某中学网络信息化建设方案措施.doc

腾冲县第八中学校园网腾冲县第八中学校园网 建设项目技术建议书建设项目技术建议书 目 录 1项目概述项目概述 4 1 1项目背景 4 1 2现状分析 4 1 3建设目标 5 1 4设计原则 6 2网络建设方案网络建设方案 7 2 1概述 7 2 1 1项目技术要求 7 2 2有线网络方案设计 8 2 2 1有线网络组网方案 8 2 2 2核心层设计方案 9 2 2 3接入层设计方案 10 2 2 4接入层网络隔离 12 2 2 5出口设计 13 2 3无线网络的设计方案 14 2 3 1概述 14 2 3 2无线基本概念 15 2 3 3覆盖区域描述 21 2 3 4无线局域网拓扑 22 2 3 5无线 VLAN 规划 23 3统一身份认证平台统一身份认证平台 24 4网络管理规划网络管理规划 30 4 1 网管需求分析 30 4 2 网络设备的管理 31 5可靠性设计可靠性设计 32 5 1 网络可靠性设计 32 5 2 设备高可靠性设计 34 5 2 1重要部件冗余 34 5 2 2设备自身安全 34 5 2 3接入交换机的堆叠 iStack 35 6方案总结方案总结 36 6 1 方案特色 36 7设备介绍设备介绍 37 7 1 核心交换机 S7706 37 7 1 1产品规格 40 7 1 2解决方案应用 43 7 2 接入交换机 S5700 LI 44 7 2 1产品规格 47 7 3 无线 POE 交换机 S5700 SI 50 7 4 无线控制器 AC6605 56 7 5 室内放装型 AP6010SN 57 7 6 室内分布式 AP6310SN 61 7 7 出口安全网关 USG5120HSR 65 USG5120BSR HSRUSG5120BSR HSR 65 USG5150BSR HSRUSG5150BSR HSR 65 7 8 统一身份认证平台 TSM 69 校园网信息建设项目技术建议书 1 项目概述项目概述 1 1项目背景 21世纪人类全面进入信息化时代 教育正在走向数字化 信息化 计算机 网络 多 媒体技术已被越来越多的学校采用 成为教育教学的支撑技术 教育技术的现代化正在改 变着教学手段 教学方法 必将带来教学内容 教学观念的更新 教育教学改革势在必行 因此 越来越多的学校对校园网建设跃跃欲试 希望藉此一步跨入数字时代 1 2现状分析 学校目前主要硬件设备使用多年 随着办公自动化 网络多媒体教学 学生自主学习 电子图书馆 电子邮件 远程教育 校园一卡通工程等系统的逐步建设 目前园区网络的 带宽已远远不能满足应用的需求 而且设备老旧 故障率不断上升 给老师办公教学和学 生学习实验带来极大的不便 主要有以下问题 1 硬件基础设施老化 现有设备大部分运行时间长 老化严重 故障率高 性能难以满足现有网络应用的需 求 2 应用系统缺乏 目前学校某些部门缺乏信息化 数字化校园的新思维模式 很多的工作仍然未能摆脱 烦琐的手工操作和信息传递 某些信息的传递不及时甚至是失真 为学校的管理和领导的 决策带来了一定困难 3 已建应用系统相互独立 已建信息系统数据 编码不统一 造成各应用系统间相互独立 形成信息孤岛 资源 不能共享 花巨资建立的应用系统不能发挥其效用 形成资源浪费 1 3建设目标 本次校园网改造工程建设目标是 采用1000Mbps光纤交换网络实现新老校区内部高速 互联 光缆连接全校楼宇 办公楼 教学区 综合楼 实验楼 核心机房设置配置两台 核心交换机 各楼宇根据点位配置接入交换机 通过千兆光纤双上行到两台核心交换机上 通过接入交换机将学校的各种PC机 服务器 终端设备和局域网连接起来 整合现有的网 络资源 改善与Internet Cernet相连的网络性能 构建一个以计算机多层交换网络为框架 以网络基本应用 计算机多媒体辅助教学 电子化图书馆 教学管理办公自动化为平台的 校园网 并逐步形成数字化校园网络 网络改造后实现以下功能 1 办公自动化 基于Web综合管理信息系统 提供行政 人事 学籍 教学 后勤 财务管理 公文收 发管理 教师档案管理 学生档案管理 科技档案管理等 使学校日常办公无纸化 减少 办公开支 提高办公效率 2 网络多媒体教学 将计算机多媒体视听引入课堂教学 使声音 图像 动画的普遍采用可以大大提高教 学效果 使每一节课都能够得到有效的作用 3 学生自主学习 针对不同的学生 提供不同的教学内容 采取不同的教学手段 主要采用基于 VOD WEB及FTP的课件 光盘软件 Internet资源 学生可以根据自己的需要自由选择所需 内容 4 电子图书馆 基于Web的图书音像资料供学生随时阅读 并与Internet连接 使图书馆得到进一步拓 展 使学生能够得到近乎无限的网上资源 5 电子邮件 电子邮件是Internet上的一个最重要的应用 将为每一位教师和学生开设一个电子邮 件账号 利用电子邮件学生可以和老师 同学及家长进行交流 同时也可以和国内外等地 学校的学生进行交流 6 远程教育 实现校内外连通 师生在线 交互式学习 辅导 测验等功能 7 校园移动计算 采用有线和无线网络混合建构 方便学生 老师移动上网学习和办公 1 4设计原则 针对IT平台建设的基本要求和投入建设使用之后的用户实际问题 主要从如下几个方 面重点考虑 构建一个可靠 安全 稳定 灵活的IT平台 