《华为无线解决方案》由会员分享,可在线阅读,更多相关《华为无线解决方案(14页珍藏版)》请在金锄头文库上搜索。
1、项目技术类文档XX集团华为无线覆盖方案设计Versio n 1.02013年3月文档编号201111171密级CRM目录1 概述 . 32 xx 集团 WLAN 网络设计方案 32.1 网络设计原则 . 32.2 无线信号质量分析. 32.3 无线网络总体架构. 52.4 无线设计 . 52.5 SSID 规划 102.6 无线安全性设计 . 10261WLAN终端认证 102.6.2 用户身份验证 112.6.3 组网保护 112.6.4 接入安全方案 112.7 移动漫游设计 123 华为 WLAN解决方案的优势 134 华为 WLAN设备关键特性 144.1 华为AP介绍 144.2 华
2、为AC介绍 141 概述无线局域网(WLAN技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点:简易性:WLAN网桥传输系统的安装快速简单,可极大的减少敷设管道及布线等繁 琐工作;灵活性:无线技术使得 WLAF设备可以灵活的进行安装并调整位置,使无线网络达 到有线网络不易覆盖的区域;综合成本较低:一方面 WLAh网络减少了布线的费用,另一方面在需要频繁移动和 变化的动态环境中,无线局域网技术可以更好地保护已有投资。同时,由于WLAN技术本身就是面向数据通信领域的 IP 传输技术,因此可直接通过百兆自适应网口 和企
3、业、内部 Intranet 相连,从体系结构上节省了协议转换器等相关设备;扩展能力强:WLAh网桥系统支持多种拓扑结构及平滑扩容,可以十分容易地从小 容量传输系统平滑扩展为中等容量传输系统;2 xx 集团 WLAN 网络设计方案2.1 网络设计原则此次无线局域网建设有以下需求:1. 利用无线网技术实现无线覆盖,使员工能够随时随地、方便高效地访问 Internet 。2. 实现无线上网用户的认证,销户,监控等功能。3. 对于无线AP设备实施统一管理和监控。4. 无线网络的部署需要考虑简单方便,天线需要采取比较友好的设计,不 能让用户感受到压力。5. 关注安全性,无线用户之间彼此隔离,防止 ARP
4、攻击,并限制上网流量6. 无线AP全部采用POE交换机供电。2.2 无线信号质量分析下图为WLA信道分配情况,在2.4GHz-2.4835GHz范围内共13个相邻子信下表中体现的是三种频率间隔情况下,随着两 AP间距的变化,终端连接信 号质量及吞吐量的变化。颜色代表适配卡配置软件中,检视连接信号质量窗口显 示的颜色。表格中数值表示吞吐量,单位为 kbytes/s。ChannelChiCh6CMCh6Ch5Ch6Separation25MHz10MHz5MHzDistanceAP1STA1AP2STA2AP1STA1AP2STA2AP1STA1AP2STA21M509510254223P 467
5、182M523524238188461533M 1556553447151P 43888 14MOKOK4422484181895MOKOK4353094252246MOKOK5064404272568MOKOK51149246729010MOKOK53252048932712M1OKOK554523P 49848714MOKOK53452453449316MOKOK521510|528506|在多用户情况下,实际情况会更差些。上述数据仅供参考,实际网络需根据道,一般不相干扰的复用信道组合为(1, 6, 11 )或(1, 7, 13)2.4172.4272.4372.4472.4572.467
6、2.4122.4222.4322.4422.4522.4622.4722.484测试结果确定。2.3无线网络总体架构1. 采用AC6605-26-PW作为本次无线覆盖项目的无线控制器2. 采用AP3010DN-AG作为本次无线覆盖的室内无线接入点3. 采用S2700-9TP-PWR-E作为POES入交换机4. 采用S5700-28C-SI作为无线网络的核心交换机5. 采用USG221作为网络防火墙接入in ternet.整体拓扑图如下3楼8D弓楼報我们设计采用PoE供电方式,由S2700为华为的无线AP进行供电,以超五 类网线互联,最后通过楼层接入交换机连接入核心交换机,无线控制器与核心交换机
