湖南移动常德职业技术学院WLAN项目组网方案20090530

2017-03-27

23608

大唐电信科技股份有限公司XI ′AN DATANG TELECOMMUNICATIONS CO．LTD ．湖南移动常德技术学院WLAN 组网方案大唐电信科技股份有限公司2009-5-301

大唐电信科技股份有限公司

XI ′AN DATANG TELECOMMUNICATIONS CO．LTD ．

湖南移动常德技术学院WLAN 组网方案

大唐电信科技股份有限公司

2009-5-30

大唐电信科技股份有限公司

XI ′AN DATANG TELECOMMUNICATIONS CO．LTD ．

常德技术学院WLAN 组网方案

1、项目背景

随着校园网络信息化的普及，师生们越来越要求尽可能方便、快速、移动式的使用网络，同时，随着笔记本电脑的普及和无线网卡产品的价格逐步降低，越来越多的人拥有无线网络客户端产品。部分校园开始规划并建设作为有线网络之补充的校园无线网络，为校园提供无线宽带业务。于是，经常德移动和常德职业技术学院协商，确定启动常德职业技术学院WLAN 接入的建设，将常德职业技术学院建设成一个具有示范效应的数字化校园。

2、常德职业技术学院WLAN 网络架构

大唐电信科技股份有限公司

XI ′AN DATANG TELECOMMUNICATIONS CO．LTD ．

常德职业技术学院WLAN 网络架构由两部分组成，常德移动机房和校园网络，常德移动机房放置AC、汇聚交换机CiscoS6509、GPON设备的汇聚OLT 设备、WLAN OMC集中网管系统四部分组成，校园网部分由AP 、POE交换机、GPON设备的ONU、校园返迁终端、校园有线网络五部分组成，为常德移动为校园建设一个WLAN 无线网络。

学生用户通过迅驰笔记本，登录到CMCC,通过无线信号关联到AP，AP有线接口连接到POE 交换机，POE 交换机连接到GPON 设备的ONU 上，通过光纤汇集到OLT，OLT 和汇聚交换机Cisco6509连接，MX-400设备连接到汇聚交换机Cisco6509上，MX-400设备和移动总部的Raduis 和Portal 服务器组成认证计费系统，负责用户的认证计费，这样校园学生可以访问到移动以太网，如果学生想登录到校园网，可以通过VPN 登录到校园网，保证校园网的安全。

有线学生用户通过登录校园有线网，学校校租用移动宽带网络，为学生提供有线上网业务。

3、对网络设备的要求

3.1 BRAS5200宽带接入的要求：

(1) BRAS5200宽带接入设备放置在常德移动机房，完成对校园无线业务和校园有线

业务的管理，有线和无线业务通过VLAN 区分，无线业务为VLAN101,有线业务为VLAN102,对于VLAN 101的无线数据业务，直接进入移动IP 城域网，对于VLAN102有线宽带业务数据，按照校园和移动签订的有线宽带的要求，对校园有线带宽进行限制，为学生提供有线宽带上网业务。

3.2 Cisco6509 汇聚交换机的要求：

Cisco6509交换机位于移动机房，负责业务的汇聚，处于网络中心位置，Cisco6509出口和BRAS5200连接，入口和AC 、GPON 设备连接。

(1)、为AC 预留4个GE 接口，主AC 为两个GE 接口,备用为2个GE 接口；

(2)、Cisco6509 汇聚交换机划分3个VLAN，分别为VLAN101 , VLAN 102,VLAN105 ,其中VLAN101用于为登录移动网的无线用户业务群，VLAN102 用于管理有线网络用户群，VLAN105 用于管理AP 设备设立的设备管理群；

大唐电信科技股份有限公司

XI ′AN DATANG TELECOMMUNICATIONS CO．LTD ．

（3）、Cisco6509 汇聚交换机端口连接设备的配置：

GPON 连接的端口：两个GE 接口，用于连接套OLT 设备，配置trunk 功能，包含有线业务VLAN 102（tag）,设备管理VLAN105（tag）；

MX-400设备的端口：LAN 接口VLAN105（tag），WAN 接口配置无线业务VLAN101（untag）； WLAN OMC 集中网管系统：配置公网IP 地址。

