搜索
无线网络方案设计——北京市某中学无线校园网络设计方案杭州华三通信技术有限公司版权所有,未经授权不得使用与传播如何设计一个无线网络?l如何设计一个好的无线网络?!……这张胶片讲解的是北京某中学无线校园网络的设计方案,仅仅是一个简单的案例而已,我们希望通过它来激发大家的无线网络设计热情。这样,我们的目的也就达到了。n客户需要什么n客户现在有什么n量身定制满足客户需求目录客户需要什么?l召开项目分析会,客户提出了很多需求信息中心老师说:à无线网络只能配置一个SSID:如果SSID有多个,用户使用上不方便。à不同位置的无线用户属于不同的网段:高中部、初中部、办公楼的用户规划到不同的网段,便于我们监控和管理;à无线网络的管理和维护要方便:1、配置和升级要方便,一台一台的去登陆和配置就太可怕了;2、网络状况要实时监控,无论是设备还是用户;à对无线用户进行认证计费1、凡是使用无线网络的都要用账号登陆;2、最好是不需要客户端的那种认证方式,IE认证页面上可以加上我们中学的logo,最好还可以添加校内通知等即时消息;客户需要什么?(续)l教导主任要求à学生和老师的账号要区别对待:学生要严格限定上网行为,老师就不做限制了;à学生上网时间要严格限定:高中学生周一到周五的中午11:30~13:30,下午16:30~17:30,晚上20:00~22:00这些时间段可以上网;初中学生周一到周五的中午11:30~13:30,下午16:30~17:30可以上网;所有学生周六、周日一律不能使用无线网络,每月上网时间上限是40个小时;à学生上网账号要严格限定,禁止转让他人使用:1、学生上网账号要和学号等信息绑定;2、限制同一账号的上网人数;à严格监视学生的上网行为:1、不能访问色情、暴力、邪教等网站;2、严禁使用迅雷、BT等p2p下载工具;3、QQ、MSN等通讯工具尽量少用,该行为和学生考评严格挂钩;目录n客户需要什么n客户现在有什么n量身定制满足客户需求客户现在有什么(1)有线网络的结构:Ø网络结构千篇一律,核心、汇聚、接入;Ø出口一台防火墙;Ø认证计费系统没有,正在筹建中;Ø有一条10M的公网出口线路;Ø能够分配给无线用户和设备使用的内部私网地址有很多,不存在地址不够用的情况;客户现在有什么(2)无线客户端类型Ø便携机占绝大多数;操作系统以Windows为主,部分学生使用苹果品牌机;Ø手机上网成为热点;ØPDA等终端也有使用;无线客户端上网需求Ø无线用户以学生和教职工为主,全校3000人左右,同时在线的用户不超过1000人;Ø无线用户的分布以教学楼、图书馆、办公楼为主;Ø无线用户上网压力最大的时段是上午11:30~13:30和下午16:30~17:30;目录n客户需要什么n客户现在有什么n量身定制满足客户需求第一步、部署无线设备l无线控制器AC+FitAP的方案是不二之选;l无线控制器AC:WX5004还是WX6103;盒式设备还是无线板卡?lFitAP:双频还是单频;室内还是室外;自带天线还是外购天线;抱杆安装还是壁挂安装?AP的布放点位和数量不在这里讲解,请参考“无线网络的勘测设计指导”高中部办公楼/图书馆Firewall第一步、部署无线设备(续)第一步、部署无线设备(续)lAC和AP之间是三层网络还是二层网络互连?l无线设备的管理IP地址、无线用户的IP地址如何规划?lDHCPServer如何规划?是配置在AC上还是配置在校方核心设备上?要求:对原有网络结构改动少;为后期的扩容留有余量;第二步、增加认证计费系统l建议采用Portal认证方式,简单且易实施,Portal页面可以定制;l采用iMC平台+UAM+CAMS+WSM组件构建认证计费管理平台,可以实现AAA功能、PortalServer功能、计费功能、无线网络管理功能;l根据无线用户上网数量、AP的数量订购license,不仅满足当前需求又方便扩容;(ApplicationControlGateway)是业界识别最全面、控制手段最丰富的高性能应用控制网关,能对网络中的P2P/IM带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制;同时,根据对网络流量、用户行为进行深入分析,可以帮助用户全面了解网络应用模型和流量趋势,为开展各项业务提供数据支撑。lH3CACG系列包括SecPathACG2000-M、SecPathACG8800-S3和应用于H3CS75E/S95系列交换机的SecBladeACG模块。