【文章內(nèi)容簡介】 換機與 CAMS 系統(tǒng)完成用戶認(rèn)證； 此方式具有的優(yōu)點：用戶認(rèn)證完成實體主要體現(xiàn)于 CAMS 系統(tǒng)，呈現(xiàn)一個集中模式，便于維護與統(tǒng)一控制，也便于與其它系統(tǒng)的用戶信息進行統(tǒng)一管理； 在認(rèn)證方式上，目前 CAMS 系統(tǒng)支持多種認(rèn)證 方式。 主要 包括： 認(rèn)證、 Web 認(rèn)證。 認(rèn)證方案介紹 協(xié)議是 IEEE在 通過的正式標(biāo)準(zhǔn)，標(biāo)準(zhǔn)的起草者包括 Microsoft， Cisco，Extreme， Nortel 等； 定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議（ port based work access control），該協(xié)議適用于接入設(shè)備與接入端口間點到點的連接方式，其中端口既可以是物理端口，也可以是邏輯端口。華為 3 公司的網(wǎng)絡(luò)設(shè)備對 做了擴充，使其可以基于 MAC 地址進 行網(wǎng)絡(luò)接入控制。 用戶使用 認(rèn)證的過程如圖所示： 9 認(rèn)證流程示意 圖 接入 AP 的 無線終端 采用 模式，首先 接入 AP 的客戶端 通過 認(rèn)證輸 入用戶名、密碼后客戶端發(fā)起 EAP報文至 AP，在 AP上終結(jié) EAP報文，然后從 AP經(jīng)交換機 發(fā)起 Raduis報文至 CAMS 服務(wù)器，由 CAMS 服務(wù)器來驗證用戶名、密碼是否匹配，在認(rèn)證通過以后由 CAMS服務(wù)器下發(fā) Raduis 報文至交換機 和 AP通知該用戶認(rèn)證通過， AP 再將相對應(yīng)的 信道 打開，允許學(xué)習(xí) MAC 地址，允許用戶上網(wǎng)。 華為 3Com 公司對 認(rèn)證方式進行了優(yōu)化，使其可以支持基于 MAC 的用戶控制，即一般情況下如果多個用戶連接到一個 HUB，其中一個用戶認(rèn)證通過后，其他用戶也能夠使用網(wǎng)絡(luò)，但華為 3Com 公司對 認(rèn)證方案優(yōu)化后，只有認(rèn)證通過的用戶（ MAC）才能使用網(wǎng)絡(luò)，其他用戶還是不能使用網(wǎng)絡(luò)。 CAMS 系統(tǒng)與華為 3Com 公司設(shè)備（含華為設(shè)備）配合實現(xiàn) 認(rèn)證有兩種方式，一是在接入層啟用 認(rèn)證，另一是在匯聚層啟用 認(rèn)證，組網(wǎng)如下圖所示：（圖中紅色線是設(shè)備發(fā)起認(rèn)證的數(shù)據(jù)流，黃色線是 CAMS 回應(yīng)數(shù)據(jù)流，以下各圖同 ）。 10 CAMS 與華為 3Com 公司設(shè)備與組網(wǎng)在接入層啟用 認(rèn)證 接入層啟用 認(rèn)證進行組網(wǎng)時，在接入層設(shè)備終結(jié) 報文，并轉(zhuǎn)換成 Radius協(xié)議報文到 CAMS 進行認(rèn)證。這種方式能很好地利用 CAMS 的功能對用戶進行控制，如用戶通知消息下發(fā)、端口綁定（控制到用戶接入端口）、用戶 IP 綁定、用戶 MAC 綁定以及防止用戶使用代理等。 匯聚層啟用 認(rèn)證進行組網(wǎng)時，在匯聚層設(shè)備終結(jié) 報文，并轉(zhuǎn)換成 Radius協(xié)議報文到 CAMS 進行認(rèn)證，這種方式配置管理相對接入層簡單，但對用戶 的控制力度不如接入層強，如對端口綁定功能就控制不到接入端口。 