资源描述
XXX学院无线校园网建设方案
XX网络
目录
1 概述 1
2 规划与建设目标 3
3 背景与现状分析 5
4 无线网络详细设计方案 6
4.1 无线网络拓扑设计 6
4.2 设备选型设计 8
4.2.1 无线控制器选型设计 8
4.2.2 无线AP选型设计 8
4.2.3 POE交换机选型设计 9
4.3 无线网络建设原则 9
4.4 无线网络协议标准选择 10
4.5 无线网络频段设计 11
4.6 无线网络信号覆盖及容量设计 11
4.7 无线网络架构设计 13
4.8 无线网络转发模式设计 14
4.9 无线网络部署方式 18
4.10 “无感知”用户接入管理设计 22
4.11 无线网络安全建设 25
4.12 无线网络基础平台建设 27
4.13 无线网络出口建设 28
4.14 无线网络防雷及电源设计 29
4.14.1 无线网络防雷设计 29
4.14.2 无线网络UPS电源设计 34
5 无线网络业务分流 37
6 无线网认证运营设计 38
6.1 无线网络认证 38
6.2 无线网络计费 39
6.2.1 计时长计费策略 39
6.2.2 计天计费策略 39
6.2.3 包月计费策略 39
6.2.4 计网关流量计费策略 40
6.2.5 分地区计费策略 40
6.2.6 分段计费策略 41
6.2.7 计费规则组合 41
6.2.8 账务管理 41
6.2.9 自助服务 43
6.2.10 一卡通对接 43
7 无线网管理及IT运维规划设计 44
7.1 IT平台统一管理 44
7.2 射频环境监测管理 45
7.3 无线频谱分析和保护 46
7.4 增值的无线终端定位服务 47
7.5 无线终端及用户监控 48
7.6 无线终端及用户监控 48
7.7 丰富的无线报表统计 48
7.8 基于ITIL的IT运维流程管理 49
8 无线网络地勘设计 50
8.1 教学办公区覆盖规划 51
8.2 得月楼覆盖规划 52
8.3 宿舍区覆盖规划 53
8.4 室外区域覆盖规划 54
8.5 无线AP点位规划 56
9 无线网布线设计 57
9.1 工程安装及施工工艺 58
10 锐捷无线网络方案特点 60
10.1 有线无线统一认证、统一运维 60
10.2 业内最全的无线部署方案 60
10.3 独一无二的智分体验 60
10.4 整网双频双流 61
10.5 全功能无线特性 61
10.6 IPV6平滑过渡 62
10.7 统一品牌,功能更全,性能更优,无兼容性问题 62
11 预期效益分析 63
11.1 业务效益分析 63
11.1.1 教学业务效益分析 63
11.1.2 科研业务效益分析 63
11.1.3 日常管理效益分析 63
11.1.4 信息系统服务效益分析 64
11.2 经济效益分析 64
11.3 社会效益分析 65
12 锐捷网络品牌及成功案例 66
12.1 公司介绍 66
12.2 大连海事大学 69
12.3 北京师范大学 70
12.4 福州大学 71
12.5 北京中医药大学 72
12.6 新疆医科大学 74
12.7 江西理工大学 75
12.7.1 网络部署说明 75
12.7.2 运行数据 76
12.7.3 现场照片 77
12.8 赣南师范学院 79
12.9 教育客户荣誉名单(排名不分先后) 80
13 锐捷网络服务体系介绍 92
13.1 服务体系概述 92
13.2 呼叫中心及技术支持系统 94
13.3 备件管理系统 96
13.4 培训体系 97
14 产品简介 99
14.1 无线控制器 99
14.2 无线控制器插卡 104
14.3 高性能室内放装双频AP 109
14.4 密集型房间室内双频AP 111
14.5 普通室内放装双频AP 112
14.6 面板式室内AP 115
14.7 室外放装型AP 116
15 附录:无线网络在XXX医学院的应用 118
15.1 校园教学应用 118
15.1.1 更方便的课堂教学 118
15.1.2 可充分利用的教师休息室 118
15.1.3 随时在线的图书馆阅览室 119
15.1.4 校园处处是课堂 119
15.1.5 妥善处理教室上网敏感问题 120
15.1.6 灵活满足校外进修与学者访问 120
15.1.7 优化的学生网上选课 121
