高校有线无线一体化解决专业方案.doc

1、中国普天移动互联网运行处理方案XX高校有线无线一体化处理方案V1.111月29日目 录1. 序言- 3 -2. 系统架构- 4 -2.1 中国普天四层架构：同时支持AP、AC架构- 4 -2.2 系统架构图：- 5 -2.3 基础技术-无限（线）云- 5 -2.4 什么是可运行“无限（线）云”？- 5 -3. WLAN建设方案分析- 7 -3.1 有线无线-准入准出统一管理- 7 -3.2 单校区传统无线模式：AP+AC模式- 8 -3.3 总校管理分校模式：AP当地转发- 9 -3.4 高校和运行商推荐合作模式：- 10 -4. 布署方法特点- 12 -4.1 有线无线-准入准出统一管理-

2、12 -4.2 云服务管理模式- 12 -4.3 虚拟AC，网络租赁- 12 -4.4 有线网无线延伸- 13 -4.5 有线无线集中监控- 13 -4.6 基于用户角色权限管理- 13 -4.7 可动态组建VPN私有云网络- 14 -4.8 可建立网中网- 14 -4.9 高性价比- 14 -4.10 安全防火墙/NAT- 14 -1. 序言在国际上，拥有没有线校园网，已经成为数字化校园一个标志。伴随无线局域网技术不停成熟和普及，无线局域网作为有线网络补充和延伸，对推进高校信息化资源建设发展起到了关键作用，同时对老师、学生学习、生活方法产生了主动影响。现在多种移动终端在校园普及，和教学科研需

3、要，无线网络建设已经成为趋势。中国普天WI-FI处理方案不仅着眼于处理无线覆盖这个基础前提，还依靠多年来为全国近千所高校提供认证，计费方案所积累市场了解，提供了基于校园现有有线网，易于管理，维护校园无线网络处理方案。无线局域网正以它高速传输和很好灵活性、扩容性在高校教学、管理等各项应用中发挥着日益关键作用。在这么环境下，基于无线交换技术新一代中国普天云接入无线Wi-Fi网络产品和处理方案应运而生。2. 系统架构2.1 中国普天四层架构：同时支持AP、AC架构 服务层 集中服务平台（CSP）：CSP负责下联设备(VSM,AP)规则制订和下发，及用户业务集中服务平台统一管理。 接入控制层 分布式A

4、C （VSM）：分布式控制AC（VSM）关键对AP及用户通信链路进行管理控制。 无线接入层-（VAP）：依据CSP下发无线策略，公布无线信号，依据使用环境不一样，可同时工作在胖瘦两种模式，或多个瘦AP模式下。 用户业务终端层（Client）：PC，手机终端，PAD等，支持个性定制。此种架构优势，是方便网络组建和扩充，和对网络中用户进行统一管理和设备维护；易于提供基于用户角色和位置安全接入服务；方便实现对用户数据链路控制；便于对接入用户提供广告及其它商业信息服务。2.2 系统架构图：2.3 基础技术-无限（线）云 伴随移动终端快速普及，尤其在苹果企业IPAD，IPHONE取得重大商业成功以后，W

5、I-FI网络建设对于高校，企业，运行商关键性已经无需赘述。 中国普天推出了“基于帐户虚拟化集中管理“ ”防火墙，VPN，BYOD（终端准入）“基于角色用户管理“ ”基于位置及角色内容服务“四为一体无线云架构平台； 中国普天提供了“可运行”“可管理”“可信赖”“可扩展”“可共享”为关键理念安全无线网络组网方案。2.4 什么是可运行“无限（线）云”？ 基于云服务器集中管理 包含设备、人员、规则、位置、内容管理。 可不受地域和网络媒介限制，只要互联网可达，即可无限，自动扩充网络，即插即用、自动组网。 能够在同一个物理网络上虚拟出多个可独立运行管理逻辑网络。 能够依据用户位置信息提供内容服务，可依据用

