校园无线网络设计方案Word格式.docx

1、 因此无线校园网在高校中的作用就显得更为突出!将无线网络的技术引入校园网! 实现校园 教室 会议室图书馆 学生宿舍等率先覆盖无线网络! 组建灵活 方便高效的无线局域网也是教育发展的大势所趋# 然而校园网规模的不断扩大! 资源不断增加! 高数据库高访问率对无线校园网的网络设备要求也越来越高。 校园网安全问题也普遍存在! 黑客、 病毒、恶意攻击等时刻威胁着校园网的安全1.2需求分析1.2.1建设背景在信息迅猛发展的今天，国内所有高校均实现了有线校园的建设。但随着教学设施的完善，越来越多的便携式计算机终端被带进了教室，越来越多的学生也开始拥有了带有无线网卡的计算机终端。教师和学生对高校校园网的依赖性

2、相当之高，“随时随地获取信息”已成为广大师生们的新需求。但是，传统的有线校园网存在着诸多“网络盲点”，比如在图书馆、食堂等许多不宜网络布线的场馆设施如何联网？在教室、实验室等场合如何突破网络节点限制、实现多人同时上网的问题？这就需要我们在现有网络的基础上充分扩展和利用无线网络来解决。1.2.2总体建设目标利用无线网络技术进一步扩展校园网的覆盖范围，使全校师生能够随时随地、方便高效地使用校园网络；促进教学和科研发展，进一步拓展应用空间；提升校园网络环境，提高管理水平和效率，推动学校信息化建设；要覆盖部分原来没有有线网的空间，诸如：食堂、礼堂、教室；由于本工程是在校园有线网的基础上加以无线扩充（即

3、采用无线路由器将无线网络接入到有线网络）。1.2.3具体实施目标侧重实际应用，覆盖校园内大部分区域，为教学和学习生活提供切实可用的无线网络环境；采取通行的网络协议标准：目前无线局域网普遍采用802.11系列标准，因此校园无线局域网将主要支持802.11g（54M带宽）标准以提供可供实际应用的相对稳定的网络通讯服务，同时兼顾多种类型应用和将来的投资保护，需要同时支持801.11a，802.11b，实现双频三模技术。但是为了长远利益着想我们的无线设备将采用支持802.11n标准（300M带宽）的设备为以后的升级预留空间。全面的无线网络支撑系统（包括无线网管、无线安全等），以避免无线设备及软件之间的

4、不兼容性或网络管理的混乱而导致的问题；保证网络访问的安全性；采用非独立型的无线网络结构选型（即：有线无线结合）。A、覆盖范围要求有线网络无法接入的室外场所：校园内一些场所很难实现网络有线接入，采用无线方式可以实现覆盖大范围室外空间的无线网络接入。本次建设主要包括图书馆前后空地（学生室外学习的主要地方）。有线网络使用不便或受限的室内空间：校园内一些室内场所空间较大，会产生许多人同时接入网络的需求，采用有线的方式只能提供少量接口，不能满足要求。用无线网络覆盖来解决相当数量的移动设备同时访问网络的问题。主要包括礼堂、图书馆、办公楼、实验楼、各教学楼等。B、安全、认证、和管理要求实现针对用户管理、认证

5、、控制功能；C、校园无线网网络结构要求无线接入所需布设的无线路由器通过校园网的汇聚层设备接入到校园网中，在汇聚层都提供相应的接口给无线网。D、工程布线和安装要求室内部分：定好较为开阔位置，将网线走暗线铺设到位，无线路由器可利用设备本身自带的安装附件进行安装；如果需要遮蔽，则需要定制非金属安装盒；如果是挂在天花板上，则根据天花板的情况而定，若天花板是非金属结构，可以固定在天花板内。安装过程中应充分考虑防盗问题。室外部分：根据设备位置有两种布线方式。如果无线路由器设备放置在楼顶，则需要走网线和电源线；如果无线路由器设备放置在室内，天线放置在室外，则需要走天线馈线。这两种方式馈线都需走铁管，贴防水胶

6、方式处理，安装过程中应充分考虑防盗。供电部分：无线路由器的供电可采用POE方式由接入的网络设备进行供电（无需本地供电）。E、产品能力要求产品支持AES、WEP加密等安全标准、漫游切换、支撑QOS能力1.3校园无线网在教育中的发展与应用1.3.1教学网络通过校园无线网络覆盖机房、多媒体教室等。为广大师生提供了一个更为有效的网络互动平台，加强了学习生活的交流，同时为学生在教室内的自习提供一个方便的查询资料的网络环境。1.3.2图书馆网络通过无线校园网覆盖整个图书馆内所有的区域，教师和学生可以很方便地利用无线网络查阅到网络上的相关资料和浏览数字图书。1.3.3行政办公网络通过无线校园网覆盖学校的各系

