河北化工医药职业技术学院无线校园网解决方案.docx
- 文档编号:5990783
- 上传时间:2023-01-02
- 格式:DOCX
- 页数:25
- 大小:624.08KB
河北化工医药职业技术学院无线校园网解决方案.docx
《河北化工医药职业技术学院无线校园网解决方案.docx》由会员分享,可在线阅读,更多相关《河北化工医药职业技术学院无线校园网解决方案.docx(25页珍藏版)》请在冰豆网上搜索。
河北化工医药职业技术学院无线校园网解决方案
绿化您的网络
河北化工医药职业技术学院——无线校园网解决方案
第一章前言3
第二章无线校园网设计原则3
第三章无线校园网设计方案5
3.1无线组网方式设计5
3.1.1河北化工医药职业技术学院无线网络拓扑图5
3.1.2无线方案描述6
3.2多业务区分设计7
3.3用户管理设计7
3.4无线安全性设计7
3.5移动漫游设计9
3.6认证计费设计10
3.6.1WEBPortal认证10
3.6.2802.1x认证11
3.7方案特点13
第四章无线产品特性推介14
4.1智能天线技术14
4.2智能的QoS技术14
4.3抗干扰能力强14
4.4用户密度高15
4.5安装部署简单方便16
4.6网络性能可预测16
4.7实时监视无线RF环境16
第五章涉及产品介绍16
5.1DigiZoneFlex智能无线接入点16
-DCWL-ZF-7942AP智能Wi-Fi802.11n多媒体AP16
5.2DCS-4500-26T系列全千兆智能安全接入交换机21
5.3DCBI-3000用户管理系统26
5.4DigiZoneDirector智能无线控制器DCWL-ZD-102527
第一章前言
无线校园网,就是通过无线局域网(WirelessLocalAreaNetwork,简称WLAN)技术,在校园中建立的无缝无线通讯网络,使校园的每个角落都处在网络中,形成全覆盖的校园网。
目前绝大多数学校已拥有的有线网络,但只能提供固定而有限的网络信息点,无法满足学校师生随时随地共享教育网络资源的需要。
无线校园网正是顺应了教育信息化建设的前进步伐,蓬勃发展起来的。
无线校园网最大的特点是具有的高度的空间自由性和灵活性;可以避免大规模铺设网线和固定设备投入,有效地削减了网络建设费用,极大地缩短了建设周期;无线局域网带宽很宽,适合进行大量双向和多向的多媒体信息传输。
通过无线校园网的建设,都可以找到解决的基础和途径。
国际上,拥有无线校园网,已经成为现代化校园的一个标志。
据悉,到2008年,中国将有600所高校建设无线校园网,中国的大学无线校园网的建设已经如火如荼地展开了。
第二章无线校园网设计原则
1、实现有线、无线统一认证计费
大部分学校有线网络都已经具有认证计费系统,有基于WebPortal,有基于802.1X,也有基于PPPoE方式。
无线网络的接入,学校一般希望不要改变原有的认证计费方式,应该能无缝地纳入到现有认证计费系统中来。
2、功能丰富的统一管理
无线接入点经常分布于各个楼栋的天花板、墙壁和楼顶等位置,平时很难直接观察设备的工作状态,这就要求无线网络必须采用集中管理的方式对全网设备进行实时的监控和管理,包括全网无线设备工作状态和配置参数的监测和管理、射频环境监测、网络链路状况监测、无线用户及设备的定位、射频智能调控、报警、以及丰富的报表输出等功能。
3、遵循标准
无线局域网采用的技术支持应为国际标准或业界标准,不使用某个厂商的专用技术和协议,以保证网络设备的互通性,有利于网络的投资保护。
4、集中式管理+分布式转发的网络结构
第一代无线局域网主要是采用胖AP架构,每台AP都是一个独立的个体,AP与AP之间不会进行任何沟通,需要逐台逐台进行配置和管理,费时、费力、维护成本高,安全低,融合性差。
第二代无线局域网融入了认证网关设备,仍然不能集中对AP进行管理和配置,只是对认证管理方面有所提高而已。
