湖塘桥实验小学数字化无线校园网建设项目 实施背景 常州市武进区湖塘桥实验小学非常注重现代化的校园网络建设,已经完成了校园网的整体设计,然而有线网络只能提供用户固定的、有限的网络信息点,随着社会的信息化发展与笔记本电脑的普及,学校的师生们需要能随时随处地获取网络提供的各种资源.需要在在无线网络环境下多种用户类别共存、高安全性、高稳定性、可管理以及与已有有线网络用户的无缝整合等,有针对性的提出校园无线网络整体解决方案. 针对大量的移动终端来讲,灵活的接入网络非常重要.通过无线网络利用教育科研信息网和互联网上的各种信息,实现资源共享,能够为移动终端提供高效率的连接方式.因此,常州市武进区湖塘桥实验小学校园无线网络建设是一个典型的面向未来网络化、信息化、具备多媒体综合业务发展需求的网络. 无线网络的必要性: 有线网络的不灵活性问题,日益突出.如果想将原有已经部署好的有线网络进行调整,那么将是非常困难的一件事情,通过建设无线校园网络将会很容易的解决这样的问题. 室外使用需求,比如在操场上举办一些活动,需要使用校园网络,这时很多老师就会临时的拉一根网线, 这个是非常不方便的,一方面线容易被踩坏,另一方面也容易绊到来往的学生. 如果遇到有来访者需要使用电脑,或者在会议室需要使用电脑的人员比较多,那么有线网络就会发生端口不够用,或者无法使用的问题. 目前的重点中小学老师基本上都会配备笔记本电脑,由于办公室的工位上没有足够的网络接口,从而激发了无线接入的需求. 在一些活动室、学术报告厅、图书馆不适合部署有线的地方,就只能用无线网络去解决接入的问题了. 有部分学校可能会采用电子巡考,电子书包等先进的应用.那么采用无线器材的时候就只能由无线网络接入使用. 无线网络建设,是在常州市武进区湖塘桥实验小学校园原有的有线网络上,进行无线网络扩充.要求完成全方位立体式无线覆盖,让师生们可以在这些区域随时随地、无拘束的连接到网络,教职工可以依托无线完成各项教学办公事务,学生能够依托无线完成课堂学习.常州市武进区湖塘桥实验小学原本具有完善的有线网络结构,新的无线网络建设要求在网络互联、认证、安全防御等方面与有线网络进行良好的兼容和互补,结合网康的实名认证设备,那么就可以直接对无线网络进行管理和统一认证,同时做到尽可能的简化网络结构,提高网络访问速度与效率. 实施目标 对于常州市武进区湖塘桥小学整体校园无线网络的规划,应着眼于高效、稳定、安全的总体设计目标,同时易于使用、用户界面统一、标准,表现力强;易于安装、维护和管理,网络运行质量高;开放性好,便于移植、扩展和推广;要有较好的性能价格比,并在几年内保持解决方案与技术上的领先,为用户提供一个灵活的移动教学和办公的平台, 对用户和无线网络进行有效的管理,构建了一个稳定的、可拓展的无线校园网环境. 标准的成熟性 本次无线网络的规划,同样必须遵循标准的统一性,所采用的各项技术必须与国际主流标准协议相一致,并能够保证与多个主流厂商的互操作性. 网络可扩展性 无线网络作为一项新兴网络技术,其普及速度越来越快,相应也带来了其解决方案技术的更新速度加快.对学校而言,此次筹建无线网络用于部署全校区,投入较大,性价比是用户必须要考虑的方面,这其中,网络系统面向未来的可扩充性和可升级性显得非常重要. 因此,针对本次的无线网络设计原则中,要求无线网络能够实现对所有的无线接入点功能的配置和管理、无线入侵监控、无线终端追踪定位、无线电波传输分析的工作模式.同时整个系统可以根据用户的需要进行规模上的扩展,扩展后所有功能和管理的模式保持不便.即便是未来的802.11n无线技术的成熟之后,也只要增加相应的接入点产品即可,无需改变整个无线网络架构. 功能丰富的集中管理 由于常州市武进区湖塘桥实验小学无线网络的无线接入点较多,且均分布于各个楼栋的天花板、墙壁和楼顶等位置,平时很难直接观察设备的工作状态,因此,必须采用集中管理的方式来实现对全网设备的集中控制和管理. 因此,在网络管理方面,规划中的无线网络必须具有全网设备工作状态参数的集中监控、射频智能调控、射频环境的实时监控、网络链路状况的报警、无线用户及设备的定位、丰富的报表输出等实用功能. 可冗余的高可靠性 从2012年9月,无线网络投入使用,很快就会成为我校的重要网络接入方式,因此,该网络的稳定性与可靠性必须经受住大规模长时间使用的考验,对于网络的冗余性设计也在考虑之列.本次规划所使用的设备,支持较好的线路冗余、电源冗余、负载冗余与均衡能力,以提高网络的可靠性. 灵活的部署方式 针对常州市武进区湖塘桥实验小学本次的无线网络部署,为了更好的实现任何地方的灵活部署,应当全部选用支持标准802.3af协议的PoE(以太网供电)技术,可以满足所有的无线接入点无需专门拉电源线,而是采用已经部署的以太网双绞线就可以满足长达100米的供电,从而保证无线接入点的灵活部署. 实施内容 先进的智能无线交换网络架构 先进的智能无线交换网络解决方案 根据常州市武进区湖塘桥实验小学无线网络的设计原则,锐捷网络建议采用先进的智能无线交换网络架构作为无线网络解决方案技术的核心思想,采用支持智能转发功能的无线局域网交换机,配合部署在各楼栋接入层的智能管理型无线接入点产品,以及无线网络集中管理平台,完成整个无线网络. 一直以来,传统的无线局域网主要是采用自治型无线接入点架构,每个无线接入点都是一个独立的管理与工作单元,无线接入点之间无法进行任何沟通,如果需要对全网设备进行管理,需要逐台进行配置和管理,不仅费时、费力、维护成本高,而且缺乏所有的无线网络设备无法形成一个整体,也就无法具备整体协作的安全防御能力,整个网络的融合性差. 后来,根据自治型无线接入点的这种缺乏全面管理的缺陷,一些厂商开始推出新的无线网络架构,即"无线局域网交换机+远程轻型无线接入点"结构,可以满足所有的无线接入点全部受到无线局域网交换机的统一控管,这种组网架构和相应产品的出现,使得无线网络的整体管理能力、安全防御能力得到完全的改善,使得无线网络的组网变得轻松、易管理.到了这一阶段,可以说无线网络的解决方案已经上升到了一个新的台阶. 虽然这种组网架构完全解决了对无线网络的管理和控制的问题,但是依然存在缺陷.