1、图书馆收藏中图分类号: 密级:UDC: 编号:毕业设计设计题目名称:校园无线网络方案设计及安全防范专业名称:计算机应用技术/建筑工程管理论文(设计)提交日期: 20101 年 月 日论文(设计)答辩日期: 2010 年 月 日徐州建筑职业技术学院二 年 月 日毕业设计成绩评定书 专业、班级 姓名 日期 1、设计题目 2、设计指导教师(签名) 3、设计评阅人(签名) 评阅日期 4、评定意见及成绩 目 录第一章 绪 论4第二章 无线网络设计方案82.1 硬件选择与配置82.2 无线网络设备选购102.3 无线校园网设计分析27第三章 安全防范303.1 概述303.2 无线局域网的安全认证313.
2、3 无线局域网的加密技术323.4 选择无线局域网安全策略的原则32第四章 结束语33第五章 致 谢34第一章 绪 论1.1 概述无线局域网(WLAN)技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点:简易性:WLAN网桥传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作;灵活性:无线技术使得WLAN设备可以灵活的进行安装并调整位置,使无线网络达到有线网络不易覆盖的区域;综合成本较低:一方面WLAN网络减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网技术可以更好地保护已有投资。同
3、时,由于WLAN技术本身就是面向数据通信领域的IP传输技术,因此可直接通过百兆自适应网口和企业、学校内部Intranet相连,从体系结构上节省了协议转换器等相关设备;扩展能力强:WLAN网桥系统支持多种拓扑结构及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统;随着WLAN技术的快速发展和不断成熟,目前在国内外具有较多的中大规模应用,诸如荷兰的阿姆斯特丹市的全城覆,向客户提供各种业务。 1.2 需求分析1.2.1、建设背景在信息迅猛发展的今天,国内所有高校均实现了有线校园的建设。但随着教学设施的完善,越来越多的便携式计算机终端被带进了教室,越来越多的学生也开始拥有了带有无线网
4、卡的计算机终端。教师和学生对高校校园网的依赖性相当之高,“随时随地获取信息”已成为广大师生们的新需求。但是,传统的有线校园网存在着诸多“网络盲点”,比如在图书馆、大型会议室、体育馆等许多不宜网络布线的场馆设施如何联网?在教室、实验室等场合如何突破网络节点限制、实现多人同时上网的问题?1.2.2总体建设目标利用无线网络技术进一步扩展校园网的覆盖范围,使全校师生能够随时随地、方便高效地使用校园网络;促进教学和科研发展,进一步拓展研究空间;提升校园网络环境,提高管理水平和效率,推动学校信息化建设;要覆盖部分原来没有有线网的空间,诸如:报告厅;由于本工程是在校园有线网的基础上加以无线扩充(即采用AP将
5、无线网络不近接入到有线网络)。1.2.3具体实施目标侧重实际应用,覆盖校园内部分区域,为教学和学习生活提供切实可用的无线网络环境;采取通行的网络协议标准:目前无线局域网普遍采用802.11系列标准,因此校园无线局域网将主要支持802.11g(54M带宽)标准以提供可供实际应用的相对稳定的网络通讯服务,同时兼顾多种类型应用和将来的投资保护,需要同时支持801.11a,802.11b,实现双频三模技术;全面的无线网络支撑系统(包括无线网管、无线安全,无线计费等),以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题;保证网络访问的安全性;采用非独立型的无线网络结构选型。覆盖范围要求:有线
6、网络无法接入的室外场所:校园内一些场所很难实现网络有线接入,采用无线方式可以实现覆盖大范围室外空间的无线网络接入。本次建设主要包括各宿舍及教学楼附近空地等。有线网络使用不便或受限的室内空间:校园内一些室内场所空间较大,会产生许多人同时接入网络的需求,采用有线的方式只能提供少量接口,不能满足要求。用无线网络覆盖来解决相当数量的移动设备同时访问网络的问题。主要包括图书馆、主楼、各教学楼等;安全、认证、计费和管理要求:要与现有的计费系统对接,实现针对用户计费、管理、控制功能;校园无线网网络结构要求:无线接入所需布设的AP通过校园网的汇聚层设备接入到校园网中,在汇聚层都提供相应的接口给无线网线,在接入
