《某中学网络信息化建设方案.docx》由会员分享,可在线阅读,更多相关《某中学网络信息化建设方案.docx(73页珍藏版)》请在三一办公上搜索。
1、腾冲县第八中学校园网建设项目技术建议书目 录1项目概述41.1项目背景41.2现状分析41.3建设目标51.4设计原则62网络建设方案72.1概述72.1.1项目技术要求72.2有线网络方案设计82.2.1有线网络组网方案82.2.2核心层设计方案92.2.3接入层设计方案102.2.4接入层网络隔离122.2.5出口设计132.3无线网络的设计方案142.3.1概述142.3.2无线基本概念152.3.3覆盖区域描述212.3.4无线局域网拓扑222.3.5无线VLAN规划233统一身份认证平台244网络管理规划304.1网管需求分析304.2网络设备的管理315可靠性设计325.1网络可靠
2、性设计325.2设备高可靠性设计345.2.1重要部件冗余345.2.2设备自身安全345.2.3接入交换机的堆叠iStack356方案总结366.1方案特色367设备介绍377.1核心交换机S7706377.1.1产品规格407.1.2解决方案应用437.2接入交换机S5700-LI447.2.1产品规格477.3无线POE交换机S5700-SI507.4无线控制器AC6605567.5室内放装型AP6010SN577.6室内分布式AP6310SN617.7出口安全网关 USG5120HSR65USG5120BSR/HSR65USG5150BSR/HSR657.8统一身份认证平台 TSM69
3、校园网信息建设项目技术建议书1 项目概述1.1 项目背景21世纪人类全面进入信息化时代,教育正在走向数字化、信息化。计算机、网络、多媒体技术已被越来越多的学校采用,成为教育教学的支撑技术。教育技术的现代化正在改变着教学手段、教学方法,必将带来教学内容、教学观念的更新,教育教学改革势在必行。因此,越来越多的学校对校园网建设跃跃欲试,希望藉此一步跨入数字时代。 1.2 现状分析学校目前主要硬件设备使用多年,随着办公自动化、网络多媒体教学、学生自主学习、电子图书馆、电子邮件、远程教育、校园一卡通工程等系统的逐步建设,目前园区网络的带宽已远远不能满足应用的需求,而且设备老旧,故障率不断上升,给老师办公
4、教学和学生学习实验带来极大的不便。主要有以下问题:1) 硬件基础设施老化现有设备大部分运行时间长,老化严重,故障率高,性能难以满足现有网络应用的需求。2) 应用系统缺乏目前学校某些部门缺乏信息化、数字化校园的新思维模式,很多的工作仍然未能摆脱烦琐的手工操作和信息传递,某些信息的传递不及时甚至是失真,为学校的管理和领导的决策带来了一定困难。3)已建应用系统相互独立已建信息系统数据、编码不统一,造成各应用系统间相互独立,形成信息孤岛,资源不能共享,花巨资建立的应用系统不能发挥其效用,形成资源浪费。1.3 建设目标本次校园网改造工程建设目标是:采用1000Mbps光纤交换网络实现新老校区内部高速互联
5、,光缆连接全校楼宇(办公楼,教学区、综合楼,实验楼)。核心机房设置配置两台核心交换机,各楼宇根据点位配置接入交换机,通过千兆光纤双上行到两台核心交换机上,通过接入交换机将学校的各种PC机、服务器、终端设备和局域网连接起来,整合现有的网络资源,改善与Internet/Cernet相连的网络性能。构建一个以计算机多层交换网络为框架,以网络基本应用、计算机多媒体辅助教学、电子化图书馆、教学管理办公自动化为平台的校园网,并逐步形成数字化校园网络。网络改造后实现以下功能(1)办公自动化基于Web综合管理信息系统,提供行政、人事、学籍、教学、后勤、财务管理、公文收发管理、教师档案管理、学生档案管理、科技档
