邮电学院教学楼无线网络系统建设方案Word格式.docx

邮电学院教学楼无线网络系统建设方案Word格式.docx

《邮电学院教学楼无线网络系统建设方案Word格式.docx》由会员分享，可在线阅读，更多相关《邮电学院教学楼无线网络系统建设方案Word格式.docx（27页珍藏版）》请在冰豆网上搜索。

有很多因素都会影响无线网络的稳定性，如天线位置、AP功率、信号干扰、用户数等，所以应由经验丰富的队伍来实施。

●开放性

网络设计及网络设备选型遵从国际、国内标准，使网络具有开放性和兼容性，本方案所选用的产品能够与当前网络设备兼容或提供相应接口。

●安全性

系统将利用多SSID、VLAN隔离、支持多种认证方式等功能为系统提供安全解决方案，同时为以后进一步的安全措施提供必要的接口。

1.4设计规范及依据

●《建筑与建筑群综合面线系统工程设计规范》（GB/T50311-2000）

●《民用建筑电气设计规范》JGJ/T16-92

●IEEE802.11a

●IEEE802.11g

●IEEE802.11n

●IEEE802.3协议集

●IEEE802.1X标准

●802.3af

●Wi-FiProtectedAccess

●WEP--WiredEquivalentPrivacy

第2章无线网络建设方案

2.1无线系统概述

根据第一教学楼的实际情况，在技术实现手段上和建设模式中，覆盖方式可以为室外覆盖室内和室内覆盖两种方式。

通过调研和技术总结，设计选择为室内覆盖方式。

本方案设计为无线控制器（AC）及无线接入点（FITAP）构成的一体化解决方案。

通过统一的硬件平台、统一的网络管理、统一的用户管理、统一的应用安全，供安全的无线接入。

2.2网络系统结构

由于第一教学楼的没有综合布线系统，因此设计从实验楼的三楼中心机房交换机中引出跳线到光收发器进行电光转换后由一根六芯室外多模光缆架空敷设到第一教学楼三楼靠楼外的外墙，通过壁挂机柜中的光纤终端盒进行光纤耦合，然后通过光电装换到无线控制器，再通过超五类配线架敷设网络电缆到各个就近楼层并设置信息点。

由于第一教学楼室内没有弱电井和电缆桥架等基础设施，如果在墙外走线则容易被雷击损坏，因此设计在室内通过楼层开孔布线到各个接入楼层。

系统结构如图所示：

图：

整体网络结构

2.3网络信号覆盖

2.3.1基础线路接入

鉴于第一教学楼的没有综合布线系统，所以本次工程首先要进行综合布线系统建设，设计从实验楼的机房交换机中通过光收发器引出一根六芯室外多模光缆架空敷设到第一教学楼的靠走廊的外墙再进入3楼机柜进行光纤熔接和光电转换后接入到无线控制器分配到各个楼层。

2.3.2无线网络覆盖

根据实际工勘的结果来看，方案设计在3楼设置一台有线无线一体化交换机设备，同时通过POE对AP进行供电，避免了强电改造，各楼层设置三台AP，对各教学区域进行双频双模覆盖,本项目的无线覆盖设计为以下类型：

●AP室内穿越障碍覆盖：

主要应用于第一教学楼中间走廊、两边房间结构的室内区域，因为无线信号穿越墙壁、地板等障碍物会存在衰减，但在走廊式结构的室内区域具备一定的穿越障碍的能力，一般是穿越一道墙壁之后信号效果较好。

