【正文】 允許 Multicast/broadcast 流量通過，除非管理員設(shè)置控制器具備 ARP Proxy 功能： ARPs 和 Gratuitous ARPs 不會(huì)發(fā)送到 WLAN 控制器屏蔽 duplicate IP Spoofing 對(duì)于客戶端 ， 無線控制器扮演 DHCP relay 角色 ： WLAN 設(shè)置的 Advance 選項(xiàng)里 ， 把 DHCP addr assignment required 打上勾是要求客戶端必須從指定的 DHCP 獲得地址。 深圳市國信招標(biāo)有限公司 東莞市科技館無線 WIFI局域網(wǎng)絡(luò)（ WLAN）建設(shè)項(xiàng)目 11 無線控制器并且具有 ACL 的功能，可以提供 L4L7 的過濾，提供類似防火墻的功能。它一方面用于防止沒有正確的WEP 密鑰的非法用戶接入網(wǎng)絡(luò)，另一方面只允許具有正確的 WEP 密鑰的用戶對(duì)數(shù)據(jù)進(jìn)行加密和解密。 WPA 包括 80 認(rèn)證和 TKIP 加密 (更強(qiáng)和更安全形 式的 WEP 加密）。根據(jù) 修訂， WPA2 使用高級(jí)加密標(biāo)準(zhǔn)（ AES）保護(hù)數(shù)據(jù)保密。此類型的驗(yàn)證方法在無線環(huán)境中因該媒體的性質(zhì)而特別有用。如果驗(yàn)證不成功，則不會(huì)提供虛擬端口，并將阻斷通信。 同時(shí) 無線控制器支持 Guest Vlan 特性，針對(duì) 所有的客人 分配 的 Guest Vlan 的 SSID，使用簡(jiǎn)單的 Web 認(rèn)證 允許客人 只能訪問 Inter，而不能訪問 東莞市科學(xué)技術(shù)博物館 的內(nèi)網(wǎng) ，這樣就可 以規(guī)避復(fù)雜的無線客戶端的配置。當(dāng)檢測(cè)到非法的 AP 和客戶端時(shí)，可以對(duì)非法 AP 或客戶端最多可以通過 4 個(gè) AP 進(jìn)行壓制，使其無法工作。 輕型接入點(diǎn)和無線局域網(wǎng)控制器可以同時(shí)充當(dāng)數(shù)據(jù)服務(wù)設(shè)備和 IDS 傳感器。 LWAPP 分離 MAC 讓輕型接入點(diǎn)可以在不中斷數(shù)據(jù)服務(wù)的情況下掃描信道。深圳市國信招標(biāo)有限公司 東莞市科技館無線 WIFI局域網(wǎng)絡(luò)（ WLAN）建設(shè)項(xiàng)目 12 輕型接入點(diǎn)可以在它們?cè)诠ぷ鲿r(shí)使用的信道上檢測(cè)攻擊，以及檢測(cè) 那些工作信道與它們不同的威脅，例如惡意接入點(diǎn)和特殊網(wǎng)絡(luò)。 統(tǒng)一無線網(wǎng)絡(luò)還可以利用其強(qiáng)大的隔離惡意功能 ，消除因?yàn)閻阂饨尤朦c(diǎn)所導(dǎo)致的威脅。 （ 5）有線網(wǎng)絡(luò)安全 考慮到東莞市科學(xué)技術(shù)博物館無線網(wǎng)絡(luò)需要承載內(nèi)網(wǎng)的所有無線應(yīng)用以及為所有展區(qū)用戶提供無線上網(wǎng) ，為了保障應(yīng)用的安全性和穩(wěn)定性，需要在核心有線網(wǎng)絡(luò)設(shè)備部署 較為嚴(yán)格的安全策略，保證無線網(wǎng)絡(luò)僅提供內(nèi)網(wǎng)無線業(yè)務(wù)和部分無線上網(wǎng)業(yè)務(wù)，將無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)進(jìn)行邏輯的安全隔離。并且，保證無線網(wǎng)絡(luò)穩(wěn)定性并與絕大多數(shù)主流無線網(wǎng)卡兼容，同時(shí)兼顧考慮網(wǎng)絡(luò)擴(kuò)容，為今后網(wǎng)絡(luò)擴(kuò)容做好預(yù)留。 電磁波對(duì)于各種建筑材質(zhì)的穿透損耗的經(jīng)驗(yàn)值如下： 水泥墻 (15~25cm): 衰減 10~12dB 木板墻 (5~10cm): 衰減 5~6dB 玻璃窗 (3~5cm): 衰減 5~7dB 各種建筑材料對(duì)無線訊號(hào)的影響如下： 當(dāng) AP 與終端隔一座水泥墻時(shí)， AP 的可傳送覆蓋距離約剩下 5 米有效距離。 