作為網絡信息化的先行者,高教行業一直是無線移動網絡的創新應用者和推動者。
無線作為網絡接入技術,在校園網的定位經歷了“探索-規模建設-主流模式”的九年發展歷程,時至今日,全國高教行業規模部署無線校園網的院校比例已經超過10%,而新入校的學生中筆記本電腦的普及率已經近乎100%。面對如此旺盛的需求,各大高等院校都已將無線網絡作為未來3-5年內重點發展的網絡接入模式。如同當初建設和優化有線網絡一樣,越來越多的高校開始逐漸的將數字化校園變成移動數字化校園。
作為專注于教育行業的主流網絡設備與解決方案供應商,銳捷網絡在這九年的歷程中,參與建設了大量的無線校園網。我們看到,很多客戶在建設無線校園網時,其籌劃思路在很大程度上受限于傳統的有線網絡的理解。或是源于浪潮,或是先建后規劃,完全從需求出發而嚴謹的規劃無線校園網絡的仍不在多數。
現在,如果有新的校園想要部署無線,銳捷網絡的建議將是,直面你的校園業務需求,讓無線服務于你的各種業務。
的確,在經歷了兩個五年計劃的建設和發展,我國大多數高校的信息化已經逐步實現了手工作業向電子化、無紙化辦公的全面轉變,高校的信息化網絡已經成為教學、科研、工作、生活的重要支撐平臺,作為校園信息化的核心部分―校園網絡,也經歷了從單純的“鋼筋混凝土建設”,到越來越以應用服務為導向的復合性網絡架構的轉變,而無線網絡也是順應這一趨勢而嶄露頭角。
縱觀整個高教行業無線發展歷程,可以分為三個階段:
高教無線網絡發展歷程圖
第一階段:填補空白時代
這個階段之所以稱之為“填補空白時代”,是因為用戶對于無線還處于懵懂的初步接受狀態。選擇無線網絡產品或是規劃校園無線網絡時常問的問題就是“速度快不快?信號覆蓋有多遠?能穿幾堵墻?會不會對人體有輻射的危害?”。的確,在這個時代,人們更關心的是,如何能通過無線來上網,體驗到無線上網的好處,因此信號覆蓋能力、上網速度、障礙物穿透能力、發射功率與衰減情況這類偏物理層、鏈路層的技術、指標,往往是大家最關心的問題,這個時期的校園無線網絡的規模并不大,基本也只是應用在一些教師辦公室、會議室等環境,還不足以上升到需要考慮更復雜的問題,這個時代,有無線就好,考慮太多似乎也沒有必要。
第二階段:技術驅動時代
時光冉冉,無線網絡在高教信息化就這么一路走來,終于過渡到了第二個階段,稱之為“技術驅動時代”,并一直延續到了2008年。
這是一個無線技術飛速發展、應接不暇的時代,胖AP、瘦AP、全網管理、射頻調整、統一認證/計費、基于身份的安全、基于數據流的QoS、基于帶寬的均衡分配等等,江湖風云四起,新技術不斷涌現,具備鮮明技術特征的無線設備廠商紛紛粉墨登場,百家爭鳴。同時,大型無線校園網絡在國內不斷出現,規模記錄不斷刷新。可以說這個時期,走在前面的高校已經走出了探索期,開始進入了大規模的建設期,學校種類也不再局限在第一階段的985/211高校,普通本科、高職院校也紛紛加入了熱火朝天的無線校園網絡的建設大軍行列。
