校园无线局域网设计方案和安全防范

校园无线局域网设计方案和安全防范内容摘要：

度的提高了无线网络容量。 ⑸ 高可靠的备份功能 H3C WX5002和WX6100系列无线控制器支持AC组备份功能，通过预先配置，AP优先同主AC建立CAPWAP链路，当主AC不可用时，AP会自动寻找AC组中的第二个主AC，并和第二个主AC建立CAPWAP链路，从而达到AC间业务备份的目的。 H3C WX5002和WX6100系列无线控制器还支持100ms业务热备份，AP会同时和两台无线控制器建立CAPWAP链路，一台作为主设备，另外一台作为备份设备，但只有和主设备建立的CAPWAP链路处于工作状态。 当主控制器异常down机时，备份控制器和主控制器之间的心跳检测机制可以保证在100毫秒之内检测到主设备的异常，并通知AP将主备CAPWAP链路切换，保证控制信号的不间断传送。 ⑹ IPv6AP和无线控制器之间可以穿过IPv6网络互联，从而使组网方式更加灵活，可以满足今后网络发展的需要，保护用户投资。 ⑺ 完善的QoS H3C WX5002无线控制器基于H3C公司最新的Comware V5平台开发，不但对DiffServ标准进行了完善，同时还增加了对IPv6协议的QoS支持。 QoS DiffServ 模型中主要包括流分类、流量监管（Policing）、队列管理、队列调度（Scheduling）等，完整实现了标准中定义的EF、AF1～AFBE等六组PHB及业务，可为用户提供具有不同服务质量等级的服务保证，真正成为同时承载数据、语音和视频业务的综合网络。 ⑻ 支持隧道QoS AP接收到的无线报文首先要通过CAPWAP隧道送到AC上进行分析处理，H3C WX5002和WX6100系列无线控制器支持无线QoS到有线QoS/CoS的映射。 在AP侧，无线域的QoS信息（）可以被映射到外层隧道的有线二层域（）和三层域（DSCP）中，这样可以保证高优先级无线报文在有线网络上受到更好的优先级保证。 ⑼ 支持多种认证方式 H3C ， portal认证，MAC地址认证，PPPoE认证等多重认证方式。 H3C ，支持TLS、PEAP、TTLS、MD，完成不同用户的动态授权。 Portal认证方式解决了不便于安装客户端用户的安全认证问题。 MAC地址认证功能解决了一些手持终端（例如：WiFi Phone、手持移动终端等）并不方便采取电脑上的认证问题。 H3C WX5002和WX6100系列无线控制器还还支持PPPoE认证，通过PPPoE成熟的认证和计费功能，可以方便的实现按流量计费等高级的计费方式，满足一些客户的运营级需求。 ⑽ 支持无线入侵检查WIDS（Wireless Intrusion Detection System） H3C WX5002和WX6100系列无线控制器支持非法AP检测，黑/白名单设置和无线协议攻击防御等WIDS功能，有效的提高了无线网络的整体安全。 通过非法AP检测功能，无线网络可以自动监测非法设备（例如Rouge AP，或者Ad Hoc 无线终端），并适时上报网管中心，同时对非法设备的攻击可以进行自动防护。 白名单功能确保只有名单上的无线用户才能进行数据传输，其他用户均被认为非法用户，非法用户的报文全部在AP上被丢弃，从而减少非法报文对无线网络的冲击。 另一方面，无线控制器还提供黑名单功能。 用户可以通过配置方式或者控制器实时检测侦听的方式来确定设备是否被加入黑名单，被加入到黑名单中的设备发过来的报文全部在AP上丢弃，从而减少攻击报文对无线网络的冲击。 无线控制器还支持多种攻击的检测，例如DOS攻击，Flood攻击，去认证、去连接报文的仿冒检测，以及无线用户Weak IV检测。 特别无线协议攻击防御可以和动态黑名单配合使用，当控制器检测到攻击时，可以将发起攻击的无线客户端动态添加到动态黑名单中，从而保证WLAN系统不再被该设备攻击。 ⑾ 支持EAD无线接入 端点准入防御（EAD，Endpoint Admission Defense）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。 H3C WX5002和WX6100系列无线控制器支持无线用户的EAD接入，通过与安全策略服务器的联动，可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理，只有无线客户端符合相应的安全策略之后才允许正常访问网络，从而提高了无线网络的整体安全性。 ⑿ 有线无线一体化的网管系统IMC网管是H3C公司自主研发的新一代网络管理系统。 IMC网管采用组件化结构设计，通过安装不同的业务组件实现了设备管理、软件升级管理、配置文件管理、告警管理、性能管理等功能。 无论对于企业网、校园网、园区网用户还是各大运营商，IMC网管都可以提供完善的解决方案，方便用户监控、维护、管理各自的网络。 H3C WX5002和WX6100系列无线控制器系列无线控制器提供本地维护、远程维护、集中维护等多种维护手段，并提供完备的告警、测试、诊断、跟踪、日志等功能，方便用户的日常维护管理WX5002128 主要性能参数网络标准：IEEE 、IEEE 、IEEE 、IEEE 、IEEE 、IEEE 、IEEE 、CAPWAP 网络接口 ：WX500264 amp。 