校园无线方案.doc

无线校园网方案目录网络环境3用户需求3网络结构3对建筑内空间的覆盖3室内空间覆盖现场勘探的典型区域4教学楼道覆盖5大会场覆盖5学生公寓覆盖6对建筑外空间的覆盖7室外空间覆盖现场勘探的典型区域7操场无线覆盖7用户容量8系统效率9无线网络部署和维护9接入安全11用户认证13认证方式13基于Web方式的认证方式13基于802.1x的认证方式14基于PPPoE的认证方式14认证流程14Web认证流程14基于AC的Web认证14基于AP的Web认证15PPPoE认证流程16校园无线网络结构设计17网络环境校园有线网络已经升级完成用户需求希望通过采用移动计算和无线技术使无线局域网覆盖大学的主要热点区，从而打破传统的教室界限，使传统校园转变为可以随时随地访问和漫游的科研图书馆和协作实验室，带给学校更加灵活的学习与教学环境。网络结构对于园区网络的无线覆盖，我们需要从两方面来考虑：对建筑内空间的覆盖对建筑外园区空间的覆盖对建筑内空间的覆盖室内指原先没有安装有线网络的教室、会议室、临时移动办公室等房间。在室内部署WLAN的第一步是要确定AP的数量和位置。也就是要将多个AP形成的各自的无线信号覆盖区域进行交叉覆盖，各覆盖区域之间无缝连接。所有AP通过双绞线与有线骨干网络相连，形成以有线网络为基础，无线覆盖为延伸的大面积服务区域。所有无线终端通过就近的AP接入网络，访问整个网络资源。覆盖区的间隙会导致在这些区域内无法连通。安装人员可以通过地点调查来确定AP的位置和数量。地点调查可以权衡实际环境（如教室的面积等）和用户需求，考虑到教学环境对网络带宽、网络速度的要求，这包括覆盖频率、信道使用和吞吐量需求等。多个AP通过线缆连接在有线网络上，使无线终端能够访问网络的各个部分。如下图所示：在上图所示的部署方案中需要注意以下问题：为了便于AP供电，需要考虑采用自带PoE（网线馈电）的末端分离器的AP进行部署，通过支持PoE的交换机或由交换机和单端口/多端口PoE复用设备配合使用来达到为AP供电。如果采用不支持PoE末端分离器的AP进行部署，则还需要外置一个PoE分离器在AP段，这样部署不但增加了连接故障点而且增加了AP部署的复杂性。所有楼层AP到会聚点交换机的距离是小于100m，如果某些AP至距离超过100m那么可以采用光电转换器进行延长传输，但注意这些AP要的末端PoE复用设备要放在光电转换器端。AP的平面空间部署也要遵循频点不重叠的原则进行规划。室内空间覆盖现场勘探的典型区域教学楼道覆盖由于教学楼道较宽，而且楼道两边的房间对信号影响较小，所以可以将AP置于楼道两边的中央位置，通过这种方式一个AP可以覆盖楼道两边多个较大的房间。大会场覆盖大会场的空间比较但，但是没有任何阻隔物，对于AP覆盖而言一个至两个AP就可以实现全面的无线覆盖，但是由于大会场的用户密度较高所以建议放置3个左右的AP来扩大系统容量和减轻单个AP的无线客户端接入负载。学生公寓覆盖由于学生公寓的隔墙为钢筋构架的，所以在测试过程中发现AP场强测试情况很差，信号只能覆盖离AP距离较近的几个小房间，为了弥补信号只能通过增加AP数量。对建筑外空间的覆盖与教室、会议室不同的是，在校园区室外配置无线接入点要复杂一些，要把各自成一个局域网而又有一定距离的各栋楼房连接起来。在网络的每一端接入AP，并在距离远或信号弱地方，同时外接高增益天线，这样就可以实现几公里以内的两个网段之间的互联了。如上图所示可以采用在楼体外，部署外置天线来满足园区内的无线覆盖。室外空间覆盖现场勘探的典型区域操场无线覆盖操场为室外空间且面积较大，通过场强测试发现单个AP就可基本覆盖单个操场区域，但是考虑到用户密度可以考虑增加至两个AP来覆盖整个操场区域。由于全相AP天线的夹角较小可以通过用低位置天线覆盖较近的区域用高位置天线覆盖较远的距离。用户容量根据预估用户数量，进行AP空间的部署。通过以下方式可以增加用户密度以及系统容量：对AP进行功率调整，通过部署前后的实际测试对AP进行合理的系统调整。通过这种方式可以增加接入用户的密度以及整个系统的容量。