南京邮电大学无线网络方案建议书.doc

无线网络方案建议书友讯电子（上海）有限公司2007年7月目 录第一部分：友讯网络公司介绍及无线业绩4第二部分D-LINK教育行业无线解决方案72 .1、无线网络建设的意义和必要性72. 1. 1、有线局域网已成为移动办公的束缚72. 1. 2、无线局域网的特点82. 1. 3、大学无线网络应用的环境及需求82. 2、大学无线网络安全保障102. 2. 1、无线网络的安全问题102. 2. 2、无线网络的安全解决方法1023 WLAN网络管理1524 WLAN认证计费系统说明1625、无线宽带接入解决方案模型182. 5. 1、热点地区模型182. 5. 2、楼宇WLAN室内应用模型192. 5. 3、WLAN无线校园网应用模型20第三部分 D-LINK认证网关与计费系统介绍2131、DRS系统产品介绍2232、DSA认证计费管理网关介绍2333、D-LINK DRS认证计费管理发布监控系统介绍2634、D-LINK DRS的Radius Server2635、D-LINK DRS计费管理发布监控系统2736、用户自服务系统、用户自注册系统3037、校园一卡通接口，IDS系统接口3038、D-LINK DRS客户端软件3139、D-LINK DRS LRMS日志记录管理系统32第四部分 流量控制产品介绍3341、什么是P2P？3342目前P2P控制的技术和手段344. 2. 1、协议端口的控制344. 2. 2、用户流量带宽的管理控制354. 2. 3、用户会话数的控制354. 2. 4、P2P应用层的控制364. 2. 5、基于应用层策略化流量管理控制384. 2. 6、基于行为的流量控制40第五部分 南京邮电大学无线网络概述445. 1 工程建设目的445. 2 无线网络部署范围445. 3 建议解决方案475. 3. 1、室内WLAN的解决方案485. 3. 2、室外WLAN的解决方案495. 3. 3、无线交换机的系统说明505. 3. 4、D-VisionNMS网管系统解决方案简介绍535. 3. 5、D-LINK教育网DRS认证计费系统应用方案59方案一：采用D-LINK DRS系统的BAS+WEB认证典型应用59方案二：802.1x交换机和BAS混合认证或单独采用802.1X交换机认证62方案三：采用802.1x交换机和BAS进行二次认证65方案四：采用PPPoE方式接入67第六部分 产品介绍726. 1、DWS-3024二层千兆无线交换机726. 2、DWL-8500无线交换 108 AG接入点786. 3、DWL-2700AP室外2.4GHz无线接入点/网桥836. 4、D-Vision网管系统876. 5、DSA-4000宽带接入网关906. 6、D-Link DRS-5000认证计费及管理运营平台966. 7、DPF-500流量控制设备99第七部分：产品预算清单及报价104第一部分：友讯网络公司介绍及无线业绩一、友讯公司简介公司介绍友讯科技股份有限公司(D-Link Corporation)，成立于1986年，并于1994年10月在台湾证券交易所挂牌上市，为台湾第一家公开上市的网络公司。本公司位于台湾新竹科学工业园区，以自有D-Link品牌行销网络产品遍及于全世界100多个国家。友讯是位居世界领导品牌的网络设备制造商，致力于局域网(LAN)及宽频网络(Broadband)设备之设计、制造及行销，。友讯为一家高速成长的公司，2001年营业额达到人民币50亿元。友讯成功的关键在于产品价格及品质受到全球的肯定，以及与客户保持稳定关系。友讯对品质及价格的竞争优势来自于不断的创新、努力、研发及降低生产成本。长达15年之久对客户的全力支持，树立了友讯以服务至上的形象。友讯的网络产品特别在电信、教育、中小型企业、SOHO及家庭网络市场成长迅速。使之在全球主要市场均占有了重要的一席之地。友讯在研究发展上一直不遗馀力，在美国、中国大陆、台湾及印度皆设有研究发展中心。另外，在中国大陆、台湾、及印度设立自动化的生产工厂，在全球二十三个国家设立四十多个销售服务的分公司，使D-Link品牌行销全世界百余国家。