校园网无线覆盖解决方案设计

校园网无线覆盖解决方案怀教网络技术服务有限公司20014年1月目 录一. 概述 4二. 无线局域网的特点及应用环境 51. 有线局域网已成为移动办公的束缚 52. 无线局域网的特点 53. 无线局域网应用的环境 6三. 无线局域网技术介绍 71. 无线网络标准 72. IEEE 802.11b 标准 81) 802.11b传输技术 92) 802.11b技术特点 103) 802.11b网络安全机制 114) 802.11b网络协议 113. IEEE802.11a标准 114. IEEE802.11g 标准 115. IEEE802.11 n标准 121) 802.11n技术的先进性 122) 802.11n的优越性 126. 常见的无线局域网拓扑结构 131) Ad-Hoc 模式 132) Infrastructure模式 137. 无线局域网的漫游 14四. 校园无线局域网组网设计 151. 设计目标 151) 建设目的 152) 在校园网有线网络上构建 WLAN系统 153) 建设范围 162. 无线局域网设计原则 163. 校园无线局域网设计整体架构 171) 一体化有线/无线解决方案特点 182) 校园网室内无线覆盖网络拓朴及说明 224. 室外无线局域网设计 231) AP220-H室外专用无线产品特点 232) 室外无线覆盖网络拓朴及说明 233) 信道的规划 24五. 无线局域网的安全 251. 无线局域网安全概述 252. 无线网络需要解决的三个安全问题 263. 无线网络的安全措施 261) SSID服务识别码 262) 有线等价加密(WEP) 263) IEEE 802.1X 274) WPA (Wi-Fi ProtectedAccess) 295) MAC地址过滤 306) 无线客户端隔离功能 30六常见无线局域网问题解答 错误！未定义书签。七. 产品简介 301. RG-S2924 & AP220-E/AP220-H & AC5302 & SMP 301) RG-S2924 342) AP220-E 373) AP220-H 412. AC5302 46一.概述在“科教兴国”的政策的指引下，教育信息化建设得到了迅猛的发展。在近 两年，各学校、教育机关和相关机构的网络建设进入新一轮发展高潮，各大中小学校陆续建设起符合当今教学要求的校园网络。在相对发达地区，不少学校甚至 对已建立校园网络进行改造升级。 随着发展，新的应用需求也层出不穷，对网络 建设、改造有了更高的需求：个人数据通信的发展，功能强大的便携式数据终端以及多媒体终端得到了广 泛的应用。为了实现使用户能够在任何时间、任何地点均能实现数据通信的目标， 要求传统的计算机网络由有线向无线、由固定向移动、由单一业务向多媒体发展。 无线时代正在来临，这意味着可以在任何便于工作的地方，在教室、实验室、图 书馆、办公室、餐厅、会议室以及在室外，都能享受工作和学习的自由和灵活性。 无线局域网具有的高灵活性和可靠性正在成为每个学校根本的、必备的合作工 具。无线局域网是计算机网络与无线通信技术相结合的产物， 它提供了使用无线 多址信道的一种有效方法来支持计算机之间的通信，并为通信的移动化、个人化 和多媒体化应用提供了潜在的手段。 在互联网高速发展的今天，无线局域网将是 未来发展的趋势，必将最终代替传统的有线网络。随着社会对计算机依赖性的迅速增加，用户要求互连的计算机数量更多，类 型也更为复杂。现代电子技术的发展，使人们可以根据不同的要求选择不同的网 络方案，但传统有线网络由于受设计或环境条件的制约，在物理、逻辑和资金方面普遍存在着一系列问题，特别是当涉及到网络移动和重新布局时。所以发展一 种可行的无线通信网络技术作为现有数据连接的扩充已成为一种需要。进入90年代以来，随着个人数据通信的发展，功能强大的便携式数据终端以及多媒体终 端得到了广泛的应用。为了实现使用户能够在任何时间、任何地点均能实现数据 通信的目标，要求传统的计算机网络由有线向无线、由固定向移动、由单一业务向多媒体发展，因此更进一步的推动了无线局域网（ Wireless LAN简称WLAN 的发展。无线局域网有了突破性的进展是在IEEE 802.11标准颁布以后，它的制定是 无线网络技术发展的一个里程碑。802.11标准除了体现了无线局域网的优点和各种不同的性能以外，还使得各种不同厂商的无线产品得以兼容， 从而促进了无 线局域网的全面发展，结束了多种标准共存的混乱局面。目前，802.11b标准已是最成熟的无线应用的标准，并且也是无线局域网当中应用最多协议标准， 已 经得到了无线移动环境的广泛接受，在未来的无线技术发展的过程中802.11g和802.11a标准将以更高的性能推动无线局域网 WLAN勺发展。伴随着校园信息化水平的提高，学校的老师和学生对随时随地接入网络进行 教学和科研的需求越来越普遍；与此同时，无线技术迅速发展，WLAN已经由最初只支持11Mbps速率的802.11b标准发展到支持 54Mbps速率的802.11a和 802.11g标准，目前支持300Mbps速率的802.11 n产品也正在逐步标准化；无线 终端日渐普及，伴随着笔记本电脑的普及，无线网卡成为笔记本电脑的标准配置 之一；WLAN技术和学校需求相结合，推动了无线校园网技术的发展，根据权威 机构调查，目前国内超过75%勺985高校已经规模建设无线校园网，超过 30%f 通高校也已经完成无线校园网的规模部署。二.无线局域网的特点及应用环境1. 有线局域网已成为移动办公的束缚随着In ternet的高速发展，局域网也越来越普及，不仅公司、企业、事业 单位建立了局域网，许多办公室、家庭里面的小型局域网也纷纷的出现。