騰沖縣第八中學校園網騰沖縣第八中學校園網 建設項目技術建議書建設項目技術建議書 目 錄 1項目概述項目概述 4 1 1項目背景 4 1 2現狀分析 4 1 3建設目標 5 1 4設計原則 6 2網絡建設方案網絡建設方案 7 2 1概述 7 2 1 1項目技術要求 7 2 2有線網絡方案設計 8 2 2 1有線網絡組網方案 8 2 2 2核心層設計方案 9 2 2 3接入層設計方案 10 2 2 4接入層網絡隔離 12 2 2 5出口設計 13 2 3無線網絡的設計方案 14 2 3 1概述 14 2 3 2無線基本概念 15 2 3 3覆蓋區域描述 21 2 3 4無線局域網拓撲 22 2 3 5無線 VLAN 規劃 23 3統一身份認證平臺統一身份認證平臺 24 4網絡管理規劃網絡管理規劃 30 4 1 網管需求分析 30 4 2 網絡設備的管理 31 5可靠性設計可靠性設計 32 5 1 網絡可靠性設計 32 5 2 設備高可靠性設計 34 5 2 1重要部件冗余 34 5 2 2設備自身安全 34 5 2 3接入交換機的堆疊 iStack 35 6方案總結方案總結 36 6 1 方案特色 36 7設備介紹設備介紹 37 7 1 核心交換機 S7706 37 7 1 1產品規格 40 7 1 2解決方案應用 43 7 2 接入交換機 S5700 LI 44 7 2 1產品規格 47 7 3 無線 POE 交換機 S5700 SI 50 7 4 無線控制器 AC6605 56 7 5 室內放裝型 AP6010SN 57 7 6 室內分布式 AP6310SN 61 7 7 出口安全網關 USG5120HSR 65 USG5120BSR HSRUSG5120BSR HSR 65 USG5150BSR HSRUSG5150BSR HSR 65 7 8 統一身份認證平臺 TSM 69 校園網信息建設項目技術建議書 1 項目概述項目概述 1 1項目背景 21世紀人類全面進入信息化時代 教育正在走向數字化 信息化 計算機 網絡 多 媒體技術已被越來越多的學校采用 成為教育教學的支撐技術 教育技術的現代化正在改 變著教學手段 教學方法 必將帶來教學內容 教學觀念的更新 教育教學改革勢在必行 因此 越來越多的學校對校園網建設躍躍欲試 希望藉此一步跨入數字時代 1 2現狀分析 學校目前主要硬件設備使用多年 隨著辦公自動化 網絡多媒體教學 學生自主學習 電子圖書館 電子郵件 遠程教育 校園一卡通工程等系統的逐步建設 目前園區網絡的 帶寬已遠遠不能滿足應用的需求 而且設備老舊 故障率不斷上升 給老師辦公教學和學 生學習實驗帶來極大的不便 主要有以下問題 1 硬件基礎設施老化 現有設備大部分運行時間長 老化嚴重 故障率高 性能難以滿足現有網絡應用的需 求 2 應用系統缺乏 目前學校某些部門缺乏信息化 數字化校園的新思維模式 很多的工作仍然未能擺脫 煩瑣的手工操作和信息傳遞 某些信息的傳遞不及時甚至是失真 為學校的管理和領導的 決策帶來了一定困難 3 已建應用系統相互獨立 已建信息系統數據 編碼不統一 造成各應用系統間相互獨立 形成信息孤島 資源 不能共享 花巨資建立的應用系統不能發揮其效用 形成資源浪費 1 3建設目標 本次校園網改造工程建設目標是 采用1000Mbps光纖交換網絡實現新老校區內部高速 互聯 光纜連接全校樓宇 辦公樓 教學區 綜合樓 實驗樓 核心機房設置配置兩臺 核心交換機 各樓宇根據點位配置接入交換機 通過千兆光纖雙上行到兩臺核心交換機上 通過接入交換機將學校的各種PC機 服務器 終端設備和局域網連接起來 整合現有的網 絡資源 改善與Internet Cernet相連的網絡性能 構建一個以計算機多層交換網絡為框架 以網絡基本應用 計算機多媒體輔助教學 電子化圖書館 教學管理辦公自動化為平臺的 校園網 并逐步形成數字化校園網絡 網絡改造后實現以下功能 1 辦公自動化 基于Web綜合管理信息系統 提供行政 人事 學籍 教學 后勤 財務管理 公文收 發管理 教師檔案管理 學生檔案管理 科技檔案管理等 使學校日常辦公無紙化 減少 辦公開支 提高辦公效率 2 網絡多媒體教學 將計算機多媒體視聽引入課堂教學 使聲音 圖像 動畫的普遍采用可以大大提高教 學效果 使每一節課都能夠得到有效的作用 3 學生自主學習 針對不同的學生 提供不同的教學內容 采取不同的教學手段 主要采用基于 VOD WEB及FTP的課件 光盤軟件 Internet資源 學生可以根據自己的需要自由選擇所需 內容 4 電子圖書館 基于Web的圖書音像資料供學生隨時閱讀 并與Internet連接 使圖書館得到進一步拓 展 使學生能夠得到近乎無限的網上資源 5 電子郵件 電子郵件是Internet上的一個最重要的應用 將為每一位教師和學生開設一個電子郵 件賬號 利用電子郵件學生可以和老師 同學及家長進行交流 同時也可以和國內外等地 學校的學生進行交流 6 遠程教育 實現校內外連通 師生在線 交互式學習 輔導 測驗等功能 7 校園移動計算 采用有線和無線網絡混合建構 方便學生 老師移動上網學習和辦公 1 4設計原則 針對IT平臺建設的基本要求和投入建設使用之后的用戶實際問題 主要從如下幾個方 面重點考慮 構建一個可靠 安全 穩定 靈活的IT平臺 助力IT資源可以真正的為企業 