中国目前是全球网络及通讯设备最有潜力的市场之一，随着对世界经济的开放，中国近年来高速成长。D-Link于1996年首先在四川成都成立研发中心，吸收当地充沛的优秀人才，共同研究开发更新更好的产品。1998年在广东东莞、2002年在江苏吴江，友讯设立生产基地以突出本地生产、本地化服务，并将在2002年底再在浙江嘉善设立生产基地，体现出将祖国大陆作为“Home Market”的战略。从在成都设立研发中心、在东莞、吴江设立生产基地，显示出D-Link不断投资发展中国市场的长期经营的战略。 D-Link一步步稳健踏实地走来，逐步建立行销通路、服务体系、生产制造及研发的优势，以奠定D-Link在中国网络设备市场领航者的地位。二、友讯公司WLAN产品应用情况运营商用户：江苏省移动公司新疆自治区数据局山东省通信公司江苏省移动公司安徽省移动公司内蒙省移动公司河南省移动公司海南省移动公司广东联通公司浙江联通浙江电信上海电信江苏电信中国网通等政府机关：新疆自治区人民政府办公楼等教育行业：四川教委及相关学校天津教委及相关学校北京西城区教委及相关的中小学等酒店行业：北京饭店北京香格里拉饭店北京松鹤酒店浙江世贸大酒店宁波南苑饭店浙江天鸿饭店杭州电信及大客户展示厅杭州西湖博览会浙江萧山国际机场浙江世贸大酒店浙江天鸿饭店浙江世界贸易中心宁波南苑饭店温州机场余姚塑料城温州国贸酒店温州全国轻工业博览会温州国际展览中心友讯公司的WLAN产品在目前在美国的销量排名第一，中国内地销售的WLAN产品均通过了信息产业部之无线电监管委员会的认证,国际权威咨询机构IDC 2003年度无线调查报告中指出， D-Link以15.7的市场占有率在中国无线市场竞争中占据头名，雄踞2003年中国无线设备销售排行榜的首位。第二部分D-Link教育行业无线解决方案当前校园网建设的发展趋势和需求在“科教兴国”的政策的指引下，教育信息化建设得到了迅猛的发展。在近两年，各学校、教育机关和相关机构的网络建设进入新一轮发展高潮。随着经济建设的高速发展，各大中小学校陆续建设起符合当今教学要求的校园网络。在相对发达地区，不少学校甚至对已建立校园网络进行改造升级。随着发展，新的应用需求也层出不穷，对网络建设、改造有了更高的需求：个人数据通信的发展，功能强大的便携式数据终端以及多媒体终端得到了广泛的应用。为了实现使用户能够在任何时间、任何地点均能实现数据通信的目标，要求传统的计算机网络由有线向无线、由固定向移动、由单一业务向多媒体发展。无线时代正在来临，这意味着可以在任何便于工作的地方，如在会议室、医疗室、教室、餐厅、实验室、办公室以及在室外，享受工作和学习的自由和灵活性。无线局域网具有的高灵活性和可靠性正在成为每个企业根本的、必备的合作工具。2 .1、无线网络建设的意义和必要性 2. 1. 1、有线局域网已成为移动办公的束缚随着Internet的高速发展，局域网也越来越普及，不仅公司、企业、事业单位建立了局域网，许多办公室、家庭里面的小型局域网也纷纷的出现。这种局域网一般都是需要综合布线的有线网络，它的出现解决了人们网络联通的问题，大大提高了办公效率，并且数据传输速率也日趋加快，但同时也存在着许多问题。有线局域网大多将基础布线和设备隐蔽在墙壁之内或者埋在地下，因此综合布线将是非常令人头痛的事情。设计线路的走向、开挖布线槽、敷设线路、调试等等，既耗费人力财力又浪费大量时间。不但如此，布线之后的线路维护、线路监测等事情更是费时费力。而且，这种传统的有线网络不能摆脱线路的束缚，不能根据实际情况随意的改变网络的结构，更不能实现现代化移动办公的需要，也就不能进一步提高网络办公的工作效率。2. 1. 2、无线局域网的特点无线局域网的出现使有线网络所遇到的问题迎刃而解，它可以使用户任意对有线网络进行扩展和延伸。只是在有线网络的基础上通过无线接入器、无线网桥、无线网卡等无线设备使无线通信得以实现。在不进行传统的布线的同时，提供有线局域网的所有功能，并能够随着用户的需要随意的更改扩展网络，实现移动应用。在校园无线局域网内可以使用一个或几个无线交换机（最多可以使用4台）来管理大量的AP或者用于混合有线/无线局域网。当AP的增加时，就可增加无线交换机而形成一个大型的集中管理系统。