1、? WLAN WLAN 運(yùn)維管理解決方案 運(yùn)維管理解決方案? 2010-9-10 15:37:00 作者:DCN ?多業(yè)務(wù)區(qū)分設(shè)計(jì)使用無(wú)線網(wǎng)絡(luò)可以分為不同的無(wú)線接入業(yè)務(wù)類型。因此，可以在設(shè)計(jì)上采用無(wú)線局域網(wǎng)多 SSID 技術(shù)，設(shè)置多業(yè)務(wù)區(qū)分方式，例如一個(gè)SSID 可給教師所用，而另一個(gè)可給學(xué)生專用。由于用戶一般把 SSID 看 成 VLAN，所以它們都會(huì)慣性地以 VLAN 概念來(lái)劃分 SSID。其實(shí)在一個(gè) AP范圍內(nèi)，不管用戶連接到那一

2、個(gè) SSID 它們實(shí)際上都是在同一個(gè) 802.11 廣播域內(nèi)，因?yàn)闊o(wú)線電波的傳輸是共享方式的。一個(gè)最簡(jiǎn)單的例子就是AP 把不同的 SSID 名字廣播，所以當(dāng)無(wú)線終端在這個(gè) AP 覆蓋范圍內(nèi)啟動(dòng)時(shí)，它就能同時(shí)看到多個(gè) SSID。SSID 的最主要用途是可讓無(wú)線終端以不同的安全認(rèn)證和加密方式入網(wǎng)。為什么要把不同的安全加密協(xié)議設(shè)置在不同的 SSID 呢? 802.11 的標(biāo)準(zhǔn)內(nèi)定義了不同加密情況時(shí)數(shù)據(jù)包的封裝格式，所以在用戶的無(wú)線接入使用不同

3、的加密方式，例如：WEP、TKIP(WPA)、802.11i(WPA2)等等，不同加密方式不能在同一個(gè) SSID 內(nèi)同時(shí)存在。某一個(gè) SSID 可以覆蓋全網(wǎng)，也可以只局限于園區(qū)網(wǎng)內(nèi)的某些范圍。一般的情況下是全網(wǎng)開(kāi)通，例如：臨時(shí)訪問(wèn)者(Guest)使用的SSID；但有些 SSID 可以只在辦公區(qū)廣播，只供某些部門使用。無(wú)線用戶管理 無(wú)線用戶管理神州數(shù)碼網(wǎng)絡(luò)對(duì)于無(wú)線用戶的管理可以有多種方式，在單個(gè)無(wú)線場(chǎng)所，可以使用神州數(shù)碼 DigiZone

4、Director 智能無(wú)線控制器對(duì)多 AP 進(jìn)行管理，在多場(chǎng)所、多控制器的情況下，即可以使用神州數(shù)碼 LinkManager 統(tǒng)一網(wǎng)絡(luò)管理平臺(tái)使用標(biāo)準(zhǔn) SNMP 協(xié)議對(duì)多廠家有線、無(wú)線設(shè)備進(jìn)行統(tǒng)一管理，又可以使用 DigiFlexMaster 無(wú)線集中式管理軟件 基于 TR-069 對(duì) AP 進(jìn)行綜合管理。神州數(shù)碼網(wǎng)絡(luò)無(wú)線系統(tǒng)中可以設(shè)定用戶的角色（role），每個(gè)角色 可以基于用戶權(quán)限和可訪問(wèn)資源的設(shè)定等規(guī)則。用戶權(quán)限是DigiZone

5、Director 的功能，是針對(duì)無(wú)線接入的特性而設(shè)計(jì)。一般的用戶 接入不同的 SSID 時(shí)只具有該 SSID 或 VLAN 所對(duì)應(yīng)資源的訪問(wèn)權(quán)限，所以訪問(wèn)不同的 VLAN 的資源需要分別登錄不同的 SSID，這樣是十分不便 的。神州數(shù)碼網(wǎng)絡(luò)的基于用戶角色的權(quán)限管理是與用戶認(rèn)證捆綁在一 起，當(dāng)無(wú)線用戶成功通過(guò)認(rèn)證后，他會(huì)獲得一個(gè)預(yù)設(shè)的用戶角色權(quán)限，訪問(wèn)其他 SSID 對(duì)應(yīng)的網(wǎng)絡(luò)資源。這樣，一個(gè)具有全部權(quán)限的用戶通過(guò) 一個(gè) SSID 登錄后

