某高校WLAN技术解决方案.doc

泉州信息学院WLAN技术建议书泉州信息学院WLAN无线覆盖技术建议书杭州华三通信技术有限公司上海宽岱电讯科技发展有限公司目 录一、概述4二、客户需求4三、网络建设方案53.1无线网络基础方案53.1.1网络建设原则53.1.2方案逻辑组网图63.1.3 Fat AP认证方式63.1.3 Fit AP认证方式7认证方式及认证点、计费模式选择73.2无线网络安全73.2.1用户安全：83.3无线网络QOS：(采用在WX5002+FIT工作模式)83.3.1漫游切换支持：83.3.2多媒体业务的QOS支持：93.4无线网络管理：113.5负载均衡(在WX5002+FIT工作模式)123.6供电问题：133.7.1 覆盖效果理论计13四 无线网络规划134.2 频率复用144.3 AP容量规划15六、产品配置方案165.2 H3C WX5002_WX6100系列无线控制器21七、接入数据汇总表29八设备清单30泉州信息学院无线覆盖技术建议书一、概述无线局域网（WLAN）技术于20世纪90年代逐步成熟并投入商用，既可以作传统有线网络的延伸，在某些环境也可以替代传统的有线网络。对比传统的有线传输解决方案，使用WLAN网络实现数据传输具有以下显著特点： 简易性：WLAN网络传输系统的安装快速简单，可极大的减少敷设管道及布线等繁琐工作； 灵活性：无线技术使得WLAN设备可以灵活的进行安装并调整位置，使无线网络达到有线网络不易覆盖的区域； 综合成本较低：一方面WLAN网络减少了布线的费用，另一方面在需要频繁移动和变化的动态环境中，无线局域网技术可以更好地保护已有投资。同时，由于WLAN技术本身就是面向数据通信领域的IP传输技术，因此可直接通过百兆自适应网口和企业内部Intranet相连，从体系结构上节省了协议转换器等相关设备； 扩展能力强：WLAN网络系统支持多种拓扑结构及平滑扩容，可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统；随着WLAN技术的快速发展和不断成熟，目前在国内外已经具有较多的政府机构使用WLAN技术布置无线城域网，进行承载部分政府业务，诸如：电子政备、消防、公安信息等等，如：美国费城、荷兰阿姆斯特丹等。二、客户需求泉州信息学院园区无线局域网建设的总体目标是：利用无线网络技术进一步扩展网络的覆盖范围，提高网络的用户自适应性，在无线的覆盖范围内实现数据业务和语音业务的无线传输，并且可实现三层漫游，使无线局域网和有线网成为一个整体，提供安全的无线接入。由于本工程是在有线网的基础上加以无线扩充（即采用AP将无线网络接入到有线网络），目前有线网已达到了相当的覆盖范围，可以为无线网络的建设提供支持。本工程具体的建设目标是： 侧重实际应用，计划全面覆盖泉州信息学院校园主要人群活动场所； 保证网络访问的安全性，支持用户多种接入方式认证机制,包括：基于Protal、802.1X、mac等认证，支持标准的LDAP目录服务器； 采取通行的网络协议标准：目前无线局域网普遍采用802.11g系列标准，因此无线局域网将主要支持802.11g（54M带宽）标准以提供可供实际应用的相对稳定的网络通讯服务； 用户的漫游性。在连续覆盖区域的认证和覆盖应充分考虑移动用户的易用性，达到一次认证，移动使用的目的。 无线网网络结构要求：无线接入所需布设的AP通过接入设备接入到网中，在接入层提供相应的接口给AP使用； 工程布线和安装要求：I. 室内部分：定位于较为开阔位置，将网线走暗线敷设到位；挂在墙上，可利用设备本身自带的安装附件进行安装；如果需要遮蔽，则需要定制非金属安装盒；如果是挂在天花板上，则根据天花板的情况而定，若天花板是非金属结构，可以固定在天花板内。安装过程中应充分考虑防盗问题。II. 室外部分：AP的供电可采用POE方式由接入的网络设备进行供电，室外机型需具备防雨防电等功能。III. 供电部分：AP的供电可采用POE方式由接入的网络设备进行供电 产品能力要求要求：I. 具有无委会核准证；II. 支持负载均衡；III. 漫游切换；IV. 支撑QOS能力 覆盖与用户数量要求：a) 覆盖范围：信息学院教学楼及学生宿舍(包括其他主体建筑和新区宿舍)；b) 覆盖质量：覆盖区90%的测试点，便携机内置无线网卡的接收电平要保持在-85dbm以上c) 用户规模：按开户7000人，平均在线700人计算；三、网络建设方案采用WLAN技术构架宽带网络服务，从技术上、工程上以及提供的服务质量上均能较好的满足要求。3.1无线网络基础方案3.1.1网络建设原则结合WLAN的实际应用和发展要求，公众无线局域网(PWLAN)网络系统设计，主要遵循以下系统总体原则：n 实用性原则：以现行需求为基础，充分考虑发展的需要来确定系统规模。n 成熟和先进性原则：由于WLAN应用于运营网络仍然属于新兴技术，需要及时将新技术引用进来，更好的开展业务，同时也要求保证网络与业务的可靠性。