《中电熊猫G108工地仓库无线项目WLAN网络解决方案》由会员分享,可在线阅读,更多相关《中电熊猫G108工地仓库无线项目WLAN网络解决方案(9页珍藏版)》请在金锄头文库上搜索。
1、 中电熊猫G108工地仓库无线项目 WLAN网络无线覆盖方案设计2015年10月目 录目 录21 概述32 中电熊猫G108工地仓库无线项目 WLAN网络设计方案32.1 网络设计原则32.2 无线信号质量分析32.3 无线网络总体架构52.4 无线设计52.5 SSID规划62.6 无线安全性设计62.6.1 WLAN终端认证62.6.2 用户身份验证62.6.3 组网保护62.6.4 接入安全方案62.7 移动漫游设计72.9.1配置思路91 概述无线局域网(WLAN)技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。无线局域网具有以
2、下显著特点: 简易性:WLAN网桥传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作; 灵活性:无线技术使得WLAN设备可以灵活的进行安装并调整位置,使无线网络达到有线网络不易覆盖的区域; 综合成本较低:一方面WLAN网络减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网技术可以更好地保护已有投资。同时,由于WLAN技术本身就是面向数据通信领域的IP传输技术,因此可直接通过百兆自适应网口和企业、内部Intranet相连,从体系结构上节省了协议转换器等相关设备; 扩展能力强:WLAN网桥系统支持多种拓扑结构及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量
3、传输系统;2 中电熊猫G108工地仓库无线项目 WLAN网络设计方案2.1 网络设计原则此次无线局域网建设有以下需求:1. 利用无线网技术实现无线覆盖,使员工能够随时随地、方便高效地传输数据到系统服务器。2. 实现线上网用户的认证,销户,监控等功能。3. 对于无线AP设备实施统一管理和监控。4. 无线网络的部署需要考虑简单方便,天线需要采取比较友好的设计,不能让用户感受到压力。5. 关注安全性,无线用户之间彼此隔离,防止ARP攻击,并限制上网流量。2.2 无线信号质量分析下图为WLAN信道分配情况,在2.4GHz-2.4835GHz范围内共13个相邻子信道,一般不相干扰的复用信道组合为(1,6
4、,11)或(1,7,13)2.4122.4172.4222.4322.4422.4522.4622.4722.4842.4272.4372.4472.4572.4672345178910611121314下表中体现的是三种频率间隔情况下,随着两AP间距的变化,终端连接信号质量及吞吐量的变化。颜色代表适配卡配置软件中,检视连接信号质量窗口显示的颜色。表格中数值表示吞吐量,单位为kbytes/s。在多用户情况下,实际情况会更差些。上述数据仅供参考,实际网络需根据测试结果确定。2.3 无线网络总体架构1. 采用AC6605-26-PWR作为本次无线覆盖项目的无线控制器2. 采用AP5030DN作为本
5、次综合楼无线覆盖的室内无线接入点. 3. 采用双AP热备的方式三层旁挂于核心交换机我们设计采用强电供电方式,由电源适配器直接连接强电对无线AP进行供电,以超五类网线互联,最后通过楼层接入交换机连接入交换机再接入核心交换机,无线控制器与核心交换机互联,无线控制器通过管理VLAN管理无线AP,最后。这样整个无线网可以实施灵活的无线划分。2.4 无线设计根据无线网络需求及实地的测试堪察,并结合以往的工程经验,对无线网络做出以下规划示意图如下2.5 SSID规划从用户使用的角度来看,基本上确定划分一个SSID,初步定为PANDA-FAB2.6 无线安全性设计2.6.1 WLAN终端认证IEEE 802
6、.11标准要求WLAN终端在准备连接到网络时,必需进行“身份验证”。 WLAN终端身份认证采用MAC接入认证2.6.2 用户身份验证相对于简单的STA身份验证过滤机制,链路层用户身份验证的安全性大大提高。通过提供有限的访问权限来验证用户身份,只有确定用户身份后才给予完整的网络访问权限,可有效判别用户的合法性。链路层身份验证时透明的,能配合任何网络层协议使用。WLAN的链路层身份验证WAPA/WPA2认证方式。2.6.3 组网保护华为AC产品接口丰富,支持LACP(Link Aggregation Control Protocol,以下简称LACP)和MSTP(Multiple Spanning
7、 Tree Protocol,以下简称MSTP)等组网保护机制,可提供端口级冗余保护,及设备级1+1快速备份。2.6.4 接入安全方案华为AC均支持开放系统认证、WEP加密、共享密钥认证、WPA/WPA2认证合加密、WAPI认证加密等无线接入安全特性。特性指标WLAN安全模板管理u 支持通过WLAN安全模板管理认证和加密方式。u 支持安全模板绑定到ESS模板。u 最多支持256个AP配置模板。OPEN-SYS方式认证支持“OPEN-SYS认证+无加密”方式。WEP认证加密u 支持WEP的认证/加密方式。u 每个AP最多支持4个WEP加密方式的VAP。u WEP认证加密在AP实施,认证结果通知A
