ARUBA无线校园网技术交流 无线校园解决方案

ARUBA无线校园网技术交流Studentsmove Networksmustfollow 议题 高校无线网络建设发展方向无线校园网络建设的技术要点性能优异的无线校园网安全可控的无线校园网应用丰富的无线校园网便于扩展的无线校园网无线校园网的综合管理总结 高等教育 学习环境的变革 迅驰技术的广泛采用 国内外典型高校无线校园网用户统计 校园无线应用不仅仅是 INTERNETACCESS 传统校园网络遇到的新问题 布线 安全 交换机 维护 过度有线端口 可靠性高性能安全性 低成本网络支持新设备支持新应用 最重要的是移动性 加州大学网络优化案例分析 校园网更新计划23个校区 490 000学生和教职工四年一度的校园网接入交换机更新计划内部调查发现超过40 的交换机端口利用率为零合理规划校园网络消除无用的网络接入端口压缩90 以上的配线间设置节约 30M资金 包括设备投资 布线系统 电源消耗 空调设备 以及运营维护费用等 投入部分资金进行大规模的高性能无线网络建设校园网总体带宽使用率大幅增加 WiredEdge CostsOfRunningTheEdge RightsizedEdge 高教信息部门在无线方面遇到的问题 无线网络的性能是否足够 无线用户的权限如何控制 怎样提供多样化无线应用 无线网络能够平滑扩展吗 无线网络出现故障怎么办 Source TheGartnerGroup 高校无线网络建设趋势分析 高性能无线网络连接 802 11N Seamlessnetworkcoveragefordensegroupsofusers安全无线网络 基于用户的接入策略控制Wirelessnetworkssupportmultipleclassesofusers devices通用网络支持 Voice Data Video Allapplicationsareexpectedtoworkproperly任何时间 任何地点的接入 室内室外远程统一覆盖 Connectivityfromacrossthebuildingtoacrosstheglobe网络中心化管理 对多厂家产品统一管理 CentralcontrolwithlowIToverhead site survey freedeployments 议题 高校无线网络建设发展方向无线校园网络建设的技术要点性能优异的无线校园网安全可控的无线校园网丰富多彩的无线校园网便于扩展的无线校园网无线校园网的综合管理灵活易用的访客管理总结 无线校园网不是有线网的简单延伸 无线校园网络建设的技术要点 性能优异的无线校园网 无线局域网的传输机制 MAC 载波监听 CSMA 对媒体上的载波信号进行监听 以确认无线信道是否被占用冲突避免 CA 终端检测到信道空闲后 需等待一个随机时间才能发送数据 以避免多个终端同时发送数据引起相互之间的冲突差错控制802 11通过对无线帧发送ACK实现传输确认 接受端收到差错帧不发送ACK 发送端在没有收到ACK的情况下会尝试再次重发 隐藏节点 问题 当单一AP的覆盖范围太大时 网络中可能存在多个终端由于距离太远而无法相互发现 从而导致载波监听机制失效 被称为 隐藏节点 此时 这些 隐藏节点 可能误认为信道处于空闲状态而同时发送信息 并在AP上形成冲突而导致传输失败 影响无线局域网性能的因素 来自频率资源的影响因素频率干扰来自同频AP或者系统外的无线频率干扰导致数据传输的误码率上升媒体冲突大量的终端或者 隐藏节点 形成冲突 使无线帧在接收端相互碰撞而被丢弃来自媒体效率的影响因素低速终端低速终端需要耗费更多的媒体发送时间 迫使高速终端处于等待状态 从而降低系统整体性能无效流量网络中的无用流量通过射频信号发送时 同样需要耗费媒体发送时间 从而降低系统整体性能 并导致更多的冲突 改善无线局域网射频性能的方法 降低频率干扰的可能1 主动采用5GHz频段2 将同频AP的发信功率减小到适当的程度减少使用同一信道的终端密度1 降低AP和终端的发信功率 缩小覆盖范围2 主动将无线终端在不同信道之间负载均衡避免工作在低速状态的无线连接1 避免使用802 11b标准的无线设备2 主动对无线终端的空中接口进行流量整形减少AP对无用流量的广播1 设置AP不发送广播 组播流量2 对组播应用进行合理的优化 措施一 应用更先进的射频管理技术 ARM1 0 自动化的信道 功率调整 ARM2 0 多个层次的无线射频控制 自动化的信道调整 实时监测周边射频环境的干扰系数 动态调整AP工作信道自动化的功率调整 