性。 AP在设备的设计上支持了此类功能,可以与后台系统进行配合完成认证与计费的功能,对于复杂的NAT、路由策略等其它的高层应用不进行支持。
边缘汇聚层对应设备为AC(Access Controller),主要承担WLAN网络接入网关的角色,具体可以支持对用户的合法性认证、计费的发起(Client)、用户管理(访问控制、接入带宽控制、用户的信息绑定),子网内无缝切换的布署、整网安全的布署、整网QoS的布署、子网网络设备管理等以及与业务控制层结合提供增值业务如强制Portal、即插即用、与酒店营帐系统接口等等。在电信运营商可以由BRAS或支持用户管理、认证、计费的汇聚层设备承担,AC的设备形态可以由L2/L3与iMC进行配合使用进行完成;
业务管理层主要为WLAN网络提供基于网络服务的业务,由于WLAN具有宽带网络的特性同时也具备无线网络的特性,因此,主要为将运运营增值业务而进行准备,在运营商领域中目前已成熟的宽带价值连业务、移动数据业务均可以部署其中。
整网安全
H3C的WLAN网络主要服务于公众型用户,运营者与最终用户都很担心安全问题,即用户安全,具体细分包括用户帐号密码的安全,用户上往后计算机内部数据,用户数据在网上传输的安全等。此外,WLAN作为运营网络自身的安全也是运营者必须考虑的问题。
H3C公司WLAN解决方案可提供端到端的安全部署,能满足公众运营网络的安全要求。 ? 针对终端用户上网认证的用户名密码的安全:
采用802.1X EAP-MD5方式上网的用户,由于EAP-MD5信息本身就是密文传递,用户名、密码的安全能得到保证。
采用WEB方式上网的用户,H3C WLAN网络支持标准的SSL/HTTP应用层加密保证用户名、密码的安全。
? 针对用户上网后计算机内部数据的安全:
H3C公司WLAN网络实现了二层隔离,三层受控互访的机制保证用户计算机数据的安全,具体用户在通过认证前能接入的网络都是二层网络,认证通过后,通过网络设备的三层功能可访问所有向它开放的网络。H3C WLAN网络可实现用户在二层网络内是隔离的(无线口AP支持USF以及动态加密功能隔离用户,AP上行支持UIMF功能实现到认证点网段均是二层隔离)。在用户通过认证后,还可以通过强大的ACL控制用户否是允许互访,保证用户的安全。
? 针对用户上网后数据在网络上传输的安全:
无线接口以上的网络基本上为IP网络,用户数据在IP网络上的安全的保证,H3C IP的安全部署是可以保证的,针对空中接口的安全,H3C AP支持以下几种安全机制:
2016-9-22
第26页, 共51页
? MAC地址过滤:目前支持基于MAC地址的过滤,限制具有某种类型的MAC地址特征的终端
才能进入网络中;
? SSID管理:是一种网络标识的方案,将网络进行一个逻辑化标识,对终端上发的报文都要求
进行上带SSID,如果没有SSID标识则不能进入网络;
? WEP加密:WEP加密是一种静态加密的机制,通信双方具有一个共同的密钥,终端发送的
空口信息报文必须使用共同的密钥进行加密;
? 支持AES加密,AES安全机制是一种动态密钥管理机制,同时密钥生成也基于不对称密钥机
制来实现的,同时密钥的管理也定期更新,具有体的时间由系统可以设定,一般情况都设定为5分钟左右,这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来,从无线空口的流量来看,基本上是不可能的;
? H3C的无线方案中的密钥设置可能根据SSID信息与用户信息进行组合,即不同的SSID下不
同的用户的密钥生成可以不一样,这样在一定程度上保证用户之间串号问题的产生,从而保护投资,以达到运营平衡。
? H3C的无线方案提供无线入侵检测功能,AP 可以不断地扫描空域,以便对要求更高安全性
的环境提供全天候保护。一旦无线网络中有非法接入点接入,WAP2110将上报相应的告警给AC控制器,并通过网管软件显示。
4.4 频率规划与负载均衡
? 频率规划
802.11b/802.11g使用开放的2.4GHz ISM频段,可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5个信道的工作中心频点。因此对于802.11b/802.11g在2.4GHz地工作频段,理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。此外,由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。
H3C公司针对如何进行802.11b/802.11g的频率规划作了大量的实验,实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖,并提供更高的服务带宽提高服务质量,和高带宽业务的开展。
2016-9-22 第27页, 共51页
频率规划原理图
频率规划需要配合使用的功能包括: ? AP支持11个信道设置 ? AP支持外置天线以及定向天线