15.1.8 促成学生良好学习习惯的养成 121
15.2 校园办公应用 122
15.2.1 面对面的文件资料现场传送 122
15.2.2 随时上网的会议与学术活动 122
15.2.3 高效率的校内工作会议 123
15.2.4 更人性化的办公环境 123
15.2.5 高效率的跨部门、跨校区办公 124
15.2.6 教学评估的重要考察方面 124
15.2.7 校园应急办公网络 124
15.2.8 更高效的校内电子公告 125
15.2.9 现场实时的网络维护 126
15.2.10 重点业务的冗余保护 126
15.2.11 可灵活扩展的图书馆查询服务 126
15.2.12 电子阅览室无线上网 127
15.2.13 图书馆书架图书管理 127
15.3 校园生活应用 127
15.3.1 摆脱有线端口限制和地域限制 127
15.3.2 充分满足跨校区学生交流 128
15.3.3 精彩实时的活动转播 129
15.4 校园增值应用 129
15.4.1 校园无线电话运营 129
15.4.2 增加收入的校园商业资源平台 130
15.4.3 基于位置的无线射频扫描 130
15.4.4 以人为本的虚拟网上展厅 131
15.5 xxx医学院校园无线特色应用 132
15.5.1 无线网络对学校一卡通系统的增值应用 132
15.5.2 实验室实验数据的实时传送 132
15.5.3 xxx医学院方便快捷的电子地图 133
15.5.4 无处不在的视频服务 133
15.5.5 永不漏接的办公电话 133
15.5.6 xxx医学院新颖高效的迎新活动 134
15.5.7 可灵活部署的平安校园监控 135
1 概述
学校校园占地面积1644.79亩,是目前国内校园面积最大的中医药高等院校。现有专任教师771人,高级专业技术人员418人,具有硕士及以上学位551人。学校始终坚持“为中医药事业发展服务,为地方经济发展和社会全面进步服务”的办学宗旨,弘扬“惟学、惟人、求强、求精”的校训,以“培养适应社会进步和中医药事业发展需要,具有市场竞争力的实践型、创新型、创业型人才”为目标,努力办好人民满意的大学,先后获得全国和全省党的建设和思想政治工作先进高校、全国大学生暑期社会实践活动先进单位、全国绿化模范单位、全省文明单位等荣誉称号。
目前xxx医学院已部署了包含办公、教学、图书馆、师生宿舍在内的完善的有线网络,为学校的信息化应用起到了关键性作用。然而,传统的有线网络只能提供用户固定地点的、有限数量的网络信息点端口。随着学校信息化应用不断建设,师生越来越要求尽可能方便、快速、移动式的访问校园信息化的资源。同时,科技的进步使得师生使用笔记本电脑越来越普及,学校的师生们需要能随时随处地获取网络提供的各种资源。对于这样的需求,受到严格的地域限制的有线网络显然已经不能满足。 为了满足这样的需求,全国其他各高校在经过近几年的无线实验网的探索之后,纷纷开始规划并建设作为有线网络之补充的校园无线网络,为校园提供全部的无线局域网信号覆盖,并提供互联网无线接入业务,让学校师生体会到无线局域网给教师的教学和学生的学习带来的好处。当今国内省内各高校都掀起了建设无线网络的浪潮,省外高校中,如福州大学、对外经贸大学、北京师范大学、四川农业大学、华北电力大学等都已建设了完备的基于最新802.11N的无线网络;省内大学中,南昌大学、江西理工大学、赣南师范学院也都完成了无线网络的新一轮建设,江西财经大学、九江学院、江西师大等正准备进行。对于xxx医学院来说,无线网络的建设,也为下一步实现在校园无线网络上提供VoIP、视频监控、视频教学等增值服务,以及建立统一计费、管理和运营提供了有利的条件。很多高校开始为广大师生提供了随时随地的访问校园网的方式,在很多传统有线网络无法延伸到的场合,如大型教室、礼堂、会议室、图书馆体育场馆等场所,师生同样能够方便地访问校园网络。只有随时随地能够连接到校园网,才能满足目前校园日益增长的信息化交互需求。
可以说,无线数字化校园以全新的形态,全移动式的网络访问模式,正在逐步改变着校园里人们的工作与生活习惯。正是由于校园无线网络的出现,一大批新兴的网络应用模式将会如雨后春笋般逐渐在校园开花结果。以不断提高教学、科研、工作、生活品质和效率为目标,大力发展校园无线网络,对于新时代的高校信息化发展来说,具有重要的战略意义。