7、、院办公楼和行政办公区，通过对办公区域提供无线网络，提高了各职能部门的效率，满足了教职员工的在线查询能力，大大提高了各职能部门的服务质量。1.3.4教工、学生宿舍网络在教工宿舍和学生宿舍提供了无线局域网无线覆盖，满足了教工和学生临时上网的要求。1.3.5无线应急网络在出现需要突发性大规模网络服务要求的场合，提供临时性的无线网络服务，满足用户对网络的需求。校园信息化建设一直是高质量、高效率教学办公的保障，随着802.11g无线局域网技术和无线产品的成熟，无线网络的应用将会为网络化学习、教学开创新的应用模式； 利用无线网络实现校内信息的发布、共享、传递，推进教学及管理信息化，拓展学生的知识面。而有

8、线网络只能提供师生们固定的、有限的网络信息点，随着时代的进步，笔记本电脑的普及，师生们希望不仅仅是在实验室才能将他们的计算机连上网络，而在校园的草坪上、宿舍区、图书馆等任何一个角落都能将他们的笔记本电脑随时随地、随心所欲的联入校园网或Internet、不愿再受有线的束缚。WLAN技术的出现，学校采用无线组建校园网，学生们不仅可以在宿舍和实验室固定的地方上网 ，还可以在课堂上、图书馆等许多地方很方便的接入，甚至根据自己的合理时间安排，在学校宽阔空旷的花园草坪上上网查阅学习资料。在考试前夕更可以减少机房、学校网吧等可以有线上网园区的压力，改进学校的学习环境，提高了学生的学习效率与成绩。所以，对于学

9、校来说，一方面教学的互动性增强了，另一方面，教学的信息量大大增加了；在课堂上，学生不再仅仅是被动的听者，也是互动教育的参与者，学生可以用自己的资料来参与教学，同时这些数据可随时共享，在课堂上现场做演示，并允许老师和同学们共享文件。回到宿舍，学生也不再为找网络接口而发愁，躺在宿舍的床上既可用笔记本无线上网，享受最前沿科技带来的便捷和乐趣，周末期间可在多个宿舍之间自由共享文件进行学习探讨、学术交流、音乐视频点播等自由娱乐。二、校园无线网的设计方案2.1概述WLAN（Wireless Local Area Network，无线局域网）是通信行业的一个时髦词语，而且可以肯定它是一种人人都想使用的技术。

10、WLAN 变得如此流行的原因是易于安装和使用。通过WLAN 系统，用户无须考虑复杂的线路连接和布置问题。可是WLAN系统也不是完全的“无线”，因为只有客户端是可移动的，而服务器或者说接入设备是固定的。使用 WLAN 解决方案，网络服务商和企业能给他们的客户提供无线局域网服务，这些服务包括：使用带有 WLAN 功能的设备组建一个无线网络。这个网络可以成为接入固网或者Internet 的入口。配置了无线PCI 网卡的客户端可以与无线网络建立连接并访问固网或Internet。WLAN 客户端与传统的802.3 局域网的互连。通过不同的加密和认证方式实现安全的访问。WLAN 功能使用户能够安全的访问网

11、络并且能在同一移动区域内进行快速漫游。2.2 WLAN 的工作机制WLAN 由以下几个部分组成：Client（客户端）：带有无线网卡的便携机。Access Point（无线路由器，接入点）：执行桥接操作的设备，在客户端（Client）和局域网（LAN）之间对无线帧和有线帧进行相互转换。Access Controller（AC，无线控制管理器）：对WLAN 内所有无线路由器 进行管理和控制的设备，通过与认证服务器的通信来进行信息过滤。Wireless Medium（无线媒介）：用于客户端间进行帧传输的媒介。在WLAN系统里使用无线电频率做为媒介。2.3硬件设备的选购2.3.1核心交换机的选购H3

12、C S9512主要参数交换机类型路由交换机应用层级三层传输速率10Mbps/100Mbps/1000Mbps网络标准IEEE 802.1P、IEEE 802.1Q、IEEE 802.1d、IEEE 802.1w、IEEE 802.1s、IEEE 802.1ad、IEEE 802.3x、IEEE 802.3ad、IEEE 802.3、IEEE 802.3u、IEEE 802.3z、IEEE 802.3ab、IEEE 802.3ae、IEEE 802.3af接口介质10Base-T、100Base-T、1000BASE-X、1000BaseT背板带宽1.8Tbps支持VLAN支持、QOS支持、网管

