学校无线网络实施方案

1、PAGE PAGE 87XX学校无线网络系统项目技术规格书目 录 TOC o 1-3 h z u HYPERLINK l _Toc475959513 1需求分析 PAGEREF _Toc475959513 h 4 HYPERLINK l _Toc475959514 2方案设计原则及参照标准 PAGEREF _Toc475959514 h 5 HYPERLINK l _Toc475959515 2.1方案组成 PAGEREF _Toc475959515 h 5 HYPERLINK l _Toc475959516 2.2遵循标准 PAGEREF _Toc475959516 h 5 HYPERLIN

2、K l _Toc475959517 2.3设计原则 PAGEREF _Toc475959517 h 6 HYPERLINK l _Toc475959518 3无线网络系统解决方案 PAGEREF _Toc475959518 h 7 HYPERLINK l _Toc475959519 3.1无线网络技术说明 PAGEREF _Toc475959519 h 7 HYPERLINK l _Toc475959520 3.1.1无线网络的工作步骤 PAGEREF _Toc475959520 h 7 HYPERLINK l _Toc475959521 3.1.2如何实现漫游 PAGEREF _Toc475

3、959521 h 8 HYPERLINK l _Toc475959522 3.1.3安全性和管理性如何实现 PAGEREF _Toc475959522 h 8 HYPERLINK l _Toc475959523 3.2无线网络系统解决方案 PAGEREF _Toc475959523 h 11 HYPERLINK l _Toc475959524 3.2.1设备选型 PAGEREF _Toc475959524 h 11 HYPERLINK l _Toc475959525 3.2.2无线网总体架构及拓扑 PAGEREF _Toc475959525 h 11 HYPERLINK l _Toc47595

4、9526 3.3无线网用户安全认证 PAGEREF _Toc475959526 h 13 HYPERLINK l _Toc475959527 3.3.1校内用户 PAGEREF _Toc475959527 h 13 HYPERLINK l _Toc475959528 3.3.2来访用户 PAGEREF _Toc475959528 h 14 HYPERLINK l _Toc475959529 3.3.3MAC地址认证 PAGEREF _Toc475959529 h 15 HYPERLINK l _Toc475959530 3.3.4无线用户统一身份管理及认证 PAGEREF _Toc475959

5、530 h 16 HYPERLINK l _Toc475959531 3.3.5网络资源访问控制 PAGEREF _Toc475959531 h 17 HYPERLINK l _Toc475959532 3.3.6个性化门户服务 PAGEREF _Toc475959532 h 17 HYPERLINK l _Toc475959533 3.3.7无线用户管理平台 PAGEREF _Toc475959533 h 17 HYPERLINK l _Toc475959534 3.3.8基于用户的策略控制 PAGEREF _Toc475959534 h 18 HYPERLINK l _Toc4759595

6、35 3.3.9上网日志管理 PAGEREF _Toc475959535 h 19 HYPERLINK l _Toc475959536 3.3.10无线网络管理 PAGEREF _Toc475959536 h 19 HYPERLINK l _Toc475959537 3.4无线系统拓扑图及点位分布表 PAGEREF _Toc475959537 h 21 HYPERLINK l _Toc475959538 3.5无线设备供电方案 PAGEREF _Toc475959538 h 22 HYPERLINK l _Toc475959539 4无线网络覆盖方案 PAGEREF _Toc475959539

7、 h 24 HYPERLINK l _Toc475959540 4.1无线网络覆盖方式对比 PAGEREF _Toc475959540 h 24 HYPERLINK l _Toc475959541 4.1.1室内蜂窝覆盖 PAGEREF _Toc475959541 h 24 HYPERLINK l _Toc475959542 4.1.2室外大功率覆盖 PAGEREF _Toc475959542 h 25 HYPERLINK l _Toc475959543 4.1.3室内蜂窝覆盖和室外大功率覆盖相结合 PAGEREF _Toc475959543 h 25 HYPERLINK l _Toc4759

8、59544 4.2如何选择适合的无线网络覆盖方式 PAGEREF _Toc475959544 h 25 HYPERLINK l _Toc475959545 4.3无线网络覆盖方案 PAGEREF _Toc475959545 h 27 HYPERLINK l _Toc475959546 4.3.1综合楼无线覆盖 PAGEREF _Toc475959546 h 27 HYPERLINK l _Toc475959547 4.3.2教学楼无线覆盖 PAGEREF _Toc475959547 h 28 HYPERLINK l _Toc475959548 4.3.3会议室覆盖 PAGEREF _Toc47

9、5959548 h 28 HYPERLINK l _Toc475959549 5无线网络安装调试方案 PAGEREF _Toc475959549 h 28 HYPERLINK l _Toc475959550 6全区无线用户漫游规划 PAGEREF _Toc475959550 h 29 HYPERLINK l _Toc475959551 6.1区内无线用户漫游认证方案 PAGEREF _Toc475959551 h 29 HYPERLINK l _Toc475959552 6.2方案特点 PAGEREF _Toc475959552 h 31 HYPERLINK l _Toc475959553 7

