郑州师范学院无线校园网解决方案

郑州师范学院无线校园网解决方案内容摘要：

络进行全方位的监控，从网络各种性能指标、告警指标中进行智能的统计和分析，才能有效从整体对网络状况进行衡量。 H3C 无线运营管理组件 （ WSM）提供了丰富的无线统计报表查询和定制功能，以帮助管理员对网络进行综合而全面的管理。 烟草进修学院无线校园网 解决方案 14 安全方案 防 ARP 病毒 ARP 欺骗攻击不仅会造成联网不稳定，引发用户无法上网，或者企业断网导致重大生产事故，而且利用 ARP 欺骗攻击可进一步实施中间人攻击，以此非法 获取到 文件服务等系统的帐号和口令，对被攻击者造成利益上的重大损失。 因此 ARP 欺骗攻击是一种非常恶劣的网络攻击行为。 无线局域网由于带宽相对较窄，而且同一个 AP 下的所有用户都共享带宽，所以一 有用户中 ARP 病毒，频繁发送 ARP 报文，对网络的影响比有线更大。 针对无线网络的特点， H3C 创新的在 WLAN 上提供防 ARP 病毒方案，首先同一个 AP 的同一个 SSID 下的用户缺省启动用户隔离，这样用户发送的 ARP 报文不会被转发给其他用户，其次 H3C ARP 攻击防御解决方案通过对客户端、接入交换机和网关三个控制点实施自上而下的“ 全面防御”，并且能够根据不同的网络环境和客户需求进行“模块定制”，为用户提供多样、灵活的 ARP 攻击防御解决方案。 H3C 提供两类 ARP 攻击防御解决方案：监控方式，认证方式。 监控方式主要适用于动态接入用户居多的网络环境，认证方式主要适用于认 烟草进修学院无线校园网 解决方案 15 证方式接入的网络环境；实际部署时，建议分析网络的实际场景，选择合适的攻击防御解决方案。 另外，结合 H3C 独有的 iMC 智能管理中心，可以非常方便、直观的配置网关绑定信息，查看网络用户和设备的安全状况，不仅有效的保障了网络的整体安全，更能快速发现网络中不安全的主机和 ARP 攻击源， 并迅速做出反映。 无线入侵检测 H3C 的 WIDS 目前主要包括下面三个特性：  非法设备检测；  入侵检测；  无线用户接入控制（黑名单和白名单）； 非法设备检测比较适合于大型的 WLAN 网络。 通过在已有的 WLAN 网络中部署非法设备检测功能，可以对整个 WLAN 网络中的异常设备进行监视，并且可以根据需要对非法的设备进行防攻击处理（在实际的网络应用中，可以启动防攻击功能，即 WIDS 会尽量阻止非法的设备提供服务或者接入到无线网络）。 非法设备检测可以检测并且分类 WLAN 网络中的多种设备，例如非法 AP，非法无线终端，非法无线网 桥等等。 入侵检测主要为了及时发现 WLAN 网络中的有意或者无意的攻击，通过记录信息或者日志方式通知网络管理者。 根据入侵检测的结果，网络管理者可以及时调整网络的配置，去除 WLAN 网络的不安全因素，保证WLAN 网络不再受到攻击。 目前 H3C 的入侵检测主要包括 报文Flood 攻击检测、 AP Spoof 检测以及 Weak IV 检测，而且其中 Flood 攻击检测可以根据不同类型的报文进行攻击检测。 接入控制根据特定的属性实现了对无线客户端接入 WLAN 网络的权限控制。 目前 WIDS 接入控制主要根据 MAC 地址进行规则控 制，并且支持两种控制规则：黑名单和白名单。 其中白名单只能通过手动进行配置；而黑名单同时支持手动配置方式和动态添加方式，入侵检测系统和非法设备检测模块检测到非法攻击，可以动态地将该非法设备添加到黑名单 烟草进修学院无线校园网 解决方案 16 中，后续所有从该设备接收到的报文会被直接丢弃，从而保护了 WLAN网络不再受到该非法设备的攻击。 室内设备物理安全性 H3C WA4600 自身支持物理防盗设计，位于设备顶部，可以用于将AP 设备与固定支架锁定，起到一定的防盗作用。 烟草进修学院无线校园网 解决方案 17 4 H3C方案特点与优势 H3C 一体化 无线校园 解决方案有效实现 了 有线和无线网络的融 合，通过统一的硬件平台、统一的网络管理、统一的用户管理、统一的应用安全， 为校园用户 提供安全的无线接入。 