无线网络方案.docx
《无线网络方案.docx》由会员分享,可在线阅读,更多相关《无线网络方案.docx(47页珍藏版)》请在冰豆网上搜索。
无线网络方案
无线网
设计方案
设计单位:
XXXX
2009-04-07
1.网络需求说明---------------------------------5
1.1802.11a协议-------------------------5
2.无线网络架构及设计---------------------------5
2.1设备选型--------------------------5
3.无线组网结构示意图---------------------------11
4.轻量级AP的工作原理--------------------------11
5.蜂窝布局和信道的使用-------------------------12
6.轻量级AP-------------------------------------13
6.1关联和漫游------------------------13
7.无线管理系统---------------------------------15
7.1WLC的功能-----------------------15
8.无线网络中的数据流模式-----------------------16
9.控制器内漫游---------------------------------18
10.移动组--------------------------------------18
11.WLAN安全-----------------------------------19
11.1常用的安全方法有-------------------20
11.1.1基于EAP的安全方------------20
11.1.2WPA-------------------------21
11.1.3WPA2------------------------21
12.WLAN安全-----------------------------------22
13.CISCO无线的可拓展功能----------------------22
14.设备清单------------------------------------22
14.1设备描述-------------------------------22
14.2设备价格清单--------------------------23
组网方案规划设计书
CISCO统一无线网络
一、网络需求及建设目标
1.1网络现状
学校概要
XXXX是北京市重点建设的多科性大学,现有XXXX路和XXXX两个校区。
2002年完成了XXXX路校区一期校园网的建设工作,包括综合布线、系统集成、机房改造、基础网络服务平台建设及出口建设等,运行良好。
有线网络现状
2003年学校致力于XXXX校区建设,建设目标是要建成国内一流、国际先进的数字化校园。
XXXX校区校园数字化基础建设包括综合布线、设备购置及系统集成,分为计算机网络系统、安全防范系统、校园广播系统、有线电视系统、通讯系统、多媒体教学系统、语音教学系统、一卡通系统、数字图书馆、电子公告屏系统、视频会议及网络教学系统、远程教学系统、同声传译系统、无线网络系统及楼宇自动化系统。
现已完成整个教学园区19栋单体楼的校园网室、内外综合布线、计算机网络系统集成、主控机房工程,技术安全防范系统、多媒体网络教学系统、校园广播系统、有线电视系统、通讯系统、语音教学系统、校园一卡通系统、数字图书馆等建设工程,并已全部投入使用,运行良好。
无线网络建设现状
学校两个园区全部办公楼和教学楼均已联网,学生宿舍区和家属区网络在建设之中,目前学校校园网核心为千兆快速以太网,通过自建光缆连接XXXX和XXXX路两个园区形成完整的校园局域网。
1.2需求分析
1.2.1
由于以前的无线网络设备(AP)相对独立,且分布地点仅仅是个别教学区和办公区的个别楼层,没有进行有效的管理,而且品牌相对比较杂。
同时,经过多年的运行,现有有线网络的局限性也逐渐暴露出来,主要体现在以下几个方面:
(1)有线网络无法接入的范围:
主要是指室外场所,包括体育场,广场等。
这些场所是很难实现有线接入网络的,采用无线的方式就可以实现大范围室外空间的覆盖,实现无线接入网络。
(2)有线网络使用不便或受限的室内空间:
主要是指报告厅、会议室,大教室、图书馆阅览室、大厅、体育馆等。
这些区域空间较大,而且会有很多人同时接入网络的要求,如采用有线的方式只能提供少量接口,不能满足联网需要。
