恒拓校园WLAN关键技术专项方案.doc
《恒拓校园WLAN关键技术专项方案.doc》由会员分享,可在线阅读,更多相关《恒拓校园WLAN关键技术专项方案.doc(20页珍藏版)》请在咨信网上搜索。
1、校园WLAN无线覆盖技术方案宁波恒拓物联网有限公司校园无线覆盖技术方案书一、概述无线局域网(WLAN)技术于20世纪90年代逐渐成熟并投入商用,既可以作老式有线网络延伸,在某些环境也可以代替老式有线网络。对比老式有线传播解决方案,使用WLAN网络实现数据传播具备如下明显特点: 简易性:WLAN网络传播系统安装迅速简朴,可极大减少敷设管道及布线等繁琐工作; 灵活性:无线技术使得WLAN设备可以灵活进行安装并调节位置,使无线网络达到有线网络不易覆盖区域; 综合成本较低:一方面WLAN网络减少了布线费用,另一方面在需要频繁移动和变化动态环境中,无线局域网技术可以更好地保护已有投资。同步,由于WLAN
2、技术自身就是面向数据通信领域IP传播技术,因而可直接通过百兆自适应网口和公司内部Intranet相连,从体系构造上节约了合同转换器等有关设备; 扩展能力强:WLAN网络系统支持各种拓扑构造及平滑扩容,可以十分容易地从小容量传播系统平滑扩展为中档容量传播系统;随着WLAN技术迅速发展和不断成熟,当前在国内外已经具备较多政府机构使用WLAN技术布置无线城域网,进行承载某些政府业务,诸如:电子政备、消防、公安信息等等,如:美国费城、荷兰阿姆斯特丹等。二、客户需求校园无线局域网建设总体目的是:运用无线网络技术进一步扩展网络覆盖范畴,提高网络顾客自适应性,在无线覆盖范畴内实现数据业务和语音业务无线传播,
3、并且可实现三层漫游,使无线局域网和有线网成为一种整体,提供安全无线接入。由于此工程是在有线网基本上加以无线扩充(即采用AP将无线网络接入到有线网络),当前有线网已达到了相称覆盖范畴,可觉得无线网络建设提供支持。本工程详细建设目的是: 侧重实际应用,筹划全面覆盖某某大学校园重要人群活动场合; 保证网络访问安全性,支持顾客各种接入方式认证机制,涉及:基于Protal、802.1X、mac等认证,支持原则LDAP目录服务器; 采用通行网络合同原则:当前无线局域网普遍采用802.11g系列原则,因而无线局域网将重要支持802.11g(54M带宽)原则以提供可供实际应用相对稳定网络通讯服务; 顾客漫游性
4、。在持续覆盖区域认证和覆盖应充分考虑移动顾客易用性,达到一次认证,移动使用目。 安全、认证和管理规定为了制止非授权顾客访问无线网络,以及防止对无线局域网数据流非法侦听,无线网络要具备相应安全手段,重要涉及:物理地址(MAC)过滤、服务区标记符(SSID)匹配、有线等效保密(WEP)、WPA,802.11i,EAP扩展认证,TKIP数据加密,二层隔离等; 无线网网络构造规定:无线接入所需布设AP通过接入设备接入到网中,在接入层提供相应接口给AP使用; 工程布线和安装规定:I. 室内某些:定位于较为开阔位置,将网线走暗线敷设到位;挂在墙上,可运用设备自身自带安装附件进行安装;如果需要遮蔽,则需要定
5、制非金属安装盒;如果是挂在天花板上,则依照天花板状况而定,若天花板是非金属构造,可以固定在天花板内。安装过程中应充分考虑防盗问题。II. 室外某些:AP供电可采用POE方式由接入网络设备进行供电,室外机型需具备防雨防电等功能。III. 供电某些:AP供电可采用POE方式由接入网络设备进行供电 产品能力规定规定:I. 具备无委会核准证;II. 支持负载均衡;III. 漫游切换;IV. 支撑QOS能力 覆盖与顾客数量规定:a) 覆盖范畴:整个校园;b) 覆盖质量:室内85以上区域WLAN下载速率达1M以上;c) 顾客规模:按开户10000人,平均在线1000人计算;三、网络建设方案采用WLAN技术
