无线校园网解决方案
第一章 前言 ..................................................................................................................................... 3
第二章 无线校园网设计原则 ......................................................................................................... 3
第三章 无线校园网设计方案 ......................................................................................................... 5
............................................................................................................. 5
........................................................ 5 无线方案描述 ................................................................................................... 6
................................................................................................................ 7
.................................................................................................................... 7
................................................................................................................ 7
.................................................................................................................... 9
3.6 认证计费设计 .................................................................................................................. 10
10
.......................................................................................................... 11
.......................................................................................................................... 13
第四章 无线产品特性推介 ........................................................................................................... 14
4.1 智能天线技术 .................................................................................................................. 14
............................................................................................................. 14
.................................................................................................................. 14
...................................................................................................................... 15
.......................................................................................................... 16
4.6 网络性能可预测 .............................................................................................................. 16
................................................................................................... 16
第五章 涉及产品介绍 ................................................................................................................... 16
16
16
21
............................................................................................... 26
27
第一章 前言
无线校园网,就是通过无线局域网(Wireless Local Area Network,简称WLAN)技术,在校园中建立的无缝无线通讯网络,使校园的每个角落都处在网络中,形成全覆盖的校园网。
目前绝大多数学校已拥有的有线网络,但只能提供固定而有限的网络信息点,无法满足学校师生随时随地共享教育网络资源的需要。无线校园网正是顺应了教育信息化建设的前进步伐,蓬勃发展起来的。
无线校园网最大的特点是具有的高度的空间自由性和灵活性;可以避免大规模铺设网线和固定设备投入,有效地削减了网络建设费用,极大地缩短了建设周期;无线局域网带宽很宽,适合进行大量双向和多向的多媒体信息传输。通过无线校园网的建设,都可以找到解决的基础和途径。
国际上,拥有无线校园网,已经成为现代化校园的一个标志。据悉,到2008年,中国将有600所高校建设无线校园网,中国的大学无线校园网的建设已经如火如荼地展开了。
第二章 无线校园网设计原则
1、实现有线、无线统一认证计费
大部分学校有线网络都已经具有认证计费系统,有基于WebPortal,有基于802.1X,也有基于PPPoE方式。无线网络的接入,学校一般希望不要改变原有的认证计费方式,应该能无缝地纳入到现有认证计费系统中来。
2、功能丰富的统一管理
无线接入点经常分布于各个楼栋的天花板、墙壁和楼顶等位置,平时很难直接观察设备的工作状态,这就要求无线网络必须采用集中管理的方式对全网设备进行实时的监控和管理,包括全网无线设备工作状态和配置参数的监测和管理、射频环境监测、网络链路状况监测、无线用户及设备的定位、射频智能调控、报警、以及丰富的报表输出等功能。
3、遵循标准
无线局域网采用的技术支持应为国际标准或业界标准,不使用某个厂商的专用技术和协
议,以保证网络设备的互通性,有利于网络的投资保护。
4、集中式管理+分布式转发的网络结构
第一代无线局域网主要是采用胖AP架构,每台AP都是一个独立的个体,AP与AP之间不会进行任何沟通,需要逐台逐台进行配置和管理,费时、费力、维护成本高,安全低,融合性差。
第二代无线局域网融入了认证网关设备,仍然不能集中对AP进行管理和配置,只是对认证管理方面有所提高而已。
第三代无线局域网架构采用无线交换机加瘦AP的结构,使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高,使建设大型无线网成为可能。但是随着无线数据流量的增加,无线交换机不但容易成为数据传输瓶颈,也容易发生单点故障。增加无线交换机无疑将大幅提高组网成本。
第四代无线局域网架构采用无线控制器加智能AP的架构,第四代可胖可瘦智能AP可以接受集中式管理和配置,又可以本地直接转发数据,成功的规避了第三代无线局域网存在的问题,成为无线局域网发展的必然。
5、安全可靠性
在网络安全性方面,无线局域网系统要具有与有线局域网同样要求的安全防护措施,无线网的安全性主要从以下几个方面考虑:
1) 接入认证:具有支持多种用户认证方式;
2) 数据链路的全程加密;
3) 具有无线电波监控能力,能提供无线入侵侦测和无线终端位置的追踪功能。
可靠性方面主要是:具有提供智能化的无线电波自动调控与切换能力,以确保单个AP接入点在发生故障时自动切换到邻近AP,不会影响无线的接入服务;具有支持热备份的无线控制器的冗余备份机制。
6、无线业务漫游
无线网络使用者应该能体验、使用有线网络已有的业务,并在保证用户移动性的前提下,保证业务不发生中断。
第三章 无线校园网设计方案
根据无线网络设计原则,结合神州数码网络无线系统技术及产品的特点,方案的设计分为:无线组网方式设计、多业务区分设计、网络及用户管理、网络安全防护设计、移动漫游、计费设计六个部分。
3.1无线组网方式设计
无线网络AP的部署,需要考虑的因素远多于有线网络,比如说建筑的分布,墙体的厚度、材质,所以只有实地勘测以后,才可能精确确定AP的部署位置和数量。根据不同的AP数量规模和管理方式,可以考虑选用以下不同档次的DigiZoneDirector无线控制器和DigiFlexMaster集中网管系统进行组网,以实现性价比最高的无线网络。
3.1.1 某化工医药职业技术学院无线网络拓扑图
某化工医药职业技术学院无线网络采用支持802.1n的无线AP DCWL-ZF-7942AP,无线AP通过POE(POE供电是指通过以太双绞线供电,解决了无限AP布置在离电源较远
时的供电问题)交换机接入校园网核心网络。无线AP可通过无先控器DCWL-ZD-1025统一进行管理。DCBI-3000可对无线上网人员进行统一的认证计费。
3.1.2 无线方案描述
1、上表以1栋宿舍楼计算的AP数量和集中管理器数量,上表只有设备预算,光纤、网线铺设等费用另计
2、全部采用802.11n 2.0草案标准的ap,最高连接速度为300Mbps,最高可用带宽在130Mbps以上。
3、宿舍楼无线覆盖率达到80%以上,接入用户数为900个在线用户(每ap同时50人在线)。
4、无线ap通过poe集中供电
5、无线ap集中管理软件为25个 AP许可,如用户同时在线数多于900,可增加AP
6、认证计费系统为2000 用户许可,随用户数需求可增加用户数许可
7、无线用户上网时自动弹出web认证窗口,可实现根据用户名和密码对入网用户进行认证、查看在线用户、强制下线、按时间、流量包月等收费功能
8、.无线功率自动控制,无线信号信道自动选择
9、可控制每个接入用户的流量(以1Mbps为单位调节)。
10、校园网交换机需为3层交换机,提供千兆单模光纤接入
3.2 多业务区分设计
使用无线网络可以分为不同的无线接入业务类型。因此,可以在设计上采用无线局域网多SSID技术,设置多业务区分方式,例如一个SSID可给教师所用,而另一个可给学生专用。多SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。
802.11的标准内定义了不同加密情况时数据包的封装格式,所以在用户的无线接入使用不同的加密方式,例如:WEP、TKIP(WPA)、802.11i(WPA2)等等,不同加密方式不能在同一个SSID内同时存在的。
某一个SSID可以覆盖全网,也可以只局限于园区网内的某些范围。一般的情况下是全网开通,例如:临时访问者(Guest)使用的SSID;但有些SSID可以只在办公区广播,只供某些部门使用。
3.3 用户管理设计
神州数码网络无线系统中可以设定用户的角色(role),每个角色可以基于用户权限和可访问资源的设定等规则。用户权限是DigiZoneDirector的功能,是针对无线接入的特性而设计。一般的用户接入不同的SSID时只具有该SSID或VLAN所对应资源的访问权限,所以访问不同的VLAN的资源需要分别登录不同的SSID,这样是十分不便的。神州数码网络的基于用户角色的权限管理是与用户认证捆绑在一起,当无线用户成功通过认证后,他会获得一个预设的用户角色权限,访问其他SSID对应的网络资源。这样,一个具有全部权限的用户通过一个SSID登录后,可以访问所有SSID对应的语音、数据和视频业务的权限,从而简化了用户的权限设置和用户管理的复杂性。
