中小学无线校园平台技术建议书Word格式文档下载.docx
- 文档编号:16666739
- 上传时间:2022-11-25
- 格式:DOCX
- 页数:17
- 大小:1.54MB
中小学无线校园平台技术建议书Word格式文档下载.docx
《中小学无线校园平台技术建议书Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《中小学无线校园平台技术建议书Word格式文档下载.docx(17页珍藏版)》请在冰豆网上搜索。
4.4.4.无线应用控制18
4.5.无线可靠性设计19
4.5.1.IRF2技术19
4.5.2.AC1+1热备份技术20
1.项目背景
科技的发展日新月异,随着智能终端的大量普及,越来越多的学生以及老师已经拥有大量的智能终端设备如:
IPAD、智能手机、笔记本电脑等等,而目前高速发展的移动APP也大大改变了我们的生活,所以无线网络建设也随之成为了每一个学校关注的热点,为了满足校园网内办公上网终端的多样性,同时也为了顺应学校网络信息发展的需要。
建设一套信号覆盖全面,且高速率的无线网络也是目前中小学网络建设的目标。
2.总体要求
无线网工程的总体原则如下:
侧重实际应用,全面覆盖校园内区域,为教学、科研、办公及学习、生活、交流提供切实可用的、稳定的无线网络环境,做到主楼的无缝覆盖。
实现室内无线网络的合理分布,考虑室内实现无线网络的不同情况和特点以及目前学生教室手提电脑用户数量日益增多的情况,应采取合理的布网方式满足现在以及未来发展的需要。
办公楼宇采用廊道部署AP为主,部分办公室按照结构需室内布点(工会),新的大教室采用室内布点。
新建网络需要实现与现有的无线网和有线网的网络融合与统一管理。
在实施无线覆盖工程时,如无特别说明,以考虑信号覆盖范围为主,单个AP的并发用户数及每用户无线上网带宽不作为工程的重要因素予以考虑。
3.技术要求
●室内无线AP输出点信号强度<
20dbm,目标覆盖区域任意点信号强度>
-65dbm
●无线接入点供电方式需采用IEEE802.3afPOE交换机远程供电,为了减少能源和交换机的消耗,要求所有室内AP都能采用POE供电
●为了满足室内美观和覆盖要求,室内放装无线AP必须采用吸顶天线方式,天线要求工作在2.4GHz和5.8GHz频段范围。
●无线接入点(AP)尽量采用802.11ac无线传输协议
●无线AP必须支持通过802.3af兼容的POE交换机供电
●无线AP必须支持无线用户的隔离功能,以防止在公共区域无线用户间的信息泄露
●无线AP必须支持MultiSSID功能,AP自身具备为不同SSID无线用户接入有线网络或互联网络提供不同身份认证策略的功能
●无线AP自身具备智能的、无需要辅助设备就可根据周围电磁波环境的变化,自动进行频道最优化设置,以达到最优化覆盖的目的
●无线AP之间可根据相互通告来获取对方连接的用户数量及流量,从而实现AP的负载均衡,并支持用户在不同AP间平滑漫游
●无线AP支持射频(RF)信号加密特性,支持802.11i安全标准,提供WPA2认证机制可同时提供TKIP以及AES加密方式,且AP具有自动识别客户端两种加密请求方式
●无线AP支持SNMPVi/Vii管理及支持Watchdog功能
●无线系统的用户认证页面需要能够支持个性化定制,并完成与校园网当前使用的认证系统对接,从而实现无线用户上网时的接入认证,以达到对校园网上网用户进行统一认证及管理的目的
●无线系统须支持WPA以及WPA2认证,支持WPA/WPA2安全规范,支持标准的802.1x认证流程,内嵌RadiusServer,支持EAP-MD5,EAP-TLS,EAP-TTLS,PEAP等多种认证协议
4.方案设计
4.1.总体设计
基于网络的先进性考虑,本次校园网项目采用目前主流的无线控制器+瘦AP的架构,在实现对校园进行无缝覆盖的同时,又能够实现对无线网络的灵活管理配置,提高网络维护效率
