浙江农林大学无线覆盖方案.docx-得力文库

资源描述

《浙江农林大学无线覆盖方案.docx》由会员分享，可在线阅读，更多相关《浙江农林大学无线覆盖方案.docx（64页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、浙江农林大学校园网无线覆盖建议技术方案华三通信技术有限公司2010年8月目录第一章 H3C 公司简介2第二章H3C WLAN产品线简介4第三章无线设计方案43.1 采用无线技术的好处43.2 选用无线局域网产品的原则53.3 需求分析63.4 网络方案设计介绍63.5 无线网络管理73.6 覆盖区域83.7 设备配置清单10第四章无线局域网安全技术114.1 、无线局域网的安全威胁124.2 基本的无线局域网安全技术124.3 无线局域网的安全策略264.4 基于硬件的安全防护28第五章服务与培训285.1 7X24X365 服务保障285.2 故障的申报和处理流程325.3 维修和更换服务3

2、45.4 用户投诉流程355.5 H3C培训I中心35附:产品资料.41H3cs7500E系列髙端多业务路由交换机41H3C S5120-EI糸列交换机48H3C WA2600黨列无线接入点555.6 络管理软件介绍59第一章H3C公司简介杭州华三通信技术有限公司（以下简称H3C）成立于2003年11月,运营总部设在杭州。2006年,H3c销售收入7.12亿美元,连续三年保持70%左右的同比增长。在全国34个省市设有分支机构。目前公司有员近5000人,其中研发人员占51 %。H3C专注于基于!P技术的网络设备与应用的研究、开发、生产、销售及服务。 H3c不但拥有全线路由器和以太网交换机产品

3、,还在网络安全、IP存储、IP监控、语音视讯、WLAN、SOHO及软件管理系统等领域稳健成长。目前,安全产品中国市场份额位居前三,IP存储亚太市场份额第一,IP监控技术全球领先,WLAN产品在国内运营商累计出货量第一，H3C已经从单网络设备供应商转变为多产品IToIP解决方案供应商。H3c每年将销售额的15%以上用于研发投入,在中国的北京、杭州、深圳以及印度的班加罗尔设有研发机构,在北京和杭州设有产品鉴定测试中心。目前,H3C已申请专利超过700件,其中80%是发明专利。根植中国,H3c广泛服务于党政、公检法、财税、教育、金融、电、能源、交通、水利、运营商、制造业、公共事业、中小

4、企业等用户。服务全球,H3c通过与3com、华为、西门子、NEC等公司合作拓展国际市场，目前,H3c的产品和解决方案已经覆盖全球90多个国家和地区。宽带化、移动化、IP化已经成为下一代公众运营网络的代名词,作为一种灵活的宽带无线IP接入方式,WLAN借助于接入速率高、架构使用便捷、系统费用低廉及可扩展性较好等优点,应用日趋广泛,成为近些年来全球通信领域的亮点之一。据!DC 等机构的调查数据显示,2006年全球WLAN市场以极快的速度增长,市场价值达50 亿美元。2006年前三季度中国WLAN设备出货量达到6242万美元,未来几年中国 WLAN市场仍将保持40%左右的增长速度基于对运营网

5、络的理解和积累,在中国电信、中国网通、中国移动、中国联通等电信运营网络广泛应用的基础上,H3c运营商WLAN 解决方案已成功应用于江苏电信、北京网通、天津网通、云南电信、湖北电信、江西电信、北京联通、吉林联通、上海移动、黑龙江移动等电信运营商。为数百万级的用户提供宽带无线接入服务。典型成功案例序号项目名称所属领域相关产品1杭州网通EPON项目运营商H3c交换机、EPON设备2杭州网通无线城市运营商H3c无线控制器、FIT AP2浙江省质量技术监督局政府综合布线3杭州卷烟厂企业CISCO交换机、路由器、防火墙4浙江省出入境检验检疫局政府H3C防火墙5杭州仁文学校教育城市热点计费系统、DLI

6、NK交换机、H3C交换机6浙江瑞福通银科技发展有限公司金融H3c路由器、交换机、JUNIPER防火墙7浙江省委党校教育H3C EAD端点准入防御系统部署8温州规划局政府H3C EAD端点准入防御系统部署9嘉善行政管理执法局政府H3c交换机、防火墙10台州黄岩检察院政府H3C防火墙11杭州农副产品物流中心企业H3C交换机12杭州市果品市场企业H3c交换机、路由器13上海浦东发展银行杭州分公司金融H3c交换机、CISCO路由器14杭州联发纤维台企JUNIPER防火墙15长江印染企业H3C无线网络产品16滨江蓝山咖啡企业H3C无线网络产品第二章H3C WLAN产品线简介H3C自2003年公司成立以