10、方案优势 PAGEREF _Toc475959553 h 31 HYPERLINK l _Toc475959554 7.1.1无线接入点 PAGEREF _Toc475959554 h 32 HYPERLINK l _Toc475959555 7.1.2无线网络控制器 PAGEREF _Toc475959555 h 35 HYPERLINK l _Toc475959556 7.1.3H3C S5120-52C-PWR-EI智能交换机 PAGEREF _Toc475959556 h 43 HYPERLINK l _Toc475959557 7.1.4H3C S5120-28P-HPWR-SI智能

11、交换机 PAGEREF _Toc475959557 h 49 HYPERLINK l _Toc475959558 8施工组织设计 PAGEREF _Toc475959558 h 55 HYPERLINK l _Toc475959559 8.1项目管理 PAGEREF _Toc475959559 h 55 HYPERLINK l _Toc475959560 8.1.1商务管理 PAGEREF _Toc475959560 h 55 HYPERLINK l _Toc475959561 8.1.2设计管理 PAGEREF _Toc475959561 h 56 HYPERLINK l _Toc47595

12、9562 8.1.3施工管理 PAGEREF _Toc475959562 h 56 HYPERLINK l _Toc475959563 8.1.4工程的技术管理 PAGEREF _Toc475959563 h 56 HYPERLINK l _Toc475959564 8.1.5工程质量管理 PAGEREF _Toc475959564 h 57 HYPERLINK l _Toc475959565 8.1.6安全生产管理 PAGEREF _Toc475959565 h 57 HYPERLINK l _Toc475959566 8.1.7岗位素质要求、分工及职责 PAGEREF _Toc475959

13、566 h 58 HYPERLINK l _Toc475959567 8.1.8工作流程 PAGEREF _Toc475959567 h 58 HYPERLINK l _Toc475959568 8.1.9规章制度 PAGEREF _Toc475959568 h 58 HYPERLINK l _Toc475959569 8.2人员配备和安排计划 PAGEREF _Toc475959569 h 59 HYPERLINK l _Toc475959570 8.2.1项目组织结构 PAGEREF _Toc475959570 h 59 HYPERLINK l _Toc475959571 8.2.2人员配

14、备计划 PAGEREF _Toc475959571 h 60 HYPERLINK l _Toc475959572 8.3现场设施准备 PAGEREF _Toc475959572 h 60 HYPERLINK l _Toc475959573 8.3.1施工机械设备 PAGEREF _Toc475959573 h 60 HYPERLINK l _Toc475959574 8.3.2施工的临时设施 PAGEREF _Toc475959574 h 61 HYPERLINK l _Toc475959575 8.3.3仓库 PAGEREF _Toc475959575 h 61 HYPERLINK l _T

15、oc475959576 8.3.4现场临时设施 PAGEREF _Toc475959576 h 61 HYPERLINK l _Toc475959577 8.4施工步骤和施工方法 PAGEREF _Toc475959577 h 61 HYPERLINK l _Toc475959578 8.4.1系统工程施工图具体设计深度 PAGEREF _Toc475959578 h 62 HYPERLINK l _Toc475959579 8.4.2施工步骤、注意事项 PAGEREF _Toc475959579 h 62 HYPERLINK l _Toc475959580 8.4.3施工准备与作业守则 PA

16、GEREF _Toc475959580 h 62 HYPERLINK l _Toc475959581 8.5施工进度计划和工期安排 PAGEREF _Toc475959581 h 65 HYPERLINK l _Toc475959582 8.5.1编制原则 PAGEREF _Toc475959582 h 65 HYPERLINK l _Toc475959583 8.5.2编制依据 PAGEREF _Toc475959583 h 65 HYPERLINK l _Toc475959584 8.5.3施工进度计划编制 PAGEREF _Toc475959584 h 65 HYPERLINK l _T

17、oc475959585 8.5.4施工准备阶段 PAGEREF _Toc475959585 h 66 HYPERLINK l _Toc475959586 8.5.5主体施工阶段 PAGEREF _Toc475959586 h 66 HYPERLINK l _Toc475959587 8.5.6设备安装施工阶段 PAGEREF _Toc475959587 h 66 HYPERLINK l _Toc475959588 8.5.7验收完工阶段 PAGEREF _Toc475959588 h 67 HYPERLINK l _Toc475959589 8.5.8工程进度计划表 PAGEREF _Toc4

18、75959589 h 67 HYPERLINK l _Toc475959590 8.6质量保证体系 PAGEREF _Toc475959590 h 68 HYPERLINK l _Toc475959591 8.6.1公司质量体系运行情况 PAGEREF _Toc475959591 h 68 HYPERLINK l _Toc475959592 8.6.2系统工程质量保证体系 PAGEREF _Toc475959592 h 68 HYPERLINK l _Toc475959593 8.6.3质量方针和质量目标 PAGEREF _Toc475959593 h 68 HYPERLINK l _Toc4

