Mesh园区覆盖方案.docx
《Mesh园区覆盖方案.docx》由会员分享,可在线阅读,更多相关《Mesh园区覆盖方案.docx(19页珍藏版)》请在冰豆网上搜索。
Mesh园区覆盖方案
保税港区无线园区网络项目建议书
1项目背景和户外无线网络发展趋势
一如其他成功的技术,Mesh技术建立在多种现有的主流技术之上,并且技术本质非常简单。
具体地说,Mesh是由多个WLANAP组成的自治网络。
Mesh网络中的AP除了可以提供WLAN客户端的接入服务之外,还能完成相邻节点的自动发现、相互认证和配置,从而智能地为网络流量设计一条最优的路径,实现带宽和覆盖范围的增加,并且,当网络中的某台AP发生故障时。
其他AP能够通过自动配置动态改变路径,绕过有故障的节点,实现网络的自我修复。
Mesh技术构建于现有的802.11系列标准的基础之上,包括802.11a/b/g和802.11i;当前已经得到Cisco、Intel、北电等大厂商的支持,并被纳入802.11系列标准的规划之中,将被命名为802.11s。
重庆保税港区为了满足在园区内实施远程无线监控的需求,同时兼顾在园区内开展政府专用的无线业务应用,如移动应急指挥车网络通信,无线上网等,规划在园区内约XX平方公里的范围部署无线网络覆盖。
根据应用及地理要求,无线网络的覆盖主要需要满足以下条件:
采用无线组网:
该网络尽量采用无线组网,克服有线布设的困难,提供无线宽带接入能力,尽量减少有线网络布设成本和维护费用,尽量降低网络建设对园区环境的影响,缩短施工周期。
考虑到本次项目的覆盖范围大,监控点多,网络方案应采用无线网状网(Mesh)为主,并采用与无线网桥相结合的方案。
公用无线频段:
园区无线宽带网络需要运行在无需申请专用无线电牌照的公用无线频段(如2.4GHz和5.8GHz,5.8GHz频段按照可以使用3个频点的前提进行设计)。
组网灵活方便:
园区无线宽带网络采用的无线设备需要布设方便,组网方式灵活,可满足网络快速扩展和临时网络调整的需求。
支持视频业务:
园区无线宽带网络需要支持基于IP的视频监控业务,满足园区的实时视频监控需求。
2系统整体方案
Cisco是业界领先的无线厂商之一,多年以来其无线产品占有率在全球始终保持第一的绝对领先地位。
Cisco的统一无线网络有助于简化网络的部署、运营和管理。
利用这个解决方案,用户可以从一个集中的管理控制台,方便地管理多个、数百个甚至上千个位于中央或者远程地点的接入点。
思科统一无线网络的灵活性让网络运营商可以根据他们特定的需求设计网络――无论是部署高度集成化的网络设计还是简单的覆盖式网络。
WLAN市场目前存在着向集中式智能和控制发展的趋势。
在这种新型架构中,一个WLAN控制器系统被用于在多个不同的轻型接入点之间创建和执行策略。
通过在这些设备中集中智能,可以在整个无线基础设施之中有效地管理对WLAN运营至关重要的功能,例如安全、移动和服务质量(QoS)。
而且,通过在接入点和控制器之间分配功能,运营人员可以简化管理、提高性能和加强大型无线网络的安全性。
为了满足保税港区无线网络的覆盖要求,思科提出了一个基于Aironet1500室外网状网络接入点的解决方案。
网状网络的主要原理是利用非常有限的有线回程连接提供广域无线覆盖,同时提供自动配置和自行恢复功能。
利用独特的轻型接入点协议(CAPWAP)和优秀智能的AdaptiveWirelessProtocol(AWP),CiscoAironet1500网状网络解决方案有助于确保无线接入基础设施可以为Wi-Fi移动设备提供稳定、快速、无缝、安全的漫游。
CiscoAironet1500系列AP可以同时支持IEEE802.11h和802.11b/g标准,同时采用一种专利的自适应无线路径协议(AWP),在远程接入点之间建立一个动态的无线网状网络。
