迈普普教无线网络解决方案.docx
《迈普普教无线网络解决方案.docx》由会员分享,可在线阅读,更多相关《迈普普教无线网络解决方案.docx(30页珍藏版)》请在冰豆网上搜索。
迈普普教无线网络解决方案
迈普普教无线网络解决方案
(内部资料,注意保密)
方案背景
(学校简介)
海门市海南中学创建于1994年,是海门市教育局直属学校。
学校占地面积60000平方米,已有48个班级,2770名学生,185名教职工。
几年来,在一流的教学气氛的熏陶下,学校师资队伍得到了进一步优化。
该校现有研究生学历6人,中级以上职称71多名,获国家、省级荣誉约15人,省特级教师1名,南通市学科带头人3人,南通市骨干教师1人,海门市学科带头人14人,海门市骨干教师15人,海门市教坛新秀22人,有10多人次在省级优课评比中获奖,20多人次在南通市级优课评比中获等级奖,200多人次在海门市级优课评比中获等级奖。
优秀的教育资源换取了丰硕的教学成果。
1997以来,学校在海门市素质教育十项指标百分考核中,连续多年被评为特等奖。
近几年,学校就有800多名学生在全国数学、英语、物理、化学、科技等竞赛中获奖。
针对海南中学的无线接入需求,迈普提了校园无线网络解决方案。
它支持无中断的无线教学,通过迈普校园无线网络平台,学校可以:
1.无忧的使用建立在迈普无线网络平台下的各种教学应用。
2.轻松的管理整个无线网络,对接入的学生进行身份验证、上网行为审计。
3.通过覆盖整个校园的无线网络,使校园内每个学生和老师随时、随地,安全的接入到无线网络。
普教应用场景和需求分析
图表1普教无线网络应用场景
如今,移动装置越来越多的被引进中小学。
学生和老师正在使用移动Wi-Fi装置如笔记本电脑、平板电脑、电纸书、智能手机等手持终端进行互动教学。
而这一切,都离不开随时随地的校园无线接入。
校园无线网络不受有线网络布线的限制,用户终端可以灵活的摆放和部署。
此外,校园无线网络易扩容,增加一个终端,无需重新规划网络增加布线施工。
基于这些优点,最近几年校园无线网络成为学校信息化的热点,在越来越多的学校被广泛部署。
但同时,校园无线网络也提出了一些新的挑战。
首先,学校的环境复杂,无线网络要覆盖到包括教学楼、宿舍楼、图书馆、办公楼、操场等室内外区域。
在良好带宽保障的同时,要做到信号好且无死角。
其次,校园无线网络的使用者包括学生、老师和访客。
简单的认证方式无法满足针对不同身份使用者的差异化的认证,也不能保障网络的安全性,无法有效的阻止非法接入。
再次,校园无线网络往往涉及上百个网元,如何有效的管理这些网元乃至整个网络,简化维护人员的培训和复杂的维护工作,提高了配置和解决网络问题的效率,是部署校园无线网络不可不考虑的问题。
迈普普教无线网络解决方案
1.1迈普普教无线网络解决方案的建设目标
●提供高质量、无死角的无线覆盖,老师和学生可以随时随地无忧的使用建立在迈普无线网络平台下的各种教学应用。
最终提供良好的用户体验。
●提供快速灵活易部署的接入认证方式,避免非法接入的同时,为老师、学生、访客提供便捷快速、差异化的接入服务。
让教育部门、学校、教师、学生、家长及其他教育工作者,这些不同身份的人群,可以在同一个平台上,根据权限去完成不同的工作。
●无线网络设计充分考虑网络系统安全,防止来自网络的非法攻击和入侵,保障教学网络不受干扰和中断。
●统一的网络管理。
让网络管理员可以轻松的管理整个网络,无需复杂繁琐的配置查错过程,整个网络只需要少量工作量的维护。
使网络维护不影响教学网络的使用,同时整个网络系统可以平滑的升级。
1.2迈普普教无线网络解决方案
1.2.1客户需求搜集
部署区域
终端类型
期望的网络效果
重要应用类型
单房间最大并发用户数
最大并发用户数出现时间
房间内是否可以放置AP