7、层设备要在方案中进行描述。工程布线和安装要求:室内部分:定好较为开阔位置,将网线和电源线走暗线敷设到位;挂在墙上,可利用设备本身自带的安装附件进行安装;如果需要遮蔽,则需要定制非金属安装盒;如果是挂在天花板上,则根据天花板的情况而定,若天花板是非金属结构,可以固定在天花板内。安装过程中应充分考虑防盗问题。室外部分:根据设备位置有两种布线方式。如果AP设备放置在楼顶,则需要走网线和电源线;如果AP设备放置在室内,天线放置在室外,则需要走天线馈线。这两种方式馈线都需走铁管,贴防水胶方式处理,安装过程中应充分考虑防盗。供电部分:AP的供电可采用POE方式由接入的网络设备进行供电(无需本地供电)。产品
8、能力要求:产品支持AES、WEP加密等安全标准;漫游切换;支撑QOS能力。1.3 无线校园网在教育中的发展与应用无线校园网的建立发展不断地改变我们学生和老师的日常学习生活,各个方面都有典型的应用比如:1.3.1提供教学无线网络通过无线校园网络覆盖教学楼及些校内公共课教学环境,如计算机公共机房、电教楼公共教室等。为广大师生提供了一个更为有效的网络互动平台,加强了学习生活的交流,同时为学生在教室内的自习提供一个方便的查询资料的网络环境。1.3.2提供图书馆无线网络通过无线校园网覆盖整个图书馆内所有的区域,教师和学生可以很方便地利用无线网络使用图书馆提供的各种数字化服务,能够了解查阅各类信息知识。1
9、.3.3提供行政办公网络通过无线校园网覆盖学校的各系、院办公楼和行政办公区,通过对办公区域提供无线网络,提高了各职能部门的效率,满足了教职员工的在线查询能力,大大提高了各职能部门的服务质量。1.3.4提供教工、学生宿舍网络在部分的教工宿舍和大部分的校内宿舍提供了无线局域网无限覆盖,满足了教工和学生临时上网的要求。1.3.5无线应急系统在出现需要突发性大规模网络服务要求的场合,提供临时性的无线网络服务,满足用户对网络的需求。校园信息化建设一直是高质量、高效率教学办公的保障,随着802.11g无线局域网技术和无线产品的成熟,无线网络的应用将会为网络化学习、教学开创新的应用模式; 利用无线网络实现校
10、内信息的发布、共享、传递,推进教学及管理信息化,拓展学生的知识面。而有线网络只能提供师生们固定的、有限的网络信息点,随着时代的进步,笔记本电脑的普及,师生们希望不仅仅是在实验室才能将他们的计算机连上网络,而在校园的草坪上、宿舍区、学术报告厅里、图书馆的任何一个角落都能将他们的笔记本电脑随时随地、随心所欲的联入校园网或Internet、不愿再受有线的束缚。WLAN技术的出现,学校采用无线组建校园网,学生们不仅可以在宿舍和实验室固定的地方上网 ,还可以在课堂上、图书馆、自习室也能很方便的接入,甚至根据自己的合理时间安排,在学校宽阔空旷的花园草坪上上网查阅学习资料。在考试前夕更可以减少实验室、图书馆
11、等可以有线园区上网的压力,改进学校的学习环境,提高了学生的学习效率与成绩。所以,对于学校来说,一方面教学的互动性增强了,另一方面,教学的信息量大大增加了;在课堂上,学生不再仅仅是被动的听者,也是互动教育的参与者,学生可以用自己的资料来参与教学,同时这些数据可随时共享,在课堂上现场做演示,并允许老师和同学们共享文件。回到宿舍,学生也不再为找网络接口而发愁,躺在宿舍的床上既可用笔记本无线上网,享受最前沿科技带来的便捷和乐趣,周末期间可在多个宿舍之间自由共享文件进行学习探讨、学术交流、音乐视频点播等自由娱乐。第二章 无线网络设计方案2.1 硬件选择与配置2.1.1 概述WLAN(Wireless L
