1、湘潭电大无线校园网设计方案0730湘潭电大无线校园网建设方案锐捷网络1 概述湘潭广播电视大学创办于1979年,由湘潭市人民政府主办,归口湘潭市教育局管理,是一所以现代远程开放教育为主体的多层次、多形式办学的综合性成人高校。学校办学实力雄厚。学校座落在湘潭市北二环线旁的高岭路6号,占地面积200亩,建筑面积40000平方米,固定资产4000万;有办公楼、教学楼、实验搂、综合实训搂、图书馆、大礼堂、学生公寓楼、单身教师公寓楼、400米跑道运动场、食堂、商场等全套基础设施;已建成完整的卫星接收闭路系统和网络中心、教学多媒体课件制作系统;有高标准的多媒体教室、语音室、电子电工等重点实验室;有总价值60
2、0多万元的现代教学仪器设备和图书,有高配置的计算机500余台;校园绿化面积50%以上,环境优雅。学校办学规模可观。现有在校学生11000人,其中开放教育学生8000余人,全日制脱产学生3000余人。现有教职工216人,自己培养的教授4人、副教授14人。学校设有开放教育、成人教育、职业教育等多层次多门类的学历教育。开设专业36个,其中本科14个。学校设有6个管理处室、3个实体学院,在湘潭、湘乡、韶山等县市区设有14个联合办学教学点,并与西南民族大学、中南大学网络学院、奥鹏远程教育中心联合办学。目前湘潭电大已部署了包含办公、教学、图书馆、师生宿舍在内的完善的有线网络,为学校的信息化应用起到了关键性
3、作用。然而,传统的有线网络只能提供用户固定地点的、有限数量的网络信息点端口。随着学校信息化应用不断建设,师生越来越要求尽可能方便、快速、移动式的访问校园信息化的资源。同时,科技的进步使得师生使用笔记本电脑、智能终端越来越普及,学校的师生们需要能随时随处地获取网络提供的各种资源。对于这样的需求,受到严格的地域限制的有线网络显然已经不能满足。 为了满足这样的需求,全国其他各高校在经过近几年的无线实验网的探索之后,纷纷开始规划并建设作为有线网络之补充的校园无线网络,为校园提供全部的无线局域网信号覆盖,并提供互联网无线接入业务,让学校师生体会到无线局域网给教师的教学和学生的学习带来的好处。当今国内省内
4、各高校都掀起了建设无线网络的浪潮,省外高校中,如福州大学、对外经贸大学、北京师范大学、四川农业大学、华北电力大学等都已建设了完备的基于最新802.11N的无线网络。对于湘潭电大来说,无线网络的建设,也为下一步实现在校园无线网络上提供VoIP、视频监控、视频教学等增值服务,以及一卡通等数字化校园应用、管理和运营提供了有利的条件。很多高校开始为广大师生提供了随时随地的访问校园网的方式,在很多传统有线网络无法延伸到的场合,如大型教室、礼堂、会议室、图书馆体育场馆等场所,师生同样能够方便地访问校园网络。只有随时随地能够连接到校园网,才能满足目前校园日益增长的信息化交互需求。可以说,无线数字化校园以全新
5、的形态,全移动式的网络访问模式,正在逐步改变着校园里人们的工作与生活习惯。正是由于校园无线网络的出现,一大批新兴的网络应用模式将会如雨后春笋般逐渐在校园开花结果。以不断提高教学、科研、工作、生活品质和效率为目标,大力发展校园无线网络,对于新时代的高校信息化发展来说,具有重要的战略意义。湘潭电大顺应时代发展,抓住机遇,借鉴兄弟院校的有益经验,适时开启无线校园网办公教学区建设,让学校师生体会到无线网络给教学和学习、生活带来的好处,同时创新网络价值,推动学校信息化的整体发展。2 规划与建设目标总体建设目标是:通过教学区、办公区、宿舍区的无线校园网的建设支持学校各学科、专业和总体教学水平的快速发展。建
6、设一个特色鲜明、符合学校发展宏图的无线新型校园环境,实现全校的无线无缝高速覆盖,为学校培养高素质的创造性人才、从事科学研究和知识创新、进行高科技辐射、高技术产业化和国际文化学术交流等提供重要保障,积极推进学校全面建设。具体目标如下:无线网络与基础设施平台的建设目标是:建设一个高可用、高安全、高稳定、易使用、易管理、易扩展的无线校园网络与基础设施平台,通过支持802.11N标准,实现无线网络的无缝、高速覆盖,为网络资源的充分利用和共享提供强有力的保障,为学校的全面信息化奠定坚实的基础。网络基础设施完善,基本形成覆盖全校的高速无线网络。在网络规模、技术水平、性能、稳定性和安全性方面,达到省内一流水
