校园WIFI项目技术方案

1、校园标准化无线WIFI项目方案xxx有限公司 目 录1 引言32 网络建设原则32.1 全面性32.2 可管理性32.3 安全性32.4 可扩展性42.5 经济性和实用性43用户需求44 WIFI的覆盖设计规划44.1无法覆盖的网络规划4网络规划4布线规划54.2覆盖区域AP及设备数量64.3主要设备介绍7无线控制器AC7单频AP134.3.3 PoE交换机161 引言随着互联网及其应用的高速发展，无线网络、智能终端的普及，无线网络使用需求日益增大，原有的网络访问习惯及网络设施已经难以满足教师及学生现在以及未来对网络的使用需求。同时为了帮助校园实现移动办公，提高工作效率。本工程计划在学校的办公

2、楼、教学楼、艺术楼、图书馆、体育馆等办公场所内进行WIFI信号覆盖。2 网络建设原则2.1 全面性 无线网络覆盖设计不仅要保证覆盖区域无线网络的全面性、稳定性，还要能够适应今后高带宽的要求，满足日益增长的业务量需求及设备、服务的更新要求。2.2 可管理性 可以对网络进行在线监控，随时了解无线网络的“健康状态”，快速定位并排除故障，并能对网络带宽进行资源优化，实现流量负载均衡、合理分配，提高网络的高利用率。2.3 安全性 无线网络系统提供多种有效的安全加密机制，SSID用户隔离，有效降低机密泄露和蹭网盗网行为,保证无线网络的安全。2.4 可扩展性 应用的不断发展要求网络在性能、协议、网络拓扑等方

3、面具备很好的可扩展性。包含后期无线监控部署、局域网络扩大、带宽资源更新、设备服务的升级等等。2.5 经济性和实用性 完全从现有的应用需求出发，依场所环境做覆盖方案实际部署，既保证方案可行性，还能最大程度的降低建设成本。3用户需求项目需要对办公楼各办公室、教学楼教师办公室和特定课室、图书馆、体育馆等办公场所内wifi信号全覆盖建设。整个无线系统能够进行统一的中央控管，能够支持多种安全策略和认证方式，还能够方便地进行扩容；同时要求实现AP集中管理。实现教职工在整个办公楼无线覆盖范围内接入点自动切换、无线漫游，教职工无需任何过多的配置，无线网络可以根据不同用户名与密码分配不同网络带宽，有效保障无线网

4、络接入速度和良好的无线网络体验。4 WIFI的覆盖设计规划4.1无法覆盖的网络规划4.1.1网络规划l 根据环境具体需求选取合适的无线AP接入点，如大会议室选用高增益双频吸顶式AP满足高密度、高强度的无线网络需求。另外根据AP到交换机的距离不一采用不同供电方式，如：网线长度大于60米的使用DC供电方式，长度小于60米的使用PoE供电方式；l 已有有线网络且网线具体小于60米需新增无线的仅需考虑POE供电交换机、AC无线控制器、AP接入点以及当前主路由的负载能力。根据环境结构确定AP数量，吸顶式AP空旷环境覆盖直径20-30M；l 透过办公楼2楼机柜里的无线控制器（AC），统一管理、配置、监控各

5、楼层的AP；4.1.2布线规划l 局域网交换机之间根据距离确定传输介质（光纤或以太网线），大于100M的距离需使用光纤传输，收发设备可选用光纤收发器或交换机插光纤模块收发；100M范围内可使用以太网线传输。l POE供电交换机到AP之间采用标准POE供电，为保证传输质量传输距离应在60M以内，网线质量差异会产生一定衰减，推荐范围在50M以内。需合理规划供电交换机位置确保供电及数据传输稳定有效。 Xxx学校wifi案例拓扑图： xxx中学校园wifi网络拓扑图4.2覆盖区域AP及设备数量经勘查，根据用户需求规划AP及设备如下：l 每栋楼均已有网络布线，新增AP连接到新交换机，新交换机放到该楼弱电

6、机房，与学校该楼已有的接入交换机其中1个百兆电口(由学校分配)对接，利旧原接入交换机的上连通道汇聚到核心机房(高一二教学楼C栋4楼)的核心交换机后，通过学校已有的教育网专线，利用教育网的统一上网出口连上互联网。l 配置1台无线控制器AC，挂在学校已有的核心交换机上，由学校分配核心交换机1个电口接入。l 配置的AP、AC设备满足与教育局的WIFI认证平台能兼容，满足通过教育局的WIFI认证平台来进行WIFI帐号的认证。l 如果部分上连通道是学校已有的设备，因此涉及到WIFI的调通需在学校已有设备上配置的，由学校负责；本次新建的设备由电信负责。l 办公室AP量化需求： 1.办公楼： 2.教学楼：

