XX无线局域网技术建议方案文档格式.docx
《XX无线局域网技术建议方案文档格式.docx》由会员分享,可在线阅读,更多相关《XX无线局域网技术建议方案文档格式.docx(34页珍藏版)》请在冰豆网上搜索。
目前无线局域网普遍采用802.11n/802.11n系列标准,因此无线局域网将主要支持802.11n(300M带宽)标准以提供可供实际应用的相对稳定的网络通讯服务;
全面的无线网络支撑系统(包括无线网管、无线安全、无线QOS等),以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题;
采用非独立型的无线网络结构选型;
安全、认证、计费和管理要求
为了阻止非授权用户访问无线网络,以及防止对无线局域网数据流的非法侦听,无线网络要具有相应的安全手段,主要包括:
物理地址(MAC)过滤、服务区标识符(SSID)匹配、有线等效保密(WEP)、二层隔离等;
无线网网络结构要求:
无线接入所需布设的AP通过接入设备接入到网中,在接入层提供相应的接口给AP使用;
工程布线和安装要求:
I.室内部分:
定位于较为开阔位置,将网线走暗线敷设到位;
挂在墙上,可利用设备本身自带的安装附件进行安装;
如果需要遮蔽,则需要定制非金属安装盒;
如果是挂在天花板上,则根据天花板的情况而定,若天花板是非金属结构,可以固定在天花板内。
安装过程中应充分考虑防盗问题。
II.供电部分:
AP的供电可采用POE方式由接入的网络设备进行供电。
产品能力要求要求:
I.具有无委会核准证;
II.支持负载均衡;
III.漫游切换;
IV.支撑QOS能力
三、网络建设方案
针对XX网络采用WLAN技术构架宽带网络服务,从技术上、工程上以及提供的服务质量上均能较好的满足局方的要求。
3.1无线网络基础方案
3.1.1方案逻辑组网图
鉴于XX网络的有线网络已经较为完善,已经是百兆到楼,部分楼已经做到千兆到楼,本次工程采用无线网就近接入的原则,同时又由于现在每栋楼的有线网络为无线网络只能提供一个有线接口,此有线接口下接一台交换机完成网络接口的扩展,同时完成POE供电的功能,具体的逻辑组网图如下图所示:
XX网络无线项目方案逻辑组网示意图
本方案主要采用AP2612与WX3024通过隧道协议通信,无线用户的接入点都是放置于AP2612设备上。
酒店共有十二层楼,建议用户采用一层楼三个AP进行覆盖。
3.2无线网络安全
无线局域网络主要用于客房客人,上面存在诸多的不安全信息,故网络安全问题在建网时必须考虑问题,安全方式主要侧重几个方面:
用户安全、系统安全。
3.2.1用户安全:
数据安全部分主要包括以下方面的内容:
I.MAC地址过滤:
目前支持基于MAC地址的过滤,限制具有某种类型的MAC地址特征的终端才能进入网络中;
II.SSID管理:
是一种网络标识的方案,将网络进行一个逻辑化标识,对终端上发的报文都要求进行上带SSID,如果没有SSID标识则不能进入网络;
III.WEP加密:
WEP加密是一种静态加密的机制,通信双方具有一个共同的密钥,终端发送的空口信息报文必须使用共同的密钥进行加密;
IV.支持AES加密,AES安全机制是一种动态密钥管理机制,同时密钥生成也基于不对称密钥机制来实现的,同时密钥的管理也定期更新,具有体的时间由系统可以设定,一般情况都设定为5分钟左右,这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来,从无线空口的流理来看,基本上是不可能的;
V.H3C的无线方案中的密钥设置可能根据SSID信息与用户信息进行组合,即不同的SSID下不同的用户的密钥生成可以不一样,这样可以做不到不同的用户不同的管理方式,同时具备不同的权限;
3.2.2系统安全:
无线通信——不需要有线电缆的连接就可以完成设备以及终端的接入,WLAN设备也是一样,这个特点给WLAN带来了无与伦比的方便性和组网快捷性等一系列有点,但是也给系统的安全带来了隐患。
如果没有对非法、恶意AP接入系统进行有效的防范,则无线系统会给整个无线网络系统带来巨大的安全漏洞。
I.AP入侵检测和隔离:
