学校无线网络建设方案

**铁路**学校宿舍无线网络
建设方案
目录
第一章项目背景 (4)
1.1无线网络建设背景 (4)
1.2需求分析 (4)
2.1.1项目建设要求 (4)
1.3 方案设计原则 (5)
1.3.1基础方案设计原则 (5)
第二章无线网络规划 (6)
2.1学校无线网络建设整体规划 (6)
2.2宿舍无线网络规划 (6)
2.3基础网络规划 (7)
2.4网络安全规划 (9)
2.5认证计费 (10)
2.5.1设计原则 (10)
2.5.2设计目标 (10)
2.5.3运营网络设计方案 (10)
2.5.4统一身份认证融合 (17)
第三章智分解决方案优势 (20)
3.1整体优势 (20)
3.1.1智分型AP——无线网络设计简单方便 (20)
3.1.2美化天线——无线部署美观大方 (20)
3.1.3“i-share”技术——无处不在的满格信号 (21)
3.1.4双信道无线覆盖——节省信道资源 (21)
3.1.5双路设计——公平高效 (22)
3.1.6智能功率调整——节能更减干扰 (23)
3.1.7认证管理——利益保障 (24)
第一章项目背景
1.1无线网络建设背景
无线局域网技术是新世纪无线通信领域最有发展前景的技术之一，随着下一代宽带无线接入方式的宽带化、移动化、IP化理念的提出，WLAN凭借其接入速率高、架构使用便捷、系统费用低廉及可扩展性较好等优点，应用日趋广泛，成为近些年来各行各业信息化建设的重点之一。

校园中各种各样的WLAN终端如笔记本电脑、PDA、支持WiFi的千元智能机、即拍即传的数码相机如雨后春笋般涌现出来，同时价格越来越低，普及程度越来越高，而且学生群体重点活动区域宿舍的有线网络无法满足学生使用智能终端无线上网的迫切需求，所以无线宿舍网成为校园网建设的新热点。

1.2需求分析
2.1.1项目建设要求
项目建设的总体目标
●利用先进的无线网络技术完成对**铁路**学校学生宿舍楼的无线信号覆盖，使学校
学生能够在宿舍方便高效地使用无线网络；
●构建一个真正可用的无线网络，满足学校日益增长的移动终端如笔记本电脑、
PDA、手机、平板电脑对互联网访问的需求；
●促进无线业务全面开展，改进管理方式，提高工作效率，推动**铁路**学校信息化
建设。

项目具体的建设目标
**铁路**学校无线网络建设项目中用户场景属于多房间隔断、有屏蔽门、走道侧无窗设计等复杂、恶劣的无线部署环境，这对无线网络建设提出了更高的要求。

信号覆盖要求：
宿舍基本上都是钢混墙壁、防盗门、无窗设计，有的甚至存在入户厕所等特殊的房屋格局，而房间内才是用户使用无线的主要区域。

用户在室内使用的移动终端对无线信号灵敏度
较高，所以室内的无线信号质量必须要满足移动终端应用需求。

数据传输性能要求：
无线网络中用户的网络应用复杂，并发用户数较多，属于高密度无线接入。

**铁路**学校宿舍网中每个房间平均6个用户，而且多以游戏、视频、下载、聊天、上网为主，需要一个具有高稳定性、高带宽的无线网络。

信号干扰要求：
学校宿舍楼内房间数量较多，为了实现全面有效的无线信号覆盖，则需进行无线接入点的密集部署，但这样就可能存在同频干扰的问题，而同频干扰往往会导致整网性能低下，无线网络不可用的问题。

所以低干扰、高可用也是无线网络建设的重点需求之一。

美观、管理维护要求：
因为学校对楼道间、房间内的美观度有较高要求，无线网络建设施工不得对现有装修造成较大面积的破坏，不能影响环境的美观度。

而无线网络维护对运维人员专业技术能力要求较高，所以整个无线网络结构要简单，涉及设备尽量要少，管理维护要方便。

1.3 方案设计原则
1.3.1基础方案设计原则
**铁路**学校无线网络的建设目标是实现类宿舍网环境下的无线网络全面覆盖，为满足智能终端用户无线上网、无线业务开展构建一个真正可用的无线网络。

