延边大学无线网络技术方案20121223

延边大学无线网络技术方案PagePAGE30

Copyright©2012MeruNetworks,Inc.Allrightsreserved.技术方案©Copyright2012Meru.Allrightsreserved.延边大学无线网络延边大学无线网络技术方案MeruNetworks版本：1.0作者：SkyZhang时间：2012/12/22

目录1 延边大学无线需求 61.1 学校介绍 61.2 延边大学无线网络需求 61.2.1 无线网络架构的要求 61.2.2 无线网络产品要求 71.2.3 规划覆盖范围要求 81.2.4 无线覆盖区域的分类 81.2.5 无线网覆盖指标的分级 91.2.6 可支持无线上网的设备 91.2.7 无线网支持的业务内容 92 学校无线网络的特点 112.1 应用需求概述 112.2 基础网络接入 122.3 无线校园网络应用 142.4 满足校园特点的安全和可靠性 152.5 高性能的IPv6和IPv4无线接入 152.6 满足生产、运营网络要求的运维和管理 152.6.1 基于个人用户的运营管理 152.6.2 满足生产、运营网络要求的运维和管理 152.7 多SSID承载多个业务网络 163 延边大学无线网络系统设计 173.1 无线网络的设计标准 173.2 无线校园网设计原则 183.3 无线校园网设计综述 213.4 无线网络的架构设计 223.5 无线网络设备选型 233.6 无线控制器设计 243.6.1 控制器连接设计 243.6.2 控制器冗余设计 263.7 AP点位设计原则 273.8 无线AP部署方式 283.9 无线网管设计 283.10 无线网络的扩展设计 353.10.1 AP数量扩展 353.10.2 无线控制器扩展 363.10.3 无线网管扩展 383.11 安全规划 383.11.1 用户接入控制 383.11.2 用户认证方式与流程 403.11.3 安全认证设置方式 423.11.4 共建安全规划 533.12 无线AP规划 533.12.1 AP的部署规划 533.12.2 无线AP实施工艺 563.12.3 AP数量规划 593.13 部分参数规划 773.13.1 IP地址规划 773.13.2 频道选择 783.13.3 覆盖密度设计 803.13.4 功率控制 813.13.5 无线安全设计 823.13.6 无线漫游设计 833.13.7 天线选择 843.13.8 信道规划 853.13.9 IPv6实现 863.14 产品清单 864 Meru解决方案的技术特点 884.1 WLAN面临的主要挑战 884.2 Meru特点之虚拟蜂窝 914.3 Meru特点之无缝漫游 924.4 Meru特点之单频部署架构 934.5 Meru特点之AirTrafficControl（空气流量控制） 944.6 Meru特点之Over-the-airQoS 954.7 Meru特点之802.11n最优性能 954.8 Meru特点之负载均衡 964.9 Meru特点之RF安全 964.10 Meru特点之AirTimeFairness时间片均分技术 965 Meru产品介绍 1115.1 AP320（无线接入点）介绍 1115.2 AP320i（无线接入点）介绍 1165.3 AP320（v2）（无线接入点）介绍 1205.4 无线控制器MC4200（Controller）介绍 1245.5 MeruE(z)RF网络管理平台 1286 售后服务 1346.1 Meru售后服务体系介绍 1346.1.1 MERU的售后服务架构 1346.1.2 MERU厂商服务 1356.1.3 设备保修服务 1376.2 Meru技术培训计划 1397 Meru市场地位和高校案例 1447.1 费城学区（实施时间：2006-2010） 1457.2 迈阿密大学（实施时间：2005-2010） 1467.3 伊利诺伊大学（实施时间：2008） 1477.4 密歇根大学（实施时间：2008-2009） 1487.5 坦普尔大学（实施时间：2008-2010） 1497.6 北京师范大学（实施时间：2010-2011） 1507.7 南京大学（实施时间：2011-2012） 151延边大学无线需求学校介绍延边大学地处有“教育之乡”美誉的吉林省延边朝鲜族自治州首府延吉市，是一所具有鲜明民族特色的综合性大学，是中国共产党最早在少数民族地区建立的高校。学校是国家“211工程”重点建设大学、西部开发重点建设院校、吉林省和教育部共同重点支持建设大学。学校设有21个学院，拥有12大学科门类的71个本科专业。学校拥有1个国家级重点学科、12个省级优势特色重点建设学科，7个国家级特色专业，15个省级特色专业；学校拥有2个博士后科研流动站，6个一级学科博士学位授权点（含50多个二级学科博士学位授权点），24个一级学科硕士学位授权点（含140个二级学科硕士学位授权点），11个专业学位硕士点，涵盖了理、工、农、医、文、史、经、法等12大学科门类。学校现有全日制在校学生2万余人，其中本科生17，000余人，博士、硕士生3500余人。学校综合办学条件优良，基础设施完备，校园占地320公顷，所有办学区通过光缆和计算机网络连为一体，使网上办公、远程教育更加便捷。拥有语音实验室28个共1000余座，多媒体教室36个共6000多座，教学用计算机4000台；全校教学科研仪器设备共15,000余台件。学校图书馆拥有各类纸质文献2,085,852册，电子资源1,407,322册。进一步建设、完善了教务管理、科研管理系统，以及教育在线、学生在线、实验室与设备信息网等业务网站，提高了教育管理的信息化水平。多功能体育馆、游泳馆以及各种球类运动场等公共服务设施一应俱全，为全校师生员工的学习、工作、生活提供了便利条件。延边大学无线网络需求无线网络架构的要求总体要求无线网络采用集中控制器、POE交换机和AP的三层划分，由无线集中控制器统一配置、管理各类AP。支持在无线网络中配置针对无线入侵、网络攻击、病毒等的检测、防范策略。集中控制器集中控制器按照N+1的备份配置以保证无线网络的高可靠性，实现关键设备的冗余与故障热备，实现集中的安全、QoS策略。控制器应具有集中的自动无线资源管理能力，包括根据实际的无线环境实时调整无线信道、无线发射功率等,在控制层面对无线特性（如功率的协商、多媒体准入控制能力、多媒体包的转发机制等）具备控制能力，提供完善的QOS机制。瘦AP可以在2.4G和5.8G频段同时部署AP，采用MIMO或分集技术天线，支持外接天线或内置天线，支持数据包二层转发模式，即AP本地转发，而不通过控制器转发。对人员密集区域、环境复杂区域采用支持双频和802.11n技术的AP进行高带宽、高可靠性、高接入能力的部署，并通过独立的网管软件对所有AP实现统一网管。有线接入架构在无线网络密集接入区域，无线网络应单独组网，通过POE交换机接入校园网汇聚和核心设备。在只配置少量无线AP的区域，无线AP可通过单独的供电模块接入当地的有线网络。认证计费要求支持Radius等多种认证计费协议。Ipv6：集中控制器、POE交换机应硬件支持IPv6协议，AP支持ipv6二层透传。