学校无线网络实施方案

学校无线网络实施

方案

XX学校无线网络系统项目

技术规格书

文档仅供参考，不当之处，请联系改正。

目录

1需求分析..................................错误!未定义书签。

2方案设计原则及参照标准....................错误味定义书签。

2.1方案组成................................错误!未定义书签。

2.2遵循标准................................错误!未定义书签。

2.3设计原贝I」................................错误!未定义书签。

3无线网络系统解决方案......................错误味定义书签。

3.1无线网络技术说明........................错误味定义书签。

3.1.1无线网络的工作步骤...................错误!未定义书签。

3.1.2如何实现漫游.........................错误!未定义书签。

3.1.3安全性和管理性如何实现..............错误!未定义书签。

3.2无线网络系统解次方案....................错误!未定义书签。

3.2.]设备选型............................错误!未定义书签。

3.2.2无线网总体架构及拓扑................错误!未定义书签。

3.3无线网用户安全认证.......................错误!未定义书签。

3.3.1校内用户.............................错误!未定义书签。

3.3.2来访用户.............................错误!未定义书签。

333MAe地址认证..........................错误!未定义书签。

3.3.4无线用户统一身份管理及认证..........错误!未定义书签。

3.3.5网络资源访问控制.....................错误!未定义书签。

文档仅供参考，不当之处，请联系改正。

3.3.6个性化门户服务.......................错误!未定义书签。

3.3.7无线用户管理平台.....................错误!未定义书签。

3.3.8基于用户的策略控制...................错误!未定义书签。

3.3.9上网日志管理.........................错误!未定义书签。

3.3.10无线网络管理.........................错误!未定义书签。

3.4无线系统拓扑图及点位分布表.............错误!未定义书签。

3.5无线设备供电方案........................错误味定义书签。

4无线网络覆盖方案..........................错误味定义书签。

4.1无线网络覆盖方式对比....................错误!未定义书签。

4.1,1室内蜂窝覆盖.........................错误!未定义书签。

4.1.2室外大功率覆盖.......................错误!未定义书签。

4.1.3室内蜂窝覆盖和室外大功率覆盖相结合….错误味定义书签。

4.2如何选择适合的无线网络覆盖方式.........错误!未定义书签。

4.3无线网络覆盖方案........................错误!未定义书签。

4.3.1综合楼无线覆盖.......................错误!未定义书签。

4.3.2教学楼无线覆盖.......................错误!未定义书签。

4.3.3会议室覆盖...........................错误!未定义书签。

5无线网络安装调试方案......................错误!未定义书签。

6全区无线用户漫游规划......................错误味定义书签。

6.1区内无线用户漫游认证方案................错误!未定义书签。

6.2万'^^特^点................................错误!未定义书签。

文档仅供参考，不当之处，请联系改正。

7方案优势..................................错误!未定义书签。

7.7.7无线接入点..........................................错误!未定义书签。

7.1.2无线网络控制器....................................错误!未定义书签。

7.1.3H3CS5120-52C-PWR-EI智能交换机........错误!未定义书签。

7.1.4H3CS5120-28P-HPWR-SI智能交换机.......错误!未定义书签。

8施工组织设计..............................错误!未定义书签。

8.1项目管理................................错误!未定义书签。

8.1.1商务管理..............................................错误!未定义书签。

8.1.2设计管理...............................................错误!未定义书签。

8.1.3施工管理..............................................错误!未定义书签。

8.1.4工程的技术管理....................................错误!未定义书签。

8.1.5工程质量管理.......................................错误!未定义书签。

8.1.6安全生产管理........................................错误!未定义书签。

8.1.7岗位素质要求、分工及耿责....................错误!未定义书签。

8.1.8工作流程..............................................错误!未定义书签。

8.1.9规章制度..............................................错误!未定义书签。

8.2人员配备和安排计划......................错误!未定义书签。

8.2.1项目组织结构........................................错误!未定义书签。

