西南石油大学无线校园网扩展升级设计文档格式.docx
《西南石油大学无线校园网扩展升级设计文档格式.docx》由会员分享,可在线阅读,更多相关《西南石油大学无线校园网扩展升级设计文档格式.docx(6页珍藏版)》请在冰豆网上搜索。
2.2学生宿舍校园网的部署方式
目前,我校学生宿舍网络由校园网有线和运营商无线覆盖:
有线部署方式:
各学生宿舍接入二层交换机,接入交换机通过楼栋汇聚交换机连入校园网络,每个宿舍只有一个RJ-45接口,学生需要另外购买一台家用交换机,才能供几个人同时上网。
无线部署方式:
由运营商提供的WLAN覆盖。
2.3教师公寓校园网的部署方式
教师公寓与学生宿舍区类似,通过楼栋交换机接入用户房间,每家用户有一个接口,使用802.1x认证上网,如果需要多个终端同时上网,则需要另设置家用交换机或者支持802.1X、DHCP的无线AP。
2.4存在的问题
由于学校校园基本使用有线网络覆盖,实行单帐号单终端认证模式,不仅需要大量设备资源来满足接入需求,而且接入认证方式繁杂。
教师公寓在原有的有线网络基础上,使用小型无线AP实现单账号多终端同时上网来进行室内无线扩展,但是这种扩展方式只能满足部分区域覆盖,不能集中管理,不支持无缝漫游,存在很多安全性、稳定性、服务质量等方面的问题,因此只是一种临时的解决方案。
学生住宿区和公共教学区使用运营商的无线覆盖,资费较贵,信号覆盖不是很好,远远不能满足教学和各种智能终端的上网需求。
因此,校园网急需一种更优的无线扩展方案。
三、设计方案
分析现有校园网,可以发现校园网主干和相关无线网关基本完善,为了解决学生宿舍和教师公寓当前面临的室内无线网络部署问题,在设计时采用了锐捷公司的无线网新一代室内解决技术——智分设计方案。
该设计方案不仅保护了现有校园网络的结构,又能在此基础上,实现对学生宿舍和教师公寓区域进行稳定、高质量的无线覆盖。
3.1新方案拓扑结构
3.2无线智分技术的优点
锐捷无线智分解决方案,是一套以智分型AP、低损馈线、美化天线为主体的无线部署方案,集放装与室分部署的优势于一身,能够有效提升和改善无线访问质量,适合学生宿舍和教师公寓这些房间分布密集区域的无线部署。
智分方案具有以下优点:
(1)一套器件可以覆盖6个房间;
(2)没有中间设备,节约成本;
(3)速度快,信号干扰少,覆盖面广,能较好的解决信号死角问题;
(4)部署容易:
只需要3个设备(AP,馈线,天线);
(5)维护简单:
因为没有中间设备,只需要检测这三个设备;
(6)在走廊部署美观。
3.3学生宿舍和教师公寓无线智分设计
智分AP分别安装在学生宿舍走廊天花板和教师公寓楼道间,通过低损馈线连接美化天线接入室内,其中美化天线只有一枚硬币的大小,安装在墙上几乎感觉不到它的存在。
智分AP内置智能功分模块,配合锐捷网络独有的“i-Share”技术,可实现AP智能的“一分多”部署模式,能同时满足6家用户的上网需求,每栋学生宿舍和教师公寓分别只需30台和4台智分AP,就能完成无线覆盖,有效地减少了投资。
可见,智分设计能在原有布线的基础上,对房间内的任何角落进行稳定、高质量的无线覆盖,有效地解决了室内信号死角的问题,充分满足用户在上网过程中对信号、性能、部署和美观度的要求。
智分AP工作在Fit(瘦)模式时,在安装前无需预设置,在现场安装实施和后期维护中,产品的更换无需重新配置,可随时从无线控制器继承配置信息自动完成配置,将实施和维护的工作量大大降低。
另外,除了支持本地供电外,智分AP还支持以太网供电标准协议(802.3af),其以太网端口可通过End-spanPSE(PoE供电交换机)设备或Mid-spanPSE(PoE供电适配器)设备,在以太网线缆上接受通信数据和电力提供。
管理员可通过远程网络直接对设备进行操作,同时也避免了电源供电不方便的问题,大大降低了部署难度和安装成本。
智分AP支持WEB和802.1x认证模式,通过和锐捷无线控制器(AC)的协同工作,用户使用浏览器和SU客户端即可完成认证过程,不仅保证了接入用户的合法性,而且用户能快捷便利的使用无线网络,极大的提高了用户的体验感。
另外,通过与RG-WS系列无线控制器产品的配合,无线用户在RG-AP200E(M)之间移动访问时,可以保证二层网络和三层网络的无缝漫游,用户在过程中不会感觉到数据访问的中断。
还支持虚拟无线分组技术,通过虚拟无线接入点(VirtualAP)技术,整机可最大提供32个ESSID,支持32个802.1QVLAN,网管人员可以对使用相同SSID的子网或VLAN单独实施加密和隔离,并可针对每个SSID配置单独的认证方式、加密机制等,无线认证拓扑及原理见图6、7。
WEB和802.1x虽然认证方式不同,但基本原理相同,都是通过AC与Radius服务器对用户进行身份认证,AC配置见表1、2。
3.4集中式的网管平台
有线无线一体化管理极大地提升了网络管理者的运维管理效率,目前教师公寓使用的是锐捷管理系统,采用基于Web的RG-SNC管理系统,为网管人员提供了易用性极强的管理平台,RG-SNC可对无线网络中的无线控制器、无线接入点等设备与有线网络设备进行一体化集中管理,网管人员对全网设备信息和状态可做到随时全盘掌握。
通过整体拓扑监视、多视图维度的监视和分组管理,可对客户大规模部署的无线网络设备进行集中化的控管。
而学生宿舍使用的是H3C管理系统,采用的是iMC—智能管理平台,除了传统的路由器、交换机外,更能对网络中的无线、安全语音、存储、监控、服务器、打印机、UPS等设备进行管理,实现设备资源的集中化管理。
并且除了对H3C的网络设备管理外,iMC平台还兼容对其他主流厂家网络设备的管理,支持用户手动添加设备型号、设备厂商,从而可以实现对学生宿舍和教师公寓的统一管理。
图7线认证原理
表1WEB认证的配置
配置命令
注释
//启用web-authAAA认证
AC-1(config)#aaanew-model//启用AAA认证功能