7、平,为学校各类应用系统和公共资源服务提供一个高速、安全、可靠的无线基础平台。全面进行多种灵活接入方式建设,通过完善的高速无线网络来实现整个校园范围内无盲点区域的网络覆盖,学校拥有对全校(包括无线网络在内)的所有网络设备完全管理权限,以保证整个校园网络的可用、可管;在校内可以提供各运营商的无线网络WLAN接入等。无线网建设完成后,数字信息化将渗透到校园的所有角落,在教学、科研、管理、服务等多个方面为师生带来根本性的变化,如下图所示:3 背景与现状分析湘潭电大虽然目前学校已经部署了较为完善的有线网络,但师生迫切希望能在教室、多媒体教室、阶梯教室、礼堂、会议室、体育馆、试验室等场所连接互联网,只有随
8、时随地能够连接到网络,才能满足目前用户对网络的需求。学校现有无线网络环境复杂,既存在阶梯教室、实验室这样的大开间环境,又存在办公楼这样的密集部署环境。此次网络建设是在湘潭电大现有的有线网络上,进行无线网络扩充。要求完成全方位立体式无线覆盖,让师生们可以在这些区域随时随地、无拘束的连接到网络,教职工可以依托无线完成各项教学办公事务,外来来宾可以顺畅的访问校内和校外网络资源。新的无线网络建设将独立建设,成为有线网络重要补充和备份,实现有线无线统一管理,统一认证,同时做到尽可能的简化网络结构,提高网络访问速度与效率。4 无线网络详细设计方案4.1 无线网络拓扑设计通过部署支持802.11N及部分80
9、2.11AC的无线AP建设覆盖全校的独立的无线网络。并和现有有线校园网进行融合,逻辑拓扑如下: 整个无线网络分为四层结构,分别由核心交换、汇聚交换机、接入交换机和无线接入AP组成,核心交换、汇聚交换利用现有办公有线网网络设备,认证计费系统和办公网有线网共用一套产品,实现有线无线统一管理,统一认证。 为了对如此大量的AP进行统一和方便的管理,配置一台无线控制器AC,共配置192个AP的License,满足学校目前的无线AP管理需求并保证无线后续可平滑扩容。 无线AP采用802.11N型AP,其中在宿舍区采用智分802.11n无线AP,支持双路双频,在教学办公区采用100mw的放装2条流802.1
10、1n无线AP和智分AP,在重点区域(报告厅)采用支持802.11AC高性能无线AP;在室外(例如:体育馆、操场等)采用500mw的防水防尘的室外AP,每台AP都配置足够的馈线、天线等配件。 无线AP仅放出单个或多个SSID,配合认证系统和出口系统实现内外网的灵活访问控制,提供不同身份认证策略的功能。师生只需要登录1次即可实现访问无线校园网,满足学校接入需求。 无线网和有线网共用一套出口设备,实现智能选路、流控、防火墙、入侵防御、VPN、日志审计、上网行为管理、内容加速等功能。4.2 设备选型设计本次无线网络建设涉及到无线控制器、无线AP和认证计费系统升级。另外其余核心汇聚接入设备、出口设备和有
11、线网共用1套,不再赘述。4.3 无线网络建设原则结合湘潭电大的需求,湘潭电大无线网络建设的总体设计要求如下:一、先进性:采用802.11n系列标准,提供802.11a、802.11b、802.11g、802.11n多标准的联网支持;实现高质量接入,同时部署双路双频,部署美观,维护方便,覆盖效果好,吞吐性能高。 二、稳定性:注重应用效果,覆盖校园内区域,提供具有良好用户满意度的无线网络环境;三、可管理性:高质量运维管理系统和充分满足学校、运营商需求的认证计费系统;实现有线无线一体化认证,有线无线一体化管理。师生只需要一个账号就可以走遍校园。四、可运营性:后续可以实现有线无线统一运营,满足统一认证
12、计费的需求、学校管理的需求,可持续性发展。五、安全性:支持用户身份鉴别、访问控制、审计、防病毒、防攻击;必须支持较好的线路冗余、电源冗余能力,以提高网络的可靠性六、可扩充性:在不改变主体架构的前提下,实现平滑升级和扩容;七、兼容性及多服务的支持:满足各类新型移动终端的网络接入需求;满足校园级无线宽带应用(如无、线语音应用、无线视频会议应用、无线多媒体通信应用等)的未来发展需要。八、创新性:对校园网进行创新型的应用,建设社交型的校园网络,提升学校信息化发展水平,满足教育部对学校信息化试点的要求。4.4 无线网络协议标准选择无线网络讲过多年的发展,已经从最早的802.11b/a协议演进到了802.
