校園WIFI項目技術(shù)方案

1、校園標準化無線WIFI項目方案xxx有限公司 目 錄1 引言32 網(wǎng)絡(luò)建設(shè)原則32.1 全面性32.2 可管理性32.3 安全性32.4 可擴展性42.5 經(jīng)濟性和實用性43用戶需求44 WIFI的覆蓋設(shè)計規(guī)劃44.1無法覆蓋的網(wǎng)絡(luò)規(guī)劃4網(wǎng)絡(luò)規(guī)劃4布線規(guī)劃54.2覆蓋區(qū)域AP及設(shè)備數(shù)量64.3主要設(shè)備介紹7無線控制器AC7單頻AP134.3.3 PoE交換機161 引言隨著互聯(lián)網(wǎng)及其應(yīng)用的高速發(fā)展，無線網(wǎng)絡(luò)、智能終端的普及，無線網(wǎng)絡(luò)使用需求日益增大，原有的網(wǎng)絡(luò)訪問習慣及網(wǎng)絡(luò)設(shè)施已經(jīng)難以滿足教師及學生現(xiàn)在以及未來對網(wǎng)絡(luò)的使用需求。同時為了幫助校園實現(xiàn)移動辦公，提高工作效率。本工程計劃在學校的辦公

2、樓、教學樓、藝術(shù)樓、圖書館、體育館等辦公場所內(nèi)進行WIFI信號覆蓋。2 網(wǎng)絡(luò)建設(shè)原則2.1 全面性 無線網(wǎng)絡(luò)覆蓋設(shè)計不僅要保證覆蓋區(qū)域無線網(wǎng)絡(luò)的全面性、穩(wěn)定性，還要能夠適應(yīng)今后高帶寬的要求，滿足日益增長的業(yè)務(wù)量需求及設(shè)備、服務(wù)的更新要求。2.2 可管理性 可以對網(wǎng)絡(luò)進行在線監(jiān)控，隨時了解無線網(wǎng)絡(luò)的“健康狀態(tài)”，快速定位并排除故障，并能對網(wǎng)絡(luò)帶寬進行資源優(yōu)化，實現(xiàn)流量負載均衡、合理分配，提高網(wǎng)絡(luò)的高利用率。2.3 安全性 無線網(wǎng)絡(luò)系統(tǒng)提供多種有效的安全加密機制，SSID用戶隔離，有效降低機密泄露和蹭網(wǎng)盜網(wǎng)行為,保證無線網(wǎng)絡(luò)的安全。2.4 可擴展性 應(yīng)用的不斷發(fā)展要求網(wǎng)絡(luò)在性能、協(xié)議、網(wǎng)絡(luò)拓撲等方

3、面具備很好的可擴展性。包含后期無線監(jiān)控部署、局域網(wǎng)絡(luò)擴大、帶寬資源更新、設(shè)備服務(wù)的升級等等。2.5 經(jīng)濟性和實用性 完全從現(xiàn)有的應(yīng)用需求出發(fā)，依場所環(huán)境做覆蓋方案實際部署，既保證方案可行性，還能最大程度的降低建設(shè)成本。3用戶需求項目需要對辦公樓各辦公室、教學樓教師辦公室和特定課室、圖書館、體育館等辦公場所內(nèi)wifi信號全覆蓋建設(shè)。整個無線系統(tǒng)能夠進行統(tǒng)一的中央控管，能夠支持多種安全策略和認證方式，還能夠方便地進行擴容；同時要求實現(xiàn)AP集中管理。實現(xiàn)教職工在整個辦公樓無線覆蓋范圍內(nèi)接入點自動切換、無線漫游，教職工無需任何過多的配置，無線網(wǎng)絡(luò)可以根據(jù)不同用戶名與密碼分配不同網(wǎng)絡(luò)帶寬，有效保障無線網(wǎng)

