某校園無線網(wǎng)絡(luò)覆蓋設(shè)計方案

PAGEPAGE4XXX校園無線局域網(wǎng)技術(shù)建議書2014年11月目錄1 概述 32 需求分析 32.1 總體建設(shè)目標(biāo) 32.2 具體實施目標(biāo) 43 無線校園網(wǎng)建設(shè)方案 53.1 整網(wǎng)邏輯拓?fù)鋱D 53.2 無線用戶認(rèn)證解決方案 53.3 整網(wǎng)安全解決方案 63.4 無線校園解決方案——更穩(wěn)定： 73.5 無線校園解決方案——高安全： 83.6 無線校園解決方案——易管理： 93.7 無線校園解決方案——可擴展： 104 無線校園網(wǎng)建設(shè)方案總結(jié) 10結(jié)構(gòu)，可以固定在天花板內(nèi)。安裝過程中應(yīng)充分考慮防盜問題。供電部分：供電可采用弱電方式由接入的設(shè)備進(jìn)行供電。產(chǎn)品能力要求要求：產(chǎn)品支持AES、WEP加密等安全標(biāo)準(zhǔn)；支撐QOS能力無線校園網(wǎng)建設(shè)方案針對學(xué)校采用WLAN技術(shù)構(gòu)架寬帶網(wǎng)絡(luò)服務(wù)，從技術(shù)上、工程上以及提供的服務(wù)質(zhì)量上均能較好的滿足校方的要求，具體組網(wǎng)構(gòu)架如下：整網(wǎng)邏輯拓?fù)鋱D鑒于XXX學(xué)校的有線網(wǎng)絡(luò)已經(jīng)較為完善，已經(jīng)是百兆到樓，部分樓已經(jīng)做到千兆到樓，本次工程采用無線設(shè)備就近接入的原則，同時又由于現(xiàn)在每棟樓的有線網(wǎng)絡(luò)為無線網(wǎng)絡(luò)只能提供一個有線接口，此有線接口下接一臺交換機完成網(wǎng)絡(luò)接口的擴展。具體的邏輯組網(wǎng)圖如下圖所示：***************無線局域網(wǎng)工程方案邏輯組網(wǎng)示意圖無線用戶認(rèn)證解決方案本方案主要采用portal認(rèn)證，WA2220E-AG/WA1208E-AGP與無線控制器通過二層隧道協(xié)議通信，無線用戶的認(rèn)證點都是放置于無線業(yè)務(wù)插卡設(shè)備上，后臺的iMC認(rèn)證計費系統(tǒng)作為用戶鑒權(quán)點。針對無線用戶，無線控制器作為802.1x認(rèn)證的終結(jié)點，iMC認(rèn)證計費系統(tǒng)作為最后的鑒權(quán)點，此時的主要工作由無線交換機進(jìn)行統(tǒng)一調(diào)度，當(dāng)用戶在不同的端口下的不同無線設(shè)備的覆蓋范圍時，此時用戶不會再次觸發(fā)認(rèn)證。整網(wǎng)安全解決方案***************無線局域網(wǎng)絡(luò)主要服務(wù)于學(xué)校的學(xué)生與教師，也是規(guī)模的公眾型網(wǎng)絡(luò)，同時由于學(xué)生出于技術(shù)的研究興趣，會對網(wǎng)絡(luò)發(fā)起各種各樣的攻擊行為，此時網(wǎng)絡(luò)安全問題在建網(wǎng)時必須考慮問題，安全方式主要側(cè)重幾個方面：用戶安全、網(wǎng)絡(luò)安全，而在校園網(wǎng)絡(luò)中主要依附于用戶實體的屬性主要包括用戶使用的信息終端二層屬性（諸如：MAC地址）及用戶的帳號、密碼，而對于學(xué)校學(xué)生用戶來，帳號信息都是一個實名原則，與學(xué)生的學(xué)藉進(jìn)行關(guān)聯(lián)的，這樣本無線網(wǎng)絡(luò)中著重考慮使用無線網(wǎng)絡(luò)的空口信息的安全機制，同時也要考慮與無線相關(guān)的有線網(wǎng)絡(luò)的安全問題，對于原有有線網(wǎng)絡(luò)的安全問題，在本技術(shù)建議書中不作相應(yīng)的考慮；無線網(wǎng)絡(luò)安全：無線網(wǎng)絡(luò)安全部分主要包括以下方面的內(nèi)容：MAC地址過濾：目前支持基于MAC地址的過濾，限制具有某種類型的MAC地址特征的終端才能進(jìn)入網(wǎng)絡(luò)中；SSID管理：是一種網(wǎng)絡(luò)標(biāo)識的方案，將網(wǎng)絡(luò)進(jìn)行一個邏輯化標(biāo)識，對終端上發(fā)的報文都要求進(jìn)行上帶SSID，如果沒有SSID標(biāo)識則不能進(jìn)