无线网络安全解决方案样本.docx

1、无线网络安全处理方案1.WLAN应用现实状况1.1 Wi-Fi在全球范围快速发展趋势无线局域网(WLAN)作为一个能够帮助移感人群保持网络连接技术，在全球范围内受到来自多个领域用户支持，现在已经取得迅猛发展。无线局域网(WLAN)发展关键从公共热点(在公共场所布署无线局域网环境)和企业组织机构内部架设两个方向铺开。世界范围内公共无线局域网（WLAN）热点数量三年增加近60倍。估计将从14717个增加到30多万个，用户数量增加四倍。据IDC估计，到全球WLAN用户将达成2460万，比增加近十倍；销售全部笔记本电脑中只有10%支持WLAN，现在是31%，估计到，售出笔记本电脑中将有80%含有无线支

2、持能力。在亚太区，这一发展势头一样强劲。市场调查企业Gartner Dataquest指出，公共无线局域网(WLAN)服务在亚太地域将保持强劲发展势头。最少在澳大利亚、香港、日本、新加坡、韩国和台湾这六大市场，热点数量在快速增加。亚太地域只有1，625个热点，估计到，热点数量将靠近3.8万。1.2 在企业、学校等组织机构内部，笔记本电脑普及也带动了无线局域网(WLAN)普及。以英特尔企业为例，全球79，000名职员中有65%以上人使用笔记本电脑，其中80%以上办公室全部布署了无线局域网(WLAN)，英特尔围绕含有无线能力笔记本电脑怎样改变其职员生活习惯和工作效率进行了调查，结果表明，职员工作效

3、率平均每七天提升了两小时以上，远远超出了所花费升级成本，而且完成通常办公室任务速度提升了37%。另外，无线移动性还快速改变了职员工作方法，使其能够愈加灵活自主地安排自己工作。2. WLAN面临安全问题因为无线局域网采取公共电磁波作为载体，电磁波能够穿过天花板、玻璃、楼层、砖、墙等物体，所以在一个无线局域网接入点(Access Point)所服务区域中，任何一个无线用户端全部能够接收到此接入点电磁波信号，这么就可能包含部分恶意用户也能接收到其它无线数据信号。这么恶意用户在无线局域网中相对于在有线局域网当中，去窃听或干扰信息就来得轻易得多。WLAN所面临安全威胁关键有以下几类：2.1网络窃听通常说

4、来，大多数网络通信全部是以明文（非加密）格式出现，这就会使处于无线信号覆盖范围之内攻击者能够乘机监视并破解（读取）通信。这类攻击是企业管理员面临最大安全问题。假如没有基于加密强有力安全服务，数据就很轻易在空气中传输时被她人读取并利用。2.2 AP中间人欺骗在没有足够安全防范方法情况下，是很轻易受到利用非法AP进行中间人欺骗攻击。处理这种攻击通常做法是采取双向认证方法（即网络认证用户，同时用户也认证网络）和基于应用层加密认证（如HTTPSWEB）。2.3 WEP破解现在互联网上存在部分程序，能够捕捉在AP信号覆盖区域内数据包，搜集到足够WEP弱密钥加密包，并进行分析以恢复WEP密钥。依据监听无线

5、通信机器速度、WLAN内发射信号无线主机数量，和因为802.11帧冲突引发IV重发数量，最快能够在两个小时内攻破WEP密钥。2.4 MAC地址欺骗即使AP起用了MAC地址过滤，使未授权黑客无线网卡不能连接AP，这并不意味着能阻止黑客进行无线信号侦听。经过一些软件分析截获数据，能够取得AP许可通信STAMAC地址，这么黑客就能利用MAC地址伪装等手段入侵网络了。3 .WLAN业界安全技术早期无线网络标准安全性并不完善，技术上存在部分安全漏洞。不过其次，因为WLAN标准是公开，伴随使用推广，更多教授参与了无线标准制订，使其安全技术快速成熟起来。现在不只是在家庭，学校，中小企业里边WLAN 得到广泛

