中医药校区网络方案建议书

方案概 项目背 用户场景分 项目需求分 无线................................................................................................................ 网络总体架构设 方案详 终端智能识别的WEB认 基于802.1X的无感知认 访 有线无线网络管 拓扑管 设备选 附录一：相关产品说 附录二：本项目无线地勘详细情 方案概项目背中大学（BeijingUniversityofChineseMedicine）是中民教育部直属的一所以中学科为特色的重点大学，是国家“211工程、“985工程优势学科创新平台”重点建设院校之一，是“111计划”入选高校，由教育部、国家卫生和、国家中管理局、市共同建设。学校创建于1956年，原名中医学院，是最早成立的高等中医院校之一，1993年更名为中大学；2000年与针灸骨伤学院合并组成新的，中大学。学校有全日制在校生9279人，其中本专科生6108人研究生2507人，博士664人，师生共有1万人以上。，中大学现有三个校区，其中主校区坐落于市朝阳区北三环，占地约400亩，学校信息化建设已经初具规模。后经中民教育部批准，中大学在市房山区良乡高教园区征地1433亩建立新校区。校园内院，工商大学，首都师范大学等高校2011年10月30日，中大学良乡校区在房山良乡高教园区举行奠基仪式。2013年9月8日，中大学良乡校区东院学生宿舍、、公10月底，这三个区域已经基本完项目建设目本方案的总体目标是建设校园内的基础有线网络设计符合中大学、实现良乡校区第一期项目（包括公共教学楼楼、东院学生宿舍等区域）的无线有线；、sam认证系建设有线无线的管理平台方案价值有线网络稳定，无线覆盖无盲区、高性802.11n、802.11ac高速无线技术，在提供适合场景需要的的高无线性认证计费系统更安全、更便Web802.1x，既安全又便捷。采用无感知认证方式使得一次认证后续免认证，提高学生的无线体验。采用认证方式，让学校师生以网络管理更全面、更简 用户场景分项目总体情、此次网络建设是对中大学新校区的一期项目进行有线无线包括公共教学楼、东院学生宿舍区等以及其间的所有室外区域，后续会完成对全校的有线无线覆盖。要求完成全方位式无线覆盖，让师生们可以在这些区外来可以顺畅的校内和校络资源。、无线地勘概建设结构不规、本次部署中涉及到的楼宇包括宿舍等建筑，楼层与房间之间存在很多不规则的情况对无线信号的覆盖带来较大的基本可以分为以下几种情况、大开间、高密大开间、高密度的环境主要分布在教学楼、等，该类场景具备空间大，AP的部署位置，房间密集公共区用户终端类型分的压力，即在学校部署无线网络时，当1台AP上连接人数较多时，最好使802.11ac协议虽然是一个刚刚开发的协议，但是由于无线网ac协议的设备。项目需求分基础网络建设需来网络的扩展需求，至少达到有线千兆到桌面、无线支持802.11ac的性能5年的扩展。无线建设需无线信号覆网络与基础设施平台，通过支持一代的802.11ac标准，实现无线网络的无无线接入性10M。无线接入认证计络安全管理体系，包括全网安全与准入认证、WEB应用安全防护、并支持WEB认证。其进行网络应用带宽的管理。无线具体要求：1、与认证系统配合，保证接入用户的合法2、具有防功能，保证学生不会私接家用小型3、具有信道抢占功能，保证在受到无线的情况下可以无线网络管IT和性能关键业务系统的运行以及中心机房的动力空调等的能实各T资源的相互影响分析管理、的策略、告警策略、视图IS0000T三大功能的扩展，形成的T运维管理系统。网络总体架构设 、为基础网络架构、无线网络建设、无线安全保障体系运维管理和认证计费五个层面，建立满足中大学项目总体设计要求的网络系统。、 基础网络总体架基础网络架构作为中大学无线网络覆盖的基础同时也是连接中大学良乡校区园区网和主校区校园网的桥梁其数据传输能力和稳定性将 位于层位置。