校园网无线覆盖解决方案书

1、校园网无线覆盖解决方案目 录一.概 述4二.无线局域网的特点及应用环境51.有线局域网已成为移动办公的束缚52.无线局域网的特点53.无线局域网应用的环境6三.无线局域网技术介绍71.无线网络标准72.ieee 802.11b 标准81)802.11b 传输技术92)802.11b 技术特点103)802.11b 网络安全机制114)802.11b 网络协议113.ieee802.11a标准114.ieee802.11g标准115.ieee802.11n标准121)802.11n技术的先进性122)802.11n的优越性126.常见的无线局域网拓扑结构131)ad-hoc模式132)infra

2、structure模式137.无线局域网的漫游14四.校园无线局域网组网设计151.设计目标151)建设目的152)在校园网有线网络上构建wlan系统153)建设范围152.无线局域网设计原则163.校园无线局域网设计整体架构171)一体化有线/无线解决方案特点182)校园网室内无线覆盖网络拓朴及说明214.室外无线局域网设计221)ap220-h室外专用无线产品特点222)室外无线覆盖网络拓朴及说明223)信道的规划23五.无线局域网的安全251.无线局域网安全概述252.无线网络需要解决的三个安全问题253.无线网络的安全措施251)ssid服务识别码252)有线等价加密 (wep)263

3、)ieee 802.1x264)wpa (wi-fi protected access)285)mac地址过滤296)无线客户端隔离功能29六.常见无线局域网问题解答30七.产品简介311.rg-s2924 & ap220-e/ap220-h & ac5302 & smp311)rg-s2924352)ap220-e383)ap220-h422.ac530247一. 概 述在“科教兴国”的政策的指引下，教育信息化建设得到了迅猛的发展。在近两年，各学校、教育机关和相关机构的网络建设进入新一轮发展高潮，各大中小学校陆续建设起符合当今教学要求的校园网络。在相对发达地区，不少学校甚至对已建立校园网络进

4、行改造升级。随着发展，新的应用需求也层出不穷，对网络建设、改造有了更高的需求：个人数据通信的发展，功能强大的便携式数据终端以及多媒体终端得到了广泛的应用。为了实现使用户能够在任何时间、任何地点均能实现数据通信的目标，要求传统的计算机网络由有线向无线、由固定向移动、由单一业务向多媒体发展。无线时代正在来临，这意味着可以在任何便于工作的地方，在教室、实验室、图书馆、办公室、餐厅、会议室以及在室外，都能享受工作和学习的自由和灵活性。无线局域网具有的高灵活性和可靠性正在成为每个学校根本的、必备的合作工具。无线局域网是计算机网络与无线通信技术相结合的产物，它提供了使用无线多址信道的一种有效方法来支持计算

5、机之间的通信，并为通信的移动化、个人化和多媒体化应用提供了潜在的手段。在互联网高速发展的今天，无线局域网将是未来发展的趋势，必将最终代替传统的有线网络。随着社会对计算机依赖性的迅速增加，用户要求互连的计算机数量更多，类型也更为复杂。现代电子技术的发展，使人们可以根据不同的要求选择不同的网络方案，但传统有线网络由于受设计或环境条件的制约，在物理、逻辑和资金方面普遍存在着一系列问题，特别是当涉及到网络移动和重新布局时。所以发展一种可行的无线通信网络技术作为现有数据连接的扩充已成为一种需要。进入90年代以来，随着个人数据通信的发展，功能强大的便携式数据终端以及多媒体终端得到了广泛的应用。为了实现使用

6、户能够在任何时间、任何地点均能实现数据通信的目标，要求传统的计算机网络由有线向无线、由固定向移动、由单一业务向多媒体发展，因此更进一步的推动了无线局域网（wireless lan，简称wlan）的发展。无线局域网有了突破性的进展是在ieee 802.11标准颁布以后，它的制定是无线网络技术发展的一个里程碑。802.11标准除了体现了无线局域网的优点和各种不同的性能以外，还使得各种不同厂商的无线产品得以兼容，从而促进了无线局域网的全面发展，结束了多种标准共存的混乱局面。 目前，802.11b标准已是最成熟的无线应用的标准，并且也是无线局域网当中应用最多协议标准，已经得到了无线移动环境的广泛接受，

7、在未来的无线技术发展的过程中802.11g和802.11a标准将以更高的性能推动无线局域网wlan的发展。伴随着校园信息化水平的提高，学校的老师和学生对随时随地接入网络进行教学和科研的需求越来越普遍；与此同时，无线技术迅速发展，wlan已经由最初只支持11mbps速率的802.11b标准发展到支持54mbps速率的802.11a和802.11g标准，目前支持300mbps速率的802.11n产品也正在逐步标准化；无线终端日渐普及，伴随着笔记本电脑的普及，无线网卡成为笔记本电脑的标准配置之一；wlan技术和学校需求相结合，推动了无线校园网技术的发展，根据权威机构调查，目前国内超过75%的985高

