无线网络安全解决方案1.WLAN的应用现状
1.1 Wi-Fi在全球范围迅速发展的趋势
无线局域网(WLAN)作为一种能够帮助移动人群保持网络连接的技术,在全球范围内受到来自多个领域用户的支持,目前已经获得迅猛发展。无线局域网(WLAN)的发展主要从公共热点(在公共场所部署的无线局域网环境)和企业组织机构内部架设两个方向铺开。世界范围内的公共无线局域网(WLAN)热点数量三年增加近60倍。预计将从2002年的14717个增长到2006年的30多万个,用户数量增加四倍。据IDC预测,到2004年全球的WLAN用户将达到2460万,比2002年增长近十倍;2002年销售的全部笔记本电脑中只有10%支持WLAN,目前是31%,预计到2005年,售出的笔记本电脑中将有80%具备无线支持能力。
在亚太区,这一发展势头同样强劲。市场调查公司Gartner Dataquest指出,公共无线局域网(WLAN)服务在亚太地区将保持强劲的发展势头。至少在澳大利亚、香港、日本、新加坡、韩国和台湾这六大市场,热点的数量在迅速增加。2002年亚太地区只有1,625个热点,预计到2007年,热点的数量将接近3.8万。
1.2 在企业、学校等组织机构内部,笔记本电脑的普及也带动了无线局域网(WLAN)的普及。
以英特尔公司为例,全球79,000名员工中有65%以上的人使用笔记本电脑,其中80%以上的办公室都部署了无线局域网(WLAN),英特尔围绕具备无线能力的笔记本电脑如何改变其员工的生活习惯和工作效率进行了调查,结果表明,员工的工作效率平均每周提高了两小时以上,远远超过了所花费的升级成本,而且完成一般办公室任务的速度提高了37%。此外,无线移动性还迅速改变了员工的工作方式,使其能够更加灵活自主地安排自己的工作。
2. WLAN面临的安全问题
由于无线局域网采用公共的电磁波作为载体,电磁波能够穿过天花板、玻璃、楼层、砖、墙等物体,因此在一个无线局域网接入点(Access Point)所服务的区域中,任何一个无线客户端都可以接受到此接入点的电磁波信号,这样就可能包括一些恶意用户也能接收到其他无线数据信号。这样恶意用户在无线局域网中相对于在有线局域网当中,去窃听或干扰信息就来得容易得多。
WLAN所面临的安全威胁主要有以下几类:
2.1网络窃听
一般说来,大多数网络通信都是以明文(非加密)格式出现的,这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解(读取)通信。这类攻击是企业管理员面临的最大安全问题。如果没有基于加密的强有力的安全服务,数据就很容易在空气中传输时被他人读取并利用。
2.2 AP中间人欺骗
在没有足够的安全防范措施的情况下,是很容易受到利用非法AP进行的中间人欺骗攻击。解决这种攻击的通常做法是采用双向认证方法(即网络认证用户,同时用户也认证网络)和基于应用层的加密认证(如HTTPS+WEB)。
2.3 WEP破解
现在互联网上存在一些程序,能够捕捉位于AP信号覆盖区域内的数据包,收集到足够的WEP弱密钥加密的包,并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量,以及由于802.11帧冲突引起的IV重发数量,最快可以在两个小时内攻破WEP密钥。
2.4 MAC地址欺骗
即使AP起用了MAC地址过滤,使未授权的黑客的无线网卡不能连接AP,这并不意味着能阻止黑客进行无线信号侦听。通过某些软件分析截获的数据,能够获得AP允许通信的STA MAC地址,这样黑客就能利用MAC地址伪装等手段入侵网络了。
3 .WLAN业界的安全技术
早期的无线网络标准安全性并不完善,技术上存在一些安全漏洞。但是另一方面,由于WLAN标准是公开的,随着使用的推广,更多的专家参与了无线标准的制定,使其安全技术迅速成熟起来。现在不只是在家庭,学校,中小企业里边WLAN 得到广泛的应用,在安全最敏感的大企业,大银行户头(例如全球财富500强),政府机构,WLAN的安全可靠性也得到了认可,并大量地推广使用。
具体地讲,为了有效保障无线局域网(WLAN)的安全性,就必须实现以下几个安全目标:
1.提供接入控制:验证用户,授权他们接入特定的资源,同时拒绝为未经授权的用户提供接入;
2.确保连接的保密与完好:利用强有力的加密和校验技术,防止未经授权的用户窃听、插入或修改通过无线网络传输的数据;
3.防止拒绝服务(DoS)攻击:确保不会有用户占用某个接入点的所有可用带宽,从而影响其他用户的正常接入。
无线局域网的安全技术这几年得到了快速的发展和应用。下面是业界常见的无线网络安全技术:
●服务区标识符(SSID)匹配;
●无线网卡物理地址(MAC)过滤;
●有线等效保密(WEP);
●端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP);
●WPA (Wi-Fi 保护访问) 技术;
●高级的无线局域网安全标准——IEEE 802.11i;
3.1 SSID
SSID(Service Set Identifier)将一个无线局域网分为几个不同的子网络,每一个子网络都有其对应的身份标识(SSID),只有无线终端设臵了配对的SSID 才接入相应的子网络。所以可以认为SSID是一个简单的口令,提供了口令认证机制,实现了一定的安全性。但是这种口令极易被无线终端探测出来,企业级无线应用绝不能只依赖这种技术做安全保障,而只能作为区分不同无线服务区的标识。
3.2 MAC地址过滤
每个无线工作站网卡都由唯一的物理地址(MAC)标识,该物理地址编码方式类似于以太网物理地址,是48位。网络管理员可在无线局域网访问点AP中手工维护一组(不)允许通过AP访问网络地址列表,以实现基于物理地址的访问过滤。
MAC地址过滤的好处和优势
●简化了访问控制
●接受或拒绝预先设定的用户
●被过滤的MAC不能进行访问
●提供了第2层的防护
MAC地址过滤的缺点
●当AP和无线终端数量较多时,大大增加了管理负担
●容易受到MAC地址伪装攻击
3.3 802.11 WEP
WEP
IEEE80211.b标准规定了一种被称为有线等效保密(WEP)的可选加密方案,其目的是为WLAN提供与有线网络相同级别的安全保护。WEP是采用静态的有线等同保密密钥的基本安全方式。静态WEP密钥是一种在会话过程中不发生变化也不针对各个用户而变化的密钥。
WEP的好处和优势
WEP在传输上提供了一定的安全性和保密性,能够阻止有意或无意的无线用户查看到在AP和STA之间传输的内容,其优点在于:
●全部报文都使用校验和加密,提供了一些抵抗篡改的能力
●通过加密来维护一定的保密性,如果没有密钥,就难把报文解密
●WEP非常容易实现
●WEP为WLAN应用程序提供了非常基本的保护
WEP的缺点
●静态WEP密钥对于WLAN上的所有用户都是通用的
这意味着如果某个无线设备丢失或者被盗,所有其他设备上的静态WEP密钥都必须进行修改,以保持相同等级的安全性。这将给网络的管
理员带来非常费时费力的、不切实际的管理任务。
●缺少密钥管理
WEP标准中并没有规定共享密钥的管理方案,通常是手工进行配臵与维护。由于同时更换密钥的费时与困难,所以密钥通常长时间使用而
很少更换。
●ICV算法不合适
ICV是一种基于CRC-32的用于检测传输噪音和普通错误的算法。
CRC-32是信息的线性函数,这意味着攻击者可以篡改加密信息,并很容
易地修改ICV,使信息表面上看起来是可信的。
●RC4算法存在弱点
在RC4中,人们发现了弱密钥。所谓弱密钥,就是密钥与输出之间存在超出一个好密码所应具有的相关性。攻击者收集到足够使用弱密钥
的包后,就可以对它们进行分析,只须尝试很少的密钥就可以接入到网
络中。
●认证信息易于伪造
基于WEP的共享密钥认证的目的就是实现访问控制,然而事实却截然相反,只要通过监听一次成功的认证,攻击者以后就可以伪造认证。
启动共享密钥认证实际上降低了网络的总体安全性,使猜中WEP密钥变
得更为容易。
WEP2
为了提供更高的安全性,WiFi工作组提供了WEP2技术,该技术相比WEP算法,只是将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到128位。然而WEP算法的安全漏洞是由于WEP机制本身引起的,与密钥的长度无关,即使增加加密密钥的长度,也不可能增强其安全程度。也就是说WEP2算法并没有起到提高安全性的作用。
3.4 802.1x/EAP用户认证
802.1x认证技术
802.1x是针对以太网而提出的基于端口进行网络访问控制的安全性标准草案。基于端口的网络访问控制利用物理层特性对连接到LAN端口的设备进行身份认证。如果认证失败,则禁止该设备访问LAN资源。
尽管802.1x标准最初是为有线以太网设计制定的,但它也适用于符合802.11标准的无线局域网,且被视为是WLAN的一种增强性网络安全解决方案。802.1x体系结构包括三个主要的组件:
●请求方(Supplicant):提出认证申请的用户接入设备,在无线网络
中,通常指待接入网络的无线客户机STA。
●认证方(Authenticator):允许客户机进行网络访问的实体,在无
