校园WIFI项目技术方案

1、校园标准化无线 WIFI 项目方案xxx 有限公司目 录1 引言32 网络建设原则32.1 全面性32.2 可管理性32.3 安全性32.4 可扩展性32.5 经济性和实用性43 用户需求44 WIFI 的覆盖设计规划44.1 无法覆盖的网络规划44.1.1 网络规划44.1.2 布线规划54.2 覆盖区域AP 及设备数量64.3 主要设备介绍64.3.1 无线控制器AC64.3.2 单频AP124.3.3 PoE 交换机151 引言随着互联网及其应用的高速发展，无线网络、智能终端的普及，无线网络使用需求日益增大，原有的网络访问习惯及网络设施已经难以满足教师及学生现在以及未来对网络的使用需求。

2、同时为了帮助校园实现移动办公，提高工作效率。本工程计划在学校的办公楼、教学楼、艺术楼、图书馆、体育馆等办公场所内进行 WIFI 信号覆盖。2 网络建设原则2.1 全面性无线网络覆盖设计不仅要保证覆盖区域无线网络的全面性、稳定性，还要能够适应今后高带宽的要求，满足日益增长的业务量需求及设备、服务的更新要求。2.2 可管理性可以对网络进行在线监控，随时了解无线网络的“健康状态”，快速定位并排除故障，并能对网络带宽进行资源优化，实现流量负载均衡、合理分配，提高网络的高利用率。2.3 安全性无线网络系统提供多种有效的安全加密机制，SSID 用户隔离，有效降低机密泄露和蹭网盗网行为,保证无线网络的安全。

3、2.4 可扩展性应用的不断发展要求网络在性能、协议、网络拓扑等方面具备很好的可扩展性。包含后期无线监控部署、局域网络扩大、带宽资源更新、设备服务的升级等等。2.5 经济性和实用性完全从现有的应用需求出发，依场所环境做覆盖方案实际部署，既保证方案可行性，还能最大程度的降低建设成本。3 用户需求项目需要对办公楼各办公室、教学楼教师办公室和特定课室、图书馆、体育馆等办公场所内 wifi 信号全覆盖建设。整个无线系统能够进行统一的中央控管，能够支持多种安全策略和认证方式，还能够方便地进行扩容；同时要求实现 AP 集中管理。实现教职工在整个办公楼无线覆盖范围内接入点自动切换、无线漫游，教职工无需任何过多

4、的配置，无线网络可以根据不同用户名与密码分配不同网络带宽，有效保障无线网络接入速度和良好的无线网络体验。4 WIFI 的覆盖设计规划4.1 无法覆盖的网络规划4.1.1 网络规划l根据环境具体需求选取合适的无线 AP 接入点，如大会议室选用高增益双频吸顶式 AP 满足高密度、高强度的无线网络需求。另外根据AP 到交换机的距离不一采用不同供电方式，如：网线长度大于60 米的使用 DC 供电方式，长度小于 60 米的使用 PoE 供电方式；l已有有线网络且网线具体小于 60 米需新增无线的仅需考虑POE 供电交换机、AC 无线控制器、AP 接入点以及当前主路由的负载能力。根据环境结构确定AP 数量

5、，吸顶式 AP 空旷环境覆盖直径 20-30M；l透过办公楼 2 楼机柜里的无线控制器（AC），统一管理、配置、监控各楼层的 AP；4.1.2 布线规划l局域网交换机之间根据距离确定传输介质（光纤或以太网线），大于 100M 的距离需使用光纤传输，收发设备可选用光纤收发器或交换机插光纤模块收发；100M 范围内可使用以太网线传输。l POE 供电交换机到 AP 之间采用标准 POE 供电，为保证传输质量传输距离应在60M 以内，网线质量差异会产生一定衰减，推荐范围在 50M 以内。需合理规划供电交换机位置确保供电及数据传输稳定有效。Xxx 学校 wifi 案例拓扑图：xxx 中学校园 wifi

