某学校有线无线校园网方案建议书Word格式.docx
《某学校有线无线校园网方案建议书Word格式.docx》由会员分享,可在线阅读,更多相关《某学校有线无线校园网方案建议书Word格式.docx(39页珍藏版)》请在冰豆网上搜索。
无线需要更细化的上网行为管控,一方面避免学生上不良网站,使用聊天软件影响学习,另一方面避免学生或教工通过无线网络下载外网资源,访问网络流媒体等占用带宽的软件,严重影响办公系统网络。
2.2.校园网WLAN当前面临的挑战
2.3.1.活动场所要求覆盖广,信号强
***操场,体育场,由于面积大,需要大面积的无线信号覆盖能力。
2.3.2.组织结构复杂,权限难于控制
随着普教的发展壮大,职位分工更加明确,部门的职责也更加细化。
部门精细化的同时权限也必须精细化控制,各个部门、职位拥有责任内的不同权限。
2.3.3.OA、邮件等办公系统带宽被大量抢占
在一定的无线带宽情况下,学生运行大量的P2P下载,视频浏览等高耗带宽的应用,严重抢占正常的系统带宽,造成无线带宽的不合理分配,无线办公和学习效率低下。
2.3.4.攻击手段多样,内网安全有威胁
不同于有线网络基于物理端口进行安全防御,无线信号因其自身特点,覆盖区域内的任何人员都能看到无线信号,对学校而言,难免会存在一定盗用账号、非法接入的安全威胁。
2.3.5.空中垃圾多,无线接入稳定性无法得到保证
WiFi网络大多使用的2.4GHz频段,众所周知,2.4GHz频段是开放频段,工作在这个频段的设备很多,比如:
微波炉、蓝牙、无线座机、外来NAP、监控摄像头等等,会对WiFi设备进行大量的干扰。
除此以外,2.4GHz相互不干扰的信道只有1、6、11,当部署区域被运营商的AP给占用以后,可用信道就不多了。
在这种情况下,干扰会造成丢包和延迟,实际传输速率往往得不到保证。
2.3.上网行为管理现状分析
2.4.1.带宽滥用
随着互联网的普及,业务几乎都依托于互联网进行。
ERP、CRM、OA、Mail、电子商务、视频会议等系统已成为基础设施,共同构成业务信息化平台。
但是在内部网络中,除了这些关键业务系统外,还存在着P2P下载、在线视频、网络炒股、购物、游戏、在线小说等非关键业务应用,形成了复杂的网络应用“脉络”。
在众多的网络应用中,尤以P2P应用的带宽侵蚀性最为强烈。
据调查统计,P2P应用对带宽占用比大致是40%~60%,在极端情况下占用比会达到80%~90%。
同时,再加上其他与工作无关的应用占用了带宽资源。
因此,在日常办公当中带宽有效利用率不到30%。
2.4.2.工作效率低下
网络的普及改变了传统的办公方式,而总有部分员工在上班时间有意无意的做与工作无关的网络行为,比如聊天、炒股、玩网游、看视频、网购等,严重影响工作效率,从而导致企业竞争力的下降。
2.4.3.违法行为
员工在日常办公中拥有访问互联网的权限,可通过QQ、MSN、论坛或微博等方式外发信息,如果包含了色情、赌博、反动等不良信息,都属于网络违规违法行为,单位或个人将承担法律责任。
2.4.4.安全隐患
互联网的开放给企业带来了信息共享的便利,为业务系统提供了传输平台,但是正因为互联网的开放,网络病毒、蠕虫、木马等不安全因素也随之出现。
某些网络安全意识薄弱的员工,在互联网上随意打开网页、点击链接,中毒受感染,并且在内部网络中传播导致大范围严重影响。
因此,如何避免来自互联网的侵袭,解决内网安全管理问题,是信息化系统建设中需要考虑的重点问题。
2.4.现有网络拓扑图
第3章.实际需求分析
针对目前***网络运行现状和未来的规划,存在以下需求:
1、针对***全校提供无线接入。
2、针对学校访客及学生家长提供无线接入。
3、针对全校有线及无线的上网行为做审计。
4、针对***内部上网做认证,提供独立的Portal认证页面。
5、针对访客及学生家长提供访客二维码或微信认证。
6、针对全网用户上网行为做统一管理,统一策略下发。
7、针对全网用户做流量控制,防止带宽滥用。
8、新增核心交换机,更换光电转换器为光模块。
第4章.整体方案设计
4.1.设计原则
校园网有线及无线系统建设必须适应当前企业各项应用,又可面向未来信息化发展的需要,因此必须是高质量的。
在建设过程中,需要遵循以下原则:
实用性和先进性