线网络中,通常指访问接入点AP。
●认证服务器(Authentication Sever):为认证方提供认证服务的实
体。认证服务器对请求方进行验证,然后告知认证方该请求者是否为授
权用户。认证服务器可以是某个单独的服务器实体,也可以不是,后一
种情况通常是将认证功能集成在认证方Authenticator中。
802.1x草案为认证方定义了两种访问控制端口:即"受控"端口和"非受控"端口。"受控端口"分配给那些已经成功通过认证的实体进行网络访问;而在认证尚未完成之前,所有的通信数据流从"非受控端口"进出。"非受控端口"只允许通过802.1X认证数据,一旦认证成功通过,请求方就可以通过"受控端口"访问LAN 资源和服务。下图列出802.1x认证前后的逻辑示意图。
802.1x技术是一种增强型的网络安全解决方案。在采用802.1x的无线LAN 中,无线用户端安装802.1x客户端软件作为请求方,无线访问点AP内嵌802.1x 认证代理作为认证方,同时它还作为Radius认证服务器的客户端,负责用户与Radius服务器之间认证信息的转发。
802.1x认证一般包括以下几种EAP(Extensible Authentication Protocol)认证模式:
●EAP-MD5
●EAP-TLS(Transport Layer Security)
●EAP-TTLS(Tunnelled Transport Layer Security)
●EAP-PEAP(Protected EAP)
●EAP-LEAP(Lightweight EAP)
●EAP-SIM
802.1x认证技术的好处和优势
●802.1x协议仅仅关注受控端口的打开与关闭;
●接入认证通过之后,IP数据包在二层普通MAC帧上传送;
●由于是采用Radius协议进行认证,所以可以很方便地与其他认证平台
进行对接;
●提供基于用户的计费系统。
802.1x认证技术的缺点
●只提供用户接入认证机制。没有提供认证成功之后的数据加密。
●一般只提供单向认证
●它提供STA与RADIUS服务器之间的认证,而不是与AP之间的认证
●用户的数据仍然是使用的RC4进行加密。
3.5 WPA(802.11i)
802.11i——新一代WLAN安全标准
为了使WLAN技术从安全性得不到很好保障的困境中解脱出来,IEEE 802.11的i工作组致力于制订被称为IEEE 802.11i的新一代安全标准,这种安全标准是为了增强WLAN的数据加密和认证性能,定义了RSN(Robust Security Network)的概念,并且针对WEP加密机制的各种缺陷做了多方面的改进。
IEEE 802.11i规定使用802.1x认证和密钥管理方式,在数据加密方面,定义了TKIP(Temporal Key Integrity Protocol)、CCMP(Counter-Mode/CBC-MAC Protocol)和WRAP(Wireless Robust Authenticated Protocol)三种加密机制。其中TKIP采用WEP机制里的RC4作为核心加密算法,可以通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全的目的。CCMP机制基于AES (Advanced Encryption Standard)加密算法和CCM(Counter-Mode/CBC-MAC)认证方式,使得WLAN的安全程度大大提高,是实现RSN的强制性要求。
WPA——向IEEE 802.11i过渡的中间标准
然而,市场对于提高WLAN安全的需求是十分紧迫的,IEEE 802.11i的进展并不能满足这一需要。在这种情况下,Wi-Fi联盟制定了WPA(Wi-Fi Protected Access)标准。WPA是IEEE802.11i的一个子集,其核心就是IEEE 802.1x和TKIP。WPA与IEEE 802.11i的关系如下图所示。
WPA与IEEE 802.11i的关系
WPA采用了802.1x和TKIP来实现WLAN的访问控制、密钥管理与数据加密。802.1x是一种基于端口的访问控制标准。TKIP虽然与WEP同样都是基于RC4加密算法,但却引入了4个新算法:
●扩展的48位初始化向量(IV)和IV顺序规则(IV Sequencing Rules);
●每包密钥构建机制(per-packet key construction);
●Michael(Message Integrity Code,MIC)消息完整性代码;
●密钥重新获取和分发机制。
WPA系统在工作的时候,先由AP向外公布自身对WPA的支持,在Beacons、Probe Response等报文中使用新定义的WPA信息元素(Information Element),这些信息元素中包含了AP的安全配臵信息(包括加密算法和安全配臵等信息)。STA根据收到的信息选择相应的安全配臵,并将所选择的安全配臵表示在其发出的Association Request和Re-Association Request报文中。WPA通过这种方式来实现STA与AP之间的加密算法以及密钥管理方式的协商。
在STA以WPA模式与AP建立关联之后,如果网络中有RADIUS服务器作为认证服务器,那么STA就使用802.1x方式进行认证;如果网络中没有RADIUS,STA 与AP就会采用预共享密钥(PSK,Pre-Shared Key)的方式。
在WPA中,AP支持WPA和WEP无线客户端的混合接入。在STA与AP建立关联时,AP可以根据STA的Association Request中是否带有WPA信息元素来确定哪些客户端支持使用WPA。但是在混合接入的时候,所有WPA客户端所使用的加密算法都得使用WEP,这就降低了无线局域网的整体安全性。
尽管WPA在安全性方面相较WEP有了很大的改善和加强,但WPA只是一个临时的过渡性方案,在WPA2(802.11i)中将会全面采用AES加密机制机制。
4 .企业/校园无线网安全解决方案
4.1无线网安全性现状
分析企业对无线网络的需求特征,安全因素被放在了首位,因安全方面的担心而不愿采用Wi-Fi,是目前很多企业存在的现象。实际上,目前大多数企业或校园无线网络提供的安全性如何?能否满足企业或校园的需求呢?
由于历史原因,大多数企业或校园的无线局域网主要是依靠 WEP方式对数据进行加密,数据加密后的微波信号即使被人截获,也不易破解,从而保证客户传输的数据安全性。但是WEP存在着不理想的地方:一是密钥共享。由于每个人都
知道密钥,则密钥很容易泄漏不易管理。二是弱密钥缺陷,导致WEP不能很好地抵御密码学破解攻击。
其次,如果AP不做任何安全设定,则任何一个符合Wi-Fi的网卡都可以接入网络,所以大多数无线局域网的用户接入安全保障是采用MAC地址控制。但是这种接入控制方法对于大型企业或校园无线网,会存在管理麻烦、扩展能力受限制等问题。另外,黑客还可能会使用MAC欺骗技术入侵网络。
所以对于企业或校园无线网络系统,如果不从整体上进行规划和设计,只孤立地采用单一的某项安全技术是无法满足企业或校园的高安全性的要求的。反而会造成无线网络不安全的印象,导致不能充分利用无线网络所能提供的诸多特性和优点来进行资源共享和提高工作效率。下面就将介绍根据企业或校园无线网络应用的需求和要达到的目标,整体规划设计的一套适用于企业及校园的无线安全解决方案。
4.2 解决方案概述
为了解决企业无线应用的首要难题——安全性,该解决方案采用了WPA安全架构的设计。同时,为了向企业外部来访的用户提供无线接入的灵活性和方便性,该方案还应用了基于英特尔架构的无线网络控制器(WNC)和支持多SSID的AP (Cisco 1100/1230),使企业无线网络在保证企业信息安全的前提下,对多种接入认证方式提供了必要的支持。为了使无线网络系统能满足企业或校园在功能性、灵活性和可扩展性方面的众多需求,中采用Ocamar WNC(昂科无线网络控制器)作为无线网络管理和控制设备。昂科WNC除了实现了AC设备应该具备的接入控制、身份认证等功能,还能够向企业提供策略路由、流量控制、无线设备管理、用户管理和计费等极具价值的功能,这使其成为对企业和校园无线应用架构起关键作用的设备。
上海交通大学无线网案例
下面以上海交通大学校园无线网项目为例,具体地阐述典型的企业及校园无线解决方案:
上海交通大学是我国历史最悠久的高等学府之一。近年来,随着学校教学规
模逐步扩大,除拥有古色古香的百年徐家汇老校区外,还有现代化闵行新校区以及法华镇路校区、上中校区、七宝校区等五个位于上海不同位臵的校区。
由于存在不同地点的校区,交大的教员和学生不得不在不同的校区来回,同时教学场所也经常在各校区之间变换。这让校园网络出现了难题:
1、如何在不大幅度提高成本的情况下,校园网络覆盖五个不同位臵的校
区?
2、如何在校园的各个教学场所之间,提供无缝的网络连接,完成教学任
务?
3、如何连接五个不同位臵的校区,同时又提供足够的安全特性,保证安
全通畅的网络连接?
4、如何充分利用现有的资源,帮助教员和学生利用现代互联网技术,提
高教学效率和学习效率?
