二中無(wú)線解決方案

1、懷柔二中無(wú)線局域網(wǎng)解決方案北京懷教網(wǎng)絡(luò)技術(shù)服務(wù)有限公司2012-11-16目錄一、方案概述3二、無(wú)線局域網(wǎng)的特點(diǎn)及應(yīng)用環(huán)境31、有線局域網(wǎng)已成為移動(dòng)辦公的束縛32、無(wú)線局域網(wǎng)的特點(diǎn)4三、無(wú)線局域網(wǎng)技術(shù)介紹51、常見(jiàn)的無(wú)線局域網(wǎng)拓?fù)浣Y(jié)構(gòu)52、無(wú)線局域網(wǎng)的漫游6四、懷柔二中無(wú)線局域網(wǎng)組網(wǎng)設(shè)計(jì)71、建設(shè)目的72、在校園網(wǎng)有線網(wǎng)絡(luò)上構(gòu)建WLAN系統(tǒng)73、建設(shè)范圍84、無(wú)線局域網(wǎng)設(shè)計(jì)原則85、校園無(wú)線局域網(wǎng)設(shè)計(jì)整體架構(gòu)9五、一體化有線/無(wú)線解決方案特點(diǎn)101、布署方式靈活102、集中策略管理103、L2/L3快速漫游104、高性能115、支持POE116、自動(dòng)信道及功率調(diào)整127、無(wú)線網(wǎng)絡(luò)自愈功能128

2、、VAP支持129、無(wú)線AP可從獨(dú)立管理型升級(jí)變?yōu)榧泄芾硇?2一、方案概述隨著校園對(duì)計(jì)算機(jī)依賴性的迅速增加，校園網(wǎng)絡(luò)要求互連的計(jì)算機(jī)數(shù)量更多，類型也更為復(fù)雜?，F(xiàn)代電子技術(shù)的發(fā)展，使人們可以根據(jù)不同的要求選擇不同的網(wǎng)絡(luò)方案，但傳統(tǒng)有線網(wǎng)絡(luò)由于受設(shè)計(jì)或環(huán)境條件的制約，在物理、邏輯和資金方面普遍存在著一系列問(wèn)題，特別是當(dāng)涉及到網(wǎng)絡(luò)移動(dòng)和重新布局時(shí)。所以發(fā)展一種可行的無(wú)線通信網(wǎng)絡(luò)技術(shù)作為現(xiàn)有數(shù)據(jù)連接的擴(kuò)充已成為一種需要。進(jìn)入90年代以來(lái)，隨著個(gè)人數(shù)據(jù)通信的發(fā)展，功能強(qiáng)大的便攜式數(shù)據(jù)終端以及多媒體終端得到了廣泛的應(yīng)用。為了實(shí)現(xiàn)使校園網(wǎng)能夠在任何時(shí)間、任何地點(diǎn)均能實(shí)現(xiàn)數(shù)據(jù)通信的目標(biāo)，要求傳統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)

3、由有線向無(wú)線、由固定向移動(dòng)、由單一業(yè)務(wù)向多媒體發(fā)展，因此更進(jìn)一步的推動(dòng)了無(wú)線局域網(wǎng)（Wireless LAN，簡(jiǎn)稱WLAN）的發(fā)展。伴隨著校園信息化水平的提高，學(xué)校的老師和學(xué)生對(duì)隨時(shí)隨地接入網(wǎng)絡(luò)進(jìn)行教學(xué)和科研的需求越來(lái)越普遍；與此同時(shí)，無(wú)線技術(shù)迅速發(fā)展，WLAN已經(jīng)由最初只支持11Mbps速率的802.11b標(biāo)準(zhǔn)發(fā)展到支持54Mbps速率的802.11a和802.11g標(biāo)準(zhǔn)，目前支持300Mbps速率的802.11n產(chǎn)品也正在逐步標(biāo)準(zhǔn)化；無(wú)線終端日漸普及，伴隨著筆記本電腦的普及，無(wú)線網(wǎng)卡成為筆記本電腦的標(biāo)準(zhǔn)配置之一；WLAN技術(shù)和學(xué)校需求相結(jié)合，推動(dòng)了無(wú)線校園網(wǎng)技術(shù)的發(fā)展.二、無(wú)線局域網(wǎng)的特點(diǎn)