无线网络产品要求无线控制器：a,当网络出现故障时或任何一个控制器不能正常提供服务时，能进行快速切换，且控制器支持对AP实现负载均衡；b,硬件支持802.11n；c,支持无线终端跨IP子网的快速无缝漫游，良好支持语音业务/实时多媒体业务，并保持全网漫游身份的唯一性；d,支持对所有AP(a/b/g/n)进行统一管理，AP零配置上线；e,支持并具备组播服务功能；f,支持不同SSID映射不同QOS策略，支持802.1P、802.1Q,支持单一SSID映射到多个VLAN的功能,支持根据各种不同的应用类型或认证方式分配不同的QoS策略；g,支持无线IPS/IDS能力,支持非法AP、非法客户端的发现、抑制功能；h,支持WEP、WPA、WPA2、AES、TKIP加密协议,支持IPSEC,L2TP透传；无线接入点：a,支持内置或外置双频天线；b,支持802.3af标准POE供电；c，支持WEP,WPA,WPA2,AES,TKIP加密协议，802.11I,802.11E,WMM；d，支持节电模式；f，支持二层隔离功能；g，支持语音呼叫准入控制CAC功能；h，支持二、三层漫游，并保持客户端应用不中断；i,无线AP的发射功率低于100毫瓦。规划覆盖范围要求此次项目无线网络覆盖区域为：全面覆盖校区全部建筑物内部和室外区域，同时应兼顾建筑物内主要楼梯间、电梯等区域的信号覆盖，尽可能实现无死角、无盲区；全网具备无线终端在线漫游能力，达到不掉线、无需重新认证。无线覆盖区域的分类A类区域：固定人员为主，业务量较大的区域，如普通教室，办公场所，宿舍，及部分其他室内公共区域；B类区域：固定工作人员高密集，并发业务量大的区域，如固定大教室、会场等。C类区域：指空间结构与平面布局复杂，装修装饰用材料对电磁场传播影响较大的区域，如：图书馆、体育馆部分，D类区域：人员流动比较频繁的区域，如：部分餐厅，超市E类区域：重大活动或突发人员聚集的场所，需要提供可应急保障覆盖措施（室外临时活动场所，新生入学注册，室外运动场，食堂体育馆等）上述五类区域内的用户密度、上网行为各有其特点，无线网覆盖时必须针对其特点有针对性设计出相应的对策，以取得最佳的覆盖效果。无线网覆盖指标的分级高密度接入要求（Ⅴ级）：要求满足在线用户数不低于座位数的70%，并发传输每用户速率不低于1Mbps；在线用户数小于座位数70%时，其并发传输每用户传输速率应相应上升；较高密度接入要求（Ⅳ级）：要求满足在线用户数不低于座位数的60%，并发传输每用户速率不低于1Mbps；在线用户数小于座位数60%时，其并发传输每用户传输速率应相应上升；正常接入要求（Ⅲ级）：要求满足在线用户数不低于座位数50%，并发传输每用户速率不低于2Mbps；在线用户数小于座位数50%时，其并发传输每用户传输速率应相应上升；移动方式的接入要求（Ⅱ级）：固定在线用户数不确定，以流动人员为主的区域，并发传输每用户接入速率不低于2Mbps；应急覆盖的接入要求（Ⅰ级）：以短时间内有大量接入人员为主，出现大量业务流量。并发传输每用户接入速率不低于1Mbps；为使全网能够提供优质的移动实时多媒体及无线定位服务，上述五种接入要求的区域应做到无缝覆盖，覆盖场强不小于-70dbm，需要保证无线覆盖区域内95%以上的位置无线信号强度大于-70dbm，语音单向时延小于150ms，抖动小于50ms，丢包率小于1％，mos值大于3。应急覆盖主要解决应急情况下大量迸发用户的上网问题，实现应急措施后，其覆盖区域的场强、接入速度应达到或接近正常接入的要求。可支持无线上网的设备所有按照802.11a/b/g/n标准设计的有正式入网许可证的设备均可接入；支持笔记本、PDA、iphone、ipad；无线网支持的业务内容传统的各类网上业务（浏览网页、收发邮件、即时通信、网络电话视频等）；支持实时多媒体业务（实时wifi语音点对点通信、点对多点的通信；实时wifi视频组播、视频对讲功能、视频会议）。学校无线网络的特点应用需求概述随着IT大环境的变化，WLAN已经无处不在。我们来回看一下近几年终端装置的发展历史，可以深刻的感受到无线网络蓬勃发展的必然趋势。2008年：笔记本电脑的出货量超过台式机，且99%以上内置WLAN网卡2009年：IEEE802.11n标准出台，实现了54M到300M的速度跨越2010年：Apple推出了WiFi版iPad平板电脑，便携式终端又添新军2011年：Apple、Android、Microsoft三大系统大行其道，基于这些系统平板电脑和智能手机成为了最主流的数码产品正式由于无线终端的迅猛发展，加上各种各样的应用，使得生活、工作变得更加多元化。建设无线校园，已经是国内高校信息化发展的必经之路。然而，各高校在建设无线校园之前，都会考虑几个关键的问题，同时也是他们的需求。这其中就包括无线网络稳定性、安全性、扩展性、可管理性等多方面的要求。就无线网络的使用场所来分析，一般高校都会对于一些重点区域进行无线网络覆盖，包括教学楼、图书馆、行政办公楼、体育馆等。以下是目前高校对于无线覆盖的几个典型区域示意图。目前，国内高校无线网络日后将是多种无线应用共存的一个大规模无线网络，所以势必存在不同终端、不同用户群、不同应用的网络需求。高校的无线网络用户大致可区分为4大类，分别为教职员工、学生、访客、特殊终端（比如摄像头、相机等）。基础网络接入在教育信息化快速发展的今天，校园网已经成为校园生活的重要组成部分，是教职员工和学生获取资源和信息的主要途径。它将校园里的老师、学生与从事社交、学术、业务活动的行政人员紧密地联系,在教育系统中具有重要的作用。随着笔记本、上网本、智能手机、平板电脑等移动终端种类的不断增加，其灵活、便携的特点，越来越强大的功能，以及不断降低的成本，加速其在校园中的被使用率，从而对无线网络在校园教学、学习、办公、公共场所甚至虚拟社区中的普遍应用提出更高的要求。目前，越来越多的教师、学生渴望在教室、宿舍、实验室、礼堂、图书馆和室外广场等场地随时随地地接人互联网或校园内网，及时地获得所需的信息。以下为国内高校无线校园接入使用的一些典型场景：端口数量一般来说，有线局域网中在如教室、图书馆、会议室等人口密集的区域只能提供数量非常有限的信息点，随着以后笔记本电脑的普及和现代化教学的普及，部分区域同一时刻可能会拥有大量的电脑，但现有的有线校园网没有办法使学生们在这些区域上网。而采用无线方式，在端口上连接无线接入点，不需布线就可以轻松从-个端口扩展到成百上千个端口的应用。联合办公新生入校和毕业生离校最为典型。随着档案管理的电子化，此时需要多部门集中联合办公，传统的方式是每次迎新都通过拉网线，接交换机的方式，非常耗费人力，而无线局域网技术能够很好的解决这种多部门联合办公的突发需求，极大的简化每年新生入校和毕业生离校的网络部署工作量，提高学校信息化水平。临时活动各种学术活动越来越多地在学校举行。除此之外，学校每年也都会举办一些其他的活动，如运动会、人才交流活动等。由于这些应用的特殊性和灵活性，有线局域网将不能满足校园网的需求。所以很有必要使用无线局域网技术对原有的有线网络进一步扩充，使校园的每个角落都处在网络中，形成真正意义上的校园网户外上网让师生在户外广场、运动场等地方可以方便的接入校园网络访问资源。无线校园网络应用随着Internet应用的迅猛发展，笔记本电脑智能移动终端的日益普及和广泛应用，使广大师生的学习、工作和生活不再紧紧围绕着办公室、教室或宿舍。越来越多的校园网用户会通过这些智能终端访问各种各样的校园网络资源，可能是网页浏览和邮件收发，可能是观看在线的多媒体课件，也可能是查询电子图书馆的各类电子文献，还可能是用户与用户之间的协同与交流。并且与以往不同，由于这些智能终端具有无与伦比的便携性，用户对校园网络资源的访问将不再具有空间和时间的限制，而会发生在任何时间、任何地点。校园用户越来越要求尽可能方便、快速、移动式的使用网络，无线校园的建设正驶向快车道。当前，各大高校的无线校园网络上的通信流量主要还是以人为主，实现人与人之间的通信（如QQ、MSN、Skype等即时通信应用）和人与物之间的通信（如网页浏览、在线视频、邮件收发、FTP下载等），随着将来物联网技术在校园中的应用，还会出现更多的物与物之间的通信，实现用户、网络、设备三者之间的融合，并演化出各种各样的无线应用。因此，基于无线的校园应用具有广阔的需求愿景。