针对学校面临的以上难题,对无线网络解决方案的要求确定如下:
1.无线网络信号覆盖五个不同位臵的校区;
2.提供无缝的互联网IP连接特性,保持教学网络在校园之间无缝漫游;
3.保障无线网络安全性,对用户和资源访问权限进行管理;
4.对不同的无线用户提供不同的接入认证方式,并对其应用合适的路
由策略;
5.普及基于无线连接的笔记本电脑,充分提高教学和学习效率。
为让网络应用的价值最大化,从而为上海交通大学五个分散的校区内构建一个统一的、易接入、稳定安全的校园无线网络环境。针对解决方案的要求,经过多次比较和反复技术论证,决定为上海交通大学无线网络采用以下的解决方案:
1.全面采用基于英特尔公司迅驰移动技术的笔记本电脑作为无线终端,
提高教与学的效率和移动便利,同时保证高速的互联网接入;
2.采用符合802.11标准及通过Wi-Fi认证的无线网络产品,核心安全
架构采用WPA标准;
3.采用具有多SSID和VLAN特性的Cisco Aironet 1200系列AP进行基
础覆盖;
4.采用昂科WNC无线网络接入控制器作为无线校园网的安全接入产品,
为网络安全和扩展提供保证;
5.采用昂科WNMS无线网络管理系统,对整个无线网络的基础设施、用
户、安全策略和相关资源进行统一管理和监控。
该解决方案还使得上海交大整个校园无线网络具有高度可扩展性和可升级性,为将来实现网络升级和扩展提供了极高的资源保护。整个方案由昂科信息技术(上海)公司提供系统集成和方案实施。
昂科信息技术(上海)有限公司在充分了解上海交大现有网络建设后,针对上海交大的实际情况,提出了校园无线网络的整体解决方案。具体方案如拓扑图所示:
如图,各无线覆盖区域的AP就近接到接入层交换机上。因为存在校内教师、学生和校外来访用户等不同的无线用户群,出于不同用户群对安全性、易用性要求不同的考虑,采取802.1x和WEB认证相结合的方式来提供用户身份认证。为了区分这两种接入方式并将其分别关联到一个对应的VLAN,采用了支持多SSID (Multi-SSID)和802.1q VLAN特性的Cisco Aironet 1200 系列AP。
对于在校内的学生和教师用户,将采用符合WPA安全架构的802.1x标准认证的接入方式,认证通过的用户将获得一个每用户唯一的主密钥,通过该主密钥客户端和负责接入的AP将根据TKIP方法动态生成每数据包唯一的加密密钥,通信双方以此进行通信加密。在校园有线网L3分布层交换机上配臵VLAN的子接口,利用该子接口作为这个SSID所代表的VLAN的网关,对其进行路由转发。从而使通过认证的企业内部用户能够如同用有线接入一样访问整个企业网络,但是由于对无线通信进行了动态加密,保证了校园的敏感数据在空中传输的安全,有效地解决了校园无线应用的首要问题。
对于用WEB方式认证的校外来访用户,当利用基于英特尔公司迅驰移动技术的笔记本电脑连接上无线接入点后,可以通过AC设备的DHCP服务或企业的专用DHCP服务器获得IP地址、网关和DNS信息,无须安装客户端软件,直接利用浏览器就可以通过充当WNC设备进行WEB方式认证,认证通过后就可以接入到Internet。为保证整个园区网络的安全性,对于该SSID接入的用户必须以WNC 作为其网关设备,所以L3分布层交换机无须对该SSID所代表的VLAN进行路由转发,从而统一该虚网的出口为昂科AC2010无线网络控制器。
如果这些用户需要访问校园内部网络,可以通过在这一WNC设备上启用用户级的策略路由来实现。这样在保证一定安全性的基础上方便了来访用户或漫游用
户的接入,提高了无线网络的易用性和灵活性。
4.3 解决方案特点
4.4.1安全性高
这套专门为大中型企业和校园定制的无线局域网系统支持符合WPA安全架构的802.1x认证方式,借助TKIP技术动态生成的数据加密密钥使空中无线数据通信如同在一条加密隧道中传输,保证了信息传输的高安全性。
而且通过利用Ocamar WNC灵活的配臵方式和支持多种认证接入方法的特性,还支持Web方式认证以及无线链路层的VPN加密方式PPTP、L2TP,以及支持协议过滤、策略路由、流量控制等访问控制策略,过滤掉非法的用户访问,确保网络的安全。
4.4.2支持多SSID和VLAN划分
Cisco Aironet 1200系列AP支持多SSID特性, 每一个都可以映射到有线网络的一个VLAN, 将符合802.1q标准的VLAN 延伸到无线网络上。网络管理员可以将无线网络上用户分组和网络分段管理与有限网络一同规划,大大减轻了管理负担、保证了企业安全策略的一致性。
4.3.4利用策略路由进行访问控制
昂科WNC的策略路由功能对于拥有多个网络出口、多种用户群体的企业或组织机构有相当的应用价值。针对不同的用户采用不同的路由策略,可以很好地划分和引导用户数据流,便于管理和资源分配。在企业中,策略路由功能更是可以用来区分用户权限级别,以限制不同的用户访问不同的网络,从而强化了企业信息系统的安全性。
比如交大无线校园解决方案中,学校的网络有两个出口,一个连到中国教育科研网(CERNET),另一个与Internet相连。该案例中将校园无线用户分成两类,一是教师用户,一是学生用户。为了让学生能通过教育网与其他高校的师生进行交流,但是又不想Internet上的垃圾信息和不良网站干扰学生的正常网上生活,就可以设臵学生用户的下一跳路由到CERNET,而教师用户的下一跳则是路由到Internet出口,从而实现了不同无线用户群体的访问需求。
4.3.5流量控制保证用户带宽
通过Ocamar WNC的流量控制功能将不同用户的带宽按不同需要进行管理,保证某些重要用户的带宽,从而保证了任务关键性的无线企业应用的畅通,有效防止了带宽过量占用的拒绝服务攻击。
4.3.6 AP管理和用户管理
通过Ocamar WNC的AP管理功能,可以对其下所连的AP作为一个网络单元进行管理,结合昂科WNMS网管系统还可以将Ocamar WNC作为SNMP代理对这些AP进行管理。另外,Ocamar WNC还提供完善的用户管理,无线网络管理员可以通过“Web Manager”图形化配臵界面,方便地填加、删除用户,或对用户的接入控制属性进行设臵,定制用户级别的接入控制策略。
4.3.4支持漫游用户
当企业或校园里的终端用户在移动中进行网络通信时,用户可能会在AP之间漫游,甚至跨越不同的IP子网,无线接入点必需瞬间完成客户的重新认证和密钥分配,并为客户建立由所在网段的AP提供通往原网段AP的隧道,继续保持用户的通话。该方案通过采用符合Wi-Fi认证标准的无线接入产品,以及功能强大、能提供移动IP和策略路由支持的Ocamar WNC,将使各种漫游用户在异地无线接入仍能顺利访问到原地网络。
4.3.7无线网络管理
该无线解决方案通过采用Ocamar WNMS,能够把各无线局域网内的AP设备以及其相连的的运行状况实时纳入网管系统的管理范围;面向全网,为网络维护人员提供统一的、完备的全网视角,准确、快速把握全网的实时性能与潜在的问题,及时采取相应的措施确保企业WLAN的高可靠性。
采用一个完整的无线局域网网管系统WNMS。WNMS采用网络管理的标准协议SNMP对相关无线局域网设备进行配臵、管理数据、性能数据、故障数据的采集和分析,同时也可通过WNMS 对具体设备上的参数进行配臵、调整、故障诊断。WNMS 还提供拓扑发现、管理的功能,可以直观的反映出AC、AP 和其他相关设
备之间的对应关系。网络监视基于网络拓扑图进行,在性能、告警、配臵等方面动态反映网络的变化,因此成为保障无线网络稳定运行不可缺少的重要组成部分。
4.4无线产品选型原则
目前在市面上销售的无线接入产品类型多种多样,就算无线芯片来自同一家厂商,产品的集成制造厂家和实现的方法也各不一样。所以为了保护投资以及确保产品的兼容性、互操作性和可扩展性,产品除了要求符合电气和电子工程师协会(IEEE)802.11系列标准,还应该一致选用符合Wi-Fi认证标准的无线产品。功能完备、安全性好、使用简易是规划一套信息系统基础设施的永恒目标,选择合适的产品将是实现这一目标的前提。上海交通大学无线网络项目之所以成功,正是因为解决方案提供商昂科信息技术(上海)有限公司依据合理的产品选型原则,结合客户的需求选择了合适的无线产品和架构标准。
根据在无线接入网络系统中所扮演的角色的不同,接下来将从无线接入基础设施、无线终端设备、接入控制设备以及后台服务系统几个方面阐述产品选型需要考虑的要素和应该遵循的原则。
4.3.1无线接入基础设施
无线接入基础设施是实现无线网络覆盖的最基础的设备,这方面的产品的选型应该遵循以下的原则:
1、首先要根据应用需求确定无线接入设备的规格标准,如选用802.11系列的a、b或g标准;
2、确保所选用的产品都是通过Wi-Fi组织认证的;
3、根据特殊应用需求,选择合适的、提供这些应用支持的产品;
4、从产品可靠性、可扩展性、性能、成本和保护投资等方面综合考虑。
比如,选用Cisco Aironet 1200系列AP可以保护现有的和未来的网络基础设施投资。这种符合电气和电子工程师协会(IEEE)802.11b标准的接入点目前可以支持高达11Mbps的数据传输速率,并完全符合Wi-Fi认证标准,可以为想要采用WPA安全架构的企业用户提供安全的无线网络解决方案支持。
Cisco Aironet 1200系列的模块化设计可以实现单段和双段配臵,以及可现场升级能力,一个单独的接入点可以在提供一个802.11b波段传输的同时,为高速的802.11a提供另外一个无线电连接。Cisco Aironet 1200系列可以支持所有802.1X认证类型,包括EAP思科无线认证(LEAP)、EAP-TLS和利用EAP-TLS 的类型,完全能够满足WPA标准的要求。
