高校無線網(wǎng)建設(shè)方案

1、附件2學(xué)院無線網(wǎng)絡(luò)建設(shè)方案1 校園網(wǎng)絡(luò)建設(shè)背景目前校園網(wǎng)為學(xué)校和電信運(yùn)營(yíng)商共同運(yùn)營(yíng)，電信運(yùn)營(yíng)商提供宿舍網(wǎng)維護(hù)、出口帶寬。目前整個(gè)校園網(wǎng)有線部分已經(jīng)比較完善，但是由于建設(shè)年限比較舊，建議可以逐步進(jìn)行替換，將原有百兆更換為千兆接入到桌面。校園網(wǎng)有線接入認(rèn)證NAS均在接入交換機(jī)，每臺(tái)接入交換機(jī)都需要管理人員進(jìn)行配置，網(wǎng)絡(luò)面臨了設(shè)備管理難得問題，需要進(jìn)行將整體網(wǎng)絡(luò)扁平集中認(rèn)證。校園內(nèi)部也有移動(dòng)WIFI，但是移動(dòng)WIFI單獨(dú)獨(dú)立于校園網(wǎng)，學(xué)生移動(dòng)終端使用原來越頻繁，學(xué)校無法監(jiān)控到學(xué)生日常上網(wǎng)行為。只有有線網(wǎng)絡(luò)的校園網(wǎng)很難以應(yīng)對(duì)日益增長(zhǎng)的移動(dòng)終端使用需求。2 校園網(wǎng)絡(luò)總體目標(biāo)校園網(wǎng)絡(luò)項(xiàng)目總體目標(biāo)如下：l

2、利用先進(jìn)的無線網(wǎng)絡(luò)技術(shù)進(jìn)一步擴(kuò)展校園網(wǎng)的覆蓋范圍，使全校師生能夠隨時(shí)隨地、方便高效地使用校園網(wǎng)絡(luò)；l 滿足校內(nèi)日益增長(zhǎng)的移動(dòng)終端如PDA、手機(jī)、平板電腦對(duì)互聯(lián)網(wǎng)訪問的需求；l 改善現(xiàn)有有線網(wǎng)絡(luò)的網(wǎng)絡(luò)體驗(yàn)；l 提升校園網(wǎng)絡(luò)環(huán)境，提高管理水平和效率，推動(dòng)學(xué)校信息化建設(shè)，服務(wù)無所不在且安全優(yōu)質(zhì)，建立校企合作的運(yùn)營(yíng)模式，實(shí)現(xiàn)校企雙方的雙贏戰(zhàn)略；2.1 項(xiàng)目建設(shè)目標(biāo)l 側(cè)重實(shí)際應(yīng)用，覆蓋校園內(nèi)大部分區(qū)域（包括宿舍樓、教學(xué)樓），為教學(xué)和學(xué)習(xí)生活提供切實(shí)可用的無線網(wǎng)絡(luò)環(huán)境；l 采取通行的網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)：目前無線局域網(wǎng)普遍采用802.11系列標(biāo)準(zhǔn)，因此校園無線局域網(wǎng)將主要支持802.11n/802.11ac標(biāo)準(zhǔn)

