网络是现代教育信息化的基础,就2023年的当下而言,应该绝大多数省市的教育城域网都建设完成了,不过势必有一些偏远区县因为资源问题尚未建设,或者部分老旧的系统需要更新,比如本文提出的从有线网变成无线城域网。
本文普教无线城域网部署方案建议主要标准参考了锐捷的方案,各位在拾取时注意修改哦,在具体形成解决方案的时候编号也注意按需修改~
一、建设背景及要求
Xxx市教育城域网自20xx年成立以来,一直为全市教职工提供着网络应用服务等业务,随着网络应用的普及、教育信息化业务系统越来越多、教学工具的革新,原有的单一网络布线模式已经越来越不能满足学校的应用需求,制约着学校的教学模式的改革。为能有效解决有线网络端口数量不足、使用不方便等问题,同时适应各学校支持WLAN上网的笔记本计算机日益增多、“电子书包”等教学模式带来的无线网络访问需求这一技术发展趋势,现为市属学校提供WLAN无线网络覆盖,实现“无线数字校园”,同时将城域网的访问方式从有线扩展到有线/无线一体化共存的模式。
xxx市教育城域网无线网络的建设将采用先进的智能转发技术作为网络的基础技术架构,由于整个无线城域网规模较大,采用集中式部署的方式容易造成性能瓶颈及管理权限集中,因此本次采用全分布式的部署模式,整个无线城域网采用FIT AP的运行模式。配合802.11ac高速无线网络接入标准,以及向下兼容的802.11a/b/g/n技术标准,共同打造高性能的基础支撑平台。
此次项目覆盖xx市60多所市属学校和市教育局二级机构,根据学校(单位)的规模可以分为以下三类:
- 大型学校(60个左右班级、3栋6层建筑办公楼),共11所学校(单位);
- 中型学校无线部署清单(40个左右班级、2栋6层建筑办公楼),共25所学校;
- 标准型学校无线部署清单(20个左右班级、1栋6层建筑办公楼),共30所学校。
由于此项目覆盖范围广、使用人员多,为了保障网络的安全性,现在针对无线网络建设提出以下几点建设要求:
1、设备提供商要能对无线、有线接入用户进行网络接入认证,要求不少于10万个用户的并发,认证系统至少支持web和802.1X认证方式;
2、考虑到未来教育城域网的发展,以及《教育信息化十年发展规划》,所投设备支持IPV6协议,并可兼容IPv4的地址及协议,可以提供IPv4到IPv6过渡的解决方案。
3、分布式的无线部署方式:整个郑州市无线城域网规模较大,采用集中式部署的方式容易造成性能瓶颈及管理权限集中,因此本次采用全分布式的部署模式。整个无线城域网采用FIT AP的运行模式,分布式部署,各个学校(单位)部署无线AP及相应的无线控制器AC。
市教育局信息中心无线控制器应采用热备份部署,并用来管理教育局内部无线网络的同时做为各个学校无线控制器的备份;
4、分布式的身份认证系统:教育局部署统一的身份策略管理中心,对下面各个学校身份认证管理系统下发管理策略,收集各个学校的帐户,实现对所有的城域网用户进行管理。各个学校部署简单易用的身份认证管理系统,管理所属学校的帐号,实现分布式的身份认证系统。为防止学校身份认证系统故障影响正常使用,在教育局设置一套身份认证管理系统,做为各个学校的热备系统。
无线系统和有线系统都通过标准的Radius协议和认证系统来进行用户名密码的验证。
本次无线城域网用户可以采用web页面和客户端两种方式,自由选择认证;采用客户端认证时,认证窗口可以最小化,不会因为意外操作下线,移动终端采用WEB认证时,采用一定的保活机制,意外关闭WEB页面,不会导致用户下线。
访客管理要求灵活、快速的设置、销户访客账号,同时要求访客和内部用户的网络进行隔离;对于访客或临时帐号,可以设置过期时间,过期后自动删除帐号。
各学校用户应能在无线教育网内进行帐号网络漫游,支持从A学校到B学校采用相同的帐号可以正常访问网络资源。