根据用户需求。 H3C 通过 WSM 智 能 无线管理组件 为网络管理员提供了图形化、一体化管理能力，可以高效地管理有线 /无线网络。 H3C 一体化无线校园解决方案 —— 更稳定： H3C WLAN 稳定性解决方案从无线控制器的可靠性，接入交换机供电的可靠性、无线信号的可靠性这几方面入手，极大的提高了 WLAN 网络的可靠性；在实际的使用情况来看，启用这些措施之后， WLAN 的可靠性能够得到明显的提升。 无线控制器 1+1 冗余备份： H3C 无线控制器产品支持 AC 之间的 N+1 备份，以下通过介绍 AP 选择接入的 AC过程来说明 AC 间的备份： 1) AP 在发现 AC 的过程中，会向 AC 发送接入请求报文； AC 在收到接入请求后，会向 AP 发接入回应报文，其中包含了该 AC 上的负载信息（ AC 允许接入的最大 AP 数，当前接入的 AP 数，允许接入的最大 STA 数，当前接入的 STA 数），和 AP 在此 AC 上的接入优先级； 2) AP 在接收到 AC 的回应报文后，会选择接入优先级高的 AC 接入。 如果优先级相同，则根据 AC 的接入负载情况来判断。 3) AP 通过比较各 AC 上 （允许接入的最大 AP 数 当前接入的 AP 数），并选取值最大的 AC 接入。 如果此值相同，则根据当前接入 AC 的无线用户数判断。 4) AP 通过比较各 AC 上（允许接入的最大 STA 数 当前接入的 STA 数），并选取值大的 AC 接入。 5) 如相等，则随机接入。 6) 通过 CAPWAP 隧道的心跳机制， AP 可及时发现控制器 DOWN，同时根据上述方法重新选择一个负载轻的 AC 接入，从而实现 AC 的 N+1 备份。 烟草进修学院无线校园网 解决方案 18 H3C 实时无线资源管理 ： H3C 实时无线资源管理解决方案提供了实时闭环的无线资源管理，包括了如下步骤：  扫描 每个接入点启动后，通过 CAPWAP 协议与无线控 制器建立隧道，并从无线控制器获取基本的配置。 无线控制器负责协调网络中的无线接入点执行扫描过程。 通过定期的信道扫描，系统能够分析和了解信道的质量、干扰情况、邻居接入点的分布等。  分析 无线控制器将对无线接入点定期上报的数据进行聚合分析。 这些数据包括：  干扰：其他工作在 频段的无线网络对无线介质的影响。  噪音：非 信号，如雷达、蓝牙、无绳电话、微波等等对信号的影响。  丢包率：包差错率（由于隐藏的节点或信号变形）  信道负载：用来衡量媒介的繁忙程度。  有效信号强度：在一定时间内观察到的每个邻居的 信号强度和整个信道的平均信号强度。 烟草进修学院无线校园网 解决方案 19 这些数据将帮助无线控制器构建无线网络的完整视图，为管理控制提供决策数据。  决策 利用前期分析的数据，无线控制器将采用智能的算法对射频资源进行优化和调整，以适应无线环境的变化。 系统使用了优化的信道和功率选择算法、加权判断以及抑制限度，自动评估资源调整的影响，能够确保系统的控制是可靠的。  执行 无线控制器将新的发射功率，信道分配等决策发送到接入点，接入点负责使能这些配置。 系统提供了两种控制模式：参考模式和立即模式，增加了系统使用的灵活性。 参考模式下，系统不进行实际的控制策略 执行，只是给出建议的功率、信道的设定值，管理员可以决定是否执行这些配置，确保了用户控制的灵活性。 立即模式下，将根据系统计算出的信道等参数进行立即的设置。 上述过程是闭环过程，一旦配置下发以后，控制器将持续监视网络环境。 任何无线环境的变化与波动都会被定期记录下来，为下一轮的优化作准备。 全面的 PoE 解决方案 ： PoE 设备的原理是通过非屏蔽双绞线中四对线中的两对线来传输电源，传输数据的同时传输直流电。 因为 AP 往往要求使用不间断电源（ UPS）供应电力，采用PoE设备， AP端仅仅通过一根 RJ45 网线与网络连接即可 以同时传输数据和电力，因此在使用 PoE 设备的情况下，所有的 AP 都使用一个 UPS 在 PoE 设备端进行保护。 