机场无线部署解决方案.docx

1、机场无线部署解决方案机场无线部署解决方案机场无线覆盖解决方案1 项目概况1.1 项目背景暂无1.2 项目目标暂无2 术语解释 WLAN：无线局域网络(Wireless Local Area Networks； WLAN)是相当便利的数据传输系统，它利用射频(Radio Frequency； RF)的技术，取代旧式碍手碍脚的双绞铜线(Coaxial)所构成的局域网络，使得无线局域网络能利用简单的存取架构让用户透过它，达到信息随身化、便利走天下的理想境界。 无线AP：AP是(Wireless) Access Point的缩写，即(无线)访问接入点。如果无线网卡可比作有线网络中的以太网卡，那么AP就

2、是传统有线网络中的HUB，也是目前组建小型无线局域网时最常用的设备。 瘦AP: 无线接入点(AP，Access Point)也称无线网桥、无线网关，也就是所谓的“瘦”AP。此无线设备的传输机制相当于有线网络中的集线器，在无线局域网中不停地接收和传送数据;任何一台装有无线网卡的PC均可通过AP来分享有线局域网络甚至广域网络的资源。理论上，当网络中增加一个无线AP之后，即可成倍地扩展网络覆盖直径;还可使网络中容纳更多的网络设备。每个无线AP基本上都拥有一个以太网接口，用于实现无线与有线的连接。 AC：无线接入控制服务器， 接入控制器(AC) 无线局域网接入控制设备，负责把来自不同AP的数据进行汇聚

3、并接入Internet，同时完成AP设备的配置管理、无线用户的认证、管理及宽带访问、安全等控制功能。 POE：POE (Power Over Ethernet)指的是在现有的以太网Cat.5布线基础架构不作任何改动的情况下，在为一些基于IP的终端（如IP电话机、无线局域网接入点AP、网络摄像机等）传输数据信号的同时，还能为此类设备提供直流供电的技术。POE技术能在确保现有结构化布线安全的同时保证现有网络的正常运作，最大限度地降低成本。 802.11g：在2.4GHz频段，是一种能支持较高数据传输速率（154Mbit/s），采用微蜂窝、微微蜂窝结构，自主管理的计算机局域网络。 802.11i：无

4、线安全标准，wpa是其子集，规定使用802.1x认证和密钥管理方式，在数据加密方面，定义了TKIP、CCMP和WRAP三种加密机制。 802.11n：WiFi联盟为了实现高带宽、高质量的WLAN服务，使无线局域网达到以太网的性能水平，802.11任务组制定了N（TGn），将无线局域网的传输速率从802.11a和802.11g的54Mbps增加至300Mbps以上，最高速率可达600Mbps，采用OFDM技术、MIMO（多入多出）技术。 WEP：WEP是Wired Equivalent Privacy的简称，有线等效保密（WEP）协议是对在两台设备间无线传输的数据进行加密的方式，用以防止非法用户

5、窃听或侵入无线网络。 WPA：英文缩写: WPA (Wi-Fi Protected Access) WPA是一种基于标准的可互操作的WLAN安全性增强解决方案，可大大增强现有以及未来无线局域网系统的数据保护和访问控制水平。WPA源于正在制定中的IEEE802.11i标准并将与之保持前向兼容。 WPA2：WPA2 是经由 Wi-Fi 联盟验证过的 IEEE 802.11i 标准的认证形式。WPA2 实现了 802.11i 的强制性元素 1，特别是 Michael 算法由公认彻底安全的 CCMP 讯息认证码所取代、而 RC4 也被 AES 取代。 WPA/WPA2 企业版：Wi-Fi 联盟已经发布

6、了在 WPA 及 WPA2 企业版的认证计划里增加 EAP（可扩充认证协定）的消息，这是为了确保通过 WPA 企业版认证的产品之间可以互通。先前只有 EAP-TLS（Transport Layer Security）通过 Wi-Fi 联盟的认证。 SSID：SSID是Service Set Identifier的缩写，意思是：服务集标识。SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络，每一个子网络都需要独立的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入本网络.。 无线漫游：当网络环境存在多个AP，且它们的微单元互相有一定范围的重合时，无线用户

7、可以在整个WLAN覆盖区内移动，无线网卡能够自动发现附近信号强度最大的AP，并通过这个AP收发数据，保持不间断的网络连接，这就称为无线漫游。 数字证书：数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，它是由一个由权威机构-CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书是一种权威性的电子文档，由权威公正的第三方机构，即C

