机场无线部署解决方案文档格式.docx
《机场无线部署解决方案文档格式.docx》由会员分享,可在线阅读,更多相关《机场无线部署解决方案文档格式.docx(28页珍藏版)》请在冰豆网上搜索。
在2.4GHz频段,是一种能支持较高数据传输速率(1~54Mbit/s),采用微蜂窝、微微蜂窝结构,自主管理的计算机局域网络。
802.11i:
无线安全标准,wpa是其子集,规定使用802.1x认证和密钥管理方式,在数据加密方面,定义了TKIP、CCMP和WRAP三种加密机制。
802.11n:
Wi-Fi联盟为了实现高带宽、高质量的WLAN服务,使无线局域网达到以太网的性能水平,802.11任务组制定了N(TGn),将无线局域网的传输速率从802.11a和802.11g的54Mbps增加至300Mbps以上,最高速率可达600Mbps,采用OFDM技术、MIMO(多入多出)技术。
WEP:
WEP是WiredEquivalentPrivacy的简称,有线等效保密(WEP)协议是对在两台设备间无线传输的数据进行加密的方式,用以防止非法用户窃听或侵入无线网络。
WPA:
英文缩写:
WPA(Wi-FiProtectedAccess)WPA是一种基于标准的可互操作的WLAN安全性增强解决方案,可大大增强现有以及未来无线局域网系统的数据保护和访问控制水平。
WPA源于正在制定中的IEEE802.11i标准并将与之保持前向兼容。
WPA2:
WPA2是经由Wi-Fi联盟验证过的IEEE802.11i标准的认证形式。
WPA2实现了802.11i的强制性元素[1],特别是Michael算法由公认彻底安全的CCMP讯息认证码所取代、而RC4也被AES取代。
WPA/WPA2企业版:
Wi-Fi联盟已经发布了在WPA及WPA2企业版的认证计划里增加EAP(可扩充认证协定)的消息,这是为了确保通过WPA企业版认证的产品之间可以互通。
先前只有EAP-TLS(TransportLayerSecurity)通过Wi-Fi联盟的认证。
SSID:
SSID是ServiceSetIdentifier的缩写,意思是:
服务集标识。
SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络.。
无线漫游:
当网络环境存在多个AP,且它们的微单元互相有一定范围的重合时,无线用户可以在整个WLAN覆盖区内移动,无线网卡能够自动发现附近信号强度最大的AP,并通过这个AP收发数据,保持不间断的网络连接,这就称为无线漫游。
数字证书:
数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证您身份的方式,它是由一个由权威机构-----CA机构,又称为证书授权(CertificateAuthority)中心发行的,人们可以在网上用它来识别对方的身份。
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。
数字证书是一种权威性的电子文档,由权威公正的第三方机构,即CA中心签发的证书。
5总体设计方案
5.1无线网络组网规划
⏹组网说明
在机场核心交换机分别旁挂1台或多台AC无线控制器,通过1+1方式实现冗余备份,在机场无线热点区域部署多个瘦AP。
根据现有机场有线的网络的部署情况,无线AP与AC控制器间通过二层或三层实现互联互通,AC工作在集中转发模式,所有无线终端的业务数据通过AC进行集中转发。
机场无线AP手动配置自身IP地址,与AC的IP地址实现隧道互联,无线终端的IP地址通过DHCP动态获取,网关指向机场的核心交换机,建议部署两台DHCP服务器,在核心交换机上配置DHCP中继,分别指向两台DHCP服务器,实现对DHCP服务器的冗余备份。
机场无线AP采取WPA2的无线加密认证方式。
无线终端上行的802.11的数据报文通过AP重新封装到802.3格式以太报文中,直接发给AC,由AC进行过滤识别后进行转发,这个过程实现了WLAN无线的数据和现有业务的数据隔离。
☺注意事项:
