名称描述内容

教育（学校）行业无线网络解决方案

来源:|作者:pmo624315|发布时间: 2016-12-21|102 次浏览|分享到:

1.背景

随着信息科技的不断发展，智能终端的快速普及，传统的有线网络已不能满足快速移动上网的需求，尤其在校园网络里，学生电脑普及率越来越高，随时随地接入网络地需求使WLAN的出现成为必然，它实时、可移动、高带宽的特性深得师生喜爱。无线教学、VoWiFi、无线监控、无线多媒体播放等增值业务给WLAN带来巨大的发展空间和潜力，成为大规模部署WLAN网络的助推器。

无论是在教室、实验室，教师可以移动办公；还是在操场草坪，学生可以随时用笔记本上网浏览课件和随时随地阅读和学习；或是在学生公寓，学生可以密集下载大流量教学视频等，WLAN的作用不容小觑，它性价比高，施工周期短，易扩展和管理，是有线网络的有效补充。

校园用有线网络和无线网络的对比：

	有线网络	无线网络
移动性	受端口限制	随时随地移动接入
漫游性	受地理位置限制	无缝快速漫游
扩充性	重新布线	灵活增加接入点，布线简单
建设成本	人力、物力、资金投入高	节省人力物力，价格低廉
施工	施工周期长；对周边环境影响大	周期短，布置方便美观

2.教育（学校）WLAN系统建设思路

运营级WiFi网络建设要求从网络覆盖、组网架构、网络质量和网络管理维护等多方面着手，全方位提升定位和网络质量，具体思路如下：

Ø 实用性：以现行需求为基础，充分考虑发展的需要来确定系统规模

Ø 先进性：采用先进成熟的网络理念、技术、方法与设备，反映当今先进水平，又给未来的发展留有余地；充分采用目前国际、国内流行、成熟的技术，保证网络能适应技术的快速发展。

Ø 可靠性：系统设计能有效避免单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。

Ø 规范性：系统设计所采用的技术和设备应符合WLAN国家、国际标准，为系统扩展升级、与其他系统互联提供良好的基础

Ø 开放新及标准化：在设计时，要提供开放性好、标准化程度高的技术方案，设备的各种接口满足开放及标准化原则

Ø 可扩展性：系统不但满足当前需求，并在扩充模块后满足可预见的将来的需求，保证建设完成后，系统在向新的技术升级时，能保护现有投资。

Ø 可管理性：整个系统的设备易于管理，易于维护，操作简单，便于进行系统配置，在设备、安全性、统计、性能等方面得到很好的监视和控制，并可以进行远程管理、故障诊断处理。

3. 教育（学校）行业WLAN系统设计

3.1.系统组网设计

WLAN系统的网络架构应适应各种规模、分布式组网的需求，在满足单个网点网络接入的同时，支持未来更多网点的接入，方便运维管理、系统升级等。AC等核心网元支持大容量、少节点的设置原则，逐步构筑集中、安全、网络架构。

系统组网架构如下图所示：

WLAN系统系统组网架构示图

学校各个建筑内部署无线接入点，并通过汇聚统一出口，接入互联网出口，与业务单元建立管理、控制隧道，进行数据交互。业务单元支持大容量灵活扩容，AP、业务单元、认证方式统一在管理控制平台上配置管理。

运营级用户分级：

系统支持运营场景下的多用户多层级，符合WLAN运营场景下不同的管理员管理不同的业务单元，不同的代理用户管理不同的AP的需求。在不同的分校、不同建筑或者大学城场景下，代理用户分级管理无疑减轻IT运维的最好方式。

