SAFE無(wú)線技術(shù)能解決WLAN的一般安全問(wèn)題，在此，思科介紹一種通用的WLAN安全設(shè)計(jì)策略。在標(biāo)準(zhǔn)WLAN設(shè)計(jì)中，假定所有WLAN設(shè)備都與唯一的IP子網(wǎng)相連，適用于有線網(wǎng)絡(luò)的多數(shù)服務(wù)也將適用于無(wú)線網(wǎng)絡(luò)。

在介紹標(biāo)準(zhǔn)WLAN設(shè)計(jì)之前，還要介紹主要安全設(shè)備的性能，討論如何實(shí)現(xiàn)WLAN用戶(hù)分離等問(wèn)題。

一、保證安全性能的同時(shí)提高可用性

提供安全服務(wù)的關(guān)鍵設(shè)備主要有、RADIUS、IPSec，它們都需要在保證安全性能的同時(shí)提高可用性。

動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）

路每秒請(qǐng)求——實(shí)施WLAN之后，DHCP服務(wù)器必須能保證以一定的速度處理新DHCP請(qǐng)求。如果DHCP服務(wù)器負(fù)擔(dān)過(guò)重，那么LEAP用戶(hù)無(wú)法在認(rèn)證之后獲得IP連接，IPSec用戶(hù)則無(wú)法用VPN網(wǎng)關(guān)設(shè)置安全通道。

路DHCP安全故障恢復(fù)協(xié)議——DHCP服務(wù)器應(yīng)該遵循RFCDHCP安全故障恢復(fù)協(xié)議草案，并配置成冗余的雙服務(wù)器。

路地址管理——如果使用LEAP，網(wǎng)絡(luò)設(shè)計(jì)時(shí)應(yīng)該考慮實(shí)施WLAN后帶來(lái)的額外IP地址需求；如果使用IPSecVPN保護(hù)無(wú)線接入，則應(yīng)該為VPN通道增加IP地址。

路網(wǎng)絡(luò)設(shè)計(jì)問(wèn)題——為實(shí)現(xiàn)高可用性，需要在兩個(gè)位置之間建立冗余網(wǎng)絡(luò)。最好不要將所有DHCP服務(wù)器都放在一個(gè)子網(wǎng)中，否則對(duì)一個(gè)子網(wǎng)的DoS攻擊可能會(huì)影響所有無(wú)線DHCP服務(wù)。

DADIUS

路每秒請(qǐng)求——實(shí)施WLAN之后，DHCP服務(wù)器必須以一定的速度處理新RADUIS請(qǐng)求。如果RADUIS服務(wù)器負(fù)擔(dān)過(guò)重，無(wú)線接入點(diǎn)和VPN網(wǎng)關(guān)將無(wú)法對(duì)用戶(hù)進(jìn)行認(rèn)證。

路冗余服務(wù)器部署——必須部署多臺(tái)RADIUS服務(wù)器，并將認(rèn)證設(shè)備組合在一起，以便主用和備用RADIUS服務(wù)器的相互替代。這種設(shè)置能實(shí)現(xiàn)兩個(gè)目標(biāo)：當(dāng)服務(wù)器發(fā)生故障時(shí)限制故障區(qū)域；有效擴(kuò)展每臺(tái)RADIUS服務(wù)器的性能。

路用戶(hù)管理——為了保證RADIUS服務(wù)器的性能，如果用戶(hù)數(shù)據(jù)庫(kù)在本地保存，網(wǎng)絡(luò)設(shè)計(jì)時(shí)應(yīng)該考慮配備用于實(shí)現(xiàn)數(shù)據(jù)同步的服務(wù)器這，種設(shè)置有利于提供單管理點(diǎn)。如果用戶(hù)數(shù)據(jù)庫(kù)保存在外部（LDAP、NT域），網(wǎng)絡(luò)設(shè)計(jì)時(shí)應(yīng)該考慮將RADIUS服務(wù)器放置于后端數(shù)據(jù)庫(kù)，因?yàn)閮蓚�(gè)資源之間的網(wǎng)絡(luò)停頓會(huì)拒絕無(wú)線用戶(hù)接入公司網(wǎng)。

IP安全協(xié)議（IPSec）

路每秒連接——在無(wú)線LAN中，VPN網(wǎng)關(guān)必須滿(mǎn)足以一定的速度處理新IPSec連接。

路加密吞吐量——對(duì)VPN網(wǎng)關(guān)而言，對(duì)小包進(jìn)行加密的工作量更大，這樣會(huì)降低VPN網(wǎng)關(guān)的加密吞吐量。網(wǎng)絡(luò)設(shè)計(jì)時(shí)必須了解數(shù)據(jù)包的大小分布，這樣才能為無(wú)線網(wǎng)絡(luò)確定大小適當(dāng)?shù)木W(wǎng)關(guān)。

路并發(fā)IPSec操作數(shù)——VPN網(wǎng)關(guān)必須能處理一定數(shù)量的并發(fā)IPSec操作。

為解決這三個(gè)問(wèn)題，VPN廠商推出了幾種集群技術(shù)。集群技術(shù)能夠?qū)⑿翴PSec連接轉(zhuǎn)到負(fù)擔(dān)最小的VPN網(wǎng)關(guān)上，為新IPSec連接提供最好的服務(wù)。

二、實(shí)現(xiàn)WLAN用戶(hù)分離

在有線網(wǎng)絡(luò)中，通常可以用第3層網(wǎng)段對(duì)用戶(hù)進(jìn)行分類(lèi)，這種劃分在大廈分布模塊中進(jìn)行，盡管這種分離很難，但仍然是可行的；但是，在WLAN中，依靠目前的技術(shù)實(shí)現(xiàn)這一點(diǎn)幾乎是不可能的。只有部署了上層安全機(jī)制，如IPSec，才可以實(shí)現(xiàn)這種水平的區(qū)分。

如果要求用戶(hù)在其主機(jī)上運(yùn)行VPN終端軟件，只用無(wú)線網(wǎng)絡(luò)傳輸，并允許VPN處理所有安全控制，這種設(shè)計(jì)也可以實(shí)現(xiàn)用戶(hù)區(qū)分。