6、构架宽带网络服务,从技术上、工程上以及提供服务质量上均能较好满足规定。3.1无线网络基本方案3.1.1方案逻辑组网图本次方案H3C推荐使用WA2620X-AGNP是WA2600系列无线产品中一款室外智能型双频大功率802.11n无线基站接入设备,可以同步工作在2.4GHz和5GHz频段,采用6天线MIMO方式,单射频最大发射功率可达500mW。WA2620X-AGNP集成了H3C自主研发智能基带射频解决模块,可以针对性地有效解决室外WLAN覆盖各种问题,提高WLAN室外覆盖精确性和稳定性。同步通过专业一体化室外型设计,WA2620X-AGNP具备IP66防水防尘级别和大范畴宽温工作能力,非常以
7、便室外安装和调试,广泛应用于涉及无线都市、无线校园、无线村村通、3G+W共址等各类WLAN室外场景专业智能覆盖。前期Fat AP逻辑组网图如下所示:本次工程采用无线网就近接入原则,每台AP就近接入有线网络,此时规定相应于无线AP有线地方都要提供一种有线互换机接入端口(RJ45)供使用,从工程维护角度出发,建议采用POE方式进行给AP进行供电,详细逻辑组网图如下图所示:校园网出口RadiusPoE接入层互换机网管Internet.无线接入点(FAT AP模式)图1 FAT AP 方案逻辑组网示意图WA2620XAGNP支持灵活布置需要,通过软件切换即可工作于Fit AP模式下,完毕Fit AP组
8、网,逻辑组网如下:校园网出口Radius无线控制器PoE接入层互换机网管无线接入点(FIT AP模式)Internet.3.1.2认证方式顾客端和AP进行无线连接共有两种:一种是OPEN模式,这种模式下,无线顾客无需认证即可连接到有关SSID无线网络上。一种是Share Key模式,这种模式下,无线顾客需要顾客名和密码,通过认证后才可连接到有关SSID上。顾客名和密码通过AP进行设立。处在安全考虑,建议客户采用Share Key模式。由于大多数校园采用独立Radius服务器进行认证计费,处在使用便捷性考虑,在无线连接方面建议采用Open模式,当顾客完毕无线连接后,进行网络访问时,AP配合第三方
9、认证服务器完毕顾客名和密码认证。3.1.3认证点选取:针对客户规定,Radius做为最后鉴权点。工作于FAT AP模式时,AP完毕认证点功能,顾客只能在二层网络漫游;当工作于Fit AP+AC模式时,顾客可用进行三层漫游,当顾客在AP内进行切换时,此时重要工作由无线互换机进行统一调度,当顾客在相似或者不同无线控制器下不同端口下不同AP覆盖范畴时,此时顾客不会再次触发认证。3.1.4认证明行流程处在网络安全考虑,建议校园无线顾客安装客户端软件用于认证计费,不同顾客群拥有不同网络访问权限,例如学生重要用于Internet网络访问和某些学习资源访问,而学校教职工工访问权限会更广泛。若规定外来访客安装
10、客户端,势必不便;故针对以上种种状况,宁波恒拓公司建议采用如下实行方案:在整个无线覆盖范畴,每个AP均支持SSID名为Staff和SSID名为Student两种SSID,对于会议室,学术报告厅,会客室等接待外来访客场合,其所相应AP需额外只是名为VistorSSID。不同SSID相应不同VLAN,从而获取不同资源访问权限。SSID为Staff无线网络服务对象为全校教职工,通过认证顾客可访问相相应教学资源。SSID为Student无线网络服务对象为全校学生,通过认证顾客可访问Internet,学习资料等资源。SSID为Vistor无线网络服务对象为外来访客,此类顾客不需要安装客户端软件,相应无线
11、网络设为Open模式,顾客发现无线连接,无需认证即可接入网络,此类顾客仅能访问Internet。访问资源有限,但使用便捷,适合流动性强外来访客。以上三种SSID仅做建议,学校可以依照需要增长相相应SSID,例如针对网络维护人员,可设立隐藏名为AdminSSID,所谓隐藏SSID就是指AP发送Beacon报文中不具有该SSID信息,若无预先设立,终端顾客无法自动发现该SSID,从而提供该SSID安全性。网络维护人员可通过该SSID获取较高网络访问权限,便于随时随处接入网络进行监控和维护。3.2无线网络安全网络安全问题是在建网时必要要考虑问题,安全方式重要侧重几种方面:顾客安全、系统安全,而在网络
