WIFI无线网络系统设计方案.docx

1、WIFI无线网络系统设计方案WIFI无线网络系统设计方案1.1.网络系统设计原则1.1.1.安全性网络必须具有良好的安全防措施和密码保护技术,灵活方便的权限设定和控制机制,使系统具有多种有效手段,防各种形式对网络的非法入侵和部攻击,以保证网络的实体安全、网络安全、系统安全和信息安全,有效地保障正常的业务活动和防止部信息数据不被非法窃取、篡改或泄漏。因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。1.1.2.先进性系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对先进成熟,整个系统的生命周期应有比较长的时间,可以在信息

2、技术不断发展的今天,在系统建成以后比较长的一段时间能满足用户需求增长的需要；不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年占主导地位,保证网络建设的领先地位。 本方案的设计宗旨是立足今日,着眼未来,在保证技术成熟的前提下,充分先进技术,满足现有需求,充分考虑潜在扩充。从而最大限度保护用户投资。1.1.3.开放性采用开放的软硬件平台和数据库管理系统,遵循国际标准化组织提出的开放系统互联的标准,应用软件必须独立于软硬件平台,能集成任何第三方的应用,具有良好的可扩展性、可移植性和互操作性。1.1.4.扩展性系统必须具有良好的可扩充性,在系统结构、系统容量与技术方案等方面必须具有升级换

3、代的可能,核心设备必须采用模块化的结构,符合网络的发展趋势并具有充分的扩展性。系统建设必须尽量保护现有的软、硬件资源,保证现有的计算机系统的使用,逐步过渡,有效保护用户投资。1.1.5.高性能网络链路和设备具备足够高的数据转发能力,保证各种信息的高质量无阻塞传输；交换系统具有很高的交换容量与多服务支持的能力,保证网络服务的质量。1.1.6.标准化建立一个可靠、高效、灵活的计算机网络系统平台,不仅着重考虑数据信息能够讯速、准确、安全、可靠地交换,还要考虑同层次网络互连,远程分部的互联,以及与相关信息系统网际互联,以充分共享资源。这些需求体现在设计时,要求提供开放性好、标准化程度高的技术方案,设备

4、的各种接口满足标准化原则。1.2.方案拓扑1.3.方案架构概述 方案分为核心机房与接入机房；对办公楼和住宿区实现有线无线网络的覆盖,并且通过不同的网络接入,区分办公网及其它终端安全使用外网为设计原则。接入机房： 核心机房采用高性能交换机作为核心数据汇聚及接入.楼层采用4台POE可网管交换机进行数据传输及对无线设备进行供电。核心机房：核心机房部署一台艾泰核心出口路由器。使用集中管理AP的控制器来管理所有的AP。1.4.无线方案设计介绍1.4.1.1.稳定性通过无线控制器,可以实现AP之间的负载均衡,保证在密集用户使用场景,AP不会因为过度的接入终端导致网络中断。1.4.1.2.安全性强化的身份认

5、证机制,保证无线网络安全,用户登录无线网需要管理员统一分配账号与密码,并根据不同用户部门、权限与级别,可分配不同的房屋权限,细致的权限划分技术,实现不同用户不同权限的资源访问 针对无线网络容易受攻击的现状,WAC-3100和无线接入点AP之间的数据都是在加密隧道中进行传输,保障数据安全。1.4.1.3.简化管理传统的无线胖模式部署,需要对每台AP进行独立操作,管理维护复杂,工作量和难度大。方案中采用瘦模式部署,可以在AC上进行集中管理和维护,减少工作量和工作难度。另外,传统网管人员采用命令行的方式对网络进行配置管理,命令难记,且容易打错。方案中AC支持命令行和web页面管理,让管理更灵活,更简