服務 可靠性 利用電信級產品構建一個高可靠的網絡環境 保證整個網絡的可靠運行 可靠性設計可以達到99 999 可以滿足實際的辦公 業務等的要求 安全性 網絡設計的各個環節 融合了網絡安全 應用安全 接入安全 終端安 全 數據安全等各個方面 可以很好的滿足網絡高安全的要求 管理性 網絡設計考慮了日后的網絡管理 每個環節的設計都考慮了業務開展的 便利性 使得網絡可以真正的為企業服務 為后續業務的開展奠定了良好的基礎 集成性 從用戶的實際需要考慮對IT資源的每個環節進行設計 保證了網絡在日 后交付使用的時候 可以更好的滿足業務變化的要求 充分考慮了業務變化性的 特點 進行了網絡彈性設計 使得IT技術貼近用戶 本次校園網改造將從校園網建設的需求出發 以學校的教學 試驗 辦公管理體系本次校園網改造將從校園網建設的需求出發 以學校的教學 試驗 辦公管理體系 為主導 建設安全 可靠 可管理 可控制的校園信息化網絡為主導 建設安全 可靠 可管理 可控制的校園信息化網絡 根據學校的現狀和進一步的需求目標 特點及實現的功能與技術要求 對總體方案 的設計 網絡設備選型 采用的技術路線及工程實施的過程 均充分考慮項目方案的實用 性 經濟性 先進性及可擴展性 保護現有投資 可平滑升級 尤其注重了網絡設備的 安全可靠 易維護 易操作 突出了計算機 網絡及多媒體技術對教育過程的實用與好用 綜合考慮了項目中各子系統相對獨立性與關聯性 方案設計能夠體現出其1 1 2的效果 具 體的實施原則如下 1 好的開放性和可擴展性 校園網絡應具有的開放性 這種開放性依靠標準化實現 使符合標準的計算機系統 很容易進行網絡的互連 因此在網絡建設中 網絡體系結構和通信協議應選擇廣泛使用的 國際標準 使得校園網成為一個完全開放式的網絡環境 在校園網絡平臺建設中 盡量采 取成熟先進的網絡技術 統一的網絡標準和主流的網絡設備 使得網絡結構更易于擴展 升級和維護 2 校園網軟件平臺的針對性 校園網的應用和服務的對象是學校的教師 學生 這就要求校園網軟件平臺的建設 應以教學為核心 建立起一個在技術上具有先進性 在教學過程的各階段應用上具有靈活 性 多樣性和針對性的數字化校園網 3 高度的安全性和可靠性 對于網絡系統 應確保系統運行可靠 對關鍵部位提供容錯能力 同時建立完善的 安全管理體系 4 經濟實用性 盲目地追求技術 會建成一個不穩定 不成熟產品的實驗臺 單純高性能 只會帶來 難以承受的高額投資 所以 網絡系統建設應采用成熟 適用 實用 好用的技術 力爭 以最小的投資得到最大的滿足 2 網絡建設方案網絡建設方案 2 1概述 現代教育過程的四要素為 教師 學生 教學內容及教育技術 以計算機 網絡 多 媒體集成的現代教育技術 對教育過程的支持 隨著教育信息化的發展 顯得越來越重要 因此 項目建設的指導方針為 1 以應用為主 為校領導決策 業務管理 教學保障和管理提供服務 2 采用成熟先進的技術 實用 夠用 又留有發展余地 3 統一標準 逐步建設 充分考慮四期工程規劃及網絡的擴展性 4 充分重視網絡系統和信息的安全 5 在限定的時間和要求內 降低費用的支出 提高系統的性能價格比 6 組織各方面的力量 網絡通信系統 網絡資源系統同步建設 2 1 1項目技術要求 1 采用先進成熟的網絡技術 2 統一技術規范 標準和方案 統一設備選性 統一組織實施 3 網絡系統采用三層架構 采用TCP IP協議棧 采用統一的客戶端應用軟件 4 網絡系統采用全交換網絡 主干1000Mbps 核心層 接入層采用冗余連接 千 兆到桌面 5 網絡系統按部門 業務劃分VLAN 網絡多層交換采用802 1Q虛擬干道協議 802 1D生成樹協議 802 1X認證協議和802 1P優先隊列排序 6 采用接入認證綜合管理系統對接入用戶進行認證及計費 7 網絡系統必須滿足標準化的要求 以實現開放性 可擴展性 8 重要部件 文擋要有備份 保證系統365天 24小時運轉 9 重視數據的安全與保密 建立完善的網絡安全管理系統 2 2有線網絡方案設計 校園網是各種應用的統一通信平臺 平均無故障時間以及故障恢復時間 要保持在一 個可容忍的許可范圍之內 在這種前提下 主干設備應有一定的冗余度 這種冗余度不單 只是設備級的 也應該考慮物理線路 數據鏈路層 網絡層以及應用層的容錯能力 該主干網在方案上有二個重點 主干網技術策略 主干交換機的基本要求 主干網技術的基本要求可概括為 千兆傳輸距離550m以內采用50 125多模光纜 千兆傳輸 距離大于550m 小于5000m采用9 125單模光纜 百兆傳輸距離2000m以內采用50 125多模光 纜 百兆傳輸距離大于2000m采用9 125單模光纜 2 2 1有線網絡組網方案 按照網絡分層設計的原則 整個網絡采用扁平化設計理念 分成核心層 接入層 出口區域幾個部分 整個網絡 的建設方案如圖1所示 出口區域 部署一臺綜合安全網關 按照同時在線1200人的規模設計 考慮到校園網用戶對帶寬 超級利用性 整個網絡的出口采用千兆設計 千兆出口網關 千兆流控 滿足整個學校未 來10年內的發展需要 另外 出口區域結合整個網絡的安全認證系統 可實現基于用戶實名的準出控制 滿 足大規模用戶使用 實現基于實名的NAT日志 URL日志 上網時間等 滿足公安部82號 令的要求 實現基于用戶實名的帶寬控制 另外 