实施监测整个无线网络的覆盖系数 动态调整AP发信功率 基于频段的负载均衡 在2 4GHz和5 8GHz这两个频段之间进行负载均衡 尽可能使无线终端转移到信道更多 干扰更少的5 8GHz频段基于信道的负载均衡 在同一频段的多个无线信道之间进行负载均衡 避免终端过度集中在某个单一信道内基于终端的流量整形 在同一个信道内 对不同的终端进行流量整形 使无线信道资源在终端之间实现合理分配 措施二 应用更高性能的802 11N标准 每个MIMO系统根据天线和空间流数量定义为NxM SN表示发送天线的数量M表示接收天线的数量S表示空间流的数量例如3x3 2表示AP支持3个发送天线 3个接收天线和2个空间流不同的空间流独立编码并通过不同的发送天线同时发送802 11N标准支持最大4个空间流目前绝大多数芯片最多支持2个空间流每个空间流最大支持150Mbps连接速率 4个空间流最大可以支持600Mbps连接速率N个发送天线最多支持N个空间流2x2MIMO和2x3MIMO的802 11N接入点都只能支持2个空间流3x3MIMO的802 11N接入点从理论上可以支持最多3个空间流 802 11N的速率调整 Howdidwegetfrom802 11ag 54Mbps to802 11n 600Mbps 措施三 合理规划无线校园网络 充分考虑校园网的实际接入需求在图书馆 会议室和阶梯教室等用户密度较高的场所部署802 11N450M接入点在普通教室 办公室和室外场所等用户密度较低的场所部署802 11N300M接入点充分考虑校园网的实际应用特点选择最适合的网络结构和转发模式 无线校园网络建设的技术要点 安全可控的无线校园网 用户身份认证 通过一定的身份认证机制 对无线用户身份的合法性进行确认 802 1X EAP认证 WebPortal认证 支持双向认证 内嵌密钥交换机制 安全性最高需要在每个终端上配置802 1X客户端 部署复杂适用于安全性要求很高的企业网络 单向认证 不提供数据流量加密机制 安全性相对较低采用轻客户端 如IE Firefox等网络浏览器 实施简单适用于用户规模较大的校园网络 不再只是 通 或者 不通 无线用户的身份更加多样化教师员工本科生研究生外来访客 用户权限的控制更加精细化不同身份不同地点不同时间不同终端 把安全边界扩展到网络边缘 外置防火墙部署方式 内置防火墙部署方式 校园网络 校园网络 支持防火墙策略与802 11无线层的联动 实时隔离不安全的无线终端在网络边界上实施安全策略 支持对整个网络的安全保护 防火墙与无线网络之间无法实现联动 只能被动丢弃非法报文防火墙部署在骨干网络入口 无法实现无线终端之间的访问控制 基于用户的无线状态防火墙 任意对用户进行分组不同组或用户设定不同L2 L7策略控制不同用户设定不同的上下行带宽分配不同用户设定的不同QOS级别 临时员工 学生 教师策略控制 QOS 学生策略控制 QOS 临时员工策略控制 QOS 无线Firewall应当可以检测到ICMP TCPSync IPSession IPSpoofing RSTRelay ARP等多种潜在网络攻击 并自动将攻击者放入黑名单 断开无线连接 校园网 ARUBAAP CISCOAP FATAP ARUBA控制器 CISCO控制器 DR COM 通过GRE隧道终结在ARUBA控制器上 通过LWAPP隧道终结在CISCO控制器上 通过VLAN终结在ARUBA控制器上 采用用户名 密码与MAC地址绑定的认证方式 用户VLAN与SSID对应 Cisco控制器仅提供二层透传 不做任何三层处理 Aruba控制器为来自无线和有线端口上的所有用户提供身份认证 防火墙策略以及三层路由服务 外置Portal 上海财经大学无线校园网络案例 用户VLAN 计算机名 域帐号双因素认证 上海赛科案例 采用802 1X EAP PEAP认证优点 对于加入AD域的计算机 可以通过组策略配置 便于实现认证过程对用户完全透明 通过开机帐号自动认证 不需要用户输入帐号及口令采用高强度的逐包密钥交换和数据加密技术 完全保障用户内部网络业务数据安全可以同时实现对计算机名和域帐号的双重认证 只有全部满足才能获得内部网络访问权限 MAC 域帐号 MDAC三因素认证 交行案例 对智能业务终端进行三重身份认证 MAC认证 只有指定MAC地址的终端才能发起802 1X认证 802 1X认证 只有具备指定帐号的用户才能通过802 1X EAP PEAP认证 成功关联无线AP 并请求IP地址 终端类型认证 对通过802 1X认证的终端进行识别 