采用先进成熟的技术满足大规模数据、语音、视频综合业务需求,兼顾其他相关的管理需求,尽可能采用先进的网络技术以适应更高的数据、语音、视频的传输需要,使整个系统在相当一段时期内保持技术的先进性,以适应未来信息化的发展的需要。
安全可靠性
为保证各项业务应用,系统必须具有高可靠性,尽量避免单点故障。
要对结构、设备等各个方面进行高可靠性的设计和建设。
在采用硬件备份、冗余等可靠性技术的基础上,在系统设计方案中要应用网络管理手段,保证接入网络用户身份的合法性;
采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。
灵活性和可扩展性
校园网系统是一个不断发展的系统,所以它必须具有良好的灵活性和可扩展性,能够根据企业不断深入发展的需要,方便灵活的扩展应用覆盖范围、扩大存储容量和增加系统功能。
具备支持多种网络协议、多种物理接口的能力,提供技术升级、设备更新的灵活性。
开放性和互连性
具备与多种协议计算机通信网络互连互通的特性,确保本系统的基础设施的作用可以充分的发挥。
在结构上真正实现开放,基于开放式标准,坚持统一规范的原则,从而为未来的发展奠定基础。
设备及端口模块的选型须满足国内外相关的技术标准,并保证与业界主流的网络设备厂家的设备互联、互通。
经济性和投资保护
应以较高的性能价格比构建本系统,使资金的产出投入比达到最大值。
能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。
尽可能保留延长已有系统的投资,充分利用以往在资金与技术方面的投入。
可管理性
由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。
所以在方案设计中,必须具备全面的网络管理解决方案。
网络设备必须采用智能化,可管理的设备,同时实现先进的分布式管理。
最终能够实现监控、监测整个系统的运行情况,合理分配资源、动态配置策略、可以迅速确定故障点等。
通过先进的管理策略、管理工具提高系统的运行性能、可靠性,简化维护工作,从而为办公、管理提供最有力的保障。
因此,系统建设需要从网络的稳定性、可靠性、先进性、扩展性、高性价比、易用性等多方面综合考虑。
4.2.设计思路
通过针对***校园网信息网络业务需求分析,结合校园网系统建设原则,总结出本次方案的设计思路:
1、在教育网出口处透明部署上网行为管理设备,对校园网网络的进出数据流量进行管理。
2、根据学校组织架构和人员分布,建立用户组树形结构,匹配学校目前组织架构,为后续网络管理奠定基础。
3、通过上网行为管理系统,对员工在日常办公中与工作无关的网络应用进行控制,例如禁止P2P下载、在线视频、浏览购物网站、网络游戏等。
解决带宽滥用问题,提高带宽有效利用率。
同时,禁止工作无关应用,提高员工工作效率长。
4、在部署上网行为管理系统后,通过定义关键字的方式,实现对发送邮件、网上搜索、网上发布、文件外发等行为进行过滤,从而避免敏感信息泄露问题给企业带来经济损失。
同时,有效防止不良信息外发行为,避免引起法律纠纷。
5、在校园网部署无线AP,有无线控制器管理,并对无线数据流量进行管控,提供多样式认证。
6、无线控制器采用网关部署模式,双线路出口,一条来自教育网,一条来自电信,并实现多线路故障切换。
7、在校园网中新增核心交换机,对下级交换机采用光模块及光钎线缆连接。
4.3.总体网络架构设计
部署说明
1、教育网出口透明+部署深信服上网行为管理设备;
新增核心交换机,上联上网行为管理。
2、无线控制器采用网关模式部署,教育网wan口接核心交换机,另一个wan口接电信拨号线路。
3、全网部署无线AP,采用POE交换机供电。
4.4.详细方案设计
4.4.1.无线部署方案设计
根据***的无线网络需求和无线网络设计原则,结合信锐无线系统技术和产品的特点,方案设计如下:
4.4.1.1.NAP布放设计
根据现场实际情况,无线网络采取蜂窝式部署方式。
NAP安装在走廊/墙壁上。
普通教室,阶梯教室,大会堂,多功能教室等放置NAP2800
室外操场放置NAP7600
详细布点见附件
4.4.1.2.无线组网方式
结合用户无线网络需求情况,结合信锐产品自身技术特点,为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求,本设计方案按照NAP+NAC的结构化无线网络解决方案进行设计
