移動(dòng)校園網(wǎng)-wlan建設(shè)方案

1、*移動(dòng)基于校園網(wǎng)的 WLAN 建設(shè)方案目錄OCEANSOFT INFORMATION SYSTEM CO., LTD 11.背景概述 32.網(wǎng)絡(luò)架構(gòu) 33.建設(shè)架構(gòu) 54.建設(shè)方案 74.1.無(wú)線網(wǎng)絡(luò)組網(wǎng) 74.2.無(wú)線安全網(wǎng)絡(luò)認(rèn)證 74.2.1.WPA2 認(rèn)證 84.2.2.WEB+DHCP 認(rèn)證 84.3.無(wú)線網(wǎng)絡(luò)管理 85.技術(shù)實(shí)現(xiàn)途徑 95.1.開發(fā)技術(shù) 96.優(yōu)勢(shì)分析： 91. 背景概述校園網(wǎng)已經(jīng)成為校園生活的重要組成部分，是教職員工和學(xué)生獲取資源和信息的主要途徑。他將校園里的院系、學(xué)生與從事社交、學(xué)術(shù)、業(yè)務(wù)活動(dòng)的行政人員緊密地聯(lián)系在一起，在教育系統(tǒng)中具有重要的作用。目前，越來越多的

2、學(xué)生擁有筆記本電腦，在教室、實(shí)驗(yàn)室、圖書館、大型會(huì)議室、體育館、室外廣場(chǎng)等場(chǎng)合如何突破網(wǎng)絡(luò)節(jié)點(diǎn)限制、實(shí)現(xiàn)多人同時(shí)上網(wǎng)的問題在應(yīng)用中不可避免。無(wú)線網(wǎng)絡(luò)解決方案能有效緩解校園網(wǎng)建設(shè)中存在的傳統(tǒng)有線網(wǎng)絡(luò)無(wú)法解決的難題，無(wú)線網(wǎng)絡(luò)技術(shù)具有無(wú)縫三維覆蓋、可移動(dòng)通訊等優(yōu)點(diǎn)，彌補(bǔ)了有線網(wǎng)絡(luò)的不足。如果校園網(wǎng)中采用無(wú)線接入，這一切都會(huì)發(fā)生很大的變化。2. 網(wǎng)絡(luò)架構(gòu)3. 建設(shè)架構(gòu)第一層為管理層，又稱為核心層。主要提供計(jì)費(fèi)、認(rèn)證、管理等服務(wù)，由主備兩臺(tái)接人服務(wù)器構(gòu)成，接人服務(wù)器是運(yùn)營(yíng)商和校內(nèi)用戶數(shù)據(jù)管理系統(tǒng)數(shù)據(jù)庫(kù)的對(duì)接的接口，并負(fù)責(zé)處理來自其下一層的無(wú)線網(wǎng)絡(luò)控制器發(fā)來的用戶認(rèn)證請(qǐng)求，根據(jù)預(yù)設(shè)策略判斷認(rèn)證類型并將請(qǐng)求

3、轉(zhuǎn)發(fā)至接入服務(wù)器本地，對(duì)用戶賬號(hào)的有效性采用相應(yīng)的協(xié)議(例如 PAP，CHAP，EAP 等認(rèn)證協(xié)議)進(jìn)行判別，并將結(jié)果返回給底層的無(wú)線網(wǎng)絡(luò)控制器，無(wú)線網(wǎng)絡(luò)控制器根據(jù)接入服務(wù)器的結(jié)果決定是否允許用戶的網(wǎng)絡(luò)訪問請(qǐng)求。另外，管理層還根據(jù)其下一層提供的計(jì)費(fèi)原始數(shù)據(jù)對(duì)無(wú)線用戶進(jìn)行計(jì)費(fèi)。由此可見，在三層架構(gòu)下，本層是最核心的一層，管理層系統(tǒng)的故障將導(dǎo)致整個(gè)無(wú)線網(wǎng)的癱瘓。因此管理層系統(tǒng)必須提供冗余備份，可以采用兩臺(tái)接入服務(wù)器，一臺(tái)為“主”，另一臺(tái)為“備”。平時(shí)只有主機(jī)工作，備機(jī)實(shí)時(shí)對(duì)主機(jī)數(shù)據(jù)庫(kù)中用戶賬號(hào)和配置信息等進(jìn)行同步，一旦主機(jī)故障能夠確保備機(jī)可以擁有和主機(jī)相同的配置和用戶賬號(hào)信息，從而可以保證整個(gè)無(wú)線