因无线的数据均采用集中转发方式,所以在无线终端间进行数据访问时,也需要数据通过AC集中转发而访问,增加了不必要的网络开销,我们建议禁止无线终端间的数据访问业务。
⏹设备配置说明
设备名称
部署设备型号
数量
设备说明
无线控制器
WNC6000-1000-AC
X台
AC控制器,支持1024个AP接入
室内AP
WA2000-213W-PE
单频、单模,室内2.4G增强型室内AP。
802.11(b、g、n),外置天线,100mw放装型,POE受电方式。
支持wapi。
室外AP
WA2000-362W-PTE
WA2000-362W-PTE,无线,双频、双模,2.4G、5.8G增强型室外AP。
802.11(a、b、g、n),外置天线,500mw+500mw放装型,PTE受电方式。
支持wapi
AAS服务器
AccessAuthenticationserver
迈普设备接入认证服务器(基本型、含硬件),2个以太口
AAS-L-2000
X
2000个License认证用户数,单一系统支持多个License累加
Portal软件
PortalAuthenticationServer
Portal认证服务器中文版
短信网关
MaipuSMS-CN
MaipuSMS-CN、电信制式短信网关
无线网管软件
MaipuNetManager
多业务智能管理平台(专业版,中英文版,无最多可管理网络设备数量限制)
NM-WlanManager
无线业务管理组件
NM-L-500
软件许可,每个许可可增加500个设备节点授权许可
5.2网络高可靠性
5.2.1AC冗余备份
AC无线控制器采用,1+1冗余备份方式,在核心交换机分别旁挂1台或多台AC无线控制器,通过1+1方式实现冗余备份,保证了整个无线网络的高可靠性。
根据无线AP的规模来确定AC的容量。
在备机房放置同等数量和容量的AC,实现完备的1+1冗余备份。
1+1冗余备份方式,需要从两个层面来保证设备和网络的冗余可靠性。
首先,AC和备份AC之间的管理通道保持有快速心跳检测机制,心跳时间根据网络的质量可以配置,建议为200ms到5s之间。
心跳报文在两端AC和整个通道的网络设备之间采用高优先级保证。
同时,主AC和备份AC之间能定期和实时的同步AP,client的各种状态。
这样,备份AC能实时监控主AC的活动状况。
一旦主AC出现宕机等事件,备份AC收不到主AC的心跳报文,立即通知该主AC管理的原AP,实行切换。
其次,AC和所管理的AP之间的管理通道保持有心跳检测机制。
这种机制中除了检测AC的状态之外,还可以检测整个网络通道是否可达。
心跳时间根据网络的质量可以配置,建议为5s到20s之间。
1+1的备份方式在部署时,AP需要配置主用AC和备用AC的地址列表,我们采用静态指定的方式,在AP上写入主备AC的IP地址,当主AC出现宕机或者主机房网络出现故障,访问不可达的情况下,AP主动发现并切换到备AC上。
5.2.2DHCPServer备份
DHCPSERVER备份实现机制:
在机场主机房搭建主DHCPSERVER和备用DHCPSERVER;
通过核心交换机做DHCPRELAY,分别指向主、备DHCPSERVER,在正常情况下,用户端从主DHCP服务器获取地址,当主DHCPSERVER宕机的情况下,用户从备DHCPSERVER获取地址。
该功能的实现需要在核心交换机上配置两条DHCPRELAY命令。
5.3无线安全设计
由于无线接入的开放性,因此无线接入安全是部署无线网络的重中之重。
当前兼容性最好、可实现性最高的无线安全接入方式就是结合数字证书的WPA2身份认证及数据加密技术。
5.3.1WIFI接入及认证过程
为满足用户可以更方便快捷的使用WIFI热点,并且又能够对接入用户合法性进行确认,本方案设计采用AAS+Portal+短信方式认证。
⏹Web认证
机场WIFI用户使用手机或者pad自动搜索到机场WIFI热点,在连接的时候会自动重定向到本地Portal页面上,给用户推送一个Web认证界面。
当用户再次通过HTTP协议上互联网时,会触发Portal认证,后端的Portal认证服务器会推送一个Web认证页面到用户终端上。
