无线网络覆盖方案Word下载.docx
《无线网络覆盖方案Word下载.docx》由会员分享,可在线阅读,更多相关《无线网络覆盖方案Word下载.docx(24页珍藏版)》请在冰豆网上搜索。
随着单一项目的无线网络规模的扩大,双频双模无线AP的出现以及IEEE802.11n协议的无线AP的问世,无线AP的上行带宽越来越高。
因此,集中式转发已经成为数据传输瓶颈,为了解决这一问题,提高无线网络传输性能,瘦AP开始采用本地转发,集中管理的架构,即从瘦AP上行的业务数据都有AP直接通过交换机转发到网关,不在经由无线控制器进行转发。
只有瘦AP的管理数据和是在无线控制器和AP之间交互,这种交互数据的数据流非常小,因此无线控制器开始采用单臂旁挂核心交换机的方式进行部署,我们称这种部署方式为旁路部署。
图3.2-1集中转发&
本地转发示意图
前面讲到数据采用本地转发的瘦AP与无线控制器之间的管理数据流量很小,无线控制器的数据转发性能,随着服务器性能的大幅提升以及虚拟化技术的完善和普及,软件形态的无线控制器应运而生。
很多人把简单的认为软件形态的无线控制器就是把硬件形态无线控制器里的系统抽离出来形成的,所以除了形态上的差别之外其他都是一样的。
其实这是一个简单而且错误的理解,软件形态的无线控制器的产生更多由于虚拟化技术和云数据中心的普及而产生的,因此软件形态的无线控制器自身的首要特性就是虚拟化特性,云特性。
例如一台软件形态的无线控制器,可以根据不同用户群定制属于自己的虚拟化控制器,用于实现对自己区域的无线AP的个性化管理。
我们把这种虚拟化称为1:
N虚拟化。
而当一个大型网络中有多台软件形态的无线控制器,他们可以形成一个统一无线管理控制器池,任何一个控制节点出现问题都不会出现瘦AP脱管的现象,形成一个统一的,整体的无线网络控制云平台,我们把这种虚拟化称为N:
1虚拟化。
由此我们可以看出软件形态的无线控制器的基本特性就是支持虚拟化和云特性。
基于这些虚拟化特性我们也把软件形态的无线控制器成为“云”无线控制器。
目前采用“云”无线控制器的主要代表厂家有思科和神州数码。
两种形态的无线控制具有哪些特性差异,如表3.2.1,我们对两种无线控制器的主要差异特性做了简单的对比。
表3.2.1无线控制器特性对比:
特性
硬件形态无线控制器
“云”无线控制器
具有虚拟化特性
不具备
具备
管理AP数量
单台≤4000(主流产品)
软件系统无AP管理上限
端口配置
千兆电/光口≥4;
具有万兆端口或扩展插槽
端口依托于服务器配置的网卡类型
AP数据转发方式
支持本地转发和集中转发
支持本地转发
AP部署方式
二层部署、三层部署
二层部署、三层部署、跨NAT部署
根据两种形态的无线控制器的特性差异我们来做一个简单的综合分析。
传统的硬件形态无线控制器一台设备可管理的最大AP数量一般在4000台左右,市场上目前主流销售的硬件无线控制器最大管理AP数量在2000台以下,由此可以看出传统硬件无线控制器主要用于园区无线网络的部署。
某市教育城域网项目的大型城域级的无线网络如果采用硬件无线控制器由于管理AP数的限制,就只能采用分布式部署的方式,即以学校或者更小的区域为单位,将无线控制器分别部署在这些单位中,或者采用集中式分组部署,即将多台无线控制器集中放置在区教育局中心机房,以管理地址段作为划分手段将AP分别指不同的无线控制器来管理。
以上两种部署方法确实可以解决无线AP的管理问题,但是如前面所讲,从后期管理运维的角度考虑,这两种部署方式在网络中增加了多台无线控制器,网络拓扑变的复杂,网络管理员需要维护的设备数量增加。
网路认证策略,QoS策略需要在每台控制器上配置一次,在网络出现问题时,需要做大量的数据检测和排除工作,运维效率降低。
“云”无线控制器从功能设计上并没有AP管理上限。
AP管理上限取决于承载“云”无线控制器的服务器硬件性能。
而“云”无线控制器的虚拟化特性允许采用服务器横向扩展(Scaleout)的方式来提升管理性能,同时还实现了冗余。
