某某党校无线网络方案建议书

某某党校无线网络方案建议书内容摘要：

AP60 安装在弱电井作为 WLAN 无线接入点， AP60 通过跳线接入到 PHS/WLAN 合路器，然后接入大楼的 PHS室分网络内。 如 图 2 所示： 图 杭州市委党校 WLAN AP 接入室内系统示意图 图书馆 1 楼大会场、图书馆南楼 1 楼 共配置 3 套 Aruba AP70 进行覆盖，以保证在 图书馆 1 楼大会场、图书馆南楼 1 楼 内的无缝覆盖。 杭州市委党校 WLAN 无线网络方案建议书 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6 号 9 / 30 整个方案的设备配置清单如表 2 所示。 表 设备配置清单。 所有的移动客户均通过连接 PHS 室分系统接入 无线局域网接入点 AP，并 通过无线局域网接入点与无线局域网安全交换机之间的加密连接，经过无线安全交换机接入到 杭州市委党校 局域网。 由于所有的用户信息均由位于网络中心的无线局域网安全交换机来控制，因此所有的移动用户无论处于 大楼的哪个楼层，均可以获得相同的访问控制属性（根据用户策略，也可以设置为不同的访问控制属性），并实现在整个 大楼 内部的无缝漫游。 多业务区分设计 使用无线网络可以分为不同的无线接入业务类型。 因此，建议在设计上采用无线局域网多 SSID技术，设置多业务区分方式。 在一个无线局域网内可以设置多个 SSID，例如一个 SSID 可给内部员工所用，而另一个可给外来的客户专用。 一个最简单的例子就是 AP 把不同的 SSID 名字广播，所以当无线终端在这个 AP 覆盖范围内启动时，它就能同时看到多个 SSID。 SSID 的最主要用途是可让无线终端以不同的安全认证和加密方式入网。 杭州市委党校 WLAN 无线网络方案建议书 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6 号 10 / 30 图 ARUBA 无线控制器内置 PORTAL 登录界面 示意 ARUBA 无线控制器内置强大的 PORTAL 登录界面可以通过网络管理灵活简洁的进行客户化。 当使用者来 到无线覆盖区域的时候，开启笔记本电脑的无线网络，可以搜寻并且连接 杭州市委党校 的无线网络系统，当打开 IE 等网络浏览器的时候 ，会自动弹出 ARUBA 的网页认证界面（界面可完全客户化，根据客户要求随意定制）， 使用者 需要填写帐号名和密码，通过认证之后能够接入 杭州市委党校的无线网络，访问更多的 Inter 资源。 无线 RF 管理设计 ARUBA 系统具有非常强的无线局域网集中管理功能，通过无线控制器 Master Switch 和 Local Switch 管理模式管理整个网络，网管人员只需在无线控制器就可开通、管理、维护所有 AP 设备以及移动终端，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。 图 智能无线射频管理示 意 杭州市委党校 WLAN 无线网络方案建议书 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6 号 11 / 30 初次安装无线局域网时，用户可通过 RF Planning 的 Auto Calibration 功能来自动调节整个无线网上所有 AP 的无线电波频率和功率。 启动了 Auto Calibration 以后 AP 和 AP 之间会自动互传有关无线电波的信息和调整电波的参数，直到 AP 之间达到了一个最优化的无线电波运行环境。 ARUBA 系统的 RF 智能控管可以自动调节网上所有 ARUBA AP 的电波特性。 ARUBA 无线控制器可以对整个无线网上的电波情况侦测和记录。 当某一覆盖范围内的无线电波改变，如出现干扰 AP 所发出的电波或其它应用所发出 的电波等， ARUBA 无线控制器就会把所获取的无线电波资料做分析，以确定是否需要调整这范围内 AP 的无线电波。 无线安全性设计 安全保障的无线网络的重要性 浙江贝尔从网络设计者的角度来看，对于无线网络 的 部署，必须对无线网络的安全性加以重视。  