师范大学活动中心无线网络覆盖方案.docx

师范大学活动中心无线网络覆盖方案.docx

《师范大学活动中心无线网络覆盖方案.docx》由会员分享，可在线阅读，更多相关《师范大学活动中心无线网络覆盖方案.docx（17页珍藏版）》请在冰豆网上搜索。

师范大学活动中心无线网络覆盖方案

**师范大学**中心无线网络覆盖项目

无线网络系统建议书

电子工程技术有限公司

2013-12

1项目背景

随着学校信息化应用的广泛深入，新业务需求的不断出现，学校迫切希望学校信息网络系统实现新飞跃，在保障安全和稳定的前提下，充分满足活动中心内部、外部联系和日常管理需求，实现便捷的移动和远程办公。

针对学校的专业性需求，华为量身订制了高性能的无线宽带多业务支持系统，来支持Wi-Fi语音、无线监控以及无线上网，为用户提供安全稳定的整体解决方案。

   该方案具有多业务支持、安全、稳定、兼容性高、可靠性高、部署容易的特点，能实现学术活动中心内部的无线移动需求，还能支持学术活动中心内部的各项无线应用的可靠运行。

针对学术活动中心内部的用户的不同需求，可为不同的用户提供不同的服务，安全接入属于自己的网络中，保证整个学术活动中心内部网络的安全接入。

整体的解决方案包含了无线覆盖的所有软硬件设备，提供一个高安全、可管理、兼容性高的无线网络。

1.1传统的无线网络构架

传统的无线网络构架，是由网络访问接点AccessPoint（AP）来实现的。

AP是个单点设备，也就是说，每个AP有自己独立的CPU、存储内存和管理软件，这些AP之间并没有太多的相关性。

正是由于这个特点，使得传统的无线网络在热点区、家庭等应用场景中体现出非常方便的特性，因为这些场景中，不需要太多的管理，维护和安全方面的考虑。

但是，在学校网络应用中，这种传统概念的无线网络却遇到了极大的挑战。

这集中表现在：

1）系统缺乏整合性：

与学校有线网络的集成：

单点设备由于缺少系统的整合特性，因此在实施网络构架时，很难做到与学校的有线网络一个无缝的集成。

2）系统缺乏安全性：

目前的无线网络集成中，最常见的安全策略是使用前端数据加密和后端身份验证双重方式。

然而，这些安全措施只能从使用者的角度来保护网络的安全，却不能防止无线黑客的入侵，网络的安全隐患很大。

3）系缺乏可管理性和可维护性：

单点设备需要学校的网络管理人员进行逐个的设置，管理和维护，当学校网络规模趋于大型化时，原本可以为学校员工带来方便的无线网络却给IT人员带来了莫大的麻烦。

例如在对网络AP进行升级时，管理和维护一个包括成百上千个AP的无线网络需要大量的人力投入。

4）系统缺乏可扩展性：

无线网络标准的发展迅猛，自IEEE802.11标准诞生以来，几乎每年都有2-3种新的无线标准出台。

因此，对产品的可持续升级要求也是学校应用中的一个特点。

传统无线网络产品的升级是难以实现的，不仅因为不同的无线网络标准使用的无线频率发生装置不同，还在于，AccessPoint在运算性能和效率上根本无法满足日益增长的网络通讯数据率的需求。

综上所述，我们可以看到：

传统意义上的单节点式的无线网络接入，已经远远不能满足学校移动应用的需求，相反，成为了学校网络中的一种负担和隐患。

在这种形势下，采用无线网络交换机的组网解决方案，突破了传统概念的束缚，成为了一种适合学校移动应用的新的解决方案。

1.2本项目建议的无线网络构架及优势

建议本次的无线网络采用基于华为的AP无线架构,以更好的支持学校移动和多媒体应用，简化网络部署和管理，提供卓越的性能、安全性和可扩展性，并支持新兴的射频技术；Builtonthisplatform,theRFS7000enablescampuswideroamingacrosssubnets,andofferspowerfulfailovercapabilities,exceptionalqualityofservice（QoS）andincreasedvoicecapacity.并且能够为学校网络提供强大的容错能力、特殊服务质量（QoS）以及增强的语音能力、完整的安全功能。