第三步、部署流量监控及行为审计设备对用户上网行为进行深入分析,识别出相关应用采取阻断、限流、干扰、过滤、警告等控制手段通过采集相关访问信息,实现事后行为审计行为识别行为控制行为审计ACG实现目标第四步、客户需求的实现细节(1)l同一SSID,且不同上网区域的无线用户属于不同的网段#wlanservice-template1clearssidSchoolbindWLAN-ESS1service-templateenable#interfaceWLAN-ESS1portaccessvlan11#interfaceVlan-interface11ipaddress10.10.11.1255.255.255.0#interfaceVlan-interface12ipaddress10.10.12.1255.255.255.0##wlanapap1modelWA2100serial-id123456782WB095002866radio1channel11service-template1radioenable#wlanapap2modelWA2100serial-id123456782WB095000732radio1channel6service-template1vlan-id12radioenable#第四步、客户需求的实现细节(2)l无线网络的管理和维护#snmp-agentsnmp-agentlocal-engineid800063A20300238934AB1Csnmp-agentcommunityreadpublicsnmp-agentcommunitywriteprivatesnmp-agentsys-infoversionallsnmp-agenttarget-hosttrapaddressudp-domain10.10.10.246paramssecuritynamepublic#第四步、客户需求的实现细节(3)l对无线客户端进行Portal方式的认证计费操作AC做本地PortalServer的配置#portalserverlocalportalip10.11.11.1url制定Portal认证的URLportalfree-rule2sourceanydestinationip10.11.5.25mask255.255.255.255//无线用户到DNS的数据流量不限制portalfree-rule3sourceip10.11.5.25mask255.255.255.255destinationanyportalfree-rule4sourceinterfaceGigabitEthernet1/0/4destinationany//不配置该免认证规则时,从GE口进来的报文也被丢弃,用户通过认证后也ping不通外网(网关),加上该规则的目的就是让放开从该口进来的报文portallocal-serverhttp//本地Portal方式为Httpportallocal-serverbindssidSchoolfilelocalportal.zip//制定无线用户Portal认证页面的文件#interfaceVlan-interface11ipaddress10.11.11.1255.255.255.0portalserverlocalportalmethoddirect//在无线用户网关上配置Portal认证#如果客户订购了iMC+UAM组件,我们建议在UAM上配置PortalServer功能,而不建议启用AC的本地PortalServer功能,原因是:客户定制Portal页面存在很多限制、无线用户数量过多将导致AC负荷过重;第四步、客户需求的实现细节(4)l无线用户的认证计费在iMC的UAM组件上创建无线用户账号等信息à导入无线用户信息,比如学生的学号、班级、联系方式、身份证号等;à创建用户分组:学生、教师、来宾;à针对不同用户分组制定不同的认证计费策略Ø学生:限定同一账号同时在线的数量;预付费的计费方式、按时长计费、预存40小时的费用;上网时间有一定的限制;Ø教师:限定同一账号同时在线的数量;不计费、无时间限制;Ø来宾:不计费;上网账号是临时创建的;第四步、客户需求的实现细节(5)l无线用户上网行为监管ØACG设备串接到出口上对用户上网的行为进行监管,识别P2P流量、监控用户访问非法网站等;Ø和iMC认证计费系统结合,在学生申请无线上网账号时严格限定每月上网的时长;Ø技术和管理手段相结合,将学生的上网行为和考评挂钩;第四步、客户需求的实现细节(6)l无线用户的二层隔离#user-isolationvlan2enableuser-isolationvlan2permit-mac00E0-FC48-C00C#l无线用户的限速在iMC的UAM组件上配置,还是在AC上配置?l无线用户的自助服务UAM的自助服务组件(SelfService):查询接入明细、查询账号余额、注销等;杭州华三通信技术有限公司