AironetAP可以在提供这种动态的、自适应的连接方法的同时,为任何兼容Wi-Fi的客户端提供安全的无线接入(参见下图)。
CiscoAironet1550是一种可以帮助保税港区有效、安全地扩展未来的WLAN部署的轻型室外网状网络接入点。
Aironet1550是思科的统一无线网络架构的组成部分。
该解决方案是业界唯一可以有效地解决WLAN安全、部署、管理和控制问题的统一无线和有线架构。
思科统一无线网络采用了独特的设计,可以提供与有线局域网环境相同级别的安全性、可扩展性、可靠性、可管理性和部署便利性。
通过CiscoAironet1500产品构成的保税港区无线Mesh传输平台,可以为应用系统的整体应用带来如下好处:
∙11n标准带来的高带宽/吞吐量;
∙有线无线一体化网络安全;
∙快速安全切换漫游;
∙一体化管理与维护;
∙针对不同应用级别的差异化服务质量;
∙具备高度可扩展的系统。
在整体网络系统的各个组成部分中,我们推荐如下主要产品――
户外无线Mesh系统
∙采用CiscoAironet1550产品做为无线MeshAP产品
∙其中5台Aironet1550做为Roof-TopAP,采用7dBi全向天线做为5.8G的无线回传链路天线,采用4dBi全向天线做为2.4G无线客户端接入的天线
∙35台Aironet1550做为Pole-topAP,采用7dBi全向天线做为5.8GBackhaul的无线回传链路天线,采用4dBi全向天线做为2.4G无线客户端接入的天线
无线网络控制器
∙采用CiscoCT5508-50做为无线网络控制器,管理、控制无线MeshAP,并提供5+1的冗余方式保证系统的可靠性。
网络管理系统
∙采用CiscoWirelessControlSystem(WCS)做为无线Mesh网络管理系统
网络安全集中认证
∙CiscoSecureACS(AccessControlServer),在专用服务器上运行的软件提供设备接入,用户接入(无论有线还是无线)的认证/授权/统计等工作
2.1无线接入网络
我们采用CiscoAironet1550Mesh无线产品做为无线接入网络的主要设备,计划对大部分地区进行无线覆盖,接入无线网络监控系统,同时提供公务或者单位个人无线接入需求。
我们设计采用40个Aironet1550对大部分地区进行无线覆盖,其中使用5个Aironet1550做为Roof-topAP,35个Aironet1550做为Pole-topAP,按照1:
7的配比进行连接,即一个RAP级联9个PAP。
因为无线视频采集需要一定的带宽(建议大于2Mbps),所以对于单独的每个AP群,建议到达RAP不超过2跳,以保证接入上连带宽的要求。
对于RAP的Aironet1550产品,我们设计使用7dBi全向天线做为5.8G的无线回传链路天线,采用4dBi全向天线做为2.4G无线客户端接入的天线。
使用7dBi全向天线有助于提供AP群的覆盖范围,使RAP无线AP可以稳定可靠的接入。
同时我们采用4dBi的Omni天线做为RAP的接入覆盖。
对于PAP的Aironet1550产品,我们设计使用7dBi全向天线做为5.8G的无线回传链路天线,采用4dBi全向天线做为2.4G无线客户端接入的天线。
使用7dBi的全向有助于在连接原有RAP链路失败的情况下,在其他方向上使用Cisco的AWP快速加入其他RAP。
由于园区内大多MeshAP的均会选取灯杆做为安装点,所以我们提供了相应的灯杆安装套件,以便快速方便的进行AP的安装。
无线AP的供电方式我们会采用就近集中式供电(例如由就近的交通路口的信号灯的电源引出)。
由于AP大多安装在灯杆下方,我们建议只需把AP的接地线可靠的与灯杆同地,即可以避免大多数感应雷击的损害,所以我们在方案中并没有配置避雷装置,在实际工程中,可以根据需要酌情增加少量必要的外接避雷器。