4、絡(luò)接入速度和良好的無線網(wǎng)絡(luò)體驗。4 WIFI的覆蓋設(shè)計規(guī)劃4.1無法覆蓋的網(wǎng)絡(luò)規(guī)劃4.1.1網(wǎng)絡(luò)規(guī)劃l 根據(jù)環(huán)境具體需求選取合適的無線AP接入點，如大會議室選用高增益雙頻吸頂式AP滿足高密度、高強度的無線網(wǎng)絡(luò)需求。另外根據(jù)AP到交換機的距離不一采用不同供電方式，如：網(wǎng)線長度大于60米的使用DC供電方式，長度小于60米的使用PoE供電方式；l 已有有線網(wǎng)絡(luò)且網(wǎng)線具體小于60米需新增無線的僅需考慮POE供電交換機、AC無線控制器、AP接入點以及當前主路由的負載能力。根據(jù)環(huán)境結(jié)構(gòu)確定AP數(shù)量，吸頂式AP空曠環(huán)境覆蓋直徑20-30M；l 透過辦公樓2樓機柜里的無線控制器（AC），統(tǒng)一管理、配置、監(jiān)控各

5、樓層的AP；4.1.2布線規(guī)劃l 局域網(wǎng)交換機之間根據(jù)距離確定傳輸介質(zhì)（光纖或以太網(wǎng)線），大于100M的距離需使用光纖傳輸，收發(fā)設(shè)備可選用光纖收發(fā)器或交換機插光纖模塊收發(fā)；100M范圍內(nèi)可使用以太網(wǎng)線傳輸。l POE供電交換機到AP之間采用標準POE供電，為保證傳輸質(zhì)量傳輸距離應(yīng)在60M以內(nèi)，網(wǎng)線質(zhì)量差異會產(chǎn)生一定衰減，推薦范圍在50M以內(nèi)。需合理規(guī)劃供電交換機位置確保供電及數(shù)據(jù)傳輸穩(wěn)定有效。 Xxx學校wifi案例拓撲圖： xxx中學校園wifi網(wǎng)絡(luò)拓撲圖4.2覆蓋區(qū)域AP及設(shè)備數(shù)量經(jīng)勘查，根據(jù)用戶需求規(guī)劃AP及設(shè)備如下：l 每棟樓均已有網(wǎng)絡(luò)布線，新增AP連接到新交換機，新交換機放到該樓弱電

6、機房，與學校該樓已有的接入交換機其中1個百兆電口(由學校分配)對接，利舊原接入交換機的上連通道匯聚到核心機房(高一二教學樓C棟4樓)的核心交換機后，通過學校已有的教育網(wǎng)專線，利用教育網(wǎng)的統(tǒng)一上網(wǎng)出口連上互聯(lián)網(wǎng)。l 配置1臺無線控制器AC，掛在學校已有的核心交換機上，由學校分配核心交換機1個電口接入。l 配置的AP、AC設(shè)備滿足與教育局的WIFI認證平臺能兼容，滿足通過教育局的WIFI認證平臺來進行WIFI帳號的認證。l 如果部分上連通道是學校已有的設(shè)備，因此涉及到WIFI的調(diào)通需在學校已有設(shè)備上配置的，由學校負責；本次新建的設(shè)備由電信負責。l 辦公室AP量化需求： 1.辦公樓： 2.教學樓：

7、3.藝術(shù)樓： 4.圖書館： 5.體育館： 4.3主要設(shè)備介紹4.3.1無線控制器AC項目支持特性無線控制器參考參數(shù)基礎(chǔ)性能缺省管理AP數(shù)64License步長32最大管理AP數(shù)256可配置最大AP數(shù)1024802.11MAC802.11協(xié)議簇支持多SSID(每射頻口)16隱藏SSID支持11G保護支持11n only支持用戶數(shù)限制支持：基于SSID、Radio的用戶數(shù)限制用戶在線檢測支持用戶無流量自動老化支持多國家碼部署支持無線用戶隔離支持：1、無線用戶二層隔離2、基于SSID的無線用戶隔離40MHz模式的20MHz/40MHz自動切換支持本地轉(zhuǎn)發(fā)支持：基于SSID+VLAN的本地轉(zhuǎn)發(fā)CAPW

