【正文】 AP會自動注冊到備用的ZoneDirector 1000/3000，無線用戶能夠維持會話，不需要重新手工登錄。其效果和無線用戶在同一個ZoneDirector 1000/3000管理下的不同AP之間漫游的效果是一樣的。ZD AZD BZD AZD B3．2．4 客戶端的漫游無線用戶在在同一個ZoneDirector 1000/3000管理下的不同AP之間可以無縫漫游，維持會話的連續(xù)性。RADIUS，ZoneDirector 1000/，ZoneDirector 1000/3000和無線客戶端保存PMK，ZoneDirector 1000/3000把保存的PMK通知鄰近的AP，當(dāng)無線客戶端漫游到鄰近AP，搜索到同樣的SSID，無線客戶端會使用存儲的PMK和新的AP做4次握手，完成快速漫游切換。當(dāng)無線客戶端再漫游回到原先的AP時，無線客戶端仍然會使用存儲的PMK和原先的AP做4次握手，完成快速漫游切換，每個PMK一般保存8個小時。3．2．5 SNMP和TR069SNMP簡單網(wǎng)管協(xié)議比較適合在企業(yè)網(wǎng)內(nèi)使用，當(dāng)用于管理大規(guī)模網(wǎng)絡(luò)的時候，SNMP會遇到不能穿透防火墻或NAT設(shè)備的難題。而基于TR069的集中網(wǎng)管系統(tǒng)能夠穿透NAT設(shè)備，方便的管理分布于不同區(qū)域、數(shù)量龐大的CPE(客戶端網(wǎng)絡(luò)設(shè)備)，集中管理服務(wù)器具有如下功能：自動設(shè)備發(fā)現(xiàn)、批量并發(fā)配置更新、安全遠(yuǎn)程無線監(jiān)視、告警、日志和報告、單個設(shè)備的細(xì)節(jié)管理、無需上門進(jìn)行故障診斷、可遠(yuǎn)程自動升級。AP的部署簡單，只需要配置好IP地址和TR069的集中網(wǎng)管服務(wù)器的URL，設(shè)備就會自動完成AP的復(fù)雜配置?；咀龅紸P設(shè)備的“零”配置或即插即用。Ruckus無線公司的AP既支持傳統(tǒng)的SNMP網(wǎng)管，也支持新型的TR069網(wǎng)管。如果用戶已部署SNMP網(wǎng)管系統(tǒng)，Ruckus公司可以提供AP詳細(xì)的MIB庫，經(jīng)SNMP網(wǎng)管軟件編譯后，Ruckus公司的AP就可以納入用戶的SNMP網(wǎng)管系統(tǒng)來管理。如果用戶新建網(wǎng)管系統(tǒng)，則建議采用新的TR069網(wǎng)管系統(tǒng)，如Ruckus公司的基于TR069協(xié)議的FlexMaster網(wǎng)管系統(tǒng)，安裝在一臺通用的Linux服務(wù)器上，就可以管理多達(dá)20000臺Ruckus公司的AP。Ruckus公司的AP可以人為配置由基于SNMP的網(wǎng)管系統(tǒng)管理還是由基于TR069的網(wǎng)管系統(tǒng)管理，也可以讓AP自動選擇。如果AP找到基于TR069的網(wǎng)管系統(tǒng)，則選擇TR069管理系統(tǒng)，否則選擇SNMP的網(wǎng)管系統(tǒng)，但同時AP仍然會繼續(xù)尋找基于TR069的網(wǎng)管系統(tǒng)。隨著網(wǎng)絡(luò)規(guī)模的不斷發(fā)展，基于TR069的網(wǎng)管系統(tǒng)會越來越普遍。3．3 Ruckus無線局域網(wǎng)系統(tǒng)的安全管理3．3．1網(wǎng)絡(luò)安全的體系架構(gòu) 網(wǎng)絡(luò)安全的任何一項工作，都必須在網(wǎng)絡(luò)安全組織、網(wǎng)絡(luò)安全策略、網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)安全運行體系的綜合作用下才能取得成效。