由于“云”无线控制器的虚拟化特性,即使服务器采用横向扩展方式进行扩容,它从管理运维的角度看只是一个管理节点,网络管理员看到的管到的始终是一台无线控制器,不需要为学校的AP归哪个控制器管而划分群组。
从端口配置上看,某市教育城域网这种大型的无线网络部署无线控制器都会采用旁路部署,无线AP采用本地数据转发的方式,这种方式无线AP与无线控制器之间之交互管理数据,数据流量小,只需要1到2个万兆接口接入核心交换就可以完成链路部署。
因此硬件控制器上所配置的丰富的接口和高速的数据转发性能都起不到什么作用。
基于以上分析可以看出,在某市教育城域网项目中,使用“云”无线控制器具有扩容更容易,拓扑更简单的特点,更易于后期的网络维护。
3.4.2无线控制器的部署
图3.2.2-1“云”无线控制器部署示意图
如图3.2.2-1所示,“云“无线控制器只需要部署在教育局网络中心的运维管理区。
建议配置两台服务器运行“云”无线控制器,服务器前端配合一台链路负载均衡,两台服务器对AP管理实现负载均衡,并且避免单点故障引起网络问题。
3.5无线AP的选择与部署
无线AP首先要满足某市教育局无线控制器管理要求,能通过CAPWAP协议与某市教育局的无线控制器进行对接。
AP需要满足50人同时接入,因此无线AP要采用IEEE802.11n/IEEE802.11ac协议的无线AP,并且支持2.4GHz和5.8GHz双频双模,AP要采用2x2:
2或以上MIMO架构。
无线AP支持IEEE802.3af或IEEE802.3at供电协议,通过PoE方式供电。
由于无线AP的最大传输带宽已经超过百兆,所以上行PoE交换机建议采用千兆PoE交换机。
交换机要支持至少370W的PoE功率输出,并且支持IEEE802.3af和IEEE802.3at协议。
在本项目中推荐采用神州数码的DCWL-8200系列AP和S5750E系列PoE交换机。
3.6实名认证系统部署
要满足全市内账户漫游,就需要一个统一的实名认证系统对某市所辖学校所有网络账户进行统一管理和统一认证,网络用户不管身处哪所学校都可以使用自己的账户登陆网络。
现在主流的认证系统一般分为两类,一类是网关型认证系统,以硬件形态为主,一般串行在网络出口。
第二类是软件型认证系统,一般部署在网络中心机房的管理区,通过与作为认证发起设备的联动实现认证。
某市信息化教学应用非常丰富,干网带宽已经达到万兆,如果采用网关型认证系统可能会产生网络瓶颈,鉴于此,本项目中推荐使用软件型认证计费系统。
神州数码的软件计费系统是有DCSM-RS认证服务平台和DCSM-BW综合业务管理平台两部分组成。
DCSM-RS提供集中的宽带网络用户认证,授权和计费,及接入策略管理,为电信运营商和大中型园区网提供类型丰富、配置灵活的宽带运营业务模式,如集中认证、漫游认证、内外网准入准出认证、Portal认证、免认证Portal推送、无感知认证等,以及WLAN、远程/VPN、PPPoE拨号、IPoE、802.1x等各种基于身份的认证支持。
DCSM-BW是作为DCSM-RS配套使用的综合业务管理后台软件,实现宽带运营中的策略配置、用户管理、用户业务办理、账务处理、统计输出等综合业务功能,是用户对宽带运营管理的统一操作界面。
3.4.1DCSM-RS实名认证系统部署方式:
图3.4.1-1实名认证系统部署示意图
DCSM-RSRadius平台一般与DCSM-BW宽带业务管理平台同时部署,DCSM-RSRadius平台负责用户实时认证、计费、控制策略下发以及Portal页面推送,DCSM-BW宽带业务管理平台则负责用户管理、业务策略配置、账务处理、统计报表输出、自助服务、数据维护等后台业务功能。
DCSM-RS与DCSM-BW服务器均需旁路部署在受防火墙等网络安全设备保护的数据中心中,原网络的部署与结构无需调整,只需接入控制层的网络设备支持相关的Radius和Portal协议,另外防火墙等网络安全设备须允许RADIUS、PORTAL报文通信。
3.4.2网络认证方式