基于移动终端的校园网访问各种移动终端的普及使越来越多的用户开始习惯于随时随地访问校园网资源，其中既包括教务、科研、人事、学籍、党团、后勤管理等各种校内办公子系统，也包括电子图书馆、教学资源库等教学资源支持子系统，还包括教科网和互联网上的各种资源。基于多媒体的在线电子课件通过移动终端访问多媒体在线电子课件，可以使学校教学突破传统学习模式，充分利用现有数字资源，为学员提供自助式培训课程菜单。学员在课堂以外可以根据自己的培训需求，通过无线网络自由点播相关的教学录像和教学课件，克服时间和空间限制，高精度地实时交互地传送文字信息、图像及音频、视频信号，为教育的网络化、社会化和终身化提供了理想的支撑平台。无线视频监控保卫校园安全校园视频监控系统的建设主要是为了预防、控制和减少校园犯罪，提高学校处置突发事件的应急指挥能力，最大限度的减少意外事故给学校师生造成的影响和损失，切实保护师生的人身财产安全。由于无线校园网络具有全覆盖特性，因此可以使学校不需要复杂的网络布线，实现校园视频监控系统的快速部署和灵活调整。无线物联网和绿色环保校园作为智慧校园的核心内容，无线物联网为校园内各种设施和设备提供“最后一米”的网络接入，真正实现物与物之间的通信。无线校园网一方面可以作为校园物联网的主干通信通道，另一方面也可以通过自身提供各种具备Wi-Fi接口的设备接入，因此可以作为校园物联网的“高速公路”，为校园物联网的建设提供高性能的基础通信平台。通过基于无线校园网的物联网，学校可以被打造成自动化的智慧校园，不仅可以通过各种设施之间的通信和联动，进一步提升校园安全功能，而且还可以对水、电设施的开关进行自动优化，节约水电开支，实现绿色环保校园的理想。满足校园特点的安全和可靠性目前高校校园无线网的目标是建设一个可收费的、可运营网络，这样的定位对可靠、安全、加密和非授权用户的控制提出了更明确的要求：支持精确的无线入侵、射频干扰、非法AP定位和隔离;同时支持端到端的网络可靠性保证技术。高性能的IPv6和IPv4无线接入现在建设高校无线网络，除了要考虑对现有IPv4网络终端的无线接入，满足当前高校师生对无线网络的需求外，又要支持IPv6的用户接入，以适应网络发展趋势，并保护网络投资。满足生产、运营网络要求的运维和管理基于个人用户的运营管理无线网络系统需要支持运营管理功能，能够根据单个用户实现用户管理，包括：认证、计费、安全控制、QoS控制等。满足生产、运营网络要求的运维和管理校园无线网络规模大、环境复杂，因此无线网络系统应该支持高效的运营网络级的多SSID承载多个业务网络延边大学无线网络系统设计无线网络的设计标准移动性WLAN的设计必须尽可能保证用户在移动过程中，电波的传送和接收稳定可靠，尽量确保客户的应用在漫游时，不发生中断。高性能无线网络系统能够适应今后高带宽的要求，满足日益增长的业务量需求，这些需求不但包括今后巨大的业务数据量，同时也包括音频、视频等的需求。高密度随着各种WiFi终端不断涌现出来，如智能手机，iTouch等，对无线网络系统覆盖所支持的客户端密度提出了更高的要求。一个AP支持三、四十个客户端的能力已经不能满足WiFi用户的需求。高可用性无线网络系统具有较高的可靠性和可用性，具有强大的容错功能，以保证各种应用的正常运行。系统具备在线故障恢复能力，关键设备、模块、线路能做到实时备份、均衡负载和自动故障切换。可管理性可以对网络进行在线监控，随时了解无线网络的“健康状态”，快速定位并排除故障，根据需要优化网络，更合理地对网络进行配置及资源分配，提高网络的利用率和性能。安全性无线网络系统提供多种有效的安全控制机制，以防止机密泄露和影响正常工作。无线网络系统应提供一套完整的安全防范措施，能够有效地防止系统外部人员的非法侵入。可扩展性应用的不断发展要求网络在性能、协议、网络拓扑及各种业务等方面具备很好的可扩展性。在无线网络设计及选择设备时应完全满足目前的应用需求，同时充分考虑今后较长时间内应用发展的需要，网络系统应能方便地升级。开放性无线网络系统应采用国际标准。无线网络体系结构与系统应用相互独立，支持各种通讯协议，各种数据库和客户机/服务器应用，与现有的LAN网络系统无缝地集成。经济性和实用性完全从目前的应用需求出发，设计既能够满足目前的应用需求又能面向未来的应用需求升级的网络系统方案，同时又要保证提供服务时的经济性。在满足系统功能要求的前提下，尽量降低建设成本，考虑今后升级时设备的可持续使用，保护用户投资。无线校园网设计原则信号覆盖范围和强度项目需求：无线网络信号要求做设计区域全覆盖。无线局域网协议采用802.11a/b/g/n兼容方式，信号强度不低于-65(dbm)，以保证用户无线上网，WiFi电话，移动PDA的应用要求。需求分析：通过多种安装方式，达到覆盖延边大学校园园区的主要无线应用区域。安装方式采用明装或暗装的方式，室内AP安装采用天花板吸顶方式，室外AP安装在位置较高的楼顶。覆盖区域和安装规格在实施方案图纸中标识。RF信号抗干扰项目需求：在楼宇格局布置复杂的空间内，AP或多或少的存在着RF信号的干扰，以及其他同频率无线设备的信号干扰，要求尽量把这种干扰降到最小。需求分析：Meru可以通过同频技术来处理或避免干扰，提高RF信号质量和信道利用率用户容量和传输性能项目需求：覆盖区域内，确保无线网络的传输质量以及达到WiFi电话的语音质量。需求分析：根据用户的容量和应用流量需求，在设计方案中满足每台室内AP设计接入用户数量不低于50个，每个用户均可提供802.11n高速接入。漫游性能项目需求：要求无线网络系统支持无缝漫游，保证无线网络在覆盖区域应用时（包括PDA和WiFi电话）的数据不中断和语音的流畅。需求分析：Meru无线网络系统使用同频技术，在覆盖区域支持无缝漫游，实时交互用户接入信息，保证无缝漫游性能。网络负载均衡 项目需求：在覆盖区域，要满足多用户使用时不会产生网络瓶颈和网络性能的下降。需求分析：在方案中，无线网络系统应该提供动态的基于流量和用户数量的负载均衡机制，为用户提供最好的网络性能。通用计费支持项目需求：开放的WLAN覆盖方式，对内网开放，对学生/访客用户收取访问互联网络费用。需求分析：通过Web方式完成认证，经过后台计费系统完成计费。统一维护管理项目需求：提供简单、易用、统一的无线网络管理平台。为今后校方的IT维护人员提供最好的工作便利。同时，保证与延边大学现有有线网络无缝衔接。需求分析：无线网络系统通过一个核心管理部件进行综合的管理，不需要针对单独的AP接入点进行管理和维护。AP、AC均支持标准SNMP协议，支持第三方网管系统。用户接入认证项目需求：支持主流和多种形式的无线网络接入认证方式，满足用户的安全需求。需求分析：要求无线系统支持国际主流的大部分认证协议和认证方式，包括802.1x、CaptivePortal和MAC地址绑定认证方式。无线安全加密项目需求：无线网络的安全是一个重要的应用保障，没有安全一切应用都变得脆弱和危险。无线网络系统需要兼容和接纳最高等级和最广泛的加密协议，保证信息安全需求分析：支持通用的加密方式和协议，包括WEP、WPA、WPA2等。加密和认证通常是一起使用的。无线入侵防护机制项目需求：对于网络恶意入侵频繁发生的今天，保证网络的安全成为系统的第一要素。被入侵和恶意攻击的网络系统是无法承载日常应用的，违背网络建设的初衷。需求分析：无线网络的入侵防护系统能够监听个个无线信道的数据流量，实时汇总和分析。针对入侵行为进行有效的联动保护。性能稳定项目需求：无线设备需要满足最大的无故障运行时间（MTBF），保证网络的正常运行需求分析：网络核心设备的MTBF>=5年。无线校园网设计综述根据延边大学的相关技术要求，在充分分析了校方需求和技术发展趋势之后，结合数据通信发展的实际情况现提出以下无线网络接入系统方案。下面我们就延边大学无线网络建设提出如下建议：全网支持802.11b/g/n，在某些特殊区域，如图书馆，多媒体教室，学术报告厅等热点区域支持高密度覆盖，确保用户数据，语音，视频的融合应用；无线控制器采用N+1冗余方式。