站内搜索: 商品 资讯 职位 下载
产品分类
产品搜索
  • 商品分类
  •  
您现在的位置:产品首页 >> 盛世博威 >> 解决方案 >> 按产品分类 >> 无线 >> 华为WLAN解决方案
  • ·: 华为WLAN解决方案
  • 编号: BW-WIRELESS-002
  • 浏览次数: 20

好友推荐

1.1 WLAN 简介

1.1.1 WLAN 简介WLAN 基本概念

WLANWireless Local Area Network)广义上是指是指以无线电波、激光、红外线等无线信道来代替有线局域网中的部分或全部传输媒介所构成的无线局域网。而狭义的WLAN 是指利用高频射频信号(例如2.5GHz 5GHz)作为传输信道的无线局域网。

广义的WLAN 实际上包含了多种技术标准,例如蓝牙、802.11 系列、HiperLAN2 等。随着技术的发展和演进,802.11 系列由于技术相对简单,通信可靠,具有灵活、移动、高吞吐量和快速安装等特点,成为WLAN 的主流标准。在下文中的WLAN 均指基于802.11 系列标准的技术。

802.11 IEEE 1997 年为WLAN 定义的一个无线网络通信的工业标准。此后这一标准又不断得到补充和完善,形成802.11 的标准系列。例如比较重要的802.11802.11a802.11b802.11e802.11g802.11i802.11n 等。其中基于802.11b 标准的有时也被成为Wi-Fi 标准。

 

1.1.2 WLAN 的优势

WLAN 的优势是显而易见的:

网络使用自由。凡是自由空间均可连接网络,不受限于线缆和端口位置。在办公大楼、机场候机厅、度假村、商务酒店等场所尤为适用。

网络建设更经济、通信更便利。终端与交换设备之间省去布线,有效降低布线成本。也适用于特殊地理环境下的网络建设,如隧道、港口码头、高速公路等。

工作更高效。不受限于时间和地点的接入网络,满足各行各业对于网络应用的需求。例如体育场馆、商业展馆、制造车间、物流运输等。

 

1.1.3 WLAN 的基本架构

基于802.11 系列标准的WLAN 网络主要由STAAPAC 等部件组成。

● STAStation):指各种接入终端,例如电脑、手机、PDA 等。

● APAccess Point):AP WLAN 网络的主要设备,是实现无线技术的关键部件。AP 对上提供有线连接,对下提供无线接入,起到有线和无线网络的桥接作用。

● ACAccess Controller):AC 主要完成对AP 设备的管理。包括AP 点管理、射频管理、用户认证、完全管理等。AC 通过CAPWAPControlling and Provisioning of Wireless Access Point)协议完成管理功能。

山东盛世博威公司依据多年的无线集成经验,得出现有WLAN 网络中,主要有自治式和集中式两种网络架构:

自治式架构

自治式架构又称为FAT AP 架构。在该架构下,AP 实现所有无线接入功能(称为AP”),不需要AC 设备形态。如图1-1所示。

                    

WLAN 早期广泛采用自治式架构,随着酒店大量部署AP 时,对AP 进行配置、升级软件等管理工作将给用户带来很高的操作成本,管理成本提高,自治式架构应用逐步减少。

集中式架构

集中式架构又称为FIT AP 架构。在该架构下,通过AC 集中管理和控制多个AP(称为"AP"),如图1-2 所示。

                        

在集中式架构下,所有无线接入功能由AP AC 间共同完成:

● AC 完成网络具有重要意义的功能,例如移动管理、身份验证、VLAN 划分、射频资源管理、无线IDS 和数据包转发等。

● AP 完成无线空口的控制,例如无线信号发射与探测响应、数据加密解密、数据传输确认、空口数据优先级管理等等。

● AP AC 间采用CAPWAP 协议进行通讯,AC AP 间可以是直连或者穿越二层或三层网络。

集中式架构是酒店WLAN方案的主要架构,便于集中管理、集中认证和集中安全管理。下文中的WLAN 部署方案均基于集中式架构。

1.2 酒店WLAN 组网方案

对于酒店的WLAN 网络部署来说,可以按照酒店的规模的大小等因素来考虑采用不同的WLAN 组网方案。

1.2.1 中高档酒店WLAN 方案

大中型酒店经营方式多样,服务项目繁多,包括住宿、饮食、购物、美容、沐浴桑拿、照相、洗涤、娱乐、修理、代理等服务项目。大中型酒店WLAN 部署的AP 数量较多,有内部需求可能也有用户上网需求。

从网络运维以及安全考虑,大中型酒店主要采用集中式架构(FIT AP 架构)来部署WLAN。根据AC 的部署方式,又可分为集中式AC 方案和分布式AC 方案。

集中式AC 方案

集中式AC 方案,是指整个网络中集中部署AC 设备(一般是独立的AC 设备),来控制和管理整网的AP 设备。AC 的部署可以采用直路(直接部署在AP 和汇聚/核心交换机之间)或旁挂方式(旁挂在汇聚/核心交换机旁侧)。