可以根据不同的终端类型,推送合适尺寸的页面登陆,免去多次拖动、放大屏幕等操作。
5、分级式的网络设备管理:在教育局统一部署无线网络管理系统,对所有设备进行管理,为每个学校分配不同的帐户,管理自己学校所属的网络设备,方便管理与维护。
6、室内AP要求采用壁挂或吸顶式安装;
7、AP要求采用一体化PoE模式供电,可网管,可按时间段自动控制AP开关;
8、要求提供每个AP所能连入的最大用户数;
9、要求使用AP接入的终端支持组播功能,以满足电子书包、无线课件及视频点播等大流量视频类应用。
10、基于SSID控制用户上网时段,将老师、学生、访客划分不同的SSID,将老师、学生、访客组和SSID绑定,分别基于时间段来控制不同用户组的上网权限;
11、支持电子书包教室使用,按每个教室60位学生。为保证郑州教育城域网的电子书包应用,无线方案需要支持关联控制技术,即保障每个电子书包教室的所有学生只能接入到该教室的AP,防止接入到其它教室AP,从而影响教学工作;
12、为提升用户的上网访问体验,为每个用户终端平均分配无线链路占用时隙,保证不同终端用户都能获得相同的无线网络资源,提高无线网络整体性能。
13、支持基于用户数、流量、频段的智能负载均衡,提高用户的平均带宽和QoS,提高连接的高可用性。
二、无线城域网方案详细设计
高性能分布式无线部署设计
先进的802.11N技术的分布式无线体系架构
根据郑州市教育局无线网络的设计原则,锐捷网络建议采用先进的智能无线交换网络架构作为无线网络解决方案技术的核心思想,采用支持智能转发功能的无线控制器,配合部署在各楼栋接入层的智能管理型无线接入点产品,以及无线网络集中管理平台,完成整个无线网络。
一直以来,传统的无线局域网主要是采用自治型无线接入点架构,每个无线接入点都是一个独立的管理与工作单元,无线接入点之间无法进行任何沟通,如果需要对全网设备进行管理,需要逐台进行配置和管理,不仅费时、费力、维护成本高,而且缺乏所有的无线网络设备无法形成一个整体,也就无法具备整体协作的安全防御能力,整个网络的融合性差。
后来,根据自治型无线接入点的这种缺乏全面管理的缺陷,一些厂商开始推出新的无线网络架构,即“无线控制器+远程轻型无线接入点”结构,可以满足所有的无线接入点全部受到无线控制器的统一控管,这种组网架构和相应产品的出现,使得无线网络的整体管理能力、安全防御能力得到完全的改善,使得无线网络的组网变得轻松、易管理。到了这一阶段,可以说无线网络的解决方案已经上升到了一个新的台阶。
虽然这种组网架构完全解决了对无线网络的管理和控制的问题,但是依然存在缺陷。这种缺陷在无线网络规模较小的时候并不会构成隐患,但是随着无线网络的逐渐普及,尤其是各行业内越来越多的组建大规模的无线网络时(100台无线接入点以上),在这种解决方案架构中,全部的无线接入点设备所吞吐的数据流量(用户数据、设备管理数据)都要通过加密隧道,集中的流经无线控制器承载与处理,再通过其转发给相应的有线网络送达目的地,这必然会导致无线控制器成为大流量数据汇聚的中心。而无线控制器均采用“X86+ASIC”的类服务器硬件架构,对外提供千兆端口连接,也就是说其最大的数据处理与吞吐能力不会超过2Gbps,按照每台无线接入点的真实包吞吐能力在15~20Mbps计算,实际上每台无线控制器最大128台无线接入点的数据集中转发,如果超过这个规模,无线控制器就会成为流量瓶颈,必须再增加无线控制器设备才能扩充解决。特别是随着802.11n传输协议的到来,单个无线接入点的转发效率将提高到100Mbps以上,无线控制器架构将不再适合承担所有流量的集中处理,同时对于延迟敏感的语音传输等也无法适应。