7、3.艺术楼： 4.图书馆： 5.体育馆： 4.3主要设备介绍4.3.1无线控制器AC项目支持特性无线控制器参考参数基础性能缺省管理AP数64License步长32最大管理AP数256可配置最大AP数1024802.11MAC802.11协议簇支持多SSID(每射频口)16隐藏SSID支持11G保护支持11n only支持用户数限制支持：基于SSID、Radio的用户数限制用户在线检测支持用户无流量自动老化支持多国家码部署支持无线用户隔离支持：1、无线用户二层隔离2、基于SSID的无线用户隔离40MHz模式的20MHz/40MHz自动切换支持本地转发支持：基于SSID+VLAN的本地转发CAPW

8、AP自动输入AP序列号支持AC发现(DHCP option43、DNS方式)支持IPv6隧道支持时钟同步支持Jumbo帧发送支持AP双上行隧道链路支持通过AC配置AP基本网络参数支持：配置静态IP、VLAN、接入的AC地址等AP与AC间穿越NAT支持漫游能力同一AC内,不同AP下二、三层漫游支持不同AC间,不同AP下二、三层漫游支持接入控制Open system、Shared-Key支持WEP-64/128、动态WEP支持WPA、WPA2支持TKIP支持CCMP支持(11n推荐)WAPI可选支持SSH v1.5/v2.0支持无线EAD(终端准入控制)支持Portal认证支持：远程、外挂服务器P

9、ortal页面推送支持：基于SSID、AP的Portal页面推送Portal穿越Proxy支持802.1x认证支持：EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-MD5、EAP-SIM、LEAP、EAP-FAST、EAP offload (仅支持TLS, PEAP)本地认证支持：802.1X、Portal、MAC认证LDAP认证支持：1、支持802.1X与Portal接入2、802.1X接入时支持EAP-GTC和EAP-TLS基本位置的用户接入控制支持访客接入支持VIP通道支持ARP防攻击支持：无线SAVISSID防假冒支持：用户名与SSID绑定基于域、SSID选择AAA服务器支

10、持AAA服务器备份支持无线用户的本地AAA服务器支持TACACS+支持QoS优先级映射支持L2-L4流分类支持流量限速支持：流控粒度8Kbps802.11e/WMM支持基于用户角色(User Profile)的接入控制支持智能带宽限速-基于带宽均分算法支持智能带宽限速-基于每用户指定带宽的算法支持智能带宽保障支持：在流量未拥塞时，确保不同优先级SSID下的报文都可以自由通过；在流量拥塞时，确保每个SSID可以保持各自约定的最小带宽QoS Optimization for SVP phone支持CAC(Call Admission Control)支持：基于用户数/带宽的CAC端到端QoS支持A

11、P上行口限速支持无线资源管理国家码锁定支持静态信道、功率设置支持动态信道、功率设置支持动态速率调节支持空口黑洞检测和补偿支持负载均衡维度支持：基于流量、用户、频段(双频支持)智能负载均衡支持AP均衡组支持：自动发现并灵活设定安全防御静态黑名单支持动态黑名单支持白名单支持非法AP检测支持：基于SSID、BSSID、设备OUI等非法AP反制支持防无线泛洪攻击(Flooding Attack)支持防仿冒攻击(Spoof Attack)支持防Weak IV攻击支持wIPS支持：可实现7层移动安全防御二层协议ARP代答支持802.1p支持802.1q支持802.1x支持可聚合端口数目4广播风暴抑制支持I

12、P协议IPv4协议支持Native IPv6(原生)支持IPv6 SAVI支持IPv6 Portal支持组播协议MLD Snooping支持IGMP Snooping支持组播组数目256组播转单播(IPv4、IPv6)支持：可依据环境设置单播接入阈值备份VRRP支持AC间1+1、N+1、N+N备份支持AC间快速切换300ms快速检测/3s切换AC间AP数负荷分担支持Remote AP支持DHCP Server双机热备支持Portal双机热备支持网管与配置管理方式支持：WEB、SNMP v1/v2/v3、RMON等配置方式支持：WEB、CLI、TELNET、FTP等无线定位AeroScout定位

13、支持绿色节能按需定时关闭AP射频口支持按需定时关闭无线服务支持逐包功率控制(PPC)支持WLAN综合应用RF Ping支持远程探针分析支持实时频谱防护(RTSG)支持智能无线业务感知(wIAA)支持报文发送公平调度机制支持802.11n报文发送抑制支持基于连接状况的流量整形支持调整AP间信道共享支持调整AP间信道重用支持射频接口发送速率调整算法支持忽略弱信号无线报文支持禁止弱信号客户端接入支持禁止组播报文缓存支持Blink状态检测(部分AP)支持4.3.2单频APl 实现高性能无线接入和最佳无线网络TCO 遵从802.11n协议标准，采用专业模块化设计，单射频能提供高达300Mbps的无线接入

