1、校园WLAN与有线网络对接方案(V1.0)中国移动通信集团浙江有限公司2011年7月目录一 方案概述31.1 组网结构31.2 业务承载41.3 认证方式41.4 安全部署41.5 QOS保障4二 网络拓扑52.1 校园WLAN网络拓扑图52.2 有线无线网络对接示意图6三 访问流程73.1 数据走向73.2 流程说明7四 补充说明8一 方案概述 随着今年3G的大力推广,校园WLAN项目作为3G网络的一个补充在全国上下遍地开花。而宁波移动也于今年的8月份正式启动了校园WLAN项目的建设,经过2个月的努力,现已陆续构建完成了宁波市大部分高校的校园WLAN网络。 为了更好的实现校园网络的有线无线一
2、体化,方便学生用户通过无线访问校园网和教育网,完成校园WLAN网络与原校方网络的对接是有很必要的。 1.1 组网结构运营商无线接入网络部分与原校方自己建设的教学区网络相互独立,新部署无线网络在汇聚层通过光纤直接和学校原有的有线网络核心交换机相连,通过增加物理连接达到无线网络访问校园网络的目的。无线网络采用无线控制器(后简称AC)+FIT AP模式组网。宁波移动校园WLAN网络典型组网1.2 业务承载针对Internet业务和校园网业务,分别采用不同的SSDI进行承载。主要采用集中转发的模式,业务流在无线隧道内传输到AC,AC将业务数据里从隧道内剥离出来上送到BRAS连接Internet网络。1
3、3 认证方式 目前浙江全省校园WLAN网络统一采用portal+radius的认证方式进行用户身份验证,SSID统一标示为ZMCC。对于WLAN用户访问校园网的认证方面,若校方原有线网访问教育网时已部署有认证网关,则无线访问教育网可以直接利用。对于访问校园内网资源的用户,是否需要认证计费,或者只认证不计费完全取决与校方。1.4 安全部署相比无线热点区域,校园内的网络环境更为复杂,存在较多的ARP攻击、mac欺骗、地址扫描、伪DHCP服务器接入等多种不安全因素,并且无线网本身属于开放式接入方式,更是有可能存在信息泄漏等安全隐患。针对上述问题,采用分布式安全防范部署,在各层次网络设备上部署不同的
4、安全策略,如AP与终端间加密、DHCP snooping的安全防范、部署VLAN隔离、端口隔离等业务隔离技术避免用户间相互影响,通过这些安全措施,步步为营,层层防范,大大提高了网络的抗攻击能力。使无线网络的安全同有线完全一样,有效的避免了无线引入新的病毒。重点防范802.11物理和链路层的安全,并与有线网络的安全实现联动,确保实现整个网络的安全。1.5 QOS保障 虽然Interne业务和校园网业务采用不同的SSID进行承载,但由于无线空口资源有限,若Internet访问流量过大,则会影响校园网的应用,反之亦然。针对这种情况,H3C方案通过对不同的SSID进行限速,有效的避免了因一种业务流量过
5、大造成对其他业务的冲击问题。另外,H3C提供了无线网络和有线网络间的QOS标记映射技术(802.11e映射到DSCP),可以保障高优先级业务在网络中端到端的QOS。二 网络拓扑2.1 校园WLAN网络拓扑图 此次校园WLAN项目采用AC+Fit AP的组网模式,位于校园移动基站机房的H3C S5500汇聚交换机作为校园WLAN网络的汇聚及出口,上联第二邮政基站机房huawei 6503(旁挂AC),通过huawei NE 40上联至NE 80,即宁波移动城域网的核心层,再通过CMNET外连互联网。 在WLAN AP部署时,充分考虑到有线网的特性,采用零配置即连即用的技术,对现有有线接入网络不做
6、任何修改,仅仅修改DHCP服务器或者DNS服务器的配置,在无线控制器(AC)上进行配置,就可以提供WLAN接入服务,大大降低了网络部署成本。需要更换设备时,新的AP设备接上以太网线就可以成功接入到网络,不需要改变无线控制器上的配置,对安装维护人员没有技术背景要求,轻松实现设备维护更换和网络扩容。2.2 有线无线网络对接示意图 运营商承建的无线接入网络要与原校方的有线网络物理独立,无线设备通过自己的汇聚设备进行接入。在汇聚层与原校方网络进行连接。这样便于管理运维,明确责任。无线接入网单独建设,与原校方网络仅在汇聚层连接。即使覆盖教学区的AP设备,也通过运营商的接入交换机直接连接到汇聚交换机上,而
7、不是通过原校方的接入交换机接入。因此,无线接入网络与原校方网络物理上是完全独立的,这样便于运营商统一进行IP地址和VLAN的规划管理,便于运行维护。三 访问流程3.1 数据走向无线网络访问有线网络流程图3.2 流程说明第一步,用户首先通过校园网业务的SSID接入无线网络;第二步,客户端发起DHCP请求,DHCP认证请求在AP上直接标记VLAN,带TAG上传到接入交换机;接入交换机与汇聚交换机L2转发DHCP请求到校园网中;校园网对用户分配IP地址,网关指向校园网络认证网关;第三步,用户访问校园网络,触发portal认证,认证通过后用户可以访问校园网资源。要注意的是, Internet业务与校园
8、网业务采用不同SSID,因此在应用中用户无法同时访问校内资源和Internet资源。四 补充说明对于之前校方提出的几点问题,在此做出回复声明:1、 校方对无线的安全接入提出要求,我们是否对安全有所控制,需求一套审计系统,妥否? 答复:前文已在1.4安全部署方面做了充分阐述,请参照前文。另由于后期WLAN用户将全部改为采用公网地址,因为公网地址是唯一的,运营商针对每一个公网地址都有严格的行为监视,那么则无需再部署一套审计系统。2、 对接有两种方式可供选择VPN或光纤。将采取何种方式对接? 答复:鉴于前几个学校的成功对接案例,我们采用光纤的方式进行对接,一方面是比较方便,易于实现,另一方面物理上保证了链路的可靠性,带宽的可靠性。可能校方考虑到安全方面,所以建议走VPN的方式,但VPN接入使得设备配置复杂,增加了核心设备的负荷。3、考虑到方便用户的原则,WLAN认证和校园网认证是否可能合二为一? 答复:就目前而言,两套认证应该不能合在一起的,两套身份认证系统一个以学号为单位,一个以手机号码为单位,不同的信息,不同的BAS系统,不同的SSID,二者合一应该是不可能的。4、 之前在其他学校是否有成功的对接案例可供校方参考? 答复:我们先后在宁大卫生学院、大红鹰职业技术学院等高校完成了有线与无线的成功对接,现场完成测试,到达预期对接效果,用户反应良好。