解决方案
news
.
.
.
.
.
校园WLAN覆盖方案
来源: | 作者:yjh0832 | 发布时间: 2016-04-06 | 2395 次浏览 | 分享到:

总体建设方案

1.1              方案设计原则

Ø  技术成熟

第一代无线局域网技术仅仅使用胖无线AP(即FAT AP)来组建无线局域网,每一台胖无线AP都要单独进行配置,费时、费力、费成本;第二代无线局域网增加了无线网关设备,增加了对整个无线局域网进行认证的功能,但还是不能够解决网络的安全、移动等瓶颈问题,并且其管理性和安全性以及对有线网络的依赖成为了第二代无线局域网发展的瓶颈,在这样的环境下,基于无线交换技术的新一代无线局域网产品和解决方案应运而生。新一代无线局域网采用无线控制器和瘦无线AP(即Thin AP)的架构,使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。在网络管理、系统性能、稳定可靠性、安全性等等各个方面,新一代的无线局域网产品和方案都能够和有线网络相媲美。

Ø  高性能,稳定可靠

市面上充斥着各种各样的无线局域网解决方案,绝大多数是以胖无线AP结合无线网关来构架整个网络,其性能和稳定性都存在着较大的问题,当多用户并发或者高带宽应用出现的时候,由于其产品硬件属性以及软件处理功能方面的限制,使得这样的无线局域网无法正常的运行。市面上还有一些瘦无线AP的解决方案,还由于使用的无线控制器是基于X86服务器架构,也无法满足高端客户的性能稳定可靠的基本要求。

对于本企业无线局域网项目,我们认为应该采用高性能、稳定可靠的基于ATCA架构的产品系统架构,保障本企业的无线局域网能够在任何情况下可靠运行。

Ø  全面保障无线局域网安全

无线局域网自出现以来,安全一直是深受诟病的缺陷。网络安全包括用户认证、权限控制管理、通信数据加密、无线局域网防护等几个方面,无线局域网中需要考虑将其作为一个整体来统筹解决,而不能够全盘依靠有线网络的设备去解决无线局域网的问题。

对于本次无线局域网项目,我们将采用全方位的网络安全技术,搭建安全的无线局域网架构,来保证整个网络的安全。

Ø  智能化的网络管理机制

上百个数量的无线AP组成的无线局域网,重视其网络可管理性是十分重要的设计原则。如果没有很好的网络管理机制和方法,整个无线局域网会因为缺乏管理和监控而变得性能降低设置无法使用。

对于本次无线局域网项目,我们认为采用智能化的网络管理技术,使得无线局域网系统能够进行自我优化,自我调整,才能够最大化的减少网络管理人员的额外负担,提升网络管理的水平。对于本次无线局域网系统项目,我门认为应该采用目前成熟而先进的第三代无线局域网技术和产品来构架相应的解决方案。

1.2              技术原则

Ø  可用性

网络系统要为各类信息系统提供高效的网络传输服务,满足各类数据传输的需求,达到所需的网络传输质量。同时,其采用的技术应当是确保网络的正常运行。在方案中要把先进技术与现有成熟技术结合起来,充分考虑到本企业应用的现状和未来发展趋势。

Ø  可靠性

稳定可靠是业务系统正常工作的保证,应采用高可靠性的网络产品和完备的网络备份策略,充分考虑在网络系统出现异常时的应变能力和容错能力,使网络具有故障自愈的能力,确保整个系统的安全与可靠。

Ø  安全性

为了能够在发生安全事件后有效、快捷地处理事故,采用安全接入认证手段是十分有必要的,由于同时当前类似“冲击波病毒”、“ARP攻击”等病毒肆虐,一个健壮的网络应该提供必要的手段,禁止特定病毒的传播以及由于病毒造成的流量拥塞。

Ø  高性能

网络的性能直接影响到整个应用系统业务的效率和质量。网络的性能若不足就会成为业务系统的瓶颈,因此,网络的设计和设备应提供较高的性能。

Ø  可扩展性

网络的设计应支持业务的扩展,适应未来业务的发展和变化,适应网络结构的变化,具有灵活的伸缩能力,支持多种协议及接口标准,可适合于多种媒体技术和多种高层协议的系统。

Ø  可管理性

网络系统应当具有可管理性,支持SNMP等网管协议,并开放MIB信息库,能够被纳入到全公司统一的网络管理平台。

Ø  遵循的标准和规范

国家公安部发布:

