wifi实施方案.docx
《wifi实施方案.docx》由会员分享,可在线阅读,更多相关《wifi实施方案.docx(36页珍藏版)》请在冰豆网上搜索。
wifi实施方案
绍兴电力
配用数据网无线宽带接入系统
实施方案
绍兴电力局
深圳键桥通讯技术股份有限公司
2011年4月
第1章工程概况
目前,绍兴电网通信系统依托多次基建、技改输变电项目基本实现了主网光纤的全覆盖,完成了绍兴通信基础传输网络建设,所采用的技术均为有线SDH,覆盖面在主网35kV及以上变电所、各个县市供电局。
配网通信系统则处在在建设完善阶段,无线宽带通信与其他通信方式相比较,具有接入便捷、与光纤通信互补性强、建设周期短、业务接入的多样性和便利性,此外,抵御灾害能力也相对较强,无线宽带通信技术在诸多方面优势明显。
本次建设的无线宽带接入网实验工程,要求解决以下潜在电网应用业务的无线接入问题:
1)配网自动化业务;
2)视频监控;
3)变电所巡检及环境采集数据回传;
4)移动办公终端接入;
5)集群通信;
6)智能电网配电自动化、高级量测(AMI)、用电信息采集、等概念通信支撑。
本次建设的宽带无线接入实验网采用OFDMA+WIFIAP组合解决无线宽带接入,即为满足不同的业务需求,可采用基于OFDMA技术的IEEE802.16e标准及IEEE802.11(WIFI)标准,即其中IEEE802.16e技术主要用于中远距离接入,IEEE802.11技术主要用于短距离接入。
IEEE802.11技术应用于小范围无线覆盖,在较短距离之内提供高速率无线数据传输,形成无线局域网。
先期选择一个占地面积在3000平方米以内的变电所(110kV变电所)或小区楼道进行试点应用,本项目使用IEEE802.11技术研究重点在针对电网的复杂结构和环境,验证变电所应用的电磁兼容性,设备高效率、高可靠性及信息安全等关键技术,验证无线传感器网络在电网行业应用的可行性。
本技术规范书主要针对IEEE802.11WLAN设备。
第2章组网示意及说明
变电所以IEEE802.11技术为主,能够满足现有的数据采集和设备控制等业务需求,同时能满足未来对无线传感器网络在电网行业及高电磁干扰环境应用的可行性。
系统结构如下:
图表1系统方案及网络模型示意图
●FITAP通过工业以太网交换机接入变电站SDH/MSTP局域网
●AC通过传输承载网络,对多个变电站内的FITAP进行管理
●核心业务网络通过RADIUS服务器对宽带无线局域网终端进行鉴权和授权,防止非法终端接入
●无线局域网与核心业务网络之间、核心业务网络与Internet之间,使用物理隔离和防火墙数据隔离的方式,实现二次网络安全防护
第3章工程施工计划
3.1工期总目标
本工程于设备到货后15天内完成设备的安装调试,并交付使用。
3.2施工阶段划分及工期目标
由于wifi项目工程规模较小,为合理安排、有效控制,确保按期、保质完成任务。
将总工期划分为五个阶段性工期目标来控制。
第一阶段:
施工准备阶段,
本阶段主要完成现场的勘测、工程联络设计,绘制施工图,为后期施工创造良好条件。
此阶段已经完成。
第二阶段:
基础施工阶段
本阶段主要为无线接入系统的基站及终端的架设位置及抱杆、取电等提供条件,以及设备生产厂家的设备备货和测试。
第三阶段:
设备的安装调试阶段
本阶段主要完成单点设备的安装和调试。
第四阶段:
系统联合调试阶段
本阶段主要完成无线接入系统和主站系统的联合调试
第五阶段:
竣工清理交验阶段本阶段主要处理本工程存在的问题、竣工清理工作、编制竣工资料,组织验收并交付使用。
序号
阶段名称
1---------7
8-------14
3
基础施工
4
设备的安装调试
5
系统联合调试
6
竣工清理交验
图表11工程施工计划
第4章工程实施设计
4.1设计目标