4、及應(yīng)用環(huán)境1、有線局域網(wǎng)已成為移動(dòng)辦公的束縛隨著學(xué)校教室和學(xué)生人員不斷的增加，局域網(wǎng)的擴(kuò)建越來(lái)越復(fù)雜，有線局域網(wǎng)大多將基礎(chǔ)布線和設(shè)備隱蔽在墻壁之內(nèi)或者埋在地下，因此綜合布線將是非常令人頭痛的事情。設(shè)計(jì)線路的走向、開(kāi)挖布線槽、鋪設(shè)線路、調(diào)試等等，既耗費(fèi)人力財(cái)力又浪費(fèi)大量時(shí)間。不但如此，布線之后的線路維護(hù)、線路監(jiān)測(cè)等事情更是費(fèi)時(shí)費(fèi)力。而且，這種傳統(tǒng)的有線網(wǎng)絡(luò)不能擺脫線路的束縛，不能根據(jù)實(shí)際情況隨意的改變網(wǎng)絡(luò)的結(jié)構(gòu)，更不能實(shí)現(xiàn)現(xiàn)代化移動(dòng)辦公的需要，也就不能進(jìn)一步提高網(wǎng)絡(luò)辦公的工作效率。2、無(wú)線局域網(wǎng)的特點(diǎn)無(wú)線局域網(wǎng)的出現(xiàn)使有線網(wǎng)絡(luò)所遇到的問(wèn)題迎刃而解，它可以使校園任意對(duì)有線網(wǎng)絡(luò)進(jìn)行擴(kuò)展和延伸。只是在

5、有線網(wǎng)絡(luò)的基礎(chǔ)上通過(guò)無(wú)線接入器、無(wú)線交換機(jī)、無(wú)線網(wǎng)卡、無(wú)線控制器等無(wú)線設(shè)備使無(wú)線通信得以實(shí)現(xiàn)。在不進(jìn)行傳統(tǒng)的布線的同時(shí)，提供有線局域網(wǎng)的所有功能，并能夠隨著校園的需要隨意的更改擴(kuò)展網(wǎng)絡(luò)，實(shí)現(xiàn)移動(dòng)應(yīng)用。在園區(qū)無(wú)線局域網(wǎng)內(nèi)可以使用一個(gè)或幾個(gè)無(wú)線交換機(jī)來(lái)管理大量的AP或者用于混合有線/無(wú)線局域網(wǎng)。當(dāng)AP的增加時(shí)，就可增加無(wú)線交換機(jī)而形成一個(gè)大型的集中管理系統(tǒng)。由于擴(kuò)展簡(jiǎn)便，支持下一代高速AP的千兆速率和支持企業(yè)范圍內(nèi)網(wǎng)間漫游的三層路由，無(wú)線交換機(jī)提供一個(gè)架構(gòu)，簡(jiǎn)化并且一體化了一個(gè)特別復(fù)雜的WLAN環(huán)境，輕松的為將來(lái)的技術(shù)升級(jí)準(zhǔn)備了一個(gè)現(xiàn)有的網(wǎng)絡(luò).無(wú)線局域網(wǎng)具有傳統(tǒng)有線網(wǎng)絡(luò)無(wú)法比擬的特點(diǎn)：Ø

6、 靈活性，不受線纜的限制，可以隨意增加和配置工作站；Ø 低成本，無(wú)線局域網(wǎng)不再需要大量的工程布線，同時(shí)節(jié)省了線路維護(hù)的費(fèi)用；Ø 移動(dòng)性，不受時(shí)間、空間的限制，校園可在網(wǎng)絡(luò)中漫游；Ø 易安裝，對(duì)于有線網(wǎng)絡(luò)來(lái)說(shuō)，無(wú)線局域網(wǎng)的組建、配置和維護(hù)更為容易。而且，通信范圍不受環(huán)境條件的限制，網(wǎng)絡(luò)傳輸覆蓋范圍大大的拓展，室外可以傳輸幾百米、室內(nèi)可以傳輸數(shù)十、幾百米。在網(wǎng)絡(luò)數(shù)據(jù)傳輸方面也有與有線網(wǎng)絡(luò)等效的安全加密措施。三、無(wú)線局域網(wǎng)技術(shù)介紹1、常見(jiàn)的無(wú)線局域網(wǎng)拓?fù)浣Y(jié)構(gòu)無(wú)線局域網(wǎng)由無(wú)線網(wǎng)卡、無(wú)線接入點(diǎn)(AP)、計(jì)算機(jī)和有關(guān)設(shè)備組成，利用天線發(fā)送信息，而無(wú)線接入點(diǎn)則接收與發(fā)送信息，通