xxx医学院顺应时代发展,抓住机遇,借鉴兄弟院校的有益经验,适时开启无线校园网建设,让学校师生体会到无线网络给教学和学习、生活带来的好处,同时创新网络价值,推动学校信息化的整体发展。
2 规划与建设目标
总体建设目标是:通过无线校园网的建设支持学校各学科、专业和总体教学水平的快速发展。建设一个特色鲜明、符合学校发展宏图的无线新型校园环境,实现全校的无线无缝高速覆盖,为学校培养高素质的创造性人才、从事科学研究和知识创新、进行高科技辐射、高技术产业化和国际文化学术交流等提供重要保障,积极推进学校全面建设。具体目标如下:
无线网络与基础设施平台的建设目标是:建设一个高可用、高安全、高稳定、易使用、易管理、易扩展的无线校园网络与基础设施平台,通过支持802.11N标准,实现无线网络的无缝、高速覆盖,为网络资源的充分利用和共享提供强有力的保障,为学校的全面信息化奠定坚实的基础。网络基础设施完善,基本形成覆盖全校的高速无线网络。在网络规模、技术水平、性能、稳定性和安全性方面,达到省内一流水平,为学校各类应用系统和公共资源服务提供一个高速、安全、可靠的无线基础平台。
全面进行多种灵活接入方式建设,通过完善的高速无线网络来实现整个校园范围内无盲点区域的网络覆盖,学校拥有对全校(包括无线网络在内)的所有网络设备完全管理权限,以保证整个校园网络的可用、可管;在校内可以提供各运营商的无线网络WLAN接入等。
无线网建设完成后,数字信息化将渗透到校园的所有角落,在教学、科研、管理、服务等多个方面为师生带来根本性的变化,如下图所示:
3 背景与现状分析
xxx医学院共计2个校区,虽然目前学校已经部署了较为完善的有线网络,但师生迫切希望能在教室、多媒体教室、阶梯教室、礼堂、会议室、图书馆、体育馆、试验室等场所连接互联网,只有随时随地能够连接到网络,才能满足目前用户对网络的需求。学校现有无线网络环境复杂,既存在图书馆这样的大开间环境,又存在宿舍网这样的密集部署环境。此次网络建设是在xxx医学院校园改造的有线网络上,进行无线网络扩充。要求完成全方位立体式无线覆盖,让师生们可以在这些区域随时随地、无拘束的连接到网络,教职工可以依托无线完成各项教学办公事务,外来来宾可以顺畅的访问校内和校外网络资源。新的无线网络建设将独立建设,成为有线网络重要补充和备份,实现有线无线统一管理,统一认证,同时做到尽可能的简化网络结构,提高网络访问速度与效率。
4 无线网络详细设计方案
4.1 无线网络拓扑设计
通过部署支持802.11N的无线AP建设覆盖全校的独立的无线网络。并和现有有线校园网进行融合,逻辑拓扑如下:
l 整个无线网络分为三层结构,分别由核心路由器BAS、汇聚交换机、POE接入交换机和无线接入AP组成,IT运维管理系统和认证计费系统和原有有线网共用一套产品,实现有线无线统一管理,统一认证。
l 核心BAS和有线网共用一套,采用双万兆互联,实现虚拟化设计。汇聚交换机通过双万兆上联核心BAS,汇聚交换机通过千兆光纤和POE接入交换机互联,接入交换机通过千兆网线和AP互联,进行POE供电。
l 阳明校区(老校区)无线汇聚交换机上联阳明校区有线核心BAS,通过有线网出口链路联入新校区核心BAS上。
l 在湾里校区配置插卡式AC,配置6块插卡式无线控制器,共配置6144个AP的License。插入无线汇聚交换机,汇聚交换机做到虚拟化(插卡式AC插入无线汇聚交换机,使用交换机相应端口)。
在阳明校区配置2台无线控制器,配置1024个AP的License,阳明校区其中1台控制器作为冗余的无线控制器,实现1+1的无线控制器冗余。
l 无线AP采用802.11N型AP,其中在宿舍区采用智分802.11n无线AP,支持双路双频,在教学办公区采用100mw的放装2条流802.11n无线AP和智分AP,在重点区域(如会议室)采用支持802.11N标准的放装3条流无线AP;在得月楼部署面板式AP,在室外(例如:体育馆、操场等)采用500mw的防水防尘的室外AP,每台AP都配置足够的馈线、天线等配件。
l 为了对如此大量的AP进行统一和方便的管理,在汇聚交换机上采用无线控制器插卡对无线AP进行管理(其中阳明校区无线控制器部署在汇聚交换机侧),实现无线控制器的N+N冗余备份。