由于扩展简便，支持下一代高速AP的千兆速率和支持企业范围内网间漫游的三层路由，DWS-3024/3026提供一个架构，简化并且一体化了一个特别复杂的WLAN环境，轻松的为将来的技术升级准备了一个现有的网络。 无线局域网具有传统有线网络无法比拟的特点：ü 灵活性，不受线缆的限制，可以随意增加和配置工作站；ü 低成本，无线局域网不再需要大量的工程布线，同时节省了线路维护的费用；ü 移动性，不受时间、空间的限制，用户可在网络中漫游；ü 易安装，对于有线网络来说，无线局域网的组建、配置和维护更为容易。而且，通信范围不受环境条件的限制，网络传输覆盖范围大大的拓展，室外可以传输几十公里、室内可以传输数十、几百米。在网络数据传输方面也有与有线网络等效的安全加密措施。2. 1. 3、大学无线网络应用的环境及需求随着Internet应用的迅猛发展，以及便携机、PDA（Personal Data Assistant）等移动智能终端的使用日益增长，无线网络的发展和应用成为必然趋势。随时随处自由接入Internet、能享受更多的业务、安全且有保障的网络成为下一代网络新的需求。在接入速率和适应环境上与3G技术互为补充的WLAN（Wireless Local Area Network）无线局域网迅猛发展，成为新一代高速无线接入网络。无线局域网被看作传统有线网络的延伸，在某些环境还可以替代传统的有线网络。与有线网络相比，无线局域网有可移动性，设备安装快速、简单、灵活，适合应用在频繁移动和变化的动态环境中，投资回报高等优越性。在大学校园建设校园无线局域网，具有以下重要意义：提升大学校园网络环境，推动大学校园信息化建设鉴于无线网络的优势以及下一代网络的发展趋势，国内外很多大学和研究机构都建设了自己的无线局域网，在其上进行应用与研究。北京大学于2002年9月打造了我国第一个校园无线局域网，实现无线网络覆盖整个北大校园。清华大学也在计划建设自己的校园无线局域网。复旦大学已经在其管理学院开设了校园无线局域网。此外国内很多大学也都有建设校园无线局域网的计划。大学校园一直走在高校信息化建设的前列，各项软硬件设施不断加强，校园网建设已初具规模。随着211工程创建国内一流大学项目的实施和深入，学术氛围日益浓厚，对外交流日趋频繁，各种学术活动越来越多地在学校举行，网上教学与交流活动日益丰富。广大师生对校园网的要求也随之不断的提高，越来越多的师生希望可以随时随地访问网络。因此，从当前网络和信息化建设的发展趋势考虑，在大学校园建设校园无线局域网、实现一定范围的无线覆盖迫在眉睫。为大型科研活动提供无线的实验环境，进一步拓展研究空间由于无线网络是下一代网络发展所必然支持的一个重要部分，许多科研项目都可以扩展到无线网络上，例如，校园无线网络的建设将为一些科研项目提供应用和实验的环境，为流媒体应用（视频会议）提升成为更先进的无线应用方式提供服务。为无线网络技术研究提供必要的实验床与无线网络相关的研究领域正成为当前的一个研究热点，例如Mobile IP等，它们同样需要一个大范围的无线网络来进行实验和研究。如果有了校园无线局域网，就可以为我校的科研活动提供一个有实际应用价值的试验环境和更广阔的研究空间。2. 2、大学无线网络安全保障无线网络的架设与规划已为近来非常热门的话题，无线网络相关产品越来越成熟，而价格方面也非常地有吸引力，所以现在无线网络的应用，在大多数的企业都可以看的到。 但是，无线网络的方便性却带给企业在网络安全上的另一个问题-"使用方便VS安全性"。2. 2. 1、无线网络的安全问题"无线"网络，顾名思义就是利用"空气(空间)"取代"网络线"来传递数据，无线网络使用者只要在无线电波的涵盖范围内，就可以如同已往使用网络线来连上网络一样方便; 换句话说，"任何人"在"电波范围内(可能是不同层楼或停车场)"也一样可以使用"企业内部网络"了! 而且"任何人"也可以很方便的"看到""其它人"在传输的数据。 从另一个角度来看，会不会有人私自把AP接上现有的网络上，自己"创造"一个私人的无线网络环境呢? 以上突显无线网络需解决的三个问题: 1.确定无线网络的使用者是被允许的(认证使用者)。 2.数据传输时需要"保密(加密)"。 3.防止未受管制的无线网络基地台连上网络。2. 2. 