高等專科學(xué)校WLAN室內(nèi)覆蓋系統(tǒng)方案

1、景德鎮(zhèn)高等專科學(xué)校無(wú)線網(wǎng)絡(luò)覆蓋景德鎮(zhèn)高等?？茖W(xué)校無(wú)線網(wǎng)絡(luò)覆蓋 技術(shù)方案書技術(shù)方案書 目目 錄錄 一、一、項(xiàng)目概述項(xiàng)目概述 .4 1.1 景德鎮(zhèn)高等專科學(xué)校 wlan 無(wú)線覆蓋項(xiàng)目需求.4 二、系統(tǒng)規(guī)劃二、系統(tǒng)規(guī)劃.5 2.1 無(wú)線系統(tǒng)需求分析.5 2.2 設(shè)備選型原則.5 2.3 無(wú)線覆蓋方式.6 2.3.1室內(nèi)覆蓋.6 2.3.1室外覆蓋.6 2.4 設(shè)計(jì)原則和規(guī)劃方法.6 2.4.1 無(wú)線網(wǎng)絡(luò)設(shè)計(jì)原則.6 2.4.2 覆蓋區(qū)域規(guī)劃思路及解決方法.7 2.4.3 設(shè)備頻點(diǎn)規(guī)劃思路及解決辦法.7 三、方案設(shè)計(jì)依據(jù)、工作過(guò)程及原理三、方案設(shè)計(jì)依據(jù)、工作過(guò)程及原理.8 3.1 網(wǎng)絡(luò)設(shè)計(jì)依據(jù).8 3

2、.2 無(wú)線網(wǎng)絡(luò)技術(shù)指標(biāo).8 3.3 主要工作過(guò)程及原理.9 四、主要設(shè)備選擇及性能指針?biāo)?、主要設(shè)備選擇及性能指針.10 4.1 室內(nèi)無(wú)線設(shè)備.10 4.2 室內(nèi)吸頂天線.12 五、系統(tǒng)架構(gòu)五、系統(tǒng)架構(gòu).13 5.1 無(wú)線接入部分簡(jiǎn)述.13 5.2 無(wú)線安全控制機(jī)制選擇.13 5.3 無(wú)線系統(tǒng)的負(fù)載均衡.14 5.4 無(wú)線網(wǎng)絡(luò)系統(tǒng)拓?fù)鋱D.14 5.5 vlan 支持能力和實(shí)現(xiàn)方案.15 5.6 vpn 支持能力和實(shí)現(xiàn)方案.15 六、景德鎮(zhèn)高等?？茖W(xué)校黃金校區(qū)無(wú)線覆蓋方案說(shuō)明六、景德鎮(zhèn)高等?？茖W(xué)校黃金校區(qū)無(wú)線覆蓋方案說(shuō)明.16 6.1 支持多種寬帶接入認(rèn)證技術(shù).16 6.1.1 web/porta

3、l 認(rèn)證.17 6.1.2 ieee 802.1x認(rèn)證.17 6.1.3 不同認(rèn)證方式的比較.18 6.2 認(rèn)證管理系統(tǒng).19 6.2.1 radius server.20 6.2.2管理維護(hù)系統(tǒng).21 6.2.3用戶自服務(wù)、自注冊(cè)系統(tǒng).21 6.2.4接口系統(tǒng).21 6.4 滿足校園特點(diǎn)的無(wú)線網(wǎng)絡(luò)安全性和可靠性.21 6.4.1 訪問(wèn)控制.22 6.4.2 數(shù)據(jù)加密.22 6.4.3 單鑰密碼體制.22 6.4.4 雙鑰密碼體制.22 6.4.5 數(shù)據(jù)完整性.22 6.4.6不可否認(rèn)性.23 6.4.7無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn).23 6.5 無(wú)線網(wǎng)絡(luò)管理系統(tǒng).25 6.5.1 無(wú)線管理系統(tǒng)產(chǎn)品概述

4、.25 6.5.2 無(wú)線管理系統(tǒng)功能簡(jiǎn)述.26 6.6 無(wú)線網(wǎng)絡(luò)檢測(cè)工具.27 6.7 多種業(yè)務(wù)支持能力.28 七、方案具體規(guī)劃七、方案具體規(guī)劃.31 7.1 覆蓋區(qū)域物理設(shè)計(jì)建議.31 7.2 景德鎮(zhèn)高等專科學(xué)校無(wú)線覆蓋規(guī)劃.31 7.2.1 1-2#樓一層至四層安裝圖.31 7.2.2 5#-4#樓一層至四層安裝圖.32 7.2.3 6#樓一至五層安裝圖.33 7.2.4 7#樓一至五層安裝圖.34 7.2.5 8#樓一至六層安裝圖.35 7.2.6 9#樓一至四層安裝圖.36 7.2.7 10#-11#樓一至六層安裝圖.37 7.2.8 12#樓一至六層安裝圖.38 7.2.9綜合樓一層

5、安裝圖.39 7.2.10綜合樓二層安裝圖.40 7.2.11綜合樓三至四層安裝圖.41 7.2.12綜合樓五層安裝圖.42 7.2.13綜合樓六層安裝圖.43 7.2.14綜合樓七層安裝圖.44 7.3 覆蓋區(qū)域邏輯設(shè)計(jì)建議.45 7.3.1 vlan和ssid.45 7.3.2 地址和路由.46 八、設(shè)備總清單八、設(shè)備總清單.47 九、施工注意事項(xiàng)九、施工注意事項(xiàng).48 9.1 無(wú)線網(wǎng)絡(luò)信道規(guī)劃.48 9.2 頻率復(fù)用（c/i）計(jì)算方法.49 9.3 無(wú)線設(shè)備的安裝.51 9.4 電源模塊的安裝.52 9.5 設(shè)備的卷標(biāo)記錄.52 一、一、項(xiàng)目概述項(xiàng)目概述 1.1景德鎮(zhèn)高等專科學(xué)校景德鎮(zhèn)高

6、等專科學(xué)校wlan 無(wú)線覆蓋項(xiàng)目需求無(wú)線覆蓋項(xiàng)目需求 校園內(nèi)整體實(shí)現(xiàn)學(xué)校宿舍區(qū)的無(wú)線覆蓋，要求 wlan 網(wǎng)滿足如下需求： 實(shí)用性：實(shí)用性：遵循面向應(yīng)用，注重實(shí)效，急用先上，逐步完善的原則；充分保護(hù)已有投資，不設(shè)計(jì)成華 而不實(shí)的無(wú)線網(wǎng)絡(luò)，也不設(shè)計(jì)成利用率低下的網(wǎng)絡(luò)，我們以實(shí)用性的原則要求為依據(jù)，建設(shè)具有最 低的 tco（擁有的總成本最低） ，有最高的性價(jià)比的校園無(wú)線局域網(wǎng)絡(luò)。 先進(jìn)性：先進(jìn)性：采用先進(jìn)成熟的網(wǎng)絡(luò)概念、技術(shù)、方法與設(shè)備，反映當(dāng)今先進(jìn)水平，又給未來(lái)的發(fā)展留有 余地；充分采用目前國(guó)際、國(guó)內(nèi)流行和成熟的技術(shù)，保證網(wǎng)絡(luò)能適應(yīng)技術(shù)的快速發(fā)展。 可靠性：可靠性：系統(tǒng)必須可靠運(yùn)行，主要的、關(guān)鍵

7、的設(shè)備應(yīng)有冗余，一旦系統(tǒng)某些部分出現(xiàn)故障，應(yīng)能很 快恢復(fù)工作，并且不能造成任何損失。 開放性：開放性：選擇的產(chǎn)品應(yīng)具有好的互操作性和可移植性，并符合相關(guān)的國(guó)際標(biāo)準(zhǔn)和工業(yè)標(biāo)準(zhǔn)；無(wú)論發(fā) 生任何變化，均能夠最大可能性的開放標(biāo)準(zhǔn)。 可擴(kuò)充性：可擴(kuò)充性：系統(tǒng)是一個(gè)逐步發(fā)展的應(yīng)用環(huán)境，在系統(tǒng)結(jié)構(gòu)、產(chǎn)品系統(tǒng)、系統(tǒng)容量與處理能力等方面 必須具有升級(jí)換代的可能，這種擴(kuò)充不僅能充分保護(hù)原有資源，而且具有較高的性能價(jià)格比； 可維護(hù)性：可維護(hù)性：系統(tǒng)具有良好的網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控、故障分析和處理能力，使系統(tǒng)具有極高的可維護(hù) 性； 安全性：安全性：必須具有高度的保密機(jī)制，靈活方便的權(quán)限設(shè)定和控制機(jī)制，以使系統(tǒng)具有多種手段