一般在用户权限设计中,可以将来宾和普通用户的权限设置的较低,只能访问有限的资源,且优先级较低,并且有带宽的限制。
其他用户可能有较高的权限,可以访问更多的学校资源,或者对某些特殊的来宾开放某些VIP账号,分配给其较高权限的角色。在带宽方面可以做比较宽松的限制。所有这些在配置、使用和管理上都非常符合一般企业的网络管理需求。
3.4 无线安全性设计
在神州数码网络无线系统中,可以在多个层面对系统构筑安全防护,其安全性设计如下:
(1)多SSID:可以根据需要,如用户的种类、应用的种类,在神州数码网络无线系统中设置多个SSID,不同的SSID采用不同的安全策略,这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式,该SSID不广播,用户无法看到,防止非法用户的连接企图。SSID还可以选择在某些AP上出现,某些AP上不出现,限制SSID出现的范围也是实现安全性的一种手段。
(2)加密:神州数码网络无线系统支持多种加密的方式,二层的加密支持静态WEP、动态WEP、TKIP、WPA、802.11i 多种加密方式,三层的加密支持IPSec VPN加密,这样使得加密的方式更加的灵活,可以根据实际需求进行选择。
(3)用户认证提供三种方式:
① WPA-PSK+captive portal+VPN。
加密方式采用WPA-PSK,不建议采用静态WEP,因为有安全隐患。采用captive portal+VPN的认证方式,同时VPN还具有三层的加密功能,具有更高的安全性。认证服务器的选择比较灵活,可以使用RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS,甚至是DigiZoneDirector内置的帐户数据库。
② WPA+802.11x加密方式尽量采用WPA,如果客户端不支持也可采用动态WEP,认证方式采用802.11x,认证服务器选择RADIUS。
③ Dynamic PSK
Dynamic PSK是神州数码网络专有的用户认证和加密技术。传统的无线加密密钥对所有的用户是相同的,相当脆弱;而且长度较短,容易被解码。Dynamic PSK技术为每一个用户提供一个64字节的密钥,实现完整而且非常安全的认证加密手段。
(4)用户的Role(角色):每一类用户可以建立一个相关的Role,每个Role有一个用户状态防火墙的设定和带宽控制的设定,这样我们就可以将设定的安全策略加载到每个用户身上。
(6)带宽控制:可以对每个用户设定其可以使用的带宽,一方面可以限制其对网络资源的占有,另一方面,当该客户端中了病毒以后,其病毒发作时不会占用网络全部的带宽。
(7)认证系统支持:神州数码网络无线系统支持多种认证系统,诸如Radius、微软的AD(活动目录)和在DigiZoneDirector内部的Internal DB等等。
3.5 移动漫游设计
无线用户移动漫游,涉及到多个层次的漫游,最为简单的是二层漫游,业内主流厂家产品都表现不错,三层漫游就困难多了,还有当用户跨越多个域时怎样无缝漫游,神州数码网络无线局域网可以实现快速无缝漫游功能。
L2/L3层漫游
无线校园网解决方案
第一章 前言 ..................................................................................................................................... 3
第二章 无线校园网设计原则 ......................................................................................................... 3
第三章 无线校园网设计方案 ......................................................................................................... 5
............................................................................................................. 5
........................................................ 5 无线方案描述 ................................................................................................... 6
................................................................................................................ 7
.................................................................................................................... 7
................................................................................................................ 7
.................................................................................................................... 9
3.6 认证计费设计 .................................................................................................................. 10
10
.......................................................................................................... 11
