1、 高校無線網絡平臺建設方案目 錄 TOC o 1-4 h z u HYPERLINK l _Toc8982811 第一章 高校無線需求 PAGEREF _Toc8982811 h 4 HYPERLINK l _Toc8982812 1.1背景介紹 PAGEREF _Toc8982812 h 4 HYPERLINK l _Toc8982813 1.2無線需求 PAGEREF _Toc8982813 h 4 HYPERLINK l _Toc8982814 第二章 高校無線網絡的應用需求 PAGEREF _Toc8982814 h 11 HYPERLINK l _Toc8982815 2.1應用需求

2、概述 PAGEREF _Toc8982815 h 11 HYPERLINK l _Toc8982816 2.2基礎網絡接入需求 PAGEREF _Toc8982816 h 13 HYPERLINK l _Toc8982817 2.3無線校園網絡應用需求 PAGEREF _Toc8982817 h 14 HYPERLINK l _Toc8982818 2.4滿足校園特點的安全和可靠性 PAGEREF _Toc8982818 h 16 HYPERLINK l _Toc8982819 2.5高性能的 IPv6和 IPv4無線接入 PAGEREF _Toc8982819 h 16 HYPERLINK

3、l _Toc8982820 2.6滿足生產、運營網絡要求的運維和管理 PAGEREF _Toc8982820 h 17 HYPERLINK l _Toc8982821 2.7多SSID承載多個業務網絡 PAGEREF _Toc8982821 h 17 HYPERLINK l _Toc8982822 第三章 無線網絡系統設計綜述 PAGEREF _Toc8982822 h 17 HYPERLINK l _Toc8982823 3.1無線網絡的設計標準 PAGEREF _Toc8982823 h 17 HYPERLINK l _Toc8982824 3.2無線校園網設計原則 PAGEREF _To

4、c8982824 h 19 HYPERLINK l _Toc8982825 3.3無線校園網設計綜述 PAGEREF _Toc8982825 h 24 HYPERLINK l _Toc8982826 3.4無線網覆蓋區域描述： PAGEREF _Toc8982826 h 25 HYPERLINK l _Toc8982827 3.5無線網物理架構設計 PAGEREF _Toc8982827 h 26 HYPERLINK l _Toc8982828 3.6無線網邏輯架構設計： PAGEREF _Toc8982828 h 27 HYPERLINK l _Toc8982829 3.7 AP的部署方案

5、PAGEREF _Toc8982829 h 28 HYPERLINK l _Toc8982830 3.8安全規劃 PAGEREF _Toc8982830 h 34 HYPERLINK l _Toc8982831 3.9接入點規劃 PAGEREF _Toc8982831 h 50 HYPERLINK l _Toc8982832 3.10部分無線參數設計 PAGEREF _Toc8982832 h 52 HYPERLINK l _Toc8982833 3.11投標產品清單 PAGEREF _Toc8982833 h 62 HYPERLINK l _Toc8982834 第四章 解決方案的技術特點

6、PAGEREF _Toc8982834 h 65 HYPERLINK l _Toc8982835 4.1WLAN面臨的主要挑戰 PAGEREF _Toc8982835 h 65 HYPERLINK l _Toc8982836 4.2Meru特點之虛擬蜂窩 PAGEREF _Toc8982836 h 69 HYPERLINK l _Toc8982837 4.3Meru特點之無縫漫游 PAGEREF _Toc8982837 h 69 HYPERLINK l _Toc8982838 4.4Meru特點之單頻部署架構 PAGEREF _Toc8982838 h 70 HYPERLINK l _Toc8

7、982839 4.5Meru特點之Air Traffic Control（空氣流量控制） PAGEREF _Toc8982839 h 71 HYPERLINK l _Toc8982840 4.6Meru特點之Over-the-air QoS PAGEREF _Toc8982840 h 71 HYPERLINK l _Toc8982841 4.7Meru特點之802.11n最優性能 PAGEREF _Toc8982841 h 72 HYPERLINK l _Toc8982842 4.8Meru特點之負載均衡 PAGEREF _Toc8982842 h 73 HYPERLINK l _Toc898

8、2843 4.9Meru特點之RF安全 PAGEREF _Toc8982843 h 73 HYPERLINK l _Toc8982844 4.10Meru特點之Air Time Fairness時間片均分技術 PAGEREF _Toc8982844 h 73 HYPERLINK l _Toc8982845 第五章 Meru投標產品介紹 PAGEREF _Toc8982845 h 89 HYPERLINK l _Toc8982846 5.1投標產品AP（無線接入點）介紹 PAGEREF _Toc8982846 h 89 HYPERLINK l _Toc8982847 5.2投標產品無線控制器（C

9、ontroller）介紹 PAGEREF _Toc8982847 h 91 HYPERLINK l _Toc8982848 5.3投標產品Meru E(z)RF網絡管理平臺 PAGEREF _Toc8982848 h 94 HYPERLINK l _Toc8982849 5.4投標產品交換機產品介紹 PAGEREF _Toc8982849 h 101 HYPERLINK l _Toc8982850 第六章 售后服務 PAGEREF _Toc8982850 h 110 HYPERLINK l _Toc8982851 6.1Meru售后服務體系介紹 PAGEREF _Toc8982851 h 11

10、0 HYPERLINK l _Toc8982852 6.2Meru技術培訓計劃 PAGEREF _Toc8982852 h 117 HYPERLINK l _Toc8982853 第七章 Meru市場地位和高校案例 PAGEREF _Toc8982853 h 122 HYPERLINK l _Toc8982854 7.1費城學區（實施時間：2006-2010） PAGEREF _Toc8982854 h 123 HYPERLINK l _Toc8982855 7.2邁阿密大學（實施時間：2005-2010） PAGEREF _Toc8982855 h 124 HYPERLINK l _Toc8