19、75959594 8.7质量保证措施 PAGEREF _Toc475959594 h 70 HYPERLINK l _Toc475959595 8.7.1质量控制的方法 PAGEREF _Toc475959595 h 70 HYPERLINK l _Toc475959596 8.7.2质量控制措施 PAGEREF _Toc475959596 h 71 HYPERLINK l _Toc475959597 8.7.3变更的质量控制 PAGEREF _Toc475959597 h 72 HYPERLINK l _Toc475959598 8.8安全保证技术措施 PAGEREF _Toc4759595

20、98 h 73 HYPERLINK l _Toc475959599 8.8.1安全生产组织管理体系及职责 PAGEREF _Toc475959599 h 73 HYPERLINK l _Toc475959600 8.8.2安全防范重点 PAGEREF _Toc475959600 h 73 HYPERLINK l _Toc475959601 8.8.3安全措施 PAGEREF _Toc475959601 h 73 HYPERLINK l _Toc475959602 8.9文明施工措施 PAGEREF _Toc475959602 h 75 HYPERLINK l _Toc475959603 8.1

21、0项目培训 PAGEREF _Toc475959603 h 76 HYPERLINK l _Toc475959604 8.10.1对受训人员的要求 PAGEREF _Toc475959604 h 76 HYPERLINK l _Toc475959605 8.10.2培训目的 PAGEREF _Toc475959605 h 76 HYPERLINK l _Toc475959606 8.10.3培训内容 PAGEREF _Toc475959606 h 76 HYPERLINK l _Toc475959607 8.10.4培训计划 PAGEREF _Toc475959607 h 76 HYPERLI

22、NK l _Toc475959608 8.10.5培训过程的组织管理 PAGEREF _Toc475959608 h 77 HYPERLINK l _Toc475959609 8.11工程售后服务方案 PAGEREF _Toc475959609 h 77 HYPERLINK l _Toc475959610 8.11.1保修期内或保修期后的服务项目 PAGEREF _Toc475959610 h 77 HYPERLINK l _Toc475959611 8.11.2紧急异常情况的及时处理 PAGEREF _Toc475959611 h 78 HYPERLINK l _Toc475959612 8

23、.11.3服务方式及流程 PAGEREF _Toc475959612 h 78 HYPERLINK l _Toc475959613 9工程测试及验收 PAGEREF _Toc475959613 h 79 HYPERLINK l _Toc475959614 9.1验收范围 PAGEREF _Toc475959614 h 79 HYPERLINK l _Toc475959615 9.2验收依据及标准 PAGEREF _Toc475959615 h 79 HYPERLINK l _Toc475959616 9.3主要验收工具 PAGEREF _Toc475959616 h 80 HYPERLINK

24、l _Toc475959617 9.4验收步骤 PAGEREF _Toc475959617 h 80 HYPERLINK l _Toc475959618 9.5验收总体要求 PAGEREF _Toc475959618 h 81 HYPERLINK l _Toc475959619 9.6产品质量检查 PAGEREF _Toc475959619 h 82 HYPERLINK l _Toc475959620 9.7工程实施及质量控制 PAGEREF _Toc475959620 h 82 HYPERLINK l _Toc475959621 9.8系统检测 PAGEREF _Toc475959621 h

25、 83 HYPERLINK l _Toc475959622 9.9分部（子分部）工程竣工验收 PAGEREF _Toc475959622 h 83 HYPERLINK l _Toc475959623 9.10验收文档 PAGEREF _Toc475959623 h 84 HYPERLINK l _Toc475959624 9.11验收内容 PAGEREF _Toc475959624 h 84需求分析本次XXXX学校弱电配套工程包括有10所学校涉及无线网络系统，参照XXXX学校需求进行无线网络子系统整体设计。根据目前与设备站相关人员的沟通和参照学校网络建设的相关资料，此次需要建设的无线网络将对教

26、学楼、办公楼进行无线信号覆盖，提供支持移动访问互联网络，根据对现场场地环境的先期测试和综合分析，设计的无线网络将提供高速、稳定、安全的无线信号覆盖接入,未来覆盖区域可在此基础上轻易扩展到整个学校的办公区域、公共区域、室外“热点”公共区域等室内和室外的无线覆盖.此次方案设计将根据无线网络的高速接入和安全特性,设计针对学校无线覆盖所涉及的全方面,多层次的和应用相关的技术,来介绍如何实现随时随地的学校网络资源共享访问，并设计提供安全，可靠的无线访问接入控制和管理,所设计的无线网络平台将是一个多业务,多应用的平台,可支持数据和语音的同时接入。同时考虑到学校的无线网络是长年运行，24小时需要提供服务的，

27、而且需要考虑实际同时接入使用无线网络的用户数量不定, 所以在方案设计中需要考虑到无线设备的性能和无线网络的造价及可扩展性。根据对学校相关区域建筑楼、建筑材料、建筑结构和室外周边环境的观测和分析,我们建议在相应位置放置无线接入点AP以提供此区域的无线覆盖。由于学校的楼层建筑结构相对比较复杂,为了保证无线网络的均匀覆盖,需要多个AP进行覆盖,另外还由于为了楼层间的楼板的AP信号的穿透，所以建议上下相邻的楼层间的AP,交错摆放有助于避免与上下楼层间AP的相同频道信号的干扰,这是一种对于无线场地环境良好设计和避免AP信号干扰是有帮助的。具体的AP摆放位置和网络布线图见方案设计部分。方案设计原则及参照标