部署便捷，无缝接入现有学校网络

1）AP零配置

华为的AP部署是为学校无线网络而设计。

AP真正无需任何配置，即插即用。

所有对无线网络的配置都在无线AP上完成。

AP支持PoE供电，在连接上网线后，AP可以通过DHCP方式自动获取WirelessSwitch的地址列表，然后通过WISPe（WirelessSwitchProtocolenhanced）与WirelessSwitch进行通信。

这样省却了胖AP模式下对AP复杂的配置；也避免了其他AP厂家需要在AP上手工配置WirelessSwitch配置的情况。

在部署大型无线网络时候，工作量大大降低，极大地缩短了部署时间。

2）无须改造现有学校网络

华为的AP可以无缝接入现有学校网络。

远程AP使用DHCP方式获取地址后就可以跨越3层交换机，，与WirelessSwitch进行自动连接。

AP的部署无需对学校内部网络作任何修改。

由于使用DHCP方式，网络的规划、网络的扩展可以集中而简单地对DHCP作配置即可，而无需去修改分散各地的成百上千的远程AP。

这样，网络规划与扩展将十分轻松方便。

3）快速部署临时的无线环境

当需要在学校办公的环境外部署无线网络的时候，华为快速部署的特性更容易显示出来。

例如在会议室临时部署AP。

只需要将AP加电，连入互联网络，AP可以自动与放置于学校内部的无线AP进行通信。

这个临时的无线网络拥有与与其他AP完全相同的特性。

这时所有的问题都迎刃而解.

4）更换和升级AP方便

华为的所有配置维护都可以在中心机房完成。

接入端的维护更是无需专业管理人员，可以作到像更换电灯泡一样简单的即插即用，节省了日常维护成本。

在AP 出现故障时，可以简单地将新的AP插上即可。

无需任何配置。

在WirelessSwitch作升级后，可以自动对所有AP作升级，避免对每个AP手工升级的繁琐工作。

1.2.1易于管理

1）华为无线交换技术特有的易于管理特性

传统的AP作为一种单点设备，每一个AP都需要学校的网络管理人员进行单独的设置，管理和维护。

这些设置不仅仅包括IP地址等简单配置，往往还包括大量的服务、安全、Qos等等配置。

当无线网络规模趋于大型化时，原本带来方便的无线网络却给IT人员带来了莫大的麻烦。

管理和维护一个多接点的无线网络需要大量的人力投入。

华为无线交换体系能够对于硬件、软件配置和网络策略进行统一管理，所有配置在无线AP上完成即可。

向所有接入点自动部署配置，大大降低了初始化工作量。

同时华为的无线交换系统维护非常方便。

传统AP一旦出现故障，往往需要IT管理人员赶到现场，进行处理。

华为的所有配置维护都可以在中心机房完成。

接入端的维护更是无需专业管理人员，可以作到像更换电灯泡一样简单的即插即用，节省了日常维护成本。

1.2.2高可靠性

由于本项目的无线网络将在整个学校办公无线环境中的起着重要作用，因此必须保证无线网络的高可靠性，不允许无线网络有单点故障。

1）流量分担的方式

如果单点流量过大的时候,华为的无线AP会自动调整附近的无线AP.使所有的无线AP形成一个整体,自动进行流量的分担,从而避免单个AP流量过于集中的问题.而且能够让整个无线网络更加快速与稳定.

