电力调度大楼承担着区域电力调度的重要责任,同时也是电力安全生产、经营的办公场所,随着电力系统管理的日趋精细化,必然要求电力调度大楼具有很高的智能化水平,大楼的网络传输能力也成为衡量调度大楼智能化水平高低的一个重要标准。无线网络作为一种新技术正在被越来越多的行业所采用,其优点也正在被越来越多的人们所认可。但作为一个对安全生产特别重视的电力行业来说,能否采用无线技术、怎样使用无线技术也成为一个必须要研究的课题。
无线局域网(WLAN)曾经被认为是一种不可靠的网络,除了加强网络管理以外,更需要测试设备的构建、实施、维护和管理。尽管如此,WLAN还是以其便利的安装、使用,高速的接入速度,可移动的接入方式赢得了众多公司、政府、个人以及电信运营商的青睐。但WLAN的传输技术中,由于传送的数据是利用无线电波在空中辐射传播,无线电波可以穿透天花板、地板和墙壁,发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备,数据安全也就成为最重要的问题。
常熟市供电公司新调度大楼的智能化方案中就考虑了安全使用无线网络的问题,下面我就结合调度大楼无线网络方案的设计具体探讨一下这个问题。(该方案已经完成了设计,还未施工)。
一、 网络现状分析
1.网络现状分析
常熟市供电公司新大楼为17层高的办公大楼,在新建调度办公大楼中进行了信息(数据和语音)系统的综合布线,布线系统中的水平子系统采用六类非屏蔽双绞线进行布放,垂直子系统采用室内软光缆进行布放。其中网络中心机房位于新大楼14层,在1层~17层每层都设置了弱电间。
新大楼的网络使用Cisco Catalyst 6509交换机为核心,在局域网内千兆以太网为主干技术,提供稳定而高性能的多层交换服务。通过千兆以太网方式连接接入交换机,提供客户端10/100M的以太网接入。
随着常熟市供电公司的新大楼的建设,考虑到网络已经成为常熟市供电公司的重要基础设施,应用系统对网络也提出了更高的要求,同时随着单位职工越来越多地配发了笔记本电脑、PDA等灵活的网络接入终端,常熟市供电公司的新大楼需要向本单位用户提供灵活的、覆盖全面的、高速的无线网络接入。
考虑到实施无线网络覆盖后网络面临的一个主要的安全威胁是难以控制资源的访问。因为不管是内部人员或者是外来人员,非法用户甚至无需接触到网络接口就可以连接到网络中,只要将计算机设备进行适当的设置,就可以连接到特定的资源,缺乏对用户进行身份验证和安全检查的方法,所以对用户进行身份验证尤为重要。
常熟市供电公司计划通过域来管理计算机和用户。目前,相应的域服务器已经投入运行,Windows Active Directory已经部署好,这样,新的身份验证系统应该能够和域进行很好的结合,系统管理员只需要对Windows域用户进行管理就可以实现对网络用户接入的管理,以避免管理员同时管理两套独立的用户系统,大大降低了管理成本。
2.网络设计目标
随着常熟市供电公司新大楼的建设,系统信息化的设计要求,结合常熟市供电公司的具体网络结构和应用需求本方案建议书网络设计的目标如下:
● 通过部署楼层AP完成常熟市供电公司的新大楼的无线网络覆盖
● 通过一系列技术手段提高无线网络接入的安全性。
二、 网络方案设计
1.无线网络设计原则
实用性
遵循面向应用,注重实效,急用先上,逐步完善的原则;充分保护已有投资,不设计成华而不实的网络,也不设计成利用率低下的网络,要以实用性的原则要求为依据,建设具有最低TCO(拥有的总成本最低)、最高性价比的WLAN。
安全性
常熟市供电公司网络信息是信息的传输交换平台,具有较严格的安全性要求,必须具有高度的保密机制,灵活方便的权限设定和控制机制,以使系统具有多种手段来防备各种形式的非法侵入和机密信息的泄露。
先进性
采用先进成熟的网络概念、技术、方法与设备,既反映当今先进水平,又给未来的发展留有余地。
可靠性
系统必须可靠运行,主要的、关键的设备应有冗余,一旦系统某些部分出现故障,应能很快恢复工作,并且不能造成任何损失。
可扩充
系统是一个逐步发展的应用环境,在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能,这种扩充不仅能充分保护原有资源,而且具有较高的性能价格比。
可维护
系统具有良好的网络管理、网络监控、故障分析和处理能力,使系统具有极高的可维护性。
2.网络设计方案
思科的无线局域网方案,可以很好的实现上面需求分析及设计规范所提出的要求。总体方案结构如下:
通过对常熟市供电公司目前网络现状的论述,结合本次工程的目的的分析,对于常熟市供电公司新大楼无线网络系统建设,我们提出如下方案设计。