Cisco6509 汇聚交换机上行交换机端口：trunk接口，包含无线业务VLAN101 和有线业务VLAN102;

3.3 GPON的要求：

GPON 系统由局端设备（OLT）、用户端设备（ONU）和光分配网（ODN）组成。OLT

放置在常德移动机房，ONU 和ODN 放置在校园内，把移动IP 城域网的数据延伸到校园。

1) VLAN 的需求

GPON 的局端汇聚设备OLT ，和Cisco6509 汇聚交换机接口连接，都采用GE 以太网接口；支持VLAN TRUNK 包括有线业务VLAN102、AP 设备管理VLAN105、ONU 设备管理VLAN106 ;

GPON 的终端设备ONU 和POE 以太网交换机连接。都采用以太网接口, 支持VLAN TRUNK 包括有线VLAN102 、AP 设备管理VLAN105、ONU 设备管理VLAN106；

2) GPON IP地址需求：

OLT 设置公网IP 地址，用于管理GPON 设备，IP地址设置为公网IP 地址段；

ONU 设置为私网IP 地址，设置VLAN 106, IP地址为192.168.11.2~100/24,网关192.168.11.1 ， ONU数量36个。

3.4 MX-400的要求：

MX-400为接入控制器设备，对AP 设备进行管理控制维护，和移动总部的raduis 配合，实现对学生用户进行鉴权认证计费等功能。

（1）、 MX-400和移动总部的RADIUS 服务器，完成用户认证鉴权计费功能；

（2）、 MX-400 配合总部的PORTAL 服务器，完成PORTAL 界面的推出，输入用户名、密码, 保证用户的正常上下线。

大唐电信科技股份有限公司

XI ′AN DATANG TELECOMMUNICATIONS CO．LTD ．

(3) 、VLAN 的配置：

AC 的WAN 接口无线用户业务进入Cisco6509 汇聚交换机时，交换机上配置VLAN102（untag ）；LAN 接口配置设备管理VLAN105；

（4）、AC 需要配置一些数据：

z 配置Portal 服务器的IP 地址；

AC 配置内容如下：

移动集团portal 地址：http://221.176.1.140/wlan/index.php 或者 221.176.1.140

z 配置AC 用户地址池的IP 地址段、掩码；

AC 配置内容如下：

由于公网地址限制，建议为用户配置私网IP 地址。地址范围建议为190.168.100.2~190.168.199.254/16 ,gatway 190.168.100.1。

z 配置AC 用户DNS 主备服务器的IP 地址；

AC 配置内容如下：

DNS 服务器地址：218.201.4.3

备用DNS 服务器：211.136.20.203

z 配置WLAN 认证的相关参数：配置802.1X 的认证流程，配置EAP 认证方案（如

SIM 认证点在AP 上，则在AP 上配置此项内容）；

AC 配置内容如下：

建议开放式，用户自动获取IP 地址，如果用户需要上网时，经过移动总部的Raduis 服务器认证。

z 配置RADIUS（IP地址、认证端口、计费端口），以及和Radius 之间的密钥； AC 配置内容如下：

radius 地址：221.176.1.138 密钥：88----89

认证端口号：1645 计费端口号：1646

z 配置域名、域内强制门户业务；

AC 配置内容如下：

z 配置用户接入地编号（NAS-ID）；

大唐电信科技股份有限公司

XI ′AN DATANG TELECOMMUNICATIONS CO．LTD ．

AC 配置内容如下：

NAS-ID：xxxx （省公司规划、分配）-0736（常德）-731（湖南）-00（中国移动）

-460（中国）

z 配置AC 设备编码

AC 配置内容如下：

AC 编码：xxxx （省公司规划、分配）-0736（常德）-731（湖南）-00（中国移动）

3.5 AP设备的需求：

（1）、 AP划分两个SSID, 分别为CMCC, 和CMTEST,CMCC 为移动网，学生登录CMCC ，弹出移动的PORTAL, 输入移动的用户名和密码，可以登录到外部以太网；

