某校园无线网安全防范设计方案

1、某校园无线网安全防范设计方案1.1概述第一章 绪 论无线局域网（WLAN）技术于 20 世纪 90 年代逐步成熟并投入商用，既可以作传统有线网络的延伸，在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点：简易性：WLAN 网桥传输系统的安装快速简单，可极大的减少敷设管道及布线等繁琐工作；灵活性：无线技术使得WLAN 设备可以灵活的进行安装并调整位置，使无线网络达到有线网络不易覆盖的区域；综合成本较低：一方面WLAN 网络减少了布线的费用，另一方面在需要频繁移动和变化的动态环境中，无线局域网技术可以更好地保护已有投资。同时，由于WLAN 技术本身就是面向数据通信领域的 IP 传输技术

2、，因此可直接通过百兆自适应网口和企业、学校内部Intranet 相连，从体系结构上节省了协议转换器等相关设备；扩展能力强：WLAN 网桥系统支持多种拓扑结构及平滑扩容，可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统；随着 WLAN 技术的快速发展和不断成熟，目前在国内外具有较多的中大规模应用，诸如荷兰的阿姆斯特丹市的全城覆，向客户提供各种业务。1.2需求分析1.2.1、建设背景在信息迅猛发展的今天，国内所有高校均实现了有线校园的建设。但随着教学设施的完善，越来越多的便携式计算机终端被带进了教室，越来越多的学生也开始拥有了带有无线网卡的计算机终端。教师和学生对高校校园网的依赖性相当之高

3、，“随时随地获取信息”已成为广大师生们的新需求。但是，传统的有线校园网存在着诸多“网络盲点”，比如在图书馆、大型会议室、体育馆等许多不宜网络布线的场馆设施如何联网？在教室、实验室等场合如何突破网络节点限制、实现多人同时上网的问题？1.2.2 总体建设目标利用无线网络技术进一步扩展校园网的覆盖范围，使全校师生能够随时随地、方便高效地使用校园网络；促进教学和科研发展，进一步拓展研究空间；提升校园网络环境，提高管理水平和效率，推动学校信息化建设； 要覆盖部分原来没有有线网的空间，诸如：报告厅；由于本工程是在校园有线网的基础上加以无线扩充（即采用 AP 将无线网络不近接入到有线网络）。1.2.3 具体

4、实施目标侧重实际应用，覆盖校园内部分区域，为教学和学习生活提供切实可用的无线网络环境； 采取通行的网络协议标准：目前无线局域网普遍采用 802.11 系列标准，因此校园无线局域网将主要支持 802.11g（54M 带宽）标准以提供可供实际应用的相对稳定的网络通讯服务，同时兼顾多种类型应用和将来的投资保护，需要同时支持801.11a，802.11b，实现双频三模技术；全面的无线网络支撑系统（包括无线网管、无线安全，无线计费等），以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题；保证网络访问的安全性；采用非独立型的无线网络结构选型。覆盖范围要求：有线网络无法接入的室外场所：校园内一些

5、场所很难实现网络有线接入，采用无线方式可以实现覆盖大范围室外空间的无线网络接入。本次建设主要包括各宿舍及教学楼附近空地等。有线网络使用不便或受限的室内空间：校园内一些室内场所空间较大，会产生许多人同时接入网络的需求，采用有线的方式只能提供少量接口，不能满足要求。用无线网络覆盖来解决相当数量的移动设备同时访问网络的问题。主要包括图书馆、主楼、各教学楼等； 安全、认证、计费和管理要求：要与现有的计费系统对接，实现针对用户计费、管理、控制功能； 校园无线网网络结构要求：无线接入所需布设的AP 通过校园网的汇聚层设备接入到校园网中，在汇聚层都提供相应的接口给无线网线，在接入层设备要在方案中进行描述。工

6、程布线和安装要求：室内部分：定好较为开阔位置，将网线和电源线走暗线敷设到位；挂在墙上，可利用设备本身自带的安装附件进行安装；如果需要遮蔽，则需要定制非金属安装盒；如果是挂在天花板上，则根据天花板的情况而定，若天花板是非金属结构，可以固定在天花板内。安装过程中应充分考虑防盗问题。室外部分：根据设备位置有两种布线方式。如果AP 设备放置在楼顶，则需要走网线和电源线；如果AP 设备放置在室内，天线放置在室外，则需要走天线馈线。这两种方式馈线都需走铁管，贴防水胶方式处理，安装过程中应充分考虑防盗。供电部分：AP 的供电可采用POE 方式由接入的网络设备进行供电（无需本地供电）。产品能力要求：产品支持A

7、ES、WEP 加密等安全标准； 漫游切换；支撑QOS 能力。1.3无线校园网在教育中的发展与应用无线校园网的建立发展不断地改变我们学生和老师的日常学习生活，各个方面都有典型的应用比如：1.3.1 提供教学无线网络通过无线校园网络覆盖教学楼及些校内公共课教学环境，如计算机公共机房、电教楼公共教室等。为广大师生提供了一个更为有效的网络互动平台，加强了学习生活的交流，同时为学生在教室内的自习提供一个方便的查询资料的网络环境。1.3.2 提供图书馆无线网络通过无线校园网覆盖整个图书馆内所有的区域，教师和学生可以很方便地利用无线网络使用图书馆提供的各种数字化服务，能够了解查阅各类信息知识。1.3.3 提

