小区无线宽带WIFI深覆盖小区方案

北京电子科技职业技术学院1毕业设计无线宽带覆盖小区规划区W学生姓名刘畅学号39200755726系部电信工程系专业通信技术班级07通信技术（5）1指导教师朱宝强I-FI无线网网络规划方案北京电子科技职业技术学院2一、现场介绍及分布图小区总面积34500平方米，房子规划成长方形，南北约150米，东西约230米，共有楼房十二栋，大概有500户住户，容纳人口1200人。现已基本竣工交付业主使用。本方案针对该小区做WI-FI无线网络覆盖。在覆盖范围内小区住户可以通过无线网络设备收到通信公司提供的宽带互联网信号,实现无线数据、语音、视频监控的宽带接入，满足住户的语音、数据、视频监控的需求。该小区楼宇结构为砖混结构，楼型结构为长方形，为6层建筑，无线环境良好，本方案针对覆盖区域采取深度覆盖。二、实际规划为实现该小区楼层的深度覆盖，整个小区安装六台ODU-8300设备，4台9500无线网桥。六台8300，分别安装在5、6、7号楼的楼顶两侧，用抱杆固定，每台8300用功分器分出两只2.4G覆盖天线斜向覆盖对面的楼宇用户（如图一）。在5、6、7号楼顶中部用抱杆固定好9500无线网桥，网桥和本楼的8300用超五类双绞线链接。楼顶的9500分别与移动踏上的9500对接，实现数据从移动塔上传递到8300无线AP上，然后8300无线AP对最终终端用户进行覆盖，从而实现用户的无线数据业务需求。采用无线方式，架设方便，运行、维护成本低，周期短。本方案的设计综合考虑经济性、施工可行性、频道配置等多方面因素，力求做到最佳无线覆盖。覆盖效果见下图北京电子科技职业技术学院3图一三、2.4GHz频段室内覆盖方案说明如上图所示，蓝红色的表示为ODU-8300的室外型无线AP覆盖小区。所有无线AP的ESSID设置都相同，采用3、6、9等不同的频点进行无线覆盖。用户在AP覆盖的有效范围内通过无线网卡以无线形式连接AP，就可以实现连接INTERNET。四、用户认证管理核心技术（PPPoE、WEB、DHCP）解决方案认证可称AAA，包含三个方面：Authentication鉴别、Authorization授权、Accounting计费。Radius协议是用来解决AAA的，现在用得最广，成为事实上的标准。用户主机与网络设备的通信方式：大致可分PPPoE、DHCP/DHCP+、WEB方式；后面会专门介绍这三种方式。网络设备与AAAServer的通信协议：采用标准的Radius协议，为实现增强功能，可采用扩展的Radius协议，即俗称Radius+；网络设备与AAAServer通过Radius协议的认证的简要过程如下：1)网络设备向AAAServer发出AccessRequest包，其中包含用户的账号、密码、端口号、埠类型等；北京电子科技职业技术学院42)AAAServer向网络设备回送AccessResponse包，其中包含用户的合法性和用户的一些设置，如IP地址，屏蔽，DNSserver，上网带宽，上网时段等；3)网络设备不断向AAAServer发送计费消息包，这些消息包可以反映出上网开始时间，上网结束时间，输入输出流量，SessionID、账号等；三种认证方式在无线宽带接入中，按用户与网络设备之间的通信方式，可将认证分为以下三种：（1）PPPoE（包PPPoA、PPTP等）（2）DHCP/DHCP+（3）Web认证1、PPPoE认证通过PPPoE（Point-to-PointProtocoloverEthernet）协议，服务提供商可以在无线以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。(说明:PPPoE（Point-to-PointProtocoloverEthernet）协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。)PPPoE的建立需要两个阶段，分别是搜寻阶段（Discoverystage）和点对点对话阶段（PPPSessionstage）。