校园网无线网络设计方案
日期: 2019/8/25 浏览: 3 来源: 学海网收集整理 作者: 学海网
目录
1. 概述 1
2. 校园网总体架构设计 1
3. 无线网络设计 2
3.1 802.11n无线全覆盖 2
3.2 无线网络的兼容性设计 3
3.3 无线控制器的稳定性设计 3
3.4 802.11n无线的可靠性设计 4
3.5 802.11n无线的安全性设计 5
3.6 校园无线网络管理体系建设 6
1. 概述
湘星学院新校区计算机网络系统的建设目标是成为一个高起点、高标准、技术先进、功能设施国际一流的数字化校园网,成为国内乃至国际上数字化校园的典范,充分满足学院师生的工作、学习、科研等应用需求。
湘星学院的校园分为东区、南区、北区三个校区,其中东区、北区均有独立的机房。湘星学院的计算机网络系统分为校园网、智能控制专网和一卡通专网,三个网络物理隔离,其中校园网主要面向全院师生,业务为互联网访问、多媒体教学等校园网各种应用。控制网则面向安保人员,业务为全院的IP监控及智能化控制设备的联网。一卡通专网主要涉及收费结算、门禁管理、学籍管理、考勤管理等业务。
2. 校园网总体架构设计
校园网总体架构设计如下:
图1 校园网总体逻辑结构图
湘星学院新校区分为东区、南区、北区三个校区,共设2个中心机房,分别位于东区和北区。东区为五栋学生宿舍楼和一栋综合服务楼,共计约15000个信息点。南区和北区为教学科研办公区,共计约8000个信息点,南区和北区的中心机房设在北区,南区和北区楼栋交换机均通过万兆光纤链路捆绑汇接到北区中心机房。
数据中心位于北区中心机房,数据中心逻辑上分为内网数据中心、外网DMZ区、网络出口区域。内网数据中心作为数字校园建设的关键区域,必须保证数据中心网络的高可靠、高稳定、高安全。同时,随着数字化校园的建设逐步推进,需要实现校内各院系处室信息系统的互联互通,消除信息孤岛,存储设备在考虑高性能高稳定的同时,需要充分考虑存储设备可充分兼容光纤存储、IP SAN等多种存储模式。
外网DMZ区为校内外用户提供邮件、FTP、WEB等多种服务,是校外用户访问校内资源的重要区域。随着招生工作的信息化深入发展,很多考生都通过通过学校官方网站了解学校的招生计划,这让众多高校网站的挂马威胁也在最近继续增加剧增, 这些挂马网站不仅仅给浏览用户带来安全隐患。更为严重的是,黑客可以利用跨站攻击模式,获取这些大学网站服务器更高级的管理权限,进而可以“非法进入”含有学生信息的数据库,去窃取或者破坏高考招生的相关数据。因此除了部署防火墙等安全设备外,还需要对目前新型的攻击威胁进行针对性的防护。
网络出口区是全校师生访问校外资源的必经之路,随着多媒体流量的急剧增加,千兆带宽已经不能满足广大师生的实际应用需求。这一点在国内的重点高校如中山大学、暨南大学等学校体现得尤为明显,部分高校为了应对带宽的不断升级的形式,已经将INTERNET和CERNET出口链路升级到万兆,并对关键应用流量进行梳理控制,以优先满足关键应用的带宽需求。另外,教育部CNGI项目的深入建设发展和IPv6时代的到来,各高校纷纷开通了CERNET-2 的连接, 利用IPv6网络开展的科研和教学活动。湘星学院新校区校园的建设着眼于高起点、现代化、智能化的校园网建设,因此必须充分考虑未来5-10年的出口流量的迅猛增长和IPv6技术应用的广泛开展,在校园网出口部署万兆路由器和万兆流量控制设备,并要求出口设备全面支持IPv4/v6双栈。
3. 无线网络设计
湘星学院无线网络建议采用智能转发技术作为无线网络的基础技术架构,配合802.11n高速无线标准,以及向下兼容的802.11abg技术标准,打造高性能的无线网络平台。
智能转发技术是锐捷网络面向下一代无线网络的无线组网架构,完善解决大规模802.11n 无线接入点的部署情况下,核心层的无线控制器在集中式转发模式下的流量瓶颈问题。通过智能转发技术,无线接入点可具备根据不同用户、不同VLAN等方式来决定数据流量是否需要全部集中流经无线控制器。这样不仅可以保持原有的集中式转发架构下的安全和管理优势,更可以根据网络的数据实际情况将时延敏感、流量较大的数据流分离到有线网络直接处理,将管理控制报文、安全控制要求高的报文送交无线控制器处理,避免因为AP的数量众多或者是AP的负载过大而造成无线控制器的转发瓶颈,这种解决方案将非常适合湘星学院这样的大规模的802.11n无线网络环境使用。
不仅如此,在这种先进的架构,将使得湘星学院的无线网络即使面对今后的校园VoWLAN(无线语音通话)和无线视频点播等业务,也可以方便地升级和扩充,而无需淘汰现有设备,对用户的投资是极大的保护。
3.1 802.11n无线全覆盖