6、 网络拓扑图4.2 覆盖区域 AP 及设备数量经勘查，根据用户需求规划 AP 及设备如下：l每栋楼均已有网络布线，新增 AP 连接到新交换机，新交换机放到该楼弱电机房，与学校该楼已有的接入交换机其中 1 个百兆电口(由学校分配)对接， 利旧原接入交换机的上连通道汇聚到核心机房(高一二教学楼C 栋 4 楼)的核心交换机后，通过学校已有的教育网专线，利用教育网的统一上网出口连上互联网。l配置 1 台无线控制器 AC，挂在学校已有的核心交换机上，由学校分配核心交换机 1 个电口接入。l配置的 AP、AC 设备满足与教育局的 WIFI 认证平台能兼容，满足通过教育局的 WIFI 认证平台来进行 WIF

7、I 帐号的认证。l如果部分上连通道是学校已有的设备，因此涉及到 WIFI 的调通需在学校已有设备上配置的，由学校负责；本次新建的设备由电信负责。l办公室 AP 量化需求： 1.办公楼：2.教学楼：3.艺术楼：4.图书馆：5.体育馆：4.3 主要设备介绍4.3.1 无线控制器 AC项目支持特性无线控制器参考参数基础性能缺省管理 AP 数License 步长6432项目支持特性最大管理 AP 数 可配置最大 AP 数802.11 协议簇无线控制器参考参数2561024支持多 SSID(每射频口) 16隐藏 SSID 11G 保护11n only 用户数限制用户在线检测支持支持支持支持：基于 SSI

8、DRadio 的用户数限制支持802.11MAC用户无流量自动老化支持多国家码部署支持支持：无线用户隔离1、无线用户二层隔离2、基于 SSID 的无线用户隔离40MHz 模式的20MHz/40MHz 自动切 支持换本地转发支持：基于 SSID+VLAN 的本地转发自动输入 AP 序列号 支持AC 发现(DHCP支持option43、DNS 方式)IPv6 隧道支持时钟同步支持CAPWAPJumbo 帧发送支持AP 双上行隧道链路 支持通过 AC 配置 AP 基本网络参数支持：配置静态 IP、VLAN、接入的 AC 地址等AP 与 AC 间穿越 NAT 支持同一AC 内,不同AP 下漫游能力支持

9、二、三层漫游项目支持特性不同AC 间,不同AP 下二、三层漫游Open system、Shared-Key无线控制器参考参数支持支持WEP-64/128、动态WEP支持WPAWPA2 TKIPCCMP WAPISSH v1.5/v2.0无线EAD(终端准入控制)Portal 认证Portal 页面推送支持支持支持(11n 推荐) 可选支持支持支持支持：远程、外挂服务器支持：基于 SSIDAP 的 Portal 页面推送Portal 穿越 Proxy 支持接入控制802.1x 认证支持：EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-MD5、EAP-SIM、LEAP、EAP-FAST

10、、EAP offload (仅支持 TLS, PEAP)本地认证支持：802.1X、Portal、MAC 认证支持：LDAP 认证1、支持 802.1X 与 Portal 接入2、802.1X 接入时支持 EAP-GTC 和 EAP-TLS基本位置的用户接入控制访客接入VIP 通道ARP 防攻击SSID 防假冒基于域、SSID 选择AAA 服务器支持支持支持支持：无线 SAVI支持：用户名与 SSID 绑定支持项目支持特性AAA 服务器备份无线用户的本地 AAA 服务器TACACS+优先级映射L2-L4 流分类流量限速802.11e/WMM基于用户角色(User Profile)的接入控制智能

