【導(dǎo)讀】無線局域網(wǎng)解決方案建議書

　　

【正文】 限的 role。在帶寬方面可以做比較寬松的限制。所有這些在配置、使用和管理上都非常 符合 的 大學(xué)網(wǎng)絡(luò)中心的網(wǎng)絡(luò)管理需求 。 4． 4 無線安全性設(shè)計 在 Aruba 無線系統(tǒng)中，可以在多個層面對系統(tǒng)構(gòu)筑安全防護，其安全性設(shè)計如下： （ 1） 多 SSID： 可以根據(jù)需要，如用戶的種類、應(yīng)用的種類，在 Aruba無線系統(tǒng)中設(shè)置多個 SSID，不同的 SSID 采用不同的安全策略，這樣可以對不同的用戶及應(yīng)用進行區(qū)分服務(wù)。另外 SSID 還可以選擇隱藏的方式，該 SSID 不廣播，用戶無法看到，防止非法用戶的連接企圖。 SSID 還可以選擇在某些 AP 上出現(xiàn)，某 些 AP 上不出現(xiàn)，限制 SSID 出現(xiàn)的范圍也是實現(xiàn)安全性的一種手段。 （ 2） 加密： Aruba 無線系統(tǒng)支持多種加密的方式，二層的加密支持靜態(tài) WEP、動態(tài) WEP、TKIP、 WPA、 多種加密方式，三層的加密支持 IPSec VPN 加密，這樣使得加密的方式更加的靈活，可以根據(jù)實際需求進行選擇。 （ 3） 用戶認證提供二種方式 ： ① WPAPSK＋ captive portal+VPN。 加密方式采用 WPAPSK， 不建議采用靜態(tài) WEP， 因為有安全隱患。采用 captive portal+VPN 的認證方式，同時 VPN 還具有三層的加密功能，具有更高的安全性。認證服務(wù)器的選擇比較靈活，可以使用 RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS，甚至是 Aruba 交換機內(nèi)置的帳戶數(shù)據(jù)庫。 ② WPA+ 加密方式盡量采用 WPA， 如果客戶端不支持也可采用動態(tài) WEP，認證方式采用 ，認證服務(wù)器選擇 RADIUS。 （ 4）用戶的 Role（角色）：每一類用戶可以建立一個相關(guān)的 Role，每個 Role 有一個用戶狀態(tài)防火墻的設(shè)定和帶寬控制的設(shè)定，這樣我們就可以將設(shè)定的安 全策略加載到每個用戶身上。 （ 5）用戶狀態(tài)防火墻：用戶通過認證以后，會有一個基于這個用戶的狀態(tài)防火墻，可以根據(jù)每個用戶設(shè)置他的訪問控制策略，比如可以訪問 Inter,不能訪問圖書館的服務(wù)器，只能訪問 WEB 網(wǎng)頁和收發(fā)郵件，不能運行 P2P 的軟件等。 21 （ 6）帶寬 控制：可以對每個用戶設(shè)定其可以使用的帶寬，一方面可以限制其對網(wǎng)絡(luò)資源的占有，另一方面，當該客戶端中了病毒以后，其病毒發(fā)作時不會占用網(wǎng)絡(luò)全部的帶寬。 （ 7）認證系統(tǒng) 支持 ： Aruba 無線系統(tǒng)支持多種認證系統(tǒng)，諸如 Radius、 LDAP、微軟的 AD（活動目 錄）和在 Aruba 無線交換機內(nèi)部的 Internal DB 等等 。 （ 8） 網(wǎng)絡(luò) 病毒的防護：無線終端病毒防護的可以從無線終端的準入檢查以及對無線 終端發(fā)出 數(shù)據(jù)進行有效的檢測兩個層面來進行的。準入檢查可以檢查終端 操作系統(tǒng)的安全狀態(tài)，諸如系統(tǒng)打補丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況，并設(shè)置安全策略是否準予進入網(wǎng)絡(luò)。