只有符合指纹特征的终端才能被识别为合法终端 并最终获得业务系统访问权限 基于WebPortal的身份认证 Ldap s1 10 100 1000Mbps L2 3 aaaauthentication serverldap ldap s1 host192 168 1 101admin dn admin admin passwdadministratorallow cleartextbase dn OU sales DC server DC quantacn DC com aaaserver groupldap serversauth serverldap s1setroleconditionmemberOfcontainsstaffset valuequanta staffsetroleconditionmemberOfcontainsvipset valuequanta vip query userldap s1user1distinguishedName CN user1 OU sales DC server DC quantacn DC commemberOf CN staff DC server DC quantacn DC compwdLastSet 128844934137343750sAMAccountName user1 query userldap s1user2distinguishedName CN user2 OU sales DC server DC quantacn DC commemberOf CN vip DC server DC quantacn DC compwdLastSet 128844935092031250sAMAccountName user2 用户关联无线网络 获得IP地址以及初始角色控制器截获用户的HTTP请求 在用户终端上弹出Portal页面控制器到Ldap服务器中对用户进行查询 获得Ldap服务器中定义的用户属性 同时向Ldap服务器发送Ldap绑定请求Ldap绑定成功后 控制器根据相关用户属性和预定义的角色分配规则修改用户角色 基于身份的角色和策略分配 上图案例 基于用户身份的策略控制 上外案例 基于终端类型的Portal页面 交大案例 ArubaMMC6000 3 1冗余热备模式 上海交通大学校园网络 笔记本电脑 智能终端 笔记本电脑 智能终端 千兆 千兆 PoE交换机 PoE交换机 笔记本电脑 智能终端 PoE交换机 ArubaAirwave 千兆 ChinaNet CMCC CUC 各个运营商CPE接入设备 10GE 基于终端类型的策略控制 中国地大案例 无线接入点 无线控制器 防火墙 Internet 核心交换机 认证系统 Radius AD 笔记本电脑 智能终端 ESSID CUG 网络规模 4台Aruba6000控制器 1200个AP 最高并发在线用户近3000人存在问题 校园有线和无线用户采用学校自己开发的认证和计费客户端 无法安装在iphone android WindowsMobile等智能手机终端上传统网络系统无法识别终端类型 并为其分配专门的策略 解决方案 采用Aruba终端指纹识别技术对智能手机终端进行智能分离 并动态分配新的角色实现效果 笔记本终端只能连接CUG 使用专用认证客户端进行认证 并根据流量进行计费智能终端只能连接CUG Mobile 使用校园LDAP帐号进行Portal认证 不计费 但是对用户的带宽和应用进行限制 ESSID CUG Mobile 无线校园网络建设的技术要点 丰富多彩的无线校园网 校园话音系统未来演进 personalcellularplan Full functionanalogphone Full functionVoIPphone IP basesoftphone 双模手机FMC Single modeFull functionVoIPphone Personalcellularplanw softphoneclient 学生 教师管理人员 高质量的VoFi应用 36 微软OCS应用对网络传输质量的要求 如何保证话音业务的质量 智能识别话音流量 将话音数据包通过高优先级队列发送WiFi话音终端融合终端 如软电话 实时监测网络状态 智能优化话音会话和终端分布接入允许控制 CAC 话音终端负载均衡提供节电措施 优化终端的待机时间调节DTIM DeliveryTrafficIndicationMessage ARPProxy 识别语音应用 预定义支持几种主要的语音协议 