6、单。1.5.交换系统设计1.5.1.1.高性能接入网交换机要保证所有端口的线速转发,至少要具有2个扩展插槽,支持百兆、千兆上联；要支持堆叠采用专用堆叠模块和堆叠线缆闭环堆叠和堆叠组跨设备链路聚合。支持802.1P、端口优先级、IP TOS、二到七层流过滤等QoS策略,具备MAC流、IP流、应用流等多层流分类和流控制能力,实现带宽控制、转发优先级等多种流策略。1.5.1.2.安全性接入网交换机支持IEEE 802.1x,与认证系统结合,可严格实现用户身份识别,可根据用户账号、密码、MAC地址、IP地址、交换机IP、交换机端口号、用户所在VLAN的灵活组合,来识别用户身份。将网络中的虚拟用户和生活

7、中的真实用户相对应,这样,当出现网络安全问题时,比如有人在网络上发表了非法言论,结合日志可以将安全事件到人,做到有据可查。特别是在认证通过后,接入网交换机可自动动态绑定用户MAC地址和IP地址,确保用户在通过身份认证后,无法私自篡改自己的MAC或IP地址,以便进行非法攻击或盗用网络资源等行为,保护 网络的安全性。要支持Option82功能,即可根据用户账号权限,由DHCP Server分配不同上网围的IP地址,控制用户上校、校外、国际网,实施不同的访问权限和收费策略,满足网络管理和运营需要。同时支持接入级WEB认证,对于有些不能够安装IEEE802.1x客户端的用户终端可以采用基于网页的认证方

8、式,不需要在用户终端安装任何应用程序甚至插件,只需凭借用户终端上的浏览器即可完成整个网络认证过程。在认证通过后,交换机会自动将通过认证的用户IP+MAC+端口对应的绑定规则下发到安全接入交换机,对用户的报文做源地址检查和过滤,对于不符合绑定规则的报文直接在端口级拒绝转发,保证网络报文的真实有效。接入网交换机要支持在的多种安全机制,有效防止和控制病毒传播和网络流量攻击,控制非法用户使用 网资源,保证合法用户合理化使用 网资源,如端口安全、端口隔离、专家级ACL、时间ACL、端口ARP报文合法性检查、基于数据流的带宽限速、六元素绑定、嵌入式硬件过滤BT数据流技术等,满足 网加强对访问者进行控制、限

9、制非授权用户通信的需求。1.5.1.3.防护性核心交换机支持硬件方式提供多种安全防护能力,例如防DDOS攻击Land攻击、非法TCP报文攻击等、非法数据包检测、数据加密、防源IP地址欺骗等等,避免了传统软件实现方式对整机性能的影响。支持强大的ACL特性,提供IP标准、IP扩展、MAC扩展、时间、专家级等丰富的ACL技术,支持IPv4/IPv6双栈下的输入输出ACL。核心交换机更是要支持实时检测CPU的使用状态,并提供硬件CPU保护技术CPP,Control Plane Policy,CPP技术对发往CPU的数据进行流区分和流限速,避免非法攻击包对CPU的攻击和资源消耗。易管理接入网交换机要支持

10、提供加密传输的SSHSecure Shell,保证管理设备信息的安全性,防止黑客攻击和控制设备。支持SNMP V1/V2,可以通过SNMP远程对设备进行管理。2.产品介绍2.1.无线产品介绍2.1.1.1.无线网络集中管理 采用AC进行集中式管理,AC可部署于二层或三层网络中,且无需改动原有网络架构,与无线AP组成整体交换架构,方便控制和处理所有AP上的数据交换。2.1.1.2.智能终端识别无线控制器置Portal服务器,能根据终端特点,智能识别终端类型,自适应弹出不同大小、页面格局的Portal认证页面。终端智能识别技术免去了用户多次拖动,调整屏幕的操作,为用户提供更加智能的无线体验,并且全