13、11ac标准,如下图所示:新的802.11ac标准刚刚推出,价格价高,且目前没有终端网卡支持,本次湘潭电大网络设计以802.11n标准为主,在教学办公区、宿舍区部署2条流的802.11N放装无线AP,报告厅部署802.11AC无线AP。既充分考虑到了现有无线应用环境,又满足未来学校高扩展的需要。4.5 无线网络频段设计无线网络有2.4G和5.8G两个频段,2.4G用于b/g/n,而5.8G用于a/n/ac标准。目前市场内主流产品均支持2.4G,中高端产品支持5.8G,且根据统计,5.8G产品将成普及之势,在未来2年占到无线网卡总出货量的60%以上。未来满足学校当前业务应用,也为了保证无线网络建
14、设未来的扩展性,本次无线网络建设全部采用双频产品,无论是教学办公、实验室还是室外都同时覆盖2.4G和5.8G双频,均支持2.4G和5.8G同时工作。4.6 无线网络信号覆盖及容量设计湘潭电大本次建设的无线网络在进行多终端接入设计时,应采用差异化设计,综合考虑设备性能、系统整体成本统间干扰等因素,在主要室内场所均既考虑信号覆盖,又考虑接入用户数。室外区域则重点考虑信号覆盖,对于部分室外接入密集的区域适当考虑接入用户数(如球场等)为保证无线服务服务质量,本次校区所有房间(面板AP除外)内可达到无线信号在室内覆盖区域任何空间信号双频覆盖。信号强度不低于-60dbm,丢包率小于1%。室外环境无线信号双
15、频覆盖。信号强度不低于-75dBm。同时为了达到信号稳定,同频率、同信道的干扰信号强度不高于 -75dbm。为保证互不干扰,其信道分配按照如下原则进行:在目标覆盖区内, 单AP支持同时接入用户数不应小于36人。单AP能满足每人4M,总计24人的并发上网规模。所有部署的AP发射功率应符合国家无委会规定,满足国家无线电管理局(原信产部,现工信部下属无线电管理机构)关于调整2.4GHz频段发射功率限值及有关问题的通知信部无【2002】353号和关于使用5.8GHz频段频率事宜的通知(信部无2002277号)文件的要求,室内AP功率不应大于100mw(20dB),室外AP功率500mw。4.7 无线网
16、络架构设计一直以来,传统的无线局域网主要是采用自治型无线接入点架构,每个无线接入点都是一个独立的管理与工作单元,无线接入点之间无法进行任何沟通,如果需要对全网设备进行管理,需要逐台进行配置和管理,不仅费时、费力、维护成本高,而且缺乏所有的无线网络设备无法形成一个整体,也就无法具备整体协作的安全防御能力,整个网络的融合性差。后来,根据自治型无线接入点的这种缺乏全面管理的缺陷,一些厂商开始推出新的无线网络架构,即“无线局域网交换机远程轻型无线接入点”结构,可以满足所有的无线接入点全部受到无线局域网交换机的统一控管,这种组网架构和相应产品的出现,使得无线网络的整体管理能力、安全防御能力得到完全的改善
17、,使得无线网络的组网变得轻松、易管理。本次无线网络我们建议采用“无线局域网交换机远程轻型无线接入点”结构。这种解决方案将非常适合湘潭电大这样的大规模的无线网络环境使用。4.8 无线网络转发模式设计瘦AP架构支持本地转发和集中转发两种方式,本地转发方式下用户数据由AP进行独立处理,无需经过AC;而集中转发方式下用户数据需经过AC,由AC进行统一处理。下面分别就本地转发和集中转发的区别做下简要描述:1) 本地转发: 在本地转发方式下,无线用户的数据流量直接由AP本次进行转发,等同于胖AP对用户流量的处理方式,但此时AP还是通过AC进行集中控制和管理。AC只和AP间建立控制通道,但不会建立数据隧道,
