无线控制器.docx
《无线控制器.docx》由会员分享,可在线阅读,更多相关《无线控制器.docx(22页珍藏版)》请在冰豆网上搜索。
无线控制器
无线控制器
定义
无线控制器方案的特点
编辑本段定义
无线控制器是一种网络设
备,它是一个无线网络的核心,负责管理无线网络中的AP,对AP管理包括:
下发配置、修改相关配置参数、射频智能管理、接入安全控制等。
传统的无线局域网由于存在着局限性,已经不能满足那些无线网络规模比较大,而且非常依赖无线业务的高级用户。
这些高级的企业用户对新一代的无线网络提出了新的特性要求。
首先,无线网络需要的是整体解决方案,能够统一管理的系统;其次,无线网络实施要简单,如能够通过工具自动地得出在什么位置放置AP最好、使用哪个频段最正确等;再有,无线网络一定是安全的无线网络,这是最重要的;另外,无线网络要能够支持语音和多业务。
基于这种需求,诞生了新一代的基于无线控制器的解决方案。
编辑本段无线控制器方案的特点
[1]传统的无线网络里面,没有集中管理的控制器设备,所有的AP都通过交换机连接起来,每个AP分单独负担RF、通讯、身份验证、加密等工作,因此需要对每一个AP进行独立配置,难以实现全局的统一管理和集中的RF、接入和安全策略设置。
而在基于无线控制器的新型解决方案中,无线控制器能够出色地解决这些问题,在该方案中,所有的AP都减肥了〔FitAP〕,每个AP只单独负责RF和通讯的工作,其作用就是一个简单的,基于硬件的RF底层传感设备,所有FitAP接收到的RF信号,经过802.11的编码之后,随即通过不同厂商制定的加密隧道协议穿过以太网络并传送到无线控制器,进而由无线控制器集中对编码流进行加密、验证、安全控制等更高层次的工作。
因此,基于FitAP和无线控制器的无线网络解决方案,具有统一管理的特性,并能够出色地完成自动RF规划、接入和安全控制策略等工作。
方案
传统无线方案方案
基于无线控制器方案
技术模式
传统主流
新生方式,增强型管理
安全性
传统加密、认证方式,普通安全性
增加射频环境监控,基于用户位置安全策略,高安全性
网络管理
对每AP下发配置文件
无线交换机上配置好文件,AP本身零配置
用户管理
类似有线,根据AP接入的有线端口区分权限
无线专门虚拟专用组方式,根据用户名区分权限
WLAN组网规模
二层漫游,适合小规模组网,成本较低
二层、三层漫游,拓扑无关性,适合大规模组网,成本较高
增值业务能力
仅实现简单数据接入
可扩展语音等丰富业务
1〕灵活的组网方式和优秀的扩展性
采用FitAP+无线控制器解决方案,无线用户的传输是通过FitAP内已建立的GRE隧道和无线控制器互连的,因此FitAP无需和无线控制器直接相连,无线Fit可以通过网络部署在需要覆盖的任意地方,比方你把一个FitAP部署在每一个职工的家里,然后通过VPN连接到企业内部的无线控制器,把企业的无线网络扩充到每一个企业成员的家庭里面。
无线控制有高度的可扩展性,一般的无线控制器都可以处理多个FitAP,而且通过硬件升级或者堆叠技术,可以不断地扩充支持FitAP的数目,从而实现无线网络的不断延伸。
具有极高的投资保护价值。
2〕智能的RF管理功能,自动部署和故障恢复
无线控制器能够自动设定FitAP的RF工作状态,解决了在传统无线网络解决方案里面,难以确定复杂环境内每一个AP的工作状态的问题,强大的RF自动管理功能,使得这种新型的无线解决方案可以在任意复杂的使用环境里轻松的部署AP
通过厂家提供的专门RF管理模块,我们可以根据用户的建筑设计图,初步估计FitAP的部署,并能在实际的调试过程中,计算无线终端的平均带宽,AP和AP之间覆盖面等。
通过RF管理软件的计算,安装人员就可以根据建筑图纸上所显示的位置安装AP,在无线网安装完成后,网管人员通过RF规划自动校准功能,无线控制器可以自动调节无线网上所有FitAP的频道与功率参数以到达一个最优性能的运行状态。