8、來(lái)防 備各種形式的非法侵入和機(jī)密信息的泄露。 二、系統(tǒng)規(guī)劃二、系統(tǒng)規(guī)劃 2.1 無(wú)線系統(tǒng)需求分析無(wú)線系統(tǒng)需求分析 計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展和普及，改變了整個(gè)信息管理的面貌，使信息管理從以單個(gè)計(jì)算機(jī)為中 心發(fā)展到以網(wǎng)絡(luò)為中心，并為計(jì)算機(jī)技術(shù)在工業(yè)、商業(yè)、教學(xué)、科研、管理等領(lǐng)域中的應(yīng)用提供了 一個(gè)全新的網(wǎng)絡(luò)通信環(huán)境，也從根本上加強(qiáng)并促進(jìn)了群體工作成員之間的信息交流、資源共享、科 學(xué)計(jì)算、技術(shù)合作及有效管理等，進(jìn)而推動(dòng)了生產(chǎn)、管理、科研及教學(xué)事業(yè)的發(fā)展。企業(yè)的生產(chǎn)、 經(jīng)營(yíng)環(huán)境的改善，必須以現(xiàn)代化的集成生產(chǎn)管理系統(tǒng)和高度自動(dòng)化的信息技術(shù)為依托，將企業(yè)的各 個(gè)生產(chǎn)部門構(gòu)成一個(gè)有機(jī)的整體，而不是自動(dòng)化程度很高

9、的“孤島”的簡(jiǎn)單迭加。 目前，信息化程度已成為衡量一個(gè)國(guó)家、一個(gè)地區(qū)、一個(gè)單位綜合實(shí)力的重要標(biāo)志。黨中央和 國(guó)務(wù)院對(duì)我國(guó)信息化工作非常重視，并指出了“統(tǒng)籌規(guī)劃、聯(lián)合建設(shè)、統(tǒng)一標(biāo)準(zhǔn)、專項(xiàng)結(jié)合”的十六 字指導(dǎo)方針。隨著信息化建設(shè)的不斷深入發(fā)展，原有人工管理方式已不能適應(yīng)現(xiàn)代管理需要。 在以往的工作模式下，信息主要有業(yè)務(wù)員來(lái)傳遞，這種手工勞動(dòng)不僅延緩了信息傳遞時(shí)間，而 且，由于工作習(xí)慣的不同，檔具有不同的格式，經(jīng)過(guò)多次周轉(zhuǎn)，往往會(huì)造成信息失真，大大地影響 了工作質(zhì)量。隨著企業(yè)規(guī)模的不斷發(fā)展和業(yè)務(wù)量的不斷增加，原有的工作方式已不能滿足現(xiàn)代系統(tǒng) 的需要。特別是對(duì)突發(fā)事件的處理能力。 主要需求分為如下幾個(gè)

10、方面： 1、校內(nèi)熱點(diǎn)區(qū)域進(jìn)行無(wú)線覆蓋。 2、無(wú)線網(wǎng)絡(luò)與校園網(wǎng)進(jìn)行結(jié)合。 3、滿足網(wǎng)上的集成系統(tǒng)和業(yè)務(wù)系統(tǒng)的需求。 2.2 設(shè)備選型原則設(shè)備選型原則 南京智達(dá)康無(wú)線產(chǎn)品可分為如下幾種：可同時(shí)開啟 5.8g 信道和 2.4g 信道的 ieee802.11 a/b/g 雙 rf 發(fā)射單元的 ap，有室內(nèi)型、室外型兩種可選；工作在 2.4g 頻點(diǎn)，可升級(jí)至雙 2.4g 頻點(diǎn)的 ieee802.11 b/g ap，同樣有室內(nèi)型、室外型兩種可選。 南京智達(dá)康無(wú)線通信有限公司研發(fā)、生產(chǎn)的所有設(shè)備專為運(yùn)營(yíng)商設(shè)計(jì)。產(chǎn)品所采取的主板、核 心部件以及上層軟件提供的高可靠性、穩(wěn)定性以及多功能性，遠(yuǎn)非普通企業(yè)級(jí)、家庭級(jí)

11、 wlan 設(shè) 備可比。 ieee802.11 a/b/g 雙 rf 發(fā)射單元 ap 進(jìn)行組網(wǎng)，最大能同時(shí)提供 8 個(gè)互不干擾的頻點(diǎn)， 180mbps 凈速率、432mbps 空中速率的帶寬接入能力。該產(chǎn)品可用于看臺(tái)以及新聞中心等區(qū)域覆蓋。 ieee802.11 b/g ap 可作為室內(nèi)普通用戶的接入，如用戶數(shù)不多的功能用房。由于該產(chǎn)品可通 過(guò)簡(jiǎn)單升級(jí)，成為雙 2.4g 頻點(diǎn) ap，滿足日后系統(tǒng)擴(kuò)容需要。 可選擇的 za-5000-ws 無(wú)線接入控制器及 bwa-manager 網(wǎng)管系統(tǒng)提供 wlan 系統(tǒng)的后臺(tái)管理、 控制部分。同時(shí)，南京智達(dá)康 wlan 系統(tǒng)也可被運(yùn)營(yíng)商統(tǒng)一網(wǎng)管平臺(tái)或第三方

12、網(wǎng)管平臺(tái)很好的相 容。 2.3 無(wú)線覆蓋方式無(wú)線覆蓋方式 2.3.1 室內(nèi)覆蓋室內(nèi)覆蓋 室內(nèi)覆蓋規(guī)劃原則： ap 的放置要遵循兩個(gè)原則 ap 覆蓋區(qū)域無(wú)間隙； ap 重迭區(qū)域最小。相鄰 ap 工作在不同頻道，以 1， 6，11 三個(gè)頻道實(shí)現(xiàn)全方位的覆蓋。 根據(jù)經(jīng)驗(yàn)值，當(dāng)相鄰 ap 設(shè)定相同頻點(diǎn)時(shí), 要求間隔 25 米以上；當(dāng)相鄰 ap 設(shè)定相鄰頻點(diǎn) 時(shí), 要求 ap 間隔 16 米以上；當(dāng) ap 設(shè)定相隔頻點(diǎn)時(shí), 要求間隔 12 米以上。 2.3.1 室外覆蓋室外覆蓋 （1）當(dāng) ap 天線安裝在墻壁上時(shí)，天線掛高低于周圍建筑物高度，為了既能充分覆蓋低層室 內(nèi)部分，又能兼顧樓層較高部分的室內(nèi)覆蓋

13、，根據(jù)樓層高度不同，可以選擇垂直波束寬度范圍 3580的定向天線。水平波束寬度的考慮與天線的安裝位置及其覆蓋目標(biāo)有關(guān)?？梢赃x擇水平波 束寬度 60150 的定向天線，或者全向天線、雙向天線（即 8 字形天線） 。需要選擇天線垂直和水 平的角度要相對(duì)較大扇區(qū)天線，天線的增益也需要選擇增益較大天線，保證更大的覆蓋范圍。并且， 天線的安裝位置需要根據(jù)現(xiàn)場(chǎng)環(huán)境進(jìn)行細(xì)微調(diào)節(jié)，達(dá)到最好的覆蓋效果，可以選擇安裝在覆蓋樓本 身中間側(cè)面墻或相關(guān)周圍有利于無(wú)線傳輸?shù)钠渌ㄖ纾红o園、林園等； （2）當(dāng) ap 天線置于樓頂或燈桿高處時(shí)，也可選擇水平波束寬度較大的定向天線或者全向天 線。選擇定向天線，主要是通過(guò)對(duì)

14、樓反射信號(hào)覆蓋本身樓房；而選擇全向天線時(shí)，信號(hào)覆蓋將比較 均勻。具體方案應(yīng)從現(xiàn)場(chǎng)覆蓋需求，樓身寬度和樓群分布情況角度出發(fā)來(lái)確定。當(dāng)樓房建筑較窄， 樓層較多時(shí)，一般將選擇定向天線。 2.4 設(shè)計(jì)原則和規(guī)劃方法設(shè)計(jì)原則和規(guī)劃方法 .1 無(wú)線網(wǎng)絡(luò)設(shè)計(jì)原則無(wú)線網(wǎng)絡(luò)設(shè)計(jì)原則 設(shè)計(jì)原則：設(shè)計(jì)原則：無(wú)線覆蓋設(shè)計(jì)將遵循按照信號(hào)范圍最大化原則，在全校全面覆蓋的前提下，重點(diǎn) 選擇部分區(qū)域進(jìn)行更加細(xì)膩的覆蓋。并且，保證無(wú)線網(wǎng)絡(luò)穩(wěn)定性并與絕大多數(shù)主流無(wú)線網(wǎng)卡兼容， 同時(shí)兼顧考慮網(wǎng)絡(luò)擴(kuò)容，為今后網(wǎng)絡(luò)擴(kuò)容做好預(yù)留。 設(shè)計(jì)指標(biāo)：設(shè)計(jì)指標(biāo)：各信號(hào)輸出點(diǎn)信號(hào)強(qiáng)度 1015dbm；將按照 2.4g 工作頻段 2.

