小区无线宽带WIFI深覆盖小区方案

1、毕业设计无线宽带覆盖小区规划区W学生姓名刘畅学 号系 部电信工程系专 业通信技术班 级07通信技术（5）1指导教师朱宝强I-FI无线网网络规划方案一、现场介绍及分布图小区总面积34500平方米，房子规划成长方形，南北约150米，东西约230米，共有楼房十二栋，大概有500户住户，容纳人口1200人。现已基本竣工交付业主使用。本方案针对该小区做WI-FI无线网络覆盖。在覆盖范围内小区住户可以通过无线网络设备收到通信公司提供的宽带互联网信号 ,实现无线数据、语音、视频监控的宽带接入，满足住户的语音、数据、视频监控的需求。该小区楼宇结构为砖混结构，楼型结构为长方形，为6层建筑，无线环境良好，本方案针

2、对覆盖区域采取深度覆盖。二、实际规划为实现该小区楼层的深度覆盖，整个小区安装六台ODU-8300设备，4台9500无线网桥。六台8300，分别安装在5、6、7号楼的楼顶两侧，用抱杆固定，每台8300用功分器分出两只2.4G覆盖天线斜向覆盖对面的楼宇用户（如图一）。在5、6、7号楼顶中部用抱杆固定好9500无线网桥，网桥和本楼的8300用超五类双绞线链接。楼顶的9500分别与移动踏上的9500对接，实现数据从移动塔上传递到8300无线AP上，然后8300无线AP对最终终端用户进行覆盖，从而实现用户的无线数据业务需求。采用无线方式，架设方便，运行、维护成本低，周期短。本方案的设计综合考虑经济性、施

3、工可行性、频道配置等多方面因素，力求做到最佳无线覆盖。覆盖效果见下图图一三、2.4GHz频段室内覆盖方案说明如上图所示，蓝红色的表示为ODU-8300的室外型无线AP覆盖小区。所有无线AP的ESSID设置都相同，采用3、6、9等不同的频点进行无线覆盖。用户在AP覆盖的有效范围内通过无线网卡以无线形式连接AP，就可以实现连接INTERNET。四、用户认证管理核心技术（PPPoE、WEB、DHCP）解决方案认证可称AAA，包含三个方面： Authentication鉴别、Authorization授权、Accounting计费。Radius协议是用来解决AAA的，现在用得最广，成为事实上的标准。

4、用户主机与网络设备的通信方式：大致可分PPPoE、DHCP/DHCP+、WEB方式；后面会专门介绍这三种方式。 网络设备与AAA Server的通信协议：采用标准的Radius协议，为实现增强功能，可采用扩展的Radius协议，即俗称Radius+；网络设备与AAA Server通过Radius协议的认证的简要过程如下： 1) 网络设备向AAA Server发出Access Request包，其中包含用户的账号、密 码、端口号、埠类型等； 2) AAA Server向网络设备回送Access Response包，其中包含用户的合法性和用户的一些设置，如IP地址，屏蔽，DNS server，上网

5、带宽，上网时段等；3) 网络设备不断向AAAServer发送计费消息包，这些消息包可以反映出上网开始时间，上网结束时间，输入输出流量，Session ID、账号等； 三种认证方式在无线宽带接入中，按用户与网络设备之间的通信方式，可将认证分为以下三种： （1）PPPoE（包PPPoA、PPTP等） （2）DHCP/DHCP+ （3）Web认证 1、PPPoE认证 通过PPPoE（Point-to-Point Protocol over Ethernet）协议，服务提供商可以在无线以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。(说明:PPPoE（Point-to-Point P

6、rotocol over Ethernet）协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。) PPPoE的建立需要两个阶段，分别是搜寻阶段（Discovery stage）和点对点对话阶段（PPP Session stage）。当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE的对话号（SESSION_ID）。 在PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户 - 服务器的关系。在搜寻阶段的进程中，主机（客户端）搜寻并发现一个网络设备（服务器端）。在网络拓扑中，主机能与之通信的可能有不只一个网络设备。在搜寻阶段，主