对数据，语音和视频启用不同的QoS策略，在WiFi语音使用频繁区域做语音呼叫控制和信道之间的负载均衡。在全网内同时支持MAC，802.1x和Portal认证方式，客户端无论通过哪一种认证都可以接入无线网络，为不同的WiFi终端提供更加方便灵活的认证方式。Portal认证下采用WEP加密，802.1x下采用TKIP或AES加密。启用防ARP攻击，DHCP伪装，源地址假冒，非法AP和客户端侦测等安全功能，防止来自WiFi的攻击；MAC地址和AP绑定，避免用户使用相同MAC地址在其他区域（AP下）获得无线接入。无线网络独立组网，通过汇接交换机接入到骨干网络，与有线网络统一做认证接入。建议以楼为单位来划分VLAN和分配IP地址，每个VLAN地址池≤一个C类地址，以控制广播和病毒传播，同时提供UserID-VLAN-AP的3元或多元映射表，方便管理员在大规模管理网络时更加方便。认证和计费方面，MERU控制器提供标准的radius认证和计费接口，集成到目前延边大学有线网络的认证计费系统中。通过标准的SNMP对设备进行配置和监控，通过SNMPtrap和网页警告，邮件通知等方式通知管理员。在MERU的EzRF网管或独立的syslog上记录发生问题的网络环境上下文，必要时可进行现场重现和日后的审计。无线网络的架构设计延边大学无线网采用层次化的设计，主要分为以下几层：集中管理层，分步控制层，用户接入层。集中管理层为无线网管系统，集中管理所有的无线网络设备；分布控制层为所有无线控制器，管理一定区域内的无线AP；用户接入层为所有无线接入点。无线网络设备选型根据延边大学的实际情况，我们对于控制器选型有如下建议：目前市场上高端无线控制器单机可管理的AP数量一般在500个或以上，考虑到后期无线网络管理的简易型，建议考虑部署能支持多AP管理的控制器。无线控制器一般提供集中转发和本地转发两种工作模式。对于集中转发，更适合做一些用户行为或者服务质量的高度控制，但由于所有数据需要途径控制器，用户每个数据包都会被控制器所终结和转发，对于并非基于数据交换来设计的无线网络控制器而言，转发性能必定是以后的瓶颈。因此，延边大学对于需要高吞吐量的区域，应当更多的使用本地转发的模式，使得数据的转发更加合理化，优化整体网络性能。而由于本地转发模式底下，控制器无法做深层次的控制，本地转发模式底下的安全性将需要有保障，比方说本地转发模式底下的用户二层隔离，避免客户端因中毒以后通过二层广播扩大影响。由于应用的不同，比方说普通上网（需要高吞吐量）和语音应用（需要更好的QoS服务质量保证），建议选用的无线控制器可以支持在同一个AP底下同时支持本地转发和集中转发模式。考虑到无线网络以后将逐渐成为关键的网络接入方式，稳定性和可用性是非常重要的，建议考虑无线控制器的冗余方案。考虑到成本原因，建议延边大学的无线控制器实施N+1冗余保护机制，而并非1:1的冗余机制。因此，我们结合了延边大学的实际情况和Meru的产品特点，在本期项目中推荐选用MeruMC4200作为无线控制器。对于无线AP，我们根据项目的需求，推荐延边大学选用MeruAP320、AP320i和AP320（v2）。三款AP的特点与使用场景区分：AP系列AP300系列型号AP320AP320iAP320（v2）描述双频802.11a/b/g/n室内无线接入点双频802.11a/b/g/n室内无线接入点双频802.11a/b/g/n室外无线接入点外观空间流2个（300Mbps）2个（300Mbps）2个（300Mbps）以太网端口1个10/100/1000M自适应RJ45电口1个10/100/1000M自适应RJ45电口1个10/100/1000M自适应RJ45电口射频卡双射频卡，支持802.11a/b/g/n组合双射频卡，支持802.11a/b/g/n组合双射频卡，支持802.11a/b/g/n组合天线接口外置天线接口，6个RP-SMA接口内置天线外置天线MIMO支持支持，3x3支持，3x3支持，3x3控制口1个RJ45口1个RJ45口1个RJ45口供电模式支持802.3af或802.3atPoE供电或5V直流供电支持802.3af或802.3atPoE供电或5V直流供电支持802.3af或802.3atPoE供电或5V直流供电适合场所学术报告厅，图书馆，多媒体教室，新闻发布会场学术报告厅，图书馆，多媒体教室，需要美观部署的区域室外广场，道路无线控制器设计控制器连接设计延边大学有两个校区：老校区，新校区。老校区有800颗左右的AP，新校区有2000+的AP，两个校区分别管理。老校区需要2台MC4200，新校区需要5台MC4200。一共有9台MC4200，分成两个组团：组团1：6台MC4200，5台主控制器，1台备份控制器，管理新校区组团2：3台MC4200，2台主控制器，1台备份控制器，管理老校区每个组团都有两台控制器的接口交换机作为控制器和网络互连接口。一台主用，一台备份。也就是2个组团共4台控制器的接口交换机。每台无线控制器都有2个10G接口，分别连到2台控制器的接口交换机上。每台控制器的接口交换机都会有单独的端口（一个端口对应一台主用的无线控制器，备用控制器没有）连接到有线核心交换机上。主用的控制器的接口交换机和有线核心交换机通过10G接口互连，备用的控制器的接口交换机和有线核心交换机通过1G接口互连。主用的控制器的接口交换机会有单独的端口（一个端口对应一台主用的无线控制器，，备用控制器没有）分别连接到三家运营商交换机上，每家运营商单独一个接口，通过1G接口连接。下图为连接示意图：组团1：组团2：控制器冗余设计控制器的冗余分为几个方面。第一是设备级的冗余：本期采购的9台MC4200中有两台是作为备份控制器的。针对两个控制器组团，分别采用4+1和3+1的方式冗余备份。平时备份控制器并没有AP注册在上面，它实时的监听其他控制器的状态：当一台主用控制器发生故障之后，备份控制器会快速的替代改设备，相应的AP迅速的注册到原先的备份控制器上，将用户业务的中断减低到最小。实现MeruN+1冗余的前提：Meru控制器支持N+1冗余机制，N≤5。Meru实现N+1冗余的前提是控制器硬件需要相同型号，软件系统相同，AC要放置在同一个子网当中。第二是控制器端口的冗余。每台控制器都有冗余的链路连接到控制器的接口交换机，控制器接口交换机主备冗余。分别连接到核心网络中。AP点位设计原则AP的点位应遵循以下的基本尊准则：AP一般部署在教室内，走廊信号由教室内部的AP提供教学楼天井等室外开阔区域由专门部署在附近走廊上的AP提供信号覆盖确保信号强度>-65dBm,，信噪比SNR>18dB无线独立组网，通过专用汇聚交换机连接到有线核心交换机50人教室部署1个AP；50-100人教室部署2个AP，预留1个信息点100-200人教室部署4个AP，预留1个信息点AP通过3层发现AC，并采用“集中转发”和“本地转发”工作模式结合部署全校使用统一的SSID号同时要兼顾客户端的通信性能。在考虑终端性能的时候，假设：1）该AP周围的相邻AP均处于带负载双频工作状态下；2）终端的类型、品牌、性能与目前国内高校移动设备的平均普及程度基本一致，即手机大部分为11g的1*1天线、笔记本也有部分11g的1*1天线；3）“手机上网”指40%左右观看视频节目或下载，其余为其他应用；4）每个AP在2.4和5频段至少各开通8个SSID（四个共建方各开通两个SSID），即每个AP至少开通了16个SSID。