结合每个楼层的具体布局,结合相应的现场勘查,在每个楼层部署2-3台AP,上下楼层通的AP布放考虑位置交错,以提供更好的无线网络覆盖。
通过部署基于身份的网络访问(IBNS)技术提高无线网络的接入安全,通过IBNS技术,在无线网络接入设备上对网络接入客户端进行认证、授权,可以实现和Windows域帐户结合对客户实施VLAN划分,网络权限分配等功能。
常熟市供电公司无线网络逻辑结构设计图示如下:
根据常熟市供电公司大楼的信息点部署,物理分布和实际网络结构特点,建议选用思科特有的集中无线网络解决方案,整体划一,系统管理,准确定位,高效运营,全面满足无线网络的业务需求,同时为今后的应用拓展(如无线WLAN电话,无线Video等)做好充分的技术平台准备。
如图1所示,基于新大楼局域网络,首先部署1台思科的WLAN控制器WLC4402-50,能够支持对50台AP全面系统深入的管理,在未来也可通过升级以支持更过数量的AP,目前为止,整个大楼预计共需要AP设备45台,因此由1台WLC4402实现对楼内全部AP的统一管理控制。WLAN控制器能够提供2个GE端口,接入已有的核心局域网交换机。
三、 网络安全性设计
目前,无线LAN已经形成了主流趋势,各类公司都想把有线LAN和无线LAN进行集成。网络管理人员希望无线LAN能够提供和有线LAN一样的安全性、可管理性以及可伸缩性。
其中最主要考虑是安全性,包括访问控制和加密。访问控制保证敏感数据只能由授权用户访问。加密则保证发射的数据只能被所期望的用户接收和理解。
有线LAN的接入是在LAN的以太端口接入时进行管理。因些,有线LAN的访问控制常常以物理端口接入方式进行监视。同样,由于有线LAN的数据传输直接送到一定的目的地,除非有人使用特定的设备在传播路径上进行截听,信息一般不会泄露。简而言之,除非LAN物理上遭到破坏,否则不会发生信息的泄密问题。
在无线LAN中,传送的数据是利用无线电波在空中辐射传播,它可以被发射机覆盖范围内任何无线LAN客户机所接收到。无线电波可以穿透天花板、地板和墙壁,发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备。配置无线LAN时,以太网端口相当于可以设置在任何地点,包括停车场,无法像有线LAN的端口那样进行控制。由于没有办法把无线LAN发射的数据定向到一个特定的接收设备,所以数据保密成为最重要的问题。
IEEE 802.11b标准含有确保访问控制和加密的两个部分,这两个部分必须在无线LAN中的每个设备上配置。拥有成百上千台无线LAN用户的公司需要可靠的安全解决方案,可以从一个控制中心进行有效的管理。缺乏集中的安全控制是无线LAN只在一些相对较小的公司和特定应用中得到使用的根本原因。
所需要的安全方案:
● 无线LAN身份验证基于设备独立的项目,如用户名和口令等,不论在哪一部客户机上运行,这些项目都由用户拥有和使用
● 使用由用户身份验证动态产生的WEP密钥,并不是和客户机物理相关的静态密钥
总的来说,为了确保本部分所提到的安全性,无线LAN安全方案应做到:
● 无线LAN身份验证基于与设备独立的项目,如用户名和口令等,不论在哪一部客户机上运行,这些项目都由用户拥有和使用
● 支持客户机和验证(RADIUS)服务器之间的双向身份验证
● 使用由用户身份验证动态产生的WEP密钥,并非和客户机物理相关的静态密钥
● 支持基于会话的WEP密钥
1.通过基与身份的网络服务(IBNS)来保障无线安全
有多种方式可以保障无线网络的安全性,结合常熟市供电公司的需求以及考虑更高的性价比,推荐在常熟市供电公司采用IBNS(基与身份的网络服务)来保障无线网络的安全。
Cisco IBNS就是基于802.1x (用于基于端口的网络访问控制的IEEE标准)和可扩展验证协议(EAP)等端口的安全标准,并将安全验证、授权和记帐(AAA)从网络外围扩展到了LAN中的每个连接点。您可在这个全新架构中部署新的策略控制工具(如每个用户的配额、VLAN分配和访问控制列表[ACL])。
通过IBNS技术,在网络接入设备上对网络接入客户端进行认证、授权,可以实现和Windows域帐户结合对客户实施VLAN划分,网络权限分配等功能。目前IBNS已经是一项比较成熟的技术。
(1)设计标准
本设计主要依据的标准为:
IEEE 802.1X
IEEE 802.11b
RFC 2284-PPP Extensible Authentication Protocol(EAP)
RFC 2716-PPP EAP TLS Authentication Protocol
RFC 2865-Remote Authentication Dial In User Service (RADIUS).