6、应用，在安全最敏感大企业，大银行户头(比如全球财富500强)，政府机构，WLAN安全可靠性也得到了认可，并大量地推广使用。具体地讲，为了有效保障无线局域网(WLAN)安全性，就必需实现以下多个安全目标：1.提供接入控制：验证用户，授权她们接入特定资源，同时拒绝为未经授权用户提供接入；2.确保连接保密和完好：利用强有力加密和校验技术，预防未经授权用户窃听、插入或修改经过无线网络传输数据；3.预防拒绝服务（DoS）攻击：确保不会有用户占用某个接入点全部可用带宽，从而影响其它用户正常接入。无线局域网安全技术这几年得到了快速发展和应用。下面是业界常见无线网络安全技术：l 服务区标识符(SSID)匹配；

7、l 无线网卡物理地址（MAC）过滤；l 有线等效保密（WEP）；l 端口访问控制技术（IEEE802.1x）和可扩展认证协议（EAP）；l WPA (Wi-Fi 保护访问) 技术；l 高级无线局域网安全标准IEEE 802.11i；3.1 SSIDSSID(Service Set Identifier)将一个无线局域网分为多个不一样子网络，每一个子网络全部有其对应身份标识（SSID），只有没有线终端设置了配正确SSID才接入对应子网络。所以能够认为SSID是一个简单口令，提供了口令认证机制，实现了一定安全性。不过这种口令极易被无线终端探测出来，企业级无线应用绝不能只依靠这种技术做安全保障，而只

8、能作为区分不一样无线服务区标识。3.2 MAC地址过滤每个无线工作站网卡全部由唯一物理地址（MAC）标识，该物理地址编码方法类似于以太网物理地址，是48位。网络管理员可在无线局域网访问点AP中手工维护一组（不）许可经过AP访问网络地址列表，以实现基于物理地址访问过滤。MAC地址过滤好处和优势l 简化了访问控制l 接收或拒绝预先设定用户l 被过滤MAC不能进行访问l 提供了第2层防护MAC地址过滤缺点l 当AP和无线终端数量较多时，大大增加了管理负担l 轻易受到MAC地址伪装攻击3.3 802.11 WEPWEPIEEE80211.b标准要求了一个被称为有线等效保密（WEP）可选加密方案，其目标

9、是为WLAN提供和有线网络相同等级安全保护。WEP是采取静态有线等同保密密钥基础安全方法。静态WEP密钥是一个在会话过程中不发生改变也不针对各个用户而改变密钥。WEP好处和优势WEP在传输上提供了一定安全性和保密性，能够阻止有意或无意无线用户查看到在AP和STA之间传输内容，其优点在于：l 全部报文全部使用校验和加密，提供了部分抵御篡改能力l 经过加密来维护一定保密性，假如没有密钥，就难把报文解密l WEP很轻易实现l WEP为WLAN应用程序提供了很基础保护WEP缺点l 静态WEP密钥对于WLAN上全部用户全部是通用这意味着假如某个无线设备丢失或被盗，全部其它设备上静态WEP密钥全部必需进行

10、修改，以保持相相同级安全性。这将给网络管理员带来很费时费力、不切实际管理任务。l 缺乏密钥管理WEP标准中并没有要求共享密钥管理方案，通常是手工进行配置和维护。因为同时更换密钥费时和困难，所以密钥通常长时间使用而极少更换。l ICV算法不适宜ICV是一个基于CRC-32用于检测传输噪音和一般错误算法。CRC-32是信息线性函数，这意味着攻击者能够篡改加密信息，并很轻易地修改ICV，使信息表面上看起来是可信。l RC4算法存在弱点在RC4中，大家发觉了弱密钥。所谓弱密钥，就是密钥和输出之间存在超出一个好密码所应含有相关性。攻击者搜集到足够使用弱密钥包后，就能够对它们进行分析，只须尝试极少密钥就能

