ImageVerifierCode 换一换
格式:DOCX , 页数:32 ,大小:370.97KB ,
资源ID:22501639      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/22501639.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(无线校园网解决方案Word文件下载.docx)为本站会员(b****8)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

无线校园网解决方案Word文件下载.docx

1、5.2 DCS-4500-26T系列全千兆智能安全接入交换机 215.3 DCBI-3000用户管理系统 265.4 DigiZoneDirector智能无线控制器DCWL-ZD-1025 27第一章 前言无线校园网,就是通过无线局域网(Wireless Local Area Network,简称WLAN)技术,在校园中建立的无缝无线通讯网络,使校园的每个角落都处在网络中,形成全覆盖的校园网。目前绝大多数学校已拥有的有线网络,但只能提供固定而有限的网络信息点,无法满足学校师生随时随地共享教育网络资源的需要。无线校园网正是顺应了教育信息化建设的前进步伐,蓬勃发展起来的。无线校园网最大的特点是具有

2、的高度的空间自由性和灵活性;可以避免大规模铺设网线和固定设备投入,有效地削减了网络建设费用,极缩短了建设周期;无线局域网带宽很宽,适合进行大量双向和多向的多媒体信息传输。通过无线校园网的建设,都可以找到解决的基础和途径。国际上,拥有无线校园网,已经成为现代化校园的一个标志。据悉,到2008年,中国将有600所高校建设无线校园网,中国的大学无线校园网的建设已经如火如荼地展开了。第二章 无线校园网设计原则1、实现有线、无线统一认证计费大部分学校有线网络都已经具有认证计费系统,有基于WebPortal,有基于802.1X,也有基于PPPoE方式。无线网络的接入,学校一般希望不要改变原有的认证计费方式

3、,应该能无缝地纳入到现有认证计费系统中来。2、功能丰富的统一管理无线接入点经常分布于各个楼栋的天花板、墙壁和楼顶等位置,平时很难直接观察设备的工作状态,这就要求无线网络必须采用集中管理的方式对全网设备进行实时的监控和管理,包括全网无线设备工作状态和配置参数的监测和管理、射频环境监测、网络链路状况监测、无线用户及设备的定位、射频智能调控、报警、以及丰富的报表输出等功能。3、遵循标准无线局域网采用的技术支持应为国际标准或业界标准,不使用某个厂商的专用技术和协议,以保证网络设备的互通性,有利于网络的投资保护。4、集中式管理分布式转发的网络结构第一代无线局域网主要是采用胖AP架构,每台AP都是一个独立

4、的个体,AP与AP之间不会进行任何沟通,需要逐台逐台进行配置和管理,费时、费力、维护成本高,安全低,融合性差。第二代无线局域网融入了认证网关设备,仍然不能集中对AP进行管理和配置,只是对认证管理方面有所提高而已。第三代无线局域网架构采用无线交换机加瘦AP的结构,使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高,使建设大型无线网成为可能。但是随着无线数据流量的增加,无线交换机不但容易成为数据传输瓶颈,也容易发生单点故障。增加无线交换机无疑将大幅提高组网成本。第四代无线局域网架构采用无线控制器加智能AP的架构,第四代可胖可瘦智能AP可以接受集中式管理和配置,又可以本地直接转发数据,成功

5、的规避了第三代无线局域网存在的问题,成为无线局域网发展的必然。5、安全可靠性在网络安全性方面,无线局域网系统要具有与有线局域网同样要求的安全防护措施,无线网的安全性主要从以下几个方面考虑:1) 接入认证:具有支持多种用户认证方式;2) 数据链路的全程加密; 3) 具有无线电波监控能力,能提供无线入侵侦测和无线终端位置的追踪功能。可靠性方面主要是:具有提供智能化的无线电波自动调控与切换能力,以确保单个AP接入点在发生故障时自动切换到邻近AP,不会影响无线的接入服务;具有支持热备份的无线控制器的冗余备份机制。6、无线业务漫游无线网络使用者应该能体验、使用有线网络已有的业务,并在保证用户移动性的前提

6、下,保证业务不发生中断。第三章 无线校园网设计方案根据无线网络设计原则,结合神州数码网络无线系统技术及产品的特点,方案的设计分为:无线组网方式设计、多业务区分设计、网络及用户管理、网络安全防护设计、移动漫游、计费设计六个部分。3.1无线组网方式设计无线网络AP的部署,需要考虑的因素远多于有线网络,比如说建筑的分布,墙体的厚度、材质,所以只有实地勘测以后,才可能精确确定AP的部署位置和数量。根据不同的AP数量规模和管理方式,可以考虑选用以下不同档次的DigiZoneDirector无线控制器和DigiFlexMaster集中网管系统进行组网,以实现性价比最高的无线网络。3.1.1 某化工医药职业