在无线局域网系统投入运行后,网管人员更可通过RF管理模块随时监测网内的每个AP的无线电波实际的运行状态,及时掌握每个AP的工作状态和故障诊断,及时做出调整策略。
3〕集中的网络管理
FitAP和无线控制器系统有非常强大的集中管理功能,所有的关于无线网络的配置都可以通过配置无线控制器器统一完成。
例如开通、管理、维护所有AP设备以及移动终端,包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户等所有功能。
另外无线控制器还可以通过堆叠技术不断进行升级,增加可以管理的FitAP的数量。
4〕强大的漫游功能支持
无线控制器以FitAP作为边界结合快速的RF管理系统,大大减少了无线客户端和AP的关连时间,可以实现如PDA,手持终端,笔记本电脑等无线适配器在无线网络里面进行快速的切换,进而实现快速漫游的功能,而无需要安装客户端软件。
事实上,在RF管理系统的作用下,为了防止同频干扰的入侵,每个AP的实时工作频率有可能发生变化的,RF系统不停扫描各个可用信道,根据扫描结果自动定义FitAP的实时工作频率,这使得无线适配器必须在不同的时刻都通过工作在统一信道的的不同的FitAP进行关连。
也就是说,在无线控制器以FitAP的系统里,无线适配器一直工作在同一系统的不同的AP里,这种设计初衷使得整个系统同时获得强大的漫游支持。
5〕负载均衡
FitAP和无线控制器系统可在一个FitAP的覆盖范围内把无线用户或终端分散连接到附近的FitAP上。
在一个FitAP的覆盖范围内,无线连接的带宽是共享,即无线终端数目越多,每个终端所能分享的带宽就越小。
要确保每个无线终端的传输就必须能限制一个AP上无线终端的数量或AP带宽传输总和或和每个无线终端带宽上限。
在视频应用中,负载均衡功能可以有效的缓解单个AP的负担,有效的利用临近的AP做接入,从而确保视频应用的质量得到保证。
6〕无线终端定位,快速定位故障点和入侵检测
无线控制器结合RF管理工具及传感器,FitAP和无线控制器系统可以跟踪和定位无线终端的位置,诸如无线接入的电脑、PDA和Wi-Fi等。
目前系统通常采用三角模式的定位技术,无线定位的准确性可到达2.5米以内,无线定位的条件是所寻找的无线终端附近须有最少三个专门的传感器的存在。
此功能有利于无线网络快速定位入侵源和故障点,而且还可以结合一些应用程序作二次开发应用。
7〕强大的接入和安全策略控制
基于无线控制器的无线网络解决方案所提供的强大的接入可以控制策略包括以下个方面的内容。
首先,系统可以提供多标识的用户的接入验证功能,当无线用户进入无线网络以后,一般情况都不能直接拿到一个可以访问网络的权限,在无线用户要取得接入网络的权限的时候,系统必须严正用户的身份,目前无线系统支持目前各种用户认证的方式802.1、WEB认证、MAC、SSID、VPN多种标识的认真方式,配置非常灵活,而且可以集中配置。
其次,系统可以提供统一的加密功能,目前系统能提供的加密功能包括WEP、WPA、WPA-PSK、WPA2等多种加密方式,而且所有的配置都可以通过无线控制器全局配置。
FitAP和无线控制器系统保证了所有无线用户在不同的VLAN〔Layer3〕或者在不同的AP上漫游时不许要进行重新认证及重新初始化加密进程,可靠实现安全的无缝漫游。
再次,无线控制器提供强大的访问列表功能,结合内部的验证数据库,可以为不同的组/用户,以不同的验证方式为基础,赋予不同的访问功能。
在传统的网络中,有线局域网络和无线局域网是两个相对独立的系统,因此是无方法实现基于无线用户的访问列表控制的。
而无线控制器作为连接无线网络和有线网络的桥梁,通过其自身的网关作用,可以实现灵活多样的有线和无线用户的互相访问控制,配置相当灵活。
8〕Qos支持,优化WIFI语音及关键应用
FitAP和无线交换系统可在每个用户的权限限制内用户无线连接的最高带宽。
对于不同的IP服务,系统亦可透过无线交换机模块设置定义不同的QoS队列。
