无线网络技术方案Word文档下载推荐.docx
《无线网络技术方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《无线网络技术方案Word文档下载推荐.docx(14页珍藏版)》请在冰豆网上搜索。
目前无线局域网普遍采用802。
11系列标准,因此无线局域网将主要支持802。
11g(54M带宽)标准以提供可供实际应用的相对稳定的网络通讯服务;
2、全面的无线网络支撑系统(包括无线网管、无线安全等),以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题;
3、保证网络访问的安全性,支持MAC、Portal或802.1x安全认证方式;
工程布线和安装要求:
1、室内部分:
定好较为开阔位置,将网线和电源线走暗线敷设到位;
挂在墙上,可利用设备本身自带的安装附件进行安装;
如果需要遮蔽,则需要定制非金属安装盒;
如果是挂在天花板上,则根据天花板的情况而定,若天花板是非金属结构,可以固定在天花板内.安装过程中应充分考虑防盗问题。
2、供电部分:
AP的供电可采用POE方式由接入的网络设备进行供电(也可进行本地供电)。
产品能力要求:
1、具有无委会核准证;
2、产品支持AES、WEP加密等安全标准;
3、漫游切换;
4、支撑QOS能力
三、网络建设方案
结合WLAN的实际应用和发展要求,无线局域网(WLAN)网络系统设计,主要遵循以下系统总体原则:
⏹实用性原则:
以现行需求为基础,充分考虑发展的需要来确定系统规模。
⏹安全性原则:
WLAN网络是一个开放网络,需要对用户以及网络做到安全保障。
⏹可靠性原则:
系统设计能有效的避免单点失败,在设备的选择和关键设备的互联时,应提供充分的冗余备份,一方面最大限度地减少故障的可能性,另一方面要保证网络能在最短时间内修复。
⏹成熟和先进性原则:
需要及时将新技术引用进来,更好的开展业务,同时也要求保证网络与业务的可靠性。
⏹规范性原则:
系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和联通WLAN企业标准,为系统的扩展升级、与其他系统的互联提供良好的基础。
⏹开放性和标准化原则:
在设计时,要求提供开放性好、标准化程度高的技术方案;
设备的各种接口满足开放和标准化原则。
⏹可扩充和扩展化原则:
所有系统设备不但满足当前需要,并在扩充模块后满足可预见将来需求,如带宽和设备的扩展,应用的扩展和办公地点的扩展等。
保证建设完成后的系统在向新的技术升级时,能保护现有的投资。
⏹可管理性原则:
整个系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进行系统配置,在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。
3。
1无线网络方案
1方案逻辑组网
采用无线接入点,支持802。
11a或802.11b/g协议;
在部分楼层设无线控制起来对ap进行管理配置。
AP组网最大的优点在于AP本身零配置,AP上电后会自动从无线控制器下载软件版本和配置文件,同时无线控制器会自动调节AP的工作信道以及发射功率。
另外,通过无线控制器的RF扫描探测热点地区RougeAP,可以及时排除其他AP存在的干扰,保障AP的稳定运行。
在网络管理方面,网管可以只通过管理无线控制器设备就可以达到控制AP的效果,极大的减少了无线网络后期维护和管理的工作量。
使用无线控制器+AP时,AP在启动后会自动通过DHCP方式获取IP地址,并自动搜寻可关联的无线控制器,在和无线控制器建立CAPWAP隧道之后会自动从无线控制器下载配置文件和更新软件版本。
在AP的接入方面,思科拥有智能射频管理,当某一个AP出现故障时,周围的其他AP会自动调整功率,对该部分区域进行重新的信号覆盖,保证信号的良好覆盖。
而当有非法AP进入无线网络造成信号干扰时,思科只能射频管理系统可以定位出该AP的位置,以便及时加以排除。
无线控制器可以设定AP间对接入用户进行负载分担,当无线控制器发现AP的负载超过设定的门限值以后,对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入,如果有则AP会拒绝用户的关联请求,用户会转而接入其他负载较轻的AP。
如图所示。
思科公司创新性地支持智能负载均衡技术,保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能,有效的避免误均衡的出现。
思科AP方案还支持无线入侵检测。
当有第三方的AP仿冒SSID时,无线控制器会通过AP的反馈,迅速得到相应的信息,并上报网管,采取相应的信息。
管理员还可以对该设备发起攻击,使该第三方设备无法连接上相应的用户.