2）简单便利的备份方式

华为的备份方式及其简单。

无线AP的配置文件可以方便地备份在TFTPServer、FTPserver和Webserver上。

无线AP也可以方便地备份在TFTPServer、FTPserver和Webserver倒入配置。

华为的备份不用额外备份数据库，用户信息和其他配置信息都通过配置文件方便地进行备份。

本地备份方式甚至可以自动完成。

即通过其中一台无线AP修改配置，其他无线AP的配置即自动同步。

3）自愈模式

华为智能的无线网络具有自愈功能，可以根据网络的情况，在接入点发生故障时，无线AP可自动调整邻近接入点的功率，以覆盖故障接入点原来提供服务的区域。

另外华为智能的无线网络还可以自动动态调整工作频率，当环境的无线干扰过于严重，移动用户的无线重传次数超过可设置的门限时，无线AP可自动调整该接入点的工作频率到最小干扰的频率，从而提供更好的系统可靠性。

1.2.3低成本

1）AP架构带来的优势

由于AP只需实现RF功能，无需实现复杂的控制和加密等功能，因此可以低得多的成本来实现。

另外无线交换构架为客户提供了强大的管理功能、可扩展性、集成的安全性，管理方便，极大地降低了网络维护成本。

因此总体拥有成本低。

集中式特性使之能够方便地扩展，无线接入端可以扩展使之适应未来出现的新的无线接入标准802.11n，交换机管理系统可以轻松升级以满足学校对无线网络新的要求，如802.11n等，对于学校来讲，是一套具有很高投资保护的系统。

2）不需要特殊功能模块的收费

而且相比其他厂家的产品，华为的无线网络产品一次购买后即拥有所有的功能，包括DHCP服务器等，不存在需要为特殊功能再收取额外费用的问题。

1.2.4优秀的网络性能

1）通过硬件实现了数据转发

在多用户连接到无线AP上时，AP的吞吐量没有丝毫的降低，而且非常稳定。

2）无缝的L2/L3漫游切换

华为率先实现的无缝的L2/L3漫游切换，切换时间在毫秒量级，为业务覆盖的连续性提供必要的保障，即使在跨WirelessSwitch的漫游切换中，即使使用WIFI电话也能保持优良的音质，感觉不到任何的中断。

2网络总体架构

此次项目中,总共有三栋大楼需要做无线覆盖,同时三栋大楼之间采用有线网络的方式连接起来。

具体分配如下：

1、专家楼

（1）无线ap14+3

一楼：

餐厅1个，客休2个，二到四楼各3个，五楼西餐厅2个

（2）POE交换机1台

放置在二楼或三楼

2、启夏苑

（1）无线ap26+4

一楼：

5个，二楼：

4个，三到10楼各2个，11楼：

1个

（2）POE交换机3台

一楼到二楼1台、三楼到六楼台、柒楼到十一楼1台

3、学术活动中心

（1）无线ap26+2

一楼：

3个，二楼：

3个，三楼到六楼各4个，裙楼每层个1个

（2）POE交换机2台

一楼到三楼共用1台，四到六共用1台

3无线AP的部署

3.1无线AP的特性

无线网络集中管理一体化的可扩展有线/无线网络架构简便而有弹性的网络应用安全管理带宽和电源管理局域网管理安全和多功能管理

华为为商业环境中的无线网络应用进行了最优化。

通过这些设备，商业用户可以拥有高性能的，安全的，并且可管理和升级的一体化有线/无线局域网交换模式。

通过comboSFP,可选10G连接的开放式插槽1以及基于以太网供电和冗余电源（RPS），这些千兆无线AP使学校能轻易的升级到下一代802.11a无线局域网，无线设备的应用简便并且不受物理位置的影响，对安全的无线移动性和策略的执行提供集中管理