在这种情况下,需要建设无线网络实现网络全覆盖,并可以允许相当数量的移动设备同时访问网络。
(3)有线网络虽已覆盖,但有无线应用需要的主要办公、教学场所。
1.2.2
经过XXXX相关负责人进行沟通,我们初步规划出两个校区有以下几个方面需要用无线来替代有线:
(1)、XXXX校区:
综合楼、教一楼、教二楼、教三楼、图书馆、耕耘楼、科教楼、化工实验楼、阶梯教室、礼堂,其他场地包括运动场、耕耘楼北空地、综合楼南空地、西区图书馆北空地需要覆盖。
(2)、XXX校区:
行政楼、文科实践中心、学生活动中心、文体馆、钟楼、图书馆、学术交流中心、专家楼、工科实践中心、工一~工三楼、师生服务中心、文一~文三楼、艺术楼、金工厂,其他区域包括运动场、广场等。
1.3建设目标
我们建设一个网络的目标:
(1)、为避免不必要的损失,我们务必做到要与原有无线设备的无缝连接和统一管理
(2)、要求与现有校园网网管软件、计费系统等实现连接,并能实现无线网认证计费。
(3)、无线控制器集中管理的模式建设两个园区的无线网络,统一分配无线信道,防止AP间相互干扰。
(4)、基于安全方面,我们要作到一下几点:
A、无线设备提供灵活的数据转发方式
支持集中式转发和分布式转发。
单一的集中式转发,AC虽然能对报文进行全面控制,但所有的无线业务流都要到AC进行统一处理,使得AC的转发能力很容易成为瓶颈。
特别是当通过广域网方式转发时,AP作为数据接入设备部署在分支机构,而无线控制器部署在总部,所有用户数据由AP发送到无线控制器,再由无线控制器进行集中转发,导致转发效率低下。
B、 快速的二、三层漫游
集中式无线架构不但能方便地实施二层漫游,而且非常有利于跨三层的漫游实现,用FATAP部署的WLAN网络,由于AP之间传递的信息有限,导致垮三层的漫游实现及其麻烦,集中式架构非常容易解决跨三层漫游的问题;通过无线控制器支持二、三层漫游,漫游域不受子网的限制,这种优秀的漫游特性,可以让客户在规划无线网络时,根本不用考虑以前的有线网络的规划,完全只考虑无线信号的覆盖即可,这种方式大大简化了前期的网络规划,减少了网络规划成本。
C、无线用户接入控制和管理
用户访问设备时,需要先进行身份认证。
在认证过程中,认证服务器会将UserProfile名称下发给设备,设备会立即启用UserProfile里配置的具体内容。
当用户通过认证访问设备时,设备将通过这些具体内容限制用户的访问行为。
无线控制器还支持基于MAC的认证接入控制方式,这种方式不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改,同时支持对具体用户的权限的配置,这种精细的用户权限控制大大增强了无线网络的可用度,网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。
D、提供基于AP位置的用户接入控制
出于安全性或计费等的考虑,系统管理员可能希望控制无线用户接入到网络中的位置。
通过无线控制器支持基于AP的用户接入控制。
当无线用户接入网络时,可以通过认证服务器向AC下发允许用户接入的AP列表,在AC上进行接入控制,从而达到限制无线用户只能接入到指定位置的AP的目的。
E、支持无线入侵检测
非法设备的告警和攻击防护,通过无线控制器组成的WLAN网络,可以自动监测非法设备(例如RougeAP,或者AdHoc无线终端),并适时上报网管中心,同时对非法设备的攻击可以进行自动防护,最大程度地保护无线网络。
(5)、网络的稳定和可靠性
无线控制器支持100毫秒业务备份,AP会同时和两台无线控制器建立CAPWAP链路,一台作为主控制器,另外一台作为备份控制器,但只有和主控制器建立的CAPWAP链路处于工作状态。
当主控制器异常down机时,备份控制器和主控制器之间的心跳检测机制可以保证在100毫秒之内检测到主设备的异常,并通知AP将主控制器CAPWAP链路切换,保证控制信号的不间断传送。
(6)、支持多种认证方式
用户希望能通过无线控制器,做到对接入用户的认证:
MAC、PPPOE、AAA、WAPI等方式的认证。
二.无线网络架构及设计
2.1网络设计原则
1)服务质量保障
拥塞控制和服务质量保障(QoS)是公众服务网的重要品质。
由于接入方式、接入速率、应用方式、数据性质的丰富多样,网络的数据流量突发是不可避免的,因此,网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。
业务分类,接入速率控制,队列机制等。
2)网络的扩展能力
网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展,以及网络规模的扩展能力。
