1、昆山市开发区兵希中学数字化校园网技术建议书昆山市开发区兵希中学数字化校园网技术建议书锐捷通信技术有限公司目录1 学校介绍 32 项目需求 32.1 网络安全平台需求分析 42.2 校园智能管理中心需求分析 43 设计原则 64 系统规划设计 64.1 兵希中学网络详细设计 85 有线无线一体化校园网 85.1.1 无线网络组网方案 95.1.2 无线局域网安全方案 125.1.3 供电问题 135.1.4 FIT AP解决方案特点 146 学校网络管理中心设计 166.1.1 锐捷 IMC智能管理中心 166.1.2 无线管理组件 187 方案优势总结 181 学校介绍昆山市开发区兵希中学依托
2、园区先进的办学理念,高品味的育人方略,以“尊重个性,幸福成长”为学校愿景,将学校打造成一所具有优美的校园环境,先进的教学设施,一流的师资队伍的现代化、国际化、人性化的绿色人文学校。2 项目需求数字化校园是以数字化信息和网络为基础,在计算机和网络技术上建立起来的对教学、科研、管理、生活服务等校园信息的收集、处理、整合、存储、传输和应用,在传统校园基础上构建一个数字空间,以拓展现实校园的时间和空间维度,提升传统校园的运行效率,扩展传统校园的业务功能,最终实现教育过程的全面信息化,从而达到提高管理水平和效率的目的。所以,此次网络升级,昆山市开发区兵希中学以数字化校园为目标,建立一套完整的网络体系。本
3、技术建议书正是秉着上述数字化校园建设的宗旨与目的和锐捷近十年在教育行业中积累的工程实施经验,根据“统一规划、承前启后、分步实施”的原则,分别从兵希中学数字化校园框架结构、各模块特点、实施建议等多个角度给予建议,帮助兵希中学学改造升级建成一个数字化的校园网络。 锐捷建议昆山市开发区兵希中学数字化校园总体构架采用“一平台三中心”的系统构架: 以网络安全平台为基础实现安全、可靠、永续的数据传输,实现校园网络及其应用系统的安全高效运行; 以媒体中心整合数字化校园中的非结构化数据资源,包括远程教育资源、多媒体教育资源、会议电话、校园监控等; 以校园数据中心实现校园内结构化数据资源的存储,建设一个为全校服
4、务的数据中心,保证数据实时更新和高度一致,为实现“网上办公、网上管理、网上教学、网上服务”提供全面的系统支持,数字化图书馆也可以考虑包含其中; 以智能管理中心作为数字化校园的神经中枢,统一管理业务、资源和用户这三大IT组成要素。建立统一的网络管理系统,实现一套管理网络管理所有设备。3 网络安全平台需求分析昆山市开发区兵希中学数字化校园网是一个对外连接Cernet和Internet主干网,对内连接各教学楼、实验楼、综合楼等的综合性网络,在网络建设中尤其要关注以下需求: 全网无阻塞的校园网:在整体网络设计中,网络性能由“最短的木板”决定,故建设真正的无阻塞校园网,要从网络、安全、存储、无线等多角度
5、衡量,此次学校设计我们采用万兆网络核心,百兆桌面接入,千兆上行的模式来建立一个无阻塞的昆山市开发区兵希中学校园网。 网络自愈能力校园网高可靠性的另一项硬指标是应对故障节点、故障链路、路由震荡时网络设备的自愈能力,提供不间断转发、优雅重启、环网保护等多种高可靠技术,能够承载校园园区融合业务的需求,此次兵希中学校园网的核心设备采用的是高端万兆交换机S8606双电源冗余,同时支持各种网络链路检测协议如BFD、RRPP等,保证网络的不间断性; 有线无线网络的真正融合校园网的建设往往是有线网络先建,无线网络后建。如何能降低无线校园网络的部署难度,减少网络管理维护的工作量,对学生无论有线还是无线实现统一帐