3.1.1核心单元控制整个无线网络

千兆POE交换机是巩固安全，管理带宽和维护整个无线网络智能化的核心单元。

除了在用户漫游时监视用户身份和维持他们的认证外，这些无线AP还能配置和控制无线接入点的其他方面，包括RF信道和电源管理，无线流量分段；

AP漫游和负载平衡，非法AP检测和AP访问安全。

3.1.2高性能,应用简便

针对配线房的分布式应用，每个无线AP能支持最多48个无线接入点。

AP可以直接与无线AP端口连接，或者通过局域网交换机间接与它连接。

利用在每个端口集成802.23afPoE，这些交换机允许被连接的AP安放在用AC电源供电的设备难以访问的地方。

硬件预先支持下一代更高速的802.11n无线标准设备千兆传输速率。

关于电源管理,允许管理员设置AP的传送输出电源以满足个别国家的规定，并且可在需要时远程重新启动AP。

3.1.3简化的配置和应用

通过一个集中管理平台,网络维护和配置过程变得更加有效率。

如果有任何一个接入点无法访问，管理员可以立刻识别出无法访问的AP所在位置并且立即用另外一个AP替换它。

交换机将自动使用之前AP的相同配置对新的AP进行设置。

3.1.4最高性能

除了进行增强的二层转发，也提供三层和四层服务以及身份跟踪功能。

通过集中RF策略，最少信道使用的自动选择和AP负载平衡，能有效的管理无线带宽以优化WLAN流量。

得益于交换机间漫游，网间漫游和AP到交换机的千兆速率传送，使得不同AP间能迅速漫游。

这些交换机也提供一些弹性功能，比如冗余负载分配千兆连接，802.1qVLAN流量分段和致命IGMP侦测，以便支持IP多播数据流

3.1.5可扩展和一体化有线/无线应用

小型和中型学校可能只需要一个无线AP来管理很少的AP或者用于混合有线/无线局域网。

当AP的增加时，就可能加入4个交换机而形成一个大型的集中管理系统。

由于扩展简便，支持下一代高速AP的千兆速率和支持学校范围内网间漫游的三层路由，提供一个架构，简化并且一体化了一个特别复杂的WLAN环境，轻松的为将来的技术升级准备了一个现有的网络。

3.1.6全面强大的安全特性

提供全面的网络安全特性，包括集成的基于MAC地址认证，入侵检测，AAARadius服务器等。

华为在系统中实现了一套完整的端到端分层式安全模式。

每个独立的无线子网都可以有自己独立的安全机制，例如：

为访客无线网可以配置较低或开放的安全策略，而内部员工网配置高强度的安全策略。

身份验证：

将确保只有授权用户和设备才能访问网络，无线AP提供了一系列身份验证机制，以支持各种安全要求

▪预分配密钥（Pre-sharedKey）

▪802.1x/扩展身份验证协议（EAP）：

EAP提供了强大的身份验证机制和动态密钥分发功能，同时还提供进行双向身份验证的一种方式。

授权用户向无线网络标识自己的身份，无线网络同样向用户标识自己的身份，以确保只有授权用户才能够访问网络资源。

动态密钥分发机制则提供了一针对每一个用户、每一个会话的新的加密密钥，极大地提高了数据加密的强度。

DWS-3024支持多种EAP验证方式：

EAP-TLS，EAP-TTLS，WPA-PEAP等。

数据加密：

加密特性确保数据在传输过程中维护其私密性。

DWS-3024支持一组加密选项，为增强加密技术提供基础，并具有一定灵活性有助于用户选择适合的级别，

▪WEP加密传输：

WEP提供静态密钥加密算法，向所有用户分发单独的密钥进行数据的加密和解密。

WEP利用被广泛使用的RC-4加密算法生成40位或128位的密钥，WEP只提供了一定程度的无线安全性，这种加密方式只能使用在非关键环境下。

▪KeyGuard：

由于WEP的非安全性，Symbol开发了KeyGuard安全协议。

KeyGuard使用TKIP，为每个数据包提供一个不同的密钥，但在检查消息完整性（MIC）时采用一个早期版本的协议来确保数据不被篡改或破坏。

▪WPA时效密钥完整性协议（TKIP）：

WPA-TKIP提供以每个数据包为基础的密钥旋转，并检查消息的完整性（MIC），以确定在传输过程中数据是否被篡改或破坏。

▪WPA2高级加密标准AES：

AES加密算法为客户端传输数据提供了极高的安全性。

3.2无线AP的部署

3.2.1无线APAP的三层部署方式

无线AP采用PoE供电，选择无线AP就近接入。

AP在加电后，AP发送Hello广播包试图发现交换机，因为无线AP都处在汇聚核心层，不在同一个广播域，AP在指定时间内没有收到无线AP回应的Parent数据包，AP就会发起DHCPDiscover数据包。