8、供行政办公网络通过无线校园网覆盖学校的各系、院办公楼和行政办公区，通过对办公区域提供无线网络，提高了各职能部门的效率，满足了教职员工的在线查询能力，大大提高了各职能部门的服务质量。1.3.4 提供教工、学生宿舍网络在部分的教工宿舍和大部分的校内宿舍提供了无线局域网无限覆盖，满足了教工和学生临时上网的要求。1.3.5 无线应急系统在出现需要突发性大规模网络服务要求的场合，提供临时性的无线网络服务，满足用户对网络的需求。校园信息化建设一直是高质量、高效率教学办公的保障，随着802.11g 无线局域网技术和无线产品的成熟，无线网络的应用将会为网络化学习、教学开创新的应用模式； 利用无线网络实现校内信

9、息的发布、共享、传递，推进教学及管理信息化，拓展学生的知识面。而有线网络只能提供师生们固定的、有限的网络信息点，随着时代的进步，笔记本电脑的普及， 师生们希望不仅仅是在实验室才能将他们的计算机连上网络，而在校园的草坪上、宿舍区、学术报告厅里、图书馆的任何一个角落都能将他们的笔记本电脑随时随地、随心所欲的联入校园网或 Internet、不愿再受有线的束缚。WLAN 技术的出现，学校采用无线组建校园网， 学生们不仅可以在宿舍和实验室固定的地方上网 ，还可以在课堂上、图书馆、自习室也能很方便的接入，甚至根据自己的合理时间安排，在学校宽阔空旷的花园草坪上上网查阅学习资料。在考试前夕更可以减少实验室、图

10、书馆等可以有线园区上网的压力，改进学校的学习环境，提高了学生的学习效率与成绩。所以，对于学校来说，一方面教学的互动性增强了， 另一方面，教学的信息量大大增加了；在课堂上，学生不再仅仅是被动的听者，也是互动教育的参与者，学生可以用自己的资料来参与教学，同时这些数据可随时共享，在课堂上现场做演示，并允许老师和同学们共享文件。回到宿舍，学生也不再为找网络接口而发愁，躺在宿舍的床上既可用笔记本无线上网，享受最前沿科技带来的便捷和乐趣，周末期间可在多个宿舍之间自由共享文件进行学习探讨、学术交流、音乐视频点播等自由娱乐。第二章 无线网络设计方案2.1 硬件选择与配置2.1.1 概述WLAN（Wireles

11、s Local Area Network，无线局域网）是通信行业的一个时髦词语，而且可以肯定它是一种人人都想使用的技术。WLAN 变得如此流行的原因是易于安装和使用。通过 WLAN 系统，用户无须考虑复杂的线路连接和布置问题。可是WLAN 系统也不是完全的“无线”，因为只有客户端是可移动的，而服务器或者说接入设备是固定的。使用 WLAN 解决方案，网络服务商和企业能给他们的客户提供无线局域网服务，这些服务包括：使用带有 WLAN 功能的设备组建一个无线网络。这个网络可以成为接入固网或者Internet 的入口。配置了无线PCI 网卡的客户端可以与无线网络建立连接并访问固网或Internet。W

12、LAN 客户端与传统的 802.3 局域网的互连。通过不同的加密和认证方式实现安全的访问。WLAN 功能使用户能够安全的访问网络并且能在同一移动区域内进行快速漫游。2.1.2WLAN 的工作机制WLAN 由以下几个部分组成： Client（客户端）：带有无线网卡的便携机。 Access Poin（t AP，接入点）：执行桥接操作的设备，在客户端（Client）和局域网（LAN）之间对无线帧和有线帧进行相互转换。 Access Controller（AC，无线控制管理器）：对 WLAN 内所有AP 进行管理和控制的设备，通过与认证服务器的通信来进行信息过滤。 Wireless Medium（无线

13、媒介）：用于客户端间进行帧传输的媒介。在WLAN 系统里使用无线电频率做为媒介。WLAN 系统逻辑上是一个专一的针对无线局域网的解决方案。图 1-1 展示了典型的WLAN 系统。图 1-1典型的WLAN 系统在这个组网中有 1 个 AC 和 3 个 AP。AP 可以和 AC 直连，或者被 2 层或 3 层网络隔离开。在初始化阶段，AP 获取自身的网络配置，包括IP 地址和 DNS 服务器的 IP 地址。AP 使用一个发现机制来识别邻近的AC，它能请求DNS 服务器提供AC 的网络地址。(1) 客户端如果想和其它客户端进行通信必须与网络中的AP 建立起连接。(2) 然后AP 与 AC 进行通信，