本次项目单套AP总数接近30台,所以在本次无线校园网解决方案采用H3CWX3510E旁挂与无线网的核心,实现对于本期无线校园网中所有AP的统一管理。
H3CWX3510E无线控制器最大可管理128个AP,完全能够管理本次项目所需的AP;
室内型AP主要采用WA2620i系列的AP,以及WA2620H面板式AP。
WA2620i系列AP提供整机千兆接入能力,通过内置集成终端感知型硬件智能天线覆盖技术,可以有效地从覆盖范围、接入密度、运行稳定等方面提供更高性能的移动云接入服务并协助用户实现最佳无线网络覆盖,普通的POE交换机便能为其进行供电;
4.2.无线方案设计
一般建筑楼群内部的结构比较复杂,不同的楼层建筑结构有着不同的特点,而同时对于无线覆盖也有不同的部署模式,此次设计方案以全面覆盖并保证用户体验效果为基础,除了我们熟悉的放装式部署以外对于不同场景我们将采用以下几种不同的方案:
4.2.1.AP馈线入室部署-
室分部署:
一些墙体非常厚,如果无线采用一般的走廊部署无线信号很难入室,所以可以采用室分方式直接将天线引入室内进行部署,使得每一个房间都能收到优良的无线信号,H3C的室分方案采用AP一分四房间的方案,即一个AP引出4根天线进入四个房间对4个房间进行覆盖,这种覆盖方式不仅使得房间内部有良好的信号,同时每层楼AP可分配几根天线进行楼道的部署,真正实现完全的无缝覆盖;
而针对于美观的问题,可利用目前大多数楼层总的吊顶,将AP及天线藏于吊顶内部(如图)
部署示意图:
4.2.2.面板AP入室安装部署
面板AP是H3C入室部署方案中的另一种,面板AP的大小为普通面板插座86mm*86mm的大小,直接安装即可使用,不需要额外的布线可直接利用现有的有线网络就能完成无线部署,同时面板AP自带两个RJ45口可对外提供有线网络连接的服务,它美丽的外观,简便的部署方式使得它成为无线部署的利器。
面板AP部署图:
4.3.无线产品亮点介绍
4.3.1.智能天线技术
终端在哪里,信号就在哪里。
H3C采用了新一代终端感知型智能天线阵列技术,它结合了“On-Chip”和“On-Antenna”的优势特点,对于WA2600系列AP,其天线阵列由数个天线振子构成,最高可形成多达4000个以上的天线辐射图型。
每一个天线振子都精心调配,协同工作,使可能产生的辐射图达到接近于完美的覆盖(如图5所示)。
同时AP会运行H3C专利的天线选择算法,针对不同位置的终端,从若干天线振子中选择出不同的振子来进行报文的发送或接收,在选择的同时,会加入相位和延时的整体考量,进一步加强了对终端行为的探测感知和天线阵列的快速收敛。
图5
天线阵列中的不同天线具有不同的定向性
整个系统具有如下特征:
1.逐包选择发送天线,对于每个发送的报文都能使用不同的发送天线;
2.保证选择的天线最优,对于每个移动终端维持一个数据库,数据库中记录着各天线的历史信息,从而能从数据库中选择最优天线;
3.数据库收敛速度快,天线选择算法根据天线的辐射图及历史信息,定时选择特定的天线进行探测,从而能快速适应环境变化,选择出新的天线;
4.与速率、相位、延时及功率等发送参数进行结合,实现发送参数的非线性变化;
5.相对于传统Beamforming来说,不需要终端过多参与,不需要协议报文交互以获取信道参数,对于数据流数和发送天线数相等的情况也可以获得多天线的增益
4.3.2.面板AP
产品特点
标准的86mm面板尺寸
WA2610H-GN采用标准的86*86mm面板尺寸,可以完全复用用户既有的86mm网口面板暗盒,安装实施时,无需专业人员,即可方便的将原有的网口面板替换为H3C的面板式AP——WA2610H-GN。
由于WA2610H-GN采用86*86mm标准面板尺寸,所以在安装之后,不会对原有周边可能存在的其他插座面板或装修事物造成影响,对客户原有装修的影响接近于零。
5步!