2、无线网络的安全解决方法SSID服务识别码SSID(服务识别码)是一个可供设定的字符串，用来区分不同的无线网络区域，设定正确SSID的使用者才可以跟无线网络基地台(Wireless Access Point)通讯。友讯网络所提供的AP/网桥产品均支持SSID广播的开启和关闭功能，若关闭SSID广播，无线客户端若不知道SSID(服务识别码)内容则无法联入无线网络，从而增加了网络的安全性。有线等价加密 (WEP)由于无线局域网的特性，保护对网络的物理访问比较困难。与需要物理连接的有线网络不同，无线 AP 范围内的任何人都可以为所欲为地发送和接收帧以及侦听发送的其他帧，这使得无线局域网帧很容易被窃听和远程探查。有线对等保密 (WEP) 由 IEEE 802.11 标准定义，旨在提供与有线网络等效的数据机密性。WEP 通过加密无线节点之间发送的数据来提供数据机密性服务。在 802.11 帧的 MAC 标头中设置 WEP 标志即表示对 802.11 帧进行了 WEP 加密。WEP 通过在无线帧的加密部分包括完整性校验值 (ICV) 来提供随机错误的数据完整性。大多数厂家的WEP密钥加密长度支持64或128位，而友讯网络所提供的WLAN产品不仅支持64或128位加密，更可以支持高达256位的WEP加密。IEEE 802.1XIEEE 802.1X 标准定义了基于端口的网络访问控制，用于为以太网提供经过身份验证的网络访问。这种基于端口的网络访问控制使用交换式局域网基础结构的物理特性对连接到局域网端口的设备进行身份验证。如果身份验证过程失败，则拒绝它们访问该端口。尽管此标准是为有线以太网设计的，不过它已经得到了修改，可以在 802.11 无线局域网上使用。IEEE 802.1X 定义了以下术语：端口访问实体、身份验证者、申请者、身份验证服务器下图显示了无线局域网的这些组件。IEEE 802.1X 身份验证的组件端口访问实体局域网端口又称端口访问实体 (PAE)，是支持与端口关联的 IEEE 802.1X 协议的逻辑实体。PAE 可以是身份验证者角色、申请者角色或者同时是这两种角色。身份验证者身份验证者是一个局域网端口，该端口在允许访问可通过此端口访问的服务前强制执行身份验证。对于无线连接，身份验证者是无线 AP 上的逻辑局域网端口，基础结构模式中的无线客户端通过此端口获得对其他无线客户端和有线网络的访问。 申请者申请者也是一个局域网端口，此端口请求访问可通过身份验证者访问的服务。对于无线连接，申请者是无线局域网适配器上的逻辑局域网端口，该端口通过将自身与身份验证者关联并向身份验证者验证它自身来请求对其他无线客户端和有线网络的访问。无论对于无线连接还是有线以太网连接，申请者和身份验证者都通过逻辑或物理的点到点局域网段进行连接。身份验证服务器为验证申请者的凭据，身份验证者使用了身份验证服务器。身份验证服务器代表身份验证者检查申请者的凭据，然后对身份验证者做出响应，指示是否授权申请者访问身份验证者的服务。受控端口和非受控端口身份验证者基于端口的访问控制定义了以下不同类型的逻辑端口，这些端口通过单个物理局域网端口访问有线局域网：非受控端口 非受控端口允许身份验证者（无线 AP）与有线网络上的其他联网设备之间进行不受控制的交换，无论无线客户端的授权状态如何。无线客户端发送的帧从不使用非受控端口发送。受控端口 只有在无线客户端得到 802.1X 的授权时，受控端口才允许在无线客户端和有线网络之间发送数据。在进行身份验证之前，交换机打开，并且无线客户端和有线网络之间不会转发任何帧。在使用 IEEE 802.1X 成功验证无线客户端后，交换机关闭，并且可以在无线客户端和有线网络上的节点之间发送帧在执行身份验证的以太网交换机上，身份验证一旦完成，有线以太网客户端就可以将以太网帧发送到有线网络。交换机使用以太网客户端连接到的物理端口来识别特定有线以太网客户端的通信。通常，以太网交换机上的一个物理端口仅连接一个以太网客户端。由于多个无线客户端竞相访问同一信道并使用同一信道发送数据，因此需要扩展基本 IEEE 802.1X 协议，以使无线 AP 能够识别特定无线客户端的安全通信。这由无线客户端和无线 AP 通过相互确定每客户端单播会话密钥来完成。