高等专科学校WLAN室内覆盖系统方案.doc

此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 景德镇高等专科学校无线网络覆盖景德镇高等专科学校无线网络覆盖 技术方案书技术方案书 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 目目 录录 一 一 项目概述项目概述 4 1 1 景德镇高等专科学校 WLAN 无线覆盖项目需求 4 二 系统规划二 系统规划 5 2 1 无线系统需求分析 5 2 2 设备选型原则 5 2 3 无线覆盖方式 6 2 3 1室内覆盖 6 2 3 1室外覆盖 6 2 4 设计原则和规划方法 6 2 4 1 无线网络设计原则 6 2 4 2 覆盖区域规划思路及解决方法 7 2 4 3 设备频点规划思路及解决办法 7 三 方案设计依据 工作过程及原理三 方案设计依据 工作过程及原理 8 3 1 网络设计依据 8 3 2 无线网络技术指标 8 3 3 主要工作过程及原理 9 四 主要设备选择及性能指针四 主要设备选择及性能指针 10 4 1 室内无线设备 10 4 2 室内吸顶天线 12 五 系统架构五 系统架构 13 5 1 无线接入部分简述 13 5 2 无线安全控制机制选择 13 5 3 无线系统的负载均衡 14 5 4 无线网络系统拓扑图 14 5 5 VLAN 支持能力和实现方案 15 5 6 VPN 支持能力和实现方案 15 六 景德镇高等专科学校黄金校区无线覆盖方案说明六 景德镇高等专科学校黄金校区无线覆盖方案说明 16 6 1 支持多种宽带接入认证技术 16 6 1 1 WEB Portal 认证 17 6 1 2 IEEE 802 1x认证 17 6 1 3 不同认证方式的比较 18 6 2 认证管理系统 19 6 2 1 Radius Server 20 6 2 2管理维护系统 21 6 2 3用户自服务 自注册系统 21 6 2 4接口系统 21 6 4 满足校园特点的无线网络安全性和可靠性 21 6 4 1 访问控制 22 6 4 2 数据加密 22 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 6 4 3 单钥密码体制 22 6 4 4 双钥密码体制 22 6 4 5 数据完整性 22 6 4 6不可否认性 23 6 4 7无线局域网安全标准 23 6 5 无线网络管理系统 25 6 5 1 无线管理系统产品概述 25 6 5 2 无线管理系统功能简述 26 6 6 无线网络检测工具 27 6 7 多种业务支持能力 28 七 方案具体规划七 方案具体规划 31 7 1 覆盖区域物理设计建议 31 7 2 景德镇高等专科学校无线覆盖规划 31 7 2 1 1 2 楼一层至四层安装图 31 7 2 2 5 4 楼一层至四层安装图 32 7 2 3 6 楼一至五层安装图 33 7 2 4 7 楼一至五层安装图 34 7 2 5 8 楼一至六层安装图 35 7 2 6 9 楼一至四层安装图 36 7 2 7 10 11 楼一至六层安装图 37 7 2 8 12 楼一至六层安装图 38 7 2 9综合楼一层安装图 39 7 2 10综合楼二层安装图 40 7 2 11综合楼三至四层安装图 41 7 2 12综合楼五层安装图 42 7 2 13综合楼六层安装图 43 7 2 14综合楼七层安装图 44 7 3 覆盖区域逻辑设计建议 45 7 3 1 VLAN和SSID 45 7 3 2 地址和路由 46 八 设备总清单八 设备总清单 47 九 施工注意事项九 施工注意事项 48 9 1 无线网络信道规划 48 9 2 频率复用 C I 计算方法 49 9 3 无线设备的安装 51 9 4 电源模块的安装 52 9 5 设备的卷标记录 52 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 一 一 项目概述项目概述 1 1景德镇高等专科学校景德镇高等专科学校WLAN 无线覆盖项目需求无线覆盖项目需求 校园内整体实现学校宿舍区的无线覆盖 要求 WLAN 网满足如下需求 实用性 实用性 遵循面向应用 注重实效 急用先上 逐步完善的原则 充分保护已有投资 不设计成华 而不实的无线网络 也不设计成利用率低下的网络 我们以实用性的原则要求为依据 建设具有最 低的 TCO 拥有的总成本最低 有最高的性价比的校园无线局域网络 先进性 先进性 采用先进成熟的网络概念 技术 方法与设备 反映当今先进水平 又给未来的发展留有 余地 充分采用目前国际 国内流行和成熟的技术 保证网络能适应技术的快速发展 可靠性 可靠性 系统必须可靠运行 主要的 关键的设备应有冗余 一旦系统某些部分出现故障 应能很 快恢复工作 并且不能造成任何损失 开放性 开放性 选择的产品应具有好的互操作性和可移植性 并符合相关的国际标准和工业标准 无论发 生任何变化 均能够最大可能性的开放标准 可扩充性 可扩充性 系统是一个逐步发展的应用环境 在系统结构 产品系统 系统容量与处理能力等方面 必须具有升级换代的可能 这种扩充不仅能充分保护原有资源 而且具有较高的性能价格比 可维护性 可维护性 系统具有良好的网络管理 网络监控 故障分析和处理能力 使系统具有极高的可维护 性 安全性 安全性 必须具有高度的保密机制 