11、982856 7.3伊利諾伊大學（實施時間：2008） PAGEREF _Toc8982856 h 126 HYPERLINK l _Toc8982857 7.4密歇根大學（實施時間：2008-2009） PAGEREF _Toc8982857 h 127 HYPERLINK l _Toc8982858 7.5坦普爾大學（實施時間：2008-2010） PAGEREF _Toc8982858 h 129 HYPERLINK l _Toc8982859 7.6北京師范大學（實施時間：2011年3月） PAGEREF _Toc8982859 h 130 HYPERLINK l _Toc898286

12、0 7.7 南京大學（實施時間：2011年8月） PAGEREF _Toc8982860 h 131 HYPERLINK l _Toc8982861 7.8 中國石油大學（北京）（實施時間：2012年3月） PAGEREF _Toc8982861 h 132第一章 高校無線需求背景介紹XX大學是工業與信息化部直屬重點綜合性大學，是國家“985工程 ”和“211工程 ”重點建設高校，多年來教育信息化工作一直是學校發展的重點之一。高校有線校園網在網絡中心的建設和規劃下，已經取得了非常矚目的成績，成為區域甚至是國內高校信息化建設的樣板之一。學校非常注重現代化的校園網絡建設，已部署了包含辦公、教學、科

13、研、圖書館、體育場館、師生宿舍在內的完善的有線網絡，然而有線網絡只能提供用戶固定的、有限的網絡信息點，隨著校園的信息化發展與筆記本電腦的普及，學校的師生們不在滿足于只有有線網絡的情況下才能訪問網絡，而是需要隨時隨處地獲取網絡提供的各種資源。因此，高校在完成了國家CNGI的“IPv6技術升級子項目”部分建設的同時，將高校大學的全網無線建設也列入了該項目的一部分。不久的將來，高校大學校園網將成為一個面向網絡化、信息化、移動化、智能化、同時具備多媒體綜合業務的運營級網絡。無線需求無線網絡體系結構方面的要求總體要求無線網絡采用集中控制器、POE交換機和AP的三層劃分，由無線集中控制器統一配置、管理各類

14、AP。支持在無線網絡中配置針對無線入侵、網絡攻擊、病毒等的檢測、防范策略。集中控制器集中控制器按照N+1的備份配置以保證無線網絡的高可靠性，實現關鍵設備的冗余與故障熱備，實現集中的安全、QoS策略。控制器應具有集中的自動無線資源管理能力，包括根據實際的無線環境實時調整無線信道、無線發射功率等, 在控制層面對無線特性（如功率的協商、多媒體準入控制能力、多媒體包的轉發機制等）具備控制能力，提供完善的QOS機制。瘦AP可以在2.4G和5.8G頻段同時部署AP，采用MIMO或分集技術天線，支持外接天線或內置天線，支持數據包二層轉發模式，即AP本地轉發，而不通過控制器轉發。對人員密集區域、環境復雜區域采

15、用支持雙頻三模和802.11n技術的AP進行高帶寬、高可靠性、高接入能力的部署，并通過獨立的網管軟件對所有AP實現統一網管。有線接入架構 在無線網絡密集接入區域，無線網絡應單獨組網，通過POE交換機接入校園網匯聚和核心設備。在只配置少量無線AP的區域，無線AP可通過單獨的供電模塊接入當地的有線網絡。認證計費要求支持Radius等多種認證計費協議。Ipv6：集中控制器、POE交換機應硬件支持IPv6協議，AP支持ipv6二層透傳。無線網絡產品要求無線控制器：a, 當網絡出現故障時或任何一個控制器不能正常提供服務時，能進行快速切換，且控制器支持對AP實現負載均衡；b, 硬件支持802.11n；c,

16、 支持無線終端跨IP子網的快速無縫漫游，良好支持語音業務/實時多媒體業務，并保持全網漫游身份的唯一性；d, 支持對所有AP(a/b/g/n)進行統一管理， AP零配置上線；e, 支持并具備組播服務功能；f, 支持不同SSID映射不同QOS策略，支持802.1P、802.1Q, 支持單一SSID映射到多個VLAN的功能, 支持根據各種不同的應用類型或認證方式分配不同的QoS策略；g, 支持無線IPS/IDS能力, 支持非法AP、非法客戶端的發現、抑制功能；h, 支持WEP、WPA、WPA2、AES、TKIP加密協議, 支持IPSEC,L2TP透傳；i , 支持萬兆；無線接入點：a, 支持內置或外

17、置雙頻天線；b, 支持802.3af 標準POE供電；c，支持WEP,WPA,WPA2,AES,TKIP加密協議，802.11I,802.11E,WMM；d，支持節電模式；f，支持二層隔離功能；g，支持語音呼叫準入控制CAC功能；h，支持二、三層漫游，并保持客戶端應用不中斷；i, 無線AP的發射功率低于100毫瓦。無線網管軟件 a, 支持自動化的無線局域網信號覆蓋和容量規劃b, 支持對無線AP和無線交換機進行集中監控和網絡管理 c, 支持射頻掃描d, 支持射頻干擾源的檢測設計建設無線網工程技術方面的要求無線網絡設計前需進行現場勘查與仿真設計，并出具相應的部署和信號場強與接入速率模擬分布圖紙（同

18、時提供二維平面與三維空間分布圖）、AP與管纜施工安裝圖等相關圖紙。在2.4G和5.8G頻段同時部署AP，采用MIMO或分集技術天線，為保證用戶接入無線網絡的良好的性能，采用并部署支持802.11N標準的AP，兼容802.11a/b/g，并支持5.8G高速802.11N接入，在2.4G頻段部分限制802.11b和低速率接入，并針對用戶接入情況進行網絡優化。針對高校無線網用戶在校區內的分布情況、用戶上網設備的高度普及及上網行為的特點，必須考慮到部分區域內用戶高密度接入的要求；針對高校各校區內的地形與建筑結構以及裝修的特點，尤其是對復雜物理環境的覆蓋，應解決好信號屏蔽、干擾和隱蔽信息點的問題，保證用

