3._校园无线局域网方案.docx

校内无线局域网解决方案建议书北京信息有限公司2008年9月一、无线局域网系统建设需求21.项目背景21.1扩展网络信息点数量需求21.2网络教学需求21.3远程教学和视频会议需求21.4建设数字化信息高校需求31. 5无线覆盖范围需求3二、无线局域网设计原则和技术需求52. 1遵循标准52. 2平安牢靠62. 3可扩展可升级62. 4易管理易维护62. 5技术需求7三、灵动WIFl技术特点73. 1无线局域网系统架构83. 1.I先进的无线局域交换机83. 1.2敏捷的组网方式83. 1.3优秀的扩展性83. 1.4无需更改有线网结构93. 1.5便利地无线网规划设计93. 2无线局域网的网络管理103. 2.I集中式管理103. 2.2无需安装客户端软件103. 2.3RF智能管理Il3. 2.4多个SSlD结构113. 2.5故障自动复原Il3. 2.6网络负载均衡123. 2.7无线终端定位123. 3无线局域网系统的平安管理123. 3.I集中的平安管理123. 3.2多种用户认证方式123. 3.3独特的无线访问限制133. 3.4平安的AP技术133. 3.5无线接入点平安侦测和爱护133. 3.6无线网络入侵侦测133. 4带宽限制与服务质量保证Qc)S143. 4.3无缝的三层漫游14四、无线组网设计154. 1无线局域网的组网设计154. 2多业务区分设计154. 3网络与用户管理164. 4无线平安性设计164. 5移动漫游设计17五、无线局域网系统建议185. 1无线覆盖建议185. 2无线组网实现195. 3网络用户与应用管理实现205. 4多媒体与网络教学以及音视频应用的实现215. 5无线网的平安系统实现225、6无线限制器的配置实施建议225. 6.1AP的V1.AN和无线用户的V1.AN225. 6.2V1.AN和无线SSlD的关系235. 6.3无线局域网-不需更改局域网路由23六、设备配置清单24附件一、无线产品简介25一、无线限制器760525二、AQ20I0-AP25三、AQ30I0-AP26一、无线局域网系统建设需求1 .项目背景此次项目是针对所属的建筑群做无线局域网的覆盖，满意数据、语音和视频多方面的网络应用需求。无线网络的覆盖重点为行政楼，图书馆、宿舍楼以及部分教学楼和宿舍。具体需求如下：1.l扩展网络信息点数量需求在建设时所安装部署的有线网络信息点数量与实际运用的须要缺口较大，难以满意学院的正常教学、办公、各种会议以及留学生和来客运用网络的实际需求,假如采纳有线网络扩充而进行的网络布线工程会对墙壁和顶棚做大量的施工，影响内部的外观。希望通过采纳无线局域网覆盖方式满意目前和将来的须要，并削减有线网络布线带来的工程难度、施工量和工程费用。本项目的建设目的是采纳无线局域网替代正打算扩展的有线局域网，而不是简洁地作为有线网的延长。1. 2网络教学需求有多个多媒体教学教室和计算机网络教室，由于在建设时这些房间的运用功能考虑，目前有线网络环境教室已经不能满意广阔师生网络接入，如采纳有线网络扩充方式还须要在这些教室布大量网线，其工程难度很大。因此，建议采纳无线局域网覆盖方式可以很便利、敏捷地协作教室的布局和计算机接入网络的位置。1.3远程教学和视频会议需求的主楼以及学术会议中心、会议厅（室）召开各种类型的会议和学术活动不断增多，在召开会议打算过程中，与会者常常提出须要供应临时性的无线网络环境，以便运用视频会议系统或通过互联网进行具有音视频内容的远程多媒体传输、演示和交互。1. 4建设数字化信息高校需求常常接待来校访问的国外学者和专家以及参与各种会议和学术活动的来宾，来宾们随身携带的笔记本电脑须要随时随地接入Internet处理日常事务，因此，无线网络要满意来宾移动接入Internet以及WiFi-VOlP语音通信需求。2. 5无线覆盖范围需求依据无线网络需求要求无线局域网的覆盖区域的如下所示:宿舍草坪图书馆广场教学楼1、教学大楼位于学校东南位置，高6F,双面结构，楼内中间过道较长，约90米，整个大楼以一般教室为主，另有8个阶梯教室。2、图书馆位于学校中心位置，楼层为5层，除阅览室外还有部分办公室。本次只考虑对图书馆内办公室无线覆盖，同时须要对图书馆周边广场进行无线覆盖。