校园无线局域网方案

1、校园校园 无线局域网解决方案建议书无线局域网解决方案建议书 北京信息有限公司北京信息有限公司 20082008 年年 9 9 月月 目目 录录 一、无线局域网系统建设需求.3 1项目背景.3 11 扩展网络信息点数量需求.3 12 网络教学需求.4 13 远程教学和视频会议需求.4 14 建设数字化信息大学需求.4 15 无线覆盖范围需求.4 二、无线局域网设计原则和技术需求.7 21 遵循标准.7 22 安全可靠.7 23 可扩展可升级.8 24 易管理易维护.8 25 技术需求.8 三、灵动 WIFI 技术特点.9 31 无线局域网系统架构.10 311 先进的无线局域交换机.10 312

2、 灵活的组网方式.10 313 优秀的扩展性.10 314 无需更改有线网结构.10 315 方便地无线网规划设计.11 32 无线局域网的网络管理.12 321 集中式管理.12 322 无需安装客户端软件.12 323 RF 智能管理.12 324 多个 SSID 结构.13 325 故障自动恢复.13 326 网络负载均衡.13 327 无线终端定位.13 33 无线局域网系统的安全管理.14 331 集中的安全管理.14 332 多种用户认证方式.14 333 独特的无线访问控制.14 334 安全的 AP 技术 .15 335 无线接入点安全侦测和保护.15 336 无线网络入侵侦测

3、.15 34 带宽控制与服务质量保证 QOS.16 343 无缝的三层漫游.16 四、无线组网设计.16 41 无线局域网的组网设计.16 42 多业务区分设计.17 43 网络与用户管理.18 44 无线安全性设计.18 45 移动漫游设计.19 五、无线局域网系统建议.20 51 无线覆盖建议.20 52 无线组网实现.22 53 网络用户与应用管理实现.23 54 多媒体与网络教学以及音视频应用的实现.24 55 无线网的安全系统实现.24 5、6 无线控制器的配置实施建议.25 561 AP 的 VLAN 和无线用户的 VLAN.25 562VLAN 和无线 SSID 的关系.25 5

4、63 无线局域网-不需更改局域网路由.26 六、 设备配置清单.27 附件一、无线产品简介.28 一、无线控制器 7605.28 二、AQ2010 -AP.28 三、AQ3010 -AP.29 一、一、 无线局域网系统建设需求无线局域网系统建设需求 1项目背景项目背景 此次项目是针对所属的建筑群做无线局域网的覆盖，满足数据、语音和视频多方 面的网络应用需求。无线网络的覆盖重点为行政楼，图书馆、宿舍楼以及部分教学楼 和宿舍。具体需求如下： 11 扩展网络信息点数量需求扩展网络信息点数量需求 在建设时所安装部署的有线网络信息点数量与实际使用的需要缺口较大，难以满 足学院的正常教学、办公、各种会议以

5、及留学生和来客使用网络的实际需求。如果采 用有线网络扩充而进行的网络布线工程会对墙壁和顶棚做大量的施工，影响内部的外 观。 希望通过采用无线局域网覆盖方式满足目前和将来的需要，并减少有线网络布线 带来的工程难度、施工量和工程费用。本项目的建设目的是采用无线局域网替代正准 备扩展的有线局域网，而不是简单地作为有线网的延伸。 12 网络教学需求网络教学需求 有多个多媒体教学教室和计算机网络教室，由于在建设时这些房间的使用功能考 虑，目前有线网络环境教室已经不能满足广大师生网络接入，如采用有线网络扩充方 式还需要在这些教室布大量网线，其工程难度很大。因此，建议采用无线局域网覆盖 方式可以很方便、灵活