l 无线AP仅放出单个或多个SSID,配合认证系统和出口系统实现内外网的灵活访问控制,提供不同身份认证策略的功能。师生只需要登录1次即可实现校内免费、校外收费的网络需求,满足学校接入需求。
l 无线网和有线网共用一套出口设备,实现智能选路、流控、防火墙、入侵防御、VPN、日志审计、上网行为管理、内容加速等功能。
4.2 设备选型设计
本次无线网络建设涉及到无线控制器、无线AP和POE交换机。汇聚交换机和有线网产品类似,另外其余核心设备、出口设备和有线网共用1套,不再赘述。
4.2.1 无线控制器选型设计
xxx医学院无线网涉及到新校区和老校区两部分无线控制器,均采用万兆吞吐量的高性能无线AC。其中在湾里校区采用6块插卡式无线控制板卡8600-WS,和汇聚交换机实现一体化管理,一体化控制,利用背板进行无线数据高速转发。阳明校区采用2台独立盒式无线控制器WS5708,利用万兆口和阳明校区的BAS进行互联。所有无线控制器均支持超过1024个无线AP的接入,满足学校并发要求。无论是无线控制器插卡还是独立的无线控制器,均满足N+N冗余备份。
4.2.2 无线AP选型设计
中医学院无线部署环境复杂,既有宿舍网这样的密集部署环境,又有图书馆这种大开间环境,还有得月楼这种酒店式环境。不同的环境其对无线的要求和影响是不一样的。根据此种情况,我们采用多种部署方式的AP来进行无线覆盖。包括高性能450M三条流的AP330-I,普通室内放装的支持300M吞吐的AP220-I,还有天线入户的适合密集房间部署的智分AP220-E(M),以及得月楼部署的面板式AP110-W和室外部署的RG-AP620-H(C)。除AP110-W外,其余AP均可实现双频双流的无线覆盖。其智分解决方案是锐捷网络独有的解决方案,由于天线入户设计,可保证5.8G信号不会衰减,同时AP之间的干扰会降到最低。而面板式AP采用标准的86面板盒,集成有线、无线、电话接口,无需另外布线,不破坏房间美观。更适合酒店场景的部署。
4.2.3 POE交换机选型设计
xxx医学院无线网POE交换机采用支持POE和POE+供电的高性能交换机,可灵活选配电口和光口,支持丰富的安全特性,并同时支持802.1X认证和WEB认证,可满足多种接入管理的要求。同时全面支持IPV6协议,可实现IPV4/IPV6双栈部署。
4.3 无线网络建设原则
结合xxx医学院的需求,xxx医学院无线网络建设的总体设计要求如下:
一、先进性:采用802.11n系列标准,提供802.11a、802.11b、802.11g、802.11n多标准的联网支持;实现高质量接入。在密集部署的宿舍区,采用馈线入户的智分部署方式,同时部署双路双频,部署美观,维护方便,覆盖效果好,吞吐性能高。
二、稳定性:注重应用效果,覆盖校园内区域,提供具有良好用户满意度的无线网络环境;
三、可管理性:基于业务的IT运维管理系统和充分满足学校、运营商需求的认证计费系统;实现有线无线一体化认证,有线无线一体化管理。师生只需要一个账号就可以走遍校园。
四、可运营性:实现有线无线统一运营,满足运营商认证计费的需求,也保证学校监管的权利,可持续性发展,兼顾多方的权益。
五、安全性:支持用户身份鉴别、访问控制、审计、防病毒、防攻击;必须支持较好的线路冗余、电源冗余能力,以提高网络的可靠性
六、可扩充性:在不改变主体架构的前提下,实现平滑升级和扩容;
七、兼容性及多服务的支持:满足各类新型移动终端的网络接入需求;满足校园级无线宽带应用(如无、线语音应用、无线视频会议应用、无线多媒体通信应用等)的未来发展需要。
八、创新性:对校园网进行创新型的应用,建设社交型的校园网络,提升学校信息化发展水平,满足教育部对学校信息化试点的要求。
4.4 无线网络协议标准选择
无线网络讲过多年的发展,已经从最早的802.11b/a协议演进到了802.11ac标准,如下图所示:
新的802.11ac标准刚刚推出,价格价高,且目前没有终端网卡支持,本次中医学院网络设计以802.11n标准为主,在宿舍区部署2条流的802.11n智分无线AP,在教学办公区部署2条流的802.11N放装无线AP,在得月楼部署单条流的802.11N面板式无线AP,在重点区域部署3条流450M的802.11n放装无线AP。既充分考虑到了现有无线应用环境,又满足未来学校高扩展的需要。
4.5 无线网络频段设计