8.2.2人员配备计划........................................错误!未定义书签。

8.3现场设施准备............................错误!未定义书签。

8.3.1施工机械设备.......................................错误!未定义书签。

文档仅供参考，不当之处，请联系改正。

8.3.2施工的临时设施.......................错误!未定义书签。

8.3.3仓库.....................................................错误!未定义书签。

8.3.4现场临时设施..........................错误!未定义书签。

8.4施工步骤和施工方法......................错误味定义书签。

8.4.1系统工程施工图具体设计深度..........错误!未定义书签。

8.4.2施工步骤、注意事项...................错误!未定义书签。

8.4.3施工准备与作业守则...................错误!未定义书签。

8.5施工进度计划和工期安排..................错误!未定义书签。

8.5.1编制原则..............................错误!未定义书签。

8.5.2编制依据..............................错误!未定义书签。

8.5.3施工进度计划编制.....................错误!未定义书签。

8.5.4施工准备阶段.........................错误!未定义书签。

855主体施工阶段.........................错误!未定义书签。

8.5.6设备安装施工阶段.....................错误!未定义书签。

8.5.7验收完工阶段.........................错误!未定义书签。

8.5.8工程进度计划表.......................错误!未定义书签。

8.6质量保证体系............................错误味定义书签。

8.6.1公司质量休系运行情况.................错误!未定义书签。

8.6.2系统工程质量保证体系.................错误!未定义书签。

8.6.3质量方针和质量目标...................错误!未定义书签。

8.7质量保证才昔施............................错误!未定义书签。

8.7.1质量控制的方法.......................错误!未定义书签。

文档仅供参考，不当之处，请联系改正。

8.7.2质量控制措施.........................错误!未定义书签。

8.7.3变更的质量控制.......................错误!未定义书签。

8.8安全保证技术措施........................错误!未定义书签。

8.8.1安全生产组织管理体系及职责..........错误!未定义书签。

8.8.2安全防范重点........................错误!未定义书签。

8.8.3安全措施.............................错误!未定义书签。

8.9文明施工措施............................错误!未定义书签。

8.10项目培训I..................................................错误!未定义书签。

8.10.1对受训人员的要求....................错误!未定义书签。

8.10.2培训I目的.............................错误!未定义书签。

8.10.3培训内容.............................错误!未定义书签。

8.10.4培训I计划.............................错误!未定义书签。

8.10.5培训过程的组织管理..................错误!未定义书签。

8.11工程售后服务方案........................错误!未定义书签。

8.11.1保修期内或保修期后的服务项目........错误味定义书签。

8.11.2紧急异常情况的及时处理..............错误!未定义书签。

8.11.3服务方式及流程......................错误!未定义书签。

9工程测试及验收.............................错误味定义书签。

9.1验收范围................................错误!未定义书签。

9.2验收依据及标准..........................错误!未定义书签。

9.3主要验收工具............................错误!未定义书签。

9.4验收:步8聚................................错误!未定义书签.

文档仅供参考，不当之处，请联系改正。

9.5验收总体要求............................错误!未定义书签。

9.6产品质量检查............................错误味定义书签。

9.7工程实施及质量控制......................错误!未定义书签。

9.8系统检测................................错误味定义书签。

9.9分部（子分部）工程竣工验收..............错误味定义书签。

9.10验收文档................................错误!未定义书签。

9.11验收内容................................错误味定义书签。

文档仅供参考，不当之处，请联系改正。

1需求分析

本次XXXX学校弱电配套工程包括有10所学校涉及无线网

络系统，参照XXXX学校需求进行无线网络子系统整体设计。

根据当前与设备站相关人员的沟通和参照学校网络建设的相

关资料，此次需要建设的无线网络将对教学楼、办公楼进行无线

信号覆盖，提供支持移动访问互联网络，根据对现场场地环境的

先期测试和综合分析，设计的无线网络将提供高速、稳定、安全

的无线信号覆盖接入，未来覆盖区域可在此基础上轻易扩展到整个

学校的办公区域、公共区域、室外“热点”公共区域等室内和室外

的无线覆盖.