例如无线语音的应用,SIP和RTP协议可设定在高的队列,而一般应用如、ftp则可设定在低的队列。
众所周知,无线网络的致命缺点是带宽有限,并且系统带宽会随着接入的用户增加而相对减少,经过Qos优化,在整个无线网络内部可以实现WIFI语音的优化,更可以保证关键应用的流畅运行。
如今的WIFI网络覆盖,多采用AC+AP的覆盖方式,无线网络中一个AC〔无线控制器〕,多个AP〔收发信号〕,此模式应用于大中型企业中,有利于无线网络的集中管理,多个无线发射器能统一发射一个信号〔SSID〕,并且支持无缝漫游、和AP射频的智能管理。
相比于传统的覆盖模式,有本质的提升。
〔支持无缝漫游:
通俗定义,用户处于无线网络中,从A点到B点经过了一定距离,传统覆盖模式因为信号不好必定会断开,而无缝漫游技术,可以将多个AP统一管理,从A点到B点中,尽管用户经过了多个AP的信号,但信号间无缝的切换,让用户感觉不到信号的转移,勘测数据中丢包率小于1%,从而很好的对一个大区域的不中断的无线覆盖〕
AC+AP的覆盖模式,顺应了无线通讯智能终端的发展趋势,随着Iphone、Ipod等移动智能终端设备的普及,无线WIFI的需求不可或缺
窗体顶端
窗体底端
深信服SG4300上网优化管理设备:
设备功能:
上网优化管理网关
包含访问控制、审计、监控、外发管理、带宽管理、报表和增强性安全功能、外发文件告警&危险行为识别功能模块
*支持的内网用户数:
1,500
可选模块:
1.深信服SG-4300上网行为管理网关:
包含〔*深信服上网行为管理软件V2.0;*深信服SG-4300硬件平台)
2.SG-4300深信服URL系统软件V2.0
3.SG-4300网关杀毒模块及升级许可
4.VPN移动用户授权
5.外发文件告警&危险行为识别模块
6.多线路模块
产品特性:
深信服SG上网优化网关概述
专业上网优化网关是涵盖上网加速、带宽管理、上网安全的三位一体解决方案。
其中融合缓存和代理的上网加速是核心,实现带宽资源合理分配的带宽管理是支撑,保障组织网络稳定可靠的上网安全是基础。
上网加速和Proxy代理,提升上网速度:
上网优化网关SG的饼状图、柱状图等图形化报表工具,帮助管理者清晰掌控组织网络和带宽的使用情况,为IT决策提供数据支撑。
内网用户相似的访问行为导致大量相同数据反复传输而浪费带宽资源。
SG的上网加速特性既可减少相同数据重复传输、解决带宽浪费问题,同时重复数据从SG网关提取并返回给用户,极大提升上网速度,而且降低组织互联网带宽的占用。
SG上网优化网关提供Proxy代理功能,基于专用硬件平台和优化的操作系统,提供远比ISA、Squid等传统软件代理方案性能更强、更稳定可靠、更安全的代理方案。
带宽管理,实现互联网资源合理分配:
第三方统计显示,全球P2P流量占互联网总流量49%到83%。
办公室里迅雷、在线影音等带宽杀手极度消耗组织有限的带宽资源。
不仅上网慢,且ERP等业务系统访问效果差。
深信服SG上网优化网关针对应用类型、网站类别、文件类型、用户/用户组、时间段等细致划分和分配带宽资源,既可有效限制P2P、在线影音、大文件下载等不良应用对带宽的大量占用,同时又保障领导等关键用户、ERP等关键应用的带宽需求,进而提升上网速度。
同时SG还可以实现互联网网页、网络应用等各种互联网资源的合理分配,从而促使网络资源更好的为组织效益服务。
上网安全,确保组织网络安全、稳定和可靠:
网络稳定、安全、可靠是上网加速的基础,否则纵然优化和快速也无济于事。
色情/成人等非法网站是病毒/木马的重灾区,即使正规门户网站也可能被黑客挂载木马/病毒,同时含恶意脚本/危险插件的网页也层出不穷。
另外存在漏洞或不满足IT规定的终端,其上网时极易感染网络威胁,进而在内网泛滥传播,组织网络安全性堪忧。
SG网关能主动清理网络流量中的恶意插件/危险脚本/病毒/木马等威胁,能封堵成人/色情等不当网站,能防御DOS攻击/ARP欺骗等危险流量。
