因篇幅所限，本文接續上一篇《某校園無線Wi-Fi網絡全覆蓋初期規劃方案（一）》。

本方案是壹雲互聯-小壹團隊爲某校園WiFi網絡項目進行的初期規劃設計，在此分享給大家，有不妥之處，敬請批評指正。特別說明：本文個別內容來自互聯網整理。

第3章 Wi-Fi無線網絡

3.1 系統概述

無線網絡系統依託綜合佈線的物理鏈路，爲現代化校園構建高速、可靠的數據傳輸、承載平臺，是現代化校園裏最基礎也是極其重要的組成部分。我們在充分了解了本項目現有實際需求和將來系統整體發展需求的基礎上，採用先進、可靠、安全、經濟的技術和設備，依據層次化、結構化的設計原則，堅持“針對性與差異化並舉”的設計理念，力圖爲學院規劃設計一套高性能、高可靠、高安全、高效率、易用的無線網絡系統。

3.2 設計目標

本項目的網絡設計目標是，確保網絡設計成果可以在後續的實施執行過程中可以順利實現，以達到以下目標：

建設穩定可靠、靈活易管理的網絡環境

詳細設計中將從網絡整體架構、網絡技術實現、網絡安全保障以及網絡管理等層面，深入設計網絡，爲數據系統提供穩定可靠、安全合規、靈活易管理的的網絡環境。

細化網絡服務基礎技術設計，規範網絡環境，指導後續實施。

從實施的視角，梳理各網絡組件需要部署的技術項（地址，命名，路由，QOS，交換技術，安全，連接服務等），指導實施配置。全面支撐數據網絡環境的建設、維護及擴展需求。

協助設備選型

定義網絡部署架構中， 各網絡組件（結點）的功能及非功能性要求。

3.3 物理拓撲方案

本項目交換網絡將採用核心層和接入層的二層物理結構設計，每個無線接入點AP以千兆鏈路與千兆POE接入交換機互聯，而這些接入交換機再通過萬兆鏈路與核心交換機之間互聯，如果預算充足，可配備雙鏈路萬兆互聯；而無線網絡則採用最新的無控制器架構即－“雲管理平臺+無線接入點AP”的架構，無線接入點AP可以實現本地轉發，並與本網絡內的其他同品牌型號的AP可以自行通信自行組網，以實現低延時高效率的無縫漫遊切換，而云管理平臺的作用主要用於對AP的日常管理，監測和策略發放等，其中雲平臺有兩種部署方式：一是由壹雲互聯提供的公有云平臺，軟件，硬件及服務在合同約定期限內免費使用，二是由學校自行採購硬件服務器設備，用於搭建私有云平臺，壹雲互聯免費提供雲服務平臺軟件及技術服務。物理線路/佈線設計方案詳見綜合佈線系統章節的內容。

無線網絡將採用目前主流標準的802.11ac的產品，支持2.4GHz+5GHz同時雙頻，同時支持802.11a/g/n/ac協議；3x3 MIMO, 三個空間流; 雙頻情況下最大理論傳輸速率可達1.75Gbps。

根據各區域的AP點位的分佈數量，接入層一般採用24口或48口POE千兆接入交換機連接AP設備。每個上聯接入交換機分別均通過萬兆光口核心交換機互連。因爲客戶預算有限，所有接入交換機包括POE接入交換機全部採用某品牌低端系列的交換機。

網絡拓撲結構

以下是基於AP點位預估的AP設備數量和設計原則：

AP點位/設備預估統計表

3.4 邏輯規劃方案

3.4.1出口路由及策略

A. 鏈路負載均衡

爲了規避運營商出口故障帶來的網絡可用性風險，和解決網絡帶寬不足帶來的網絡訪問問題，企業往往會租用兩個或多個運營商出口。但如何合理運用多個運營商出口，既不造成資源浪費，又能很好地服務於企業成爲企業關注的問題。傳統的策略路由可以在一定程度上解決該問題，但是策略路由配置不方便，而且不夠靈活，無法動態適應網絡結構變化，且策略路由無法根據帶寬進行報文分發，造成高吞吐量的鏈路無法得到充分利用。

出口鏈路負載均衡技術通過動態均衡算法，能夠在多條出口鏈路中進行負載均衡，算法配置簡單，且具有自適應能力，能解決上述問題。出口鏈路負載均衡的典型組網如下圖所示。

B. 路由及流策略

內部用戶訪問外網的路由及流量轉發路徑：當內部用戶訪問外網的流量到達核心交換機時，流量根據核心交換機上的靜態路由（下一跳設置爲防火牆下行網關IP地址）被轉發到防火牆。