11、带宽限速-基于带宽均分算法无线控制器参考参数支持支持支持支持支持支持：流控粒度 8Kbps 支持支持支持QoS智能带宽限速-基于每用户指定带宽的算支持法支持：智能带宽保障在流量未拥塞时，确保不同优先级SSID 下的报文都可以自由通过； 在流量拥塞时，确保每个 SSID 可以保持各自约定的最小带宽QoS Optimization支持for SVP phoneCAC(Call Admission Control)端到端 QoS AP 上行口限速国家码锁定支持：基于用户数/带宽的 CAC支持支持支持静态信道、功率设置支持动态信道、功率设置支持无线资源管理动态速率调节支持空口黑洞检测和补偿支持负载均衡

12、维度智能负载均衡支持：基于流量、用户、频段(双频支持) 支持项目支持特性AP 均衡组静态黑名单动态黑名单白名单非法 AP 检测无线控制器参考参数支持：自动发现并灵活设定支持支持支持支持：基于 SSIDBSSID设备OUI 等安全防御二层协议非法 AP 反制防无线泛洪攻击(Flooding Attack)防仿冒攻击(Spoof Attack)防 Weak IV 攻击wIPSARP 代答802.1p802.1q802.1x可聚合端口数目广播风暴抑制IPv4 协议支持支持支持支持支持：可实现 7 层移动安全防御支持支持支持支持4支持支持Native IPv6(原生) 支持IP 协议IPv6 SAVI

13、IPv6 Portal MLD SnoopingIGMP Snooping组播协议组播组数目组播转单播(IPv4、IPv6)备份VRRP支持支持支持支持256支持：可依据环境设置单播接入阈值支持项目支持特性AC 间 1+1、N+1、N+N备份AC 间快速切换无线控制器参考参数支持300ms 快速检测/3s 切换AC 间 AP 数负荷分担 支持Remote AP支持DHCP Server 双机热支持备Portal 双机热备支持网管与配置管理方式配置方式支持：WEBSNMP v1/v2/v3、RMON 等支持：WEBCLI、TELNET、FTP 等无线定位AeroScout 定位支持按需定时关闭

14、AP 射支持频口绿色节能按需定时关闭无线服支持务逐包功率控制(PPC) 支持RF Ping支持远程探针分析支持实时频谱防护(RTSG) 支持智能无线业务感知支持(wIAA)报文发送公平调度机支持制WLAN 综合应用802.11n 报文发送抑支持制基于连接状况的流量支持整形调整 AP 间信道共享 支持调整 AP 间信道重用 支持射频接口发送速率调支持整算法项目支持特性无线控制器参考参数忽略弱信号无线报文支持禁止弱信号客户端接支持入禁止组播报文缓存 支持Blink 状态检测(部分支持AP)4.3.2 单频 APl实现高性能无线接入和最佳无线网络 TCO 遵从 802.11n 协议标准，采用专业模块

15、化设计，单射频能提供高达300Mbps 的无线接入速度，是相同环境下 802.11a/b/g 产品的 6 倍左右。通过特有的内置集成智能射频覆盖优化技术，可以有效地从覆盖范围、接入密度、运行稳定等方面提供更高性能的无线接入服务并协助用户实现最佳无线网络 TCO(总拥有成本/Total Cost of Ownership)。l绿色低碳设计 采用专业绿色低碳设计，功耗小于 10W，而标准的 802.3af(PoE)供电为15.4W，这就意味着该 AP 可以使用普通 PoE 交换机(如 H3C S3000/S5000 系列 PoE 交换机)进行供电，供电距离可达 100m。使用 PoE 交换机供电不

16、仅可以方便施工，开关和重置无线设备时也无需现场操作，只需要远程控制 PoE 交换机端口，从而有效地提高无线网络的管理灵活性并降低网络维护难度。l 提供千兆以太网接口有线连接 上行接口采用千兆以太网接口接入，突破了传统百兆以太网接口的限制， 使有线口不再成为无线接入的速率瓶颈，为将来支持更高速率更多射频组合提供了平滑升级的平台。l支持 Fat/Fit 两种模式 支持 Fat 和 Fit 两种工作模式，根据网络规划的需要，可以灵活地在 Fat 和 Fit 两种工作模式中切换，同时用户可以根据应用需求，灵活选择所需的设备出厂版本(Fat 模式版本或 Fit 模式版本)。 当客户的无线网络初始规模较小

