无线网络建设项目详细内容.doc

精品文档 1欢迎下载 目录 1 1项目概述项目概述 1 1 1 1项目名称 1 1 2项目现状 1 1 3项目建设背景 1 1 4项目建设必要性考量 2 1 5项目建设目标 4 1 6项目建设要求 4 1 6 1主要覆盖场所 4 1 6 2主要应用需求 5 2 2整体设计方案整体设计方案 7 7 2 1无线校园网覆盖规划 8 2 1 1无线覆盖原则 8 2 1 2射频规划 9 2 1 3SSID 和漫游规划 10 2 2行政楼无线网络覆盖规划 12 2 3图书馆无线网络覆盖规划 12 2 4大学城各教学楼和昌岗校区行政办公楼无线网络覆盖规划 13 2 5教学区美术馆 生活区食堂和体育馆无线网络覆盖规划 13 2 6广场 田径场室外区域无线网络覆盖规划 14 3 3可靠性规划可靠性规划 1414 3 1AC1 1 备份 15 3 2AP 可靠性 15 3 3自动调优 15 3 4负载均衡 16 4 4安全性规划安全性规划 1717 4 1空口安全 18 4 1 1流氓 Rogue 设备 18 4 1 2恶意攻击 19 4 1 3空口窃听 20 4 2用户安全 20 4 2 1非法访问 21 4 2 2非法用户 21 5 5网络管理建设方案网络管理建设方案 2222 5 1无线网络管理概况 22 5 2无线网管系统资源分组管理 22 5 3无线网管系统拓扑管理 22 5 4无线网管系统 AC 设备管理 22 5 5无线网管系统 FATAP 设备管理 23 5 6无线网管系统 FITAP 设备管理 23 5 7无线网管系统移动终端管理 23 5 8无线网管系统策略配置 23 5 9无线网管系统 RF 覆盖拓扑 23 5 10无线网管系统 WIDS 管理 24 5 11无线网管系统无线报表管理 24 5 12上网用户管理 24 6 6方案特点方案特点 2525 精品文档 2欢迎下载 6 1智能射频管理 25 6 2智能负载均衡 25 6 3业务 QOS 支持 26 6 4支持无线入侵检测系统 WIDS 27 6 5PORTAL认证支持 27 6 6多业务的安全性 29 6 7IPV6 30 7 7设备清单和项目预算设备清单和项目预算 3131 7 1AP 布点详情 31 7 2项目预算 32 8 8设备技术参数设备技术参数 3535 8 1无线控制器 36 8 2高密度三频 AP 36 8 3分布式 AP 本体 37 8 4分布式 AP 分体 37 8 5放装型双频 AP 37 8 6室外型 AP 38 8 7面板式 AP 38 8 88 口 POE 交换机 39 8 924 口 POE 交换机 40 8 10汇聚交换机 40 8 11计费服务器及网络计费管理平台系统 41 8 12临时用户无线接入控制服务器及控制系统 44 8 13网络运维管理平台 46 8 14无线业务管理平台 48 8 15DHCP 智能管理平台 50 9 9结构化综合布线的设计标准及设计原则结构化综合布线的设计标准及设计原则 5151 9 1设计标准 51 9 2设计原则 52 9 3系统设计方案 53 9 3 1整体布线要求 53 9 3 2布线材料 设备的具体要求与实施规范 53 9 3 3综合布线的保用计划 55 精品文档 1欢迎下载 1 1项目概述项目概述 1 1 项目名称项目名称 广州美术学院现代化教学无线网络环境建设项目 1 2 项目现状项目现状 广州美术学院现有昌岗和大学城两个校区 总占地面积 564 亩 总建筑面 积 36 25 万平方米 两校区均已布了有线网络 校区通过光纤互连 具体的网 络拓扑图如图 1 所示 图 1 1 3 项目建设背景项目建设背景 在信息化 网络化迅速发展 尤其是珠三角地区经济社会转型的新时期 设计学科的发展又面临着新的机遇与挑战 学校审时度势 对设计学科的发展 进行了新的规划与调整 在治理结构上 将原有的设计学院一分为三 根据学 群特点成立了工业设计学院 建筑艺术设计学院 视觉艺术设计学院 在人才 培养模式与教学方式上 借鉴国内外经验 进一步深化了以产学研相结合的教 学特色 由原有的课题制向工作室制转变 在设备与教学条件上 秉着 适度 超前 以共享为主 的原则进行了优化整合和重点建设 进一步培养和提高教 师制作和使用多媒体课件 运用信息技术开展教学活动的能力 培养和提高学 精品文档 2欢迎下载 生通过计算机和多媒体课件学习的能力 以及利用网络资源进行学习的能力 以艺术学科的网络基础建设项目为契机 建立起一个面向全校师生员工的教学 行政办公管理及信息服务的体系 重点实现艺术院校特色教学手段的改革 它 的建立和推广有利于实现学校信息资源的整合与共享 有助于丰富我校多种教 学手段 有利于提高各行政部门的工作效率 有益于改善学校领导决策 推动 我校数字化校园建设 以数据整合 共享 实时互动与综合信息服务为核心内 容 努力实现教学 科研 管理和生活的数字化 为我校 数字校园 的后续 建设奠定坚实的基础 1 4 项目建设必要性考量项目建设必要性考量 构建校园无线网络的主要目的是为了丰富校园网接入的途径 从而更快捷 地接入网络 以便随时了解相关的信息和更好地实现资源共享 局域网内部的 信息能迅速 有效地传输 通过网络可以非常方便的共享内部的信息资源 校 内的办公 OA 邮件 