14、认证客户端的身份。(3) 一旦客户端被认证通过，它就可以和网络里的其它客户端进行通信了。2.1.3WLAN 的基本配置项 国家码：国家码会决定系统的许多特性，例如运行所需的电源规格，以及帧传输可以使用的频段总数等。 WLAN-ESS 接口：无线控制器支持 WLAN-ESS 与 WLAN-DBSS 类型虚拟接口。WLAN 模块动态地为每一个无线接入服务创建一个 WLAN-DBSS 虚接口，此虚接口的VLAN 配置继承于 WLAN-ESS 接口。WLAN-ESS 接口是一种虚拟的二层接口，类似于Access 类型的二层以太网接口，具有二层属性，并可配置多种二层协议。它为 WLAN-DBSS 接口提

15、供配置模板。用户可以为 WLAN-ESS 接口配置参数，这些参数将应用到该接口下的WLAN-DBSS 接口上。 无线策略：将 AP 的无线参数抽象为一个无线策略模板，通过将无线策略模板下发到 AP 上的方式实现对AP 无线参数的配置。减少了为每一个AP 配置无线参数的工作。 服务模板：提供对客户端的接入和访问控制等功能。每个服务模板对应一个WLAN-ESS 接口，服务模板和WLAN-ESS 接口组成了WLAN 的逻辑管理接口ESS。 AP 模板：AP 模板为 AC 为了对 AP 进行管理和配置创建的与 AP 一一对应的模板。首先在 AP 上创建AP 模板，AP 模板的serial-id 是 A

16、P 的唯一标识，与 AP 一一对应。通过对AP 模板的配置完成对AP 的配置。2.2 无线网络设备选购2.2.1 无线网卡无线网卡是终端无线网络的设备，是无线局域网的无线覆盖下通过无线连接网络进行上 网使用的无线终端设备。具体来说无线网卡就是使你的电脑可以利用无线来上网的一个装置， 但是有了无线网卡也还需要一个可以连接的无线网络，如果你在家里或者所在地有无线路由 器或者无线AP（AccessPoint 无线接入点）的覆盖，就可以通过无线网卡以无线的方式连接无线网络可上网。2.2.1.1 无线网卡标准 IEEE 802.11a ：使用 5GHz 频段，传输速度 54Mbps，与 802.11b

17、不兼容； IEEE 802.11b ：使用 2.4GHz 频段，传输速度 11Mbps； IEEE 802.11g ：使用 2.4GHz 频段，传输速度 54Mbps，可向下兼容 802.11b； IEEE 802.11n(Draft 2.0) ：用于Intel 新的迅驰 2 笔记本和高端路由上，可向下兼容,传输速度 300Mbps。2.2.1.2 无线网卡的分类无线网卡按照接口的不同可以分为多种： 一种是台式机专用的PCI 接口无线网卡； 一种是笔记本电脑专用的PCMCIA 接口网卡； 一种是 USB 无线网卡，这种网卡不管是台式机用户还是笔记本用户，只要安装了驱动程序，都可以使用。在选择时

18、要注意的只有采用 USB2.0 接口的无线网卡才能满足 802.11g 或 802.11g+的需求。USB 无线网卡除此而外，还有笔记本电脑中应用比较广泛的MINI-PCI 无线网卡。MINI-PCI 为内置型无线网卡，其优点是无需占用PC 卡或USB 插槽，并且免去了随时身携一张PC 卡或USB 卡的麻烦。2.2.1.3.无线网卡接口类型 台式机专用的PCI 接口无线网卡 笔记本电脑专用的PCMICA 接口网卡PCAMICA 网卡 USB 接口无线网卡USB 无线网卡 笔记本电脑内置的MINI-PCI 无线网卡MINI-PCI 无线网卡2.2.1.4 无线网卡与无线上网卡的区别无线上网卡无线

19、网卡和无线上网卡外观很象，但功用确大不一样。通过这一比较可见，二者虽然都可以实现无线上网功能，但其实现的方式和途径却大相径庭。所有无线网卡只能局限在已布有无线局域网的范围内。如果要在无线局域网覆盖的范围以外，也就是通过无线广域网实现无线上网功能，电脑就要在拥有无线网卡的基础上，同时配置无线上网卡。由于手机信号覆盖的地方远远大于无线局域网的环境，所有无线上网卡大大减少了对地域方面的依赖，对广大个人用户而言更加方便适用.无线网卡和无线上网卡虽然都能实现无线功能，但实现的方式和途径是完全不同的。无线网卡主要应用在无线局域网内用于局域网连接，要有无线路由或无线 AP 这样的接入设备才可以使用，而无线上

20、网卡就象普通的56K MODEM 一样用在手机信号可以覆盖的任何地方进行Internet 接入，新手要注意区别。2.2.2 无线 AP无线 AP（AP，Access Point，无线访问节点、会话点或存取桥接器）是一个包含很广的名称，它不仅包含单纯性无线接入点（无线AP），也同样是无线路由器（含无线网关、无线网桥）等类设备的统称单纯性无线AP 就是一个无线的交换机，提供无线信号发射接受的功能。单纯性无线AP 的工作原理是将网络信号通过双绞线传送过来，经过AP 产品的编译， 将电信号转换成为无线电讯号发送出来，形成无线网的覆盖。根据不同的功率，其可以实现不同程度、不同范围的网络覆盖，一般无线 A