首先必須有具體的人和組織來承擔(dān)安全工作，并且賦予組織相應(yīng)的責(zé)權(quán)；其次必須有相應(yīng)的安全策略來指導(dǎo)和規(guī)范安全工作的開展，明確應(yīng)該做什么，不應(yīng)該做什么，按什么流程和方法來做；再次若有了安全組織、安全目標(biāo)和安全策略后，需要選擇合適的安全技術(shù)方案來滿足安全目標(biāo)；最后在確定了安全組織、安全策略、安全技術(shù)后，必須通過規(guī)范的運作過程來實施安全工作，將安全組織、安全策略和安全技術(shù)有機地結(jié)合起來，形成一個相互推動、相互聯(lián)系地整體，通過實際的工程運作和動態(tài)的運營維護(hù)，最終實現(xiàn)安全工作的目標(biāo)。 完善的網(wǎng)絡(luò)安全體系應(yīng)包括安全策略體系、安全組織體系、安全技術(shù)體系、安全運作體系. 安全策略體系應(yīng)包括網(wǎng)絡(luò)安全的目標(biāo)、方針、策略、規(guī)范、標(biāo)準(zhǔn)及流程等，并通過在組織內(nèi)對安全策略的發(fā)布和落實來保證對網(wǎng)絡(luò)安全的承諾與支持。安全組織體系包括安全組織結(jié)構(gòu)建立、安全角色和職責(zé)劃分、人員安全管理、安全培訓(xùn)和教育、第三方安全管理等。安全技術(shù)體系主要包括鑒別和認(rèn)證、訪問控制、內(nèi)容安全、冗余和恢復(fù)、審計和響應(yīng)。安全運作體系包括安全管理和技術(shù)實施的操作規(guī)程，實施手段和考核辦法。安全運作體系提供安全管理和安全操作人員具體的實施指導(dǎo)，是整個安全體系的操作基礎(chǔ)。 從管理和技術(shù)兩個維度推進(jìn)網(wǎng)絡(luò)安全工作不僅是現(xiàn)階段解決好網(wǎng)絡(luò)安全問題的需要，也是今后網(wǎng)絡(luò)安全發(fā)展的必然趨勢。 從技術(shù)角度而言 1．邏輯隔離技術(shù)。以防火墻為代表的邏輯隔離技術(shù)將逐步向大容量，高效率，基于內(nèi)容的過濾技術(shù)以及與入侵監(jiān)測和主動防衛(wèi)設(shè)備、防病毒網(wǎng)關(guān)設(shè)備聯(lián)動的方向發(fā)展，形成具有統(tǒng)計分析功能的綜合性網(wǎng)絡(luò)安全產(chǎn)品。 2．防病毒技術(shù)。防病毒技術(shù)將逐步實現(xiàn)由單機防病毒向網(wǎng)絡(luò)防病毒方式過渡，而防病毒網(wǎng)關(guān)產(chǎn)品的病毒庫更新效率和服務(wù)水平，將成為今后防病毒產(chǎn)品競爭的核心要素。 3．身份認(rèn)證技術(shù)。80%的攻擊發(fā)生在內(nèi)部，而不是外部。內(nèi)部網(wǎng)的管理和訪問控制相對外部的隔離來講要復(fù)雜得多。在一般人的心目中，基于Radius的鑒別、授權(quán)和管理（AAA）系統(tǒng)是一個非常龐大的安全體系，主要用于大的網(wǎng)絡(luò)運營商，企業(yè)內(nèi)部不需要這么復(fù)雜的東西。這種看法越來越過時，實際上組織內(nèi)部網(wǎng)同樣需要一套強大的AAA系統(tǒng)。 4．入侵監(jiān)測和主動防衛(wèi)技術(shù)。入侵檢測和主動防衛(wèi)（IDS、IPS）作為一種實時交互的監(jiān)測和主動防衛(wèi)手段，正越來越多的被政府和企業(yè)應(yīng)用，但如何解決監(jiān)測效率和錯報、漏報率的矛盾，需要繼續(xù)進(jìn)行研究。 5．加密和虛擬專用網(wǎng)技術(shù)。