安装一个AP只需3~5分钟
WA2610H-GN采用国际标准的插座安装方法进行设计,和其他开关面板一样,更换一个面板式AP只需要简单的5个步骤,总耗时不超过5分钟,可以极大的加快客户部署无线网络的速度。
面板AP安装方法:
绿色低碳设计
WA2610H-GN采用专业绿色低碳设计,支持动态MIMO省电模式(DMPS)与增强型自动省电传送(E-APSD),智能辨识终端实际性能需求,合理化调配终端休眠队列,动态调整MIMO工作模式。
WA2610H-GN支持GreenAP模式,实现单天线待机,节能更精准。
WA2610H-GN通过创新性的逐包功率控制(PPC)技术,在确保报文能成功传输的前提下动态调节AP设备和客户端直接的双向功率,以达到减少设备能耗和延长移动终端待机时间的作用。
提供本地转发功能
当WA2610H-GN通过广域网方式转发时,无线接入设备部署在分支机构,而无线控制器部署在总部,所有用户数据由无线接入设备发送到无线控制器,再由无线控制器进行集中转发。
WA2610H-GN可将数据报文在无线接入设备上直接转化为有线格式的报文,使得数据报文不经过无线控制器,而是在本地进行转发,大大节约了有线带宽。
支持IPv4/IPv6双协议栈(NativeIPv6)
WA2610H-GN全面支持IPv6特性,设备实现了IPv4/IPv6双协议栈。
无论原有有线网络是IPv4还是IPv6,都可以自动地与WX系列控制器进行注册提供WLAN服务,不会成为网络中的信息孤岛。
支持RealTimeSpectrumGuard(实时频谱保护)模式
RealTimeSpectrumGuard(RTSG)是H3C创新提出的针对无线环境频谱状态的专业监控方案。
H3CWA2610H-GN支持内置射频采集模块,实现深度融合的射频监控和实时频谱防护。
RTSG的控制台融合部署于H3CiMC智能管理中心,通过CAPWAP管理隧道,与SensorAP进行通信和数据采集,实现7X24小时的无线环境质量监控、无线网络能力趋势评估以及非许可干扰告警。
通过图形化方式,主动探测和识别所有2.4GHz/5GHz波段的射频干扰源(Wi-Fi或非Wi-Fi),可提供实时FFT图,频谱密度图、光谱图、占空比图、事件光谱图、频道功率、干扰功率等;
可自动识别干扰源,确定有问题的无线设备的位置,确保无线网络发挥最佳的性能。
结合H3CiAR智能报表组件,可实现全覆盖区内的射频质量历史记录的存储、追溯、回放等,自动生成客户化的趋势、合规和审计报告。
针对用户无线环境监管的不同层次需求,RTSG方案的部署可以灵活采用Localmode或MonitorMode。
当工作在LocalMode时,可以在获得有效的频谱防护前提下,保持正常的用户接入和数据包转发。
4.3.3.VLANPool
学校的无线网络存在一定的定时性,如礼堂,平时当没有任何活动的时候可能需要比较少的IP地址,而当校园有活动或者承办了活动的时候,人数会激增,由于学校的楼宇分配为C类地址,一个网段只有256个IP地址,所以当人数增多时,接入人数可能会超过1个C,导致大量用户无法获得地址而导致无法上网的情况,针对于这种情况,H3C在无线控制器上开启了VLANpool功能,并在各网段的网关上开启DHCPRelay功能。
使得当出现一个网段地址分完的情况下,可以为用户分配别的C类地址,保证所有用户可以获取到IP地址,不会出现因为IP地址缺乏而不能上网的情况。
4.3.4.BYOD技术介绍
BYOD不是简单意义上老师、学生可以携带自己的设备在校园网络环境中使用,其核心应该是师生可以随时随地使用任何设备,不论是自己的还是学校提供的设备接入校园网络。
这必将带给校园网络“四多”的变化:
●更多的设备需要连接到校园网络;
●多种网络类型,包括有线、Wi-Fi、VPN等;
