高校無線網(wǎng)建設方案

1、附件2學院無線網(wǎng)絡建設方案1 校園網(wǎng)絡建設背景目前校園網(wǎng)為學校和電信運營商共同運營，電信運營商提供宿舍網(wǎng)維護、出口帶寬。目前整個校園網(wǎng)有線部分已經(jīng)比較完善，但是由于建設年限比較舊，建議可以逐步進行替換，將原有百兆更換為千兆接入到桌面。校園網(wǎng)有線接入認證NAS均在接入交換機，每臺接入交換機都需要管理人員進行配置，網(wǎng)絡面臨了設備管理難得問題，需要進行將整體網(wǎng)絡扁平集中認證。校園內(nèi)部也有移動WIFI，但是移動WIFI單獨獨立于校園網(wǎng)，學生移動終端使用原來越頻繁，學校無法監(jiān)控到學生日常上網(wǎng)行為。只有有線網(wǎng)絡的校園網(wǎng)很難以應對日益增長的移動終端使用需求。2 校園網(wǎng)絡總體目標校園網(wǎng)絡項目總體目標如下：l

2、利用先進的無線網(wǎng)絡技術(shù)進一步擴展校園網(wǎng)的覆蓋范圍，使全校師生能夠隨時隨地、方便高效地使用校園網(wǎng)絡；l 滿足校內(nèi)日益增長的移動終端如PDA、手機、平板電腦對互聯(lián)網(wǎng)訪問的需求；l 改善現(xiàn)有有線網(wǎng)絡的網(wǎng)絡體驗；l 提升校園網(wǎng)絡環(huán)境，提高管理水平和效率，推動學校信息化建設，服務無所不在且安全優(yōu)質(zhì)，建立校企合作的運營模式，實現(xiàn)校企雙方的雙贏戰(zhàn)略；2.1 項目建設目標l 側(cè)重實際應用，覆蓋校園內(nèi)大部分區(qū)域（包括宿舍樓、教學樓），為教學和學習生活提供切實可用的無線網(wǎng)絡環(huán)境；l 采取通行的網(wǎng)絡協(xié)議標準：目前無線局域網(wǎng)普遍采用802.11系列標準，因此校園無線局域網(wǎng)將主要支持802.11n/802.11ac標準

3、，從而提供可供實際應用的相對穩(wěn)定的網(wǎng)絡通訊服務；l 全面的無線網(wǎng)絡支撐系統(tǒng)（包括無線網(wǎng)管、無線安全，無線計費等），以避免無線設備及軟件之間的不兼容性或網(wǎng)絡管理的混亂而導致的問題；l 保證網(wǎng)絡訪問的安全性，支持802.1x、web-portal、MAC快速認證、pppoe認證等方式；并且此次需要實現(xiàn)有線網(wǎng)和無線網(wǎng)的統(tǒng)一認證；l 集安全、管控、優(yōu)化于一體的網(wǎng)絡出口解決策略；l 采用扁平化的網(wǎng)絡構(gòu)架、方便管理和擴展，迎合未來網(wǎng)絡的發(fā)展趨勢。2.2 項目建設要求l 無線覆蓋范圍要求： 有線網(wǎng)絡無法接入的室外場所：校園內(nèi)一些場所很難實現(xiàn)網(wǎng)絡有線接入，采用無線方式可以實現(xiàn)覆蓋大范圍室外空間的無線網(wǎng)絡接入，

4、本次建設主要包括體育館、體育場、活動廣場等。 有線網(wǎng)絡使用不便或受限的室內(nèi)空間：校園內(nèi)一些室內(nèi)場所空間較大，會產(chǎn)生許多人同時接入網(wǎng)絡的需求，采用有線的方式只能提供少量接口，不能滿足要求。用無線網(wǎng)絡覆蓋來解決相當數(shù)量的移動設備同時訪問網(wǎng)絡的問題，主要包括教學樓樓、會議廳、圖書館、禮堂等； 持有大量無線終端的學生的生活場所：學校宿舍已經(jīng)部署了有線網(wǎng)絡，但是對于學生來說，使用手機、筆記本或者pad來上網(wǎng)的時間更多，這就要求對于每個宿舍都進行無線網(wǎng)絡的覆蓋，并且對于每個房間來說，無線網(wǎng)絡至少應滿足8臺以上終端的接入能力。l 安全、認證、計費和管理要求： 為了阻止沒有被授權(quán)的用戶訪問無線網(wǎng)絡，以及防止對