19、戶終端穩定持續的連接；針對當前大量的個人數字終端設備移動化上網，以及要求校園全網對移動多媒體、無線定位等業務的良好支持，必須考慮到無線AP的合理分布與最佳覆蓋；規劃覆蓋范圍本項目需要對理工大學中關村校區(本部)和良鄉校區的總共七座教學樓宇進行無線網室內區域覆蓋、同時還包括部分樓宇的室外覆蓋。具體信息參見下表：中關村校區需覆蓋包括：信息教學樓（8號教學樓）教學區、研究生教學樓全樓、圖書館非辦公區域。良鄉校區包括：一號教學樓、二號教學樓、行政樓全樓及樓前廣場、圖書館四層計算中心機房。 校區名稱覆蓋區域覆蓋區域類型中關村校區信息教學樓（8號教學樓）教學區域室內覆蓋研究生教學樓全樓室內覆蓋圖書館非辦公

20、區域室內覆蓋室外覆蓋良鄉校區一號教學樓室內覆蓋室外覆蓋二號教學樓室內覆蓋室外覆蓋行政樓全樓室內覆蓋室外覆蓋圖書館四層計算中心機房室內覆蓋無線覆蓋區域的分類A類區域：固定工作人員為主，業務量較大的區域，如普通教室，辦公場所，部分其他室內公共區域；B類區域：固定工作人員高密集，并發業務量大的區域，如固定大教室、會場等。C類區域：指空間結構與平面布局復雜，裝修裝飾用材料對電磁場傳播影響較大的區域，如：圖書館、體育館部分，D類區域：人員流動比較頻繁的區域，如：部分餐廳，超市E類區域：重大活動或突發人員聚集的場所，需要提供可應急保障覆蓋措施（室外臨時活動場所，新生入學注冊，室外運動場，食堂體育館等）上述

21、五類區域內的用戶密度、上網行為各有其特點，無線網覆蓋時必須針對其特點有針對性設計出相應的對策，以取得最佳的覆蓋效果。無線網覆蓋指標的分級高密度接入要求（級）：要求滿足在線用戶數不低于座位數的70%，并發傳輸每用戶速率不低于1Mbps；在線用戶數小于座位數70%時，其并發傳輸每用戶傳輸速率應相應上升；較高密度接入要求（級）：要求滿足在線用戶數不低于座位數的60%，并發傳輸每用戶速率不低于1 Mbps；在線用戶數小于座位數60%時，其并發傳輸每用戶傳輸速率應相應上升；正常接入要求（級）：要求滿足在線用戶數不低于座位數50%，并發傳輸每用戶速率不低于2 Mbps；在線用戶數小于座位數50%時，其并發

22、傳輸每用戶傳輸速率應相應上升；移動方式的接入要求（級）：固定在線用戶數不確定，以流動人員為主的區域，并發傳輸每用戶接入速率不低于2 Mbps；應急覆蓋的接入要求（級）：以短時間內有大量接入人員為主，出現大量業務流量。并發傳輸每用戶接入速率不低于1 Mbps；為使全網能夠提供優質的移動實時多媒體及無線定位服務，上述五種接入要求的區域應做到無縫覆蓋，覆蓋場強不小于-70dbm，需要保證無線覆蓋區域內95%以上的位置無線信號強度大于-70dbm，語音單向時延小于150ms，抖動小于50ms，丟包率小于1，mos值大于3。應急覆蓋主要解決應急情況下大量迸發用戶的上網問題，實現應急措施后，其覆蓋區域的場

23、強、接入速度應達到或接近正常接入的要求。可支持無線上網的設備所有按照802.11a/b/g/n標準設計的有正式入網許可證的設備均可接入；支持筆記本、PDA、iphone、ipad；無線網支持的業務內容傳統的各類網上業務（瀏覽網頁、收發郵件、即時通信、網絡電話視頻等）；支持實時多媒體業務（實時wifi語音點對點通信、點對多點的通信；實時wifi視頻組播、視頻對講功能、視頻會議）。第二章 高校無線網絡的應用需求應用需求概述隨著IT大環境的變化，WLAN已經無處不在。我們來回看一下近幾年終端裝置的發展歷史，可以深刻的感受到無線網絡蓬勃發展的必然趨勢。2008年：筆記本電腦的出貨量超過臺式機，且99%

24、以上內置WLAN網卡2009年：IEEE 802.11n 標準出臺，實現了54M到300M的速度跨越2010年：Apple推出了WiFi版iPad平板電腦，便攜式終端又添新軍2011年：Apple、Android、Microsoft三大系統大行其道，基于這些系統平板電腦和智能手機成為了最主流的數碼產品正式由于無線終端的迅猛發展，加上各種各樣的應用，使得生活、工作變得更加多元化。建設無線校園，已經是國內高校信息化發展的必經之路。然而，各高校在建設無線校園之前，都會考慮幾個關鍵的問題，同時也是他們的需求。這其中就包括無線網絡穩定性、安全性、擴展性、可管理性等多方面的要求。就無線網絡的使用場所來分析