8、AP自動輸入AP序列號支持AC發(fā)現(xiàn)(DHCP option43、DNS方式)支持IPv6隧道支持時鐘同步支持Jumbo幀發(fā)送支持AP雙上行隧道鏈路支持通過AC配置AP基本網(wǎng)絡(luò)參數(shù)支持：配置靜態(tài)IP、VLAN、接入的AC地址等AP與AC間穿越NAT支持漫游能力同一AC內(nèi),不同AP下二、三層漫游支持不同AC間,不同AP下二、三層漫游支持接入控制Open system、Shared-Key支持WEP-64/128、動態(tài)WEP支持WPA、WPA2支持TKIP支持CCMP支持(11n推薦)WAPI可選支持SSH v1.5/v2.0支持無線EAD(終端準入控制)支持Portal認證支持：遠程、外掛服務(wù)器P

9、ortal頁面推送支持：基于SSID、AP的Portal頁面推送Portal穿越Proxy支持802.1x認證支持：EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-MD5、EAP-SIM、LEAP、EAP-FAST、EAP offload (僅支持TLS, PEAP)本地認證支持：802.1X、Portal、MAC認證LDAP認證支持：1、支持802.1X與Portal接入2、802.1X接入時支持EAP-GTC和EAP-TLS基本位置的用戶接入控制支持訪客接入支持VIP通道支持ARP防攻擊支持：無線SAVISSID防假冒支持：用戶名與SSID綁定基于域、SSID選擇AAA服務(wù)器支

10、持AAA服務(wù)器備份支持無線用戶的本地AAA服務(wù)器支持TACACS+支持QoS優(yōu)先級映射支持L2-L4流分類支持流量限速支持：流控粒度8Kbps802.11e/WMM支持基于用戶角色(User Profile)的接入控制支持智能帶寬限速-基于帶寬均分算法支持智能帶寬限速-基于每用戶指定帶寬的算法支持智能帶寬保障支持：在流量未擁塞時，確保不同優(yōu)先級SSID下的報文都可以自由通過；在流量擁塞時，確保每個SSID可以保持各自約定的最小帶寬QoS Optimization for SVP phone支持CAC(Call Admission Control)支持：基于用戶數(shù)/帶寬的CAC端到端QoS支持A

11、P上行口限速支持無線資源管理國家碼鎖定支持靜態(tài)信道、功率設(shè)置支持動態(tài)信道、功率設(shè)置支持動態(tài)速率調(diào)節(jié)支持空口黑洞檢測和補償支持負載均衡維度支持：基于流量、用戶、頻段(雙頻支持)智能負載均衡支持AP均衡組支持：自動發(fā)現(xiàn)并靈活設(shè)定安全防御靜態(tài)黑名單支持動態(tài)黑名單支持白名單支持非法AP檢測支持：基于SSID、BSSID、設(shè)備OUI等非法AP反制支持防無線泛洪攻擊(Flooding Attack)支持防仿冒攻擊(Spoof Attack)支持防Weak IV攻擊支持wIPS支持：可實現(xiàn)7層移動安全防御二層協(xié)議ARP代答支持802.1p支持802.1q支持802.1x支持可聚合端口數(shù)目4廣播風暴抑制支持I

12、P協(xié)議IPv4協(xié)議支持Native IPv6(原生)支持IPv6 SAVI支持IPv6 Portal支持組播協(xié)議MLD Snooping支持IGMP Snooping支持組播組數(shù)目256組播轉(zhuǎn)單播(IPv4、IPv6)支持：可依據(jù)環(huán)境設(shè)置單播接入閾值備份VRRP支持AC間1+1、N+1、N+N備份支持AC間快速切換300ms快速檢測/3s切換AC間AP數(shù)負荷分擔支持Remote AP支持DHCP Server雙機熱備支持Portal雙機熱備支持網(wǎng)管與配置管理方式支持：WEB、SNMP v1/v2/v3、RMON等配置方式支持：WEB、CLI、TELNET、FTP等無線定位AeroScout定位