21、P 的最大覆盖距离可达 300 米。 多数单纯性无线 AP 本身不具备路由功能，包括DNS、DHCP、Firewall 在内的服务器功能都必须有独立的路由或是计算机来完成。目前大多数的无线AP 都支持多用户（30-100 台电脑）接入，数据加密，多速率发送等功能，在家庭、办公室内，一个无线 AP 便可实现所有电脑的无线接入。单纯性无线AP 亦可对装有无线网卡的电脑做必要的控制和管理。单纯性无线 AP 即可以通过10BASE-T（WAN）端口与内置路由功能的ADSL MODEM或 CABLE MODEM（CM）直接相连，也可以在使用时通过交换机/集线器、宽带路由器再接入有线网络。2.2.2.1

22、AP 选购无线AP 组网结构图H3C WA2110-AG简介：WA2110-AG 是华三通信技术有限公司（H3C）自主研发的双频多模系列无线接入点，可广泛应用于各种向用户提供WLAN 接入的无线网络；WA2110-AG 作为瘦 AP（FIT AP） 与 H3C 公司自主研发的无线控制器系列产品配套使用。H3C WA2110-AG 主要参数无线 AP 工作方式：室内型Fit AP无线 AP 传输距离：600m频率范围：802.11a: 5.15GHz-5.3网络标准：IEEE802.11a, IEEE802.11b,IEEE802.11g调制技术：OFDM, DBPSK, DQPSK,接收灵敏度

23、：802.11a: -70dBm54Mb 其他功能：支持虚拟AP 支持“零配” 安全：GB4943-2000, UL60950端口类型：1 个 10/100Base-Tx输出功率：6WH3C WA2110-AG 特点 支持虚拟APWA2100 和WA2200 系列产品支持多SSID 实现虚拟AP 特性，每个SSID 可对应不同的VLAN、从而对于每一个SSID 可以实现不同的网络服务及认证方式。该特性使管理员可以方便的为不同用户群、不同的业务制定区分的服务策略。 支持“零配置”特性传统无线网络的部署需要网络管理人员对网络中的每一个AP 进行逐一配置，当无线网络规模较大时网络管理人员往往要配置上

24、百个AP，配置工作量巨大，且易于出错。而采用H3C WA2100 或 WA2200 作为 Fit AP 配合无线控制器的进行组网时，网络维护人员只需要在无线控制器上对业务属性和物理属性相似的AP 建立配置模版，这样AP 在启动时可以从无线控制器动态获取配。2.2.3 无线控制器无线控制器是一种网络设备，能够自动优化基本无线网络，并支持该网络之上的高级移动服务。思科无线局域网控制器适用于企业无线局域网部署，并提供了系统级无线局域网功能，如安全策略、入侵防御、RF 管理、服务质量(QoS)和移动性。思科无线局域网控制器与Cisco1000 系列轻型接入点和思科无线控制系统(WCS)软件共用，可支持

25、关键的无线应用。从语音和数据服务到地点跟踪，WLAN 控制器提供了必要的控制能力、可扩展性和可靠性，以便 IT 经理能构建从分支机构到主园区的安全、企业级无线网络。思科无线局域网控制器可平稳地集成入现有企业网络中。它们使用轻型接入点协议（LWAPP），与 Cisco1000 系列轻型接入点在任意第二层（以太网）或第三层（IP）基础设施上通信（图 2）。这种新型 IETF标准有助于确保接入点和无线局域网控制器间的通信安全，可完全自动地支持重要的无线局域网配置和管理功能，从而实现经济有效的无线局域网运营。2.2.3.1 AC 选购H3C WX5002-128H3C WX5002-128 特色 方便

26、部署、易于管理传统无线网络的部署需要网络管理员对网络中的每一个AP 进行逐一配置，当无线网络规模较大时网络管理员往往要配置上百个AP，工作量巨大，且容易出错。而采用无线控制器和 FIT AP 配合组网时，只需要在无线控制器上对一类相同属性的AP 建立配置模板，AP 在启动时可以自动从无线控制器上下载最新的配置文件。另外，由于AP 本身不保存任何配置， 万一设备丢失，也可以保证网络配置不被窃取。AP 支持启动后自动获取IP 地址、自动获取AC 的工作列表并自动和AC 建立关联，真正做到了零配置，免维护，即插即用，极大地减轻了网络管理员在部署网络阶段的维护工作量。当网络正常运行以后，无线控制器对所

27、管理的 AP 以及AP 所接入的用户进行实时监控，并能将这些信息实时上报给网管。维护人员可以指定AP 或用户进行在线服务策略设定和安全策略设定，使网络配置策略更加灵活。同时， 无线控制器支持AP 软件自动更新功能，AP 在每次重新启动时会自动比较当前运行的软件版本和无线控制器上的最新版本是否一致，如不一致AP 会自动更新本地的软件映像，软件升级不再需要网管人员的干预。 三层漫游H3C WX5002 和WX6100 系列无线控制器支持三层漫游（无线漫游即无线客户端连接到同一个SSID，从一个AP 切换到另外一个AP 的过程。三层漫游就是相邻的两个AP 广播相同的SSID 但对应到不同的VLAN。