13、支持2.3.2 POE交换机的选购H3C S5500-28C-PWR-EI10Mbps/100Mbps/1000Mbps/10000Mbps端口数量28192Gbps包转发率95.2Mpps网管功能支持命令行接口（CLI）,Telnet,Console口进行配置支持SNMPv1/v2/v3，WEB网管其他技术参数支持:以太网供电PoE2.3.3光纤收发器的选购NCC GE-1000S-B13（15）基本规格：设备类型：光纤收发器接口类型：10/100/1000M,单纤单模SC网络：符合协议标准：IEEE802.3、IEEE802.3u、IEEE802.3ab、IEEE802.3z、IEEE80

14、2.3x传输速率：10/100/1000Mbps最大传输距离：20000米注：以上设备的样图、详细信息和报价均来自中关村在线网站。2.3.4服务器的选购IBM System x3850 X5（7145N09）基本类别产品类型企业级产品类别机架式处理器CPU类型Xeon X7550 CPU频率：2000MHz 三级缓存：18M CUP核心：8核处理器描述标配2个Xeon X7550处理器 最大支持4个处理器内存内存类型DDR3 16GB最大内存容量1TB存储硬盘大小4*146GB 最大支持8个热插拔硬盘网络网络控制器两个千兆以太网卡软件系统系统支持Microsoft Windows Server

15、 2008（Standard、Enterprise 和 Data Center Edition、32位和 64位）、32位和 64位Red Hat Enterprise LinuxSUSE Enterprise Linux（Server 和 Advanced Server）VMware ESX Server/ESXi 4.02.3.5无线路由器的选购TP-LINK TL-WR1043N主要性能IEEE 802.11n、IEEE 802.11g、IEEE 802.11b、IEEE 802.3、IEEE 802.3u、IEEE 802.3ab最高传输速率300Mbps频率范围2.4-2.4835G

16、Hz信道数13网络协议CSMA/CA、CSMA/CD、TCP/IP、DHCP、ICMP、NAT、PPPoE灵敏度270M:-68dBm10% PER、130M:-68dBm10% PER、108M:-68dBm10% PER、54M:-68dBm10% PER、11M:-85dBm8% PER、6M:-88dBm10% PER、1M:-90dBm8% PER网络接口1个WAN口、4个LAN口网络功能安全性能提供64/128/152位WEP加密,支持WPA/WPA2、WPA-PSK/WPA2-PSK安全机制网络管理全中文WEB管理界面,支持免费WEB软件升级2.4校园无线网设计分析2.4.1设计

17、原则无线局域网的主要指标决定了设计无线局域网的原则是以数目尽可能少的无线路由器来为所有网络用户提供服务。用户相对疏散区域只需要布置少数无线路由器即可，以无线路由器覆盖范围最大为宜：用户相对密集区域需要通过增加单位面积内无线路由器数目来为用户提供可靠服务。前者主要考虑覆盖范围这一因素，后者则主要考虑单位面积系统容量这一因素。设计原则：无线覆盖设计将遵循按照信号范围最大化原则，在全校全面覆盖的前提下，重点选择部分区域进行更加细腻的覆盖。并且，保证无线网络稳定性并与绝大多数主流无线网卡兼容，同时兼顾考虑网络扩容，为今后网络扩容做好预留。 一般来讲室内容许最大覆盖距离为35100米，室外容许最大距离1

18、00400米； 障碍物阻挡； 要观测无线覆盖周围的障碍物确定无线路由器的数量和放置位置。2.4G电磁波对于各种建筑材质的穿透损耗的经验值如下：A. 水泥墙（1525cm）: 衰减1012dBB. 木板墙（510cm）: 衰减56dBC. 玻璃窗（35cm）: 衰减57dB各种建筑材料对无线讯号的影响如下：当无线路由器与终端隔一座水泥墙时，无线路由器的可传送覆盖距离约剩下 5米有效距离。当无线路由器与终端中间隔一座木板墙时， 无线路由器 的传送距离约剩下 15米有效距离。当无线路由器与终端中间隔一座玻璃墙时， 无线路由器 的传送距离约剩下 15米 有效距离。所以在安装选点时，一定要注意以避开墙、

