《无线大楼方案》由会员分享,可在线阅读,更多相关《无线大楼方案(15页珍藏版)》请在金锄头文库上搜索。
1、无线网络方案建议书目录1.1.无线网络总体描述31.1.1.无线网络规划实施问题31.1.2.无线网络选择的关键因素41.1.2.1.无线网络架构选择41.1.2.2.无线AP的部署模式51.1.2.3.无线网络安全问题71.1.2.4.设备安全81.1.2.5.用户接入安全81.1.2.6.网络安全81.1.3.无线接入设计91.2.无线认证方案101.2.1.H3C WLAN 用户接入认证功能概述101.2.2.Portal认证(Web认证)101.2.2.1.Portal功能特点111.2.3.802.1x接入认证121.2.4.MAC接入认证141.2.5.无线网络管理151.2.5.
2、1.无线有线一体化管理151.2.5.2.多样化的拓扑管理151.2.5.3.RF覆盖管理和无线网络规划161.2.5.4.无线入侵检测和防护161.2.5.5.丰富的无线统计报表171.2.5.6.资源分组管理181.2.5.7.AC设备管理181.2.5.8.FIT AP设备管理181.2.5.9.移动终端管理191.2.6.H3C无线网络特点191.1. 无线网络总体描述n 采用WX3024E无线控制器,自带24个无线AP管理授权,最高可管理96个无线AP。n 室内无线AP采用WA2620i双频11n产品,并采用千兆接口与POE交换机进行互联;采用WA1208E室内无线AP通过室分方式对
3、办公室进行无线信号覆盖,采用千兆接口与POE交换机进行互联。n 提供S5120-28C-PER-EI对无线AP实现POE远程供电。1.1.1. 无线网络规划实施问题无线网络实施也是需要解决的问题,归纳起来,主要有以下三点:n 无线实施过程中如何解决信号覆盖盲点问题n 建筑物的不同材质的墙壁会对无线信号的传输造成不同程度的影响,在实施的过程中,特别是在部署成大量AP时,如何实现盲点覆盖是必须考虑的问题。n 如何解决无线AP供电问题n 许多楼宇在开始建楼时并没有考虑到无线网络的部署问题,也就没有预留出电源供无线AP使用,如果重新改造电源线路,施工成本必然提升。n AP之间的干扰问题n 在一定的空间
4、内部署多个AP,信号会有相互交错重叠,从而造成信号干扰。如何解决,需要关注。1.1.2. 无线网络选择的关键因素1.1.2.1. 无线网络架构选择无线局域网技术经过十几年的发展,已经历了三代技术及产品的发展。第一代无线局域网主要是采用Fat AP(即“胖”AP),每一台AP都要单独进行配置,费时、费力、费成本;第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置,其管理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈,由于这一代技术的AP储存了大量的网络和安全的配置,包括加密的钥匙,Radius client的安全密码 (secret) 等,而AP又是分散在建
5、筑物中的各个位置,一旦AP的配置被盗取读出并修改,其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的,所以当用户接入数量 (IP sessions)增多时,无线网的性能会急剧下降,时常会发生掉线或死机情况。在这样的环境下,基于无线交换机技术的第三代WLAN产品应运而生。第三代无线局域网采用无线交换机和FIT AP(即“瘦”AP)的架构,对传统WLAN设备的功能做了重新划分,将密集型的无线网络和安全处理功能转移到集中的无线控制器(以下简称AC)中实现,同时加入了许多重要新功能,诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。,使得无线局域