因此这样的结构适合在走廊中布置AP，来覆盖两边的房间区域；

并且根据实现工程勘测情况来看，本次项目的普通教室室内覆盖部分按20米一个AP的原则设置3台AP和吸顶天线，有阶梯教室的AP适当靠近阶梯教室。

楼层

AP数量

AC数量

备注

1

3

有阶梯教室

2

4

5

6

2.3.2.11-4楼覆盖

第一教学楼的1-4楼包含走道两边的普通教室和一个阶梯教室，由于阶梯教室范围较大，墙壁较普通教室为厚，对信号有一定的损益。

故设计AP布设时适当靠近阶梯教室，安装全向天线，对阶梯教室和附近区域进行覆盖。

各台AP设置为完全独立的频段，避免干扰。

结构如图所示：

AP布设结构

2.3.2.25-6楼覆盖

第一教学楼的5-6楼仅包含走道两边的普通教室，在教室两边的走道进行AP布设覆盖即可。

设计在走道中按20米一台布设AP，安装全向天线，并设置为完全独立的频段，避免干扰。

2.3.2.3AC布设

系统设计在3楼布设一台无线控制器，带POE供电设计，分别对各楼层的AP进行有线接入和POE供电。

2.4无线频率规划

802.11g使用开放的2.4GHzISM频段，可工作的信道数为欧洲标准信道数13个。

由于其支持直序扩频技术造成相邻频点之间存在重叠。

对于真正相互不重叠信道只有相隔5个信道的工作中心频点。

因此对于802.11g在2.4GHz地工作频段，理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。

此外，由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。

针对如何进行802.11g的频率规划作了大量的实验，实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖，并提供更高的服务带宽提高服务质量，和高带宽业务的开展。

`

图频率规划原理图

频率规划需要配合使用的功能包括：

I.AP支持13个信道设置

II.AP支持500mW最大射频功率以及多级功率控制

III.AP支持外置天线以及定向天线

IV.针对特殊应用还需要AP支持桥接功能、接入功能以及WDS功能

2.5供电方式设计

3楼的机柜需要交流电进行供电，故需要进行电源改造，引入强电。

由于本次无线网中AP设备数量较多，AP布放位置根据实际覆盖效果而调整，第一教学楼修建年代较久，较难进行本地供电改造，由于无线控制器可以支持POE供电，设计系统基于标准的802.3af实现对AP的供电。

既通过以太网线在传输数据同时给AP供电（POE），供电距离达100米，满足实际组网的要求。

2.6网络安全设计

本解决方案在遵循IEEE802.11i协议和国家WAPI标准的基础上，设计为分层的安全体系架构，将WLAN的安全从单一的物理层安全延伸到了物理层安全、用户接入安全、网络层安全、设备安全、安全管理多个层面上，使用户在使用WLAN网络时能够像使用有线网络一样安全、可靠。

2.6.1无线物理安全

设计使用的无线产品支持以下的加密机制：

WEP加密、TKIP加密、CCMP加密、WAPI加密。

其中，WAPI采用国家密码管理委员会办公室批准的公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法，分别用于WLAN设备的数字证书、证书鉴别、密钥协商和传输数据的加解密。

在无线设备安全方面，FITAP提供“零配置”功能，在设备上不保存业务配置，而是每次启动的时候从无线控制器动态加载业务配置，这样可以有效避免设备丢失造成配置泄漏。

此外，在部署无线控制器＋FITAP组网时，需要预先在无线控制器上设置部署的AP序列号。

当这些AP启动和无线控制器建立关联时，无线控制器会检查AP上报的序列号信息，只有这些预先授权的AP才能接入无线控制器使用，防止非法FITAP接入网络。

2.6.2无线用户安全

通过用户接入认证实现了对校园无线接入用户的身份认证，为网络服务提供了安全保护。

方案设计无线接入认证主要有802.1x接入认证、PSK认证、MAC接入认证以及在有线校园网中常用的portal认证等。

通过和AAA服务器配合，设计的无线设备支持对认证用户动态下发带宽、VLAN、ACL、优先级等参数，对于不同的用户群和业务可以控制其访问网络的权限，限制网络资源的使用，通过VLAN和优先级来标识用户和业务，并做到业务隔离。

2.6.3无线网络安全

为了保证无线用户和整个校园网络的安全，仅仅保证接入点的安全性是远远不够的。

因此可以采用无线EAD解决方案，该方案从网络用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，加强网络用户终端的主动防御能力，保护网络安全。