助力IT资源可以真正的为企业 服务 可靠性 利用电信级产品构建一个高可靠的网络环境 保证整个网络的可靠运行 可靠性设计可以达到99 999 可以满足实际的办公 业务等的要求 安全性 网络设计的各个环节 融合了网络安全 应用安全 接入安全 终端安 全 数据安全等各个方面 可以很好的满足网络高安全的要求 管理性 网络设计考虑了日后的网络管理 每个环节的设计都考虑了业务开展的 便利性 使得网络可以真正的为企业服务 为后续业务的开展奠定了良好的基础 集成性 从用户的实际需要考虑对IT资源的每个环节进行设计 保证了网络在日 后交付使用的时候 可以更好的满足业务变化的要求 充分考虑了业务变化性的 特点 进行了网络弹性设计 使得IT技术贴近用户 本次校园网改造将从校园网建设的需求出发 以学校的教学 试验 办公管理体系本次校园网改造将从校园网建设的需求出发 以学校的教学 试验 办公管理体系 为主导 建设安全 可靠 可管理 可控制的校园信息化网络为主导 建设安全 可靠 可管理 可控制的校园信息化网络 根据学校的现状和进一步的需求目标 特点及实现的功能与技术要求 对总体方案 的设计 网络设备选型 采用的技术路线及工程实施的过程 均充分考虑项目方案的实用 性 经济性 先进性及可扩展性 保护现有投资 可平滑升级 尤其注重了网络设备的 安全可靠 易维护 易操作 突出了计算机 网络及多媒体技术对教育过程的实用与好用 综合考虑了项目中各子系统相对独立性与关联性 方案设计能够体现出其1 1 2的效果 具 体的实施原则如下 1 好的开放性和可扩展性 校园网络应具有的开放性 这种开放性依靠标准化实现 使符合标准的计算机系统 很容易进行网络的互连 因此在网络建设中 网络体系结构和通信协议应选择广泛使用的 国际标准 使得校园网成为一个完全开放式的网络环境 在校园网络平台建设中 尽量采 取成熟先进的网络技术 统一的网络标准和主流的网络设备 使得网络结构更易于扩展 升级和维护 2 校园网软件平台的针对性 校园网的应用和服务的对象是学校的教师 学生 这就要求校园网软件平台的建设 应以教学为核心 建立起一个在技术上具有先进性 在教学过程的各阶段应用上具有灵活 性 多样性和针对性的数字化校园网 3 高度的安全性和可靠性 对于网络系统 应确保系统运行可靠 对关键部位提供容错能力 同时建立完善的 安全管理体系 4 经济实用性 盲目地追求技术 会建成一个不稳定 不成熟产品的实验台 单纯高性能 只会带来 难以承受的高额投资 所以 网络系统建设应采用成熟 适用 实用 好用的技术 力争 以最小的投资得到最大的满足 2 网络建设方案网络建设方案 2 1概述 现代教育过程的四要素为 教师 学生 教学内容及教育技术 以计算机 网络 多 媒体集成的现代教育技术 对教育过程的支持 随着教育信息化的发展 显得越来越重要 因此 项目建设的指导方针为 1 以应用为主 为校领导决策 业务管理 教学保障和管理提供服务 2 采用成熟先进的技术 实用 够用 又留有发展余地 3 统一标准 逐步建设 充分考虑四期工程规划及网络的扩展性 4 充分重视网络系统和信息的安全 5 在限定的时间和要求内 降低费用的支出 提高系统的性能价格比 6 组织各方面的力量 网络通信系统 网络资源系统同步建设 2 1 1项目技术要求 1 采用先进成熟的网络技术 2 统一技术规范 标准和方案 统一设备选性 统一组织实施 3 网络系统采用三层架构 采用TCP IP协议栈 采用统一的客户端应用软件 4 网络系统采用全交换网络 主干1000Mbps 核心层 接入层采用冗余连接 千 兆到桌面 5 网络系统按部门 业务划分VLAN 网络多层交换采用802 1Q虚拟干道协议 802 1D生成树协议 802 1X认证协议和802 1P优先队列排序 6 采用接入认证综合管理系统对接入用户进行认证及计费 7 网络系统必须满足标准化的要求 以实现开放性 可扩展性 8 重要部件 文挡要有备份 保证系统365天 24小时运转 9 重视数据的安全与保密 建立完善的网络安全管理系统 2 2有线网络方案设计 校园网是各种应用的统一通信平台 平均无故障时间以及故障恢复时间 要保持在一 个可容忍的许可范围之内 在这种前提下 主干设备应有一定的冗余度 这种冗余度不单 只是设备级的 也应该考虑物理线路 数据链路层 网络层以及应用层的容错能力 该主干网在方案上有二个重点 主干网技术策略 主干交换机的基本要求 主干网技术的基本要求可概括为 千兆传输距离550m以内采用50 125多模光缆 千兆传输 距离大于550m 小于5000m采用9 125单模光缆 百兆传输距离2000m以内采用50 125多模光 缆 百兆传输距离大于2000m采用9 125单模光缆 2 2 1有线网络组网方案 按照网络分层设计的原则 整个网络采用扁平化设计理念 分成核心层 接入层 出口区域几个部分 整个网络 的建设方案如图1所示 出口区域 部署一台综合安全网关 按照同时在线1200人的规模设计 考虑到校园网用户对带宽 超级利用性 整个网络的出口采用千兆设计 千兆出口网关 千兆流控 满足整个学校未 来10年内的发展需要 另外 出口区域结合整个网络的安全认证系统 可实现基于用户实名的准出控制 满 足大规模用户使用 实现基于实名的NAT日志 URL日志 上网时间等 满足公安部82号 令的要求 