15、4122.462ghz（fcc）分為 channel1、channel6、channel11 三個(gè)完全不干擾頻段設(shè)計(jì)；目標(biāo)覆蓋 區(qū)域信號(hào)強(qiáng)度-80dbm。 1、一般來(lái)講室內(nèi)容許最大覆蓋距離為 35100 米 室外容許最大距離 100400 米 2、障礙物阻擋 要觀測(cè)無(wú)線覆蓋周圍的障礙物確定 ap 的數(shù)量和放置位置。 2.4g 電磁波對(duì)于各種建筑材質(zhì)的穿透損耗的經(jīng)驗(yàn)值如下： a. 水泥墻(1525cm): 衰減 1012db b. 木板墻(510cm): 衰減 56db c. 玻璃窗(35cm): 衰減 57db 各種建筑材料對(duì)無(wú)線訊號(hào)的影響如下： 當(dāng) ap 與終端隔一座水泥墻時(shí),ap 的可傳送

16、覆蓋距離約剩下 5 米有效距離。 當(dāng) ap 與終端中間隔一座木板墻時(shí), ap 的傳送距離約剩下 15 米有效距離。 當(dāng) ap 與終端中間隔一座玻璃墻時(shí), ap 的傳送距離約剩下-80dbm; 無(wú)線信號(hào)（擴(kuò)頻）信噪比（s/n） ；20db 發(fā)射功率：最大發(fā)射功率為 100mw。 無(wú)線網(wǎng)絡(luò)接受靈敏度； 78dbm54mbps 79dbm48mbps 83dbm36mbps 87dbm24mbps 90dbm18mbps 92dbm12mps 94dbm9mps 95dbm6mbps 93dbm11mbps 96dbm5.5mbps 97dbm2mbps 100dbm1mbps 發(fā)射頻普： 工作頻段

17、：2.4g-2.4835ghz 通道間隔：5.0mhz 通道帶寬:22.0mhz 接收門限電平值： 最小接收機(jī)門限電平為-80dbm，最大接收機(jī)門限電平為-8dbm。 雜散發(fā)射： ap 雜散發(fā)射功率電平值為-40dbm。 發(fā)射功率穩(wěn)定度： 23ppm 以下。 poweron 與 powerdown 坡度： 上升和下降時(shí)間都是 1.5us。 支持無(wú)線網(wǎng)絡(luò)的內(nèi)、外網(wǎng)物理隔離選項(xiàng)，保證大流量壓力測(cè)試下 100 小時(shí)無(wú)異。 無(wú)線覆蓋網(wǎng)絡(luò)采用 802.11a/g/b 技術(shù)標(biāo)準(zhǔn),具有良好的兼容性，能兼容市場(chǎng)上主流的 802.11a、802.11g、802.11b 設(shè)備。 支持動(dòng)態(tài) ip 地址分配功能，具有

18、 dhcpclient、靜態(tài) ip 地址、dhcprelay 功能； 支持生成樹協(xié)議。 具有自動(dòng) rf 管理和功率控制技術(shù)。 故障自恢復(fù)功能。 3.3 主要工作過(guò)程及原理主要工作過(guò)程及原理 掃頻：掃頻：sta 在加入服務(wù)區(qū)之前要查找哪個(gè)頻道有數(shù)據(jù)信號(hào)，分主動(dòng)和被動(dòng)兩種方式。主動(dòng)掃頻 是指 sta 啟動(dòng)或關(guān)聯(lián)成功后掃描所有頻道；一次掃描中，sta 采用一組頻道做為掃描范圍，如果 發(fā)現(xiàn)某個(gè)頻道空閑，就廣播帶有 essid 的探測(cè)信號(hào)；ap 根據(jù)該信號(hào)做響應(yīng)。被動(dòng)掃頻是指 ap 每 100 毫秒向外傳送燈塔信號(hào)，包括用于 sta 同步的時(shí)間戳，支持速率以及其它信息，sta 接收到 燈塔信號(hào)后啟動(dòng)關(guān)聯(lián)

19、過(guò)程。 關(guān)聯(lián)（關(guān)聯(lián)（associate）：）：用于建立無(wú)線訪問(wèn)點(diǎn)和無(wú)線工作站之間的映射關(guān)系，實(shí)際上是把無(wú)線變成 有線網(wǎng)的聯(lián)機(jī)。分布式系統(tǒng)將該映像關(guān)系分發(fā)給擴(kuò)展服務(wù)區(qū)中的所有 ap。一個(gè)無(wú)線工作站同時(shí)只 能與一個(gè) ap 關(guān)聯(lián)。在關(guān)聯(lián)過(guò)程中，無(wú)線工作站與 ap 之間要根據(jù)信號(hào)的強(qiáng)弱協(xié)商速率，速率變化 包括：11mbps, 5.5mbps, 2mbps 和 1mbps。 重關(guān)聯(lián)（重關(guān)聯(lián)（reassociate）：）：當(dāng)無(wú)線工作站從一個(gè)擴(kuò)展服務(wù)區(qū)中的一個(gè)基本服務(wù)區(qū)移動(dòng)到另外一個(gè) 基本服務(wù)區(qū)時(shí)，與新的 ap 關(guān)聯(lián)的整個(gè)過(guò)程。重關(guān)聯(lián)總是由移動(dòng)無(wú)線工作站發(fā)起。 漫游：漫游：指無(wú)線工作站在一組無(wú)線訪問(wèn)點(diǎn)之間移

20、動(dòng)，并提供對(duì)于用戶透明的無(wú)縫連接，包括基本 漫游和擴(kuò)展漫游?；韭问侵笩o(wú)線 sta 的移動(dòng)僅局限在一個(gè)擴(kuò)展服務(wù)區(qū)內(nèi)部。擴(kuò)展漫游指無(wú)線 sat 從一個(gè)擴(kuò)展服務(wù)區(qū)中的一個(gè) bss 移動(dòng)到另一個(gè)擴(kuò)展服務(wù)區(qū)的一個(gè) bss，802.11b 并不保證這種 漫游的上層連接。常見做法是采用 mobile ip 或動(dòng)態(tài) dhcp。 四四、主要設(shè)備選擇及性能指針主要設(shè)備選擇及性能指針 4.1 室內(nèi)無(wú)線設(shè)備室內(nèi)無(wú)線設(shè)備 4.2 室內(nèi)吸頂天線室內(nèi)吸頂天線 五五、系統(tǒng)架構(gòu)系統(tǒng)架構(gòu) 5.1 無(wú)線接入部分簡(jiǎn)述無(wú)線接入部分簡(jiǎn)述 無(wú)線網(wǎng)絡(luò)的建設(shè)是在南昌市外語(yǔ)外貿(mào)職業(yè)學(xué)院有線校園網(wǎng)絡(luò)之上，進(jìn)行無(wú)線網(wǎng)絡(luò)擴(kuò)充。網(wǎng)絡(luò)通 過(guò)聯(lián)通公司提

21、供的網(wǎng)絡(luò)出口接入 internet。無(wú)線網(wǎng)絡(luò)的主要覆蓋學(xué)生宿舍區(qū)域，進(jìn)行全方位立體式 無(wú)線覆蓋，讓學(xué)生們可以隨時(shí)隨地、無(wú)拘束的連接到網(wǎng)絡(luò)。該校具有完善的有線網(wǎng)絡(luò)結(jié)構(gòu)，新的無(wú) 線網(wǎng)絡(luò)建設(shè)要求在網(wǎng)絡(luò)互聯(lián)、安全防御等方面與有線網(wǎng)絡(luò)進(jìn)行良好的兼容和互補(bǔ)，并在無(wú)線網(wǎng)絡(luò)認(rèn) 證計(jì)費(fèi)方面無(wú)縫融合。在整體無(wú)線網(wǎng)絡(luò)的規(guī)劃中，始終以高效、穩(wěn)定、安全為總體設(shè)計(jì)目標(biāo)，同時(shí) 保證易于使用、用戶接口統(tǒng)一、標(biāo)準(zhǔn)，表現(xiàn)力強(qiáng)；易于安裝和維護(hù)，網(wǎng)絡(luò)運(yùn)行質(zhì)量高；開放性好， 便于移植、擴(kuò)展和推廣；具備較好的性能價(jià)格比，并在幾年內(nèi)保持解決方案與技術(shù)上的領(lǐng)先，為用 戶提供一個(gè)靈活的移動(dòng)教學(xué)和辦公的“平臺(tái)”, 對(duì)用戶和無(wú)線網(wǎng)絡(luò)進(jìn)行有效的管理

22、，構(gòu)建了一個(gè)穩(wěn)定 的、可拓展的無(wú)線校園網(wǎng)環(huán)境。 5.2 無(wú)線安全控制機(jī)制選擇無(wú)線安全控制機(jī)制選擇 在有線以太網(wǎng)技術(shù)的發(fā)展歷程中，越來(lái)越多的面向訪問(wèn)端和服務(wù)端的安全技術(shù)被開發(fā)出來(lái)并得 到了成熟運(yùn)用。而對(duì)于無(wú)線網(wǎng)絡(luò)而言，由于其利用空中載波通道作為傳輸載體，其物理層與數(shù)據(jù)鏈 路層工作原理與有線網(wǎng)絡(luò)有所不同，其所遵循的安全策略也與有線網(wǎng)絡(luò)截然不同。在校園級(jí)無(wú)線網(wǎng) 絡(luò)的規(guī)劃中，由于信號(hào)的覆蓋將會(huì)帶來(lái)眾多的未知訪問(wèn)者試圖進(jìn)行的訪問(wèn)連接，無(wú)線網(wǎng)絡(luò)如何從中 識(shí)別出合法的用戶，避免非法用戶利用無(wú)線網(wǎng)絡(luò)的安全隱患入侵整個(gè)網(wǎng)絡(luò)，往往成為了無(wú)線網(wǎng)絡(luò)規(guī) 劃者需要解決的難點(diǎn)。 在目前面向行業(yè)級(jí)的 wlan 產(chǎn)品的安全技術(shù)