組織的員工外出、移動辦公、單位和合作伙伴之間、分支機構(gòu)之間通過公用的互聯(lián)網(wǎng)通信是必需的，因此加密通信和虛擬專用網(wǎng)（VPN）有很大的市場需求。IPSec已經(jīng)成為市場的主流和標(biāo)準(zhǔn)。 6．網(wǎng)管。網(wǎng)絡(luò)安全越完善，體系架構(gòu)就越復(fù)雜。管理網(wǎng)絡(luò)的多臺安全設(shè)備需要集中網(wǎng)管。集中網(wǎng)管是目前安全市場的一大趨勢。 從管理角度講應(yīng)遵循以下原則 1．整體考慮，統(tǒng)一規(guī)劃。網(wǎng)絡(luò)安全取決于系統(tǒng)中最薄弱的環(huán)節(jié)?！耙稽c突破，全網(wǎng)突破”，單個系統(tǒng)考慮安全問題并不能真正有效的保證安全，需要從整體IT體系層次建立網(wǎng)絡(luò)安全架構(gòu)，整體考慮，全面防護(hù)。 2．戰(zhàn)略優(yōu)先，合理保護(hù)。網(wǎng)絡(luò)安全工作應(yīng)服從組織信息化建設(shè)總體戰(zhàn)略，滾動式實現(xiàn)系統(tǒng)安全體系的統(tǒng)一。在此前提之下，追求適度安全，合理保護(hù)組織信息資產(chǎn)，安全投入與資產(chǎn)的價值應(yīng)相匹配。 3．集中管理，重點防護(hù)。統(tǒng)籌設(shè)計安全總體架構(gòu)，建立規(guī)范、有序的安全管理流程，集中管理各系統(tǒng)的安全問題，避免安全“孤島”和安全“短板”。 4．七分管理，三分技術(shù)。管理是企業(yè)網(wǎng)絡(luò)安全的核心，技術(shù)是安全管理的保證。只有制定完整的規(guī)章制度、行為準(zhǔn)則并和安全技術(shù)手段合理結(jié)合，網(wǎng)絡(luò)系統(tǒng)的安全才會有最大的保障。3．3．2基礎(chǔ)型無線網(wǎng)安全機制（1）更改無線AP的管理員登錄初始口令和初始SSID（2）SSID設(shè)置成隱藏，不廣播SSID大多數(shù)破解無線網(wǎng)的初始步驟都是先嗅探出無線AP所使用的頻道和SSID，再進(jìn)行下一個步抓包、破解。隱藏SSID廣播功能可能對某些嗅探工具有用。（3）WEP加密盡管WEP已經(jīng)被證明是比較脆弱的，但是采用加密方式比明文傳播還是要安全一些。現(xiàn)在可以從互聯(lián)網(wǎng)上下載到很多破解WEP加密的工具軟件，象Airsnort這種工具可以對無線網(wǎng)信號進(jìn)行抓包，進(jìn)行破解WEP密鑰，避免這種工具破解最有效的方法就是給WEP設(shè)置較為健壯的128位密鑰，而不是40位的密鑰，這樣可以讓破解的難度加大，而需要更長的時間。（4）采用比WEP更安全的WPA，甚至WPA2要破解WPA加密并非易事，需要監(jiān)聽到的數(shù)據(jù)包是合法客戶端正在開始與無線AP進(jìn)行“握手”的有關(guān)驗證操作過程，而且還要提供一個正好包含有這個密鑰的“字典文件”。除非為WPA設(shè)置了比如：ADMIN123，111222333444這樣的“大眾式”密鑰，容易被猜中而收錄在“字典”中，那么設(shè)置了復(fù)雜的密碼組合還是比較安全的。而WPA2是WPA的第二代，它支持更高級的AES加密，因此能夠更好地解決無線網(wǎng)絡(luò)的安全問題。（5）MAC地址訪問控制列表對于小型的無線網(wǎng)，可以采用MAC訪問列表功能的精確限制哪些無線工作站可以連接到無線網(wǎng)中，而那些不在訪問列表中的工作站，是無權(quán)進(jìn)入無線網(wǎng)絡(luò)中的。