对于延边大学的无线覆盖的区域，有一下集中类型：1）安装在学生公寓楼道的AP两个频段同时工作时2.4G频段（采用360°吸顶天线）可以提供50Mbps以上吞吐量，且同时有30部手机、15台笔记本(平板电脑)上网；5G频段（20MHz模式）可以提供50Mbps以上吞吐量，且同时有30部手机、15台笔记本（平板电脑）上网；2）安装在图书馆阅览室、教室、报告厅等区域的AP两个频段同时工作时2.4G频段（采用120°扇区天线）可以提供40Mbps以上吞吐量，且同时有40部手机、20台笔记本(平板电脑)上网时，保证20台笔记本平均流量为1M以上；5G频段（20MHz模式）可以提供40Mbps以上吞吐量，且同时有40部手机、20台笔记本（平板电脑）；3）安装在学生食堂的AP两个频段同时工作时2.4G频段（采用120°扇区天线）可以提供40Mbps以上吞吐量，且同时有80部手机、5台笔记本(平板电脑)上网时；5G频段（20MHz模式）可以提供40Mbps以上吞吐量，且同时有80部手机、5台笔记本（平板电脑）上网时，保证5台笔记本的平均流量为1M以上；4）安装在室内其他区域的AP两个频段同时工作时2.4G频段可以提供60Mbps以上吞吐量，且同时有30部手机、15台笔记本(平板电脑)上网；5G频段（20MHz模式）可以提供60Mbps以上吞吐量，且同时有30部手机、15台笔记本（平板电脑）上网；5）安装在室外区域的AP两个频段同时工作时（假设用户终端与AP之间的平均距离为50-60米）2.4G频段（采用90°扇区天线）可以提供40Mbps以上吞吐量，且同时有40部手机、5台笔记本(平板电脑)上网；5G频段（20MHz模式，采用90°扇区天线）可以提供30Mbps以上吞吐量，且同时有30部手机、5台笔记本（平板电脑）上网。对于Meru的AP300系列，拥有独有的AirtimeFairness技术，能保证有大量客户端接入的时候，总体的射频卡性能也相当良好。实际通信中一个AP的单个射频卡的吞吐量通常在50Mbps-60Mbps。通过射频分配技术，手机采用11g的客户端，笔记本（平板电脑）采用11n的客户端。如果拥有相同时间几率的通信可能，11n的速率将是11g客户端2.5倍。也就是一个11n的客户端按照3个11g的客户端来计算。按照总体60Mbps来看，如果有30台手机，12台笔记本。60Mbps吞吐量将按照如下分配60/(30+12*2.5)=1Mbps。也就是手机了可以获得1Mbps的吞吐量，而笔记本可以获得1*2.5=2.5Mbps的吞吐量。按照5种环境计算结果如下：ID类型频段总吞吐量手机数目笔记本数目手机速率笔记本速率11学生公寓楼道2.4GHz50Mbps30150.74Mbps1.85Mbps5GHz50Mbps30150.74Mbps1.85Mbps22图书馆阅览室、教室、报告厅2.4GHz40Mbps40200.44Mbps1.11Mbps5GHz40Mbps40200.44Mbps1.11Mbps33学生食堂2.4GHz40Mbps8050.43Mbps1.08Mbps5GHz40Mbps8050.43Mbps1.08Mbps44其他区域2.4GHz60Mbps30150.89Mbps2.22Mbps5GHz60Mbps30150.89Mbps2.22Mbps55室外区域2.4GHz40Mbps4050.76Mbps1.9Mbps5GHz30Mbps3050.70Mbps1.76Mbps无线AP部署方式无线网络布置以有线和无线混合的模式，各个AP直接接入有线网络。充分利用有线网络的高带宽，提高网络的健壮性。各AP通过双绞线与楼层汇聚802.3af标准POE交换机相连，再通过千兆上联线路与网络中心的核心交换机连接。从而达到访问以太网的目的。对于接入层交换机，要求支持标准的802.3af的供电协议。无线AP和无线控制器之间只要保持IP层上的可达即可。对于现有网络，基本不需要调整网络架构。无线网管设计Meru的EzRF无线网络管理系统的部署方式如下：EzRF网管安装在SA2000平台上。通过有线网络和无线控制器通信，仅要求SA2000和MC4200之间是IP层可达即可，可部署在新校区机房。通过B-S模式的访问，用户可以轻松访问EzRF网管平台，获得无线网设备、资源和用户的信息，并管理这些网络设备：对于无线设备可以通过模板，集中下发配置：同时EzRF具备状态、故障、告警、远程抓包和诊断调试等故障管理功能，轻松的处理无线网络中的问题：EzRF具备信号冲突避免、频谱分析（FFT、占空比）、检测RF干扰等无线射频管理功能：EzRF还拥有流量监控、记录、分析和带宽分配与管理等性能管理功能，及用户信息配置、用户状态检测记录、用户的资源占用率检测记录等用户管理功能：无线网管另外一个重要的功能，是管理用户的定义。EzRF平台通过用户组的方式来定制具有不同权限的组别，而每个建立的用户属于一个特定的组别，同时选择该用户以此实现不同级别的管理用户的权限分配。在建立用户组的时候，有以下几个页面组权利可以选择（可复选）：MonitorCapability：仅能访问Monitor页及其子页面，不能访问其他页面，是用户组的默认权限ConfigurationCapability:仅能访问Configuration页及其子页面，不能访问其他页面，如果需要能够配置控制器，同时用户需要具有InventoryCapability。InventoryCapability：仅能访问Inventory页及其子页面，不能访问其他页面。ReportandNotificationCapability：仅能访问ReportandNotification页及其子页面，不能访问其他页面。VisualizationCapability：仅能访问Visualization页及其子页面，不能访问其他页面。AdministrationCapability：仅能访问Administration页及其子页面，不能访问其他页面。同时用户组在建立的时候还可以选择相应的网络资源，以实现进一步的细分：不同用户组建立的是独立的，不可见的：（由Group1建立的SSID，对于组内是可以管理的，而对于Group2是完全不可见的）对于延边大学此次的实际情况，我们可以对用户建立如下的用户组：用户组名SuperUser*YBUCMCCChinaUnicomChinaNetYBU-SubCMC-SubChinaUnicom-SubChinaNet-SubAdministration●●●●●Inventory●●●●●●●●●Configuration●●●●●Monitor●●●●●●●●●Visualization●●●●●●●●●ReportsandNotification●●●●●●●●●*默认组，最高权限而对于干扰源，Meru无线系统提供内置的IDS无线入侵检测系统，可以对非法RogueAP和RogueClient以及信号干扰等进行检测、定位和抑制；Meru的无线系统还可以提供出色的和有线安全设备的联动功能，例如IDS/IPS等等，实现对L2-L7层入侵攻击的防范，弥补WIDS方法L2入侵攻击的不足，实现对客户访问的认证和授权，体现一体化的安全策略。无线网络的扩展设计Meru的无线网络解决方案是非常易于扩展的。具体体现如下：AP数量扩展当无线覆盖需要扩展的时候，仅仅只需要在需要增加的点，添加AP即可。而不需要复杂的信道规划和勘测。就像挂“电灯泡”一样简单。无线控制器扩展而当AP的数量超过现有无线控制器承载的规模时，我们会需要对无线控制器进行扩展。那有两种情况：第一，如果AP数量没有超过控制器的最高容量。我们仅仅需要购买控制器的AP的license即可。第二，如果AP数量超过了控制器的额定最高容量。这个时候就需要增加控制器。如下图所示：扩展并不需要对网络的结构进行调整，因此是平滑的，无风险的。如果无线网络需要提高到5000台AP、70000个用户（终端）同时接入，也就是10台master的MC4200，2台slave的MC4200。