.附件2学院无线网络建设方案目前校园网为学校和电信运营商共同运营,电信运营商提供宿舍网维护、出口带宽。
目前整个校园网有线部分已经比较完善,但是由于建设年限比较旧,建议可以逐步进行替换,将原有百兆更换为千兆接入到桌面。
校园网有线接入认证NAS均在接入交换机,每台接入交换机都需要管理人员进行配置,网络面临了设备管理难得问题,需要进行将整体网络扁平集中认证。
校园内部也有移动WIFI,但是移动WIFI单独独立于校园网,学生移动终端使用原来越频繁,学校无法监控到学生日常上网行为。
只有有线网络的校园网很难以应对日益增长的移动终端使用需求。
校园网络项目总体目标如下:利用先进的无线网络技术进一步扩展校园网的覆盖范围,使全校师生能够随时随地、方便高效地使用校园网络;满足校内日益增长的移动终端如PDA、手机、平板电脑对互联网访问的需求;改善现有有线网络的网络体验;提升校园网络环境,提高管理水平和效率,推动学校信息化建设,服务无所不在且安全优质,建立校企合作的运营模式,实现校企双方的双赢战略;2.1 项目建设目标侧重实际应用,覆盖校园内大部分区域(包括宿舍楼、教学楼),为教学和学习生活提供切实可用的无线网络环境;采取通行的网络协议标准:目前无线局域网普遍采用802.11系列标准,因此校园无线局域网将主要支持802.11n/802.11ac标准,从而提供可供实际应用的相对稳定的网络通讯服务;全面的无线网络支撑系统(包括无线网管、无线安全,无线计费等),以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题;保证网络访问的安全性,支持802.1x、web-portal、MAC快速认证、pppoe认证等方式;并且此次需要实现有线网和无线网的统一认证;集安全、管控、优化于一体的网络出口解决策略;采用扁平化的网络构架、方便管理和扩展,迎合未来网络的发展趋势。
2.2 项目建设要求无线覆盖范围要求:✧有线网络无法接入的室外场所:校园内一些场所很难实现网络有线接入,采用无线方式可以实现覆盖大范围室外空间的无线网络接入,本次建设主要包括体育馆、体育场、活动广场等。
✧有线网络使用不便或受限的室内空间:校园内一些室内场所空间较大,会产生许多人同时接入网络的需求,采用有线的方式只能提供少量接口,不能满足要求。
用无线网络覆盖来解决相当数量的移动设备同时访问网络的问题,主要包括教学楼楼、会议厅、图书馆、礼堂等;✧持有大量无线终端的学生的生活场所:学校宿舍已经部署了有线网络,但是对于学生来说,使用手机、笔记本或者pad来上网的时间更多,这就要求对于每个宿舍都进行无线网络的覆盖,并且对于每个房间来说,无线网络至少应满足8台以上终端的接入能力。
安全、认证、计费和管理要求:✧为了阻止没有被授权的用户访问无线网络,以及防止对无线局域网数据流的非法侦听,无线网络要具有相应的安全手段,主要包括:物理地址(MAC)过滤、服务区标识符(SSID)匹配、二层隔离、portal认证等;✧无线局域网的终端认证支持Portal认证方式和802.1X安全认证方式(支持受保护的PEAP(Protected EAP)),访问控制系统与认证计费系统相互配合实现终端接入认证,便于用户的使用及维护。
同时在连续覆盖区域的认证上要充分考虑移动用户的易用性,达到一次认证,移动使用的目的;校园网络结构要求:✧无线接入所需布设的AP通过POE交换机接入校园网的核心层设备,同时办公有线网络的汇聚交换机与更换的核心设备相连,保证有线网络与和无线网络的融合。
✧简化原有网络结构:随着无线设备的大量加入,网络运维人员压力大,没有足够精力维护每台接入交换机,需要简化现有三层网络架构,使接入设备配置尽可能简单,减少运维运维人员的工作压力。
基于以上考虑骨干网采用扁平化网络架构,将认证网关上收至核心设备,使管理更加快捷高效。
工程布线和安装要求:✧室内部分:定好较为开阔位置,将网线走暗线敷设到位;挂在墙上,可利用设备本身自带的安装附件进行安装;如果需要遮蔽,则需要定制非金属安装盒;如果是挂在天花板上,则根据天花板的情况而定,若天花板是非金属结构,可以固定在天花板内。
安装过程中应充分考虑防盗问题。
✧室外部分:根据设备位置有两种布线方式。
如果AP设备放置在楼顶或高架杆,则需要走网线和电源线;如果AP设备放置在室内,天线放置在室外,则需要走天线馈线。
这两种方式馈线都需走铁管,贴防水胶布的方式处理,安装过程中应充分考虑防盗。
✧供电部分:AP的供电可采用POE方式由接入的网络设备进行供电(无需本地供电)。
2.3 网络设计思路通过此次校园网的建设,提供全校无线网络覆盖,为广大师生提供更加快速、稳定、便利的校园网接入方式,让学生和老师随时随地都可以访问校园网,更好的为学生的学习、生活,老师的教学、办公等提供优质的信息化服务,同时实现学校自主分区域、分时段、分权限的可控可管。
