通过

无线访问部署规划

在部署无线访问之前,必须规划以下各项:

  • 在网络上安装无线接入点 (AP)

  • 无线客户端配置和访问

下面的部分提供这些规划步骤的详细信息。

规划无线 AP 安装

设计无线网络访问解决方案时,必须执行以下操作:

  1. 确定无线 AP 必须支持的标准
  2. 确定要提供无线服务的覆盖范围
  3. 确定要定位无线 AP 的位置

此外,必须为无线 AP 和无线客户端规划 IP 地址方案。 有关相关信息,请参阅下面的“在 NPS 中规划无线 AP 的配置”部分

验证无线 AP 对标准的支持

为了保持一致性且易于部署和 AP 管理,建议部署同一品牌和型号的无线 AP。

所部署的无线 AP 必须支持以下各项:

  • IEEE 802.1X

  • RADIUS 身份验证

  • 无线身份验证和密码。 按最优先到最不优先的顺序列出:

    1. WPA2-Enterprise 与 AES

    2. WPA2-Enterprise 与 TKIP

    3. WPA-Enterprise 与 AES

    4. WPA-Enterprise 与 TKIP

注意

若要部署 WPA2,必须使用也支持 WPA2 的无线网络适配器和无线 AP。 否则,请使用 WPA-Enterprise。

此外,若要为网络提供增强的安全性,无线 AP 必须支持以下安全选项:

  • DHCP 筛选。 无线 AP 必须筛选 IP 端口,以防止在无线客户端配置为 DHCP 服务器的情况下传输 DHCP 广播消息。 无线 AP 必须阻止客户端将 IP 数据包从 UDP 端口 68 发送到网络。

  • DNS 筛选。 无线 AP 必须筛选 IP 端口,以防止客户端执行 DNS 服务器功能。 无线 AP 必须阻止客户端将 IP 数据包从 TCP 或 UDP 端口 53 发送到网络。

  • 客户端隔离 如果无线接入点提供客户端隔离功能,则应启用该功能以防止可能的地址解析协议 (ARP) 欺骗攻击。

确定针对无线用户的覆盖范围

使用每栋建筑物每一楼层的建筑制图来确定要提供无线覆盖的区域。 例如,确定适合的办公室、会议室、大厅、自助餐厅或庭院。

在建筑制图上,指出会干扰无线信号的任何设备,例如在 2.4-2.5 GHz 工业、科学和医学 (ISM) 频段范围内运行的医疗设备、无线摄像机、无绳电话,以及支持蓝牙的设备。

在建筑制图上,标记建筑物中可能会干扰无线信号的方面;建筑施工中使用的金属物体可能会影响无线信号。 例如,以下常见的物体可能会干扰信号传播:电梯、暖气和空调管道以及混凝土支撑梁。

有关可能导致无线 AP 射频衰减的源的信息,请咨询你的 AP 制造商。 大多数 AP 提供了测试软件,可用于检查信号强度、错误率和数据吞吐量。

确定无线 AP 的安装位置

在建筑制图上,将无线 AP 定位到紧密靠近的位置以提供充足的无线覆盖范围,但彼此距离要足够远,使它们不会相互干扰。

AP 之间相隔的必要距离取决于 AP 和 AP 天线的类型、阻止无线信号的建筑物的各个方面以及其他干扰源。 可以标记无线 AP 的放置,使每个无线 AP 距离任何相邻的无线 AP 不超过 300 英尺。 有关 AP 规范和放置指南,请参阅无线 AP 制造商的文档。

在建筑制图中指定的位置临时安装无线 AP。 然后,使用配备 802.11 无线适配器的笔记本电脑和通常附带无线适配器的现场勘测软件,确定每个覆盖区域内的信号强度。