28、准方案组成根据以往无线网络建设的经验和用户的需求分析，我们将在下面的篇幅中进行详细的介绍如何建设校园无线网络，整个方案重点分为以下部分:1）无线局域网系统方案2) 无线点位布署规划3）全区无线用户漫游方案4）方案涉及产品的主要性能指标遵循标准我们严格按照以下标准和文件的要求对XXXX无线网络综合布线系统进行整体设计，确保大楼的综合布线系统是一套完整、规范的信息链路。具体包括以下标准和文件：GB 1526-89信息处理-数据流图、程序流程图、系统流程图、程序网络图和系统资源图的文件编制符号及约定电子计算机机房设计规范（GB50173-93） 计算机场地技术条件（GB2887-89）计算机场地安全

29、要求（GB9361-88）以太网协议标准（IEEE802.3）商用建筑线缆标准（EIA/TIA568A/B/B2）商用建筑通信通道和空间标准（EIA/TIA569）商用建筑电信设施管理标准（EIA/TIA-606）商用建筑通信接地接续要求（EIA/TIA-607）无屏蔽双绞线系统现场测试传输性能规范（EIA/TIATSB67）通信布线系统信息技术欧洲标准（EN50173）信息技术互连国际标准（ISO/IEC11801）民用建筑电气设计规范（JGJ/T16-92）建筑与建筑群综合布线系统工程设计规范（GB/T 50311-2000）建筑与建筑群综合布线系统工程验收规范（GB/T 50312-20

30、00）智能建筑设计标准（GB/T 50314-2000）智能建筑工程质量验收规范（GB 50339-2003）通信光缆的一般要求（GB/T7427-87）电气装置安装工程施工及验收规范（GBJ232-92）电子计算机机房设计规范（GB 50174-93）普通中小学校建设标准 （DG/TJ08-12-2004/J10355-2004）中小学校建筑设计规范 （GBJ 99-86）招标方提供的需求文书及图纸资料 在实施过程中，我公司会严格按照上述技术标准和规范进行施工，如果在施工过程中有国际或国内最新标准出台，我公司会使用新版本的国际、国家标准和规范进行施工、选用设备、材料。同时提供所采用的新版本国

31、际和国家标准、规范有关技术资料。设计原则本方案主要是为XXXX学校弱电配套工程项目设计校园无线网络，通过无线网络和有线网络的结合，充分发挥两网各自的优势为广大师生提供良好的服务，从整体上提升教学服务质量并提升学校影响力。系统方案设计原则如下先进性当今科学技术发展迅速，若花巨资建成一个几年之内就要淘汰的落后系统，不仅是一种极大的浪费，而且将严重影响用户的声誉。所以设计方案首先就要确保设计技术和应用技术的先进性，同时也要保证整个系统的最佳性能价格比。灵活性和兼容性随着科学技术的发展，不可能保证一个系统永远处于领先地位。为此在设计方案时，必须考虑到系统升级扩容的灵活性和兼容性，这就需要采用模块化、开

32、放式、集散型、分布式的控制系统。使得不改变原有设备，在不损失前期投资的情况下，就能方便的升级和扩容，确保系统不过时。经济实用性先进性与经济性往往会产生矛盾，这就需要在制定总体设计方案时：要选择性能价格比最佳的产品和系统。高科技现代化时代，经济性衡量的唯一标准是性能价格比，既不是单纯性能，也不是单纯的价格，若不顾性能，而单纯追求价格，势必会陷入不正当的价格竞争战。那么系统事故所造成损失和影响用经济是补偿不了的。善于充分利用软件来实现系统功能，尽可能减少硬件开支，达到降低系统总成本的目的。充分了解其它子系统的功能，并与之进行有机结合，避免功能重复。要善于从实际出发，突出实用功能，去掉“华而不实”的

33、无用功能，降低总体投资，求得先进性与经济性的完美统一。可靠性可靠性是系统设计中的关键，不可靠的系统不仅根本谈不上什么先进性，而且由于系统的瘫痪导致重大的损失会给用户带来巨大的负担和耗费。为此总体方案的设计时：既要考虑技术的先进性，又要考虑技术的成熟性。采取集散型分布式控制方式，从系统设计结构形式和控制方式的角度来提高系统总体的可靠性，从而达到先进性和可靠性的完美统一。尽可能减少硬件数量和硬件连接，充分依靠软件功能来提高系统的可靠性。遵循严格科学的施工规范，为各子系统的连接，架设可靠的神经中枢，从而为系统的总体可靠性打下最坚实的基础。同时我们的系统设计兼顾了系统功能的全面性及操作的简易性。当有紧