7、過(guò)以太網(wǎng)線連接校園計(jì)算機(jī)和公共網(wǎng)絡(luò)。通常采用單元結(jié)構(gòu)，將整個(gè)系統(tǒng)分成許多單元，每個(gè)單元稱為一個(gè)基本服務(wù)組 (Basic Service Set, BSS)，BSS的組成通常有以下兩種形式：一種是Ad-Hoc模式，點(diǎn)對(duì)點(diǎn)的直接連接方式；一種是Infrastructure模式，通過(guò)接入點(diǎn)相連接的方式。1.1、Ad-Hoc模式Ad-Hoc模式是一種分布對(duì)等模式，它沒(méi)有中樞鏈路基礎(chǔ)結(jié)構(gòu)，至少包括兩個(gè)無(wú)線站點(diǎn)，可以是點(diǎn)對(duì)點(diǎn)也可以是點(diǎn)對(duì)多點(diǎn)，這種模式基本滿足控制一個(gè)較小的區(qū)域。第一種是Ad-Hoc模式，如下圖所示：1.2、Infrastructure模式Infrastructure模式是WLAN最典型的工

8、作模式，無(wú)線客戶端可以通過(guò)無(wú)線接入器AP(Access Point)接入以太網(wǎng)共享網(wǎng)絡(luò)資源，多個(gè)AP分布在相鄰的區(qū)域可實(shí)現(xiàn)無(wú)線客戶端的移動(dòng)漫游。如圖所示：Infrastructure模式2、無(wú)線局域網(wǎng)的漫游 由于無(wú)線局域網(wǎng)傳輸距離的限制，因此若脫離其無(wú)線服務(wù)覆蓋范圍時(shí)通信便會(huì)中斷，為解決此一問(wèn)題須構(gòu)建無(wú)縫的漫游連接。如下所示以802.11b為例以三個(gè)不重迭信道1、6、11為基礎(chǔ)向外擴(kuò)充，如此當(dāng)無(wú)線網(wǎng)卡由信道11之覆蓋區(qū)漫游至信道6之覆蓋區(qū)時(shí)，便能自動(dòng)切換至信道6之服務(wù)區(qū)而不中斷聯(lián)機(jī)。同理可再由信道6之覆蓋區(qū)漫游至信道1之覆蓋區(qū)。四、懷柔二中無(wú)線局域網(wǎng)組網(wǎng)設(shè)計(jì)1、建設(shè)目的校園網(wǎng)WLAN項(xiàng)目是建設(shè)

9、數(shù)字化校園的重要組成部分之一，數(shù)字化校園是利用計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、通訊技術(shù)對(duì)學(xué)校與教學(xué)、科研、管理和生活服務(wù)有關(guān)的所有信息資源進(jìn)行全面的數(shù)字化；并用科學(xué)規(guī)范的管理對(duì)這些信息資源進(jìn)行整合和集成，以構(gòu)成統(tǒng)一的校園管理、統(tǒng)一的資源管理和統(tǒng)一的權(quán)限控制；把學(xué)校建設(shè)成面向校園內(nèi)，也面向校園的一個(gè)超越時(shí)間、超越空間的虛擬校園。2、在校園網(wǎng)有線網(wǎng)絡(luò)上構(gòu)建WLAN系統(tǒng)WLAN系統(tǒng)的基本構(gòu)成主要包括接入點(diǎn)AP和接入控制器AC。結(jié)合懷柔二中校園網(wǎng)絡(luò)情況和骨干網(wǎng)，以及全網(wǎng)集中的認(rèn)證，為最終校園提供移動(dòng)數(shù)據(jù)網(wǎng)的接入服務(wù)和相關(guān)業(yè)務(wù)服務(wù)。3、建設(shè)范圍主要是指各會(huì)議室、大教室、辦公室、圖書(shū)館閱覽室、大廳等。這些地點(diǎn)空間較