這是一個里程碑的時代,無線網絡能否在高教行業一舉確立其主流網絡形態的江湖地位,這個時代的每一個建設案例都見證了這一傳奇的誕生。在這個時代,高教的IT信息化工作者開始明白什么樣的無線網絡技術最適合自己,他們在大量的無線廠商、集成商、業內展會、學術交流的輪番“轟炸”中成長起來,具備了成熟的分辨力,也通過對校園網絡建設的不斷優化,可以不斷地提出更有創新思想的點子。
第三階段:業務驅動時代
時間終于邁進2009年,這一年注定是無線網絡平步青云的時期。在以三大運營商的“3G+WLAN”的建網戰略的拉動下,全社會進入了對WLAN的廣泛關注期。無線網絡剛出生時的懵懂期已經過去,對于很多走在前面的高教IT工作者來說,對于無線網絡技術已經大致了解,無線網絡下一步應該在高校信息化帶來什么?未來該走向哪里?難道僅僅是繼續把校園內沒有覆蓋的地方繼續覆蓋,直到整個校園都有無線網絡,大家都能甩開網線,直接投入無線網絡的懷抱,但這是建設無線的最終目的嗎?當然不是。
其實原因很簡單,因為現在的高教信息化已經今非昔比了,在數字化校園這一新的發展使命的驅動下,高教信息化正在悄然進入全新的ITIL(信息技術基礎設施庫)時代,解決各業務子系統信息孤島、業務管理責權不清、缺乏標準流程管理的“救火隊員”現狀、重硬平臺輕軟平臺、長期規劃與短期利益目標相矛盾等瓶頸問題,已經成為高教信息化人士,甚至是高教管理層愈加重視的發展之道。
在這個時代,高校原有的重點業務將得到整合與資源協調,中間件和各資源接口的開放與規范性對處于基礎網絡的支撐層面提出了前所未有的挑戰,在這個時代,應用為王。
這就是無線網絡即將進入的全新階段,稱之為“業務驅動時代”。在這個時代,不論無線網絡技術多么先進,如果不能服務于實際的應用,不能扎扎實實的提升業務的落地和效率,必將是紙上談兵、技術論道而已。基于這種趨勢的發展,高教信息化工作者們開始考慮一系列的發展方向,并開始付諸行動:
如何利用無線網絡在日常會議中實現文件互傳、資料隨時調用?
在普通的辦公室如何提供更人性化的網絡辦公條件?
如何滿足跨辦公室、跨校區的基于網絡的工作匯報?
如何服務于校園應急網絡通信?
如何為外來的學者、進修者甚至招聘企業提供隨時隨地的互聯網服務?
能否真正實現實時推送的校園電子公告?
網管人員的日常網絡維護能否更加靈活?
關鍵數據業務可否實現網路鏈路的冗余?
如何實現戶外的虛擬圖書館?
如何服務于遍布全校的平安監控?
如何真正實現階梯教室里也能隨時獲取校園網資源?
如何變成校園處處是課堂?
如何避免學生上網選課的組織難度?
能否實現新生入學的迎新流水線現場手續辦理?
如何提供實時的校園活動轉播?
能否為來訪者提供實時虛擬電子地圖服務?
如何擴大校園一卡通對流動販賣點的管理?
如何實現校園電話運營?
如何利用校園商業視頻資源擴大運營收入?