8、A中心签发的证书。 3 总体设计方案3.1 无线网络组网规划 组网说明 在机场核心交换机分别旁挂1台或多台AC无线控制器，通过1+1方式实现冗余备份，在机场无线热点区域部署多个瘦AP 。根据现有机场有线的网络的部署情况，无线AP与AC控制器间通过二层或三层实现互联互通，AC工作在集中转发模式，所有无线终端的业务数据通过AC进行集中转发。 机场无线AP手动配置自身IP地址，与AC 的IP地址实现隧道互联，无线终端的IP地址通过DHCP 动态获取，网关指向机场的核心交换机，建议部署两台DHCP服务器，在核心交换机上配置DHCP 中继，分别指向两台DHCP服务器，实现对DHCP服务器的冗余备份。 机

9、场无线AP采取WPA2的无线加密认证方式。无线终端上行的802.11的数据报文通过AP重新封装到802.3格式以太报文中，直接发给AC，由AC进行过滤识别后进行转发，这个过程实现了WLAN无线的数据和现有业务的数据隔离。 注意事项：因无线的数据均采用集中转发方式，所以在无线终端间进行数据访问时，也需要数据通过AC集中转发而访问，增加了不必要的网络开销，我们建议禁止无线终端间的数据访问业务。 设备配置说明设备名称部署设备型号数量设备说明无线控制器WNC6000-1000-ACX台AC控制器，支持1024个AP接入室内APWA2000-213W-PEX台单频、单模，室内2.4G增强型室内AP。 8

10、02.11 （ b 、 g 、 n ） ，外置天线，100mw 放装型 ， POE 受电方式。支持wapi 。室外APWA2000-362W-PTEX台WA2000-362W-PTE,无线,双频、双模，2.4G、5.8G增强型室外AP。 802.11 （ a、b 、 g 、 n ） ，外置天线，500mw +500mw放装型 ， PTE 受电方式。支持wapiAAS服务器Access Authentication server1迈普设备接入认证服务器(基本型、含硬件)，2个以太口AAS-L-2000X2000个License认证用户数，单一系统支持多个License累加Portal软件Port

11、al Authentication Server1Portal认证服务器中文版短信网关Maipu SMS-CN1MaipuSMS-CN、电信制式短信网关无线网管软件Maipu NetManager1多业务智能管理平台(专业版，中英文版，无最多可管理网络设备数量限制)NM-WlanManager1无线业务管理组件NM-L-500软件许可，每个许可可增加500个设备节点授权许可3.2 网络高可靠性3.2.1 AC 冗余备份AC无线控制器采用，1+1冗余备份方式，在核心交换机分别旁挂1台或多台AC无线控制器，通过1+1方式实现冗余备份，保证了整个无线网络的高可靠性。根据无线AP的规模来确定AC的容量

12、。在备机房放置同等数量和容量的AC，实现完备的1+1冗余备份。1+1冗余备份方式，需要从两个层面来保证设备和网络的冗余可靠性。首先， AC和备份AC之间的管理通道保持有快速心跳检测机制，心跳时间根据网络的质量可以配置，建议为200ms到5s之间。心跳报文在两端AC和整个通道的网络设备之间采用高优先级保证。同时，主AC和备份AC之间能定期和实时的同步AP，client的各种状态。这样，备份AC能实时监控主AC的活动状况。一旦主AC出现宕机等事件，备份AC收不到主AC的心跳报文，立即通知该主AC管理的原AP，实行切换。其次，AC和所管理的AP之间的管理通道保持有心跳检测机制。这种机制中除了检测AC

13、的状态之外，还可以检测整个网络通道是否可达。心跳时间根据网络的质量可以配置，建议为5s到20s之间。1+1的备份方式在部署时，AP需要配置主用AC和备用AC的地址列表，我们采用静态指定的方式，在AP上写入主备AC的IP地址，当主AC出现宕机或者主机房网络出现故障，访问不可达的情况下，AP主动发现并切换到备AC上。3.2.2 DHCP Server备份DHCP SERVER备份实现机制 ：在机场主机房搭建主 DHCP SERVER和备用DHCP SERVER；通过核心交换机做DHCP RELAY ，分别指向主、备DHCP SERVER，在正常情况下，用户端从主DHCP服务器获取地址，当主 DHC