網絡出口區域部署VPN 讓校領導 老師出差不在學校 通過在互聯網上建立 VPN隧道 訪問校園網絡應用系統 完成審批流程等 核心層 核心層采用模塊化萬兆交換機 支持40G 100G端口擴展 滿足未來網絡發展需求 啟 用三層轉發功能 和接入層設備提供冗余鏈路 使得整個網絡的路由交換運行無阻 同時 內外業務資源 如服務器區和一些重要的終端可以直接接入到核心層 滿足高性能的要求 同時支持主控和業務口CSS集群技術 將多臺設備虛擬化為一臺邏輯設備 在可靠性 交 換效率 靈活性和易管理性方面提高性能 接入層 接入層由千兆交換機和無線接入交換機等接入設備構成 可以滿足不同終端的接入要 求 接入交換機通過千兆光纖直接連接到核心交換機上 實現和核心層的互訪 設備選型 上要實現方便靈活接入的同時保障網絡帶寬 提供的QinQ技術保證了每端口每VLAN的設 計 在終端管理上提供了良好的技術保證 按照網絡高可靠的設計原則 核心網絡采用雙平面組網 可以最大程度上保證網絡的100 可靠 核心設備采用雙引擎設計 接入層采用雙歸屬主備鏈路 網絡設備秉承電信級可靠性設計理念 單板熱插拔 電源冗余 風扇熱插拔等 高可靠的模型是根據組網方案來統一考慮的 主要的高可靠的手段有 A B雙平面 雙機模式 主備模式 鏈路冗余 設備結構冗余等 為了保障校園網絡的高可靠性 采用 雙平面和主備等冗余結構 核心設備采用2臺核心交換機設備 設備間采用2條線路連接 實現雙機熱備和負荷分擔 提高設備的利用率和網絡的安全 接入交換機分別采用雙鏈路 接入核心交換機 保障鏈路冗余和鏈路帶寬 2 2 2核心層設計方案 設計要點 提供高速的三層交換骨干 核心層不進行終端系統的連接 核心層不設計要點 提供高速的三層交換骨干 核心層不進行終端系統的連接 核心層不 實施影響高速交換性能的實施影響高速交換性能的ACL等功能等功能 網絡核心區作為整個校園網的數據交換核心 是教育應用系統可靠和高效率運行的基 礎 在核心區配置華為高吞吐量核心萬兆全分布式線速路由交換機S7706 接入各個功能區 域 下行千兆光纖連接接入交換機 形成千兆無阻塞線速轉發骨干網 核心設備采用分布 式交換架構 通過獨立的控制引擎 檢測引擎 維護引擎為系統提供強大的控制能力和高 可靠保障 為了簡化網絡部署 簡化網絡管理 并提高故障恢復的速度 核心層需支持采用虛擬交 換架構技術 通過跨設備鏈路聚合與匯聚層設備互聯 1 設備需支持運營級 滿足學校業務不間斷的需求 2 核心設備支持引擎冗余 電源冗余 業務線卡熱插拔 支持虛擬交換技術 保證 核心的高融合和高可靠性 3 核心設備支持模塊化軟件操作系統平臺 便于多業務擴展支持 支持操作系統的 免費升級 全面支持 IPv6 4 核心設備具有較強的自我防御機制 為此 本次建設選用華為S7700作為騰沖第一職業高級中學的的核心交換機 S7700系 列是華為公司面向下一代企業網絡架構而推出的新一代高端智能路由交換機 該產品基于 華為公司智能多層交換的技術理念 在提供穩定 可靠 安全的高性能L2 L4層交換服務 基礎上 進一步提供MPLS VPN 業務流分析 完善的QOS策略 可控組播 資源負載均 衡 一體化安全等智能業務優化手段 同時具備超強擴展性和可靠性 S7700系列廣泛適用于園區網絡和數據中心網絡 可對無線 話音 視頻和數據融合網 絡進行先進的控制 幫助企業構建交換路由一體化的端到端融合網絡 128G槽位帶寬 100GE Ready 480個萬兆端口 24個40GE端口 創新的CSS交換網集群 硬件級以太OAM BFD 左后風道 高密布線 S7700系列提供S7703 S7706 S7712三種產品形態 2 2 3接入層設計方案 千兆到桌面接入 根據接入密度選擇型號 24口接入或48口接入 校園網目前的業務應用主要為桌面辦公系統 教學課件系統 互聯網業務 網絡間要 在接入層必須對必要的業務劃分VLAN VLAN劃分的方法可以基于端口 基于用戶的業務 等 為了滿足VLAN的靈活劃分及對終端安全的控制 接入交換機應具備強2層特性 支持 防止DOS ARP攻擊功能 ICMP防攻擊 支持IP MAC 端口 VLAN的組合綁定 同時 只能智能節能功能 通過匹配端口Link Down Up 光模塊在位 不在位 配置Shut Down Undo Shut Down 空閑時段 繁忙時段等應用場景 達到應用中大幅度提高動態節 能技術應用比例 節省設備耗電量的目的 應具備能效以太網 EEE 端口能量檢測 CPU動態調頻 設備休眠等技術已實現設備智能低功耗設計 點位設計如下 建筑建筑樓層樓層房間數點位數合計 24 口交 換機數 量 48 口交 換機數 量 1816 2714 3816 實驗樓 4714 6011 實驗樓 110206611 21326 31020 1510 2714 3714 綜合樓 41020 5811 1612 2816 教學樓 白色 3816 4411 1612 2612 3612 教學樓 粉色 4612 4811 合計合計 55 共部署48口接入交換機5臺 24口交換機5臺 匯聚交換機46臺 覆蓋全校約300個信 息點 為保證接入網絡的安全可靠 本次配置建議使用華為S5700 LI系列交換機 S5700 LI 系列企業交換機 以下簡稱S5700 LI 是華為公司自主研發的新一代綠色節能的二層全 