6、案管理等,使学校日常办公无纸化,减少办公开支,提高办公效率。(2)网络多媒体教学将计算机多媒体视听引入课堂教学,使声音、图像、动画的普遍采用可以大大提高教学效果,使每一节课都能够得到有效的作用。(3)学生自主学习针对不同的学生,提供不同的教学内容,采取不同的教学手段。主要采用基于VOD、WEB及FTP的课件、光盘软件、Internet资源,学生可以根据自己的需要自由选择所需内容。(4)电子图书馆基于Web的图书音像资料供学生随时阅读,并与Internet连接,使图书馆得到进一步拓展,使学生能够得到近乎无限的网上资源。(5)电子邮件电子邮件是Internet上的一个最重要的应用,将为每一位教师和
7、学生开设一个电子邮件账号,利用电子邮件学生可以和老师、同学及家长进行交流,同时也可以和国内外等地学校的学生进行交流。(6)远程教育实现校内外连通,师生在线、交互式学习、辅导、测验等功能。(7)校园移动计算采用有线和无线网络混合建构,方便学生、老师移动上网学习和办公。1.4 设计原则针对IT平台建设的基本要求和投入建设使用之后的用户实际问题,主要从如下几个方面重点考虑,构建一个可靠、安全、稳定、灵活的IT平台,助力IT资源可以真正的为企业服务。 可靠性,利用电信级产品构建一个高可靠的网络环境,保证整个网络的可靠运行,可靠性设计可以达到99.999,可以满足实际的办公、业务等的要求。 安全性,网络
8、设计的各个环节,融合了网络安全、应用安全、接入安全、终端安全、数据安全等各个方面,可以很好的满足网络高安全的要求。 管理性,网络设计考虑了日后的网络管理,每个环节的设计都考虑了业务开展的便利性,使得网络可以真正的为企业服务,为后续业务的开展奠定了良好的基础。 集成性,从用户的实际需要考虑对IT资源的每个环节进行设计,保证了网络在日后交付使用的时候,可以更好的满足业务变化的要求,充分考虑了业务变化性的特点,进行了网络弹性设计,使得IT技术贴近用户。本次校园网改造将从校园网建设的需求出发,以学校的教学、试验、办公管理体系为主导,建设安全可靠可管理可控制的校园信息化网络!根据学校的现状和进一步的需求
9、目标、特点及实现的功能与技术要求,对总体方案的设计、网络设备选型、采用的技术路线及工程实施的过程,均充分考虑项目方案的实用性、经济性、先进性及可扩展性(保护现有投资,可平滑升级)。尤其注重了网络设备的安全可靠、易维护、易操作。突出了计算机、网络及多媒体技术对教育过程的实用与好用,综合考虑了项目中各子系统相对独立性与关联性,方案设计能够体现出其1+12的效果。具体的实施原则如下:1)好的开放性和可扩展性校园网络应具有的开放性,这种开放性依靠标准化实现,使符合标准的计算机系统很容易进行网络的互连。因此在网络建设中,网络体系结构和通信协议应选择广泛使用的国际标准,使得校园网成为一个完全开放式的网络环
10、境。在校园网络平台建设中,尽量采取成熟先进的网络技术,统一的网络标准和主流的网络设备,使得网络结构更易于扩展、升级和维护。2) 校园网软件平台的针对性校园网的应用和服务的对象是学校的教师、学生。这就要求校园网软件平台的建设应以教学为核心,建立起一个在技术上具有先进性,在教学过程的各阶段应用上具有灵活性、多样性和针对性的数字化校园网。3)高度的安全性和可靠性对于网络系统,应确保系统运行可靠,对关键部位提供容错能力,同时建立完善的安全管理体系。4) 经济实用性盲目地追求技术,会建成一个不稳定、不成熟产品的实验台。单纯高性能,只会带来难以承受的高额投资。所以,网络系统建设应采用成熟、适用、实用、好用
11、的技术,力争以最小的投资得到最大的满足。2 网络建设方案2.1 概述现代教育过程的四要素为:教师、学生、教学内容及教育技术。以计算机、网络、多媒体集成的现代教育技术,对教育过程的支持,随着教育信息化的发展,显得越来越重要。因此,项目建设的指导方针为:(1) 以应用为主,为校领导决策、业务管理、教学保障和管理提供服务;(2) 采用成熟先进的技术,实用、够用,又留有发展余地;(3) 统一标准,逐步建设,充分考虑四期工程规划及网络的扩展性;(4) 充分重视网络系统和信息的安全;(5) 在限定的时间和要求内,降低费用的支出,提高系统的性能价格比;(6) 组织各方面的力量,网络通信系统、网络资源系统同步