34、急情况发生时，系统能自动作出迅速、准确的反映。操作和维护的方便性21世纪是知识经济时代，人力成本的价值在大幅度增加，系统设计如何做到操作和维护更方便，对于提高工作效率，降低人力成本和降低维护成本，提高系统总体性能价格比是极其重要的环节。无线网络系统解决方案无线网络技术说明无线网络的工作步骤扫频：STA在加入服务区之前要查找哪个频道有数据信号，分主动和被动两种方式。主动扫频是指STA启动或关联成功后扫描所有频道；一次扫描中，STA采用一组频道作为扫描范围，如果发现某个频道空闲，就广播带有ESSID的探测信号；AP根据该信号做响应。被动扫频是指AP每100毫秒向外传送灯塔信号，包括用于STA同步的

35、时间戳，支持速率以及其它信息，STA接收到灯塔信号后启动关联过程。关联（Associate）：用于建立无线访问点和无线工作站之间的映射关系，实际上是把无线变成有线网的连线。分布式系统将该映射关系分发给扩展服务区中的所有AP。一个无线工作站同时只能与一个AP关联。在关联过程中，无线工作站与AP之间要根据信号的强弱协商速率。 重关联（Re-associate）：当无线工作站从一个扩展服务区中的一个基本服务区移动到另外一个基本服务区时，与新的AP关联的整个过程。重关联总是由移动无线工作站发起。如何实现漫游漫游：指无线工作站在一组无线访问点之间移动，并提供对于用户透明的无缝连接，包括基本漫游和扩展漫游

36、。基本漫游是指无线STA的移动仅局限在一个扩展服务区内部。扩展漫游指无线SAT从一个扩展服务区中的一个BSS移动到另一个扩展服务区的一个BSS，802.11b/g并不保证这种漫游的上层连接。常见做法是在上层采用的无线网络控制器。安全性和管理性如何实现由于无线局域网采用公共的电磁波作为载体，因此与有线线缆不同，任何人都有条件窃听或干扰信息，因此在无线局域网中，网络安全很重要。常见的无线网络安全分几种：服务区标示符(SSID)：无线工作站必需出示正确的SSID才能访问AP，因此可以认为SSID是一个简单的口令，从而提供一定的安全。如果配置AP向外广播其SSID，那末安全程度将下降；由于一般情况下，

37、用户自己配置客户端系统，所以很多人都知道该SSID，很容易共享给非法用户。目前有的厂家支持“任何”SSID方式，只要无线工作站在任何AP范围内，客户端都会自动连接到AP，这将跳过SSID安全功能。物理地址（MAC）过滤：每个无线工作站网卡都由唯一的物理地址标示，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作；如果用户增加，则扩展能力很差，因此只适合于小型网络规模。连线对等保密（WEP）：在链路层采用RC4对称加密技术，钥匙长40位，从而防止非授权用户的监听以及非法

38、用户的访问。用户的加密钥匙必需与AP的钥匙相同，并且一个服务区内的所有用户都共享同一把钥匙。WEP虽然通过加密提供网络的安全性，但也存在许多缺陷：一个用户丢失钥匙将使整个网络不安全；40位的钥匙在今天很容易被破解；钥匙是静态的，并且要手工维护，扩展能力差。为了提供更高的安全性，802.11i提供了WEP2，该技术与WEP类似。WEP2采用128位加密钥匙，从而提供更高的安全。WEP2目前不保证互操作性。无线网络控制器 无线网络控制器是无线网络安全的最高级别。完整的无线网络系统包括无线接入控制服务器（Access Control）、无线接入点（Access Point）、客户端（STA）等三部分

39、。她是建立在无线接入控制点之上也就是通常所说的网络第三层，在整个无线网络系统中有效结合了无线服务区标示符(SSID)、物理地址（MAC）过滤、连线对等保密（WEP）等在安全管理方面的优势，并克服了物理地址（MAC）过滤、连线对等保密（WEP）在可扩展性、安全保密性等方面的弱点，提出了无线网络从安全到管理的整个解决方案。如下图所示，无线网络控制器可以提供全网的用户认证管理、防止非法AP接入、防止用户恶意入侵他人系统等服务，并根据客户需要可实现对不同权限用户实现对上网流量、上网时间段、上网范围、访问权限等等适合网络规划管理方面的要求，整个无线网络安全、管理策略可以在无线接入控制系统上统一实现，扩展

40、性以及安全保密的问题在这里得到了很好的解决。无线网络系统解决方案设备选型本次XXXX学校弱电配套工程项目涉及中学及小学两种不同类型的学校。从招标要求要求来看，网络架构为无线控制器+AP。考虑到和区内原有无线网络系统的区内单一帐号漫游的兼容以及今后网络的统一管理和可扩展性，我们推荐采用XXX品牌无线控制器WNC AC2020-E，结合XXX品牌AK2400 ZDC系列无线接入点来实施整个方案。AK2400 ZDC系列无线接入点支持IEEE802.11b/g/n标准，最高速率可达到300Mbps，同时支持本地供电以及 IEEE802.3at标准POE远程供电(兼容IEEE802.3af供电)解决方

