1、校園校園 無線局域網(wǎng)解決方案建議書無線局域網(wǎng)解決方案建議書 北京信息有限公司北京信息有限公司 20082008 年年 9 9 月月 目目 錄錄 一、無線局域網(wǎng)系統(tǒng)建設需求.3 1項目背景.3 11 擴展網(wǎng)絡信息點數(shù)量需求.3 12 網(wǎng)絡教學需求.4 13 遠程教學和視頻會議需求.4 14 建設數(shù)字化信息大學需求.4 15 無線覆蓋范圍需求.4 二、無線局域網(wǎng)設計原則和技術需求.7 21 遵循標準.7 22 安全可靠.7 23 可擴展可升級.8 24 易管理易維護.8 25 技術需求.8 三、靈動 WIFI 技術特點.9 31 無線局域網(wǎng)系統(tǒng)架構(gòu).10 311 先進的無線局域交換機.10 312

2、 靈活的組網(wǎng)方式.10 313 優(yōu)秀的擴展性.10 314 無需更改有線網(wǎng)結(jié)構(gòu).10 315 方便地無線網(wǎng)規(guī)劃設計.11 32 無線局域網(wǎng)的網(wǎng)絡管理.12 321 集中式管理.12 322 無需安裝客戶端軟件.12 323 RF 智能管理.12 324 多個 SSID 結(jié)構(gòu).13 325 故障自動恢復.13 326 網(wǎng)絡負載均衡.13 327 無線終端定位.13 33 無線局域網(wǎng)系統(tǒng)的安全管理.14 331 集中的安全管理.14 332 多種用戶認證方式.14 333 獨特的無線訪問控制.14 334 安全的 AP 技術 .15 335 無線接入點安全偵測和保護.15 336 無線網(wǎng)絡入侵偵測

3、.15 34 帶寬控制與服務質(zhì)量保證 QOS.16 343 無縫的三層漫游.16 四、無線組網(wǎng)設計.16 41 無線局域網(wǎng)的組網(wǎng)設計.16 42 多業(yè)務區(qū)分設計.17 43 網(wǎng)絡與用戶管理.18 44 無線安全性設計.18 45 移動漫游設計.19 五、無線局域網(wǎng)系統(tǒng)建議.20 51 無線覆蓋建議.20 52 無線組網(wǎng)實現(xiàn).22 53 網(wǎng)絡用戶與應用管理實現(xiàn).23 54 多媒體與網(wǎng)絡教學以及音視頻應用的實現(xiàn).24 55 無線網(wǎng)的安全系統(tǒng)實現(xiàn).24 5、6 無線控制器的配置實施建議.25 561 AP 的 VLAN 和無線用戶的 VLAN.25 562VLAN 和無線 SSID 的關系.25 5

4、63 無線局域網(wǎng)-不需更改局域網(wǎng)路由.26 六、 設備配置清單.27 附件一、無線產(chǎn)品簡介.28 一、無線控制器 7605.28 二、AQ2010 -AP.28 三、AQ3010 -AP.29 一、一、 無線局域網(wǎng)系統(tǒng)建設需求無線局域網(wǎng)系統(tǒng)建設需求 1項目背景項目背景 此次項目是針對所屬的建筑群做無線局域網(wǎng)的覆蓋，滿足數(shù)據(jù)、語音和視頻多方 面的網(wǎng)絡應用需求。無線網(wǎng)絡的覆蓋重點為行政樓，圖書館、宿舍樓以及部分教學樓 和宿舍。具體需求如下： 11 擴展網(wǎng)絡信息點數(shù)量需求擴展網(wǎng)絡信息點數(shù)量需求 在建設時所安裝部署的有線網(wǎng)絡信息點數(shù)量與實際使用的需要缺口較大，難以滿 足學院的正常教學、辦公、各種會議以

5、及留學生和來客使用網(wǎng)絡的實際需求。如果采 用有線網(wǎng)絡擴充而進行的網(wǎng)絡布線工程會對墻壁和頂棚做大量的施工，影響內(nèi)部的外 觀。 希望通過采用無線局域網(wǎng)覆蓋方式滿足目前和將來的需要，并減少有線網(wǎng)絡布線 帶來的工程難度、施工量和工程費用。本項目的建設目的是采用無線局域網(wǎng)替代正準 備擴展的有線局域網(wǎng)，而不是簡單地作為有線網(wǎng)的延伸。 12 網(wǎng)絡教學需求網(wǎng)絡教學需求 有多個多媒體教學教室和計算機網(wǎng)絡教室，由于在建設時這些房間的使用功能考 慮，目前有線網(wǎng)絡環(huán)境教室已經(jīng)不能滿足廣大師生網(wǎng)絡接入，如采用有線網(wǎng)絡擴充方 式還需要在這些教室布大量網(wǎng)線，其工程難度很大。因此，建議采用無線局域網(wǎng)覆蓋 方式可以很方便、靈活