25、，一般高校都會對于一些重點區域進行無線網絡覆蓋，包括教學樓、圖書館、行政辦公樓、體育館等。以下是目前高校對于無線覆蓋的幾個典型區域示意圖。目前，國內高校無線網絡日后將是多種無線應用共存的一個大規模無線網絡，所以勢必存在不同終端、不同用戶群、不同應用的網絡需求。高校的無線網絡用戶大致可區分為 4大類，分別為教職員工、學生、訪客、特殊終端（比如攝像頭、相機等）。基礎網絡接入需求 在教育信息化快速發展的今天，校園網已經成為校園生活的重要組成部分，是教職員工和學生獲取資源和信息的主要途徑。它將校園里的老師、學生與從事社交、學術、業務活動的行政人員緊密地聯系,在教育系統中具有重要的作用。隨著筆記本、上網

26、本、智能手機、平板電腦等移動終端種類的不斷增加，其靈活、便攜的特點，越來越強大的功能，以及不斷降低的成本，加速其在校園中的被使用率，從而對無線網絡在校園教學、學習、辦公、公共場所甚至虛擬社區中的普遍應用提出更高的要求。目前，越來越多的教師、學生渴望在教室、宿舍、實驗室、禮堂、圖書館和室外廣場等場地隨時隨地地接人互聯網或校園內網，及時地獲得所需的信息。以下為國內高校無線校園接入使用的一些典型場景：端口數量一般來說，有線局域網中在如教室、圖書館、會議室等人口密集的區域只能提供數量非常有限的信息點，隨著以后筆記本電腦的普及和現代化教學的普及，部分區域同一時刻可能會擁有大量的電腦，但現有的有線校園網沒

27、有辦法使學生們在這些區域上網。而采用無線方式，在端口上連接無線接入點，不需布線就可以輕松從-個端口擴展到成百上千個端口的應用。聯合辦公新生入校和畢業生離校最為典型。隨著檔案管理的電子化，此時需要多部門集中聯合辦公，傳統的方式是每次迎新都通過拉網線，接交換機的方式，非常耗費人力，而無線局域網技術能夠很好的解決這種多部門聯合辦公的突發需求，極大的簡化每年新生入校和畢業生離校的網絡部署工作量，提高學校信息化水平。臨時活動各種學術活動越來越多地在學校舉行。除此之外，學校每年也都會舉辦一些其他的活動，如運動會、人才交流活動等。由于這些應用的特殊性和靈活性，有線局域網將不能滿足校園網的需求。所以很有必要使

28、用無線局域網技術對原有的有線網絡進一步擴充，使校園的每個角落都處在網絡中，形成真正意義上的校園網戶外上網讓師生在戶外廣場、運動場等地方可以方便的接入校園網絡訪問資源。無線校園網絡應用需求隨著Internet應用的迅猛發展，筆記本電腦智能移動終端的日益普及和廣泛應用，使廣大師生的學習、工作和生活不再緊緊圍繞著辦公室、教室或宿舍。越來越多的校園網用戶會通過這些智能終端訪問各種各樣的校園網絡資源，可能是網頁瀏覽和郵件收發，可能是觀看在線的多媒體課件，也可能是查詢電子圖書館的各類電子文獻，還可能是用戶與用戶之間的協同與交流。并且與以往不同，由于這些智能終端具有無與倫比的便攜性，用戶對校園網絡資源的訪問

29、將不再具有空間和時間的限制，而會發生在任何時間、任何地點。校園用戶越來越要求盡可能方便、快速、移動式的使用網絡，無線校園的建設正駛向快車道。當前，各大高校的無線校園網絡上的通信流量主要還是以人為主，實現人與人之間的通信（如QQ、MSN、Skype等即時通信應用）和人與物之間的通信（如網頁瀏覽、在線視頻、郵件收發、FTP下載等），隨著將來物聯網技術在校園中的應用，還會出現更多的物與物之間的通信，實現用戶、網絡、設備三者之間的融合，并演化出各種各樣的無線應用。因此，基于無線的校園應用具有廣闊的需求愿景。基于移動終端的校園網訪問各種移動終端的普及使越來越多的用戶開始習慣于隨時隨地訪問校園網資源，其中

30、既包括教務、科研、人事、學籍、黨團、后勤管理等各種校內辦公子系統，也包括電子圖書館、教學資源庫等教學資源支持子系統，還包括教科網和互聯網上的各種資源。基于多媒體的在線電子課件通過移動終端訪問多媒體在線電子課件，可以使學校教學突破傳統學習模式，充分利用現有數字資源，為學員提供自助式培訓課程菜單。學員在課堂以外可以根據自己的培訓需求，通過無線網絡自由點播相關的教學錄像和教學課件，克服時間和空間限制，高精度地實時交互地傳送文字信息、圖像及音頻、視頻信號，為教育的網絡化、社會化和終身化提供了理想的支撐平臺。無線視頻監控保衛校園安全校園視頻監控系統的建設主要是為了預防、控制和減少校園犯罪，提高學校處置突

31、發事件的應急指揮能力，最大限度的減少意外事故給學校師生造成的影響和損失，切實保護師生的人身財產安全。由于無線校園網絡具有全覆蓋特性，因此可以使學校不需要復雜的網絡布線，實現校園視頻監控系統的快速部署和靈活調整。無線物聯網和綠色環保校園作為智慧校園的核心內容，無線物聯網為校園內各種設施和設備提供“最后一米”的網絡接入，真正實現物與物之間的通信。無線校園網一方面可以作為校園物聯網的主干通信通道，另一方面也可以通過自身提供各種具備Wi-Fi接口的設備接入，因此可以作為校園物聯網的“高速公路”，為校園物聯網的建設提供高性能的基礎通信平臺。通過基于無線校園網的物聯網，學校可以被打造成自動化的智慧校園，不

