校園WIFI項(xiàng)目技術(shù)方案設(shè)計(jì)

校園標(biāo)準(zhǔn)化無線WIFI項(xiàng)目方案xxx有限公司目錄TOC1引言 32網(wǎng)絡(luò)建設(shè)原則 32.1全面性 32.2可管理性 32.3安全性 32.4可擴(kuò)展性 42.5經(jīng)濟(jì)性和實(shí)用性 43用戶需求 44WIFI的覆蓋設(shè)計(jì)規(guī)劃 44.1無法覆蓋的網(wǎng)絡(luò)規(guī)劃 44.1.1網(wǎng)絡(luò)規(guī)劃 44.1.2布線規(guī)劃 54.2覆蓋區(qū)域AP及設(shè)備數(shù)量 64.3主要設(shè)備介紹 74.3.1無線控制器AC 74.3.2單頻AP 134.3.3PoE交換機(jī) 16引言隨著互聯(lián)網(wǎng)及其應(yīng)用的高速發(fā)展，無線網(wǎng)絡(luò)、智能終端的普及，無線網(wǎng)絡(luò)使用需求日益增大，原有的網(wǎng)絡(luò)訪問習(xí)慣及網(wǎng)絡(luò)設(shè)施已經(jīng)難以滿足教師及學(xué)生現(xiàn)在以及未來對網(wǎng)絡(luò)的使用需求。同時(shí)為了幫助校園實(shí)現(xiàn)移動辦公，提高工作效率。本工程計(jì)劃在學(xué)校的辦公樓、教學(xué)樓、藝術(shù)樓、圖書館、體育館等辦公場所進(jìn)行WIFI信號覆蓋。網(wǎng)絡(luò)建設(shè)原則全面性無線網(wǎng)絡(luò)覆蓋設(shè)計(jì)不僅要保證覆蓋區(qū)域無線網(wǎng)絡(luò)的全面性、穩(wěn)定性，還要能夠適應(yīng)今后高帶寬的要求，滿足日益增長的業(yè)務(wù)量需求及設(shè)備、服務(wù)的更新要求?？晒芾硇钥梢詫W(wǎng)絡(luò)進(jìn)行在線監(jiān)控，隨時(shí)了解無線網(wǎng)絡(luò)的“健康狀態(tài)”，快速定位并排除故障，并能對網(wǎng)絡(luò)帶寬進(jìn)行資源優(yōu)化，實(shí)現(xiàn)流量負(fù)載均衡、合理分配，提高網(wǎng)絡(luò)的高利用率。安全性無線網(wǎng)絡(luò)系統(tǒng)提供多種有效的安全加密機(jī)制，SSID用戶隔離，有效降低機(jī)密泄露和蹭網(wǎng)盜網(wǎng)行為,保證無線網(wǎng)絡(luò)的安全?？蓴U(kuò)展性應(yīng)用的不斷發(fā)展要求網(wǎng)絡(luò)在性能、協(xié)議、網(wǎng)絡(luò)拓?fù)涞确矫婢邆浜芎玫目蓴U(kuò)展性。包含后期無線監(jiān)控部署、局域網(wǎng)絡(luò)擴(kuò)大、帶寬資源更新、設(shè)備服務(wù)的升級等等。經(jīng)濟(jì)性和實(shí)用性完全從現(xiàn)有的應(yīng)用需求出發(fā)，依場所環(huán)境做覆蓋方案實(shí)際部署，既保證方案可行性，還能最大程度的降低建設(shè)成本。3用戶需求項(xiàng)目需要對辦公樓各辦公室、教學(xué)樓教師辦公室和特定課室、圖書館、體育館等辦公場所wifi信號全覆蓋建設(shè)。整個(gè)無線系統(tǒng)能夠進(jìn)行統(tǒng)一的中央控管，能夠支持多種安全策略和認(rèn)證方式，還能夠方便地進(jìn)行擴(kuò)容；同時(shí)要現(xiàn)AP集中管理。實(shí)現(xiàn)教職工在整個(gè)辦公樓無線覆蓋圍接入點(diǎn)自動切換、無線漫游，教職工無需任何過多的配置，無線網(wǎng)絡(luò)可以根據(jù)不同用戶名與密碼分配不同網(wǎng)絡(luò)帶寬，有效保障無線網(wǎng)絡(luò)接入速度和良好的無線網(wǎng)絡(luò)體驗(yàn)。4WIFI的覆蓋設(shè)計(jì)規(guī)劃4.1無法覆蓋的網(wǎng)絡(luò)規(guī)劃4.1.1網(wǎng)絡(luò)規(guī)劃根據(jù)環(huán)境具體需求選取合適的無線AP接入點(diǎn)，如大會議室選用高增益雙頻吸頂式AP滿足高密度、高強(qiáng)度的無線網(wǎng)絡(luò)需求。