主流的认证方式有802.1x认证,Portal认证,无感知认证,PPPOE认证,手机短信认证,二维码认证。
802.1x认证一般需要采用客户端或者配置启用终端系统自带的802.1x客户端来进行认证,对终端用户的技术要求较高,多系统平台的兼容性较低,管理员维护工作量增加。
因此在本项目中不建议采用。
Poral认证采用WEB页面重定向方式用浏览器为用户推送认证页面,用户终端不需要其他第三方软件就可实现认证。
市场上主流的视窗类系统都支持,兼容性高。
由于认证时通过用户常用浏览器进行认证,对用户的技术要求低,管理员维护工作量很小。
在保证网络安全认证的同时,用户要求简化认证流程,因此神州数码推出了无感知认证,用户在第一次通过Protal认证之后,再次连接网络就不需要在进行认证,直接就可以接入网络,大幅简化认证流程。
是本项目中作为首选的认证方式。
PPPOE认证同样需要使用客户端进行拨号上网,对于移动终端系统的兼容性低,后期维护工作量大。
手机短信认证主要用于外来访客的上网认证需求。
例如,学生家长,其他地区的参观团,当这些用户有接入网络需求,如果通过管理员一个一个的开通账户效率低,工作量大。
采用手机短信认证的方式,用户通过自己的手机按需开通账户,管理员只需要预设好账户有效时间,账户到期后会自动销户。
不需要管理员花时间精力去管理这些账户。
管理员可根据实际情况随时打开或关闭短信认证方式。
二维码认证是目前基于移动终端应用的一种认证方式,系统将访客终端的MAC地址信息以二维码的方式表现出来,网络授权由用户通过手机扫描二维码的方式进行授权。
下面对Portal认证,二维码认证,手机短信认证和二维码认证做一个讲解。
A.Portal认证
Portal认证是通过浏览器重定向用户访问页面,将通过网页浏览的方式进行用户认证的方式。
用户上线认证方式有两种:
CHAP和PAP,其中CHAP方式为必选功能,PAP方式为可选功能。
PAP是明文认证方式,所以一般建议采用CHAP加密认证方式。
以Chap为例的用户上线认证流程,如下图所示:
图3.4.2-1认证流程示意图
1.用户访问网站,经过AC重定向到DCSM-RS,DCSM-RS推送认证页面;
2.用户填入用户名、密码,提交页面,向DCSM-RS发起连接请求;
3.DCSM-RS向AC请求Challenge;
4.AC分配Challenge给DCSM-RS;
5.DCSM-RS向AC发起认证请求;
6.而后AC进行RADIUS认证,获得RADIUS认证结果;
7.AC向DCSM-RS送认证结果;
8.DCSM-RS将认证结果填入页面,和门户网站一起推送给客户;
9.DCSM-RS回应确认收到认证结果的报文。
DCSM-RS集成功能完整的Portal门户推送平台,支持运营商及厂家接入设备Portal协议,可基于位置(VLAN/IP)和终端类型推送指定的页面,使之成为运营商优异的基于Portal门户页面的广告运营、业务推广等增值业务平台。
DCSM-RSPortal功能特性:
快捷便利的Portal页面编辑
内置Portal页面编辑工具,可针对不同网络位置或商户选择或编辑Portal,实时动态定义页面风格、样式、内容及使用方式等等,充分展现用户的个性,使运营商能够快速更新门户信息,快速响应市场及合作商的需求,同时也促使终端用户感受有效的信息体验,增加用户对Portal门户的粘度。
WEBPortal认证和兼容性
支持行业标准的Portal通讯协议和漫游认证协议规范。
遵循《中国移动WLAN业务PORTAL协议规范》、《中国移动WLANPortal设备规范》、《中国电信WLAN漫游认证WISPr协议规范》
支持Cisco、Aruba、华三等主流无线设备厂家Portal协议
基于终端类型的页面推送
自动匹配用户终端类型的页面推送,如智能手机、平板电脑、笔记本电脑等,为用户提供优质便利的接入体验。
基于位置的内容推送
根据用户的位置(VLAN/IP段)推送不同的内容,为场地运营者(如公共区域的不同商户、企业等)提供个性化的网络门户,实现广告运营、消费者互动等增值业务和商业模式。