……
類似的話題似乎說也說不完。這的確是一個令人熱血沸騰的藍圖。
所以說,從現在起,無線網絡在校園將真實的步入其成熟發展期,因為業務驅動的存在。在信息化發展進程中暴露出來的問題,縱觀全國高等院校均普遍存在。這些問題并不是在網絡基礎化建設階段暴露出來的,而是隨著高校的各項教學、科研、工作、生活水平的不斷提高,不斷地對信息化網絡如何跟上這種提高而提出的。
經過多年的建設,大多數高等院校的網絡信息化水平已經具備相當高的水平,已經不存在與現有各項業務應用的配合問題。但是業務應用永遠在變化、在優化,網絡信息化必須以更快的步伐發展,以先于業務應用發展的速度來發展,才能不斷地驅動各項業務應用的順暢發展和優化。而作為新型網絡架構身份出現的無線網絡,在這一轉變中當然首當其沖,備受關注。這些不斷優化和新誕生的應用,已經對傳統網絡悄悄提出了無法完成的挑戰。從這個角度而言,是業務的需求已經逐步成熟,反過來在呼喚網絡信息化的快步跟上,迎合這種已經逐步到來的新興應用的發展。
我們需要一個怎樣的無線校園網
任何技術要想在行業中扎根下來并大放異彩,唯一的生存與發展之道就是貼近應用,服務于應用。
作為一張可移動的校園網絡,無線網絡的確有著與傳統的有線網絡太多的不同,但究其本質二者并不互斥。在傳統的有線網絡中所倡導的安全、管理、運營、架構等主要關注點,同樣也是校園無線網絡最重要的核心內容。為了更高效率的支撐各項主要業務應用,校園無線網絡的解決方案之道,正在于此。
高性能、高穩定性的智能無線組網架構
傳統的自治型無線接入點(胖AP)架構中,每個無線接入點都是一個獨立的管理與工作單元,無法進行任何溝通,如果需要對全網設備進行管理,需要逐臺進行配置和管理,不僅費時、費力、維護成本高,而且所有的無線網絡設備無法形成一個整體,也就無法具備整體協作的安全防御能力,最終導致整個網絡的融合性差。
銳捷網絡已經在三年前在教育行業率先推出的“智能無線交換架構”,已經經過三年的各大院校的實踐應用的檢驗。這種創新性的架構,通過無線交換機MX系列產品的控制,無線接入點可具備根據不同用戶、不同應用類型、不同VLAN等方式來決定數據流量是否需要全部集中流經無線交換機,對于FTP、視頻點播這類大量占用網絡資源且安全性要求較低的應用,可以直接通過本地有線網絡進行轉發,而對于教務系統、考試系統、身份認證系統這類安全性要求高的應用,則可以將流量通過加密隧道送到無線交換機,防止加密數據在有線網絡傳輸中的被非法用戶竊取。
這樣不僅可以保持原有的無線交換機架構解決方案的優勢,更可以根據網絡的實際情況將時延敏感、流量較大的數據流分離到有線網絡直接處理,將管理控制報文、安全控制要求高的報文送交無線交換機處理,避免無線交換機成為數據轉發的瓶頸。
同時,這種架構可以確保無線網絡承載業務的高穩定性。無線交換機產品通過支持集群和冗余能力,可以實現多臺無線交換機對同一個無線接入點提供服務。由于無線交換機之間采用了虛擬化技術,可實時的實現AP與用戶的在線信息同步,如果一臺無線交換機出現宕機,與其控制的無線接入點失去聯系,那么將另一臺或者多臺無線交換機將立即接管這些無線接入點。在這個過程當中,用戶不會掉線,并且仍然保持正常通信狀態。
如果是一臺無線接入點發生故障,無線交換機可支持自恢復功能,通過快速查詢該故障無線接入點鄰近的無線接入點,調節其工作功率、信道等參數來接替該故障無線接入點的用戶接入工作,迅速補充盲點,并實時向網絡中心的無線交換機匯報,通知網管人員盡快更換故障無線接入點,更換之后,無線交換機將原先的配置信息下發到新的無線接入點上,鄰接的無線接入點的射頻參數調節恢復成原有狀態,接替工作結束。在這整個切換期間,對用戶的訪問完全沒有影響。因此,這種冗余特性將極大的保證了整網工作的可靠性。