千兆以太網交換機 提供靈活的全千兆以太網接入端口 豐富的業務特性 支持EEE節能 特性 支持整機休眠功能 可以為用戶提供綠色 易管理 易擴展 低成本的千兆到桌面 的解決方案 S5700 LI能基于五元組 IP優先級 TOS DSCP IP協議類型 ICMP類型 TCP源 端口 VLAN 以太網幀協議類型 CoS等信息 實現復雜流分類功能 S5700 LI支持基于流的雙速三色限速功能 每端口支持8個優先級隊列 支持 WRR DRR PQ WRR PQ DRR PQ多種隊列調度算法 有效地保證話音 視頻和 數據業務質量 S5700 LI提供多種安全保護功能 支持DoS Denial of Service 類防攻擊 網絡的防 攻擊 用戶的防攻擊等功能 其中DoS類防攻擊主要包括SYN Flood Land Smurf ICMP Flood 網絡的防攻擊主要是指STP的BPDU Root攻擊 用 戶的防攻擊涉及DHCP仿冒攻擊 中間人攻擊 IP MAC Spoofing 攻擊 DHCP request flood 改變 CHADDR 值的 DoS 攻擊等等 S5700 LI支持通過建立和維護DHCP Snooping 綁定表 偵聽接入用戶的MAC IP 地 址 租用期 VLAN ID 接口等信息 解決 DHCP 用戶的IP 和端口跟蹤定位問題 同時 對不符合綁定表項的非法報文 ARP欺騙報文 擅自修改IP地址等 直接丟棄 有效防止 黑客或攻擊者通過ARP報文實施園區網常見的 中間人 攻擊 利用DHCP Snooping 的 信任端口特性還可以保證DHCP Server 的合法性 S5700 LI支持ARP表項嚴格學習功能 可以防止因ARP欺騙攻擊將交換機ARP表項占 滿 導致正常用戶無法上網 同時 支持IP Source Check 特性 防止包括MAC 欺騙 IP欺騙 MAC IP欺騙在內的非法地址仿冒帶來的DOS攻擊 S5700 LI支持集中式MAC地址認證和802 1x 認證 支持用戶賬號 IP MAC VLAN 端口 客戶端是否安裝病毒防范等用戶標識元素的動態或靜態綁定 同時實現用戶策略 VLAN QoS ACL 的動態下發 S5700 LI支持基于端口的源MAC地址學習限制功能 有效防止用戶源MAC欺騙沖擊設 備MAC表項 導致正常用戶無法學到MAC表而泛洪的問題等 2 2 4接入層網絡隔離 在接入層必須對必要的業務劃分VLAN VLAN劃分的方法可以基于端口 基于用戶的 業務等 圖 1 接入層 VLAN 劃分組網示意圖 所提供接入交換機具有靈活的VLAN劃分方法 可以有效的防止ARP等二層攻擊 同時支持QinQ技術 可以突破4K個VLAN的限制 為將來網絡的合理改造以及擴 容打下堅實的基礎 采用QinQ技術可以提供每用戶每VLAN的組網方式 將VLAN終結在核心層上 圖 2 采用 QinQ 技術隔離終端 QinQ技術采用嵌套VLAN技術 突破了4K VLAN的限制 無論何種接入設備都可以滿 足整個網絡可靠性 安全的設計 同時每個終端一個VLAN的設計方式保證了二層方式的 終端是隔離的 防止了廣播風波 ARP病毒等對局域網危害很大的不安全因素的蔓延 采用這種方式的組網可以大大提高整網的可靠性和安全性 使得網絡對二層設備的依 賴降低 并且有助于降低建設成本 因為所有的終端訪問都必須經過匯聚交換 這樣的網 絡設計非常方便網絡的管理 控制 避免因為流量的過渡分散造成的安全失控 2 2 5出口設計 考慮到外網攻擊很多 在出口部署安全網關 對內外網進行安全隔離 進行NAT轉換 和路由 同時防火墻提供攻擊防范和url過濾等功能 對外網來的攻擊進行防御 安全網關設備實現如下功能 安全網關設備實現如下功能 1 安全隔離 安全網關的安全隔離是基于安全區域 這樣的設計模型為用戶在實 際使用統一安全網關的時候提供了十分良好的管理模型 華為統一安全網關提 供了基于安全區域的隔離模型 每個安全區域可以按照網絡的實際組網加入任 意的接口 因此統一安全網關的安全管理模型是不會受到網絡拓撲的影響 2 防 DDOS 安全網關產品根據數據報文的特征 以及 Dos 攻擊的不同手段 可 以針對 ICMP Flood SYN Flood UDP Flood 等各種 Dos 攻擊手段進行 Dos 攻擊 的防御 3 URL 過濾功能 能提供 URL 黑 白名單功能 支持前綴匹配 后綴匹配 關鍵 字匹配等 支持用戶自定義 URL 功能 可自定義分類以及自定義 URL URL 過 濾響應方式可以設置為禁止或允許 禁止方式下支持返回頁面通知 頁面內容 可自定義 支持 URL 訪問日志記錄 支持日志歸并 URL 分類大類 43 個 小 類 127 個 URL 特征庫數量 6500 萬條 支持 URL 熱點庫功能 且熱點庫支 持升級 4 防火墻 NAT 轉換 在 IPV4 由于公網 IP 少 需要防火墻提供 NAT 地址轉換 實現對公網的業務訪問需求 需要支持包括源 IP 地址轉換 目的 IP 地址轉換 端口地址轉換 靜態 IP 地址轉換 IP 地址池轉換等 支持擴展 NAT 功能 可 實現單個公網 IP 的無限地址轉換 考慮到 FTP H 323 SIP 等它們報文的數據 部分可能包含 IP 地址或端口信息 需要支持 FTP H 323 SIP 等各種應用協議 5 