BlueSocket+NETGEAR无线方案模板Word文档格式.docx
《BlueSocket+NETGEAR无线方案模板Word文档格式.docx》由会员分享,可在线阅读,更多相关《BlueSocket+NETGEAR无线方案模板Word文档格式.docx(13页珍藏版)》请在冰豆网上搜索。
采用先进的设计思想,先进的网络设备,使网络在今后一定时期内保持技术上的先进性。
开放性原则
网络设计及网络设备选型遵从国际标准及工业标准,使网络具有高度的开放性和所提供设备在技术上的兼容性。
可伸展性原则
网络设计在充分考虑当前情况的同时,必须考虑到今后较长时期内业务发展的需要,留有充分的升级和扩充的可能性。
充分利用现有通讯资源,为以后扩充到更高速率提供充分的余地。
另一方面,还必须为网络规模的扩展留有充分的余地。
安全性原则
网络系统的设计必须贯彻安全性原则,以防止来自网络内部和外部的各种破坏。
贯彻安全性原则体现在以下方面:
●设备采用的是扩频技术;
●提供了无线数据传输的加密;
●用户可以通过设置自己的AP或另加独立加密设备实现更高的安全性;
●网络内部对资源访问的授权、认证、控制以及审计等安全措施:
防止网络内部的用户对网络资源的非法访问和破坏。
可靠性原则
网络系统的设计必须贯彻可靠性原则,使网络系统具有很高的可用性。
可靠性原则体现在以下方面:
●选用技术先进、成熟高可靠性的网络设备;
●系统增益储备高;
●链路的可维护性好。
可管理性原则
网络系统应具有良好的可管理性,使得网络管理人员能方便及时地掌握诸如网络拓扑结构、网络性能统计、网络故障等信息,能简便地对网络进行配置和调整,确保网络工作在良好状态。
3、无线局域网方案(举例说明)
如下图所示,根据无线局域网的设计原则以及项目所属建筑楼内的具体无线覆盖需求,NETGEAR以一栋12层的建筑楼为例,提供如下无线局域网网络方案示意图及方案描述。
其中,无线局域网方案描述将分为两部分内容:
1)无线局域网设计与实施部分;
2)无线局域网安全部分
3.1无线局域网络设计与实施说明:
本次项目预建设的无线局域网,如上图示,主要分布在建筑楼的1楼到12楼,每层预设计布置2台无线AP,对所属的楼层的区域进行无线信号覆盖。
本部分内容的重点就在于AP的布置和设备选型。
针对无线局域网络中可能有的数据传输,语音,视频等应用的要求,应尽可能考虑为接入终端分配更多的带宽,同时兼顾无线网络的稳定性、安全性和整个工程的造价;
我们推荐1款目前技术已非常成熟,性能稳定,功能强大而性价比很高的,支持802.11g标准的AP设备。
根据楼层内房间的分布和提供访问的有效用户带宽来考虑:
1)在楼内各办公室相关区域的无线网络覆盖,为保证无线传输的良好质量与可靠性。
我们原则建议每个AP间均以平均半径30米(无阻隔环境,有墙体阻隔按15米设计)做水平180度作无线覆盖。
尽可能减少AP与AP间的信号覆盖重叠区域.每个AP将负责本区域的无线用户以质量保证的网络接入。
2)无线局域网的AP的10/100M以太网端口,通过铜缆以太网双绞线连接相关联的有线的局域网交换机的10/100M端口上。
AP与有线局域网交换机之间的铜缆以太网线的长度不能超过100米.
3)无线局域网的AP可放置在吊顶上、活动地板下或挂在稍高位置的墙壁上.