此次方案设计将根据无线网络的高速接入和安全特性,设计针

对学校无线覆盖所涉及的全方面,多层次的和应用相关的技术，来介

绍如何实现随时随地的学校网络资源共享访问，并设计提供安

全，可靠的无线访问接入控制和管理,所设计的无线网络平台将是

一个多业务,多应用的平台，可支持数据和语音的同时接入。

同时考虑到学校的无线网络是长年运行，24小时需要提供服务

的，而且需要考虑实际同时接入使用无线网络的用户数量不定，因

此在方案设计中需要考虑到无线设备的性能和无线网络的造价及

可扩展性。

根据对学校相关区域建筑楼、建筑材料、建筑结构和室外周边

文档仅供参考，不当之处，请联系改正。

环境的观测和分析，我们建议在相应位置放置无线接入点AP以提

供此区域的无线覆盖。由于学校的楼层建筑结构相对比较复杂，为

了保证无线网络的均匀覆盖，需要多个AP进行覆盖,另外还由于为

了楼层间的楼板的AP信号的穿透，因此建议上下相邻的楼层间

的AP,交错摆放有助于避免与上下楼层间AP的相同频道信号的干

扰，这是一种对于无线场地环境良好设计和避免AP信号干扰是有

帮助的。具体的AP摆放位置和网络布线图见方案设计部分。

2方案设计原则及参照标准

2.1方案组成

根据以往无线网络建设的经验和用户的需求分析，我们将在

下面的篇幅中进行详细的介绍如何建设校园无线网络，整个方案

重点分为以下部分：

1）无线局域网系统方案

2）无线点位布署规划

3）全区无线用户漫游方案

4）方案涉及产品的主要性能指标

2.2遵循标准

我们严格按照以下标准和文件的要求对XXXX无线网络综合

布线系统进行整体设计，确保大楼的综合布线系统是一套完整、

文档仅供参考，不当之处，请联系改正。

规范的信息链路。具体包括以下标准和文件：

•GB1526-89《信息处理-数据流图、程序流程图、系统

流程图、程序网络图和系统资源图的文件编制符号及约

定》

•电子计算机机房设计规范(GB50173-93)

•计算机场地技术条件(GB2887-89)

•计算机场地安全要求(GB936L88)

•《以太网协议标准》(IEEE802.3)

•《商用建筑线缆标准》(EIA/TIA568A/B/B2)

•《商用建筑通信通道和空间标准》(EIA/TIA569)

•《商用建筑电信设施管理标准》(EIA/TIA-606)

•《商用建筑通信接地接续要求》(EIA/TIA-607)

•《无屏蔽双绞线系统现场测试传输性能规范》

(EIA/TIATSB67)

•《通信布线系统信息技术欧洲标准》(EN50173)

•《信息技术互连国际标准》(ISO/IEC11801)

•《民用建筑电气设计规范》(JGJ/T16-92)

•《建筑与建筑群综合布线系统工程设计规范》(GB/T

50311-)

•《建筑与建筑群综合布线系统工程验收规范》(GB/T

50312-)

•《智能建筑设计标准》(GB/T50314-)

文档仅供参考，不当之处，请联系改正。

•《智能建筑工程质量验收规范》(GB50339-)

•《通信光缆的一般要求》(GB/T7427-87)

•《电气装置安装工程施工及验收规范》(GBJ232-92)

•《电子计算机机房设计规范》(GB50174-93)

•《普通中小学校建设标准》(DG/TJ08-12-/J10355-)

•《中小学校建筑设计规范》(GBJ99-86)

