校园WLAN与有线网络对接措施.docVIP

校园WLAN与有线网络对接方案 (V1.0 中国移动通信集团浙江有限公司2018年7月 目录 TOC \o 1-3 \h \u 一 方案概述 3 1.1 组网结构 3 1.2 业务承载 4 1.3 认证方式 4 1.4 安全部署 4 1.5 QOS保障 4 二 网络拓扑 5 2.1 校园WLAN网络拓扑图 5 2.2 有线无线网络对接示意图 6 三 访问流程 7 3.1 数据走向 7 3.2 流程说明 7 四 补充说明 8 一 方案概述 随着今年3G的大力推广，校园WLAN项目作为3G网络的一个补充在全国上下遍地开花。而宁波移动也于今年的8月份正式启动了校园WLAN项目的建设，经过2个月的努力，现已陆续构建完成了宁波市大部分高校的校园WLAN网络。 为了更好的实现校园网络的有线无线一体化，方便学生用户通过无线访问校园网和教育网，完成校园WLAN网络与原校方网络的对接是有很必要的。 1.1 组网结构 运营商无线接入网络部分与原校方自己建设的教案区网络相互独立，新部署无线网络在汇聚层通过光纤直接和学校原有的有线网络核心交换机相连，通过增加物理连接达到无线网络访问校园网络的目的。无线网络采用无线控制器后简称AC）+FIT AP模式组网。 宁波移动校园WLAN网络典型组网 1.2 业务承载 针对Internet业务和校园网业务，分别采用不同的SSDI进行承载。主要采用集中转发的模式，业务流在无线隧道内传输到AC，AC将业务数据里从隧道内剥离出来上送到BRAS连接Internet网络。 1.3 认证方式 目前浙江全省校园WLAN网络统一采用portal+radius的认证方式进行用户身份验证，SSID统一标示为ZMCC。对于WLAN用户访问校园网的认证方面，若校方原有线网访问教育网时已部署有认证网关，则无线访问教育网可以直接利用。对于访问校园内网资源的用户，是否需要认证计费，或者只认证不计费完全取决与校方。 1.4 安全部署 相比无线热点区域，校园内的网络环境更为复杂，存在较多的ARP攻击、mac欺骗、地址扫描、伪DHCP服务器接入等多种不安全因素，并且无线网本身属于开放式接入方式，更是有可能存在信息泄漏等安全隐患。针对上述问题，采用分布式安全防范部署，在各层次网络设备上部署不同的安全策略，如AP与终端间加密、DHCP snooping的安全防范、部署VLAN隔离、端口隔离等业务隔离技术避免用户间相互影响，通过这些安全措施，步步为营，层层防范，大大提高了网络的抗攻击能力。 使无线网络的安全同有线完全一样，有效的避免了无线引入新的病毒。重点防范802.11物理和链路层的安全，并与有线网络的安全实现联动，确保实现整个网络的安全。 1.5 QOS保障 虽然Interne业务和校园网业务采用不同的SSID进行承载，但因为无线空口资源有限，若Internet访问流量过大，则会影响校园网的应用，反之亦然。针对这种情况，H3C方案通过对不同的SSID进行限速，有效的避免了因一种业务流量过大造成对其他业务的冲击问题。 另外，H3C提供了无线网络和有线网络间的QOS标记映射技术802.11e映射到DSCP），可以保障高优先级业务在网络中端到端的QOS。 二 网络拓扑 2.1 校园WLAN网络拓扑图 此次校园WLAN项目采用AC+Fit AP的组网模式，位于校园移动基站机房的H3C S5500汇聚交换机作为校园WLAN网络的汇聚及出口，上联第二邮政基站机房huawei 6503旁挂AC），通过huawei NE 40上联至NE 80，即宁波移动城域网的核心层，再通过CMNET外连互联网。 在WLAN AP部署时，充分考虑到有线网的特性，采用零配置即连即用的技术，对现有有线接入网络不做任何修改，仅仅修改DHCP服务器或者DNS服务器的配置，在无线控制器AC）上进行配置，就可以提供WLAN接入服务，大大降低了网络部署成本。需要更换设备时，新的AP设备接上以太网线就可以成功接入到网络，不需要改变无线控制器上的配置，对安装维护人员没有技术背景要求，轻松实现设备维护更换和网络扩容。 2.2 有线无线网络对接示意图 运营商承建的无线接入网络要与原校方的有线网络物理独立，无线设备通过自己的汇聚设备进行接入。在汇聚层与原校方网络进行连接。这样便于管理运维，明确责任。 无线接入网单独建设，与原校方网络仅在汇聚层连接。即使覆盖教案区的AP设备，也通过运营商的接入交换机直接连接到汇聚交换机上，而不是通过原校方的接入交换机接入。因此，无线接入网络与原校方网络物理上是完全独立的，这样便于运营商统一进行IP地址和VLAN的规划管理，便于运行维护。 三 访问流程 3.1 数据走向 无线网络访问有线网络流程图 3.2 流