WLAN无线网络改造方案docdeflate.docx
《WLAN无线网络改造方案docdeflate.docx》由会员分享,可在线阅读,更多相关《WLAN无线网络改造方案docdeflate.docx(7页珍藏版)》请在冰豆网上搜索。
WLAN无线网络改造方案docdeflate
WLAN无线网络改造技术方案书
杭州华三通信技术有限公司
现状与需求
一、项目背景
网络结构:
整个网络分为三层核心层、汇聚层和接入层。
核心层采用一台三层交换机,用于汇聚各个楼层的交换机,连接计费系统,核心交换机共1台。
汇聚层交换机采用2层交换机,安装在主楼配电室,每三层汇聚一次,用于汇聚楼层内的无线发射台或办公室网线。
接入层为无线AP,安装在每层楼的天花板上面,每3个或4个教室安装1台AP,大会议室1-2台AP,小会议室1台AP,AP将铺设专用的电源线进行供电。
室外采用大功率室外AP
网络拓扑示意图:
二、现状分析
而现在随着网络越来越快速便捷,无论是交换机还是网卡已进入千兆的时代,现在千兆三层交换机的背板交换容量在200G以上,包转发能力在100兆左右。
目前的核心设备的数据处理能力不能满足日益增加的用户数所带来的数据处理能力。
并且为方便工作人员和业务、监控的使用,室内、室外无线网络。
改造方案
建议更换核心交换机,随着用户端带宽不断提高万兆互联的应用越来越广泛,交换机需要提供更高的转发性能和万兆端口扩展能力。
交换机的选配带有一定的前瞻性,千兆三层交换机具备万兆扩展能力。
在无线AP方面,建议使用11g的AP,或性能更强的11n的产品。
全校AP数量多,如出现设备故障或断电不好排查,再者每个AP信道不能自适应,容易造成盲区,建议增加无线控制器和无线网管软件,将目前的FAT模式改为FIT组网模式,可以集中进行平台化管理,减少维护的难度。
楼道接入层的设备也需考虑更新换代。
三、建设目标
1、高性能
要求整个系统采用高性能的核心设备,能满足外网业务大数据量对带宽、转发和传输的高要求。
2、高可靠
要求整个系统采用具有高可靠性的总体设计。
3、高安全
建立和完善系统的安全保障机制。
4、遵循开放标准
支持符合国际标准和工业界标准的相关接口;在支持标准的应用开发平台方面,系统软硬件平台应具有良好的移植能力,在硬件升级后保持二进制级兼容性;在网络协议的选择方面,应选择广泛应用的标准协议,同时支持局域网内部的其他协议。
5、可扩展可升级
网络系统应具有良好的可扩展能力,可以灵活地进行必要的调整和扩充,最大限度保护现有投资。
6、严格施工管理
新建校园网建设具有一定的样板性,必须严格施工管理,高起点、高标准、把网络建设工程做成区域内的示范工程。
四、无线概述
1、WLAN概述
无线局域网(WLAN)技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。
对比传统的有线传输解决方案,使用WLAN网络实现数据传输具有以下显著特点:
简易性:
WLAN网络传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作;
灵活性:
无线技术使得WLAN设备可以灵活的进行安装并调整位置,使无线网络达到有线网络不易覆盖的区域;
综合成本较低:
一方面WLAN网络减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网技术可以更好地保护已有投资。
同时,由于WLAN技术本身就是面向数据通信领域的IP传输技术,因此可直接通过百兆千兆自适应网口和企业内部Intranet相连,从体系结构上节省了协议转换器等相关设备;
扩展能力强:
WLAN网络系统支持多种拓扑结构及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统;
随着WLAN技术的快速发展和不断成熟,目前在国内外已经具有较多的政府机构使用WLAN技术布置无线城域网,进行承载部分政府业务,诸如:
电子政备、消防、公安信息等等,如:
美国费城、荷兰阿姆斯特丹等。
无线局域网技术经过十几年的发展,已经历了三代技术及产品的发展:
第一代无线局域网主要是采用FATAP,每一台AP都要单独进行配置,费时、费力、费成本;如图:
第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置,其管理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈,由于这一代技术的AP储存了大量的网络和安全的配置,包括加密的钥匙,Radiusclient的安全密码(secret)等,而AP又是分散在建筑物中的各个位置,一旦AP的配置被盗取读出并修改,其无线网络系统就失去了安全性。
另外由于AC或无线网关的硬件多数是基于Pentium架构的,所以当用户接入数量(IPsessions)增多时,无线网的性能会急剧下降,时常会发生掉线或死机情况。
在这样的环境下,基于无线交换机技术的第三代WLAN产品应运而生。
第三代无线局域网采用无线交换机和FITAP的架构,对传统WLAN设备的功能做了重新划分,将密集型的无线网络和安全处理功能转移到集中的WLAN交换机中实现,同时加入了许多重要新功能,诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及QoS,使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。
如下图:
FATAP与FITAP两种组网方案对比,各有所长,比较如下表:
表1FATAP与FITAP两种组网方案对比
综合考虑成本、管理因素及对一些高级功能如AP间的智能射频调节、负载均衡、三层漫游等要求,一般小型网络可以考虑FATAP组网方式;中大型网络考虑FITAP组网模式。
2、H3CWLAN产品与解决方案概述
