校園WIFI項目技術方案設計

校園標準化無線WIFI項目方案xxx有限公司目錄TOC1引言 32網絡建設原則 32.1全面性 32.2可管理性 32.3安全性 32.4可擴展性 42.5經濟性和實用性 43用戶需求 44WIFI的覆蓋設計規(guī)劃 44.1無法覆蓋的網絡規(guī)劃 44.1.1網絡規(guī)劃 44.1.2布線規(guī)劃 54.2覆蓋區(qū)域AP及設備數量 64.3主要設備介紹 74.3.1無線控制器AC 74.3.2單頻AP 134.3.3PoE交換機 16引言隨著互聯(lián)網及其應用的高速發(fā)展，無線網絡、智能終端的普及，無線網絡使用需求日益增大，原有的網絡訪問習慣及網絡設施已經難以滿足教師及學生現在以及未來對網絡的使用需求。同時為了幫助校園實現移動辦公，提高工作效率。本工程計劃在學校的辦公樓、教學樓、藝術樓、圖書館、體育館等辦公場所進行WIFI信號覆蓋。網絡建設原則全面性無線網絡覆蓋設計不僅要保證覆蓋區(qū)域無線網絡的全面性、穩(wěn)定性，還要能夠適應今后高帶寬的要求，滿足日益增長的業(yè)務量需求及設備、服務的更新要求?？晒芾硇钥梢詫W絡進行在線監(jiān)控，隨時了解無線網絡的“健康狀態(tài)”，快速定位并排除故障，并能對網絡帶寬進行資源優(yōu)化，實現流量負載均衡、合理分配，提高網絡的高利用率。安全性無線網絡系統(tǒng)提供多種有效的安全加密機制，SSID用戶隔離，有效降低機密泄露和蹭網盜網行為,保證無線網絡的安全?？蓴U展性應用的不斷發(fā)展要求網絡在性能、協(xié)議、網絡拓撲等方面具備很好的可擴展性。包含后期無線監(jiān)控部署、局域網絡擴大、帶寬資源更新、設備服務的升級等等。經濟性和實用性完全從現有的應用需求出發(fā)，依場所環(huán)境做覆蓋方案實際部署，既保證方案可行性，還能最大程度的降低建設成本。3用戶需求項目需要對辦公樓各辦公室、教學樓教師辦公室和特定課室、圖書館、體育館等辦公場所wifi信號全覆蓋建設。整個無線系統(tǒng)能夠進行統(tǒng)一的中央控管，能夠支持多種安全策略和認證方式，還能夠方便地進行擴容；同時要現AP集中管理。實現教職工在整個辦公樓無線覆蓋圍接入點自動切換、無線漫游，教職工無需任何過多的配置，無線網絡可以根據不同用戶名與密碼分配不同網絡帶寬，有效保障無線網絡接入速度和良好的無線網絡體驗。4WIFI的覆蓋設計規(guī)劃4.1無法覆蓋的網絡規(guī)劃4.1.1網絡規(guī)劃根據環(huán)境具體需求選取合適的無線AP接入點，如大會議室選用高增益雙頻吸頂式AP滿足高密度、高強度的無線網絡需求。另外根據AP到交換機的距離不一采用不同供電方式，如：網線長度大于60米的使用DC供電方式，長度小于60米的使用PoE供電方式；已有有線網絡且網線具體小于60米需新增無線的僅需考慮POE供電交換機、AC無線控制器、AP接入點以及當前主路由的負載能力。根據環(huán)境結構確定AP數量，吸頂式AP空曠環(huán)境覆蓋直徑20-30M；透過辦公樓2樓機柜里的無線控制器（AC），統(tǒng)一管理、配置、監(jiān)控各樓層的AP；4.1.2布線規(guī)劃局域網交換機之間根據距離確定傳輸介質（光纖或以太網線），大于100M的距離需使用光纖傳輸，收發(fā)設備可選用光纖收發(fā)器或交換機插光纖模塊收發(fā)；100M圍可使用以太網線傳輸。POE供電交換機到AP之間采用標準POE供電，為保證傳輸質量傳輸距離應在60M以，網線質量差異會產生一定衰減，推薦圍在50M以。需合理規(guī)劃供電交換機位置確保供電及數據傳輸穩(wěn)定有效。