1、1某学院学生宿舍无线覆盖方案河北晓通网络技术有限公司2016 年 10 月2目 录一、 校园无线网概述 3二、 校园无线网设计 4三、 无线宿舍设计方案 9四、 无线设备清单 11五、 设备简介 1231、 校园无线网概述校园里不同的用户使用习惯不一样,用户的终端类型也千差万别,有用户使用 iphone 手机的;有用户使用平板电脑的;有用户使用 PC 笔记本的;有用户使用无线 POS 终端的(校园的商铺用)。用户的终端不一样,对无线网络的要求也不一样:1. 智能终端的发射功率远远低于笔记本电脑,2. 智能终端的极化方向为单极化方向,而用户使用智能终端的习惯又各不相同,因此,采用单极化天线的传统
2、 AP 无法适应与其采用不同极化方向的终端。因此,智能终端的在传统 WIFI 网络中的表现很差,平板电脑也是相同原理。为了解决这个问题,Ruckus 公司的 AP 中都采用了独特的天线设计及电路设计,因此,具有极高的接收灵敏度,同时 Ruckus 公司 的 AP 都采用了双极化天线设计,因此,无论无线终端使用哪种极化方向去传输或接收,Ruckus 公司 AP 都可以很好的支持,使无线性能不会衰减。4校园里的学生在宿舍里也希望通过无线网络进行连接,传统的校园都是采用学生自己的设备来搭建无线网络,同时运营商也采用自己的网络来部署无线网络。这种情况下无线环境会变得很复杂,同时学生的的视频应用会占用很
3、大的带宽。为了解决抗干扰的问题。使用 Ruckus AP 的 Beamflex 专利技术可以实时判断最佳 RF 传输路径,无论环境中存在 wifi 或非 wifi 干扰,Ruckus AP 中自带的最佳路径算法都会以用户的最终性能为标准,计算出当前环境下的最佳路径,从而有效避开干扰。Ruckus 的智能天线技术使得 AP 时刻计算用户所处的位置,并变换天线模型,在任意时刻都是采用窄波束进行传输,因此系统间相互的干扰比传统的 AP 系统间的干扰小很多。52、 校园无线网设计校园的无线网络设计采用 PoE 供电方式,由新增的 PoE 交换远程为 Ruckus的无线 AP 进行供电,以超五类网线互联
4、,最后通过新增接入交换机连接接入有线网平台交换机,整个无线网可以实施灵活的无线 VLAN 划分和各级认证加密。AP 采用 POE 供电因此实际部署时 AP 可以直接接入到现有的有线系统交换机中,尽量减少施工难度和施工周期,同时对现有网络架构也不会造成任何的改变,同时 Ruckus 公司无线采用分布式转发,即数据通过无线 AP 转换进入有线网后直接通过交换机进行转输,因此稳定性较高即使出现无线控制宕机的情况也不会影响现有用户对无线网络的使用,同时分布式转发架构所有的数据转发通过AP 直接进入有线网络不需要 AC 进行转发,因此 AC 特理性能不需要配置太高,AC 只需实现对 AP 注册接入用户认
5、证,加密等控制策略即可。多业务区分设计使用无线网络可以分为不同的无线接入业务类型。因此,在设计上采用无线局域网多 SSID 技术,设置多业务区分方式。在一个无线局域网内可以设置多个 SSID,例如一个 SSID 可给内部员工所用,而另一个可给外来的客户专用。由于用户一般把 SSID 看成 VLAN,所以他们都会惯性地以 VLAN 概念来划分SSID。其实在一个 AP 范围内,不管用户连接到那一个 SSID 它们实际上都是在同一个 802.11 广播域内,因为无线电波的传输是共享。一个最简单的例子就是AP 把不同的 SSID 名字广播,所以当无线终端在这个 AP 覆盖范围内启动时,它就能同时看到
6、多个 SSID。SSID 的最主要用途是可让无线终端以不同的安全认证和加密方式入网。为什么要把不同的安全加密协议设置在不同的 SSID 呢? 802.11 的标准内定义了不同加密情况时数据包的封装格式,所以在用户的无线接入使用不同的加密程式,例如:WEP,TKIP(WPA),802.11i(WPA2)等等,不同加密方式不能在同一个 SSID 内同时存在的。要注意的是 SSID 可以覆盖全网,也可以只局限于园区网内的某些范围。一般的情况下是全网开通,例如:客人(Guest)使用的 SSID;但有些 SSID 则可能6供某些部门使用,所以它的覆盖范围通常只会局限在某些范围内。网络与用户管理Ruck
