2010-9-10 15:37:00 作者:dcn
多業務區分設計
使用無線網路可以分為不同的無線接入業務型別。因此,可以在設計上採用無線區域網多ssid技術,設定多業務區分方式,例如乙個ssid可給教師所用,而另乙個可給學生專用。由於使用者一般把ssid看成vlan,所以它們都會慣性地以vlan概念來劃分ssid。
其實在乙個ap範圍內,不管使用者連線到那乙個ssid它們實際上都是在同乙個802.11廣播域內,因為無線電波的傳輸是共享方式的。乙個最簡單的例子就是ap把不同的ssid名字廣播,所以當無線終端在這個ap覆蓋範圍內啟動時,它就能同時看到多個ssid。
ssid的最主要用途是可讓無線終端以不同的安全認證和加密方式入網。
為什麼要把不同的安全加密協議設定在不同的ssid呢? 802.11的標準內定義了不同加密情況時資料報的封裝格式,所以在使用者的無線接入使用不同的加密方式,例如:
wep、tkip(wpa)、802.11i(wpa2)等等,不同加密方式不能在同乙個ssid內同時存在。
某乙個ssid可以覆蓋全網,也可以只侷限於園區網內的某些範圍。一般的情況下是全網開通,例如:臨時訪問者(guest)使用的ssid;但有些ssid可以只在辦公區廣播,只供某些部門使用。
無線使用者管理
神州數碼網路對於無線使用者的管理可以有多種方式,在單個無線場所,可以使用神州數碼digizonedirector智慧型無線控制器對多ap進行管理,在多場所、多控制器的情況下,即可以使用神州數碼linkmanager統一網路管理平台使用標準snmp協議對多廠家有線、無線裝置進行統一管理,又可以使用digiflexmaster無線集中式管理軟體基於tr-069對ap進行綜合管理。
神州數碼網路無線系統中可以設定使用者的角色(role),每個角色可以基於使用者許可權和可訪問資源的設定等規則。使用者許可權是digizonedirector的功能,是針對無線接入的特性而設計。一般的使用者接入不同的ssid時只具有該ssid或vlan所對應資源的訪問許可權,所以訪問不同的vlan的資源需要分別登入不同的ssid,這樣是十分不便的。
神州數碼網路的基於使用者角色的許可權管理是與使用者認證**在一起,當無線使用者成功通過認證後,他會獲得乙個預設的使用者角色許可權,訪問其他ssid對應的網路資源。這樣,乙個具有全部許可權的使用者通過乙個ssid登入後,可以訪問所有ssid對應的語音、資料和**業務的許可權,從而簡化了使用者的許可權設定和使用者管理的複雜性。
一般在使用者許可權設計中,可以將來賓和普通使用者的許可權設定的較低,只能訪問有限的資源,且優先順序較低,並且有頻寬的限制。
其他使用者可能有較高的許可權,可以訪問更多的學校資源,或者對某些特殊的來賓開放某些vip賬號,分配給其較高許可權的角色。在頻寬方面可以做比較寬鬆的限制。所有這些在配置、使用和管理上都非常符合一般企業的網路管理需求。
在具有多場所,多控制器的環境,可以使用digiflexmaster進行統一管理,神州數碼網路的digiflexmaster無線集中式管理軟體系統提供了對digizoneflex ap的配置、故障、效能、報告等系列的管理功能。該產品符合tr-069標準,利用工業標準soap/https/xml協議在digiflexmaster伺服器和被管理的ap裝置之間建立一條安全可靠的鏈路。 。。
由於tr-069基於標準http或https,協議訊息可以穿透網際網路上的防火牆,允許digiflexmaster遠端管理任何安裝在網際網路上的digizoneflex ap。ap和digiflexmaster 伺服器之間非同步通訊的方法保證了通訊可以通過nat轉換點,這對於其它通用的網路管理協議是難以做到的。
無線安全性
在神州數碼網路無線系統中,可以在多個層面對系統構築安全防護,其安全性設計如下:
1:多ssid:可以根據需要,如使用者的種類、應用的種類,在神州數碼網路無線系統中設定多個ssid,不同的ssid採用不同的安全策略,這樣可以對不同的使用者及應用進行區分服務。
另外ssid還可以選擇隱藏的方式,該ssid不廣播,使用者無法看到,防止非法使用者的連線企圖。ssid還可以選擇在某些ap上出現,某些ap上不出現,限制ssid出現的範圍也是實現安全性的一種手段。
2:加密:神州數碼網路無線系統支援多種加密的方式,二層的加密支援靜態wep、動態wep、tkip、wpa、802.