11、够接入到网络中。l 认证信息易于伪造基于WEP共享密钥认证目标就是实现访问控制，然而事实却截然相反，只要经过监听一次成功认证，攻击者以后就能够伪造认证。开启共享密钥认证实际上降低了网络总体安全性，使猜中WEP密钥变得更为轻易。WEP2为了提供更高安全性，WiFi工作组提供了WEP2技术，该技术相比WEP算法，只是将WEP密钥长度由40位加长到128位，初始化向量IV长度由24位加长到128位。然而WEP算法安全漏洞是因为WEP机制本身引发，和密钥长度无关，即使增加加密密钥长度，也不可能增强其安全程度。也就是说WEP2算法并没有起到提升安全性作用。3.4 802.1x/EAP用户认证802.1x

12、认证技术802.1x是针对以太网而提出基于端口进行网络访问控制安全性标准草案。基于端口网络访问控制利用物理层特征对连接到LAN端口设备进行身份认证。假如认证失败，则严禁该设备访问LAN资源。尽管802.1x标准最初是为有线以太网设计制订，但它也适适用于符合802.11标准无线局域网，且被视为是WLAN一个增强性网络安全处理方案。802.1x体系结构包含三个关键组件： l 请求方（Supplicant）：提出认证申请用户接入设备，在无线网络中，通常指待接入网络无线用户机STA。l 认证方（Authenticator）：许可用户机进行网络访问实体，在无线网络中，通常指访问接入点AP。 l 认证服务

13、器（Authentication Sever）：为认证方提供认证服务实体。认证服务器对请求方进行验证，然后通知认证方该请求者是否为授权用户。认证服务器能够是某个单独服务器实体，也能够不是，后一个情况通常是将认证功效集成在认证方Authenticator中。 802.1x草案为认证方定义了两种访问控制端口：即受控端口和非受控端口。受控端口分配给那些已经成功经过认证实体进行网络访问；而在认证还未完成之前，全部通信数据流从非受控端口进出。非受控端口只许可经过802.1X认证数据，一旦认证成功经过，请求方就能够经过受控端口访问LAN资源和服务。下图列出802.1x认证前后逻辑示意图。802.1x技术是

14、一个增强型网络安全处理方案。在采取802.1x无线LAN中，无线用户端安装802.1x用户端软件作为请求方，无线访问点AP内嵌802.1x认证代理作为认证方，同时它还作为Radius认证服务器用户端，负责用户和Radius服务器之间认证信息转发。802.1x认证通常包含以下多个EAP(Extensible Authentication Protocol)认证模式：l EAP-MD5l EAP-TLS(Transport Layer Security)l EAP-TTLS(Tunnelled Transport Layer Security)l EAP-PEAP(Protected EAP)l

15、EAP-LEAP(Lightweight EAP)l EAP-SIM802.1x认证技术好处和优势l 802.1x协议仅仅关注受控端口打开和关闭；l 接入认证经过以后，IP数据包在二层一般MAC帧上传送；l 因为是采取Radius协议进行认证，所以能够很方便地和其它认证平台进行对接；l 提供基于用户计费系统。802.1x认证技术缺点l 只提供用户接入认证机制。没有提供认证成功以后数据加密。l 通常只提供单向认证l 它提供STA和RADIUS服务器之间认证，而不是和AP之间认证l 用户数据仍然是使用RC4进行加密。3.5 WPA(802.11i)802.11i新一代WLAN安全标准为了使WLAN

16、技术从安全性得不到很好保障困境中解脱出来，IEEE 802.11i工作组致力于制订被称为IEEE 802.11i新一代安全标准，这种安全标准是为了增强WLAN数据加密和认证性能，定义了RSN（Robust Security Network）概念，而且针对WEP加密机制多种缺点做了多方面改善。IEEE 802.11i要求使用802.1x认证和密钥管理方法，在数据加密方面，定义了TKIP（Temporal Key Integrity Protocol）、CCMP（Counter-Mode/CBC-MAC Protocol）和WRAP（Wireless Robust Authenticated Pr