无线网络有2.4G和5.8G两个频段,2.4G用于b/g/n,而5.8G用于a/n/ac标准。目前市场内主流产品均支持2.4G,中高端产品支持5.8G,且根据统计,5.8G产品将成普及之势,在未来2年占到无线网卡总出货量的60%以上。未来满足学校当前业务应用,也为了保证无线网络建设未来的扩展性,本次无线网络建设全部采用双频产品,无论是宿舍、教学办公、实验室还是室外都同时覆盖2.4G和5.8G双频,均支持2.4G和5.8G同时工作。
4.6 无线网络信号覆盖及容量设计
xxx医学院本次建设的无线网络在进行多终端接入设计时,应采用差异化设计,综合考虑设备性能、系统整体成本统间干扰等因素,在主要室内场所均既考虑信号覆盖,又考虑接入用户数。室外区域则重点考虑信号覆盖,对于部分室外接入密集的区域适当考虑接入用户数(如球场等)
为保证无线服务服务质量,本次校区所有房间(面板AP除外)内可达到无线信号在室内覆盖区域任何空间信号双频覆盖。信号强度不低于-60dbm,丢包率小于1%。室外环境无线信号双频覆盖。信号强度不低于-75dBm。同时为了达到信号稳定,同频率、同信道的干扰信号强度不高于 -75dbm。
为保证互不干扰,其信道分配按照如下原则进行:
在目标覆盖区内, 单AP支持同时接入用户数不应小于36人。单AP能满足每人4M,总计24人的并发上网规模。
所有部署的AP发射功率应符合国家无委会规定,满足国家无线电管理局(原信产部,现工信部下属无线电管理机构)《关于调整2.4GHz频段发射功率限值及有关问题的通知》信部无【2002】353号和《关于使用5.8GHz频段频率事宜的通知》(信部无〔2002〕277号)文件的要求,室内AP功率不应大于100mw(20dB),室外AP功率500mw。
针对本次宿舍网无线部署是一个难点,因此采用锐捷智分解决方案,采用了业界独创的“i-share”技术,自动调整智分型AP外接的8根天线的工作模式,确保每根天线都能独立的进行数据收发,实现“1分8”部署,而且智分部署方案采用超柔馈线连接美化天线的入室部署方式,不再需要无线信号穿透墙壁进行覆盖,使房间内每个角落的信号都是“满格”。
4.7 无线网络架构设计
一直以来,传统的无线局域网主要是采用自治型无线接入点架构,每个无线接入点都是一个独立的管理与工作单元,无线接入点之间无法进行任何沟通,如果需要对全网设备进行管理,需要逐台进行配置和管理,不仅费时、费力、维护成本高,而且缺乏所有的无线网络设备无法形成一个整体,也就无法具备整体协作的安全防御能力,整个网络的融合性差。
后来,根据自治型无线接入点的这种缺乏全面管理的缺陷,一些厂商开始推出新的无线网络架构,即“无线局域网交换机+远程轻型无线接入点”结构,可以满足所有的无线接入点全部受到无线局域网交换机的统一控管,这种组网架构和相应产品的出现,使得无线网络的整体管理能力、安全防御能力得到完全的改善,使得无线网络的组网变得轻松、易管理。
本次无线网络我们建议采用“无线局域网交换机+远程轻型无线接入点”结构。这种解决方案将非常适合xxx医学院这样的大规模的无线网络环境使用。
4.8 无线网络转发模式设计
瘦AP架构支持本地转发和集中转发两种方式,本地转发方式下用户数据由AP进行独立处理,无需经过AC;而集中转发方式下用户数据需经过AC,由AC进行统一处理。下面分别就本地转发和集中转发的区别做下简要描述:
1) 本地转发:
在本地转发方式下,无线用户的数据流量直接由AP本次进行转发,等同于胖AP对用户流量的处理方式,但此时AP还是通过AC进行集中控制和管理。AC只和AP间建立控制通道,但不会建立数据隧道,用户数据不经过AC,直接由AP负责。
利用瘦AP本地转发方式进行大规模组网,可以完全代替目前主要采用的集中转发方式,在本地转发方式下,网管、安全 、认证、漫游、QOS、负载均衡、流控、二层隔离等功能还是由AC统一控制,再由AP具体实施;只是业务数据不通过隧道传送到AC,再经由AC解封后统一转发,而是由AP本地转发。
此组网方式的优势主要体现在,将业务数据转发任务分散到AP,降低AC压力,轻松应对带宽挑战,彻底解决AC瓶颈问题,提高网络整体吞吐率。
2) 集中转发:
在集中转发方式下,AP和AC会构建一个数据隧道,所有用户业务数据由数据隧道传送到AC处,这个数据隧道中传输的是二层数据。