财务等应用系统都要在校园网上传输 网络是对各项业务 正常稳定进行通信的保证 由于现在移动设备的不断丰富 增加了对网络接入 的需求 现有网络在地域位置的局限性 以及不能够快速接入网络 造成实时 性的滞后 然而借助无线网络的优势 可以丰富校内用户随时接入网络 进而 能够及时访问和处理信息 1 实用性 无线局域网的网络速度与以太网相当 一个高性能 AP 最多可支持多达上五 六十个用户的接入 具有高移动性 通信范围不受环境条件的限制 拓宽了网 络的传输范围 在有线网络中 网络设备的安放位置受网络信息点位置的限制 而一旦 WLAN 建成后 在无线网络的信号覆盖区域内 任何一个位置都可以接入 网络 2 先进性 设计立足先进技术 采用成熟科技 以适应业务数据流传输以及多媒体信 息的传输 并具有长足的发展能力 以适应未来网络技术的发展 使用主流网 络产品保证用户的使用 精品文档 3欢迎下载 WLAN 有多种配置方式 能够根据需要灵活选择 这样 WLAN 就能胜任从 只有几个用户的小型局域网到上千用户的大型网络 并且能够提供像 漫游 Roaming 等有线网络无法提供的特性 可以保证业务的高效 移动过程中 的不间断 3 可靠性 本网络方案选用高可靠性的网络设备 并在设计上从物理层 链路层到网 络层均采用备份冗余式的设计 保证了基础网络的可靠性的同时 也保证了无 线网络系统的可靠性 4 无线网络接入的安全性 无线网络具有抗干扰性强 保密性好的特点 对于有线局域网中的诸多安 全问题 在无线局域网中基本上可以避免 与此同时 无线产品将提供 WEP WPA WPA2 数据加密 具有 MAC 地址存取控制功能 从而为数据的稳定传输 提供了安全的信息通道 同时可以在原有的有线基础网络中 通过使用适当的安全技术实现从应用 到底层系统整体安全 使系统达到端到端的安全 保证各系统之间的安全访问 5 易于管理和维护 一般在网络建设中 施工周期最长 对周边环境影响最大的 就是网络布 线施工工程 在施工过程中 往往需要破墙掘地 穿线架管 而 WLAN 最大的 优势就是免去或减少了网络布线的工作量 一般只要安装一个或多个接入点 Access Point 设备 就可建立覆盖整个建筑或地区的局域网络 在配备有控制器系统的无线网络中 对于每个接入点 Access Point 的 配置是透明的 不需要进行维护的 在整个维护过程中 只需要对无线控制器 进行维护 即可完成对整个无线网络的维护 在某种意义上 这将会减轻很多 网络维护的工作量 同时避免了复杂性 精品文档 4欢迎下载 6 可管理性 系统以控制台方式方便实现对系统各资源的监控 可实现资产管理及对各 种相应服务器 性能的监控 目前 无线网络在国内已经被越来越多的用户接受 无论是内部信息点的 分布设计 建筑物间的网络连接 无线网络技术都能发挥作用 此外 无线网 络环境的引入 也为崭新的无线多媒体提供了应用平台 将信息化建设引入新 的天地 据调查 在大学城中其他高校都已建设了无线网络并投入使用 虽然在办 公室内加装小路由器也能实现无线的覆盖 但这种方法很不利于网络的管理 而且稳定性较差 1 5 项目建设目标项目建设目标 广州美术学院现代化教学无线网络环境建设目标为根据自身的业务应用需 求与科研计划 把无线校园定位于一个多业务承载的服务型网络 新技术科研 的平台 希望借助无线网络促进教学和科研发展 进一步拓展研究空间 提升 校园网络环境 提高管理水平和效率 推动学校信息化建设 并通过基于无线 技术的新应用使校园业务能够更大程度得以拓展 构建一个智能 易用 好用 的无线校园网 1 6 项目建设要求项目建设要求 无线网络建设要充分利用现有资源 与有线网络实现统一认证计费 统一资 源共享 覆盖学校教学楼 办公楼 图书馆和广场等场所 实现笔记本 智能手 机 平板电脑等多种 无线终端的灵活接入 无线网络主要的覆盖场所和应用需 求如下 1 6 11 6 1主要覆盖主要覆盖场所场所 主要覆盖场所中 笔记本 台式计算机 智能手机 平板电脑等多种类型 无线终端 802 11a 802 11b 802 11g 802 11n 等多种标准的终端均可便捷 接入 满足我校师生对无线网络接入的需求 大学城行政楼办公区 精品文档 5欢迎下载 重点覆盖区 满足100 用户并发上网需求 办公人员同时上网 并 发时每个用户接入速率不低于2Mbps 双频覆盖 2 4GHz和5GHz边缘场强均大于 65dBm 图书馆 重点覆盖区 满足40 并发上网需求 并发时每个用户接入速率不低 于1Mbps 三频覆盖 2 4GHz和5GHz边缘场强均大于 65dBm 大学城教学楼A B C D E J栋和昌岗校区办公楼 重点覆盖区 满足40 并发上网需求 并发时每个用户接入速率不低 于1Mbps 双频或高密度三频覆盖 2 4GHz和5GHz边缘场强均大于 70dBm 生活区食堂 体育馆 教学区美术馆 一般覆盖区域 满足同时师生15 并发上网需求 并发时每个用户接 入速率不低于1Mbps 高密度三频覆盖 2 4GHz和5GHz边缘场强均大于 70dBm 广场 田径场室外区域 一般覆盖区域 双频覆盖 2 4GHz 边缘场强均大于 75dBm 1 6 21 6 2主要应主要应用用需求需求 服务质量 QoS 无线漫游 覆盖区域内无线漫游 用户终端从一个AP覆盖范围移动 到另一个AP覆盖范围 无需重新登录和认证 