6、地配合教室的布局和計算機接入網(wǎng)絡的位置。 13 遠程教學和視頻會議需求遠程教學和視頻會議需求 的主樓以及學術會議中心、會議廳（室）召開各種類型的會議和學術活動不斷增 多，在召開會議準備過程中，與會者常常提出需要提供臨時性的無線網(wǎng)絡環(huán)境，以便 使用視頻會議系統(tǒng)或通過互聯(lián)網(wǎng)進行具有音視頻內(nèi)容的遠程多媒體傳輸、演示和交互。 14 建設數(shù)字化信息大學需求建設數(shù)字化信息大學需求 經(jīng)常接待來校訪問的國外學者和專家以及參加各種會議和學術活動的來賓，來賓 們隨身攜帶的筆記本電腦需要隨時隨地接入 Internet 處理日常事務，因此，無線網(wǎng)絡 要滿足來賓移動接入 Internet 以及 WiFi-VoIP 語音

7、通信需求。 15 無線覆蓋范圍需求無線覆蓋范圍需求 根據(jù)無線網(wǎng)絡需求要求無線局域網(wǎng)的覆蓋區(qū)域的如下所示： 宿宿舍舍 食食堂堂 教教學學樓樓 圖圖書書館館 廣廣場場 草草坪坪 1、教學大樓位于學校東南位置，高 6F，雙面結(jié)構(gòu)，樓內(nèi)中間過道較長，約 90 米，整 個大樓以普通教室為主，另有 8 個階梯教室。 2、圖書館位于學校中心位置，樓層為 5 層，除閱覽室外還有部分辦公室。本次只考慮 對圖書館內(nèi)辦公室無線覆蓋，同時需要對圖書館周邊廣場進行無線覆蓋。 3、學生宿舍樓均為雙面結(jié)構(gòu)，樓長約 100 米，樓寬約 12 米，高 6 層，每層 40 個南北 相對的學生房間，每棟 240 個房間，要求對全樓

8、宿舍無線覆蓋，共計 8 棟宿舍樓。 4、食堂為三層不規(guī)則建筑，本次只考慮在學生和教師食堂大廳進行室內(nèi)無線覆蓋。 二、二、 無線局域網(wǎng)設計原則和技術需求無線局域網(wǎng)設計原則和技術需求 21 遵循標準遵循標準 無線局域網(wǎng)采用的技術支持應為國際標準或業(yè)界標準，不使用某個廠商的專用技 術和協(xié)議，以保證網(wǎng)絡設備的互通性，有利于網(wǎng)絡的投資保護。 根據(jù)的需求和無線網(wǎng)建設與設計原則，建議采用公司的第三代無線交換局域網(wǎng)系 統(tǒng)（以下簡稱靈動 WIFI） ，完成無線局域網(wǎng)覆蓋項目。 22 安全可靠安全可靠 在網(wǎng)絡安全性方面，無線局域網(wǎng)系統(tǒng)要具有與有線局域網(wǎng)同樣要求的安全防護措 施，無線網(wǎng)的安全性主要從以下幾個方面考慮

9、： （1）接入認證：具有支持多種用戶認證方式； （2）采用具有用戶狀態(tài)訪問控制的防火墻技術； （3）具有數(shù)據(jù)在無線信道上傳輸?shù)?VPN 機制； （4）具有無線網(wǎng)的防病毒機制 （5）具有無線電波監(jiān)控能力，能提供無線入侵偵測和無線終端位置的追蹤功能。 具有提供智能化的無線電波自動調(diào)控與切換能力，以確保單個 AP 接入點在發(fā)生 故障時自動切換到鄰近 AP，不會影響無線的接入服務；具有支持熱備份的無線控制器 N+1 的冗余備份機制。 23 可擴展可升級可擴展可升級 通過一個集中的無線局域網(wǎng)網(wǎng)管平臺實現(xiàn)對所有的 AP 功能的配置和管理，AP 既 可以提供無線接入，也可設置為無線入侵監(jiān)控、無線終端追蹤定位

10、、無線電波傳輸分 析的工作模式。同時整個系統(tǒng)可以根據(jù)用戶的需要進行規(guī)模上的擴展，擴展后所有功 能和管理的模式保持不便。 24 易管理易維護易管理易維護 在網(wǎng)絡管理方面，必須具有集中控管、智能調(diào)控、自動恢復、負載均衡等實用功 能，使所建的無線網(wǎng)絡可以適應多種環(huán)境的變化，可動態(tài)地保證良好的應用效果。同 時，還應具有遠端 AP 數(shù)據(jù)進行采集、遠程監(jiān)控、終端定位等功能，支持多 SSID，可 以方便的把語音、視頻以及其他類型的數(shù)據(jù)的應用進行分開管理。 25 技術需求技術需求 根據(jù)無線局域網(wǎng)系統(tǒng)建設要求，無線局域網(wǎng)系統(tǒng)建設原則如下： 1、采用 WLAN 交換技術及 WLAN 交換體系結(jié)構(gòu)。 2、充分利用現(xiàn)