11i多種加密方式,三層的加密支援ipsec vpn加密,這樣使得加密的方式更加的靈活,可以根據實際需求進行選擇。
3:使用者認證提供三種方式:
① wpa-psk+captive portal+vpn。
加密方式採用wpa-psk,不建議採用靜態wep,因為有安全隱患。採用captive portal+vpn的認證方式,同時vpn還具有三層的加密功能,具有更高的安全性。認證伺服器的選擇比較靈活,可以使用radius, ldap, windows nt, activedirectory, tacacs,甚至是digizonedirector內建的帳戶資料庫。
② wpa+802.11x加密方式盡量採用wpa,如果客戶端不支援也可採用動態wep,認證方式採用802.11x,認證伺服器選擇radius。
③ dynamic psk?
dynamic psk?是神州數碼網路專有的使用者認證和加密技術。傳統的無線加密金鑰對所有的使用者是相同的,相當脆弱;而且長度較短,容易被解碼。
dynamic psk?技術為每乙個使用者提供乙個64位元組的金鑰,實現完整而且非常安全的認證加密手段。
4:使用者的role(角色):每一類使用者可以建立乙個相關的role,每個role有乙個使用者狀態防火牆的設定和頻寬控制的設定,這樣我們就可以將設定的安全策略載入到每個使用者身上。
5:無線客戶端隔離:神州數碼網路無線控制器具有無線客戶端隔離功能,該功能啟動後,無線客戶端將無法相互通訊或訪問任何受限制的子網。
6:頻寬控制:可以對每個使用者設定其可以使用的頻寬,一方面可以限制其對網路資源的占有,另一方面,當該客戶端中了病毒以後,其病毒發作時不會占用網路全部的頻寬。
7:認證系統支援:神州數碼網路無線系統支援多種認證系統,諸如radius、微軟的ad(活動目錄)和在digizonedirector內部的internal db等等。
統一身份認證
融合統一802.1x認證
神州數碼有線無線整合化客戶端,在實現有線無線統一身份認證的同時,還解決了長時間困擾使用者的多廠家裝置同時存在時無法實現統一認證的問題,由於高校校園網建設週期較長,在不同的階段由於不同的需求可能採用不同廠家的裝置,目前的802.1x認證,各廠家均是採用私有認證,在終端裝置上必須安裝各廠家獨有的私有客戶端才能與其接入交換機、認證計費系統互動,實現私有802.1x認證,這種私有認證對接入裝置的依賴性使得使用者受困於廠家,不便於後續的應用擴充套件,神州數碼有線無線整合化客戶端,配合trustcenter統一身份認證平台,可以實現不依賴於接入裝置的私有802.