6、地配合教室的布局和计算机接入网络的位置。 13 远程教学和视频会议需求远程教学和视频会议需求 的主楼以及学术会议中心、会议厅（室）召开各种类型的会议和学术活动不断增 多，在召开会议准备过程中，与会者常常提出需要提供临时性的无线网络环境，以便 使用视频会议系统或通过互联网进行具有音视频内容的远程多媒体传输、演示和交互。 14 建设数字化信息大学需求建设数字化信息大学需求 经常接待来校访问的国外学者和专家以及参加各种会议和学术活动的来宾，来宾 们随身携带的笔记本电脑需要随时随地接入 Internet 处理日常事务，因此，无线网络 要满足来宾移动接入 Internet 以及 WiFi-VoIP 语音

7、通信需求。 15 无线覆盖范围需求无线覆盖范围需求 根据无线网络需求要求无线局域网的覆盖区域的如下所示： 宿宿舍舍 食食堂堂 教教学学楼楼 图图书书馆馆 广广场场 草草坪坪 1、教学大楼位于学校东南位置，高 6F，双面结构，楼内中间过道较长，约 90 米，整 个大楼以普通教室为主，另有 8 个阶梯教室。 2、图书馆位于学校中心位置，楼层为 5 层，除阅览室外还有部分办公室。本次只考虑 对图书馆内办公室无线覆盖，同时需要对图书馆周边广场进行无线覆盖。 3、学生宿舍楼均为双面结构，楼长约 100 米，楼宽约 12 米，高 6 层，每层 40 个南北 相对的学生房间，每栋 240 个房间，要求对全楼

8、宿舍无线覆盖，共计 8 栋宿舍楼。 4、食堂为三层不规则建筑，本次只考虑在学生和教师食堂大厅进行室内无线覆盖。 二、二、 无线局域网设计原则和技术需求无线局域网设计原则和技术需求 21 遵循标准遵循标准 无线局域网采用的技术支持应为国际标准或业界标准，不使用某个厂商的专用技 术和协议，以保证网络设备的互通性，有利于网络的投资保护。 根据的需求和无线网建设与设计原则，建议采用公司的第三代无线交换局域网系 统（以下简称灵动 WIFI） ，完成无线局域网覆盖项目。 22 安全可靠安全可靠 在网络安全性方面，无线局域网系统要具有与有线局域网同样要求的安全防护措 施，无线网的安全性主要从以下几个方面考虑

9、： （1）接入认证：具有支持多种用户认证方式； （2）采用具有用户状态访问控制的防火墙技术； （3）具有数据在无线信道上传输的 VPN 机制； （4）具有无线网的防病毒机制 （5）具有无线电波监控能力，能提供无线入侵侦测和无线终端位置的追踪功能。 具有提供智能化的无线电波自动调控与切换能力，以确保单个 AP 接入点在发生 故障时自动切换到邻近 AP，不会影响无线的接入服务；具有支持热备份的无线控制器 N+1 的冗余备份机制。 23 可扩展可升级可扩展可升级 通过一个集中的无线局域网网管平台实现对所有的 AP 功能的配置和管理，AP 既 可以提供无线接入，也可设置为无线入侵监控、无线终端追踪定位

10、、无线电波传输分 析的工作模式。同时整个系统可以根据用户的需要进行规模上的扩展，扩展后所有功 能和管理的模式保持不便。 24 易管理易维护易管理易维护 在网络管理方面，必须具有集中控管、智能调控、自动恢复、负载均衡等实用功 能，使所建的无线网络可以适应多种环境的变化，可动态地保证良好的应用效果。同 时，还应具有远端 AP 数据进行采集、远程监控、终端定位等功能，支持多 SSID，可 以方便的把语音、视频以及其他类型的数据的应用进行分开管理。 25 技术需求技术需求 根据无线局域网系统建设要求，无线局域网系统建设原则如下： 1、采用 WLAN 交换技术及 WLAN 交换体系结构。 2、充分利用现