7、技术学院无线网络拓扑图某化工医药职业技术学院无线网络采用支持802.1n的无线AP DCWL-ZF-7942AP,无线AP通过POE(POE供电是指通过以太双绞线供电,解决了无限AP布置在离电源较远时的供电问题)交换机接入校园网核心网络。无线AP可通过无先控器DCWL-ZD-1025统一进行管理。DCBI-3000可对无线上网人员进行统一的认证计费。3.1.2 无线方案描述项目品牌型号数量智能瘦ap神州数码DCWL-ZF-7942AP18无线AP集中管理器DCWL-ZD-10251认证计费系统DCBI-3000(EN)V2千兆poe接入交换机DCS-4500-26T-PoE(R3)4500交换

8、机光纤模块SFP-LX-L1、上表以1栋宿舍楼计算的AP数量和集中管理器数量,上表只有设备预算,光纤、网线铺设等费用另计2、全部采用802.11n 2.0草案标准的ap,最高连接速度为300Mbps,最高可用带宽在130Mbps以上。3、宿舍楼无线覆盖率达到80%以上,接入用户数为900个在线用户(每ap同时50人在线)。4、无线ap通过poe集中供电5、无线ap集中管理软件为25个 AP许可,如用户同时在线数多于900,可增加AP6、认证计费系统为2000 用户许可,随用户数需求可增加用户数许可7、无线用户上网时自动弹出web认证窗口,可实现根据用户名和密码对入网用户进行认证、查看在线用户、

9、强制下线、按时间、流量包月等收费功能8、.无线功率自动控制,无线信号信道自动选择9、可控制每个接入用户的流量(以1Mbps为单位调节)。10、校园网交换机需为3层交换机,提供千兆单模光纤接入3.2 多业务区分设计使用无线网络可以分为不同的无线接入业务类型。因此,可以在设计上采用无线局域网多SSID技术,设置多业务区分方式,例如一个SSID可给教师所用,而另一个可给学生专用。多SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。802.11的标准定义了不同加密情况时数据包的封装格式,所以在用户的无线接入使用不同的加密方式,例如:WEP、TKIP(WPA)、802.11i(WPA2)

10、等等,不同加密方式不能在同一个SSID同时存在的。某一个SSID可以覆盖全网,也可以只局限于园区网的某些围。一般的情况下是全网开通,例如:临时访问者(Guest)使用的SSID;但有些SSID可以只在办公区广播,只供某些部门使用。3.3 用户管理设计神州数码网络无线系统中可以设定用户的角色(role),每个角色可以基于用户权限和可访问资源的设定等规则。用户权限是DigiZoneDirector的功能,是针对无线接入的特性而设计。一般的用户接入不同的SSID时只具有该SSID或VLAN所对应资源的访问权限,所以访问不同的VLAN的资源需要分别登录不同的SSID,这样是十分不便的。神州数码网络的基

11、于用户角色的权限管理是与用户认证捆绑在一起,当无线用户成功通过认证后,他会获得一个预设的用户角色权限,访问其他SSID对应的网络资源。这样,一个具有全部权限的用户通过一个SSID登录后,可以访问所有SSID对应的语音、数据和视频业务的权限,从而简化了用户的权限设置和用户管理的复杂性。一般在用户权限设计中,可以将来宾和普通用户的权限设置的较低,只能访问有限的资源,且优先级较低,并且有带宽的限制。其他用户可能有较高的权限,可以访问更多的学校资源,或者对某些特殊的来宾开放某些VIP账号,分配给其较高权限的角色。在带宽方面可以做比较宽松的限制。所有这些在配置、使用和管理上都非常符合一般企业的网络管理需

12、求。3.4 无线安全性设计在神州数码网络无线系统中,可以在多个层面对系统构筑安全防护,其安全性设计如下:(1)多SSID:可以根据需要,如用户的种类、应用的种类,在神州数码网络无线系统中设置多个SSID,不同的SSID采用不同的安全策略,这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式,该SSID不广播,用户无法看到,防止非法用户的连接企图。SSID还可以选择在某些AP上出现,某些AP上不出现,限制SSID出现的围也是实现安全性的一种手段。(2)加密:神州数码网络无线系统支持多种加密的方式,二层的加密支持静态WEP、动态WEP、TKIP、WPA、802.11i 多种加密

