【文章內容簡介】 換機與 CAMS 系統(tǒng)完成用戶認證； 此方式具有的優(yōu)點：用戶認證完成實體主要體現(xiàn)于 CAMS 系統(tǒng)，呈現(xiàn)一個集中模式，便于維護與統(tǒng)一控制，也便于與其它系統(tǒng)的用戶信息進行統(tǒng)一管理； 在認證方式上，目前 CAMS 系統(tǒng)支持多種認證 方式。 主要 包括： 認證、 Web 認證。 認證方案介紹 協(xié)議是 IEEE在 通過的正式標準，標準的起草者包括 Microsoft， Cisco，Extreme， Nortel 等； 定義了基于端口的網絡接入控制協(xié)議（ port based work access control），該協(xié)議適用于接入設備與接入端口間點到點的連接方式，其中端口既可以是物理端口，也可以是邏輯端口。華為 3 公司的網絡設備對 做了擴充，使其可以基于 MAC 地址進 行網絡接入控制。 用戶使用 認證的過程如圖所示： 9 認證流程示意 圖 接入 AP 的 無線終端 采用 模式，首先 接入 AP 的客戶端 通過 認證輸 入用戶名、密碼后客戶端發(fā)起 EAP報文至 AP，在 AP上終結 EAP報文，然后從 AP經交換機 發(fā)起 Raduis報文至 CAMS 服務器，由 CAMS 服務器來驗證用戶名、密碼是否匹配，在認證通過以后由 CAMS服務器下發(fā) Raduis 報文至交換機 和 AP通知該用戶認證通過， AP 再將相對應的 信道 打開，允許學習 MAC 地址，允許用戶上網。 華為 3Com 公司對 認證方式進行了優(yōu)化，使其可以支持基于 MAC 的用戶控制，即一般情況下如果多個用戶連接到一個 HUB，其中一個用戶認證通過后，其他用戶也能夠使用網絡，但華為 3Com 公司對 認證方案優(yōu)化后，只有認證通過的用戶（ MAC）才能使用網絡，其他用戶還是不能使用網絡。 CAMS 系統(tǒng)與華為 3Com 公司設備（含華為設備）配合實現(xiàn) 認證有兩種方式，一是在接入層啟用 認證，另一是在匯聚層啟用 認證，組網如下圖所示：（圖中紅色線是設備發(fā)起認證的數據流，黃色線是 CAMS 回應數據流，以下各圖同 ）。 10 CAMS 與華為 3Com 公司設備與組網在接入層啟用 認證 接入層啟用 認證進行組網時，在接入層設備終結 報文，并轉換成 Radius協(xié)議報文到 CAMS 進行認證。這種方式能很好地利用 CAMS 的功能對用戶進行控制，如用戶通知消息下發(fā)、端口綁定（控制到用戶接入端口）、用戶 IP 綁定、用戶 MAC 綁定以及防止用戶使用代理等。 匯聚層啟用 認證進行組網時，在匯聚層設備終結 報文，并轉換成 Radius協(xié)議報文到 CAMS 進行認證，這種方式配置管理相對接入層簡單，但對用戶 的控制力度不如接入層強，如對端口綁定功能就控制不到接入端口。 11 CAMS 與華為 3Com 公司設備與組網在匯聚層啟用 認證 WEB 認證方案介紹 WEB 用戶上網時，設備強制用戶到門戶網站，并提供門戶網站主頁，用戶可以免費訪問其中的服務。當要使用互聯(lián)網中的其他信息時，則必須在門戶網站進行認證，只有認證通過后才可以使用這些服務。 WEB 認證用戶不需要安裝額外的客戶端軟件。 使用 WEB 認證時，強制 Portal 可以在匯聚層進行，也可以在核心層設備上進行。