11、有网络结构与资源，不单独组网，AP 就近接入有线网络（最近的 交换机） ，并且不改变原有网络结构以及交换机配置。 3、采用集中控管的组网方式，集中控制管理所有的 AP。 4、AP 的供电可以不单独拉线，采用 POE 供电的方式。 5、采用先进的 WLAN 网管系统管理校园局域网。 6、充分考虑 WLAN 的安全性，采用先进的 WLAN 安全技术保障。 7、无线局域网系统要支持故障热备冗余能力。 8、无线局域网系统要能方便和灵活地调整与扩充。 三、三、 灵动灵动 WIFI 技术特点技术特点 灵动 WIFI 技术是由公司独创的 WLAN 交换技术，在传统的 WLAN 交换技术中，所 有的数据流量都

12、要集中到 WLAN 交换机或控制器处做统一的数据交换，而此种解决方案最 大的问题是，在数据流量很大时，WLAN 交换机或控制器的压力会增大。当前流行的 WLAN 接入技术 802.11g 最快速率只有 54 M，所以 WLAN 交换机或控制器的性能瓶颈还 未充分显露出来，而在不久的将来当 802.11n 技术大规模开始使用时，这一问题会变得突 出而无法解决。802.11n 技术最高支持 600M 的接入速率，假设一个 WLAN 交换机或控制 器在有 200 只 802.11n AP 接入时，它的 WLAN 交换量以达到 120G，这一数字是远远超过 目前绝大多数 WLAN 交换设备的最高处理能

13、力的。 针对这一问题，公司提出了灵动 WIFI 的技术理念，这一技术理念的核心思想是，用 户管理数据与用户转发数据分离，受控数据与非受控数据转发分离，网络管理数据与网络 业务数据分离。 针对不同的用户、不同的数据、不同的业务采取不同的控制策略，将非受 控的数据流量采用本地转发的方式直接转发，而受控数据流量需流经 WLAN 交换机进行处 理。这样大大减小了 WLAN 交换设备的负荷，避免了 WLAN 交换设备成为网络中的瓶颈 。 在无线网融合到有线网络方面，灵动 WIFI 所有的三层路由穿透技术可以不更改原有 线网的路由设定，使得无线网络的规划和实施非常方便。 在无线网络管理方面，灵动 WIFI

14、 实现真正的集中控管，包括独有的 RF 智能调控， 自动恢复、负载均衡功能，使无线网可以适应无线环境中的电磁波变化，动态自动调节到 最佳应用效果；还可以实现远端 AP 状态监测，方便实现对 AP 的管理；具有多 SSID 支持， 实现了对无线数据、语音和视频的应用带宽管理。 在无线安全性方面，灵动 WIFI 具备多种用户认证、 、基于用户的状态防火墙、VPN 加密机制、无线入侵侦测、无线接入病毒防护功能以及集中的安全管理。 在无线音视频应用方面，独有的基于每个用户的带宽控制和 QOS 保证，可以确保语 音和视频业务的实时性，先进的无缝三层移动漫游，使得 VoIP 以及 Wi-fi 手机可以自由

15、的 在任意 AP 间切换。 31 无线局域网系统架构无线局域网系统架构 311 先进的无线局域交换机先进的无线局域交换机 公司无线系统采用了 Wireless Switchthin AP 构架，将第二代分散在 AP+AC 上的网 络管理和安全管理功能转移到集中的 WLAN 交换机中实现，同时增加了许多无线局域网 全新的功能。 诸如：无线安全性、AP 管理控制、RF 站址监测、无缝移动漫游，特别是对语音、视 频业务的支持有专门的 Qos 保证，使得 VoWlan 应用的 Wi-Fi 技术应用飞速发展。 312 灵活的组网方式灵活的组网方式 产品可以根据从小型的无线网规模（几十个 AP） ，到大型