•招标方提供的需求文书及图纸资料

在实施过程中，我公司会严格按照上述技术标准和规范进行施

工，如果在施工过程中有国际或国内最新标准出台，我公司会使

用新版本的国际、国家标准和规范进行施工、选用设备、材料。

同时提供所采用的新版本国际和国家标准、规范有关技术资料。

2.3设计原则

本方案主要是为XXXX学校弱电配套工程项目设计校园无线

网络，经过无线网络和有线网络的结合，充分发挥两网各自的优

势为广大师生提供良好的服务，从整体上提升教学服务质量并提

升学校影响力。系统方案设计原则如下

＞先进性

当今科学技术发展迅速，若花巨资建成一个几年之内就要淘汰

的落后系统，不但是一种极大的浪费，而且将严重影响用户的声

誉。因此设计方案首先就要确保设计技术和应用技术的先进性，

同时也要保证整个系统的最佳性能价格比。

文档仅供参考，不当之处，请联系改正。

＞灵活性和兼容性

随着科学技术的发展，不可能保证一个系统永远处于领先地

位。为此在设计方案时.，必须考虑到系统升级扩容的灵活性和兼

容性，这就需要采用模块化、开放式、集散型、分布式的控制系

统。使得不改变原有设备，在不损失前期投资的情况下，就能方

便的升级和扩容，确保系统不过时。

＞经济实用性

先进性与经济性往往会产生矛盾，这就需要在制定总体设计方

案时：

•要选择性能价格比最佳的产品和系统。高科技现代化时

代，经济性衡量的唯一标准是性能价格比，既不是单纯性

能，也不是单纯的价格，若不顾性能，而单纯追求价格，

势必会陷入不正当的价格竞争战。那么系统事故所造成损

失和影响用经济是补偿不了的。

•善于充分利用软件来实现系统功能，尽可能减少硬件开

支，达到降低系统总成本的目的。

•充分了解其它子系统的功能，并与之进行有机结合，避免

功能重复。

•要善于从实际出发，突出实用功能，去掉“华而不实”的

无用功能，降低总体投资，求得先进性与经济性的完美统

＞可靠性

文档仅供参考，不当之处，请联系改正。

可靠性是系统设计中的关键，不可靠的系统不但根本谈不上什

么先进性，而且由于系统的瘫痪导致重大的损失会给用户带来巨

大的负担和耗费。为此总体方案的设计时：

•既要考虑技术的先进性，又要考虑技术的成熟性。

•采取集散型分布式控制方式，从系统设计结构形式和控制

方式的角度来提高系统总体的可靠性，从而达到先进性和

可靠性的完美统一。

•尽可能减少硬件数量和硬件连接，充分依靠软件功能来提

高系统的可靠性。

•遵循严格科学的施工规范，为各子系统的连接，架设可靠

的神经中枢，从而为系统的总体可靠性打下最坚实的基

础。

同时我们的系统设计兼顾了系统功能的全面性及操作的简易

性。当有紧急情况发生时，系统能自动作出迅速、准确的反映。

＞操作和维护的方便性

21世纪是知识经济时代，人力成本的价值在大幅度增加，系

统设计如何做到操作和维护更方便，对于提高工作效率，降低人

力成木和降低维护成木，提高系统总体性能价格比是极其重要的

环节。

文档仅供参考，不当之处，请联系改正。

3无线网络系统解决方案

3.1无线网络技术说明

3.1.1无线网络的工作步骤

扫频：STA在加入服务区之前要查找哪个频道有数据信号，

分主动和被动两种方式。主动扫频是指STA启动或关联成功后扫

描所有频道；一次扫描中，STA采用一组频道作为扫描范围，如

果发现某个频道空闲，就广播带有ESSID的探测信号；AP杈据

该信号做响应。被动扫频是指AP每100毫秒向外传送灯塔信

号，包括用于STA同步的时间戳，支持速率以及其它信息，STA

接收到灯塔信号后启动关联过程。

关联(Associate)：用于建立无线访问点和无线工作站之间的

映射关系，实际上是把无线变成有线网的连线。分布式系统将该

映射关系分发给扩展服务区中的所有APO一个无线工作站同时只

能与一个AP关联。在关联过程中，无线工作站与AP之间要根据

信号的强弱协商速率。

重关联(Re-associate)：当无线工作站从一个扩展服务区中

的一个基本服务区移动到另外一个基本服务区时，与新的AP关

联的整个过程。重关联总是由移动无线工作站发起。

3.1.2如何实现漫游

漫游：指无线工作站在一组无线访问点之间移动，并提供对

文档仅供参考，不当之处，请联系改正。

于用户透明的无缝连接，包括基本漫游和扩展漫游。基本漫游是

指无线STA的移动仅局限在一个扩展服务区内部。扩展漫游指无

线SAT从一个扩展服务区中的一个BSS移动到另一个扩展服务区

的一个BSS,802.1lb/g并不保证这种漫游的上层连接。常见做法

是在上层采用的无线网络控制器。

3.1.3安全性和管理性如何实现

由于无线局域网采用公共的电磁波作为载体，因此与有线线

缆不同，任何人都有条件窃听或干扰信息、，因此在无线局域网

中，网络安全很重要。常见的无线网络安全分几种：

3・1.3.1服务区标示符(SSID)：

无线工作站必须出示正确的SSID才能访问AP,因此能够认

为SSID是一个简单的口令，从而提供一定的安全。如果配置AP

