无线系统解决方案

  • 格式:doc
  • 大小:265.50 KB
  • 文档页数:25

企业无线局域网系统方案2011年6月顺通电子目录概述 (4)企业无线局域网络系统需求 (5)接入认证 (5)接入安全 (5)用户区分 (5)企业无线局域网络系统构架 (6)接入层 (6)汇聚层 (6)控制层 (6)企业无线网络认证模式 (7)认证方式 (7)基于Web方式的认证方式 (7)基于802.1x的认证方式 (7)基于PPPoE的认证方式 (7)认证流程 (7)Web认证流程 (7)PPPoE认证流程 (8)802.1x认证 (9)企业无线网络接入安全 (10)接入层 (10)无线传输的资料加密 (10)无线接入点的横向安全 (11)汇聚层 (11)接入AP间横向安全 (11)用户资料安全 (12)控制层 (12)产品介绍 (12)AC (13)WACS简介 (13)功能特点 (13)认证及实现 (14)管理特性 (15)灵活的组网方式 (16)高集成的网络设备 (16)AP (16)WG102 (16)简介 (16)超级的无线性能 (17)超级安全性 (17)先进的WDS桥接功能 (17)丰富的管理功能 (18)WG302 (18)一个可升级的,安全的解决方案的智能网络 (19)智能的 (20)可用性 (20)PoE交换机 (20)FS108P (20)极灵活 (21)即插即用 (21)静音和紧凑 (21)超值 (22)FSM7326P (22)24+2埠三层网线供电交换机 (22)路由 (23)交换 (23)服务质量(QoS) (23)方便的网络管理 (23)灵活性 (24)先进的网络控制功能 (24)高经济性 (24)概述1997年IEEE推出了802.11无线局域网2Mbps标准后无线局域网并未得到普及,而1999年802.11b技术的出现使得的无线局域网的速率可以到达11Mbps,由于技术成熟以及移动终端的普及使无线局域网的市场不断扩大,随之而来新的标准如802.11g、802.11a以及未来的802.11n又将无线局域网的速率和环境适应性提到了一个新的高度,使之完全可以满足复杂的室内环境部署以及高带宽媒体应用的需求。

无线局域网络快速的普及,使得越来越多的公司开始考虑部署无线局域网络。

但是由于无线局域网络接入的开放性成为了很多希望部署无线局域网络公司的主要障碍,因为如果在设计网络的时候不采用有效的控制手段将会导致严重的安全问题。

而现有无线AP的安全手段如基于802.1x的认证机制虽然可以有效地解决企业所考虑的接入安全问题,但是由于对后台系统的维护和管理较为复杂,使得很多中小企业对此望而却步。

所以对于企业无线网络不但要从网络的各个层面考虑到安全性,还要需要考虑到系统的简单易用、合理的用户的接入模式以及用户区分等问题。

为了解决上述企业无线网络部署所遇到的问题,Netgear的无线局域网络系统以多层安全体系架构为基础,能够保护企业免受内部和外部的威胁,并改进了对授权内容的访问。

Negear的解决方案可以快速集成,确保网络可以提供端到端的安全性,高效地提交内容、促进协作和支持移动。

为广大客户提供了完整无线解决方案。

企业无线局域网络系统需求接入认证企业无线局域网络为了确保其接入用户为可信用户,必须对这些用户进行接入认证,而接入认证的方式也直接涉及到了系统的管理复杂程度以及系统的易用性。

接入安全无线局域网由于其通过微波进行资料承载所以整个网络是开放型的,虽然可以通过对无线发射功率的调节来做到物理层面上无线信号的扩散问题,但是仍然不能做到有线网络这样从布线上就解决了端口和物理位置捆绑,所以接入安全尤为重要。