直路方式主要用于新建网络或原有网络汇聚/核心设备为华为设备的场景。

旁挂方式主要用于原有网络汇聚/核心设备非华为设备的场景。

大中型酒店的集成 AC 组网方案如图1-3 所示。(以旁挂方式为例)

                           

 

分布式AC 方案

分布式AC 方案,是指网络中分区域采用多个AC 设备,分别对本区域的AP 设备进行管理。分布式AC 方案一般不采用独立的AC 设备,而是采用在汇聚交换机上集成AC功能,来实现对本交换机下挂的所有AP 进行管理。

大中型酒店的集成AC组网方案如图1-4 所示。

                          

 

 

1.2.2 小型酒店WLAN 方案

相对于大型WLAN网络而言,小型酒店WLAN 可能较少考虑网络可靠性,可能因为成本因素而不需要专门的网管设备以及认证服务器。

小型酒店由于规模较小,一般采用集中式AC 方案。可采用独立AC 设备或者交换机集成AC 的部署方式。如图1-5 所示。(以交换机集成AC 为例)

                      

 

 

二、独立AC 方案部署

2.1 概述

2.1.1 方案简介

WLAN部署中,最关键的部件包括APAC。独立AC方案是指采用单独的AC硬件设备(例如AC6605产品),通过直路或者旁挂方式实现对于所有AP的管理。

直路方式是指在将AC部署在AP与用户网关设备(汇聚或核心交换机)之间,实现对下辖所有AP 的管理。

旁挂方式是指将AC部署在用户网关设备(汇聚或核心交换机)一侧,实现对用户网关设备下所有AP的管理。

独立AC方案一般应用在集中式AC WLAN 部署方案中。独立AC 的性能优异,可以实现大容量高性能的WLAN 网络部署。但是独立AC 相比交换机集成的AC 价格昂贵一些。酒店可以根据自身的实际情况进行选择。

 

2.1.2 典型组网

酒店WLAN 独立AC 方案的典型组网如图2-1 所示。

              

在独立AC 方案中,采用集中式架构(FIT AP 架构),使用FIT AP(例如AP6010SN)来负责无线终端的接入。使用独立的AC 设备(AC6605)并旁挂在用户业务网关(汇聚或者核心交换机)一侧,负责完成对AP 设备的管理。

在用户的安全和管理方面,使用TSM 来实现对用户的接入认证,并实现对于用户的网络权限的策略控制。例如未认证时或认证失败时只能访问认证前域;认证通过但是终端不安全只能访问隔离域;认证通过并且终端安全可以访问认证后域。

在网络管理方面,使用酒店专业网管系统eSight 来实现对于酒店网络的管理。

 

 

三、集成AC 方案部署

3.1 概述

3.1.1 方案简介

WLAN 部署中,最关键的部件包括AP AC。集成AC 方案是指不采用单独的AC硬件设备,而是采用在交换机中集成的AC硬件插卡(例如S7700 SPU 板),来实现对交换机下所有AP 的管理。

集成AC 方案可应用在集中式AC 部署方案中,也可应用在分布式AC 部署方案中。集成AC 方案部署较为简便,价格相对低廉一些,但是性能方面与独立的AC 设备相比略差。酒店可以根据自身的实际情况进行选择。

 

3.1.2 典型组网

酒店WLAN 集成AC 方案的典型组网如图3-1 所示。

              

在集成AC 方案中,采用集中式架构(FIT AP 架构),使用FIT AP(例如AP6010DN)来负责无线终端的接入。使用S7700集成的SPU 板卡作为AC,负责完成对AP 设备的管理。

在用户的安全和管理方面,使用TSM 来实现对用户的接入认证,并实现对于用户的网络权限的策略控制。例如未认证时或认证失败时只能访问认证前域;认证通过但是终端不安全只能访问隔离域;认证通过并且终端安全可以访问认证后域。

在网络管理方面,使用酒店专业网管系统eSight 来实现对于酒店网络的管理。

 

 

四、WLAN 网络安全

4.1概述

WLAN具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点,但是由于无线局域网信道开放的特点,使攻击者能够很容易的进行窃听,恶意修改,因此安全性成为阻碍无线局域网发展的最重要因素。

802.11协议提供的无线安全性能可以很好地抵御一般性网络攻击,但是仍有少数黑客能够入侵无线网络,从而无法充分保护包含敏感数据的网络。为了更好的防止未授权用户接入网络,需要实施一种性能高于802.11的高级安全机制。