12、ocal Area Network,无线局域网)是通信行业的一个时髦词语,而且可以肯定它是一种人人都想使用的技术。WLAN 变得如此流行的原因是易于安装和使用。通过WLAN 系统,用户无须考虑复杂的线路连接和布置问题。可是WLAN系统也不是完全的“无线”,因为只有客户端是可移动的,而服务器或者说接入设备是固定的。使用 WLAN 解决方案,网络服务商和企业能给他们的客户提供无线局域网服务,这些服务包括:使用带有 WLAN 功能的设备组建一个无线网络。这个网络可以成为接入固网或者Internet 的入口。配置了无线PCI 网卡的客户端可以与无线网络建立连接并访问固网或Internet。WLAN 客
13、户端与传统的802.3 局域网的互连。通过不同的加密和认证方式实现安全的访问。WLAN 功能使用户能够安全的访问网络并且能在同一移动区域内进行快速漫游。2.1.2 WLAN 的工作机制WLAN 由以下几个部分组成: Client(客户端):带有无线网卡的便携机。 Access Point(AP,接入点):执行桥接操作的设备,在客户端(Client)和局域网(LAN)之间对无线帧和有线帧进行相互转换。 Access Controller(AC,无线控制管理器):对WLAN 内所有AP 进行管理和控制的设备,通过与认证服务器的通信来进行信息过滤。 Wireless Medium(无线媒介):用于客
14、户端间进行帧传输的媒介。在WLAN系统里使用无线电频率做为媒介。WLAN系统逻辑上是一个专一的针对无线局域网的解决方案。图1-1展示了典型的WLAN系统。图1-1 典型的WLAN系统在这个组网中有 1 个AC 和3 个AP。AP 可以和AC 直连,或者被2层或3层网络隔离开。在初始化阶段,AP获取自身的网络配置,包括IP地址和DNS服务器的IP地址。AP使用一个发现机制来识别邻近的AC,它能请求DNS服务器提供AC的网络地址。(1) 客户端如果想和其它客户端进行通信必须与网络中的AP 建立起连接。(2) 然后AP 与AC 进行通信,认证客户端的身份。(3) 一旦客户端被认证通过,它就可以和网络
15、里的其它客户端进行通信了。 2.1.3 WLAN 的基本配置项 国家码:国家码会决定系统的许多特性,例如运行所需的电源规格,以及帧传输可以使用的频段总数等。 WLAN-ESS 接口:无线控制器支持 WLAN-ESS 与WLAN-DBSS 类型虚拟接口。WLAN 模块动态地为每一个无线接入服务创建一个WLAN-DBSS 虚接口,此虚接口的VLAN 配置继承于WLAN-ESS 接口。WLAN-ESS 接口是一种虚拟的二层接口,类似于Access 类型的二层以太网接口,具有二层属性,并可配置多种二层协议。它为WLAN-DBSS 接口提供配置模板。用户可以为WLAN-ESS 接口配置参数,这些参数将应
16、用到该接口下的WLAN-DBSS接口上。 无线策略:将 AP 的无线参数抽象为一个无线策略模板,通过将无线策略模板下发到AP 上的方式实现对AP 无线参数的配置。减少了为每一个AP 配置无线参数的工作。 服务模板:提供对客户端的接入和访问控制等功能。每个服务模板对应一个WLAN-ESS 接口,服务模板和WLAN-ESS 接口组成了WLAN 的逻辑管理接口ESS。 AP 模板:AP 模板为AC 为了对AP 进行管理和配置创建的与AP 一一对应的模板。首先在AP上创建AP 模板,AP 模板的serial-id 是AP 的唯一标识,与AP 一一对应。通过对AP 模板的配置完成对AP 的配置。2.2
17、无线网络设备选购2.2.1 无线网卡无线网卡是终端无线网络的设备,是无线局域网的无线覆盖下通过无线连接网络进行上网使用的无线终端设备。具体来说无线网卡就是使你的电脑可以利用无线来上网的一个装置,但是有了无线网卡也还需要一个可以连接的无线网络,如果你在家里或者所在地有无线路由器或者无线AP(AccessPoint无线接入点)的覆盖,就可以通过无线网卡以无线的方式连接无线网络可上网。2.2.1.1 无线网卡标准 IEEE 802.11a :使用5GHz频段,传输速度54Mbps,与802.11b不兼容; IEEE 802.11b :使用2.4GHz频段,传输速度11Mbps; IEEE 802.1