13、支持綠色節(jié)能按需定時關(guān)閉AP射頻口支持按需定時關(guān)閉無線服務(wù)支持逐包功率控制(PPC)支持WLAN綜合應(yīng)用RF Ping支持遠程探針分析支持實時頻譜防護(RTSG)支持智能無線業(yè)務(wù)感知(wIAA)支持報文發(fā)送公平調(diào)度機制支持802.11n報文發(fā)送抑制支持基于連接狀況的流量整形支持調(diào)整AP間信道共享支持調(diào)整AP間信道重用支持射頻接口發(fā)送速率調(diào)整算法支持忽略弱信號無線報文支持禁止弱信號客戶端接入支持禁止組播報文緩存支持Blink狀態(tài)檢測(部分AP)支持4.3.2單頻APl 實現(xiàn)高性能無線接入和最佳無線網(wǎng)絡(luò)TCO 遵從802.11n協(xié)議標準，采用專業(yè)模塊化設(shè)計，單射頻能提供高達300Mbps的無線接入

14、速度，是相同環(huán)境下802.11a/b/g產(chǎn)品的6倍左右。通過特有的內(nèi)置集成智能射頻覆蓋優(yōu)化技術(shù)，可以有效地從覆蓋范圍、接入密度、運行穩(wěn)定等方面提供更高性能的無線接入服務(wù)并協(xié)助用戶實現(xiàn)最佳無線網(wǎng)絡(luò)TCO(總擁有成本/Total Cost of Ownership)。 l 綠色低碳設(shè)計 采用專業(yè)綠色低碳設(shè)計，功耗小于10W，而標準的802.3af(PoE)供電為15.4W，這就意味著該AP可以使用普通PoE交換機(如H3C S3000/S5000系列PoE交換機)進行供電，供電距離可達100m。使用PoE交換機供電不僅可以方便施工，開關(guān)和重置無線設(shè)備時也無需現(xiàn)場操作，只需要遠程控制PoE交換機端口

15、，從而有效地提高無線網(wǎng)絡(luò)的管理靈活性并降低網(wǎng)絡(luò)維護難度。 l 提供千兆以太網(wǎng)接口有線連接 上行接口采用千兆以太網(wǎng)接口接入，突破了傳統(tǒng)百兆以太網(wǎng)接口的限制，使有線口不再成為無線接入的速率瓶頸，為將來支持更高速率更多射頻組合提供了平滑升級的平臺。 l 支持Fat/Fit兩種模式 支持Fat和Fit兩種工作模式，根據(jù)網(wǎng)絡(luò)規(guī)劃的需要，可以靈活地在Fat和Fit兩種工作模式中切換，同時用戶可以根據(jù)應(yīng)用需求，靈活選擇所需的設(shè)備出廠版本(Fat模式版本或Fit模式版本)。 當客戶的無線網(wǎng)絡(luò)初始規(guī)模較小時，客戶只需采購該無線設(shè)備，并設(shè)置其工作模式為Fat模式。隨著客戶網(wǎng)絡(luò)規(guī)模的不斷擴容，當網(wǎng)絡(luò)中應(yīng)用的WA2無

16、線設(shè)備達到幾十甚至上百臺時，為降低網(wǎng)絡(luò)管理的復雜度，建議客戶采購同品牌自主研發(fā)的WX系列無線控制器設(shè)備，便于集中管理網(wǎng)絡(luò)中的所有的AP無線設(shè)備，此時只需將其工作模式切換到Fit模式。 作為同時支持Fat/Fit兩種工作模式的高速超百兆無線接入設(shè)備，工作模式切換過程只需要簡易命令行，且可以通過設(shè)備網(wǎng)管批量執(zhí)行，有利于將客戶的無線網(wǎng)絡(luò)由小型網(wǎng)絡(luò)平滑升級到大型網(wǎng)絡(luò)，從而更好地保護用戶的投資，非常適合運營級大規(guī)模無線網(wǎng)絡(luò)的平滑擴容升級。 l 提供本地轉(zhuǎn)發(fā)功能 當AP(Fit模式)通過廣域網(wǎng)方式轉(zhuǎn)發(fā)時，無線接入設(shè)備部署在分支機構(gòu)，而無線控制器部署在總部，所有用戶數(shù)據(jù)由無線接入設(shè)備發(fā)送到無線控制器，再由無