进行合理的频点规划，经过2年时间的802.11b技术的推广，802.11b用户已经成为主流用户，由于校园无线网相对比较开放，所以需要考虑到大多数的802.11b用户那么目前802.11g技术当为首选。但802.11g为了兼容802.11b，所以改标准也是遵循三个不重叠的频点规划。通过人工对AP的功率和频点进行调整固然可以，但是网络优化的工作量很大而且会有偏颇，我们建议在用户密度较高的地方采用可以自动RF调节的AP来实施。系统效率由于目前校园网内多媒体课件日益增多，基于多媒体的网络教学也越来越普及，所以对于校园无线局网而言不单单只是用于Internet的无线接入，而且还要作为一个推广多媒体网络教学的平台。而无线AP的带宽被设计为是共享的，所以为了确保无线带宽不被同一个AP下横向用户之间大量的与Internet和网络教学无关的文件传送所占用，建议采用开启AP下用户的端口隔离功能，阻塞同一个AP下用户之间横向通讯。当然该功能可以根据需求打开或关闭。无线网络部署和维护无线网络部署和维护往往是校园无线网络考虑的主要问题，由于校园无线网络往往规模较大，而传统的无线AP由于无法实现通过软硬件的协同工作来精准的感知周围的无线环境，虽然2.4G2.483G之间的802.11标准的无线频点有13个，但由于设计为相互重叠所以只有3个不重叠频点，这样使得频点配置工程十分复杂，即使购买WLAN无线频点规划软件也无法合理的通过人为的方式配置部署在楼宇各空间位置的频点，而Netgear新一代无线射频技术的成熟应用使得AP可以自动感知周围的无线环境，自动调整功率以及频点以保证无线覆盖质量。接入安全考虑到无线校园网络是一个相对开放的网络，那么安全问题就变得比较突出。众所周知自802.11b标准诞生以来，其WEP的安全性一直受到批评，由于它的密钥分发渠道的公开和弱密的存在，使得无线局域网的安全形同虚设。任何只要接入无线局域网的用户可以通过在自己的电脑上加装网络诱探器，并将网卡设置为杂散模式就可以捕获同一区域内其他用户在空中与AP交互的报文了。目前在校园网中可以采用以下方式来进行安全防护：在AP中进行预置合法无线网卡的MAC地址，使得只有具有合法MAC地址的用户可以接入无线局域网络。但该方式适用于比较封闭的无线网络。利用目前WPA技术对接入用户进行认证，和数据空中加密，WPA被认为目前相当可靠的无线局域网安全标准，但WPA对用户端的系统平台有一定要求，需要windows2000/xp的用户才可以使用或者加装第三方802.1x的客户端软件。上图所示为WPA的应用方式：第一种是用户需要经过Radius（认证服务器）的身份认证，即用户的认证信息存放在Radius服务器的数据库中，认证过后的空中数据也通过动态密钥进行加密的。第二种方式是比较简易的认证方式，虽然认证密码是公开的但是认证过后的空中数据也通过动态密钥进行加密的。可以根据安全需求，将无线网络划分为安全区和开放区并赋予不同的安全措施。但对于面向所有用户的开放型无线校园网络，采用WPA方式仍然不能满足针对所有平台的易操作性。所以WPA针对校园无线网络公共区的空中数据安全而言仍然有待时日才能得以普及。那么针对数据的安全性主要依赖上层数据的加密，如SSL或IPSec等方式。用户认证认证方式无线局域网络的认证方式可以有以下几种：基于Web方式的认证方式通过Portal Server实现认证页面的强制推送，来实现用户认证。认证信息可以通过SSL进行加密，但用户数据信息并不加密。基于802.1x的认证方式通过win2000/xp内置的802.1x驱动或802.1x客户端来实现WPA或EAP-TLS用户认证，认证信息和数据信息都可以是加密的。基于PPPoE的认证方式PPPoE的认证模式已经是宽带网络中相当成熟的模式了，如今大多数操作系统都集成了PPPoE客户端软件，PPPoE的认证信息可以通过CHAP进行加密，而用户数据也可以通过MPPE实现加密。