在數(shù)據(jù)的檢測上， Aruba 無線交換機上可以設(shè)定策略，對于某些無線用戶沾染病毒的終端， Aruba 無線系統(tǒng)將其導(dǎo)向到第三方防病毒系統(tǒng)進行防病毒的檢查，檢查完成后，才允許接入。 4． 5 移動漫游 設(shè)計 無線用戶移動漫游，涉及到多個層次的漫游，最為簡單的是二層漫游，其他廠家產(chǎn)品都表現(xiàn)不錯，三層漫游就困難多了，還有當用戶跨越多個域時怎樣無縫 漫游， Aruba 無線局域網(wǎng)可以實現(xiàn)快速無縫 漫游功能。 L2/L3 層漫游 在傳統(tǒng)的無線局域網(wǎng)內(nèi)，無線終端要跨越不同 AP 之間漫游是有一定的困難，因為不同 AP 之間，它的無線用戶 IP 子網(wǎng)可能都不是在同一個 VLAN 內(nèi)。所以當無線終端從一個AP 漫游到另一 AP 時，由于它們之間的缺省 IP 子網(wǎng)不同，無線終端會重新發(fā)出 DHCP 請求，這樣的話終端的 IP 地址就會更新， 所有在原先 AP 建立的連接 都會被切斷。過去為了解決跨越三層的漫游，有些用戶采用了 Mobile IP 的技術(shù)，但 Mobile IP 的缺點是它必須在無線終端安裝軟件。這是一般網(wǎng)絡(luò)管理人員不愿意做的事情，因為它們就必須支持和維護用戶的無線接入端。 通過 Aruba 無線系統(tǒng)的代理 DHCP 功能，就可解決了跨越不同三層 IP 子網(wǎng)的無線漫游問題。 當無線終端從一個 AP 的 IP 子網(wǎng)漫游到另一個 AP 的 IP 子網(wǎng)時，它重新發(fā)出的DHCP 請求 ， 會從 AP 端的 Aruba 無線交換機轉(zhuǎn)發(fā)到原有子網(wǎng)的無線交換機 (用戶從那一個AP 獲取它的 IP 地址 )。用戶的原交換機會告 知用戶漫游到的 Aruba 交換機繼續(xù)保持用戶的原有的 IP 地址。 無線用戶已漫游到另一個 IP 子網(wǎng)，但它仍可以原有的 IP 地址繼續(xù)在新的 22 AP 上入網(wǎng)。 代理 DHCP 的優(yōu)點是無要 在用戶終端安裝任何軟件就可讓終端無縫的在不同IP 子網(wǎng)之間漫游。 C O NF I D E NT I A L P R E S E NT A T I O N – P a g e 45跨 IP 子網(wǎng)的 交替連接 語音不會中斷跨 IP 子網(wǎng)的 交替連接 語音不會中斷子 網(wǎng) 1子 網(wǎng) 2D HC P1 0 . 1 . 1 . 11. 根據(jù) VLAN 的連接用戶從 DHCP 服務(wù)器接收到一 個 IP 地 址122. 當用戶轉(zhuǎn)移到新的 IP 子網(wǎng)時會發(fā)出另一 DHCP 請 求5 . 當用戶漫游跨 越 A ruba 交換機 時線路連接不會中 斷33 . 透 過 p ro x y DH CP , A ruba ’ s 交換機更改請求使終 端 維持原來的 IP a d d res s1 0 . 1 . 1 . 144. 在新的 IP 子 網(wǎng)內(nèi)，用 戶接收到原有的 IP 地 址IP I P TunnelA r u b a A P 在不同域之間的用戶認證和漫游 在 大型網(wǎng)絡(luò)內(nèi)，一般都有很多不同的部門，部門內(nèi)通常都有自己的用戶數(shù)據(jù)庫，即所謂的本地認證服務(wù)器。在實現(xiàn)應(yīng)用時，要求有單一的認證數(shù)據(jù)庫是未必可行的，但同時無線用戶應(yīng)是可在內(nèi)無縫漫游。 當用 戶不是在本地入網(wǎng)或是從一個部門的接入點漫游到另一部門的接入點需要重新認證時，如果用戶名和密碼在當?shù)氐臄?shù)據(jù)庫是不存在的話，則用戶會被斷線。要做到真正的無縫漫游，則需要有支持 Radius 代理 這樣的功能。但由于不是所有的認證服務(wù)器都支持這種功能所以在具體實施時也有一定的困難。 