这种局 域网一般都是需要综合布线的有线网络，它的出现解决了人们网络联通的问题， 大大提高了办公效率，并且数据传输速率也日趋加快，但同时也存在着许多问题。有线局域网大多将基础布线和设备隐蔽在墙壁之内或者埋在地下，因此综合布线将是非常令人头痛的事情。设计线路的走向、开挖布线槽、敷设线路、调 试等等，既耗费人力财力又浪费大量时间。不但如此，布线之后的线路维护、 线路监测等事情更是费时费力。而且，这种传统的有线网络不能摆脱线路的束缚， 不能根据实际情况随意的改变网络的结构，更不能实现现代化移动办公的需要， 也就不能进一步提高网络办公的工作效率。2. 无线局域网的特点无线局域网的出现使有线网络所遇到的问题迎刃而解，它可以使用户任意对 有线网络进行扩展和延伸。只是在有线网络的基础上通过无线接入器、 无线交换 机、无线网卡、无线控制器等无线设备使无线通信得以实现。在不进行传统的布 线的同时，提供有线局域网的所有功能，并能够随着用户的需要随意的更改扩展 网络，实现移动应用。在园区无线局域网内可以使用一个或几个无线交换机来管理大量的AP或者用于混合有线/无线局域网。当AP的增加时，就可增加无线交换机而形成一个大 型的集中管理系统。由于扩展简便，支持下一代高速AP的千兆速率和支持企业范围内网间漫游的三层路由，无线交换机提供一个架构，简化并且一体化了一个 特别复杂的WLAF环境，轻松的为将来的技术升级准备了一个现有的网络。无线局域网具有传统有线网络无法比拟的特点：灵活性，不受线缆的限制，可以随意增加和配置工作站；低成本，无线局域网不再需要大量的工程布线，同时节省了线路维护的费用；移动性，不受时间、空间的限制，用户可在网络中漫游；易安装，对于有线网络来说，无线局域网的组建、配置和维护更为容易。而且，通信范围不受环境条件的限制，网络传输覆盖范围大大的拓展，室外 可以传输几百米、室内可以传输数十、几百米。在网络数据传输方面也有与有线 网络等效的安全加密措施。3. 无线局域网应用的环境所有这些无线局域网的特点使其可以广泛使用在以下的领域：移动办公的环境：大型企业、医院等移动工作的人员应用的环境；难以布线的环境：历史建筑、校园、工厂车间、城市建筑群、大型的仓库等不能布线或者难于布线的环境；频繁变化的环境：活动的办公室、零售商店、售票点、医院、以及野外勘测、 试验、军事、公安和银行金融等，以及流动办公、网络结构经常变化或者临 时组建的局域网；特殊项目的局域网：航空公司、机场、货运公司、码头、展览和交易会等；小型网络用户：办公室、家庭办公室（SOHQ用户；无线局域网技术介绍1. 无线网络标准IEEE 802.11 标准IEEE 802.11标准是无线局域网的标准之一，是无线领域目前最为成熟的网 络标准。该标准定义了 OSI七层模型中的物理层(PHY和媒体访问控制层(MAC 的协议规范，其中MAC!是重点。它的制定使得各厂商之间的无线产品在物理层 上实现互操作，而逻辑链路层(LLC)是一致的，即MAC层以下对网络应用是透 明的。在MACg以下,802.11规定了三种发送及接收技术：扩频(Spread Spectrum) 技术；红外(Infared)技术；窄带(NarrowBand)技术。扩频技术又分为直接序列 (Direct Sequence,DS)扩频技术和跳频(Frequency Hopping,FH)扩频技术。2000年8月，802.11标准得到了进一步的修订和完善，并成为 IEEE/ANSI 和ISO/IEC的一个联合标准。此次修订的内容包括用一个基于 SNMP勺MIB来取 代原来基于OSI协议的MIB。另外还增加了两项新的内容：802.11a它扩充了 802.11物理层，规定该层使用5GHz的频带，采用正 交频分复用(OFDM调制数据，传输速率范围为6Mbps- 54Mbps这样的速率既 能满足室内的应用，也能满足室外的无线应用。802.11b 它是802.11标准的另一个补充，规定使用 2.4GHz的频带，采 用补偿码键控(CCK的调制方法。传输速率可以在 11Mbps 5.5Mbps、2Mbps 1Mbps之间自动的调整。它是目前应用最广泛的无线局域网协议，得到了世界各 大无线产品厂商的广泛支持。HiperLAN2 标准HiperLAN2是欧洲电信标准协会(ETSI)正在开发的无线网络标准，它跟 802.11a标准物理层相似，同样工作在 5Ghz的频带，采用正交频分复用(OFDM 调制方法。他支持高达54Mbps的传输速率。它的特点是：高速传输、面向连接、 支持QoS自动频率配置、支持小区切换、安全保密、网络与应用无关。HiperLAN 标准定义了许多支持无线网络功能的信令和测量方法，包括动态频率选择、无线 小区切换、链路适配、多波束天线和功率控制等。HiperLAN2标准是对目前无线接入系统的补充，与其它蜂窝系统比较，它的户外移动性虽然受到限制，但适用 面广，可在典型的应用环境如办公室、 家庭、展览厅、机场、火车站等热点地区， 向终端用户提供高速数据传输。HomeRF标准HomeR是由家庭无线联网业界团体制定的标准， 是专门为家庭用户设计的。 世界上有80多家公司支持HomeR标准。HomeR工作在2.4GHz的频带，采用跳 频的扩频技术，通过家庭中的一台主机在移动设备之间实现通信，既可以通过时分复用支持语音通信，又能通过载波监听多路访问 /冲突避免协议提供数据通信 服务。同时，HomeR提供了与TCP/IP良好的集成，支持广播、多播和 48位IP 地址。