當(dāng) AP 與終端中間隔一座玻璃墻時(shí) , AP 的傳送距離約剩 下 15 米 有效距離。 根據(jù)國家無線電管理委員會(huì) 1997 年《 頻段的管理辦法》中規(guī)定的場(chǎng)強(qiáng)標(biāo)準(zhǔn)，選配不同技術(shù)規(guī)格的全向天線、扇區(qū)天線，既要考慮到每個(gè)信號(hào)輸出點(diǎn)的電頻強(qiáng)度，又要顧及信號(hào)對(duì)人體可能存在的危害，達(dá)到“綠色環(huán)?！钡男Ч?。相鄰 AP 工作在不同頻道，以 1， 6， 11 三個(gè)頻道實(shí)現(xiàn)全方位的覆蓋 ； 保證各個(gè)病房及辦公公共區(qū)域的無線信號(hào)覆蓋強(qiáng)度 60dbm。 樓層 接入 AP 數(shù) PoE 交換機(jī)端口數(shù) 備注 負(fù)一層 6 6 1 樓展廳 8 8 2 樓展廳 10 10 包含報(bào)告廳、球幕 3 樓展廳 8 8 4 樓展廳 8 8 夾層 1 1 1 夾層 2 1 1 夾層 3 1 1 合計(jì) 43 43 深圳市國信招標(biāo)有限公司 東莞市科技館無線 WIFI局域網(wǎng)絡(luò)（ WLAN）建設(shè)項(xiàng)目 14 無線網(wǎng)絡(luò)邏輯設(shè)計(jì) 1）無線網(wǎng)絡(luò)冗余設(shè)計(jì) 無線 控制器 使東莞市科學(xué)技術(shù)博物館能為支持關(guān)鍵業(yè)務(wù)應(yīng)用的端到端無線局域網(wǎng)系統(tǒng)，創(chuàng)建和實(shí)施策略。 WLAN 系統(tǒng)使用即將榮獲專利的無線資源管理 (RRM)算法，來實(shí)時(shí)發(fā)現(xiàn)空中無線資源使用的變化并作出調(diào)整。 無線局域網(wǎng)控制器 所管理的特定智能 RF 功能包括： 動(dòng)態(tài)信道分配 — RF情況進(jìn)行調(diào)整，以優(yōu)化網(wǎng)絡(luò)覆蓋范圍和性能。 負(fù)載均衡 — 此系統(tǒng)對(duì)多個(gè)接入點(diǎn)提供了自動(dòng)的用戶負(fù)載均衡，即使負(fù)載量很大，也能獲得最優(yōu)網(wǎng)絡(luò)性能。 動(dòng)態(tài)功率控制 — 該系統(tǒng)可動(dòng)態(tài)調(diào)整各接入點(diǎn)的功率輸出，來適應(yīng)不斷變化的網(wǎng)絡(luò)情況，以確保達(dá)到預(yù)期的無線性能和可用性。 當(dāng)單個(gè)控制器發(fā)生故障時(shí)，無線接入點(diǎn)可自動(dòng)找到備用 無線局域網(wǎng) 控制器，來繼續(xù)提供無線服務(wù)。 當(dāng)接入點(diǎn)發(fā)生故障時(shí)， WLC4402 無線局域網(wǎng)控制器 可自動(dòng)調(diào)整鄰近接入點(diǎn)的功率，以覆蓋故障接入點(diǎn)原來提供服務(wù)的區(qū)域。 深圳市國信招標(biāo)有限公司 東莞市科技館無線 WIFI局域網(wǎng)絡(luò)（ WLAN）建設(shè)項(xiàng)目 15 2） SSID 和 VLAN規(guī)劃 根據(jù)東莞市科學(xué)技術(shù)博物館大樓實(shí)際情況和應(yīng)用需求，建議使用二種 SSID(可以根據(jù)具體用戶以后業(yè)務(wù)需求增加 SSID)： 參展用戶 SID－ guestSSID： 采用 Guest Vlan 特性限制訪問，允許廣播； 東莞市科學(xué)技術(shù)博物館內(nèi)網(wǎng) SSID－ techMAC 地址認(rèn)證 +WPA+，不允許廣播； 為了有效的隔離廣播域，提高整個(gè)大樓無線網(wǎng)絡(luò)的性能，建議采用 APGroup 技術(shù)，將所有 AP劃分不同的組（ Group），每一組 AP 為一個(gè) VLAN。 