这种缺陷在无线网络规模较小的时候并不会构成隐患,但是随着无线网络的逐渐普及,尤其是各行业内越来越多的组建大规模的无线网络时(100台无线接入点以上),在这种解决方案架构中,全部的无线接入点设备所吞吐的数据流量(用户数据、设备管理数据)都要通过加密隧道,集中的流经无线局域网交换机承载与处理,再通过其转发给相应的有线网络送达目的地,这必然会导致无线局域网交换机成为大流量数据汇聚的中心.而无线局域网交换机均采用"X86+ASIC"的类服务器硬件架构,对外提供千兆端口连接,也就是说其最大的数据处理与吞吐能力不会超过2Gbps,按照每台无线接入点的真实包吞吐能力在15~20Mbps计算,实际上每台无线局域网交换机最大64台无线接入点的数据集中转发,如果超过这个规模,无线局域网交换机就会成为流量瓶颈,必须再增加无线局域网交换机设备才能扩充解决.特别是随着802.11n传输协议的即将到来,单个无线接入点的转发效率将提高到100Mbps以上,无线交换机架构将不再适合承担所有流量的集中处理,同时对于延迟敏感的语音传输等也无法适应. 因此,针对这一现状,锐捷网络推出了先进的"智能无线交换网络"架构技术,通过智能无线局域网交换机WS系列产品的控制,智能无线接入点可具备根据不同用户、不同应用类型、不同VLAN等方式来决定数据流量是否需要全部集中流经无线交换机,这样不仅可以保持原有的无线交换机架构解决方案的优势,更可以根据网络的数据实际情况将时延敏感、流量较大的数据流分离到有线网络直接处理,将管理控制报文、安全控制要求高的报文送交智能无线交换机处理,避免成为无线交换机的转发瓶颈,这种解决方案将非常适合常州市武进区湖塘桥实验小学这样的大规模的无线网络环境使用.不仅如此,这种先进的架构,将使得常州市武进区湖塘桥实验小学的无线网络即使面对今后的校园VoWLAN(无线语音通话)和802.11n高速传输,都可以从容地升级和扩充,而无需淘汰现有设备,对用户的投资是极大的保护. 灵活的组网方式 智能无线交换架构带来的另一个好处是非常灵活的组网.常州市武进区湖塘桥实验小学已经具备了完善的有线网络,本次部署无线网络,不能改变原有的有线网络架构.采用智能无线交换网络架构,只需要在校园网络中心机房放置智能无线局域网交换机,在接入层部署智能无线接入点,即可完成整网的部署.由于智能无线接入点本身并不保存配置,所有的控制指令都有智能无线交换机统一下发,因此无论无线接入点部署于任何的物理位置,都可以与处于网络中心的智能无线交换机取得联系并被控制,无论是初次安装还是后续更换无线接入点,仅仅需要在需要部署的位置连入有线网络,即可立即在智能无线交换机的控制下开始工作,使得整网的部署非常简单和灵活. 本次常州市武进区湖塘桥实验小学无线网络的部署将包括校区的所有办公、教学楼的全部教室、操场等区域,在这些区域部署锐捷网络智能无线接入点产品AP系列,在网络中心机房部署智能无线交换机产品WS系列,该系列中的WS5302产品可以最大控制64台AP系列无线接入点产品,利用智能转发技术,保证被覆盖需求的网络访问流畅.提供数据接入业务,让学校师生体会到无线局域网给教师的教学和学生的学习带来的好处. 全网高可靠性 为了充分保证随时对全网智能无线接入点的集中控制,智能无线交换机WS系列产品均支持集群和冗余能力,可以同时对同一个AP系列无线接入点提供服务,由于他们之间采用了实时的信息同步技术,如果一台无线交换机与无线接入点失去联系,将迅速由另一台备份WS系列产品接管,而用户信息不会丢失,仍然保持正常通信状态. 如果是一台智能无线接入点发生故障,智能无线交换机WS系列产品可支持自恢复功能,通过快速查询该故障无线接入点邻近的智能无线接入点,调节其工作功率、信道等参数来接替该故障无线接入点的用户接入工作,迅速补充盲点,并实施向网络中心的智能无线交换机汇报,通知网管人员尽快更换故障无线接入点,更换之后,智能无线交换机WS系列产品将原先的配置信息继续控制新的无线接入点,邻接的无线接入点的射频参数调节恢复成原有状态,接替工作结束.在这整个切换期间,对用户的访问完全没有影响.这种冗余特性将极大的保证了整网工作的可靠性. 优秀的扩展性 智能无线交换网络架构具有非常方便扩展的特性,其中,WS5302智能无线交换机产品初始默认标配就可以支持16个智能无线接入点AP系列产品的控制权,最高可支持64个智能无线接入点的控制权,用户可以按照"按需配置,渐进扩展"思路来不断增加智能无线接入点产品即可完成扩容,因此扩展无线接入点显得非常容易;当AP系列智能无线接入点的规模超过64台之后,可以非常简单的增加智能无线交换机WS系列产品,多台智能无线交换机形成智能集群体而同步信息,原有的无线交换机无需淘汰,因此非常适合常州市武进区湖塘桥实验小学这样的规模无线接入点的部署和后期的扩容需求. 无需更改有线网结构 无线网络并不是独立的网络,需要与有线网络很好的融合在一起工作,因此,为了避免在规划中的无线网络部署影响到有线网络的路由和VLAN等部署,采用智能无线交换网络架构就可以做到无需更改有线网络结构的目的. 在该网络架构中,所有校内无线用户的数据传输,是通过智能无线接入点AP系列产品与智能无线交换机WS系列产品之间建立的国际成熟的主流标准CAPWAP隧道技术来完成互连,无线用户的VLAN无须在接入层和汇聚层存在.无线用户的VLAN是可透过无线交换机在整个校园中心网络机房和骨干交换机互连互通,同时也非常方便进行扩展.智能无线接入点AP系列产品则可以放置于校内需要部署的任何地方,无需用直接连接到智能无线交换机,他们之间可以轻松地通过跨越三层进行隧道数据交换.同时,无需担心无线用户的VLAN会破坏原有有线网络的VLAN部署,所有工作可以在无线交换机上统一划分,这对于无线规模较大的常州市武进区湖塘桥实验小学无线网络的集中管理带来极大的便利性. 带宽控制与服务质量保证QOS 通过智能无线交换机WS系列的全局控制,可以很轻松地实现对每一台智能无线接入点AP系列上行带宽、甚至每一个用户的带宽的控制.