向外广播其SSID,那末安全程度将下降；由于一般情况下，用户

自己配置客户端系统，因此很多人都知道该SSID,很容易共享给

非法用户。当前有的厂家支持“任何”SSID方式，只要无线工作站

文档仅供参考，不当之处，请联系改正。

在任何AP范围内，客户端都会自动连接到AP,这将跳过SSID

安全功能。

3・1.3.2物理地址（MAC）过滤：

每个无线工作站网卡都由唯一的物理地址标示，因此能够在

AP中手工维护一组允许访问的MAC地址列表，实现物理地址过

滤。物理地址过滤属于硬件认证，而不是用户认证。这种方式要

求AP中的MAC地址列表必须随时更新，当前都是手工操作；如

果用户增加，则扩展能力很差，因此只适合于小型网络规模。

连线对等保密（WEP）：

在链路层采用RC4对称加密技术，钥匙长40位，从而防止非

授权用户的监听以及非法用户的访问。用户的加密钥匙必须与AP

的钥匙相同，而且一个服务区内的所有用户都共享同一把钥匙。

WEP虽然经过加密提供网络的安全性，但也存在许多缺陷：一个

用户丢失钥匙将使整个网络不安全；40位的钥匙在今天很容易被

破解；钥匙是静态的，而且要手工维护，扩展能力差。为了提供

更高的安全性，802.11i提供了WEP2,该技术与WEP类似。

WEP2采用128位加密钥匙，从而提供更高的安全。WEP2当前不

保证互操作性。

文档仅供参考，不当之处，请联系改正。

无线网络控制器

无线网络控制器是无线网络安全的最高级别。完整的无线网络

系统包括无线接入控制服务器（AccessControl）＞无线接入点

（AccessPoint）＞客户端（STA）等三部分。她是建立在无线接

入控制点之上也就是一般所说的网络第三层，在整个无线网络系

统中有效结合了无线服务区标示符（SSID）、物理地址（MAC）过

滤、连线对等保密（WEP）等在安全管理方面的优势，并克服了

物理地址（MAC）过滤、连线对等保密（WEP）在可扩展性、安

全保密性等方面的弱点，提出了无线网络从安全到管理的整人解

决方案。如下图所示，无线网络控制器能够提供全网的用户认证

管理、防止非法AP接入、防止用户恶意入侵她人系统等服务，

并根据客户需要可实现对不同权限用户实现对上网流量、上网时

间段、上网范围、访问权限等等适合网络规划管理方面的要求，

整个无线网络安全、管理策略能够在无线接入控制系统上统一实

现，扩展性以及安全保密的问题在这里得到了很好的解决。

文档仅供参考，不当之处，请联系改正。

3.2无线网络系统解决方案

3.2.1设备选型

本次XXXX学校弱电配套工程项目涉及中学及小学两种不同

类型的学校。从招标要求要求来看，网络架构为无线控制器

+AP。考虑到和区内原有无线网络系统的区内单一帐号漫游的兼

容以及今后网络的统一管理和可扩展性，我们推荐采用XXX品牌

无线控制器WNCAC2020-E,结合XXX品牌AK2400ZDC系列

无线接入点来实施整个方案。

AK2400ZDC系列无线接入点支持IEEE802.1lb/g/n标准，最

高速率可达到300Mbps,同时支持本地供电以及IEEE802.3at标准

POE远程供电（兼容IEEE802.3af供电）解决方案，方便工程安装实

施。

整个方案将从无线信号的覆盖、无线接入点的维护管理、用

户的管理、无线网络安全管理以及无线网络如何和现有有线网络

相结合等方面提出了全面的解决方案。

3.2.2无线网总体架构及拓扑

随着网络应用和数据量的急剧增长，为了减少广播包对网络

性能的影响，普遍采用的解决方法是采用VLAN技术进行子网划

分，经过三层交换技术对各子网进行路由交换；另外，在学校进

文档仅供参考，不当之处，请联系改正。

行有线网络建设时也考虑到将来可能会有扩展，在有线信息点、

光纤和交换机端口等资源上都留有余量，因此在进行无线网络建

设时，用户希望建成的无线网络系统能够尽可能少的占有这部分

网络资源，以降低工程造价和施工周期，因此一般采用AP就近接

入配线间，采用尢线网络与有线网混合组网方式。由于有线网的

固定性，一般采用根据楼层或楼宇方式进行子网划分，而无线网

络必须承载于有线网络之上，因此，要求所接AP也分别划到各个

子网之中，造成了原本应该统一管理的无线网络被有线网络分割

成了独立的无线“网络孤岛”，这种“网络孤岛”在实际应月中

会存在以下问题：

1.不能实现全面的、统一的全网级的管理策略

2.不便于无线网络业务的划分

3.不能实现无线网用户的漫游

4.对无线接入点无法做到集中管理、统一配置和升级

为了解决传统有线与无线混合组网存在的上述问题，采用瘦

AP方式架构代替传统AP的方法来解决这一问题。XXX品牌无线

网络组网方案能够方便的实现AP的跨三层部署，接入层的AP只需

要拿到属于自己的IP网络设置和网络中已经部署的无线控制器IP

地址即可。这样的架构大大简化了传统无线网络部署当中的复杂

程度，减少了有线网络配置相杂乱的状况。

文档仅供参考，不当之处，请联系改正。

nternet防火墙

加100interface看着需mode.nk产.