同時,無線接入點支持雙以太口上聯,即一臺無線接入點同時能連接到接入交換機的2個端口上,當無線接入點的一個以太口與其中交換機的一個端口出現故障時,另一個以太口會按照先前設置的BIAS值切換到另一臺交換機上,而這個切換過程對于用戶來說是透明的。
除此之外,無線交換機支持同時對應多臺RADIUS服務器,能夠設置RADIUS組群來實現服務器之間的冗余和負載均衡。當網絡某一時刻的認證請求數過多造成某臺RADIUS服務器宕機,這時組群會按照當前的RADIUS服務器的負載狀態指定一臺備用服務器來響應用戶認證請求。
永不中斷的移動訪問
無縫漫游是無線網絡移動性的最佳體現。但是傳統的無線接入點僅僅能夠實現基于二層的漫游,一旦無線用戶跨越網段,就會由于重新獲取IP地址、重認證、重新驗證加密等過程,而導致漫游的失敗和通信的中斷。這對于無線用戶眾多的學校而言,是無法接受的。
銳捷網絡智能無線交換架構,由于所有用戶信息并不保存在本地的無線接入點中,而是全部更新在無線交換機上,因此無論是單臺無線交換機還是多臺無線交換機的集群體,包括連接狀態、認證狀態、IP地址分配信息、加密驗證狀態等用戶信息總是實時共享的,即便是無線用戶跨網段移動,由于還是處于一臺或多臺無線交換機的控制下,所以還是會延續原有的IP地址、認證與加密方式,因此也不會中斷連接。實現這一過程,并不需要有線網絡的參與,對有線網絡和無線用戶而言都是透明的。所以,這種三層漫游技術對于延遲敏感的語音業務有重大的意義。
豐富而強大的全網智能管理
無線網絡生命周期的管理
有線網絡的管理側重與對網絡設備和用戶的管理,而無線網絡的管理除了對設備和用戶的管理外,更強調的是對無線網絡生命周期的管理,這其中包含了建設前的射頻規劃管理,建設中的射頻優化管理以及無線網絡建成后的設備運行狀態管理。
對于習慣了使用SNMP軟件管理有線網絡的網絡管理員來說,嘗試管理一套無線網絡的確是個不小的挑戰。怎樣布放AP會達到最好的效果?如何判斷無線網絡的射頻環境有沒有干擾?如果網絡中有無線攻擊現象,該怎么解決呢?……這些問題都將會出現在網絡管理員面前。
如何通過一種簡單的工具或者方法來配置和管理無線網絡,是網絡管理員最需要的。銳捷網絡“面向無線網絡生命周期”的管理系統強調無線網絡生命周期的管理,涵蓋了無線網絡的規劃、部署、優化、監測和報表五大方面。
無線射頻規劃
在無線網絡的初期規劃階段,確定AP的安放位置是一件工作量巨大且需要專業人員從事的工作。以往通常是由專業的無線網絡規劃人員對安裝現場進行詳細的實地勘察,并在重點區域架設測試設備以確定AP的具體安放位置和數量。由于此項工作耗時耗力且大量依賴于經驗數據,對于規模較大并且樓棟較多的無線網絡項目來說,計算出AP的數目可能會與實際需求數量產生比較大的差異。
智能無線交換解決方案能夠提供對覆蓋區域的3D軟件仿真,通過向仿真軟件中導入建筑物CAD圖和相應的建筑參數,仿真程序能夠自動計算出覆蓋區域的AP數量和具體安裝位置,同時生成信號覆蓋的熱敏圖。
“一鍵式”配置
為了提高網絡管理員管理無線網絡時的便利性,銳捷網絡智能無線解決方案中提供了三種配置方法:命令行、web界面管理和RingMaster網管軟件,其中RingMaster網管系統是三種管理方式中最強大也是最專業的一種,并且提供了全圖形化的操作界面。