Aruba 本身就可提供不同域之間的認證功能，域名可以與 SSID 綁定，亦可以讓用戶在登陸網(wǎng)頁時輸入或選擇域名。 Aruba 會把在不同域之間的認證請求轉(zhuǎn)發(fā)到對應(yīng)這域的 radius 服務(wù)器處理。 23 五、 XXXX 無線局域網(wǎng)系統(tǒng) 建議 5． 1 無線覆蓋 建議 根據(jù) 無線網(wǎng)絡(luò)需求 及 園區(qū) 內(nèi) 實地的了解，并結(jié)合以往的工程經(jīng)驗， 對 無線網(wǎng)絡(luò)覆蓋做出以下規(guī)劃： （給出無線接入點部署規(guī)劃圖，總結(jié)設(shè)備需求清單） 5． 2 無線組網(wǎng)實現(xiàn) Aruba 6000 交換機，放置在網(wǎng)絡(luò)機房， Aruba 6000 無線交換機可以 最多 可 支持 512個 AP 的接入和管理 ，完全滿足 園區(qū) 無線覆蓋的需求，并留有 充足 的擴展余量。 Aruba 6000交換機 集中 匯集 AP 的接入 和 控管。無線交換機和 AP 的連接可以穿透三層 網(wǎng)絡(luò)設(shè)備 ，因此，無線網(wǎng)絡(luò)不影響原有網(wǎng)絡(luò)的結(jié)構(gòu)， 可以實現(xiàn)全網(wǎng)的 無線 漫游。 Aruba 公司 的 60/61 系列 AP ，具有 Aruba AP 的各種安全和管理功能， Aruba 交換機可以完全使用管理 Aruba AP 的管理方式一樣來管理該款新型 AP，實現(xiàn)所有 Aruba 提供的安全和管理功能。 無線局域網(wǎng)系統(tǒng)組網(wǎng)示意圖所示 : 閱覽室 住宅 樓 辦公 樓 會議中心 辦公樓 Aruba6000 三層交換機 主交換機 園區(qū) 網(wǎng)/Inter 24 AP 的供電 可以 采用單獨的 PoE 供電設(shè)備（ 與原有的普通樓層交換機配合，不用添加新的 POE 交換機），用于 AP 數(shù)據(jù)接入和供電，又不增加過多的成本。 無線局域網(wǎng)系統(tǒng)， 可以支持 在 園區(qū) 內(nèi)的任何一處，即便是在沒有安裝有線網(wǎng)絡(luò)信息點的地方，也可以很方便地進行可視化的音視頻教學(xué)和召開各種需要使用網(wǎng)絡(luò)音視頻的會議。在無線網(wǎng)絡(luò)音視頻會議教學(xué)系統(tǒng)的支持下，在校的留學(xué)生、教師和行政辦公人員以及與會的來賓等，就可以利用其所攜帶的筆記本電腦或是配置 有無線網(wǎng)絡(luò)適配器的 PC 機，在 學(xué)校 內(nèi)的任何一個地方上網(wǎng)與世界的任何一地進行信息交流、教學(xué)或媒體演示。 教師和學(xué)生以及 學(xué)生 也可以隨時查閱網(wǎng)上的資料或遞交電子文檔的作業(yè)等，這樣可以十分方便、快捷地創(chuàng)造一個多方位的可視化的遠程多媒體教學(xué)環(huán)境。 5． 3 網(wǎng)絡(luò)用戶與應(yīng)用管理實現(xiàn) 從 學(xué)校 的上網(wǎng)用戶類型與應(yīng)用類型情況分析，用戶主要有： （ 1） 學(xué)校 教職員工； （ 2） 來訪學(xué)者和 學(xué)生； （ 3）參加會議人員和來訪人員； （ 4） 學(xué)校 工作人員； （ 5）長期租用 學(xué)校 辦公的人員。 應(yīng)用主要有：（ 1）多媒體與網(wǎng)絡(luò)教學(xué)；（ 2）各種學(xué)術(shù)報告與會議 需要的移動 VoIP（音視頻）；（ 3）移動業(yè)務(wù)辦公；（ 4）訪問 Inter。 