校園WIFI項目技術方案

1、校園標準化無線 WIFI 項目方案目錄1 引言. 32 網絡建設原則. 32.1 全面性 . 32.2 可管理性 . 32.3 安全性 . 32.4 可擴展性 . 32.5 經濟性和實用性 . 43 用戶需求 44 WIFI 的覆蓋設計規(guī)劃 44.1 無法覆蓋的網絡規(guī)劃 44.1.1 網絡規(guī)劃 44.1.2 布線規(guī)劃 54.2覆蓋區(qū)域AP及設備數量 64.3 主要設備介紹 64.3.1 無線控制器 AC64.3.2 單頻 AP 124.3.3 PoE 交換機 151 引言隨著互聯網及其應用的高速發(fā)展， 無線網絡、智能終端的普及， 無線網絡使 用需求日益增大，原有的網絡訪問習慣及網絡設施已經難以

2、滿足教師及學生現在 以及未來對網絡的使用需求。同時為了幫助校園實現移動辦公，提高工作效率。 本工程計劃在學校的辦公樓、教學樓、藝術樓、圖書館、體育館等辦公場所進行 WIFI 信號覆蓋。2 網絡建設原則2.1 全面性無線網絡覆蓋設計不僅要保證覆蓋區(qū)域無線網絡的全面性、 穩(wěn)定性，還要能 夠適應今后高帶寬的要求， 滿足日益增長的業(yè)務量需求及設備、 服務的更新要求。2.2 可管理性可以對網絡進行在線監(jiān)控，隨時了解無線網絡的“健康狀態(tài)”，快速定位并 排除故障，并能對網絡帶寬進行資源優(yōu)化，實現流量負載均衡、合理分配，提高 網絡的高利用率。2.3 安全性無線網絡系統提供多種有效的安全加密機制， SSID 用

3、戶隔離，有效降低泄 露和蹭網盜網行為 , 保證無線網絡的安全。2.4 可擴展性應用的不斷發(fā)展要求網絡在性能、 協議、網絡拓撲等方面具備很好的可擴展 性。包含后期無線監(jiān)控部署、局域網絡擴大、帶寬資源更新、設備服務的升級等2.5 經濟性和實用性完全從現有的應用需求出發(fā)， 依場所環(huán)境做覆蓋方案實際部署， 既保證方案 可行性，還能最大程度的降低建設成本。3 用戶需求項目需要對辦公樓各辦公室、 教學樓教師辦公室和特定課室、 圖書館、 體育 館等辦公場所 wifi 信號全覆蓋建設。整個無線系統能夠進行統一的中央控管，能夠支持多種安全策略和認證方式，還能夠方便地進行擴容；同時要現 AP集中管理。實現教職工在

4、整個辦公樓無線覆蓋圍接入點自動切換、 無線漫游，教職工無 需任何過多的配置， 無線網絡可以根據不同用戶名與密碼分配不同網絡帶寬， 有 效保障無線網絡接入速度和良好的無線網絡體驗。4 WIFI 的覆蓋設計規(guī)劃4.1 無法覆蓋的網絡規(guī)劃4.1.1 網絡規(guī)劃根據環(huán)境具體需求選取合適的無線 AP接入點，如大會議室選用高增益雙頻 吸頂式AP滿足高密度、高強度的無線網絡需求。另外根據 AP到交換機的距 離不一采用不同供電方式，如：網線長度大于 60米的使用DC供電方式，長 度小于60米的使用PoE供電方式；已有有線網絡且網線具體小于60米需新增無線的僅需考慮P0職電交換機、 AC無線控制器、AP接入點以及

5、當前主路由的負載能力。根據環(huán)境結構確定 AP數量，吸頂式AP空曠環(huán)境覆蓋直徑20-30M;透過辦公樓2樓機柜里的無線控制器（AC，統一管理、配置、監(jiān)控各樓層的 AP；布線規(guī)劃局域網交換機之間根據距離確定傳輸介質（光纖或以太網線），大于 100M 的距離需使用光纖傳輸，收發(fā)設備可選用光纖收發(fā)器或交換機插光纖模塊收 發(fā)；100 M圍可使用以太網線傳輸。POE供電交換機到AP之間采用標準POE供電，為保證傳輸質量傳輸距離應在 60M以，網線質量差異會產生一定衰減，推薦圍在 50M以。需合理規(guī)劃供電 交換機位置確保供電及數據傳輸穩(wěn)定有效。Xxx學校wifi案例拓撲圖：XXX中學校園wifi網絡拓撲圖4