对整体网络有如下的整体设计思路:出口区域改造:出口区域改造设计出口网关设备、流量控制设备✧网关设备:网关设备除了具有强大的NAT 功能、数据转发能力外,还需要具有多链路负载功能、负载保护功能等,当其中一条链路发生拥塞时能够及时发现,并且进行智能调整;✧流量控制设备:基于用户的服务、应用等条件进行灵活的流量控制;核心区域改造:现有网络核心设备已经无法满足网络改造及扩建的需求,需要对现有核心设备进行更换,原有的核心设备作为有线网络汇聚交换机与核心设备相连,用以利旧;为了便于后期网络维护,网络整体架构采用扁平化模式,用户网关上收至核心交换机,同时办公有线网络部分设备采用原有的接入设备,通过认证上收,在保留相同安全防护的前提下简化接入交换机的配置;无线网络改造:本次无线校园涉及学生宿舍、实验楼、办公室、教室、体育场等,针对不同的覆盖场景选择不同的信号覆盖方案,宿舍采用面板AP进行信号覆盖,办公室及教学楼采用X-sense系列AP进行信号覆盖,室外区域大功率室外AP进行信号覆盖,具体说明如下:办公区域:采用AP进行信号覆盖,支持802.11a/b/g/n/ac无线标准,单AP可达到1167Mbps的共享速率,AP采用POE供电,千兆上联至POE交换机,保证接入带宽;宿舍区域:采用墙面式AP进行无线信号覆盖,为每个房间提供双频双流,最大300Mbps的单频接入速率,运营管理平台:通过部署系统与其它网络设备协同工作实现网络运营、增强全局安全的目的,提高管理效率。
通过与无线控制器的联动实现基不同终端类型的身份验证,配合日志平台实现用户实名上网日志记录,配置出口设备实现基于用户身份的路由选择和带宽控制;2.4 项目建设价值通过本次的网络升级改造项目,可以为校企双方提供如下价值点:为学校师生提供一个可用、好用的无线网络,满足日益增长的无线需求。
改善学校无线网络原有体验建立校企合作的运营模式,实现双方的共赢帮助学校管理维护网络,提供专业的售后3 校园网络方案设计3.1 方案设计原则根据上述的需求分析和部署环境的实际特点,学院的网络整体规划,需要本着以下原则进行规划与设计:无缝信号覆盖本次无线校园网建设采取标准的802.11ac网络协议标准,提供不低于600Mbps的单个AP的无线带宽接入能力,提供高性能的无线覆盖;无线信号覆盖学校的大部分区域,保证被覆盖需求的网络访问流畅,提供数据接入业务,让在此居住的学生能够快捷的访问丰富的校内资源。
同时,必须利用现在的学院有线资源,做到有线、无线混合组网,避免学生投资的浪费。
支持多种服务基于网络的未来可持续发展,无线网络规划应为未来发展多媒体、高带宽的无线宽带应用(如,无线语音应用、无线视频会议应用、无线监控、无线多媒体通信应用等)打下基础,并提供低成本的无缝升级和先后兼容。
无线系统需要具有IPv6协议和流量的分类转发和管理能力。
安全防护特性网络必须具有良好的安全防范措施和密码保护技术,灵活方便的权限设定和控制机制,使系统具有多种有效手段,防范各种形式对网络的非法入侵和内部攻击,以保证网络的实体安全、网络安全、系统安全和信息安全,有效地保障正常的业务活动和防止内部信息数据不被非法窃取、篡改或泄漏。
因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。
网络融合兼容本次建设的无线网络能够很好的与现有的学院校园网兼容,学生无论在宿舍区域还是在教学区域都采用统一身份准入系统,实现对学生访问资源的统一管理和认证。
网络的扩展性在网络规模不断发展的情况下,无线网络应满足在不改变主体架构与大部分设备的前提下,平滑实现升级和扩充,降低原有网络的硬件投资,并保证扩展后的系统可用性与稳定性。
预留AC、AP可升级的能力,为未来无线校园网建设提供基础,无线网络要支持AC冗余扩展N+1的冗余备份能力;网络建设过程尽量保护现有的软、硬件资源,保证各部门现有的计算机系统的使用,逐步过渡,有效保护学校投资,最终形成一个统一的、一体化的综合网络系统。
高速的数据转发网络链路和设备具备足够高的数据转发能力,保证各种信息的高质量无阻塞传输;交换系统具有很高的交换容量与多服务支持的能力,保证网络服务的质量。
便捷的管理平台为了让校园网能够良性、稳定、持续、健康的发展,对校园网学生进行严格的管理和控制,学校需要对校园网进行学生接入管理管理,通过对上网的学生进行认证,记录上网学生的行为,为学校的网络管理提供便利的工具。
于此同时,对于本次网络中所涉及的无线AP、AC、交换机等设备能够实现无线、有线统一的管理,确保各设备运行在最佳状态,为学生公寓内的学生提供可靠的网络接入服务。
规范化标准化网络体系结构、通信协议及软件的设计和开发必须按照国家或行业标准进行,要模块化、结构化、数据要代码化,以便于信息共享和交流及将来的维护。
在系统设计和软件开发时,应用程序必须规范化、模块化和可复用。