n 规范性原则：系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和联通WLAN企业标准，为系统的扩展升级、与其他系统的互联提供良好的基础。n 开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。n 可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展、同时接入用户数量的扩展、业务种类的扩展和办公地点的扩展等。并保证建设完成后的系统在向新的技术升级时，能保护现有的投资。n 可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。3.1.2方案逻辑组网图本次采用无线控制器+FitAP和Fat AP相结合的解决方案来实现无线网络的覆盖，逻辑组网图如下所示：本次工程采用无线网就近接入的原则，每台AP就近接入有线网络，此时要求相应于无线AP的有线地方都要提供一个有线交换机的接入端口（RJ45）供使用，从工程维护的角度出发，建议采用POE的方式进行给AP进行供电，部分具有本地供电条件的，也有采用本地供电方式。具体的逻辑组网图如下图所示InternetRadius校园网出口无线控制器网管.PoE接入层交换机无线接入点图1 无线项目方案逻辑组网示意图3.1.3 Fat AP认证方式由于泉州信息学院安全有着一定的要求，必须能够外来人员使用网络获取校内密级资料或对网络进行攻击H3C认证方案采取三重保障，第一层保障是MAC地址认证，第二层保障是服务区标识符 ( SSID ) 匹配，第三层保障是802.1x认证。MAC地址认证 每个无线客户端网卡都由唯一的48位物理地址（MAC）标识，可在AP中或者AC重维护一组允许访问的MAC地址列表，如果用户的MAC地址是合法的，AP才会对用户的流量进行进一步的处理，如果用户的MAC地址是非法的，那么AP就会丢弃用户的流量，这样就可以实现物理地址过滤，确保非法用户不能访问无线网络。服务区标识符 ( SSID ) 匹配 无线客户端必需设置与无线访问点AP相同的SSID ，才能访问AP；如果出示的SSID与AP的SSID不同，那么AP将拒绝它通过本服务区上网。利用SSID设置，可以很好地进行用户群体分组，避免任意漫游带来的安全和访问性能的问题。可以通过设置隐藏接入点（AP）及SSID区域的划分和权限控制来达到保密的目的，因此可以认为SSID是一个简单的口令，通过提供口令认证机制，实现一定的安全。IEEE802.1x 认证 是一种基于端口的访问控制技术，是用于无线局域网的一种增强网络安全解决方案。当无线工作站STA与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为STA打开这个逻辑端口，否则不允许用户连接网络。网络加密方案和SSID隐藏 除了要对用户的身份加以认证外，还必须保证所有人的通信不会被中间人截获、窃听甚至篡改。这就要求该无线网络必须拥有较强的加密能力。H3C WLAN支持目前最先进的各种加密算法AES，并支持802.11和802.11i中规定的各种加密模式，包括WEP、TKIP和CCMP等，完全可以满足用户的安全需要。当用户使用这些加密方式时，其他人使用任何设备均不可能破解用户传输的内容。此外，H3C还支持我国自主知识产权的WAPI，安全性更高。3.1.3 Fit AP认证方式认证方式及认证点、计费模式选择主要采用pppoe认证，WA2220与WX5002通过二层隧道协议通信，通过用户网络到radius服务器对用户进行接入认证。无线用户的认证、鉴权、计费都使用原有线学生网方案。3.2无线网络安全网络安全问题是在建网时必须要考虑的问题，安全方式主要侧重几个方面：用户安全、系统安全，而在网络中主要依附于用户实体的属性主要包括用户使用的信息终端二层属性（诸如：MAC地址）及用户的帐号、密码，而对于企业用户来讲，帐号信息都是一个实名原则，与员工的利益进行关联的，这样本无线网络中着重考虑使用无线网络的空口信息的安全机制。为了阻止非授权用户访问无线网络，以及防止对无线局域网数据流的非法侦听，H3C无线解决方案支持WPA、802.11i等安全策略，每个AP支持16个SSID，支持隐藏SSID技术等，确保无线网络安全。3.2.1用户安全：数据安全部分主要包括以下方面的内容：I. MAC地址过滤：目前支持基于MAC地址的过滤，限制具有某种类型的MAC地址特征的终端才能进入网络中；II. SSID管理：是一种网络标识的方案，将网络进行一个逻辑化标识，对终端上发的报文都要求进行上带SSID，如果没有SSID标识则不能进入网络；III. WEP加密：WEP加密是一种静态加密的机制，通信双方具有一个共同的密钥，终端发送的空口信息报文必须使用共同的密钥进行加密；IV. 支持AES加密，AES安全机制是一种动态密钥管理机制，同时密钥生成也基于不对称密钥机制来实现的，同时密钥的管理也定期更新，具体的时间由系统可以设定，一般情况都设定为5分钟左右，这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来，从无线空口的流理来看，基本上是不可能的；V. 