CMTEST 为隐含SSID, 配置WPA2-PSK 加密，用于调测配置AP, 属于VLAN105，该CMTEST 和密码都要保密。

（2）、 AP划分两个VLAN ,分别为无线业务VLAN101 、AP 管理VLAN105；无线业务VLAN101对于SSID 为CMCC ，用于访问外网； VLAN105 用于管理维护配置AP 设备，对应的SSID 为CMTEST;

（3）、为了方便管理AP ，AP 设置静态IP 地址，地址范围 192.168.10.2～179/24 ，网关192.168.10.1 ,属于VLAN105；

(4) 、 AP配置要求：

z 配置三个无线网络的SSID，分别为CMCC 、CMTEST ,其中CMTEST 为隐含SSID，

设备WPA2-PSK 加密，用于通过无线方式管理AP ；

z 配置二层隔离；

z 配置使用的无线频点；

z 设置AP 的发射功率；

z 配置AP 为静态IP 地址；

3.6 POE交换机的要求

（1）、POE 交换机直接为AP 馈电；

大唐电信科技股份有限公司

XI ′AN DATANG TELECOMMUNICATIONS CO．LTD ．

（2）、POE 交换机端口支持VLAN trunk ，支持AP 管理VLAN 105;

（3）、交换机最大输出功率不能超过70W

(4) 、POE 交换机的IP 地址范围 192.168.10.180～192.168.10.254/24 网关192.168.10.1；

3.7 WLAN OMC 集中网络管理系统

WLAN OMC集中网络管理系统对WLAN 的AC 、AP 进行管理维护，要求OMC 为公网IP 地址；

3.8 校园返迁终端

在常德职业技术学院设置一个管理终端，即返迁终端，可以委托学校对AC、AP设备进行维护。返迁终端为公网IP 地址。为了学校了解学生和教工上网的资费情况，在返迁终端上安装省移动公司授权BOSS 终端机软件；

3.9 校园网络

校园网络由防火墙、VPN 、汇聚交换机S6505、8个服务器、15个二层交换机S3900、返迁终端组成，校园网服务器上有电子期刊、教学软件、EDA 设计工具等, 都享有有知识产权，为了保证校园网络的安全，对于有线学生用户，通过校园网内部的认证服务器，直接登录校园网；对于无线用户，用户可以登录到移动城域网，通过VPN 访问校园网，每一个学生有自己唯一的数字证书，这样可以保证校园网络安全。

4、组网IP 地址规划：

4.1 、BRAS 5200 的IP 地址规划

BRAS 5200 配置4个公网IP 地址；2个WAN 和2个LAN 接口

大唐电信科技股份有限公司

XI ′AN DATANG TELECOMMUNICATIONS CO．LTD ．

4.2、汇聚交换机Cisco 6509 的IP 地址规划

Cisco6509 汇聚交换机划分3个VLAN，分别为无线业务VLAN101 , 有线业务VLAN 102,AP 设备管理VLAN105 ,其中VLAN101用于为登录移动网的无线用户业务群，VLAN102 用于管理有线网络用户群，VLAN105 用于管理AP 设备设立的设备管理群，无线业务VLAN101和有线业务VLAN102各需要一个公网IP 地址，VLAN105需要设备管理私网IP 地址，设置为192.168.10.2/24,网管 192.168.10.1。

4.3 、AC 的IP 地址规划

WAN 接口划分和功能：

z AC WAN接口划分1个VLAN，为VLAN101 ,VLAN101用于为登录移动网的无线用户业

务群；该地址配置2个公网IP 地址，主备用共4个IP 地址；

z DHCP 服务器：

MX-400 支持DHCP 服务器和地址池

外网地址池：为VLAN101用户分配IP 地址，并启用HDCP 池，DHCP池地址范围 190.168.100.0～190.168.199.254/16，学生用户通过获取VLAN101的地址登录外网； LAN接口划分和功能：

LAN 接口通过EPON 设备和AP 连接，为了方便管理和维护，建议AP 的IP 地址设为静态IP 地址，AP的地址范围为192.168.10.3～179/24,网关设为192.168.10.1，AC LAN接口的IP 地址设为192.168.10.1;