同时,针对不同的用户业务类型(如语音通信),智能无线交换机可以集中设置定义不同的QoS队列,比如将SIP和RTP协议可设定在高的队列,而一般应用如http、ftp则可设定在较低的队列.这样将对于例如语音、视频这种时延敏感的业务,将可以得到最佳带宽与传输保证. 对VoWLAN的支持 随着VoWLAN(Voice over WLAN)的普及,基于WLAN网络的语音通信将可能成为大型校园内或校区之间的主流通话方式. 而集中控制、智能转发的智能无线交换网络架构正是为此而设计的.由于关键需要满足语音通信的时延、呼叫的容量和漫游切换时间,智能无线交换机可以支持无线语音用户设置专有的语音SSID,把单纯是数据传输的用户和WLAN语音用户隔离,并给予较高的优先队列,即可确保在数据和语音同时传送时,语音的质量不受影响.同时也可以防止没有无线语音权限的用户使用无线语音,以确保无线网络资源能有效运用. 跨三层无缝漫游 无缝漫游是无线网络移动性的最佳体现.但是传统的无线接入点仅仅能够实现基于二层的漫游,一旦无线用户跨越网段,就会由于重新获取IP地址、重认证、重新验证加密等过程,而导致漫游的失败和通信的中断.这对于重视无线应用的常州市武进区湖塘桥实验小学而言,是无法接受的. 利用锐捷网络先进的智能无线交换网络架构,由于所有用户信息并不保存在本地的无线接入点中,而是全部集中在无线交换机上,因此无论是单台无线交换机还是多台无线交换机的集群体,包括连接状态、认证状态、IP地址分配信息、加密验证状态等用户信息总是实时存在的,即便是无线用户跨网段移动,还是会延续原有的IP地址、认证与加密方式,不存在重新获取的必要,因此也不会中断连接.实现这一过程,并不需要有线网络的参与,对有线网络和无线用户而言都是透明的.这种无缝跨三层漫游尤其是对延迟敏感的语音业务有重大的意义. 功能强大的集中网络管理 集中统一控制与管理 对于无线网络来说,管理是非常重要的事情.从RF射频覆盖状态的监测、无线链路的带宽的监测、用户认证的异常报警、无线接入安全等都需要考虑.由于传统的无线局域网是单纯基于无线接入点,没有集中管理的概念,因此对于无线网络的管理,要在每个无线接入点上进行设置和更改,其工作量对于大规模无线接入点的无线网而言是不可想像的.而且无线局域网是一个整体系统,无线接入点之间必须互协调工作,单独改变一个无线接入点的参数和配置,可能会会引起无线接入点之间的无线电波干扰,用户漫游重认证和授权也可能会产生问题,因此集中控制和管理显得非常必要. 因此,本方案中的智能无线交换机产品可以充分发挥集中管理功能,对全网智能无线接入点的行为和用户信息统一监控和管理,校园网络管理人员只需在智能无线交换机上就可开通、管理、维护所有处于接入层的智能无线接入点设备,包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户的访问策略. 简便而丰富的用户入网 本方案中规划的常州市武进区湖塘桥实验小学无线网络,应能够提供对校内各种身份的人群的无线上网服务.当用户尝试入网连接时,可以根据用户的身份选择基于web的登录方式,或是基于802.1x身份认证方式. 如果常州市武进区湖塘桥实验小学计划实施的基于web的全网登录方式,无线网络可以很好的支持,无需为每一个用户终端安装无线接入软件,认证可以基于WEB页面认证,认证只需用户打开浏览器就可以登陆.而且可以根据不同的类型用户提供不同的账号,还可以与有线网络保持一致,便利地实现账号漫游.即便是对于校外访客,也可以方便的开设来宾账号,与本校用户的权限隔离,避免安全事件.这对于常州市武进区湖塘桥实验小学来说是非常便利和必需的. 如果用户需要采用802.1x的身份认证方式,智能无线交换机WS系列产品也可以很好的提供认证功能,并可以与已经存在的校园后台账户联动,实现账号的统一,简化入网方式,并保持统一性. 射频环境的监测 校园射频环境的优劣,将直接影响无线网络的稳定性和链路带宽的品质,因此,对全校需要覆盖的区域实时的射频环境监测是保证网络稳定可靠的基石. 锐捷网络的智能无线交换机WS系列产品支持先进的提供智能化无线电射频监测和调控能力,可确保某个智能无线接入点在发生故障时,可以自动切换到邻近的智能无线接入点,由于用户信息全部同步在智能无线交换机上,因此不会影响无线的接入服务. 这种强大的射频监测能力不仅表现在对大规模无线网络的管理工作中,即便是在初次安装无线网络时,网管人员也可可以在网络中心机房,通过智能无线交换机WS系列产品来自动调节整网所有智能无线接入点的射频参数,比如频率、信道、功率等.智能无线接入点之间会自动协调射频参数,直到相邻的无线接入点之间达到最优无线电射频运行环境,并把最终调整结果返回给智能无线交换机,网管人员就可以实时看到射频环境的现状,并决定是否继续调整或手动单独调整. 基于Multi-SSID用户分类 有线网络的VLAN划分可以使得用户入网即可归属于相应的虚拟网中,并实时相应的策略和数据转发服务.智能无线交换网络也可以很好的实现这一点,这就是基于智能无线交换机的Multi-SSID技术. 对于常州市武进区湖塘桥实验小学而言,由于入网的用户可能存在学生、教师、访客等不同身份,针对不同身份的人群,智能无线交换机可以通过全网智能无线接入点发布不同类型的SSID,并对不同的SSID实施不同的加密策略和认证形式,用户通过无线网络输入相应的SSID和加密和认证后,智能无线交换机就可以为其分配相应的802.1Q VLAN标记,用户即可进入相应的虚网中,还可以与有线网络的虚网相配合,这样就可以针对有线网和无线网络统一实施基于VLAN的用户策略.该功能也常被用于区分普通数据和语音数据等,可以依次分配相应的QoS优先级策略,在无线交换机的智能转发过程中获得不同的转发策略.既保证了全网流量的合理分配,有保证了重要关键业务数据的优先转发. 智能分配的负载均衡 负载均衡是网络技术中一项非常实用的技术,即便是在无线网络中,负载均衡也是不可缺少的.这是因为不论每台无线接入点设备一般最大能带固定数量的并发客户,一旦并发入网的无线用户数量超过这个上限则无法承载. 