AC-1(config)#aaaaccountingnetworkdefaultstart-stopgroupradius//定义用户上下线审计默认使用列表
AC-1(config)#aaaauthenticationweb-authdefaultgroupradius//定义web认证默认使用列表
//配置radius服务器IP地址、key等相关参数
AC-1(config)#radius-serverhost192.168.34.183keyruijie//配置radius服务器KEY及IP
AC-1(config)#ipradiussource-interfacevlan90//使用vlan90的IP和radius对接
AC-1(config)#radiusdynamic-authorization-extensionenable//配置AC支持radius扩展属性
AC-1(config)#radius-serverattribute31macformatietf//如ESS对接出现无法强制用户下线的情况,可以尝试调整MAC格式
//在AC上配置认证页面的主页地址
AC-1(config)#portal-servereportalv2ip192.168.33.128urlhttp:
//192.168.33.128/eportal/index.jsp//定义eportalv2的重定向页面
AC-1(config)#web-authportal-typev2eportalv2
//开放免认证访问资源
AC-1(config)#httpredirectdirect-site172.18.10.3//必须开放网关arp
AC-1(config)#httpredirectdirect-arp192.168.33.1
//在AC上对wlanl开启web认证功能
AC-1(config)#wlansec1
AC-1(config-wlansec)#web-authportal-typev2eportalv2//启用二代web认证
AC-1(config-wlansec)#webauth//启用web认证功能
//配置snmp服务器(eporal,SAM)
AC-1(config)#snmp-serverhost192.168.33.128trapsversion2cruijie
AC-1(config)#snmp-serverhost192.168.34.183trapsversion2cruijie
AC-1(config)#snmp-serverenabletrapsweb-auth
AC-1(config)#snmp-servercommunityruijierw
3.5有线、无线统一认证
我校目前教师公寓的有线网络使用的是锐捷网络的RG-SAM认证计费系统,新建设的无线智分网络能够实现与SAM的无缝融合,而且RG-SAM3.X支持标准的802.1X协议,可以与其他厂商支持相应标准的产品兼容。
通过无线控制器与RG-SAM的联动认证,不但可以使用原有的账户信息,并且还可以利用无线控制器内置的扩展属性功能来为无线用户进行更多的控管,例如,可以限定某个用户的上网时间段、可以限制某个账户在哪些区域可以认证、哪些区域不可以认证等新功能。
并且实现了对用户安全行为策略功能,针对不同的用户名分配不同的访问权限和采取不同的行为控制,保护无线网络访问安全。
学生宿舍的有线网络使用的是H3C-iMC认证计费系统,正如前面所说,iMC和RG-SAM都可以与其他厂商支持相应标准的产品兼容,因此,对于新建设的无线智分网络也能实现与iMC认证系统良好的兼容。
可见,新建设的无线智分网络既保护了学校前期的投资,在不改变学生宿舍和教师公寓的有线部署及认证方式的基础上,又能实现有线和无线的统一管理和认证。
表2802.1x认证的配置
//启用802.1xAAA认证
AC-1(config)#aaaauthenticationdot1xdefaultgroupradius//定义dot1x认证默认使用列表
//配置radius服务器IP及KEY
AC-1(config)#radius-serverhost192.168.33.244keyruijie//配置radius服务器KEY及IP
//配置802.1x使用的认证列表等参数
AC-1(config)#dot1xauthenticationdefault//dot1x认证使用默认列表
AC-1(config)#dot1xaccountingdefault//dot1x审计使用默认列表
AC-1(config)#dot1xeapol-tag//AC可以处理带VlanTag认证报文,默认都需要配置
//WLAN启用802.1X
AC-1(config-wlansec)#securityrsnenable//启用WPA2认证
AC-1(config-wlansec)#securityrsnciphersaesenable//启用AES加密
AC-1(config-wlansec)#securityrsnakm802.1xenable//启用802.1X认证
//配置SNMP功能
AC-1(config)#snmp-serverhost192.168.33.244trapsruijie
AC-1(config)#snmp-servercommunityruijie
四、结束语
对现有的校园网进行升级与改造,只要合理部署和引入恰当的应用技术,就能够有效地满足师生对在不同环境、不同应用条件下网络服务需求。
通过使用无线网新一代室内解决技术——智分方案设计,我们保证了在保护现有网络投资,不改改变校园网结构与部署方式的基础上,对学生宿舍和教师公寓进行有效的、高质量的无线扩展覆盖,满足了师生多种使用网络的方式的需要,为深入开展国家教育信息化提供了应用的基础环境。
升级会员 