8、校已经规模建设无线校园网，超过30%普通高校也已经完成无线校园网的规模部署。二. 无线局域网的特点及应用环境1. 有线局域网已成为移动办公的束缚随着internet的高速发展，局域网也越来越普及，不仅公司、企业、事业单位建立了局域网，许多办公室、家庭里面的小型局域网也纷纷的出现。这种局域网一般都是需要综合布线的有线网络，它的出现解决了人们网络联通的问题，大大提高了办公效率，并且数据传输速率也日趋加快，但同时也存在着许多问题。有线局域网大多将基础布线和设备隐蔽在墙壁之内或者埋在地下，因此综合布线将是非常令人头痛的事情。设计线路的走向、开挖布线槽、敷设线路、调试等等，既耗费人力财力又浪费大量时间。

9、不但如此，布线之后的线路维护、线路监测等事情更是费时费力。而且，这种传统的有线网络不能摆脱线路的束缚，不能根据实际情况随意的改变网络的结构，更不能实现现代化移动办公的需要，也就不能进一步提高网络办公的工作效率。2. 无线局域网的特点无线局域网的出现使有线网络所遇到的问题迎刃而解，它可以使用户任意对有线网络进行扩展和延伸。只是在有线网络的基础上通过无线接入器、无线交换机、无线网卡、无线控制器等无线设备使无线通信得以实现。在不进行传统的布线的同时，提供有线局域网的所有功能，并能够随着用户的需要随意的更改扩展网络，实现移动应用。在园区无线局域网内可以使用一个或几个无线交换机来管理大量的ap或者用于混

10、合有线/无线局域网。当ap的增加时，就可增加无线交换机而形成一个大型的集中管理系统。由于扩展简便，支持下一代高速ap的千兆速率和支持企业范围内网间漫游的三层路由，无线交换机提供一个架构，简化并且一体化了一个特别复杂的wlan环境，轻松的为将来的技术升级准备了一个现有的网络。 无线局域网具有传统有线网络无法比拟的特点：n 灵活性，不受线缆的限制，可以随意增加和配置工作站；n 低成本，无线局域网不再需要大量的工程布线，同时节省了线路维护的费用；n 移动性，不受时间、空间的限制，用户可在网络中漫游；n 易安装，对于有线网络来说，无线局域网的组建、配置和维护更为容易。而且，通信范围不受环境条件的限制，

11、网络传输覆盖范围大大的拓展，室外可以传输几百米、室内可以传输数十、几百米。在网络数据传输方面也有与有线网络等效的安全加密措施。3. 无线局域网应用的环境所有这些无线局域网的特点使其可以广泛使用在以下的领域：n 移动办公的环境：大型企业、医院等移动工作的人员应用的环境；n 难以布线的环境：历史建筑、校园、工厂车间、城市建筑群、大型的仓库等不能布线或者难于布线的环境；n 频繁变化的环境：活动的办公室、零售商店、售票点、医院、以及野外勘测、试验、军事、公安和银行金融等，以及流动办公、网络结构经常变化或者临时组建的局域网；n 特殊项目的局域网：航空公司、机场、货运公司、码头、展览和交易会等；n 小型网

12、络用户：办公室、家庭办公室（soho）用户；三. 无线局域网技术介绍1. 无线网络标准n ieee 802.11标准ieee 802.11标准是无线局域网的标准之一，是无线领域目前最为成熟的网络标准。该标准定义了osi七层模型中的物理层（phy）和媒体访问控制层（mac）的协议规范，其中mac层是重点。它的制定使得各厂商之间的无线产品在物理层上实现互操作，而逻辑链路层（llc）是一致的，即mac层以下对网络应用是透明的。在mac层以下，802.11规定了三种发送及接收技术：扩频(spread spectrum)技术；红外(infared)技术；窄带(narrowband)技术。扩频技术又分为直

13、接序列(direct sequence,ds)扩频技术和跳频(frequency hopping,fh)扩频技术。2000年8月，802.11标准得到了进一步的修订和完善，并成为ieee/ansi和iso/iec的一个联合标准。此次修订的内容包括用一个基于snmp的mib来取代原来基于osi协议的mib。另外还增加了两项新的内容：802.11a它扩充了802.11物理层，规定该层使用5ghz的频带，采用正交频分复用（ofdm）调制数据，传输速率范围为6mbps54mbps，这样的速率既能满足室内的应用，也能满足室外的无线应用。802.11b它是802.11标准的另一个补充，规定使用2.4ghz

14、的频带，采用补偿码键控（cck）的调制方法。传输速率可以在11mbps、5.5mbps、2mbps、1mbps之间自动的调整。它是目前应用最广泛的无线局域网协议，得到了世界各大无线产品厂商的广泛支持。n hiperlan2标准hiperlan2是欧洲电信标准协会（etsi）正在开发的无线网络标准，它跟802.11a标准物理层相似，同样工作在5ghz的频带，采用正交频分复用（ofdm）调制方法。他支持高达54mbps的传输速率。它的特点是：高速传输、面向连接、支持qos、自动频率配置、支持小区切换、安全保密、网络与应用无关。hiperlan标准定义了许多支持无线网络功能的信令和测量方法，包括动态