28、目前瘦AP 技术在三层漫游时都是不中断的。即，无线客户端漫游到新AP 上时，IP 地址不变，所以通信不中断），并支持快速漫游，漫游切换时间小于 50ms，满足对切换时间要求最苛刻的语音业务。 丰富的 RF 管理和安全RF（Radio Frequency 的缩写，表示可以辐射到空间的电磁频率，频率范围从 300KHz 30GHz 之间）管理功能，可以使得无线网络的布网灵活性大大增强，网络的可维护性得到很大的提高。AP 的功率调整和信道切换是网络部署和调试时不可缺少的重要手段，信道和功率还需要按照国家代码自动设置，H3C WX5002 和 WX6100 系列无线控制器的RF 管理功能使得网络部署非

29、常简单。RSSI/SNR 的不断更新，更是让系统可以适时了解每一个无线用户所处电磁环境的好坏、离AP 的距离，从而可以采取相应的策略来提升网络可用性。 支持智能的负载均衡 支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现 AP 的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP 可供用户接入，如果有则AP 会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP，但如果无线用户不在AP 的重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。H3C 公司创新性地支持智能负载均衡技术，保证只对处于 AP 覆盖重叠区的无线用户才启动

30、 AP 负载均衡功能，有效的避免误均衡的出现， 从而最大限度的提高了无线网络容量。 高可靠的备份功能H3C WX5002 和WX6100 系列无线控制器支持AC 组备份功能，通过预先配置，AP 优先同主AC 建立CAPWAP 链路，当主AC 不可用时，AP 会自动寻找AC 组中的第二个主AC，并和第二个主AC 建立CAPWAP 链路，从而达到AC 间业务备份的目的。H3C WX5002 和WX6100 系列无线控制器还支持 100ms 业务热备份，AP 会同时和两台无线控制器建立CAPWAP 链路，一台作为主设备，另外一台作为备份设备，但只有和主设备建立的CAPWAP 链路处于工作状态。当主控

31、制器异常down 机时，备份控制器和主控制器之间的心跳检测机制可以保证在 100 毫秒之内检测到主设备的异常，并通知AP 将主备CAPWAP 链路切换，保证控制信号的不间断传送。IPv6AP 和无线控制器之间可以穿过IPv6 网络互联，从而使组网方式更加灵活，可以满足今后网络发展的需要，保护用户投资。完善的 QoSH3C WX5002 无线控制器基于H3C 公司最新的Comware V5 平台开发，不但对 Diff-Serv 标准进行了完善，同时还增加了对 IPv6 协议的QoS 支持。QoS Diff-Serv 模型中主要包括流分类、流量监管（Policing）、队列管理、队列调度（Sche

32、duling）等，完整实现了标准中定义的EFAF1AF4、BE 等六组PHB 及业务，可为用户提供具有不同服务质量等级的服务保证，真正成为同时承载数据、语音和视频业务的综合网络。 支持隧道 QoSAP 接收到的无线报文首先要通过CAPWAP 隧道送到AC 上进行分析处理，H3C WX5002 和 WX6100 系列无线控制器支持无线QoS 到有线QoS/CoS 的映射。在AP 侧，无线域的QoS 信息（802.11E）可以被映射到外层隧道的有线二层域（802.1p）和三层域（DSCP）中，这样可以保证高优先级无线报文在有线网络上受到更好的优先级保证。 支持多种认证方式H3C WX5002 和W

33、X6100 系列无线控制器 802.1x 认证， portal 认证，MAC 地址认证， PPPoE 认证等多重认证方式。H3C WX5002 和WX6100 系列无线控制器内置 802.1x 认证服务器，支持 TLS、PEAP、TTLS、MD5、SIM 卡等多种 802.1x 的认证方式，同时 WX6100 系列无线控制器还支持通过802.1x 认证后下发VLAN 和 ACL 功能，完成不同用户的动态授权。Portal 认证方式解决了不便于安装客户端用户的安全认证问题。MAC 地址认证功能解决了一些手持终端（例如： WiFi Phone、手持移动终端等）并不方便采取电脑上的认证问题。H3C

34、WX5002 和WX6100 系列无线控制器还还支持PPPoE 认证，通过PPPoE 成熟的认证和计费功能，可以方便的实现按流量计费等高级的计费方式，满足一些客户的运营级需求。 支持无线入侵检查 WIDS（Wireless Intrusion Detection System）H3C WX5002 和WX6100 系列无线控制器支持非法AP 检测，黑/白名单设置和无线协议攻击防御等WIDS 功能，有效的提高了无线网络的整体安全。通过非法AP 检测功能，无线网络可以自动监测非法设备（例如 Rouge AP，或者 Ad Hoc无线终端），并适时上报网管中心，同时对非法设备的攻击可以进行自动防护。白

35、名单功能确保只有名单上的无线用户才能进行数据传输，其他用户均被认为非法用户， 非法用户的报文全部在AP 上被丢弃，从而减少非法报文对无线网络的冲击。另一方面，无线控制器还提供黑名单功能。用户可以通过配置方式或者控制器实时检测侦听的方式来确定设备是否被加入黑名单，被加入到黑名单中的设备发过来的报文全部在AP 上丢弃，从而减少攻击报文对无线网络的冲击。无线控制器还支持多种攻击的检测，例如 DOS 攻击，Flood 攻击，去认证、去连接报文的仿冒检测，以及无线用户 Weak IV 检测。特别无线协议攻击防御可以和动态黑名单配合使用，当控制器检测到攻击时，可以将发起攻击的无线客户端动态添加到动态黑名单