XXX区域
速度快、性能稳定
Internet外网访问、内网连接
20
正常办公时间
是
XXX区域
速度快、性能稳定
Internet外网访问、内网连接
80(最大会议室)
正常办公时间
是
XXX区域
速度快、性能稳定
Internet外网访问、内网连接
5
正常办公时间
是
1.2.2XXX学校无线网络方案的设计与实施
本次方案共涉及到XXX栋大楼及室外XXX区域
通过充分的现场观察,XXXXXXXXXXXX
设备部署情况分布见下表:
部署区域
AP型号
AP数量
供电类型
POE交换机
备注
XXX区域
分区域1
分区域2
XXX区域
分区域1
分区域2
XXX区域
分区域1
分区域2
XXX区域
分区域1
分区域2
XXX区域
分区域1
分区域2
XXX室外区域
分区域1
分区域2
分区域3
XXX室外区域
分区域1
总计
1.3迈普普教网络解决方案架构
图表2迈普无线校园解决方案
迈普校园无线网络采用多业务安全网关MPSECISG1000作为Internet和教育网的出口和安全边界,在网络边界树起了强大的立体防线,用户不需要在网络边际上部署一连串的安全设备。
学校网络汇聚层采用一台或两台可堆叠高性能千兆三层交换机,提供高密度的千兆接口和万兆接口,能满足对接入层采用千兆上行。
进行二层、三层数据转发时,可以实现所有千兆端口和万兆端口的全线速三层转发,满足高性能数据转发的需求。
Wlan校园网采用AC+瘦AP的方式,AC采用本地转发模式,数据流量能够被AP本地转发,无需经过AC,减轻AC负载。
Wlan采用人性化的WEB配置界面,帮助网络管理员以最高效率完成设备的配置和维护工作。
校园网络接入层采用高性能盒式千兆二层以太网交换产品,具备完善的QoS、VLAN增强功能以及迈普特有的相关安全功能。
满足校园视频、音频高优先级数据及其它特定数据对交换机的特定需要。
支持POE功能,可为AP、网络摄像头等供电。
无线覆盖采用迈普高性能AP,具备高密度接入的特点。
对于办公区及电子教室场景,采用具有高密度接入特性的WA2000-321W-PE或WA2000-332W-PE。
对于接入用户数较少的室内场景,采用WA2000-213W-PE。
针对室外校园覆盖,采用500mW大功率室外APWA2000-362W-PTE。
1.4迈普普教无线网络设计亮点
●高性能的网络
无阻塞有线网络:
无阻塞的有线网络支撑校园无线各种应用系统大容量数据,保证各种业务的高质量传输,使网络不成为业务开展的瓶颈。
高密度无线覆盖:
同时,迈普采用业界领先高性能AP,领先的WiFi无线技术的运用,即使在超过50个用户同时观看视频的高密度接入场景中也能够轻松自如。
●部署简单易维护
无线设备支持web管理方式,将复杂的配置命令简化成图形化的界面,学校网络管理员不需要复杂的培训就可进行操作。
简化了维护人员的培训,简化了复杂的维护工作,提高了配置和解决问题的效率。
●高安全性
不仅采用独立的网络安全接入设备,迈普普教无线网络为用户提供端到端的安全性保护。
使学生、教学员工无忧上网。
为了满足在学校提供互联网接入的审计要求,迈普在校园上网用户的身份认证、上网行为审计、审计日志存储三方面进行加强,通过这三个方面的配合,能够满足公安部82号令的相关要求。
●良好的用户体验
视频播放流畅,满足多用户同时播放视频不卡断,下载速度快,不掉线,无线信号好。
1.4.1AC+FitAP组网
AC+FitAP的组网方式支持L2和L3无缝漫游,同时便于对于大量AP的管理和维护。
可支持AC1+1冗余热备设计,主备切换过程用户业务不中断,当出现设备或者链路故障时,瘦AP发现当前主AC不可用,自动切换连接备份AC。
迈普无线控制器可提供集中转发和本地转发两种工作模式。
