【文章內(nèi)容簡介】 配就可以支持128個(gè)智能無線接入點(diǎn)控制權(quán)，最高可支持1024個(gè)智能無線接入點(diǎn)的控制權(quán)，我們可以按照“按需配置，漸進(jìn)擴(kuò)展”思路來不斷增加智能無線接入點(diǎn)產(chǎn)品即可完成擴(kuò)容，因此擴(kuò)展無線接入點(diǎn)顯得非常容易；當(dāng)智能無線接入點(diǎn)的規(guī)模超過1024臺之后，可以非常簡單的增加AC產(chǎn)品，多臺智能AC形成智能集群體而同步信息，原有的AC無需淘汰，因此非常適合大規(guī)模無線接入點(diǎn)的部署和后期的擴(kuò)容需求。帶寬控制與服務(wù)質(zhì)量保證QOS通過智能AC的全局控制，可以很輕松地實(shí)現(xiàn)對每一臺智能無線接入點(diǎn)上行帶寬，甚至每一個(gè)用戶的帶寬的控制。同時(shí)，針對不同的用戶業(yè)務(wù)類型，智能AC可以集中設(shè)置定義不同的QoS隊(duì)列，比如將SIP和RTP協(xié)議可設(shè)定在高的隊(duì)列，而一般應(yīng)用如、ftp則可設(shè)定在較低的隊(duì)列?？缛龑訜o縫漫游無縫漫游是無線網(wǎng)絡(luò)移動性的最佳體現(xiàn)。但是傳統(tǒng)的無線接入點(diǎn)僅僅能夠?qū)崿F(xiàn)基于二層的漫游，一旦無線用戶跨越網(wǎng)段，就會由于重新獲取IP地址、重認(rèn)證、重新驗(yàn)證加密等過程，而導(dǎo)致漫游的失敗和通信的中斷。這對于無線用戶眾多的XX廣電集團(tuán)而言，是無法接受的。利用銳捷網(wǎng)絡(luò)先進(jìn)的智能無線交換網(wǎng)絡(luò)架構(gòu)，由于所有用戶信息并不保存在本地的無線接入點(diǎn)中，而是全部集中在AC上，因此無論是單臺AC還是多臺AC的集群體，包括連接狀態(tài)、認(rèn)證狀態(tài)、IP地址分配信息、加密驗(yàn)證狀態(tài)等用戶信息總是實(shí)時(shí)存在的，即便是無線用戶跨網(wǎng)段移動，還是會延續(xù)原有的IP地址、認(rèn)證與加密方式，不存在重新獲取的必要，因此也不會中斷連接。實(shí)現(xiàn)這一過程，并不需要有線網(wǎng)絡(luò)的參與，對有線網(wǎng)絡(luò)和無線用戶而言都是透明的。這種無縫跨三層漫游尤其是對延遲敏感的語音業(yè)務(wù)有重大的意義。無線集中網(wǎng)絡(luò)管理規(guī)劃集中統(tǒng)一控制與管理對于龍崗區(qū)公共場所無線網(wǎng)絡(luò)規(guī)模如此龐大的無線網(wǎng)絡(luò)來說，管理是非常重要的事情。從RF射頻覆蓋狀態(tài)的監(jiān)測、無線鏈路的帶寬的監(jiān)測、用戶認(rèn)證的異常報(bào)警、無線接入安全等都需要考慮。由于傳統(tǒng)的無線局域網(wǎng)是單純基于無線接入點(diǎn)，沒有集中管理的概念，因此對于無線網(wǎng)絡(luò)的管理，要在每個(gè)無線接入點(diǎn)上進(jìn)行設(shè)置和更改，其工作量對于大規(guī)模無線接入點(diǎn)的無線網(wǎng)而言是不可想像的。而且無線局域網(wǎng)是一個(gè)整體系統(tǒng)，無線接入點(diǎn)之間必須互協(xié)調(diào)工作，單獨(dú)改變一個(gè)無線接入點(diǎn)的參數(shù)和配置，可能會會引起無線接入點(diǎn)之間的無線電波干擾，用戶漫游重認(rèn)證和授權(quán)也可能會產(chǎn)生問題，因此集中控制和管理顯得非常必要。因此，本方案中的智能AC產(chǎn)品可以充分發(fā)揮集中管理功能，對全網(wǎng)智能無線接入點(diǎn)的行為和用戶信息統(tǒng)一WIFI和管理，網(wǎng)絡(luò)管理人員只需在智能AC上就可開通、管理、維護(hù)所有處于接入層的智能無線接入點(diǎn)設(shè)備，包括無線電波頻譜、無線安全、接入認(rèn)證、移動漫游以及接入用戶的訪問策略。