校园WIFI项目技术方案

1、校园标准化无线 WIFI 项目方案目录1 引言. 32 网络建设原则. 32.1 全面性 . 32.2 可管理性 . 32.3 安全性 . 32.4 可扩展性 . 32.5 经济性和实用性 . 43 用户需求 44 WIFI 的覆盖设计规划 44.1 无法覆盖的网络规划 44.1.1 网络规划 44.1.2 布线规划 54.2覆盖区域AP及设备数量 64.3 主要设备介绍 64.3.1 无线控制器 AC64.3.2 单频 AP 124.3.3 PoE 交换机 151 引言随着互联网及其应用的高速发展， 无线网络、智能终端的普及， 无线网络使 用需求日益增大，原有的网络访问习惯及网络设施已经难以

2、满足教师及学生现在 以及未来对网络的使用需求。同时为了帮助校园实现移动办公，提高工作效率。 本工程计划在学校的办公楼、教学楼、艺术楼、图书馆、体育馆等办公场所进行 WIFI 信号覆盖。2 网络建设原则2.1 全面性无线网络覆盖设计不仅要保证覆盖区域无线网络的全面性、 稳定性，还要能 够适应今后高带宽的要求， 满足日益增长的业务量需求及设备、 服务的更新要求。2.2 可管理性可以对网络进行在线监控，随时了解无线网络的“健康状态”，快速定位并 排除故障，并能对网络带宽进行资源优化，实现流量负载均衡、合理分配，提高 网络的高利用率。2.3 安全性无线网络系统提供多种有效的安全加密机制， SSID 用

3、户隔离，有效降低泄 露和蹭网盗网行为 , 保证无线网络的安全。2.4 可扩展性应用的不断发展要求网络在性能、 协议、网络拓扑等方面具备很好的可扩展 性。包含后期无线监控部署、局域网络扩大、带宽资源更新、设备服务的升级等2.5 经济性和实用性完全从现有的应用需求出发， 依场所环境做覆盖方案实际部署， 既保证方案 可行性，还能最大程度的降低建设成本。3 用户需求项目需要对办公楼各办公室、 教学楼教师办公室和特定课室、 图书馆、 体育 馆等办公场所 wifi 信号全覆盖建设。整个无线系统能够进行统一的中央控管，能够支持多种安全策略和认证方式，还能够方便地进行扩容；同时要现 AP集中管理。实现教职工在

4、整个办公楼无线覆盖围接入点自动切换、 无线漫游，教职工无 需任何过多的配置， 无线网络可以根据不同用户名与密码分配不同网络带宽， 有 效保障无线网络接入速度和良好的无线网络体验。4 WIFI 的覆盖设计规划4.1 无法覆盖的网络规划4.1.1 网络规划根据环境具体需求选取合适的无线 AP接入点，如大会议室选用高增益双频 吸顶式AP满足高密度、高强度的无线网络需求。另外根据 AP到交换机的距 离不一采用不同供电方式，如：网线长度大于 60米的使用DC供电方式，长 度小于60米的使用PoE供电方式；已有有线网络且网线具体小于60米需新增无线的仅需考虑P0职电交换机、 AC无线控制器、AP接入点以及

5、当前主路由的负载能力。根据环境结构确定 AP数量，吸顶式AP空旷环境覆盖直径20-30M;透过办公楼2楼机柜里的无线控制器（AC，统一管理、配置、监控各楼层的 AP；布线规划局域网交换机之间根据距离确定传输介质（光纤或以太网线），大于 100M 的距离需使用光纤传输，收发设备可选用光纤收发器或交换机插光纤模块收 发；100 M围可使用以太网线传输。POE供电交换机到AP之间采用标准POE供电，为保证传输质量传输距离应在 60M以，网线质量差异会产生一定衰减，推荐围在 50M以。需合理规划供电 交换机位置确保供电及数据传输稳定有效。Xxx学校wifi案例拓扑图：XXX中学校园wifi网络拓扑图4

6、.2覆盖区域AP及设备数量经勘查，根据用户需求规划 AP及设备如下：每栋楼均已有网络布线，新增 AP连接到新交换机，新交换机放到该楼弱电 机房，与学校该楼已有的接入交换机其中1个百兆电口（由学校分配）对接，利旧原接入交换机的上连通道汇聚到核心机房 （高一二教学楼C栋4楼）的核 心交换机后，通过学校已有的教育网专线，利用教育网的统一上网出口连上 互联网。配置1台无线控制器AC，挂在学校已有的核心交换机上，由学校分配核心交 换机1个电口接入。配置的AP AC设备满足与教育局的 WIFI认证平台能兼容，满足通过教育局 的WIFI认证平台来进行 WIFI的认证。如果部分上连通道是学校已有的设备，因此涉