Xxx學校wifi案例拓撲圖：xxx中學校園wifi網絡拓撲圖4.2覆蓋區(qū)域AP及設備數量經勘查，根據用戶需求規(guī)劃AP及設備如下：每棟樓均已有網絡布線，新增AP連接到新交換機，新交換機放到該樓弱電機房，與學校該樓已有的接入交換機其中1個百兆電口(由學校分配)對接，利舊原接入交換機的上連通道匯聚到核心機房(高一二教學樓C棟4樓)的核心交換機后，通過學校已有的教育網專線，利用教育網的統(tǒng)一上網出口連上互聯(lián)網。配置1臺無線控制器AC，掛在學校已有的核心交換機上，由學校分配核心交換機1個電口接入。配置的AP、AC設備滿足與教育局的WIFI認證平臺能兼容，滿足通過教育局的WIFI認證平臺來進行WIFI帳號的認證。如果部分上連通道是學校已有的設備，因此涉及到WIFI的調通需在學校已有設備上配置的，由學校負責；本次新建的設備由電信負責。辦公室AP量化需求：1.辦公樓：2.教學樓：3.藝術樓：4.圖書館：5.體育館：4.3主要設備介紹4.3.1無線控制器AC項目支持特性無線控制器參考參數基礎性能缺省管理AP數64License步長32最大管理AP數256可配置最大AP數1024802.11MAC802.11協(xié)議簇支持多SSID(每射頻口)16隱藏SSID支持11G保護支持11nonly支持用戶數限制支持：基于SSID、Radio的用戶數限制用戶在線檢測支持用戶無流量自動老化支持多碼部署支持無線用戶隔離支持：1、無線用戶二層隔離2、基于SSID的無線用戶隔離40MHz模式的20MHz/40MHz自動切換支持本地轉發(fā)支持：基于SSID+VLAN的本地轉發(fā)CAPWAP自動輸入AP序列號支持AC發(fā)現(DHCPoption43、DNS方式)支持IPv6隧道支持時鐘同步支持Jumbo幀發(fā)送支持AP雙上行隧道鏈路支持通過AC配置AP基本網絡參數支持：配置靜態(tài)IP、VLAN、接入的AC地址等AP與AC間穿越NAT支持漫游能力同一AC,不同AP下二、三層漫游支持不同AC間,不同AP下二、三層漫游支持接入控制Opensystem、Shared-Key支持WEP-64/128、動態(tài)WEP支持WPA、WPA2支持TKIP支持CCMP支持(11n推薦)WAPI可選支持SSHv1.5/v2.0支持無線EAD(終端準入控制)支持Portal認證支持：遠程、外掛服務器Portal頁面推送支持：基于SSID、AP的Portal頁面推送Portal穿越Proxy支持802.1x認證支持：EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-MD5、EAP-SIM、LEAP、EAP-FAST、EAPoffload(僅支持TLS,PEAP)本地認證支持：802.1X、Portal、MAC認證LDAP認證支持：1、支持802.1X與Portal接入2、802.1X接入時支持EAP-GTC和EAP-TLS基本位置的用戶接入控制支持訪客接入支持VIP通道支持ARP防攻擊支持：無線SAVISSID防假冒支持：用戶名與SSID綁定基于域、SSID選擇AAA服務器支持AAA服務器備份支持無線用戶的本地AAA服務器支持TACACS+支持QoS優(yōu)先級映射支持L2-L4流分類支持流量限速支持：流控粒度8Kbps802.11e/WMM支持基于用戶角色(UserProfile)的接入控制支持智能帶寬限速-基于帶寬均分算法支持智能帶寬限速-基于每用戶指定帶寬的算法支持智能帶寬保障支持：在流量未擁塞時，確保不同優(yōu)先級SSID下的報文都可以自由通過；在流量擁塞時，確保每個SSID可以保持各自約定的最小帶寬QoSOptimizationforSVPphone支持CAC(CallAdmissionControl)支持：基于用戶數/