因此,针对这一现状,锐捷网络推出了先进的“智能无线交换网络”架构技术,通过智能无线控制器产品的控制,智能无线接入点可具备根据不同用户、不同应用类型、不同VLAN等方式来决定数据流量是否需要全部集中流经无线控制器,这样不仅可以保持原有的无线控制器架构解决方案的优势,更可以根据网络的数据实际情况将时延敏感、流量较大的数据流分离到有线网络直接处理,将管理控制报文、安全控制要求高的报文送交无线控制器处理,避免成为无线控制器的转发瓶颈,这种解决方案将非常适合高校的大规模的无线网络环境使用。不仅如此,这种先进的架构,即使面对今后的各种应用叠加和802.11n高速传输,都可以从容地升级和扩充,而无需淘汰现有设备,对用户的投资是极大的保护。
全网高可靠性
为了充分保证随时对全网智能无线接入点的集中控制,无线控制器RG-WS5708均支持集群和冗余能力,可以同时对同一个无线接入点提供服务,由于他们之间采用了实时的信息同步技术,如果一台无线控制器与无线接入点失去联系,将迅速由另一台备份RG-WS5708产品接管,而用户信息不会丢失,仍然保持正常通信状态。
如果是一台智能无线接入点发生故障,无线控制器RG-WS5708可支持自恢复功能,通过快速查询该故障无线接入点邻近的智能无线接入点,调节其工作功率、信道等参数来接替该故障无线接入点的用户接入工作,迅速补充盲点,并实施向网络中心的无线控制器汇报,通知网管人员尽快更换故障无线接入点,更换之后,无线控制器RG-WS5708将原先的配置信息继续控制新的无线接入点,邻接的无线接入点的射频参数调节恢复成原有状态,接替工作结束。在这整个切换期间,对用户的访问完全没有影响。这种冗余特性将极大的保证了整网工作的可靠性。
为了适应园区网无线部署和管理的便利性,本次规划的无线网络支持胖/瘦AP的转换。当AP和AC之间的链接断开时无需管理员操作,AP将会自动转为胖AP模式;当AP和AC的链接恢复后AP又能够切换回瘦AP模式。 另外,通过管理界面和命令管理员能够手动的指定AP的胖/瘦状态。
无需更改现有网络环境
无线网络并不是独立的网络,需要与有线网络很好的融合在一起工作,因此,为了避免在规划中的无线网络部署影响到有线网络的路由和VLAN等部署,采用智能无线交换网络架构就可以做到无需更改有线网络结构的目的。
在该网络架构中,所有校内无线用户的数据传输,是通过智能无线接入点RG-AP220I与无线控制器产品之间建立的国际成熟的主流标准CAPWAP隧道技术来完成互连,无线用户的VLAN无须在接入层和汇聚层存在。无线用户的VLAN是可透过无线控制器在整个校园中心网络机房和骨干交换机互连互通,同时也非常方便进行扩展。智能无线接入点则可以放置于校内需要部署的任何地方,无需用直接连接到无线控制器,他们之间可以轻松地通过跨越三层进行隧道数据交换。同时,无需担心无线用户的VLAN会破坏原有有线网络的VLAN部署,所有工作可以在无线控制器上统一划分。
带宽控制与Qos
通过无线控制器的全局控制,可以很轻松地实现对每一台智能无线接入点上行带宽,甚至每一个用户的带宽的控制。同时,针对不同的用户业务类型(如语音通信),无线控制器可以集中设置定义不同的QoS队列,比如将SIP和RTP协议可设定在高的队列,而一般应用如http、ftp则可设定在较低的队列。这样将对于例如语音、视频这种时延敏感的业务,将可以得到最佳带宽与传输保证。
跨三层无缝漫游
无缝漫游是无线网络移动性的最佳体现。但是传统的无线接入点仅仅能够实现基于二层的漫游,一旦无线用户跨越网段,就会由于重新获取IP地址、重认证、重新验证加密等过程,而导致漫游的失败和通信的中断。这对于无线用户众多的学校用户而言,是无法接受的。
