校园无线网建设方案
第一章 建设目标及内容 一、建设目标 无线网建设目标是: “通过在有线网络的基础上,采用成熟、 可靠的无线网技术,建成安全稳定、可管可控的无线接入网络, 为园区人员提供高速、便捷的互联网无线接入服务” 。 二、建设内容 具体建设内容包括以下三个方面: 1.建设覆盖公共教学和活动区域的无线网。利用有线网络基 础结构,采用高速以太网和 802.11n 无线网络技术,建设相对独 立的,覆盖园区的无线网(覆盖区域见附图 1) 。提供个人各类终 端无线网接入服务,满足工作、学习和生活的互联网访问需求。 2.建设无线网安全防护体系。采用成熟、可靠的无线通信加 密技术,建设无线网通信防护体系;与相关厂商合作研制符合安 全保密需求的无线网安全防护产品,并与园区网准入认证系统结 合,实现无线终端准入控制和实名制身份认证;准入系统客户端 软件实现入网终端安全管控和行为审计。 3.建设园区网基础应用和运行保障服务体系。在满足互联网 访问的同时,建设 IPv6 组播、无线话音、无线视频等基础技术服 务平台,满足未来教学、科研与应用对网络新技术的需求;建立
1
健全校园网运行保障服务体系,为校园网用户提供高质量、人性 化、便捷的网络服务。 第二章 建设原则 校园网是校园的一项信息基础设施,无线网络的建设要纳入 校园信息化建设总体规划,建设无线接入网是对有线网络的有效 补充和扩展,这对扩大校园网使用范围,提升校园网建设及应用 效益十分有利。为保障建设质量和应用效果,无线网建设应遵循 以下原则: 1.需求牵引,兼顾发展 系统应是可成长的,应能适应业务的增长和扩充,并充分利 用和保护前期投资设备。同时,将按一定的比例预留冗余节点, 以保证系统的扩充及容错,冗余和容错也是保证系统稳定性与可 靠性的重要措施。 2.可管可控,确保安全 与传统有线网络不同,无线网有一定的覆盖范围,无线信号 在空间中无形存在,存在诸多未知的安全隐患。当前普遍使用无 线网安全防护技术(如 SSID 隐藏、WEP/WPA 加密、MAC 过滤、用 户名/口令认证机制等)已是不够安全的。建设无线网,要充分考 虑无线安全防护手段的需求, 积极寻求安全技术领先的产品厂商, 合作研制符合学校实际的安全管控产品,提高无线网络安全防护 能力,可管可控,确保安全。
3.科学设计,稳步实施 无线网是校园网的有机组成部分,要面向应用,注重实效, 急用先上,逐步完善,做好科学合理的总体设计。既要考虑与现 有有线网的有机结合,又要充分发挥无线网络的优势,既要
融合 又要相对独立,实现建设内容和设备状况与有线网络形成统一的 整体架构,选择的产品应具有好的互操作性和兼容性,并符合相 关的国际标准和工业标准,无论发生任何变化,均能够最大可能 性的开放标准。同时,无线网建设实施要分阶段逐步开展,要充 分保护已有投资,采用先进成熟的网络概念、技术、方法与设备, 遵循有线方式优先,无线方式补充的基本原则。 第三章 总体框架 无线接入网络拓扑结构如下图:
图 1 无线网总体拓扑结构图
中心机房部署无线控制器与现有校园网核心交换机采用 10GB 互连,安装无线网络管理平台,并利用用户鉴权系统实现无线和
3
有线入网终端及用户的管理。 中心机房至教学楼采用 10GB 光纤互连,架设无线接入点 (AP) ,实现这些区域的无线信号全覆盖。 宿舍楼内采用汇聚和接入两层架构,汇聚层 1GB 上连核心层 交换机,1GB 下连接入层交换机,提供人员在宿舍内 100/1000MB 桌面接入速率,实现数据的大容量交换和高速转发。 全网选用支持 IPV4/IPv6 双协议栈网络设备, 并具备 IPv6 网 管和组播功能,提供 IPv6 新兴应用的基础支撑平台。 方案具备以下特点: 1.高性能(802.11n) 。 