【文章內(nèi)容簡介】 絡進行全方位的監(jiān)控，從網(wǎng)絡各種性能指標、告警指標中進行智能的統(tǒng)計和分析，才能有效從整體對網(wǎng)絡狀況進行衡量。H3C 無線運營管理組件 （ WSM）提供了豐富的無線統(tǒng)計報表查詢和定制功能，以幫助管理員對網(wǎng)絡進行綜合而全面的管理。 煙草進修學院無線校園網(wǎng) 解決方案 14 安全方案 防 ARP 病毒 ARP 欺騙攻擊不僅會造成聯(lián)網(wǎng)不穩(wěn)定，引發(fā)用戶無法上網(wǎng)，或者企業(yè)斷網(wǎng)導致重大生產(chǎn)事故，而且利用 ARP 欺騙攻擊可進一步實施中間人攻擊，以此非法 獲取到 文件服務等系統(tǒng)的帳號和口令，對被攻擊者造成利益上的重大損失。因此 ARP 欺騙攻擊是一種非常惡劣的網(wǎng)絡攻擊行為 。 無線局域網(wǎng)由于帶寬相對較窄，而且同一個 AP 下的所有用戶都共享帶寬，所以一 有用戶中 ARP 病毒，頻繁發(fā)送 ARP 報文，對網(wǎng)絡的影響比有線更大。 針對無線網(wǎng)絡的特點， H3C 創(chuàng)新的在 WLAN 上提供防 ARP 病毒方案，首先同一個 AP 的同一個 SSID 下的用戶缺省啟動用戶隔離，這樣用戶發(fā)送的 ARP 報文不會被轉(zhuǎn)發(fā)給其他用戶，其次 H3C ARP 攻擊防御解決方案通過對客戶端、接入交換機和網(wǎng)關(guān)三個控制點實施自上而下的“ 全面防御”，并且能夠根據(jù)不同的網(wǎng)絡環(huán)境和客戶需求進行“模塊定制”，為用戶提供多樣、靈活的 ARP 攻擊防御解決方案。 H3C 提供兩類 ARP 攻擊防御解決方案：監(jiān)控方式，認證方式。監(jiān)控方式主要適用于動態(tài)接入用戶居多的網(wǎng)絡環(huán)境，認證方式主要適用于認 煙草進修學院無線校園網(wǎng) 解決方案 15 證方式接入的網(wǎng)絡環(huán)境；實際部署時，建議分析網(wǎng)絡的實際場景，選擇合適的攻擊防御解決方案。另外，結(jié)合 H3C 獨有的 iMC 智能管理中心，可以非常方便、直觀的配置網(wǎng)關(guān)綁定信息，查看網(wǎng)絡用戶和設備的安全狀況，不僅有效的保障了網(wǎng)絡的整體安全，更能快速發(fā)現(xiàn)網(wǎng)絡中不安全的主機和 ARP 攻擊源， 并迅速做出反映。 無線入侵檢測 H3C 的 WIDS 目前主要包括下面三個特性： ? 非法設備檢測； ? 入侵檢測； ? 無線用戶接入控制（黑名單和白名單）； 非法設備檢測比較適合于大型的 WLAN 網(wǎng)絡。通過在已有的 WLAN 網(wǎng)絡中部署非法設備檢測功能，可以對整個 WLAN 網(wǎng)絡中的異常設備進行監(jiān)視，并且可以根據(jù)需要對非法的設備進行防攻擊處理（在實際的網(wǎng)絡應用中，可以啟動防攻擊功能，即 WIDS 會盡量阻止非法的設備提供服務或者接入到無線網(wǎng)絡）。非法設備檢測可以檢測并且分類 WLAN 網(wǎng)絡中的多種設備，例如非法 AP，非法無線終端，非法無線網(wǎng) 橋等等。 入侵檢測主要為了及時發(fā)現(xiàn) WLAN 網(wǎng)絡中的有意或者無意的攻擊，通過記錄信息或者日志方式通知網(wǎng)絡管理者。根據(jù)入侵檢測的結(jié)果，網(wǎng)絡管理者可以及時調(diào)整網(wǎng)絡的配置，去除 WLAN 網(wǎng)絡的不安全因素，保證WLAN 網(wǎng)絡不再受到攻擊。目前 H3C 的入侵檢測主要包括 報文Flood 攻擊檢測、 AP Spoof 檢測以及 Weak IV 檢測，而且其中 Flood 攻擊檢測可以根據(jù)不同類型的報文進行攻擊檢測。 