所有的AP在进行数据接入的同时,还担负着射频环境扫描的功能,可预设定或按需进行射频扫描以识别未授权的AP,并向管理员发出警报。
首先需要定义非法AP的范畴,分为非本公司所属AP设备(非H3CAP)和本公司所属AP设备(H3C制造的AP)两种。
针对这两种AP,我们设置了一个场景,也就是将非法AP放置于大楼WLAN系统中的某个位置,由于隧道AP是相邻布放的,所以非法AP一定会位于2个合法隧道AP之间,如下图所示:
非法AP监测示意图
如上图所示的非法隧道AP,在实施对无线网络系统的干扰的时候,APn和APn+1会分别检测到非法AP的信号强度和MAC地址等信息,并会将这些信息上报到网管系统,网管系统根据其MAC地址信息可以分析是否为H3C公司的产品,并判断属于那个公司的产品,根据2个AP(或者周围多个AP)上报的信号强度信息可以甄别出此非法AP的位置,也就是距离APn和APn+1的距离,这是因为在无线网络中AP的布放是相邻的,也就是可以近似成为1维,所以2个AP的距离信息即可定位非法AP的位置。
H3CWLAN网管系统软件中非法AP定位的流程图如下图所示:
非法AP监测流程图
流程说明:
状态序号
流程名称
流程说明
转移条件
下一状态
1
开始
无条件
2
阈值m初始化
循环变量的阈值初始化
3
变量n清零
循环变量n清零
4
APn发现非法AP
APn是否检测到非法AP
APn是否检测到非法AP发出的信号
5/3
5
相邻AP同时发现
相邻AP是否同时检测到非法AP
相邻AP是否同时检测到非法AP发出的信号,并判断信息中是否有同一非法AP发出的信息(防止多个非法AP)
6/3
6
n=n+1
循环变量+1,并延迟进行下一次扫描
7
n>
m
循环变量是否超出阈值
8/4
8
记录非法APMAC
记录非法AP功率
记录非法AP的MAC地址
记录非法AP的功率
9
计算非法AP位置
上报非法AP信息
根据功率计算非法AP的位置,将所有非法AP的信息上报管理员
当侦测到非法AP之后,管理者可以决定是否要干扰非法AP,或者将其纳为正常AP;
由于侦测到的非法AP有可能是邻近其它建筑安装之正常AP,避免误送干扰,建议干扰非法AP动作由管理者确认后手动进行。
管理者可以从WXM网管程序上找出最接近非法AP的合法AP,并据此判断非法AP的概略位置,搜集更多信息以决定是否发出干扰。
II.无线终端的异常流量检测及报警:
无线网管提供全面的系统级统计数据:
可提供包括错误和流量的以太网统计数据,其中包括包的大小、无线统计数据以及用户会话统计数据,它们保存为用户在多个AP上的漫游记录,并且都具有易查看的表格和图表,以便快速识别数据走向。
基于所有AP上来的无线终端的数据都要通过AP与无线交换机之间的二层隧道进行通信,因此所有无线终端的流量均可通过无线网管进行统计,并且通过实时的统计报表呈现出所有用户访问网络流量,并通过设定流量阈值,一旦某无线终端流量超过阈值即实现异常流量的报警功能。
3.3无线网络QOS:
3.3.1漫游切换支持:
无线终端在全楼无线网络中移动时,必然要进行不同AP之间、所属不同有线交换机之间的漫游切换。
首先无线终端会通过无线局域网管理器接入认证,无线交换机会介入该认证过程,并获得PMK(PairwiseMasterKey)。
无线终端根据PMK生成多个通讯用密钥,开始进行加密会话。
当无线终端发现需要进行切换时,会进行如下操作:
1)与无线交换机进行连接的预建立;
2)无线交换机与需要建立连接的AP交换通讯用PMK密钥,并将PMK密钥传给无线终端;
3)无线终端发布更新消息,更新无线交换机转发表;
4)原有的数据流转换到新的AP上来;
5)切断原有的数据连接。
整个L2、L3漫游过程在50ms内全部完成,并兼容IEEE802.11i、IEEE802.11f和IEEE802.11e标准,可良好支持语音、视频等多媒体业务的需求。
3.4无线网络管理:
3.4.1总体需求:
XX网络无线系统涉及的AP数量多,需建立一套全网网管中心系统,从而对整个无线网络的设备进行设备管理,以及对业务、管理数据流量进行QoS保障。
根据网络规模的要求,采用H3CWXM无线管理系统对其进行网络管理。
由于网络本身的数据流量和网管数据流量较少,所以采用带内网管方式。
