WLAN运维管理解决方案
多业务区分设计
使用无线网络可以分为不同的无线接入业务类型。因此,可以在设计上采用无线局域网多SSID技术,设置多业务区分方式,例如一个SSID可给教师所用,而另一个可给学生专用。由于用户一般把SSID看成VLAN,所以它们都会惯性地以VLAN概念来划分SSID。其实在一个AP范围内,不管用户连接到那一个SSID它们实际上都是在同一个802.11广播域内,因为无线电波的传输是共享方式的。一个最简单的例子就是AP把不同的SSID名字广播,所以当无线终端在这个AP覆盖范围内启动时,它就能同时看到多个SSID。SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。
为什么要把不同的安全加密协议设置在不同的SSID呢? 802.11的标准内定义了不同加密情况时数据包的封装格式,所以在用户的无线接入使用不同的加密方式,例如:WEP、TKIP(WPA)、802.11i(WPA2)等等,不同加密方式不能在同一个SSID内同时存在。
某一个SSID可以覆盖全网,也可以只局限于园区网内的某些范围。一般的情况下是全网开通,例如:临时访问者(Guest)使用的SSID;但有些SSID可以只在办公区广播,只供某些部门使用。 无线用户管理
神州数码网络对于无线用户的管理可以有多种方式,在单个无线场所,可以使用神州数码DigiZoneDirector智能无线控制器对多AP进行管理,在多场所、多控制器的情况下,即可以使用神州数码LinkManager统一网络管理平台使用标准SNMP协议对多厂家有线、无线设备进行统一管理,又可以使用DigiFlexMaster无线集中式管理软件基于TR-069对AP进行综合管理。
神州数码网络无线系统中可以设定用户的角色(role),每个角色可以基于用户权限和可访问资源的设定等规则。用户权限是DigiZoneDirector的功能,是针对无线接入的特性而设计。一般的用户接入不同的SSID时只具有该SSID或VLAN所对应资源的访问权限,所以访问不同的VLAN的资源需要分别登录不同的SSID,这样是十分不便的。神州数码网络的基于用户角色的权限管理是与用户认证捆绑在一起,当无线用户成功通过认证后,他会获得一个预设的用户角色权限,访问其他SSID对应的网络资源。这样,一个具有全部权限的用户通过一个SSID登录后,可以访问所有SSID对应的语音、数据和视频业务的权限,从而简化了用户的权限设置和用户管理的复杂性。
一般在用户权限设计中,可以将来宾和普通用户的权限设置的较低,只能访问有限的资源,且优先级较低,并且有带宽的限制。
其他用户可能有较高的权限,可以访问更多的学校资源,或者对某些特殊的来宾开放某些VIP账号,分配给其较高权限的角色。在带宽方面可以做比较宽松的限制。所有这些在配置、使用和管理上都非常符合一般企业的网络管理需求。
在具有多场所,多控制器的环境,可以使用DigiFlexMaster进行统一管理,神州数码网络的DigiFlexMaster无线集中式管理软件系统提供了对DigiZoneFlex AP的配置、故障、性能、报告等系列的管理功能。该产品符合TR-069标准,利用工业标准SOAP/HTTPS/XML协议在DigiFlexMaster服务器和被管理的AP设备之间建立一条安全可靠的链路。 这个协议允许已安装的AP设备在加电初始化时自动访问汇报DigiFlexMaster服务器并随后进入自动配置阶段。网管工作人员也可以通过DigiFlexMaster和AP进行即时通信或设定AP在某个合适的时间按计划执行一个任务。
由于TR-069基于标准HTTP或HTTPS,协议消息可以穿透互联网上的防火墙,允许DigiFlexMaster远程管理任何安装在互联网上的DigiZoneFlex AP。AP和DigiFlexMaster 服务器之间异步通信的方法保证了通信可以通过NAT转换点,这对于其它通用的网络管理协议是难以做到的。 无线安全性
在神州数码网络无线系统中,可以在多个层面对系统构筑安全防护,其安全性设计如下:
1:多SSID:可以根据需要,如用户的种类、应用的种类,在神州数码网络无线系统中设置多个SSID,不同的SSID采用不同的安全策略,这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式,该SSID不广播,用户无法看到,防止非法用户的连接企图。SSID还可以选择在某些AP上出现,某些AP上不出现,限制SSID出现的范围也是实现安全性的一种手段。
2:加密:神州数码网络无线系统支持多种加密的方式,二层的加密支持静态WEP、动态WEP、TKIP、WPA、802.11i多种加密方式,三层的加密支持IPSec VPN加密,这样使得加密的方式更加的灵活,可以根据实际需求进行选择。
3:用户认证提供三种方式:
① WPA-PSK+captive portal+VPN。
加密方式采用WPA-PSK,不建议采用静态WEP,因为有安全隐患。采用captive portal+VPN的认证方式,同时VPN还具有三层的加密功能,具有更高的安全性。认证服务器的选择比较灵活,可以使用RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS,甚至是DigiZoneDirector内置的帐户数据库。
② WPA+802.11x加密方式尽量采用WPA,如果客户端不支持也可采用动态WEP,认证方式采用802.11x,认证服务器选择RADIUS。
③ Dynamic PSK?
