【導讀】無線局域網解決方案建議書

　　

【正文】 這樣使得加密的方式更加的靈活，可以根據實際需求進行選擇。 （ 3） 用戶認證提供二種方式 ： ① WPAPSK＋ captive portal+VPN。 加密方式采用 WPAPSK， 不建議采用靜態(tài) WEP， 因為有安全隱患。采用 captive portal+VPN 的認證方式，同時 VPN 還具有三層的加密功能，具有更高的安全性。認證服務器的選擇比較靈活，可以使用 RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS，甚至是 Aruba 交換機內置的帳戶數據庫。 ② WPA+ 加密方式盡量采用 WPA， 如果客戶端不支持也可采用動態(tài) WEP，認證方式采用 ，認證服務器選擇 RADIUS。 （ 4）用戶的 Role（角色）：每一類用戶可以建立一個相關的 Role，每個 Role 有一個用戶狀態(tài)防火墻的設定和帶寬控制的設定，這樣我們就可以將設定的安全策略加載到每個用戶身上。 （ 5）用戶狀態(tài)防火墻：用戶通過認證以后，會有一個基于這個用戶的狀態(tài)防火墻，可以根據每個用戶設置他的訪問控制策略，比如 可以訪問 Inter,不能訪問圖書館的服務器，只能訪問 WEB 網頁和收發(fā)郵件，不能運行 P2P 的軟件等。 21 （ 6）帶寬 控制：可以對每個用戶設定其可以使用的帶寬，一方面可以限制其對網絡資源的占有，另一方面，當該客戶端中了病毒以后，其病毒發(fā)作時不會占用網絡全部的帶寬。 （ 7）認證系統(tǒng) 支持 ： Aruba 無線系統(tǒng)支持多種認證系統(tǒng)，諸如 Radius、 LDAP、微軟的 AD（活動目錄）和在 Aruba 無線交換機內部的 Internal DB 等等 。 （ 8） 網絡 病毒的防護：無線終端病毒防護的可以從無線終端的準入檢查以及對無線 終端發(fā) 出 數據進行有效的檢測兩個層面來進行的。準入檢查可以檢查終端 操作系統(tǒng)的安全狀態(tài)，諸如系統(tǒng)打補丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況，并設置安全策略是否準予進入網絡。在數據的檢測上， Aruba 無線交換機上可以設定策略，對于某些無線用戶沾染病毒的終端， Aruba 無線系統(tǒng)將其導向到第三方防病毒系統(tǒng)進行防病毒的檢查，檢查完成后，才允許接入。 4． 5 移動漫游設計 無線用戶移動漫游，涉及到多個層次的漫游，最為簡單的是二層漫游，其他廠家產品都表現(xiàn)不錯，三層漫游就困難多了，還有當用戶跨越多個域時怎樣無縫 漫 游， Aruba 無線局域網可以實現(xiàn)快速無縫 漫游功能。 L2/L3 層漫游 在傳統(tǒng)的無線局域網內，無線終端要跨越不同 AP 之間漫游是有一定的困難，因為不同 AP 之間，它的無線用戶 IP 子網可能都不是在同一個 VLAN 內。所以當無線終端從一個AP 漫游到另一 AP 時，由于它們之間的缺省 IP 子網不同，無線終端會重新發(fā)出 DHCP 請求，這樣的話終端的 IP 地址就會更新， 所有在原先 AP 建立的連接都會被切斷。過去為了解決跨越三層的漫游，有些用戶采用了 Mobile IP 的技術，但 Mobile IP 的缺點是它必須在無線終端安裝軟件。這是一般網 絡管理人員不愿意做的事情，因為它們就必須支持和維護用戶的無線接入端。 通過 Aruba 無線系統(tǒng)的代理 DHCP 功能，就可解決了跨越不同三層 IP 子網的無線漫游問題。 當無線終端從一個 AP 的 IP 子網漫游到另一個 AP 的 IP 子網時，它重新發(fā)出的DHCP 請求 ， 會從 AP 端的 Aruba 無線交換機轉發(fā)到原有子網的無線交換機 (用戶從那一個AP 獲取它的 IP 地址 )。用戶的原交換機會告知用戶漫游到的 Aruba 交換機繼續(xù)保持用戶的原有的 IP 地址。 無線用戶已漫游到另一個 IP 子網，但它仍可以原有的 IP 地址繼續(xù)在新的 22 AP 上入網。 代理 DHCP 的優(yōu)點是無要 在用戶終端安裝任何軟件就可讓終端無縫的在不同IP 子網之間漫游。 