12、建设;2.1.1 项目技术要求(1) 采用先进成熟的网络技术;(2) 统一技术规范、标准和方案,统一设备选性,统一组织实施;(3) 网络系统采用三层架构,采用TCP/IP协议栈,采用统一的客户端应用软件;(4) 网络系统采用全交换网络,主干1000Mbps,核心层、接入层采用冗余连接,千兆到桌面;(5) 网络系统按部门、业务划分VLAN,网络多层交换采用802.1Q虚拟干道协议、802.1D生成树协议、802.1X认证协议和802.1P优先队列排序;(6) 采用接入认证综合管理系统对接入用户进行认证及计费;(7) 网络系统必须满足标准化的要求,以实现开放性、可扩展性;(8) 重要部件、文挡要有
13、备份,保证系统365天24小时运转;(9) 重视数据的安全与保密,建立完善的网络安全管理系统。2.2 有线网络方案设计校园网是各种应用的统一通信平台,平均无故障时间以及故障恢复时间,要保持在一个可容忍的许可范围之内。在这种前提下,主干设备应有一定的冗余度,这种冗余度不单只是设备级的,也应该考虑物理线路,数据链路层、网络层以及应用层的容错能力。该主干网在方案上有二个重点:主干网技术策略;主干交换机的基本要求。 主干网技术的基本要求可概括为:千兆传输距离550m以内采用50/125多模光缆;千兆传输距离大于550m、小于5000m采用9/125单模光缆;百兆传输距离2000m以内采用50/125多
14、模光缆;百兆传输距离大于2000m采用9/125单模光缆。2.2.1 有线网络组网方案按照网络分层设计的原则:整个网络采用扁平化设计理念,分成核心层、接入层、出口区域几个部分。整个网络的建设方案如图1所示: 出口区域部署一台综合安全网关,按照同时在线1200人的规模设计,考虑到校园网用户对带宽超级利用性,整个网络的出口采用千兆设计,千兆出口网关、千兆流控,满足整个学校未来10年内的发展需要。另外,出口区域结合整个网络的安全认证系统,可实现基于用户实名的准出控制,满足大规模用户使用。实现基于实名的NAT日志、URL日志、上网时间等,满足公安部82号令的要求;实现基于用户实名的带宽控制;另外,网络
15、出口区域部署VPN,让校领导、老师出差不在学校,通过在互联网上建立VPN隧道,访问校园网络应用系统,完成审批流程等。 核心层:核心层采用模块化万兆交换机,支持40G/100G端口扩展,满足未来网络发展需求,启用三层转发功能,和接入层设备提供冗余链路,使得整个网络的路由交换运行无阻。同时内外业务资源、如服务器区和一些重要的终端可以直接接入到核心层,满足高性能的要求,同时支持主控和业务口CSS集群技术,将多台设备虚拟化为一台逻辑设备,在可靠性、交换效率、灵活性和易管理性方面提高性能。 接入层:接入层由千兆交换机和无线接入交换机等接入设备构成,可以满足不同终端的接入要求,接入交换机通过千兆光纤直接连
16、接到核心交换机上,实现和核心层的互访。设备选型上要实现方便灵活接入的同时保障网络带宽。提供的QinQ技术保证了每端口每VLAN的设计,在终端管理上提供了良好的技术保证。按照网络高可靠的设计原则: 核心网络采用双平面组网,可以最大程度上保证网络的100可靠。 核心设备采用双引擎设计,接入层采用双归属主备链路。 网络设备秉承电信级可靠性设计理念:单板热插拔、电源冗余、风扇热插拔等。高可靠的模型是根据组网方案来统一考虑的,主要的高可靠的手段有:A/B双平面、双机模式、主备模式、链路冗余、设备结构冗余等。为了保障校园网络的高可靠性,采用双平面和主备等冗余结构,核心设备采用2台核心交换机设备,设备间采用
17、2条线路连接,实现双机热备和负荷分担,提高设备的利用率和网络的安全。接入交换机分别采用双链路接入核心交换机。保障链路冗余和链路带宽。2.2.2 核心层设计方案设计要点:提供高速的三层交换骨干。核心层不进行终端系统的连接。核心层不实施影响高速交换性能的ACL等功能 网络核心区作为整个校园网的数据交换核心,是教育应用系统可靠和高效率运行的基础,在核心区配置华为高吞吐量核心万兆全分布式线速路由交换机S7706,接入各个功能区域,下行千兆光纤连接接入交换机,形成千兆无阻塞线速转发骨干网。核心设备采用分布式交换架构,通过独立的控制引擎、检测引擎、维护引擎为系统提供强大的控制能力和高可靠保障为了简化网络部