6、号营运,上述都是建设无线校园网中碰到的实际问题,兵希中学校园网此次部署的方式是无线控制器加瘦AP的方式部署,能够通过IMC智能管理中心统一管理。 建设一个安全系统校园网出口具备攻击、非法业务的隔离与控制、学生上网行为审计,具备在线主动抵御的能力、校园数据中心保护、校园核心网络自身集成安全防御能力,缩小攻击、病毒在校园影响范围,上述等等不是割裂的,安全与网络管理的融合、安全策略与网络策略的联动部署,方能构建端到端的、基于多样化环境应用的全面校园安全解决方案。4 校园智能管理中心需求分析随着数字化校园逐步实现了高带宽、广覆盖、可运营、可管理的数字化校园硬件平台,完成了万兆校园网改造、升级,解决了骨
7、干带宽、出口带宽的问题,校园身份认证、计费、管理和网络安全方面的建设逐步提到了议事日程。同时校园网管理需要更加智能和易用。随着信息技术的发展,为提高办公效率及改善教学环境,当前的学校越来越多地应用了信息技术,对于网络的依赖性也越来越大,学生需要上网查阅资料、吸收新知识、接受网上教学,老师需要借此了解最新科研进展。校园网络上通常承载着学校的办公系统、教学系统及学生宿舍网络系统,网络如果发生问题,会对学校的正常运作产生严重的影响。随着网络基础架构日趋复杂,传统的设备命令行、简单的管理工具已经不能够满足网络管理的需求。业界的经验证明,选择一个优秀的网络管理系统是保证网络最大可用性的有效手段。作为业界
8、领先的网络设备与解决方案供应商,锐捷提供包括网络管理、用户管理、业务管理等全面的管理解决方案:锐捷智能管理中心(锐捷 Intelligent Management Center,以下简称锐捷 iMC)。此次我们的网络设计中充分考虑网络的管理难题,为学校配置了锐捷的IMC智能管理中心,同时部署WSM组件,帮助学校对所有网络设备进行统一的管理,并且包括无线在内的设备都能够通过管理中心进行配置和管理,大大减弱网络管理难题,方便实用。5 设计原则此次兵希中学小学网络升级,必然是要建造成为一个先进的实用的高效网络,对此,我们对此次网络升级总结出如下设计原则。 先进性、成熟性和实用性使用先进、成熟、实用和
9、具有良好发展前景的技术,使得各个子系统具有较长的生命周期,不盲目追求高档次,既能满足当前的需求,又能适应未来的发展。 高可靠性高效稳定的系统,能提供全年365天,每天24小时的不停顿运作。对于安装的服务器、终端设备、网络设备、控制设备与布线系统,必须能适应严格的工作环境,以确保系统稳定。对于兵希中学小学的网络,可靠性直接影响到大楼的功能效果,任何网络的单点失败都可能造成很大的损失。所以整个网络的拓扑设计、设备配置、协议支持都必须充分体现出对高可靠性的支持,不允许网络有任何的间断。因为这些设备的任何问题会在第一时间反映出来,造成的影响相对也更大。 易管理和操作性先进且易于使用的图形人机界面功能,
10、提供信息共享与交流、信息资源查询与检索等有效工具。 高效率性注重各系统的信息共享,提高整个系统高效率的传输与运行能力。 完整性提供与各种外界系统的通讯功能,确保信息的完整性并充分利用在整体系统的运作上。 可扩展性把各子系统有机结合起来,充分考虑将来需求的成长空间,所提供的系统平台与技术将充分配合未来功能及扩充项目的需求,以避免将来重复的投资。标准化、结构化、模块化的设计思想贯彻始终,奠定了系统开放性、可扩展性、可维护性、可靠性和经济性的基础。综上所述,昆山市开发区兵希中学的基础设施建设项目必须从实际需要出发,必须符合一流中小学的形象,所应用的技术应坚持先进、成熟、实用,所使用的系统与设备应符合
11、标准化及开放性的要求,系统的集成应当具有持续发展的可扩展性。6 系统规划设计基于以上因素,本次昆山市开发区兵希中学数字化校园网建设建议按照以下思路进行网络规划,将网络升级为一套安全的可管理的数字化校园网络,整网拓扑图如下:核心层设计: 共计1台核心设备锐捷 8606E-S。 核心设备配置24端口千兆/百兆以太网光接口板,其中8端口可光电复用。 配置相应数量的千兆光模块连接楼层接入设备。 配置双电源,提供冗余保护。接入层设计:终端用户采取百兆兆接入,千兆上行的接入交换机。用24/48口百兆交换机作为接入设备,设备提供24/48个百兆电口,并且提供2个复用的光电口,通过千兆上行到核心设备。其中,千