C O NF I D E NT I A L P R E S E NT A T I O N – P a g e 45跨 IP 子網的 交替連接 語音不會中斷跨 IP 子網的 交替連接 語音不會中斷子 網 1子 網 2D HC P1 0 . 1 . 1 . 11. 根據 VLAN 的連接用戶從 DHCP 服務器接收到一 個 IP 地 址122. 當用戶轉移到新的 IP 子網時會發(fā)出另一 DHCP 請 求5 . 當用戶漫游跨 越 A ruba 交換機 時線路連接不會中 斷33 . 透 過 p ro x y DH CP , A ruba ’ s 交換機更改請求使終 端 維持原來的 IP a d d res s1 0 . 1 . 1 . 144. 在新的 IP 子 網內，用 戶接收到原有的 IP 地 址IP I P TunnelA r u b a A P 在不同域之間的用戶認證和漫游 在 大型網絡內，一般都有很多不同的部門，部門內通常都有自己的用戶數據庫，即所謂的本地認證服務器。在實現(xiàn)應用時，要求有單一的認證數據庫是未必可行的，但同時無線用戶應是可在內無縫漫游。 當用戶不是在本地入網或是從一個部門的接入點漫游到另一部門的接入點需要重新認證時，如果用戶名和密碼在當地的數據庫是不存在的話，則用戶會被斷線。要做到真 正的無縫漫游，則需要有支持 Radius 代理 這樣的功能。但由于不是所有的認證服務器都支持這種功能所以在具體實施時也有一定的困難。 Aruba 本身就可提供不同域之間的認證功能，域名可以與 SSID 綁定，亦可以讓用戶在登陸網頁時輸入或選擇域名。 Aruba 會把在不同域之間的認證請求轉發(fā)到對應這域的 radius 服務器處理。 23 五、 XXXX 無線局域網系統(tǒng) 建議 5． 1 無線覆蓋 建議 根據 無線網絡需求 及 園區(qū) 內 實地的了解，并結合以往的工程經驗， 對 無線網絡覆蓋做出以下規(guī)劃： （給出無線接入點部署規(guī)劃圖，總結設備需求清單） 5． 2 無線組網實現(xiàn) Aruba 6000 交換機，放置在網絡機房， Aruba 6000 無線交換機可以 最多 可 支持 512個 AP 的接入和管理 ，完全滿足 園區(qū) 無線覆蓋的需求，并留有 充足 的擴展余量。 Aruba 6000交換機 集中 匯集 AP 的接入 和 控管。無線交換機和 AP 的連接可以穿透三層 網絡設備 ，因此，無線網絡不影響原有網絡的結構， 可以實現(xiàn)全網的 無線 漫游。 Aruba 公司 的 60/61 系列 AP ，具有 Aruba AP 的各種安全和管理功能， Aruba 交換機可以完全使用管理 Aruba AP 的管理方式一樣來管理該款新型 AP，實現(xiàn)所 有 Aruba 提供的安全和管理功能。 無線局域網系統(tǒng)組網示意圖所示 : 閱覽室 住宅 樓 辦公 樓 會議中心 辦公樓 Aruba6000 三層交換機 主交換機 園區(qū) 網/Inter 24 AP 的供電 可以 采用單獨的 PoE 供電設備（ 與原有的普通樓 層交換機配合，不用添加新的 POE 交換機），用于 AP 數據接入和供電，又不增加過多的成本。 無線局域網系統(tǒng)， 可以支持 在 園區(qū) 內的任何一處，即便是在沒有安裝有線網絡信息點的地方，也可以很方便地進行可視化的音視頻教學和召開各種需要使用網絡音視頻的會議。在無線網絡音視頻會議教學系統(tǒng)的支持下，在校的留學生、教師和行政辦公人員以及與會的來賓等，就可以利用其所攜帶的筆記本電腦或是配置有無線網絡適配器的 PC 機，在 學校 內的任何一個地方上網與世界的任何一地進行信息交流、教學或媒體演示。 教師和學生以及 學生 也可以隨時查閱網上的資料或 遞交電子文檔的作業(yè)等，這樣可以十分方便、快捷地創(chuàng)造一個多方位的可視化的遠程多媒體教學環(huán)境。 5． 3 網絡用戶與應用管理實現(xiàn) 從 學校 的上網用戶類型與應用類型情況分析，用戶主要有： （ 1） 學校 教職員工； （ 2） 來訪學者和 學生； （ 3）參加會議人員和來訪人員； （ 4） 學校 工作人員； （ 5）長期租用 學校 辦公的人員。 應用主要有：（ 1）多媒體與網絡教學；（ 2）各種學術報告與會議需要的移動 VoIP（音視頻）；（ 3）移動業(yè)務辦公；（ 4）訪問 Inter。 