工程概況
采取通行的網絡協議標準:目前無線局域網普遍采用802.11系列標準,因此無線局域網將主要支持802.11g(54M帶寬)標準以提供可供實際應用的相對的網絡通訊服務,同時兼顧多種類型應用和將來的投資保護,需要同時支持801.11a,802.11b,實現雙頻三模技術;
覆蓋范圍要求:
1、有線網絡無法接入的室外場所:區域內一些場所很難實現網絡有線接入,采用無線方式可以實現覆蓋大范圍室外空間的無線網絡接入。
2、有線網絡使用不便或受限的室內空間:區域內一些室內場所空間較大,會產生許多人同時接入網絡的需求,采用有線的方式只能提供少量接口,不能滿足要求。用無線網絡覆蓋來解決相當數量的移動設備同時訪問網絡的問題。
無線網網絡結構要求:
無線接入所需布設的AP通過局域網的匯聚層設備接入到局域網中,在匯聚層都提供相應的接口給無線網線,在接入層設備要在方案中進行描述。
設計方案
一、整網邏輯拓撲圖
二、無線用戶認證解決方案
本方案主要采用portal認證,無線AP與無線控制器通過二層隧道協議通信,無線用戶的認證點都是放置于無線業務插卡設備上,后臺的iMC認證計費系統作為用戶鑒權點。
鑒于目前無線網絡本次規模,從網絡支撐能力的角度來看,需要1塊板卡就可以實現。針對無線用戶,無線控制器作為802.1x認證的終結點,iMC認證計費系統作為zui后的鑒權點,當用戶在AP內進行切換時,此時的主要工作由無線交換機進行統一調度,當用戶在不同的端口下的不同AP的覆蓋范圍時,此時用戶不會再次觸發認證。
三、整網安*方案
無線局域網絡公眾型網絡,網絡安全問題在建網時必須考慮問題,安全方式主要側重幾個方面:用戶安全、網絡安全,而在局域網絡中主要依附于用戶實體的屬性主要包括用戶使用的信息終端二層屬性(諸如:MAC地址)及用戶的帳號、密碼,而對于用戶來,帳號信息都是一個實名原則,與用戶的個人信息進行關聯的,這樣本無線網絡中著重考慮使用無線網絡的空口信息的安全機制,同時也要考慮與無線相關的有線網絡的安全問題,對于原有有線網絡的安全問題,在本技術建議書中不作相應的考慮;
無線網絡安全部分主要包括以下方面的內容:
1、MAC地址過濾:目前支持基于MAC地址的過濾,限制具有某種類型的MAC地址特征的終端才能進入網絡中;
2、SSID管理:是一種網絡標識的方案,將網絡進行一個邏輯化標識,對終端上發的報文都要求進行上帶SSID,如果沒有SSID標識則不能進入網絡;
3、WEP加密:WEP加密是一種靜態加密的機制,通信雙方具有一個共同的密鑰,終端發送的空口信息報文必須使用共同的密鑰進行加密;
4、支持AES加密,AES安全機制是一種動態密鑰管理機制,同時密鑰生成也基于不對稱密鑰機制來實現的,同時密鑰的管理也定期更新,具有體的時間由系統可以設定,一般情況都設定為5分鐘左右,這樣非法用戶要想在5分鐘之內進行獲取足夠數量的報文進行匹配出密鑰出來,從無線空口的流理來看,基本上是不可能的;
5、可根據用戶名來劃分權限,即相同用戶在不同地點接入無線網絡其權限保持一致;密鑰設置可能根據SSID信息與用戶信息進行組合,即不同的SSID下不同的用戶的密鑰生成可以不一樣,這樣一定程度上保證用戶之間串號問題產生,從而保護投資,以達到營維平衡;
6、實現流量異常、報文異常監管,從而保護網絡的進一步安全;
四、頻率規劃與負載均衡解決方案
頻率規劃(支持雙頻三模,建議部署802.11g)
802.11g使用開放的2.4GHzISM頻段,可工作的信道數為歐洲標準信道數13個。由于其支持直序擴頻技術造成相鄰頻點之間存在重疊。對于真正相互不重疊信道只有相隔5個信道的工作中心頻點。因此對于802.11g在2.4GHz地工作頻段,理論上只能進行三信道的蜂窩規劃實現對需要規劃的熱點的無縫覆蓋。此外,由于功率模板是否能做到符合鄰道、隔道不干擾也非常影響頻率規劃的效果。
