学校无线网络实施方案

《学校无线网络实施方案》由会员分享，可在线阅读，更多相关《学校无线网络实施方案（127页珍藏版）》请在装配图网上搜索。

1、学校无线网络实施方案1252020年4月19日文档仅供参考，不当之处，请联系改正。XX学校无线网络系统项目技术规格书目 录1需求分析42方案设计原则及参照标准52.1方案组成52.2遵循标准52.3设计原则63无线网络系统解决方案73.1无线网络技术说明73.1.1无线网络的工作步骤73.1.2如何实现漫游83.1.3安全性和管理性如何实现83.2无线网络系统解决方案113.2.1设备选型113.2.2无线网总体架构及拓扑113.3无线网用户安全认证133.3.1校内用户133.3.2来访用户143.3.3MAC地址认证153.3.4无线用户统一身份管理及认证163.3.5网络资源访问控制17

2、3.3.6个性化门户服务173.3.7无线用户管理平台173.3.8基于用户的策略控制183.3.9上网日志管理193.3.10无线网络管理193.4无线系统拓扑图及点位分布表213.5无线设备供电方案224无线网络覆盖方案244.1无线网络覆盖方式对比244.1.1室内蜂窝覆盖244.1.2室外大功率覆盖254.1.3室内蜂窝覆盖和室外大功率覆盖相结合254.2如何选择适合的无线网络覆盖方式254.3无线网络覆盖方案274.3.1综合楼无线覆盖274.3.2教学楼无线覆盖284.3.3会议室覆盖285无线网络安装调试方案286全区无线用户漫游规划296.1区内无线用户漫游认证方案296.2方

3、案特点317方案优势317.1.1无线接入点327.1.2无线网络控制器357.1.3H3C S5120-52C-PWR-EI智能交换机437.1.4H3C S5120-28P-HPWR-SI智能交换机498施工组织设计558.1项目管理558.1.1商务管理558.1.2设计管理568.1.3施工管理568.1.4工程的技术管理568.1.5工程质量管理578.1.6安全生产管理578.1.7岗位素质要求、分工及职责588.1.8工作流程588.1.9规章制度588.2人员配备和安排计划598.2.1项目组织结构598.2.2人员配备计划608.3现场设施准备608.3.1施工机械设备608

4、.3.2施工的临时设施618.3.3仓库618.3.4现场临时设施618.4施工步骤和施工方法618.4.1系统工程施工图具体设计深度628.4.2施工步骤、注意事项628.4.3施工准备与作业守则628.5施工进度计划和工期安排658.5.1编制原则658.5.2编制依据658.5.3施工进度计划编制658.5.4施工准备阶段668.5.5主体施工阶段668.5.6设备安装施工阶段668.5.7验收完工阶段678.5.8工程进度计划表678.6质量保证体系688.6.1公司质量体系运行情况688.6.2系统工程质量保证体系688.6.3质量方针和质量目标688.7质量保证措施708.7.1质

5、量控制的方法708.7.2质量控制措施718.7.3变更的质量控制728.8安全保证技术措施738.8.1安全生产组织管理体系及职责738.8.2安全防范重点738.8.3安全措施738.9文明施工措施758.10项目培训768.10.1对受训人员的要求768.10.2培训目的768.10.3培训内容768.10.4培训计划768.10.5培训过程的组织管理778.11工程售后服务方案778.11.1保修期内或保修期后的服务项目778.11.2紧急异常情况的及时处理788.11.3服务方式及流程789工程测试及验收799.1验收范围799.2验收依据及标准799.3主要验收工具809.4验收步

6、骤809.5验收总体要求819.6产品质量检查829.7工程实施及质量控制829.8系统检测839.9分部（子分部）工程竣工验收839.10验收文档849.11验收内容841 需求分析本次XXXX学校弱电配套工程包括有10所学校涉及无线网络系统，参照XXXX学校需求进行无线网络子系统整体设计。根据当前与设备站相关人员的沟通和参照学校网络建设的相关资料，此次需要建设的无线网络将对教学楼、办公楼进行无线信号覆盖，提供支持移动访问互联网络，根据对现场场地环境的先期测试和综合分析，设计的无线网络将提供高速、稳定、安全的无线信号覆盖接入,未来覆盖区域可在此基础上轻易扩展到整个学校的办公区域、公共区域、室

7、外“热点”公共区域等室内和室外的无线覆盖.此次方案设计将根据无线网络的高速接入和安全特性,设计针对学校无线覆盖所涉及的全方面,多层次的和应用相关的技术,来介绍如何实现随时随地的学校网络资源共享访问，并设计提供安全，可靠的无线访问接入控制和管理,所设计的无线网络平台将是一个多业务,多应用的平台,可支持数据和语音的同时接入。同时考虑到学校的无线网络是长年运行，24小时需要提供服务的，而且需要考虑实际同时接入使用无线网络的用户数量不定, 因此在方案设计中需要考虑到无线设备的性能和无线网络的造价及可扩展性。根据对学校相关区域建筑楼、建筑材料、建筑结构和室外周边环境的观测和分析,我们建议在相应位置放置无

8、线接入点AP以提供此区域的无线覆盖。由于学校的楼层建筑结构相对比较复杂,为了保证无线网络的均匀覆盖,需要多个AP进行覆盖,另外还由于为了楼层间的楼板的AP信号的穿透，因此建议上下相邻的楼层间的AP,交错摆放有助于避免与上下楼层间AP的相同频道信号的干扰,这是一种对于无线场地环境良好设计和避免AP信号干扰是有帮助的。具体的AP摆放位置和网络布线图见方案设计部分。2 方案设计原则及参照标准2.1 方案组成根据以往无线网络建设的经验和用户的需求分析，我们将在下面的篇幅中进行详细的介绍如何建设校园无线网络，整个方案重点分为以下部分:1）无线局域网系统方案2) 无线点位布署规划3）全区无线用户漫游方案4