集中的安全管理 ARUBA 无线系统的安全管理是将防火墙、 VPN、安全认证、防病毒、无线入侵监测 IDS 以及 RF 电磁波管理等多项安全功能汇聚到 ARUBA 无线交换机上来完成的，解决了传统的无线网对安全的分散管理（ AP、 AC）和能力，给用户带来的不安全感，摆脱 了对有线网安全的依赖性。  多种用户认证方式组合 在 ARUBA 无线系统中，一个无线用户进入无线网以后，只会拿到一个最基本的入网权限，这个权限不容许用户访问任何网段，只让用户通过 DHCP 获取 IP 地址、传送 DNS 协议数据包，通过认证以后才可以接入无线网。 ARUBA 无线系统支持目前各种用户认证的方式（ 、 WEB 认证、 MAC、SSID 等）。  无线访问控制 用户状态防火墙是 ARUBA 无线交换机的独特功能，它本身就是针对无线接入的特性而设计。 传统的网络防火墙是没有用户这概念，它的保护只是基于 IP 地址或物理端口来 制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效是不大。 ARUBA 无线系统的防火墙功能则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的用户状态防火墙，不同的无线用户有不同的防火墙策略。 杭州市委党校 WLAN 无线网络方案建议书 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6 号 12 / 30  安全的 AP 技术 ARUBA 无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过 AP，而是在ARUBA 无线交换机上实现。 由于 ARUBA的 AP 是不储存任何网络配置（ IP 地址除外）和安全设置，因此 ARUBA 管理的 AP 是不能单独工作的，因此获得或接入 ARUBA的 AP，黑客也不会 拿到无线网的网络和安全配置参数和信息。  无线接入点安全侦测和保护 采用 ARUBA 无线系统的 RF 侦测功能和保护机制可以实时监测校园无线网覆盖区域内的所有 AP接入情况 ,如相邻房间的 AP、设置错误的 AP 以及未经认可而连接到网络中的 AP。 通过 ARUBA 的网络安全管理系统，网络安全管理人员可以及时发现是否有非法的 AP 接入，发现后可以开启自动保护机制，阻止无线终端通过非法 AP 联接到无线网中。  无线网络入侵侦测 IDS 目前 绝大部分的无线局域网都没有侦测无线入侵的功能，所以当受到像无线 DOS 攻击时，就会误以为是无线电波 的信号受干扰或 AP 出现不稳定情况。 这些攻击在 HotSpot 会导致用户的无线连接断线，但网管中心仍然不知，用户则误以为是网络问题，间接影响无线网系统的品质。 ARUBA 无线系统的特点是交换机由专有的网络处理器和加密处理器组成，且内置一个无线入侵模式库，实时检测异常的无线数据包，当 ARUBA 无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应。  无线接入的病毒防护 ARUBA 无线系统针对无线终端的病毒防护分为两个层面： 1）无线终端的准入检查； 2）对无线终端发出数据进行有效的检查和监控。 无线终端病毒防护的第一步是准入检查，当无线终端连接到 ARUBA 无线系统中，试图访问网络，在用户认证之前，需要下载一个基于 JAVA 的程序，可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况，做一个检查，如果不能通过检查，可以设定策略禁止其访问网络，也可设置成将无线用户重定向到一台升级服务器，打系统补丁、安装防病毒软件和升级病毒定义码，满足系统制定的安全策略以后，该无线终端才可以进入认证环节进行用户的认证。 当无线终端通过了准入检查，但是如何对无线终端发出数据进行有效的检查和 监控是更加进一步的病毒防护手段。 ARUBA 公司和第三方的防病毒墙厂家合作，在 ARUBA 无线交换机上可以设定策略， 杭州市委党校 WLAN 无线网络方案建议书 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6 号 13 / 30 某些用户，以及某些可能沾染病毒的数据， ARUBA 交换机会将其重定向到防病毒墙上进行防病毒检查，检查完成后，才允许通过，否则会将数据丢弃。 