36、中，从而保证WLAN 系统不再被该设备攻击。 支持 EAD 无线接入端点准入防御（EAD，Endpoint Admission Defense解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。H3C WX5002 和 WX6100 系列无线控制器支持无线用 户的EAD 接入，通过与安全策略服务器的联动，可以对感染病毒或存在系统漏洞等不合格的无线客

37、户端进行下线、隔离、提醒或监控等多种方式的处理，只有无线客户端符合相应的安全策略之后才允许正常访问网络，从而提高了无线网络的整体安全性。 有线无线一体化的网管系统IMC 网管是H3C 公司自主研发的新一代网络管理系统。IMC 网管采用组件化结构设计， 通过安装不同的业务组件实现了设备管理、软件升级管理、配置文件管理、告警管理、性能管理等功能。无论对于企业网、校园网、园区网用户还是各大运营商，IMC 网管都可以提供完善的解决方案，方便用户监控、维护、管理各自的网络。H3C WX5002 和 WX6100 系列无线控制器系列无线控制器提供本地维护、远程维护、集中维护等多种维护手段，并提供完备的告警

38、、测试、诊断、跟踪、日志等功能，方便用户的日常维护管理WX5002-128 主要性能参数网络标准：IEEE 802.11、IEEE 802.11a、IEEE 802.11b、IEEE 802.11g 、IEEE 802.11d、IEEE 802.11i、IEEE 802.11h、CAPWAP网络接口 ：WX5002-64 & WX5002-128：2 个1000Base-X SFP千兆以太网端口（Combo）工作电压：（V） 100240V AC ；50/60Hz安全性能 ：支持用户分级管理和口令保护支持 IEEE 802.1X 认证（EAP-SIM、EAP-TTLS、EAP-TLS、EAP-

39、MD5、EAP-PEAP）支持EAD（Endpoint Admission Defense，端点准入防御） 支持AAA支持Radius 认证支持HWTacacs+支持集中式MAC 地址认证2.2.4 无线网桥无线网桥是为使用无线（微波）进行远距离数据传输的点对点网间互联而设计。它是一种在链路层实现lan 互联的存储转发设备，可用于固定数字设备与其他固定数字设备之间的远距离（可达 20km）、高速（可达 11mbps）无线组网。无线网桥有三种工作方式，点对点，点对多点，中继连接。特别适用于城市中的远距离高以及是否加用双向放大器。从作用上来理解无线网桥，它可以用于连接两个或多个独立的网络段，这些独

40、立的网络段通常位于不同的建筑内，相距几百米到几十公里。所以说它可以广泛应用在不同建筑物间的互联。同时，根据协议不同，无线网桥又可以分为2.4GHz 频段的 802.11b 或 802.11 以及采用 5.8GHz 频段的 802.11a 无线网桥。在无高大障碍（山峰或建筑）的条件下，一对速组网和野外作业的临时组网。其作用距离取决于环境和天线，现 7km 的点对点微波互连。一对 27dbi 的定向天线可以实现 10km 的点对点微波互连。12dbi 的定向天线可以实现 2km 的点对点微波互连；一对只实现到链路层功能的无线网桥是透明网桥，而具有路由等网络层功能、在网络 24dbi 的定向天线可以

41、实层实现异种网络互联的设备叫无线路由器，也可作为第三层网桥使用。无线网桥通常是用于室外，主要用于连接两个网络，使用无线网桥不可能只使用一个， 必需两个以上，而AP 可以单独使用。无线网桥功率大，传输距离远（最大可达约 50km），抗干扰能力强等，不自带天线，一般配备抛物面天线实现长距离的点对点连接。2.2.4.1 点对点连接方案在同一城市中不同地点的两个局域网互联可以通过铺设光缆或租用线路的方法实现，但由于城市环境的条件限制，铺设光缆的工程可能无法实施，实施过程中或许会遇到人为和意外的破坏;而租用DDN 线路会面临着租用费用太高和线路带宽太低的困扰，使用昂科无线长距离解决方案，在两点间天线的发

42、射方向上没有障碍物阻挡的情况下，利用室外无线网桥配合高增益定向天线，可以在相距几十公里以内的建筑物间快速建立起网络连接。该方案不但可以大大提高传输速率，还可以节省昂贵的线路租用费用，为用户节约成本、提高工作效率， 一次性投入，无任何多余追加费用的支出。连接示意图如图所示：2.2.4.2 点对多点方案点对多点方案主要用在企业希望将分布在城市中的各分部连接在一起企事业单位，从多个分布点中选择一个中心点，位于其他各点的中心位置，使其他各点达到中心的距离均衡， 而且无障碍物。在中心放置具有路由和协议转换功能的无线网桥加装高增益的全向天线;其 他各点放置无线网桥和高增益的定向天线。连接示意图如图所示：2