但目前HomeR的传输速率仅为2MbpsBluetooth 标准Bluetooth，蓝牙技术是1995年爱立信首先提出的概念。是由爱立信、IBM、 英特尔、诺基亚、东芝等5家公司联合制定的近距离无线通讯的技术标准。它工 作在2.4GHz频带，传输速率为1Mbps是一种无线数据与语音通信的开放性标 准。它以低成本的近距离无线连接为基础， 为固定与移动设备通信环境建立一个 特别连接，使得近距离内各种信息设备能够实现无缝的资源共享。它的主要优点是：可以随时随地用无线接口来代替有线电缆连接；具有很强的可移植性，可应用于多种通信场合，如 WAP GSM DECT等，弓I入了身份识别以后可以灵活实现 漫游；功耗低，对人体危害小；集成电路应用简单，成本低廉，实现容易，易于 推广。将来肯定会广泛的应用到通信电器设备中。2. IEEE 802.11b 标准起先，无线局域网由于传输速率低、成本高、产品系列有限、不同厂家产品 不兼容等问题，致使发展缓慢，802.11标准的出现推动了无线网络的发展，但 是由于传输速率只有12Mbps仍不能得到广泛的推广应用。802.11b标准的颁 布给无线局域网带来了新的发展商机，它最高11Mbps的传输速率从根本上改变了无线局域网的设计和应用现状，满足了人们在一定区域内实现不间断移动办公 的要求，逐渐成为全世界普遍接受的无线局域网标准，扩大了无线局域网的应用领域。802.11b标准工作在2.4GHz的频带，采用补偿码键控（CCK的调制技术,传输速率最高可达到11Mbps 802.11b对无线局域网的最大贡献就是根据无线通 信状况的变化支持物理层传输速率的动态速率的漂移，可以在11Mbps 5.5Mbps、2Mbps 1Mbps之间动态的速率调整。在 MAC层，提供了 CSMA/C载波侦听多路 访问/冲突避免技术，从而大大减小了网络上信号冲突发生的概率，大副的提高 了网络效率。并且802.11b提供了访问控制和40bit/128bit WEP 加密机制。1) 802.11b传输技术直接序列扩频技术(DSSS Direct Sequenee Spread Spectrum )直接序列扩频技术原理DSSS是扩频技术的一种，802.11b标准就采用这种传输技术，它工作在ISM 2.4GHz频段内，是直接利用具有高码率的扩频码系列采用各种调制方式在发端 与扩展信号的频谱，而在接收端，用相同的扩频码序去进行解码，把展宽的扩频 信号还原成原始的信息。它是一种数字调制方法，具体说，就是将信源与一定的 PN码(伪噪声码)进行摸二加。例如：在发射端将1用代替，而 将0用去代替，这个过程就实现了扩频；而在接收端只要把收到 的序列是就恢复成1、是就恢复成0，这就是解扩。 这样信源速率就被提高了 11倍，同时也使处理增益达到10dB以上，从而有效地 提高了整机信噪比。dssST频通信技术特点：抗干扰性强抗干扰是扩频通信主要特性之一，因信号接收需要扩频编码进行相关 解码处理才能得到，所以即使以同类型信号进行干扰，在不知道信号的扩 频码的情况下，由于不同扩频编码之间的不同的相关性，干扰也不起作用 正因为扩频技术抗干扰性强，美国军方在海湾战争等处广泛采用扩频技术 的无线网桥来连接分布在不同区域的计算机网络。隐蔽性和保密性好因为信号在很宽的频带上被扩展，单位带宽上的功率很小，即信号功 率谱密度很低，信号淹没在白噪声之中，别人难以发现信号的存在，加之 不知扩频编码，很难拾取有用信号，而极低的功率谱密度，也很少对于其它电信设备构成干扰。易于实现码分多址（CDM）直接扩频通信占用宽带频谱资源通信，改善了抗干扰能力，提高了频 带的利用率。充分利用不同码型的扩频编码之间的相关特性，分配给不同 用户不同的扩频编码，可以区别不同的用户的信号，从而实现了频率复用。 发送者可用不同的扩频编码，分别向不同的接收者发送数据；同样，接收者用不同的扩频编码，就可以收到不同的发送者送来的数据，实现了多址 通信。抗多径干扰无线通信中由于电波反射、折射所形成的多径干扰一直是难以解决的 问题，利用扩频编码之间的相关特性，在接收端可以用相关技术从多径信 号中提取分离出最强的有用信号，也可把多个路径来的同一码序列的波形 相加使之得到加强，从而达到有效的抗多径干扰。直序扩频通信速率高直序扩频通信速率可达 2Mbps, 5.5Mbps, 11Mbps无须申请频率资源， 建网简单，网络性能好。2）802.11b技术特点可靠的通信抗干扰和抗多径干扰能力强，能够高速的、高质量的传输数据。低成本节省了网络综合布线高额费用、节省租用线路月租费和线路的维护费用。灵活性无线缆限制，可任意增加和配置工作站。移动性允许用户在任何时间、任何地点访问网络数据，可在无线网络覆盖的范围内 自动漫游。高吞吐量可以实现11Mbps的数据传输速率，并可以在 5.5Mbps、2 Mbps、1 Mbps之间自动速率调整。3）802.11b网络安全机制802.11b提供了 MAC层的访问控制和加密机制，就是指的 WEP（等效有线加 密），为无线局域网提供了与有线网络相同级别的安全保护。 802.11b标准提供 了可选的RSA 40及128位的共享密钥RC4 PRN（算法。4）802.11b网络协议CSMA/CA载波侦听多路访问/冲突避免技术为了尽量减少数据的传输碰撞和重试发送，防止各站点无序地争用信道，无线局域网中采用了与以太网 CSMA/CD相类似的CSMA/C（载波侦听多路访问/冲 突避免）协议。CSMA/CAI信方式将时间域的划分与帧格式紧密联系起来，保证 某一时刻只有一个站点发送，实现了网络的集中管理。因传输介质不同，CSMA/C和CSMA/CA勺检测方式也不同。