9、）方案涉及产品的主要性能指标2.2 遵循标准我们严格按照以下标准和文件的要求对XXXX无线网络综合布线系统进行整体设计，确保大楼的综合布线系统是一套完整、规范的信息链路。具体包括以下标准和文件：l GB 1526-89信息处理-数据流图、程序流程图、系统流程图、程序网络图和系统资源图的文件编制符号及约定l 电子计算机机房设计规范（GB50173-93） l 计算机场地技术条件（GB2887-89）l 计算机场地安全要求（GB9361-88）l 以太网协议标准（IEEE802.3）l 商用建筑线缆标准（EIA/TIA568A/B/B2）l 商用建筑通信通道和空间标准（EIA/TIA569）l 商

10、用建筑电信设施管理标准（EIA/TIA-606）l 商用建筑通信接地接续要求（EIA/TIA-607）l 无屏蔽双绞线系统现场测试传输性能规范（EIA/TIATSB67）l 通信布线系统信息技术欧洲标准（EN50173）l 信息技术互连国际标准（ISO/IEC11801）l 民用建筑电气设计规范（JGJ/T16-92）l 建筑与建筑群综合布线系统工程设计规范（GB/T 50311- ）l 建筑与建筑群综合布线系统工程验收规范（GB/T 50312- ）l 智能建筑设计标准（GB/T 50314- ）l 智能建筑工程质量验收规范（GB 50339- ）l 通信光缆的一般要求（GB/T7427-8

11、7）l 电气装置安装工程施工及验收规范（GBJ232-92）l 电子计算机机房设计规范（GB 50174-93）l 普通中小学校建设标准 （DG/TJ08-12- /J10355- ）l 中小学校建筑设计规范 （GBJ 99-86）l 招标方提供的需求文书及图纸资料 在实施过程中，我公司会严格按照上述技术标准和规范进行施工，如果在施工过程中有国际或国内最新标准出台，我公司会使用新版本的国际、国家标准和规范进行施工、选用设备、材料。同时提供所采用的新版本国际和国家标准、规范有关技术资料。2.3 设计原则本方案主要是为XXXX学校弱电配套工程项目设计校园无线网络，经过无线网络和有线网络的结合，充分

12、发挥两网各自的优势为广大师生提供良好的服务，从整体上提升教学服务质量并提升学校影响力。系统方案设计原则如下 先进性当今科学技术发展迅速，若花巨资建成一个几年之内就要淘汰的落后系统，不但是一种极大的浪费，而且将严重影响用户的声誉。因此设计方案首先就要确保设计技术和应用技术的先进性，同时也要保证整个系统的最佳性能价格比。 灵活性和兼容性随着科学技术的发展，不可能保证一个系统永远处于领先地位。为此在设计方案时，必须考虑到系统升级扩容的灵活性和兼容性，这就需要采用模块化、开放式、集散型、分布式的控制系统。使得不改变原有设备，在不损失前期投资的情况下，就能方便的升级和扩容，确保系统不过时。 经济实用性先

13、进性与经济性往往会产生矛盾，这就需要在制定总体设计方案时：l 要选择性能价格比最佳的产品和系统。高科技现代化时代，经济性衡量的唯一标准是性能价格比，既不是单纯性能，也不是单纯的价格，若不顾性能，而单纯追求价格，势必会陷入不正当的价格竞争战。那么系统事故所造成损失和影响用经济是补偿不了的。l 善于充分利用软件来实现系统功能，尽可能减少硬件开支，达到降低系统总成本的目的。l 充分了解其它子系统的功能，并与之进行有机结合，避免功能重复。l 要善于从实际出发，突出实用功能，去掉“华而不实”的无用功能，降低总体投资，求得先进性与经济性的完美统一。 可靠性可靠性是系统设计中的关键，不可靠的系统不但根本谈不

14、上什么先进性，而且由于系统的瘫痪导致重大的损失会给用户带来巨大的负担和耗费。为此总体方案的设计时：l 既要考虑技术的先进性，又要考虑技术的成熟性。l 采取集散型分布式控制方式，从系统设计结构形式和控制方式的角度来提高系统总体的可靠性，从而达到先进性和可靠性的完美统一。l 尽可能减少硬件数量和硬件连接，充分依靠软件功能来提高系统的可靠性。l 遵循严格科学的施工规范，为各子系统的连接，架设可靠的神经中枢，从而为系统的总体可靠性打下最坚实的基础。同时我们的系统设计兼顾了系统功能的全面性及操作的简易性。当有紧急情况发生时，系统能自动作出迅速、准确的反映。 操作和维护的方便性21世纪是知识经济时代，人力

15、成本的价值在大幅度增加，系统设计如何做到操作和维护更方便，对于提高工作效率，降低人力成本和降低维护成本，提高系统总体性能价格比是极其重要的环节。3 无线网络系统解决方案3.1 无线网络技术说明3.1.1 无线网络的工作步骤扫频：STA在加入服务区之前要查找哪个频道有数据信号，分主动和被动两种方式。主动扫频是指STA启动或关联成功后扫描所有频道；一次扫描中，STA采用一组频道作为扫描范围，如果发现某个频道空闲，就广播带有ESSID的探测信号；AP根据该信号做响应。被动扫频是指AP每100毫秒向外传送灯塔信号，包括用于STA同步的时间戳，支持速率以及其它信息，STA接收到灯塔信号后启动关联过程。关

16、联（Associate）：用于建立无线访问点和无线工作站之间的映射关系，实际上是把无线变成有线网的连线。分布式系统将该映射关系分发给扩展服务区中的所有AP。一个无线工作站同时只能与一个AP关联。在关联过程中，无线工作站与AP之间要根据信号的强弱协商速率。 重关联（Re-associate）：当无线工作站从一个扩展服务区中的一个基本服务区移动到另外一个基本服务区时，与新的AP关联的整个过程。重关联总是由移动无线工作站发起。3.1.2 如何实现漫游漫游：指无线工作站在一组无线访问点之间移动，并提供对于用户透明的无缝连接，包括基本漫游和扩展漫游。基本漫游是指无线STA的移动仅局限在一个扩展服务区内部

