【文章內(nèi)容簡介】 東莞市科技館無線 WIFI局域網(wǎng)絡(luò)（ WLAN）建設(shè)項目 13 當(dāng) AP 與終端中間隔一座木板墻時， AP 的傳送距離約剩下 15 米有效距離。 當(dāng) AP 與終端中間隔一座玻璃墻時 , AP 的傳送距離約剩 下 15 米 有效距離。 所以在安裝選點時，一定要注意以避開墻、柱子等 。 根據(jù)國家無線電管理委員會 1997 年《 頻段的管理辦法》中規(guī)定的場強(qiáng)標(biāo)準(zhǔn)，選配不同技術(shù)規(guī)格的全向天線、扇區(qū)天線，既要考慮到每個信號輸出點的電頻強(qiáng)度，又要顧及信號對人體可能存在的危害，達(dá)到“綠色環(huán)?！钡男Ч? 2）室內(nèi)設(shè)計 室內(nèi)覆蓋規(guī)劃原則： AP 的放置要遵循兩個原則 AP 覆蓋區(qū)域無間隙； AP 重疊區(qū)域最小。相鄰 AP 工作在不同頻道，以 1， 6， 11 三個頻道實現(xiàn)全方位的覆蓋 ； 保證各個病房及辦公公共區(qū)域的無線信號覆蓋強(qiáng)度 60dbm。 3） AP位置規(guī)劃及描述 根據(jù)上述室內(nèi)的無線信號覆蓋設(shè)計 ，此次東莞市科學(xué)技術(shù)博物館大樓將布設(shè) 43 個 AP，地下展廳六個， 14 層展廳各 8 個，每個夾層各 1 個，其中 2 樓 10 個 （可根據(jù)實際需要進(jìn)行調(diào)整） 。 樓層 接入 AP 數(shù) PoE 交換機(jī)端口數(shù) 備注 負(fù)一層 6 6 1 樓展廳 8 8 2 樓展廳 10 10 包含報告廳、球幕 3 樓展廳 8 8 4 樓展廳 8 8 夾層 1 1 1 夾層 2 1 1 夾層 3 1 1 合計 43 43 深圳市國信招標(biāo)有限公司 東莞市科技館無線 WIFI局域網(wǎng)絡(luò)（ WLAN）建設(shè)項目 14 無線網(wǎng)絡(luò)邏輯設(shè)計 1）無線網(wǎng)絡(luò)冗余設(shè)計 無線 控制器 使東莞市科學(xué)技術(shù)博物館能為支持關(guān)鍵業(yè)務(wù)應(yīng)用的端到端無線局域網(wǎng)系統(tǒng)，創(chuàng)建和實施策略。 同時 WLC4402 控制器配備了用于自適應(yīng)實時 RF（無線電射頻）管理的內(nèi)嵌軟件。 WLAN 系統(tǒng)使用即將榮獲專利的無線資源管理 (RRM)算法，來實時發(fā)現(xiàn)空中無線資源使用的變化并作出調(diào)整。這些調(diào)整以類似于路由協(xié)議為 IP 網(wǎng)絡(luò)計算最佳拓?fù)涞姆绞?，為無線網(wǎng)絡(luò)創(chuàng)建最優(yōu)拓?fù)洹? 無線局域網(wǎng)控制器 所管理的特定智能 RF 功能包括： 動態(tài)信道分配 — RF情況進(jìn)行調(diào)整，以優(yōu)化網(wǎng)絡(luò)覆蓋范圍和性能。 干擾檢測和避免 — 該系統(tǒng) 可檢測干擾并重新調(diào)整網(wǎng)絡(luò)，以避免性能問題。 負(fù)載均衡 — 此系統(tǒng)對多個接入點提供了自動的用戶負(fù)載均衡，即使負(fù)載量很大，也能獲得最優(yōu)網(wǎng)絡(luò)性能。 覆蓋盲區(qū)檢測和修復(fù) — 無線資源管理 (RMM)軟件可發(fā)現(xiàn)覆蓋盲區(qū)，并嘗試通過調(diào)整接入點的功率輸出來修復(fù)它們。 