智慧校园WIFI覆盖解决方案

2

高校无线网络风险分析4

高校典型案例分析3

高校无线安全解决方案CONTENT高校无线建设背景1高校无线为广大师生工

作、学习、生

活提供准确、

及时、有效的

信息服务实现校园对外信息服务

，创新高

校教学新方法优化学校教

学、科研和

管理水平促进学校与其

他学校之间的

信息共享高校建设无线网络成为必然的趋势终端具备RJ45接口终端不到30%无线WI

FI解决方案—市场需求终端市场的进化——移动、无线、易用、富媒体、海量便携

Wi

Fi语音

个人/商用/专用电脑——三通两平台•

宽带网络校校通•

教学资源班班通•网络空间人人通•

教育资源公共服务平台•

教育管理信息系统平台宽带网络和计算机学生间的协作教师的鼓励和指导未来的教育——云教育中国教育现代化现在

未来移动一卡通智能终端PassBook、NFC正在普及昨天传统一卡通畅想移动数字校园—移动一卡通未来基于位置的信息推送：•报告楼有讲座！•主楼外装修

，请绕

行！现在基于WLAN定位的Geo-

Fancing信息围栏昨天电子公告栏畅想移动数字校园—位置公告栏昨天点名现在基于WLAN定位的签到

服务未来基于位置的考勤服

务：•大家究竟在上课

还是在玩游戏？

•优秀选修课的客

观评价。畅想移动数字校园—考勤与优秀课程评选昨天体检未来•普查高校学生体

质。•分析学习、运动、

喜好热点。•监督推荐健康生

活习惯。畅想移动数字校园—德智体全面发展智能终端、穿戴设备、

WLAN定位后台数据现在现在

未来•网络学习空间•网络科研空间•多种协作手段基于社交网络、位置、移动的协作畅想移动数字校园—学习、科研协作昨天一个人攻关联合研

究报告畅想移动数字校园—学习、科研协作体育系•

手机拍摄媒体系•

剪辑编辑医学系•

分析研究现在传统教学、科研网络教学空间未来•延伸的教案•延伸的教室•延伸的图书馆•延伸的学校畅想移动数字校园—自学习昨天2

高校无线网络风险分析4

高校典型案例分析3

高校无线安全解决方案CONTENT高校无线建设背景1l

Portal易遭受网页篡

改、

拒绝服务攻击

等安全威胁l

AC多采用WEB管理

,

易遭受DDos攻击l

AC针对AP的WLAN

划分不严格

，易遭

受ARP等泛洪攻击

,

造成网络带宽拥

塞

，性能瘫痪l

AC作为用户分配IP地址的DHCPServer

，易遭受泛

洪DoS攻击l

WLAN设备管理IP地址段与普通WLAN用户IP地址

段未作有效隔离。AC公网地址访问策

略不严格l管理AC设备未采用

S加密形式

，账号口

令明文传输被窃听l设备自身存在安全

漏洞、

脆弱性

，可

被利用控制操作l

WLAN认证计费系

统与其他系统明文

传送用户账号信息l维护人员可以方便

得到用户账号密码

信息l

WLAN用户密码生

成机制不严谨存在

大量弱口令l不法分子私自架设AP钓鱼盗取用户账

号密码l非法用户获得AC、AP、

交换机等WLAN系统设备地

址后

，将终端设置为相同地址段IP

，实

现免费上网l

WLAN

AC对外访问

策略控制不严格，DNS端口可被利用

实现免费上网网络滥用网络不可用用户账号密码盗用设备被利

用高校无线网络运营风险服务器集群区域部署有无线网络，

内部人员可以通过无线连接到服务器，

不发分子可以通过密码破解

，进入无线网络

，直接访问内部数据。服务器区域工作人员如果为了方便搭建AP

，或者电脑开启AP功能

，外部人

员可以通过AP访问内部网络

，造成数据泄露。不法分子通过窃取密码

，登录网络平台的无线网络

，进入管理平台篡改网

络信息

，造成网络瘫痪或更严重后果。行政中心是学校行政工作人员区域

，如有人私自登入该无线网络

，可以窃取到行政部门的重要文件等信息。在教学楼、图书馆等人员密集区域容易存在钓鱼AP

，上网者连接这些非法

AP导致网银密码、邮件账号等被盗

，给师生带来经济损失。无线网络相对开放

，不法分子通过无线网络嗅探等进入网络植入木马进行

破坏

，更可以对无线网络进行攻击导致无线网络不可用

，影响正常教学等

工作。高校无线网络风险高校

无线

网络

风险1234562

高校无线网络风险分析4

高校典型案例分析3

高校无线安全解决方案CONTENT高校无线建设背景1第一代园区网

在中心2013年平板电s脑发货量超过台式s电脑！

下一代园区—网粘身边！•移动终端普及•空中接口速率提升•移动应用丰富•部署管理压力大•安全弹性要求高校园网演进至何方？代园区网

房间墙IPS局域网通信100Mbps

11Mbps2000’s1000M

bps200s1500001000005000001300M1000Mbpsbps接入

网速终端

类型100Mbps1995’