灵活方便的权限设定和控制机制 以使系统具有多种手段来防 备各种形式的非法侵入和机密信息的泄露 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 二 系统规划二 系统规划 2 1 无线系统需求分析无线系统需求分析 计算机网络的迅速发展和普及 改变了整个信息管理的面貌 使信息管理从以单个计算机为中 心发展到以网络为中心 并为计算机技术在工业 商业 教学 科研 管理等领域中的应用提供了 一个全新的网络通信环境 也从根本上加强并促进了群体工作成员之间的信息交流 资源共享 科 学计算 技术合作及有效管理等 进而推动了生产 管理 科研及教学事业的发展 企业的生产 经营环境的改善 必须以现代化的集成生产管理系统和高度自动化的信息技术为依托 将企业的各 个生产部门构成一个有机的整体 而不是自动化程度很高的 孤岛 的简单迭加 目前 信息化程度已成为衡量一个国家 一个地区 一个单位综合实力的重要标志 党中央和 国务院对我国信息化工作非常重视 并指出了 统筹规划 联合建设 统一标准 专项结合 的十六 字指导方针 随着信息化建设的不断深入发展 原有人工管理方式已不能适应现代管理需要 在以往的工作模式下 信息主要有业务员来传递 这种手工劳动不仅延缓了信息传递时间 而 且 由于工作习惯的不同 檔具有不同的格式 经过多次周转 往往会造成信息失真 大大地影响 了工作质量 随着企业规模的不断发展和业务量的不断增加 原有的工作方式已不能满足现代系统 的需要 特别是对突发事件的处理能力 主要需求分为如下几个方面 1 校内热点区域进行无线覆盖 2 无线网络与校园网进行结合 3 满足网上的集成系统和业务系统的需求 2 2 设备选型原则设备选型原则 南京智达康无线产品可分为如下几种 可同时开启 5 8G 信道和 2 4G 信道的 IEEE802 11 a b g 双 RF 发射单元的 AP 有室内型 室外型两种可选 工作在 2 4G 频点 可升级至双 2 4G 频点的 IEEE802 11 b g AP 同样有室内型 室外型两种可选 南京智达康无线通信有限公司研发 生产的所有设备专为运营商设计 产品所采取的主板 核 心部件以及上层软件提供的高可靠性 稳定性以及多功能性 远非普通企业级 家庭级 WLAN 设 备可比 IEEE802 11 a b g 双 RF 发射单元 AP 进行组网 最大能同时提供 8 个互不干扰的频点 180Mbps 净速率 432Mbps 空中速率的带宽接入能力 该产品可用于看台以及新闻中心等区域覆盖 IEEE802 11 b g AP 可作为室内普通用户的接入 如用户数不多的功能用房 由于该产品可通 过简单升级 成为双 2 4G 频点 AP 满足日后系统扩容需要 可选择的 ZA 5000 WS 无线接入控制器及 BWA Manager 网管系统提供 WLAN 系统的后台管理 控制部分 同时 南京智达康 WLAN 系统也可被运营商统一网管平台或第三方网管平台很好的相 容 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 2 3 无线覆盖方式无线覆盖方式 2 3 1 室内覆盖室内覆盖 室内覆盖规划原则 AP 的放置要遵循两个原则 AP 覆盖区域无间隙 AP 重迭区域最小 相邻 AP 工作在不同频道 以 1 6 11 三个频道实现全方位的覆盖 根据经验值 当相邻 AP 设定相同频点时 要求间隔 25 米以上 当相邻 AP 设定相邻频点 时 要求 AP 间隔 16 米以上 当 AP 设定相隔频点时 要求间隔 12 米以上 2 3 1 室外覆盖室外覆盖 1 当 AP 天线安装在墙壁上时 天线挂高低于周围建筑物高度 为了既能充分覆盖低层室 内部分 又能兼顾楼层较高部分的室内覆盖 根据楼层高度不同 可以选择垂直波束宽度范围 35 80 的定向天线 水平波束宽度的考虑与天线的安装位置及其覆盖目标有关 可以选择水平波 束宽度 60 150 的定向天线 或者全向天线 双向天线 即 8 字形天线 需要选择天线垂直和水 平的角度要相对较大扇区天线 天线的增益也需要选择增益较大天线 保证更大的覆盖范围 并且 天线的安装位置需要根据现场环境进行细微调节 达到最好的覆盖效果 可以选择安装在覆盖楼本 身中间侧面墙或相关周围有利于无线传输的其它建筑 例如 静园 林园等 2 当 AP 天线置于楼顶或灯杆高处时 也可选择水平波束宽度较大的定向天线或者全向天 线 选择定向天线 主要是通过对楼反射信号覆盖本身楼房 而选择全向天线时 信号覆盖将比较 均匀 具体方案应从现场覆盖需求 楼身宽度和楼群分布情况角度出发来确定 当楼房建筑较窄 楼层较多时 一般将选择定向天线 2 4 设计原则和规划方法设计原则和规划方法 2 4 12 4 1 无线网络设计原则无线网络设计原则 设计原则 设计原则 无线覆盖设计将遵循按照信号范围最大化原则 在全校全面覆盖的前提下 重点 选择部分区域进行更加细腻的覆盖 并且 保证无线网络稳定性并与绝大多数主流无线网卡兼容 同时兼顾考虑网络扩容 为今后网络扩容做好预留 设计指标 设计指标 各信号输出点信号强度 10 15dbm 将按照 2 4G 工作频段 2 412 2 462GHz FCC 分为 channel1 channel6 channel11 三个完全不干扰频段设计 目标覆盖 区域信号强度 80dbm 1 一般来讲室内容许最大覆盖距离为 35 100 