23、中，越來(lái)越強(qiáng)調(diào)單機(jī)安全策略的強(qiáng)化，以及與有 線網(wǎng)絡(luò)安全互補(bǔ)的核心思想。其中，ssid 禁止廣播、wep 機(jī)密、wpa 認(rèn)證、802.1x 認(rèn)證、eap- tls 擴(kuò)展認(rèn)證、vlan 劃分等一系列技術(shù)的運(yùn)用，將有效的提高無(wú)線網(wǎng)絡(luò)的安全防御能力。本此規(guī) 劃中，將按照層次化的設(shè)計(jì)理念，完成南昌市外語(yǔ)外貿(mào)職業(yè)學(xué)院的無(wú)線網(wǎng)絡(luò)安全需求。我門公司的 室內(nèi)型和室外型網(wǎng)絡(luò)設(shè)備均支持 ssid 禁止廣播、wep 機(jī)密、wpa 認(rèn)證、802.1x 認(rèn)證、eap-tls 擴(kuò)展認(rèn)證、vlan 劃分技術(shù)，可提供完備的安全防御能力。 ssid（無(wú)線標(biāo)識(shí)符）是用于無(wú)線終端與接入點(diǎn)匹配以獲得通信的明文密碼，對(duì)于初級(jí)安全防范 有

24、一定作用，且配置快速簡(jiǎn)單，非常適合室外無(wú)線覆蓋使用。尤其是啟用了目前先進(jìn)的 ssid 廣播 禁止功能之后，由于空中不再?gòu)V播明文的 ssid 號(hào)碼，使得那些擁有截獲 ssid 密碼的無(wú)線終端非 法訪問(wèn)網(wǎng)絡(luò)。 另外，wep（有線等效密鑰）和 wpa/wpa2（接入保護(hù)）技術(shù)的出現(xiàn)，可以通過(guò)大量的密文 加密位和動(dòng)態(tài)的密鑰協(xié)議（tkip/aes） ，為非法訪問(wèn)者制造難以攻破的障礙，從而避免網(wǎng)絡(luò)安全事 件的發(fā)生。在校園無(wú)線網(wǎng)絡(luò)規(guī)劃中，由于目前校園有線網(wǎng)絡(luò)已具備一定規(guī)模，因此，在無(wú)線網(wǎng)絡(luò)融 合進(jìn)有線網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換之前，通過(guò) wep 和 wpa 加密技術(shù)可以增加一層保護(hù)手段，可以極大 的提升安全防御的能力

25、。 另外，對(duì)于室內(nèi)/室外型 ap 產(chǎn)品，由于其分別開放于室內(nèi)高密度訪問(wèn)和室外環(huán)境，面對(duì)的是所 有用戶群體，對(duì)不同的用戶群體的權(quán)限和身份識(shí)別則成為必須的功能。因此，ap 產(chǎn)品應(yīng)選擇具備 多 bss 的劃分和 802.1q vlan 功能的無(wú)線產(chǎn)品，協(xié)助接入層無(wú)線用戶與接入層交換機(jī)用戶同樣接 受全網(wǎng)統(tǒng)一管理和 vlan 的劃分，這樣可以徹底解決無(wú)線用戶無(wú)法管、不方便管的疑難問(wèn)題。 5.3 無(wú)線系統(tǒng)的負(fù)載均衡無(wú)線系統(tǒng)的負(fù)載均衡 無(wú)線網(wǎng)絡(luò)中的各個(gè) ap 具有負(fù)載均衡功能，可根據(jù)系統(tǒng)的用戶數(shù)或是流量這兩種方式均衡各個(gè) ap 上的負(fù)載，避免某個(gè) ap 上的負(fù)載過(guò)大，而使某個(gè)區(qū)域的無(wú)線網(wǎng)絡(luò)性能下降，造成鏈路

26、不穩(wěn)定， 通過(guò)負(fù)載均衡調(diào)節(jié)后的無(wú)線網(wǎng)絡(luò)，具有更好的網(wǎng)絡(luò)性能，能夠?yàn)楦嗟臒o(wú)線終端提供良好的無(wú)線性 能，保障無(wú)線網(wǎng)絡(luò)的性能。 5.4 無(wú)線網(wǎng)絡(luò)系統(tǒng)拓?fù)鋱D無(wú)線網(wǎng)絡(luò)系統(tǒng)拓?fù)鋱D 5.5 vlan 支持能力和實(shí)現(xiàn)方案支持能力和實(shí)現(xiàn)方案 5.6 vpn 支持能力和實(shí)現(xiàn)方案支持能力和實(shí)現(xiàn)方案 六、景德鎮(zhèn)高等?？茖W(xué)校黃金校區(qū)無(wú)線覆蓋方案說(shuō)明六、景德鎮(zhèn)高等?？茖W(xué)校黃金校區(qū)無(wú)線覆蓋方案說(shuō)明 校園網(wǎng)絡(luò)是一個(gè)高兼容，可管理的網(wǎng)絡(luò)，前期網(wǎng)絡(luò)的泡沫不在于我們的網(wǎng)絡(luò)規(guī)模是否超前，我 們的帶寬是否太大，而是我們?nèi)绾喂芾砗瓦\(yùn)營(yíng)我們的網(wǎng)絡(luò)，從中真正得到應(yīng)有的效益，同時(shí)讓不同 需求的用戶得到不同的服務(wù)，還有就是充分挖掘現(xiàn)有網(wǎng)絡(luò)的潛

27、力，在目前的網(wǎng)絡(luò)中提供更多的服務(wù)。 有必要強(qiáng)調(diào)：寬帶網(wǎng)絡(luò)應(yīng)該是一個(gè)高兼容、可管理的網(wǎng)絡(luò)，而不再是簡(jiǎn)單的免費(fèi)開放的計(jì)算機(jī)網(wǎng)絡(luò) 平臺(tái)。 所以我們必須重新審視寬帶網(wǎng)絡(luò)建設(shè)中的認(rèn)證、計(jì)費(fèi)、業(yè)務(wù)開展等。 6.1 支持多種寬帶接入認(rèn)證技術(shù)支持多種寬帶接入認(rèn)證技術(shù) 目前寬帶接入的方式主要有 xdsl、lmds、homepna、lan、hfc、wlan 等，根據(jù)不同電 信運(yùn)營(yíng)商的基礎(chǔ)網(wǎng)絡(luò)結(jié)構(gòu)，目前重點(diǎn)應(yīng)用的有 lan、adsl、wlan。 以太網(wǎng)接入是指接入網(wǎng)用戶側(cè)采用以太網(wǎng)協(xié)議的接入技術(shù)，其簡(jiǎn)單高效，能兼容所有帶標(biāo)準(zhǔn)以 太網(wǎng)接口的終端，用戶不需要另配新的適配卡或協(xié)議軟件，因而是一種十分廉價(jià)的寬帶接入技術(shù)。

28、因傳統(tǒng)以太網(wǎng)主要針對(duì)小型的專用網(wǎng)絡(luò)環(huán)境而設(shè)計(jì)，強(qiáng)調(diào)資源共享，所以在用戶信息的隔離、用戶 傳輸質(zhì)量的保證、業(yè)務(wù)管理和網(wǎng)絡(luò)可靠性方面考慮不太全面，這對(duì)以太網(wǎng)用于公用網(wǎng)網(wǎng)絡(luò)很不利。 目前一些設(shè)備制造商和運(yùn)營(yíng)商已注意到這些問(wèn)題，提出了一些有效的解決方案：如通過(guò) vlan 進(jìn) 行用戶隔離，用 igmp snooping(互聯(lián)網(wǎng)組管理協(xié)議竊聽)技術(shù)以及優(yōu)先級(jí)控制、tagged vlan(帶標(biāo) 記的虛擬局域網(wǎng))等功能支持有實(shí)時(shí)與組播要求的視頻點(diǎn)播業(yè)務(wù)等。 在用戶管理方面常用三種以太網(wǎng)接入認(rèn)證技術(shù)：web/portal 認(rèn)證方式、基于 bnas(寬帶接入 服務(wù)器)和 pppoe(基于以太網(wǎng)的點(diǎn)到點(diǎn)協(xié)議)認(rèn)證方

29、法、基于以太網(wǎng)端口的用戶訪問(wèn)控制技術(shù) ieee 802.1x 協(xié)議。 6.1.1 web/portal 認(rèn)證認(rèn)證 web/portal 認(rèn)證方式是一種沒有標(biāo)準(zhǔn)化的認(rèn)證方式，各設(shè)備廠商具體實(shí)現(xiàn)并不完全一致。 web/portal 認(rèn)證方式的認(rèn)證過(guò)程可以歸納為：用戶開機(jī)并通過(guò) dhcp 服務(wù)器分配認(rèn)證 ip 地址，局 端設(shè)備通過(guò)對(duì)該 ip 地址進(jìn)行強(qiáng)制 url 訪問(wèn)到登陸頁(yè)面，用戶輸入用戶賬號(hào)信息并發(fā)往認(rèn)證服務(wù)器, 認(rèn)證服務(wù)器獲得用戶 mac/ip/vlan id 作為用戶標(biāo)識(shí)，認(rèn)證服務(wù)器回饋認(rèn)證成功信息，局端設(shè)備 將用戶 vlan id、用戶端口、用戶 ip 地址和 mac 地址進(jìn)行可選擇性的綁