7、us 无线系统中可以设定用户的角色(role),每个 role 可以基于用户权限和可访问资源的设定等规则。用户权限是 Ruckus ZoneDirector 的功能,是针对无线接入的特性而设计。一般的用户接入不同的 SSID 时只具有该 SSID或 VLAN 所对应资源的访问权限,所以访问不同的 VLAN 的资源需要分别登录不同的 SSID,这样是十分不便的。Ruckus 的基于用户角色的权限管理是与用户认证捆绑在一起,当无线用户成功通过认证后,他会获得一个预设的用户角色权限,访问其他 SSID 对应的网络资源。这样,一个具有全部权限的用户通过一个SSID 登录后,可以访问所有 SSID 对应
8、的语音、数据和视频业务的权限,从而简化了用户的权限设置和用户管理的复杂性。一般在用户权限设计中,可以将来宾和普通用户的权限设置的较低,只能访问有限的资源,且优先级较低,并且有带宽的限制。其他用户可能有较高的权限,可以访问更多的学校资源,或者对某些特殊的来宾开放某些 VIP 账号,分配给其较高权限的 role。在带宽方面可以做比较宽松的限制。所有这些在配置、使用和管理上都非常符合一般企业的网络管理需求。无线安全性设计在 Ruckus 无线系统中,可以在多个层面对系统构筑安全防护,其安全性设计如下:(1)多 SSID:可以根据需要,如用户的种类、应用的种类,在 Ruckus 无线系统中设置多个 S
9、SID,不同的 SSID 采用不同的安全策略,这样可以对不同的用户及应用进行区分服务。另外 SSID 还可以选择隐藏的方式,该 SSID 不广播,用户无法看到,防止非法用户的连接企图。SSID 还可以选择在某些 AP 上出现,某些 AP 上不出现,限制 SSID 出现的范围也是实现安全性的一种手段。(2)加密:Ruckus 无线系统支持多种加密的方式,二层的加密支持静态WEP、动态 WEP、TKIP、WPA、802.11i 多种加密方式,三层的加密支持 IPSec VPN 加密,这样使得加密的方式更加的灵活,可以根据实际需求进行选择。(3)用户认证提供三种方式:7 WPA-PSKcaptive
10、 portal+VPN。加密方式采用 WPA-PSK,不建议采用静态 WEP,因为有安全隐患。采用captive portal+VPN 的认证方式,同时 VPN 还具有三层的加密功能,具有更高的安全性。认证服务器的选择比较灵活,可以使用 RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS,甚至是 Ruckus 交换机内置的帐户数据库。 WPA+802.11x 加密方式尽量采用 WPA,如果客户端不支持也可采用动态WEP,认证方式采用 802.11x,认证服务器选择 RADIUS。 Dynamic PSKDynamic PSK是 Ruckus 专利
11、的用户认证和加密技术。传统的无线加密密钥对所有的用户是相同的,相当脆弱;而且长度较短,容易被解码。Dynamic PSK技术为每一个用户提供一个 64 字节的密钥,实现完整而且非常安全的认证加密手段。(4)用户的 Role(角色):每一类用户可以建立一个相关的 Role,每个Role 有一个用户状态防火墙的设定和带宽控制的设定,这样我们就可以将设定的安全策略加载到每个用户身上。(6)带宽控制:可以对每个用户设定其可以使用的带宽,一方面可以限制其对网络资源的占有,另一方面,当该客户端中了病毒以后,其病毒发作时不会占用网络全部的带宽。(7)认证系统支持: Ruckus 无线系统支持多种认证系统,诸
12、如 Radius、微软的 AD(活动目录)和在 Ruckus 无线交换机内部的 Internal DB 等等。移动漫游设计无线用户移动漫游,涉及到多个层次的漫游,最为简单的是二层漫游,其他厂家产品都表现不错,三层漫游就困难多了,还有当用户跨越多个域时怎样无缝漫游,Ruckus 无线局域网可以实现快速无缝漫游功能。L2/L3 层漫游在传统的无线局域网内,无线终端要跨越不同 AP 之间漫游是有一定的困难,因为不同 AP 之间,它的无线用户 IP 子网可能都不是在同一个 VLAN 内。所以当无线终端从一个 AP 漫游到另一 AP 时,由于它们之间的缺省 IP 子网不同,无线8终端会重新发出 DHCP