《信息安全等级保护管理办法》(公通字[2007]43号)

国家标准:

GB17958《计算机信息系统安全保护等级划分准则》

GBT 20270-2006 《信息安全技术 网络基础安全技术要求》

GBT 20271-2006 《信息安全技术 信息系统通用安全技术要求》

GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》

1.3           网络建设目标

建设一个能够更好服务于本企业无线网络,是建设者的根本目标,为了达到这个目标,此次无线局域网建设需要考虑以下几个方面:

1)       考虑无线局域网能够尽可能使得每个无线AP都被使用:无线局域网能够根据周围环境检测覆盖漏洞,自动调节无线射频发射功率以适应物理环境。无线覆盖不求大而全,而应从实际环境出发,无线覆盖区域应该根据用户需求分为重点覆盖区域、密集覆盖区域和连续覆盖区域三大类,对于每一类的区域内的信号强度在满足要求的基础之上,需要考虑用户突发的特性。如:在重点区域内应该考虑该特定区域的信号强度需要特别关注,这类区域包括办公楼的领导办公室在内的领导和重要来宾办公地点;而在密集覆盖区域内应该考虑该区域内在未来时间内的并发用户数目,保证密集的无线覆盖能够满足一段时间的将来用户群体的发展需要;最后,在连续性覆盖区域之内,则保持信号能够满足最低标准即可。这样的一个无线覆盖规划,保证了每个无线AP下的平均用户数最大化,才能够保证无线局域网的建设投资能够得到最大的投资回报。

2)     考虑无线局域网能够在更多的时间被利用:无线局域网应该支持包括无线网状网在内的多种组网方式,从而可以支持各种突发无线局域网接入需求。建成后的无线局域网不仅要能够在固定的地点被广大员工所使用,而且能够安全灵活的扩展到室外以及不易于布线的场所。在室外广场以及建筑物周边,使用多个无线AP之间组成的无线网状网,能够最短时间内组建好满足突发性的无线接入需求,在使网络资源本身能够得到充分的利用的同时,最大化的服务于本企业的广大员工。只有考虑了多种环境下包括无线网状网在内的多种组网方式,才能够最大限度的充分利用无线局域网的资源。

3)     考虑无线局域网能够被更多人更好的利用:只有每个用户都被一个相应的状态防火墙所约束,无线局域网才能够通过防火墙去控制和影响用户的网络行为。在不同的区域,无线局域网虽然同样提供无线接入的功能,但是在不同的地点不同的时间内,无线局域网本身应该能够引导用户正确的使用网络:办公区域是计算机病毒容易传播的地方,通过在接入层限制网络应用的种类,无线局域网能够比有线网络更加容易阻止病毒的传播;并且无线局域网能够方便的供外来交流访客使用,并且访客帐户的创建和删除无需本企业账号数据库的参与。无线局域网本身应该能够设置灵活的访问控制策略,使得用户既能够获得便利的网络资源,又不会滥用网络资源。

4)     考虑无线局域网能够让更多的应用被使用:无线局域网必须能够支持QoS以及满足不同的网络应用环境。本企业的无线局域网作为有线网络的扩充,不仅仅扩展的是网络接入的边界,而且还能够将有线网络中的应用延伸到无线局域网当中去。克服了安全问题的无线局域网,确保了用户带宽的无线局域网,除了能够承载日常OA业务在内的有线网络应用之外,还能够激发出更多的特色的无线应用。

1.4              方案总体架构

无线网络建设方案是以现有的有线网络作为基础,将有线网络的资源性能、带宽、业务等进行无线地延伸,形成网络资源被使用者更好、更多、更方便地被使用。

解决方案拓扑图

  网络架构设计分成三个层次,即核心-汇聚-接入的模式。其中核心交换机采用VRRPVSTVirtual Switching Technologies虚拟交换技术)技术实现设备的冗余。每台电脑或数字终端分别通过二层接入交换机或者通过迈普WA2000无线AP接入网络。数台二层接入交换机最终连接到大楼汇聚交换机上,通过汇聚交换机上行的高速光纤接口和核心交换机互连。本次项目采用2台迈普WNC6000通过光纤接口与核心交换机连接。两台AC设备工作在VRRP的主/备(Active/Standby)模式下。其中需要布置300AP覆盖教学大楼、学生宿舍、图书馆等, 200AP覆盖行政办公大楼, AC配置可以接入最多AP数量为512台的授权以满足现有需求,如果将来需要大规模部署,则单台迈普WNC6000无线控制器最大可以支持2048AP,完全可以满足整体无线网络的扩容要求。