利用锐捷网络先进的智能无线交换网络架构,由于所有用户信息并不保存在本地的无线接入点中,而是全部集中在无线控制器上,因此无论是单台无线控制器还是多台无线控制器的集群体,包括连接状态、认证状态、IP地址分配信息、加密验证状态等用户信息总是实时存在的,即便是无线用户跨网段移动,还是会延续原有的IP地址、认证与加密方式,不存在重新获取的必要,因此也不会中断连接。实现这一过程,并不需要有线网络的参与,对有线网络和无线用户而言都是透明的。这种无缝跨三层漫游尤其是对延迟敏感的语音业务有重大的意义。
无线城域网实名认证及安全管理设计
端点安全建设思路
从校园网全局安全防控的实践来看,最有效的办法就是将对关键应用,用户,网络设备,安全设备,网络终端的管理统一考虑,整体规划,建设一个跨教育信息中心和各个校园网的整体安全防护体系和管理体系,以自动化、分布式、智能化的监控和管理手段实现全面的安全防护和管理手段,达到标本兼治的效果。主要考虑以下几点:
- 建设网络准入认证、终端管理和集中监控相结合的完整普教城域网运维管理体系
- 通过分布式部署,本地管理与集中策略和信息管理相结合,适应普教城域网的行政管理特点和各学校业务需求
- 通过园区安全保障子系统和集中策略管理、集中用户管理和集中监控相结合 ,实现全局的统一管理和本地网独立安全保障
- 变被动的安全管理为主动的,持续的安全策略执行和监控,实现预防式的安全防控,并在出现安全问题时实现自动处理和修复
- 通过图形管理和预置安全策略提升校园网普通管理人员的本地管理能力,通过自动网络监控和安全策略实现7*24小时不间断的网络和终端安全监控和管理
GSN全局安全设计
实现全网关键应用的全局应用安全保障和实时监控;打造一个实名制的,用户行为精细可控,安全问题可追溯的教育城域网;实现数量众多、地理分散的校园网的自动化安全管理和监控,提高集中管理和监控能力;降低病毒、网络攻击对网络安全稳定运行的影响;极大降低终端安全管理和维护的工作量,降低成本,提高效率,解决大量中小学校园网的远程维护和管理难题;实现全网统一的安全策略、上网帐号和权限管理,方便的进行集中的软硬件资产管理,为统计和决策提供依据。
为了解决好这些问题,方案设计在教育局机关和和汇聚节点架设安全认证网关,以实现目标位提高终端安全性的锐捷网络“全局安全管理平台GSN”(以下简称GSN)的部署,具体功能如下:
身份安全合法化:通过账号、密码复核绑定策略,确保拥有合法身份的用户才能接入网络;
认证之后,采用页面保活和流量保活结合的方式,可以实现即使意外关闭保活页面,也不会造成用户下线。如果保活面没有被用户关闭,会采用保活页面监控用户是否在线,如果页面被用户无意关闭,会自动启用流量保活监控,如果在设定时间内,有流量触发,用户正常上网。
无线认证客户端
图略,见附件
WEB认证
主机安全合法化:能够设置一系列主机完整性检测规则,确保入网用户主机复核网络管理要求;
网络安全可控化:对用户进行访问权限控制,对数据流进行实时监控并关联到具体用户进行审计和处理。
同时利用与微软WSUS补丁升级服务联动、和杀毒软件联动,可以有效的杜绝病毒入侵与补全系统漏洞;通过与三层交换机、接入交换机联动,可以彻底解决的解决ARP地址欺骗与DHCP欺骗的内网安全问题。
同时,GSN采用分布式部署模式,可以完全避免远程认证带来的认证时延与认证不通过问题,使每个学校可以在校园网范围内进行本地认证。同时,在教育局中心配置一套分布式策略中心IPC系统,可以统一的下发安全防护策略,提高策略部署的效率,有效的减轻网管人员的工作压力。
电子书包应用优化设计
在学校的电子书包应用中,一个学校有很多个教室,每个教室里都安装有无线AP,无线信号是在空间中传播的,当两个相邻的教室都在用电子书包上课时,常常会出现部分学生经常连接到旁边教室的AP上,干扰了旁边教室老师或学生终端的正常接入。所以校方迫切期望教师机和学生机都关联到本教室的AP上,这样每个教室各上各的课,互不干扰。