只有经过身份验证的无线客户端知道它们的每客户端单播会话密钥。如果成功的身份验证未能关联有效的单播会话密钥，无线 AP 将丢弃从无线客户端发送的通信。 为了对 IEEE 802.1X 提供一个标准的身份验证机制，我们选择了可扩展身份验证协议 (EAP)。EAP 是一个基于点对点协议 (PPP) 的身份验证机制，它已经得到了修改，可在点对点局域网段上使用。EAP 消息通常作为 PPP 帧的有效负载发送。为了修改 EAP 消息使其能够通过以太网或无线局域网段发送，IEEE 802.1X 标准定义了 EAP over LAN (EAPOL)，这是封装 EAP 消息的一种标准方法。目前友讯网络所提供的全线WLAN产品均支持802.1X身份验证标准。WPA (Wi-Fi Protected Access)WPA包含了认证、加密和数据完整性校验三个组成部分，是一个完整的安全性方案。WPA的认证分为两种。第一种采用802.1x+EAP的方式，用户提供认证所需的凭证，如用户名密码，通过特定的用户认证服务器（一般是RADIUS服务器）来实现。在大型企业网络中，通常采用这种方式。但是对于一些中小型的企业网络或者家庭用户，架设一台专用的认证服务器未免代价过于昂贵，维护也很复杂，因此WPA也提供一种简化的模式，它不需要专门的认证服务器。这种模式叫做WPA预共享密钥(WPA-PSK)，仅要求在每个WLAN节点(AP、无线路由器、网卡等)预先输入一个密钥即可实现。只要密钥吻合，客户就可以获得WLAN的访问权。WPA采用TKIP为加密引入了新的机制，它使用一种密钥构架和管理方法，通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24位增加到48位等方法增强安全性。而且，TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后，使用802.1x产生一个唯一的主密钥处理会话。然后，TKIP把这个密钥通过安全通道分发到AP和客户端，并建立起一个密钥构架和管理系统，使用主密钥为用户会话动态产生一个唯一的数据加密密钥，来加密每一个无线通讯数据报文。TKIP的密钥构架使WEP静态单一的密钥变成了500万亿个可用密钥。虽然WPA采用的还是和WEP一样的RC4加密算法，但其动态密钥的特性很难被攻破。消息完整性校验(MIC)，是为了防止攻击者从中间截获数据报文、篡改后重发而设置的。除了和802.11一样继续保留对每个数据分段(MPDU)进行CRC校验外，WPA为802.11的每个数据分组(MSDU)都增加了一个8个字节的消息完整性校验值，这和802.11对每个数据分段(MPDU)进行ICV校验的目的不同。ICV的目的是为了保证数据在传输途中不会因为噪声等物理因素导致报文出错，因此采用相对简单高效的CRC算法，但是黑客可以通过修改ICV值来使之和被篡改过的报文相吻合，可以说没有任何安全的功能。而WPA中的MIC则是为了防止黑客的篡改而定制的，它采用Michael算法，具有很高的安全特性。当MIC发生错误的时候，数据很可能已经被篡改，系统很可能正在受到攻击。此时，WPA还会采取一系列的对策，比如立刻更换组密钥、暂停活动60秒等，来阻止黑客的攻击。友讯网络所提供的主流WLAN产品均支持WPA，而其他产品也可以通过软件升级支持WPA。MAC地址过滤AP还可以通过设置MAC地址过滤功能允许或拒绝某些特定的无线网卡联入无线网络，从而增加网络的安全性。友讯网络所提供的全线WLAN产品均支持MAC地址过滤功能。无线客户端隔离功能友讯网络所提供的企业运营级AP支持无线客户端隔离功能，非常适合在热点地区部放，使无线用户在轻松上网的同时，最大限度的保持安全性。23 WLAN网络管理根据我们对无线宽带网络的了解，在网络的管理方面，随着宽带网络的建设的不断扩大，网络管理的任务也在不断的增加，各地市如果采用传统的集中式管理，必将造成网络管理对网络性能的影响和故障发现时间的扩大，所以，针对现在日益扩大的宽带城域网络，友讯网络提供了新兴网络管理理念D-Vision分布式网络管理系统；它支持多种网络管理平台，如、HP OPENVIEW等，并且也能够将其他厂家的宽带网络管理系统接入其中。