【導(dǎo)讀】浙江工商大學(xué)無線網(wǎng)絡(luò)。浙江貝爾技術(shù)有限公司。浙江貝爾技術(shù)有限公司杭州市西湖區(qū)西斗門路6號1/47

　　

【正文】 VLAN概念來劃分 SSID。其實在一個 AP 范圍內(nèi)，不管用戶連接到 哪 一個 SSID它們實際上都是在同一個 廣播域內(nèi)，因為無線電波的傳輸是共享。一個最簡單的例子就是 AP 把不同的 SSID名字廣播，所以當(dāng)無線終端在這個 AP 覆蓋范圍內(nèi)啟動時，它 就能同時看到多個 SSID。 SSID的最主要用途是可讓無線終端以不同的安全認(rèn)證和加密方式入網(wǎng)。 為什么要把不同的安全加密協(xié)議設(shè)置在不同的 SSID呢 ？ 數(shù)據(jù)包的封裝格式，所以在用戶的無線接入使用不同的加密程式，例如： WEP， TKIP（ WPA）， （ WPA2） 等等，不同加密方式不能在同一個 SSID內(nèi)同時存在的。 浙江工商大學(xué) 可根據(jù)實際的情況和 發(fā)展來制定以怎樣方式來實現(xiàn)無線加密。最常見的做法是使用多個 SSID，例如：一個定義為通過 WEB 門戶的方式為教師 /學(xué)生 /訪客使用，另一個 SSID則為 TKIP（ WPA） 專為第三方公司或者內(nèi)部員工使用。未來的發(fā)展趨勢是新增設(shè)一個 加密的 SSID讓員工以過度的方式逐漸從轉(zhuǎn)移到這個 SSID上。 要注意的是 SSID可以覆蓋全網(wǎng)，也可以只局限于校園網(wǎng)內(nèi)的某些范圍。一般的情況下是全網(wǎng)開通，例如：客人 （ Gues） 使用的 SSID；但有些 SSID則可能供某些部門使用，所以它的覆蓋范圍通常只會局限在某些范圍內(nèi)。 所以針對無線局域網(wǎng)多種用戶的不同業(yè)務(wù)類型應(yīng)該采取不同的 SSID進(jìn)行管理和控制。學(xué)校教職員工、學(xué)校工作人員和長期租用學(xué) 校辦公的人員屬于學(xué)院內(nèi)的固定用戶，可以采用專門的 SSID，可 浙江工商大學(xué)無線網(wǎng)絡(luò)方案建議書 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 26 / 47 以采用級別較高的認(rèn)證和加密手段，對于來賓和留學(xué)生、參加會議人員和來訪人員可以使用另一個SSID，采用級別相對較低的認(rèn)證和加密手段，這樣就實現(xiàn)了區(qū)分的服務(wù)。 能夠智能區(qū)分用戶及應(yīng)用的網(wǎng)絡(luò)架構(gòu) 浙江工商大學(xué) 作為一所 高等學(xué)府，每天都有大量的外來人員在校區(qū)內(nèi)活動，很多人員有移動辦公的需求；同時，學(xué)校又存在著大量對計算機(jī)技術(shù)不是非常精通的文科教師，如果強(qiáng)行采用 的認(rèn)證方式，如何為這些人員配置復(fù)雜的客戶端軟件，將會成為難以完成的任務(wù)。鑒于現(xiàn)在 浙江 工商大學(xué) 的統(tǒng)一認(rèn)證門戶的建設(shè)已經(jīng)完成，大多數(shù)老師 /學(xué)生已經(jīng)形成了固定的使用習(xí)慣，綜合多種利弊因素，建議老師 /學(xué)生 /訪客目前仍然按照通過加密的 WEB 門戶進(jìn)行認(rèn)證（ SSID仍為 XXX – wireless），ARUBA的安全交換機(jī)可以無縫的和已有的后臺 LDAP數(shù)據(jù)庫溝通 ,并可作多臺 LDAP的認(rèn)證服務(wù)器組群的相互備份。另外，可加設(shè)一個 或 WPA2 的 SSID（如 SSID為 XXXtecher），為高級別的教師或內(nèi)部員工提供直接訪問內(nèi)部資源的使用 。 浙江工商大學(xué)無線網(wǎng)絡(luò)方案建議書 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 27 / 47 ARUBA無線控制器內(nèi)置強(qiáng)大的 PORTAL登錄界面可以 通過網(wǎng)絡(luò)管理靈活簡潔的進(jìn)行客戶化，進(jìn)行廣告招商，登錄頁面推送，歡迎頁面推送等多種模式以配合 浙江工商大學(xué) 的 各種 活動策劃。