在信号强度较低的覆盖区域中,定位 AP 以提高覆盖区域的信号强度,安装附加的无线 AP 以提供必要的覆盖范围,重新定位或移除信号干扰源。

更新建筑制图以指出所有无线 AP 的最终位置。 在以后的故障排除操作期间或想要升级或替换 AP 时,拥有准确的 AP 放置图将有所帮助。

规划无线 AP 和 NPS RADIUS 客户端配置

可以使用 NPS 单独或成组配置无线 AP。

如果要部署包含许多 AP 的大型无线网络,最好成组地配置 AP。 若要在 NPS 中将 AP 添加为 RADIUS 客户端组,必须使用这些属性配置 AP。

  • 使用来自同一 IP 地址范围的 IP 地址配置无线 AP。

  • 使用相同的共享机密配置无线 AP。

规划 PEAP 快速重新连接的使用

在 802.1X 基础结构中,将无线接入点配置为到 RADIUS 服务器的 RADIUS 客户端。 部署 PEAP 快速重新连接时,无需使用每个新关联对在两个或更多接入点之间漫游的无线客户端进行身份验证。

PEAP 快速重新连接减少了客户端和身份验证器之间身份验证的响应时间,因为身份验证请求是从新的接入点转发到最初对客户端连接请求执行身份验证和授权的 NPS。

由于 PEAP 客户端和 NPS 以前都使用缓存的传输层安全性 (TLS) 连接属性(名为 TLS 句柄的集合),因此 NPS 可以快速确定客户端已授权进行重新连接。

重要

若要使快速重新连接正常工作,必须将 AP 配置为同一 NPS 的 RADIUS 客户端。

如果原始 NPS 不可用或者客户端移动到配置为其他 RADIUS 服务器的 RADIUS 客户端的接入点,则必须在客户端和新身份验证器之间进行完全身份验证。

无线 AP 配置

以下列表汇总了通常在支持 802.1X 的无线 AP 上配置的项:

注意

项名称根据品牌和型号而异,可能与以下列表中的名称不同。 有关特定于配置的详细信息,请参阅你的无线 AP 文档。

  • 服务设置标识符 (SSID)。 这是无线网络的名称(例如 ExampleWlan)以及播发给无线客户端的名称。 为减少混淆,选择播发的 SSID 不应与无线网络接收范围内的任何无线网络广播的 SSID 匹配。

    如果多个无线 AP 部署为同一无线网络的一部分,请使用同一 SSID 配置每个无线 AP。 如果多个无线 AP 部署为同一无线网络的一部分,请使用同一 SSID 配置每个无线 AP。

    如果需要部署不同的无线网络来满足特定业务需求,则一个网络上的无线 AP 应广播的 SSID 要不同于其他网络的 SSID。 例如,如果需要为员工和来宾提供单独的无线网络,则可以使用设置为广播 ExampleWLAN 的 SSID 为业务网络配置无线 AP。 然后,对于来宾网络,可以将每个无线 AP 的 SSID 设置为广播 GuestWLAN。 这样一来,员工和来宾就可以连接到预期的网络,而不会造成不必要的混淆。

    提示

    某些无线 AP 能够广播多个 SSID 以适应多网络部署。 可以广播多个 SSID 的无线 AP 可以降低部署和操作维护成本。

  • 无线身份验证和加密

    无线身份验证是无线客户端与无线接入点关联时使用的安全身份验证。

    无线加密是与无线身份验证结合使用的安全加密密码,用于保护无线 AP 与无线客户端之间发送的通信。

  • 无线 AP IP 地址(静态)。 在每个无线 AP 上,配置唯一的静态 IP 地址。 如果子网由 DHCP 服务器提供服务,请确保所有 AP IP 地址都属于 DHCP 排除范围内,以便 DHCP 服务器不会尝试向其他计算机或设备颁发相同的 IP 地址。 核心网络指南的“创建和激活新的 DHCP 范围”过程中介绍了排除范围。 如果计划在 NPS 中按组将 AP 配置为 RADIUS 客户端,则组中的每个 AP 必须具有来自同一 IP 地址范围的 IP 地址。

  • DNS 名称。 可以使用 DNS 名称对某些无线 AP 进行配置。 使用唯一名称配置每个无线 AP。 例如,如果在多层建筑物中部署了无线 AP,则可以命名部署在三楼的前三个无线 AP AP3-01、AP3-02 和 AP3-03。