s1996199719981999200020012002•VLAN•生成树•路由•三层交换1990’

s150001000050000•防火

•VPN

•IDS/

•无线

•融合54Mbp

s5’第二代园区网

到楼边900Mb

ps•专用网络设备1000M

bps第三

进PC发货量智能手机平板电脑关键

技术10Mbp2015’2010’2…2…2…2…2…2…2…2…2…s万台万台海量应用更高网速安全下一代园区网挑战海量终端更好用户体验！性?多神场最?移动无线灵活安全感知高可用移动无缝覆盖性能管理数字化移动化校园集

中

管

理认证自服务高弹性网络漫

游

切

换无

线

定

位一体化安全智

能

接

入多业务部署高教解决方案解决方案高密度场景·组网控制图书馆教学楼(fe)宿舍楼(fe)宿舍场景·高带宽·环境感知·多业务·IT自服务统一认证教学、科研场景·高带宽·环境感知·多业务I

T自服务园区场景

·环境适应强

·广覆盖·移动性·QOS回程室外高校多场景无线覆盖AuteView科研办公楼数据中心(e)(fe)室外AP：智能终端接入

无缝漫游

：2/3层无缝漫游

广覆盖：

MRC/ML、逐包功率控制

易部署：支持WBS

，视距内桥接ISM频段网桥：楼宇间互联 最高300Mbps、最远70KM

高QoS保障

动态频率选择、多天线收发应用场景：

岗亭、摄像头等不易布线接入速率：最高百兆接入距离：最远3KM"""点对多点5G

WLAN基站+CPE：

中距离接入室外园区场景摄像头/岗亭/实验室点对点楼道放装AP：楼道及易穿透墙体无线覆盖。优势：性能好、支持定位、双频面板式AP：宿舍、小办公室部署。优势：信号好、施工快

，支持定位。大功率+天馈：楼道、楼梯无线覆盖。优势：信号好劣势：不支持定位、双频。密集覆盖：多媒体教室

，电子书包多媒体视频

应用。环境感知的室内无线接入——多手段应急灯AP：楼道不易布线区域无线覆盖。80211a

e环境感知的室内无线接入——多径空口感知宿舍图书馆集中认证灵活转发模式选择集中管控、

统一升级集中管理控制、灵活转发模式教学楼统一认证数据中

心AX系列ACN+1冗余配置AuteView集中管理运营商1

运营商2运营商1计费网关

运营商2计费网关

POE交换机

AP

运营商2SSID校园网运营商1

SSID

拿

(EAP网关）

校园网认证

无线控制器l提供运营商租赁服务l不同运营商广播不同SSID

，独立认证计

费l校园网用户

，学生采

用一卡通账户认证、

计费宿舍区多业务接入校园网SSID办公学生PEAP多业务部署

单一AP多SSID

采用不同认证方式

单SSID广播域隔离 应用独立VLAN

应用独立网段

QoS

带宽控制AC带宽应用A组应用C组应用B组多业务、

多身份控制融合通信解决方案——端到端QoS保障！•

无线有线网络QoS统一映射802.

1p

DSCPPayload基于ACL的DSCP/802.1p修

改DSCP802.

1pDSCPDSCPPayload802.

1pDSCP•

AP空口资源预留•

高服务质量回程解决方案L2/L3L2/L3CAPWAP封装802.