WX5002128：2个1000BaseX SFP千兆以太网端口（Combo） 工作电压：（V） 100～240V AC ；50/60Hz 安全性能 ：支持用户分级管理和口令保护支持IEEE （EAPSIM、EAPTTLS、EAPTLS、EAPMDEAPPEAP）支持EAD（Endpoint Admission Defense，端点准入防御）支持AAA支持Radius认证支持HWTacacs+支持集中式MAC地址认证 无线网桥无线网桥是为使用无线（微波）进行远距离数据传输的点对点网间互联而设计。 它是一种在链路层实现lan互联的存储转发设备，可用于固定数字设备与其他固定数字设备之间的远距离（可达20km）、高速（可达11mbps）无线组网。 无线网桥有三种工作方式，点对点，点对多点，中继连接。 特别适用于城市中的远距离高以及是否加用双向放大器。 从作用上来理解无线网桥，它可以用于连接两个或多个独立的网络段，这些独立的网络段通常位于不同的建筑内，相距几百米到几十公里。 所以说它可以广泛应用在不同建筑物间的互联。 同时，根据协议不同。 在无高大障碍（山峰或建筑）的条件下，一对速组网和野外作业的临时组网。 其作用距离取决于环境和天线，现7km的点对点微波互连。 一对27dbi的定向天线可以实现10km的点对点微波互连。 12dbi的定向天线可以实现2km的点对点微波互连；一对只实现到链路层功能的无线网桥是透明网桥，而具有路由等网络层功能、在网络24dbi的定向天线可以实层实现异种网络互联的设备叫无线路由器，也可作为第三层网桥使用。 无线网桥通常是用于室外，主要用于连接两个网络，使用无线网桥不可能只使用一个，必需两个以上，而AP可以单独使用。 无线网桥功率大，传输距离远（最大可达约50km），抗干扰能力强等，不自带天线，一般配备抛物面天线实现长距离的点对点连接。 点对点连接方案在同一城市中不同地点的两个局域网互联可以通过铺设光缆或租用线路的方法实现，但由于城市环境的条件限制，铺设光缆的工程可能无法实施，实施过程中或许会遇到人为和意外的破坏。 而租用DDN线路会面临着租用费用太高和线路带宽太低的困扰，使用昂科无线长距离解决方案，在两点间天线的发射方向上没有障碍物阻挡的情况下，利用室外无线网桥配合高增益定向天线，可以在相距几十公里以内的建筑物间快速建立起网络连接。 该方案不但可以大大提高传输速率，还可以节省昂贵的线路租用费用，为用户节约成本、提高工作效率，一次性投入，无任何多余追加费用的支出。 连接示意图如图所示： 点对多点方案点对多点方案主要用在企业希望将分布在城市中的各分部连接在一起企事业单位，从多个分布点中选择一个中心点，位于其他各点的中心位置，使其他各点达到中心的距离均衡，而且无障碍物。 在中心放置具有路由和协议转换功能的无线网桥加装高增益的全向天线。 其他各点放置无线网桥和高增益的定向天线。 连接示意图如图所示： 无线网桥的选购H3C WB2321EH3CWB2321E无线网桥设备是杭州华三通信技术有限公司自主研发的首款无线网桥产品。 在组网应用中，WB2321E可作为桥接器连接两个或多个物理上隔离的局域网。 通过WB2321E桥接功能，在这些分散的局域网上的主机感觉不到物理位置的分布，可以方便的实现相互通讯。 WB2321E支持extendrange技术，保证了WB2321E长距离覆盖，并且支持点到点或点到多点桥接应用，能有效的解决楼宇间通信、大型企业分支接入等问题。 目前杭州华三通信技术有限公司公司提供的具体产品型号为WB2321EAGP，为双频多模无线网桥，；、其中11g模式功率可达到500mW。 H3C WB2321E特色⑴ 标准 、、。 ⑵ 支持双频多模。 、。 、。 ⑶ 同时支持接入和桥接 WB2321E配置双射频单元，可以一个射频单元作接入，另一个作桥接使用。 此外，通过配置，还可以实现在同一个射频单元上同时支持接入和桥接。 WB2321E的这一特点，使得在需要对WLAN网络进行桥接时，省却了单独部署AP。 ⑷ 支持多种工作方式 WB2321E可灵活配置工作在点到点方式或点到多点方式，点到点方式下建立桥接链路的两端WB2321E处于对等地位，点到多点方式下，一端配置为root工作模式，一端配置为client工作模式。 支持多种工作模式使得WB2321E应用时选择更加灵活。 ⑸ 支持大容量单一WB2321E网桥，可以同时与最多16个邻居建立桥接链路。 ⑹ 支持虚拟桥组通过在WB2321E节点上配置多个桥接ID，可在同一网桥设备加入到多个桥组中，使得多个逻辑桥接网络可以复用同一物理无线网络，各逻辑桥接网络可对应不同的VLAN、不同的网络服务以及不同的认证方式等。 此特性使得WB2321E在组网应用上更加灵活。 ⑺ 支持QoS 通过对QoS的支持，WB2321E可区分无线侧不同数据的收发优先级，也可根据配置的ACL策略对用户流量进行限制。 支持WME和CAR，保证高优先级用户的带宽。 ⑻ 支持MAC地址过滤WB2321E支持基于接入SSID或桥接ID设置防火墙，通过ACL配置灵活的防火墙策略，可控制某些移动用户的接入，。