在锐捷网络的智能无线交换网络架构体系中,由于有了智能无线交换机WS系列产品的集中控制,可以很清楚地知道每个区域的智能无线接入点连接了多少个无线用户,是否已经达到用户数的上限或带宽的上限,其周边还有没有用户数和带宽较空闲的无线接入点,WS系列产品即可将无线用户分散到不同的智能无线接入点产品上入网,特别是针对大量的数据传输和视频传输,这样就可以有效的缓解单个无线接入点的负担,有效利用周边整体无线接入点的资源,从而确保每个需要上网的用户的正常数据访问的质量. 增值的无线终端定位服务 借助构架完整的智能无线交换网络体系,常州市武进区湖塘桥实验小学可以形成一个蜂窝部署的无缝网络.今后在这张网络中可以完成很多增值的服务,无线终端定位就是其中一种.通过智能无线交换机与网管系统,可以控制智能无线接入点对所有环境信道进行扫描,继而跟踪和定位无线终端的位置,诸如支持无线接入的电脑、Wi-Fi手机等,其准确性最高可达到2~3米,今后可用于教室电子书包、图书馆重要馆藏书籍、校内贵重资产等物体实施定位服务.同时,基于射频的扫描,可以实时定位非法无线接入点的存在,保证网络接入的安全可靠性. 系统的安全管理 安全策略的集中实现 传统的无线网络的安全策略均分布在每一台无线接入点上,不但需要单独配置,带来巨大的工作量,而且如果需要更改策略,还需要全部重新配置,这是无法接受的.如果无线接入点设备被盗,非法用户可以从设备中读出相应的入网认证、加密等信息,从而很轻易地入侵无线网络. 基于这一问题,锐捷网络推出的智能无线交换网络架构,将所有的安全策略全部集中到智能无线交换机上统一发布和控制,包括用户身份认证、入网行为控制、安全加密、病毒库、无线入侵检测、无线电射频管理等,网管人员只要在智能无线交换机WS系列上配置安全策略,就可以轻松地完成了整网的安全策略的配置,解决了工作量的问题,同时也避免了无线接入点被盗产生的安全信息外泄的危机. 全网融合的认证方式与用户行为控制 无线网络的环境最合适的入网认证方式就是基于Web的认证与基于802.1x的认证方式. 如果常州市武进区湖塘桥实验小学目前的有线网络已经采用基于web的认证方式,使用状态良好,那么无线网络的认证也需要能够与有线网络相融合.智能无线交换机WS系列本身就能很好的支持基于web的认证功能,其可以作为全网web认证的分布式认证,针对无线用户进行web认证,后台将有线网络的web认证网关作为Radius进行联动,就可以保证全网用户有线与无线的认证账号统一,而此过程中,用户无需安装任何客户端产品,利用标准的浏览器产品即可完成上网登录. 通过分布式联动的web认证,不但可以延续原有的web认证方式,对用户完全透明,还可以利用智能无线交换机强大的用户安全行为策略功能,针对不同的用户名分配不同的访问权限和行为控制,保护无线网络访问安全. 如果常州市武进区湖塘桥实验小学考虑采用基于802.1x身份认证方式,智能无线交换机WS系列产品本身也支持很丰富的802.1x身份认证功能,客户无需增加任何设备,只需在WS系列产品上修改认证方式,同时还可以利用原有的后台Radius的账号体系继续进行802.1x认证,认证方式的改变更加容易完成. 安全的本地零配置 在传统的无线接入点组网中,非法用户完全可能通过盗取无线接入点并读取入网密码等信息,继而入侵网络.智能无线交换机WS系列通过对智能无线接入点的控制,使得智能无线接入点产品在本地并不保存任何数据,而是全部实时存储在智能无线交换机上,因此智能无线接入点可以实现灵配置,这对于安全而言是非常有效的,完全杜绝了非法用户在接入层盗取设备截获信息的可能,同时也大大简化了本地化的工作量. 无线网络入侵检测 无线网络由于使用空中的无线电射频信道工作,因此基于无线网络的入侵防护显得尤为重要.这其中包括非法无线接入点的防范与非法用户连接访问的防范. 非法无线接入点可能侵占合法无线接入点的正常信道工作,这样不但会对合法的无线接入点产生干扰,由于非法设备往往不具备安全功能,还会将非法用户之间带进有线网络中.采用锐捷网络智能无线交换机WS系列产品,可以控制每台智能无线接入点产品动态扫描其所处的环境,并将扫描到的设备信息送交无线交换机及网管平台查询,这样网络管理人员即可实时发现是否有非法无线接入点存在,随后可以开启自动保护机制,阻止无线用户通过非法无线接入点进入无线网络. 另一种重要威胁是非法无线用户对合法无线接入点的入侵.互联网上可以轻易地下载到很多无线入侵和攻击工具,而原先传统的无线接入点设备均都没有侦测无线入侵的功能,所以当受到像无线DOS攻击时,就会误以为是无线电波的信号受干扰或AP出现不稳定情况.这些攻击将会导致用户的无线连接断线,但网管人员却无法在第一时间得到报警.利用锐捷网络的智能无线网络架构技术,智能无线交换机本身内置无线入侵模式库,可以实时检测异常的无线数据包,当无线系统侦测出有入侵时,它会记录和显示入侵的格式,并对入侵做出自动保护响应和报警,并提醒网管人员注意并提示相应的解决措施. 病毒入侵防护 对无线终端的病毒防护可分为无线终端的准入检查和对无线终端发出数据进行有效的检查. 当无线终端试图访问网络,在该用户认证之前,需要下载一个基于JAVA的程序,可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况,做一个检查,如果不能通过检查,可以设定策略禁止其访问网络,也可设置成将无线用户重定向到一台升级服务器,打系统补丁、安装防病毒软件和升级病毒定义码,满足系统制定的安全策略以后,该无线终端才可以进入认证环节进行用户的认证. 通过了准入检查后,但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段.通过和第三方的防病毒厂家合作,锐捷网络的智能无线交换机产品WS系列产品可以允许设定策略,对于某些用户以及某些可能沾染病毒的数据,将其重定向到防病毒设备上进行防病毒检查,检查完成后,才允许通过,否则会将数据丢弃. 基于上述工作过程,智能无线交换网络系统即可实现对无线终端有效病毒防护. 已经建成的湖塘桥实验小学校园网络 拓扑结构示意图
下载该文档
文档格式:DOC
