用户在AC上认证通过后，及时通知出口计费网关，认证通过后的IP地址， IP地址 用户在AC上认证通过后，及时通知出口计费网关，认证通过后的IP地址，出口计费网关统计该 AC上认证通过后 IP地址的出口流量和入口流量， IP地址的出口流量和入口流量，进行计费 地址的出口流量和入口流量

H3C无线校园网解决方案 H3C无线校园网解决方案
杭州华三通信技术有限公司
校园网络建设的变迁
4
校园网络建设不同阶段的关注点
3
第四阶段
和谐
第三阶段
运营
2 1
第二阶段
管理
第一阶段
建设
计算机机房建设 HUB、 HUB、交换机 Telnet ……
校园网建设 交换机、 交换机、路由器 SNMP C/S ……
AP
AP

23
链路层安全— 链路层安全 WAPI & 802.11i
WAPI
认证机制 认证方法
双向认证（终端与AP间通过第三方AS相互认证），可防止AP 双向认证 假冒 （方式固定，简单宜行） 方式固定，简单宜行） 基于开放式系统鉴别鉴别过程简单易行；身份凭证为公钥数字 证书 采用椭圆曲线签名算法 产业链成熟度还有差距，2008年7月刚推出首款WAPI手机 产业链成熟度还有差距 不兼容原有802.11i，后续扩展慢 中国WAPI联盟制定，国家支持 联盟制定， 中国 联盟制定
技术成熟度 地址获得方式 数据流封装开销 是否需要客户端 用户的技术要求 IP地址占用 安全程度 用户易用性 页面推送服务
成熟 DHCP协议 小 不需要 低 始终占用地址 较高 好 支持
成熟 DHCP协议或者认证下发 小 需要 较高 不认证则不分配地址 较高 较好 不支持
成熟 DHCP协议或者认证下发 小 需要 高 不认证则不分配地址 非常高 较好 不支持

12
认证计费---基于条件的用户页面推送 认证计费 基于条件的用户页面推送
AAA Portal
教工会议通知
图书馆通知
课程调整通知
校园网
无线控制器
以太网交换机
图书馆
教室
教室
基于热点的页面推送：不同位置弹出不同的提示信息 基于热点的页面推送： 基于用户的页面推送：同一位置不同用户源自出不同的同时信息 基于用户的页面推送：
室内覆盖 室外覆盖 室外覆盖室内 适合接入用户密集的地方， 适合室外公共区域的覆盖， 适合宿舍、家属区等区域的 如图书馆、电子教室、宿舍 如操场、绿地、广场、迎新 补充覆盖，可以使用少量设 等 大道等区域，需要确保信号 备覆盖更多的用户群体 质量
室内覆盖

室外部署
室外部署
8
高密覆盖－ 高密覆盖－网优自动化
校园网中的Rouge AP多为学生私接的的AP，对这类AP的管理可以通过网络技术 进行屏蔽，如所有的以太网端口都必须经过Portal认证，避免直接挂AP方式接入 网络，另外需要通过学校的规章制度进行引导

22
链路层安全—支持国家 安全标准WAPI 链路层安全 支持国家WLAN安全标准 支持国家 安全标准
核心网
AC
3.AC把用户名密码 送到认证系统 2.用户被强制重定向 到Portal页面
汇聚交换机
接入交换机
一次认证数据流 二次认证数据流 教学楼 图书馆 学生宿舍 室外区域
• 用户在无线控制器Portal通过认证后可以访问校园网和局域网所有资源 • 用户需要访问Internet时，放在Internet出口的网关再次进行认证，通过后可以访问 Internet资源并开始计费 • 可以和计费软件厂商合作，提供一次认证解决方案

13
一次认证
Cernet
计费网关
校园一卡通 系统
无线控制器
M&B
图书馆
学生宿舍
M&B
学校操场
同有线一样， 无线用户壹 次认证通过 后，就可以 实现出口收 费，访问校 内网不收费
无线AP接入区 无线AP接入区 AP
无线Mesh/Bridge接入区 无线Mesh/Bridge接入区 Mesh/Bridge
无线控制器
AP
非法设备
列入黑名单 •拒绝接入 拒绝接入 •丢弃报文 丢弃报文 攻击指示 向非法设备发起攻击
data报文 NULL data报文 IV攻击 Weak IV攻击
•当控制器检测到上述的攻击后，会产生告警或者日志，提醒管理员进行相应的 处理。 •特别是无线协议攻击防御可以和动态黑名单配合使用，当控制器检测到攻击时， 可以将发起攻击的无线客户端添加到动态黑名单中，从而保证WLAN网络不再被 该设备攻击。 21
AP1
AP2
只在重叠覆盖区 启动负载均衡
不启动负载分担的区域
智能负载均衡技术
自动调整功率解 决黑洞覆盖问题 教室A 教室
AP
AP
办公室A 办公室
AP AP
AP