1x認證,無論接入裝置是否是神州數碼的產品,只需要在客戶端安裝神州數碼有線無線整合化客戶端,就可以與神州數碼trustcenter認證平台互動,實現私有802.1x認證,實現即時訊息通知、ip位址上傳、強制下線以及keep alive等功能,的具體流程如圖 4?1所示:
有線標準802.1x轉私有802.1x認證步驟:
1. 使用者開機後,客戶端發起dhcp請求,經認證裝置**到dhcpserver,dhcpserver為使用者分配ip位址。
2. 使用者通過客戶端軟體,採用標準802.1x認證,發起認證請求。
3. 接入交換機(非神州數碼裝置)收到認證請求,由於是標準的802.1x認證,交換機可以識別認證資訊,將客戶端認證資訊傳送到trustcenter認證服務平台。
4. trustcenter認證服務中心將認證通過資訊返回給接入交換機。
5. 交換機將認證通過資訊返回給客戶端,客戶端介面顯示認證通過資訊。
6. 標準認證通過後,客戶端與trustcenter伺服器基於tcp/udp直接通訊,私有資訊直接傳遞到伺服器,伺服器與客戶端之間可以完成即時訊息通知、ip位址上傳、強制下線以及keep alive等功能。
7. 交換機將使用者所在埠開啟,使用者可以上網,trustcenter開始對使用者計費。
無線標準802.1x認證
為降低伺服器負擔,無線終端採用神州數碼私有802.1x認證,使用者接入流程如下圖所示:
圖 4?2 無線標準802.1x認證
無線私有802.1x認證步驟:
8. 使用者開機後,檢測到ssid有效,通過802.1x客戶端軟體發起請求;
9. ap檢測到該請求後,向aaa發出請求,aaa伺服器發出響應;
10. 使用者端彈出對話方塊,要求輸入合法的身份標識,如使用者名稱及其密碼。
11. 使用者端將身份標識傳送到ap;
12. ap將相應資訊傳送到trustcenter進行認證。
13. 如果認證通過,則ap到dhcp伺服器的埠開啟。客戶端軟體發起dhcp請求,經認證裝置**到dhcpserver,dhcpserver為使用者分配ip位址。
14. 使用者可以上網了,認證伺服器開始對使用者計費。
15. ap通過定期的檢測保證鏈路的啟用。如果使用者離開或異常宕機,則ap在發起多次檢測後,自動認為使用者已經下線,於是向認證伺服器傳送終止計費的資訊。
webportal認證神州數碼網路智慧型無線 ap通過乙太網或ip線路連線到網路,通過digizonedirector進行ssid、無線通道、發射功率、rouge ap檢測和無線加密、認證等管理。
根據要求,digizonedirector將建立乙個公開的、沒有加密的ap熱點ssid,使用者可以通過該ssid接入到網路當中。無論使用者想訪問的網頁是什麼,digizonedirector彈出web認證節目(包括歡迎、認證連線等),通過認證後使用者就可以訪問internet網路了(也可以重定向到預設的網頁)。
可以根據熱區內ap數量的多少,由乙個或多個digizonedirector可以管理乙個熱區內的所有ap。
如果需要,未來可以在中心部署digiflexmaster管理所有的digizonedirector,從而管理網路中的所有ap。
ap可以通過乙太網或dsl鏈路接入網路。digizonedirector沒有dhcp伺服器功能,所以需要外接的dhcp 伺服器或使用bras提供dhcp伺服器為客戶端分配ip位址的功能。
運維管理解決方案
運維管理 計通運維管理模組將機房裡的工單跟機房監控系統緊密結合起來,成功的利用監控平台自動化的生成工單,通過監控平台的報警功能傳送工單資訊,將工單處理跟機房的裝置資訊 知識庫關聯起來,使機房的運維管理更加簡單 便捷,由於知識庫的加入,也降低了機房監控的培訓壓力。運維模組的功能模組如下圖所示 綜控台 ...
儲存運維管理解決方案
方案簡介 儲存是所有企業面臨的乙個首要優先任務,具有任務關鍵性 mission critical 特徵,事故 災難往往給企業形象和業務連續性帶來極大的威脅。同時,儲存管理又是一項艱鉅的任務 業務發展對儲存的需求迅猛增長,資料量大 企業儲存環境由不同廠商的軟硬體資源構成,管理複雜度高 由於缺乏必要的儲...
學校WLAN解決方案
宣城職業技術學院學生公寓樓分布平面圖如下圖1所示 圖1 宣城職業技術學院學生公寓樓平面圖 現在宣城職業技術學院學生公寓區域,沒有移動wlan訊號,為了能夠實現學校師生在學生公寓區域通過移動wlan上網的需求,現在需要對宣城職業技術學院學生公寓區域進行無線覆蓋。斐訊通訊無線ap fap3000 oh,...