系统提供全IP架构的接入方式,解决电力业务的“最后一百米”接入需求,支持以太网或光纤网络作为传输承载网,可选择就近的SDH或MSTP网络接入电力内网,也可结合XPON技术,实现无线与有线接入方式的融合。
本次小范围试验包含变电站WLAN的室内覆盖和室外覆盖。
变电场站业务主要包含红外温度监测、环境状态监测、开关状态图像监测、无线上网办公等功能。
4.2组网规划
4.2.1IP编址方案
IP编址方案包括如下几部分:
无线交换机AC、7个AP、接入终端;
需要根据客户业务情况规划;
设备
IP
备注
无线控制器
A.B.0.5/24
中心站
AP1
A.B.5.1/27
室内
AP2
A.B.5.33/27
室内
AP3
A.B.5.65/27
室内
AP4
A.B.5.97/27
室内
AP5
A.B.5.129/27
室外
AP6
A.B.5.161/27
室外
AP7
A.B.5.193/27
室外
4.2.2传输和承载网络
与现有传输承载网络兼容的有线接入方式,包括SDH和MSTP传输方式。
平水变目前采用SDH网络,AP数据通过交换机汇聚以后接入SDH网络,在电力大楼22楼中心机房落地。
4.3无线覆盖规划
本次对现场进行了实地勘测,根据勘测情况制作实际布点图如下:
说明:
根据现场情况,室内AP布点位置如图中红色点所示,在主控室、10KV开关室各安装一台AP,安装位置在中央天花,采用吸顶的安装方式。
在35KV开关室安装2台AP,分别安装在两头的墙上,采用贴墙的安装方式(如下图)。
所有AP都通过网线供电。
主控室及10KV开关室的室内、外AP都从主控室机柜取电。
因35KV开关室距离主控室约为60米,但其室内AP安装距离超过80米,所以在35KV开关室安装一壁挂式机柜安装交换机。
将电源线及网线一起从主控室引入该机柜内。
35KV开关室安装的室内AP及室外AP都从该机柜取电。
分别在建筑物楼顶,如图中粉色点位置安装室外AP。
安装前先安装好天线支架,如下图:
如上图所示将天线支架固定好后,将室外AP安装在天线支架上,然后通过网线将室外AP与交换机相连。
对于室外走线部分应按照要求采用钢管防护。
根据现场勘测结果,提出合理布线及设备安装方案,因现场环境比较理想,按照勘测位置布置好所有AP,当系统开通应可实现该区域全覆盖。
示意图如下:
注:
现场安装及施工,应按照规范谨慎实施,注意安全。
4.4频率规划
Wifi频率为公共频率,IEEE802.11b/g/n定义被操作在2.4GHz(2.4-2.4835)GHz的频率。
802.11a/n被操作在有更多信道的5.8GHz(4.9GHz到5.875)频谱中。
AP650支持820.11a/b/g/n.
1、在一个AP覆盖区内直序扩频技术最多可以提供3个不重叠的信道同时工作。
考虑到制式的兼容性,相邻区域频点配置时宜选用1,6,11信道。
2、频点配置时首先应对目标区域现场进行频率检测,对于覆盖区域内已有AP采用的信道,应尽量避免采用。
3、对于室外区域干扰宜采用调整天线方向角,避免天线主瓣对准干扰源的方式或调整功率。
4、室外AP覆盖区频点配置时,为了实现AP的有效覆盖,避免信道间的相互干扰,在信道分配时宜引入移动通信系统的蜂窝覆盖原理。
对1,6,11信道进行复用,见下图。
5、室内AP覆盖区频点配置时应充分利用建筑物内部结构,从平层和相邻楼层的角度尽量避免每一个AP所覆盖的区域对横向和纵向相邻区域可能存在的干扰。
6、设计时指定规划覆盖区域的每个AP的工作频率,不宜考虑AP自动频率调整功能,防止频率的频繁调整而导致用户无法接入。
室外AP:
5.8G频率作为mesh回传通道,2.4G频段作为覆盖频段。
4.5集中管理架构
通过无线交换机AC管理整个网络,网管人员只需在无线交换机上就可开通、管理、维护所有AP设备以及移动终端,包括无线信号发射、安全、接入认证、移动切换。
具体可以表现以下几个方面:
1.AP零配置