另外根據(jù)AP到交換機(jī)的距離不一采用不同供電方式，如：網(wǎng)線長度大于60米的使用DC供電方式，長度小于60米的使用PoE供電方式；已有有線網(wǎng)絡(luò)且網(wǎng)線具體小于60米需新增無線的僅需考慮POE供電交換機(jī)、AC無線控制器、AP接入點(diǎn)以及當(dāng)前主路由的負(fù)載能力。根據(jù)環(huán)境結(jié)構(gòu)確定AP數(shù)量，吸頂式AP空曠環(huán)境覆蓋直徑20-30M；透過辦公樓2樓機(jī)柜里的無線控制器（AC），統(tǒng)一管理、配置、監(jiān)控各樓層的AP；4.1.2布線規(guī)劃局域網(wǎng)交換機(jī)之間根據(jù)距離確定傳輸介質(zhì)（光纖或以太網(wǎng)線），大于100M的距離需使用光纖傳輸，收發(fā)設(shè)備可選用光纖收發(fā)器或交換機(jī)插光纖模塊收發(fā)；100M圍可使用以太網(wǎng)線傳輸。POE供電交換機(jī)到AP之間采用標(biāo)準(zhǔn)POE供電，為保證傳輸質(zhì)量傳輸距離應(yīng)在60M以，網(wǎng)線質(zhì)量差異會產(chǎn)生一定衰減，推薦圍在50M以。需合理規(guī)劃供電交換機(jī)位置確保供電及數(shù)據(jù)傳輸穩(wěn)定有效。Xxx學(xué)校wifi案例拓?fù)鋱D：xxx中學(xué)校園wifi網(wǎng)絡(luò)拓?fù)鋱D4.2覆蓋區(qū)域AP及設(shè)備數(shù)量經(jīng)勘查，根據(jù)用戶需求規(guī)劃AP及設(shè)備如下：每棟樓均已有網(wǎng)絡(luò)布線，新增AP連接到新交換機(jī)，新交換機(jī)放到該樓弱電機(jī)房，與學(xué)校該樓已有的接入交換機(jī)其中1個(gè)百兆電口(由學(xué)校分配)對接，利舊原接入交換機(jī)的上連通道匯聚到核心機(jī)房(高一二教學(xué)樓C棟4樓)的核心交換機(jī)后，通過學(xué)校已有的教育網(wǎng)專線，利用教育網(wǎng)的統(tǒng)一上網(wǎng)出口連上互聯(lián)網(wǎng)。配置1臺無線控制器AC，掛在學(xué)校已有的核心交換機(jī)上，由學(xué)校分配核心交換機(jī)1個(gè)電口接入。配置的AP、AC設(shè)備滿足與教育局的WIFI認(rèn)證平臺能兼容，滿足通過教育局的WIFI認(rèn)證平臺來進(jìn)行WIFI帳號的認(rèn)證。如果部分上連通道是學(xué)校已有的設(shè)備，因此涉及到WIFI的調(diào)通需在學(xué)校已有設(shè)備上配置的，由學(xué)校負(fù)責(zé)；本次新建的設(shè)備由電信負(fù)責(zé)。辦公室AP量化需求：1.辦公樓：2.教學(xué)樓：3.藝術(shù)樓：4.圖書館：5.體育館：4.3主要設(shè)備介紹4.3.1無線控制器AC項(xiàng)目支持特性無線控制器參考參數(shù)基礎(chǔ)性能缺省管理AP數(shù)64License步長32最大管理AP數(shù)256可配置最大AP數(shù)1024802.11MAC802.11協(xié)議簇支持多SSID(每射頻口)16隱藏SSID支持11G保護(hù)支持11nonly支持用戶數(shù)限制支持：基于SSID、Radio的用戶數(shù)限制用戶在線檢測支持用戶無流量自動老化支持多碼部署支持無線用戶隔離支持：1、無線用戶二層隔離2、基于SSID的無線用戶隔離40MHz模式的20MHz/40MHz自動切換支持本地轉(zhuǎn)發(fā)支持：基于SSID+VLAN的本地轉(zhuǎn)發(fā)CAPWAP自動輸入AP序列號支持AC發(fā)現(xiàn)(DHCPoption43、DNS方式)支持IPv6隧道支持時(shí)鐘同步支持Jumbo幀發(fā)送支持AP雙上行隧道鏈路支持通過AC配置