【正文】 基于源 IP 地址控制的 Tel 訪問控制，更加精細(xì)的提供了設(shè)備管理控制，保證只有管理員配置的 IP 地址才能登陸交換機(jī)，增強(qiáng) 了設(shè)備網(wǎng)管的安全性。無論在動(dòng)態(tài)分配 IP 環(huán)境下，還是靜態(tài)分配 IP 環(huán)境下，均可實(shí)現(xiàn)自動(dòng)綁定工作，大大的節(jié)省了人力成本，降低了管理開銷。 技術(shù)規(guī)格 產(chǎn)品型號(hào) RGS575024GT/12SFP 固定端口 24 端口 10/100/1000M 自適應(yīng)端口， 12 個(gè)復(fù)用的 SFP 接口， 2 個(gè)擴(kuò)展槽 交換容量 240G 包轉(zhuǎn)發(fā)率 L2：線速（ 66Mpps） L3：線速（ 66Mpps） 校園網(wǎng)無線覆蓋解決方案 34 VLAN 支持 4K 個(gè) VLAN 支持 Super VLAN 支持 Protocol VLAN 支持 Private VLAN 支持 Voice VLAN(*) 支持基于 MAC 地址的 VLAN(*) 支持 QinQ ? 基于時(shí)間 ACL ? IPv6 ACL IP 路由 支持靜態(tài)路由 支持 RIP， RIPng(*) 支持 OSPF， OSPF v3 支持 BGP， BGP4+(*) 支持等價(jià)路由（ ECMP）、權(quán)重路由（ WCMP） 支持 VRRP、 VRRPv6(*) 支持 MCE(僅 RGS5750 及以后硬件版本支持 ) 安全特性 支持 IP、 MAC、端口三元素綁定 支持 IPv MAC、端口三元素綁定 支持安全通道 支持防網(wǎng)關(guān)欺騙 限制端口學(xué)習(xí) MAC 地址數(shù)量 過濾非法的 MAC 地址 支持 (port based、 mac based、動(dòng)態(tài) vlan 下發(fā)、動(dòng)態(tài) acl 下發(fā)、 guest vlan) 支持各種 (動(dòng)態(tài)靜態(tài) )地址分配策略下的 ARPCheck 支持 DAI 支持 ARP 報(bào)文限速 支持防 DHCP 服務(wù)器私設(shè) 支持廣播風(fēng)暴抑制 管理員分級管理和口令保護(hù) 設(shè)備登陸管理的 AAA 安全認(rèn)證（ IPv4/IPv6） 支持 SSH 支持 BPDU Guard 支持 TACAS+ 支持 Radius(radius、 EXEC 授權(quán)、指定源 IP) 管理特性 SNMPv1/v2c/v CLI(Tel/Console)、 RMON(1,2,3,9)、 SSH、 Syslog、 NTP/SNTP、 SNMP over IPvIPv6 MIB support for SNMP(*) 、 SSHv6(*)、 Tel v6(*)、 FTP/TFTP v6(*)、 DNS v6(*)、 NTP for v6(*)、 Traceroute v6(*) 2) RGS2924 高性能 校園網(wǎng)無線覆蓋解決方案 35 高背板帶寬為所有端口提供線速的交換能力，并提供萬兆擴(kuò)展和萬兆堆疊，滿足數(shù)據(jù)流量和多媒體業(yè)務(wù)日益增長的需要。 