无线校园网络建设交流

第1页，共51页，2023年，2月20日，星期六提纲无线校园网概述无线校园网技术及解决方案无线校园网工程概述H3C无线产品H3C无线校园网案例第2页，共51页，2023年，2月20日，星期六无线技术在中国的发展2003：我国下一代互联网需要解决的关键问题之一可扩展性、安全性、移动性、实时性、可持续发展性2006：新时期提出更加明确的要求——无线与CNGI“下一代互联网”被列入国家十一五规划“下一代移动通信技术”被列入国家科技中长期发展规划CNGI是我国成为创新型国家、实现跨越式发展的重大工程基于无线/移动互联网的多媒体移动通信是有可能取得突破、具有商业化前景的重大应用示范之一学校是建设无线宽带接入网络极佳的场所，而目前正是建设校园无线网的最佳时机校园的特殊环境导致用户密集，上网地点集中；网络信息资源的建设，导致用网需求激增；笔记本等移动终端的普及，导致无线用户激增；技术的革新，极大的降低网络建设成本第3页，共51页，2023年，2月20日，星期六

无线技术落户数字化校园的初衷老师在多媒体教室授课时，是否要拖着长长的网线？校领导网上办公，能否真切感受“没有线缆”的自由？学生在操场、校中心花园等地能否移动式的访问校园网？校园网业务推介演示活动，比如在学校的广场上，没有网口可用，如何在线演示业务呢？对于老的教学楼、宿舍楼，没有布线，置身其中的学生或老师要成为信息化的盲点吗？这些老楼根本无法实施布线。校园内没有光纤资源时，铺设光纤大动干戈，而且有时几乎是不可能的，这种情况下，有什么好的方法来提供连接链路呢？做有线网络所做不到的事第4页，共51页，2023年，2月20日，星期六无线技术在校园的主要应用校园信息孤岛图书馆教室体育场迎新大道会议室、礼堂、学术报告厅室外空地第5页，共51页，2023年，2月20日，星期六智能终端需要无线宽带网支撑手机MP3/MP4GPS多模手机多媒体终端无线游戏机KillerApplication第6页，共51页，2023年，2月20日，星期六提纲无线校园网概述无线校园网技术及解决方案无线校园网工程概述H3C无线产品H3C无线校园网案例第7页，共51页，2023年，2月20日，星期六新无线校园的诞生——传统无线校园的局限教室体育场图书馆礼堂室外空地有线与无线的统一管理无线网的安全问题大规模AP的管理和配置无线增值业务信号漫游和覆盖第8页，共51页，2023年，2月20日，星期六新无线校园的诞生——源自业务的动力无线新数据业务基于PDA/Laptop……教师在教室之间漫游上网；图书馆管理员在阅览室间维护图书资料；巡考员在考场间移动记录各考场信息；……无线语音业务基于WiFi-Phone……降低跨校区的沟通成本增进学生与老师之间的沟通提高校领导与老师的工作效率……有线网络与无线网络的综合运营管理校园用户只拥有一个帐号即可同时享用两张网；有线与无线不同的运营策略；……；不再是摆脱网线束缚上上网而已！第9页，共51页，2023年，2月20日，星期六新无线校园的诞生——技术突破使之成为现实无线交换机＋“瘦”AP快速漫游切换隧道技术跨越L2/L3层网络无线交换机协商……集中策略管理AP配置集中下发信道自动调整；功率自动调整；AP负载均衡；……无线网安全非法AP处理；802.11i/WPA/WEP；AP零配置……与有线网统一部署802.11e配合有线网QoS逻辑分开的两张网；统一的认证管理；……第10页，共51页，2023年，2月20日，星期六集中式“瘦”AP架构自适应射频负载均衡快速三层漫游无线IPv6有线无线一体化安全防御移动业务支撑无线管理无线校园网解决方案的架构第11页，共51页，2023年，2月20日，星期六无线交换机802.11a/b/g天线加密移动IP,IPSec,认证802.1x,TKIP,Qos,切换,802.11h位置检测每用户的安全策略网络自愈RF管理非法无线入侵检测802.11a/b/g移动IP,IPSec,认证802.1x,TKIP,Qos,切换,802.11h天线加密更易管理、安全的无线解决方案“胖”AP“瘦”AP低成本APInternet普通交换机Internet无线局域网组网模式：FATAP&FITAP第12页，共51页，2023年，2月20日，星期六CAMSMobilityDomainWX5002S3600-PWRS3600-PWR1、增加WirelessSwitch作为中央控制管理单元、认证终结点，适合大规模高等院校无线网、小型无线城域网；2、WirelessSwitch与AP之间跨越L2、L3、广域网的灵活组网；3、快速漫游切换、基于用户的权限管理、无线射频环境监控、语音视频等增值业务的满足；IP网络FITAP组网模式WA2110-AGQuidviewS3600-PWR第13页，共51页，2023年，2月20日，星期六无线接入点WA2110DHCPServer无线控制器WX5002获取IP地址、DNSServer、域名无线控制器发现请求版本、配置下载无线控制器发现响应用户数据传递AP与无线交换机通过二层网络连接：AP通过DHCPserver获取IP地址、