12、兆电口可作为多台交换机之间的连接之用,光纤上连至核心。24端口POE交换机,能够提供供电功能,解决无线AP等设备在安装过程中附近没有取电设施的困扰,能够通过一根网线为设备提供所需的电力。网络接入区安全设计:学校网络运行着学校的各种应用和数据,在保证对外连通的同时也要保证校园网络的安全,此次方案我们在出口部署了UTM统一威胁管理设备,UTM采用高性能的多核、多线程安全平台能够在提供传统防火墙、VPN功能基础上,同时通过购买lincense可以提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。管理区设计:本次方案采用了锐捷智能网络管理平台iM
13、C和WSM组件,实现交换机以及无线在内的网络设备的统一管理,IMC能够帮助学校进行资源管理、拓扑管理、性能管理、告警管理、配置管理等功能,简化设备的配置复杂度,方便老师管理。7 昆山市开发区兵希中学网络详细设计兵希中学学校网络是一次改造升级的网络,网络中存在原有的和新增的网络设备,根据新增网络点位和原有网络点位,我们统计如下表:机房分布新增网络点原有网络点新增无线网点体健楼20笃真楼150笃志楼42笃思楼21笃行楼60笃是楼12合计3058 有线无线一体化校园网无线网络通过无线方式实现终端的接入,所以以下我们将详细介绍无线覆盖方案。无线局域网技术经过十几年的发展,已经历了三代技术及产品的发展。
14、第一代无线局域网主要是采用Fat AP,每一台AP都要单独进行配置,费时、费力、费成本;第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置,其管理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈,由于这一代技术的AP储存了大量的网络和安全的配置,包括加密的钥匙,Radius client的安全密码 (secret) 等,而AP又是分散在建筑物中的各个位置,一旦AP的配置被盗取读出并修改,其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的,所以当用户接入数量 (IP sessions)增多时,无线网的性能会急剧下降,时常会
15、发生掉线或死机情况。在这样的环境下,基于无线交换机技术的第三代WLAN产品应运而生。第三代无线局域网采用无线交换机和FIT AP的架构,对传统WLAN设备的功能做了重新划分,将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现,同时加入了许多重要新功能,诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。,使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。下表为FAT AP与FIT AP两种组网方案对比:基于以上对比,我们可以看到不管是安全性还是可管理性以及其他业务能力,胖AP的模式远比不上瘦AP的部署模式,所以此次校园网路的建设我们采用瘦AP的部署
16、方案,这也是目前主流的部署方案,符合网络发展趋势。9 无线网络组网方案无线网络采用802.1x和Portal等多种认证方式。用户接入无线网通过局域网来访问Internet。基于网络的先进性考虑,本次项目采用目前主流的无线控制器+瘦AP的架构,在实现对学校进行无缝覆盖的同时,又能够实现对无线网络的灵活管理配置,提高网络维护效率。此次采用的是锐捷 RG-WS5708无线控制器和锐捷 RG-AP-220-E无线AP,锐捷 RS2928系列有线无线一体化交换机提供纯千兆以太网有线接入口,支持PoE+供电,每端口最大提供25W的功率,同时兼容802.11a/b/g/n协议。RG-WS5708后面板提供两