5、無線局域網(wǎng)數(shù)據(jù)流的非法偵聽，無線網(wǎng)絡要具有相應的安全手段，主要包括：物理地址（MAC）過濾、服務區(qū)標識符(SSID)匹配、二層隔離、portal認證等； 無線局域網(wǎng)的終端認證支持Portal認證方式和802.1X安全認證方式（支持受保護的 PEAP(Protected EAP)）， 訪問控制系統(tǒng)與認證計費系統(tǒng)相互配合實現(xiàn)終端接入認證，便于用戶的使用及維護。同時在連續(xù)覆蓋區(qū)域的認證上要充分考慮移動用戶的易用性，達到一次認證，移動使用的目的；l 校園網(wǎng)絡結(jié)構(gòu)要求： 無線接入所需布設的AP通過POE交換機接入校園網(wǎng)的核心層設備，同時辦公有線網(wǎng)絡的匯聚交換機與更換的核心設備相連，保證有線網(wǎng)絡與和無線網(wǎng)

6、絡的融合。 簡化原有網(wǎng)絡結(jié)構(gòu)：隨著無線設備的大量加入，網(wǎng)絡運維人員壓力大，沒有足夠精力維護每臺接入交換機，需要簡化現(xiàn)有三層網(wǎng)絡架構(gòu)，使接入設備配置盡可能簡單，減少運維運維人員的工作壓力。基于以上考慮骨干網(wǎng)采用扁平化網(wǎng)絡架構(gòu)，將認證網(wǎng)關(guān)上收至核心設備，使管理更加快捷高效。l 工程布線和安裝要求： 室內(nèi)部分：定好較為開闊位置，將網(wǎng)線走暗線敷設到位；掛在墻上，可利用設備本身自帶的安裝附件進行安裝；如果需要遮蔽，則需要定制非金屬安裝盒；如果是掛在天花板上，則根據(jù)天花板的情況而定，若天花板是非金屬結(jié)構(gòu)，可以固定在天花板內(nèi)。安裝過程中應充分考慮防盜問題。 室外部分：根據(jù)設備位置有兩種布線方式。如果AP設備

7、放置在樓頂或高架桿，則需要走網(wǎng)線和電源線；如果AP設備放置在室內(nèi)，天線放置在室外，則需要走天線饋線。這兩種方式饋線都需走鐵管，貼防水膠布的方式處理，安裝過程中應充分考慮防盜。 供電部分：AP的供電可采用POE方式由接入的網(wǎng)絡設備進行供電（無需本地供電）。2.3 網(wǎng)絡設計思路通過此次校園網(wǎng)的建設，提供全校無線網(wǎng)絡覆蓋，為廣大師生提供更加快速、穩(wěn)定、便利的校園網(wǎng)接入方式，讓學生和老師隨時隨地都可以訪問校園網(wǎng)，更好的為學生的學習、生活，老師的教學、辦公等提供優(yōu)質(zhì)的信息化服務，同時實現(xiàn)學校自主分區(qū)域、分時段、分權(quán)限的可控可管。對整體網(wǎng)絡有如下的整體設計思路：l 出口區(qū)域改造：出口區(qū)域改造設計出口網(wǎng)關(guān)設

8、備、流量控制設備 網(wǎng)關(guān)設備：網(wǎng)關(guān)設備除了具有強大的NAT 功能、數(shù)據(jù)轉(zhuǎn)發(fā)能力外，還需要具有多鏈路負載功能、負載保護功能等，當其中一條鏈路發(fā)生擁塞時能夠及時發(fā)現(xiàn)，并且進行智能調(diào)整； 流量控制設備：基于用戶的服務、應用等條件進行靈活的流量控制；l 核心區(qū)域改造：現(xiàn)有網(wǎng)絡核心設備已經(jīng)無法滿足網(wǎng)絡改造及擴建的需求，需要對現(xiàn)有核心設備進行更換，原有的核心設備作為有線網(wǎng)絡匯聚交換機與核心設備相連，用以利舊；為了便于后期網(wǎng)絡維護，網(wǎng)絡整體架構(gòu)采用扁平化模式，用戶網(wǎng)關(guān)上收至核心交換機，同時辦公有線網(wǎng)絡部分設備采用原有的接入設備，通過認證上收，在保留相同安全防護的前提下簡化接入交換機的配置；l 無線網(wǎng)絡改造：本

9、次無線校園涉及學生宿舍、實驗樓、辦公室、教室、體育場等，針對不同的覆蓋場景選擇不同的信號覆蓋方案，宿舍采用面板AP進行信號覆蓋，辦公室及教學樓采用X-sense系列AP進行信號覆蓋，室外區(qū)域大功率室外AP進行信號覆蓋，具體說明如下： 辦公區(qū)域：采用AP進行信號覆蓋，支持802.11a/b/g/n/ac無線標準，單AP可達到1167Mbps的共享速率，AP采用POE供電，千兆上聯(lián)至POE交換機，保證接入帶寬；l 宿舍區(qū)域：采用墻面式AP進行無線信號覆蓋，為每個房間提供雙頻雙流，最大300Mbps的單頻接入速率，l 運營管理平臺：通過部署系統(tǒng)與其它網(wǎng)絡設備協(xié)同工作實現(xiàn)網(wǎng)絡運營、增強全局安全的目的，