采用高速以太网技术和 802.11n 无线网络技术,利用无线控 制器(AC)支持万兆线速转发和高性能“瘦”/“胖”双模无线接 入点(AP) ,提供用户 100MB-300 MB 高带宽无线接入速率。 2.智能化(Smart) 。 采用新型无线 Mesh 网络技术,结构灵活、部署方便易于安装 支持视距传输(NLOS) ,增强了连接性,扩大了无线覆盖范围。同 时,无线控制器支持智能转发、 “瘦”/“胖”AP 智能转换和智能 漫游架构设计。 3.易管理(Easy) 。 与现有校园网准入认证系统结合,有线、无线用户统一帐号 管理、支持多种认证方式、客户端安全管控,管理容易。 4.面向未来(IPv6) 。
全网采用 IPv4/IPv6 双栈协议,AC、AP 支持 IPv4/IPv6 双栈 数据转发。 第四章 技术实现方案 一、概述 无线网络是校园网的有机组成部分,网络建设完成后要能够 实现其建设目标。有线和无线网络的集成对于实现统一的网络控 制、可扩展性、安全性和可靠性具有重要的意义。为了支持企业 级的无线应用,必须提供覆盖整个系统的无线局域网功能(例如 安全策略、入侵防御、RF 管理、QoS 和移动性) 。使用轻型接入点 ( “瘦”AP 方式)和无线局域网控制器的 WLAN 可以方便地支持有 线、无线局域网的整合。 以下分别从无线覆盖、组网、安全防护以无线网络管理等技 术实现方案进行描述。 二、无线组网技术方案 1.无线网络组成结构 以校园网核心交换机为中心,购
置 1 台无线控制器(AC)与 核心交换机万兆互联,实现对 AP 设备的集中管控和数据智能转 发。核心交换机千兆连接教学楼、图书馆、宿舍等区域;在教学 楼公共教室、楼层走廊,图书馆阅览室、大厅以及宿舍楼层走廊、 室外等位置部署支持 FIT/FAT 的双模 AP 设备, 提供这些场所的高 速无线接入。 无线网接入层采用多点到多点的无线网状 Mesh 拓扑
5
结构,在这种 Mesh 网络结构中,各网络节点通过相邻其他网络节 点,以无线多跳方式相连。 2.IP 地址分配 无线网提供 IPv4/IPv6 双栈透传, 用户客户端 IP 地址采用动 态分配方式,由 DHCP 服务器提供。无线客户端 IP 子网单独设置, 不与当前有线网络终端 IP 子网混用。 3.无线接入控制能力 无线控制器系统实现多种基于用户或用户群的访问控制,接 入控制策略实施、操作过程要方便、易用,即时生效,常见的控 制策略如下: 1)基于不同的用户或用户群实施不同的认证方式; 2)基于不同的用户或用户群实施不同的资源访问权限控制; 3)基于不同的用户或用户群实施不同的接入上、下行带宽控 制; 4)基于不同的用户或用户群实施基于时间的接入控制; 4.无线网络漫游功能 1)支持无线终端跨域 AP 进行 L2 漫游。 2)支持无线终端跨越 IP 子网无线进行 L3 漫游; 3)跨 IP 网段移动,可保持无线终端原有 IP 地址、认证与加 密方式等不变,无需重新获取。 5.无线定位功能 可对无线接入终端、RFID 物品进行无线定位,定位精度小于
5 米,并可能在导入的地理布局图片上准确定位显示。 6.无线 AP 智能切换功能 当 AC 出现故障时,AP 自动从 FIT 切换到 FAT 工作模式下, 此时,FAT AP 工作的同时保持对 AC 状态探测,发现 AC 恢复后, 自动切换回 FIT 工作模式,保证无线用户不掉线。 7.无线组播及无线视频功能 在无线网上配置无线组播服务,提供组播视频服务。 三、无线覆盖施工方案 无线覆盖设计将遵循按照信号范围最大化原则,在满足园区 无线覆盖区域全覆盖的前提下,重点选择部分区域进行更加细腻 的覆盖。具体分为室内覆盖和室外覆盖两种方式,其中室外覆盖 部分采用 Mesh 方式进行覆盖。 1.信号覆盖强度 根据国家无线电管理委员会 1997 年《2.4/5.8GHz 频段管理 办法》中规定的场强标准,结合校园无线覆盖区域特点,考虑到 每个信号输出点的电频强度,顾及信号对人体可能存在的危害, 按照不同技术规格选配全向天线、扇区天线,要求 AP 信号输出功 率≤20dBm/100mW,目标覆盖区域中 95%以上位置的接收信号强度 ≥-75dBm,达到“绿色环保”的效果。 2.AP 部署要求 按照场地面积、 可能并发的无线终端