18、1g :使用2.4GHz频段,传输速度54Mbps,可向下兼容802.11b; IEEE 802.11n(Draft 2.0) :用于Intel新的迅驰2笔记本和高端路由上,可向下兼容,传输速度300Mbps。2.2.1.2 无线网卡的分类无线网卡按照接口的不同可以分为多种: 一种是台式机专用的PCI接口无线网卡; 一种是笔记本电脑专用的PCMCIA接口网卡; 一种是USB无线网卡,这种网卡不管是台式机用户还是笔记本用户,只要安装了驱动程序,都可以使用。在选择时要注意的只有采用USB2.0接口的无线网卡才能满足802.11g或802.11g+的需求。USB无线网卡除此而外,还有笔记本电脑中应用
19、比较广泛的MINI-PCI无线网卡。MINI-PCI为内置型无线网卡,其优点是无需占用PC卡或USB插槽,并且免去了随时身携一张PC卡或USB卡的麻烦。 2.2.1.3.无线网卡接口类型 台式机专用的PCI接口无线网卡 笔记本电脑专用的PCMICA接口网卡PCAMICA网卡 USB接口无线网卡USB无线网卡 笔记本电脑内置的MINI-PCI无线网卡MINI-PCI无线网卡2.2.1.4 无线网卡与无线上网卡的区别 无线上网卡无线网卡和无线上网卡外观很象,但功用确大不一样。通过这一比较可见,二者虽然都可以实现无线上网功能,但其实现的方式和途径却大相径庭。所有无线网卡只能局限在已布有无线局域网的范
20、围内。如果要在无线局域网覆盖的范围以外,也就是通过无线广域网实现无线上网功能,电脑就要在拥有无线网卡的基础上,同时配置无线上网卡。由于手机信号覆盖的地方远远大于无线局域网的环境,所有无线上网卡大大减少了对地域方面的依赖,对广大个人用户而言更加方便适用.无线网卡和无线上网卡虽然都能实现无线功能,但实现的方式和途径是完全不同的。无线网卡主要应用在无线局域网内用于局域网连接,要有无线路由或无线AP这样的接入设备才可以使用,而无线上网卡就象普通的56K MODEM一样用在手机信号可以覆盖的任何地方进行Internet接入,新手要注意区别。2.2.2 无线AP无线AP(AP,Access Point,无
21、线访问节点、会话点或存取桥接器)是一个包含很广的名称,它不仅包含单纯性无线接入点(无线AP),也同样是无线路由器(含无线网关、无线网桥)等类设备的统称单纯性无线AP就是一个无线的交换机,提供无线信号发射接受的功能。单纯性无线AP的工作原理是将网络信号通过双绞线传送过来,经过AP产品的编译,将电信号转换成为无线电讯号发送出来,形成无线网的覆盖。根据不同的功率,其可以实现不同程度、不同范围的网络覆盖,一般无线AP的最大覆盖距离可达300米。 多数单纯性无线AP本身不具备路由功能,包括DNS、DHCP、Firewall在内的服务器功能都必须有独立的路由或是计算机来完成。目前大多数的无线AP都支持多用
22、户(30-100台电脑)接入,数据加密,多速率发送等功能,在家庭、办公室内,一个无线AP便可实现所有电脑的无线接入。 单纯性无线AP亦可对装有无线网卡的电脑做必要的控制和管理。单纯性无线AP即可以通过10BASE-T(WAN)端口与内置路由功能的ADSL MODEM或CABLE MODEM(CM)直接相连,也可以在使用时通过交换机/集线器、宽带路由器再接入有线网络。无线AP组网结构图2.2.2.1 AP选购H3C WA2110-AG简介:WA2110-AG是华三通信技术有限公司(H3C)自主研发的双频多模系列无线接入点,可广泛应用于各种向用户提供WLAN接入的无线网络;WA2110-AG作为瘦
23、AP(FIT AP)与H3C公司自主研发的无线控制器系列产品配套使用。H3C WA2110-AG主要参数无线AP工作方式:室内型Fit AP无线AP传输距离:600m频率范围:802.11a: 5.15GHz-5.3网络标准:IEEE802.11a, IEEE802.11b,IEEE802.11g调制技术:OFDM, DBPSK, DQPSK, 接收灵敏度:802.11a: -70dBm54Mb其他功能:支持虚拟AP支持“零配”安全:GB4943-2000, UL60950端口类型:1个10/100Base-Tx输出功率:6WH3C WA2110-AG特点 支持虚拟APWA2100和WA220