实现基于用户实名的带宽控制 另外 网络出口区域部署VPN 让校领导 老师出差不在学校 通过在互联网上建立 VPN隧道 访问校园网络应用系统 完成审批流程等 核心层 核心层采用模块化万兆交换机 支持40G 100G端口扩展 满足未来网络发展需求 启 用三层转发功能 和接入层设备提供冗余链路 使得整个网络的路由交换运行无阻 同时 内外业务资源 如服务器区和一些重要的终端可以直接接入到核心层 满足高性能的要求 同时支持主控和业务口CSS集群技术 将多台设备虚拟化为一台逻辑设备 在可靠性 交 换效率 灵活性和易管理性方面提高性能 接入层 接入层由千兆交换机和无线接入交换机等接入设备构成 可以满足不同终端的接入要 求 接入交换机通过千兆光纤直接连接到核心交换机上 实现和核心层的互访 设备选型 上要实现方便灵活接入的同时保障网络带宽 提供的QinQ技术保证了每端口每VLAN的设 计 在终端管理上提供了良好的技术保证 按照网络高可靠的设计原则 核心网络采用双平面组网 可以最大程度上保证网络的100 可靠 核心设备采用双引擎设计 接入层采用双归属主备链路 网络设备秉承电信级可靠性设计理念 单板热插拔 电源冗余 风扇热插拔等 高可靠的模型是根据组网方案来统一考虑的 主要的高可靠的手段有 A B双平面 双机模式 主备模式 链路冗余 设备结构冗余等 为了保障校园网络的高可靠性 采用 双平面和主备等冗余结构 核心设备采用2台核心交换机设备 设备间采用2条线路连接 实现双机热备和负荷分担 提高设备的利用率和网络的安全 接入交换机分别采用双链路 接入核心交换机 保障链路冗余和链路带宽 2 2 2核心层设计方案 设计要点 提供高速的三层交换骨干 核心层不进行终端系统的连接 核心层不设计要点 提供高速的三层交换骨干 核心层不进行终端系统的连接 核心层不 实施影响高速交换性能的实施影响高速交换性能的ACL等功能等功能 网络核心区作为整个校园网的数据交换核心 是教育应用系统可靠和高效率运行的基 础 在核心区配置华为高吞吐量核心万兆全分布式线速路由交换机S7706 接入各个功能区 域 下行千兆光纤连接接入交换机 形成千兆无阻塞线速转发骨干网 核心设备采用分布 式交换架构 通过独立的控制引擎 检测引擎 维护引擎为系统提供强大的控制能力和高 可靠保障 为了简化网络部署 简化网络管理 并提高故障恢复的速度 核心层需支持采用虚拟交 换架构技术 通过跨设备链路聚合与汇聚层设备互联 1 设备需支持运营级 满足学校业务不间断的需求 2 核心设备支持引擎冗余 电源冗余 业务线卡热插拔 支持虚拟交换技术 保证 核心的高融合和高可靠性 3 核心设备支持模块化软件操作系统平台 便于多业务扩展支持 支持操作系统的 免费升级 全面支持 IPv6 4 核心设备具有较强的自我防御机制 为此 本次建设选用华为S7700作为腾冲第一职业高级中学的的核心交换机 S7700系 列是华为公司面向下一代企业网络架构而推出的新一代高端智能路由交换机 该产品基于 华为公司智能多层交换的技术理念 在提供稳定 可靠 安全的高性能L2 L4层交换服务 基础上 进一步提供MPLS VPN 业务流分析 完善的QOS策略 可控组播 资源负载均 衡 一体化安全等智能业务优化手段 同时具备超强扩展性和可靠性 S7700系列广泛适用于园区网络和数据中心网络 可对无线 话音 视频和数据融合网 络进行先进的控制 帮助企业构建交换路由一体化的端到端融合网络 128G槽位带宽 100GE Ready 480个万兆端口 24个40GE端口 创新的CSS交换网集群 硬件级以太OAM BFD 左后风道 高密布线 S7700系列提供S7703 S7706 S7712三种产品形态 2 2 3接入层设计方案 千兆到桌面接入 根据接入密度选择型号 24口接入或48口接入 校园网目前的业务应用主要为桌面办公系统 教学课件系统 互联网业务 网络间要 在接入层必须对必要的业务划分VLAN VLAN划分的方法可以基于端口 基于用户的业务 等 为了满足VLAN的灵活划分及对终端安全的控制 接入交换机应具备强2层特性 支持 防止DOS ARP攻击功能 ICMP防攻击 支持IP MAC 端口 VLAN的组合绑定 同时 只能智能节能功能 通过匹配端口Link Down Up 光模块在位 不在位 配置Shut Down Undo Shut Down 空闲时段 繁忙时段等应用场景 达到应用中大幅度提高动态节 能技术应用比例 节省设备耗电量的目的 应具备能效以太网 EEE 端口能量检测 CPU动态调频 设备休眠等技术已实现设备智能低功耗设计 点位设计如下 建筑建筑楼层楼层房间数点位数合计 24 口交 换机数 量 48 口交 换机数 量 1816 2714 3816 实验楼 4714 6011 实验楼 110206611 21326 31020 1510 2714 3714 综合楼 41020 5811 1612 2816 教学楼 白色 3816 4411 1612 2612 3612 教学楼 粉色 4612 4811 合计合计 55 共部署48口接入交换机5台 24口交换机5台 汇聚交换机46台 覆盖全校约300个信 息点 为保证接入网络的安全可靠 本次配置建议使用华为S5700 LI系列交换机 S5700 LI 系列企业交换机 以下简称S5700 LI 