17、otocol）三种加密机制。其中TKIP采取WEP机制里RC4作为关键加密算法，能够经过在现有设备上升级固件和驱动程序方法达成提升WLAN安全目标。CCMP机制基于AES（Advanced Encryption Standard）加密算法和CCM（Counter-Mode/CBC-MAC）认证方法，使得WLAN安全程度大大提升，是实现RSN强制性要求。WPA向IEEE 802.11i过渡中间标准然而，市场对于提升WLAN安全需求是十分紧迫，IEEE 802.11i进展并不能满足这一需要。在这种情况下，Wi-Fi联盟制订了WPA（Wi-Fi Protected Access）标准。WPA是IEE

18、E802.11i一个子集，其关键就是IEEE 802.1x和TKIP。WPA和IEEE 802.11i关系以下图所表示。WPA和IEEE 802.11i关系WPA采取了802.1x和TKIP来实现WLAN访问控制、密钥管理和数据加密。802.1x是一个基于端口访问控制标准。TKIP即使和WEP一样全部是基于RC4加密算法，但却引入了4个新算法：l 扩展48位初始化向量（IV）和IV次序规则（IV Sequencing Rules）;l 每包密钥构建机制（per-packet key construction）;l Michael（Message Integrity Code，MIC）消息完整性

19、代码;l 密钥重新获取和分发机制。WPA系统在工作时候，先由AP向外公布本身对WPA支持，在Beacons、Probe Response等报文中使用新定义WPA信息元素（Information Element），这些信息元素中包含了AP安全配置信息（包含加密算法和安全配置等信息）。STA依据收到信息选择对应安全配置，并将所选择安全配置表示在其发出Association Request和Re-Association Request报文中。WPA经过这种方法来实现STA和AP之间加密算法和密钥管理方法协商。在STA以WPA模式和AP建立关联以后，假如网络中有RADIUS服务器作为认证服务器，那么S

20、TA就使用802.1x方法进行认证；假如网络中没有RADIUS，STA和AP就会采取预共享密钥（PSK，Pre-Shared Key）方法。在WPA中，AP支持WPA和WEP无线用户端混合接入。在STA和AP建立关联时，AP能够依据STAAssociation Request中是否带有WPA信息元素来确定哪些用户端支持使用WPA。不过在混合接入时候，全部WPA用户端所使用加密算法全部得使用WEP，这就降低了无线局域网整体安全性。尽管WPA在安全性方面相较WEP有了很大改善和加强， 但WPA只是一个临时过渡性方案，在WPA2（802.11i）中将会全方面采取AES加密机制机制。4 .企业/校园无

21、线网安全处理方案4.1无线网安全性现实状况分析企业对无线网络需求特征，安全原因被放在了首位，因安全方面担心而不愿采取Wi-Fi，是现在很多企业存在现象。实际上，现在大多数企业或校园无线网络提供安全性怎样？能否满足企业或校园需求呢？因为历史原因，大多数企业或校园无线局域网关键是依靠 WEP方法对数据进行加密，数据加密后微波信号即使被人截获，也不易破解，从而确保用户传输数据安全性。不过WEP存在着不理想地方：一是密钥共享。因为每个人全部知道密钥，则密钥很轻易泄漏不易管理。二是弱密钥缺点，造成WEP不能很好地抵御密码学破解攻击。其次，假如AP不做任何安全设定，则任何一个符合Wi-Fi网卡全部能够接入

22、网络，所以大多数无线局域网用户接入安全保障是采取MAC地址控制。不过这种接入控制方法对于大型企业或校园无线网，会存在管理麻烦、扩展能力受限制等问题。另外，黑客还可能会使用MAC欺骗技术入侵网络。所以对于企业或校园无线网络系统，假如不从整体上进行计划和设计，只孤立地采取单一某项安全技术是无法满足企业或校园高安全性要求。反而会造成无线网络不安全印象，造成不能充足利用无线网络所能提供很多特征和优点来进行资源共享和提升工作效率。下面就将介绍依据企业或校园无线网络应用需求和要达成目标，整体计划设计一套适适用于企业及校园无线安全处理方案。4.2 处理方案概述为了处理企业无线应用首要难题安全性，该处理方案采