41、案，方便工程安装实施。整个方案将从无线信号的覆盖、无线接入点的维护管理、用户的管理、无线网络安全管理以及无线网络如何和现有有线网络相结合等方面提出了全面的解决方案。无线网总体架构及拓扑随着网络应用和数据量的急剧增长，为了减少广播包对网络性能的影响，普遍采用的解决方法是采用VLAN技术进行子网划分，通过三层交换技术对各子网进行路由交换；另外，在学校进行有线网络建设时也考虑到将来可能会有扩展，在有线信息点、光纤和交换机端口等资源上都留有余量，因此在进行无线网络建设时，用户希望建成的无线网络系统能够尽可能少的占有这部分网络资源，以降低工程造价和施工周期，因此一般采用AP就近接入配线间，采用无线网络与

42、有线网混合组网方式。由于有线网的固定性，一般采用根据楼层或楼宇方式进行子网划分，而无线网络必须承载于有线网络之上，因此，要求所接AP也分别划到各个子网之中，造成了原本应该统一管理的无线网络被有线网络分割成了独立的无线“网络孤岛”，这种“网络孤岛”在实际应用中会存在以下问题：不能实现全面的、统一的全网级的管理策略不便于无线网络业务的划分不能实现无线网用户的漫游对无线接入点无法做到集中管理、统一配置和升级为了解决传统有线与无线混合组网存在的上述问题，采用瘦AP方式架构代替传统AP的方法来解决这一问题。XXX品牌无线网络组网方案能够方便的实现AP的跨三层部署，接入层的AP只需要拿到属于自己的IP网络

43、设置和网络中已经部署的无线控制器IP地址即可。这样的架构大大简化了传统无线网络部署当中的复杂程度，减少了有线网络配置相杂乱的状况。图:无线网络典型拓扑图如上图所示，当AP在加电后通过广播、DHCP或DNS方式来获得位于网络骨干上的无线控制器WNC AC的IP地址信息，AP在得到无线控制器地址之后，便可与无线控制器建立通信，随后无线控制器将AP运行所需相关配置下发。AP收到这些信息后，随即进行系统启动并根据无线控制器提供的配置进行自身参数的配置。在AP启动完毕后与无线控制器之间采用隧道方式进行互连，用户的认证数据包在进入AP后，被AP重新封包进入该隧道传入无线控制器，由于认证数据全部被封入隧道，

44、用户的数据并不因AP与无线控制器之间跨了路由而改变路由路径，从用户角度来看，用户的认证数据直接跨越了层层路由，直接进入了无线控制器，无需改变现有网络拓扑结构、也无需考虑协议兼容性，从而实现了拓扑无关的组网。由于采用瘦AP的组网方式，即使是在分布式网络中，彼此被路由隔开的AP也可作为一个整体结构运行，以便于按需扩展或修改无线局域网。整套方案构建了一个稳定的、安全的校园无线网络环境，解决了无线网络环境下对各种不同等级用户网络安全访问控制，同时整个方案又保持着整个校园无线网络高度可扩展性。无线网用户安全认证校内用户校内用户主要是学校内部的师生，他们由于工作和学习的需要要求随时接入网络访问校园网内资源

45、以及访问Internet，但是这些用户的数据有可能是些最新的科研成果、研究资料和论文等等比较重要和机密的资料，使用了无线网传输这些重要资料可能遭到非法窃听的严重后果，因此需要对这类用户的数据进行加密处理，以保障用户数据的安全。我司工程师与国内多个学校网络中心技术人员经过反复论证，提出使用WPA(802.1x) 对这类用户进行身份验证最为合适。WNC AC2020系列支持WPA认证，WPA认证方式是一种基于端口控制的认证方式，即关联到AP上的每一个无线终端，在AP上都有一对虚拟的端口，一个叫可控端口，另一个叫非可控端口；可控端口平时处于断开状态，用户上网的数据不能通过，该端口可以按照WNC的指令

46、打开与关闭；非可控端口平时一直处于连同状态，但是仅仅允许用户认证数据包通过。当用户关联到AP上后，由WPA认证客户端提出认证请求，并提示用户输入账号，由AP将认真请求通过非可控端口转发给WNC，WNC从后台用户数据库中取得用户的账号信息并与用户提交的进行对比，如果匹配则无线接入控制器再与AP进行密钥协商，自动随即生成加密密钥，此后WNC发送指令给AP，要求AP将对应该用户的可控端口打开，并将生成的密钥通过TLS建立的安全隧道传送给无线终端，此后用户传输的数据使用该密钥法进行加密，该密钥每隔一段时间由无线接入控制器重新和AP进行协商以更换密钥，无需用户手工干预即可将密钥分发给无线终端， 如此循环

47、下去，实现了更高安全性的要求。对于那些对网络安全要求较高的校内用户，建议采用WPA方式认证接入。图:WPA认证流程示意图来访用户来访用户主要是到学校参观、学术交流和联系工作的一些用户，这类用户对网络的需求最重要的就是需要能够方便快速的接入Internet、浏览网页、收发Email 等等，不允许访问校内网络资源。WPA方案虽然采用了基于数字证书的强加密方式进行认证，但是对于用户端配置要求较高，必须配合认证软件才能工作（Win XP SP1、SP2自带，Win2K必须打SP4），对于学校内部用户，进行简单培训说明基本可以掌握，但是对于临时来访人员，要求他们进行繁琐的设备显然不切实际。这类用户对数据