使用人数合理设置 AP 的 数量,每一楼层内要实现信号无盲区,重点区域,包括宿舍楼及教
7
学楼,满足 95%区域接收信号强度≥-75dBm。室外满足 95%区域接 收信号强度≥-65dBm。具体布设 AP 时按照以下要求进行: (1)原则上需要对所安装的 AP 进行单独综合布线,布线标 准采用 6 类布线系统标准,双绞线敷设保护线槽,线槽安装、固定 牢靠; (2)AP 部署点所布放双绞线长度超过 100 米时,应采用敷 设光纤的方式为 AP 提供有线接入;但若 AP 自身无光纤接口,需 配置光电转换设备实现连接。 (3)单一配线间所连接 AP 数量多于 5 个时,采用支持标准 802.3af 协议 POE 供电交换机集中为 AP 进行供电;否则可以采用 POE 供电适配器为 AP 供电。 (4)布线系统、POE 供电交换机可利用配线间已有机柜,但 如当前机柜空间不够,需要投标方提供机柜。 (5)AP 安装工艺。AP 连接线缆尽量高处走线,不易碰触。 室外 AP 要接地,安装工艺做到防风、防雨、防雷。AP 自身粘贴 打印标签,标识清晰、无误,标签粘贴牢靠、耐久。 四、无线网安全防护技术 无线网络安全需要不断改善和升级,当前 WLAN 所使用的主 要安全机制包括无线网络标识(SSID) ,物理地址(MAC)过滤, 有线对等保密机制等都已经在实际使用中显现出弊端。常用无线 网传输加密有 WEP、WPA、WPA2 等方式。据考察,WEP、WPA 方式 已被破解,WPA2 理论上可以暴力破解(时间需几十年,但在高性
能并行计算环境下破解的时间未知) 。鉴于 WEP 协议的安全机制 存在较多的安全缺陷,使得目前数量众多的无线局域网面临严重 的威胁。为了提高无线局域网的安全性,必须引入更加安全的认 证机制,加密机制以及控制机制。 1.WPA2+主机硬件特征+帐号身份认证 将计算机本身的硬件特征(如硬盘序列号,CPU 串号等) 、 802.1x 端口控制技术和 EAP 认证机制相结合,将接入计算机的 认证和传输数据的加密等多种措施结合起来,可以使 WLAN 安全 性得到较大的提高,才能构筑安全的无线局域网。 2.无线网络安全 (1) 传输加密: 无线设备支持多种加密方式, 支持 AES、 TKIP 和 WEP 加密。 (2)EAP 认证类型:无线设备支持多种 EAP 类型,支持 EAP-PEAP、 EAP-TLS、 EAP-TTLS。 802.11i 增强安全协议: 支持 WPA, WPA2,802.1X。 (3) 系统可方便地实现 AP 下无线接入用户之间的通信隔离。 (4)系统可有效防范无线网络中假冒网关 IP 和假冒其他终 端 IP 地址两种类型的 ARP 欺骗攻击。 (5)系统可有效防范无线网络中 DHCP 攻击、假冒 DHCP Server。 (6)系统能对 flood 攻击以及 DDOS 攻击进行识别和有效防 护。
9
(7)系统可有效防范
