一、 企業網絡建設的特點
企業信息化的基礎是企業網,企業都在致力於建設一個高速、安全、可靠、可擴充的網絡系統,以實現企業內信息的高度共享、傳遞,大大提高工作效率;爲了實現對外信息的交流,還需要建立出口通道,實現與Internet互聯,可以方便地進行資料查詢。企業所需要的信息化服務要求較高,其網絡應具有以下特點:
· 作爲一個基於企業Intranet的信息管理和應用的網絡系統,提供相應的各種服務
· 網絡上各種軟、硬件資源能得到共享,並能快速、穩定地傳輸各種信息,提供有效的網絡信息管理手段
· 採用開放式、標準化的系統結構,以利於功能擴充和技術升級
· 能夠與外界進行廣域網的連接,提供、享用各種信息服務
· 具有完善的網絡安全機制。
· 能夠與原有的計算機局域網絡和應用系統平滑地連接,調用原有各種計算機系統的信息。
二、方案設計
1)無線網絡組網
使用無線組網的技術,通過安裝AP和PCMCIA無線網卡或USB無線網卡,就可以在公司內部架構起無線局域網,使得辦公區、會議室、會客室、展示廳及休息區都可以移動上網,爲移動辦公創造了條件。
2)業務方案說明
· 用戶隔離
由於無線用戶的流動性和不確定性,需要對用戶之間互訪的進行隔離,首先必須要求AP具有二層隔離功能。但是,僅僅AP具有二層隔離功能,只能保證連接在同一個AP下的兩個無線用戶之間的隔離,而連接在不同AP下的用戶之間卻可以通過上一級交換機進行通訊,因此僅AP實現隔離不能從根本上解決用戶之間隔離的問題。爲此,必須在連接AP的上一級交換機上爲交換機的每個端口配置VLAN,以保證連接在不同AP下的用戶之間的隔離,同時在Ocamar AC上的也應設置爲用戶隔離狀態,這樣就可以從根本上利用不同的網絡設備實現用戶之間的訪問隔離。
· 認證方式
用戶認證採用WEB DHCP方式,即用戶打開IE瀏覽器,輸入一個URL,這時Ocamar AC將用戶的瀏覽器重定向到認證頁面,要求用戶在認證頁面提供用戶名和密碼,當用戶成功認證後,AC將用戶瀏覽器重新帶回剛纔所鍵入的URL。基於WEB方式的認證,用戶電腦設置簡單,用戶無須安裝任何客戶端軟件,僅僅需要將用戶網卡設爲自動獲得IP地址,Ocamar AC會自動爲用戶分配正確的IP;即使用戶將無線網卡設置了固定的IP地址,也可利用AC中的即插即用功能。認證通過後,爲了提高安全性,Ocamar AC對MAC地址、IP地址以及用戶名三者實施了綁定策略。
· 用戶權限和網絡訪問控制
根據業務模式和對用戶權限管理的需要,需要對用戶訪問本地網絡的權限進行控制。比如,公司員工允許通過WLAN訪問本地網絡資源,諸如文件服務器、打印服務器、MIS、視頻服務等,同時允許訪問INTERNET;對於來訪人員,根據其不同身份級別,對其能否訪問本地網絡資源加以控制。根據這些需求,Ocamar AC有兩個Internet的出口,用於讓某些不允許訪問本地網絡資源的用戶直接訪問INTERNET。Ocamar AC的一個端口(出口2)和企業收斂交換機相連,用於提供給某些用戶(比如訪客)上網出口,因爲這些用戶不允許訪問企業內部網絡。而Ocamar AC的另一個端口(出口1)接企業內部局域網,這樣,企業內部員工可以通過這條路由訪問本地網絡資源以及訪問INTERNET,從而實現用戶權限的控制和本地網絡資源的控制。
此外,根據實際的業務需要,可增加MAC地址綁定方式,只有指定的MAC地址,並通過對應的用戶名和密碼進行認證,才能合法接入網絡;或採用MAC地址驗證方式,可根據不同的MAC地址爲無線用戶分配不同網段的IP地址,實現基於不同用戶的業務策略和訪問控制;也可根據Ocamar AC上不同的網口,對應交換機的VLAN分配不同網段的IP地址,實現基於不同區域的業務策略和訪問控制。
· 無線網絡設備管理
爲了便於網絡管理員對整個無線網絡進行有效的管理,Ocamar AC上內建了一個基於WEB的管理平臺,提供對無線接入控制服務器(AC)和無線接入點(AP)的管理。對AC的管理包括對AC運行等參數的配置,各模塊運行狀況監控等;對無線接入點的管理包括掃描指定網段的所有AP,實時報告所有AP運行狀態,發現非法AP立即報警,羣組更改AP的設置,如ESSID等,以便對所有AP進行集中化的管理。
· 用戶管理
用戶管理是一個基於WEB方式的管理員界面,也可以是一個客戶端程序,在其中可以添加新用戶,添加新的用戶組別,修改用戶屬性以及修改用戶組的屬性,另外,可以對每個用戶是否允許使用***、是否需要進行MAC地址的驗證等內容進行設置。
Ocamar AC還可以記錄用戶上網日誌,日誌包括用戶名、目的IP地址、訪問時間、用戶的主機IP地址、MAC地址、VLAN接入位置等信息。用戶訪問日誌可以記錄用戶的整個網上活動過程,便於追查惡意用戶的物理位置,實現網絡的安全控制。