B.无感知认证
用户无感知认证方式,解决用户需要提升使用者体验的同时,又保证了网络使用的安全性。
用户无感知认证,用户在第一次portal认证后,后续上网行为无需再输入账号密码,在用户无感知的情况下认证通过上网,保证安全性的同时提升了用户体验。
具体实现设计如下图所示:
图3.4.2-2用户首次认证示意图
图3.4.2-3用户再次上线认证示意图
注意:
图中的MAC绑定服务器并不是单独的一个设备,是在AAAserver中的扩展功能,为了表述清晰,将其单独提出。
用户使用体验流程:
图3.4.2-4无感知认证流程图
如流程图所示,用户在第一次连接网络的时候,需要弹出portal,输入账号密码,点击确认,认证通过后可以访问网络;
后续上网,无需再弹出portal,输入账号名密码等繁琐操作,给用户的感觉是连接wifi,就直接上网了;
实际底层是经过了安全身份认证。
该种方式,确保无线网络的安全性,网络用户使用可追溯,保证了用户管理的需要,又避免了网络用户的繁琐操作,提升了用户上网体验。
C.手机短信认证
无线上网用户主要分成内部固定用户、外来访客用户两种,在无线覆盖环境中,由于用户流动性强,如何有效的对外来访客进行管理,体现无线的便捷性及安全性,成为重中之重。
对于外来访客,为了网络安全,接入企业的无线网自然需要经过身份认证,以便监控与管理。
为了提供给访客简单快捷的获取上网账号密码的方式,特别是对于办公区域面积比较大的园区,像拥有多个办公楼的园区,让访客只能在一个固定的地方且需要经过人工办理的方式获取上网账号密码,既费时又占用人力,所以访客自助获取账号密码是比较简便快捷的方式。
短信认证是指通过短信发送密码,由后台服务器通过短信猫和短信通道发送,短信猫用的最多是socket接口,短信通道一般为http接口,三大运营商基本都是用http接口,具体调用接口的内容各有不同。
DCN无线网络运营方案提供多种短信认证接口,包含通过短信猫方式、与当地运营商对接方式以及与短信运营公司对接方式。
a)与当地运营商购买短信网关服务
一般在用户当地运营商,都有短信网关服务,无线网络管理者直接跟运营商进行短信购买即可。
短信发送账号密码拓扑示意图如下:
图3.4.2-5短信网关认证流程图
如图所示,在短信网关使用的情况下,网络架构是无需变化调整的,只需后台RadiusServer软件开通短信通道接口即可。
b)与短信运营公司对接
为节省运营管理者的成本,RadiusServer软件的短信通道也支持与该类运营公司对接,通过运营公司的固有出口连接到移动、联通等各大运营商网,实现短信下发到最终用户。
无线网的运营管理者只需与短信类运营公司进行资费洽谈以及短信量购买,该费用会低于直接与各大运营商直接购买费用,同时无需多个运营商洽谈的麻烦。
拓扑示意图如下:
图3.4.2-6短信运营公司认证流程图
c)短信猫方式。
单独购买一台短信猫设备,通过socket接口与认证计费系统对接。
通常不建议用短信猫方式,短信猫相当于一个手机,单条短信成本高,按普通短信价格收,用户体验不好,且容易被运营商屏蔽。
d)用户短信认证步骤:
图3.4.2-7认证步骤
DCN方案同时支持终端portal页面推送的定制,方式便捷易用。
通过手机申请帐号,便于对流动用户的管理,对网络访问问题可有效追查定位。
用户自助完成上网账号获取,可以节省企业管理方的人力成本和维护成本,下面以本系统在珠海移动无线城市的案例为例,介绍自助上网获取的过程:
无线用户访问任意网址后,通过Portal强制重定向指定页面,输入个人手机号码,如下图:
图3.4.2-8认证界面
如果输入手机号码正确,则提示动态密码发送成功,如下图:
图3.4.2-9认证密码发送提示
登录成功后页面如下提示:
图3.4.2-10用户通过认证
Portal页面可自动匹配用户的终端类型,如手机用户,则系统推送的Portal页面如下:
图3.4.2-11手机认证页面
D.二维码认证
二维码认证可以授权人可以通过手机扫描认证系统为被授权人生成的二维码来对被授权人进行授权,当通过授权后被授权人就可以使用自己的终端直接访问网络。
