江苏广电荔枝无线网络的设计与实现

2016-07-02 10:20朱远江苏省广播电视总台
视听界(广播电视技术) 2016年2期
关键词:管理策略

朱远 江苏省广播电视总台



江苏广电荔枝无线网络的设计与实现

朱远 江苏省广播电视总台

【摘 要】本文介绍了江苏广电荔枝无线网络建设的背景、目标,网络的总体架构、方案设计、关键技术实现以及安全和用户认证管理策略,并对未来业务应用进行了展望。

【关键词】荔枝无线 网络设计 管理策略 无感知认证 IRF虚拟化 智能识别

一、引言

1.建设背景

随着江苏广电网络应用业务规模的不断扩大,教育频道等各外部办公的业务单位网络接入需求的增加,办公网络承载的业务越来越多;且随着近年来信息技术的不断发展,互联网业务的极大丰富,各种移动业务、智能终端的不断涌现,对办公网的性能,特别是无线性能也提出了更高的要求。总台现有的办公网络资源已不能满足台内日益增长的需求,因此对现有办公网络进行全面升级,建设新一代的荔枝无线网络已刻不容缓。

2.建设目标

满足现代广电媒体数字化、网络化多业务数据要求,适应未来技术的发展,保证网络系统工作的绝对安全可靠,体现广电行业的理念和亮点。

(1)提高江苏广电数字化办公基础业务的核心竞争力,实现网络从终端到业务的高效可控可管。

(2)提升荔枝无线网络核心处理能力,为未来5-6年内不断发展的信息交互业务提供足够的交换能力和安全可靠的技术支撑。

(3)提升荔枝无线网络终端分发能力,为江苏广电城内部无线用户提供方便、灵活的接入网络,实现稳定的无线信号全覆盖和无线网络接入用户统一认证。

(4)实现平板电脑、IPAD、手机等智能终端的访问控制机制,提升用户接入无线网络的认证体验;提供多种新型基于无线的应用,为广电城内部办公及访问用户提供个性化、便捷化服务,培养荔枝无线网络用户粘滞度。

3.建设原则

江苏广电荔枝无线网络遵循“先进性、高效性、高可靠性、可扩展性、业务连续性”原则进行设计。在实施过程中,充分考虑了现有业务需求与未来业务增长的因素,既满足短期内网络对带宽需求和设备处理存储能力的期望,有利于今后扩容,也应对未来的网络发展,预留了标准可扩展接口,保证现有业务的连续性以及与新增业务的平滑过渡。

二、网络总体架构设计

1.总体架构

江苏广电城大楼信息网络布线采用各楼层水平布线汇聚于本楼层弱电间,主楼和裙楼主干光纤均汇聚于信息网络核心机房,办公网络采用核心路由交换+2层接入交换的架构,各楼层网关设置在核心路由交换机上,核心交换机采用双机冗余架构,保障核心数据传输的高可靠性。江苏广电荔枝无线网络总体拓扑结构如图1所示。

图1 荔枝无线网络总体拓扑架构

2.无线网络管理架构

江苏广电荔枝无线网络采用的无线控制器在支持对传统802.11A/B/G/N AP管理的同时,还可以与H3C基于802.11AC协议的AP配合组网,从而提供相当于传统802.11A/B/G/N协议数倍的无线接入速率,使无线多媒体应用成为现实。

H3C 802.11AC AP通过PoE交换机接入,经过核心注册到H3C 高性能无线AC插卡,为不同区域不同用户提供接入服务。公共区域提供一键登录portal无感知认证,实现方便安全接入互联网。会议室及其他公共区域除提供一键登录portal无感知认证外还提供无线EAD认证接入服务,通过安全检查后可以访问内网资源。用户根据需求选择不同的服务。