米 室外容许最大距离 100 400 米 2 障碍物阻挡 要观测无线覆盖周围的障碍物确定 AP 的数量和放置位置 2 4G 电磁波对于各种建筑材质的穿透损耗的经验值如下 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 A 水泥墙 15 25cm 衰减 10 12dB B 木板墙 5 10cm 衰减 5 6dB C 玻璃窗 3 5cm 衰减 5 7dB 各种建筑材料对无线讯号的影响如下 当 AP 与终端隔一座水泥墙时 AP 的可传送覆盖距离约剩下 5 米有效距离 当 AP 与终端中间隔一座木板墙时 AP 的传送距离约剩下 15 米有效距离 当 AP 与终端中间隔一座玻璃墙时 AP 的传送距离约剩下 80dBm 无线信号 扩频 信噪比 S N 20Db 发射功率 最大发射功率为 100MW 无线网络接受灵敏度 78dBm 54Mbps 79dBm 48Mbps 83dBm 36Mbps 87dBm 24Mbps 90dBm 18Mbps 92dBm 12Mps 94dBm 9Mps 95dBm 6Mbps 93dBm 11Mbps 96dBm 5 5Mbps 97dBm 2Mbps 100dBm 1Mbps 发射频普 工作频段 2 4G 2 4835GHz 通道间隔 5 0MHz 通道带宽 22 0MHz 接收门限电平值 最小接收机门限电平为 80dbm 最大接收机门限电平为 8dbm 杂散发射 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 AP 杂散发射功率电平值为 40dbm 发射功率稳定度 23PPM 以下 Power on 与 power down 坡度 上升和下降时间都是 1 5us 支持无线网络的内 外网物理隔离选项 保证大流量压力测试下 100 小时无异 无线覆盖网络采用 802 11a g b 技术标准 具有良好的兼容性 能兼容市场上主流的 802 11a 802 11g 802 11b 设备 支持动态 IP 地址分配功能 具有 DHCPClient 静态 IP 地址 DHCPRelay 功能 支持生成树协议 具有自动 RF 管理和功率控制技术 故障自恢复功能 3 3 主要工作过程及原理主要工作过程及原理 扫频 扫频 STA 在加入服务区之前要查找哪个频道有数据信号 分主动和被动两种方式 主动扫频 是指 STA 启动或关联成功后扫描所有频道 一次扫描中 STA 采用一组频道做为扫描范围 如果 发现某个频道空闲 就广播带有 ESSID 的探测信号 AP 根据该信号做响应 被动扫频是指 AP 每 100 毫秒向外传送灯塔信号 包括用于 STA 同步的时间戳 支持速率以及其它信息 STA 接收到 灯塔信号后启动关联过程 关联 关联 Associate 用于建立无线访问点和无线工作站之间的映射关系 实际上是把无线变成 有线网的联机 分布式系统将该映像关系分发给扩展服务区中的所有 AP 一个无线工作站同时只 能与一个 AP 关联 在关联过程中 无线工作站与 AP 之间要根据信号的强弱协商速率 速率变化 包括 11Mbps 5 5Mbps 2Mbps 和 1Mbps 重关联 重关联 Reassociate 当无线工作站从一个扩展服务区中的一个基本服务区移动到另外一个 基本服务区时 与新的 AP 关联的整个过程 重关联总是由移动无线工作站发起 漫游 漫游 指无线工作站在一组无线访问点之间移动 并提供对于用户透明的无缝连接 包括基本 漫游和扩展漫游 基本漫游是指无线 STA 的移动仅局限在一个扩展服务区内部 扩展漫游指无线 SAT 从一个扩展服务区中的一个 BSS 移动到另一个扩展服务区的一个 BSS 802 11b 并不保证这种 漫游的上层连接 常见做法是采用 Mobile IP 或动态 DHCP 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 四四 主要设备选择及性能指针主要设备选择及性能指针 4 1 室内无线设备室内无线设备 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 4 2 室内吸顶天线室内吸顶天线 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 五五 系统架构系统架构 5 1 无线接入部分简述无线接入部分简述 无线网络的建设是在南昌市外语外贸职业学院有线校园网络之上 进行无线网络扩充 网络通 过联通公司提供的网络出口接入 Internet 无线网络的主要覆盖学生宿舍区域 进行全方位立体式 无线覆盖 让学生们可以随时随地 无拘束的连接到网络 该校具有完善的有线网络结构 新的无 线网络建设要求在网络互联 安全防御等方面与有线网络进行良好的兼容和互补 并在无线网络认 证计费方面无缝融合 在整体无线网络的规划中 始终以高效 稳定 安全为总体设计目标 同时 保证易于使用 用户接口统一 标准 表现力强 易于安装和维护 网络运行质量高 开放性好 便于移植 扩展和推广 具备较好的性能价格比 并在几年内保持解决方案与技术上的领先 为用 户提供一个灵活的移动教学和办公的 平台 对用户和无线网络进行有效的管理 构建了一个稳定 的 可拓展的无线校园网环境 5 2 无线安全控制机制选择无线安全控制机制选择 在有线以太网技术的发展历程中 