18、署,简化网络管理,并提高故障恢复的速度,核心层需支持采用虚拟交换架构技术,通过跨设备链路聚合与汇聚层设备互联。1) 设备需支持运营级,满足学校业务不间断的需求; 2) 核心设备支持引擎冗余、电源冗余、业务线卡热插拔;支持虚拟交换技术,保证核心的高融合和高可靠性;3) 核心设备支持模块化软件操作系统平台,便于多业务扩展支持,支持操作系统的免费升级,全面支持IPv6;4)核心设备具有较强的自我防御机制为此,本次建设选用华为S7700作为腾冲第一职业高级中学的的核心交换机,S7700系列是华为公司面向下一代企业网络架构而推出的新一代高端智能路由交换机。该产品基于华为公司智能多层交换的技术理念,在提供
19、稳定、可靠、安全的高性能L2L4层交换服务基础上,进一步提供MPLS VPN、业务流分析、完善的QOS策略、可控组播、资源负载均衡、一体化安全等智能业务优化手段,同时具备超强扩展性和可靠性。S7700系列广泛适用于园区网络和数据中心网络,可对无线、话音、视频和数据融合网络进行先进的控制,帮助企业构建交换路由一体化的端到端融合网络。 128G槽位带宽,100GE Ready 480个万兆端口,24个40GE端口 创新的CSS交换网集群 硬件级以太OAM/BFD 左后风道,高密布线S7700系列提供S7703、S7706、S7712三种产品形态。2.2.3 接入层设计方案千兆到桌面接入,根据接入密
20、度选择型号。24口接入或48口接入。校园网目前的业务应用主要为桌面办公系统,教学课件系统;互联网业务,网络间要在接入层必须对必要的业务划分VLAN,VLAN划分的方法可以基于端口、基于用户的业务等。为了满足VLAN的灵活划分及对终端安全的控制,接入交换机应具备强2层特性,支持防止DOS、ARP攻击功能、ICMP防攻击,支持IP、MAC、端口、VLAN的组合绑定。同时只能智能节能功能,通过匹配端口Link Down/Up、光模块在位/不在位、配置Shut Down/Undo Shut Down、空闲时段、繁忙时段等应用场景,达到应用中大幅度提高动态节能技术应用比例,节省设备耗电量的目的。应具备能
21、效以太网(EEE)、端口能量检测、CPU动态调频、设备休眠等技术已实现设备智能低功耗设计。点位设计如下:建筑楼层房间数点位数合计24口交换机数量48口交换机数量实验楼18166011271438164714实验楼1102066112132631020综合楼151058112714371441020教学楼(白色)1612441128163816教学楼(粉色)16124811261236124612合计55共部署48口接入交换机5台,24口交换机5台,汇聚交换机46台,覆盖全校约300个信息点。为保证接入网络的安全可靠,本次配置建议使用华为S5700-LI系列交换机,S5700-LI系列企业交换机
22、(以下简称S5700-LI),是华为公司自主研发的新一代绿色节能的二层全千兆以太网交换机,提供灵活的全千兆以太网接入端口、丰富的业务特性,支持EEE节能特性,支持整机休眠功能,可以为用户提供绿色、易管理、易扩展、低成本的千兆到桌面的解决方案。S5700-LI能基于五元组、IP优先级、TOS、DSCP、IP协议类型、ICMP类型、TCP源端口、VLAN、以太网帧协议类型、CoS等信息,实现复杂流分类功能。S5700-LI支持基于流的双速三色限速功能,每端口支持8个优先级队列,支持WRR、DRR、PQ、WRRPQ、DRR+PQ多种队列调度算法,有效地保证话音、视频和数据业务质量。S5700-LI提
23、供多种安全保护功能。支持DoS(Denial of Service)类防攻击、网络的防攻击、用户的防攻击等功能。其中DoS类防攻击主要包括SYN Flood、Land、Smurf、ICMP Flood。网络的防攻击主要是指STP的BPDU/Root攻击。用户的防攻击涉及DHCP仿冒攻击、中间人攻击、IP/MAC Spoofing 攻击、DHCP request flood、改变 CHADDR 值的 DoS 攻击等等。S5700-LI支持通过建立和维护DHCP Snooping 绑定表,侦听接入用户的MAC/IP 地址、租用期、VLAN-ID、接口等信息,解决 DHCP 用户的IP 和端口跟踪定