4、網(wǎng)的穩(wěn)定運(yùn)行。第二層為 WLAN 網(wǎng)絡(luò)控制層，也是安全控制層，由若干臺(tái)無(wú)線網(wǎng)絡(luò)控制器組成，每臺(tái)無(wú)線網(wǎng)絡(luò)控制器負(fù)責(zé)控制各自所在無(wú)線子網(wǎng)的無(wú)線用戶，接收所有用戶的認(rèn)證請(qǐng)求，并將用戶的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)至相應(yīng)認(rèn)證服務(wù)器，此外還負(fù)責(zé)為上一層提供用戶計(jì)費(fèi)原始信息的采集。第三層為無(wú)線鏈路接入層，該層由熱點(diǎn)區(qū)域的眾多 Access Point(AP)組成，主要負(fù)責(zé)如手提電腦、PC 機(jī)等終端設(shè)備接入。4. 建設(shè)方案4.1. 無(wú)線網(wǎng)絡(luò)組網(wǎng)通過在校園內(nèi)熱點(diǎn)區(qū)域采用蜂窩狀信號(hào)覆蓋方式，以實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)信號(hào)的無(wú)縫覆蓋。各熱點(diǎn)區(qū)域內(nèi) AP 通過在交換機(jī)上劃分到全局的獨(dú)立的 VLAN 中，該 VLAN 在中心不做三層交換以保證用

5、戶在未認(rèn)證之前與校園有線網(wǎng)絡(luò)之間的隔離。由于目前學(xué)校面積范圍普遍都比較大，因此考慮學(xué)校無(wú)線網(wǎng)絡(luò)規(guī)模大、覆蓋范圍廣、用戶數(shù)多的特點(diǎn)，對(duì)網(wǎng)絡(luò)性能和用戶認(rèn)證都提出了很高要求，如果將全無(wú)線網(wǎng)絡(luò)都劃到一個(gè) VLAN 內(nèi)，則會(huì)嚴(yán)重影響網(wǎng)絡(luò)性能，因此建議將全無(wú)線網(wǎng)絡(luò)根據(jù)無(wú)線網(wǎng)絡(luò)覆蓋的功能區(qū)域及用戶數(shù)劃分為幾個(gè)子網(wǎng)，每個(gè)無(wú)線子網(wǎng)分別由一臺(tái)無(wú)線網(wǎng)絡(luò)控制器對(duì)其所轄無(wú)線子網(wǎng)用戶進(jìn)行控制，以實(shí)現(xiàn)降低網(wǎng)絡(luò)廣播、用戶分流的目的。如圖 1 所示。4.2. 無(wú)線安全網(wǎng)絡(luò)認(rèn)證由于 WLAN 是承載于現(xiàn)有的有線校園網(wǎng)之上，通過電磁波信號(hào)將有線網(wǎng)擴(kuò)展到整個(gè)三維空間中，實(shí)現(xiàn)了將有線網(wǎng)中的位置分散的信息點(diǎn)在連續(xù)空間中的延續(xù)，任何可以接

6、受到電磁波信號(hào)的人都可以訪問網(wǎng)絡(luò)。而對(duì)于有線網(wǎng)絡(luò)來說一般只要控制有線信息點(diǎn)不讓非法人員接觸，就可以保障網(wǎng)絡(luò)的安全，因此如果應(yīng)用了一個(gè)沒有控制的 WLAN 將會(huì)比有線網(wǎng)絡(luò)更易受到攻擊和入侵。因此 WLAN 用戶的安全認(rèn)證、接人控制、數(shù)據(jù)加密更是尤為重要。針對(duì)目前校園在無(wú)線網(wǎng)應(yīng)用中的需求，筆者平衡了不同種類用戶對(duì)網(wǎng)絡(luò)安全級(jí)別要求不同及用戶易于使用兩者之間的關(guān)系，提出利用無(wú)線網(wǎng)絡(luò)控制器，為整體無(wú)線網(wǎng)絡(luò)提出基于 WPA2 認(rèn)證和 WEB+DHCP 認(rèn)證的用戶安全認(rèn)證的解決方案：4.2.1. WPA2 認(rèn)證無(wú)線網(wǎng)絡(luò)控制器采用 WPA2 認(rèn)證，WPA 即 Wi-Fiprotected access 的簡(jiǎn)稱