針對如何進行802.11g的頻率規劃作了大量的實驗,實驗證明3載頻也可以實現蜂窩對需要覆蓋的區域進行無縫覆蓋,并提供更高的服務帶寬提高服務質量,和高帶寬業務的開展。
圖3頻率規劃原理圖
頻率規劃需要配合使用的功能包括
1、AP支持13個信道設
2、AP支持100mWzui大射頻功率以及多級功率控制
3、AP支持外置天線以及定向天線
4、針對特殊應用還需要AP支持橋接功能、接入功能以及WDS功能
五、無線網絡管理解決方案
基于標準的SNMP協議實現對設備的管理,專門的無線局域網管理軟件Quidview無線組件可實現對WLAN所有網元的管理。網管工作站可以放在網上的任意位置,通過標準的SNMP即可實現對無線交換機的管理。無線交換機可以實現更為強大的管理包括AP的自動拓撲發現、自動升級、批量配置、分級管理、分級告警等,并可實現針對無線覆蓋空間內的射頻掃描、非法接入點監聽等安全功能。而無線局域網管理軟件M可以實現配置管理整個WLAN無線網絡,其具備以下特點:
1、零配置安裝:接入點無需準備預設置,AP從無線控制器繼承配置信息。可將無線控制器接入中心機房核心交換機中,無線AP無需事*行任何配置,即通過接入層交換機接入有線網絡,并自動注冊到無線控制器上,獲取DHCPSERVER分配的IP地址,并自動下載配置文件正常工作,在大規模AP的項目中大量節省安裝維護成本。
2、防盜防入侵:敏感配置信息不在本地保存,即使設備被入侵被盜也不會丟失安全信息。實際運營中很多AP是放置在公共場所,如果密鑰、SSID等安全信息在本地保存的話,一旦失竊對全網安全性造成威脅,無線AP由于其零配置安裝,一旦掉電不會保存任何信息,避免入侵。
3、支持靈活的拓撲結構:AP允許多種部署,從而能夠直接或間接連接到管理它的無線局域網控制器。無線控制器與無線AP之間可以隔*何路由器或交換機,只要共同連接進有線網絡,無線AP就可以自動尋找到無線控制器實現注冊。
4、自動設置發射功率和分配射頻信道:自動設置發射功率和分配射頻信道,用以優化射頻單元大小和滿足各國對射頻信道的要求。當有個別AP故障時,無線控制器會自動調大相鄰AP的功率彌補信號盲區。
5、基于身份的組網:根據用戶名對用戶權限進行區分,不同于傳統的WLAN網絡通過接入的有線交換機端口對用戶權限進行劃分,并且可以對用戶的位置、帶寬以及漫游等歷史數據進行記錄跟蹤。
6、提供增強的安全性和無縫漫游:通過這項基于身份的組網功能,經過改進的用戶組認證接入控制、始終強制的漫游策略以及對帶寬使用的監視實現了無線局域網的增強的安全性,實現了無縫的用戶移動性和自由性,從而可以進行安全連接和漫游,一次認證多次接入,免去在不同AP下切換的再次認證。
7、安全管理:提供入侵檢測功能,AP可以不斷地掃描空域,以便對要求更高安全性的環境提供全天候保護。一旦無線網絡中有非法接入點接入,無線AP將上報相應的告警給無線控制器,并通過網管軟件顯示。
六、無線AP供電解決方案
由于本次無線網中AP設備數量較多,AP布放位置根據實際覆蓋效果而調整,在已建設完成的建筑物上較難進行本地供電,對于室外覆蓋主要采用AP放在室外,對AP的本地供電問題難度更大。基于標準的802.3af實現對AP的供電。通過在匯集交換機處疊加一個供電電源或者內嵌交換機內,通過以太網線在傳輸數據同時給AP供電,供電距離達100米,滿足實際組網的要求。
但部分區域AP需室外放置,即需要配合室外機箱使用,為保證寒冷天氣低溫工作室外機箱內置電加熱板,因此除給AP進行POE供電外還需對機箱進行本地交流供電。