华三的无线方案中的密钥设置可能根据SSID信息与用户信息进行组合，即不同的SSID下不同的用户的密钥生成可以不一样，这样可以做不到不同的用户不同的管理方式，同时具备不同的权限；3.3无线网络QOS：(采用在WX5002+FIT工作模式)3.3.1漫游切换支持：无线终端在无线网络中移动时，必然要进行不同AP之间、所属不同有线交换机之间的漫游切换。首先无线终端会通过无线局域网服务器的CAMS软件进行第一次的安全接入认证，无线交换机会介入该认证过程，并获得PMK（Pairwise Master Key）。无线终端根据PMK生成多个通讯用密钥，开始进行加密会话。当无线终端发现需要进行切换时，会进行如下操作：1) 与无线交换机进行连接的预建立；2) 无线交换机与需要建立连接的AP交换通讯用PMK密钥，并将PMK密钥传给无线终端；3) 无线终端发布更新消息，更新无线交换机转发表；4) 原有的数据流转换到新的AP上来；5) 切断原有的数据连接。整个L2、L3漫游过程在50ms内全部完成，并兼容IEEE 802.11i、IEEE802.11f和IEEE802.11e标准，可良好支持语音、视频等多媒体业务的需求。考虑到具有语音与视频的潜在需求，可以通过设置专门的SSID作为语音/视频业务使用，通过划分VLAN方式实现语音终端仅仅与语音网关进行通信，保证语音业务与数据业务隔离开来。3.3.2多媒体业务的QOS支持：在无线系统中，WLAN部分非常重要的就是QoS。而对于涉及到语音、视频业务的无线系统系统，通信质量尤为重要，是事关系统质量的关键指标。QoS的总体思想就是保证实时语音、视频等业务在最高的优先级。华三的WLAN系统在所有的层次保证了用户数据的最高质量的优先级调度。图2 WLAN系统的QoS 如图所示，在无线控制器和AP之间是通过隧道通信，不同的无线控制器之间也是通过隧道通信，业务的QoS保证是在三个层次内完成的，有AP的QoS保证，无线控制器的QoS保证和L3的QoS保证。应用层数据与WLAN优先级的映射：基于DiffServ的QoS映射： AP进行WMM与COS/TOS之间映射 AP与无线控制器之间基于隧道的到TOS、DSCP的QoS映射： 无线控制器之间基于隧道的TOS、DSCP到COS的QoS映射： L3交换机/无线控制器之间进行COS与TOS、DSCP之间的映射：业务类型WMMLayer 2 CoS（802.11p/Q)Layer 3 IPPrecedence（TOS）Layer 3DSCPBackground0000330x6024Best Effort110x208220x4016Video440x8032550xa040Voice660xc048770xe056基于DiffServ的队列调度 AP在输出接口支持多个队列，按优先级调度 语音流和会议电视放入严格优先级队列PQ中，流媒体和关键数据业务放入CBWFQ。华三的WLAN AP设备可以支持二层优先级（802.1p/Q)，三层优先级数据（TOS）到WLAN MAC层优先级的映射，并且可以数据的类型，将不同类型的报文使用不同的优先级传输。具体的QoS配置参数如下：在AP的QoS范畴内，不仅仅继承了IEEE802.11 MAC里面所规定的CSMA/CA(载波侦听多路访问/冲突避免)的DCF（分布式协调功能）机制，华三 WA2110更加实现WMM所规定的EDCF（增强型分布式协调功能）。也就是将业务分为不同的4个队列Backgournd，Best Effort，Video和Voice，就可以把不同的业务类型放入不同的队列中，根据信息学院无线网络的应用预期，我们设定AP的QoS配置如下表业务类型AP级别的QoS配置实时视音频流67实时视频流（上行监控）45实时信息流12数据流0、3在L2优先级配置的范畴里面，根据业务应用的特点将不同的业务放入了不同的优先级队列，如下表所示业务类型L2优先级队列实时视音频流67实时视频流（上行监控）45实时信息流12数据流0、33.4无线网络管理：作为接入层网络，无线网络需要较多的AP，维护工作量较大，加之无线网络的灵活性和不可见性，如果对每个AP进行单独管理则会造成较高的维护开销，也给管理人员带来了一定的难度。而且无线网络直接面对最终用户，对管理系统稳定性、实时性、有效性要求都较高。H3C使用WSM无线业务管理器应能对无线网络中的AP、AC等设备作到统一管理。WSM无线业务管理器依托iMC智能管理平台，实现有线无线一体化的管理，在iMC系统全面的有线网络管理的基础上，为用户提供无线网络管理能力。用户无需重新搭建IT管理平台，即可在原有的有线网络管理系统中增加无线管理功能，与有线管理平台统一部署，节省用户投入，节约维护成本。 iMC智能管理中心采用分布式、组件化、跨平台的开放体系结构。