更新时间:2012-12-24
下载次数:0
点击次数:1
湖塘桥实验小学数字化无线校园网建设项目 实施背景 常州市武进区湖塘桥实验小学非常注重现代化的校园网络建设,已经完成了校园网的整体设计,然而有线网络只能提供用户固定的、有限的网络信息点,随着社会的信息化发展与笔记本电脑的普及,学校的师生们需要能随时随处地获取网络提供的各种资源.需要在在无线网络环境下多种用户类别共存、高安全性、高稳定性、可管理以及与已有有线网络用户的无缝整合等,有针对性的提出校园无线网络整体解决方案. 针对大量的移动终端来讲,灵活的接入网络非常重要.通过无线网络利用教育科研信息网和互联网上的各种信息,实现资源共享,能够为移动终端提供高效率的连接方式.因此,常州市武进区湖塘桥实验小学校园无线网络建设是一个典型的面向未来网络化、信息化、具备多媒体综合业务发展需求的网络. 无线网络的必要性: 有线网络的不灵活性问题,日益突出.如果想将原有已经部署好的有线网络进行调整,那么将是非常困难的一件事情,通过建设无线校园网络将会很容易的解决这样的问题. 室外使用需求,比如在操场上举办一些活动,需要使用校园网络,这时很多老师就会临时的拉一根网线, 这个是非常不方便的,一方面线容易被踩坏,另一方面也容易绊到来往的学生. 如果遇到有来访者需要使用电脑,或者在会议室需要使用电脑的人员比较多,那么有线网络就会发生端口不够用,或者无法使用的问题. 目前的重点中小学老师基本上都会配备笔记本电脑,由于办公室的工位上没有足够的网络接口,从而激发了无线接入的需求. 在一些活动室、学术报告厅、图书馆不适合部署有线的地方,就只能用无线网络去解决接入的问题了. 有部分学校可能会采用电子巡考,电子书包等先进的应用.那么采用无线器材的时候就只能由无线网络接入使用. 无线网络建设,是在常州市武进区湖塘桥实验小学校园原有的有线网络上,进行无线网络扩充.要求完成全方位立体式无线覆盖,让师生们可以在这些区域随时随地、无拘束的连接到网络,教职工可以依托无线完成各项教学办公事务,学生能够依托无线完成课堂学习.常州市武进区湖塘桥实验小学原本具有完善的有线网络结构,新的无线网络建设要求在网络互联、认证、安全防御等方面与有线网络进行良好的兼容和互补,结合网康的实名认证设备,那么就可以直接对无线网络进行管理和统一认证,同时做到尽可能的简化网络结构,提高网络访问速度与效率. 实施目标 对于常州市武进区湖塘桥小学整体校园无线网络的规划,应着眼于高效、稳定、安全的总体设计目标,同时易于使用、用户界面统一、标准,表现力强;易于安装、维护和管理,网络运行质量高;开放性好,便于移植、扩展和推广;要有较好的性能价格比,并在几年内保持解决方案与技术上的领先,为用户提供一个灵活的移动教学和办公的平台, 对用户和无线网络进行有效的管理,构建了一个稳定的、可拓展的无线校园网环境. 标准的成熟性 本次无线网络的规划,同样必须遵循标准的统一性,所采用的各项技术必须与国际主流标准协议相一致,并能够保证与多个主流厂商的互操作性. 网络可扩展性 无线网络作为一项新兴网络技术,其普及速度越来越快,相应也带来了其解决方案技术的更新速度加快.对学校而言,此次筹建无线网络用于部署全校区,投入较大,性价比是用户必须要考虑的方面,这其中,网络系统面向未来的可扩充性和可升级性显得非常重要. 因此,针对本次的无线网络设计原则中,要求无线网络能够实现对所有的无线接入点功能的配置和管理、无线入侵监控、无线终端追踪定位、无线电波传输分析的工作模式.同时整个系统可以根据用户的需要进行规模上的扩展,扩展后所有功能和管理的模式保持不便.即便是未来的802.11n无线技术的成熟之后,也只要增加相应的接入点产品即可,无需改变整个无线网络架构. 功能丰富的集中管理 由于常州市武进区湖塘桥实验小学无线网络的无线接入点较多,且均分布于各个楼栋的天花板、墙壁和楼顶等位置,平时很难直接观察设备的工作状态,因此,必须采用集中管理的方式来实现对全网设备的集中控制和管理. 因此,在网络管理方面,规划中的无线网络必须具有全网设备工作状态参数的集中监控、射频智能调控、射频环境的实时监控、网络链路状况的报警、无线用户及设备的定位、丰富的报表输出等实用功能. 可冗余的高可靠性 从2012年9月,无线网络投入使用,很快就会成为我校的重要网络接入方式,因此,该网络的稳定性与可靠性必须经受住大规模长时间使用的考验,对于网络的冗余性设计也在考虑之列.本次规划所使用的设备,支持较好的线路冗余、电源冗余、负载冗余与均衡能力,以提高网络的可靠性. 灵活的部署方式 针对常州市武进区湖塘桥实验小学本次的无线网络部署,为了更好的实现任何地方的灵活部署,应当全部选用支持标准802.3af协议的PoE(以太网供电)技术,可以满足所有的无线接入点无需专门拉电源线,而是采用已经部署的以太网双绞线就可以满足长达100米的供电,从而保证无线接入点的灵活部署. 实施内容 先进的智能无线交换网络架构 先进的智能无线交换网络解决方案 根据常州市武进区湖塘桥实验小学无线网络的设计原则,锐捷网络建议采用先进的智能无线交换网络架构作为无线网络解决方案技术的核心思想,采用支持智能转发功能的无线局域网交换机,配合部署在各楼栋接入层的智能管理型无线接入点产品,以及无线网络集中管理平台,完成整个无线网络. 一直以来,传统的无线局域网主要是采用自治型无线接入点架构,每个无线接入点都是一个独立的管理与工作单元,无线接入点之间无法进行任何沟通,如果需要对全网设备进行管理,需要逐台进行配置和管理,不仅费时、费力、维护成本高,而且缺乏所有的无线网络设备无法形成一个整体,也就无法具备整体协作的安全防御能力,整个网络的融合性差. 后来,根据自治型无线接入点的这种缺乏全面管理的缺陷,一些厂商开始推出新的无线网络架构,即"无线局域网交换机+远程轻型无线接入点"结构,可以满足所有的无线接入点全部受到无线局域网交换机的统一控管,这种组网架构和相应产品的出现,使得无线网络的整体管理能力、安全防御能力得到完全的改善,使得无线网络的组网变得轻松、易管理.到了这一阶段,可以说无线网络的解决方案已经上升到了一个新的台阶. 