无线网络组网设计方案总体方案设计组网拓扑如下:赤公楼 龛学楼 综台委 1# 运社名本项目建议采用“FIT AP +无线控制器”的组网模式,办公楼每个房间面积较小、使 用要求较高,建议采用基于802.11ac技术的吸顶/壁挂式AP(AP2000-2C),建议每个房间 部署一个,共计18个AP2000-2C,保证教职工办公的高效与稳定;教学楼每个教室面积较 大,对AP的覆盖范围要求较高,建议采用迪普科技吸顶^壁挂式AP(AP2000-2C),建议每 个教室部署一个,共计45个AP2000-2C;综合楼为400平米食堂及400平米阅览室,需要 部署多个吸顶/壁挂式AP(AP2000-2C),吸顶/壁挂式AP保守覆盖半径为10m,保守覆盖 面积为314平米,故每层需部署2个吸顶/壁挂式AP才能完成整个综合楼无线全覆盖,共 计4个AP2000-2C;宿舍相对面积较小、速率要求相对较低,建议每个宿舍部署一个迪普科 技嵌墙式AP(AP2000-2W)完成宿舍无线全覆盖,共计200个;运动场地处于室外环境, 需要部署室外AP,室外AP (AP2000-2X)保守覆盖半径为300米,可实现运动场无线全覆 盖,共计1个;建议于核心交换机旁挂高性能ACS6000-GC无线控制器,实现对所有无线 AP的统一管理、下发策略。
建议办公楼部署1台24 口 POE交换机LSW3600-24GT4GP-PWR,教学楼部署1台48 口 POE 交换机 LSW3600-48GT4GP-PWR,综合楼部署1台8 口 POE 交换机 LSW3600-8GT2GC-PWR,宿舍楼部署 4 台 48 口 POE 交换机 LSW3600-48GT4GP-PWR、1 台24 口 POE交换机LSW3600-24GT4GP-PWR,运动场部署1台8 口 POE交换机 LSW3600-8GT2GC-PWR,用于网络互连及无线POE供电;建议部署2台高性能框式交换 机DPX8000-A3进行冗余备份,用于核心互联、高并发数据交付;建议部署2台下一代防 火墙进行冗余备份,实现地址转换、12-7层安全防护方案要点频点规划由于每一层楼面都存在多个入墙式AP以及吸顶式AP,在无线覆盖上需要提前做好信道规划在2.4GHz频段下,互不干扰的频段有3个,分别是1信道,6信道和11信道2.437MIHJ ^.4&2MHz同一楼层的房间WiFi信道规划采用蜂窝式规划,如下图3个互不相邻的独立信道保证了整个楼层的无线覆盖没有同频干扰并且由于入墙式AP的发射功率不像传统AP那么大, 从三维的角度,不同楼层的房间,上下也不会产生同频干扰,保证了无线信号的质量。
链路预算在的无线网络规划中,链路预算通常分为三个步骤:1. 根据接收灵敏度、衰落冗余、干扰冗余、业务承载能力需求等参数得到接收点处 所需要的接收功率;2. 再根据发射源的实际发射功率,计算出在室内所允许的路径损耗(室内路径损耗 等于自由空间损耗加上附加损耗因子,且随距离成指数增长);3. 最后结合合适的传播模型,计算出平均覆盖距离而就电波空间传播损耗而言,2.4GHz频段的电磁波有近似的路径传播损耗,计算公式 为:PathLoss(dB) = 46 + 10 * n *Log D (m)其中D为传播路径,n为衰减因子针对不同的无线环境,衰减因子n的取值有所不同 一般来说,对于全开放环境下n的取值为2.0〜2.5;对于半开放环境下n的取值为2.5〜3.0; 对于较封闭环境下n的取值为3.0〜3.5在环境中取值n=3根据最大允许的链路损耗t、以及实际测量得到的衰减因子n,根据上述公式即可计算 出最大覆盖距离D2.4G无线链路预算如下表:参数数值备注总体工作频点2.4G调制速率(Mbps)MCS9 (26Mbps)发射机节点发射功率(dBm)(带天线)15A身体损耗(dB)0.00D接收机终端接收灵敏度(dBm)-79.00F选择合并增益(dB)0H接收天线0G线缆损耗1.5I覆盖概率99.0%标准方差4阴影衰落余量(dB)2.5M快衰落余量(dB)6N噪声恶化(dB)3P最小接收功率(dBm)-66r=f-h-g+i+m+n+p最大允许的链路损耗(dB)81t=a-r所以,2.4G在满足无线传输速率为MCS9时,可以覆盖的范围大于14m。
恰好可以覆盖整 个房间无线安全机制入墙式AP为行业提供了完善的安全机制,除了沿用业界在安全领域取得的最新成果外 (如802.11i、WAPI等),还在入墙式AP和用户终端之间加入私有协议,使空口非法接入和 截获数据成为不可能> 鉴权无线传输系统支持802.1X鉴权,支持RADIUS接口,包括:1. WPA-PSK2. WPA的EAP鉴权,与RADIUS鉴权服务器配合支持PEAP, LEAP等鉴权方式3. RSN/WPA2 (IEEE 802.11i),包括PMKSA缓冲和预鉴权(pre-authentication)无线传输系统支持认证以及应用识别等功能> 安全加密 无线覆盖系统支持以下数据加密算法:1. WEP 40/WEP 104: WEP算法已经被广泛研究并攻击,由于WEP加密的缺陷,经过WEP加密的数据容易被监听破译,一般不再被采用2. TKIP: RC4加密,密钥长度128 bitRC4加密算法可以保证现有系统与新系统之 间的兼容性,但是由于RC4算法本身的缺陷,对于安全性较高的场合,一般不推 荐使用TKIP算法3. CCMP: AES加密,密钥长度128 bitAES算法经过密码专家多年的研究,证明了 其可靠性。
AES算法也是其他安全系统中被广泛使用的算法在安全性要求较高的 地方,推荐用CCMP算法以下是CCMP的加密报文格式:CCMP的加密流程如下:CCMP的加密核心算法是AES,同时CCMP的设计中通过增加序号和消息摘要的保护等 机制,可以有效的防止重放攻击等非法入侵手段禁止入墙式AP的SSID广播根据应用环境需求,入墙式AP设备可设置隐藏SSID,即禁止入墙式AP的SSID广播 防止非法侦听和侵入,无线客户端必须提供正确的SSID才能与无线访问点进行连接,否则 根本搜索不到无线访问点的存在> ACL无线网络控制器根据业务需要,可以根据MAC,IP,协议,端口等条件设置允许访问或 禁止访问规则,避免非法数据的传输> 入侵检测入墙式AP可以记录不成功的接入尝试,并上报到无线网络控制器无线网络控制器对 此类接入尝试告警,以提醒系统管理员可能存在的安全问题> HTTPS支持HTTPS,所有对终端的WEB配置和修改,都通过加密方式进行,避免恶意监听导致 密码和用户名的泄露> DDOS防御优化系统参数,可以防止典型的DDOS攻击。