17、个10GE接口插槽,支持后续扩展万兆核心,解决了WLAN网络核心的传输瓶颈。 RG-AP-220-E是是锐捷通信技术有限公司(锐捷)自主研发的室内单频集中管理型无线接入设备,支持802.11a或802.11b/g,最高速率54Mbps,此次与RG-WS5708无线控制器配合,可以便捷的为学校提供WLAN接入服务。无线方案特点:1、RG-WS5708无线控制器缺省配置支持24个AP的管理,最大可以支持60个AP,满足无线网络后续的扩容以及升级要求。2、无线控制器支持802.1X、PPPoE、WEB+Portal或MAC等多种认证方式。3、无线控制器内置AAA Server,无线认证可以在无线控制
18、器上面完成,方便对以临时访客的开户。锐捷 FIT AP组网最大的优点在于AP本身零配置,AP上电后会自动从无线控制器下载软件版本和配置文件,同时无线控制器会自动调节AP的工作信道以及发射功率。另外,通过无线控制器的RF扫描探测热点地区Rouge AP,可以及时排除其他AP存在的干扰,保障AP的稳定运行。在网络管理方面,网管可以只通过管理无线控制器设备就可以达到控制AP的效果,极大的减少了无线网络后期维护和管理的工作量。使用无线控制器+FIT AP时,AP在启动后会自动通过DHCP方式获取IP地址,并自动搜寻可关联的无线控制器,在和无线控制器建立CAPWAP隧道之后会自动从无线控制器下载配置文件
19、和更新软件版本。在AP的接入方面,锐捷拥有智能射频管理,当某一个AP出现故障时,周围的其他AP会自动调整功率,对该部分区域进行重新的信号覆盖,保证信号的良好覆盖。而当有非法AP进入无线网络造成信号干扰时,锐捷只能射频管理系统可以定位出该AP的位置,以便及时加以排除。图3-2 FIT AP自动射频调整功能示意图无线控制器可以设定AP间对接入用户进行负载分担,当无线控制器发现AP的负载超过设定的门限值以后,对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入,如果有则AP会拒绝用户的关联请求,用户会转而接入其他负载较轻的AP。如图所示。图3-3 锐捷 WLAN智能负载分
20、担锐捷公司创新性地支持智能负载均衡技术,保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能,有效的避免误均衡的出现。图3-4 锐捷 WLAN智能负载分担锐捷 FIT AP方案还支持无线入侵检测。当有第三方的AP仿冒SSID时,无线控制器会通过AP的反馈,迅速得到相应的信息,并上报网管,采取相应的信息。管理员还可以对该设备发起攻击,使该第三方设备无法连接上相应的用户。图3-5 锐捷无线入侵检测示意图10 无线局域网安全方案防ARP病毒ARP欺骗攻击不仅会造成联网不稳定,引发用户无法上网,或者企业断网导致重大生产事故,而且利用ARP欺骗攻击可进一步实施中间人攻击,以此非法获取到游戏、网银、
21、文件服务等系统的帐号和口令,对被攻击者造成利益上的重大损失。因此ARP欺骗攻击是一种非常恶劣的网络攻击行为.无线局域网由于带宽相对较窄,而且同一个AP下的所有用户都共享带宽,所以一点有用户中ARP病毒,频繁发送ARP报文,对网络的影响比有线更大。针对无线网络的特点,锐捷创新的在WLAN上提供防ARP病毒方案,首先同一个AP的同一个SSID下的用户缺省启动用户隔离,这样用户发送的ARP报文不会被转发给其他用户,其次锐捷 ARP攻击防御解决方案通过对客户端、接入交换机和网关三个控制点实施自上而下的“全面防御”,并且能够根据不同的网络环境和客户需求进行“模块定制”,为用户提供多样、灵活的ARP攻击防