17、。扩展漫游指无线SAT从一个扩展服务区中的一个BSS移动到另一个扩展服务区的一个BSS，802.11b/g并不保证这种漫游的上层连接。常见做法是在上层采用的无线网络控制器。3.1.3 安全性和管理性如何实现由于无线局域网采用公共的电磁波作为载体，因此与有线线缆不同，任何人都有条件窃听或干扰信息，因此在无线局域网中，网络安全很重要。常见的无线网络安全分几种：3.1.3.1 服务区标示符(SSID)：无线工作站必须出示正确的SSID才能访问AP，因此能够认为SSID是一个简单的口令，从而提供一定的安全。如果配置AP向外广播其SSID，那末安全程度将下降；由于一般情况下，用户自己配置客户端系统，因此

18、很多人都知道该SSID，很容易共享给非法用户。当前有的厂家支持“任何”SSID方式，只要无线工作站在任何AP范围内，客户端都会自动连接到AP，这将跳过SSID安全功能。3.1.3.2 物理地址（MAC）过滤：每个无线工作站网卡都由唯一的物理地址标示，因此能够在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必须随时更新，当前都是手工操作；如果用户增加，则扩展能力很差，因此只适合于小型网络规模。3.1.3.3 连线对等保密（WEP）：在链路层采用RC4对称加密技术，钥匙长40位，从而防止非授权用户的监听以及

19、非法用户的访问。用户的加密钥匙必须与AP的钥匙相同，而且一个服务区内的所有用户都共享同一把钥匙。WEP虽然经过加密提供网络的安全性，但也存在许多缺陷：一个用户丢失钥匙将使整个网络不安全；40位的钥匙在今天很容易被破解；钥匙是静态的，而且要手工维护，扩展能力差。为了提供更高的安全性，802.11i提供了WEP2，该技术与WEP类似。WEP2采用128位加密钥匙，从而提供更高的安全。WEP2当前不保证互操作性。3.1.3.4 无线网络控制器 无线网络控制器是无线网络安全的最高级别。完整的无线网络系统包括无线接入控制服务器（Access Control）、无线接入点（Access Point）、客户

20、端（STA）等三部分。她是建立在无线接入控制点之上也就是一般所说的网络第三层，在整个无线网络系统中有效结合了无线服务区标示符(SSID)、物理地址（MAC）过滤、连线对等保密（WEP）等在安全管理方面的优势，并克服了物理地址（MAC）过滤、连线对等保密（WEP）在可扩展性、安全保密性等方面的弱点，提出了无线网络从安全到管理的整个解决方案。如下图所示，无线网络控制器能够提供全网的用户认证管理、防止非法AP接入、防止用户恶意入侵她人系统等服务，并根据客户需要可实现对不同权限用户实现对上网流量、上网时间段、上网范围、访问权限等等适合网络规划管理方面的要求，整个无线网络安全、管理策略能够在无线接入控制

21、系统上统一实现，扩展性以及安全保密的问题在这里得到了很好的解决。3.2 无线网络系统解决方案3.2.1 设备选型本次XXXX学校弱电配套工程项目涉及中学及小学两种不同类型的学校。从招标要求要求来看，网络架构为无线控制器+AP。考虑到和区内原有无线网络系统的区内单一帐号漫游的兼容以及今后网络的统一管理和可扩展性，我们推荐采用XXX品牌无线控制器WNC AC2020-E，结合XXX品牌AK2400 ZDC系列无线接入点来实施整个方案。AK2400 ZDC系列无线接入点支持IEEE802.11b/g/n标准，最高速率可达到300Mbps，同时支持本地供电以及 IEEE802.3at标准POE远程供电

22、(兼容IEEE802.3af供电)解决方案，方便工程安装实施。整个方案将从无线信号的覆盖、无线接入点的维护管理、用户的管理、无线网络安全管理以及无线网络如何和现有有线网络相结合等方面提出了全面的解决方案。3.2.2 无线网总体架构及拓扑随着网络应用和数据量的急剧增长，为了减少广播包对网络性能的影响，普遍采用的解决方法是采用VLAN技术进行子网划分，经过三层交换技术对各子网进行路由交换；另外，在学校进行有线网络建设时也考虑到将来可能会有扩展，在有线信息点、光纤和交换机端口等资源上都留有余量，因此在进行无线网络建设时，用户希望建成的无线网络系统能够尽可能少的占有这部分网络资源，以降低工程造价和施工

23、周期，因此一般采用AP就近接入配线间，采用无线网络与有线网混合组网方式。由于有线网的固定性，一般采用根据楼层或楼宇方式进行子网划分，而无线网络必须承载于有线网络之上，因此，要求所接AP也分别划到各个子网之中，造成了原本应该统一管理的无线网络被有线网络分割成了独立的无线“网络孤岛”，这种“网络孤岛”在实际应用中会存在以下问题：1. 不能实现全面的、统一的全网级的管理策略2. 不便于无线网络业务的划分3. 不能实现无线网用户的漫游4. 对无线接入点无法做到集中管理、统一配置和升级为了解决传统有线与无线混合组网存在的上述问题，采用瘦AP方式架构代替传统AP的方法来解决这一问题。XXX品牌无线网络组网

24、方案能够方便的实现AP的跨三层部署，接入层的AP只需要拿到属于自己的IP网络设置和网络中已经部署的无线控制器IP地址即可。这样的架构大大简化了传统无线网络部署当中的复杂程度，减少了有线网络配置相杂乱的状况。图:无线网络典型拓扑图如上图所示，当AP在加电后经过广播、DHCP或DNS方式来获得位于网络骨干上的无线控制器WNC AC的IP地址信息，AP在得到无线控制器地址之后，便可与无线控制器建立通信，随后无线控制器将AP运行所需相关配置下发。AP收到这些信息后，随即进行系统启动并根据无线控制器提供的配置进行自身参数的配置。在AP启动完毕后与无线控制器之间采用隧道方式进行互连，用户的认证数据包在进入