精细化控制 老师 学生 访客不同的角色拥护不同的权限 教 师和学生用户之间做好安全访问控制策略 多用户调度 AP能感知接入用户数量 灵活调整物理信道竞争参 数 降低碰撞几率 避免过多的用户接入同一AP 保障服务质量 和体验 安全防护 无线安全加密 无线信号是开放的 任何人都可以接受到 存在 数据被窃听 篡改等安全隐患 无线网络需要支持 精品文档 6欢迎下载 WEP WPA WPA2 WAPI等加密认证方式 充分保证学校师生重要信 息的私密性 数据传输的安全性 无线入侵防护 为了更好的保证网络的安全性和可靠性 无线网需 要支持泛洪攻击 Spoof攻击 暴力PSK破解 Weak IV等WIDS WIPS 安全防护 稳定可靠 AP设备 室外AP设备的防尘 防水的防护等级达到IP67要求 同 时AP自身内置5kV防雷器 减少工程施工和网络运维的困难 AC设备 AC支持1 1热备份 解决AC单点故障问题 网络链路 本地转发模式下 若遇到CAPWAP隧道中断 AC故障 控 制链路错误等问题时 AP可进入半自治状态 继续对终端业务数据 进行转发 业务不中断 保障用户体验 认证计费 认证方式 认证系统需要支持Portal MAC IP等多种认证方式 以满足不同场景下 不同群体 老师 学生 访客 的接入认证 需求 计费方式 需要针对不同的群体实现差异化的灵活计费方式 如 基于时长 包月 包年 与有线网络兼容 新建WLAN网络必须考虑与原有有线网络之间的兼容 实现与现有 系统使用同一个账号 密码进行认证 并获取相同的访问权限 与有线网络使用同一个账号 密码进行计费 运行维护 网络监控 通过网管软件查看当前设备物理拓扑 直接显示设备 间连接关系 监控设备及链路状态 通过WLAN业务拓扑监控无线 设备告警 状态 网络设备逻辑结构 包括AC AP 终端用户 非法AP的逻辑连接关系及其详细信息 并在拓扑提供一定故障诊 断处理能力 故障恢复 通过网管软件远程批量重启AP 恢复AP配置 通过网 精品文档 7欢迎下载 管软件快速完成AP替换 替换后业务不变 2 2整体设计方案整体设计方案 不同高校现有有线网络架构的差异 使得各高校的无线网络建设存在一定 的差异 我校无线网络建设是对有线网络的有益补充 整体选择不改变有线网 络 单独将无线网络通过光纤直接连接到核心网络叠加上去 本次无线网络建 设项目的方案如图 2 所示 图 2 无线校园建设项目依托现有校园有线网络 在接入部分增加 POE 交换机给 AP 供电和接入网络 行政楼 A 栋楼 D 栋楼 E 栋东边和 E 栋西边楼各增加一 台汇聚 每个楼层 POE 交换机通过千兆光纤与汇聚交换机连接 汇聚交换机通 过千兆光纤链路与核心交换机连接 B 栋东西楼 C 栋东西楼 J 栋楼 美术馆 和图书馆各接入交换机级联后通过千兆光纤与核心交换机连接 核心部分采用 现有资源 大学城校区采用 2 台无线控制器 无线控制器之间采用千兆链路做 热备 保证无线网络的稳定可靠 整体的网络架构采用 FitAP POE AC 方式 在认证方面 校内用户认证 为校内已有账号的有线用户提供 web Portal 或者客户端认证 提供个性化页面的设计及自助管理平台 原有校园公共区域 认证的用户平滑迁移到基于 ORACEL 版本的 B S 平台 数据迁移完后取消基于 精品文档 8欢迎下载 MS SQL 的 C S 平台 新增一台无线认证网关 串接方式 可用光口也可用电口互联 做无线接 入认证 为临时用户或 WIFI 用户 无校内账号 提供微信认证和短信认证功能 临时用户或 WIFI 用户需要关注广美的微信公众服务号 然后对接完成微信关注 一键认证功能 方便用户使用 WIFI 网络 无校内账号用户也是同样道理 没安 装微信的用户可以通过输入手机号码 动态密码验证 通过短信网关平台进行对 接 另外新网关启用本地用户认证优先 用户提交账号密码时如果是校内用户 则启用 RADIUS 认证指向到认证服务器进行账号认证 如果是手机或微信用户则 指向到私有云平台进行认证 新增一套 DHCP 智能管理系统 对 IP 地址进行智 能化 可视化管理 在行政楼办公区域实行无感知认证方式 行政办公楼的用户相对固定当采 用 Portal 认证时 用户每次接入 WLAN 网络时都需要在 Portal 页面中输入用户 账号 密码信息 操作较为不便 特别是当前使用 WIFI 网络的 Pad 智能手机 等终端设备越来越多 而此类终端受到屏幕 浏览器等资源限制 在 Portal 页 面中输入用户名 密码等信息时极为不便 使得用户上网体验大打折扣 针对此 问题 特提出 Portal 无感知认证解决方案 Portal 用户首次接入 自动完成 MAC 绑定 大大简化 Portal 接入流程 提升用户的接入体验 如图 3 图 4 所示 短信认证短信认证 微信认证微信认证 图 3 图 4 精品文档 9欢迎下载 2 1 无线校园网覆盖规划无线校园网覆盖规划 2 1 12 1 1无线覆盖原则无线覆盖原则 使用 AP 布点覆盖 需考虑及遵循以下几个问题和原则 需要有线缆资源 五类或六类线 如果在一条走廊里只安装一个 AP 则尽量把 AP 安放在走廊的中央位置 如 果同一空间安装两个 AP 则可以放在两个对角上 保持信号穿过墙壁和天花板的数量最小 2 4G 信号能够穿透墙壁和天花板 