13、 请求,这样的话终端的 IP 地址就会更新,所有在原先 AP建立的连接都会被切断。过去为了解决跨越三层的漫游,有些用户采用了Mobile IP 的技术,但 Mobile IP 的缺点是它必须在无线终端安装软件。这是一般网络管理人员不愿意做的事情,因为它们就必须支持和维护用户的无线接入端。通过 Ruckus 无线系统,可解决了跨越不同三层 IP 子网的无线漫游问题。 当无线终端从一个 AP 的 IP 子网漫游到另一个 AP 的不同 IP 子网时,它重新发出的 DHCP 请求,会从 AP 端的 Ruckus ZoneDirector 转发到原有子网的ZoneDirector(用户从那一个 AP 获
14、取它的 IP 地址),这样 ZoneDirector 就了解到用户漫游到了哪个相邻的 ZOneDirector。用户的原来所在的 ZoneDirector会将发送到该用户的数据发送到漫游到的 Ruckus ZoneDirector 而后发送到用户现有的 IP 地址。无线用户已漫游到另一个 IP 子网,但它的流量不会中断,直到用户完全漫游过来(其对端了解了其 IP 地址的变化)。代理 DHCP 的优点是无要在用户终端安装任何软件就可让终端无缝的在不同 IP 子网之间漫游。智能天线技术, 更少的 AP 数量, 更大更有效的覆盖AP 的天线是由多根水平和垂直极化天线组成的智能天线矩阵系统,可以提供
15、4095 种天线模式,系统控制软件利用构建在 802.1MAC 层协议中的反馈机制不停的为每一个接受设备调整天线模式。通过为每一个接受设备选择一个优化的天线阵列,BeamFlex 能够扩展无线覆盖范围和更高的通讯速度。在具有多个房间和隔断(包括承重和非承重墙)的二层 400 多平米的居室里,能够提供 15-20M 的稳定的数据流。这一技术将大大减少用户在热点地区 AP 的部署数量,节省用户的投资。抗干扰能力强智能天线系统通过检测射频和多径问题以及邻居网络噪声带来的干扰,能够实时重新自我配置和调整,使得 AP 在一个不断变化的环境中从多种不同质量的信号传输路径中立即选择一个最优的传输路径。在办公
16、楼中,由于 AP 众多,在每个频道都有多个 AP,因此无法通过跳频来解决干扰问题,而又不想因为缩小功率而减少覆盖范围,Ruckus AP 可以通9过改变传输路径来避开干扰,保证数据的可靠传输。如下图,AP 通过改变传输路径,避开手机的干扰。AP 通过改变传输路径,将信号有效覆盖到承重墙后边的区域。103、 宿舍无线覆盖设计方案 本项目为学生宿舍上网使用,目前没有有线网,计划使用无线网络进行全面覆盖。覆盖范围有 5 栋学生宿舍楼,约 80 米长,2 层楼结构,楼两面有房间,楼道在外侧,门向外开,有玻璃窗。每房间平均约为 14 名学生,每栋楼 32 个房间,5 栋楼满员为 2240 人,平均每栋楼
17、单面为 224 人,每设备注册为不超过 60 个用户设计,每个 AP 可覆盖4 个房间,共需要 40 台无线接入 AP,1 台无线控制器,建意出口带宽不小于200M。注:考虑到用户数不会有满员有情况,但会出现一人多终端的使用需求,所以接入点以满员情况进行设计,不少于 40 台。示意图一:AP 布置在每层楼的外侧楼道顶部。无线控制器可部署在网络机房,每楼部署 2 台 8 口 POE 交换机,为无线接入点提供数据接入和供电。示意图二:每层楼两面部署 4 台无线接入点,主要是满足接入用户数量和用户使用感受。11124、 无线设备清单产品编号 产品描述 数量 单价 合计 备注无线控制器(AC)901-
18、3050-CN00ZoneDirector 3000 无线控制器,带50个 AP 管理许可。最多可支持500 AP,2个10/100/1000Mbps 以太网接口 1无线控制器主机802-3050-1000 PWS:ZoneDirector 3050 1无线接入点(AP)901-R500-WW00802.11AC 室内 AP,支持2.4GHz 和5GHz 双载频, 2个 以太网口,802.3af/at POE 供电输入和12VDC 电源,2*2:2,1200Mbps。不带12VDC电源模块. 最多支持500 用户.40按4间房一个 AP覆盖计算。POE 交换机S5700-10P-PWR-LI1