传统的无线控制器部署一般采用集中式转发模式,AC可以对报文进行全面控制和安全监管,但所有的无线业务流量需要到AC进行统一处理,核心链路带宽和AC转发能力容易成为瓶颈。特别是AP和AC通过广域网方式进行连接时,AP作为数据接入设备部署在分支机构,而AC部署在总部,所有用户数据由AP发送到AC,再由AC进行集中转发,导致转发效率低下。

图2 无线控制器+无线AP架构图

无线控制器可以支持集中式转发和分布式转发,用户根据业务需要和网络实际情况可以灵活设置转发方式。

无线网络架构图如图2所示。

3.网络安全规划

(1)核心层

荔枝无线网络采用S10512系列核心交换机,该设备是基于Comware V7 软件平台进行开发。通过CMW平台的支持,H3C S10512能够提供丰富的安全特性。

◆数据传送层面的安全能力:地址扫描攻击防护能力,DOS/DDOS攻击防护能力,广播/组播报文速率限制,MAC地址表容量攻击防护能力,静态MAC地址表项和ARP表项绑定能力,强大的ACL能力。

◆控制信令层面的安全能力:ARP协议攻击防护能力,地址冲突检测能力,TC/TCN攻击防护能力,地址盗用防护能力,路由协议攻击防护能力,OSPF明文及MD5认证。

◆设备管理层面的安全能力:管理用户分级分权,提供安全的远程管理,提供安全审计,安全接入控制,SFTP服务。

(2)接入层

荔枝无线网络采用S3600系列接入交换机及S5120系列提供EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。

S3600支持跨交换机的远程端口镜像功能(RSPAN),可以将接入端口的流量镜像到核心交换机上,在核心上启动网流分析(Netstream)功能,配合XLOG系统对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。

新建的无线网络能够提供DHCP Snooping(侦听)功能,通过建立和维护DHCP Snooping绑定表实现侦听接入用户的MAC地址、IP地址、租用期、VLAN-ID 接口等信息,解决了 DHCP用户的IP和端口跟踪定位问题。同时对不符合绑定表项的非法报文(ARP欺骗报文、擅自修改IP地址的报文)直接丢弃,保证DHCP环境的真实性和一致性。同时利用DHCP Snooping的信任端口特性可以保证DHCP Server的合法性。

4.无线信号规划及场景设计

(1)无线信号规划及网络频谱管理

为了保证信号覆盖的质量,必须部署相应数量的AP,造成AP的覆盖范围出现重叠,AP之间互相可见。如果所有的AP都工作在相同信道,这些AP只能共享一个信道的频率资源,造成整个WLAN网络性能较低。WLAN协议本身提供了一些不重叠的物理信道,可以构建多个虚拟独立的WLAN网络,各个网络独立使用一个信道的带宽,例如使用2.4G频段时可以使用1、6、11三个非重叠信道构建WLAN网络。网络频谱管理示意图见图3。

同时信道规划考虑三维空间的信号覆盖情况,无论是水平方向还是垂直方向都要做到无线的蜂窝式覆盖,最大可能的避免同楼层和上下楼层间的同频干扰。

由于荔枝无线网络全网使用802.11 AC AP部署,因此频段资源又多出5G频段,共计有13个非重叠信道,同时按照2.4G频段原则进行蜂窝式规划部署,保证上下楼层及前后左右AP之间尽可能的使用互不重叠信道进行部署。

图3 网络频谱管理示意图

(2)无线场景设计

对整个广电城大楼的实地勘测及走访调研,根据不同场景对无线网络场景进行了规划设计,具体包括以下几种不同应用场景:

◆1F大厅,人员流动性较大并可能会不定期举行相关活动,此时人员较为密集,因此使用高密接入型802.11AC AP进行部署,满足较多用户接入需求,又减少布线数量。

◆隔间较多,砖墙对信号阻隔较强且用户密度一般的区域,采用一般802.11AC AP进行入室部署,实现信号较好覆盖。

◆对于有会议室和普通办公区域的楼层,采用高密接入型802.11AC AP和一般802.11AC AP混合部署,高密型AP部署在会议室人员较为密集区域,一般型AP部署在普通办公区域。