Cisco Aironet 1200系列的多SSID(Multi-SSID)特性为需要同时部署多种方式的无线接入方式的企业提供了最大的灵活性。使得企业将无线网络的认证方式从传统迁移到WPA标准变得更容易更灵活。多SSID特性结合VLAN技术,企业还可以部署针对不同用户群采用不同得认证方式的无线接入系统,可以同时满足企业高安全性的要求和来访用户简便接入的需求。
4.3.2无线终端设备
无线移动终端一般指的是用户直接使用并具有无线网络接入能力的数字终端,目前市面上主要有迅驰笔记本电脑、带有WLAN无线网卡的台式PC机、具有WLAN接入功能的PDA等等,甚至现在还有带WLAN通信功能的摄像、监控设备。选择这些设备也应该遵循符合Wi-Fi认证、可靠性高、使用方便的产品。
其中基于CMT(迅驰移动技术)的笔记本电脑是最广泛使用的WLAN终端,这项技术的采用与WLAN的应用部署几乎同步增长。迅驰移动技术是国际知名芯片设计制造商英特尔专为无线应用而设计的,采用这种创新技术的笔记本电脑将获得以下的特性:
●集成的无线局域网连接能力;
●突破性的移动计算性能;
●延长的电池使用时间;
●更轻、更薄的外形设计。
4.3.3无线接入控制设备
由于WLAN与其他有线网络间的明显区别,原则上都应该在WLAN与传统网络之间部署一种接入控制机制,以加强企业网络的安全性以及WLAN接入方式的灵活性。通常这种接入控制机制是由一种通称为接入控制器(AC)的设备来实现。
昂科无线网络控制器( Ocamar Wireless Network Controller,以下简称Ocamar WNC)就很好的实现了AC的各项功能定义,除了具有常用的身份认证、接入控制等AC的必备功能之外,还具有流量控制、策略路由等增值功能。昂科WNC 提供了建立具备安全性、可升级性和对业务至关重要的802.11无线网络的基础。在无线以太网的核心部分,Ocamar WNC提供包括严密的访问控制、集中式管理、无缝漫游等关键性服务,并且整合了计费功能。
4.3.4无线网络后台服务系统
基于英特尔体系结构的服务器为企业提供了构建高性能、高可用信息系统的基础设施平台。比如DHCP服务器、RADIUS服务器、WEB服务器等企业信息化必备的组件都可以采用英特尔体系结构的服务器实现,利用这些基本组件可以实现WPA标准规定的系统性要求,并且为将来的扩展和升级提供了足够的空间和灵活性。
在硬件基础设施的基础上,同时也要选择合适的、功能完备、可靠性高的相关软件系统,如无线网络管理系统、身份验证系统等等。比如选用Ocamar WNMS 无线网络管理系统就能对无线网基础设施进行有效的管理,因为该系统具有设备配臵和性能管理、负载均衡、故障预警、故障告警等功能,对简化网络管理负担都是非常有价值的。
5.结论
WLAN技术是当今世界上最令人振奋的、全新的无线技术之一。实现了无论是在工作中、在家中,还是国内外旅行中的安全的、健壮的高速无线访问。现在有笔记本电脑、PDA支持它,而且马上将被手机支持。该技术的采用正快速地在很多地方增长,包括企业、机场、医院、酒店、家庭、餐馆、咖啡厅、仓库,甚至也应用在停车场和汽车站,让人们能随时与同事和家人保持联系,从而更大的提升自由度和工作效率。
无论是企业、运营商还是个人用户,如果能构建符合标准、易于使用且属于自己的WLAN设施,将能强占先机、提高效率和降低成本。特别是对于企业,如果能按照Wi-Fi组织定义的安全标准实施企业WLAN,那么将对企业信息化应用
产生极大的价值。采用文中安全解决方案中描述的WLAN安全架构,并灵活运用符合Wi-Fi认证要求的产品来搭建WLAN系统,将是迈向最终实现安全接入、无缝漫游的踏脚石。
昂科信息技术(上海)有限公司采用了基于英特尔公司迅驰移动技术的笔记本电脑以及思科功能齐全、性能稳定的无线接入点产品,并结合昂科WNC无线网络控制器和WNMS网管软件系统来构架交大无线网解决方案。这些要素构成了上海交通大学无线校园网络的最佳平台和框架,它提供了无线、移动、高速和安全的互联网连接,帮助上海交通大学成为中国最成功的校园网实施案例。同时,该案例中的解决方案也成为值得其他大中型企业和学校在部署无线网络之前应借鉴的成功典范。
无线AP覆盖解决方案 无线AP覆盖方案 作为传统布线网络的一种替代方案或延伸,无线局域网把个人从办公桌边解放了出来,使他们可以随时随地获取信息,提高了员工的办公效率。一般而言,对比于传统的有线网络,无线局域网的应用价值体现在: - 可移动性:由于没有线缆的限制,用户可以在不同的地方移动工作,网络用户不管在任何地方都可以实时地访问信息。 - 布线容易:由于不需要布线,消除了穿墙或过天花板布线的繁琐工作,因此安装容易,建网时间可大大缩短。 - 组网灵活:无线局域网可以组成多种拓扑结构,可以十分容易地从少数用户的点对点模式扩展到上千用户的基础架构网络。 - 成本优势:这种优势体现在用户网络需要租用大量的电信专线进行通信的时候,自行组建的WLAN会为用户节约大量的租用费用。在需要频繁移动和变化的动态环境中,无线局域网的投资更有回报。 室内无线覆盖方式:
无线AP/网桥室外覆盖型: 1、网络拓扑 一般的无线覆盖我们分为两层结构:接入层和汇聚层。接入层主要有无线AP构成,用来实现用户无线终端的接入;汇聚层主要有无线网桥构成,主要用来实现将各个无线AP接入的信号汇聚到网络出口。在保证覆盖的基础上,为了降低可能的故障率,汇聚层的无线级联层数要求越少最好,在有条件的情况下最好能通过一级网桥直接将AP的信号汇聚至网络出口。整个网络的拓扑结构如下图1所示。
2、无线接入层 由于建筑的面积,建筑数量,建筑机构,楼层高低各不相同,所以不同的环境会采用不 同的无线覆盖方式。我们可以将整个社区进行分类细化,先建立单个的覆盖单元模型,再根据根据实际的环境来进行组合。 对于8层以下、一梯两户到3户,每栋3单元的楼房,可通过一个AP来进行整栋的覆盖。如图1。对于一梯4户以上,两面结构的楼房,需要在两面各配置一台AP来进行双面的覆盖。依此模式组成最小的覆盖单元,在实际覆盖中可将高层或者单栋单元数较多建筑,可以将整栋楼分割为一个基本的覆盖单元进行分别覆盖。如图3、图4。
校园无线建设方案部分1.项目设计方案 1.1项目概述 本次投标项目为xxxx学校高中部建设无线网络。 1.2总体要求 为充分发挥xxxx学校网络的作用,更好地服务学校信息化发展需求,需要对校园网络系统增加无线网络覆盖。 整个学校网络系统主要分布在各教学楼、实验楼、行政办公楼、科技楼、艺术楼、报告厅等楼群内,主要用于教学、科研和管理,是为学校师生提供教学应用、办公管理和通讯服务的宽带多媒体网络,是学校师生及管理人员所依托的重要资源,本次改造在原有的有线网络基础上增加无线网络覆盖。 系统要求“适度先进,留有扩展”,在满足技术要求的前提下,选用高可靠性、可维护性好、性价比高的并具有良好商业信誉和优质售后服务的国产华为品牌。 1.3具体要求 1.3.1、网络应用要求:通过增加无线网络覆盖,使得校园内可以无线上网,为了保证用户无线上网的安全,增加配套无线安全设备。 1.3.2、网络管理要求:学校前期已经建设了有线网络系统、网管软件、IT运维管理平台,本次建设的无线网络系统需要无缝对接到现有系统中,建设后通过运维管理平台能够直观全面地监控所有网络设备、服务器、数据库、应用系统的运行状态。为了保证招标单位的应用,我公司可提供实现与现有系统无缝对接方案,无缝对接所涉及的所有费用由我公司承担。 1.3.3、无线网络安全要求: 基于有线的安全网关,对于无线扫描、无线欺骗、无线破解、无线DoS等攻击更是鞭长莫及,无法防护。本次项目提供无线防火墙安全策略,可根据AP或Station的安全属性定制无线网络准入规则,通过射频信号阻止非法用户接入,建立射频安全区,提供具有物理安全、可信的无线网络。
无线网络解决方案(一)—家庭无线网络 一般来说,单台无线路由器可以满足普通家庭环境(单层,70平米以下一套一)的网络需求。但对于较复杂的户型(如三室两厅、四室两厅、大平层、复式楼、别墅等),因为有承重墙、隔墙、挡板等障碍物,导致信号传输过程中衰减较大,单台路由器无法完全覆盖每个角落。 本文针对较复杂的户型提供多种无线网络组网方案,请根据实际情况选择最适合的方案。 方案一、无线路由器+无线扩展器 [1] 方案介绍 使用一台无线路由器加一个或多个无线扩展器来扩展无线覆盖范围。无线扩展器相当于一个信号放大器,可以将接收到的较弱的信号放大。无线扩展器与路由器之间不需要连接网线,只需将设置好的扩展器在信号较弱的位置插上电源即可。 [2] 优势与不足
优势:无需额外布线,墙插式设计,美观大方;可扩展性好,可根据需要添加扩展器数量;成本较低。 不足:扩展器没有有线接口,仅扩展无线信号。如果扩展器数量较多会影响稳定性。 [3] 适用环境 适用于单层70~90平米的户型。 [4] 产品推荐 方案二、多台路由器组网 使用两台及以上路由器进行组网有两种方式:WDS无线桥接或LAN-LAN有线级联。其中,LAN-LAN有线级联最大的优势是稳定性好,可以增加无线带机量,但路由器之间必须通过网线连接,扩展性不佳,详细的设置方法请参考:路由器当作无线交换机使用的方法。本文介绍WDS无线桥接的应用。 [1] 方案介绍 WDS无线桥接是将两台或多台无线路由器通过无线的方式桥接,路由器之间不需要连接网线。桥接后,网络中可以是只有一个无线信号,实现无线漫游,也可以是不同的无线信号。
[2] 优势与不足 优势:无需额外布线;扩展性好,可根据需要添加路由器(建议不超过3级);增加4个有线接口。 不足:设置较为复杂;如果路由器数量较多会影响稳定性。 [3] 适用环境 适用于单层80~100平米的户型。 [4] 产品推荐 注:我司无线路由器均支持WDS无线桥接功能。 方案三、HyFi智能无线套装