14、P SERVER宕机的情况下，用户从备 DHCP SERVER获取地址 。该功能的实现需要在核心交换机上配置两条DHCP RELAY命令 。3.3 无线安全设计由于无线接入的开放性，因此无线接入安全是部署无线网络的重中之重。当前兼容性最好、可实现性最高的无线安全接入方式就是结合数字证书的WPA2身份认证及数据加密技术。3.3.1 WIFI接入及认证过程为满足用户可以更方便快捷的使用WIFI热点，并且又能够对接入用户合法性进行确认，本方案设计采用AAS+Portal+短信方式认证。 Web认证机场WIFI用户使用手机或者pad自动搜索到机场WIFI热点，在连接的时候会自动重定向到本地Portal

15、页面上，给用户推送一个Web认证界面。当用户再次通过HTTP协议上互联网时，会触发Portal认证，后端的Portal认证服务器会推送一个Web认证页面到用户终端上。用户在WEB认证界面填写自己的手机号，点击获取随机密码，则用户填写的手机号对应的手机会收到一条短信，获取到一个随机密码，用户通过该手机号码及短信收到的随机密码进行Web认证。认证通过后系统允许用户终端上网，并且返回一个认证通过的页面，再次根据用户所在的公交车位置信息判断推送不同的广告信息； AAS服务器AAS是基于AAA的认证系统，在本方案中主要功能为配合Portal服务器为用户提供身份认证。AAS也可以通过代理方式与运营商或者上

16、级AAA系统进行对接，能够直接与营运商的用户库（如手机号等信息）共享，避免用户信息多点维护。AAS认证的用户名基于运营商用户库，所以有效的避免了其他运营商的用户接入占用资源的问题。该系统允许所有运营商的用户能使用。3.3.2 无线数据加密WPA2使用加密性能更好、安全性更高的加密算法：AES-CCMP（Advanced Encryption Standard - Counter mode with Cipher-block chaining Message authentication code Protocol，高级加密标准计数器模式密码区块链接消息身份验证代码协议），其主要有如下几点改进：

17、使用128位AES加密算法实现机密性保护，数据完整性保护，自动重新生成密钥对以派生新的数据加密密钥，使用数据包编号字段实现防重播。AES-CCMP在802.1X身份验证过程动态创建一组主从密钥，并由该从主密钥对和其他值派生出数据加密所需的临时密钥，避免了WPA-PSK主密钥需事先定义而可能泄露的弊端。3.3.3 AC与AP之间的安全认证为了保证AC与AP之间的访问安全，尤其是防止黑客或者攻击者从市场上购买同一品牌的AP，私自接入机场网络，进行各种高级攻击。因此需要加强AC和AP之间的安全认证。最简单的认证是MAC地址认证，部署过程中可以将系统中的合法AP的MAC地址统一记录在Radius或者A

18、C上。AP在跟AC关联进行集中管理时，都需要在AC上通过mac地址认证才能允许AP接入无线网络；其次是密码认证，第一次部署过程中需要在AP上设置相关密码；AP在跟AC关联进行集中管理时，都需要在AC上通过密码认证才能允许AP接入无线网络；注：前面两种方式都是单向认证，在AC上认证接入AP；还有一种更安全的方式是数字证书认证，我们采用的X.509数字证书认证方法。该认证方法是双向认证，除了AC上认证AP的证书，同时在AP上还需要验证AC的证书，充分保证网络设备的合法性。在首次部署的时候，需要将相关证书下发到设备上。AP运行过程中，跟AC关联进行集中管理时，就会启动该双向认证，成功后才能允许AP接

19、入无线网络。3.3.4 其它无线安全控制技术其它无线安全技术主要体现如下几方面： SSID隐藏：隐藏无线对外服务标识，类似在开放的环境中隐藏接入端口，保护无线接入。 无线用户接入时段控制：根据业务需要，限制终端用户通过无线接入的时间区间，可以实现在非工作时间外禁止接入网络。 无线用户访问权限控制：可以在无线接入控制器上实现ACL控制，放行移动终端业务的目标地址，阻断其它应用，通过ACL控制访问权限。 无线用户速率控制：通过限制每个无线终端的速率，防止各种恶意或无意的高速率访问，确保其它用户通过无线接入的接入速率、接入稳定性。 无线用户相互隔离：对通过无线接入的终端实现隔离，阻断相互之间的通信，

