方案书格式.doc

宿迁学院通信专业 宿迁学院校园网无线覆盖方案书SUQIAN COLLEGE宿迁学院校园网无线覆盖方案书 专 业： 通信工程 _ 班 级： （1） _学 号： 080306131 _姓 名： _王胜于_ 2011年11月 25 日目 录第一章 综述 .1第二章 需求分析 .22.1 总体建设目标.32.2 具体实施目标 .3第三章 设计方案 .33.1网络设计思路3.2无线整体安全解决方案3.3无线网络管理解决方案3.4移动漫游设计方案第四章 无线网络系统平台的实现 .484.1无线覆盖实现错误！未定义书签。4.2无线组网实现错误！未定义书签。4.3网络用户与应用管理实现错误！未定义书签。4.4无线网的安全系统实现.4.5项目进度计划第五章 售后服务 .555.1 售后服务承诺 .555.2 对人员培训的承诺：.56说明：目录页面码自己按实际编写第一章 综述，可以按书上的需求分析来写第六章 主要学会写常见的售后承诺，及人员培训承诺，这个自己认真写。总页数20页内希望大家当作是自己在做方案来写_第一章 综述校园网已经成为教师和学生获取资源和信息的主要途径之一，它在校园教育中的作用与地位日益显著。教师和学生对校园网的依赖性相当之高，“随时随地获取信息”已成为广大师生们的新需求。但是，传统的有线校园网存在着诸多“网络盲点”，比如在图书馆、大型会议室、体育馆等许多不宜网络布线的场馆设施如何联网？在教室、实验室等场合如何突破网络节点限制、实现多人同时上网的问题？Macromate“无线校园网解决方案”可以成功弥补有线校园网的不足，与校园有线网络相得益彰，共同构建一个无处不在的校园网络。第二章 需求分析2.1 总体建设目标1校园内户外公共区域覆盖；2局部开放的室内大环境，如大型公共教室、图书阅览室等无线覆盖；3房间多、用户分散的楼宇，如教学办公楼、宿舍区等的无线覆盖；4实现以地区教育局为中心的整个地区教育系统的无线联网。2.2 具体实施目标 1 解决信息点流动的问题；一般来说，如教室、图书馆、会议室等地方一般是不可能布设太多信息点的，但是随着学生笔记本电脑的普及和现代化教学的需要，往往在同一时刻有大量的电脑在上述场所出现，进行网上教学和活动，但目前的有线校园网没有办法使学生们在这些区域实现同时上网功能。而采用无线方式，在有限的信息点上连接无线接入器，就可轻松从一个信息点扩展到成百上千个信息点，实现多台电脑同时上网。2解决难以布线的问题；在实验室、体育馆、礼堂等地方是不宜布线的，但有时对工作的电脑却有上网的需求，采用无线局域网，可以简化在这些区域的网络实施，提供直径近2公里的无线网络覆盖，用户就可在无线所覆盖的区域移动的应用。3极大提高教学效率；教师和学生在上课的时候不必在往返于图书馆、办公室、教室、宿舍，采用无线方案可以使老师和同学们在上述地方随意的检索图书馆的网上资料、服务器的教案、寝室电脑里的作业。同时，为用户对校园网的其他资源的应用提供了更便利的条件，提高了资源的利用率。4有效降低建网成本；一般来说，AP（无线接入点）可以使原来的一个信息点同时接入数十乃至数百个用户，设备和布线的投资以及维护成本大大降低第三章 设计方案3.1网络设计思路1）、覆盖区域确定：覆盖区域选取,以学生较为集中图书馆、宿舍、教学楼等为主.2）、覆盖方式：室外定向覆盖的方式合理布放AP的位置，在达到覆盖的前提下，合理分布AP数量以满足不同的楼宇需求。3) 、设备选用原则室外AP采用EWP-WA2220X-AGP，其输出功率有0.5W，为大功率AP，连接定向板状天线对目标区域进行覆盖。4）、AP供电问题解决：安装位置就近取电，无法取电的可通过配置单端口的PoE模块采用网线远供。5）、传输问题解决：传输采用无线桥接与光纤接入相结合的方式。桥接网络由交换机为主站AP提供带宽,再由主站AP桥接至各从站AP。