48、安全要求较低，但要求能够尽可能简单地通过无线网络访问Internet，因此为了便于这类用户的使用，我们建议采用WEBDHCP认证方式简化用户认证操作的过程。WEBDHCP认证方式，用户无需手工配置本机IP地址、默认网关、子网掩码和DNS等相关配置，只需将用户网卡设定为通过DHCP自动获得即可。WNC内置DHCP Server，当用户通过无线网卡连到AP上，用户网卡会发出DHCP请求以获取IP等信息，当WNC收到用户这一请求后自动为其设置好正确的IP地址、子网掩码、网关等参数，免去了用户手动配置的不便。随后用户打开IE浏览器输入一个网址，WNC会弹出一个认证页面，在该页面用户只要输入正确账号即可

49、认证上网。使用此种认证方式的最大优点就是无需安装任何客户端软件，使用户操作更为方便，从真正意义上体现出无线局域网带来的移动学习的便捷。图:Web+DHCP认证界面另外，结合高性能WNC，可以对来访用户定义多种等级，有效的对来访用户进行管理，同时WNC 内置的策略路由功能和带宽控制，进一步对认证后用户进行路由出口和带宽进行控制，有效解决用户网络资源分配的问题。同时还可以根据学校管理策略设定基于用户组的ACL(Access Control List)访问控制列表，对来访用户允许访问网址进行控制及监控。Web认证具有以下优势：强制跳转登录界面用户名和密码采用基于数字证书的安全技术进行加密传输可定制的

50、用户认证界面，全中文化简单，无需专门客户端，浏览器即可，各种操作系统均可兼容MAC地址认证除了上述WEB+DHCP和WPA认证方式外， WNC AC2020系列还支持基于MAC地址的认证方式，只需将用户无线网卡MAC录入XXX品牌无线网络控制器中，则相应用户在连接上AP后无线网络控制器自动会为其进行认证而不会要求用户输入用户名和密码，简化了用户操作。无线用户统一身份管理及认证目前，越来越多的学校拥有了基于校园网平台的数字办公、教学等应用系统，这些系统均需要用户进行身份认证后以防止非法用户的入侵造成对系统的破坏。由于应用系统类型众多，造成各系统的用户账号不能同步，对于用户来说往往是需要牢记多个账

51、号，使用上非常不便，因此各学校为了解决用户账号统一的问题，采用集中管理用户账号的方法，将用户账号存储在中心的数据库中，各系统均到该数据库中取用户账号信息，从而解决了校园网用户统一身份认证的问题。同样，无线网络作为校园网络的延伸和补充，如果能和有线网络一样采用同样账号进行管理的话，一方面无疑方便了用户的使用，另一方面对于校园网管中心来说也降低了维护的工作量， WNC AC2020-E无线网络控制器支持多种身份验证接口，可以与Radius、LDAP、Windows Active Directory、 ORACLE、MySQL、SQL Server等多种数据源进行对接，在进行身份认证时可以到后台Ra

52、dius Server上进行认证，从而实现校园网用户的统一认证。图:用户管理界面网络资源访问控制考虑到这部分用户主要为校外人员，而某些校园网内部资源仅作为科研、教学用途不对外开放，因此需要对这类用户的网络资源访问进行一定的控制，以保护某些校内资源。WNC AC2020系列支持基于用户的ACL(访问控制列表)，管理员可以预先编辑好来访用户被允许和禁止访问的网段列表，XXX品牌无线网络控制器在用户认证成功后根据该用户ACL列表动态设置该用户能够访问的资源，从而有效屏蔽了校内某些较敏感资源。个性化门户服务个性化服务只提供给使用WEB认证方式的用户，由于使用WEB认证方式的用户主要是校外临时来访人员，

53、是采用WEB页面登陆方式，该页面是每个无线用户上网必需访问的界面，该页面除了需要为用户提供无线网络认证功能外，还可以利用该页面作为向来访用户提供一些信息服务的窗口，可以针对学校网络服务的特点，提供一些个性化的服务内容，如：无线网络使用指南、学校介绍、公共信息查询等。由于这些服务内容是一些公开的信息，需要在用户认证之前就应该先提供给用户访问，这可以配合WNC AC的Open Garden功能，使这些公共信息资源向每个无线用户敞开，便于用户快速方便的获取这些信息；XXX品牌无线网络控制控制器支持内置Portal Server,还支持个性化的门户（Portal）业务，可以定制WEB认证的首页页面，个