接入控制根據(jù)特定的屬性實現(xiàn)了對無線客戶端接入 WLAN 網(wǎng)絡的權(quán)限控制。目前 WIDS 接入控制主要根據(jù) MAC 地址進行規(guī)則控 制，并且支持兩種控制規(guī)則：黑名單和白名單。其中白名單只能通過手動進行配置；而黑名單同時支持手動配置方式和動態(tài)添加方式，入侵檢測系統(tǒng)和非法設備檢測模塊檢測到非法攻擊，可以動態(tài)地將該非法設備添加到黑名單 煙草進修學院無線校園網(wǎng) 解決方案 16 中，后續(xù)所有從該設備接收到的報文會被直接丟棄，從而保護了 WLAN網(wǎng)絡不再受到該非法設備的攻擊。 室內(nèi)設備物理安全性 H3C WA4600 自身支持物理防盜設計，位于設備頂部，可以用于將AP 設備與固定支架鎖定，起到一定的防盜作用。 煙草進修學院無線校園網(wǎng) 解決方案 17 4 H3C方案特點與優(yōu)勢 H3C 一體化 無線校園 解決方案有效實現(xiàn) 了 有線和無線網(wǎng)絡的融 合，通過統(tǒng)一的硬件平臺、統(tǒng)一的網(wǎng)絡管理、統(tǒng)一的用戶管理、統(tǒng)一的應用安全， 為校園用戶 提供安全的無線接入。根據(jù)用戶需求。 H3C 通過 WSM 智 能 無線管理組件 為網(wǎng)絡管理員提供了圖形化、一體化管理能力，可以高效地管理有線 /無線網(wǎng)絡。 H3C 一體化無線校園解決方案 —— 更穩(wěn)定： H3C WLAN 穩(wěn)定性解決方案從無線控制器的可靠性，接入交換機供電的可靠性、無線信號的可靠性這幾方面入手，極大的提高了 WLAN 網(wǎng)絡的可靠性；在實際的使用情況來看，啟用這些措施之后， WLAN 的可靠性能夠得到明顯的提升。 無線控制器 1+1 冗余備份： H3C 無線控制器產(chǎn)品支持 AC 之間的 N+1 備份，以下通過介紹 AP 選擇接入的 AC過程來說明 AC 間的備份： 1) AP 在發(fā)現(xiàn) AC 的過程中，會向 AC 發(fā)送接入請求報文； AC 在收到接入請求后，會向 AP 發(fā)接入回應報文，其中包含了該 AC 上的負載信息（ AC 允許接入的最大 AP 數(shù)，當前接入的 AP 數(shù)，允許接入的最大 STA 數(shù)，當前接入的 STA 數(shù)），和 AP 在此 AC 上的接入優(yōu)先級； 2) AP 在接收到 AC 的回應報文后，會選擇接入優(yōu)先級高的 AC 接入。如果優(yōu)先級相同，則根據(jù) AC 的接入負載情況來判斷。 3) AP 通過比較各 AC 上 （允許接入的最大 AP 數(shù) 當前接入的 AP 數(shù)），并選取值最大的 AC 接入。如果此值相同，則根據(jù)當前接入 AC 的無線用戶數(shù)判斷。 4) AP 通過比較各 AC 上（允許接入的最大 STA 數(shù) 當前接入的 STA 數(shù)），并選取值大的 AC 接入。 5) 如相等，則隨機接入。 6) 通過 CAPWAP 隧道的心跳機制， AP 可及時發(fā)現(xiàn)控制器 DOWN，同時根據(jù)上述方法重新選擇一個負載輕的 AC 接入，從而實現(xiàn) AC 的 N+1 備份。 煙草進修學院無線校園網(wǎng) 解決方案 18 H3C 實時無線資源管理 ： H3C 實時無線資源管理解決方案提供了實時閉環(huán)的無線資源管理，包括了如下步驟： ? 掃描 每個接入點啟動后，通過 CAPWAP 協(xié)議與無線控 制器建立隧道，并從無線控制器獲取基本的配置。無線控制器負責協(xié)調(diào)網(wǎng)絡中的無線接入點執(zhí)行掃描過程。