10、大，而且會(huì)有很多人同時(shí)接入網(wǎng)絡(luò)的要求，這時(shí)采用有線的方式只能提供少量接口，不能滿足該要求。在這種情況下，就非常適合用無(wú)線網(wǎng)絡(luò)覆蓋來(lái)解決，可以允許相當(dāng)數(shù)量的移動(dòng)設(shè)備同時(shí)訪問(wèn)網(wǎng)絡(luò)。4、無(wú)線局域網(wǎng)設(shè)計(jì)原則根據(jù)校園的實(shí)際情況，考慮校園需求、覆蓋范圍、校園密度、建筑結(jié)構(gòu)、業(yè)務(wù)構(gòu)成等各方面的需求，校園無(wú)線局域網(wǎng)建設(shè)的主要是作為校園有線網(wǎng)絡(luò)的補(bǔ)充，利用無(wú)線網(wǎng)絡(luò)技術(shù)進(jìn)一步擴(kuò)展對(duì)學(xué)校各個(gè)大樓和室外部分區(qū)域的覆蓋范圍，使全校師生在學(xué)校內(nèi)部能夠隨時(shí)隨地、方便高效地使用校園網(wǎng)絡(luò)資源；促進(jìn)教學(xué)和科研發(fā)展，進(jìn)一步拓展研究空間；提升校園網(wǎng)絡(luò)環(huán)境，提高管理水平和效率，推動(dòng)學(xué)校信息化建設(shè)。因此，在設(shè)計(jì)網(wǎng)絡(luò)方案時(shí)根據(jù)下列原則進(jìn)行

11、學(xué)校無(wú)線局域網(wǎng)的設(shè)計(jì)：Ø 側(cè)重實(shí)際應(yīng)用，覆蓋范圍要求覆蓋學(xué)校內(nèi)大部分區(qū)域，尤其是包括各會(huì)議室、辦公室、圖書(shū)資料室和大廳等教學(xué)樓、會(huì)議室和體育場(chǎng)場(chǎng)等有線網(wǎng)絡(luò)不易覆蓋的區(qū)域，為教學(xué)和學(xué)習(xí)生活提供切實(shí)可用的無(wú)線網(wǎng)絡(luò)環(huán)境；Ø 采取通行的網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)：目前無(wú)線局域網(wǎng)普遍采用802.11系列標(biāo)準(zhǔn)，因此校園無(wú)線局域網(wǎng)將主要支持802.11a/b/g/n標(biāo)準(zhǔn)以提供可供實(shí)際應(yīng)用的相對(duì)穩(wěn)定的網(wǎng)絡(luò)通訊服務(wù)；Ø 全面的無(wú)線網(wǎng)絡(luò)支撐系統(tǒng)，以避免無(wú)線設(shè)備及軟件之間的不兼容性或網(wǎng)絡(luò)管理的混亂而導(dǎo)致的問(wèn)題；Ø 保證網(wǎng)絡(luò)訪問(wèn)的安全性；Ø 安全、認(rèn)證、管理要求。為了阻止非授權(quán)校園

12、訪問(wèn)無(wú)線網(wǎng)絡(luò)，以及防止對(duì)無(wú)線局域網(wǎng)數(shù)據(jù)流的非法偵聽(tīng)，無(wú)線網(wǎng)絡(luò)要具有相應(yīng)的安全手段，主要包括：物理地址（MAC）過(guò)濾、服務(wù)區(qū)標(biāo)識(shí)符(SSID)匹配、有線等效保密（WEP）、二層隔離、WPA支持等。5、校園無(wú)線局域網(wǎng)設(shè)計(jì)整體架構(gòu)校園無(wú)線局域網(wǎng)設(shè)計(jì)可以分為室內(nèi)無(wú)線局域網(wǎng)及室外無(wú)線局域網(wǎng)二部分，室內(nèi)室外無(wú)線網(wǎng)絡(luò)都可以和校園的原有的有線網(wǎng)絡(luò)組成一個(gè)整體，校園網(wǎng)原有的網(wǎng)絡(luò)系統(tǒng)基本不需要改變，新增的無(wú)線局域網(wǎng)可以作為校園網(wǎng)絡(luò)系統(tǒng)的一個(gè)補(bǔ)充，相輔相成。校園網(wǎng)絡(luò)的無(wú)線接入層，我們建議室內(nèi)覆蓋使用星網(wǎng)銳捷公司的AP220-E的無(wú)線解決方案。如上圖示，包括無(wú)線局域網(wǎng)的校園網(wǎng)總體構(gòu)包括三部分：Ø 原有校園有

