《学生宿舍无线覆盖》由会员分享,可在线阅读,更多相关《学生宿舍无线覆盖(25页珍藏版)》请在金锄头文库上搜索。
1、. . . . .某学院学生宿舍无线覆盖方案河北晓通网络技术有限公司2016年10月 目 录一、 校园无线网概述3二、 校园无线网设计4三、 无线宿舍设计方案9四、 无线设备清单11五、 设备简介121、 校园无线网概述校园里不同的用户使用习惯不一样,用户的终端类型也千差万别,有用户使用iphone手机的;有用户使用平板电脑的;有用户使用PC笔记本的;有用户使用无线POS终端的(校园的商铺用)。用户的终端不一样,对无线网络的要求也不一样:1. 智能终端的发射功率远远低于笔记本电脑,2. 智能终端的极化方向为单极化方向,而用户使用智能终端的习惯又各不相同,因此,采用单极化天线的传统AP无法适应与
2、其采用不同极化方向的终端。因此,智能终端的在传统WIFI网络中的表现很差,平板电脑也是相同原理。为了解决这个问题,Ruckus公司的AP中都采用了独特的天线设计及电路设计,因此,具有极高的接收灵敏度,同时Ruckus公司 的AP都采用了双极化天线设计,因此,无论无线终端使用哪种极化方向去传输或接收,Ruckus公司 AP都可以很好的支持,使无线性能不会衰减。校园里的学生在宿舍里也希望通过无线网络进行连接,传统的校园都是采用学生自己的设备来搭建无线网络,同时运营商也采用自己的网络来部署无线网络。这种情况下无线环境会变得很复杂,同时学生的的视频应用会占用很大的带宽。为了解决抗干扰的问题。使用Ruc
3、kus AP的Beamflex 专利技术可以实时判断最佳RF传输路径,无论环境中存在wifi 或非wifi干扰,Ruckus AP中自带的最佳路径算法都会以用户的最终性能为标准,计算出当前环境下的最佳路径,从而有效避开干扰。Ruckus 的智能天线技术使得AP时刻计算用户所处的位置,并变换天线模型,在任意时刻都是采用窄波束进行传输,因此系统间相互的干扰比传统的AP系统间的干扰小很多。2、 校园无线网设计校园的无线网络设计采用PoE供电方式,由新增的PoE交换远程为Ruckus的无线AP进行供电,以超五类网线互联,最后通过新增接入交换机连接接入有线网平台交换机,整个无线网可以实施灵活的无线VLA
4、N划分和各级认证加密。AP采用POE供电因此实际部署时AP可以直接接入到现有的有线系统交换机中,尽量减少施工难度和施工周期,同时对现有网络架构也不会造成任何的改变,同时Ruckus公司无线采用分布式转发,即数据通过无线AP转换进入有线网后直接通过交换机进行转输,因此稳定性较高即使出现无线控制宕机的情况也不会影响现有用户对无线网络的使用,同时分布式转发架构所有的数据转发通过AP直接进入有线网络不需要AC进行转发,因此AC特理性能不需要配置太高,AC只需实现对AP注册接入用户认证,加密等控制策略即可。多业务区分设计使用无线网络可以分为不同的无线接入业务类型。因此,在设计上采用无线局域网多SSID技
5、术,设置多业务区分方式。在一个无线局域网内可以设置多个SSID,例如一个SSID可给内部员工所用,而另一个可给外来的客户专用。由于用户一般把SSID看成VLAN,所以他们都会惯性地以VLAN概念来划分SSID。其实在一个AP范围内,不管用户连接到那一个SSID它们实际上都是在同一个802.11广播域内,因为无线电波的传输是共享。一个最简单的例子就是AP把不同的SSID名字广播,所以当无线终端在这个AP覆盖范围内启动时,它就能同时看到多个SSID。SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。为什么要把不同的安全加密协议设置在不同的SSID呢? 802.11的标准内定义了不同