4.4.1.3.校园网络无线接入设计
4.4.1.3.1.无线网络逻辑隔离
***可以根据需要,根据用户的种类、应用的种类设置多个SSID,例如:
教学网络设置SSID,办公网络设置不同的SSID。
不同的SSID采用不同的安全策略,这样可以对不同的用户及应用进行区分服务。
另外SSID还可以选择隐藏的方式,该SSID不广播,用户无法看到,防止非法用户的接入。
SSID还可以选择在某些NAP上出现,某些NAP上不出现,限制SSID出现的范围也是实现安全性的一种手段。
4.4.1.3.2.全面的安全接入方式
提供诸如802.11i,802.1x、Portal等多重认证结合,有效保证用户端接入安全和数据安全。
支持防DoS攻击,WIDS,动态黑名单等攻击防御措施,有效防范WLAN内的安全威胁。
对于重点帐号使用帐号、MAC自动绑定。
防止越权访问的同时,同时减少管理员繁琐的操作。
4.4.1.3.3.802.1X自动配置
802.1X能有效保证学校校园网络的安全性,但802.1X复杂的配置往往令802.1X认证实施遇到巨大阻力。
对此,信锐为学校提供了802.1X自动配置工具,让各个部门的人能够轻松使用802.1X认证。
4.4.1.3.4.灵活安全的终端准入
手机能接无线还是电脑能接无线,您说了算。
信锐无线可以免安装客户端软件实现终端类型的识别,认证接入时,可以根据情况限制只有手机终端可以接入,笔记本类型不能接入;
或者只允许IOS终端接入,不允许Android终端接入,让您认为不安全的终端无法接入网络。
4.4.1.3.5.动态黑名单,自动封堵攻击源
无线控制器AC会实时监控学校无线网络安全情况,如果网络中出现攻击终端,无线控制器会将其自动列入动态黑名单,在一段时间内禁止其接入。
一段时间后检测如果该终端还存在攻击,则继续列入黑名单。
如果恢复正常则允许其接入。
4.4.1.3.6.智能负载、5G优先、高密稳定快速接入
针对学校存在办公区、会议室等部分区域人员集中的现状。
信锐技术无线解决方案会根据每个AP的负载情况,将用户自动分配到信号强、接入人数少的AP上,同时会选择优先负载到干扰比较小的5G频段上,确保每个无线用户都能获得畅快的网络体验。
除了基于人数的负载外,信锐技术还能基于2.4G和5.8G的双频段进行智能双频负载。
智能双频负载:
2.4G和5G之间可实现自动负载,引导5G终端优先接入干扰比较小的5G网络,提升无线接入质量。
4.4.1.3.7.校区内快速漫游
为了实现学校在区域内的无线漫游、办公不中断,相对于传统FatNAP方案无法有效保证跨三层的漫游,信锐无线解决方案满足优秀的L3漫游特性,用户漫游不受子网限制,保证学校用户在不同区域间移动而业务不中断。
传统的无线漫游依赖的是终端自己的特性,无法做到可控制,而信锐技术提供的“防终端粘滞”弥补了这块的缺陷。
通过防终端粘滞功能,信锐无线可以引导无线终端更快的漫游到无线服务能力更好的无线热点上,让客户得到更好的无线网络体验。
漫游后,终端的vlan、角色、IP保持不变,用户无感知。
4.4.1.3.8.射频优化
依据学校不同环境,NAC可自动进行射频调整,有效避开自干扰,也可以自动进行信道调整,为NAP分配不同信道避开信道间的干扰。
4.4.1.4.校园网络快速上网设计
4.4.1.4.1.端到端的网络协议栈加速
针对学校现有干扰的无线网络环境,采用信锐独有的协议栈加速技术,客户端无需安装任何插件,只需在NAC开启网络协议加速功能,通过改善无线传输协议算法,学校的无线网络的传输速度就能够提升200%以上。
有效解决无线网络由于干扰导致的无线传输速率低、丢包等网络质量问题。
4.4.1.4.2.防终端拖带让无线跑得更快
传统的无线随着低速终端的接入会导致高速终端速率被拉低,从而导致整体吞吐率下降,客户业务响应缓慢,严重影响终端的应用访问体验。
信锐技术进行了无线底层的技术改进,提出“防终端拖滞”创新专利,支持用户平均分配带宽,根据时间公平算法,防止单个终端拉低网络整体速度。
4.4.1.4.3.流量控制和带宽保证
学校希望对不同用户及应用的网络流量进行管理和划分,完成带宽保证和带宽限制功能。
通过带宽保证功能可以保证重要应用的带宽,带宽限制功能可以做到限制用户组/用户上下行总带宽、各种应用的带宽。
同时,客户希望提供更灵活的管理和配置,保证重要应用带宽的同时,可以再根据用户的优先级,分配同一应用不同用户间的带宽。