AP无需任何配置,即插即用。
所有对无线网络的配置都在无线交换机上完成。
AP支持PoE供电,在连接上网线后,AP可以通过DHCP方式自动获取WirelessSwitch的地址列表,然后通过WISPe(WirelessSwitchProtocolenhanced)与WirelessSwitch进行通信。
2.流量转发模式:
集中转发和本地转发
考虑到无线网络维护的方便性,所有室内室外AP,都由位于汇聚层的的无线交换机AC来进行统一的管理控制,也就是无论处于NAT防火墙、宽带路由器、交换机后面的AP都可以通过AP到AC的WISPe隧道直接接受无线交换机AC的集中管理。
本地转发,在采用集中管理的同时,所有的流量不需要经过AC,而是从AP直接转发到相对的路径上。
如AC发生故障时,AP还可以转发流量。
3.无须改造现有网络
AP可以无缝接入现有网络。
远程AP使用DHCP方式获取地址后就可以跨越3层路由器,甚至跨越互联网络,与WirelessSwitch进行自动连接。
由于使用DHCP方式,网络的规划、网络的扩展可以集中而简单地对DHCP作配置即可,而无需去修改分散各地的成百上千的远程AP。
4.更换和升级AP方便
所有配置维护都可以在中心机房完成。
接入端的维护更是无需专业管理人员,即插即用。
在AP 出现故障时,可以简单地将新的AP插上即可。
无需任何配置。
在WirelessSwitch作升级后,可以自动对所有AP作升级,避免对每个AP手工升级的工作。
5.统一的网络管理
无线交换体系能够对于硬件、软件配置和网络策略进行统一管理,所有配置在无线交换机上完成即可。
向所有接入点自动部署配置。
4.6AP设备安装
1.馈线的安装
用于连接AP和天线,为了尽量减少馈线的插入损耗,应将馈线与设备及天线连接接口擦干净再紧固接头。
2.网线的安装
无线AP与交换机、网线供电模块连接的网线,因设备常安装在较高处或通信塔,为减少外界对数据的影响,网线应选用屏蔽网线,及屏蔽接插件。
因网线在室外使用,应对网线作好保护措施,露天网线必须穿管,并固定牢固。
在靠近设备的网线,应穿软管,并制作防水弯。
3.接头防水处理
室外设备的各个连接接头,至少要作三层防水处理,第一层用防水胶带将接头缠好,第二层使用防水胶泥进行处理,第三层再用防水胶带缠好。
如设备安装比较恶劣的环境中,可增加胶带的层次,这时需要重复第二、第三层防水处理的步骤。
4.无线网络避雷接地处理
安装扩频通信设备的站点,应有完善的防雷接地系统。
防雷接地标准应符合YD5004-94《数字微波接力通信工程设计规范》、YD2011《微波站防雷与接地设计规范》和YD26《通信局(站)接地设计暂行技术规定》,接地电阻应≤5Ω。
架装天线的支架或铁塔应与楼顶接地系统良好连接。
根据相关国标/国际标准,要求必须在室外无线设备旁架设避雷针(直击雷防护处理),射频端口必须设置相应避雷器;室内设备射频端口、LAN口也必须设置相应避雷器(感应雷防护处理);射频线缆的金属屏蔽层、避雷器必须做等电位接地处理。
当天馈线系统受到雷击时(或有高压磁场)所产生浪涌不要进入系统设备,通过接地及时的放掉浪涌来保障系统设备以及工作的安全。
避雷针:
通过在天线旁边架设避雷针来引开雷电的袭击,避雷针为良好导体比天线高,当雷电来时会由避雷针将其引走,避雷针需要良好的接到大地上,接地电阻小于5欧姆。
射频避雷器:
在无线设备外接天线系统中接入射频避雷器,当天馈线受到雷击时,避雷器在雷电来时它会及时与设备断开,通过连在避雷器外部的接地线把电流放掉后,并自动恢复连接。
馈线的接地线要求每20米做一个接地,所以通常接地线到馈线头不超过20米时可以在接地线近处接地。
避雷器安装在馈线和设备之间,从避雷器引出接地线接至地极。
地极接地电阻要求5欧姆以下,一定要连接牢固,确保受雷击时可正常放电。