包括 SpectraLinkSVPVoceraCiscoSCCPSessionInitiationProtocolQoS特性 带宽管理和优先级队列 DiffServ 802 1p IPToS 呼叫准入控制和负载均衡话音感知的射频扫描技术 基于应用感知的WiFi话音优化 NetworkWorldTests 高等教育视频应用的趋势 视频技术在高校的应用 直播 录播和点播的视频节目学科课件与校园讲座高质量的远程教学宿舍区无线电视校园视频监控 高校视频应用的趋势 采用有线方式提供视频业务过于昂贵 越来越多的视频终端趋向无线化 无线视频应用的优化 39 无线组播技术的特点 采用最低速率传输不提供差错控制 无ACK Video 高清晰度视频高密度用户共享带宽混合终端 无线视频应用的复杂环境 无线网络必须对视频组播加以优化 系统资源优化采用IGMPSnooping技术需要的AP上发送组播流量 组播速率优化实时监测终端速率 智能提升组播的传输速率实时监测终端数量 智能转换组播和单播流量 服务质量优化智能识别组播流量 并通过高优先级队列发送 Videoover802 11n 接入点 750 802 11nAP sSSIDs a b g数据网络b g话音网络高速 11n数据和视频服务在5 8Ghz频段15个高清视频频道 ABC CBS NBC FoxCNN ESPN Liberty大学频道每个频道视频流2 3MbpsAruba高品质视频功能 频段指引 IGMPproxy动态组播优化802 11eWMMQoS优先级 校园定位与导航服务 41 iStanford移动校园 在校园网Portal页面上提供定位和导航服务可以充分利用无线网络内在的定位优势 丰富校园信息平台的信息发布和服务功能 提高校园信息化服务水平 校园定位服务的实现方式 校园Portal服务器与无线控制器进行交互 获取无线用户的实时位置信息校园Portal服务器根据用户位置信息创建动态网页 并推送到用户桌面 校园定位服务对无线网络的要求 无线控制器通过Location API接口提供用户终端的RSSI参数 满足校园网精确定位的需求无线控制器通过XML API接口提供用户终端的Location信息 满足校园网一般定位的需求 无线校园网络建设的技术要点 便于扩展的无线校园网 无线校园网的平滑扩展 43 网络规模的扩展 覆盖环境的扩展 跨越地理位置的扩展 平滑扩展的基本要求 随着网络的扩展 维护工作量不能增加随着AP的增加 设备配置的复杂程度不增加随着控制器的增加 设备配置的复杂程度不增加在实现室外覆盖时 不需要配置额外的独立系统在实现远程接入时 不需要配置额外的独立系统随着网络的扩展 网络安全性不能降低中心化配置的无线接入和安全策略自动同步到所有的控制和接入点无线接入参数包括频段 信道等射频参数和SSID 加密方式等无线信号配置用户安全策略包括认证方式 用户角色 访问控制策略 带宽管理策略等相关配置随着网络的扩展 网络的应用保持一致无论在任何地方 无线校园网都能够满足各类校园应用需求 如电子图书馆 IPv6等 无线校园网的平滑扩展 LAN Internet 校园网 AP 61 AP 105 AP 70 AP 85 校园园区总部 图书馆 分支节点 远程网络学院 移动办公室 科研人员 领导 老师 从控制器 主控制器 从控制器 从控制器 从控制器 AP 65 远程机构安全组网 在校园网络中心集中配置和部署所有的虚拟分支业务和用户认证 加密和访问控制策略集中式控制 中心化的用户身份认证中心化的数据流量加密中心化的服务质量定义远程有线用户集中管理远程无线业务集中管理 分布式处理 媒体控制接入控制流量控制基于角色 PEF 企业级安全分支网络 零接触 的虚拟化校园网络部署 将RAP连接到任意网络上 2 输入校园控制器的域名或地址 3 RAP自动建立到校园控制器的安全连接 4 校园控制器自动更新并配置远程RAP 5 安全的虚拟化分支校园网络自动建立 S PEF 零配置 即插即用 无线校园网络建设的技术要点 无线校园网的综合管理 今天大多数WLAN网管遇到的问题 大多数高校IT人员并不是特别熟悉RF无线射频技术容易使用大多数管理工具都是在管理设备端口 而并非终端用户增强管理的灵活度WLAN技术和标准的发展速度远远快于高校适应的周期多种无线技术架构 多厂商支持平台降低维护和使用成本一直是高校考虑IT的核心问题节约成本 对无线校园网设备的统一管理 以图形化的方式实现无线校园网设备的配置管理 性能管理 故障管理和安全管理等功能满足无线校园网发展