即使终端不幸感染间谍软件/被黑客控制/成为僵尸网络等,SG亦可识别、封堵、并向管理员报警。
此外SG将用户终端安全状况与其上网权限关联,终端不安全则不能上网。
深信服 SG4300有如下功能特性:
一、上网行为控制,标准职工上网行为,提高工作效率;
多种认证机制,细致的用户分组和权限划分,基于时间段为用户分配合适的权限;
独特的WEB认证、基于浏览器实现方便的用户识别与认证;
网页过滤、关键字过滤、深度内容检测等多种控制功能,管控职工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等;管控Email、FTP等行为。
独有的网络访问准入系统〔专利技术〕,只允许符合指定条件的用户才可以连 接Internet,防止内网用户遭受病毒、木马、间谍软件等安全威胁;
二、强大的监控和审计,保护内部数据安全、防止机密信息泄漏
记录所有访问过的网址、网页标题和网页内容、/FTP上传下载、通过BBS、BLOG发表的内容;各种搜索记录,QQ、MSN等聊天内容等,所有上网记录,均可完整再现;
特有的邮件延迟审计专利技术,保证所有Email邮件先审计、后发送;Webmail网页邮件内容全面记录,包括正文和附件。
防止公司机密信息通过邮件、即时通讯软件、BBS等途径泄漏;
独特的“免审计Key”功能,彻底免除对组织高层领导的网络行为记录;
三、流量控制和带宽管理,优化带宽资源的使用
多线路复用和智能选路专利技术,提升出口带宽,流量负载分担,智能选择最优上网线路。
对P2P等非业务应用和非业务部门进行带宽限制,细化到应用级别和针对每用户的带宽划分;基于用户(组)、应用类别、时间段等进行带宽分配;
智能QoS优先级技术,重要数据优先传送,提升带宽使用效率。
智能QOS,重要数据优先传送;
四、海量日志存储、丰富的报表功能,为组织决策提供最有效的数据支持
网络行为日志支持海量存储,满足公安部82号令存储60天要求,且日志的查询、统计、审计等不影响网关性能;
全面记录所有上网行为日志,图形化的日志查询、审计、统计功能;
自动报表,让管理者自动获知组织的网络状况
提供类似XX的搜索界面,实现海量日志的内容检索和搜索。
五、更多安全功能,全面提升内网安全级别
防范来自公网和源自内网的DOS攻击,提升网络可用性;
防ARP欺骗;网关杀毒,从源头上查杀病毒;
网络准入规则,修复内网安全短板,提升内网安全级别。
更具体详细功能,请参见产品白皮书或与我们联系。
功能一栏表:
分类
功能
详细指标
访问控制
危险网站阻隔
用户可自定义对色情、病毒、钓鱼网站的阻隔访问
访问控制策略
提供基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略
P2P拦截
使用深度内容检测技术实现对包括QQ、MSN、SKYPE、BT等任何P2P软件的流量阻隔
用户认证
提供Web登录认证功能,提供本地用户数据库和LDAP,Radius用户数据集成功能
文件上传下载控制
对、Ftp文件上传、下载类型和大小进行控制,也能对QQ,MSN等P2P软件的文件传送进行拦截
IPMSG绑定
提供灵活的IPMSG绑定策略
代理识别功能
能识别采用,s,Socks等代理服务器绕过防火墙检查的行为,从而进行阻断
敏感数据拦截
对、Ftp、Smtp、Imap等应用协议做敏感数据拦截,以防泄密或引起法律纠纷
访问审计
邮件延迟审计
对外发邮件进行延缓慢存,审计后才能发出,确保信息资产不外泄
实时监控
实时监控用户的上网行为。
访问监控
监控用户所有的上网记录,包括Web访问、Ftp、Telnet、邮件〔含Webmail〕及附件、QQ、MSN、ICQ、YahooMessage等流行IM的数据。
以防止信息泄密。
流量分析
能按用户、协议和时间对Internet流量进行统计分析,以优化职工对Internet的资源使用情况。
管理功能
管理员权限
权限粒度细致,分级管理
本地管理
GUI方式