◆覆盖区域为大开间,或为玻璃隔断或轻质隔断,人员并不太密集,采用一般性能802.11 AC AP进行部署。

◆对覆盖区域开阔且人员又较为密集型的区域,采用高密接入型802.11 AC AP进行部署,满足高并发在线用户接入。

◆食堂等固定时段高密接入区域,使用高密接入型AP。

以上是江苏广电荔枝无线网络几个不同场景的AP部署方式,根据不同的环境,使用不同类型和不同数量的AP进行部署,以满足信号覆盖和用户接入容量的要求。

三、网络管理策略设计

1.网络安全管理策略

(1)iMC智能管理平台

江苏广电荔枝无线网络在满足功能、性能的同时,高度注重整个网络的管理,网络管理系统设计采用H3C iMC智能管理平台进行策略管理。该平台采用标准的SNMP协议对网络上符合该协议的设备进行实时的监控,对网络中发生的故障进行报警,从而减少系统管理的难度和工作量。该平台实现网络资源、用户和业务的融合管理,提供基本的网络资源管理、拓扑管理、故障管理、性能管理、用户管理及系统安全管理,基于B/S架构,可以与H3C iMC 其他业务组件有效集成,形成多种解决方案。iMC智能管理平台系统见图4。

图4 iMC智能管理平台系统

无线业务管理组件(WSM)在iMC平台的基础上进行开发,不仅为管理员提供了灵活的组件选择,同时符合业界主流的SOA架构,具备良好的扩展性,能够满足网络管理不断发展的需求。基于Web的管理系统,为无线业务管理员提供了简便、友好的管理平台。

(2)无线网络拓扑管理

iMC拓扑管理提供给用户对整个网络及网络设备资源的管理。拓扑管理包括:

◆拓扑自动发现。通过对现有网络拓扑进行扫描,自动发现网络拓扑。

◆支持自定义拓扑,使网络拓扑更有重点和层次感。

◆自动识别各种网络设备和主机的类型。

◆设备状态、连接状态、告警状态等信息在拓扑图上的直观显示,与故障管理和性能管理紧密融合,使拓扑图能够清晰地看到总台所有IT资源的状态。

◆提供设备管理便捷入口,实现对设备的面板管理等各项功能配置。

(3)无线网络告警管理

故障管理,即告警/事件管理,是iMC智能管理平台及其他业务组件统一的告警中心。提供以下类型告警信息:

◆告警发现和上报:iMC告警中心可以接收各种告警源的告警事件,同时通过支持对设备定时轮询,实现通断告警、响应时间告警等,以告警事件的方式上报给iMC告警中心。

◆告警深度关联分析与统计:iMC对接收到的告警事件进行深度关联分析,系统缺省支持重复事件阈值告警、闪断事件阈值告警等,并能在故障恢复时自动确认相关告警;同时管理员可以根据自己的需要确定事件的告警规则,以适应网络管理需要。

◆实时告警:iMC提供多种方式将告警通知给管理员,按故障类别及等级实时告警,让管理员通过告警板不但及时知道告警产生,同时可以了解产生告警的类别和等级:提供系统快照,实时报告网络、下级网络及设备的状态;通过拓扑实现报告网络及设备状态。

◆故障解决:iMC对各种故障告警均提供“修复建议”,管理员可以参考修复建议对故障进行处理。在故障得到解决后,通过对告警的确认完成故障的恢复确认。

2.用户认证管理策略

(1)SSID规划

江苏广电荔枝无线网络根据访问权限、用户类别对用户SSID进行了统一规划,具体如表1所示。

表1:SSID规划表

◆LitchiNET

此SSID是用于内部办公员工连接内部网络专用,使用无线802.1X认证方式,并配有安全检查,能够对终端设备进行防病毒软件检查,系统补丁检查等。此SSID允许访问Internet,访问服务器。