4)无线局域网的AP可使用远程供电单元(PoE),通过以太网线远程供电.以方便解决为AP另外敷设接入电源的麻烦;
(见下图示意)
(POE组件远程供电示意图)
5)无线AP的总数量见配置清单
根据楼层内无线覆盖区域应用的分布和提供访问的有效用户带宽考虑,如果办公区域内计算机比较多,可再增加一个AP,建议基本保证每个AP至多接入30个无线用户接入。
根据教学楼1楼和12楼的平面结构图,我们为每层的楼层内设计放置无线AP。
6)根据无线局域网的工作原理,在多个子频道同时工作的情况下,为保证频道之间不相互干扰,要求两个频道的中心频率间隔不能低于25MHz。
在一个蜂窝区(Cell)内,直序扩频技术最多可以提供3个不重叠的频道同时工作。
因此我们在具体的配置时可将位于每层楼道内3个WG602的工作子频道按频道1、6、11的规律错开设置,相邻的AP在具体布置时也尽可能避开工作子频道的干扰问题。
这样,在楼内就形成了微蜂窝覆盖的无线网络。
无线微蜂窝覆盖,就是将多个AP形成的各自的无线信号覆盖区域进行交叉覆盖,各覆盖区域之间无缝连接。
所有AP通过双绞线与有线骨干网络相连,形成以固定有线网络为基础,无线覆盖为延伸的大面积服务区域。
所有无线终端通过就近的AP接入网络,访问整个网络资源。
微蜂窝覆盖大大扩展了单个AP的覆盖范围,从而突破了无线网络覆盖半径的限制,用户可以在AP群覆盖的范围内漫游,而不会和网络失去联系,通信不会中断。
在此方案中,我们推荐无线网卡可选用USB2.0无线适配器,小巧,迷你型的无线网卡可灵活适用于笔记本电脑和台式电脑上。
USB2.0标准接口,可提供480Mbps总线传输速率,为你提供强大的传输性能保证。
详细产品信息见后附产品规格.
关于我们为什么要作如此的无线网络设计,可参阅读以下无线局域网的技术原理。
3.2无线局域网络安全实现
针对大面积无线项目的实施,我们必须考虑到无线局域网安全认证/传输的重要性和可靠性。
此部分设计内容将进一步详细描述和说明,如何为用户实惠投资建设无线局域网,实现高速无线局域网的接入速率的同时能获得安全的保证。
在此,我们在方案设计中推荐在无线局域网与有线局域网之间放置一台BlueSocket公司的BSC-400无线安全网关产品。
BlueSocket公司全球著名的基于策略安全管理的无线解决方案供应商,可在基于标准的,开放式的网络架构上提供理想的,广泛的,安全的,可管理的,全局性的无线局域网部属的安全支持。
此次推荐的BluesocketBSC-400无线安全网关可提供具有其他同行业竞争对手无法比拟的使用性,经济性,无线安全性和管理弹性,主要特性如下:
普遍的WLAN认证
可采用针对每个无线网络用户的身份认证进行控制和管理,预防未经认证的使用者企图侵入内部网络,防止非法使用网络资源或破坏内部网络重要服务器。
对此BluesocketBSC-400无线安全网关可提供灵活的认证方式的选择:
BluesocketBSC-400无线安全网关可利用无线客户端用户的身份(名称/密码)的组合或是数字凭证(DigitalCertificates)的方式,通过无线安全网关内置的本地(local)认证数据库或是集中的通过局域网内架设的RADIUS、LDAP、NTDomainserver(NT网域服务器),甚至是通过WindowsAD(ActiveDirectories)来进行严格认证。
另外,使用者可以利用Bluesocket独特的「透传式Windows网域登录」(TransparentWindowsDomainLogin),登录到WindowsDomain之后直接进行认证,毫无隙缝的登录。
当选用以基于浏览器(Browser)方式认证的时候,无线客户端用户必须在浏览器(Browser)的认证界面内输入使用者账号及密码进行身份认证,而在无线客户端用户PC电脑上是不必安装任何软件的。
即无线客户端用户以浏览器登入方式(browser-basedlogin)进行身份认证的机制,该机制须提供使用者输入账号及密码,并与内置的本地(local)认证数据库或是后台局域网内的Radius服务器(须可由管理人员以ip地址任意指定)内的无线客户端用户账号密码数据库比对正确后,才允许访问内部网络或者是互联网。
该机制可同时针对特定无线客户端用户,以其计算机网卡代替账号密码的管理功能(即MAC-basedauthentication)。
无线客户端用户直接登录认证浏览器或被重定向到到指定的认证页面时,登录窗口界面(HTMLloginpage)可由管理人员定制。