是华为公司自主研发的新一代绿色节能的二层全 千兆以太网交换机 提供灵活的全千兆以太网接入端口 丰富的业务特性 支持EEE节能 特性 支持整机休眠功能 可以为用户提供绿色 易管理 易扩展 低成本的千兆到桌面 的解决方案 S5700 LI能基于五元组 IP优先级 TOS DSCP IP协议类型 ICMP类型 TCP源 端口 VLAN 以太网帧协议类型 CoS等信息 实现复杂流分类功能 S5700 LI支持基于流的双速三色限速功能 每端口支持8个优先级队列 支持 WRR DRR PQ WRR PQ DRR PQ多种队列调度算法 有效地保证话音 视频和 数据业务质量 S5700 LI提供多种安全保护功能 支持DoS Denial of Service 类防攻击 网络的防 攻击 用户的防攻击等功能 其中DoS类防攻击主要包括SYN Flood Land Smurf ICMP Flood 网络的防攻击主要是指STP的BPDU Root攻击 用 户的防攻击涉及DHCP仿冒攻击 中间人攻击 IP MAC Spoofing 攻击 DHCP request flood 改变 CHADDR 值的 DoS 攻击等等 S5700 LI支持通过建立和维护DHCP Snooping 绑定表 侦听接入用户的MAC IP 地 址 租用期 VLAN ID 接口等信息 解决 DHCP 用户的IP 和端口跟踪定位问题 同时 对不符合绑定表项的非法报文 ARP欺骗报文 擅自修改IP地址等 直接丢弃 有效防止 黑客或攻击者通过ARP报文实施园区网常见的 中间人 攻击 利用DHCP Snooping 的 信任端口特性还可以保证DHCP Server 的合法性 S5700 LI支持ARP表项严格学习功能 可以防止因ARP欺骗攻击将交换机ARP表项占 满 导致正常用户无法上网 同时 支持IP Source Check 特性 防止包括MAC 欺骗 IP欺骗 MAC IP欺骗在内的非法地址仿冒带来的DOS攻击 S5700 LI支持集中式MAC地址认证和802 1x 认证 支持用户账号 IP MAC VLAN 端口 客户端是否安装病毒防范等用户标识元素的动态或静态绑定 同时实现用户策略 VLAN QoS ACL 的动态下发 S5700 LI支持基于端口的源MAC地址学习限制功能 有效防止用户源MAC欺骗冲击设 备MAC表项 导致正常用户无法学到MAC表而泛洪的问题等 2 2 4接入层网络隔离 在接入层必须对必要的业务划分VLAN VLAN划分的方法可以基于端口 基于用户的 业务等 图 1 接入层 VLAN 划分组网示意图 所提供接入交换机具有灵活的VLAN划分方法 可以有效的防止ARP等二层攻击 同时支持QinQ技术 可以突破4K个VLAN的限制 为将来网络的合理改造以及扩 容打下坚实的基础 采用QinQ技术可以提供每用户每VLAN的组网方式 将VLAN终结在核心层上 图 2 采用 QinQ 技术隔离终端 QinQ技术采用嵌套VLAN技术 突破了4K VLAN的限制 无论何种接入设备都可以满 足整个网络可靠性 安全的设计 同时每个终端一个VLAN的设计方式保证了二层方式的 终端是隔离的 防止了广播风波 ARP病毒等对局域网危害很大的不安全因素的蔓延 采用这种方式的组网可以大大提高整网的可靠性和安全性 使得网络对二层设备的依 赖降低 并且有助于降低建设成本 因为所有的终端访问都必须经过汇聚交换 这样的网 络设计非常方便网络的管理 控制 避免因为流量的过渡分散造成的安全失控 2 2 5出口设计 考虑到外网攻击很多 在出口部署安全网关 对内外网进行安全隔离 进行NAT转换 和路由 同时防火墙提供攻击防范和url过滤等功能 对外网来的攻击进行防御 安全网关设备实现如下功能 安全网关设备实现如下功能 1 安全隔离 安全网关的安全隔离是基于安全区域 这样的设计模型为用户在实 际使用统一安全网关的时候提供了十分良好的管理模型 华为统一安全网关提 供了基于安全区域的隔离模型 每个安全区域可以按照网络的实际组网加入任 意的接口 因此统一安全网关的安全管理模型是不会受到网络拓扑的影响 2 防 DDOS 安全网关产品根据数据报文的特征 以及 Dos 攻击的不同手段 可 以针对 ICMP Flood SYN Flood UDP Flood 等各种 Dos 攻击手段进行 Dos 攻击 的防御 3 URL 过滤功能 能提供 URL 黑 白名单功能 支持前缀匹配 后缀匹配 关键 字匹配等 支持用户自定义 URL 功能 可自定义分类以及自定义 URL URL 过 滤响应方式可以设置为禁止或允许 禁止方式下支持返回页面通知 页面内容 可自定义 支持 URL 访问日志记录 支持日志归并 URL 分类大类 43 个 小 类 127 个 URL 特征库数量 6500 万条 支持 URL 热点库功能 且热点库支 持升级 4 防火墙 NAT 转换 在 IPV4 由于公网 IP 少 需要防火墙提供 NAT 地址转换 实现对公网的业务访问需求 需要支持包括源 IP 地址转换 目的 IP 地址转换 端口地址转换 静态 IP 地址转换 IP 地址池转换等 支持扩展 NAT 功能 可 实现单个公网 IP 的无限地址转换 考虑到 FTP H 323 SIP 等它们报文的数据 部分可能包含 IP 地址或端口信息 需要支持 FTP H 323 SIP 