总体要求：
一、高信号质量：保证用户环境下房间内各个角落的无线信号强度>-60dBm，注重满足应用及终端使用需求；
二、高数据传输性能：支持最新的802.11n标准并满足高密度用户的无线接入需求，提供高数据传输速率；
三、低干扰：确保同一房间内同频干扰信号强度<-70dBm，提高整网吞吐性能，构建真正可用的无线网络；
四、美观易管理：无线网络结构简单，需要管理的设备数量少，管理维护简单方便，整个无线部署不影响用户环境的美观度；
第二章无线网络规划
2.1学校无线网络建设整体规划
根据前面对**铁路**学校无线网络建设原则及内容分析，结合当前学校宿舍的实际情况，此次学校无线网络建设方案主要针对无线覆盖、基础网络、数据安全的建设，下面将对无线网络建设作详细描述，整体拓扑如下：
**铁路**学校无线网络建设拓扑图
2.2宿舍无线网络规划
针对目前**铁路**学校无线网络的实际情况以及宿舍楼具体环境的分析，此次学校无线网络采用无线智分方案对学校宿舍进行无线网络建设。

下面将对智分方案的构成作详细描述。

新一代智分型AP
智分型AP采用了内置智能功分设计，单AP可进行“1分8”功率分配，轻松实现8个房间的覆盖，较原智分AP的“1分6”有了更大提升。

相比传统室分型方案，覆盖同样的8个房间，为每个AP省去至少1个2功分器、8个耦合器和8条跳线。

用户不再需要维护这些安装在天花板上、不能网管的物理器件了，极大的降低了无线方案的设计、实施和维护难度。

美化天线
自主研发的美化天线中，既有业界目前尺寸最小的硬币型天线，其尺寸只有传统吸顶天线的1/10，安装在墙上、天花板上几乎不会感觉到它的存在；还有极善伪装的面板型天线，外观和尺寸均与普通开关面板一致，有效地和室内装修融为一体。

美化天线部署在房间内简单、美观、隐蔽性极佳，消除了普通用户对于天线“辐射大”的心理障碍，非常适合在宿舍中使用。

超柔低损馈线
无线智分解决方案中采用的是专门定制设计的超柔低损射频线缆。

在保证信号传输损耗较低同时，不断的优化线缆的线径，甚至做到了比常见的以太网网线还细，可以实现近180°的弯曲，可根据用户的实际环境进行灵活部署，大幅提升了无线网络布线的速度，而且后期管理维护也更加简单。

2.3基础网络规划
核心网络部分是整网的中枢神经，几乎所有业务均需经过核心交换机，它担任着整网的数据转发决策，起到大脑的作用，这也为核心交换设备的性能及可靠性提出了相当高的挑战，以保证学校无线网络的可靠、稳定。

其上连防火墙，下连接入设备，保证数据交换不丢包。

核心设备需具备如下功能：
高性能
核心设备需具备万兆端口为适应了网络应用高速发展，网络带宽不断增加的需要。

而万兆端口的可扩展性既方便用户现在使用万兆网络，也方便用户后续升级网络到万兆，满足当前需求，而且便于今后网络扩容。

灵活完备的安全策略
核心具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防DoS攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略等，还网络一片绿色;
基于硬件的IPv6 ACL，即使在IPv4网络内有IPv6用户，也可轻松在网络边缘实现对IPv6用户的访问控制，既可允许网络内IPv4/IPv6用户并存，也可以对IPv6用户的访问权限进行控制，比如限制对网络敏感资源的访问等;
业界领先的硬件CPU保护机制：特有的CPU保护策略（CPP技术），对发往CPU的数据流，进行流区分和优先级队列分级处理，并根据需要实施带宽限速，充分保护CPU不被非法流量占用、恶意攻击和资源消耗，保障了CPU安全，充分保护了交换机的安全;
高可靠性
设备支持生成树协议802.1D、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率；
支持VRRP虚拟路由器冗余协议，有效保障网络稳定；
支持RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接Hub等设备形成的环路而导致网络故障的现象。

方便易用易管理
核心设备具备灵活复用的多种千兆接口形式，可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接，方便用户灵活选择线缆；
Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理；
多端口同步监控，通过一个端口即可同时监控多个端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，大大提高维护效率；
CLI界面，方便高级用户配置和使用。

要实现的高速无阻塞网络架构，接入设备的性能也是不容忽视的，它担任无线终端用户的快速接入网络。

为保证业务可靠、稳定性，需具备一下功能：
防ARP病毒攻击
ARP病毒或攻击是网络中最常见，同时影响较大的一类攻击。

接入交换机需支持多种模式的ARP防欺骗功能，不论是用户通过DHCP服务器自动获取地址，还是使用固定的IP地址，接入交换机能够记录用户真实的IP+MAC地址，并在交换机端口收到主机发送的APR报文时，将ARP报文内容和记录的IP+MAC地址进行比对，只对内容真实的ARP报文进行转发，对虚假的ARP报文进行丢弃，从而将ARP欺骗屏蔽在网络之外，保障网络用户免受ARP病毒攻击。