入網(wǎng)絡(luò)；WEP加密：WEP加密是一種靜態(tài)加密的機制，通信雙方具有一個共同的密鑰，終端發(fā)送的空口信息報文必須使用共同的密鑰進(jìn)行加密；支持AES加密，AES安全機制是一種動態(tài)密鑰管理機制，同時密鑰生成也基于不對稱密鑰機制來實現(xiàn)的，同時密鑰的管理也定期更新，具有體的時間由系統(tǒng)可以設(shè)定，一般情況都設(shè)定為5分鐘左右，這樣非法用戶要想在5分鐘之內(nèi)進(jìn)行獲取足夠數(shù)量的報文進(jìn)行匹配出密鑰出來，從無線空口的流理來看，基本上是不可能的；無線方案中可根據(jù)用戶名來劃分權(quán)限，即相同用戶在不同地點接入無線網(wǎng)絡(luò)其權(quán)限保持一致；密鑰設(shè)置可能根據(jù)SSID信息與用戶信息進(jìn)行組合，即不同的SSID下不同的用戶的密鑰生成可以不一樣，這樣一定程度上保證用戶之間串號問題產(chǎn)生，從而保護(hù)投資，以達(dá)到營維平衡；無線校園解決方案——更穩(wěn)定：WLAN穩(wěn)定性解決方案從無線控制器的可靠性，接入交換機供電的可靠性、無線信號的可靠性這幾方面入手，極大的提高了WLAN網(wǎng)絡(luò)的可靠性；在實際的使用情況來看，啟用這些措施之后，WLAN的可靠性能夠得到明顯的提升。實時無線資源管理：實時無線資源管理解決方案提供了實時閉環(huán)的無線資源管理，包括了如下步驟：掃描每個接入點啟動后，通過CAPWAP協(xié)議與無線控制器建立隧道，并從無線控制器獲取基本的配置。無線控制器負(fù)責(zé)協(xié)調(diào)網(wǎng)絡(luò)中的無線接入點執(zhí)行掃描過程。通過定期的信道掃描，系統(tǒng)能夠分析和了解信道的質(zhì)量、干擾情況、鄰居接入點的分布等。分析無線控制器將對無線接入點定期上報的數(shù)據(jù)進(jìn)行聚合分析。這些數(shù)據(jù)包括：干擾：其他工作在802.11頻段的無線網(wǎng)絡(luò)對無線介質(zhì)的影響。噪音：非802.11信號，如雷達(dá)、藍(lán)牙、無繩電話、微波等等對信號的影響。丟包率：包差錯率（由于隱藏的節(jié)點或信號變形）信道負(fù)載：用來衡量媒介的繁忙程度。有效信號強度：在一定時間內(nèi)觀察到的每個鄰居的信號強度和整個信道的平均信號強度。這些數(shù)據(jù)將幫助無線控制器構(gòu)建無線網(wǎng)絡(luò)的完整視圖，為管理控制提供決策數(shù)據(jù)。決策利用前期分析的數(shù)據(jù)，無線控制器將采用智能的算法對射頻資源進(jìn)行優(yōu)化和調(diào)整，以適應(yīng)無線環(huán)境的變化。系統(tǒng)使用了優(yōu)化的信道和功率選擇算法、加權(quán)判斷以及抑制限度，自動評估資源調(diào)整的影響，能夠確保系統(tǒng)的控制是可靠的。執(zhí)行無線控制器將新的發(fā)射功率，信道分配等決策發(fā)送到接入點，接入點負(fù)責(zé)使能這些配置。系統(tǒng)提供了兩種控制模式：參考模式和立即模式，增加了系統(tǒng)使用的靈活性。參考模式下，系統(tǒng)不進(jìn)行實際的控制策略執(zhí)行，只是給出建議的功率、信道的設(shè)定值，管理員可以決定是否執(zhí)行這些配置，確保了用戶控制的靈活性。立即模式下，將根據(jù)系統(tǒng)計算出的信道等參數(shù)進(jìn)行立即的設(shè)置。上述過程是閉環(huán)過程，一旦配置下發(fā)以后，控制器將持續(xù)監(jiān)視網(wǎng)絡(luò)環(huán)境。任何無線環(huán)境的變化與波動都會被定期記錄下來，為下一輪的優(yōu)化作準(zhǔn)備。無線校園解決方案——高安全：一體化無線校園解決方案在遵循IEEE802.11i協(xié)議和國家WAPI標(biāo)準(zhǔn)的基礎(chǔ)上，創(chuàng)新性的提出了分層的安全體系架構(gòu)，將WLAN的安全從單一的物理層安全延伸到了物理層安全、用戶接入安全、網(wǎng)絡(luò)層安全、設(shè)備安全、安全管理多個層面上，使用戶在使用WLAN網(wǎng)絡(luò)時能夠像使用有線網(wǎng)絡(luò)一樣安全、可靠。無線物理安全：無線產(chǎn)品支持以下的加密機制：WEP加密、TKIP加密、CCMP加密、WAPI加密。