25、AP后，被AP重新封包进入该隧道传入无线控制器，由于认证数据全部被封入隧道，用户的数据并不因AP与无线控制器之间跨了路由而改变路由路径，从用户角度来看，用户的认证数据直接跨越了层层路由，直接进入了无线控制器，无需改变现有网络拓扑结构、也无需考虑协议兼容性，从而实现了拓扑无关的组网。由于采用瘦AP的组网方式，即使是在分布式网络中，彼此被路由隔开的AP也可作为一个整体结构运行，以便于按需扩展或修改无线局域网。整套方案构建了一个稳定的、安全的校园无线网络环境，解决了无线网络环境下对各种不同等级用户网络安全访问控制，同时整个方案又保持着整个校园无线网络高度可扩展性。3.3 无线网用户安全认证3.3.1

26、 校内用户校内用户主要是学校内部的师生，她们由于工作和学习的需要要求随时接入网络访问校园网内资源以及访问Internet，可是这些用户的数据有可能是些最新的科研成果、研究资料和论文等等比较重要和机密的资料，使用了无线网传输这些重要资料可能遭到非法窃听的严重后果，因此需要对这类用户的数据进行加密处理，以保障用户数据的安全。我司工程师与国内多个学校网络中心技术人员经过重复论证，提出使用WPA(802.1x) 对这类用户进行身份验证最为合适。WNC AC2020系列支持WPA认证，WPA认证方式是一种基于端口控制的认证方式，即关联到AP上的每一个无线终端，在AP上都有一对虚拟的端口，一个叫可控端口，

27、另一个叫非可控端口；可控端口平时处于断开状态，用户上网的数据不能经过，该端口能够按照WNC的指令打开与关闭；非可控端口平时一直处于连同状态，可是仅仅允许用户认证数据包经过。当用户关联到AP上后，由WPA认证客户端提出认证请求，并提示用户输入账号，由AP将认真请求经过非可控端口转发给WNC，WNC从后台用户数据库中取得用户的账号信息并与用户提交的进行对比，如果匹配则无线接入控制器再与AP进行密钥协商，自动随即生成加密密钥，此后WNC发送指令给AP，要求AP将对应该用户的可控端口打开，并将生成的密钥经过TLS建立的安全隧道传送给无线终端，此后用户传输的数据使用该密钥法进行加密，该密钥每隔一段时间由

28、无线接入控制器重新和AP进行协商以更换密钥，无需用户手工干预即可将密钥分发给无线终端， 如此循环下去，实现了更高安全性的要求。对于那些对网络安全要求较高的校内用户，建议采用WPA方式认证接入。图:WPA认证流程示意图3.3.2 来访用户来访用户主要是到学校参观、学术交流和联系工作的一些用户，这类用户对网络的需求最重要的就是需要能够方便快速的接入Internet、浏览网页、收发Email 等等，不允许访问校内网络资源。WPA方案虽然采用了基于数字证书的强加密方式进行认证，可是对于用户端配置要求较高，必须配合认证软件才能工作（Win XP SP1、SP2自带，Win2K必须打SP4），对于学校内部

29、用户，进行简单培训说明基本能够掌握，可是对于临时来访人员，要求她们进行繁琐的设备显然不切实际。这类用户对数据安全要求较低，但要求能够尽可能简单地经过无线网络访问Internet，因此为了便于这类用户的使用，我们建议采用WEBDHCP认证方式简化用户认证操作的过程。WEBDHCP认证方式，用户无需手工配置本机IP地址、默认网关、子网掩码和DNS等相关配置，只需将用户网卡设定为经过DHCP自动获得即可。WNC内置DHCP Server，当用户经过无线网卡连到AP上，用户网卡会发出DHCP请求以获取IP等信息，当WNC收到用户这一请求后自动为其设置好正确的IP地址、子网掩码、网关等参数，免去了用户手

30、动配置的不便。随后用户打开IE浏览器输入一个网址，WNC会弹出一个认证页面，在该页面用户只要输入正确账号即可认证上网。使用此种认证方式的最大优点就是无需安装任何客户端软件，使用户操作更为方便，从真正意义上体现出无线局域网带来的移动学习的便捷。图:Web+DHCP认证界面另外，结合高性能WNC，能够对来访用户定义多种等级，有效的对来访用户进行管理，同时WNC 内置的策略路由功能和带宽控制，进一步对认证后用户进行路由出口和带宽进行控制，有效解决用户网络资源分配的问题。同时还能够根据学校管理策略设定基于用户组的ACL(Access Control List)访问控制列表，对来访用户允许访问网址进行控

31、制及监控。Web认证具有以下优势：1. 强制跳转登录界面2. 用户名和密码采用基于数字证书的安全技术进行加密传输3. 可定制的用户认证界面，全中文化4. 简单，无需专门客户端，浏览器即可，各种操作系统均可兼容3.3.3 MAC地址认证除了上述WEB+DHCP和WPA认证方式外， WNC AC2020系列还支持基于MAC地址的认证方式，只需将用户无线网卡MAC录入XXX品牌无线网络控制器中，则相应用户在连接上AP后无线网络控制器自动会为其进行认证而不会要求用户输入用户名和密码，简化了用户操作。3.3.4 无线用户统一身份管理及认证当前，越来越多的学校拥有了基于校园网平台的数字办公、教学等应用系统