16、无线网规模（几百个 AP， 甚至上千个 AP） ，都可以采用集中或者分布式的组网方式进行灵活的组网。并可以提供冗 余热备份机制，保证系统的高可用性。 313 优秀的扩展性优秀的扩展性 无线网络具有非常方便扩展的特性。在组建无线网时必须要考虑系统的扩展性。在网 络系统扩展性方面，的一台 7605 控制器可灵活地对从 32 个 AP 扩充到支持 1024 个 AP， 因此扩展 AP 非常容易；从网络管理扩展性方面, 的 Master/Local 方式， Master 交换机可 以同时控制管理 32 台的 Local 交换机，因此增加交换机也非常容易管理。 除了 AP 数量之外，怎样控管大量的 AP

17、 和部署也是扩展性的重要考虑因素。要妥善处 理数目众多的 AP 在校园网内正常远作，包括无线电波协调、无线用户的带宽和安全访问 控管以及其它各种各样的无线增值服务都可以通过系统的网管系统实现。 314 无需更改有线网结构无需更改有线网结构 实现无线局域网接入，需要在现有的局域网上做很多路由的修改，这当然是网管人员 不愿意做的事情，采用系统无需更改现有的有线网结构。 由于无线用户的传输是通过 AP 内已建立的 capwap 隧道和无线控制器互连的，所以 实际上无线用户的 VLAN 是无须在接入层和汇聚层存在。无线用户的 VLAN 是可透过交换 机和骨干交换机互连互通。这样非常方便在大学校园里实施

18、无线局域网，同时也非常方便 进行扩展。 的无线控制器可以安装在学校的中心机房，而 AP 则可以放置于校园的任何地方，无 需用二层设备连到无线控制器，或者划分 VLAN；其他厂家则需要二层交换机连接或者划 分 VLAN，否则只能将认证点下放到 AP 上，导致整体性能的降低和漫游特性的缺失。而 不用划分 VLAN，对于无线网络的管理带来极大的便利性。 对原有的有线网路由器不需要改变路由结构，减轻了由于无线网的建设而对原有网络 的结构改变的工作量。 315 方便地无线网规划设计方便地无线网规划设计 在规划一个无线局域网络时，规划设计者一项重要的工作是要考虑安装多少 AP 可以 满足覆盖？应在哪些位置

19、安装 AP，安装后电波的覆盖范围，信号在不同位置的强弱等，要 完成此项工作，通常做法是规划设计者要在现场做大量的测试工作，通过经验去估算位置 和数量，其工作量非常之大，无法预先规划每个 AP 的电磁波和功率参数以及 AP 之间的覆 盖相交范围。 开发了 RF Planning 工具，让规划设计者在无线局域网组网之初采用 RF Planning 在计 算机上做规划设计，估算在要求的覆盖面积上 AP 应安装的物理位置所在。使用这套工具 时，在数字化的校园建筑图纸上设定无线所覆盖范围如那几个楼层和面积大小，输入有关 无线覆盖和传输模型的相关参数，如无线终端的平均带宽，AP 和 AP 之间覆盖面等。R

20、F Planning 自动计算，然后显示出 AP 在图上的安装坐标位置和无线电波的覆盖范围。安装 人员就可以根据图纸上所显示的位置安装 AP，在无线网安装完成后，网管人员通过 RF 规 划自动校准功能， 交换机可以自动调节无线网上所有 AP 的频道与功率参数以达到一个最 优性能的运行状态。 在无线局域网系统投入运行后，网管人员可通过 RF Planning 随时监测网内的每个 AP 的无线电波实际的运行状态，及时掌握每个 AP 的工作状态和故障诊断，及时做出调整策 略。RF Planning 为无线网的规划设计、调试以及维护提供科学化和规范化的管理。 32 无线局域网的网络管理无线局域网的网络