CSMA/C通过电 缆中电压的变化来检测，当数据发生碰撞时，电缆中的电压就会随着发生变化； 而CSMA/CA采用能量检测（ED）、载波检测（CS和能量载波混合检测三中检测 信道空闲的方式。RCT/CTSRCT/CTS协议即请求发送/允许发送协议，相当于一种握手协议，主要用来 解决“隐藏终端”问题。3. IEEE802.11a 标准和802.11b相比，IEEE802.11a在整个覆盖范围内提供了更高的速度，其速 率高达54Mbps它工作在5GHz频段，与802.11b 一样采用CSMAACA协议。物 理层采用正交频分复用 OFDM代替802.11b的DSSS来传输数据。4. IEEE802.11g 标准为了解决IEEE802.11a与802.11b的产品因为频段与物理层调制方 式不同而无法互通的问题，IEEE又在2001年11月批准了新的802.11g标准。802.11g既适应传统的802.11b标准，在2.4GHz频率下提供每秒11Mbps的传输 速率；也符合802.11a标准，在5GHz频率下提供54Mbps的传输速率。802.11g 中规定的调制方式包括 802.11a中采用的OFDMf 802.11b中采用的CCK通过 规定两种调制方式，既达到了用 2.4GHz频段实现802.11a54Mbps的数据传送速 度，也确保了与802.11b产品的兼容。5. IEEE802.11 n 标准802.11 n是最新一代的无线传输标准协议，无论是无线信号的传输距离和无 线数据的传输速度对比802.11a , 802.11b , 802.11g协议802.11 n都有一个很大 幅度的提升。随着802.11n新技术的发展，目前越来越多的笔记本无线都进入了 11n时代，802.11n将成为市场的主流已毋庸置疑。1) 802.11n技术的先进性新兴的802.11n在吞吐量上有比较大的突破，是下一代的无线网络技术的标准，提供了对于带宽敏感应用所需的速率、范围和可靠性等方面的保障。2) 802.11n的优越性传输速率大幅提升802.11n可以将 WLAN勺传输速率由目前 802.11g提供的54Mbps/108Mbps提 高到300Mbps即在理想状况下，802.11 n将可使WLAI传输速率达到目前传输速 率的10倍左右，拷贝需要30分钟时间的视频文件，在最高数据传输率上，用 802.11b拷贝文件需要耗时42分钟。覆盖范围更大802.11 n采用智分天线技术，通过多组独立天线组成的天线阵列系统，动 态地调整波束的方向，802.11 n保证让用户接收到稳定的信号，并减少其它噪音 信号的干扰，覆盖范围提供出众的全家覆盖，消除死角，这使得原来需要多台 11g设备的地方，只需要一台11n产品就可以了，不仅方便了使用，还减少了原 来多台11g产品互联通时可能出现的信号盲点，移动性大大增强。全面兼容各标准802.11 n采用软件无线电技术解决了不同标准采用不同的工作频段、不同的调制方式造成系统间难以互通、移动性差的问题，这样，不但保障了与以往的802.11a、11b、11g标准的兼容，而且还可以实现与无线广域网络的结合，极大 的保护了用户的投资。6. 常见的无线局域网拓扑结构无线局域网由无线网卡、无线接入点(AP)、计算机和有关设备组成，利用天 线发送信息，而无线接入点则接收与发送信息，通过以太网线连接用户计算机和 公共网络。通常采用单元结构，将整个系统分成许多单元，每个单元称为一个基 本服务组(Basic Service Set, BSS) ，BSS的组成通常有以下两种形式：一种 是Ad-Hoc模式，点对点的直接连接方式； 一种是Infrastructure模式，通过接入点相连接的方式。1) Ad-Hoc 模式Ad-Hoc模式是一种分布对等模式，它没有中枢链路基础结构，至少包括两个无 线站点，可以是点对点也可以是点对多点， 这种模式基本满足控制一个较小的区 域。Ad-Hoc模式，如下图所示：2) In frastructure模式Infrastructure模式是WLAN最典型的工作模式，无线客户端可以通过无线接入器ARAccess Point）接入以太网共享网络资源，多个 AP分布在相邻的区域 可实现无线客户端的移动漫游。如下图所示：In frastructure 模式7. 无线局域网的漫游由于无线局域网传输距离的限制，因此若脱离其无线服务覆盖范围时通信便会中断，为解决此一问题须构建无缝的漫游连接。 如下所示以802.11b为例以三 个不重迭信道1、6、11为基础向外扩充，如此当无线网卡由信道11之覆盖区漫 游至信道6之覆盖区时，便能自动切换至信道6之服务区而不中断联机。同理可 再由信道6之覆盖区漫游至信道1之覆盖区。四.校园无线局域网组网设计1. 设计目标1) 建设目的校园网WLANK目是建设数字化校园的重要组成部分之一，数字化校园是利 用计算机技术、网络技术、通讯技术对学校与教学、科研、管理和生活服务有关 的所有信息资源进行全面的数字化；并用科学规范的管理对这些信息资源进行整 合和集成，以构成统一的用户管理、统一的资源管理和统一的权限控制； 把学校 建设成面向校园内，也面向社会的一个超越时间、超越空间的虚拟校园。2) 在校园网有线网络上构建 WLANS统WLA系统的基本构成主要包括接入点 AP和接入控制器AC结合网络情况和 骨干网，以及全网集中的认证，为最终用户提供移动数据网的接入服务和相关业 务服务。现有网络HX 3100H3C 3100H3C 3W0HX 3T003) 建设范围校园无线局域网的建设覆盖范围的确定，依据以下三条准则：有线网络无法接入的范围主要是指室外场所，包括体育场餐厅楼道。