24、0系列产品支持多SSID实现虚拟AP特性,每个SSID可对应不同的VLAN、从而对于每一个SSID可以实现不同的网络服务及认证方式。该特性使管理员可以方便的为不同用户群、不同的业务制定区分的服务策略。 支持“零配置”特性传统无线网络的部署需要网络管理人员对网络中的每一个AP进行逐一配置,当无线网络规模较大时网络管理人员往往要配置上百个AP,配置工作量巨大,且易于出错。而采用H3C WA2100或WA2200 作为Fit AP配合无线控制器的进行组网时,网络维护人员只需要在无线控制器上对业务属性和物理属性相似的AP建立配置模版,这样AP在启动时可以从无线控制器动态获取配。2.2.3 无线控制器无
25、线控制器是一种网络设备,能够自动优化基本无线网络,并支持该网络之上的高级移动服务。思科无线局域网控制器适用于企业无线局域网部署,并提供了系统级无线局域网功能,如安全策略、入侵防御、RF管理、服务质量(QoS)和移动性。思科无线局域网控制器与Cisco1000系列轻型接入点和思科无线控制系统(WCS)软件共用,可支持关键的无线应用。从语音和数据服务到地点跟踪,WLAN控制器提供了必要的控制能力、可扩展性和可靠性,以便IT经理能构建从分支机构到主园区的安全、企业级无线网络。思科无线局域网控制器可平稳地集成入现有企业网络中。它们使用轻型接入点协议(LWAPP),与Cisco1000系列轻型接入点在任
26、意第二层(以太网)或第三层(IP)基础设施上通信(图2)。这种新型IETF标准有助于确保接入点和无线局域网控制器间的通信安全,可完全自动地支持重要的无线局域网配置和管理功能,从而实现经济有效的无线局域网运营。2.2.3.1 AC选购H3C WX5002-128H3C WX5002-128特色 方便部署、易于管理 传统无线网络的部署需要网络管理员对网络中的每一个AP进行逐一配置,当无线网络规模较大时网络管理员往往要配置上百个AP,工作量巨大,且容易出错。而采用无线控制器和FIT AP配合组网时,只需要在无线控制器上对一类相同属性的AP建立配置模板,AP在启动时可以自动从无线控制器上下载最新的配置
27、文件。另外,由于AP本身不保存任何配置,万一设备丢失,也可以保证网络配置不被窃取。AP支持启动后自动获取IP地址、自动获取AC的工作列表并自动和AC建立关联,真正做到了零配置,免维护,即插即用,极大地减轻了网络管理员在部署网络阶段的维护工作量。当网络正常运行以后,无线控制器对所管理的AP以及AP所接入的用户进行实时监控,并能将这些信息实时上报给网管。维护人员可以指定AP或用户进行在线服务策略设定和安全策略设定,使网络配置策略更加灵活。同时,无线控制器支持AP软件自动更新功能,AP在每次重新启动时会自动比较当前运行的软件版本和无线控制器上的最新版本是否一致,如不一致AP会自动更新本地的软件映像,
28、软件升级不再需要网管人员的干预。 三层漫游 H3C WX5002和WX6100系列无线控制器支持三层漫游(无线漫游即无线客户端连接到同一个SSID,从一个AP切换到另外一个AP的过程。三层漫游就是相邻的两个AP广播相同的SSID但对应到不同的VLAN。目前瘦AP技术在三层漫游时都是不中断的。即,无线客户端漫游到新AP上时,IP地址不变,所以通信不中断),并支持快速漫游,漫游切换时间小于50ms,满足对切换时间要求最苛刻的语音业务。 丰富的RF管理和安全RF(Radio Frequency的缩写,表示可以辐射到空间的电磁频率,频率范围从300KHz30GHz之间)管理功能,可以使得无线网络的布网
29、灵活性大大增强,网络的可维护性得到很大的提高。AP的功率调整和信道切换是网络部署和调试时不可缺少的重要手段,信道和功率还需要按照国家代码自动设置,H3C WX5002和WX6100系列无线控制器的RF管理功能使得网络部署非常简单。RSSI/SNR的不断更新,更是让系统可以适时了解每一个无线用户所处电磁环境的好坏、离AP的距离,从而可以采取相应的策略来提升网络可用性。 支持智能的负载均衡 支持按接入用户数量和流量的复杂均衡方式,当无线控制器发现AP的负载超过设定的门限值以后,对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入,如果有则AP会拒绝用户的关联请求,用户会