21、管理 321 集中式管理集中式管理 网络数据中心管理一个具有规模的无线局域网（通常在几十个 AP 以上）是一件非常 头痛的事情。从 RF 覆盖面，带宽，用户的认证，以及接入的安全都要考虑。由于传统的 无线局域网是单纯基于 AP，因此对于无线网络的管理，其大量工作是要在每个 AP 上进行 设置和更改。其工作量在有一定数量 AP 的无线网里是非常大和烦琐的，而且无线局域网 是一个整体系统，AP 之间必须互协调工作，单独改变一个 AP 参数和配置会引起 AP 之间 的无线电波干扰，用户漫游重认证和授权也可能会产生问题。 灵动 WIFI 具有非常强的无线局域网集中管理功能，通过无线控制器管理整个网络，

22、 网管人员只需在无线控制器就可开通、管理、维护所有 AP 设备以及移动终端，包括无线 电波频谱、无线安全、接入认证、移动漫游以及接入用户。 322 无需安装客户端软件无需安装客户端软件 灵动 WIFI 无需为每一个移动用户终端安装无线接入软件， 的认证可以基于 WEB 页 面认证，认证只需用户打开浏览器就可以登陆。采用 CAPWAP 隧道技术，可以透明地穿 透在无线控制器和 AP 之间的任何三层网络交换设备实现 WEB 认证。 323 RF 智能管理智能管理 系统的 RF 智能管理可以自动对网上所有 AP 的无线电波进行管理。 当无线局域网经过自动校准的调整后而正式投入网络运作时，无线网上所有

23、的 AP 都会 在设定的时间内自行扫描其它的无线频道。无线电波扫描是指 AP 从一个电波频道跳到另 一频道时，如 Ch 1 到 Ch 2 到 Ch 3.，由于扫描的速度非常快，所以对于在线的无线用 户（指连接到 AP 上在同一频率上的无线终端）的传输过程是不受到影响地。当 AP 停留在 一个频道时，它会把在这频道上收到的无线电波信息转送回无线控制器。 无线控制器可以对整个无线网上的电波情况侦测和记录。当某一覆盖范围内的无线电 波改变，如出现干扰 AP 所发出的电波或其它应用所发出的电波等，无线控制器就会把所 获取的无线电波资料做分析，以确定是否需要调整这范围内 AP 的无线电波。 324 多个

24、多个 SSID 结构结构 灵动 WIFI 的多 SSID 结构和和实现技术使得在无线局域网系统的各种多媒体应用服 务（数据、语音和视频）在 Qos 上表现非常出色。在一个无线局域网内可以设置多个 SSID，例如一个 SSID 可给学校内部教师、工作人员以及学生所用，而另一个可给外来的 访问客户专用。所以当无线终端在这个 AP 覆盖范围内启动时，它就能同时看到多个 SSID。SSID 的另一用途是可让无线终端以不同的安全认证和加密方式入网。 325 故障自动恢复故障自动恢复 传统的无线网在有 AP 损坏或失效时，这个 AP 的覆盖范围就会失去了无线连接。遇 到这种情况的一般做法就是把现场失效的

25、AP 换掉。但由于大多数的 AP 都是设置在外面 (不是在机房)，所以不一定能马上作更换，现场的环境也有局限性，不一定很容易维护人 员即时做出更换(很多的 AP 都是安装在天花板上)。 系统具有自动恢复的功能，实时侦测出网上 AP 是否有失效，当发觉有 AP 出现故障时， 交换机能会自动调节邻近的 AP 的功率（覆盖范围）来接替失效 AP 的工作。 326 网络负载均衡网络负载均衡 系统可在一个 AP 的覆盖范围内把无线用户或终端分散连接到附近的 AP 上。在一个 AP 的覆盖范围内，无线连接的带宽是共享，即无线终端数目越多，每个终端所能分享的带 宽就越小。要确保每个无线终端的传输就必须能限制