32、，这些系统均需要用户进行身份认证后以防止非法用户的入侵造成对系统的破坏。由于应用系统类型众多，造成各系统的用户账号不能同步，对于用户来说往往是需要牢记多个账号，使用上非常不便，因此各学校为了解决用户账号统一的问题，采用集中管理用户账号的方法，将用户账号存储在中心的数据库中，各系统均到该数据库中取用户账号信息，从而解决了校园网用户统一身份认证的问题。同样，无线网络作为校园网络的延伸和补充，如果能和有线网络一样采用同样账号进行管理的话，一方面无疑方便了用户的使用，另一方面对于校园网管中心来说也降低了维护的工作量， WNC AC2020-E无线网络控制器支持多种身份验证接口，能够与Radius、LD

33、AP、Windows Active Directory、 ORACLE、MySQL、SQL Server等多种数据源进行对接，在进行身份认证时能够到后台Radius Server上进行认证，从而实现校园网用户的统一认证。图:用户管理界面3.3.5 网络资源访问控制考虑到这部分用户主要为校外人员，而某些校园网内部资源仅作为科研、教学用途不对外开放，因此需要对这类用户的网络资源访问进行一定的控制，以保护某些校内资源。WNC AC2020系列支持基于用户的ACL(访问控制列表)，管理员能够预先编辑好来访用户被允许和禁止访问的网段列表，XXX品牌无线网络控制器在用户认证成功后根据该用户ACL列表动态设

34、置该用户能够访问的资源，从而有效屏蔽了校内某些较敏感资源。3.3.6 个性化门户服务个性化服务只提供给使用WEB认证方式的用户，由于使用WEB认证方式的用户主要是校外临时来访人员，是采用WEB页面登陆方式，该页面是每个无线用户上网必须访问的界面，该页面除了需要为用户提供无线网络认证功能外，还能够利用该页面作为向来访用户提供一些信息服务的窗口，能够针对学校网络服务的特点，提供一些个性化的服务内容，如：无线网络使用指南、学校介绍、公共信息查询等。由于这些服务内容是一些公开的信息，需要在用户认证之前就应该先提供给用户访问，这能够配合WNC AC的Open Garden功能，使这些公共信息资源向每个无

35、线用户敞开，便于用户快速方便的获取这些信息；XXX品牌无线网络控制控制器支持内置Portal Server,还支持个性化的门户（Portal）业务，能够定制WEB认证的首页页面，个性化的Portal提高了学校形象和服务水平。图:Protal页面定制3.3.7 无线用户管理平台无线网络控制器提供功能强大的用户管理平台，能够灵活的管理无线用户，并能够对无线用户进行分组控制，每种组别采用不同的控制策略。例如能够将用户分为老师、学生和访客三种组别，对于老师组中的用户能够在任何时段访问任何资源而不受限制；对于学生组中用户能够对其允许上网时间段、允许访问的网站、允许使用的网络协议、服务等进行控制；对于访客

36、组中用户能够限制其访问校园网中某些资源，对其访问Internet不受限制等等。用户管理平台界面3.3.8 基于用户的策略控制在校园中组建无线局域网，其目的是为教师和学生提供一个移动、灵活、方便的教学环境，为了能够让校园无线网最大程度上为教学活动服务，利用无线网络控制器上强大的用户控制管理策略，能够对用户进行如下几个方面的策略控制：1. 对用户进行分级权限控制，例如能够根据学校领导、老师和学生将用户分为几个群组，不同群组所能访问的网络资源进行限制，从而能够保护学校内部一些重要资料免遭非法人员窃取2. 能够屏蔽一些有着非法和不健康内容的网站3. 上网时段进行控制，例如在教学时间段能够让用户上网，而

37、在非教学期不能允许使用网络，这样的控制策略能够更好的、高效的利用网络设施和资源用户策略控制配置界面因此，学校利用无线网络控制器上述灵活的控制策略，能够实现校园无线网最大程度上为教学活动服务的目的。3.3.9 上网日志管理由于无线网中用户移动性比较大的特点，因此对无线网用户的访问访问行为的记录变得尤为重要，无线网络控制器能够记录用户上网日志，日志内容包括以下一些关键字段：1. 用户名2. 用户访问的网站的URL或IP地址3. 访问时间4. 用户的主机的IP地址5. MAC地址等信息记录的日志可经过TFTP备份至后台服务器。访问日志能够记录用户的整个网上活动过程，实现网络的安全控制。3.3.10

38、无线网络管理为了保证无线网络的稳定运行，对其进行方便、高效的管理是必不可少的。在本方案中，区信息中心网管人员和学校网管老师能够方便地实现对无线网络的全面的管理， 1. 系统采用网络管理的标准协议SNMP对相关无线局域网设备进行配置、管理数据、性能数据、故障数据的采集和分析，便于学校网络管理人员了解当前无线网络工作状态2. 提供拓扑发现、管理的功能，能够直观的反映出WNC、AP 和其它相关设备之间的对应关系。在线设备状态查询在线用户数量查询3.4 无线系统拓扑图及点位分布表本次XXXX学校弱电配套工程（中学10所）进行网络系统改造，网络改造参照XXXX学校需求。网络拓扑图1、上图为铁岭中学的网络

39、拓扑图，从图中能够看出，整个网络采用分层设计，汇聚/楼层交换机连接到核心交换机。2、所有无线信息点分别连接到各设备间的交换机上，经过楼层交换机进行汇聚，将所有无线信息点进行统一的管理，实现无线的集中访问控制。无线网络点位分布表序号楼栋楼层位置数量1教学楼一层走廊52二层走廊53多功能厅24三层走廊55四层走廊56五层走廊57行政楼一层走廊38二层走廊39会议室110三层走廊311实验楼一层走廊212二层走廊213三层走廊314四层走廊215五层走廊216体育馆一层书库217阅览室218风雨操场419二层视听教室120学生阅览室421合计613.5 无线设备供电方案对无线网络系统的设计来讲，部署