叮叮小文库 XX学校 无线网络覆盖项目 实 施 方 案 2016年xx月xx日
目录 1.1项目名称及建设地点 (1) 1.2项目背景 (1) 1.3建设目标 (1) 第二部分需求分析 (1) 2.1高质量、高性能的无线网络覆盖 (1) 2.2无线AP集中管理 (1) 2.3无线网络高安全性 (2) 2.4灵活部署,易于拓展 (2) 2.5支持多业务接入 (2) 2.5.1设备可视化管理 (2) 2.5.2上网认证、统一管理 (2) 第三部分技术方案 (2) 3.1智能分布式无线组网 (2) 3.2交换机智能集群 (3) 3.3无缝漫游 (3) 3.4安全策略 (3) 第四部分建设原则 (3) 4.1实用性 (3) 4.2可靠性 (3) 4.3安全性 (4) 4.4可扩容 (4) 4.5可维护 (4) 第五部分网络规划 (4) 5.1网络拓扑图 (4) 5.2网路架构介绍 (4) 5.2.1无线接入层 (4) 5.2.2网络控制层 (5)
第一部分项目概述 1.1项目名称及建设地点 项目名称: 项目地点: 1.2项目背景 对于生长在网络时代的学生来说,“饭可以一日不吃,网不可一日不上”已成为其真实写照,教室上课需查询资料及在图书馆写论文也需用到WiFi,传统校园网已不能满足需求;同时,无线网络覆盖也是建设“智慧校园”的需要,通过对教学、科研、管理和生活服务的相关信息资源的整合,推动教育信息化和管理一体化的实现。 优信无限专业为各类学校提供专业的无线网络解决方案。 1.3建设目标 无线网络建设目标:建设一套安全、高性能的无线网络,对办公楼、教学楼、宿舍、图书馆、食堂、学生活动中心等实现无线全覆盖并覆盖部分公共区域,满足师生上网和教学要求,实现无线网络统一管理、统一配置。 第二部分需求分析 2.1咼质量、咼性能的无线网络覆盖 (1)对目标区域实现100%信号覆盖,接收信号强度大于等于-70dbm ;支持 802.11 n的高性能传输,单机接入时数据传输速率不低于90Mbps ; (2)根据不同环境制定不同的覆盖方案,保证信号稳定、覆盖全面; 2.2无线AP集中管理 通过无线控制器和无线交换机的配合,实现无线网络的规划、部署、监控、优化等各个功能
随着WLAN技术的成熟和终端的普及,WLAN网络承载的业务与应用逐渐丰富,为越来越多的终端用户所喜爱,各大运营商与企业也不断加大对WLAN网络建设的投入,在各热点楼宇(写 字楼、酒店、机场等)规划部署WLAN网络,以满足终端用户不断上涨的业务需求。本文将 对无线网络的规划设计原则加以总结和分析,可作为无线网络部署的指导意见。 无线网络规划与设计 当前WLAN网络采用的主流协议为802.11a/g/n,在设计无线网络部署方案时,首先应对这些协议有所了解,特别是与网络部署相关的信道、频率等信息,最终根据协议规定的相关原则来指导网络的规划与设计。本文主要以802..11g协议为例阐述无线网络的规划与设计。 1、802.11g协议频谱 如图1所示,IEEE 802.11g协议的频谱范围是2.4~2.4835GHz。802.11协议在2.4GHz 频段定义了14个信道,每个频道的频宽为22MHz。两个信道中心频率之间为5MHz。信道1 的中心频率为2.412GHz,信道2 的中心频率为2.417GHz,依此类推至位于2.472GHz 的信道13 。信道14 是特别针对日本所定义的,其 中心频率与信道13 的中心频率相差12 MHz。 图1 802.11g协议频谱划分图 从图1可以看到,信道1在频谱上和信道2、3、4、5都有交叠的地方,这 就意味着:如果有两个无线设备同时工作,且它们工作的信道分别为1和3,则它们发送出来的信号会互相干扰。
为了最大程度的利用频段资源,可使用1、6、11;2、7、12;3、8,13;4、9、14这四组互相不干扰的信道来进行无线覆盖。 下面的表1列出了802.11g在各国家授权使用的频段。在北美地区(美国、加拿大)开放1-11信道,在欧洲开放1-13信道。中国与欧洲一样,同样开放 1-13信道。 表1 802.11g协议的授权使用频段 由于只有部分国家开放了12~14信道频段,所以一般情况下,使用1、6、11这一组互相不干扰的信道来进行无线覆盖。 注:对于802.11a的5G频段,在中国一共开放了5个信道,分别是149、153、157、161、165信道,这5个信道相互之间不重叠,为互不干扰信道。 2、规划设计原则 在了解的802.11g协议的频谱分布后,下面将遵照协议标准指导无线网络的规划与设计。
学校无线网络实施 方案
XX学校无线网络系统项目 技术规格书
目录 1需求分析 ................................................................ 错误!未定义书签。2方案设计原则及参照标准...................................... 错误!未定义书签。 2.1 方案组成 ............................................................. 错误!未定义书签。 2.2 遵循标准 ............................................................. 错误!未定义书签。 2.3 设计原则 ............................................................. 错误!未定义书签。3无线网络系统解决方案.......................................... 错误!未定义书签。 3.1 无线网络技术说明.............................................. 错误!未定义书签。 3.1.1无线网络的工作步骤 .................................... 错误!未定义书签。 3.1.2如何实现漫游 ................................................ 错误!未定义书签。 3.1.3安全性和管理性如何实现 ............................ 错误!未定义书签。 3.2 无线网络系统解决方案 ...................................... 错误!未定义书签。 3.2.1设备选型........................................................ 错误!未定义书签。 3.2.2无线网总体架构及拓扑 ................................ 错误!未定义书签。 3.3 无线网用户安全认证 .......................................... 错误!未定义书签。 3.3.1校内用户........................................................ 错误!未定义书签。 3.3.2来访用户........................................................ 错误!未定义书签。 3.3.3MAC地址认证 .................................................. 错误!未定义书签。 3.3.4无线用户统一身份管理及认证..................... 错误!未定义书签。 3.3.5网络资源访问控制 ........................................ 错误!未定义书签。
目录 1. 应用需求------------------------------------------------------------------------------------------------ 2 2. 无线网络整体设计方案------------------------------------------------------------------------------ 3 2.1医院中WLAN的设计要求 -------------------------------------------------------------------- 3 2.2 用于病区移动查房-------------------------------------------------------------------------- 3 2.2.1用于床边护理 --------------------------------------------------------------------------- 4 2.2.2无线网络用于呼叫通信 --------------------------------------------------------------- 4 2.2.3无线网络用于护理监控 --------------------------------------------------------------- 4 2.2.4 无线网络用于药库管理 -------------------------------------------------------------- 5 2.2.5无线网络用于临床教育科研 --------------------------------------------------------- 5 2.2.6 无线网络用于病人识别与资产管理 ------------------------------------------------ 5 3. LECI无线网络的设计思想 ------------------------------------------------------------------------- 6 4. 