无线网络中的欺诈 AP、非法 AP,实现 对此类 AP 的发现、定位及屏蔽(发射 RF 射频干扰方式) 。 (8)系统具备无线入侵防范(IDS/IPS)功能,对常见射频 层次攻击、网络层次攻击进行有效防护。 3.无线网络接入认证 接 入 认 证 能 力 : 无 线 设 备 可 实 现 基 于 PPPoE 、 802.1X 、 Web-Portal、MAC 地址等几种认证方式;可实现对不同的 AP 组合 实施上述几种方式中的一种或多种认证; 可实现对不同的 SSID 实 施不同的认证方式。第三方 AAA 服务器支持:无线设备支持 Radius、LDAP 协议,必须实现认证系统作为无线接入用户的 AAA 服务器。Portal 界面定制:WEB-Portal 方式的认证 Portal 界面, 实现由校方个性化定制,支持中、英文页面。 网页重定向:认证 后可自动将用户端页面,重定向到校方指定网站。 五、无线网络管理 无线网络设备管理系统要求能实现如下管理功能: 1.集中-分布式管理。系统需实现校区可以管控所有校区 AP 及其无线接入用户。 2.无线终端监控、 管理。 实现对移动终端的信息进行查看 (包 括 MAC 地址、硬盘序列号、信号强度、RSSI、SSID、使用信道、 所在无线交换机、所在 AP、所在 Radio 等) ;实现对终端进行强 制用户下线、加入黑名单、查看用户详细信息等功能;对无线接 入终端、RFID 物品进行无线定位,定位精度小于 5 米,并可能在
导入的地理布局图片上准确定位显示。实现对用户认证/加密策 略、访问控制策略统一制定、下发。 3.无线设备监控、管理。对受控 AP 进行实时管理,实现对设 备的配置管理、性能管理、安全管理和故障管理(故障发现、故 障告警等) ;实时查看 AP 运行状态、流量信息、接入终端信息、 射频信息、SSID 信息;对设备批量进行配置部署、软件升级。 4.无线射频管理。系统自动或手动对布放的 AP 进行频道分 配,自动或手动对布放的 AP 进行功率调节,通过图形化的界面, 实时反馈每个覆盖区域的无线射频信号热敏图。
11
校园无线网建设方案
第一章 建设目标及内容 一、建设目标 无线网建设目标是: “通过在有线网络的基础上,采用成熟、 可靠的无线网技术,建成安全稳定、可管可控的无线接入网络, 为园区人员提供高速、便捷的互联网无线接入服务” 。 二、建设内容 具体建设内容包括以下三个方面: 1.建设覆盖公共教学和活动区域的无线网。利用有线网络基 础结构,采用高速以太网和 802.11n 无线网络技术,建设相对独 立的,覆盖园区的无线网(覆盖区域见附图 1) 。提供个人各类终 端无线网接入服务,满足工作、学习和生活的互联网访问需求。 2.建设无线网安全防护体系。采用成熟、可靠的无线通信加 密技术,建设无线网通信防护体系;与相关厂商合作研制符合安 全保密需求的无线网安全防护产品,并与园区网准入认证系统结 合,实现无线终端准入控制和实名制身份认证;准入系统客户端 软件实现入网终端安全管控和行为审计。 3.建设园区网基础应用和运行保障服务体系。在满足互联网 访问的同时,建设 IPv6 组播、无线话音、无线视频等基础技术服 务平台,满足未来教学、科研与应用对网络新技术的需求;建立
1
健全校园网运行保障服务体系,为校园网用户提供高质量、人性 化、便捷的网络服务。 第二章 建设原则 校园网是校园的一项信息基础设施,无线网络的建设要纳入 校园信息化建设总体规划,建设无线接入网是对有线网络的有效 补充和扩展,这对扩大校园网使用范围,提升校园网建设及应用 效益十分有利。为保障建设质量和应用效果,无线网建设应遵循 以下原则: 1.需求牵引,兼顾发展 系统应是可成长的,应能适应业务的增长和扩充,并充分利 用和保护前期投资设备。同时,将按一定的比例预留冗余节点, 以保证系统的扩充及容错,冗余和容错也是保证系统稳定性与可 靠性的重要措施。 2.可管可控,确保安全 与传统有线网络不同,无线网有一定的覆盖范围,无线信号 在空间中无形存在,存在诸多未知的安全隐患。当前普遍使用无 线网安全防护技术(如 SSID 隐藏、WEP/WPA 加密、MAC 过滤、用 户名/口令认证机制等)已是不够安全的。建设无线网,要充分考 虑无线安全防护手段的需求, 积极寻求安全技术领先的产品厂商, 合作研制符合学校实际的安全管控产品,提高无线网络安全防护 能力,可管可控,确保安全。