Dynamic PSK?是神州数码网络专有的用户认证和加密技术。传统的无线加密密钥对所有的用户是相同的,相当脆弱;而且长度较短,容易被解码。Dynamic PSK?技术为每一个用户提供一个64字节的密钥,实现完整而且非常安全的认证加密手段。
4:用户的Role(角色):每一类用户可以建立一个相关的Role,每个Role有一个用户状态防火墙的设定和带宽控制的设定,这样我们就可以将设定的安全策略加载到每个用户身上。
5:无线客户端隔离:神州数码网络无线控制器具有无线客户端隔离功能,该功能启动后,无线客户端将无法相互通信或访问任何受限制的子网。
6:带宽控制:可以对每个用户设定其可以使用的带宽,一方面可以限制其对网络资源的占有,另一方面,当该客户端中了病毒以后,其病毒发作时不会占用网络全部的带宽。
7:认证系统支持:神州数码网络无线系统支持多种认证系统,诸如Radius、微软的AD(活动目录)和在DigiZoneDirector内部的Internal DB等等。 统一身份认证
融合统一802.1x认证
神州数码有线无线集成化客户端,在实现有线无线统一身份认证的同时,还解决了长时间困扰用户的多厂家设备同时存在时无法实现统一认证的问题,由于高校校园网建设周期较长,在不同的阶段由于不同的需求可能采用不同厂家的设备,目前的802.1x认证,各厂家均是采用私有认证,在终端设备上必须安装各厂家独有的私有客户端才能与其接入交换机、认证计费系统互动,实现私有802.1x认证,这种私有认证对接入设备的依赖性使得用户受困于厂家,不便于后续的应用扩展,神州数码有线无线集成化客户端,配合TrustCenter统一身份认证平台,可以实现不依赖于接入设备的私有802.1x认证,无论接入设备是否是神州数码的产品,只需要在客户端安装神州数码有线无线集成化客户端,就可以与神州数码TrustCenter认证平台互动,实现私有802.1x认证,实现即时消息通知、IP地址上传、强制下线以及keep alive等功能,的具体流程如图 4?1所示:
有线标准802.1x转私有802.1x认证步骤:
1.用户开机后,客户端发起DHCP请求,经认证设备转发到DHCPServer,DHCPServer为用户分配IP地址。
2.用户通过客户端软件,采用标准802.1x认证,发起认证请求。
3.接入交换机(非神州数码设备)收到认证请求,由于是标准的802.1x认证,交换机可以识别认证信息,将客户端认证信息发送到TrustCenter认证服务平台。 4.TrustCenter认证服务中心将认证通过信息返回给接入交换机。 5.交换机将认证通过信息返回给客户端,客户端界面显示认证通过信息。
6.标准认证通过后,客户端与TrustCenter服务器基于TCP/UDP直接通信,私有信息直接传递到服务器,服务器与客户端之间可以完成即时消息通知、IP地址上传、强制下线以及keep alive等功能。
7.交换机将用户所在端口打开,用户可以上网,TrustCenter开始对用户计费。
无线标准802.1x认证
为降低服务器负担,无线终端采用神州数码私有802.1X认证,用户接入流程如下图所示:
图 4?2 无线标准802.1x认证
无线私有802.1x认证步骤:
1.用户开机后,检测到SSID有效,通过802.1x客户端软件发起请求; 2.AP检测到该请求后,向AAA发出请求,AAA服务器发出响应; 3.用户端弹出对话框,要求输入合法的身份标识,如用户名及其密码。 4.用户端将身份标识传送到AP;
5.AP将相应信息发送到TrustCenter进行认证。
6.如果认证通过,则AP到DHCP服务器的端口打开。客户端软件发起DHCP请求,经认证设备转发到DHCPServer,DHCPServer为用户分配IP地址。 7.用户可以上网了,认证服务器开始对用户计费。
8.AP通过定期的检测保证链路的激活。如果用户离开或异常死机,则AP在发起多次检测后,自动认为用户已经下线,于是向认证服务器发送终止计费的信息。Webportal认证神州数码网络智能无线 AP通过以太网或IP线路连接到网络,通过DigiZoneDirector进行SSID、无线信道、发射功率、Rouge AP检测和无线加密、认证等管理。
根据要求,DigiZoneDirector将创建一个公开的、没有加密的AP热点SSID,用户可以通过该SSID接入到网络当中。无论用户想访问的网页是什么,DigiZoneDirector弹出WEB认证节目(包括欢迎、认证连接等),通过认证后用户就可以访问Internet网络了(也可以重定向到缺省的网页)。
可以根据热区内AP数量的多少,由一个或多个DigiZoneDirector可以管理一个热区内的所有AP。
如果需要,未来可以在中心部署DigiFlexMaster管理所有的DigiZoneDirector,从而管理网络中的所有AP。
