企业和用户随时随地上网、查询资料等工作。
2.4.7. 中心机房设计
根据前端AP点位数量,同时考虑网络安全,我公司在中心机房设计采用1台安全路由器MSR3640作为网络接入和安全防护,该设备支持多样化的VPN技术,包括IPsec、L2TP、GRE、ADVPN、MPLS VPN,以及多种VPN技术的叠加使用支持路由器协议的安全防护,支持OSPF/RIP/IS-IS/BGP动态路由协议认证、支持OSPFv3/RIPng/IS-ISv6/BGP 的IPSec加密、 支持丰富的路由策略控制功能;同时配备1台24个10/100/1000Base-T以太网端口,交换容量256Gbps;包转发率42/96Mpps;支持PoE+供电的汇聚交换机作为整个网络的信息汇聚。
另外,为达到基于硬件平台统一的网络管理、统一的用户管理、统一的应用安全,管理,我公司设计采用1台无线控制器WX3024E进行统一管理,该设备支持精细的无线用户接入控制和管理、支持802.1x认证,MAC地址认证,Portal认证等、支持信道智能切换、支持智能AP负载分担、支持RealTime Spectrum Guard(实时频谱保护)模式、支持远程探针分析、支持多种分支机构远程接入场景等。 2.5. 网络管理设计
2.5.1. 支持精细的无线用户接入控制和管理
本次设计的无线控制器WX3024E是基于MAC的认证接入控制方式,不但可以使得客户在服务器上对用户组进行权限的配置和修改,同时支持对具体用户的权限的配置,这种精细的用户权限控制大大增强了无线网络的可用度,网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。
基于MAC的VLAN同样也是WX3000系列一体化交换机的一大特色,在控制策略上,管理员可以把相同性质的用户(MAC)划分到同一个VLAN,同时在AC上基于
10
VLAN配置安全策略,这样做既可以简化系统配置,又可以做到用户级粒度的精细管理。
出于安全性或计费等考虑,系统管理员可能希望控制无线用户接入到网络中的位置。WX3000系列一体化交换机支持基于AP位置的用户接入控制。当无线用户接入网络时,可以通过认证服务器向AC下发允许用户接入的AP列表,在AC上进行接入控制,从而达到限制无线用户只能接入到指定位置的AP的目的。 2.5.2. 设备安全管理
本次设计的路由器MSR3640支持基于角色权限管理,能够基于角色进行资源分配、用户与角色的对应、权限二维分配方式支持控制平面流量限制,支持基于协议类型、不同队列、已知协议报文、指定协议报文等进行流量控制和过滤远程安全管理,支持SNMPv3、支持SSH、HTTPS远程管理等管理行为控制审计,支持AAA服务器集中验证、执行命令行授权、操作记录实时上报等。 2.5.3. 全面支持智能型有线无线一体化管理
此次设计的H3C全系列无线产品都可以通过开放的网络管理协议实现基于WSM的有线无线一体化管理。
WSM是H3C在下一代业务软件平台iMC(intelligence Management Center/智能管理中心)的基础上开发的无线运营管理组件,不仅为管理员提供了灵活的组件选择,同时符合业界主流的SOA架构,具备良好的扩展性,能够满足客户网络管理不断发展的需求。基于Web的管理系统,为无线业务管理者提供了简便、友好的管理平台。与iMC智能管理平台及其它组件配合,还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理等功能,并可对网络中的其它设备进行统一管理,真正实现智能型有线无线一体化管理。 2.6. 无线端安全性及审计设计
在鼎新国际会展广场无线系统中,可以在多个层面对系统构筑安全防护,其安全性设计如下:
2.6.1. 多SSID,员工、用户网络逻辑隔离
根据用户的种类、应用的种类可设置多个SSID,例如:用户和员工网络分别设置
11
不同的SSID。不同的SSID采用不同的安全策略,这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式,该SSID不广播,用户无法看到,防止非法用户的接入。SSID还可以选择在某些AP上出现,某些AP上不出现,限制SSID出现的范围也是实现安全性的一种手段。
2.6.2. 隧道加密,防止信息泄漏
本无线系统支持国际标准的多种数据加密方式,保护数据不被窃取,鼎新国际会展广场可根据实际需要自行选择。
2.6.3. 动态黑名单,自动封堵攻击源
无线控制器AC会实时监控鼎新国际会展广场无线网络安全情况,如果网络中出现攻击终端,无线控制器会将其自动列入动态黑名单,在一段时间内禁止其接入。一
12
段时间后检测如果该终端还存在攻击,则继续列入黑名单。如果恢复正常则允许其接入。
鼎新国际会展广场AP布点分散,结合本技术AC无线统一集中管理平台,安装前无需对设备进行任何配置,部署完成后由无线控制器统一下发配置,极大的减少实施和维护的工作量及成本。后期维护中,通过AC内置的图形化热点分析界面,可有效查找到问题点,轻松完成维护工作。
2.6.4. 2.6.4精细化角色授权管理
针对鼎新国际会展广场不同角色对象,可对用户进行多级的角色授权,根据不同角色分配不同的访问和流控策略。根据鼎新国际会展广场的不同接入位置(不同楼层或不同商户),不同的终端(手机或电脑)、不同的用户(内部员工或游客)划分不同的角色,并配以不同的权限,这样便能充分保证各自的安全,防止越权。
13
2.6.5. 危险应用和URL的识别和管控
为了解决用户随意访问恶意应用或URL造成的网络安全风险,本无线控制器内置全国最大的应用识别库和URL库,能自动识别危险应用和URL,我们可针对这些危险应用和URL进行封堵和控制,从而提高鼎新国际会展广场网络的安全性。
2.6.6. 安全审计,符合公安部要求
用户接入鼎新国际会展广场的公共无线网络,不仅需要完成用户的接入、认证,同时还需要对用户的网络行为和内容进行审计,包括但不限于HTTP外发内容、访问的网站和下载、邮件、FTP、TELNET、其它网络应用、网页内容、ACL拒绝行为、以及上网流量与时长控制。
通过配置审计策略,在角色中引用相应用审计策略,并给用户分配相应的角色,即可实现对游客上网行为的审计。
14