3、学生宿舍楼均为双面结构，楼长约100米，楼宽约12米，高6层，每层40个南北相对的学生房间，每栋240个房间，要求对全楼宿舍无线覆盖，共计8栋宿舍楼。4、食堂为三层不规则建筑,本次只考虑在学生和老师食堂大厅进行室内无线覆盖。二、无线局域网设计原则和技术需求3. 1遵循标准无线局域网采纳的技术支持应为国际标准或业界标准，不运用某个厂商的专用技术和协议，以保证网络设备的互通性，有利于网络的投资爱护。依据的需求和无线网建设与设计原则，建议采纳公司的第三代无线交换局域网系统（以下简称灵动WIFI）,完成无线局域网覆盖项目。2. 2平安牢靠在网络平安性方面，无线局域网系统要具有与有线局域网同样要求的平安防护措施，无线网的平安性主要从以下几个方面考虑：（1）接入认证：具有支持多种用户认证方式；（2）采纳具有用户状态访问限制的防火墙技术；（3）具有数据在无线信道上传输的VPN机制；（4）具有无线网的防病毒机制（5）具有无线电波监控实力，能供应无线入侵侦测和无线终端位置的追踪功能。具有供应智能化的无线电波自动调控与切换实力，以确保单个AP接入点在发生故障时自动切换到邻近AP,不会影响无线的接入服务；具有支持热备份的无线限制器N+1的冗余备份机制。2. 3可扩展可升级通过一个集中的无线局域网网管平台实现对全部的AP功能的配置和管理，AP既可以供应无线接入，也可设置为无线入侵监控、无线终端追踪定位、无线电波传输分析的工作模式。同时整个系统可以依据用户的须要进行规模上的扩展，扩展后全部功能和管理的模式保持不便。2.4易管理易维护在网络管理方面，必需具有集中控管、智能调控、自动复原、负载均衡等好用功能，使所建的无线网络可以适应多种环境的变更，可动态地保证良好的应用效果。同时，还应具有远端AP数据进行采集、远程监控、终端定位等功能，支持多SSID,可以便利的把语音、视频以及其他类型的数据的应用进行分开管理。2. 5技术需求依据无线局域网系统建设要求，无线局域网系统建设原则如下：1、采纳W1.AN交换技术及W1.AN交换体系结构。2、充分利用现有网络结构与资源，不单独组网，AP就近接入有线网络（最近的交换机），并且不变更原有网络结构以及交换机配置。3、采纳集中控管的组网方式，集中限制管理全部的AP。4、AP的供电可以不单独拉线，采纳PoE供电的方式。5、采纳先进的W1.AN网管系统管理校内局域网。6、充分考虑W1.AN的平安性，采纳先进的W1.AN平安技术保障。7、无线局域网系统要支持故障热备冗余实力。8、无线局域网系统要能便利和敏捷地调整与扩充。三、灵动WIFI技术特点灵动WlFl技术是由公司独创的W1.AN交换技术，在传统的W1.AN交换技术中，全部的数据流量都要集中到W1.AN交换机或限制器处做统一的数据交换,而此种解决方案最大的问题是,在数据流量很大时,W1.AN交换机或限制器的压力会增大。当前流行的W1.AN接入技术802.11g最快速率只有54M,所以W1.AN交换机或限制器的性能瓶颈还未充分显露出来，而在不久的将来当802.1In技术大规模起先运用时，这一问题会变得突出而无法解决。802.1In技术最高支持600M的接入速率，假设一个W1.AN交换机或限制器在有200只802.1InAP接入时，它的W1.AN交换量以达到120G,这一数字是远远超过目前绝大多数W1.AN交换设备的最高处理实力的。针对这一问题，公司提出了灵动WIFl的技术理念，这一技术理念的核心思想是，用户管理数据与用户转发数据分别，受控数据与非受控数据转发分别，网络管理数据与网络业务数据分别。针对不同的用户、不同的数据、不同的业务实行不同的限制策略，将非受控的数据流量采纳本地转发的方式干脆转发,而受控数据流量需流经W1.AN交换机进行处理。这样大大减小了W1.AN交换设备的负荷,避开了W1.AN交换设备成为网络中的瓶颈。在无线网融合到有线网络方面，灵动WIFI全部的三层路由穿透技术可以不更改原有线网的路由设定，使得无线网络的规划和实施特别便利。在无线网络管理方面，灵动WIFl实现真正的集中控管，包括独有的RF智能调控，自动复原、负载均衡功能，使无线网可以适应无线环境中的电磁波变更，动态自动调整到最佳应用效果；还可以实现远端AP状态监测，便利实现对AP的管理；具有多SSID支持，实现了对无线数据、语音和视频的应用带宽管理。