然而 每一面墙壁和天花板都将使 AP 信号的覆盖范围减少 1 到 30 米 应 放置 AP 于合适的位置 使墙壁和天花板阻碍信号的路径最短 损耗最小 考虑 AP 和覆盖区域之间直线连接 注意 AP 的放置位置 要尽量使信号能 够垂直的穿过 90 度角 墙壁 不同的建筑材料产生不同的传输效果 由金属的框架或门构成的建筑物会 使 WLAN 无线信号的传输距离变小 放置 AP 的位置应使信号通过干燥的墙 壁或敞开的门 避免放置在使信号必须通过金属材料的位置 如果是室外型 AP 还需要考虑立柱的问题 AP 天线方向可调 安装 AP 的位置应确保天线主波束方向正对覆盖目标区域 保证良好的覆盖效果 AP 安装位置需远离电子设备 起码 1 2 米 例如微波炉 监视器 电机等 2 1 22 1 2射频规划射频规划 与 IP 地址规划一样 WLAN 信道是 WLAN 网络设计中重要一环 无线校园网 必须对 WLAN 信道进行统一规划 WLAN 信道规划的好坏 影响到无线网络的带宽 无线网络的性能 无线网络的扩展以及无线网络的抗干扰能力 也必将直接影 响到无线网络的用户体验 频点划分 为保证信道之间不相互干扰 大型无线网络必须对 WLAN 信道进行统一规划 并实施 WLAN 系统主要应用两个频段 2 4GHz 和 5 0GHz 2 4G 频段具体频率 范围为 2 4 2 4835GHz 的连续频谱 信道编号 1 14 非重叠信道共有三个 一般选取 1 6 11 这三个非重叠信道 5 0G 频段分配的频谱并不连续 主要 有两段 5 15 5 35GHz 5 725GHz 5 85GHz 不重叠信道在 5 15 5 35GHz 频 段有 8 个 分别为 36 40 44 48 52 56 60 64 在 5 725GHz 5 85GHz 频 精品文档 10欢迎下载 段有 4 个 分别为 149 153 157 161 可以根据实际部署情况 选择相应的 非重叠信道 信道覆盖 WLAN 信道规划需遵循两个原则 蜂窝覆盖 信道间隔 根据覆盖密度 干 扰情况 选择 2 4G 5G 单频或双频覆盖 AP 交替使用 2 4G 的 1 6 11 信道及 5 0G 的 36 40 44 信道 避免信号相互干扰 一般情况单独使用 2 4G 或 5 0G 的频段 对于高密度用户接入的场所 可以启用双频进行覆盖 以便提供更 好的接入能力 单频覆盖和双频覆的示意图如图5所示 图5 2 1 32 1 3SSIDSSID 和漫游规划和漫游规划 SSID 规划 AP 可以配置多个 SSID 单频 AP 可支持 16 个 SSID 双频 AP 可支持 32 个 SSID 通过配置多个 SSID AC 针对不同的 SSID 下发不同的策略 SSID 根据 策略进行终端与业务管理 无线网络可按照用户群体划分不同的 SSID 如图 6 所示 针对三种不同的用户群体 在 AP 上设置了 3 个 SSID SSID1 用于学生 SSID2 用于访客和 SSID3 用于教师 精品文档 11欢迎下载 图 6 SSID和 VLAN 的映射 通常 以太网中管理 VLAN 和业务 VLAN 是分离的 业务 VLAN 主要用于区分 不同的业务类型或用户群体 在 WLAN 网络中 SSID 也同样可以承担相应的工作 因此 在 SSID 的规划中必须综合考虑 VLAN 与 SSID 的映射关系 业务 VLAN 应 根据实际业务需要与 SSID 匹配映射关系 映射关系有 1 1 1 N N 1 N N 四 种 漫游规划 漫游是指用户在部署了 WLAN 网络的场所移动时 用户终端可以从一个 AP 的覆盖范围移动到另一个 AP 的覆盖范围 用户无需重新登录和认证 如图 7 所 示 WLAN 网络漫游中需要了解以下两点 1 漫游过程中 SSID 必须一致 且使用相同的安全设置 2 漫游中选择连接哪个 AP 是无线客户端的动作 这个切换的时机和快慢 受无线客户端的芯片或设置的影响 所以在漫游切换过程中会出现不同的终端 切换性能有差异 精品文档 12欢迎下载 图 7 2 2 行政楼无线网络覆盖规划行政楼无线网络覆盖规划 覆盖需求 行政楼的无线覆盖主要是满足笔记本 PAD 手机终端的上网需求 具体业务 和覆盖需求如下 每层楼有大概 30 个办公室 每个办公室内要求全覆盖 但是用户同时业务 的并发率低 用户密度低 主要满足学校各应用业务系统 OA 财务 人事等 系统 的流畅运转 满足教工对教学办公的各种上网需求 设备选型 终端主要为笔记本和手机终端 WIFI 模式主要为 11g n 但终端多支持 5 8G 考虑到以后的扩展 因此选择双频设备 综合以上两点 该场景下选用 分布式AP 本体 AP 分体的部署文字 双频 双空间流 部署方案 精品文档 13欢迎下载 分布式 AP 本体安装在楼层的机柜 用 AP 分体替换每个办公室原有的网络 接口 室内信号全覆盖 AP 本体进行 PoE 供电的同时 也能够进行管理和维护 AP 本体具备上行接口 在部署过程当中可以发挥接入交换机的作用 与上行汇 聚或者核心连接 当分体 AP 失去关联或者故障的时候可以再本体 AP 上发现 2 3 图书馆无线网络覆盖规划图书馆无线网络覆盖规划 覆盖需求 图书馆无线覆盖 主要是为了满足校内师生在图书馆内 登陆图书馆网站 学校网站和部分公共网站 