動態(tài)功率控制 — 該系統(tǒng)可動態(tài)調(diào)整各接入點的功率輸出，來適應(yīng)不斷變化的網(wǎng)絡(luò)情況，以確保達(dá)到預(yù)期的無線性能和可用性。 針對此次無線網(wǎng)絡(luò)， 需 配置無線控制器來提供中心冗余和負(fù)載均衡。 當(dāng)單個控制器發(fā)生故障時，無線接入點可自動找到備用 無線局域網(wǎng) 控制器，來繼續(xù)提供無線服務(wù)。 WLC4402 無線 局域網(wǎng) 控制器能以 N+1 冗余拓?fù)洳渴?，使東莞市科學(xué)技術(shù)博物館在擴(kuò)展其無線網(wǎng)絡(luò)的同時，確信他們不會發(fā)生硬件和軟件問題。 當(dāng)接入點發(fā)生故障時， WLC4402 無線局域網(wǎng)控制器 可自動調(diào)整鄰近接入點的功率，以覆蓋故障接入點原來提供服務(wù)的區(qū)域。 并且 WLC4402 無線控制器支持冗余電源，確保即使發(fā)生了電源故障，也可保持系統(tǒng)運(yùn)行。 深圳市國信招標(biāo)有限公司 東莞市科技館無線 WIFI局域網(wǎng)絡(luò)（ WLAN）建設(shè)項目 15 2） SSID 和 VLAN規(guī)劃 根據(jù)東莞市科學(xué)技術(shù)博物館大樓實際情況和應(yīng)用需求，建議使用二種 SSID(可以根據(jù)具體用戶以后業(yè)務(wù)需求增加 SSID)： 參展用戶 SID－ guestSSID： 采用 Guest Vlan 特性限制訪問，允許廣播； 東莞市科學(xué)技術(shù)博物館內(nèi)網(wǎng) SSID－ techMAC 地址認(rèn)證 +WPA+，不允許廣播； 為了有效的隔離廣播域，提高整個大樓無線網(wǎng)絡(luò)的性能，建議采用 APGroup 技術(shù)，將所有 AP劃分不同的組（ Group），每一組 AP 為一個 VLAN。所有客房公共區(qū)域，支持同一 SSID 的所有 AP，按照 AP 所處樓層、區(qū)域位置劃分為不同的 APGroup，客戶端接入不同 APGroup 時被分割到不同的 VLAN，獲得不同網(wǎng)段的 IP 地址 ； 核心交換機(jī)完成 VLAN 間的路由 。 3）館內(nèi)無線安全設(shè)計 基于館內(nèi)的局域網(wǎng)絡(luò)，首先部署一臺的 WLAN 控制器 ，這里所配置的 能夠支持對 所有 AP 全面系統(tǒng)深入的管理。無線控制控制器均通過 2 個千兆商品連接核心交換機(jī)，提供自動流量負(fù)載均衡和自動冗余。 通過無線控制器將兩個不同 SSID 接入的無線終端分別接入兩個互不相通的 vlan 中，達(dá)到隔離用戶網(wǎng)絡(luò)和點菜系統(tǒng)網(wǎng)絡(luò)的目的。 無線終端通過無線 AP 接入有線網(wǎng)絡(luò)，其它安全策略也與有線網(wǎng)絡(luò)一致。 4）無線網(wǎng)絡(luò)漫游設(shè)計 無線網(wǎng)絡(luò)解決方案支持用戶跨 AP、跨無線控制器無縫快速漫游，支持用戶跨 2 層網(wǎng)絡(luò)和 3 層網(wǎng)絡(luò)無縫快速漫游，保 證用戶在東莞市科學(xué)技術(shù)博物館大樓內(nèi)移動過程中 IP 地址不變、網(wǎng)絡(luò)連接不間斷、應(yīng)用會話不間斷，從而保證用戶網(wǎng)絡(luò)應(yīng)用在移動中的不間斷性。 