DNSserver、域名，AP先尝试获取IPv4动态地址，不成功再尝试获取IPv6动态地址，如果仍不成功，则使用固定的静态IP地址。AP发出二层广播的发现请求报文试图联系一个无线控制器接收到发现请求报文的无线控制器会检查该AP是否有接入本机的权限，如果有则回应发现响应如果需要，AP从无线控制器下载最新软件版本，并获取配置AP开始正常工作和无线控制器交换用户数据报文FitAP零配置启动注册过程（一）第14页，共51页，2023年，2月20日，星期六无线接入点WA2110DHCP

Server无线控制器WX5002获取IP地址、DNSServer、域名无线控制器发现请求版本、配置下载用户数据传递AP与无线控制器通过三层网络连接：AP通过DHCPserver获取IP地址、DNSserver、域名AP发出二层广播的发现请求报文试图联系一个无线控制器AP在多次尝试发现请求无回应的情况下：如果DHCPserver支持option43选项，并在分配IP地址回应的报文中携带option43选项，则AP会根据option43选项中携带的无线控制器的IP地址发送发现请求如果DHCPserver不支持option43选项，则AP会从DNSserver获取H3C.xxxx.xxx的IP地址，其中xxxx.xxx是从DHCPserver学习到的domain名字，AP向该IP地址发送发现请求接收到发现请求报文的无线控制器会检查该AP是否有接入本机的权限，如果有则回应发现响应。如果需要，AP从无线控制器下载最新软件版本与配置。AP开始正常工作和无线控制器交换用户数据长时间无响应DNS

Server获取无线控制器的IP地址无线控制器发现请求无线控制器发现响应FitAP零配置启动注册过程（二）第15页，共51页，2023年，2月20日，星期六集中策略管理——自适应信道、功率调节多个AP在同一信道信道之间互相干扰低转发性能手动调整困难学术报告厅、礼堂等AP密集场所，AP信道如何设置？自动发现客户端、AP以及它们之间的空间关系动态调整AP的电源以及信道，避免信道之间的干扰持续监控和优化无线环境，动态网络结构第16页，共51页，2023年，2月20日，星期六智能射频管理让用户不再为配置功率和信道而苦恼每个AP上电时，无线控制器会根据AP的邻居关系动态调整AP工作的信道和发射功率，在保证覆盖的前提下保证AP间的干扰最小当AP覆盖区域受到外界强信号干扰时，无线控制器会控制AP自动切换到合适的工作信道以规避干扰信号当覆盖区域内的某个AP发生故障而造成覆盖黑洞时，无线控制器会自动调整相邻的AP的发射功率以消除黑洞区域，当故障AP恢复工作后无线控制器可以自动调整邻居AP的发射功率恢复原始工作状态APAPAPAPAPAPAP教室A教室B办公室A办公室B第17页，共51页，2023年，2月20日，星期六AP负载分担使AP负载更均衡无线控制器可以设定AP间对接入用户进行负载分担负载分担的策略可以是基于AP接入的用户数量，AP流量负载情况当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的APH3C公司创新性地支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误均衡的出现教室AP1办公室AP2拒绝关联接受关联负载均衡原理教室AP1办公室AP2智能负载均衡技术启动负载分担的重叠覆盖区不启动负载分担的区域第18页，共51页，2023年，2月20日，星期六快速漫游切换——50ms保证语音业务不中断L3（POE）WirelessSwitch/ControllerQuidviewCERNETCERNET2CAPWAPAPtoSwitchL3（POE）WirelessSwitch/ControllerCAPWAPAPtoSwitchMobilityDomainInter-switchProtocol校内漫游校区漫游第19页，共51页，2023年，2月20日，星期六无线校园网解决方案的IPv6特性AP无线控制器IPv6资源IPv6有线校园网无线IPv6客户端无线IPv6客户端无线组网支持IPv6环境AP和无线控制器之间可以建立基于IPv6地址的隧道多个无线控制器之间可以建立基于IPv6地址的隧道IPv6管理AP：DNS6DHCPclient6