通過定期的信道掃描，系統(tǒng)能夠分析和了解信道的質(zhì)量、干擾情況、鄰居接入點的分布等。 ? 分析 無線控制器將對無線接入點定期上報的數(shù)據(jù)進行聚合分析。這些數(shù)據(jù)包括： ? 干擾：其他工作在 頻段的無線網(wǎng)絡對無線介質(zhì)的影響。 ? 噪音：非 信號，如雷達、藍牙、無繩電話、微波等等對信號的影響。 ? 丟包率：包差錯率（由于隱藏的節(jié)點或信號變形） ? 信道負載：用來衡量媒介的繁忙程度。 ? 有效信號強度：在一定時間內(nèi)觀察到的每個鄰居的 信號強度和整個信道的平均信號強度。 煙草進修學院無線校園網(wǎng) 解決方案 19 這些數(shù)據(jù)將幫助無線控制器構(gòu)建無線網(wǎng)絡的完整視圖，為管理控制提供決策數(shù)據(jù)。 ? 決策 利用前期分析的數(shù)據(jù)，無線控制器將采用智能的算法對射頻資源進行優(yōu)化和調(diào)整，以適應無線環(huán)境的變化。 系統(tǒng)使用了優(yōu)化的信道和功率選擇算法、加權(quán)判斷以及抑制限度，自動評估資源調(diào)整的影響，能夠確保系統(tǒng)的控制是可靠的。 ? 執(zhí)行 無線控制器將新的發(fā)射功率，信道分配等決策發(fā)送到接入點，接入點負責使能這些配置。系統(tǒng)提供了兩種控制模式：參考模式和立即模式，增加了系統(tǒng)使用的靈活性。參考模式下，系統(tǒng)不進行實際的控制策略 執(zhí)行，只是給出建議的功率、信道的設定值，管理員可以決定是否執(zhí)行這些配置，確保了用戶控制的靈活性。立即模式下，將根據(jù)系統(tǒng)計算出的信道等參數(shù)進行立即的設置。 上述過程是閉環(huán)過程，一旦配置下發(fā)以后，控制器將持續(xù)監(jiān)視網(wǎng)絡環(huán)境。任何無線環(huán)境的變化與波動都會被定期記錄下來，為下一輪的優(yōu)化作準備。 全面的 PoE 解決方案 ： PoE 設備的原理是通過非屏蔽雙絞線中四對線中的兩對線來傳輸電源，傳輸數(shù)據(jù)的同時傳輸直流電。因為 AP 往往要求使用不間斷電源（ UPS）供應電力，采用PoE設備， AP端僅僅通過一根 RJ45 網(wǎng)線與網(wǎng)絡連接即可 以同時傳輸數(shù)據(jù)和電力，因此在使用 PoE 設備的情況下，所有的 AP 都使用一個 UPS 在 PoE 設備端進行保護。如果不使用 PoE 設備，就需要給每個 AP 配一個 UPS，而且還需要在 AP 附近安裝電源插座，增加了成本。因此使用 PoE 設備將大大降低設備成本和管理成本 。 PoE 具有非常明顯的優(yōu)勢，具體如下： ? 簡化安裝，降低成本，不需為每個網(wǎng)絡設備單獨提供數(shù)據(jù)和電力線纜。 ? 靈活性提高，網(wǎng)絡裝置可被安裝在任何位置，而不需靠近一個已存在的電源輸出口。 ? 可靠性增強，有 SNMP 能力的 PoE 裝置，可實施遠程檢測和控制，能有效地處理或修理裝 置的耗電量和（或）失效故障。 煙草進修學院無線校園網(wǎng) 解決方案 20 H3C 能夠提供全面的 PoE 解決方案，產(chǎn)品涵蓋從高端到低端的全系列產(chǎn)品 ， H3C PoE 解決方案使用工業(yè)級設計，同時能夠提供全面的管理 : H3C 一體化無線校園解決方案 —— 高安全： H3C 一體化無線校園解決方案在遵循 IEEE 協(xié)議和國家 WAPI 標準的基礎上，創(chuàng)新性的提出了分層的安全體系架構(gòu)，將 WLAN 的安全從單一的物理層安全延伸到了物理層安全、用戶接入安全、網(wǎng)絡層安全、設備安全、安全管理多個層面上，使用戶在使用 WLAN 網(wǎng)絡時能夠像使用有線網(wǎng)絡一樣安全、可靠。 