當(dāng)訪客或?qū)W生來到無線覆蓋區(qū)域的時候，開啟筆記本電腦的無線網(wǎng)絡(luò)，可以搜尋并且連接 浙江工商大學(xué) 的無線網(wǎng)絡(luò)系統(tǒng) zjuwireless，當(dāng)打開 IE 等網(wǎng)絡(luò)瀏覽器的時候，會自動彈出 ARUBA的網(wǎng)頁認(rèn)證界面（界面可完全客戶化，根據(jù)客戶要求隨意定制），可以有以下幾種方式來控制訪客的上網(wǎng)流程： 訪客需要填寫帳號名和密碼，通過認(rèn)證之后能夠接入 浙江工商大學(xué) 的無線網(wǎng)絡(luò)，訪問更多的Inter 資源，但是無法訪問內(nèi) 網(wǎng)資源 。 通過 ARUBA 800提供的客戶化 Web Portal認(rèn)證功能 ,可很好的為外來訪問者提供接入網(wǎng)絡(luò)的可能。一種為前臺人員設(shè)計的獨特的簡化用戶生成系統(tǒng)，帶有到期時間和預(yù)設(shè)接入控制的臨時客人 ID。這樣，方便靈活的完成了對訪客的訪問 浙江工商大學(xué) 網(wǎng)絡(luò)資源的要求。 AP 規(guī)劃與統(tǒng)計 浙江工商大學(xué) 此次 覆蓋建筑 包括 教學(xué)區(qū)， 綜合行政樓 10 個樓層 、 圖書館 學(xué)生自學(xué)區(qū)域 。需要的室內(nèi) AP 及附屬天線數(shù)量如表 1 所示。 表 室內(nèi) AP 及附屬天線數(shù)量 建筑名 AP 數(shù) 天線數(shù) 教學(xué)區(qū) 30 30 綜合行政樓 10 個樓層 30 90 圖書館 學(xué)生自學(xué)區(qū)域 2 4 由于 浙江工商大學(xué) 無線網(wǎng)絡(luò)一期屬于 業(yè)務(wù) 試驗性質(zhì)， 所以目前配置的室內(nèi) AP 數(shù)量比較少，主要覆蓋表 1 建筑的部分重要空間，在項目實施過程中，可以考慮預(yù)留端口與點位，為未來的進(jìn)一步全面覆蓋以及業(yè)務(wù)延升打好基礎(chǔ)。 由于單個 AP 覆蓋的范圍有限，再加上此次覆蓋只提供基本的接入業(yè)務(wù)，為了擴(kuò)大覆蓋范圍，此次 行政樓 覆蓋可以考慮先采用室內(nèi)分布的方式，暫時通過增加連接 AP 的天線數(shù)量來擴(kuò)大覆蓋范圍。 無線 RF管理設(shè)計 網(wǎng)絡(luò)數(shù)據(jù)中心管理一個具有規(guī)模的無線局域網(wǎng)（通常在幾十個 AP 以上）是一件非 常頭痛的事情。從 RF 覆蓋面，帶寬，用戶的認(rèn)證，以及接入的安全都要考慮。由于傳統(tǒng)的無線局域網(wǎng)是單純基于 AP， 浙江工商大學(xué)無線網(wǎng)絡(luò)方案建議書 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 28 / 47 因此對于無線網(wǎng)絡(luò)的管理，其大量工作是要在每個 AP 上進(jìn)行設(shè)置和更改。其工作量在有一定數(shù)量AP 的無線網(wǎng)里是非常大和煩瑣的，而且無線局域網(wǎng)是一個整體系統(tǒng)， AP 之間必須 相 互協(xié)調(diào)工作，單獨改變一個 AP 參數(shù)和配置會引起 AP 之間的無線電波干擾，用戶漫游重認(rèn)證和授權(quán)也可能會產(chǎn)生問題。 ARUBA系統(tǒng)具有非常強(qiáng)的無線局域網(wǎng)集中管理功能，通過無線控制器 Master Switch 和 Local Switch 管理模式管理整個網(wǎng)絡(luò) ，網(wǎng)管人員只需在無線控制器就可開通、管理、維護(hù)所有 AP 設(shè)備以及移動終端，包括無線電波頻譜、無線安全、接入認(rèn)證、移動漫游以及接入用戶。 在本次項目中配置目前只配置了一臺無線控制器 ARUBA 800，將其設(shè)為 Master Switch?？梢院芊奖愕募锌毓芩邪惭b的 AP。在后續(xù)無線網(wǎng)絡(luò)規(guī)模擴(kuò)大的情況下，增加控制器即可。