第三代无线局域网架构采用无线交换机加瘦AP的结构,使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高,使建设大型无线网成为可能。
但是随着无线数据流量的增加,无线交换机不但容易成为数据传输瓶颈,也容易发生单点故障。
增加无线交换机无疑将大幅提高组网成本。
第四代无线局域网架构采用无线控制器加智能AP的架构,第四代可胖可瘦智能AP可以接受集中式管理和配置,又可以本地直接转发数据,成功的规避了第三代无线局域网存在的问题,成为无线局域网发展的必然。
5、安全可靠性
在网络安全性方面,无线局域网系统要具有与有线局域网同样要求的安全防护措施,无线网的安全性主要从以下几个方面考虑:
1)接入认证:
具有支持多种用户认证方式;
2)数据链路的全程加密;
3)具有无线电波监控能力,能提供无线入侵侦测和无线终端位置的追踪功能。
可靠性方面主要是:
具有提供智能化的无线电波自动调控与切换能力,以确保单个AP接入点在发生故障时自动切换到邻近AP,不会影响无线的接入服务;具有支持热备份的无线控制器的冗余备份机制。
6、无线业务漫游
无线网络使用者应该能体验、使用有线网络已有的业务,并在保证用户移动性的前提下,保证业务不发生中断。
第三章无线校园网设计方案
根据无线网络设计原则,结合神州数码网络无线系统技术及产品的特点,方案的设计分为:
无线组网方式设计、多业务区分设计、网络及用户管理、网络安全防护设计、移动漫游、计费设计六个部分。
3.1无线组网方式设计
无线网络AP的部署,需要考虑的因素远多于有线网络,比如说建筑的分布,墙体的厚度、材质,所以只有实地勘测以后,才可能精确确定AP的部署位置和数量。
根据不同的AP数量规模和管理方式,可以考虑选用以下不同档次的DigiZoneDirector无线控制器和DigiFlexMaster集中网管系统进行组网,以实现性价比最高的无线网络。
3.1.1河北化工医药职业技术学院无线网络拓扑图
河北化工医药职业技术学院无线网络采用支持802.1n的无线APDCWL-ZF-7942AP,无线AP通过POE(POE供电是指通过以太双绞线供电,解决了无限AP布置在离电源较远时的供电问题)交换机接入校园网核心网络。
无线AP可通过无先控器DCWL-ZD-1025统一进行管理。
DCBI-3000可对无线上网人员进行统一的认证计费。
3.1.2无线方案描述
项目
品牌
型号
数量
智能瘦ap
神州数码
DCWL-ZF-7942AP
18
无线AP集中管理器
神州数码
DCWL-ZD-1025
1
认证计费系统
神州数码
DCBI-3000(EN)V2
1
千兆poe接入交换机
神州数码
DCS-4500-26T-PoE(R3)
1
4500交换机光纤模块
神州数码
SFP-LX-L
1
1、上表以1栋宿舍楼计算的AP数量和集中管理器数量,上表只有设备预算,光纤、网线铺设等费用另计
2、全部采用802.11n2.0草案标准的ap,最高连接速度为300Mbps,最高可用带宽在130Mbps以上。
3、宿舍楼无线覆盖率达到80%以上,接入用户数为900个在线用户(每ap同时50人在线)。
4、无线ap通过poe集中供电
5、无线ap集中管理软件为25个AP许可,如用户同时在线数多于900,可增加AP
6、认证计费系统为2000用户许可,随用户数需求可增加用户数许可
7、无线用户上网时自动弹出web认证窗口,可实现根据用户名和密码对入网用户进行认证、查看在线用户、强制下线、按时间、流量包月等收费功能
8、.无线功率自动控制,无线信号信道自动选择
9、可控制每个接入用户的流量(以1Mbps为单位调节)。
10、校园网交换机需为3层交换机,提供千兆单模光纤接入
3.2多业务区分设计
使用无线网络可以分为不同的无线接入业务类型。
因此,可以在设计上采用无线局域网多SSID技术,设置多业务区分方式,例如一个SSID可给教师所用,而另一个可给学生专用。
多SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。
802.11的标准内定义了不同加密情况时数据包的封装格式,所以在用户的无线接入使用不同的加密方式,例如:
WEP、TKIP(WPA)、802.11i(WPA2)等等,不同加密方式不能在同一个SSID内同时存在的。
某一个SSID可以覆盖全网,也可以只局限于园区网内的某些范围。
一般的情况下是全网开通,例如:
临时访问者(Guest)使用的SSID;但有些SSID可以只在办公区广播,只供某些部门使用。
3.3用户管理设计
神州数码网络无线系统中可以设定用户的角色(role),每个角色可以基于用户权限和可访问资源的设定等规则。
用户权限是DigiZoneDirector的功能,是针对无线接入的特性而设计。
一般的用户接入不同的SSID时只具有该SSID或VLAN所对应资源的访问权限,所以访问不同的VLAN的资源需要分别登录不同的SSID,这样是十分不便的。
神州数码网络的基于用户角色的权限管理是与用户认证捆绑在一起,当无线用户成功通过认证后,他会获得一个预设的用户角色权限,访问其他SSID对应的网络资源。
这样,一个具有全部权限的用户通过一个SSID登录后,可以访问所有SSID对应的语音、数据和视频业务的权限,从而简化了用户的权限设置和用户管理的复杂性。
一般在用户权限设计中,可以将来宾和普通用户的权限设置的较低,只能访问有限的资源,且优先级较低,并且有带宽的限制。
其他用户可能有较高的权限,可以访问更多的学校资源,或者对某些特殊的来宾开放某些VIP账号,分配给其较高权限的角色。
在带宽方面可以做比较宽松的限制。
所有这些在配置、使用和管理上都非常符合一般企业的网络管理需求。
3.4无线安全性设计
在神州数码网络无线系统中,可以在多个层面对系统构筑安全防护,其安全性设计如下:
(1)多SSID:
可以根据需要,如用户的种类、应用的种类,在神州数码网络无线系统中设置多个SSID,不同的SSID采用不同的安全策略,这样可以对不同的用户及应用进行区分服务。
另外SSID还可以选择隐藏的方式,该SSID不广播,用户无法看到,防止非法用户的连接企图。
SSID还可以选择在某些AP上出现,某些AP上不出现,限制SSID出现的范围也是实现安全性的一种手段。
(2)加密:
神州数码网络无线系统支持多种加密的方式,二层的加密支持静态WEP、动态WEP、TKIP、WPA、802.11i多种加密方式,三层的加密支持IPSecVPN加密,这样使得加密的方式更加的灵活,可以根据实际需求进行选择。
(3)用户认证提供三种方式:
①WPA-PSK+captiveportal+VPN。
加密方式采用WPA-PSK,不建议采用静态WEP,因为有安全隐患。
采用captiveportal+VPN的认证方式,同时VPN还具有三层的加密功能,具有更高的安全性。
认证服务器的选择比较灵活,可以使用RADIUS,LDAP,WindowsNT,ActiveDirectory,TACACS,甚至是DigiZoneDirector内置的帐户数据库。
②WPA+802.11x加密方式尽量采用WPA,如果客户端不支持也可采用动态WEP,认证方式采用802.11x,认证服务器选择RADIUS。
③DynamicPSK™
DynamicPSK™是神州数码网络专有的用户认证和加密技术。
传统的无线加密密钥对所有的用户是相同的,相当脆弱;而且长度较短,容易被解码。
DynamicPSK™技术为每一个用户提供一个64字节的密钥,实现完整而且非常安全的认证加密手段。
(4)用户的Role(角色):
每一类用户可以建立一个相关的Role,每个Role有一个用户状态防火墙的设定和带宽控制的设定,这样我们就可以将设定的安全策略加载到每个用户身上。
(6)带宽控制:
可以对每个用户设定其可以使用的带宽,一方面可以限制其对网络资源的占有,另一方面,当该客户端中了病毒以后,其病毒发作时不会占用网络全部的带宽。