43、.2.4.3 无线网桥的选购H3C WB2321EH3CWB2321E 无线网桥设备是杭州华三通信技术有限公司自主研发的首款无线网桥产品。在组网应用中，WB2321E 可作为桥接器连接两个或多个物理上隔离的局域网。通过WB2321E 桥接功能，在这些分散的局域网上的主机感觉不到物理位置的分布，可以方便的实现相互通讯。WB2321E 支持 extend-range 技术，保证了 WB2321E 长距离覆盖，并且支持点到点或点到多点桥接应用，能有效的解决楼宇间通信、大型企业分支接入等问题。目前杭州华三通信技术有限公司公司提供的具体产品型号为WB2321E-AGP，为双频多模无线网桥，双频率即可工作

44、于WLAN 的 2.4GHz 频段或 5GHz 频段之上；多模即支持IEEE802.11a、IEEE802.11b 和 IEEE802.11g 三种模式，其中 11g 模式功率可达到 500mW。H3C WB2321E 特色 标准支持 IEEE802.11a、802.11b、802.11g、802.3、802.3u、802.3af。 支持双频多模双频是指2.4GHz频段和5GHz频段。多模是指IEEE802.11a、IEEE802.11b和IEEE802.11g三种模式。WB2321E 可同时支持IEEE802.11g、IEEE802.11a 和 IEEE802.11b。 同时支持接入和桥接W

45、B2321E 配置双射频单元，可以一个射频单元作接入，另一个作桥接使用。此外，通过配置，还可以实现在同一个射频单元上同时支持接入和桥接。WB2321E 的这一特点，使得在需要对WLAN 网络进行桥接时，省却了单独部署AP。 支持多种工作方式WB2321E 可灵活配置工作在点到点方式或点到多点方式，点到点方式下建立桥接链路的两端WB2321E 处于对等地位，点到多点方式下，一端配置为root 工作模式，一端配置为client 工作模式。支持多种工作模式使得WB2321E 应用时选择更加灵活。 支持大容量单一WB2321E 网桥，可以同时与最多 16 个邻居建立桥接链路。 支持虚拟桥组通过在WB2

46、321E 节点上配置多个桥接ID，可在同一网桥设备加入到多个桥组中，使得多个逻辑桥接网络可以复用同一物理无线网络，各逻辑桥接网络可对应不同的 VLAN、不同的网络服务以及不同的认证方式等。此特性使得WB2321E 在组网应用上更加灵活。 支持QoS通过对QoS 的支持，WB2321E 可区分无线侧不同数据的收发优先级，也可根据配置的ACL 策略对用户流量进行限制。支持WME 和CAR，保证高优先级用户的带宽。 支持MAC 地址过滤WB2321E 支持基于接入SSID 或桥接ID 设置防火墙，通过ACL 配置灵活的防火墙策略，可控制某些移动用户的接入，或限制对其数据的无线桥接。 安全可靠WB23

47、21E 支持WPA/802.11i以及最新的加密标准TKIP、AES。 支持动态密钥分发和管理支持 802.1X-EAP、open system 和 share key 认证方式共存。 支持WEP 加密密钥长度可选择 64 位、128 位。 高传输速率WB2321E 支持Super A/G 模式，通过信道捆绑可以使物理层带宽达到108Mbit/s。 传输功率分级可调WB2321E 射频单元输出功率支持四档（100%、50%、25%、12.5%）可调，可实现灵活的功率控制。 高接收灵敏度WB2321E 的 802.11a 模式下的灵敏度指标为：-90dbm6M、-70dbm54M，802.11g

48、模式下的灵敏度指标为：-91dBm6Mbps、-72dBm54Mbps。 宽温度范围WB2321E 工作温度范围为-4055，宽温度范围保证了WB2321E 设备可广泛应用于各种应用场景。 覆盖距离广WB2321E 支持extend-range 这一有助于扩大覆盖范围的特有技术，保证了 WB2321E 长距离覆盖。 低网络维护成本使用WB2321E，服务提供商无需铜线资源，可以在企业分支机构迅速建立通讯链路。由于无需大量的有线网络部署，将大大降低服务商的网络建设和维护成本。 管理便捷支持Console 口方式对WB2321E 进行本地维护和管理，支持SNMP、Telnet 方式对WB2321E

49、 进行本地或远程配置和维护；支持iMC 管理；支持Web 网管。2.2.2.5 无线路由器无线路由器（Wireless Router）好比将单纯性无线AP 和宽带路由器合二为一的扩展型产品，它不仅具备单纯性无线AP 所有功能如支持DHCP 客户端、支持VPN、防火墙、支持 WEP 加密等等，而且还包括了网络地址转换（NAT）功能，可支持局域网用户的网络连接共享。市场上流行的无线路由器一般都支持专线xdsl/ cable，动态xdsl，pptp 四种接入方式， 它还具有其它一些网络管理的功能，如dhcp 服务、nat 防火墙、mac 地址过滤等等功能。目前无线路由器产品支持的主流协议标准为IEE

50、E 802.11g，并且向下兼容 802.11b。而IEEE802.11b 与 802.11g 标准是可以兼容的，它们最大的区别就是支持的传输速率不同，前者只能支持到 11M，而后者可以支持 54M。而新推出不久的 802.11g+标准可以支持 108M 的无线传输速率，传输速度可以基本与有线网络持平。无线路由器的选购H3C WBR204g+参数主要性能网络标准 数据传输率有效工作距离频率范围调制方式灵敏度 天线网络接口安全性能认证参数纠错IEEE 802.11b、IEEE 802.11g参数纠错 54Mbps参数纠错室内 100 米、室外 300 米参数纠错 2.4-2.4835GHz参数纠