越来越多的面向访问端和服务端的安全技术被开发出来并得 到了成熟运用 而对于无线网络而言 由于其利用空中载波通道作为传输载体 其物理层与数据链 路层工作原理与有线网络有所不同 其所遵循的安全策略也与有线网络截然不同 在校园级无线网 络的规划中 由于信号的覆盖将会带来众多的未知访问者试图进行的访问连接 无线网络如何从中 识别出合法的用户 避免非法用户利用无线网络的安全隐患入侵整个网络 往往成为了无线网络规 划者需要解决的难点 在目前面向行业级的 WLAN 产品的安全技术中 越来越强调单机安全策略的强化 以及与有 线网络安全互补的核心思想 其中 SSID 禁止广播 WEP 机密 WPA 认证 802 1X 认证 EAP TLS 扩展认证 VLAN 划分等一系列技术的运用 将有效的提高无线网络的安全防御能力 本此规 划中 将按照层次化的设计理念 完成南昌市外语外贸职业学院的无线网络安全需求 我门公司的 室内型和室外型网络设备均支持 SSID 禁止广播 WEP 机密 WPA 认证 802 1X 认证 EAP TLS 扩展认证 VLAN 划分技术 可提供完备的安全防御能力 SSID 无线标识符 是用于无线终端与接入点匹配以获得通信的明文密码 对于初级安全防范 有一定作用 且配置快速简单 非常适合室外无线覆盖使用 尤其是启用了目前先进的 SSID 广播 禁止功能之后 由于空中不再广播明文的 SSID 号码 使得那些拥有截获 SSID 密码的无线终端非 法访问网络 另外 WEP 有线等效密钥 和 WPA WPA2 接入保护 技术的出现 可以通过大量的密文 加密位和动态的密钥协议 TKIP AES 为非法访问者制造难以攻破的障碍 从而避免网络安全事 件的发生 在校园无线网络规划中 由于目前校园有线网络已具备一定规模 因此 在无线网络融 合进有线网络进行数据交换之前 通过 WEP 和 WPA 加密技术可以增加一层保护手段 可以极大 的提升安全防御的能力 另外 对于室内 室外型 AP 产品 由于其分别开放于室内高密度访问和室外环境 面对的是所 有用户群体 对不同的用户群体的权限和身份识别则成为必须的功能 因此 AP 产品应选择具备 多 BSS 的划分和 802 1Q VLAN 功能的无线产品 协助接入层无线用户与接入层交换机用户同样接 受全网统一管理和 VLAN 的划分 这样可以彻底解决无线用户无法管 不方便管的疑难问题 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 5 3 无线系统的负载均衡无线系统的负载均衡 无线网络中的各个 AP 具有负载均衡功能 可根据系统的用户数或是流量这两种方式均衡各个 AP 上的负载 避免某个 AP 上的负载过大 而使某个区域的无线网络性能下降 造成链路不稳定 通过负载均衡调节后的无线网络 具有更好的网络性能 能够为更多的无线终端提供良好的无线性 能 保障无线网络的性能 5 4 无线网络系统拓扑图无线网络系统拓扑图 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 5 5 VLAN 支持能力和实现方案支持能力和实现方案 5 6 VPN 支持能力和实现方案支持能力和实现方案 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 六 景德镇高等专科学校黄金校区无线覆盖方案说明六 景德镇高等专科学校黄金校区无线覆盖方案说明 校园网络是一个高兼容 可管理的网络 前期网络的泡沫不在于我们的网络规模是否超前 我 们的带宽是否太大 而是我们如何管理和运营我们的网络 从中真正得到应有的效益 同时让不同 需求的用户得到不同的服务 还有就是充分挖掘现有网络的潜力 在目前的网络中提供更多的服务 有必要强调 宽带网络应该是一个高兼容 可管理的网络 而不再是简单的免费开放的计算机网络 平台 所以我们必须重新审视宽带网络建设中的认证 计费 业务开展等 6 1 支持多种宽带接入认证技术支持多种宽带接入认证技术 目前宽带接入的方式主要有 xDSL LMDS HomePNA LAN HFC WLAN 等 根据不同电 信运营商的基础网络结构 目前重点应用的有 LAN ADSL WLAN 以太网接入是指接入网用户侧采用以太网协议的接入技术 其简单高效 能兼容所有带标准以 太网接口的终端 用户不需要另配新的适配卡或协议软件 因而是一种十分廉价的宽带接入技术 因传统以太网主要针对小型的专用网络环境而设计 强调资源共享 所以在用户信息的隔离 用户 传输质量的保证 业务管理和网络可靠性方面考虑不太全面 这对以太网用于公用网网络很不利 目前一些设备制造商和运营商已注意到这些问题 提出了一些有效的解决方案 如通过 VLAN 进 行用户隔离 用 IGMP Snooping 互联网组管理协议窃听 技术以及优先级控制 Tagged VLAN 带标 记的虚拟局域网 等功能支持有实时与组播要求的视频点播业务等 在用户管理方面常用三种以太网接入认证技术 WEB Portal 认证方式 基于 BNAS 宽带接入 服务器 和 PPPoE 基于以太网的点到点协议 认证方法 基于以太网端口的用户访问控制技术 IEEE 802 1x 协议 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 6 1 1 WEB Portal 认证认证 WEB Portal 