? 针对特殊应用还需要AP支持桥接功能、接入功能以及WDS功能
结合以上功能的支持,以及勘探工具,可以较好的部署AP达到频率规划的效果。H3C公司针对医院、无线小区、机场、酒店、高密度会议场所(APEC会议)等热点区域进行过频率规划,使用效果较好。
? 负载均衡
H3C WLAN解决方案,AP上支持标准的IAPP协议框架,通过负载均衡的部署,可实现在一个热点内用户平均分配到所部署的所有AP上,达到在一个服务区AP接入用户数何流量的平衡,为用户提供更高的服务质量。具体可部署的负载均衡策略有:
1. 对所有AP设置基于用户数的负载均衡功能,AP通过对接入用户数的统计,与设定AP接入
用户数量的阀值进行比较,达到阀值后,不允许新的用户接入。
2. 对所有AP设置基于流量的负载均衡功能,AP通过对接入用户流量的统计,与设定AP上的
流量漏桶阀值上沿比较,达到阀值后,不允许新的用户接入,少于阀值下沿,再允许新用户接入。
3. 配合网络规划,设置AP群功能,在一个群内的AP通过组播报文实时通报接入用户数量,当
发现AP间用户数差值大于设定阀值,接入用户多的AP将部分用户赶下网。
4.5 切换与漫游
? 切换定义:用户在不同AP间移动,不需要重认证,业务不中断;
1. AP位于同一L3/L2之下的不同物理端口下同一VLAN之中
2016-9-22
第28页, 共51页
2. AP位于同一L3/L2之下的不同物理端口下不同VLAN之中
3. AP位于同一Wireless Switch之下不同L3/L2之下的同一VLAN之中 4. AP位于不同Wireless Switch之下不同L3/L2之下的同一VLAN之中 5. AP位于不同子网下 6. 支持动态加密 ? 漫游功能
漫游主要是指异地用户通过本地WLAN网络上网或者本地用户移动到异地可通过异地的WLAN网络上网。通过AAA Server支持Proxy功能进行用户判别、认证、计费与结算。此功能已经在运营商网络中已经实现并验证,效果良好,目前在行业网络中基本上没有这应用,但在H3C网络中必须使用此功能,此功能要求后端系统的用户信息进行互动,采用协议达成或者数据共享进行达成,对于H3C公司,建议采用后端系统进行协议交互达成用户在漫游地认证通过并获得服务。
4.6 AP供电
由于实际组网应用中AP设备数量较大,给每个AP都配置一个供电模块,只需要通过AP供电模块和现有的楼层配线间的交换机,为AP实现远程供电,供电距离达100米,能够满足实际组网的要求。
第5章 智能管理中心设计
随着网络的发展,其作用已经不仅是简单的互连互通,通信、计算、应用、存储、监控等各类业务应用和网络的融合,促使网络成为承载企业核心业务的平台。随着网络应用越来越复杂,网络安全控制、性能优化、运营管理等问题成为困扰客户的难题,并直接决定了企业核心业务能否顺利开展。在这种情况下,依靠单纯的硬件数据交换已经不能满足用户的需求,因此灵活的软件控制和高速的硬件数据交换进行有机融合的整体解决方案成为整个行业的发展趋势。
为了系统地解决目前网络安全控制、性能优化、运营管理中存在的问题,凭借对IT应用的深刻理解,H3C推出了新一代的管理系统:H3C开放智能管理中枢(H3C Intelligent Management Center,以下简称H3C iMC),作为H3C IToIP整体解决方案的重要组成部分,H3C iMC采用面向服务架构(SOA)的设计思想,融合并统一管理业务、资源和用户这三大IT组成要素,通过按需装配功能组件与相应的硬件设备配合,形成直接面向客户应用需求的一系列整体解决方案,从而成为H3C IToIP整体解决方案的开放智能管理中枢。
2016-9-22 第29页, 共51页
5.1 网络管理解决方案
网络的安全控制、性能优化和运营管理是网络应用管理面临的核心问题,除基本的网络支撑管理外,H3C iMC通过软件灵活的控制,与相应的硬件设备配合,更为客户提供了一系列的整体解决方案,成为客户IT环境中的安全控制中心、性能优化中心和运营管理中心。
iMC面向安全控制、性能优化和运营管理的系列解决方案 安全控制中心系列解决方案
?
端点准入解决方案(EAD)概述
H3C iMC端点准入功能组件与业界主流交换机、路由器、VPN设备、无线控制设备、专业网关等硬件进行配合,实现了局域网、广域网、VPN和无线等多种接入终端安全准入控制。
端点准入解决方案(EAD)在身份接入基础上,支持安全状态评估、网络安全威胁定位、安全事件感知及保护措施执行等,预防因未打补丁、病毒泛滥、ARP攻击、异常流量、非法软件安装和运行等因素可能带来的安全威胁,并可根据终端的安全状态实现终端VIP、Guest、隔离、下线等多种控制策略。从端点接入上保证每一个接入网络的终端的安全,从而保证网络安全。
5.1.1 系统安全管理
系统安全管理功能主要有包括:操作日志管理、操作员管理、分组分级与权限管理、操作员登录管理等。
2016-9-22 第30页, 共51页