30、转而接入其他负载较轻的AP,但如果无线用户不在AP的重叠覆盖区内,传统的负载均衡方式往往会导致连接不上网络,造成误均衡。H3C公司创新性地支持智能负载均衡技术,保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能,有效的避免误均衡的出现,从而最大限度的提高了无线网络容量。 高可靠的备份功能 H3C WX5002和WX6100系列无线控制器支持AC组备份功能,通过预先配置,AP优先同主AC建立CAPWAP链路,当主AC不可用时,AP会自动寻找AC组中的第二个主AC,并和第二个主AC建立CAPWAP链路,从而达到AC间业务备份的目的。H3C WX5002和WX6100系列无线控制器还支持10
31、0ms业务热备份,AP会同时和两台无线控制器建立CAPWAP链路,一台作为主设备,另外一台作为备份设备,但只有和主设备建立的CAPWAP链路处于工作状态。当主控制器异常down机时,备份控制器和主控制器之间的心跳检测机制可以保证在100毫秒之内检测到主设备的异常,并通知AP将主备CAPWAP链路切换,保证控制信号的不间断传送。 IPv6AP和无线控制器之间可以穿过IPv6网络互联,从而使组网方式更加灵活,可以满足今后网络发展的需要,保护用户投资。 完善的QoS H3C WX5002无线控制器基于H3C公司最新的Comware V5平台开发,不但对Diff-Serv标准进行了完善,同时还增加了对
32、IPv6协议的QoS支持。QoS Diff-Serv 模型中主要包括流分类、流量监管(Policing)、队列管理、队列调度(Scheduling)等,完整实现了标准中定义的EF、AF1AF4、BE等六组PHB及业务,可为用户提供具有不同服务质量等级的服务保证,真正成为同时承载数据、语音和视频业务的综合网络。 支持隧道QoS AP接收到的无线报文首先要通过CAPWAP隧道送到AC上进行分析处理,H3C WX5002和WX6100系列无线控制器支持无线QoS到有线QoS/CoS的映射。在AP侧,无线域的QoS信息(802.11E)可以被映射到外层隧道的有线二层域(802.1p)和三层域(DSCP
33、)中,这样可以保证高优先级无线报文在有线网络上受到更好的优先级保证。 支持多种认证方式 H3C WX5002和WX6100系列无线控制器802.1x认证, portal认证,MAC地址认证,PPPoE认证等多重认证方式。H3C WX5002和WX6100系列无线控制器内置802.1x认证服务器,支持TLS、PEAP、TTLS、MD5、SIM卡等多种802.1x的认证方式,同时WX6100系列无线控制器还支持通过802.1x认证后下发VLAN和ACL功能,完成不同用户的动态授权。Portal认证方式解决了不便于安装客户端用户的安全认证问题。MAC地址认证功能解决了一些手持终端(例如:WiFi P
34、hone、手持移动终端等)并不方便采取电脑上的认证问题。H3C WX5002和WX6100系列无线控制器还还支持PPPoE认证,通过PPPoE成熟的认证和计费功能,可以方便的实现按流量计费等高级的计费方式,满足一些客户的运营级需求。 支持无线入侵检查WIDS(Wireless Intrusion Detection System) H3C WX5002和WX6100系列无线控制器支持非法AP检测,黑/白名单设置和无线协议攻击防御等WIDS功能,有效的提高了无线网络的整体安全。通过非法AP检测功能,无线网络可以自动监测非法设备(例如Rouge AP,或者Ad Hoc 无线终端),并适时上报网管中