认证方式是一种没有标准化的认证方式 各设备厂商具体实现并不完全一致 WEB Portal 认证方式的认证过程可以归纳为 用户开机并通过 DHCP 服务器分配认证 IP 地址 局 端设备通过对该 IP 地址进行强制 URL 访问到登陆页面 用户输入用户账号信息并发往认证服务器 认证服务器获得用户 MAC IP VLAN ID 作为用户标识 认证服务器回馈认证成功信息 局端设备 将用户 VLAN ID 用户端口 用户 IP 地址和 MAC 地址进行可选择性的绑定并开放用户的上网功 能 这种方式认证和业务流也实现了分离 并可以方便地利用 WEB 服务器推出 Portal 和广告等增 值业务 对用户进行业务宣传及业务引导 WEB Portal 认证过程可以简单描述如下 1 用户通过 Web Portal server 内置 DHCP 获得 IP 地址 2 用户通过 Explore 访问 WEB Portal Server 输入用户名和密码 3 WEB Portal Server 获得用户 MAC IP VID 作为用户标识 4 通过 Server 给某个 MAC IP VID 以上网权限 并检验每个数据流是否满足权限要求 5 用户下线 需要在 WEB PORTAL 的 Explore 接口上注销 通知系统停止计费 6 系统定期检测用户在线情况 发现用户下线 停止计费 6 1 2 IEEE 802 1x 认证认证 采用宽带接入服务器 BNAS 和 PPPoE 技术的用户管理方式目前存在如下问题 由于宽带接入服务器要终结大量的 PPP 会话 并转发 IP 数据包 使宽带接入服务器成为网络 性能的 瓶颈 这可以通过合理的组网方式部分解决问题 宽带接入服务器通常放置在端局的位置 其下是巨大的广播域 从用户安全角度考虑 需要通 过 VLAN 虚拟局域网 技术来实现用户的隔离 但是目前的设备只能支持最大 4096 个虚拟局域网 由于 PPPoE 的点到点特性 使宽带网络组播业务的开展受到极大的限制 采用基于以太网端口的用户访问控制技术 可以克服 PPPoE 方式带来的诸多问题 并避免引 入宽带接入服务器所带来的巨大投资 在传统以太网设备基础上 基于端口的网络访问控制技术采用 IEEE 802 1x 协议 提供了对基 于以太网的点到点连接的端口用户进行认证和授权的能力 从而使以太网设备达到电信运营要求 基于埠的访问控制技术 IEEE 802 1x 协议 是为运营商提供的一种较为经济实用的认证方式 可 实现用户设备在宽带网络边缘的分散用户集中认证管理 替代宽带接入服务器实现宽带网络范围内 的用户管理功能 通过这种基于 L2 二层 以太网交换机的用户管理方法 可以使宽带网络整体的组网变得非常简 单 通过 L2 以太网交换机和路由器两种设备即基本实现 可同时实现业务的集中控制 以 RADIUS 为核心的业务中心控制 和分散实现 靠近用户的以太网交换机实现 满足可运营 可管理宽带网络 的用户管理认证要求 802 1x 协议是基于 Client Server 的访问控制和认证协议 它可以限制未经授权的用户 设备通过 接入埠访问 LAN MAN 在获得交换机或 LAN 提供的各种业务之前 802 1x 对连接到交换机端口 上的用户 设备进行认证 在认证通过之前 802 1x 只允许 EAPoL 基于局域网的扩展认证协议 数据 通过设备连接的交换机埠 认证通过以后 正常的数据可以顺利地通过以太网端口 基于端口的网络访问技术的基本思想是网络系统可以控制面向最终用户的以太网端口 使得只 有网络系统允许并授权的用户可以访问网络系统的各种业务 如以太网连接 网络层路由 Internet 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 接入等业务 网络访问技术的核心部分是 PAE 端口访问实体 在访问控制流程中 端口访问实体包含 3 部 分 认证者 对接入的用户 设备进行认证的埠 请求者 被认证的用户 设备 认证服务器 根据认证者的信息 对请求访问网络资源的用户 设备进行实际认证功能的设备 以太网的每个物理埠被分为受控和不受控的两个逻辑端口 物理端口收到的每个帧都被送到受 控和不受控埠 对受控埠的访问 受限于受控埠的授权状态 认证者的 PAE 根据认证服务器认证 过程的结果 控制 受控埠 的授权 未授权状态 处在未授权状态的控制端口 拒绝用户 设备的访 问 用户以太网端口认证流程 用户 以太网端口和认证服务器之间认证者 以太网端口 的受控埠处于未授权状态 用户 设备 是无法享用认证者 以太网端口 提供的网络接入业务的 认证者 PAE 利用非受控的端口 通过 EAPOL 协议与请求者 PAE 进行认证信息交互 并采用 EAP 协议与认证服务器进行通信 认证者 PAE 根据认证服务器返回的认证结果 开放或关闭受控埠的授权 从而控制最终用户对网络的访问 认证者 PAE 的作用相当于认证服务器的代理 它可以与认证服务器位元于同一物理设备 也 可以通过 LAN WAN 与认证服务器进行本地和远程认证 端口访问控制的应用前提是在用户 请求者 和认证者 以太网端口 之间提供一条点到点的连接 这样使认证以埠的形式进行 基于端口的网络访问控制定义了 3 方面内容 规定了请求者与认证者之间的认证信息通信协议 认证者与认证服务器之间的通信协议 根据协议交换的结果 控制认证者埠状态的机制 由于以太网设备 认证者 只是 RADIUS 的认证代理 