通过选择安装WSM无线业务管理器，用户可以获得全面的无线业务管理能力，实现AC设备、FAT AP设备、FIT AP设备、移动终端等无线设备的集中管理，轻松实现设备配置管理功能，并提供资源分组、无线拓扑功能，对全网无线设备进行直观有效的组织，对网络部署和设备状态一目了然，策略模板等功能实现网络和设备的批量配置，提升效率，降低维护工作量，降低维护成本。基于Web的管理系统，为无线业务管理者提供了简便、友好的管理平台。与iMC智能管理平台及其它组件配合，还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理、用户认证管理等功能，并可对网络中的其它设备进行统一管理，真正实现有线无线一体化管理。n 电信级产品质量保证H3C自2003年公司成立以来就继承了业界领导厂商华为和3Com的WLAN产品。整个无线产品的规划都是按照电信级设计，从阻容到主处理芯片，每一个元器件都经过严格质量认证和技术认证，基本上是选用一流供应商的元器件，保证元器件的性能和品质。在产品生产上，H3C公司采用业界先进的IPD CMM3.0集成产品开发流程，有严格的质量管理体系，从全流程的每一个环节控制产品质量。n 强大的研发团队，自主知识产权，快速响应客户需求H3C的研发团队分布在北京、杭州、深圳和印度，海外研发中心紧跟前沿技术脚步，国内研发中心快速响应客户需求。H3C全系列WLAN产品采用完全自主研发的软件，并采用了业界最为严格的测试标准，由位于北京的独立的鉴定测试中心来最终鉴定产品能否达到质量标准。此外由于自主开发软件，完全掌握知识产权，很容易根据客户的要求定制特殊功能，以满足特定情况下的应用。n 完善的服务体系H3C公司在全国建立了30个区域服务中心和区域备件系统，承诺为客户提供专业、快捷、规范的服务，通过先进的通信技术与总部的技术服务平台连接，完成客户档案、维护经验案例、备件库存、产品发布等信息的共享，形成覆盖全国地市级城市，专职人员规模超过400人的技术服务体系。H3C致力于通过高质量的服务提高用户网络的可用性，提升用户满意度。H3C成立了备件中心（SPC，Spare Parts Center）专门支撑H3C公司的售后服务和向客户的承诺，依托遍布全国主要城市的30个区域备件库和位于杭州、北京及深圳的3个分拨中心，建成了国际化、标准化、现代化的物流管理系统。H3C备件中心科学地进行备件仓储分析和管理，能够向客户提供高效的备件服务，最大限度地保障客户网络的平稳运行。n 丰富的无线网络工程经验无线网络的工程实施对整个项目的成败至关重要。H3C专门成立了无线工程督导团队来确保无线网络工程的顺利实施，目前H3C公司已经成功实施了第六届亚洲冬季运动会、北京解放军总医院、国家知识产权局、新华社、北京航空航天大学、北京交通大学、华东理工大学、上海汤臣洲际大大楼等无线网络工程的部署，具备丰富的无线项目实施工程经验，保证项目进度，后顾无忧。n 全面的安全性，支持WAPI前段时间，财政部、发改委和信产部联合下发了关于印发无线局域网产品政府采购实施意见的通知，在政府采购中将优先考虑符合国家无线标准的产品，这就要求相关政府部门采购的WLAN产品，要具备支持WAPI标准的能力。我们知道，WAPI之所以没有成为全球标准，其主要原因就是以Intel为首的国外厂商，的公开反对；出于政治上的考虑，国外厂商目前的WLAN产品不支持WAPI标准，将来也不会支持WAPI标准；而国内也有一些厂家，产品是从国外厂商那里OEM而来或者和国外厂商联合开发，主要的技术都依赖这些国外厂商，同样也无法支持WAPI标准。而华三通信作为一家中国本土厂商，所有的WLAN产品均按照中国标准要求自主开发，目前所有的WLAN产品均具备支持WAPI的能力，一旦国家强制推行WAPI标准，华三通信所有WLAN产品只需升级软件即可完成对WAPI标准的支持。3.5负载均衡(在WX5002+FIT工作模式)AP上支持标准的IAPP协议框架，通过负载均衡的部署，可实现在一个热点内用户平均分配到所部署的所有AP上，达到在一个服务区AP接入用户数何流量的平衡，为用户提供更高的服务质量。具体可部署的负载均衡策略有： 对所有AP设置基于用户数的负载均衡功能，AP通过对接入用户数的统计，与设定AP接入用户数量阀值比较，达到阀值后，不允许新的用户接入。 对所有AP设置基于流量的负载均衡功能，AP通过对接入用户流量的统计，与设定AP上流量漏桶阀值上沿比较，达到阀值后，不允许新的用户接入，少于阀值下沿，再允许新用户接入。 配合网络规划，设置AP群功能，在一个群内的AP通过组播报文实时通报接入用户数量，当发现AP间用户数差值大于设定阀值，接入用户多的AP将部分用户赶下网。在当前无线网络用户数尚在培育期的情况下，对于负载均衡的要求还不是很高，当用户发展到一定水平，介于AP本身负载均衡能力的天然限制，比较好的方案还是将网络平稳过渡到FITAP方式，通过无线控制器实现一系列的管控功能。并且，随着FITAP无线控制器技术的发展，使得FITAP网络有着向与3G融合的方向演进的可能。