对于集中转发,更适合做一些用户行为或者服务质量的高度控制,但由于普教网络场景中,网络负载重。
如果所有数据需要途径控制器,用户每个数据包都会被控制器所终结和转发,对于并非基于数据交换来设计的无线网络控制器而言,转发性能必定是以后的瓶颈。
因此,迈普在普教无线解决方案中采用本地转发的模式,使得数据的转发更加合理化,优化整体网络性能。
图表3本地转发
1.4.2校园安全部署
网络为校园教学提供了极大的便利。
但由于构成Internet的TCP/IP协议本身缺乏安全性,网络安全成为必须面对的一个实际问题。
网络中出现众多非法入侵、病毒传播、数据泄露、垃圾邮件骚扰、恶意网站等等,都在威胁着网络及应用服务的安全。
比如黑客或病毒会在校园网络内采用假冒的IP、MAC地址进行ARP欺骗,使网络内主机发送的数据丢失,在网络中产生大量的ARP通信量使网络阻塞造成网络不通;或是向校园网络内通告虚假的网关,造成网络间无法访问等。
图表4迈普校园网络安全部署
迈普交换机设备本身具有安全防护功能,如CPU保护。
接入交换机启用端口VLAN,划分区域,保障各自网络正常运行业务隔离,将业务进行区分。
IP+MAC地址绑定等安全功能,对不使用的交换机端口进行关闭。
开启防DDOS功能,部署ACL过滤功能。
对于无线网络,因为接入不可控等因素,需要加强对接入终端安全认证,更好的保护网络。
迈普无线设备内置无线入侵功能、访问控制功能,支持硬件的ACL策略、防攻击策略。
在Internet和校园网入口部署独立的安全设备,具有统一安全、部署简单、网络简化、管理统一、成本和故障率低等特点。
迈普统一安全网关负责对学校园网提供完整的网络保护:
可以实现网络的病毒防御,Web和Email内容过滤,防火墙,VPN,动态入侵检测和防护,流量管理和反垃圾邮件功能。
对于与学习无关和非法网站可以采用URL过滤或关键字过滤,并且可以对QQ、MSN、BT等有效防御,对中小学生上网行为起到最为有效的保护,设备同时支持SSL和IPSecVPN,可以灵活将分校区的网络通过Internet安全可靠的连接到校园网络。
1.4.3认证及审计系统部署
1.4.3.1认证系统需求分析
当前学校局域网建设的要求越来越高,接入的终端多样性已经越来越难以管理,同时业务的多样性也对网络管理提出新的要求,如给学校临时客户提供上网需求、如何满足终端上网等要求也越来越明显,用户需求如下:
●免客户端安装,只需要通过IE流量器就能够进行认证识别,方便快捷。
●支持多种终端类型认证,能够满足用户的手机、pad等设备上网。
●给临时来访人员提供临时认证方式,满足来访客户上网需求。
●认证通过推送办公业务系统的连接地址,方便业务操作。
●提升学校形象,能够对登录页面制定进行学校公告或者形象宣传彩页。
1.4.3.2Portal认证系统
迈普Portal认证服务器系统,集成了内网用户WEB认证、来宾用户WEB认证、用户Portal无感知认证等多种认证方式,同时提供灵活的客户端页面定制、推送机制,可满足学校对有线、无线接入用户,提供易用、简单的统一接入认证要求。
迈普Portal认证服务器和MaipuAAS接入认证系统,提供的整体接入认证解决方案,能轻松地让客户通过WEB无客户端的方式,实现身份认证、网络接入、用户授权等功能,可以大大地降低人员及资金投入,大幅度的提高网络接入控制的工作效率。
●兼容性强
迈普Portal服务器采用中国移动最新Portal标准规范,可与国内多家厂商Wlan设备、路由交换设备、安全设备进行兼容。
●终端多样化
能够支持业内多种终端设备,包括智能手机、平板电脑等智能设备;能够自动识别终端类型,调整登陆界面;同时也支持多种桌面系统设备。
满足校园无线场景终端多样化的需求
●登陆页面定制化