11、有網(wǎng)絡結(jié)構(gòu)與資源，不單獨組網(wǎng)，AP 就近接入有線網(wǎng)絡（最近的 交換機） ，并且不改變原有網(wǎng)絡結(jié)構(gòu)以及交換機配置。 3、采用集中控管的組網(wǎng)方式，集中控制管理所有的 AP。 4、AP 的供電可以不單獨拉線，采用 POE 供電的方式。 5、采用先進的 WLAN 網(wǎng)管系統(tǒng)管理校園局域網(wǎng)。 6、充分考慮 WLAN 的安全性，采用先進的 WLAN 安全技術保障。 7、無線局域網(wǎng)系統(tǒng)要支持故障熱備冗余能力。 8、無線局域網(wǎng)系統(tǒng)要能方便和靈活地調(diào)整與擴充。 三、三、 靈動靈動 WIFI 技術特點技術特點 靈動 WIFI 技術是由公司獨創(chuàng)的 WLAN 交換技術，在傳統(tǒng)的 WLAN 交換技術中，所 有的數(shù)據(jù)流量都

12、要集中到 WLAN 交換機或控制器處做統(tǒng)一的數(shù)據(jù)交換，而此種解決方案最 大的問題是，在數(shù)據(jù)流量很大時，WLAN 交換機或控制器的壓力會增大。當前流行的 WLAN 接入技術 802.11g 最快速率只有 54 M，所以 WLAN 交換機或控制器的性能瓶頸還 未充分顯露出來，而在不久的將來當 802.11n 技術大規(guī)模開始使用時，這一問題會變得突 出而無法解決。802.11n 技術最高支持 600M 的接入速率，假設一個 WLAN 交換機或控制 器在有 200 只 802.11n AP 接入時，它的 WLAN 交換量以達到 120G，這一數(shù)字是遠遠超過 目前絕大多數(shù) WLAN 交換設備的最高處理能

13、力的。 針對這一問題，公司提出了靈動 WIFI 的技術理念，這一技術理念的核心思想是，用 戶管理數(shù)據(jù)與用戶轉(zhuǎn)發(fā)數(shù)據(jù)分離，受控數(shù)據(jù)與非受控數(shù)據(jù)轉(zhuǎn)發(fā)分離，網(wǎng)絡管理數(shù)據(jù)與網(wǎng)絡 業(yè)務數(shù)據(jù)分離。 針對不同的用戶、不同的數(shù)據(jù)、不同的業(yè)務采取不同的控制策略，將非受 控的數(shù)據(jù)流量采用本地轉(zhuǎn)發(fā)的方式直接轉(zhuǎn)發(fā)，而受控數(shù)據(jù)流量需流經(jīng) WLAN 交換機進行處 理。這樣大大減小了 WLAN 交換設備的負荷，避免了 WLAN 交換設備成為網(wǎng)絡中的瓶頸 。 在無線網(wǎng)融合到有線網(wǎng)絡方面，靈動 WIFI 所有的三層路由穿透技術可以不更改原有 線網(wǎng)的路由設定，使得無線網(wǎng)絡的規(guī)劃和實施非常方便。 在無線網(wǎng)絡管理方面，靈動 WIFI

14、 實現(xiàn)真正的集中控管，包括獨有的 RF 智能調(diào)控， 自動恢復、負載均衡功能，使無線網(wǎng)可以適應無線環(huán)境中的電磁波變化，動態(tài)自動調(diào)節(jié)到 最佳應用效果；還可以實現(xiàn)遠端 AP 狀態(tài)監(jiān)測，方便實現(xiàn)對 AP 的管理；具有多 SSID 支持， 實現(xiàn)了對無線數(shù)據(jù)、語音和視頻的應用帶寬管理。 在無線安全性方面，靈動 WIFI 具備多種用戶認證、 、基于用戶的狀態(tài)防火墻、VPN 加密機制、無線入侵偵測、無線接入病毒防護功能以及集中的安全管理。 在無線音視頻應用方面，獨有的基于每個用戶的帶寬控制和 QOS 保證，可以確保語 音和視頻業(yè)務的實時性，先進的無縫三層移動漫游，使得 VoIP 以及 Wi-fi 手機可以自由

15、的 在任意 AP 間切換。 31 無線局域網(wǎng)系統(tǒng)架構(gòu)無線局域網(wǎng)系統(tǒng)架構(gòu) 311 先進的無線局域交換機先進的無線局域交換機 公司無線系統(tǒng)采用了 Wireless Switchthin AP 構(gòu)架，將第二代分散在 AP+AC 上的網(wǎng) 絡管理和安全管理功能轉(zhuǎn)移到集中的 WLAN 交換機中實現(xiàn)，同時增加了許多無線局域網(wǎng) 全新的功能。 諸如：無線安全性、AP 管理控制、RF 站址監(jiān)測、無縫移動漫游，特別是對語音、視 頻業(yè)務的支持有專門的 Qos 保證，使得 VoWlan 應用的 Wi-Fi 技術應用飛速發(fā)展。 312 靈活的組網(wǎng)方式靈活的組網(wǎng)方式 產(chǎn)品可以根據(jù)從小型的無線網(wǎng)規(guī)模（幾十個 AP） ，到大型