等各种应用协议 5 路由 支持静态路由 路由策略 策略路由 RIP OSPF BGP MPLS ISIS 等 路由协议 6 高可靠性 支持 HRP Huawei Redundancy Protocol 协议实现双机热备份功 能 包括主备备份 Active Standby 和负载分担 Active Active 两种方 式 HRP 负责在主 备设备之间备份关键配置命令和会话表状态信息 从而确 保主用设备出现故障时能由备份设备平滑地接替工作 2 3无线网络的设计方案 2 3 1 概述 有线网络建设经过改造后 已初具规模 1000Mbps 光缆敷设到全校大部分的楼宇 如何将网络延伸到校园的每一个角落 为学生和教师提供一个随时 随地使用网络的环境 是摆在我们面前的重要任务 无线接入技术与光纤接入 ADSL 接入 以太网接入等技术相比 具有投资少 建 网周期短 提供业务快等优势 在无线接入领域中 固定无线接入正走向成熟 其应用步 伐不断加快 而其中无线局域网技术又以其提供方便 快捷的组网方式等优势 倍受瞩目 因此 我们采用有线网络与无线网络 802 11b 802 11g 融合的策略 将网络应 用延伸到各个办公室 多媒体教室 校园活动场所等空间 提供教学视频的无线上传及下 载 方便教学工作的开展 2 3 2无线基本概念 2 3 3 1网络架构模型网络架构模型 WLAN网络在部署过程中 根据不同的需求有多种实现形式 根据网络架构分为 自治式架构 即 FAT AP 或胖 AP 集中式架构 即 FIT AP 或瘦 AP 自治式架构和集中式架构两种网络结构比较如表1 1所示 表 1 1 自治式架构和集中式架构比较表 项目自治式架构集中式架构 适用场景微型企业 个人新生方式 增强管理 安全性传统加密 认证方式 普通安 全性 基于用户位置的安全策略 高安全性 网络管理每 AP 需要单独下发配置文件AC 上统一配置 AP 本身零 配置 维护简单 用户管理类似有线 根据 AP 接入的有 线端口区分权限 虚拟专用组方式 根据用户 名区分权限 使用灵活 WLAN 组网规模L2 漫游 适合小规模组网L2 L3 漫游 拓扑无关性 适合大规模组网 增值业务能力实现简单数据接入可扩展丰富业务 自治式架构 该架构下AP实现所有无线接入功能 不需要AC设备形态 如图1 2所示 图 1 2 WLAN 自治式架构图 认证服务器 DHCP DNS 服务器 eSight网管 FAT AP FAT AP 园园区区网网 WLAN早期广泛采用自治式架构 随着企业大量部署AP后 对这些AP进行配置 升级软件 等管理工作将给用户带来很高的操作成本 管理成本提高 自治式架构应用逐步减少 集中式架构 该架构通过无线控制器 AC 集中管理 控制多个AP 如图1 3所示 所有无线接入功能 由AP和AC共同完成 AC 完成网络具有重要意义的功能 例如移动管理 身份验证 VLAN 划分 射频 资源管理 无线 IDS Intrusion Detection Systems 和数据包转发等 AP 完成无线空口的控制 例如无线信号发射与探测响应 数据加密解密 数据 传输确认 空口数据优先级管理等等 图 1 3 WLAN 集中式架构图 认证服务器 DHCP DNS 服务器 eSight网管 FIT AP FIT AP AC 园园区区网网 AP和AC间采用CAPWAP隧道协议进行通讯 AC与AP间可以是直连或者穿越Layer 2 Layer 3网络 CAPWAP协议是基于UDP传输层的应用层协议 协议传递的信息分为两类 控制信息 和数据信息 控制信息负责 AC 与 AP 之间的管理的交互操作 包括 AP 自动发现 AC AC 对 AP 进行安全认证 AP 从 AC 获取软件版本 AP 从 AC 获取配置等等 数据信息是封装后转发的无线数据 两类信息分别使用不同的UDP端口号 CAPWAP信息在AP与AC间交互时可以使用DTLS加 密机制 保证通信的安全性 所有无线接入功能由AP和AC间共同完成 集中式架构是企业网 运营商等WLAN方案的 主要架构 便于集中管理 集中认证和实施安全策略 此种方案为目前企业网通用方案 在FIT AP网络架构下 又有如下划分 根据 AC 部署方式 分为集中式和分布式 根据 AC 部署位置 分为旁挂和直路 根据 AC 硬件体现形式 分为集成 AC 和独立 AC 根据业务转发形式 分为本地转发和集中转发 2 3 3 2集中式集中式AC与分布式与分布式AC 根据AC的部署方式 网络可分为集中式AC部署和分布式AC部署 集中式AC部署 集中式AC部署是指整个网络中集中部署AC设备 一般是独立的AC设备 来控制和管理 整网的AP设备 AC的部署可以采用直路 直接部署在AP和汇聚 核心交换机之间 或旁挂 方式 旁挂在汇聚 核心交换机旁侧 图 1 4 集中式AC 部署示意图 分布式AC部署 分布式AC部署是指网络中分区域采用多个AC设备 分别对本区域的AP设备进行管理 分 布式AC方案一般不采用独立的AC设备 而是采用在汇聚交换机上集成AC功能 来实现对 本交换机下挂的所有AP进行管理 图 1 5 分布式AC 部署示意图 AC的两种部署方式的优劣势对比如表1 2所示 表 1 2 集中式 AC 与分布式 AC 优缺点对比表 AC 部署方式优点缺点 集中式 节省投资 容量管理更简单有效 成本 