这种方式避免了管理员为来访者逐一开户,管理员只需要将网络授权时间设定好,超时后临时账户自动删除。
认证流程如下图:
3.4.3认证系统分权管理
在认证和账户管理上某市教育局要求进行统一认证,统一管理。
但是使用主体是学校,学校因为一些临时要求需要对账户进行开户,销户等操作,而如果每次都通过教育局管理员来操作效率低下,不能满足需求。
而DCSM校园宽带认证计费系统支持完善的角色权限管理。
可以为学校管理员分配一定的账户权限,让学校管理员可以针对本校需求进行简单的账户开户,销户的操作。
DCSM-RS可以为角色信息配置工号、姓名、别名,可以分别用其中之一登录系统。
可以配置系统使用者是否可以多点登录系统及源地址范围绑定等。
功能权限:
系统导航的每个功能点都可以在权限中进行具体配置;
内容权限:
对各种套餐组、资费组、地区组等组属性可以具体配置各个系统使用者允许操作与查看的组,从而决定可以管理的用户范围。
方便实现不同校区的权限管理。
图认证系统分权管理界面
3.4.4用户自服务平台
自助服务系统支持丰富的自助查询与自助业务办理功能,自助系统开放的功能可以在后台管理界面上由系统管理员统一配置,比如允许开放的自助查询业务、自助变更套餐、停/开机等。
此外,还可以灵活配置允许自助维护用户资料的选项,比如哪些用户资料允许变更,哪些允许一次性变更等。
支持界面的换肤功能,用户可以选择自己喜欢的界面风格,为最终上网用户提供友好的使用感受。
3.7无线管理系统部署
神州数码的DCLM是一套有线无线一体化的综合网络管理平台,可从计划、实施、监控、配置、问题处理、报告等对企业网络进行全面的管理。
通过集中、直观、易于使用的用户管理界面显著地降低了网络运营成本。
提供清晰的网络管理和控制平台,无线管理组件DCLM-Wlan,支持包括AC、AP和移动客户端的位置的实时监控,wlan安全实施和防御的网络实时监控,网络自动化和调度范围内的配置,快速、高效的故障排除。
支持发现并管理有线设备,DCLM-Lan组件提供有线服务,包含设备的状态、设备名称、设备组、IP地址、MAC地址、位置、联系人、设备类型、供应商、型号、软件版本、硬件版本、固件版本、配置版本、设备序列号、TOP10告警信息、CPU和内存使用率、响应时间和丢包率、交换机的所有的接口信息等等功能。
倘若当前交换机是POE设备,还可以对接口进行开关设置。
支持位置服务功能,其DCLM-Location组件支持在热点地图上定位客户端、流氓客户端或流氓AP的位置等功能。
图3.5-1无线终端定位
支持无线规划功能:
DCLM-Planner组件能够帮助用户在地图上手动或自动的规划AP的位置,保证满足热点覆盖率。
DCLM产品主要配合神州数码设备使用,提供简易的图形化的配置界面,实现通过智能的按时按需方式对单个或批量设备进行配置修改,配置文件备份/恢复,和固件升级,从而大大降低管理员的维护强度和难度。
可以满足从小型,中型,大型wlan和lan部署多达数万的网络设备的需求,支持神州数码全系列无线AC和AP产品,以及全系列路由和交换产品,并支持第三方网络设备的发现,拓扑和统一监控。
3.8安全运维审计部署
由于信息系统的脆弱性、技术的复杂性、操作的人为因素,在设计以预防、减少或消除潜在的风险或风险暴露的安全控制时,还应考虑运维管理与操作监控机制以预防、发现错误或违规事件,对IT风险进行事前防范、事中控制、事后监督和纠正的组合控制。
IT运维审计作为预防性控制的有效补充,并检查、监控控制的适当性与充分性,在信息科技风险管理中发挥极重要作用。
对IT系统运维进行审计,是控制内部风险的一个重要手段,但大型机构的IT系统构成复杂,操作人员众多,如何有效地执行审计工作,是长期困扰各组织信息科技和风险稽核部门的一个重大课题。
对任意组织而言,采用基于计算机的审计技术或工具(CAATs,ComputerAssistedAuditTechniques/Tools
升级会员 