3)交换容量扩展
交换容量应具备在现有基础上继续扩充2~4倍容量的能力,以适应IP类业务急速膨胀的现实。
4)端口密度扩展
设备的端口密度应能满足网络扩容时设备间互联的需要。
5)主干带宽扩展
主干带宽应具备高带宽扩展能力,以适应IP类业务急速膨胀的现实。
6)网络规模扩展
2.2网络架构设计
通过与XXXX沟通,我们可以看出,用户希望能够对网络进行有效的管理,同时也希望在保证安全性情况下,同时能保证稳定性。
以下是我们根据用户的需求出发,综合学校的实际情况所作的网络示意图。
网络说明:
1、我们采用CISCOWX6013对XXXX校区和XXXX校区的无线AP做集中式管理,同时结合学校原有无线设备----EWP-WA1208E-AG等,对整个无线网络实现统一管理。
2、新建设的无线网络,我们采用的架构是核心、汇聚、接入、AP终端;在原有网络的基础上增加2台汇聚交换机,设备采用CISCO7502,支持万兆接入;新增的2台设备通过万兆线路相互备份,实现网络的高速传输和稳定性。
3、在两个校区通过自架设光纤线路(80公里),WX6013无线控制器可跨三层漫游,实现统一管理,并可与XXXX校区的无线控制器相互备份,保证网络的安全性,稳定性
4、接入层设备我们采用CISCOLS-3100-26TP。
此设备通过光纤与汇聚相连,实现千兆干路传输,同时此设备支持POE供电,和其连接的无线AP无需单独接入电源。
5、室内无线AP我们采用EWP-WA2110-AG,其穿透率较高,传输速率高;室外AP我们采用CISCOWA2210X-GE,此设备的特点,对环境的适应能力强,抗干扰较好,在复杂的环境中也能保持较好的稳定性。
2.3产品特点
CISCOWX6013
提供对802.11nAP的管理
CISCOWX6000系列无线控制器在支持对传统802.11a/b/gAP管理的同时,还可以与CISCO基于802.11n协议的WA2600系列AP配合组网,从而提供相当于传统802.11a/b/g网络6倍以上的无线接入速率,能够覆盖更大的范围,使无线多媒体应用成为现实。
提供灵活的数据转发方式
支持集中式转发和分布式转发。
单一的集中式转发,AC虽然能对报文进行全面控制,但所有的无线业务流都要到AC进行统一处理,使得AC的转发能力很容易成为瓶颈。
特别是当通过广域网方式转发时,AP作为数据接入设备部署在分支机构,而无线控制器部署在总部,所有用户数据由AP发送到无线控制器,再由无线控制器进行集中转发,导致转发效率低下。
CISCOWX6000系列无线控制器支持两种转发方式,用户可以根据需要给SSID设置转发的类型。
l 运营级的无线用户接入控制和管理
基于用户的接入控制是CISCOWX6000系列无线控制器产品的一大特色,UserProfile(用户配置文件)提供一个配置模板,能够保存预设配置(一系列配置的集合)。
用户可以根据不同的应用场景为UserProfile配置不同的内容,比如CAR(CommittedAccessRate,承诺访问速率)策略和QoS(QualityofService,服务质量)策略等。
用户访问设备时,需要先进行身份认证。
在认证过程中,认证服务器会将UserProfile名称下发给设备,设备会立即启用UserProfile里配置的具体内容。
当用户通过认证访问设备时,设备将通过这些具体内容限制用户的访问行为。
当用户下线时,系统会自动禁用UserProfile下的配置项,从而取消UserProfile对用户的限定。
因此,UserProfile适用于限制上线用户的访问行为,没有用户上线(可能是没有用户接入、或者用户没有通过认证、或者用户下线)时,UserProfile是预设配置,并不生效。
另外,CISCOWX6000系列无线控制器还支持基于MAC的认证接入控制方式,这种方式不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改,同时支持对具体用户的权限的配置,这种精细的用户权限控制大大增强了无线网络的可用度,网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。
基于MAC的VLAN同样也是CISCOWX6000系列无线控制器的一大特色,在控制策略上,管理员可以把相同性质的用户(MAC)划分到同一个VLAN,同时在控制器上基于VLAN配置安全策略,这样做既可以简化系统配置,又可以做到用户级粒度的精细管理。
l 提供基于AP位置的用户接入控制
出于安全性或计费等的考虑,系统管理员可能希望控制无线用户接入到网络中的位置。
