西南石油大学无线校园网扩展升级设计文档格式.docx

1、2.2 学生宿舍校园网的部署方式目前，我校学生宿舍网络由校园网有线和运营商无线覆盖：有线部署方式：各学生宿舍接入二层交换机，接入交换机通过楼栋汇聚交换机连入校园网络，每个宿舍只有一个RJ-45接口，学生需要另外购买一台家用交换机，才能供几个人同时上网。无线部署方式：由运营商提供的WLAN覆盖。2.3 教师公寓校园网的部署方式教师公寓与学生宿舍区类似，通过楼栋交换机接入用户房间，每家用户有一个接口，使用802.1x认证上网，如果需要多个终端同时上网，则需要另设置家用交换机或者支持802.1X、DHCP的无线AP。2.4 存在的问题由于学校校园基本使用有线网络覆盖，实行单帐号单终端认证模式，不仅需

2、要大量设备资源来满足接入需求，而且接入认证方式繁杂。教师公寓在原有的有线网络基础上，使用小型无线AP实现单账号多终端同时上网来进行室内无线扩展，但是这种扩展方式只能满足部分区域覆盖，不能集中管理，不支持无缝漫游，存在很多安全性、稳定性、服务质量等方面的问题，因此只是一种临时的解决方案。学生住宿区和公共教学区使用运营商的无线覆盖，资费较贵，信号覆盖不是很好，远远不能满足教学和各种智能终端的上网需求。因此，校园网急需一种更优的无线扩展方案。三、设计方案分析现有校园网，可以发现校园网主干和相关无线网关基本完善，为了解决学生宿舍和教师公寓当前面临的室内无线网络部署问题，在设计时采用了锐捷公司的无线网新

3、一代室内解决技术智分设计方案。该设计方案不仅保护了现有校园网络的结构，又能在此基础上，实现对学生宿舍和教师公寓区域进行稳定、高质量的无线覆盖。3.1 新方案拓扑结构3.2 无线智分技术的优点锐捷无线智分解决方案，是一套以智分型AP、低损馈线、美化天线为主体的无线部署方案，集放装与室分部署的优势于一身，能够有效提升和改善无线访问质量，适合学生宿舍和教师公寓这些房间分布密集区域的无线部署。智分方案具有以下优点：（1）一套器件可以覆盖6个房间；（2）没有中间设备，节约成本；（3）速度快，信号干扰少，覆盖面广，能较好的解决信号死角问题；（4）部署容易：只需要3个设备（AP，馈线，天线）；（5）维护简单

4、：因为没有中间设备，只需要检测这三个设备；（6）在走廊部署美观。3.3 学生宿舍和教师公寓无线智分设计智分AP分别安装在学生宿舍走廊天花板和教师公寓楼道间，通过低损馈线连接美化天线接入室内，其中美化天线只有一枚硬币的大小，安装在墙上几乎感觉不到它的存在。智分AP内置智能功分模块，配合锐捷网络独有的“i-Share”技术，可实现AP智能的“一分多”部署模式，能同时满足6家用户的上网需求，每栋学生宿舍和教师公寓分别只需30台和4台智分AP，就能完成无线覆盖，有效地减少了投资。可见，智分设计能在原有布线的基础上，对房间内的任何角落进行稳定、高质量的无线覆盖，有效地解决了室内信号死角的问题，充分满足用

5、户在上网过程中对信号、性能、部署和美观度的要求。智分AP工作在Fit（瘦）模式时，在安装前无需预设置，在现场安装实施和后期维护中，产品的更换无需重新配置，可随时从无线控制器继承配置信息自动完成配置，将实施和维护的工作量大大降低。另外，除了支持本地供电外，智分AP还支持以太网供电标准协议（802.3af），其以太网端口可通过End-span PSE（PoE供电交换机）设备或Mid-span PSE（PoE供电适配器）设备，在以太网线缆上接受通信数据和电力提供。管理员可通过远程网络直接对设备进行操作，同时也避免了电源供电不方便的问题，大大降低了部署难度和安装成本。智分AP支持WEB和802.1x认

6、证模式，通过和锐捷无线控制器（AC）的协同工作，用户使用浏览器和SU客户端即可完成认证过程，不仅保证了接入用户的合法性，而且用户能快捷便利的使用无线网络，极大的提高了用户的体验感。另外，通过与RG-WS系列无线控制器产品的配合，无线用户在RG-AP200E（M）之间移动访问时，可以保证二层网络和三层网络的无缝漫游，用户在过程中不会感觉到数据访问的中断。还支持虚拟无线分组技术，通过虚拟无线接入点（Virtual AP）技术，整机可最大提供32个ESSID，支持32个802.1QVLAN，网管人员可以对使用相同SSID的子网或VLAN单独实施加密和隔离，并可针对每个SSID配置单独的认证方式、加密

7、机制等，无线认证拓扑及原理见图6、7。WEB和802.1x虽然认证方式不同，但基本原理相同，都是通过AC与Radius服务器对用户进行身份认证，AC配置见表1、2。3.4 集中式的网管平台有线无线一体化管理极大地提升了网络管理者的运维管理效率，目前教师公寓使用的是锐捷管理系统，采用基于Web的RG-SNC管理系统，为网管人员提供了易用性极强的管理平台，RG-SNC可对无线网络中的无线控制器、无线接入点等设备与有线网络设备进行一体化集中管理，网管人员对全网设备信息和状态可做到随时全盘掌握。通过整体拓扑监视、多视图维度的监视和分组管理，可对客户大规模部署的无线网络设备进行集中化的控管。而学生宿舍使