此外，设计无线产品支持完善的无线入侵检测系统，可以自动监测非法设备，并适时上报网管中心，同时对非法设备的攻击可以进行自动防护，最大程度地保护无线网络。

由于目前用户量较少，暂不使用EAD以节约投资。

无线网络安全部分主要包括以下方面的内容：

I.MAC地址过滤：

方案支持基于MAC地址的过滤，限制具有某种类型的MAC地址特征的终端才能进入网络中；

II.SSID管理：

是一种网络标识的方案，将网络进行一个逻辑化标识，对终端上发的报文都要求进行上带SSID，如果没有SSID标识则不能进入网络；

III.WEP加密：

WEP加密是一种静态加密的机制，通信双方具有一个共同的密钥，终端发送的空口信息报文必须使用共同的密钥进行加密；

IV.支持AES加密：

AES安全机制是一种动态密钥管理机制，同时密钥生成也基于不对称密钥机制来实现的，同时密钥的管理也定期更新，具有体的时间由系统可以设定，一般情况都设定为5分钟左右，这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来，从无线空口的流理来看，基本上是不可能的；

V.本无线方案中可根据用户名来划分权限，即相同用户在不同地点接入无线网络其权限保持一致；

密钥设置可能根据SSID信息与用户信息进行组合，即不同的SSID下不同的用户的密钥生成可以不一样，这样一定程度上保证用户之间串号问题产生。

2.6.4认证方式

本方案主要采用802.1X认证，AP与控制器系列通过二层隧道协议通信，无线用户的认证点都是放置于控制器上，管理中心做为用户鉴权点。

针对无线用户，无线交换机作为802.1X终结点，管理中心作为最后的鉴权点，当用户在AP内进行切换时，此时的主要工作由无线交换机进行统一调度，当用户在相同或者不同的交换机下不同的端口下的不同AP的覆盖范围时，此时用户不会再次触发认证，此时的认证方式可以采用本地认证，也可以采用管理中心认证。

二种方式都不影响无线用户的业务使用质量与无线用户在不同AP之间的漫游切换速度。

2.7系统扩展考虑

2.7.1802.11n

随着IP语音，网络视频等新兴网络应用的出现，用户对无线传输速率的要求也越来越高，传统的802.11a/b/g技术所能提供的带宽已渐渐不能满足用户的需求。

IEEE802.11n标准便应运而生，它定义了下一代的无线局域网技术，旨在提供支持对带宽最为敏感的应用所需的速率和可靠性。

IEEE802.11n技术通过物理层和MAC层的技术改进实现了无线传送速率的很大提升，使带宽从54Mbps提升到300Mbps。

在802.11a/b/g技术提制中，由于多径效应，信号在接收侧将很容易发生符号间干扰（Inter-symbolInterference），从而导致高误码率。

OFDM调制技术是将一个物理信道划分为多个子载体（Sub-carrier），将高速率的数据流调制成多个较低速率的子数据流，通过这些子载体进行通讯，从而减少ISI机会，提高网络吞吐。

MIMO（多入多出）技术能在不增加带宽的情况下成倍地提高通信系统的容量和频谱利用率。

其基本思路是在发射端和接收端均采用多天线（或阵列天线）和多通道。

传输信息流S（k）经过空时编码形成N个信息子流Ci（k），i=1，……，N。

这N个子流由N个天线发射出去，经空间信道后由M个接收天线接收。

多天线接收机利用先进的空时编码处理能够分开并解码这些数据子流，这样，MIMO系统可以创造多个并行空间信道，解决了带宽共享的问题。

将MIMO与OFDM技术相结合，就产生了MIMOOFDM技术，它通过在OFDM传输系统中采用阵列天线实现空间分集，提高了信号质量，并增加了多径的容限，使无线网络的有效传输速率有质的提升。

本方案配置的无线控制器可以管理802.11n设备，如果用户选择802.11n无需更换控制器，可以节约大量成本。

2.7.2IPv6

系统设计考虑了教育用户对IPV6的需求，目前设计的无线控制器、无线接入点全面支持IPV6特性，同时无线控制器、无线AP可以灵活的通过IPV4互联，也可以通过IPV6互联，无线也可以灵活的选择是使用IPV4接入无线网络还是IPV6接入无线网络。