3、，從而提供可供實(shí)際應(yīng)用的相對(duì)穩(wěn)定的網(wǎng)絡(luò)通訊服務(wù)；l 全面的無線網(wǎng)絡(luò)支撐系統(tǒng)（包括無線網(wǎng)管、無線安全，無線計(jì)費(fèi)等），以避免無線設(shè)備及軟件之間的不兼容性或網(wǎng)絡(luò)管理的混亂而導(dǎo)致的問題；l 保證網(wǎng)絡(luò)訪問的安全性，支持802.1x、web-portal、MAC快速認(rèn)證、pppoe認(rèn)證等方式；并且此次需要實(shí)現(xiàn)有線網(wǎng)和無線網(wǎng)的統(tǒng)一認(rèn)證；l 集安全、管控、優(yōu)化于一體的網(wǎng)絡(luò)出口解決策略；l 采用扁平化的網(wǎng)絡(luò)構(gòu)架、方便管理和擴(kuò)展，迎合未來網(wǎng)絡(luò)的發(fā)展趨勢(shì)。2.2 項(xiàng)目建設(shè)要求l 無線覆蓋范圍要求： 有線網(wǎng)絡(luò)無法接入的室外場(chǎng)所：校園內(nèi)一些場(chǎng)所很難實(shí)現(xiàn)網(wǎng)絡(luò)有線接入，采用無線方式可以實(shí)現(xiàn)覆蓋大范圍室外空間的無線網(wǎng)絡(luò)接入，

4、本次建設(shè)主要包括體育館、體育場(chǎng)、活動(dòng)廣場(chǎng)等。 有線網(wǎng)絡(luò)使用不便或受限的室內(nèi)空間：校園內(nèi)一些室內(nèi)場(chǎng)所空間較大，會(huì)產(chǎn)生許多人同時(shí)接入網(wǎng)絡(luò)的需求，采用有線的方式只能提供少量接口，不能滿足要求。用無線網(wǎng)絡(luò)覆蓋來解決相當(dāng)數(shù)量的移動(dòng)設(shè)備同時(shí)訪問網(wǎng)絡(luò)的問題，主要包括教學(xué)樓樓、會(huì)議廳、圖書館、禮堂等； 持有大量無線終端的學(xué)生的生活場(chǎng)所：學(xué)校宿舍已經(jīng)部署了有線網(wǎng)絡(luò)，但是對(duì)于學(xué)生來說，使用手機(jī)、筆記本或者pad來上網(wǎng)的時(shí)間更多，這就要求對(duì)于每個(gè)宿舍都進(jìn)行無線網(wǎng)絡(luò)的覆蓋，并且對(duì)于每個(gè)房間來說，無線網(wǎng)絡(luò)至少應(yīng)滿足8臺(tái)以上終端的接入能力。l 安全、認(rèn)證、計(jì)費(fèi)和管理要求： 為了阻止沒有被授權(quán)的用戶訪問無線網(wǎng)絡(luò)，以及防止對(duì)

5、無線局域網(wǎng)數(shù)據(jù)流的非法偵聽，無線網(wǎng)絡(luò)要具有相應(yīng)的安全手段，主要包括：物理地址（MAC）過濾、服務(wù)區(qū)標(biāo)識(shí)符(SSID)匹配、二層隔離、portal認(rèn)證等； 無線局域網(wǎng)的終端認(rèn)證支持Portal認(rèn)證方式和802.1X安全認(rèn)證方式（支持受保護(hù)的 PEAP(Protected EAP)）， 訪問控制系統(tǒng)與認(rèn)證計(jì)費(fèi)系統(tǒng)相互配合實(shí)現(xiàn)終端接入認(rèn)證，便于用戶的使用及維護(hù)。同時(shí)在連續(xù)覆蓋區(qū)域的認(rèn)證上要充分考慮移動(dòng)用戶的易用性，達(dá)到一次認(rèn)證，移動(dòng)使用的目的；l 校園網(wǎng)絡(luò)結(jié)構(gòu)要求： 無線接入所需布設(shè)的AP通過POE交換機(jī)接入校園網(wǎng)的核心層設(shè)備，同時(shí)辦公有線網(wǎng)絡(luò)的匯聚交換機(jī)與更換的核心設(shè)備相連，保證有線網(wǎng)絡(luò)與和無線網(wǎng)