7、，WPA2 是 WP A 協(xié)議的第二版，與 WPA 后向兼容，但是與 WPA 采用 RC4 加密算法不同，WPA2 支持更高級(jí)的 AES 算法，能夠更好地解決無(wú)線網(wǎng)絡(luò)的安全問題。從而實(shí)現(xiàn)了對(duì)數(shù)據(jù)更高級(jí)別的安全保護(hù)。4.2.2. WEB+DHCP 認(rèn)證考慮到 WPA2 認(rèn)證方式對(duì)客戶端需要進(jìn)行一定設(shè)置才能工作，為了便于用戶使用、簡(jiǎn)化操作，也可以使用無(wú)線網(wǎng)絡(luò)控制器對(duì)無(wú)線用戶采用 WEB 十 DHCP 方式進(jìn)行認(rèn)證。 WEB+DHCP 認(rèn)證方式是一種非常便于操作的認(rèn)證方式，無(wú)需用戶端安裝任何軟件，當(dāng)用戶需要上網(wǎng)時(shí)僅需打開瀏覽器即可彈出認(rèn)證頁(yè)面，用戶在認(rèn)證頁(yè)面上輸入自己的賬號(hào)名和密碼即可，同時(shí)用戶在認(rèn)

8、證時(shí)，用戶的賬號(hào)信息均通過 SSLTLS 方式進(jìn)行加密，保障用戶賬號(hào)信息的安全。并在認(rèn)證頁(yè)面上也會(huì)有一系列的使用提示信息，能夠?qū)τ脩羯暇W(wǎng)操作進(jìn)行一定引導(dǎo)，方便了用戶的使用。4.3. 無(wú)線網(wǎng)絡(luò)管理為了保證無(wú)線網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，對(duì)其進(jìn)行方便、高效的管理是必不可少的。因此在本方案中采用了一個(gè)完整的無(wú)線局域網(wǎng)網(wǎng)管系統(tǒng) WNMS。WNMS 采用網(wǎng)絡(luò)管理的標(biāo)準(zhǔn)協(xié)議 SNMP 對(duì)相關(guān)無(wú)線局域網(wǎng)設(shè)備進(jìn)行配置、管理數(shù)據(jù)、性能數(shù)據(jù)、故障數(shù)據(jù)的采集和分析，同時(shí)也可通過 WNMS 對(duì)具體設(shè)備上的參數(shù)進(jìn)行配置，調(diào)整，故障診斷。WNMS 還提供拓?fù)浒l(fā)現(xiàn)、管理的功能，可以直觀的反映出無(wú)線網(wǎng)絡(luò)控制器、AP 和其他相關(guān)設(shè)備之間的

9、對(duì)應(yīng)關(guān)系。網(wǎng)絡(luò)監(jiān)視基于網(wǎng)絡(luò)拓?fù)鋱D進(jìn)行，在性能、告警、配置等方面動(dòng)態(tài)反映網(wǎng)絡(luò)的變化。由于無(wú)線 AP 孤立地分布在比較分散的位置，因此在一個(gè)完整的 WLAN 解決方案中，WNMS系統(tǒng)將成為保障無(wú)線網(wǎng)絡(luò)穩(wěn)定運(yùn)行不可缺少的重要組成部分。5. 技術(shù)實(shí)現(xiàn)途徑5.1. 開發(fā)技術(shù)開發(fā)平臺(tái)：Microsoft Visual Studio .NET。開發(fā)語(yǔ)言：C#，ASP.NET 和 Jscript。數(shù)據(jù)庫(kù)：oracle 10G，Erwin 數(shù)據(jù)庫(kù)管理工具。架構(gòu)平臺(tái)：推薦使用 BS 架構(gòu)。6. 優(yōu)勢(shì)分析：本方案主要是基于校園網(wǎng)提出的 WLAN 應(yīng)用方案，最終目的是使學(xué)校內(nèi)的教職員工和學(xué)生能便捷的訪問網(wǎng)絡(luò)資源、以及便于各校之間的人員和信息交流。(1) 可以支持多種認(rèn)證方式同時(shí)并存，滿足不同種類用戶對(duì)網(wǎng)絡(luò)安全、易使用、賬號(hào)控制策略方面的需求。(2) 既對(duì)現(xiàn)有校園網(wǎng)業(yè)務(wù)進(jìn)行了有效的整合，又保持了無(wú)線網(wǎng)業(yè)務(wù)的高度可擴(kuò)展性和相對(duì)獨(dú)立性，有利于校園師生學(xué)習(xí)