xxxx大学无线网络系统设计方案

xxxx大学无线网络系统设计方案内容摘要：

需求 ARUBA Networks 10 of 77 第 3章 . 无线网络系统 设计 概述 . 无线 网络设计原则 高性能。 无线 网络系统能够适应今后高带宽的要求，满足日益增长的业务量需求，这些需求不但包括 今后巨大的业务数据量，同时也包括音频、视频等的需求。 高可用性。 无线 网络系统具有较高的可靠性和可用性，具有强大的容错功能，以保证各种应用的正常运行。 系统具备在线故障恢复能力，关键设备、模块、线路能做到实时备份、均衡负载和自动故障切换。 可管理性。 可以对网络进行在线监控，随时了解 无线 网络的 ―健康状态 ‖，快速定位并排除故障，根据需要优化网络，更合理地对网络进行配置及资源分配，提高网络的利用率和性能。 安全性。 无线 网络系统提供多种有效的安全控制机制，以防止机密泄露和影响正常工作。 无线 网络系统应提供一套 完整的安全防范措施，能够有效地防止系统外部人员的非法侵入。 可扩展性。 应用的不断发展要求网络在性能、协议、网络拓扑及各种业务等方面具备很好的可扩展性。 在 无线 网络设计及选择设备时应完全满足目前的应用需求，同时充分考虑今后较长时间内应用发展的需要，网络系统应能方便地升级。 开放性。 无线 网络系统应采用国际标准。 无线 网络体系结构与系统应用相互独立，支持各种通讯协议，各种数据库和客户机 /服务器应用，与现有的 LAN网络系统无缝地集成。 经济性和实用性。 完全从目前的应用需求出发，设计既能够满足目前的应用需求又 能面向未来的应用需求升级的网络系统方案，同时又要保证提供服务时的经济性。 在满足系统功能要求的前提下，尽量降低建设成本，考虑今后升级时设备的可持续使用，保护用户投资。 ARUBA Networks 11 of 77 . XXX 大学 无线局域网 的 整体设计 定位 ARUBA 认为 XXXX 无线校园网建设应当 “ 面向未来，统一规划，分步实施 ” ， XXXX 紫金港校区 当前正处于大规模的基本建设中，无线校园网作为一种重要的网络基础设施，必然也是各校区基本建设的重要组成之一。 无线网络是学校高校信息化建设的需要；要以下一代互联网的标准来建设校园无线网络，使无线网络成为下一代校园网的有机组 成部分；无线网络能够支持整个高校的教育和科研的创新。 无线校园网要为师生服务而建的，一定要和教学改革创新、科研创新紧密结合， 本着 满足未来 5－ 10 年无线迅速增长 和安全 的需求 出发 ， 应当 具备以下功能： 第 一， 无所不在的无线接入校园网  提供真正的移动性 ， 无线校园网吸引人的一个特点是移动性 ——用户可以在 室内室外， 教室、办公室、实验室、图书馆之间自由移动并和网络保持持续连接。 允许用户在校园的覆盖区内无缝漫游，无需频繁地登陆和退出。 高速无线的方式覆盖整个校园，让学校师生体会到无线局域网给教师的教学和学生的学习带来的好处 和 便利  大规模部署校园 无线网络还可以作为有线网络的链路备份，在有线网络发生故障或者拥塞的情况下负担部分网络流量。  无线网络可针对每个用户设定带宽，根据不同的级别设定不同的带宽，在某用户有病毒的情况下，也不影响此 AP 下的其他用户的使用。 第 二 ， 安全可靠无线网络  无线网络更需要注意 安全性， 以为整个无线网络暴露在空气之中， 都易受大量安全风险和安全问题的困扰。 因此，建设无线网络一定要注重无线侧安全的建设与保护 ，其中包括： 1. 来自 无线 网络用户的进攻； 2. 未认证的用户获得存取权； 3. 来自外部的窃听 ， 线专用工具的攻击。 建成的无线网络很好地融合进 原有网络安全解决方案体系中，并根据无线网络的安全技术特征，补充 具有多层次的安全保护措施，以满足用户身份鉴别、访问控制、可稽核性和保密性等要求。 第 三 ， 无线网络的实时管理  统一方便容易管理管理。 校园的 IT 网络管理部门需要管理上 万 个学生、ARUBA Networks 12 of 77 员工以及行政人员。 因此 尽可能 通过网管工具开展配置和网络监控工作，迅速发现和解决问题。 