DHCPServer回应DHCPOffer数据包，里面含有AP的地址、掩码、网关，另外也含有WirelessSwitch地址列表，AP选择合适的WirelessSwitch去Adopt,无线AP把AP需要的配置发送给AP。

这样无线AP和AP之间的通信就正常建立起来。

由于DHCPServer和AP也不在同一个广播域内，需要在汇聚层交换机上启用DHCPRelay功能，将DHCP广播包转成发往DHCPServer的单播包。

3.2.2无线AP与学校网络的接入

是全千兆口，建议将光纤端口用于上连端口，接入学校网络，其他端口直接用于进行通信。

上为移动计算机和测试PC设置统一的办公用WLAN，例如为media，所有用户都使用这个WLAN，并且使用相同的Windows登录的用户名和口令使用WLAN网络。

无线AP根据Windows上的InternetAuthenticationServer返回的vlanID为用户动态分配VLAN，从而区分不同的用户。

如下图所示，销售部门分配VLAN为VLAN10,财务部门分配VLAN为VLAN100。

VLAN200分配给无线AP的端口用于连入AP300。

我们建议客户网管人员定期察看访客WLAN的用户数和流量，确定是否有非法使用的情况。

3.2.3单个无线AP和跨无线AP的三层切换漫游

在一个无线AP下的两个AP下进行切换。

虽然AP部署在不同的IP网段里，但是由于用户的相关信息都在同一个无线AP里，在切换时IP地址保持不变，因此可以实现快速无缝切换。

3.3无线AP部署

3.3.1无线频道分布图

由于AP较多，应注意AP的信道规划。

相邻3个区域内要采用完全不干扰的频段，如信道1、6、11。

因为实际施工中，建筑材料、办公环境差异很大，故对信号影响也很大（见下表），如果实测信号穿透情况良好，方案可以进一步优化，每层只需要放置更少数量的AP即可。

AP的数量视现场实际勘测情况而定。

为了保障无线网络系统处于最佳运营状态。

因此，为了保证在发生突发事件的情况下系统的正常运行，设计中需规划一定的冗余数量的AP以及无线信号的冗余。

3.3.2无线天线选择

在实际运用中有多种选择，一般可以选用外置3db或5db的全向天线，在全向天线不能覆盖需要的位置时，可以选用合适的定向天线达到覆盖的目的。

在本次项目中建议采用外置全向天线的

4附件：

产品资料

4.1AP5010DN-AGN

AP5010DN-AGN是经济适用型的双频无线11nAP（AccessPoint），支持2*2MIMO，支持2.4GHz和5GHz频率，遵循IEEE802.11a/b/g/n标准，双频同时提供业务，提供更高的接入容量，支持Fit模式的WLAN（WirelessLocalAreaNetwork）接入点设备。

AP5010DN-AGN具有完善的业务支持能力，高可靠性，高安全性，网络部署简单，自动上线和配置，实时管理和维护等特点，满足室内放装型网络部署要求。

AP5010DN-AGN可以为建筑结构较简单、面积相对较小、用户相对集中的场合及对容量需求较大的区域，如中小型企业以及企业分支，提供基本的802.11n无线接入网络。

该类型设备可根据不同环境灵活实施分布，也可同时工作在AP和桥接等混合模式下。

高速可靠的无线接入服务，兼容IEEE802.11a/b/g/n标准

支持2*2MIMO,每射频最高速率达300Mbps

支持WMM协议，支持空口和有线的优先级映射

支持有线链路的完整性检测

支持负载均衡

支持用户漫游切换，业务不中断

支持AC双链路备份

支持11n波束赋形（beamforming），采用最新一代802.11n芯片技术，性能更高，覆盖能力更强完善的用户接入控制能力，支持基于用户的访问控制（ACL）。

