高校有线无线一体化解决专业方案.doc

中国普天移动互联网运行处理方案 XX高校有线无线一体化处理方案 V1.1 11月29日 目 录 1. 序言 - 3 - 2. 系统架构 - 4 - 2.1 中国普天四层架构：同时支持AP、AC架构 - 4 - 2.2 系统架构图： - 5 - 2.3 基础技术-无限（线）云 - 5 - 2.4 什么是可运行“无限（线）云”？ - 5 - 3. WLAN建设方案分析 - 7 - 3.1 有线无线-准入准出统一管理 - 7 - 3.2 单校区传统无线模式：AP+AC模式 - 8 - 3.3 总校管理分校模式：AP当地转发 - 9 - 3.4 高校和运行商推荐合作模式： - 10 - 4. 布署方法特点 - 12 - 4.1 有线无线-准入准出统一管理 - 12 - 4.2 云服务管理模式 - 12 - 4.3 虚拟AC，网络租赁 - 12 - 4.4 有线网无线延伸 - 13 - 4.5 有线无线集中监控 - 13 - 4.6 基于用户角色权限管理 - 13 - 4.7 可动态组建VPN私有云网络 - 14 - 4.8 可建立网中网 - 14 - 4.9 高性价比 - 14 - 4.10 安全防火墙/NAT - 14 - 1. 序言 在国际上，拥有没有线校园网，已经成为数字化校园一个标志。伴随无线局域网技术不停成熟和普及，无线局域网作为有线网络补充和延伸，对推进高校信息化资源建设发展起到了关键作用，同时对老师、学生学习、生活方法产生了主动影响。 现在多种移动终端在校园普及，和教学科研需要，无线网络建设已经成为趋势。中国普天WI-FI处理方案不仅着眼于处理无线覆盖这个基础前提，还依靠多年来为全国近千所高校提供认证，计费方案所积累市场了解，提供了基于校园现有有线网，易于管理，维护校园无线网络处理方案。无线局域网正以它高速传输和很好灵活性、扩容性在高校教学、管理等各项应用中发挥着日益关键作用。在这么环境下，基于无线交换技术新一代中国普天云接入无线Wi-Fi网络产品和处理方案应运而生。 2. 系统架构 2.1 中国普天四层架构：同时支持AP、AC架构 Ø 服务层 –集中服务平台（CSP）：CSP负责下联设备(VSM,AP)规则制订和下发，及用户业务集中服务平台统一管理。 Ø 接入控制层 – 分布式AC （VSM）：分布式控制AC（VSM）关键对AP及用户通信链路进行管理控制。 Ø 无线接入层-（VAP）：依据CSP下发无线策略，公布无线信号，依据使用环境不一样，可同时工作在胖瘦两种模式，或多个瘦AP模式下。 Ø 用户业务终端层（Client）：PC，手机终端，PAD等，支持个性定制。 此种架构优势，是方便网络组建和扩充，和对网络中用户进行统一管理和设备维护；易于提供基于用户角色和位置安全接入服务；方便实现对用户数据链路控制；便于对接入用户提供广告及其它商业信息服务。 2.2 系统架构图： 2.3 基础技术-无限（线）云 Ÿ 伴随移动终端快速普及，尤其在苹果企业IPAD，IPHONE取得重大商业成功以后，WI-FI网络建设对于高校，企业，运行商关键性已经无需赘述。 Ÿ 中国普天推出了“基于帐户虚拟化集中管理“ ”防火墙，VPN，BYOD（终端准入）““基于角色用户管理“ ”基于位置及角色内容服务“四为一体无线云架构平台； Ÿ 中国普天提供了“可运行”“可管理”“可信赖”“可扩展”“可共享”为关键理念安全无线网络组网方案。 2.4 什么是可运行“无限（线）云”？ Ÿ 基于云服务器集中管理 – 包含设备、人员、规则、位置、内容管理。 Ÿ 可不受地域和网络媒介限制，只要互联网可达，即可无限，自动扩充网络，即插即用、自动组网。 Ÿ 能够在同一个物理网络上虚拟出多个可独立运行管理逻辑网络。 Ÿ 能够依据用户位置信息提供内容服务，可依据用户即时需求创建Wi-Fi无线专网。 3. WLAN建设方案分析 3.1 有线无线-准入准出统一管理 Ÿ VSM串行接入，统一管理有线网络和无线网络，处理校园网中，大量AP混合布署所带来问题，同时也处理了有线网接入控制问题。 