19、0每层2台总计135、 设备简介无线控制器 - ZoneDirector 3000Ruckus Wireless ZoneDirector 3000 是首个企业级智能无线局域网系统,它在一个很低的总体拥有成本上,提供了一个安全、可靠,同时又易于扩展的无线局域网解决方案。Ruckus ZoneDirector 3000 的设计理念力求简洁而易用,通过一个中央点,其最多可以管理 250 台 ZoneFlex 802.11g 以及 80211n 智能无线 AP。完全不像传统的无线局域网那么昂贵、复杂、难以部署,对任何一个需要高性能无线局域网而又期望其易于实施和管理的企业来说,选用 ZoneDirec
20、tor 3000 都是再合适不过的了。ZoneDirector 3000 集成了很多高级的功能,诸如智能天线操纵,智能无线网状结构,以及动态无线安全等,这些都是你在其他的 WLAN 系统中见不到的。Ruckus ZoneDirector 3000 可以由非无线网络专业人员进行部署和操作,安装非常快速简便。即使是对那些即缺乏 IT 专业人员又预算有限的机构,安装这么一个可靠而安全的多媒体无线局域网,也只不过是几分钟的事情。Ruckus ZoneDirector 可非常容易的与现有网络、安全和认证系统进行集成;通过网页向导,简单的点击即可很容易的完成配置工作,Ruckus ZoneFlex AP会
21、自动发现 ZoneDirector,并由 ZoneDirector 对其进行配置。冗余和安全,Ruckus ZoneDirector 可在一个单一,易于使用和负担得起的14无线局域网(WLAN)系统中,提供遍及整个 WLAN 范围的网络、 安全、射频和位置管理。优势无与伦比的可伸缩性最高可支持 250 台 AP,ZoneDirector 3000 可以很容易的为最大的校园部署服务。Ruckus SmartMeshTM 降低成本以及部署复杂度集成 SmartMesh 技术,使得部署自动化,无需再为每一台智能 Wi-Fi AP 连接网线电缆。易于使用,易于管理集中管理,快速设置,对 IT 管理要求
22、很低,自动、实时地对整个无线局域网(WLAN ) 优化简化 IT 管理,部署可以 5 分钟之内完成基于网页的配置向导能使任何计算机用户在几分钟内配置完毕整个无线局域网(WLAN) 。 Ruckus ZoneFlex AP 会自动发现 Zone Director。富有弹性的部署选项ZoneDirector 可与现有网络和安全架构交互,并为所有 AP 提供动态射频管理,而无需再考虑 AP 定位问题。监控和故障诊断简单易行可定制的监控界面,提供了全面的网络简洁视图,并可用于深入诊断各种无线故障。自动用户安全无需再对不同 PC 客户端使用唯一的加密密钥进行配置和更新。完全集成集网络管理,动态射频管理,
23、位置管理以及 AP 控制于一身,是一个成本极低的解决方案。先进的无线局域网特性和功能基于角色的用户策略,内部认证数据库,AP 盗用监测以及每15个 AP 用户入口监测。易于部署Ruckus ZoneDirector 能够和现有的交换机、防火墙、认证服务器以及其他网络架构无缝集成。Ruckus ZoneFlex AP(无论是有线 AP 还是使用了SmartMesh 技术的网状 AP)会自动发现 Ruckus ZoneDirector,并进行自配置,配置完毕后即可对其进行管理。在允许接入前,ZoneDirector 将对所有想接入WLAN 的用户进行认证和授权。集成了完善射频管理的 ZoneFle
24、x AP 会将射频信号聚焦于客户端的方向,在减少干扰的同时,自动进行性能最大化和覆盖范围的最大化,并尽量减少所需的 AP 数量。易于管理在完成基本配置,开始运行之后,ZoneDirector 将自动管理 ZoneFlex AP 网络对发射功率的自动调整,以及必要时对射频频道进行指定,以防止相邻 AP 之间的干扰,并在 AP 失效时启用冗余 AP 覆盖。配置的更改可以非常容易地同时应用到多个 AP 或整个网络系统上。可定制的监控界面可实时显示用户接入信息、网络信息和事件情况,同时一个实时地图将显示无线 AP 的位置,以及无线信号的覆盖范围、Ruckus SmartMesh 的拓扑结构等。易于保密