13、線網(wǎng)絡(luò)：基本保持原狀Ø 室內(nèi)無(wú)線局域網(wǎng)：采用瘦AP的部署方式便于管理 維護(hù)和擴(kuò)展Ø 室內(nèi)無(wú)線局域網(wǎng)設(shè)計(jì)校園室內(nèi)無(wú)線局域網(wǎng)通常無(wú)線接入場(chǎng)所和校園數(shù)較多，需要無(wú)線AP的數(shù)量也較多，對(duì)AP的管理、漫游、性能、可靠性要求較高，我們選擇AP220-E一體化有線/無(wú)線解決方案，相應(yīng)產(chǎn)品為無(wú)線交換機(jī)RG-S2924、無(wú)線瘦AP220-E。6、認(rèn)證模式Ø 一是開(kāi)放式，不采取認(rèn)證；Ø 二是Portal認(rèn)證，即采取基于web頁(yè)面認(rèn)證的方式；Ø 三是802.1x認(rèn)證。對(duì)于用戶而言，當(dāng)然是認(rèn)證方式越簡(jiǎn)單越好，這樣就不用和網(wǎng)絡(luò)中的各個(gè)部門(mén)去打交道，來(lái)來(lái)去去，費(fèi)不少功夫；

14、802.1x認(rèn)證相對(duì)繁瑣，但安全性較高；Portal認(rèn)證方式采用基于web頁(yè)面的認(rèn)證方式，可將認(rèn)證頁(yè)面基于位置推送出去，通過(guò)專用的SSID接入，相同的SSID對(duì)于不同熱點(diǎn)，到達(dá)AC后會(huì)映射為不同的VLAN， Portal server根據(jù)用戶接入的VLAN推送給用戶相應(yīng)的頁(yè)面。如：在機(jī)場(chǎng)，推送航班信息等；在酒店，推送附近的商業(yè)和娛樂(lè)場(chǎng)所信息。7、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)8、AP的布署方式瘦AP+天饋方式：基本組成由AP、天線、饋線、功率分配器、功率放大器及附件+POE交換機(jī)+無(wú)線控制器。部署單頻無(wú)線覆蓋（如2.4G或5.8G覆蓋），可以節(jié)省一定成本。適用于部署到不易安裝AP的位置。.適用于部署到用戶流量較

15、少但又需要覆蓋的區(qū)域。純瘦AP方式：基本組成：AP+天線+附件+POE交換機(jī)+無(wú)線控制器該方案雖然成本的較高，但可根據(jù)產(chǎn)品品牌進(jìn)行選擇。適用于幾乎所有的區(qū)域，安裝方便，維護(hù)簡(jiǎn)單，故障節(jié)點(diǎn)少。由于AP部署數(shù)量較多，根據(jù)覆蓋范圍、業(yè)務(wù)需求、用戶數(shù)量等因素確定部署位置和設(shè)備數(shù)量，因此，信號(hào)強(qiáng)度、帶寬以及穩(wěn)定性均有保證。采用此方式，各AP覆蓋范圍均建議有20%-30%的重疊范圍以實(shí)現(xiàn)數(shù)據(jù)和語(yǔ)音的無(wú)縫漫游，因此，即使個(gè)別AP出現(xiàn)故障，其他AP會(huì)自動(dòng)放大功率，覆蓋盲區(qū)。可升級(jí)或選擇組建支持MIMO(多輸入多輸出)技術(shù)的 IEEE802.11n的網(wǎng)絡(luò)，費(fèi)用雖然較高，但其帶寬可達(dá)到300Mbps，如果預(yù)算允許