15、频率选择、无线小区切换、链路适配、多波束天线和功率控制等。hiperlan2标准是对目前无线接入系统的补充，与其它蜂窝系统比较，它的户外移动性虽然受到限制，但适用面广，可在典型的应用环境如办公室、家庭、展览厅、机场、火车站等热点地区，向终端用户提供高速数据传输。n homerf 标准homerf是由家庭无线联网业界团体制定的标准，是专门为家庭用户设计的。世界上有80多家公司支持homerf标准。homerf工作在2.4ghz的频带，采用跳频的扩频技术，通过家庭中的一台主机在移动设备之间实现通信，既可以通过时分复用支持语音通信，又能通过载波监听多路访问/冲突避免协议提供数据通信服务。同时，hom

16、erf提供了与tcp/ip良好的集成，支持广播、多播和48位ip地址。但目前homerf的传输速率仅为2mbps。n bluetooth 标准bluetooth，蓝牙技术是1995年爱立信首先提出的概念。是由爱立信、ibm、英特尔、诺基亚、东芝等5家公司联合制定的近距离无线通讯的技术标准。它工作在2.4ghz频带，传输速率为1mbps，是一种无线数据与语音通信的开放性标准。它以低成本的近距离无线连接为基础，为固定与移动设备通信环境建立一个特别连接，使得近距离内各种信息设备能够实现无缝的资源共享。它的主要优点是：可以随时随地用无线接口来代替有线电缆连接；具有很强的可移植性，可应用于多种通信场合，

17、如wap、gsm、dect等，引入了身份识别以后可以灵活实现漫游；功耗低，对人体危害小；集成电路应用简单，成本低廉，实现容易，易于推广。将来肯定会广泛的应用到通信电器设备中。2. ieee 802.11b 标准起先，无线局域网由于传输速率低、成本高、产品系列有限、不同厂家产品不兼容等问题，致使发展缓慢，802.11标准的出现推动了无线网络的发展，但是由于传输速率只有12mbps，仍不能得到广泛的推广应用。802.11b标准的颁布给无线局域网带来了新的发展商机，它最高11mbps的传输速率从根本上改变了无线局域网的设计和应用现状，满足了人们在一定区域内实现不间断移动办公的要求，逐渐成为全世界普遍

18、接受的无线局域网标准，扩大了无线局域网的应用领域。802.l1b标准工作在2.4ghz的频带，采用补偿码键控（cck）的调制技术,传输速率最高可达到11mbps。802.l1b对无线局域网的最大贡献就是根据无线通信状况的变化支持物理层传输速率的动态速率的漂移，可以在11mbps、5.5mbps、2mbps、1mbps之间动态的速率调整。在mac层，提供了csma/ca载波侦听多路访问/冲突避免技术，从而大大减小了网络上信号冲突发生的概率，大副的提高了网络效率。并且802.11b提供了访问控制和40bit/128bit wep加密机制。1) 802.11b 传输技术n 直接序列扩频技术（dsss

19、，direct sequence spread spectrum）l 直接序列扩频技术原理dsss是扩频技术的一种，802.11b标准就采用这种传输技术，它工作在ism 2.4ghz频段内，是直接利用具有高码率的扩频码系列采用各种调制方式在发端与扩展信号的频谱，而在接收端，用相同的扩频码序去进行解码，把展宽的扩频信号还原成原始的信息。它是一种数字调制方法，具体说，就是将信源与一定的pn码（伪噪声码）进行摸二加。例如:在发射端将1用11000100110代替，而将0用00110010110去代替，这个过程就实现了扩频；而在接收端只要把收到的序列是11000100110就恢复成1、是0011001

20、0110就恢复成0，这就是解扩。这样信源速率就被提高了11倍，同时也使处理增益达到10db以上，从而有效地提高了整机信噪比。l dsss扩频通信技术特点：u 抗干扰性强抗干扰是扩频通信主要特性之一，因信号接收需要扩频编码进行相关解码处理才能得到，所以即使以同类型信号进行干扰，在不知道信号的扩频码的情况下，由于不同扩频编码之间的不同的相关性，干扰也不起作用。正因为扩频技术抗干扰性强，美国军方在海湾战争等处广泛采用扩频技术的无线网桥来连接分布在不同区域的计算机网络。u 隐蔽性和保密性好因为信号在很宽的频带上被扩展，单位带宽上的功率很小，即信号功率谱密度很低，信号淹没在白噪声之中，别人难以发现信号的

21、存在，加之不知扩频编码，很难拾取有用信号，而极低的功率谱密度，也很少对于其它电信设备构成干扰。u 易于实现码分多址（cdma）直接扩频通信占用宽带频谱资源通信，改善了抗干扰能力，提高了频带的利用率。充分利用不同码型的扩频编码之间的相关特性，分配给不同用户不同的扩频编码，可以区别不同的用户的信号，从而实现了频率复用。发送者可用不同的扩频编码，分别向不同的接收者发送数据； 同样，接收者用不同的扩频编码，就可以收到不同的发送者送来的数据，实现了多址通信。u 抗多径干扰无线通信中由于电波反射、折射所形成的多径干扰一直是难以解决的问题，利用扩频编码之间的相关特性，在接收端可以用相关技术从多径信号中提取分