6、絡(luò)的融合。 簡(jiǎn)化原有網(wǎng)絡(luò)結(jié)構(gòu)：隨著無線設(shè)備的大量加入，網(wǎng)絡(luò)運(yùn)維人員壓力大，沒有足夠精力維護(hù)每臺(tái)接入交換機(jī)，需要簡(jiǎn)化現(xiàn)有三層網(wǎng)絡(luò)架構(gòu)，使接入設(shè)備配置盡可能簡(jiǎn)單，減少運(yùn)維運(yùn)維人員的工作壓力?；谝陨峡紤]骨干網(wǎng)采用扁平化網(wǎng)絡(luò)架構(gòu)，將認(rèn)證網(wǎng)關(guān)上收至核心設(shè)備，使管理更加快捷高效。l 工程布線和安裝要求： 室內(nèi)部分：定好較為開闊位置，將網(wǎng)線走暗線敷設(shè)到位；掛在墻上，可利用設(shè)備本身自帶的安裝附件進(jìn)行安裝；如果需要遮蔽，則需要定制非金屬安裝盒；如果是掛在天花板上，則根據(jù)天花板的情況而定，若天花板是非金屬結(jié)構(gòu)，可以固定在天花板內(nèi)。安裝過程中應(yīng)充分考慮防盜問題。 室外部分：根據(jù)設(shè)備位置有兩種布線方式。如果AP設(shè)備

7、放置在樓頂或高架桿，則需要走網(wǎng)線和電源線；如果AP設(shè)備放置在室內(nèi)，天線放置在室外，則需要走天線饋線。這兩種方式饋線都需走鐵管，貼防水膠布的方式處理，安裝過程中應(yīng)充分考慮防盜。 供電部分：AP的供電可采用POE方式由接入的網(wǎng)絡(luò)設(shè)備進(jìn)行供電（無需本地供電）。2.3 網(wǎng)絡(luò)設(shè)計(jì)思路通過此次校園網(wǎng)的建設(shè)，提供全校無線網(wǎng)絡(luò)覆蓋，為廣大師生提供更加快速、穩(wěn)定、便利的校園網(wǎng)接入方式，讓學(xué)生和老師隨時(shí)隨地都可以訪問校園網(wǎng)，更好的為學(xué)生的學(xué)習(xí)、生活，老師的教學(xué)、辦公等提供優(yōu)質(zhì)的信息化服務(wù)，同時(shí)實(shí)現(xiàn)學(xué)校自主分區(qū)域、分時(shí)段、分權(quán)限的可控可管。對(duì)整體網(wǎng)絡(luò)有如下的整體設(shè)計(jì)思路：l 出口區(qū)域改造：出口區(qū)域改造設(shè)計(jì)出口網(wǎng)關(guān)設(shè)

8、備、流量控制設(shè)備 網(wǎng)關(guān)設(shè)備：網(wǎng)關(guān)設(shè)備除了具有強(qiáng)大的NAT 功能、數(shù)據(jù)轉(zhuǎn)發(fā)能力外，還需要具有多鏈路負(fù)載功能、負(fù)載保護(hù)功能等，當(dāng)其中一條鏈路發(fā)生擁塞時(shí)能夠及時(shí)發(fā)現(xiàn)，并且進(jìn)行智能調(diào)整； 流量控制設(shè)備：基于用戶的服務(wù)、應(yīng)用等條件進(jìn)行靈活的流量控制；l 核心區(qū)域改造：現(xiàn)有網(wǎng)絡(luò)核心設(shè)備已經(jīng)無法滿足網(wǎng)絡(luò)改造及擴(kuò)建的需求，需要對(duì)現(xiàn)有核心設(shè)備進(jìn)行更換，原有的核心設(shè)備作為有線網(wǎng)絡(luò)匯聚交換機(jī)與核心設(shè)備相連，用以利舊；為了便于后期網(wǎng)絡(luò)維護(hù)，網(wǎng)絡(luò)整體架構(gòu)采用扁平化模式，用戶網(wǎng)關(guān)上收至核心交換機(jī)，同時(shí)辦公有線網(wǎng)絡(luò)部分設(shè)備采用原有的接入設(shè)備，通過認(rèn)證上收，在保留相同安全防護(hù)的前提下簡(jiǎn)化接入交換機(jī)的配置；l 無線網(wǎng)絡(luò)改造：本

