高校无线网络建设方案

高校无线网络建设方案
1 校园网络建设背景
目前校园网为学校和运营商共同运营，运营商提供宿舍网维护、出口带宽。

目前整个校园网有线部分已经比较完善，但是由于建设年限比较旧，星锋航建议可以逐步进行替换，将原有百兆更换为千兆接入到桌面。

校园网有线接入接入交换机，每台接入交换机都需要管理人员进行配置，网络面临着设备管理难得问题，需要进行将整体网络扁平集中认证。

校园内部也有WIFI，但是WIFI单独独立于校园网，学生移动终端使用越来越频繁，只有有线网络的校园网很难以应对日益增长的移动终端使用需求。

2 高校无线网络需求
◆实现室内、室外整个校区内的无线全覆盖。

◆有线、无线网络采用统一的管理系统，以提高网络安全性和便利性。

3 校园网络总体目标
校园网络项目总体目标如下：
利用先进的无线网络技术进一步扩展校园网的覆盖范围，使全校师生能够随时随地、方便高效地使用校园网络；
满足校内日益增长的移动终端如PDA、手机、平板电脑对互联网访问的需求；
改善现有有线网络的网络体验；
提升校园网络环境，提高管理水平和效率，推动学校信息化建设，服务无所不在且安全优质，建立校企合作的运营模式，实现校企双方的双赢战略；
3.1 具体目标
建设一个高可用、高安全、高稳定、易使用、易管理、易扩展的无线校园网络与基础设施平台，通过支持802.11N标准，实现无线网络的无缝、高速覆盖，为网络资源的充分利用和共享提供强有力的保障，为学校的全面信息化奠定坚实的基础。

网络基础设施完善，基本形成覆盖全校的高速无线网络。

在网络规模、技术水平、性能、稳定性和安全性方面，达到省内一流水平，为学校各类应用系统和公共资源服务提供一个高速、安全、可靠的无线基础平台。

全面进行多种灵活接入方式建设，通过完善的高速无线网络来实现整个校园范围内无盲点区域的网络覆盖，学校拥有对全校（包括无线网络在内）的所有网络设备完全管理权限，以保证整个校园网络的可用、可管；在校内可以提供各运营商的无线网络WLAN接入等。

3.2 项目建设目标
星锋航方案侧重实际应用，覆盖校园内大部分区域（包括宿舍楼、教学楼），为教学和学习生活提供切实可用的无线网络环境；
采取通行的网络协议标准：目前无线局域网普遍采用802.11系列标准，因此校园无线局域网将主要支持802.11n/802.11ac标准，从而提供可供实际应用的相对稳定的网络通讯服务；
全面的无线网络支撑系统（包括无线网管、无线安全，无线计费等），以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题；
保证网络访问的安全性，支持Web登陆、pppoe、专用客户端、radius认证、pptp_vpn，支持微软系统自带的vpn及Android、iOS系统自带VPN拨入认证多种认证方式；并且此次需要实现有线网和无线网的统一认证；
集安全、管控、优化于一体的网络出口解决策略；
采用扁平化的网络构架、方便管理和扩展，迎合未来网络的发展趋势。

3.3 项目建设要求
无线覆盖范围要求：
有线网络无法接入的室外场所：校园内一些场所很难实现网络有线接入，采用无线方式可以实现覆盖大范围室外空间的无线网络接入，本次建设主要包括体育馆、体育场、活动广场等。

有线网络使用不便或受限的室内空间：校园内一些室内场所空间较大，会产生许多人同时接入网络的需求，采用有线的方式只能提供少量接口，不能满足要求。

用无线网络覆盖来解决相当数量的移动设备同时访问网络的问题，主要包括教学楼楼、会议厅、图书馆、礼堂等；
持有大量无线终端的学生的生活场所：学校宿舍已经部署了有线网络，但是对于学生来说，使用手机、笔记本或者pad来上网的时间更多，这就要求对于每个宿舍都进行无线网络的覆盖，并且对于每个房间来说，无线网络至少应满足8台以上终端的接入能力。