对于无线网络设备、LAN SWITCH、IPDSLM等支持SNMP的设备都能够进行管理。D-Vision分布式宽带网管系统是一集中式管理与监控、分步式实施的综合网络管理系统，主要针对宽带接入网管理存在的问题，实现对宽带接入网络设备的监控与管理，保障粗放型宽带业务运营。D-Vision能有效地实现对大规模的宽带接入网设备进行集中监控以及分步管理，使复杂的宽带接入网络管理变得简单与智能化，保证了宽带接入网的正常运行，极大程度地减少了宽带接入网络维护费用。同时，实现了宽带网络业务的简单运营，有效地保障了宽带网建设投资回收。对于大中型网络来说，不但要考虑对当前用户的管理，减少运营维护的成本，而且要充分为以后的增值业务、应用内容的开展打下基础，所以，在系统的选用上很重要的两点需求就是扩充性和可管理性。可管理性主要实现对整个网络的监控和对用户的管理，尽量减少问题的发生，在发现问题时能及时解决，实现对整个网络的可管理，把运维成本减到最低。扩充性就是要充分考虑以后业务发展的需要，为未来的网络应用奠定基础。增值业务以后将会是运营商的增长点，如果初始的系统不能支持以后的发展，或者不能在需要时实现平滑的升级和过渡，将会造成重复投资，在竞争中使自己处于不利的位置。要做到这一点，在现在的系统中就要尽量采用公认的标准设备或协议软件，这样才能跟上不断发展变化的技术和需求。24 WLAN认证计费系统说明目前在国内外，无线上网的需求发展飞速，无线局域网（WLAN）的建设也如火如荼。例如：许多国际机场、国际会议中心、星级酒店、高档写字楼、智能小区、咖啡厅等等，都可以提供无线上网的服务；来往流动的人们只要利用随身携带的笔记本电脑或PDA掌上电脑，即可插入无线网络卡遨游网络世界，实现随时随处的实时移动数据传输、收发E-mail、网络资源享用、网上消费等。为了让WLAN得到健康有序地发展，WLAN用户能够像有线网用户一样充分地、安全地享受到网络的资源和乐趣，WLAN认证计费接入系统需要具备如下的主要功能：即插即用，无线上网用户利用随身携带笔记本电脑或PDA掌上电脑，插入无线网卡，无需做任何设置或加载任何软件，即可打开IE浏览器迅速无线上网。身份验证，授权登录WLAN接入系统需要提供AAA认证并支持RADIUS，确保使用者只有在输入了合法用户名及密码后，才能进入无线网络系统。安全可靠有效保护合法用户的个人数据安全，有效控制恶意代理，保障运营商利益。网站过滤系统可将一些指定网站屏蔽掉，确保使用者不能浏览这些网站。管理系统包含DHCP Server，能够提供地址分配。带宽管理系统应该允许网络管理员规划用户带宽的合理使用，从而减小不必要的带宽资源浪费。主页重定向无论用户预先设定的主页是什么，系统都会自动被定向引导到服务商预先设定的主页，从而提高了工作效益。支持RADIUS/PMS计费系统能够配合RADIUS/PMS进行按照使用时间长度、使用带宽、流量、包月租用等不同方式灵活计算上网费用，鼓励不同需求的用户使用。友讯网络针对目前国内外主流的WLAN认证计费系统的现状及其发展方向，根据公司多年来一直致力于局域网（LAN及WLAN）及宽带网络（Broadband）设备之设计、制造及行销中的长期积累，提出了自有知识产权的先进、成熟的解决方案。友讯网络针对目前国内主流的WLAN认证计费系统大多数仍旧延续以往窄带接入方式下的PPPoE方式和WEB+Portal方式，而新兴的802.1x认证方式又日趋成熟的现状，推出的认证计费解决方案分别支持PPPoE、WEB+Portal和802.1x认证计费方式。特别是针对不同类型的WLAN网络，我们均有灵活的WLAN认证计费解决方案为客户提供。25、无线宽带接入解决方案模型2. 5. 1、热点地区模型需求：多个AP 工作在不同信道，用户可在不同AP间实现无缝漫游切换。场所空间：500m *200m通过笔记本电脑、PDA轻松接入INTERNET，WiFi手机无缝漫游通话。建议：对于机场、车站、饭店的网络模型，因为要求网络覆盖的范围比较大（500m *200m），并且要考虑到无线AP供电、无缝连接切换等方面的要求，所以，我们根据模型要求，在500m *200m的面积范围内，配置多台D-LINK 企业级AP，实现在要求范围内无网络盲点，并且在AP上通过设置不同的Channel实现用户在AP间无缝的漫游（考虑到频段干扰问题，相邻AP不能选用同样的Channel,并且Channel间隔最好为5）。