這時采用MasterLocal 的方式部署無線控制器，仍然能夠在 Master Switch 上對整個無線網(wǎng)絡(luò)設(shè)備集中控管。 ARUBA系統(tǒng)的 RF智能控管可以自動調(diào)節(jié)網(wǎng)上所有 ARUBA AP 的電波特 性。 智能無線射頻管理示意 初次安裝無線局域網(wǎng)時，用戶可通過 RF Planning的 Auto Calibration 功能來自動調(diào)節(jié)整個無線網(wǎng)上所有 AP 的無線電波頻率和功率。啟動了 Auto Calibration 以后 AP 和 AP 之間會自動互傳有關(guān)無線電波的信息和調(diào)整電波的參數(shù)，直到 AP 之間達(dá)到了一個最優(yōu)化的無線電波運行環(huán)境。 ARUBA系統(tǒng)的 RF智能控管可以自動對網(wǎng)上所有 ARUBA AP 的無線電波管理。 浙江工商大學(xué)無線網(wǎng)絡(luò)方案建議書 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 29 / 47 當(dāng)無線局域網(wǎng)經(jīng)過自動校準(zhǔn)的調(diào)整后而正式投入網(wǎng)絡(luò)運作時，網(wǎng)絡(luò)管理員可在 ARUBA 交換機(jī)內(nèi)啟動 ARM 這功 能，無線網(wǎng)上所有的 ARUBA AP 都會在設(shè)定的時間內(nèi)自行掃描其它的無線頻道。無線電波掃描是指 ARUBA AP 從一個電波頻道跳到另一頻道時，如 Ch 1 到 Ch 2 到 Ch 3....，由于掃描的速度非?？?，所以對于在線的無線用戶（指連接到 AP 上在同一頻率上的無線終端）的傳輸過程是不受到影響地。當(dāng) AP 停留在一個頻道時，它會把在這頻道上收到的無線電波信息轉(zhuǎn)送回 ARUBA 無線控制器。 ARUBA 無線控制器可以對整個無線網(wǎng)上的電波情況偵測和記錄。當(dāng)某一覆蓋范圍內(nèi)的無線電波改變，如出現(xiàn)干擾 AP 所發(fā)出的電波或其 它應(yīng)用所發(fā)出的電波等， ARUBA 無線控制器就會把所獲取的無線電波資料做分析，以確定是否需要調(diào)整這范圍內(nèi) AP 的無線電波。 無線安全性設(shè)計 安全保障的無線網(wǎng)絡(luò)的重要性 浙江貝爾 從網(wǎng)絡(luò)設(shè)計者的角度來看，對于 浙江工商大學(xué) 大規(guī)模部署無線網(wǎng)絡(luò)，必須對無線網(wǎng)絡(luò)的安全性加以重視， 浙江貝爾 建議從以下幾方面做到全方位的安全保證： ? 集中的安全管理 ARUBA無線系統(tǒng)的安全管理是將防火墻、 VPN、安全認(rèn)證、防病毒、無線入侵監(jiān)測 IDS 以及 RF 電磁波管理等多項安全功能匯聚到 ARUBA無線交換機(jī)上來完成的，解決了傳 統(tǒng)的無線網(wǎng)對安全的分散管理（ AP、 AC）和能力，給用戶帶來的不安全感，擺脫了對有線網(wǎng)安全的依賴性。 ? 多種用戶認(rèn)證方式組合 在 ARUBA無線系統(tǒng)中，一個無線用戶進(jìn)入無線網(wǎng)以后，只會拿到一個最基本的入網(wǎng)權(quán)限，這個權(quán)限不容許用戶訪問任何網(wǎng)段，只讓用戶通過 DHCP 獲取 IP 地址、傳送 DNS 協(xié)議數(shù)據(jù)包，通過認(rèn)證以后才可以接入無線網(wǎng)。 ARUBA無線系統(tǒng)支持目前各種用戶認(rèn)證的方式（ 、 WEB 認(rèn)證、 MAC、 SSID 等），校園網(wǎng)用戶可以根據(jù)需要方便選擇。 ? 無線訪問控制 用戶狀態(tài)防火墻是 ARUBA 無線交換機(jī)的獨特功能 ，它本身就是針對無線接入的特性而設(shè) 浙江工商大學(xué)無線網(wǎng)絡(luò)方案建議書 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 30 / 47 計。