【正文】 式 ? 支持 PoE 以太網(wǎng)供電標準 ? 專為戶外環(huán)境設計，具有 防水 防塵防雷等功能，適于各種惡劣環(huán)境 2) 室外無線覆蓋網(wǎng)絡拓樸及說明 如圖示，室外的無線覆蓋可以將室外專用無線產(chǎn)品 AP220H 布放于建筑物的頂部或邊緣、室外立桿等處與有線網(wǎng)絡連接在一起。 校園網(wǎng)無線覆蓋解決方案 24 室外覆蓋組成： 室外型大功率 AP 增益天線 應用場景： 通過室外信號覆蓋室內(nèi)，兼顧室外覆蓋 適用場景： 室外信號覆蓋需求的地方； 無法建設 WLAN 信號室內(nèi)覆蓋的地方； 需要快速實現(xiàn) WLAN 信號覆蓋的地方 室外 AP 布署的頻率規(guī)劃 3) 信道的規(guī)劃 校園網(wǎng)無線覆蓋解決方案 25 ，可工作的信道數(shù)為歐洲標準信道數(shù) 13 個。因此對于 在 工作頻段，理論上只能進行三信道的蜂窩規(guī)劃實現(xiàn)對需要規(guī)劃的熱點的無縫覆蓋。 但是，無線網(wǎng)絡的方便性也帶來了無線網(wǎng)絡的安全問題： 無線 網(wǎng)絡，顧名思義就是利用 空氣 (空間 )取代 網(wǎng)絡線 來傳遞數(shù)據(jù)，無線網(wǎng)絡使用者只要在無線電波的涵蓋范圍內(nèi)，就可以 如同已往使用網(wǎng)絡線來連上網(wǎng)絡一樣方便；換句話說， 任何人 在 電波范圍內(nèi) (可能是不同層樓或停車場 )也一樣可以使用 企業(yè)內(nèi)部網(wǎng)絡 了！而且 任何人 也可以很方便的 看到 其它人 在傳輸?shù)臄?shù)據(jù)。 3. 無線網(wǎng)絡的安全措施 現(xiàn)在的無線網(wǎng)絡在安全方面具有多種技術，我們可以根據(jù)具體需求靈活實施一種或多種安全技術來實現(xiàn)無線網(wǎng)絡的安全要求，以下逐一介紹無線網(wǎng)絡的各種安全技術： 1) SSID服務識別碼 SSID(服務識別碼 )是一個可供設定的字符串，用來區(qū)分不同的無線網(wǎng)絡區(qū)域，設定正確 SSID 的使用者才可以跟無線網(wǎng)絡基地臺 (Wireless Access Point)通訊。 銳捷 無線產(chǎn)品還支持多 SSID 功能，并且能把 SSID 與 VLAN 的 VID進行捆綁，從而實現(xiàn) VLAN 的安全性。與需要物理連接的有線網(wǎng)絡不同，無線 AP 范圍內(nèi)的任何人都可以為所欲為地發(fā)送和接收幀以及偵聽發(fā)送的其他幀，這使得無線局域網(wǎng)幀很容易被竊聽和遠程探查。WEP 通過加密無線節(jié)點之間 發(fā)送的數(shù)據(jù)來提供數(shù)據(jù)機密性服務。 WEP 通過在無線幀的加密部分包括完整性校驗值 (ICV) 來提供隨機錯誤的數(shù)據(jù)完整性。這種基于端口的網(wǎng)絡訪問控制使用交換式局域網(wǎng)基礎結構的物理特性對連接到局域網(wǎng)端口的設備進行身份驗證。盡管此標準是為有線以太 網(wǎng)設計的，不過它已經(jīng)得到了修改，可以在 無線局域網(wǎng)上使用。 下圖 顯示了無線局域網(wǎng)的這些組件。 PAE 可以是身份驗證者角色、申請者角色或者同時是這兩種角色。對于無線連接，身份驗證者是無線 AP 上的邏輯局域網(wǎng)端口，基礎結構模式中的無線客戶端通過此端口獲得對其他無線客戶端和有線網(wǎng)絡的訪問。對于無線連接，申請者是無線局域網(wǎng)適配器上的邏輯局域網(wǎng)端口，該端口通過將自身與身份驗證者關聯(lián)并向身份驗證者驗證它自身來請求對其他無線客戶端和有線網(wǎng)絡的訪問。 ? 身份驗證服務器 為驗證申請者的憑據(jù)，身份驗證者使用了身份驗證服務器。 ? 