WLAN运维管理解决方案.doc
《WLAN运维管理解决方案.doc》由会员分享,可在线阅读,更多相关《WLAN运维管理解决方案.doc(9页珍藏版)》请在咨信网上搜索。
WLAN运维管理解决方案 多业务区分设计 使用无线网络可以分为不同的无线接入业务类型。因此,可以在设计上采用无线局域网多SSID技术,设置多业务区分方式,例如一个SSID可给教师所用,而另一个可给学生专用。由于用户一般把SSID看成VLAN,所以它们都会惯性地以VLAN概念来划分SSID。其实在一个AP范围内,不管用户连接到那一个SSID它们实际上都是在同一个802.11广播域内,因为无线电波的传输是共享方式的。一个最简单的例子就是AP把不同的SSID名字广播,所以当无线终端在这个AP覆盖范围内启动时,它就能同时看到多个SSID。SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。 为什么要把不同的安全加密协议设置在不同的SSID呢? 802.11的标准内定义了不同加密情况时数据包的封装格式,所以在用户的无线接入使用不同的加密方式,例如:WEP、TKIP(WPA)、802.11i(WPA2)等等,不同加密方式不能在同一个SSID内同时存在。 某一个SSID可以覆盖全网,也可以只局限于园区网内的某些范围。一般的情况下是全网开通,例如:临时访问者(Guest)使用的SSID;但有些SSID可以只在办公区广播,只供某些部门使用。 无线用户管理 神州数码网络对于无线用户的管理可以有多种方式,在单个无线场所,可以使用神州数码DigiZoneDirector智能无线控制器对多AP进行管理,在多场所、多控制器的情况下,即可以使用神州数码LinkManager统一网络管理平台使用标准SNMP协议对多厂家有线、无线设备进行统一管理,又可以使用DigiFlexMaster无线集中式管理软件基于TR-069对AP进行综合管理。 神州数码网络无线系统中可以设定用户的角色(role),每个角色可以基于用户权限和可访问资源的设定等规则。用户权限是DigiZoneDirector的功能,是针对无线接入的特性而设计。一般的用户接入不同的SSID时只具有该SSID或VLAN所对应资源的访问权限,所以访问不同的VLAN的资源需要分别登录不同的SSID,这样是十分不便的。神州数码网络的基于用户角色的权限管理是与用户认证捆绑在一起,当无线用户成功通过认证后,他会获得一个预设的用户角色权限,访问其他SSID对应的网络资源。这样,一个具有全部权限的用户通过一个SSID登录后,可以访问所有SSID对应的语音、数据和视频业务的权限,从而简化了用户的权限设置和用户管理的复杂性。 一般在用户权限设计中,可以将来宾和普通用户的权限设置的较低,只能访问有限的资源,且优先级较低,并且有带宽的限制。 其他用户可能有较高的权限,可以访问更多的学校资源,或者对某些特殊的来宾开放某些VIP账号,分配给其较高权限的角色。在带宽方面可以做比较宽松的限制。所有这些在配置、使用和管理上都非常符合一般企业的网络管理需求。 在具有多场所,多控制器的环境,可以使用DigiFlexMaster进行统一管理,神州数码网络的DigiFlexMaster无线集中式管理软件系统提供了对DigiZoneFlex AP的配置、故障、性能、报告等系列的管理功能。该产品符合TR-069标准,利用工业标准SOAP/HTTPS/XML协议在DigiFlexMaster服务器和被管理的AP设备之间建立一条安全可靠的链路。 这个协议允许已安装的AP设备在加电初始化时自动访问汇报DigiFlexMaster服务器并随后进入自动配置阶段。网管工作人员也可以通过DigiFlexMaster和AP进行即时通信或设定AP在某个合适的时间按计划执行一个任务。 由于TR-069基于标准HTTP或HTTPS,协议消息可以穿透互联网上的防火墙,允许DigiFlexMaster远程管理任何安装在互联网上的DigiZoneFlex AP。