17、时，客户只需采购该无线设备，并设置其工作模式为 Fat 模式。随着客户网络规模的不断扩容，当网络中应用的 WA2 无线设备达到几十甚至上百台时，为降低网络管理的复杂度，建议客户采购同品牌自主研发的 WX 系列无线控制器设备，便于集中管理网络中的所有的AP 无线设备，此时只需将其工作模式切换到 Fit 模式。作为同时支持 Fat/Fit 两种工作模式的高速超百兆无线接入设备，工作模式切换过程只需要简易命令行，且可以通过设备网管批量执行，有利于将客户的无线网络由小型网络平滑升级到大型网络，从而更好地保护用户的投 资，非常适合运营级大规模无线网络的平滑扩容升级。l提供本地转发功能 当 AP(Fit

18、模式)通过广域网方式转发时，无线接入设备部署在分支机构， 而无线控制器部署在总部，所有用户数据由无线接入设备发送到无线控制 器，再由无线控制器进行集中转发，导致转发效率低下。AP 可将数据报文在无线接入设备上直接转化为有线格式的报文，使得数据报文不经过无线控制器，而是在本地进行转发，大大提高了转发效率。l支持 IPv4/IPv6 双协议栈 全面支持 IPv6 特性，设备实现了 IPv4/IPv6 双协议栈。通过与 WX 系列无线控制器建立 IPv6 隧道，无论原有有线网络是 IPv4 还是 IPv6，该 AP 都可以自由的与 WX 系列控制器进行通信，不会成为网络中的信息孤岛。l 支持智能负载

19、均衡 支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现无线接入设备的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的无线接入设备可供用户接入，如果有则会拒绝用户的关联请求，用户会转而接入其他负载较轻的无线接入设备，但如果无线用户不在重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。H3C 公司创新性的支持智能负载均衡技术，保证只对处于覆盖重叠区的无线用户才启动负载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。l提供 only 11n 接入功能 由于 802.11n 向下兼容 802.11a/b/g 协议，

20、故通常情况下，802.11a/b/g 用户也能接入到 802.11n 的无线接入设备上。但这种兼容能力的提供，会造成具备 802.11n 接入能力的用户实际使用性能产生一定程度的下降。支持将设备的射频设置为 only 11n 模式，使得 802.11n 接入用户的高速带宽和接入性能得到保证。l支持中国标准 WAPI 除了支持 WLAN 国际标准 802.11i，还支持中国无线局域网国家标准GB15629.11-2003 中提出的 WAPI 标准。l支持无线入侵检测/防御(WIDS/WIPS) 工作在 Fat 模式时，支持黑名单和白名单等无线用户接入控制特性。WA2612-AGN 工作在 Fit

21、 模式时，配合 H3C 自主研发的 WX 系列无线控制器设备，可以同时支持 Rogue 检测、入侵检测以及黑名单和白名单等 WIDS/WIPS 特性。l提供 EAD 无线接入 终端准入控制(EAD，End user Admission Domination)解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，对接入网络的用户终端强制实施企业安全策略，通过与安全策略服务器的联 动，可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理，只有无线客户端符合相应的安全策略之后才允许正常访问网络，从而提高了无线网络的整体安全性。l支持中文 SSID 支持使用中文 SSID，可指定最长包含 32 个汉字的 SSID，也可以使用中英文混合的 SSID，为国内用户提供了更大的使用便利。l支持 TR-069 特性(CWMP) 支持 TR-069 特性，此特性方便网管人员从网络侧对位置分散的无线接入设备进行远程集中管理。TR-069 是由 DSL 论坛()所开发的系列技术