11 CAMS 與華為 3Com 公司設(shè)備與組網(wǎng)在匯聚層啟用 認(rèn)證 WEB 認(rèn)證方案介紹 WEB 用戶上網(wǎng)時，設(shè)備強制用戶到門戶網(wǎng)站，并提供門戶網(wǎng)站主頁，用戶可以免費訪問其中的服務(wù)。當(dāng)要使用互聯(lián)網(wǎng)中的其他信息時，則必須在門戶網(wǎng)站進行認(rèn)證，只有認(rèn)證通過后才可以使用這些服務(wù)。 WEB 認(rèn)證用戶不需要安裝額外的客戶端軟件。 使用 WEB 認(rèn)證時，強制 Portal 可以在匯聚層進行，也可以在核心層設(shè)備上進行。使用WEB 認(rèn)證時不需要安裝客戶端軟件， 使得管理和維護更簡單，并同時能利用 CAMS 的功能較 12 好地對用戶進行控制，如用戶端口綁定、用戶 IP 綁定、用戶 MAC 綁定等，但無法做到用戶通知消息下發(fā)和防止用戶使用代理。 WEB 認(rèn)證與 認(rèn)證對比 功能 WEB 認(rèn)證 認(rèn)證 客戶端軟件 不需要 需要 客戶端 版本限制 不支持 支持 自動探測并屏蔽代理服務(wù)器 不支持 支持 限制多網(wǎng)卡、撥號上網(wǎng) 不支持 支持 顯示 當(dāng)前網(wǎng)絡(luò)狀態(tài)及認(rèn)證狀態(tài) 支持 支持 異常下線探測功能 支持 支持 消息下發(fā) 不支持 支持 對 AAA 服務(wù)器的特 別要求 無 無 分布式認(rèn)證 支持 支持 網(wǎng)絡(luò)性能影響 低 低 Radius 服務(wù)器的性能影響 無 無 標(biāo)準(zhǔn)化程度 低 高 IP 地址浪費 無 無 由于本網(wǎng)屬于公眾型網(wǎng)絡(luò)， WLAN 無線網(wǎng)絡(luò)的覆蓋空間是開放的，導(dǎo)致接觸網(wǎng)絡(luò)的用戶身份都是不確定的，同時目前影響網(wǎng)絡(luò)安全的因素對于網(wǎng)絡(luò)使用者的要求越來越低了， 從網(wǎng)絡(luò)控制安全性考慮， 在無線網(wǎng)絡(luò)建設(shè)中我們建議采用 。 有線無線混合組網(wǎng)下的認(rèn)證方案 區(qū)分有線無線用戶 對有線用戶和無線用戶進行分別 認(rèn)證 ，有線用戶在以 太網(wǎng)交換機上實現(xiàn)認(rèn)證，無線用戶在 WLAN AP 設(shè)備上實現(xiàn)認(rèn)證。通過在 CAMS 上設(shè)定對應(yīng)的綁定區(qū)域，對于只能使用有線上網(wǎng)的用戶綁定所有以太網(wǎng)交換機 IP 地址，無線上網(wǎng)用戶綁定所有 AP 的 IP 地址，無線和有線均可使用的用戶綁定所有交換機、 AP 地址。 設(shè)備要求：實現(xiàn)認(rèn)證的以太網(wǎng)交換機和 AP 設(shè)備必須支持標(biāo)準(zhǔn) Radius協(xié)議， 能夠 和 CAMS配合實現(xiàn)認(rèn)證計費功能。如果要實現(xiàn)華為擴展的 Radius 功能，如防代理、消息下發(fā)等功能。則必須使用對應(yīng)的華為設(shè)備。 13 不區(qū)分有線用戶和無線用戶 不區(qū)分有線用戶和無線用戶， 所有 用戶均在交換機上實現(xiàn)接入認(rèn)證功能， WLAN 設(shè)備只透傳報文，不進行認(rèn)證。 