用户在WEB认证界面填写自己的手机号,点击获取随机密码,则用户填写的手机号对应的手机会收到一条短信,获取到一个随机密码,用户通过该手机号码及短信收到的随机密码进行Web认证。
认证通过后系统允许用户终端上网,并且返回一个认证通过的页面,再次根据用户所在的公交车位置信息判断推送不同的广告信息;
⏹AAS服务器
AAS是基于AAA的认证系统,在本方案中主要功能为配合Portal服务器为用户提供身份认证。
AAS也可以通过代理方式与运营商或者上级AAA系统进行对接,能够直接与营运商的用户库(如手机号等信息)共享,避免用户信息多点维护。
AAS认证的用户名基于运营商用户库,所以有效的避免了其他运营商的用户接入占用资源的问题。
该系统允许所有运营商的用户能使用。
5.3.2无线数据加密
WPA2使用加密性能更好、安全性更高的加密算法:
AES-CCMP(AdvancedEncryptionStandard-CountermodewithCipher-blockchainingMessageauthenticationcodeProtocol,高级加密标准-计数器模式密码区块链接消息身份验证代码协议),其主要有如下几点改进:
使用128位AES加密算法实现机密性保护,数据完整性保护,自动重新生成密钥对以派生新的数据加密密钥,使用数据包编号字段实现防重播。
AES-CCMP在802.1X身份验证过程动态创建一组主从密钥,并由该从主密钥对和其他值派生出数据加密所需的临时密钥,避免了WPA-PSK主密钥需事先定义而可能泄露的弊端。
5.3.3AC与AP之间的安全认证
为了保证AC与AP之间的访问安全,尤其是防止黑客或者攻击者从市场上购买同一品牌的AP,私自接入机场网络,进行各种高级攻击。
因此需要加强AC和AP之间的安全认证。
最简单的认证是MAC地址认证,部署过程中可以将系统中的合法AP的MAC地址统一记录在Radius或者AC上。
AP在跟AC关联进行集中管理时,都需要在AC上通过mac地址认证才能允许AP接入无线网络;
其次是密码认证,第一次部署过程中需要在AP上设置相关密码;
AP在跟AC关联进行集中管理时,都需要在AC上通过密码认证才能允许AP接入无线网络;
注:
前面两种方式都是单向认证,在AC上认证接入AP;
还有一种更安全的方式是数字证书认证,我们采用的X.509数字证书认证方法。
该认证方法是双向认证,除了AC上认证AP的证书,同时在AP上还需要验证AC的证书,充分保证网络设备的合法性。
在首次部署的时候,需要将相关证书下发到设备上。
AP运行过程中,跟AC关联进行集中管理时,就会启动该双向认证,成功后才能允许AP接入无线网络。
5.3.4其它无线安全控制技术
其它无线安全技术主要体现如下几方面:
SSID隐藏:
隐藏无线对外服务标识,类似在开放的环境中隐藏接入端口,保护无线接入。
无线用户接入时段控制:
根据业务需要,限制终端用户通过无线接入的时间区间,可以实现在非工作时间外禁止接入网络。
无线用户访问权限控制:
可以在无线接入控制器上实现ACL控制,放行移动终端业务的目标地址,阻断其它应用,通过ACL控制访问权限。
无线用户速率控制:
通过限制每个无线终端的速率,防止各种恶意或无意的高速率访问,确保其它用户通过无线接入的接入速率、接入稳定性。
无线用户相互隔离:
对通过无线接入的终端实现隔离,阻断相互之间的通信,不仅实现安全管理,也可避免终端之间的相互影响。
5.4无线网络管理
整个无线网络统一进行无线网络设备管理,无线网络的可管理性在整体项目中将起到非常重要的作用。
根据机场的应用需求,我们提出实现无线网络的“云管理”方案。
简单来说,无线网络管理分成以下三层管理架构:
网管软件对AC的管理:
主要聚焦在网管软件对各个AC的状态监控,并对AC进行权限管理及监控。
网管软件对AP的管理:
主要聚焦在网管软件对分布在全国任意网点的AP的追溯管理,包括每台AP下的终端接入数,终端流量,终端应用。
网管软件对无线终端的管理:
主要聚焦在网管软件对接入到全国任意网点的所有无线终端的管理,包括终端流量等等。
通过以上三方面不同层次的网络管理,使得无线网络的管理更可控。
5.4.1网络发现
基于IP范围发现AC,手动添加设备