7、互联,无线控制器通过管理 VLANt理无线AP,最后通过防火墙连接 In ternet。这样整个无线网可以实施灵活的无线划分。2.4无线设计根据无线网络需求及实地的测试堪察,并结合以往的工程经验,对无线网络做出以下规划3层布点:6层布点:IfcssssaIrJLiral-fi7层布点:It3B3屠V1出找EBrr1| E m-BMM1汶二设备清单:序号型号产品名称数量单价合计设备单 价、防火墙1USG2210USG2210交流主机-含HS通用安全平台软件1、核心交换机1S5700S-28P-LI-ACS5700S-28P-LI-AC 主机(24 千兆RJ45,4千兆SFP,交流供电)12LS5
8、M100PWA00交流电源模块组件23eSFP-GE-SX-MM850光模块-eSFP-GE-多模模块(850nm,0.5k m,LC24ST-LC千兆多模光纤跳线,3米25LC-LC千兆多模光纤跳线,3米1三、接入核心交换机1S2700-9TP-PWR-EIS2700-9TP-PWR-EI 主机(8 百兆RJ45,1 千兆 Combo,PoE,交流供 电)32eSFP-GE-SX-MM850光模块-eSFP-GE-多模模块(850nm,0.5k m,LC23ST-LC千兆多模光纤跳线,3米24LC-LC千兆多模光纤跳线,3米1四、无线AC1AC6605-26-PWRAC6605-26-PWR
9、-64AP 组合配置 (含 AC6605-26-PWR主机)12ES0W2PSA0150150W交流电源模块13L-AC6605-16APAC6605无线接入控制器AP资源授权(16 AP)1五、无线AP1AP3010DN-AGNAP3010DN-AGN组合配置(11 n,室内普通型,2x2单频,内置天线,50mW,)13六、SI服务1调试费SI人工1七弱电布线1康普六类非屏蔽网 线22康普六类24 口配线架23康普六类模块134康普六类 2米软跳线275康普双孔面板136PVC阻燃线管、明线盒等17施工费(铺管、布线、端接、测试)138无线AP设备加固及13安装总价2.5 SSID 规划从用
10、户使用安全角度考虑。使用上网业务人群主要分为三类(公司员工(8M,外来人员(5M),开会人员(2M),因此建议建立3个SSID,方便管理及增加安全性。1、限速(512k)2、2.6无线安全性设计2.6.1 WLAN终端认证IEEE 802.11标准要求WLAF终端在准备连接到网络时,必需进行“身份验 证”WLAN终端身份认证主要有两种方式:开放系统认证(Ope n-systemAuthentication )和共享密钥认证(Shared-Key Authentication)。开放系统认证是IEEE 802.11标准要求必备的一种方法,是最简单的认证算 法,即不认证。如果认证类型设置为开放系统
11、认证,则所有请求认证的客户端都会通过认证。在这种方式下,接入点并未验证工作站的真实身份,工作站以MAC地址作为身份证明,这种验证方式可以让所有符合802.11标准的终端都可以接入到WLAN网络中来。开放系统身份验证比较适合有众多用户的电信运营WLAF网络。共享密钥式认证必需使用加密方式,要求每个WLAF终端都镜头配置和AP完 全一致的密钥(key)。由于配置工作量较大,一般适用于企业网、校园网及家庭 网络等。二者对比如下:认证方式优点劣势适用场景开放式系 统认证部署简单,终端接入速度 快,有效带宽高安全性差:无法检验客户端是否 合法,任何知道无线局域网 SSID 的用户都可以访问网络电信运营网
12、 络共享密钥 式认证安全性较咼:米用了加密方 式对密钥进行保护, 空口密配置复杂,可扩展性不佳:每台 终端和AP上都需要静态配置一企业网、校园 网及家庭网钥数据不再明文传输个很长的密钥字符串有效带宽较低:加密降低了传输 效率络等262用户身份验证相对于简单的STA身份验证过滤机制,链路层用户身份验证的安全性大大提 高。通过提供有限的访问权限来验证用户身份,只有确定用户身份后才给予完整的网络访问权限,可有效判别用户的合法性。链路层身份验证时透明的,能配合任何网络层协议使用。WLAN勺链路层身份验证主要有 Portal(DHCP+WEB) 802.1X、PPPoE WAPI 等几种认证方式。2.6.3组网保护华为 AC产品接口丰富,支持 LACP( Link Aggregation Cont