13、方式,三层的加密支持IPSec VPN加密,这样使得加密的方式更加的灵活,可以根据实际需求进行选择。(3)用户认证提供三种方式: WPA-PSKcaptive portal+VPN。加密方式采用WPA-PSK,不建议采用静态WEP,因为有安全隐患。采用captive portal+VPN的认证方式,同时VPN还具有三层的加密功能,具有更高的安全性。认证服务器的选择比较灵活,可以使用RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS,甚至是DigiZoneDirector置的数据库。 WPA+802.11x加密方式尽量采用WPA,如果客户端不支持也

14、可采用动态WEP,认证方式采用802.11x,认证服务器选择RADIUS。 Dynamic PSKDynamic PSK是神州数码网络专有的用户认证和加密技术。传统的无线加密密钥对所有的用户是相同的,相当脆弱;而且长度较短,容易被解码。Dynamic PSK技术为每一个用户提供一个64字节的密钥,实现完整而且非常安全的认证加密手段。(4)用户的Role(角色):每一类用户可以建立一个相关的Role,每个Role有一个用户状态防火墙的设定和带宽控制的设定,这样我们就可以将设定的安全策略加载到每个用户身上。(6)带宽控制:可以对每个用户设定其可以使用的带宽,一方面可以限制其对网络资源的占有,另一方

15、面,当该客户端中了病毒以后,其病毒发作时不会占用网络全部的带宽。(7)认证系统支持:神州数码网络无线系统支持多种认证系统,诸如Radius、微软的AD(活动目录)和在DigiZoneDirector部的Internal DB等等。3.5 移动漫游设计无线用户移动漫游,涉及到多个层次的漫游,最为简单的是二层漫游,业主流厂家产品都表现不错,三层漫游就困难多了,还有当用户跨越多个域时怎样无缝漫游,神州数码网络无线局域网可以实现快速无缝漫游功能。L2/L3层漫游在传统的无线局域网,无线终端要跨越不同AP之间漫游是有一定的困难,因为不同AP之间,它的无线用户IP子网可能都不是在同一个VLAN。所以当无线

16、终端从一个AP漫游到另一AP时,由于它们之间的缺省IP子网不同,无线终端会重新发出DHCP请求,这样的话终端的IP地址就会更新,所有在原先AP建立的连接都会被切断。过去为了解决跨越三层的漫游,有些用户采用了Mobile IP的技术,但Mobile IP的缺点是它必须在无线终端安装软件。这是一般网络管理人员不愿意做的事情,因为它们就必须支持和维护用户的无线接入端。通过神州数码网络无线系统,可解决了跨越不同三层IP子网的无线漫游问题。 当无线终端从一个AP的IP子网漫游到另一个AP的不同IP子网时,它重新发出的DHCP请求,会从AP端的DigiZoneDirector转发到原有子网的DigiZon

17、eDirector(用户从那一个AP获取它的IP地址),这样DigiZoneDirector就了解到用户漫游到了哪个相邻的DigiZoneDirector。用户的原来所在的DigiZoneDirector会将发送到该用户的数据发送到漫游到的DigiZoneDirector而后发送到用户现有的IP地址。无线用户已漫游到另一个IP子网,但它的流量不会中断,直到用户完全漫游过来(其对端了解了其IP地址的变化)。代理DHCP 的优点是无要在用户终端安装任何软件就可让终端无缝的在不同IP子网之间漫游。 在不同域之间的用户认证和漫游在大型网络,一般都有很多不同的部门,部门通常都有自己的用户数据库,即所谓的

18、本地认证服务器。在实现应用时,要求有单一的认证数据库是未必可行的,但同时无线用户应是可在无缝漫游。 当用户不是在本地入网或是从一个部门的接入点漫游到另一部门的接入点需要重新认证时,如果用户名和密码在当地的数据库是不存在的话,则用户会被断线。要做到真正的无缝漫游,则需要有支持Radius 代理这样的功能。但由于不是所有的认证服务器都支持这种功能所以在具体实施时也有一定的困难。神州数码网络本身就可提供不同域之间的认证功能,域名可以与SSID绑定,亦可以让用户在登陆网页时输入或选择域名。神州数码网络会把在不同域之间的认证请求转发到对应这域的radius服务器处理。3.6 认证计费设计3.6.1 WE