路由 支持靜態路由 路由策略 策略路由 RIP OSPF BGP MPLS ISIS 等 路由協議 6 高可靠性 支持 HRP Huawei Redundancy Protocol 協議實現雙機熱備份功 能 包括主備備份 Active Standby 和負載分擔 Active Active 兩種方 式 HRP 負責在主 備設備之間備份關鍵配置命令和會話表狀態信息 從而確 保主用設備出現故障時能由備份設備平滑地接替工作 2 3無線網絡的設計方案 2 3 1 概述 有線網絡建設經過改造后 已初具規模 1000Mbps 光纜敷設到全校大部分的樓宇 如何將網絡延伸到校園的每一個角落 為學生和教師提供一個隨時 隨地使用網絡的環境 是擺在我們面前的重要任務 無線接入技術與光纖接入 ADSL 接入 以太網接入等技術相比 具有投資少 建 網周期短 提供業務快等優勢 在無線接入領域中 固定無線接入正走向成熟 其應用步 伐不斷加快 而其中無線局域網技術又以其提供方便 快捷的組網方式等優勢 倍受矚目 因此 我們采用有線網絡與無線網絡 802 11b 802 11g 融合的策略 將網絡應 用延伸到各個辦公室 多媒體教室 校園活動場所等空間 提供教學視頻的無線上傳及下 載 方便教學工作的開展 2 3 2無線基本概念 2 3 3 1網絡架構模型網絡架構模型 WLAN網絡在部署過程中 根據不同的需求有多種實現形式 根據網絡架構分為 自治式架構 即 FAT AP 或胖 AP 集中式架構 即 FIT AP 或瘦 AP 自治式架構和集中式架構兩種網絡結構比較如表1 1所示 表 1 1 自治式架構和集中式架構比較表 項目自治式架構集中式架構 適用場景微型企業 個人新生方式 增強管理 安全性傳統加密 認證方式 普通安 全性 基于用戶位置的安全策略 高安全性 網絡管理每 AP 需要單獨下發配置文件AC 上統一配置 AP 本身零 配置 維護簡單 用戶管理類似有線 根據 AP 接入的有 線端口區分權限 虛擬專用組方式 根據用戶 名區分權限 使用靈活 WLAN 組網規模L2 漫游 適合小規模組網L2 L3 漫游 拓撲無關性 適合大規模組網 增值業務能力實現簡單數據接入可擴展豐富業務 自治式架構 該架構下AP實現所有無線接入功能 不需要AC設備形態 如圖1 2所示 圖 1 2 WLAN 自治式架構圖 認證服務器 DHCP DNS 服務器 eSight網管 FAT AP FAT AP 園園區區網網 WLAN早期廣泛采用自治式架構 隨著企業大量部署AP后 對這些AP進行配置 升級軟件 等管理工作將給用戶帶來很高的操作成本 管理成本提高 自治式架構應用逐步減少 集中式架構 該架構通過無線控制器 AC 集中管理 控制多個AP 如圖1 3所示 所有無線接入功能 由AP和AC共同完成 AC 完成網絡具有重要意義的功能 例如移動管理 身份驗證 VLAN 劃分 射頻 資源管理 無線 IDS Intrusion Detection Systems 和數據包轉發等 AP 完成無線空口的控制 例如無線信號發射與探測響應 數據加密解密 數據 傳輸確認 空口數據優先級管理等等 圖 1 3 WLAN 集中式架構圖 認證服務器 DHCP DNS 服務器 eSight網管 FIT AP FIT AP AC 園園區區網網 AP和AC間采用CAPWAP隧道協議進行通訊 AC與AP間可以是直連或者穿越Layer 2 Layer 3網絡 CAPWAP協議是基于UDP傳輸層的應用層協議 協議傳遞的信息分為兩類 控制信息 和數據信息 控制信息負責 AC 與 AP 之間的管理的交互操作 包括 AP 自動發現 AC AC 對 AP 進行安全認證 AP 從 AC 獲取軟件版本 AP 從 AC 獲取配置等等 數據信息是封裝后轉發的無線數據 兩類信息分別使用不同的UDP端口號 CAPWAP信息在AP與AC間交互時可以使用DTLS加 密機制 保證通信的安全性 所有無線接入功能由AP和AC間共同完成 集中式架構是企業網 運營商等WLAN方案的 主要架構 便于集中管理 集中認證和實施安全策略 此種方案為目前企業網通用方案 在FIT AP網絡架構下 又有如下劃分 根據 AC 部署方式 分為集中式和分布式 根據 AC 部署位置 分為旁掛和直路 根據 AC 硬件體現形式 分為集成 AC 和獨立 AC 根據業務轉發形式 分為本地轉發和集中轉發 2 3 3 2集中式集中式AC與分布式與分布式AC 根據AC的部署方式 網絡可分為集中式AC部署和分布式AC部署 集中式AC部署 集中式AC部署是指整個網絡中集中部署AC設備 一般是獨立的AC設備 來控制和管理 整網的AP設備 AC的部署可以采用直路 直接部署在AP和匯聚 核心交換機之間 或旁掛 方式 旁掛在匯聚 核心交換機旁側 圖 1 4 集中式AC 部署示意圖 分布式AC部署 分布式AC部署是指網絡中分區域采用多個AC設備 分別對本區域的AP設備進行管理 分 布式AC方案一般不采用獨立的AC設備 而是采用在匯聚交換機上集成AC功能 來實現對 本交換機下掛的所有AP進行管理 圖 1 5 分布式AC 部署示意圖 AC的兩種部署方式的優劣勢對比如表1 2所示 表 1 2 集中式 AC 與分布式 AC 優缺點對比表 AC 部署方式優點缺點 集中式 節省投資 容量管理更簡單有效 成本 效益高 