18、用户数据不经过AC,直接由AP负责。利用瘦AP本地转发方式进行大规模组网,可以完全代替目前主要采用的集中转发方式,在本地转发方式下,网管、安全 、认证、漫游、QOS、负载均衡、流控、二层隔离等功能还是由AC统一控制,再由AP具体实施;只是业务数据不通过隧道传送到AC,再经由AC解封后统一转发,而是由AP本地转发。此组网方式的优势主要体现在,将业务数据转发任务分散到AP,降低AC压力,轻松应对带宽挑战,彻底解决AC瓶颈问题,提高网络整体吞吐率。2) 集中转发:在集中转发方式下,AP和AC会构建一个数据隧道,所有用户业务数据由数据隧道传送到AC处,这个数据隧道中传输的是二层数据。集中转发组网,AP
19、和AC之间单独建立一条隧道传输数据业务,所有的数据业务都通过AC转发出去,所以AC的负荷比较大。集中转发所有的数据包都要走隧道,所以对链路的带宽要求较高,并且对AC接口的带宽要求也较高。由于集中转发的数据包要封装到隧道里再转发走所,所以对AP的CPU消耗比本地转发更大。由于对带宽要求较高,所以集中转发的AC可管理的AP数量也会受到一定限制。这样对于规模较大的网络或者有备份要求的项目,会增加成本。此外,当隧道转发出现不通或者丢包现象时,查找网络故障难度比本地转发高。集中转发的优点是对于现网改动较小。且在集中转发情况下,数据流量都是由AC进行转发,AC对漫游用户做特殊处理,漫游后不改变原来用户的V
20、LAN标记,因此可以实现平滑的二层、三层漫游。3) 本地转发和集中转发对比:在注重功能的场合,应使用集中转发;在注重性能的场合,组网比较简单的情况下,使用本地转发可以获得更好的效果。另外,本地转发的优势在于当无线用户流量比较大时可以避免AC成为网络性能的瓶颈,而集中转发的优势在于能更好的适应无线网络的发展。具体对比如下:本地转发集中转发AC性能压力低高AP性能压力低略高三层漫游不可以可以数据流安全控制较难容易业务隔离、热点区分需要把无线用户和有线用户统一考虑从接入层开始的转发路径规划,一般跟AC对AP的管理路径是分离的。无线用户从AP到AC的转发路径跟AC对AP的管理路径一致无线加解密AP完成
21、,老AP无法支持新加密类型,另一方面能充分利用AP的加解密引擎提高网络整体吞吐率。AP或AC完成,可以支持功能较弱的AP,另一方面对AC的加解密能力要求提高,性能压力较大整体网络性能高低锐捷网络无线产品同时支持本地转发和集中转发两种模式,可进行灵活部署。4.9 “无感知”用户接入管理设计“无感知”认证技术,具体是指对于终端用户来说,无线网络的准入过程没有感知,即无需繁琐的账号密码输入、校验过程,即可实现无线的安全接入。实现无感知认证的基础,是各种智能操作系统自带的802.1X客户端,但不同系统的客户端其易用性却有着天壤之别:苹果系的操作系统如iOS、MacOS在自带802.1X客户端的配置方面
22、非常方便,首次只需输入账号、密码即可但对于Windows和Android系统,则要繁琐很多这种认证方式的繁琐程度,是一般用户无法接受的,大部分用户甚至都找不到在哪里配置,如果基于这种方式构建无感知认证,无疑是不现实的。锐捷网络BYOD解决方案解决了这个难题,对于初次配置复杂的Windows和Android系统,给出了方便易用的配置助手,当用户连接到无线网络以后,会自动检测用户的设备类型,如果是Windows PC或者android手机,则会自动提示用户下载使用小助手小助手虽然呈现给用户的只是简单的账号和密码输入,但后台却完成了完整的802.1X认证环境的配置工作,同时,仅有首次认证需要使用小助