CISCOWX6000系列无线控制器支持基于AP的用户接入控制。
当无线用户接入网络时,可以通过认证服务器向AC下发允许用户接入的AP列表,在AC上进行接入控制,从而达到限制无线用户只能接入到指定位置的AP的目的。
l 高可靠的备份功能
CISCOWX6100系列高端无线控制器采用机架式系统设计,重要的部件可更换,双电源设计,满足高可靠性的要求。
(1) 1+1快速备份
CISCOWX6000无线控制器支持100毫秒业务备份,AP会同时和两台无线控制器建立CAPWAP链路,一台作为主控制器,另外一台作为备份控制器,但只有和主控制器建立的CAPWAP链路处于工作状态。
当主控制器异常down机时,备份控制器和主控制器之间的心跳检测机制可以保证在100毫秒之内检测到主设备的异常,并通知AP将主控制器CAPWAP链路切换,保证控制信号的不间断传送。
(2) N+1备份
当多台WX6000系列无线控制器部署时,N+1备份方案为可靠性和经济性折中的最好方案,例如其中N台AC各自独立工作,外加一台AC作为备份AC,其中N台AC中的任何一台出现故障,都会切换到备份AC上。
而当主AC恢复后,AP将自动回切到主AC上,可保障AP尽量同主AC连接。
其中WX6000系列每台备份设备最多可以支持4台主设备(即4+1)。
(3) N+N备份
当多台WX6000系列无线控制器部署时,N+N备份可以实现最灵活的备份方案。
当有N台WX6000无线控制器同时工作时,AP初次会选择一个最优的控制器进行接入,当链接出现问题的时候,AP会在网络中重新选择一个新的最优控制器重新进行注册接入,进而实现了AP的接入备份,以及AC间负载均担。
AP对最优控制器的选择,可以根据控制器负载情况动态计算(AC间动态负载均担)或事先指定控制器优先级等多种方式,十分灵活。
实现N+N备份,组网中总AP数量只要小于(总AC数量-1)台控制器能够管理的AP规格即可满足备份的要求。
l 信道智能切换
无线局域网中,相邻无线AP需要尽可能工作在不同信道中,以减少相邻信道干扰。
对于无线局域网,信道是非常稀缺的资源,每个AP只能够工作在非常有限的非重叠信道上,比如对于2.4G网络,只有3个非重叠信道,所以如何智能地为AP分配信道是无线应用的关键。
同时,无线局域网工作的频段存在大量可能的干扰源,如雷达,微波炉,它们在网络中的出现将干扰AP的正常工作。
通过信道智能切换功能,可以保证每个AP能够分配到最优的信道,尽可能地减少和避免相邻信道干扰,而且通过实时信道干扰检测,可以让AP实时避开雷达,微波炉等干扰源。
l 智能AP负载分担
WLAN网络的IEEE标准802.11协议把无线漫游的决策交给了无线客户端,无线客户端一般会根据AP信号强度(RSSI)选择AP,这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。
由于这些客户端共享无线媒介,导致每个客户端的网络吞吐将大量减少。
智能负载分担方法可以实时地分析无线客户端的位置,动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载,通过控制无线客户端接入的AP,来实现这些AP间的负载分担。
系统不仅支持按照用户在线会话数的负载分担,而且支持按照用户流量负载的分担。
l 无线入侵检查(WirelessIntrusionDetectionSystem、WIDS)
(1) 非法AP检测
非法设备的告警和攻击防护,用CISCOWX6000系列无线控制器组成的WLAN网络,可以自动监测非法设备(例如RougeAP,或者AdHoc无线终端),并适时上报网管中心,同时对非法设备的攻击可以进行自动防护,最大程度地保护无线网络。
(2) 白名单功能
CISCOWX6000系列无线控制器支持静态配置白名单功能,该功能一旦启用,只有白名单上的无线用户才被认为是合法用户,其他非法用户的报文全部在AP上被丢弃,从而减少非法报文对无线网络的冲击。
(3) 黑名单功能
CISCOWX6000系列无线控制器支持静态配置黑名单和动态黑名单功能,用户可以通过配置方式或者控制器实时检测侦听的方式来确定设备是否被加入黑名单,被加入到黑名单中的设备发过来的报文全部在AP上丢弃,从而减少攻击报文对无线网络的冲击。
(4) 无线协议攻击防御
CISCOWX6000系列无线控制器支持多种攻击的检测,例如DOS攻击,Flood攻击,去认证、去连接报文的仿冒检测,以及无线用户WeakIV检测。
当控制器检测到上述的攻击后,会产生告警或者日志,提醒管理员进行相应的处理。