主动防御网络中各类DOS攻击
网络由于其开放性，经常由于计算机感染病毒，或是接入网络的人员出于各种目的对网络设备、网络中的服务器进行攻击，导致网络无法正常使用。

较常见的如ARP泛洪攻击导致网关无法响应请求、ICMP泛洪攻击导致网络设备CPU负载过高无法正常工作，DHCP请求泛洪攻击，导致DHCP服务器地址枯竭，用户无法正常获取IP地址访问网络。

防环路技术避免网络中出现环路导致的网络不稳定
网络环路是网络中经常出现的另一个导致网络不稳定的“罪魁祸首”，接入交换机需提供STP/RSTP/MSTP等生成树技术，能避免网络中由于误接环路导致网络不稳定的状况。

灵活的接入控制
大量网络由于需要确保接入用户身份可靠的需要，要求对接入网络的用户进行身份认证，接入交换机提供多种灵活的身份认证策略，在部署认证方案时能够满足各种不同用户和环境的需要：
接入设备能够在一台交换机上同时提供802.1X和WEB认证，802.1X认证提供更严格的安全管控，WEB认证则提供更好的用户体验，满足不同用户群体的需要。

绿色节能
接入交换机针对传统交换机在噪音及能耗方面存在的问题，对节能降噪技术进行了深入研究，解决了交换机部署在办公环境噪声大、以及批量部署后带来的能耗过大的问题。

2.4网络安全规划
如整体设计图所示，防火墙、出口网关，所有安全产品均采用千兆双绞线连接的方式连接。

在整网网络部署一台千兆防火墙，对整网进行统一病毒、攻击和木马防护；出口处部署多功能出口网关，实现对学生的上网行为管理，日志审计，流量控制，负载均衡等功能。

首先保证网络和系统的整体安全运行，及时发现网络和系统主机的故障和性能瓶颈；其次通过获取安全信息的基础数据，通过对这些基础数据的协同分析得到计算环境的安全状况，依据安全状况提出安全决策；安全决策通过对网络节点的控制来实施安全策略；在智能引擎的支持下实现持续的监控、分析、决策循环。

2.5认证计费
2.5.1设计原则
1)先进性和成熟性
认证系统设计既要采用先进的概念、技术和方法，又要注意结构、和系统平台等的相对成熟。

能反映当今的认证网络建设的先进水平，而且具有良好兼容及其扩展能力。

2)具有高性能、可扩展性和可管理性
实现系统的扩展和维护，运营平台可以支持良好扩展，如提供集群或者分布式部署等功能，从而提高网络的易用性、可管理性，同时又具有很好的可扩充性，实现宿舍的网络的可维性。

2.5.2设计目标
建立一个高效运营、易扩展、易管理，业界先进运营体系的认证运营网络。

做到校内网络整体的管理和运营。

2.5.3运营网络设计方案
认证和运营的技术选择
目前业界比较成熟和流行的认证技术有：
●PPPoE + Radius；
●WEB Portal + Radius；
●802.1X + Radius
认证计费网关技术
Web Portal认证最初是一种业务类型（如电子邮箱、计费浏览等）的认证，通过启动一个Web页面输入用户名/密码，实现身份认证。

Web认证目前已经成为宿舍网络平台的认证计费方式，通过Web页面，实现对用户是否有使用网络权限的认证。

Web认证方式有以下优点：无需特殊的客户端软件，降低网络维护工程量；无需多层数据封装，保证效率。

但Web认证也有明显的缺点，Web承载在应用层协议上，对设备的要求较高，建网成本高；易用性不够好，用户访问网络前，不管是Telnet、FTP，还是其他业务，都必须使用浏览器进行Web认证；开放性不够好，Web Portal认证方式均为各厂商私有，没有国际标准。

