网站导航 欣泉科技logo

政府机关

人民教育出版社无线网络升级改造案例

发布时间:2018-10-10 14:57 来源:欣泉科技

人民教育出版社无线局域网方案

  根据无线网络需求和无线网络设计原则,结合Ruckus无线系统技术及产品的特点,方案的设计分为:无线组网方式设计、多业务区分设计、网络及用户管理、网络安全防护设计、移动漫游、兼容性等部分。

无线组网方式设计

中型无线局域网(50到250个AP)集中式组网

  如果整个无线系统的AP数量比较多,且大部分也都集中在一定区域内通过以太网交换机相连,即使部分AP不是集中在特定区域内通过以太网交换机相连而是通过其他宽带连接。那么也可以采用两台ZoneDirector3000来组网。该ZoneDirector3000管理所有本地的AP。

人民教育出版社无线局域网的组网设计

  人民教育出版社公司内我们会因应每片区域的特点和需要,部署适当的无线接入点,无线接入点通过有线连接,接入到公司原有的内部网。所有无线接入点均由两台无线控制器统一集中管理,配置、维护和监控。
总的无线系统拓扑图如下:


多业务区分设计

  使用Ruckus的企业级无线网络系统,可以灵活地配置分为不同的无线接入业务类型。因此,在设计上采用无线局域网多SSID技术,每一个SSID对应一个VLAN或业务。在这里,根据使用需求,我们建议在无线局域网内可以设置两个SSID,对应两个VLAN。一个SSID提供给内部员工所用,而另一个SSID可给外来的客户使用。由于用户一般把SSID看成VLAN,所以它们都会惯性地以VLAN概念来划分SSID。其实在一个AP范围内,不管用户连接到那一个SSID它们实际上都是在同一个802.11广播域内,因为无线电波的传输是共享。一个最简单的例子就是AP把不同的SSID名字广播,所以当无线终端在这个AP覆盖范围内启动时,它就能同时看到多个SSID。SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网,并且连接到指定的VLAN,通过核心路由器,还可以对特点的VLAN进行控制。

  为什么要把不同的安全加密协议设置在不同的SSID呢?  802.11的标准内定义了不同加密情况时数据包的封装格式,所以在用户的无线接入使用不同的加密程式,例如:WEP,TKIP(WPA),802.11i(WPA2)等等,不同加密方式不能在同一个SSID内同时存在的。

  用户可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。最常见的做法是使用多个SSID,例如:一个定义为OPEN/Static WEP供客户用,另一个SSID则为TKIP(WPA)专为内部员工使用。未来的发展趋势是新增设一个802.11i SSID让员工以过度的方式逐渐从转移到这个SSID上。不能一步转到802.11i的主因在于很多的无线终端现在尚未支持802.11i,而是不可能把所有的终端一次更换成最新的软件程序。

  在这里,我们设计两个SSID,一个是GUEST,对外的,采用portal员工对访客授权上网的方式,这种好处是使用方便,维护量小。对于流动性大的会议访客,可使用会议室二维码放上上网。并且,可以在核心路由器上将这个SSID对应的VLAN设为只允许上网,不能访问内网,这样安全性更高。另一个SSID定义为对内部员工开外,可考虑采用帐号和密码认证方式,802.1x方式是最常用的,可将帐号密码设于无线控制器内,亦可与原系统外挂的radius服务器结合使用。

无线安全性设计

  在Ruckus无线系统中,可以在多个层面对系统构筑安全防护,其安全性设计如下:

(1)SSID可以根据需要,如用户的种类、应用的种类,在Ruckus无线系统中设置多个SSID,不同的SSID采用不同的安全策略,这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式,该SSID不广播,用户无法看到,防止非法用户的连接企图。SSID还可以选择在某些AP上出现,某些AP上不出现,限制SSID出现的范围也是实现安全性的一种手段。

(2)加密:Ruckus无线系统支持多种加密的方式,二层的加密支持静态WEP、动态WEP、TKIP、WPA、802.11i       多种加密方式,三层的加密支持IPSec VPN加密,这样使得加密的方式更加的灵活,可以根据实际需求进行选择。


标签 无线网络系统升级改造案例
分享到:


400-660-5680周一至周日 9:00-21:00

qq即时通讯

北京市海淀区上地信息路12号北京市海淀留学人员发展园B座三层

版权所有 2017 北京欣泉科技有限公司.保留一切权利.京ICP备16060692号