采用 Aruba 無線系統(tǒng)的多 SSID 結(jié)構(gòu)的管理技術(shù)將不同類型的用戶和應(yīng)用劃分到不同的 SSID 中，賦予不同的訪問規(guī)則與權(quán)限以及配置不同的管理策略。 在方案實現(xiàn)上使用 多 個 SSID：一個供學(xué)生用戶和來賓使用，可以不用加密，只做基于WEB 的接入認證，另一個 SSID 供 學(xué)校 教職員工和工作人員使用，該 SSID 被配置為隱含，不廣播出來，采用 WPA 加密＋ 認證方式，確保此類用戶 安全性。 音視頻會議應(yīng)用使用專門的 SSID。只出現(xiàn)在需要提供這類 應(yīng)用服務(wù)的 AP 上，其他AP 都沒有該 SSID，用戶也就無從使用該 SSID 訪問網(wǎng)絡(luò)，保證 無線網(wǎng)絡(luò)的安全性。將訪問策略中的語音業(yè)務(wù)和視頻業(yè)務(wù)的應(yīng)用優(yōu)先級提到最高，以確保這些服務(wù)的質(zhì)量。 25 綜上所述，無線局域網(wǎng)系統(tǒng)共開設(shè) 多 個 SSID。 2 個 SSID 用于數(shù)據(jù)應(yīng)用，分別對應(yīng) 2類用戶，另外 2 個 SSID 有選擇的出現(xiàn)在某些 AP 上，分別提供語音和視頻的服務(wù)。并同時采用不同的認證、加密和安全控管的手段，以方便的實現(xiàn)網(wǎng)絡(luò)安全和管理。 5． 4 多媒體 以及音視頻應(yīng)用的實現(xiàn) 在會議廳、報告廳實現(xiàn)無線覆蓋，可以建立 Aruba 的無線音視頻會議網(wǎng)絡(luò) 系統(tǒng)平臺?？紤]到會議廳、報告廳以及多功能廳的用途，接入的用戶多的情況，覆蓋時需要考慮接入容量因素。在這個平臺上為各種會議、報告提供無線音視頻會議系統(tǒng)，會議的組織者可以在這個平臺上方便地、靈活地使用音視頻會議系統(tǒng)，為會議參加者提供豐富地文字、語音、視頻會議服務(wù)，為主持會議者與參會者提供一個互動服務(wù)。 Aruba 無線系統(tǒng)以其技術(shù)先進的帶寬控制和 Qos 管理功能可以保證該系統(tǒng)的高效、穩(wěn)定和可靠的運行。使用 Aruba 無線系統(tǒng)在 學(xué)校 的報告廳、各大小會議室以及多功能廳等區(qū)域?qū)崿F(xiàn)無線覆蓋，利用無線音視頻會議網(wǎng)絡(luò)系統(tǒng)平臺可為各 種會議提供豐富的文字、語音和視頻服務(wù)。通過無線局域網(wǎng)，可以輕松地實現(xiàn)主會場與分會場間資源共享的問題，這樣即可解決了會議場所的空間問題，又可以相應(yīng)地節(jié)省人力和物力。 5． 5 無線網(wǎng)的安全系統(tǒng)實現(xiàn) Aruba 無線網(wǎng)的安全系統(tǒng)實現(xiàn)如下安全功能： ? 接入認證控制： 驗證用戶， 授權(quán)他們接入特定的資源， 同時拒絕為未經(jīng)授權(quán)的用戶提供接入。 ? 確保鏈路的保密與數(shù)據(jù)的完整： 防止未經(jīng)授權(quán)的用戶讀取或更動在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)。 ? 偵測和阻斷非法接入：防止非法 AP 接入 學(xué)校的 無線網(wǎng)絡(luò)中。 ? 監(jiān)測和阻斷無線攻擊： 防止攻擊占用某個接入點 的所有可用帶寬， 導(dǎo)致其他用戶的正當接入。 ? 檢測無線終端的防病毒狀態(tài)：防止染有病毒的無線終端接入。 26 6 無線交換機的配置實施建議 一般廠家的無線網(wǎng)絡(luò)產(chǎn)品在 園區(qū) 網(wǎng)規(guī)劃時都需要二層交換機連接或者劃分 VLAN，否則只能將認證點下放到 AP 上，導(dǎo)致整體性能的降低和漫游特性的缺失。 由于 Aruba 的 AP 是通過 GRE 的隧道連接到