無線業務終結點少 便于管 理 漫游部署簡單 高效 無線網絡運維管理更簡單 可集中管理且配置靈活 AC 與 AP 之間的網絡結構 復雜 網絡規劃部署相對 復雜 分布式AC 與 AP 之間網絡結構簡單 網絡 部署相對簡單 投資成本高 需要部署 AC 間漫 游 除非各 AC 所 在的區域間不考慮 漫游 運維成本高 2 3 3 3AC旁掛與旁掛與AC直路直路 根據AC在網絡上所處位置 可分為AC旁掛和AC直路 旁掛 旁掛方式是指將AC部署在用戶網關設備 匯聚或核心交換機 一側 實現對用戶網關設備 下所有AP的管理 旁掛方式主要用于原有網絡匯聚 核心設備非華為設備的場景 目前主要用于網絡改造 或 者新建大 中型園區網絡場景 AC旁掛示意圖 直路 直路方式是指將AC部署在AP與用戶網關設備 匯聚或核心交換機 之間 實現對下轄所 有AP的管理 直路方式主要用于新建中 小型園區網絡或原有網絡匯聚 核心設備為華為設備的場景 AC直路示意圖 2 3 3 4本地轉發與集中轉發本地轉發與集中轉發 轉發模式主要是AP針對用戶數據可以有不同的轉發處理方式 本地轉發 又稱直接轉發 是指AP上對用戶數據由本地轉發到網絡上層 不經過AC處理 AC只對AP 進行管理 而AP管理流封裝在CAPWAP隧道中 到達AC終止 本地轉發示意圖 集中轉發 也稱作隧道轉發 業務數據報文由AP統一封裝后到達AC實現轉發 AC不但進行對AP管理 還作為AP流量的轉發中樞 即AP管理流與數據流都封裝在CAPWAP隧道中到達AC 隧道轉發示意圖 本地轉發與集中轉發優缺點對比如0所示 本地轉發與集中轉發優缺點對比表 轉發方式優點缺點 本地轉發設備署簡單 數據流量不經過 AC AC 負擔小 集中轉發數據流量和管理流量全部經過 AC 可以按用戶需求規劃安全監 管策略 AC 設備數據壓力較大 對 AC 設備本身處理能力要求較高 2 3 3覆蓋區域描述 網絡覆蓋范圍總共包含5棟樓 實訓樓 實驗樓 綜合樓 教學樓 白色 教 學樓 粉色 墻體統一為24磚墻 網絡點位統計如下 建筑建筑樓層樓層 分布式分布式 APAP 數量數量 放裝放裝 式式 APAP 1 分 4 功分器 數量 天線數 量 備注備注 12 28 22 27 32 28 實驗樓 42 27 實訓樓長約 40m 建議每層部 署 2 個 AP 通過饋線將天線部 署到每個教室 12127 23 310 實驗樓 32228 多媒體 閱覽室較大 單獨 配置一臺放裝型 AP 101 21314 2 樓 70 個用戶 配置 4 個 AP 31014 綜合樓 43139 4 樓 70 個用戶 PEIZHI 4 個 AP 12 26 22 26 教學樓 白色 32 26 教學樓面積較大 建議每層配 置 2 個 AP 12 26 22 26 32 26 教學樓 粉色 42 26 教學樓面積較大 建議每層配 置 2 個 AP 數量合計數量合計 34834114 無線AP的部署分為室內放裝型及室內分布式兩種 室內放裝型自帶天線 可以部署在 較大的房間內或用戶比較密集的區域 提高無線接收效果 如多媒體室 閱覽室等 室內 分布式AP可配置功分器 提供多個天線分別接入到每個房間 提高覆蓋范圍 避免由于墻 體過厚導致的無線衰減問題 本次設計使用了8個放裝型AP 部署在多媒體室 閱覽室及 綜合樓的人員密集區域 使用了34個分布式AP和114根天線 覆蓋到每一個教室及主要 辦公室 提高完善的網絡覆蓋范圍 在注意覆蓋范圍的同時需考慮覆蓋的用戶總數 由于AP的處理能力有限 所以所以 建議每個建議每個APAP下下掛的用戶數量不超過下下掛的用戶數量不超過2525個個 在一些樓層用戶較多的區域 需考慮用戶 數上限的問題 如綜合樓的2樓和4樓 用戶數超過70 這些樓層建議配置4個AP進行覆 蓋 以達到較好的用戶體驗 2 3 4無線局域網拓撲 本次設計采用集中式構架 通過AC統一對下級的AP進行管理和維護 AC采用旁掛的方 式進行組網 通過本地轉發的方式進行數據傳輸 本次無線的拓撲結構如下 本次方案采用瘦AP方式實現大樓的無線覆蓋 便于進行集中配置和統一管理 在實際 工作中 無線控制器AC連接到核心交換機 與eSight網管系統的WLAN管理模塊協同工作 實現對全網AP的自動配置下發 射頻管理 信道分配 安全接入控制等等無線網絡配置和 運維管理功能 本次配置采用AC AP集中式管理的無線組網方案 各大樓根據工勘結果部署相應AP 通過千兆電口連接到相應樓層無線接入交換機 無線接入交換機提供POE功能 通過POE技 術對AP供電 簡化布線 無線POE交換機通過兩條千兆鏈路連接到核心交換機 核心交換機 旁掛一臺無線控制器AC 通過千兆電口互聯 采用集中式組網方式對無線AP進行統一管理和 控制 推薦配置如下 序號序號設備類別設備類別設備型號設備型號數量數量備注備注 1 盒式ACAC6605164個AP許可 2 室內放裝型AP 11bgn AP6010SN8POE供電 3 室內分布式APAP6310SN34 4 全向天線114 5 POE交換機S5700 28C PWR SI5每樓宇一臺 2 3 5無線 VLAN 規劃 VLAN規劃的原則 管理 VLAN 和業務 VLAN 分離 業務 VLAN 應根據實際業務需要與 SSID 匹配映射關系 1 1 1 N N 1 N N 管理管理VLAN 