无线网络总体描述------------------------------------------------------------------------------------ 6 4.1 AP电源的供给 ------------------------------------------------------------------------------- 7 5.1 AP的集中管理与自动配置 -------------------------------------------------------------- 10 5.1.1用户认证及加密 ---------------------------------------------------------------------- 10 5.1.2 基于策略的用户访问控制 ---------------------------------------------------------- 12 5.1.3用户漫游及QoS保障 --------------------------------------------------------------- 12 5.1.4用户动态负载均衡 ------------------------------------------------------------------- 13 6. 无线信号自动优化与调整------------------------------------------------------------------------ 13 7.无线网络的可扩展性 ------------------------------------------------------------------------------- 14 8. SmartPass ------------------------------------------------------------------------------------------- 14 9. 无线覆盖示意图------------------------------------------------------------------------------------- 15 10. 拓扑结构 -------------------------------------------------------------------------------------------- 17 10.1设备选型和配置---------------------------------------------------------------------------- 18 10.2交换机连接---------------------------------------------------------------------------------- 18 10.3 接入层AP部署--------------------------------------------------------------------------- 18 10.4用户接入策略------------------------------------------------------------------------------- 19 10.5 无线网络对医疗仪器的影响------------------------------------------------------------ 19 10.6 最高扩容性及投资保障 ---------------------------------------------------------------- 20 11.参考文献 --------------------------------------------------------------------------------------------- 21
WLAN系统测试方案 深信服科技 2014年7月
目录 一、概述 (5) 二、测试环境 (5) 2.1设备信息 (5) 2.2测试要求 (5) 2.4测试组网 (5) 三、测试内容 (6) 3.1基础性能 (6) 3.2认证与加密 (6) 3.3授权管理 (7) 3.4终端漫游 (7) 3.5应用识别 (7) 测试用例 (7) 4.1基础性能测试 (7) 1、AP吞吐量测试 (7) 2、AP零配置 (8) 3、丢包率 (9)
4、并发用户接入 (10) 4.2身份认证 (10) 1、本地认证 (10) 2、外部服务器认证 (11) 3、短信认证 (12) 4、二维码认证 (13) 5、微信认证 (13) 6、内置CA证书认证 (14) 7、802.1X 认证自动配置 (14) 4.3授权管理 (14) 1、不同角色策略控制 (14) 2、不同用户的访问控制策略 (15) 4.4、漫游 (16) 漫游功能测试 (16) 4.5应用识别 (17) 应用识别测试 (17) 四、测试结果: (18)
一、概述 本方案规定了WLAN接入设备的测试项目、测试要求、测试范围和测试内容等,提出了WLAN接入设备的功能、安全、性能、管理和维护等的测试要求。 二、测试环境 2.1设备信息 2.2测试要求 1、所有产品必须在同一测试环境条件下进行,以实际环境为标准。 2、所测试主要产品WAC和AP必须是各厂商相近档次设备。 3、测试位置:仟吉办公大楼现场,WAC及AP的安装位置均相同。 2.4测试组网 1、要求 (1)AP测试时放置位置有较大空间(两个AP距离为15米或以上); (2)AC能接通模拟测试服务器(如AD域服务器)或其它模拟测试设备,并提供正常网络连接; (3)测试点时需经过玻璃墙、砖墙等环境,以实际环境为准。
博通公司 计算机网络无线建设项目 技 术 方 案 开拓有限责任公司 2011年12月
目录 前言---------------------------------------------------------------------------3 公司介绍---------------------------------------------------------------------3 项目概况---------------------------------------------------------------------4 需求分析---------------------------------------------------------------------5 无线网络设计思路---------------------------------------------------------8 售后服务承诺--------------------------------------------------------------------17 总结---------------------------------------------------------------------------------18
一、前言 随着计算机应用技术的普及和国民经济信息化的发展,客户/服务器计算、分布式处理、国际互连网(Internet)、内部网(Intranet)等技术被广泛接受和应用,计算机的联网需求迅速扩大,网络在各行各业的应用越来越广。目前尽管有线网络以其传输速度高,产品品牌及数量众多和技术发展速度快等优点,在市场上有较高的知名度和较大的市场份额,但是在一些特殊的环境和特定的行业里依然有许多令IT数据管理公司头疼多年的LAN(网络/局域网)布线问题存在。 随着wireless(无线)技术的出现,在诸多计算机联网技术中,无线网(Wireless Network)以其无需布线、在一定区域漫游、运行费用低廉等优点,在许多这些应用场合发挥着其他联网技术不可替代的作用。随着无线局域网应用逐渐增多,它将扩展有线局域网或在某些情况下取而代之。可以预期,在未来信息无所不在的时代,无线网 将依靠其无法比拟的灵活性,可移动性和极强的可扩容性,使人们 真正享受到简单、方便、快捷的连接。 二、公司介绍 开拓网络科技有限公司阿是巴南地区发展最快、综合实力最强的一级工程专业承包企业,公司以先进的网络技术为超过300家客户提供各种无线网络的搭建服务。它当初的注册资本高达500万,可承担工程合同额2000万元以下的各类通信工程。多年来在网站开发、网络营销与网络搭建等方面取得巨大成功,并以其优质的服务、快速的响应在客户与同行中享有很好的声誉。我们秉承“服务至上”的理念,
