H3C无线校园网解决方案杭州华三通信技术有限公司校园网络建设的变迁第一阶段建设计算机机房建设HUB、交换机Telnet……1校园网络建设不同阶段的关注点第二阶段管理校园网建设交换机、路由器SNMPC/S……2第三阶段运营校园网运营AAARadius……3第四阶段和谐可运营、可管理无线、IPv6SOA……4…汇聚交换机核心交换机AC无线校园网采用瘦AP架构,AC部署在核心网,AP即连即用,无线网络无缝叠加到现有有线网络,降低部署难度汇聚交换机INTERNET认证平台核心交换机AC需要部署无线的地点网络实验室图书馆教室、宿舍体育场迎新大道会议室、礼堂、学术报告厅、宾馆室外绿地部署篇—AP部署方式室内覆盖室外部署室内覆盖室外覆盖室外覆盖室内适合接入用户密集的地方,如图书馆、电子教室、宿舍等适合室外公共区域的覆盖,如操场、绿地、广场、迎新大道等区域,需要确保信号质量适合宿舍、家属区等区域的补充覆盖,可以使用少量设备覆盖更多的用户群体室外部署(双频AP,双频可都做覆盖也可以全部回传),覆盖操场等校区的室外空间双频室内放装实现高密覆盖降低AP和客户端发射功率,实现同频重叠最小化采用2.4G和5G混合部署,增加用户接入能力802.11a信道802.11b/g信道1&63&113&118&11&65&63&118&61&13&11电子化教室图书馆宿舍楼高密覆盖-网优自动化AP1AP2智能负载均衡技术不启动负载分担的区域只在重叠覆盖区启动负载均衡APAPAPAPAP教室A办公室A自动调整功率解决黑洞覆盖问题室外覆盖室内对于学生宿舍楼、家属楼等区域,如果已经提供有线接入方式,无线可以作为有线的补充通过室外覆盖室内区域需要设备量少,但提供的接入密度有限,只适合作为补充接入方式地址占用始终占用地址不认证则不分配地址不认证则不分配地址安全程度较高较高非常高用户易用性好较好较好页面推送服务支持不支持不支持无线网络由于其物理开放性,必须认证使用认证;推荐采用Portal认证的方式认证•用户在无线控制器Portal通过认证后可以访问校园网和局域网所有资源•用户需要访问Internet时,放在Internet出口的网关再次进行认证,通过后可以访问Internet资源并开始计费•可以和计费软件厂商合作,提供一次认证解决方案室外区域AC教学楼图书馆学生宿舍接入交换机认证计费平台汇聚交换机一次认证数据流CENERTInternet核心网二次认证数据流1.用户连接无线网络,获得IP地址2.用户被强制重定向到Portal页面3.AC把用户名密码送到认证系统4.AC根据认证的结果,放行或者拒绝用户访问5.用户访问Internet数据,出口网关进行二次认证并缴费同现有计费系统互通一卡通系统:计费网关和无线控制器都使用LDAP协议同一卡通系统对接,目前可以和Sun、IBM以及微软LDAP服务器以及在此基础上二次开发的一卡通系统对接传统认证计费系统:无线控制器使用Radius协议同计费网关通信,直接使用计费网关的用户数据系统,有线无线统一认证计费,目前可以和城市热点、亿邮等计费系统对接iMC:H3CiMC智能管理中心,为用户提供完整的认证计费方案AC一卡通系统SUN\IBM\MicrosoftLDAP传统认证计费系统E邮、城市热点H3C认证计费系统iMC系统一卡通系统传统认证计费系统校园网图书馆无线控制器以太网交换机教室图书馆通知课程调整通知教室教工会议通知基于热点的页面推送:不同位置弹出不同的提示信息基于用户的页面推送:同一位置不同用户弹出不同的同时信息接入区M&B学校操场M&B校园一卡通系统计费网关无线控制器用户在AC上认证通过后,及时通知出口计费网关,认证通过后的IP地址,出口计费网关统计该IP地址的出口流量和入口流量,进行计费同有线一样,无线用户壹次认证通过后,就可以实现出口收费,访问校内网不收费部署篇—AP供电H3C3600PWRH3C5500PWRH3C5600PWRH3C3100EIPWRAP集中部署的室内区域,使用PoE供电相对于本地供电,PoE部署更方便和更安全,能够通过网管远程控制AP的供电和断电室外AP根据不同情况,可以采用本地220V供电,也可以采用PoE供电ACL2/L3IPIMC分支机构H3C5600PWRTelnet管理PoE供电设备高可靠性双主控控制层面和转发层面分离,单主控出问题时不影响业务热补丁不需要重启设备即可完善软件功能1+1冗余电源ACN+1备份攻击无线相关安全隐患:1.私接AP2.不当设置的AP3.客户端不当连接4.非法连接5.Adhoc网络6.MAC伪造7.