23、取了WPA安全架构设计。同时，为了向企业外部来访用户提供无线接入灵活性和方便性，该方案还应用了基于英特尔架构无线网络控制器（WNC）和支持多SSIDAP（Cisco 1100/1230），使企业无线网络在确保企业信息安全前提下，对多个接入认证方法提供了必需支持。为了使无线网络系统能满足企业或校园在功效性、灵活性和可扩展性方面众多需求，中采取Ocamar WNC（昂科无线网络控制器）作为无线网络管理和控制设备。昂科WNC除了实现了AC设备应该含有接入控制、身份认证等功效，还能够向企业提供策略路由、流量控制、无线设备管理、用户管理和计费等极具价值功效，这使其成为对企业和校园无线应用架构起关键作用设

24、备。上海交通大学无线网案例下面以上海交通大学校园无线网项目为例，具体地叙述经典企业及校园无线处理方案：上海交通大学是中国历史最悠久高等学府之一。多年来，伴随学校教学规模逐步扩大，除拥有古色古香百年徐家汇老校区外，还有现代化闵行新校区和法华镇路校区、上中校区、七宝校区等五个在上海不一样位置校区。因为存在不一样地点校区，交大教员和学生不得不在不一样校区往返，同时教学场所也常常在各校区之间变换。这让校园网络出现了难题:1、 怎样在不大幅度提升成本情况下，校园网络覆盖五个不一样位置校区？2、 怎样在校园各个教学场所之间，提供无缝网络连接，完成教学任务？3、 怎样连接五个不一样位置校区，同时又提供足够安

25、全特征，确保安全通畅网络连接？4、 怎样充足利用现有资源，帮助教员和学生利用现代互联网技术，提升教学效率和学习效率？针对学校面临以上难题，对无线网络处理方案要求确定以下：1. 无线网络信号覆盖五个不一样位置校区；2. 提供无缝互联网IP连接特征，保持教学网络在校园之间无缝漫游；3. 保障无线网络安全性，对用户和资源访问权限进行管理；4. 对不一样无线用户提供不一样接入认证方法，并对其应用适宜路由策略；5. 普及基于无线连接笔记本电脑，充足提升教学和学习效率。为让网络应用价值最大化，从而为上海交通大学五个分散校区内构建一个统一、易接入、稳定安全校园无线网络环境。针对处理方案要求，经过数次比较和反

26、复技术论证，决定为上海交通大学无线网络采取以下处理方案：1. 全方面采取基于英特尔企业迅驰移动技术笔记本电脑作为无线终端，提升教和学效率和移动便利，同时确保高速互联网接入；2. 采取符合802.11标准及经过Wi-Fi认证无线网络产品，关键安全架构采取WPA标准；3. 采取含有多SSID和VLAN特征Cisco Aironet 1200系列AP进行基础覆盖；4. 采取昂科WNC无线网络接入控制器作为无线校园网安全接入产品，为网络安全和扩展提供确保；5. 采取昂科WNMS无线网络管理系统，对整个无线网络基础设施、用户、安全策略和相关资源进行统一管理和监控。该处理方案还使得上海交大整个校园无线网络

27、含有高度可扩展性和可升级性，为未来实现网络升级和扩展提供了极高资源保护。整个方案由昂科信息技术（上海）企业提供系统集成和方案实施。昂科信息技术（上海）在充足了解上海交大现有网络建设后，针对上海交大实际情况，提出了校园无线网络整体处理方案。具体方案如拓扑图所表示：图，各无线覆盖区域AP就近接到接入层交换机上。因为存在校内老师、学生和校外来访用户等不一样无线用户群，出于不一样用户群对安全性、易用性要求不一样考虑，采取802.1x和WEB认证相结合方法来提供用户身份认证。为了区分这两种接入方法并将其分别关联到一个对应VLAN，采取了支持多SSID（Multi-SSID）和802.1q VLAN特征C

