企业无线局域网系统方案

1、企业无线局域网系统方案2011年6月顺通电子目 录概述4企业无线局域网络系统需求5接入认证5接入安全5用户区分5企业无线局域网络系统构架6接入层6汇聚层6控制层6企业无线网络认证模式7认证方式7基于web方式的认证方式7基于802.1x的认证方式7基于pppoe的认证方式7认证流程7web认证流程7pppoe认证流程9802.1x认证10企业无线网络接入安全11接入层11无线传输的资料加密11无线接入点的横向安全11汇聚层12接入ap间横向安全12用户资料安全12控制层12产品介绍13ac13wacs简介13功能特点14认证及实现15管理特性15灵活的组网方式16高集成的网络设备16ap17w

2、g10217简 介17超级的无线性能17超级安全性18先进的wds桥接功能18丰富的管理功能18wg30219一个可升级的,安全的解决方案的智能网络19智能的20可用性21poe交换机21fs108p21极灵活22即插即用22静音和紧凑22超值22fsm7326p2324+2埠三层网线供电交换机23路由23交换24服务质量 (qos)24方便的网络管理24灵活性24先进的网络控制功能25高经济性25概述1997年ieee推出了802.11无线局域网2mbps标准后无线局域网并未得到普及，而1999年802.11b技术的出现使得的无线局域网的速率可以到达11mbps，由于技术成熟以及移动终端的普

3、及使无线局域网的市场不断扩大，随之而来新的标准如802.11g、802.11a以及未来的802.11n又将无线局域网的速率和环境适应性提到了一个新的高度，使之完全可以满足复杂的室内环境部署以及高带宽媒体应用的需求。 无线局域网络快速的普及，使得越来越多的公司开始考虑部署无线局域网络。但是由于无线局域网络接入的开放性成为了很多希望部署无线局域网络公司的主要障碍，因为如果在设计网络的时候不采用有效的控制手段将会导致严重的安全问题。而现有无线ap的安全手段如基于802.1x的认证机制虽然可以有效地解决企业所考虑的接入安全问题，但是由于对后台系统的维护和管理较为复杂，使得很多中小企业对此望而却步。所以

4、对于企业无线网络不但要从网络的各个层面考虑到安全性，还要需要考虑到系统的简单易用、合理的用户的接入模式以及用户区分等问题。为了解决上述企业无线网络部署所遇到的问题，netgear的无线局域网络系统以多层安全体系架构为基础，能够保护企业免受内部和外部的威胁，并改进了对授权内容的访问。negear的解决方案可以快速集成，确保网络可以提供端到端的安全性，高效地提交内容、促进协作和支持移动。为广大客户提供了完整无线解决方案。企业无线局域网络系统需求接入认证企业无线局域网络为了确保其接入用户为可信用户，必须对这些用户进行接入认证，而接入认证的方式也直接涉及到了系统的管理复杂程度以及系统的易用性。接入安全

5、 无线局域网由于其通过微波进行资料承载所以整个网络是开放型的，虽然可以通过对无线发射功率的调节来做到物理层面上无线信号的扩散问题，但是仍然不能做到有线网络这样从布线上就解决了端口和物理位置捆绑，所以接入安全尤为重要。企业的接入安全包括ap层面的无线空中资料的安全、交换机层面的资料访问安全、以及无线网络出口的应用安全。用户区分企业无线网络往往需要设定不同的用户类别，如公司内部员工和公司外来人员的区分，另外也需要为不同用户定义基本的网络接入带宽。企业无线局域网络系统构架接入层无线网络接入层主要有无线接入点组成。汇聚层企业无线局域网络汇聚层应该由可管理的以太网供电交换机组成，通过可网管的以太网供电交

6、换机我们可以对其下联无线访问点进行集中供电及埠监控管理。考虑到网络的安全控制层企业无线局域网络控制层应该由访问控制器即ac构成，在功能层面ac主要负责用户的认证、分类、接入带宽的分配以及用户状态及数据库的管理。企业无线网络认证模式认证方式netgear在无线局域网络系统中所提供ac的认证方式有以下几种：基于web方式的认证方式通过portal server实现认证页面的强制推送，来实现用户认证。认证信息可以通过ssl进行加密，但用户资料信息并不加密。基于802.1x的认证方式802.1x认证是一种基于逻辑端口的认证机制，对于企业无线局域网中而言802.1x认证机制可以有效地阻止未认证用户与任何