安全、认证、计费和管理要求：
为了阻止没有被授权的用户访问无线网络，以及防止对无线局域网数据流的非法侦听，星锋航考虑无线网络要具有相应的安全手段，主要包括：物理地址（MAC）过滤、二层隔离、portal认证等；
无线局域网的终端认证支持Portal认证方式和802.1X安全认证方式，访问控制系统与认证计费系统相互配合实现终端接入认证，便于用户的使用及维护。

同时在连续覆盖区域的认证上要充分考虑移动用户的易用性，达到一次认证使用的目的；
校园网络结构要求：
无线接入所需布设的AP通过POE交换机接入校园网的核心层设备，同时办公有线网络的汇聚交换机与更换的核心设备相连，保证有线网络与和无线网络的融合。

简化原有网络结构：随着无线设备的大量加入，网络运维人员压力大，没有足够精力维护每台接入交换机，需要简化现有三层网络架构，使接入设备配置尽可能简单，减少运维人员的工作压力。

基于以上考虑骨干网采用扁平化网络架构，将认证网关上收至核心设备，使管理更加快捷高效。

3.4 网络设计思路
通过此次校园网的建设，提供全校无线网络覆盖，为广大师生提供更加快速、稳定、便利的校园网接入方式，让学生和老师随时随地都可以访问校园网，更好的为学生的学习、生活，老师的教学、办公等提供优质的信息化服务，同时实现学校自主分区域、分时段、分权限的可控可管。

星锋航对整体网络有如下的整体设计思路：
出口区域改造：出口区域改造设计出口网关设备、流量控制设备
网关设备：网关设备除了具有强大的NAT 功能、数据转发能力外，还需要具有多链路负载功能、负载保护功能等，当其中一条链路发生拥塞时能够及时发现，并且进行智能调整；
流量控制设备：基于用户的服务、应用等条件进行灵活的流量控制；
核心区域改造：现有网络核心设备已经无法满足网络改造及扩建的需求，需要对现有核心设备进行更换，原有的核心设备作为有线网络汇聚交换机与核心设备相连，用以利旧；
为了便于后期网络维护，网络整体架构采用扁平化模式，用户网关上收至核心交换机，同时办公有线网络部分设备采用原有的接入设备，通过认证上收，在保留相同安全防护的前提下简化接入交换机的配置；
无线网络改造：无线网络涉及学生宿舍、实验楼、办公室、教室、体育场等，针对不同的覆盖场景选择不同的信号覆盖方案，宿舍采用面板AP进行信号覆盖，办公室及教学楼采用X-sense系列AP进行信号覆盖，室外区域大功率室外AP进行信号覆盖，具体说明如下：
办公区域：采用AP进行信号覆盖，支持802.11a/b/g/n/ac无线标准，单AP可达到1167Mbps的共享速率，AP采用POE供电，千兆上联至POE交换机，保证接入带宽；
宿舍区域：采用墙面式AP进行无线信号覆盖，为每个房间提供双频双流，最大300Mbps 的单频接入速率，
运营管理平台：通过部署系统与其它网络设备协同工作实现网络运营、增强全局安全的目的，提高管理效率。

通过与无线控制器的联动实现基不同终端类型的身份验证，配合日志平台实现用户实名上网日志记录，配置出口设备实现基于用户身份的路由选择和带宽控制；
3.5 项目建设价值
通过本次的网络升级改造项目，可以为校企双方提供如下价值点：
为学校师生提供一个可用、好用的无线网络，满足日益增长的无线需求。

改善学校无线网络原有体验
建立校企合作的运营模式，实现双方的共赢
帮助学校管理维护网络，提供专业的售后
4 校园网络方案设计
4.1组网方式
在有线网络上构建WLAN系统，WLAN系统的基本构成主要包括接入点AP和接入控制器AC，有线、无线网络集中认证、计费、管理，为用户提供移动数据网的接入服务和相关业务服务。

