二中无线解决方案.docx
- 文档编号:29863905
- 上传时间:2023-07-27
- 格式:DOCX
- 页数:16
- 大小:483.07KB
二中无线解决方案.docx
《二中无线解决方案.docx》由会员分享,可在线阅读,更多相关《二中无线解决方案.docx(16页珍藏版)》请在冰豆网上搜索。
二中无线解决方案
怀柔二中无线局域网
解
决
方
案
北京怀教网络技术服务有限公司
2012-11-16
目录
一、方案概述3
二、无线局域网的特点及应用环境3
1、有线局域网已成为移动办公的束缚3
2、无线局域网的特点4
三、无线局域网技术介绍5
1、常见的无线局域网拓扑结构5
2、无线局域网的漫游6
四、怀柔二中无线局域网组网设计7
1、建设目的7
2、在校园网有线网络上构建WLAN系统7
3、建设范围8
4、无线局域网设计原则8
5、校园无线局域网设计整体架构9
五、一体化有线/无线解决方案特点10
1、布署方式灵活10
2、集中策略管理10
3、L2/L3快速漫游10
4、高性能11
5、支持POE11
6、自动信道及功率调整12
7、无线网络自愈功能12
8、VAP支持12
9、无线AP可从独立管理型升级变为集中管理型12
一、方案概述
随着校园对计算机依赖性的迅速增加,校园网络要求互连的计算机数量更多,类型也更为复杂。
现代电子技术的发展,使人们可以根据不同的要求选择不同的网络方案,但传统有线网络由于受设计或环境条件的制约,在物理、逻辑和资金方面普遍存在着一系列问题,特别是当涉及到网络移动和重新布局时。
所以发展一种可行的无线通信网络技术作为现有数据连接的扩充已成为一种需要。
进入90年代以来,随着个人数据通信的发展,功能强大的便携式数据终端以及多媒体终端得到了广泛的应用。
为了实现使校园网能够在任何时间、任何地点均能实现数据通信的目标,要求传统的计算机网络由有线向无线、由固定向移动、由单一业务向多媒体发展,因此更进一步的推动了无线局域网(WirelessLAN,简称WLAN)的发展。
伴随着校园信息化水平的提高,学校的老师和学生对随时随地接入网络进行教学和科研的需求越来越普遍;与此同时,无线技术迅速发展,WLAN已经由最初只支持11Mbps速率的802.11b标准发展到支持54Mbps速率的802.11a和802.11g标准,目前支持300Mbps速率的802.11n产品也正在逐步标准化;无线终端日渐普及,伴随着笔记本电脑的普及,无线网卡成为笔记本电脑的标准配置之一;WLAN技术和学校需求相结合,推动了无线校园网技术的发展.
二、无线局域网的特点及应用环境
1、有线局域网已成为移动办公的束缚
随着学校教室和学生人员不断的增加,局域网的扩建越来越复杂,有线局域网大多将基础布线和设备隐蔽在墙壁之内或者埋在地下,因此综合布线将是非常令人头痛的事情。
设计线路的走向、开挖布线槽、铺设线路、调试……等等,既耗费人力财力又浪费大量时间。
不但如此,布线之后的线路维护、线路监测等事情更是费时费力。
而且,这种传统的有线网络不能摆脱线路的束缚,不能根据实际情况随意的改变网络的结构,更不能实现现代化移动办公的需要,也就不能进一步提高网络办公的工作效率。
2、无线局域网的特点
无线局域网的出现使有线网络所遇到的问题迎刃而解,它可以使校园任意对有线网络进行扩展和延伸。
只是在有线网络的基础上通过无线接入器、无线交换机、无线网卡、无线控制器等无线设备使无线通信得以实现。
在不进行传统的布线的同时,提供有线局域网的所有功能,并能够随着校园的需要随意的更改扩展网络,实现移动应用。
在园区无线局域网内可以使用一个或几个无线交换机来管理大量的AP或者用于混合有线/无线局域网。
当AP的增加时,就可增加无线交换机而形成一个大型的集中管理系统。
由于扩展简便,支持下一代高速AP的千兆速率和支持企业范围内网间漫游的三层路由,无线交换机提供一个架构,简化并且一体化了一个特别复杂的WLAN环境,轻松的为将来的技术升级准备了一个现有的网络.