那么针对校园无线网络而言，我们推荐用户采用PPPoE和Web方式实现用户认证，根据校园网络目前的认证策略我们分别描述Web认证的流程和PPPoE认证的流程：认证流程Web认证流程Web认证方式可以有两种解决方式：基于AC的Web认证：如下图所示：l AC位于WLAN系统的二层汇聚层，作为整个WLAN用户上网的网关存在。认证流程如下：l 用户进入WLAN网络，通过动态DHCP获得IP地址l 用户输入URLl AC将该用户URL重定向至认证页面，认证页面服务器可以内置在AC中也可以外置与网络上，以支持更为个性的无线校园网络支持。l 用户输入认证信息并提交l AC将该认证信息送至校内统一的Radius认证设备上或AC本地的数据库进行认证l 认证成功则用户端弹出包含下线按钮的成功窗口，并开始计费。若认证不成功，则弹出失败窗口并告知失败原因。基于AC的Web认证方式，可以有效地对用户进行控制，防止用户地址盗用、私设DHCP服务器等，并且可以根据Radius返回的用户的Class级别的限制无线用户接入校园骨干网络的速率以及获得的IP地址。由于目前校园网内多采用应用网关对用户访问Internet时进行用户认证，所以为了方便校内用户在进入WLAN内后无需进行二次认证就可以访问Internet，我们可以通过为定义一段特殊的IP地址，而这段IP地址仅仅存在于WLAN中并且在应用网关上不对这段地址访问Internet作限制，同时为了确保这些地址不被普通的校园有线线网里的用户盗用，所以需要在三层交换机上限制这些IP地址只能来自于与WLAN AC的上联接口。如果用户是属于校园内网正常用户并以他的用户名认证后，会将这段IP地址分配给这些用户。基于AP的Web认证：如下图所示：l AP支持HTTP流重定向，认证流程如下：l 用户进入WLAN网络，通过动态DHCP获得IP地址l 用户进入网关认证页面，进行认证l 认证信息将由后台的Radius系统进行认证l 如果认证成功，应用网关将允许该用户访问网络资源并弹出计费窗口，否则将只允许访问应用网关本身。基于AP的Web认证方式，可以有效地限制用户的应用范围，因为只有HTTP应用的认证，所以需要通过上层设备限制用户对其他端口的访问，使得WLAN下用户对网络的访问仅限于HTTP。由于基于B/S的应用模式越来越普及，所以只放开HTTP端口应该也可以满足大多数用户的需求。PPPoE认证流程如下图所示：l 用户打开PPPoE客户端，进行拨号认证l AC将用户端信息送至校内统一的Radius认证设备上进行认证l 认证通过PPPoE用户端显示连接成功，并开始计费。若认证不成功，则显示连接失败并告知失败原因。基于AC的PPPoE认证方式，可以有效地对用户进行控制，防止用户地址盗用、私设DHCP服务器等，并且可以根据Radius返回的用户的Class级别的限制无线用户接入校园骨干网络的速率以及获得的IP地址。由于目前校园网内多采用应用网关对用户访问Internet时进行用户认证，所以为了方便校内用户在进入WLAN内后无需进行二次认证就可以访问Internet，我们可以通过为定义一段特殊的IP地址，而这段IP地址仅仅存在于WLAN中并且在应用网关上不对这段地址访问Internet作限制，同时为了确保这些地址不被普通的校园有线线网里的用户盗用，所以需要在三层交换机上限制这些IP地址只能来自于与WLAN AC的上联接口。如果用户是属于校园内网正常用户并以他的用户名认证后，会将这段IP地址分配给这些用户。校园无线网络结构设计为了确保校园无线网络在原有的校园网络中合理的部署，我们根据以上认证方式网络整体设计如下：建议采用认证方式有两种：l PPPoE认证方式l Web认证方式网络整体设计：l 无线网络认证管理系统建议位于校园网络认证控制系统和校园内部网络之间，这样可以有效的控制无线用户的校园网络接入。l 为了确保整个校园网络安全以及易管理，建议将无线校园网络与有线网络通过VLAN进行隔离。l 统一对校园的无线网络进行VLAN分配，即每个AP的上联接口都被归入该汇聚交换机下的统一VLAN中。l 统一对校园的