AP后台配备D-LINK无线局域网控制器，实现对AP的智能管理，同时可以对无线客户端（笔记本电脑、PDA、WiFi手机等）的漫游实现高级管理，使得无线连接平滑切换。2. 5. 2、楼宇WLAN室内应用模型建议：对于智能大厦来说，无线宽带接入可以实现室内室外方便连入局域网、广域网。对于不方便布线的办公室、会议室或者宿舍来说都可以实现方便、快洁的网络接入。 按照建筑物内的具体环境以及用户数量，我们可以在每楼层布放多台符合IEEE 802.11b/g或802.11a/b/g标准的AP，放于天花板中，并配置吸顶式全向天线增强覆盖效果。对于连接电源不方便的地方，配合DWS-3024采用POE以太网交换机直接为AP远距离供电。 友讯网络符合IEEE 802.11b/g标准的企业级室内型AP有DWL-3500AP、DWL-8500AP都可以实现。DWL-8500AP是同时支持IEEE 802.11a/b/g标准的双频三模式企业运营级AP。同时，友讯网络还可为用户提供包括Cardbus、PCI、USB接口类型的多款符合802.11b/g标准的双模网卡，例如Cardbus接口的DWL-G650、DWL-G680无线网卡，DWL-G520、DWL-G550 PCI无线网卡以及DWL-G132、DWL-G122 USB无线网卡。2. 5. 3、WLAN无线校园网应用模型第三部分 D-Link认证网关与计费系统介绍 D-LINK公司针对校园存在的问题，整合了多年在校园网络、电信网络开发认证计费管理系统的经验以及结合了近200所高校客户实践应用V2.0系统的基础上，2007年隆重推出了专业针对校园网的认证计费管理解决方案DRS-V3.0全新系统，此系统必将把中国校园网络的运营管理推向一个全新的高度。 校园网是一个功能复杂的网络，与其他的网络相比有其独特的一面：教育网和Internet混合接入、免费网络资源和运营网络资源共存、新技术和旧网络混合使用。而且，校园网用户是一群最有活力的用户群体：掌握新技术最快、最会使用新技术、最有挑战欲望。同时，以太网技术在校园网接入层被普遍采用，相对来讲，以太网技术不是一个具有严格管理能力的组网技术，这决定了校园网的安全性较低。当这些因素碰到一起的时候，校园网遇到比较突出的如下几个问题：l 网络Interet出口拥塞，用户不能正常访问Internet，需要对出口带宽进行有效管理。校园网internet出口带宽有限，是校园网络最为稀缺的资源。若干用户无限制的使用出口带宽或者使用P2P工具进行下载，首先造成出口拥塞，出口的拥塞接着造成更多用户加入带宽的争抢，致使出口更加拥塞，这必将导致通信掉包严重，大量出现重复发送数据包，进一步拥塞整个网络，其最终结果就是整个网络出现拥塞，所有用户不能正常上网。同时，校园网的用户具有用网时间集中、并发在线人数众多、流量巨大且分布时段不均等特点，这些更加剧了网络拥塞程度。l 用户普遍使用代理，造成管理困难和费用流失。在校园网内代理工具的使用非常严重，多个学生共享代理上网的方式，不但给校园网络的管理带来麻烦，也使学校的出口拥塞、费用流失。如何真正有效防止校园网中的代理使用，是非常重要、紧迫的需求。l 网络的安全时刻受到威胁，网络需要安全控制。考虑到以太网技术的经济性和实用性，以及校园网用户集中的特点，以太网技术在校园网络接入层被普遍采用。以太网技术最初是为企业内部组网使用的技术，其管理能力较弱，在校园网环境下，用户对各种网络技术的掌握程度较高，管理问题尤其突出：学生活跃、好奇、敢于尝试、攻击性强，同时，计算机蠕虫、病毒泛滥、盗版资源泛滥、网络不良行为突发性高。l 用户网络行为不规范，无法控制，无法进行有效的记录。盗用IP地址，修改MAC地址，用户名和密码的丢失，合法网络用户无法登陆网络，网络管理者如何解决？谁在访问非法网站？谁在恶意占用带宽？校园的特殊性使校园网的管理者必须对于网络上各种不规范行为进行足够的重视。一旦有相关的非法网络行为被相关部门获得，如何提交有效的网络访问记录？