16、無線網(wǎng)規(guī)模（幾百個 AP， 甚至上千個 AP） ，都可以采用集中或者分布式的組網(wǎng)方式進行靈活的組網(wǎng)。并可以提供冗 余熱備份機制，保證系統(tǒng)的高可用性。 313 優(yōu)秀的擴展性優(yōu)秀的擴展性 無線網(wǎng)絡具有非常方便擴展的特性。在組建無線網(wǎng)時必須要考慮系統(tǒng)的擴展性。在網(wǎng) 絡系統(tǒng)擴展性方面，的一臺 7605 控制器可靈活地對從 32 個 AP 擴充到支持 1024 個 AP， 因此擴展 AP 非常容易；從網(wǎng)絡管理擴展性方面, 的 Master/Local 方式， Master 交換機可 以同時控制管理 32 臺的 Local 交換機，因此增加交換機也非常容易管理。 除了 AP 數(shù)量之外，怎樣控管大量的 AP

17、 和部署也是擴展性的重要考慮因素。要妥善處 理數(shù)目眾多的 AP 在校園網(wǎng)內(nèi)正常遠作，包括無線電波協(xié)調(diào)、無線用戶的帶寬和安全訪問 控管以及其它各種各樣的無線增值服務都可以通過系統(tǒng)的網(wǎng)管系統(tǒng)實現(xiàn)。 314 無需更改有線網(wǎng)結(jié)構(gòu)無需更改有線網(wǎng)結(jié)構(gòu) 實現(xiàn)無線局域網(wǎng)接入，需要在現(xiàn)有的局域網(wǎng)上做很多路由的修改，這當然是網(wǎng)管人員 不愿意做的事情，采用系統(tǒng)無需更改現(xiàn)有的有線網(wǎng)結(jié)構(gòu)。 由于無線用戶的傳輸是通過 AP 內(nèi)已建立的 capwap 隧道和無線控制器互連的，所以 實際上無線用戶的 VLAN 是無須在接入層和匯聚層存在。無線用戶的 VLAN 是可透過交換 機和骨干交換機互連互通。這樣非常方便在大學校園里實施

18、無線局域網(wǎng)，同時也非常方便 進行擴展。 的無線控制器可以安裝在學校的中心機房，而 AP 則可以放置于校園的任何地方，無 需用二層設備連到無線控制器，或者劃分 VLAN；其他廠家則需要二層交換機連接或者劃 分 VLAN，否則只能將認證點下放到 AP 上，導致整體性能的降低和漫游特性的缺失。而 不用劃分 VLAN，對于無線網(wǎng)絡的管理帶來極大的便利性。 對原有的有線網(wǎng)路由器不需要改變路由結(jié)構(gòu)，減輕了由于無線網(wǎng)的建設而對原有網(wǎng)絡 的結(jié)構(gòu)改變的工作量。 315 方便地無線網(wǎng)規(guī)劃設計方便地無線網(wǎng)規(guī)劃設計 在規(guī)劃一個無線局域網(wǎng)絡時，規(guī)劃設計者一項重要的工作是要考慮安裝多少 AP 可以 滿足覆蓋？應在哪些位置

19、安裝 AP，安裝后電波的覆蓋范圍，信號在不同位置的強弱等，要 完成此項工作，通常做法是規(guī)劃設計者要在現(xiàn)場做大量的測試工作，通過經(jīng)驗去估算位置 和數(shù)量，其工作量非常之大，無法預先規(guī)劃每個 AP 的電磁波和功率參數(shù)以及 AP 之間的覆 蓋相交范圍。 開發(fā)了 RF Planning 工具，讓規(guī)劃設計者在無線局域網(wǎng)組網(wǎng)之初采用 RF Planning 在計 算機上做規(guī)劃設計，估算在要求的覆蓋面積上 AP 應安裝的物理位置所在。使用這套工具 時，在數(shù)字化的校園建筑圖紙上設定無線所覆蓋范圍如那幾個樓層和面積大小，輸入有關 無線覆蓋和傳輸模型的相關參數(shù)，如無線終端的平均帶寬，AP 和 AP 之間覆蓋面等。R

20、F Planning 自動計算，然后顯示出 AP 在圖上的安裝坐標位置和無線電波的覆蓋范圍。安裝 人員就可以根據(jù)圖紙上所顯示的位置安裝 AP，在無線網(wǎng)安裝完成后，網(wǎng)管人員通過 RF 規(guī) 劃自動校準功能， 交換機可以自動調(diào)節(jié)無線網(wǎng)上所有 AP 的頻道與功率參數(shù)以達到一個最 優(yōu)性能的運行狀態(tài)。 在無線局域網(wǎng)系統(tǒng)投入運行后，網(wǎng)管人員可通過 RF Planning 隨時監(jiān)測網(wǎng)內(nèi)的每個 AP 的無線電波實際的運行狀態(tài)，及時掌握每個 AP 的工作狀態(tài)和故障診斷，及時做出調(diào)整策 略。RF Planning 為無線網(wǎng)的規(guī)劃設計、調(diào)試以及維護提供科學化和規(guī)范化的管理。 32 無線局域網(wǎng)的網(wǎng)絡管理無線局域網(wǎng)的網(wǎng)絡

