802.1X 标准定义了基于端口的网络访问控制,用来为以太网提供经过验证的网络访问。这种基于端口的网络访问控制使用可交换 LAN 基础设施的物理特性来验证连接到 LAN 端口的设备。如果验证过程失败,会拒绝对端口的访问。虽然这个标准最初是为有线以太网设计的,但它同样适用于 802.11 无线 LAN。
为了给 IEEE 802.1X 提供标准的身份验证机制,选择了可扩展身份验证协议 (EAP)。EAP 是一种基于点对点协议 (PPP) 的身份验证机制,适用于点对点的 LAN 网段。EAP 消息一般作为 PPP 帧的有效负荷发送。为了使 EAP 消息能通过以太网或无线 LAN 网段传送,IEEE 802.1X 标准定义了 EAP over LAN (EAPOL) —— 一种封装 EAP 消息的标准方法。
Windows 2000 Server 和 Windows Server 2003 家族提供的 Internet 身份验证服务 (IAS) 是 Microsoft 对 RADIUS 服务器和 RADIUS 代理 (适用于 Windows Server 2003 家族) 的一种实现。IAS 为多种类型的网络访问进行集中的连接身份验证、授权和计数,包括无线、相互身份验证、拨号和虚拟专用网 (VPN) 远程访问以及路由器到路由器的连接。IAS 支持 RFC 2865 和 RFC 2866,还支持额外的 RADIUS 扩展 RFC 以及 Internet 草案。IAS 中允许使用不同种类的无线、交换、远程访问或 VPN 设备,可以和 Windows 2000 Server 或 Windows Server 2003 路由及远程访问服务一起使用。
IAS 服务器作为基于 Active Directory 的域的成员时,IAS 使用 Active Directory 作为其用户计数数据库并将其作为单一登录解决方案的一部分。网络访问控制 (对网络的身份验证和授权访问) 使用同一套证书登录到基于 Active Directory 的主域访问资源。
Active Directory
Active Directory 是为分布式计算环境设计的一种目录服务。当作为网络安全管理中心时,Active Directory 允许企业集中管理以及共享网络资源和用户信息。除了提供 Windows 环境下的综合目录服务外,Active Directory 还被设计作为一种合并机制,用于隔离、迁移、集中管理和减少目录的数量。
证书是一种使用公共密钥加密技术的数字签名声明,公共密钥加密技术绑定了对持有私有密钥的个人、设备或服务进行识别的公共密钥值。证书由证书颁发机构 (CA) 发布。公共密钥加密技术使用“公共密钥和私有密钥对”对消息进行加密或数字签名。有关公共密钥加密技术以及 Windows 2000 公共密钥基础设施的更多信息,请参见 Windows 2000 安全性服务网站.
设计和部署注意事项
Microsoft 的无线连接部署用于访问企业内部网 (以下均称为 Corpnet)。一旦进入 Microsoft Corpnet,便不再有限制员工或其他授权用户访问网络和公司资源的防火墙。
性能
因为 WLAN 的设计初衷只是作为 Microsoft 有线以太网 LAN 基础设施的补充,并未设计为其替代产品,因此平均每个无线 AP 上可供 2 至 4 个用户分享 11 Mbps 的速率。实际的吞吐量在 4 到 6.5 Mbps 之间。这种设计规则的结果是:在一个满载的 AP (25 个用户) 上,用户的体验和使用家用 DSL 或 电缆调制解调器 连接相类似。
Microsoft WLAN 的设计基础是直径 20 米的覆盖区域。这是为了确保可以对单个无线访问点的潜在失败进行冗余覆盖,并提供建筑内的无缝漫游。“Microsoft 信息技术组”(ITG) 负责检验无线 AP 的安装,以保证其和内部开发的任务检查清单保持一致。他们还检查每个无线 AP 的覆盖范围和网络连接情况。在工程方面,Microsoft 致力于研究降低覆盖面积、通过配置通道重叠覆盖区域,以及缓和蓝牙 (BT) 冲突。
漫游和移动性
在 Microsoft 的 WLAN 部署中,每个建筑物中所有的无线 AP 都在相同的 IP 子网上。因此,建筑内部的无线漫游天衣无缝。当无线客户端连接到不同的无线 AP 上,DHCP 更新过程只更新现有 TCP/IP 配置的使用期限。建筑内部漫游和 DHCP 更新协议过程更改了 TCP/IP 配置,这可能会导致那些不能正确处理 TCP/IP 配置更改的应用程序发生问题。
更多无线覆盖方案,无线ap,无线相关的知识请搜索:润满无线 http://www.runman.com.cn/