◆JSTV

此SSID规划是提供访客用户使用,用户只需连接SSID后打开浏览器,浏览器会弹出相应的portal认证页面,此时用户点击一键登录按钮即可通过认证上网。此SSID仅允许访问Internet,不可以访问服务器,且限制带宽。

(2)无线EAD用户策略管理

无线EAD服务区别于JSTV服务,不同终端通过不同安全认证及安全检查后接入网络,可以访问相应内部资源,具体用户策略分类如表2所示。

表2:EAD用户策略分类表

一般无线PC(Windows系统)必须安装iNode客户端进行认证并通过补丁和杀毒软件检查后才可以接入网络,其他智能终端由于不支持补丁和杀毒软件检查,可使用自带认证软件进行登陆认证后接入网络,不管进不进行安全检查,用户数据通过无线传输都是经过加密的,也能保证数据在无线传输过程中的安全。

(3)无线EAD安全策略管理

对于外来访客的SSID,可以在AC上设置访问控制列表,来自AP所在的SSID需经过Portal认证后才能访问Internet,同时其访问范围又被限制在Internet区域,其它的访问目的地址都会经过AC上设置的访问控制列表匹配,报文丢弃不予转发。对于在会议室AP,必须通过PEAP认证后才能访问网络,AC上设置访问控制列表,保证其只能临时访问部分服务器资源与Internet资源。对于在办公区部署的无线AP,主要应用于台内移动工作人员,需要通过EAD认证后,才能获取相应的资源。

SSID LitchiNET信号采用无线EAD(Endpoint Admission Defense,端点准入防御)解决方案。该方案在无线局域网环境下,配合无线AP和无线控制器进行完整的联动方案,通过认证实现对无线接入用户的端点准入控制,强制实施企业安全策略,从而加强网络终端的主动防御能力,防止“危险”、“易感”终端接入网络,控制病毒、蠕虫的蔓延,有效满足无线安全准入需求。

在无线EAD方案中,拥有合法身份的用户除了被验证用户名、密码等信息外,还被检查是否满足安全策略的要求,包括病毒软件是否安装、病毒库是否升级、是否安装了必要的系统补丁等等。对于同时满足了身份检查和安全检查的用户,EAD会根据预定义的策略为其分配对应的网络访问权限,避免了非授权的网络访问现象,达到硬隔离的效果。

四、关键技术实现

1.IRF虚拟化

图5 IRF虚拟化示意图

江苏广电荔枝无线网络采用IRF虚拟化技术,IRF是一种将多台设备虚拟成一台设备来管理和使用的技术,荔枝无线网络采用两台高端路由交换机S10512作为核心交换机,运行IRF虚拟化来保证核心网络的可靠。图5 是IRF虚拟化示意图。

使用IRF扩展系统处理能力如图6所示。当中心的交换机转发能力不能满足需求时,可以增加新交换机与原交换机组成IRF系统来实现。若一台交换机转发能力为64M PPS,则通过增加一台交换机进行扩展后,整个IRF设备的转发能力为128M PPS。另外当边缘交换机上行带宽增加时,可以增加新交换机与原交换机组成IRF系统来实现。将成员设备的多条物理链路配置成一个聚合组,可以增加到中心交换机的带宽。而对中心交换机而言,边缘交换机的数量并没有变化,物理上的两台交换机看起来就是一台交换机,原有交换机会将当前的配置批量备份到新加入的交换机。因此,这种变化对网络规划和配置影响很小。

图6 IRF扩展系统处理能力示意图

图7是使用MSTP、VRRP等协议来支持链路冗余、网关备份的示意图。

图7 链路冗余、网关备份示意图

使用IRF后,汇聚层的多个设备成为了一个单一的逻辑设备,接入设备直接连接到虚拟设备。这个简化后的组网不再需要使用MSTP、VRRP协议,简化了网络配置。同时依靠跨设备的链路聚合,在成员出现故障时不再依赖MSTP、VRRP等协议的收敛,提高了可靠性。