21、管理 321 集中式管理集中式管理 網(wǎng)絡數(shù)據(jù)中心管理一個具有規(guī)模的無線局域網(wǎng)（通常在幾十個 AP 以上）是一件非常 頭痛的事情。從 RF 覆蓋面，帶寬，用戶的認證，以及接入的安全都要考慮。由于傳統(tǒng)的 無線局域網(wǎng)是單純基于 AP，因此對于無線網(wǎng)絡的管理，其大量工作是要在每個 AP 上進行 設置和更改。其工作量在有一定數(shù)量 AP 的無線網(wǎng)里是非常大和煩瑣的，而且無線局域網(wǎng) 是一個整體系統(tǒng)，AP 之間必須互協(xié)調(diào)工作，單獨改變一個 AP 參數(shù)和配置會引起 AP 之間 的無線電波干擾，用戶漫游重認證和授權也可能會產(chǎn)生問題。 靈動 WIFI 具有非常強的無線局域網(wǎng)集中管理功能，通過無線控制器管理整個網(wǎng)絡，

22、 網(wǎng)管人員只需在無線控制器就可開通、管理、維護所有 AP 設備以及移動終端，包括無線 電波頻譜、無線安全、接入認證、移動漫游以及接入用戶。 322 無需安裝客戶端軟件無需安裝客戶端軟件 靈動 WIFI 無需為每一個移動用戶終端安裝無線接入軟件， 的認證可以基于 WEB 頁 面認證，認證只需用戶打開瀏覽器就可以登陸。采用 CAPWAP 隧道技術，可以透明地穿 透在無線控制器和 AP 之間的任何三層網(wǎng)絡交換設備實現(xiàn) WEB 認證。 323 RF 智能管理智能管理 系統(tǒng)的 RF 智能管理可以自動對網(wǎng)上所有 AP 的無線電波進行管理。 當無線局域網(wǎng)經(jīng)過自動校準的調(diào)整后而正式投入網(wǎng)絡運作時，無線網(wǎng)上所有

23、的 AP 都會 在設定的時間內(nèi)自行掃描其它的無線頻道。無線電波掃描是指 AP 從一個電波頻道跳到另 一頻道時，如 Ch 1 到 Ch 2 到 Ch 3.，由于掃描的速度非?？?，所以對于在線的無線用 戶（指連接到 AP 上在同一頻率上的無線終端）的傳輸過程是不受到影響地。當 AP 停留在 一個頻道時，它會把在這頻道上收到的無線電波信息轉(zhuǎn)送回無線控制器。 無線控制器可以對整個無線網(wǎng)上的電波情況偵測和記錄。當某一覆蓋范圍內(nèi)的無線電 波改變，如出現(xiàn)干擾 AP 所發(fā)出的電波或其它應用所發(fā)出的電波等，無線控制器就會把所 獲取的無線電波資料做分析，以確定是否需要調(diào)整這范圍內(nèi) AP 的無線電波。 324 多個

24、多個 SSID 結(jié)構(gòu)結(jié)構(gòu) 靈動 WIFI 的多 SSID 結(jié)構(gòu)和和實現(xiàn)技術使得在無線局域網(wǎng)系統(tǒng)的各種多媒體應用服 務（數(shù)據(jù)、語音和視頻）在 Qos 上表現(xiàn)非常出色。在一個無線局域網(wǎng)內(nèi)可以設置多個 SSID，例如一個 SSID 可給學校內(nèi)部教師、工作人員以及學生所用，而另一個可給外來的 訪問客戶專用。所以當無線終端在這個 AP 覆蓋范圍內(nèi)啟動時，它就能同時看到多個 SSID。SSID 的另一用途是可讓無線終端以不同的安全認證和加密方式入網(wǎng)。 325 故障自動恢復故障自動恢復 傳統(tǒng)的無線網(wǎng)在有 AP 損壞或失效時，這個 AP 的覆蓋范圍就會失去了無線連接。遇 到這種情況的一般做法就是把現(xiàn)場失效的

25、AP 換掉。但由于大多數(shù)的 AP 都是設置在外面 (不是在機房)，所以不一定能馬上作更換，現(xiàn)場的環(huán)境也有局限性，不一定很容易維護人 員即時做出更換(很多的 AP 都是安裝在天花板上)。 系統(tǒng)具有自動恢復的功能，實時偵測出網(wǎng)上 AP 是否有失效，當發(fā)覺有 AP 出現(xiàn)故障時， 交換機能會自動調(diào)節(jié)鄰近的 AP 的功率（覆蓋范圍）來接替失效 AP 的工作。 326 網(wǎng)絡負載均衡網(wǎng)絡負載均衡 系統(tǒng)可在一個 AP 的覆蓋范圍內(nèi)把無線用戶或終端分散連接到附近的 AP 上。在一個 AP 的覆蓋范圍內(nèi)，無線連接的帶寬是共享，即無線終端數(shù)目越多，每個終端所能分享的帶 寬就越小。要確保每個無線終端的傳輸就必須能限制