“瘦”AP是一种二层设备无线控制器：ACL6DNS6TraceRT6Telnet6TFTPIPv6FTPIPv6DHCPclient6Ping6IPv6组播无线交换机支持MLDSnooping配合现有IPv6有线网络，实现IPv6组播业务第20页，共51页，2023年，2月20日，星期六采用叠加方式在现有网络上搭建无线网络CAMS计费系统接入层交换机核心/汇聚层交换机（无线管理模块）Quidview网管系统无线控制器APAPAPAP无线管理插件PoE供电简化无线网部署PoE端口管理=故障AP重启管理基于现有核心交换机扩容无线管理模块，降低改造综合成本有线网络、无线网络统一认证计费管理PoE交换机PoE交换机采用叠加方式建立无线网络可以最大限度的减少对原有有线网络的配置更改宿舍区办公区教学区办公区无线教学区无线第21页，共51页，2023年，2月20日，星期六H3C的解决之道－分层安全体系层次体系主要技术解决的问题物理接入WEP64/128、TKIP、CCMP加密可升级支持WAPI加密防止无线报文被监听和篡改逻辑链路802.1x/PSK/MAC/Portal多种认证方式的混合接入802.1x支持PEAP/TLS/TTLS/SIM多种模式可升级支持WAPI认证用户身份鉴别和安全准入动态下发用户的权限业务隔离Hotspot用户隔离限制用户互访网络无线入侵检测系统非法设备的检测、无线攻击的告警和规避安全策略在无线控制器统一部署避免在大量的无线接入点部署策略AC和AP间的CAPWAP隧道下行流量限速防范外界对AP的数据流量攻击IPSECVPN端到端的安全加密设备AP本地不再保存配置信息避免设备丢失造成配置泄漏AP身份认证只有合法的AP才能和无线控制器建立关联AP支持多无线控制器的冗余备份无线控制器down机不会造成无线网络的瘫痪网管无线安全策略配置无线安全策略的统一部署非法设备监控和告警非法设备的检测、无线攻击的告警和规避设备信道调整告警了解设备遭受干扰后的信道调整情况第22页，共51页，2023年，2月20日，星期六拒绝接入丢弃报文无线入侵检测－空中警察非法设备的识别和处理：周期性监听空口信息设备信息报告AP非法设备无线控制器向非法设备发起攻击非法设备是未经网络管理者许可部署的无线设备或者是发起无线攻击的设备无线控制器可以指定AP工作在两种工作模式：模式一、AP负责监听空口所有信道的信息，但不负责用户报文的转发。模式二、AP在为用户转发数据的同时定期切换到其他信道监听信息AP设备负责把监听到的无线设备和有攻击行为的无线设备上报给无线控制器无线控制器根据AP上报的设备信息识别合法设备，排除非法设备无线控制器可以控制AP将非法设备列入黑名单或者对其发起攻击设备过滤列入黑名单攻击指示第23页，共51页，2023年，2月20日，星期六有线网络令牌桶流量统计Queue0Queue1Queue2QueueNDropTailRR/DRR接收报文无线<->有线优先级映射流分类流量限制队列发送报文出队调度拥塞控制转发

源地址目的地址源端口目的端口协议类型ACL无线控制器调度机制优先级队列1优先级队列2优先级队列3优先级队列4BusyFrameTimeAIFS4CW4AIFS3CW3FrameAIFS2CW2FrameAIFS1CW1FrameAP调度机制CAPWAP隧道优先级CAPWAP隧道优先级有线、无线统一端到端QoS机制用户优先级到CAPWAP优先级映射用户优先级到CAPWAP优先级映射第24页，共51页，2023年，2月20日，星期六根据服务划分的漫游域视图无线资源统一管理资源统一管理漫游域、物理位置、设备类型等多种分组显示方式AC、FitAP、FatAP设备的集中管理全网无线资源总体信息及状态一目了然根据地理位置划分的位置视图根据设备类型划分的分类视图第25页，共51页，2023年，2月20日，星期六用户管理与网络设备管理的融合用户与设备的融合管理提供强大的用户接入管理功能支持用户与设备的关联管理，通过拓扑直接定位威胁用户，并可对其进行强制下线等操作提供黑名单机制，禁止威胁用户接入第26页，共51页，2023年，2月20日，星期六CAMS综合访问管理服务器CAMS集成了事前认证、事中监控、事后审计和业务管理等多种功能，是一体的多业务安全接入管理平台CAMS可以与H3C的无线控制器、FATAP、交换机、路由器等网络设备共同组网，实现对无线接入、用户宽带接入、VPN接入以及IP电话接入的管理、认证、授权和计费。