在无线平安性方面，灵动WIFl具备多种用户认证、基于用户的状态防火墙、VPN加密机制、无线入侵侦测、无线接入病毒防护功能以及集中的平安管理。在无线音视频应用方面，独有的基于每个用户的带宽限制和QOS保证，可以确保语音和视频业务的实时性，先进的无缝三层移动漫游，使得VOIP以及Wi-fi手机可以自由的在随意AP间切换。3. 1无线局域网系统架构3. 1.1先进的无线局域交换机公司无线系统采纳了WireIeSSSWitCh+thinAP构架，将其次代分散在AP+AC上的网络管理和平安管理功能转移到集中的W1.AN交换机中实现，同时增加了很多无线局域网全新的功能。诸如：无线平安性、AP管理限制、RF站址监测、无缝移动漫游，特殊是对语音、视频业务的支持有特地的Qos保证，使得VoWlan应用的Wi-Fi技术应用飞速发展。3. 1.2敏捷的组网方式产品可以依据从小型的无线网规模（几十个AP）,到大型无线网规模（几百个AP,甚至上千个AP）,都可以采纳集中或者分布式的组网方式进行敏捷的组网。并可以供应冗余热备份机制，保证系统的高可用性。3. 1.3优秀的扩展性无线网络具有特别便利扩展的特性。在组建无线网时必须要考虑系统的扩展性。在网络系统扩展性方面，的一台7605限制器可敏捷地对从32个AP扩充到支持1024个AP,因此扩展AP特别简洁；从网络管理扩展性方面，的MaSter/1.ocal方式，MaStel交换机可以同时限制管理32台的1.OCal交换机，因此增加交换机也特别简洁管理。除了AP数量之外，怎样控管大量的AP和部署也是扩展性的重要考虑因素。要妥当处理数目众多的AP在校内网内正常远作，包括无线电波协调、无线用户的带宽和平安访问控管以及其它各种各样的无线增值服务都可以通过系统的网管系统实现。3. 1.4无需更改有线网结构实现无线局域网接入，须要在现有的局域网上做很多路由的修改，这当然是网管人员不情愿做的事情，采纳系统无需更改现有的有线网结构。由于无线用户的传输是通过AP内已建立的C叩W叩隧道和无线限制器互连的，所以事实上无线用户的V1.AN是无须在接入层和汇聚层存在。无线用户的V1.AN是可透过交换机和骨干交换机互连互通。这样特别便利在高校校内里实施无线局域网，同时也特别便利进行扩展。的无线限制器可以安装在学校的中心机房，而AP则可以放置于校内的任何地方，无需用二层设备连到无线限制器，或者划分V1.AN；其他厂家则须要二层交换机连接或者划分V1.AN,否则只能将认证点下放到AP上，导致整体性能的降低和漫游特性的缺失。而不用划分V1.AN,对于无线网络的管理带来极大的便利性。对原有的有线网路由器不须要变更路由结构，减轻了由于无线网的建设而对原有网络的结构变更的工作量。3. 1.5便利地无线网规划设计在规划一个无线局域网络时，规划设计者一项重要的工作是要考虑安装多少AP可以满意覆盖？应在哪些位置安装AP,安装后电波的覆盖范围，信号在不同位置的强弱等，要完成此项工作，通常做法是规划设计者要在现场做大量的测试工作，通过阅历去估算位置和数量，其工作量特别之大，无法预先规划每个AP的电磁波和功率参数以及AP之间的覆盖相交范围。开发了RFPlanning工具，让规划设计者在无线局域网组网之初采纳RFPlanning在计算机上做规划设计，估算在要求的覆盖面积上AP应安装的物理位置所在。运用这套工具时，在数字化的校内建筑图纸上设定无线所覆盖范围如那几个楼层和面积大小，输入有关无线覆盖和传输模型的相关参数，如无线终端的平均带宽，AP和AP之间覆盖面等。RFPlanning自动计算，然后显示出AP在图上的安装坐标位置和无线电波的覆盖范围。安装人员就可以依据图纸上所显示的位置安装AP,在无线网安装完成后，网管人员通过RF规划自动校准功能，交换机可以自动调整无线网上全部AP的频道与功率参数以达到一个最优性能的运行状态。在无线局域网系统投入运行后，网管人员可通过RFPlanning随时监测网内的每个AP的无线电波实际的运行状态，刚好驾驭每个AP的工作状态和故障诊断，刚好做出调整策略。RFPkmning为无线网的规划设计、调试以及维护供应科学化和规范化的管理。3. 2无线局域网的网络管理3. 2.1集中式管理网络数据中心管理一个具有规模的无线局域网（通常在几十个AP以上）是一件特别头痛的事情。