中小學建網思考—華為校園網絡無線解決方案

　　【天極網網絡頻道9月27日消息】近年來，廣大中小學校園網絡發生著翻天覆地的變化，從最初的十兆以太網絡逐漸過渡到百兆、千兆快速以太網絡;與此同時，伴隨計算機硬件成本的不斷降低，筆記本計算機以及便攜式的PAD也逐漸融入到廣大中小學校信息化教學工作之中，很多學校甚至全校部署無線網絡，所有教學工作均通過無線網絡接入實現，這也給中小學校信息化管理工作帶來的新的挑戰：

　　全校無線覆蓋時，單個AP接入用戶數過多，網絡體驗差，甚至導致AP死機

　　多AP信號重疊區域，鄰近的AP間相互干擾

　　多AP信號邊緣重疊，導致無線終端關聯頻繁切換 如何實現領導/教師一次認證，校園內永久接入，認證無感知？

　　語音/視頻業務移動時，如何保證業務不中斷？

　　老師/學生/家長的網絡權限如何管理？終端用戶行為能否實時監控？

　　如何管好、用好這些先進的無線網絡呢？國內國外很多設備廠商都推出了無線網絡的管理方案，作為國內最大的網絡設備廠商華為技術，從2010年就已經開始關注中小學校無線網絡建設，並且已經形成了系統的華為中小學校無線網絡解決方案，在這裡我們來看看華為是如何出招的：

　　1. 校園網場景思考：組合拳實現無縫校園網絡

　　在校園網絡內，一般在學術報告廳、會議室及教室等地，存在無線接入終端數量大、種類多的特點，如何避免同頻、鄰頻干擾，使多個無線設備之間的干擾減小，提升無線信道的復用程度呢？華為通過功率控制、低速無線終端控制，頻譜分析及智能頻段選擇，為中小學無線管理提供高密度無線可靠接入。

　　通過華為AP內置的功率控制功能，可實現自動逐包控制發送功率，減少對其他AP以及系統內用戶終端間的干擾;通過偵測無線AP上連接的用戶，強制低速率用戶下線，可以減少低信號質量客戶端對整網性能的影響;終端可用帶寬得到較大提高，並可有效防止學生終端上課時因信號問題導致誤關聯，防止弱信號終端過多占用空口資源，導致空口資源分布不均。

　　在部署雙頻無線AP時，可以自動優先接入5GHz網絡，雙頻混合應用，減少2.4GHz負載，提高系統整體性能。並且華為提供了專業的室內、室外無線網絡規劃工具： HUAWEI WLAN Planner，可將建築CAD圖紙導入後，可以通過軟件實現覆蓋場強、信噪比、吞吐量等試圖仿真，做到網絡規劃可視化、可預測、無盲區。規劃出合適的AP數量和精准的安裝位置，保證信號質量，提供完備的覆蓋方案，解決校園網高密場景網絡規劃難題。

　　值得注意的是華為無線AP自身具備頻譜分析功能，可以快速有效地發現非Wi-Fi干擾源，協助解除非Wi-Fi終端的同頻干擾，提升校園高密場景無線網絡使用體驗。

　　您可曾想過，無線網絡也可以象手機一樣實現無線漫游功能呢？接下來，我們來看看華為無線解決方案漫游功能的實現：

　　無論用戶網絡規劃為一個子網或者多個子網，無線終端從一個AP切換到另一個AP覆蓋范圍時，漫游過程中用戶業務不中斷，實現50ms切換，打造“無縫校園”。

　　2. 校園無線接入安全思考：安全防范有辦法、終端管控有手段

　　校園無線網絡，存在著很多安全隱患，一方面學生活潑好動，校園教學樓比鄰鬧市區，與傳統的有線網絡不同，校園無線網絡通過空氣進行傳播，校園無線網絡安全可靠的運行呢？另一方面，無線網絡使用的WIFI技術為國際通用技術，而WIFI信號使用WIfi技術的網絡設備具備種類繁多、類型廣泛的特點，市面上能夠買到很多具備無線橋接+接入的設備，這些設備往往帶有很多網絡服務功能，如：DNS、DHCP服務，校園網內DHCP服務為網內設備提供基本的網絡地址分配服務，如果校園網存在非法的DHCP服務，可能導致大面積的網絡中斷，如何阻止設備私接導致校園網絡的不穩定甚至中斷呢？

　　華為無線解決方案安全防范具備Rogue設備探測、WIDS/WIPS無線攻擊防范功能，可實現校園網絡無線安全接入。

　　Rogue設備探測

　　可用於校園網絡中探測非法AP接入，通過華為無線控制器可實現非法AP禁止接入。

　　WIDS/WIPS無線攻擊防范

　　通過動態黑名單有效保護WLAN設備，免受暴力破解PSK、泛洪攻擊、Spoof攻擊和Weak IV攻擊，持續監控AP接收報文來預防泛洪攻擊或PSK密碼暴力破解，探測到無線泛洪攻擊後，自劢將攻擊設備加入劢態黑名單，丟棄攻擊設備報文，保護網絡不受攻擊沖擊。同時發送告警通知管理員，探測到客戶端暴力破解後，自動將攻擊客戶端加入到動態黑名單中，丟棄客戶端報文。同時發送告警通知管理員，支持手動清除黑名單功能。

　　身份認證管控

　　校園網絡無線接入最復雜的是如何按照用戶區分網絡訪問權限，華為無線網絡解決方案采用SSID+VLAN+組策略方式可輕松實現學生、教師、領導、家長等多角色管控，如：學生與終端及位置綁定、教師與ID綁定(不限位置和終端類型)、家長和臨時ID+位置綁定(臨時接入便利)，領導與ID綁定(與教師相同)，並且按照不同的策略賦予相關權限，實現無線網絡接入身份認證管控。

　　有線無線一體化管理

　　中小學校要實現整個校園園區無線網絡覆蓋，需要很多軟硬件設備，數量龐大，如何實現網絡設備一目了然，輕松管控呢，這就需要一套可以將所有網絡設備統一進行管理的網絡管理軟件來實現，華為Esight網絡管理軟件可以兼容CISCO、H3c等友商的常用網絡設備，如：交換機、路由器等，除了實現有線網絡設備的管理功能外，還可以對無線網絡設備進行有效管理，如：

　　資源統計：全網用戶在線趨勢圖、TOP5 用戶接入 Fit AP、TOP5 用戶接入 SSID、TOP5重點關注的設備告警列表、全網物理資源統計等。

　　AC資源統計：根據AC統計用戶在線趨勢圖、AP信息、域信息、AC TOP5告警等。

　　AP資源統計：根據AP統計 TOP5告警、當前AP性能KPI(AP關聯終端數、AP物理屬性、AP流量、射頻流量等)等。

　　SSID資源統計：根據SSID統計AP、VAP、接入終端數等。

　　區域與位置資源統計：根據區域與位置統計AP總數、AP在線總數、STA在線總線等。

　　3. 無線校園網解決方案選型思考：可控可管安全可靠的無線網絡

　　無線網絡設備選型從四個方面進行考慮：