以 DiffServ 標(biāo)準(zhǔn)為核心的 QoS 保障系統(tǒng)，支持 、 IP TOS、二到七層流過濾、 SP、 WRR 等完整的 QoS 策略，實(shí)現(xiàn)基于全網(wǎng)系統(tǒng)多業(yè)務(wù)的 QoS 邏輯； 高可靠性 支持生成樹協(xié)議 、 、 ，完全保證快速 收斂，提高容錯(cuò)能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和鏈路的負(fù)載均衡，合理使用網(wǎng)絡(luò)通道，提供冗余鏈路利用率； 支持 VRRP 虛擬路由器冗余協(xié)議，有效保障網(wǎng)絡(luò)穩(wěn)定； 校園網(wǎng)無線覆蓋解決方案 33 支持 RLDP，可快速檢測鏈路的通斷和光纖鏈路的單向性，并支持端口下的環(huán)路檢測功能，防止端口下因私接 Hub 等設(shè)備形成的環(huán)路而導(dǎo)致網(wǎng)絡(luò)故障的現(xiàn)象； 支持 BFD，為各上層協(xié)議如路由協(xié)議， MPLS 等提供一種快速檢測兩臺(tái)路由設(shè)備之間轉(zhuǎn)發(fā)路徑連通狀態(tài)的方法，大大減少了上層協(xié)議在鏈路狀態(tài)變化時(shí)的收斂時(shí)間。 ?支持 IGMP 源端口和源 IP 檢查功能，有效地杜絕非法的組播源，提高網(wǎng)絡(luò)的安全性； 支持等價(jià)路由（ ECMP）、權(quán) 重路由（ WCMP）等豐富的三層特性和業(yè)務(wù)特性，滿足不同網(wǎng)絡(luò)鏈路規(guī)劃下的通信需要。 強(qiáng)大的多業(yè)務(wù)支撐能力 支持 IPv IPv6 組播功能，包含豐富的組播協(xié)議。 靈活完備的安全策略 具有的多種內(nèi)在機(jī)制可以有效防范和控制病毒傳播和黑客攻擊，如預(yù)防 Dos 攻擊、防黑客 IP 掃描機(jī)制、端口 ARP 報(bào)文的合法性檢查、多種硬件 ACL 策略等，還網(wǎng)絡(luò)一片綠色； 支持基于硬件的 IPv6 ?ACL，即使在 IPv4 網(wǎng)絡(luò)內(nèi)有 IPv6 用戶，也可輕松在網(wǎng)絡(luò)邊緣實(shí)現(xiàn)對 IPv6 用戶的訪問控制，既可允許網(wǎng)絡(luò)內(nèi) IPv4/IPv6 用戶并存，也可以對 IPv6 用戶的訪問權(quán)限進(jìn)行控制，比如限制對網(wǎng)絡(luò)敏感資源的訪問等。而萬兆端口的可擴(kuò)展性既方便用戶現(xiàn)在使用萬兆網(wǎng)路，也方便用戶后續(xù)升 級網(wǎng)絡(luò)到萬兆。 AC5302 amp。 六 . 產(chǎn)品簡介 1. RGS5750/RGS2924GT amp。 銳捷 網(wǎng)絡(luò)所 提供的全線 WLAN 產(chǎn)品均支持 MAC 地址過濾功能。 友訊網(wǎng)絡(luò)所提供的主流 WLAN 產(chǎn)品均支持 WPA，而其他產(chǎn)品也可以通過軟件升級支持 WPA。當(dāng) MIC 發(fā)生錯(cuò)誤的時(shí)候，數(shù)據(jù)很可能已經(jīng)被篡改，系統(tǒng)很可能正在受到攻擊。 ICV 的目的是為了保證數(shù)據(jù)在傳輸途中不會(huì)因?yàn)樵肼暤任锢硪蛩貙?dǎo)致報(bào)文出錯(cuò)，因此采用相對簡單高效的 CRC 算法，但是黑客可以通過修改 ICV 值來使之和被篡改過的報(bào)文相吻合，可以說沒有任何安全的功能。 消息完整性校驗(yàn) (MIC)，是為了防止攻擊者從中間截獲數(shù)據(jù)報(bào)文、篡改后重發(fā)而設(shè)置的。 TKIP 的密鑰構(gòu)架使 WEP 靜態(tài)單一的密鑰變成了 500萬億個(gè)可用密鑰。認(rèn)證服務(wù)器在接受了用戶身份后，使用 產(chǎn)生一個(gè)唯一的主密鑰處理會(huì)話。 