可以实现根据用户需求对登陆页面自定义,如修改学校logo、显示推送图片等;同时还可以推送学校的OA、E-mail等办公服务器地址连接。
●多种登陆方式
迈普Portal服务器支持多种账号方式登陆,可以采用固定的用户名+密码方式,也可以采用手机注册随机密码方式进行登录,可以满足校园固定用户也可以满足临时用户的认证需求。
同时支持用户无感知认证,即用户在第一次登录输入用户名、密码登录成功后,在后续登录过程中,可直接进行登录网络,无需输入用户名和密码。
●用户登录管理
支持对手机注册随机码上网的临时用户上线下线情况进行审计;审计内容包含:
用户名、登录时间、使用时长等。
支持查看当前所有在线用户信息,包括用户名、登录时间、使用时长;支持用户查看自己当前登录时长、登录时间信息。
●接入性能强劲
满足每秒500用户接入的性能指标。
●无感知认证
对于手持终端类用户,首次输入账号和密码,后续由终端自动完成,简化手工操作,实现无感知认证,提升用户体验
图表5迈普Portal认证系统界面
图表6迈普实名制认证流程
实名认证过程:
1、终端分配到IP地址后,使用浏览器访问互联网;
2、ISG1000修改URL信息并且重定向到Portal服务器;
3、Portal服务器推送认证页面,针对访客,用户填写手机号码并且点击动态密码下发;
4、Portal服务器为此手机号生成动态密码,分别提交Portal服务器与AAS服务器;
5、短信网关把动态密码发生到对应的手机号码;
6、访客用户在认证页面填写手机号码与动态密码,提交认证;学生及教职员工填写用户名及静态密码;
7、Portal服务器收到用户名与密码后,提交给ISG1000;
8、ISG1000把用户名与密码发给AAS进行认证,ISG1000、Portal、AAS同步用户认证信息。
1.4.3.3认证系统权限控制策略
一般情况下,学校对于教师、学生、访客需要设置不同的权限,基于不同的浏览控制策略等。
迈普校园无线系统可充分满足该功能。
图表7用户认证及权限访问策略示例
1.4.3.4实名认证审计系统需求分析
根据公安部82号令,提供互联网出口服务,需要进行账户上网行为审计。
由于上网行为管理系统只能记录下访问者的IP地址,但是无法得知IP属于某个具体的用户,而用户上网前的登录认证是在AAA服务器上完成的,这就需要上网行为管理系统与AAA服务器通信,实现IP与身份的转换。
具体审计系统需求包括如下
●NAT日志审计:
NAT设备在网络上日益广泛的应用给安全审计带来了一些问题——NAT转换屏蔽了内网IP地址,造成用户访问外网的源IP地址丢失,给定位和审计用户不法行为(如访问非法网站)带来了困难。
通过上网行为管理设备记录NAT转换前的源IP地址、源端口,经过NAT转换后的源IP地址、源端口,以及所访问的目的IP、目的端口、协议号、开始时间和结束时间等关键信息。
通过NAT日志的采集、聚合和记录,管理员就可方便地跟踪用户通过NAT设备访问网络的详细情况,从而轻易的解决这类安全审计问题。
●URL日志审计:
对用户访问的网址进行审计。
包括用户的IP地址,目的地址,URL分类,域名,URL,访问时间等。
●聊天日志审计:
支持目前主流的聊天工具,包括MSN、QQ、YAHOO、ICQ等;记录用户IP地址、MAC地址、聊天帐号、上下线时间、聊天持续时间、聊天内容等信息按照文件名、收发帐号、收发IP等记录上传、下载的文件,并提供本地下载审核。
●搜索日志审计:
搜索引擎名、用户行为、搜索内容及搜索时间等。
●邮件日志审计:
支持SMTP、IMAP、POP3协议;发件人、收件人、邮件大小、标题、正文内容监控;附件内容、附件下载审计。
●社区日志审计:
用户应用类型、行为、登陆账号名、登录时间等。
●审计日志存储:
在AAA认证系统上,可以对用户等登录信息记录90天以上;