4.4 、AP 管理IP 地址设置

为了方便管理AP ，AP 设置静态IP 地址，地址范围 192.168.10.3～179/24 ；

IP 地址分配见《附件_常德职业技术学院WLAN 网络 IP地址分配表090529》

大唐电信科技股份有限公司

XI ′AN DATANG TELECOMMUNICATIONS CO．LTD ．

4.5 POE交换机管理IP 地址设置

POE 交换机的IP 地址范围 192.168.10.180～192.168.10.254/24 网关192.168.10.1；

IP 地址分配见《附件_常德职业技术学院WLAN 网络 IP地址分配表090529》

4.6 ONU管理IP 地址设置

ONU 设置为私网IP 地址，设置VLAN 106, IP地址为192.168.11.2~100/24,网关192.168.11.1 , ONU数量36个,

IP 地址分配见《附件_常德职业技术学院WLAN 网络 IP地址分配表090529》

4.7 OLT管理IP 地址设置

OLT 设置公网IP 地址，两个GPON 设备总共配置4个公网IP 地址。

4.8、WLAN OMC网络管理和返迁终端IP 地址：

WLAN 网络中的AP 和AC 由专门的WLAN OMC直接管理，OMC放在常德市网管中心机房；在常德职业技术学院设置一个管理终端，即返迁终端，可以委托学校对AC、AP设备进行维护。WLAN OMC 和返迁终端为公网IP 地址。为了学校了解学生和教工上网的资费情况，在返迁终端上安装省移动公司授权BOSS 终端机软件。

4.9、常德职业技术学院校园网IP 地址：

常德职业技术学院已经有完备的有线校园网，校园网由防火墙、VPN 、S6505汇聚交换机、8个校园服务器、15个二层交换机S3900、返迁终端组成，校园网启用私网IP 地址，主要满足学校图书馆、办公楼、教学楼老师学生有线上网的需求，现在外网租用中国教育网10Mbps 带宽，中国联通10Mbps 带宽，中国电信100Mbps 带宽。常德职业技术学院和电信的合同已经到期，如果学校取消和中国电信合作，会直接租用中国移动的100Mbps 有线带

大唐电信科技股份有限公司

XI ′AN DATANG TELECOMMUNICATIONS CO．LTD ．

宽。

常德职业技术学院总共需要15个公网IP 地址，可以保证校园网络正常运行。

如果学生校园网服务器上有电子期刊、教学软件、EDA 设计工具等, 都享有有知识产权，为了保证校园网络的安全，学生可以通过无线登录到移动的IP 城域网，然后通过VPN 访问校园网，每一个学生有自己唯一的数字证书，这样可以保证校园网络安全。

5、有线校园网和无线校园网

常德移动为常德职业技术学院建设两个网络，一个WLAN 无线覆盖的网络，一个为有线宽带校园网络，如果学校的学生和老师要想登录到外网，可以参加移动办理优惠套餐，采用手机号/密码或在移动营业厅办理预付费卡用户，获取用户名/密码，可以登录到外网；如果学生想登录内网，可以通过有线直接登录内网，还可以通过无线先登录到移动IP 城域网，通过VPN 登录到校园网络，这样保证校园网络的安全。

6、省移动需要提供的资源

6.1 公网IP 地址资源

1) BRAS 5200需要4个公网IP 地址；

2) Cisco6509 汇聚交换机无线业务VLAN101和有线业务VLAN102各需要一个公网IP 地址，

如果有主备设备，总共需要4个公网IP 地址。

3) OLT 设置公网IP 地址，用于管理GPON 设备，IP 地址设置为公网IP 地址段,主备各需要

一个IP 地址，设计总共2套GPON,各需要4个公网IP 地址。

4) AC WAN 接口配置公网IP 地址，需要4个公网IP 地址，主用两个IP 地址，备用两个IP

地址。

5) WLAN OMC集中网络管理系统，对WLAN 的AC 、AP 进行管理，要求OMC 为公网

IP 地址；

6) 校园有线网络包括由防火墙、VPN 、汇聚交换机S6505、8个服务器、15个二层交换机

相关推荐