学术新刊论文类网站 的业务需求 细化的业务 和覆盖需要如下 提供稳定 流畅的网络速率 保证师生通过个人终端 笔记本电 脑 PAD 手机终端 能正常登录图书管网站 学校网站和公共网站 且上网体验良好 图书馆大楼共有三层 第二至第四层 此区域人流量多室内将各 放置2个高密度AP 设备选型 终端主要为笔记本和手机终端 WIFI 模式主要为 11g n 但终端多支持 5 8G 考虑到以后的扩展 因此选择双频或三频设备 综合以上两点 该场景 下选用放装型 AP 三频 双空间流 部署方案 放装型 AP 设备 每个 AP 大约可以同时满足 40 60 个用户 室内信号全覆 盖 考虑该场景下用户并发率较高 因此将根据建筑的结构对室内安装放装型 AP 2 4 大学城各教学楼和昌岗校区行政办公楼无线网络覆盖规划大学城各教学楼和昌岗校区行政办公楼无线网络覆盖规划 覆盖需求 教学楼的无线覆盖主要是满足笔记本 PAD 手机终端的上网需求 此区域进 行重点覆盖 具体业务和覆盖需求如下 此区域主要满足师生对各种上网的需求 如查阅资料 文件下载 多媒体 教学等 设备选型 精品文档 14欢迎下载 终端主要为笔记本和手机终端 WIFI 模式主要为 11g n 但终端多支持 5 8G 考虑到以后的扩展 因此选择双频设备 综合以上两点 该场景下选用 放装型 AP 双频或三频 双空间流 部署方案 各个楼层的具体部署计划如下表所示 2 5 教学区美术馆 生活区食堂和体育馆无线网络覆盖规划教学区美术馆 生活区食堂和体育馆无线网络覆盖规划 覆盖需求 此区域的无线覆盖主要是满足手机终端的上网需求 此区域进行一般覆盖 具体业务和覆盖需求如下 该区域人流量密集 流动性大 无线网络主要满足区域内用户手机上网 设备选型 终端主要为手机终端 WIFI 模式主要为 11g n 但终端多支持 5 8G 考虑 到以后的扩展 因此选择双频设备 综合以上两点 该场景下选用放装型 AP 双频和三频 双空间流 部署方案 大学城美术馆 此区域共四层 每层楼放置 9 个 AP 采用放装型 AP POE 生活区食堂 此区域共二层 每层楼放置 4 个 AP 采用放装型 AP POE 生活区体育馆 此区域内办公室内放置面板式 AP 和室分 AP 场馆区域放置 4 个高密度 AP 走道区域放置 1 个双频 AP 采用放装型 AP POE 2 6 广场 田径场室外区域无线网络覆盖规划广场 田径场室外区域无线网络覆盖规划 覆盖需求 广场这类场所是高校校园室外覆盖的典型场景 相对于室内环境 室外环 境要更加恶劣 部署的 AP 要面临严寒酷暑 风吹雨淋以及雷电灾害的挑战 无 线网络建设的室外覆盖区域为教学区室外田径场 正门广场 细化覆盖需求如 精品文档 15欢迎下载 下 覆盖范围内 用户通过无线网络可以随时 随地 随意无线上网 覆盖范围 室外田径场 广场 内90 的区域信号强度 75dBm 总结此类场景特点 覆盖区域为室外开发空间 覆盖区域相对空旷 无密集建筑物遮挡 用户的流动性强 上网带宽需求小 设备选型 此类校园网场景 室外重点覆盖的区域一般在 300 500 平方米 设备要有 防尘 防雨 防雷的能力 应选用防护等级为 IP67 内置防雷器 双空间流 11N 设备 天线类型 室外型 AP 一般选配室外型定向或全向天线 校园网场景中 单 AP 的覆盖 距离一般为 200m 400m 覆盖区域的周边有高层建筑物 将采用定向天线 3 3可靠性规划可靠性规划 无线网络的稳定性被高校普遍关注 一方面是设备的稳定性 AC 能够实现 倒换后用户无感知的 Session 级的备份以及常年工作在室外的 AP 在恶劣环境下 的适应能力等都是高校无线网络可靠性关注的重点 另一方面 AP 的调优特性 可以在个别 AP 故障或者性能恶化时自动调优 以提升 WLAN 网络的稳定性 在 报告厅 阶梯教室等高密覆盖场所 AP 间的负载均衡和 5G 优先特性对无线网 络的稳定性也做出重要贡献 3 1 AC1 1AC1 1 备份备份 无线校园网通常规模较大 为了避免 AC 单点故障的问题 建设采取 AC1 1 热备份 增加网络的可靠性 本项目采用的无线控制器要求支持毫秒 ms 级业 务备份 AP 会同时和两台无线控制器建立 CAPWAP 链路 一台作为主控制器 另外一台作为备份控制器 但只有和主控制器建立的 CAPWAP 链路处于工作状态 当主控制器异常 down 机时 备份控制器和主控制器之间的心跳检测机制可以保 证在 100 毫秒 ms 之内检测到主设备的异常 并通知 AP 将主控制器 CAPWAP 链 路切换 保证控制信号的不间断传送 AC1 1 热备如图 8 所示 精品文档 16欢迎下载 图 8 3 2 APAP 可靠性可靠性 校园内常年工作在室外的 AP 面临严寒酷暑 风吹雨淋以及雷电灾害的恶劣 环境 本次采用室外AP设备的防尘 防水的防护等级达到IP67要求 同时AP自 身内置5kV防雷器 减少工程施工和网络运维的困难 3 3 自动调优自动调优 当 AP 射频环境出现恶化 某个 AP 故障或新增扩容 AP 时 需要启动射频自 动调优 以增强系统的可靠性和稳定性 建议选择同时支持局部调优和全局调 优的 AP 设备 局部调优可方便的应用于扩容新 AP 单点 AP 故障等局部环境变 化而引起的信道环境变化场景 如图 9 所示 全局调优更多的应用于新建 