7、一个打开该功能的ap实现无线关联。基于pppoe的认证方式pppoe的认证模式已经是宽带网络中相当成熟的模式了，如今大多数操作系统都集成了pppoe客户端软件，pppoe的认证信息可以通过chap进行加密。 认证流程web认证流程基于ac的web认证流程如下图所示：l ac位于wlan系统的二层汇聚层，作为整个wlan用户上网的网关存在。认证流程如下：l 用户进入wlan网络，通过动态dhcp获得ip地址l 用户输入urll ac将该用户url复位向至认证页面，认证页面服务器可以内置在ac中也可以外置与网络上，以支持更为个性的无线校园网络支持。l 用户输入认证信息并提交l ac将该认证信息送至

8、校内统一的radius认证设备上或ac本地的数据库进行认证l 认证成功则客户端弹出包含下线按钮的成功窗口，并开始计费。若认证不成功，则弹出失败窗口并告知失败原因。为了降低系统整体的硬件投入和维护负担，netgear的ac系统已经将radius和portal服务器内置在ac内部便于用户的集中管理，同时也提供了radius的外部接口以便系统扩展。pppoe认证流程如下图所示：l 用户打开pppoe客户端，进行拨号认证l ac将客户端信息送至本地或网络上的radius认证设备上进行认证l 认证通过pppoe客户端显示连接成功，并开始计费。若认证不成功，则显示连接失败并告知失败原因。为了降低系统整体的

9、硬件投入和维护负担，netgear的ac将radius服务器内置在ac内部便于用户的集中管理，同时也提供了radius的外部接口以便系统扩展。802.1x认证在企业无线局域网络系统中为了降低无线接入端对802.1x认证模式的兼容性，netgear ac采用单纯的口令认证机制即基于md5的802.1x的用户认证。认证流程如下：l 无线接入用户选择无线网络id接入l ap发送认证需求l 操作系统弹出口令认证窗口l 用户输入认证l ap将获得的用户认证信息送至ac本地radius或网络中的radius服务器l radius验证用户信息是否正确，并将验证结果发送给apl ap收到成功信息后将允许用户接

10、入，同时ac也将正常转发该用户的资料为了降低系统整体的硬件投入和维护负担，netgear的ac将radius服务器内置在ac内部便于用户的集中管理，同时也提供了radius的外部接口以便系统扩展。企业无线网络接入安全接入层企业接入层安全主要考虑到两方面：无线传输的资料加密早期802.11所提供的无线资料的wep加密已是公认的不安全的加密机制，目前较新的无线资料安全基本采用wpa甚至wpa2来实现无线资料加密，wpa延用wep的rc4作为核心算法来实现资料加密，同时采用动态密钥管理机制，可以确保不同的接入用户有不同的密钥进行无线资料加密。但是由于rc4有一定算法上的缺陷所以wpa2采用更为强劲的

11、aes算法来弥补rc4算法上的缺陷。netgear企业级ap系列产品目前都已经支持wpa2，同时已经软件升级为802.11i做好了准备。考虑到企业用户部署wpa2需要后台较为复杂的radius部署和维护，所以企业用户可以采用wpa2psk来确保来无线资料的安全。wpa2-psk的ap和无线接入客户端采用相同的per-share key，但是仍然采用动态密钥管理机制，可以确保不同的接入用户有不同的密钥进行无线资料加密。无线接入点的横向安全 由于无线局域网是开放型的网络系统，所以必须控制用户的横向通讯以阻止同一个ap下的非法攻击，netgear的企业级系列的ap均支持横向用户阻隔。汇聚层汇聚层安全

12、主要考虑以下两个方面：接入ap间横向安全由于无线局域网是开放型的网络系统，所以除了确保同一个ap下无线用户的横向隔离，还应该确保不同ap下的用户隔离，只有无线用户的隔离自接入层一直到控制层才能确保所有无线用户的横向隔离。netgear 可网管的poe供电交换机系列均支持端口隔离机制。用户资料安全除了做到用户间的横向隔离我们还应该确保无线用户的资料的安全，所以有必要在汇聚层的交换机上对用户端口的资料包定义acl规则，确保对ac和有线网络资料访问的合法性，netgear三层可网管poe供电交换机系列均支持二三层acl规则的定义。控制层控制层主要由ac来负责无线用户对网络的访问控制，netgear的

13、ac系统可以提供以下几方面的安全控制方式：l 有效地对用户进行控制，防止用户地址盗用、私设dhcp服务器等，并且可以根据radius返回的用户的信息的限制无线用户接入网络的速率。l 为认证的用户打开arp proxy，使得那些通过认证的用户即使在ap和汇聚交换机都配置了横向隔离的环境下也可以实现互通。l 提供了nat、acl等功能，可以实现简单的防火墙规则，能够保护网络资源的基本安全。l 将网络划分为需要认证和不需要认证的部分，有效的隔离了不可信任的区域，这样也保护了企业的内部的敏感资源。产品介绍ac wacs简介 wacs（wlan access control server）是安腾公司开发

