校园无线局域网设计书

1、陕西国防工业职业技术学院北校区无线局域网设计书 2011-9-5 计算机教研室制目 录1、 前言32、 需求分析3 2.1 业务需求分析3 2.2 网络功能需求分析4 2.3 网络性能需求分析6 2.4 安全性需求分析73、 设计方案 8 3.1 设计原则8 3.2 设计思想9 3.3 技术标准9 3.4 设计拓扑图10 3.5 无线覆盖方案11 3.6 无线网络地址和路由规划12 3.7 设备的选取13 3.8 安全防范14 3.9 注意事项15参考文献 16前 言随着当代科技的发展，计算机用户日益增多，用户要求互连的计算机数量不断增加，类型也更为复杂。但传统的有线网络由于受到设计或环境条件

2、的制约，在物理、逻辑和资金方面普遍存在着一系列的问题，特别是当涉及到网络移动和重新布局时，所以发展一种可行的无线通信技术作为现有的数据连接扩充已成为一种需要。自从上个世纪90年代以来，随着个人数据通信的发展，为了实现任何人在任何时间、任何地点均能实现数据通信的目标，要求传统的计算机网络由有线向无线，由固定向移动，由单一业务向多媒体发展，更进一步推动了无线局域网（wlan）的发展。与有线局域网相比较，无线局域网具有移动性高、传输距离长、网络保密性好、开发运营成本低、易扩展、受自然环境影响小，组网方式灵活、管理方便 等优点，弥补了传统有线局域网的不足。2.1 业务需求分析国防学院北校区面积约为70

3、0亩，建筑面积为20万平方米，现有在校学生约7000多人，教职工500多人，现有主要建筑有5大区域，分别是教学楼区域、图书馆区域、建筑实验楼区域、学生宿舍区域、教师宿舍区域、学生餐厅区域。结合学院实际情况，学院信息化建设工作的核心目标在于充分利用信息技术，建立多层次、高可靠、可管理、可运营的开放式的数字化校园，促使其提高办学质量和效益。2.2 网络功能需求分析无线教学服务功能：通过无线校园网络覆盖教学楼及些校内公共课教学环境，如计算机公共机房、多媒体教室等。为广大师生提供了一个更为有效的网络互动平台，加强了学习生活的交流，同时为学生在教室内的自习提供一个方便的查询资料的网络环境。只要教师拥有一

4、部上网本，就可以很方便地把它拿到教室或实验室或室外进行教学和演示；或者可以让学生们用它来就地查阅网上资料或递交电子文档的作业等。这样的带无线网络的教学上网本可以在整个校园内移动，其网络连接都不会中断，这样可以十分方便地创造“移动教室”。无线信息交流功能：无线信息交流功能主要有两个方面的服务功能：互联网信息服务和校内信息服务。互联网信息服务可以在校园内任何一个地方实现网上浏览、查询信息的功能，使教师能够拓宽视野，充分利用互联网上的资源辅助教学，提升教学理念，提高教师的教学能力、教学水平和科研能力。可以充分利用互联网资源来宣传学校，展示学校的办学能力与办学水平，展示教师的教学能力与科研能力，提升学

5、校的办学形象。校内信息服务能为教育教学和管理决策提供各项信息服务，能为全校师生提供相互交流、相互学习的平台。学校管理功能：无线校园网使学校建立完善及时的信息发布体系，在此基础上可以实现学校管理的透明化、高效化、公平公正化。学校管理功能主要有以下几个方面。（1）网上办公系统。（2）教务管理系统。（3）学生管理系统。（4）行政办公系统。（5）财务管理系统。（6）后勤管理系统。（7）图书管理系统。（8）校园网一卡通。校园无线网络的语音和视频应用：基于无线宽带网络的基础上，可以考虑其他的应用。比如voip，就是在无线局域网范围内，可以使用支持ieee802.11协议的无线终端设备如手机、pda或poc

6、ketpc等来进行语音交流。这一全ip的无线语音系统将具有巨大的应用前景。还可以利用无线网络进行室外视频的实时转播，完全摆脱有线的束缚。无线应急系统：在出现需要突发性大规模网络服务要求的场合，提供临时性的无线网络服务，满足用户对网络的需求。 校园信息化建设一直是高质量、高效率教学办公的保障，随着802.11g无线局域网技术和无线产品的成熟，无线网络的应用将会为网络化学习、教学开创新的应用模式；利用无线网络实现校内信息的发布、共享、传递，推进教学及管理信息化，拓展学生的知识面。而有线网络只能提供师生们固定的、有限的网络信息点，随着时代的进步，笔记本电脑的普及，师生们希望不仅仅是在实验室才能将他们

