某校园无线网络覆盖设计方案

1、XXX校园无线局域网技术建议书20XX年11月 TOC o 1-5 h z HYPERLINK l bookmark14 o Current Document 概述3 HYPERLINK l bookmark21 o Current Document 需求分析3 HYPERLINK l bookmark24 o Current Document 总体建设目标3 HYPERLINK l bookmark29 o Current Document 具体实施目标4 HYPERLINK l bookmark44 o Current Document 无线校园网建设方案 5 HYPERLINK l bo

2、okmark47 o Current Document 整网逻辑拓扑图5 HYPERLINK l bookmark50 o Current Document 无线用户认证解决方案 5 HYPERLINK l bookmark53 o Current Document 整网安全解决方案6 HYPERLINK l bookmark61 o Current Document 无线校园解决方案更稳定：7 HYPERLINK l bookmark69 o Current Document 无线校园解决方案高安全： 8 HYPERLINK l bookmark72 o Current Document 无

3、线校园解决方案易管理： 9 HYPERLINK l bookmark80 o Current Document 无线校园解决方案可扩展： 10 HYPERLINK l bookmark83 o Current Document 无线校园网建设方案总结 101概述无线局域网（WLAN）技术于20世纪90年代逐步成熟并投入商用，既可以作传统有线网 络的延伸，在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点：简易性：WLAN网桥传输系统的安装快速简单，可极大的减少敷设管道及布线等繁 琐工作；灵活性：无线技术使得WLAN设备可以灵活的进行安装并调整位置，使无线网络达 到有线网络不易覆盖的

4、区域；综合成本较低：一方面WLAN网络减少了布线的费用，另一方面在需要频繁移动和 变化的动态环境中，无线局域网技术可以更好地保护已有投资。同时，由于WLAN 技术本身就是面向数据通信领域的IP传输技术，因此可直接通过百兆自适应网口 和企业、学校内部Intranet相连，从体系结构上节省了协议转换器等相关设备；扩展能力强：WLAN网桥系统支持多种拓扑结构及平滑扩容，可以十分容易地从小 容量传输系统平滑扩展为中等容量传输系统；随着WLAN技术的快速发展和不断成熟，目前在国内外具有较多的中大规模应用，诸如 荷兰的阿姆斯特丹市的全城覆盖，向客户提供各种业务。2需求分析2.1总体建设目标利用无线网络技术

5、进一步扩展校园网的覆盖范围，使全校师生能够随时随地、方 便高效地使用校园网络；促进教学和科研发展，进一步拓展研究空间；提升校园网络环境，提高管理水平和效率，推动学校信息化建设；要覆盖部分原来没有有线网的空间，诸如：寝室；由于本工程是在校园有线网的基础上加以无线扩充；2.2具体实施目标侧重实际应用，覆盖校园内部分区域，为教学和学习生活提供切实可用的无线网络 环境；采取通行的网络协议标准：目前无线局域网普遍采用802.11系列标准，因此校园 无线局域网将主要支持802.11g（54M带宽）标准以提供可供实际应用的相对稳定 的网络通讯服务，同时兼顾多种类型应用和将来的投资保护，需要同时支持 801.

6、11a，802.11b；全面的无线网络支撑系统（包括无线网管、无线安全，无线计费等），以避免无线 设备及软件之间的不兼容性或网络管理的混乱而导致的问题；保证网络访问的安全性；采用非独立型的无线网络结构选型；口覆盖范围要求有线网络无法接入的室外场所：校园内一些场所很难实现网络有线接入，采用 无线方式可以实现覆盖大范围室外空间的无线网络接入。本次建设主要包括各 宿舍及食堂等。有线网络使用不便或受限的室内空间：校园内一些室内场所空间较大，会产生 许多人同时接入网络的需求，采用有线的方式只能提供少量接口，不能满足要 求。用无线网络覆盖来解决相当数量的移动设备同时访问网络的问题。主要包 括寝室、食堂等；

7、安全、认证、计费和管理要求要与现有的计费系统对接，实现针对用户计费、管理、控制功能；校园无线网网络结构要求：无线接入所需布设的无线设备通过校园网的汇聚层设备接入到校园网中，在汇聚层 都提供相应的接口给无线网线，在接入层设备要在方案中进行描述。工程布线和安装要求：I.室内部分：定好较为开阔位置，将网线和电源线走暗线敷设到位；挂在墙上， 可利用设备本身自带的安装附件进行安装；如果需要遮蔽，则需要定制非金属 安装盒；如果是挂在天花板上，则根据天花板的情况而定，若天花板是非金属结构，可以固定在天花板内。安装过程中应充分考虑防盗问题。II.供电部分：供电可采用弱电方式由接入的设备进行供电。产品能力要求要