26、一个 AP 上无线终端的数量或 AP 带宽 传输总和或和每个无线终端带宽上限。负载均衡功能可以有效的缓解单个 AP 的负担，有 效的利用临近的 AP 做接入，从而确保视频应用的质量得到保证。 327 无线终端定位无线终端定位 网管系统可以跟踪和定位无线终端的位置，诸如无线接入的电脑、PDA 和 Wi-Fi 手 机等。采用的无线定位模式称为三角定位，无线定位的准确性可达到 2.5 米以内，无线定 位的条件是所寻找的无线终端附近须有最少三个的 AP 在范围内。这是传统无线局域网所 不能做的，有些单位如医院就是采用了无线定位技术来取代传呼机在医院内寻找医生、病 人等。大学对非法 AP 的定位，可以成

27、为学校网络中心的管理人员提供清楚非法 AP 有效手 段，可以方便快捷的清除非法 AP 的网络接入。可以保证校园网络接入的安全可靠性。 33 无线局域网系统的安全管理无线局域网系统的安全管理 331 集中的安全管理集中的安全管理 灵动 WIFI 的安全管理是将防火墙、VPN、安全认证、防病毒、无线入侵监测以及 RF 电磁波管理等多项安全功能汇聚到无线控制器上来完成的，解决了传统的无线网对安全的 分散管理（AP、AC）和能力，给用户带来的不安全感，摆脱了对有线网安全的依赖性。 332 多种用户认证方式多种用户认证方式 在灵动 WIFI 中，一个无线用户进入无线网以后，会拿到一个最基本的入网权限，这

28、 个权限不容许用户访问任何网段，只让用户通过 DHCP 获取 IP 地址、传送 DNS 协议数据 包，通过认证以后才可以接入无线网。 灵动 WIFI 支持目前各种用户认证的方式（802.1X、WEB 认证、MAC、SSID、VPN 等） ，校园网内的用户可以根据需要方便选择。 333 独特的无线访问控制独特的无线访问控制 用户状态防火墙是无线控制器的独特功能，它本身就是针对无线接入的特性而设计。 传统的网络防火墙是没有用户这概念，它的保护只是基于 IP 地址或物理端口来制定防火墙 策略，所以对于没有固定接入点的无线终端，这种防火墙的功效是不大。灵动 WIFI 的防 火墙功能则是与用户认证捆绑在

29、一起，当无线用户成功通过认证后，他会获得一个预设的 用户状态防火墙，不同的无线用户有不同的防火墙策略，例如老师和工作人员可以使用更 多的服务，而学生只可以浏览网页、收发 Email 等，这样可以极大方便校园网用户的安全 管理。 334 安全的安全的 AP 技术技术 灵动 WIFI 和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过 AP，而 是在无线控制器上实现。由于的 AP 是不储存任何网络配置（IP 地址除外）和安全设置， 因此即使获得和接入进 AP，黑客也不会拿到无线网的网络和安全配置参数。 335 无线接入点安全侦测和保护无线接入点安全侦测和保护 灵动 WIFI 的 RF 侦测

30、功能和保护机制可以实时监测校园无线网覆盖区域内的所有 AP 接入情况,如相邻房间的 AP、设置错误的 AP 以及未经认可而连接到网络中的 AP。通过的 网络安全管理系统，网络安全管理人员可以及时发现是否有非法的 AP 接入，发现后可以 开启自动保护机制，阻止无线终端通过非法 AP 联接到无线网中。 336 无线网络入侵侦测无线网络入侵侦测 今天已经有很多的无线入侵和攻击的工具可从网站下载，这些工具的普及对学校、和 运营商的无线网的安全构成很大的威胁。今天绝大部分的无线局域网都没有侦测无线入侵 的功能，所以当受到像无线 DOS 攻击时，就会误以为是无线电波的信号受干扰或 AP 出现 不稳定情况。

