智慧校园无线网络平台方案建议书Word格式.docx

1、2.2核心层设计 62.3汇聚层设计 62.4接入层设计 62.5 无线认证设计 72.5 统一管理设计 83.无线网络设计 83.1无线网络覆盖设计 84.4.2漫游切换支持方案 94.4.3业务QOS支持方案 94.4.4智能射频管理方案 104.4.5智能负载均衡方案 104.4.6IPV6支持方案 114. 网络部署设计 121.1 IP地址规划 121.2 VLAN设计 131.3 QoS部署 145.本次设计所用部分产品介绍 175.5.1防火墙插卡介绍 175.5.2核心交换机介绍 195.5.3汇聚交换机介绍 225.5.4无线控制器介绍 255.5.5室内AP介绍 315.5

2、.6一体化管理平台介绍 341.网络设计描述本次中学无线校园网整体方案拓扑如下：根据目前第三中学的网络状况，对原有网络改造升级，增加无线校园网，有线网络采用接入、核心两层组网结构，两层扁平化体系结构是相对业务标准的三层网络体系结构而言，去掉中间的汇聚层只保留核心层与接入层两个层次来进行网络体系构建。扁平化体系结构具有多、快、好、省的优点，“多”是指可以接入较多用户、提供多种业务的特点，“快”是指由于去掉了汇聚层从而网络建设与业务部署更快速，“好”是指网络层次简单明了，便于管理和维护，今后在网络规模扩大时直接把现有的核心层下移或者在两层体系中间插入汇聚层就可以实现网络的平滑扩容，同时由于网络层次

3、的简单，网络稳定性增强，单点故障减少，能够提供一个稳定高效的局域网络，“省”是指去掉汇聚层之后网络投资得到明显减少，既能够满足用户业务需求，又减少了用户的投资。第三中学核无线校园网的部署，使原有的核心设备不再适合现有网络的吞吐量，出现交换和吞吐的瓶颈，核心层设备是第三中学网络的核心枢纽，应该选择高性能、高可靠、高扩展性的核心路由以太网交换机，本次方案推荐核心采用1台S7503E-S万兆以太网交换机。S7503E-S 交换容量18Tbps，包转发率4000Mpps，高性能的保障了局域网内的高速数据交换。为了提高可靠性，核心交换机配置双电源。核心交换机通过千兆光口捆绑连接各楼栋接入交换机；核心交换

4、机与网管服务器接入交换机采用千兆光口捆绑互连，提高服务器的数据处理能力。S7503E-S共3个槽位，3个业务槽位，背板交换容量达到18Tbps；同时在S7503E-S系列交换机支持各种业务的扩展，可以支持防火墙插卡、应用控制插卡、无线控制器板卡、IPS（入侵检测防御系统）插卡、负载均衡插卡等，对于未来种业务的扩展都非常方便。楼层部署全千兆接入交换机，在思源楼替换原有3台百兆设备，为了节省光纤电缆，3台E528做堆叠，即节省了光纤，又增加了设备的冗余性。隽雅楼原网的汇聚和接入交换机，都是使用光电转换器连接，使整个传输速度在百兆以下，降低隽雅楼的宽带，此次改造使用1台5500-28F 24口的光口

5、交换机和E552 48电口的交换机，使用全千兆口连接核心交换机，整个隽雅楼全千兆的网络带宽，整个网络速度更大的提升。通过部署室内壁挂式无线AP WA4320和4330实现用户无线上网需求。以及部署和S5110-28P-PWR POE交换机对AP进行POE供电。在网络管理方面，部署一套IMC 智能网管中心，实现对有线网络、无线网络的设备、业务、用户一体化的网管。在安全方面，采用防火墙板卡一体化解决方案，负责对网络协议的2-4层进行控制。防火墙由于其软硬件针对工作在L2-L4时的情况考虑，不具有对用户上网行为数据流进行综合、深度监测的能力，自然就无法有效识别用户上网行为的动作、访问非法网站、发表非

6、法言论、使用P2P软件暂用大量流量等。因此需要专门针对网络4-7层进行分析并实时监控上网行为系统，填补防火墙安全层次的不足，此次部署ACG对网络用户的上网行为的审计。2.总体方案设计描述2.1网络安全网络安全分为核心层网络安全、接入层网络安全两部分。2.1.1 核心层网络安全核心层网络安全建议采用网络安全一体化解决方案，即在核心交换机上部署防火墙插卡来实现核心层网络的L2-L7立体安全防护，网络出口部署上网行为审计控制上网用户行为，填补防火墙插卡安全层次的不足。防火墙采用H3C S7500E 防火墙 Lite业务板模块，H3C SecBlade FW是业内第一款万兆高性能防火墙模块，可应用于H

7、3C S5800/S7500E /S9500E/S10500/S12500交换机以及SR6600/SR8800/CR16000路由器。SecBlade FW集成防火墙、VPN、内容过滤和NAT地址转换等功能，提升了网络设备的安全业务能力，为用户提供全面的安全防护。H3C SecBlade FW能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能，有效的保证网络的安全。采用H3C ASPF（Application Specific Packet Filter）应用状态检测技术，实时检测应用层连接状态，实现2-7层安全防护。提供邮件告警、攻击日志、流日志和网络管理监控等功能，协助用

8、户进行网络管理。SecBlade FW模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了维护成本。上网行为审计使用H3C SecPath ACG1000，此设备支持状态机检测、流量交互检测技术，能精确检测115网盘、电信通、盛大网盘、XX网盘、360云盘、Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（电骡）/eDonkey（电驴）、QQ、MSN、新浪UC、阿里旺旺、新浪微博、腾讯微博、天涯论坛、猫扑论坛、微信等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等多种主流网络应用，为应用控制及审计提供有力支撑。采用了D