(7)认证系统支持:
神州数码网络无线系统支持多种认证系统,诸如Radius、微软的AD(活动目录)和在DigiZoneDirector内部的InternalDB等等。
3.5移动漫游设计
无线用户移动漫游,涉及到多个层次的漫游,最为简单的是二层漫游,业内主流厂家产品都表现不错,三层漫游就困难多了,还有当用户跨越多个域时怎样无缝漫游,神州数码网络无线局域网可以实现快速无缝漫游功能。
L2/L3层漫游
在传统的无线局域网内,无线终端要跨越不同AP之间漫游是有一定的困难,因为不同AP之间,它的无线用户IP子网可能都不是在同一个VLAN内。
所以当无线终端从一个AP漫游到另一AP时,由于它们之间的缺省IP子网不同,无线终端会重新发出DHCP请求,这样的话终端的IP地址就会更新,所有在原先AP建立的连接都会被切断。
过去为了解决跨越三层的漫游,有些用户采用了MobileIP的技术,但MobileIP的缺点是它必须在无线终端安装软件。
这是一般网络管理人员不愿意做的事情,因为它们就必须支持和维护用户的无线接入端。
通过神州数码网络无线系统,可解决了跨越不同三层IP子网的无线漫游问题。
当无线终端从一个AP的IP子网漫游到另一个AP的不同IP子网时,它重新发出的DHCP请求,会从AP端的DigiZoneDirector转发到原有子网的DigiZoneDirector(用户从那一个AP获取它的IP地址),这样DigiZoneDirector就了解到用户漫游到了哪个相邻的DigiZoneDirector。
用户的原来所在的DigiZoneDirector会将发送到该用户的数据发送到漫游到的DigiZoneDirector而后发送到用户现有的IP地址。
无线用户已漫游到另一个IP子网,但它的流量不会中断,直到用户完全漫游过来(其对端了解了其IP地址的变化)。
代理DHCP的优点是无要在用户终端安装任何软件就可让终端无缝的在不同IP子网之间漫游。
在不同域之间的用户认证和漫游
在大型网络内,一般都有很多不同的部门,部门内通常都有自己的用户数据库,即所谓的本地认证服务器。
在实现应用时,要求有单一的认证数据库是未必可行的,但同时无线用户应是可在内无缝漫游。
当用户不是在本地入网或是从一个部门的接入点漫游到另一部门的接入点需要重新认证时,如果用户名和密码在当地的数据库是不存在的话,则用户会被断线。
要做到真正的无缝漫游,则需要有支持Radius代理这样的功能。
但由于不是所有的认证服务器都支持这种功能所以在具体实施时也有一定的困难。
神州数码网络本身就可提供不同域之间的认证功能,域名可以与SSID绑定,亦可以让用户在登陆网页时输入或选择域名。
神州数码网络会把在不同域之间的认证请求转发到对应这域的radius服务器处理。
3.6认证计费设计
3.6.1WEBPortal认证
神州数码网络智能无线AP通过以太网或IP线路连接到网络,通过DigiZoneDirector进行SSID、无线信道、发射功率、RougeAP检测和无线加密、认证等管理。
根据要求,DigiZoneDirector将创建一个公开的、没有加密的AP热点SSID,用户可以通过该SSID接入到网络当中。
无论用户想访问的网页是什么,DigiZoneDirector弹出WEB认证节目(包括欢迎、认证连接等),通过认证后用户就可以访问Internet网络了(也可以重定向到缺省的网页)。
可以根据热区内AP数量的多少,由一个或多个DigiZoneDirector可以管理一个热区内的所有AP。
如果需要,未来可以在中心部署DigiFlexMaster管理所有的DigiZoneDirector,从而管理网络中的所有AP。
AP可以通过以太网或DSL链路接入网络。
DigiZoneDirector没有DHCP服务器功能,所以需要外置的DHCP服务器或使用BRAS提供DHCP服务器为客户端分配IP地址的功能。
如上图所示,用户接入的流程如下:
(1)用户开机后,检测到SSID有效;