Bluesocket支持定制的HTML登录页,让网管可以定做以自身形象的页面,并且能够加载第三厂商的SSL认证。
如果在AP端需要通过802.1x(WPA)认证的方式,Bluesocket也以透通的方式和登录流程相配合,让WLAN使用者可以适当的存取网络。
另外,BluesocketBSC-400可设定两组(含以上)的Radius认证系统,当主要的Radius认证数据库异常时,可自动连接至次要Radius认证数据库认证,以作为身份认证时备份使用。
角色式的存取控制与政策执行
Bluesocket独特的「角色式」(role-based)方法提供了相当便利的管理,可以给不同类型的使用者不同的权限。
Bluesocket无线安全网关让使用者权限与组织的架构相配合。
IT管理员可以定义目的地(例如财务服务器、路由器,或者是IP地址子网络)、服务(例如HTTP、FTP、POP3)、使用者位置、时间/日期时间表,以及可用的频宽,来控制那个使用者可以存取那些网络上的资源。
多重服务与目的地群组(destinationgroup)的方法,简化了政策的建立,并降低大型网络的管理成本与复杂度。
强大的加密
有了BluesocketBSC-400无线安全网关,可为无线客户端用户选择使用无线AP自身支持的加密安全特性的同时,提供额外的强大的,最高等级的安全性。
对于那些非常重要的无线用户的数据传输的安全性,Bluesocket无线安全网关可选用通过使用通常在VPN及防火墙产品上使用了IPSec的64位DES/128位3DES安全加密功能。
入侵侦测与蠕虫防护
面对无线网络的终端有可能受到各种形式的攻击:
迅速蔓延的蠕虫病毒、渗透式攻击、木马、间谍软件等。
BluesocketBSC–400无线安全网关已内置入侵检测系统和防病毒,及蠕虫攻的击安全保护机制。
如packetflooding,NoiseGenerators,InternetWorms/Virus,Zero-dayAttacks等。
具防火墙特性的功能支持可对网络封包进行严密的存取控制。
设备本身可提供适时的联机管理控制;
该机制包括针对特定无线客户锻用户访问的限制,可对其访问的网络目的IP地址网段(IPaddresssubnet)、可使用的网络服务(包括HTTP,POP3等)、以及可联网的时间,由网管人员于远程进行设定与修改。
为了使网络管理员能简单便利的实时的进行数据传输监控,可选购使用相配套的监控软件系统,网络管理员可以不需安装任何抓包/分析工具软件,就能够通过监测软件根据目前无线网络上的使用者的实际行为侦测出恶意程序的流量。
因此能自动或让管理员定制阻断黑客及受感染使用者的网络存取。
另外,还具有日志记录及通知的保护机制。
该纪录功包含事件的日期与时间,通讯协议,源与目的IP地址,源与目的端口,信息类型与事件纪录;
所有在网络安全无线网关上新增、修改与删除相关操作需列入事件稽核纪录备查。
无缝的漫游
当多台BSC-400无线安全网关被分布在多个WLAN内,可通过它的安全/灵活的矩阵体系集中化的进行中心管理和控制。
BluesocketBSC–400无线安全网关支持跨网段漫游(Roaming)功能。
经由统一的Radius认证数据库认证通过后的无线客户端用户能同时在不同的IP子网段、不同的无线网络存取点与无线网关器间无隙地进行网络漫游。
如果在多台BSC-400组成连接的无线覆盖区域内的无线用户进行漫游时,而整个网络架构内没有专用的,统一的Radius认证数据库,可将其中一台DSC-400安全网关设置成主(Mastermode),其他多台BSC-400设置成辅(Slavemode),那么即跨区域的无隙的漫游了。
增强的QoS与频宽管理
802.11是一种共享频宽的技术,因此会随着使用者数及网络流量的增加而造成频宽分配不对等问题。
Bluesocket让网络管理员可以依每个角色或个人分配频宽上限以及进出流量,藉此解决了这个问题。
例如,访客可以分配28kbps的频宽上限,而员工则是2Mbps。
此外,强化的QoS功能让网管人员对流量优先性有完整的控制权,同时还有以角色、协议,或服务为基础的DiffServMarking(服务区别标记)业界标准。
强大而简单好用的WLAN管理
Bluesocket无线安全网关拥有直觉而网页式的图形接口,让你很方便的集中化管理网络,加速组态设定及远程管理。
网络管理员能够检查、修改,并监视所有的WLAN活动,包括那个使用者上网、何时上网以及使用了多少频宽。
登录与报告大幅改进了「网络管理员」的活动检查,不但有过去历史记录的稽核,还提供WLAN的使用报告而方便于未来成长的规画。