WLAN 网络或者大面积信道环境恶化场景 图 9 当 AP3 掉电或故障时 其邻近 AP1 和 AP4 自动感知 并调整发射功率 从 精品文档 17欢迎下载 而达到补盲的效果 AP3 重新上线后 其邻居 AP1 和 AP4 的自动的调整发射功 率 避免 AP 与邻居因覆盖区域重叠造成 AP 间相互干扰 3 4 负载均衡负载均衡 无线客户端一般会根据 AP 信号强度 RSSI 选择 AP 这很容易导致大量 的客户端仅仅因为某个 AP 信号较强而连接到同一个 AP 上 由于 WLAN 是基于 CSMA CA 机制 实现多用户接入 当单台 AP 接入用户数过多时 用户吞吐率性 能会出现急剧下降且稳定性无法保证 负载均衡特性可以按照用户数量和用户 流量 将用户分配到同一组但负载不同的 AP 上 从而实现不同 AP 之间的负载 分担 避免出现某个 AP 负载过高而使其性能不稳的情况 无线网络负载均衡示 例如图 10 所示 图 10 如图 10 所示 用户模式 AP1 和 AP2 属于同一个负载均衡组 AP1 已接入 4 个 STA AP2 已接入 2 个 STA AP1 与 AP2 接入 STA 个数的差值为 2 当阈值设 置为 1 时 新接入的 STA7 被均衡到接入用户数量较少的 AP2 上 流量模式 AP1 和 AP2 属于同一个负载均衡组 AP1 已接入 4 个 STA AP2 已接入 2 个 STA 但 AP2 上的 STA5 STA6 承载高带宽业务 总带宽流量 30M 超 精品文档 18欢迎下载 过 AP1 的总带宽 8M 当设定阈值为 12M 新接入的 STA7 被均衡到流量负荷较小 的 AP1 上 4 4安全性规划安全性规划 在部署无线网络需要格外关注无线网络的安全 保障无线网络的安全运行 由于校园中存在大量具备较高技术背景和动手能力强的师生 需要考虑如何解 决流氓 Rogue AP 等设备带来的安全隐患 如何防止非法的用户访问行为 怎么禁止非法用户接入网络 怎么防止空口窃听 如何保证 AP 接入 AC 的安全 这些安全隐患整体可以分为空口安全和用户安全两类 4 1 空口安全空口安全 空口安全主要来自非法流氓 Rogue 设备 恶意攻击和空口窃听三个方面 空口安全威胁如图 11 所示 图11 4 1 14 1 1流氓 流氓 RogueRogue 设备 设备 高校中可能出现的Rogue设备包括RogueAP RogueClient Ad hoc设备 这些设备对运维的WLAN网络会带来诸多的安全隐患 如干扰 用户和非法AP建 立连接等 项目方案要求支持对网络中的Rogue设备 包括AP Client Ad hoc 的进行检测 识别以及反制功能 下面分别从非法设备的监听 识别 判断以及反制四个方面详细阐述 WLAN对非法设备安全的防护 侦听周边设备 AP有三种工作模式 接入模式 监听模式和混合模式 接入模式只提供覆盖功能 不提供非法设备监听功能 监听模式 只监听 不能接入业务 而混合模式可以在接入业务的同时进行 精品文档 19欢迎下载 监听 推荐AP工作在混合模式 在接入业务的同时监听周边设备 低成本 部署 设备类型识别 AP通过监听Beacon AssociatonRequest AssociationResponse 协议报文和数据报文报文来识别Rogue设备是哪种设备 AP Ad hoc Client 监控AP搜集到无线设备后 维护一个无线设备信息列表 并把这 些信息上报给AC 在AC上根据一定的规则进行Rogue设备判断 Rogue设备判断 当AP设备工作在混合模式或者监听模式时可以实现对整个网络的监 控 监控设备包括AP Client Adhoc终端 无线网桥等 Rogue设备反制 检测到Rogue设备后 可以使能防范 反制功能 反制功能 根据反 制的模式 监测模式AP从无线控制器下载攻击列表 并对Rogue设备 采取措施 阻止其工作 对RogueAP的反制 监测AP通过使用RogueAP设备的地址发送假的广 播解除认证帧来对RogueAP设备进行反制 抑制无线用户和非法AP建 立链接 对RogueClient Adhoc设备的反制 监测AP通过使用 RogueClient Adhoc设备的BSSID MAC地址发送假的单播解除认证 帧 对指定非法Client的进行反制 Rogue设备管理可以与定位功能集合 如在地图上可以查询或者实 时显示Rogue设备的位置 为网管人员对网络监管和排障定位提供 便捷 示例如图12所示 精品文档 20欢迎下载 图12 4 1 24 1 2恶意攻击恶意攻击 针对恶意攻击 WLAN 拥有多种方式 下面针对高校场景中最常用的 flood 攻击 WeakIV 攻击 Spoof 攻击方式 方案中的防御规划和措施如下 Flood攻击检测 当 恶意用户 发送大量的 连接请求报文 至AP时 这些报文 会被AP转发到AC设备上进行处理 这样会对内部网络造成冲击 启动Floodattack检测 AC会检测到来自于该恶意用户的Flood攻 击 AP会将来自于该用户的报文将全部被丢弃 从而实现了对于 网络的安全防御 WeakIV攻击检测 对于Client的数据报文 如果该报文使用了WEP加密算法 需要启动 IV检测 AC根据IV的安全性策略判断是否存在WeakIV攻击 Spoof攻击检测 