32、僅可以通過各種設施之間的通信和聯動，進一步提升校園安全功能，而且還可以對水、電設施的開關進行自動優化，節約水電開支，實現綠色環保校園的理想。滿足校園特點的安全和可靠性 目前高校校園無線網的目標是建設一個可收費的、可運營網絡，這樣的定位對可靠、安全、加密和非授權用戶的控制提出了更明確的要求： 支持精確的無線入侵、射頻干擾、非法 AP定位和隔離; 同時支持端到端的網絡可靠性保證技術。高性能的 IPv6和 IPv4無線接入 現在建設高校無線網絡，除了要考慮對現有 IPv4 網絡終端的無線接入，滿足當前高校師生對無線網絡的需求外，又要支持IPv6 的用戶接入，以適應網絡發展趨勢，并保護網絡投資。 滿足

33、生產、運營網絡要求的運維和管理 2.5.1 基于個人用戶的運營管理 無線網絡系統需要支持運營管理功能，能夠根據單個用戶實現用戶管理，包括：認證、計費、安全控制、QoS控制等。 2.5.2 滿足運營網絡要求的運維和管理 校園無線網絡規模大、環境復雜，因此無線網絡系統應該支持高效的運營網絡級的管理功能，方便未來無線網絡的運維管理。室內、室外、 Mesh系統一體化控制：有線、無線網絡管理相結合，集中與分布式管理相結合，為運營維護提供高效率和低成本。多SSID承載多個業務網絡國內高校無線網絡今后將承載多種不同類型、應用的業務，需要為不同業務開設不同SSID ，便于運營管理，學校需要開設多個SSID，分

34、別用于互聯網訪問、免費校內資源和教育網訪問、純IPv6網絡訪問。為在大學校園提供無線覆蓋的運營商開設SSID服務，實現教育網與運營商用戶在同一物理網上運行。第三章 無線網絡系統設計綜述3.1無線網絡的設計標準移動性WLAN的設計必須盡可能保證用戶在移動過程中，電波的傳送和接收穩定可靠，盡量確保客戶的應用在漫游時，不發生中斷。高性能無線網絡系統能夠適應今后高帶寬的要求，滿足日益增長的業務量需求，這些需求不但包括今后巨大的業務數據量，同時也包括音頻、視頻等的需求。高密度隨著各種WiFi終端不斷涌現出來，如智能手機，iTouch等，對無線網絡系統覆蓋所支持的客戶端密度提出了更高的要求。一個AP支持三

35、、四十個客戶端的能力已經不能滿足WiFi用戶的需求。高可用性無線網絡系統具有較高的可靠性和可用性，具有強大的容錯功能，以保證各種應用的正常運行。系統具備在線故障恢復能力，關鍵設備、模塊、線路能做到實時備份、均衡負載和自動故障切換。可管理性可以對網絡進行在線監控，隨時了解無線網絡的“健康狀態”，快速定位并排除故障，根據需要優化網絡，更合理地對網絡進行配置及資源分配，提高網絡的利用率和性能。安全性無線網絡系統提供多種有效的安全控制機制，以防止機密泄露和影響正常工作。無線網絡系統應提供一套完整的安全防范措施，能夠有效地防止系統外部人員的非法侵入。可擴展性應用的不斷發展要求網絡在性能、協議、網絡拓撲及

36、各種業務等方面具備很好的可擴展性。在無線網絡設計及選擇設備時應完全滿足目前的應用需求，同時充分考慮今后較長時間內應用發展的需要，網絡系統應能方便地升級。開放性無線網絡系統應采用國際標準。無線網絡體系結構與系統應用相互獨立，支持各種通訊協議，各種數據庫和客戶機/服務器應用，與現有的LAN網絡系統無縫地集成。經濟性和實用性完全從目前的應用需求出發，設計既能夠滿足目前的應用需求又能面向未來的應用需求升級的網絡系統方案，同時又要保證提供服務時的經濟性。在滿足系統功能要求的前提下，盡量降低建設成本，考慮今后升級時設備的可持續使用，保護用戶投資。3.2無線校園網設計原則信號覆蓋范圍和強度項目需求：無線網絡

37、信號要求做設計區域全覆蓋。無線局域網協議采用802.11 a/b/g/n兼容方式，信號強度不低于-70 (dbm)，以保證用戶無線上網，WiFi電話，移動PDA的應用要求。需求分析：通過多種安裝方式，達到覆蓋高校校園園區的主要無線應用區域。安裝方式采用明裝或暗裝的方式，室內AP安裝采用天花板吸頂方式，室外 AP安裝在位置較高的樓頂。覆蓋區域和安裝規格在實施方案圖紙中標識。RF信號抗干擾項目需求：在樓宇格局布置復雜的空間內，AP或多或少的存在著RF信號的干擾，以及其他同頻率無線設備的信號干擾，要求盡量把這種干擾降到最小。需求分析：Meru可以通過同頻技術來處理或避免干擾，提高RF信號質量和信道利

38、用率用戶容量和傳輸性能項目需求：覆蓋區域內，確保無線網絡的傳輸質量以及達到WiFi電話的語音質量。需求分析：根據用戶的容量和應用流量需求，在設計方案中滿足每臺室內AP設計接入用戶數量不低于50個，每個用戶均可提供802.11n高速接入。漫游性能項目需求：要求無線網絡系統支持無縫漫游，保證無線網絡在覆蓋區域應用時（包括PDA和WiFi電話）的數據不中斷和語音的流暢。需求分析：Meru無線網絡系統使用同頻技術，在覆蓋區域支持無縫漫游，實時交互用戶接入信息，保證無縫漫游性能。網絡負載均衡項目需求：在覆蓋區域，要滿足多用戶使用時不會產生網絡瓶頸和網絡性能的下降。需求分析：在方案中，無線網絡系統應該提供