7、的计算机连上网络，而在校园的草坪上、宿舍区、学术报告厅里、图书馆的任何一个角落都能将他们的笔记本电脑随时随地、随心所欲的联入校园网或internet、不愿再受有线的束缚。2.3 网络性能需求分析高性能的ipv6和ipv4无线接入中国下一代互联网项目（cngi）正在顺利展开，基于纯ipv6的骨干网在cernet已经建设完成并可以提供接入服务。现在建设高校无线网络，除了要考虑对现有ipv4网络终端的无线接入，满足当前高校师生对无线网络的需求外；又要支持高性能的ipv6的用户接入，以适应网络发展趋势，并保护网络投资。可分级的一体化网络管理系统： 有线、无线网络管理相结合，集中与分布式管理相结合，为运

8、营维护提供高效率和低成本。支持用户全网漫游：校园无线网络应支持用户全网快速、安全、无缝漫游，保证用户在园区移动过程中可以保证ip地址不变、网络连接不间断、应用会话不间断，从而保证用户网络应用在移动中的不间断性。2.4 安全性需求分析 与有线网络相比较，无线局域网的安全问题集中在以下两方面：物理安全与存在的威胁物理安全：无线设备包括站点（sta，station）和接入点（ap，access point）。站点通常由一台pc机或笔记本电脑加上一块无线网络接口卡构成；接入点通常由一个无线输出口和一个有线的网络接口构成，其作用是提供无线和有线网络之间的桥接。物理安全是关于这些无线设备自身的安全问题。首

9、先，无线设备存在许多的限制，这将对存储在这些设备的数据和设备间建立的通信链路安全产生潜在的影响。与个人计算机相比，无线设备如个人数字助理（pda）和移动电话等，存在如电池寿命短、显示器小等缺陷。其次，无线设备虽有一定的保护措施，但是这些保护措施总是基于最小信息保护需求的。因此，有必要加强无线设备的各种防护措施。存在的威胁：由无线局域网的传输介质的特殊性，使得信息在传输过程中具有更多的不确定性，受到影响更大，主要表现在：a) 窃听。由于无线局域网使用2.5g范围的无线电播进行网络通讯，任何人都可以用一台带无线网卡的pc机或者廉价的无线扫描器进行窃听，但是发送者和预期的接收者无法知道传输是否被窃听

10、，且无法检测窃听。b) 修改替换。在无线局域网中，较强节点可以屏蔽较弱节点，用自已的数据取代，甚至会代替其他节点作出反应。c) 传递信任。当校园网络包括一部分无线局域网时，就会为攻击者提供一个不需要物理安装的接口用于网络入侵。但在无线网络环境下，受攻击却不能通过一条确定的路径找到这个接口。因此，参与通信的双方都应该能相互认证。d) 基础结构攻击。基础结构攻击是基于系统中存在的漏洞如软件臭虫、错误配置、硬件故障等。这种情况下也会出现在无线lan中。但是针对这种攻击进行的保护几乎是不可能的，所能做的就是尽可能地降低破坏所造成的损失。e)拒绝服务。无线局域网存在一种比较特殊的拒绝服务攻击，攻击者可以

11、发送与无线局域网相同频率的干扰信号来干扰网络的正常运行，从而导致正常的用户无法使用网络。f) 置信攻击。通常情况下，攻击者可以将自己伪造成基站。当攻击者拥有一个很强的发送设备时，就可以让移动设备尝试登录到他的网络，通过分析窃取密钥和口令，以便发动针对性的攻击。3.1 设计原则实用性：遵循面向应用，注重实效，急用先上，逐步完善的原则；充分保护已有投资，不设计成华而不实的无线网络，也不设计成利用率低下的网络，我们以实用性的原则要求为依据，建设具有最低的tco（拥有的总成本最低），有最高的性价比的校园无线局域网络。先进性：采用先进成熟的网络概念、技术、方法与设备，反映当今先进水平，又给未来的发展留有

12、余地；充分采用目前国际、国内流行和成熟的技术，保证网络能适应技术的快速发展。可靠性：系统必须可靠运行，主要的、关键的设备应有冗余，一旦系统某些部分出现故障，应能很快恢复工作，并且不能造成任何损失。开放性：选择的产品应具有好的互操作性和可移植性，并符合相关的国际标准和工业标准；无论发生任何变化，均能够最大可能性的开放标准。可扩充性：系统是一个逐步发展的应用环境，在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能，这种扩充不仅能充分保护原有资源，而且具有较高的性能价格比；可维护性：系统具有良好的网络管理、网络监控、故障分析和处理能力，使系统具有极高的可维护性；安全性：必须具有高度