WPA 采用 TKIP 為加密引入了新的機(jī)制，它使用一種密鑰構(gòu) 架和管理方法，校園網(wǎng)無線覆蓋解決方案 30 通過由認(rèn)證服務(wù)器動(dòng)態(tài)生成分發(fā)的密鑰來取代單個(gè)靜態(tài)密鑰、把密鑰首部長度從24 位增加到 48 位等方法增強(qiáng)安全性。這種模式叫做WPA 預(yù)共享密鑰 (WPAPSK)，僅要求在每個(gè) WLAN 節(jié)點(diǎn) (AP、無線路由器、網(wǎng)卡等 )預(yù)先輸入一個(gè)密鑰即可實(shí)現(xiàn)。在大型企業(yè)網(wǎng)絡(luò)中，通常采用這種方式。 WPA 的認(rèn)證分為兩種。 目前友訊網(wǎng)絡(luò)所提供的全線 WLAN 產(chǎn)品均支持 身份驗(yàn)證標(biāo)準(zhǔn) 。 EAP 消息通常作為 PPP 幀的有效負(fù)載發(fā)送。 為了對 IEEE 提供一個(gè)標(biāo)準(zhǔn)的身份驗(yàn)證機(jī)制，我們選擇了可擴(kuò)展身份驗(yàn)證協(xié)議 (EAP)。只有經(jīng)過身份驗(yàn)證的無線客戶端知道它們的每客戶端單播會(huì)話密鑰。 由于多個(gè)無線客戶端競相訪問同一信道并使用同一信道發(fā)送數(shù)據(jù)，因此需要擴(kuò)展基本 IEEE 協(xié)議，以使無線 AP 能夠識(shí)別特定無線客戶端的安全通信。交換機(jī)使用以太網(wǎng)客戶端連接到的物理端口來識(shí)別特定有線以太網(wǎng)客戶端的通信。 在進(jìn)行身份驗(yàn)證之前，交換機(jī)打開，并且無線客戶端和有線網(wǎng)絡(luò)之間不會(huì)轉(zhuǎn)發(fā)任何幀。無線客戶端發(fā)送的幀從不使用非受控端口發(fā)送。身份驗(yàn)證服 務(wù)器代表身份驗(yàn)證者檢查申請者的憑據(jù)，然后對身份驗(yàn)證者做出響應(yīng)，指示是否授權(quán)申請者訪問身份驗(yàn)證者的服務(wù)。 無論對于無線連接還是有線以太網(wǎng)連接，申請者和身份驗(yàn)證者都通過邏輯或物理的點(diǎn)到點(diǎn)局域網(wǎng)段進(jìn)行連接。 ? 申請者 申請者也是一個(gè)局域網(wǎng)端口，此端口請求訪問可通過身份驗(yàn)證者訪問的服務(wù)。 校園網(wǎng)無線覆蓋解決方案 28 ? 身份驗(yàn)證者 身份驗(yàn)證者是一個(gè)局域網(wǎng)端口，該端口在允許訪問可通過此端口訪問的服務(wù)前強(qiáng)制執(zhí)行身份驗(yàn)證。 ? 端口訪問實(shí)體 局域網(wǎng)端口又稱端口訪問實(shí)體 (PAE)，是支持與端口關(guān)聯(lián)的 IEEE 協(xié)議的邏輯實(shí)體。 IEEE 定義了以下術(shù)語：端口訪問實(shí)體 、 身份驗(yàn)證者 、 申請者 、 身份驗(yàn)證服務(wù)器 等。如果身份驗(yàn)證過程失敗，則拒絕它們訪問該端口。 3) IEEE IEEE 標(biāo)準(zhǔn)定義了基于端口的網(wǎng)絡(luò)訪問控制，用于為以太網(wǎng)提供經(jīng)過身份驗(yàn)證的網(wǎng)絡(luò)訪問。在 幀的 MAC 標(biāo)頭中設(shè)置 WEP 標(biāo)志即表示對 幀進(jìn)行了 WEP 加密。有線對等保密 (WEP) 由 IEEE 標(biāo)準(zhǔn)定義，旨在提供與有線網(wǎng)絡(luò)等效的數(shù)據(jù)機(jī)密性。 