26、一個 AP 上無線終端的數(shù)量或 AP 帶寬 傳輸總和或和每個無線終端帶寬上限。負載均衡功能可以有效的緩解單個 AP 的負擔，有 效的利用臨近的 AP 做接入，從而確保視頻應用的質(zhì)量得到保證。 327 無線終端定位無線終端定位 網(wǎng)管系統(tǒng)可以跟蹤和定位無線終端的位置，諸如無線接入的電腦、PDA 和 Wi-Fi 手 機等。采用的無線定位模式稱為三角定位，無線定位的準確性可達到 2.5 米以內(nèi)，無線定 位的條件是所尋找的無線終端附近須有最少三個的 AP 在范圍內(nèi)。這是傳統(tǒng)無線局域網(wǎng)所 不能做的，有些單位如醫(yī)院就是采用了無線定位技術來取代傳呼機在醫(yī)院內(nèi)尋找醫(yī)生、病 人等。大學對非法 AP 的定位，可以成

27、為學校網(wǎng)絡中心的管理人員提供清楚非法 AP 有效手 段，可以方便快捷的清除非法 AP 的網(wǎng)絡接入?？梢员ＷC校園網(wǎng)絡接入的安全可靠性。 33 無線局域網(wǎng)系統(tǒng)的安全管理無線局域網(wǎng)系統(tǒng)的安全管理 331 集中的安全管理集中的安全管理 靈動 WIFI 的安全管理是將防火墻、VPN、安全認證、防病毒、無線入侵監(jiān)測以及 RF 電磁波管理等多項安全功能匯聚到無線控制器上來完成的，解決了傳統(tǒng)的無線網(wǎng)對安全的 分散管理（AP、AC）和能力，給用戶帶來的不安全感，擺脫了對有線網(wǎng)安全的依賴性。 332 多種用戶認證方式多種用戶認證方式 在靈動 WIFI 中，一個無線用戶進入無線網(wǎng)以后，會拿到一個最基本的入網(wǎng)權限，這

28、 個權限不容許用戶訪問任何網(wǎng)段，只讓用戶通過 DHCP 獲取 IP 地址、傳送 DNS 協(xié)議數(shù)據(jù) 包，通過認證以后才可以接入無線網(wǎng)。 靈動 WIFI 支持目前各種用戶認證的方式（802.1X、WEB 認證、MAC、SSID、VPN 等） ，校園網(wǎng)內(nèi)的用戶可以根據(jù)需要方便選擇。 333 獨特的無線訪問控制獨特的無線訪問控制 用戶狀態(tài)防火墻是無線控制器的獨特功能，它本身就是針對無線接入的特性而設計。 傳統(tǒng)的網(wǎng)絡防火墻是沒有用戶這概念，它的保護只是基于 IP 地址或物理端口來制定防火墻 策略，所以對于沒有固定接入點的無線終端，這種防火墻的功效是不大。靈動 WIFI 的防 火墻功能則是與用戶認證捆綁在

29、一起，當無線用戶成功通過認證后，他會獲得一個預設的 用戶狀態(tài)防火墻，不同的無線用戶有不同的防火墻策略，例如老師和工作人員可以使用更 多的服務，而學生只可以瀏覽網(wǎng)頁、收發(fā) Email 等，這樣可以極大方便校園網(wǎng)用戶的安全 管理。 334 安全的安全的 AP 技術技術 靈動 WIFI 和其它廠家在無線接入的認證和加密上最大的區(qū)別是前者不是通過 AP，而 是在無線控制器上實現(xiàn)。由于的 AP 是不儲存任何網(wǎng)絡配置（IP 地址除外）和安全設置， 因此即使獲得和接入進 AP，黑客也不會拿到無線網(wǎng)的網(wǎng)絡和安全配置參數(shù)。 335 無線接入點安全偵測和保護無線接入點安全偵測和保護 靈動 WIFI 的 RF 偵測

30、功能和保護機制可以實時監(jiān)測校園無線網(wǎng)覆蓋區(qū)域內(nèi)的所有 AP 接入情況,如相鄰房間的 AP、設置錯誤的 AP 以及未經(jīng)認可而連接到網(wǎng)絡中的 AP。通過的 網(wǎng)絡安全管理系統(tǒng)，網(wǎng)絡安全管理人員可以及時發(fā)現(xiàn)是否有非法的 AP 接入，發(fā)現(xiàn)后可以 開啟自動保護機制，阻止無線終端通過非法 AP 聯(lián)接到無線網(wǎng)中。 336 無線網(wǎng)絡入侵偵測無線網(wǎng)絡入侵偵測 今天已經(jīng)有很多的無線入侵和攻擊的工具可從網(wǎng)站下載，這些工具的普及對學校、和 運營商的無線網(wǎng)的安全構(gòu)成很大的威脅。今天絕大部分的無線局域網(wǎng)都沒有偵測無線入侵 的功能，所以當受到像無線 DOS 攻擊時，就會誤以為是無線電波的信號受干擾或 AP 出現(xiàn) 不穩(wěn)定情況。