無線物理 安全： H3C 公司的無線產(chǎn)品支持以下的加密機制： WEP 加密、 TKIP 加密、 CCMP 加密、 WAPI加密。 其中， WAPI 采用國家密碼管理委員會辦公室批準的公鑰密碼體制的橢圓曲線密碼算法和對稱密碼體制的分組密碼算法，分別用于 WLAN 設備的數(shù)字證書、證書鑒別、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密。 在無線設備安全方面， H3C 的 FIT AP 提供“零配置”功能，在設備上不保存業(yè)務配置，而是每次啟動的時候從無線控制器動態(tài)加載業(yè)務配置，這樣可以有效避免設備丟失造成配置泄漏。此外，用戶在采用 H3C 公司的無線控制器＋ FIT AP組 網(wǎng)時，都需要預先在無線控制器上設置部署的 AP 序列號。當這些 AP 啟動和無線控制器建立關(guān)聯(lián)時，無線控制器會檢查 AP 上報的序列號信息，只有這些預先授權(quán)的 AP 才能接入無線控制器使用，防止非法 FIT AP 接入網(wǎng)絡。 無線用戶安全： 通過用戶接入認證實現(xiàn)了對校園無線接入用戶的身份認證，為網(wǎng)絡服務提供了安全保護。 H3C 無線接入認證主要有 接入認證、 PSK 認證、 MAC 接入認證以及在有線校園網(wǎng)中常用的 portal 認證等。通過和 AAA 服務器配合， H3C 的無線設備支持對認證用戶動態(tài)下發(fā)帶寬、 VLAN、 ACL、優(yōu)先級等參 數(shù)，對于不同的用戶群和業(yè)務可以控制其訪問網(wǎng)絡的權(quán)限，限制網(wǎng)絡資源的使用，通過 VLAN 和優(yōu)先級來標識用戶和業(yè)務，并做到業(yè)務隔離。 無線網(wǎng)絡安全： 煙草進修學院無線校園網(wǎng) 解決方案 21 為了保證無線用戶和整個校園網(wǎng)絡的安全，僅僅保證接入點的安全性是遠遠不夠的。 H3C 推出了 無線 EAD 解決方案，該方案從網(wǎng)絡用戶終端準入控制入手，整合網(wǎng)絡接入控制與終端安全產(chǎn)品，通過安全客戶端、安全策略服務器、網(wǎng)絡設備以及第三方軟件的聯(lián)動，對接入網(wǎng)絡的用戶終端強制實施企業(yè)安全策略，嚴格控制終端用戶的網(wǎng)絡使用行為，加強網(wǎng)絡用戶終端的主動防御能力，保護網(wǎng)絡安全。 H3C 的 無線產(chǎn)品支持 EAD 接入控制方式，配合 iNode 無線 /有線統(tǒng)一客戶端可以實現(xiàn)有線，無線用戶使用統(tǒng)一的客戶端進行認證，結(jié)合 H3C 公司的服務器， H3C公司給用戶提供了有線無線一體化的整體安全解決方案。 此外， H3C 的無線產(chǎn)品支持完善的無線入侵檢測系統(tǒng)，可以自動監(jiān)測非法設備，并適時上報網(wǎng)管中心，同時對非法設備的攻擊可以進行自動防護，最大程度地保護無線網(wǎng)絡。 針對煙草進修學院目前現(xiàn)狀，已經(jīng)在有線網(wǎng)絡部署了 UAM 用戶接入管理的認證，無線網(wǎng)絡也可以通過 UAM 實現(xiàn)有線無線統(tǒng)一認證。 H3C 一體化無線校園解決方案 —— 易管理： 基于多年的積累和對用戶網(wǎng)絡的深入理解， H3C 智能管理中心平臺為用戶提供了實用、易用的網(wǎng)絡管理功能，在網(wǎng)絡資源的集中管理基礎上，實現(xiàn)拓撲、故障、性能等管理功能，不僅提供功能，更通過流程向?qū)У姆绞礁嬖V用戶如何使用功能滿足業(yè)務需求，為用戶提供了網(wǎng)絡精細化管理最佳的工具軟件。