6、，可以訪問(wèn)所有 SSID 對(duì)應(yīng)的語(yǔ)音、數(shù)據(jù)和視頻業(yè)務(wù)的權(quán)限，從而簡(jiǎn)化了用戶的權(quán)限設(shè)置和用戶管理的復(fù)雜性。加密方式采用 WPA-PSK，不建議采用靜態(tài) WEP，因?yàn)橛邪踩[患。 采用 captive portal+VPN 的認(rèn)證方式，同時(shí) VPN 還具有三層的加密功能，具有更高的安全性。認(rèn)證服務(wù)器的選擇比較靈活，可以使用 RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS，甚至是DigiZo

7、neDirector 內(nèi)置的帳戶數(shù)據(jù)庫(kù)。② WPA+802.11x 加密方式盡量采用 WPA，如果客戶端不支持也可采用動(dòng)態(tài) WEP，認(rèn)證方式采用 802.11x，認(rèn)證服務(wù)器選擇 RADIUS。③ Dynamic PSK?Dynamic PSK?是神州數(shù)碼網(wǎng)絡(luò)專有的用戶認(rèn)證和加密技術(shù)。傳統(tǒng)的無(wú)線加密密鑰對(duì)所有的用戶是相同的，相當(dāng)脆弱；而且長(zhǎng)度較短，容易 被解碼。Dynamic PSK?技術(shù)為每一個(gè)用戶提供一個(gè) 64 字節(jié)的密鑰，實(shí)現(xiàn)完整而

8、且非常安全的認(rèn)證加密手段。4: 4:用戶的 用戶的 Role Role（角色）： （角色）：每一類用戶可以建立一個(gè)相關(guān)的 Role，每個(gè) Role 有一個(gè)用戶狀態(tài)防火墻的設(shè)定和帶寬控制的設(shè)定，這樣我們就可以將設(shè)定的安全策略加載到每個(gè)用戶身上。5: 5:無(wú)線客戶端隔離： 無(wú)線客戶端隔離：神州數(shù)碼網(wǎng)絡(luò)無(wú)線控制器具有無(wú)線客戶端隔離功能，該功能啟動(dòng)后，無(wú)線客戶端將無(wú)法相互通信或訪問(wèn)任何受限制的子網(wǎng)。6: 6:帶寬控制： 帶寬控制：可以對(duì)每個(gè)用戶

9、設(shè)定其可以使用的帶寬，一方面可以限制其對(duì)網(wǎng)絡(luò)資源的占有，另一方面，當(dāng)該客戶端中了病毒以后，其病毒發(fā)作時(shí)不會(huì)占用網(wǎng)絡(luò)全部的帶寬。7: 7:認(rèn)證系統(tǒng)支持： 認(rèn)證系統(tǒng)支持：神州數(shù)碼網(wǎng)絡(luò)無(wú)線系統(tǒng)支持多種認(rèn)證系統(tǒng)，諸如Radius、微軟的 AD（活動(dòng)目錄）和在 DigiZoneDirector 內(nèi)部的 Internal DB 等等。統(tǒng)一身份認(rèn)證 統(tǒng)一身份認(rèn)證融合統(tǒng)一 融合統(tǒng)一 802.1x 802.1x 認(rèn)證 認(rèn)證神州數(shù)碼有線無(wú)線集成化客戶端，在

10、實(shí)現(xiàn)有線無(wú)線統(tǒng)一身份認(rèn)證的同時(shí)，還解決了長(zhǎng)時(shí)間困擾用戶的多廠家設(shè)備同時(shí)存在時(shí)無(wú)法實(shí)現(xiàn)統(tǒng)一 認(rèn)證的問(wèn)題，由于高校校園網(wǎng)建設(shè)周期較長(zhǎng)，在不同的階段由于不同的 需求可能采用不同廠家的設(shè)備，目前的 802.1x 認(rèn)證，各廠家均是采用私有認(rèn)證，在終端設(shè)備上必須安裝各廠家獨(dú)有的私有客戶端才能與其接 入交換機(jī)、認(rèn)證計(jì)費(fèi)系統(tǒng)互動(dòng)，實(shí)現(xiàn)私有 802.1x 認(rèn)證，這種私有認(rèn)證對(duì)接入設(shè)備的依賴性使得用戶受困于廠家，不便于后續(xù)的應(yīng)用擴(kuò)展，神 州數(shù)碼有線無(wú)線集成