在上网行为审计的日志服务器上,可以对用户的上网行为相关日志记录90天以上。
●事件回溯查询:
如果针对一定时间内的某些互联网事件,可以通过访问的公网IP、端口、或URL信息、时间、以及其他信息进行查询追溯,可以追溯到用户的注册登录的终端以及对应人员。
1.4.3.5实名认证审计系统部署
迈普上网行为管理系统为了满足在公共场合提供互联网接入的审计要求,特在上网用户的身份认证、上网行为审计、审计日志存储三方面进行加强,通过这三个方面的配合,能够满足公安部82号令的相关要求。
迈普可提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能,配合日志管理系统可以完成日志的记录、查询和分析。
用户登录成功后,就可以通过3GAPN专网访问Internet资源,在互联网出口的上网行为审计设备可以对用户的上网行为进行相关审计,并且可以通过相关策略配置,对某些资源进行阻止或者有限访问。
互联网出口的上网行为审计设备可以记录如下行为:
●NAT日志审计
可以对用户内网IP访问公网IP的NAT转换前五元组与转换后的五元组以及时间进行审计;
●URL日志审计
可以对用户访问的网址进行审计,包含用户内网IP、访问公网IP、URL信息、时间等;
●聊天工具审计(如QQ)
可以对QQ、飞信、微信等聊天工具审计,可以审计用户登录帐号、不加密的聊天内容等;
●搜索日志审计(如XX、Google等)
可以对主流的搜索引擎审计,可以审计到用户使用搜索引擎的类型以及搜索的内容;
●邮件日志审计
可以对用户非加密的邮件进行审计,可以审计到邮箱帐号、发件地址、接收地址、邮件主题等;
●社区日志审计(如微博、论坛、贴吧等)
可以对主流的微博、论坛、贴吧进行审计,可以审计到用户的帐号、发帖内容等。
迈普普教无线网络解决方案产品
1.5无线AP接入点介绍
1.5.1产品概述
MyPowerWA2000是迈普通信技术股份有限公司自主研发的11n系列智能无线接入设备(简称AP),该系列产品支持MIMO,为用户提供稳定的通信质量、高速的接入带宽、大量用户接入。
MyPowerWA2000-213W-PE是单模单频产品,工作频段为2.4GHz,支持WAPI功能,符合IEEE802.11b/g/n标准,支持MIMO技术,属于100mWb/g/n室内外置天线放装型产品。
MyPowerWA2000-321W-PE是双模双频产品,工作频段为2.4和5.8GHz,支持WAPI功能,符合IEEE802.11a/b/g/n标准,支持MIMO技术,属于是100mWa/n、100mWb/g/n室内内置天线放装型产品。
MyPowerWA2000-362W-PTE(V2)是双模、双频产品,工作频段为2.4和5.8GHz,支持WAPI功能,符合IEEE802.11a/b/g/n标准,支持MIMO技术,外置天线接口,属于是500mwa/n、500mwb/g/n室外放装型产品。
适用于广场、校园、工厂、机场、体育馆、无线城市等室外大面积广域覆盖。
通过精心的硬件设计,室外设备外壳采用完全密封式防水、防尘、防潮等设计,可长时间工作在恶劣的室外环境,同时对于雨水、潮湿、风蚀、暴晒等恶劣环境下仍然可以正常工作。
在保障正常的工作基础上,大大提高了设备的使用寿命,同时可以有效降低用户的后期维护成本。
迈普通信11n系列无线智能型AP适合办公室、楼层作室内无线覆盖、室外/园区覆盖。
具有传输速率高,接收灵敏度高,抗干扰能力强,传输距离远等特点,适合于运营商、院校、企业、机场、酒店、医院等单位为用户提供高速无线接入服务。
迈普通信MyPowerWA200011n系列无线智能型AP具有FIT/FAT两种工作模式,根据客户网络规模量身打造无线接入网络。