在极限情况下，最多需要再采购的清单如下（取决于新增加的AP的位置）：独立控制器MC4200无线控制器MC4200，最大支持500个AP，5000个客户端，包含系统软件，支持空中流量控制,微点管理系统模块,无线安全管理模块,非法接入点检测模块.支持N+1控制器冗余4MC4200-SD-10G无线控制器MC420010G接口升级包4MCx000-SD-500AP无线AP授权，500个3MC4200RN-5-MAX无线控制器MC4200N+1控制器冗余的license（N＞1）1具体到实际的情况就是：组团1：如果组团需要再扩展，就超出了N+1部署的极限，因此需要再采购一台冗余设备。极限情况就是：所有的新加的1500颗AP都出现在新校区：因此要增加4台无线控制器，3台主用的控制器，1台备份的控制器，和无线控制器接口交换机行程新的组团模式。增加其和控制器接口交换机的连线，增加控制器接口交换机和核心交换机及运营商交换机之间的连线。组团2：如果1500颗AP都出现在老校区，就增加增加3台无线控制器，成为5+1的冗余模式。增加其和控制器接口交换机的连线，增加控制器接口交换机和核心交换机及运营商交换机之间的连线。无线网管扩展SA2000服务引擎单台支持250台控制器，25000颗AP。因此5000台AP并没有超过设备的容量，只需要简单的增加网管的license即可平滑的扩展到5000台的容量。而此次已购买支持5000颗AP的license，因此无需再购买任何license。安全规划用户接入控制同一个AP下，根据不同的用户ID，分配不同VLAN的IP地址，实现基于用户角色的访问控制。Meru基于角色的访问控制，流量隔离示意图管理员维护表格式：用户ID/MACVLAN/IPESSID认证方式AP名称/Radio安装地点工作信道所属控制器用户认证方式与流程（1）Web认证计费流程 用户Web认证具体流程：用户获得IP地址后，输入需要访问的因特网站控制器记录下客户请求，并把向外部Web服务器发出推送认证页面的请求外部Web服务器直接向无线用户推送认证页面无线用户输入用户名和密码，并推送给外部Web服务器外部Web服务器把收到的用户名和密码提交给控制器控制器把收到的用户名和密码提交给radius服务器认证成功，radius服务器发送认证成功消息给控制器控制器收到认证成功消息，通知计费系统开始计费，并同时放开用户对因特网的访问请求基于用户名和密码认证，这样充分保障了用户的接入安全，因为无线网的特殊要求，所以无法像有线网一样可以对用户进行VLAN+端口+IP地址进行绑定。由于绑定不符合在校园所有接入点无缝漫游的要求，可以采取最有效，最方便的WEB认证认证方式。（2）802.1x（WPA/WPA2）认证计费流程用户发出接入请求，控制器要求用户提供接入身份验证凭证，用户提交凭证控制器将收到的用户凭证信息（用户名，密码）提交给radius服务器验证Radius服务器将认证成功消息和协商出来的原始加密密钥推送给控制器控制器和用户通过4次握手动态协商出实际加解密密钥控制器通知计费系统开始计费，同时授予用户访问网络的权限（3）MAC地址认证流程终端发出关联请求控制器收到请求后，截取终端的MAC地址，发给radius服务器Radius服务器收到控制器送来的MAC地址，并和数据库内定义的MAC地址列表中地址进行比较，发送认证成功消息给控制器控制器收到radius认证成功消息，根据需要是否通知计费网关计费，同时授予终端访问网络的权限安全认证设置方式标准的无线终端连接过程如上图所示，无线终端标准的连接过程有几个步骤：MAC地址过滤。终端被分配到AP去实现关联。标准的802.11认证关联。802.1X、WPA、WPA2认证。密钥交换。DHCP地址分配IP地址。IP地址获取。CP弹出页面、网页认证。因此，我们可以在上述几个过程中考虑加入安全认证策略。其中，Meru可以支持下列几种安全策略：SSID广播/非广播（隐藏）。MAC地址过滤（MAC地址列表可以建立在控制器或者外置Radius中）。WEP、WPA、WPA2、WPA+WPA2混合、802.1X认证。CapitalPortal弹出页面认证（账户可以建立在控制器或者外置Radius中）。Meru安全认证策略的介绍(1)SSID广播/非广播（隐藏）SSID广播/隐藏，实际上是最简单，也是最没有安全性的保护方式。Meru可以为每个ESS组配置SSID广播的开关。(2)MAC地址过滤MAC地址过滤可以分为两种获取MAC地址信息的方式。第一，是从控制器本地的记录中获取；第二，是从第三方Radius中获取。以下我们来介绍一下两种方式的操作方式：从控制器本地记录中获取MAC地址信息首先，在控制器当中添加MAC地址条目。其次，在MAC地址过滤全局设置中打开过滤功能。最后，在ESS组相对应的安全策略组里面选择打开MAC地址过滤功能。从外部Radius中获取MAC地址信息首先，设置外部Radius，并且录入MAC地址信息。控制器将会以用户名为相应的MAC地址，密码为同样的MAC地址或者Radius的Key来和Radius通讯。其次，在控制器中配置Radius关联。第三，开启MAC地址过滤功能，且数据获取指向上一步创建的Radius服务器。最后，在ESS组相对应的安全策略组里面选择打开MAC地址过滤功能。(3)WEP、WPA、WPA2、WPA+WPA2混合、802.1X认证。A.WEP在ESS组相对应的安全策略组中选择WEP静态密钥加密，支持64位和128位。然而，这是明文加密，一般不建议使用。B.WPA在ESS组相对应的安全策略组中选择WPAPSK。C.WPA2在ESS组相对应的安全策略组中选择WPA2PSK。D.WPA+WPA2混合在ESS组相对应的安全策略组中选择MIXED_PSK。E.WPA、WPA2、WPA+WPA2Mixed基于Radius的认证除了上述预共享密钥以外，WAP、WPA2、WPA+WPA2Mixed等还支持结合Radius做用户认证。以下是以WPA2+Radius认证来举例：首先，全局下配置Radius服务器，可以配置多台。其次，在全局安全策略组中绑定Radius组。最后，在ESS组中绑定相应的安全策略组。F.802.1X802.1X是标准的有线网络和802.11无线网络认证方式，IEEE802.1X主要的作用是集中化管理用户的标识、认证、动态密钥管理和计费。802.1X支持EAP、EAP-TLS、EAP-MS-CHAPv2、PEAP等多种认证方式。Meru使用EAP方式，因为这不需要额外配置。然而，无线终端却需要为802.1X做一些配置，以下是演示Intel客户端和运行了NetworkPolicyServer的Windows2008来支持PEAP。无线终端配置PEAP的方式：WindowsNSP的配置：(4)CapivePortal弹出页面认证（账户可以建立在控制器或者外置Radius中）。CapivePortal弹出页面是目前非常主流的安全认证方式，Meru支持这种弹出页面认证，并且支持用户数据库保存在控制器本地和集成Radius服务器。（注意：用户数据库保存在本地实际上还可以作为Radius服务器失效后的备份保护）以下是MeruCapivePortal的主要特点：本地用户数据库支持最多32个用户，每个用户可以支持绑定“开始使用”和“终止使用”的时间。集成Radius服务器没有用户数量的限制。支持CapivePortalbypass，即可以设置不是所有应用都需要CapivePortal认证，旁路某些应用（需要防火墙License支持）CapivePortal弹出的页面可以支持用户定制化开发。CapivePortal弹出页面功能可以支持第三方CP服务器。(5)高级安全应用：动态VLAN分配一般WLAN都是设置一个静态的网络安全策略来让所有用户都是用这个策略连接网络。试想当我们希望每个用户接入进来的安全策略和QoS服务不同时，我们将需要创建多个SSID来区分。