PPPOE网关认证技术
其优点是与原有的窄带网络用户接入认证体系一致，操作简单且用户较容易接受。

但PPPoE
也有不可避免的缺点，PPP协议与以太网技术存在本质的差异，需要被再次封装到以太网的帧里，存在封装效率问题，而且无法支持组播业务。

802.1x认证技术
IEEE 802.1x 称为基于端口的访问控制协议，其实质上是交换机基于端口对用户接入的合法性进行认证，进而决定允许或拒绝用户进入网络。

在802.1x的认证体系结构中，引入了受控端口与非受控端口两个概念，即将交换机的一个物理端口分为两个逻辑端口，同时也首次将用户的认证报文流与业务报文流区分开来。

其中，非受控端口一直处于常开状态，但只能传送用户的认证、计费报文流。

受控端口则可以传送用户的业务报文流。

当用户尚未进行认证时，受控端口处于关闭状态，即用户无法使用网络资源；只有用户在进行合法身份认证后，交换机打开受控端口，用户开始进行正常的业务流传输。

通过对三种认证技术方式的对比，在校园网建设中，应该采取以802.1x为主体，网关认证为补充，采用两者的共同的优势进行网络认证及管理。

经过分析对比，本方案建议宿舍区使用802.1X的技术认证方式，办公区使用基于接入交换机哦Web认证。

SAM综合认证运营方案保障网络信息安全
1.SAM认证管理解决方案支持对用户名、密码、用户IP、用户MAC、NAS IP等元
素进行灵活绑定，最终做到“让正确的人，在正确的地方，合法的访问网络”
2.通过采用SMP安全管理平台，实现和客户端杀病毒以及Windows补丁库的联动：
如果客户端未安装或正确启用杀毒软件，则会收到SMP的警告，并被限制上网；
在正确安装并启用杀毒软件之后，经SMP的检测通过，则可以在杀毒软件的保护
下正常上网了；同时，可以自定义设定WSUS服务，必须安装有最新的windows
补丁才能够接入网络，通过与防病毒软件和WINDOWS系统补丁的联动，保证用
户客户端的安全性；
3.通过认证管理系统的日志系统，可以看到谁，在什么时间，以什么IP和MAC，从
哪里（NAS IP、NAS Port）接入网络，方便日后进行查询；同时通过和ELOG配
合，可以实现“谁，在什么时间，登录了哪些网站，产生了多少流量，占用了多少
带宽”等记录进行查询，便于网络管理人员很直观的对网络中的行为进行审计，并
且符合公安部82号令的要求；
最终，通过多元素绑定确保用户身份唯一，与防病毒软件和Windows补丁的联动，立体式防御ARP欺骗，提供用户上网明细。

配合RG-eLog等进行上网日志查询等措施确保内网网络信息的安全。

SAM实现全网统一认证和分区运营
1.支持多业务统一认证，通过配置可以实现80
2.1X、VPN接入、Web portal、无线接
入等多种方式认证，使同一个用户可以通过不同的服务接入，保证管理运营能基于
服务类型的精细化管理
2.支持分区域精细化管理，按照地区区域区分用户和使用的服务，按区域分别定制计
费策略和提供的服务，实现分区域的精细化管理。

例如：在教学区和宿舍区，一个
学生使用同一账户可以使用不同接入服务和相应的计费策略补充统一账号；同一账
号，不同地区，不同策略。

如在宿舍上网包月，在图书馆上网计流量，在机房上网
计时长学生方便，老师省心！
3.采用Web认证方式进行用户身份认证，能够实现对现有网络设备的兼容，弥补
802.1x技术对设备依赖高、造成客户早期投资浪费的不足；同时，用户无需安装客
户端软件，打开浏览器访问外部网站就可以强制进行身份认证，大大减轻客户端部
署和维护的工作量
最终，SAM3.0认证管理方案通过支持多种网络接入方式，支持分区域精细化运营，通过web认证方式兼容原有接入设备，提供第三方开发接口等措施，实现了全网统一认证和分区运营。

灵活认证和计费方式确保校园网的运营收益
1.校园网认证管理解决方案可以通过自定义计费策略配置为用户提供灵活、强大的计
费策略配置，能够满足用户不同的计费要求。

例如：周期、流量、计时计费三种方
式可以自由组合成一种或几种计费策略，为网络管理运营提供多种计费方式：
2.校园网认证管理方案支持屏蔽代理服务器功能，还可限制屏蔽拨号上网，保障运营：
我司是最先提出代理屏蔽技术的厂商，也是其他厂商争先效仿的对象。

通过代理屏蔽技术，可以避免最终用户通过代理服务器上网。

其一可以保障运营的受益，其二可以保障准确定位到个人。

同时通过客户端软件版本限制及完整性检测技术可以保证用户使用的客户端保持在最新最安全的状态，避免客户端限制和安全功能过时实效或被非法破解。

3.配合RG-ACE支持针对基于用户身份的边界分类流量（国际国内上下行）计费，
方便实施对P2P流量的管理；基于IPFIX技术的流量计费产品，准确统计用户流量，合理引导用户使用P2P技术，解决难以管理的大流量问题；
4.大量丰富的统计分析报表在监督用户上网行为、跟踪网络状态以及账务分析方面为
网络管理者提供实时、可靠的可视化分析工具能实现：在线用户数报表、营帐报表、系统消费金额分析、上网明细、网络流量详细分析、系统业务量分析等
最终，通过随需应变的计费策略，提供流量计费方案，完善的代理屏蔽和防破解技术，以及丰富的统计报表保障了校园网运营的收益。