8、用的是H3C管理系统，采用的是iMC智能管理平台，除了传统的路由器、交换机外，更能对网络中的无线、安全语音、存储、监控、服务器、打印机、UPS等设备进行管理，实现设备资源的集中化管理。并且除了对H3C的网络设备管理外，iMC平台还兼容对其他主流厂家网络设备的管理，支持用户手动添加设备型号、设备厂商，从而可以实现对学生宿舍和教师公寓的统一管理。图7 线认证原理表1 WEB认证的配置配置命令注释/启用web-auth AAA认证AC-1（config）#aaa new-model /启用AAA认证功能AC-1（config）#aaa accounting network default start

9、-stop group radius /定义用户上下线审计默认使用列表AC-1（config）#aaa authentication web-auth default group radius /定义web认证默认使用列表/配置radius服务器IP地址、key等相关参数AC-1（config）#radius-server host 192.168.34.183 key ruijie /配置radius服务器KEY及IPAC-1（config）#ip radius source-interface vlan 90 /使用vlan 90的IP和radius对接AC-1（config）#radiu

10、s dynamic-authorization-extension enable /配置AC支持radius扩展属性AC-1（config）#radius-server attribute 31 mac format ietf /如ESS对接出现无法强制用户下线的情况，可以尝试调整MAC格式/在AC上配置认证页面的主页地址AC-1（config）#portal-server eportalv2 ip 192.168.33.128 url http:/192.168.33.128/eportal/index.jsp /定义eportalv2的重定向页面AC-1（config）#web-auth

11、portal-type v2 eportalv2/开放免认证访问资源AC-1（config）#http redirect direct-site 172.18.10.3 /必须开放网关arpAC-1（config）#http redirect direct-arp 192.168.33.1/在AC上对wlanl开启web认证功能AC-1（config）#wlansec 1AC-1（config-wlansec）#web-auth portal-type v2 eportalv2 /启用二代web认证AC-1（config-wlansec）#webauth /启用web认证功能/配置snmp服务

12、器（eporal,SAM）AC-1（config）#snmp-server host 192.168.33.128 traps version 2c ruijieAC-1（config）#snmp-server host 192.168.34.183 traps version 2c ruijieAC-1（config）#snmp-server enable traps web-authAC-1（config）#snmp-server community ruijie rw3.5 有线、无线统一认证我校目前教师公寓的有线网络使用的是锐捷网络的RG-SAM认证计费系统，新建设的无线智分网络能够实

13、现与SAM的无缝融合，而且RG-SAM3.X支持标准的802.1X协议，可以与其他厂商支持相应标准的产品兼容。通过无线控制器与RG-SAM的联动认证，不但可以使用原有的账户信息，并且还可以利用无线控制器内置的扩展属性功能来为无线用户进行更多的控管，例如，可以限定某个用户的上网时间段、可以限制某个账户在哪些区域可以认证、哪些区域不可以认证等新功能。并且实现了对用户安全行为策略功能，针对不同的用户名分配不同的访问权限和采取不同的行为控制，保护无线网络访问安全。学生宿舍的有线网络使用的是H3C-iMC认证计费系统，正如前面所说，iMC和RG-SAM都可以与其他厂商支持相应标准的产品兼容，因此，对于新

14、建设的无线智分网络也能实现与iMC认证系统良好的兼容。可见，新建设的无线智分网络既保护了学校前期的投资，在不改变学生宿舍和教师公寓的有线部署及认证方式的基础上，又能实现有线和无线的统一管理和认证。表2 802.1x认证的配置/启用802.1xAAA认证AC-1（config）#aaa authentication dot1x default group radius /定义dot1x认证默认使用列表/配置radius服务器IP及KEYAC-1（config）#radius-server host 192.168.33.244 key ruijie /配置radius服务器KEY及IP/配置80

15、2.1x使用的认证列表等参数AC-1（config）#dot1x authentication default /dot1x认证使用默认列表AC-1（config）#dot1x accounting default /dot1x审计使用默认列表AC-1（config）#dot1x eapol-tag /AC可以处理带Vlan Tag认证报文，默认都需要配置/WLAN启用802.1XAC-1（config-wlansec）# security rsn enable /启用WPA2认证AC-1（config-wlansec）# security rsn ciphers aes enable /启用

16、AES加密AC-1（config-wlansec）# security rsn akm 802.1x enable /启用802.1X认证/配置SNMP功能AC-1（config）#snmp-server host 192.168.33.244 traps ruijieAC-1（config）#snmp-server community ruijie四、结束语对现有的校园网进行升级与改造，只要合理部署和引入恰当的应用技术，就能够有效地满足师生对在不同环境、不同应用条件下网络服务需求。通过使用无线网新一代室内解决技术智分方案设计，我们保证了在保护现有网络投资，不改改变校园网结构与部署方式的基础上，对学生宿舍和教师公寓进行有效的、高质量的无线扩展覆盖，满足了师生多种使用网络的方式的需要，为深入开展国家教育信息化提供了应用的基础环境。