浙江工商大学大学无线网络方案建议书

浙江工商大学大学无线网络方案建议书内容摘要：

“接近”校园网络，而无须连入某个固定的有线端口。 因此，只一味的强调大规模无线接入，只会造成越来越多的安全隐患。 有些校园 IT 管理者认为，已有的传统的有线安全设备如防火墙， IPS 能够同样为无线网络起到良好的安全作用。 其实，这种认识是非常错误的。 举两个最简单的例子：比如一个非法用户连入校园的无线网络，由于大多数情况，校园无线网络都采用 portal 认证方式，这样非法用户就能首先获得 IP地址，并能发出大量的非法数据包或对 portal服务器进行攻击，而这些数据由于还未送达有线侧防火墙设备，所以会对整个无线网络造成极大的安全隐患，如果不在无线侧设置基于用户的无线防火墙，很难对这种流量和用户加以限制。 另外一个例子，一个正常用户连入网络后，由于 PC中毒，可能会发出大量的无效数据包，当数据包送达有线防火墙后，由于现有的有线防火墙或 IPS 无法跟无线控制器进行联动，也就不能将该用户直接和无线网络断开连接，有线防火墙只能将流量阻隔不让其进入有线核心网络，而大量的无线数据包已经占满无线网络链路，造成了不必要的网络拥塞。 从以上两个简单的例子可以看出，有线安全设备由于并非为无线网络设计，并不能很好的 完成无线网络安全管理，而在无线控制器中作简单的 ACL 功能也无法根除无线网络安全性的问题，只能作到一些简单的策略控制。 这也就是 ARUBA公司为什么要将状态防火墙集成到无线控制器，这样就可以实时的对网络数据进行检查，无线状态防火墙能和整个无线网络实时联动，将非法用户阻隔在无线网络以外（根本无法跟无线网络作关联），有效的保护了整个无线网络的安全。 因此 ARUBA认为，建设无线网络必须从以下几方面做到全方位的安全保证：  集中的安全管理 ARUBA 无线系统的安全管理是将防火墙、 VPN、安全认证、防病毒、无线入侵监测 IDS 以及RF 电磁波管理等多项安全功能汇聚到 ARUBA 无线控制器上来完成的，解决了传统的无线网对安全的分散管理（ AP、 AC）和能力，给用户带来的不安全感，摆脱了对有线网安全的依赖性。  多种用户认证方式组合 浙江工商大学无线网络方案建议书 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6号 10 / 47 在 ARUBA无线系统中，一个无线用户进入无线网以后，只会拿到一个最基本的入网权限，这个权限不容许用户访问任何网段，只让用户通过 DHCP 获取 IP 地址、传送 DNS 协议数据包，通过认证以后才可以接入无线网。 ARUBA 无线系统支持目前各种用户认证的方式（ 、 WEB 认证、 MAC、 SSID 等），校园网用户可 以根据需要方便选择。  无线访问控制 用户状态防火墙是 ARUBA无线控制器的独特功能，它本身就是针对无线接入的特性而设计。 传统的网络防火墙或 ACL是没有用户这概念，它的保护只是基于 IP地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效是不大，尤其是在无线网络中。 ARUBA无线系统的防火墙功能则是与用户认证捆绑在一起，当无线用户成功通过认证后，该用户会获得一个预设的用户状态防火墙，不同的无线用户有不同的防火墙策略，例如老师和工作人员可以使用更多的服务，而学生只可以浏览网页、收发 Email等，这样可以极大方便校园网用户的安全管理。 当发现有恶意用户在企图登陆网络或在网络中发送异常流量时， ARUBA无线控制器能够将该用户自动放入黑名单组中，从而实现了非法用户的物理隔离。  无线接入点安全侦测和保护 采用 ARUBA 无线系统的 RF 侦测功能和保护机制可以实时监测校园无线网覆盖区域内的所有AP 接入情况 ,如相邻房间的 AP、设置错误的 AP 以及未经认可而连接到网络中的 AP。 通过 ARUBA 的网络安全管理系统，网络安全管理人员可以及时发现是否有非法的 AP 接入，发现后可以开启自动保护机制，阻止无线终端通过 非法 AP 连接到无线网中。  