值得一提的是,CiscoAironet1550产品支持在参与Mesh接入的同时,提供桥接功能。
如果IP摄像头与Aironet1550安装在同一位置(比如同一个灯杆)时,使用这个功能即可以直接把IP摄像头连接至Aironet1550,不需要再采用连接无线网桥的方式,接入IP摄像头。
这种技术会使保税港区的无线监控系统的成本大大减少,并且也减少了设备故障点,降低维护成本和难度,保证了系统的长期稳定运行。
2.2无线网桥系统
由于有线接入点有限,RAP的安装地点并不能均靠近有线接入点,所以需要通过无线网桥进行中继进行RAP有线回传的接入。
我们设计同样采用Aironet1550做为我们的无线网桥中继设备,只要设置Aironet1550为桥接工作模式,Aironet1550即可使用5.8G的11a频点工作在桥接状态中。
同样采用9.5dBiSector天线做为5.8G的桥接回传天线,根据计算,采用这种天线可以保证网桥直接传输距离不低于1.5km。
2.3无线网络控制系统
针对本次项目,根据标书要求,我们设计采用CiscoCT5508-50做为无线网络控制器,对本次项目中的所有MeshAP及无线网桥进行控制、配置和管理,(每个CT5508-50控制器可以对50个AP或者网桥进行控制、配置和管理)。
为了保证网络的稳定性和持续性,我们根据标书要求设计采用N+1(5+1)的备份方式保证对无线网络控制器可以不间断的提供无线AP和网桥的接入。
通过控制器中内置的1000M接口,提供无阻塞、不间断的无线网络数据的转发。
值得提出的是,Cisco
思科无线局域网控制器(WLC)通过将各个接入点作为一个大型系统的组成部分,以及集中802.11协议的部分功能,为大规模无线局域网定义了一种创新的架构。
CiscoAironet1500系列建立在轻型接入点协议(CAPWAP)的基础上,可以充当这种无线架构的组成部分,从而可以实现对设备配置、安全策略和RF参数的系统级管理,同时在整个网络中提供第二层或者第三层移动性。
CAPWAP标准和它的分离MAC架构是为多种原因开发的,其中一个是为漫游的WLAN客户端提供实时的切换。
CAPWAP标准是由思科的两位技术负责人(PatCalhoun和BobO’Hara)共同制定的,由IETF发布,旨在为接入点(AP)在WLAN控制器通信中的作用提供标准。
IETF基于IEEE的CAPWAP草案启动了CAPWAP计划,但是CAPWAP仍然是其主要的实现方式。
思科无线网状网络平台的设计目的是将大型有线网络中常用的系统技术应用于802.11环境,其中的关键是监控、控制和配置功能的集中管理。
实践反复证明,这是方便地为大量的网络设备或者距离遥远的地点制定和实施统一策略的最佳途径。
要让这样的模式有效地发挥作用,必须不断地为这些集中设备提供“最新”信息。
如果没有关于无线环境状态的最新信息,就不能制定准确的决策。
但是,集中式控制器也很容易变成瓶颈,对性能造成不利影响,或者限制执行实时策略的能力――如果它参与了所有与流量传输有关的操作。
因此,必须进行一定的均衡。
思科通过为802.11服务供应创建一种名为“分离MAC”的新型架构,解决了上面这种矛盾。
这种架构在两个设备――接入点和集中式WLAN控制器(例如WLAN交换机或者设备)――之间分配802.11协议的处理任务,从而彻底改变了无线网络的面貌。
通过改革WLAN系统处理802.11分组的方式,思科创建了一个强大的平台,让用户可以在该平台上提供关键业务型无线服务。
在思科架构中,所有需要系统智能的功能都在WLAN交换机或设备中处理。
这包括下列MAC层活动:
∙802.11身份验证
∙802.11关联和重新关联(移动管理)
∙802.11帧转换和桥接
∙另外,WLAN控制器可以处理其他一些关键的系统功能,其中包括:
∙第三层加密(例如IPSec终结)
∙VLAN