1. 超级管理员具有系统所有功能权限，包括AC管理、资源管理、运营管理、设备管理、AP配置、接入控制、监控等；

2. AC管理员用于管理指定AC组下所有AP，只要在指定AC组上线的所有AP，AC管理员都可以管理；

3. 代理用户可以管理归属于自己的AP。

代理用户界面呈现：

系统支持的分级代理管理功能，可为多个代理用户开设管理账号，由管理员绑定对应的AP后，代理用户可以单独自定义热点属性（业务、认证方式等）。

代理用户管理界面

支持一键跳转至运营平台，提高可操作性

3.2. 设计技术指标

1) 工作频段：我国国家无线电管理委员会分配给 ISM 系统的频带为2.4GHz、5.8GHz本项目室内WLAN接入系统将采用上述频段。

2) 无线覆盖区内可接通率：要求在无线覆盖区内的 95%位置，99%的时间无线网卡可接入网络。

3) 无线AP从PoE交换机发送大、小ping包，不丢包。

4) 主要覆盖区域测试信号强度不低于-75dBm。

5) 当无线控制器与网络断开时，无线终端不断网，保持网络正常运行。

3.3. 多场景区分设计

3.3.1.室内覆盖

教学区

教学区，使用无线网络教学时有大量的学生实现密集的接入，建议每台教室部署2台AP做负载均衡，使用吸顶式 AP固定滑槽式安装，基于802.11b/g/n/ac标准，最高可提供1.2Gbps的数据传输速率。每台 AP负载用户建议在40-60个，如果是大型的教室，则按照负载用户数对应增加AP数量。

宿舍区

对于宿舍区的无线覆盖，建议将AP吸顶安装在客房外的走廊顶上，使用汉明吸顶式 AP对两侧的宿舍进行无线覆盖，每个AP覆盖4-6个房间。

图书馆

图书馆分布有多个大型自习室和多个中型阅览室。图书馆的无线覆盖将采用楼内覆盖模式，通过在自习室、阅览室区域部署无线接入点产品，结合部署的有线网络架构，完成相关区域的无线网络上网需求。本方案中，使用汉明吸顶式 AP对图书馆区域进行室内覆盖，示例如下：

3.3.2.室外覆盖

主要是为了满足体育场、篮球场、广场、草坪等室外相关区域的无线覆盖。室外AP的布点一般选择于楼顶，采用“大功率无线AP+定向天线”，可达500米辐射半径，使用CPE接收则可达1-2千米覆盖范围。本项目建议采用500mW大功率室外AP，最高可提供1.2Gbps的数据传输速率，搭配 MIMO双极化智能阵列天线，可以满足室外恶劣的环境下大范围的无线覆盖。IP67标准的环境防护等级，具备完善的防水、防尘、防震、防雷等措施。

操场、广场、篮球场等室外大范围覆盖

3.4.用户认证与加密

本项目设计的无线系统中，可以在多个层面对系统构筑安全防护，其安全性设计如下：

（1）加密：无线系统支持多种加密的方式，二层的加密支持静态WEP、动态WEP、TKIP、WPA、802.11i多种加密方式，同时支持中国无线安全WAPI标准等，这样使得加密的方式更加的灵活，可以根据实际需求进行选择。

（2）用户认证：认证系统支持：无线系统支持多种认证系统，诸如Radius、802.1X、Portal认证、MAC 地址认证等等。学校项目中建议：

① WPA-PSK＋802.1x认证。

加密方式采用WPA-PSK，不建议采用静态WEP，因为有安全隐患。采用802.1x的认证方式，结和域和CA证书，具有更高的安全性。认证服务器的选择比较灵活，可以使用RADIUS。

②Web Portal认证方式，对于用户来说不采用任何的加密，认证采用认证计费系统Howay5000PRS，建立用户的帐号和密码。此外，通过IP地址、MAC地址、VLAN号、用户帐号等多元素的绑定，实现多种方式的用户接入访问控制，保证用户接入的安全。

（3）基于用户的ACL控制：用户通过认证以后，会有一个基于这个用户的ACL控制，可以根据每个用户设置他的访问控制策略，比如可以访问Internet,不能访问图书馆的服务器，只能访问WEB网页和收发邮件，不能运行P2P的软件等。

（4）安全策略：

Ø 隐藏SSID，不主动广播SSID信息，终端采取主动寻找方式进行接入，可以防范外来用户使其无法搜索到该SSID的信号，故也无法接入。

Ø MAC地址过滤功能，只有特许的mac对应的wifi终端才能接入。

Ø 用户隔离功能，接入同一SSID的用户之间二层隔离，保障二层安全，避免ARP攻击、DHCP饿死攻击、广播风暴等二层攻击行为。

3.5.WLAN信道与频率

AP的信道根据蜂窝结构的原则，采用不同信道避免同频干扰，根据现场实际环境划分。经过合理的布点及天线控制，剔除洗手间、楼梯间、机房等盲区，将整个覆盖区域形成一个无线整体，保证边缘区域信号强度在-75dBm以上，同时，预计将使用无线的三个信道（1、6、11），使得各个AP在正常工作情况下不相互冲突，形成平面结构上的蜂窝状无线网络，各个AP即独立工作，又是统一整体，实现漫游切换，网内查找等多种无线应用；对于楼层结构相同且AP布点位置相同的楼层，上下楼层之间将AP位置进行错落布置，形成空间立体的蜂窝网络，消除盲区及信号微弱区，最大化的利用无线网络的整体性。