11、面支持苹果iOS、安卓和windows等主流智能终端操作系统。2.1.1.3.终端公平访问无线控制器协同锐捷无线接入点为802.11g、802.11n等不同类型的终端提供相同的访问时间,极大的解决了因终端无线网卡老旧或终端离AP较远而导致用户无线上网延时大、速度慢、AP整机性能低下的问题,有效的提升了低速终端的性能,保证用户无论使用何种类型的终端,都将在相同的位置上获得同样良好的无线上网体验。2.1.1.4.基于用户、流量的智能负载均衡在高密度无线用户的情况下,如会议室等,无线控制器智能实时的根据每个关联的AP上的用户数及数据流量调整分配到不同的AP上提供接入服务,平衡接入负载压力,提高用户的

12、平均带宽和QoS,提高连接的高可用性。锐捷无线不仅能实现基于用户、流量的智能负载均衡,而且还能实现基于频段的负载均衡。大多数Wi-Fi设备缺省使用2.4GHz频段,而5GHz频段上802.11a/n却能获得更大的吞吐性能。基于频段的负载均衡,使支持双频的用户终端优先接入5GHz频段,在不增加成本的前提下,能够增加大约30-40%的带宽利用率,保证了用户的无线上网高速体验。 智能负载前 智能负载后2.1.1.5.智能射频管理无线控制器可控制AP对无线网络进行按需射频扫描,可扫描无线频段与信道,识别非法AP和非法无线网络,并向管理员发出警报,以便对高安全性的环境提供全天候保护。同时,无线控制器可实

13、时控制AP的射频扫描功能,进行信号强度和干扰的测量,并根据软件工具动态调整流量负载、功率、射频覆盖区域和信道分配,以使覆盖围和容量最大化。2.1.1.6.产品性能列表基本参数设备接口4个10/100/1000Mbps以太网口2个USB口1个Console口1个电源口按键1个RESET：重启/恢复出厂配置1个LED： 控灯管理AP数默认固化64个AP最大AP数最大管理128个AP用户接入数4k物理层MAC层协议802.1d、802.1s、802.1p、802.1q、802.1w、802.3、802.3ab、802.3u、802.3x、802.3z、ARPReverse ARP、multi-LAN

14、 ARP/Proxy ARP802.11协议802.11n、802.11b、802.11a、802.11g、802.11d、802.11h、802.11i、802.11e功能参数系统参数VLAN数目：4KACL规则数目：1KMAC表容量：4K路由表容量：32KIP路由DHCP Server/RelayNTP Server、FTP ServerIP静态路由NAT/NPATNAT穿越漫游支持AC二层、三层网络架构漫游能力QoS用户流量控,支持基于域的用户流量控制以MAC、SSID作为配置域业务优先级,支持802.11e,对不同优先级的业务提供不同的服务WLAN特性自动信道选择低质量用户过滤用户数限

15、制无线终端识别最大支持16个SSIDSSID隐藏支持探针功能定时关闭SSID功能5G优先接入功能11n用户优先接入功能AAARADIUS Client支持认证服务器多域配置支持认证/记费服务器主备连支持认证和计费服务器分离认证计费支持PPPoE认证支持Portal认证支持AAA计费网络安全开放系统支持WPA-Personal/Enterprise支持WPA2-Personal/Enterprise支持WEP 64/128-bit Encryption用户业务隔离支持静态/动态黑白网络管理支持基于WEB/SSH的本地关联支持通过SNMP接入远程管理支持SNMP v2/v3协议AC冗余基于负荷分担

16、的11备份硬件参数尺寸41330044 mm 重量4.5kg供电功耗100W供电：220V AC平均功耗60W峰值功耗100W温度工作温度：045存储温度：-4070湿度工作湿度：5%95% 非冷凝存储湿度：0%95% 非冷凝3.交换设备介绍3.1.核心设备 交换机是基于网络安全和易用好管理的理念推出的新一代安全智能交换机,充分融合了网络发展需要的高性能、高安全、多业务、易用性特点,为用户提供全新的技术特性和解决方案。 交换机支持2层和3层线速交换,不但提供丰富的智能安全功能,同时提供丰富的三层功能,包括静态路由、动态路由、VRRP等技术,能够满足 网、企业网、政务网、业务网、宽带小区、商务楼

