图书馆无线网络部署与管理

1、图书馆无线网络部署与管理图书馆无线网络部署与管理武汉大学图书馆武汉大学图书馆 夏正伟夏正伟Page 2大纲大纲无线网络规划部署无线网络规划部署低成本无线网架设低成本无线网架设无线无线网络维护技巧网络维护技巧无线网络基础知识无线网络基础知识Page 3无无n WLAN与与WI-FI是同一个含义吗？是同一个含义吗？ WLAN： Wireless Local Area Networks的缩写，无线局域网的缩写，无线局域网 WI-FI：将：将个人电脑、手持设备（如个人电脑、手持设备（如pad、手机）等终端以无线方式、手机）等终端以无线方式互相连接的互相连接的技术。也是一个商标，由技术。也是一个商标，由

2、Wi-Fi联盟拥有联盟拥有 。Page 4无线无线网络基础知识网络基础知识无线无线局域网技术发展趋势局域网技术发展趋势-IEEEIEEE推出的第一代推出的第一代WLANWLAN 标准标准 -2.4G-2.4G频段频段 - -传输速率传输速率1M1M或者或者2M 2M - -11b 2.4G11b 2.4G频段频段，传输速率提高传输速率提高到到5.5M5.5M和和11M11M - -11a 5.8G11a 5.8G频段传输速率提高到频段传输速率提高到54M54M - -11a11a和和11b11b不兼容不兼容 - -传输速率提高到传输速率提高到54M54M -2.4G-2.4G频段频段 - -兼

3、容兼容11b11b - -目前目前主流协议主流协议 - 2.4G- 2.4G频段和频段和5.8G5.8G频段频段 - -传输速率提高到传输速率提高到300M300M - -兼容兼容11a/11b/11g11a/11b/11g - -目前主流协议目前主流协议Page 5802.111997年发布，第1份物理层标准，工作频段2.4GHz，支持速率1、2Mbps802.11a1999年，第2份物理层标准，工作频段5.8GHz，支持速率6、9、12、18、24、36、48、54Mbps802.11b1999年，第3份物理层标准,工作频段2.4GHz，支持速率5.5、11Mbps；向下兼容1、2Mbps

4、802.11c符合802.1D的MAC层桥接(MAC Layer Bridging)802.11d根据各国无线电规定做的调整802.11e2005年，对服务等级QoS(Quality of Service)的支持，服务于语音、视频等流媒体数据的传输，利用优先级区别数据传输的等级802.11f2003年，用于改善802.11协议的切换机制，基站互联性(IAPP,Inter-Access Point Protocol)802.11g2003年，第4份物理层标准,工作频段2.4GHz，支持速率6、9、12、18、24、36、48、54Mbps；向下兼容1、2、5.5、11Mbps802.11h200

5、4年，对802.11a的扩展，目的是兼容其他5GHz频段的标准，确保其符合关于5GHz无线局域网的欧洲标准802.11j2004年，对802.11a的补充，确保其符合关于5GHz无线局域网的日本标准802.11i2004年，在安全和鉴权(Authentification)方面的补充，定义了RSN(Robust Security Network)标准，并制定了TKIP和CCMP两种新的加密协议802.11n2009年，最新一代11n标准，导入MIMO技术，基本上是802.11a的延伸版，工作频段2.4GHz和5.8GHz，支持最高速率300Mbps；向下兼容802.11a/b/g802.11协议

6、标准Page 6家用、个人级家用、个人级和和商用、企业级的商用、企业级的WLAN网络的对比网络的对比由个人、家庭或小型办公室部署由个人、家庭或小型办公室部署单单台台设备设备，集成交换机、，集成交换机、AP、路由等功能、路由等功能采用固定密钥采用固定密钥覆盖覆盖范围较小，只能承载少量用户范围较小，只能承载少量用户投资很投资很小，只需话费几十元到几百元小，只需话费几十元到几百元家用家用WLAN由运营商、企业、学校部署由运营商、企业、学校部署由控制器、由控制器、POE交换机、交换机、AP、AAA服务器等组成服务器等组成支持支持802.1x、Web Portal等登录方式等登录方式覆盖范围较大，可承载

7、大量用户覆盖范围较大，可承载大量用户投资及规模较大投资及规模较大商用商用WLAN无线网络的无线网络的重要重要术语术语：AP、AC、POE、DHCP、AAA等等Page 7n AP（Access Point）：）：相当于有线网络的集线器相当于有线网络的集线器，使使无线终端无线终端连接到网连接到网络。络。无线交换无线交换机机802.11 a/b/g天线天线加密加密网管、三层漫游网管、三层漫游, 安全安全802.1x认证认证,802.11e QOSAP点监测点监测用户防火墙用户防火墙网络自愈网络自愈RF 管理管理无线欺骗防护无线欺骗防护802.11a/b/g网管、二层漫游网管、二层漫游, 安全安全8