1p

DSCPCAPWAP封装Payloa

dPayloa

dPayloa

dPayloa

d802.11e

DSCP802.11e

DSCP

宿舍基于位置的业务门户选择不同位置不同Portal和策略

不同SSID不同Portal和策略图书馆图书馆教学区域学生Portal宿舍区域学生Portal认证/策略/Portal校园网教学楼认证因子ID/CA/U

key/业务互联网访问二级权限本地访问一级权限业务访问三级权限认证因子ID/CA认证因子

MACMACWPA/WPA2Portal接入控制层次化认证!任意入口!!!权限MAC

Portal认证因子

MAC有效时间MACPortalMAC•

先MAC后Web（

Bypass)权限认证因子ID/CA/Ukey/业务接入控制认证因子

MAC•

一体化核心交换机集成无线控制

器•

多核CPU+FPGA+ASIC高性能CAPWAP处理引擎•

支持DSR

N+1冗余备份。•

统一用户认

证•

统一安全策

略业务策无线网无线业务策无线认

证有线网

认

业务策略

证

心网络管理核心层汇聚层防火墙

IDS/IPS接入层CAPWAP策略的管无线有线一体化组网第三代园区——补丁式组网性能不足

：无线数据处理能力不足。割裂式组网安全性不足。对位置和移动应用关注不足。割裂式组网配置复杂。割裂式组网

，弹性不足。•

一体化核心交换机集成防火墙、IPS•

AC内置DPI

，深度业务识别、更安全、

更智能。高无线转发性能：高性能AC:多核CPU+FPGA+ASIC+模块化软件集成CAPWAP引擎一体化交换机

，全网无线交换线速。立体化

，多维度安全无线侧

：支持WAPI、WIDS、WIPS有线侧

：防火墙、

IPS/IDS、

DPI一体化

：一体化安全策略第四代园区——无线有线一体化组网•

集成CAPWAP引

擎•

分布式处理

，无

CAPWAP瓶颈关注人和应用、更灵动、更有弹性中心网络管理证无线有线一体化纵深安全技术要点平衡信道终端数量小区边界控制监控非法AP5G优先组播优化广播域隔离地址翻译

，减少地址消耗

应用场景：最大用户数

(SSID/AP)

当前用户数100万并发NAT

16万新建多媒体教室

，大教室和图书馆

，体育馆、礼堂高密度覆盖边界阀值

本地课件资源

一体化交换机

AP无线教室电子书包互动式教学

，随时提问

，随时检

查教学效果多媒体示教丰富教学手段、更直观……高密度场景——无线电子教室解决方案电子书包覆盖区域

基于用户数量或覆盖范围划分覆盖

区域，

采用定向天线进行区域覆盖

通过下倾角来控制覆盖区域的面积

同时部署2.4GHz和5

GHz场馆高密度部署—基于定向天线进行部署场馆高密度部署——分布式部署

AP位于坐席位置下方，

通过全向天线进行部署大教室、

图书馆阅览室高密度部署

AP位于四角

，通过全

向天线对中间区域进

行覆盖CUBE优势：

低于50ms切换

支持语音、视频等移动应用 认证、加密、QoS、安全配置不丢失应用•

支持移动查房、检查、

PACS•

支持移动VoIP或视频会议漫游切换n二层三层的漫游切换•快速安全切换•

用户策略切换•

跨网段切换VLAN

I

D用户策略SSID教育

SSID教育SSID教育二层、

三层漫游切换PMK同步Client人员、

设备定位•

单一空间多AP覆盖•

计算信号强度、

配合定位系统•

支持被动、

主动定位

被动

：第三方标签

主动

：WLAN终端•

未来提供XML接口ww控制平面用于CAPWAP隧道倒换用户状态倒换网络服务倒换高可靠性部署

AC

N+1冗余部署

生产、

备份AC同时在线

控制平面同步

数据平面倒换DHCPPortal认证/MAC认证

/802.1x认证无线核心侧高可靠性DHCP冗余AC集中管理Portal认

证中心上网行为管理WLAN网络行为审计传输网PTN/MSTP/PON互联网中国电信互联网中国移动互联网中国联通教育科研网汇聚交换机IPS安全保障热点交换

机

AP热点交换

机APWI

DS/

W

IPS核心路由器热点N热点1漏

扫WAGA

CA

CBRASWeb

应用合规基于URL的访问控制

HTTP协议合规

敏感信息泄露防护

文件上传下载控制

·

web表单关键字过滤

网页防篡改·

基于URL的流量控制

·

web应用加速

多服务器负载均衡Web非授权访问防护Web恶意代码防护Portal防护Web

攻击防护Web

应用交付web恶意扫描防护SQL注入攻击防护cookie篡改防护应用层DOS防护CSRF攻击防护webshell防护XSS攻击防护网页挂马防护网站盗链防护WAG上网行为管防火墙多出口路由/NATHA双机热备集中管理协议在线更新上网行为管理内容管理

用户认证IP管理流量统计流量控制上网行为管理理对网络进行全面有效的脆弱性检查更准确更完善更迅速的漏扫技术对信息资产进行风险评估和管理为安全隐患的加固和修复提供指导提供合规性扫描方法和修改建议简单友好易用便捷的体验漏洞扫描WLAN边界安全未授权访问

无加密

、WEP

、WPS

无线嗅探

、破解泄密

流氓AP

非法外联