WLAN在接入点和接入控制器之间采用CAPWAP协议构建，而且同时支持IPv4和IPv6协议。

也就是，接入控制器作为服务器，可以接收来自IPv4以及IPv6网络的接入点的链接请求；

而且接入点可以动态的选择使用IPv4或者IPv6和接入控制器建立链接。

系统设计的FitAP设备为零配置设备，该设备在上电后可以自动发现接入控制器，选择当前能够提供最优服务的接入控制器建立链接。

由于接入点为零配置设备，不能判断当前接入的网络为IPv4还是IPv6网络，所以接入点会首先在IPv4网络进行接入控制器的发现和链接处理，如果接入点无法成功通过IPv4网络和接入控制器建立链接，则接入点会切换到使用IPv6进行接入控制器的发现和链接处理。

目前可以实现非常灵活的IPV6处理机制,即可通过IPV4网络实现IPV6互联，也可以通过IPV6网络实现IPV4互联。

2.8无线产品选型

2.8.1无线控制器

设计无线控制器选用杭州华三通信技术有限公司（以下简称H3C公司）生产的WX3024有线无线一体化交换机，是集成无线控制器和千兆以太网交换机功能的产品。

H3CWX3000系列有线无线一体化交换机提供纯千兆以太网有线接入口，支持PoE+供电，每端口最大提供25W的功率，同时兼容802.11a/b/g/n协议。

其中，WX3024后面板提供两个10GE接口插槽，解决了WLAN网络核心的传输瓶颈。

WX3000系列有线无线一体化交换机提供一体化的有线无线接入控制功能，定位于中小型网和大型分支网的一体化接入，是本项目实现有线无线一体化接入最理想的一体化交换机。

H3CWX3024

产品特点如下：

●提供对802.11nAP的管理

WX3000系列有线无线一体化交换机在支持对传统802.11a/b/gAP管理的同时，还可以与H3C基于802.11n协议的WA2600系列AP配合组网，从而提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围，使无线多媒体应用成为现实。

●提供灵活的数据转发方式

支持集中式转发和分布式转发。

单一的集中式转发，有线无线一体化交换机（US，UnifiedSwitch）虽然能对报文进行全面控制，但所有的无线业务流都要到US进行统一处理，使得US的转发能力很容易成为瓶颈。

特别是当通过广域网方式转发时，AP作为数据接入设备部署在分支机构，而US部署在总部，所有用户数据由AP发送到US，再由US进行集中转发，导致转发效率低下。

甚至当802.11n出现时，一个AP的业务报文流量高达300M之多，US的处理性能更加成为无线系统的瓶颈。

当采用分布式转发时，报文在AP上直接转化为有线格式的报文，并不经过US，能够实现无线报文的宽带接入。

WX3000系列有线无线一体化交换机支持两种转发方式，用户可以根据需要给SSID设置转发的类型。

●提供基于AP位置的用户接入控制

出于安全性或计费等的考虑，系统管理员可能希望控制无线用户接入到网络中的位置。

H3CWX3000系列有线无线一体化交换机支持基于AP位置的用户接入控制。

当无线用户接入网络时，可以通过认证服务器向US下发允许用户接入的AP列表，在US上进行接入控制，从而达到限制无线用户只能接入到指定位置的AP的目的。

●提供精细的无线用户管理

基于MAC的认证接入控制方式，不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改，同时支持对具体用户的权限的配置，这种精细的用户权限控制大大增强了无线网络的可用度，网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。

基于MAC的VLAN同样也是WX3000系列有线无线一体化交换机的一大特色，在控制策略上，管理员可以把相同性质的用户（MAC）划分到同一个VLAN，同时在US上基于VLAN配置安全策略，这样做既可以简化系统配置，又可以做到用户级粒度的精细管理。

●提供内置802.1x认证服务和内置Portal认证服务

H3CWX3000系列有线无线一体化交换机内置802.1x认证服务，支持TLS、PEAP、MD5等多种802.1x的认证方式。

在中小型企业用户不需要计费功能，而只需接入控制和数据加密要求时，可利用内置的Radius服务直接在设备上完成802.1x认证功能，免去了复杂的AAA服务器部署过程，既经济又省事。