23、手,后续即可实现跟iOS一样的入网即认证的效果,实现“无感知”。“无感知”的另一个体现,是在对访客的管理上。锐捷BYOD解决方案创新的提出了访客“自助管理”的理念,即由访客通过先连入无线网络,然后给出人性化的提示,由访客自助进行上网账号的开通和使用,再辅以后台系统对于访客网络权限的控制,使访客在进入网络后仅能进行低权限的操作,这是非常方便的。“无感知”的访客管理有多种手段,这里介绍其中的一种“手机短信开户”方式:即访客连接至无线网络之后,会弹出认证的页面,访客可以通过自己的手机号码进行注册,按照接收到的短信中的账号密码进行上网操作。4.10 无线网络安全建设无线网络作为有线网络的补充,其安全性
24、与有线网络密不可分,总体可以分成四个层面,分别是射频层(物理层)安全、链路层安全、网络层安全和应用层安全。对于射频层安全,由于AP使用空中的无线电射频信道工作,每路射频都会占用一个信道。非法设备可能侵占合法AP的正常信道工作,一方面会对合法的无线接入点产生干扰,另一方面是非法无线用户对合法AP的入侵。互联网上可以轻易地下载到很多无线入侵和攻击工具,而原先传统的无线接入点设备均都没有侦测无线入侵的功能,所以当受到像无线DOS攻击时,就会误以为是无线电波的信号受干扰或AP出现不稳定情况,这些攻击会导致用户的无线连接发生中断。通过无线控制器内置的WIDS/WIPS组件,可以实时检测异常的无线数据包,
25、当无线系统侦测出有入侵时,它会记录和显示入侵的格式,并对入侵做出自动保护响应和报警,通过发射RF射频干扰方式实现对非法AP的压制,并提醒网管人员注意并提示相应的解决措施。;链路层的安全主要依靠标准体系中的安全特性来保证,通过802.1x、PSK、MAC、Portal等方式来控制各种类型用户的准入,通过WAPI来保证用户、认证体以及后台认证服务器的三元结构的安全可信,通过用户二三层隔离等技术来限制用户间的互访。对于网络层安全,系统内置入侵防御模块,可有效防范无线网络中DHCP攻击、假冒DHCP Server。系统能对flood攻击以及DDOS攻击进行识别和有效防护。在全校无线网络建成之后,其主体
26、设备无线接入点,将被大量的用于最后一百米的接入为师生提供无线接入的服务。因此,建成后的无线网络应当具备接入层网络的用户管理策略,即用户组策略。通过对不同的用户实施不同的安全、认证、计费策略,保障用户不会利用无线接入点非法互通。另外,为了确保类似视频会议、重要的文件下载等重要关键业务在无线网络上的稳定应用,需要在以共享为特征的无线信道带宽中,为其分配足够保障的带宽资源和优先传输。因此,必须采用无线网络专用的QoS机制,即802.11e协议。通过对该协议的支持,将使得无线接入点设备可以预知某种应用或客户的优先顺序,并进行相应的处理。无线网络的认证安全是每一个网络管理者需要重点考虑的问题,由于无线网
27、络接入地点的随意性,在无线网络中需要部署认证系统,实现网络的准入认证,而不单纯是以外的准出认证方式。802.1x认证和WEB认证在近几年的高校网络运行中经受了长期的考验,被证明是非常适合高校无线网络环境的准入认证方法。因此,全校无线网络用户身份认证方面,应当全面采用基于802.1x和WEB认证的AAA平台,并配合支持标准802.1x和WEB的无线接入点设备或无线控制器,可为每个无线用户提供入网身份认证机制。网络安全不仅包括用户的安全,还包括设备的安全,通过AC控制器、核心交换机关键部件等的冗余配置,使得用户、网络、设备三个方面的安全都得到了保证,极大提升了网络的健壮性。4.11 无线网络防雷及