8、求：产品支持AES、WEP加密等安全标准；支撑QOS能力3无线校园网建设方案针对学校采用WLAN技术构架宽带网络服务，从技术上、工程上以及提供的服务质量上均能较好的满足校方的要求，具体组网构架如下：3.1整网逻辑拓扑图鉴于XXX学校的有线网络已经较为完善，已经是百兆到楼，部分楼已经做到千兆到楼， 本次工程采用无线设备就近接入的原则，同时又由于现在每栋楼的有线网络为无线网络只能 提供一个有线接口，此有线接口下接一台交换机完成网络接口的扩展。具体的逻辑组网图如 下图所示：一营15毫住机图1 *无线局域网工程方案逻辑组网示意图3.2无线用户认证解决方案本方案主要采用portal认证，WA2220E-

9、AG/WA1208E-AGP与无线控制器通过二层隧道协 议通信，无线用户的认证点都是放置于无线业务插卡设备上，后台的iMC认证计费系统作为 用户鉴权点。针对无线用户，无线控制器作为802.1x认证的终结点，iMC认证计费系统作为最后的 鉴权点，此时的主要工作由无线交换机进行统一调度，当用户在不同的端口下的不同无线设 备的覆盖范围时，此时用户不会再次触发认证。3.3整网安全解决方案*无线局域网络主要服务于学校的学生与教师，也是规模的公众型网络， 同时由于学生出于技术的研究兴趣，会对网络发起各种各样的攻击行为，此时网络安全问题 在建网时必须考虑问题，安全方式主要侧重几个方面：用户安全、网络安全，而

10、在校园网络 中主要依附于用户实体的属性主要包括用户使用的信息终端二层属性（诸如：MAC地址）及 用户的帐号、密码，而对于学校学生用户来，帐号信息都是一个实名原则，与学生的学藉进 行关联的，这样本无线网络中着重考虑使用无线网络的空口信息的安全机制，同时也要考虑 与无线相关的有线网络的安全问题，对于原有有线网络的安全问题，在本技术建议书中不作 相应的考虑；无线网络安全：无线网络安全部分主要包括以下方面的内容：MAC地址过滤：目前支持基于MAC地址的过滤，限制具有某种类型的MAC地址 特征的终端才能进入网络中；SSID管理：是一种网络标识的方案，将网络进行一个逻辑化标识，对终端上 发的报文都要求进行

11、上带SSID，如果没有SSID标识则不能进入网络；WEP加密：WEP加密是一种静态加密的机制，通信双方具有一个共同的密钥， 终端发送的空口信息报文必须使用共同的密钥进行加密；支持AES加密，AES安全机制是一种动态密钥管理机制，同时密钥生成也基于 不对称密钥机制来实现的，同时密钥的管理也定期更新，具有体的时间由系统 可以设定，一般情况都设定为5分钟左右，这样非法用户要想在5分钟之内进 行获取足够数量的报文进行匹配出密钥出来，从无线空口的流理来看，基本上 是不可能的；无线方案中可根据用户名来划分权限，即相同用户在不同地点接入无线网络其 权限保持一致；密钥设置可能根据SSID信息与用户信息进行组合

12、，即不同的 SSID下不同的用户的密钥生成可以不一样，这样一定程度上保证用户之间串 号问题产生，从而保护投资，以达到营维平衡；3.4无线校园解决方案一一更稳定：WLAN稳定性解决方案从无线控制器的可靠性，接入交换机供电的可靠性、无线信号的 可靠性这几方面入手，极大的提高7WLAN网络的可靠性；在实际的使用情况来看，启用这 些措施之后，WLAN的可靠性能够得到明显的提升。实时无线资源管理：实时无线资源管理解决方案提供了实时闭环的无线资源管理，包括了如下步骤：扫描每个接入点启动后，通过CAPWAP协议与无线控制器建立隧道，并从无线控制器获取基 本的配置。无线控制器负责协调网络中的无线接入点执行扫描