远程管理
GUI方式
配置备份
使用加密的配置文件进行配置备份和分发
Firmware升级
通过远程升级Firmware获得更新的软件版本和更多功能模块
高可靠设计
自动恢复
看门狗提供自动恢复功能,配置恢复功能
双机备份
支持双机备份功能
多线路备份
支持2~4条线路的备份
日志
日志容量
可以使用独立的日志服务器,容量无限制。
日志备份
支持自动定时备份
日志导入
支持转换日志为标准的TXT文件,便于导入到MSSQL或ORSGLE数据库进行二次开发和分析
数据中心
可用SINFOR独立的数据中心进行详细的分析
网络特性
支持的Internet接口
PSTN/ISDNADSL/xDSLCableModemDDN/ATMWLAN
支持的协议
IPv4、IPv6
网络分区
WAN、DMZ、LAN
多线路支持
支持2-4条Internet线路的负载均衡和备份,提供智能选择最优线路等多种负载均衡策略
工作方式
路由模式、透明模式
产品优势:
SINFORSG依靠多项业界领先技术及满足用户需求的功能,已经成为国内领先的上网行为管理解决方案。
一、SSL网站识别和过滤,反钓鱼网站、非法SSL网站等〔专利技术〕
采用SSL加密网页的钓鱼网站假冒网上银行,诱骗用户;越来越多的色情、反动网站也采用SSL加密形式以躲避过滤;网页“加密化”已经成为趋势,而业界绝大多数设备采用的URL库仅能对明文URL地址进行过滤,却无法对SSL加密网站进行识别和过滤。
SINFORSG通过SSL证书验证链接黑白名单技术,通过识别目标SSL网站的数字证书特征及信息,实现对非法SSL网站的识别和过滤。
二、深度内容检测,业界最全的应用协议识别库
如何有效管控纷繁复杂的网络应用,如QQ、在线炒股、网游等,成为组织管理者必须考虑的问题之一。
通过封堵服务器IP、通讯端口的方式不仅费时费力,而且治标不治本。
各种应用协议在数据交互时,其收发的数据包中均含有其特有的特征字段。
SINFORSG通过检测和识别该特征字段,实现了对应用协议的识别和管控能力。
当前SG已能识别数百种应用协议,甚至职工使用代理上网,SG也可识别和管控。
三、P2P智能识别,全面彻底的P2P行为管控技术〔专利技术〕
P2P软件和应用方便用户共享资源的同时,也严重吞噬组织有限的带宽资源。
业界存在众多P2P工具和各种版本,采用静态协议库的方式只能封堵“昨天的P2P软件”。
SINFORSG通过基于统计学的行为智能分析等四层识别技术,超越静态协议库的概念,实现对不常见的、未来可能出现的P2P应用的识别和管控,为用户提供了一劳永逸的解决方案。
四、网络准入规则,修复内网安全短板〔专利技术〕
内网终端安装老旧的操作系统、不及时更新补丁、不安装指定的杀毒/防火墙软件、反而安装运行违规软件等行为,致使该终端成为内网安全短板,一旦该终端访问色情网站、肆意下载文件等,极易感染病毒、木马,进而感染内网其他终端,“堡垒被从内部突破”。
SINFORSG网络准入规则技术,将按照管理者指定的条件检测接入终端的安全级别,可禁止违反安全规则的终端接入Internet,从而修复内网安全短板,提升内网安全级别。
五、邮件延迟审计,将泄密阻挡于内网〔专利技术〕
Email已经成为组织办公和沟通的主要工具之一,但通过Email的泄密事件也时而发生。
传统安全设备在收到泄密邮件时,拷贝备份后发送该邮件到公网,泄密事件轻易发生了。
SINFORSG不仅能限制哪些用户、哪些Email地址可以发送邮件、限制Email大小等,还可根据预设的过滤条件,先拦截潜在的泄密邮件,人为审计后才能继续发送,从而将泄密邮件阻隔于内网,保障组织的信息资产安全。
六、免审计Key,消除高层领导的疑虑
通过图形化界面的简单勾选配置,SINFORSG针对不同用户差异化记录用户的各种网络行为。
但高层领导的网络行为往往涉及组织的发展、规划等敏感信息,如CEO、总裁收发的Email等,如何防止“非善意”IT人员对CEO的行为记录?