蜜罐AP8.拒绝服务隧道下行流量限速无线安全插卡,防攻击和提供SSL/IPSECVPNAP身份认证\WIPS\WIDS全系列PoE交换机端口隔离动态密钥下发,Hotspot用户隔离TKIP/AES/椭圆加密(WAPI),智能带宽限速有线无线一体化EAD有线无线一体化网络拓扑非法设备监控、定位和告警,设备信道调整告警有线无线安全策略在无线控制器统一部署802.1x/PSK/MAC/Portal多种认证方式的混合接入,升级支持WAPI防ARP攻击和DHCPServer外挂,ARPProxy链路层安全—常见的802.11协议攻击无线报文的Flood攻击探测请求报文(Proberequest);认证报文(Authentication);连接请求(Association);去认证报文(De-authentication);去连接报文(Disassociation);NULLdata报文WeakIV攻击•当控制器检测到上述的攻击后,会产生告警或者日志,提醒管理员进行相应的处理。•特别是无线协议攻击防御可以和动态黑名单配合使用,当控制器检测到攻击时,可以将发起攻击的无线客户端添加到动态黑名单中,从而保证WLAN网络不再被该设备攻击。接收空口信息设备信息报告AP非法设备无线控制器向非法设备发起攻击设备过滤•拒绝接入•丢弃报文列入黑名单攻击指示,对这类AP的管理可以通过网络技术进行屏蔽,如所有的以太网端口都必须经过Portal认证,避免直接挂AP方式接入网络,另外需要通过学校的规章制度进行引导FITAP方案可以监听RougeAP,发现RougeAP后,可以采取如下的措施:1.告警,及时通知管理人员进行干预2.对RougeAP进行攻击•拒绝接入•丢弃报文周期性监听空口信息设备信息报告AP非法设备无线控制器向非法设备发起攻击设备过滤列入黑名单攻击指示链路层安全—RougeAP检测学生在宿舍区的私接AP设备,对校园网WLAN设备产生干扰。链路层安全—支持国家WLAN安全标准WAPIASAAAserverACSSID:802.11iSSID:WAPISSID:WAPISSID:802.11iAPAPAPIP网络支持标准证书鉴别模式支持Radius扩展鉴别模式可对用户授权和计费支持WAPI与802.11i用户共存支持快速漫游链路层安全—WAPI&802.11iWAPI802.11i认证机制双向认证(终端与AP间通过第三方AS相互认证),可防止AP假冒双向认证(终端和RadiusServer之间的认证,终端无法确定AP是否合法),认证方法(方式固定,简单宜行)基于开放式系统鉴别鉴别过程简单易行;身份凭证为公钥数字证书(方式灵活,适用多种场合)基于EAP协议扩展,方式不固定,可基于用户名密码,SIM卡,数字证书等多种方式加密采用椭圆曲线签名算法WEP,TKIP,AES成熟度产业链成熟度还有差距,2008年7月刚推出首款WAPI手机比较成熟。2007年全球有2.94亿部消费电子产品内置WiFi芯片兼容性不兼容原有802.11i,后续扩展慢兼容以前,后续扩展协议相对进展快国家政策中国WAPI联盟制定,国家支持IEEE制定•H3C产品同时支持WAPI和802.11i•支持标准证书鉴别模式•支持Radius扩展鉴别模式可对用户授权和计费•支持WAPI与802.11i用户共存•支持快速漫游:11-11-11-11-11-11GIRL:192.168.102.1MAC:11-11-11-21-21-21GW:192.168.1.1MAC:00-E0-FC-10-01-25GIRL:192.168.102.1MAC:00-E0-FC-10-01-23你是谁?动态授权合格用户不同用户享受不同的网络使用权限你安全吗?你可以做什么?不合格进入隔离区强制加固安全认证合法用户隔离区非法用户拒绝入网身份认证接入请求IntranetInternet可对网络访问进行审计无线EAD解决方案整网安全---安全无线校园网大容量无线控制器+安全插卡实现基于业务的数据识别,为校园网的业务开展提供有力的支持大容量AC:•大容量无线控制器+安全插卡•一体化EAD解决方案核心网运营计费平台学校B教学区图书馆学生宿舍ACBRAS汇聚交换机学校A教学区图书馆学生宿舍教学区图书馆学生宿舍学校C整网安全—万兆多业务无线控制中心AFCACG应用控制防火墙/VPNIPS负载均衡防病毒/NAMSSLVPNOAP安全插卡无线用户服务器ACAP非法报文检测和过滤*CPU无线、IPS、IDS、FWSecur