7、机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成，主机和网络设备将拥有能够建立PPPoE的所有信息。 搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立，主机和网络设备都必须为点对点对话阶段虚拟接口提供资源。PPPoE一般用于卡号用户，卡号用户的账号和密码是通过PPPoE拔号软件输入的，费用也从输入的账号上扣。 PPPoE认证主要利用PPP的一些属性，与它类似的认证方式还有PPPoA、PPTP、L2TP等。相比之下，PPPoE应用最普遍。 2、DHCP认证 DHCP的认证过程如下： 用户主机上电，发出DHCP Requst广播包；该包到达网络设备，网络设备得到用户的Vlan

8、ID，根据Vlan ID查表得到用户的认证账号。将认证账号送到Radius Server认证。Radius server返回认证回应。 用户上internet，有流量流经网络设备。网络设备检测到用户的上网流量，向Radius server发计费开始的消息包。 关机时，用户主机会发出DHCP Release包；该包达到网络设备，网络设备将向Radius server发一个终止计费的消息包，该包同时也包含了用户的流量。计费结束。 DHCP认证适合固定用户。3、Web认证 认证步骤如下： 用户机器上电启动，系统程序根据配置，通过DHCP 由ISN做DHCP-Relay，向DHCP Server 要I

9、P地址（私网或公网）； ISN为该用户构造对应表项信息（基于端口号、IP），添加用户ACL服务策略（让用户只能访问portal server和一些内部服务器，个别外部服务器如DNS）； Portal server向用户提供认证页面。在该页面中，用户输入账号和口令，并单击log in按钮。也可不输入由账号和口令，直接单击Log in按钮； 该按钮启动portal server上的Java程序，该程序将用户信息（IP地址，账号和口令）送给网络中心设备ISN； ISN8850利用IP地址将收到用户的信息，对用户的合法性进行检查。便于以后的合法性检查。如果用输入了账号，则认为是卡号用户，使用用户输入的

10、账号和口令到Radius server对用户进行认证。如果用户未输入账号，则认为用户是固定用户，网络设备利用Vlan ID（或PVC ID）查用户表得到用户的账号和口令。将账号送到Radius server进行认证； Radius Server返回认证结果给网络设备； 认证通过后，修改该用户的ACL，用户可以访问外部因特网或特定的网络服务。 用户离开网络前，连接到portal server上，单击断开网络按钮。系统停止计费，删除用记的ACL和转发信息，限制用户不能访问外部网络。 在以上过程中，要注意检测用户非正常离开网络的情况，如用户主机死机，网络断掉，直接关机等五、无线网络安全防范措施WiF

11、i-City针对无线网络的各个环节制定出了一系列安全方案，有效防止非法终端接入、虚假的AP、中途数据截取等安全问题，同时灵活地结合了 WEP、VPN、IEEE802.1x 等多种网络安全技术手段 ，进一步加强了无线网络的安全性能。完备的技术解决方案，为您构建安全的无线网络提供最大的便利。安全防范点1：未经授权用户的接入对应措施：使用各种先进的身份认证措施，防止未经授权用户的接入由于无线信号是在空气中传播的，信号可能会传播到不希望到达的地方，在信号覆盖范围内，非法用户无需任何物理连接就可以获取无线网络的数据，因此，必须从多方面防止非法终端接入以及数据的泄漏问题。身份认证措施:1) 利用MAC阻止

12、未经授权的接入 每块无线网卡都拥有唯一的一个MAC 地址，为 AP 设置基于 MAC 地址的 Access Control（访问控制表），确保只有经过注册的设备才能进入网络。2) 使用802.1x端口认证技术进行身份认证 使用802.1x端口认证技术配合后台的RADIUS认证服务器，对所有接入用户的身份进行严格认证，杜绝未经授权的用户接入网络，盗用数据或进行破坏。(图四 无线网络安全环节分析)安全防范点2：网上邻居的攻击对应措施：用户隔离技术WiFi-City HotSopt AP特有的用户隔离技术(图五)，避免网上邻居的攻击在某些场合（特别是在公共场合），用户信息的私密性显得尤为重要，WiF