这些场所是很难实现有线接入 网络的，采用无线的方式就可以实现大范围室外空间的覆盖，实现无线接入网络。有线网络使用不便或受限的室内空间主要是指各会议室、大教室、办公室、图书馆阅览室、大厅、体育馆等。这 些地点空间较大，而且会有很多人同时接入网络的要求， 这时采用有线的方式只 能提供少量接口，不能满足该要求。在这种情况下，就非常适合用无线网络覆盖 来解决，可以允许相当数量的移动设备同时访问网络。研究需要的范围由于该无线局域网同时要作为研究试验网，因此一定要覆盖到研究需要的范 围。综上所述，校园网的无线应用范围如下：室内：利用室内型AP220-E为校园热点地区，如图书馆、餐厅等场所提供无 线互联网接入；室内型 AP应用于办公楼、教学楼、小型会议厅等场所提供无线 办公网、互联网接入；室内型AP220-E还可应用于学生公寓，为学生提供无线校 园网、互联网接入。室外:利用室外型无线AP220-H实现对校园分散的教学楼之间的操场等户外 场所，为用户提供无线网络连接服务，利用室外型AP220-H对广场、操场以及室 外休憩等场所的覆盖，提供校园网、互联网接入。2. 无线局域网设计原则根据校园的实际情况，考虑用户需求、覆盖范围、用户密度、建筑结构、业 务构成等各方面的需求，校园无线局域网建设的主要是作为校园有线网络的补 充，利用无线网络技术进一步扩展对学校各个大楼和室外部分区域的覆盖范围， 使全校师生在学校内部能够随时随地、 方便高效地使用校园网络资源；促进教学 和科研发展，进一步拓展研究空间；提升校园网络环境，提高管理水平和效率， 推动学校信息化建设。因此，在设计网络方案时根据下列原则进行学校无线局域网的设计：侧重实际应用，覆盖范围要求覆盖学校内大部分区域，尤其是包括各会议室、 办公室、图书资料室和大厅等教学楼、会议室和体育场场等有线网络不易覆 盖的区域，为教学和学习生活提供切实可用的无线网络环境；采取通行的网络协议标准：目前无线局域网普遍采用 802.11系列标准，因 此校园无线局域网将主要支持802.11a/b/g/n标准以提供可供实际应用的相 对稳定的网络通讯服务；全面的无线网络支撑系统，以避免无线设备及软件之间的不兼容性或网络管 理的混乱而导致的问题；保证网络访问的安全性；安全、认证、管理要求。为了阻止非授权用户访问无线网络，以及防止对无线局域网数据流的非法侦听，无线网络要具有相应的安全手段，主要包括：物理地址(MAC过滤、服务区标识符(SSID)匹配、有线等效保密(WEP、二层隔离、WPAfc持等。3. 校园无线局域网设计整体架构校园无线局域网设计可以分为室内无线局域网及室外无线局域网二部分，室内室外无线网络都可以和校园的原有的有线网络组成一个整体，校园网原有的网络系统基本不需要改变，新增的无线局域网可以作为校园网络系统的一个补充， 相辅相成。校园网络的无线接入层，我们建议室内覆盖使用星网锐捷公司的AP220-E的无线解决方案；室外覆盖采用室外专用有防雷防水设计的 AP220-H作为校园网 室外接入的补充。HK 31MH3C 3100H3C 3100HK 2100AP220-EAP20-EAP22D-H如上图示，包括无线局域网的校园网总体构包括三部分：原有校园有线网络：基本保持原状室外无线局域网：直接将室外专用 AP连接校园有线网络室内无线局域网：采用瘦AP的部署方式便于管理维护和扩展室内无线局域网设计校园室内无线局域网通常无线接入场所和用户数较多，需要无线 AP的数量 也较多，对AP的管理、漫游、性能、可靠性要求较高，我们选择 AP220-E一体 化有线/无线解决方案，相应产品为无线交换机 RG-S2924无线瘦AP220-E1)一体化有线/无线解决方案特点布署方式灵活AC5302集合了无线控制器功能，具有灵活的布署方式：POE交换机供电方式：集中采用 AP连接到POE交换机统一供电，将有线网络和无线网络物理隔离，更有效的统一管理 AP本地供电方式：利用现有的有线采用本地供电，好处是可以节约资源缺点是不便于维护和管理集中策略管理集中统一的AP配置管理、性能管理、安全管理、软件升级等；L2/L3快速漫游统一访问系统可以支持二层/三层漫游，用户在跨三层漫游时可以不用改变 IP地址也不用重新做安全认证，可以IP通道的方式实现无缝的漫游，可以适用 于要求非常苛刻的应用如 VOIP等。三层漫游功能也是业界区分产品或解决方案级别的一个重要的标志。高性能统一访问系统具有业界领先的高性能，主要表现在以下几个方面：RG-2924全千兆接口，具有很高的交换性能；AP220-E/AP220-H支持IEEE802.11b/g标准，采用独特的硬件技术实现 最高速率可达300MAP负载均衡：无线交换机会在所管辖的 AP间实施负载均衡，以最好的 提高无线性能；QOS统一访问系统支持带宽控制等多种 QOS昔施以提高使用效能； RG2924使用全千兆接口，支持未来802.11 n的更高速传输，可以更好地 保护用户投资；支持POERG2924交换机支持802.3 POE以太网供电功能，对无法在本地提供电源的 AP布署点来说提供极大的方便；也可以对其它的设备如IP摄像头等进行供电， 大大简化管理及安装工作。自动信道及功率调整自动信道调整功能：当有新的 AP加入到网络或现有AP被移除时，能根 据周围AP占用信道情况，自动选择非重叠信道，以提高无线传输效率； 自动功率调整功能：使用独特的算法自动调整 AP的发射功率，满足无线 客户端的使用要求，而不会与其它 AP互相干扰。无线网络自愈功能统一访问系统具有无线网络自愈功能，不仅能根据预先的设置周期性的检测 周围相邻AP的信号状态实现AP的功率的自动调整，当AP断电或损坏时相邻的 AP还可以自动增大发射功率以提高覆盖范围来替代出现故障的AP,尽可能减少对无线网络的影响。