南京邮电大学无线网络方案建议书

南京邮电大学无线网络方案建议书内容摘要：

高达 256 位的 WEP 加密。 IEEE IEEE 标准定义了基于端口的网络访问控制，用于为以太网提供经过身份验证的网络访问。 这种基于端口的网络访问控制使用交换式局域网基础结构的物理特性对连接到局域网端口的设备进行身份验证。 如果身份验证过程失败，则拒绝它们访问该端口。 尽管此标准是为有线以太网设计的，不过它已经得到了修改，可以在 无线局域网上使用。 IEEE 定义了以下术语：端口访问实体、身份验证者、申请者、身份验证服务器南京邮电大学无线网络建议书12下图显示了无线局域网的这些组件。 IEEE 身份验证的组件端口访问实体局域网端口又称端口访问实体 (PAE)，是支持与端口关联的 IEEE 协议的逻辑实体。 PAE 可以是身份验证者角色、申请者角色或者同时是这两种角色。 身份验证者身份验证者是一个局域网端口，该端口在允许访问可通过此端口访问的服务前强制执行身份验证。 对于无线连接，身份验证者是无线 AP 上的逻辑局域网端口，基础结构模式中的无线客户端通过此端口获得对其他无线客户端和有线网络的访问。 申请者申请者也是一个局域网端口，此端口请求访问可通过身份验证者访问的服务。 对于无线连接，申请者是无线局域网适配器上的逻辑局域网端口，该端口通过将自身与身份验证者关联并向身份验证者验证它自身来请求对其他无线客户端和有线网络的访问。 无论对于无线连接还是有线以太网连接，申请者和身份验证者都通过逻辑或物理的点到点局域网段进行连接。 南京邮电大学无线网络建议书13身份验证服务器为验证申请者的凭据，身份验证者使用了身份验证服务器。 身份验证服务器代表身份验证者检查申请者的凭据，然后对身份验证者做出响应，指示是否授权申请者访问身份验证者的服务。 受控端口和非受控端口身份验证者基于端口的访问控制定义了以下不同类型的逻辑端口，这些端口通过单个物理局域网端口访问有线局域网：非受控端口 非受控端口允许身份验证者（无线 AP）与有线网络上的其他联网设备之间进行不受控制的交换，无论无线客户端的授权状态如何。 无线客户端发送的帧从不使用非受控端口发送。 受控端口 只有在无线客户端得到 的授权时，受控端口才允许在无线客户端和有线网络之间发送数据。 在进行身份验证之前，交换机打开，并且无线客户端和有线网络之间不会转发任何帧。 在使用 IEEE 成功验证无线客户端后，交换机关闭，并且可以在无线客户端和有线网络上的节点之间发送帧在执行身份验证的以太网交换机上，身份验证一旦完成，有线以太网客户端就可以将以太网帧发送到有线网络。 交换机使用以太网客户端连接到的物理端口来识别特定有线以太网客户端的通信。 通常，以太网交换机上的一个物理端口仅连接一个以太网客户端。 由于多个无线客户端竞相访问同一信道并使用同一信道发送数据，因此需要扩展基本 IEEE 协议，以使无线 AP 能够识别特定无线客户端的安全通信。 这由无线客户端和无线 AP 通过相互确定每客户端单播会话密钥来完成。 只有经过身份验证的无线客户端知道它们的每客户端单播会话密钥。 如果成功的身份验证未能关联有效的单播会话密钥，无线 AP 将丢弃从无线客户端发送的通信。 为了对 IEEE 提供一个标准的身份验证机制，我们选择了可扩展身份验证协议 (EAP)。 EAP 是一个基于点对点协议 (PPP) 的身份验证机制，它已南京邮电大学无线网络建议书14经得到了修改，可在点对点局域网段上使用。 EAP 消息通常作为 PPP 帧的有效负载发送。 为了修改 EAP 消息使其能够通过以太网或无线局域网段发送，IEEE 标准定义了 EAP over LAN (EAPOL)，这是封装 EAP 消息的一种标准方法。 目前友讯网络所提供的全线 WLAN 产品均支持 身份验证标准。 WPA (WiFi Protected Access)WPA 包含了认证、加密和数据完整性校验三个组成部分，是一个完整的安全性方案。 WPA 的认证分为两种。 第一种采用 +EAP 的方式，用户提供认证所需的凭证，如用户名密码，通过特定的用户认证服务器（一般是 RADIUS 服务器）来实现。 在大型企业网络中，通常采用这种方式。 但是对于一些中小型的企业网络或者家庭用户，架设一台专用的认证服务器未免代价过于昂贵，维护也很复杂，因此 WPA 也提供一种简化的模式，它不需要专门的认证服务器。 这种模式叫做 WPA 预共享密钥(WPAPSK)，仅要求在每个 WLAN 节点(AP、无线路由器、网卡等)预先输入一个密钥即可实现。 