烟草进修学院无线校园网解决方案培训资料doc 48页.docx
《烟草进修学院无线校园网解决方案培训资料doc 48页.docx》由会员分享,可在线阅读,更多相关《烟草进修学院无线校园网解决方案培训资料doc 48页.docx(29页珍藏版)》请在冰豆网上搜索。
烟草进修学院无线校园网解决方案培训资料doc48页
烟草进修学院无线校园网
解决方案
华三通信技术
2011年04月
1概述
无线局域网(WLAN)技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。
无线局域网具有以下显著特点:
Ø简易性:
WLAN网桥传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作;
Ø灵活性:
无线技术使得WLAN设备可以灵活的进行安装并调整位置,使无线网络达到有线网络不易覆盖的区域;
Ø综合成本较低:
一方面WLAN网络减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网技术可以更好地保护已有投资。
同时,由于WLAN技术本身就是面向数据通信领域的IP传输技术,因此可直接通过百兆自适应网口和企业、学校内部Intranet相连,从体系结构上节省了协议转换器等相关设备;
Ø扩展能力强:
WLAN网桥系统支持多种拓扑结构及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统;
随着WLAN技术的快速发展和不断成熟,目前在国内外具有较多的中大规模应用,诸如荷兰的阿姆斯特丹市的全城覆盖,诸如无线上海、无线杭州的无线城市,向客户提供各种业务。
2需求分析
1.1总体要求
无线网工程的总体原则如下:
●侧重实际应用,覆盖园区内区域,为教学、科研、办公及学习、生活、交流提供切实可用的、稳定的无线网络环境。
●采取先进通行的协议标准,即目前无线局域网普遍采用系列标准,无线局域网提供802.11a、、802.11g、标准的联网支持,提供可供实际应用的稳定网络通讯服务。
●实现室内无线网络的合理分布,考虑室内实现无线网络的不同情况和特点以及目前园区室内手提电脑用户数量日益增多的情况,应采取合理的布网方式满足现在以及未来发展的需要。
●新建网络需要实现与现有的无线网和有线网的网络融合与统一管理。
●在实施无线覆盖工程时,如无特别说明,以考虑信号覆盖范围为主,单个AP的并发用户数及每用户无线上网带宽不作为工程的重要因素予以考虑。
●所有学生宿舍楼宇主要采用室外照射方式进行覆盖。
对于部分学生宿舍楼宇,在保证信号覆盖的前提下,如果不较大的提高综合成本,楼内的部署方式将更为可取。
●无线系统须具备对无线AP进行统一控制、管理的软硬件平台,软硬件控制、管理平台所提供的网元License数量与实际网元数量相匹配并易于扩充,软硬件控制、管理平台的采购、安装、调试工作由系统集成商负责。
●无线网系统必须实现与有线网现有认证系统对接,从而实现校园有线网与无线网的统一身份认证。
1.2覆盖范围
本次建设覆盖范围是全楼宇覆盖,主要是三个楼宇,分别是2号楼,8号楼,新楼,通过无线覆盖,要求交换机能够提供POE功能,实现全楼宇的无盲区高速有效无线覆盖:
(1)2号楼:
2号楼有6层,每层布置3台AP,。
。
。
(2)8号楼:
8号楼有7层,每层布置4台AP,。
。
。
(3)新楼:
新楼有7层,每层布置3台AP,。
。
。
1.3技术要求
●室内无线AP输出点信号强度<20dbm,室外无线AP输出信号强度<27dbm,目标覆盖区域任意点信号强度>-73dbm
●无线接入点供电方式需采用POE交换机远程供电
●为了满足大容量并且以备扩容和发展,室内无线AP要求必须支持两个射频模块,可以工作在和频段
●为了满足室内美观和覆盖要求,室内无线AP必须采用吸顶天线方式,天线要求工作在和频段范围。
●无线接入点(AP)必须支持IEEE802.11a、、IEEE802.11g、三种无线传输协议