从RF覆盖面，带宽，用户的认证，以及接入的平安都要考虑。由于传统的无线局域网是单纯基于AP,因此对于无线网络的管理，其大量工作是要在每个AP上进行设置和更改。其工作量在有肯定数量AP的无线网里是特别大和烦琐的，而且无线局域网是一个整体系统，AP之间必需互协调工作，单独变更一个AP参数和配置会引起AP之间的无线电波干扰，用户漫游重认证和授权也可能会产生问题。灵动WIFI具有特别强的无线局域网集中管理功能，通过无线限制器管理整个网络，网管人员只需在无线限制器就可开通、管理、维护全部AP设备以及移动终端，包括无线电波频谱、无线平安、接入认证、移动漫游以及接入用户。3. 2.2无需安装客户端软件灵动WIFI无需为每一个移动用户终端安装无线接入软件，的认证可以基于WEB页面认证，认证只需用户打开阅读器就可以登陆。采纳CAPWAP隧道技术，可以透亮地穿透在无线限制器和AP之间的任何三层网络交换设备实现WEB认证。3.2.3RF智能管理系统的RF智能管理可以自动对网上全部AP的无线电波进行管理。当无线局域网经过自动校准的调整后而正式投入网络运作时，无线网上全部的AP都会在设定的时间内自行扫描其它的无线频道。无线电波扫描是指AP从一个电波频道跳到另一频道时，如Chl到Ch2到Ch3.,由于扫描的速度特别快，所以对于在线的无线用户（指连接到AP上在同一频率上的无线终端）的传输过程是不受到影响地。当AP停留在一个频道时，它会把在这频道上收到的无线电波信息转送回无线限制器。无线限制器可以对整个无线网上的电波状况侦测和记录。当某一覆盖范围内的无线电波变更，如出现干扰AP所发出的电波或其它应用所发出的电波等，无线限制器就会把所获得的无线电波资料做分析，以确定是否须要调整这范围内AP的无线电波。3.2.4多个SSlD结构灵动WIFI的多SSID结构和和实现技术使得在无线局域网系统的各种多媒体应用服务（数据、语音和视频）在Qos上表现特别精彩。在一个无线局域网内可以设置多个SSID,例如一个SSID可给学校内部老师、工作人员以及学生所用，而另一个可给外来的访问客户专用。所以当无线终端在这个AP覆盖范围内启动时，它就能同时看到多个SSlD。SSID的另一用途是可让无线终端以不同的平安认证和加密方式入网。3.2.5故障自动复原传统的无线网在有AP损坏或失效时，这个AP的覆盖范围就会失去了无线连接。遇到这种状况的一般做法就是把现场失效的AP换掉。但由于大多数的AP都是设置在外面（不是在机房），所以不肯定能立刻作更换，现场的环境也有局限性，不肯定很简洁维护人员即时做出更换（很多的AP都是安装在天花板上）。系统具有自动复原的功能，实时侦测出网上AP是否有失效，当发觉有AP出现故障时，交换机能会自动调整邻近的AP的功率（覆盖范围）来接替失效AP的工作。3.2.6网络负载均衡系统可在一个AP的覆盖范围内把无线用户或终端分散连接到旁边的AP上。在一个AP的覆盖范围内，无线连接的带宽是共享，即无线终端数目越多，每个终端所能共享的带宽就越小。要确保每个无线终端的传输就必需能限制一个AP上无线终端的数量或AP带宽传输总和或和每个无线终端带宽上限。负载均衡功能可以有效的缓解单个AP的负担，有效的利用接近的AP做接入，从而确保视频应用的质量得到保证。3. 2.7无线终端定位网管系统可以跟踪和定位无线终端的位置，诸如无线接入的电脑、PDA和Wi-Fi手机等。采纳的无线定位模式称为三角定位，无线定位的精确性可达到2.5米以内，无线定位的条件是所找寻的无线终端旁边须有最少三个的AP在范围内。这是传统无线局域网所不能做的，有些单位如医院就是采纳了无线定位技术来取代传呼机在医院内找寻医生、病人等。高校对非法AP的定位，可以成为学校网络中心的管理人员供应清晰非法AP有效手段，可以便利快捷的清除非法AP的网络接入。可以保证校内网络接入的平安牢靠性。3.3无线局域网系统的平安管理3.3.1集中的平安管理灵动WlFl的平安管理是将防火墙、VPN.平安认证、防病毒、无线入侵监测以及RF电磁波管理等多项平安功能汇聚到无线限制器上来完成的，解决了传统的无线网对平安的分散管理（AP、AO和实力，给用户带来的担心全感，摆脱了对有线网平安的依靠性。