某校园无线网络覆盖设计方案

XXX校园无线局域网技术建议书

20XX年11月

目录

1概述 (3)

2需求分析 (3)

2.1总体建设目标 (3)

2.2具体实施目标 (4)

3无线校园网建设方案 (5)

3.1整网逻辑拓扑图 (5)

3.2无线用户认证解决方案 (5)

3.3整网安全解决方案 (6)

3.4无线校园解决方案——更稳定： (7)

3.5无线校园解决方案——高安全： (8)

3.6无线校园解决方案——易管理： (9)

3.7无线校园解决方案——可扩展： (10)

4无线校园网建设方案总结 (10)

1概述

无线局域网（WLAN）技术于20世纪90年代逐步成熟并投入商用，既可以作传统有线网络的延伸，在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点：➢简易性：WLAN网桥传输系统的安装快速简单，可极大的减少敷设管道及布线等繁琐工作；

➢灵活性：无线技术使得WLAN设备可以灵活的进行安装并调整位置，使无线网络达到有线网络不易覆盖的区域；

➢综合成本较低：一方面WLAN网络减少了布线的费用，另一方面在需要频繁移动和变化的动态环境中，无线局域网技术可以更好地保护已有投资。同时，由于WLAN

技术本身就是面向数据通信领域的IP传输技术，因此可直接通过百兆自适应网口

和企业、学校内部Intranet相连，从体系结构上节省了协议转换器等相关设备；

➢扩展能力强：WLAN网桥系统支持多种拓扑结构及平滑扩容，可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统；

随着WLAN技术的快速发展和不断成熟，目前在国内外具有较多的中大规模应用，诸如荷兰的阿姆斯特丹市的全城覆盖，向客户提供各种业务。

2需求分析

2.1总体建设目标

✓利用无线网络技术进一步扩展校园网的覆盖范围，使全校师生能够随时随地、方便高效地使用校园网络；

✓促进教学和科研发展，进一步拓展研究空间；

✓提升校园网络环境，提高管理水平和效率，推动学校信息化建设；

✓要覆盖部分原来没有有线网的空间，诸如：寝室；

由于本工程是在校园有线网的基础上加以无线扩充；

2.2具体实施目标

➢侧重实际应用，覆盖校园内部分区域，为教学和学习生活提供切实可用的无线网络环境；

➢采取通行的网络协议标准：目前无线局域网普遍采用802.11系列标准，因此校园无线局域网将主要支持802.11g（54M带宽）标准以提供可供实际应用的相对稳定的网络通讯服务，同时兼顾多种类型应用和将来的投资保护，需要同时支持

801.11a，802.11b；

➢全面的无线网络支撑系统（包括无线网管、无线安全，无线计费等），以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题；

➢保证网络访问的安全性；

➢采用非独立型的无线网络结构选型；

➢覆盖范围要求

I.有线网络无法接入的室外场所：校园内一些场所很难实现网络有线接入，采用

无线方式可以实现覆盖大范围室外空间的无线网络接入。本次建设主要包括各

宿舍及食堂等。

II.有线网络使用不便或受限的室内空间：校园内一些室内场所空间较大，会产生许多人同时接入网络的需求，采用有线的方式只能提供少量接口，不能满足要

求。用无线网络覆盖来解决相当数量的移动设备同时访问网络的问题。主要包

括寝室、食堂等；

➢安全、认证、计费和管理要求

要与现有的计费系统对接，实现针对用户计费、管理、控制功能；

➢校园无线网网络结构要求：

无线接入所需布设的无线设备通过校园网的汇聚层设备接入到校园网中，在汇聚层都提供相应的接口给无线网线，在接入层设备要在方案中进行描述。

➢工程布线和安装要求：

I.室内部分：定好较为开阔位置，将网线和电源线走暗线敷设到位；挂在墙上，

可利用设备本身自带的安装附件进行安装；如果需要遮蔽，则需要定制非金属

安装盒；如果是挂在天花板上，则根据天花板的情况而定，若天花板是非金属

结构，可以固定在天花板内。安装过程中应充分考虑防盗问题。

II.供电部分：供电可采用弱电方式由接入的设备进行供电。

➢产品能力要求要求：

I.产品支持AES、WEP加密等安全标准；

II.支撑QOS能力

3无线校园网建设方案

针对学校采用WLAN技术构架宽带网络服务，从技术上、工程上以及提供的服务质量上均能较好的满足校方的要求，具体组网构架如下：

3.1整网逻辑拓扑图

鉴于XXX学校的有线网络已经较为完善，已经是百兆到楼，部分楼已经做到千兆到楼，本次工程采用无线设备就近接入的原则，同时又由于现在每栋楼的有线网络为无线网络只能提供一个有线接口，此有线接口下接一台交换机完成网络接口的扩展。具体的逻辑组网图如下图所示：

图1***************无线局域网工程方案逻辑组网示意图

3.2无线用户认证解决方案

本方案主要采用portal认证，WA2220E-AG/WA1208E-AGP与无线控制器通过二层隧道协

议通信，无线用户的认证点都是放置于无线业务插卡设备上，后台的iMC认证计费系统作为用户鉴权点。

针对无线用户，无线控制器作为802.1x认证的终结点，iMC认证计费系统作为最后的鉴权点，此时的主要工作由无线交换机进行统一调度，当用户在不同的端口下的不同无线设备的覆盖范围时，此时用户不会再次触发认证。

3.3整网安全解决方案

***************无线局域网络主要服务于学校的学生与教师，也是规模的公众型网络，同时由于学生出于技术的研究兴趣，会对网络发起各种各样的攻击行为，此时网络安全问题在建网时必须考虑问题，安全方式主要侧重几个方面：用户安全、网络安全，而在校园网络中主要依附于用户实体的属性主要包括用户使用的信息终端二层属性（诸如：MAC地址）及用户的帐号、密码，而对于学校学生用户来，帐号信息都是一个实名原则，与学生的学藉进行关联的，这样本无线网络中着重考虑使用无线网络的空口信息的安全机制，同时也要考虑与无线相关的有线网络的安全问题，对于原有有线网络的安全问题，在本技术建议书中不作相应的考虑；

➢无线网络安全：

无线网络安全部分主要包括以下方面的内容：

I.MAC地址过滤：目前支持基于MAC地址的过滤，限制具有某种类型的MAC地址

特征的终端才能进入网络中；

II.SSID管理：是一种网络标识的方案，将网络进行一个逻辑化标识，对终端上发的报文都要求进行上带SSID，如果没有SSID标识则不能进入网络；

III.WEP加密：WEP加密是一种静态加密的机制，通信双方具有一个共同的密钥，终端发送的空口信息报文必须使用共同的密钥进行加密；

IV.支持AES加密，AES安全机制是一种动态密钥管理机制，同时密钥生成也基于不对称密钥机制来实现的，同时密钥的管理也定期更新，具有体的时间由系统

可以设定，一般情况都设定为5分钟左右，这样非法用户要想在5分钟之内进

行获取足够数量的报文进行匹配出密钥出来，从无线空口的流理来看，基本上

是不可能的；

V.无线方案中可根据用户名来划分权限，即相同用户在不同地点接入无线网络其