39、動態的基于流量和用戶數量的負載均衡機制，為用戶提供最好的網絡性能。通用計費支持項目需求：開放的WLAN覆蓋方式，對內網開放，對學生/訪客用戶收取訪問互聯網絡費用。需求分析：通過Web 方式完成認證，經過后臺計費系統完成計費。用戶分組管理與隔離項目需求：對于不同無線用戶的應用，制定不同的安全、隔離策略和優先級別。能夠對無線用戶進行基于用戶的分組統一管理，以保障在維護過程中的靈活性。針對用戶的無線網絡應用，能夠滿足單用戶隔離的需求，保證網絡應用的安全性。需求分析：無線網絡系統應該支持Vlan劃分與多SSID的應用方式，支持ACL和QoS服務質量控制，能夠針對不同的Wlan和Vlan制定不同的網絡控

40、制策略。支持用戶隔離工作模式，滿足用戶上網的安全需求，不向外發送ESSID信息，阻斷用戶之間的通訊。統一維護管理項目需求：提供簡單、易用、統一的無線網絡管理平臺。為今后校方的IT維護人員提供最好的工作便利。同時，保證與高校現有有線網絡無縫銜接。需求分析：無線網絡系統通過一個核心管理部件進行綜合的管理，不需要針對單獨的AP接入點進行管理和維護。AP、AC均支持標準SNMP協議，支持第三方網管系統。用戶接入認證項目需求：支持主流和多種形式的無線網絡接入認證方式，滿足用戶的安全需求。需求分析：要求無線系統支持國際主流的大部分認證協議和認證方式，包括802.1x、Captive Portal和MAC地

41、址綁定認證方式。無線安全加密項目需求：無線網絡的安全是一個重要的應用保障，沒有安全一切應用都變得脆弱和危險。無線網絡系統需要兼容和接納最高等級和最廣泛的加密協議，保證信息安全需求分析：支持通用的加密方式和協議，包括WEP、WPA、WPA2等。加密和認證通常是一起使用的。 無線入侵防護機制項目需求：對于網絡惡意入侵頻繁發生的今天，保證網絡的安全成為系統的第一要素。被入侵和惡意攻擊的網絡系統是無法承載日常應用的，違背網絡建設的初衷。需求分析：無線網絡的入侵防護系統能夠監聽個個無線信道的數據流量，實時匯總和分析。針對入侵行為進行有效的聯動保護。性能穩定項目需求：無線設備需要滿足最大的無故障運行時間（

42、MTBF），保證網絡的正常運行需求分析：網絡核心設備的MTBF=5年。3.3無線校園網設計綜述根據高校的相關技術要求，在充分分析了校方需求和技術發展趨勢之后，結合數據通信發展的實際情況現提出以下無線網絡接入系統方案。下面我們就高校無線網絡系統建設提出如下建議：結合高校本次無線網建設需求使用MERU特有同頻架構來部署AP，確保RF干擾降到最小，和無縫漫游，最小化RF信道規劃的工作，節約時間和人工。全網支持802.11a/b/g/n，在某些特殊區域，如圖書館，多媒體教室，學術報告廳等熱點區域支持高密度覆蓋，確保用戶數據，語音，視頻的融合應用；無線控制器采用1+1冗余方式，結合Meru所提供的無線網

43、絡架構優化調整方案，實現無線網絡統一管理。對數據，語音和視頻啟用不同的QoS策略，在WiFi語音使用頻繁區域做語音呼叫控制和信道之間的負載均衡。在全網內同時支持MAC，802.1x和Portal認證方式，客戶端無論通過哪一種認證都可以接入無線網絡，為不同的WiFi終端提供更加方便靈活的認證方式。Portal認證下采用WEP加密，802.1x下采用TKIP或AES加密。啟用防ARP攻擊，DHCP偽裝，源地址假冒，非法AP和客戶端偵測等安全功能，防止來自WiFi的攻擊；MAC地址和AP綁定，避免用戶使用相同MAC地址在其他區域（AP下）獲得無線接入。無線網絡獨立組網，通過匯接交換機接入到骨干網絡，

44、與有線網絡統一做認證接入。建議以樓為單位來劃分VLAN和分配IP地址，每個VLAN地址池一個C類地址，以控制廣播和病毒傳播，同時提供User ID-VLAN-AP的3元或多元映射表，方便管理員在大規模管理網絡時更加方便。AP主要盡量采用本地方式工作，本地轉發流量。認證和計費方面，MERU控制器提供標準的radius認證和計費接口，并且能夠和深瀾認證系統對接，可以集成到目前高校有線網絡的認證計費系統中。提供MAC地址批量導入功能和MAC地址與VLAN映射功能，方便管理員大規模添加MAC地址。全網內定時或實時運行故障檢測或頻譜分析程序，及時發現RF干擾，無線網絡或終端出現的問題。通過標準的SNMP

45、對設備進行配置和監控，通過SNMP trap和網頁警告，郵件通知等方式通知管理員。在MERU的EzRF網管或獨立的syslog上記錄發生問題的網絡環境上下文，必要時可進行現場重現和日后的審計。3.4無線網覆蓋區域描述：本項目需要對理工大學中關村校區(本部)和良鄉校區的總共七座教學樓宇進行無線網室內區域覆蓋、同時還包括部分樓宇的室外覆蓋。具體信息參見下表：中關村校區需覆蓋包括：信息教學樓（8號教學樓）教學區、研究生教學樓全樓、圖書館非辦公區域。良鄉校區包括：一號教學樓、二號教學樓、行政樓全樓及樓前廣場、圖書館四層計算中心機房。 校區名稱覆蓋區域覆蓋區域類型AP型號AP數量中關村校區信息教學樓（8

