隨著越來(lái)越多的公司推出其無(wú)線網(wǎng)絡(luò)，人們最關(guān)心的問(wèn)題恐怕就是如何將無(wú)線用戶接入適當(dāng)?shù)挠芯€VLAN。有線網(wǎng)絡(luò)中的VLAN用戶身份通常都是由用戶的物理層二層交換機(jī)或三層路由器連接端口來(lái)定義的。但在無(wú)線網(wǎng)絡(luò)中，用戶根本沒(méi)有與任何物理端口連接。

為解決這一問(wèn)題，人們開(kāi)始采用先進(jìn)的無(wú)線驗(yàn)證技術(shù)，并利用基于角色的VLAN關(guān)聯(lián)來(lái)進(jìn)行用戶識(shí)別。這種方法可以利用一系列標(biāo)準(zhǔn)的驗(yàn)證方法，如基于HTTP捕獲端口和802.1x等可選驗(yàn)證機(jī)制來(lái)判斷出正確的VLAN用戶身份。

我們可以假設(shè)一個(gè)情景。一位財(cái)務(wù)部的無(wú)線用戶可能要安全地連接至財(cái)務(wù)VLAN，使用的是一種安全鏈接加密方法，如Wi-Fi受保護(hù)訪問(wèn)。然而，當(dāng)該VLAN中的用戶漫游至其他接入點(diǎn)時(shí)，他們可能會(huì)無(wú)法再訪問(wèn)財(cái)務(wù)VLAN，因而也就無(wú)法獲取需要的網(wǎng)絡(luò)資源。如果要對(duì)網(wǎng)絡(luò)進(jìn)行重新配置，并使用戶在整個(gè)公司里的每個(gè)接入點(diǎn)都能訪問(wèn)VLAN的話，整個(gè)重新配置的過(guò)程將變得非常繁雜，當(dāng)然也不可能成為有競(jìng)爭(zhēng)力的解決方案。

然而，802.1x基于端口的驗(yàn)證方法則可以提供一個(gè)有效的框架，為以太網(wǎng)和無(wú)線網(wǎng)絡(luò)上的用戶提供基站訪問(wèn)授權(quán)。802.1x使用可擴(kuò)展驗(yàn)證協(xié)議(EAP)來(lái)中繼局域網(wǎng)基站(請(qǐng)求者)、以太網(wǎng)交換機(jī)或無(wú)線接入點(diǎn)(驗(yàn)證者)與RADIUS服務(wù)器(驗(yàn)證服務(wù)器)之間的端口訪問(wèn)請(qǐng)求。

用于保護(hù)Wi-Fi網(wǎng)絡(luò)用戶的核心機(jī)制是基于數(shù)據(jù)加密和用戶驗(yàn)證的方法，而非通常使用的基于角色的驗(yàn)證方法。基于角色的802.1x VLAN關(guān)聯(lián)具有很大的吸引力，因?yàn)樗梢蕴峁┖侠淼墓ぷ鹘M流量分割，并且更容易與有線網(wǎng)絡(luò)上配置的安全和流量工程策略集成在一起。

網(wǎng)絡(luò)管理員通常都希望為所有用戶保留原有的擴(kuò)展服務(wù)集ID(ESSID)和加密檔案。這樣，當(dāng)用戶進(jìn)入無(wú)線局域網(wǎng)時(shí)，系統(tǒng)可根據(jù)驗(yàn)證服務(wù)器上已經(jīng)配置好的屬性，將用戶分配至不同VLAN內(nèi)的不同工作組中。如果不使用基于角色的VLAN，這種方法基本上是不可能實(shí)現(xiàn)的，除非對(duì)無(wú)線局域網(wǎng)的許許多多配置逐個(gè)調(diào)整，為每個(gè)用戶組引入新的ESSID。這種做法無(wú)疑需要巨大的資金投入和高昂的運(yùn)營(yíng)費(fèi)用。

無(wú)線局域網(wǎng)交換機(jī)可以支持各種類型的用戶角色，以及不同的訪問(wèn)權(quán)限和VLAN關(guān)聯(lián)。它還可以支持多種類型的服務(wù)器規(guī)則，并從中引申出用戶角色，如RADIUS服務(wù)器發(fā)出的訪問(wèn)接受信息中的RADIUS屬性。例如，某一條服務(wù)器規(guī)則用于提取某個(gè)特定RADIUS屬性中的數(shù)值，并使用該數(shù)值作為角色。在802.1x驗(yàn)證中，客戶機(jī)通過(guò)一個(gè)無(wú)線局域網(wǎng)交換機(jī)驗(yàn)證至RADIUS服務(wù)器。然后，無(wú)線局域網(wǎng)根據(jù)執(zhí)行服務(wù)器規(guī)則后產(chǎn)生的角色，在VLAN與客戶機(jī)之間建立關(guān)聯(lián)。

一旦與接入點(diǎn)之間的關(guān)聯(lián)建立完成，無(wú)線局域網(wǎng)交換機(jī)將客戶機(jī)置于未授權(quán)狀態(tài)下。在這種狀態(tài)下，只有客戶機(jī)生成的802.1x EAP包才能通過(guò)無(wú)線局域網(wǎng)轉(zhuǎn)發(fā)。無(wú)線局域網(wǎng)交換機(jī)發(fā)送一條EAP Request-ID，即用戶身份請(qǐng)求信息給客戶機(jī)?？蛻魴C(jī)則回應(yīng)一條EAP Response-ID信息。此后，無(wú)線局域網(wǎng)交換機(jī)將EAP Response-ID封包為一條RADIUS訪問(wèn)請(qǐng)求信息，并將其轉(zhuǎn)發(fā)給RADIUS服務(wù)器。

如果驗(yàn)證成功，RADIUS服務(wù)器將訪問(wèn)接受信息發(fā)送給無(wú)線局域網(wǎng)交換機(jī)。這條信息可以識(shí)別不同的用戶屬性，如角色和訪問(wèn)權(quán)限。然后，無(wú)線局域網(wǎng)交換機(jī)會(huì)對(duì)這條回應(yīng)信息進(jìn)行解析，并確定客戶機(jī)應(yīng)當(dāng)被分配至哪一個(gè)VLAN。

使用該信息，無(wú)線局域網(wǎng)交換機(jī)便將客戶機(jī)分置于授權(quán)狀態(tài)下，并發(fā)送一條EAP Success信息。此后，交換機(jī)才將來(lái)自客戶機(jī)的所有數(shù)據(jù)流量轉(zhuǎn)發(fā)給合適的VLAN。在收到EAP Success信息后，客戶機(jī)將啟動(dòng)動(dòng)態(tài)主機(jī)配置協(xié)議，并從基于角色的VLAN上獲得一個(gè)IP地址。