FAT模式适合小型网络环境,随着客户网络环境的不断扩大,可以将AP切换到FIT模式,增加AP接入设备,通过迈普的无线控制器实现统一管理。
这种方式不浪费用户的无线接入设备投资,网络规模从小到大平滑升级。
MyPowerWA2000-213W-PE
MyPowerWA2000-321W-PE或
WA2000-332W-PTE
MyPowerWA2000-362W-PTE室外型
1.5.2产品特征
●零配置、零维护节省维护人员工作量
设备能够自动从无线控制器下载配置,自动加载运行。
免去了工程维护人员现场配置,节省了大量的人力物力,同时提高了网络安装、维护效率。
迈普通信11n系列无线智能室内型AP具有丰富的指示灯,可以通过指示灯准确判断AP当前工作状态,为故障排查提供简单有效的手段。
MyPowerWA2000支持POE特性,配合迈普的系列POE交换机,可以实现设备的室内快速部署问题,解决了供电问题。
●支持11N,实现用户数据的300Mbps高速接入
遵循IEEE802.11n设计的高性能无线接入产品,为用户提供高带宽、高质量的WLAN服务。
产品将MIMO(多入多出)与OFDM(正交频分复用)技术相结合,用户数据传输信号更加稳定。
并且11n能够使无线网络传输速率极大的提升,为用户提供300Mbps高速网络环境。
●绿色环保设计节约能源
MyPowerWA2000采用专业绿色环保低功耗设计,设备发热量低不需要使用风扇,并且支持标准的PoE供电方式,可以使用迈普PoE交换机对其进行供电,POE供电距离可达100米。
POE/PTE供电方式能够有效简化网络环境,做到数据、电源一体化。
●支持Fat/Fit两种模式
软件同时支持Fat和Fit两种工作模式,只需要用户简单配置工作方式就即可,可以在Fat和Fit两种工作模式中灵活地切换。
●支持集中、本地转发功能组网方案灵活
支持集中式转发功能,所有AP可以通过无线控制器做统一的认证计费;支持本地转发功能,数据转发不通过无线控制进行集中转发,能够提高数据转发的效率。
组网方案灵活,可以根据用户实际网络、应用环境搭建理想的网络结构。
●支持IPv4/IPv6双协议栈
全面支持IPv6特性、支持IPv4/IPv6双协议栈。
支持丰富的IPV4、IPV6特性,无线控制器可以通过IPV4、IPV6与无线控制器建立隧道,保证通信的正常通信。
从而避免系统由IPV4切换到IPV6导致无线网络无法使用。
●支持智能负载均衡
支持按接入用户数量和流量的复杂均衡方式,当无线控制器发现无线接入设备的负载超过设定的门限值以后,对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的无线接入设备可供用户接入,如果有则会拒绝用户的关联请求,用户会转而接入其他负载较轻的无线接入设备,但如果无线用户不在重叠覆盖区内,传统的负载均衡方式往往会导致连接不上网络,造成误均衡。
●丰富的安全防护手段
支持WLAN国际标准802.11i,支持国家WAPI标准。
支持无线入侵检测/防御(WIDS/WIPS);支持黑名单和白名单等无线用户接入控制特性;支持arp、syn、端口扫描等多种网络攻击。
●支持中/英文WEB管理方式
支持中/英文web管理方式,复杂的配置命令简化成图形化的界面,用户不需要复杂的培训就可进行操作。
简化了维护人员的培训,简化了复杂的维护工作,提高了配置和解决问题的效率。
●支持reset复位按钮
具有reset按钮,可以一键恢复出厂设置。
用户可以通过reset按钮轻松清除配置信息,化繁为简。
1.6无线控制器(Controller)介绍
1.6.1产品概述
MyPowerWNC6000是迈普通信技术股份有限公司研发的智能无线控制器(AccessController-AC),该无线控制器可以对
升级会员 