企业的接入安全包括AP层面的无线空中资料的安全、交换机层面的资料访问安全、以及无线网络出口的应用安全。

用户区分企业无线网络往往需要设定不同的用户类别,如公司内部员工和公司外来人员的区分,另外也需要为不同用户定义基本的网络接入带宽。

企业无线局域网络系统构架接入层无线网络接入层主要有无线接入点组成。

汇聚层企业无线局域网络汇聚层应该由可管理的以太网供电交换机组成,通过可网管的以太网供电交换机我们可以对其下联无线访问点进行集中供电及埠监控管理。

考虑到网络的安全控制层企业无线局域网络控制层应该由访问控制器即AC构成,在功能层面AC主要负责用户的认证、分类、接入带宽的分配以及用户状态及数据库的管理。

企业无线网络认证模式认证方式NETGEAR在无线局域网络系统中所提供AC的认证方式有以下几种:基于Web方式的认证方式通过Portal Server实现认证页面的强制推送,来实现用户认证。

认证信息可以通过SSL进行加密,但用户资料信息并不加密。

基于802.1x的认证方式802.1x认证是一种基于逻辑端口的认证机制,对于企业无线局域网中而言802.1x认证机制可以有效地阻止未认证用户与任何一个打开该功能的AP实现无线关联。

基于PPPoE的认证方式PPPoE的认证模式已经是宽带网络中相当成熟的模式了,如今大多数操作系统都集成了PPPoE客户端软件,PPPoE的认证信息可以通过CHAP进行加密。

认证流程Web认证流程基于AC的Web认证流程如下图所示:AC位于WLAN系统的二层汇聚层,作为整个WLAN用户上网的网关存在。

认证用户进入WLAN网络,通过动态DHCP获得IP地址用户输入URLAC将该用户URL复位向至认证页面,认证页面服务器可以内置在AC中也可用户输入认证信息并提交AC将该认证信息送至校内统一的Radius认证设备上或AC本地的数据库进行认证成功则客户端弹出包含下线按钮的成功窗口,并开始计费。

若认证不成为了降低系统整体的硬件投入和维护负担,Netgear的AC系统已经将Radius 和Portal服务器内置在AC内部便于用户的集中管理,同时也提供了Radius的外部接口以便系统扩展。

PPPoE认证流程如下图所示:用户打开PPPoE客户端,进行拨号认证AC将客户端信息送至本地或网络上的Radius认证设备上进行认证认证通过PPPoE客户端显示连接成功,并开始计费。

若认证不成功,则显示连接失败并告知失败原因。

为了降低系统整体的硬件投入和维护负担,Netgear的AC将Radius服务器内置在AC内部便于用户的集中管理,同时也提供了Radius的外部接口以便系统扩展。

802.1x认证在企业无线局域网络系统中为了降低无线接入端对802.1x认证模式的兼容性,Netgear AC采用单纯的口令认证机制即基于MD5的802.1x的用户认证。

认证流程如下:无线接入用户选择无线网络ID接入AP发送认证需求操作系统弹出口令认证窗口用户输入认证AP将获得的用户认证信息送至AC本地Radius或网络中的Radius服务器Radius验证用户信息是否正确,并将验证结果发送给APAP收到成功信息后将允许用户接入,同时AC也将正常转发该用户的资料为了降低系统整体的硬件投入和维护负担,Netgear的AC将Radius服务器内置在AC内部便于用户的集中管理,同时也提供了Radius的外部接口以便系统扩展。

企业无线网络接入安全接入层企业接入层安全主要考虑到两方面:无线传输的资料加密早期802.11所提供的无线资料的WEP加密已是公认的不安全的加密机制,目前较新的无线资料安全基本采用WPA甚至WPA2来实现无线资料加密,WPA 延用WEP的RC4作为核心算法来实现资料加密,同时采用动态密钥管理机制,可以确保不同的接入用户有不同的密钥进行无线资料加密。