7、及到 WIFI的调通需在学校已 有设备上配置的，由学校负责；本次新建的设备由电信负责。办公室AP量化需求：1. 办公楼：2. 教学楼：3. 艺术楼：4. 图书馆：5. 体育馆：4.3主要设备介绍无线控制器AC项目支持特性无线控制器参考参数基础性能缺省管理AP数64License 步长32项目支持特性无线控制器参考参数最大管理AP数256可配置最大AP数10243O2.11MAC802.11协议簇支持多SSID（每射频口）16隐藏SSID支持11G保护支持11n only支持用户数限制支持：基于SSID、Radio的用户数限制用户在线检测支持用户无流量自动老化支持多国家码部署支持无线用户隔离支持

8、：1、无线用户二层隔离2、基于SSID的无线用户隔离40MHZ模式的20MHz/40MHz自动切换支持本地转发支持：基于SSID+VLAN的本地转发CAPWAP自动输入AP序列号支持AC发现（DHCP option43、DNS方式）支持IPv6隧道支持时钟同步支持Jumbo帧发送支持AP双上行隧道链路支持通过AC配置AP基本 网络参数支持：配置静态IP、VLAN接入的AC地址等AP与AC间穿越NAT支持漫游能力同一 AC,不同APT二、三层漫游支持项目支持特性无线控制器参考参数不同ACI可,不同APT二、三层漫游支持接入控制Open system、Shared-Key支持WEP-64/128、

9、动态 WE支持WPA WPA2支持TKIP支持CCMP支持（11n推荐）WAPI可选支持SSH v1.5/v2.0支持无线EAD终端准入控制）支持Portal认证支持：远程、外挂服务器Portal页面推送支持：基于 SSID、AP的Portal页面推送Portal 穿越 Proxy支持802.1X认证支持：EAP-TLS EAP-TTLS EAP-PEAP EAP-MD 5 EAP-SIM LEAR EAP-FASTEAP offload （ 仅支持 TLS, PEAP）本地认证支持：802.1X、Portal、MAC认证LDAP认证支持：1、支持802.1X与Portal接入2、802.1X

10、 接入时支持 EAP-GT（和 EAP-TLS基本位置的用户接入 控制支持访客接入支持VIP通道支持ARP防攻击支持：无线SAVISSID防假冒支持：用户名与SSID绑定基于域、SSID选择AAA服务器支持项目支持特性无线控制器参考参数AAA!务器备份支持无线用户的本地AAA服务器支持TACACS+支持QoS优先级映射支持L2-L4流分类支持流量限速支持：流控粒度8Kbps802.11e/WMM支持基于用户角色(UserProfile) 的接入控制支持智能带宽限速-基于带宽均分算法支持智能带宽限速-基于 每用户指定带宽的算 法支持智能带宽保障支持：在流量未拥塞时，确保不同优先级SSID下的报文

11、都可以自由通过； 在流量拥塞时，确保每个 SSID可以保持各自约定的最小带宽QoS Optimization for SVP phone支持CAC(Call AdmissionControl)支持：基于用户数/带宽的CAC端到端QoS支持AP上行口限速支持无线资源管理国家码锁定支持静态信道、功率设置支持动态信道、功率设置支持动态速率调节支持空口黑洞检测和补偿支持负载均衡维度支持：基于流量、用户、频段(双频支持)智能负载均衡支持项目支持特性无线控制器参考参数AP均衡组支持：自动发现并灵活设定安全防御静态黑支持动态黑支持白支持非法AP检测支持：基于 SSID、BSSID 设备 OUI等非法AP反制

12、支持防无线泛洪攻击(Flooding Attack)支持防仿冒攻击(Spoof Attack)支持防Weak IV攻击支持wIPS支持：可实现7层移动安全防御二层协议ARP弋答支持802.1p支持802.1q支持802.1x支持可聚合端口数目4广播风暴抑制支持P协议IPv4协议支持Native IPv6(原生)支持IPv6 SAVI支持IPv6 Portal支持组播协议MLD Snooping支持IGMP Snooping支持组播组数目256组播转单播(IPv4、IPv6)支持：可依据环境设置单播接入阈值备份VRRP支持项目支持特性无线控制器参考参数AC 间 1+1、N+1、N+N备份支持AC

13、间快速切换300ms快速检测/3s切换AC间AP数负荷分担支持Remote AP支持DHCP Server 双机热备支持Portal双机热备支持网管与配置管理方式支持：WEB SNMP v1/v2/v3、RMON等配置方式支持：WEB CLI、TELNET FTP等无线定位AeroScout 定位支持绿色节能按需定时关闭AP射频口支持按需定时关闭无线服 务支持逐包功率控制(PPC)支持WLANs合应用RF Ping支持远程探针分析支持实时频谱防护(RTSG)支持智能无线业务感知(wlAA)支持报文发送公平调度机 制支持802.11n报文发送抑制支持基于连接状况的流量整形支持调整AP间信道共享支

14、持调整AP间信道重用支持射频接口发送速率调整算法支持项目支持特性无线控制器参考参数忽略弱信号无线报文支持禁止弱信号客户端接入支持禁止组播报文缓存支持Blink状态检测（部分AP）支持432单频AP实现咼性能无线接入和最佳无线网络 TCO遵从802.11 n协议标准，采用专业模块化设计，单射频能提供高达 300Mbps的无线接入速度，是相同环境下 802.11a/b/g产品的6倍左右。通 过特有的置集成智能射频覆盖优化技术，可以有效地从覆盖围、接入密度、 运行稳定等方面提供更高性能的无线接入服务并协助用户实现最佳无线网络 TCO总拥有成本 /Total Cost of Ownership）。绿色