3.科学设计,稳步实施 无线网是校园网的有机组成部分,要面向应用,注重实效, 急用先上,逐步完善,做好科学合理的总体设计。既要考虑与现 有有线网的有机结合,又要充分发挥无线网络的优势,既要
融合 又要相对独立,实现建设内容和设备状况与有线网络形成统一的 整体架构,选择的产品应具有好的互操作性和兼容性,并符合相 关的国际标准和工业标准,无论发生任何变化,均能够最大可能 性的开放标准。同时,无线网建设实施要分阶段逐步开展,要充 分保护已有投资,采用先进成熟的网络概念、技术、方法与设备, 遵循有线方式优先,无线方式补充的基本原则。 第三章 总体框架 无线接入网络拓扑结构如下图:
图 1 无线网总体拓扑结构图
中心机房部署无线控制器与现有校园网核心交换机采用 10GB 互连,安装无线网络管理平台,并利用用户鉴权系统实现无线和
3
有线入网终端及用户的管理。 中心机房至教学楼采用 10GB 光纤互连,架设无线接入点 (AP) ,实现这些区域的无线信号全覆盖。 宿舍楼内采用汇聚和接入两层架构,汇聚层 1GB 上连核心层 交换机,1GB 下连接入层交换机,提供人员在宿舍内 100/1000MB 桌面接入速率,实现数据的大容量交换和高速转发。 全网选用支持 IPV4/IPv6 双协议栈网络设备, 并具备 IPv6 网 管和组播功能,提供 IPv6 新兴应用的基础支撑平台。 方案具备以下特点: 1.高性能(802.11n) 。 采用高速以太网技术和 802.11n 无线网络技术,利用无线控 制器(AC)支持万兆线速转发和高性能“瘦”/“胖”双模无线接 入点(AP) ,提供用户 100MB-300 MB 高带宽无线接入速率。 2.智能化(Smart) 。 采用新型无线 Mesh 网络技术,结构灵活、部署方便易于安装 支持视距传输(NLOS) ,增强了连接性,扩大了无线覆盖范围。同 时,无线控制器支持智能转发、 “瘦”/“胖”AP 智能转换和智能 漫游架构设计。 3.易管理(Easy) 。 与现有校园网准入认证系统结合,有线、无线用户统一帐号 管理、支持多种认证方式、客户端安全管控,管理容易。 4.面向未来(IPv6) 。
全网采用 IPv4/IPv6 双栈协议,AC、AP 支持 IPv4/IPv6 双栈 数据转发。 第四章 技术实现方案 一、概述 无线网络是校园网的有机组成部分,网络建设完成后要能够 实现其建设目标。有线和无线网络的集成对于实现统一的网络控 制、可扩展性、安全性和可靠性具有重要的意义。为了支持企业 级的无线应用,必须提供覆盖整个系统的无线局域网功能(例如 安全策略、入侵防御、RF 管理、QoS 和移动性) 。使用轻型接入点 ( “瘦”AP 方式)和无线局域网控制器的 WLAN 可以方便地支持有 线、无线局域网的整合。 以下分别从无线覆盖、组网、安全防护以无线网络管理等技 术实现方案进行描述。 二、无线组网技术方案 1.无线网络组成结构 以校园网核心交换机为中心,购
置 1 台无线控制器(AC)与 核心交换机万兆互联,实现对 AP 设备的集中管控和数据智能转 发。核心交换机千兆连接教学楼、图书馆、宿舍等区域;在教学 楼公共教室、楼层走廊,图书馆阅览室、大厅以及宿舍楼层走廊、 室外等位置部署支持 FIT/FAT 的双模 AP 设备, 提供这些场所的高 速无线接入。 无线网接入层采用多点到多点的无线网状 Mesh 拓扑