当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE的对话号（SESSION_ID）。在PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户-服务器的关系。在搜寻阶段的进程中，主机（客户端）搜寻并发现一个网络设备（服务器端）。在网络拓扑中，主机能与之通信的可能有不只一个网络设备。在搜寻阶段，主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成，主机和网络设备将拥有能够建立PPPoE的所有信息。搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立，主机和网络设备都必须为点对点对话阶段虚拟接口提供资源。PPPoE一般用于卡号用户，卡号用户的账号和密码是通过PPPoE拔号软件输入的，费用也从输入的账号上扣。PPPoE认证主要利用PPP的一些属性，与它类似的认证方式还有PPPoA、PPTP、L2TP等。相比之下，PPPoE应用最普遍。2、DHCP认证DHCP的认证过程如下：用户主机上电，发出DHCPRequst广播包；该包到达网络设备，网络设备得到用户的VlanID，根据VlanID查表得到用户的认证账号。将认证账号送到RadiusServer认证。Radiusserver返回认证回应。北京电子科技职业技术学院5用户上internet，有流量流经网络设备。网络设备检测到用户的上网流量，向Radiusserver发计费开始的消息包。关机时，用户主机会发出DHCPRelease包；该包达到网络设备，网络设备将向Radiusserver发一个终止计费的消息包，该包同时也包含了用户的流量。计费结束。DHCP认证适合固定用户。3、Web认证认证步骤如下：用户机器上电启动，系统程序根据配置，通过DHCP由ISN做DHCP-Relay，向DHCPServer要IP地址（私网或公网）；ISN为该用户构造对应表项信息（基于端口号、IP），添加用户ACL服务策略（让用户只能访问portalserver和一些内部服务器，个别外部服务器如DNS）；Portalserver向用户提供认证页面。在该页面中，用户输入账号和口令，并单击login按钮。也可不输入由账号和口令，直接单击Login按钮；该按钮启动portalserver上的Java程序，该程序将用户信息（IP地址，账号和口令）送给网络中心设备ISN；ISN8850利用IP地址将收到用户的信息，对用户的合法性进行检查。便于以后的合法性检查。如果用输入了账号，则认为是卡号用户，使用用户输入的账号和口令到Radiusserver对用户进行认证。如果用户未输入账号，则认为用户是固定用户，网络设备利用VlanID（或PVCID）查用户表得到用户的账号和口令。将账号送到Radiusserver进行认证；RadiusServer返回认证结果给网络设备；认证通过后，修改该用户的ACL，用户可以访问外部因特网或特定的网络服务。用户离开网络前，连接到portalserver上，单击断开网络按钮。系统停止计费，删除用记的ACL和转发信息，限制用户不能访问外部网络。在以上过程中，要注意检测用户非正常离开网络的情况，如用户主机死机，网络断掉，直接关机等五、无线网络安全防范措施WiFi-City针对无线网络的各个环节制定出了一系列安全方案，有效防止非法终端接入、虚假的AP、中途数据截取等安全问题，同时灵活地结合了WEP、VPN、IEEE802.1x等多种网络安全技术手段，进一步加强了无线网络的安全性能。完备的技术解决方案，为您构建安全的无线网络提供最大的便利。安全防范点1：未经授权用户的接入对应措施：使用各种先进的身份认证措施，防止未经授权用户的接入由于无线信号是在空气中传播的，信号可能会传播到不希望到达的地方，在信号覆盖范围内，非法用户无需任何物理连接就可以获取无线网络的数据，因此，必须从多方面防止非法终端接入以及数据的泄漏问题。