6、户即时需求创建Wi-Fi无线专网。3. WLAN建设方案分析3.1 有线无线-准入准出统一管理 VSM串行接入，统一管理有线网络和无线网络，处理校园网中，大量AP混合布署所带来问题，同时也处理了有线网接入控制问题。 分布式AC互为备份，排除了集中式AC单点故障风险。 伴随802.11n普及，Wi-Fi网络数据传输能力得到了极大提升，集中式AC成为了瓶颈，分布式AC当地转发功效很好处理了这一问题。 分布式AC更靠近AP，能够实现当地用户数据转发，节省了带宽。 分布式AC，即插即用，便于高校和运行商网络组建和扩展。 分布式AC，配合中国普天虚拟共享技术，方便实现网络租赁服务。 在CSP统一控制下，

7、分布式AC之间软件可控动态链路互联，能够帮助高校对用户数据链路实现基于角色和地域特征管理和控制。 VSM中防火墙模块；有线无线、准入准出统一管理； 高校信息中心，含有不相同级管理权限，管理和其权限相对应网络资源、业务资源和用户资源。 能够逐步过渡成为高校和运行商合作模式；3.2 单校区传统无线模式：AP+AC模式 传统CAM(AC)+AP处理方案；AP分布在校内宿舍区、办公楼，进行无线信号覆盖；AC控制器旁路布署在关键交换机上对AP管理控制。 AP含有当地转发模式，校领导等访问互联网流量，经过当地出口转发，不在汇聚至校区AC转发，减轻了AC压力，避免了单点故障。 此种方法适合高校自建Wlan网

8、络，规模由小到大，逐步扩张。能够逐步过渡到高校、运行商合作模式。此时高校作为WLAN网络拥有者，能够将虚拟AP功效打开，虚拟出一张运行商可独立运行网络，将网络租赁出去。高校信息中心拥有AC最高权限。AC上对于运行商接入情况，访问时长、访问流量等信息全部含有日志信息，可作为合作运行依据。 可和高校现有统一身份认证平台对接；可和高校现有一卡通系统对接。3.3 总校管理分校模式：AP当地转发 虚拟AP功效能够使单个AP公布多个SSID；每一个SSID是一个独立VPN网络；AP和VSM建立二层VPN管理通道，用户Portal页面，课件系统和校区之间局域网需求，全部由这个二层VPN通道完成。 此种架构优

9、势是组网成本低，能够跨互联网对分校区AP进行管理；分校区AP零配置，即插即用，分校区无需专员进行配置维护。3.4 高校和运行商推荐合作模式： 背景：伴随高校WLAN网络普及，越来越多运行商开始关注高校无线市场；伴随运行商无偿为高校铺设Wi-Fi网络模式被推广开，此种模式优缺点也逐步暴露出来。而中国普天无线方案很好平衡了双方利益关系。 需求：学校网络和运行商合作运行，利益分成，校内AP虚拟公布运行商SSID和校内University双SSID信号，连接运行商SSID信号用户账号去运行商AAA平台认证，连接校内University信号在校内统一身份认证平台认证。多个校区有线，无线统一管理，策略统一

10、下发。 优点：CSP做为运行商AAA平台“中转站”，负责将接入SSID信号用户认证请求转发至运行商AAA平台，同时在CSP设备上同时能够看见在运行商AAA平台上认证用户账号情况，并能产生对应时长，流量日志统计；做为未来和运行商利益分成关键依据，杜绝高校对SSID信号接入情况无法监控情况，也杜绝了运行商凭良心进行利益分配情况发生。 CSP平台：支持当地认证同时，支持第三方认证平台。网络拥有者、网络租赁者及用户管理者全部有不相同级管理权限，管理和其权限相对应网络资源、业务资源和用户资源。无线Wi-Fi（Ap）WLAN 安全策略，SSID策略，发射频段，发射功率，QOS策略等统一配置。 虚拟AC：V

11、SM是实现中国普天方案虚拟共享功效关键设备，它负责管理虚拟AP同时也能够做为虚拟AC使用。VSM关键完成以下功效：准入控制、安全控制、带宽控制、漫游及流量统计等。分布式VSM互为备份，排除了集中式AC单点故障风险。分布式VSM靠近AP，能够实现当地用户数据转发，节省了带宽。分布式VSM，即插即用，便于高校网络组建和扩展。分布式VSM，配合中国普天虚拟共享技术，方便实现网络租赁服务。 VAP（虚拟AP）：VAP能够做为一般无线接入点使用；也能够和VSM一起实现中国普天方案多个虚拟共享功效，在一个物理网络上构建多个虚拟Wi-Fi网络，每个虚拟Wi-Fi网络能够被不一样用户控制和使用。依据用户网络环