无线网纬控制器

Vian200intefface:192,16.200.1UMR、,

WNCAC2020-E

Portrr>ode:Trunk

汇聚交换机汇聚交换机

ESSID:Teacher

VLAN100

IP:/24

楼店交庆机演夜亮机

GW:192.16,100.1

认证方式：WP/VWPA2(802.1x)

ESSID:Guest

VLAN200

IP:192,16.200.0/24

GW:192,16200.1

认壮方WEB4-DHCP

无线接入点

AK2400ZDC

88

留AA

图:无线网络典型拓扑图

如匕图所示，当AP在加电后经过广播、DHCP或DNS方式来

获得位于网络骨干上的无线控制器WNCAC的IP地址信息，AP在

得到无线控制器地址之后，便可与无线控制器建立通信，随后无

线控制器将AP运行所需相关配置下发。AP收到这些信息后，随即

进行系统启动并根据无线控制器提供的配置进行自身参数的配

置。在AP启动完毕后与无线控制器之间采用隧道方式进行互连，

用户的认证数据包在进入AP后，被AP重新封包进入该隧道传入无

线控制器，由于认证数据全部被封入隧道，用户的数据并不因AP

与无线控制器之间跨了路由而改变路由路径，从用户角度来看，

用户的认证数据直接跨越了层层路由，直接进入了无线控制器，

文档仅供参考，不当之处，请联系改正。

无需改变现有网络拓扑结构、也无需考虑协议兼容性，从而实现

了拓扑无关的组网。由于采用瘦AP的组网方式，即使是在分布式

网络中，彼此被路由隔开的AP也可作为一个整体结构运行，以便

于按需扩展或修改无线局域网。

整套方案构建了一个稳定的、安全的校园无线网络环境，解

决了无线网络环境下对各种不同等级用户网络安全访问控制，同

时整个方案又保持着整个校园无线网络高度可扩展性。

3.3无线网用户安全认证

3.3.1校内用户

校内用户主要是学校内部的师生，她们由于工作和学习的需

耍要求随时接入网络访问校园网内资源以及访问Internet,可是这

些用户的数据有可能是些最新的科研成果、研究资料和论文等等

比较重要和机密的资料，使用了无线网传输这些重要资料可能遭

到非法窃听的严重后果，因此需要对这类用户的数据进行加密处

理，以保障用户数据的安全。我司工程师与国内多个学校网络中

心技术人员经过重复论证，提出使用WPA(802.1x)对这类用户进

行身份验证最为合适。

WNCAC2020系列支持WPA认证，WPA认证方式是一种基

于端口控制的认证方式，即关联到AP上的每一个无线终端，在

AP上都有一对虚拟的端口，一个叫可控端口，另一个叫非可控端

口；可控端口平时处于断开状态，用户上网的数据不能经过，该

文档仅供参考，不当之处，请联系改正。

端口能够按照WNC的指令打开与关闭；非可控端口平时一直处

于连同状态，可是仅仅允许用户认证数据包经过。当用户关联到

AP上后，由WPA认证客户端提出认证请求，并提示用户输入账

号，由AP将认真请求经过非可控端口转发给WNC,WNC从后

台用户数据库中取得用户的账号信息并与用户提交的进行对比，

如果匹配则无线接入控制器再与AP进行密钥协商，自动随即生

成加密密钥，此后WNC发送指令给AP,要求AP将对应该用户

的可控端口打开，并将生成的密钥经过TLS建立的安全隧道传送

给无线终端，此后用户传输的数据使用该密钥法进行加密，该密

钥每隔一段时间由无线接入控制器重新和AP进行协商以更换密

钥，无需用户手工干预即可将密钥分发给无线终端，如此循环下

去，实现了更高安全性的要求。对于那些对网络安全要求较高的

校内用户，建议采用WPA方式认证接入。

图:WPA认证流程示意图

3.3.2来访用户

来访用户主要是到学校参观、学术交流和联系工作的一些用

文档仅供参考，不当之处，请联系改正。

户，这类用户对网络的需求最重要的就是需要能够方便快速的接

入Internet、浏览网页、收发Email等等，不允许访问校内网络资

源。WPA方案虽然采用了基于数字证书的强加密方式进行认证，

可是对于用户端配置要求较高，必须配合认证软件才能工作

（WinXPSP1、SP2自带，Win2K必须打SP4）,对于学校内部

用户，进行简单培训说明基本能够掌握，可是对于临时来访人

员，要求她们进行繁琐的设备显然不切实际。这类用户对数据安