(2)设计功能
功能方面:
设计必须支持CISCO以太网交换机端口认证和无线接入认证
无线接入用户的数据传输必须进行加密处理
用户必须通过认证才能访问特定资源
认证能够和数字证书相结合
认证能够和域管理方式相结合
管理员可以方便地配置初次连接到网络的机器,使之达到认证要求
认证系统构件必须支持冗余结构,在某些构件故障的情况下,系统能够继续进行工作。
(3)设计性能
性能方面:
系统必须能够支持至少500个用户,且还能够继续扩充
系统必须能够支持5分钟内500个并发认证请求
(4)系统需求
● 硬件需求
目前,常熟市供电公司还未完成新大楼的搬迁,未来的网络核心为Cisco 6509。网络接入层交换机均为华为交换机。
未来常熟公司支持实施IBNS的服务器为4台,分别为:
ACS-1:无线网络认证服务器(主)
ACS-2:无线网络认证服务器(备)
PDC:主域控制器(AD1)
CA-1:Microsoft CA服务器
● 软件需求
服务器端至少需要Windows2000 英文版来支持 ACS 3.3或者Windows2003英文版来支持ACS 4.0。
现在ACS 3.3 可以支持IBNS等,而ACS 4.0已经可以支持NAC。
用户端软件要求Windows XP SP1/ Windows 2000 SP4/Windows 2003。
● 操作人员
客户机设置完毕后,认证过程在后台完成,对操作人员没有要求。
管理人员应对操作人员说明认证方式下的网络工作特点:机器未经管理员进行初始设置不能正常使用网络;登录后需要等待网络完成认证才能正常使用网络。
● 管理人员
要维护本系统,管理人员必须掌握以下技术:
熟悉Windows 平台操作和维护
熟悉Windows AD管理
了解PKI结构及其应用
熟悉交换机的相关配置命令
了解ACS软件的工作原理及基本配置方法
本系统至少应配备两名维护人员,并根据用户数量的多少适当增加。
可以通过大约为期3天的时间对现有的管理员进行培训使之具备维护本系统的能力,培训前管理员应掌握一定的Windows操作和维护的技术,并有一定的英文基础。
(5)系统设计
本系统结构如下图所示:
PC通过无线接入点接入局域网,这些接入设备可以有多台。系统中安装了2台Cisco ACS 认证服务器,用于有线的认证并互为备份。 Cisco ACS服务器需要调用Windows AD数据库,Windows AD中配置了多台域控制器和DNS服务器,也能相互冗余。
● 系统功能
本802.1X认证系统功能基于在请求者(客户端),认证者(交换机、无线接入点)和认证服务器及域控制器之间的一系列的数据交换。
客户端在接入时认证者并不允许其数据通过或将其临时至于一个专门的VLAN (Guest VLAN),认证者将客户端认证数据传送给认证服务器,认证服务器结合域控制器对客户端进行认证,根据认证服务器返回的认证结果,认证者将客户端接入到相应的子网或阻断客户端连接。
(6)系统操作
● 管理员操作
管理ACS
在ACS服务器上使用浏览器打开http://127.0.0.1:2002或者双击桌面ACS快捷图标即可登录到ACS,在添加了管理员账号之后,可以实现远程登录进行管理。远程可以使用远程桌面或者在本地IE浏览器中输入http://:2002来进行管理。
ACS在安装设置完毕之后可以自动保存配置基本无需更改其配置。
用户管理
由于用户帐户和属性是通过Windows AD进行管理的,使用Windows管理工具“域用户与计算机”即可完成添加、删除用户和修改用户属性的任务。
详细情况可参考Windows 联机帮助。