管理員配置無線網絡時,無需單獨對每個設備的功能和性能參數進行設置和調整,只需要選擇好相應的配置模板,由配置模板的向導來指導管理員的操作。配置完成后,網管軟件會自動對配置進行檢查和檢驗,在確認無誤的情況下,提供用戶確認配置并將配置參數下發到所有的無線交換機和AP中。
多維度的狀態監控
銳捷網絡智能無線交換解決方案中的無線監控組件,讓用戶直觀了解網絡部署情況及設備和鏈路的當前狀態。它可根據不同的維度進行分類顯示,實時的提供網絡運行中的各方面參數。
通過RingMaster網絡管理平臺,管理人員可以對移動終端的信息進行查看,包括用戶名、IP地址、MAC地址、信號強度、發射速率集、RSSI、SSID、使用信道、所在無線交換機、所在AP設備等,并能查看各移動終端的全部漫游記錄,可以隨時了解最終接入用戶的情況,并對其接入軌跡進行審計。
此外,RingMaster提供服務策略和射頻策略的管理,通過模板的方式對設備進行批量管理,使用戶快速完成網絡配置。策略模板除手工添加外,還提供從文件導入和設備導入功能,用戶可以從系統導出或導入模板,也可從某一標準配置設備上導入配置形成模板,下發到其它設備,完成策略的批量下發功能,極大地減少用戶的維護工作量,降低維護成本。
對于無線校園網,射頻環境的優劣將直接影響無線網絡的穩定性和鏈路帶寬的品質,因此,對全校需要覆蓋的區域實時的射頻環境監測是保證網絡穩定可靠的基石。
銳捷網絡的無線交換機支持先進的智能化無線電射頻監測和調控能力,這種強大的射頻監測能力不僅表現在對大規模無線網絡的后期管理工作中,即便是在初次安裝無線網絡時,網管人員也可以在網絡中心機房,通過無線交換機來自動調節整網所有無線接入點的射頻參數,比如頻率、信道、功率等。無線接入點之間會自動協調射頻參數,直到相鄰的無線接入點之間達到最優無線電射頻運行環境,并把最終調整結果返回給無線交換機。
精細化的負載均衡
在銳捷網絡的智能無線交換體系中,負載均衡是體現“智能”的重要指標。一般無線網絡的負載均衡包含兩個層面:用戶的負載均衡和AP的負載均衡。
在用戶的負載均衡方面,由于受到客戶端無線網卡底層驅動算法機制的限制,用戶總是會連上信號最強的AP,而并沒有考慮到該AP是否能夠提供最佳的服務。銳捷網絡無線交換機可以根據周圍無線信號覆蓋情況以及用戶的流量需求,動態的將用戶遷移連接到其他可用AP上,將用戶流量分配到其他可用AP,從而保證了整個無線網絡的高效能和高可用度。例如在一個用戶較多的會議室,正常情況下大約有15人左右,采用一個AP即可滿足需求,但當用戶數突然增加后,導致該AP無法連接數過多,而此時,位于會議室外的AP由于相對于會議室來說,信號雖然比較弱,但仍然是可以滿足一定的網絡用量,此時無線交換機則強制后來的一部分用戶連接信號較弱的AP,從而實現了負載均衡,保障了網絡的暢通。
在AP的負載均衡方面,通過無線交換機的集群配置,當集群中增加無線交換機時,集群中所有AP會根據各個無線交換機上注冊的AP數量,進行AP的負載均衡,如圖所示:
當增加新的AP時,新AP立刻根據集群中的各個無線交換機的AP負載情況,負載均衡到所有能夠提供資源的無線交換機上,如圖所示:
定制化的日志報表輸出
公安部第八十二號令中規定,“互聯網提供者必須記錄并留存用戶登錄和退出時間、主叫號碼、賬號、互聯網地址或域名、系統維護日志的技術措施。”
網絡由于其物理特性,無法實現像有線網絡一樣對接入用戶進行IP、端口和MAC地址的綁定,以及對用戶的上網行為進行一對一的監察。因此,管理員對無線用戶的訪問歷史進行記錄和查詢提出明確的需求。