效益高 无线业务终结点少 便于管 理 漫游部署简单 高效 无线网络运维管理更简单 可集中管理且配置灵活 AC 与 AP 之间的网络结构 复杂 网络规划部署相对 复杂 分布式AC 与 AP 之间网络结构简单 网络 部署相对简单 投资成本高 需要部署 AC 间漫 游 除非各 AC 所 在的区域间不考虑 漫游 运维成本高 2 3 3 3AC旁挂与旁挂与AC直路直路 根据AC在网络上所处位置 可分为AC旁挂和AC直路 旁挂 旁挂方式是指将AC部署在用户网关设备 汇聚或核心交换机 一侧 实现对用户网关设备 下所有AP的管理 旁挂方式主要用于原有网络汇聚 核心设备非华为设备的场景 目前主要用于网络改造 或 者新建大 中型园区网络场景 AC旁挂示意图 直路 直路方式是指将AC部署在AP与用户网关设备 汇聚或核心交换机 之间 实现对下辖所 有AP的管理 直路方式主要用于新建中 小型园区网络或原有网络汇聚 核心设备为华为设备的场景 AC直路示意图 2 3 3 4本地转发与集中转发本地转发与集中转发 转发模式主要是AP针对用户数据可以有不同的转发处理方式 本地转发 又称直接转发 是指AP上对用户数据由本地转发到网络上层 不经过AC处理 AC只对AP 进行管理 而AP管理流封装在CAPWAP隧道中 到达AC终止 本地转发示意图 集中转发 也称作隧道转发 业务数据报文由AP统一封装后到达AC实现转发 AC不但进行对AP管理 还作为AP流量的转发中枢 即AP管理流与数据流都封装在CAPWAP隧道中到达AC 隧道转发示意图 本地转发与集中转发优缺点对比如0所示 本地转发与集中转发优缺点对比表 转发方式优点缺点 本地转发设备署简单 数据流量不经过 AC AC 负担小 集中转发数据流量和管理流量全部经过 AC 可以按用户需求规划安全监 管策略 AC 设备数据压力较大 对 AC 设备本身处理能力要求较高 2 3 3覆盖区域描述 网络覆盖范围总共包含5栋楼 实训楼 实验楼 综合楼 教学楼 白色 教 学楼 粉色 墙体统一为24砖墙 网络点位统计如下 建筑建筑楼层楼层 分布式分布式 APAP 数量数量 放装放装 式式 APAP 1 分 4 功分器 数量 天线数 量 备注备注 12 28 22 27 32 28 实验楼 42 27 实训楼长约 40m 建议每层部 署 2 个 AP 通过馈线将天线部 署到每个教室 12127 23 310 实验楼 32228 多媒体 阅览室较大 单独 配置一台放装型 AP 101 21314 2 楼 70 个用户 配置 4 个 AP 31014 综合楼 43139 4 楼 70 个用户 PEIZHI 4 个 AP 12 26 22 26 教学楼 白色 32 26 教学楼面积较大 建议每层配 置 2 个 AP 12 26 22 26 32 26 教学楼 粉色 42 26 教学楼面积较大 建议每层配 置 2 个 AP 数量合计数量合计 34834114 无线AP的部署分为室内放装型及室内分布式两种 室内放装型自带天线 可以部署在 较大的房间内或用户比较密集的区域 提高无线接收效果 如多媒体室 阅览室等 室内 分布式AP可配置功分器 提供多个天线分别接入到每个房间 提高覆盖范围 避免由于墙 体过厚导致的无线衰减问题 本次设计使用了8个放装型AP 部署在多媒体室 阅览室及 综合楼的人员密集区域 使用了34个分布式AP和114根天线 覆盖到每一个教室及主要 办公室 提高完善的网络覆盖范围 在注意覆盖范围的同时需考虑覆盖的用户总数 由于AP的处理能力有限 所以所以 建议每个建议每个APAP下下挂的用户数量不超过下下挂的用户数量不超过2525个个 在一些楼层用户较多的区域 需考虑用户 数上限的问题 如综合楼的2楼和4楼 用户数超过70 这些楼层建议配置4个AP进行覆 盖 以达到较好的用户体验 2 3 4无线局域网拓扑 本次设计采用集中式构架 通过AC统一对下级的AP进行管理和维护 AC采用旁挂的方 式进行组网 通过本地转发的方式进行数据传输 本次无线的拓扑结构如下 本次方案采用瘦AP方式实现大楼的无线覆盖 便于进行集中配置和统一管理 在实际 工作中 无线控制器AC连接到核心交换机 与eSight网管系统的WLAN管理模块协同工作 实现对全网AP的自动配置下发 射频管理 信道分配 安全接入控制等等无线网络配置和 运维管理功能 本次配置采用AC AP集中式管理的无线组网方案 各大楼根据工勘结果部署相应AP 通过千兆电口连接到相应楼层无线接入交换机 无线接入交换机提供POE功能 通过POE技 术对AP供电 简化布线 无线POE交换机通过两条千兆链路连接到核心交换机 核心交换机 旁挂一台无线控制器AC 通过千兆电口互联 采用集中式组网方式对无线AP进行统一管理和 控制 推荐配置如下 序号序号设备类别设备类别设备型号设备型号数量数量备注备注 1 盒式ACAC6605164个AP许可 2 室内放装型AP 11bgn AP6010SN8POE供电 3 室内分布式APAP6310SN34 4 全向天线114 5 POE交换机S5700 28C PWR SI5每楼宇一台 2 3 5无线 VLAN 规划 VLAN规划的原则 管理 VLAN 和业务 VLAN 分离 业务 VLAN 应根据实际业务需要与 SSID 匹配映射关系 1 1 1 N N 1 N N 