13、的保密机制，灵活方便的权限设定和控制机制，以使系统具有多种手段来防备各种形式的非法侵入和机密信息的泄露。 3.2 设计思想建议校园网wlan采用思科公司集中管理架构下的“瘦ap”无线网络架构，以保证无线网络可管理性、安全性、qos、无缝漫游等功能需求，尤其是方便未来的运维管理。建议网络部署应该结合高校的实际情况，采用室内、室外多种无线接入方式相结合的方式，以满足高校楼宇多、广场多的特点。如在必要的时候采用室外mesh wlan技术通过无线回传技术解决有线网络传输距离的合布线难度的问题。同时由于采用室内、外多种无线接入手段在满足无线覆盖的前提下，可以节省无线接入点的数量，从而提高无线网络的性价比

14、。校园无线网络在满足现有网络应用的同时，保证对未来网络技术和应用的支持，如ipv6、无线话音、无线视频、组播等技术的支持，以满足高校教学和科研的要求。为满足高校网络的安全性，建议校园无线网络采用独立的有线网络系统实现无线接入点的互联，同时本次无线网络在满足用户接入安全认证、加密的同时，支持无线射频的安全防护功能。 3.3 技术标准 ieee802.11系列标准（由最初的802.11标准到现在的802.11v标准，已有24个标准规范。）各信号输出点信号强度1015dbm；将按照2.4g工作频段2.4122.462ghz（fcc）分为channel1、channel6、channel11三个完全不

15、干扰频段设计；目标覆盖区域信号强度-80dbm。1、一般来讲室内容许最大覆盖距离为35100米，室外容许最大距离100400米2、障碍物阻挡要观测无线覆盖周围的障碍物确定ap的数量和放置位置。2.4g电磁波对于各种建筑材质的穿透损耗的经验值如下：a. 水泥墙(1525cm): 衰减1012dbb. 木板墙(510cm): 衰减56dbc. 玻璃窗(35cm): 衰减57db各种建筑材料对无线讯号的影响如下：当ap与终端隔一座水泥墙时,ap的可传送覆盖距离约剩下 5米有效距离。当ap与终端中间隔一座木板墙时, ap 的传送距离约剩下 15米有效距离。当ap与终端中间隔一座玻璃墙时, ap 的传送

16、距离约剩下 15米 有效距离。所以在安装选点时，一定要注意以避开墙、柱子等。 3.4 设计拓扑图 3.5 无线覆盖方案覆盖区域：无线网络设计实现全校范围无线网络接入环境，其中包括教学楼、学生和教师公寓、办公楼、餐厅、图书馆、体育馆、室外场所等。覆盖方式：在覆盖区域内，选择教学楼和办公楼为主，其他区域为辅的覆盖方式，实现全校整体无线覆盖，具体分为室内覆盖和室外覆盖两种方式。室内覆盖 室内覆盖规划原则： ap的放置要遵循两个原则ap覆盖区域无间隙； ap重叠区域最小。相邻ap工作在不同频道，实现全方位的覆盖。 根据经验值，当相邻ap设定相同频点时, 要求间隔25米以上；当相邻ap设定相邻频点时,

17、要求ap间隔16米以上；当ap设定相隔频点时, 要求间隔12米以上。室外覆盖 室外设备的ap使用数量大概也遵循室内的条件，但外ap的放置和设计又有它的独特性主要包括： 天线的使用天线的正常使用包括对天线增益和天线类型的选择。 对室外设备特殊要求室外设备应该放置在密封盒内；天线布置应该增加避雷器防止雷击； 不提供本地供电的场所，应尽量选用poe远程供电设备；3.6 无线网络地址和路由规划由于ap连接在现有校园网的接入交换机，则ip地址由现有校园网有线端提供，虽然从原理上来讲ap和无线控制器的ap-manager只要ip可达即可创建并维护数据/控制隧道，但是从性能/可管理性等角度出发，建议在满足下

18、列条件的前提下可以将ap接入现有网络交换机： ap和无线控制器的ap-manager之间端到端环回延迟(round trip delay)100毫秒局域网交换环境均能实现 ap不与一般有线网络设备混合在一个vlan中，避免有线设备的异常流量阻断ap和无线控制器之间的通讯 连接在同一交换机端口下的所有ap，建议放置在一个受保护的vlan中，部署时统一分配给这些ap静态ip地址需要修改现有交换机的vlan参数设置，现有交换机的路由设置用户终端ipv6地址设计按ipv6常规单播地址规划方式分配，前64比特作为prefix，对应不同学校和vlan；后64比特对应终端，对应不同主机、终端或接口。主机地址