RingMaster網絡管理平臺具有長達30天的日志報表記錄功能,并能提供個性化的日志記錄和報表輸出,例如對用戶上網時間、IP、MAC地址、訪問地點、漫游情況進行全程記錄,對無線網絡設備的運行狀態、端口流量、系統負載進行報表輸出。
精細化的帶寬控制和QoS策略
通過無線交換機的全局控制,可以輕松地實現對每一臺無線接入點的上行帶寬、甚至每一個用戶帶寬的控制。同時,針對不同的用戶業務類型(如語音通信),無線交換機可以集中設置定義不同的QoS隊列,比如將SIP和RTP協議可設定在高的隊列,而一般應用如HTTP、FTP則可設定在較低的隊列。這樣將對于語音、視頻等對時延敏感的業務,將可以得到最佳的帶寬與傳輸質量保證。
安枕無憂的移動化校園網
安全策略的集中實現
智能無線交換解決方案在安全方面可分為四個方面:
1、合法用戶的安全準入:判斷用戶身份是否合法,可通過無線交換機內置的身份認證系統來實現。
2、合法設備的安全準入:用戶雖然合法,但是合法設備如果代理一臺外來的設備入網,該設備可能帶來入侵和安全隱患。無線交換機可比對用戶設備的合法性,比如IP和MAC地址等,來保證合法設備的安全。
3、合法網絡的安全準入:合法的無線網內,經常存在用戶私自搭建小無線網,并對用戶提供非法服務,通常表現為私自搭建SOHO無線局域網,并接入在有線網絡端口。由于SOHO設備缺乏足夠的安全功能,無形中將網絡范圍擴大,很有可能帶來安全隱患。無線交換機能夠提供240種入侵檢測與防護規則來發現和屏蔽非法AP,必要時可采取反制行為。
4、合法射頻環境的安全準入:情景同第三種,非法的AP占用合法的無線信道,必然會影響合法AP的正常工作,無線交換機掃描到這種情況后,立即上報網管平臺,管理員通過網管可以定位到非法設備的物理位置,并進行現場排查、消除隱患。
無線網絡入侵檢測
無線網絡由于使用空中的無線電射頻信道工作,因此基于無線網絡的入侵防護顯得尤為重要。這其中包括非法無線接入點的防范與非法用戶連接訪問的防范。
非法無線接入點一旦進入無線接入點的掃描范圍內,立即會被無線交換機識別為Rouge設備,并根據當前安全策略的等級實施無線反擊。
另一種重要威脅是非法無線用戶對合法無線接入點的入侵。互聯網上可以輕易地下載到很多無線入侵和攻擊工具,而原先傳統的無線接入點設備均都沒有偵測無線入侵的功能,所以當受到像無線DDOS攻擊時,就會誤以為是無線電波的信號受干擾或AP出現不穩定情況。這些攻擊將會導致用戶的無線連接斷線,但網管人員卻無法在第一時間得到報警。利用銳捷網絡的active-scanning技術,可以實時檢測異常的無線數據包,當無線系統偵測出有入侵時,它會記錄和顯示入侵的模式,并對入侵做出自動保護響應和報警,并提醒網管人員注意并提示相應的解決措施。
病毒入侵防護
對無線終端的病毒防護可分為無線終端的準入檢查和對無線終端發出數據進行有效的檢查。
當無線終端試圖訪問網絡,在該用戶認證之前,需要下載一個基于JAVA的程序,可以對無線終端的操作系統打補丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況,如果不能通過檢查,可以設定策略禁止其訪問網絡,也可設置成將無線用戶重定向到一臺升級服務器,打系統補丁、安裝防病毒軟件和升級病毒定義碼,滿足系統制定的安全策略以后,該無線終端才可以進入認證環節進行用戶的認證。
通過了準入檢查后,如何對無線終端發出數據進行有效的檢查和監控是更加進一步的病毒防護手段。通過和第三方的防病毒廠家合作,銳捷網絡的無線交換機可以允許設定安全策略,對于某些用戶以及某些可能沾染病毒的數據,將其重定向到防病毒設備上進行防病毒檢查,檢查完成后,才允許通過,否則會將數據丟棄。