.......................................................................................................................... 13
第四章 无线产品特性推介 ........................................................................................................... 14
4.1 智能天线技术 .................................................................................................................. 14
............................................................................................................. 14
.................................................................................................................. 14
...................................................................................................................... 15
.......................................................................................................... 16
4.6 网络性能可预测 .............................................................................................................. 16
................................................................................................... 16
第五章 涉及产品介绍 ................................................................................................................... 16
16
16
21
............................................................................................... 26
27
第一章 前言
无线校园网,就是通过无线局域网(Wireless Local Area Network,简称WLAN)技术,在校园中建立的无缝无线通讯网络,使校园的每个角落都处在网络中,形成全覆盖的校园网。
目前绝大多数学校已拥有的有线网络,但只能提供固定而有限的网络信息点,无法满足学校师生随时随地共享教育网络资源的需要。无线校园网正是顺应了教育信息化建设的前进步伐,蓬勃发展起来的。
无线校园网最大的特点是具有的高度的空间自由性和灵活性;可以避免大规模铺设网线和固定设备投入,有效地削减了网络建设费用,极大地缩短了建设周期;无线局域网带宽很宽,适合进行大量双向和多向的多媒体信息传输。通过无线校园网的建设,都可以找到解决的基础和途径。
国际上,拥有无线校园网,已经成为现代化校园的一个标志。据悉,到2008年,中国将有600所高校建设无线校园网,中国的大学无线校园网的建设已经如火如荼地展开了。
第二章 无线校园网设计原则
1、实现有线、无线统一认证计费
大部分学校有线网络都已经具有认证计费系统,有基于WebPortal,有基于802.1X,也有基于PPPoE方式。无线网络的接入,学校一般希望不要改变原有的认证计费方式,应该能无缝地纳入到现有认证计费系统中来。
2、功能丰富的统一管理
无线接入点经常分布于各个楼栋的天花板、墙壁和楼顶等位置,平时很难直接观察设备的工作状态,这就要求无线网络必须采用集中管理的方式对全网设备进行实时的监控和管理,包括全网无线设备工作状态和配置参数的监测和管理、射频环境监测、网络链路状况监测、无线用户及设备的定位、射频智能调控、报警、以及丰富的报表输出等功能。
3、遵循标准
无线局域网采用的技术支持应为国际标准或业界标准,不使用某个厂商的专用技术和协
议,以保证网络设备的互通性,有利于网络的投资保护。
4、集中式管理+分布式转发的网络结构
第一代无线局域网主要是采用胖AP架构,每台AP都是一个独立的个体,AP与AP之间不会进行任何沟通,需要逐台逐台进行配置和管理,费时、费力、维护成本高,安全低,融合性差。
第二代无线局域网融入了认证网关设备,仍然不能集中对AP进行管理和配置,只是对认证管理方面有所提高而已。
第三代无线局域网架构采用无线交换机加瘦AP的结构,使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高,使建设大型无线网成为可能。但是随着无线数据流量的增加,无线交换机不但容易成为数据传输瓶颈,也容易发生单点故障。增加无线交换机无疑将大幅提高组网成本。
第四代无线局域网架构采用无线控制器加智能AP的架构,第四代可胖可瘦智能AP可以接受集中式管理和配置,又可以本地直接转发数据,成功的规避了第三代无线局域网存在的问题,成为无线局域网发展的必然。
5、安全可靠性
在网络安全性方面,无线局域网系统要具有与有线局域网同样要求的安全防护措施,无线网的安全性主要从以下几个方面考虑:
1) 接入认证:具有支持多种用户认证方式;
2) 数据链路的全程加密;
3) 具有无线电波监控能力,能提供无线入侵侦测和无线终端位置的追踪功能。
可靠性方面主要是:具有提供智能化的无线电波自动调控与切换能力,以确保单个AP接入点在发生故障时自动切换到邻近AP,不会影响无线的接入服务;具有支持热备份的无线控制器的冗余备份机制。
6、无线业务漫游
无线网络使用者应该能体验、使用有线网络已有的业务,并在保证用户移动性的前提下,保证业务不发生中断。
第三章 无线校园网设计方案
根据无线网络设计原则,结合神州数码网络无线系统技术及产品的特点,方案的设计分为:无线组网方式设计、多业务区分设计、网络及用户管理、网络安全防护设计、移动漫游、计费设计六个部分。