17、宇等网络环境中作为服务器接入交换机,或中小型网络的核心交换机。在提供丰富的功能技术的同时, 同时提供WEB管理方式,能够大大降低设备的管理复杂度。 设备采用无风扇设计,大幅降低设备功耗,实现设备运行无噪音,减少机械故障点,同时免除凝露腐蚀和尘土侵害。3.2.产品特征3.2.1.1.全方位立体安全防通过丰富的安全功能,消除安全威胁、攻击、病毒、ARP欺骗等侵害,还网络一片绿色,让用户更安心、省心上网；业界领先的硬件CPU保护机制：特有的CPU保护策略CPP技术,对发往CPU的数据流,进行流区分和优先级队列分级处理,并根据需要实施带宽限速,充分保护CPU不被非法流量占用、恶意攻击和资源消耗,保障了

18、CPU安全,充分保护了交换机的安全；硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定,严格限定端口上的用户接入或交换机整机上的用户接入问题；支持DHCP snooping,可只允许信任端口的DHCP响应,防止私设DHCP Server的欺骗；并在DHCP监听的基础上,通过动态监测ARP和检查用户的IP,直接丢弃不符合绑定表项的非法报文,有效防ARP欺骗和用户源IP地址的欺骗问题；基于源IP地址控制的Telnet设备访问控制,避免非法人员和黑客恶意攻击和控制设备,增强了设备网管的安全性；支持NFPP技术。NFPP 是用来增强交换机安全的一种保护体系,通过对攻击源头采取隔离措施,可以使

19、交换机的处理器和信道带宽资源得到保护,从而保证报文的正常转发以及协议状态的正常。3.2.1.2.易管理灵活复用的多种千兆接口形式,可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接,方便用户灵活选择线缆；网络时间协议保证交换机时间的准确性,并与网络中时间服务器时间统一化,方便日志信息和流量信息的分析、故障诊断等管理；Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份,便于管理员网络维护和管理；固化USB 2.0高速接口,便于通过USB接口保存日志；CLI界面和WEB界面,方便高级用户配置和使用的同时也为普通用户提供简单人性化的界面进行配置和使用。3.3.核心设备性能参数主要参数

20、产品类型 智能交换机 应用层级 三层 传输速率 10/100/1000Mbps 交换方式 存储-转发 背板带宽 256Gbps 包转发率 96Mpps 端口参数端口结构 非模块化 端口数量 32个 端口描述 24个10/100/1000M自适应电口,8个复用的SFP接口SFP为千兆/百兆口控制端口 1个USB2.0接口 扩展模块 2个扩展槽 功能特性网络协议 FTP,TFTP,DNS Client,DNS static VLAN 支持4K个802.1Q VLAN支持Super VLAN支持Protocol VLAN支持Private VLAN支持Voice VLAN支持基于MAC地址的VLAN

21、支持QinQ QOS 支持端口流量识别支持802.1p/DSCP/TOS流量分类每端口4个优先级队列支持优先级队列、轮询队列、优先级队列+轮询队列组合调度支持流量整形支持流量限速支持层级QoS支持输出qos 组播管理 支持IGMP v1,v2,v3,IGMP代理支持IGMP v1,v2和v3 Snooping支持IGMP过滤,IGMP快速离开 网络管理 SNMPv1/v2c/v3CLITelnet/ConsoleRMON1,2,4,9SSH、Syslog、NTP/SNTP、SNMP over IPv6、IPv6 MIB support for SNMP 、SSHv6、Telnet v6、FTP