全要求较低，但要求能够尽可能简单地经过无线网络访问

Internet,因此为了便于这类用户的使用，我们建议采用WEB+

DHCP认证方式简化用户认证操作的过程。

WEB+DHCP认证方式，用户无需手工配置本机IP地址、默

认网关、子网掩码和DNS等相关配置，只需将用户网卡设定为经

过DHCP自动获得即可。WNC内置DHCPServer,当用户经过无

线网卡连到AP上，用户网卡会发出DHCP请求以获取IP等信

息，当WNC收到用户这一请求后自动为其设置好正确的IP地

址、子网掩码、网关等参数，免去了用户手动配置的不便。随后

用户打开IE浏览器输入一个网址，WNC会弹出一个认证页面，

在该页面用户只要输入正确账号即可认证上网。使用此种认证方

式的最大优点就是无需安装任何客户端软件，使用户操作更为方

便，从真正意义上体现出无线局域网带来的移动学习的便捷。

文档仅供参考，不当之处，请联系改正。

图:Web+DHCP认证界面

另外，结合高性能WNC,能够对来访用户定义多种等级，有

效的对来访用户进行管理.，同时WNC内置的策略路由功能和带

宽控制，进一步对认证后用户进行路由出口和带宽进行控制，有

效解决用户网络资源分配的问题。同时还能够根据学校管理策略

设定基于用户组的ACL(AccessControlList)访问控制列表，对来

访用户允许访问网址进行控制及监控。

Web认证具有以下优势：

1.强制跳转登录界面

2.用户名和密码采用基于数字证书的安全技术进行加密传输

3.可定制的用户认证界面，全中文化

4.简单，无需专门客户端，浏览器即可，各种操作系统均可

兼容

3.3.3MAC地址认证

文档仅供参考，不当之处，请联系改正。

除了上述WEB+DHCP和WPA认证方式外，WNCAC2020

系列还支持基于MAC地址的认证方式，只需将用户无线网卡

MAC录入XXX品牌无线网络控制器中，则相应用户在连接上AP

后无线网络控制器自动会为其进行认证而不会要求用户输入月户

名和密码，简化了用户操作。

Cli«atv«V...|

OCAMARWelcometoOcamarWNC

卡双证1―■

-初S

■

3K应功比•。J8M♦琴阳

NU正

如比正

ACL

iuonsClwot劄记甘史刊ocogoom:■量肉

VIA*海寰

OC0C43W€M■晔

s配置

LUPVW

防止•力6<M2>—<

-用曰

Copy113tC2OO4OCANIARADRightsRpseived

3.3.4无线用户统一身份管理及认证

当前，越来越多的学校拥有了基于校园网平台的数字办公、

教学等应用系统，这些系统均需要用户进行身份认证后以防止非

法用户的入侵造成对系统的破坏。由于应用系统类型众多，造成

各系统的用户账号不能同步，对于用户来说往往是需要牢记多个

账号，使用上非常不便，因此各学校为了解决用户账号统一的问

题，采用集中管理用户账号的方法，将用户账号存储在中心的数

据库中，各系统均到该数据库中取用户账号信息，从而解决了校

园网用户统一身份认证的问题。同样，无线网络作为校园网络的

延伸和补充，如果能和有线网络一样采用同样账号进行管理的

话，一方面无疑方便了用户的使用，另一方面对于校园网管中心

文档仅供参考，不当之处，请联系改正。

来说也降低了维护的工作量，WNCAC2020.E无线网络控制器支

持多种身份验证接口，能够与Radius、LDAP、WindowsActive

Directory>ORACLE、MySQL、SQLServer等多种数据源进行对

接，在进行身份认证时能够到后台RadiusServer上进行认证，从

而实现校园网用户的统一认证。

OCAMARWelcometoOcamarWNC

3GMOCAMARAARifhtROFZ

图:用户管理界面

3.3.5网络资源访问控制

考虑到这部分用户主要为校外人员，而某些校园网内部资源

仅作为科研、教学用途不对外开放，因此需要对这类用户的网络

资源访问进行一定的控制，以保护某些校内资源。WNCAC2020

系列支持基于用户的ACL（访问控制列表），管理员能够预先编辑

好来访用户被允许和禁止访问的网段列表，XXX品牌无线网络控

制器在用户认证成功后根据该用户ACL列表动态设置该用户能够