6）、增值建议:本校园网规划设计为两个网络设置，即采用AP设置为双SSID，其中一个为校园虚拟网，该网络开放给具备接入条件的该校师生，通过配接该校办公网（或校园主服务器）的技术手段,划分一个SSID实现与校园内部网的连接,为校园师生提供提供免费接入校园网的服务,实现无线办公自动化,有利于校方办公网络管理,并为校园网提供一个全新发布信息的平台,借此吸引有条件使用无线网络的用户接入,更新数据和信息,培养用户接入AP的习惯,为下阶段拓展业务铺设基础。另一个SSID为中国移动Internet接入网，用户接入后可直接登录上网（此网络设置为需要账号密码接入，即可实现收费接入），两个网络实际上仅通过一个WLAN接入链路，只是通过虚拟划分从而得到了那个SSID虚拟网络，通过VLAN划分实现网络安全隔离，设置为公共用户可任意登录校园公共网却要登录中国移动Internet必须拥有通过中国移动授权的用户名和密码进行业务隔离。如此设置目的一方面由于免费（或收取少许费用）吸引校方支持该项目建设，从而提供建设条件（电信在该校园仅能实施局部区域覆盖就是因为得不到校方的支持）；另一方面校园用户通过使用免费校园网得到捆绑，大大增加了用户付费使用中国移动internet服务的机率。3.2无线整体安全解决方案（1）无线身份验证：传统的有线网络使用“用户名和密码”进行身份认证已经有很多年了。CHAP、MSCHAP、MS-CHAPV2和EAP-MD5查询是有线和拨号基础设施中经常使用的密码查询机制。这些身份认证系统基于一个密码散列以及身份认证服务器发出的随机查询。虽然密码散列/查询系统在有线基础设施中一直相当可靠，但现在已经证明，以无线的方式部署相同的身份认证机制是有缺陷的。通过捕获或侦听广播频率中的身份认证数据包，黑客们可以使用常见的字典攻击工具来发现空中传输的密码，通过中间人攻击来窃取会话信息，或尝试进行重放攻击。因为有线网络中使用的身份认证方法存在的缺陷可以在无线网络中很容易地被利用，所以IETF和IEEE标准委员会已经与领先的无线供应商合作，建立更可靠的无线身份认证方法。IEEE802.1x就是目前一种最主要的无线身份认证标准。（2）802.1xWifi 身份认证：IEEE 无线局域网委员会对802.1x进行了增强，并建议将其作为强化无线环境中用户身份认证的途径。它解决了早期802.11b实现方案中常见的问题，并允许使用可扩展身份认证协议（EAP）子协议来增加客户端和身份认证服务器之间身份认证信息交换的安全性，以及对这些信息进行加密。作为一种身份认证框架， 802.1x奠定了客户端如何通过一个身份认证服务器进行身份认证的基础。它是一种可以使用子协议对其进行扩展的开放标准，而且没有指定应该优先使用哪一种EAP身份认证方法，这样，当开发出更新的身份认证技术时，就可以对其进行扩展和升级。.802.1x使用一个外部身份认证服务器（通常是RADIUS）对客户端进行身份认证。目前，除了执行简单的用户身份认证外，一些无线产品已经开始使用身份认证服务器来提供用户策略或用户控制功能。这些高级功能可能包括动态VLAN分配和动态用户策略。(3)扩展身份认证协（EAP）：EAP的类型多种多样。EAP是802.1x的一种子协议，用于帮助保护客户端和认证方之间的身份认证信息的传输。根据所使用的EAP类型，还可以指定相关的数据安全机制。无线安全需求推动了802.1x和安全数据传输的发展，为此将开发更新的EAP身份认证协议来解决各种安全问题。根据IEEE802.1x和EAP标准，这些新的EAP安全协议应继续使用现有的硬件。（4）无线加密：与无线网络相关的另一个担心的问题是数据保密问题，而这对有线网络来说并不是一个大问题。对于使用现代交换机的有线网络，因为网络交换机只在发送方和接收方之间转发单播流量，所以窃听不是一个很大的问题。