使用WEB 認證時不需要安裝客戶端軟件， 使得管理和維護更簡單，并同時能利用 CAMS 的功能較 12 好地對用戶進行控制，如用戶端口綁定、用戶 IP 綁定、用戶 MAC 綁定等，但無法做到用戶通知消息下發(fā)和防止用戶使用代理。 WEB 認證與 認證對比 功能 WEB 認證 認證 客戶端軟件 不需要 需要 客戶端 版本限制 不支持 支持 自動探測并屏蔽代理服務器 不支持 支持 限制多網卡、撥號上網 不支持 支持 顯示 當前網絡狀態(tài)及認證狀態(tài) 支持 支持 異常下線探測功能 支持 支持 消息下發(fā) 不支持 支持 對 AAA 服務器的特 別要求 無 無 分布式認證 支持 支持 網絡性能影響 低 低 Radius 服務器的性能影響 無 無 標準化程度 低 高 IP 地址浪費 無 無 由于本網屬于公眾型網絡， WLAN 無線網絡的覆蓋空間是開放的，導致接觸網絡的用戶身份都是不確定的，同時目前影響網絡安全的因素對于網絡使用者的要求越來越低了， 從網絡控制安全性考慮， 在無線網絡建設中我們建議采用 。 有線無線混合組網下的認證方案 區(qū)分有線無線用戶 對有線用戶和無線用戶進行分別 認證 ，有線用戶在以 太網交換機上實現(xiàn)認證，無線用戶在 WLAN AP 設備上實現(xiàn)認證。通過在 CAMS 上設定對應的綁定區(qū)域，對于只能使用有線上網的用戶綁定所有以太網交換機 IP 地址，無線上網用戶綁定所有 AP 的 IP 地址，無線和有線均可使用的用戶綁定所有交換機、 AP 地址。 設備要求：實現(xiàn)認證的以太網交換機和 AP 設備必須支持標準 Radius協(xié)議， 能夠 和 CAMS配合實現(xiàn)認證計費功能。如果要實現(xiàn)華為擴展的 Radius 功能，如防代理、消息下發(fā)等功能。則必須使用對應的華為設備。 13 不區(qū)分有線用戶和無線用戶 不區(qū)分有線用戶和無線用戶， 所有 用戶均在交換機上實現(xiàn)接入認證功能， WLAN 設備只透傳報文，不進行認證。 環(huán)境要求：實現(xiàn)認證的以太網交換機必須支持標準 Radius 協(xié)議， 能夠 和 CAMS 配合實現(xiàn)認證計費功能。如果要實現(xiàn)華為擴展的 Radius 功能，如防代理、消息下發(fā)等功能。則必須使用對應的華為設備。 用戶管理 CAMS 系統(tǒng)功能強大，操作簡單，在用戶認證管理上，具有以下特點： ? 用戶綁定功能 CAMS 支持綁定用戶名和設備 IP 地址、入端口號、 VLAN ID、用戶 MAC 地址、用戶 IP 地址等信息，保證用戶綁定合法性。并支持用戶 MAC 地址和用戶 IP 地址自學習功能，大大減少管理員的錄入量。 ? 認證區(qū)域綁定功能 通過認證報文上傳的認證接入設備 IP 地址， CAMS 系統(tǒng)可實現(xiàn)認證區(qū)域綁定功能。用戶上網的區(qū)域可被限制在一定范圍內，增強了網絡的安全性。 ? 防代理功能 針對學校用戶， CAMS 提供防代理功能，禁止用戶使用代理上網，并支持限制用戶使用的客戶端，要求用戶必須使用專用安全客戶端，并強制自動升級，確保認證客戶端的安全性。目前 CAMS 系統(tǒng)的防代理功能必須要與華為 3 交換機配合實現(xiàn)。華為 AP 暫不支持防代理功能。 ? 