无线局域网具有传统有线网络无法比拟的特点:
Ø灵活性,不受线缆的限制,可以随意增加和配置工作站;
Ø低成本,无线局域网不再需要大量的工程布线,同时节省了线路维护的费用;
Ø移动性,不受时间、空间的限制,校园可在网络中漫游;
Ø易安装,对于有线网络来说,无线局域网的组建、配置和维护更为容易。
而且,通信范围不受环境条件的限制,网络传输覆盖范围大大的拓展,室外可以传输几百米、室内可以传输数十、几百米。
在网络数据传输方面也有与有线网络等效的安全加密措施。
三、无线局域网技术介绍
1、常见的无线局域网拓扑结构
无线局域网由无线网卡、无线接入点(AP)、计算机和有关设备组成,利用天线发送信息,而无线接入点则接收与发送信息,通过以太网线连接校园计算机和公共网络。
通常采用单元结构,将整个系统分成许多单元,每个单元称为一个基本服务组(BasicServiceSet,BSS),BSS的组成通常有以下两种形式:
一种是Ad-Hoc模式,点对点的直接连接方式;一种是Infrastructure模式,通过接入点相连接的方式。
1.1、Ad-Hoc模式
Ad-Hoc模式是一种分布对等模式,它没有中枢链路基础结构,至少包括两个无线站点,可以是点对点也可以是点对多点,这种模式基本满足控制一个较小的区域。
第一种是Ad-Hoc模式,如下图所示:
1.2、Infrastructure模式
Infrastructure模式是WLAN最典型的工作模式,无线客户端可以通过无线接入器AP(AccessPoint)接入以太网共享网络资源,多个AP分布在相邻的区域可实现无线客户端的移动漫游。
如图所示:
2、无线局域网的漫游
由于无线局域网传输距离的限制,因此若脱离其无线服务覆盖范围时通信便会中断,为解决此一问题须构建无缝的漫游连接。
如下所示以802.11b为例以三个不重迭信道1、6、11为基础向外扩充,如此当无线网卡由信道11之覆盖区漫游至信道6之覆盖区时,便能自动切换至信道6之服务区而不中断联机。
同理可再由信道6之覆盖区漫游至信道1之覆盖区。
四、怀柔二中无线局域网组网设计
1、建设目的
校园网WLAN项目是建设数字化校园的重要组成部分之一,数字化校园是利用计算机技术、网络技术、通讯技术对学校与教学、科研、管理和生活服务有关的所有信息资源进行全面的数字化;并用科学规范的管理对这些信息资源进行整合和集成,以构成统一的校园管理、统一的资源管理和统一的权限控制;把学校建设成面向校园内,也面向校园的一个超越时间、超越空间的虚拟校园。
2、在校园网有线网络上构建WLAN系统
WLAN系统的基本构成主要包括接入点AP和接入控制器AC。
结合怀柔二中校园网络情况和骨干网,以及全网集中的认证,为最终校园提供移动数据网的接入服务和相关业务服务。
3、建设范围
主要是指各会议室、大教室、办公室、图书馆阅览室、大厅等。
这些地点空间较大,而且会有很多人同时接入网络的要求,这时采用有线的方式只能提供少量接口,不能满足该要求。
在这种情况下,就非常适合用无线网络覆盖来解决,可以允许相当数量的移动设备同时访问网络。
4、无线局域网设计原则
根据校园的实际情况,考虑校园需求、覆盖范围、校园密度、建筑结构、业务构成等各方面的需求,校园无线局域网建设的主要是作为校园有线网络的补充,利用无线网络技术进一步扩展对学校各个大楼和室外部分区域的覆盖范围,使全校师生在学校内部能够随时随地、方便高效地使用校园网络资源;促进教学和科研发展,进一步拓展研究空间;提升校园网络环境,提高管理水平和效率,推动学校信息化建设。
因此,在设计网络方案时根据下列原则进行学校无线局域网的设计:
Ø侧重实际应用,覆盖范围要求覆盖学校内大部分区域,尤其是包括各会议室、办公室、图书资料室和大厅等教学楼、会议室和体育场场等有线网络不易覆盖的区域,为教学和学习生活提供切实可用的无线网络环境;
Ø采取通行的网络协议标准:
目前无线局域网普遍采用802.11系列标准,因此校园无线局域网将主要支持802.11a/b/g/n标准以提供可供实际应用的相对稳定的网络通讯服务;
Ø全面的无线网络支撑系统,以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题;
Ø保证网络访问的安全性;
Ø安全、认证、管理要求。
为了阻止非授权校园访问无线网络,以及防止对无线局域网数据流的非法侦听,无线网络要具有相应的安全手段,主要包括:
物理地址(MAC)过滤、服务区标识符(SSID)匹配、有线等效保密(WEP)、二层隔离、WPA支持等。
5、校园无线局域网设计整体架构
校园无线局域网设计可以分为室内无线局域网及室外无线局域网二部分,室内室外无线网络都可以和校园的原有的有线网络组成一个整体,校园网原有的网络系统基本不需要改变,新增的无线局域网可以作为校园网络系统的一个补充,相辅相成。
校园网络的无线接入层,我们建议室内覆盖使用星网锐捷公司的AP220-E的无线解决方案。
如上图示,包括无线局域网的校园网总体构包括三部分:
Ø原有校园有线网络:
基本保持原状
Ø室内无线局域网:
采用瘦AP的部署方式便于管理维护和扩展
Ø室内无线局域网设计
校园室内无线局域网通常无线接入场所和校园数较多,需要无线AP的数量也较多,对AP的管理、漫游、性能、可靠性要求较高,我们选择AP220-E一体化有线/无线解决方案,相应产品为无线交换机RG-S2924、无线瘦AP220-E。
6、认证模式
Ø一是开放式,不采取认证;
Ø二是Portal认证,即采取基于web页面认证的方式;
Ø三是802.1x认证。
对于用户而言,当然是认证方式越简单越好,这样就不用和网络中的各个部门去打交道,来来去去,费不少功夫;802.1x认证相对繁琐,但安全性较高;Portal认证方式采用基于web页面的认证方式,可将认证页面基于位置推送出去,通过专用的SSID接入,相同的SSID对于不同热点,到达AC后会映射为不同的VLAN,Portalserver根据用户接入的VLAN推送给用户相应的页面。
如:
在机场,推送航班信息等;在酒店,推送附近的商业和娱乐场所信息。
7、网络拓扑结构
8、AP的布署方式
◆瘦AP+天馈方式:
基本组成由AP、天线、馈线、功率分配器、功率放大器及附件+POE交换机+无线控制器。
部署单频无线覆盖(如2.4G或5.8G覆盖),可以节省一定成本。
适用于部署到不易安装AP的位置。
.适用于部署到用户流量较少但又需要覆盖的区域。
◆纯瘦AP方式:
基本组成:
AP+天线+附件+POE交换机+无线控制器
该方案虽然成本的较高,但可根据产品品牌进行选择。
适用于几乎所有的区域,安装方便,维护简单,故障节点少。
由于AP部署数量较多,根据覆盖范围、业务需求、用户数量等因素确定部署位置和设备数量,因此,信号强度、带宽以及稳定性均有保证。
采用此方式,各AP覆盖范围均建议有20%-30%的重叠范围以实现数据和语音的无缝漫游,因此,即使个别AP出现故障,其他AP会自动放大功率,覆盖盲区。
可升级或选择组建支持MIMO(多输入多输出)技术的IEEE802.11n的网络,费用虽然较高,但其带宽可达到300Mbps,如果预算允许,也是可考虑范围。
可选AP设备本身同时支持双频,分别选择2.4G和5.8G的天线,以实现双频网络的覆盖,无需重新部署。
