WLAN运维管理解决方案

WLANWLAN 运维管理解决方案运维管理解决方案 多业务区分设计多业务区分设计 使用无线网络可以分为不同的无线接入业务类型 因此 可以在设计上采用无线局域网多 SSID 技术 设置多业务区分方式 例如一个 SSID 可给教师所用 而另一个可给学生专用 由 于用户一般把 SSID 看成 VLAN 所以它们都会惯性地以 VLAN 概念来划分 SSID 其实在一个 AP 范围内 不管用户连接到那一个 SSID 它们实际上都是在同一个 802 11 广播域内 因为无线电 波的传输是共享方式的 一个最简单的例子就是 AP 把不同的 SSID 名字广播 所以当无线终端 在这个 AP 覆盖范围内启动时 它就能同时看到多个 SSID SSID 的最主要用途是可让无线终端 以不同的安全认证和加密方式入网 为什么要把不同的安全加密协议设置在不同的 SSID 呢 802 11 的标准内定义了不同加密 情况时数据包的封装格式 所以在用户的无线接入使用不同的加密方式 例如 WEP TKIP WPA 802 11i WPA2 等等 不同加密方式不能在同一个 SSID 内同时存在 某一个 SSID 可以覆盖全网 也可以只局限于园区网内的某些范围 一般的情况下是全网开 通 例如 临时访问者 Guest 使用的 SSID 但有些 SSID 可以只在办公区广播 只供某些部门 使用 无线用户管理无线用户管理 神州数码网络对于无线用户的管理可以有多种方式 在单个无线场所 可以使用神州数码 DigiZoneDirector 智能无线控制器对多 AP 进行管理 在多场所 多控制器的情况下 即可以 使用神州数码 LinkManager 统一网络管理平台使用标准 SNMP 协议对多厂家有线 无线设备进行 统一管理 又可以使用 DigiFlexMaster 无线集中式管理软件基于 TR 069 对 AP 进行综合管理 神州数码网络无线系统中可以设定用户的角色 role 每个角色可以基于用户权限和可 访问资源的设定等规则 用户权限是 DigiZoneDirector 的功能 是针对无线接入的特性而设计 一般的用户接入不同的 SSID 时只具有该 SSID 或 VLAN 所对应资源的访问权限 所以访问不同的 VLAN 的资源需要分别登录不同的 SSID 这样是十分不便的 神州数码网络的基于用户角色的权 限管理是与用户认证捆绑在一起 当无线用户成功通过认证后 他会获得一个预设的用户角色 权限 访问其他 SSID 对应的网络资源 这样 一个具有全部权限的用户通过一个 SSID 登录后 可以访问所有 SSID 对应的语音 数据和视频业务的权限 从而简化了用户的权限设置和用户管 理的复杂性 一般在用户权限设计中 可以将来宾和普通用户的权限设置的较低 只能访问有限的资源 且优先级较低 并且有带宽的限制 其他用户可能有较高的权限 可以访问更多的学校资源 或者对某些特殊的来宾开放某些 VIP 账号 分配给其较高权限的角色 在带宽方面可以做比较宽松的限制 所有这些在配置 使用和管理上都非常符合一般企业的网络管理需求 在具有多场所 多控制器的环境 可以使用 DigiFlexMaster 进行统一管理 神州数码网络 的 DigiFlexMaster 无线集中式管理软件系统提供了对 DigiZoneFlex AP 的配置 故障 性能 报告等系列的管理功能 该产品符合 TR 069 标准 利用工业标准 SOAP HTTPS XML 协议在 DigiFlexMaster 服务器和被管理的 AP 设备之间建立一条安全可靠的链路 这个协议允许已安 装的 AP 设备在加电初始化时自动访问汇报 DigiFlexMaster 服务器并随后进入自动配置阶段 网管工作人员也可以通过 DigiFlexMaster 和 AP 进行即时通信或设定 AP 在某个合适的时间按计 划执行一个任务 由于 TR 069 基于标准 HTTP 或 HTTPS 协议消息可以穿透互联网上的防火墙 允许 DigiFlexMaster 远程管理任何安装在互联网上的 DigiZoneFlex AP AP 和 DigiFlexMaster 服 务器之间异步通信的方法保证了通信可以通过 NAT 转换点 这对于其它通用的网络管理协议是 难以做到的 无线安全性无线安全性 在神州数码网络无线系统中 可以在多个层面对系统构筑安全防护 其安全性设计如下 1 1 多多 SSIDSSID 可以根据需要 如用户的种类 应用的种类 在神州数码网络无线系统中设置 多个 SSID 不同的 SSID 采用不同的安全策略 这样可以对不同的用户及应用进行区分服务 另外 SSID 还可以选择隐藏的方式 该 SSID 不广播 用户无法看到 防止非法用户的连接企图 SSID 还可以选择在某些 AP 上出现 某些 AP 上不出现 限制 SSID 出现的范围也是实现安全性 的一种手段 2 2 加密 加密 神州数码网络无线系统支持多种加密的方式 二层的加密支持静态 WEP 动态 WEP TKIP