《校园无线网络覆盖设计方案.doc》由会员分享,可在线阅读,更多相关《校园无线网络覆盖设计方案.doc(13页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、XXX校园无线局域网技术建议书2021年11月目 录1概述32需求分析3总体建立目标3具体实施目标43无线校园网建立方案5整网逻辑拓扑图5无线用户认证解决方案6整网平安解决方案6无线校园解决方案更稳定:7无线校园解决方案高平安:9无线校园解决方案易管理:10无线校园解决方案可扩展:114无线校园网建立方案总结111 概述无线局域网WLAN技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点: 简易性:WLAN网桥传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作; 灵活性:无线技术使得WLAN设备可以灵活
2、的进展安装并调整位置,使无线网络到达有线网络不易覆盖的区域; 综合本钱较低:一方面WLAN网络减少了布线的费用,另一方面在需要频繁移动与变化的动态环境中,无线局域网技术可以更好地保护已有投资。同时,由于WLAN技术本身就是面向数据通信领域的IP传输技术,因此可直接通过百兆自适应网口与企业、学校内部Intranet相连,从体系构造上节省了协议转换器等相关设备; 扩展能力强:WLAN网桥系统支持多种拓扑构造及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统;随着WLAN技术的快速开展与不断成熟,目前在国内外具有较多的中大规模应用,诸如荷兰的阿姆斯特丹市的全城覆盖,向客户提供各种业
3、务。 2 需求分析2.1 总体建立目标 利用无线网络技术进一步扩展校园网的覆盖范围,使全校师生能够随时随地、方便高效地使用校园网络; 促进教学与科研开展,进一步拓展研究空间; 提升校园网络环境,提高管理水平与效率,推动学校信息化建立; 要覆盖局部原来没有有线网的空间,诸如:寝室;由于本工程是在校园有线网的根底上加以无线扩大;2.2 具体实施目标 侧重实际应用,覆盖校园内局部区域,为教学与学习生活提供切实可用的无线网络环境; 采取通行的网络协议标准:目前无线局域网普遍采用802.11系列标准,因此校园无线局域网将主要支持54M带宽标准以提供可供实际应用的相对稳定的网络通讯效劳,同时兼顾多种类型应
4、用与将来的投资保护,需要同时支持; 全面的无线网络支撑系统包括无线网管、无线平安,无线计费等,以防止无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题; 保证网络访问的平安性; 采用非独立型的无线网络构造选型; 覆盖范围要求I. 有线网络无法接入的室外场所:校园内一些场所很难实现网络有线接入,采用无线方式可以实现覆盖大范围室外空间的无线网络接入。本次建立主要包括各宿舍及食堂等。II. 有线网络使用不便或受限的室内空间:校园内一些室内场所空间较大,会产生许多人同时接入网络的需求,采用有线的方式只能提供少量接口,不能满足要求。用无线网络覆盖来解决相当数量的移动设备同时访问网络的问题。主要包括
5、寝室、食堂等; 平安、认证、计费与管理要求要与现有的计费系统对接,实现针对用户计费、管理、控制功能; 校园无线网网络构造要求:无线接入所需布设的无线设备通过校园网的会聚层设备接入到校园网中,在会聚层都提供相应的接口给无线网线,在接入层设备要在方案中进展描述。 工程布线与安装要求:I. 室内局部:定好较为开阔位置,将网线与电源线走暗线敷设到位;挂在墙上,可利用设备本身自带的安装附件进展安装;如果需要遮蔽,那么需要定制非金属安装盒;如果是挂在天花板上,那么根据天花板的情况而定,假设天花板是非金属构造,可以固定在天花板内。安装过程中应充分考虑防盗问题。II. 供电局部:供电可采用弱电方式由接入的设备
6、进展供电。 产品能力要求要求:I. 产品支持AES、WEP加密等平安标准;II. 支撑QOS能力3 无线校园网建立方案针对学校采用WLAN技术构架宽带网络效劳,从技术上、工程上以及提供的效劳质量上均能较好的满足校方的要求,具体组网构架如下: 3.1 整网逻辑拓扑图鉴于XXX学校的有线网络已经较为完善,已经是百兆到楼,局部楼已经做到千兆到楼,本次工程采用无线设备就近接入的原那么,同时又由于现在每栋楼的有线网络为无线网络只能提供一个有线接口,此有线接口下接一台交换机完成网络接口的扩展。具体的逻辑组网图如下列图所示:图1 *无线局域网工程方案逻辑组网示意图3.2 无线用户认证解决方案本方案主要采用p
