無線網絡施工方案

無線網絡建設方案2.1 總體方案設計組網拓撲如下：本項目建議采用“FIT AP + 無線控制器”的組網模式，辦公樓每個房間面積較小、使用要求較高，建議采用基于802.11ac技術的吸頂/壁掛式AP（AP2000-2C），建議每個房間部署一個，共計18個AP2000-2C，保證教職工辦公的高效與穩(wěn)定；教學樓每個教室面積較大，對AP的覆蓋范圍要求較高，建議采用迪普科技吸頂/壁掛式AP（AP2000-2C），建議每個教室部署一個，共計45個AP2000-2C；綜合樓為400平米食堂及400平米閱覽室，需要部署多個吸頂/壁掛式AP（AP2000-2C），吸頂/壁掛式AP保守覆蓋半徑為10m，保守覆蓋面積為314平米，故每層需部署2個吸頂/壁掛式AP才能完成整個綜合樓無線全覆蓋，共計4個AP2000-2C；宿舍相對面積較小、速率要求相對較低，建議每個宿舍部署一個迪普科技嵌墻式AP（AP2000-2W）完成宿舍無線全覆蓋，共計200個；運動場地處于室外環(huán)境，需要部署室外AP，室外AP（AP2000-2X）保守覆蓋半徑為300米，可實現(xiàn)運動場無線全覆蓋，共計1個；建議于核心交換機旁掛高性能ACS6000-GC無線控制器，實現(xiàn)對所有無線AP的統(tǒng)一管理、下發(fā)策略。建議辦公樓部署1臺24口POE交換機LSW3600-24GT4GP-PWR，教學樓部署1臺48口POE交換機LSW3600-48GT4GP-PWR，綜合樓部署1臺8口POE交換機LSW3600-8GT2GC-PWR，宿舍樓部署4臺48口POE交換機LSW3600-48GT4GP-PWR、1臺24口POE交換機LSW3600-24GT4GP-PWR，運動場部署1臺8口POE交換機LSW3600-8GT2GC-PWR，用于網絡互連及無線POE供電；建議部署2臺高性能框式交換機DPX8000-A3進行冗余備份，用于核心互聯(lián)、高并發(fā)數(shù)據(jù)交付；建議部署2臺下一代防火墻進行冗余備份，實現(xiàn)地址轉換、l2-7層安全防護。2.2 方案要點2.2.1 頻點規(guī)劃由于每一層樓面都存在多個入墻式AP以及吸頂式AP，在無線覆蓋上需要提前做好信道規(guī)劃。在2.4GHz頻段下，互不干擾的頻段有3個，分別是1信道，6信道和11信道。同一樓層的房間WiFi信道規(guī)劃采用蜂窩式規(guī)劃，如下圖。3個互不相鄰的獨立信道保證了整個樓層的無線覆蓋沒有同頻干擾。并且由于入墻式AP的發(fā)射功率不像傳統(tǒng)AP那么大，從三維的角度，不同樓層的房間，上下也不會產生同頻干擾，保證了無線信號的質量。2.2.2 鏈路預算在的無線網絡規(guī)劃中，鏈路預算通常分為三個步驟：1. 根據(jù)接收靈敏度、衰落冗余、干擾冗余、業(yè)務承載能力需求等參數(shù)得到接收點處所需要的接收功率；2. 再根據(jù)發(fā)射源的實際發(fā)射功率，計算出在室內所允許的路徑損耗（室內路徑損耗等于自由空間損耗加上附加損耗因子，且隨距離成指數(shù)增長）；3. 最后結合合適的傳播模型，計算出平均覆蓋距離。而就電波空間傳播損耗而言，2.4GHz頻段的電磁波有近似的路徑傳播損耗，計算公式為：PathLoss(dB) = 46 + 10 * n *Log D（m）其中D為傳播路徑，n為衰減因子。針對不同的無線環(huán)境，衰減因子n的取值有所不同。一般來說，對于全開放環(huán)境下n的取值為2.02.5；對于半開放環(huán)境下n的取值為2.53.0；對于較封閉環(huán)境下n的取值為3.03.5。在環(huán)境中取值n=3。根據(jù)最大允許的鏈路損耗t、以及實際測量得到的衰減因子n，根據(jù)上述公式即可計算出最大覆蓋距離D。2.4G無線鏈路預算如下表：參數(shù)數(shù)值備注總體工作頻點2.4G調制速率(Mbps)MCS9（26Mbps）發(fā)射機節(jié)點發(fā)射功率(dBm)（帶天線）15A身體損耗（dB）0.00D接收機終端接收靈敏度(dBm)-79.00F選擇合并增益(dB)0H接收天線0G線纜損耗 1.5I覆蓋概率99.0%標準方差4陰影衰落余量(dB)2.5M快衰落余量(dB)6N噪聲惡化(dB)3P最小接收功率(dBm)-66r=f-h-g+i+m+n+p最大允許的鏈路損耗(dB)81t=a-r所以，2.4G在滿足無線傳輸速率為MCS9時，可以覆蓋的范圍大于14m。