19、采用auto configuration方式，采用eui-64地址方式映射传统mac地址controller/ap需要打开ipv6 pass-through功能和以太网组播穿过支持功能整个lwapp隧道对包括icmpv6在内的ipv6的传输是透明的终端和sup720路由引擎之间采用autoconfig或在相应vlan内使用dhcpv6都可以。无线网络设备ipv6地址设计当前无线部分无需设置ipv6地址 当前无线部分对ipv6的支持是穿透方式的 将来很快我们会支持在native ipv6的网络上实现lwapp等机制 而在当前无线部分无需设置ipv6地址sup 720的vlan路由虚端口和对外ce

20、rnet2的相关端口需要分配ipv6地址 ipv6的无线客户端可以被看做是被透明连接到6500 sup720的不同vlan上的ipv6终端 靠6500丰富的双栈支持实现ipv6的高性能传输 因此sup 720的vlan路由虚端口和对外cernet2的相关端口需要分配ipv6地址和做相关ipv6路由设置ipv4和ipv6组播地址规划还需根据组播应用需求进行进一步考虑3.7 设备的选取无线ap : cisco air-ap1242ag-c-k9、cisco aironet 1042两种cisco air-ap1242ag-c-k9参数：网络标准ieee 802.11a/ieee 802.11b/i

21、eee 802.11g传输速率54,48,36,24,18,12,9,6,5.5,2,1mbps频率范围2.4122.462ghz(fcc)2.4122.472ghz(etsi)2.4222.452ghz(以色列)2.4122.484ghz(telec)传输距离290m管理snmp标准mib 1和mib iiweb安全ul 1950, csa 22.2 no. 950-95, iec 60950, en 60950, 支持静态和动态 ieee 802.11 wep 40位和128位密钥, 支持wep增强cisco aironet 1042参数：网络标准 ieee 802.11a/b/g 、ie

22、ee 802.11n、ieee 802.11h、ieee 802.11d 传输速率 300mbps 频率范围 2.4ghz-5ghz， 信道 20mhz和40mhz信道 端口类型 10/100/1000base-t自感(rj-45) 管理控制台端口(rj-45) 路由引擎： 6500 sup720 无线基站 避雷针室外天线：cisco air-ant1949cisco air-ant1949参数：天馈系统类型 板状定向天线 工作带宽 83mhz 频率范围 2400-2483 mhz 极化方向 垂直极化 其他参数 增益: 22dbi大致覆盖范围(2mbps): 29.49公里 大致覆盖范围(11

23、mbps): 18.01公里大致覆盖范围(54mbps): 227公里 工作温度 -20 - 50 工作湿度 0 - 100% 存储温度 -2070 存储湿度 5% - 95% 3.8 安全防范无线局域网的安全认证在无线客户端和无线ap交换数据之前，它们之间必须先进行一次对话。在802.llb标准制定时，ieee在其中加入了一项功能：当无线客户端和无线ap对话后，就立即开始认证工作，在通过认证之前，设备无法进行其他关键通信。这种认证方式有两种：开放认证和共享密钥认证。开放认证开放认证方法是802.nb标准中默认的认证方式，在明文状态下进行认证，认证过程：客户端向ap发送认证请求，ap确认认证，

24、注册客户端；客户端发送连接请求给ap，ap确认请求，注册客户端。通常ap的开放认证有三种策略：第一种策略为默认方式，允许任何客户端认证；第二种是只允许认证带有合法服务器标识id(实际为ssid)的客户端，ssid相当于密码的作用;第三种是ap只允许认证mac地址在ap的访问控制列表中的客户端。共享密钥认证共享密钥认证是基于wep共享密钥的认证方法，前提是客户端和ap中己经预先手动设置好了共享密钥，共享密钥认证与开放认证相似，只不过它使用wep对认证过程进行加密，因而其安全性要高于开放认证。无线局域网的加密技术加密技术是网络安全的一项重要技术。ieee为无线局域网提供了三种安全性保护协议:wep

25、、tkip、ccmp。主要的方法有无线局域网eap策略、无线局域网鉴别与保密基础架构wapi以及ieee802.11标准中的wpa等等。其中wapi是我国自主研发的、拥有自主知识产权的无线网络安全标准而tkip主要进行无线网络产品的互通性测试。然而，这些还联够，还需要一些增强方法和策略等。 选择无线局域网安全策略的原则 确保无线局域网安全可以说“三分靠技术，七分靠策略”，无线局域网部署中要适当应用安全技术，合理选择安全策略。在部署无线局域网时，只要结合自身的网路安全实际需求，合理选择无线局域网的安全策略，提供足够的网络安全防护，就可以安心的享受无线接入的便捷，同时也能保证重要数据的安全。 3.9 注意事项1无线局域网不可能