这种攻击的潜在攻击者将以其他设备的名义发送攻击报文 恶意AP或者恶意用户发送一个欺骗的解除认证报文会导致无线客户 端下线 AC接受到这种报文时将立刻被定义为欺骗攻击 并阻止该用户 4 1 34 1 3空口窃听空口窃听 空口监听往往是高校中那些充满好奇心学生们经常尝试破解的点 需要考 虑对空口数据进行加密 常用的空口加密方式有 WEP WPA WPA2 WAPI等 在最新 的实现中 不管是 WPA1还是WPA2都可以使用 802 1X 使用802 1X时称为WPA企业版 精品文档 21欢迎下载 不使用802 1X时称为WPA个人版 或者叫 WPA PSK版 在实际网络部署中 空口加密通常和用户认证一起考虑 在高校中推荐使 用 Portal PSK 方式部署 加密方式推荐采用 CCMP 在网络侧进行配置 4 2 用户安全用户安全 用户安全可以分为合法用户非法地访问其范围以外的资源和非法用户的 接入网络两部分 如图13所示 图13 4 2 14 2 1非法访问非法访问 在高校中根据需要 往往划分了不同的 SSID 供不同的用户群使用 如外 部用户 SSID Guest 内部用户 SSID Student 出于信息安全的需求 往往需 要保证来访的访客不能访问高校内的资源 同时高校内的老师和学生之间 或者不同院系之间的学生也可能需要授予不同的访问权限 这些可以通过用 户组的方式来实现 用户访问授权 用户访问授权可以在本地网络设备授权 也可以通过AAA服务器进 行远端授权 一般来说本地授权多用于SOHO或者小型园区的网络架 构 并不适合高校这种网络规模较大的园区架构 高校多用远端授 权的方式 即通过AAA服务器完成 WLAN用户认证成功后 Radius服务器下发用户分组 将用户进行 分类 每个用户分组可以关联对应的ACL规则 通过用户分组和 ACL规则的关联 实现对每类用户进行ACL授权信息控制 即同类 用户获得相同的授权信息 Radius服务可以利用现有网络的AAA 服务也可以新建 用户隔离 精品文档 22欢迎下载 高校的访客系统推荐使用集中转发的方式 可以增强对访客用户的 控制 当外部访客用户和内部用户都采用集中转发时 外部访客用户使用 的SSID Guest与内部用户SSID Student之间是天然隔离的 当外部访客用户使用集中转发 内部用户都采用本地转发时 外部 访客用户使用的SSID Guest与内部用户SSID Student之间也是天然 隔离 4 2 24 2 2非法用户非法用户 无线解决方案可以支持多种接入认证技术 对接入用户身份进行认证 防止非法用户接入 其中比较典型的有 MAC 认证 Portal 认证 802 1x 认证和 PPPoE 认证 从下面的对比表中可以看到 这几种无线认证在技术 实现上各有特色 覆盖了不同用户的接入认证需求 在高校无线网络中以使 用 Portal 认证方式最为常见 5 5网络管理建设方案网络管理建设方案 5 1 无线网络无线网络管理管理概况概况 根据广州美术学院无线网络规模和使用情况 将部署无线网络管理系统 无线网络管理可以提供无线网络监控和全网无线网络设备的配置管理功能 同 时还拥有丰富的业务运营管理功能 用以满足无线网管从部署 监控到运营 优化的全过程综合管理功能 5 2 无线网管系统资源分组管理无线网管系统资源分组管理 无线业务管理组件作为无线业务管理核心 对于网络中的 AC FatAP FitAP 移动终端等无线设备进行集中管理 全网设备信息和状态 一目了然 网络资源通过物理位置 设备类型等多种视图进行查看 视图内分 精品文档 23欢迎下载 组管理 将规模巨大的无线接入设备有效组织 便于网管维护 5 3 无线网管系统拓扑管理无线网管系统拓扑管理 无线业务逻辑拓扑使网管直观了解网络部署情况及设备和链路当前状态 物理位置视图可根据不同的方式组织资源 分组拓扑从而有效 真实组织全网 资源 使网管对设备提供的业务范围了如指掌 拓扑还可依据需要组织成漫游 域 AC 域 设备拓扑的多级层次 逐级下钻 物理位置视图中网管可根据需要创 建多纬度 多层次的物理位置结构 并在指定户型底图上根据真实情况摆放设 备 逼近真实网络环境 同时 无线管理组件还支持 AC 与 FitAP 之间的物理拓扑展示 它可以提供 逼真的模拟现实物理拓扑 便于在 AP 无法注册时快速定位具体故障位置 5 4 无线网管系统无线网管系统 ACAC 设备管理设备管理 无线业务管理组件提供 FatAP 和 AC FitAP 两种无线网络部署方案的管理能 力 在 AC FitAP 的部署方案中 AC 设备为网络组成的重要部分 负责无线通信 的控制和调度 无线业务管理组件提供对 AC 设备 MAC 模式等基本无线业务参数 的管理功能 配置 Radio 策略和服务策略 并能查看其关联的 FitAP 设备基本 信息和详细列表 与其它组件配合 系统还能提供 AC 设备的故障 性能监控等 基本管理功能和其它业务 实现设备有线特性和无线特性的融合管理 5 5 无线网管系统无线网管系统 FatAPFatAP 设备管理设备管理 在 FatAP 无线部署方案中 整个无线业务全部通过 FatAP 实现 无线业务 管理组件提供对 FatAP 设备的国家代码 在线移动终端信息 终端时间间隔等 基本无线业务参数的管理功能 并能够进行 Radio 信息的浏览和配置及服务策 