帶寬的CAC端到端QoS支持AP上行口限速支持無線資源管理碼鎖定支持靜態(tài)信道、功率設置支持動態(tài)信道、功率設置支持動態(tài)速率調節(jié)支持空口黑洞檢測和補償支持負載均衡維度支持：基于流量、用戶、頻段(雙頻支持)智能負載均衡支持AP均衡組支持：自動發(fā)現并靈活設定安全防御靜態(tài)黑支持動態(tài)黑支持白支持非法AP檢測支持：基于SSID、BSSID、設備OUI等非法AP反制支持防無線泛洪攻擊(FloodingAttack)支持防仿冒攻擊(SpoofAttack)支持防WeakIV攻擊支持wIPS支持：可實現7層移動安全防御二層協(xié)議ARP代答支持802.1p支持802.1q支持802.1x支持可聚合端口數目4廣播風暴抑制支持IP協(xié)議IPv4協(xié)議支持NativeIPv6(原生)支持IPv6SAVI支持IPv6Portal支持組播協(xié)議MLDSnooping支持IGMPSnooping支持組播組數目256組播轉單播(IPv4、IPv6)支持：可依據環(huán)境設置單播接入閾值備份VRRP支持AC間1+1、N+1、N+N備份支持AC間快速切換300ms快速檢測/3s切換AC間AP數負荷分擔支持RemoteAP支持DHCPServer雙機熱備支持Portal雙機熱備支持網管與配置管理方式支持：WEB、SNMPv1/v2/v3、RMON等配置方式支持：WEB、CLI、TELNET、FTP等無線定位AeroScout定位支持綠色節(jié)能按需定時關閉AP射頻口支持按需定時關閉無線服務支持逐包功率控制(PPC)支持WLAN綜合應用RFPing支持遠程探針分析支持實時頻譜防護(RTSG)支持智能無線業(yè)務感知(wIAA)支持報文發(fā)送公平調度機制支持802.11n報文發(fā)送抑制支持基于連接狀況的流量整形支持調整AP間信道共享支持調整AP間信道重用支持射頻接口發(fā)送速率調整算法支持忽略弱信號無線報文支持禁止弱信號客戶端接入支持禁止組播報文緩存支持Blink狀態(tài)檢測(部分AP)支持4.3.2單頻AP實現高性能無線接入和最佳無線網絡TCO◆遵從802.11n協(xié)議標準，采用專業(yè)模塊化設計，單射頻能提供高達300Mbps的無線接入速度，是相同環(huán)境下802.11a/b/g產品的6倍左右。通過特有的置集成智能射頻覆蓋優(yōu)化技術，可以有效地從覆蓋圍、接入密度、運行穩(wěn)定等方面提供更高性能的無線接入服務并協(xié)助用戶實現最佳無線網絡TCO(總擁有成本/TotalCostofOwnership)。綠色低碳設計◆采用專業(yè)綠色低碳設計，功耗小于10W，而標準的802.3af(PoE)供電為15.4W，這就意味著該AP可以使用普通PoE交換機(如H3CS3000/S5000系列PoE交換機)進行供電，供電距離可達100m。使用PoE交換機供電不僅可以方便施工，開關和重置無線設備時也無需現場操作，只需要遠程控制PoE交換機端口，從而有效地提高無線網絡的管理靈活性并降低網絡維護難度。提供千兆以太網接口有線連接◆上行接口采用千兆以太網接口接入，突破了傳統(tǒng)百兆以太網接口的限制，使有線口不再成為無線接入的速率瓶頸，為將來支持更高速率更多射頻組合提供了平滑升級的平臺。支持Fat/Fit兩種模式◆支持Fat和Fit兩種工作模式，根據網絡規(guī)劃的需要，可以靈活地在Fat和Fit兩種工作模式中切換，同時用戶可以根據應用需求，靈活選擇所需的設備出廠版本(Fat模式版本或Fit模式版本)?！舢斂蛻舻臒o線網絡初始規(guī)模較小時，客戶只需采購該無線設備，并設置其工作模式為Fat模式。