28、电源设计4.11.1 无线网络防雷设计湘潭电大属于雷区,各种雷击较为频繁,所有无线网络产品均应重点考虑防雷设计。福建星网锐捷网络有限公司通过建立基于业界先进管理理念与IT技术的ERP系统,与国内近千家供应商合作,形成了一条复杂而顺畅的价值链传递体系。配合业界经典的精益生产(JIT)及规模采购优势,保障为客户提供最优的供应方案。公司拥有世界一流的生产线,引进了国际先进的SMT、波峰焊、超声波清洗、ICT调试、X900、TCS500等生产检测设备,建立了国际规范化的测试、生产、24小时烤机等先进生产工艺和质量管理流程体系。从而以严格的全过程质量保障体系,造就了福建星网锐捷网络有限公司拥有国际先进品
29、质、性能卓越的网络产品。锐捷网络全线网络产品均采用高标准防雷设计,元器件均选用优质材料,不仅可有效抵御雷击,还能对感应雷进行防御。通过配合机房的防雷设计,可有效抵御多种雷击,可靠性高达99.998%。下面分别就交换机和安装过程中的防雷设计做下说明: POE交换机防雷设计本次方案中所用到的所有POE交换机做了专业的防雷设计,有效防护雷击现象。1、宽电压设计,克服电压不稳的因素,满足不同地区不同电压的要求。由于多方面因素,我国电网不够稳定是客观存在的,在偏远地区和用电高峰期的表现尤为明显,而且短时间内也不会有大的改善。不稳定的电源供应对系统正常稳定工作的影响是不言而喻的。或许有些人遇到过在炎热的夏
30、季家里的冰箱、空调不制冷甚至不能启动的尴尬状况,这在很大程度上都可能是电压不稳定造成的,超出了冰箱和空调的正常工作电压范围(一般情况下为176242V),此时外置一个稳压器就成为保证冰箱、空调稳定工作的选择。为了解决这个问题,锐捷的产品引入了宽电压电源设计,正常工作电压范围为90264V,从而大大减少了电压不稳导致设备无法正常工作的情况发生,也降低了外购稳压器的成本。当然如果存在个别地方的电压仍然超出了锐捷宽电压设计范围,需选配稳压器。2、内置防雷设计,满足国内客观环境要求。上文已经分析过了防雷的重要性和国内防雷安装的现状部分项目的设计方案中没有考虑防雷方案,考虑了防雷方案的项目部分存在施工不
31、规范的问题,导致整体防雷效果不明显。针对这种情况,锐捷的产品引入了内置等电位防雷电路设计,大大提升出户端口的防雷能力。A、工作原理:大家都见过燕子双脚立在高压线上而不会被击伤或击毙,不是燕子双脚有高压绝缘功能,而是因为燕子身体任何部位都带上等伏电压,没有电位差,没有电流通过,燕子才安然无恙。内置等电位防雷技术正是利用“等电位”技术处理,在雷击瞬间迅速平衡各端口信号线和单板地之间的电压,没有电位差,等于没有电流通过,能量抵消后,设备也就不易损害。B、优点:能够降低施工难度,提高防雷可靠性,降低防雷成本。内置等电位防雷电路,相当于外购了端口防雷器并按照正确的施工工艺安装好。在施工过程中,我们不用担
32、心不了解防雷器性能的施工人员将防雷器接反了;不用担心防雷器和设备的等电位联结没有做;不用担心防雷器地线和设备地线的金属搭接不好;也不用担心搭接处的电化学腐蚀、生锈等因素降低系统的长期防雷效果。我们只需将设备接地就能够保证设备稳定运行。3、过流保护设计,避免施工过程中误接220V电压对设备造成的损坏。根据锐捷长期对损坏设备的分析和现场调查发现,部分端口的烧毁原因是由于施工人员在施工过程中错误的接触到电源线上,导致高压大电流直接将端口烧毁。其实信号线不能接电源就像人体不允许直接触摸220V市电一样是一个基本常识,但是仍然常常有这种错误施工的情况发生。锐捷产品针对容易误接的端口引入了过流保护设计电路,保证设备在施工中不小心接触到电源线的情况下不受损坏,异常高压一旦消失后设备又能够重新正常工作。 POE交换机防雷接地安装说明安装等电位要求:为了保证整个设备成为一个等电势体,防止由
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1