第二層快速安全漫游：客戶端在子網(wǎng)內(nèi)部的無縫漫游――跨越不同的接入點和 VLAN 第三層快速安全漫游：客戶端在子網(wǎng)之間的無縫漫游――跨越不同的接入點和 VLAN 深圳市國信招標(biāo)有限公司 東莞市科技館無線 WIFI局域網(wǎng)絡(luò)（ WLAN）建設(shè)項目 16 的無線網(wǎng)絡(luò)無縫漫游主要是基于瘦 AP 與無線控制器之間建立了一條虛擬的 LWAPP 隧道，在無線控制器中保存了每個瘦 AP 的 LWAPP 隧道。這些對于客戶端而言是透明的，當(dāng)客戶從一個 AP 漫游至另外一個 AP 信號覆蓋范圍時，客戶端關(guān)聯(lián)也將切 換至新的隧道。漫游時，客戶端的 IP 地址可以保持不變，不管客戶端通過哪條 LWAPP 隧道連接到控制器。 5）無線網(wǎng)絡(luò)接入安全設(shè)計 WLAN 的主要安全問題就是沒有啟用合適的安全特性，缺乏保護(hù)的 WLAN 的信號可能會散播到東莞市科學(xué)技術(shù)博物館網(wǎng)絡(luò)之外，被未經(jīng)授權(quán)的人員――甚至惡意的黑客――發(fā)現(xiàn)和利用。由于 WLAN的移動性，需要采用一種多層次的安全保障方法。 建議為防止網(wǎng)絡(luò)遭受無線威脅而采取以下幾個步驟： （ 1）啟用 WLC 內(nèi)置安全保護(hù)功能 WLC 內(nèi)置了一些關(guān)鍵的安全特性：例如，控制器默認(rèn)不允許 Multicast/broadcast 流量通過，除非管理員設(shè)置 控制器具備 ARP Proxy 功能： ARPs 和 Gratuitous ARPs 不會發(fā)送到 WLAN （ 2）控制器屏蔽 duplicate IP Spoofing 對于客戶端，無線控制器扮演 DHCP relay 角色： WLAN 設(shè)置的 Advance 選項里，把 DHCP addr assignment required 打上勾是要求客戶端必須從指定的 DHCP 獲得地址。 這些安全功能都從根本上防止了類似 IP 地址欺騙、 ARP 攻擊等類似攻擊。 的無線控制器并且具有 ACL 的功 能，可以提供 L4L7 的過濾，提供類似防火墻的功能。 （ 3）保護(hù) WLAN 系統(tǒng) 無線局域網(wǎng)控制器符合最嚴(yán)格的安全標(biāo)準(zhǔn)，包括： WiFi WPA2， WPA 和有線等效加密 (WEP) WEP（無線加密協(xié)議）：是無線網(wǎng)絡(luò)上信息加密的一種標(biāo)準(zhǔn)方法。它一方面用于防止沒有正確的WEP 密鑰的非法用戶接入網(wǎng)絡(luò)，另一方面只允許具有正確的 WEP 密鑰的用戶對數(shù)據(jù)進(jìn)行加密和解密。 深圳市國信招標(biāo)有限公司 東莞市科技館無線 WIFI局域網(wǎng)絡(luò)（ WLAN）建設(shè)項目 17 WPA 是 WEP 的替代方案，它是由 IEEE 安全規(guī)范派生而來，并與其兼容。 WPA 包括 80 認(rèn)證和 TKIP 加 密 (更強(qiáng)和更安全形式的 WEP 加密）。 WPA2 是第二代 WPA 安全方案，也包含 認(rèn)證。根據(jù) 修訂， WPA2 使用高級加密標(biāo)準(zhǔn)（ AES）保護(hù)數(shù)據(jù)保密。 ，是一種通過認(rèn)證保護(hù)網(wǎng)絡(luò)的端口訪問協(xié)議。此類型的驗證方法在無線環(huán)境中因該媒體的性質(zhì)而特別有用。如果無線用戶通過 網(wǎng)絡(luò)訪問驗證，接入點上會打開一個用于通信的虛擬端口。如果驗證不成功，則不會提供虛擬端口，并將阻斷通信。 帶多種可擴(kuò)展驗證協(xié)議 (EAP)類型 — 受保護(hù) EAP (PEAP)，帶傳輸層安 全的 EAP(EAPTLS)，帶隧道化 TLS 的 EAP (EAPTTLS)和LEAP。 