而无线网络中的数据包是在开放广播频率上传输，所以数据保密就成为一个重大的担忧。因此，用于保护无线数据包的加密方法必须足够稳定和可靠，而且在客户端和接入点之间进行密钥交换时，必须进行身份认证和加密处理。（5）WEP与802.1x配合：由于对密钥进行加密的短初始化向量的弱点以及密钥本身的静态属性，使用早期802.11b技术的传统WEP是一个十分薄弱的加密系统。每一用户必须手工将静态WEP密钥输入到自己的便携机中，而这些静态密钥经常因为不愿付出附加的维护开销而保持不变。如果便携机被窃或被破坏，这些WEP密钥就可能被窃，从而危及无线网络的安全。利用802.1x身份认证和WEP，可以通过增强功能来解决传统静态WEP存在的问题。通过实现到RADIUS服务器的EAP和身份认证，802.1x解决了静态WEP密钥所存在的安全问题，其解决途径是在每次执行802.1x身份认证时都重发新的密钥，从而实现了动态 WEP。这样，用户不再需要在便携机上输入一个静态WEP密钥，因为用户每次进行身份认证时都会为其生成一个新的随机密钥。另外，其他一些实现方法还允许在特定的一段时间重新生成WEP加密密钥，或强制要求在一定的时间间隔之后才能再次进行身份认证。在802.1xWEP加密技 术中，WEP加密方法仍然使用，但持续变化的密钥消除了静态密钥和薄弱的短初始化向量带来的危险。现在，人们可以不再那么担心便携机和手持设备被窃，因为静态密钥将不会存放在这些设备上。（6）AES和IEEE802.11I：IEEE802.11涉及到无线安全的所有方面，包括身份认证、数据保密（AES）、数据完整性、安全快速的跨区、安全的分离认证、安全的数据分离以及安全的IBSS。802.11i 标准中包括的一项重大数据保密增强内容是美国商务部颁发的NIST高级加密标准（AES）。AES是一项联邦信息处理标准（FIPS出版物编号197），定义了美国政府应该如何保护敏感的一般性信息。AES可在不同的模式下或算法中使用，同时，IEEE802.11i的实现将基于CBCMAC计数器模式（CCM），即使用计数器模式实现数据保密，使用CBC-MAC保护数据完整性。AES是一种对称迭代数据块密码技术，使用相同的加密密钥进行加密和解密。加密过程在802.11数据包的数据部分使用了多次迭代，并在离散的固定长度块中对明文的文本数据进行加密。AES使用128位数据块（配置128位加密密钥）对数据进行加密，同时基于TKIP和MIC提供的增强功能，并使用很多类似的算法来实现高水平的数据保护。因为 AES增加了处理方面的开销，所以需要购买新的客户端和接入点或无线局域网交换机，以支持802.11i的增强数据保密功能。802.11i已经获得批准，而802.11i兼容的产品应该在2004年第4季度开始有限供应市场。拥有较老硬件的企业需要确定是否值得为了安全性的增强而付出购买 802.11i兼容硬件的成本。3.3无线网络管理解决方案日前，刘网络设备的配置基本上是通过登录设各，利用设备提供的配置命令完成的。这也是唯一能够完成所有配置任务的方式。设备的制造商会针对不刷型号的设备推出一些辅助的配置管理软件工具，简化设备的配置过程。但是往往只能实现部分配置功能，而且只针刘特定型号的设备，缺乏通用【生，没有太大的意义。由于设备的配置参数、方式没有通用的标准和协议，所以没有通用的设备配置管理软件，各种通用网管软件宣称配置管理，往往只是为了迎合用户，功能lF常有堰。总之，在网络设备配置管理领域，日前尚没有町以代替登录设各，手工配置的方案或产品。那种剥学习网络技术和设备存在畏难情绪，希望网管软什解决所有问题的想法是不现实的。 - 故障管理 网络故障管理首先能够自动发现、生成和维护网络拓扑结构，形成网络模型。该模型应该与管理员头脑中的网络图像一致。