9
网络认证方式选择
PORTAL认证 PORTAL认证 有线802.1x认证 有线802.1x认证 802.1x 无线802.1x认证 无线802.1x认证 802.1x
802.11i
双向认证（终端和RadiusServer之间的认证，终 双向认证 端无法确定AP是否合法）， （方式灵活，适用多种场合） 方式灵活，适用多种场合） 基于EAP协议扩展，方式不固定，可基于用户 名密码，SIM卡,数字证书等多种方式 WEP,TKIP,AES 比较成熟。 比较成熟。2007年全球有2.94亿部消费电子产 品内置WiFi芯片 兼容以前，后续扩展协议相对进展快 IEEE制定

15
AC设备高可靠性 设备高可靠性
双主控
控制层面和转发层面分离，单 主控出问题时不影响业务
热补丁
不需要重启设备即可完善软件 功能
1＋1冗余电源 AC N+1备份

16
全网带宽限速
CER NET
AC
1. 2. 3.
AC到AP的流量限速 AC上每个用户的流量限速 AP上接入用户的流量限速
AC
汇聚交换机
动态密钥下发，Hotspot用户隔离 用户隔离 TKIP/AES/椭圆加密（WAPI），智能带宽限速 智能带宽限速
教学区
图书馆
学生宿舍
无线AP接入区 无线AP接入区 AP
有线无线一体化EAD 一体化EAD 一体化
20
链路层安全—常见的 链路层安全 常见的802.11协议攻击 常见的 协议攻击
无线网络由于其物理开放性，必须认证使用认证；推荐采用Portal认证的方式

10
Portal认证 Portal认证
认证计费平台
CENERT 5.用户访问Internet 数据，出口网关进 行二次认证并缴费 4.AC根据认证的结 果，放行或者拒绝 用户访问 1.用户连接无线网 络，获得IP地址 Internet
校内网 管平台
汇聚交 换机
35.0 30.0 Bandwith Avg.Bandwith
教学区
无线AP接入区 无线AP接入区 AP
图书 馆
学生宿舍
25.0 20.0 15.0 10.0 5.0 0.0 1 2 3 4 5 Users 6 7 8 9 10

17
运营级无线校园网安全篇
4.认证计费 认证计费 5.AP供电 供电

5
无缝叠加到现有校园网
认证平台 网管平台
CERNET
INTERNET
AC
核心交换机
核心交换机
AC 汇聚交换机
汇聚交换机
MPP
…
教学区 图书馆
MP MAP 教学区
MP
校园有线网
无线AP接入区 无线AP接入区 AP
图书馆
学生宿舍
无线MESH接入区 无线MESH接入区 MESH
教学区
图书馆
学生宿舍
802.11 协议 攻击 加解密
无线AP接入区 无线AP接入区 AP
19
运营级无线校园网安全架构
网管平台 计费平台
核心网
业务平台
有线无线一体化网络拓扑 非法设备监控、定位和告警，设备信道调整告警 有线无线安全策略 安全策略在无线控制器统一部署 安全策略 802.1x/PSK/MAC/Portal多种认证方式 多种认证方式的混合接入，升 多种认证方式 级支持WAPI ARP攻击 攻击和DHCP Server外挂，ARP Proxy 防ARP攻击 AC和AP间的CAPWAP隧道下行流量限速 流量限速 无线安全插卡,防攻击 防攻击和提供SSL/IPSEC VPN 防攻击 AP身份认证\WIPS\WIDS AP身份认证\WIPS\ 身份认证 全系列PoE交换机端口隔离 端口隔离

11
同现有计费系统互通
一卡通系统
SUN\IBM\Microsoft LDAP 一卡通系统
传统认证计费系统
E邮、城市热点 邮
AC
传统认证计费系统
H3C认证计费系统 认证计费系统
iMC系统 系统
一卡通系统： 一卡通系统：计费网关和无线控制器都使用LDAP协议同一卡通系统对接，目前可以和Sun、IBM以及微软LDAP服 务器以及在此基础上二次开发的一卡通系统对接 传统认证计费系统： 传统认证计费系统：无线控制器使用Radius协议同计费网关通信，直接使用计费网关的用户数据系统，有线无线 统一认证计费，目前可以和城市热点、亿邮等计费系统对接 iMC： iMC：H3C iMC智能管理中心，为用户提供完整的认证计费方案
无线报文的Flood攻击 无线报文的Flood攻击 Flood
探测请求报文（Probe request）； 认证报文（Authentication）； 连接请求（Association）； 去认证报文（De-authentication）; 去连接报文（Disassociation）;