虽然这种组网架构完全解决了对无线网络的管理和控制的问题,但是依然存在缺陷.这种缺陷在无线网络规模较小的时候并不会构成隐患,但是随着无线网络的逐渐普及,尤其是各行业内越来越多的组建大规模的无线网络时(100台无线接入点以上),在这种解决方案架构中,全部的无线接入点设备所吞吐的数据流量(用户数据、设备管理数据)都要通过加密隧道,集中的流经无线局域网交换机承载与处理,再通过其转发给相应的有线网络送达目的地,这必然会导致无线局域网交换机成为大流量数据汇聚的中心.而无线局域网交换机均采用"X86+ASIC"的类服务器硬件架构,对外提供千兆端口连接,也就是说其最大的数据处理与吞吐能力不会超过2Gbps,按照每台无线接入点的真实包吞吐能力在15~20Mbps计算,实际上每台无线局域网交换机最大64台无线接入点的数据集中转发,如果超过这个规模,无线局域网交换机就会成为流量瓶颈,必须再增加无线局域网交换机设备才能扩充解决.特别是随着802.11n传输协议的即将到来,单个无线接入点的转发效率将提高到100Mbps以上,无线交换机架构将不再适合承担所有流量的集中处理,同时对于延迟敏感的语音传输等也无法适应. 因此,针对这一现状,锐捷网络推出了先进的"智能无线交换网络"架构技术,通过智能无线局域网交换机WS系列产品的控制,智能无线接入点可具备根据不同用户、不同应用类型、不同VLAN等方式来决定数据流量是否需要全部集中流经无线交换机,这样不仅可以保持原有的无线交换机架构解决方案的优势,更可以根据网络的数据实际情况将时延敏感、流量较大的数据流分离到有线网络直接处理,将管理控制报文、安全控制要求高的报文送交智能无线交换机处理,避免成为无线交换机的转发瓶颈,这种解决方案将非常适合常州市武进区湖塘桥实验小学这样的大规模的无线网络环境使用.不仅如此,这种先进的架构,将使得常州市武进区湖塘桥实验小学的无线网络即使面对今后的校园VoWLAN(无线语音通话)和802.11n高速传输,都可以从容地升级和扩充,而无需淘汰现有设备,对用户的投资是极大的保护. 灵活的组网方式 智能无线交换架构带来的另一个好处是非常灵活的组网.常州市武进区湖塘桥实验小学已经具备了完善的有线网络,本次部署无线网络,不能改变原有的有线网络架构.采用智能无线交换网络架构,只需要在校园网络中心机房放置智能无线局域网交换机,在接入层部署智能无线接入点,即可完成整网的部署.由于智能无线接入点本身并不保存配置,所有的控制指令都有智能无线交换机统一下发,因此无论无线接入点部署于任何的物理位置,都可以与处于网络中心的智能无线交换机取得联系并被控制,无论是初次安装还是后续更换无线接入点,仅仅需要在需要部署的位置连入有线网络,即可立即在智能无线交换机的控制下开始工作,使得整网的部署非常简单和灵活. 本次常州市武进区湖塘桥实验小学无线网络的部署将包括校区的所有办公、教学楼的全部教室、操场等区域,在这些区域部署锐捷网络智能无线接入点产品AP系列,在网络中心机房部署智能无线交换机产品WS系列,该系列中的WS5302产品可以最大控制64台AP系列无线接入点产品,利用智能转发技术,保证被覆盖需求的网络访问流畅.提供数据接入业务,让学校师生体会到无线局域网给教师的教学和学生的学习带来的好处. 全网高可靠性 为了充分保证随时对全网智能无线接入点的集中控制,智能无线交换机WS系列产品均支持集群和冗余能力,可以同时对同一个AP系列无线接入点提供服务,由于他们之间采用了实时的信息同步技术,如果一台无线交换机与无线接入点失去联系,将迅速由另一台备份WS系列产品接管,而用户信息不会丢失,仍然保持正常通信状态. 如果是一台智能无线接入点发生故障,智能无线交换机WS系列产品可支持自恢复功能,通过快速查询该故障无线接入点邻近的智能无线接入点,调节其工作功率、信道等参数来接替该故障无线接入点的用户接入工作,迅速补充盲点,并实施向网络中心的智能无线交换机汇报,通知网管人员尽快更换故障无线接入点,更换之后,智能无线交换机WS系列产品将原先的配置信息继续控制新的无线接入点,邻接的无线接入点的射频参数调节恢复成原有状态,接替工作结束.在这整个切换期间,对用户的访问完全没有影响.这种冗余特性将极大的保证了整网工作的可靠性. 优秀的扩展性 智能无线交换网络架构具有非常方便扩展的特性,其中,WS5302智能无线交换机产品初始默认标配就可以支持16个智能无线接入点AP系列产品的控制权,最高可支持64个智能无线接入点的控制权,用户可以按照"按需配置,渐进扩展"思路来不断增加智能无线接入点产品即可完成扩容,因此扩展无线接入点显得非常容易;当AP系列智能无线接入点的规模超过64台之后,可以非常简单的增加智能无线交换机WS系列产品,多台智能无线交换机形成智能集群体而同步信息,原有的无线交换机无需淘汰,因此非常适合常州市武进区湖塘桥实验小学这样的规模无线接入点的部署和后期的扩容需求. 无需更改有线网结构 无线网络并不是独立的网络,需要与有线网络很好的融合在一起工作,因此,为了避免在规划中的无线网络部署影响到有线网络的路由和VLAN等部署,采用智能无线交换网络架构就可以做到无需更改有线网络结构的目的. 在该网络架构中,所有校内无线用户的数据传输,是通过智能无线接入点AP系列产品与智能无线交换机WS系列产品之间建立的国际成熟的主流标准CAPWAP隧道技术来完成互连,无线用户的VLAN无须在接入层和汇聚层存在.无线用户的VLAN是可透过无线交换机在整个校园中心网络机房和骨干交换机互连互通,同时也非常方便进行扩展.智能无线接入点AP系列产品则可以放置于校内需要部署的任何地方,无需用直接连接到智能无线交换机,他们之间可以轻松地通过跨越三层进行隧道数据交换.同时,无需担心无线用户的VLAN会破坏原有有线网络的VLAN部署,所有工作可以在无线交换机上统一划分,这对于无线规模较大的常州市武进区湖塘桥实验小学无线网络的集中管理带来极大的便利性. 带宽控制与服务质量保证QOS 通过智能无线交换机WS系列的全局控制,可以很轻松地实现对每一台智能无线接入点AP系列上行带宽、甚至每一个用户的带宽的控制.