31、灵动 WIFI 通过在网络中采用一个无线 IDS 系统，可以为网络添加一条额外 的防线。无线局域网 IDS 可以降低黑客或者恶意用户访问关键网络资源的风险。 这里有两个层面的内容： 控制层面实现非法 AP，Ad-hoc 网络、错误 RF 配置的发现与监测。在无线交换机上 存有完整的 RF 实时视图，并且，域内所有的灵动 AP 都会自动充当 Monitor AP，把 RF 信 息、非法 AP 信息、攻击信息等实时传送到无线控制器上。无线控制器通过一系列智能的 算法，给管理员提供完整的 RF 安全视图。 数据层面实现集成防火墙、无线应用控制等功能。由于采用集中式交换架构，所有通 信中的 802.1

32、1 报文都会被封装为 Capwap 数据报文传送给无线交换机处理，所以相对于传 统的自治 AP 方式，集中式的 WLAN 方式为进一步的安全策略实施提供的无限可能。针对 802.11 数据的深度内容检测（DPI） 、DDOS 攻击检查、TCP 泛洪攻击、漏洞扫描等以前用 于有线网络安全的特性都可以在无线环境中得以实施，从而确保了 WLAN 网络的双重安全 性。 34 带宽控制与服务质量保证带宽控制与服务质量保证 QOS 灵动 WIFI 的带宽管理能力使得在移动音视频应用方面表现出很强的优势。灵动 WIFI 可在每个用户的权限限制内用户无线连接的最高带宽。对于不同的 IP 服务，灵动 WIFI

33、亦 可透过无线控制器设置定义不同的 QoS 队列。例如无线语音的应用，SIP 和 RTP 协议可设 定在高的队列，而一般应用如 http、ftp 则可设定在低的队列。例如语音视频这样对于时延 敏感的业务。提供语音服务将极大以高无线网络的实际运营效果，为广大在校师生提供无 线网络服务，随着无线语音技术的发展，无线语音无线数据服务将大大方便师生的校园生 活。 343 无缝的三层漫游无缝的三层漫游 灵动 WIFI 可以支持无线接入用户在 AP、WLAN 交换机、多子网以及多 VLAN 之 间无缝地漫游，不会丢失连接，也不需要重启 DHCP。无线网络不需要对现有网络进行任 何改变就可以实现这一切。确保

34、无线语音业务可以无缝的在 AP 间漫游，而不会发生掉线， 是语音业务的质量保证。 四、四、 无线组网设计无线组网设计 41 无线局域网的组网设计无线局域网的组网设计 无线局域网系统属于大型规模的无线局域网，考虑方案的性价比，建议选用集中式组 网的方式： 在网络中心采用一台 7506 无线控制器，采用无线集中管理，全网络 AP 接受统一管理， AP 以及下面的用户按接入策略分配接入到无线控制器上。这种组网方式简易灵活并方便扩 容。当无线局域网规模需要扩大而增加 AP 数量时，可以扩展无线控制器的相应许可证， 7605 无线控制器可以平滑的从 32 个 AP 支持到 1024 个 AP。7605

35、最大可以支持到 1024 个 AP。 42 多业务区分设计多业务区分设计 从学校的用户分类与分布情况分析，用户主要分成以下几类： （1）学校教师与领导； （2）来访学者或留学生； （3）参加交流会议领导和来访人员； （4）校园一般工作人员； （5）长期租用学校办公的三产公司人员。 使用无线网络可以分为不同的无线接入业务类型。因此，在设计上采用无线局域网多 SSID 技术，设置多业务区分方式。在一个无线局域网内可以设置多个 SSID，例如一个 SSID 可给内部员工所用，而另一个可给外来的客户专用。由于用户一般把 SSID 看成 VLAN，所以它们都会惯性地以 VLAN 概念来划分 SSID。其

36、实在一个 AP 范围内，不管用 户连接到那一个 SSID 它们实际上都是在同一个 802.11 广播域内，因为无线电波的传输是 共享。一个最简单的例子就是 AP 把不同的 SSID 名字广播，所以当无线终端在这个 AP 覆 盖范围内启动时，它就能同时看到多个 SSID。SSID 的最主要用途是可让无线终端以不同 的安全认证和加密方式入网。 为什么要把不同的安全加密协议设置在不同的 SSID 呢? 802.11 的标准内定义了不同 加密情况时数据包的封装格式，所以在用户的无线接入使用不同的加密程式，例如： WEP,TKIP(WPA),802.11i(WPA2)等等，不同加密方式不能在同一个 SS