3.1无线组网方式设计
无线网络AP的部署,需要考虑的因素远多于有线网络,比如说建筑的分布,墙体的厚度、材质,所以只有实地勘测以后,才可能精确确定AP的部署位置和数量。根据不同的AP数量规模和管理方式,可以考虑选用以下不同档次的DigiZoneDirector无线控制器和DigiFlexMaster集中网管系统进行组网,以实现性价比最高的无线网络。
3.1.1 某化工医药职业技术学院无线网络拓扑图
某化工医药职业技术学院无线网络采用支持802.1n的无线AP DCWL-ZF-7942AP,无线AP通过POE(POE供电是指通过以太双绞线供电,解决了无限AP布置在离电源较远
时的供电问题)交换机接入校园网核心网络。无线AP可通过无先控器DCWL-ZD-1025统一进行管理。DCBI-3000可对无线上网人员进行统一的认证计费。
3.1.2 无线方案描述
1、上表以1栋宿舍楼计算的AP数量和集中管理器数量,上表只有设备预算,光纤、网线铺设等费用另计
2、全部采用802.11n 2.0草案标准的ap,最高连接速度为300Mbps,最高可用带宽在130Mbps以上。
3、宿舍楼无线覆盖率达到80%以上,接入用户数为900个在线用户(每ap同时50人在线)。
4、无线ap通过poe集中供电
5、无线ap集中管理软件为25个 AP许可,如用户同时在线数多于900,可增加AP
6、认证计费系统为2000 用户许可,随用户数需求可增加用户数许可
7、无线用户上网时自动弹出web认证窗口,可实现根据用户名和密码对入网用户进行认证、查看在线用户、强制下线、按时间、流量包月等收费功能
8、.无线功率自动控制,无线信号信道自动选择
9、可控制每个接入用户的流量(以1Mbps为单位调节)。
10、校园网交换机需为3层交换机,提供千兆单模光纤接入
3.2 多业务区分设计
使用无线网络可以分为不同的无线接入业务类型。因此,可以在设计上采用无线局域网多SSID技术,设置多业务区分方式,例如一个SSID可给教师所用,而另一个可给学生专用。多SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。
802.11的标准内定义了不同加密情况时数据包的封装格式,所以在用户的无线接入使用不同的加密方式,例如:WEP、TKIP(WPA)、802.11i(WPA2)等等,不同加密方式不能在同一个SSID内同时存在的。
某一个SSID可以覆盖全网,也可以只局限于园区网内的某些范围。一般的情况下是全网开通,例如:临时访问者(Guest)使用的SSID;但有些SSID可以只在办公区广播,只供某些部门使用。
3.3 用户管理设计
神州数码网络无线系统中可以设定用户的角色(role),每个角色可以基于用户权限和可访问资源的设定等规则。用户权限是DigiZoneDirector的功能,是针对无线接入的特性而设计。一般的用户接入不同的SSID时只具有该SSID或VLAN所对应资源的访问权限,所以访问不同的VLAN的资源需要分别登录不同的SSID,这样是十分不便的。神州数码网络的基于用户角色的权限管理是与用户认证捆绑在一起,当无线用户成功通过认证后,他会获得一个预设的用户角色权限,访问其他SSID对应的网络资源。这样,一个具有全部权限的用户通过一个SSID登录后,可以访问所有SSID对应的语音、数据和视频业务的权限,从而简化了用户的权限设置和用户管理的复杂性。
一般在用户权限设计中,可以将来宾和普通用户的权限设置的较低,只能访问有限的资源,且优先级较低,并且有带宽的限制。
其他用户可能有较高的权限,可以访问更多的学校资源,或者对某些特殊的来宾开放某些VIP账号,分配给其较高权限的角色。在带宽方面可以做比较宽松的限制。所有这些在配置、使用和管理上都非常符合一般企业的网络管理需求。
3.4 无线安全性设计
在神州数码网络无线系统中,可以在多个层面对系统构筑安全防护,其安全性设计如下:
(1)多SSID:可以根据需要,如用户的种类、应用的种类,在神州数码网络无线系统中设置多个SSID,不同的SSID采用不同的安全策略,这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式,该SSID不广播,用户无法看到,防止非法用户的连接企图。SSID还可以选择在某些AP上出现,某些AP上不出现,限制SSID出现的范围也是实现安全性的一种手段。
(2)加密:神州数码网络无线系统支持多种加密的方式,二层的加密支持静态WEP、动态WEP、TKIP、WPA、802.11i 多种加密方式,三层的加密支持IPSec VPN加密,这样使得加密的方式更加的灵活,可以根据实际需求进行选择。
(3)用户认证提供三种方式:
① WPA-PSK+captive portal+VPN。
加密方式采用WPA-PSK,不建议采用静态WEP,因为有安全隐患。采用captive portal+VPN的认证方式,同时VPN还具有三层的加密功能,具有更高的安全性。认证服务器的选择比较灵活,可以使用RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS,甚至是DigiZoneDirector内置的帐户数据库。
② WPA+802.11x加密方式尽量采用WPA,如果客户端不支持也可采用动态WEP,认证方式采用802.11x,认证服务器选择RADIUS。
③ Dynamic PSK
Dynamic PSK是神州数码网络专有的用户认证和加密技术。传统的无线加密密钥对所有的用户是相同的,相当脆弱;而且长度较短,容易被解码。Dynamic PSK技术为每一个用户提供一个64字节的密钥,实现完整而且非常安全的认证加密手段。
(4)用户的Role(角色):每一类用户可以建立一个相关的Role,每个Role有一个用户状态防火墙的设定和带宽控制的设定,这样我们就可以将设定的安全策略加载到每个用户身上。
(6)带宽控制:可以对每个用户设定其可以使用的带宽,一方面可以限制其对网络资源的占有,另一方面,当该客户端中了病毒以后,其病毒发作时不会占用网络全部的带宽。
(7)认证系统支持:神州数码网络无线系统支持多种认证系统,诸如Radius、微软的AD(活动目录)和在DigiZoneDirector内部的Internal DB等等。
3.5 移动漫游设计
无线用户移动漫游,涉及到多个层次的漫游,最为简单的是二层漫游,业内主流厂家产品都表现不错,三层漫游就困难多了,还有当用户跨越多个域时怎样无缝漫游,神州数码网络无线局域网可以实现快速无缝漫游功能。
L2/L3层漫游