同时,针对不同的用户业务类型(如语音通信),智能无线交换机可以集中设置定义不同的QoS队列,比如将SIP和RTP协议可设定在高的队列,而一般应用如http、ftp则可设定在较低的队列.这样将对于例如语音、视频这种时延敏感的业务,将可以得到最佳带宽与传输保证. 对VoWLAN的支持 随着VoWLAN(Voice over WLAN)的普及,基于WLAN网络的语音通信将可能成为大型校园内或校区之间的主流通话方式. 而集中控制、智能转发的智能无线交换网络架构正是为此而设计的.由于关键需要满足语音通信的时延、呼叫的容量和漫游切换时间,智能无线交换机可以支持无线语音用户设置专有的语音SSID,把单纯是数据传输的用户和WLAN语音用户隔离,并给予较高的优先队列,即可确保在数据和语音同时传送时,语音的质量不受影响.同时也可以防止没有无线语音权限的用户使用无线语音,以确保无线网络资源能有效运用. 跨三层无缝漫游 无缝漫游是无线网络移动性的最佳体现.但是传统的无线接入点仅仅能够实现基于二层的漫游,一旦无线用户跨越网段,就会由于重新获取IP地址、重认证、重新验证加密等过程,而导致漫游的失败和通信的中断.这对于重视无线应用的常州市武进区湖塘桥实验小学而言,是无法接受的. 利用锐捷网络先进的智能无线交换网络架构,由于所有用户信息并不保存在本地的无线接入点中,而是全部集中在无线交换机上,因此无论是单台无线交换机还是多台无线交换机的集群体,包括连接状态、认证状态、IP地址分配信息、加密验证状态等用户信息总是实时存在的,即便是无线用户跨网段移动,还是会延续原有的IP地址、认证与加密方式,不存在重新获取的必要,因此也不会中断连接.实现这一过程,并不需要有线网络的参与,对有线网络和无线用户而言都是透明的.这种无缝跨三层漫游尤其是对延迟敏感的语音业务有重大的意义. 功能强大的集中网络管理 集中统一控制与管理 对于无线网络来说,管理是非常重要的事情.从RF射频覆盖状态的监测、无线链路的带宽的监测、用户认证的异常报警、无线接入安全等都需要考虑.由于传统的无线局域网是单纯基于无线接入点,没有集中管理的概念,因此对于无线网络的管理,要在每个无线接入点上进行设置和更改,其工作量对于大规模无线接入点的无线网而言是不可想像的.而且无线局域网是一个整体系统,无线接入点之间必须互协调工作,单独改变一个无线接入点的参数和配置,可能会会引起无线接入点之间的无线电波干扰,用户漫游重认证和授权也可能会产生问题,因此集中控制和管理显得非常必要. 因此,本方案中的智能无线交换机产品可以充分发挥集中管理功能,对全网智能无线接入点的行为和用户信息统一监控和管理,校园网络管理人员只需在智能无线交换机上就可开通、管理、维护所有处于接入层的智能无线接入点设备,包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户的访问策略. 简便而丰富的用户入网 本方案中规划的常州市武进区湖塘桥实验小学无线网络,应能够提供对校内各种身份的人群的无线上网服务.当用户尝试入网连接时,可以根据用户的身份选择基于web的登录方式,或是基于802.1x身份认证方式. 如果常州市武进区湖塘桥实验小学计划实施的基于web的全网登录方式,无线网络可以很好的支持,无需为每一个用户终端安装无线接入软件,认证可以基于WEB页面认证,认证只需用户打开浏览器就可以登陆.而且可以根据不同的类型用户提供不同的账号,还可以与有线网络保持一致,便利地实现账号漫游.即便是对于校外访客,也可以方便的开设来宾账号,与本校用户的权限隔离,避免安全事件.这对于常州市武进区湖塘桥实验小学来说是非常便利和必需的. 如果用户需要采用802.1x的身份认证方式,智能无线交换机WS系列产品也可以很好的提供认证功能,并可以与已经存在的校园后台账户联动,实现账号的统一,简化入网方式,并保持统一性. 射频环境的监测 校园射频环境的优劣,将直接影响无线网络的稳定性和链路带宽的品质,因此,对全校需要覆盖的区域实时的射频环境监测是保证网络稳定可靠的基石. 锐捷网络的智能无线交换机WS系列产品支持先进的提供智能化无线电射频监测和调控能力,可确保某个智能无线接入点在发生故障时,可以自动切换到邻近的智能无线接入点,由于用户信息全部同步在智能无线交换机上,因此不会影响无线的接入服务. 这种强大的射频监测能力不仅表现在对大规模无线网络的管理工作中,即便是在初次安装无线网络时,网管人员也可可以在网络中心机房,通过智能无线交换机WS系列产品来自动调节整网所有智能无线接入点的射频参数,比如频率、信道、功率等.智能无线接入点之间会自动协调射频参数,直到相邻的无线接入点之间达到最优无线电射频运行环境,并把最终调整结果返回给智能无线交换机,网管人员就可以实时看到射频环境的现状,并决定是否继续调整或手动单独调整. 基于Multi-SSID用户分类 有线网络的VLAN划分可以使得用户入网即可归属于相应的虚拟网中,并实时相应的策略和数据转发服务.智能无线交换网络也可以很好的实现这一点,这就是基于智能无线交换机的Multi-SSID技术. 对于常州市武进区湖塘桥实验小学而言,由于入网的用户可能存在学生、教师、访客等不同身份,针对不同身份的人群,智能无线交换机可以通过全网智能无线接入点发布不同类型的SSID,并对不同的SSID实施不同的加密策略和认证形式,用户通过无线网络输入相应的SSID和加密和认证后,智能无线交换机就可以为其分配相应的802.1Q VLAN标记,用户即可进入相应的虚网中,还可以与有线网络的虚网相配合,这样就可以针对有线网和无线网络统一实施基于VLAN的用户策略.该功能也常被用于区分普通数据和语音数据等,可以依次分配相应的QoS优先级策略,在无线交换机的智能转发过程中获得不同的转发策略.既保证了全网流量的合理分配,有保证了重要关键业务数据的优先转发. 智能分配的负载均衡 负载均衡是网络技术中一项非常实用的技术,即便是在无线网络中,负载均衡也是不可缺少的.这是因为不论每台无线接入点设备一般最大能带固定数量的并发客户,一旦并发入网的无线用户数量超过这个上限则无法承载. 