通过核对该图，管理员口-以纠正错误认识，或者发现用户私自增加和改变的网络连接。一般网管软什口J以生成基于IP网络的拓扑结构图，高级网管软件则町以生成和维护基于交换机物理连接、帧中继永久虚电路、IPX网络、存储区域网SAN甚至IBM网络体系架构SNA网络的拓扑结构图。 然后，故障管理以此模型为基础，自动定期轮询网络设备，监视线路、设备的运行状况和故障隋况。町以轮询的范围、规模以及对网管工作站、网络带宽的占用是考察网管软什的关键。 故障管理的核心是对采集到的故障信息的处理。一种方式是网管软什理解网络拓扑结构和故障来源、严重生，自动、及时、直州地在网络拓扑界衙表示该故障。这对实时监视和解决问题非常有效。界向的直州、易用【生是考察此类软什的侧重点。另一种故障处理方式是通过后台处理引擎别故障报警事件进行过滤、翻译、分类、关联、报警，刊时通过列表的形式显示，以便从海量报警事件中寻找真F的故障信息，及时自动通知管理人员。经验证叫，要真F从大量纷繁复杂的报警事什中自动找出故障根源，使故障管理软件真正发挥作用，不但需要网管软件具备功能强大的故障处理引擎，还需要针刑具体网络环境进行细致地定制。凶此，厂商的支持力量和力度苛常关键。- 性能管理 网络【生能管理采集数槲的方式方法与故障管理基本相例，所不刊的是刘数据的处理过程。生能管理系统会傈存大量采样数据，例时定期别原始数槲进行犷总，生成厂：总化报表，以减少存储资源占用，提高数据质量。 性能醴表报告是【生能管理的核心。【生能报表直观易瞳【生是基本要求，报表内容是否有效，是否能够刘系统|生能调整起到指导作用则是生能管理系统是否有用的关键。当然，网络胜能超出门限值产生【生能故障报警，并通过网络故障管理统一处理也是陛能管理的基本要求。 一些高端的网络【生能管理软件还具有自动的分析预测功能，。，以自行学习和分析网络陛能的历史和现状，给出将来町能出现的【生能问题预测。不管是网络故障管理还是网络性能管理，也不管是哪家厂商的产品，各种网络管理系统都是按照相似的模式运作的。刘于引算机网络管理，所有产品都无一例外地采用了简单网管协议(SNMP)在网管工作站和网络设备之间架起沟通的桥梁。首先，网管系统不单单是网管软件的事，还与被管理的网络设备密切相关。网络设备必须能够收集、保存本设备及其连接网络线路的相关故障和陛能参数，网管软件才有口J能进行收集、分析(早期某些设各不支持这种功能，需要专用的探针l。经常有人会刚：网管软什能否管理什么什么参数?实际上，网络管理员应该首先叫确设各能否提供这些参数，是否正确配置了设备以提供这些参数。网管工作站上的网管软件负责定期、自动采集这些参数，并正确处理它们使之对用户有用。如前所述，网管软件是通过SNMP协议从网络设备收集数拊的，町以定期主动轮询，获取数槲：也町以被动接收网络设备发出的SNMPTrap、syslog以获取报警数槲。网管软件数据采集模块的设训优劣是影响其【生能、口-扩展【生的重要凶素，也是考察网管软什的重要指标。众所周知，网络设备是通过不刷的管理信息库(MIB)来表述监控参数的，一般网络设备除了支持标准的MIB ii、RMON外，还会支持一组与设备型号相关的专用MIB，以扩展管理功能。凼此，网管软什支持了哪些MIB，如何支持新的MIB定义是考察网管软件的另一关键。例如，以A网VLAN的划分一般町以通过对MIB的设置完成，但是该MIB并不是国际标准，不I司厂家的不刊产品型号采取了不刊的MIB定义完成此功能。如果网管软件支持这些MIB，加上刘VLAN处理业务逻辑的处理和表述，就能够完成鼠标拖拽式的VLAN修改，极大简化管理员的操作。3.4移动漫游设计方案1方案实现目标：假设A运营商和B运营商均提供GSM移动通信一台主机的 IP 地址是用来标识其位置信息的，发往主机的数据报先被路由到 IP 地址所指定的网络和子网，然后被主机所接收。