POENASVLAN区产功能描网络三层网关，可兼做认证网络AP整网拓扑管理,VLAN典型部署场景架构设无线接入认证场特点、问题无线技术的相对封闭性，同一区域，用户采购的AC和AP必须 1XACPORTAL认证场景下，由于PORTAL认证无标准的方案，为了支持无线PORTAL认证，需要多套PORTAL服务器同不同厂商AC对接，或AC使用PORTAL认证，在用户密集的情况下，无意识连接到网络终端的部署方不同认证方式下的部署方1X无线终端的网关终结在交换机上无线终端的认证终结在无线ACPORTALPORTAL）要为了满足定位的需求)并同VLAN的STA内直接通讯；AC借助交换机的高性能处理能力在网络噪声密集的环IP用IP点地址，避免在某个区域无线终端导致IP地址不足的情况出现；可选按区域细分网段的方式；同时利用supervlan的广播技术宿舍区认证场特点、问题用户比较活跃,网络中存在较多的网络/问题部署方早期的设备由于限制，VLAN数量通常少于256（参见附录一此类交换机也无法支持QINQ（JUNIPER方案也无法组网存在多级级联的情况下，顶级的设备支持VLAN数量每个用户的保持原有的接入部署方式，将用户网关上收到交换其他情况下，用户可以选择对于较新的接入层设备，对于网关/认证同时上收的场景，可采用每用户的方式进行部署，只需要设备支持标VLANIPIP点地址，避免在某个区域无线终端导致IP地址不足的情况出现；AP办公/教学区认证场特点、问题：网络中心对于终端管理约束力较弱，存在用户存在等终端类型特殊业务部门接入，需要独立网段、同其他用户的要求部署方接入汇聚设备用户当前采用VLAN方案哑终端、用户的接MAC，SAMVLANVLANSAM上限制交换机对应这个区域的物需要同其他用户网段的特殊业务SVI方案详依照中大学良乡校区网络总体框架本次网络建设是进行三个区域无线认证及网络管理等。全网拓扑设图5-1中大学校园网络拓扑层并根据信息系统的具体情况部署认证与计费系统全网安全管理系统，并实现对网络资源平台的管理。基础网络设本次项目建设涉及未来中大学整个良乡校区的楼宇，师生大概万人，针对中大学的实际情况，基础网络平台建设如下层的功能主要是实现骨干网络之间的数据高速传输层设计任务的重点是提供高可靠性及高速数据传输的能力中大学中心机房作为园层的中心，将承担整个校园网骨干的高速由于在本项目的一期接入人数较少，所以采用一台交换机，但是在未来几年，随着新校区的全面落成，必然会增加交换机的压力。通过比较在此方案层的设计中，在未来将采用两台高性能的交换机作为设备，构成双结构，实现双机热备,负载均衡，设备运行虚拟化协议（将两台设备虚拟层一台设备）以达到任意一台设备发生故障都能保证网络正常运行的目的，交换机为了支持中大学后续的数据中心虚拟化功能要求设备支持数据中心的特性：FCoE、CEE、TRILL区域架构设计如下 20km乡校区设备与主校区设备采用万兆光纤互联负责学校所有信息点的数良乡校区目前共有2300多个有线信息点，未来将扩展到10000有线信息点以上另外现有无线AP点约500按每AP接入终端数20个计算将有10000个无线信息点。期按照80%的并发用户，交换区带宽按照平均每用户2.5Mbps（内网数据单向带宽5~10（58本可用10年后校园网络不被淘汰按照这样的设计原则可以按照以计算方法来计算交换机的交换容量：1、IT行业著名的摩尔定律计算，数据量每18个月翻一倍5（5*12）/12=32.5*8=20Mbps。2、可运营的网络一定是有服务质量保证的网络，一定是一个低延时，低抖动的网络，丢包率要保持在0.1%以下。根据行业的网络设计经验，只有一套网络系统是轻载网络时，才可以不用考虑QOS，才是一套稳定性可以保证的网络；59交换机交换容量>=[（校园网人数*最高用户率*单用户带宽（轻载比）]*1.1（IP）*2（双向流量 率按照80%计算；单用户带宽按照摩尔定律计算2.5*8=20Mbps。所以本次交换机要求交换容量>=10.56T。同时随着未来我校业务系统的逐渐增加，单台配置的策略将会越来越复杂所以要求本次交换机需要支持板卡并且能够通过虚拟化方式，将一台虚拟成多台设备。一台设备可划分多个逻辑，实现对学院多这里之所以选择交换机上部署板卡而不选择独立，一方面一台、在服务器上方部署一台，那么网络中就可能出现的性能在2台交换机之间通过虚拟化引擎互联，实现万兆虚拟化。总体来讲本方案设计的交换机需要满足以下几个要求：高性系统的性能和端口密度是虚拟化技术所有设备性能和端口数量的总和。