Ÿ 分布式AC互为备份，排除了集中式AC单点故障风险。 Ÿ 伴随802.11n普及，Wi-Fi网络数据传输能力得到了极大提升，集中式AC成为了瓶颈，分布式AC当地转发功效很好处理了这一问题。 Ÿ 分布式AC更靠近AP，能够实现当地用户数据转发，节省了带宽。 Ÿ 分布式AC，即插即用，便于高校和运行商网络组建和扩展。 Ÿ 分布式AC，配合中国普天虚拟共享技术，方便实现网络租赁服务。 Ÿ 在CSP统一控制下，分布式AC之间软件可控动态链路互联，能够帮助高校对用户数据链路实现基于角色和地域特征管理和控制。 Ÿ VSM中防火墙模块；有线无线、准入准出统一管理； Ÿ 高校信息中心，含有不相同级管理权限，管理和其权限相对应网络资源、业务资源和用户资源。 Ÿ 能够逐步过渡成为高校和运行商合作模式； 3.2 单校区传统无线模式：AP+AC模式 Ÿ 传统CAM(AC)+AP处理方案；AP分布在校内宿舍区、办公楼，进行无线信号覆盖；AC控制器旁路布署在关键交换机上对AP管理控制。 Ÿ AP含有当地转发模式，校领导等访问互联网流量，经过当地出口转发，不在汇聚至校区AC转发，减轻了AC压力，避免了单点故障。 Ÿ 此种方法适合高校自建Wlan网络，规模由小到大，逐步扩张。能够逐步过渡到高校、运行商合作模式。此时高校作为WLAN网络拥有者，能够将虚拟AP功效打开，虚拟出一张运行商可独立运行网络，将网络租赁出去。高校信息中心拥有AC最高权限。AC上对于运行商接入情况，访问时长、访问流量等信息全部含有日志信息，可作为合作运行依据。 Ÿ 可和高校现有统一身份认证平台对接；可和高校现有一卡通系统对接。 3.3 总校管理分校模式：AP当地转发 Ÿ 虚拟AP功效能够使单个AP公布多个SSID；每一个SSID是一个独立VPN网络；AP和VSM建立二层VPN管理通道，用户Portal页面，课件系统和校区之间局域网需求，全部由这个二层VPN通道完成。 Ÿ 此种架构优势是组网成本低，能够跨互联网对分校区AP进行管理；分校区AP零配置，即插即用，分校区无需专员进行配置维护。 3.4 高校和运行商推荐合作模式： Ÿ 背景：伴随高校WLAN网络普及，越来越多运行商开始关注高校无线市场；伴随运行商无偿为高校铺设Wi-Fi网络模式被推广开，此种模式优缺点也逐步暴露出来。而中国普天无线方案很好平衡了双方利益关系。 Ÿ 需求：学校网络和运行商合作运行，利益分成，校内AP虚拟公布运行商SSID和校内University双SSID信号，连接运行商SSID信号用户账号去运行商AAA平台认证，连接校内University信号在校内统一身份认证平台认证。多个校区有线，无线统一管理，策略统一下发。 Ÿ 优点：CSP做为运行商AAA平台“中转站”，负责将接入SSID信号用户认证请求转发至运行商AAA平台，同时在CSP设备上同时能够看见在运行商AAA平台上认证用户账号情况，并能产生对应时长，流量日志统计；做为未来和运行商利益分成关键依据，杜绝高校对SSID信号接入情况无法监控情况，也杜绝了运行商凭良心进行利益分配情况发生。 Ÿ CSP平台：支持当地认证同时，支持第三方认证平台。网络拥有者、网络租赁者及用户管理者全部有不相同级管理权限，管理和其权限相对应网络资源、业务资源和用户资源。无线Wi-Fi（Ap）WLAN 安全策略，SSID策略，发射频段，发射功率，QOS策略等统一配置。 Ÿ 虚拟AC：VSM是实现中国普天 方案虚拟共享功效关键设备，它负 责管理虚拟AP同时也能够做为虚拟 AC使用。VSM关键完成以下功效：准入 控制、安全控制、带宽控制、漫游及流 量统计等。分布式VSM互为备份，排除了集中式AC单点故障风险。 分布式VSM靠近AP，能够实现当地用户数据转发，节省了带宽。 分布式VSM，即插即用，便于高校网络组建和扩展。 分布式VSM，配合中国普天虚拟共享技术，方便实现网络租赁服务。 