9、次無線校園涉及學(xué)生宿舍、實(shí)驗(yàn)樓、辦公室、教室、體育場(chǎng)等，針對(duì)不同的覆蓋場(chǎng)景選擇不同的信號(hào)覆蓋方案，宿舍采用面板AP進(jìn)行信號(hào)覆蓋，辦公室及教學(xué)樓采用X-sense系列AP進(jìn)行信號(hào)覆蓋，室外區(qū)域大功率室外AP進(jìn)行信號(hào)覆蓋，具體說明如下： 辦公區(qū)域：采用AP進(jìn)行信號(hào)覆蓋，支持802.11a/b/g/n/ac無線標(biāo)準(zhǔn)，單AP可達(dá)到1167Mbps的共享速率，AP采用POE供電，千兆上聯(lián)至POE交換機(jī)，保證接入帶寬；l 宿舍區(qū)域：采用墻面式AP進(jìn)行無線信號(hào)覆蓋，為每個(gè)房間提供雙頻雙流，最大300Mbps的單頻接入速率，l 運(yùn)營(yíng)管理平臺(tái)：通過部署系統(tǒng)與其它網(wǎng)絡(luò)設(shè)備協(xié)同工作實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)、增強(qiáng)全局安全的目的，

10、提高管理效率。通過與無線控制器的聯(lián)動(dòng)實(shí)現(xiàn)基不同終端類型的身份驗(yàn)證，配合日志平臺(tái)實(shí)現(xiàn)用戶實(shí)名上網(wǎng)日志記錄，配置出口設(shè)備實(shí)現(xiàn)基于用戶身份的路由選擇和帶寬控制；2.4 項(xiàng)目建設(shè)價(jià)值通過本次的網(wǎng)絡(luò)升級(jí)改造項(xiàng)目，可以為校企雙方提供如下價(jià)值點(diǎn)：l 為學(xué)校師生提供一個(gè)可用、好用的無線網(wǎng)絡(luò)，滿足日益增長(zhǎng)的無線需求。l 改善學(xué)校無線網(wǎng)絡(luò)原有體驗(yàn)l 建立校企合作的運(yùn)營(yíng)模式，實(shí)現(xiàn)雙方的共贏l 幫助學(xué)校管理維護(hù)網(wǎng)絡(luò)，提供專業(yè)的售后3 校園網(wǎng)絡(luò)方案設(shè)計(jì)3.1 方案設(shè)計(jì)原則根據(jù)上述的需求分析和部署環(huán)境的實(shí)際特點(diǎn)，學(xué)院的網(wǎng)絡(luò)整體規(guī)劃，需要本著以下原則進(jìn)行規(guī)劃與設(shè)計(jì)：l 無縫信號(hào)覆蓋本次無線校園網(wǎng)建設(shè)采取標(biāo)準(zhǔn)的802.11a

11、c網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)，提供不低于600Mbps的單個(gè)AP的無線帶寬接入能力，提供高性能的無線覆蓋； 無線信號(hào)覆蓋學(xué)校的大部分區(qū)域，保證被覆蓋需求的網(wǎng)絡(luò)訪問流暢，提供數(shù)據(jù)接入業(yè)務(wù)，讓在此居住的學(xué)生能夠快捷的訪問豐富的校內(nèi)資源。同時(shí)，必須利用現(xiàn)在的學(xué)院有線資源，做到有線、無線混合組網(wǎng)，避免學(xué)生投資的浪費(fèi)。l 支持多種服務(wù)基于網(wǎng)絡(luò)的未來可持續(xù)發(fā)展，無線網(wǎng)絡(luò)規(guī)劃應(yīng)為未來發(fā)展多媒體、高帶寬的無線寬帶應(yīng)用（如，無線語音應(yīng)用、無線視頻會(huì)議應(yīng)用、無線監(jiān)控、無線多媒體通信應(yīng)用等）打下基礎(chǔ)，并提供低成本的無縫升級(jí)和先后兼容。無線系統(tǒng)需要具有IPv6協(xié)議和流量的分類轉(zhuǎn)發(fā)和管理能力。l 安全防護(hù)特性網(wǎng)絡(luò)必須具有良好的安全防

