wlan運維管理解決方案

1、? WLAN WLAN 運維管理解決方案 運維管理解決方案? 2010-9-10 15:37:00 作者:DCN ?多業(yè)務(wù)區(qū)分設(shè)計使用無線網(wǎng)絡(luò)可以分為不同的無線接入業(yè)務(wù)類型。因此，可以在設(shè)計上采用無線局域網(wǎng)多 SSID 技術(shù)，設(shè)置多業(yè)務(wù)區(qū)分方式，例如一個SSID 可給教師所用，而另一個可給學(xué)生專用。由于用戶一般把 SSID 看 成 VLAN，所以它們都會慣性地以 VLAN 概念來劃分 SSID。其實在一個 AP范圍內(nèi)，不管用戶連接到那一

2、個 SSID 它們實際上都是在同一個 802.11 廣播域內(nèi)，因為無線電波的傳輸是共享方式的。一個最簡單的例子就是AP 把不同的 SSID 名字廣播，所以當(dāng)無線終端在這個 AP 覆蓋范圍內(nèi)啟動時，它就能同時看到多個 SSID。SSID 的最主要用途是可讓無線終端以不同的安全認(rèn)證和加密方式入網(wǎng)。為什么要把不同的安全加密協(xié)議設(shè)置在不同的 SSID 呢? 802.11 的標(biāo)準(zhǔn)內(nèi)定義了不同加密情況時數(shù)據(jù)包的封裝格式，所以在用戶的無線接入使用不同

3、的加密方式，例如：WEP、TKIP(WPA)、802.11i(WPA2)等等，不同加密方式不能在同一個 SSID 內(nèi)同時存在。某一個 SSID 可以覆蓋全網(wǎng)，也可以只局限于園區(qū)網(wǎng)內(nèi)的某些范圍。一般的情況下是全網(wǎng)開通，例如：臨時訪問者(Guest)使用的SSID；但有些 SSID 可以只在辦公區(qū)廣播，只供某些部門使用。無線用戶管理 無線用戶管理神州數(shù)碼網(wǎng)絡(luò)對于無線用戶的管理可以有多種方式，在單個無線場所，可以使用神州數(shù)碼 DigiZone

4、Director 智能無線控制器對多 AP 進(jìn)行管理，在多場所、多控制器的情況下，即可以使用神州數(shù)碼 LinkManager 統(tǒng)一網(wǎng)絡(luò)管理平臺使用標(biāo)準(zhǔn) SNMP 協(xié)議對多廠家有線、無線設(shè)備進(jìn)行統(tǒng)一管理，又可以使用 DigiFlexMaster 無線集中式管理軟件 基于 TR-069 對 AP 進(jìn)行綜合管理。神州數(shù)碼網(wǎng)絡(luò)無線系統(tǒng)中可以設(shè)定用戶的角色（role），每個角色 可以基于用戶權(quán)限和可訪問資源的設(shè)定等規(guī)則。用戶權(quán)限是DigiZone

5、Director 的功能，是針對無線接入的特性而設(shè)計。一般的用戶 接入不同的 SSID 時只具有該 SSID 或 VLAN 所對應(yīng)資源的訪問權(quán)限，所以訪問不同的 VLAN 的資源需要分別登錄不同的 SSID，這樣是十分不便 的。神州數(shù)碼網(wǎng)絡(luò)的基于用戶角色的權(quán)限管理是與用戶認(rèn)證捆綁在一 起，當(dāng)無線用戶成功通過認(rèn)證后，他會獲得一個預(yù)設(shè)的用戶角色權(quán)限，訪問其他 SSID 對應(yīng)的網(wǎng)絡(luò)資源。這樣，一個具有全部權(quán)限的用戶通過 一個 SSID 登錄后

6、，可以訪問所有 SSID 對應(yīng)的語音、數(shù)據(jù)和視頻業(yè)務(wù)的權(quán)限，從而簡化了用戶的權(quán)限設(shè)置和用戶管理的復(fù)雜性。加密方式采用 WPA-PSK，不建議采用靜態(tài) WEP，因為有安全隱患。 采用 captive portal+VPN 的認(rèn)證方式，同時 VPN 還具有三層的加密功能，具有更高的安全性。認(rèn)證服務(wù)器的選擇比較靈活，可以使用 RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS，甚至是DigiZo

7、neDirector 內(nèi)置的帳戶數(shù)據(jù)庫。② WPA+802.11x 加密方式盡量采用 WPA，如果客戶端不支持也可采用動態(tài) WEP，認(rèn)證方式采用 802.11x，認(rèn)證服務(wù)器選擇 RADIUS。③ Dynamic PSK?Dynamic PSK?是神州數(shù)碼網(wǎng)絡(luò)專有的用戶認(rèn)證和加密技術(shù)。傳統(tǒng)的無線加密密鑰對所有的用戶是相同的，相當(dāng)脆弱；而且長度較短，容易 被解碼。Dynamic PSK?技術(shù)為每一個用戶提供一個 64 字節(jié)的密鑰，實現(xiàn)完整而

8、且非常安全的認(rèn)證加密手段。4: 4:用戶的 用戶的 Role Role（角色）： （角色）：每一類用戶可以建立一個相關(guān)的 Role，每個 Role 有一個用戶狀態(tài)防火墻的設(shè)定和帶寬控制的設(shè)定，這樣我們就可以將設(shè)定的安全策略加載到每個用戶身上。5: 5:無線客戶端隔離： 無線客戶端隔離：神州數(shù)碼網(wǎng)絡(luò)無線控制器具有無線客戶端隔離功能，該功能啟動后，無線客戶端將無法相互通信或訪問任何受限制的子網(wǎng)。6: 6:帶寬控制： 帶寬控制：可以對每個用戶

9、設(shè)定其可以使用的帶寬，一方面可以限制其對網(wǎng)絡(luò)資源的占有，另一方面，當(dāng)該客戶端中了病毒以后，其病毒發(fā)作時不會占用網(wǎng)絡(luò)全部的帶寬。7: 7:認(rèn)證系統(tǒng)支持： 認(rèn)證系統(tǒng)支持：神州數(shù)碼網(wǎng)絡(luò)無線系統(tǒng)支持多種認(rèn)證系統(tǒng)，諸如Radius、微軟的 AD（活動目錄）和在 DigiZoneDirector 內(nèi)部的 Internal DB 等等。統(tǒng)一身份認(rèn)證 統(tǒng)一身份認(rèn)證融合統(tǒng)一 融合統(tǒng)一 802.1x 802.1x 認(rèn)證 認(rèn)證神州數(shù)碼有線無線集成化客戶端，在

10、實現(xiàn)有線無線統(tǒng)一身份認(rèn)證的同時，還解決了長時間困擾用戶的多廠家設(shè)備同時存在時無法實現(xiàn)統(tǒng)一 認(rèn)證的問題，由于高校校園網(wǎng)建設(shè)周期較長，在不同的階段由于不同的 需求可能采用不同廠家的設(shè)備，目前的 802.1x 認(rèn)證，各廠家均是采用私有認(rèn)證，在終端設(shè)備上必須安裝各廠家獨有的私有客戶端才能與其接 入交換機(jī)、認(rèn)證計費系統(tǒng)互動，實現(xiàn)私有 802.1x 認(rèn)證，這種私有認(rèn)證對接入設(shè)備的依賴性使得用戶受困于廠家，不便于后續(xù)的應(yīng)用擴(kuò)展，神 州數(shù)碼有線無線集成