環(huán)境要求：實現(xiàn)認(rèn)證的以太網(wǎng)交換機必須支持標(biāo)準(zhǔn) Radius 協(xié)議， 能夠 和 CAMS 配合實現(xiàn)認(rèn)證計費功能。如果要實現(xiàn)華為擴展的 Radius 功能，如防代理、消息下發(fā)等功能。則必須使用對應(yīng)的華為設(shè)備。 用戶管理 CAMS 系統(tǒng)功能強大，操作簡單，在用戶認(rèn)證管理上，具有以下特點： ? 用戶綁定功能 CAMS 支持綁定用戶名和設(shè)備 IP 地址、入端口號、 VLAN ID、用戶 MAC 地址、用戶 IP 地址等信息，保證用戶綁定合法性。并支持用戶 MAC 地址和用戶 IP 地址自學(xué)習(xí)功能，大大減少管理員的錄入量。 ? 認(rèn)證區(qū)域綁定功能 通過認(rèn)證報文上傳的認(rèn)證接入設(shè)備 IP 地址， CAMS 系統(tǒng)可實現(xiàn)認(rèn)證區(qū)域綁定功能。用戶上網(wǎng)的區(qū)域可被限制在一定范圍內(nèi)，增強了網(wǎng)絡(luò)的安全性。 ? 防代理功能 針對學(xué)校用戶， CAMS 提供防代理功能，禁止用戶使用代理上網(wǎng)，并支持限制用戶使用的客戶端，要求用戶必須使用專用安全客戶端，并強制自動升級，確保認(rèn)證客戶端的安全性。目前 CAMS 系統(tǒng)的防代理功能必須要與華為 3 交換機配合實現(xiàn)。華為 AP 暫不支持防代理功能。 ? 用戶黑名單管理 CAMS 認(rèn)證系統(tǒng)支持黑名單管理，支 持手工加入黑名單、自動將欠費用戶加入黑名單、自動將惡意登錄用戶加入黑名單、自動將充值失敗超過閾值用戶加入黑名單并提供黑名單增強功能：在被試探帳號加入黑名單的同時記錄惡意試探機器的 MAC 地址，限制從該 MAC 地址的機器試探該帳號，但被試探帳號可以在其它 MAC 地址的機器上正常使用，保證登錄用戶的合法性。 ? 用戶上網(wǎng)全程監(jiān)控 CAMS 認(rèn)證計費系統(tǒng)能對學(xué)生上網(wǎng)的全過程進行管理，實現(xiàn)學(xué)生上網(wǎng)的實時監(jiān)測。對于 14 網(wǎng)絡(luò)上進行非法操作的學(xué)生，具備將用戶踢下線的功能，控制學(xué)生對網(wǎng)絡(luò)的使用。 網(wǎng)管方案 鑒于華為 3Com 公 司已經(jīng)具有大量的設(shè)備應(yīng)用于 醫(yī)療衛(wèi)生 網(wǎng)，在網(wǎng)管方面建議采用我司的 Quidview 產(chǎn)品， Quidview 在設(shè)備網(wǎng)管的定位上又增加了綜合網(wǎng)管的功能及周邊的增值功能，如網(wǎng)上產(chǎn)品版本管理及批理升級的功能； 目前 Quidview 產(chǎn)品可與友商的網(wǎng)管共同集成于第三方網(wǎng)管平臺，目前可管理華為 3Com的所有產(chǎn)品，對于其他廠商的產(chǎn)品管理方面取決于設(shè)備是否采用標(biāo)準(zhǔn)協(xié)議進行實現(xiàn)的； 對于 WLAN 設(shè)備來說，與其它華為 3Com 產(chǎn)品的網(wǎng)管工作于一個平臺，可以通過購買部件進行升級就可以支持，而部分其他廠商采用獨立的一套網(wǎng)管平臺進行管理 WLAN 設(shè)備。 網(wǎng)絡(luò)中全部為華為設(shè)備 對于全部為華為公司設(shè)備的網(wǎng)絡(luò)，建議采用 Quidview 網(wǎng)管系統(tǒng)。 