20、不仅实现安全管理，也可避免终端之间的相互影响。3.4 无线网络管理整个无线网络统一进行无线网络设备管理，无线网络的可管理性在整体项目中将起到非常重要的作用。根据机场的应用需求，我们提出实现无线网络的“云管理”方案。简单来说，无线网络管理分成以下三层管理架构： 网管软件对AC的管理：主要聚焦在网管软件对各个AC的状态监控，并对AC进行权限管理及监控。 网管软件对AP的管理：主要聚焦在网管软件对分布在全国任意网点的AP的追溯管理，包括每台AP下的终端接入数，终端流量，终端应用。 网管软件对无线终端的管理：主要聚焦在网管软件对接入到全国任意网点的所有无线终端的管理，包括终端流量等等。通过以上三方面不

21、同层次的网络管理，使得无线网络的管理更可控。3.4.1 网络发现基于IP范围发现AC，手动添加设备基于AC发现无线网络，自动添加设备3.4.2 拓扑管理支持网络拓扑图的自动生成及拖拉缩放，支持网络拓扑分层分级导航和管理及自动更新支持网络拓扑图的手动定制及定制连接支持物理连接和逻辑连接，并在拓扑上显示连接属性，如端口、贷款及连接状态3.4.3 无线网络规划支持无线分级地图3.4.4 无线网络监控支持在各AC管辖下的无线AP列表支持列出客户端列表:包括活动客户端列表、客户端列表历史、信噪比等3.4.5 无线网络安全支持统一安全策略：统一安全策略的创建及安全策略的下发和部署支持无线安全防护：包括Ro

22、gue AP列表，Rogue Client列表，Rogue设备反制及无线入侵事件列表等3.4.6 AC性能管理支持AC性能监控，及性能数据的管理3.4.7 网络流量分析支持网络流量数据采集标准(Cisco NetFlow, sFlow等)支持带宽使用统计网络性能瓶颈发现输出网络流量报告，支持基于图形化和数据表格方式的网络流量详细报告3.4.8 告警管理支持告警定义，告警呈现，告警管理及相应的告警操作。3.4.9 报表呈现支持表格和图形混合展现的报表呈现方式可手动、自动生成报表，并自动发送报表3.4.10 软件管理支持软件包管理及AC、AP软件自动升级3.4.11 配置管理支持批量配置管理，配置

23、文件管理3.4.12 资产管理支持设备资产管理，设备资产信息收集和展示，并定期自动同步3.4.13 任务和调度支持任务的查询/修改/制定，从而实现按时批量任务实现支持一次性任务调度、周期性任务调度，并输出任务执行日志，并回报任务执行结果通知3.4.14 日志管理可记录日志，包括网管日志，网元操作日志，安全日志及网元日志等可操作日志，包括设置、转储、查询和打印等并可对日志进行定期清理3.4.15 安全管理可对用户组进行安全管理，包括用户管理、管理域等可实现第三方认证和授权，支持RADIUS，TACCS,LDAP3.5 QOS部署3.5.1 QOS总体框架通过WMM协议，使802.11在链路层和M

24、AC层提供支持QoS的无线网络接入服务，加上有线网络原有的应用层、IP层的QoS策略，提供了无线设备端到端的QoS支持能力，以无线终端Client1发送报文到Client2为例说明Qos总体框架。总体框架中提供两大部分QoS部署： 一是从client到AP之间的无线QoS部署，该部分主要是对于空中的无线报文（802.11报文）进行各种QoS管理和配置。对于语音和视频等高优先级流量进行调度； 二是从AP到AC之间的有线QoS部署，该部分主要是对于以太网报文（802.3报文）进行各种QoS管理和配置。因为无线报文达到AP后，就接入了有线网络，报文也就是从802.11格式转为802.3格式，进行有线

25、网络转发。3.5.2 QoS高优先级业务数据优先保证WMM QoS到802.3的CoS之间的映射：AP收到802.11报文后，AP将其中WMM QoS字段转换为802.3的CoS字段的值，保证无线用户的优先级信息能够保持不变，高优先级数据优先处理。内部优先级到外部优先级的映射（未来实现）：数据被封装到隧道后，内部的优先级不能被其它网络设备识别，因此必须将内部的优先级映射到外部网络。AP在封装隧道数据时，会把内部优先级映射到隧道数据的外部，保证其它网络设备也能按照用户数据的优先级进行转发。AC对于QoS优先级的处理：AC收到隧道数据后，首先解封装，根据内部CoS的优先级进行数据调度，保证高优先级