基于AC发现无线网络,自动添加设备
5.4.2拓扑管理
支持网络拓扑图的自动生成及拖拉缩放,支持网络拓扑分层分级导航和管理及自动更新
支持网络拓扑图的手动定制及定制连接
支持物理连接和逻辑连接,并在拓扑上显示连接属性,如端口、贷款及连接状态
5.4.3无线网络规划
支持无线分级地图
5.4.4无线网络监控
支持在各AC管辖下的无线AP列表
支持列出客户端列表:
包括活动客户端列表、客户端列表历史、信噪比等
5.4.5无线网络安全
支持统一安全策略:
统一安全策略的创建及安全策略的下发和部署
支持无线安全防护:
包括RogueAP列表,RogueClient列表,Rogue设备反制及无线入侵事件列表等
5.4.6AC性能管理
支持AC性能监控,及性能数据的管理
5.4.7网络流量分析
支持网络流量数据采集标准(CiscoNetFlow,sFlow等)
支持带宽使用统计
网络性能瓶颈发现
输出网络流量报告,支持基于图形化和数据表格方式的网络流量详细报告
5.4.8告警管理
支持告警定义,告警呈现,告警管理及相应的告警操作。
5.4.9报表呈现
支持表格和图形混合展现的报表呈现方式
可手动、自动生成报表,并自动发送报表
5.4.10软件管理
支持软件包管理及AC、AP软件自动升级
5.4.11配置管理
支持批量配置管理,配置文件管理
5.4.12资产管理
支持设备资产管理,设备资产信息收集和展示,并定期自动同步
5.4.13任务和调度
支持任务的查询/修改/制定,从而实现按时批量任务实现
支持一次性任务调度、周期性任务调度,并输出任务执行日志,并回报任务执行结果通知
5.4.14日志管理
可记录日志,包括网管日志,网元操作日志,安全日志及网元日志等
可操作日志,包括设置、转储、查询和打印等
并可对日志进行定期清理
5.4.15安全管理
可对用户组进行安全管理,包括用户管理、管理域等
可实现第三方认证和授权,支持RADIUS,TACCS,LDAP
5.5QOS部署
5.5.1QOS总体框架
通过WMM协议,使802.11在链路层和MAC层提供支持QoS的无线网络接入服务,加上有线网络原有的应用层、IP层的QoS策略,提供了无线设备端到端的QoS支持能力,以无线终端Client1发送报文到Client2为例说明Qos总体框架。
总体框架中提供两大部分QoS部署:
一是从client到AP之间的无线QoS部署,该部分主要是对于空中的无线报文(802.11报文)进行各种QoS管理和配置。
对于语音和视频等高优先级流量进行调度;
二是从AP到AC之间的有线QoS部署,该部分主要是对于以太网报文(802.3报文)进行各种QoS管理和配置。
因为无线报文达到AP后,就接入了有线网络,报文也就是从802.11格式转为802.3格式,进行有线网络转发。
5.5.2QoS高优先级业务数据优先保证
WMMQoS到802.3的CoS之间的映射:
AP收到802.11报文后,AP将其中WMMQoS字段转换为802.3的CoS字段的值,保证无线用户的优先级信息能够保持不变,高优先级数据优先处理。
内部优先级到外部优先级的映射(未来实现):
数据被封装到隧道后,内部的优先级不能被其它网络设备识别,因此必须将内部的优先级映射到外部网络。
AP在封装隧道数据时,会把内部优先级映射到隧道数据的外部,保证其它网络设备也能按照用户数据的优先级进行转发。
AC对于QoS优先级的处理:
AC收到隧道数据后,首先解封装,根据内部CoS的优先级进行数据调度,保证高优先级的数据得到优先转发。
802.3的CoS到WMMQoS之间的映射:
AP收到来至有线网络的802.3报文后,AP将其中802.3的CoS字段转换为WMMQoS字段的值,对于高优先级的数据优先发送。
5.5.3管理报文高优先级处理
对AP和AC之间的管理报文,即端口号为57776的TCP报文和端口号为57778/57779的UDP报文,设置高优先级,可以保证管理报文的高优先转发。
5.5.4通过clientQoS修改用户的优先级
AP上的clientCoS功能可以根据优先级策略直接修改用户的优先级。