Quidview 網(wǎng)絡(luò)管理 系統(tǒng) 為用戶提供了靈活的組件化結(jié)構(gòu)，包括網(wǎng)絡(luò)管理框架（ NMF）、網(wǎng)絡(luò)配置中心（ NCC）、設(shè)備管理 (DM)等組件，用戶可以根據(jù)自己的管理需要和網(wǎng)絡(luò)情況靈活選擇自己需要的組件。 15 Quidview 支持設(shè)備自動發(fā)現(xiàn)、拓?fù)涔芾?、告警管理、性能管理、網(wǎng)管用戶管理等基礎(chǔ)功能；提供全網(wǎng)的拓?fù)滹@示、故障處理、服務(wù)器管理等功能?？梢暂p松實現(xiàn)路由器、以太網(wǎng)交換機等設(shè)備管理、維護功能。為企業(yè)網(wǎng)用戶提供了全面的網(wǎng) 絡(luò)管理功能。 無線網(wǎng)絡(luò)方案 WLAN 技術(shù) 1996 年就已經(jīng)提出，經(jīng)歷一條曲直的道路，已經(jīng)逐漸被市場認(rèn)可了， 對于無線網(wǎng)絡(luò)， 部基本上采用室內(nèi)覆蓋模式， 考慮到 的建筑結(jié)構(gòu)較為特殊， WLAN 技術(shù)很難穿透建筑物，同時又由于 WLAN 屬于高頻窄波，繞建筑物的能力較弱。 組網(wǎng)方案 建筑的府視圖如下圖所示： 16 平面建筑結(jié)構(gòu)示意圖 的 無線覆蓋 空間主要包括： C 區(qū)的 18 個病房、機房、護士站、醫(yī)生辦公室、庫房、理療室、備餐間及 D 區(qū)的 18 房間、示教室、備餐間、主任辦公室、值班護士長辦工室、護士值班室、醫(yī)生辦公 室、換藥房、護士站等，考慮到工作的必要建議 所以的 空間作相應(yīng)的覆蓋，具有如下： C 區(qū)的機房，鑒于的每間的空間不是特別的大，同時 病 房之間不 是 承重墻 ， 建議無線的覆蓋方案 的 原則 是 ： 以本著節(jié)約、全 覆蓋 的 原則，即采用 每一層放置 8 個 AP， 每層的總長度大約為 90 米左右， AP 都將放置在 過道 ，同時滿足 覆蓋 每一個房間 ； C 區(qū)總 和 D 區(qū)總共使用： 4+4=8 個 AP，另外， 要 將 C 區(qū)到 D 區(qū) 空間覆蓋 需增加 1 個 AP，則每層共使用 9個 AP；本大樓具有 13 層，并且每層的結(jié)構(gòu)基本一致，則整棟大樓共使用 13*9=117個 AP； 組網(wǎng) 關(guān)鍵問題解決 分層網(wǎng)絡(luò)構(gòu)架 構(gòu)架可運營 WLAN 網(wǎng)絡(luò)，除了要求 AP（ Access Point）支持寬帶無線接入網(wǎng)絡(luò)的覆蓋特性、可運營、可管理特性外，還要求整個網(wǎng)絡(luò)的開放、兼容、安全、可運營、可管理、可盈利。在構(gòu)架 WLAN 公眾網(wǎng)絡(luò)一般基于網(wǎng)絡(luò)分層的理念，即不同層面的設(shè)備承擔(dān)不同的功能，以達到組合后整網(wǎng)的功能與業(yè)務(wù)支撐。目前 WLAN 網(wǎng)絡(luò)分層模式如下： 17 WLAN 網(wǎng)絡(luò)體系架構(gòu) 在實際 WLAN 可運營組網(wǎng)應(yīng)用中，網(wǎng)絡(luò)分為用戶接入層、邊緣匯聚層、業(yè)務(wù)控制層、業(yè)務(wù)管理 層。 在此圖中，將 Cer網(wǎng)納入 WLAN業(yè)務(wù)中的各個業(yè)務(wù)層，運營商絡(luò)與 SP都是 Cer網(wǎng)絡(luò)的外部網(wǎng)絡(luò)，另外圖中涉及到 WIFI 類的終端產(chǎn)品，在次方案中不進行相關(guān)的描述。 