28、isco Aironet 1200 系列AP。对于在校内学生和老师用户，将采取符合WPA安全架构802.1x标准认证接入方法，认证经过用户将取得一个每用户唯一主密钥，经过该主密钥用户端和负责接入AP将依据TKIP方法动态生成每数据包唯一加密密钥，通信双方以此进行通信加密。在校园有线网L3分布层交换机上配置VLAN子接口，利用该子接口作为这个SSID所代表VLAN网关，对其进行路由转发。从而使经过认证企业内部用户能够如同用有线接入一样访问整个企业网络，不过因为对无线通信进行了动态加密，确保了校园敏感数据在空中传输安全，有效地处理了校园无线应用首要问题。对于用WEB方法认证校外来访用户，当利用基于

29、英特尔企业迅驰移动技术笔记本电脑连接上无线接入点后，能够经过AC设备DHCP服务或企业专用DHCP服务器取得IP地址、网关和DNS信息，无须安装用户端软件，直接利用浏览器就能够经过充当WNC设备进行WEB方法认证，认证经过后就能够接入到Internet。为确保整个园区网络安全性，对于该SSID接入用户必需以WNC作为其网关设备，所以L3分布层交换机无须对该SSID所代表VLAN进行路由转发，从而统一该虚网出口为昂科AC无线网络控制器。假如这些用户需要访问校园内部网络，能够经过在这一WNC设备上启用用户级策略路由来实现。这么在确保一定安全性基础上方便了来访用户或漫游用户接入，提升了无线网络易用性

30、和灵活性。4.3 处理方案特点4.4.1安全性高这套专门为大中型企业和校园定制无线局域网系统支持符合WPA安全架构802.1x认证方法， 借助TKIP技术动态生成数据加密密钥使空中无线数据通信如同在一条加密隧道中传输，确保了信息传输高安全性。而且经过利用Ocamar WNC灵活配置方法和支持多个认证接入方法特征，还支持Web方法认证和无线链路层VPN加密方法PPTP、L2TP，和支持协议过滤、策略路由、流量控制等访问控制策略，过滤掉非法用户访问，确保网络安全。4.4.2支持多SSID和VLAN划分Cisco Aironet 1200系列AP支持多SSID特征, 每一个全部能够映射到有线网络一个

31、VLAN, 将符合802.1q标准VLAN 延伸到无线网络上。网络管理员能够将无线网络上用户分组和网络分段管理和有限网络一同计划，大大减轻了管理负担、确保了企业安全策略一致性。4.3.4利用策略路由进行访问控制昂科WNC策略路由功效对于拥有多个网络出口、多个用户群体企业或组织机构有相当应用价值。针对不一样用户采取不一样路由策略，能够很好地划分和引导用户数据流，便于管理和资源分配。在企业中，策略路由功效更是能够用来区分用户权限等级，以限制不一样用户访问不一样网络，从而强化了企业信息系统安全性。比如交大无线校园处理方案中，学校网络有两个出口，一个连到中国教育科研网（CERNET），另一个和Inte

32、rnet相连。该案例中将校园无线用户分成两类，一是老师用户，一是学生用户。为了让学生能经过教育网和其它高校师生进行交流，不过又不想Internet上垃圾信息和不良网站干扰学生正常网上生活，就能够设置学生用户下一跳路由到CERNET，而老师用户下一跳则是路由到Internet出口，从而实现了不一样无线用户群体访问需求。4.3.5流量控制确保用户带宽经过Ocamar WNC流量控制功效将不一样用户带宽按不一样需要进行管理，确保一些关键用户带宽，从而确保了任务关键性无线企业应用通畅，有效预防了带宽过量占用拒绝服务攻击。4.3.6 AP管理和用户管理经过Ocamar WNCAP管理功效，能够对其下所连

