《WLAN无线网络改造方案.doc.deflate》由会员分享,可在线阅读,更多相关《WLAN无线网络改造方案.doc.deflate(10页珍藏版)》请在金锄头文库上搜索。
1、K2MG-EHSWI+04-001环境、安康安全、企业社会责任目标指标WLAN 无线网络改造技术方案书1杭州华三通信技术目录现状与需求 4一、工程背景 4二、现状分析 4三、改造方案 4四、建设目标 4五、概述 51、WLAN 概述 52、H3C WLAN 产品与解决方案概述 6六、WLAN 建设方案 81、建设原则 82、用户接入认证方案 83、网络安全方案 9现状与需求一、 工程背景网络构造:整个网络分为三层核心层、会聚层和接入层。核心层承受一台三层交换机,用于会聚各个楼层的交换机,连接计费系统,核心交换机共1台。会聚层交换机承受2层交换机,安装在主楼配电室,每三层会聚一次,用于会聚楼层内
2、的无线放射台或办公 室网线。接入层为无线AP,安装在每层楼的天花板上面,每3个或4个教室安装1台AP,大会议室12台AP,小会议室1台AP,AP将铺设专用的电源线进展供电。室外承受大功率室外AP网络拓扑示意图:二、现状分析而现在随着网络越来越快速便捷,无论是交换机还是网卡已进入千兆的时代,现在千兆三层交换机的背板交 换容量在 200G 以上,包转发力量在 100 兆左右。目前的核心设备的数据处理力量不能满足日益增加的用户数所带来的数据处理力量。并且为便利工作人员和业务、监控的使用,室内、室外无线网络。改造方案建议更换核心交换机,随着用户端带宽不断提高万兆互联的应用越来越广泛,交换机需要供给更高
3、的转发性 能和万兆端口扩展力量。交换机的选配带有肯定的前瞻性,千兆三层交换机具备万兆扩展力量。在无线 AP 方面, 建议使用 11g 的 AP,或性能更强的 11n 的产品。全校 AP 数量多,如消灭设备故障或断电不好排查,再者每个AP 信道不能自适应,简洁造成盲区,建议增加无线掌握器和无线网管软件,将目前的FAT 模式改为 FIT 组网模式, 可以集中进展平台化治理,削减维护的难度。楼道接入层的设备也需考虑更换代。三、 建设目标1、 高性能要求整个系统承受高性能的核心设备,能满足外网业务大数据量对带宽、转发和传输的高要求。2、 高牢靠要求整个系统承受具有高牢靠性的总体设计。3、 高安全建立和
4、完善系统的安全保障机制。4、 遵循开放标准支持符合国际标准和工业界标准的相关接口;在支持标准的应用开发平台方面,系统软硬件平台应具有 良好的移植力量,在硬件升级后保持二进制级兼容性;在网络协议的选择方面,应选择广泛应用的标准协议,同时支持局域网内部的其他协议。5、 可扩展可升级网络系统应具有良好的可扩展力量,可以敏捷地进展必要的调整和扩大,最大限度保护现有投资。6、 严格施工治理建校园网建设具有肯定的样板性,必需严格施工治理,高起点、高标准、把网络建设工程做成区域内的示范工程。四、 无线概述1、 WLAN 概述无线局域网WLAN技术于 20 世纪 90 年月逐步成熟并投入商用,既可以作传统有线
5、网络的延长,在某些环境也可以替代传统的有线网络。比照传统的有线传输解决方案,使用 WLAN 网络实现数据传输具有以下显著特点:简易性:WLAN 网络传输系统的安装快速简洁,可极大的削减敷设管道及布线等繁琐工作; 敏捷性:无线技术使得 WLAN 设备可以敏捷的进展安装并调整位置,使无线网络到达有线网络不易掩盖的区域;综合本钱较低:一方面 WLAN 网络削减了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网技术可以更好地保护已有投资。同时,由于 WLAN 技术本身就是面对数据通信领域的 IP 传输技术,因此可直接通过百兆千兆自适应网口和企业内部Intranet 相连,从体系构造上节