动态VLAN分配，就是为了完美解决这个问题，可以基于用户账户的特性来分配不同的VLAN。然而，这些所有需要使用的VLAN必须得在控制器中逐一对应VLAN接口。以下是Meru结合WindowsNPS提供的动态VLAN分配介绍：在控制器增加VLAN。第二，在ESS组中的TunnelInterfaceType中选择“RADIUSVLANonly”或者“RADIUSandconfiguredVLAN”。第三，在NPS中连接请求中增加上VLAN标记。第四，通过无线数据包分析工具可以看到Radius-Accept返回VLANtag，也即用户被分配到某个特定的VLAN。综上所述，Meru支持多种安全认证方式，上述几大分类实际上用户可以根据实际的情况来作出选择，甚至可以把集中认证方式结合利用上。共建安全规划本项目因存在共建四方复杂的应用环境，因此我们需要在无线网络的安全上有一些特殊的考虑。我们主要采用流量数据隔离的方案的保障共建方之间的安全。1共建四方拥有独立的SSID，做到逻辑层的隔离2三家运营分别有独立的端口连接到每台控制器，做到物理端口层面的隔离无线AP规划AP的部署规划（1）楼宇内部接入点规划图楼宇内部建议采用MERU特有的同频虚拟蜂窝架构进行部署，节约信道规划时间，无需站点勘察，减少实施和维护成本。同频部署示意图如下：

教学楼，各院系，机关行政办公楼要求走廊，教室和办公室所有楼宇内区域信号100%的覆盖，并尽量保证楼宇内部用户能实现无缝漫游，在信号最差区域也能获得接收信号强度指示RSSI大于-65dBm的信号强度，不允许存在覆盖盲区。其中分为：教室区域：教室区域重点覆盖，AP放置在教室内部，根据教室人数来确定AP的数量。办公区域：主要保证信号能够覆盖到，人数不是主要限制。会议室区域：高密度区域，支持高密度效果最好的产品，根据人数计算AP数量图书馆区域：主要有大量的自习人群，根据人数来确定AP数量。学生活动中心：活动房间类似办公室覆盖。食堂：空旷区域，根据人数，按照一定百分比（30%）来计算AP数量具体的安装方式可参考下图：（2）户外场所等公共区域覆盖部署图部署方式可参考下图：户外基本上要保证各个角落无缝衔接，没有信号盲区，如图所示。主要是户外广场，公共场所及空旷地的接入点信号覆盖要求。在空旷地的周围建筑物上尽可能的安装接入点以覆盖整个空旷区域，避免出现信号盲区。无线AP实施工艺（1）项目组织结构和人员配备涉及到AP安装的实施内部有：现场勘查，评估所需的设备数量，预估完成工程的所需工时，制作相应的进程列表。到院方库房领取所需的设备数量，并登记设备所安排的教学楼，购买设备安装所需的辅材辅料，准备设备安装、线缆布置所需的工具。设备开箱及登记信息，制作标签并贴在对应的设备上。实施线缆布线、穿管等工作，并采用FLUKE测线仪完成线缆信号检测工作。完成AP安装及第一次加电工作。（2）AP安装信息前提条件：完成现场勘查，并已评估所需的设备数量，包括AP数量与交换机、线缆等数量。为每一个AP设备登记设备唯一的ID号：4位数字；记录设备信息——设备MAC地址、设备安装位置的房间号。唯一ID楼宇名称安装位置控制器的APIDMAC地址AP型号（3）室内AP320/AP320i的安装AP300系列完成此工作量需要经过以下四个步骤：支架安装——由实施人员通过电钻工具完成。把AP300设备安装在支架上。通过以下两个螺丝联接固定AP与支架。把做好的网线接入到设备对应的ETH网口，多余的线缆收集后藏在天花板里或者把多余的线缆剪断小于15公分。如果AP320，如果采用默认天线把6根天线全部安装在设备对应的射频接口处，天线垂直于设备，水平于天花板。若采用外加天线，则将外置天线的接口和AP320对接，将天线安装到合适的位置。射频接口以太网口射频接口以太网口如果是AP320i，是内置天线版本，无需安装外置天线。确保AP水平于天花板安装即可。（4）室外AP320（v2）的安装室外AP通常安装在高处，AP就近固定安装。天线对准需要覆盖的区域，并固定牢固：如图所示：按以下步骤把天线架设在抱杆上，注意调节好天线的倾斜角度，拧紧连接螺丝、螺母。1.将天线的接头端朝下，用锯齿夹码抱在外径为50～75mm的抱杆上，把另一个锯齿夹码穿过螺杆，放上平垫、弹垫，拧紧螺母，如图1所示把天线固定在抱杆上。2.如图2所示，稍微松开连接安装件之间的螺杆，适当地调节天线的倾斜角度，使其接收到的信号为最好，然后拧紧所有螺母。3.取下天线接头护盖，连接天线接头，并注意把天线的接头连接端密封好。AP数量规划下表为延边大学的AP的数量统计：见单独文件部分参数规划IP地址规划每台无线控制器需要一个管理IP地址，同时因为是两个校区，因此地址分配也会是两个部分。而无线控制器对于建立的每个VLAN，需要一个该VLAN的IP地址，地址规划如下：类别地址数量获得地址方式控制器管理地址6+3静态地址客户端VLAN15+2静态地址客户端VLAN25+2静态地址客户端VLANn5+2静态地址无线网管平台需要一个管理IP地址，建议和无线控制器在一个管理网段：类别地址数量获得地址方式网管地址1静态地址无线控制器和AP采用三层发现机制，每台AP也需要1个IP地址，一共3500颗AP：类别地址池类型地址池数量获得地址方式AP设备地址C类地址64动态获得，静态固定无线客户端地址分配采用动态获得方式，无线客户端的容量为56000，将根据不同的楼宇来分配不同的地址池，而运营商的SSID提供自己的DHCP，不在我们的设计范围内：类别地址池类型地址池数量获得地址方式客户端地址B类地址4动态获得频道选择WLAN的射频信号是这样传播的：信号频率越低，无线网络传输速度越慢，有效范围就越远。由于大量射频信号以较低频率传播，同时信噪比的灵敏度因为高速调制方式而增加，所以速度为1Mbps的2.4GHz802.11b信号的传播距离远远超过速度为54Mbps的5GHz802.11a信号。802.11b/g/n的频率范围2400-2483.5MHz，划分了14个子频道，频带宽为22MHz，最多可以提供3个不重叠的频道同时工作(1，6，11)。在大规模部署时MeruAP可以在同一个频道部署，而其他友商则需要遵循交叉部署原则，防止同频段间干扰。802.11a则可以提供4个非重叠信道。802.11a在部署时，MeruAP可以在同一个频道部署，而其他友商则需要注意同频道间干扰问题，采取频道交叉覆盖，避免这种情况的出现。覆盖密度设计无线设备的覆盖密度需要从多个角度进行考虑：1.是否无缝覆盖；2.部署环境的衰减程度；3.是否有强干扰；4.覆盖区域的客户密度；通过Meru虚拟蜂窝式部署方式，可为延边大学校园实现无线的无缝覆盖。室内传播环境与室外相比，覆盖距离更小，环境变化更大，不受雨、雪、云等天气的影响，但受建筑物的大小、形状、结构、房间布局及室内陈设的影响，最重要的是建筑材料的影响。室内障碍物不仅有砖墙，而且包括木材、玻璃、金属和其他材料。这些因素导致室内传播环境远较室外复杂。多路径效应也是影响覆盖范围的重要因素之一。所谓多路径效应，就是信号被反射并回送的现象。在大多数情况下，多路径效应使接收到的信号被削弱或是被完全抵消。于是有一些本来应该充分传播信号的区域几乎或根本没有射频信号覆盖。防止多路径效应的办法是拆除或重新安置机柜和网络设备机架之类的干扰对象，同时增加接入点密度或功率输出。在考虑覆盖密度时，还需要计算覆盖区域的客户密度和客户所需吞吐量，同一时间某个区域下如果客户数量过于密集，相对该区域部署的AP数量也要相应增多，避免网络拥塞，降低AP负载，增加客户带宽。功率控制根据中国国家无线电管理委员会的规定，在室内部署无线网络信号辐射不得超过100mw，以避免2.4GHz和5GHz对人体的影响。Meru无线系统在办公室内部署的型号统一都根据国家规定最大为100mw，避免大功率长期辐射对人体的影响。无线安全设计无线网络一直面临安全问题，安全问题也越来越成为企业决策者决定是否部署WLAN网络的关键因素。