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒有用戶這概念，它的保護(hù)只是基于 IP 地址或物理端口來制定防火墻策略，所以對于沒有固定接入點的無線終端，這種防火墻的功效是不大。 ARUBA無線系統(tǒng)的防火墻功能則是與用戶認(rèn)證捆綁在一起，當(dāng)無線用戶成功通過認(rèn)證后，他會獲得一個預(yù)設(shè)的用戶狀態(tài)防火墻，不同的無線用戶有不同的防火墻策略，例如老師和工作人員可以使用更多的服務(wù)，而學(xué)生只可以瀏覽網(wǎng)頁、收發(fā) Email 等，這樣可以極大方便校園網(wǎng)用戶的安全管理。 ? 安全的 AP 技術(shù) ARUBA 無線系統(tǒng)和其它廠家在無線接入的認(rèn)證和 加密上最大的區(qū)別是前者不是通過 AP，而是在 ARUBA無線交換機(jī)上實現(xiàn)。由于 ARUBA的 AP 是不儲存任何網(wǎng)絡(luò)配置（ IP 地址除外）和安全設(shè)置，因此 ARUBA 管理的 AP 是不能單獨工作的，因此獲得或接入 ARUBA的 AP，黑客也不會拿到無線網(wǎng)的網(wǎng)絡(luò)和安全配置參數(shù)和信息。 ? 無線接入點安全偵測和保護(hù) 采用 ARUBA 無線系統(tǒng)的 RF偵測功能和保護(hù)機(jī)制可以實時監(jiān)測校園無線網(wǎng)覆蓋區(qū)域內(nèi)的所有 AP 接入情況 ,如相鄰房間的 AP、設(shè)置錯誤的 AP 以及未經(jīng)認(rèn)可而連接到網(wǎng)絡(luò)中的 AP。通過ARUBA 的網(wǎng)絡(luò)安全管理系統(tǒng)，網(wǎng)絡(luò)安全管理人員可以 及時發(fā)現(xiàn)是否有非法的 AP 接入，發(fā)現(xiàn)后可以開啟自動保護(hù)機(jī)制，阻止無線終端通過非法 AP 聯(lián)接到無線網(wǎng)中。 ? 無線網(wǎng)絡(luò)入侵偵測 IDS 今天已經(jīng)有很多的無線入侵和攻擊的工具可從網(wǎng)站下載，這些工具的普及對學(xué)校、和運營商的無線網(wǎng)的安全構(gòu)成很大的威脅。今天絕大部分的無線局域網(wǎng)都沒有偵測無線入侵的功能，所以當(dāng)受到像無線 DOS 攻擊時，就會誤以為是無線電波的信號受干擾或 AP 出現(xiàn)不穩(wěn)定情況。這些攻擊在 HotSpot 會導(dǎo)致用戶的無線連接斷線，但網(wǎng)管中心仍然不知，用戶則誤以為是網(wǎng)絡(luò)問題，間接影響無線網(wǎng)系統(tǒng)的品質(zhì)。 ARUBA 無線系統(tǒng)的 特點是交換機(jī)由專有的網(wǎng)絡(luò)處理器和加密處理器組成，且內(nèi)置一個無線入侵模式庫，實時檢測異常的無線數(shù)據(jù)包，當(dāng) ARUBA 無線系統(tǒng)偵測出有入侵時，它會記錄和顯示入侵的格式，并對入侵做出自動保護(hù)響應(yīng)。 ? 無線接入的病毒防護(hù) ARUBA無線系統(tǒng)針對無線終端的病毒防護(hù)分為兩個層面 ： 1） 無線終端的準(zhǔn)入檢查； 2） 對無線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控。 浙江工商大學(xué)無線網(wǎng)絡(luò)方案建議書 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 31 / 47 無線終端病毒防護(hù)的第一步是準(zhǔn)入檢查，當(dāng)無線終端連接到 ARUBA無線系統(tǒng)中，試圖訪問網(wǎng)絡(luò)，在用戶認(rèn)證之前，需要下載一個基于 JAVA 的程序，可以對無線終端的操作系統(tǒng)打補丁的情況、安 裝防病毒軟件的情況、以及防病毒定義碼升級的情況，做一個檢查，如果不能通過檢查，可以設(shè)定策略禁止其訪問網(wǎng)絡(luò)，也可設(shè)置成將無線用戶重定向到一臺升級服務(wù)器，打系統(tǒng)補丁、安裝防病毒軟件和升級病毒定義碼，滿足系統(tǒng)制定的安全策略以后，該無線終端才可以進(jìn)入認(rèn)證環(huán)節(jié)