受控端口和非受控端口 身份驗證者基于端口的訪問控制定義了以下不同類型的邏輯端口，這些端口通過單個物理局域網(wǎng)端口訪問有線局域網(wǎng)： 非受控端口 非受控端口允許身份驗證者（無線 AP）與有線網(wǎng)絡上的其他聯(lián)網(wǎng)設備之間進行不受控制的交換，無論無線客戶端的授權狀態(tài)如何。 受控端口 只有在無線客戶端得到 的授權時，受控端口才允許在無線客戶端和有線網(wǎng)絡之間發(fā)送數(shù)據(jù)。在使用 IEEE 成功驗證無線客戶端后，交換機關閉，并且可以在無線客戶端和有線網(wǎng)絡上的節(jié)點之間發(fā)送幀 在執(zhí)行身份驗證的以太網(wǎng)交換機上，身份驗證一旦完成，有線以太網(wǎng)客戶端校園網(wǎng)無線覆蓋解決方案 29 就可以將以太網(wǎng)幀發(fā)送到有線網(wǎng)絡。通常，以太網(wǎng)交換機上的一個物理端口僅連接一個以太網(wǎng)客戶端。這由無線客戶端和無線 AP 通過相互確定每客戶端單播會話密鑰來完成。如果成功的身份驗證未能關聯(lián)有效的單播會話密鑰，無線 AP 將丟棄從無線客戶端發(fā)送的通信。 EAP 是一個基于點對點協(xié)議 (PPP) 的身份驗證機制，它已經(jīng)得到了修改，可在點對點局域網(wǎng)段上使用。為了修改 EAP 消息使其能夠通過以太網(wǎng)或無線局域網(wǎng)段發(fā)送， IEEE 標準定義了 EAP over LAN (EAPOL)，這是封裝 EAP 消息的一種標準方法。 4) WPA (WiFi Protected Access) WPA 包含了認證、加密和數(shù)據(jù)完整性校驗三個組成部分，是一個完整的安全性方案。第一種采用 +EAP 的方式，用戶提供認證所需的憑證，如用戶名密碼，通過 特定的用戶認證服務器（一般是 RADIUS 服務器）來實現(xiàn)。但是對于一些中小型的企業(yè)網(wǎng)絡或者家庭用戶，架設一臺專用的認證服務器未免代價過于昂貴，維護也很復雜，因此 WPA 也提供一種簡化的模式，它不需要專門的認證服務器。只要密鑰吻合，客戶就可以獲得 WLAN 的訪問權。而且， TKIP 利用了 。然后， TKIP 把這個密鑰通過安全通道分發(fā)到 AP 和客戶端，并建立起一個密鑰構架和管理系統(tǒng)，使用主密鑰為用戶會話動態(tài)產(chǎn)生一個唯一的數(shù)據(jù)加密密鑰，來加密每一個無線通訊數(shù)據(jù)報文。雖然 WPA 采用的還是和 WEP 一樣 的 RC4 加密算法，但其動態(tài)密鑰的特性很難被攻破。除了和 一樣繼續(xù)保留對每個數(shù)據(jù)分段 (MPDU)進行 CRC 校驗外， WPA 為 的每個數(shù)據(jù)分組 (MSDU)都增加了一個 8 個字節(jié)的消息完整性校驗值，這和 對每個數(shù)據(jù)分段 (MPDU)進行 ICV 校驗的目的不同。而 WPA 中的 MIC 則是為了防止黑客的篡改而定制的，它采用 Michael 算法，具有很高的安全特性。此時， WPA 還會采取一系列的對策，比如立刻更換組密鑰、暫?；顒?60 秒等，來阻止黑客的攻擊。 5) MAC 地址過濾 AP 還可以通過設置 MAC 地址過濾功能允許或拒絕某些特定的無線網(wǎng)卡聯(lián)入無線網(wǎng)絡，從而增加網(wǎng)絡的安全性。 6) 無線客戶端隔離功能 銳捷 網(wǎng)絡所提供的 AP 均支持無線客戶端隔離功能，非常適合在校園網(wǎng)、企事業(yè)單位或熱點地區(qū)布放，使無線用戶在輕松上網(wǎng)的同時，最大限度的保證安全校園網(wǎng)無線覆蓋解決方案 31 性。 AP220E/AP220H amp。 SMP 1) RGS5750 高性能 ? 萬兆端口為 “千兆匯聚，萬兆核心 ”提供可能，適應了網(wǎng)絡應用高速發(fā)展，網(wǎng)絡帶寬不斷增加的需要。 