AP和DigiFlexMaster 服务器之间异步通信的方法保证了通信可以通过NAT转换点,这对于其它通用的网络管理协议是难以做到的。 无线安全性 在神州数码网络无线系统中,可以在多个层面对系统构筑安全防护,其安全性设计如下: 1:多SSID:可以根据需要,如用户的种类、应用的种类,在神州数码网络无线系统中设置多个SSID,不同的SSID采用不同的安全策略,这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式,该SSID不广播,用户无法看到,防止非法用户的连接企图。SSID还可以选择在某些AP上出现,某些AP上不出现,限制SSID出现的范围也是实现安全性的一种手段。 2:加密:神州数码网络无线系统支持多种加密的方式,二层的加密支持静态WEP、动态WEP、TKIP、WPA、802.11i多种加密方式,三层的加密支持IPSec VPN加密,这样使得加密的方式更加的灵活,可以根据实际需求进行选择。 3:用户认证提供三种方式: ① WPA-PSK+captive portal+VPN。 加密方式采用WPA-PSK,不建议采用静态WEP,因为有安全隐患。采用captive portal+VPN的认证方式,同时VPN还具有三层的加密功能,具有更高的安全性。认证服务器的选择比较灵活,可以使用RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS,甚至是DigiZoneDirector内置的帐户数据库。 ② WPA+802.11x加密方式尽量采用WPA,如果客户端不支持也可采用动态WEP,认证方式采用802.11x,认证服务器选择RADIUS。 ③ Dynamic PSK? Dynamic PSK?是神州数码网络专有的用户认证和加密技术。传统的无线加密密钥对所有的用户是相同的,相当脆弱;而且长度较短,容易被解码。Dynamic PSK?技术为每一个用户提供一个64字节的密钥,实现完整而且非常安全的认证加密手段。 4:用户的Role(角色):每一类用户可以建立一个相关的Role,每个Role有一个用户状态防火墙的设定和带宽控制的设定,这样我们就可以将设定的安全策略加载到每个用户身上。 5:无线客户端隔离:神州数码网络无线控制器具有无线客户端隔离功能,该功能启动后,无线客户端将无法相互通信或访问任何受限制的子网。 6:带宽控制:可以对每个用户设定其可以使用的带宽,一方面可以限制其对网络资源的占有,另一方面,当该客户端中了病毒以后,其病毒发作时不会占用网络全部的带宽。 7:认证系统支持:神州数码网络无线系统支持多种认证系统,诸如Radius、微软的AD(活动目录)和在DigiZoneDirector内部的Internal DB等等。 统一身份认证 融合统一802.1x认证 神州数码有线无线集成化客户端,在实现有线无线统一身份认证的同时,还解决了长时间困扰用户的多厂家设备同时存在时无法实现统一认证的问题,由于高校校园网建设周期较长,在不同的阶段由于不同的需求可能采用不同厂家的设备,目前的802.1x认证,各厂家均是采用私有认证,在终端设备上必须安装各厂家独有的私有客户端才能与其接入交换机、认证计费系统互动,实现私有802.1x认证,这种私有认证对接入设备的依赖性使得用户受困于厂家,不便于后续的应用扩展,神州数码有线无线集成化客户端,配合TrustCenter统一身份认证平台,可以实现不依赖于接入设备的私有802.1x认证,无论接入设备是否是神州数码的产品,只需要在客户端安装神州数码有线无线集成化客户端,就可以与神州数码TrustCenter认证平台互动,实现私有802.1x认证,实现即时消息通知、IP地址上传、强制下线以及keep alive等功能,的具体流程如图 4?1所示: 有线标准802.1x转私有802.1x认证步骤: 1. 用户开机后,客户端发起DHCP请求,经认证设备转发到DHCPServer,DHCPServer为用户分配IP地址。 2. 用户通过客户端软件,采用标准802.1x认证,发起认证请求。 