壹佰文創大廈無線網絡設計項目設計無線方案姓名：系別：班級：

指導教師：1項目背景2項目概述3用戶需求4需求分析5產品概述6主要特性無線方案1、項目背景無線方案項目背景

——項目概況壹佰文創大廈是壹佰劇院文化綜合體的重要組成部分，壹佰劇院文化綜合體是清華大學新經濟與新產業聯合打造的國內個三線城市的劇院文化綜合體，同時也是國內民營劇院文化綜合體，以劇院為核心，把劇院運營、文化產業發展和文化體驗消費相結合，形成獨創的“壹佰模式”。壹佰大廈初建，為滿足網絡需求，對其進行網絡設計。天津電子信息職業技術學院項目背景

——用戶需求無線網絡采用集中管理的網絡架構。通過光纖接入互聯網，通過AC和上網行為管理系統進行內部帶寬分配及安全管理。網絡設備選型應當具有適當的冗余度，以滿足區域內的突發用戶上網與后期網絡擴容。主要覆蓋范圍：大廈主體、劇場、沿街商鋪、酒店及周邊。根據無線覆蓋場景來看，覆蓋區域主要有電影院、商戶、辦公區。為了滿足不同場景的覆蓋需要進行不同的無線設計。天津電子信息職業技術學院項目背景

——網絡設備描述型號認證網關GCW1000-A8流控網關GNF6000-A10核心交換機GS-4810-E匯聚交換機GS-3850G-24TS-SPOE交換機GS-2850G-24PS-L無線控制器GW-AC3000-512室內無線APGW-CAP1121N室內無線APGW-CAP1221N天津電子信息職業技術學院項目背景

——網絡應用描述

無線網絡主要承載辦公、顧客上網業務。上網人員可以通過無線方式將數據傳輸到交換網絡，再通過網關接入Internet，從而享受優質的上網服務。天津電子信息職業技術學院2、網絡應用描述無線方案天津電子信息職業技術學院

——方案要點從整體網絡架構來看，網絡分為出口、交換網絡、無線網絡三個層面；為了保證用戶網絡的安全，我們針對各層面的不同特點，設計了全方位的安全方案。

——出口安全DHCPSnooping技術是DHCP安全特性，通過建立和維護DHCPSnooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區域的DHCP信息。防范非法DHCP攻擊在交換機上基于DHCPSnooping技術提供用戶網關IP地址和MAC地址、VLAN和接入端口的綁定，并動態建立綁定關系。對于用戶終端沒有使用DHCP動態獲取IP地址的場景，可采用靜態添加用戶網關相關信息的靜態綁定表。防范ARP攻擊地址掃描攻擊是攻擊者向攻擊目標網絡發送大量的目的地址不斷變化的IP報文。當攻擊者掃描網絡設備的直連網段時，觸發ARPmiss，使網絡設備給該網段下的每個地址發送ARP報文，地址不存在的話，還需要發送目的主機不可達報文。防IP掃描攻擊交換網絡安全天津電子信息職業技術學院

——用戶接入認證

接入認證對于步行街網絡服務的管理、計費、審計等工作具有重要的意義。用戶在使用老街無線網絡之前先執行一系列必要的認證步驟，也是目前大部分公共場所無線網絡通行的做法。從技術上看，目前主流的接入認證技術包括802.1x、Web認證和MAC認證旁路。根據步行街的網絡使用特點，不需要安裝任何客戶端軟件、基于標準Web瀏覽器進行認證無疑是最合適的一種認證方式。建議的接入認證方式：天津電子信息職業技術學院

——無線網絡安全無線AP提供了完善的安全機制，除了沿用業界在安全領域取得的最新成果外（如802.11i、WAPI等），還在無線AP和用戶終端之間加入私有協議，使空口非法接入和截獲數據成為不可能。鑒權無線傳輸系統支持802.1X鑒權，支持RADIUS接口，包括：

