【文章內(nèi)容簡(jiǎn)介】 平臺(tái) 運(yùn)營計(jì)費(fèi)平臺(tái) 學(xué)校 A 教學(xué)區(qū) 圖書館 學(xué)生宿舍 教學(xué)區(qū) 圖書館 … AC 校園網(wǎng)無線入口網(wǎng)關(guān) BRAS 匯聚交換機(jī) 教學(xué)區(qū) 圖書館 學(xué)生宿舍 學(xué)校 B 學(xué)校 A校內(nèi)網(wǎng) 校內(nèi)網(wǎng)用戶的 IP地址由學(xué)校負(fù)責(zé)分配，運(yùn)營商為不同的學(xué)校接入用戶提供不同的接入 IP，便于對(duì)業(yè)務(wù)流量進(jìn)行統(tǒng)計(jì)和管理 33 部署篇 — PPPoE認(rèn)證 AC 無線 AP接入?yún)^(qū) 教學(xué)區(qū) 圖書館 學(xué)生宿舍 無線 MESH接入?yún)^(qū) MPP 學(xué)校操場(chǎng) MAP MP MP 校園網(wǎng)和CERNET網(wǎng) 接入交換機(jī) 城域網(wǎng) /Inter 運(yùn)營認(rèn)證計(jì)費(fèi)平臺(tái) BRAS 匯聚交換機(jī) 校方無線接入控制點(diǎn) 認(rèn)證數(shù)據(jù)流 ? 校園用戶帳號(hào)和 VLAN綁定認(rèn)證，防止漫游 ? 使用大網(wǎng)認(rèn)證服務(wù)器認(rèn)證 34 部署篇 — Portal認(rèn)證 AC 無線 AP接入?yún)^(qū) 教學(xué)區(qū) 圖書館 學(xué)生宿舍 無線 MESH接入?yún)^(qū) MPP 學(xué)校操場(chǎng) MAP MP MP 校園網(wǎng)和CERNET網(wǎng) 接入交換機(jī) 城域網(wǎng) /Inter 運(yùn)營認(rèn)證計(jì)費(fèi)平臺(tái) BRAS 匯聚交換機(jī) 校方無線接入控制點(diǎn) 認(rèn)證數(shù)據(jù)流 ? SSID1：校園內(nèi)網(wǎng)訪問，由學(xué)校分配 IP地址 ? SSID2： Inter訪問，由運(yùn)營商分配 IP地址 ? 校園用戶帳號(hào)和 VLAN綁定認(rèn)證，防止漫游 ? 使用大網(wǎng)認(rèn)證服務(wù)器認(rèn)證 ? 校內(nèi)和教育網(wǎng)資源訪問由校方做認(rèn)證 35 基于用戶群的智能帶寬管理 1 2 3 4 5 6 7 8 9 10UsersBandwith 城域網(wǎng)/Inter CERNET 校內(nèi)網(wǎng)管平臺(tái) 運(yùn)營計(jì)費(fèi)平臺(tái) 無線 AP接入?yún)^(qū) 教學(xué)區(qū) 圖書館 學(xué)生宿舍 教學(xué)區(qū) 圖書館 … AC 校園網(wǎng)無線入口網(wǎng)關(guān) BRAS 匯聚交換機(jī) 東北財(cái)經(jīng)大學(xué)，西南師范大學(xué) 可以有效防止校內(nèi) P2P業(yè)務(wù)占用過多的帶寬，導(dǎo)致運(yùn)營商正常用戶無法使用網(wǎng)絡(luò)，同時(shí)可以提供同校園網(wǎng)出口差異化的帶寬競(jìng)爭(zhēng) 36 基于 SSID的可定制轉(zhuǎn)發(fā)模式 城域網(wǎng)/Inter CERNET 校內(nèi)網(wǎng)管平臺(tái) 運(yùn)營計(jì)費(fèi)平臺(tái) 無線 AP接入?yún)^(qū) 教學(xué)區(qū) 圖書館 學(xué)生宿舍 教學(xué)區(qū) 圖書館 … AC 校園網(wǎng)無線入口網(wǎng)關(guān) BRAS 匯聚交換機(jī) 訪問校內(nèi)網(wǎng)用戶本地轉(zhuǎn)發(fā) 訪問 Inter用戶集中轉(zhuǎn)發(fā) 基于 SSID的本地轉(zhuǎn)發(fā)模式為新業(yè)務(wù)開展提供了靈活的基礎(chǔ) 37 運(yùn)營級(jí)無線校園網(wǎng)安全篇 業(yè)務(wù) 管理 安全 部署 擴(kuò)展 1. 防 Rouge AP 2. 防私拆 AP 3. 防 ARP攻擊 4. VPN業(yè)務(wù) 5. 視頻監(jiān)控業(yè)務(wù) 6. 漫游業(yè)務(wù) 38 運(yùn)營級(jí)無線校園網(wǎng)安全架構(gòu) AC和 AP間的 CAPWAP隧道下行 流量限速 無線安全插卡 ,防攻擊 和提供 SSL/IPSEC VPN AP身份認(rèn)證 全系列 PoE交換機(jī) 端口隔離 動(dòng)態(tài)密鑰下發(fā)， Hotspot用戶隔離 TKIP/AES/橢圓加密（ WAPI）， 智能帶寬限速 有線無線 一體化 EAD 有線無線一體化網(wǎng)絡(luò)拓?fù)? 