16、，也是可考慮范圍?？蛇xAP設(shè)備本身同時(shí)支持雙頻，分別選擇2.4G和5.8G的天線，以實(shí)現(xiàn)雙頻網(wǎng)絡(luò)的覆蓋，無(wú)需重新部署。五、一體化有線/無(wú)線解決方案特點(diǎn)1、布署方式靈活A(yù)C5302集合了無(wú)線控制器功能，具有靈活的布署方式：Ø POE交換機(jī)供電方式：集中采用AP連接到POE交換機(jī)統(tǒng)一供電，將有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)物理隔離，更有效的統(tǒng)一管理APØ 本地供電方式：利用現(xiàn)有的有線采用本地供電，好處是可以節(jié)約資源缺點(diǎn)是不便于維護(hù)和管理2、集中策略管理集中統(tǒng)一的AP配置管理、性能管理、安全管理、軟件升級(jí)等；3、L2/L3快速漫游統(tǒng)一訪問(wèn)系統(tǒng)可以支持二層/三層漫游，校園在跨三層漫游時(shí)可以不用改

17、變IP地址也不用重新做安全認(rèn)證，可以IP通道的方式實(shí)現(xiàn)無(wú)縫的漫游，可以適用于要求非?？量痰膽?yīng)用如VOIP等。三層漫游功能也是業(yè)界區(qū)分產(chǎn)品或解決方案級(jí)別的一個(gè)重要的標(biāo)志 。4、高性能統(tǒng)一訪問(wèn)系統(tǒng)具有業(yè)界領(lǐng)先的高性能，主要表現(xiàn)在以下幾個(gè)方面：Ø RG-2924全千兆接口，具有很高的交換性能；Ø AP220-E支持IEEE802.11b/g標(biāo)準(zhǔn)，采用獨(dú)特的硬件技術(shù)實(shí)現(xiàn)最高速率可達(dá)300M；Ø AP負(fù)載均衡：無(wú)線交換機(jī)會(huì)在所管轄的AP間實(shí)施負(fù)載均衡，以最好的提高無(wú)線性能；Ø QOS：統(tǒng)一訪問(wèn)系統(tǒng)支持帶寬控制等多種QOS措施以提高使用效能；Ø RG292

18、4使用全千兆接口，支持未來(lái)802.11n的更高速傳輸，可以更好地保護(hù)校園投資；5、支持POERG2924交換機(jī)支持802.3 POE以太網(wǎng)供電功能，對(duì)無(wú)法在本地提供電源的AP布署點(diǎn)來(lái)說(shuō)提供極大的方便；也可以對(duì)其它的設(shè)備如IP攝像頭等進(jìn)行供電，大大簡(jiǎn)化管理及安裝工作。6、自動(dòng)信道及功率調(diào)整Ø 自動(dòng)信道調(diào)整功能：當(dāng)有新的AP加入到網(wǎng)絡(luò)或現(xiàn)有AP被移除時(shí)，能根據(jù)周?chē)鶤P占用信道情況，自動(dòng)選擇非重疊信道，以提高無(wú)線傳輸效率；Ø 自動(dòng)功率調(diào)整功能：使用獨(dú)特的算法自動(dòng)調(diào)整AP的發(fā)射功率，滿足無(wú)線客戶端的使用要求，而不會(huì)與其它AP互相干擾。7、無(wú)線網(wǎng)絡(luò)自愈功能統(tǒng)一訪問(wèn)系統(tǒng)具有無(wú)線網(wǎng)絡(luò)自愈

19、功能，不僅能根據(jù)預(yù)先的設(shè)置周期性的檢測(cè)周?chē)噜廇P的信號(hào)狀態(tài)實(shí)現(xiàn)AP的功率的自動(dòng)調(diào)整，當(dāng)AP斷電或損壞時(shí)相鄰的AP還可以自動(dòng)增大發(fā)射功率以提高覆蓋范圍來(lái)替代出現(xiàn)故障的AP，盡可能減少對(duì)無(wú)線網(wǎng)絡(luò)的影響。8、VAP支持AC5302支持802.1Q VLAN功能，我們將不同的SSID與VLAN VID進(jìn)行映射，實(shí)現(xiàn)在同一個(gè)AP上將不同的SSID接入的PC自動(dòng)劃分到不同的VLAN功能，而不同的SSID可以使用不同的安全設(shè)置。9、無(wú)線AP可從獨(dú)立管理型升級(jí)變?yōu)榧泄芾硇蜔o(wú)線AP可從獨(dú)立管理型升級(jí)變?yōu)榧泄芾硇瓦@種方式可以節(jié)約校園重復(fù)投資成本，當(dāng)網(wǎng)絡(luò)規(guī)模小時(shí)可以采用AP220-E獨(dú)立管理模式；當(dāng)無(wú)線網(wǎng)絡(luò)規(guī)