40、无线接入点(AP)的需要考虑布线，还需要考虑无线AP的电源供应问题。当建筑中某些区域布线施工难度较大时，这就削弱了无线局域网的优势。此时，我们不得不考虑电源插口是否存在？以及连接是否可靠？电源是否会从墙板上脱落等不确定因素。为了解决这上述问题，我们在本次无线网络项目建设中采用的无线接入点均支持IEEE802.3at标准PoE供电(IEEE802.3af标准)，同时采用PoE供电设备和无线AP配合工作，经过网线对无线AP进行供电。下面两幅图是本地供电方式(强电)和PoE远程供电方式的区别:图示：本地供电方式图示：PoE远程供电方式经过上图对比能够看出，采用本地供电方式的情况下，工程施工需要为每个

41、无线接入点AP铺设220V电源。220V电源的选择主要有两种：1、就近接入原则。比如在AP铺设附近的插座、电灯等用电设备引线，这样会减少很多的工程量。当然，就近接入的也会带来很多的问题，比如，插座、电灯等设备会有单独的开关控制，当设备停用或检修时会导致无线AP停止工作，于是就会因为影响客户使用，产生报修或维护工作，给无线网络的使用带来较大的不稳定性。2、单独为无线AP铺设电源。单独铺设电源能够较好的保证无线AP正常工作，但电源和网络线路必须分开铺设，会带来较大的工作量。由于做无线系统集成的公司都只有做弱电的集成资质，如果大规模的铺设电源，势必会产生安全隐患。而且无线AP的耗电情况不能进行统一监

42、控管理。在本方案中我们推荐采用PoE设备对AP进行供电，使数据交换与电源管理由同一POE设备共同完成，超五类线同时完成数据传输与电源输送，避免了复杂的电源布线，方便网络管理员集中管理控制终端设备的电源。POE集中供电能够使无线局域网络的可靠性大大提高。需要说明的是，POE供电方案已经获得IEEE标准组织认证，国际标准为：IEEE802.3af，最新标准为IEEE802.3at4 无线网络覆盖方案4.1 无线网络覆盖方式对比无线网络的部署具体地讲就是根据自身需求和网络容量，因地制宜、精确地定位AP的装配位置。同有线网络的建设一样，这项工作同样有一整套严格的工程要求，在某种意义上也强调“结构化”。

43、根据IEEE802.11标准对无线局域网数据转发形式的规范，数据能够在一个信号载体的两个方向上传输可是不能同时传输，即采用半双工(Half Duplex)数据传输模式。理论上IEEE802.11b/g/n标准可提供300Mbps的连接速率，实际带宽取决于用户终端接受到的无线信号强度，信号强度与带宽成正比。因此如何保证较高的信号强度，合理选用覆盖方式将是项目能否成功实施的关键。无线网络覆盖方式常见方法有：1、室内蜂窝覆盖2、室外大功率覆盖3、室内蜂窝覆盖和室外大功率覆盖相结合可根据网络容量和建筑结构情况灵活组合三种方式。4.1.1 室内蜂窝覆盖顾名思义，室内蜂窝覆盖就是经过多点AP组合，对建筑物

44、进行室内无线信号覆盖。为保证无缝切换漫游，AP和AP的信号覆盖范围之间需要有部分交迭区域。在频谱规划合理的情况下，AP数量越多，覆盖区域的信号质量就越好，每个用户的可用带宽越高。室内蜂窝覆盖需要由大量的AP组成，每个AP本身能够承担20个左右的用户使用（此为最佳状态，允许有峰值出现），比较适用于对用户数量比较集中的学校、宾馆以及企业等行业用户使用，能够满足多用户并发用网的需求。优点：1、网络容量大，适用用户量较多的环境使用 2、可无缝漫游切换、带宽有保证 3、不受天气等外部环境影响 4、无需考虑防雷、防雨的措施缺点：1、布线工程相对复杂4.1.2 室外大功率覆盖在室外空阔区域用户人数不是很多的

45、情况下，大多选用大功率AP进行大范围覆盖。比如室外广场等区域。室外覆盖主要存在防雷、防雨以及供电等问题需要解决。优点：1、工程量较小，部署速度快缺点：1、网络容量小，可接入用户数量少2、容易受天气等外部环境影响 3、带宽波动较大 4、设备容易受雷电影响4.1.3 室内蜂窝覆盖和室外大功率覆盖相结合当用户既有室内移动或机动使用网络的需求，又有在室外用网的情况时，我们需要在方案设计时同时考虑室内蜂窝覆盖和室外大功率覆盖两种方式。经过室内蜂窝覆盖和室外大功率覆盖两种方式互补，来实现室内环境和室外环境的全覆盖。优点：1、根据室内、室外覆盖需要，可灵活组合选用，因地制宜 2、网络容量大，适用用户量不同环

46、境的使用需求 3、可无缝漫游切换、带宽有保证 4、室外设备可选用专用设备，避免雷击、雨水等对设备的损坏缺点：1、方案设计相对复杂2、室外专用设备价格比较高，投资较大4.2 如何选择适合的无线网络覆盖方式经过对XXX中学、XX附中、XXX附中等一系列学校的实施经验进行总结，仔细分析学校建筑结构，并结合目标覆盖区域结构、用户数量以及用网情况进行综合分析发现，项目实施过程中有以下问题需要得到妥善解决，否则将无法保证项目实施后系统能够稳定运行。1） 由于墙体厚无线信号“穿越”厚墙体时衰减程度将大大增加，如何保证每间教室、办公室内部无线信号强度达到70dbm以上（或Windows信号显示强度稳定在45格

47、），这是该无线网络能否正常使用的基本保障；2） 为保证每间教室、办公室内部无线信号强度达到70dbm以上，根据三所学校的建筑结构来看，需要在建筑室内铺设足够多的无线接入点（AP）或天线才能够满足这个标准。根据无线电波空间损耗计算公式（空间损耗=32.5+20log(频率)+20log(距离)，信号强度发射功率空间损耗障碍物衰减）能够看出，在工作频率不变，距离不变（使用位置不变）的情况下，要提高覆盖区域的信号强度只有提高AP本身的发射功率。中国工业和信息产业部无线电管理委员会对2.4G和5.8G频率相关设备使用做出明确规定，RF输出功率分别不得大于20dBm和22dBm。频率、距离、RF发射功率