无线网络入侵侦测 IDS 今天已经有很多的无线入侵和攻击的工具可从网站下载，这些工具的普及对学校、和运营商的无线网的安全构成很大的威胁。 今天绝大部分的无线局域网都没有侦测无线入侵的功能，所以当受到像无线 DOS 攻击时，就会误以为是无线电波的信号受干扰或 AP 出现不稳定情况。 这些攻击在 Hotspots会导致用户的无线连接断线，但网管中心仍然不知，用户则误以为是网络问题，间接影响无线网系统的品质。 ARUBA 无线系统的特点是交换机由专有的网络处理器和加密处理器组成，且内置一个无线入侵模式库 ，实时检测异常的无线数据包，当 ARUBA 无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应。  无线接入的病毒防护（ licensing 选配） ARUBA 无线系统针对无线终端的病毒防护分为两个层面，一、无线终端的准入检查；二、对无 浙江工商大学无线网络方案建议书 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6号 11 / 47 线终端发出数据进行有效的检查和监控。 无线终端病毒防护的第一步是准入检查，当无线终端连接到 ARUBA无线系统中，试图访问网络，在用户认证之前，需要下载一个基于 JAVA的程序，可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的 情况，做一个检查，如果不能通过检查，可以设定策略禁止其访问网络，也可设置成将无线用户重定向到一台升级服务器，打系统补丁、安装防病毒软件和升级病毒定义码，满足系统制定的安全策略以后，该无线终端才可以进入认证环节进行用户的认证。 当无线终端通过了准入检查，但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。 ARUBA公司和可以和主流的网络准入控制厂商合作，在 ARUBA无线控制器上可以设定策略，某些用户，以及某些可能沾染病毒的数据， ARUBA交换机会将其重定向到防病毒墙上进行防病毒检查，检查 完成后，才允许通过，否则会将数据丢弃。 基于上述两个层面， ARUBA无线局域网系统对无线终端进行有效和方便的病毒防护。 . 支撑未来多业务应用的无线基础网络 随着技术手段的不断进步，校园无线网络一定会需要支持多媒体融合应用，包括组播， VOD， IP视频监控，以及 WIFI Phone 等等， 无线校园网解决方案对未来的发展 一定要具备 很好的前瞻性。 ARUBA认为应从以下几点考虑无线网络的多业务应用发展。 浙江工商大学无线网络方案建议书 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6号 12 / 47  带宽控制与服务质量保证 QOS ARUBA 无线系统的带宽管理能力使得在移动音视频应用方面表现出很强的优势。 ARUBA 无线系统可在每个用户的权限限制内用户无线连接的最高带宽。 对于不同的 IP 服务， ARUBA系统亦可透过 ARUBA无线控制器设置定义不同的 QoS 队列。 例如无线语音的应用， SIP 和 RTP 协议可设定在高的队列，而一般应用如 、 ftp 则可设定在低的队列。 例如语音视频这样对于时延敏感的业务，目前，经过中国网通、中国赛尔公司对几家 WLAN 设备厂商的设备测试结果表明， ARUBA 的无线网系统以其完善 QoS 特性在测试中表现最佳。  VoIP与 WIFI Phone 随着 VoIP 的越来越普及 (如 Skype,„等 )，基于 SIP 的 WiFi电话未来将迅速变为学校校园内的教师之间、学生之间话音联络的主流。 WiFi 电话除了可在校园、教学楼以及办公室之间等不同 AP 之间漫游外，用户亦可在其它有 Inter 连接的地方如酒店，住宅等使用，这是一般办公室无线电话 (传统的电话交换机 )不能做到的。 简单地说，用户可在有宽带接入的地方继续使用办公室的电话号码，不管是国内或国外。 很多手机厂家已开始推出双模制式的手机 (GSM/CDMA + WiFi)，用户很快就可以漫游于手机移动网和无线局域网之间。 