10、提高管理效率。通過與無線控制器的聯(lián)動實現(xiàn)基不同終端類型的身份驗證，配合日志平臺實現(xiàn)用戶實名上網(wǎng)日志記錄，配置出口設備實現(xiàn)基于用戶身份的路由選擇和帶寬控制；2.4 項目建設價值通過本次的網(wǎng)絡升級改造項目，可以為校企雙方提供如下價值點：l 為學校師生提供一個可用、好用的無線網(wǎng)絡，滿足日益增長的無線需求。l 改善學校無線網(wǎng)絡原有體驗l 建立校企合作的運營模式，實現(xiàn)雙方的共贏l 幫助學校管理維護網(wǎng)絡，提供專業(yè)的售后3 校園網(wǎng)絡方案設計3.1 方案設計原則根據(jù)上述的需求分析和部署環(huán)境的實際特點，學院的網(wǎng)絡整體規(guī)劃，需要本著以下原則進行規(guī)劃與設計：l 無縫信號覆蓋本次無線校園網(wǎng)建設采取標準的802.11a

11、c網(wǎng)絡協(xié)議標準，提供不低于600Mbps的單個AP的無線帶寬接入能力，提供高性能的無線覆蓋； 無線信號覆蓋學校的大部分區(qū)域，保證被覆蓋需求的網(wǎng)絡訪問流暢，提供數(shù)據(jù)接入業(yè)務，讓在此居住的學生能夠快捷的訪問豐富的校內(nèi)資源。同時，必須利用現(xiàn)在的學院有線資源，做到有線、無線混合組網(wǎng)，避免學生投資的浪費。l 支持多種服務基于網(wǎng)絡的未來可持續(xù)發(fā)展，無線網(wǎng)絡規(guī)劃應為未來發(fā)展多媒體、高帶寬的無線寬帶應用（如，無線語音應用、無線視頻會議應用、無線監(jiān)控、無線多媒體通信應用等）打下基礎，并提供低成本的無縫升級和先后兼容。無線系統(tǒng)需要具有IPv6協(xié)議和流量的分類轉(zhuǎn)發(fā)和管理能力。l 安全防護特性網(wǎng)絡必須具有良好的安全防

12、范措施和密碼保護技術(shù)，靈活方便的權(quán)限設定和控制機制，使系統(tǒng)具有多種有效手段，防范各種形式對網(wǎng)絡的非法入侵和內(nèi)部攻擊，以保證網(wǎng)絡的實體安全、網(wǎng)絡安全、系統(tǒng)安全和信息安全，有效地保障正常的業(yè)務活動和防止內(nèi)部信息數(shù)據(jù)不被非法竊取、篡改或泄漏。因此系統(tǒng)應分別針對不同的應用和不同的網(wǎng)絡通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機制、數(shù)據(jù)存取的權(quán)限控制等。 l 網(wǎng)絡融合兼容本次建設的無線網(wǎng)絡能夠很好的與現(xiàn)有的學院校園網(wǎng)兼容，學生無論在宿舍區(qū)域還是在教學區(qū)域都采用統(tǒng)一身份準入系統(tǒng)，實現(xiàn)對學生訪問資源的統(tǒng)一管理和認證。l 網(wǎng)絡的擴展性在網(wǎng)絡規(guī)模不斷發(fā)展的情況下，無線網(wǎng)絡應滿足在不改變主體架構(gòu)與大部分設備的前提下，

13、平滑實現(xiàn)升級和擴充，降低原有網(wǎng)絡的硬件投資，并保證擴展后的系統(tǒng)可用性與穩(wěn)定性。預留AC、AP可升級的能力，為未來無線校園網(wǎng)建設提供基礎，無線網(wǎng)絡要支持AC冗余擴展N+1的冗余備份能力；網(wǎng)絡建設過程盡量保護現(xiàn)有的軟、硬件資源，保證各部門現(xiàn)有的計算機系統(tǒng)的使用，逐步過渡，有效保護學校投資，最終形成一個統(tǒng)一的、一體化的綜合網(wǎng)絡系統(tǒng)。l 高速的數(shù)據(jù)轉(zhuǎn)發(fā)網(wǎng)絡鏈路和設備具備足夠高的數(shù)據(jù)轉(zhuǎn)發(fā)能力，保證各種信息的高質(zhì)量無阻塞傳輸；交換系統(tǒng)具有很高的交換容量與多服務支持的能力，保證網(wǎng)絡服務的質(zhì)量。l 便捷的管理平臺為了讓校園網(wǎng)能夠良性、穩(wěn)定、持續(xù)、健康的發(fā)展，對校園網(wǎng)學生進行嚴格的管理和控制，學校需要對校園網(wǎng)進行學生接入管理管理，通過對上網(wǎng)的學生進行認證，記錄上網(wǎng)學生的行為，為學校的網(wǎng)絡管理提供便利的工具。于此同時，對于本次網(wǎng)絡中所涉及的無線AP、AC、交換機等設備能夠