46、號教學樓）教學區域室內覆蓋AP1020i70研究生教學樓全樓室內覆蓋AP1020i72圖書館非辦公區域室內覆蓋AP1020i30室外覆蓋AP320(v2)1良鄉校區一號教學樓室內覆蓋AP1020i100室外覆蓋AP320(v2)1二號教學樓室內覆蓋AP1020i110室外覆蓋AP320(v2)3行政樓全樓室內覆蓋AP1020i25室外覆蓋AP320(v2)3圖書館四層計算中心機房室內覆蓋AP1020i123.5無線網物理架構設計依照校方對無線網獨立成網的需求，無線網絡物理架構如下圖所示：中觀村校區：分布在各層的無線AP根據就近原則連接至指定的POE接入交換機，同樓的POE接入交換機連接至本樓的

47、無線網匯聚交換機，各樓宇的無線網匯聚交換機連接至中關村校區的核心交換機，中關村校區的核心交換機通過光纖與良鄉校區互聯良鄉校區：分布在各層的無線AP根據就近原則連接至指定的POE接入交換機，同樓的POE接入交換機連接至本樓的無線網匯聚交換機，各樓的無線網匯聚交換機連接至區域核心交換機，區域核心交換機通過光纖與中關村校本部網絡連接無線控制器的部署2臺MC4200無線控制器均部署在中關村校區，接入中觀村校區的核心層或匯聚層設備。網管系統的部署EzRF網管系統部署在中觀村校區，對整個無線網絡(中觀村校區及良鄉校區)的所有AC/AP等無線設備及無線客戶端進行集中式的管控3.6無線網邏輯架構設計：AP到A

48、C間的無線管理流量（AP的注冊信息，AC對AP的管理及配置信息，無線用戶的關聯、認證信息)將通過AP與AC間的二層或三層連接承載，AP/AC僅需要IP可達即可，如下圖中藍色曲線所示。對于無線用戶的數據流量（以訪問Internet為例）基于本地轉發模式，所有流量由AP直接送入本地有線子網，如下圖中綠色曲線所示3.7 AP的部署方案基于Meru特有的單頻點、虛擬一體化專利技術，Meru的AP除了和以錯頻部署外，還可以完全不受同頻干擾影響進行同頻部署。即：所有AP工作在同一頻點，而彼此間不會有同頻干擾。其直接優勢體現在如下方面：AP部署簡單，無需進行復雜的站點勘測和功率調整工作，可做到AP的即插即用

49、。AP可滿負荷工作，相對傳統AP，單顆AP覆蓋的面積更大，在需覆蓋相同面積的需求下，Meru可以使用更少的AP而達到穩定的、無縫的信號覆蓋。基于AP的同頻部署架構，結合Meru特有的虛擬一體化技術，用戶在單頻部署的無線覆蓋區域內可實現“零丟包”的完美無縫漫游。基于以上優勢，對于教室、宿舍等室內區域的覆蓋方案如下：同一樓層內的所有AP進行同頻部署，以實現穩定無縫的信號覆蓋，同時開啟虛擬蜂窩功能，為語音、實時視頻等低延遲敏感類服務提供無縫漫游平臺。不同樓層的AP工作在不同的頻點，以進一步的增大無線網絡的整體吞吐。如下圖所示，以2.4Ghz頻段為例，一樓部署的AP均工作在Channel1，二樓部署的

50、AP均工作在Channel6，三層部署的AP均工作在Channel11，四層部署的AP均工作在Channel1，如此類推。對于多媒體教室，會議室，圖書館等無線連接高密度區域，通過部署具有接入高密度特性的Meru300系列AP，其單顆AP最多可穩定承載240以上的無線連接，通過在狹小空間中部署3顆300系列AP，可輕松支持700+穩定的無線用戶連接。AP的安裝方式主要采取吸頂式安裝（外置天線的AP，也可采用壁掛），訂做專用固定支架，保證AP不會容易被偷走或者破壞。以下是在AP部署時的具體原則對于教學區域，AP一般部署在教室內，走廊信號由教室內部的AP提供教學樓天井等室外開闊區域由專門部署在附近走

51、廊上的AP提供信號覆蓋對于宿舍區域AP部署到走廊，走廊信號覆蓋宿舍內部確保重點覆蓋區域信號強度-70dBm,，信噪比SNR18dB50人教室部署1個AP1020i ；50-100人教室部署2個AP1020i，預留1個信息點100-200人教室部署4個AP1020i，預留1個信息點AP通過3層發現AC，根據校方對邏輯架構的選擇、靈活采用“集中轉發”、“本地轉發”，或結合二者的用戶數據轉發模式全校使用統一的SSID，以方便用戶接入選擇3.8 設備的選型根據高校的實際情況，我們對于控制器選型有如下建議：高校的兩校區各自有網絡信息中心，DHCP服務也是分別由所屬兩個區域的DHCP Server提供。目

52、前市場上高端無線控制器單機可管理的AP數量一般在500個或以上，考慮到后期無線網絡管理的簡易型，建議考慮部署能支持多AP管理的控制器。無線控制器一般提供集中轉發和本地轉發兩種工作模式。對于集中轉發，更適合做一些用戶行為或者服務質量的高度控制，但由于所有數據需要途徑控制器，用戶每個數據包都會被控制器所終結和轉發，對于并非基于數據交換來設計的無線網絡控制器而言，轉發性能必定是以后的瓶頸。因此，高校對于需要高吞吐量的區域，應當更多的使用本地轉發的模式，使得數據的轉發更加合理化，優化整體網絡性能。而由于本地轉發模式底下，控制器無法做深層次的控制，本地轉發模式底下的安全性將需要有保障，比方說本地轉發模式

53、底下的用戶二層隔離，避免客戶端因中毒以后通過二層廣播擴大影響。由于應用的不同，比方說普通上網（需要高吞吐量）和語音應用（需要更好的QoS服務質量保證），建議選用的無線控制器可以支持在同一個AP底下同時支持本地轉發和集中轉發模式。考慮到無線網絡以后將逐漸成為關鍵的網絡接入方式，穩定性和可用性是非常重要的，建議考慮無線控制器的冗余方案。因此，我們結合了高校的實際情況和Meru的產品特點，在本項目中推薦高校選用2臺Meru MC4200+1臺華為S5700-28C-EI-24S交換機作為一套無線控制器。方案特點：如上圖所示，結合高校的實際情況，我們提供了2臺MC4200和1臺S5700-28C-EI