48、不可改变，从计算公式来看，只有经过改变障碍物衰减来提高信号强度。因此，要满足教室、办公室内部无线信号强度达到70dbm以上，必须将RF发射源靠近教室、办公室的门口。如果采用较少的AP或采取室内少量AP覆盖，无法保证目标区域信号均匀覆盖。3） 当用户数量过多，无线接入点（AP）主动采取RF（射频）过热保护，而自动降低RF发射功率时，如果采用较少的AP或采取室内少量AP覆盖，如何保证教室、办公室内部内部信号强度？4） 无线AP采用共享带宽的方式进行数据交换，即所有关联到一台AP上的用户都共享一个AP的带宽（理论54Mbps，半双工模式下实际最大为27Mbps），在用户较多的学校使用需要在信号全覆盖

49、的同时，考虑无线网络容量的合理规划。如果采用较少的AP或采取室内少量AP覆盖，当用户集中在某一区域使用时，带宽瓶颈会比较明显。5） 无论是11g标准和11a标准下，无线信号都是在距离增加/穿越障碍物（如墙体）时产生信号衰减。由于用户是处在不同的办公室或教室使用网络，也就是说，在AP信号覆盖范围内，处于不同位置的用户接受到的信号强度不同。根据带宽和信号强度成正比的理论能够得出，每个用户可用的无线网络带宽差距非常大。这个信号较差的终端（用户）根据自身的信号强度，在1, 2, 5.5, 6, 9, 11, 12, 18, 24, 36, 48, and 54 Mbps之间选择一个最佳带宽和AP进行通

50、信，如果有部分终端只能在1, 2, 5.5, 6, 9, 11Mbps之间进行通信，那么所有关联到该AP下的用户带宽都会形成较大的影响。如果采用较少的AP或采取室内少量AP覆盖无线信号衰减较大，在目标覆盖区域内客户端接收到的信号强度会差异很大，从而影响所有用户的可用带宽。4.3 无线网络覆盖方案校园中需要上网的用户数在最近几年持续快速增长，越来越多的老师拥有了笔记本电脑。其次，在如今的校园中，多媒体教学已成为重要的教学手段，对包括无线网络在内任何一种上网方式的带宽的要求越来越高，其代表是大型会议室和教室，特别是软件或者多媒体课程的大教室。高密度覆盖区的单位面积业务量要求高，这种情况下主要解决容

51、量问题；而大范围覆盖地区业务量低，主要解决覆盖问题。不过在无线覆盖中，业务容量和覆盖范围是一对矛盾。一般地，容量和覆盖半径成反比关系。在一定条件下，缩小覆盖半径能够提高业务容量；减少容量能够提高覆盖半径。如何找到一个平衡点，合理确定覆盖半径来达到覆盖区域所必须的容量是大范围、高密度覆盖必须要考虑的问题。对于上网人数比较集中、数据流量较大、空间比较固定、无线信号要求比较集中，这种应用环境中我们可按照蜂窝状布设多个AP。虽然每个AP能够承担几十甚至更多用户同时上网，但从实际300M数据传输网络利用率考虑，推荐稍微密集地布设无线接入点，每个AP同时在线用户最好控制在20-30为左右。同时对AP的工作

52、信道进行规划，避免同道和邻道的干扰，将各相邻AP的信道分别设置为信道1、信道6 和信道11，这包括对同一楼层以及上下楼层之间相对接近的AP信道的设置。无线接入点间的间距控制在1020米之间，安装位置点能够是天花板、墙壁等较隐蔽的地方，有掉顶的地方尽可能选用吸顶天线。在以下为各学校楼宇无线覆盖简要说明，具体请参见各校无线覆盖图纸。4.3.1 综合楼无线覆盖在有线网络的环境中，人员座位的调整、部门办公室的调整等都非常麻烦。网络扩容升级时，有线电缆本身并不贵，可是请技术人员设计和实施布线的成本很高，布线结束后重新装修办公环境的花销也是笔不小的费用。无线网络移动办公能够使人们在综合楼走廊的任何地方获得

53、网络连接，特别适合于那些经常移动而又需要网络连接的教师。另外对下课到教师休息室临时休息的教师也相当方便，“活动办公桌”能使这些教学人员在她们所到的任何办公室建立临时网络连接。这样大大提高了办公网络的灵活性，节约了开支降低了成本，进而提高了工作效率。4.3.2 教学楼无线覆盖现代教学的互动性大大增强，另一方面，教学的信息量增大了很多倍，在课堂上，学生不再仅仅是被动的听者，也是互动教育的参与者，学生能够用自己的资料来参与教学；同时这些数据需要共享，需要在课堂上显示，并允许老师和同学们共享文件；再者，同学们能够从此摆脱抄写教案的传统方式，以便更加集中精力参与教学。4.3.3 会议室覆盖会议培训场所的

54、格局要比教室复杂得多，根据每次会议或是培训的内容形式不同、参加的对象以及人数的不同，对整个场所信息点的安排是截然不同。以往一般只能采用墙面或是地板安装固定的信息点，而无线网络的使用使得会议培训场所的座位摆放能够随心所欲，根本无需顾虑以往无法安排网线的尴尬。会议室在实现无线网络覆盖时，要充分考虑到对美观方面的要求，在工程设计和实施过程中，要绝对保证原有的装修效果不受工程的影响，注重其美观性。因此采用的无线网络不但要有充分的可靠性，所设计的网络要能完全覆盖整个会议厅，做到无盲点存在，保证在礼堂或会议厅的任何角落都能稳定的连接到校园网络，经得起多人使用时频繁访问导致的无线网络系统压力剧增的考验，尽量