3）館內(nèi)無線安全設(shè)計(jì) 基于館內(nèi)的局域網(wǎng)絡(luò)，首先部署一臺(tái)的 WLAN 控制器 ，這里所配置的 能夠支持對(duì) 所有 AP 全面系統(tǒng)深入的管理。 通過無線控制器將兩個(gè)不同 SSID 接入的無線終端分別接入兩個(gè)互不相通的 vlan 中，達(dá)到隔離用戶網(wǎng)絡(luò)和點(diǎn)菜系統(tǒng)網(wǎng)絡(luò)的目的。 4）無線網(wǎng)絡(luò)漫游設(shè)計(jì) 無線網(wǎng)絡(luò)解決方案支持用戶跨 AP、跨無線控制器無縫快速漫游，支持用戶跨 2 層網(wǎng)絡(luò)和 3 層網(wǎng)絡(luò)無縫快速漫游，保 證用戶在東莞市科學(xué)技術(shù)博物館大樓內(nèi)移動(dòng)過程中 IP 地址不變、網(wǎng)絡(luò)連接不間斷、應(yīng)用會(huì)話不間斷，從而保證用戶網(wǎng)絡(luò)應(yīng)用在移動(dòng)中的不間斷性。這些對(duì)于客戶端而言是透明的，當(dāng)客戶從一個(gè) AP 漫游至另外一個(gè) AP 信號(hào)覆蓋范圍時(shí)，客戶端關(guān)聯(lián)也將切 換至新的隧道。 5）無線網(wǎng)絡(luò)接入安全設(shè)計(jì) WLAN 的主要安全問題就是沒有啟用合適的安全特性，缺乏保護(hù)的 WLAN 的信號(hào)可能會(huì)散播到東莞市科學(xué)技術(shù)博物館網(wǎng)絡(luò)之外，被未經(jīng)授權(quán)的人員――甚至惡意的黑客――發(fā)現(xiàn)和利用。 建議為防止網(wǎng)絡(luò)遭受無線威脅而采取以下幾個(gè)步驟： （ 1）啟用 WLC 內(nèi)置安全保護(hù)功能 WLC 內(nèi)置了一些關(guān)鍵的安全特性：例如，控制器默認(rèn)不允許 Multicast/broadcast 流量通過，除非管理員設(shè)置 控制器具備 ARP Proxy 功能： ARPs 和 Gratuitous ARPs 不會(huì)發(fā)送到 WLAN （ 2）控制器屏蔽 duplicate IP Spoofing 對(duì)于客戶端，無線控制器扮演 DHCP relay 角色： WLAN 設(shè)置的 Advance 選項(xiàng)里，把 DHCP addr assignment required 打上勾是要求客戶端必須從指定的 DHCP 獲得地址。 的無線控制器并且具有 ACL 的功 能，可以提供 L4L7 的過濾，提供類似防火墻的功能。它一方面用于防止沒有正確的WEP 密鑰的非法用戶接入網(wǎng)絡(luò)，另一方面只允許具有正確的 WEP 密鑰的用戶對(duì)數(shù)據(jù)進(jìn)行加密和解密。 WPA 包括 80 認(rèn)證和 TKIP 加 密 (更強(qiáng)和更安全形式的 WEP 加密）。根據(jù) 修訂， WPA2 使用高級(jí)加密標(biāo)準(zhǔn)（ AES）保護(hù)數(shù)據(jù)保密。此類型的驗(yàn)證方法在無線環(huán)境中因該媒體的性質(zhì)而特別有用。如果驗(yàn)證不成功，則不會(huì)提供虛擬端口，并將阻斷通信。 同時(shí)的無線控制器支持 Guest Vlan 特性，針對(duì) 所有的 參展用戶分配 的 Guest Vlan 的 SSID，使用簡(jiǎn)單的 Web 認(rèn)證 允許客人 只能訪問 Inter，而不能訪問 東莞市科學(xué)技術(shù)博物館的 的 內(nèi)部網(wǎng)絡(luò) ，這樣就可 以規(guī)避復(fù)雜的無線客戶端的配置。 （ 4）嵌入式無線 IDS 無線控制器內(nèi)置了在線的 IDS，用于檢測(cè)非法的 客戶端和 AP。并且無線控制器實(shí)現(xiàn)的是有線 /無線一體化的安全策略，可以通過有線的 IPS 和防火墻實(shí)現(xiàn)對(duì)無線接入數(shù)據(jù)的 47 層的 IPS保護(hù)，并且可以聯(lián)動(dòng)。這可以通過 LWAPP獨(dú)有的分離 MAC 架構(gòu)實(shí)現(xiàn)，即有些功能由接入點(diǎn)承擔(dān)，另外一些由控制器承擔(dān)。