湖南移动常德职业技术学院WLAN项目组网方案20090530

大唐电信科技股份有限公司．．XI′ANDATANGTELECOMMUNICATIONSCOLTD湖南移动常德技术学院WLAN组网方案大唐电信科技股份有限公司2009-5-301大唐电信科技股份有限公司．．XI′ANDATANGTELECOMMUNICATIONSCOLTD常德技术学院WLAN组网方案1、项目背景随着校园网络信息化的普及，师生们越来越要求尽可能方便、快速、移动式的使用网络，同时，随着笔记本电脑的普及和无线网卡产品的价格逐步降低，越来越多的人拥有无线网络客户端产品。部分校园开始规划并建设作为有线网络之补充的校园无线网络，为校园提供无线宽带业务。于是，经常德移动和常德职业技术学院协商，确定启动常德职业技术学院WLAN接入的建设，将常德职业技术学院建设成一个具有示范效应的数字化校园。2、常德职业技术学院WLAN网络架构2大唐电信科技股份有限公司．．XI′ANDATANGTELECOMMUNICATIONSCOLTD3常德职业技术学院WLAN网络架构由两部分组成，常德移动机房和校园网络，常德移动机房放置AC、汇聚交换机CiscoS6509、GPON设备的汇聚OLT设备、WLANOMC集中网管系统四部分组成，校园网部分由AP、POE交换机、GPON设备的ONU、校园返迁终端、校园有线网络五部分组成，为常德移动为校园建设一个WLAN无线网络。学生用户通过迅驰笔记本，登录到CMCC,通过无线信号关联到AP，AP有线接口连接到POE交换机，POE交换机连接到GPON设备的ONU上，通过光纤汇集到OLT，OLT和汇聚交换机Cisco6509连接，MX-400设备连接到汇聚交换机Cisco6509上，MX-400设备和移动总部的Raduis和Portal服务器组成认证计费系统，负责用户的认证计费，这样校园学生可以访问到移动以太网，如果学生想登录到校园网，可以通过VPN登录到校园网，保证校园网的安全。有线学生用户通过登录校园有线网，学校校租用移动宽带网络，为学生提供有线上网业务。3、对网络设备的要求3.1BRAS5200宽带接入的要求：(1)BRAS5200宽带接入设备放置在常德移动机房，完成对校园无线业务和校园有线业务的管理，有线和无线业务通过VLAN区分，无线业务为VLAN101,有线业务为VLAN102,对于VLAN101的无线数据业务，直接进入移动IP城域网，对于VLAN102有线宽带业务数据，按照校园和移动签订的有线宽带的要求，对校园有线带宽进行限制，为学生提供有线宽带上网业务。3.2Cisco6509汇聚交换机的要求：Cisco6509交换机位于移动机房，负责业务的汇聚，处于网络中心位置，Cisco6509出口和BRAS5200连接，入口和AC、GPON设备连接。(1)、为AC预留4个GE接口，主AC为两个GE接口,备用为2个GE接口；(2)、Cisco6509汇聚交换机划分3个VLAN，分别为VLAN101,VLAN102,VLAN105,其中VLAN101用于为登录移动网的无线用户业务群，VLAN102用于管理有线网络用户群，VLAN105用于管理AP设备设立的设备管理群；大唐电信科技股份有限公司．．XI′ANDATANGTELECOMMUNICATIONSCOLTD4（3）、Cisco6509汇聚交换机端口连接设备的配置：GPON连接的端口：两个GE接口，用于连接套OLT设备，配置trunk功能，包含有线业务VLAN102（tag）,设备管理VLAN105（tag）；MX-400设备的端口：LAN接口VLAN105（tag），WAN接口配置无线业务VLAN101（untag）；WLANOMC集中网管系统：配置公网IP地址。Cisco6509汇聚交换机上行交换机端口：trunk接口，包含无线业务VLAN101和有线业务VLAN102;3.3GPON的要求：GPON系统由局端设备（OLT）、用户端设备（ONU）和光分配网（ODN）组成。OLT放置在常德移动机房，ONU和ODN放置在校园内，把移动IP城域网的数据延伸到校园。1)VLAN的需求GPON的局端汇聚设备OLT，和Cisco6509汇聚交换机接口连接，都采用GE以太网接口；支持VLANTRUNK包括有线业务VLAN102、AP设备管理VLAN105、ONU设备管理VLAN106;GPON的终端设备ONU和POE以太网交换机连接。都采用以太网接口,支持VLANTRUNK包括有线VLAN102、AP设备管理VLAN105、ONU设备管理VLAN106；2)GPONIP地址需求：OLT设置公网IP地址，用于管理GPON设备，IP地址设置为公网IP地址段；ONU设置为私网IP地址，设置VLAN106,IP地址为192.168.11.2~100/24,网关192.168.11.1，ONU数量36个。3.4MX-400的要求：MX-400为接入控制器设备，对AP设备进行管理控制维护，和移动总部的raduis配合，实现对学生用户进行鉴权认证计费等功能。（1）、MX-400和移动总部的RADIUS服务器，完成用户认证鉴权计费功能；（2）、MX-400配合总部的PORTAL服务器，完成PORTAL界面的推出，输入用户名、密码,保证用户的正常上下线。大唐电信科技股份有限公司．．XI′ANDATANGTELECOMMUNICATIONSCOLTD5(3)、VLAN的配置：AC的WAN接口无线用户业务进入Cisco6509汇聚交换机时，交换机上配置VLAN102（untag）；LAN接口配置设备管理VLAN105；（4）、AC需要配置一些数据：z配置Portal服务器的IP地址；AC配置内容如下：移动集团portal地址：或者221.176.1.140z配置AC用户地址池的IP地址段、掩码；AC配置内容如下：由于公网地址限制，建议为用户配置私网IP地址。