通过对湘星学院无线网覆盖区域的了解,锐捷网络建议在所有覆盖区域部署采用3×3MIMO技术的高性能802.11n 无线接入点,不仅能够提供6倍于802.11ag设备的连接速率,并且可以在AP发射功率相同的情况下提供比802.11ag设备高出30%-50%的覆盖范围。在3×3MIMO天线技术的支撑下,即便是采用802.11abg的无线客户端连入802.11n网络,也会获得更好的实际吞吐量和信号质量。
为了保证在高用户数下的网络访问体验,无线控制器WS-5708可以设定AP间对接入用户进行负载均衡,负载均衡的策略可以是基于AP接入的用户数量和AP的流量负载情况。当AP负载超过设定的门限值以后,对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入,如果有则AP会拒绝用户的关联请求,用户会转而接入其他负载较轻的AP。
通过负载均衡技术和高性能的AP平台,全网的802.11n将提供高速的网络访问体验。
3.2 无线网络的兼容性设计
在标准的802.11n技术标准中,2.4GHz或5GHz的频段N协议虽然可以向下兼容802.11b/g或802.11a协议,但如果802.11a/b/g用户接入到802.11n的AP上,将导致AP为了向下协商适应较低协议速率的用户,而牺牲802.11n网卡客户的速度性能,造成802.11n网卡客户的速度大幅下降,802.11n的300Mbps的优势无法得到发挥。
锐捷网络针对这一技术难题进行了相应解决方案的开发,首先,通过在AP上采用双路双频的硬件设计,将802.11a/n和802.11b/g/n从物理上隔离,并且将802.11a/n频段设置为“only n”模式,保证了一部分高速网络连接用户的需求。其次,在802.11b/g/n频段下开启兼容模式,采用优化后的“RTS/CTS”避让机制,从而实现即便是低速用户连入802.11b/g/n网络也不会大幅减低原有802.11n客户端的访问速率,为不同用户提供最佳适应性的网络访问体验。
3.3 无线控制器的稳定性设计
传统的无线控制器冗余备份的实现方式:瘦AP和无线控制器之间通过心跳握手机制来判断无线控制器的工作状态,当瘦AP发现无线控制器掉线或者宕机后,会根据在本地保存的备份无线控制器的地址,与备份无线控制器重新建立隧道连接,所以在瘦 AP和备份控制器建立成功连接之前无线用户无法收发报文。瘦AP和无线控制器之间心跳握手timeout时间一般都会很长,几秒或者几十秒,也就是说当主控制器掉线或者宕机时,瘦AP要在几十秒以后才能发现,之后瘦AP需要与备份控制器之间建立连接,至少也需要几十秒的时间,这一过程下来,对用户的感受来说会有几十秒甚至几分钟的业务中断,这是用户无法接受的。
锐捷网络无线控制器采用的冗余备份技术是在虚拟化架构下开发出来的,建议湘星学院部署中会用到2台无线控制器,这2台无线控制器将逻辑上虚拟化为一台控制器。具体实现方式为:其中一台WS5708将作为主控制器,一台将作为从控制器,无线网络初始化时,只有主控制器会接受AP的注册请求。当AP和主控制器注册并建立CAPWAP关联时,主控制器会将备份控制器的信息通告给每个 AP,AP会根据此信息和备份的控制器也建立一条虚拟CAPWAP链路,但同一时间只有与主控制器建立的CAPWAP链路处于工作状态。当主控制器异常宕机时,备份控制器和主控制器之间的心跳检测机制可以快速检测到主设备的状态,并及时通知AP进行主备用CAPWAP隧道的切换,这一过程的切换时间将保持在毫秒级别,用户的业务不会出现任何中断。
本次湘星学院无线网的AP规模近500个,属于大型规模的无线校园网。除了通过智能转发架构来保证数据转发的通畅性外,无线控制器和AP的稳定性也是网络设计中的关键。锐捷网络WS5708无线控制器是业界领先的万兆级多核架构控制器,采用先进的MIP64多核CPU处理器,提供强大处理能力的同时提供灵活的业务扩展性。即使在500台802.11n AP的满负荷运转情况下,仍能保证高校的数据转发。
3.4 802.11n无线的可靠性设计
图2 可靠性设计
通常情况下,无线控制器与AP之间采用跨三层的连接方式,AP的数据要到达无线控制器需要经过接入交换机-﹥汇聚交换机-﹥校区核心交换机-﹥主核心交换机最终到达无线控制器,现有无线控制器的冗余备份技术和AP的双上联技术只能解决上述过程中两端节点的可靠性,而对于中间的2-3级交换机上联链路却无能为力。所以,一旦汇聚交换机或分校区核心交换机的上联链路出现问题,将直接导致一栋楼、一个校区的无线网络完全瘫痪,这对于一个运营级的无线网络来说是致命的。
在无线网络的稳定性方面,除了通过N+1的控制器冗余技术来保障核心层无线控制器的高可用性外,锐捷网络智能转发架构还提供了一种在无线控制器下联链路失效(或者AP的汇聚上联链路失效)情况下,依然能保障无线网络正常运行的解决方案。