25、ZoneDirector 3000 提供了创新的技术,简化和自动化了 Wi-Fi 的安全防护。除了支持企业级的 802.1x 以外,ZoneDirector 3000 还支持一种动态预共享密钥(PSK,Pre-Shared Key)的专利技术,可以简化无线局域网的安全防护工作。初次使用的用户只需简单的将他们的电脑接入局域网,然后指定一个 URL 地址,即可进入一个一次性认证的捕获网页门户。一旦认证完毕,ZoneDirector 就会自动使用预先指定的 SSID,以及一个动态生成的加密密钥,对用户的系统进行配置。这个密钥会在超出有效期后自动移除,或者是在用户(用户设备)失去信任后而被人工移除。1
26、6Ruckus SmartMesh 提高灵活性,降低成本SmartMesh 能够进行自我管理以及无线网的自我修复。SmartMesh 无需再为每一台 Smart Wi-Fi AP 连接网络线缆,因此系统管理员只要随便找个电源插座,将 ZoneFlex AP 插上去就可以走开了。所有的配置与管理都会通过ZoneDirector 智能无线局域网平台进行。通过专利的 Ruckus 智能 Wi-Fi 技术,拓展覆盖范围以及动态信号控制,再通过 SmartMesh 技术最小化内部跃点数目(跃点越多,性能下降越多) ,此消彼长之下,再根据环境的变化自适应调节不同节点之间的 Wi-Fi 连接,从而进一步缩减
27、了所需部署的 AP 数量。BeamFlex 消除干扰,最大化性能,拓展到达区域Ruckus BeamFlexTM, 一种专利 Wi-Fi 天线控制技术,能够根据多媒体程序的需求进行自动传输,以确保预期的性能,并拓展覆盖范围,消除无线盲区。通过 ZoneDirector,BeamFlex 的应用价值从单一的 AP 拓展到了整个系统的 WLAN 和智能无线网结构之上。ZoneDirector 自动控制所有的 ZoneFlex 智能无线 AP 的信道指定以及发射传输的功率水平。通过 BeamFlex,ZoneFlex 系统可以持续的为每一个客户端的数据包在不同AP 之间选择最佳的传输路径在自动消除干
28、扰的同时,还能确保最高的服务质量。特点 集中配置 Ruckus ZoneFlex AP 的数量最高可达 250 台 集中软件升级 SmartMesh 控制与监控 实时客户端加入许可控制 可被支持 UPnP 的 PC 非常容易的检测到 易于使用的设置向导17 可定制监控界面 动态射频信道以及发射功率管理 内置捕获门户(captive portal) 支持 Active Directory 以及 RADIUS 本地认证数据库 支持 Guest 帐户和 Guest 组使用 动态 PSK ,无需专业 IT 人员 AP 盗用监测以及图形化地图视图 事件管理 性能监控与统计 N+1 冗余备份 通过 Fle
29、xMaster 对多个位置以及 ZoneDirector 进行管理规格物理特征电源 220 瓦内置电源 输入: 100250V AC, IEC320 接头物理尺寸 35.52cm(长), 43.18cm(宽), 4.39cm(高)重量 14 lbs (6.37 公斤)以太端口 2 口, 自动 MDX, 10/100/1000Mbps 自适应, RJ-45发光指示 电源/工作状态环境条件 工作温度 : 41F (5C)104F (40C) 环境湿度: 15% 95% 无凝露管理配置 网页用户接口, FlexMaster统计 局域网,无线上网的客户端18自动更新 AP 软件 支持捕获门户(Capt
30、ive Portal) 支持GUEST 帐号 帐号VLAN 支持 802.1Q(每个 SSID)DHCP 服务器 支持AP 发现与控制 Layer2 或 Layer3WLANs(多 SSID) 最高达 8 个安全无线安全 WEP,WPA-TKIP,WPA2-AES,802.11i认证 802.1X,本地数据库 AAA 服务器,ActiveDirectory,RADIUS本地认证 5000 条记录多媒体和服务品质VoIP Tunneling 支持802.11e 支持软件队列 每种通讯类型,每个客户端自动分类 启发式速率限制 支持认证国家与地区 FCC(美国) ,IC(加拿大) ,CE(欧盟) ,C-Tick(澳洲) ,OFTA(中国香港)性能以及配置支持19可管理 AP 数目 最高 250 个并发用户 最高 500020ZoneFlex R500 双频 802.11AC 智能 WI-FI 接入点21