AP可以通过以太网或DSL链路接入网络。DigiZoneDirector没有DHCP服务器功能,所以需要外置的DHCP 服务器或使用BRAS提供DHCP服务器为客户端分配IP地址的功能。
如图 4?3所示,用户接入的流程如下:
1.用户开机后,检测到SSID有效;
2.客户端发起DHCP请求,经认证设备转发到DHCPServer。DHCPServer为用户分配IP地址;
3.用户打开浏览器,HTTP请求被AP捕获,并重定向到登录界面; 4.用户输入用户名和密码,并传送到DigiZoneDirector;
5.DigiZoneDirector将用户名和密码发送到AAA服务器进行认证;
6.认证通过后,DigiZoneDirector将Web页面重定向到DigiZoneDirector指定的WEB服务器页面(费用余额等通知);同时出现计时窗口; 7.用户可以上网,AAA服务器计费开始;
Webportal+DHCP实现简单,无需客户端和相关配置,扩展性也好。在无线控制器中设定使用Web-Portal方式认证。当用户接入无线网络后,需要使用浏览器访问校园网或Internet,会弹出认证界面,用户输入用户名和密码后送到相关服务器进行验证,如果认证通过后用户就能够访问校园网和Internet,如果访问Internet就会产生计费,同时计帐到该用户帐号上。 认证与ipv6结合
神州数码网络TrustCenter认证计费服务系统,支持IPv6无线终端的管理与认证,支持IPv4和IPv6协议收发报文,包括认证计费报文,各种业务报文以及强制下线报文,可以实现与有线IPv6系统协同的统一认证,实现基于IPv6的用户与IP、MAC绑定,做到无线与有线的认证一体化。
IPv6无线终端认证信息在TrustCenter上的显示如图 4?4所示:
TrustCenter在用户认证时对IPv6相关策略的校验,如下图所示:
TrustCenter管理端支持基于IPv6的远程访问和管理,可以显示接入认证用户的IPv6相关信息,支持接入设备的IPv6配置和管理,在安全策略中配置和使用IPv6,在日志文件中可以展示及查询IPv6信息,同时支持报表IPv6信息的导入和导出。IPv6信息的显示和查询如图 4?6所示:
神州数码网络认证客户端,支持获取本机IPv6信息,客户端同时集成了IPv6 DHCP客户端,可以支持服务器下发IPv6地址设置。神州数码认证客户端获取和设置IPv6信息如图 4?7所示:
移动漫游
无线用户移动漫游,涉及到多个层次的漫游,最为简单的是二层漫游,业内主流厂家产品都表现不错,三层漫游就困难多了,还有当用户跨越多个域时怎样无缝漫游,神州数码网络无线局域网可以实现快速无缝漫游功能。
L2/L3漫游
在传统的无线局域网内,无线终端要跨越不同AP之间漫游是有一定的困难,因为不同AP之间,它的无线用户IP子网可能都不是在同一个VLAN内。所以当无线终端从一个AP漫游到另一AP时,由于它们之间的缺省IP子网不同,无线终端会重新发出DHCP请求,这样的话终端的IP地址就会更新,所有在原先AP建立的连接都会被切断。过去为了解决跨越三层的漫游,有些用户采用了Mobile IP的技术,但Mobile IP的缺点是它必须在无线终端安装软件。这是一般网络管理人员不愿意做的事情,因为它们就必须支持和维护用户的无线接入端。
通过神州数码网络无线系统,可解决了跨越不同三层IP子网的无线漫游问题。 当无线终端从一个AP的IP子网漫游到另一个AP的不同IP子网时,它重新发出的DHCP请求,会从AP端的DigiZoneDirector转发到原有子网的DigiZoneDirector(用户从那一个AP获取它的IP地址),这样DigiZoneDirector就了解到用户漫游到了哪个相邻的DigiZoneDirector。用户的原来所在的DigiZoneDirector会将发送到该用户的数据发送到漫游到的DigiZoneDirector而后发送到用户现有的IP地址。无线用户已漫游到另一个IP子网,但它的流量不会中断,直到用户完全漫游过来(其对端了解了其IP地址的变化)。代理DHCP 的优点是无要在用户终端安装任何软件就可让终端无缝的在不同IP子网之间漫游。
在不同域之间的用户认证和漫游
在大型网络内,一般都有很多不同的部门,部门内通常都有自己的用户数据库,即所谓的本地认证服务器。在实现应用时,要求有单一的认证数据库是未必可行的,但同时无线用户应是可在内无缝漫游。 当用户不是在本地入网或是从一个部门的接入点漫游到另一部门的接入点需要重新认证时,如果用户名和密码在当地的数据库是不存在的话,则用户会被断线。要做到真正的无缝漫游,则需要有支持Radius 代理这样的功能。但由于不是所有的认证服务器都支持这种功能所以在具体实施时也有一定的困难。神州数码网络本身就可提供不同域之间的认证功能,域名可以与SSID绑定,亦可以让用户在登陆网页时输入或选择域名。神州数码网络会把在不同域之间的认证请求转发到对应这域的radius服务器处理。