24、位问题。同时,对不符合绑定表项的非法报文(ARP欺骗报文、擅自修改IP地址等)直接丢弃,有效防止黑客或攻击者通过ARP报文实施园区网常见的“中间人”攻击。利用DHCP Snooping 的信任端口特性还可以保证DHCP Server 的合法性。S5700-LI支持ARP表项严格学习功能,可以防止因ARP欺骗攻击将交换机ARP表项占满,导致正常用户无法上网。同时,支持IP Source Check 特性,防止包括MAC 欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒带来的DOS攻击。S5700-LI支持集中式MAC地址认证和802.1x 认证,支持用户账号、IP、MAC、VLAN、端口、客户
25、端是否安装病毒防范等用户标识元素的动态或静态绑定,同时实现用户策略(VLAN、QoS、ACL)的动态下发。S5700-LI支持基于端口的源MAC地址学习限制功能,有效防止用户源MAC欺骗冲击设备MAC表项,导致正常用户无法学到MAC表而泛洪的问题等。2.2.4 接入层网络隔离在接入层必须对必要的业务划分VLAN,VLAN划分的方法可以基于端口、基于用户的业务等。图1 接入层VLAN划分组网示意图 所提供接入交换机具有灵活的VLAN划分方法; 可以有效的防止ARP等二层攻击; 同时支持QinQ技术,可以突破4K个VLAN的限制,为将来网络的合理改造以及扩容打下坚实的基础。采用QinQ技术可以提供
26、每用户每VLAN的组网方式,将VLAN终结在核心层上。图2 采用QinQ技术隔离终端QinQ技术采用嵌套VLAN技术,突破了4K VLAN的限制,无论何种接入设备都可以满足整个网络可靠性、安全的设计,同时每个终端一个VLAN的设计方式保证了二层方式的终端是隔离的,防止了广播风波、ARP病毒等对局域网危害很大的不安全因素的蔓延。采用这种方式的组网可以大大提高整网的可靠性和安全性,使得网络对二层设备的依赖降低,并且有助于降低建设成本,因为所有的终端访问都必须经过汇聚交换,这样的网络设计非常方便网络的管理、控制,避免因为流量的过渡分散造成的安全失控。2.2.5 出口设计考虑到外网攻击很多,在出口部署
27、安全网关,对内外网进行安全隔离,进行NAT转换和路由,同时防火墙提供攻击防范和url过滤等功能,对外网来的攻击进行防御。安全网关设备实现如下功能:1) 安全隔离:安全网关的安全隔离是基于安全区域,这样的设计模型为用户在实际使用统一安全网关的时候提供了十分良好的管理模型。华为统一安全网关提供了基于安全区域的隔离模型,每个安全区域可以按照网络的实际组网加入任意的接口,因此统一安全网关的安全管理模型是不会受到网络拓扑的影响。2) 防DDOS:安全网关产品根据数据报文的特征,以及Dos攻击的不同手段,可以针对ICMP Flood、SYN Flood、UDP Flood等各种Dos攻击手段进行Dos攻击
28、的防御。3) URL过滤功能:能提供URL黑、白名单功能;支持前缀匹配,后缀匹配,关键字匹配等;支持用户自定义URL功能,可自定义分类以及自定义URL;URL过滤响应方式可以设置为禁止或允许,禁止方式下支持返回页面通知,页面内容可自定义;支持URL访问日志记录,支持日志归并;URL分类大类43个,小类127个,URL特征库数量6500万条;支持URL热点库功能,且热点库支持升级。4) 防火墙NAT转换:在IPV4,由于公网IP少,需要防火墙提供NAT地址转换,实现对公网的业务访问需求。需要支持包括源IP地址转换、目的IP地址转换、端口地址转换、静态IP地址转换、IP地址池转换等;支持扩展NAT