14、的，专门应用于中小企业无线组网认证的服务器。 在无线组网方案中，安全是很重要的部分。wacs集成了ac和radius的功能，支持802.1x的认证，可以为无线网络提供安全、可靠的保证。 wacs是一款高集成的网络设备，可以通过console、web、telnet等方式进行管理。面向用户的web管理，大大地简化了用户的管理难度，不用记忆复杂的网络配置命令，即可以对设备进行管理。wacs自带radius server，也可以作为radius client或者radius proxy。如果使用自带的radius server，可以在web管理中对用户帐号进行管理。在wacs中最多可以管理1024个用

15、户帐号。 功能特点 安全性：wacs提供nat、acl等功能，可以实现简单的防火墙规则。能够保护网络资源的基本安全 对认证的支持：内置radius server，支持标准的802.1x认证，同时可以采用浏览器认证的方式，可以适用在不同的网络环境中 认证安全性：采用标准的radius实现方式，采用eap的认证扩展，实现对无线网络的管理 dhcp服务器：wacs内置了dhcp服务，可以实现dhcp地址分配、dhcp中继，方便对用户的地址进行管理 用户管理：在wacs中可以管理最多1024个用户帐号，不需要外接其它的认证服务器，即可以独立完成认证的流程，同时也可以作为单独的认证服务器使用 管理简单：

16、wacs可以采用web管理，极大地简化了管理的难度，简单明了的管理接口，使管理设备和用户不再是一件复杂的工作 网络资源保护：wacs可以把网络划分为需要认证和不需要认证的部分，有效的隔离了不可信任的区域，保护了企业的内部敏感资源 高效性：wacs采用商业的嵌入式操作系统实现，具有很高的转发效率，不会造成网络出口的瓶颈 qos：wacs可以实现对用户的速率控制，根据一定的用户策略，实现用户的速率限制，实现差别服务 免费的地址：wacs可以配置多个地址，在用户未认证的情况下也可以对这些地址进行访问。 认证及实现 wacs主要是针对无线的安全而设计，对无线用户的认证和保护是设备的核心内容。 认证方式

17、： wacs支持web认证和802.1x认证两种方式。 如果认证点在ap，可以采用802.1x认证对用户进行控制和管理。 如果认证点在wacs，ap可以只作为一个透明的网桥，采用web认证的方式来对用户进行控制和管理。 radius认证： wacs实现了标准的radius server，也可以作为radius client，与外部的radius server结合实现复杂的计费认证方式。同时，wacs也可以作为radius中继，连接下面的radius client和外面的radius server。 在wacs内置的radius server中，提供了对eap的支持。在现阶段的实现，只提供eap

18、-md5的认证方式，下一步的开发实现，将会加入eap-tls等认证方式 管理特性 对无线用户的管理，是wacs的特点和目的所在。 wacs提供web接口，可以实现对用户的添加、删除、更改等操作。在wacs内置的存储设备中，可以最多保存1024个用户信息。 当wacs是认证点时，可以根据用户的情况进行区分，把同一网络下的用户划分成需要认证的和直通的用户类型，这样可以灵活的对用户进行规划和控制。 作为可管理的网络设备，wacs尽量实现管理接口的人性化，通过浏览器进行管理，可以让用户最快的掌握配置要求。 不需要很高深的网络专业知识，也不需要特别的管理软件，通过简单的学习，即可以对wacs进行管理和配

19、置。 灵活的组网方式 wacs可以适应不同的网络环境，针对企业热点的需求，可以实现多种组网方式： 认证点在ap，wacs对出口进行控制 认证点在ap，wacs只实现认证的功能 认证点在wacs，采用web认证方式 使用wacs，可以针对实际的使用情况，以最小的网络改动代价，提高对无线网络的安全控制和保护。 高集成的网络设备 wacs采用集成的一体化设备开发，安装简单，可靠性高。 不需要额外的配置和设备，高集成的存储管理功能，使wacs既具备网络设备的可靠性，同时又具备普通服务器的存储功能，不用担心意外断电而导致资料丢失，也不用担心意外关机而导致资料的不一致性。 apwg102简 介基于基于ie