H3C公司的WXM无线管理系统能够主动的监控接入点AP,以及配合无线交换机进行基于身份的802.1XPEAP/EAP-TLS认证,并且对各个AP和交换机的接入性能和故障进行管理。
迅速、方便的检测和定位XX的外界非法入侵接入点。
通过检测和定位RF干扰,能够主动的监控使用情况和故障,优化网络性能。
3.4.2性能功率规划:
WXM网络管理中可针对不同的隧道材质给予不同的衰减值(11g&
11n),将这些阻碍物加上对应的衰减参数,系统可计算出需要多少AP。
除了上述的条件外,WXM还可以依整体的无线网络使用量作为决定多少AP的另一依据,如每一个无线客户端的基本吞吐量,同一时间内此无线服务区域有多少并发用户。
系统可计算出哪里需要放置AP,及其数量与自动算出其不相干扰的信道,并且可呈现出每一台AP所涵盖的传输速率的范围。
辅助网络规划功能
也可以手动或者自动调整每一个AP的功率,另外所有的信道也都可以自动的调整,不会让信道错置,造成无线讯号的干扰。
手工设备AP
3.4.3集中网络管理:
无线网络建成后,管理者可在中心端集中管理所有AP及无线交换机,订定统一的安全管理策略并落实之,在线监控所有无线网络活动和性能,并定期产生报表。
图1找出特定使用者目前位置
图2可以提供针对整个隧道AP或特定AP等条件作分别的资料流量监控
通过图形界面对AP配置并进行管理
WXM无线管理软件能够建立侦测私接无线装置设备的管理服务,使大楼内的无线网络使用情形能受监测、控管,避免私接盗用。
H3CAP2210在设计上即负担两种任务:
提供正常无线网络使用者接入网络的服务及侦测其射频范围内是否有其它私接无线网络设备;
一旦发现私接无线网络设备,即通知WXM网管软件,由管理人员决定要认可此设备为新的合法设备或者做干扰动作。
本项功能为本套全方位解决方案特色之一,不需要额外提供其它软硬件。
非法IP自动侦测并记录
找出最接近非法AP的合法AP
3.4.4故障管理:
WXM故障管理主要包括对全网设备的告警信息和运行信息进行实时监控,查询设备的历史告警信息和运行信息,查询和配置设备的告警信息。
✧支持宽窄带设备的故障管理。
✧收集所管理设备的告警,并对通过UDP方式上报的告警进行校验,可确保告警数据不丢失。
✧支持告警相关性分析,可从众多的告警中找出告警的根源,支持多设备间的相关性分析。
✧用户可以自己定制告警相关性规则,并根据这些规则对所收到的告警进行相应的处理,包括屏蔽等。
网络建设初期屏蔽某些告警可以减少告警风暴,让用户能专心关注告警的根源。
✧通过告警板对网络中的告警提供了实时监控功能。
✧告警实时显示窗口实时显示新上报的告警、事件,也支持告警过滤,使用户可以实时的了解设备的运行状况。
✧支持告警声音提示,网管收到新告警时,通过音箱提醒用户有新告警到达,通过不同级别的告警使用不同的声音文件,提示用户新告警的级别。
✧支持告警远程通知。
告警远程通知提供对不在现场的用户进行通知的手段。
支持告警送告警箱、告警转转E_mail等。
✧支持告警拓扑定位。
用户选中一条告警,通过该功能可以将显示的焦点定位到产生该告警的拓扑对象。
✧提供告警查询,为用户深入分析告警的原因提供了便利的手段,详细告警查询给出了告警的根源和故障排除的处理方法。
告警查询包括当前告警查询和历史告警查询,用户可以自己设置告警查询条件进行查询,查询的结果可以保存成TXT、HTML文件,并输出打印。
✧能按照用户所设置的统计条件对告警信息进行统计。
✧提供告警知识库。
告警知识是用户在维护过程中的经验总结,将这些经验输入系统,下次再出现同样的故障时,可以作为参考。
用户选中一条告警记录,系统根据用户选中的告警记录,从告警知识库中查询出该条告警记录的维护经验,供用户进行告警处理进行参考。
用户将自己的日常处理经验及时写入数据库、更新告警处理知识对以后的故障诊断与排除非常有益。
✧支持告警手工确认、告警手工恢复、告警级别重定义、告警功能分类定义、告警自动确认、告警自动同步。
通过告警级别/类别重定义,用户可以改变告警在网管中显示的级别,突出用户关心的告警。
✧支持告警数据自动转储和手工转储,告警数据自动转储包括告警数据定时自动转储和告警数据溢出自动转储。