簡便而豐富的用戶入網(wǎng)本方案中規(guī)劃的無線網(wǎng)絡(luò)，應(yīng)能夠提供對各種身份的人群的無線上網(wǎng)服務(wù)。web的登錄方式，無線網(wǎng)絡(luò)也可以很好的支持，無需為每一個(gè)用戶終端安裝無線接入軟件，認(rèn)證可以基于WEB頁面認(rèn)證，認(rèn)證只需用戶打開瀏覽器就可以登陸。射頻環(huán)境的監(jiān)測射頻環(huán)境的優(yōu)劣，將直接影響無線網(wǎng)絡(luò)的穩(wěn)定性和鏈路帶寬的品質(zhì)，因此，對企業(yè)需要覆蓋的區(qū)域?qū)崟r(shí)的射頻環(huán)境監(jiān)測是保證網(wǎng)絡(luò)穩(wěn)定可靠的基石。銳捷網(wǎng)絡(luò)的無線管理平臺支持先進(jìn)的提供智能化無線電射頻監(jiān)測和調(diào)控能力，可確保某個(gè)智能無線接入點(diǎn)在發(fā)生故障時(shí)，可以自動切換到鄰近的智能無線接入點(diǎn)，由于用戶信息全部同步在智能AC上，因此不會影響無線的接入服務(wù)。這種強(qiáng)大的射頻監(jiān)測能力不僅表現(xiàn)在對大規(guī)模無線網(wǎng)絡(luò)的管理工作中，即便是在初次安裝無線網(wǎng)絡(luò)時(shí)，網(wǎng)管人員也可可以在網(wǎng)絡(luò)中心機(jī)房，通過智能ACMX200R產(chǎn)品來自動調(diào)節(jié)整網(wǎng)所有智能無線接入點(diǎn)的射頻參數(shù)，比如頻率、信道、功率等。智能無線接入點(diǎn)之間會自動協(xié)調(diào)射頻參數(shù)，直到相鄰的無線接入點(diǎn)之間達(dá)到最優(yōu)無線電射頻運(yùn)行環(huán)境，并把最終調(diào)整結(jié)果返回給智能AC，網(wǎng)管人員就可以實(shí)時(shí)看到射頻環(huán)境的現(xiàn)狀，并決定是否繼續(xù)調(diào)整或手動單獨(dú)調(diào)整。智能分配的負(fù)載均衡負(fù)載均衡是網(wǎng)絡(luò)技術(shù)中一項(xiàng)非常實(shí)用的技術(shù)，即便是在無線網(wǎng)絡(luò)中，負(fù)載均衡也是不可缺少的。在銳捷網(wǎng)絡(luò)的智能無線交換網(wǎng)絡(luò)架構(gòu)體系中，由于有了智能AC產(chǎn)品和無線管理平臺的集中控制，可以很清楚地知道每個(gè)區(qū)域的智能無線接入點(diǎn)連接了多少個(gè)無線用戶，是否已經(jīng)達(dá)到用戶數(shù)的上限或帶寬的上限，其周邊還有沒有用戶數(shù)和帶寬較空閑的無線接入點(diǎn)，AC即可將無線用戶分散到不同的智能無線接入點(diǎn)產(chǎn)品上入網(wǎng)，特別是針對大量的數(shù)據(jù)傳輸和視頻傳輸，這樣就可以有效的緩解單個(gè)無線接入點(diǎn)的負(fù)擔(dān)，有效利用周邊整體無線接入點(diǎn)的資源，從而確保每個(gè)需要上網(wǎng)的用戶的正常數(shù)據(jù)訪問的質(zhì)量。無線網(wǎng)絡(luò)認(rèn)證及安全規(guī)劃安全策略的集中實(shí)現(xiàn)傳統(tǒng)的無線網(wǎng)絡(luò)的安全策略均分布在每一臺無線接入點(diǎn)上，不但需要單獨(dú)配置，帶來巨大的工作量，而且如果需要更改策略，還需要全部重新配置，這是無法接受的。如果無線接入點(diǎn)設(shè)備被盜，非法用戶可以從設(shè)備中讀出相應(yīng)的入網(wǎng)認(rèn)證、加密等信息，從而很輕易地入侵無線網(wǎng)絡(luò)。