3.32多种用户认证方式在灵动WIFl中，一个无线用户进入无线网以后，会拿到一个最基本的入网权限，这个权限不容许用户访问任何网段，只让用户通过DHCP获得IP地址、传送DNS协议数据包，通过认证以后才可以接入无线网。灵动WIFI支持目前各种用户认证的方式（802.1X、WEB认证、MAC、SSID、VPN等），校内网内的用户可以依据须要便利选择。3.3.3独特的无线访问限制用户状态防火墙是无线限制器的独特功能，它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有用户这概念，它的爱护只是基于IP地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效是不大。灵动WIFI的防火墙功能则是与用户认证捆绑在一起，当无线用户胜利通过认证后，他会获得一个预设的用户状态防火墙，不同的无线用户有不同的防火墙策略，例如老师和工作人员可以运用更多的服务，而学生只可以阅读网页、收发Email等，这样可以极大便利校内网用户的平安管理。3.3.4平安的AP技术灵动WIFI和其它厂家在无线接入的认证和加密上最大的区分是前者不是通过APm是在无线限制器上实现。由于的AP是不储存任何网络配置（IP地址除外）和平安设置，因此即使获得和接入进AP,黑客也不会拿到无线网的网络和平安配置参数。3.3.5无线接入点平安侦测和爱护灵动WIFI的RF侦测功能和爱护机制可以实时监测校内无线网覆盖区域内的全部AP接入状况,如相邻房间的AP、设置错误的AP以及未经认可而连接到网络中的AP。通过的网络平安管理系统，网络平安管理人员可以刚好发觉是否有非法的AP接入，发觉后可以开启自动爱护机制，阻挡无线终端通过非法AP联接到无线网中。3.3.6无线网络入侵侦测今日已经有很多的无线入侵和攻击的工具可从网站下载，这些工具的普及对学校、和运营商的无线网的平安构成很大的威逼。今日绝大部分的无线局域网都没有侦测无线入侵的功能，所以当受到像无线DoS攻击时，就会误以为是无线电波的信号受干扰或AP出现不稳定状况。灵动WIFl通过在网络中采纳一个无线IDS系统，可以为网络添加一条额外的防线。无线局域网IDS可以降低黑客或者恶意用户访问关键网络资源的风险。这里有两个层面的内容：限制层面实现非法AP,Ad-hoc网络、错误RF配置的发觉与监测。在无线交换机上存有完整的RF实时视图，并且，域内全部的灵动AP都会自动充当MOnitorAP,把RF信息、非法AP信息、攻击信息等实时传送到无线限制器上。无线限制器通过一系列智能的算法，给管理员供应完整的RF平安视图。数据层面实现集成防火墙、无线应用限制等功能。由于采纳集中式交换架构，全部通信中的802.11报文都会被封装为CaPWaP数据报文传送给无线交换机处理，所以相对于传统的自治AP方式，集中式的W1.AN方式为进一步的平安策略实施供应的无限可能。针对802.11数据的深度内容检测（DPI）、DDoS攻击检查、TCP泛洪攻击、漏洞扫描等以前用于有线网络平安的特性都可以在无线环境中得以实施,从而确保了W1.AN网络的双重平安性。3. 4带宽限制与服务质量保证QOS灵动WIFI的带宽管理实力使得在移动音视频应用方面表现出很强的优势。灵动WIFI可在每个用户的权限限制内用户无线连接的最高带宽。对于不同的IP服务，灵动WIFl亦可透过无线限制器设置定义不同的Q。S队列。例如无线语音的应用，SlP和RTP协议可设定在高的队列，而般应用如、ftp则可设定在低的队列。例如语音视频这样对于时延敏感的业务。供应语音服务将极大以高无线网络的实际运营效果，为广阔在校师生供应无线网络服务，随着无线语音技术的发展，无线语音无线数据服务将大大便利师生的校内生活。3. 4.3无缝的三层漫游灵动WIFI可以支持无线接入用户在AP、W1.AN交换机、多子网以及多V1.AN之间无缝地漫游，不会丢失连接，也不须要重启DHCP0无线网络不须要对现有网络进行任何变更就可以实现这一切。确保无线语音业务可以无缝的在AP间漫游，而不会发生掉线，是语音业务的质量保证。四、无线组网设计4. 1无线局域网的组网设计无线局域网系统属于大型规模的无线局域网，考虑方案的性价比，建议选用集中式组网的方式：在网络中心采纳一台7506无线限制器，采纳无线集中管理，全网络AP接受统一管理，AP以及下面的用户按接入策略安排接入到无线限制器上。