当主机移动的时候，给它的分组仍将继续送到其原地 LAN，移动主机就收不到了。为了解决这个问题，曾经提出了下面几种方案4 5：第一种方案，若根据其新位置给它一个新的 IP 地址，暂先不去理论使现有的 IP 地址更为紧张，这种方法对上层协议不能提供移动的透明性，会使主机在移动时无法保持其 TCP层及更高层的通信，因此不可取；第二种方案，改变路由协议，让路由器用完整的 IP 地址作路由选择，很明显这将使路由表巨大无比，不仅降低了路由的速度，而且每增加一个点，相当多路由器都得重新刷新路由表，这是无法容忍的。因此，必须有一种新的解决方案。移动 IP 应运而生。它使一台主机在不同子网间移动时都能由原地 IP 地址（Home Address）进行寻址，从而保持了网络通信的不间断，而且无需修改路由器的软件和表项。它支持移动主机在不同子网间的无缝漫游，而与链路层介质无关，即可在以太网、802.11无线网和蜂窝网之间自由漫游而对用户透明。一种新的基于 Diameter 的移动 IPv6 安全漫游解决方案在本文提出的新的安全漫游解决方案中我们采用了公钥体制和对称钥体制结合的方法6来实现基于Diameter的移动IPv6的注册过程。这里假定AAAF与AAAH属同一管理域，如果两者分属不同管理域，还需要AAAB充当两个管理域的代理角色。MN、AAAF和AAAH都预先配备了一对公私钥（即SKMN和PKMN，SKAAAF和PKAAAF，SKAAAH和PKAAAH）并由可信第三方发放了公钥证书，处于同一管理区域的实体之间可以方便地得到对方的公钥证书，比如MN与AAAH。同时，AAAF与AR之间、AAAH与HA之间存在安全关联KAAAFAR和KAAAHHA。而MN只与AAAH预先共享一个密钥KAAAHMN，KMNHA、KMNAR和KARHA这三个会话密钥则在认证通过后由AAAH产生并分发，用于以后在同一外地域进行移动IPv6的注册过程时MN与移动实体之间的相互认证。MN 判断是否移动到外地域，并通过地址自动配置得到一个新的 CCOA。Challenge 是由 AR所产生的一随机数。其 中 M1 = MAC(Reg. Request| challenge, KAAAH-MN),(account)SKMN,MN 的 NAI 和challenge。Registration Request 消息中包括了 MN 的新的 CCOA 以及对会话密钥的请求，即 KMN-HARequest, KMN-AR Request 和 KARHA Request。AR 首先检查 M1 中的 challenge 是否是它刚广播的 challenge，如果不是则认为该消息是非法的，将其抛弃。若正确，则通过Diameter 协议将消息（2）发送给 AAAF。Random 由 AAAF 产生，作为挑战 AAAH 之用。AAAF 根据 NAI 的 realm 部分将 MN的请求发送到 AAAH。在两次认证都通过后，AAAH将会为各移动实体产生临时的会话密钥，即KMNHA、KMNAR和KARHA，在会话密钥过期之前都不必启动Diameter协议。并为MN动态分配家乡代理和家乡地址。同时为MN设定QoS参数。AAAF：收到消息后，从中取出 PKAAAH 证明(hash(random| challenge)SKAAAH，如果验证成功则通过对 AAAH 的认证。然后添加用户相关认证信息（即 PKMN）到缓存中，当以后对移动节点再次认证（比如在相同外地域中微移动）时，只需询问 AAAF（AAAF 可通过(hash(Reg. Request| challenge)SKMN 对 MN 进行认证），从而减少认证所需步骤和时间。其中 M5= MAC(Reg. Reply| random, AAH-MN)，random 以及产生会话密钥的密钥材料。