AP基本網(wǎng)絡(luò)參數(shù)支持：配置靜態(tài)IP、VLAN、接入的AC地址等AP與AC間穿越NAT支持漫游能力同一AC,不同AP下二、三層漫游支持不同AC間,不同AP下二、三層漫游支持接入控制Opensystem、Shared-Key支持WEP-64/128、動態(tài)WEP支持WPA、WPA2支持TKIP支持CCMP支持(11n推薦)WAPI可選支持SSHv1.5/v2.0支持無線EAD(終端準(zhǔn)入控制)支持Portal認(rèn)證支持：遠(yuǎn)程、外掛服務(wù)器Portal頁面推送支持：基于SSID、AP的Portal頁面推送Portal穿越Proxy支持802.1x認(rèn)證支持：EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-MD5、EAP-SIM、LEAP、EAP-FAST、EAPoffload(僅支持TLS,PEAP)本地認(rèn)證支持：802.1X、Portal、MAC認(rèn)證LDAP認(rèn)證支持：1、支持802.1X與Portal接入2、802.1X接入時(shí)支持EAP-GTC和EAP-TLS基本位置的用戶接入控制支持訪客接入支持VIP通道支持ARP防攻擊支持：無線SAVISSID防假冒支持：用戶名與SSID綁定基于域、SSID選擇AAA服務(wù)器支持AAA服務(wù)器備份支持無線用戶的本地AAA服務(wù)器支持TACACS+支持QoS優(yōu)先級映射支持L2-L4流分類支持流量限速支持：流控粒度8Kbps802.11e/WMM支持基于用戶角色(UserProfile)的接入控制支持智能帶寬限速-基于帶寬均分算法支持智能帶寬限速-基于每用戶指定帶寬的算法支持智能帶寬保障支持：在流量未擁塞時(shí)，確保不同優(yōu)先級SSID下的報(bào)文都可以自由通過；在流量擁塞時(shí)，確保每個(gè)SSID可以保持各自約定的最小帶寬QoSOptimizationforSVPphone支持CAC(CallAdmissionControl)支持：基于用戶數(shù)/帶寬的CAC端到端QoS支持AP上行口限速支持無線資源管理碼鎖定支持靜態(tài)信道、功率設(shè)置支持動態(tài)信道、功率設(shè)置支持動態(tài)速率調(diào)節(jié)支持空口黑洞檢測和補(bǔ)償支持負(fù)載均衡維度支持：基于流量、用戶、頻段(雙頻支持)智能負(fù)載均衡支持AP均衡組支持：自動發(fā)現(xiàn)并靈活設(shè)定安全防御靜態(tài)黑支持動態(tài)黑支持白支持非法AP檢測支持：基于SSID、BSSID、設(shè)備OUI等非法AP反制支持防無線泛洪攻擊(FloodingAttack)支持防仿冒攻擊(SpoofAttack)支持防WeakIV攻擊支持wIPS支持：可實(shí)現(xiàn)7層移動安全防御二層協(xié)議ARP代答支持802.1p支持802.1q支持802.1x支持可聚合端口數(shù)目4廣播風(fēng)暴抑制支持IP協(xié)議IPv4協(xié)議支持NativeIPv6(原生)支持IPv6SAVI支持IPv6Portal支持組播協(xié)議MLDSnooping支持IGMPSnooping支持組播組數(shù)目256組播轉(zhuǎn)單播(IPv4、IPv6)支持：可依據(jù)環(huán)境設(shè)置單播接入閾值備份VRRP支持AC間1+1、N+1、N+N備份支持AC間快速切換300ms快速檢測/3s切換AC間AP數(shù)負(fù)荷分擔(dān)支持RemoteAP支持DHCPServer雙機(jī)熱備支持Portal雙機(jī)熱備支持網(wǎng)管與配置管理方式支持：WEB、SNMPv1/v2/v3、RMON等配置方式支持：WEB、CLI、TELNET、FTP等無線定位AeroScout定位支持綠色節(jié)能按需定時(shí)關(guān)閉AP射頻口支持按需定時(shí)關(guān)閉無線服務(wù)支持逐包功率控制(PPC)支持WLAN綜合應(yīng)用RFPing