6、加密情况时数据包的封装格式,所以在用户的无线接入使用不同的加密程式,例如:WEP,TKIP(WPA),802.11i(WPA2)等等,不同加密方式不能在同一个SSID内同时存在的。要注意的是SSID可以覆盖全网,也可以只局限于园区网内的某些范围。一般的情况下是全网开通,例如:客人(Guest)使用的SSID;但有些SSID则可能供某些部门使用,所以它的覆盖范围通常只会局限在某些范围内。网络与用户管理Ruckus无线系统中可以设定用户的角色(role),每个role可以基于用户权限和可访问资源的设定等规则。用户权限是Ruckus ZoneDirector的功能,是针对无线接入的特性而设计。一般的
7、用户接入不同的SSID时只具有该SSID或VLAN所对应资源的访问权限,所以访问不同的VLAN的资源需要分别登录不同的SSID,这样是十分不便的。Ruckus的基于用户角色的权限管理是与用户认证捆绑在一起,当无线用户成功通过认证后,他会获得一个预设的用户角色权限,访问其他SSID对应的网络资源。这样,一个具有全部权限的用户通过一个SSID登录后,可以访问所有SSID对应的语音、数据和视频业务的权限,从而简化了用户的权限设置和用户管理的复杂性。一般在用户权限设计中,可以将来宾和普通用户的权限设置的较低,只能访问有限的资源,且优先级较低,并且有带宽的限制。其他用户可能有较高的权限,可以访问更多的学
8、校资源,或者对某些特殊的来宾开放某些VIP账号,分配给其较高权限的role。在带宽方面可以做比较宽松的限制。所有这些在配置、使用和管理上都非常符合一般企业的网络管理需求。无线安全性设计在Ruckus无线系统中,可以在多个层面对系统构筑安全防护,其安全性设计如下:(1)多SSID:可以根据需要,如用户的种类、应用的种类,在Ruckus无线系统中设置多个SSID,不同的SSID采用不同的安全策略,这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式,该SSID不广播,用户无法看到,防止非法用户的连接企图。SSID还可以选择在某些AP上出现,某些AP上不出现,限制SSID出现的范
9、围也是实现安全性的一种手段。(2)加密:Ruckus无线系统支持多种加密的方式,二层的加密支持静态WEP、动态WEP、TKIP、WPA、802.11i多种加密方式,三层的加密支持IPSec VPN加密,这样使得加密的方式更加的灵活,可以根据实际需求进行选择。(3)用户认证提供三种方式: WPA-PSKcaptive portal+VPN。加密方式采用WPA-PSK,不建议采用静态WEP,因为有安全隐患。采用captive portal+VPN的认证方式,同时VPN还具有三层的加密功能,具有更高的安全性。认证服务器的选择比较灵活,可以使用RADIUS, LDAP, Windows NT, Act
10、iveDirectory, TACACS,甚至是Ruckus交换机内置的帐户数据库。 WPA+802.11x加密方式尽量采用WPA,如果客户端不支持也可采用动态WEP,认证方式采用802.11x,认证服务器选择RADIUS。 Dynamic PSKDynamic PSK是Ruckus专利的用户认证和加密技术。传统的无线加密密钥对所有的用户是相同的,相当脆弱;而且长度较短,容易被解码。Dynamic PSK技术为每一个用户提供一个64字节的密钥,实现完整而且非常安全的认证加密手段。(4)用户的Role(角色):每一类用户可以建立一个相关的Role,每个Role有一个用户状态防火墙的设定和带宽控制