12、境、布署位置、功效需求不一样，AP可提供便携、soho办公、室内大功率、室外大功率等不一样形态设备。同时AP含有NAT、纯桥等多个模式，可同时在胖、瘦模式下工作。AP有线口也可依据需要划分至胖模式下或瘦模式下，以上多种模式及功效能够混合接入，极大方便了网络布署。 日志：实名统一身份认证，以达成网监部门对高校内网监控要求。4. 布署方法特点 4.1 有线无线-准入准出统一管理 网络拥有者、网络租赁者及用户管理者全部有不相同级管理权限，管理和其权限相对应网络资源、业务资源和用户资源。4.2 云服务管理模式 中国普天无线处理方案跨越了局域网、广域网和互联网，利用这一方案构建统一管理Wi-Fi网络唯一

13、条件是IP路由可达，这一方案不再依靠于特定网络接入媒介，能够在DSL、3G、4G、FTTH、Ethernet、CMTS、cable、小区宽带等任何网路媒介上建网；这一方案VSM和VAP全部是即插即用，在CSP统一管理下自动组网。用户管理也跨越了局域网、广域网和互联网，在CSP协调下，高校和运行商用户管理能够摆脱设备及地域限制。 这一方案能够使一个高校教职员及合作伙伴不管地域怎样，全部可接入高校私有Wi-Fi网络，这一网路不管延伸到何处全部在同一规则下工作，使用者不管身处何出，也全部接收同一规则管理。4.3 虚拟AC，网络租赁 在CSP统一管理下，校方能够在分布式AC（VSM）上虚拟出多个虚拟A

14、C，租赁个不一样运行商使用，实现网络租赁服务。运行商能够利用虚拟AC对上述虚拟AP及其它租赁网络资源进行管理，也能够设置配置自己独有用户管理平台及服务管理平台，包含认证、计费及多媒体服务等。4.4 有线网无线延伸 依靠高校校园现有有线网络资源建立无线网络，对比于运行商在校园里建设无线网络，能保持校园网络独立和完整，无线终端对于校园内部访问能够当地完成，既节省了资源，又便于管理。4.5 有线无线集中监控 总校、分校集中管理，且维护方便。结合校园网统一身份认证平台,实现数字化校园所要求。实名统一身份认证，以达成网监部门对高校内网监控要求。4.6 基于用户角色权限管理 基于用户接入控制，是云控制平台

15、一大特色，可定义角色准入/准出权限（包含时间、地点、角色、QOS权限），能为用户定义一个或多个角色，每个角色可拥有不一样准入权限，控制用户上下行带宽，为用户提供差异化管理服务。 角色：能为当地认证用户定义角色，和接入策略、访问策略一起绑定；用户能够定义绑定MAC、IP、ESSID、VSLAN和角色 接入：接入策略能定义接入策略具体位置和时间信息，和角色、访问策略一起绑定；位置能定义具体AP位置和VSLAN；时间能定义到秒 权限：权限策略能定义访问策略，控制用户上网行为，和角色、访问策略一起绑定；访问策略和访问规则能自定义协议、端口等，控制上网行为；4.7 可动态组建VPN私有云网络 伴随IPH

16、ONE、IPAD流行，和智能移动终端普及，在专题研讨、企业私有会议等全部需要临时专有Wi-Fi服务；云服务管理模式使企业能够全方位满足公共活动中多种Wi-Fi专网需求。 职员出差随身携带便携式AP，便能够将企业VPN网络随之延伸。4.8 可建立网中网 大学试验室网络，学生流动性强；而试验室无线Wi-Fi加密密码伴随学生流动而更改是一件很繁琐事情； 中国普天VAP安装方便，即插即用；验室管理者随时可搭建临时网中网；经过CSP界面为试验室学生开通临时账户，监控其访问网络资源；4.9 高性价比 较少资金投入，取得全网无线覆盖4.10 安全防火墙/NAT CAM拥有防火墙和NAT功效，能为内部提供安全可靠网络环境。