12、中重要依附于顾客实体属性重要涉及顾客使用信息终端二层属性(诸如:MAC地址)及顾客帐号、密码,而对于公司顾客来讲,帐号信息都是一种实名原则,与员工利益进行关联,这样本无线网络中着重考虑使用无线网络空口信息安全机制。为了制止非授权顾客访问无线网络,以及防止对无线局域网数据流非法侦听,H3C无线解决方案支持WPA、802.11i等安全方略,每个AP支持16个SSID,支持隐藏SSID技术等,保证无线网络安全。H3C WLAN产品亦支持国家无线网络原则WAPI,可在不同SSID下采用不同认证加密方式,完毕多样化无线认证需要。3.2.1顾客安全:数据安全某些重要涉及如下方面内容:I. MAC地址过滤:
13、当前支持基于MAC地址过滤,限制具备某种类型MAC地址特性终端才干进入网络中;II. SSID管理:是一种网络标记方案,将网络进行一种逻辑化标记,对终端上发报文都规定进行上带SSID,如果没有SSID标记则不能进入网络;III. WEP加密:WEP加密是一种静态加密机制,通信双方具备一种共同密钥,终端发送空口信息报文必要使用共同密钥进行加密;IV. 支持AES加密,AES安全机制是一种动态密钥管理机制,同步密钥生成也基于不对称密钥机制来实现,同步密钥管理也定期更新,详细时间由系统可以设定,普通状况都设定为5分钟左右,这样非法顾客要想在5分钟之内进行获取足够数量报文进行匹配出密钥出来,从无线空口
14、流理来看,基本上是不也许;V. 华三无线方案中密钥设立也许依照SSID信息与顾客信息进行组合,即不同SSID下不同顾客密钥生成可以不同样,这样可以做不到不同顾客不同管理方式,同步具备不同权限;3.2.2系统安全:I. 无线终端异常流量检测及报警:无线网管提供全面系统级记录数据:可提供涉及错误和流量以太网记录数据,其中涉及包大小、无线记录数据以及顾客会话记录数据,它们保存为顾客在各种AP上漫游记录,并且都具备易查看表格和图表,以便迅速辨认数据走向。基于所有AP上来无线终端数据都要通过AP与无线互换机之间二层隧道进行通信,因而所有无线终端流量均可通过无线网管进行记录,并且通过实时记录报表呈现出所有
15、顾客访问网络流量,并通过设定流量阈值,一旦某无线终端流量超过阈值即实现异常流量报警功能。II. 顾客访问控制:提供基于身份组网:提供基于顾客身份所有服务,以使顾客在漫游时具备诸如虚拟专用组(Virtual Private Group)成员资格,并实现不同权限划分;在实际应用中可通过给不同部门分派不同顾客名访问无线网络,并予以不同部门不同访问权限。并可通过将顾客名和MAC地址进行绑定,防止外来非法人员通过无线网络来访问网络。3.3无线网络QOS:3.3.1漫游切换支持:无线终端在无线网络中移动时,必然要进行不同AP之间、所属不同有线互换机之间漫游切换。一方面无线终端会通过无线局域网服务器CAMS
16、软件进行第一次安全接入认证,无线互换机会介入该认证过程,并获得PMK(Pairwise Master Key)。无线终端依照PMK生成各种通讯用密钥,开始进行加密会话。当无线终端发现需要进行切换时,会进行如下操作:1) 与无线互换机进行连接预建立;2) 无线互换机与需要建立连接AP互换通讯用PMK密钥,并将PMK密钥传给无线终端;3) 无线终端发布更新消息,更新无线互换机转刊登;4) 原有数据流转换到新AP上来;5) 切断原有数据连接。整个L2、L3漫游过程在50ms内所有完毕,并兼容IEEE 802.11802.11N、IEEE802.11f和IEEE802.11e原则,可良好支持语音、视频
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 校园 WLAN 关键技术 专项 方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【丰****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【丰****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。