●无线AP必须支持通过af兼容的POE交换机供电
●要求本项目中95%以上的无线AP需要使用POE交换机接入校园网,投标方须根据无线AP总数量配备所需POE交换机数量及POE模块数量
●无线AP必须支持无线用户的隔离功能,以防止在公共区域无线用户间的信息泄露
●无线AP自身具备智能的、无需要辅助设备就可根据周围电磁波环境的变化,自动进行频道最优化设置,以达到最优化覆盖的目的
●无线AP之间可根据相互通告来获取对方连接的用户数量及流量,从而实现AP的负载均衡,并支持用户在不同AP间平滑漫游
●无线AP支持射频(RF)信号加密特性,支持安全标准,提供WPA2认证机制可同时提供TKIP以及AES加密方式,且AP具有自动识别客户端两种加密请求方式
●无线AP支持SNMPVi/Vii管理及支持Watchdog功能
●无线系统的用户认证页面需要能够支持个性化定制,并完成与校园网当前使用的认证系统对接,从而实现无线用户上网时的接入认证,以达到对校园网上网用户进行统一认证及管理的目的
●无线系统须支持WPA以及WPA2认证,支持WPA/WPA2安全规范,支持标准的认证流程,内嵌RadiusServer,支持EAP-MD5,EAP-TLS,EAP-TTLS,PEAP等多种认证协议
●系统须支持WEB+DHCP认证,认证过程支持SSL的加密技术
●系统须支持基于MAC地址的认证,以及用户账号与MAC地址的绑定认证
●系统能够对用户进行访问控制(ACL)和策略路由,可建立完整的访问控制列表
●采用大容量控制器覆盖简化管理,投标方需要明确投标方案中控制器可管理的AP数量以及扩展能力
●系统必须具备扩展性,需要不更换控制器设备就能提供对设备的支持
●无线AP支持射频(RF)信号加密特性,支持安全标准,提供WPA2认证机制可同时提供TKIP以及AES加密方式,且AP具有自动识别客户端两种加密请求方式
●系统必须支持基于二层的用户隔离
●系统必须支持Portal业务,PortalServer支持可定制的Portal页面
●系统必须提供Web和SSH方式管理;支持SNMPv2/v3网管协议
●实现对现有网络系统的融合解决方案,包括不同在AP之间、不同交换机之间、不同控制器之间的漫游解决方案,以及与现有有线和无线网络管理系统的融合方案。
●本项目预计室内AP数目为67个。
3H3C无线校园网建设方案
1.4整体方案
基于网络的先进性考虑,本次烟草进修学院无线园区网项目采用目前主流的无线控制器+瘦AP的架构,在实现对校园进行无缝覆盖的同时,又能够实现对无线网络的灵活管理配置,提高网络维护效率
由于本次项目所需室内外AP总数67台,所以在本次无线园区网解决方案采用高性能无线控制器WX5004,WX5004放在网络核心,实现对于本期无线园区网中所有的室内AP的统一管理。
H3CWX5004高端无线控制器基础可管理64个AP,通过软件升级最大可管理256个AP,完全能够管理本次项目所需的室内AP;室内型AP采用WA2620-AGN双频AP,WA2620-AGN支持两个射频模块,可以同时工作在和5GHz,在设备数量不变的情况下,把网络的介入容量提高一倍,以满足WLAN用户快速增长的需求;PoE交换机采用S5120-28P-HPWR-SI和S5120-28P-PWR-SI,S5120-28P-HPWR-SI和S5120-28P-PWR-SI系列PoE交换机最大分别提供375W和375W的供电功率,可以满足24口同时接AP的供电需求;管理方面,建议部署有线无线一体化管理软件,通过WSM无线业务管理组件的方式实现对无线控制器、室内AP设备的统一管理。
具体的核心设备拓扑图和各楼拓扑图如下所示:
1.5无线校园网管理方案
H3C无线运营管理组件(WSM)在下一代业务软件平台iMC的基础上进行开发,不仅为用户提供了灵活的组件选择,同时符合业界主流的SOA架构,具备良好的扩展性,能够满足客户网络管理不断发展的需求。
基于Web的管理系统,为无线业务管理者提供了简便、友好的管理平台。