WPA 802 11i 多种加密方式 三层的加密支持 IPSec VPN 加密 这样使得加密的 方式更加的灵活 可以根据实际需求进行选择 3 3 用户认证提供三种方式 用户认证提供三种方式 WPA PSK captive portal VPN 加密方式采用 WPA PSK 不建议采用静态 WEP 因为有安全隐患 采用 captive portal VPN 的认证方式 同时 VPN 还具有三层的加密功能 具有更高的安全性 认证服务器的 选择比较灵活 可以使用 RADIUS LDAP Windows NT ActiveDirectory TACACS 甚至是 DigiZoneDirector 内置的帐户数据库 WPA 802 11x 加密方式尽量采用 WPA 如果客户端不支持也可采用动态 WEP 认证方式 采用 802 11x 认证服务器选择 RADIUS Dynamic PSK Dynamic PSK 是神州数码网络专有的用户认证和加密技术 传统的无线加密密钥对所有的 用户是相同的 相当脆弱 而且长度较短 容易被解码 Dynamic PSK 技术为每一个用户提供 一个 64 字节的密钥 实现完整而且非常安全的认证加密手段 4 4 用户的用户的 RoleRole 角色 角色 每一类用户可以建立一个相关的 Role 每个 Role 有一个用户状态 防火墙的设定和带宽控制的设定 这样我们就可以将设定的安全策略加载到每个用户身上 5 5 无线客户端隔离 无线客户端隔离 神州数码网络无线控制器具有无线客户端隔离功能 该功能启动后 无线客户端将无法相互通信或访问任何受限制的子网 6 6 带宽控制 带宽控制 可以对每个用户设定其可以使用的带宽 一方面可以限制其对网络资源的占有 另一方面 当该客户端中了病毒以后 其病毒发作时不会占用网络全部的带宽 7 7 认证系统支持 认证系统支持 神州数码网络无线系统支持多种认证系统 诸如 Radius 微软的 AD 活 动目录 和在 DigiZoneDirector 内部的 Internal DB 等等 统一身份认证统一身份认证 融合统一融合统一 802 1x802 1x 认证认证 神州数码有线无线集成化客户端 在实现有线无线统一身份认证的同时 还解决了长时间 困扰用户的多厂家设备同时存在时无法实现统一认证的问题 由于高校校园网建设周期较长 在不同的阶段由于不同的需求可能采用不同厂家的设备 目前的 802 1x 认证 各厂家均是采用 私有认证 在终端设备上必须安装各厂家独有的私有客户端才能与其接入交换机 认证计费系 统互动 实现私有 802 1x 认证 这种私有认证对接入设备的依赖性使得用户受困于厂家 不便 于后续的应用扩展 神州数码有线无线集成化客户端 配合 TrustCenter 统一身份认证平台 可以实现不依赖于接入设备的私有 802 1x 认证 无论接入设备是否是神州数码的产品 只需要 在客户端安装神州数码有线无线集成化客户端 就可以与神州数码 TrustCenter 认证平台互动 实现私有 802 1x 认证 实现即时消息通知 IP 地址上传 强制下线以及 keep alive 等功能 的具体流程如图 4 1 所示 有线标准 802 1x 转私有 802 1x 认证步骤 1 用户开机后 客户端发起 DHCP 请求 经认证设备转发到 DHCPServer DHCPServer 为 用户分配 IP 地址 2 用户通过客户端软件 采用标准 802 1x 认证 发起认证请求 3 接入交换机 非神州数码设备 收到认证请求 由于是标准的 802 1x 认证 交换机可 以识别认证信息 将客户端认证信息发送到 TrustCenter 认证服务平台 4 TrustCenter 认证服务中心将认证通过信息返回给接入交换机 5 交换机将认证通过信息返回给客户端 客户端界面显示认证通过信息 6 标准认证通过后 客户端与 TrustCenter 服务器基于 TCP UDP 直接通信 私有信息直 接传递到服务器 服务器与客户端之间可以完成即时消息通知 IP 地址上传 强制下 线以及 keep alive 等功能 7 交换机将用户所在端口打开 用户可以上网 TrustCenter 开始对用户计费 无线标准无线标准 802 1x802 1x 认证认证 为降低服务器负担 无线终端采用神州数码私有 802 1X 认证 用户接入流程如下图所示 图 4 2 无线标准 802 1x 认证 无线私有 802 1x 认证步骤 1 用户开机后 检测到 SSID 有效 通过 802 1x 客户端软件发起请求 2 AP 检测到该请求后 向 AAA 发出请求 AAA 服务器发出响应 3 用户端弹出对话框 要求输入合法的身份标识 如用户名及其密码 4 用户端将身份标识传送到 AP 5 AP 将相应信息发送到 TrustCenter 进行认证 6 如果认证通过 则 AP 到 DHCP 服务器的端口打开 客户端软件发起 DHCP 请求 经认证 设备转发到 DHCPServer DHCPServer 