14、速度，是相同环境下802.11a/b/g产品的6倍左右。通过特有的内置集成智能射频覆盖优化技术，可以有效地从覆盖范围、接入密度、运行稳定等方面提供更高性能的无线接入服务并协助用户实现最佳无线网络TCO(总拥有成本/Total Cost of Ownership)。 l 绿色低碳设计 采用专业绿色低碳设计，功耗小于10W，而标准的802.3af(PoE)供电为15.4W，这就意味着该AP可以使用普通PoE交换机(如H3C S3000/S5000系列PoE交换机)进行供电，供电距离可达100m。使用PoE交换机供电不仅可以方便施工，开关和重置无线设备时也无需现场操作，只需要远程控制PoE交换机端口

15、，从而有效地提高无线网络的管理灵活性并降低网络维护难度。 l 提供千兆以太网接口有线连接 上行接口采用千兆以太网接口接入，突破了传统百兆以太网接口的限制，使有线口不再成为无线接入的速率瓶颈，为将来支持更高速率更多射频组合提供了平滑升级的平台。 l 支持Fat/Fit两种模式 支持Fat和Fit两种工作模式，根据网络规划的需要，可以灵活地在Fat和Fit两种工作模式中切换，同时用户可以根据应用需求，灵活选择所需的设备出厂版本(Fat模式版本或Fit模式版本)。 当客户的无线网络初始规模较小时，客户只需采购该无线设备，并设置其工作模式为Fat模式。随着客户网络规模的不断扩容，当网络中应用的WA2无

16、线设备达到几十甚至上百台时，为降低网络管理的复杂度，建议客户采购同品牌自主研发的WX系列无线控制器设备，便于集中管理网络中的所有的AP无线设备，此时只需将其工作模式切换到Fit模式。 作为同时支持Fat/Fit两种工作模式的高速超百兆无线接入设备，工作模式切换过程只需要简易命令行，且可以通过设备网管批量执行，有利于将客户的无线网络由小型网络平滑升级到大型网络，从而更好地保护用户的投资，非常适合运营级大规模无线网络的平滑扩容升级。 l 提供本地转发功能 当AP(Fit模式)通过广域网方式转发时，无线接入设备部署在分支机构，而无线控制器部署在总部，所有用户数据由无线接入设备发送到无线控制器，再由无

17、线控制器进行集中转发，导致转发效率低下。AP可将数据报文在无线接入设备上直接转化为有线格式的报文，使得数据报文不经过无线控制器，而是在本地进行转发，大大提高了转发效率。 l 支持IPv4/IPv6双协议栈 全面支持IPv6特性，设备实现了IPv4/IPv6双协议栈。通过与WX系列无线控制器建立IPv6隧道，无论原有有线网络是IPv4还是IPv6，该AP都可以自由的与WX系列控制器进行通信，不会成为网络中的信息孤岛。 l 支持智能负载均衡 支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现无线接入设备的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻

18、的无线接入设备可供用户接入，如果有则会拒绝用户的关联请求，用户会转而接入其他负载较轻的无线接入设备，但如果无线用户不在重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。H3C公司创新性的支持智能负载均衡技术，保证只对处于覆盖重叠区的无线用户才启动负载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。 l 提供only 11n接入功能 由于802.11n向下兼容802.11a/b/g协议，故通常情况下，802.11a/b/g用户也能接入到802.11n的无线接入设备上。但这种兼容能力的提供，会造成具备802.11n接入能力的用户实际使用性能产生一定程度的下降。

19、支持将设备的射频设置为only 11n模式，使得802.11n接入用户的高速带宽和接入性能得到保证。 l 支持中国标准WAPI 除了支持WLAN国际标准802.11i，还支持中国无线局域网国家标准GB15629.11-2003 中提出的WAPI标准。 l 支持无线入侵检测/防御(WIDS/WIPS) 工作在Fat模式时，支持黑名单和白名单等无线用户接入控制特性。WA2612-AGN工作在Fit模式时，配合H3C自主研发的WX系列无线控制器设备，可以同时支持Rogue检测、入侵检测以及黑名单和白名单等WIDS/WIPS特性。 l 提供EAD无线接入 终端准入控制(EAD，End user Adm

20、ission Domination)解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，对接入网络的用户终端强制实施企业安全策略，通过与安全策略服务器的联动，可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理，只有无线客户端符合相应的安全策略之后才允许正常访问网络，从而提高了无线网络的整体安全性。 l 支持中文SSID 支持使用中文SSID，可指定最长包含32个汉字的SSID，也可以使用中英文混合的SSID，为国内用户提供了更大的使用便利。 l 支持TR-069特性(CWMP) 支持TR-069特性，此特性方便网管人员从网络侧对位置分散的无线接入设备进行远程集中管理。TR-069是由DSL论坛()所开发的系列技术规范之一，其全称为“CPE广域网管理协议”。 l 全面支持智能型