3.1.2频率规划与负载均衡:
频率规划
802。
11g使用开放的2.4GHzISM频段,可工作的信道数为欧洲标准信道数13个。
由于其支持直序扩频技术造成相邻频点之间存在重叠。
对于真正相互不重叠信道只有相隔5个信道的工作中心频点。
因此对于802。
11g在2。
4GHz地工作频段,理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。
此外,由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果.
信道标号
中心频率(MHz)
1
2412
2
2417
3
2422
4
2427
5
2432
6
2437
7
2442
8
2447
9
2452
10
2457
11
2462
12
2467
13
2472
针对如何进行802。
11g的频率规划作了大量的实验,实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖,并提供更高的服务带宽提高服务质量,和高带宽业务的开展。
`
频率规划需要配合使用的功能包括:
1、AP支持13个信道设置
2、AP支持100mW最大射频功率以及多级功率控制
3、AP支持外置天线以及定向天线
4、针对特殊应用还需要AP支持桥接功能、接入功能以及WDS功能
频率复用和负载均衡
针对频率复用的设计与实现主要侧重于重叠区域,考虑到802.11技术中目前业界主要采用DCF的仲裁,这样会导致从网络实施的角度出发,没有办法做到像GSM、3G网络的控制力度,从技术原理的角度出发,没有办法实现很好的频率复用,只能被动做些负载均衡的功能。
每个AP具有54Mbps、48Mbps、36Mbps、18Mbps等的覆盖范围,对于54Mbps的覆盖范围不重叠,对于54Mbps与18Mbps就可能进行重叠,可以根据网络侧的负载功能进行实现一定程度的频率复用功能,从网络规划的角度出发,WLAN基本上、下行无线链路复用的处理问题,因为目前都是DCF方式,而从只能结合业务目标实现网络覆盖效果,具体网络使用效果使用负载均衡功能进行实现。
负载均衡的功能实现具体原理如下:
1.根据负载均衡的配置确定负载均衡的模式、SSID、其他参与负载均衡的AP的标识、用户数或流量的阀值等进行一定的初始化;
2.确定本AP的2个射频模块连接的STA用户数量和流量;
3.通过UDP协议以私有方式定时进行AP间通讯。
先进行握手,成功后才进行数据的交换,获取参与负载均衡的AP的负载信息.
4.当有STA要接入时,根据其工作频率,比较本AP上该射频下的负载和其他AP的指定SSID下的用户数或流量,以及负载均衡的SSID绑定接口的速率集,决定STA能否接入。
同时要注意到若用户数已达到AP某个SSID的最大用户数,则该AP的SSID不允许再接入STA;
容量规划
从业界实现的DCF方式来看,没有一个最大用户数的限制,但业界各个厂商进行实现时都基于一定理解的前提下进行默认限制,思科目前每个AP最大的用户默认限制为64个用户,并可以根据实际情况更改每个AP限制接入的用户数。
根据多年的WLAN部署经验,思科建议,从网络规划的角度出发,按照每个AP覆盖20用户进行部署,可以保证用户的接入质量和正常需求下的网络吞吐量。
3网络管理
思科使用WSM无线业务管理器应能对无线网络中的AP、AC等设备作到统一管理.WSM无线业务管理器依托iMC智能管理平台,实现有线无线一体化的管理,在iMC系统全面的有线网络管理的基础上,为用户提供无线网络管理能力。
用户无需重新搭建IT管理平台,即可在原有的有线网络管理系统中增加无线管理功能,与有线管理平台统一部署,节省用户投入,节约维护成本。
iMC智能管理中心采用分布式、组件化、跨平台的开放体系结构.通过选择安装WSM无线业务管理器,用户可以获得全面的无线业务管理能力,实现AC设备、FATAP设备、AP设备、移动终端等无线设备的集中管理,轻松实现设备配置管理功能,并提供资源分组、无线拓扑功能,对全网无线设备进行直观有效的组织,对网络部署和设备状态一目了然,策略模板等功能实现网络和设备的批量配置,提升效率,降低维护工作量,降低维护成本。
基于Web的管理系统,为无线业务管理者提供了简便、友好的管理平台.