35、心,同时对非法设备的攻击可以进行自动防护。白名单功能确保只有名单上的无线用户才能进行数据传输,其他用户均被认为非法用户,非法用户的报文全部在AP上被丢弃,从而减少非法报文对无线网络的冲击。另一方面,无线控制器还提供黑名单功能。用户可以通过配置方式或者控制器实时检测侦听的方式来确定设备是否被加入黑名单,被加入到黑名单中的设备发过来的报文全部在AP上丢弃,从而减少攻击报文对无线网络的冲击。无线控制器还支持多种攻击的检测,例如DOS攻击,Flood攻击,去认证、去连接报文的仿冒检测,以及无线用户Weak IV检测。特别无线协议攻击防御可以和动态黑名单配合使用,当控制器检测到攻击时,可以将发起攻击的无
36、线客户端动态添加到动态黑名单中,从而保证WLAN系统不再被该设备攻击。 支持EAD无线接入 端点准入防御(EAD,Endpoint Admission Defense)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。H3C WX5002和WX6100系列无线控制器支持无线用户的EAD接入,通过与安全策略服务器的联动,可以对感染病毒或存在系统漏洞
37、等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理,只有无线客户端符合相应的安全策略之后才允许正常访问网络,从而提高了无线网络的整体安全性。 有线无线一体化的网管系统IMC网管是H3C公司自主研发的新一代网络管理系统。IMC网管采用组件化结构设计,通过安装不同的业务组件实现了设备管理、软件升级管理、配置文件管理、告警管理、性能管理等功能。无论对于企业网、校园网、园区网用户还是各大运营商,IMC网管都可以提供完善的解决方案,方便用户监控、维护、管理各自的网络。H3C WX5002和WX6100系列无线控制器系列无线控制器提供本地维护、远程维护、集中维护等多种维护手段,并提供完备的告警
38、、测试、诊断、跟踪、日志等功能,方便用户的日常维护管理WX5002-128 主要性能参数网络标准:IEEE 802.11、IEEE 802.11a、IEEE 802.11b、IEEE 802.11g 、IEEE 802.11d、IEEE 802.11i、IEEE 802.11h、CAPWAP 网络接口 :WX5002-64 & WX5002-128:2个1000Base-X SFP千兆以太网端口(Combo) 工作电压:(V) 100240V AC ;50/60Hz 安全性能 :支持用户分级管理和口令保护支持IEEE 802.1X认证(EAP-SIM、EAP-TTLS、EAP-TLS、EAP-
39、MD5、EAP-PEAP)支持EAD(Endpoint Admission Defense,端点准入防御)支持AAA支持Radius认证支持HWTacacs+支持集中式MAC地址认证2.2.4 无线网桥无线网桥是为使用无线(微波)进行远距离数据传输的点对点网间互联而设计。它是一种在链路层实现lan互联的存储转发设备,可用于固定数字设备与其他固定数字设备之间的远距离(可达20km)、高速(可达11mbps)无线组网。无线网桥有三种工作方式,点对点,点对多点,中继连接。特别适用于城市中的远距离高以及是否加用双向放大器。从作用上来理解无线网桥,它可以用于连接两个或多个独立的网络段,这些独立的网络段通
40、常位于不同的建筑内,相距几百米到几十公里。所以说它可以广泛应用在不同建筑物间的互联。同时,根据协议不同,无线网桥又可以分为2.4GHz频段的802.11b或802.11以及采用5.8GHz频段的802.11a无线网桥。在无高大障碍(山峰或建筑)的条件下,一对速组网和野外作业的临时组网。其作用距离取决于环境和天线,现7km的点对点微波互连。一对27dbi的定向天线可以实现10km的点对点微波互连。12dbi的定向天线可以实现2km的点对点微波互连;一对只实现到链路层功能的无线网桥是透明网桥,而具有路由等网络层功能、在网络24dbi的定向天线可以实层实现异种网络互联的设备叫无线路由器,也可作为第三
41、层网桥使用。无线网桥通常是用于室外,主要用于连接两个网络,使用无线网桥不可能只使用一个,必需两个以上,而AP可以单独使用。无线网桥功率大,传输距离远(最大可达约50km),抗干扰能力强等,不自带天线,一般配备抛物面天线实现长距离的点对点连接。2.2.4.1 点对点连接方案在同一城市中不同地点的两个局域网互联可以通过铺设光缆或租用线路的方法实现,但由于城市环境的条件限制,铺设光缆的工程可能无法实施,实施过程中或许会遇到人为和意外的破坏;而租用DDN线路会面临着租用费用太高和线路带宽太低的困扰,使用昂科无线长距离解决方案,在两点间天线的发射方向上没有障碍物阻挡的情况下,利用室外无线网桥配合高增益定