20、模擴(kuò)展到一定程度時(shí)，利用無(wú)線交換機(jī)對(duì)無(wú)線AP集中管理；當(dāng)網(wǎng)絡(luò)中的無(wú)線AP負(fù)載變大時(shí)，通過(guò)無(wú)線交換可以方便地增加無(wú)線AP。六、無(wú)線局域網(wǎng)的安全1、無(wú)線局域網(wǎng)安全概述無(wú)線網(wǎng)絡(luò)的架設(shè)與規(guī)劃已為近來(lái)非常熱門(mén)的話題，無(wú)線網(wǎng)絡(luò)相關(guān)產(chǎn)品越來(lái)越成熟，而價(jià)格方面也非常地有吸引力，所以現(xiàn)在無(wú)線網(wǎng)絡(luò)的應(yīng)用，在大多數(shù)的學(xué)校、機(jī)關(guān)單位、企業(yè)都可以看到。 但是，無(wú)線網(wǎng)絡(luò)的方便性也帶來(lái)了無(wú)線網(wǎng)絡(luò)的安全問(wèn)題："無(wú)線"網(wǎng)絡(luò)，顧名思義就是利用"空氣(空間)"取代"網(wǎng)絡(luò)線"來(lái)傳遞數(shù)據(jù)，無(wú)線網(wǎng)絡(luò)使用者只要在無(wú)線電波的涵蓋范圍內(nèi)，就可以如同已往使用網(wǎng)絡(luò)線來(lái)連上網(wǎng)絡(luò)一樣方便；換

21、句話說(shuō)，"任何人"在"電波范圍內(nèi)(可能是不同層樓或停車(chē)場(chǎng))"也一樣可以使用"企業(yè)內(nèi)部網(wǎng)絡(luò)"了！而且"任何人"也可以很方便的"看到""其它人"在傳輸?shù)臄?shù)據(jù)。 從另一個(gè)角度來(lái)看，會(huì)不會(huì)有人私自把AP接上現(xiàn)有的網(wǎng)絡(luò)上，自己"創(chuàng)造"一個(gè)私人的無(wú)線網(wǎng)絡(luò)環(huán)境呢？2、無(wú)線網(wǎng)絡(luò)需要解決的三個(gè)安全問(wèn)題為了安全地使用無(wú)線網(wǎng)絡(luò)，我們需要解決以下與無(wú)線網(wǎng)絡(luò)安全相關(guān)的三個(gè)問(wèn)題：確定無(wú)線網(wǎng)絡(luò)的使用者是被允許的(認(rèn)證使用者)； 數(shù)據(jù)傳輸時(shí)需要保密(加密)； 防止非法無(wú)線網(wǎng)絡(luò)基地臺(tái)連上網(wǎng)

22、絡(luò)。3、無(wú)線網(wǎng)絡(luò)的安全措施現(xiàn)在的無(wú)線網(wǎng)絡(luò)在安全方面具有多種技術(shù)，我們可以根據(jù)具體需求靈活實(shí)施一種或多種安全技術(shù)來(lái)實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的安全要求，以下逐一介紹無(wú)線網(wǎng)絡(luò)的各種安全技術(shù)：3.1、SSID服務(wù)識(shí)別碼SSID(服務(wù)識(shí)別碼)是一個(gè)可供設(shè)定的字符串，用來(lái)區(qū)分不同的無(wú)線網(wǎng)絡(luò)區(qū)域，設(shè)定正確SSID的使用者才可以跟無(wú)線網(wǎng)絡(luò)基地臺(tái)(Wireless Access Point)通訊。銳捷網(wǎng)絡(luò)所提供的AP/網(wǎng)橋產(chǎn)品均支持SSID廣播的開(kāi)啟和關(guān)閉功能，若關(guān)閉SSID廣播，無(wú)線客戶端若不知道SSID(服務(wù)識(shí)別碼)內(nèi)容則無(wú)法聯(lián)入無(wú)線網(wǎng)絡(luò)，從而增加了網(wǎng)絡(luò)的安全性。銳捷無(wú)線產(chǎn)品還支持多SSID功能，并且能把SSID與80