华为的WLAN安全完全实现了IEEE802.11协议以及WPA规定的服务的安全标准,而且可以配合的端口安全特性使用,提供更安全的接入保护、更灵活的服务应用组合以适应各种网络需要。

4.2 设备安全

设备安全是酒店WLAN网络安全的基础,网络设备应具备设备防盗、设备防毁、防止电磁信息泄漏、抗电磁干扰、电源保护、受灾防护、区域防护等特性,室外型AP应该具有防水、防雷、防火和防盗的特性,ACAS应该放置在局端,应当符合NEBS三级标准的要求。除了以上功能以外, 华为公司根据运营商 WLAN网络的特点通过以下手段来保证设备的安全可靠性:

AP防盗设计

传统的FAT AP组网模式要求在AP上配置大量的业务参数,同时需要在AP本地保存这些业务配置信息,一旦设备丢失,AP的业务配置信息就可能被泄漏,形成网络的安全漏洞。华为的FIT AP在设备上不保存业务配置,而是每次启动的时候从无线控制器动态加载业务配置,这样可以有效避免设备丢失造成配置泄漏。

AP身份认证

用户在采用华为公司的无线控制器+FIT AP组网时,都需要预先在无线控制器上设置部署的AP序列号。当这些AP启动和无线控制器建立关联时,无线控制器会检查AP上报的序列号信息,只有这些预先授权的AP才能接入无线控制器使用,防止非法FIT AP接入网络。

AP支持多无线控制器的冗余备份

当用户的网络中存在多台无线控制器时,用户可以在华为的无线控制器上配置AP的接入优先级,当AP启动以后发现一个新的无线控制器的时候(通过广播、DNS或者Option43方式),无线控制器将AP的接入优先级以及无线控制器已经接入AP的负载情况信息返回给APAP根据这些信息优选出最适合接入的无线控制器,和其建立连接,而将其他无线控制器作为备份控制器。当无线控制器因异常原因down机时(例如停电),AP会和其他可用的备份无线控制器建立连接,有效的防止了单点故障的发生。

非法AP检测

采用华为的无线产品组成的WLAN网络,可以自动监测非法设备(例如Rouge AP,或者Ad Hoc 无线终端),并适时上报网管中心,同时对非法设备的攻击可以进行自动防护,最大程度地保护无线网络。

黑白名单功能

华为的无线产品支持静态配置白名单功能,该功能一旦启用,只有白名单上的无线用户才被认为是合法用户,其他非法用户的报文全部在AP上被丢弃,从而减少非法报文对无线网络的冲击。

4.3 用户接入安全

WLAN必须通过识别用户身份进行相应授权,在认证过程中保护用户认证信息安全,不被窃取。

多种用户接入认证手段

用户接入认证实现了对接入用户的身份认证,为网络服务提供了安全保护。华为无线接入认证主要有802.1x接入认证、PSK认证、MAC接入认证以及有线网络常用的portal认证和PPPOE认证,华为的无线产品全面支持国家WAPI标准规定的终端接入认证协议。在下文中只是详细描述802.1x接入认证、PSK认证、MAC接入认证等认证方式,对于有线用户常用的Portal认证和PPPOE认证不再赘述。

动态控制用户权限

接入认证只解决了用户的身份验证问题,而无法对不同身份的用户提供不同等级的服务和访问权限,通过和AAA服务器配合,华为的无线设备支持对认证用户动态下发带宽、VLANACL、优先级等参数,对于不同的用户群和业务可以控制其访问网络的权限,限制网络资源的使用,通过VLAN和优先级来标识用户和业务,并做到业务隔离。

Hotspot用户隔离

随着无线终端的普及,运营商目前都在大力开展无线热点业务,而其中一个重要需求是希望所有用户的数据流量在AP本地不做交换,而都必需经由BRAS设备交换和控制。Hotspot用户隔离通过限制相同SSID下的接入用户的互访,可以保证未认证用户无法在AP上做互访。

4.4 数据安全

为了保证物理层的通信安全,华为公司的无线产品支持以下的加密机制:

空中接口安全

WLAN信道开放的特点决定空中接口安全是WLAN网络安全的非常重要而且必须解决的问题.华为支持多种加密标准,具有良好的兼容性。支持的标准包括:WEP加密、TKIP加密、CCMP加密、WAPI加密,可以适应各种应用场景

IPSEC VPN

通过在华为的无线控制器上安装安全插卡,可以支持IPSEC VPN server,用户不用再额外安装VPN server就可以轻松享有端到端的数据安全。

4.5 网络安全

为了保证无线用户之间以及其连接的整个网络的安全,仅仅保证接入点的安全性是远远不够的。华为从整个网络的安全角度出发在以下几方面着手部署网络安全措施:

统一安全威胁管理

通过在无线控制器上集成高性能的IPS插卡可以对整个无线网络的数据流进行统一的保护。华为 SecBlade IPS是一款高性能入侵防御模块,集成入侵防御与检测、病毒过滤、带宽管理和URL过滤等功能,是业界综合防护技术最领先的入侵防御/检测系统。通过深达7层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、DDoS等攻击和恶意行为,并对分布在网络中的各种P2PIM等非关键业务进行有效管理,实现对网络基础设施、网络应用和性能的全面保护。统一威胁管理可以作为一种新的增值服务,即为用户提供全面的保护,又为运营商带来更多价值。

端点准入控制

终端安全性不足对整个网络造成巨大的威胁,为了解决大客户对安全性提出的更高要求。华为公司推出了EAD解决方案,该方案从网络用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施安全策略,严格控制终端用户的网络使用行为,加强网络用户终端的主动防御能力,保护网络安全。

华为的无线产品支持EAD接入控制方式,配合iNode无线/有线统一客户端可以实现有线,无线用户使用统一的客户端进行认证,结合华为公司的CAMS服务器,华为公司给用户提供了有线无线一体化的整体安全解决方案。

无线协议攻击防御

华为的无线产品支持多种攻击的检测,例如DOS攻击,Flood攻击,去认证、去连接报文的仿冒检测,以及无线用户Weak IV检测。当控制器检测到上述的攻击后,会产生告警或者日志,提醒管理员进行相应的处理。特别是无线协议攻击防御可以和动态黑名单配合使用,当控制器检测到攻击时,可以将发起攻击的无线客户端添加到动态黑名单中,从而保证WLAN网络不再被该设备攻击。

无线控制器和AP间下行流量限速

AP由于受自身硬件条件的限制和无线控制器相比处理能有限,如果在无线控制器不加控制,外界对无线用户的数据流量攻击很容易造成APCPU占用率过高,从而影响无线控制器和AP之间的连通性。华为的无线控制器支持针对AP的下行流量限速,即使发往AP的流量再大,都会被无线控制器限制在AP的处理能力范围之内,保证AP能够正常工作。

AP智能带宽限速

AP可以限制每个用户使用的最大带宽,从而防御因个别用户使用P2P等大流量应用导致其他用户无法上网。

 

 

五、方案的特点与优势

5.1 安全性、高QoS保障

华为园区网络WLAN解决方案从用户接入安全、网络安全、设备安全等多个方面保障无线网络的安全,使园区用户安全可靠的使用WLAN网络。 
    
用户接入安全:华为园区WLAN解决方案提供了多样化的用户接入认证以及加密解决方案。无线接入认证主要支持基于MAC地址认证、802.1x认证、Portal认证等保证用户安全合法的接入,支持WEP/TRIP/CCMP等加密措施防范无线接入用户数据被盗。同时可以通过部署VLAN隔离、端口隔离等业务隔离技术避免用户间相互影响。 
  
 网络安全:通过接入点对RF 环境的不间断扫描和监控,防止酒店受到未经授权的不安全的WLAN 接入点或恶意接入点的影响。 
  
 设备安全:无线接入点AP提供零配置功能,无需在设备保存业务配置,仅启动的时候自动从无线控制器加载业务配置,这样可以避免设备丢失造成配置泄漏而形成对无线网络的安全威胁。
   园区WLAN解决方案可以通过虚拟AP&VLAN构建一个单独的访客网络为客户、供应商等访客人士提供互联网服务访问权限。
   对于不同SSID承载的用户业务,由于无线空口资源有限,若某个SSID流量过大,比如访客访问Internet,则可能造成园区用户的不能正常访问无线网络开展业务。因此基于SSID的限速,可以避免其中一种业务流量过大对其他业务造成影响。 
  
 另外,基于快速漫游技术可以实现园区无线用户一次认证移动接入。用户移动到新的接入点时,如果用户之前已经认证过,则用户此时无需再次通过安全认证,直接接入,保证用户业务的连续性。

5.2 部署方便、扩展灵活

WLAN网络部署简化,安装便捷。WLAN的安装工作简单,它无需施工许可证,不需要布线或开沟挖槽。设备的零配置部署功能可以在无线改造现有网络的基础上轻松部署WLAN 

   无线控制器能轻松的管理数个到数十个甚至上千个的无线接入点。随着无线网络的扩展,新添加的无线接入点能自动检测到无线控制器,并下载相应的配置信息以及策略信息,无需任何手动操作。

5.3统一的网络管理、智能运维

统一的网络管理设备可以实现有线无线网络的统一化管理,简易网络管理操作,结合智能化的网络运维提升了网络管理效率。
   无线接入点能够监控环境温度变化,当环境温度低于零下10时,启动加热板,确保低温时的正常工作。而且无线接入点检测到电压将要无法供应的情况下(复位或故障),上报该告警,描述最后的工作状态,方便故障定位。