6、网的网络性能、网络管理和安全管理能力得以大幅提高。下表个Fit AP架构与Fat AP架构的技术对比表Fit AP架构Fat AP架构业界主流技术,先进的WLAN架构。早期WLAN技术架构。AP零配置,易安装,软件/配置批量升级。AP不支持零配置,需要预先设置好配置文件,每AP单独安装配置。AC主要完成用户验证、安全管理、移动管理,RF管理等通过,不仅可以通过更强的硬件平台实现更复杂算法,并使得多AP协同的优化算法实现成为可能,可以有效提高系统的功能和性能;AP仅需实现物理层功能和MAC中帧处理等高实时要求功能,AP侧无线处理能力极大提高 。一级计算体系,射频、漫游、加密、用户管理等功能全部在
7、AP上实现,无法协同计算,AP侧对于无线处理能力较低。管理节点上移后,管理数据采集将针对AC而非AP,网管系统受限于AP处理能力和性能的问题得以解决,更复杂的管理逻辑成为可能;网管管理通过AC强大的计算能力管理所有AP。每个AP对外显示是单独的网元,管理成本和难度大大增加。 自动信道分配和选择、自动功率调整、智能负载均衡无法实现信道自动分配、功率自动调整和基于用户数或者流量的负载均衡更强的安全策略,支持WIDS;瘦AP防盗性强,不丢失配置数据。不支持WIDS,AP被盗后可以照常使用,配置数据会丢失。支持加密状态下的三层漫游不支持三层漫游Fit AP技术带来的AP零配置、即联即用、统一管理等便利
8、,使得WLAN网络可以得到大规模的应用部署。而Fat AP技术每个AP都要独立配置,无法统一管理,这就决定了Fat AP技术的局限性。而Fit AP则更加的贴近用户的需求 同时,Fit AP架构,也很好解决了用户的无线漫游问题。所以本次组网采用FIT AP+AC的模式。1.1.2.2. 无线AP的部署模式目前无线AP在大楼内,有2种部署方式,室内分布和放装。如图所示,该种方式为室内分布的方式,AP接功分器,然后在每一个办公室都放置天线。室分型一般是与运营商G网合路组网用,通常采用大功率AP解决低成本大范围低密度覆盖问题。大功率AP内置功率放大器和检波反馈回路,很大程度上避免了小功率AP功放导致
9、的信号失真情况。如图所示,放装的方式就是通过部署数量较多的AP,以满足无线的覆盖需求。相对于室内分布型都是大功率的(发射功率一般500毫瓦),而室内放装型都是小功率的(发射功率一般100200毫瓦)。1、802.11n直接覆盖方案:所有AP全部采用双频802.11n产品,配合双频802.11n网卡及千兆POE交换机。打造一个高带宽、广覆盖、密接入无线网络,符合应用需要。为推荐方案。2、802.11n AP+室分系统覆盖方案:采用802.11a/b/g/n协议,每个AP接多个天线,形成室内分布系统覆盖方案,天线采用室内美化天线,贴在房间内的墙壁上,设备隐蔽安装在天花板内。此方案能信号均匀分布,可
10、以保证覆盖的效果,同时,由于跨AP间的漫游减少,网络更加稳定。1.1.2.3. 无线网络安全问题由于无线电波的开放性,任何人都能监听到信道中无线数据的传输,这就对无线网络的安全性提出了更高的要求。如何保证WLAN网络的安全性一直是WLAN技术在应用推广中面临的最大障碍。IEEE标准组织及WI-FI联盟为此一直在进行着努力,先后推出了WEP、WPA、802.11i等安全标准,逐步实现了WLAN网络安全性的提升。但802.11i并不是WLAN安全的终极标准,针对802.11i标准的不完善之处,中国在无线局域网国家标准GB15629.11-2003中提出了安全等级更高的WAPI(无线局域网鉴别与保密