如果不使用 PoE 设备，就需要给每个 AP 配一个 UPS，而且还需要在 AP 附近安装电源插座，增加了成本。 因此使用 PoE 设备将大大降低设备成本和管理成本。 PoE 具有非常明显的优势，具体如下：  简化安装，降低成本，不需为每个网络设备单独提供数据和电力线缆。  灵活性提高，网络装置可被安装在任何位置，而不需靠近一个已存在的电源输出口。  可靠性增强，有 SNMP 能力的 PoE 装置，可实施远程检测和控制，能有效地处理或修理装 置的耗电量和（或）失效故障。 烟草进修学院无线校园网 解决方案 20 H3C 能够提供全面的 PoE 解决方案，产品涵盖从高端到低端的全系列产品 ， H3C PoE 解决方案使用工业级设计，同时能够提供全面的管理 : H3C 一体化无线校园解决方案 —— 高安全： H3C 一体化无线校园解决方案在遵循 IEEE 协议和国家 WAPI 标准的基础上，创新性的提出了分层的安全体系架构，将 WLAN 的安全从单一的物理层安全延伸到了物理层安全、用户接入安全、网络层安全、设备安全、安全管理多个层面上，使用户在使用 WLAN 网络时能够像使用有线网络一样安全、可靠。 无线物理 安全： H3C 公司的无线产品支持以下的加密机制： WEP 加密、 TKIP 加密、 CCMP 加密、 WAPI加密。 其中， WAPI 采用国家密码管理委员会办公室批准的公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法，分别用于 WLAN 设备的数字证书、证书鉴别、密钥协商和传输数据的加解密。 在无线设备安全方面， H3C 的 FIT AP 提供“零配置”功能，在设备上不保存业务配置，而是每次启动的时候从无线控制器动态加载业务配置，这样可以有效避免设备丢失造成配置泄漏。 此外，用户在采用 H3C 公司的无线控制器＋ FIT AP组 网时，都需要预先在无线控制器上设置部署的 AP 序列号。 当这些 AP 启动和无线控制器建立关联时，无线控制器会检查 AP 上报的序列号信息，只有这些预先授权的 AP 才能接入无线控制器使用，防止非法 FIT AP 接入网络。 无线用户安全： 通过用户接入认证实现了对校园无线接入用户的身份认证，为网络服务提供了安全保护。 H3C 无线接入认证主要有 接入认证、 PSK 认证、 MAC 接入认证以及在有线校园网中常用的 portal 认证等。 通过和 AAA 服务器配合， H3C 的无线设备支持对认证用户动态下发带宽、 VLAN、 ACL、优先级等参 数，对于不同的用户群和业务可以控制其访问网络的权限，限制网络资源的使用，通过 VLAN 和优先级来标识用户和业务，并做到业务隔离。 无线网络安全： 烟草进修学院无线校园网 解决方案 21 为了保证无线用户和整个校园网络的安全，仅仅保证接入点的安全性是远远不够的。 H3C 推出了 无线 EAD 解决方案，该方案从网络用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，加强网络用户终端的主动防御能力，保护网络安全。 H3C 的 无线产品支持 EAD 接入控制方式，配合 iNode 无线 /有线统一客户端可以实现有线，无线用户使用统一的客户端进行认证，结合 H3C 公司的服务器， H3C公司给用户提供了有线无线一体化的整体安全解决方案。 此外， H3C 的无线产品支持完善的无线入侵检测系统，可以自动监测非法设备，并适时上报网管中心，同时对非法设备的攻击可以进行自动防护，最大程度地保护无线网络。 针对烟草进修学院目前现状，已经在有线网络部署了 UAM 用户接入管理的认证，无线网络也可以通过 UAM 实现有线无线统一认证。 H3C 一体化无线校园解决方案 —— 易管理： 基于多年的积累和对用户网络的深入理解， H3C 智能管理中心平台为用户提供了实用、易用的网络管理功能，在网络资源的集中管理基础上，实现拓扑、故障、性能等管理功能，不仅提供功能，更通过流程向导的方式告诉用户如何使用功能满足业务需求，为用户提供了网络精细化管理最佳的工具软件。