22、/TFTP v6、DNS v6、NTP for v6、Traceroute v6 安全管理 支持IP、MAC、端口三元素绑定支持IPv6、MAC、端口三元素绑定支持安全通道支持防网关欺骗限制端口学习MAC地址数量过滤非法的MAC地址支持各种地址分配策略下的ARP-Check支持DAI支持防DHCP服务器私设管理员分级管理和口令保护设备登陆管理的AAA安全认证支持IP源警告支持控制平面保护支持802.1x支持各种地址分配策略下的ARP-Check支持DoS保护支持ARP报文限速支持广播风暴抑制,多播风暴抑制支持SSH v2.0支持TACAS+,指定源IP支持Radiusradius、EXEC授权

23、、指定源IP支持BPDU Guard支持NFPP技术 其它参数电源电压 AC 90-264V,50-60Hz 电源功率 43W不带扩展模块60W带扩展模块产品尺寸 44026044mm 环境标准 工作温度：0-50工作湿度：10%-90%RH存储温度：-40-70存储湿度：5%-90%RH 4.POE交换机POE交换机产品,是基于网络安全和易用好管理的理念推出的新一代安全智能交换机,充分融合了网络发展需要的高性能、高安全、多业务、易用性特点,为用户提供全新的技术特性和解决方案。4.1.POE产品介绍4.1.1.1.按需分配VLAN,网络更灵活在办公网中,为了隔离不同部门之间的网络访问,避免部分

24、PC中毒,影响全部的网络,常常需要根据部门、楼层等条件对部网络进行VLAN划分,以此隔离广播域,提高网络的稳定性。RG-NBS系列交换机提供方便灵活的划分VLAN的方式,能够让您根据需要将端口划分到不同的VLAN中,不同VLAN中的用户互不干扰,为您创造一个更稳定的网络。4.1.1.2.网络安全隐患,自动隔离屏蔽在基础网络中,常常会遇到PC中毒,自动对网络发起ARP欺骗、DOS攻击等行为,导致网络中其他PC无法访问网络,甚至是网络设备被攻击至瘫痪,而提供的NBS系列交换机,部支持ARP防欺骗功能,防攻击功能,能够自动识别ARP欺骗报文,并进行隔离,避免了ARP等病毒对网络的影响,保障了网络的稳

25、定。在酒店中,经常遇到宾客自带家用无线路由器接入网络中,导致网络中存在非法DHCP服务器。提供的NBS系列交换机提供防非法DHCP服务器功能,对宾客自带的家庭无线路由器置的DHCP服务器,自动进行屏蔽,不会出现其他宾客无法获取地址的情况。4.1.1.3.Web管理,简单易用在提供丰富功能的同时,提供的NBS系列交换机还致力于提供友好的配置界面,您能够在图形化界面中,运用鼠标,即可方便地实现以上的VLAN划分,地址绑定,安全防护等所有功能。的NBS系列交换机,旨在通过简单友好的操作界面,让您在基础网络上的投资能够发挥所有价值,物尽其用,物超所值。4.1.1.4.自动匹配连接设备的功耗RG-NBS

26、系列POE交换机支持802.3af和802.3at,最大可以为所连接的设备提供30W的供电。同时,如果所连接的设备功耗不足30W或15.4W,RG-NBS系列POE交换机将会和所连接的设备进行协商,自动匹配所连设备的功耗。4.1.1.5.丰富的POE保护功能,保障受电设备安全RG-NBS系列POE交换机提供丰富的供电保护功能,保障受电设备安全。短路保护：当线路发生短路时,RG-NBS系列POE交换机自动检测到线路上的电流超标,自动执行短路保护功能,停止对受电设备供电。过载保护：当RG-NBS系列POE交换机检测到受电设备输出功率过大,超出可提供的最大功率时,自动执行过载保护,停止对受电设备供电。过压保护：受电设备在开关机时,可能产生较高的瞬变电压,导致线缆上的电压过高而损坏POE交换机。RG-NBS系列POE交换机在每个端口上有过压保护电路,当瞬间电压过大时,端口输出电压被钳制在48V,从而保护POE交换机的安全。