校园无线网络建设方案 一、现状 随着信息时代的到来,各个学校意识到校内网络建设的重要性,只有实现高度的信息共享,建设完善的校园网络平台,才能够发展成为一所现代化的学校。现在学校办学条件的日趋完善,近年来实现了与 Internet互联,同时建成了校园网络,实现校内外信息的共享、传递,而网络信息的普及,而学校的建成时间较早,没有网络综合布线设计,类似的原因制约了学校现代化办学的指导思想,伴随着IEEE802.11标准的出台,解决这一矛盾在无线技术发展成熟的今天已不是问题,同时,无线局域网(WLAN)还拥有传统网络所不能比拟的扩容性和移动性,在校园内采用无线局域网技术实施校园网络工程,最大限度地满足教师学生上网需求,对于创建较早的学校来说,年代较久的教室不宜拉网布线,理想的解决方案就是布署无线局域网。 二、需求 在校园无线网络建设需求中,主要存在四种典型的应用: 1、实现以地区教育局为中心的整个地区教育系统的无线网络连接; 2、校园内的户外公共区域覆盖; 3、局部开放的室内大环境,如典型公共教室、图书阅览室等无线覆盖; 4、用户数量不多但分布较散的楼宇,如教室、教师宿舍等的无线网络覆 三、应用方案 1、室内覆盖:在室内根据覆盖需要,放置若干个无线局域网访问点,用户在移动时,系统会自动漫游,在不同的访问点之间进行信号的切换。这些访问点连接到各楼的校园骨干网。也就是将多个AP形成的各自的无线信号覆盖区域进行交叉覆盖,各覆盖区域之间无缝连接。所有AP通过双绞线与有线骨干网络相连,形成以有线网络为基础,无线覆盖为延伸的大面积服务区域。所有无线终端
通过就近的AP接入网络,访问整个网络资源。 采用高灵敏度的无线AP设备,配合吸顶天线,以一个AP配合一个天线,或一个AP配合多个天线,以保障高质量的无线信号能够覆盖更远的距离,同时增强设备在干扰较大的频率环境中使用的能力,从而完成室内区域的完全覆盖要求。 2、室外覆盖: 室外区域覆盖一般包涵,体育场地,校内花园,教学区等。根据需覆盖的室外区域的实际情况,选择不同。 (1)设备的选择:AP、全向天线. (2)室外考虑因素:环境、天气。
AVAYA WIRELESS 无线网络解决方案
无线网络解决方案 一、前言 随着科技的高速发展,人们对具有可靠、新颖、以及符合未来趋势的通信组网设备的需求,比以往任何时侯都更迫切, 愈来愈多的人开始使用无线技术进行组网,并享受到无线技术 增长趋势所带来的好处。 AVAYA WIRELESS无线系列产品是由朗讯贝尔实验室研制,符合IEEE802.11标准的、具有高性能、高可靠性和高安 全性的无线网络产品,AVAYA WIRELESS无线网联解决方案,可在不同的行业内应用,实现随时随地的传送信息;无论在哪 个行业,AVAYA WIRELESS都可以很好的解决工作中的问题,并常常产生意想不到的好效果。它可以为你提供所需的性能、 灵活性和移动等特性。 拟采用AVAYA WIRELESS无线产品为贵公司设计无线局域网互连方案,给你们提供参考。 二、方案设计的基本思想 1. 以高质量的产品灵活的设计思路及出色的性价比。为贵公司提供 无线局域网互联方案。 2. 选择最能够适应贵公司网络的拓扑结构,满足用户的应用,有效 的实现其通信的需要。
3.提供一种适应性强的解决方案,并为企业的网络的未来扩充提供 方便和利用性。 4.设计的网络能够处理各种综合业务、数据、话音/传真、图像, 将所有的业务综合起来,降低通信成本,简化网络管理和减少整体维护费用。 5. 网络配置灵活,带宽利用率高,最大限度的利用通道资源。 6. 用足够的专业经验和技术为贵公司作出的正确选择,助一臂之 力。 三、AVAYA WIRELESS产品的优点 1.AVAYA WIRELESS业界的领先技术: AVAYA WIRELESS产品是采用射频(RF)技术和IEEE802.11标准的无线局域网网络产品系列。这些产品包括WavePOINT无线接入点,用于计算机设备的网络接口卡,天线系统和WaveMANAGER网络控制软件。AVAYA WIRELESS可以为末端用户提供高效可靠的网络连接,并可实现和有线系统相同的高性能,但它具有无线系统所特有的灵活性,移动性和成本地等优点。由于AVAYA WIRELESS可以与现有的有限网络和无线网络互相兼容,用户可以利用它来构建一个纯粹的无线局域网结构,并将它加入现有的无线网络之中,或者在现有的有线网络中利用它们来实现无线网络的延伸。 2.可靠的通信 抗射频干扰性能。理想的接收灵敏度,宽范围天线能提供强大的、
XXX 校园无线局域网技术建议书 20XX 年X 月
目录 1概述 (3) 2需求分析 (3) 2.1总体建设目标 (3) 2.2具体实施目标 (4) 3无线校园网建设方案 (5) 3.1整网逻辑拓扑图 (5) 3.2无线用户认证解决方案 (5) 3.3整网安全解决方案 (6) 3.4无线校园解决方案——更稳定: (7) 3.5无线校园解决方案——高安全: (8) 3.6无线校园解决方案——易管理: (9) 3.7无线校园解决方案——可扩展: (10) 4无线校园网建设方案总结 (10)
1概述 无线局域网(WLAN)技术于 20 世纪 90 年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点:?简易性:WLAN 网桥传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作; ?灵活性:无线技术使得WLAN 设备可以灵活的进行安装并调整位置,使无线网络达到有线网络不易覆盖的区域; 综合成本较低:一方面WLAN 网络减少了布线的费用,另一方面在需要频繁移动和 变化的动态环境中,无线局域网技术可以更好地保护已有投资。同时,由于WLAN 技术本身就是面向数据通信领域的IP 传输技术,因此可直接通过百兆自适应网口 和企业、学校内部Intranet 相连,从体系结构上节省了协议转换器等相关设备; ?扩展能力强:WLAN 网桥系统支持多种拓扑结构及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统; 随着 WLAN 技术的快速发展和不断成熟,目前在国内外具有较多的中大规模应用,诸如荷兰的阿姆斯特丹市的全城覆盖,向客户提供各种业务。 2需求分析 2.1总体建设目标 ?利用无线网络技术进一步扩展校园网的覆盖范围,使全校师生能够随时随地、方便高效地使用校园网络; ?促进教学和科研发展,进一步拓展研究空间; ?提升校园网络环境,提高管理水平和效率,推动学校信息化建设; ?要覆盖部分原来没有有线网的空间,诸如:寝室; 由于本工程是在校园有线网的基础上加以无线扩充;
无线网络规划与设计 随着WLAN技术的成熟和终端的普及,WLAN网络承载的业务与应用逐渐丰富,为越来越多的终端用户所喜爱,各大运营商与企业也不断加大对WLAN网络建设的投入,在各热点楼宇(写字楼、酒店、机场等)规划部署WLAN网络,以满足终端用户不断上涨的业务需求。本文将对无线网络的规划设计原则加以总结和分析,可作为无线网络部署的指导意见。 无线网络规划与设计 当前WLAN网络采用的主流协议为802.11a/g/n,在设计无线网络部署方案时,首先应对这些协议有所了解,特别是与网络部署相关的信道、频率等信息,最终根据协议规定的相关原则来指导网络的规划与设计。本文主要以802..11g协议为例阐述无线网络的规划与设计。 1、802.11g协议频谱 如图1所示,IEEE 802.11g协议的频谱范围是2.4~2.4835GHz。802.11协议在2.4GHz 频段定义了14个信道,每个频道的频宽为22MHz。两个信道中心频率之间为5MHz。信道1 的中心频率为 2.412GHz,信道2 的中心频率为2.417GHz,依此类推至位于2.472GHz 的信道13 。信道14 是特别针对日本所定义的,其中心频率与信道13 的中心频率相差12 MHz。 图1 802.11g协议频谱划分图 从图1可以看到,信道1在频谱上和信道2、3、4、5都有交叠的地方,这就意味着:如果有两个无线设备同时工作,且它们工作的信道分别为1和3,则它们发送出来的信号会互相干扰。 为了最大程度的利用频段资源,可使用1、6、11;2、7、12;3、8,13;4、9、14这四组互相不干扰的信道来进行无线覆盖。 下面的表1列出了802.11g在各国家授权使用的频段。在北美地区(美国、加拿大)开放1-11信道,在欧洲开放1-13信道。中国与欧洲一样,同样开放1-13信道。
一、无线网络建设目标 仓库部署无线网络及移动终端系统,建成无线扫码、无线仓储系统后,可以主要实现以下目标: 1.入库管理:入库单即时通过无线网络提交给后台系统,管理员及时获取入库数据; 2.出库管理:当理货员到仓库领取图书时,仓库管理员在移动终端上通过无线网络下传出库单据并输入待出库的图书数量,主机数据库就会自动更改商品库存; 3.库存盘点:理货员手持移动终端,直接在货架上扫描商品条码,即时通过无线网络环境提交库存信息; 4.其它作业:人员调度管理、系统管理等。 无线扫码作业、无线仓储系统中,投标商必须保证仓库无线网络环境全覆盖,并确保高效稳定的网络环境。 二、无线网络建式 2.1瘦AP组建式 传统FAT无线网络的部署需要网络管理员对网络中的每一个AP进行逐一配置,对其进行配置的话,工作量巨大,且容易出错,因此,不建议用户大规模部署使用。建议采用“无线控制器(AC)+瘦AP(FIT AP)+POE交换机+无线网络管理”的FIT AP组网式,无线控制器(AC)必须使用单独的机架式硬件设备,
瘦AP实现无线信号的处理,而用户管理、加密、漫游、AP管理等功能全部集中到AC进行,这样可以简化整个网络的管理,提高设备的工作效率。AP的供电采用以太网供电(Power Over Ethernet,PoE),通过以太网线来汇聚AP的流量,同时为AP提供电源,这样可以简化布线,同时减少故障点,提高网络的可靠性。本次FIT AP无线网络部署模式,是将所有的配置在AC上统一实现,AP本身零配置,可实现无缝漫游,适合大规模无线组网。 移动手持终端 无线AP 无线AP 无线AP 移动手持终端移动手持终端移动手持终端 无线AP POE交换机POE交换机POE交换机(瘦AP无线组建网络拓扑图)