13、i-City HotSopt AP提供的用户隔离技术，采用数据报文传送地址分析的方法，这种方法可以控制在无线网络覆盖区域中，网上邻居之间不安全的访问，进而避免网上邻居的攻击。 (图五WiFi-City HotSopt AP 提供的用户隔离技术，避免网上邻居的攻击)安全防范点3：非法用户截取无线链路中的数据对应措施：使用先进的加密技术使用先进的加密技术，使得非法用户即使截取无线链路中的数据也无法破译。1) 基本的WEP加密WEP是IEEE802.11b/g无线局域网的标准网络安全协议。在传输信时， WEP可以通过加密无线传输数据来提供类似有线传输的保护。在简便的安装和启动之后，应立即设置WEP密

14、钥。2) 使用更为先进的加密技术TKIP使用更新的加密技术，如TKIP，WiFi-City的AP只需要通过简单的软件升级就可以完成对TKIP的支持，进一步加强无线链路中数据的加密性能。安全防范点4： 非法网卡的接入对应措施：利用对AP的合法性验证以及定期进行站点审查，防止非法网卡的接入 在无线AP接入有线集线器的时候，会遇到非法网卡的攻击，非法安装的AP会危害无线网络的宝贵资源，因此必须对网卡的合法性进行验证。WiFi-City HotSpot AP支持的IEEE802.1x技术提供了一个客户机和网络相互验证的方法，在此验证过程中不但AP需要确认无线用户的合法性，无线终端设备也必须验证AP是否

15、为虚假的访问点，然后才能进行通信。通过双向认证，可以有效的防止非法AP的接入。对于那些不支持IEEE802.1x的AP，则需要通过定期的站点审查来防止非法AP的接入。在入侵者使用网络之前通过接收天线找到未被授权的网络，通过物理站点的监测应当尽可能地频繁进行，频繁的监测可增加发现非法配置站点的存在几率，选择小型的手持式检测设备，管理员可以通过手持扫描设备随时到网络的任何位置进行检测。安全防范点5： 企业内部未经授权的跨部门使用对应措施：无线VLAN技术混合MAC限制利用无线城先进的无线VLAN技术混合MAC限制防止未经授权的跨部门使用并利用ESSID+隐藏AP技术进行部门分组，有效地避免任意漫游

16、带来的安全问题，MAC地址限制更能控制连接到各部门AP的终端，避免未经授权的用户使用网络资源六、无线网络安全提示 无线网络的安全技术正在日益完善，多手段多层次的安全防范措施使得无线网络越加坚固。当然，光有先进的技术是不完全的，如何利用现有资源结合当前环境来设计出一个安全实用的无线网络是构建无线网络的一个重要环节。WiFi-City 根据多年的行业经验结合丰富的技术知识 ，为构建安全的无线网络提出了专业的设计目标以及注意事项，是您架设无线网络极有价值的参考资料。要设计安全的无线网络，在架设无线网络环境时，需要考虑到以下的一些因素：注意AP摆放的物理位置 由于无线信号是在空气中传播的，因此它的界限

17、并不象有线网络那么明确，信号随时会存在于特定范围以外。从物理安全角度考虑，AP的摆放位置需要通过专用仪器进行测量，要尽量减少无线信号泄漏到网络范围以外的区域。AP的控制和管理当一个无线网络拥有多个AP时，如何对这些AP进行管理和监控就显得 十分重要，因为如果没有一个合理有效的AP管理系统，将会造成网络安全缺口，给攻击者有机可乘。 WiFi-City 为了提供更好的 AP 监控管理，提供了AP 集群管理系统：AirPanel Pro 系统，该系统可以对AP进行扫描、管理，以及组群管理、监控设置、日志管理、系统设置等功能，帮助网管人员集中方便地管理AP，协调整个无线网络的安全运行。AirPanel