如图所示,无线网络采用集中式的认证和分布式数据转发模式,当AP上联的交换机与无线控制器的链路出现中断时,AP会在timeout时间间隔内尝试与无线控制器重新建立连接,一旦超时AP不再发送beacon帧或者响应用户的probe request请求,此时AP进入“standalone”模式。在这种模式下,已经连接在AP上的用户仍然在线,并且可以访问本地网络的资源。直到中断的链路恢复,AP重新与无线控制器建立心跳连接,无线业务恢复正常,AP重新接受新用户的关联申请。
3.5 802.11n无线的安全性设计
现行的无线网络产品大多数都采用802.11a/b/g作为无线传输协议,因为802.11a/b/g数据在传输的过程中都曝露都空中,很容易被别有用心的人截取数据包,虽然国外厂商都针对802.11a/b/g制定了一系列的安全解决方案,但总得来说并不尽人意,所以在安全方面成了我国政府和商业用户使用WLAN的一大隐患。
WAPI由我国有关部门掌握着加密的核心技术,加密技术比802.11 a/b/g更为先进,WAPI采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法,实现了设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。此外,WAPI从应用模式上分为单点式和集中式两种,可以彻底扭转目前WLAN采用多种安全机制并存且互不兼容的现状,从根本上解决安全问题和兼容性问题。所以我国强制性地要求相关商业机构执行WAPI标准能更有效地保护数据的安全。
802.11a/b/g的实现过程如下图,在安全认证过程中有诸多缺陷:
图3 802.11a/b/g的实现过程
WAPI技术在安全认证过程中有诸多优势:
图4 安全认证过程
WAPI的出现初衷是为了解决Wi-Fi的数据安全,而国家在国际公认有缺陷的技术上进行改进修正,推出适合本国需要的新的技术是国际允许的,并没有违反任何协议;因此,WAPI技术在国内得到了蓬勃的推广和发展,WAPI产业应用已覆盖了网卡、笔记本、手机、PDA、MP3、数码相机等。随着WAPI技术越来越多的被终端制造商所采用,建议湘星学院的无线网络除了注重802.11n高速度的同时,也应着重考虑无线网络的安全性和WAPI技术在未来的应用前景。
3.6 校园无线网络管理体系建设
在全校无线网络建成之后,其主体设备-无线接入点,将被大量的用于最后一百米的接入为师生提供无线接入的服务。因此,建成后的无线网络应当具备接入层网络的用户管理策略,即用户组策略。通过无线接入点对Multi-BSSID技术的支持,可以划分多个标准的802.1Q VLAN的标记,不同的用户,通过不同的SSID访问无线接入点,即可被分成不同的用户VLAN组,并对其实施不同的安全、认证、计费策略。这样既可以保障用户不会利用无线接入点非法互通,也可以使得学院用户不论是通过无线还是有线方式接入网络,都可以属于同一个VLAN,获得完全一致的访问权限。另外,为了确保类似视频会议、重要的文件下载等重要关键业务在无线网络上的稳定应用,需要在以共享为特征的无线信道带宽中,为其分配足够保障的带宽资源和优先传输。因此,必须采用无线网络专用的QoS机制,即802.11e协议。通过对该协议的支持,将使得无线接入点设备可以预知某种应用或客户的优先顺序,并进行相应的处理。
建成后的无线校园网络由成千上万台无线接入点设备组成的无死角全校区覆盖网络中,必须通过相应的全局集中管理体系,才能随时掌控这个庞大的无线网络的动态。
建立这种全局集中管理体系,需要所有无线接入点通过支持标准协议,与处于核心网的无线控制器或者无线网络管理平台形成集中管理结构,使得网络管理员可以在网络中心随时对全网的无线设备实施射频监测、运行管理、用户控制,管理员足不出户,即可全盘掌握部署于各个角落的无线网络的工作状态。
网络的意义,从广义上来说,就是人和资源之间连接桥梁。所以,作为需求发起者,每个用户就是最重要的主体。如果用户的身份不合法,那么对于整个网络的威胁是巨大的。因此,对于无线网络可信的用户认证是关键中的关键。802.1x认证以基于端口的安全认证为核心思想,在近几年的高校网络运行中经受了长期的考验,被证明是非常适合高校网络环境的认证方法。因此,全校无线网络用户身份认证方面,应当全面采用基于802.1x的AAA平台,并配合支持标准802.1x的无线接入点设备或无线控制器,可为每个无线用户提供入网身份认证机制。同时,全网认证系统应当支持跨校区的账号漫游,即应用层漫游。不论用户走到哪里,都可以完全透明的采用同样的认证方式,无需任何改变。
建成后的校园无线网络,用户在每个校区不同区域内移动,或者在不同的校区内移动,必然需要漫游技术的支持。因此,无线接入点设备和无线控制器设备应当均支持数据链路层和网络层的漫游协议,支持建立跨网段的用户漫游组,保证用户在移动漫游中,基于用户的策略随时同步,用户认证不会中断,所有漫游行为对用户端完全透明。