地址范围建议为190.168.100.2~190.168.199.254/16,gatway190.168.100.1。z配置AC用户DNS主备服务器的IP地址；AC配置内容如下：DNS服务器地址：218.201.4.3备用DNS服务器：211.136.20.203z配置WLAN认证的相关参数：配置802.1X的认证流程，配置EAP认证方案（如SIM认证点在AP上，则在AP上配置此项内容）；AC配置内容如下：建议开放式，用户自动获取IP地址，如果用户需要上网时，经过移动总部的Raduis服务器认证。z配置RADIUS（IP地址、认证端口、计费端口），以及和Radius之间的密钥；AC配置内容如下：radius地址：221.176.1.138密钥：88----89认证端口号：1645计费端口号：1646z配置域名、域内强制门户业务；AC配置内容如下：配置用户接入地编号（NAS-ID）；大唐电信科技股份有限公司．．XI′ANDATANGTELECOMMUNICATIONSCOLTD6AC配置内容如下：NAS-ID：xxxx（省公司规划、分配）-0736（常德）-731（湖南）-00（中国移动）-460（中国）z配置AC设备编码AC配置内容如下：AC编码：xxxx（省公司规划、分配）-0736（常德）-731（湖南）-00（中国移动）3.5AP设备的需求：（1）、AP划分两个SSID,分别为CMCC,和CMTEST,CMCC为移动网，学生登录CMCC，弹出移动的PORTAL,输入移动的用户名和密码，可以登录到外部以太网；CMTEST为隐含SSID,配置WPA2-PSK加密，用于调测配置AP,属于VLAN105，该CMTEST和密码都要保密。（2）、AP划分两个VLAN,分别为无线业务VLAN101、AP管理VLAN105；无线业务VLAN101对于SSID为CMCC，用于访问外网；VLAN105用于管理维护配置AP设备，对应的SSID为CMTEST;（3）、为了方便管理AP，AP设置静态IP地址，地址范围192.168.10.2～179/24，网关192.168.10.1,属于VLAN105；(4)、AP配置要求：z配置三个无线网络的SSID，分别为CMCC、CMTEST,其中CMTEST为隐含SSID，设备WPA2-PSK加密，用于通过无线方式管理AP；z配置二层隔离；z配置使用的无线频点；z设置AP的发射功率；z配置AP为静态IP地址；3.6POE交换机的要求（1）、POE交换机直接为AP馈电；大唐电信科技股份有限公司．．XI′ANDATANGTELECOMMUNICATIONSCOLTD7（2）、POE交换机端口支持VLANtrunk，支持AP管理VLAN105;（3）、交换机最大输出功率不能超过70W(4)、POE交换机的IP地址范围192.168.10.180～192.168.10.254/24网关192.168.10.1；3.7WLANOMC集中网络管理系统WLANOMC集中网络管理系统对WLAN的AC、AP进行管理维护，要求OMC为公网IP地址；3.8校园返迁终端在常德职业技术学院设置一个管理终端，即返迁终端，可以委托学校对AC、AP设备进行维护。返迁终端为公网IP地址。为了学校了解学生和教工上网的资费情况，在返迁终端上安装省移动公司授权BOSS终端机软件；3.9校园网络校园网络由防火墙、VPN、汇聚交换机S6505、8个服务器、15个二层交换机S3900、返迁终端组成，校园网服务器上有电子期刊、教学软件、EDA设计工具等,都享有有知识产权，为了保证校园网络的安全，对于有线学生用户，通过校园网内部的认证服务器，直接登录校园网；对于无线用户，用户可以登录到移动城域网，通过VPN访问校园网，每一个学生有自己唯一的数字证书，这样可以保证校园网络安全。4、组网IP地址规划：4.1、BRAS5200的IP地址规划BRAS5200配置4个公网IP地址；2个WAN和2个LAN接口大唐电信科技股份有限公司．．XI′ANDATANGTELECOMMUNICATIONSCOLTD84.2、汇聚交换机Cisco6509的IP地址规划Cisco6509汇聚交换机划分3个VLAN，分别为无线业务VLAN101,有线业务VLAN102,AP设备管理VLAN105,其中VLAN101用于为登录移动网的无线用户业务群，VLAN102用于管理有线网络用户群，VLAN105用于管理AP设备设立的设备管理群，无线业务VLAN101和有线业务VLAN102各需要一个公网IP地址，VLAN105需要设备管理私网IP地址，设置为192.168.10.2/24,网管192.168.10.1。4.3、AC的IP地址规划WAN接口划分和功能：zACWAN接口划分1个VLAN，为VLAN101,VLAN101用于为登录移动网的无线用户业务群；该地址配置2个公网IP地址，主备用共4个IP地址；zDHCP服务器：MX-400支持DHCP服务器和地址池外网地址池：为VLAN101用户分配IP地址，并启用HDCP池，DHCP池地址范围190.168.100.0～190.168.199.254/16，学生用户通过获取VLAN101的地址登录外网；LAN接口划分和功能：LAN接口通过EPON设备和AP连接，为了方便管理和维护，建议AP的IP地址设为静态IP地址，AP的地址范围为192.168.10.3～179/24,网关设为192.168.10.1，ACLAN接口的IP地址设为192.168.10.1;4.4、AP管理IP地址设置为了方便管理AP，AP设置静态IP地址，地址范围192.168.10.3～179/24；IP地址分配见《附件_常德职业技术学院WLAN网络IP地址分配表090529》大唐电信科技股份有限公司．．XI′ANDATANGTELECOMMUNICATIONSCOLTD94.5POE交换机管理IP地址设置POE交换机的IP地址范围192.