22、离出最强的有用信号，也可把多个路径来的同一码序列的波形相加使之得到加强，从而达到有效的抗多径干扰。u 直序扩频通信速率高直序扩频通信速率可达 2mbps，5.5mbps，11mbps，无须申请频率资源，建网简单，网络性能好。 2) 802.11b 技术特点n 可靠的通信抗干扰和抗多径干扰能力强，能够高速的、高质量的传输数据。n 低成本节省了网络综合布线高额费用、节省租用线路月租费和线路的维护费用。n 灵活性无线缆限制，可任意增加和配置工作站。n 移动性允许用户在任何时间、任何地点访问网络数据，可在无线网络覆盖的范围内自动漫游。n 高吞吐量可以实现11mbps的数据传输速率，并可以在5.5mbp

23、s、2 mbps、1 mbps之间自动速率调整。3) 802.11b 网络安全机制802.11b提供了mac层的访问控制和加密机制，就是指的wep（等效有线加密），为无线局域网提供了与有线网络相同级别的安全保护。802.11b标准提供了可选的rsa 40及128位的共享密钥 rc4 prng算法。4) 802.11b 网络协议n csma/ca 载波侦听多路访问/冲突避免技术为了尽量减少数据的传输碰撞和重试发送，防止各站点无序地争用信道，无线局域网中采用了与以太网csma/cd相类似的csma/ca（载波侦听多路访问/冲突避免）协议。csma/ca通信方式将时间域的划分与帧格式紧密联系起来，保

24、证某一时刻只有一个站点发送，实现了网络的集中管理。因传输介质不同，csma/cd和csma/ca的检测方式也不同。csma/cd通过电缆中电压的变化来检测，当数据发生碰撞时，电缆中的电压就会随着发生变化；而csma/ca采用能量检测（ed）、载波检测（cs）和能量载波混合检测三中检测信道空闲的方式。n rct/ctsrct/cts协议即请求发送/允许发送协议，相当于一种握手协议，主要用来解决“隐藏终端”问题。3. ieee802.11a标准和802.11b相比，ieee802.11a在整个覆盖范围内提供了更高的速度，其速率高达54mbps。它工作在5ghz频段，与802.11b一样采用csma

25、ca协议。物理层采用正交频分复用ofdm代替802.11b的dsss来传输数据。4. ieee802.11g标准为了解决ieee802.11a与802.11b的产品因为频段与物理层调制方式不同而无法互通的问题，ieee又在2001年11月批准了新的802.11g标准。802.11g既适应传统的802.11b标准，在2.4ghz频率下提供每秒11mbps的传输速率；也符合802.11a标准，在5ghz频率下提供54mbps的传输速率。802.11g中规定的调制方式包括802.11a中采用的ofdm与802.11b中采用的cck。通过规定两种调制方式，既达到了用2.4ghz频段实现802.11a5

26、4mbps的数据传送速度，也确保了与802.11b产品的兼容。 5. ieee802.11n标准802.11n 是最新一代的无线传输标准协议，无论是无线信号的传输距离和无线数据的传输速度对比802.11a，802.11b，802.11g协议802.11n都有一个很大幅度的提升。随着802.11n新技术的发展，目前越来越多的笔记本无线都进入了11n时代，802.11n将成为市场的主流已毋庸置疑。1) 802.11n技术的先进性新兴的802.11n在吞吐量上有比较大的突破，是下一代的无线网络技术的标准，提供了对于带宽敏感应用所需的速率、范围和可靠性等方面的保障。2) 802.11n的优越性n 传输

27、速率大幅提升802.11n可以将wlan的传输速率由目前802.11g提供的54mbps/108mbps提高到300mbps。即在理想状况下，802.11n将可使wlan传输速率达到目前传输速率的10倍左右，拷贝需要30分钟时间的视频文件，在最高数据传输率上，用802.11b拷贝文件需要耗时42分钟。n 覆盖范围更大802.11n采用智分天线技术，通过多组独立天线组成的天线阵列系统，动态地调整波束的方向，802.11n保证让用户接收到稳定的信号，并减少其它噪音信号的干扰，覆盖范围提供出众的全家覆盖，消除死角，这使得原来需要多台11g设备的地方，只需要一台11n产品就可以了，不仅方便了使用，还减

28、少了原来多台11g产品互联通时可能出现的信号盲点，移动性大大增强。n 全面兼容各标准802.11n采用软件无线电技术解决了不同标准采用不同的工作频段、不同的调制方式造成系统间难以互通、移动性差的问题，这样，不但保障了与以往的802.11a、11b、11g标准的兼容，而且还可以实现与无线广域网络的结合，极大的保护了用户的投资。6. 常见的无线局域网拓扑结构无线局域网由无线网卡、无线接入点(ap)、计算机和有关设备组成，利用天线发送信息，而无线接入点则接收与发送信息，通过以太网线连接用户计算机和公共网络。通常采用单元结构，将整个系统分成许多单元，每个单元称为一个基本服务组 (basic servi

29、ce set, bss)，bss的组成通常有以下两种形式：一种是ad-hoc模式，点对点的直接连接方式；一种是infrastructure模式，通过接入点相连接的方式。1) ad-hoc模式ad-hoc模式ad-hoc模式是一种分布对等模式，它没有中枢链路基础结构，至少包括两个无线站点，可以是点对点也可以是点对多点，这种模式基本满足控制一个较小的区域。ad-hoc模式，如下图所示：2) infrastructure模式infrastructure模式infrastructure模式是wlan最典型的工作模式，无线客户端可以通过无线接入器ap(access point)接入以太网共享网络资源，多

