雨滴科技yudear.com

高校无线校园网络建设方案探讨

项目建设目标

辽宁铁道技术学院无线校园网项目作为铁道学院“智慧校园”建设的组成部分,建设区域包括:3栋教学楼、5栋寝室公寓区、体育馆、图书馆、培训楼、实训楼、食堂。通过无线网络建设,实现在校师生通过移动终端高效、流畅、便捷地访问校内及互联网资源,改善网络接入体验。

铁道学院无线校园网项目解决方案依照教育部颁发的《教育信息化十年发展规划(2011 – 2020年)》中对“基本实现宽带网络完全覆盖”和“高校数字校园建设”发展规划,结合铁道学院的实际情况,无线网络建设需要满足以下几方面。

1

稳定的无线覆盖

无线信号由于会受到天气、周边环境及已经部署在学校场景的其他无线信号源的干扰,确保新建无线信号的稳定是本次设计首要解决的问题。通过实际环境地勘、测试无线信号等方法,确定影响本次无线建设的各种因素,进行综合分析,确保新建无线网络信号稳定、无盲区的覆盖。

2

安全的无线覆盖

无线网络通过广播SSID(Service Set Identifier,服务集标识)的方式,为信号覆盖范围内的终端设备提供无线接入的信息点,由于无线信号的开放性,如何有效阻止未授权用户接入无线网络是确保无线网络安全的前提。在无线网络覆盖安全方面,将采用强制接入认证、非法AP抑制等技术手段,确保接入无线网络用户的合法性和唯一性。

3

可控的无线覆盖

本项目设计具有范围广、用户多和新增设备多等特点,做到对网络所涉及到的设备资源的可控,使得最终网络中的所有设备运行在最佳状态,整体提升无线网络的健壮性。

互联网出口网络设计

互联网出口网络连接拓扑设计如图1所示。

图2

图1  互联网出口网络连接拓扑设计

为确保在校师生的网络使用,选用4G互联网出口,用于学校互联网访问。如图1所示,提供2条裸光线纤 + 1个PTN方式,直连锦州移动互联网汇聚层路由器,中间不经过其他共享设备,每个链路独享1G互联网带宽,PTN方式提供物理双路由保护,在未来可以提供10G、20G、40G及更高要求的扩展需要。

无线网络拓扑结构设计

此次无线网络设计,可以建立一个稳定、安全、可靠、易用、易管的无线校园信息化网络,为信息化建设提供一个优秀的网络基础平台及无线环境。整个无线网络分为核心层、汇聚层、接入层、无线设备、网络管理及认证系统构成。核心万兆链路下联汇聚交换机,接入POE交换机均采用全千兆速率,从而实现万兆骨干链路,千兆到桌面的高速网络,无线部分通过POE进行供电及数据转发。根据网络的层次模型,网络拓扑图如图2所示。

图2  网络拓扑图

1

核心层设计 —— 模块化核心设备故障隔离,确保网络安全稳定

无线网络通过核心设备提供全网有线、无线的全网融合,统一架构、统一管理,尽可能简化网络架构,提升管理效率,核心设备通过万兆链路连接无线网络汇聚交换机,提供万兆骨干的网络结构,提升整体无线网络的性能,通过高性能的核心设备承担无线用户的网关,提供稳定可靠的转发效率。

核心层设备是整个网络的关键设备,并且承担网内各接入设备与服务器之间的高速数据转发,为保证设备及网络的稳定性,核心交换机采用模块化设计。各功能模块独立,故障隔离,提升系统稳定性。

2

汇聚层设计 —— 安全、策略配置上收到核心交换机,简化网络结构

汇聚层的主要功能是作为楼层接入交换机的汇聚节点,因为大部分楼栋接入交换机和汇聚交换机位于同一个机房,所以接入和汇聚采用了双绞线互联的方式;通过与核心交换机配合,将汇聚交换机所有安全配置及策略配置上收到核心交换机,简化网络结构,减轻维护压力。

3

接入层设计 —— 支持安全保护协议,保证设备稳定运行

POE接入交换机通过网线提供AP的供电及数据的传输,并且接入交换机同样支持安全保护协议,保证设备运行的安全性,保证设备不会因为攻击或利用率过高导致宕机。

接入层设计需要完成以下功能:① 实现认证;② 实现业务划分;③ 对数据包进行分类和标记。

4

无线接入认证设计 —— 提供便捷网络的同时,确保网络认证安全

无线网络在提供便捷网络服务的同时,既要满足合法用户使用无线网络,又要考虑到不同的终端类型、屏幕尺寸对Portal认证页面的不同要求,实时地对各种终端类型进行识别,并推送符合终端屏幕尺寸的Web Portal页面,使用户能够更为便捷地输入用户名及密码,提升无线用户体验。

5

网络加速结构设计 —— 先进的网络加速设备,提升网络使用感知

随着互联网发展日新月异,用户使用网络的习惯已经发生了明显的改变。根据最新的统计,互联网61 % 的流量为视频流量,24 %的流量为文件下载。如何针对这两种文件进行网络优化和用户体验提升,已经成为所有网管员最为关注的问题。

设计选用的网络加速设备对于P2P下载、网络流媒体(如在线视频)等热点资源进行有效的缓冲,用户再次访问热点资源时,以内网形式进行访问,有效减少出口重复性流量的使用,减少出口带宽的压力,提供用户更好的使用体验。

6

 防代理设计 —— 防止私设代理,消除网络安全隐患

随着用户终端的增多,每个用户都希望访问互联网,但是私设代理、共享多人上网的行为也普遍存在,这样的代理存在安全层面问题,影响学校网络的正常运营。

图3  无线网络防代理设置

设计中考虑到这样的问题,做出以下要求:

a. 可杜绝各类互联网代理及破解工具,确保ASME防代理系统的长期有效性。

b. ASME无需部署客户端,传统针对用户端的破解方式无效。

c. 采用纯嗅探检测方案,ASME系统无外出报文,防止漏洞被恶意利用。

d. 可实时更新特征库,确保快速封杀最新的破解、代理工具。

e. 基于DPI技术,采用多维度、应用层交叉匹配检测,解决多网卡、VPN等常见误判。

f.  部署方便,适用场景广泛。

g. 支持旁路部署,即插即用,不改变用户原有拓扑。

h. 支持有线、无线、Web、802. 1 x、PPPoE等各种认证方案。

本文有删减,全文载于《建筑电气》2018年第5期,详文请见杂志。

版权归《建筑电气》所有。

更多精彩内容,还请关注《建筑电气》杂志2018年第5期。

▼ 扫描下方二维码可进行购买。

或者 点击左下角“阅读原文”

作者:张闻,男,辽宁省建筑设计研究院有限责任公司,高级工程师,主任工程师。

建筑电气杂志2018年第5期现已在微信上架

更精彩内容,继续阅读:

高校配电变压器负载率分析

【新刊要览】《建筑电气》第5期 2018中国建筑学会建筑电气分会专刊(下)

【喷水池、浴室、游泳池电击防护分析】意外突如其来! 一家三个小孩瞬间被夺走性命!

王厚余:喷水池电击事故起因简析

《建筑电气》

◤ 创刊于1981年,由住建部主管,中国建筑西南设计研究院有限公司、中国建筑学会建筑电气分会、全国建筑电气设计技术协作及情报交流网主办。

◤ 坚持新思想的交流,新技术的推广,新品牌的拓展。

◤ 合作联系:

TEL:028-61808677

QQ:3171618308

长按→选择“识别图中二维码”关注

发表回复