某校園無線網(wǎng)絡(luò)覆蓋設(shè)計(jì)方案

1、XXX校園無線局域網(wǎng)技術(shù)建議書20XX年11月 TOC o 1-5 h z HYPERLINK l bookmark14 o Current Document 概述3 HYPERLINK l bookmark21 o Current Document 需求分析3 HYPERLINK l bookmark24 o Current Document 總體建設(shè)目標(biāo)3 HYPERLINK l bookmark29 o Current Document 具體實(shí)施目標(biāo)4 HYPERLINK l bookmark44 o Current Document 無線校園網(wǎng)建設(shè)方案 5 HYPERLINK l bo

2、okmark47 o Current Document 整網(wǎng)邏輯拓?fù)鋱D5 HYPERLINK l bookmark50 o Current Document 無線用戶認(rèn)證解決方案 5 HYPERLINK l bookmark53 o Current Document 整網(wǎng)安全解決方案6 HYPERLINK l bookmark61 o Current Document 無線校園解決方案更穩(wěn)定：7 HYPERLINK l bookmark69 o Current Document 無線校園解決方案高安全： 8 HYPERLINK l bookmark72 o Current Document 無

3、線校園解決方案易管理： 9 HYPERLINK l bookmark80 o Current Document 無線校園解決方案可擴(kuò)展： 10 HYPERLINK l bookmark83 o Current Document 無線校園網(wǎng)建設(shè)方案總結(jié) 101概述無線局域網(wǎng)（WLAN）技術(shù)于20世紀(jì)90年代逐步成熟并投入商用，既可以作傳統(tǒng)有線網(wǎng) 絡(luò)的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線網(wǎng)絡(luò)。無線局域網(wǎng)具有以下顯著特點(diǎn)：簡(jiǎn)易性：WLAN網(wǎng)橋傳輸系統(tǒng)的安裝快速簡(jiǎn)單，可極大的減少敷設(shè)管道及布線等繁 瑣工作；靈活性：無線技術(shù)使得WLAN設(shè)備可以靈活的進(jìn)行安裝并調(diào)整位置，使無線網(wǎng)絡(luò)達(dá) 到有線網(wǎng)絡(luò)不易覆蓋的

4、區(qū)域；綜合成本較低：一方面WLAN網(wǎng)絡(luò)減少了布線的費(fèi)用，另一方面在需要頻繁移動(dòng)和 變化的動(dòng)態(tài)環(huán)境中，無線局域網(wǎng)技術(shù)可以更好地保護(hù)已有投資。同時(shí)，由于WLAN 技術(shù)本身就是面向數(shù)據(jù)通信領(lǐng)域的IP傳輸技術(shù)，因此可直接通過百兆自適應(yīng)網(wǎng)口 和企業(yè)、學(xué)校內(nèi)部Intranet相連，從體系結(jié)構(gòu)上節(jié)省了協(xié)議轉(zhuǎn)換器等相關(guān)設(shè)備；擴(kuò)展能力強(qiáng)：WLAN網(wǎng)橋系統(tǒng)支持多種拓?fù)浣Y(jié)構(gòu)及平滑擴(kuò)容，可以十分容易地從小 容量傳輸系統(tǒng)平滑擴(kuò)展為中等容量傳輸系統(tǒng)；隨著WLAN技術(shù)的快速發(fā)展和不斷成熟，目前在國(guó)內(nèi)外具有較多的中大規(guī)模應(yīng)用，諸如 荷蘭的阿姆斯特丹市的全城覆蓋，向客戶提供各種業(yè)務(wù)。2需求分析2.1總體建設(shè)目標(biāo)利用無線網(wǎng)絡(luò)技術(shù)

5、進(jìn)一步擴(kuò)展校園網(wǎng)的覆蓋范圍，使全校師生能夠隨時(shí)隨地、方 便高效地使用校園網(wǎng)絡(luò)；促進(jìn)教學(xué)和科研發(fā)展，進(jìn)一步拓展研究空間；提升校園網(wǎng)絡(luò)環(huán)境，提高管理水平和效率，推動(dòng)學(xué)校信息化建設(shè)；要覆蓋部分原來沒有有線網(wǎng)的空間，諸如：寢室；由于本工程是在校園有線網(wǎng)的基礎(chǔ)上加以無線擴(kuò)充；2.2具體實(shí)施目標(biāo)側(cè)重實(shí)際應(yīng)用，覆蓋校園內(nèi)部分區(qū)域，為教學(xué)和學(xué)習(xí)生活提供切實(shí)可用的無線網(wǎng)絡(luò) 環(huán)境；采取通行的網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)：目前無線局域網(wǎng)普遍采用802.11系列標(biāo)準(zhǔn)，因此校園 無線局域網(wǎng)將主要支持802.11g（54M帶寬）標(biāo)準(zhǔn)以提供可供實(shí)際應(yīng)用的相對(duì)穩(wěn)定 的網(wǎng)絡(luò)通訊服務(wù)，同時(shí)兼顧多種類型應(yīng)用和將來的投資保護(hù)，需要同時(shí)支持 801.