18、 Pro 系统可以对AP进行扫描、管理，以及组群管理、监控设置、日志管理、系统设置等功能用户身份验证和计费管理在设计无线网络时，必须考虑到无线网络接入有线网络资源的认证和授 权。大公司的远程用户常常通过RADIUS（远程用户拔号认证服务）实现网络认证登录。企业的IT网络管理员可以将无线局域网集成到已经存在的RADIUS架构内来简化对用户的管理，这样不仅能实现无线网络的认证，而且还能保证无线用户与远程用户使用同样的认证方法和帐号。 简化网络安全管理：集成无线和有线网络安全策略无线网络安全不是单独的网络架构，它需要各种不同的程序和协议。制 定结合有线和无线网络安全的策略能够提高管理水平，降低管理成

19、本。例如，不论用户是通过有线还是无线方式进入网络时，都采用集成化的单一用户ID和密码。不能让非专业人员构建无线网络尽管现在无线局域网的构建已经相当方便，非专业人员可以在自己的办公室安装无线路由器和AP，但是，他们在安装过程中很少考虑到网络的安全性，这就意味着会出现网络安全漏洞。因而，在没有专业系统管理员同意和参与的情况下，要限制无线网络的构建，这样才能保证无线网络的安全。 七、ODU-8300产品简介ODU-8300是新一代智能无线网状网路由器，它能为您提供快速、经济、可靠的数据传输途径，满足您日益增长的数据传输要求。 施工迅速便捷：免去了挖沟布线的建设周期和可观的维护费用，更可以到达有线连接

20、无法到达的位置，具有自然灾害性和突发事件快速响应的能力。在比较偏远的监控环境（如森林监控）中，ODU-8300可以选配铅酸蓄蓄电池组及太阳能电池板进行供电。 性能卓越：基于IP技术、可传输语音、视频、图象、INTERNET等多种数据格式。速率高达54兆比特/秒，对于720576的DVD画质，可同时传输10路以上。ODU-8300遵循802.11a/b/g标准,可直接连接到WLAN设备,比如您所熟悉的基于WIFI的无线设备和。 业界领先的网状网组网方式：除了能够支持传统的点对点，以及点对多点的组网方式外，ODU-8300在地形复杂的环境中可以组成网状网。网状网结构中的每个点上的SPEEDLAN都

21、是相互联通的，即使一路连接出现中断，仍可通过其它路径跳转，且设备本身设计为收发一体还兼备有中继功能，所以说ODU-8300是一个功能强大智能化的传输设备。界面强大的网管软件，即使非无线专业的人士也能够轻松完成对设备的配置 先进的OFDM抗干扰技术以及硬件128位AES加密技术：抗多径干扰能力强，可绕过障碍物传输。内置128bit的AES硬件加密芯片加密，理论上几乎不可能被破解。 凡是需要数据传输的地方，ODU-8300无线路由器都将能够满足您的需求无论是安防监控、应急通信、无线互联网及IP话音还是海关贸易港口的进出控制、水文/油井数据采集、仓储运输、政府/公安/军事机关、奥运安全，我们都将竭诚为您提供最可靠高效的服务。 ODU-8300产品特点l ISM 2.4GHz IEEE 802.11a/b/g l DSSS/OFDM技术 l 11/54/108Mbps无线局域网(软件可调) l 实际速率最高可达45Mbps以上 l AP模式覆盖范围室外可达3公里 l 网桥模式可达30公里以上传输距离 l 0.5W输出功率(功率软件可调) l 采用WEB网页式简化管理 l 广泛操作温度从-40到65C l 支持802.1x认证系统 l MAC地址控制 l 152bits的wep加密 l 支持VLAN终端用户隔离 l 支持客户端连结速率控制 l 支持I