与多厂牌无线AP和无线客户端的互通性
Bluesocket无线安全网关是一种开放的系统,支持多种标准,而且可以和各大厂牌的无线及有线网络架构建设兼容,无论用户使用的是哪一种类型的无线AP或是无线客户端设备(例如PDA、扫瞄器、平板计算机、VoWLAN手机/装置以及整合式的笔记型计算机)。
由于Bluesocket无线安全网关不需要额外或专属的客户端软件,因此可以大幅简化建置并确保装置的互通性。
同时在WLAN部署时,可大幅减少每台行动装置及AP相关软件安装、组态及技术支持的时间与复杂性。
。
Bluesocket无线安全网关可支持以下标准与产品:
.所有主流厂商的802.11b/a/g无线访问点(AP)
.各种无线网卡(从笔记本电脑,台式电脑,以及PDA)
.支持多厂牌的有线网络架构:
AAA认证服务器、路由器、交换器
.支持最新的标准协议(例如802.1x、WPA、802.11i、802.11e)
5、802.11g无线局域网特色
-802.11g无线产品以先进、成熟的无线整体解决方案,结合现有网络环境,为用户提供一个多层次、高性价比的解决方案,同时能有效保护用户现有的网络环境,简约、高效的为用户建好了一个高性能的网络架构;
-实现无线网络的可用性、可靠性和高度网络安全性:
AP提供与有线网络可以媲美的传输速率,提供了所有办公室、教室和无线网络用户的资源访问所需的网络带宽。
多种高可靠的安全特性,有效的防止了数据在传输过程中不被窃取。
同时,合理的设计保证相邻的无线网络设备无干扰。
为用户构建安全网络提供最大的便利。
-友好的Web界面和安装助手大大简化了网络配置:
无线局域网产品具有统一的图形化的配置界面和配置帮助,简化了非专业用户的安装、配置和管理工作。
-降低投资成本和管理成本并易于灵活的扩展
无线局域网络的建设成本比有线网络施工布线整体费用要便宜的多;
特别是针对已建设使用有线网络后,随时增加的业务对网络的需求,对整个网络管理和扩展而言,有着不可预计性。
本方案所采用的无线局域网络方案,不仅可以以后灵活的扩展,也随时能提供移动用户的无线网络设备的接入(如笔记本电脑无线接入,PDA无线接入等)。
整体的降低了项目的建设成本和维护管理成本。
-无线加有线的局域网络连接,提供了全新的网络接入模式和无处
不在的网络连接。
-此方案是采用了无线局域网新标准—IEEE802.11g无线局域网解决方案。
具有技术的优势和领先性。
-
6、无线局域网技术描述
6.1无线局域网频道分配与调制技术
无线局域网采用电磁波(RF)作为载体传送数据信息,采用无线扩频(spreadspectrum)技术,这种技术早期用于美国军方军事保密通信,以防止敌方截获和干扰,确保安全可靠的军事通讯。
常见的扩频技术包括两种:
跳频扩频(FHSS)和直接序列扩频(DSSS)。
无线局域网IEEE802.11b采用的技术是直序扩频技术(DSSS),工作在2.4-2.4835GHz频段(中国国家无线电管理委员会规定在中国IEEE802.11b的工作频段也是2.4-2.4835GHz频段)。
工作频率带宽总计为835MHz,将835MHz的频带划分成14个子频道,每个频道带宽为22MHz。
子频道分配如下图所示:
最多有13个子频道可用,13个子频道的标号及所用中心频率的情况见下表
信道标号
中心频率
信道低端/高端频率
1
2412MHz
2401/2423MHz
2
2417MHz
2411/2433MHz
3
2422MHz
2416/2438MHz
4
2427MHz
2421/2443MHz
5
2432MHz
2426/2448MHz
6
2437MHz
2431/2453MHz
7
2442MHz
8
2447MHz
2436/2458MHz
9
2452MHz
2441/2463MHz
10
2457MHz
2446/2468MHz
11
2462MHz
2451/2473MHz
12
2467MHz
2456/2478MHz
13
2472MHz
2461/2483MHz
在多个子频道同时工作的情况下,为保证频道之间不相互干扰,要求两个频道的中心频率间隔不能低于25MHz。
因此从上图可以看出,在一个蜂窝区(Cell)内,直序扩频技术最多可以提供3个不重叠的频道同时工作,提供高达33Mbps的吞吐量。
6.2无线局域网拓扑结构
根据无线接入点AP的功用不同,WLAN可以实现不同的组网方式。
目前有基础架构模式、点对点模式、多AP模式、无线网桥模式和无线中继器模式五种组网方式。