51、错正交频分复用(OFDM)、直接序列扩频(DSSS) 参数纠错=-80dBm(11Mbps、BER2dBi、全向参数纠错 110/100M WAN 口、410/100M LAN 口参数纠错支持WPAWEP参数纠错CE2.2.6 无线网络的配置2.2.6.1 无线网络的安装确定你的电脑已安装好无线网卡。确定开启了电脑的无线网卡。内置无线网卡的笔记本电脑一般均有开关无线网卡的装置，和表示无线网卡开关状态的指示灯。 打开“网络连接”设置窗口在桌面右键单击“网上邻居”，点击“属性” 菜单。 保证无线网络连接已启用在“网络连接”窗口中，如果“无线网络连接”状态是“禁用”，右键单击“无线网络连接”，点击“

52、启用” 菜单。 查看可用的无线连接右键单击“无线网络连接”，点击“查看可用的无线连接” 菜单。 连接校园无线网络在“无线网络连接”窗口中，选择“SWJTUnet”无线网络，然后点击“连接”按钮。 在弹出的对话框中，点击“仍然连接”按钮：至此便建立了与校园无线网络的连接。连接成功后，将显示星号标记，和“已连接上” 文字。 拨号认证上网无线网络连接成功以后，用户便可以使用已申请的教育网或网通的帐号密码，拨号认证上网，访问校园网和Internet，与有线网络登陆方式一样。 断开校园无线网络上网完毕注销账号后，或不需要再使用无线网络时，在“无线网络连接”窗口中，选择“SWJTUnet”无线网络，然后点

53、击“断开”按钮。 在弹出的对话框中，点击“是”按钮。2.6.2 “AP 零配置”在无线校园网的部署 AP 零配置对无线校园网的价值通过全新的网络管理接口可以很好的解决目前无线校园组网中存在的管理问题：1、 用户只需要建立业务参数模板和设备参数模板，并设定指定的AP 引用这些模板， 当 FIT AP 启动时无线控制器会根据预先的配置引用信息给FIT AP 下发配置，用户的配置工作量大大减少。2、 用户对FIT AP 的管理是通过无线控制器来代理完成，网管不再关心FIT AP 的 IP地址，FIT AP 和无线控制器之间的关联是自动完成，不再需用户对AP 进行的配置干预。3、 无线用户的数据报文被

54、FIT AP 封装在AP 和 AC 间的数据隧道中，接入AP 的边缘网络不需要再为无线用户的接入而更改VLAN 和ACL 等配置4、 无线控制器保存了所管理的FIT AP 的运行状况和在线用户统计信息，维护人员只需登录到指定的无线控制器就可以完成信息察看。用户对FIT AP 的管理是通过无线控制器来代理完成，因此在线更改服务策略设定和安全策略设定也不再需要逐一登录到 AP 设备， 而只需要登录到指定的无线控制器就可以完成设置，无线控制器会自动把新的配置下发到指定的 FIT AP。5、 用户不再需要手动逐一对AP 设备进行软件升级，AP 在每次重新启动时会自动比较当前运行的版本和无线控制器上保存

55、的版本，如果无线控制器上保存的版本更新，FIT AP 会自动更新本地的软件影像。6、AP 本地不再保存配置信息，即使设备丢失也不存在因配置丢失而出现的安全隐患。 无线控制器和 FIT AP 之间的网络拓扑在集中式WLAN 管理模式中，H3C 的 FIT AP 和无线控制器之间可以支持三种网络拓扑结构：1、直连模式：:FIT AP 和无线控制器直接互联，中间不经过其他设备节点。2、二层网络连接模式： FIT AP 和无线控制器同属于一个二层广播域，FIT AP 和 AC之间通过二层交换机互联。3、三层网络连接模式： FIT AP 和无线控制器属于不同的IP 网段. FIT AP 和AC 之间的通

56、信需要通过路由器或者三层交换机三层转发来完成。图 1 无线控制器和FIT AP 之间的网络拓扑 获取 IP 地址FIT AP 在和网络通信前必须能够获取自身的IP 地址，为了减少维护人员的配置，FIT AP必须能够支持自动获取IP 地址，目前业界标准的做法是采用 DHCP client 功能. AP 启动以后会在其上行接口上通过DHCP client 模块发起获取IP 地址的过程. 通过DHCP 的协议交互FIT AP 可以从DHCP server 获取到以下信息：自身使用的IP 地址、DNS server 的 IP 地址、网关 IP 地址、域名、可接入的无线控制器的IP 地址列表(此信息通过DHCP option43 提供) 等。 发现相同二层网络内的无线控制器(含直连模式)FIT AP 一旦获取到IP 地址，就会通过广播方式发起无线控制器发现请求.和 AP 同属于相同二层广播域的无线控制器会根据预先配置的可接入AP 列表和当前的负载情况决定是否响应AP 的发