●多种设备类型;
●多种操作系统。
以上这些不仅导致个人和校园之间的网络界限变得模糊,同时由于语音、视频、远程协作、多媒体文档或页面等应用日益丰富,加上移动接入的需求,要求网络资源的分布能够动态调整。
但与之相比,网络安全问题却是校园的IT部门接受BYOD的最大障碍,IT部门希望能够解决如下的问题:
●能够掌控哪些用户、使用何种设备、在什么地方允许接入网络;
●能够根据用户、设备、地方、环境等因素实现不同的授权,其中环境是指用设备上硬件、反病毒、操作系统等因素;
●能够基于应用实现授权,例如,只允许iPad访问Internet,或者使用虚拟桌面;
●能够保持网络一致性,即整个网络各个部分实施的安全策略是一致的、集中的,而不是独自实施自己的安全策略,从而造成安全漏洞;
●能够为丢失的数据采取措施。
例如,在自带设备下载了校园具有保密性的文档或数据后,一旦自带设备丢失,需要及时发现丢失并擦除其上面的数据。
这些问题的解决关键在于必须能够监控到网络中的每一个元素,而做到这点的前提就是对设备和应用的识别。
一、终端智能识别
一个网络完整地实施开放的BYOD,以下几个功能必不可少:
●注册:
自带设备的首次连接和自注册;
●识别:
自带设备的识别;
●认证:
能够针对不同用户、设备类型采用不同的认证方式;
●授权:
基于用户、设备类型、接入时间、接入地点、设备环境的授权;
●监控:
网络中所有自带设备的状态、接入时长等要素的实时监控。
其中,对自带设备的类型识别,是BYOD方案中实施差异化认证方式和授权的基础,也是BYOD方案实施的关键。
目前,终端类型多种多样,包括便携式电脑、笔记型电脑、掌上电脑、智能手机、电子阅读器、IP电子相机等等,校园可以有选择地允许其中部分类型甚至是一些品牌的设备进入校园网络。
通过识别终端的设备类型,校园可以为不同的设备推送不同的终端软件,设置不同的认证方式,或者在Web认证方式下推送适合某种终端类型的页面,也可以限制其访问网络中的敏感数据,或者限制的应用类型等等。
对终端类型的识别,目前主要通过MAC地址的OUI、DHCP的选项、Web访问请求中的User-agent字段等信息中提取特征字段来进行。
一般采取专门的设备或软件系统,从而方便整个网络实施一致的识别措施,根据终端类型采取相应的安全策略,也允许管理员能够根据终端的不断发展,制定新的终端类型识别方法。
H3C是通过iMC软件系统,思科是通过ISE(IdentityServicesEngine)系统来实现。
通常,这种专门设备或软件系统还集成了认证功能,从而为整个网络提供集中、统一的认证和授权。
同时,由于网络流量的复杂性,对终端指纹信息的获取,需要在网络边缘的接入层设备上实施。
因此,这种专门的设备或软件系统往往需要与接入层设备进行配合,由边缘的接入层设备根据专门识别设备的控制指令,提取并反馈接入到网络中的终端设备指纹信息,从而完成整个网络对终端设备的类型识别。
图1是H3CiMC系统中已定义的智能终端识别模板。
图1H3CiMC中配置终端识别的类型
二、应用识别
智能终端的发展催生了其上的应用层出不穷。
校园不仅需要能够控制用户所访问的目的网络,还需要进一步限制终端所能使用的应用类型。
例如,校园要求老师如果使用自带的iPad,则仅能访问Internet。
主要应用类型包括:
●简单文本或超文本消息
●因特网浏览
●即时消息
●语音呼叫
●视频播放
●在线游戏
●语音视频
●各种专门的网络工具
传统网络利用ACL五元组来实现对接入用户访问范围的授权。
然而,要实现基于应用的授权,ACL这种方式在一些情况下不能更为细致的区分各种应用,也不能跟踪动态产生的连接。
例如,FTP服务中数据通道的端口是由服务器动态分配的;
H.323中的RTP数据通道是双方动态协商的。