30、个ap分布在相邻的区域可实现无线客户端的移动漫游。如下图所示：7. 无线局域网的漫游 由于无线局域网传输距离的限制，因此若脱离其无线服务覆盖范围时通信便会中断，为解决此一问题须构建无缝的漫游连接。如下所示以802.11b为例以三个不重迭信道1、6、11为基础向外扩充，如此当无线网卡由信道11之覆盖区漫游至信道6之覆盖区时，便能自动切换至信道6之服务区而不中断联机。同理可再由信道6之覆盖区漫游至信道1之覆盖区。四. 校园无线局域网组网设计1. 设计目标1) 建设目的校园网wlan项目是建设数字化校园的重要组成部分之一，数字化校园是利用计算机技术、网络技术、通讯技术对学校与教学、科研、管理和生活服

31、务有关的所有信息资源进行全面的数字化；并用科学规范的管理对这些信息资源进行整合和集成，以构成统一的用户管理、统一的资源管理和统一的权限控制；把学校建设成面向校园内，也面向社会的一个超越时间、超越空间的虚拟校园。2) 在校园网有线网络上构建wlan系统wlan系统的基本构成主要包括接入点ap和接入控制器ac。结合网络情况和骨干网，以及全网集中的认证，为最终用户提供移动数据网的接入服务和相关业务服务。现有网络3) 建设范围校园无线局域网的建设覆盖范围的确定，依据以下三条准则：n 有线网络无法接入的范围主要是指室外场所，包括体育场 餐厅 楼道。这些场所是很难实现有线接入网络的，采用无线的方式就可以实

32、现大范围室外空间的覆盖，实现无线接入网络。n 有线网络使用不便或受限的室内空间主要是指各会议室、大教室、办公室、图书馆阅览室、大厅、体育馆等。这些地点空间较大，而且会有很多人同时接入网络的要求，这时采用有线的方式只能提供少量接口，不能满足该要求。在这种情况下，就非常适合用无线网络覆盖来解决，可以允许相当数量的移动设备同时访问网络。n 研究需要的范围由于该无线局域网同时要作为研究试验网，因此一定要覆盖到研究需要的范围。综上所述，校园网的无线应用范围如下：室内：利用室内型ap220-e为校园热点地区，如图书馆、餐厅等场所提供无线互联网接入；室内型ap应用于办公楼、教学楼、小型会议厅等场所提供无线办

33、公网、互联网接入；室内型ap220-e还可应用于学生公寓，为学生提供无线校园网、互联网接入。室外：利用室外型无线ap220-h实现对校园分散的教学楼之间的操场等户外场所，为用户提供无线网络连接服务，利用室外型ap220-h对广场、操场以及室外休憩等场所的覆盖，提供校园网、互联网接入。2. 无线局域网设计原则根据校园的实际情况，考虑用户需求、覆盖范围、用户密度、建筑结构、业务构成等各方面的需求，校园无线局域网建设的主要是作为校园有线网络的补充，利用无线网络技术进一步扩展对学校各个大楼和室外部分区域的覆盖范围，使全校师生在学校内部能够随时随地、方便高效地使用校园网络资源；促进教学和科研发展，进一步

34、拓展研究空间；提升校园网络环境，提高管理水平和效率，推动学校信息化建设。因此，在设计网络方案时根据下列原则进行学校无线局域网的设计：n 侧重实际应用，覆盖范围要求覆盖学校内大部分区域，尤其是包括各会议室、办公室、图书资料室和大厅等教学楼、会议室和体育场场等有线网络不易覆盖的区域，为教学和学习生活提供切实可用的无线网络环境；n 采取通行的网络协议标准：目前无线局域网普遍采用802.11系列标准，因此校园无线局域网将主要支持802.11a/b/g/n标准以提供可供实际应用的相对稳定的网络通讯服务；n 全面的无线网络支撑系统，以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题；n 保证网

35、络访问的安全性；n 安全、认证、管理要求。为了阻止非授权用户访问无线网络，以及防止对无线局域网数据流的非法侦听，无线网络要具有相应的安全手段，主要包括：物理地址（mac）过滤、服务区标识符(ssid)匹配、有线等效保密（wep）、二层隔离、wpa支持等。3. 校园无线局域网设计整体架构校园无线局域网设计可以分为室内无线局域网及室外无线局域网二部分，室内室外无线网络都可以和校园的原有的有线网络组成一个整体，校园网原有的网络系统基本不需要改变，新增的无线局域网可以作为校园网络系统的一个补充，相辅相成。校园网络的无线接入层，我们建议室内覆盖使用星网锐捷公司的ap220-e的无线解决方案；室外覆盖采用

36、室外专用有防雷防水设计的ap220-h作为校园网室外接入的补充。如上图示，包括无线局域网的校园网总体构包括三部分：n 原有校园有线网络：基本保持原状n 室外无线局域网：直接将室外专用ap连接校园有线网络n 室内无线局域网：采用瘦ap的部署方式便于管理 维护和扩展n 室内无线局域网设计校园室内无线局域网通常无线接入场所和用户数较多，需要无线ap的数量也较多，对ap的管理、漫游、性能、可靠性要求较高，我们选择ap220-e一体化有线/无线解决方案，相应产品为无线交换机rg-s2924、无线瘦ap220-e。1) 一体化有线/无线解决方案特点n 布署方式灵活ac5302集合了无线控制器功能，具有灵活