VAP支持AC5302支持802.1Q VLAN功能，我们将不同的 SSID与VLAN VID进行映射， 实现在同一个AP上将不同的SSID接入的PC自动划分到不同的VLAN功能，而不 同的SSID可以使用不同的安全设置。无线AP可从独立管理型升级变为集中管理型无线AP可从独立管理型升级变为集中管理型这种方式可以节约用户重复投 资成本，当网络规模小时可以采用 AP220-E独立管理模式；当无线网络规模扩展 到一定程度时，利用无线交换机对无线AP集中管理；当网络中的无线AP负载变 大时，通过无线交换可以方便地增加无线 AP0 FAT的组网模式:ADSL ModemWAN FIT的组网模式:7增强的安全功能非法AP管理功能：将搜索到不在交换机管理数据库的AP列为非法AP,通过了解非法AP的信息如MAC/SSID/Channel等让管理者更好的控制环 境；无线的安全功能可管理的AP的MAC地址过滤无线客户端的MAC地址过滤WEP（动态/静态）WPA企业/个人WPA企业/个人多SSID/802.1Q标记功能SSID广播关闭功能有线的安全功能ACL访问控制列表 802.1XDOS控制功能基于端口安全2)校园网室内无线覆盖网络拓朴及说明无线交换机本地供电组网模式AC5302无线害户曙无线交换机本地供电组网模式适合于已有有线网络、无线AP布点较分散的校园网应用场所。本地供电组网模式的布署方式为将无线AP连接在已有的接入交换机上，将无线交换机置于机房或数据中心来执行中央控制功能实现远程对AP的控管，这种布署方式对原有有线网络可以做到网络结构的最少改动，保护用户原有网络的投资。无线交换机POE交换机供电组网模式无线交换机POE交换机供电组网模式适合于无线 AP布点较多且较集中的校 园网应用场所。POE交换机供电组网模式的布署方式为将无线 AP直接连接在布 放于网络机房的无线POE交换机，这种边缘接入的布署方式对无线 AP的数量扩 展具有很大容量扩展性，无线的运算效能也更高，且可以由无线交换机实现对 AP的POE供电，全千兆交换机端口也可以满足未来向 802.11 n瘦AP升级换代的 高速无线交换。4. 室外无线局域网设计校园网的室外无线覆盖的解决方案主要应用于校园需要室外无线覆盖的场合，如学校的操场以及室外休憩纳凉场所、道路等室外热点地区，通过使用大功率室外型AP为用户提供园区网的访问及互联网的接入。我们推荐采用AP220-H室外型大功率多用途AP01) AP220-H室外专用无线产品特点符合802.11g 54M无线标准，兼容802.11b，还支持802.11a标准支持64/128/152 位WEPS WPA TKIP/PSK最新无线安全标准支持802.1x用户认证安全标准自适应无线速率选择 1,2,5.5,6,9,11,12,18,24,36,48,54,300Mbps输出功率可调支持无线AP、WDS WDS with AP等工作方式支持802.3 PoE以太网供电标准专为户外环境设计，具有防水防尘防雷等功能，适于各种恶劣环境2) 室外无线覆盖网络拓朴及说明如图示，室外的无线覆盖可以将室外专用无线产品 AP220-H布放于建筑物的 顶部或边缘、室外立杆等处与有线网络连接在一起。这样，室外的无线用户在相 应的无线覆盖区域就可方便地连接到园区网或因特网，给用户提供极大的方便。天銭谓节支架板状夭銭RG-AP620-H穀卜臓臺卜融接头密封件绝缘密封飯带PVC峻胶带fPOEfe接入交换机室外覆盖组成:室外型大功率AP增益天线应用场景：通过室外信号覆盖室内，兼顾室外覆盖适用场景：室外信号覆盖需求的地方；无法建设WLAF信号室内覆盖的地方；需要快速实现WLAF信号覆盖的地方 室外AP布署的频率规划3) 信道的规划802.11b/g/a使用开放的2.4GHz ISM频段，可工作的信道数为欧洲标准信 道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠，对于真正相Channel 12345678910111213中心频点 2412 2417 2422 2427 2432 2437 2442 2447 2432 2437 2462 2467 2472GHz互不重叠信道只有相隔5个信道的工作中心频点。因此对于 802.11g在2.4GHz 工作频段，理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆 盖。因此我们设计的室外无线 AP的覆盖频率采用1、7、13这三个频道对无线网 络覆盖区域提供无线信号，配合无线发射功率的调整等措施来减少同频干扰从而 实现较理想的覆盖效果，各个无线信道分布范围如下图所示：五.无线局域网的安全1. 无线局域网安全概述无线网络的架设与规划已为近来非常热门的话题， 无线网络相关产品越来越 成熟，而价格方面也非常地有吸引力，所以现在无线网络的应用，在大多数的学 校、机关单位、企业都可以看到。但是，无线网络的方便性也带来了无线网络的安全问题：无线网络，顾名思义就是利用空气（空间）取代网络线来传递数据，无 线网络使用者只要在无线电波的涵盖范围内， 就可以如同已往使用网络线来连上 网络一样方便；换句话说，任何人在电波范围内（可能是不同层楼或停车场） 也一样可以使用企业内部网络了！而且任何人也可以很方便的看到其它 人在传输的数据。 从另一个角度来看，会不会有人私自把 AP接上现有的网络 上，自己创造一个私人的无线网络环境呢？2. 