无线网络 管理软件 应能统一管理室内室外的无线 AP， 可 管理数以 万 计的用户，且能合理分配各种网络资源。 对无线网络攻击进行管理和压制。  从设备管理角度来说，需 要对各种无线设备的放置地点、配置参数等信息进行详细记录与管理  从安全管理角度来说，需要具备发现和快速处理假冒 AP 与无线 DOS攻击的方法和能力。  从性能管理的角度来说，网管能 充分了解和分析无线网络的一些具体性能指标，如 Channel 信号强度 /质量、网络实时性能－吞吐量、各 AP 的流量等。 第 四 ， 提供 便捷的无线 网络 应用环境  无需配置客户设备。 当 用户试图连接到网络时，无线网络自动分析用户的网络配置，并提供连接，使用户直接连到网络而无需安装特殊的软件并更改自己的网络设置。 自动化的服务减少了 IT 用户和管理员的 时间。  无线网络还能兼容全网的设备，包括 PC 机 , Macintoshes, 袖珍 PCs, 掌上电脑 PDA 等教育网的多种多样的网络设备，具备和各种设备协同工作的能力。  多种服务的支持： 无线网络的发展与最初有线网络的发展一样，需要有一些关键性的应用在网络上运行，应用才是无线网络发展的最大动力。 基于校园网络的未来可持续发展，无线产品均具备可适应未来发展校园无线宽带应用（如无线语音应用、无线视频会议应用、无线多媒体通信应用等）的需要，并提供低成本的无缝升级和前后兼容。 第 五， 计费可靠准确  无线网络 应 可和 计费系统 联动， 既要满足园区网计费的需求，符合安全标准，同时又要兼顾无线校园网移动、灵活、漫游等特点，满足移动用户在 整个校园网 内的无线上网需求，同时又是可控制、可管理的。 解决方案要集成现有的校园网计费系统及基于 web 认证的控制功能，实现ARUBA Networks 13 of 77 到终端接入端口的控制能力和分别按照国内、国际流量进行计费的能力。 . XXXX 无线局域网 整体 架构 无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。 第一代无线局域网技术采用单纯的 AP 实现无线接入外，基本上没有其它功能。 第二代无线局域网技术，采用 AC＋智 能 AP 构架， AC 两者实质均为二层设备， AP 实现接入、 AC 实现汇聚和认证功能，有的厂商的 AC 实现了二层网络交换，具有基本的网络的控制和用户的管理，如： WEB 认证、流量的控制、访问的控制等；支持 VLAN、 VPN、 WPA 等基本的安全管理，它们无法实现对无线电磁波层面的调控和优化。 由于这一代技术的 AP 储存了大量的网络和安全的配置，包括加密的钥匙，Radius client 的安全密钥等，而 AP 又是分散在建筑物中的各个位置，一旦 AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。 另外由于 AC 或无线网关的硬件多 数是基于 Pentium架构的，所以当用户接入数量增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。 ARUBA Networks 14 of 77 第三代无线局域网技术采用无线交换网络架构（以 ARUBA 为代表），实现了基于无线网络交换机，以 AP 为单元交换的无线网络系统， ARUBA 是采用独立的无线网络交换机实现的。 作为第三代的 ARUBA 无线系统采用了 Wireless Switch＋ AP 构架，将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现，同时加入了许多重要新功能，诸如无线网管、 AP 间自适应、无线安全管理、 RF 监测、无缝漫 游以及 QoS 保证等。 对于 未来整个 XXXX 无线局域网覆盖的需求，本方案建议采用 ARUBA 的全系列 WLAN 产品 （室内＋室外＋ MESH） ，采用 集中式、可管理架构的无线局ARUBA Networks 15 of 77 域网解决方案来实现 未来校园的室内 /室外的全 无线 覆盖 的部署。 