可根据用户组策略，基于用户实施访问控制。

支持单个用户的精细带宽管理

支持用户隔离策略、高等级的网络安全性

支持WEP（WiredEquivalentPrivacy）即有线等效认证/加密方式

支持WPA（WiFiprotectedaccess）/WPA2即Wi-Fi安全访问协议认证/加密方式

支持WAPI（WLANauthenticationandprivacyinfrastructure）即无线局域网鉴别和保密基础结构认证/加密方式，是中国的无线局域网国家标准体系

支持802.1x认证/加密方式

支持非法AP检测，灵活的组网和环境适应能力，灵活的组网能力，满足接入、桥接（WDS）等多种组网应用场景，强大的环境适应能力，自动选择传输速率、信道和发射功率，自适应射频环境，实时回避干扰自适应带宽管理，自动根据用户数量、环境等因素调整用户带宽分配，改善用户体验，简单的设备管理和维护，AP上线自动发现AC，自动加载配置，即插即用。

支持批量自动升级，网管系统实时监控，实现远程配置和快速故障定位

支持LLDP链路自动发现，快速获取网络拓扑

适用范围

中型企业

传输速率（Mbps）

300Mbps

网络标准

IEEE802.11n，IEEE802.11g，IEEE802.11b，IEEE802.11.a

端口类型

1个千兆接口，1个Console口

状态指示LEDS

SYS指示电源状态，启动加载状态，运行状态，空闲状态，出错状态

产品亮点

支持整机最大用户数达到128个

其它

频率范围：

双频（2.4GHz/5GH）
天线：

内置天线，增益4dBi

4.2s5700-28c-pwr-ei（ac）

基本功能：

基于五元组、IP优先级、TOS、DSCP、IP协议类型、ICMP类型、TCP源端口、VLAN、以太网帧协议类型、CoS等信息，实现复杂流分类功能。

S5700支持基于流的双速三色限速功能，每端口支持8个优先级队列，支持WRR、DRR、SP、WRR＋SP、DRR+SP多种队列调度算法，有效地保证话音、视频和数据业务质量。

提供多种安全保护功能。

支持DoS（DenialofService）类防攻击、网络的防攻击、用户的防攻击等功能。

其中DoS类防攻击主要包括SYNFlood、Land、Smurf、ICMPFlood。

网络的防攻击主要是指STP的BPDU/Root攻击。

用户的防攻击涉及DHCP仿冒攻击、中间人攻击、IP/MACSpoofing攻击、DHCPrequestflood、改变CHADDR值的DoS攻击等等。

支持通过建立和维护DHCPSnooping绑定表，侦听接入用户的MAC/IP地址、租用期、VLAN-ID、接口等信息，解决DHCP用户的IP和端口跟踪定位问题。

同时，对不符合绑定表项的非法报文（ARP欺骗报文、擅自修改IP地址等）直接丢弃。

网管功能：

支持智能堆叠（S5700-HI和S5700S-LI系列除外）支持MFF支持虚拟电缆检测（VirtualCableTest）支持端口镜像和RSPAN（远程端口镜像）支持Telnet远程配置、维护支持SNMPv1/v2/v3支持RMON支持eSight网管系统、支持WEB网管特性支持自动配置支持集群管理HGMP支持HTTPS支持系统日志、分级告警支持GVRP协议支持MUXVLAN功能支持802.3az能效以太网EEE（S5700-LI和S5700-HI支持）支持断电告警Dyinggasp功能（S5700-LI支持）支持NetStream（S5710-EI支持）

产品亮点：

支持Multi-VPN-InstanceCE（MCE）功能，实现了不同VPN用户在同一台设备上的隔离，有效解决用户数据安全问题，同时降低用户投资成本。

支持IGMPv1/v2/v3Snooping，IGMPFilter，IGMPFastLeave和IGMPProxy等协议。

S5700支持线速的跨VLAN组播复制功能，支持捆绑端口的组播负载分担，支持可控组播，充分满足IPTV和其他组播业务的需求。

支持MPLS和VLL功能，可作为高质量企业专线接入设备，是业界为数不多的高性价比盒式MPLS交换机。

不仅支持传统的STP/RSTP/MSTP生成树协议，还支持SmartLink和RRPP（RapidRingPr