22、御解决方案。锐捷提供两类ARP攻击防御解决方案:监控方式,认证方式。监控方式主要适用于动态接入用户居多的网络环境,认证方式主要适用于认证方式接入的网络环境;实际部署时,建议分析网络的实际场景,选择合适的攻击防御解决方案。另外,结合锐捷独有的iMC智能管理中心,可以非常方便、直观的配置网关绑定信息,查看网络用户和设备的安全状况,不仅有效的保障了网络的整体安全,更能快速发现网络中不安全的主机和ARP攻击源,并迅速做出反映。无线入侵检测锐捷的WIDS目前主要包括下面三个特性:非法设备检测;入侵检测;无线用户接入控制(黑名单和白名单);非法设备检测比较适合于大型的WLAN网络。通过在已有的WLAN网络
23、中部署非法设备检测功能,可以对整个WLAN网络中的异常设备进行监视,并且可以根据需要对非法的设备进行防攻击处理(在实际的网络应用中,可以启动防攻击功能,即WIDS会尽量阻止非法的设备提供服务或者接入到无线网络)。非法设备检测可以检测并且分类WLAN网络中的多种设备,例如非法AP,非法无线终端,非法无线网桥等等。入侵检测主要为了及时发现WLAN网络中的有意或者无意的攻击,通过记录信息或者日志方式通知网络管理者。根据入侵检测的结果,网络管理者可以及时调整网络的配置,去除WLAN网络的不安全因素,保证WLAN网络不再受到攻击。目前锐捷的入侵检测主要包括802.11报文Flood攻击检测、AP Spo
24、of检测以及Weak IV检测,而且其中Flood攻击检测可以根据不同类型的报文进行攻击检测。接入控制根据特定的属性实现了对无线客户端接入WLAN网络的权限控制。目前WIDS接入控制主要根据MAC地址进行规则控制,并且支持两种控制规则:黑名单和白名单。其中白名单只能通过手动进行配置;而黑名单同时支持手动配置方式和动态添加方式,入侵检测系统和非法设备检测模块检测到非法攻击,可以动态地将该非法设备添加到黑名单中,后续所有从该设备接收到的报文会被直接丢弃,从而保护了WLAN网络不再受到该非法设备的攻击。11 供电问题由于本次无线网中AP设备数量较多,AP布放位置根据实际覆盖效果而调整,此次通过POE
25、供电在以太网线传输数据同时给AP供电,供电距离达100米。PoE设备的原理是通过非屏蔽双绞线中四对线中的两对线来传输电源,传输数据的同时传输直流电。因为AP往往要求使用不间断电源(UPS)供应电力,采用PoE设备,AP端仅仅通过一根RJ-45网线与网络连接即可以同时传输数据和电力,因此在使用PoE设备的情况下,所有的AP都使用一个UPS在PoE设备端进行保护。如果不使用PoE设备,就需要给每个AP配一个UPS或在AP附近安装电源插座,增加了成本。因此使用PoE设备将大大降低设备成本和管理成本。PoE具有非常明显的优势,具体如下: 简化安装,降低成本,不需为每个网络设备单独提供数据和电力线缆。
26、灵活性提高,网络装置可被安装在任何位置,而不需靠近一个已存在的电源输出口。 可靠性增强,有SNMP能力的PoE装置,可实施远程检测和控制,能有效地处理或修理装置的耗电量和(或)失效故障。12 FIT AP解决方案特点 方便部署一般而言,对网络的改造和升级都是一个大工程,不但在网络升级期间,网络无法使用,甚至需要对原有的有线网络重新规划和部署。FIT AP解决方案,采用集中式架构,在原有网络增加无线功能时,可以轻松地把原来有线企业网络,在不改变其网络的原有规划和部署的情况下,甚至不需要中断原有网络就可以轻松叠加一个无线网络,该无线网络和原有的有线网络可以形成有线无线一体化的接入方案,这种保护客户
27、已有投资的升级方法,可以大大减少网络升级和部署的成本。 易于管理、AP“零配置”传统无线网络的部署需要网络管理员对网络中的每一个AP进行逐一配置,当无线网络规模较大时网络管理员往往要配置上百个AP,工作量巨大,且容易出错。而采用无线控制器和FIT AP配合组网时,只需要在无线控制器上对一类相同属性的AP建立配置模板,AP在启动时可以自动从无线控制器上下载最新的配置文件。另外,由于AP本身不保存任何配置,万一设备丢失,也可以保证网络配置不被窃取。AP支持启动后自动获取IP地址、自动获取AC的工作列表并自动和AC建立关联,真正做到了零配置,免维护,即插即用,极大地减轻了网络管理员在部署网络阶段的维