37、ID 内同时存在的。 用户可根据实际的情况和 802.11 发展来制定以怎样方式来实现无线加密。最常见的做 法是使用多个 SSID，例如：一个定义为 OPEN/Static WEP 供客户用，另一个 SSID 则为 TKIP(WPA)专为内部员工使用。未来的发展趋势是新增设一个 802.11i SSID 让员工以过度 的方式逐渐从转移到这个 SSID 上。不能一步转到 802.11i 的主因在于很多的无线终端现在 尚未支持 802.11i，而是不可能把所有的终端一次更换成最新的软件程序。 要注意的是 SSID 可以覆盖全网，也可以只局限于校园网内的某些范围。一般的情况 下是全网开通，例如：客人

38、(Guest)使用的 SSID；但有些 SSID 则可能供某些部门使用，所 以它的覆盖范围通常只会局限在某些范围内。 所以针对无线局域网多种用户的不同业务类型应该采取不同的 SSID 进行管理和控制。 学校教职员工、学校工作人员和长期租用学校办公的人员属于学院内的固定用户，可以采 用专门的 SSID，可以采用级别较高的认证和加密手段，对于来宾和留学生、参加会议人员 和来访人员可以使用另一个 SSID，采用级别相对较低的认证和加密手段，这样就实现了区 分的服务。 43 网络与用户管理网络与用户管理 灵动 WIFI 中可以设定用户的角色（role），每个 role 可以基于用户状态防火墙和代理 限

39、制的设定等规则。用户状态访防火墙是无线控制器的独特功能，它本身就是针对无线接 入的特性而设计。传统的网络防火墙是没有基于用户的，它的保护只是基于 IP 地址或物理 端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效很小。 的基于用户状态的防火墙则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会 获得一个预设的防火墙策略，不同的无线用户有不同的防火墙策略，例如一个用户可以使 用 SIP 的服务，而另一用户则可用 FTP。 一般在防火墙策略设计中，可以将来宾和普通学生的权限设置的较低，只能访问有限 的资源，且优先级较低，并且有带宽的限制，甚至可以做时间段的限制。 大学的

40、教职员工以及校领导具有较高的权限，可以访问更多的学校资源，或者对某些 特殊的来宾开放某些 VIP 账号，分配给其较高权限的 role。在带宽方面可以做比较宽松的 限制。所有这些在配置、使用和管理上都非常符合的大学网络中心的网络管理需求。 44 无线安全性设计无线安全性设计 在灵动 WIFI 中，可以在多个层面对系统构筑安全防护，其安全性设计如下： （1 1）多）多 SSIDSSID：可以根据需要，如用户的种类、应用的种类，在灵动 WIFI 中设置多个 SSID，不同的 SSID 采用不同的安全策略，这样可以对不同的用户及应用进行区分服务。另 外 SSID 还可以选择隐藏的方式，该 SSID 不

41、广播，用户无法看到，防止非法用户的连接企 图。SSID 还可以选择在某些 AP 上出现，某些 AP 上不出现，限制 SSID 出现的范围也是实 现安全性的一种手段。 （2 2）加密：）加密：灵动 WIFI 支持多种加密的方式，二层的加密支持静态 WEP、动态 WEP、TKIP、WPA、802.11i 多种加密方式，三层的加密支持 IPSec VPN 加密，这样使得加 密的方式更加的灵活，可以根据实际需求进行选择。 （3 3）用户认证提供二种方式：）用户认证提供二种方式： 证书认证方式，核心就是采用 windows 自带的 1x 认证方法，以采用 802.1x+证书+wep 的方式实现。 、portal 认证方式，方案是控制器外置