Ÿ VAP（虚拟AP）：VAP能够做为一般无线接入点使用；也能够和VSM一起实现中国普天方案多个虚拟共享功效，在一个物理网络上构建多个虚拟Wi-Fi网络，每个虚拟Wi-Fi网络能够被不一样用户控制和使用。依据用户网络环境、布署位置、功效需求不一样，AP可提供便携、soho办公、室内大功率、室外大功率等不一样形态设备。同时AP含有NAT、纯桥等多个模式，可同时在胖、瘦模式下工作。AP有线口也可依据需要划分至胖模式下或瘦模式下，以上多种模式及功效能够混合接入，极大方便了网络布署。 Ÿ 日志：实名统一身份认证，以达成网监部门对高校内网监控要求。 4. 布署方法特点 4.1 有线无线-准入准出统一管理 Ÿ 网络拥有者、网络租赁者及用户管理者全部有不相同级管理权限，管理和其权限相对应网络资源、业务资源和用户资源。 4.2 云服务管理模式 Ÿ 中国普天无线处理方案跨越了局域网、广域网和互联网，利用这一方案构建统一管理Wi-Fi网络唯一条件是IP路由可达，这一方案不再依靠于特定网络接入媒介，能够在DSL、3G、4G、FTTH、Ethernet、CMTS、cable、小区宽带等任何网路媒介上建网；这一方案VSM和VAP全部是即插即用，在CSP统一管理下自动组网。用户管理也跨越了局域网、广域网和互联网，在CSP协调下，高校和运行商用户管理能够摆脱设备及地域限制。 Ÿ 这一方案能够使一个高校教职员及合作伙伴不管地域怎样，全部可接入高校私有Wi-Fi网络，这一网路不管延伸到何处全部在同一规则下工作，使用者不管身处何出，也全部接收同一规则管理。 4.3 虚拟AC，网络租赁 Ÿ 在CSP统一管理下，校方能够在分布式AC（VSM）上虚拟出多个虚拟AC，租赁个不一样运行商使用，实现网络租赁服务。运行商能够利用虚拟AC对上述虚拟AP及其它租赁网络资源进行管理，也能够设置配置自己独有用户管理平台及服务管理平台，包含认证、计费及多媒体服务等。 4.4 有线网无线延伸 Ÿ 依靠高校校园现有有线网络资源建立无线网络， 对比于运行商在校园里建设无线网络，能保持 校园网络独立和完整，无线终端对于校园内部 访问能够当地完成，既节省了资源，又便于管理。 4.5 有线无线集中监控 Ÿ 总校、分校集中管理，且维护方便。结合校园网 统一身份认证平台,实现数字化校园所要求。 实名统一身份认证，以达成网监部门对高校内网 监控要求。 4.6 基于用户角色权限管理 Ÿ 基于用户接入控制，是云控制平台一大特色，可定义角色准入/准出权限（包含时间、地点、角色、QOS权限），能为用户定义一个或多个角色，每个角色可拥有不一样准入权限，控制用户上下行带宽，为用户提供差异化管理服务。 Ÿ 角色：能为当地认证用户定义角色，和接入策略、访问策略一起绑定；用户能够定义绑定MAC、IP、ESSID、VSLAN和角色 Ÿ 接入：接入策略能定义接入策略具体位置和时间信息，和角色、访问策略一起绑定；位置能定义具体AP位置和VSLAN；时间能定义到秒 Ÿ 权限：权限策略能定义访问策略，控制用户上网行为，和角色、访问策略一起绑定；访问策略和访问规则能自定义协议、端口等，控制上网行为； 4.7 可动态组建VPN私有云网络 Ÿ 伴随IPHONE、IPAD流行，和智能移动终端普及，在专题研讨、企业私有会议等全部需要临时专有Wi-Fi服务；云服务管理模式使企业能够全方位满足公共活动中多种Wi-Fi专网需求。 Ÿ 职员出差随身携带便携式AP，便能够将企业VPN网络随之延伸。 4.8 可建立网中网 Ÿ 大学试验室网络，学生流动性强；而试验室无线Wi-Fi加密密码伴随学生流动而更改是一件很繁琐事情； Ÿ 中国普天VAP安装方便，即插即用；验室管理者随时可搭建临时网中网；经过CSP界面为试验室学生开通临时账户，监控其访问网络资源； 4.9 高性价比 Ÿ 较少资金投入，取得全网无线覆盖 4.10 安全防火墙/NAT Ÿ CAM拥有防火墙和NAT功效，能为内部提供安全可靠网络环境。