这种组网方式简易敏捷并便利扩容。当无线局域网规模须要扩大而增加AP数量时，可以扩展无线限制器的相应许可证,7605无线限制器可以平滑的从32个AP支持到1024个APo7605最大可以支持到1024个AP。4. 2多业务区分设计从学校的用户分类与分布状况分析，用户主要分成以下几类：(1)学校老师与领导；(2)校内一般工作人员；(3)在校高校生运用无线网络可以分为不同的无线接入业务类型。因此，在设计上采纳无线局域网多SSID技术，设置多业务区分方式。在一个无线局域网内可以设置多个SSID,例如一个SSID可给内部员工所用，而另一个可给外来的客户专用。由于用户一般把SSID看成V1.AN,所以它们都会惯性地以V1.AN概念来划分SSID。其实在一个AP范围内，不管用户连接到那一个SSlD它们事实上都是在同一个802.11广播域内，因为无线电波的传输是共享。一个最简洁的例子就是AP把不同的SSID名字广播，所以当无线终端在这个AP覆盖范围内启动时，它就能同时看到多个SSID。SSlD的最主要用途是可让无线终端以不同的平安认证和加密方式入网。为什么要把不同的平安加密协议设置在不同的SSlD呢？802.11的标准内定义了不同加密状况时数据包的封装格式，所以在用户的无线接入运用不同的加密程式，例如：WEP,TKIP(WPA),802.11i(WPA2)等等，不同加密方式不能在同一个SSlD内同时存在的。用户可依据实际的状况和802.11发展来制定以怎样方式来实现无线加密。最常见的做法是运用多个SSID,例如：一个定义为OPEN/StaticWEP供客户用，另一个SSlD则为TKIP(WPA)专为内部员工运用。将来的发展趋势是新增设一个802.1IiSSID让员工以过度的方式渐渐从转移到这个SSID上。不能一步转到802.1Ii的主因在于很多的无线终端现在尚未支持802.1Ii,而是不行能把全部的终端一次更换成最新的软件程序。要留意的是SSID可以覆盖全网，也可以只局限于校内网内的某些范围。一般的状况下是全网开通，例如：客人(GUeSt)运用的SSID；但有些SSlD则可能供某些部门运用，所以它的覆盖范围通常只会局限在某些范围内。5. 3网络与用户管理灵动WlFl中可以设定用户的角色(role),每个role可以基于用户状态防火墙和代理限制的设定等规则。用户状态访防火墙是无线限制器的独特功能，它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有基于用户的，它的爱护只是基于IP地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效很小。的基于用户状态的防火墙则是与用户认证捆绑在一起，当无线用户胜利通过认证后，他会获得一个预设的防火墙策略，不同的无线用户有不同的防火墙策略，例如一个用户可以运用SlP的服务，而另一用户则可用FTP。一般在防火墙策略设计中，可以将来宾和一般学生的权限设置的较低，只能访问有限的资源，且优先级较低，并且有带宽的限制，甚至可以做时间段的限制。高校的教职员工以及校领导具有较高的权限，可以访问更多的学校资源，或者对某些特殊的来宾开放某些VIP账号，安排给其较高权限的role。在带宽方面可以做比较宽松的限制。全部这些在配置、运用和管理上都特别符合的高校网络中心的网络管理需求。6. 4无线平安性设计在灵动WlFl中，可以在多个层面对系统构筑平安防护，其平安性设计如下：(1)多SSID：可以依据须要，如用户的种类、应用的种类，在灵动町Fl中设置多个SSID,不同的SSn)采纳不同的平安策略，这样可以对不同的用户及应用进行区分服务。另外SSlD还可以选择隐藏的方式，该SSn)不广播，用户无法看到，防止非法用户的连接企图。SSID还可以选择在某些AP上出现，某些AP上不出现，限制SSlD出现的范围也是实现平安性的一种手段。(2)加密：灵动WlFl支持多种加密的方式，二层的加密支持静态WEP、动态MEP、TKlP、WPA、802.Ili多种加密方式，三层的加密支持IPSeCVPN加密，这样使得加密的方式更加的敏捷，可以依据实际需求进行选择。(3)用户认证供应二种方式：证书认证方式，核心就是采纳windows自带的IX认证方法，以采纳802.1x+证书+wep的方式实现。