37、的布署方式：l poe交换机供电方式：集中采用ap连接到poe交换机统一供电，将有线网络和无线网络物理隔离，更有效的统一管理apl 本地供电方式：利用现有的有线采用本地供电，好处是可以节约资源缺点是不便于维护和管理n 集中策略管理集中统一的ap配置管理、性能管理、安全管理、软件升级等；n l2/l3快速漫游统一访问系统可以支持二层/三层漫游，用户在跨三层漫游时可以不用改变ip地址也不用重新做安全认证，可以ip通道的方式实现无缝的漫游，可以适用于要求非常苛刻的应用如voip等。三层漫游功能也是业界区分产品或解决方案级别的一个重要的标志 。n 高性能统一访问系统具有业界领先的高性能，主要表现在以下

38、几个方面：l rg-2924全千兆接口，具有很高的交换性能；l ap220-e/ap220-h支持ieee802.11b/g标准，采用独特的硬件技术实现最高速率可达300m；l ap负载均衡：无线交换机会在所管辖的ap间实施负载均衡，以最好的提高无线性能；l qos：统一访问系统支持带宽控制等多种qos措施以提高使用效能；llllll rg2924使用全千兆接口，支持未来802.11n的更高速传输，可以更好地保护用户投资；n 支持poerg2924交换机支持802.3 poe以太网供电功能，对无法在本地提供电源的ap布署点来说提供极大的方便；也可以对其它的设备如ip摄像头等进行供电，大大简化管

39、理及安装工作。n 自动信道及功率调整l 自动信道调整功能：当有新的ap加入到网络或现有ap被移除时，能根据周围ap占用信道情况，自动选择非重叠信道，以提高无线传输效率；l 自动功率调整功能：使用独特的算法自动调整ap的发射功率，满足无线客户端的使用要求，而不会与其它ap互相干扰。n 无线网络自愈功能统一访问系统具有无线网络自愈功能，不仅能根据预先的设置周期性的检测周围相邻ap的信号状态实现ap的功率的自动调整，当ap断电或损坏时相邻的ap还可以自动增大发射功率以提高覆盖范围来替代出现故障的ap，尽可能减少对无线网络的影响。n vap支持ac5302支持802.1q vlan功能，我们将不同的s

40、sid与vlan vid进行映射，实现在同一个ap上将不同的ssid接入的pc自动划分到不同的vlan功能，而不同的ssid可以使用不同的安全设置。n 无线ap可从独立管理型升级变为集中管理型无线ap可从独立管理型升级变为集中管理型这种方式可以节约用户重复投资成本，当网络规模小时可以采用ap220-e独立管理模式；当无线网络规模扩展到一定程度时，利用无线交换机对无线ap集中管理；当网络中的无线ap负载变大时，通过无线交换可以方便地增加无线ap。n 增强的安全功能l 非法ap管理功能：将搜索到不在交换机管理数据库的ap列为非法ap，通过了解非法ap的信息如mac/ssid/ channel等让管

41、理者更好的控制环境；l 无线的安全功能u 可管理的ap的mac地址过滤u 无线客户端的mac地址过滤u wep（动态/静态）u wpa企业/个人u wpa2企业/个人u 多ssid/802.1q标记功能u ssid广播关闭功能ul 有线的安全功能u acl访问控制列表u 802.1xu dos控制功能u 基于端口安全2) 校园网室内无线覆盖网络拓朴及说明n 无线交换机本地供电组网模式无线交换机本地供电组网模式适合于已有有线网络、无线ap布点较分散的校园网应用场所。本地供电组网模式的布署方式为将无线ap连接在已有的接入交换机上，将无线交换机置于机房或数据中心来执行中央控制功能实现远程对ap的控管

42、，这种布署方式对原有有线网络可以做到网络结构的最少改动，保护用户原有网络的投资。 n 无线交换机poe交换机供电组网模式无线交换机poe交换机供电组网模式适合于无线ap布点较多且较集中的校园网应用场所。poe交换机供电组网模式的布署方式为将无线ap直接连接在布放于网络机房的无线poe交换机，这种边缘接入的布署方式对无线ap的数量扩展具有很大容量扩展性，无线的运算效能也更高，且可以由无线交换机实现对ap的poe供电，全千兆交换机端口也可以满足未来向802.11n瘦ap升级换代的高速无线交换。4. 室外无线局域网设计校园网的室外无线覆盖的解决方案主要应用于校园需要室外无线覆盖的场合，如学校的操场以

43、及室外休憩纳凉场所、道路等室外热点地区，通过使用大功率室外型ap为用户提供园区网的访问及互联网的接入。我们推荐采用ap220-h室外型大功率多用途ap。1) ap220-h室外专用无线产品特点n 符合802.11g 54m无线标准，兼容802.11b，还支持802.11a标准n 支持 64/128/152位wep及wpa tkip/psk最新无线安全标准n 支持802.1x 用户认证安全标准n 自适应无线速率选择 1,2,5.5,6,9,11,12,18,24,36,48,54,300mbpsn 输出功率可调n 支持无线 ap、wds、wds with ap等工作方式n 支持802.3 poe