集中转发组网,AP和AC之间单独建立一条隧道传输数据业务,所有的数据业务都通过AC转发出去,所以AC的负荷比较大。
集中转发所有的数据包都要走隧道,所以对链路的带宽要求较高,并且对AC接口的带宽要求也较高。由于集中转发的数据包要封装到隧道里再转发走所,所以对AP的CPU消耗比本地转发更大。
由于对带宽要求较高,所以集中转发的AC可管理的AP数量也会受到一定限制。这样对于规模较大的网络或者有备份要求的项目,会增加成本。此外,当隧道转发出现不通或者丢包现象时,查找网络故障难度比本地转发高。
集中转发的优点是对于现网改动较小。且在集中转发情况下,数据流量都是由AC进行转发,AC对漫游用户做特殊处理,漫游后不改变原来用户的VLAN标记,因此可以实现平滑的二层、三层漫游。
3) 本地转发和集中转发对比:
在注重功能的场合,应使用集中转发;在注重性能的场合,组网比较简单的情况下,使用本地转发可以获得更好的效果。另外,本地转发的优势在于当无线用户流量比较大时可以避免AC成为网络性能的瓶颈,而集中转发的优势在于能更好的适应无线网络的发展。具体对比如下:
本地转发
集中转发
AC性能压力
低
高
AP性能压力
低
略高
三层漫游
不可以
可以
数据流安全控制
较难
容易
业务隔离、热点区分
需要把无线用户和有线用户统一考虑从接入层开始的转发路径规划,一般跟AC对AP的管理路径是分离的。
无线用户从AP到AC的转发路径跟AC对AP的管理路径一致
无线加解密
AP完成,老AP无法支持新加密类型,另一方面能充分利用AP的加解密引擎提高网络整体吞吐率。
AP或AC完成,可以支持功能较弱的AP,另一方面对AC的加解密能力要求提高,性能压力较大
整体网络性能
高
低
锐捷网络无线产品同时支持本地转发和集中转发两种模式,可进行灵活部署。
4.9 无线网络部署方式
当前无线网络部署方式主要分放装、室分、智分、面板式4种。
AP放装方式(含面板式)指的是AP和天线都部署在走廊或房间内部的方式,这种方式为传统部署方式,其特点为部署简单,造价较低,但是如密集部署,会导致干扰过大,性能下降,只适合于人员较少,较为空旷的部署场景。不适合于密集部署的宿舍网场景。在宿舍网中不利于无线信号的衍射,一般来说,这样会造成信号在房间中衰减过大,将导致房间外信号非常强,而房间内信号弱,无法满足正常上网。同时由于5.8G信号无法穿墙,所以如采用放装方式部署,除非每个房间一个AP,否则房间内5.8G信号无法有效覆盖。具体部署方式如图所示:
放装方式
AP室分方式是把AP部署在走廊或弱电间,而天线部署在房间内,AP和天线之间通过馈线连接,中间还需要加装功分器和耦合器等设备。这样虽然解决了信号不稳定,无法上网的问题。但此种部署十分复杂,不仅需要AP、天线、馈线,还需要功分器、耦合器等设备,增加了部署实施难度,加大了投资成本,而且增加了故障节点,不利于网络的管理和维护。同时由于目前室分AP只能做到单射频卡,性能较为低下。具体部署方式如图所示:
室分方式
AP智分方式综合了放装解决方案和室分解决方案的优点,并加以改良。整体方案由无线控制器,智分AP,馈线,天线4部分组成,无需功分器、耦合器等。部署简单,易于管理和维护,也节省了成本。同时由于集成了 射频卡,使得性能不再成为瓶颈。非常适合宿舍网这样的密集部署环境。一套智分仅覆盖4间房,但每个房间内都有2.4GHz和5GHz的双频信号,而且各自都能最大提供300Mbps的接入速率,4间房的所有用户共享这600Mbps的接入性能,适用于对无线性能有极高要求的场景。,具体部署方式如下所示:
AP面板式部署方式采用标准的86开关面板盒规格,而且还集成了以太网口和IP电话接口,整个安装过程只需要两步就能快速实现无线网络覆盖。第一步、拆去房间内原有的有线网络的接口面板,第二步、将原有网线插在迷你型AP310上并直接安装就能即插即用。它打破了以往无线网络建设的老旧方式,无需再拉新的网线,而是有效利用了既有的网络,将网络新建对酒店等环境的影响时间降到最低。
四种方式部署适合不同的应用场景,简单对比如下:
解决方案
实现原理
实现效果
方案弊端
办公教学楼内放装方案
AP放装部署在教学办公楼内,无线信号辐射到隔壁相邻的房间
在办公教学楼有窗户,大开间等的情况下,终端用户使用体验较好,网速较快
房间结构有一定要求:一般来说房间应有大飘窗结构,如采用防盗门结构对信号有较大影响(可通过防盗门内放置解决)。