因此，虚拟化技术能够轻易的将设备的交换能力、用户端口的高可Master运行、管理和，Save设备在作为备份的同时也可以处理业务。一旦Master设备故障，系统会迅速自动新的Master，以保证通过VRRPN高性能硬件模度转发，不依赖交换机CPU和内存资源，适用于大规模的网络，无超过10公里的虚拟化技为云计算数据中心提供基础支基于云服务的校园网，要求设备以及数据中心接入交换机支持云计汇聚层汇接。本次方案中在每楼栋设计1~2台汇聚交换机（主要是根据接入交换机数量来进行设计，然后通过万兆线路作为主干链路连接到交换机；未来部署了方面保证了传输的带宽，一方面实现了链路的冗余。汇聚交换机通过1条万兆单接入层然后，为了满足用户的灵活接入的方式，要求接入交换机同时支持802.1XWEB认证的需求；但是有些教室可能存在信息点扩充的需求，所以要求一个802.1XWEB认证。同时在接入层需要开启以下功能开启认为了创造良好和谐的上网氛围需要对校园网中的所有用户进行接入认本方案中支持两种认证方式：802.1X认证，Portal认证。可以根据各个楼层WEB认证。开启安全防所有接入交换机开启ARP防御功能，有效阻断网络对全网照成的开启设备的CPU保护功防止终端发起的对网络设备的，对报文进行限速和丢包处理端口环路防防止私HUB进行端口扩展和架设。开启网络管理功在接入设备上开启SNMP功能要求能够通过网络管理进行管理和根据中大学的实际建设和各信息点的分布方案对接入交换机做了无线热点部署设建设中大学校园无线校园网络除了要满足学生容量的现状与未来无线覆盖指标要无线覆盖信号覆盖区域信号强度不低于-65dBmSNR≥20盖方式时，WLAN无线信号一般按一堵墙设计。容量计算30AP部署密度。工作频段与频点规划22MHz,13 的中心频率间隔不能低于25MHz。考虑参照的许多WLAN设备和（比如网卡不能使用1213信道做为学生信道因此建议一般选用1/6/11部署双频点的无线接入点，802.11n2.4GHz，802.11ac5GHz40MHz；2.4GHz802.11a、b/g40MHz802.11ab/g覆盖效果计算AP的信号总强度公式：Gt－Gr＋AP天线增益＋终端天线增益＝L信号总强（dB（5-3（AP部署空旷区域，20-25米远，笔记本无线接计算（基AP100mW高调制速率时会下降增2减--2.4G/5.8G空间20-66/-（2.4G1060dB，5.8G1068dB1-根据较坏情接受电平RSSI＝＋增项＋减项计算信号质量不同场景下的无线部小开间密集应用场景——智分解决方案场景举例：宿舍、医院性能要求：宿舍网人数多，医疗传递多，对无线的性能要求高。AP智分方式综合了放装解决方案和室分解决方案的优点，并加以改良。整体方案由无线控制器，智分AP，馈线，智能天线4部分组成，无需外置功分器、耦合器等部署简单易于管理和也节省了成本同时将射频卡引入室内，使得每个房间的用户共块射频卡性能，使性能大幅增强。AP数量

大开间密集应用场景——灵动天线解决方案场景举例：会场、馆、梯形大教室办公教学楼和馆区可采用高性能的802.11AC产品和会思考的的灵动天11AC1300Mbps快速、准确的识别到你的终端类型，如果是使用功率较低机、平板电脑等移动终端时，X-sense能够通过动态信号补偿技术办公教学楼和馆采用放装式吊顶部署，AP放置于天花板上，部分楼宇AP数量、根据地勘的情况，教学楼等适合使用智分部署模式，地勘的详细情况、公共场所应用——室外AP解决方场景特点的。因此，应当选用的室外大功率无线AP产品，配置使用定向天线，可以保证无下的300米半径覆盖以及近距离的多重物的能力完全AP数量根据地勘的情况，会场、馆楼适合使用智分部署模式,地勘的详细情况无线接入认证设终端智能识别的WEB认线网络。WEB认证就是一种对用户网络的权限进行控制的认证方法，这种认证方法不需要用户安装的客户端认证使用普通的浏览器就可以进行认证，是目前无线主流的认证方式之一。 、iPad、Android、WindowsPhone等各种智能能移动终端的日益普及网络中不再是清的笔记本电脑终端一个智能的无线网络，必须能够考虑到不同的终端类型、屏幕尺寸对Portal认证页面的不同要求，实时地对各种终端类型进行识别，并推送符合终端屏幕尺寸的WEBPortal页面，使用户能够更为便捷的输入用户名及，提升无线用户体验。