只要密钥吻合，客户就可以获得 WLAN 的访问权。 WPA 采用 TKIP 为加密引入了新的机制，它使用一种密钥构架和管理方法，通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从 24 位增加到 48 位等方法增强安全性。 而且，TKIP 利用了。 认证服务器在接受了用户身份后，使用 产生一个唯一的主密钥处理会话。 然后，TKIP 把这个密钥通过安全通道分发到 AP 和客户端，并建立起一个密钥构架和管理系统，使用主密钥为用户会话动态产生一个唯一的数据加密密钥，来加密每一个无线通讯数据报文。 TKIP 的密钥构架使 WEP 静态单一的密钥变成了 500 万亿个可用密钥。 虽然 WPA 采用的还是和 WEP 一样的 RC4 加密算法，但其动态密钥的特性很难被攻破。 消息完整性校验(MIC)，是为了防止攻击者从中间截获数据报文、篡改后重发而设置的。 除了和 一样继续保留对每个数据分段(MPDU)进行 CRC 校验南京邮电大学无线网络建议书15外，WPA 为 的每个数据分组(MSDU)都增加了一个 8 个字节的消息完整性校验值，这和 对每个数据分段(MPDU)进行 ICV 校验的目的不同。 ICV 的目的是为了保证数据在传输途中不会因为噪声等物理因素导致报文出错，因此采用相对简单高效的 CRC 算法，但是黑客可以通过修改 ICV 值来使之和被篡改过的报文相吻合，可以说没有任何安全的功能。 而 WPA 中的 MIC 则是为了防止黑客的篡改而定制的，它采用 Michael 算法，具有很高的安全特性。 当 MIC 发生错误的时候，数据很可能已经被篡改，系统很可能正在受到攻击。 此时，WPA还会采取一系列的对策，比如立刻更换组密钥、暂停活动 60 秒等，来阻止黑客的攻击。 友讯网络所提供的主流 WLAN 产品均支持 WPA，而其他产品也可以通过软件升级支持 WPA。 MAC 地址过滤AP 还可以通过设置 MAC 地址过滤功能允许或拒绝某些特定的无线网卡联入无线网络，从而增加网络的安全性。 友讯网络所提供的全线 WLAN 产品均支持 MAC 地址过滤功能。 无线客户端隔离功能友讯网络所提供的企业运营级 AP 支持无线客户端隔离功能，非常适合在热点地区部放，使无线用户在轻松上网的同时，最大限度的保持安全性。 2． 3 WLAN 网络管理根据我们对无线宽带网络的了解，在网络的管理方面，随着宽带网络的建设的不断扩大，网络管理的任务也在不断的增加，各地市如果采用传统的集中式管理，必将造成网络管理对网络性能的影响和故障发现时间的扩大，所以，针对现在日益扩大的宽带城域网络，友讯网络提供了新兴网络管理理念——DVision 分布式网络管理系统；它支持多种网络管理平台，如、HP OPENVIEW 等，并且也能够将其他厂家的宽带网络管理系统接入其中。 对于无线网络设备、LAN SWITCH、IPDSLM 等支持 SNMP 的设备都能够进行管理。 南京邮电大学无线网络建议书16DVision 分布式宽带网管系统是一集中式管理与监控、分步式实施的综合网络管理系统，主要针对宽带接入网管理存在的问题，实现对宽带接入网络设备的监控与管理，保障粗放型宽带业务运营。 DVision 能有效地实现对大规模的宽带接入网设备进行集中监控以及分步管理，使复杂的宽带接入网络管理变得简单与智能化，保证了宽带接入网的正常运行，极大程度地减少了宽带接入网络维护费用。 同时，实现了宽带网络业务的简单运营，有效地保障了宽带网建设投资回收。 对于大中型网络来说，不但要考虑对当前用户的管理，减少运营维护的成本，而且要充分为以后的增值业务、应用内容的开展打下基础，所以，在系统的选用上很重要的两点需求就是扩充性和可管理性。 可管理性主要实现对整个网络的监控和对用户的管理，尽量减少问题的发生，在发现问题时能及时解决，实现对整个网络的可管理，把运维成本减到最低。 扩充性就是要充分考虑以后业务发展的需要，为未来的网络应用奠定基础。 增值业务以后将会是运营商的增长点，如果初始的系统不能支持以后的发展，或者不能在需要时实现平滑的升级和过渡，将会造成重复投资，在竞争中使自己处于不利的位置。 要做到这一点，在现在的系统中就要尽量采用公认的标准设备或协议软件，这样才能跟上不断发展变化的技术和需求。 2． 4 WLAN 认证计费系统说明目前在国内外，无线上网的需求发展飞速，无线局域网（WLAN）的建设也如火如荼。 