用戶黑名單管理 CAMS 認證系統(tǒng)支持黑名單管理，支 持手工加入黑名單、自動將欠費用戶加入黑名單、自動將惡意登錄用戶加入黑名單、自動將充值失敗超過閾值用戶加入黑名單并提供黑名單增強功能：在被試探帳號加入黑名單的同時記錄惡意試探機器的 MAC 地址，限制從該 MAC 地址的機器試探該帳號，但被試探帳號可以在其它 MAC 地址的機器上正常使用，保證登錄用戶的合法性。 ? 用戶上網全程監(jiān)控 CAMS 認證計費系統(tǒng)能對學生上網的全過程進行管理，實現(xiàn)學生上網的實時監(jiān)測。對于 14 網絡上進行非法操作的學生，具備將用戶踢下線的功能，控制學生對網絡的使用。 網管方案 鑒于華為 3Com 公 司已經具有大量的設備應用于 醫(yī)療衛(wèi)生 網，在網管方面建議采用我司的 Quidview 產品， Quidview 在設備網管的定位上又增加了綜合網管的功能及周邊的增值功能，如網上產品版本管理及批理升級的功能； 目前 Quidview 產品可與友商的網管共同集成于第三方網管平臺，目前可管理華為 3Com的所有產品，對于其他廠商的產品管理方面取決于設備是否采用標準協(xié)議進行實現(xiàn)的； 對于 WLAN 設備來說，與其它華為 3Com 產品的網管工作于一個平臺，可以通過購買部件進行升級就可以支持，而部分其他廠商采用獨立的一套網管平臺進行管理 WLAN 設備。 網絡中全部為華為設備 對于全部為華為公司設備的網絡，建議采用 Quidview 網管系統(tǒng)。 Quidview 網絡管理 系統(tǒng) 為用戶提供了靈活的組件化結構，包括網絡管理框架（ NMF）、網絡配置中心（ NCC）、設備管理 (DM)等組件，用戶可以根據自己的管理需要和網絡情況靈活選擇自己需要的組件。 15 Quidview 支持設備自動發(fā)現(xiàn)、拓撲管理、告警管理、性能管理、網管用戶管理等基礎功能；提供全網的拓撲顯示、故障處理、服務器管理等功能?？梢暂p松實現(xiàn)路由器、以太網交換機等設備管理、維護功能。為企業(yè)網用戶提供了全面的網 絡管理功能。 無線網絡方案 WLAN 技術 1996 年就已經提出，經歷一條曲直的道路，已經逐漸被市場認可了， 對于無線網絡， 部基本上采用室內覆蓋模式， 考慮到 的建筑結構較為特殊， WLAN 技術很難穿透建筑物，同時又由于 WLAN 屬于高頻窄波，繞建筑物的能力較弱。 組網方案 建筑的府視圖如下圖所示： 16 平面建筑結構示意圖 的 無線覆蓋 空間主要包括： C 區(qū)的 18 個病房、機房、護士站、醫(yī)生辦公室、庫房、理療室、備餐間及 D 區(qū)的 18 房間、示教室、備餐間、主任辦公室、值班護士長辦工室、護士值班室、醫(yī)生辦公 室、換藥房、護士站等，考慮到工作的必要建議 所以的 空間作相應的覆蓋，具有如下： C 區(qū)的機房，鑒于的每間的空間不是特別的大，同時 病 房之間不 是 承重墻 ， 建議無線的覆蓋方案 的 原則 是 ： 以本著節(jié)約、全 覆蓋 的 原則，即采用 每一層放置 8 個 AP， 每層的總長度大約為 90 米左右， AP 都將放置在 過道 ，同時滿足 覆蓋 每一個房間 ； C 區(qū)總 和 D 區(qū)總共使用： 4+4=8 個 AP，另外， 要 將 C 區(qū)到 D 區(qū) 空間覆蓋 需增加 1 個 AP，則每層共使用 9個 AP；本大樓具有 13 層，并且每層的結構基本一致，則整棟大樓共使用 13*9=117個 AP； 組網 關鍵問題解決 分層網絡構架 構架可運營 WLAN 網絡，除了要求 AP（ Access Point）支持寬帶無線接入網絡的覆蓋特性、可運營、可管理特性外，還要求整個網絡的開放、兼容、安全、可運營、可管理、可盈利。