信锐技术提供基于应用的流量控制,针对用户的出口带宽做保证,保证关键应用的带宽占用。
4.4.1.4.4.基于应用的无线射频管理
信锐技术研发的无线网络动态带宽分配,当无线接入点带宽不足时,无线网络的保证带宽将按照设定的权重对所在接入点带宽进行分配;
无线接入点带宽充足时,将不受此限制。
例如办公网络,可以配置权重较大,用于保证办公应用的正常业务通信;
非重要网络,例如访客网络,可以配置权重较小,用于限制非重要网络的上网带宽,以免影响其他无线网络。
每个无线网络上用户可以自定义基于应用的子通道,用户可以设置通道间的带宽占用比例,当无线网络带宽不足时,通道间的保证带宽将按照设定的比例进行带宽分配,无线网络带宽充足时不受此比例限制。
例如办公网络中,可配置P2P子通道,配置权重最小;
办公OA系统对应的子通道权重最大;
互联网应用对应的子通道权重介于两者之间。
4.4.1.4.5.VLAN隔离
同一vlan内、不同vlan间通讯的终端采用隔离技术,有效防止终端之间传输大量文件损耗AP有限的带宽资源,也防止终端之间的任意互访有可能导致的数据窃取、文件中毒等恶意行为,最大限度地确保办公安全,提供办公效率。
4.4.1.5.无线上网行为管控设计
4.4.1.5.1.精细化角色识别与授权管理
针对学校存在各个部门不同角色对象,对用户进行多级的角色授权,根据不同角色分配不同的访问和流控策略。
根据普教的不同部门(校长室,教务部,招生部),不同的终端(手机或电脑)、不同的用户(教师或学生)划分不同的角色,并配以不同的权限,这样便能充分保证各自的安全,防止越权。
4.4.1.5.2.危险应用和URL的识别、管控
在学校内部,员工和访客通过无线访问网络,有可能会出现反问非法网络的情况,给普教带来安全风险。
针对于此信锐无线控制器内置全国最大的应用识别库和URL库,能自动识别危险应用和URL,我们可针对这些危险应用和URL进行封堵和控制,从而提高普教网络的安全性。
4.4.1.5.3.隧道加密,防止信息泄露
信锐无线系统支持国际标准的多种数据加密方式,保护数据不被窃取,学校可根据实际需要自行选择。
4.4.1.5.4.行为审计
信锐网络为校园有线无线网络完成用户的接入、认证,并对用户的有线无线网络行为和内容进行审计,包括但不限于HTTP外发内容、访问的网站和下载、邮件、FTP、TELNET、其它网络应用、网页内容、ACL拒绝行为、以及上网流量与时长控制。
通过配置审计策略,在角色中引用相应用审计策略,并给用户分配相应的角色,即可实现对用户的审计。
4.4.2.上网行为控制
4.4.2.1.应用控制
互联网应用众多,要在内网对各应用进行合理的管控,首先需要对应用进行识别。
AC内置庞大应用特征识别库,包含2000多种应用,4500种规则,600种移动应用。
可识别目前网络中各种主流应用,如微博、社区论坛、网盘、在线视频和移动APP等。
对于未知应用,AC支持自定义功能,用户可通过协议、IP、端口等元素定义内网系统应用,从而对不同用户进行控制。
AC不仅可以针对用户使用WEB、FTP、EMAIL等常用服务的情况进行控制,还能够通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
针对目前P2P应用泛滥的趋势,AC的P2P智能识别技术基于P2P行为进行识别,不仅能够对现有的BT、迅雷、电骡等P2P软件进行管控,还能够对不常用的、未来可能出现的P2P软件进行有效管控。
并且对P2P行为严重吞噬带宽资源的问题,提供P2P应用封堵措施。
针对类似P2P难以管控的应用,AC内置应用智能识别库,自动判断新出现应用特征,从而归类管理。
AC具备多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。
4.4.2.2.应用标签化
管理员可通过AC对应用或具体细分动作进行标签化,例如,迅雷下载定义为“高带宽消耗”标签、网盘的上传动作定义为“泄密风险”标签等。
管理员在制定策略时,可通过标签来选择相应的应用或细分动作,不用逐个选择,从而避免错选漏选,提高管理效率。
4.4.2.3.网页过滤
员工在日常需要使用网络的工作中,需要搜索访问互联网。
互联网的开放性带来了资源的传播和共享,同时也为不良资源提供了扩散的平台。
