|
校園網(wǎng)無線網(wǎng)絡(luò)設(shè)計(jì)方案
資源天下 2019/8/25 9:56:37
(接上頁)通常情況下����,無線控制器與AP之間采用跨三層的連接方式�����,AP的數(shù)據(jù)要到達(dá)無線控制器需要經(jīng)過接入交換機(jī)-﹥匯聚交換機(jī)-﹥校區(qū)核心交換機(jī)-﹥主核心交換機(jī)最終到達(dá)無線控制器����,現(xiàn)有無線控制器的冗余備份技術(shù)和AP的雙上聯(lián)技術(shù)只能解決上述過程中兩端節(jié)點(diǎn)的可靠性,而對于中間的2-3級交換機(jī)上聯(lián)鏈路卻無能為力�����。所以�,一旦匯聚交換機(jī)或分校區(qū)核心交換機(jī)的上聯(lián)鏈路出現(xiàn)問題,將直接導(dǎo)致一棟樓���、一個(gè)校區(qū)的無線網(wǎng)絡(luò)完全癱瘓���,這對于一個(gè)運(yùn)營級的無線網(wǎng)絡(luò)來說是致命的。
在無線網(wǎng)絡(luò)的穩(wěn)定性方面��,除了通過N+1的控制器冗余技術(shù)來保障核心層無線控制器的高可用性外��,銳捷網(wǎng)絡(luò)智能轉(zhuǎn)發(fā)架構(gòu)還提供了一種在無線控制器下聯(lián)鏈路失效(或者AP的匯聚上聯(lián)鏈路失效)情況下���,依然能保障無線網(wǎng)絡(luò)正常運(yùn)行的解決方案�����。
如圖所示����,無線網(wǎng)絡(luò)采用集中式的認(rèn)證和分布式數(shù)據(jù)轉(zhuǎn)發(fā)模式,當(dāng)AP上聯(lián)的交換機(jī)與無線控制器的鏈路出現(xiàn)中斷時(shí)����,AP會在timeout時(shí)間間隔內(nèi)嘗試與無線控制器重新建立連接,一旦超時(shí)AP不再發(fā)送beacon幀或者響應(yīng)用戶的probe request請求���,此時(shí)AP進(jìn)入“standalone”模式����。在這種模式下�,已經(jīng)連接在AP上的用戶仍然在線,并且可以訪問本地網(wǎng)絡(luò)的資源�����。直到中斷的鏈路恢復(fù)�����,AP重新與無線控制器建立心跳連接,無線業(yè)務(wù)恢復(fù)正常�,AP重新接受新用戶的關(guān)聯(lián)申請。
3.5 802.11n無線的安全性設(shè)計(jì)
現(xiàn)行的無線網(wǎng)絡(luò)產(chǎn)品大多數(shù)都采用802.11a/b/g作為無線傳輸協(xié)議��,因?yàn)?02.11a/b/g數(shù)據(jù)在傳輸?shù)倪^程中都曝露都空中�����,很容易被別有用心的人截取數(shù)據(jù)包��,雖然國外廠商都針對802.11a/b/g制定了一系列的安全解決方案�,但總得來說并不盡人意��,所以在安全方面成了我國政府和商業(yè)用戶使用WLAN的一大隱患���。
WAPI由我國有關(guān)部門掌握著加密的核心技術(shù)�,加密技術(shù)比802.11 a/b/g更為先進(jìn)��,WAPI采用國家密碼管理委員會辦公室批準(zhǔn)的公開密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法��,實(shí)現(xiàn)了設(shè)備的身份鑒別����、鏈路驗(yàn)證���、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護(hù)。此外����,WAPI從應(yīng)用模式上分為單點(diǎn)式和集中式兩種,可以徹底扭轉(zhuǎn)目前WLAN采用多種安全機(jī)制并存且互不兼容的現(xiàn)狀����,從根本上解決安全問題和兼容性問題。所以我國強(qiáng)制性地要求相關(guān)商業(yè)機(jī)構(gòu)執(zhí)行WAPI標(biāo)準(zhǔn)能更有效地保護(hù)數(shù)據(jù)的安全��。
802.11a/b/g的實(shí)現(xiàn)過程如下圖�����,在安全認(rèn)證過程中有諸多缺陷:
圖3 802.11a/b/g的實(shí)現(xiàn)過程
WAPI技術(shù)在安全認(rèn)證過程中有諸多優(yōu)勢:
圖4 安全認(rèn)證過程
WAPI的出現(xiàn)初衷是為了解決Wi-Fi的數(shù)據(jù)安全���,而國家在國際公認(rèn)有缺陷的技術(shù)上進(jìn)行改進(jìn)修正���,推出適合本國需要的新的技術(shù)是國際允許的,并沒有違反任何協(xié)議��;因此��,WAPI技術(shù)在國內(nèi)得到了蓬勃的推廣和發(fā)展,WAPI產(chǎn)業(yè)應(yīng)用已覆蓋了網(wǎng)卡��、筆記本�、手機(jī)、PDA�����、MP3����、數(shù)碼相機(jī)等����。隨著WAPI技術(shù)越來越多的被終端制造商所采用,建議湘星學(xué)院的無線網(wǎng)絡(luò)除了注重802.11n高速度的同時(shí)���,也應(yīng)著重考慮無線網(wǎng)絡(luò)的安全性和WAPI技術(shù)在未來的應(yīng)用前景��。
3.6 校園無線網(wǎng)絡(luò)管理體系建設(shè)
在全校無線網(wǎng)絡(luò)建成之后�����,其主體設(shè)備-無線接入點(diǎn)��,將被大量的用于最后一百米的接入為師生提供無線接入的服務(wù)�。因此,建成后的無線網(wǎng)絡(luò)應(yīng)當(dāng)具備接入層網(wǎng)絡(luò)的用戶管理策略��,即用戶組策略����。通過無線接入點(diǎn)對Multi-BSSID技術(shù)的支持,可以劃分多個(gè)標(biāo)準(zhǔn)的802.1Q VLAN的標(biāo)記����,不同的用戶,通過不同的SSID訪問無線接入點(diǎn)�,即可被分成不同的用戶VLAN組,并對其實(shí)施不同的安全�、認(rèn)證、計(jì)費(fèi)策略���。這樣既可以保障用戶不會利用無線接入點(diǎn)非法互通����,也可以使得學(xué)院用戶不論是通過無線還是有線方式接入網(wǎng)絡(luò)��,都可以屬于同一個(gè)VLAN,獲得完全一致的訪問權(quán)限����。另外,為了確保類似視頻會議��、重要的文件下載等重要關(guān)鍵業(yè)務(wù)在無線網(wǎng)絡(luò)上的穩(wěn)定應(yīng)用�,需要在以共享為特征的無線信道帶寬中,為其分配足夠保障的帶寬資源和優(yōu)先傳輸���。因此���,必須采用無線網(wǎng)絡(luò)專用的QoS機(jī)制,即802.11e協(xié)議�。通過對該協(xié)議的支持����,將使得無線接入點(diǎn)設(shè)備可以預(yù)知某種應(yīng)用或客戶的優(yōu)先順序,并進(jìn)行相應(yīng)的處理�����。
建成后的無線校園網(wǎng)絡(luò)由成千上萬臺無線接入點(diǎn)設(shè)備組成的無死角全校區(qū)覆蓋網(wǎng)絡(luò)中���,必須通過相應(yīng)的全局集中管理體系���,才能隨時(shí)掌控這個(gè)龐(未完���,下一頁)
|