19、BPortal认证神州数码网络智能无线 AP通过以太网或IP线路连接到网络,通过DigiZoneDirector进行SSID、无线信道、发射功率、Rouge AP检测和无线加密、认证等管理。根据要求,DigiZoneDirector将创建一个公开的、没有加密的AP热点SSID,用户可以通过该SSID接入到网络当中。无论用户想访问的网页是什么,DigiZoneDirector弹出WEB认证节目(包括欢迎、认证连接等),通过认证后用户就可以访问Internet网络了(也可以重定向到缺省的网页)。可以根据热区AP数量的多少,由一个或多个DigiZoneDirector可以管理一个热区的所有AP。如果

20、需要,未来可以在中心部署DigiFlexMaster管理所有的DigiZoneDirector,从而管理网络中的所有AP。AP可以通过以太网或DSL链路接入网络。DigiZoneDirector没有DHCP服务器功能,所以需要外置的DHCP 服务器或使用BRAS提供DHCP服务器为客户端分配IP地址的功能。如上图所示,用户接入的流程如下:(1) 用户开机后,检测到SSID有效;(2) 客户端发起DHCP请求,经认证设备转发到DHCPServer。DHCPServer为用户分配IP地址;(3) 用户打开浏览器,HTTP请求被AP捕获,并重定向到登录界面;(4) 用户输入用户名和密码,并传送到Di

21、giZoneDirector;(5) DigiZoneDirector将用户名和密码发送到AAA服务器进行认证;(6) 认证通过后,DigiZoneDirector将Web页面重定向到DigiZoneDirector指定的WEB服务器页面(费用余额等通知);同时出现计时窗口;(7)用户可以上网,AAA服务器计费开始;WebportalDHCP实现简单,无需客户端和相关配置,扩展性也好。无线网络的认证方式我们建议使用如下方式:在无线控制器中设定使用Web-Portal方式认证。当用户接入无线网络后,需要使用浏览器访问校园网或Internet,会弹出认证界面,用户输入用户名和密码后送到相关服务器进

22、行验证,如果认证通过后用户就能够访问校园网和Internet,如果访问Internet就会产生计费,同时计帐到该用户上。3.6.2 802.1x认证神州数码网络智能无线 AP通过以太网线路连接到网络,通过DigiFlexMaster或DigiZoneDirector进行SSID、无线信道、发射功率、无线加密等管理。DHCP服务器可以使用原有的BRAS或新的服务器。这里的PPPoE可用于当AP通过以太网连接到网络时,AP获得IP地址(AP可以通过DHCP、静态设置或PPPoE等获得IP地址)从而连接FlexMaster管理系统进行管理。对于一个地点具有多个AP的应用场合(如学校),也可以采用Di

23、giZoneDiretor对其围的AP进行管理,同时DigiFlexMaster远程对DigiZoneDirector进行管理,从而对AP进行管理。AP或BRAS等都可以通过任何IP网络与AAA系统进行通信。根据802.1x的要求,DigiFlexMaster或DigiZoneDirector将创建一个加密的支持802.1xAP热点SSID。(1) 用户开机后,检测到SSID有效,通过8021x客户端软件发起请求;(2) AP检测到该请求后,向AAA发出请求,AAA服务器发出响应;(3) 用户端弹出对话框,要求输入合法的身份标识,如用户名及其密码。(4) 用户端将身份标识传送到AP;(5) A

24、P将相应信息发送到AAA进行认证。(6) 如果认证通过,则AP到DHCP服务器的端口打开。客户端软件发起DHCP请求,经认证设备转发到DHCPServer,DHCPServer为用户分配IP地址。(7) 用户可以上网了,认证服务器开始对用户计费。(8) AP通过定期的检测保证链路的激活。如果用户离开或异常死机,则AP在发起多次检测后,自动认为用户已经下线,于是向认证服务器发送终止计费的信息。IEEE 802.1x具有以下主要优点:(1) 实现简单。IEEE 802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本。(2) 认证和业务数据分离。IEEE 802.