用戶接入層對應(yīng)設(shè)備為 AP（ Access Point），主要承擔(dān)與終端用戶基于 協(xié)議的PHY/MAC 層的協(xié)議對接，具體包括工作模式、無線鑒權(quán)、 ESSID 診別、 MAC 幀插入、 IAPP、節(jié)電模式、 Allow Guest、 MAC 層訪問控制、用戶接入認(rèn)證報文承載、動態(tài)密鑰協(xié)商等等。此外還要保證承載層的高性能、高可靠性。 AP 在設(shè)備的設(shè)計 上支持了此類功能， 可以與后臺系統(tǒng)進行配合完成認(rèn)證與計費的功能，對于復(fù)雜的 NAT、路由策略等其它的高層應(yīng)用不進行支持 。 邊緣匯聚層對應(yīng)設(shè)備為 AC（ Access Controller），主要承擔(dān) WLAN 網(wǎng)絡(luò)接入網(wǎng)關(guān)的角色，具體可以支持對用戶的合法性認(rèn)證、計費的發(fā)起（ Client）、用戶管理（訪問控制、接入帶寬控制、用戶的信息綁定），子網(wǎng)內(nèi)無縫切換的布署、整網(wǎng)安全的布署、整網(wǎng) QoS 的布署、子網(wǎng)網(wǎng)絡(luò)設(shè)備管理等以及與業(yè)務(wù)控制層結(jié)合提供增值業(yè)務(wù)如強制 Portal、即插即用、與酒店營帳系統(tǒng)接口等等。在電信運營商可以由 BRAS 或支持用戶管理、認(rèn)證、計費的匯聚層設(shè)備承擔(dān)， AC 的設(shè)備形態(tài)可以由 L2/L3與 CAMS 進行配合使用進行完成； 業(yè)務(wù)管理層主要為 WLAN 網(wǎng)絡(luò)提供基于網(wǎng)絡(luò)服務(wù)的業(yè)務(wù)，由于 WLAN 具有寬帶網(wǎng)絡(luò)的特性同時也具備無線網(wǎng)絡(luò)的特性，因此， 主要為將運運營增值業(yè)務(wù)而進行準(zhǔn)備，在運營商領(lǐng)域中 目前已成熟的寬帶價值連業(yè)務(wù)、移動數(shù)據(jù)業(yè)務(wù)均可以 部署其中 。 認(rèn)證點位置 業(yè)務(wù)模型 ，組網(wǎng)靈活，設(shè)備功能齊全，可滿足 AP 作為認(rèn)證點或 CAMS+L2/L3 作為認(rèn)證 18 點的建網(wǎng)模式，具體如下： ? 方案一： CAMS+L2/L3 作為集中認(rèn)證點，同時支持 WEB、 、 PPPOE 認(rèn)證， L2/L3以下為二層網(wǎng)、 L2/L3 以上為三層網(wǎng) ； ? 方案二： AP 作為 認(rèn)證 點。 推薦方案： 針對校園網(wǎng)的網(wǎng)絡(luò)現(xiàn)狀，優(yōu)先選擇方案一，其次選擇方案二，方案一可以簡化 AP 點對于各種用戶類型的處理，簡化將來的業(yè)務(wù)擴展。 整網(wǎng)安全 塞爾網(wǎng)絡(luò)的 WLAN 網(wǎng)絡(luò) 主要 服務(wù)于公眾 型學(xué)生 用戶， 運營者 與最終用戶 都很 擔(dān)心安全問題，即用戶安全，具體細(xì)分包括用戶帳號密碼的安全，用戶上往后計算機內(nèi)部數(shù)據(jù)，用戶數(shù)據(jù)在網(wǎng)上傳輸?shù)陌踩?。此外?WLAN 作為運營網(wǎng)絡(luò)自身的安全也是運營 者 必須考慮的問題。 華為 3Com 公司 WLAN 解決方案可提供端到端的安全部署，能滿足公眾運營網(wǎng)絡(luò)的安全要求。 ? 針對終端用戶上網(wǎng)認(rèn)證的用戶名密碼的安全：