29、功能,可实现单个公网IP的无限地址转换;考虑到、SIP等它们报文的数据部分可能包含IP地址或端口信息,需要支持、SIP等各种应用协议。5) 路由:支持静态路由、路由策略、策略路由、RIP、OSPF、BGP、MPLS、ISIS等路由协议6) 高可靠性:支持HRP(Huawei Redundancy Protocol)协议实现双机热备份功能,包括主备备份(Active/Standby)和负载分担(Active/Active)两种方式。HRP负责在主/备设备之间备份关键配置命令和会话表状态信息,从而确保主用设备出现故障时能由备份设备平滑地接替工作。2.3 无线网络的设计方案2.3.1 概述有线网络建
30、设经过改造后,已初具规模, 1000Mbps光缆敷设到全校大部分的楼宇。如何将网络延伸到校园的每一个角落,为学生和教师提供一个随时、随地使用网络的环境,是摆在我们面前的重要任务。无线接入技术与光纤接入、ADSL接入、以太网接入等技术相比,具有投资少,建网周期短、提供业务快等优势。在无线接入领域中,固定无线接入正走向成熟,其应用步伐不断加快。而其中无线局域网技术又以其提供方便、快捷的组网方式等优势,倍受瞩目。 因此,我们采用有线网络与无线网络(802.11b、802.11g)融合的策略,将网络应用延伸到各个办公室、多媒体教室、校园活动场所等空间,提供教学视频的无线上传及下载,方便教学工作的开展。
31、2.3.2 无线基本概念2.3.3.1 网络架构模型WLAN网络在部署过程中,根据不同的需求有多种实现形式,根据网络架构分为:l 自治式架构(即FAT AP或胖AP)l 集中式架构(即FIT AP或瘦AP)自治式架构和集中式架构两种网络结构比较如表1-1所示。表1-1 自治式架构和集中式架构比较表项目自治式架构集中式架构适用场景微型企业、个人新生方式,增强管理安全性传统加密、认证方式,普通安全性基于用户位置的安全策略,高安全性网络管理每AP需要单独下发配置文件AC上统一配置,AP本身零配置,维护简单用户管理类似有线,根据AP接入的有线端口区分权限虚拟专用组方式,根据用户名区分权限,使用灵活WL
32、AN组网规模L2漫游,适合小规模组网L2、L3漫游,拓扑无关性,适合大规模组网增值业务能力实现简单数据接入可扩展丰富业务自治式架构该架构下AP实现所有无线接入功能,不需要AC设备形态,如图1-2所示。图1-2 WLAN自治式架构图WLAN早期广泛采用自治式架构,随着企业大量部署AP后,对这些AP进行配置、升级软件等管理工作将给用户带来很高的操作成本,管理成本提高,自治式架构应用逐步减少。集中式架构该架构通过无线控制器(AC)集中管理、控制多个AP,如图1-3所示。所有无线接入功能由AP和AC共同完成: AC完成网络具有重要意义的功能,例如移动管理、身份验证、VLAN划分、射频资源管理、无线ID
33、S(Intrusion Detection Systems)和数据包转发等。 AP完成无线空口的控制,例如无线信号发射与探测响应、数据加密解密、数据传输确认、空口数据优先级管理等等。图1-3 WLAN集中式架构图AP和AC间采用CAPWAP隧道协议进行通讯,AC与AP间可以是直连或者穿越Layer 2、Layer 3网络。CAPWAP协议是基于UDP传输层的应用层协议,协议传递的信息分为两类:控制信息和数据信息。 控制信息负责AC与AP之间的管理的交互操作,包括AP自动发现AC、AC对AP进行安全认证、AP从AC获取软件版本、AP从AC获取配置等等。 数据信息是封装后转发的无线数据。两类信息分
34、别使用不同的UDP端口号。CAPWAP信息在AP与AC间交互时可以使用DTLS加密机制,保证通信的安全性。所有无线接入功能由AP和AC间共同完成。集中式架构是企业网、运营商等WLAN方案的主要架构,便于集中管理、集中认证和实施安全策略。此种方案为目前企业网通用方案。在FIT AP网络架构下,又有如下划分:l 根据AC部署方式,分为集中式和分布式l 根据AC部署位置,分为旁挂和直路l 根据AC硬件体现形式,分为集成AC和独立ACl 根据业务转发形式,分为本地转发和集中转发2.3.3.2 集中式AC与分布式AC根据AC的部署方式,网络可分为集中式AC部署和分布式AC部署。集中式AC部署集中式AC部