7、来就定位于为运营商提供可运营、可管理的WLAN设备和解决方案,H3c公司每款AP设备都兼有电信级的稳定性和企业级的灵活性,具备更强的竞争力。目前,H3C成立了 200多人的WLAN研发团队,紧跟前沿技术,快速响应用户需求。H3C对WLAN技术进行了深入的研究分析，积极参与国际标准组织的相关交流, 同时H3c也针对802.11的各个工作组进行积极的沟通交流，提出自己的理解与建议, 联合业界的合作伙伴共同推动标准进程,目前已经拥有100多项专利技术。作为全球领先的网络设备和解决方案供应商，H3c推行的统无线网络,基于有线、无线一体化解决方案的理念,为客户提供FAT AP、FIT AP、Wi

8、reless Switches, MESH、网桥等全系列无线产品。第三章无线设计方案3.1 采用无线技术的好处无线局域网,也被称为WLAN (Wireless LAN), 一般用于宽带家庭,大楼内部以及园区内部,典型距离覆盖几十米至几百米,目前采用的技术主要是 802. lla/b/g系列。WLAN利用无线技术在空中传输数据、话音和视频信,作为传统布线网络的种替代方案或延伸,无线局域网把个人从办公桌边解放了出来,使他们可以随时随地获取信息,提高了员的办公效率。一般而言,对比于传统的有线网络, 无线局域网的应用价值体现在:可移动性:由于没有线缆的限制,用户可以在不同的地方移动工作,网络用

9、户不管在任何地方都可以实时地访问信息。-布线容易：由于不需要布线，消除了穿墙或过天花板布线的繁琐工作，因此安装容易,建网时间可大大缩短。-组网灵活:无线局域网可以组成多种拓扑结构,可以十分容易地从少数用户的点对点模式扩展到上千用户的基础架构网络成本优势:这种优势体现在用户网络需要租用大量的电信专线进行通信的时候,自行组建的WLAN会为用户节约大量的租用费用。在需要频繁移动和变化的动态环境中,无线局域网的投资更有回报。无线时代正在来临,这意味着可以在任何便于工作的地方,如在学校、医院、自助餐厅、企业、政府机构等办公室、会议室、医疗室、图书馆、实验室、以及在野外的野餐桌旁,享受工作的自由

10、和灵活性。无线网络正在成为每个企业、单位、机构,根本的、必备的合作工具。无线局域网技术的新发展表现为更高的速度、更好的互操作性以及安全性。无线局域网具有的高灵活性和可靠性,可以立竿见影地提高生产率，在各行业的广泛应用取得了引人瞩目的成果,展示了极为广阔的市场前景，它将创造崭新的生活和工作风尚。3.2 选用无线局域网产品的原则根据网络具体情况，在网络设计中遵循下列原则:先进性原则采用先进的设计思想,先进的网络设备,使网络在今后一定时期内保持技术上的先进性。开放性原则网络设计及网络设备选型遵从国际标准及工业标准,使网络具有高度的开放性和所提供设备在技术上的兼容性。可伸展性原则网络设计在

11、充分考虑当前情况的同时,必须考虑到今后较长时期内业务发展的需要,留有充分的升级和扩充的可能性。充分利用现有通讯资源,为以后扩充到更高速率提供充分的余地。另方面,还必须为网络规模的扩展留有充分的余地。安全性原则网络系统的设计必须贯彻安全性原则，以防止来自网络内部和外部的各种破坏。贯彻安全性原则体现在以下方面:设备采用的是扩频技术;提供了无线数据传输的加密; 用户可以通过设置自己的AP或另加独立加密设备实现更高的安全性;华三通信技术有限公司5 网络内部对资源访问的授权、认证、控制以及审计等安全措施:防止网络内部的用户对网络资源的非法访问和破坏。可靠性原则网络系统的设计必须贯彻可靠性原则,使

12、网络系统具有很高的可用性。可靠性原则体现在以下方面: 选用技术先进、成熟高可靠性的网络设备; 系统增益储备高; 链路的可维护性好。可管理性原则网络系统应具有良好的可管理性,使得网络管理人员能方便及时地掌握诸如网络拓扑结构、网络性能统计、网络故障等信息,能简便地对网络进行配置和调整,确保网络工作在良好状态。3.3 需求分析浙江农林大学此次建设的无线网络将涉及教学楼、办公楼、图书馆、实验室、食堂、宿舍便捷的无线上网环境的无线覆盖。通过对教学楼、办公楼、图书馆、实验室、食堂、宿舍等区域的无线覆盖,将为学校教师教学、办公、浏览互联网提供随时随地的无盲点强度高的无线信号覆盖,并设计提供安全.