防火牆完成對流量的安全檢測後，會根據靜態路由將流量轉發到外網上，再轉發到指定外部線路。

外部用戶訪問內網的路由及流量轉發路徑：

當外部用戶訪問內網的流量到防火牆上時，防火牆完成對流量的安全檢測後，會根據靜態路由表將流量轉發到核心交換機，再根據核心交換機上的OSPF動態路由轉到接入交換機或子網。

在交換機上各個接口配置流策略，以保證終端能夠正常上線。

3.4.2 IP地址及子網劃分

IP地址是網絡設計工作中重要的一環，使用IP地址不當會造成路由表龐大、難以部署安全控制、地址重疊問題、地址空間耗盡等問題，會給網絡運行帶來很大麻煩。

VLAN及子網的規劃，可以按照學校部門及業務進行VLAN和子網劃分，既要考慮目前的網絡規模及容量，也要預留未來擴展的空間。

以下表格僅爲示例的本學校無線網絡及設備互聯網絡的VLAN及子網分配表，最終的VLAN及子網劃分待中標後與IT部門充分溝通後再作詳細規劃。

IP地址及VLAN子網規劃示意表

3.4.3 其他邏輯規劃

在詳細需求尚未明確之前，以下僅舉例部分常用配置的思路和原則：

部署總部及分支網

總部：部署堆疊、鏈路聚合，配置各VLAN及IP地址、部署DHCP Server，實現局域內網互通。部門內部通過接入層交換機進行二層互通，部門間通過核心交換機CORE上的VLANIF進行三層互通。

分支： 配置接入層交換機及出口路由器的各接口VLAN及IP地址， 部署DHCP Server，實現分支區內網互通。

部署VRRP（無雙出口路由器，暫可不設置）

爲了保證總部核心交換機與兩個出口路由器之間的可靠性，在兩個出口路由器之間部署VRRP，VRRP的心跳報文經過核心交換機進行交互。

爲了防止總部主Router上行鏈路故障的時候業務斷流，將VRRP狀態與主Router的上行口進行聯動，保證上行鏈路故障時VRRP進行快速倒換。

部署路由

爲了引導各設備的上行流量，在總部核心交換機上配置一條缺省路由，下一跳指向VRRP的虛地址，在總部及分支的出口路由器上各配置一條缺省路由，下一跳指向運營商網絡設備的對接地址（公網網關）。

爲了引導總部兩個出口路由器或防火牆的回程流量，在兩個出口路由器和核心交換機之間部署OSPF，核心交換機上將所有用戶網段發佈到OSPF裏面，通告給兩個出口路由器。

爲了引導外網用戶訪問Web服務器的流量，需要在總部的運營商路由器上配置兩條目的地址爲服務器公網地址的靜態路由，下一跳分別指向兩個出口路由器的上行口IP地址。並且爲了保證路由和VRRP同步切換，設置下一跳爲主Router的這條路由優先，當這條路由失效的時候下一跳指向備Router的路由生效。

部署NAT Outbound

爲了使內網用戶訪問Internet，在兩臺出口路由器的上行口配置NAT，實現私網地址和公網地址之間的轉換。通過ACL匹配經授權部門的源IP地址，從而實現經授權部門的用戶可以訪問Internet，而未經授權的部門用戶不能訪問Internet。

NAT Server

爲了實現外網用戶訪問內網服務器，在出口防火牆或路由器的上行口上配置NAT Server，實現服務器公網地址和私網地址之間的映射。

部署IPSec VPN

爲了實現總部和分支之間進行私網VPN互通，在總部出口路由器或防火牆和分支出口路由器/防火牆之間部署IPSec VPN，通過Internet構建IPSec VPN，實現總部和分支之間的安全通信。

3.4.4 QoS質量保證

基於VLAN限速的配置(詳情-略)基於流量整形的配置(詳情-略)基於擁塞管理和避免的配置(詳情-略)優先級標記和隊列調度配置(詳情-略)

因本篇幅過長，其他章節內容請參考《某校園無線Wi-Fi網絡全覆蓋初期規劃方案（二）》和《某校園無線Wi-Fi網絡全覆蓋初期規劃方案（一）》

相關文章