管理管理VLAN 对于瘦AP 管理VLAN是指AC与AP之间控制报文所带VLAN 控制报文包括AP上线时的报 文 DHCP等 以及建立CAPWAP控制隧道后的控制隧道报文 由于在实际应用中 AC需要按VLAN选择DHCP SERVER 或RELAY还是透传 因此管理 VLAN和业务VLAN必须分离 以便满足不同DHCP应用的需求 如果AC AP间经过三层转发 中间三层设备必须支持DHCP RELAY 同样要注意区分管理VLAN和业务VLAN 使之采用不同 的RELAY GATEWAY 以便AC区别不同DHCP请求 业务业务VLAN 业务VLAN主要用于区分不同的业务类型或用户群体 在WLAN中SSID也同样可以承担相 应的工作 因此 在业务VLAN的规划中必须综合考虑VLAN与SSID的映射关系 业务VLAN与SSID有如下四种映射关系 SSID VLAN 1 1SSID VLAN 1 1 部署 部署 例如对北京市西城区 金融大街 和 中央音乐学院 进 行 WLAN 覆盖 都是北京联通 WLAN 网络的覆盖区域 所以希望用户搜索到的 WLAN 只有一个 SSID 如 北京联通 VLAN 也只需要规划一个 如 1000 SSID VLAN 1 NSSID VLAN 1 N 部署 部署 虽然北京市西城区 金融大街 和 中央音乐学院 都是 北京联通 WLAN 网络的覆盖区域 用户搜索到的 WLAN 只有一个 SSID 北京联通 但希望规划不同的 VLAN 标识不同的场点 如 1000 1001 这个场景中 SSID VLAN 1 N SSID VLAN N 1SSID VLAN N 1 部署 部署 虽然都是北京联通的覆盖区域 但希望用户搜索到 WLAN 就知道自己在什么地方了 因此需要两个 SSID 如 金融大街 和 中央音乐 学院 由于都是北京联通的场所 VLAN 只想规划一个 如 1000 SSID VLAN N NSSID VLAN N N部署 部署 虽然都是北京联通覆盖区域 但希望用户搜索到WLAN就知道自己在 什么地方了 并希望通过不同的VLAN精细控制流量 因此需要两个SSID 如 金融大街 和 中央音乐学院 同时VLAN也要规划两个 如1000和1001 4 无线网络应用 无线网扩展了有线网的覆盖范围 将网络应用延伸到学生向往的空间 这意味着可以 在任何便于工作的地方 如在报告厅 自助餐厅 实验室 办公室以及在校园休闲场地享 受学习的自由和灵活性 学生在上述无线覆盖的区域可以收发电子邮件 点播流媒体节目 学习Web课程 利用 WebQuest探讨问题 利用MSN或QICQ与他人 同学 老师或家人 协作交流思想和学习等 这要归功于可以传输实时信息的各种手持终端和笔记本电脑 在其他行业中 无线局域网 日益被看作是一种创新的 可负担的工具 用以补充有线网络 而不是取代它 3 统一身份认证平台统一身份认证平台 统一身份认证平台采用华为统一身份认证平台采用华为 TSM 实现 实现 1 背景 随着网络技术的发展 学校广泛采用协同办公或通过远程 移动和互联网接入等 方式办公 上述工作方式的应用在带来更多资讯和更高生产效率的同时 也给企 业办公网络带来更多的安全问题 面临如下风险 远程接入或移动办公会导致网络漏洞越来越多 学校的终端用户 远程办公的终端用户 合作伙伴 来访客户等多种终端用户 接入总局或其他学校网络 网络接入点和接入方式增多 导致网络漏洞成倍增加 非法终端用户接入 外来人员在未经许可的情况下 能够轻易接入并访问公司的网络 合法终端用户越权访问 因未对企业中的网络资源进行严格的访问权限控制 导致合法终端用户能够随 意访问企业中的机密信息 终端用户滥用资源 在未经许可的情况下 终端用户随意使用拨号上网设备连接 Internet Microsoft Windows 操作系统存在越来越多的安全漏洞 因终端主机未及时安装补丁 可能招致黑客和恶意用户的攻击 病毒泛滥 因未安装防病毒软件 终端用户在上网时容易感染病毒 并且容易在企业网中 蔓延和传播 黑客恶意破坏 黑客会利用 Microsoft Windows 的某些系统服务固有的缺陷或通过暴力破解长 期未使用的账号入侵终端主机 再蓄意破坏企业中的 IT 系统 随意共享目录导致安全隐患和信息泄密 因共享目录的权限设置不当导致机密文件泄密 并容易感染病毒 安全策略不能及时落实 管理员缺乏监督手段 不能敦促未安装补丁的终端用户安装补丁或未更新病毒 库的终端用户更新病毒库 终端用户的违规行为得不到监控 管理员无法检查终端用户是否在上班时间访问与工作无关的网站 最重要的是 缺少取证手段 上网无法进行计费 学校无法对学生的上网进行计费 计天 包月 流量计费 时长计费 自定义 周期计费 自定义计费策略 本周起不使用不扣费 一次付费分段开通 分地区计 费等 2 接入控制方案 在内网中 基于交换机实现的IP的访问控制不仅配置管理不够灵活 而且还存在IP被仿冒 等安全风险 无法彻底解决非法接入和越权访问的问题 TSM系统终端用户的身份认证 通过基于用户角色的网络访问权限管理 加强内网的网络 访问控制 防止非法接入和非授权访问 保证企业内网的安全 通过硬件安全网关进行准 入控制 3 身份认证方案 TSM系统建立了完善的接入用户身份认证机制 支持系统内置账号和外部数据源方式 系 统内置账号包括普通账号 MAC账号 