7、ortal认证,WA2220E-AG/WA1208E-AGP与无线控制器通过二层隧道协议通信,无线用户的认证点都是放置于无线业务插卡设备上,后台的iMC认证计费系统作为用户鉴权点。针对无线用户,无线控制器作为认证的终结点,iMC认证计费系统作为最后的鉴权点,此时的主要工作由无线交换机进展统一调度,当用户在不同的端口下的不同无线设备的覆盖范围时,此时用户不会再次触发认证。 3.3 整网平安解决方案*无线局域网络主要效劳于学校的学生与教师,也是规模的公众型网络,同时由于学生出于技术的研究兴趣,会对网络发起各种各样的攻击行为,此时网络平安问题在建网时必须考虑问题,平安方式主要侧重几个方面:用户平安、
8、网络平安,而在校园网络中主要依附于用户实体的属性主要包括用户使用的信息终端二层属性诸如:MAC地址及用户的帐号、密码,而对于学校学生用户来,帐号信息都是一个实名原那么,与学生的学藉进展关联的,这样本无线网络中着重考虑使用无线网络的空口信息的平安机制,同时也要考虑与无线相关的有线网络的平安问题,对于原有有线网络的平安问题,在本技术建议书中不作相应的考虑; 无线网络平安:无线网络平安局部主要包括以下方面的内容:I. MAC地址过滤:目前支持基于MAC地址的过滤,限制具有某种类型的MAC地址特征的终端才能进入网络中;II. SSID管理:是一种网络标识的方案,将网络进展一个逻辑化标识,对终端上发的报
9、文都要求进展上带SSID,如果没有SSID标识那么不能进入网络;III. WEP加密:WEP加密是一种静态加密的机制,通信双方具有一个共同的密钥,终端发送的空口信息报文必须使用共同的密钥进展加密;IV. 支持AES加密,AES平安机制是一种动态密钥管理机制,同时密钥生成也基于不对称密钥机制来实现的,同时密钥的管理也定期更新,具有体的时间由系统可以设定,一般情况都设定为5分钟左右,这样非法用户要想在5分钟之内进展获取足够数量的报文进展匹配出密钥出来,从无线空口的流理来看,根本上是不可能的;V. 无线方案中可根据用户名来划分权限,即一样用户在不同地点接入无线网络其权限保持一致;密钥设置可能根据SS
10、ID信息与用户信息进展组合,即不同的SSID下不同的用户的密钥生成可以不一样,这样一定程度上保证用户之间串号问题产生,从而保护投资,以到达营维平衡;3.4 无线校园解决方案更稳定:WLAN稳定性解决方案从无线控制器的可靠性,接入交换机供电的可靠性、无线信号的可靠性这几方面入手,极大的提高了WLAN网络的可靠性;在实际的使用情况来看,启用这些措施之后,WLAN的可靠性能够得到明显的提升。实时无线资源管理:实时无线资源管理解决方案提供了实时闭环的无线资源管理,包括了如下步骤: 扫描每个接入点启动后,通过CAPWAP协议与无线控制器建立隧道,并从无线控制器获取根本的配置。无线控制器负责协调网络中的无
11、线接入点执行扫描过程。通过定期的信道扫描,系统能够分析与了解信道的质量、干扰情况、邻居接入点的分布等。 分析无线控制器将对无线接入点定期上报的数据进展聚合分析。这些数据包括:l 干扰:其他工作在802.11频段的无线网络对无线介质的影响。l 噪音:非802.11信号,如雷达、蓝牙、无绳 、微波等等对信号的影响。l 丢包率:包过失率由于隐藏的节点或信号变形l 信道负载:用来衡量媒介的繁忙程度。l 有效信号强度:在一定时间内观察到的每个邻居的信号强度与整个信道的平均信号强度。这些数据将帮助无线控制器构建无线网络的完整视图,为管理控制提供决策数据。 决策利用前期分析的数据,无线控制器将采用智能的算法
12、对射频资源进展优化与调整,以适应无线环境的变化。系统使用了优化的信道与功率选择算法、加权判断以及抑制限度,自动评估资源调整的影响,能够确保系统的控制是可靠的。 执行无线控制器将新的发射功率,信道分配等决策发送到接入点,接入点负责使能这些配置。系统提供了两种控制模式:参考模式与立即模式,增加了系统使用的灵活性。参考模式下,系统不进展实际的控制策略执行,只是给出建议的功率、信道的设定值,管理员可以决定是否执行这些配置,确保了用户控制的灵活性。立即模式下,将根据系统计算出的信道等参数进展立即的设置。上述过程是闭环过程,一旦配置下发以后,控制器将持续监视网络环境。任何无线环境的变化与波动都会被定期记录