44、以太网供电标准n 专为户外环境设计，具有防水防尘防雷等功能，适于各种恶劣环境2) 室外无线覆盖网络拓朴及说明如图示，室外的无线覆盖可以将室外专用无线产品ap220-h布放于建筑物的顶部或边缘、室外立杆等处与有线网络连接在一起。这样，室外的无线用户在相应的无线覆盖区域就可方便地连接到园区网或因特网，给用户提供极大的方便。室外覆盖组成：室外型大功率ap增益天线应用场景：通过室外信号覆盖室内，兼顾室外覆盖适用场景：室外信号覆盖需求的地方；无法建设wlan信号室内覆盖的地方；需要快速实现wlan信号覆盖的地方室外ap布署的频率规划3) 信道的规划802.11b/g/a使用开放的2.4ghz ism频段

45、，可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠，对于真正相互不重叠信道只有相隔5个信道的工作中心频点。因此对于802.11g在2.4ghz工作频段，理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。因此我们设计的室外无线ap的覆盖频率采用1、7、13这三个频道对无线网络覆盖区域提供无线信号，配合无线发射功率的调整等措施来减少同频干扰从而实现较理想的覆盖效果，各个无线信道分布范围如下图所示：五. 无线局域网的安全1. 无线局域网安全概述无线网络的架设与规划已为近来非常热门的话题，无线网络相关产品越来越成熟，而价格方面也非常地有吸引力，所以现在无

46、线网络的应用，在大多数的学校、机关单位、企业都可以看到。 但是，无线网络的方便性也带来了无线网络的安全问题：无线网络，顾名思义就是利用空气(空间)取代网络线来传递数据，无线网络使用者只要在无线电波的涵盖范围内，就可以如同已往使用网络线来连上网络一样方便；换句话说，任何人在电波范围内(可能是不同层楼或停车场)也一样可以使用企业内部网络了！而且任何人也可以很方便的看到其它人在传输的数据。 从另一个角度来看，会不会有人私自把ap接上现有的网络上，自己创造一个私人的无线网络环境呢？2. 无线网络需要解决的三个安全问题为了安全地使用无线网络，我们需要解决以下与无线网络安全相关的三个问题：n 确定无线网络

47、的使用者是被允许的(认证使用者)； n 数据传输时需要保密(加密)； n 防止非法无线网络基地台连上网络。3. 无线网络的安全措施现在的无线网络在安全方面具有多种技术，我们可以根据具体需求灵活实施一种或多种安全技术来实现无线网络的安全要求，以下逐一介绍无线网络的各种安全技术：1) ssid服务识别码ssid(服务识别码)是一个可供设定的字符串，用来区分不同的无线网络区域，设定正确ssid的使用者才可以跟无线网络基地台(wireless access point)通讯。锐捷网络所提供的ap/网桥产品均支持ssid广播的开启和关闭功能，若关闭ssid广播，无线客户端若不知道ssid(服务识别码)内

48、容则无法联入无线网络，从而增加了网络的安全性。锐捷无线产品还支持多ssid功能，并且能把ssid与802.1q vlan的vid进行捆绑，从而实现802.1q vlan的安全性。2) 有线等价加密 (wep)由于无线局域网的特性，保护对网络的物理访问比较困难。与需要物理连接的有线网络不同，无线 ap 范围内的任何人都可以为所欲为地发送和接收帧以及侦听发送的其他帧，这使得无线局域网帧很容易被窃听和远程探查。有线对等保密 (wep) 由 ieee 802.11 标准定义，旨在提供与有线网络等效的数据机密性。wep 通过加密无线节点之间发送的数据来提供数据机密性服务。在 802.11 帧的 mac

49、标头中设置 wep 标志即表示对 802.11 帧进行了 wep 加密。wep 通过在无线帧的加密部分包括完整性校验值 (icv) 来提供随机错误的数据完整性。3) ieee 802.1xieee 802.1x 标准定义了基于端口的网络访问控制，用于为以太网提供经过身份验证的网络访问。这种基于端口的网络访问控制使用交换式局域网基础结构的物理特性对连接到局域网端口的设备进行身份验证。如果身份验证过程失败，则拒绝它们访问该端口。尽管此标准是为有线以太网设计的，不过它已经得到了修改，可以在 802.11 无线局域网上使用。ieee 802.1x 定义了以下术语：端口访问实体、身份验证者、申请者、身份

50、验证服务器等。下图显示了无线局域网的这些组件。n 端口访问实体局域网端口又称端口访问实体 (pae)，是支持与端口关联的 ieee 802.1x 协议的逻辑实体。pae 可以是身份验证者角色、申请者角色或者同时是这两种角色。n 身份验证者身份验证者是一个局域网端口，该端口在允许访问可通过此端口访问的服务前强制执行身份验证。对于无线连接，身份验证者是无线 ap 上的逻辑局域网端口，基础结构模式中的无线客户端通过此端口获得对其他无线客户端和有线网络的访问。 n 申请者申请者也是一个局域网端口，此端口请求访问可通过身份验证者访问的服务。对于无线连接，申请者是无线局域网适配器上的逻辑局域网端口，该端口