客户端设置
第一次连接到交换机,没有配置802.1X认证的PC机会被划入GuestVLAN 56中,在这个VLAN中,用户只能进行加入域、安装指定补丁等操作。
管理员应为客户进行以下操作:
加入域(需要Windows AD 管理员密码);
安装补丁。
启用802.1X认证:在网卡属性的“认证” 夹中选中“Enable IEEE 802.1x authentication for this network”,并选择EAP类型为:Protect EAP(PEAP)。在PEAP的属性选项中,选中“Validate Server Certificate”,并在列表中选中信任的根证书(CZGDJ)。点击配置Secure Password(EAP-MSCHAP v2),确保“Automatically use my windows logon name and password(and domain if any).”已经选中。
配置完成之后重新启动并登录域,客户端应能顺利通过认证并被划入指定的VLAN。
● 用户操作
对用户而言没有额外的操作。用户只需按正常步骤启动计算机,输入用户名、密码登录到域,计算机会自动使用已安装的数字证书和用户帐户信息连接认证服务器进行认证,稍等一会,网络连接显示“身份验证成功”之后用户即可正常使用网络。
用户应当了解,必须登录到域才能正常使用网络;新购买的计算机或重新安装操作系统后必须经过管理员设置才能正常使用网络。
四、 总结
常熟市供电公司调度大楼的无线方案设计很好的解决了应用需求和安全控制之间的矛盾关系,通过小范围的测试说明,实际应用可以达到设计要求,该方案应该可以为调度大楼的网络传输提供很好的补充作用。同时也说明,无线网络技术在智能化大楼中是可以安全应用的,前提是必须要有一个完备的安全策略和安全技术的支撑。
无线局域网(WLAN)曾经被认为是一种不可靠的网络,除了加强网络管理以外,更需要测试设备的构建、实施、维护和管理。尽管如此,WLAN还是以其便利的安装、使用,高速的接入速度,可移动的接入方式赢得了众多公司、政府、个人以及电信运营商的青睐。但WLAN的传输技术中,由于传送的数据是利用无线电波在空中辐射传播,无线电波可以穿透天花板、地板和墙壁,发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备,数据安全也就成为最重要的问题。
常熟市供电公司新调度大楼的智能化方案中就考虑了安全使用无线网络的问题,下面我就结合调度大楼无线网络方案的设计具体探讨一下这个问题。(该方案已经完成了设计,还未施工)。
一、 网络现状分析
1.网络现状分析
常熟市供电公司新大楼为17层高的办公大楼,在新建调度办公大楼中进行了信息(数据和语音)系统的综合布线,布线系统中的水平子系统采用六类非屏蔽双绞线进行布放,垂直子系统采用室内软光缆进行布放。其中网络中心机房位于新大楼14层,在1层~17层每层都设置了弱电间。
新大楼的网络使用Cisco Catalyst 6509交换机为核心,在局域网内千兆以太网为主干技术,提供稳定而高性能的多层交换服务。通过千兆以太网方式连接接入交换机,提供客户端10/100M的以太网接入。
随着常熟市供电公司的新大楼的建设,考虑到网络已经成为常熟市供电公司的重要基础设施,应用系统对网络也提出了更高的要求,同时随着单位职工越来越多地配发了笔记本电脑、PDA等灵活的网络接入终端,常熟市供电公司的新大楼需要向本单位用户提供灵活的、覆盖全面的、高速的无线网络接入。