例如：许多国际机场、国际会议中心、星级酒店、高档写字楼、智能小区、咖啡厅等等，都可以提供无线上网的服务；来往流动的人们只要利用随身携带的笔记本电脑或 PDA 掌上电脑，即可插入无线网络卡遨游网络世界，实现随时随处的实时移动数据传输、收发 Email、网络资源享用、网上消费等。 为了让 WLAN 得到健康有序地发展，WLAN 用户能够像有线网用户一样充分地、安全地享受到网络的资源和乐趣，WLAN 认证计费接入系统需要具备南京邮电大学无线网络建议书17如下的主要功能：即插即用，无线上网用户利用随身携带笔记本电脑或 PDA 掌上电脑，插入无线网卡，无需做任何设置或加载任何软件，即可打开 IE 浏览器迅速无线上网。 身份验证，授权登录WLAN 接入系统需要提供 AAA 认证并支持 RADIUS，确保使用者只有在输入了合法用户名及密码后，才能进入无线网络系统。 安全可靠有效保护合法用户的个人数据安全，有效控制恶意代理，保障运营商利益。 网站过滤系统可将一些指定网站屏蔽掉，确保使用者不能浏览这些网站。 ＤＨＣＰ管理系统包含 DHCP Server，能够提供ＩＰ地址分配。 带宽管理系统应该允许网络管理员规划用户带宽的合理使用，从而减小不必要的带宽资源浪费。 主页重定向无论用户预先设定的主页是什么，系统都会自动被定向引导到服务商预先设定的主页，从而提高了工作效益。 支持 RADIUS/PMS 计费系统能够配合 RADIUS/PMS 进行按照使用时间长度、使用带宽、流量、南京邮电大学无线网络建议书18包月租用等不同方式灵活计算上网费用，鼓励不同需求的用户使用。 友讯网络针对目前国内外主流的 WLAN 认证计费系统的现状及其发展方向，根据公司多年来一直致力于局域网（LAN 及 WLAN）及宽带网络（Broadband）设备之设计、制造及行销中的长期积累，提出了自有知识产权的先进、成熟的解决方案。 友讯网络针对目前国内主流的 WLAN 认证计费系统大多数仍旧延续以往窄带接入方式下的 PPPoE 方式和 WEB+Portal 方式，而新兴的 认证方式又日趋成熟的现状，推出的认证计费解决方案分别支持 PPPoE、WEB+Portal和 认证计费方式。 特别是针对不同类型的 WLAN 网络，我们均有灵活的 WLAN 认证计费解决方案为客户提供。 2． 无线宽带接入解决方案模型2. 5. 热点地区模型南京邮电大学无线网络建议书19需求：多个 AP 工作在不同信道，用户可在不同 AP 间实现无缝漫游切换。 场所空间：500m *200m通过笔记本电脑、PDA 轻松接入 INTERNET，WiFi 手机无缝漫游通话。 建议：对于机场、车站、饭店的网络模型，因为要求网络覆盖的范围比较大（500m *200m） ，并且要考虑到无线 AP 供电、无缝连接切换等方面的要求，所以，我们根据模型要求，在 500m *200m 的面积范围内，配置多台 DLINK 企业级 AP，实现在要求范围内无网络盲点，并且在 AP 上通过设置不同的 Channel实现用户在 AP 间无缝的漫游（考虑到频段干扰问题，相邻 AP 不能选用同样的Channel,并且 Channel 间隔最好为 5）。 AP 后台配备 DLINK 无线局域网控制器，实现对 AP 的智能管理，同时可以对无线客户端（笔记本电脑、PDA、WiFi 手机等）的漫游实现高级管理，使得无线连接平滑切换。 南京邮电大学无线网络建议书202. 5. 楼宇 WLAN 室内应用模型建议：对于智能大厦来说，无线宽带接入可以实现室内室外方便连入局域网、广域网。 对于不方便布线的办公室、会议室或者宿舍来说都可以实现方便、快洁的网络接入。 按照建筑物内的具体环境以及用户数量，我们可以在每楼层布放多台符合IEEE ，放于天花板中，并配置吸顶式全向天线增强覆盖效果。 对于连接电源不方便的地方，配合 DWS3024 采用 POE 以太网交换机直接为 AP 远距离供电。 友讯网络符合 IEEE 室内型 AP 有 DWL3500AP、DWL8500AP 都可以实现。 DWL8500AP 是同时支持IEEE。 同时，友讯网络还可为用户提供包括 Cardbus、PCI、USB 接口类型的多款符合 卡，例如 Cardbus 接口的 DWLG650、DWLG680 无线网卡，DWLG5DWLG550 PCI 无线网卡以及 DWLG13DWLG122 USB 无线网卡。 南京邮电大学无线网络建。