20、ee 802.11g标准的wg102提供超级的无线性能、先进的安全性、完整而先进的功能、超强的信号覆盖和丰富的管理特性，完全满足成长型商用网络和电信级应用对无线局域网设备的各项要求。该产品在兼容现有54m 802.11g 网络和11m 802.11b 网络的同时，更是采用了netgear公司创新的 super g技术，为用户在保证原有投资的同时提供了快速升级到更高速108m无线局域网的快捷方式。dynamic 108mbps 技术确保在无线网络当中802.11b，802.11g 及super g 108mbps三种无线客户端的共存！超级的无线性能基于wg102超级的性能来源于其在标准802.1

21、1g 54m速率的基础上采用了超于其它802.11b产品10倍实际传输速率和4倍信号覆盖范围的“superg” 技术，能够在更大范围内提供108m吞吐量的数据传输速率。先进的无线天线技术如54mbps速率下75dbm 的接收灵敏度(rx),19dbm的传输功率(tx),再配以高增益的5 dbi 全向天线为无线信号提供了最优化的保证。超级安全性基于wg102基本的安全功能包括有40/64位, 128位以及152位wep资料加密，ssid号广播禁止、基于ap本地或基于radius服务器的mac地址访问过滤验证可为256个用户提供访问服务，另外支持vpn的穿透。高级的安全功能包括有基于ieee 80

22、2.1x埠访问控制基础上的eap-tls,ttls和peap，支持完备的wpa( wi-fi安全保护访问)中 wpa-psk 和 wpa-enterprise两种规范、通过软件升级可支持完备的ieee 802.11i规范及无级客户端的二层隔离等等。先进的wds桥接功能基于wg102先进的企业级功能包括支持无线分布系统（wds），这包括支持支持点对点，点对多点的无线桥接以及无线中继功能，可直接为用户提供高达108m的无线桥接解决方案。另外创新的wg102还可支持无线桥接模式和无线访问点ap模式同时工件，一机两用，为用户在大范围面积内实施无线局域网提供了最好的解决方案。丰富的管理功能基于wg102

23、先进的功能还包括其支持以太网线远程供电（poe）ieee 802.3af标准,配合支持ieee 802.3af功能的以太网交换机如netgear公司的fsm7326p或fs108p，wg102将可由以太网交换机直接供电而不再需要对其进行本地供电。为了更进一步协助用户在复杂区域内的无线信号覆盖，wg102配备了壹条可拆卸的5dbi高增益天线，并可和netgear公司现有的全系列天线配合使用。基于wg102丰富的管理功能包括支持图形化的基于web浏览器的配置接口，也可支持通过snmp 和 telnet方式下的命令行管理方式，结合netgear公司企级的网络管理软件nms100,将为用户提供全面的网

24、络管理选择。基于特别是针对电信“热点”场合的应用，wg102的输出功率可根据用户的要求进行随着的调整，也支持公众场合应用的无线客户端二层隔离，还支持无线客户端的http流量的复位向功能，加上其完备的其它各项先进安全特性，wg102是“热点”应用的理想选择！具体参数见wg302一个可升级的,安全的解决方案的智能网络netgear的prosafe 802.11g无线访问点wg302赋予了今天的移动办公所需的安全,可靠和高性能的无线局域网络(wlas)。这强劲的设备提供了终级的工业标准访问企业网络资源,e-mail和互联网.与ieee 802.11g(2.4g)完全兼容,它也可以设置为动态的2.4g

25、 108 mbps, 结合它强壮的安全措施, 简单化的管理和配置, 扩展的信号覆盖范围, 集成的ieee 802.3af 以太网供电(poe),和wi-fi认证, 这wg302具有基于标准的企业级的性能却仅仅中型市场产品的价格。并且,具有autocell rf射频管理技术,rf射频模式是可监测的和自动调谐均衡信号覆盖下的网络,因此可最小化频道的冲突并且最优化无线局域网的性能.autocell”激活”的wg302无线ap能提供动态的发射功率控制,自动的频道选择和负载均衡。遵从工业安全标准的无线资料加密,用户认证, 802.11i 和wpa2 enterprise, 提供了增强的, 互操作性的无线

26、网络安全.wpa和802.1x的支持赋予了强壮的双向认证以确保只为与企业radius服务器有关联的客户端授权. 支持最多256个用户的mac地址认证-用户访问控制列表(acl)和vpn透传.集成的基于ieee 802.3af的以太网供电(poe)支持,避免了额外的线缆和需要在附近的电源插座-象这wg302无线ap是基于以太网线供电的.支持简单网络管理协议(snmp) mib i,mib ii和使用基于snmp的网络管理软件的802.11 mib,象hp openview. 支持所有的流行的802.1x基于埠的认证协议,包括可扩展认证协议(eap),传输层安全协议(tls), 受保护可扩展身份验