54、性化的Portal提高了学校形象和服务水平。图:Protal页面定制无线用户管理平台无线网络控制器提供功能强大的用户管理平台，能够灵活的管理无线用户，并能够对无线用户进行分组控制，每种组别采用不同的控制策略。例如可以将用户分为老师、学生和访客三种组别，对于老师组中的用户可以在任何时段访问任何资源而不受限制；对于学生组中用户可以对其允许上网时间段、允许访问的网站、允许使用的网络协议、服务等进行控制；对于访客组中用户可以限制其访问校园网中某些资源，对其访问Internet不受限制等等。用户管理平台界面基于用户的策略控制在校园中组建无线局域网，其目的是为教师和学生提供一个移动、灵活、方便的教学环境，

55、为了能够让校园无线网最大程度上为教学活动服务，利用无线网络控制器上强大的用户控制管理策略，可以对用户进行如下几个方面的策略控制：对用户进行分级权限控制，例如可以根据学校领导、老师和学生将用户分为几个群组，不同群组所能访问的网络资源进行限制，从而可以保护学校内部一些重要资料免遭非法人员窃取能够屏蔽一些有着非法和不健康内容的网站上网时段进行控制，例如在教学时间段可以让用户上网，而在非教学期不能允许使用网络，这样的控制策略能够更好的、高效的利用网络设施和资源用户策略控制配置界面因此，学校利用无线网络控制器上述灵活的控制策略，能够实现校园无线网最大程度上为教学活动服务的目的。上网日志管理由于无线网中用

56、户移动性比较大的特点，因此对无线网用户的访问访问行为的记录变得尤为重要，无线网络控制器可以记录用户上网日志，日志内容包括以下一些关键字段：用户名用户访问的网站的URL或IP地址访问时间用户的主机的IP地址MAC地址等信息记录的日志可通过TFTP备份至后台服务器。访问日志可以记录用户的整个网上活动过程，实现网络的安全控制。无线网络管理为了保证无线网络的稳定运行，对其进行方便、高效的管理是必不可少的。在本方案中，区信息中心网管人员和学校网管老师能够方便地实现对无线网络的全面的管理， 系统采用网络管理的标准协议SNMP对相关无线局域网设备进行配置、管理数据、性能数据、故障数据的采集和分析，便于学校网

57、络管理人员了解当前无线网络工作状态提供拓扑发现、管理的功能，可以直观的反映出WNC、AP 和其他相关设备之间的对应关系。在线设备状态查询在线用户数量查询无线系统拓扑图及点位分布表本次XXXX学校弱电配套工程（中学10所）进行网络系统改造，网络改造参照XXXX学校需求。网络拓扑图1、上图为铁岭中学的网络拓扑图，从图中可以看出，整个网络采用分层设计，汇聚/楼层交换机连接到核心交换机。2、所有无线信息点分别连接到各设备间的交换机上，通过楼层交换机进行汇聚，将所有无线信息点进行统一的管理，实现无线的集中访问控制。无线网络点位分布表序号楼栋楼层位置数量1教学楼一层走廊52二层走廊53多功能厅24三层走廊

58、55四层走廊56五层走廊57行政楼一层走廊38二层走廊39会议室110三层走廊311实验楼一层走廊212二层走廊213三层走廊314四层走廊215五层走廊216体育馆一层书库217阅览室218风雨操场419二层视听教室120学生阅览室421合计61无线设备供电方案对无线网络系统的设计来讲，部署无线接入点(AP)的需要考虑布线，还需要考虑无线AP的电源供应问题。当建筑中某些区域布线施工难度较大时，这就削弱了无线局域网的优势。此时，我们不得不考虑电源插口是否存在？以及连接是否可靠？电源是否会从墙板上脱落等不确定因素。为了解决这上述问题，我们在本次无线网络项目建设中采用的无线接入点均支持IEEE80

59、2.3at标准PoE供电(IEEE802.3af标准)，同时采用PoE供电设备和无线AP配合工作，通过网线对无线AP进行供电。下面两幅图是本地供电方式(强电)和PoE远程供电方式的区别:图示：本地供电方式图示：PoE远程供电方式通过上图对比可以看出，采用本地供电方式的情况下，工程施工需要为每个无线接入点AP铺设220V电源。220V电源的选择主要有两种：1、就近接入原则。比如在AP铺设附近的插座、电灯等用电设备引线，这样会减少很多的工程量。当然，就近接入的也会带来很多的问题，比如，插座、电灯等设备会有单独的开关控制，当设备停用或检修时会导致无线AP停止工作，于是就会因为影响客户使用，产生报修或

60、维护工作，给无线网络的使用带来较大的不稳定性。2、单独为无线AP铺设电源。单独铺设电源能够较好的保证无线AP正常工作，但电源和网络线路必须分开铺设，会带来较大的工作量。由于做无线系统集成的公司都只有做弱电的集成资质，如果大规模的铺设电源，势必会产生安全隐患。并且无线AP的耗电情况不能进行统一监控管理。在本方案中我们推荐采用PoE设备对AP进行供电，使数据交换与电源管理由同一POE设备共同完成，超五类线同时完成数据传输与电源输送，避免了复杂的电源布线，方便网络管理员集中管理控制终端设备的电源。POE集中供电可以使无线局域网络的可靠性大大提高。需要说明的是，POE供电方案已经获得IEEE标准组织认