宿舍内放装方案
AP放装部署在宿舍内,对于宿舍单边分布的建筑结构,无线信号辐射到隔壁相邻的宿舍,覆盖3个房间;对于双边分布的建筑结构,若宿舍门为木门,则无线信号还可辐射到对面的宿舍,覆盖4个房间
在宿舍间墙体较薄的情况下,终端用户使用体验差,网速慢,5.8G信号无法覆盖。存在隐藏节点问题。
终端用户使用体验不佳:为了使信号能够穿透墙体,保证覆盖,AP的发射功率需要调高。若楼层间的地板比较薄,相邻楼层间AP信号产生干扰。无法同时满足覆盖和性能需求,并解决干扰问题
成本高:单台AP覆盖的宿舍房间数偏少
室分系统方案
AP部署在任意位置,通过馈线延伸可以把天线部署在宿舍内,覆盖房间数比较有弹性,视每宿舍内上网的学生人数而定
在上网高峰期,会出现网速慢的情况
可维护性低:施工配件多,需要额外增加功分器或耦合器以及接头等配件。增加故障点,增加排查问题的工作量
可实施性不足:需要计算线路损耗,线缆走线有较为严格的要求。对施工人员的专业性要求高
终端用户使用体验不佳/成本高:由于室分系统部署方案所用的AP都是单射频芯片产品,单射频芯片带40个终端在高峰期会导致过度冲突,严重降低网速。如果为了保障终端用户使用体验,减少AP覆盖的房间数,则会导致成本过高
智分系统方案
AP部署在任意位置,通过馈线延伸可以把天线部署在宿舍内,覆盖房间数比较有弹性,视每宿舍内上网的学生人数而定
每个房间均具备双频双流,可同时支持2.4G和5.8G的有效覆盖,若AP覆盖4个宿舍,累计30台无线终端,在上网高峰期,网速可保持高速稳定,无需外置功分耦合,美化馈线。无隐藏节点问题。信号覆盖效果相比放装提升30%,信号干扰降低30%。
受馈线长度影响,一般房间到AP的距离不应超过15米
酒店面板式部署方式
AP部署在房间内,替换原有有线和电话面板
无需布线、可选胖瘦模式,美观方便,可满足10台左右终端的上网
性能略低,只支持2.4G
此外,考虑到学校得月楼环境是酒店公寓式环境,在得月楼部署面板式AP,该AP是新一代基于802.11n协议的迷你型无线接入点(AP)。尺寸符合标准的86开关面板盒规格,而且还集成了以太网口和IP电话接口,整机设计简洁美观、部署便捷,是酒店等环境无线网络建设的最佳选择。迷你型AP110采用了墙面安装设计,整个安装过程只需要两步就能快速实现无线网络覆盖。第一步、拆去房间内原有的有线网络的接口面板,第二步、将原有网线插在迷你型AP110上并直接安装就能即插即用。它打破了以往无线网络建设的老旧方式,无需再拉新的网线,而是有效利用了既有的网络,将网络新建对酒店等环境的影响时间降到最低。
根据以上分析,本次校园网无线部署,建议教学办公区采用放装+智分部署,得月楼采用面板式部署,宿舍区采用智分部署方式。
4.10 “无感知”用户接入管理设计
“无感知”认证技术,具体是指对于终端用户来说,无线网络的准入过程没有感知,即无需繁琐的账号密码输入、校验过程,即可实现无线的安全接入。实现无感知认证的基础,是各种智能操作系统自带的802.1X客户端,但不同系统的客户端其易用性却有着天壤之别:苹果系的操作系统如iOS、MacOS在自带802.1X客户端的配置方面非常方便,首次只需输入账号、密码即可
但对于Windows和Android系统,则要繁琐很多
这种认证方式的繁琐程度,是一般用户无法接受的,大部分用户甚至都找不到在哪里配置,如果基于这种方式构建无感知认证,无疑是不现实的。
锐捷网络BYOD解决方案解决了这个难题,对于初次配置复杂的Windows和Android系统,给出了方便易用的配置助手,当用户连接到无线网络以后,会自动检测用户的设备类型,如果是Windows PC或者android手机,则会自动提示用户下载使用小助手
小助手虽然呈现给用户的只是简单的账号和密码输入,但后台却完成了完整的802.1X认证环境的配置工作,同时,仅有首次认证需要使用小助手,后续即可实现跟iOS一样的入网即认证的效果,实现“无感知”。
“无感知”的另一个体现,是在对访客的管理上。锐捷BYOD解决方案创新的提出了访客“自助管理”的理念,即由访客通过先连入无线网络,然后给出人性化的提示,由访客自助进行上网账号的开通和使用,再辅以后台系统对于访客网络权限的控制,使访客在进入网络后仅能进行低权限的操作,这是非常方便的。