支持遠(yuǎn)程探針分析支持實(shí)時(shí)頻譜防護(hù)(RTSG)支持智能無線業(yè)務(wù)感知(wIAA)支持報(bào)文發(fā)送公平調(diào)度機(jī)制支持802.11n報(bào)文發(fā)送抑制支持基于連接狀況的流量整形支持調(diào)整AP間信道共享支持調(diào)整AP間信道重用支持射頻接口發(fā)送速率調(diào)整算法支持忽略弱信號無線報(bào)文支持禁止弱信號客戶端接入支持禁止組播報(bào)文緩存支持Blink狀態(tài)檢測(部分AP)支持4.3.2單頻AP實(shí)現(xiàn)高性能無線接入和最佳無線網(wǎng)絡(luò)TCO◆遵從802.11n協(xié)議標(biāo)準(zhǔn)，采用專業(yè)模塊化設(shè)計(jì)，單射頻能提供高達(dá)300Mbps的無線接入速度，是相同環(huán)境下802.11a/b/g產(chǎn)品的6倍左右。通過特有的置集成智能射頻覆蓋優(yōu)化技術(shù)，可以有效地從覆蓋圍、接入密度、運(yùn)行穩(wěn)定等方面提供更高性能的無線接入服務(wù)并協(xié)助用戶實(shí)現(xiàn)最佳無線網(wǎng)絡(luò)TCO(總擁有成本/TotalCostofOwnership)。綠色低碳設(shè)計(jì)◆采用專業(yè)綠色低碳設(shè)計(jì)，功耗小于10W，而標(biāo)準(zhǔn)的802.3af(PoE)供電為15.4W，這就意味著該AP可以使用普通PoE交換機(jī)(如H3CS3000/S5000系列PoE交換機(jī))進(jìn)行供電，供電距離可達(dá)100m。使用PoE交換機(jī)供電不僅可以方便施工，開關(guān)和重置無線設(shè)備時(shí)也無需現(xiàn)場操作，只需要遠(yuǎn)程控制PoE交換機(jī)端口，從而有效地提高無線網(wǎng)絡(luò)的管理靈活性并降低網(wǎng)絡(luò)維護(hù)難度。提供千兆以太網(wǎng)接口有線連接◆上行接口采用千兆以太網(wǎng)接口接入，突破了傳統(tǒng)百兆以太網(wǎng)接口的限制，使有線口不再成為無線接入的速率瓶頸，為將來支持更高速率更多射頻組合提供了平滑升級的平臺。支持Fat/Fit兩種模式◆支持Fat和Fit兩種工作模式，根據(jù)網(wǎng)絡(luò)規(guī)劃的需要，可以靈活地在Fat和Fit兩種工作模式中切換，同時(shí)用戶可以根據(jù)應(yīng)用需求，靈活選擇所需的設(shè)備出廠版本(Fat模式版本或Fit模式版本)?！舢?dāng)客戶的無線網(wǎng)絡(luò)初始規(guī)模較小時(shí)，客戶只需采購該無線設(shè)備，并設(shè)置其工作模式為Fat模式。隨著客戶網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)容，當(dāng)網(wǎng)絡(luò)中應(yīng)用的WA2無線設(shè)備達(dá)到幾十甚至上百臺時(shí)，為降低網(wǎng)絡(luò)管理的復(fù)雜度，建議客戶采購?fù)放谱灾餮邪l(fā)的WX系列無線控制器設(shè)備，便于集中管理網(wǎng)絡(luò)中的所有的AP無線設(shè)備，此時(shí)只需將其工作模式切換到Fit模式。◆作為同時(shí)支持Fat/Fit兩種工作模式的高速超百兆無線接入設(shè)備，工作模式切換過程只需要簡易命令行，且可以通過設(shè)備網(wǎng)管批量執(zhí)行，有利于將客戶的無線網(wǎng)絡(luò)由小型網(wǎng)絡(luò)平滑升級到大型網(wǎng)絡(luò)，從而更好地保護(hù)用戶的投資，非常適合運(yùn)營級大規(guī)模無線網(wǎng)絡(luò)的平滑擴(kuò)容升級。提供本地轉(zhuǎn)發(fā)功能◆當(dāng)AP(Fit模式)通過廣域網(wǎng)方式轉(zhuǎn)發(fā)時(shí)，無線接入設(shè)備部署在分支機(jī)構(gòu)，而無線控制器部署在總部，所有用戶數(shù)據(jù)由無線接入設(shè)備發(fā)送到無線控制器，再由無線控制器進(jìn)行集中轉(zhuǎn)發(fā)，導(dǎo)致轉(zhuǎn)發(fā)效率低下。