42、向天线,可以在相距几十公里以内的建筑物间快速建立起网络连接。该方案不但可以大大提高传输速率,还可以节省昂贵的线路租用费用,为用户节约成本、提高工作效率,一次性投入,无任何多余追加费用的支出。连接示意图如图所示:2.2.4.2 点对多点方案点对多点方案主要用在企业希望将分布在城市中的各分部连接在一起企事业单位,从多个分布点中选择一个中心点,位于其他各点的中心位置,使其他各点达到中心的距离均衡,而且无障碍物。在中心放置具有路由和协议转换功能的无线网桥加装高增益的全向天线;其他各点放置无线网桥和高增益的定向天线。连接示意图如图所示:2.2.4.3 无线网桥的选购H3C WB2321EH3CWB232
43、1E无线网桥设备是杭州华三通信技术有限公司自主研发的首款无线网桥产品。在组网应用中,WB2321E可作为桥接器连接两个或多个物理上隔离的局域网。通过WB2321E桥接功能,在这些分散的局域网上的主机感觉不到物理位置的分布,可以方便的实现相互通讯。WB2321E支持extend-range技术,保证了WB2321E长距离覆盖,并且支持点到点或点到多点桥接应用,能有效的解决楼宇间通信、大型企业分支接入等问题。目前杭州华三通信技术有限公司公司提供的具体产品型号为WB2321E-AGP,为双频多模无线网桥,双频率即可工作于WLAN的2.4GHz频段或5GHz频段之上;多模即支持IEEE802.11a、
44、IEEE802.11b和IEEE802.11g三种模式,其中11g模式功率可达到500mW。H3C WB2321E特色 标准 支持IEEE802.11a、802.11b、802.11g、802.3、802.3u、802.3af。 支持双频多模 双频是指2.4GHz频段和5GHz频段。多模是指IEEE802.11a、IEEE802.11b和IEEE802.11g三种模式。WB2321E可同时支持IEEE802.11g、IEEE802.11a和IEEE802.11b。 同时支持接入和桥接 WB2321E配置双射频单元,可以一个射频单元作接入,另一个作桥接使用。此外,通过配置,还可以实现在同一个射频
45、单元上同时支持接入和桥接。WB2321E的这一特点,使得在需要对WLAN网络进行桥接时,省却了单独部署AP。 支持多种工作方式 WB2321E可灵活配置工作在点到点方式或点到多点方式,点到点方式下建立桥接链路的两端WB2321E处于对等地位,点到多点方式下,一端配置为root工作模式,一端配置为client工作模式。支持多种工作模式使得WB2321E应用时选择更加灵活。 支持大容量单一WB2321E网桥,可以同时与最多16个邻居建立桥接链路。 支持虚拟桥组通过在WB2321E节点上配置多个桥接ID,可在同一网桥设备加入到多个桥组中,使得多个逻辑桥接网络可以复用同一物理无线网络,各逻辑桥接网络可
46、对应不同的VLAN、不同的网络服务以及不同的认证方式等。此特性使得WB2321E在组网应用上更加灵活。 支持QoS 通过对QoS的支持,WB2321E可区分无线侧不同数据的收发优先级,也可根据配置的ACL策略对用户流量进行限制。支持WME和CAR,保证高优先级用户的带宽。 支持MAC地址过滤WB2321E支持基于接入SSID或桥接ID设置防火墙,通过ACL配置灵活的防火墙策略,可控制某些移动用户的接入,或限制对其数据的无线桥接。 安全可靠 WB2321E支持WPA/802.11i以及最新的加密标准TKIP、AES。 支持动态密钥分发和管理 支持802.1X-EAP、open system和share key认证方式共存。 支持WEP加密 密钥长度可选择64位、128位。 高传输速率 WB2321E支持Super A/G模式,通过
浙ICP备2021020529号-1 | 浙B2-20240490 