8、02.1x认证认证,802.11e QOS天线天线加密加密更易管理的更易管理的无线解决方案无线解决方案 胖胖AP瘦瘦AP低成本低成本APAPInternet普通交换机普通交换机InternetPage 8n AP的胖瘦之分的胖瘦之分 Fat AP：将WLAN的物理层、用户数据加密、用户认证、QoS、网络管理、漫游技术以及其他应用层的功能集于一身。Fat AP无线网络解决方案可由由Fat AP直接在有线网的基础上构成。Fat AP设备结构复杂，且难于集中管理。 Fit AP ：只有加密、射频功能的AP，功能单一，不能独立工作。 整个Fit AP无线网络解决方案由无线交换机和Fit AP在有线网的

9、基础上构成。Fit AP上“零配置”，所有配置都集中到无线交换机上。这也促成了Fit AP解决方案更加便于集中管理，并由此具有三层漫游、基于用户下发权限等Fat AP不具备的功能。Page 9n AP无线信道的划分（2.4GHz频段）2.4GHz2.4GHz频段中，同一个信号覆盖范围内最多容纳频段中，同一个信号覆盖范围内最多容纳3 3个互不重叠的信（个互不重叠的信（1 1、6 6、1111），以此类推。），以此类推。每信道占每信道占22MHz22MHz的频带；的频带；802.11b802.11b采用采用DSSSDSSS扩频和扩频和CCKCCK的调制方式最高提供的调制方式最高提供11Mbps11

10、Mbps的速率，的速率，802.11g802.11g采用采用OFDMOFDM的扩频方式，可提供的扩频方式，可提供54Mbps54Mbps的速率。的速率。 Page 10n AP无线信道的划分（5.8GHz频段）5.8GHz5.8GHz中国频段中，可提供五个互不干扰的信道；中国频段中，可提供五个互不干扰的信道； 每信道占用每信道占用20MHz20MHz频带带宽频带带宽; ; 提供提供6/9/12/18/24/36/48/546/9/12/18/24/36/48/54MbpsMbps数据传输速率数据传输速率; ; 采用采用OFDMOFDM调制方式调制方式; ; Page 11n AC（Access

11、 Controller） 无线控制器，又名接入控制器，主要实现AP管理、用户的接入控制，计费信息采集以及无线业务管理和控制等功能。 作用：解决大量AP组网导致的无线频谱管理、负荷分担、用户漫游、集中配置等问题，保障无线接入质量和建设布网的便捷性。Fit AP无线控制器无线控制器无线控制器无线控制器无线控制器无线控制器L2L2网络网络L3L3网络网络Fit APFit APFit APFit APFit AP直连方式直连方式二层网络连接方式二层网络连接方式三层网络连接方式三层网络连接方式Page 12n PoE (Power Over Ethernet）在以太在以太网络网络中中通过通过双绞线来双

12、绞线来同时同时传输传输电力电力与与数据数据的技术的技术。IEEE于2003年6月批准了以太网供电PoE标准IEEE 802.3af。优点：优点： 由于每个设备只需要一组连线，因此每个设备的布线更为简单和便宜； 免去了 AP 插座和适配器，使工作环境更安全、整洁，成本也更低； 能与标准以太网和快速以太网标准架构无缝集成； (4)不间断电源可确保在 AP电源断电时继续为设备供电； (5) 设备移动方便，可以移到任何有局域网线的地方移动对工作场所影响最小； (6)可对连接到以太网的设备进行远程监控。 Page 13n DHCP（Dynamic Host Configuration Protocol）

13、由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。n AAA（Authentication、Authorization、Accounting ）即验证、授权和记账，管理哪些用户可以访问网络，具有访问权的用户可以得到哪些服务，对使用网络资源的用户进行记账。接入认证主要有802.1X认证和PORTAL认证等方式。Page 14n 802.1x身份验证介绍身份验证介绍n 优势 在客户端和身份验证（RADIUS）服务器间进行相互身份验证防止未授权客户端/恶意接入点接入网络 身份验证后生成加密密钥无需人工管理密钥 集中政策控制自动执行加密政策/允许用户访问授权

14、资源n 不足 兼容性较差，部分二层设备不支持802.1X透传 需要特定客户端软件 属二层认证协议，认证策略比较简单，业务支持能力弱 新业务支持能力差客户端客户端接入点接入点RADIUSRADIUS服务器服务器可扩展身份验证协可扩展身份验证协议（议（EAPEAP）RADIUSRADIUS用户数据库用户数据库Page 15n PORTAL认证认证PORTAL页面在显著的位置设置认证窗口，用户开机后获取IP地址，通过登陆PORTAL认证窗口进行认证，认证通过后即可访问Internet。n 优点：优点：免客户端软件，利用PORTAL认证的门户功能，运营商可以将小区广播、广告、信息查询、网上购物等业务放