4.2 方案设计原则
根据上述的需求分析和部署环境的实际特点，学院的网络整体规划，需要本着以下原则进行规划与设计：
无缝信号覆盖
本次无线校园网建设采取标准的802.11ac网络协议标准，提供不低于600Mbps的单个AP的无线带宽接入能力，提供高性能的无线覆盖；
无线信号覆盖学校的大部分区域，保证被覆盖需求的网络访问流畅，提供数据接入业务，让在此居住的学生能够快捷的访问丰富的校内资源。

同时，必须利用现在的学院有线资源，做到有线、无线混合组网，避免学生投资的浪费。

支持多种服务
基于网络的未来可持续发展，无线网络规划应为未来发展多媒体、高带宽的无线宽带应用（如，无线语音应用、无线视频会议应用、无线监控、无线多媒体通信应用等）打下基础，并提供低成本的无缝升级和先后兼容。

无线系统需要具有IPv6协议和流量的分类转发和管理能力。

安全防护特性
网络必须具有良好的安全防范措施和密码保护技术，灵活方便的权限设定和控制机制，使系统具有多种有效手段，防范各种形式对网络的非法入侵和内部攻击，以保证网络的实体安全、网络安全、系统安全和信息安全，有效地保障正常的业务活动和防止内部信息数据不被非法窃取、篡改或泄漏。

因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。

网络融合兼容
本次建设的无线网络能够很好的与现有的学院校园网兼容，学生无论在宿舍区域还是在教学区域都采用统一身份准入系统，实现对学生访问资源的统一管理和认证。

网络的扩展性
在网络规模不断发展的情况下，无线网络应满足在不改变主体架构与大部分设备的前提下，平滑实现升级和扩充，降低原有网络的硬件投资，并保证扩展后的系统可用性与稳定性。

预留AC、AP可升级的能力，为未来无线校园网建设提供基础，无线网络要支持AC冗余扩展N+1的冗余备份能力；
网络建设过程尽量保护现有的软、硬件资源，保证各部门现有的计算机系统的使用，逐步过渡，有效保护学校投资，最终形成一个统一的、一体化的综合网络系统。

高速的数据转发
网络链路和设备具备足够高的数据转发能力，保证各种信息的高质量无阻塞传输；交换系统具有很高的交换容量与多服务支持的能力，保证网络服务的质量。

便捷的管理平台
为了让校园网能够良性、稳定、持续、健康的发展，对校园网学生进行严格的管理和控制，学校需要对校园网进行学生接入管理管理，通过对上网的学生进行认证，记录上网学生的行为，为学校的网络管理提供便利的工具。

于此同时，对于本次网络中所涉及的无线AP、AC、交换机等设备能够实现无线、有线统一的管理，确保各设备运行在最佳状态，为学生公寓内的学生提供可靠的网络接入服务。

规范化标准化
网络体系结构、通信协议及软件的设计和开发必须按照国家或行业标准进行，要模块化、结构化、数据要代码化，以便于信息共享和交流及将来的维护。

在系统设计和软件开发时，应用程序必须规范化、模块化和可复用。

4.2 拓扑图
4.3 方案特点
方案采用无线控制器AC和FIT AP的方式进行部署。

有如下特点：
高可用性：AP采用专业天线，带机量大，发射功率线性可调，可根据实际环境，合理调整AP发射功率，满足不同区域的覆盖需求。

高可靠性：采用FIT AP方案，支持负载均衡，AC能够动态调整用户在不同AP间的均匀分布，防止个别AP过载。

高扩展性：持MAC认证、Portal认证等多种用户接入认证方式，可结合外置portal服务器和认证服务器实现web认证、短信认证，微信认证等多种认证方式。

使用灵活：支持SSID绑定VLAN，灵活方便控制不同SSID的网络权限。

便于部署：AP支持802.3af/at标准PoE网线供电，既可吸顶式安装，又可壁挂式安装，因地制宜，使用灵活，室外AP采用专业室外壳体设计，适应各种恶劣环境。

易管理性：FTT AP统一由无线控制器AC管理，自动发现并统一管理AP，可实时查看AP运行状态，方便网络管理和运维。