连接室外部分和室内部分POE的RJ-45线这根RJ-45线为标准8芯直通线,在室外安装时应该用PVC管或其他符合室外安装标准的材料加以保护。
4.7无线射频管理
1.自动射频管理
由于无线射频信号是一种无形的东西,它的强度和所在的信道一般都需要根据经验手工调整,要做到无线信号均匀分布,信道的利用率高,无信道干扰并不是件非常容易的事情,但是Motorola系统的RF智能控管可以自动调节网上所有MotorolaAP的射频信号特性。
可以保证无线信号均匀分布,信道的利用率高,无信道干扰,无线网络做到最为优化的运行。
通过RFPlanning的SmartRFCalibration功能来自动调节整个无线网络上所有AP的无线射频信号频率和功率。
启动了SmartRFCalibration以后AP和AP之间会自动互传有关无线射频信号的信息和调整射频信号的参数,直到AP之间达到了一个最优化的无线射频信号运行环境。
当无线网络经过SmartRFCalibration调整后而正式运作时,网络管理员可在Motorola交换机内启动SMARTRF功能,则无线网络上所有的MotorolaAP都会在设定的时间内自行扫描其它的无线频道。
所谓射频信号扫描,是指MotorolaAP从一个射频信号频道跳到另一频道时,如Ch1到Ch2到Ch3....,由于扫描的速度非常快,所以对于在线的无线用户(指连接到AP上在同一频率上的无线终端)的传输过程是不受到影响的。
当AP停留在一个频道时,它会把在这频道上收到的无线射频信号信息转送回Motorola无线交换机。
这样Motorola无线交换机就对整个无线网络上的射频信号情况有了一定了解和记录。
当某一覆盖范围内的射频信号改变,如出现干扰AP所发出的射频信号或其它应用所发出的射频信号等,Motorola无线交换机就会把所获取的无线射频信号资料做分析,以确定是否需要调整范围内AP的无线射频信号。
2.无线空洞检测
集中控制型WLAN热点接入设备支持自动功率调整。
当一个瘦AP失效时,周围瘦AP能够自动调整功率补偿失效AP的覆盖,具体实现如下图所示:
例如在三个AP所覆盖区域,如果其中一个AP出现了故障,那么检测AP将检测到故障,并触发邻居增加发射功率,对故障AP所覆盖范围进行覆盖区域进行补偿恢复。
而且可以检测到多种故障情况,如天线故障、AP以太网故障、AP因为障碍物引起的不可视、AP损坏等。
可以配合控制设备完成全局的动态功率控制,通过增加功率支持无线空洞补偿、通过降低功率避免高密度部署环境下复用频点小区间的干扰。
用户在AP覆盖区域移动,但移动到边缘情况下,用户信号强度以及接入速率低于设定要求,出现的无线覆盖的空洞,这时AP将增大发射功率对无线空洞进行补偿,而在高密度覆盖情况下,检测器将能够检测到信号覆盖状况,并全局调整AP的发射功率,减少区间干扰。
3.系统的抗干扰措施
当AP设备启动时,会自动搜索已经存在的无线信号,主动躲避由噪音的信道,选择无噪音的信道作为自身的工作信道。
在AP设备已经完成启动后,还会实时监听信道噪音。
当发现当前的工作信道出现外来信号噪音,AP会自动判断该信号是否来自欺诈AP。
如果是欺诈AP,则通知网络管理员;如果不是,则自动选择最清晰的信道,以保证信号质量。
无线系统可以对WiFi和非WiFi的设备进行统计告警以及分析。
4.8无线WLAN的Qos机制
语音等特殊应用对无线网络的带宽和时延敏感,WLAN采用802.11e来保证不同应用的优先级,在无线接口上共有四个队列,每个队列均有相应的CWMIN/CWMAX值,对应访问无线链路的不同优先级,从而不同队列中的应用数据可以有不同的服务质量。
QoS指的是网络通过不同的网络技术为特定的网络流量提供更出色服务的能力。
QoS技术是园区网络中的企业级多媒体和语音应用的重要组成部分。
QoS让网络管理人员可以与他们的网络用户制定服务水平协议(SLA)。
QoS能更加有效地实现网络资源的共享,加快关键任务型应用的处理速度。