AP可將數(shù)據(jù)報(bào)文在無線接入設(shè)備上直接轉(zhuǎn)化為有線格式的報(bào)文，使得數(shù)據(jù)報(bào)文不經(jīng)過無線控制器，而是在本地進(jìn)行轉(zhuǎn)發(fā)，大大提高了轉(zhuǎn)發(fā)效率。支持IPv4/IPv6雙協(xié)議?！羧嬷С諭Pv6特性，設(shè)備實(shí)現(xiàn)了IPv4/IPv6雙協(xié)議棧。通過與WX系列無線控制器建立IPv6隧道，無論原有有線網(wǎng)絡(luò)是IPv4還是IPv6，該AP都可以自由的與WX系列控制器進(jìn)行通信，不會成為網(wǎng)絡(luò)中的信息孤島。支持智能負(fù)載均衡◆支持按接入用戶數(shù)量和流量的復(fù)雜均衡方式，當(dāng)無線控制器發(fā)現(xiàn)無線接入設(shè)備的負(fù)載超過設(shè)定的門限值以后，對于新接入的用戶無線控制器會自動計(jì)算此用戶周圍是否還有負(fù)載較輕的無線接入設(shè)備可供用戶接入，如果有則會拒絕用戶的關(guān)聯(lián)請求，用戶會轉(zhuǎn)而接入其他負(fù)載較輕的無線接入設(shè)備，但如果無線用戶不在重疊覆蓋區(qū)，傳統(tǒng)的負(fù)載均衡方式往往會導(dǎo)致連接不上網(wǎng)絡(luò)，造成誤均衡。H3C公司創(chuàng)新性的支持智能負(fù)載均衡技術(shù)，保證只對處于覆蓋重疊區(qū)的無線用戶才啟動負(fù)載均衡功能，有效的避免誤均衡的出現(xiàn)，從而最大限度的提高了無線網(wǎng)絡(luò)容量。提供only11n接入功能◆由于802.11n向下兼容802.11a/b/g協(xié)議，故通常情況下，802.11a/b/g用戶也能接入到802.11n的無線接入設(shè)備上。但這種兼容能力的提供，會造成具備802.11n接入能力的用戶實(shí)際使用性能產(chǎn)生一定程度的下降。支持將設(shè)備的射頻設(shè)置為only11n模式，使得802.11n接入用戶的高速帶寬和接入性能得到保證。支持中國標(biāo)準(zhǔn)WAPI◆除了支持WLAN國際標(biāo)準(zhǔn)802.11i，還支持中國無線局域網(wǎng)標(biāo)準(zhǔn)GB15629.11-2003中提出的WAPI標(biāo)準(zhǔn)。支持無線入侵檢測/防御(WIDS/WIPS)◆工作在Fat模式時(shí)，支持黑和白等無線用戶接入控制特性。WA2612-AGN工作在Fit模式時(shí)，配合H3C自主研發(fā)的WX系列無線控制器設(shè)備，可以同時(shí)支持Rogue檢測、入侵檢測以及黑和白等WIDS/WIPS特性。提供EAD無線接入◆終端準(zhǔn)入控制(EAD，EnduserAdmissionDomination)解決方案從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，對接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略，通過與安全策略服務(wù)器的聯(lián)動，可以對感染病毒或存在系統(tǒng)漏洞等不合格的無線客戶端進(jìn)行下線、隔離、提醒或監(jiān)控等多種方式的處理，只有無線客戶端符合相應(yīng)的安全策略之后才允許正常訪問網(wǎng)絡(luò)，從而提高了無線網(wǎng)絡(luò)的整體安全性。支持中文SSID◆支持使用中文SSID，可指定最長包含32個(gè)漢字的SSID，也可以使用中英文混合的SSID，為國用戶提供了更大的使用便利。支持TR-069特性(CWMP)◆支持TR-069特性，此特性方便網(wǎng)管人員從網(wǎng)絡(luò)側(cè)對位置分散的無線接入設(shè)備進(jìn)行遠(yuǎn)程集中管理