28、护工作量。当网络正常运行以后,无线控制器对所管理的AP以及AP所接入的用户进行实时监控,并能将这些信息实时上报给网管。维护人员可以指定AP或用户进行在线服务策略设定和安全策略设定,使网络配置策略更加灵活。 方便升级无线AP还支持软件自动更新功能,在其每次重新启动时会自动比较当前运行的版本和无线控制器上保存的版本,如果无线控制器上保存的版本更新,无线AP会自动更新本地的软件映像,软件升级不再需要网管人员的干预。 三层漫游无线控制器支持三层漫游,并支持快速漫游,漫游切换时间小于50ms,满足对切换时间要求最苛刻的语音业务。 支持虚拟AP无线AP支持多SSID实现虚拟AP特性,每个SSID可对应不同
29、的VLAN、从而对于每一个SSID可以实现不同的网络服务及认证方式。该特性使管理员可以方便的为不同用户群、不同的业务制定区分的服务策略。 丰富的RF管理和安全RF管理功能,可以使得无线网络的布网灵活性大大增强,网络的可维护性得到很大的提高。AP的功率调整和信道切换是网络部署和调试时不可缺少的重要手段,信道和功率还需要按照国家代码自动设置,锐捷 WX5004系列无线控制器的RF管理功能使得网络部署非常简单。RSSI/SNR的不断更新,更是让系统可以适时了解每一个无线用户所处电磁环境的好坏、离AP的距离,从而可以采取相应的策略来提升网络可用性。 支持智能的负载均衡支持按接入用户数量和流量的复杂均衡
30、方式,当无线控制器发现AP的负载超过设定的门限值以后,对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入,如果有则AP会拒绝用户的关联请求,用户会转而接入其他负载较轻的AP,但如果无线用户不在AP的重叠覆盖区内,传统的负载均衡方式往往会导致连接不上网络,造成误均衡。锐捷公司创新性地支持智能负载均衡技术,保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能,有效的避免误均衡的出现,从而最大限度的提高了无线网络容量。 IPv6无线控制器和无线AP等所有设备实现了IPv4/IPv6双协议栈。 完善的QoS无线控制器对Diff-Serv标准进行了完善,同时还增加了对
31、IPv6协议的QoS支持。QoS Diff-Serv 模型中主要包括流分类、流量监管(Policing)、队列管理、队列调度(Scheduling)等,完整实现了标准中定义的EF、AF1AF4、BE等六组PHB及业务,可为用户提供具有不同服务质量等级的服务保证, 真正成为同时承载数据、语音和视频业务的综合网络。 有线无线一体化的网管系统此次配置无线管理组件,实现无线设备管理及无线业的可视化,部署无线控制器提供本地维护、远程维护、集中维护等多种维护手段,并提供完备的告警、测试、诊断、跟踪、日志等功能,方便用户的日常维护管理。 支持硬件加解密无线AP采用了业界先进的无线芯片,支持WEP/TKIP/AES等硬件加解密算法,使安全处理不成为系统应用的瓶颈。13 学校网络管理中心设计14 锐捷 IMC智能管理中心锐捷专注于IP产品与相关技术的研发、生产和销售,具备完善的产品技术、客户服务、渠道、认证培训体系,为您提供客户化、特性丰富、性价比高的网络产品与解决方案。作为业界领先的网络设备与解决方案供应商,锐捷提供包括网络管理、用户管理、业务管理等全面的管理解决方案:锐捷智能管理中心(锐捷 Intelligent Management Center,以下简称锐捷 iMC)。锐捷 iMC是锐捷 IToIP解决方案的统一管理中心,基于SOA架构
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1