CAMS作为校园网的用户管理中心，在基本的AAA功能之上，提供了多业务融合的管理、维护和安全控制平台第27页，共51页，2023年，2月20日，星期六智能融合无线校园解决方案总结无线管理中心无线网策略管理中心无线交换机运营管理中心室内型热点无线覆盖图书馆阅览室教室、办公室会议室/学术厅室外型热点无线覆盖运动场/操场迎新大道校园干道校园有线骨干网PoE供电接入无线业务应用移动数据业务Wi-Fi语音漫游统一认证计费PoE管理支持IPv6与现有校园网无缝集成xxx的网络管理自适应能力自适应射频管理智能负载均衡即插即用xxx的网络管理业务支撑能力语音级快速三层漫游端到端业务服务质量xxx的网络管理安全防御能力完善的加密技术无线入侵检测防非法APxxx的网络管理策略集中管理能力射频资源管理无线业务部署无线性能监视第28页，共51页，2023年，2月20日，星期六运营商无线校园解决方案无线管理中心无线网策略管理中心无线交换机运营管理中心热点无线覆盖图书馆阅览室教室、办公室会议室/学术厅校园有线骨干网PoE供电接入无线业务应用移动数据业务Wi-Fi语音漫游学校SSID运营商SSIDCerNetChinaNet单一物理网络承载两套逻辑网，解决频谱资源问题用户根据业务需求自主选择网络第29页，共51页，2023年，2月20日，星期六提纲无线校园网概述无线校园网技术及解决方案无线校园网工程概述H3C无线产品H3C无线校园网案例第30页，共51页，2023年，2月20日，星期六教育——单AP室内覆盖根据具体环境的不同，可以将AP固定到主讲台后面的墙壁上，或者用吸顶天线固定到天花板上，一般来说，室内覆盖可以覆盖普通隔离墙2-3层吸顶电线WA1208E第31页，共51页，2023年，2月20日，星期六教育——多AP重叠室内覆盖基本上不用考虑使用吸顶天线，主要因为这样的大空间基本上没有吸天线的很好的依附物，都是采用悬挂墙壁AP进行覆盖，布置点参考上图所示，信道规划方面采用AP1/AP2/AP3分别采用信道1、信道6、信道11。第32页，共51页，2023年，2月20日，星期六教育——室内覆盖注意:高校目前的新建大楼普遍为大型连体建筑，承重墙明显增厚。行政办公区域普遍为铸铁防盗门，必要时可以考虑房间内覆盖或室外补点覆盖大多数老楼改造项目无法使用吸顶天线，新建大楼尽量考虑使用吸顶天线覆盖第33页，共51页，2023年，2月20日，星期六教育——室外覆盖第34页，共51页，2023年，2月20日，星期六教育——室外覆盖第35页，共51页，2023年，2月20日，星期六小结无线校园项目需要明确客户需求，一般学校主要为有线网络的补充，供学生上网。个别学校需要提供无线IP电话支持，这类项目对工勘的精度要求会更高无线校园网一般来说会采取静态密钥加密(MAC认证)或者Portal认证，计费一般建议选用包月服务。一般来说很多学校已经有标准的认证服务器，甚至和一卡通数据库联动

211，985类的重点高校，校园建筑普遍是近年新建，承重墙、隔断墙、房门等普遍较厚、材质钢混，对无线信号的衰减较大，尽可能进行房间内布放图书馆是无线上网的重点覆盖地区，普通阅览间可以放置2-3台AP