25、1x的认证体系结构中采用了“受控端口”和“非受控端口”的逻辑功能,从而可以实现业务与认证的分离。用户通过认证后,业务流和认证流实现分离, 对后续的数据包处理没有特殊要求,业务可以很灵活,尤其在开展宽带组播等方面的业务有很大的优势,所有业务都不受认证方式限制。3.7 方案特点1)认证计费一体化。神州数码无线解决方案可与认证计费系统DCBI无缝结合,实现无线、有线网络的统一认证、统一计费;也支持第三方的radius认证和Windows服务器的AD认证。2)网络管理一体化。神州数码的无线产品除了可以通过专有的无线控制器或者FlexMaster进行网络管理,也支持通过SNMP协议,由LinkManag

26、er进行统一管理。3)网络结构一体化。神州数码无线解决方案采用智能AP无线控制器组网,其中无线控制器旁接在核心交换机或者汇聚交换机上,无须改变现有的网络结构。无线数据转发全部交给本地接入交换机完成,不会象无线交换机串接组网方式那样,出现转发瓶颈。4)安全防御一体化。无线解决方案完全支持TSA可信安全接入方案,同时采用集中式安全管理的方式,全面实现无线网络的安全运营。5)应用服务一体化。神州数码无线解决方案提供的快速三层漫游技术,让WLAN使用者在不用AP之间自由切换,视频、语音等实时业务不中断;AP独有的BeamFlex、SmartCast等技术保证了WLAN使用者享有与有线使用者媲美的网络体

27、验。6)绿色环保网络。神州数码无线解决方案使用的无线产品,全部通过严格的RoHS测试;独有的天线技术保证了使用比其它厂商少的AP数量,达到更大的无线覆盖面积,更好的网络Qos,更可以减少90的电磁污染。第四章 无线产品特性推介4.1 智能天线技术AP的天线是由多根水平和垂直极化天线组成的智能天线矩阵系统,可以提供4095种天线模式,系统控制软件利用构建在802.1MAC层协议中的反馈机制不停的为每一个接受设备调整天线模式。通过为每一个接受设备选择一个优化的天线阵列,BeamFlex能够扩展无线覆盖围和更高的通讯速度。在具有多个房间和隔断(包括承重和非承重墙)的二层400多平米的居室里,能够提供

28、15-20M的稳定的数据流。这一技术将大大减少用户在热点地区AP的部署数量,节省用户的投资。4.2智能的QoS技术具有专利的SmartCast技术包括组播流量处理技术、智能QoS和基于“识别应用”的流量自动分类能力。SmartCast的智能模糊控制技术能够从所有流量中自动的识别和区分流量类型,自动的为不同类型流量标记服务类型。一个AP可以支持3-4个 并发MPEG-2 或12个10M HD视频流(距离20米,包括背景流量)4.3 抗干扰能力强智能天线系统通过检测射频和多径问题以及邻居网络噪声带来的干扰,能够实时重新自我配置和调整,使得AP在一个不断变化的环境中从多种不同质量的信号传输路径中立即

29、选择一个最优的传输路径。在办公楼中,由于AP众多,在每个频道都有多个AP,因此无法通过跳频来解决干扰问题,而又不想因为缩小功率而减少覆盖围,智能无线AP可以通过改变传输路径来避开干扰,保证数据的可靠传输。如下图,AP通过改变传输路径,避开手机的干扰。AP通过改变传输路径,将信号有效覆盖到承重墙后边的区域。4.4 用户密度高单个AP可以同时支持50(2942)或100(7942)个以上用户接入,是目前可支持用户最多的AP。单纯的覆盖围广在用户接入密度高的场合,实际上是个缺点。因为用户会发现他看到AP的信号良好,但却连接不上。会造成大量的投诉和降低用户的体验。4.5 安装部署简单方便新AP可以自动

30、发现AC或集中管理系统,自动更新软件版本和初始化配置。安装人员无需查看需要安装或更换的AP的版本、配置,无需现场调试和测试,插上电连上线, GO!。一个网络里版本的统一非常重要,版本不统一,设备工作状态就不一样,会对维护和管理造成相当的困扰。BeamFlex技术对AP的安装位置没有特殊的要求,可以安装在方便安装(如具有以太网接口的几乎任何地方)。这样不仅方便了安装,还节省了安装成本。另外,置的MESH技术可以扩展覆盖不方便布线的区域。4.6 网络性能可预测无线和有线的最大不同,在于其不确定性很大,而这点也是无线网络维护和运营的难点。BeamFlex智能天线技术和SmartCast技术使预测AP的性能成为可能。大大降低了维护和运营的成本,增加用户的体验。4.7 实时监视无线RF环境可以实时看到AP所处的无线频谱分布。非常有助于诊断解决一些间断出现的性能不稳定问题。第五章 涉及产品介绍5.1 DigiZoneFlex智能无线接入点 - DCWL-ZF

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1