MN 在收到消息之后，会验证 MAC(Reg. Reply| random, KAAAH-MN),如果验证成功则通过本文提出的安全漫游解决方案适用于 MN 初次漫游到外地网络时，向家乡网络进行的注册。而对于其它情况，如 MN 在相同外地域中微移动时，由于篇幅所限，在此就不再赘述。通过分析可知该协议达到了安全注册认证协议的目标，并且是比较高效的。而且本文采用的是公钥体制和对称钥体制相结合的办法来实现具体注册过程的。由于今后移动 IPv6 将是未来移动通信中的主要技术，IPSec 必将应用到注册过程中来保证移动 IP注册过程的安全性和可靠性，所以下一步我们将会重点研究基于公钥体制的安全漫游解决方案。同时，未来移动通信网络将会是一个多种接入方式共存的网络。WLAN 作为一种接入技术，以它特有的优点一直受到普遍关注，而引入移动 IPv6 技术的 WLAN 安全漫游解决方案也将是我们研究的重点。同时，未来移动通信网络将会是一个多种接入方式共存的网络。WLAN 作为一种接入技术，以它特有的优点一直受到普遍关注，而引入移动 IPv6 技术的 WLAN 安全漫游解决方案也将是我们研究的重点。第四章 无线网络系统平台的实现4.1无线覆盖实现以川庆钻探长庆固井公司靖边前指办公场所的WIFI无线接入为例，介绍WIFI无线技术的应用及实现1、现场的测量情况和实施方案川庆分公司固井公司靖边前指办公区，租用长庆靖边基地川庆分公司钻井办公楼4楼靠北侧房间共计12间（简称A区）。由于固井公司靖边前指要求独立成网，原钻井办公楼的办公网无法接入。加之钻井物业管理严格，禁止二次布线。所以固井公司靖边前指办公区内网络无法进行传统网络接入。现场勘测发现，钻井2#公寓楼位于钻井办公楼北侧，两楼平行、间隔30米。在钻井2#公寓楼内，有我们自建的四芯光缆一根。固井公司靖边前指租用有部分宿舍，其中在2楼有一间宿舍背靠网络箱，并做为了固井公司靖边前指调度室（简称B点）。为此，针对现场不能采用有线接入的情况，我们决定采用无线网络来完成这次接入工程。首先将网络通过光电收发器接入B点，再在2#公寓楼上面架设两套室外天线设备，对A区进行照射,以无线方式接入局域网。之所以使用室外型无线AP，主要有两方面的原因：（1）尽量减少室内施工量；（2）尽量减少无线AP至PC机之间的无线衰耗。2、设备型号的选择两台大功率室外无线AP的选择，考虑到设备的稳定性及可靠性，我们选择了H3CWA2210X-G，该设备为室外型专用无线AP（1）IEEE 802.3af:以太网供电技术（POE），即以10/100/1000Mbps数据速率一并输送DC功率。目前，PoE一般用于VoIP电话、无线接入点和安全摄像机。以太网链路允许一部受电设备（PD）从供电设备（PSE）吸取高达12.95W的功率。也就是说：从二楼调度室至四楼顶室外无线设备的连接，需要的只是一根网线，利用不同线对同时供电和传输数据。当然，该网线质量要求较高，并有防雷接地功能。（2）工作温度：-3055；工作湿度：10%95%（非冷凝）；存贮温度：-4070；存贮湿度：5%95%（非冷凝）MTBF：200000H。表明该机适合室外工作。3、发射天线的选择为 了 加强对办公楼的覆盖效果，我们采用了面板型定向天线。该天线增益11dbi，工作在2.4G频段，对办公楼进行照射。4、附件安装及其作用（1）POE-MH网口防雷器：POE-MH网口防雷器放在近端，用于保护交换机侧端口免被雷电损伤，同时也可以与电源适配器配合为远端AP提供POE供电功能，通过以太网线的4578空闲线进行供电。（2）-48V电源适配器：为POE-MH网口防雷器提供-48V供电（3）天馈防雷器：室外应有时，天线感应的雷击能量，可以被串连在天线和设备间的天馈防雷器通过接地线泄放至地上，从而对AP设备起到保护作用