告警数据定时自动转储的起始时间与转储周期、告警数据溢出自动转储的溢出条件和转储百分比以及转储格式可由用户设置。
3.4.5性能管理:
WXM提供对设备实时性能数据的查看功能,使用户了解当前网络运行的基本情况和性能状态,从而预防网络事故的发生,预测网络运行状态,有助于用户对网络的管理运营进行合理的规划。
性能管理可提供如下功能:
✧支持性能数据的实时采集和显示,用户可以实时察看设备性能。
✧在实时浏览性能数据的时候,用户可以选择暂停/恢复实时性能数据的刷新。
用户可以设置实时性能刷新频率。
✧支持性能告警的功能,提供性能门限设置,网络中的性能异常一目了然。
✧对于正在浏览的实时性能数据视图,用户可以将其保存为其它格式的文件(如文本格式、HTML格式、EXCEL格式等),供再加工和使用。
✧提供图形界面以方便用户配置,用户只需输入所要监测设备的相关数据,软件即可自动监测设备流量;
✧支持同时监测多个设备,用户可以自行添加、删除所需监测的设备;
✧通过Web服务器,用户就可以通过网络上任意一台计算机来查看设备流量图形和数据报表。
3.5频率规划与负载均衡:
频率规划
802.11n使用开放的2.4GHzISM频段,可工作的信道数为欧洲标准信道数13个。
由于其支持直序扩频技术造成相邻频点之间存在重叠。
对于真正相互不重叠信道只有相隔5个信道的工作中心频点。
因此对于802.11n在2.4GHz地工作频段,理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。
此外,由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。
针对如何进行802.11n的频率规划作了大量的实验,实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖,并提供更高的服务带宽提高服务质量,和高带宽业务的开展。
频率规划原理图
频率规划需要配合使用的功能包括:
I.AP支持13个信道设置
II.AP支持最大100mw功率以及多级功率控制
III.AP支持外置天线以及定向天线
IV.针对特殊应用还需要AP支持桥接功能、接入功能以及WDS功能
结合以上功能的支持,以及勘探工具,可以较好的部署AP达到频率规划的效果。
华为公司针对无线小区、机场、酒店等热点区域进行过频率规划,使用效果较好。
负载均衡
AP上支持标准的IAPP协议框架,通过负载均衡的部署,可实现在一个热点内用户平均分配到所部署的所有AP上,达到在一个服务区AP接入用户数何流量的平衡,为用户提供更高的服务质量。
具体可部署的负载均衡策略有:
I.对所有AP设置基于用户数的负载均衡功能,AP通过对接入用户数的统计,与设定AP接入用户数量阀值比较,达到阀值后,不允许新的用户接入。
II.对所有AP设置基于流量的负载均衡功能,AP通过对接入用户流量的统计,与设定AP上流量漏桶阀值上沿比较,达到阀值后,不允许新的用户接入,少于阀值下沿,再允许新用户接入。
III.配合网络规划,设置AP群功能,在一个群内的AP通过组播报文实时通报接入用户数量,当发现AP间用户数差值大于设定阀值,接入用户多的AP将部分用户赶下网。
3.6供电问题:
由于本次无线网中AP设备数量较多,AP布放位置根据实际覆盖效果而调整,在已建设完成的建筑物上较难进行本地供电,基于标准的802.3af实现对AP的供电。
由于XX网络已有有线交换机不支持POE供电,通过在交换机处叠加一个POE供电模块,通过以太网线在传输数据同时给AP供电,供电距离达100米,满足实际组网的要求。
3.7覆盖效果理论计
信号强度和传输距离的换算公式
AP加卡的信号总强度公式:
Gt-Gr+AP天线增益+终端天线增益=L信号总强度(dB)
Gt(AP或终端功率,单位dB),Gr(终端或AP灵敏度,单位dB)
距离产生的信号衰减公式:
40+20lgd=L1(dB)d(距离,单位m)
工程中最大传输距离以45m计算,所以L1=72dB
障碍物的衰减:
物体
dB
地板
30
带窗户的砖墙
办公室墙
办公室墙的金属门
砖墙的金属门
12.4
靠近金属门的砖墙