信道分布水平示意图如下：

楼层间的信道分布垂直示意图如下：

AP功率调整将依据现场实际环境规划。

3.6.网络与用户管理

1、设备和用户管理

通过AC进行设备的状态监控，在线、离线状态告警等。

用户的在线状态监控，上线、下线

3、AP软件集中升级

AP+AC架构决定AC可以统一管理AP的软件升级，目前提供FTP升级和CAPWAP升级。FTP升级是将升级软件放在一台FTP服务器上，AC与其对接；CAPWAP升级是将升级软件放在AC上。上述AP升级方式都可以对单独AP升级或者对AP组升级。

4.方案特点

4.1. 畅快的接入体验

由于多数的802.11n设备是为2.4GHz频段设计，2.4GHz本身的可用信道较少，同时还有其它工作于2.4GHz频段的设备(例如蓝牙，微波炉、无线监视摄像机等)的干扰，即使在双空间流40Mhz频宽下其连接速率能达到300Mbps，但是实际网络环境中，由于相互的信道冲突等原因，其实际吞吐并不高，用户体验差。本套系统采用802.11ac AP进行覆盖，支持2.4GHz和5.8GHz两个频段，采用双频MIMO 2x2、OFDM等技术，最高可提供1.2Gbps的数据传输速率，是11n 产品的4倍。AP内置高性能双频 MIMO天线和500mW的射频芯片，最大限度避免干扰，配合强大的吞吐能力，为用户提供高速、畅快的接入体验。

4.2.高可靠性

无线设备在瘦AP的模式下，如果AP和AC的通信中断，AP会自动切换为独立工作模式，保持原有用户网络继续正常使用，并可接入认证新的用户。在通信恢复后会自动注册到AC，全程用户无感知。

AP独立生存功能，保障业务可靠性

支持100毫秒业务备份，AP会同时和两台无线控制器建立CAPWAP链路，一台作为主控制器，另外一台作为备份控制器，但只有和主控制器建立的CAPWAP链路处于工作状态。当主控制器异常down机时，备份控制器和主控制器之间的心跳检测机制可以保证在100毫秒之内检测到主设备的异常，并通知AP将主控制器CAPWAP链路切换，保证控制信号的不间断传送。

AC支持1+1双隧道热备份

4.3.智能射频管理及负载均衡技术

无线控制器内提供自动功率和信道调整功能。通过专有的射频检测和RF管理算法，优化射频覆盖效果。当AP信号受到外界强信号干扰时，通过控制AP自动切换到合适的工作信道以规避干扰信号，保障WLAN通信的畅通。

支持黑洞补偿功能，在某个AP出现故障时，能够自动加大周围AP的功率以保障覆盖效果。

支持对非法AP的探测以及反制，对于钓鱼AP以及仿冒AP，可以迅速识别，并通过监控以及反制功能，攻击钓鱼AP使用户无法连接，避免损失。

支持按接入用户数量和流量的负载均衡方式，当无线控制器发现无线接入设备的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的无线接入设备可供用户接入，如果有则会拒绝用户的关联请求，用户会转而接入其他负载较轻的无线接入设备，但如果无线用户不在重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。汉明科技创新性的支持智能负载均衡技术，保证只对处于覆盖重叠区的无线用户才启动负载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。

4.4.终端智能识别与BYOD

采用业界领先的智能终端识别技术，可以根据终端特点，智能识别终端类型以及系统类型，自适应弹出不同大小、页面格局的Portal认证页面。终端智能识别技术可以智能识别用户设备，用以适配不同大小的页面，免去了用户多次拖动，调整屏幕的操作，同时还可以为不同用户提供不同的上网策略，为用户提供更加智能的无线体验。