13、过程。通过定期的信道扫描， 系统能够分析和了解信道的质量、干扰情况、邻居接入点的分布等。分析无线控制器将对无线接入点定期上报的数据进行聚合分析。这些数据包括：干扰：其他工作在802.11频段的无线网络对无线介质的影响。噪音：非802.11信号，如雷达、蓝牙、无绳电话、微波等等对信号的影响。丢包率：包差错率（由于隐藏的节点或信号变形）信道负载：用来衡量媒介的繁忙程度。有效信号强度:在一定时间内观察到的每个邻居的信号强度和整个信道的平均 信号强度。这些数据将帮助无线控制器构建无线网络的完整视图，为管理控制提供决策数据。决策利用前期分析的数据，无线控制器将采用智能的算法对射频资源进行优化和调整，以适

14、 应无线环境的变化。系统使用了优化的信道和功率选择算法、加权判断以及抑制限度，自动评估资源调整的 影响，能够确保系统的控制是可靠的。执行无线控制器将新的发射功率，信道分配等决策发送到接入点，接入点负责使能这些配置。 系统提供了两种控制模式：参考模式和立即模式，增加了系统使用的灵活性。参考模式下， 系统不进行实际的控制策略执行，只是给出建议的功率、信道的设定值，管理员可以决定是 否执行这些配置，确保了用户控制的灵活性。立即模式下，将根据系统计算出的信道等参数 进行立即的设置。上述过程是闭环过程，一旦配置下发以后，控制器将持续监视网络环境。任何无线环境 的变化与波动都会被定期记录下来，为下一轮的优

15、化作准备。3.5无线校园解决方案一一高安全：一体化无线校园解决方案在遵循IEEE 802.11i协议和国家WAPI标准的基础上，创新性 的提出了分层的安全体系架构，将WLAN的安全从单一的物理层安全延伸到了物理层安全、 用户接入安全、网络层安全、设备安全、安全管理多个层面上，使用户在使用WLAN网络时 能够像使用有线网络一样安全、可靠。无线物理安全：无线产品支持以下的加密机制：WEP加密、TKIP加密、CCMP加密、WAPI加密。其中，WAPI采用国家密码管理委员会办公室批准的公钥密码体制的椭圆曲线密码算法 和对称密码体制的分组密码算法，分别用于WLAN设备的数字证书、证书鉴别、密钥协商和 传

16、输数据的加解密。在无线设备安全方面，在设备上不保存业务配置，而是每次启动的时候从无线控制器动 态加载业务配置，这样可以有效避免设备丢失造成配置泄漏，防止非法FIT接入网络。无线用户安全：通过用户接入认证实现了对校园无线接入用户的身份认证，为网络服务提供了安全保 护。无线接入认证主要有802.1x接入认证、PSK认证、MAC接入认证以及在有线校园网中常 用的portal认证等。通过和AAA服务器配合，H3C的无线设备支持对认证用户动态下发带 宽、VLAN、ACL、优先级等参数，对于不同的用户群和业务可以控制其访问网络的权限，限 制网络资源的使用，通过VLAN和优先级来标识用户和业务，并做到业务隔

17、离。无线网络安全:为了保证无线用户和整个校园网络的安全，仅仅保证接入点的安全性是远远不够的。该 方案从网络用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、 安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安 全策略，严格控制终端用户的网络使用行为，加强网络用户终端的主动防御能力，保护网络 安全。此外，无线产品支持完善的无线入侵检测系统，可以自动监测非法设备，并适时上报网 管中心，同时对非法设备的攻击可以进行自动防护，最大程度地保护无线网络。3.6无线校园解决方案一一易管理：部署图米化的配直界面无线设备的统一管理笛珞和服务的批垣部署切控多样七的

18、拓扑管理缪用白定位与漫游RF热点踱盖监控优化流量分析策略控制ACL流量管理6,畛一安全运菅 计费 页面推送 专业化报衣 些堕熨SOA架相安全时RP攻击 无统湍点准入 无线用户行为审计 W1DS无绻入侵检测在管理方面，实现了如下两点:有线无线统一认证计费管理，解决了老师不希望用户有线一套帐号，无线又一 套帐号，不能统一计费管理的问题。有线无线统一网管，解决了老师不希望采用两套管理系统的问题。管理系统集 成专业的无线管理部件，实现射频资源管理、无线性能监视、非法告警等管理 需求。无线校园管理系统依托iMC智能管理平台，在iMC系统全面的有线网络管理的基础上，为用户提供无线网络管理能力。用户无需重新搭建IT管理平台，只要在原有的有线网络管 理系统中增加