17、線控制器進行集中轉(zhuǎn)發(fā)，導致轉(zhuǎn)發(fā)效率低下。AP可將數(shù)據(jù)報文在無線接入設(shè)備上直接轉(zhuǎn)化為有線格式的報文，使得數(shù)據(jù)報文不經(jīng)過無線控制器，而是在本地進行轉(zhuǎn)發(fā)，大大提高了轉(zhuǎn)發(fā)效率。 l 支持IPv4/IPv6雙協(xié)議棧 全面支持IPv6特性，設(shè)備實現(xiàn)了IPv4/IPv6雙協(xié)議棧。通過與WX系列無線控制器建立IPv6隧道，無論原有有線網(wǎng)絡(luò)是IPv4還是IPv6，該AP都可以自由的與WX系列控制器進行通信，不會成為網(wǎng)絡(luò)中的信息孤島。 l 支持智能負載均衡 支持按接入用戶數(shù)量和流量的復雜均衡方式，當無線控制器發(fā)現(xiàn)無線接入設(shè)備的負載超過設(shè)定的門限值以后，對于新接入的用戶無線控制器會自動計算此用戶周圍是否還有負載較輕

18、的無線接入設(shè)備可供用戶接入，如果有則會拒絕用戶的關(guān)聯(lián)請求，用戶會轉(zhuǎn)而接入其他負載較輕的無線接入設(shè)備，但如果無線用戶不在重疊覆蓋區(qū)內(nèi)，傳統(tǒng)的負載均衡方式往往會導致連接不上網(wǎng)絡(luò)，造成誤均衡。H3C公司創(chuàng)新性的支持智能負載均衡技術(shù)，保證只對處于覆蓋重疊區(qū)的無線用戶才啟動負載均衡功能，有效的避免誤均衡的出現(xiàn)，從而最大限度的提高了無線網(wǎng)絡(luò)容量。 l 提供only 11n接入功能 由于802.11n向下兼容802.11a/b/g協(xié)議，故通常情況下，802.11a/b/g用戶也能接入到802.11n的無線接入設(shè)備上。但這種兼容能力的提供，會造成具備802.11n接入能力的用戶實際使用性能產(chǎn)生一定程度的下降。

19、支持將設(shè)備的射頻設(shè)置為only 11n模式，使得802.11n接入用戶的高速帶寬和接入性能得到保證。 l 支持中國標準WAPI 除了支持WLAN國際標準802.11i，還支持中國無線局域網(wǎng)國家標準GB15629.11-2003 中提出的WAPI標準。 l 支持無線入侵檢測/防御(WIDS/WIPS) 工作在Fat模式時，支持黑名單和白名單等無線用戶接入控制特性。WA2612-AGN工作在Fit模式時，配合H3C自主研發(fā)的WX系列無線控制器設(shè)備，可以同時支持Rogue檢測、入侵檢測以及黑名單和白名單等WIDS/WIPS特性。 l 提供EAD無線接入 終端準入控制(EAD，End user Adm

20、ission Domination)解決方案從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，對接入網(wǎng)絡(luò)的用戶終端強制實施企業(yè)安全策略，通過與安全策略服務(wù)器的聯(lián)動，可以對感染病毒或存在系統(tǒng)漏洞等不合格的無線客戶端進行下線、隔離、提醒或監(jiān)控等多種方式的處理，只有無線客戶端符合相應(yīng)的安全策略之后才允許正常訪問網(wǎng)絡(luò)，從而提高了無線網(wǎng)絡(luò)的整體安全性。 l 支持中文SSID 支持使用中文SSID，可指定最長包含32個漢字的SSID，也可以使用中英文混合的SSID，為國內(nèi)用戶提供了更大的使用便利。 l 支持TR-069特性(CWMP) 支持TR-069特性，此特性方便網(wǎng)管人員從網(wǎng)絡(luò)側(cè)對位置分散的無線接入設(shè)備進行遠程集中管理。TR-069是由DSL論壇()所開發(fā)的系列技術(shù)規(guī)范之一，其全稱為“CPE廣域網(wǎng)管理協(xié)議”。 l 全面支持智能型