1XXX校园无线局域网技术建议书2014年11月2目录1概述......................................................32需求分析..................................................32.1总体建设目标............................................32.2具体实施目标............................................43无线校园网建设方案........................................53.1整网逻辑拓扑图..........................................53.2无线用户认证解决方案....................................53.3整网安全解决方案........................................63.4无线校园解决方案——更稳定:............................73.5无线校园解决方案——高安全:............................83.6无线校园解决方案——易管理:............................93.7无线校园解决方案——可扩展:...........................104无线校园网建设方案总结...................................1031概述无线局域网(WLAN)技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点:简易性:WLAN网桥传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作;灵活性:无线技术使得WLAN设备可以灵活的进行安装并调整位置,使无线网络达到有线网络不易覆盖的区域;综合成本较低:一方面WLAN网络减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网技术可以更好地保护已有投资。同时,由于WLAN技术本身就是面向数据通信领域的IP传输技术,因此可直接通过百兆自适应网口和企业、学校内部Intranet相连,从体系结构上节省了协议转换器等相关设备;扩展能力强:WLAN网桥系统支持多种拓扑结构及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统;随着WLAN技术的快速发展和不断成熟,目前在国内外具有较多的中大规模应用,诸如荷兰的阿姆斯特丹市的全城覆盖,向客户提供各种业务。2需求分析2.1总体建设目标利用无线网络技术进一步扩展校园网的覆盖范围,使全校师生能够随时随地、方便高效地使用校园网络;促进教学和科研发展,进一步拓展研究空间;提升校园网络环境,提高管理水平和效率,推动学校信息化建设;要覆盖部分原来没有有线网的空间,诸如:寝室;由于本工程是在校园有线网的基础上加以无线扩充;42.2具体实施目标侧重实际应用,覆盖校园内部分区域,为教学和学习生活提供切实可用的无线网络环境;采取通行的网络协议标准:目前无线局域网普遍采用802.11系列标准,因此校园无线局域网将主要支持802.11g(54M带宽)标准以提供可供实际应用的相对稳定的网络通讯服务,同时兼顾多种类型应用和将来的投资保护,需要同时支持801.11a,802.11b;全面的无线网络支撑系统(包括无线网管、无线安全,无线计费等),以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题;保证网络访问的安全性;采用非独立型的无线网络结构选型;覆盖范围要求I.有线网络无法接入的室外场所:校园内一些场所很难实现网络有线接入,采用无线方式可以实现覆盖大范围室外空间的无线网络接入。本次建设主要包括各宿舍及食堂等。II.有线网络使用不便或受限的室内空间:校园内一些室内场所空间较大,会产生许多人同时接入网络的需求,采用有线的方式只能提供少量接口,不能满足要求。用无线网络覆盖来解决相当数量的移动设备同时访问网络的问题。主要包括寝室、食堂等;安全、认证、计费和管理要求要与现有的计费系统对接,实现针对用户计费、管理、控制功能;校园无线网网络结构要求:无线接入所需布设的无线设备通过校园网的汇聚层设备接入到校园网中,在汇聚层都提供相应的接口给无线网线,在接入层设备要在方案中进行描述。工程布线和安装要求:I.室内部分:定好较为开阔位置,将网线和电源线走暗线敷设到位;挂在墙上,可利用设备本身自带的安装附件进行安装;如果需要遮蔽,则需要定制非金属安装盒;如果是挂在天花板上,则根据天花板的情况而定,若天花板是非金属5结构,可以固定在天花板内。安装过程中应充分考虑防盗问题。II.供电部分:供电可采用弱电方式由接入的设备进行供电。产品能力要求要求:I.产品支持AES、WEP加密等安全标准;II.支撑QOS能力3无线校园网建设方案针对学校采用WLAN技术构架宽带网络服务,从技术上、工程上以及提供的服务质量上均能较好的满足校方的要求,具体组网构架如下:3.1整网逻辑拓扑图鉴于XXX学校的有线网络已经较为完善,已经是百兆到楼,部分楼已经做到千兆到楼,本次工程采用无线设备就近接入的原则,同时又由于现在每栋楼的有线网络为无线网络只能提供一个有线接口,此有线接口下接一台交换机完成网络接口的扩展。具体的逻辑组网图如下图所示:图1***************无线局域网工程方案逻辑组网示意图3.2无线用户认证解决方案本方案主要采用portal认证,WA2220E-AG/WA1208E-AGP与无线控制器通过二层隧道协6议通信,无线用户的认证点都是放置于无线业务插卡设备上,后台的iMC认证计费系统作为用户鉴权点。