负责传递认证信息 并根据认证服务器给 出的结果进行操作 并不参与其实际的认证 基于以太网端口认证的 802 1x 协议有如下特点 借用了在 RAS 系统中常用的 EAP 扩展认证协议 可以使用现有的后台认证系统降低部署的成本 并有丰富的业务支持 可以映像不同的用户认证等级到不同的 VLAN 可以使交换埠和无线 LAN 具有安全的认证接入功能 6 1 3 不同认证方式的比较不同认证方式的比较 通过上面的论述 三种认证技术各有优缺点 需要在实际应用中根据每种技术的技术特点和实 际情况 综合考虑才会使宽带网络发挥应有的效益 WEB Portal 方式则可能实现较多的增值业务 但需要 VLAN 支持 对 VLAN 资源消耗较大 另外在多年的实际应用中也发现问题 尤其是用户使用中发现很不方便 WEB 方式由于无标准 产品实现技术不统一 WEB Portal 方式浪费了网络 IP 地址资源 增加了网络投资 目前不能满足 大规模的宽带网络 PPPoE 认证方式属于较成熟的应用 产品支持最多 PPPoE 方式成熟可靠 需要增加投资的宽 带接入服务器 BNAS 等设备目前成本也大幅下降 通过合理的组网方式和设备性能的提升 可以解 决所谓的网络瓶颈问题 802 1X 为相对新的认证方式 802 1X 对组播支持能力较强 但用户控制能力方面较弱 但其 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 一次性投资低 支持组播等特性使其具有强大的生命力 随着标准的统一和完善 必然是未来宽带 网络首选的认证管理方式 6 2 认证管理系统认证管理系统 校园网有着鲜明的特殊性 教育网和 Internet 混合接入 免费网络资源和运营网络资源共存 新技术和旧网络混合使用 用户量大 突发流量大 消耗带宽的新技术 如 BT 等 P2P 软件 的使 用和快速传播 用户群体活跃 好奇 敢于尝试 攻击性强 以太网技术在校园网接入被普遍采用 相对来讲 以太网技术不是一个具有严格管理能力的组网技术 计算机蠕虫 病毒泛滥 盗版资源 泛滥 网络不良行为突发性高 这决定了校园网的安全 管理 运行性相对较差 当这些因素碰到 一起的时候 校园网遇到比较突出的如下几个问题 网络 Interet 出口拥塞 用户不能正常访问 Internet 需要对出口带宽进行有效管理 校园网 internet 出口带宽有限 用户无限制的使用出口带宽或者使用 P2P 工具进行下载 造成出口拥塞 同时 校园网的用户具有用网时间集中 并发在线人数众多 流量巨大且分布时段不均等特点 加 剧了网络拥塞程度 用户普遍使用代理 造成管理困难和费用流失 多个学生共享代理上网 给校园网络的管理带来 麻烦 也使学校的出口拥塞 费用流失 网络的安全时刻受到威胁 网络需要安全控制 以太网技术在校园网络接入层被普遍采用 以太 网技术最初是为企业内部组网使用的技术 管理能力较弱 学校用户对各种网络技术的掌握程度较 高 学生活跃 好奇 敢于尝试 攻击性强 计算机蠕虫 病毒泛滥 盗版资源泛滥 网络不良行 为突发性高 用户网络行为不规范 无法控制 无法进行有效的记录 盗用 IP 地址 修改 MAC 地址 用户 名和密码的丢失 合法网络用户无法登陆网络 访问非法网站 发表不良言论 计费数据采集难 运营管理得不到很好支持 需要对运营服务提供方便的后台支持 最初的校园 网 只是个提供上网的工具 用户的行为无法进行控制 运营和管理 为满足非教学区域 学生和 老师家属 用户的 Internet 接入服务需求 校园网还承担一个运营网络的角色 如何提供好的服务 又方便运营人员对服务的支撑 需要为校园网提供简单 实用 易操作 易维护 计费数据清晰准 确的认证计费管理系统平台 CERNET 和 Internet 同时接入 需要提供区别服务 CERNET 主要是大学 科研机构组成 为学 生提供学习交流的平台 资费便宜 Internet 是公众服务网络 收费相对比较贵 两种网络的同时 接入 需要区别不同的网络资源 访问不同的网络 收取不同的资费 老师和学生要区别收费 需要提供灵活的计费方式支持 教师 学生 研究生 博士生及家属等 如采用单一的包月计费方式 会使很多类型的用户产生不满 需要运营管理系统能提供灵活多样的 计费方式 为不同的用户采用差异化的计费策略 提高网络的使用效率和可管理性 以前采用的认证计费管理系统问题多多或对选型一筹莫展 以前一些厂家的计费系统效率低 功 能差 随着网络的发展成为了网络瓶颈 网络建设初期采用了不同厂家的接入服务器或 802 1X 交 换机 导致相互间不能共享一套计费后台 也可能随着网络的发展 以前的系统功能已无法满足现 在的需要 也可能您目前正徘徊在各个厂家的产品选型和对比当中 系统组成 智达康认证计费管理系统的功能模块组成如下图所示 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 支持标准的 RADIUS 协议 可以全面兼容不同厂家的 BRAS 产品并已经成功和国内外主流以 太网交换机实现 802 1X 对接 支持各种用户计费安全措施 能够实现账户 MAC IP VLAN 接入服务器和服务器埠的绑 定或者上述多种要素的绑定 丰富的计费策略 实现了时长 流量 包时长 包流量 普通包天 动态包天 分层 包月和 包年预付费和后付费等数十种计费策略 以实现国内外分开计费 校内外分开计费 方便运营商开 