管理一个具有规模的无线局域网（ 几百颗 AP，未来上千颗 ）是一件非常头痛的事情。 从 RF 覆盖面，带宽，用户的认证，以及接入的安全都要考虑。 由于传统的无线局域网是单纯基于 AP，因此对于无线网络的管理，其大量工作是要在每个 AP 上进行设置和更改。 其工作量在有一定数量 AP 的无线网里是非常大和 烦琐的，而且无线局域网是一个整体系统， AP 之间必须互协调工作，单独改变一个 AP 参数和配置会引起 AP 之间的无线电波干扰，用户漫游重认证和授权也可能会产生问题。 ARUBA 系统具有非常强的无线局域网集中管理功能，通过无线交换机Master Switch 和 Local Switch 管理模式管理整个网络，网管人员只需在 Master无线交换机就可开通、管理、维护所有 AP 设备以及移动终端，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。 . 安全保障 的无线网络的重要性 ARUBA 从 网络 设计者的角度来看， 对于 XXXX 大规模部署无线网络，必ARUBA Networks 16 of 77 须对无线网络的安全性加以重视， ARUBA 建议从以下几方面 做到全方位的安全保证：  集中的安全管理 ARUBA 无线系统的安全管理是将防火墙、 VPN、安全认证、防病毒、无线入侵监测 IDS以及 RF 电磁波管理等多项安全功能汇聚到 ARUBA无线交换机上来完成的，解决了传统的无线网对安全的分散管理（ AP、 AC）和能力，给用户带来的不安全感，摆脱了对有线网安全的依赖性。  多种用户认证方式 组合 在 ARUBA 无线系统中，一个无线用户进入无线网以后，只会拿到一个最基本的入网权限，这个权限不容许用户访问任 何网段，只让用户通过 DHCP获取 IP 地址、传送 DNS 协议数据包，通过认证以后才可以接入无线网。 ARUBA 无线系统支持目前各种用户认证的方式（ 、 WEB 认证、 MAC、SSID 等），校园网用户可以根据需要方便选择。  无线访问控制 用户状态防火墙是 ARUBA 无线交换机的独特功能，它本身就是针对无线接入的特性而设计。 传统的网络防火墙是没有用户这概念，它的保护只是基于IP 地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效是不大。 ARUBA 无线系统的防火墙功能则是与用户认证捆 绑在一起，当无线用户成功通过认证后，他会获得一个预设的用户状态防火墙，不同的无线用户有不同的防火墙策略，例如老师和工作人员可以使用更多的服务，而学生只可以浏览网页、收发 Email等，这样可以极大方便校园网用户的安全管理。  安全的 AP 技术 ARUBA 无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过 AP，而是在 ARUBA 无线交换机上实现。 由于 ARUBA 的 AP是不储存任何网络配置（ IP 地址除外）和安全设置，因此 ARUBA 管理的AP 是不能单 独工作的，因此获得或 接入 ARUBA 的 AP，黑客也不会拿到 无线网的网络和安全配置参数 和信息。  无线接入点安全侦测和保护 ARUBA Networks 17 of 77 采用 ARUBA 无线系统的 RF侦测功能和保护机制可以实时监测 校园 无线网覆盖区域内的所有 AP 接入情况 ,如相邻房间的 AP、设置错误的 AP 以及未经认可而连接到网络中的 AP。 通过 ARUBA 的网络安全管理系统，网络安全管理人员可以及时发现是否有非法的 AP 接入，发现后可以开启自动保护机制，阻止无线终端通过非法 AP 联接到无线网中。  无线网络入侵侦测 IDS 今天已经有很多的无线入侵和攻击的工具可从网站下载，这些工具的普及对学校、和运营商的无线网的安全构成很大的 威胁。 今天绝大部分的无线局域网都没有侦测无线入侵的功能，所以当受到像无线 DOS 攻击时，就会误以为是无线电波的信号受干扰或 AP 出现不稳定情况。 这些攻击在 HotSpot。