1)点对点模式Ad-hoc(Peer-to-Peer)
由无线工作站组成,用于一台无线工作站和另一台或多台其他无线工作站的直接通讯,该网络无法接入到有线网络中,只能独立使用。
无需AP,安全由各个客户端自行维护。
点对点模式中的一个节点必需能同时“看”到网络中的其他节点,否则就认为网络中断,因此对等网络只能用于少数用户的组网环境,比如4至8个用户,并且他们离得足够近。
点对点模式的组网如下图:
2)基础架构模式Infrastructure
由无线访问点(AP)、无线工作站(STA)以及分布式系统(DSS)构成,覆盖的区域称基本服务区(BSS)。
无线访问点也称无线hub,用于在无线STA和有线网络之间接收、缓存和转发数据,所有的无线通讯都经过AP完成。
无线访问点通常能够覆盖几十至几百用户,覆盖半径达上百米。
AP可以连接到有线网络,实现无线网络和有线网络的互联。
基础架构模式的组网如下图:
3)多AP模式
是指由多个AP以及连接它们的分布式系统(DS)组成的基础架构模式网络,也称为扩展服务区(ESS)。
扩展服务区内的每个AP都是一个独立的无线网络基本服务区(BSS),所有AP共享同一个扩展服务区标示符(ESSID)。
分布式系统(DS)在802.11标准中并没有定义,但是目前大都是指以太网。
相同ESSID的无线网络间可以进行漫游,不同ESSID的无线网络形成逻辑子网。
多AP模式的组网如下图:
4)无线网桥模式
利用一对AP连接两个有线或者无线局域网网段,无线网桥模式的组网如下图:
5)无线中继器模式
无线中继器用来在通讯路径的中间转发数据,从而延伸系统的覆盖范围。
无线中继器模式的组网如下图:
6.3无线局域网络安全
由于无线局域网采用公共的电磁波作为载体,电磁波能够穿过天花板,玻璃,楼层,砖,墙等物体,因此在一个无线访问点所服务的区域中任何一个无线客户端都可以接受到,包括并不希望他接收数据的客户端。
安装无线局域网就如同在任何地方都放置以太网端口一样,任何人都可以访问网络。
在一个服务区内,目前还没有办法直接将传输数据导向到接收端。
因此与有线线缆组网不同,在无线局域网中,只要有2.4GHz的设备,任何人都有条件窃听或干扰信息,为了阻止非授权用户访问无线网络,以及防止对无线局域网数据流的非法侦听,802.11b/g标准中引入了认证和加密的手段。
物理地址(MAC)过滤
每个无线工作站网卡都由唯一的物理地址标示,该物理地址编码方式类似于以太网物理地址,是48位。
可在无线访问点AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。
服务区标识符(SSID)匹配
无线工作站必需出示正确的SSID,与无线访问点AP的SSID相同,才能访问AP;
如果出示的SSID与AP的SSID不同,那么AP将拒绝他通过本服务区上网。
因此可以认为SSID是一个简单的口令,从而提供口令认证机制,实现一定的安全。
有线等效保密(WEP)
有线等效保密(WEP)协议是由802.11标准定义的,用于在无线局域网中保护链路层数据。
WEP使用40位钥匙,采用RSA开发的RC4对称加密算法,在链路层加密数据。
WEP可以提供3种安全:
∙保密性:
这也是WEP协议的首要任务,防止非法的窃听。
∙访问控制:
保护对无线局域网络的访问。
对于所有没有通过WEP加密的数据包都要丢弃。
∙数据完整性:
通过校验和方式保证数据不被修改。
WEP采用共享钥匙方式,用户的加密钥匙必需与AP的钥匙相同,并且一个服务区内的所有用户都共享同一把钥匙。
40位WEP具有很好的互操作性,所有通过Wi-Fi组织认证的产品都可以实现WEP互操作。
WEP2
为解决WEP带来的不足,802.11i小组开发了WEP2协议,以提供更高程度的无线网络安全性。
WEP2的主要成就是采用了128位钥匙,并且对于不同的数据包选用不同的初始向量v,这样就很难破译出钥匙,也很难存在密码流再使用问题。
但WEP2仍采用WEP协议中的RC4算法,采用共享钥匙。
WEP2目前不保证互操作性。
端口访问控制技术(802.1x)
该技术也是用于无线局域网的一种增强性网络安全解决方案。
当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。
如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户上网。
802.1x要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信
升级会员 