6、约了协议转换器等相关设备;扩展力量强:WLAN 网络系统支持多种拓扑构造及平滑扩容,可以格外简洁地从小容量传输系统平滑扩展为中等容量传输系统;K2MG-EHSWI+04-001 环境、安康安全、企业社会责任目标指标随着 WLAN 技术的快速进展和不断成熟,目前在国内外已经具有较多的政府机构使用WLAN 技术布置无线城域网,进展承载局部政府业务,诸如:电子政备、消防、公安信息等等,如:美国费城、荷兰阿姆斯特丹等。无线局域网技术经过十几年的进展,已经受了三代技术及产品的进展:第一代无线局域网主要是承受 FAT AP,每一台 AP 都要单独进展配置,费时、费力、费本钱;如图:其次代无线局域网融入了无
7、线网关功能但还是不能集中进展治理和配置,其治理性和安全性以及对有线网络 的依靠成为了第一代和其次代 WLAN 产品进展的瓶颈,由于这一代技术的AP 储存了大量的网络和安全的配置, 包括加密的钥匙,Radius client 的安全密码 (secret) 等,而 AP 又是分散在建筑物中的各个位置,一旦AP 的配置被盗取读出并修改,其无线网络系统就失去了安全性。另外由于AC 或无线网关的硬件多数是基于 Pentium 架构的,所以当用户接入数量 (IP sessions)增多时,无线网的性能会急剧下降,时常会发生掉线或死机状况。在这样的环境下,基于无线交换机技术的第三代WLAN 产品应运而生。第
8、三代无线局域网承受无线交换机和FIT AP 的架构,对传统 WLAN 设备的功能做了重划分,将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现,同时参加了很多重要功能,诸如无线网管、AP 间自适应、无线安管、RF 监测、无缝漫游以及 QoS,使得无线局域网的网络性能、网络治理和安全治理力量得以大幅提高。如以下图:FAT AP 与 FIT AP 两种组网方案比照,各有所长,比较如下表:表 1 FAT AP 与 FIT AP 两种组网方案比照综合考虑本钱、治理因素及对一些高级功能如 AP 间的智能射频调整、负载均衡、三层漫游等要求,一般小型网络可以考虑 FAT AP 组网方式;中
9、大型网络考虑FIT AP 组网模式。2、 H3C WLAN 产品与解决方案概述H3C 公司目前拥有业界最为完善的企业级/电信级 WLAN 产品与解决方案。H3C WLAN 全线产品如下:6H3C WLAN 产品具有如下特点:1) 电信级产品质量保证H3C 自 2022 年公司成立以来就继承了业界领导厂商华为和3Com 的 WLAN 产品。整个无线产品的规划器都是依据电信级设计,从阻容到主处理芯片,每一个元器件都经过严格质量认证和技术认证,根本上是选用一流供 应商的元器件,保证元器件的性能和品质。在产品生产上,H3C 公司承受业界先进的 IPD CMM3.0 集成产品开发流程,有严格的质量治理体
10、系,从全流程的每一个环节掌握产品质量。2) 强大的研发团队,自主学问产权,快速响应客户需求H3C 的研发团队分布在北京、杭州、深圳和印度,海外研发中心紧跟前沿技术脚步,国内研发中心快速响应客户需求。H3C 全系列 WLAN 产品承受完全自主研发的软件,并承受了业界最为严格的测试标准,由位于北京的独立的鉴定测试中心来最终鉴定产品能否到达质量标准。此外由于自主开发软件,完全把握学问产权,很简洁根 据客户的要求定制特别功能,以满足特定状况下的应用。3) 丰富的无线网络工程阅历无线网络的工程实施对整个工程的成败至关重要。H3C 特地成立了无线工程督导团队来确保无线网络工程的顺当实施,目前 H3C 公司