但是由于RC4有一定算法上的缺陷所以WPA2采用更为强劲的AES算法来弥补RC4算法上的缺陷。

Netgear企业级AP系列产品目前都已经支持WPA2,同时已经软件升级为802.11i 做好了准备。

考虑到企业用户部署WPA2需要后台较为复杂的Radius部署和维护,所以企业用户可以采用WPA2—PSK来确保来无线资料的安全。

WPA2-PSK的AP和无线接入客户端采用相同的Per-Share key,但是仍然采用动态密钥管理机制,可以确保不同的接入用户有不同的密钥进行无线资料加密。

无线接入点的横向安全由于无线局域网是开放型的网络系统,所以必须控制用户的横向通讯以阻止同一个AP下的非法攻击,Netgear的企业级系列的AP均支持横向用户阻隔。

汇聚层汇聚层安全主要考虑以下两个方面:接入AP间横向安全由于无线局域网是开放型的网络系统,所以除了确保同一个AP下无线用户的横向隔离,还应该确保不同AP下的用户隔离,只有无线用户的隔离自接入层一直到控制层才能确保所有无线用户的横向隔离。

Netgear 可网管的PoE供电交换机系列均支持端口隔离机制。

用户资料安全除了做到用户间的横向隔离我们还应该确保无线用户的资料的安全,所以有必要在汇聚层的交换机上对用户端口的资料包定义ACL规则,确保对AC和有线网络资料访问的合法性,Netgear三层可网管PoE供电交换机系列均支持二三层ACL规则的定义。

控制层控制层主要由AC来负责无线用户对网络的访问控制,Netgear的AC系统可以提供以下几方面的安全控制方式:有效地对用户进行控制,防止用户地址盗用、私设DHCP服务器等,并且可以根据Radius返回的用户的信息的限制无线用户接入网络的速率。

为认证的用户打开ARP Proxy,使得那些通过认证的用户即使在AP和汇聚交换机都配置了横向隔离的环境下也可以实现互通。

提供了NAT、ACL等功能,可以实现简单的防火墙规则,能够保护网络资源的基本安全。

将网络划分为需要认证和不需要认证的部分,有效的隔离了不可信任的区域,这样也保护了企业的内部的敏感资源。

产品介绍ACWACS简介WACS(WLAN ACCESS CONTROL SERVER)是安腾公司开发的,专门应用于中小企业无线组网认证的服务器。

在无线组网方案中,安全是很重要的部分。

WACS集成了AC和Radius的功能,支持802.1x的认证,可以为无线网络提供安全、可靠的保证。

WACS是一款高集成的网络设备,可以通过Console、Web、Telnet等方式进行管理。

面向用户的WEB管理,大大地简化了用户的管理难度,不用记忆复杂的网络配置命令,即可以对设备进行管理。

WACS自带Radius Server,也可以作为Radius Client或者Radius Proxy。

如果使用自带的Radius Server,可以在WEB 管理中对用户帐号进行管理。

在WACS中最多可以管理1024个用户帐号。

功能特点安全性:WACS提供NAT、ACL等功能,可以实现简单的防火墙规则。

能够保护网络资源的基本安全对认证的支持:内置Radius Server,支持标准的802.1x认证,同时可以采用浏览器认证的方式,可以适用在不同的网络环境中认证安全性:采用标准的Radius实现方式,采用EAP的认证扩展,实现对无线网络的管理DHCP服务器:WACS内置了DHCP服务,可以实现DHCP地址分配、DHCP 中继,方便对用户的地址进行管理用户管理:在WACS中可以管理最多1024个用户帐号,不需要外接其它的认证服务器,即可以独立完成认证的流程,同时也可以作为单独的认证服务器使用管理简单:WACS可以采用WEB管理,极大地简化了管理的难度,简单明了的管理接口,使管理设备和用户不再是一件复杂的工作网络资源保护:WACS可以把网络划分为需要认证和不需要认证的部分,有效的隔离了不可信任的区域,保护了企业的内部敏感资源高效性:WACS采用商业的嵌入式操作系统实现,具有很高的转发效率,不会造成网络出口的瓶颈QoS:WACS可以实现对用户的速率控制,根据一定的用户策略,实现用户的速率限制,实现差别服务免费的地址:WACS可以配置多个地址,在用户未认证的情况下也可以对这些地址进行访问。