关联控制是控制无线STA关联行为的一种方法。通过对STA进行分组,定义其中一台STA为主STA,其他STA为从STA,控制从STA只能跟随主STA的方式,使得从STA关联的无线网络必须与主STA关联的无线网络相同,从而达到控制无线终端的关联行为。
关联控制域:可以理解为由一个或一组AP组成的无线网络,一个STA组某一时刻只能成功关联一个关联控制域中的某台AP上。
终端包:由一组STA构成,包括主STA和从STA,从STA不能脱离主STA独自关联到控制域中的某台AP上,而只能跟随主STA,主STA关联到哪个控制域中,从STA也只能关联到这个控制域中的某台AP上。
将无线网络需要覆盖的范围划分成若干个关联控制域,在每个关联控制域中部署一台或多台AP,再对无线终端进行分组,严格控制终端能关联的控制域。比如,学校的电子书包应用,一个学校有很多个教室,每个教室里都安装有无线AP,无线信号是在空间中传播的,当两个相邻的教室都在用电子书包上课时,理想的状况是,教师机和学生机都关联到本教室的AP上,这样,每个教室各上各的课,互不干扰。这就要求一个教室就是一个一个关联控制域,这个教室里的所有学生机和教师机都关联到本教室的无线AP上。
用户认证及账号漫游设计
每个学校部署一套ESS,做学校本地的用户认证;在教育局部署一套RG-IPC系统,每个学校的ESS把账号信息同步到总部的RG-IPC上,当出现校际间账号漫游的情况时,ESS在本地查询不到其他学校的账号信息,就会到RG-IPC上去查询,如果IPC认证成功,将允许其他学校账号接入,并把它划分到GUEST组里。
锐捷无线认证系统采用分布部署放置,其优势在于:
性能高:相比传统方案中的集中式部署,分布式部署可以把数以万计、且不再同一地理位置的用户认证工作分配到多台ESS上,提高了认证效率:避免了认证性能可能受到线路的影响,导致认证慢或者失败,用户体验不好、作为核心服务器的RG-SMP 2.X压力过大的问题
明确了管理权限:普教城域网是需要将部分管理工作分到学校去完成的,因为城域网的管理员一般只有几个人,管不过来如此多的用户,所以需要一个“分级管理”的功能,而ESS+RG-IPC方案能解决用户分级管理,区分管理权限的需求
高可靠性:集中式认证方式,一旦认证服务器宕机,直接带来的就是全网用户都无法使用网络,这将是非常大的事故,客户也不愿意担这个风险。而分布式部署方式则避免全网故障,即使某台ESS故障,也只会影响一所学校的使用,不会对全网造成影响。
三、网络测试方案
分享两个网络测试方案,一是普教城域网电子书包应用测试,包括测试工具介绍、测试步骤、测试结果等图表模板;二十普教城域网现网勘测,包括勘测报告,点表及勘测方案等,内容均在下载的word文档中,方案书约35页,目录文末。
普教无线城域网项目方案书(建设方案、勘测报告、测试报告)
概述… 4
教育信息化概述… 4
无线教育城域网概述… 5
普教无线城域网需求分析… 6
无线网络应用需求分析—电子书包:… 6
无线网络应用需求分析—教师办公:… 6
身份认证需求… 6
管理需求… 7
普教无线城域网建设原则… 8
锐捷普教无线城域网方案… 10
整体方案架构… 10
锐捷无线城域网架构特点… 10
锐捷普教无线城域网技术特点… 12
智能天线技术… 12
X-speed智能加速技术… 12
无线、有线相结合的安全技术… 13
基于用户身份的访问控制… 14
账号校际间漫游… 14
统一、可视化管理… 15
XXX市普教无线城域网部署方案建议… 17
建设背景及要求… 17
无线城域网方案详细设计… 19
高性能分布式无线部署设计… 19
无线城域网实名认证及安全管理设计… 23
电子书包应用优化设计… 26
XXX普教城域网电子书包应用测试… 27
测试目的… 27
测试所需工具… 27
电子书包业务测试用例… 28
XXX普教城域网现网勘测… 31
勘测方法… 31
勘测报告 32