∙QoS策略
∙RF管理(信道分配、发射功率控制等)
思科无线系统利用IETF新制定的轻型接入点协议(CAPWAP),在WLAN控制器和AP之间通信。
该标准定义了一种通用的封装和传输机制,让不同供应商的轻型接入点可以通过一个第二层基础设施或者IP路由网络与集中的WLAN控制器通信。
CiscoAironet1500系列采用了独特的设计,可以扩展到更大的室外部署环境。
它特别适用于城域网络。
CiscoAironet1500系列可以利用网状网络接入点所必需的零配置方式进行部署。
基于自适应无线路径协议的智能无线路由可以创建一个无线网状网络基础设施,动态地优化网络路由和在发生干扰或者中断时自动恢复,而无线资源管理(RRM)软件――思科集中WLAN解决方案的一个特性――可以为客户端接入优化射频参数。
这些自动化功能有助于降低部署和维护成本。
思科无线网状解决方案具有自监控和自恢复机制。
思科无线控制器可以通过执行下列任务,在不需要管理人员干预的情况下提高网状网络/WLAN容量、频谱利用效率和性能:
o通过将每个WLAN分配到最便于在AP地点支持802.11操作的信道,优化WLAN中所有AP的容量。
这包括最大限度地降低来自于外部来源和其他AP的干扰。
o为移动设备提供自动、系统的负载均衡功能。
思科无线控制器可以分析提供服务的AP所覆盖的全部无线客户端,并选择性地对客户端设备进行负载均衡。
这有助于最大限度地减少每个AP的带宽争用和浪费。
o在有线和无线网络之间提供个性化QoS。
这可以利用专用的和标准的方法(例如802.11e)实现,从而最大限度地降低在AP和终端之间发生冲突的可能性。
从“整个系统”的角度来说,要为加强网络的健康度制定正确的RF拓扑决策,必须采取很多重要的措施。
这些措施包括了解和处理802.11干扰和非802.11噪声。
该系统可以实时地处理802.11干扰和噪声,以及在发生这些事件时自动地优化系统。
控制器和接入点采用了独特的设计,可以定时监控网络的健康度。
思科接入点能够在监控环境的同时提供服务。
它们不断搜集的信息包括:
-每个信道的RSSI
-每个信道的干扰
-每个信道的噪声
-恶意设备的存在与否
-与某个AP关联的用户数量
思科无线解决方案还可以检测到工作在相同频段的、导致干扰的非802.11设备,以及其他不属于整个无线网络系统、但是工作在相同频段的接入点。
在部署完毕之后,AP可以定时从网络搜集RF信息。
如果因为任何障碍或者AP故障而导致RF漏洞,系统将可以调用它的自行恢复算法,通过自动地调节其他AP的功率等级进行补偿,从而调整网络的RF覆盖范围。
如果控制器无法覆盖RF漏洞,它将可以通过一个trap报告该漏洞。
WCS控制系统软件可以用图形化的方式显示RF漏洞。
这些信息将会分发给那些利用此信息计算整个网络的最佳RF拓扑的控制器。
这样,系统就可以在计算过程中利用这些trap信息执行下列任务:
-动态信道分配
-动态发射功率控制
-覆盖漏洞检测
-负载均衡
思科无线解决方案的一个重要特点是,它可以根据一个“RF域”,或者整个系统的视图,不断地监控和调节每个AP的功率和信道设置。
所采用的算法是动态的,可以实时工作,因而信道分配和功率分配可以不间断地在系统中进行。
因此,无论是添加一个新的AP,还是环境发生了某种变化,系统都可以做出适当的反应,以保持最大限度的性能。
该解决方案可以提供真正“动态的”自动RF功能。
因此,RRM软件让运营商可以避免因为繁琐的历史数据分析工作和思科AP重新配置所导致的成本。
RRM软件的功率控制功能有助于提高客户满意度,而覆盖漏洞检测功能可以在需要添加(或者移动)思科AP时向运营商发出警报。
3Cisco的无线技术优势及关键技术设计与实现
3.1Cisco的无线技术优势
∙MESH路由算法