3.6供电问题：由于本次无线网中AP设备数量较多，AP布放位置根据实际覆盖效果而调整，在已建设完成的建筑物上较难进行本地供电，本方案主要基于标准的802.3af实现对AP的POE供电。3.7.1 覆盖效果理论计信号强度和传输距离的换算公式AP加卡的信号总强度公式：GtGrAP天线增益终端天线增益L信号总强度（dB）Gt（AP或终端功率，单位dB），Gr（终端或AP灵敏度，单位dB）距离产生的信号衰减公式：4020lgdL1（dB） d（距离，单位m）工程中最大传输距离以45m计算，所以L172dB障碍物的衰减：物体dB地板30带窗户的砖墙2办公室墙6办公室墙的金属门6砖墙的金属门12.4靠近金属门的砖墙3工程中实际的障碍物的最大衰减是临窗墙的衰减3dB加上房间墙的衰减12dB等于15dB。四 无线网络规划4.1频率规划 目前针对WLAN来讲，2.4G具有3具不重叠的信道，针对5.8G具有5个不重叠信道，但由于网络用户具有一定的不确定性，故网络覆盖时所需要的WLAN网络空间都要进行2.4G与5.8G的频率覆盖，从网络规划的角度出发，主要考虑2.4G与5.8G二个频率的覆盖设计，针对2.4G的频率的信号衰减模型主要采用如下：PathLoss(dB) = 46 +10* n*Log D（m），而对于5.8G的信号衰减模型：PathLoss(dB) = 32.4+20*lg fMHz+ 20*lgdKM +a * dKM，以上二信号衰减模型进行网络的设计，到具体网络实施时要进行工勘与优化，而对于信道主要采用1、6、11三个信道交错使用，具体的面覆盖逻辑示意图如下：图1. WLAN2.4G信道规划示意图4.2 频率复用图2. 无线覆盖示意图针对频率复用的设计与实现主要侧重于重叠区域，考虑到802.11技术中目前业界主要采用DCF的仲裁，这样会导致从网络实施的角度出发，没有办法做到像GSM、3G网络的控制力度，从技术原理的角度出发，没有办法实现很好的频率复用，只能被动做些负载均衡的功能。每个AP具有54Mbps、48Mbps、36Mbps、18Mbps等的覆盖范围，对于54Mbps的覆盖范围不重叠，对于54Mbps与18Mbps就可能进行重叠，可以根据网络侧的负载功能进行实现一定程度的频率复用功能，从网络规划的角度出发，WLAN基本上、下行无线链路复用的处理问题，因为目前都是DCF方式，而从只能结合业务目标实现网络覆盖效果，具体网络使用效果使用负载均衡功能进行实现。负载均衡的功能实现具体原理如下：1. 根据负载均衡的配置确定负载均衡的模式、SSID、其他参与负载均衡的AP的标识、用户数或流量的阀值等进行一定的初始化；2. 确定本AP的2个射频模块连接的STA用户数量和流量；3. 通过UDP协议以私有方式定时进行AP间通讯。先进行握手，成功后才进行数据的交换，获取参与负载均衡的AP的负载信息。4. 当有STA要接入时，根据其工作频率，比较本AP上该射频下的负载和其他AP的指定SSID下的用户数或流量，以及负载均衡的SSID绑定接口的速率集，决定STA能否接入。同时要注意到若用户数已达到AP某个SSID的最大用户数，则该AP的SSID不允许再接入STA；4.3 AP容量规划从业界实现的DCF方式来看，没有一个最大用户数的限制，但业界各个厂商进行实现时都基于一定理解的前提下进行默认限制，H3C目前每个AP最大的用户默认限制为64个用户（可扩展支持128），从网络规划的角度出发，按每个AP支持128个用户进行网络规划，尤其针对高密集区域。AP的最大净荷吞吐量为：23Mbps，用户的增加总带带下降量不大， 100kbps/用户，按128用户进行规划；300kbps/用户按64用户进行规划；1Mbps/用户按22用户进行规划；2Mbps/用户按11用户进行规划； 802.11a/b/g能够接入的并发用户数量根据不同的业务要求下的用户数量，从系统能力的角度出发，可以支持64用户接入；在此方案的设计中，公寓楼按最多床位的1号公寓来计算，1号公寓共6层，每层8个房间，每间标准4个学员，则共有192个床位，按满编同时10%用户接入计算，约有20个STA同时接入，该公寓同时有2个AP负责覆盖，按每个用户2Mbps可以基本满足覆盖要求。教学校按模拟测试结果，每三层用2个AP就足以满足覆盖需求，考虑到教学校每层有8个教室，每个教室约40个学生上课，3层共计约960个学生同时上课，如按10%人员同时在线，约96个STA终端接入，接1Mbps速率，则需要我5个AP来覆盖，这一点与仅2个AP，同时接入用户数约40人相比，差距较大，但是出于成本控制目的，我方修改成每2层4个AP，在预期用户接入数和最少AP数量覆盖目标之间取个折衷点。4.4干扰规避及容量提升通过规避干扰提升网络容量，尤其是在小范围提供大容量的无线局域网是WLAN设计的难点。针对干扰规避和容量提升，业内主要有如下几种建议：充分利用天然隔断（如建筑物、墙体等）、使用802.11a、降低AP发射功率、使用扇区天线或智能天线。利用隔断进行频率复用是WLAN网络规划的基本方法，802.11 a的使用主要受限于用户发展，这里都不再赘述。