l 计费数据采集难，运营管理得不到很好支持，需要对运营服务提供方便的后台支持。在最初的校园网络中，校园网络只是一个提供上网的工具，对用户的行为无法进行控制，也无法对网络进行有效运营和管理。为了满足非教学区域（学生和老师家属）用户的Internet接入服务需求，校园网还必须承担一个运营网络的角色。如何为这些用户提供好的服务，同时，又方便运营人员对服务的支撑，这就需要为校园网提供简单、实用、易操作、易维护、计费数据清晰准确的认证计费管理系统。 31、DRS系统产品介绍DRS-5000系统是我们针对目前校园网络发展及需求，根据多年在校园网、电信网络开发认证计费管理系统的经验的基础上，隆重推出的一套全新解决方案。DRS系统是一套完整的解决方案，系统中包括：l DSA认证计费管理网关l DSA认证计费管理发布监控系统（基于标准Radius Server）l DRS Client客户端软件l DRS LRMS日志记录管理系统32、DSA认证计费管理网关介绍DRS系统中的DSA有多种型号规格，可以支持PPPoE认证、WEB认证、客户端认证方式，随着技术的飞跃，最大可以支持到20000用户同时并发。接入设备是校园网接入层的控制设备，DRS系统的DSA经过多年的运营使用，经受了各种复杂和恶劣网络环境的考验，是最为稳定、最高性能、最高安全性、最可信赖及最高性价比的网关设备。同时，DSA使用标准协议，这样可以顺利与其它厂家的Radius Server对接，符合国际标准。 特性描述：同时，DSA使用标准协议，这样可以顺利与其它厂家的Radius Server对接，符合国际标准。 特性描述：接入方式：l WEB接入认证l PPPoE接入认证l 客户端接入认证网络特性：l 支持静态路由，支持RIP、OSPF透传l 源地址路由支持l 多出口路由支持，可以同时接入不同的ISP网络l 支持NAT、NPATl 100M线速转发，1000M在512字节以上达到线速l 每秒钟能够处理百万以上数据包l 支持设备冗余备份和负载均衡，支持双电源l NAT后认证计费及控制，实现对NAT后用户真正的控制管理及计费l 可网管，支持SNMP V1&V2， SNMP Trap，MIBIIl 内置DHCP Server，也可以实现DHCP Relayl 支持组播代理、DVMRP组播路由协议安全控制特性：l 非法用户不能上网，用户认证后才能正常访问网络l 支持直通用户带宽控制及计费l 可以限制用户同时使用的TCP连接数l 控制用户的上网速率，限制使用的上下行带宽l 限制用户使用P2P工具下载l 支持ACL访问控制列表，可实现IP、ICMP、TCP/UDP的包过滤规则，禁止用户访问非法网站，同时也可防止病毒泛滥，堵塞出口带宽l 有效防范DHCP Decline等攻击及80 TCPIP的DOS攻击l QoS控制，根据访问内容进行优先排序l 支持强制用户下线，如果与IDS设备配合，可以实现连动l 支持多级管理权限l 对Telnet访问权限进行控制l 支持用户上网日志信息采集及分发对计费的支持：l 内置Radius Client，与Radius Server进行通信配合l 收集用户上网的流量和时长，提供原始计费清单，据此可以实现各种已知的计费方式l 支持主备Radius，可以复制计费信息到备用计费服务器l 区分用户访问流量，实现国内外流量的区别计费l 控制用户可使用的流量和时间，实现实时计费，欠费断网l 使用Keep-alive机制，避免用户非正常断线造成的计费错误l 可以定义免费访问地址列表管理特性：l 用户认证通过后首页重定向l 支持Telnet远程管理、提供RS232 CLI（串口）配置l TFTP版本升级l 配置文件上传、下载l 支持多种启动方式支持的网络协议：StandardSubjectIEEE 802802.3，802.3U，802.1QRFC791Internet ProtocolRFC792Internet Control Message ProtocolRFC793Transmission Control ProtocolRFC1812Requirements for IP Version 4 Routers