使用AWP(AdaptiveWirelessProtocol)协议做为二层MESH无线算法,结合了Metric和无线参数(信噪比,信号强度,无线干扰等等)做为路由计算的依据。
专门为无线环境所设计。
不会受其他因素影响。
如依托简单的路由协议做为MESH路由算法,路由协议的抖动引起无线网络路由抖动。
IEEE802.11s采用的HybridWirelessMesh(routing)Protocol(HWMP)(规定MESH路由算法的标准)基本与AWP类似。
∙一体化网络
CiscoUnifiedWirelessNetwork包括了室内无线产品系列和室外MESH产品,室内室外的无线AP均可以接入同一的无线控制器,使用统一的无线网管系统WCS,可以进行无缝的漫游切换,进行统一的安全部署,即室内和室外的无线网络系统是一套整体的解决方案,可以进行无缝的集成。
∙MESH工作模式
CiscoMESH产品可以同时支持P2P和P2MP的桥接模式
∙无线网关/无线控制器
Cisco的单个无线控制器最大支持500个AP接入,并且可以支持24个N+1模式堆叠。
每个无线控制器支持多个Gigabit接口,无线网络和有线网络间不形成任何瓶颈。
∙与有线网络的集成
可以与Cisco有线网络设备进行完美集成,包括模块化的无线网络控制器WiSM(安装于Catalyst6500系列中),支持堆叠冗余;集成Catalyst3750中的无线网络控制器。
∙丰富的产品线
Cisco拥有全系列的室内、室外、MESH、无线网络控制器、无线网管及无线应用平台产品,可以适合各种工作环境和系统容量要求(室内、室外/小规模、中规模、大规模)进行部署。
拥有良好的网络扩展性和适应能力。
∙安全认证
支持包括所有L2、L3的认证方式,比如WPA、WPA2、WEB、IPsec等等。
∙Qos的支持
Cisco是最早的也是唯一的一家经过WiFi组织认证的支持WMM标准的无线厂商,完全符合IEEE802.11e标准。
通过先进的Qos支持技术,实现差分不同级别的应用的服务质量。
∙简单快速的网络部署
CiscoMesh无线网络沿袭了CAPWAP轻型AP无线网络架构,部署的过程可以实现AP零配置,通过无线控制器可以实现集中配置管理,因此可以在较短的时间内完成安装部署和参数配置。
∙网络管理
使用WirelessControlSystem为无线产品提供统一网管平台,针对无线产品设计,具有完美的性能和丰富的功能。
3.2关键技术的设计与实现
3.2.1无线网络安全
由于无线信号的空间泄漏特性,以及802.11技术的普及,随之而来的无线网络安全问题也被广大用户普遍关注。
如何在保证802.11WLAN的高带宽,便利访问的同时,增加强有力的安全特性。
业界的厂商纷纷研究发展了802.11技术,增强了无线局域网安全的各个方面,并促成了诸如802.1x/EAP,802.11i,WPA/WPA2等标准的诞生,以及后续标准(如802.11w)的制定。
Cisco在无线局域网安全技术和标准制定方面,扮演了极为重要的角色,是802.1x/EAP无线环境应用的最早支持厂商,并在无线安全标准工作组中占据领导地位。
对于Cisco无线设备之间,即无线AP与Controller之间,Cisco通过数字证书提供互相安全认证手段,并且CiscoAP与终端或者WGB之间支持各种形式的二层或者三层认证和加密,如二层的EAP-Fast、PEAP、EAP-TLS、TKIP、AES等等,三层的IPsec、WEB、L2TP等等。
同时思科无线保护系统还可以可以检测过量的干扰和异常的用户行为,并对信道分配和访问控制机制进行相应的调整,从而防止合法的无线用户受到拒绝服务(DoS)、void11和其他攻击的影响。
另外,它可以防止无线设备的地址伪装,从而避免FakeAP和类似的攻击。
思科的系统还可以将那些多次登录尝试失败的用户纳入“黑名单”,以防止字典攻击。