针对无线用户,无线控制器作为802.1x认证的终结点,iMC认证计费系统作为最后的鉴权点,此时的主要工作由无线交换机进行统一调度,当用户在不同的端口下的不同无线设备的覆盖范围时,此时用户不会再次触发认证。3.3整网安全解决方案***************无线局域网络主要服务于学校的学生与教师,也是规模的公众型网络,同时由于学生出于技术的研究兴趣,会对网络发起各种各样的攻击行为,此时网络安全问题在建网时必须考虑问题,安全方式主要侧重几个方面:用户安全、网络安全,而在校园网络中主要依附于用户实体的属性主要包括用户使用的信息终端二层属性(诸如:MAC地址)及用户的帐号、密码,而对于学校学生用户来,帐号信息都是一个实名原则,与学生的学藉进行关联的,这样本无线网络中着重考虑使用无线网络的空口信息的安全机制,同时也要考虑与无线相关的有线网络的安全问题,对于原有有线网络的安全问题,在本技术建议书中不作相应的考虑;无线网络安全:无线网络安全部分主要包括以下方面的内容:I.MAC地址过滤:目前支持基于MAC地址的过滤,限制具有某种类型的MAC地址特征的终端才能进入网络中;II.SSID管理:是一种网络标识的方案,将网络进行一个逻辑化标识,对终端上发的报文都要求进行上带SSID,如果没有SSID标识则不能进入网络;III.WEP加密:WEP加密是一种静态加密的机制,通信双方具有一个共同的密钥,终端发送的空口信息报文必须使用共同的密钥进行加密;IV.支持AES加密,AES安全机制是一种动态密钥管理机制,同时密钥生成也基于不对称密钥机制来实现的,同时密钥的管理也定期更新,具有体的时间由系统可以设定,一般情况都设定为5分钟左右,这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来,从无线空口的流理来看,基本上是不可能的;V.无线方案中可根据用户名来划分权限,即相同用户在不同地点接入无线网络其7权限保持一致;密钥设置可能根据SSID信息与用户信息进行组合,即不同的SSID下不同的用户的密钥生成可以不一样,这样一定程度上保证用户之间串号问题产生,从而保护投资,以达到营维平衡;3.4无线校园解决方案——更稳定:WLAN稳定性解决方案从无线控制器的可靠性,接入交换机供电的可靠性、无线信号的可靠性这几方面入手,极大的提高了WLAN网络的可靠性;在实际的使用情况来看,启用这些措施之后,WLAN的可靠性能够得到明显的提升。实时无线资源管理:实时无线资源管理解决方案提供了实时闭环的无线资源管理,包括了如下步骤:扫描每个接入点启动后,通过CAPWAP协议与无线控制器建立隧道,并从无线控制器获取基本的配置。无线控制器负责协调网络中的无线接入点执行扫描过程。通过定期的信道扫描,系统能够分析和了解信道的质量、干扰情况、邻居接入点的分布等。分析无线控制器将对无线接入点定期上报的数据进行聚合分析。这些数据包括:干扰:其他工作在802.11频段的无线网络对无线介质的影响。噪音:非802.11信号,如雷达、蓝牙、无绳电话、微波等等对信号的影响。丢包率:包差错率(由于隐藏的节点或信号变形)信道负载:用来衡量媒介的繁忙程度。有效信号强度:在一定时间内观察到的每个邻居的信号强度和整个信道的平均信号强度。这些数据将帮助无线控制器构建无线网络的完整视图,为管理控制提供决策数据。决策利用前期分析的数据,无线控制器将采用智能的算法对射频资源进行优化和调整,以适应无线环境的变化。系统使用了优化的信道和功率选择算法、加权判断以及抑制限度,自动评估资源调整的8影响,能够确保系统的控制是可靠的。执行无线控制器将新的发射功率,信道分配等决策发送到接入点,接入点负责使能这些配置。系统提供了两种控制模式:参考模式和立即模式,增加了系统使用的灵活性。参考模式下,系统不进行实际的控制策略执行,只是给出建议的功率、信道的设定值,管理员可以决定是否执行这些配置,确保了用户控制的灵活性。立即模式下,将根据系统计算出的信道等参数进行立即的设置。上述过程是闭环过程,一旦配置下发以后,控制器将持续监视网络环境。任何无线环境的变化与波动都会被定期记录下来,为下一轮的优化作准备。3.5无线校园解决方案——高安全:一体化无线校园解决方案在遵循IEEE802.11i协议和国家WAPI标准的基础上,创新性的提出了分层的安全体系架构,将WLAN的安全从单一的物理层安全延伸到了物理层安全、用户接入安全、网络层安全、设备安全、安全管理多个层面上,使用户在使用WLAN网络时能够像使用有线网络一样安全、可靠。无线物理安全:无线产品支持以下的加密机制:WEP加密、TKIP加密、CCMP加密、WAPI加密。其中,WAPI采用国家密码管理委员会办公室批准的公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法,分别用于WLAN设备的数字证书、证书鉴别、密钥协商和传输数据的加解密。在无线设备安全方面,在设备上不保存业务配置,而是每次启动的时候从无线控制器动态加载业务配置,这样可以有效避免设备丢失造成配置泄漏,防止非法FIT接入网络。无线用户安全:通过用户接入认证实现了对校园无线接入用户的身份认证,为网络服务提供了安全保护。无线接入认证主要有802.1x接入认证、PSK认证、MAC接入认证以及在有线校园网中常用的portal认证等。通过和AAA服务器配合,H3C的无线设备支持对认证用户动态下发带宽、VLAN、ACL、优先级等参数,对于不同的用户群和业务可以控制其访问网络的权限,限制网络资源的使用,通过VLAN和优先级来标识用户和业务,并做到业务隔离。9无线网络安全:为了保证无线用户和整个校园网络的安全,仅仅保证接入点的安全性是远远不够的。该方案从网络用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,加强网络用户终端的主动防御能力,保护网络安全。此外,无线产品支持完善的无线入侵检测系统,可以自动监测非法设备,并适时上报网管中心,同时对非法设备的攻击可以进行自动防护,