H3CWX3000系列有线无线一体化交换机还提供内置的Portal服务器，解决了不便于安装客户端用户的安全认证问题。

●提供UserProfile

在基于用户授权方式的网络管理中，用户通过认证，即获得访问网络的权限。

授权包括控制用户可访问的网络范围，以及用户可获得的网络服务质量，如访问带宽、访问优先级。

在用户移动的网络或大型网络中，为了方便网管人员开展日常的管理工作，UserProfile特性提供了一种更模块化、更简单的管理方式。

管理人员将一组基于用户群或特殊用户定制的策略配置在各个用户的profile中，并且为每个用户群或特殊用户预先分配各自的profile，用户认证上线时，在用户上线的端口动态下发profile配置，使该用户能动态获得其可以访问的网络范围，访问带宽以及访问优先级；

在用户下线时，取消该用户在这个端口上的配置，自动关闭该端口的特殊访问权限。

UserProfile中可以下发的配置包括ACL、QoS（优先级、带宽限速、802.1p和DSCP标记）、VLAN。

硬件规格如下：

项目

WX3024

外形尺寸（长×

宽×

高）

440×

429×

43.6（mm3）

重量

<

7.2kg

管理端口

1个Console口

业务端口描述

24个10/100/1000M电口

4个千兆SFPCombo口

2个10GEXFP或XENPAK光口

输入电压

AC：

额定电压范围：

100V～240VAC；

50/60Hz

最大电压范围：

90V～264VAC；

47/63Hz

DC（仅WX3024支持）：

-52V～-55VDC

-36V～-72VDC

功耗（所有端口均对外PoE+供电时）

交流输入：

450W直流输入：

670W

PoE+最大输出功率（单端口）

25W

工作环境温度

0℃～45℃

工作环境相对湿度（非凝露）

10%～95%

存贮温度

-40º

C～70º

C

存贮湿度

5%~95%（非冷凝）

MTBF

>

40年（25℃）

软件规格如下：

支持特性

交换容量bit/s（全双工）

88G

包转发率pps（整机）

65.47M

端口聚合

（1）支持GE（GigabitEthernet）端口动态聚合

（2）支持10GE端口动态聚合（仅WX3024）

（3）支持动态LACP链路聚合

（4）支持手工聚合

（5）支持静态聚合

（6）支持最多（总端口数目/2）个端口聚合组，每组支持最多8个GE或2个10GE（3010是10个端口，聚合组是4个）

端口流控

支持端口流控

MAC地址表

支持16KMAC地址

支持1K静态MAC地址

支持1K组播MAC地址

支持黑洞MAC地址

VLAN

（1）支持基于端口的VLAN（4094个）

（2）支持嵌套式VLAN（VLAN-VPN或QinQ）

（3）支持灵活QinQ

（4）支持协议VLAN

（5）支持VoiceVLAN

（6）支持GVRP

（7）支持VLAN下配置禁止MAC地址学习功能

路由

支持静态路由

支持RIPv1/v2

DHCP

（1）支持DHCPServer

（2）支持DHCPClient

（3）支持DHCPSnooping，包括Option82功能

组播

（1）支持IGMP（InternetGroupManagementProtocol）Snoopingv1/v2/v3

（2）单VLAN内最多256个组播组，整机1024个组播组

（3）支持组播VLAN

（4）支持未知组播丢弃

（5）支持未知组播出端口报文过滤

（6）支持手工配置组播MAC地址

广播风暴抑制

支持基于端口的广播风暴控制

MSTP

（1）支持STP/RSTP/MSTP协议

（2）支持域内最大生成树（16个）

（3）支持STPRootGuard

（4）支持BPDUGuard

QACL

（1）支持IEEE802.1p/DSCP优先级

（2）支持优先级映射

（3）支持优先级标记

（4）支持流量统计

（5）支持端口信任模式

（6）每端口支持8个队列

（7）支持方式为SP/WRR/SP+WRR的队列调度

（8）支持端口和队列的流量整形

（9）支持基于端口/流的限速，最小粒度为1Kbps

（10）支持基于流的重定向

（11）支持数字表示型标准ACL

（12）支持数字表示型扩展ACL

（13）支持数字表示型二层ACL

（14）支持对下发ACL的配置

（15）支持多种QoS&

ACL下发方式：

全局下发、VLAN下发、端口组下发、端口下发

（16）支持根据时间段变化实时更新ACL

镜像

（1）支持流镜像

（2）支持基于VLAN的镜像

（3）支持基于MAC地址的镜像

（4）支持端口镜像

（5）支持多个源端口镜像

（6）