在锐捷网络的智能无线交换网络架构体系中,由于有了智能无线交换机WS系列产品的集中控制,可以很清楚地知道每个区域的智能无线接入点连接了多少个无线用户,是否已经达到用户数的上限或带宽的上限,其周边还有没有用户数和带宽较空闲的无线接入点,WS系列产品即可将无线用户分散到不同的智能无线接入点产品上入网,特别是针对大量的数据传输和视频传输,这样就可以有效的缓解单个无线接入点的负担,有效利用周边整体无线接入点的资源,从而确保每个需要上网的用户的正常数据访问的质量. 增值的无线终端定位服务 借助构架完整的智能无线交换网络体系,常州市武进区湖塘桥实验小学可以形成一个蜂窝部署的无缝网络.今后在这张网络中可以完成很多增值的服务,无线终端定位就是其中一种.通过智能无线交换机与网管系统,可以控制智能无线接入点对所有环境信道进行扫描,继而跟踪和定位无线终端的位置,诸如支持无线接入的电脑、Wi-Fi手机等,其准确性最高可达到2~3米,今后可用于教室电子书包、图书馆重要馆藏书籍、校内贵重资产等物体实施定位服务.同时,基于射频的扫描,可以实时定位非法无线接入点的存在,保证网络接入的安全可靠性. 系统的安全管理 安全策略的集中实现 传统的无线网络的安全策略均分布在每一台无线接入点上,不但需要单独配置,带来巨大的工作量,而且如果需要更改策略,还需要全部重新配置,这是无法接受的.如果无线接入点设备被盗,非法用户可以从设备中读出相应的入网认证、加密等信息,从而很轻易地入侵无线网络. 基于这一问题,锐捷网络推出的智能无线交换网络架构,将所有的安全策略全部集中到智能无线交换机上统一发布和控制,包括用户身份认证、入网行为控制、安全加密、病毒库、无线入侵检测、无线电射频管理等,网管人员只要在智能无线交换机WS系列上配置安全策略,就可以轻松地完成了整网的安全策略的配置,解决了工作量的问题,同时也避免了无线接入点被盗产生的安全信息外泄的危机. 全网融合的认证方式与用户行为控制 无线网络的环境最合适的入网认证方式就是基于Web的认证与基于802.1x的认证方式. 如果常州市武进区湖塘桥实验小学目前的有线网络已经采用基于web的认证方式,使用状态良好,那么无线网络的认证也需要能够与有线网络相融合.智能无线交换机WS系列本身就能很好的支持基于web的认证功能,其可以作为全网web认证的分布式认证,针对无线用户进行web认证,后台将有线网络的web认证网关作为Radius进行联动,就可以保证全网用户有线与无线的认证账号统一,而此过程中,用户无需安装任何客户端产品,利用标准的浏览器产品即可完成上网登录. 通过分布式联动的web认证,不但可以延续原有的web认证方式,对用户完全透明,还可以利用智能无线交换机强大的用户安全行为策略功能,针对不同的用户名分配不同的访问权限和行为控制,保护无线网络访问安全. 如果常州市武进区湖塘桥实验小学考虑采用基于802.1x身份认证方式,智能无线交换机WS系列产品本身也支持很丰富的802.1x身份认证功能,客户无需增加任何设备,只需在WS系列产品上修改认证方式,同时还可以利用原有的后台Radius的账号体系继续进行802.1x认证,认证方式的改变更加容易完成. 安全的本地零配置 在传统的无线接入点组网中,非法用户完全可能通过盗取无线接入点并读取入网密码等信息,继而入侵网络.智能无线交换机WS系列通过对智能无线接入点的控制,使得智能无线接入点产品在本地并不保存任何数据,而是全部实时存储在智能无线交换机上,因此智能无线接入点可以实现灵配置,这对于安全而言是非常有效的,完全杜绝了非法用户在接入层盗取设备截获信息的可能,同时也大大简化了本地化的工作量. 无线网络入侵检测 无线网络由于使用空中的无线电射频信道工作,因此基于无线网络的入侵防护显得尤为重要.这其中包括非法无线接入点的防范与非法用户连接访问的防范. 非法无线接入点可能侵占合法无线接入点的正常信道工作,这样不但会对合法的无线接入点产生干扰,由于非法设备往往不具备安全功能,还会将非法用户之间带进有线网络中.采用锐捷网络智能无线交换机WS系列产品,可以控制每台智能无线接入点产品动态扫描其所处的环境,并将扫描到的设备信息送交无线交换机及网管平台查询,这样网络管理人员即可实时发现是否有非法无线接入点存在,随后可以开启自动保护机制,阻止无线用户通过非法无线接入点进入无线网络. 另一种重要威胁是非法无线用户对合法无线接入点的入侵.互联网上可以轻易地下载到很多无线入侵和攻击工具,而原先传统的无线接入点设备均都没有侦测无线入侵的功能,所以当受到像无线DOS攻击时,就会误以为是无线电波的信号受干扰或AP出现不稳定情况.这些攻击将会导致用户的无线连接断线,但网管人员却无法在第一时间得到报警.利用锐捷网络的智能无线网络架构技术,智能无线交换机本身内置无线入侵模式库,可以实时检测异常的无线数据包,当无线系统侦测出有入侵时,它会记录和显示入侵的格式,并对入侵做出自动保护响应和报警,并提醒网管人员注意并提示相应的解决措施. 病毒入侵防护 对无线终端的病毒防护可分为无线终端的准入检查和对无线终端发出数据进行有效的检查. 当无线终端试图访问网络,在该用户认证之前,需要下载一个基于JAVA的程序,可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况,做一个检查,如果不能通过检查,可以设定策略禁止其访问网络,也可设置成将无线用户重定向到一台升级服务器,打系统补丁、安装防病毒软件和升级病毒定义码,满足系统制定的安全策略以后,该无线终端才可以进入认证环节进行用户的认证. 通过了准入检查后,但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段.通过和第三方的防病毒厂家合作,锐捷网络的智能无线交换机产品WS系列产品可以允许设定策略,对于某些用户以及某些可能沾染病毒的数据,将其重定向到防病毒设备上进行防病毒检查,检查完成后,才允许通过,否则会将数据丢弃. 基于上述工作过程,智能无线交换网络系统即可实现对无线终端有效病毒防护. 已经建成的湖塘桥实验小学校园网络 拓扑结构示意图