(2)客户端发起DHCP请求,经认证设备转发到DHCPServer。
DHCPServer为用户分配IP地址;
(3)用户打开浏览器,HTTP请求被AP捕获,并重定向到登录界面;
(4)用户输入用户名和密码,并传送到DigiZoneDirector;
(5)DigiZoneDirector将用户名和密码发送到AAA服务器进行认证;
(6)认证通过后,DigiZoneDirector将Web页面重定向到DigiZoneDirector指定的WEB服务器页面(费用余额等通知);同时出现计时窗口;
(7)用户可以上网,AAA服务器计费开始;
Webportal+DHCP实现简单,无需客户端和相关配置,扩展性也好。
无线网络的认证方式我们建议使用如下方式:
在无线控制器中设定使用Web-Portal方式认证。
当用户接入无线网络后,需要使用浏览器访问校园网或Internet,会弹出认证界面,用户输入用户名和密码后送到相关服务器进行验证,如果认证通过后用户就能够访问校园网和Internet,如果访问Internet就会产生计费,同时计帐到该用户帐号上。
3.6.2802.1x认证
神州数码网络智能无线AP通过以太网线路连接到网络,通过DigiFlexMaster或DigiZoneDirector进行SSID、无线信道、发射功率、无线加密等管理。
DHCP服务器可以使用原有的BRAS或新的服务器。
这里的PPPoE可用于当AP通过以太网连接到网络时,AP获得IP地址(AP可以通过DHCP、静态设置或PPPoE等获得IP地址)从而连接FlexMaster管理系统进行管理。
对于一个地点具有多个AP的应用场合(如学校),也可以采用DigiZoneDiretor对其范围内的AP进行管理,同时DigiFlexMaster远程对DigiZoneDirector进行管理,从而对AP进行管理。
AP或BRAS等都可以通过任何IP网络与AAA系统进行通信。
根据802.1x的要求,DigiFlexMaster或DigiZoneDirector将创建一个加密的支持802.1xAP热点SSID。
如上图所示,用户接入的流程如下:
(1)用户开机后,检测到SSID有效,通过802.1x客户端软件发起请求;
(2)AP检测到该请求后,向AAA发出请求,AAA服务器发出响应;
(3)用户端弹出对话框,要求输入合法的身份标识,如用户名及其密码。
(4)用户端将身份标识传送到AP;
(5)AP将相应信息发送到AAA进行认证。
(6)如果认证通过,则AP到DHCP服务器的端口打开。
客户端软件发起DHCP请求,经认证设备转发到DHCPServer,DHCPServer为用户分配IP地址。
(7)用户可以上网了,认证服务器开始对用户计费。
(8)AP通过定期的检测保证链路的激活。
如果用户离开或异常死机,则AP在发起多次检测后,自动认为用户已经下线,于是向认证服务器发送终止计费的信息。
IEEE802.1x具有以下主要优点:
(1)实现简单。
IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本。
(2)认证和业务数据分离。
IEEE802.1x的认证体系结构中采用了“受控端口”和“非受控端口”的逻辑功能,从而可以实现业务与认证的分离。
用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求,业务可以很灵活,尤其在开展宽带组播等方面的业务有很大的优势,所有业务都不受认证方式限制。
3.7方案特点
1)认证计费一体化。
神州数码无线解决方案可与认证计费系统DCBI无缝结合,实现无线、有线网络的统一认证、统一计费;也支持第三方的radius认证和Windows服务器的AD认证。
2)网络管理一体化。
神州数码的无线产品除了可以通过专有的无线控制器或者FlexMaster进行网络管理,也支持通过SNMP协议,由LinkManager进行统一管理。