北京电子科技职业技术学院6身份认证措施:1)利用MAC阻止未经授权的接入每块无线网卡都拥有唯一的一个MAC地址，为AP设置基于MAC地址的AccessControl（访问控制表），确保只有经过注册的设备才能进入网络。2)使用802.1x端口认证技术进行身份认证使用802.1x端口认证技术配合后台的RADIUS认证服务器，对所有接入用户的身份进行严格认证，杜绝未经授权的用户接入网络，盗用数据或进行破坏。(图四无线网络安全环节分析)安全防范点2：网上邻居的攻击对应措施：用户隔离技术WiFi-CityHotSoptAP特有的用户隔离技术(图五)，避免网上邻居的攻击在某些场合（特别是在公共场合），用户信息的私密性显得尤为重要，WiFi-CityHotSoptAP提供的用户隔离技术，采用数据报文传送地址分析的方法，这种方法可以控制在无线网络覆盖区域中，网上邻居之间不安全的访问，进而避免网上邻居的攻击。北京电子科技职业技术学院7(图五WiFi-CityHotSoptAP提供的用户隔离技术，避免网上邻居的攻击)安全防范点3：非法用户截取无线链路中的数据对应措施：使用先进的加密技术使用先进的加密技术，使得非法用户即使截取无线链路中的数据也无法破译。1)基本的WEP加密WEP是IEEE802.11b/g无线局域网的标准网络安全协议。在传输信时，WEP可以通过加密无线传输数据来提供类似有线传输的保护。在简便的安装和启动之后，应立即设置WEP密钥。2)使用更为先进的加密技术——TKIP使用更新的加密技术，如TKIP，WiFi-City的AP只需要通过简单的软件升级就可以完成对TKIP的支持，进一步加强无线链路中数据的加密性能。安全防范点4：非法网卡的接入对应措施：利用对AP的合法性验证以及定期进行站点审查，防止非法网卡的接入在无线AP接入有线集线器的时候，会遇到非法网卡的攻击，非法安装的AP会危害无线网络的宝贵资源，因此必须对网卡的合法性进行验证。WiFi-CityHotSpotAP支持的IEEE802.1x技术提供了一个客户机和网络相互验证的方法，在此验证过程中不但AP需要确认无线用户的合法性，无线终端设备也必须验证AP是否为虚假的访问点，然后才能进行通信。通过双向认证，可以有效的防止非法AP的接入。对于那些不支持IEEE802.1x的AP，则需要通过定期的站点审查来防止非法AP北京电子科技职业技术学院8的接入。在入侵者使用网络之前通过接收天线找到未被授权的网络，通过物理站点的监测应当尽可能地频繁进行，频繁的监测可增加发现非法配置站点的存在几率，选择小型的手持式检测设备，管理员可以通过手持扫描设备随时到网络的任何位置进行检测。安全防范点5：企业内部未经授权的跨部门使用对应措施：无线VLAN技术混合MAC限制利用无线城先进的无线VLAN技术混合MAC限制防止未经授权的跨部门使用并利用ESSID+隐藏AP技术进行部门分组，有效地避免任意漫游带来的安全问题，MAC地址限制更能控制连接到各部门AP的终端，避免未经授权的用户使用网络资源六、无线网络安全提示无线网络的安全技术正在日益完善，多手段多层次的安全防范措施使得无线网络越加坚固。当然，光有先进的技术是不完全的，如何利用现有资源结合当前环境来设计出一个安全实用的无线网络是构建无线网络的一个重要环节。WiFi-City根据多年的行业经验结合丰富的技术知识，为构建安全的无线网络提出了专业的设计目标以及注意事项，是您架设无线网络极有价值的参考资料。要设计安全的无线网络，在架设无线网络环境时，需要考虑到以下的一些因素：注意AP摆放的物理位置由于无线信号是在空气中传播的，因此它的界限并不象有线网络那么明确，信号随时会存在于特定范围以外。从物理安全角度考虑，AP的摆放位置需要通过专用仪器进行测量，要尽量减少无线信号泄漏到网络范围以外的区域。AP的控制和管理当一个无线网络拥有多个AP时，如何对这些AP进行管理和监控就显得十分重要，因为如果没有一个合理有效的AP管理系统，将会造成网络安全缺口，给攻击者有机可乘。WiFi-City为了提供更好的AP监控管理，提供了AP集群管