Meru统一无线网络支持多种方式，保证无线网络安全。认证：Meru统一无线网络通过瘦AP加控制器的架构，可以提供多种方式的认证，保证网络接入的安全。例如基于SSID的认证方式、基于MAC地址的认证方式、基于控制器本地共享密钥的认证方式、基于域的安全认证方式以及基于证书的认证方式等多种认证方式。加密：Meru同样支持WEP、TKIP、AES等多种安全加密方法，保证数据传输的私密性和完整性。VPN：Meru无线网络产品可以为用户提供独特的多层次的安全机制,能很好的为WLAN网络提供无缝的安全防护,具体架构如下图：同其他安全设备联动：Meru统一无线系统支持与其他安全设备的良好联动，构建安全纯净的无线网络。Meru无线系统提供内置的IDS无线入侵检测系统，可以对非法RogueAP和RogueClient进行检测、定位和抑制；Meru的无线系统还可以提供出色的和有线安全设备的联动功能，例如IDS/IPS、ACS等等，实现对L2-L7层入侵攻击的防范，弥补WIDS方法L2入侵攻击的不足，实现对客户访问的认证和授权，体现一体化的安全策略。无线漫游设计Meru无线漫游机制分为2层漫游和3层漫游两种，作为2层漫游时由于Meru虚拟BSSID技术-即所有的AP的BSSID可虚拟成一个相同BSSID，同时由于Meru的同信道部署技术使得对于客户端的不中断漫游。作为3层漫游即每台无线控制器控制一定数量的接入点，这些接入点再创建一个移动用户可自由漫游的802.11服务域，通过多台无线控制器协同作业，可创建跨越多个楼层、整个大楼或园区的大型移动域。在移动域中，当每个用户从一个接入点漫游到另一个接入点时，其安全性、服务质量（QoS）和接入策略一直追踪他们。无论用户在哪儿漫游，他们的数据流量将始终通过隧道被输至起始的无线控制器。无线控制器可将他们放置在适当的网络VLAN和子网。天线选择选择天线型号时应根据现场环境考虑如下因素：增益、水平波束宽度、垂直波束宽度、极化方式、视觉效果（尺寸、外形、重量）。增益，当规划覆盖范围较小，安装位置距重点覆盖区域也很近时，天线增益可以低一些。当天线置于楼顶，目标为覆盖周围地区较大面积时，选择增益较大的天线为宜。水平、垂直波束宽度当AP天线安装在墙壁上时，天线挂高低于周围建筑物高度，为了既能充分覆盖低层室内部分，又能兼顾楼层较高部分的室内覆盖，根据楼层高度不同，可以选择垂直波束宽度范围35~80°的定向天线。水平波束宽度的考虑与天线的安装位置及其覆盖目标有关。可以选择水平波束宽度60~150°的定向天线，或者全向天线、双向天线（即8字形天线）。当AP天线置于楼顶或灯杆高处时，也可选择水平波束宽度较大的定向天线或者全向天线。选择定向天线，主要是通过对楼反射信号覆盖本身楼房；而选择全向天线时，信号覆盖将比较均匀。具体方案应从现场覆盖需求，楼身宽度和楼群分布情况角度出发来确定。当楼房建筑较窄，楼层较多时，一般将选择定向天线。信道规划2.4GHz的信道设计：5.8GHz的信道设计：信道堆叠增加吞吐量的设计：IPv6实现Meru的控制器、硬件支持IPv6协议，而AP支持ipv6二层透传。通过这样的方式来支持IPv6和IPv4的双栈。目前Meru的解决方案还无法支持纯IPv6环境。产品清单型号产品描述数量无线接入点AP320802.11a/b/g/n双频无线接入点，AP320配置802.11a/b/g/n外置全向天线2.4GHz(2dBi)和5GHz(3dBi)1323AP320i802.11a/b/g/n双频无线接入点，AP320i内置802.11a/b/g/n外置全向天线2.4GHz(2dBi)和5GHz(3dBi)1491AP320（v2）802.11a/b/g/n室外双频无线接入点，AP320（v2）可配置外置天线，防护等级IP66153天线及配件室内吸顶天线360度全向天线，含连接线，支持2.4G和5.8GHz2个射频模块908室内扇区天线120度定向型扇区天线，含连接线，支持2.4G和5.8GHz2个射频模块4152.4G室外扇区天线90°2.4G室外定向型扇区天线（含所有接口的射频跳接电缆，2.4G避雷器，接地）1535G室外扇区天线90°5G室外定向型扇区天线（含所有接口的射频跳接电缆，5G避雷器，接地）153外置USB无线网卡供招标人测试使用70独立控制器MC4200无线控制器MC4200，最大支持500个AP，5000个客户端，包含系统软件，支持空中流量控制,微点管理系统模块,无线安全管理模块,非法接入点检测模块.支持N+1控制器冗余9MC4200-SD-10G无线控制器MC420010G接口升级包9MCx000-SD-500AP无线AP授权，500个7MC4200RN-5-MAX无线控制器MC4200N+1控制器冗余的license（N＞1）2E(z)RF网管平台SA2000网管平台硬件设备，最高支持250个控制器，最大支持25000个AP1EZRF-NM-5000智能化无线网络管理软件授权，支持5000个AP，功能包括监控，配置，管理，告警，报表，事件分析，用户管理，RF热图显示和智能化无线网络健康检测，频谱分析，干扰源检测1Meru解决方案的技术特点WLAN面临的主要挑战（1）覆盖密度在教室、报告厅等座位密集，需要很高的RF覆盖密度。一般厂商的AP最高支持30多个客户端，超过30客户端再往上连，整个性能将急剧降低，而Meru的单射频卡AP可以最大支持到128个用户，高密度环境下依然能保证稳定的带宽。基于Meru的AirTrafficControl专利技术，以及利用AP上特定制的芯片来解决同频部署AP干扰的问题。Meru还有效的利用了时间片的技术，把用户传输数据的行为规范化，避免用户之间冲突和抢资源。因此，Meru能够在相同单位面积中，比传统微蜂窝架构，能让更多的用户并发传输数据。Meru曾经在一个50平方米的环境中使用500台各种各样的终端同时使用无线网络。结果证明，Meru的确可以为这种用户高密度的环境提供无线接入平台的可能。（2）RF带宽限制目前在2.4GHz频段使用40MHz11n的频宽，只有在MERU的同频技术下才能实现。原理如下：如果在2.4GHz这个频段使用20MHz11n对于微蜂窝来说将有1、6、11三个信道使用，但如果使用40MHz11n，只有1个不干扰的信道可以使用，这样存在两个以上AP的环境就无法部署。如下图所示：红色40MHz频宽和黄色40MHz频宽会叠加。（3）RF信号干扰在楼宇内部需要支持很高的用户密度，采用微蜂窝架构需要大量重复使用相同的信道，RF信号将面临着严重的干扰，而Meru的单频架构，通过专利技术很好的处理了干扰（4）无缝漫游对于微蜂窝架构来说，在楼宇内部由于用户数量较多，必须部署很多AP，增加了客户端在AP之间跳动的几率，客户端在漫游时将出现很多问题。而采用MERU的虚拟蜂窝架构能够使得用户的数据，语音和视频在漫游时的切换时延小于3ms，实现用户“0漫游”。（5）连通稳定性在微蜂窝架构下，在一般楼宇，公共场馆和学术报告厅比较空旷的空间内，需要部署很多AP，客户端会发现很多信号强度差不多相同SSID的AP，使得客户端在AP之间跳动，整个WLAN容易出现不稳定。MERU的虚拟蜂窝能够在整个WLAN系统内为每个客户端分配一个固定的BSSID，这样客户端在整个WLAN系统下漫游时，通讯目标都是这个BSSID，这样客户端被锁住，不会在AP之间跳动，确保客户端通讯的稳定性。（6）公平传输在目前的WLAN系统下，日益增加着各种各样的客户端，有快的有慢的，如何保证传输的公平性，让慢的客户端不至于长时间得不到传输；同时不让快的客户端被慢的客户端“黏住”，趋向于慢的客户端速率，需要有公平的传输算法来处理。MERU的AirTimeFairness技术彻底解决了这个问题，在MERU的ATF下，数据包