对于这些应用,必须跟踪整个会话过程,才能跟踪其动态产生的数据通道,采取相应的策略。
BYOD方案中对应用的识别也不同于一般的状态防火墙,它需要配合授权产生效果。
正如前文所写,BYOD授权需要基于用户、设备类型、接入时间、接入地点、设备环境等因素。
因此,应用识别也需要针对用户、设备类型来进行,即需要跟踪每个用户在每个设备上各种会话状态。
目前,H3C提供了基于用户的状态防火墙,能够识别每个用户在每个设备上各种会话状态。
应用识别后采取的策略可以是允许或限制其数据流,也可以是限制该应用的网络带宽,或是修改该应用的QoS流标识,使之满足在整个网络的QoS策略。
例如,部分需要优先保障VoIP服务,而另一部分老师则需要优先使用RFID定位服务,那么可以将这两种用户的这些应用识别出来,检查并修改这些业务流的802.1p、DSCP、WMM(Wi-FiMultiMedia)优先级,使之符合整个网络的QoS策略,并形成端到端的部署。
图2显示对Voice应用的识别并调整其QoS策略的过程。
图2:
Voice应用调整QoS策略的过程
应用识别后采取的策略也包括日志记录。
校园在实施BYOD带来效益提高的同时,也需要将网络行为更加详细地进行记录,以满足网络安全和审查需要。
既能够针对每用户、每设备的应用识别和跟踪记录,也可以监控某些关键业务的性能。
例如,对VoIP业务,需要监控其流量大小、呼叫时长、异常失败等情况使整个网络更为可见。
BYOD在校园中的应用:
目前校园中智能终端越来越多,智能手机在学生中的普及率已经非常之高,目前很多学生对于能用手机无线上网都非常兴奋,而针对于大量无线终端上网所带来的问题,BYOD的方案可以为其提供很好的解决办法:
●上网方便:
对于智能手机而言,由于屏幕较小,所以不方便输入,而如果推送的页面只能适应电脑屏幕那么在手机上的显示将使得用户上网特别不方便。
而我司的BYOD可通过终端识别技术,识别目前的终端,并推送适合该终端屏幕显示的页面。
●权限定制:
虽然无线上网方便了学生和老师,但是对于上课期间,无线上网会使更多的学生上课分心。
而BYOD可以根据终端类型、终端接入的时间、地点做相应的权限限制,那么我们完全可以实现在上课期间屏蔽手机终端在教学区的上网使用。
●应用策略:
大量终端上网,对于校园有限的带宽一定是一个不小的挑战,而BYOD可以针对于不同终端制定应用的限制,例如对于手机终端,只能登陆网页浏览,而不能用于下载,保证了网络中的网络带宽。
●不同终端识别:
校园中的终端多种多样,对于物联网、无线监控等应用都需要有一套自己的网络策略,而BYOD不仅仅可以对于上网终端进行识别,同时也可以对于其他无线终端识别,所以可以将各类型设备动态加入到不同VLAN,比如监控设备、物联网设备分别在不同的VLAN,方便了整个网络的管理和同样类型设备的策略一致性。
终端管理:
在BYOD方案中,真正通过MAC地址与账号密码绑定,实现了用户与终端的绑定,对于安全问题可以非常好的进行定位和查询。
4.3.5.EMO移动办公方案
H3CEMO移动办公解决方案,通过在企业部署终端应用服务器和配套的网络设备,将应用程序实时运行的图像,通过安全传输隧道,虚拟展现在IOS、Android、Windows各类终端上。
同时,将用户操作,如文字输入、鼠标点击、手势等传输到远端终端应用服务器上,实现对应用程序的操作控制。
在方案部署中,无需对现网结构、应用程序做出任何改造,也不需要开发任何业务系统的APP客户端,即可轻松实现跨平台访问。
H3CEMO移动办公解决方案的优势在于:
虚拟化桌面镜像技术:
企业内部所有应用程序无需做手机适配,便可无缝发布到PC、手机和Pad上操作,节省开发成本。
便捷的应用发布:
将服务器指定的应用程序以虚拟图像发布到各个终端,数据不落地;