26、的数据得到优先转发。802.3的CoS到WMM QoS之间的映射：AP收到来至有线网络的802.3报文后，AP将其中802.3的CoS字段转换为WMM QoS字段的值，对于高优先级的数据优先发送。3.5.3 管理报文高优先级处理对AP和AC之间的管理报文,即端口号为57776的TCP报文和端口号为57778/57779的UDP报文，设置高优先级，可以保证管理报文的高优先转发。3.5.4 通过client QoS修改用户的优先级AP上的client CoS功能可以根据优先级策略直接修改用户的优先级。AP收到802.11数据后，匹配用户的IP地址，根据用户的IP匹配对应的策略，根据策略设定的优先级

27、改写原有的优先级，保证特定用户的数据得到特定的优先级。配置方式如下： 配置分类表（classmap）：建立一个分类规则，可以按照ACL、CoS、VLAN ID、IPV4 Precedent、DSCP、IPV6 FL来分类。之后，对于不同类别的数据流采取不同的策略。 配置策略表（policymap）：对数据流进行分类之后，就可以建立一个策略表，之后就可以将其对应一个先前建立的class-map，进入策略分类表模式，然后就可以对于不同的数据流采取不同的策略，如带宽限制、优先级降低、分配新的DSCP值等等。也可以定义一个集合策略，这个策略可以在同一个策略表内部被多个策略分类表使用。 将QoS应用到A

28、P或者AC：如果需要在AP上启动QoS，则在AP profile文件中增加配置的策略应用。如果需要在AC上启动QoS，将策略绑定到AC的端口。3.5.5 基于用户的限速基于用户的限速，配置命令通过AC下发到AP上，用AP来实现每一个终端速度的限制。实现原理是对用户的数据流量进行精确的统计，按照令牌桶的原理，单位时间内，每个用户都会分配到指定大小的令牌，用于流量允许通过。如果超过了用户限制的带宽，令牌就会用完，该用户的数据报文将会丢弃。每个用户都会有令牌桶，因此可以精确到每个用户的限速。限速粒度为64Kbps。对于每个用户的上行和下行报文，设计有单独的令牌桶，可以分别控制和进行速率限制。限速的配

29、置可以从两个方面进行，如果对于所有用户限速都相同的话，可以从AC上通过配置AP的client qos模块中ratelimit参数，统一下发给AP。如果对每个用户的限速不同的话，因为用户数比较多，在AC上进行统一配置明显不行，需要在Radius上对每个用户的速率进行单独设置。在用户进行统一认证的时候，将会把限速参数动态的下发给该用户所在的AP。3.6 POE供电方案3.6.1 POE供电模块供电若热点区域的无线AP部署数量较少，建议采用独立的POE供电模块进行供电，无需单独部署POE交换机。3.6.2 POE交换机供电若无线热点区域的无线AP部署数量较多，为实现设备的集中供电管理，建议采用POE

30、供电交换机进行供电。3.7 网络设备要求3.7.1 无线AP产品型号无线特性接口类型物理特性WA2000-213W-PE100mW 802.11b/g/n1个10/100/ 1000 Mbps 电口、1个控制口250mm*222mm*58mmWA2000-323W-PE500mW 802.11b/g/n500mW 802.11a/n209mm*125mm*25mm支持标准TCP/IP, IPX, NetBEUI 、IEEE 802.11b (WiFi Compatible), IEEE802.11g (WiFi Compatible) ,IEEE802.3/u 10/100Base-Tx RJ

31、-45, IEEE802.3af (Power Over Ethernet) ,IEEE802.1p (QoS Priority), IEEE802.1q (VLAN) ,IEEE802.1x (Security Authentication) ,IEEE802.11e (Wireless QoS), IEEE802.1d (Spanning Tree Protocol)、11NHT 保护模式、A-MPDU 聚合、A-MSDU 聚合、短 GI、扩展信道保护模式、信道模式20M/40M工作模式AP, Bridge无线特性频率自动调节、自动功率调整、Smart WDS、输出功率调节QOS负载均衡（流量、用户数）、带宽控制、链路检、WMM、VoIP接入数量控制管理特性Web、SSH、CLI、SNMP、管理代理、capwap、TR069诊断功能用户列表、临近AP扫描、IP ping 测试、统计链路完整性支持路由支持安全特性Radio开关、WEP加密（64 / 128 ）、TKIP、WAPI、802.1x、MAC控制、station隔离、防XDos攻击、WPA(2)-PSK、W