无线WiFi网络布网方案 目前公司对于无线网络需求较大,但现有无线网络还不能满足公司需求,所以我提出以下解决方案: 网络拓扑图如下: 方案所需设备:8口POE交换机、无线控制器AC 、无线ap、六类网线(其他设备已有) 设备采购方案
设备采购方案一: 设备名称品牌规格型号数量价格总价无线控制器AC Tp-link TL-AC200 1 499 499 无线ap Tp-link TL-AP450C 7 450 3150 8口POE交换机Tp-link TL-SF1009PE 1 759 759 六类网线安普305米/箱 1 659 659 总计5067 方案说明:此方案采用无线ap由poe交换机供电,布线简单,减少了寻找供电电源产生问题。所有无线ap由无线控制器ac进行管理,可远程下发配置、修改相关配置参数、远程重启无线ap、自动检测信道冲突、自动负载均衡等。 此方案组建为百兆无线网络,公司出口带宽为50m,适合公司网络环境,Tp-link无线设备稳定可靠,同时价格低廉,适合中小型公司使用,可满足公司目前对无线的需求,解决现有问题。AC控制器最多支持200台无线AP,满足了日后可扩充的需求。每个AP支持30用户(最大支持100用户),目前方案可以支持210个终端,基本可以在公司形成无死角全覆盖的无线网络。
设备采购方案二: 设备名称品牌规格型号数量单价总价无线控制器AC 华为AC6005 1 10800 10800 无线ap 华为AP3010DN 5 1468 7340 六类网线安普305米/箱 1 659 659 总计18799 方案说明:此方案设备均采用华为网络设备,组成千兆无线网络。无线控制器AC集成了POE供电模块,不需要独立购买POE 交换机,AC拥有8个GE口,提供4Gbit/s的转发能力,可管理128个AP,接入2K无线终端;可通过网管eSight、WEB网管、命令行(CLI)进行维护。华为AP支持双频(2.4GHz,5GHz),防水等级:IP31,支持整机最大用户数达到64个。 相对于方案一来说华为的方案拥有高容量、高可用、高性能等特点,但是价格更高,根据公司目前的情况,个人认为用华为的方案有点性能过剩,会有资源浪费。
XX学校 无线网络覆盖项目 实 施 方 案 2016年xx月xx日
目录 1.1 项目名称及建设地点 (1) 1.2 项目背景 (1) 1.3 建设目标 (1) 第二部分需求分析 (1) 2.1 高质量、高性能的无线网络覆盖 (1) 2.2无线AP集中管理 (1) 2.3无线网络高安全性 (2) 2.4 灵活部署,易于拓展 (2) 2.5支持多业务接入 (2) 2.5.1 设备可视化管理 (2) 2.5.2 上网认证、统一管理 (2) 第三部分技术方案 (2) 3.1 智能分布式无线组网 (2) 3.2 交换机智能集群 (3) 3.3 无缝漫游 (3) 3.4 安全策略 (3) 第四部分建设原则 (3) 4.1 实用性 (3) 4.2 可靠性 (3) 4.3 安全性 (4) 4.4 可扩容 (4) 4.5 可维护 (4) 第五部分网络规划 (4) 5.1 网络拓扑图 (4) 5.2 网路架构介绍 (5) 5.2.1 无线接入层 (5) 5.2.2 网络控制层 (5)
第一部分项目概述 1.1 项目名称及建设地点 项目名称: 项目地点: 1.2 项目背景 对于生长在网络时代的学生来说,“饭可以一日不吃,网不可一日不上”已成为其真实写照,教室上课需查询资料及在图书馆写论文也需用到WiFi,传统校园网已不能满足需求;同时,无线网络覆盖也是建设“智慧校园”的需要,通过对教学、科研、管理和生活服务的相关信息资源的整合,推动教育信息化和管理一体化的实现。 优信无限专业为各类学校提供专业的无线网络解决方案。 1.3 建设目标 无线网络建设目标:建设一套安全、高性能的无线网络,对办公楼、教学楼、宿舍、图书馆、食堂、学生活动中心等实现无线全覆盖并覆盖部分公共区域,满足师生上网和教学要求,实现无线网络统一管理、统一配置。 第二部分需求分析 2.1 高质量、高性能的无线网络覆盖 (1)对目标区域实现100%信号覆盖,接收信号强度大于等于-70dbm;支持802.11n的高性能传输,单机接入时数据传输速率不低于90Mbps; (2)根据不同环境制定不同的覆盖方案,保证信号稳定、覆盖全面; 2.2无线AP集中管理 通过无线控制器和无线交换机的配合,实现无线网络的规划、部署、监控、优化等各个功能。
黄冈师范学院 课程论文 课程名称:短距离无线与移动通信网络论文题目:校园无线网络的规划设计与实施学生班级:网络工程201301班 学生姓名:刘宏博 学生学号:2013263040111 授课教师:刘小俊
目录 一、需求分析 (2) 二、网络设计原则 (3) 三、组网分析和设计 (4) 四、无线网络的规划与设计 (5) 4.1 无线接入点信道划分 (5) 4.1.1 楼栋内各楼层信道划分 (7) 4.1.2 室外区域的信道划分 (7) 4.2 无线上网的认证 (9) 4.3 无线区域漫游 (12) 五、无线网络安全 (13) 5.1 数据加密 (13) 5.2 建立无线虚拟专用网 (15) 5.3 使用入侵检测系统 (15) 总结 (16) 参考文献 (17)
一、需求分析 以黄冈师范学院校园网为例,进行需求分析 (一).网络应用需求 (1)所有学生在缴费后均可接入Internet; (2)在校园内部,接入校园网的方式同时满足有线和无线; (3)通过网页或客户端的方式进行上网认证; (4)无线网络要覆盖整个校园,能够满足移动设备随时随地上网需求; (5)通过无线方式访问网络后,能够在校内各区域实现漫游; (二).安全需求 1. 校园网接入Internet,应该使用防火墙技术防止黑客和其他非法入侵者入侵网络系统, 并对接入Internet用户进行权限控制。 2. 进行用户权限设置,对不同的用户分组进行权限的设置。 3. 按照相应标准进行局域网的建设,确保物理层的安全。2.采用主机访问控制手段加 强对主机的访问控制。 4. 划分完全子网,加强网络边界的访问控制,防止内外的攻击威胁,定期进行网络安 全的检测。 5. 建立身份认证系统,对各应用系统本身进行加固。 (三).技术需求 1. 为确保校园网的性能及安全需求,采用光纤以太网作为校园网的主干。主干网承担 了整个学校网络包交换,子网的划分,网络管理等重要的任务,应采用具有三层路由功能,包交换性能高的交换机作为主干网的节点机,分布在网络中心,图书馆,教学楼,实训楼,食堂,教师公寓和学生公寓。 2. 设立一个网络中心,配置相应的服务器以及路由交换等设备。网络中心可对整个校 园网进行管理,并作为校内连接Internet的网络关口,承担防御过滤等功能。 3. 对校内各网络节点进行监控,防止病毒的传播。校园的主要建筑有图书馆,教学楼, 实训楼,食堂,教师公寓,学生公寓,必须在这些建筑物内安装足够信息点以及信息终
无线网络方案 一.建设规划 1.1项目建设需求分析 预计建成后的网络能够具有以下功能: 1、以无线的方式覆盖整个大楼 2、可对每一位用户和每个无线AP进行管理 3、充分考虑网络的安全性,系统具有多层次的安全保护措施,以满足用户身份鉴别、访问控制和保密性等需求 4、在网络规模不断发展的情况下,系统应可不断升级和扩充,确保系统可用 5、系统总体设计本着总体规划、分布实施的原则,充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性,以及建设经济性。 1.2功能特点 1.灵活性好:设备能根据实际需要进行相应调整,调换安装位置和地点,采用无线AP 方式。对环境的灵活适应性更强。 2.性价比高:相对于其他的接入方式IP-COM交换机+AP的组网方式,能够提供更大的方便性和更低廉的价格,让用户实实在在得到好处。 3.安装方便:无论从安装工程的难易程度和工程周期,此种接入方式都是所有接入方式无法比拟的,实施简便,安装维护容易是其好处之一。 4.安全稳定:WLAN产品采用WEP(有线网络等同安全机制)等等,使该系列产品具有非常高的安全性和稳定性,完全满足用户需求。 5.易于扩展:通过扩展无线AP接入点便于以后用户数扩展。 二.系统方案设计 2.1网络架构说明
采用无线AP的方式实现无线网络连网,目前对整个区域的了解,估算无线网络接入部分的具体配置如下: 接入网络部分:最少有4台IP-COM的W40AP部署在大楼的每一层,接入到中心的POE 供电交换机G1210P,通过带有上网行为管理的企业级路由器R8或R9来连接外网,同时在G1210P下连一台16口交换机IP-COM F1016,用于网络中使用网线有线接入的用户。 无线网管理部分:配置在网络中心的POE供电交换机为无线AP统一供电,连接AP接入交换机形成物理线路的高可靠性。大楼所有的移动用户接入到室内无线局域网当中,所有的移动用户无论处于大楼的哪个楼层,均可以获得相同的访问控制属性。 2.2 基于802.11n的W40AP组网优势 ?范围 ?和传统AP比较,最大覆盖范围增加了10-15% ?覆盖 ?对于802.11a/g 高数据率的覆盖增加了10-20% ?和传统AP比较,可以提供更加一致的无线覆盖 ?容量 ?为802.11n 客户端提供最大的系统增益 802.11n的赏心悦目之处不仅在于为支持新标准的客户端提高了性能,可靠性和可预测性。也同时向后兼容传统设备,让他们也能分享到性能的提升。IP-COM W40AP支持最新的IEEE802.11n标准,并向下兼容IEEE802.11b、IEEE802.11g。 802.11n标准允许传统的802.11 a/b/g客户端连接到802.11n基础设施,尽管他们还是以较低的数据率连接。向后兼容是通过所谓“保护机制”实现,以便使高吞吐量的11n 设备可以实现较快的速率,同时也能够和速度较慢的传统客户端一起工作。混合模式环境下