确保系统的高稳定性、多校区统一管理及账号漫游
1. 支持高可用群集技术，可以有效地解决单服务器的性能限制，实现故障的快速转移，
保证服务的高可用性以及灵活的扩展性。

通过认证流量的负载均衡，在校园网认证管理解决方案中，同一高可用群集中的SAM 分担处理认证请求，系统性能倍增！，使认证性能更可达到单机3倍左右，认证报文的响应时间不超过1秒
2. 同时，高可用群集技术可实现多台服务器之间的信息同步，可以支持跨区域帐号漫
游、容灾及不间断的系统故障处理；通过采用RGAC 高可用群集技术，单台服务
器故障不会造成全网无法认证，确保业务持续可用；高可用群集技术可实现多台服
务器之间的信息同步，可以支持跨区域帐号漫游、容灾及不间断的系统故障处理；
通过采用RGAC高可用群集技术，全网数据实时同步，即使出现机房事故，也能
确保数据安全，及时恢复。

高可用的群集技术不但可以有效地解决单服务器的性能
限制，而且可以实现故障的快速转移，保证服务的高可用性以及灵活的扩展性。

认证客户端软件自动升级
通过在RG-SAM服务端上进行SU最低版本限制与客户端自动升级配置，轻松实现全网客户端自动升级。

确保全网上万名用户、上万套客户端软件顺利升级，平稳切换。

2.5.4统一身份认证融合
全校认证运营解决方案的建设中，对于用户身份的认证是一个基础。

对于用户的身份认证本方案采用了基于802.1x技术的RG-SAM系统进行统一的身份认证整合系统。

校园业务系统存的需求
全国许多高校在部署安全身份认证系统以提高对内网用户的认证管理和接入控制的同时。

遇到如下的共性需求：
每个业务系统（以邮件系统、认证计费系统、一卡通支付系统为例），他们都涉及到能够访问系统管理的资源的用户的身份与权限。

多个业务系统同时部署，上述功能造成重复，为最终用户管理帐号与身份信息带来重复劳动与记忆混乱；管理员的工作量增加。

用户身份信息的特点：检索频率高，变更频率低，具有相对稳定的组织结构，可全部用字符串的数据格式存储。

迫切需要一个集中管理用户身份信息的解决方案。

总结述需求，即在部署实施身份认证运营网络解决方案的时候，希望系统可以支持多个业务子系统共享同一套用户身份信息，在方便网络用户的使用的同时，可以大大减轻网络管
理人员对于用户信息管理和维护的工作量。

LDAP解决方案
计算机网络经过长期的发展，不同的操作系统和应用程序以不同的格式在网络上存储了大量的信息，一个网络管理员无法在一个集中的信息库中，以方便的方法管理网络信息和资源。

用户必须使用不同的应用程序获取不同的信息和资源，这大大增加了用户的负担，也使许多信息难于共享，从而在一定程度上制约了网络的发展，因而需要一种新的技术，能够以通用的格式和方式实现信息的存储和共享，实现网络的共享。

目录服务技术就是用于实现上述需求的。

目录服务可以命名、描述和指定一个企业范围内的用户和资源，从而简化通信与管理；它可以使用户通过简单的搜索查找资源及其他用户；它可以帮助管理人员收集和控制散布与该机构的信息，并可以使他们通观地审视这些信息。

目前基于目录服务的各种网上应用越来越多。

特别是随着Intranet的崛起以及轻型目录服务LDAP的开发，人们对其价值的认识日趋明朗。

因此，使用LDAP (Lightweight Directory Access Protocol)轻型目录访问协议能够比较好的满足上述需求，RG-SAM系统在高校应用环境中与高校现有应用系统共享用户信息，在很多情况下，就是要共享LDAP服务器管理的用户信息。

RG-SAM系统与LDAP服务器配合应用，实现用户信息共享功能时，其组网不受具体的网络设备限制，RG-SAM服务器与使用LDAP服务器管理用户的应用服务器之间只要能通过LDAP协议通讯即可。

一卡通系统接口
要想彻底解决重复认证问题，还需要考虑到其他系统的接口，和SAM类似，校园内必须支持标准的LDAP认证服务器，这样可以实现SAM用户认证后把用户名透传到LDAP认。