  • 无线 AP 子网掩码。 配置掩码以指定 IP 地址的哪一部分是网络 ID,IP 地址的哪一部分是主机。

  • AP DHCP 服务。 如果无线 AP 具有内置的 DHCP 服务,请禁用该服务。

  • RADIUS 共享机密。 为每个无线 AP 使用唯一的 RADIUS 共享机密,除非你打算成组地配置 NPS RADIUS 客户端 - 在这种情况下,必须使用同一共享机密配置组中的所有 AP。 共享机密应是长度至少为 22 个字符的随机序列,包含大写和小写字母、数字和标点符号。 若要确保随机性,可以使用随机字符生成程序来创建共享机密。 建议记下每个无线 AP 的共享机密并将其存储在安全位置(例如办公室保险箱)。 在 NPS 控制台中配置 RADIUS 客户端时,将创建每个 AP 的虚拟版本。 在 NPS 中的每个虚拟 AP 上配置的共享机密必须与实际物理 AP 上的共享机密匹配。

  • RADIUS 服务器 IP 地址。 键入要用于对此接入点的连接请求进行身份验证和授权的 NPS 的 IP 地址。

  • UDP 端口。 默认情况下,NPS 将 UDP 端口 1812 和 1645 用于 RADIUS 身份验证消息,将 UDP 端口 1813 和 1646 用于 RADIUS 记帐消息。 建议不要更改默认 RADIUS UDP 端口设置。

  • VSA。 某些无线 AP 需要供应商特定的属性 (VSA) 才能提供完整的无线 AP 功能。

  • DHCP 筛选。 配置无线 AP 以阻止无线客户端从 UDP 端口 68 向网络发送 IP 数据包。 请参阅你的无线 AP 的文档来配置 DHCP 筛选。

  • DNS 筛选。 配置无线 AP 以阻止无线客户端从 TCP 或 UDP 端口 53 向网络发送 IP 数据包。 请参阅你的无线 AP 的文档来配置 DNS 筛选。

规划无线客户端配置和访问

规划部署经过 802.1X 身份验证的无线访问时,必须考虑几个特定于客户端的因素:

  • 规划对多个标准的支持

    确定你的无线计算机是否都使用同一版本的 Windows,或者它们是否是运行不同操作系统的计算机的混合搭配。 如果是不同的操作系统,请确保你了解这些操作系统支持的标准的任何差异。

    确定所有无线客户端计算机上的所有无线网络适配器是否都支持相同的无线标准,或者是否需要支持不同的标准。 例如,确定某些网络适配器硬件驱动程序是否支持 WPA2-Enterprise 和 AES,而其他硬件驱动程序仅支持 WPA-Enterprise 和 TKIP。

  • 规划客户端身份验证模式。 身份验证模式定义 Windows 客户端处理域凭据的方式。 可以在无线网络策略中从以下三种网络身份验证模式中进行选择。

    1. 用户重新进行身份验证 此模式指定始终使用基于计算机当前状态的安全凭据执行身份验证。 在没有用户登录到计算机时,将通过使用计算机凭据执行身份验证。 在用户登录到计算机时,将始终通过使用用户凭据执行身份验证。

    2. 仅计算机 仅计算机模式指定始终通过仅使用计算机凭据执行身份验证。

    3. 用户身份验证。 用户身份验证模式指定仅在用户登录到计算机时才执行身份验证。 如果没有用户登录到计算机,则不会执行身份验证尝试。

  • 规划无线限制。 确定是否要为所有无线用户提供对你的无线网络的相同级别的访问权限,或者是否要限制某些无线用户的访问。 可以在 NPS 中对特定无线用户组应用限制。 例如,可以定义允许某些组访问无线网络的特定天数和小时数。

  • 规划用于添加新无线计算机的方法。 对于在部署你的无线网络之前已加入你的域的支持无线的计算机,如果计算机连接到不受 802.1X 保护的有线网络段,在域控制器上配置无线网络 (IEEE 802.11) 策略并在无线客户端上刷新组策略后,将自动应用无线配置设置。