无线网络需要解决的三个安全问题为了安全地使用无线网络，我们需要解决以下与无线网络安全相关的三个问题：确定无线网络的使用者是被允许的(认证使用者)；数据传输时需要保密(加密)；防止非法无线网络基地台连上网络。3. 无线网络的安全措施现在的无线网络在安全方面具有多种技术，我们可以根据具体需求灵活实施 一种或多种安全技术来实现无线网络的安全要求，以下逐一介绍无线网络的各种 安全技术：1) SSID服务识别码SSID(服务识别码)是一个可供设定的字符串，用来区分不同的无线网络区域，设定正确SSID的使用者才可以跟无线网络基地台(Wireless Access Point) 通讯。锐捷网络所提供的 AP/网桥产品均支持SSID广播的开启和关闭功能，若 关闭SSID广播，无线客户端若不知道SSID(服务识别码)内容则无法联入无线网 络，从而增加了网络的安全性。锐捷无线产品还支持多 SSID功能，并且能把SSID与802.1Q VLAN的VID进行捆绑，从而实现802.1Q VLAN的安全性。2) 有线等价加密(WEP)由于无线局域网的特性，保护对网络的物理访问比较困难。与需要物理连接 的有线网络不同，无线AP范围内的任何人都可以为所欲为地发送和接收帧以及 侦听发送的其他帧，这使得无线局域网帧很容易被窃听和远程探查。有线对等保 密(WEP)由IEEE 802.11标准定义，旨在提供与有线网络等效的数据机密性。WEP通过加密无线节点之间发送的数据来提供数据机密性服务。在802.11帧的 MAC标头中设置 WEP标志即表示对802.11帧进行了 WEP加密。WEP通过在无 线帧的加密部分包括完整性校验值 （ICV）来提供随机错误的数据完整性。3）IEEE 802.1XIEEE 802.1X标准定义了基于端口的网络访问控制，用于为以太网提供经过身份验证的网络访问。这种基于端口的网络访问控制使用交换式局域网基础结构 的物理特性对连接到局域网端口的设备进行身份验证。如果身份验证过程失败， 则拒绝它们访问该端口。尽管此标准是为有线以太网设计的，不过它已经得到了修改，可以在802.11无线局域网上使用。IEEE 802.1X定义了以下术语：端口访问实体、身份验证者、申请者、身份 验证服务器等。下图显示了无线局域网的这些组件。端口访问实体局域网端口又称端口访问实体 （PAE），是支持与端口关联的IEEE 802.1X 协议的逻辑实体。PAE可以是身份验证者角色、申请者角色或者同时是这两种角 色。身份验证者身份验证者是一个局域网端口，该端口在允许访问可通过此端口访问的服务 前强制执行身份验证。对于无线连接，身份验证者是无线AP上的逻辑局域网端 口，基础结构模式中的无线客户端通过此端口获得对其他无线客户端和有线网络 的访问。申请者申请者也是一个局域网端口，此端口请求访问可通过身份验证者访问的服务。对于无线连接，申请者是无线局域网适配器上的逻辑局域网端口，该端口通过将自身与身份验证者关联并向身份验证者验证它自身来请求对其他无线客户 端和有线网络的访问。无论对于无线连接还是有线以太网连接，申请者和身份验证者都通过逻辑或 物理的点到点局域网段进行连接。身份验证服务器为验证申请者的凭据，身份验证者使用了身份验证服务器。身份验证服务器 代表身份验证者检查申请者的凭据， 然后对身份验证者做出响应，指示是否授权 申请者访问身份验证者的服务。受控端口和非受控端口身份验证者基于端口的访问控制定义了以下不同类型的逻辑端口，这些端口通过单个物理局域网端口访问有线局域网：非受控端口非受控端口允许身份验证者（无线AP）与有线网络上的其他联 网设备之间进行不受控制的交换，无论无线客户端的授权状态如何。无线客户端 发送的帧从不使用非受控端口发送。受控端口只有在无线客户端得到802.1X的授权时，受控端口才允许在无 线客户端和有线网络之间发送数据。在进行身份验证之前，交换机打开，并且无 线客户端和有线网络之间不会转发任何帧。在使用IEEE 802.1X成功验证无线客户端后，交换机关闭，并且可以在无线客户端和有线网络上的节点之间发送帧在执行身份验证的以太网交换机上，身份验证一旦完成，有线以太网客户端 就可以将以太网帧发送到有线网络。交换机使用以太网客户端连接到的物理端口 来识别特定有线以太网客户端的通信。 通常，以太网交换机上的一个物理端口仅 连接一个以太网客户端。由于多个无线客户端竞相访问同一信道并使用同一信道发送数据，因此需要扩展基本IEEE 802.1X协议，以使无线AP能够识别特定无线客户端的安全通 信。这由无线客户端和无线AP通过相互确定每客户端单播会话密钥来完成。只有经过身份验证的无线客户端知道它们的每客户端单播会话密钥。如果成功的身份验证未能关联有效的单播会话密钥，无线AP将丢弃从无线客户端发送的通信。为了对IEEE 802.1X提供一个标准的身份验证机制，我们选择了可扩展身份验证协议（EAP）。EAP是一个基于点对点协议（PPP）的身份验证机制，它已 经得到了修改，可在点对点局域网段上使用。EAP消息通常作为PPP帧的有效负载发送。为了修改EAP消息使其能够通过以太网或无线局域网段发送，IEEE 802.1X标准定义了 EAP over LAN （EAPOL），这是封装EAP消息的一种标准方 法。目前友讯网络所提供的全线 WLAN产品均支持802.1X身份验证标准。4）WPA （Wi-Fi Protected Access）WP屜含了认证、加密和数据完整性校验三个组成部分，是一个完整的安全 性方案。WPA勺认证分为两种。第一种采用 802.1X+EAP的方式，用户提供认证所需 的凭证，如用户名密码，通过特定的用户认证服务器（一般是RADIUS服务器）来实现。