AP和无线接入用户提供高可靠性接入。

4.2 业务转发方式

用户连接至对应的SSID后，有两种转发方式：一种是直接转发，另一种是集中转发，建议采用直接转发方式。直接转发是由AP直接将数据透传至接入交换机，接入交换机再透传到无线汇聚交换机再进行出网访问。不使用集中方式进行业务转发，增加了网络健壮性，避免集中方式下AC成为整个无线网络的瓶颈。

4.3 SSID规划

企业园区无线网络按照业务需求划分不同的SSID（Service Set Identification）。一个无线AP可以对应数个SSID，通过配置多个SSID，允许将一个AP划分为多个虚拟访问点，每一个SSID对应一个虚拟访问点，会对虚拟访问点会接收无线控制器AC的下发策略，虚拟访问点会根据下发的策略进行业务和终端管理。

4.4 IP地址规划

IP地址规划主要是对无线控制器AC、无线AP和无线终端三个类型设备进行分配IP地址。无线控制器AC用于管理无线AP，可以手工设置固定IP地址；无线AP只用于接收无线控制器AC的管理，可以在无线汇聚交换机上设置DHCP服务进行动态分配；无线终端的地址可以由第三方服务器提供DHCP服务进行动态分配。

4.5 VLAN规划

VLAN规划的原则：管理VLAN和业务VLAN用不同的VLAN段；业务VLAN应根据实际需要与SSID进行映射，映射关系包括1对1、1对多、多对1和多对多。

4.6 无线安全策略

无线的安全策略主要包括WEP（Wired Equivalent Privacy）、Wi-Fi安全访问协议WPA（Wi-Fi Protected Ac？ cess）、WPA2、无线局域网鉴别与保密基础结构WAPI（WLAN Authentication and Privacy Infrastructure）四种安全策略机制。每种安全策略体现为一套安全机制，包括无线链路建立时的链路认证方式，无线用户上线时的用户接入认证方式和无线用户传输数据业务时的数据加密方式。通常在考虑网络准入时，应综合考虑安全策略，形成适合不同场景的组合控制方案，无线网络安全策略建议如表1所示。

5 无线设备准入控制

准入控制是指当无线终端设备进行接入时，需要对接入的设备进行认证和授权，只有通过认证和授权后，终端设备才被允许接入网络，并且在接入网络后，制定与用户身份匹配的访问策略。准入控制包括用户管理、认证服务器、认证和策略管控3个方面：（1）用户管理，明确用户身份教研信息存储的位置和用户管理方式；（2）认证服务器，根据用户规模和物理组网，选择认证服务器部署方案；（3）认证和策略管控，根据网络诉求，为不同用户选择不同的策略。

5.1 用户管理

确定用户数据的来源，常用的用户数据来源主要有LDAP服务器、域服务器和Radius服务器。通常企业都已建立了完整用户管理服务器，无线的用户管理可以直接与企业建好的用户管理服务器进行数据同步。

5.2 认证服务器

通常在部署认证服务器时会考虑系统可靠性问题，认证服务器可靠性技术主要包括集群和异地容灾服务，其中集群包括服务器集群和主备数据库集群[4-5]。

5.2.1 服务器集群

认证服务器采用多台服务器集群部署，当其中任意一台服务器出现故障时，其他正常运行的服务器接管原故障服务器的服务，不会影响认证系统的正常运行。

5.2.2 主备数据库集群

数据库集群采用主备模式，可以实时进行数据备份。系统正常运行时，由主用数据库提供正常的服务，当主用数据库异常后，系统检测到该异常后，会主动切换到备用数据库上，将集群内的备用数据库升级为主用数据库，原异常的主数据库自动降为备用数据库。

5.2.3 异地容灾

在不同的物理位置部署两套集群，集群间通过心跳、数据链接技术形成主备集群，同时实现数据的自动同步，大大提高的系统容灾能力。

5.3 无线用户认证策略

采用链路层用户身份验证比通过简单STA身份认证过滤机制的安全性高。为了有效判断用户身份的合法性，可以在不影响网络安全的前提条件下，通过提供有限的网络服务资源用于用户认证，只有用户通过认证后才提供完整的网络服务资源。由于链路层身份认证是透明的，可以和其他网络层协议一起配合使用。MAC认证、802.1x认证和Portal认证是无线的链路层最常用的三种身份认证方式。

5.3.1 MAC认证

MAC认证是指根据终端设备MAC地址的唯一特性进行认证的一种认证方法。当终端设备接入网络时，无线终端设备会发送的认证数据包会携带的MAC地址信息，认证系统接收到后会与系统设置的合法MAC地址表进行匹配认证，只有当发送的MAC地址与认证系统的合法MAC地址表匹配后，无线终端设备才被允许接入网络。MAC认证主要用于IP电话、打印机、扫描仪等哑终端设备的接入。

5.3.2 802.1x认证

802.1x认证是基于端口的认证方法，通过网络物理层特性，对连接到网络端口的无线终端设备进行身份认证，当认证不通过时，会根据授权策略部分禁止或完全禁止无线终端设备访问网络资源。802.1x体系包含请求方、认证方和认证服务器三个主要组件。

5.3.3 Portal认证

Portal认证也就是常说的网页认证。终端设备通过浏览器打开网页时，需要输入用户名和密码信息，提交后，由Portal认证服务器完成相关的认证。在进行认证之前，终端设备会通过DHCP、静态配置等方式获得相关IP地址，用户在进行HTTP请求时会重定向到后台的Portal服务器，在提交用户名、密码后进行认证和授权。

6 结语

相对于传统的无线组网方式，基于虚拟网络的无线网络虽然增加了组网的复杂性，对技术人员的知识水平要求提高，但在移动端业务需求不断增加及网络安全形势越来越严峻的背景下，基于虚拟网络的无线网络是解决企业移动业务多样性和网络安全问题理想的组网方式，不仅最大程度整合了网络资源，为差异化业务之间建立了相对独立的专用通道，将支撑着企业中长期移动业务可持续发展。

参考文献

[1]万强. 无线网络技术在企业中的应用分析[J].现代职业教育，2020（7）：182-183.

[2]徐国臣.企业中无线网络技术的应用[J].电脑知识与技术， 2021，17（28）：37-38，49.

[3]黎永东.F5G全光网在转化医学中心应用的研究[J].数字通信世界，2023（10）：116-118.

[4]贾滨诚，祁鑫，赵树法，等.5G电力虚拟专网在电网监测及调控中的应用分析[J].内蒙古电力技术，2023， 41（5）：35-41.

[5]苏奕豪.基于国产云基座的私有化容器云平台构建研究[J].铁路计算机应用，2023，32 （9）：43-47.