下面针对后两种建议进行简单讨论。降低AP发射功率可以减少AP的覆盖范围，从而增大频率复用度。降低AP发射功率，可以减少AP之间的相互干扰；但是，STA的发射功率一般为30mW，部分STA设备的功率用户是无法控制的，所以AP与STA之间、STA与STA之间的干扰依然存在，所能带来的容量提升也有限。况且采用室外覆盖的方案，对于AP而言，功率余量已经不大，故不建议采用此方法。4.5扇区天线，智能天线此技术用于蜂窝网络，使容量得以提升。WLAN使用扇区天线或智能天线，可以减少AP之间以及STA与AP之间的干扰，在一定程度上能够提升容量。但是STA均使用全向天线，功率不可调，STA之间的干扰依然无法避免。部分区域采用定向天线主要是基于聚焦信号的考虑。五、网络优化在网络规划设计及建设完成之后，需要对实际网络质量进行测量，并根据测量结果对网络进行调整，以确保信号强度、干扰等指标达到目标值。六、产品配置方案6.1 产品性能介绍本次采用H3C室外FAT AP设备型号WA2220X-AGP 室内FAT/FIT AP设备型号WA2210-AG WA2200系列无线产品是华三通信技术有限公司（H3C）自主研发的双频多模系列无线接入点，可广泛应用于各种向用户提供WLAN接入的无线网络；WA2200系列支持Fat和Fit两种工作模式，根据网络规划的需要，可以通过命令行灵活地在Fat和Fit两种工作模式中切换。WA2200系列产品作为瘦AP（Fit AP）时，需要与无线控制器系列产品配套使用；作为胖AP（Fat AP）时，可以独立进行组网。WA2200系列产品支持Fat/Fit两种工作模式的特性，有利于将客户的WLAN网络由小型网络平滑升级到大型网络，从而很好地保护用户的投资。WA2200系列产品包括室内型WA2210-AG（单频）和WA2220-AG（双频），适用于覆盖半径小、对环境要求不高的室内应用场景；增强型WA2220E-AG（双频），主要面向仓库、工厂车间等对温度、防尘等环境要求较高的应用场景；室外型WA2210X-G（单频），WA2220X-AG（双频）和WA2220X-AGP（双频大功率），主要面向对高低温、防潮、防水、防尘、防雷有较高要求的室外应用场景。WA2200系列产品视图如下：WA2200系列设备外观图产品特点1. 支持虚拟APWA2100和WA2200系列产品支持多SSID实现虚拟AP特性，每个SSID可对应不同的VLAN、从而对于每一个SSID可以实现不同的网络服务及认证方式。该特性使管理员可以方便的为不同用户群、不同的业务制定区分的服务策略。2. 支持“零配置”特性传统无线网络的部署需要网络管理人员对网络中的每一个AP进行逐一配置，当无线网络规模较大时网络管理人员往往要配置上百个AP，配置工作量巨大，且易于出错。而采用H3C WA2100或WA2200 作为Fit AP配合无线控制器的进行组网时，网络维护人员只需要在无线控制器上对业务属性和物理属性相似的AP建立配置模版，这样AP在启动时可以从无线控制器动态获取配置文件，AP侧可不做任何配置，只需上电即可正常工作，该特性极大方便了用户的使用，也降低了设备的维护成本。另外，由于AP本身不保存任何配置，万一设备丢失，也可以保证网络配置不被窃取，保证了网络的安全。AP支持启动后自动获取IP地址、自动获取无线控制器的工作列表并自动和无线控制器建立关联，真正做到了零配置，免维护，极大地减轻了网络管理人员在部署网络阶段的维护工作量。3. 支持集中管理WA2100或WA2200作为Fit AP和无线控制器配合组网，大部分管理报文和数据报文都需要经过无线控制器的统一处理。在无线控制器端，通过CAPWAP协议控制网络中所有的Fit AP，所有设备的状态都一目了然。较之传统的Fat AP，无线控制器加Fit AP的应用模式极大地方便了系统管理员管理整个网络。4. 支持版本自动升级WA2100和WA2200可以和网络内的无线控制器自动取得关联，并下载最新的软件版本到AP设备。所有的这些操作都是自动完成的，不需要人工干预，减少了网络维护的工作量。这个特性对于大型网络尤其重要。5. 支持丰富的认证方式WA2100和WA2200系列产品配合H3C自主研发的无线控制器系列产品，可实现802.1x认证、PSK认证、MAC、Portal、WAPI等多种认证方式。WA2200作为Fat AP时支持802.1x认证、PSK认证、MAC认证等多种认证方式，认证方式的多样性保证了应用的灵活性。6. 支持硬件加解密WA2100和WA2200系列产品采用了业界先进的无线芯片，支持WEP/TKIP/AES等硬件加解密算法，使安全处理不成为系统应用的瓶颈。7. 支持密钥动态协商和更新WA2100和WA2200系列产品，在采用TKIP或AES加密算法时，相应的密钥均是由动态协商而来，且可以在使用一定的时长或加密数据帧后，进行动态更新。这使得非法无线用户的窃听企图难以得逞。8. 