6、11a，802.11b；全面的無線網(wǎng)絡(luò)支撐系統(tǒng)（包括無線網(wǎng)管、無線安全，無線計(jì)費(fèi)等），以避免無線 設(shè)備及軟件之間的不兼容性或網(wǎng)絡(luò)管理的混亂而導(dǎo)致的問題；保證網(wǎng)絡(luò)訪問的安全性；采用非獨(dú)立型的無線網(wǎng)絡(luò)結(jié)構(gòu)選型；口覆蓋范圍要求有線網(wǎng)絡(luò)無法接入的室外場(chǎng)所：校園內(nèi)一些場(chǎng)所很難實(shí)現(xiàn)網(wǎng)絡(luò)有線接入，采用 無線方式可以實(shí)現(xiàn)覆蓋大范圍室外空間的無線網(wǎng)絡(luò)接入。本次建設(shè)主要包括各 宿舍及食堂等。有線網(wǎng)絡(luò)使用不便或受限的室內(nèi)空間：校園內(nèi)一些室內(nèi)場(chǎng)所空間較大，會(huì)產(chǎn)生 許多人同時(shí)接入網(wǎng)絡(luò)的需求，采用有線的方式只能提供少量接口，不能滿足要 求。用無線網(wǎng)絡(luò)覆蓋來解決相當(dāng)數(shù)量的移動(dòng)設(shè)備同時(shí)訪問網(wǎng)絡(luò)的問題。主要包 括寢室、食堂等；

7、安全、認(rèn)證、計(jì)費(fèi)和管理要求要與現(xiàn)有的計(jì)費(fèi)系統(tǒng)對(duì)接，實(shí)現(xiàn)針對(duì)用戶計(jì)費(fèi)、管理、控制功能；校園無線網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)要求：無線接入所需布設(shè)的無線設(shè)備通過校園網(wǎng)的匯聚層設(shè)備接入到校園網(wǎng)中，在匯聚層 都提供相應(yīng)的接口給無線網(wǎng)線，在接入層設(shè)備要在方案中進(jìn)行描述。工程布線和安裝要求：I.室內(nèi)部分：定好較為開闊位置，將網(wǎng)線和電源線走暗線敷設(shè)到位；掛在墻上， 可利用設(shè)備本身自帶的安裝附件進(jìn)行安裝；如果需要遮蔽，則需要定制非金屬 安裝盒；如果是掛在天花板上，則根據(jù)天花板的情況而定，若天花板是非金屬結(jié)構(gòu)，可以固定在天花板內(nèi)。安裝過程中應(yīng)充分考慮防盜問題。II.供電部分：供電可采用弱電方式由接入的設(shè)備進(jìn)行供電。產(chǎn)品能力要求要

8、求：產(chǎn)品支持AES、WEP加密等安全標(biāo)準(zhǔn)；支撐QOS能力3無線校園網(wǎng)建設(shè)方案針對(duì)學(xué)校采用WLAN技術(shù)構(gòu)架寬帶網(wǎng)絡(luò)服務(wù)，從技術(shù)上、工程上以及提供的服務(wù)質(zhì)量上均能較好的滿足校方的要求，具體組網(wǎng)構(gòu)架如下：3.1整網(wǎng)邏輯拓?fù)鋱D鑒于XXX學(xué)校的有線網(wǎng)絡(luò)已經(jīng)較為完善，已經(jīng)是百兆到樓，部分樓已經(jīng)做到千兆到樓， 本次工程采用無線設(shè)備就近接入的原則，同時(shí)又由于現(xiàn)在每棟樓的有線網(wǎng)絡(luò)為無線網(wǎng)絡(luò)只能 提供一個(gè)有線接口，此有線接口下接一臺(tái)交換機(jī)完成網(wǎng)絡(luò)接口的擴(kuò)展。具體的邏輯組網(wǎng)圖如 下圖所示：一營(yíng)15毫住機(jī)圖1 *無線局域網(wǎng)工程方案邏輯組網(wǎng)示意圖3.2無線用戶認(rèn)證解決方案本方案主要采用portal認(rèn)證，WA2220E-