跨平台全面支持:
支持PC、iOS、Android等智能手机和平板电脑等智能终端,完全支持3G、4G、WIFI等多种无线网络环境
高效的传输性能:
H3C通过与微软深度合作,采用优化的RDP协议,传输效率更快,更节省服务器和带宽资源。
与终端准入控制深度集成:
通过与EAD终端准入的深度集成,实现单点登录,办公、涉密双网隔离,保障办公和涉密应用的安全和数据隔离。
可靠的身份认证:
跨平台发布应用意味着更多非法用户可能会接触到企业内部应用,H3CEMO移动办公方案支持包括短信认证、数字证书、LDAP、Radius、RSA等多种认证方式,保障了接入用户身份安全。
保证高安全性的同时,H3C还根据用户需求,支持多台应用服务器智能负载均衡和会话保持,保障应用服务器的稳定高效。
智能终端客户端直接支持本地输入法调用、支持windows快捷键、支持IOS手势,支持滚屏、放大镜等功能,极大地提升了用户体验。
用户可以通过手机、PAD等智能移动终端随时随地开展您的业务,尽享移动业务带来的便利与效率。
4.3.6.频谱导航技术
5G有更丰富的频谱资源。
并且可以支持多个不重叠信道的20Mhz捆绑技术,能提供更高速率的方案。
当前5G终端已经规模普及,而传统模式下当2.4和5G混合组网时,5G往往没有承载足够多的用户,单个AP的规模带机数有限。
频谱导航技术可以通过AP引导双频网卡优先关联5G频段,将提高网络的频谱使用效率,保证用户高吞吐。
4.4.无线安全设计
4.4.1.频谱防护技术
日常环境微波炉距离AP或者客户端25英尺会降低64%的数据吞吐量,而同样位置放一个调频电话,会降低19%,如果是模拟电话和摄像机,则可达100%。
,而生活中的蓝牙耳机、无线鼠标等都会对无线AP的信号产生干扰。
无线频谱防护技术可以识别出微波炉、蓝牙设备等非WiFi干扰设备时,频谱分析管理界面中可以在Real-TimeFFT、FFTDutyCycle和FFTSpectrogram等无线频谱实时动态图表直观地显示出干扰信号对信道质量造成的影响,并且能够在干扰设备列表中识别出干扰源的类型
4.4.2.抗干扰技术
频谱分析能够及时、全面地检测出来自周围环境的非WLAN干扰。
当频谱分析检测到新的干扰时,将会发出告警,并显示干扰的类型、干扰的信道、干扰强度、占空比等信息,并可以进一步定位干扰所在位置,便于及时排除。
频谱分析还能监控整个网络的空口性能的情况,并适时发出告警。
频谱分析和RRM结合,能够使得整个网络在无需人工介入的情况下,及时规避干扰信道,从而保证网络的可用性
RRM是WLAN网络的频谱资源管理模块,负责空口噪声、网络外的WLAN干扰、空口利用率,以及AP和Client的流量交互等信息的监控和分析,并根据这些信息动态调整AP的信道,选择最佳信道进行传输。
信道调整必须进行整网考虑,并需要考虑对Client的影响最小。
如图6所示,要覆盖的目标办公区外有两个其他网络的AP,分别工作在信道11和信道6上,则RRM能够根据空口扫描结果,将和它们临近的AP自动调整到其他非干扰信道上。
图6
信道自动调整示意图
另一方面,RRM能够监控本网络中各个AP的邻居信息、Client的RF信息等,并根据这些信息动态调整每个AP的发送功率。
当发现覆盖黑洞时,将加大发射功率;
当发现同信道的邻居AP的信号强度高于一定程度时,将降低发送功率,从而降低相互干扰
4.4.3.IPv6环境下安全-无线SAVI技术
针对IPv4、IPv6主机的安全合法接入问题,清华大学提出的SAVI(源地址认证提高,SourceAddressVali
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中小学 无线 校园 平台 技术 建议书