采用 Aruba 無線系統(tǒng)的多 SSID 結構的管理技術將不同類型的用戶 和應用劃分到不同的 SSID 中，賦予不同的訪問規(guī)則與權限以及配置不同的管理策略。 在方案實現(xiàn)上使用 多 個 SSID：一個供學生用戶和來賓使用，可以不用加密，只做基于WEB 的接入認證，另一個 SSID 供 學校 教職員工和工作人員使用，該 SSID 被配置為隱含，不廣播出來，采用 WPA 加密＋ 認證方式，確保此類用戶 安全性。 音視頻會議應用使用專門的 SSID。只出現(xiàn)在需要提供這類應用服務的 AP 上，其他AP 都沒有該 SSID，用戶也就無從使用該 SSID 訪問網絡，保證 無線網絡的安全性。將訪問策略中的語音業(yè)務和視頻業(yè)務的應用優(yōu)先 級提到最高，以確保這些服務的質量。 25 綜上所述，無線局域網系統(tǒng)共開設 多 個 SSID。 2 個 SSID 用于數據應用，分別對應 2類用戶，另外 2 個 SSID 有選擇的出現(xiàn)在某些 AP 上，分別提供語音和視頻的服務。并同時采用不同的認證、加密和安全控管的手段，以方便的實現(xiàn)網絡安全和管理。 5． 4 多媒體 以及音視頻應用的實現(xiàn) 在會議廳、報告廳實現(xiàn)無線覆蓋，可以建立 Aruba 的無線音視頻會議網絡系統(tǒng)平臺。考慮到會議廳、報告廳以及多功能廳的用途，接入的用戶多的情況，覆蓋時需要考慮接入容量因素。在這個平臺上為各種會議、報告提供無線音視頻會議 系統(tǒng)，會議的組織者可以在這個平臺上方便地、靈活地使用音視頻會議系統(tǒng)，為會議參加者提供豐富地文字、語音、視頻會議服務，為主持會議者與參會者提供一個互動服務。 Aruba 無線系統(tǒng)以其技術先進的帶寬控制和 Qos 管理功能可以保證該系統(tǒng)的高效、穩(wěn)定和可靠的運行。使用 Aruba 無線系統(tǒng)在 學校 的報告廳、各大小會議室以及多功能廳等區(qū)域實現(xiàn)無線覆蓋，利用無線音視頻會議網絡系統(tǒng)平臺可為各種會議提供豐富的文字、語音和視頻服務。通過無線局域網，可以輕松地實現(xiàn)主會場與分會場間資源共享的問題，這樣即可解決了會議場所的空間問題，又可以相應 地節(jié)省人力和物力。 5． 5 無線網的安全系統(tǒng)實現(xiàn) Aruba 無線網的安全系統(tǒng)實現(xiàn)如下安全功能： ? 接入認證控制： 驗證用戶， 授權他們接入特定的資源， 同時拒絕為未經授權的用戶提供接入。 ? 確保鏈路的保密與數據的完整： 防止未經授權的用戶讀取或更動在網絡上傳輸的數據。 ? 偵測和阻斷非法接入：防止非法 AP 接入 學校的 無線網絡中。 ? 監(jiān)測和阻斷無線攻擊： 防止攻擊占用某個接入點的所有可用帶寬， 導致其他用戶的正當接入。 ? 檢測無線終端的防病毒狀態(tài)：防止染有病毒的無線終端接入。 26 6 無線交換機的配置實施建議 一般廠家的 無線網絡產品在 園區(qū) 網規(guī)劃時都需要二層交換機連接或者劃分 VLAN，否則只能將認證點下放到 AP 上，導致整體性能的降低和漫游特性的缺失。 由于 Aruba 的 AP 是通過 GRE 的隧道連接到 Aruba 交換機上，所以 Aruba 產品在規(guī)劃上可以完全不改變 園區(qū) 網原有的網絡結構，同時實現(xiàn)無縫的二三層漫游。并且所有的 AP都統(tǒng)一規(guī)劃統(tǒng)一集中管理。 下面詳細敘述一下無線交換機在規(guī)劃配置實施時需要考慮的問題： 5． 6． 1 AP 的 VLAN 和無線用戶的 VLAN 第一代的無線局域網對 AP 所在的 VLAN(AP 為網絡設備 )和無線用戶所在的 VLAN 是沒有明確的區(qū)分。 第一代 無線 組網無論對無線用戶、 AP 和網絡的管理都有一定困難，而且很容易造成混亂。對網絡管理而然，網絡設備的 VLAN/IP 子網應當和用戶是分開，這樣才可確保正常網絡運行和維護。但在具體實施時，很多為了方便都會把 AP 和無線用戶設置在同一個 VLAN 內。這種組網方式在現(xiàn)今的非常普遍，所以一般用戶都誤解無線局域網的 SSID為局域網的 VLAN。 5． 6． 2VLAN 和無線 SSID 的關系 一般用