9、AG/WA1208E-AGP與無線控制器通過二層隧道協(xié) 議通信，無線用戶的認(rèn)證點(diǎn)都是放置于無線業(yè)務(wù)插卡設(shè)備上，后臺(tái)的iMC認(rèn)證計(jì)費(fèi)系統(tǒng)作為 用戶鑒權(quán)點(diǎn)。針對(duì)無線用戶，無線控制器作為802.1x認(rèn)證的終結(jié)點(diǎn)，iMC認(rèn)證計(jì)費(fèi)系統(tǒng)作為最后的 鑒權(quán)點(diǎn)，此時(shí)的主要工作由無線交換機(jī)進(jìn)行統(tǒng)一調(diào)度，當(dāng)用戶在不同的端口下的不同無線設(shè) 備的覆蓋范圍時(shí)，此時(shí)用戶不會(huì)再次觸發(fā)認(rèn)證。3.3整網(wǎng)安全解決方案*無線局域網(wǎng)絡(luò)主要服務(wù)于學(xué)校的學(xué)生與教師，也是規(guī)模的公眾型網(wǎng)絡(luò)， 同時(shí)由于學(xué)生出于技術(shù)的研究興趣，會(huì)對(duì)網(wǎng)絡(luò)發(fā)起各種各樣的攻擊行為，此時(shí)網(wǎng)絡(luò)安全問題 在建網(wǎng)時(shí)必須考慮問題，安全方式主要側(cè)重幾個(gè)方面：用戶安全、網(wǎng)絡(luò)安全，而

10、在校園網(wǎng)絡(luò) 中主要依附于用戶實(shí)體的屬性主要包括用戶使用的信息終端二層屬性（諸如：MAC地址）及 用戶的帳號(hào)、密碼，而對(duì)于學(xué)校學(xué)生用戶來，帳號(hào)信息都是一個(gè)實(shí)名原則，與學(xué)生的學(xué)藉進(jìn) 行關(guān)聯(lián)的，這樣本無線網(wǎng)絡(luò)中著重考慮使用無線網(wǎng)絡(luò)的空口信息的安全機(jī)制，同時(shí)也要考慮 與無線相關(guān)的有線網(wǎng)絡(luò)的安全問題，對(duì)于原有有線網(wǎng)絡(luò)的安全問題，在本技術(shù)建議書中不作 相應(yīng)的考慮；無線網(wǎng)絡(luò)安全：無線網(wǎng)絡(luò)安全部分主要包括以下方面的內(nèi)容：MAC地址過濾：目前支持基于MAC地址的過濾，限制具有某種類型的MAC地址 特征的終端才能進(jìn)入網(wǎng)絡(luò)中；SSID管理：是一種網(wǎng)絡(luò)標(biāo)識(shí)的方案，將網(wǎng)絡(luò)進(jìn)行一個(gè)邏輯化標(biāo)識(shí)，對(duì)終端上 發(fā)的報(bào)文都要求進(jìn)行

11、上帶SSID，如果沒有SSID標(biāo)識(shí)則不能進(jìn)入網(wǎng)絡(luò)；WEP加密：WEP加密是一種靜態(tài)加密的機(jī)制，通信雙方具有一個(gè)共同的密鑰， 終端發(fā)送的空口信息報(bào)文必須使用共同的密鑰進(jìn)行加密；支持AES加密，AES安全機(jī)制是一種動(dòng)態(tài)密鑰管理機(jī)制，同時(shí)密鑰生成也基于 不對(duì)稱密鑰機(jī)制來實(shí)現(xiàn)的，同時(shí)密鑰的管理也定期更新，具有體的時(shí)間由系統(tǒng) 可以設(shè)定，一般情況都設(shè)定為5分鐘左右，這樣非法用戶要想在5分鐘之內(nèi)進(jìn) 行獲取足夠數(shù)量的報(bào)文進(jìn)行匹配出密鑰出來，從無線空口的流理來看，基本上 是不可能的；無線方案中可根據(jù)用戶名來劃分權(quán)限，即相同用戶在不同地點(diǎn)接入無線網(wǎng)絡(luò)其 權(quán)限保持一致；密鑰設(shè)置可能根據(jù)SSID信息與用戶信息進(jìn)行組合