访问的资源，从而有效屏蔽了校内某些较敏感资源。

3.3.6个性化门户服务

文档仅供参考，不当之处，请联系改正。

个性化服务只提供给使用WEB认证方式的用户，由于使用

WEB认证方式的用户主要是校外临时来访人员，是采用WEB页

面登陆方式，该页面是每个无线用户上网必须访问的界面，该页

面除了需要为用户提供无线网络认证功能外，还能够利用该页面

作为向来访用户提供一些信息服务的窗口，能够针对学校网络服

务的特点，提供一些个性化的服务内容，如：无线网络使用指

南、学校介绍、公共信息查询等。由于这些服务内容是一些公开

的信息，需要在用户认证之前就应该先提供给用户访问，这能够

配合WNCAC的OpenGarden功能，使这些公共信息资源向每个

无线用户敞开，便于用户快速方便的获取这些信息；XXX品牌无

线网络控制控制器支持内置PortalServer,还支持个性化的门户

(Portal)业务，能够定制WEB认证的首页页面，个性化的

Portal提高了学校形象和服务水平。

图:Protal页面定制

3.3.7无线用户管理平台

文档仅供参考，不当之处，请联系改正。

无线网络控制器提供功能强大的用户管理平台，能够灵活的

管理无线用户，并能够对无线用户进行分组控制，每种组别采用

不同的控制策略。例如能够将用户分为老师、学生和访客三种组

别，对于老师组中的用户能够在任何时段访问任何资源而不受限

制；对于学生组中用户能够对其允许上网时间段、允许访问的网

站、允许使用的网络协议、服务等进行控制；对于访客组中月户

能够限制其访问校园网中某些资源，对其访问Internet不受限制等

等。

OCAMARWelcometoOcamarWNC

I->♦用尸注，

-¥:现量

SSPM8：褊而5-IMtt：

还"奂fiB-UM-[

器

it•方式：■第方a：[

霹

等产《男：…•…MKtt：

翼

■是人：♦.心：■«•开户・

±HSR

-百行，妒回口碰方丈：3>•农/

-fUJ穆太印》画画

■

-礴触¥门

次w2004OCAXIARAURIJMR”・I、<4

1»⑶1325”1T21<

用户管理平台界面

3.3.8基于用户的策略控制

在校园中组建无线局域网，其目的是为教师和学生提供一个

移动、灵活、方便的教学环境，为了能够让校园无线网最大程度

上为教学活动服务，利用无线网络控制器上强大的用户控制管理

文档仅供参考，不当之处，请联系改正。

策略，能够对用户进行如下几个方面的策略控制：

1.对用户进行分级权限控制，例如能够根据学校领导、老师

和学生将用户分为几个群组，不司群组所能访问的网络资

源进行限制，从而能够保护学校内部一些重要资料免遭非

法人员窃取

2.能够屏蔽一些有着非法和不健康内容的网站

3.上网时段进行控制，例如在教学时间段能够让用户上网，

而在非教学期不能允许使用网络，这样的控制策略能够更

好的、高效的利用网络设施和资源

文#®MID故1龄WKKG工JUD■口出■加0

2-00w•z•/.夕•,enA-•4-<•stn-«，后•出CD•⑥广

QQ□*B9v□械，】g他931夕lW200TcgRw“5sce*JQ•Q•

OCAMARWelcometoOcamarWNC

■第C®1

■搜人应■■t名咏・tta又允许修J“G江

v«UAi£团Mac-Usor再尸W马MVXTW7120：60tmo：0C6056coOCOO

■ACUS1

01dwIWWW102^00

KLldffg)T

UDHSFrwcy

0MiisaI12Tp1为3kppTP«力］

c、s・

0Tvrral-5ervef-€tT皿fic馀让3OQQQ如星用广为UTPjEtTMJTg

3

n*KlE)CancirrontVwWPUWWi0W朔•！

UNKI

fl<L<han见MIS*冏自定义格式化的•收力：礴式;

过量改制0WM9-]TH

助止•力”G尤洋女IWCO禁止HWJI看豺市」

・用户E

用尸药尸«h»

用户费自修改

口碘刁一臼二（3三£）0叵五口六口日TCPv

用户He

♦名•，

・鼻快流

・务历史

G收中尸!5副

1RKE

Corngbt^2004OCAMARAlRi加sR«<ened

41分2-1931ST13.250字基194B_l_