每一塊無線網(wǎng)卡都有自己的MAC地址，我們可以在無線網(wǎng)絡(luò)節(jié)點設(shè)備中創(chuàng)建一張“MAC訪問控制表”，然后將合法的無線網(wǎng)卡MAC地址逐一錄入到這個列表中，允許只有“MAC訪問控制表”中顯示的MAC地址，才能進(jìn)入到無線網(wǎng)絡(luò)中。當(dāng)然MAC地址是有可能被非法訪問者克隆，這要求我們妥善保管相關(guān)網(wǎng)卡的MAC信息，防止遺失。（6）關(guān)閉SNMP功能要是無線網(wǎng)絡(luò)訪問節(jié)點支持“簡單網(wǎng)絡(luò)管理”（SNMP）功能的話，筆者建議你盡量將該功能關(guān)閉，以防止非法攻擊者輕易地通過無線網(wǎng)絡(luò)節(jié)點，來獲取整個無線局域網(wǎng)中的隱私信息。以上安全機制主要針對分布式胖的部署方式。實現(xiàn)比較簡單有效，主要解決無線覆蓋的問題。3．3．3增強型無線網(wǎng)安全機制若無線網(wǎng)傳輸?shù)臄?shù)據(jù)較為重要，或者連接到一個保密級別較高但又不能進(jìn)物理隔離的有線網(wǎng)絡(luò)的情況下，可以考慮采用增強的無線網(wǎng)安全防范措施。 （1）Web Portal Web Portal認(rèn)證的基本過程是：客戶機首先通過DHCP協(xié)議獲取到IP地址（也 可以使用靜態(tài)IP地址），但是客戶使用獲取到的IP地址并不能登上Internet，在認(rèn)證通過前只能訪問特定的IP地址，這個地址通常是PORTAL服務(wù)器的IP地址。采用Portal認(rèn)證的接入設(shè)備必須具備這個能力。用戶登錄到Portal Server后，可以瀏 覽上面的內(nèi)容，比如廣告、新聞等免費信息，同時用戶還可以在網(wǎng)頁上輸入用戶名和密碼，它們會被WEB客戶端應(yīng)用程序傳給Portal Server，再由Portal Server與NAS之間交互來實現(xiàn)用戶的認(rèn)證。Portal Server在獲得用戶的用戶名和密碼外，還會得到用戶的IP地址，以它為索引來標(biāo)識用戶。然后Portal Server 與NAS之間用Portal協(xié)議直接通信，而NAS又與RADIUS 服務(wù)器直接通信完成用戶的認(rèn)證和上線過程。因為安全問題，通常支持安全性較強的CHAP式認(rèn)證。它的優(yōu)點是不需要特殊的客戶端軟件，降低網(wǎng)絡(luò)維護(hù)工作量。 是一個 IEEE 標(biāo)準(zhǔn)，用于對有線以太網(wǎng)和無線 網(wǎng)絡(luò)進(jìn)行經(jīng)過身份驗證的網(wǎng)絡(luò)訪問。IEEE 支持集中化用戶標(biāo)識、身份驗證、動態(tài)密鑰管理以及記帳。 標(biāo)準(zhǔn)通過允許計算機和網(wǎng)絡(luò)彼此驗證身份、生成通過無線連接加密數(shù)據(jù)的每用戶/每會話密鑰以及提供動態(tài)更改密鑰的能力來提高安全性。 （2）VPN虛擬專網(wǎng)系統(tǒng)，在無線網(wǎng)之上采用VPN技術(shù)，可以進(jìn)一步增強關(guān)鍵數(shù)據(jù)的安全性。，因此它是一種增強性無線網(wǎng)絡(luò)安全解決方案。VPN協(xié)議包括第二層PPTP/L2TP協(xié)議以及第三層的IPsec協(xié)議。VPN只涉及發(fā)起端，終結(jié)端，因此對無線訪問點AP來講是透明的，并不需要在無線訪問點支持VPN。IPsec是標(biāo)準(zhǔn)的第三層安全協(xié)議，用于保護(hù)IP數(shù)據(jù)包或上層數(shù)據(jù)，它可以定義哪些數(shù)據(jù)流需要保護(hù)，怎樣保護(hù)以及應(yīng)該將這些受保護(hù)的數(shù)據(jù)流轉(zhuǎn)發(fā)給誰。由于它工作在網(wǎng)絡(luò)層，因此可