五、一体化有线/无线解决方案特点
1、布署方式灵活
AC5302集合了无线控制器功能,具有灵活的布署方式:
ØPOE交换机供电方式:
集中采用AP连接到POE交换机统一供电,将有线网络和无线网络物理隔离,更有效的统一管理AP
Ø本地供电方式:
利用现有的有线采用本地供电,好处是可以节约资源缺点是不便于维护和管理
2、集中策略管理
集中统一的AP配置管理、性能管理、安全管理、软件升级等;
3、L2/L3快速漫游
统一访问系统可以支持二层/三层漫游,校园在跨三层漫游时可以不用改变IP地址也不用重新做安全认证,可以IP通道的方式实现无缝的漫游,可以适用于要求非常苛刻的应用如VOIP等。
三层漫游功能也是业界区分产品或解决方案级别的一个重要的标志。
4、高性能
统一访问系统具有业界领先的高性能,主要表现在以下几个方面:
ØRG-2924全千兆接口,具有很高的交换性能;
ØAP220-E支持IEEE802.11b/g标准,采用独特的硬件技术实现最高速率可达300M;
ØAP负载均衡:
无线交换机会在所管辖的AP间实施负载均衡,以最好的提高无线性能;
ØQOS:
统一访问系统支持带宽控制等多种QOS措施以提高使用效能;
ØRG2924使用全千兆接口,支持未来802.11n的更高速传输,可以更好地保护校园投资;
5、支持POE
RG2924交换机支持802.3POE以太网供电功能,对无法在本地提供电源的AP布署点来说提供极大的方便;也可以对其它的设备如IP摄像头等进行供电,大大简化管理及安装工作。
6、自动信道及功率调整
Ø自动信道调整功能:
当有新的AP加入到网络或现有AP被移除时,能根据周围AP占用信道情况,自动选择非重叠信道,以提高无线传输效率;
Ø自动功率调整功能:
使用独特的算法自动调整AP的发射功率,满足无线客户端的使用要求,而不会与其它AP互相干扰。
7、无线网络自愈功能
统一访问系统具有无线网络自愈功能,不仅能根据预先的设置周期性的检测周围相邻AP的信号状态实现AP的功率的自动调整,当AP断电或损坏时相邻的AP还可以自动增大发射功率以提高覆盖范围来替代出现故障的AP,尽可能减少对无线网络的影响。
8、VAP支持
AC5302支持802.1QVLAN功能,我们将不同的SSID与VLANVID进行映射,实现在同一个AP上将不同的SSID接入的PC自动划分到不同的VLAN功能,而不同的SSID可以使用不同的安全设置。
9、无线AP可从独立管理型升级变为集中管理型
无线AP可从独立管理型升级变为集中管理型这种方式可以节约校园重复投资成本,当网络规模小时可以采用AP220-E独立管理模式;当无线网络规模扩展到一定程度时,利用无线交换机对无线AP集中管理;当网络中的无线AP负载变大时,通过无线交换可以方便地增加无线AP。
六、无线局域网的安全
1、无线局域网安全概述
无线网络的架设与规划已为近来非常热门的话题,无线网络相关产品越来越成熟,而价格方面也非常地有吸引力,所以现在无线网络的应用,在大多数的学校、机关单位、企业都可以看到。
但是,无线网络的方便性也带来了无线网络的安全问题:
"无线"网络,顾名思义就是利用"空气(空间)"取代"网络线"来传递数据,无线网络使用者只要在无线电波的涵盖范围内,就可以如同已往使用网络线来连上网络一样方便;换句话说,"任何人"在"电波范围内(可能是不同层楼或停车场)"也一样可以使用"企业内部网络"了!
而且"任何人"也可以很方便的"看到""其它人"在传输的数据。
从另一个角度来看,会不会有人私自把AP接上现有的网络上,自己"创造"一个私人的无线网络环境呢?