基于這一問題，銳捷網(wǎng)絡(luò)推出的智能無線交換網(wǎng)絡(luò)架構(gòu)，將所有的安全策略全部集中到智能AC上統(tǒng)一發(fā)布和控制，包括用戶身份認(rèn)證、入網(wǎng)行為控制、安全加密、病毒庫、無線入侵檢測、無線電射頻管理等，網(wǎng)管人員只要在智能AC上配置安全策略，就可以輕松地完成了整網(wǎng)的安全策略的配置，解決了工作量的問題，同時(shí)也避免了無線接入點(diǎn)被盜產(chǎn)生的安全信息外泄的危機(jī)。安全的本地零配置在傳統(tǒng)的無線接入點(diǎn)組網(wǎng)中，非法用戶完全可能通過盜取無線接入點(diǎn)并讀取入網(wǎng)密碼等信息，繼而入侵網(wǎng)絡(luò)。智能ACMX200R通過對智能無線接入點(diǎn)的控制，使得智能無線接入點(diǎn)產(chǎn)品在本地并不保存任何數(shù)據(jù)，而是全部實(shí)時(shí)存儲在智能AC上，因此智能無線接入點(diǎn)可以實(shí)現(xiàn)靈配置，這對于安全而言是非常有效的，完全杜絕了非法用戶在接入層盜取設(shè)備截獲信息的可能，同時(shí)也大大簡化了本地化的工作量。無線網(wǎng)絡(luò)入侵檢測無線網(wǎng)絡(luò)由于使用空中的無線電射頻信道工作，因此基于無線網(wǎng)絡(luò)的入侵防護(hù)顯得尤為重要。這其中包括非法無線接入點(diǎn)的防范與非法用戶連接訪問的防范。非法無線接入點(diǎn)可能侵占合法無線接入點(diǎn)的正常信道工作，這樣不但會對合法的無線接入點(diǎn)產(chǎn)生干擾，由于非法設(shè)備往往不具備安全功能，還會將非法用戶之間帶進(jìn)有線網(wǎng)絡(luò)中。采用銳捷網(wǎng)絡(luò)智能AC產(chǎn)品，可以控制每臺智能無線接入點(diǎn)產(chǎn)品動態(tài)掃描其所處的環(huán)境，并將掃描到的設(shè)備信息送交AC及網(wǎng)管平臺查詢，這樣網(wǎng)絡(luò)管理人員即可實(shí)時(shí)發(fā)現(xiàn)是否有非法無線接入點(diǎn)存在，隨后可以開啟自動保護(hù)機(jī)制，阻止無線用戶通過非法無線接入點(diǎn)進(jìn)入無線網(wǎng)絡(luò)。另一種重要威脅是非法無線用戶對合法無線接入點(diǎn)的入侵?；ヂ?lián)網(wǎng)上可以輕易地下載到很多無線入侵和攻擊工具，而原先傳統(tǒng)的無線接入點(diǎn)設(shè)備均都沒有偵測無線入侵的功能，所以當(dāng)受到像無線DOS攻擊時(shí)，就會誤以為是無線電波的信號受干擾或AP出現(xiàn)不穩(wěn)定情況。這些攻擊將會導(dǎo)致用戶的無線連接斷線，但網(wǎng)管人員卻無法在第一時(shí)間得到報(bào)警。利用銳捷網(wǎng)絡(luò)的智能無線網(wǎng)絡(luò)架構(gòu)技術(shù)，智能AC本身內(nèi)置無線入侵模式庫，可以實(shí)時(shí)檢測異常的無線數(shù)據(jù)包，當(dāng)無線系統(tǒng)偵測出有入侵時(shí)，它會記錄和顯示入侵的格式，并對入侵做出自動保護(hù)響應(yīng)和報(bào)警，并提醒網(wǎng)管人員注意并提示相應(yīng)的解決措施。病毒入侵防護(hù)對無線終端的病毒防護(hù)可分為無線終端的準(zhǔn)入檢查和對無線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查。當(dāng)無線終端試圖訪問網(wǎng)絡(luò)，在該用戶認(rèn)證之前，需要下載一個(gè)基于JAVA的程序，可以對無線終端的操作系統(tǒng)打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況，做一個(gè)檢查，如果不能通過檢查，可以設(shè)定策略禁止其訪問網(wǎng)絡(luò)，也可設(shè)置成將無線用戶重定向到一臺升級服務(wù)器，打系統(tǒng)補(bǔ)丁、安裝防病毒軟件和升級病毒定義碼，滿足系統(tǒng)制定的安全策略以后，該無線終端才可以進(jìn)入認(rèn)證環(huán)節(jié)進(jìn)行用戶的認(rèn)證。