13、下来,为下一轮的优化作准备。3.5 无线校园解决方案高平安:一体化无线校园解决方案在遵循IEEE 802.11i协议与国家WAPI标准的根底上,创新性的提出了分层的平安体系架构,将WLAN的平安从单一的物理层平安延伸到了物理层平安、用户接入平安、网络层平安、设备平安、平安管理多个层面上,使用户在使用WLAN网络时能够像使用有线网络一样平安、可靠。无线物理平安:无线产品支持以下的加密机制:WEP加密、TKIP加密、CCMP加密、WAPI加密。其中,WAPI 采用国家密码管理委员会办公室批准的公钥密码体制的椭圆曲线密码算法与对称密码体制的分组密码算法,分别用于WLAN 设备的数字证书、证书鉴别、密
14、钥协商与传输数据的加解密。在无线设备平安方面,在设备上不保存业务配置,而是每次启动的时候从无线控制器动态加载业务配置,这样可以有效防止设备丧失造成配置泄漏,防止非法FIT接入网络。无线用户平安:通过用户接入认证实现了对校园无线接入用户的身份认证,为网络效劳提供了平安保护。无线接入认证主要有802.1x接入认证、PSK认证、MAC接入认证以及在有线校园网中常用的portal认证等。通过与AAA效劳器配合,H3C的无线设备支持对认证用户动态下发带宽、VLAN、ACL、优先级等参数,对于不同的用户群与业务可以控制其访问网络的权限,限制网络资源的使用,通过VLAN与优先级来标识用户与业务,并做到业务隔
15、离。无线网络平安:为了保证无线用户与整个校园网络的平安,仅仅保证接入点的平安性是远远不够的。该方案从网络用户终端准入控制入手,整合网络接入控制与终端平安产品,通过平安客户端、平安策略效劳器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业平安策略,严格控制终端用户的网络使用行为,加强网络用户终端的主动防御能力,保护网络平安。此外,无线产品支持完善的无线入侵检测系统,可以自动监测非法设备,并适时上报网管中心,同时对非法设备的攻击可以进展自动防护,最大程度地保护无线网络。3.6 无线校园解决方案易管理:在管理方面,实现了如下两点:l 有线无线统一认证计费管理,解决了教师不希望用户有线
16、一套帐号,无线又一套帐号,不能统一计费管理的问题。l 有线无线统一网管,解决了教师不希望采用两套管理系统的问题。管理系统集成专业的无线管理部件,实现射频资源管理、无线性能监视、非法告警等管理需求。无线校园管理系统依托iMC智能管理平台,在iMC系统全面的有线网络管理的根底上,为用户提供无线网络管理能力。用户无需重新搭建IT管理平台,只要在原有的有线网络管理系统中增加无线管理功能,便可以与有线管理平台统一部署,节省投入与维护本钱。无线校园管理解决方案不仅为用户提供了灵活的组件选择,同时符合业界主流的SOA架构,具备良好的扩展性,能够满足客户网络管理的需求。通过集中式管理架构与统一的网管系统,可以
17、保证设备互通性与无线网络的轻松配置,实现有线无线一体化高效管理。无线校园管理解决方案中的无线业务逻辑拓扑,使用户直观了解网络部署情况及设备与链路当前状态。它可根据不同的方式组织资源,有效进展拓扑分组、真实组织全网资源。物理位置视图中用户可根据需要创立多维度、多层次的物理位置构造,并在指定平面图上根据真实情况摆放设备,逼近真实网络环境。在无线平安解决方案中我们已经介绍过,从用户管理的角度出发,可通过EAD解决方案,做到有线用户与无线用户统一认证平台,从而配合有线设备与无线设备统一网管,真正实现有线无线一体化管理。3.7 无线校园解决方案可扩展:集中管理架构WLAN在接入点与接入控制器之间采用CAPWAP协议构建,而且同时支持IPv4与IPv6协议。也就是,接入控制器作为效劳器,可以接收来自IPv4以及IPv6网络的接入点的链接请求;而且接入点可以动态的选择使用IPv4或者IPv6与接入控制器建立链接。目前可以实现非常灵活的IPV6处理机制,即可通过IPV4网络实现IPV6互联,也可以通过IPV6网络实现IPV4互联。4 无线校园网建立方案总结第 13 页