在大型企业网络中，通常采用这种方式。但是对于一些中小型的企业网 络或者家庭用户，架设一台专用的认证服务器未免代价过于昂贵，维护也很复杂，因此 WPA也提供一种简化的模式，它不需要专门的认证服务器。这种模式叫做 WPA共享密钥（WPA-PSK）仅要求在每个 WLA节点（AP、无线路由器、网卡等） 预先输入一个密钥即可实现。只要密钥吻合，客户就可以获得WLAN勺访问权。WPA采用TKIP为加密引入了新的机制，它使用一种密钥构架和管理方法， 通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24位增加到48位等方法增强安全性。而且，TKIP利用了 802.1X/EAP构架。认 证服务器在接受了用户身份后，使用 802.1X产生一个唯一的主密钥处理会话。 然后，TKIP把这个密钥通过安全通道分发到 AP和客户端，并建立起一个密钥构 架和管理系统，使用主密钥为用户会话动态产生一个唯一的数据加密密钥，来加密每一个无线通讯数据报文。TKIP的密钥构架使WE静态单一的密钥变成了 500 万亿个可用密钥。虽然WPA采用的还是和 WEP-样的RC4加密算法，但其动态密 钥的特性很难被攻破。消息完整性校验（MIC），是为了防止攻击者从中间截获数据报文、篡改后重 发而设置的。除了和802.11 一样继续保留对每个数据分段（MPDU进行CRC校验 外，WPA为802.11的每个数据分组（MSDU都增加了一个8个字节的消息完整性 校验值，这和802.11对每个数据分段（MPDU进行ICV校验的目的不同。ICV的 目的是为了保证数据在传输途中不会因为噪声等物理因素导致报文出错， 因此采 用相对简单高效的CRC算法，但是黑客可以通过修改ICV值来使之和被篡改过的 报文相吻合，可以说没有任何安全的功能。而WPA中的MIC则是为了防止黑客的 篡改而定制的，它采用Michael算法，具有很高的安全特性。当MIC发生错误的 时候，数据很可能已经被篡改，系统很可能正在受到攻击。此时， WPA还会采取 一系列的对策，比如立刻更换组密钥、暂停活动 60秒等，来阻止黑客的攻击。友讯网络所提供的主流WLAh产品均支持WPA而其他产品也可以通过软件 升级支持WPA5）MAC地址过滤AP还可以通过设置MAC地址过滤功能允许或拒绝某些特定的无线网卡联入无线网络，从而增加网络的安全性。锐捷网络所提供的全线 WLAN产品均支持MAC地址过滤功能。6）无线客户端隔离功能锐捷网络所提供的AP均支持无线客户端隔离功能，非常适合在校园网、企 事业单位或热点地区布放，使无线用户在轻松上网的同时，最大限度的保证安全 性。六. 产品简介1.RG-S5750/RG-S2924GT & AP220-E/AP220-H & AC5302 & SMP1）RG-S5750高性能万兆端口为“千兆汇聚，万兆核心”提供可能，适应了网络应用高速发展，网络 带宽不断增加的需要。而万兆端口的可扩展性既方便用户现在使用万兆网路，也 方便用户后续升级网络到万兆。IPv4/IPv6双栈协议多层交换硬件支持IPv4/IPv6双协议栈多层线速交换，硬件区分和处理 IPv4、IPv6协议 报文，支持多种Tunnel隧道技术（如手工配置隧道、6to4隧道和ISATAP隧道 等等），可根据IPv6网络的需求规划和网络现状，提供灵活的IPv6网络间通信 支持丰富的IPv4路由协议，包括静态路由、RIP、OSPF BGP4等，满足不同网 络环境中用户选择合适的路由协议灵活组建网络；支持丰富的IPv6路由协议，包括静态路由、 RIP ng、0SPFv3 BGP 4等，不论是 在升级现有网络至IPv6网络，还是新建IPv6网络，都可灵活选择合适的路由协 议组建网络；S5750 V2.0硬件版本支持 MCE功能，可以在BGP/MPLS VP组网应用中承担多个 VPN实例的CE功能，减少用户设备的投入。灵活完备的安全策略 具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防 Dos攻 击、防黑客IP扫描机制、端口 ARP报文的合法性检查、多种硬件 ACL策略等， 还网络一片绿色；支持基于硬件的IPv6 ZACL即使在IPv4网络内有IPv6用户，也可轻松在网络 边缘实现对IPv6用户的访问控制，既可允许网络内IPv4/IPv6用户并存，也可 以对IPv6用户的访问权限进行控制，比如限制对网络敏感资源的访问等。业界领先的硬件CPU呆护机制：特有的CPU呆护策略（CPP技术），对发往CPU 的数据流，进行流区分和优先级队列分级处理， 并根据需要实施带宽限速，充分 保护CPU不被非法流量占用、恶意攻击和资源消耗，保障了 CPU安全，充分保护 了交换机的安全；硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定，严格限定端口上的用户接入或交换机整机上的用户接入问题；支持DHCP snooping,可只允许信任端口的 DHCP向应，防止私设 DHCP Server 的欺骗；并在DHCP监听的基础上，通过动态监测 ARP和检查用户的IP，直接丢 弃不符合绑定表项的非法报文，有效防范ARP欺骗和用户源IP地址的欺骗问题；基于源IP地址控制的Telnet访问控制，避免非法人员和黑客恶意攻击和控制设 备，增强了设备网管的安全性；SSH（ Secure Shell ）和SNMPv可以通过在Tel net和SNM进程中加密管理信 息，保证管理设备信息的安全性，防止黑客攻击和控制设备控制非法用户使用网络，保证合法用户