通過了準(zhǔn)入檢查后，但是如何對無線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和WIFI是更加進(jìn)一步的病毒防護(hù)手段。通過和第三方的防病毒廠家合作，銳捷網(wǎng)絡(luò)的智能AC產(chǎn)品可以允許設(shè)定策略，對于某些用戶以及某些可能沾染病毒的數(shù)據(jù)，將其重定向到防病毒設(shè)備上進(jìn)行防病毒檢查，檢查完成后，才允許通過，否則會將數(shù)據(jù)丟棄?；谏鲜龉ぷ鬟^程，智能無線交換網(wǎng)絡(luò)系統(tǒng)即可實(shí)現(xiàn)對無線終端有效病毒防護(hù)。無線安全認(rèn)證接入在部署無線網(wǎng)絡(luò)之后，根據(jù)要求，同時(shí)對有線網(wǎng)和無線網(wǎng)進(jìn)行統(tǒng)一的認(rèn)證。具體到無線網(wǎng)絡(luò)的認(rèn)證要求是：1．當(dāng)無線用戶想要接入無線網(wǎng)絡(luò)時(shí)，首先連接到附近的無線網(wǎng)的接入點(diǎn)（AP）上。2．無線接入點(diǎn)（AP）發(fā)現(xiàn)有用戶要求進(jìn)行無線連接時(shí)，會要求用戶進(jìn)行帳號認(rèn)證。3．用戶端的操作系統(tǒng)在收到AP的信號后，會要求用戶輸入系統(tǒng)的帳號和密碼。4．用戶輸入完后，會將加密后的用戶名密碼發(fā)送給無線AP。5．無線AP在收到加密后的用戶帳號、密碼后，會將其發(fā)送給認(rèn)證系統(tǒng)進(jìn)行確認(rèn)。6．認(rèn)證系統(tǒng)在確認(rèn)AP發(fā)來的帳號、密碼后，會發(fā)送指令給AP。命令A(yù)P接受或拒絕用戶的無線連接請求。7．如果認(rèn)證系統(tǒng)命令A(yù)P接受用戶連接，則AP打開無線信道，允許用戶接入，同時(shí)認(rèn)證系統(tǒng)開始對用戶進(jìn)行網(wǎng)絡(luò)。本次籌建無線網(wǎng)絡(luò)系統(tǒng)，XX廣電集團(tuán)要求新建的無線系統(tǒng)能夠在認(rèn)證方面與原有的有線網(wǎng)絡(luò)認(rèn)證體系完全融合，對認(rèn)證用戶完全透明，不增加用戶的認(rèn)證次數(shù)和復(fù)雜性，同時(shí)還要保證無線用戶入網(wǎng)即認(rèn)證的目的，便于控制無線用戶的安全訪問和與有線網(wǎng)絡(luò)的認(rèn)證賬號統(tǒng)一性。銳捷網(wǎng)絡(luò)提供的無線接入點(diǎn)產(chǎn)品將與目前XX廣電集團(tuán)的寬帶認(rèn)證管理系統(tǒng)聯(lián)動以滿足客戶的需求。具體實(shí)現(xiàn)方式是采用無線接入點(diǎn)已經(jīng)良好支持的EAPPEAP作為認(rèn)證加密協(xié)議，保證用戶認(rèn)證傳輸過程中的安全和身份的核查。認(rèn)證用戶采用與有線網(wǎng)絡(luò)一致的用戶名和密碼，無線接入點(diǎn)作為EAPPEAP的認(rèn)證體，管理網(wǎng)關(guān)作為后臺Radius。具體工作原理如下：建成后的XX廣電集團(tuán)無線網(wǎng)絡(luò)將獲得與有線網(wǎng)絡(luò)一致的認(rèn)證方式，同時(shí)兼顧了無線網(wǎng)絡(luò)的連接過程的安全，為此而進(jìn)行的開發(fā)合作與調(diào)整是基于國際標(biāo)準(zhǔn)認(rèn)證協(xié)議進(jìn)行的，可保證開發(fā)投入的風(fēng)險(xiǎn)降低。無線網(wǎng)絡(luò)用戶隔離在目前面向行業(yè)級的WLAN產(chǎn)品的安全技術(shù)中，越來越強(qiáng)調(diào)單機(jī)安全策略的強(qiáng)化，以及與有線網(wǎng)絡(luò)安全互補(bǔ)的核心思想。