13、高速的无线访问接入。学校今后所有的教师将可以通过电脑无线联网教学,为防止非学校工作人员擅自接入校园无线网络，需要利用web认证来验证接入无线网络人员身份的合法性。3.4 网络方案设计介绍经过上面的网络现状描述和需求分析,我们可以在下面的篇幅中进行详细的无线网络方案的设计，方案描述将分为两部分内容:1）无线局域网设计与实施部分;2）无线局域网安全部分;并且给出无线网络配置的设备的详细描述。下面是本次学校内部无线网络覆盖的网络拓扑图:浙江农林大学无线网络拓扑图云、出口路由器千兆电千兆光衣锦校区核心交换机 LS-7506E核心交换机 LS-7506E东湖校区IMC网管平台錢強人交换LS-51/

14、0-28C-PWR-E教学区教学区梦交换机 LS-5M52C-PW 1ICV 4丁.,i*s m OctetsIn it. Vector31 tetIV 4 bMID *N 0 TE: the enchermeni pxo(e ho expanded the cxifinal MPDU by $ Octets, 4for the Iratialiiatim Vector (IV) field ind 4 for the Integrity Check Value (IC V). Die IC Vif c alculated on die Data field only图4 WEP加密后的MPD

15、U格式加密前的数据帧格式示意如下:MAC HeaderData (PDU)FCS加密后的数据帧格式示意如下:MAC HeaderIVData (PDU)ICVFCSWEP解密原理图如下:MesMgo图5 WEP解密原理图1、找到解密密钥;2、将密钥和IV串接（IV在前）作为RC4算法的输入生成和待解密数据等长的密钥序列;3、将密钥序列和待解密数据按位异或,最后4个字节是ICV,前面是数据明文;4、对数据明文计算校验值ICVT并和K2V比较,如果相同则解密成功,否则丢弃该数据。连线对等保密WEP协议是IEEE802.il标准中提出的认证加密方法。它使用RC4 流密码来保证数据的保密性,通过共

16、享密钥来实现认证,理论上增加了网络侦听,会话截获等的攻击难度。由于其使用固定的加密密钥和过短的初始向量，加上无线局域网的通信速度非常高,该方法已被证实存在严重的安全漏洞,在15分钟内就可被攻破。现在已有专门的自由攻击软件（如airsnort）。而且这些安全漏洞和WEP对加密算法的使用机制有关,即使增加密钥长度也不可能增加安全性。另外，WEP缺少密钥管理。用户的加密密钥必须与AP的密钥相同,并且个服务区内的所有用户都共享同一把密钥。WEP中没有规定共享密钥的管理方案,通常是手工进行配置与维护。由于同时更换密钥的费时与困难，所以密钥通常很少更换，倘若一个用户丢失密钥,则会殃及到整个

17、网络的安全。ICV算法不合适。WEP ICV是种基于CRC-32的用于检测传输噪音和普通错误的算法。CRC-32是信息的线性函数,这意味着攻击者可以篡改加密信息,并很容易地修改ICVo同时WEP还可以作为一种认证方法,认证过程如下:1 .在无线接入点AP和工作站STA关联后,无线接入点AP随机产生一个挑战包, 也就是一个字符串,并将挑战包发送给工作站STA。2 .工作站STA接收到挑战包后,用密钥加密挑战包，然后将加密后的密文,发送回无线接入点APo3 .无线接入点也用密钥将挑战包加密，然后将自己加密后的密文与工作站STA加密后的密文进行比较，如果相同,则认为工作站STA合法,允许工作

18、站STA利用网络资源；否则,拒绝工作站STA利用网络资源。端口访问控制技术（IEEE802.1x）和可扩展认证协议（EAP）IEEE802.1X并不是专为WLAN设计的。它是一种基于端口的访问控制技术。该技术也是用于无线局域网的一种增强网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.lx的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户连接网络。IEEE802.1X提供无线客户端与RADIUS服务器之间的认证,而不是客户端与无线接入点AP之间的认证;采用的用户认证信息仅仅是用户名与口令,在存储、使用和认证信息传递