對于瘦AP 管理VLAN是指AC與AP之間控制報文所帶VLAN 控制報文包括AP上線時的報 文 DHCP等 以及建立CAPWAP控制隧道后的控制隧道報文 由于在實際應用中 AC需要按VLAN選擇DHCP SERVER 或RELAY還是透傳 因此管理 VLAN和業務VLAN必須分離 以便滿足不同DHCP應用的需求 如果AC AP間經過三層轉發 中間三層設備必須支持DHCP RELAY 同樣要注意區分管理VLAN和業務VLAN 使之采用不同 的RELAY GATEWAY 以便AC區別不同DHCP請求 業務業務VLAN 業務VLAN主要用于區分不同的業務類型或用戶群體 在WLAN中SSID也同樣可以承擔相 應的工作 因此 在業務VLAN的規劃中必須綜合考慮VLAN與SSID的映射關系 業務VLAN與SSID有如下四種映射關系 SSID VLAN 1 1SSID VLAN 1 1 部署 部署 例如對北京市西城區 金融大街 和 中央音樂學院 進 行 WLAN 覆蓋 都是北京聯通 WLAN 網絡的覆蓋區域 所以希望用戶搜索到的 WLAN 只有一個 SSID 如 北京聯通 VLAN 也只需要規劃一個 如 1000 SSID VLAN 1 NSSID VLAN 1 N 部署 部署 雖然北京市西城區 金融大街 和 中央音樂學院 都是 北京聯通 WLAN 網絡的覆蓋區域 用戶搜索到的 WLAN 只有一個 SSID 北京聯通 但希望規劃不同的 VLAN 標識不同的場點 如 1000 1001 這個場景中 SSID VLAN 1 N SSID VLAN N 1SSID VLAN N 1 部署 部署 雖然都是北京聯通的覆蓋區域 但希望用戶搜索到 WLAN 就知道自己在什么地方了 因此需要兩個 SSID 如 金融大街 和 中央音樂 學院 由于都是北京聯通的場所 VLAN 只想規劃一個 如 1000 SSID VLAN N NSSID VLAN N N部署 部署 雖然都是北京聯通覆蓋區域 但希望用戶搜索到WLAN就知道自己在 什么地方了 并希望通過不同的VLAN精細控制流量 因此需要兩個SSID 如 金融大街 和 中央音樂學院 同時VLAN也要規劃兩個 如1000和1001 4 無線網絡應用 無線網擴展了有線網的覆蓋范圍 將網絡應用延伸到學生向往的空間 這意味著可以 在任何便于工作的地方 如在報告廳 自助餐廳 實驗室 辦公室以及在校園休閑場地享 受學習的自由和靈活性 學生在上述無線覆蓋的區域可以收發電子郵件 點播流媒體節目 學習Web課程 利用 WebQuest探討問題 利用MSN或QICQ與他人 同學 老師或家人 協作交流思想和學習等 這要歸功于可以傳輸實時信息的各種手持終端和筆記本電腦 在其他行業中 無線局域網 日益被看作是一種創新的 可負擔的工具 用以補充有線網絡 而不是取代它 3 統一身份認證平臺統一身份認證平臺 統一身份認證平臺采用華為統一身份認證平臺采用華為 TSM 實現 實現 1 背景 隨著網絡技術的發展 學校廣泛采用協同辦公或通過遠程 移動和互聯網接入等 方式辦公 上述工作方式的應用在帶來更多資訊和更高生產效率的同時 也給企 業辦公網絡帶來更多的安全問題 面臨如下風險 遠程接入或移動辦公會導致網絡漏洞越來越多 學校的終端用戶 遠程辦公的終端用戶 合作伙伴 來訪客戶等多種終端用戶 接入總局或其他學校網絡 網絡接入點和接入方式增多 導致網絡漏洞成倍增加 非法終端用戶接入 外來人員在未經許可的情況下 能夠輕易接入并訪問公司的網絡 合法終端用戶越權訪問 因未對企業中的網絡資源進行嚴格的訪問權限控制 導致合法終端用戶能夠隨 意訪問企業中的機密信息 終端用戶濫用資源 在未經許可的情況下 終端用戶隨意使用撥號上網設備連接 Internet Microsoft Windows 操作系統存在越來越多的安全漏洞 因終端主機未及時安裝補丁 可能招致黑客和惡意用戶的攻擊 病毒泛濫 因未安裝防病毒軟件 終端用戶在上網時容易感染病毒 并且容易在企業網中 蔓延和傳播 黑客惡意破壞 黑客會利用 Microsoft Windows 的某些系統服務固有的缺陷或通過暴力破解長 期未使用的賬號入侵終端主機 再蓄意破壞企業中的 IT 系統 隨意共享目錄導致安全隱患和信息泄密 因共享目錄的權限設置不當導致機密文件泄密 并容易感染病毒 安全策略不能及時落實 管理員缺乏監督手段 不能敦促未安裝補丁的終端用戶安裝補丁或未更新病毒 庫的終端用戶更新病毒庫 終端用戶的違規行為得不到監控 管理員無法檢查終端用戶是否在上班時間訪問與工作無關的網站 最重要的是 缺少取證手段 上網無法進行計費 學校無法對學生的上網進行計費 計天 包月 流量計費 時長計費 自定義 周期計費 自定義計費策略 本周起不使用不扣費 一次付費分段開通 分地區計 費等 2 接入控制方案 在內網中 基于交換機實現的IP的訪問控制不僅配置管理不夠靈活 而且還存在IP被仿冒 等安全風險 無法徹底解決非法接入和越權訪問的問題 TSM系統終端用戶的身份認證 通過基于用戶角色的網絡訪問權限管理 加強內網的網絡 訪問控制 防止非法接入和非授權訪問 保證企業內網的安全 通過硬件安全網關進行準 入控制 3 身份認證方案 TSM系統建立了完善的接入用戶身份認證機制 支持系統內置賬號和外部數據源方式 系 統內置賬號包括普通賬號 MAC賬號 