30、定并開放用戶的上網(wǎng)功 能。這種方式認(rèn)證和業(yè)務(wù)流也實(shí)現(xiàn)了分離，并可以方便地利用 web 服務(wù)器推出 portal 和廣告等增 值業(yè)務(wù)，對(duì)用戶進(jìn)行業(yè)務(wù)宣傳及業(yè)務(wù)引導(dǎo)。 web/portal 認(rèn)證過(guò)程可以簡(jiǎn)單描述如下： 1 用戶通過(guò) web/portal server 內(nèi)置 dhcp 獲得 ip 地址。 2 用戶通過(guò) explore 訪問(wèn) web/portal server,輸入用戶名和密碼。 3 web/portal server 獲得用戶 mac/ip/vid 作為用戶標(biāo)識(shí)。 4 通過(guò) server 給某個(gè) mac/ip/vid 以上網(wǎng)權(quán)限，并檢驗(yàn)每個(gè)數(shù)據(jù)流是否滿足權(quán)限要求。 5 用戶下線，需要

31、在 web/portal 的 explore 接口上注銷，通知系統(tǒng)停止計(jì)費(fèi)。 6 系統(tǒng)定期檢測(cè)用戶在線情況，發(fā)現(xiàn)用戶下線，停止計(jì)費(fèi)。 6.1.2 ieee 802.1x 認(rèn)證認(rèn)證 采用寬帶接入服務(wù)器 bnas 和 pppoe 技術(shù)的用戶管理方式目前存在如下問(wèn)題： 由于寬帶接入服務(wù)器要終結(jié)大量的 ppp 會(huì)話，并轉(zhuǎn)發(fā) ip 數(shù)據(jù)包，使寬帶接入服務(wù)器成為網(wǎng)絡(luò) 性能的瓶頸，這可以通過(guò)合理的組網(wǎng)方式部分解決問(wèn)題。 寬帶接入服務(wù)器通常放置在端局的位置，其下是巨大的廣播域，從用戶安全角度考慮，需要通 過(guò) vlan(虛擬局域網(wǎng))技術(shù)來(lái)實(shí)現(xiàn)用戶的隔離，但是目前的設(shè)備只能支持最大 4096 個(gè)虛擬局域網(wǎng)。 由于

32、 pppoe 的點(diǎn)到點(diǎn)特性，使寬帶網(wǎng)絡(luò)組播業(yè)務(wù)的開展受到極大的限制。 采用基于以太網(wǎng)端口的用戶訪問(wèn)控制技術(shù)，可以克服 pppoe 方式帶來(lái)的諸多問(wèn)題，并避免引 入寬帶接入服務(wù)器所帶來(lái)的巨大投資。 在傳統(tǒng)以太網(wǎng)設(shè)備基礎(chǔ)上，基于端口的網(wǎng)絡(luò)訪問(wèn)控制技術(shù)采用 ieee 802.1x 協(xié)議，提供了對(duì)基 于以太網(wǎng)的點(diǎn)到點(diǎn)連接的端口用戶進(jìn)行認(rèn)證和授權(quán)的能力，從而使以太網(wǎng)設(shè)備達(dá)到電信運(yùn)營(yíng)要求. 基于埠的訪問(wèn)控制技術(shù)(ieee 802.1x 協(xié)議)是為運(yùn)營(yíng)商提供的一種較為經(jīng)濟(jì)實(shí)用的認(rèn)證方式，可 實(shí)現(xiàn)用戶設(shè)備在寬帶網(wǎng)絡(luò)邊緣的分散用戶集中認(rèn)證管理，替代寬帶接入服務(wù)器實(shí)現(xiàn)寬帶網(wǎng)絡(luò)范圍內(nèi) 的用戶管理功能。 通過(guò)這種基于

33、 l2(二層)以太網(wǎng)交換機(jī)的用戶管理方法，可以使寬帶網(wǎng)絡(luò)整體的組網(wǎng)變得非常簡(jiǎn) 單，通過(guò) l2 以太網(wǎng)交換機(jī)和路由器兩種設(shè)備即基本實(shí)現(xiàn)，可同時(shí)實(shí)現(xiàn)業(yè)務(wù)的集中控制(以 radius 為核心的業(yè)務(wù)中心控制)和分散實(shí)現(xiàn)(靠近用戶的以太網(wǎng)交換機(jī)實(shí)現(xiàn))，滿足可運(yùn)營(yíng)、可管理寬帶網(wǎng)絡(luò) 的用戶管理認(rèn)證要求。 802.1x 協(xié)議是基于 client/server 的訪問(wèn)控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過(guò) 接入埠訪問(wèn) lan/man。在獲得交換機(jī)或 lan 提供的各種業(yè)務(wù)之前，802.1x 對(duì)連接到交換機(jī)端口 上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過(guò)之前，802.1x 只允許 eapol(基于局域網(wǎng)的擴(kuò)展

34、認(rèn)證協(xié)議)數(shù)據(jù) 通過(guò)設(shè)備連接的交換機(jī)埠；認(rèn)證通過(guò)以后，正常的數(shù)據(jù)可以順利地通過(guò)以太網(wǎng)端口。 基于端口的網(wǎng)絡(luò)訪問(wèn)技術(shù)的基本思想是網(wǎng)絡(luò)系統(tǒng)可以控制面向最終用戶的以太網(wǎng)端口，使得只 有網(wǎng)絡(luò)系統(tǒng)允許并授權(quán)的用戶可以訪問(wèn)網(wǎng)絡(luò)系統(tǒng)的各種業(yè)務(wù)(如以太網(wǎng)連接，網(wǎng)絡(luò)層路由，internet 接入等業(yè)務(wù))。 網(wǎng)絡(luò)訪問(wèn)技術(shù)的核心部分是 pae(端口訪問(wèn)實(shí)體)。在訪問(wèn)控制流程中，端口訪問(wèn)實(shí)體包含 3 部 分： 認(rèn)證者-對(duì)接入的用戶/設(shè)備進(jìn)行認(rèn)證的埠； 請(qǐng)求者-被認(rèn)證的用戶/設(shè)備； 認(rèn)證服務(wù)器-根據(jù)認(rèn)證者的信息，對(duì)請(qǐng)求訪問(wèn)網(wǎng)絡(luò)資源的用戶/設(shè)備進(jìn)行實(shí)際認(rèn)證功能的設(shè)備。 以太網(wǎng)的每個(gè)物理埠被分為受控和不受控的兩個(gè)邏輯端口，

35、物理端口收到的每個(gè)幀都被送到受 控和不受控埠。對(duì)受控埠的訪問(wèn)，受限于受控埠的授權(quán)狀態(tài)。認(rèn)證者的 pae 根據(jù)認(rèn)證服務(wù)器認(rèn)證 過(guò)程的結(jié)果，控制受控埠的授權(quán)/未授權(quán)狀態(tài)。處在未授權(quán)狀態(tài)的控制端口，拒絕用戶/設(shè)備的訪 問(wèn)。 用戶以太網(wǎng)端口認(rèn)證流程 用戶、以太網(wǎng)端口和認(rèn)證服務(wù)器之間認(rèn)證者(以太網(wǎng)端口)的受控埠處于未授權(quán)狀態(tài)，用戶/設(shè)備 是無(wú)法享用認(rèn)證者(以太網(wǎng)端口)提供的網(wǎng)絡(luò)接入業(yè)務(wù)的。認(rèn)證者 pae 利用非受控的端口，通過(guò) eapol 協(xié)議與請(qǐng)求者 pae 進(jìn)行認(rèn)證信息交互，并采用 eap 協(xié)議與認(rèn)證服務(wù)器進(jìn)行通信。認(rèn)證者 pae 根據(jù)認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果，開放或關(guān)閉受控埠的授權(quán)，從而控制最終用

36、戶對(duì)網(wǎng)絡(luò)的訪問(wèn)。 認(rèn)證者 pae 的作用相當(dāng)于認(rèn)證服務(wù)器的代理。它可以與認(rèn)證服務(wù)器位元于同一物理設(shè)備，也 可以通過(guò) lan、wan 與認(rèn)證服務(wù)器進(jìn)行本地和遠(yuǎn)程認(rèn)證。 端口訪問(wèn)控制的應(yīng)用前提是在用戶(請(qǐng)求者)和認(rèn)證者(以太網(wǎng)端口)之間提供一條點(diǎn)到點(diǎn)的連接， 這樣使認(rèn)證以埠的形式進(jìn)行。 基于端口的網(wǎng)絡(luò)訪問(wèn)控制定義了 3 方面內(nèi)容： 規(guī)定了請(qǐng)求者與認(rèn)證者之間的認(rèn)證信息通信協(xié)議； 認(rèn)證者與認(rèn)證服務(wù)器之間的通信協(xié)議； 根據(jù)協(xié)議交換的結(jié)果，控制認(rèn)證者埠狀態(tài)的機(jī)制。 由于以太網(wǎng)設(shè)備(認(rèn)證者)只是 radius 的認(rèn)證代理，負(fù)責(zé)傳遞認(rèn)證信息，并根據(jù)認(rèn)證服務(wù)器給 出的結(jié)果進(jìn)行操作，并不參與其實(shí)際的認(rèn)證。 基于以