接入點(diǎn)和控制器擁有一個(gè)強(qiáng)大的攻擊簽名 庫，它可用于檢測(cè)無線威脅 ―― 包括惡意接入點(diǎn)，特殊網(wǎng)絡(luò)，或者試圖尋找無線網(wǎng)絡(luò)漏洞的惡意人員。 因?yàn)榻y(tǒng)一無線網(wǎng)絡(luò)輕型接入點(diǎn)和無線局域網(wǎng)控制器都配有 證書，它們可以檢測(cè)到偽裝成網(wǎng)絡(luò)中某個(gè)可靠接入點(diǎn)（充當(dāng)一個(gè) honeypot*）的未經(jīng)授權(quán)的接入點(diǎn)。這種功能有助于確保客戶端不會(huì)與惡意接入點(diǎn)建立關(guān)聯(lián)。 無線網(wǎng)絡(luò)管理系統(tǒng) (WCS) 無線控制系統(tǒng) (WCS)是業(yè)界進(jìn)行無線局域網(wǎng)規(guī)劃、配置和管理的領(lǐng)先平臺(tái)。WCS 是統(tǒng)一無線網(wǎng)絡(luò)的一個(gè)組件。 憑借 WCS，網(wǎng)絡(luò)管理員可擁有單一解決方案，來進(jìn)行 RF 預(yù)測(cè)、策略配置、網(wǎng)絡(luò)優(yōu)化、排障、用戶跟蹤、安全監(jiān)控和無線局域網(wǎng)系統(tǒng)管理。詳細(xì)的趨勢(shì)和分析報(bào)告使 WCS 可為持續(xù)網(wǎng)絡(luò)運(yùn)營提供重要作用。 IT 人員可將實(shí)際的地面布局輸入 WCS，并確定樓宇中各組件的 RF 特性，以提高設(shè)計(jì)準(zhǔn)確性。 深圳市國信招標(biāo)有限公司 東莞市科技館無線 WIFI局域網(wǎng)絡(luò)（ WLAN）建設(shè)項(xiàng)目 19 2） 網(wǎng)絡(luò)監(jiān)控和排障 WCS 提供的工具可幫助 IT 管理員查看其無線網(wǎng)絡(luò)的布局，并持續(xù)監(jiān)控 WLAN 性能。 WCS 還提供了一個(gè)門戶，用戶可通過它獲得 WLAN 控制器所提供的實(shí)時(shí) RF 管理功能，包括信道分配和接入點(diǎn)發(fā)射功率設(shè)置。 查看 RF 覆蓋范圍 3） 室內(nèi)位置跟蹤 提供了各種選項(xiàng)，來有效地跟蹤無線設(shè)備，包括支持 WiFi 的筆記本電腦、 PDA、手機(jī)和配備了 收發(fā)器的移動(dòng)設(shè)備。需更精確的定位服務(wù)的環(huán)境可部署 WCS的一個(gè)可選版本，稱為定位型 WCS，它采用了即將榮獲專利的“ RF 指紋”技術(shù)。此外，定位型 WCS 能與無線定位設(shè)備一起部署，同時(shí)實(shí)時(shí)地跟蹤數(shù)千個(gè)無線客戶端。通過將室內(nèi)位置跟蹤集成入無線局域網(wǎng)基礎(chǔ)設(shè)施，降低了無線局域網(wǎng)部署的復(fù)雜性和總擁有成本。這其中包括： （ 1） RF 攻擊簽名和無線入侵防御 — WCS使 IT 人員可創(chuàng)建能定制的攻擊簽名文件，可用于迅速檢測(cè)與 RF 相關(guān)的常見攻擊，如拒絕服務(wù) (DoS)、 Netstumbler 和 FakeAP。詳細(xì)的趨勢(shì)報(bào)告可幫助 IT 人員在威脅造成重大損失前發(fā)現(xiàn)反復(fù)出現(xiàn)的安全問題。如果出現(xiàn)未授權(quán)設(shè)備，可使用 WCS 確定其位置并評(píng)估威脅級(jí)別。詳細(xì)的趨勢(shì)報(bào)告有助于識(shí)別反復(fù)發(fā)生的潛在問題。憑借 WCS， IT 人員可創(chuàng)建多個(gè)獨(dú)特的服務(wù)集識(shí)別符（ SSID），各自帶獨(dú)立的安全參數(shù)。 WCS 可在完整的無線網(wǎng)絡(luò)、獨(dú)立的無線局域網(wǎng)控制器，甚或獨(dú)立的輕型接入點(diǎn)上實(shí)施安全策略。此外，如果發(fā)現(xiàn)異?；顒?dòng)，受到影響的設(shè)備會(huì) 被標(biāo)記，如果認(rèn)為它們是惡意設(shè)備，會(huì)拒絕它們接入網(wǎng)