“无感知”的访客管理有多种手段,这里介绍其中的一种“手机短信开户”方式:即访客连接至无线网络之后,会弹出认证的页面,访客可以通过自己的手机号码进行注册,按照接收到的短信中的账号密码进行上网操作。
4.11 无线网络安全建设
无线网络作为有线网络的补充,其安全性与有线网络密不可分,总体可以分成四个层面,分别是射频层(物理层)安全、链路层安全、网络层安全和应用层安全。
对于射频层安全,由于AP使用空中的无线电射频信道工作,每路射频都会占用一个信道。非法设备可能侵占合法AP的正常信道工作,一方面会对合法的无线接入点产生干扰,另一方面是非法无线用户对合法AP的入侵。互联网上可以轻易地下载到很多无线入侵和攻击工具,而原先传统的无线接入点设备均都没有侦测无线入侵的功能,所以当受到像无线DOS攻击时,就会误以为是无线电波的信号受干扰或AP出现不稳定情况,这些攻击会导致用户的无线连接发生中断。通过无线控制器内置的WIDS/WIPS组件,可以实时检测异常的无线数据包,当无线系统侦测出有入侵时,它会记录和显示入侵的格式,并对入侵做出自动保护响应和报警,通过发射RF射频干扰方式实现对非法AP的压制,并提醒网管人员注意并提示相应的解决措施。
链路层的安全主要依靠标准体系中的安全特性来保证,通过802.1x、PSK、MAC、Portal等方式来控制各种类型用户的准入,通过WAPI来保证用户、认证体以及后台认证服务器的三元结构的安全可信,通过用户二三层隔离等技术来限制用户间的互访。
对于网络层安全,系统内置入侵防御模块,可有效防范无线网络中DHCP攻击、假冒DHCP Server。系统能对flood攻击以及DDOS攻击进行识别和有效防护。
在全校无线网络建成之后,其主体设备-无线接入点,将被大量的用于最后一百米的接入为师生提供无线接入的服务。因此,建成后的无线网络应当具备接入层网络的用户管理策略,即用户组策略。通过对不同的用户实施不同的安全、认证、计费策略,保障用户不会利用无线接入点非法互通。另外,为了确保类似视频会议、重要的文件下载等重要关键业务在无线网络上的稳定应用,需要在以共享为特征的无线信道带宽中,为其分配足够保障的带宽资源和优先传输。因此,必须采用无线网络专用的QoS机制,即802.11e协议。通过对该协议的支持,将使得无线接入点设备可以预知某种应用或客户的优先顺序,并进行相应的处理。
无线网络的认证安全是每一个网络管理者需要重点考虑的问题,由于无线网络接入地点的随意性,在无线网络中需要部署认证系统,实现网络的准入认证,而不单纯是以外的准出认证方式。802.1x认证和WEB认证在近几年的高校网络运行中经受了长期的考验,被证明是非常适合高校无线网络环境的准入认证方法。因此,全校无线网络用户身份认证方面,应当全面采用基于802.1x和WEB认证的AAA平台,并配合支持标准802.1x和WEB的无线接入点设备或无线控制器,可为每个无线用户提供入网身份认证机制。
网络安全不仅包括用户的安全,还包括设备的安全,通过AC控制器、核心交换机关键部件等的冗余配置,使得用户、网络、设备三个方面的安全都得到了保证,极大提升了网络的健壮性。
4.12 无线网络基础平台建设
基础网络是整个无线网络的基石,基础网络的性能决定了无线网络的健壮性。在基础网络方面,我们采用核心-汇聚-接入的三层网络设计,和有线网共用核心,双核心冗余、汇聚交换机支持大容量扩展,无线控制器部署于汇聚层,湾里校区采用汇聚交换机插卡方式,阳明校区采用旁挂BAS方式。接入交换机应支持POE及POE+特性。核心双万兆互联,并和汇聚交换机双万兆连接,汇聚交换机采用虚拟化,汇聚交换机和接入交换机千兆互联,接入交换机到AP千兆互联。和有线网共用一套认证计费系统和IT运维管理平台。为了保证未来至少3至5年的应用发展,核心采用40G/100G网络平台,支持40G/100G接口,未来可拓展到40G骨干,能够适应未来的带宽发展需求。建议在核心层和汇聚层都利用虚拟化技术实现“2台变1台”简化管理,实现核心的高度冗余可靠性,避免部署VRRP、MSTP等复杂协议。
4.13 无线网络出口建设
本次无线网络建设,出口部分采用和有线网共用出口的方式,网络出口基于“疏、堵、
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