与iMC智能管理平台及其它组件配合,还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理、用户认证管理等功能,并可对网络中的其它设备进行统一管理,真正实现有线无线一体化管理。
另外,思科的所有设备均内置WEB网管,可以满足对SNMP要求不高的应用场景。
1.4供电问题
由于本次无线网中AP设备数量不是很多,可以通过采用本地电源进行供电。
3.2覆盖解决方案
无线信号强度和传输距离的换算公式
AP加卡的信号总强度公式:
Gt-Gr+AP天线增益+终端天线增益=L信号总强度(dB)
Gt(AP或终端功率,单位dB),Gr(终端或AP灵敏度,单位dB)
距离产生的信号衰减公式:
40+20lgd=L1(dB)d(距离,单位m)
工程中最大传输距离以45m计算,所以L1=72dB
障碍物的衰减:
物体
dB
地板
30
带窗户的砖墙
办公室墙
办公室墙的金属门
砖墙的金属门
12。
靠近金属门的砖墙
工程中实际的障碍物的最大衰减是临窗墙的衰减3dB加上房间墙的衰减12dB等于15dB。
本次无线覆盖办公楼主要办公区域进行无线覆盖。
粗略估计需要105台AP,可以做到用户要求的全区域覆盖;
根据楼宇的具体结构可以采用两种AP的安装方式,直接壁挂安装和AP放置于天花板的方式安装;
以上方案中所列AP及配件数量均为预估值,可能根据具体情况进行调整。
四、基于802.1x的客户端快速部署技术(二期扩容可考虑)
网络的终端安全问题由来已久,但是由于终端的数目众多,部署管理软件客户端的工作量太大,给解决终端安全问题造成了巨大障碍.为解决客户在部署客户端方面遇到的工作量问题,思科公司在EAD客户端中集成了快速部署技术,不需要管理员干预就可以自动下发客户端,解决了客户端部署的难题.
如果终端设备没有安装iNode智能客户端,认证成功之前(包括认证失败)终端用户只能访问一个特定的隔离区或是某一个(或几个)服务器。
当用户在IE中输入网站地址试图访问外部网站时,交换机会将用户访问的URL重定向到设置好的URL(例如iNode智能客户端下载界面),这样用户一打开IE就必须进入管理员预设的界面。
在预设界面会提供客户端和其他必须安装的软件链接供用户安装,用户正确安装iNode智能客户端后进行认证,如果身份认证和安全认证顺利通过,访问限制将被取消,用户获得正常的访问权限。
EAD快速部署提供了一个全新的特性,该特性为IT管理员和终端用户进行iNode智能客户端软件的快速部署提供了极大的方便,有力的提高了EAD解决方案的易部署性。
⏹Windows域统一认证技术
很多单位已经建立了基于Windows域的信息管理系统,通过Windows域管理用户访问权限和应用执行权限。
然而,基于Windows的权限控制只能作用到应用层,而无法实现对用户的物理访问权限的控制,比如对网络接入权限的控制,非法用户可随意接入用户网络,这就给网络应用安全带来很多隐患。
为了更加有效地控制和管理网络资源,提高网络接入的安全性,很多网络的管理者希望通过802。
1x认证实现对接入用户的身份识别和权限控制.