其中，SSID、WEP、WPA、VLAN等一系列技術(shù)的運(yùn)用，將有效的提高無線網(wǎng)絡(luò)的安全防御能力。本此規(guī)劃中，將按照層次化的設(shè)計(jì)理念，完成XX廣電集團(tuán)的無線網(wǎng)絡(luò)安全需求。SSID（無線標(biāo)識符）是用于無線終端與接入點(diǎn)匹配以獲得通信的明文密碼，對于初級安全防范有一定作用，且配置快速簡單，非常適合室外無線覆蓋使用。尤其是啟用了目前先進(jìn)的SSID廣播禁止功能之后，由于空中不再廣播明文的SSID號碼，使得那些擁有截獲SSID密碼的無線終端非法訪問網(wǎng)絡(luò)。另外，WEP（有線等效密鑰）和WPA（接入保護(hù)）技術(shù)的出現(xiàn)，可以通過大量的密文加密位和動態(tài)的密鑰，為非法訪問者制造很高的安全難度，從而避免網(wǎng)絡(luò)安全時(shí)間的發(fā)生。在無線網(wǎng)絡(luò)規(guī)劃中，由于目前有線網(wǎng)絡(luò)咦具備一定規(guī)模，因此，在無線網(wǎng)絡(luò)融合進(jìn)有線網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換之前，通過WEP和WPA加密技術(shù)可以增加一層保護(hù)手段，可以極大的提升安全防御的能力。另外，對于室內(nèi)AP產(chǎn)品，由于其開放于公共環(huán)境，面對的是所有用戶群體，對不同的用戶群體的權(quán)限和身份識別則成為必須的功能。因此，AP產(chǎn)品應(yīng)選擇具備VLAN功能的無線產(chǎn)品，協(xié)助接入層無線用戶與接入層交換機(jī)用戶同樣接受全網(wǎng)統(tǒng)一管理和VLAN的劃分，這樣可以徹底解決無線用戶無法管、不方便管的疑難問題。基于以上的需求，建議在AP針對不同用戶開啟不同的VLAN，并可在每個(gè)VLAN內(nèi)實(shí)現(xiàn)用戶物理隔離，并可以對每個(gè)VLAN實(shí)現(xiàn)單獨(dú)的SSID分配、WEP和WPA加密，以及認(rèn)證。可以為同一個(gè)AP覆蓋范圍內(nèi)的不同用戶實(shí)施不同的管理手段，強(qiáng)化了整個(gè)無線網(wǎng)絡(luò)的分布式安全防御能力。該功能尤其對于啟用了DHCP動態(tài)地址分配能力之后，可獲得更好的效果，可以針對不同的地址上段實(shí)現(xiàn)VLAN劃分，并賦予不同的安全策略，實(shí)現(xiàn)的動態(tài)安全體系，更可以為未來發(fā)展中的網(wǎng)絡(luò)自防御體系打下很好的基礎(chǔ)。網(wǎng)絡(luò)審計(jì)平臺部署方式根據(jù)規(guī)范要求，在此次項(xiàng)目中采用串聯(lián)部署。此種部署通過在網(wǎng)絡(luò)出口直接部署安全審計(jì)與業(yè)務(wù)分析系統(tǒng)采集設(shè)備，此種部署方式既可以通過該系統(tǒng)的分析模塊對整個(gè)城域網(wǎng)的業(yè)務(wù)信息進(jìn)行處理，從而獲取局方所需信息；也可以對所分析出來的網(wǎng)絡(luò)應(yīng)用問題進(jìn)行及時(shí)的優(yōu)化處理。功能介紹狀態(tài)防火墻功能l 報(bào)文過濾：通過訪問控制列表（ACL）實(shí)現(xiàn)了靈活的各種粒度的報(bào)文過濾,包括：標(biāo)準(zhǔn)ACL、擴(kuò)展ACL。l 狀態(tài)檢測：識別網(wǎng)絡(luò)流量，并針對每條網(wǎng)絡(luò)流量建立從二層至七層的狀態(tài)信息。并基于這些狀態(tài)信息進(jìn)行各種豐富的安全控制和更深粒度的報(bào)文過濾，包括：報(bào)頭檢查、IP分片支持、特殊應(yīng)用協(xié)議支持等。l 攻擊防御：基于狀態(tài)檢測可以防御的各種網(wǎng)絡(luò)攻擊包括：IP畸形包攻擊、IP假冒、TCP劫持入侵、SYNflood、Smurf、Ping