3. 接入交换机(非神州数码设备)收到认证请求,由于是标准的802.1x认证,交换机可以识别认证信息,将客户端认证信息发送到TrustCenter认证服务平台。 4. TrustCenter认证服务中心将认证通过信息返回给接入交换机。 5. 交换机将认证通过信息返回给客户端,客户端界面显示认证通过信息。 6. 标准认证通过后,客户端与TrustCenter服务器基于TCP/UDP直接通信,私有信息直接传递到服务器,服务器与客户端之间可以完成即时消息通知、IP地址上传、强制下线以及keep alive等功能。 7. 交换机将用户所在端口打开,用户可以上网,TrustCenter开始对用户计费。 无线标准802.1x认证 为降低服务器负担,无线终端采用神州数码私有802.1X认证,用户接入流程如下图所示: 图 4?2 无线标准802.1x认证 无线私有802.1x认证步骤: 1. 用户开机后,检测到SSID有效,通过802.1x客户端软件发起请求; 2. AP检测到该请求后,向AAA发出请求,AAA服务器发出响应; 3. 用户端弹出对话框,要求输入合法的身份标识,如用户名及其密码。 4. 用户端将身份标识传送到AP; 5. AP将相应信息发送到TrustCenter进行认证。 6. 如果认证通过,则AP到DHCP服务器的端口打开。客户端软件发起DHCP请求,经认证设备转发到DHCPServer,DHCPServer为用户分配IP地址。 7. 用户可以上网了,认证服务器开始对用户计费。 8. AP通过定期的检测保证链路的激活。如果用户离开或异常死机,则AP在发起多次检测后,自动认为用户已经下线,于是向认证服务器发送终止计费的信息。Webportal认证神州数码网络智能无线 AP通过以太网或IP线路连接到网络,通过DigiZoneDirector进行SSID、无线信道、发射功率、Rouge AP检测和无线加密、认证等管理。 根据要求,DigiZoneDirector将创建一个公开的、没有加密的AP热点SSID,用户可以通过该SSID接入到网络当中。无论用户想访问的网页是什么,DigiZoneDirector弹出WEB认证节目(包括欢迎、认证连接等),通过认证后用户就可以访问Internet网络了(也可以重定向到缺省的网页)。 可以根据热区内AP数量的多少,由一个或多个DigiZoneDirector可以管理一个热区内的所有AP。 如果需要,未来可以在中心部署DigiFlexMaster管理所有的DigiZoneDirector,从而管理网络中的所有AP。 AP可以通过以太网或DSL链路接入网络。DigiZoneDirector没有DHCP服务器功能,所以需要外置的DHCP 服务器或使用BRAS提供DHCP服务器为客户端分配IP地址的功能。 如图 4?3所示,用户接入的流程如下: 1. 用户开机后,检测到SSID有效; 2. 客户端发起DHCP请求,经认证设备转发到DHCPServer。DHCPServer为用户分配IP地址; 3. 用户打开浏览器,HTTP请求被AP捕获,并重定向到登录界面; 4. 用户输入用户名和密码,并传送到DigiZoneDirector; 5. DigiZoneDirector将用户名和密码发送到AAA服务器进行认证; 6. 认证通过后,DigiZoneDirector将Web页面重定向到DigiZoneDirector指定的WEB服务器页面(费用余额等通知);同时出现计时窗口; 7. 用户可以上网,AAA服务器计费开始; Webportal+DHCP实现简单,无需客户端和相关配置,扩展性也好。在无线控制器中设定使用Web-Portal方式认证。当用户接入无线网络后,需要使用浏览器访问校园网或Internet,会弹出认证界面,用户输入用户名和密码后送到相关服务器进行验证,如果认证通过后用户就能够访问校园网和Internet,如果访问Internet就会产生计费,同时计帐到该用户帐号上。 