但是,将802。
1x接入认证与域认证结合以加强网络安全的方案在具体的实施过程中却遇到以下问题:
1、Windows域登录认证要求用户必须首先接入网络,建立用户与域控制器间的网络连接,然后才可以登录并进入桌面。
而一般的802。
1x认证需要用户首先进入桌面,然后才可以进行网络接入认证、建立网络连接。
两种认证之间的时序依赖关系产生了明显的矛盾,导致使用802.1x进行网络接入认证的用户无法登录到Windows域。
2、Windows域与802.1x认证服务器各自拥有专用的用户身份识别和权限控制信息,造成用户接入网络和登录Windows域时需要使用两套用户名和密码,给用户的使用带来不少操作上的麻烦。
如何解决目前Windows域登录与802.1x认证的矛盾,融合网络中802.1x接入认证与Windows域认证,全面简化用户操作,实现网络接入与Windows域的单点登录,是目前许多IT管理员迫切需要解决的问题。
通过对802.1x认证流程和Windows域登录流程的深入研究,思科公司提出了Windows域与802。
1x统一认证方案,平滑地解决了两种认证流程之间的矛盾,避免了用户二次认证的烦琐。
该方案的关键在于两个“同步”过程:
同步域用户与802.1x接入用户的身份信息(用户名、密码),EAD解决方案使用LDAP功能实现用户和Windows域用户信息的同步。
同步域登录与802。
1x认证流程,EAD解决方案通过思科自主开发的iNode智能客户端实现认证流程的同步。
在应用思科的Windows域与802。
1x统一认证方案后,用户网络的安全性极大增强.具体来说,实现Windows域与802。
1x统一认证可为用户网络带来以下优点:
增强了网络接入的安全性,有效杜绝非法用户接入,实现对非法用户的物理隔离;
增强了Windows域的安全性,用户必须通过802.1x认证才能访问并登录到Windows域中,提高了域内应用资源的安全性;
解决了Windows域登录与802.1x不能兼容的矛盾;
透明的统一认证流程,与通常的域认证过程完全一致,无需额外培训;
实现了网络接入与Windows域的单点登录,方便用户的使用与操作,减少用户同时记忆两套用户名与密码的繁琐;
实现用户密码的统一、集中维护(由域控制器维护),提高了用户密码保护的安全性,方便用户修改密码。
五、产品配置方案
本项目建议采用思科无线控制器,形成“AP+无线控制器”的组网模式。
WA2210—AG无线接入点支持802.11a/b/g标准,负责无线用户的接入,并保证用户接入的信号质量;
WX3010对所有的AP进行管理与智能控制,保证用户能够安全、稳定、高带宽的接入到Internet,并能为无线用户进行认证、鉴权,使无线网络管理维护更简单.
七.思科方案的特点与优势
7。
1思科AP方案的特点
7.1.1智能射频管理
每个AP上电时,无线控制器会根据AP的邻居关系动态调整AP工作的信道和发射功率,在保证覆盖的前提下保证AP间的干扰最小。
当AP覆盖区域受到外界强信号干扰时,无线控制器会控制AP自动切换到合适的工作信道以规避干扰信号。
当覆盖区域内的某个AP发生故障而造成覆盖黑洞时,无线控制器会自动调整相邻的AP的发射功率以消除黑洞区域,当故障AP恢复工作后无线控制器可以自动调整邻居AP的发射功率恢复原始工作状态.
1.2智能负载均衡
无线控制器可以设定AP间对接入用户进行负载分担,负载分担的策略可以是基于AP接入的用户数量,AP流量负载情况
当无线控制器发现AP的负载超过设定的门限值以后,对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入,如果有则AP会拒绝用户的关联请求,用户会转而接入其他负载较轻的AP。
思科公司创新性地支持智能负载均衡技术,保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能,有效的避免误均衡的出现.