在構架 WLAN 公眾網絡一般基于網絡分層的理念，即不同層面的設備承擔不同的功能，以達到組合后整網的功能與業(yè)務支撐。目前 WLAN 網絡分層模式如下： 17 WLAN 網絡體系架構 在實際 WLAN 可運營組網應用中，網絡分為用戶接入層、邊緣匯聚層、業(yè)務控制層、業(yè)務管理 層。 在此圖中，將 Cer網納入 WLAN業(yè)務中的各個業(yè)務層，運營商絡與 SP都是 Cer網絡的外部網絡，另外圖中涉及到 WIFI 類的終端產品，在次方案中不進行相關的描述。 用戶接入層對應設備為 AP（ Access Point），主要承擔與終端用戶基于 協(xié)議的PHY/MAC 層的協(xié)議對接，具體包括工作模式、無線鑒權、 ESSID 診別、 MAC 幀插入、 IAPP、節(jié)電模式、 Allow Guest、 MAC 層訪問控制、用戶接入認證報文承載、動態(tài)密鑰協(xié)商等等。此外還要保證承載層的高性能、高可靠性。 AP 在設備的設計 上支持了此類功能， 可以與后臺系統(tǒng)進行配合完成認證與計費的功能，對于復雜的 NAT、路由策略等其它的高層應用不進行支持 。 邊緣匯聚層對應設備為 AC（ Access Controller），主要承擔 WLAN 網絡接入網關的角色，具體可以支持對用戶的合法性認證、計費的發(fā)起（ Client）、用戶管理（訪問控制、接入帶寬控制、用戶的信息綁定），子網內無縫切換的布署、整網安全的布署、整網 QoS 的布署、子網網絡設備管理等以及與業(yè)務控制層結合提供增值業(yè)務如強制 Portal、即插即用、與酒店營帳系統(tǒng)接口等等。在電信運營商可以由 BRAS 或支持用戶管理、認證、計費的匯聚層設備承擔， AC 的設備形態(tài)可以由 L2/L3與 CAMS 進行配合使用進行完成； 業(yè)務管理層主要為 WLAN 網絡提供基于網絡服務的業(yè)務，由于 WLAN 具有寬帶網絡的特性同時也具備無線網絡的特性，因此， 主要為將運運營增值業(yè)務而進行準備，在運營商領域中 目前已成熟的寬帶價值連業(yè)務、移動數據業(yè)務均可以 部署其中 。 認證點位置 業(yè)務模型 ，組網靈活，設備功能齊全，可滿足 AP 作為認證點或 CAMS+L2/L3 作為認證 18 點的建網模式，具體如下： ? 方案一： CAMS+L2/L3 作為集中認證點，同時支持 WEB、 、 PPPOE 認證， L2/L3以下為二層網、 L2/L3 以上為三層網 ； ? 方案二： AP 作為 認證 點。 推薦方案： 針對校園網的網絡現(xiàn)狀，優(yōu)先選擇方案一，其次選擇方案二，方案一可以簡化 AP 點對于各種用戶類型的處理，簡化將來的業(yè)務擴展。 整網安全 塞爾網絡的 WLAN 網絡 主要 服務于公眾 型學生 用戶， 運營者 與最終用戶 都很 擔心安全問題，即用戶安全，具體細分包括用戶帳號密碼的安全，用戶上往后計算機內部數據，用戶數據在網上傳輸的安全等。此外， WLAN 作為運營網絡自身的安全也是運營 者 必須考慮的問題。 華為 3Com 公司 WLAN 解決方案可提供端到端的安全部署，能滿足公眾運營網絡的安全要求。 ? 針對終端用戶上網認證的用戶名密碼的安全：