33、AP作为一个网络单元进行管理，结合昂科WNMS网管系统还能够将Ocamar WNC作为SNMP代理对这些AP进行管理。另外，Ocamar WNC还提供完善用户管理，无线网络管理员能够经过“Web Manager”图形化配置界面，方便地填加、删除用户，或对用户接入控制属性进行设置，定制用户等级接入控制策略。4.3.4支持漫游用户当企业或校园里终端用户在移动中进行网络通信时，用户可能会在AP之间漫游，甚至跨越不一样IP子网，无线接入点必需瞬间完成用户重新认证和密钥分配，并为用户建立由所在网段AP提供通往原网段AP隧道，继续保持用户通话。该方案经过采取符合Wi-Fi认证标准无线接入产品，和功效强大、

34、能提供移动IP和策略路由支持Ocamar WNC，将使多种漫游用户在异地无线接入仍能顺利访问到原地网络。4.3.7无线网络管理该无线处理方案经过采取Ocamar WNMS，能够把各无线局域网内AP设备和其相连运行情况实时纳入网管系统管理范围；面向全网，为网络维护人员提供统一、完备全网视角，正确、快速把握全网实时性能和潜在问题，立即采取对应方法确保企业WLAN高可靠性。采取一个完整无线局域网网管系统WNMS。WNMS采取网络管理标准协议SNMP对相关无线局域网设备进行配置、管理数据、性能数据、故障数据采集和分析，同时也可经过WNMS 对具体设备上参数进行配置、调整、故障诊疗。WNMS 还提供拓扑

35、发觉、管理功效，能够直观反应出AC、AP 和其它相关设备之间对应关系。网络监视基于网络拓扑图进行，在性能、告警、配置等方面动态反应网络改变,所以成为保障无线网络稳定运行不可缺乏关键组成部分。4.4无线产品选型标准现在在市面上销售无线接入产品类型多个多样，就算无线芯片来自同一家厂商，产品集成制造厂家和实现方法也各不一样。所以为了保护投资和确保产品兼容性、互操作性和可扩展性，产品除了要求符合电气和电子工程师协会（IEEE）802.11系列标准，还应该一致选择符合Wi-Fi认证标准无线产品。功效完备、安全性好、使用简易是计划一套信息系统基础设施永恒目标，选择适宜产品将是实现这一目标前提。上海交通大学

36、无线网络项目之所以成功，正是因为处理方案提供商昂科信息技术（上海）依据合理产品选型标准，结适用户需求选择了适宜无线产品和架构标准。依据在无线接入网络系统中所饰演角色不一样，接下来将从无线接入基础设施、无线终端设备、接入控制设备和后台服务系统多个方面叙述产品选型需要考虑要素和应该遵照标准。4.3.1无线接入基础设施无线接入基础设施是实现无线网络覆盖最基础设备，这方面产品选型应该遵照以下标准：1、首先要依据应用需求确定无线接入设备规格标准，如选择802.11系列a、b或g标准；2、确保所选择产品全部是经过Wi-Fi组织认证；3、依据特殊应用需求，选择适宜、提供这些应用支持产品；4、从产品可靠性、可

37、扩展性、性能、成本和保护投资等方面综合考虑。比如，选择Cisco Aironet 1200系列AP能够保护现有和未来网络基础设施投资。这种符合电气和电子工程师协会（IEEE）802.11b标准接入点现在能够支持高达11Mbps数据传输速率，并完全符合Wi-Fi认证标准，能够为想要采取WPA安全架构企业用户提供安全无线网络处理方案支持。Cisco Aironet 1200系列模块化设计能够实现单段和双段配置，和可现场升级能力，一个单独接入点能够在提供一个802.11b波段传输同时，为高速802.11a提供另外一个无线电连接。Cisco Aironet 1200系列能够支持全部802.1X认证类型

38、，包含EAP思科无线认证（LEAP）、EAP-TLS和利用EAP-TLS类型，完全能够满足WPA标准要求。Cisco Aironet 1200系列多SSID（Multi-SSID）特征为需要同时布署多个方法无线接入方法企业提供了最大灵活性。使得企业将无线网络认证方法从传统迁移到WPA标准变得更轻易更灵活。多SSID特征结合VLAN技术，企业还能够布署针对不一样用户群采取不一样得认证方法无线接入系统，能够同时满足企业高安全性要求和来访用户简便接入需求。4.3.2无线终端设备无线移动终端通常指是用户直接使用并含有没有线网络接入能力数字终端，现在市面上关键有迅驰笔记本电脑、带有WLAN无线网卡台式P