最后,它还可以检测和调整RF覆盖区域,限制NetStumbler和类似工具的作用。
这样就可以建立一个能够防止无线、有线资源受到恶意活动影响的RF域。
MESH网络安全要点:
∙动态的WLANVLAN分配+802.11iWPA/WPA2安全
∙基于硬件的AES加密回程链接
∙AP身份验证可以防止“模仿AP”
∙AP和控制器之间的安全控制流量
∙针对“保密的”网状网络客户端流量的IPSecVPN
∙检测和报告RogueAP的位置,并及时抑止
3.2.2AP之间的智能无线组网能力
思科开发了自适应无线路径(AWP)协议。
该协议源自于思科25年来积累的路由知识和20年来积累的RF网络构建经验。
下面列出了AWP的一些重要特点:
∙AWP可以建立指向根的最优路径
∙如果拓扑或者链接健康度发生变化,每个APE都可以携带可用的替代拓扑或者链接
∙AWP使用一个“粘性”值来减少路由变化
AWP是目前唯一在制定路由路径决策时考虑RF路径特性的路由协议。
大部分无线网状网络产品只会根据传统的IP路由成本考虑链路指标。
RF一直在不断变化;过去设置的链路指标在将来可能不再适用。
如果缺乏管理,这些RF变化可能导致效率较低的回程链接,并有可能成为管理网状网络最费时的任务之一。
思科的AWP是解决这个问题的最佳方法。
所以,在CiscoMesh网络中,当PAP接点失去原有的RAP时,他可以通过配置的5.8GHz天线根据AWP算法自动快速重新加入Mesh网。
3.2.3无线漫游切换
对于无线接入终端,Cisco采用了一种不同的方法,即所谓的“边缘隧道”。
在这种架构中,WLAN控制器负责跟踪漫游客户端,而不是将这个任务交给路由器。
WLAN控制器负责转发数据和交换特定的用户信息,以便在WLAN中的任何地方实现移动性。
整个流程对于最终用户和现有的LAN基础设施是透明的,因此非常便于部署和管理。
边缘隧道概念的原理是创建“移动群组”。
这些移动群组是思科WLAN控制器的联合体,可以互相通信,处理漫游客户端。
这些移动群组是通过选择可以加入某个群组的思科控制器的地址而建立的。
在所选设备经过身份验证(利用X.509证书)之后,它们将可以自动地在彼此之间建立隧道。
隧道将用于交换RF信息、管理/控制流量、数据分组和用户环境信息。
这样,网络就可以处理漫游――不需要对底层路由器基础设施或者以太网进行任何改动。
而且,移动设备不需要安装任何额外的软件。
当一个漫游设备跨越一个子网边界时,思科解决方案的主要特点将表现得非常明显。
客户端可以与属于某个新无线控制器的AP重新建立关联。
这个无线控制器位于一个与Anchor控制器不同的外部子网上。
这个新的控制器被称为“Foreign”控制器。
标准的重新关联流程需要启用一个移动触发器,导致Foreign控制器与Anchor控制器通信。
而宿主控制器则可以将所有针对客户端的用户身份和策略信息发送到外部控制器,从而让所有QoS和安全策略都跟随着漫游用户,让其不需要反复进行身份验证。
一个加密隧道会在Anchor控制器和Foreign控制器之间建立,以处理数据分发。
例如,当客户端试图访问互联网信息时,会从外部控制器向路由器发送一个数据分组,而分组报头则表示请求来自于Anchor控制器上的一个IP地址。
当数据从互联网返回时,路由器会利用分组报头和IP信息,将分组转发到Anchor控制器。
接着,Anchor控制器会通过隧道将流量发送到外部控制器,尤其将数据发送到发出请求的客户端。
对于无线车载接入终端,针对本次方案,我们选用Cisco3230MobileRouter采用MobileIP技术,提供无缝的跨越二、三层网络的漫游。
3.2.4无线网络冗余及可靠性
思科的真正分布式的系统可以利用内置的冗余提供很高的网络可用性。
它的自动、可自行恢复的架构能利用即将荣获专利的IETF标准CAP
升级会员 