12、范措施和密碼保護(hù)技術(shù)，靈活方便的權(quán)限設(shè)定和控制機(jī)制，使系統(tǒng)具有多種有效手段，防范各種形式對(duì)網(wǎng)絡(luò)的非法入侵和內(nèi)部攻擊，以保證網(wǎng)絡(luò)的實(shí)體安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和信息安全，有效地保障正常的業(yè)務(wù)活動(dòng)和防止內(nèi)部信息數(shù)據(jù)不被非法竊取、篡改或泄漏。因此系統(tǒng)應(yīng)分別針對(duì)不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等。 l 網(wǎng)絡(luò)融合兼容本次建設(shè)的無線網(wǎng)絡(luò)能夠很好的與現(xiàn)有的學(xué)院校園網(wǎng)兼容，學(xué)生無論在宿舍區(qū)域還是在教學(xué)區(qū)域都采用統(tǒng)一身份準(zhǔn)入系統(tǒng)，實(shí)現(xiàn)對(duì)學(xué)生訪問資源的統(tǒng)一管理和認(rèn)證。l 網(wǎng)絡(luò)的擴(kuò)展性在網(wǎng)絡(luò)規(guī)模不斷發(fā)展的情況下，無線網(wǎng)絡(luò)應(yīng)滿足在不改變主體架構(gòu)與大部分設(shè)備的前提下，

13、平滑實(shí)現(xiàn)升級(jí)和擴(kuò)充，降低原有網(wǎng)絡(luò)的硬件投資，并保證擴(kuò)展后的系統(tǒng)可用性與穩(wěn)定性。預(yù)留AC、AP可升級(jí)的能力，為未來無線校園網(wǎng)建設(shè)提供基礎(chǔ)，無線網(wǎng)絡(luò)要支持AC冗余擴(kuò)展N+1的冗余備份能力；網(wǎng)絡(luò)建設(shè)過程盡量保護(hù)現(xiàn)有的軟、硬件資源，保證各部門現(xiàn)有的計(jì)算機(jī)系統(tǒng)的使用，逐步過渡，有效保護(hù)學(xué)校投資，最終形成一個(gè)統(tǒng)一的、一體化的綜合網(wǎng)絡(luò)系統(tǒng)。l 高速的數(shù)據(jù)轉(zhuǎn)發(fā)網(wǎng)絡(luò)鏈路和設(shè)備具備足夠高的數(shù)據(jù)轉(zhuǎn)發(fā)能力，保證各種信息的高質(zhì)量無阻塞傳輸；交換系統(tǒng)具有很高的交換容量與多服務(wù)支持的能力，保證網(wǎng)絡(luò)服務(wù)的質(zhì)量。l 便捷的管理平臺(tái)為了讓校園網(wǎng)能夠良性、穩(wěn)定、持續(xù)、健康的發(fā)展，對(duì)校園網(wǎng)學(xué)生進(jìn)行嚴(yán)格的管理和控制，學(xué)校需要對(duì)校園網(wǎng)進(jìn)行學(xué)生接入管理管理，通過對(duì)上網(wǎng)的學(xué)生進(jìn)行認(rèn)證，記錄上網(wǎng)學(xué)生的行為，為學(xué)校的網(wǎng)絡(luò)管理提供便利的工具。于此同時(shí)，對(duì)于本次網(wǎng)絡(luò)中所涉及的無線AP、AC、交換機(jī)等設(shè)備能夠