37、太網(wǎng)端口認(rèn)證的 802.1x 協(xié)議有如下特點(diǎn)： 借用了在 ras 系統(tǒng)中常用的 eap(擴(kuò)展認(rèn)證協(xié)議)； 可以使用現(xiàn)有的后臺(tái)認(rèn)證系統(tǒng)降低部署的成本，并有豐富的業(yè)務(wù)支持； 可以映像不同的用戶認(rèn)證等級(jí)到不同的 vlan； 可以使交換埠和無(wú)線 lan 具有安全的認(rèn)證接入功能。 6.1.3 不同認(rèn)證方式的比較不同認(rèn)證方式的比較 通過(guò)上面的論述，三種認(rèn)證技術(shù)各有優(yōu)缺點(diǎn)，需要在實(shí)際應(yīng)用中根據(jù)每種技術(shù)的技術(shù)特點(diǎn)和實(shí) 際情況，綜合考慮才會(huì)使寬帶網(wǎng)絡(luò)發(fā)揮應(yīng)有的效益。 web/portal 方式則可能實(shí)現(xiàn)較多的增值業(yè)務(wù)，但需要 vlan 支持，對(duì) vlan 資源消耗較大； 另外在多年的實(shí)際應(yīng)用中也發(fā)現(xiàn)問(wèn)題，尤其是

38、用戶使用中發(fā)現(xiàn)很不方便。web 方式由于無(wú)標(biāo)準(zhǔn)， 產(chǎn)品實(shí)現(xiàn)技術(shù)不統(tǒng)一。web/portal 方式浪費(fèi)了網(wǎng)絡(luò) ip 地址資源，增加了網(wǎng)絡(luò)投資，目前不能滿足 大規(guī)模的寬帶網(wǎng)絡(luò)。 pppoe 認(rèn)證方式屬于較成熟的應(yīng)用；產(chǎn)品支持最多。pppoe 方式成熟可靠，需要增加投資的寬 帶接入服務(wù)器 bnas 等設(shè)備目前成本也大幅下降，通過(guò)合理的組網(wǎng)方式和設(shè)備性能的提升，可以解 決所謂的網(wǎng)絡(luò)瓶頸問(wèn)題。 802.1x 為相對(duì)新的認(rèn)證方式，802.1x 對(duì)組播支持能力較強(qiáng)，但用戶控制能力方面較弱，但其 一次性投資低，支持組播等特性使其具有強(qiáng)大的生命力，隨著標(biāo)準(zhǔn)的統(tǒng)一和完善，必然是未來(lái)寬帶 網(wǎng)絡(luò)首選的認(rèn)證管理方式。

39、6.2 認(rèn)證管理系統(tǒng)認(rèn)證管理系統(tǒng) 校園網(wǎng)有著鮮明的特殊性：教育網(wǎng)和 internet 混合接入、免費(fèi)網(wǎng)絡(luò)資源和運(yùn)營(yíng)網(wǎng)絡(luò)資源共存、 新技術(shù)和舊網(wǎng)絡(luò)混合使用。用戶量大，突發(fā)流量大，消耗帶寬的新技術(shù)（如 bt 等 p2p 軟件）的使 用和快速傳播，用戶群體活躍、好奇、敢于嘗試、攻擊性強(qiáng)。以太網(wǎng)技術(shù)在校園網(wǎng)接入被普遍采用， 相對(duì)來(lái)講，以太網(wǎng)技術(shù)不是一個(gè)具有嚴(yán)格管理能力的組網(wǎng)技術(shù)，計(jì)算機(jī)蠕蟲、病毒泛濫、盜版資源 泛濫、網(wǎng)絡(luò)不良行為突發(fā)性高。這決定了校園網(wǎng)的安全、管理、運(yùn)行性相對(duì)較差。當(dāng)這些因素碰到 一起的時(shí)候，校園網(wǎng)遇到比較突出的如下幾個(gè)問(wèn)題： 網(wǎng)絡(luò) interet 出口擁塞，用戶不能正常訪問(wèn) inte

40、rnet，需要對(duì)出口帶寬進(jìn)行有效管理。校園網(wǎng) internet 出口帶寬有限，用戶無(wú)限制的使用出口帶寬或者使用 p2p 工具進(jìn)行下載，造成出口擁塞。 同時(shí)，校園網(wǎng)的用戶具有用網(wǎng)時(shí)間集中、并發(fā)在線人數(shù)眾多、流量巨大且分布時(shí)段不均等特點(diǎn)，加 劇了網(wǎng)絡(luò)擁塞程度。 用戶普遍使用代理，造成管理困難和費(fèi)用流失。多個(gè)學(xué)生共享代理上網(wǎng)，給校園網(wǎng)絡(luò)的管理帶來(lái) 麻煩，也使學(xué)校的出口擁塞、費(fèi)用流失。 網(wǎng)絡(luò)的安全時(shí)刻受到威脅，網(wǎng)絡(luò)需要安全控制。以太網(wǎng)技術(shù)在校園網(wǎng)絡(luò)接入層被普遍采用。以太 網(wǎng)技術(shù)最初是為企業(yè)內(nèi)部組網(wǎng)使用的技術(shù)，管理能力較弱。學(xué)校用戶對(duì)各種網(wǎng)絡(luò)技術(shù)的掌握程度較 高，學(xué)生活躍、好奇、敢于嘗試、攻擊性強(qiáng)，計(jì)算

41、機(jī)蠕蟲、病毒泛濫、盜版資源泛濫、網(wǎng)絡(luò)不良行 為突發(fā)性高。 用戶網(wǎng)絡(luò)行為不規(guī)范，無(wú)法控制，無(wú)法進(jìn)行有效的記錄。盜用 ip 地址，修改 mac 地址，用戶 名和密碼的丟失，合法網(wǎng)絡(luò)用戶無(wú)法登陸網(wǎng)絡(luò)；訪問(wèn)非法網(wǎng)站，發(fā)表不良言論。 計(jì)費(fèi)數(shù)據(jù)采集難，運(yùn)營(yíng)管理得不到很好支持，需要對(duì)運(yùn)營(yíng)服務(wù)提供方便的后臺(tái)支持。最初的校園 網(wǎng)，只是個(gè)提供上網(wǎng)的工具，用戶的行為無(wú)法進(jìn)行控制，運(yùn)營(yíng)和管理。為滿足非教學(xué)區(qū)域（學(xué)生和 老師家屬）用戶的 internet 接入服務(wù)需求，校園網(wǎng)還承擔(dān)一個(gè)運(yùn)營(yíng)網(wǎng)絡(luò)的角色。如何提供好的服務(wù)， 又方便運(yùn)營(yíng)人員對(duì)服務(wù)的支撐，需要為校園網(wǎng)提供簡(jiǎn)單、實(shí)用、易操作、易維護(hù)、計(jì)費(fèi)數(shù)據(jù)清晰準(zhǔn) 確的認(rèn)證計(jì)費(fèi)

42、管理系統(tǒng)平臺(tái)。 cernet 和 internet 同時(shí)接入，需要提供區(qū)別服務(wù)。cernet 主要是大學(xué)、科研機(jī)構(gòu)組成，為學(xué) 生提供學(xué)習(xí)交流的平臺(tái)，資費(fèi)便宜。internet 是公眾服務(wù)網(wǎng)絡(luò)，收費(fèi)相對(duì)比較貴。兩種網(wǎng)絡(luò)的同時(shí) 接入，需要區(qū)別不同的網(wǎng)絡(luò)資源，訪問(wèn)不同的網(wǎng)絡(luò)，收取不同的資費(fèi)。 老師和學(xué)生要區(qū)別收費(fèi)，需要提供靈活的計(jì)費(fèi)方式支持。教師、學(xué)生、研究生、博士生及家屬等， 如采用單一的包月計(jì)費(fèi)方式，會(huì)使很多類型的用戶產(chǎn)生不滿。需要運(yùn)營(yíng)管理系統(tǒng)能提供靈活多樣的 計(jì)費(fèi)方式，為不同的用戶采用差異化的計(jì)費(fèi)策略，提高網(wǎng)絡(luò)的使用效率和可管理性。 以前采用的認(rèn)證計(jì)費(fèi)管理系統(tǒng)問(wèn)題多多或?qū)x型一籌莫展。以前一些

43、廠家的計(jì)費(fèi)系統(tǒng)效率低，功 能差，隨著網(wǎng)絡(luò)的發(fā)展成為了網(wǎng)絡(luò)瓶頸；網(wǎng)絡(luò)建設(shè)初期采用了不同廠家的接入服務(wù)器或 802.1x 交 換機(jī)，導(dǎo)致相互間不能共享一套計(jì)費(fèi)后臺(tái)；也可能隨著網(wǎng)絡(luò)的發(fā)展，以前的系統(tǒng)功能已無(wú)法滿足現(xiàn) 在的需要；也可能您目前正徘徊在各個(gè)廠家的產(chǎn)品選型和對(duì)比當(dāng)中。 【系統(tǒng)組成】 智達(dá)康認(rèn)證計(jì)費(fèi)管理系統(tǒng)的功能模塊組成如下圖所示： 支持標(biāo)準(zhǔn)的 radius 協(xié)議，可以全面兼容不同廠家的 bras 產(chǎn)品并已經(jīng)成功和國(guó)內(nèi)外主流以 太網(wǎng)交換機(jī)實(shí)現(xiàn) 802.1x 對(duì)接。 支持各種用戶計(jì)費(fèi)安全措施，能夠?qū)崿F(xiàn)賬戶、mac、ip、vlan、接入服務(wù)器和服務(wù)器埠的綁 定或者上述多種要素的綁定。 豐富的計(jì)費(fèi)策