支持中国标准WAPI（无线局域网鉴别和保密基础结构）WA2100和WA2200系列产品，除了支持802.11i和WPA等国际标准外，配合无线控制器还支持中国无线局域网国家标准GB15629.11-2003 中提出的、安全等级更高的WAPI。9. 支持IPv6特性WA2100和WA2200系列产品实现了IPv4/IPv6双协议栈，与无线控制器之间可以穿过IPv6网络互联，使得组网方式更加灵活，可以满足今后网络发展的需要，保护用户投资。WA2110-AG也也支持无线用户采用IPv6接入网络。10. 支持EAD无线接入端点准入防御（EAD，Endpoint Admission Defense）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。H3C WA2100和WA2200系列产品支持无线用户的EAD接入，通过与安全策略服务器的联动，可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理，只有无线客户端符合相应的安全策略之后才允许正常访问网络，从而提高了无线网络的整体安全性。11. 支持智能的负载均衡WA2100和WA2200系列无线接入点支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP，但如果无线用户不在AP的重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。H3C公司创新性地支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。12. 支持用户隔离策略WA2100和WA2200系列无线接入点支持无线用户之间的隔离。当启用了此功能后，两个无线客户端之间无法直接通讯，无线客户端只能访问上游的有线网络。应用此特性，运营商可强制无线用户到指定的网关或服务器上进行计费或更安全的认证，实现所谓的热点应用。13. 高可靠性的业务设计WA2100和WA2200（工作于Fit AP模式时）系列无线接入点Bootware软件支持CAPWAP特性，可以与无线控制器进行交互完成应用程序的加载。支持此特性，在本地应用程序损坏或下载了非法应用程序的情况下，WA2100和WA2200仍然可以通过无线控制器远程加载合法的应用程序，恢复其正常工作。WA2100和WA2200（工作于Fit AP模式时）系列无线接入点，仅受无线控制器的管理，WA2100和WA2200本身不对外提供CLI、telnet或SNMP管理接口，保证了设备本身的安全。WA2100和WA2200（工作于Fit AP模式时）系列无线接入点，可同时与多台无线控制器之间建立CAPWAP隧道连接，多条隧道相互备份，保证了在一台无线控制器出现故障后，WA2200仍然可以被其它无线控制器所管理。除以上特点，WA2200系列还支持以下功能：14. 支持为无线客户端动态分配IPWA2200工作于Fat AP模式时，可以配置工作为DHCP server，为接入的无线客户端动态分配IP地址，此功能使网络管理者省却了规划静态地址的烦恼。15. 支持PPPoE客户端WA2200工作于Fat AP模式时，可以配置工作为PPPoE client，能主动与远端的PPPoE server建立PPPoE 连接。16. 支持108M传输速率WA2200支持Turbo模式，可以将两个信道捆绑起来用于数据传输，捆绑后的信道带宽加倍，最高传输速率也由普通模式下的54M提高到108M。17. 支持大功率WA2220X-AGP大功率型AP，11g模块输出功率最大可达500mW、且发射功率多级可调，同时具有较高的接收灵敏度。18. 支持光口上行WA2210X-G、WA2220X-AG、WA2220X-AGP三款室外型AP都支持SFP上行FE光口，用户在室外部署时不用在配置额外的光电转换器，减少了网络故障点。此外，上行ETH口与上行光口可进行冗余备份，提供更高的可靠性。19. 支持更高的工作温度要求室内型工作温度范围为0至45摄氏度，室外型和增强型工作温度范围为-30至55摄氏度，宽温度范围保证了WA2200可以在任何季节工作在全球绝大多数地点。组网应用有线无线一体化组网应用企业有线无线一体化组网方案为WA2100和WA2200系列最典型的应用，通过与H3C公司的系列无线控制器配合组网，无线控制器作为无线数据控制转发中心，放在企业的中心机房，无线接入点则部署于企业的各种室内、室外场所(室外组网需要与室外机箱配合使用)。WA2100和WA2200系列AP和无线控制器之间既可以在同一个网段，也可以不在同一个网段，它们之间通过CAPWAP协议自动建立隧道（该隧道基于UDP，可以穿越三层网络），结合有线交换机的接入功能，这样就非常容易部署企业级有线无线一体化接入方案。从用户管理的角度出发，配合H3C公司的IMC、iNode及IMC网管网管，可以做到有线设备和无线设备统一网管、有线用户和无线用户统一认证平台，从而真正实现有线无线一体化组网。