考虑到实施无线网络覆盖后网络面临的一个主要的安全威胁是难以控制资源的访问。因为不管是内部人员或者是外来人员,非法用户甚至无需接触到网络接口就可以连接到网络中,只要将计算机设备进行适当的设置,就可以连接到特定的资源,缺乏对用户进行身份验证和安全检查的方法,所以对用户进行身份验证尤为重要。
常熟市供电公司计划通过域来管理计算机和用户。目前,相应的域服务器已经投入运行,Windows Active Directory已经部署好,这样,新的身份验证系统应该能够和域进行很好的结合,系统管理员只需要对Windows域用户进行管理就可以实现对网络用户接入的管理,以避免管理员同时管理两套独立的用户系统,大大降低了管理成本。
2.网络设计目标
随着常熟市供电公司新大楼的建设,系统信息化的设计要求,结合常熟市供电公司的具体网络结构和应用需求本方案建议书网络设计的目标如下:
● 通过部署楼层AP完成常熟市供电公司的新大楼的无线网络覆盖
● 通过一系列技术手段提高无线网络接入的安全性。
二、 网络方案设计
1.无线网络设计原则
实用性
遵循面向应用,注重实效,急用先上,逐步完善的原则;充分保护已有投资,不设计成华而不实的网络,也不设计成利用率低下的网络,要以实用性的原则要求为依据,建设具有最低TCO(拥有的总成本最低)、最高性价比的WLAN。
安全性
常熟市供电公司网络信息是信息的传输交换平台,具有较严格的安全性要求,必须具有高度的保密机制,灵活方便的权限设定和控制机制,以使系统具有多种手段来防备各种形式的非法侵入和机密信息的泄露。
先进性
采用先进成熟的网络概念、技术、方法与设备,既反映当今先进水平,又给未来的发展留有余地。
可靠性
系统必须可靠运行,主要的、关键的设备应有冗余,一旦系统某些部分出现故障,应能很快恢复工作,并且不能造成任何损失。
可扩充
系统是一个逐步发展的应用环境,在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能,这种扩充不仅能充分保护原有资源,而且具有较高的性能价格比。
可维护
系统具有良好的网络管理、网络监控、故障分析和处理能力,使系统具有极高的可维护性。
2.网络设计方案
思科的无线局域网方案,可以很好的实现上面需求分析及设计规范所提出的要求。总体方案结构如下:
通过对常熟市供电公司目前网络现状的论述,结合本次工程的目的的分析,对于常熟市供电公司新大楼无线网络系统建设,我们提出如下方案设计。
结合每个楼层的具体布局,结合相应的现场勘查,在每个楼层部署2-3台AP,上下楼层通的AP布放考虑位置交错,以提供更好的无线网络覆盖。
通过部署基于身份的网络访问(IBNS)技术提高无线网络的接入安全,通过IBNS技术,在无线网络接入设备上对网络接入客户端进行认证、授权,可以实现和Windows域帐户结合对客户实施VLAN划分,网络权限分配等功能。
常熟市供电公司无线网络逻辑结构设计图示如下:
根据常熟市供电公司大楼的信息点部署,物理分布和实际网络结构特点,建议选用思科特有的集中无线网络解决方案,整体划一,系统管理,准确定位,高效运营,全面满足无线网络的业务需求,同时为今后的应用拓展(如无线WLAN电话,无线Video等)做好充分的技术平台准备。
如图1所示,基于新大楼局域网络,首先部署1台思科的WLAN控制器WLC4402-50,能够支持对50台AP全面系统深入的管理,在未来也可通过升级以支持更过数量的AP,目前为止,整个大楼预计共需要AP设备45台,因此由1台WLC4402实现对楼内全部AP的统一管理控制。WLAN控制器能够提供2个GE端口,接入已有的核心局域网交换机。