3)网络结构一体化。
神州数码无线解决方案采用智能AP+无线控制器组网,其中无线控制器旁接在核心交换机或者汇聚交换机上,无须改变现有的网络结构。
无线数据转发全部交给本地接入交换机完成,不会象无线交换机串接组网方式那样,出现转发瓶颈。
4)安全防御一体化。
无线解决方案完全支持TSA可信安全接入方案,同时采用集中式安全管理的方式,全面实现无线网络的安全运营。
5)应用服务一体化。
神州数码无线解决方案提供的快速三层漫游技术,让WLAN使用者在不用AP之间自由切换,视频、语音等实时业务不中断;AP独有的BeamFlex、SmartCast等技术保证了WLAN使用者享有与有线使用者媲美的网络体验。
6)绿色环保网络。
神州数码无线解决方案使用的无线产品,全部通过严格的RoHS测试;独有的天线技术保证了使用比其它厂商少的AP数量,达到更大的无线覆盖面积,更好的网络Qos,更可以减少90%的电磁污染。
第四章无线产品特性推介
4.1智能天线技术
AP的天线是由多根水平和垂直极化天线组成的智能天线矩阵系统,可以提供4095种天线模式,系统控制软件利用构建在802.1MAC层协议中的反馈机制不停的为每一个接受设备调整天线模式。
通过为每一个接受设备选择一个优化的天线阵列,BeamFlex能够扩展无线覆盖范围和更高的通讯速度。
在具有多个房间和隔断(包括承重和非承重墙)的二层400多平米的居室里,能够提供15-20M的稳定的数据流。
这一技术将大大减少用户在热点地区AP的部署数量,节省用户的投资。
4.2智能的QoS技术
具有专利的SmartCast技术包括组播流量处理技术、智能QoS和基于“识别应用”的流量自动分类能力。
SmartCast的智能模糊控制技术能够从所有流量中自动的识别和区分流量类型,自动的为不同类型流量标记服务类型。
一个AP可以支持3-4个并发MPEG-2或1-2个10MHD视频流(距离20米,包括背景流量)
4.3抗干扰能力强
智能天线系统通过检测射频和多径问题以及邻居网络噪声带来的干扰,能够实时重新自我配置和调整,使得AP在一个不断变化的环境中从多种不同质量的信号传输路径中立即选择一个最优的传输路径。
在办公楼中,由于AP众多,在每个频道都有多个AP,因此无法通过跳频来解决干扰问题,而又不想因为缩小功率而减少覆盖范围,智能无线AP可以通过改变传输路径来避开干扰,保证数据的可靠传输。
如下图,AP通过改变传输路径,避开手机的干扰。
AP通过改变传输路径,将信号有效覆盖到承重墙后边的区域。
4.4用户密度高
单个AP可以同时支持50(2942)或100(7942)个以上用户接入,是目前可支持用户最多的AP。
单纯的覆盖范围广在用户接入密度高的场合,实际上是个缺点。
因为用户会发现他看到AP的信号良好,但却连接不上。
会造成大量的投诉和降低用户的体验。
4.5安装部署简单方便
新AP可以自动发现AC或集中管理系统,自动更新软件版本和初始化配置。
安装人员无需查看需要安装或更换的AP的版本、配置,无需现场调试和测试,插上电连上线,GO!
。
一个网络里版本的统一非常重要,版本不统一,设备工作状态就不一样,会对维护和管理造成相当的困扰。
BeamFlex技术对AP的安装位置没有特殊的要求,可以安装在方便安装(如具有以太网接口的几乎任何地方)。
这样不仅方便了安装,还节省了安装成本。
另外,内置的MESH技术可以扩展覆盖不方便布线的区域。
4.6网络性能可预测
无线和有线的最大不同,在于其不确定性很大,而这点也是无线网络维护和运营的难点。
BeamFlex智能天线技术和SmartCast技术使预测AP的性能成为可能。
大大降低了维护和运营的成本,增加用户的体验。
4.7实时监视无线RF环境
可以实时看到AP所处的无线频谱分
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 河北 化工 医药 职业技术学院 无线 校园网 解决方案