在接入层,采用支持a/b/g/n工作模式的迈普室内双频AP WA2000系列作为无线接入设备,通过各楼层的接入交换机连接至核心交换网络。WA2000系列采取POE交换机供电的方式为AP供电。无线AP和接入交换机之间的网络结构无需考虑,如果是二层互联结构,无线AP通过DHCP拿到地址后,通过广播包找到无线控制器;如果是三层互联结构,无线AP通过DHCP拿到地址以后,通过DNS或者DHCP43属性,获得主用和备用的无线控制器地址,然后跟无线控制器直接通信。无线网络管理员可通过中心配置的集中网管,对全网的所有无线AP以及无线控制器进行有效的管理。

无线AP以及下面的用户按接入策略分配接入到无线控制器上。这种组网方式简易灵活并方便扩容。未来当无线局域网规模需要扩大时,仅仅需要增加部署无线AP即可。AP连接示意图如下:

 

1.5              组网与部署建议

1.5.1    VLAN部署建议

虚拟局域网(VLAN——Virtual Local Area Network)逻辑上把网络资源和网络用户按照一定的原则进行划分,把一个物理上实际的网络划分成多个小的逻辑的网络。这些小的逻辑的网络形成各自的广播域,也就是虚拟局域网VLAN。虚拟局域网将一组位于不同物理网段上的用户在逻辑上划分成一个局域网内,在功能和操作上与传统LAN基本相同,可以提供一定范围内终端系统的互联。

VLAN比传统LAN的优点:

Ø  限制广播包,提高带宽的利用率。有效地解决了广播风暴带来的性能下降问题。一个VLAN形成一个小的广播域,同一个VLAN成员都在由所属VLAN确定的广播域内,那么,当一个数据包没有路由时,交换机只会将此数据包发送到所有属于该VLAN的其他端口,而不是所有的交换机的端口,这样,就将数据包限制到了一个VLAN内。在一定程度上可以节省带宽;

Ø  减少移动和改变的代价。即所说的动态管理网络,也就是当一个用户从一个位置移动到另一个位置时,他的网络属性不需要重新配置,而是动态的完成,这种动态管理网络给网络管理者和使用者都带来了极大的好处,一个用户,无论他到哪里,他都能不做任何修改地接入网络;

Ø  增强通讯的安全性。一个VLAN的数据包不会发送到另一个VLAN,这样,其他VLAN用户的网络上是收不到任何该VLAN的数据包,确保了该VLAN的信息不会被其他VLAN的人窃听,从而实现了信息的保密;

Ø  增强网络的健壮性。当网络规模增大时,部分网络出现问题往往会影响整个网络,引入VLAN之后,可以将一些网络故障限制在一个VLAN之内。由于VLAN是逻辑上对网络进行划分,组网方案灵活,配置管理简单,降低了管理维护的成本;

本方案以生产无线和办公的无线分别划分不同的VLAN

1.5.2    无线APVLAN和无线终端的VLAN

为了方便管理和维护,建议无线AP采用特定的几个VLAN,而无线终端的VLAN和无线AP不在相同VLAN中。迈普无线AP和接入层有线交换机下的PC终端不同属于一个VLAN,这种部署方式的优点在于接入层需要为无线局域网的设备进行单独考虑,无线AP和有线接入层的无线终端在进行规划的时候需要分别设计,无线APIP地址和VLAN与无线终端无关。

VLAN规划图示

无线AP VLAN

无线终端VLAN

 

1.5.3    无线局域网的高可用性

整个无线局域网系统必须有着充沛的持续工作能力以应对网络某个部件的损坏。此次建议的迈普无线局域网方案设计了2台迈普WNC6000无线控制器,每台最多可管理1024AP,与有线网络核心交换机相连。