35、署是指整个网络中集中部署AC设备(一般是独立的AC设备),来控制和管理整网的AP设备。AC的部署可以采用直路(直接部署在AP和汇聚/核心交换机之间)或旁挂方式(旁挂在汇聚/核心交换机旁侧)。图1-4 集中式AC部署示意图分布式AC部署分布式AC部署是指网络中分区域采用多个AC设备,分别对本区域的AP设备进行管理。分布式AC方案一般不采用独立的AC设备,而是采用在汇聚交换机上集成AC功能,来实现对本交换机下挂的所有AP进行管理。图1-5 分布式AC部署示意图AC的两种部署方式的优劣势对比如表1-2所示。表1-2 集中式AC与分布式AC优缺点对比表AC部署方式优点缺点集中式l 节省投资l 容量管理
36、更简单有效,成本效益高l 无线业务终结点少,便于管理l 漫游部署简单、高效l 无线网络运维管理更简单,可集中管理且配置灵活AC与AP之间的网络结构复杂,网络规划部署相对复杂分布式AC与AP之间网络结构简单,网络部署相对简单l 投资成本高l 需要部署AC间漫游(除非各AC所在的区域间不考虑漫游)l 运维成本高2.3.3.3 AC旁挂与AC直路根据AC在网络上所处位置,可分为AC旁挂和AC直路。旁挂旁挂方式是指将AC部署在用户网关设备(汇聚或核心交换机)一侧,实现对用户网关设备下所有AP的管理。旁挂方式主要用于原有网络汇聚/核心设备非华为设备的场景,目前主要用于网络改造、或者新建大、中型园区网络场
37、景。AC旁挂示意图直路直路方式是指将AC部署在AP与用户网关设备(汇聚或核心交换机)之间,实现对下辖所有AP的管理。直路方式主要用于新建中、小型园区网络或原有网络汇聚/核心设备为华为设备的场景。AC直路示意图2.3.3.4 本地转发与集中转发转发模式主要是AP针对用户数据可以有不同的转发处理方式。本地转发又称直接转发,是指AP上对用户数据由本地转发到网络上层,不经过AC处理,AC只对AP进行管理。而AP管理流封装在CAPWAP隧道中,到达AC终止。本地转发示意图集中转发也称作隧道转发。业务数据报文由AP统一封装后到达AC实现转发,AC不但进行对AP管理,还作为AP流量的转发中枢。即AP管理流与
38、数据流都封装在CAPWAP隧道中到达AC。隧道转发示意图本地转发与集中转发优缺点对比如0所示。本地转发与集中转发优缺点对比表转发方式优点缺点本地转发设备署简单,数据流量不经过AC,AC负担小。-集中转发数据流量和管理流量全部经过AC,可以按用户需求规划安全监管策略。AC设备数据压力较大,对AC设备本身处理能力要求较高。2.3.3 覆盖区域描述网络覆盖范围总共包含5栋楼:实训楼、实验楼、综合楼、教学楼(白色)、教学楼(粉色),墙体统一为24砖墙,网络点位统计如下:建筑楼层分布式AP数量放装式AP1分4功分器数量天线数量备注实验楼1228实训楼长约40m,建议每层部署2个AP,通过馈线将天线部署到
39、每个教室222732284227实验楼12127多媒体,阅览室较大,单独配置一台放装型AP2331032228综合楼101213142楼70个用户,配置4个AP31014431394楼70个用户,PEIZHI 4个AP教学楼(白色)1226教学楼面积较大,建议每层配置2个AP22263226教学楼(粉色)1226教学楼面积较大,建议每层配置2个AP222632264226数量合计34834114无线AP的部署分为室内放装型及室内分布式两种,室内放装型自带天线,可以部署在较大的房间内或用户比较密集的区域,提高无线接收效果,如多媒体室,阅览室等。室内分布式AP可配置功分器,提供多个天线分别接入到每
40、个房间,提高覆盖范围,避免由于墙体过厚导致的无线衰减问题。本次设计使用了8个放装型AP,部署在多媒体室,阅览室及综合楼的人员密集区域。使用了34个分布式AP和114根天线,覆盖到每一个教室及主要办公室,提高完善的网络覆盖范围。在注意覆盖范围的同时需考虑覆盖的用户总数,由于AP的处理能力有限,所以建议每个AP下下挂的用户数量不超过25个,在一些楼层用户较多的区域,需考虑用户数上限的问题,如综合楼的2楼和4楼,用户数超过70,这些楼层建议配置4个AP进行覆盖,以达到较好的用户体验2.3.4 无线局域网拓扑本次设计采用集中式构架,通过AC统一对下级的AP进行管理和维护,AC采用旁挂的方式进行组网,通