认证与ipv6结合 神州数码网络TrustCenter认证计费服务系统,支持IPv6无线终端的管理与认证,支持IPv4和IPv6协议收发报文,包括认证计费报文,各种业务报文以及强制下线报文,可以实现与有线IPv6系统协同的统一认证,实现基于IPv6的用户与IP、MAC绑定,做到无线与有线的认证一体化。 IPv6无线终端认证信息在TrustCenter上的显示如图 4?4所示: TrustCenter在用户认证时对IPv6相关策略的校验,如下图所示: TrustCenter管理端支持基于IPv6的远程访问和管理,可以显示接入认证用户的IPv6相关信息,支持接入设备的IPv6配置和管理,在安全策略中配置和使用IPv6,在日志文件中可以展示及查询IPv6信息,同时支持报表IPv6信息的导入和导出。IPv6信息的显示和查询如图 4?6所示: 神州数码网络认证客户端,支持获取本机IPv6信息,客户端同时集成了IPv6 DHCP客户端,可以支持服务器下发IPv6地址设置。神州数码认证客户端获取和设置IPv6信息如图 4?7所示: 移动漫游 无线用户移动漫游,涉及到多个层次的漫游,最为简单的是二层漫游,业内主流厂家产品都表现不错,三层漫游就困难多了,还有当用户跨越多个域时怎样无缝漫游,神州数码网络无线局域网可以实现快速无缝漫游功能。 L2/L3漫游 在传统的无线局域网内,无线终端要跨越不同AP之间漫游是有一定的困难,因为不同AP之间,它的无线用户IP子网可能都不是在同一个VLAN内。所以当无线终端从一个AP漫游到另一AP时,由于它们之间的缺省IP子网不同,无线终端会重新发出DHCP请求,这样的话终端的IP地址就会更新,所有在原先AP建立的连接都会被切断。过去为了解决跨越三层的漫游,有些用户采用了Mobile IP的技术,但Mobile IP的缺点是它必须在无线终端安装软件。这是一般网络管理人员不愿意做的事情,因为它们就必须支持和维护用户的无线接入端。 通过神州数码网络无线系统,可解决了跨越不同三层IP子网的无线漫游问题。 当无线终端从一个AP的IP子网漫游到另一个AP的不同IP子网时,它重新发出的DHCP请求,会从AP端的DigiZoneDirector转发到原有子网的DigiZoneDirector(用户从那一个AP获取它的IP地址),这样DigiZoneDirector就了解到用户漫游到了哪个相邻的DigiZoneDirector。用户的原来所在的DigiZoneDirector会将发送到该用户的数据发送到漫游到的DigiZoneDirector而后发送到用户现有的IP地址。无线用户已漫游到另一个IP子网,但它的流量不会中断,直到用户完全漫游过来(其对端了解了其IP地址的变化)。代理DHCP 的优点是无要在用户终端安装任何软件就可让终端无缝的在不同IP子网之间漫游。 在不同域之间的用户认证和漫游 在大型网络内,一般都有很多不同的部门,部门内通常都有自己的用户数据库,即所谓的本地认证服务器。在实现应用时,要求有单一的认证数据库是未必可行的,但同时无线用户应是可在内无缝漫游。 当用户不是在本地入网或是从一个部门的接入点漫游到另一部门的接入点需要重新认证时,如果用户名和密码在当地的数据库是不存在的话,则用户会被断线。要做到真正的无缝漫游,则需要有支持Radius 代理这样的功能。但由于不是所有的认证服务器都支持这种功能所以在具体实施时也有一定的困难。神州数码网络本身就可提供不同域之间的认证功能,域名可以与SSID绑定,亦可以让用户在登陆网页时输入或选择域名。神州数码网络会把在不同域之间的认证请求转发到对应这域的radius服务器处理。 【本文档内容可以自由复制内容或自由编辑修改内容期待你的好评和关注,我们将会做得更好】 精选范本,供参考!- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WLAN 管理 解决方案
咨信网温馨提示:
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
关于本文