27、证协议(peap), 和隧道传输层安全协议(ttls). 控制端口便于本地配置和监测. 用户可以远程配置,升级和通过ftp同时监测多个wg302.智能的ieee 802.11g无线标准具有可选的最高达108 mbps的速率顾及商业通信最快速的发送和技巧. 赋予了点对点,点对多点桥接和中继模式. autocell提供了使无线网络更优化的动态的传输功率控制,自动的频道选择和当配合使用prosafe 802.11a/b/g双频三模笔记本计算机网卡wag511时的负载均衡功能.可用性节约成本,简单的安装和使用.灵活摆放和阻燃- 可以水平放置于天花板上,挂在墙壁的高处或放在活动地板下.具备便利的基于浏览

28、器配置接口的智能安装向导(smart wizard).度身定作的2根外置的,可拆卸的5dbi天线-可为扩展无线性能和信号覆盖,另外灵活的选用netgear的天线和附件.未来可通过固件升级支持基于服务质量(qos)的ieee 802.11e.提供3年的产品保修.具体参数见poe交换机fs108pprosafe fs108p交换机提供了从一个网络节点利用5类以太网线的电源和数据的传输.8端口快速以太网端口能用于10/100mps的连接,其中4个埠可以提供工业标准的802.3af电源.先进的自感知算法只为802.3ad终端设备供电,因而不需要去担心会损坏私有标准的poe或非poe设备.另外,当poe

29、设备不连接时它会停止供电.简单,可靠的设计,这prosafe fs108p自动识别poe的需求,速度,双工和使用autouplink的网线类型.基于prosafe fs108p经济的价格提供了一些需要简化无线访问点(ap)和基于ip的网络摄像头的安装的商业网络.这些远离电源插座的设备非常适合挂在墙壁高处或天花板上.poe消除了为这些设备特意连接电源插座的麻烦.使那些连接交流电源困难的设备的连接更灵活,并且安装费用最低化.紧凑和灵活的设计,prosafe fs108p是对于想要经济的使用poe部署无线访问点(ap)和基于ip的网络监控摄像头的小型商业网络的理想选择.极灵活基于可选择插入8个以太网

30、或快速以太网设备,并且可以混合接入最多4个基于ip的802.3af设备,象无线访问点ap或基于ip的网络监控摄像头.放置这些兼容802.3af的设备到需要放置的位置墙壁的高处和天花板上为最大的覆盖或别的什么你需要它们的地方.通过标准的5类以太网线传输电源和资料.即插即用基于基于标准的prosafe fs108p轻易的整合了你现有的10/100以太网络,并自感知和自调整网络的速度和网线类型.对于poe,这交换机自动发现兼容802.3af的设备,并且提供所需的电源.前面板指示灯可持续监测交换机的信息和poe的工作状态.静音和紧凑基于小巧便利的设计, 一个9英寸,耐用的金属外壳.它可以使用包装盒内置

31、的配件轻易的被安置在桌面或者墙上.无风扇设计安静的溶入你的小型办公室的环境超值基于将资料交换和基于以太网供电整合入了一个单位内, 这fs108p节省了空间,减少了线缆并且消除了连接电源插座的需要最小化安装费用,简单化了poe性能设备的安装,和消除了需要专职电工或延长电源线的麻烦. 总的来说, 一个最大好处是具有最经济的价格. 具体参见fsm7326p24+2埠三层网线供电交换机美国美国网件公司 (netgear, inc.) 的 fsm7326p 三层网线供电交换机提供 24 个 10/100base-tx 埠并内置 2 个灵活的 1000base-tx 铜线接口与 mini-gbic 光接口

32、的集成端口。 fsm7326p 在所有 10/100m 埠上提供基于 ieee 802.3af 标准的以太网供电（ poe ），可为 ip 电话机、无线 ap 以及安全的视频照相机等终端设备提供远程供电。 fsm7326p 为 voip 网络与无线局域网络的安装与布置提供了最好的供电方式，避免了复杂的电源布线，方便网络管理员集中管理控制终端设备的电源。交换机内置的冗余电源可以使 voip 网络与无线局域网络的可靠性大大提高。资料交换与电源管理在同一个设备当中完成，同一根双绞线电缆同时完成数据传输与电源输送 。依靠其先进的电源管理特性以及最佳的智能化 2/3 层资料交换特性，该交换机在每埠网线供电和可扩展性方面处于业界领先水平。美国fsm7326p 支持线速第二层交换及第三层路由功能。其速率限制与完