    但是,对于尚未加入域的计算机,必须规划一种方法来应用经过 802.1X 身份验证的访问所需的设置。 例如,确定是否要使用以下方法之一将计算机加入域。

    1. 将计算机连接到不受 802.1X 保护的有线网络段,然后将计算机加入域。

    2. 为无线用户提供添加他们自己的无线启动配置文件所需的步骤和设置,使他们能够将计算机加入域。

    3. 分配 IT 人员以将无线客户端加入域。

规划对多个标准的支持

组策略中的无线网络 (IEEE 802.11) 策略扩展提供了广泛的配置选项来支持各种部署选项。

可以部署使用要支持的标准配置的无线 AP,然后在无线网络 (IEEE 802.11) 策略中配置多个无线配置文件,每个配置文件指定所需的一组标准。

例如,如果网络中有支持 WPA2-Enterprise 和 AES 的无线计算机、支持 WPA-Enterprise 和 AES 的其他计算机,以及其他仅支持 WPA-Enterprise 和 TKIP 的计算机,则必须确定是否要:

  • 使用所有计算机都支持的最弱加密方法(在本例中为 WPA-Enterprise 和 TKIP)配置单个配置文件以支持所有无线计算机。
  • 配置两个配置文件,以提供每台无线计算机支持的尽可能最佳的安全性。 在这种情况下,你将配置一个指定最强加密(WPA2-Enterprise 和 AES)的配置文件,以及一个使用较弱 WPA-Enterprise 和 TKIP 加密的配置文件。 在此示例中,必须在优先顺序中将使用 WPA2-Enterprise 和 AES 的配置文件置于最高位置。 无法使用 WPA2-Enterprise 和 AES 的计算机将自动跳到按优先顺序排序的下一个配置文件,并处理指定 WPA-Enterprise 和 TKIP 的配置文件。

重要

必须将使用最安全标准的配置文件放置在配置文件排序列表中较高的位置,因为连接计算机会使用它们能够使用的第一个配置文件。

规划对无线网络的受限访问

在许多情况下,你可能希望为无线用户提供对无线网络的不同级别的访问。 例如,你可能希望让某些用户不受限制地进行访问,即在一周中的每一天、在一天中的任何时间都能够进行访问。 对于其他用户,你可能只想让他们在周一到周五的核心时段能够进行访问,在周六和周日时拒绝访问。

本指南介绍如何创建一个访问环境,以便将所有无线用户放置在对无线资源具有通用访问权限的组中。 在 Active Directory 用户和计算机管理单元中创建一个无线用户安全组,然后将要向其授予无线访问权限的每个用户设为该组的成员。

配置 NPS 网络策略时,将无线用户安全组指定为 NPS 在确定授权时处理的对象。

但是,如果部署需要支持不同级别的访问,只需执行以下操作即可:

  1. 创建多个无线用户安全组,以在 Active Directory 用户和计算机中创建附加的无线安全组。 例如,可以创建一个包含具有完全访问权限的用户的组、一个用于仅在常规工作时间内具有访问权限的用户的组,以及符合你的要求满足其他条件的其他组。

  2. 将用户添加到你创建的相应安全组。

  3. 为每个附加的无线安全组配置附加的 NPS 网络策略,并配置策略以应用每个组所需的条件和约束。

规划用于添加新无线计算机的方法

将新的无线计算机加入域,然后登录到域的首选方法是使用与有权访问域控制器的 LAN 段的有线连接,这不受 802.1X 身份验证以太网交换机的保护。

但是,在某些情况下,使用有线连接将计算机加入域可能并不实际,或者对于用户使用有线连接来通过使用已加入域的计算机进行首次登录尝试可能并不实际。

若要使用无线连接将计算机加入域,或者让用户使用已加入域的计算机和无线连接首次登录到域,无线客户端必须首先使用以下方法之一在有权访问网络域控制器的网段上建立与无线网络的连接。

  1. 某位 IT 工作人员将无线计算机加入域,然后配置单一登录启动无线配置文件。 IT 管理员使用此方法将无线计算机连接到有线以太网,并将它加入域。 然后,管理员将该计算机分配给用户。 当用户启动该计算机时,将使用他们为用户登录过程手动指定的域凭据来与无线网络建立连接并登录到域。

  2. 用户使用启动无线配置文件来手动配置无线计算机,然后加入域。 通过使用此方法,用户根据 IT 管理员的说明使用启动无线配置文件来手动配置他们的无线计算机。 启动无线配置文件使用户能够建立无线连接,然后将计算机加入域。 将计算机加入域并重启计算机后,用户可以使用无线连接及他们的域帐户凭据登录到域。

若要部署无线访问,请参阅无线访问部署