三、 网络安全性设计
目前,无线LAN已经形成了主流趋势,各类公司都想把有线LAN和无线LAN进行集成。网络管理人员希望无线LAN能够提供和有线LAN一样的安全性、可管理性以及可伸缩性。
其中最主要考虑是安全性,包括访问控制和加密。访问控制保证敏感数据只能由授权用户访问。加密则保证发射的数据只能被所期望的用户接收和理解。
有线LAN的接入是在LAN的以太端口接入时进行管理。因些,有线LAN的访问控制常常以物理端口接入方式进行监视。同样,由于有线LAN的数据传输直接送到一定的目的地,除非有人使用特定的设备在传播路径上进行截听,信息一般不会泄露。简而言之,除非LAN物理上遭到破坏,否则不会发生信息的泄密问题。
在无线LAN中,传送的数据是利用无线电波在空中辐射传播,它可以被发射机覆盖范围内任何无线LAN客户机所接收到。无线电波可以穿透天花板、地板和墙壁,发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备。配置无线LAN时,以太网端口相当于可以设置在任何地点,包括停车场,无法像有线LAN的端口那样进行控制。由于没有办法把无线LAN发射的数据定向到一个特定的接收设备,所以数据保密成为最重要的问题。
IEEE 802.11b标准含有确保访问控制和加密的两个部分,这两个部分必须在无线LAN中的每个设备上配置。拥有成百上千台无线LAN用户的公司需要可靠的安全解决方案,可以从一个控制中心进行有效的管理。缺乏集中的安全控制是无线LAN只在一些相对较小的公司和特定应用中得到使用的根本原因。
所需要的安全方案:
● 无线LAN身份验证基于设备独立的项目,如用户名和口令等,不论在哪一部客户机上运行,这些项目都由用户拥有和使用
● 使用由用户身份验证动态产生的WEP密钥,并不是和客户机物理相关的静态密钥
总的来说,为了确保本部分所提到的安全性,无线LAN安全方案应做到:
● 无线LAN身份验证基于与设备独立的项目,如用户名和口令等,不论在哪一部客户机上运行,这些项目都由用户拥有和使用
● 支持客户机和验证(RADIUS)服务器之间的双向身份验证
● 使用由用户身份验证动态产生的WEP密钥,并非和客户机物理相关的静态密钥
● 支持基于会话的WEP密钥
1.通过基与身份的网络服务(IBNS)来保障无线安全
有多种方式可以保障无线网络的安全性,结合常熟市供电公司的需求以及考虑更高的性价比,推荐在常熟市供电公司采用IBNS(基与身份的网络服务)来保障无线网络的安全。
Cisco IBNS就是基于802.1x (用于基于端口的网络访问控制的IEEE标准)和可扩展验证协议(EAP)等端口的安全标准,并将安全验证、授权和记帐(AAA)从网络外围扩展到了LAN中的每个连接点。您可在这个全新架构中部署新的策略控制工具(如每个用户的配额、VLAN分配和访问控制列表[ACL])。
通过IBNS技术,在网络接入设备上对网络接入客户端进行认证、授权,可以实现和Windows域帐户结合对客户实施VLAN划分,网络权限分配等功能。目前IBNS已经是一项比较成熟的技术。
(1)设计标准
本设计主要依据的标准为:
IEEE 802.1X
IEEE 802.11b
RFC 2284-PPP Extensible Authentication Protocol(EAP)
RFC 2716-PPP EAP TLS Authentication Protocol
RFC 2865-Remote Authentication Dial In User Service (RADIUS).