12、，即不同的 SSID下不同的用戶的密鑰生成可以不一樣，這樣一定程度上保證用戶之間串 號(hào)問題產(chǎn)生，從而保護(hù)投資，以達(dá)到營(yíng)維平衡；3.4無線校園解決方案一一更穩(wěn)定：WLAN穩(wěn)定性解決方案從無線控制器的可靠性，接入交換機(jī)供電的可靠性、無線信號(hào)的 可靠性這幾方面入手，極大的提高7WLAN網(wǎng)絡(luò)的可靠性；在實(shí)際的使用情況來看，啟用這 些措施之后，WLAN的可靠性能夠得到明顯的提升。實(shí)時(shí)無線資源管理：實(shí)時(shí)無線資源管理解決方案提供了實(shí)時(shí)閉環(huán)的無線資源管理，包括了如下步驟：掃描每個(gè)接入點(diǎn)啟動(dòng)后，通過CAPWAP協(xié)議與無線控制器建立隧道，并從無線控制器獲取基 本的配置。無線控制器負(fù)責(zé)協(xié)調(diào)網(wǎng)絡(luò)中的無線接入點(diǎn)執(zhí)行掃描

13、過程。通過定期的信道掃描， 系統(tǒng)能夠分析和了解信道的質(zhì)量、干擾情況、鄰居接入點(diǎn)的分布等。分析無線控制器將對(duì)無線接入點(diǎn)定期上報(bào)的數(shù)據(jù)進(jìn)行聚合分析。這些數(shù)據(jù)包括：干擾：其他工作在802.11頻段的無線網(wǎng)絡(luò)對(duì)無線介質(zhì)的影響。噪音：非802.11信號(hào)，如雷達(dá)、藍(lán)牙、無繩電話、微波等等對(duì)信號(hào)的影響。丟包率：包差錯(cuò)率（由于隱藏的節(jié)點(diǎn)或信號(hào)變形）信道負(fù)載：用來衡量媒介的繁忙程度。有效信號(hào)強(qiáng)度:在一定時(shí)間內(nèi)觀察到的每個(gè)鄰居的信號(hào)強(qiáng)度和整個(gè)信道的平均 信號(hào)強(qiáng)度。這些數(shù)據(jù)將幫助無線控制器構(gòu)建無線網(wǎng)絡(luò)的完整視圖，為管理控制提供決策數(shù)據(jù)。決策利用前期分析的數(shù)據(jù)，無線控制器將采用智能的算法對(duì)射頻資源進(jìn)行優(yōu)化和調(diào)整，以適

14、 應(yīng)無線環(huán)境的變化。系統(tǒng)使用了優(yōu)化的信道和功率選擇算法、加權(quán)判斷以及抑制限度，自動(dòng)評(píng)估資源調(diào)整的 影響，能夠確保系統(tǒng)的控制是可靠的。執(zhí)行無線控制器將新的發(fā)射功率，信道分配等決策發(fā)送到接入點(diǎn)，接入點(diǎn)負(fù)責(zé)使能這些配置。 系統(tǒng)提供了兩種控制模式：參考模式和立即模式，增加了系統(tǒng)使用的靈活性。參考模式下， 系統(tǒng)不進(jìn)行實(shí)際的控制策略執(zhí)行，只是給出建議的功率、信道的設(shè)定值，管理員可以決定是 否執(zhí)行這些配置，確保了用戶控制的靈活性。立即模式下，將根據(jù)系統(tǒng)計(jì)算出的信道等參數(shù) 進(jìn)行立即的設(shè)置。上述過程是閉環(huán)過程，一旦配置下發(fā)以后，控制器將持續(xù)監(jiān)視網(wǎng)絡(luò)環(huán)境。任何無線環(huán)境 的變化與波動(dòng)都會(huì)被定期記錄下來，為下一輪的優(yōu)

15、化作準(zhǔn)備。3.5無線校園解決方案一一高安全：一體化無線校園解決方案在遵循IEEE 802.11i協(xié)議和國(guó)家WAPI標(biāo)準(zhǔn)的基礎(chǔ)上，創(chuàng)新性 的提出了分層的安全體系架構(gòu)，將WLAN的安全從單一的物理層安全延伸到了物理層安全、 用戶接入安全、網(wǎng)絡(luò)層安全、設(shè)備安全、安全管理多個(gè)層面上，使用戶在使用WLAN網(wǎng)絡(luò)時(shí) 能夠像使用有線網(wǎng)絡(luò)一樣安全、可靠。無線物理安全：無線產(chǎn)品支持以下的加密機(jī)制：WEP加密、TKIP加密、CCMP加密、WAPI加密。其中，WAPI采用國(guó)家密碼管理委員會(huì)辦公室批準(zhǔn)的公鑰密碼體制的橢圓曲線密碼算法 和對(duì)稱密碼體制的分組密碼算法，分別用于WLAN設(shè)備的數(shù)字證書、證書鑒別、密鑰協(xié)商和 傳