与iMC智能管理平台及其它组件配合,还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理、用户认证管理等功能,并可对网络中的其它设备进行统一管理,真正实现有线无线一体化管理。
组件的主要功能和特点如下:
1.无线有线一体化管理
H3C无线运营管理组件(WSM)作为iMC智能管理中心的无线业务管理核心,对于网络中的AC、FATAP、AC、FITAP、移动终端等无线设备与有线设备进行一体化集中管理,全网设备信息和状态一目了然。
网络资源通过多种视图进行查看,视图内分组管理,将规模巨大的无线接入设备有效组织,便于用户维护。
2.多样化的拓扑管理
H3C无线运营管理组件(WSM)中的无线业务逻辑拓扑帮助用户直观了解网络部署情况及设备/链路当前状态。
系统可根据不同的方式组织资源,有效进行拓扑分组、真实组织全网资源。
物理位置视图中用户可根据需要创建多纬度、多层次的物理位置结构,并在指定建筑物底图上根据真实情况摆放设备,逼近真实网络环境。
无线有线一体化拓扑
3.无线终端定位和漫游记录审计
H3C无线运营管理组件(WSM)可以直接在拓扑图中对移动终端的信息进行查看,包括MAC地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在AC设备、所在AP设备等,并能查看各移动终端的全部漫游记录,使用户随时了解最终接入用户的情况,并对其接入轨迹进行审计。
无线终端漫游记录审计
4.RF覆盖管理和无线网络规划
在实际无线环境的部署和维护中,需要关注无线设备的RF范围、覆盖管理以及无线网络规划扩容问题。
H3C无线运营管理组件(WSM)可以用很直观的拓扑图表示出无线网络中的RF状况。
无线RF覆盖状况
5.无线入侵检测和防护
无线网络灵活多变,并且基础设施不可见,因此比有线网络更容易遭到越权使用。
对于这类问题,H3C无线运营管理组件(WSM)提供了Rogue设备检测功能,可对无线入侵进行检测,可明确显示非法接入设备,并对其进行信息查询、加入黑名单及发起攻击等动作。
无线入侵检测和防护
6.丰富的无线统计报表
对网络进行运营管理需要对网络进行全方位的监控,从网络各种性能指标、告警指标中进行智能的统计和分析,才能有效从整体对网络状况进行衡量。
H3C无线运营管理组件(WSM)提供了丰富的无线统计报表查询和定制功能,以帮助管理员对网络进行综合而全面的管理。
1.6安全方案
1.6.1防ARP病毒
ARP欺骗攻击不仅会造成联网不稳定,引发用户无法上网,或者企业断网导致重大生产事故,而且利用ARP欺骗攻击可进一步实施中间人攻击,以此非法获取到文件服务等系统的帐号和口令,对被攻击者造成利益上的重大损失。
因此ARP欺骗攻击是一种非常恶劣的网络攻击行为。
无线局域网由于带宽相对较窄,而且同一个AP下的所有用户都共享带宽,所以一有用户中ARP病毒,频繁发送ARP报文,对网络的影响比有线更大。
针对无线网络的特点,H3C创新的在WLAN上提供防ARP病毒方案,首先同一个AP的同一个SSID下的用户缺省启动用户隔离,这样用户发送的ARP报文不会被转发给其他用户,其次H3CARP攻击防御解决方案通过对客户端、接入交换机和网关三个控制点实施自上而下的“全面防御”,并且能够根据不同的网络环境和客户需求进行“模块定制”,为用户提供多样、灵活的ARP攻击防御解决方案。
H3C提供两类ARP攻击防御解决方案:
监控方式,认证方式。
监控方式主要适用于动态接入用户居多的网络环境,认证方式主要适用于认证方式接入的网络环境;实际部署时,建议分析网络的实际场景,选择合适的攻击防御解决方案。
另外,结合H3C独有的iMC智能管理中心,可以非常方便、直观的配置网关绑定信息,查看网络用户和设备的安全状况,不仅有效的保障了网络的整体安全,更能快速发现网络中不安全的主机和ARP攻击源,并迅速做出反映。
1.6.2无线入侵检测
H3C的WIDS目前主要包括下面三个特性:
✓非法设备检测;