特别无线协议攻击防御可以和动态黑名单配合使用,当控制器检测到攻击时,可以将发起攻击的无线客户端动态添加到动态黑名单中,从而保证WLAN系统不再被该设备攻击。
l 支持802.1x认证,MAC地址认证,Portal认证,PPPoE和WAPI认证
CISCOWX6000系列无线控制器支持多种认证方式:
(1) 802.1x认证,CISCOWX6000系列控制器,支持TLS、PEAP、TTLS、MD5、SIM卡等多种802.1x的认证方式,同时还支持802.1x本地认证方式,提供对MD5、TLS、PEAP这几种主流认证方式的支持,用户不再需要额外配置AAA服务器。
WX6000系列无线控制器还支持通过802.1x认证后动态授权VLAN和ACL功能,对用户的策略可以事先设定好,用户认证时,系统自动配置客户权限。
(2) MAC地址认证,CISCOWX6000系列控制器还支持MAC地址认证,对一些手持终端(例如:
WiFiPhone、手持移动终端等)并不方便采取电脑上的认证方式,MAC地址认证却可以轻松解决该问题,实现在控制器或者iMC服务器上配置好哪些MAC地址合法,这些终端就可以被允许被接入到网络,而事先没有被配置的非法终端则不能接入无线网络,该功能极大地方便了例如无线医疗系统等应用,MAC地址认证可以确保只有医院的PDA工作终端才能接入到无线网络,而拒绝病人的无线PDA使用专用无线网络。
(3) Portal认证,CISCOWX6000系列控制器还支持Portal认证,一些企业外部的客户希望使用无线网络,来访问Internet,很可能外部员工并没有安装例如802.1x客户端软件,这时Portal认证提供了很好的认证方式。
(4) PPPoE认证,CISCOWX6000系列控制器还支持PPPoE认证,通过PPPoE的成熟的认证,计费功能,可以方便做到按流量计费等高级的计费方式,可以满足一些客户的运营级需求。
(5) WAPI认证,CISCOWX6000系列无线控制器支持中国自主知识产权的WAPI认证,通过WAPI认证和加密,可以提供更加安全的接入方式。
l 支持IPv6
CISCOWX6000系列无线控制器支持无线客户的IPV6接入,这时IPv6用户的网关不在无线控制器上,需要专门的IPv6网关,控制器对用户的IPv6报文感知,在隧道起点AP上,由于设备对IPv6感知,所以可以做到IPv6优先级到隧道优先级映射等,在AC侧,同样可以对IPv6报文进行ACL过滤等复杂的控制和过滤。
CISCOWX6000系列无线控制器同样可以部署在IPv6网络中,AC和AP之间自动协商成IPv6隧道。
AC和AP完全工作在IPv6状态时,无线控制器仍能正确地感知IPv4,并能处理无线客户的IPv4报文。
CISCOWX6000系列无线控制器IPv4/6灵活的适应能力,能满足客户在IPv4到IPv6网络迁移中的各种复杂的应用,既能在IPv6孤岛中给客户提供IPv4的服务,同时也能在IPv4孤岛中让用户轻松通过IPv6协议登陆到网络。
l 端到端的QoS
CISCOWX6000系列高端无线控制器基于ComwareV5平台开发,不但对Diff-Serv标准完善支持,同时增加了对IPv6协议的QoS支持。
QoSDiff-Serv模型中主要包括流分类、流量监管(Policing)、队列管理、队列调度(Scheduling)等,完整实现了标准中定义的EF、AF1~AF4、BE等六组PHB及业务,使网络运营商可为用户提供具有不同服务质量等级的服务保证,使Internet真正成为同时承载数据、语音和视频业务的综合网络。
实施DifferentiatedService(Diff-Serv)的主要技术包括流分类、流量监管(CAR)、拥塞管理。
(1) 流分类:
依据一定的匹配规则识别出感兴趣的对象。
流分类是有区别地实施服务的前提。
(2) 流量监管:
对进入路由器的特定流量进行监管。
当流量超出规定时,可以采取限制或惩罚措施,以保护运营商的商业利益和网络资源不受损害。
(3) 拥塞管理:
网络拥塞时必须采取的解决资源竞争的措施。
通常是将报文放入队列中缓存,并采取某种调度算法安排报文的转发次序。
l 快速的二、三层漫游
CISCO公司的集中式无线架构不但能方便地实施二层漫游,而且非常有利于跨三层的漫游实现,用FATAP部署的WLAN网络,由于AP之间传递的信息有限,导致垮三层的漫游实现及其麻烦,集中式架构非常容易解决跨三层漫游的问题,CISCOWX6000系列无线控制器支持二、三层漫游,漫游域不受子网的限制,这种优秀的漫游特性,可以让客户在规划无线网络时,根本不用考虑以前的有线网络的规
升级会员 