AP收到802.11数据后,匹配用户的IP地址,根据用户的IP匹配对应的策略,根据策略设定的优先级改写原有的优先级,保证特定用户的数据得到特定的优先级。
配置方式如下:
配置分类表(classmap):
建立一个分类规则,可以按照ACL、CoS、VLANID、IPV4Precedent、DSCP、IPV6FL来分类。
之后,对于不同类别的数据流采取不同的策略。
配置策略表(policymap):
对数据流进行分类之后,就可以建立一个策略表,之后就可以将其对应一个先前建立的class-map,进入策略分类表模式,然后就可以对于不同的数据流采取不同的策略,如带宽限制、优先级降低、分配新的DSCP值等等。
也可以定义一个集合策略,这个策略可以在同一个策略表内部被多个策略分类表使用。
将QoS应用到AP或者AC:
如果需要在AP上启动QoS,则在APprofile文件中增加配置的策略应用。
如果需要在AC上启动QoS,将策略绑定到AC的端口。
5.5.5基于用户的限速
基于用户的限速,配置命令通过AC下发到AP上,用AP来实现每一个终端速度的限制。
实现原理是对用户的数据流量进行精确的统计,按照令牌桶的原理,单位时间内,每个用户都会分配到指定大小的令牌,用于流量允许通过。
如果超过了用户限制的带宽,令牌就会用完,该用户的数据报文将会丢弃。
每个用户都会有令牌桶,因此可以精确到每个用户的限速。
限速粒度为64Kbps。
对于每个用户的上行和下行报文,设计有单独的令牌桶,可以分别控制和进行速率限制。
限速的配置可以从两个方面进行,如果对于所有用户限速都相同的话,可以从AC上通过配置AP的clientqos模块中ratelimit参数,统一下发给AP。
如果对每个用户的限速不同的话,因为用户数比较多,在AC上进行统一配置明显不行,需要在Radius上对每个用户的速率进行单独设置。
在用户进行统一认证的时候,将会把限速参数动态的下发给该用户所在的AP。
5.6POE供电方案
5.6.1POE供电模块供电
若热点区域的无线AP部署数量较少,建议采用独立的POE供电模块进行供电,无需单独部署POE交换机。
5.6.2POE交换机供电
若无线热点区域的无线AP部署数量较多,为实现设备的集中供电管理,建议采用POE供电交换机进行供电。
5.7网络设备要求
5.7.1无线AP
产品型号
无线特性
接口类型
物理特性
100mW802.11b/g/n
1个10/100/1000Mbps电口、1个控制口
250mm*222mm*58mm
WA2000-323W-PE
500mW802.11b/g/n
500mW802.11a/n
209mm*125mm*25mm
支持标准
TCP/IP,IPX,NetBEUI、IEEE802.11b(WiFiCompatible),IEEE802.11g(WiFiCompatible),IEEE802.3/u10/100Base-TxRJ-45,IEEE802.3af(PowerOverEthernet),IEEE802.1p(QoSPriority),IEEE802.1q(VLAN),IEEE802.1x(SecurityAuthentication),IEEE802.11e(WirelessQoS),IEEE802.1d(SpanningTreeProtocol)、
11N
HT保护模式、A-MPDU聚合、A-MSDU聚合、短GI、扩展信道保护模式、信道模式20M/40M
工作模式
AP,Bridge
频率自动调节、自动功率调整、SmartWDS、输出功率调节
QOS
负载均衡(流量、用户数)、带宽控制、链路检、WMM、VoIP接入数量控制
管理特性
Web、SSH、CLI、SNMP、管理代理、capwap、TR069
诊断功能
用户列表、临近AP扫描、IPping测试、统计
链路完整性
支持
路由
安全特性
Radio开关、WEP加密(64/128)、TKIP、WAPI、802.1x、MAC控制、station隔离、防XDos攻击、WPA
(2)-PSK、WPA
(2)、小包过滤、广播风暴控制
电源
POE、220V
环境特性
工作温度
0~+50℃
工作湿度
5to95%RH