54、-24S交換機組成一套無線控制器，其中每臺MC4200均有4個千兆電口可以做鏈路聚合實現4G上行，并且提供2個10GE萬兆光模塊擴展插槽；S5700-28C-EI-24S交換機提供24個千兆光接口和4個復用的千兆電口，并提供2個10GE萬兆光接口。2臺MC4200采用1+1冗余備份（1+1冗余備份的License免費贈送）的部署方式，當其中一臺MC4200失效或鏈路故障，AP和無線用戶會自動切換到另外一臺MC4200上，從而保證用戶業務不中斷，大大提高了無線網絡抗災能力和可靠性。后期當網絡擴容超過500臺AP時可以直接解除1+1冗余配置，2臺MC4200進行負載均衡共同管理所有AP（最高可以支

55、持1000臺AP）。對于無線AP，我們根據項目的需求，推薦高校選用Meru AP1020i和AP320(v2)。兩款AP的特點與使用場景區分：AP系列AP300系列AP1000i系列型號AP320(v2)AP1020i描述支持802.11a/b/g/n 室外無線接入點，3*3 MIMO系統性能，支持IP66防護等級，不含支架、天線及避雷器。雙頻 802.11a/b/g/n 無線接入點， 包含內置雙波段802.11 a/b/g/n 全向天線 外觀以太網端口1個10/100/1000M自適應RJ45電口1個10/100/1000M自適應RJ45電口 射頻卡雙射頻卡，支持802.11a/b/g/n組

56、合 雙射頻卡，支持802.11a/b/g/n組合 天線接口外置天線接口，6個N型接口 內置天線 MIMO支持支持，3x3支持，2x2 控制口1個RJ45口1個RJ45口 適合應用主要針對有高密度用戶接入，大規模語音和視頻，組播等等應用一般的以網頁瀏覽，郵件收發等數據應用為主，語音和視頻應用為輔的需求環境適合場所適合室外區域無線覆蓋企業辦公室，行政大樓，醫院病房，零售店，物流倉庫等場所 安全規劃3.8.1 用戶接入控制同一個AP下，根據不同的用戶ID，分配不同VLAN的IP地址，實現基于用戶角色的訪問控制。AA系BB系CC系訪客Meru基于角色的訪問控制，流量隔離示意圖管理員維護表格式：用戶ID

57、/MACVLAN/IPESSID認證方式AP名稱/Radio安裝地點工作信道所屬控制器3.8.2 用戶認證方式與流程（1） Web認證計費流程用戶Web認證具體流程：用戶獲得IP地址后，輸入需要訪問的因特網站控制器記錄下客戶請求，并把向外部Web服務器發出推送認證頁面的請求外部Web服務器直接向無線用戶推送認證頁面無線用戶輸入用戶名和密碼，并推送給外部Web服務器外部Web服務器把收到的用戶名和密碼提交給控制器控制器把收到的用戶名和密碼提交給radius服務器認證成功，radius服務器發送認證成功消息給控制器控制器收到認證成功消息，通知計費系統開始計費，并同時放開用戶對因特網的訪問請求基于用

58、戶名和密碼認證，這樣充分保障了用戶的接入安全，因為無線網的特殊要求， 所以無法像有線網一樣可以對用戶進行VLAN+端口+IP地址進行綁定。由于綁定不符合在校園所有接入點無縫漫游的要求，可以采取最有效，最方便的WEB 認證認證方式。（2）802.1x（WPA/WPA2）認證計費流程用戶發出接入請求，控制器要求用戶提供接入身份驗證憑證，用戶提交憑證控制器將收到的用戶憑證信息（用戶名，密碼）提交給radius服務器驗證Radius服務器將認證成功消息和協商出來的原始加密密鑰推送給控制器控制器和用戶通過4次握手動態協商出實際加解密密鑰控制器通知計費系統開始計費，同時授予用戶訪問網絡的權限（3）MAC地

59、址認證流程掃描槍發出關聯請求控制器收到請求后，截取掃描槍的MAC地址，發給radius服務器Radius服務器收到控制器送來的MAC地址，并和數據庫內定義的MAC地址列表中地址進行比較，發送認證成功消息給控制器控制器收到radius認證成功消息，根據需要是否通知計費網關計費，同時授予掃描槍訪問網絡的權限3.9 安全認證設置方式3.9.1 標準的無線終端連接過程如上圖所示，無線終端標準的連接過程有幾個步驟：MAC地址過濾。終端被分配到AP去實現關聯。標準的802.11認證關聯。802.1X、WPA、WPA2認證。密鑰交換。DHCP地址分配IP地址。IP地址獲取。CP彈出頁面、網頁認證。因此，我們

60、可以在上述幾個過程中考慮加入安全認證策略。其中，Meru可以支持下列幾種安全策略：SSID廣播/非廣播（隱藏）。MAC地址過濾（MAC地址列表可以建立在控制器或者外置Radius中）。WEP、WPA、WPA2、WPA+WPA2混合、802.1X認證。Capital Portal彈出頁面認證（賬戶可以建立在控制器或者外置Radius中）。3.9.2 Meru安全認證策略的介紹(1) SSID廣播/非廣播（隱藏）SSID廣播/隱藏，實際上是最簡單，也是最沒有安全性的保護方式。Meru可以為每個ESS組配置SSID廣播的開關。(2) MAC地址過濾MAC地址過濾可以分為兩種獲取MAC地址信息的方式。