2.无感知认证

无线网络无感知认证流程见图8。

图8 无线网络无感知认证流程

采用Portal认证时,用户每次接入WLAN网络时都需要在Portal页面中输入用户账号/密码信息,操作较为不便。特别是当前使用WiFi网络的Pad、智能手机等终端设备越来越多,而此类终端受到屏幕、浏览器等资源限制,在Portal页面中输入用户名/密码等信息时极为不便,使得用户上网体验大打折扣。江苏广电荔枝无线网络访问用户采用无感知认证接入方式,用户一次无线输入用户名密码,即可完成一键登录接入网络,一次登陆可保一周(时间可调整)不再进行重复登陆操作,方便用户使用,安全可控。

3.智能终端识别

iMC系统,在综合分析了当前终端设备识别技术的基础上,使用DHCP指纹识别、Http Agent识别和MAC OUI识别三种具有较高识别度和可靠性的终端设备类型识别方式,并针对各种识别方式的优缺点,取长补短,综合使用,提供了完备的设备终端识别功能。

◆终端设备接入网络,首先发起身份认证。身份认证过程中,设备的MAC地址携带在Radius请求的Calling Station ID属性中。EIA解决该属性,并判断设备的供应商信息。由于MAC地址易于修改,因此在iMC系统中,MAC OUI的优先级最低。

◆iMC 系统判断设备是否已注册,对于未注册的设备,将其放入隔离区。

◆终端设备在隔离区发起DHCP请求,接入设备将DHCP请求Relay至安装了DHCP插件的DHCP Server。

◆DHCP插件截获DHCP请求报文,并解析DHCP报文属性,将终端设备的MAC地址和Option 55信息上传至iMC服务器。

◆iMC服务器根据MAC地址查询设备注册信息,对于未注册的设备,iMC设备根据Option 55提供的设备指纹,确认设备的类型,供应商和操作系统类型等信息。同时在回应DHCP插件的报文中,携带DNS Jail Server 的IP地址,告知DHCP插件修改DHCP ACK报文中的DNS信息。由于DHCP识别具有较高的准确性,EIA系统将DHCP识别的优先级设为最高。

◆终端用户访问Web站点,发出Http请求。用户终端的DNS客户端发起DNS查询,该查询被发现DNS Jail查询所在的地址。DNS Jail插件返回EIA Server的地址。

◆用户Http请求被发往iMC Server,iMC server解析Http请求中的User Agent信息,提取操作系统、终端类型和制造商等信息。如果DHCP解析过程中已识别出终端类型、操作系统类型和供应商等信息,User Agent识别出的终端设备信息不会被记录。

采用智能无线终端识别技术,使用DHCP指纹识别、Http Agent识别和MAC OUI识别三种具有较高识别度和可靠性的终端设备类型识别方式,根据智能终端类型(如PAD 、智能手机、windows笔记本、MAC笔记本)等设置不同的网络安全访问策略。

五、结束语

江苏广电荔枝无线网络的建设实现了江苏广电城办公网络出口带宽的扩容,总带宽提升了4倍,达到800Mbps;采用IRF虚拟化技术,实现了广电城核心网络系统的升级;完成了广电城荔枝无线网络的整体更新改造,实现了广电城内网络全覆盖,改善了无线接入体验,提高了无线网络速度,满足了员工的无线应用需求。未来,荔枝无线网络还可利用无线定位模式提供高精度室内导航(车库停车定位),利用无线登陆页面进行频道广告推送,为总台日常运营管理提供必要的网络和业务增值服务。

猜你喜欢
管理策略
房建工程招标组织与合同管理策略
论减税降费背景下的企业财务管理策略
事业单位政府采购预算管理策略
建筑工程全过程预决算管理策略初探
建筑工程管理策略探讨
建筑施工安全管理策略的应用探索
油田井下作业施工的造价管理策略
油田建设项目工程造价的有效控制与管理策略
招生考试实行的目标管理策略探讨
环保工程的全过程控制管理策略初探