5
结构,在这种 Mesh 网络结构中,各网络节点通过相邻其他网络节 点,以无线多跳方式相连。 2.IP 地址分配 无线网提供 IPv4/IPv6 双栈透传, 用户客户端 IP 地址采用动 态分配方式,由 DHCP 服务器提供。无线客户端 IP 子网单独设置, 不与当前有线网络终端 IP 子网混用。 3.无线接入控制能力 无线控制器系统实现多种基于用户或用户群的访问控制,接 入控制策略实施、操作过程要方便、易用,即时生效,常见的控 制策略如下: 1)基于不同的用户或用户群实施不同的认证方式; 2)基于不同的用户或用户群实施不同的资源访问权限控制; 3)基于不同的用户或用户群实施不同的接入上、下行带宽控 制; 4)基于不同的用户或用户群实施基于时间的接入控制; 4.无线网络漫游功能 1)支持无线终端跨域 AP 进行 L2 漫游。 2)支持无线终端跨越 IP 子网无线进行 L3 漫游; 3)跨 IP 网段移动,可保持无线终端原有 IP 地址、认证与加 密方式等不变,无需重新获取。 5.无线定位功能 可对无线接入终端、RFID 物品进行无线定位,定位精度小于
5 米,并可能在导入的地理布局图片上准确定位显示。 6.无线 AP 智能切换功能 当 AC 出现故障时,AP 自动从 FIT 切换到 FAT 工作模式下, 此时,FAT AP 工作的同时保持对 AC 状态探测,发现 AC 恢复后, 自动切换回 FIT 工作模式,保证无线用户不掉线。 7.无线组播及无线视频功能 在无线网上配置无线组播服务,提供组播视频服务。 三、无线覆盖施工方案 无线覆盖设计将遵循按照信号范围最大化原则,在满足园区 无线覆盖区域全覆盖的前提下,重点选择部分区域进行更加细腻 的覆盖。具体分为室内覆盖和室外覆盖两种方式,其中室外覆盖 部分采用 Mesh 方式进行覆盖。 1.信号覆盖强度 根据国家无线电管理委员会 1997 年《2.4/5.8GHz 频段管理 办法》中规定的场强标准,结合校园无线覆盖区域特点,考虑到 每个信号输出点的电频强度,顾及信号对人体可能存在的危害, 按照不同技术规格选配全向天线、扇区天线,要求 AP 信号输出功 率≤20dBm/100mW,目标覆盖区域中 95%以上位置的接收信号强度 ≥-75dBm,达到“绿色环保”的效果。 2.AP 部署要求 按照场地面积、 可能并发的无线终端
使用人数合理设置 AP 的 数量,每一楼层内要实现信号无盲区,重点区域,包括宿舍楼及教
7
学楼,满足 95%区域接收信号强度≥-75dBm。室外满足 95%区域接 收信号强度≥-65dBm。具体布设 AP 时按照以下要求进行: (1)原则上需要对所安装的 AP 进行单独综合布线,布线标 准采用 6 类布线系统标准,双绞线敷设保护线槽,线槽安装、固定 牢靠; (2)AP 部署点所布放双绞线长度超过 100 米时,应采用敷 设光纤的方式为 AP 提供有线接入;但若 AP 自身无光纤接口,需 配置光电转换设备实现连接。 (3)单一配线间所连接 AP 数量多于 5 个时,采用支持标准 802.3af 协议 POE 供电交换机集中为 AP 进行供电;否则可以采用 POE 供电适配器为 AP 供电。 (4)布线系统、POE 供电交换机可利用配线间已有机柜,但 如当前机柜空间不够,需要投标方提供机柜。 (5)AP 安装工艺。AP 连接线缆尽量高处走线,不易碰触。 室外 AP 要接地,安装工艺做到防风、防雨、防雷。AP 自身粘贴 打印标签,标识清晰、无误,标签粘贴牢靠、耐久。 四、无线网安全防护技术 无线网络安全需要不断改善和升级,当前 WLAN 所使用的主 要安全机制包括无线网络标识(SSID) ,物理地址(MAC)过滤, 有线对等保密机制等都已经在实际使用中显现出弊端。常用无线 网传输加密有 WEP、WPA、WPA2 等方式。据考察,WEP、WPA 方式 已被破解,WPA2 理论上可以暴力破解(时间需几十年,但在高性