15、到PORTAL上。用户上网时就会强制地看到上述信息。n 不足：不足：可能被第三方伪造登录页面。可采用证书的方式，通过CA(Certification Authority证书权威机构）颁布的证书，防止冒充。登录过程采用HTTPS协议，对网络上传递的数据进行加密。Page 16AP用户ACDHCPPortal Server用户名密码认证用户名密码认证无线无线APRadius Servern IP地址分配n Web认证页面推送n 用户认证终结n 对接Radius服务器n 存储Web认证n 无线侧Open SSID，便于用户操作认证前获取IP地址HTTP请求触发认证页面，无需客户端通过Web认证页面发

16、起用户认证n 存储用户名、密码PortalPortal（门户）认证（门户）认证流程流程Page 17n 无线网络的规划与部署无线网络的规划与部署 需求评估：了解所需要覆盖场所的地形、预测接入用户的数量、分布。从而确定接入点的分布及数量。 网络规划：系统设计指标、频率规划、容量规划、干扰规避、覆盖设计 。结合现有网络，对网络拓扑进行调整，以适应部署WLAN的需求。根据AP点分布的需要设置网络信息点及POE交换机。 设备选型：对AC、AP、POE交换机等主要设备进行选型。关键的功能指标有：无缝漫游、集中网络管理、自动RF规划、负载均衡、非法AP检测、零配置安装、差别化服务、多SSID支持等。 安装

17、部署：根据规划进行设备的安装部署。 验证优化：使用终端设备进行无线网络可用性的验证测试。使用无线规划测量和分析软件如AirMagnet ，进行AP分布的优化等。Page 18n 实例：武汉大学图书馆新馆无线网络覆盖项目实例：武汉大学图书馆新馆无线网络覆盖项目CERNET网管平台网管平台无线无线APAP接入区接入区教学区教学区图书馆图书馆教学区教学区图书馆图书馆学生宿舍学生宿舍校园有线网校园有线网无线无线MESHMESH接入区接入区MPPMPP学校操场学校操场MAPMAPMPMPMPMP汇聚交换机汇聚交换机核心交换机核心交换机AC汇聚交换机汇聚交换机INTERNET认证平台认证平台核心交换机核心

18、交换机ACPage 19n 项目实施情况项目实施情况 图书馆新馆是由4栋楼组成的建筑群，共有17个楼层需要进行无线网络的覆盖。 图书馆为WHU-WLAN重要覆盖场所，部署了近一百台AP，全部千兆上联，支持802.1n协议、2.5G及5.8G双模、POE供电。 在建设初期，无线网络的接入和有线网络信息点就统一规划。在吊顶上预留部分6类信息点，以便安装AP。 楼层配线间各安装一台POE交换机，通过跳线连接到需要连接AP的信息点。 楼层POE交换机汇聚到中心机房WLAN汇聚交换机后，连入网络中心WLAN核心网络。 所有AP由网络中心的AC统一管理。图书馆协助网络中心进行本地AP的维护。Page 20

19、n 运营期间的故障解决及调优运营期间的故障解决及调优 高峰期，同时在线用户达到2000-3000人，部分用户出现拿不到IP地址、弹不出认证页面、上网慢且不稳定等问题。 很多同学抱怨无线网很不好用，虽然无线网络主要是由学校网络中心统一管理，但我们积极与网络中心进行合作，进行测试并提供解决问题的建议。Page 21n 通过通过问卷调查、实地测试，问卷调查、实地测试，分析存在分析存在问题并提出解决办法：问题并提出解决办法： 1、采用网页Portal认证方式，用户在通过认证前就已经分配到IP地址，初期网络中心为用户配发了实IP，地址池较为短缺，建议改为私有地址+NAT地址翻译。 2、原认证Portal

20、页面为AC内置，大量用户加载Portal页面使AC不堪重负，建议增加单独的Web服务器。 3、部分阅览室只布置了两个AP，而同时在线用户上百人。而少数楼层因为读者较少，长期只有几个用户在线。经过对每台AP的用户数量进行统计分析，将使用率较低的AP移至热门地点。 经过一系列的调整、优化，现在无线网络的服务能力、稳定性、网络速度均有效提升。Page 22n 应用场景：应用场景：某学术会议在图书馆馆召开，馆领导要求临时为百余位与会者提供某学术会议在图书馆馆召开，馆领导要求临时为百余位与会者提供WLAN接入。接入。n 解决思路：解决思路： 充分利用现有网络条件，在会场内选择空闲端口为接入点（AP）提供接入； 因经费有限，不能购置POE交换机、AC控制器等设备。配备几台802.11n（150M）家用无线路由器，每台仅需百余元内； 无线路由器的配置：关闭DHCP服务，只使用LAN端口，相当于纯AP的作用；多台无线路由配置同样的SSID，错开信道（2.4G下，优选1、6、11）； 选用免费路由软件ZeroShell，实现NAT地址转换、DHCP地址分配、用户认证及上网日志功能，满足法律规定的要求。 用户名和口令可以事先分配好，会议期间用小纸条打印发给与会者。Page 23n 拓扑拓扑有线用户无线用户网关核心层交换机接入层交换机