51、通过将自身与身份验证者关联并向身份验证者验证它自身来请求对其他无线客户端和有线网络的访问。无论对于无线连接还是有线以太网连接，申请者和身份验证者都通过逻辑或物理的点到点局域网段进行连接。n 身份验证服务器为验证申请者的凭据，身份验证者使用了身份验证服务器。身份验证服务器代表身份验证者检查申请者的凭据，然后对身份验证者做出响应，指示是否授权申请者访问身份验证者的服务。n 受控端口和非受控端口身份验证者基于端口的访问控制定义了以下不同类型的逻辑端口，这些端口通过单个物理局域网端口访问有线局域网：非受控端口 非受控端口允许身份验证者（无线 ap）与有线网络上的其他联网设备之间进行不受控制的交换，无论

52、无线客户端的授权状态如何。无线客户端发送的帧从不使用非受控端口发送。受控端口 只有在无线客户端得到 802.1x 的授权时，受控端口才允许在无线客户端和有线网络之间发送数据。在进行身份验证之前，交换机打开，并且无线客户端和有线网络之间不会转发任何帧。在使用 ieee 802.1x 成功验证无线客户端后，交换机关闭，并且可以在无线客户端和有线网络上的节点之间发送帧在执行身份验证的以太网交换机上，身份验证一旦完成，有线以太网客户端就可以将以太网帧发送到有线网络。交换机使用以太网客户端连接到的物理端口来识别特定有线以太网客户端的通信。通常，以太网交换机上的一个物理端口仅连接一个以太网客户端。由于多个

53、无线客户端竞相访问同一信道并使用同一信道发送数据，因此需要扩展基本 ieee 802.1x 协议，以使无线 ap 能够识别特定无线客户端的安全通信。这由无线客户端和无线 ap 通过相互确定每客户端单播会话密钥来完成。只有经过身份验证的无线客户端知道它们的每客户端单播会话密钥。如果成功的身份验证未能关联有效的单播会话密钥，无线 ap 将丢弃从无线客户端发送的通信。 为了对 ieee 802.1x 提供一个标准的身份验证机制，我们选择了可扩展身份验证协议 (eap)。eap 是一个基于点对点协议 (ppp) 的身份验证机制，它已经得到了修改，可在点对点局域网段上使用。eap 消息通常作为 ppp

54、帧的有效负载发送。为了修改 eap 消息使其能够通过以太网或无线局域网段发送，ieee 802.1x 标准定义了 eap over lan (eapol)，这是封装 eap 消息的一种标准方法。目前友讯网络所提供的全线wlan产品均支持802.1x身份验证标准。4) wpa (wi-fi protected access)wpa包含了认证、加密和数据完整性校验三个组成部分，是一个完整的安全性方案。wpa的认证分为两种。第一种采用802.1x+eap的方式，用户提供认证所需的凭证，如用户名密码，通过特定的用户认证服务器（一般是radius服务器）来实现。在大型企业网络中，通常采用这种方式。但是对

55、于一些中小型的企业网络或者家庭用户，架设一台专用的认证服务器未免代价过于昂贵，维护也很复杂，因此wpa也提供一种简化的模式，它不需要专门的认证服务器。这种模式叫做wpa预共享密钥(wpa-psk)，仅要求在每个wlan节点(ap、无线路由器、网卡等)预先输入一个密钥即可实现。只要密钥吻合，客户就可以获得wlan的访问权。wpa采用tkip为加密引入了新的机制，它使用一种密钥构架和管理方法，通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24位增加到48位等方法增强安全性。而且，tkip利用了802.1x/eap构架。认证服务器在接受了用户身份后，使用802.1x产生一个唯

56、一的主密钥处理会话。然后，tkip把这个密钥通过安全通道分发到ap和客户端，并建立起一个密钥构架和管理系统，使用主密钥为用户会话动态产生一个唯一的数据加密密钥，来加密每一个无线通讯数据报文。tkip的密钥构架使wep静态单一的密钥变成了500万亿个可用密钥。虽然wpa采用的还是和wep一样的rc4加密算法，但其动态密钥的特性很难被攻破。消息完整性校验(mic)，是为了防止攻击者从中间截获数据报文、篡改后重发而设置的。除了和802.11一样继续保留对每个数据分段(mpdu)进行crc校验外，wpa为802.11的每个数据分组(msdu)都增加了一个8个字节的消息完整性校验值，这和802.11对每

57、个数据分段(mpdu)进行icv校验的目的不同。icv的目的是为了保证数据在传输途中不会因为噪声等物理因素导致报文出错，因此采用相对简单高效的crc算法，但是黑客可以通过修改icv值来使之和被篡改过的报文相吻合，可以说没有任何安全的功能。而wpa中的mic则是为了防止黑客的篡改而定制的，它采用michael算法，具有很高的安全特性。当mic发生错误的时候，数据很可能已经被篡改，系统很可能正在受到攻击。此时，wpa还会采取一系列的对策，比如立刻更换组密钥、暂停活动60秒等，来阻止黑客的攻击。友讯网络所提供的主流wlan产品均支持wpa，而其他产品也可以通过软件升级支持wpa。5) mac地址过滤ap还可以通过设置