6、.2覆蓋區(qū)域AP及設備數量經勘查，根據用戶需求規(guī)劃 AP及設備如下：每棟樓均已有網絡布線，新增 AP連接到新交換機，新交換機放到該樓弱電 機房，與學校該樓已有的接入交換機其中1個百兆電口（由學校分配）對接，利舊原接入交換機的上連通道匯聚到核心機房 （高一二教學樓C棟4樓）的核 心交換機后，通過學校已有的教育網專線，利用教育網的統一上網出口連上 互聯網。配置1臺無線控制器AC，掛在學校已有的核心交換機上，由學校分配核心交 換機1個電口接入。配置的AP AC設備滿足與教育局的 WIFI認證平臺能兼容，滿足通過教育局 的WIFI認證平臺來進行 WIFI的認證。如果部分上連通道是學校已有的設備，因此涉

7、及到 WIFI的調通需在學校已 有設備上配置的，由學校負責；本次新建的設備由電信負責。辦公室AP量化需求：1. 辦公樓：2. 教學樓：3. 藝術樓：4. 圖書館：5. 體育館：4.3主要設備介紹無線控制器AC項目支持特性無線控制器參考參數基礎性能缺省管理AP數64License 步長32項目支持特性無線控制器參考參數最大管理AP數256可配置最大AP數10243O2.11MAC802.11協議簇支持多SSID（每射頻口）16隱藏SSID支持11G保護支持11n only支持用戶數限制支持：基于SSID、Radio的用戶數限制用戶在線檢測支持用戶無流量自動老化支持多國家碼部署支持無線用戶隔離支持

8、：1、無線用戶二層隔離2、基于SSID的無線用戶隔離40MHZ模式的20MHz/40MHz自動切換支持本地轉發(fā)支持：基于SSID+VLAN的本地轉發(fā)CAPWAP自動輸入AP序列號支持AC發(fā)現（DHCP option43、DNS方式）支持IPv6隧道支持時鐘同步支持Jumbo幀發(fā)送支持AP雙上行隧道鏈路支持通過AC配置AP基本 網絡參數支持：配置靜態(tài)IP、VLAN接入的AC地址等AP與AC間穿越NAT支持漫游能力同一 AC,不同APT二、三層漫游支持項目支持特性無線控制器參考參數不同ACI可,不同APT二、三層漫游支持接入控制Open system、Shared-Key支持WEP-64/128、

9、動態(tài) WE支持WPA WPA2支持TKIP支持CCMP支持（11n推薦）WAPI可選支持SSH v1.5/v2.0支持無線EAD終端準入控制）支持Portal認證支持：遠程、外掛服務器Portal頁面推送支持：基于 SSID、AP的Portal頁面推送Portal 穿越 Proxy支持802.1X認證支持：EAP-TLS EAP-TTLS EAP-PEAP EAP-MD 5 EAP-SIM LEAR EAP-FASTEAP offload （ 僅支持 TLS, PEAP）本地認證支持：802.1X、Portal、MAC認證LDAP認證支持：1、支持802.1X與Portal接入2、802.1X

10、 接入時支持 EAP-GT（和 EAP-TLS基本位置的用戶接入 控制支持訪客接入支持VIP通道支持ARP防攻擊支持：無線SAVISSID防假冒支持：用戶名與SSID綁定基于域、SSID選擇AAA服務器支持項目支持特性無線控制器參考參數AAA!務器備份支持無線用戶的本地AAA服務器支持TACACS+支持QoS優(yōu)先級映射支持L2-L4流分類支持流量限速支持：流控粒度8Kbps802.11e/WMM支持基于用戶角色(UserProfile) 的接入控制支持智能帶寬限速-基于帶寬均分算法支持智能帶寬限速-基于 每用戶指定帶寬的算 法支持智能帶寬保障支持：在流量未擁塞時，確保不同優(yōu)先級SSID下的報文