19、柱子等。2.5设计方案 2.5.1主要拓朴图2.5.2校园无线网络的三种典型应用及解决方案第一：户外公共区域的覆盖；第二：局部开放的室内大环境，如大型公共教室、大礼堂、阅览室等无线覆盖； 第三：房间多、用户分散的楼宇（教学楼、办公楼、宿舍区等）的无线覆盖。A、室外区域无线覆盖方案学校体育场、图书馆前后空地是学生课外学习较为集中的区域，也是学校最为需要实现无线覆盖的室外公共区域。根据需覆盖的室外区域的实际情况，设计建立多个无线覆盖点，采用重叠交叉无线漫游的覆盖方式，即可成功实现设计要求和目标。具体的实施如下：要实现无线漫游，就需要将多个无线路由器的信号覆盖范围相互重叠一小部分，不过要想漫游成功，

20、还需要对各个无线路由器进行适当的设置。首先需要登录进无线路由器的参数设置界面，在其中找到SSID设置选项，然后将所有无线路由器的SSID名称设置成相同，这样才能确保漫游用户在同一网络中漫游；接着还要修改每一个无线路由器的IP地址，让所有无线路由器的IP地址属于同一网段之中；还需要修改信号互相覆盖的无线路由器的频道。考虑到相邻的两个无线路由器之间有信号重叠区域，为保证这部分区域所使用的信号频道不能互相覆盖，具体地说信号互相覆盖的无线路由器必须使用不同的频道，否则很容易造成各个无线路由器之间的信号相互产生干扰，从而导致无线网络的整体性能下降。目前一个无线路由器可以使用的频道总共有11个，其中只有1

21、、6、11这三个频道是完全不被覆盖的，因此你可以将相邻的无线路由器设置成使用这些频道，来确保无线漫游成功。B、室内区域无线覆盖方案一室内覆盖区域的大小和建筑结构的复杂程度往往差别很大，需要根据具体需求，设计多种室内覆盖解决方案。一般来讲，针对局部开发的室内大环境，如图书阅览室、礼堂、体育馆、大教室等，网络用户数量较多而集中，采用多个多个无线路由器整合交叉覆盖形成大面积覆盖区域，每个无线路由器都独立接到交换机上，以保证有更高的带宽。C、室内区域无线覆盖方案二针对办公楼、教学楼、宿舍等结构较为复杂的室内区域，可根据建筑结构具体情况，选用以下两种方案：方案一：采用多个无线路由器整合交叉覆盖形成大面积

22、覆盖区域，每个无线路由器都独立接到交换机上，以保证有更高的带宽。方案二：采用室外覆盖方式，选用室外无线路由器，通过天线聚集无线信号，使无线覆盖范围更大、更远，穿透能力更强。设备与天线安置于楼宇顶部，以无线信号向下整体覆盖楼宇。D、机房无线覆盖方案机房内容量和布置相对固定，一般不会有太大变动，可以采用传统的以太网。如有必要可以将无线局域网作为有线网络的扩展，以达到增加机房容量的效果。 三、安全防范3.1概述移动互联网的快速发展和智能移动终端的快速普及，师生用户对校园内无线覆盖的需求越来越强烈。校园无线网建设程度逐渐成为衡量高校信息化发展的一个重要指标，高校纷纷建设大规模无线校园网。由于无线网信号

23、是在开放空间传输， Wi-Fi协议在安全性上又不同于有线网络，容易遭受黑客的攻击，通过无线传输的信息容易受到攻击者窃取和篡改。在高校校园内，学生在网络上的活跃程度和好奇心都非常强，网络攻击行为时有发生。因此，高校无线校园网络安全有其自身的特点，在建设和运维无线校园网络时需要充分考虑其安全性，以保障无线网络可靠稳定运行。3.2无线局域网的安全认证在无线客户端和无线无线路由器交换数据之前，它们之间必须先进行一次对话。在802.llb标准制定时，IEEE在其中加入了一项功能：当无线客户端和无线无线路由器对话后，就立即开始认证工作，在通过认证之前，设备无法进行其他关键通信。这种认证方式有两种：开放认证

24、和共享密钥认证。3.2.1开放认证开放认证方法是802.nb标准中默认的认证方式，在明文状态下进行认证，认证过程如图所示：客户端向无线路由器发送认证请求，无线路由器确认认证，注册客户端；客户端发送连接请求给无线路由器，无线路由器确认请求，注册客户端。通常无线路由器的开放认证有三种策略：第一种策略为默认方式，允许任何客户端认证；第二种是只允许认证带有合法服务器标识ID（实际为SSID）的客户端，SSID相当于密码的作用;第三种是无线路由器只允许认证MAC地址在无线路由器的访问控制列表中的客户端。3.2.2共享密钥认证共享密钥认证是基于WEP共享密钥的认证方法，前提是客户端和无线路由器中己经预先手