同時的無線控制器支持 Guest Vlan 特性，針對 所有的 參展用戶分配 的 Guest Vlan 的 SSID，使用簡單的 Web 認(rèn)證 允許客人 只能訪問 Inter，而不能訪問 東莞市科學(xué)技術(shù)博物館的 的 內(nèi)部網(wǎng)絡(luò) ，這樣就可 以規(guī)避復(fù)雜的無線客戶端的配置。 針對東莞市科學(xué)技術(shù)博物館的需求建議采取 MAC 地址過濾及 、 WPA 加密認(rèn)證策略限制來保證無線系統(tǒng)的安全。 （ 4）嵌入式無線 IDS 無線控制器內(nèi)置了在線的 IDS，用于檢測非法的 客戶端和 AP。當(dāng)檢測到非法的 AP 和客戶端時，可以對非法 AP 或客戶端最多可以通過 4 個 AP 進(jìn)行壓制，使其無法工作。并且無線控制器實現(xiàn)的是有線 /無線一體化的安全策略，可以通過有線的 IPS 和防火墻實現(xiàn)對無線接入數(shù)據(jù)的 47 層的 IPS保護(hù)，并且可以聯(lián)動。 輕型接入點和無線局域網(wǎng)控制器可以同時充當(dāng)數(shù)據(jù)服務(wù)設(shè)備和 IDS 傳感器。這可以通過 LWAPP獨有的分離 MAC 架構(gòu)實現(xiàn)，即有些功能由接入點承擔(dān)，另外一些由控制器承擔(dān)。 LWAPP 分離 MAC 讓輕型接入點可以在不中斷數(shù)據(jù)服務(wù)的情況下掃描信道。接入點和控制器擁有一個強(qiáng)大的攻擊簽名 庫，它可用于檢測無線威脅 ―― 包括惡意接入點，特殊網(wǎng)絡(luò)，或者試圖尋找無線網(wǎng)絡(luò)漏洞的惡意人員。輕型接入點可以在它們在工作時使用的信道上檢測攻擊，以及檢測那些工作信道與它們不同的威脅，例如惡意接入點和特殊網(wǎng)絡(luò)。 因為統(tǒng)一無線網(wǎng)絡(luò)輕型接入點和無線局域網(wǎng)控制器都配有 證書，它們可以檢測到偽裝成網(wǎng)絡(luò)中某個可靠接入點（充當(dāng)一個 honeypot*）的未經(jīng)授權(quán)的接入點。 統(tǒng)一無線網(wǎng)絡(luò)還可以利用其強(qiáng)大的隔離惡意功能，消除因為惡意接入點所導(dǎo)致的威脅。這種功能有助于確?？蛻舳瞬粫c惡意接入點建立關(guān)聯(lián)。 深圳市國信招標(biāo)有限公司 東莞市科技館無線 WIFI局域網(wǎng)絡(luò)（ WLAN）建設(shè)項目 18 （ 5）有線網(wǎng)絡(luò)安全 考慮到東莞市科學(xué)技術(shù)博物館無線網(wǎng)絡(luò)針對所有用戶提供無線上網(wǎng)，需要在核心有線網(wǎng)絡(luò)設(shè)備部署較為嚴(yán)格的安全策略，將無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)進(jìn)行邏輯的安全隔離。 無線網(wǎng)絡(luò)管理系統(tǒng) (WCS) 無線控制系統(tǒng) (WCS)是業(yè)界進(jìn)行無線局域網(wǎng)規(guī)劃、配置和管理的領(lǐng)先平臺。它提供了一個強(qiáng)大的基礎(chǔ)，使 IT 管理員能從中央地點設(shè)計、控制和監(jiān)控企業(yè)無線網(wǎng)絡(luò)，簡化運(yùn)營并降低總擁有成本。WCS 是統(tǒng)一無線網(wǎng)絡(luò)的一個組件。針對此次 無線局域網(wǎng)建設(shè) ，將使用 W