8、C。WPA/WPA2认证加密u 支持AC集中认证方式。u 支持“WPA/WPA2-PSK+TKIP”的认证/加密方式。u 支持“WPA/WPA2-PSK+CCMP”的认证/加密方式。u 支持“WPA/WPA2-802.1x+TKIP”的认证/加密方式。u 支持“WPA/WPA2-802.1x+CCMP”的认证/加密方式。WAPI认证加密u 支持AC集中式WAPI认证。u 支持WAPI多信任证书方式(3证书),兼容传统双证书方式。u 支持证书和私钥合一的发放方式。u 支持WAPI加密的启用/禁用。2.7 移动漫游设计无线用户移动漫游,涉及到多个层次的漫游,最为简单的是二层漫游,其他厂家产品都表现
9、不错,三层漫游就困难多了,还有当用户跨越多个域时怎样无缝漫游,华为无线局域网可以实现快速无缝漫游功能。L2/L3层漫游在传统的无线局域网内,无线终端要跨越不同AP之间漫游是有一定的困难,因为不同AP之间,它的无线用户IP子网可能都不是在同一个VLAN内。所以当无线终端从一个AP漫游到另一AP时,由于它们之间的缺省IP子网不同,无线终端会重新发出DHCP请求,这样的话终端的IP地址就会更新,所有在原先AP建立的连接都会被切断。过去为了解决跨越三层的漫游,有些用户采用了Mobile IP的技术,但Mobile IP的缺点是它必须在无线终端安装软件。这是一般网络管理人员不愿意做的事情,因为它们就必须
10、支持和维护用户的无线接入端。通过华为无线系统,可解决了跨越不同三层IP子网的无线漫游问题。 在不同域之间的用户认证和漫游在大型网络内,一般都有很多不同的部门,部门内通常都有自己的用户数据库,即所谓的本地认证服务器。在实现应用时,要求有单一的认证数据库是未必可行的,但同时无线用户应是可在内无缝漫游。 当用户不是在本地入网或是从一个部门的接入点漫游到另一部门的接入点需要重新认证时,如果用户名和密码在当地的数据库是不存在的话,则用户会被断线。要做到真正的无缝漫游,则需要有支持Radius 代理这样的功能。但由于不是所有的认证服务器都支持这种功能所以在具体实施时也有一定的困难。华为本身就可提供不同域之
11、间的认证功能,域名可以与SSID绑定,亦可以让用户在登陆网页时输入或选择域名。华为会把在不同域之间的认证请求转发到对应这域的radius服务器处理。2.8组网方式采用双链路热备旁挂组网方式2.9数据规划配置项数据WLAN服务WPA2加密。密码: FAB-wlan(2015)AC1的源接口VLANIF1300:172.17.1.1/24AC2的源接口VLANIF1300:172.17.1.2/24AC Carrier ID/AC IDOther/1AP域10服务集SSID:PANDA-FAB数据转发模式:隧道转发DHCP服务器生产网核心交换机作为DHCP服务器,为AP和STA分配地址AP的网关V
12、LANIF1300:172.17.1.3/24AP的IP地址池172.17.1.4/24172.17.1.254/24STA的网关VLANIF1301:172.17.2.3/24STA的IP地址池172.17.2.4172.17.2.254/24备份VLANVLANIF1302:172.17.3.0/242.9.1配置思路采用如下的思路配置双链路方式的AC热备:1、配置AP、AC和其他网络设备之间实现网络互通。2、配置WLAN基本业务,保证用户能够访问企业内部网络。3、使用AC全局配置方式配置双链路备份。4、配置双机热备份功能,将AC1上的WLAN业务信息通过备份链路批量备份和实时备份到AC2
13、上,实现当AC1故障时,AC2接替AC1继续工作,保证用户业务不中断。2.9.2AP静态上线用串口登录AP,配置AP静态IP信息# 配置AP静态IP地址、 AC的IP地址 system-viewQuidway ap-address mode staticQuidway ap-address static ip-address 172.17.1.4 24Quidway ap-address static ac-list 172.17.1.1Quidway quit rebootSystem will reboot! Continue ? y/n:y2.9.3STA部分部分静态地址在地址池中做静态地址MAC绑定,可以将不需要自动分配的地址exclude掉,并且在下面做DHCP静态绑定 dhcp enable ip pool sta network 172.17.2.0 mask 24 excluded-ip-address 172.17.2.1 excluded-ip-address 172.17.2.2 gateway-list 172.17.2.3 static-bind ip-address 172.17.2.4 mac-address dcd2-fc96-e4c0 Quit_ 15 - 15