55、消除单点故障对整个无线网络的影响。经过上述几种无线覆盖方式，在学校校区所有教学办公区域都可经过无线联入校园网，形成了一个比较完整的校园无线网络系统。5 无线网络安装调试方案根据各个学校的具体情况，经过现场勘测和需求分析，测算校内无线网络设备的分布要求。以需求区域无盲区为安装要点，覆盖学校的教学、办公、会议等区域，实现全校的网络覆盖。设备原则上采用POE供电方式，安装前测试网络线路的连通情况，确保网络及供电的通畅。设备采用挂壁安装方式，需牢固固定，安装高度2.5米以上。机房端经过POE交换机为无线AP供电及传输数据信号，机柜内牢固安装，并连接学校局域网，实现数据的互传。无线AP设备的控制经过无线

56、控制器实现，无线控制器安装于机房，其设置主要包括以下几个方面：n 身份信息的登录n 个人口令及权限的设置n MAC地址绑定n 终端密码设置n 来访用户权限设定n 学校个性化策略设置n 漫游策略设置详细设置方案在与学校具体沟通后进行深化。6 全区无线用户漫游规划当前，区内已有多所学校实现了校区无线覆盖，将来还会有更多学校或局下属机关建设无线网络，越来越多的学校教师已配备或准备配备带无线上网功能的笔记本。随着学校之间的交流越来越频繁，来往于不同学校之间的老师，对随时随地经过网络获取信息有着强烈的要求。假如无线网络系统能很好地结合现有的光纤环网组建成一个区内无线漫游平台，将来能够在全区任意教学、办公

57、地点都能实现无线上网，那么区内移动办公将成为现实。在现实使用中，由于用户来到她校后自己所在学校的账号将无法使用，就会使得用户在急需访问网络时却没有上网账号，造成信息获取上的困难。XXX品牌公司无线网络系统解决方案为这一潜在需求提供了可扩展解决方案，可帮助多个学校之间用户实现漫游认证。6.1 区内无线用户漫游认证方案已有多所学校采用XXX品牌的无线网络系统实现了校区无线覆盖，将来还会有更多学校或局下属机关建设无线网络，越来越多的学校教师已配备或准备配备带无线上网功能的笔记本。随着学校之间的交流越来越频繁，来往于不同学校之间的老师，对随时随地经过网络获取信息有着强烈的要求。假如无线网络系统能很好地

58、结合现有的光纤环网组建成一个区内无线漫游平台，将来能够在全区任意教学、办公地点都能实现无线上网，那么区内移动办公将成为现实。本方案利用区内各所学校（已开通无线网络的学校或单位）和区教育信息中心现有的光纤环网进行互连互通，即各所学校校内网络均能够直接访问到区教育信息中心骨干网，我们在区教育信息中心增加一台BMS系统，BMS系统用于处理各校无线网络控制器发来的用户漫游认证请求，并识别漫游用户实际所属学校，并将认证请求转发至相应学校无线网络控制器上认证，从而实现全区范围内用户的漫游。全区内用户漫游拓扑如上图所示，某用户为A校用户，当该用户离开A校到B校进行网络登陆时，用户使用其的账号进行登陆，其认证

59、请求将被提交给B校无线网络控制器，B校无线网络控制器判断出该用户的账号非本校，从而将用户认证请求转发至位于区教育信息中心的BMS上进行处理，BMS判别该用户为A校用户，则将认证信息直接转发至A校无线网络控制器上进行认证，当收到A校无线网络控制器通知该用户账号信息合法时，位于区教育信息中心的BMS马上通知B校无线网络控制器，告知其该用户合法准予放行，如此用户即可在全区内各学校间进行漫游认证访问。用户在漫游时，采用如上图所示的下拉列表方式的进行漫游认证，本校用户在进行认证时，选择“Local”，漫游用户只需选择自己账号所在学校名称即可，最大程度上简化了用户的操作。6.2 方案特点1) 实现全区各校

60、无线网络用户账号的漫游认证访问，实现了全区各校无线网络的互连互通2) 采用“用户名+学校名”的形式进行漫游认证，完全基于现有WEB+DHCP认证方式，用户操作简便3) 提供完善的用户管理平台，能够灵活地区分各种不同类型用户4) 能够对无线用户提供灵活的ACL策略控制，从而更有效地利用网络资源5) 能够记录用户详细的上网日志，区信息中心能够集中管理和查询各校上网日志6) 能够集中监控用户，区信息中心能够及时发现用户访问异常现象7) 能够对全区各校无线网络运行状态进行监控，发现故障能够及时通知各校网管人员，减少断网维护时间8) 提供全中文化的操作界面，降低了操作难度、提高了工作效率7 方案优势 1

61、) 无线AP接入网络不受license限制，具备灵活的可扩容性；2) AP功率在国家规定的范围内，对人体的没有伤害；3) 提供外接天接口，安装灵活，有效保证信号的强度；4) 设备支持最新IEEE802.3at标准（兼容IEEE802.3af）POE供电，有利于保护投资，避免交换机升级造成的不兼容；5) 单台AP功耗较小，有利于节能降耗；6) 提供全中文化的操作界面，降低了操作难度、提高了工作效率；7) 可快速实现全区无线用户单一帐号漫游认证。系统主要产品介绍7.1.1 无线接入点AK2400-ZDC工作在2.4G频段，采用MIMO-OFDM调制技术。能提供300Mbps的数据传输速率。具有传输速率高，接收灵敏度高，传输距离远等特点，为运营商、ISP、行业企业提供了有力的解决方案。l 支持胖/瘦AP一体，可经过软件转换l 支持MIMOl 支持WMM特性l 支持链路完整性校验l 自动功率调整l 频率自动调节l 负载均衡产品特性支持标准- IEEE802.3u MDI / MDIX 10/100/1000 Base-T Ethernet- IEEE802.11b/g wireless LAN standard- IEEE 802.11n wireless LAN standard支持的协议 TCP/IP, IPX, NetBEUI瘦AP工作特性FIT AP零配置支持DH