展增值业务 强大跨平台能力 系统可运行在 Linux Solaris 操作系统之上 多样化的数据库支持功能 系统支持 Oracle MS SQL Postgre 等多种流行的数据库系统 强大的用户管理功能 能够提供用户开户 用户注销 变更受理 用户查询 用户在线 专线 用户管理 停机用户管理 公免账号管理和广播信息等功能 丰富的费用管理功能 提供账单确认 费用预缴 用户充值 用户销帐 批量销帐 银行托收 等功能 齐全的报表管理功能 提供用户清单查询 账单查询 充值报表 预缴报表 收费报表 欠费 报表功能等各种查询 统计功能 多样化的卡类管理功能 提供上网卡 充值卡 卡查询等各类卡业务 强大的系统设置功能 提供营业区设置 费率设置 策略管理 时段管理 Radius 监控 银行 托收等功能 可靠的安全设计 支持系统角色分配 操作员管理 备份管理 日志记录等功能 智达康认证计费管理系统分为四大部分 Radius Server 计费管理发布监控系统 用户自服务系统 用户自注册系统 接口系统 6 2 1 Radius Server 智达康的 Radius Server 实现了标准的 Radius 协议 同时支持 802 1X 的 EAP 扩展认证 能够 支持各种标准 Radius 认证设备 也可以配合主流交换机厂商 802 1x 交换机及 AP 认证设备使用 目前已经支持的交换机厂商有 Cisco Linksys Dlink Netgear HP Extreme Alcater 华为 港 湾 神州数码 锐捷和清华比威等 Radius Server 是智达康认证计费管理系统的重要组成部分 实现了标准协议中的认证 Authentication 授权 Authority 和计费 Accounting 并且针对宽带运营网络的应用需求 定制了适合宽带运营网络运营所需要的功能 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 6 2 2 管理维护系统管理维护系统 该系统采用 B S 结构 以数据库为中心 结合宽带运营网络的使用习惯和需求 构造了一个方 便 实用的管理平台 从功能上划分 该系统可以分为 用户管理 卡管理 策略 模板 数据 营帐 系统 网络 运维几个模块 6 2 3 用户自服务 自注册系统用户自服务 自注册系统 用户可随时访问自助服务系统 管理和维护自己的数据和信息 主要完成密码管理 账单查询 费用充值 清单查询等用户自助功能 可以允许使用公免账号访问自助服务 对于公免账号 只允许充值操作 提供用户停机申请 恢复申请 这样方便用户自己操作 卡用户不提供此部分 用户可以通过一个指定的地址访问自注册系统 如 http 192 168 1 6 register 进入该页面 用 户可以在此处输入用户的基本数据和用户名密码等 提交后 保存在临时列表中 等待被管理员启 动 非常方便系统初建 6 2 4 接口系统接口系统 接口系统为智达康认证计费管理系统与其它软件 设备的对接系统 通过独立接口的方式 实 现多系统的组合集成 方便对整个宽带运营系统的集中管理 目前的接口主要包括 一卡通 IDS 入侵检测 行为跟踪短信设备和银行等 一卡通系统的使用在校园中比较普遍 CBMS 提供了自有的接口格式 可以与一卡通系统进行 对接 针对不同的一卡通系统 CBMS 也可以根据需要进行接口的二次开发 并且已经有实际的使 用案例可以提供借鉴经验 与 IDS 入侵检测系统的接口主要是接收 IDS 系统发送过来的信息 根据信息的提示进行如下操 作 修改用户的状态为 IDS 停用 如果用户在线 发送强制下线到接入设备 强制用户下线 短信接口实现与短信 Modom 的通信 可以采用短信报警 在系统出现故障时 采用移动短信 方式给管理员报警 对没有全天值守的机房 提供可靠的维护手段 与银行的接口主要实现电子支付 银行代扣等功能 6 4 满足校园特点的无线网络安全性和可靠性满足校园特点的无线网络安全性和可靠性 南昌市外语外贸职业学院校园无线网络的解决方案支持高校多级别 多种类 多级的认证方式 和加密技术 具体如下 支持精确的无线入侵 射频干扰 AP 定位和隔离 保证高校无线网络免受无线类的安 全攻击 保证校园复杂接入环境的安全无线接入 为高校提供可靠的无线接入网络 独特的访客隔离机制 将访客和校园网络完全逻辑隔离 在允许访客跨校园漫游访问互 联网的同时保证高校网络的相对安全 同时支持端到端的网络可靠性保证技术 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 6 4 1 访问控制访问控制 访问控制的目标是防止任何资源 如计算资源 通信资源或信息资源 进行非授权的访问 所 谓非授权访问包括未经授权的使用 泄露 修改 销毁以及发布指令等 用户通过认证 只是完成 了接入无线局域网的第一步 还要获得授权 才能开始访问权限范围内的网络资源 授权主要是通 过访问控制机制来实现 访问控制也是一种安全机制 它通过访问 BSSID MAC 地址过滤 控制 列表 ACL 等技术实现对用户访问网络资源的限制 访问控制可以基于下列属性进行 源 MAC 位元 址 目的 MAC 位元址 源 IP 位元址 目的 IP 位元址 源端口 目的端口 协议类型 用户 ID 用户时长等 6 4 26 4 2 数据加密数据加密 加密就是保护信息不泄露或不暴露给那些未授权掌握这一信息的实体 加密又可细分为两种 