校园室外区域覆盖(广场、草地、湖边等)一般采用具备一定垂直角的定向板状天线，通过楼顶、墙面的安装，具有一定的下倾角进行覆盖(直线距离150-300米)，同时需要避免大树等障碍物的衰减第36页，共51页，2023年，2月20日，星期六小结校园室外覆盖勘测需要和客户(物业)确定好电源、信号线的接出方式和地线的引出方式以及抱杆、避雷设施的安装方式对于极个别过于厚重的建筑物，可以考虑进行对端建筑物室外覆盖的补充，可以使用户在窗台附近的上网感受更好一些一般来说，教室的覆盖效果会比办公室的覆盖效果要好，办公室如果环境较复杂，可以选择房间内安装一般来说，由于经费问题，学生宿舍不在覆盖范围内，办公和教学区域是覆盖的重点区域一般来说，对于普通教学区域，可以把AP布放在走廊边，尽量采用吸顶天线伸出天花板安装。室内覆盖可以覆盖普通隔离墙2-3层。尽量避免将全向天线靠在墙壁处安装，减少对信号质量的影响第37页，共51页，2023年，2月20日，星期六提纲无线校园网概述无线校园网技术及解决方案无线校园网工程概述H3C无线产品H3C无线校园网案例第38页，共51页，2023年，2月20日，星期六无线局域网无线应用FATAP/网桥FIT/FATAPMESH

/网桥FATAPWH2520WA2110-AGWA2210-AGWA2220-AGWA1208E-G/GP无线控制器系列WX5002WX6103S7500插卡S7500E/9500插卡网络管理软件无线客户端无线IDSWB2320WA1208E-AG/DG/AGPWA2220E-AGWA2210X-G/AG/AGP第39页，共51页，2023年，2月20日，星期六独立式无线控制器WX6100：可管理640个AP，带12K用户；2个10GE、20个GE电口、4个1000Base-XSFP千兆以太网端口（Combo）交换容量为：48Gbps包转发率：4MWX5002：可管理64/128个AP，带2K用户；2个GE电口交换容量为：4Gbps包转发率：500kpps第40页，共51页，2023年，2月20日，星期六插卡式无线控制器LS8M1WCM128AOLSQM1WCMB0LSBM1WCM2A0S7500S7500ES9500S7500无线控制器插卡性能等同与WX5002S7500E和S9500插卡性能等同与WX6100第41页，共51页，2023年，2月20日，星期六FIT/FATAP系列产品WA2100\2200：百兆电口，POE；WA2200X-AG：百兆电口\光口；支持IEEE802.11a、IEEE802.11b、IEEE802.11g。支持多个SSID实现虚拟AP特性，每个SSID可对应不同的VLAN、不同的网络服务以及不同的认证方式。该特性使得管理员可方便的为不同用户群或者不同的业务制定不同的策略和无线控制器配合使用，所有的配置通过CAPWAP协议动态获取，在AP设备侧可不做任何配置持WEP/TKIP/AES等硬件加解密算法WA2110WA2210/2220WA2220XWA2220E第42页，共51页，2023年，2月20日，星期六AP远程供电设备H3C31/36PWRH3C5500PWRH3C5600PWR第43页，共51页，2023年，2月20日，星期六种类丰富的系列化可选天线2dB全向天线：该类天线为AP的缺省天线，随AP发货。包括一种双频段的微带天线，用于室内型设备如WA2110，WA2210-AG；一种2.4G黑色半波天线和5G天线，用于WA1208E和WA2220E-AG等复杂环境型AP，这些天线的接头均为反极性SMA头。双频室内应用天线：该类天线为室内部署使用，包括一种吸顶天线，一种平板天线，一种全向天线。非常适合于WA2110-AG和WA2210-AG，这两种AP可通过软件配置成不同的频段，使用双频天线避免了更换天线的麻烦。这类天线也可用于单频AP设备2.4G室内应用天线：该类天线为室内部署11b/gAP使用，包括一种桌面天线，一种吸顶天线。适合于WA1208E和WA2220E。2.4G室外高增益天线：该类天线为室外部署11b/g使用，包括一类高增益全向天线，包括各种增益；一类板式定向天线，有不同的方向角和增益；一类八木天线，包括两种不同增益，用于地铁环境；一类碟型天线，用于11g网桥应用。5.8G室外高增益天线：该类天线为室外部署11a网桥使用，可部署点到点和点到多点网络。包括一种高增益全向天线；一种背射定向天；一种高增益碟型天线。第44页，共51页，2023年，2月20日，星期六原厂认证电缆与附件射频电缆：用于连接AP和天线，包括两种不同长度的SMA转N头电缆；三种不同长度的N转N头电缆；一种超柔转接电缆。网口防雷器：室外应用时，用于保护AP和交换机免遭感应雷损伤，包括一种对交换机侧防护且支持POE供电的POE-MH模块，和一个对AP侧防护的网口防雷单元。建议在多雷雨地区必配。接地线：用于给室外机箱、网口和天馈防雷器提供接地天馈防雷器：室外应用时，天线感应的雷击能量，可以被串连在天线和设备间的