2) 有線 等價(jià)加 密 (WEP) 由于無線局域網(wǎng)的特性，保護(hù)對網(wǎng)絡(luò)的物理訪問比較困難。 銳捷 網(wǎng)絡(luò)所提供的 AP/網(wǎng)橋產(chǎn)品均支持 SSID 廣播的開啟和關(guān)閉功能，若校園網(wǎng)無線覆蓋解決方案 27 關(guān)閉 SSID 廣播，無線客戶端若不知道 SSID(服務(wù)識(shí)別碼 )內(nèi)容則無法聯(lián)入無線網(wǎng)絡(luò)，從 而增加了網(wǎng)絡(luò)的安全性。 從另一個(gè)角度來看，會(huì)不會(huì)有人私自把 AP 接上現(xiàn)有的網(wǎng)絡(luò)上，自己 創(chuàng)造 一個(gè)私人的無線網(wǎng)絡(luò)環(huán)境呢？ 2. 無線網(wǎng)絡(luò)需要解決的三個(gè)安全問題 為了安全地使用無線網(wǎng)絡(luò)，我們需要解決以下與無線網(wǎng)絡(luò)安全相關(guān)的三個(gè)問題： ? 確定無線網(wǎng)絡(luò)的使用者是被允許的 (認(rèn)證使用者 )； ? 數(shù)據(jù)傳輸時(shí)需要保密 (加密 )； ? 防止非法無線網(wǎng)絡(luò)基地臺(tái)連上網(wǎng)絡(luò)。 因此我們設(shè)計(jì)的室外無線 AP 的覆蓋頻率采用 13 這三個(gè)頻道對無 線網(wǎng)絡(luò)覆蓋區(qū)域提供無線信號(hào) ，配合無線發(fā)射功率的調(diào)整 等措施來減少同頻干擾從而實(shí)現(xiàn)較理想的覆蓋效果 ，各個(gè)無線信道分布范圍如下圖所示： 校園網(wǎng)無線覆蓋解決方案 26 五 . 無線局域網(wǎng)的安全 1. 無線局域網(wǎng)安全概述 無線網(wǎng)絡(luò)的架設(shè)與規(guī)劃已為近來非常熱門的話題，無線網(wǎng)絡(luò)相關(guān)產(chǎn)品越來越成熟，而價(jià)格方面也非常地有吸引力，所以現(xiàn)在無線網(wǎng)絡(luò)的應(yīng)用，在大多數(shù)的學(xué)校、機(jī)關(guān)單位、企業(yè)都可以看到。由于其支持直序擴(kuò)頻技術(shù)造成相鄰頻點(diǎn)之間存在重疊， 對于真正相互不重疊信道只有相隔 5 個(gè)信道的工作中心頻點(diǎn)。這樣，室外的無線用戶在相應(yīng)的無線覆蓋區(qū)域就可方便地連接到園區(qū)網(wǎng)或因特網(wǎng)，給用戶提供極大的方便。我們推薦采用 AP220H室外型大功率多用途 AP。 POE 交換機(jī)供電 組網(wǎng)模式的布署方式為將無線 AP 直接連接在布放于網(wǎng)絡(luò)機(jī)房 的無線 POE 交換機(jī)，這種邊緣接入的布署方式對無線 AP 的數(shù)量擴(kuò)展具有很大容量擴(kuò)展性，無線的運(yùn)算效能也更高，且可以由無線交換機(jī)實(shí)現(xiàn)對 AP 的 POE 供電，全千兆交換機(jī)端口也可以滿足未來向 瘦 AP 升級換代的高速無線交換。 本地供電 組網(wǎng)模式的布署方式為將無線 AP 連接在已有的接入交換機(jī)上，將無線交換機(jī)置于機(jī)房或數(shù)據(jù)中心來執(zhí)行中央控制功能實(shí)現(xiàn)遠(yuǎn)程對 AP 的控管，這種布署方式對原有有線網(wǎng)絡(luò)可以做到網(wǎng)絡(luò)結(jié)構(gòu)的最少改動(dòng)，保護(hù)用戶原有網(wǎng)絡(luò)的投資。 ? 無線 AP可 從獨(dú)立管理型升級變?yōu)榧泄芾硇? 