31、靈動 WIFI 通過在網(wǎng)絡中采用一個無線 IDS 系統(tǒng)，可以為網(wǎng)絡添加一條額外 的防線。無線局域網(wǎng) IDS 可以降低黑客或者惡意用戶訪問關鍵網(wǎng)絡資源的風險。 這里有兩個層面的內(nèi)容： 控制層面實現(xiàn)非法 AP，Ad-hoc 網(wǎng)絡、錯誤 RF 配置的發(fā)現(xiàn)與監(jiān)測。在無線交換機上 存有完整的 RF 實時視圖，并且，域內(nèi)所有的靈動 AP 都會自動充當 Monitor AP，把 RF 信 息、非法 AP 信息、攻擊信息等實時傳送到無線控制器上。無線控制器通過一系列智能的 算法，給管理員提供完整的 RF 安全視圖。 數(shù)據(jù)層面實現(xiàn)集成防火墻、無線應用控制等功能。由于采用集中式交換架構(gòu)，所有通 信中的 802.1

32、1 報文都會被封裝為 Capwap 數(shù)據(jù)報文傳送給無線交換機處理，所以相對于傳 統(tǒng)的自治 AP 方式，集中式的 WLAN 方式為進一步的安全策略實施提供的無限可能。針對 802.11 數(shù)據(jù)的深度內(nèi)容檢測（DPI） 、DDOS 攻擊檢查、TCP 泛洪攻擊、漏洞掃描等以前用 于有線網(wǎng)絡安全的特性都可以在無線環(huán)境中得以實施，從而確保了 WLAN 網(wǎng)絡的雙重安全 性。 34 帶寬控制與服務質(zhì)量保證帶寬控制與服務質(zhì)量保證 QOS 靈動 WIFI 的帶寬管理能力使得在移動音視頻應用方面表現(xiàn)出很強的優(yōu)勢。靈動 WIFI 可在每個用戶的權限限制內(nèi)用戶無線連接的最高帶寬。對于不同的 IP 服務，靈動 WIFI

33、亦 可透過無線控制器設置定義不同的 QoS 隊列。例如無線語音的應用，SIP 和 RTP 協(xié)議可設 定在高的隊列，而一般應用如 http、ftp 則可設定在低的隊列。例如語音視頻這樣對于時延 敏感的業(yè)務。提供語音服務將極大以高無線網(wǎng)絡的實際運營效果，為廣大在校師生提供無 線網(wǎng)絡服務，隨著無線語音技術的發(fā)展，無線語音無線數(shù)據(jù)服務將大大方便師生的校園生 活。 343 無縫的三層漫游無縫的三層漫游 靈動 WIFI 可以支持無線接入用戶在 AP、WLAN 交換機、多子網(wǎng)以及多 VLAN 之 間無縫地漫游，不會丟失連接，也不需要重啟 DHCP。無線網(wǎng)絡不需要對現(xiàn)有網(wǎng)絡進行任 何改變就可以實現(xiàn)這一切。確保

34、無線語音業(yè)務可以無縫的在 AP 間漫游，而不會發(fā)生掉線， 是語音業(yè)務的質(zhì)量保證。 四、四、 無線組網(wǎng)設計無線組網(wǎng)設計 41 無線局域網(wǎng)的組網(wǎng)設計無線局域網(wǎng)的組網(wǎng)設計 無線局域網(wǎng)系統(tǒng)屬于大型規(guī)模的無線局域網(wǎng)，考慮方案的性價比，建議選用集中式組 網(wǎng)的方式： 在網(wǎng)絡中心采用一臺 7506 無線控制器，采用無線集中管理，全網(wǎng)絡 AP 接受統(tǒng)一管理， AP 以及下面的用戶按接入策略分配接入到無線控制器上。這種組網(wǎng)方式簡易靈活并方便擴 容。當無線局域網(wǎng)規(guī)模需要擴大而增加 AP 數(shù)量時，可以擴展無線控制器的相應許可證， 7605 無線控制器可以平滑的從 32 個 AP 支持到 1024 個 AP。7605

35、最大可以支持到 1024 個 AP。 42 多業(yè)務區(qū)分設計多業(yè)務區(qū)分設計 從學校的用戶分類與分布情況分析，用戶主要分成以下幾類： （1）學校教師與領導； （2）校園一般工作人員； （3）在校大學生 使用無線網(wǎng)絡可以分為不同的無線接入業(yè)務類型。因此，在設計上采用無線局域網(wǎng)多 SSID 技術，設置多業(yè)務區(qū)分方式。在一個無線局域網(wǎng)內(nèi)可以設置多個 SSID，例如一個 SSID 可給內(nèi)部員工所用，而另一個可給外來的客戶專用。由于用戶一般把 SSID 看成 VLAN，所以它們都會慣性地以 VLAN 概念來劃分 SSID。其實在一個 AP 范圍內(nèi)，不管用 戶連接到那一個 SSID 它們實際上都是在同一個 8