19、中存在很大安全隐患,如泄漏、丢失;无线接入点AP与RADIUS服务器之间基于共享密钥完成认证过程协商出的会话密钥的传递,该共享密钥为静态,存在定的安全隐患。802.lx协议仅仅关注端口的打开与关闭,对于合法用户（根据帐号和密码）接入时，该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的!P地址协商和分配问题, 是各种认证技术中最简化的实现方案。图6 802.lx端口控制在802.lx协议中,只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。客户端:一般安装在用户的工作站上,当用户有上网需

20、求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。认证系统:在无线网络中就是无线接入点AP或者具有无线接入点AP功能的通信设备。其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。认证服务器:通过检验客户端发送来的身份标识（用户名和口令）来判别用户是否有权使用网络系统提供的服务,并根据认证结果向认证系统发出打开或保持端口关闭的状态。在具有802.lx认证功能的无线网络系统中,当个WLAN用户需要对网络资源进行访问之前必须先要完成以下的认证过程。1 .当用户有网络连接需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口

21、令,发起连接请求。此时,客户端程序将发出请求认证的报文给AP,开始启动一次认证过程。2 .AP收到请求认证的数据帧后,将发出个请求帧要求用户的客户端程序将输入的用户名送上来。3 .客户端程序响应AP发出的请求,将用户名信息通过数据帧送给AP。AP将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。4 .认证服务器收到AP转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理, 同时也将此加密字传送给AP,由AP传给客户端程序。5 .客户端程序收到由AP传来的加密字后,用该加密字对口令部分进行加密处理（此种

22、加密算法通常是不可逆的），并通过AP传给认证服务器。6 .认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向AP发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息, 并保持AP端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。这里要提出的个值得注意的地方是:在客户端与认证服务器交换口令信息的时候,没有将口令以明文直接送到网络上进行传输,而是对令信息进行了不可逆的加密算法处理,使在网络上传输的敏感信息有了更高的安全保障,杜绝了由于下级接入设备所具有的广播特性而导致

23、敏感信息泄漏的问题。SupplicantAuthenticatorRadius802 11RADRSLAssociaHonrequesl .2Association responseEAPO1 3;EAPOL-Start. .4:Reques !dentity5 Responseidentity5 :Radius-Access-Request. .6:EAP-Request . 6:Radius-AccoChaUenge_.71EAP-R的 ponsc.Radius-Access-Request., 8:EAP-Succcss. 8:Radius-Access-Accept 9:EAPOL-K

24、ey(WEP)图7 802. lx认证过程WPA (Wi-Fi Protected Access)WPA = 802.1 x + EAP + TKIP + MIC在IEEE 802.1 li标准最终确定前,WPA标准是代替WEP的无线安全标准协议, 为IEEE802.il无线局域网提供更强大的安全性能。WPA是IEEE802.1 li的个子集, 其核心就是IEEE802.1X和TKIP认证在802.1I中几乎形同虚设的认证阶段,到了 WPA中变得尤为重要起来，它要求用户必须提供某种形式的证据来证明它是合法用户,并拥有对某些网络资源的访问权，并且是强制性的。WPA的认证分为两种:第一种采用8

25、02.1x+EAP的方式,用户提供认证所需的凭证,如用户名密码,通过特定的用户认证服务器(一般是RADIUS服务器)来实现。在大型企业网络中,通常采用这种方式。但是对于些中小型的企业网络或者家庭用户，架设一台专用的认证服务器未免代价过于昂贵,维护也很复杂,因此WPA也提供一种简化的模式,它不需要专门的认证服务器,这种模式叫做WPA预共享密钥(WPA-PSK), 仅要求在每个WLAN节点(AP、无线路由器、网卡等)预先输入个密钥即可实现。只要密钥吻合,客户就可以获得WLAN的访问权。由于这个密钥仅仅用于认证过程,而不用于加密过程,因此不会导致诸如使用WEP密钥来进行802.1I共享认