能并行计算环境下破解的时间未知) 。鉴于 WEP 协议的安全机制 存在较多的安全缺陷,使得目前数量众多的无线局域网面临严重 的威胁。为了提高无线局域网的安全性,必须引入更加安全的认 证机制,加密机制以及控制机制。 1.WPA2+主机硬件特征+帐号身份认证 将计算机本身的硬件特征(如硬盘序列号,CPU 串号等) 、 802.1x 端口控制技术和 EAP 认证机制相结合,将接入计算机的 认证和传输数据的加密等多种措施结合起来,可以使 WLAN 安全 性得到较大的提高,才能构筑安全的无线局域网。 2.无线网络安全 (1) 传输加密: 无线设备支持多种加密方式, 支持 AES、 TKIP 和 WEP 加密。 (2)EAP 认证类型:无线设备支持多种 EAP 类型,支持 EAP-PEAP、 EAP-TLS、 EAP-TTLS。 802.11i 增强安全协议: 支持 WPA, WPA2,802.1X。 (3) 系统可方便地实现 AP 下无线接入用户之间的通信隔离。 (4)系统可有效防范无线网络中假冒网关 IP 和假冒其他终 端 IP 地址两种类型的 ARP 欺骗攻击。 (5)系统可有效防范无线网络中 DHCP 攻击、假冒 DHCP Server。 (6)系统能对 flood 攻击以及 DDOS 攻击进行识别和有效防 护。
9
(7)系统可有效防范
无线网络中的欺诈 AP、非法 AP,实现 对此类 AP 的发现、定位及屏蔽(发射 RF 射频干扰方式) 。 (8)系统具备无线入侵防范(IDS/IPS)功能,对常见射频 层次攻击、网络层次攻击进行有效防护。 3.无线网络接入认证 接 入 认 证 能 力 : 无 线 设 备 可 实 现 基 于 PPPoE 、 802.1X 、 Web-Portal、MAC 地址等几种认证方式;可实现对不同的 AP 组合 实施上述几种方式中的一种或多种认证; 可实现对不同的 SSID 实 施不同的认证方式。第三方 AAA 服务器支持:无线设备支持 Radius、LDAP 协议,必须实现认证系统作为无线接入用户的 AAA 服务器。Portal 界面定制:WEB-Portal 方式的认证 Portal 界面, 实现由校方个性化定制,支持中、英文页面。 网页重定向:认证 后可自动将用户端页面,重定向到校方指定网站。 五、无线网络管理 无线网络设备管理系统要求能实现如下管理功能: 1.集中-分布式管理。系统需实现校区可以管控所有校区 AP 及其无线接入用户。 2.无线终端监控、 管理。 实现对移动终端的信息进行查看 (包 括 MAC 地址、硬盘序列号、信号强度、RSSI、SSID、使用信道、 所在无线交换机、所在 AP、所在 Radio 等) ;实现对终端进行强 制用户下线、加入黑名单、查看用户详细信息等功能;对无线接 入终端、RFID 物品进行无线定位,定位精度小于 5 米,并可能在
导入的地理布局图片上准确定位显示。实现对用户认证/加密策 略、访问控制策略统一制定、下发。 3.无线设备监控、管理。对受控 AP 进行实时管理,实现对设 备的配置管理、性能管理、安全管理和故障管理(故障发现、故 障告警等) ;实时查看 AP 运行状态、流量信息、接入终端信息、 射频信息、SSID 信息;对设备批量进行配置部署、软件升级。 4.无线射频管理。系统自动或手动对布放的 AP 进行频道分 配,自动或手动对布放的 AP 进行功率调节,通过图形化的界面, 实时反馈每个覆盖区域的无线射频信号热敏图。
11