WPA-PSKWPA的EAP鑒權，與RADIUS鑒權服務器配合支持PEAP,LEAP等鑒權方式。RSN/WPA2(IEEE802.11i),包括PMKSA緩沖和預鑒權（pre-authentication）安全加密無線覆蓋系統支持以下數據加密算法：WEP40/WEP104：WEP算法已經被廣泛研究并攻擊，由于WEP加密的缺陷，經過WEP加密的數據容易被監聽破譯，一般不再被采用。TKIP：RC4加密，密鑰長度128bit。RC4加密算法可以保證現有系統與新系統之間的兼容性，但是由于RC4算法本身的缺陷，對于安全性較高的場合，一般不推薦使用TKIP算法。CCMP：AES加密，密鑰長度128bit。AES算法經過密碼專家多年的研究，證明了其可靠性。AES算法也是其他安全系統中被廣泛使用的算法。在安全性要求較高的地方，推薦用CCMP算法。天津電子信息職業技術學院

——CCMP的加密報文格式——CCMP的加密流程如下天津電子信息職業技術學院3、產品介紹無線方案天津電子信息職業技術學院

——產品介紹ASIC架構防火墻在網絡層和傳輸層具有無可比擬的流量轉發性能。GNF6000系列產品在汲取ASIC架構狀態檢測防火墻性能優勢的基礎上，在多核架構基礎上創新性地設計了GetckF4架構，通過充分的底層軟件優化設計了專用的數據快速通訊引擎，實現流量的高性能轉發。在傳統UTM中，因為各個功能模塊耦合太強，導致開啟某個慢速功能后，整個系統的性能急劇下降。GNF6000系列產品中引入模塊化安全引擎架構，內容過濾(CF)、反病毒(AV)、入侵防御(IPS)等內容安全功能在邏輯上是獨立的，不會互相影響性能。通過統一的模塊接口，專用的數據快速通訊引擎可以非常方便地獨立調用各個內容安全引擎，而不會因為單個功能負荷過重造成整機性能的下降。天津電子信息職業技術學院——產品特色（1）創新GETCKF4架構提供超高性能和可靠性基于創新的會話標簽和快速轉發技術架構，GNF6000能夠大大提高數據流的檢測和轉發效率，尤其是對于應用層流量，只需要對少量數據包進行深度協議識別和安全檢測，后續流量會基于會話標記直接進行快速轉發，應用層處理能力較傳統防火墻得到了極大提高。在傳統UTM中，因為各個功能模塊耦合太強，導致開啟某個慢速功能后，整個系統的性能急劇下降，且第三方軟件的支持也費時費力，不容易做定制化支持。GNF6000系列產品中引入模塊化安全引擎架構后，給UTM中內容處理的功能提供了統一的接口和優化的數據包流程。在模塊化安全引擎中，CF、AV、IPS等UTM功能在邏輯上是獨立的，不會互相影響性能。同時，模塊化安全引擎架構從物理上使得內容處理功能可以在同一個CPU核上運行，也可以在CPU的多個核上運行，甚至可以在不同的CPU上運行。(2）精準的應用智能識別和流量管控GNF6000系列產品創新性地在傳統UTM基于特征的基礎上，引入了用戶行為智能分析模塊，大大增強了P2P的識別準確率，能夠對幾乎所有主流應用協議進行智能協議識別。另外，利用IPR可以單獨升級的特性，快速響應日益演變的P2P協議。天津電子信息職業技術學院——核心交換機GS-4806-EGS-4803-EGS-4806-EGS-4810-E4800系列交換機是技騰通訊面向大中型園區網、企業網推出的新一代核心路由交換機。該系列產品采用業界先進的分布式多級交換矩陣架構，搭載GETCK自主知識產權的操作系統，在提供高性能的IPv4/v6線速交換服務基礎上，結合不間斷升級、不間斷轉發、優雅重啟、冗余保護等多種高可靠性技術，從而保證了網絡最長時間的不間斷通信能力。源于技騰通訊先進的“GreenTouch”理念及智能芯片節能技術，大幅降低設備的能源消耗，低碳環保，有效降低了運營維護成本，為大中型企業網絡提供了完美的解決方案。4800系列核心交換機有GS-4803-E、GS-4806-E、GS-4810-E三種產品形態，能夠滿足不同規模網絡對設備的端口密度及性能要求。