16、輸數(shù)據(jù)的加解密。在無線設(shè)備安全方面，在設(shè)備上不保存業(yè)務(wù)配置，而是每次啟動(dòng)的時(shí)候從無線控制器動(dòng) 態(tài)加載業(yè)務(wù)配置，這樣可以有效避免設(shè)備丟失造成配置泄漏，防止非法FIT接入網(wǎng)絡(luò)。無線用戶安全：通過用戶接入認(rèn)證實(shí)現(xiàn)了對(duì)校園無線接入用戶的身份認(rèn)證，為網(wǎng)絡(luò)服務(wù)提供了安全保 護(hù)。無線接入認(rèn)證主要有802.1x接入認(rèn)證、PSK認(rèn)證、MAC接入認(rèn)證以及在有線校園網(wǎng)中常 用的portal認(rèn)證等。通過和AAA服務(wù)器配合，H3C的無線設(shè)備支持對(duì)認(rèn)證用戶動(dòng)態(tài)下發(fā)帶 寬、VLAN、ACL、優(yōu)先級(jí)等參數(shù)，對(duì)于不同的用戶群和業(yè)務(wù)可以控制其訪問網(wǎng)絡(luò)的權(quán)限，限 制網(wǎng)絡(luò)資源的使用，通過VLAN和優(yōu)先級(jí)來標(biāo)識(shí)用戶和業(yè)務(wù)，并做到業(yè)務(wù)隔

17、離。無線網(wǎng)絡(luò)安全:為了保證無線用戶和整個(gè)校園網(wǎng)絡(luò)的安全，僅僅保證接入點(diǎn)的安全性是遠(yuǎn)遠(yuǎn)不夠的。該 方案從網(wǎng)絡(luò)用戶終端準(zhǔn)入控制入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全客戶端、 安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動(dòng)，對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安 全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，加強(qiáng)網(wǎng)絡(luò)用戶終端的主動(dòng)防御能力，保護(hù)網(wǎng)絡(luò) 安全。此外，無線產(chǎn)品支持完善的無線入侵檢測(cè)系統(tǒng)，可以自動(dòng)監(jiān)測(cè)非法設(shè)備，并適時(shí)上報(bào)網(wǎng) 管中心，同時(shí)對(duì)非法設(shè)備的攻擊可以進(jìn)行自動(dòng)防護(hù)，最大程度地保護(hù)無線網(wǎng)絡(luò)。3.6無線校園解決方案一一易管理：部署圖米化的配直界面無線設(shè)備的統(tǒng)一管理笛珞和服務(wù)的批垣部署切控多樣七的

18、拓?fù)涔芾砜娪冒锥ㄎ慌c漫游RF熱點(diǎn)踱蓋監(jiān)控優(yōu)化流量分析策略控制ACL流量管理6,畛一安全運(yùn)菅 計(jì)費(fèi) 頁面推送 專業(yè)化報(bào)衣 些墮熨SOA架相安全時(shí)RP攻擊 無統(tǒng)湍點(diǎn)準(zhǔn)入 無線用戶行為審計(jì) W1DS無綣入侵檢測(cè)在管理方面，實(shí)現(xiàn)了如下兩點(diǎn):有線無線統(tǒng)一認(rèn)證計(jì)費(fèi)管理，解決了老師不希望用戶有線一套帳號(hào)，無線又一 套帳號(hào)，不能統(tǒng)一計(jì)費(fèi)管理的問題。有線無線統(tǒng)一網(wǎng)管，解決了老師不希望采用兩套管理系統(tǒng)的問題。管理系統(tǒng)集 成專業(yè)的無線管理部件，實(shí)現(xiàn)射頻資源管理、無線性能監(jiān)視、非法告警等管理 需求。無線校園管理系統(tǒng)依托iMC智能管理平臺(tái)，在iMC系統(tǒng)全面的有線網(wǎng)絡(luò)管理的基礎(chǔ)上，為用戶提供無線網(wǎng)絡(luò)管理能力。用戶無需重新搭建IT管理平臺(tái)，只要在原有的有線網(wǎng)絡(luò)管 理系統(tǒng)中增加