11、都可以自由通過； 在流量擁塞時，確保每個 SSID可以保持各自約定的最小帶寬QoS Optimization for SVP phone支持CAC(Call AdmissionControl)支持：基于用戶數/帶寬的CAC端到端QoS支持AP上行口限速支持無線資源管理國家碼鎖定支持靜態(tài)信道、功率設置支持動態(tài)信道、功率設置支持動態(tài)速率調節(jié)支持空口黑洞檢測和補償支持負載均衡維度支持：基于流量、用戶、頻段(雙頻支持)智能負載均衡支持項目支持特性無線控制器參考參數AP均衡組支持：自動發(fā)現并靈活設定安全防御靜態(tài)黑支持動態(tài)黑支持白支持非法AP檢測支持：基于 SSID、BSSID 設備 OUI等非法AP反制

12、支持防無線泛洪攻擊(Flooding Attack)支持防仿冒攻擊(Spoof Attack)支持防Weak IV攻擊支持wIPS支持：可實現7層移動安全防御二層協議ARP弋答支持802.1p支持802.1q支持802.1x支持可聚合端口數目4廣播風暴抑制支持P協議IPv4協議支持Native IPv6(原生)支持IPv6 SAVI支持IPv6 Portal支持組播協議MLD Snooping支持IGMP Snooping支持組播組數目256組播轉單播(IPv4、IPv6)支持：可依據環(huán)境設置單播接入閾值備份VRRP支持項目支持特性無線控制器參考參數AC 間 1+1、N+1、N+N備份支持AC

13、間快速切換300ms快速檢測/3s切換AC間AP數負荷分擔支持Remote AP支持DHCP Server 雙機熱備支持Portal雙機熱備支持網管與配置管理方式支持：WEB SNMP v1/v2/v3、RMON等配置方式支持：WEB CLI、TELNET FTP等無線定位AeroScout 定位支持綠色節(jié)能按需定時關閉AP射頻口支持按需定時關閉無線服 務支持逐包功率控制(PPC)支持WLANs合應用RF Ping支持遠程探針分析支持實時頻譜防護(RTSG)支持智能無線業(yè)務感知(wlAA)支持報文發(fā)送公平調度機 制支持802.11n報文發(fā)送抑制支持基于連接狀況的流量整形支持調整AP間信道共享支

14、持調整AP間信道重用支持射頻接口發(fā)送速率調整算法支持項目支持特性無線控制器參考參數忽略弱信號無線報文支持禁止弱信號客戶端接入支持禁止組播報文緩存支持Blink狀態(tài)檢測（部分AP）支持432單頻AP實現咼性能無線接入和最佳無線網絡 TCO遵從802.11 n協議標準，采用專業(yè)模塊化設計，單射頻能提供高達 300Mbps的無線接入速度，是相同環(huán)境下 802.11a/b/g產品的6倍左右。通 過特有的置集成智能射頻覆蓋優(yōu)化技術，可以有效地從覆蓋圍、接入密度、 運行穩(wěn)定等方面提供更高性能的無線接入服務并協助用戶實現最佳無線網絡 TCO總擁有成本 /Total Cost of Ownership）。綠色

15、低碳設計采用專業(yè)綠色低碳設計，功耗小于 10W而標準的802.3af（PoE）供電為15.4W 這就意味著該 AP可以使用普通PoE交換機（如H3C S3000/S5000系 列PoE交換機）進行供電，供電距離可達100m使用PoE交換機供電不僅可 以方便施工，開關和重置無線設備時也無需現場操作，只需要遠程控制PoE交換機端口，從而有效地提高無線網絡的管理靈活性并降低網絡維護難度。提供千兆以太網接口有線連接上行接口采用千兆以太網接口接入， 突破了傳統百兆以太網接口的限制， 使有線口不再成為無線接入的速率瓶頸， 為將來支持更高速率更多射頻組合 提供了平滑升級的平臺。支持Fat/Fit兩種模式支持

16、Fat和Fit兩種工作模式，根據網絡規(guī)劃的需要，可以靈活地在Fat和Fit兩種工作模式中切換，同時用戶可以根據應用需求，靈活選擇所需的設備出廠版本 （Fat 模式版本或 Fit 模式版本 ） 。當客戶的無線網絡初始規(guī)模較小時，客戶只需采購該無線設備，并設置 其工作模式為 Fat 模式。隨著客戶網絡規(guī)模的不斷擴容， 當網絡中應用的 WA2 無線設備達到幾十甚至上百臺時，為降低網絡管理的復雜度，建議客戶采購 同品牌自主研發(fā)的 WX系列無線控制器設備，便于集中管理網絡中的所有的AP無線設備，此時只需將其工作模式切換到 Fit模式。作為同時支持 Fat/Fit 兩種工作模式的高速超百兆無線接入設備，