两台无线控制器通过VRRP协议组织成一个备份组,功能上相当于一台虚拟无线控制器。局域网内的无线AP仅仅知道这个虚拟无线控制器的IP地址(VIP地址),并不知道备份组内具体某台无线控制器设备的IP地址,它们将自己的缺省路由下一跳地址设置为该虚拟无线控制器的IP地址。于是,网络内的无线AP就通过这个虚拟路由器与其它网络进行通信。VRRP机制将该虚拟无线控制器地址动态关联到某承担传输业务的物理无线控制器的IP地址上,从而当该物理无线控制器出现故障时能再次选择新无线控制其来接替业务传输工作,整个过程对用户来说是完全透明的,这就很好实现了无线网络无线控制器和无线AP之间不间断通信。

1.5.4    无线用户认证

在本企业实际网络部署中,无线网络用户分为两类,一类是企业员工,另一类外来访客。所以对上述两类用户的认证考虑也是非常关键的。

在迈普无线系统中,无线用户入网时要求强制认证的, 迈普无线系统目前支持各种用户认证的方式(802.1xWEB认证、MACSSID等)。

员工认证

根据实际情况而定,未来无线网络用户可能使用公司统一的认证策略(CA证书认证、Ldap认证),迈普无线网络系统支持对801.1X的认证(CA认证),并且迈普无线网络系统支持对标准外置RADIUS/LDAP等认证服务器的对接,完全可以满足本企业的需求。

访客认证

访客认证方式采用WEB Portal认证方式。迈普无线控制器内置强大的Portal登录界面可以通过网络管理灵活简洁的进行客户化,进行登录页面推送,欢迎页面推送等多种模式以配合不同用户的安全接入需求。

同时,通过迈普 无线控制器提供的客户化Web Portal认证功能,还可以很好的为外来访问者提供无线接入。

当外来访客来到无线局域网覆盖区域的时候,开启笔记本电脑的无线网络,可以搜寻并且连接本企业网络供外来访客使用的guest无线局域网,当打开IE等网络浏览器的时候,会自动弹出Portal网页认证界面(界面可完全客户化,根据客户要求随意定制),外来访客需要得到的帐号名和密码,通过认证之后能够进行无线接入,访问Internet资源。

1.5.5    ACAP的双因子认证

ACAP的双因子认证是通过ACAP特定信息、MAC地址的认证,实现ACAP合法身份的认证,验证AP接入的合法性。

ACAP的双因子认证

实现的流程为:

(1)    首先当AP采用DHCP Client方式时并通过AC获取地址时,APAC发出的DHCP请求包中会携来WLAN设备厂商信息,AC判断该厂商信息的正确性来确定是否向AP分配地址;

(2)    ACAP间的数据连接采用的私有协议加密封装的,当AP在向AC进行连接请求时,AC向首先判断AP数据包格式,判断正确后AC才与AP建立连接,并向AP下发配置。其它厂商的AP无法同AC建立连接,也无法从AC上获取配置信息。

ACAP下发配置的时候,需要中心控制人员对AP合法身份进行确认,确认后通过中心控制人员操作AC实现对AP配置的下发。我司提供的双因子认证能够有效防止AP非法接入。为了能够达到良好的效果,可以在AP上联的交换机或核心的交换机上对APmac进行绑定。

1.5.6    ACAP的通信安全保障

业内绝大多数ACAP传输的数据都是采用明文的方式,这种传输方式容易被窃听和修改,通信安全面临威胁。我司提供的解决方案能够有效的保证ACAP之间的通信安全。

ACAP之间的通信采用密文方式

业内绝大多数ACAP传输的数据都是采用明文的方式。我司ACAP采用私有加密协议对报文进行加密,采用密文传输数据,保证通信的安全性。即使在网络中间截获报文,也无法查看其中的内容。采用集中转发组网方式时,ACAP之间的管理数据和用户的业务数据都会采用私有协议加密。采用本地转发方式时,只有ACAP之间的管理数据加密,用户业务数据不加密。

1.5.7    VST虚拟交换技术

随着网络稳定性和设备可靠性要求的不断提高,迈普针对高端交换机提出了一种将两台或多台物理交换机组合成一台虚拟交换机的技术,即虚拟交换技术(Virtual Switching Technology,简称为VST)。

应用虚拟交换技术(VST)的网络结构

核心层的两台交换机之间通过VSL链路连接,并通过虚拟化技术形成一个虚拟交换,汇聚层交换机通过上联链路分别连接到核心层的物理交换机上,并分别在汇聚交换机和核心交换机上实现链路聚合,最终把左侧的网络结构简化为右侧的网络结构。