2、无线网络需要解决的三个安全问题
为了安全地使用无线网络,我们需要解决以下与无线网络安全相关的三个问题:
确定无线网络的使用者是被允许的(认证使用者);
数据传输时需要保密(加密);
防止非法无线网络基地台连上网络。
3、无线网络的安全措施
现在的无线网络在安全方面具有多种技术,我们可以根据具体需求灵活实施一种或多种安全技术来实现无线网络的安全要求,以下逐一介绍无线网络的各种安全技术:
3.1、SSID服务识别码
SSID(服务识别码)是一个可供设定的字符串,用来区分不同的无线网络区域,设定正确SSID的使用者才可以跟无线网络基地台(WirelessAccessPoint)通讯。
锐捷网络所提供的AP/网桥产品均支持SSID广播的开启和关闭功能,若关闭SSID广播,无线客户端若不知道SSID(服务识别码)内容则无法联入无线网络,从而增加了网络的安全性。
锐捷无线产品还支持多SSID功能,并且能把SSID与802.1QVLAN的VID进行捆绑,从而实现802.1QVLAN的安全性。
有线等价加密(WEP)
由于无线局域网的特性,保护对网络的物理访问比较困难。
与需要物理连接的有线网络不同,无线AP范围内的任何人都可以为所欲为地发送和接收帧以及侦听发送的其他帧,这使得无线局域网帧很容易被窃听和远程探查。
有线对等保密(WEP)由IEEE802.11标准定义,旨在提供与有线网络等效的数据机密性。
WEP通过加密无线节点之间发送的数据来提供数据机密性服务。
在802.11帧的MAC标头中设置WEP标志即表示对802.11帧进行了WEP加密。
WEP通过在无线帧的加密部分包括完整性校验值(ICV)来提供随机错误的数据完整性。
3.2、IEEE802.1X
IEEE802.1X标准定义了基于端口的网络访问控制,用于为以太网提供经过身份验证的网络访问。
这种基于端口的网络访问控制使用交换式局域网基础结构的物理特性对连接到局域网端口的设备进行身份验证。
如果身份验证过程失败,则拒绝它们访问该端口。
尽管此标准是为有线以太网设计的,不过它已经得到了修改,可以在802.11无线局域网上使用。
3.3、WPA(Wi-FiProtectedAccess)
WPA包含了认证、加密和数据完整性校验三个组成部分,是一个完整的安全性方案。
WPA的认证分为两种。
第一种采用802.1x+EAP的方式,用户提供认证所需的凭证,如用户名密码,通过特定的用户认证服务器(一般是RADIUS服务器)来实现。
在大型企业网络中,通常采用这种方式。
但是对于一些中小型的企业网络或者家庭用户,架设一台专用的认证服务器未免代价过于昂贵,维护也很复杂,因此WPA也提供一种简化的模式,它不需要专门的认证服务器。
这种模式叫做WPA预共享密钥(WPA-PSK),仅要求在每个WLAN节点(AP、无线路由器、网卡等)预先输入一个密钥即可实现。
只要密钥吻合,客户就可以获得WLAN的访问权。
WPA采用TKIP为加密引入了新的机制,它使用一种密钥构架和管理方法,通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24位增加到48位等方法增强安全性。
而且,TKIP利用了802.1x/EAP构架。
认证服务器在接受了用户身份后,使用802.1x产生一个唯一的主密钥处理会话。
然后,TKIP把这个密钥通过安全通道分发到AP和客户端,并建立起一个密钥构架和管理系统,使用主密钥为用户会话动态产生一个唯一的数据加密密钥,来加密每一个无线通讯数据报文。
TKIP的密钥构架使WEP静态单一的密钥变成了500万亿个可用密钥。
虽然WPA采用的还是和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破。
消息完整性校验(MIC),是为了防止攻击者从中间截获数据报文、篡改后重发而设置的。
除了和802.11一样继续保留对每个数据分段(MPDU)进行CRC校验外,WPA为802.11的每个数据分组(MSDU)都增加了一个8个字节的消息完整性校验值,这和802.11对每个数据分段(MPDU)进行ICV校验的目的不同。
ICV的目的是为了保证数据在传输途中不会因为噪声等物理因素导致报文出错,因此采用相对简单高效的CRC算法,但是黑客可以通过修改ICV值来使之和被篡改过的报文相吻合,可以说没有任何安全的功能。
而WPA中的MIC则是为了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性。
当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击。
此时,WPA还会采取一系列的对策,比如立刻更换组密钥、暂停活动60秒等,来阻止黑客的攻击。
锐捷网络所提供的主流WLAN产品均支持WPA,而其他产品也可以通过软件升级支持WPA。
3.4、MAC地址过滤
AP还可以通过设置MAC地址过滤功能允许或拒绝某些特定的无线网卡联入无线网络,从而增加网络的安全性。
锐捷网络所提供的全线WLAN产品均支持MAC地址过滤功能。
3.5、无线客户端隔离功能
锐捷网络所提供的AP均支持无线客户端隔离功能,非常适合在校园网、企事业单位或热点地区布放,使无线用户在轻松上网的同时,最大限度的保证安全性。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 无线 解决方案