IPv4/IPv6 雙棧協(xié)議多層交換 硬件支持 IPv4/IPv6 雙協(xié)議棧多層線速交換，硬件區(qū)分和處理 IPv IPv6 協(xié)議報文，支持多種 Tunnel 隧道技術（如手工配置隧道、 6to4 隧道和 ISATAP 隧道等等），可根據(jù) IPv6 網(wǎng)絡的需求規(guī)劃和網(wǎng)絡現(xiàn)狀，提供靈活的 IPv6 網(wǎng)絡間通信方案； 支持豐富的 IPv4 路由協(xié)議，包括靜態(tài)路由、 RIP、 OSPF、 BGP4 等，滿足不同網(wǎng)絡環(huán)境中用戶選擇合適的路由協(xié)議靈活組建網(wǎng)絡； 支持豐富的 IPv6 路由協(xié)議，包括靜態(tài)路由、 RIPng、 OSPFv BGP4+等 ，不論是在升級現(xiàn)有網(wǎng)絡至 IPv6 網(wǎng)絡，還是新建 IPv6 網(wǎng)絡，都可靈活選擇合適的路由協(xié)議組建網(wǎng)絡； S5750 硬件版本支持 MCE 功能，可以在 BGP/MPLS VPN 組網(wǎng)應用中承擔多個 VPN 實例的 CE 功能，減少用戶設備的投入。 業(yè)界領先的硬件 CPU 保護機制：特有的 CPU 保護策略（ CPP 技術），對發(fā)往 CPU的數(shù)據(jù)流，進行流區(qū)分和優(yōu)先級隊列分級處理，并根據(jù)需要實施帶寬限速，充分保護 CPU 不被非法流量占用、惡意攻擊和資源消耗，保障了 CPU 安全，充分保護了交換機的安全； 校園網(wǎng)無線覆蓋解決方案 32 硬件實現(xiàn)端口或交換機整機與用戶 IP 地址和 MAC 地址的靈活綁定，嚴格限定端口上的用戶接入或交換機整機上的用戶接入問題； 支持 DHCP snooping，可只允許信任端口的 DHCP 響應，防止私設 DHCP ?Server的欺騙；并在 DHCP 監(jiān)聽的基礎上，通過動態(tài)監(jiān)測 ARP 和檢查用戶的 IP，直接丟棄不符合綁定表項的非法報文，有效防范 ARP 欺騙和用戶源 IP 地址的欺騙問題； 基于源 IP 地址控制的 Tel 訪問控制，避免非法人員和黑客惡意攻擊和控制設備，增強了設備網(wǎng)管的安全性； SSH（ Secure ?Shell）和 SNMPv3 可以通過在 Tel 和 SNMP 進程中加密管理信息，保證管理設備信息的安全性，防止黑客攻擊和控制設備 控制非法用戶使用網(wǎng)絡， 保證合法用戶合理化使用網(wǎng)絡，如多元素綁定、端口安全、時間 ACL、基于數(shù)據(jù)流的帶寬限速等，滿足企業(yè)網(wǎng)、校園網(wǎng)加強對訪問者進行控制、限制非授權用戶通信的需求。比如 IGMP Snooping、 IGMP、MLD、 PIM、 PIM for IPv6 等協(xié)議族，為 IPv4 網(wǎng)絡、 IPv6 網(wǎng)絡、 IPv4 和 IPv6 共存的網(wǎng)絡提供了組播服務支持。 完善的 QoS 策略 具備 MAC 流、 IP 流、應用流等多層流分類和流控制能力，實現(xiàn)精細的流帶寬控制、轉發(fā)優(yōu)先級等多種流策略，支持網(wǎng)絡根據(jù)不同的應用、以及不同應用所需要的服務質量特性，提供服務。 方便易用易管理 靈活復用的多種千兆接口形式，可靈活滿足需要多個千兆銅纜 和多個千兆光纖鏈路的連接，方便用戶靈活選擇線纜； 為方便安裝地點或建筑物不適宜部署外部電源的環(huán)境， RGS5750 系列交換機特別提供支持 PoE 功能的產(chǎn)品型號，即通過雙絞線就可以向遠端下掛的 PD 設備供電，如無線 AP、 IP Phone、視頻監(jiān)控等設備，方便了任何符合 IEEE ? 