VST技术通过跨设备和跨板卡的聚合链路既可以提供冗余链路,又可以实现动态负载均衡,充分利用所有带宽。简化网络拓扑,简化管理,并且使故障恢复时间缩短到毫秒级。大大提高了整网的可靠性。

1.5.8    Ethernetchannel部署建议

Ethernetchannel也称为链路聚合、端口捆绑、端口聚集或链路聚集,是将多个端口聚合在一起形成1个汇聚组,以实现出/入负荷在各成员端口中的分担。从外面看起来,1个汇聚组好像就是1个逻辑端口。使用链路汇聚服务的上层实体把同一聚合组内多条物理链路视为一条逻辑链路。

链路聚合的优点:

Ø 提高链路带宽。

Ø 流量负荷分担。

Ø 提高可靠性:同组成员彼此动态备份。

本方案在核心交换机之间和楼层有2台的汇聚交换机设备之间上布置Etherchannel以提供冗余性和高带宽的目的。

Etherchannel图示

1.6              防火墙作为广域网出口的优势

1.  新一代的安全应用网关:此防火墙作为广域网出口网关功能的基础功能之上,是一款增加了包括内外网隔离、上网行为控制、上网内容过滤、黑客入侵检测、防病毒等功能的新一代安全网关;

2.  HA高可靠性方面:可以提供主备设备切换时能够保持会话不间断;

3.  多链路负载均衡:当内网和外网有多条链路时防火墙可以启用动态探测功能,可以实现多条链路上的智能负载分担;

4.  高性能:迈普公司的多应用安全防火墙设备在性能方面最高支持到10G≥的整机吞吐量、4GbpsIPSEC VPN吞吐量,采用全并行MIPS多核CPU是一款模块化、并行多核+高速交换总线的全方位的多应用安全网关产品。

1.7              整体方案价值

整体网络从网络冗余到安全防范、从资产的先期投入到后期资产保护等等都进行了全面考虑,目的是交付给用户一个完善、易用的网络,不仅在网络建设的早期易用,而且在未来几年也能满足客户的业务发展。其中主要优势体现在:

1.        关键设备冗余:

关键设备在核心层交换机和无线控制器的设备提供设备级的冗余结构,设备之间互为备份,其中任意一台设备的离线,另一台设备马上会接替起数据传输的任务,保证了整网的数据的可持续传输;

2.        安全性高:

从业务角度,建议整网分区域管理,设置不用的安全访问策略,在无线用户接入到本企业网络之前需要经过接入认证机制(如 802.1X、证书服务器认证),减少不安全用户和设备的接入。所有通过广域网的数据能够通过MSG4000防火墙对内网和外网进行安全隔离、用户上网行为管理、病毒扫描。

3.     扩展性强:

充分考虑无线WIFI网络覆盖预留的网络端口,设计考虑到未来5年以上的扩容需要,所用的网络协议、IP地址规划以及接口模块等都符合扩容的标准,即使未来添加/修改网络的设备都不会对网络整体结构有大范围变动;

4.     高速无线接入:

遵循IEEE 802.11n设计的高性能无线接入产品,为用户提供高带宽、高质量的WLAN服务。产品将MIMO(多入多出)与OFDM(正交频分复用)技术相结合,用户数据传输信号更加稳定。并且11n能够使无线网络传输速率极大的提升,为用户提供高速网络环境。

5.        组网灵活

无线网络支持集中式转发功能,所有AP可以通过无线控制器做统一的认证计费;支持本地转发功能,数据转发不通过无线控制进行集中转发,能够提高数据转发的效率。 组网方案灵活,可以根据用户实际网络、应用环境搭建理想的网络结构。

1.8              硬件配置建议

序号

设备型号

描述

数量

1

MP3840

互联网出口网关

1

MSG4000-G1

互联网出口网关

2

MyPower  S6800-04A

核心路由交换机

2

3

MyPower4128F

万兆汇聚交换机

X

4

SM3100-26TP-AC

支持POE功能24口电2口光接入交换机

X

5

WNC6000系列

无线控制器

2

6

WA2000系列

室内无线AP

300

7

WA2000系列

室外无线AP

200