15、低碳设计采用专业绿色低碳设计，功耗小于 10W而标准的802.3af（PoE）供电为15.4W 这就意味着该 AP可以使用普通PoE交换机（如H3C S3000/S5000系 列PoE交换机）进行供电，供电距离可达100m使用PoE交换机供电不仅可 以方便施工，开关和重置无线设备时也无需现场操作，只需要远程控制PoE交换机端口，从而有效地提高无线网络的管理灵活性并降低网络维护难度。提供千兆以太网接口有线连接上行接口采用千兆以太网接口接入， 突破了传统百兆以太网接口的限制， 使有线口不再成为无线接入的速率瓶颈， 为将来支持更高速率更多射频组合 提供了平滑升级的平台。支持Fat/Fit两种模式支持

16、Fat和Fit两种工作模式，根据网络规划的需要，可以灵活地在Fat和Fit两种工作模式中切换，同时用户可以根据应用需求，灵活选择所需的设备出厂版本 （Fat 模式版本或 Fit 模式版本 ） 。当客户的无线网络初始规模较小时，客户只需采购该无线设备，并设置 其工作模式为 Fat 模式。随着客户网络规模的不断扩容， 当网络中应用的 WA2 无线设备达到几十甚至上百台时，为降低网络管理的复杂度，建议客户采购 同品牌自主研发的 WX系列无线控制器设备，便于集中管理网络中的所有的AP无线设备，此时只需将其工作模式切换到 Fit模式。作为同时支持 Fat/Fit 两种工作模式的高速超百兆无线接入设备，

17、工作模 式切换过程只需要简易命令行，且可以通过设备网管批量执行，有利于将客 户的无线网络由小型网络平滑升级到大型网络，从而更好地保护用户的投 资，非常适合运营级大规模无线网络的平滑扩容升级。提供本地转发功能 当 AP（Fit 模式）通过广域网方式转发时， 无线接入设备部署在分支机构， 而无线控制器部署在总部，所有用户数据由无线接入设备发送到无线控制器，再由无线控制器进行集中转发，导致转发效率低下。AP可将数据报文在 无线接入设备上直接转化为有线格式的报文， 使得数据报文不经过无线控制 器，而是在本地进行转发，大大提高了转发效率。支持 IPv4/IPv6 双协议栈全面支持IPv6特性，设备实现了

18、 IPv4/IPv6双协议栈。通过与 WX系列 无线控制器建立IPv6隧道，无论原有有线网络是IPv4还是IPv6，该AP都 可以自由的与 W炼列控制器进行通信，不会成为网络中的信息孤岛。支持智能负载均衡 支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现无线接 入设备的负载超过设定的门限值以后， 对于新接入的用户无线控制器会自动 计算此用户周围是否还有负载较轻的无线接入设备可供用户接入， 如果有则 会拒绝用户的关联请求，用户会转而接入其他负载较轻的无线接入设备，但 如果无线用户不在重叠覆盖区， 传统的负载均衡方式往往会导致连接不上网络，造成误均衡。H3C公司创新性的支持智能负载均衡技术

19、，保证只对处于 覆盖重叠区的无线用户才启动负载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。提供 only 11n 接入功能 由于802.11 n向下兼容802.11a/b/g 协议，故通常情况下，802.11a/b/g 用户也能接入到 802.11n 的无线接入设备上。但这种兼容能力的提供，会造 成具备 802.11n 接入能力的用户实际使用性能产生一定程度的下降。 支持将 设备的射频设置为 only 11n 模式，使得 802.11n 接入用户的高速带宽和接 入性能得到保证。支持中国标准 WAPI除了支持WLA国际标准802.11i，还支持中国无线局域网国家标准GB1

20、5629.11-2003 中提出的 WAP标准。支持无线入侵检测/防御(WIDS/WIPS) 工作在 Fat 模式时，支持黑和白等无线用户接入控制特性。 WA2612-AGN 工作在Fit模式时，配合H3C自主研发的WX系列无线控制器设备，可以同 时支持Rogue检测、入侵检测以及黑和白等 WIDS/WIPSI性。提供EADS线接入 终端准入控制 (EAD， End user Admission Domination) 解决方案从控制 用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，对 接入网络的用户终端强制实施企业安全策略，通过与安全策略服务器的联 动，可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、 隔离、 提醒或监控等多种方式的处理， 只有无线客户端符合相应的安全策略之后才 允许正常访问网络，从而提高了无线网络的整体安全性。支持中文 SSID支持使用中文SSID,可指定最长包含32个汉字的SSID,也可以使用中 英文混合的SSID,为国用户提供了更大的使用便利。支持TR-069特性(CWMP)支持TR-069特性，此特性方便网管人员从网络侧对位置分散的无线接入设备进行远程集中管理。TR-069是由DSL论坛(.)所开发的