隨著客戶網絡規(guī)模的不斷擴容，當網絡中應用的WA2無線設備達到幾十甚至上百臺時，為降低網絡管理的復雜度，建議客戶采購同品牌自主研發(fā)的WX系列無線控制器設備，便于集中管理網絡中的所有的AP無線設備，此時只需將其工作模式切換到Fit模式?！糇鳛橥瑫r支持Fat/Fit兩種工作模式的高速超百兆無線接入設備，工作模式切換過程只需要簡易命令行，且可以通過設備網管批量執(zhí)行，有利于將客戶的無線網絡由小型網絡平滑升級到大型網絡，從而更好地保護用戶的投資，非常適合運營級大規(guī)模無線網絡的平滑擴容升級。提供本地轉發(fā)功能◆當AP(Fit模式)通過廣域網方式轉發(fā)時，無線接入設備部署在分支機構，而無線控制器部署在總部，所有用戶數據由無線接入設備發(fā)送到無線控制器，再由無線控制器進行集中轉發(fā)，導致轉發(fā)效率低下。AP可將數據報文在無線接入設備上直接轉化為有線格式的報文，使得數據報文不經過無線控制器，而是在本地進行轉發(fā)，大大提高了轉發(fā)效率。支持IPv4/IPv6雙協(xié)議?！羧嬷С諭Pv6特性，設備實現了IPv4/IPv6雙協(xié)議棧。通過與WX系列無線控制器建立IPv6隧道，無論原有有線網絡是IPv4還是IPv6，該AP都可以自由的與WX系列控制器進行通信，不會成為網絡中的信息孤島。支持智能負載均衡◆支持按接入用戶數量和流量的復雜均衡方式，當無線控制器發(fā)現無線接入設備的負載超過設定的門限值以后，對于新接入的用戶無線控制器會自動計算此用戶周圍是否還有負載較輕的無線接入設備可供用戶接入，如果有則會拒絕用戶的關聯(lián)請求，用戶會轉而接入其他負載較輕的無線接入設備，但如果無線用戶不在重疊覆蓋區(qū)，傳統(tǒng)的負載均衡方式往往會導致連接不上網絡，造成誤均衡。H3C公司創(chuàng)新性的支持智能負載均衡技術，保證只對處于覆蓋重疊區(qū)的無線用戶才啟動負載均衡功能，有效的避免誤均衡的出現，從而最大限度的提高了無線網絡容量。提供only11n接入功能◆由于802.11n向下兼容802.11a/b/g協(xié)議，故通常情況下，802.11a/b/g用戶也能接入到802.11n的無線接入設備上。但這種兼容能力的提供，會造成具備802.11n接入能力的用戶實際使用性能產生一定程度的下降。支持將設備的射頻設置為only11n模式，使得802.11n接入用戶的高速帶寬和接入性能得到保證。支持中國標準WAPI◆除了支持WLAN國際標準802.11i，還支持中國無線局域網標準GB15629.11-2003中提出的WAPI標準。支持無線入侵檢測/防御(WIDS/WIPS)◆工作在Fat模式時，支持黑和白等無線用戶接入控制特性。WA2612-AGN工作在Fit模式時，配合H3C自主研發(fā)的WX系列無線控制器設備，可以同時支持Rogue檢測、入侵檢測以及黑和白等WIDS/WIPS特性。提供EAD無線接入◆終端準入控制(EAD，EnduserAdmissionDomination)解決方案從控制用戶終端安全接入網絡的角度入手，整合網絡接入控制與終端安全產品，對接入網絡的用戶終端強制實施企業(yè)安全策略，通過與安全策略服務器的聯(lián)動，可以對感染病毒或存在系統(tǒng)漏洞等不合格的無線客戶端進行下線、隔離、提醒或監(jiān)控等多種方式的處理，只有無線客戶端符合相應的安全策略之后才允許正常訪問網絡，從而提高了無線網絡的整體安全性。支持中文SSID◆支持使用中文SSID，可指定最長包含32個漢字的SSID，也可以使用中英文混合的SSID，為國用戶提供了更大的使用便利。支持TR-069特性(CWMP)◆支持TR-069特性，此特性方便網管人員從網絡側對位置分散的無線接入設備進行遠程集中管理