外部數據源賬號支持從AD賬號 LDAP賬號和CA 賬號等第三方的用戶系統中同步賬號 實現終端的網絡準入前的身份認證過程 TSM系統中 終端用戶是以終端角色來進行安全策略和網絡訪問權限管理的 終端只有完 成身份認證才能接入企業內網 因此本次實施方案需完成終端用戶的認證賬號配置 TSM系統參考現有企業的組織和管理結構 采用樹狀結構的多級管理方式 賬號數據源支 持系統內置賬號和外部數據源方式 系統內置賬號包括普通賬號 MAC賬號 外部數據源 賬號支持從AD賬號 LDAP賬號和CA賬號等第三方用戶系統中同步賬號 完成TSM系統的 接入認證 4 設備自發現 現網網絡規模較大 接入內網的設備較多 管理員很難及時動態滴了解網絡設備的接入情 況 建議啟用TSM系統的自動網絡掃描功能 掃描并自動分類網絡中的接入設備 如交換 路由設備 PC設備 服務器 IP電話 網絡打印機等 同時保證能夠及時發現網絡中出現 的新設備 對未安裝TSM代理的外來終端的接入行為進行告警 方便管理員了解網絡終端 的接入情況 5 終端加固管理 企業內網終端眾多 員工的計算機水平和信息安全意思參差不齊 由于操作系統安全設置 不當而引起的安全風險越來越明顯 僅通過目前行政管理手段無法保證所有終端的安全性 建議加強對操作系統的安全加固管理 具體管理方案如下 6 防病毒軟件安全策略 內網的辦公終端絕大多數已經安裝了防病毒軟件 但由于強制檢查 導致終端長期不更新 病毒庫和病毒引擎版本 使得防病毒軟件形同虛設 沒有發揮其重要的終端保護能力 因此 建議通過TSM系統的防病毒管理策略實現終端的安全防護 TSM配合企業自身的防 病毒軟件 通過檢查終端是否安裝 運行狀態以及防病毒軟件的更新狀態 作為判斷終端 當前安全狀態的一個依據 阻止或提示沒有部署殺毒軟件的終端或者殺毒軟件長期不更新 的終端接入網絡 保證企業內網運行的終端殺毒軟件能夠及時更新并且有效運行 減少病 毒感染和擴散的風險 7 強化補丁安裝 加強操作系統和應用程序的安全漏洞檢查 把補丁的檢查作為一個重要的檢查項 檢查操 作系統補丁 IE的SP補丁 OFFICE的SP補丁等 當檢查到終端沒有部署必須的補丁的時 候 TSM系統能夠協助終端快速完成補丁的修復 8 超時自動鎖屏 通過屏幕保護策略檢查終端的屏幕保護是否啟用 屏幕保護程序密碼是否設置以及屏幕保 護啟動時間是否符合企業安全要求的安全檢查 保證終端在空閑一定時間后屏幕保護程序 自啟動的安全要求 滿足企業終端桌面管理規范 當終端屏幕保護設置不符合規范時 進 行自修復 9 注冊表配置管理 通過對系統注冊表鍵值檢查 完成終端注冊表鍵值存在與否的安全性檢查 支持對終端的 自動修復功能 對于要求存在的鍵值 如果該鍵值不存在 則添加該鍵值 對于不允許存 在的鍵值 如果該鍵值存在 則刪除該鍵值 10 冗余賬號檢查 通過檢查系統冗余賬號 TSM系統能夠協助管理員發現終端長期未使用的臨時賬號 降低 企業終端安全管理風險 11 檢查賬號安全 通過賬號的弱口令檢查 賬號群組檢查 本地密碼策略包括密碼長度最小值 密碼最長存 留期屬性檢查等 保證終端操作系統賬號的安全 12 檢查端口策略 通過檢查終端口策略 有效保證對于接入網絡的終端 及時提醒個人用戶關掉無用端口 保證無用服務的最小化使用原則 13 網絡共享管理 Window操作系統默認情況下對共享文件夾和共享打印機設置為Everyone權限 如果終端用 戶安全意識不高的情況下 就會帶來較大的安全隱患 一方面 網絡內任意終端可能在未 獲得授權的情況下直接竊取共享信息 另一方面 公開的共享目錄也給病毒的傳播提供了 溫床 TSM的系統安全管理功能 能夠及時協助終端用戶發現并且清理不安全的共享賬號 14 監控非法應用和服務 通過檢查終端的軟件安裝情況和監控終端軟件程序的運行情況 阻止終端安裝和運行非法 應用程序 如果發現安裝或使用了非法軟件 進程和服務 可以通過與準入控制設備的聯 動提示或阻止該終端接入網絡 也可以攔截非法軟件 進程和服務的使用 規范員工的行 為 同時 管理員可通過審計軟件的安裝和使用情況 從而及時了解安全狀態 15 終端行為管理 法律規定了很多網站是非法的 比如有色情 迷信和犯罪相關的等等 使用寬帶接入互聯 網后 企業內部網絡某種程度上成了一種 公共 上網場所 很多與法律相違背的行為都 有可能發生在內部網中 這些事情難以追查 給企業帶來的法律法規方面的風險 因此 建議對員工的網絡訪問行為進行管理 具體管理方案如下 16 監控網站訪問 通過對WEB訪問的監控 記錄終端用戶的WEB網站訪問信息 由管理員進行統一管理和審 計 通過這樣的手段 一方面可以管理員工的上網行為 上班時間屏蔽一些與工作無關的 網站 另一方面 提供審計和責任追溯的途徑 17 軟件安裝標準化 通過軟件黑白名單檢查 檢查終端安裝軟件的列表 可以定義軟件黑名單的違規軟件列表 和軟件白名單的合法的軟件列表 也可以通過檢查軟件黑白名單規定只能安裝列表中的軟 件或者必須安裝的軟件 加強企業桌面軟件統一安裝的標準性 18 IP 訪問和網絡應用程序監控 通過對終端的IP訪問控制和網絡應用程序訪問控制功能 對于一些安全性要求比較高的業 務系統 允許定義基于時間段的IP訪問規則 允許配置特定用戶群在下班時間后不能訪問 一些關鍵的業務系統 防止對這些關鍵服務器可能造成的危害 允許定義網絡