、POrtal认证方式，方案是限制器外置portal服务器，用户上网时通过portal从学校radius里取用户信息和计费信息，认证通过后PortaI给无线限制器相关信息，限制器据此确定客户的限制策略。(4)用户的RoIe(角色)：每一类用户可以建立一个相关的Role,每个Role有一个用户状态防火墙的设定和带宽限制的设定，这样我们就可以将设定的平安策略加载到每个用户身上。(5)用户状态防火墙：用户通过认证以后，会有一个基于这个用户的状态防火墙，可以依据每个用户设置他的访问限制策略，比如可以访问InterneI,不能访问图书馆的服务器，只能访问WEB网页和收发邮件，不能运行P2P的软件等。(6)带宽限制：可以对每个用户设定其可以运用的带宽，一方面可以限制其对网络资源的占有，另一方面，当该客户端中了病毒以后，其病毒发作时不会占用网络全部的带宽。(7)认证系统支持：灵动WlFl支持多种认证系统，诸如RadiUs、1.DAP、微软的AD(活动书目)等等。4. 5移动漫游设计无线用户移动漫游，涉及到多个层次的漫游，最为简洁的是二层漫游，其他厂家产品都表现不错，三层漫游就困难多了，还有当用户跨越多个域时怎样无缝漫游，灵动WIFl可以实现快速无缝漫游功能。1.2/1.3层漫游在传统的无线局域网内，无线终端要跨越不同AP之间漫游是有肯定的困难，因为不同AP之间，它的无线用户IP子网可能都不是在同一个V1.AN内。所以当无线终端从一个AP漫游到另一AP时，由于它们之间的缺省IP子网不同，无线终端会重新发出DHCP恳求，这样的话终端的IP地址就会更新，全部在原先AP建立的连接都会被切断。过去为了解决跨越三层的漫游，有些用户采纳了MobileIP的技术，但MobileIP的缺点是它必需在无线终端安装软件。这是一般网络管理人员不情愿做的事情，因为它们就必需支持和维护用户的无线接入端。通过无线系统的代理DHCP功能,就可解决了跨越不同三层IP子网的无线漫游问题。当无线终端从一个AP的IP子网漫游到另一个AP的IP子网时,它重新发出的DHCP恳求，会从AP端的无线限制器转发到原有子网的无线限制器（用户从那一个AP获得它的IP地址）。用户的原交换机会告知用户漫游到的交换机接着保持用户的原有的IP地址。无线用户已漫游到另一个IP子网，但它仍可以原有的IP地址接着在新的AP上入网。代理DHCP的优点是无要在用户终端安装任何软件就可让终端无缝的在不同IP子网之间漫游。五、无线局域网系统建议5.1无线覆盖建议依据无线网络需求及校内内实地的了解，并结合以往的工程阅历，对无线网络覆盖做出以下规划：本次无线覆盖设计AP装在楼层过道墙上，每层楼放置4个AP,加装外置的功率放大器，再运用功率安排器带多个天线的方法来实现楼层信号的匀称覆盖，6层24个AP,AP采纳集中式POE供电。同时在每个阶梯教室放置1个AP,采纳高增益室内全向天线，共计8个AP。全楼共计32个AP,32个POE供电模块。宿舍本次无线覆盖设计AP装在宿舍走廊墙上，每层楼2个AP,加装外置的功率放大器，再运用功率安排器带多个天线的方法来实现楼层信号的匀称覆盖。AP采纳集中式POE供电，每三层楼放置一台12口POE供电器、一台16口接入交换机。每栋楼计12个AP,2台12口POE交换机，2台16口交换机。8栋楼总计96个AP,16台12口POE供电器，16台接入交换机。食堂：AP装于食堂餐厅墙上，每个餐厅放置1个AP,采纳全向高增益室内天线，初步估算配置6个AP,6个POE供电模块。5. 2无线组网实现Auth1.an7605限制器，放置在学校的网络机房，Auth1.an7605无线限制器可以最多可支持1024个AP的接入和管理，完全满意校内无线覆盖的需求，并留有足够的扩展余量。Auth1.an7605限制器集中汇合AP的接入和控管。无线限制器和AP的连接可以穿透三层网络设备，因此，无线网络不影响原有网络的结构，可以实现全网的无线漫游。AP的供电可以采纳单独的PoE供电设备（与原有的一般楼层交换机协作，不用添加新的PoE交换机），用于AP数据接入和供电，又不增加过多的成本。灵动WIFI可以支持在校内内的任何一处，即便是在没有安装有线网络信息点的地方,也可以很便利地进行可视化的音视频教学和召开各种须要运用网络音视频的会议。