26、证那样严重的安全问题。加密WPA采用TKIP为加密引入了新的机制，它使用种密钥构架和管理方法, 通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24位增加到48位等方法增强安全性。而且，TKIP利用了 802.1x/EAP构架。认证服务器在接受了用户身份后,使用802.1X产生一个唯一的主密钥处理会话。然后,TKIP把这个密钥通过安全通道分发到AP和客户端,并建立起一个密钥构架和管理系统，使用主密钥为用户会话动态产生一个唯一的数据加密密钥,来加密每一个无线通信数据报文。 TKIP的密钥构架使WEP静态单的密钥变成了 500万亿可用密钥。虽然WPA采用的还是和W

27、EP 一样的RC4加密算法,但其动态密钥的特性很难被攻破。TKIP与WEP 一样基于RC4加密算法,但相比WEP算法,将WEP密钥的长度由 40位加长到128位,初始化向量IV的长度由24位加长到48位,并对现有的WEP进行了改进，即追加了“每发个包重新生成一个新的密钥(Per Packet Key)”、“消息完整性检查(MIC) ”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”四种算法, 极大地提高了加密安全强度。标准工作组认为:WEP算法的安全漏洞是由于WEP机制本身引起的,与密钥的长度无关,即使增加加密密钥的长度,也不可能增强其安全程度,初始化向量IV长度的增加也只能在

28、有限程度上提高破解难度,比如延长破解信息收集时间，并不能从根本上解决问题。因为作为安全关键的加密部分,TKIP没有脱离WEP的核心机制。而且, TKIP甚至更易受攻击,因为它采用了 Kerberos密码,常常可以用简单的猜测方法攻破。另个严重问题是加/解密处理效率问题没有得到任何改进。Wi-Fi联盟和!EEE802委员会也承认,TKIP只能作为种临时的过渡方案,而 IEEE802.1 li 标准的最终方案是基于 IEEE802.1X 认证的 CCMP (CBC-MAC Protocol) 加密技术，即以AES (Advanced Encryption Standard)为核心算法。它采用C

29、BC-MAC 加密模式,具有分组序号的初始向量。CCMP为128位的分组加密算法,相比前面所述的所有算法安全程度更高。消息完整性校验(MIC),是为了防止攻击者从中间截获数据报文、篡改后重发而设置的。除了和802.11 一样继续保留对每个数据分段(MPDU)进行CRC校验外,WPA为802.11的每个数据分组(MSDU)都增加了一个8个字节的消息完整性校验值,这和802.11 对每个数据分段(MPDU)进行ICV校验的目的不同。ICV的目的是为了保证数据在传输途中不会因为噪声等物理因素导致报文出错,因此采用相对简单高效的CRC算法,但是黑客可以通过修改ICV值来使之和被篡改过的报文相吻

30、合，可以说没有任何安全的功能。而WPA中的MIC则是为了防止黑客的篡改而定制的,它采用Michae!算法,具有很高的安全特性。当MIC发生错误的时候，数据很可能己经被篡改，系统很可能正在受到攻击。此时,WPA还会采取系列的对策，比如立刻更换组密钥、暂停活动60 秒等,来阻止黑客的攻击。IEEE 802. 11 i为了进步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容, IEEE802.il工作组开发了作为新的安全标准的IEEE802.11i ,并且致于从长远角度考虑解决IEEE 802.11无线局域网的安全问题EEE 802.1li标准中主要包含加密技术: TKIP (Tem

31、poral Key Integrity Protocol)和 AES (Advanced Encryption Standard)以及认证协议:IEEE802.IX IEEE 802.1 li标准已在2004年6月24美国新泽西的IEEE标准会议上正式获得批准。802.1 li与WPA相比增加了一些特性:AES:更好的加密算法,但是无法与原有的802.11架构兼容,需要硬件升级。 CCMP and WARP:以 AES 为基础。IBSS: 802.Hi 解决 IBSS (Independent Basic Service Set),而 WPA 主要处理 ESS(Extended Servi

32、ce Set)Pre authentication：用于用户在不同的BSS (Basic Service Set)间漫游时,减少重新连接的时间延迟。认证:lli的安全体系也使用802.1 x认证机制,通过无线客户端与radius服务器之间动态协商生成PMK(Pairwise Master Key),再由无线客户端和AP之间在这个PMK的基础上经过4次握手协商出单播密钥以及通过两次握手协商出组播密钥，每个无线客户端与AP之间通讯的加密密钥都不相同,而且会定期更新密钥,很大程度上保证了通讯的安全,其协商流程图如下:图8单播和组播密钥协商过程上面图中的ptk与gtk即单播和组播加解密使用的密钥。CCMP加密:ccmp提供了加密,认证,完整性和重放保护

展开阅读全文