標準的終端設備的接入，實現(xiàn)以太網(wǎng)集中供電，以滿足金融、企業(yè)、學校、醫(yī)院、工廠等用戶實現(xiàn) VoIP、遠程監(jiān)控、無線 AP 等網(wǎng)絡應用的需要； 網(wǎng)絡時間協(xié)議保證交換機時間的準確性，并與網(wǎng)絡中時間服務器時間統(tǒng)一化，方便日志信息和流量信息 的分析、故障診斷等管理； Syslog 方便各種日志信息的統(tǒng)一收集、維護、分析、故障定位、備份，便于管理員網(wǎng)絡維護和管理； 多端口同步監(jiān)控，通過一個端口即可同時監(jiān)控多個端口的數(shù)據(jù)流，可以只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀，大大提高維護效率； CLI 界面，方便高級用戶配置和使用。 靈活完備的安全控制策略 通過多種內(nèi)在的安全機制可有效防止和控制病毒傳播和網(wǎng)絡流量攻擊，控制非法用戶使用網(wǎng)絡，保證合法用戶合理化使用網(wǎng)絡，如端口靜態(tài)和動態(tài)的安全綁定、端口的帶寬限速、用戶接入控制的多元素綁定等，滿足企業(yè)網(wǎng)、校園網(wǎng)加強對訪問者進行控制、限制非授權用戶通信的需求； 通過銳捷安全計費管理平臺 SAM，不僅可實現(xiàn)用戶賬號、密碼、 MAC 地址、 IP地址、交換機 IP、交換機端口等六大元素之間的靈活任意綁定，有效確認用戶身份的合法性和唯一性，更能通過交換機特色硬件動態(tài)綁定，保障用戶身份始終一致性，避免了用戶惡意篡改身份信息進行非法攻擊等行為； ARP檢測功能有效遏制了網(wǎng)絡中日益泛濫的 ARP網(wǎng)關欺騙和 ARP主機欺騙的現(xiàn)象，保障了用戶的正常上網(wǎng)。而配合ARP 速率監(jiān)控控制端口 ARP 報文發(fā)送的速率，防止惡意利用掃描工具進行 ARP泛洪占據(jù)網(wǎng) 絡帶寬，導致網(wǎng)絡擁塞的攻擊行為； 支持 DHCP Snooping，只允許信任端口的 DHCP 響應，防止未經(jīng)管理員許可私自架設 DHCP Server，擾亂 IP 地址的分配和管理，影響用戶的正常上網(wǎng)的行為；并在 DHCP 監(jiān)聽的基礎上，通過動態(tài)監(jiān)測 ARP 和檢查源 IP，有效防范 DHCP 動態(tài)分配 IP 環(huán)境下的 ARP 主機欺騙和源 IP 地址的欺騙； 隔離、多種類型的硬件 ACL 控制、基于數(shù)據(jù)流 基于源 IP 地址控制的 Tel 和 Web 設備訪問控制，避免非法人員和黑客惡意攻擊和控制設備，增強了設備網(wǎng)管的安全性； 面對日趨熱烈的 IPv6 應 用，交換機支持基于硬件的 IPv6 ACL，即使在 IPv4 網(wǎng)絡內(nèi)有 IPv6 用戶，也可輕松在網(wǎng)絡邊緣實現(xiàn)對 IPv6 用戶的訪問控制，既可允許網(wǎng)絡內(nèi) IPv4/IPv6 用戶并存，也可以對 IPv6 用戶的訪問權限進行控制，比如限制對網(wǎng)絡敏感資源的訪問等； SSH（ Secure Shell）和 SNMPv3 技術通過在 Tel 和 SNMP 進程中加密管理信息，保證管理設備信息的安全性，防止黑客攻擊和控制設備。 高可靠性 CPU 安全屏障保護：特有的 CPU 保護策略（ CPP），對發(fā)往 CPU 的數(shù)據(jù)流，進行流區(qū)分和優(yōu)先級隊列分級處理，并實施帶寬限速，充分保護 CPU 不被非法流量占用、惡意者攻擊和資源消耗，保障了 CPU 安全，充分保護了交換機的安校園網(wǎng)無線覆蓋解決方案 36 全； 支持生成樹協(xié)議 、 、 ，完全保證快速收斂，提高容錯能力，保證網(wǎng)絡的穩(wěn)定運行和鏈路的負載均衡，合理使用網(wǎng)絡通道，提供冗余鏈路利用率； PortFast 大大縮減了標準的 3050 秒的生成樹協(xié)議收斂時間，而 BPDU Guard 功能則避免 了生成樹協(xié)議環(huán)路的出現(xiàn)； 支持 RLDP，可快速檢測鏈路的通斷和光纖鏈路的單向性，并支持端口下的環(huán)路檢測功能，防止端口下因私接 Hub 等設備形成的環(huán)路而導致網(wǎng)絡故