QoS可以管理对时间敏感的多媒体和语音应用流量,确保这些流量获得比尽力而为型数据流量更高的优先级、更多的带宽和更低的延时。
利用QoS,网络管理人员可以更加有效地管理LAN和WAN的带宽。
QoS可以通过下列方式提供增强的、可预测的网络服务:
∙为关键的用户和应用提供专用带宽
∙控制抖动和延时(满足实时流量的需要)
∙管理和最大限度地减少网络拥塞
∙对网络流量进行整形,让流量平稳传输
∙对网络流量进行优先级划分
QoS功能的作用在一个负担较轻的网络上表现得并不明显。
的确,如果延时、抖动和丢包率在介质负载较轻的情况下仍然相当明显,那就意味着存在系统故障,或者这个网络不符合该应用的延时、抖动和丢包率要求。
随着网络负载的增加,QoS功能将开始逐步影响应用的性能。
QoS的作用是将特定类型的流量的延时、抖动和丢包率保持在可以接受的范围之内。
通过从接入点提供下行优先级设置功能,上行客户端流量会被作为尽力而为型流量处理。
这样,客户端必须与其他客户端竞争(上行)传输带宽,以及与来自接入点的尽力而为型(下行)流量进行竞争。
在特定的负载情况下,即使在接入点采用了QoS功能,客户端也可能会遇到上行拥塞,而对QoS敏感的应用的性能则可能会下降到无法接受的水平。
Motorola无线网络提供集成的QoS无线网络服务质量的保证,针对不同类型的无线应用,无线交换机会进行相应的处理,以保证移动业务的畅通。
Motorola无线网络预置了包括Voice在内多种Profile,同时也可以提供手工微调的方式。
在方便配置Qos的同时也保证了无线网络Qos的调优。
Motorola的无线网络支持WMM(802.11e),WMM可以有效地保证高优先级的流量得到带宽的保证和低时延。
WMM定义了SIFS到AIFS多种等待时间间隔,优化这些参数可以提高网络容量。
●基于WLAN的带宽分配:
摩托罗拉的AP支持为不同的WLAN分配不同的带宽,保证关键业务的可用带宽。
●基于类别映射的优先级设置:
对于基于类别映射的优先级设置,数据流可以通过IPTOS、DSCP或者协议设置标明身份。
一个指定的下行流量会在无线接口上获得一个特定的CoS。
●启用WMM,针对对于监控和Video不同业务设定Qos参数
●基于组播地址的优先等级设置
●通过设置WLAN的组播地址掩码,保证匹配该组播地址掩码的流立即转发而不需要等待DTIM(DeliveryTrafficIndicationMessages)。
通过对WLANWMM的不同流量类型设置不同的等待桢隙,不同的转发机会和CWmin和CWmax值,保证不同类型的流具有不同的转发等级。
4.9无线网络安全
由于无线局域网采用公共的电磁波作为载体,因此与有线网络不同,任何人都有条件窃听或干扰信息,因此在无线局域网中,网络安全显得格外重要。
由于802.11WLAN属于公有的无线资源,因此有电信的无线网络,有移动的无线网络,有网通的无线网络,有校园的无线网络,也有众多企业或者个人架设的无线网络。
有正常使用无线网络的合法用户,也有恶意用户。
非法设备(Roguedevice)是指黑客在无线局域网中安放XX的AP或客户机提供对网络的无限制访问,通过欺骗得到关键数据。
无线局域网的用户在不知情的情况下,以为自己通过很好的信号连入无线局域网,却不知已遭到黑客的监听了。
这些攻击者通过非法搭建的AP或者使用无线客户端,企图想通过无线网络传播病毒蠕虫、盗用机密信息、银行帐号以及无线上网帐号,或者发起DOS攻击。
Motorola的无线解决方案RFS6000内置的无线安全功能,全面解决了在复杂的无线环境中达到只有合法授权用户才能访问无线网络的目的,防御无线DOS攻击,而且保证重要信息的不被泄露。
下面我们来详细分析无线网络安全隐患以及解决的方法。
1.认证和加密
