wlan運維管理解決方案

1、? WLAN WLAN 運維管理解決方案 運維管理解決方案? 2010-9-10 15:37:00 作者:DCN ?多業(yè)務區(qū)分設計使用無線網(wǎng)絡可以分為不同的無線接入業(yè)務類型。因此，可以在設計上采用無線局域網(wǎng)多 SSID 技術，設置多業(yè)務區(qū)分方式，例如一個SSID 可給教師所用，而另一個可給學生專用。由于用戶一般把 SSID 看 成 VLAN，所以它們都會慣性地以 VLAN 概念來劃分 SSID。其實在一個 AP范圍內，不管用戶連接到那一

2、個 SSID 它們實際上都是在同一個 802.11 廣播域內，因為無線電波的傳輸是共享方式的。一個最簡單的例子就是AP 把不同的 SSID 名字廣播，所以當無線終端在這個 AP 覆蓋范圍內啟動時，它就能同時看到多個 SSID。SSID 的最主要用途是可讓無線終端以不同的安全認證和加密方式入網(wǎng)。為什么要把不同的安全加密協(xié)議設置在不同的 SSID 呢? 802.11 的標準內定義了不同加密情況時數(shù)據(jù)包的封裝格式，所以在用戶的無線接入使用不同

3、的加密方式，例如：WEP、TKIP(WPA)、802.11i(WPA2)等等，不同加密方式不能在同一個 SSID 內同時存在。某一個 SSID 可以覆蓋全網(wǎng)，也可以只局限于園區(qū)網(wǎng)內的某些范圍。一般的情況下是全網(wǎng)開通，例如：臨時訪問者(Guest)使用的SSID；但有些 SSID 可以只在辦公區(qū)廣播，只供某些部門使用。無線用戶管理 無線用戶管理神州數(shù)碼網(wǎng)絡對于無線用戶的管理可以有多種方式，在單個無線場所，可以使用神州數(shù)碼 DigiZone

4、Director 智能無線控制器對多 AP 進行管理，在多場所、多控制器的情況下，即可以使用神州數(shù)碼 LinkManager 統(tǒng)一網(wǎng)絡管理平臺使用標準 SNMP 協(xié)議對多廠家有線、無線設備進行統(tǒng)一管理，又可以使用 DigiFlexMaster 無線集中式管理軟件 基于 TR-069 對 AP 進行綜合管理。神州數(shù)碼網(wǎng)絡無線系統(tǒng)中可以設定用戶的角色（role），每個角色 可以基于用戶權限和可訪問資源的設定等規(guī)則。用戶權限是DigiZone

5、Director 的功能，是針對無線接入的特性而設計。一般的用戶 接入不同的 SSID 時只具有該 SSID 或 VLAN 所對應資源的訪問權限，所以訪問不同的 VLAN 的資源需要分別登錄不同的 SSID，這樣是十分不便 的。神州數(shù)碼網(wǎng)絡的基于用戶角色的權限管理是與用戶認證捆綁在一 起，當無線用戶成功通過認證后，他會獲得一個預設的用戶角色權限，訪問其他 SSID 對應的網(wǎng)絡資源。這樣，一個具有全部權限的用戶通過 一個 SSID 登錄后

6、，可以訪問所有 SSID 對應的語音、數(shù)據(jù)和視頻業(yè)務的權限，從而簡化了用戶的權限設置和用戶管理的復雜性。加密方式采用 WPA-PSK，不建議采用靜態(tài) WEP，因為有安全隱患。 采用 captive portal+VPN 的認證方式，同時 VPN 還具有三層的加密功能，具有更高的安全性。認證服務器的選擇比較靈活，可以使用 RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS，甚至是DigiZo

7、neDirector 內置的帳戶數(shù)據(jù)庫。② WPA+802.11x 加密方式盡量采用 WPA，如果客戶端不支持也可采用動態(tài) WEP，認證方式采用 802.11x，認證服務器選擇 RADIUS。③ Dynamic PSK?Dynamic PSK?是神州數(shù)碼網(wǎng)絡專有的用戶認證和加密技術。傳統(tǒng)的無線加密密鑰對所有的用戶是相同的，相當脆弱；而且長度較短，容易 被解碼。Dynamic PSK?技術為每一個用戶提供一個 64 字節(jié)的密鑰，實現(xiàn)完整而

8、且非常安全的認證加密手段。4: 4:用戶的 用戶的 Role Role（角色）： （角色）：每一類用戶可以建立一個相關的 Role，每個 Role 有一個用戶狀態(tài)防火墻的設定和帶寬控制的設定，這樣我們就可以將設定的安全策略加載到每個用戶身上。5: 5:無線客戶端隔離： 無線客戶端隔離：神州數(shù)碼網(wǎng)絡無線控制器具有無線客戶端隔離功能，該功能啟動后，無線客戶端將無法相互通信或訪問任何受限制的子網(wǎng)。6: 6:帶寬控制： 帶寬控制：可以對每個用戶

9、設定其可以使用的帶寬，一方面可以限制其對網(wǎng)絡資源的占有，另一方面，當該客戶端中了病毒以后，其病毒發(fā)作時不會占用網(wǎng)絡全部的帶寬。7: 7:認證系統(tǒng)支持： 認證系統(tǒng)支持：神州數(shù)碼網(wǎng)絡無線系統(tǒng)支持多種認證系統(tǒng)，諸如Radius、微軟的 AD（活動目錄）和在 DigiZoneDirector 內部的 Internal DB 等等。統(tǒng)一身份認證 統(tǒng)一身份認證融合統(tǒng)一 融合統(tǒng)一 802.1x 802.1x 認證 認證神州數(shù)碼有線無線集成化客戶端，在

10、實現(xiàn)有線無線統(tǒng)一身份認證的同時，還解決了長時間困擾用戶的多廠家設備同時存在時無法實現(xiàn)統(tǒng)一 認證的問題，由于高校校園網(wǎng)建設周期較長，在不同的階段由于不同的 需求可能采用不同廠家的設備，目前的 802.1x 認證，各廠家均是采用私有認證，在終端設備上必須安裝各廠家獨有的私有客戶端才能與其接 入交換機、認證計費系統(tǒng)互動，實現(xiàn)私有 802.1x 認證，這種私有認證對接入設備的依賴性使得用戶受困于廠家，不便于后續(xù)的應用擴展，神 州數(shù)碼有線無線集成