反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷,因此,需要网页分类、搜索引擎关键字过滤等技术来控制网页访问行为。
AC内置千万级URL库,将互联网网页分成60多个类别,同时每半个月实时更新和维护URL库。
AC提供自行添加URL的功能,在查询URL库中没有此URL地址时,用户可自行在设备界面进行添加,也可自定义URL类型,对企业内部网页进行管理。
AC具备URL智能识别功能,可对未知的网页进行自动学习、判别、归类,保持URL识别库动态更新。
4.4.2.4.发帖过滤
网络的开放性给人们带来更多的言论自由,但发表一些类似色情、反动、迷信或者暴力的信息,影响社会安定,造成了不必要的影响,企业或个人也要承担法律责任。
AC可对发帖进行关键字过滤。
天涯、猫扑、XX贴吧等论坛网站,AC可设置只允许登陆、看帖,但不允许发帖,或者实行发帖关键字过滤,灵活避免企业中出现泄密或者发表不良言论带来法律追究责任的风险。
4.4.2.5.邮件过滤
Email不仅是组织重要的沟通方式之一,同时也是最常见的泄密方式。
AC支持基于关键字、收发地址、附件类型/个数/大小过滤外发邮件,对于将文件修改后缀名、删除后缀名,或者压缩、加密后作为Email附件外发,试图躲过拦截与审查的行为,AC能够识别并进行报警。
同时,对于所有收发的webmail、Email邮件AC都可以全面记录并完整还原原邮件,并通过数据中心方便管理员对邮件日志进行查询、审计、报表统计等操作。
4.4.2.6.文件传输过滤
利用网络来进行文件传输在日常办公中普遍出现,而在文件传输过程中存在种种管理和安全隐患,如用户通过不可信的下载源下载了带毒文件、在文件打包外发过程中不慎夹带了涉密文件、终端因为中毒或被黑客控制主动发起外发文件行为而用户对此茫然无知,有意泄密者甚至会将外发文件的后缀名修改、删除,或者加密、压缩该文件,然后通过HTTP、FTP、Email附件等形式外发。
AC支持管控文件外发行为,如仅允许用户从指定的可信的下载站点下载文件而封堵其他站点,基于关键字、文件类型控制上传/下载行为,封堵QQ/MSN等IM传文件,允许使用Webmail收邮件而禁止发送邮件等。
其中,仅仅实现对外发文件的审计和记录显然无法挽回泄密已经给企业造成的损失,单纯的基于文件扩展名过滤外发文件、外发Email也无法应对以上风险。
鉴于此AC的文件类型深度识别技术能基于特征能够识别文件类型,即便存在修改、删除外发文件后缀名,或者加密、压缩文件文件外发的行为,AC也能发现并且告警,保护企业的信息资产安全。
4.4.2.7.加密应用识别
SSL(SecureSocketLayer)协议,被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输,利用数据加密技术,可确保数据在网络上之传输过程中不会被截取及窃听。
正因为如此,一方面,越来越多的网页使用SSL加密,如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站,而因为采用了加密技术,普通的管理产品无法对其内容进行识别管理,别有用心的用户可以利用这一缺陷绕过管理,通过SSL加密邮件、BBS、论坛发布的反动言论或者是向外发送组织的机密信息,导致管理漏洞。
AC可以对SSL网站提供的数字证书进行深度验证,包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等,防止采用非可信颁发机构数字证书的钓鱼网站蒙骗用户,此功能亦应用于过滤SSL加密的色情、反动站点,证券炒股站点等。
此外,AC拥有专利技术“基于网关、网桥防范网络钓鱼网站的方法”(专利号ZL200710072997.1)具有对SSL加密内容的完全管控能力,支持识别、管控、审计经由SSL加密的内容,如支持基于关键字过滤SSL加密的搜索行为、发帖行为、网页浏览行为,审计SSL加密行为如邮件发送行为,为组织打造坚固无漏洞的管理。
4.4.3.流量控制
学校的出口带宽有限,随着网络应用的丰富,出现各种吞噬带宽的应用,如P2P应用,若不对这些应用加以限制管理,企业的带宽资源必会被抢占,而核心业务却得不到带宽,从而导致整体网络速度变慢,影响正常的邮件发送和网络访问。
升级会员 