11、的设定,这样我们就可以将设定的安全策略加载到每个用户身上。(6)带宽控制:可以对每个用户设定其可以使用的带宽,一方面可以限制其对网络资源的占有,另一方面,当该客户端中了病毒以后,其病毒发作时不会占用网络全部的带宽。(7)认证系统支持: Ruckus无线系统支持多种认证系统,诸如Radius、微软的AD(活动目录)和在Ruckus无线交换机内部的Internal DB等等。移动漫游设计无线用户移动漫游,涉及到多个层次的漫游,最为简单的是二层漫游,其他厂家产品都表现不错,三层漫游就困难多了,还有当用户跨越多个域时怎样无缝漫游,Ruckus无线局域网可以实现快速无缝漫游功能。L2/L3层漫游在传统的
12、无线局域网内,无线终端要跨越不同AP之间漫游是有一定的困难,因为不同AP之间,它的无线用户IP子网可能都不是在同一个VLAN内。所以当无线终端从一个AP漫游到另一AP时,由于它们之间的缺省IP子网不同,无线终端会重新发出DHCP请求,这样的话终端的IP地址就会更新,所有在原先AP建立的连接都会被切断。过去为了解决跨越三层的漫游,有些用户采用了Mobile IP的技术,但Mobile IP的缺点是它必须在无线终端安装软件。这是一般网络管理人员不愿意做的事情,因为它们就必须支持和维护用户的无线接入端。通过Ruckus 无线系统,可解决了跨越不同三层IP子网的无线漫游问题。 当无线终端从一个AP的I
13、P子网漫游到另一个AP的不同IP子网时,它重新发出的DHCP请求,会从AP端的Ruckus ZoneDirector转发到原有子网的ZoneDirector(用户从那一个AP获取它的IP地址),这样ZoneDirector就了解到用户漫游到了哪个相邻的ZOneDirector。用户的原来所在的ZoneDirector会将发送到该用户的数据发送到漫游到的Ruckus ZoneDirector而后发送到用户现有的IP地址。无线用户已漫游到另一个IP子网,但它的流量不会中断,直到用户完全漫游过来(其对端了解了其IP地址的变化)。代理DHCP 的优点是无要在用户终端安装任何软件就可让终端无缝的在不同I
14、P子网之间漫游。智能天线技术, 更少的AP数量, 更大更有效的覆盖AP的天线是由多根水平和垂直极化天线组成的智能天线矩阵系统,可以提供4095种天线模式,系统控制软件利用构建在802.1MAC层协议中的反馈机制不停的为每一个接受设备调整天线模式。通过为每一个接受设备选择一个优化的天线阵列,BeamFlex能够扩展无线覆盖范围和更高的通讯速度。在具有多个房间和隔断(包括承重和非承重墙)的二层400多平米的居室里,能够提供15-20M的稳定的数据流。这一技术将大大减少用户在热点地区AP的部署数量,节省用户的投资。抗干扰能力强智能天线系统通过检测射频和多径问题以及邻居网络噪声带来的干扰,能够实时重新
15、自我配置和调整,使得AP在一个不断变化的环境中从多种不同质量的信号传输路径中立即选择一个最优的传输路径。在办公楼中,由于AP众多,在每个频道都有多个AP,因此无法通过跳频来解决干扰问题,而又不想因为缩小功率而减少覆盖范围,Ruckus AP可以通过改变传输路径来避开干扰,保证数据的可靠传输。如下图,AP通过改变传输路径,避开手机的干扰。AP通过改变传输路径,将信号有效覆盖到承重墙后边的区域。3、 宿舍无线覆盖设计方案 本项目为学生宿舍上网使用,目前没有有线网,计划使用无线网络进行全面覆盖。 覆盖范围有5栋学生宿舍楼,约80米长,2层楼结构,楼两面有房间,楼道在外侧,门向外开,有玻璃窗。每房间平均约为14名学生,每栋楼32个房间,5栋楼满员为2240人,平均每栋楼单面为224人,每设备注册为不超过60个用户设计,每个AP可覆盖4个房间,共需要40台无线接入AP,1台无线控制器,建意出口带宽不小于200M。注:考虑到用户数不会有满员有情况,但会出现一人多终端的使用需求,所以接入点以满员情况进行设计,不少于40台。示意图一:AP布置在每层楼的外侧楼道顶部。无线控制器可部署在网络机房,每楼部署2台8口POE交换机,为无线接入点提