44、略，實(shí)現(xiàn)了時(shí)長(zhǎng)、流量、包時(shí)長(zhǎng)、包流量、普通包天、動(dòng)態(tài)包天、分層、包月和 包年預(yù)付費(fèi)和后付費(fèi)等數(shù)十種計(jì)費(fèi)策略，以實(shí)現(xiàn)國(guó)內(nèi)外分開計(jì)費(fèi)、校內(nèi)外分開計(jì)費(fèi)，方便運(yùn)營(yíng)商開 展增值業(yè)務(wù)。 強(qiáng)大跨平臺(tái)能力，系統(tǒng)可運(yùn)行在 linux、solaris 操作系統(tǒng)之上。 多樣化的數(shù)據(jù)庫(kù)支持功能，系統(tǒng)支持 oracle，ms sql，postgre 等多種流行的數(shù)據(jù)庫(kù)系統(tǒng)。 強(qiáng)大的用戶管理功能，能夠提供用戶開戶、用戶注銷、變更受理、用戶查詢、用戶在線、專線 用戶管理、停機(jī)用戶管理、公免賬號(hào)管理和廣播信息等功能。 豐富的費(fèi)用管理功能，提供賬單確認(rèn)、費(fèi)用預(yù)繳、用戶充值、用戶銷帳、批量銷帳、銀行托收 等功能。 齊全的報(bào)表管理

45、功能，提供用戶清單查詢、賬單查詢、充值報(bào)表、預(yù)繳報(bào)表、收費(fèi)報(bào)表、欠費(fèi) 報(bào)表功能等各種查詢、統(tǒng)計(jì)功能。 多樣化的卡類管理功能，提供上網(wǎng)卡、充值卡、卡查詢等各類卡業(yè)務(wù)。 強(qiáng)大的系統(tǒng)設(shè)置功能，提供營(yíng)業(yè)區(qū)設(shè)置、費(fèi)率設(shè)置、策略管理、時(shí)段管理、radius 監(jiān)控、銀行 托收等功能。 可靠的安全設(shè)計(jì)，支持系統(tǒng)角色分配、操作員管理、備份管理、日志記錄等功能。 智達(dá)康認(rèn)證計(jì)費(fèi)管理系統(tǒng)分為四大部分： radius server 計(jì)費(fèi)管理發(fā)布監(jiān)控系統(tǒng) 用戶自服務(wù)系統(tǒng)、用戶自注冊(cè)系統(tǒng) 接口系統(tǒng) 6.2.1 radius server 智達(dá)康的 radius server 實(shí)現(xiàn)了標(biāo)準(zhǔn)的 radius 協(xié)議，同時(shí)支持 8

46、02.1x 的 eap 擴(kuò)展認(rèn)證，能夠 支持各種標(biāo)準(zhǔn) radius 認(rèn)證設(shè)備，也可以配合主流交換機(jī)廠商 802.1x 交換機(jī)及 ap 認(rèn)證設(shè)備使用。 目前已經(jīng)支持的交換機(jī)廠商有：cisco linksys、dlink、netgear、hp、extreme、alcater、華為、港 灣、神州數(shù)碼、銳捷和清華比威等。 radius server 是智達(dá)康認(rèn)證計(jì)費(fèi)管理系統(tǒng)的重要組成部分，實(shí)現(xiàn)了標(biāo)準(zhǔn)協(xié)議中的認(rèn)證 （authentication ） 、授權(quán)（authority）和計(jì)費(fèi)（accounting） ，并且針對(duì)寬帶運(yùn)營(yíng)網(wǎng)絡(luò)的應(yīng)用需求， 定制了適合寬帶運(yùn)營(yíng)網(wǎng)絡(luò)運(yùn)營(yíng)所需要的功能。 6.2.2 管理維

47、護(hù)系統(tǒng)管理維護(hù)系統(tǒng) 該系統(tǒng)采用 b/s 結(jié)構(gòu)，以數(shù)據(jù)庫(kù)為中心，結(jié)合寬帶運(yùn)營(yíng)網(wǎng)絡(luò)的使用習(xí)慣和需求，構(gòu)造了一個(gè)方 便、實(shí)用的管理平臺(tái)。 從功能上劃分，該系統(tǒng)可以分為：用戶管理、卡管理、策略/模板、數(shù)據(jù)、營(yíng)帳、系統(tǒng)、網(wǎng)絡(luò) 運(yùn)維幾個(gè)模塊。 6.2.3 用戶自服務(wù)、自注冊(cè)系統(tǒng)用戶自服務(wù)、自注冊(cè)系統(tǒng) 用戶可隨時(shí)訪問(wèn)自助服務(wù)系統(tǒng)，管理和維護(hù)自己的數(shù)據(jù)和信息，主要完成密碼管理、賬單查詢、 費(fèi)用充值、清單查詢等用戶自助功能。 可以允許使用公免賬號(hào)訪問(wèn)自助服務(wù)，對(duì)于公免賬號(hào)，只允許充值操作。 提供用戶停機(jī)申請(qǐng)/恢復(fù)申請(qǐng)，這樣方便用戶自己操作（卡用戶不提供此部分） 。 用戶可以通過(guò)一個(gè)指定的地址訪問(wèn)自注冊(cè)系統(tǒng)，如

48、/register/ ，進(jìn)入該頁(yè)面，用 戶可以在此處輸入用戶的基本數(shù)據(jù)和用戶名密碼等，提交后，保存在臨時(shí)列表中，等待被管理員啟 動(dòng)，非常方便系統(tǒng)初建。 6.2.4 接口系統(tǒng)接口系統(tǒng) 接口系統(tǒng)為智達(dá)康認(rèn)證計(jì)費(fèi)管理系統(tǒng)與其它軟件、設(shè)備的對(duì)接系統(tǒng)，通過(guò)獨(dú)立接口的方式，實(shí) 現(xiàn)多系統(tǒng)的組合集成，方便對(duì)整個(gè)寬帶運(yùn)營(yíng)系統(tǒng)的集中管理。 目前的接口主要包括：一卡通、ids 入侵檢測(cè)、行為跟蹤短信設(shè)備和銀行等。 一卡通系統(tǒng)的使用在校園中比較普遍，cbms 提供了自有的接口格式，可以與一卡通系統(tǒng)進(jìn)行 對(duì)接。針對(duì)不同的一卡通系統(tǒng)，cbms 也可以根據(jù)需要進(jìn)行接口的二次開發(fā)，并且已經(jīng)有

49、實(shí)際的使 用案例可以提供借鑒經(jīng)驗(yàn)。 與 ids 入侵檢測(cè)系統(tǒng)的接口主要是接收 ids 系統(tǒng)發(fā)送過(guò)來(lái)的信息，根據(jù)信息的提示進(jìn)行如下操 作：修改用戶的狀態(tài)為 ids 停用，如果用戶在線，發(fā)送強(qiáng)制下線到接入設(shè)備，強(qiáng)制用戶下線。 短信接口實(shí)現(xiàn)與短信 modom 的通信，可以采用短信報(bào)警，在系統(tǒng)出現(xiàn)故障時(shí)，采用移動(dòng)短信 方式給管理員報(bào)警，對(duì)沒有全天值守的機(jī)房，提供可靠的維護(hù)手段。 與銀行的接口主要實(shí)現(xiàn)電子支付、銀行代扣等功能。 6.4 滿足校園特點(diǎn)的無(wú)線網(wǎng)絡(luò)安全性和可靠性滿足校園特點(diǎn)的無(wú)線網(wǎng)絡(luò)安全性和可靠性 南昌市外語(yǔ)外貿(mào)職業(yè)學(xué)院校園無(wú)線網(wǎng)絡(luò)的解決方案支持高校多級(jí)別、多種類、多級(jí)的認(rèn)證方式 和加密技術(shù)，

50、具體如下： 支持精確的無(wú)線入侵、射頻干擾、ap 定位和隔離，保證高校無(wú)線網(wǎng)絡(luò)免受無(wú)線類的安 全攻擊。 保證校園復(fù)雜接入環(huán)境的安全無(wú)線接入，為高校提供可靠的無(wú)線接入網(wǎng)絡(luò) 獨(dú)特的訪客隔離機(jī)制，將訪客和校園網(wǎng)絡(luò)完全邏輯隔離，在允許訪客跨校園漫游訪問(wèn)互 聯(lián)網(wǎng)的同時(shí)保證高校網(wǎng)絡(luò)的相對(duì)安全 同時(shí)支持端到端的網(wǎng)絡(luò)可靠性保證技術(shù)： 6.4.1 訪問(wèn)控制訪問(wèn)控制 訪問(wèn)控制的目標(biāo)是防止任何資源（如計(jì)算資源、通信資源或信息資源）進(jìn)行非授權(quán)的訪問(wèn)，所 謂非授權(quán)訪問(wèn)包括未經(jīng)授權(quán)的使用、泄露、修改、銷毀以及發(fā)布指令等。用戶通過(guò)認(rèn)證，只是完成 了接入無(wú)線局域網(wǎng)的第一步，還要獲得授權(quán)，才能開始訪問(wèn)權(quán)限范圍內(nèi)的網(wǎng)絡(luò)資源，授權(quán)主