恰好可以覆蓋整個房間。2.2.3 無線安全機制入墻式AP為行業(yè)提供了完善的安全機制，除了沿用業(yè)界在安全領域取得的最新成果外（如802.11i、WAPI等），還在入墻式AP和用戶終端之間加入私有協(xié)議，使空口非法接入和截獲數(shù)據(jù)成為不可能。 鑒權無線傳輸系統(tǒng)支持802.1X鑒權，支持RADIUS接口，包括：1. WPA-PSK2. WPA的EAP鑒權，與RADIUS鑒權服務器配合支持PEAP, LEAP等鑒權方式。3. RSN/WPA2 (IEEE 802.11i), 包括PMKSA緩沖和預鑒權（pre-authentication）無線傳輸系統(tǒng)支持微信認證以及應用識別等功能。 安全加密無線覆蓋系統(tǒng)支持以下數(shù)據(jù)加密算法：1. WEP 40/WEP 104：WEP算法已經被廣泛研究并攻擊，由于WEP加密的缺陷，經過WEP加密的數(shù)據(jù)容易被監(jiān)聽破譯，一般不再被采用。2. TKIP：RC4加密，密鑰長度128 bit。RC4加密算法可以保證現(xiàn)有系統(tǒng)與新系統(tǒng)之間的兼容性，但是由于RC4算法本身的缺陷，對于安全性較高的場合，一般不推薦使用TKIP算法。3. CCMP：AES加密，密鑰長度128 bit。AES算法經過密碼專家多年的研究，證明了其可靠性。AES算法也是其他安全系統(tǒng)中被廣泛使用的算法。在安全性要求較高的地方，推薦用CCMP算法。以下是CCMP的加密報文格式：CCMP的加密流程如下： CCMP的加密核心算法是AES，同時CCMP的設計中通過增加序號和消息摘要的保護等機制，可以有效的防止重放攻擊等非法入侵手段。 禁止入墻式AP的SSID廣播根據(jù)應用環(huán)境需求，入墻式AP設備可設置隱藏SSID，即禁止入墻式AP的SSID廣播。防止非法偵聽和侵入，無線客戶端必須提供正確的SSID才能與無線訪問點進行連接，否則根本搜索不到無線訪問點的存在。 ACL無線網絡控制器根據(jù)業(yè)務需要，可以根據(jù)MAC，IP，協(xié)議，端口等條件設置允許訪問或禁止訪問規(guī)則，避免非法數(shù)據(jù)的傳輸。 入侵檢測入墻式AP可以記錄不成功的接入嘗試，并上報到無線網絡控制器。無線網絡控制器對此類接入嘗試告警，以提醒系統(tǒng)管理員可能存在的安全問題。 HTTPS支持HTTPS，所有對終端的WEB配置和修改，都通過加密方式進行，避免惡意監(jiān)聽導致密碼和用戶名的泄露。 DDOS防御優(yōu)化系統(tǒng)參數(shù)，可以防止典型的DDOS攻擊。三、產品選型序號產品型號產品描述數(shù)量1無線AP-室內APAP2000-2CDPtech AP2000-2C內置天線雙頻802.11ac/n無線接入點67AP2000-2WDPtech AP2000-2W嵌墻型雙頻雙通道無線接入點2002無線AP-室外APAP2000-2XDPtech AP2000-2X室外雙頻802.11ac/n無線接入點1SL12872A天線,5GHz-14dBi,雙極化板型天線,N型2,室外1SL12889C天線,2.42.5GHz-15dBi,雙極化板型天線,N型2,室外1N-JRG8-1/ N-JRG8-1-1830射頻電纜,1.83m,N50直公-N50直公43無線控制器ACS6000-GCDPtech ACS6000-GC無線控制器含32個AP授權1LIS-ACS6000-Blade-128DPtech ACS6000系列128個AP接入允許24POE交換機LSW3600-8GT2GC-PWRLSW3600-8GT2GC-PWR AC主機，8口2LSW3600-24GT4GP-PWRDPtech LSW3600-24GT4GP-PWR主機，24口2LSW3600-48GT4GP-PWRDPtech LSW3600-48GT4GP-PWR主機，48口5SFP-G-LX15-SM1310DPtech SFP千兆光模塊,單模,(1310nm,15km,LC)，光模塊185核心交換機DPX8000-A3DPtech DPX8000-A3 主機2DXPDPtech MPUB適配器2MPUBDPtech MPUB 主控模塊412GT12GP-CDPtech 24端口以太網接口模塊(12*SFP+12*RJ45)（C類）2PWR-AC650DPtech 650W交流電源模塊46下一代防