——完善的安全機制設備級安全防護：先進的硬件架構設計，硬件實現對報文的分級調度及保護，支持防范DoS、TCP的SYNFlood、UDPFlood、廣播風暴、大流量等對設備的攻擊；支持命令行分級保護，不同級別用戶擁有不同管理權限；完備的安全認證機制：支持IEEE802.1x、Radius、BDTacacs+等，可為用戶提供完備的安全認證機制。增強的業務安全機制：支持相關路由協議的明文或MD5認證，支持uRPF逆向路由查找技術，可有效控制非法業務；硬件級報文深度檢測和過濾技術，支持對控制報文和數據報文的深度檢測，從而有效隔離非法數據報文，提高網絡系統的安全性。天津電子信息職業技術學院天津電子信息職業技術學院——匯聚交換機GS-3850G-48TC-SGETCK3850G系列交換機是上海格拓信息科技有限公司自主研制的標準三層無阻塞交換機，它提供了多層交換能力和線速的路由轉發能力。GETCK3850G以太網交換機基于高性能的ASIC，采用模塊化的結構設計，用戶可根據需要選取合適的接口數量靈活地配置網絡規模。3850G系列交換機可廣泛用于校園網、政府行業、運營商以及大中型企業網的匯聚層以及中小型網絡的核心。GETCK3850G系列交換機有三款交換機，分別是：GS-3850G-48TC-S、GS-3850G-48PS-S以及GS-3850G-48PH-S。天津電子信息職業技術學院——PoE交換機GS-2850G-16PS-LGS-2850G-16PS-LGETCK2850G-POE系列交換機GETCK2850G-POE系列交換機是技騰通訊采用新一代交換芯片自主研制的高性能的全千兆POE交換機。隨著Wifi技術的不斷發展，802.11b/g將逐漸升級成802.11N，其帶來的影響首先是網絡的無線接入帶寬將由54Mbps發展成300Mbps甚至是600Mbps的帶寬；其次，無線AP所需要的功率也將由傳統的幾W、十幾W上升到二十幾W。此時，百兆POE接入交換機已經不能滿足網絡的需求，而技騰千兆POE交換機已經開始在802.11N項目中嶄露頭角。同時，技騰全線POE交換機都能夠支持802.3at最大30W供電標準，完全可以滿足新一代無線AP的需求。天津電子信息職業技術學院——無線網絡控制器GW-AC3000GW-AC3000-256/512基于一體化工控機平臺，所研發的高性能，高可靠的無線網絡控制器（AC）。GW系列AC具備功能全面、性能穩定、業務豐富等特點，提供強大的WLAN接入管理與控制能力，提供VLAN、Qos、DHCP等業務支持能力，提供用戶接入管理與控制能力，支持用戶漫游及切換等功能，支持鑒權與計費接口。可以根據容量需求獨立部署，也可以與網管平臺配套部署，提供電信級的網絡管理。此外，GW-AC3000不但可以對AP進行管理，也可以對用戶進行管理，簡化了運營網絡的部署和維護。接入無線網絡安全支持WEP/WPA/WAP2/802.1x方式，支持無線IPS/IDS，支持二層用戶的隔離，支持集中的ACL控制；支持多種認證方式：支持802.1x認證，支持MAC地址認證，Portal認證，PPPoE認證與WAPI方式認證；支持非法AP檢測及后續處理，支持無線攻擊防御，支持靜態黑白名單，減少非法用戶對無線網絡沖擊。全面的QoS保證：支持報文分類和流量控制，支持DSCP流量調度，支持端到端的QoS映射——組網圖天津電子信息職業技術學院——室內無線APGW-CAP1221N/AP1221NGW-CAP1221N/AP1221N高性能無線吸頂式APGW-CAP1221N無線吸頂式AP是專為室內公共區域等無線應用環境所設計的無線接入點，采用高通MIMO2×2芯片方案，能為用戶提供一個安全穩定高速的無線網絡。吸頂式的設計，精致美觀，與整體環境相融合。與1021I-W無線墻面式AP，1021I-D無線桌面式AP配合使用可組成完整的室內無線覆蓋系統。此外，GW-CAP1221N采用PoE直接