类型 资料保密业务和业务流保密业务 数据保密业务使得攻击者想要从某个数据项中推出敏感信 息是困难的 而业务量保密业务使得攻击者想要通过观察网络的业务流来获得敏感信息也是十分困 难的 根据密码算法所使用的加密密钥和解密是否相同 由加密过程能否推导出解密过程 或是由 解密过程推导出加密过程 可将密码体制分为单钥密码体制 也叫做对称密码体制 秘密密钥密 码体制 和双钥密码体制 也叫做非对称密码体制 公开密钥密码体制 6 4 3 单钥密码体制单钥密码体制 分组密码是一种常见的单钥体制 其中有两种著名的分组密码 数据加密标准 DES Data Encryption Standard DES 的出现引起了学术界和企业界的广泛重视 许多厂家很快生产出实现 DES 算法的产品 但其最大的缺点在于 DES 的密钥太短 不能抵抗无穷搜索密钥攻击 高级加密 标准 AES Advanced Encryption Standard 为了克服 DES 的缺点 美国国家标准和技术研究所 NIST 开始寻求高强度 高效率的替代算法 并于 1997 年推出 AES 标准 6 4 4 双钥密码体制双钥密码体制 自从双钥密码体制的概念被提出以后 相继提出了许多双钥密码方案 在不断的研究和实践 中 有的被攻破了 有的不太实用 目前只有三种类型的双钥系统是有效和安全的 即 基于大整 数分解困难性问题的 RSA 公钥密码 基于有限域的乘法群上的离散对数问题的 DSA 或 E1 Gamal 加 密体制 基于椭圆曲线离散对数的椭圆曲线密码体制 CCC 6 4 5 数据完整性数据完整性 所谓数据完整性 是使接收方能够确切地判断所接收到的消息有没有在传输过程中遭到插入 篡改 重排序等形式的破坏 完善的数据完整性业务不仅能发现完整性是否遭到破坏 还能采取某 种措施从完整性中恢复出来 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 6 4 6 不可否认性不可否认性 不可否认性是防止发送方或接收方抵赖所传输的消息的一种安全服务 也就是说 当接收方接 收到一条消息后 能够提供足够的证据向第三方证明这条消息的确来自某个发送方 而使得发送方 抵赖发送过这条消息的图谋失败 同理 当发送一条消息时 发送方也有足够的证据证明某个接收 方的确已经收到这条消息 6 4 7 无线局域网安全标准无线局域网安全标准 IEEE802 11IEEE802 11 安全标准 安全标准 WEPWEP IEEE 802 11 标准通过有线对等保密协议 WEP Wired Equivalent Privacy 来实现认证与数据加 密 认证模式有 Open Authentication 和 Shared Key Authentication 两种 WEP 使用 RSA Data Security 公司的 Ron Rivest 发明的 RC4 流密码进行加密 属于一种对称的流密码 支持可变长度的密钥 后 来的研究表明 RC4 密钥算法有内在设计缺陷 由于 WEP 中实施的 RC4 选择了 24 位初始化向量 IV Initial Vector 而且不能动态专用加密密钥 因此这些缺陷在使用 WEP 的 802 11 加密帧中都 有实际应用 最典型的 FMS 攻击已经能够捕获 100 万个包从而获得静态 WEP 密钥 因此 802 11 中 的 WEP 安全技术并不能够为无线用户提供足够的安全保护 IEEE802 11iIEEE802 11i 与与 WPAWPA 安全标准 安全标准 为了使 WLAN 技术从这种被动局面中解脱出来 IEEE 802 11i 工作组致力于制订新一代安全标 准 主要包括加密技术 TKIP Temporal Key Integrity Protocol 和 AES Advanced Encryption Standard 以及认证协议 IEEE802 1x 认证方面 IEEE 802 11i 采用 802 1x 接入控制 实现无线局 域网的认证与密钥管理 并通过 EAP Key 的四向握手过程与组密钥握手过程 创建 更新加密密 钥 实现 802 11i 中定义的鲁棒安全网络 Robust Security Network 简称 RSN 的要求 数据加密 方面 IEEE 802 1li 定义了 TKIP Temporal Key Integrity Protocol CCMP Counter Mode CBC MAC Protocol 和 WRAP Wireless Robust Authenticated Protocol 三种加密机制 一方面 TKIP 采 用了扩展的 48 位 IV 和 IV 顺序规则 密钥混合函数 Key Mixing Function 重放保护机制和 Michael 消息完整性代码 安全的 MIC 码 这 4 种有力的安全措施 解决了 WEP 中存在的安全漏洞 提高了安全性 就目前已知的攻击方法而言 TKIP 是安全的 另一方面 TKIP 不用修改 WEP 硬 件模块 只需修改驱动程序 升级起来也具有很大的便利性 因此 采用 TKIP 代替 WEP 是合理 的 但是 TKIP 是基于 RC4 的 RC4 已被发现存在问题 可能今后还会被发现其它的问题 另外 RC4 一类的序列算法 其加解密操作只是简单的异或运算 在无线环境下具有一定的局限性 因此 TKIP 只能作为一种短期的解决方案 此外 802 11 中配合 A