壹佰文创大厦无线网络设计 答辩PPT精要.pptx

壹佰文创大厦无线网络设计 项目设计 无线方案 姓名： 系别： 班级： 指导教师： 无线方案 1、项目背景 无线方案 项目背景——项目概况 壹佰文创大厦是壹佰剧院文化综合体的重要组成部分，壹佰剧院文化综合体是清华大学新经济与新产业联合打造的国内个三线城市的剧院文化综合体，同时也是国内民营剧院文化综合体，以剧院为核心，把剧院运营、文化产业发展和文化体验消费相结合，形成独创的“壹佰模式”。 壹佰大厦初建，为满足网络需求，对其进行网络设计。 天津电子信息职业技术学院 项目背景——用户需求 无线网络采用集中管理的网络架构。通过光纤接入互联网，通过AC和上网行为管理系统进行内部带宽分配及安全管理。 网络设备选型应当具有适当的冗余度，以满足区域内的突发用户上网与后期网络扩容。 主要覆盖范围：大厦主体、剧场、沿街商铺、酒店及周边。 根据无线覆盖场景来看，覆盖区域主要有电影院、商户、办公区。为了满足不同场景的覆盖需要进行不同的无线设计。 天津电子信息职业技术学院 项目背景——网络设备 描述 型号 认证网关 GCW1000-A8 流控网关 GNF6000-A10 核心交换机 GS-4810-E 汇聚交换机 GS-3850G-24TS-S POE交换机 GS-2850G-24PS-L 无线控制器 GW-AC3000-512 室内无线AP GW-CAP1121N 室内无线AP GW-CAP1221N 天津电子信息职业技术学院 项目背景——网络应用描述 无线网络主要承载办公、顾客上网业务。上网人员可以通 过无线方式将数据传输到交换网络，再通过网关接入Internet， 从而享受优质的上网服务。 天津电子信息职业技术学院 2、网络应用描述 无线方案 天津电子信息职业技术学院 ——方案要点 从整体网络架构来看，网络分为出口、交换网络、无线网络三个层面；为了保证用户网络的安全，我们针对各层面的不同特点，设计了全方位的安全方案。 ——出口安全 DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。 防范非法DHCP攻击 在交换机上基于DHCP Snooping技术提供用户网关IP地址和MAC地址、VLAN和接入端口的绑定， 并动态建立绑定关系。对于用户终端没有使用DHCP动态获取IP地址的场景，可采用静态添加用户网关相关信息的静态绑定表。 防范ARP攻击 地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时，触发ARP miss，使网络设备给该网段下的每个地址发送ARP报文，地址不存在的话，还需要发送目的主机不可达报文。 防IP扫描攻击 交换网络安全 天津电子信息职业技术学院 ——用户接入认证 接入认证对于步行街网络服务的管理、计费、审计等工作具有重要的 意义。用户在使用老街无线网络之前先执行一系列必要的认证步骤，也是目前大 部分公共场所无线网络通行的做法。从技术上看，目前主流的接入认证技 术包括802.1x、Web认证和MAC认证旁路。根据步行街的网络使用特点， 不需要安装任何客户端软件、基于标准Web浏览器进行认证无疑是最合适 的一种认证方式。建议的接入认证方式： 天津电子信息职业技术学院 ——无线网络安全 无线AP提供了完善的安全机制，除了沿用业界在安全领域取得的必威体育精装版成果外 （如802.11i、WAPI等），还在无线AP和用户终端之间加入私有协议，使空口非 法接入和截获数据成为不可能。 鉴权 无线传输系统支持802.1X鉴权，支持RADIUS接口，包括： WPA-PSK ?WPA的EAP鉴权，与RADIUS鉴权服务器配合支持PEAP, LEAP等鉴权方式。 ?RSN/WPA2 (IEEE 802.11i), 包括PMKSA缓冲和预鉴权（pre-authentication） 安全加密 无线覆盖系统支持以下数据加密算法： WEP 40/WEP 104：WEP算法已经被广泛研究并攻击，由于WEP加密的缺陷，经过 WEP加密的数据容易被监听破译，一般不再被采用。 TKIP：RC4加密，密钥长度128 bit。RC4加密算法可以保证现有系统与新系统之间 的兼容性，但是由于RC4算法本身的缺陷，对于安全性较高的场合，一般不推荐使 用TKIP算法。 CCMP：AES加密，密钥长度128 bit。AES算法经过密码专家多年的研究，证明了其 可靠性。AES算法也是其他安全系统中被广泛使用的算法。在安全性要求较高的地方， 推荐用CCMP算法。 天津电子信息职业技术学院 ——CCMP的加密报文格式 ——C