略的管理 查看与该设备各 Radio 连接的移动终端信息 与其它组件配合 系 统还能提供 AC 设备的故障 性能监控等基本管理功能和其它业务 实现设备有 线特性和无线特性的融合管理 5 6 无线网管系统无线网管系统 FitAPFitAP 设备管理设备管理 FitAP 设备必须与 AC 设备配合组网 提供无线接入功能 对于 FitAP 设备 无线业务管理组件提供 AP 在线状态 AP 使用模板 所在 AC 设备 MAC 模式等 基本无线业务管理功能 并可查看与该设备各 Radio 连接的移动终端信息 在 FitAP 上可以进行 Radio 管理和 BSS 信息浏览 精品文档 24欢迎下载 5 7 无线网管系统移动终端管理无线网管系统移动终端管理 无线业务管理组件可以对移动终端的信息进行查看 包括 MAC 地址 信号 强度 发射速率集 RSSI SSID 使用信道 所在 AC 设备 所在 AP 设备等 并能查看各移动终端的全部漫游记录 使网管随时了解最终接入用户的情况 并对其接入轨迹进行审计 5 8 无线网管系统策略配置无线网管系统策略配置 无线业务管理组件提供服务策略和 Radio 策略的管理 通过模板的方式对 设备进行批量管理 使网管快速完成网络配置 策略模板除手工添加外 还提 供从文件导入和设备导入功能 网管可以从系统导出或自定义的策略文件导入 模板 也可从某一标准配置设备上导入配置形成模板 下发到其它设备 完成 策略的批量克隆功能 极大地减少网管的维护工作量 降低维护成本 5 9 无线网管系统无线网管系统 RFRF 覆盖拓扑覆盖拓扑 组件支持以楼层 房间为单位的位置拓扑 并支持在位置拓扑上按 Radio 类型显示无线信号覆盖范围 它可以真实显示设备的 RF 覆盖范围 帮助管理员 进行部署规划 并可对不断变化的射频环境提供实时解析 通过无线网管 可 以把射频管理工作变成简单的日常工作 5 10无线网管系统无线网管系统 WIDSWIDS 管理管理 无线网管同时支持准许 OUI 设置 合法 SSID 设置 Ignore 地址设置 攻 击地址设置 信道扫描设置等检测策略设置 支持非法 AP 和非法 STA 的列表显 示 并可以对这些非法设备进行攻击 5 11无线网管系统无线报表管理无线网管系统无线报表管理 内置丰富的无线业务报表 并支持灵活的用户自定义报表功能 网管可以 根据自己的需要 选取不同的展示内容和展示格式 从而保证报表满足管理日 常工作的要求 5 12上网用户管理上网用户管理 此方案中有三种不同身份的用户 教工用户 学生用户 临时用户 提供 三个不同身份的 SSID 根据不同的 SSID 把数据转向不同的出口 教工和临时 用户走电信 500M 的线路 学生用户走电信翼起来线路 用户在校内可漫游 临时用户主要用于公用场所 美术馆 体育馆 饭堂 广场 可通过微信 或者短信认证 精品文档 25欢迎下载 教工和学生用户直接用正式账号登录认证 教学区公用教室在上课期间可限制用户上网 认证计费系统能与课表系统 关联 实现独立的学生课程时间的上网控制策略 支持课表对接控制模块的总 开关控制 在管理后台可查看用户在线情况并可对用户进行各种管理操作 用户管理如图 14 所示 图 14 6 6方案特点方案特点 6 1 智能射频管理智能射频管理 每个 AP 上电时 无线控制器会根据 AP 的邻居关系动态调整 AP 工作的信道 和发射功率 在保证覆盖的前提下保证 AP 间的干扰最小 当 AP 覆盖区域受到外界强信号干扰时 无线控制器会控制 AP 自动切换到 合适的工作信道以规避干扰信号 当覆盖区域内的某个 AP 发生故障而造成覆盖黑洞时 无线控制器会自动调 整相邻的 AP 的发射功率以消除黑洞区域 当故障 AP 恢复工作后无线控制器可 以自动调整邻居 AP 的发射功率恢复原始工作状态 6 2 智能负载均衡智能负载均衡 无线控制器可以设定 AP 间对接入用户进行负载分担 负载分担的策略可以 是基于 AP 接入的用户数量 AP 流量负载情况 当无线控制器发现 AP 的负载超过设定的门限值以后 对于新接入的用户无 精品文档 26欢迎下载 线控制器会自动计算此用户周围是否还有负载较轻的 AP 可供用户接入 如果有 则 AP 会拒绝用户的关联请求 用户会转而接入其他负载较轻的 AP 所选产品需创新性地支持智能负载均衡技术 保证只对处于 AP 覆盖重叠区 的无线用户才启动 AP 负载均衡功能 有效的避免误均衡的出现 示例如图 15 所示 图 15 6 3 业务业务 QOSQOS 支持支持 无线产品支持多种服务质量 Qos 支持 802 11e 中的 EDCF 优先级 支持以 太网口支持 802 1p 识别和标记 支持优先级队列及映射 流量限制 流分类 并且能够对 QOS 策略映射不同 SSID VLAN 精品文档 27欢迎下载 逻辑端口 WLAN BSS 接收者 终端 S S S S S S 不同的服务进 入不同的序列 终端调度接受者调度 VLAN 逻辑端口 调度 VLAN Group 物理端口 S 不同的服务 不同的优先级 物理端口 图 16 6 4 支持无线入侵检测系统支持无线入侵检测系统 WIDS WIDS WLAN 解决方案支持无线入侵检测系统 WIDS WIDS 工作原理如下 无线控制器可以指定 AP 工作在两种工作模式 模式一