无线网络的安全保护和检测 由于无线终端接入是没有明确物理位置限制的，所以管理方极难用固定的网络防火墙设备来防范无线连接 （ 防火墙一般很少会设置在每一个接入层的数据链路上 ）。 并且网络防火墙是不能防止无线终端之间的通信，所以万一有无线终端被病毒感染或黑客在 无线发起攻击的话，它都很会容易散播到其它的无线终端及整个传输网络内的其它网点。 采用传统的网络防火墙来实现无线接入安全保护的最大问题是缺乏灵活性，因它本质上不是设计来做内部的安全保护，而是用来确保外来数据进入企业内网是安全可靠的，所以一般都会设置在企业因特网的连接口。 从因特网进入学校内网和校园内部的无线接入的最大区别在于后者是可对用户做认证，但前者是不可能实现。 由于不能确认用户的身份，所以防火墙的检查或策略只可按端口和 IP 原地址来制定，不管用户是谁。 这种模式在企业内部署会对用户的内网访问有很多限制，缺乏灵 活性，所以是很难被用户广泛接受，只可在小范围或小规模的情况下实现。 要做到实施和维护简单方便，亦可根据用户身份来制定安全访问策略， ARUBA 的无线解决方案就可以彻底解决这些问题。 无线局域网的认证和加密 ARUBA和其它厂家在认证和加密上的最大区别在于 ARUBA的解决方案都不是通过 AP来实现的，而是在 ARUBA 交换机上实现。 这种结构称为集中加密方式，不但比在 AP 上做加密更安全，且大大简化了用户认证设置和管理。 而且在采用 加密时候，能够更快更好的做到用户漫游切换。 试想当用户透过加密方式进入 无线网络后，一旦发生用户在 AP 之间的漫游，传统解决方案必须在 AP 之间通过控制器交换密钥，这样就造成了用户漫游时间过长的问题。 而由于 ARUBA 的解决方案所有的密钥均存储于 ARUBA 无线控制器中，因此在用户在 AP 之间漫游，根本无需交换密钥，从而加速了加密用户的漫游速度。 无线入侵检测和定位 通过 ARUBA 交换机的 WEB 界面或中心化网管界面，网管中心便可查看到是否有非法 AP 在传输网内。 网管人员亦可开启自动保护机制，阻止无线终端通过非法 AP 连接到传输网内。 这些非法的无 杭州市委党校 WLAN 无线网络方案建议书 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6 号 14 / 30 线连接会被周边最接近的 ARUBA AP 透过所发出的 DeAuth 包所切断。 DeAuth 包会不停地发出直到在线的无线终端的无线连接被打断为止。 若要寻查非法 AP 的位置所在，只需在 WEB界面按 “定位 ”这按钮，非法 AP 的位置就会显示在校园办公室的图纸上（用户必须预先把无线网络的结构图输入 ARUBA 交换机内的 RF Planning 系统），网络管理人员就可根据图表显示的位置找到这AP。 ARUBA 的自动保护系统是市场上最卓越和最全面的无线网络安全保护工具。 要做到一个真正自动的保护机制就必须能正确识别所有在企业范围内检测出 来的 AP 身份。 如果把隔壁公司所安装和使用的 AP 视为非法 AP 的话，很容易就会把它们正常的无线连接打断，间接变成 DOS 攻击其它企业的网络。 ARUBA 还有一个独特的无线射频特性是可跟踪在无线网络内所有 WiFi 终端的位置，如 PDA, WiFi 手机，和笔记本等。 当安装 ARUBA 无线系统的时候，网管人员可把部署的图纸输入到 ARUBA无线交换机内的 RF Planning 系统，然后把 AP 安装的物理位置输入到图纸上的座标或具体的位置上。 当在这个系统环境中寻找带有无线终端的 人员 的所在位置时，例如非法 AP 或 WiFi 手机，在交换机内无线终端的记录表内找到了终端的网络地址后，可按 “定位 ”这按钮，则网管界面会弹出在 RF Planning 上终端在图纸中的物理位置。 图 三角定位 这种无线定位模式称为三角定位，它的准确性可达到 米以内，先决条件是所寻找的无线终端附近须有最小三个 ARUBA 的 AP 在范围内。 这是传统无线网络所不能做的。