非法設(shè)備監(jiān)控、定位和告警，設(shè)備信道調(diào)整告警 有線無線 安全策略 在無線控制器統(tǒng)一部署 城域網(wǎng)/Inter 運(yùn)營計(jì)費(fèi)平臺(tái) 無線 AP接入?yún)^(qū) 教學(xué)區(qū) 圖書館 學(xué)生宿舍 AC BRAS 匯聚交換機(jī) ，升級(jí)支持 WAPI 防 ARP攻擊 和 DHCP Server外掛， ARP Proxy 39 安全無線校園網(wǎng) 大容量無線控制器 +安全插卡 實(shí)現(xiàn)基于業(yè)務(wù)的數(shù)據(jù)識(shí)別，為運(yùn)營商的業(yè)務(wù)開展提供有力的支持 一體化硬件平臺(tái)： ?大容量無線控制器 +安全插卡 ?一體化 EAD解決方案 城域網(wǎng)/Inter 運(yùn)營計(jì)費(fèi)平臺(tái) 學(xué)校 B 教學(xué)區(qū) 圖書館 學(xué)生宿舍 AC BRAS 匯聚交換機(jī) 學(xué)校 A 教學(xué)區(qū) 圖書館 學(xué)生宿舍 教學(xué)區(qū) 圖書館 學(xué)生宿舍 學(xué)校 C 40 校園網(wǎng)中的 Rouge AP多為學(xué)生私接的的 AP，對(duì)這類 AP的管理可以通過網(wǎng)絡(luò)技術(shù)進(jìn)行屏蔽，如所有的以太網(wǎng)端口都必須經(jīng)過 Portal認(rèn)證，避免直接掛 AP方式接入網(wǎng)絡(luò)，另外需要通過學(xué)校的規(guī)章制度進(jìn)行引導(dǎo) FIT AP方案可以監(jiān)聽 Rouge AP，發(fā)現(xiàn) Rouge AP后，可以采取如下的措施： 1. 告警，及時(shí)通知管理人員進(jìn)行干預(yù) 2. 對(duì) Rouge AP進(jìn)行攻擊 ?拒絕接入 ?丟棄報(bào)文 周期性監(jiān)聽空口信息 設(shè)備信息報(bào)告 AP 非法設(shè)備 無線控制器 向非法設(shè)備發(fā)起攻擊 設(shè)備過濾 列入黑名單 攻擊指示 Rouge AP檢測(cè) ?學(xué)生在宿舍區(qū)的私接 AP設(shè)備，對(duì)運(yùn)營商設(shè)備產(chǎn)生干擾。 41 私拆 AP問題的防范 ?學(xué)生將運(yùn)營商部署的 AP設(shè)備拆卸到寢室安裝使用 采用 FIT AP模式，一旦 AP離線， AC立即產(chǎn)生告警，另外 FIT AP本身無配置，必須配合 AC使用，偷之無用，一旦接入運(yùn)營商網(wǎng)絡(luò)即可發(fā)現(xiàn)該設(shè)備連接的端口，避免 AP被挪用 城域網(wǎng)/Inter 運(yùn)營計(jì)費(fèi)平臺(tái) 教學(xué)區(qū) 圖書館 學(xué)生宿舍 BRAS 匯聚交換機(jī) AC 校園區(qū)域 運(yùn)營商局端 教學(xué)區(qū) 圖書館 學(xué)生宿舍 42 Portal Server 防 ARP攻擊 FIT/FAT 雙模 AP AC L2/L3 IP IMC DHCP Server DNS Server GW 00E0FC010203 ARP: MAC: XXXXXXXXXXXX 方法一： 1. 用戶認(rèn)證時(shí)利用 iMC獲取合法用戶的 IP/MAC對(duì)應(yīng)關(guān)系 2. iMC和 AC聯(lián)動(dòng)，綁定合法用戶的對(duì)應(yīng)表項(xiàng)，在AC中過濾掉所有不匹配的 ARP報(bào)文 3. iMC和 AC聯(lián)動(dòng)，綁定合法用戶的對(duì)應(yīng)表項(xiàng)，防止網(wǎng)關(guān)被非法 ARP報(bào)文欺騙 方法二 1. 在 iNode客戶端上綁定網(wǎng)關(guān)的 ARP表項(xiàng) 2. 利用 iNode客戶端實(shí)現(xiàn)本機(jī) ARP攻擊檢測(cè) 3. 能夠支持 1x和 Portal兩種認(rèn)證的方式 43 BRAS AC DHCP服務(wù)器 ?BRAS解析 DHCP交互報(bào)文，并據(jù)此生成合法 ARP表（授權(quán)ARP) ?關(guān)閉 BRAS ARP廣播 ?丟棄目標(biāo)地址未知的掃描類攻擊報(bào)文 想發(fā)送欺騙報(bào)文？丟棄！ 想做網(wǎng)段掃描？丟棄！ 攻擊者 授權(quán) ARP：有效防護(hù)校園 ARP攻擊和掃描類攻擊 AP 監(jiān)控 DHCP交互報(bào)文獲取合法用戶的 IPMACport關(guān)系 BR