H3C公司目前拥有业界最为完善的企业级/电信级WLAN产品与解决方案。
H3CWLAN全线产品如下:
H3CWLAN产品具有如下特点:
1)电信级产品质量保证
H3C自2003年公司成立以来就继承了业界领导厂商华为和3Com的WLAN产品。
整个无线产品的规划器都是按照电信级设计,从阻容到主处理芯片,每一个元器件都经过严格质量认证和技术认证,基本上是选用一流供应商的元器件,保证元器件的性能和品质。
在产品生产上,H3C公司采用业界先进的IPDCMM3.0集成产品开发流程,有严格的质量管理体系,从全流程的每一个环节控制产品质量。
2)强大的研发团队,自主知识产权,快速响应客户需求
H3C的研发团队分布在北京、杭州、深圳和印度,海外研发中心紧跟前沿技术脚步,国内研发中心快速响应客户需求。
H3C全系列WLAN产品采用完全自主研发的软件,并采用了业界最为严格的测试标准,由位于北京的独立的鉴定测试中心来最终鉴定产品能否达到质量标准。
此外由于自主开发软件,完全掌握知识产权,很容易根据客户的要求定制特殊功能,以满足特定情况下的应用。
3)丰富的无线网络工程经验
无线网络的工程实施对整个项目的成败至关重要。
H3C专门成立了无线工程督导团队来确保无线网络工程的顺利实施,目前H3C公司已经成功实施了第六届亚洲冬季运动会、北京解放军总医院、国家知识产权局、新华社、北京航空航天大学、北京交通大学、华东理工大学、上海汤臣洲际大大楼等无线网络工程的部署,具备丰富的无线项目实施工程经验,保证项目进度,后顾无忧。
H3CWLAN产品在行业市场和运营商市场拥有广泛的应用案例。
H3C积极参与WLAN标准制定:
H3C公司对WLAN持续进行深入的研究分析,积极参与国际标准组织的相关交流,同时H3C公司也针对各个802.11工作组的输出与专家进行积极的沟通交流,提出自己的理解与建议,同时也联合业界的合作伙伴共同推动标准进程,H3C公司正逐步致力于标准组发展,诸如:
多异构网互操作、VoWLAN等领域。
五、WLAN建设方案
1、建设原则
结合WLAN的实际应用和发展要求,WLAN系统设计主要遵循以下系统总体原则:
实用性原则:
以现行需求为基础,充分考虑发展的需要来确定系统规模。
安全性原则:
大楼内有关数据有一定的安全需要,需要有加密和认证的机制。
不能随意被外来人员接入。
可靠性原则:
系统设计能有效的避免单点失败,在设备的选择和关键设备的互联时,应提供充分的冗余备份,一方面最大限度地减少故障的可能性,另一方面要保证网络能在最短时间内修复。
成熟和先进性原则:
由于WLAN应用于运营网络仍然属于新兴技术,需要及时将新技术引用进来,更好的开展业务,同时也要求保证网络与业务的可靠性。
规范性原则:
系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和联通WLAN企业标准,为系统的扩展升级、与其他系统的互联提供良好的基础。
开放性和标准化原则:
在设计时,要求提供开放性好、标准化程度高的技术方案;设备的各种接口满足开放和标准化原则。
可扩充和扩展化原则:
所有系统设备不但满足当前需要,并在扩充模块后满足可预见将来需求,如带宽和设备的扩展,应用的扩展和办公地点的扩展等。
保证建设完成后的系统在向新的技术升级时,能保护现有的投资。
可管理性原则:
整个系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进行系统配置,在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。
2、用户接入认证方案
无线项目对安全有着一定的要求,必须能够防止外来人员使用网络获取内部密级资料或对网络进行攻击。
H3C认证方案采取三重保障,第一层保障是MAC地址认证,第二层保障是服务区标识符(SSID)匹配,第三层保障是802.1x认证或Portal认证。
MAC地址认证每个无线客户端网卡都由唯一的48位物理地址(MAC)标识,可在AP中或者AC重维护一组允许访问的MAC地址列表,如果用户的MAC地址是合法的,AP才会对用户的流量进行进一步的处理,如果用户的MAC地址是非法的,那么AP就会丢弃用户的流量,这样就可以实现物理地址过滤,确保非法用户不能访问无线网络。
服务区标识符(SSID)匹配无线客户端必需设置与无线访问点AP相同的SSID,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。
利用SSID设置,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题。
可以通过设置隐藏接入点(AP)及SSID区域的划分和权限控制来达到保密的目的,因此可以认为SSID是一个简单的口令,通过提供口令认证机制,实现一定的安全。
IEEE802.1x认证是一种基于端口的访问控制技术,是用于无线局域网的一种增强网络安全解决方案。
当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。
如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户连接网络。
3、网络安全方案
无线项目除了要对用户的身份加以认证外,还必须保证所有人的通信不会被中间人截获、窃听甚至篡改。
这就要求该无线网络必须拥有较强的加密能力。
H3CWLAN支持目前最先进的各种加密算法AES,并支持802.11和802.11i中规定的各种加密模式,包括WEP、TKIP和CCMP等,完全可以满足用户的安全需要。
当用户使用这些加密方式时,其他人使用任何设备均不可能破解用户传输的内容。
此外,H3C还支持我国自主知识产权的WAPI,安全性更高。
我始终相信,时光会证明每天不管多晚多累都坚持在自己脸上涂抹半小时是正确的!
升级会员 