41、过本地转发的方式进行数据传输。本次无线的拓扑结构如下:本次方案采用瘦AP方式实现大楼的无线覆盖,便于进行集中配置和统一管理,在实际工作中,无线控制器AC连接到核心交换机,与eSight网管系统的WLAN管理模块协同工作,实现对全网AP的自动配置下发、射频管理、信道分配、安全接入控制等等无线网络配置和运维管理功能。本次配置采用AC+AP集中式管理的无线组网方案,各大楼根据工勘结果部署相应AP,通过千兆电口连接到相应楼层无线接入交换机,无线接入交换机提供POE功能,通过POE技术对AP供电,简化布线。无线POE交换机通过两条千兆链路连接到核心交换机。核心交换机旁挂一台无线控制器AC,通过千兆电口互
42、联,采用集中式组网方式对无线AP进行统一管理和控制,推荐配置如下:序号设备类别设备型号数量备注1盒式ACAC6605164个AP许可2室内放装型AP(11bgn)AP6010SN8POE供电3室内分布式APAP6310SN344全向天线1145POE交换机S5700-28C-PWR-SI5每楼宇一台2.3.5 无线VLAN规划VLAN规划的原则:l 管理VLAN和业务VLAN分离l 业务VLAN应根据实际业务需要与SSID匹配映射关系(1:1/1:N/N:1/N:N)管理VLAN对于瘦AP,管理VLAN是指AC与AP之间控制报文所带VLAN。控制报文包括AP上线时的报文(DHCP等)以及建立C
43、APWAP控制隧道后的控制隧道报文。由于在实际应用中,AC需要按VLAN选择DHCP SERVER,或RELAY还是透传,因此管理VLAN和业务VLAN必须分离,以便满足不同DHCP应用的需求。如果AC/AP间经过三层转发,中间三层设备必须支持DHCP RELAY;同样要注意区分管理VLAN和业务VLAN,使之采用不同的RELAY-GATEWAY,以便AC区别不同DHCP请求。业务VLAN业务VLAN主要用于区分不同的业务类型或用户群体,在WLAN中SSID也同样可以承担相应的工作。因此,在业务VLAN的规划中必须综合考虑VLAN与SSID的映射关系。业务VLAN与SSID有如下四种映射关系:
44、l SSID:VLAN=1:1部署:例如对北京市西城区“金融大街”和“中央音乐学院”进行WLAN覆盖,都是北京联通WLAN网络的覆盖区域, 所以希望用户搜索到的WLAN只有一个SSID,如“北京联通”;VLAN也只需要规划一个,如1000;l SSID:VLAN=1:N部署:虽然北京市西城区“金融大街”和“中央音乐学院”都是北京联通WLAN网络的覆盖区域,用户搜索到的WLAN只有一个SSID “北京联通”,但希望规划不同的VLAN标识不同的场点,如1000、1001,这个场景中,SSID:VLAN1:N;l SSID:VLAN=N:1部署:虽然都是北京联通的覆盖区域,但希望用户搜索到WLAN就
45、知道自己在什么地方了,因此需要两个SSID,如“金融大街”和“中央音乐学院”,由于都是北京联通的场所,VLAN只想规划一个,如1000;SSID:VLAN=N:N部署:虽然都是北京联通覆盖区域,但希望用户搜索到WLAN就知道自己在什么地方了,并希望通过不同的VLAN精细控制流量,因此需要两个SSID,如“金融大街”和“中央音乐学院”, 同时VLAN也要规划两个,如1000和10014. 无线网络应用无线网扩展了有线网的覆盖范围,将网络应用延伸到学生向往的空间。这意味着可以在任何便于工作的地方,如在报告厅、自助餐厅、实验室、办公室以及在校园休闲场地享受学习的自由和灵活性。学生在上述无线覆盖的区域可以收发电子邮件,点播流媒体节目,学习Web课程,利用WebQuest探讨问题,利用MSN或QICQ与他人(同学、老师或家人)协作交流思想和学习等。这要归功于可以传输实时信息的各种手持终端和笔记本电脑。在其他行业中,无线局域网