無線 AP 可從獨(dú)立管理型升級變?yōu)榧泄芾硇?這種 方式可以節(jié)約用戶 重復(fù) 投資 成本 ， 當(dāng)網(wǎng)絡(luò)規(guī)模小時(shí)可以采用 AP220E 獨(dú)立管理模式；當(dāng)無線網(wǎng)絡(luò)規(guī)模擴(kuò)展到一定程度時(shí)，利用無線交換機(jī)對無線 AP 集中管理；當(dāng)網(wǎng)絡(luò)中的無線 AP 負(fù)載變大時(shí)，通過無線交換可以方便地增加無線 AP。 ? 無線網(wǎng)絡(luò)自愈功能 統(tǒng)一訪問系統(tǒng)具有無線網(wǎng)絡(luò)自 愈功能，不僅能根據(jù)預(yù)先的設(shè)置周期性的檢測周圍相鄰 AP 的信號(hào)狀態(tài)實(shí)現(xiàn) AP 的功率的自動(dòng)調(diào)整，當(dāng) AP 斷電或損壞時(shí)相鄰的AP 還可以自動(dòng)增大發(fā)射功率以提高覆蓋范圍來替代出現(xiàn)故障的 AP，盡可能減少對無線網(wǎng)絡(luò)的影響。 ? 高性能 統(tǒng)一訪問系統(tǒng)具有業(yè)界領(lǐng)先的高性能，主要表現(xiàn)在以下幾個(gè)方面： ? RG2924 全千兆接口，具有很高的交換性能； ? AP220E/AP220H 支持 ，采用獨(dú)特的硬件技術(shù)實(shí)現(xiàn)最高速率可達(dá) 300M； ? AP 負(fù)載均衡：無線交換機(jī)會(huì)在所管轄的 AP 間實(shí)施負(fù)載均衡，以最好的提高無線性能； ? QOS：統(tǒng)一訪問系統(tǒng)支持帶寬控制等多種 QOS 措施以提高使用效能； ? RG2924 使用全千兆接口，支持未來 的更高速傳輸，可以更好地保 護(hù)用戶投資； ? 支持 POE RG2924 交換機(jī)支持 POE 以太網(wǎng)供電功能，對無法在本地提供電源的AP 布署點(diǎn)來說提供極大的方便；也可以對其它的設(shè)備如 IP 攝像頭等進(jìn)行供電，校園網(wǎng)無線覆蓋解決方案 20 大大簡化管理及安裝工作。 1) 一體化有線 /無線解決方案 特點(diǎn) ? 布署方式靈活 AC5302 集合了無線控制 器 功能，具有靈活的布署方式： ? POE 交換機(jī)供電方式：集中采用 AP 連接到 POE 交換機(jī)統(tǒng)一供電，將有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)物理隔離，更有效的統(tǒng)一管理 AP ? 本地供電方式：利用現(xiàn)有的有線采用本地供電，好處是可以節(jié)約資源缺校園網(wǎng)無線覆蓋解決方案 19 點(diǎn)是不便于維護(hù)和管理 ? 集中策略管理 集中統(tǒng)一的 AP 配置管理、性能管理、安全管理、軟件升級等； ? L2/L3 快速漫游 統(tǒng)一訪問系統(tǒng)可以支持二層 /三層漫游，用戶在跨三層漫游時(shí)可以不用改變IP 地址也不用重新做安全認(rèn)證，可以 IP 通道的方式實(shí)現(xiàn)無縫的漫游，可以適用于要求非?？量痰膽?yīng)用如 VOIP 等。 校園網(wǎng)絡(luò)的無線接入層，我們建議 室內(nèi)覆蓋 使用 星網(wǎng)銳捷 公司的 AP220E的無線解決方案；室外 覆蓋 采用 室外專用有 防雷防水設(shè)計(jì)的 AP220H 作為 校園網(wǎng)室外接入的 補(bǔ)充。 為了阻止非授權(quán)用戶訪問無線網(wǎng)絡(luò)，以及防止