ARUBA 的无线交换技术已经证明很多业界 VoIP 系统在 ARUBA 系统上成功的运行，且在最近的 Network World VoWLAN 测试结果被评选为市场上最卓越的产品。 在具体实现 WiFi 语音时要注意考虑语音的时延， AP 呼叫的容量，和漫游切换时间。 尤其语音的漫游 ,它会比一般的数据移动传输更普及，但相对的要求也较严紧，所以要在无线局域网实现语音和数据融合，就不能随意的安装一些 AP，而必须是有规范的组建无线局域网。 ARUBA 无线系统可容许用户设置专有的语音 SSID，把单纯是数据传输的用户和 WiFi手机用户 浙江工商大学无线网络方案建议书 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6号 13 / 47 分开，但也可以在单一 SSID 内同时传送数据和 话音，关键的重点就是怎样保证语音传输的质量。 ARUBA 无线控制器内的用户防火墙可把 SIP/RTP 等 VoIP 协议数据包放在较高的优先队列，所以就可确保在数据和语音同时传送时，语音的质量不受影响。 另在语音安全接入方面， ARUBA可防止没有无线语音权限的用户使用无线语音，以确保网络资源能有效运用。  无缝的三层漫游 ARUBA 无线能够让用户在 AP、 WLAN 交换 机、多子网以及多 VLAN 之间无缝地漫游，而且不会丢失 连接，也不需要重启。 它不需要对现有网络进行任何改 变就可以 实现这一切。 其他厂家一般只能实现二层 漫游。 跨网段时需要 二次认证，导致丢包或者很大延迟。 而 ARUBA的 handoff 性能极佳，保证了语音的流畅。 这种技术可以确保无线语音业务可以无缝的在 AP 间漫游，而不会发生掉线，是多媒体业务的质量保证。  无线控制器对 VOWIFI 实时监控 由于 ARUBA的无线控制器内嵌状态防火墙，可以对数据包进行深度的包检测，从而可以轻松的检测的整个无线网络的话音状态和每个话音终端的时延、话音质量、 R值等话音效果参数。 下图是在ARUBA网管中检测到的话音的截图：。 浙江工商大学无线网络方案建议书 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6号 14 / 47 . 方便而强大的网管功能 浙江工商大学无线网络方案建议书 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6号 15 / 47 ARUBA 移动管理系统提供一个全方位的应用程序套件，对企业网络的“移动边缘”进行规划、监视、容错管理、报告、 RF 覆盖率和位置可视化。 它高度集成其他“移动边缘”系统组件（如移动控制器和控制的接入点），代表新一类网络管理应用程序，这些应用程序被优化来管理网络用户而不仅仅是网络设备。 以用户为中心的管理模型使 IT 管理员可以实时迅 速地管辖和可视化与任何指定网络用户相关的所有对象，此模型是移动管理系统重要的不同点。 它大幅缩短了故障排除时间，确保快速修复并提高客户的满意度。 ARUBA 独有的 MESH PLANNING网管工具 通过从一个网络操作中心自动发现并同时管理数百个控制器和数千个控制的 AP 及用户，移动管理系统了降低总体拥有成本。 它完善嵌入到 ARUBA 移动控制器本身 的丰富的集中管理功能，并提供一个参考点以跟踪用户 /客户端设备、识别非法设备、规划新部署、快速解决客户端问题并可视化整个“移动边缘”上的 RF 覆盖模式。 此外，移动管理系统随带一个嵌入的位置 API，允许外部系统查询任何 WLAN 设备的当前和历史位置。 移动管理系统软件可以部署到任何 PC 平台上，或者选择购买强大结实的网络设备系统。  RF Live 浙江工商大学无线网络方案建议书 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6号 16 / 47 RF Live 应用程序用于预部署规划和现场可视化 RF 环境，非常适用于迅速理解干扰模式和覆盖盲区。 使用覆盖等高线和彩色热地图，在楼层平面图上下文中显示 RF 参数，例如信号强度和干扰。 因为 RF Live 使用 ARUBA。