在无线网络音视频会议教学系统的支持下，在校的留学生、老师和行政办公人员以及与会的来宾等，就可以利用其所携带的笔记本电脑或是配置有无线网络适配器的PC机，在学校内的任何一个地方上网与世界的任何一地进行信息沟通、教学或媒体演示。老师和学生以及学生也可以随时查阅网上的资料或递交电子文档的作业等，这样可以特别便利、快捷地创建一个多方位的可视化的远程多媒体教学环境。5. 3网络用户与应用管理实现从学校的上网用户类型与应用类型状况分析，用户主要有:（1）学校教职员工；（2）在校高校生；（3）学校工作人员；应用主要有：（1）多媒体与网络教学；（2）移动业务办公；（3）访问ImenIet。采纳灵动WIFI的多SSID结构的管理技术将不同类型的用户和应用划分到不同的SSID中，给予不同的访问规则与权限以及配置不同的管理策略。在方案实现上运用多个SSlD：一个供学生用户和来宾运用，可以不用加密，只做基于WEB的接入认证，另一个SSID供学校教职员工和工作人员运用，该SSlD被配置为隐含,不广播出来，采纳WPA加密+802.1认证方式，确保此类用户平安性。音视频会议应用运用特地的SSlD。只出现在须要供应这类应用服务的AP上，其他AP都没有该SSID,用户也就无从运用该SSID访问网络，保证无线网络的平安性。将访问策略中的语音业务和视频业务的应用优先级提到最高，以确保这些服务的质量。综上所述，无线局域网系统共开设多个SSID。2个SSID用于数据应用，分别对应2类用户，另外2个SSID有选择的出现在某些AP上，分别供应语音和视频的服务。并同时采纳不同的认证、加密和平安控管的手段，以便利的实现网络平安和管理。5. 4多媒体与网络教学以及音视频应用的实现在会议厅、报告厅实现无线覆盖，可以建立无线音视频会议网络系统平台。考虑到会议厅、报告厅以及多功能厅的用途，接入的用户多的状况，覆盖时须要考虑接入容量因素。在这个平台上为各种会议、报告供应无线音视频会议系统，会议的组织者可以在这个平台上便利地、敏捷地运用音视频会议系统，为会议参与者供应丰富地文字、语音、视频会议服务，为主持会议者与参会者供应一个互动服务。灵动WIFl以其技术先进的带宽限制和Q。S管理功能可以保证该系统的高效、稳定和牢靠的运行。运用灵动WIFI在学校的报告厅、各大小会议室以及多功能厅等区域实现无线覆盖，利用无线音视频会议网络系统平台可为各种会议供应丰富的文字、语音和视频服务。通过无线局域网，可以轻松地实现主会场与分会场间资源共享的问题，这样即可解决了会议场所的空间问题，又可以相应地节约人力和物力。运用灵动WIFI在对学校内全部教学场地部署无线覆盖，建立起无线局域教学网络系统。利用无线局域网老师可以在网上实行集中与分散相结合的教学形式，随时在网上组织学生进行集中教学，或者针对每一个学生的具体状况进行分散教学，可以在网上布置作业由学生来完成，同时学生也可以随时通过网络来向老师请教。5. 5无线网的平安系统实现灵动WlFl的平安系统实现如下平安功能： 接入认证限制：验证用户，授权他们接入特定的资源，同时拒绝为未经授权的用户供应接入。 确保链路的保密与数据的完整：防止未经授权的用户读取或更动在网络上传输的数据。 侦测和阻断非法接入：防止非法AP接入学校的无线网络中。 监测和阻断无线攻击：防止攻击占用某个接入点的全部可用带宽，导致其他用户的正值接入。 检测无线终端的防病毒状态：防止染有病毒的无线终端接入。5、6无线限制器的配置实施建议一般厂家的无线网络产品在校内网规划时都须要二层交换机连接或者划分V1.AN,否则只能将认证点下放到AP上，导致整体性能的降低和漫游特性的缺失。由于的AP是通过CAPWAP的隧道连接到交换机上，所以产品在规划上可以完全不变更校内网原有的网络结构，同时实现无缝的二三层漫游。并且全部的AP都统一规划统一集中管理。下面具体叙述一下无线限制器在规划配置实施时须要考虑的问题：5.6.1AP的V1.AN和无线用户的V1.AN第一代的无线局域网对AP所在的V1.AN（AP为网络设备）和无线用户所在的V1.AN是没有明确的区分。第一代无线组网无论对无线用户、AP和网络的管理都有肯定困难，而且很简洁造成混乱。对网络管理而然，网络设备的V1.AN/IP子网应当和用户是分开，这样才可确保正常