11、基础结构)机制,来实现无线局域网的安全。WAPI采用国家密码管理委员会办公室批准的公钥密码体制(椭圆曲线密码算法和对称密码体制的分组密码算法),分别用于WLAN接入设备的数字证书、证书鉴别、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。高安全性/复杂度的加密算法、支持双向鉴别、使用数字证书、支持完善的鉴别协议等是WAPI相对于802.11i的优势,也是目前业界最先进的WLAN网络安全标准。但是,网络安全应该作为一个整体体系,不仅仅关注安全标准,更要注重分层实施安全策略。因此,在这里创新性的提出了分层的安全体系架构,将WLAN的安全从
12、单一的物理层安全延伸到设备安全、用户接入安全、网络层安全、管理安全等多个层面上,使用户在使用WLAN网络时能够像使用有线网络一样安全可靠。1.1.2.4. 设备安全H3C无线所提供的无线产品应该能够通过以下手段来保证设备的安全可靠性:AP零配置传统的FAT AP组网模式要求在AP上配置并保存业务参数,一旦设备丢失,AP的配置信息就可能泄漏,形成安全漏洞。FIT AP不保存业务配置,这样可以有效避免设备丢失造成安全隐患。AP身份认证无线控制器FIT AP组网时,需要预先在无线控制器上输入AP序列号,防止非法FIT AP接入。无线控制器冗余备份AP可以根据配置选择最适合接入的无线控制器,将其它无线
13、控制器作为备份。主用控制器故障时,AP会自动和备份无线控制器建立连接,提高了网络的可靠性。1.1.2.5. 用户接入安全对于大楼内的无线用户接入,建议采用如下2种方案进行身份认证。对于内部办公用户,采用客户端软件进行认证并绑定MAC地址,并动态控制用户权限。接入认证解决了用户的身份验证问题,通过和AAA服务器配合,无线设备应能支持对认证用户动态下发带宽、VLAN、ACL、优先级等参数,给不同的用户分配不同的权限。对于访客和临时办公人员,则通过事先设置好的公用帐号进行认证,不再绑定MAC地址。1.1.2.6. 网络安全为了保证无线用户之间以及其连接的整个网络的安全,仅仅保证接入点的安全性是远远不
14、够的。应该从整个网络的安全角度出发,在以下几方面着手部署网络安全措施:无线入侵检测系统H3C无线产品支持完善的无线入侵检测系统,能有效地提供无线攻击检测和防范,支持非法AP检测、白名单功能、黑名单功能、无线协议攻击防御等功能,无线产品应该支持多种攻击的检测,例如DOS攻击,Flood攻击,去认证、去连接报文的仿冒检测,以及无线用户Weak IV检测。智能流量控制H3C的无线控制器能够支持针对AP的下行流量限速,可以保证发往AP的流量被限制在AP处理能力范围之内,从而提高整个无线网络的安全可靠性。安全管理H3C的无线设备可以支持完善的安全管理配置和告警,可以实现无线安全策略配置、非法设备监控和告
15、警、设备信道调整告警等功能,极大简化WLAN设备的维护管理工作量,提升了设备使用的效率。1.1.3. 无线接入设计基于网络的先进性考虑,本次无线网络项目采用目前主流的无线控制器+FIT AP的架构,在实现对大楼进行信号无缝覆盖的同时,又能够实现对无线网络的灵活管理配置,提高网络维护效率.无线AP均提供千兆接口,通过千兆链路与POE交换机互联。供电问题解决无线AP供电问题,是保障无线AP部署位置灵活性的重要前提。这就要求AP在具有本地供电能力的同时,可以通过POE实现远程供电。目前有两类解决方案,POE供电模块和POE供电交换机。为了保证POE供电的可靠性,采用POE供电交换机为单路无线AP提供电源是首选,POE交换机采用一体化的设计,相对供电模块减少了维护的环节,为将来网络的维护和排查提供了便利。本次项目采用POE供电交换机设备进行供电。1.1.4. 无线接入具体方案本次项目计划无线覆盖总共6层,采用放装方式在每层楼的走廊上放置4台AP实现无线覆盖。总共24个AP,采用AC(WX3024E)进行集中管控,WX3024E自带24个千兆电口,支持POE供电,AP可直接通过AC进行直接供电。AP采