1.4支持无线入侵检测系统(WIDS)
思科WLAN解决方案支持无线入侵检测系统(WIDS),WIDS工作原理如下:
A.无线控制器可以指定AP工作在两种工作模式:
模式一、AP负责监听空口所有信道的信息,但不负责用户报文的转发。
模式二、AP在为用户转发数据的同时定期切换到其他信道监听信息,AP设备负责把监听到的无线设备和有攻击行为的无线设备上报给无线控制器
B。
无线控制器根据AP上报的设备信息识别非法设备
C.无线控制器通过各种途径提供各种声、光、电的报警
D。
当有用户试图连接到非法的AP上时,用户会发起‘关联请求'
,无线控制器通过AP收到这个请求时,指挥周边的AP发‘解除关联’的指令,确保用户不会连接到非法AP。
1.5Portal认证支持
Portal认证又称为强制WEB认证,以其新业务支撑能力强大、无需安装客户软件、与组网设备无关等特点,受到越来越多用户的欢迎。
Portal认证业务可以为管理者提供方便的管理功能,如要求所有的用户都到门户网站去认证,门户网站可以开展广告、信息服务、个性化的业务等,为信息传播提供一个良好的载体。
Portal认证原理
Portal认证协议主要应用于思科公司提出的基于WEB的宽带接入认证系统中,完成用户的认证和授权。
整个Portal认证过程涉及到了Portal页面,WX3010和iMC服务器。
Portal认证工作原理:
未认证用户在访问网络时,可以直接访问为用户免费开放的资源,当用户要使用网络中的收费资源时,设备会将用户的http请求重定向到Portal门户网站,用户必须在门户网站进行认证,只有认证通过后才可以访问这些资源。
Portal认证的工作流程如下图所示:
认证流程:
用户通过IE访问需要授权的网络资源,设备发现用户还没有通过认证则强制到Portal,PortalServer将WEB页面强推给用户,提示用户需要进行认证。
用户在WEB页面中输入用户名密码并提交认证,PortalServer将认证信息发送给设备,设备将用户信息转换为Radius报文发送到iMC服务器进行认证.
iMC服务器对用户信息进行验证,确认无误后,下发认证通过报文以及相应的权限控制信息给设备,设备放开用户的上网权限,同时iMC服务器开始进行计费.
上网期间,用户PC和PortalServer定时发送心跳报文交互,以确保用户没有因异常原因下线。
用户下线时,PortalServer收到用户下线请求并通知设备,iMC服务器终止计费并通知设备断开用户。
7.1。
6多业务的安全性
思科AP解决方案提供多种业务不同网络层面的安全保障,体现在:
层次体系
主要技术
解决的问题
物理接入
WEP64/128、TKIP、CCMP加密
可升级支持WAPI加密
防止无线报文被监听和篡改
SSID隐藏
解决不明用户访问网络
逻辑链路
802.1x/PSK/MAC/Portal多种认证方式的混合接入
802.1x支持PEAP/TLS/TTLS/SIM多种模式
可升级支持WAPI认证
用户身份鉴别和安全准入
动态下发用户的权限
业务隔离
Hotspot用户隔离
限制用户互访
黑名单
限制恶意用户
网络
无线入侵检测系统
非法设备的检测、无线攻击的告警和规避
安全策略在无线控制器统一部署
避免在大量的无线接入点部署策略
AC和AP间的CAPWAP隧道下行流量限速
防范外界对AP的数据流量攻击
IPSECVPN
端到端的安全加密
资源绑写(MAC、ESS、VLAN、Port)
尽可能防止假冒
设备
AP本地不再保存配置信息
避免设备丢失造成配置泄漏
AP身份认证
只有合法的AP才能和无线控制器建立关联
AP支持多无线控制器的冗余备份
无线控制器down机不会造成无线网络的瘫痪
网管
无线安全策略配置
无线安全策略的统一部署
非法设备监控和告警
设备信道调整告警
了解设备遭受干扰后的信道调整情况
7.1.7IPV6
为了适应下一代IP网络的部署要求,思科公司的AP能够同时满足IPv4和IPv6两种不同网络的组网要求(图示),为了简化用户配置这种适应能力不需要用户配置干预而是自适应调整。
作为AP的缺省发现方式AP会首先作为IPv4节点发起无线控制器发现过程,当发现过程失败以后,AP会切换到IPv6节点方式继续无线控制器发现过程。
AP会在以下两种情况下切换到IPv6模式:
AP无法从DHCPserver获取到IPv4网络地址
AP在IPv4网络没有无线控制器响应AP的发现请求
AP在IPv4网络中和所有的无线控制器建立连接失败
8AP间无线漫游
思科无线漫游解决方案支持同一AC下AP之间,不同AC下AP之间的无缝快速漫游,保证无线客户端在一个子网内部,从一个AP的覆盖范围移动到另一个AP的覆盖范围时,通信不中断,用户无需重新登录和认证。
AP1与AP2分别与AC建立CAPWAP隧道;
无线用户与AP1进行关联,接入网络;
AP会将用户的报文封装在隧道中送给AC处理;
当无线用户从AP1往AP2方向移动时
升级会员 