39、C机、含有WLAN接入功效PDA等等，甚至现在还有带WLAN通信功效摄像、监控设备。选择这些设备也应该遵照符合Wi-Fi认证、可靠性高、使用方便产品。其中基于CMT（迅驰移动技术）笔记本电脑是最广泛使用WLAN终端，这项技术采取和WLAN应用布署几乎同时增加。迅驰移动技术是国际著名芯片设计制造商英特尔专为无线应用而设计，采取这种创新技术笔记本电脑将取得以下特征：l 集成无线局域网连接能力；l 突破性移动计算性能；l 延长电池使用时间；l 更轻、更薄外形设计。4.3.3无线接入控制设备因为WLAN和其它有线网络间显著区分，标准上全部应该在WLAN和传统网络之间布署一个接入控制机制，以加强企业网络

40、安全性和WLAN接入方法灵活性。通常这种接入控制机制是由一个通称为接入控制器（AC）设备来实现。昂科无线网络控制器( Ocamar Wireless Network Controller，以下简称Ocamar WNC)就很好实现了AC各项功效定义，除了含有常见身份认证、接入控制等AC必备功效之外，还含有流量控制、策略路由等增值功效。昂科WNC提供了建立含有安全性、可升级性和对业务至关关键802.11无线网络基础。在无线以太网关键部分，Ocamar WNC提供包含严密访问控制、集中式管理、无缝漫游等关键性服务，而且整合了计费功效。4.3.4无线网络后台服务系统基于英特尔体系结构服务器为企业提供了

41、构建高性能、高可用信息系统基础设施平台。比如DHCP服务器、RADIUS服务器、WEB服务器等企业信息化必备组件全部能够采取英特尔体系结构服务器实现，利用这些基础组件能够实现WPA标准要求系统性要求，而且为未来扩展和升级提供了足够空间和灵活性。 在硬件基础设施基础上，同时也要选择适宜、功效完备、可靠性高相关软件系统，如无线网络管理系统、身份验证系统等等。比如选择Ocamar WNMS无线网络管理系统就能对无线网基础设施进行有效管理，因为该系统含有设备配置和性能管理、负载均衡、故障预警、故障告警等功效，对简化网络管理负担全部是很有价值。5.结论WLAN技术是当今世界上最令人振奋、全新无线技术之一

42、。实现了不管是在工作中、在家中，还是中国外旅行中安全、健壮高速无线访问。现在有笔记本电脑、PDA支持它，而且立即将被手机支持。该技术采取正快速地在很多地方增加，包含企业、机场、医院、酒店、家庭、餐馆、咖啡厅、仓库，甚至也应用在停车场和汽车站，让大家能随时和同事和家人保持联络，从而更大提升自由度和工作效率。不管是企业、运行商还是个人用户，假如能构建符合标准、易于使用且属于自己WLAN设施，将能强占先机、提升效率和降低成本。尤其是对于企业，假如能根据Wi-Fi组织定义安全标准实施企业WLAN，那么将对企业信息化应用产生极大价值。采取文中安全处理方案中描述WLAN安全架构，并灵活利用符合Wi-Fi认证要求产品来搭建WLAN系统，将是迈向最终实现安全接入、无缝漫游踏脚石。昂科信息技术（上海）采取了基于英特尔企业迅驰移动技术笔记本电脑和思科功效齐全、性能稳定无线接入点产品，并结合昂科WNC无线网络控制器和WNMS网管软件系统来构架交大无线网处理方案。这些要素组成了上海交通大学无线校园网络最好平台和框架，它提供了无线、移动、高速和安全互联网连接，帮助上海交通大学成为中国最成功校园网实施案例。同时，该案例中处理方案也成为值得其它大中型企业和学校在布署无线网络之前应借鉴成功典范。