25、动设置好了共享密钥，共享密钥认证与开放认证相似，只不过它使用WEP对认证过程进行加密，因而其安全性要高于开放认证。3.3安全运维管理 尽管无线网络相关安全技术和设备已有较快发展，但由于系统开销和性价比原因，在无线校园网络建设时很难采用非常复杂的安全技术和过多的安全设备。因此，后期的安全运维管理是保障无线校园网稳定运行的重要手段。无线校园网安全运维管理可分为流程定义、运行监控、事件分析安全响应四个环节。1. 流程定义环节：根据学校安全应急等级制度以及校园网安全管理制度，预定义无线校园网安事件等级和安全响应流程，明确各类安全事件的响应步骤及相关责任岗位，定期进行安全预演。2. 运行监控环节：建立无

26、线校园网运行监控系统，通过网络运行监控中心对无线网络控制器、交换机、AP 等设备的运行状态以及安全设备告警日志进行实时采集和定期查看，生成安全报表。3. 事件分析环节：管理员对监控中心发现的异常告警进行分析，对监控系统收集的运行数据进行分类梳理，对海量日志信息进行过滤和审计，评估安全风险。4. 安全响应环节：针对已发生的安全事件，根据预定义的流程及时响应处理并保存日志备查，同时修复漏洞；对潜在的安全威胁，提出解决方案并组织实施。3.4无线安全问题及对应策略 无线校园网络面临的主要安全问题有：1. 侦测攻击：通过窃听、伪造等方式针对系统或服务弱点进行XX的查询和访问。2. 非法 AP 欺骗：通过

27、使正常用户接入未授权的 AP，以获取正常用户的认证和数据信息。3.ARP 病毒：很多校园网内 ARP 病毒泛滥，无线校园网由于共享带宽机制，更易受到 ARP 病毒影响。4.DoS 攻击：通过发起大量服务请求来占用过多服务资源，从而使合法用户无法得到正常服务。针对无线校园网的特点及安全问题，可在网络不同层次采取多种安全策略，如图 1 所示，主要措施有：1. 建立完善的无线用户认证和授权系统，支持 802.1X 认证、MAC 地址认证、Portal 认证、PPPoE 和 WAPI 认证等多种方式，用户通过身份认证后可动态授权VLAN 和 ACL，对用户的策略可以事先设定好。无线用户经认证系统认证后

28、，无线控制器应对用户进行标识并绑定，并分配带宽等属性。可以防止 IP 地址欺骗、带宽滥用、DHCP 服务器被攻击等问题。2. 提供基于 AP 位置的用户接入控制，出于安全性或计费等的考虑 , 要求无线控制器支持基于 AP 的用户接入控制。当无线用户接入网络时，可以通过认证服务器向 AC 下发允许用户接入的 AP 列表，在无线校园网络安全与应对策略图 1 无线校园网安全策略示意无线网 建设与管理42中国教育网络 2014.5AC 上进行接入控制，从而达到限制无线用户只能接入到指定位置 AP 的目的。3. 采取无线用户隔离措施，用户隔离包括同 AP 下用户的隔离以及不同 AP 下用户的隔离。AP

29、内部采用 MAC 互访控制原理隔离用户，保证同 AP 下用户只能与上联端口进行通讯；AP 之间采用 MAC 地址访问控制或组网汇聚设备二层技术（如VLAN、PVLAN、PVC）进行隔离，保证不同 AP 下用户不能直接相通。所有用户只有通过 AC 认证后才能进行三层受控互通。4. 通过数据加密防止用户数据被非法窃取，用户数据的加密包括无线链路层和网络层的加密。5. 部署无线入侵检测 / 防御 （WIDS/WIPS），非法设备的告警和攻击防护功能使得无线控制器可以自动监测 WLAN 网络中的非法设备 （ 如 Rouge AP，或者 Ad Hoc 无线终端 ），并实时上报网管中心，同时对非法设备的攻击可以进行自动防护，最大程度地保护无线网络。安全运维管理尽管无线网络相关安全技术和设备已有较快发展，但由于系统开销和性价比原因，在无线校园网络建设时很难采用非常复杂的安全技术和过多的安全设备。四、结束语通过两个星期的课程设计，我对无线局域网、无线路由器、以及无线设备以安全防范等系列知识都有了一定的了解。高校无线校园网组建不再受到有线传输介质布线的限制!接口数量大! 灵活方便! 师生可以随时随地上