51、要是通 過(guò)訪問(wèn)控制機(jī)制來(lái)實(shí)現(xiàn)。訪問(wèn)控制也是一種安全機(jī)制，它通過(guò)訪問(wèn) bssid、mac 地址過(guò)濾、控制 列表 acl 等技術(shù)實(shí)現(xiàn)對(duì)用戶訪問(wèn)網(wǎng)絡(luò)資源的限制。訪問(wèn)控制可以基于下列屬性進(jìn)行：源 mac 位元 址、目的 mac 位元址、源 ip 位元址、目的 ip 位元址、源端口、目的端口、協(xié)議類型、用戶 id、 用戶時(shí)長(zhǎng)等。 .2 數(shù)據(jù)加密數(shù)據(jù)加密 加密就是保護(hù)信息不泄露或不暴露給那些未授權(quán)掌握這一信息的實(shí)體。加密又可細(xì)分為兩種 類型：資料保密業(yè)務(wù)和業(yè)務(wù)流保密業(yè)務(wù)。數(shù)據(jù)保密業(yè)務(wù)使得攻擊者想要從某個(gè)數(shù)據(jù)項(xiàng)中推出敏感信 息是困難的，而業(yè)務(wù)量保密業(yè)務(wù)使得攻擊者想要通過(guò)觀察網(wǎng)絡(luò)的業(yè)務(wù)流來(lái)獲得

52、敏感信息也是十分困 難的。根據(jù)密碼算法所使用的加密密鑰和解密是否相同，由加密過(guò)程能否推導(dǎo)出解密過(guò)程（或是由 解密過(guò)程推導(dǎo)出加密過(guò)程） ，可將密碼體制分為單鑰密碼體制（也叫做對(duì)稱密碼體制、秘密密鑰密 碼體制）和雙鑰密碼體制（也叫做非對(duì)稱密碼體制、公開密鑰密碼體制） 。 6.4.3 單鑰密碼體制單鑰密碼體制 分組密碼是一種常見的單鑰體制。其中有兩種著名的分組密碼：數(shù)據(jù)加密標(biāo)準(zhǔn) des（data encryption standard）：des 的出現(xiàn)引起了學(xué)術(shù)界和企業(yè)界的廣泛重視，許多廠家很快生產(chǎn)出實(shí)現(xiàn) des 算法的產(chǎn)品，但其最大的缺點(diǎn)在于 des 的密鑰太短，不能抵抗無(wú)窮搜索密鑰攻擊。 高級(jí)加

53、密 標(biāo)準(zhǔn) aes（advanced encryption standard）：為了克服 des 的缺點(diǎn)，美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所 （nist）開始尋求高強(qiáng)度、高效率的替代算法，并于 1997 年推出 aes 標(biāo)準(zhǔn)。 6.4.4 雙鑰密碼體制雙鑰密碼體制 自從雙鑰密碼體制的概念被提出以后，相繼提出了許多雙鑰密碼方案。在不斷的研究和實(shí)踐 中。有的被攻破了，有的不太實(shí)用。目前只有三種類型的雙鑰系統(tǒng)是有效和安全的，即：基于大整 數(shù)分解困難性問(wèn)題的 rsa 公鑰密碼；基于有限域的乘法群上的離散對(duì)數(shù)問(wèn)題的 dsa 或 e1 gamal 加 密體制；基于橢圓曲線離散對(duì)數(shù)的橢圓曲線密碼體制（ccc） 。 6.

54、4.5 數(shù)據(jù)完整性數(shù)據(jù)完整性 所謂數(shù)據(jù)完整性，是使接收方能夠確切地判斷所接收到的消息有沒有在傳輸過(guò)程中遭到插入、 篡改、重排序等形式的破壞。完善的數(shù)據(jù)完整性業(yè)務(wù)不僅能發(fā)現(xiàn)完整性是否遭到破壞，還能采取某 種措施從完整性中恢復(fù)出來(lái)。 6.4.6 不可否認(rèn)性不可否認(rèn)性 不可否認(rèn)性是防止發(fā)送方或接收方抵賴所傳輸?shù)南⒌囊环N安全服務(wù)，也就是說(shuō)，當(dāng)接收方接 收到一條消息后，能夠提供足夠的證據(jù)向第三方證明這條消息的確來(lái)自某個(gè)發(fā)送方，而使得發(fā)送方 抵賴發(fā)送過(guò)這條消息的圖謀失敗。同理，當(dāng)發(fā)送一條消息時(shí)，發(fā)送方也有足夠的證據(jù)證明某個(gè)接收 方的確已經(jīng)收到這條消息。 6.4.7 無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)

55、ieee802.11ieee802.11 安全標(biāo)準(zhǔn)：安全標(biāo)準(zhǔn)：wepwep： ieee 802.11 標(biāo)準(zhǔn)通過(guò)有線對(duì)等保密協(xié)議 wep（wired equivalent privacy）來(lái)實(shí)現(xiàn)認(rèn)證與數(shù)據(jù)加 密，認(rèn)證模式有 open authentication 和 shared key authentication 兩種。wep 使用 rsa data security 公司的 ron rivest 發(fā)明的 rc4 流密碼進(jìn)行加密。屬于一種對(duì)稱的流密碼，支持可變長(zhǎng)度的密鑰。后 來(lái)的研究表明，rc4 密鑰算法有內(nèi)在設(shè)計(jì)缺陷。由于 wep 中實(shí)施的 rc4 選擇了 24 位初始化向量 iv（ini

56、tial vector） ，而且不能動(dòng)態(tài)專用加密密鑰，因此這些缺陷在使用 wep 的 802.11 加密幀中都 有實(shí)際應(yīng)用。最典型的 fms 攻擊已經(jīng)能夠捕獲 100 萬(wàn)個(gè)包從而獲得靜態(tài) wep 密鑰。因此 802.11 中 的 wep 安全技術(shù)并不能夠?yàn)闊o(wú)線用戶提供足夠的安全保護(hù)。 ieee802.11iieee802.11i 與與 wpawpa 安全標(biāo)準(zhǔn)：安全標(biāo)準(zhǔn)： 為了使 wlan 技術(shù)從這種被動(dòng)局面中解脫出來(lái)，ieee 802.11i 工作組致力于制訂新一代安全標(biāo) 準(zhǔn)，主要包括加密技術(shù)：tkip（temporal key integrity protocol）和 aes（advance

57、d encryption standard） ，以及認(rèn)證協(xié)議 ieee802.1x。 認(rèn)證方面。ieee 802.11i 采用 802.1x 接入控制，實(shí)現(xiàn)無(wú)線局 域網(wǎng)的認(rèn)證與密鑰管理，并通過(guò) eap-key 的四向握手過(guò)程與組密鑰握手過(guò)程，創(chuàng)建、更新加密密 鑰，實(shí)現(xiàn) 802.11i 中定義的魯棒安全網(wǎng)絡(luò)（robust security network，簡(jiǎn)稱 rsn）的要求。 數(shù)據(jù)加密 方面，ieee 802.1li 定義了 tkip（temporal key integrity protocol） ，ccmp（counter-mode/cbc- mac protocol 和 wrap（wir

58、eless robust authenticated protocol）三種加密機(jī)制。 一方面，tkip 采 用了擴(kuò)展的 48 位 iv 和 iv 順序規(guī)則、密鑰混合函數(shù)（key mixing function） ，重放保護(hù)機(jī)制和 michael 消息完整性代碼（安全的 mic 碼）這 4 種有力的安全措施，解決了 wep 中存在的安全漏洞， 提高了安全性。就目前已知的攻擊方法而言，tkip 是安全的。另一方面，tkip 不用修改 wep 硬 件模塊，只需修改驅(qū)動(dòng)程序，升級(jí)起來(lái)也具有很大的便利性。因此，采用 tkip 代替 wep 是合理 的。 但是 tkip 是基于 rc4 的，rc4 已被

59、發(fā)現(xiàn)存在問(wèn)題，可能今后還會(huì)被發(fā)現(xiàn)其它的問(wèn)題。另外， rc4 一類的序列算法，其加解密操作只是簡(jiǎn)單的異或運(yùn)算，在無(wú)線環(huán)境下具有一定的局限性，因此 tkip 只能作為一種短期的解決方案。 此外，802.11 中配合 aes 使用的加密模式 ccm 和 ocb，并 在這兩種模式的基礎(chǔ)上構(gòu)造了 ccmp 和 wrap 密碼協(xié)議。ccmp 機(jī)制基于 aes（advanced encryption standard）加密算法和 ccm（counter-mode/cbc-mac）認(rèn)證方式，使得 wlan 的安全 程度大大提高。是實(shí)現(xiàn) rsn 的強(qiáng)制性要求。由于 aes 對(duì)硬件要求比較高。因此 ccmp 無(wú)法

60、通過(guò)在 現(xiàn)有設(shè)備的基礎(chǔ)上進(jìn)行升級(jí)實(shí)現(xiàn)。wrap 機(jī)制則是基于 aes 加密算法和 ocb（offset code book） 。 由于市場(chǎng)對(duì)于提高 wlan 安全的需求十分緊迫，在 ieee 802.11i 標(biāo)準(zhǔn)最終確定前，wi-fi 聯(lián)盟制定 了 wpa（wi-fi protected access）標(biāo)準(zhǔn)作為代替 wep 的向 802.11i 過(guò)渡的無(wú)線安全標(biāo)準(zhǔn)。wpa 是 ieee802.11i 的一個(gè)子集，其核心就是 ieee802.1x 和 tkip。 中國(guó)無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)：中國(guó)無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)： wapi，即無(wú)線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)（wlan authentication a