23、2.1Q VLAN的VID進(jìn)行捆綁，從而實(shí)現(xiàn)802.1Q VLAN的安全性。有線等價(jià)加密 (WEP)由于無(wú)線局域網(wǎng)的特性，保護(hù)對(duì)網(wǎng)絡(luò)的物理訪問(wèn)比較困難。與需要物理連接的有線網(wǎng)絡(luò)不同，無(wú)線 AP 范圍內(nèi)的任何人都可以為所欲為地發(fā)送和接收幀以及偵聽(tīng)發(fā)送的其他幀，這使得無(wú)線局域網(wǎng)幀很容易被竊聽(tīng)和遠(yuǎn)程探查。有線對(duì)等保密 (WEP) 由 IEEE 802.11 標(biāo)準(zhǔn)定義，旨在提供與有線網(wǎng)絡(luò)等效的數(shù)據(jù)機(jī)密性。WEP 通過(guò)加密無(wú)線節(jié)點(diǎn)之間發(fā)送的數(shù)據(jù)來(lái)提供數(shù)據(jù)機(jī)密性服務(wù)。在 802.11 幀的 MAC 標(biāo)頭中設(shè)置 WEP 標(biāo)志即表示對(duì) 802.11 幀進(jìn)行了 WEP 加密。WEP 通過(guò)在無(wú)線幀的加密部分包括完

24、整性校驗(yàn)值 (ICV) 來(lái)提供隨機(jī)錯(cuò)誤的數(shù)據(jù)完整性。3.2、IEEE 802.1XIEEE 802.1X 標(biāo)準(zhǔn)定義了基于端口的網(wǎng)絡(luò)訪問(wèn)控制，用于為以太網(wǎng)提供經(jīng)過(guò)身份驗(yàn)證的網(wǎng)絡(luò)訪問(wèn)。這種基于端口的網(wǎng)絡(luò)訪問(wèn)控制使用交換式局域網(wǎng)基礎(chǔ)結(jié)構(gòu)的物理特性對(duì)連接到局域網(wǎng)端口的設(shè)備進(jìn)行身份驗(yàn)證。如果身份驗(yàn)證過(guò)程失敗，則拒絕它們?cè)L問(wèn)該端口。盡管此標(biāo)準(zhǔn)是為有線以太網(wǎng)設(shè)計(jì)的，不過(guò)它已經(jīng)得到了修改，可以在 802.11 無(wú)線局域網(wǎng)上使用。3.3、WPA (Wi-Fi Protected Access)WPA包含了認(rèn)證、加密和數(shù)據(jù)完整性校驗(yàn)三個(gè)組成部分，是一個(gè)完整的安全性方案。WPA的認(rèn)證分為兩種。第一種采用802.1x

25、+EAP的方式，用戶提供認(rèn)證所需的憑證，如用戶名密碼，通過(guò)特定的用戶認(rèn)證服務(wù)器（一般是RADIUS服務(wù)器）來(lái)實(shí)現(xiàn)。在大型企業(yè)網(wǎng)絡(luò)中，通常采用這種方式。但是對(duì)于一些中小型的企業(yè)網(wǎng)絡(luò)或者家庭用戶，架設(shè)一臺(tái)專用的認(rèn)證服務(wù)器未免代價(jià)過(guò)于昂貴，維護(hù)也很復(fù)雜，因此WPA也提供一種簡(jiǎn)化的模式，它不需要專門(mén)的認(rèn)證服務(wù)器。這種模式叫做WPA預(yù)共享密鑰(WPA-PSK)，僅要求在每個(gè)WLAN節(jié)點(diǎn)(AP、無(wú)線路由器、網(wǎng)卡等)預(yù)先輸入一個(gè)密鑰即可實(shí)現(xiàn)。只要密鑰吻合，客戶就可以獲得WLAN的訪問(wèn)權(quán)。WPA采用TKIP為加密引入了新的機(jī)制，它使用一種密鑰構(gòu)架和管理方法，通過(guò)由認(rèn)證服務(wù)器動(dòng)態(tài)生成分發(fā)的密鑰來(lái)取代單個(gè)靜態(tài)密鑰、把密鑰首部長(zhǎng)