为用户分配 IP 地址 7 用户可以上网了 认证服务器开始对用户计费 8 AP 通过定期的检测保证链路的激活 如果用户离开或异常死机 则 AP 在发起多次检测 后 自动认为用户已经下线 于是向认证服务器发送终止计费的信息 Webportal 认证 神州数码网络智能无线 AP 通过以太网或 IP 线路连接到网络 通过 DigiZoneDirector 进行 SSID 无线信道 发射功率 Rouge AP 检测和无线加密 认证等管理 根据要求 DigiZoneDirector 将创建一个公开的 没有加密的 AP 热点 SSID 用户可以通 过该 SSID 接入到网络当中 无论用户想访问的网页是什么 DigiZoneDirector 弹出 WEB 认证 节目 包括欢迎 认证连接等 通过认证后用户就可以访问 Internet 网络了 也可以重定向 到缺省的网页 可以根据热区内 AP 数量的多少 由一个或多个 DigiZoneDirector 可以管理一个热区内的 所有 AP 如果需要 未来可以在中心部署 DigiFlexMaster 管理所有的 DigiZoneDirector 从而管 理网络中的所有 AP AP 可以通过以太网或 DSL 链路接入网络 DigiZoneDirector 没有 DHCP 服务器功能 所以 需要外置的 DHCP 服务器或使用 BRAS 提供 DHCP 服务器为客户端分配 IP 地址的功能 如图 4 3 所示 用户接入的流程如下 1 用户开机后 检测到 SSID 有效 2 客户端发起 DHCP 请求 经认证设备转发到 DHCPServer DHCPServer 为用户分配 IP 地 址 3 用户打开浏览器 HTTP 请求被 AP 捕获 并重定向到登录界面 4 用户输入用户名和密码 并传送到 DigiZoneDirector 5 DigiZoneDirector 将用户名和密码发送到 AAA 服务器进行认证 6 认证通过后 DigiZoneDirector 将 Web 页面重定向到 DigiZoneDirector 指定的 WEB 服 务器页面 费用余额等通知 同时出现计时窗口 7 用户可以上网 AAA 服务器计费开始 Webportal DHCP 实现简单 无需客户端和相关配置 扩展性也好 在无线控制器中设定 使用 Web Portal 方式认证 当用户接入无线网络后 需要使用浏览器访问校园网或 Internet 会弹出认证界面 用户输入用户名和密码后送到相关服务器进行验证 如果认证通 过后用户就能够访问校园网和 Internet 如果访问 Internet 就会产生计费 同时计帐到该用 户帐号上 认证与认证与 ipv6ipv6 结合结合 神州数码网络 TrustCenter 认证计费服务系统 支持 IPv6 无线终端的管理与认证 支持 IPv4 和 IPv6 协议收发报文 包括认证计费报文 各种业务报文以及强制下线报文 可以实现 与有线 IPv6 系统协同的统一认证 实现基于 IPv6 的用户与 IP MAC 绑定 做到无线与有线的 认证一体化 IPv6 无线终端认证信息在 TrustCenter 上的显示如图 4 4 所示 TrustCenter 在用户认证时对 IPv6 相关策略的校验 如下图所示 TrustCenter 管理端支持基于 IPv6 的远程访问和管理 可以显示接入认证用户的 IPv6 相 关信息 支持接入设备的 IPv6 配置和管理 在安全策略中配置和使用 IPv6 在日志文件中可 以展示及查询 IPv6 信息 同时支持报表 IPv6 信息的导入和导出 IPv6 信息的显示和查询如图 4 6 所示 神州数码网络认证客户端 支持获取本机 IPv6 信息 客户端同时集成了 IPv6 DHCP 客户端 可以支持服务器下发 IPv6 地址设置 神州数码认证客户端获取和设置 IPv6 信息如图 4 7 所示 移动漫游移动漫游 无线用户移动漫游 涉及到多个层次的漫游 最为简单的是二层漫游 业内主流厂家产品 都表现不错 三层漫游就困难多了 还有当用户跨越多个域时怎样无缝漫游 神州数码网络无 线局域网可以实现快速无缝漫游功能 L2 L3L2 L3 漫游漫游 在传统的无线局域网内 无线终端要跨越不同 AP 之间漫游是有一定的困难 因为不同 AP 之间 它的无线用户 IP 子网可能都不是在同一个 VLAN 内 所以当无线终端从一个 AP 漫游到另 一 AP 时 由于它们之间的缺省 IP 子网不同 无线终端会重新发出 DHCP 请求 这样的话终端的 IP 地址就会更新 所有在原先 AP 建立的连接都会被切断 过去为了解决跨越三层的漫游 有 些用户采用了 Mobile IP 的技术 但 Mobile IP 的缺点是它必须在无线终端安装软件 这是一 般网络管理人员不愿意做的事情 因为它们就必须支持和维护用户的无线接入端 通过神州数码网络无线系统 可解决了跨越不同三层 IP 子网的无线漫游问题 当无线终 端从一个 AP 的 IP 子网漫游到另一