36、02.11 廣播域內(nèi)，因為無線電波的傳輸是 共享。一個最簡單的例子就是 AP 把不同的 SSID 名字廣播，所以當無線終端在這個 AP 覆 蓋范圍內(nèi)啟動時，它就能同時看到多個 SSID。SSID 的最主要用途是可讓無線終端以不同 的安全認證和加密方式入網(wǎng)。 為什么要把不同的安全加密協(xié)議設置在不同的 SSID 呢? 802.11 的標準內(nèi)定義了不同 加密情況時數(shù)據(jù)包的封裝格式，所以在用戶的無線接入使用不同的加密程式，例如： WEP,TKIP(WPA),802.11i(WPA2)等等，不同加密方式不能在同一個 SSID 內(nèi)同時存在的。 用戶可根據(jù)實際的情況和 802.11 發(fā)展來制定以怎樣方式來實

37、現(xiàn)無線加密。最常見的做 法是使用多個 SSID，例如：一個定義為 OPEN/Static WEP 供客戶用，另一個 SSID 則為 TKIP(WPA)專為內(nèi)部員工使用。未來的發(fā)展趨勢是新增設一個 802.11i SSID 讓員工以過度 的方式逐漸從轉(zhuǎn)移到這個 SSID 上。不能一步轉(zhuǎn)到 802.11i 的主因在于很多的無線終端現(xiàn)在 尚未支持 802.11i，而是不可能把所有的終端一次更換成最新的軟件程序。 要注意的是 SSID 可以覆蓋全網(wǎng)，也可以只局限于校園網(wǎng)內(nèi)的某些范圍。一般的情況 下是全網(wǎng)開通，例如：客人(Guest)使用的 SSID；但有些 SSID 則可能供某些部門使用，所 以它的覆

38、蓋范圍通常只會局限在某些范圍內(nèi)。 43 網(wǎng)絡與用戶管理網(wǎng)絡與用戶管理 靈動 WIFI 中可以設定用戶的角色（role），每個 role 可以基于用戶狀態(tài)防火墻和代理 限制的設定等規(guī)則。用戶狀態(tài)訪防火墻是無線控制器的獨特功能，它本身就是針對無線接 入的特性而設計。傳統(tǒng)的網(wǎng)絡防火墻是沒有基于用戶的，它的保護只是基于 IP 地址或物理 端口來制定防火墻策略，所以對于沒有固定接入點的無線終端，這種防火墻的功效很小。 的基于用戶狀態(tài)的防火墻則是與用戶認證捆綁在一起，當無線用戶成功通過認證后，他會 獲得一個預設的防火墻策略，不同的無線用戶有不同的防火墻策略，例如一個用戶可以使 用 SIP 的服務，而另一用

39、戶則可用 FTP。 一般在防火墻策略設計中，可以將來賓和普通學生的權限設置的較低，只能訪問有限 的資源，且優(yōu)先級較低，并且有帶寬的限制，甚至可以做時間段的限制。 大學的教職員工以及校領導具有較高的權限，可以訪問更多的學校資源，或者對某些 特殊的來賓開放某些 VIP 賬號，分配給其較高權限的 role。在帶寬方面可以做比較寬松的 限制。所有這些在配置、使用和管理上都非常符合的大學網(wǎng)絡中心的網(wǎng)絡管理需求。 44 無線安全性設計無線安全性設計 在靈動 WIFI 中，可以在多個層面對系統(tǒng)構(gòu)筑安全防護，其安全性設計如下： （1 1）多）多 SSIDSSID：可以根據(jù)需要，如用戶的種類、應用的種類，在靈動

40、 WIFI 中設置多個 SSID，不同的 SSID 采用不同的安全策略，這樣可以對不同的用戶及應用進行區(qū)分服務。另 外 SSID 還可以選擇隱藏的方式，該 SSID 不廣播，用戶無法看到，防止非法用戶的連接企 圖。SSID 還可以選擇在某些 AP 上出現(xiàn)，某些 AP 上不出現(xiàn)，限制 SSID 出現(xiàn)的范圍也是實 現(xiàn)安全性的一種手段。 （2 2）加密：）加密：靈動 WIFI 支持多種加密的方式，二層的加密支持靜態(tài) WEP、動態(tài) WEP、TKIP、WPA、802.11i 多種加密方式，三層的加密支持 IPSec VPN 加密，這樣使得加 密的方式更加的靈活，可以根據(jù)實際需求進行選擇。 （3 3）用戶

41、認證提供二種方式：）用戶認證提供二種方式： 證書認證方式，核心就是采用 windows 自帶的 1x 認證方法，以采用 802.1x+證書+wep 的方式實現(xiàn)。 、portal 認證方式，方案是控制器外置 portal 服務器，用戶上網(wǎng)時通過 portal 從學校 radius 里取用戶信息和計費信息，認證通過后 portal 給無線控制器相關信 息，控制器據(jù)此確定客戶的控制策略。 （4 4）用戶的）用戶的 RoleRole（角色）（角色）：每一類用戶可以建立一個相關的 Role，每個 Role 有一個 用戶狀態(tài)防火墻的設定和帶寬控制的設定，這樣我們就可以將設定的安全策略加載到每個 用戶身上。 （5 5）用戶狀態(tài)防火墻：）用