SINFORSG的“免审计Key”将从设备底层免除记录CEO的任何网络行为,解除高层领导的后顾之忧。
七、海量日志的内容检索,方便管理者的审计
大型组织使用SINFORSG记录的海量日志,通过自动导出到第三方数据中心实现了海量存储。
但如何进行数据挖掘、如何从数百G的日志中查找管理者感兴趣的内容?
SINFORSG提供的内容检索工具,通过类似Google的搜索界面,让管理者快速、方便的实现海量数据检索。
八、Web认证、辅以单点登录,方便用户的使用
无法识别用户就无法对用户进行差异化授权;SG支持多种认证方式和第三方认证服务器,并通过基于IE的WEB认证方式,方便了用户的身份识别和认证。
而SINFORSG的单点登录功能,允许用户在通过第三方认证服务器身份认证后,自动通过SINFORSG,简化用户操作。
性能指标:
深信服SG4300适合于内网用户数100人以内的组织机构,支持4个百兆网络接口〔1LAN、1DMZ、2WAN〕。
重要性能指标:
吞吐速度:
70Mbps
并发会话数目:
60,000
转发时延:
0.1-0.3ms
网络接口:
局域网接口:
100BASE-T(RJ-45)*2
广域网接口:
100BASE-T(RJ-45)*2
扩展接口:
无
串口:
RS232*1
电源:
输入电压:
180-240V
冗余电源:
无
环境:
工作环境温度:
-5~45℃
环境相对湿度:
5~90%,非冷凝
硬件规格:
尺寸(cm):
42.7(W)×22.9(D)×4.45(H)
重量:
3.5Kg
标准1U机架式结构
应用背景:
信息和网络技术的发展,改善了用户的上网条件,同时也给组织带来更高的网络使用危险性、复杂性和混乱。
据IDC调查发现,上班时间非法使用邮件、浏览非法网站、网络聊天、在线影音、P2P下载的职工日益增加,职工30%-40%的上网活动与工作无关;而对色情网站的访问统计说明:
70%的色情网站访问量发生在工作时间。
职工肆意使用网络将导致如下问题:
(1)工作效率低下;
(2)网速越来越慢;
(3)安全隐患不断;
(4)信息机密外泄;
(5)网络违法行为;
为获取外部资源、保持沟通,组织内部网络必然与互联网连通,同时运行状况也愈来愈复杂。
组织的IT管理者如何及时了解网络运行状况、作出分析、发现可能存在的问题〔如违规访问、资源滥用、泄密、ARP欺骗等〕,并进行故障快速定位等,组织IT管理者面临的挑战和问题包括:
如何对网络效能和行为进行统计、分析、评估?
如何限制上班时间QQ聊天、无关网站浏览等非工作网络行为?
如何封堵BT、PPLive等P2P行为,并进行流控,提升网速和带宽效率?
如何防范用户“主动”下载病毒、木马、恶意软件?
如何杜绝通过Email、MSN等途径潜在的泄密行为?
如何防止恶意发帖、反动言论等法律问题,并在发生问题时有据可查?
内部网络管控的好帮手——SINFORSG上网优化管理设备
一直以来,网络安全防御局限于传统网关〔防火墙等〕、网络边界〔防病毒、IDS等〕等方面,有效防御了来自网络外部
升级会员 