9、PI/DFI融合识别技术，相对于传统的流控产品，控制力度更精细，控制层面不再局限在主程序，更能深入识别应用程序的子功能。例如对新浪微博的控制力度不仅仅是登录动作，更是深入识别到注销、发表、评论、转发、关注、搜索等子功能，支持单应用高达12种行为动作控制、超过八百种主流应用类别识别、近60种分类URL审计过滤、桌面及移动终端均可审计控制，提供最精细的控制功能。对应用协议特征库及时更新；支持对协议特征库的在线自动/手动升级、本地升级，且升级过程无需重启系统，不影响系统业务运行。2.1.2 接入层网络安全计算机网络的接入层是整个园区网络的下联边界，有线网直接和PC、打印机等终端相连。该区域常见的安全

10、问题包括ARP攻击、IP/MAC地址篡改、DHCP服务器仿冒攻击等，一般统称为接入层安全问题。有些接入层安全问题的解决方式较为简单，虽然针对每一种安全问题都有底层的技术解决方案，但是对应到物理设备层面都是通过智能安全型接入交换机进行统一解决。本方案在选择接入层交换机时，都会采用千兆智能安全型接入设备。对于无线网络安全来说有一下2点：一、内部网络终端缺乏网络用户识别、准入机制师生、外来人员只要将个人PC、PAD、手机等无线终端连接无线网络，就可以上网；其中没有任何身份的认证和安全措施。学生随时可以上网，耽误学业，外来人员也可以随时攻击网络。二、终端用户无权限控制如果某些用户获得了相关服务器的IP

11、地址、应用系统的账号密码即可登录到服务器上，势必会造成重大网络安全隐患，此时网络系统应提供权限策略控制功能，解决非法用户的接入问题。因此建议部署一套终端准入控制系统来解决此类问题，终端准入控制系统是集事前认证、事中监控、事后审计和业务管理为一体的多业务安全接入管理平台。能够满足不同应用场景的身份识别、权限控制、安全准入和桌面管理的需求。2.2核心层设计核心层的功能主要是实现骨干网络之间的优化传输，核心层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能、网络的各种应用应尽量少在核心层上实施。核心层一直被认为是真个网络的核心，因此对核心层的设计以及网络设备的要求十分严格。H3C S

12、7503E-S产品是杭州华三通信技术有限公司面向融合业务网络的高端多业务路由交换机，该产品基于H3C自主知识产权的Comware V5操作系统，以IRF2（Intelligent Resilient Framework 2，第二代智能弹性架构）技术为系统基石的虚拟化软件系统，进一步融合MPLS VPN、IPv6、网络安全、无线、无源光网络等多种网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。2.3汇聚层设计 此次汇聚层主要针对隽雅楼，隽雅楼原有的汇聚交换机处理整个楼宇接入层交换

13、机转发来的数据，性能的不足导致整个楼宇的网络出现了一个带宽瓶颈。本次汇聚层交换机设计为H3C S5500-28F。H3C S55系列交换机是H3C公司自主开发的下一代数据中心级万兆以太网交换产品。为数据中心提供丰富的服务器接入方案。也可以用于园区网的汇聚层或接入层以及中小企业核心。 S5500系列交换机支持H3C创新的IRF2（Intelligent Resilient Framework 2，第二代智能弹性架构）技术，用户可以将多台S5500交换机连接，形成一个逻辑上的独立实体，从而构建具备高可靠性、易扩展性和易管理性的新型智能网络。2.4接入层设计接入层采用H3C E528/E552系列教

14、育网交换机是杭州华三通信技术有限公司长期跟踪教育行业用户需求定制开发的全千兆的以太网交换机，不仅可以满足校园网常见的安全，接入密度的需求，并且针对于IPv6技术发展的趋势以及校园网IPv6部署的落地，提供完善的解决方案，同时支持创新的IRF2（Intelligent Resilient Framework，智能弹性架构）技术，用户可以将多台E528/E552交换机连接，形成一个逻辑上的独立实体，从而为教育行业构建具备高可靠性、易扩展性和易管理性的千兆到桌面的新型智能网络。采用部署S5110-28P-PWR POE交换机对大量AP终端的一个接入。H3C S5110系列以太网交换机是H3C公司自主

15、开发的绿色节能全千兆以太网交换机产品，具备丰富的业务特性，广泛应用于企业网和园区网的接入。在满足高性能接入的基础上，提供更全面的安全接入策略和更强的网络管理维护易用性是千兆接入的理想选择。H3C S5110系列交换机支持增强的以太网供电功能（PoE+），PoE供电款型可以提供每端口最大30W的输出功率，可以为802.11n的无线接入点，可视IP电话，大功率的监控摄像头以及更多的终端设备提供以太网供电能力。2.5 无线认证设计由于WLAN网络与有线网络不同，用户可以随时随地的接入网络，故不能像有线网络那样通过网口限制用户的身份，必须使用一定的认证手段。H3C WX3024E支持多种认证方式，如MAC地址认证、802.1x认证和Portal认证等。本项目推荐使用Portal认证方式。使用Portal方式的优点是无需客户端，用户做好WLAN连接后，只需打开Web页面就能够进入Portal认证页面。此时除了能够方便的认证外，还可以推送Web页面，发布最新的校园活动信息，并可以向师生推送相应的校规和考试细则，给学校带来便捷的管理。推荐使用H3C IMC的EIA组件，支持多种接入及认证方式，适合多种接入组网场景及应用场景（1）支持802.1x、VPN接入等多种认证接入方式。（2）支持PAP、CHA