11、已经成功实施了第六届亚洲冬季运动会、北京 总医院、国家学问产权局、华社、北京航空航天大学、北京交通大学、华东理工大学、上海汤臣洲际大大楼等无线网络工程的部署,具备丰富 的无线工程实施工程阅历,保证工程进度,后顾无忧。H3C WLAN 产品在行业市场和运营商市场拥有广泛的应用案例。H3C 乐观参与 WLAN 标准制定: H3C 公司对 WLAN 持续进展深入的争论分析,乐观参与国际标准组织的相关沟通,同时 H3C 公司也针对各个 802.11 工作组的输出与专家进展乐观的沟通沟通,提出自己的理解与建议, 同时也联合业界的合作伙伴共同推动标准进程, H3C 公司正逐步致力于标准组进展,诸如:多异构
12、网互操作、VoWLAN 等领域。K2MG-EHSWI+04-001 环境、安康安全、企业社会责任目标指标五、 WLAN 建设方案1、 建设原则结合 WLAN 的实际应用和进展要求,WLAN 系统设计主要遵循以下系统总体原则:有用性原则:以现行需求为根底,充分考虑进展的需要来确定系统规模。安全性原则:大楼内有关数据有肯定的安全需要,需要有加密和认证的机制。不能随便被外来人员接入。牢靠性原则:系统设计能有效的避开单点失败,在设备的选择和关键设备的互联时,应供给充分的冗余备份,一方面最大限度地削减故障的可能性,另一方面要保证网络能在最短时间内修复。成熟和先进性原则:由于 WLAN 应用于运营网络仍旧
13、属于兴技术,需要准时将技术引用进来,更好的开展业务,同时也要求保证网络与业务的牢靠性。标准性原则:系统设计所承受的技术和设备应符合WLAN 国际标准、国家标准和联通 WLAN 企业标准,为系统的扩展升级、与其他系统的互联供给良好的根底。开放性和标准化原则:在设计时,要求供给开放性好、标准化程度高的技术方案;设备的各种接口满足开放和标准化原则。可扩大和扩展化原则:全部系统设备不但满足当前需要,并在扩大模块后满足可预见将来需求, 如带宽和设备的扩展,应用的扩展和办公地点的扩展等。保证建设完成后的系统在向的技术升级时, 能保护现有的投资。可治理性原则:整个系统的设备应易于治理,易于维护,操作简洁,易
14、学,易用,便于进展系统配置,在设备、安全性、数据流量、性能等方面得到很好的监视和掌握,并可以进展远程治理和故障诊断。2、 用户接入认证方案无线工程对安全有着肯定的要求,必需能够防止外来人员使用网络猎取内部密级资料或对网络进展攻击。H3C 认证方案实行三重保障,第一层保障是MAC 地址认证,其次层保障是效劳区标识符 ( SSID ) 匹配,第三层保障是 802.1x 认证或 Portal 认证。MAC 地址认证每个无线客户端网卡都由唯一的48 位物理地址MAC标识,可在AP 中或者 AC 重维护一组允许访问的 MAC 地址列表,假设用户的 MAC 地址是合法的,AP 才会对用户的流量进展进一步的处理,假设用户的 MAC 地址是非法的,那么 AP 就会丢弃用户的流量,这样就可以实现物理地址过滤,确保非法用户不能访问8无线网络。效劳区标识符 (SSID) 匹配无线客户端必需设置与无线访问点 AP 一样的 SSID ,才能访问 AP;假设出示的SSID 与 AP 的 SSID 不同,那么 AP 将拒绝它通过本效劳区上网。利用SSID 设置,可以很好地进展用户群体分组, 避开任意漫游带来的安全和访问性能的问题。可以通过设置隐蔽接入点AP及 SSID 区域的划分和权限掌握来到达保密的目