工程中实际的障碍物的最大衰减是临窗墙的衰减3dB加上房间墙的衰减12dB等于15dB。
四、产品配置方案
见附件《配置清单》。
五、方案涉及产品介绍
5.1AP2612
H3CWA2600系列无线产品是杭州华三通信技术有限公司(H3C)自主研发的新一代基于802.11n技术的超百兆高速无线接入设备(以下简称AP),可提供相当于传统802.11a/b/g网络6倍以上的无线接入速率,能够覆盖更大的范围。
该系列无线产品上行接口采用千兆以太网接口接入,突破了百兆以太网接口的限制,使无线多媒体应用成为现实。
WA2620(i)-AGN(i版本是其智能天线版本)是WA2600系列无线产品中一款双频多模室内放装型802.11n无线接入设备,内置6MIMO天线,外型小巧美观,安装方式灵活,适用于壁挂、桌面和吸顶等三种安装方式,也可根据部署场景配合11n专用天线灵活使用。
WA2620(i)-AGN可同时工作在2.4GHz频段和5GHz频段。
产品视图如下:
实现高性能无线接入和最佳无线网络TCO
◆WA2600系列AP遵从802.11n协议标准,采用专业模块化设计,单射频能提供高达300Mbps的无线接入速度,是相同环境下802.11a/b/g产品的6倍左右。
通过特有的内置集成智能射频覆盖优化技术,可以有效地从覆盖范围、接入密度、运行稳定等方面提供更高性能的无线接入服务并协助用户实现最佳无线网络TCO(总拥有成本/TotalCostofOwnership)。
绿色低碳设计
◆WA2600系列AP采用专业绿色低碳设计,功耗小于13W(WA2620E除外),而标准的802.3af(PoE)供电为15.4W,这就意味着可以使用普通PoE交换机(如H3CS3000/S5000系列PoE交换机)进行供电(WA2620E需使用PoE+),供电距离可达100m。
使用PoE交换机供电不仅可以方便施工,开关和重置无线设备时也无需现场操作,只需要远程控制PoE交换机端口,从而有效地提高无线网络的管理灵活性并降低网络维护难度。
提供千兆以太网接口有线连接
◆上行接口采用千兆以太网接口接入,突破了传统百兆以太网接口的限制,使有线口不再成为无线接入的速率瓶颈,为将来支持更高速率更多射频组合提供了平滑升级的平台。
支持Fat/Fit两种模式
◆WA2600系列AP支持Fat和Fit两种工作模式,根据网络规划的需要,可以灵活地在Fat和Fit两种工作模式中切换,同时用户可以根据应用需求,灵活选择所需的设备出厂版本(Fat模式版本或Fit模式版本)。
◆当客户的无线网络初始规模较小时,客户只需采购相应无线设备,并设置其工作模式为Fat模式。
随着客户网络规模的不断扩容,当网络中应用的无线设备达到几十甚至上百台时,为降低网络管理的复杂度,建议客户采购H3C自主研发的WX系列无线控制器设备,便于集中管理网络中的所有的WA2600系列无线设备,此时只需将其工作模式切换到Fit模式。
◆工作模式切换过程只需要简易命令行,且可以通过设备网管批量执行,有利于将客户的无线网络由小型网络平滑升级到大型网络,从而更好地保护用户的投资,非常适合运营级大规模无线网络的平滑扩容升级。
提供本地转发功能
◆当WA2600(Fit模式)通过广域网方式转发时,无线接入设备部署在分支机构,而无线控制器部署在总部,所有用户数据由无线接入设备发送到无线控制器,再由无线控制器进行集中转发,导致转发效率低下。
WA2600系列AP可将数据报文在无线接入设备上直接转化为有线格式的报文,使得数据报文不经过无线控制器,而是在本地进行转发,大大提高了转发效率。
支持IPv4/IPv6双协议栈(NativeIPv6)
◆WA2600系列AP全面支持IPv6特性,设备实现了IPv4/IPv6双协议栈。
通过与WX系列无线控制器建立IPv6隧道,无论原有有线网络是IPv4还是IPv6,都可以自由的与WX系列控制器进行通信,不会成为网络中的信息孤岛。
支持RealTimeSpectrumGuard(实时频谱保护)模式
◆RealTimeSpectrumGuard(RTSG)是H3C创新提出的针对无线环境频谱状态的专业监控方案。
H3CWA2600/3600系列AP支
升级会员 