其中，WAPI采用國家密碼管理委員會辦公室批準(zhǔn)的公鑰密碼體制的橢圓曲線密碼算法和對稱密碼體制的分組密碼算法，分別用于WLAN設(shè)備的數(shù)字證書、證書鑒別、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密。在無線設(shè)備安全方面，在設(shè)備上不保存業(yè)務(wù)配置，而是每次啟動的時候從無線控制器動態(tài)加載業(yè)務(wù)配置，這樣可以有效避免設(shè)備丟失造成配置泄漏，防止非法FIT接入網(wǎng)絡(luò)。無線用戶安全：通過用戶接入認(rèn)證實現(xiàn)了對校園無線接入用戶的身份認(rèn)證，為網(wǎng)絡(luò)服務(wù)提供了安全保護(hù)。無線接入認(rèn)證主要有802.1x接入認(rèn)證、PSK認(rèn)證、MAC接入認(rèn)證以及在有線校園網(wǎng)中常用的portal認(rèn)證等。通過和AAA服務(wù)器配合，H3C的無線設(shè)備支持對認(rèn)證用戶動態(tài)下發(fā)帶寬、VLAN、ACL、優(yōu)先級等參數(shù)，對于不同的用戶群和業(yè)務(wù)可以控制其訪問網(wǎng)絡(luò)的權(quán)限，限制網(wǎng)絡(luò)資源的使用，通過VLAN和優(yōu)先級來標(biāo)識用戶和業(yè)務(wù)，并做到業(yè)務(wù)隔離。無線網(wǎng)絡(luò)安全：為了保證無線用戶和整個校園網(wǎng)絡(luò)的安全，僅僅保證接入點的安全性是遠(yuǎn)遠(yuǎn)不夠的。該方案從網(wǎng)絡(luò)用戶終端準(zhǔn)入控制入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動，對接入網(wǎng)絡(luò)的用戶終端強制實施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，加強網(wǎng)絡(luò)用戶終端的主動防御能力，保護(hù)網(wǎng)絡(luò)安全。此外，無線產(chǎn)品支持完善的無線入侵檢測系統(tǒng)，可以自動監(jiān)測非法設(shè)備，并適時上報網(wǎng)管中心，同時對非法設(shè)備的攻擊可以進(jìn)行自動防護(hù)，最大程度地保護(hù)無線網(wǎng)絡(luò)。無線校園解決方案——易管理：在管理方面，實現(xiàn)了如下兩點：有線無線統(tǒng)一認(rèn)證計費管理，解決了老師不希望用戶有線一套帳號，無線又一套帳號，不能統(tǒng)一計費管理的問題。有線無線統(tǒng)一網(wǎng)管，解決了老師不希望采用兩套管理系統(tǒng)的問題。管理系統(tǒng)集成專業(yè)的無線管理部件，實現(xiàn)射頻資源管理、無線性能監(jiān)視、非法告警等管理需求。無線校園管理系統(tǒng)依托iMC智能管理平臺，在iMC系統(tǒng)全面的有線網(wǎng)絡(luò)管理的基礎(chǔ)上，為用戶提供無線網(wǎng)絡(luò)管理能力。用戶無需重新搭建IT管理平臺，只要在原有的有線網(wǎng)絡(luò)管理系統(tǒng)中增加無線管理功能，便可以與有線管理平臺統(tǒng)一部署，節(jié)省投入和維護(hù)成本。無線校園管理解決方案不僅為用戶提供了靈活的組件選擇，同時符合業(yè)界主流的SOA架構(gòu)，具備良好的擴展性，能夠滿足客戶網(wǎng)絡(luò)管理的需求。通過集中式管理架構(gòu)和統(tǒng)一的網(wǎng)管系統(tǒng)，可以保證設(shè)備互通性和無線網(wǎng)絡(luò)的輕松配置，實現(xiàn)有線無線一體化高效管理。無線校園管理解決方案中的無線業(yè)務(wù)邏輯拓?fù)?，使用戶直觀了解網(wǎng)絡(luò)部署情況及設(shè)備和鏈路當(dāng)前狀態(tài)。它可根據(jù)不同的方式組織資源，有效進(jìn)行拓?fù)浞纸M、真實組織全網(wǎng)資源。物理位置視圖中用戶可根據(jù)需要創(chuàng)建多維度、多層次的物理位置結(jié)構(gòu)，并在指定平面圖上根據(jù)真實情況擺放設(shè)備，逼近真實網(wǎng)絡(luò)環(huán)境。在無線安全解決方案中我們已經(jīng)介紹過，從用戶管理的角度出發(fā)，可通過EAD解決方案，做到有線用戶和無線用戶統(tǒng)一認(rèn)證平臺，從而配合有線設(shè)