外部数据源账号支持从AD账号 LDAP账号和CA 账号等第三方的用户系统中同步账号 实现终端的网络准入前的身份认证过程 TSM系统中 终端用户是以终端角色来进行安全策略和网络访问权限管理的 终端只有完 成身份认证才能接入企业内网 因此本次实施方案需完成终端用户的认证账号配置 TSM系统参考现有企业的组织和管理结构 采用树状结构的多级管理方式 账号数据源支 持系统内置账号和外部数据源方式 系统内置账号包括普通账号 MAC账号 外部数据源 账号支持从AD账号 LDAP账号和CA账号等第三方用户系统中同步账号 完成TSM系统的 接入认证 4 设备自发现 现网网络规模较大 接入内网的设备较多 管理员很难及时动态滴了解网络设备的接入情 况 建议启用TSM系统的自动网络扫描功能 扫描并自动分类网络中的接入设备 如交换 路由设备 PC设备 服务器 IP电话 网络打印机等 同时保证能够及时发现网络中出现 的新设备 对未安装TSM代理的外来终端的接入行为进行告警 方便管理员了解网络终端 的接入情况 5 终端加固管理 企业内网终端众多 员工的计算机水平和信息安全意思参差不齐 由于操作系统安全设置 不当而引起的安全风险越来越明显 仅通过目前行政管理手段无法保证所有终端的安全性 建议加强对操作系统的安全加固管理 具体管理方案如下 6 防病毒软件安全策略 内网的办公终端绝大多数已经安装了防病毒软件 但由于强制检查 导致终端长期不更新 病毒库和病毒引擎版本 使得防病毒软件形同虚设 没有发挥其重要的终端保护能力 因此 建议通过TSM系统的防病毒管理策略实现终端的安全防护 TSM配合企业自身的防 病毒软件 通过检查终端是否安装 运行状态以及防病毒软件的更新状态 作为判断终端 当前安全状态的一个依据 阻止或提示没有部署杀毒软件的终端或者杀毒软件长期不更新 的终端接入网络 保证企业内网运行的终端杀毒软件能够及时更新并且有效运行 减少病 毒感染和扩散的风险 7 强化补丁安装 加强操作系统和应用程序的安全漏洞检查 把补丁的检查作为一个重要的检查项 检查操 作系统补丁 IE的SP补丁 OFFICE的SP补丁等 当检查到终端没有部署必须的补丁的时 候 TSM系统能够协助终端快速完成补丁的修复 8 超时自动锁屏 通过屏幕保护策略检查终端的屏幕保护是否启用 屏幕保护程序密码是否设置以及屏幕保 护启动时间是否符合企业安全要求的安全检查 保证终端在空闲一定时间后屏幕保护程序 自启动的安全要求 满足企业终端桌面管理规范 当终端屏幕保护设置不符合规范时 进 行自修复 9 注册表配置管理 通过对系统注册表键值检查 完成终端注册表键值存在与否的安全性检查 支持对终端的 自动修复功能 对于要求存在的键值 如果该键值不存在 则添加该键值 对于不允许存 在的键值 如果该键值存在 则删除该键值 10 冗余账号检查 通过检查系统冗余账号 TSM系统能够协助管理员发现终端长期未使用的临时账号 降低 企业终端安全管理风险 11 检查账号安全 通过账号的弱口令检查 账号群组检查 本地密码策略包括密码长度最小值 密码最长存 留期属性检查等 保证终端操作系统账号的安全 12 检查端口策略 通过检查终端口策略 有效保证对于接入网络的终端 及时提醒个人用户关掉无用端口 保证无用服务的最小化使用原则 13 网络共享管理 Window操作系统默认情况下对共享文件夹和共享打印机设置为Everyone权限 如果终端用 户安全意识不高的情况下 就会带来较大的安全隐患 一方面 网络内任意终端可能在未 获得授权的情况下直接窃取共享信息 另一方面 公开的共享目录也给病毒的传播提供了 温床 TSM的系统安全管理功能 能够及时协助终端用户发现并且清理不安全的共享账号 14 监控非法应用和服务 通过检查终端的软件安装情况和监控终端软件程序的运行情况 阻止终端安装和运行非法 应用程序 如果发现安装或使用了非法软件 进程和服务 可以通过与准入控制设备的联 动提示或阻止该终端接入网络 也可以拦截非法软件 进程和服务的使用 规范员工的行 为 同时 管理员可通过审计软件的安装和使用情况 从而及时了解安全状态 15 终端行为管理 法律规定了很多网站是非法的 比如有色情 迷信和犯罪相关的等等 使用宽带接入互联 网后 企业内部网络某种程度上成了一种 公共 上网场所 很多与法律相违背的行为都 有可能发生在内部网中 这些事情难以追查 给企业带来的法律法规方面的风险 因此 建议对员工的网络访问行为进行管理 具体管理方案如下 16 监控网站访问 通过对WEB访问的监控 记录终端用户的WEB网站访问信息 由管理员进行统一管理和审 计 通过这样的手段 一方面可以管理员工的上网行为 上班时间屏蔽一些与工作无关的 网站 另一方面 提供审计和责任追溯的途径 17 软件安装标准化 通过软件黑白名单检查 检查终端安装软件的列表 可以定义软件黑名单的违规软件列表 和软件白名单的合法的软件列表 也可以通过检查软件黑白名单规定只能安装列表中的软 件或者必须安装的软件 加强企业桌面软件统一安装的标准性 18 IP 访问和网络应用程序监控 通过对终端的IP访问控制和网络应用程序访问控制功能 对于一些安全性要求比较高的业 务系统 允许定义基于时间段的IP访问规则 允许配置特定用户群在下班时间后不能访问 一些关键的业务系统 防止对这些关键服务器可能造成的危害 允许定义网络