摩托罗拉无线网络的认证支持WPA、WPA2、MAC认证、Web认证、802.1x认证,加密包括WEP、TKIP(WPA)、AES(WPA2)。
WEP的加密方式由于很容易破解,不推荐使用;WPATKIP的安全程度远高于WEP加密;而WPA2AES是最高强度的加密方式,密钥长度为256比特,加密安全级别和目前有线网络的IPSec的加密等级相同。
对于WPA2AES可以使用共享密钥(静态)的方式,也可以使用动态更新密钥的方式。
推荐对政府网络进行最高强度的WPA2AES加密,并且通过802.1X每隔一段时间动态下发密钥,这样即使有攻击者使用暴力入侵办法通过密码字典持续抓取无线网络包来破解用户的密钥,由于密码更新的时间远远小于破解需要的时间,因此即使攻击者远远达不到破解出原来的密钥的需要的流量,因此网络是安全的。
对于802.1x来说,摩托罗拉无线网络支持802.1X基于数字证书的EAP-TLS以及使用Token令牌的方式。
EAP-TLS(传输层安全)提供为客户端和网络提供基于证书及相互的验证。
它依赖客户断和服务器方面的证书进行验证,可用于动态生成基于用户和通话的密钥以保障WLAN客户端和接入点之间的通信。
Token通过每个用户独立的PIN动态生成密码,也可以保证只有合法的用户才能接入网络。
2.RFS6000内置无线网络安全:
非法AP和非法客户端的检测和抑制
RFS6000提供全面的网络安全特性,包括:
▪MAC地址过滤
▪入侵检测和阻断
▪状态包检测防火墙
▪针对拒绝服务DOS以及其他无线网络攻击进行防范保护,在发现有非法用户进行DOS攻击时可以自动将这些用户列入黑名单。
▪在非法设备检测和抑制:
分为RogueAP和RogueClient,即非法AP和非法客户端。
RogueAP的检测和阻断
为了发现非法AP,分布于网络各处的探测器能完成数据包的捕获和解析的功能,它们能迅速地发现所有无线设备的操作,并报告给RFS6000,这种方式称为RF扫描。
某些AP能够发现相邻区域的AP,我们只要查看各AP的相邻AP。
发现AP后,可以根据合法AP认证列表(ACL)判断该AP是否合法,如果列表中没有列出该新检测到的AP的相关参数,那么就是RogueAP识别每个AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型以及信道。
判断新检测到AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型或者信道异常,就可以认为是非法AP。
当RFS6000发现非法AP时,可以根据策略发送指令通过Sensor进行实时地阻断。
RogueClient的检测和阻断
RogueClient是一种试图非法进入WLAN或破坏正常无线通信的带有恶意的无线客户,其异常行为的特征主要有:
▪发送长持续时间(Duration)帧;
▪持续时间攻击;
▪探测“anySSID”设备;
▪非认证客户。
如果客户发送长持续时间/ID的帧,其他的客户必须要等到指定的持续时间(Duration)后才能使用无线媒介,如果客户持续不断地发送这样的长持续时间帧,这样就会使其他用户不能使用无线媒介而一直处于等待状态。
为了避免网络冲突,无线节点在一帧的指定时间内可以发送数据,根据802.11帧格式,在帧头的持续时间/ID域所指定的时间间隔内,为节点保留信道。
网络分配矢量(NAV)存储该时间间隔值,并跟踪每个节点。
只有当该持续时间值变为O后,其他节点才可能拥有信道。
这迫使其他节点在该持续时间内不能拥有信道。
如果攻击者成功持续发送了长持续时间的数据包,其他节点就必须等待很长时间,不能接受服务,从而造成对其他节点的拒绝服务。
当RFS6000发现非法客户端时,可以根据策略发送指令通过Sensor进行实时地阻断。
4.10容量规划
1、并发用户数
网络在进行多终端接入设计时,建议按照每个AP的并
升级会员 