(2)设计功能
功能方面:
设计必须支持CISCO以太网交换机端口认证和无线接入认证
无线接入用户的数据传输必须进行加密处理
用户必须通过认证才能访问特定资源
认证能够和数字证书相结合
认证能够和域管理方式相结合
管理员可以方便地配置初次连接到网络的机器,使之达到认证要求
认证系统构件必须支持冗余结构,在某些构件故障的情况下,系统能够继续进行工作。
(3)设计性能
性能方面:
系统必须能够支持至少500个用户,且还能够继续扩充
系统必须能够支持5分钟内500个并发认证请求
(4)系统需求
● 硬件需求
目前,常熟市供电公司还未完成新大楼的搬迁,未来的网络核心为Cisco 6509。网络接入层交换机均为华为交换机。
未来常熟公司支持实施IBNS的服务器为4台,分别为:
ACS-1:无线网络认证服务器(主)
ACS-2:无线网络认证服务器(备)
PDC:主域控制器(AD1)
CA-1:Microsoft CA服务器
● 软件需求
服务器端至少需要Windows2000 英文版来支持 ACS 3.3或者Windows2003英文版来支持ACS 4.0。
现在ACS 3.3 可以支持IBNS等,而ACS 4.0已经可以支持NAC。
用户端软件要求Windows XP SP1/ Windows 2000 SP4/Windows 2003。
● 操作人员
客户机设置完毕后,认证过程在后台完成,对操作人员没有要求。
管理人员应对操作人员说明认证方式下的网络工作特点:机器未经管理员进行初始设置不能正常使用网络;登录后需要等待网络完成认证才能正常使用网络。
● 管理人员
要维护本系统,管理人员必须掌握以下技术:
熟悉Windows 平台操作和维护
熟悉Windows AD管理
了解PKI结构及其应用
熟悉交换机的相关配置命令
了解ACS软件的工作原理及基本配置方法
本系统至少应配备两名维护人员,并根据用户数量的多少适当增加。
可以通过大约为期3天的时间对现有的管理员进行培训使之具备维护本系统的能力,培训前管理员应掌握一定的Windows操作和维护的技术,并有一定的英文基础。
(5)系统设计
本系统结构如下图所示:
PC通过无线接入点接入局域网,这些接入设备可以有多台。系统中安装了2台Cisco ACS 认证服务器,用于有线的认证并互为备份。 Cisco ACS服务器需要调用Windows AD数据库,Windows AD中配置了多台域控制器和DNS服务器,也能相互冗余。
● 系统功能
本802.1X认证系统功能基于在请求者(客户端),认证者(交换机、无线接入点)和认证服务器及域控制器之间的一系列的数据交换。
客户端在接入时认证者并不允许其数据通过或将其临时至于一个专门的VLAN (Guest VLAN),认证者将客户端认证数据传送给认证服务器,认证服务器结合域控制器对客户端进行认证,根据认证服务器返回的认证结果,认证者将客户端接入到相应的子网或阻断客户端连接。
(6)系统操作
● 管理员操作
管理ACS
在ACS服务器上使用浏览器打开http://127.0.0.1:2002或者双击桌面ACS快捷图标即可登录到ACS,在添加了管理员账号之后,可以实现远程登录进行管理。远程可以使用远程桌面或者在本地IE浏览器中输入http://
ACS在安装设置完毕之后可以自动保存配置基本无需更改其配置。
用户管理
由于用户帐户和属性是通过Windows AD进行管理的,使用Windows管理工具“域用户与计算机”即可完成添加、删除用户和修改用户属性的任务。
详细情况可参考Windows 联机帮助。
客户端设置
第一次连接到交换机,没有配置802.1X认证的PC机会被划入GuestVLAN 56中,在这个VLAN中,用户只能进行加入域、安装指定补丁等操作。
管理员应为客户进行以下操作:
加入域(需要Windows AD 管理员密码);
安装补丁。
启用802.1X认证:在网卡属性的“认证” 夹中选中“Enable IEEE 802.1x authentication for this network”,并选择EAP类型为:Protect EAP(PEAP)。在PEAP的属性选项中,选中“Validate Server Certificate”,并在列表中选中信任的根证书(CZGDJ)。点击配置Secure Password(EAP-MSCHAP v2),确保“Automatically use my windows logon name and password(and domain if any).”已经选中。
配置完成之后重新启动并登录域,客户端应能顺利通过认证并被划入指定的VLAN。
● 用户操作
对用户而言没有额外的操作。用户只需按正常步骤启动计算机,输入用户名、密码登录到域,计算机会自动使用已安装的数字证书和用户帐户信息连接认证服务器进行认证,稍等一会,网络连接显示“身份验证成功”之后用户即可正常使用网络。
用户应当了解,必须登录到域才能正常使用网络;新购买的计算机或重新安装操作系统后必须经过管理员设置才能正常使用网络。
四、 总结
常熟市供电公司调度大楼的无线方案设计很好的解决了应用需求和安全控制之间的矛盾关系,通过小范围的测试说明,实际应用可以达到设计要求,该方案应该可以为调度大楼的网络传输提供很好的补充作用。同时也说明,无线网络技术在智能化大楼中是可以安全应用的,前提是必须要有一个完备的安全策略和安全技术的支撑。