图3 有线无线一体化整体组网图WA2100和WA2200系列AP和无线控制器之间通过CAPWAP协议通信，WA2100和WA2200系列AP通过DHCP server自动获取IP地址，并将自己的IP地址和无线控制器自动绑定，形成关联。无线控制器能对WA2100和WA2200系列AP的软件版本进行自动管理，并集中下发设备配置，从而使网络的管理和维护极其方便。大范围室外无线覆盖对没有入户线缆资源的运营商，采用基于802.11技术的无线接入方式，为最终用户提供宽带服务，同时发挥了在无线覆盖范围内，室内、室外任何位置随时随地接入、建设工程量小工期短、建网成本低等特点。图4 大范围室外无线覆盖方案WDS组网应用对多个分离的局域网子网需要组成更大的局域网络的应用，或有环境保护要求的室外景区应用，基于802.11标准的WDS无线桥接技术无疑是一种自建网络建网成本低、工期短、传输性能高的有效工具，WA2200支持PTP、PTMP WDS桥接与无线接入点合一工作模式。图5 WDS组网方案5.2 H3C WX5002_WX6100系列无线控制器产品简介H3C WX5002系列和WX6100系列无线控制器（AC，Access Controller）是华三通信技术有限公司（H3C）自主开发的系列无线控制器，提供了丰富的有线数据和无线数据的处理功能，集精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS及 IPv4&IPv6等多功能于一体。其中WX5002系列适用于中小型企业无线网络部署，WX6100系列适用于中大型企业或无线城域网的部署。H3C公司使用创新的基于认证的组网来提供网络服务，这种方法基于用户身份而非端口或设备，以便跨越整个网络实现移动性和安全性。当用户漫游网络时，通过WLAN网络范围内的无线控制器的信息交换，以实现在整个网络范围内执行一致的访问和安全策略。同时采用WPA/WPA2和802.1X认证结合的AES、TKIP以及WEP加密等功能增强了网络安全。 H3C WX5002和WX6100系列无线控制器与H3C FIT AP配合组网，可以方便的部署于任何现有的二层网络或三层网络之中，控制器和AP通过IETF制定的CAPWAP协议进行互联而无需针对现在有网络进行重新配置。WX5002产品视图如下：图6 WX5002系列设备外观图WX6103产品视图如下：图7 WX6103系列设备外观图产品特点 方便部署、易于管理传统无线网络的部署需要网络管理员对网络中的每一个AP进行逐一配置，当无线网络规模较大时网络管理员往往要配置上百个AP，工作量巨大，且容易出错。而采用无线控制器和FIT AP配合组网时，只需要在无线控制器上对一类相同属性的AP建立配置模板，AP在启动时可以自动从无线控制器上下载最新的配置文件。另外，由于AP本身不保存任何配置，万一设备丢失，也可以保证网络配置不被窃取。AP支持启动后自动获取IP地址、自动获取AC的工作列表并自动和AC建立关联，真正做到了零配置，免维护，即插即用，极大地减轻了网络管理员在部署网络阶段的维护工作量。当网络正常运行以后，无线控制器对所管理的AP以及AP所接入的用户进行实时监控，并能将这些信息实时上报给网管。维护人员可以指定AP或用户进行在线服务策略设定和安全策略设定，使网络配置策略更加灵活。同时，无线控制器支持AP软件自动更新功能，AP在每次重新启动时会自动比较当前运行的软件版本和无线控制器上的最新版本是否一致，如不一致AP会自动更新本地的软件映像，软件升级不再需要网管人员的干预。 三层漫游H3C WX5002和WX6100系列无线控制器支持三层漫游，并支持快速漫游，漫游切换时间小于50ms，满足对切换时间要求最苛刻的语音业务。 丰富的RF管理和安全RF管理功能，可以使得无线网络的布网灵活性大大增强，网络的可维护性得到很大的提高。AP的功率调整和信道切换是网络部署和调试时不可缺少的重要手段，信道和功率还需要按照国家代码自动设置，H3C WX5002和WX6100系列无线控制器的RF管理功能使得网络部署非常简单。RSSI/SNR的不断更新，更是让系统可以适时了解每一个无线用户所处电磁环境的好坏、离AP的距离，从而可以采取相应的策略来提升网络可用性。 支持智能的负载均衡支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP，但如果无线用户不在AP的重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。H3C公司创新性地支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。 高可靠的备份功能H3C WX5002和WX6100系列无线控制器支持AC组备份功能，通过预先配置，AP优先同主AC建立CAPWAP链路，当主AC不可用时，AP会自动寻找AC组中的第二个主AC，并和第二个主AC建立CAPWAP链路，从而达到AC间业务备份的目的。H3C WX5002和WX6100系列无线控制器还支持100ms业务热备份，AP会