17、工作模 式切換過程只需要簡易命令行，且可以通過設備網管批量執(zhí)行，有利于將客 戶的無線網絡由小型網絡平滑升級到大型網絡，從而更好地保護用戶的投 資，非常適合運營級大規(guī)模無線網絡的平滑擴容升級。提供本地轉發(fā)功能 當 AP（Fit 模式）通過廣域網方式轉發(fā)時， 無線接入設備部署在分支機構， 而無線控制器部署在總部，所有用戶數據由無線接入設備發(fā)送到無線控制器，再由無線控制器進行集中轉發(fā)，導致轉發(fā)效率低下。AP可將數據報文在 無線接入設備上直接轉化為有線格式的報文， 使得數據報文不經過無線控制 器，而是在本地進行轉發(fā)，大大提高了轉發(fā)效率。支持 IPv4/IPv6 雙協議棧全面支持IPv6特性，設備實現了

18、 IPv4/IPv6雙協議棧。通過與 WX系列 無線控制器建立IPv6隧道，無論原有有線網絡是IPv4還是IPv6，該AP都 可以自由的與 W煉列控制器進行通信，不會成為網絡中的信息孤島。支持智能負載均衡 支持按接入用戶數量和流量的復雜均衡方式，當無線控制器發(fā)現無線接 入設備的負載超過設定的門限值以后， 對于新接入的用戶無線控制器會自動 計算此用戶周圍是否還有負載較輕的無線接入設備可供用戶接入， 如果有則 會拒絕用戶的關聯請求，用戶會轉而接入其他負載較輕的無線接入設備，但 如果無線用戶不在重疊覆蓋區(qū)， 傳統的負載均衡方式往往會導致連接不上網絡，造成誤均衡。H3C公司創(chuàng)新性的支持智能負載均衡技術

19、，保證只對處于 覆蓋重疊區(qū)的無線用戶才啟動負載均衡功能，有效的避免誤均衡的出現，從而最大限度的提高了無線網絡容量。提供 only 11n 接入功能 由于802.11 n向下兼容802.11a/b/g 協議，故通常情況下，802.11a/b/g 用戶也能接入到 802.11n 的無線接入設備上。但這種兼容能力的提供，會造 成具備 802.11n 接入能力的用戶實際使用性能產生一定程度的下降。 支持將 設備的射頻設置為 only 11n 模式，使得 802.11n 接入用戶的高速帶寬和接 入性能得到保證。支持中國標準 WAPI除了支持WLA國際標準802.11i，還支持中國無線局域網國家標準GB1

20、5629.11-2003 中提出的 WAP標準。支持無線入侵檢測/防御(WIDS/WIPS) 工作在 Fat 模式時，支持黑和白等無線用戶接入控制特性。 WA2612-AGN 工作在Fit模式時，配合H3C自主研發(fā)的WX系列無線控制器設備，可以同 時支持Rogue檢測、入侵檢測以及黑和白等 WIDS/WIPSI性。提供EADS線接入 終端準入控制 (EAD， End user Admission Domination) 解決方案從控制 用戶終端安全接入網絡的角度入手，整合網絡接入控制與終端安全產品，對 接入網絡的用戶終端強制實施企業(yè)安全策略，通過與安全策略服務器的聯 動，可以對感染病毒或存在系統漏洞等不合格的無線客戶端進行下線、 隔離、 提醒或監(jiān)控等多種方式的處理， 只有無線客戶端符合相應的安全策略之后才 允許正常訪問網絡，從而提高了無線網絡的整體安全性。支持中文 SSID支持使用中文SSID,可指定最長包含32個漢字的SSID,也可以使用中 英文混合的SSID,為國用戶提供了更大的使用便利。支持TR-069特性(CWMP)支持TR-069特性，此特性方便網管人員從網絡側對位置分散的無線接入設備進行遠程集中管理。TR-069是由DSL論壇(.)所開發(fā)的