WEBPortal页面推送，而且推送的认证页面还可以根据用户自定义放置一些、通知、业务等，提供个性化服务。若配合锐捷SMP认证服务器还可实现基于终端类型的角色、权限的划分等，帮助网络运维实现更为精细化的无线用户管理5-9802.1X的无感知认IEEE802.1X802.11系列标准的无线局域网，通过对无根据其属性，为其分配动态角色和VLAN，确保用户终端接入的安全性。户流量都是以明文方式传输的，容易被截获和侦听；802.1X（2-AES）符合802.11i安全标准，在用户认证的基础上，对每个报文采用不同的密钥进行逐包802.1X认证一般需要安装认证客户端或对操作系统为了保证无线用户接入同时具有较高安全性和便捷性，锐捷网络在（Bringyourowndevice）802.1X的无感知认证技术，用1X配置助手，并完成首次用户名及802.1X的接入认证并 步骤3：输入完后用户名和后，即可 访 认中大学教学楼如果举办大型的学术交流会议，将接待来访的嘉宾，，PSKWLAN，并在可视区域贴放这个扩散得不到保证网络运维需定期的更换这个WLAN的和对， 传统WLAN提供的标锐捷网络提出了更为先进的访客接待解决方案— 认证 推送到访客的终端上，如图5-15步骤1。 行扫描并自动反馈到认证系统，如图5-15步骤2。认证系统记录下访客和对应接待者的并确认临时，访客和接待者收到反馈后即可直接网络，如图5-15步骤3。 按流量计费运营为了实现中大学网络的有线无线运营管理确保与SAM认证计费系统可灵活采用准入准出认证计费，通过强大而灵活的绑定设置，有线方面可以实现用户帐号、用户、用户ASIP、NASPort的绑定，无线方面可以实现帐号、用户、ASIP、、APMAC等绑定，最大程度上保证了用户入网唯一。 不仅如此，SAM通过自定义计费策略配置为用户提供灵活、强大的计费策组一种或几种计费策略，还提供周期不使用不扣费及复合分段计费等配置，中大学的计费方式为按流量计费，所以需要与网关流量控制设备ACEACESAM，但是一10MACE上建立用户组信息，来识 无线安全技术设无线网络，作为校园网的一部分，必须确保接入改网络用户的内网无法起到有效的作用。学生数据加密安AP通过、TKIPAES加密技术，为接入学生提供完整虚拟无线分组技通过虚拟无线接入点（VirtualAP）16E，支持16个802.1QVLAN，可以对使用相同的子网或VLAN单独实施加密和，并可针对每个配置单独的认证方式、加密机制等。标准CAPWAP加密隧道确保传输安锐捷网络无线APCAPWAP加密射频安在锐捷网络系统RG-SNCRG-WS系列无线控制器产品的配合下，智分型AP可启用射频探针扫描机制实时发现接入点或其它射频干扰源，并提供相应的告警使可随时各个无线环境中的潜在和使用状ARP的防ARP检测功能有效遏制了网络益泛滥的ARP网关和ARP主机IPIP配合ARP速率控制ARP报文发送的速率，防止利用扫描工具进行ARP泛洪占据网络带宽，导致网络拥塞的行为。DHCP安支持DHCPsnoo，只允许信任端口的DHCP响应，防止管理员私自架设DHCPServer扰乱IP地址的分配和管理影响学生的正常上网的行为；并在DHCP的基础上，通过动态监测ARP和检查源IP，有效防范DHCP动分配IP环境下的ARP主机和源IP地址的有线无线网络管考虑到本次无线网络建设的受众主体是学生在中大学学生宿舍无拓扑管中大学学生公寓无线校园网覆盖，涉及到众多无线AP、Poe供电 有线无线的多级拓扑管设备及配置管无线设备上线后，锐捷网络的SNC可实现对中大学全校所有热点AP和AC进行可视化的统计、管理，可实现查看全网、单个AP或某个APAP未正常工作的时间、数量占比，能够极为清楚的发现APAPAP的流 。行升级到指定版本的操作下发具有一定的风险性，所以在下发之前进行必要的保障性检查显得尤为重要，SNC提供的版本的可用性检查、设下发重启策略等多个参数的设置对设备的生效情况进行了限定最大可能为。WLAN运维管理的目标。 精细化的用户管中大学全校师生人数达到近2万人这样就意味着全校覆盖的无线不同无线带宽、在不同地区允许不同业务等。些都可通过认证管理SMP或者SAM进行可视化的呈现、管理。全面的用信息，精细化的用户管理，2万师生的中大学也能轻松进行运维管理