精编智能信息化城市建设无线网WiFi覆盖项目建设可行性研究施工方案.docx

1、精编智能信息化城市建设无线网WiFi覆盖项目建设可行性研究施工方案智能信息化城市建设无线网WiFi覆盖项目建设可行性研究施工方案 第1章 工程概况第2章 组网示意及说明系统结构如下： FIT AP通过以太网交换机接入“无线城市”承载网 AC通过“无线城市”承载网.络，对多个FIT AP进行管理 核心业务网.络通过RADIUS服务器对宽带无线局域网终端进行鉴权和授权，防止非法终端接入 无线局域网与核心业务网.络之间、核心业务网.络与Internet之间，使用物理隔离和防火墙数据隔离的方式，实现二次网.络安全防护第3章 工程施工计划3.1 工期总目标本工程于设备到货后天内完成设备的安装调试，并交付

2、使用。3.2 施工阶段划分及工期目标由于wifi项目工程规模大，为合理安排、有效控制，确保按期、保质完成任务。将总工期划分为五个阶段性工期目标来控制。第一阶段：施工准备阶段，本阶段主要完成现场的勘测、工程联络设计，绘制施工图，为后期施工创造良好条件。第二阶段：基础施工阶段本阶段主要为无线接入系统的基站及终端的架设位置及抱杆、取电等提供条件，以及设备生产厂家的设备备货和测试。第三阶段：设备的安装调试阶段本阶段主要完成单点设备的安装和调试。第四阶段：系统联合调试阶段本阶段主要完成无线接入系统和主站系统的联合调试第五阶段：竣工清理交验阶段本阶段主要处理本工程存在的问题、竣工清理工作、编制竣工资料，组

3、织验收并交付使用。序号阶段名称1-78-143基础施工4设备的安装调试5系统联合调试6竣工清理交验图表 11工程施工计划第4章 工程实施设计4.1 设计目标系统提供全IP架构的接入方式，解决城市的“最后一百米”接入需求，支持以太网或光纤网.络作为传输承载网，可选择就近的XPON网.络，实现无线与有线接入方式的融合。4.2 组网规划4.2.1 IP编址方案IP编址方案包括如下几部分：无线交换机AC、AP、接入终端；需要根据客户业务情况规划；设备IP备注无线控制器192.168.128.0/23五县一区 室内AP1域10.1.0.0/1710.1.0.1-10.1.127.254市区 室内外AP2

4、域10.1.128.0/1810.1.128.1-10.1.191.254濮阳县 室内外AP3域10.1.192.0/1810.1.192.1-10.1.255.254清丰县 室内外AP4域10.2.0.0/1810.2.0.1-10.2.63.254南乐县 室内外AP5域10.2.64.0/1810.2.64.1-10.2.127.254范县 室内外AP6域10.2.128.0/1810.2.128.1-10.2.191.254台前县 室内外4.2.2 传输和承载网.络传输承载网.络适用包括光纤以太网和XPON传输方式，AP数据通过交换机汇聚以后接入互联网，应用业务在公司中心机房落地。4.3

5、 无线覆盖规划根据项目对现场进行了实地勘测，根据勘测情况制作实际布点图如下： 说明：根据现场情况，室内AP布点位置如图中红色点所示，安装位置在中央天花，采用吸顶的安装方式。室外AP安装在立杆或墙上，采用立杆安装或贴墙的安装方式（如下图）。所有AP都通过网线供电。贴墙安装吸顶安装如果在建筑物楼顶安装室外AP，安装前先安装好天线支架，如下图：如上图所示将天线支架固定好后，将室外AP安装在天线支架上，然后通过网线将室外AP与交换机相连。对于室外走线部分应按照要求采用钢管防护。根据现场勘测结果，提出合理布线及设备安装方案，如果现场环境比较理想，按照勘测位置布置好所有AP，当系统开通应可实现该区域全覆盖

6、。示意图如下：注：现场安装及施工，应按照规范谨慎实施，注意安全。4.4 频率规划Wifi频率为公共频率，IEEE 802.11b/g/n 定义被操作在2.4 GHz （2.4-2.4835） GHz的频率。802.11a/n 被操作在有更多信道的 5.8GHz（4.9 GHz 到 5.875） 频谱中。AP650支持820.11a/b/g/n. 1、在一个AP 覆盖区内直序扩频技术最多可以提供3 个不重叠的信道同时工作。考虑到制式的兼容性，相邻区域频点配置时宜选用1，6，11 信道。2、频点配置时首先应对目标区域现场进行频率检测，对于覆盖区域内已有AP 采用的信道，应尽量避免采用。3、对于室外

7、区域干扰宜采用调整天线方向角，避免天线主瓣对准干扰源的方式或调整功率。4、 室外AP 覆盖区频点配置时，为了实现AP 的有效覆盖，避免信道间的相互干扰，在信道分配时宜引入移动通信系统的蜂窝覆盖原理。对1，6，11 信道进行复用，见下图。5、室内AP 覆盖区频点配置时应充分利用建筑物内部结构，从平层和相邻楼层的角度尽量避免每一个AP 所覆盖的区域对横向和纵向相邻区域可能存在的干扰。6、设计时指定规划覆盖区域的每个AP 的工作频率，不宜考虑AP 自动频率调整功能，防止频率的频繁调整而导致用户无法接入。室外AP：5.8G频率作为mesh回传通道，2.4G频段作为覆盖频段。4.5 集中管理架构通过无线

8、交换机AC管理整个网.络，网管人员只需在无线交换机上就可开通、管理、维护所有AP 设备以及移动终端，包括无线信号发射、安全、接入认证、移动切换。具体可以表现以下几个方面：1. AP零配置AP无需任何配置，即插即用。所有对无线网.络的配置都在无线交换机上完成。AP支持PoE供电，在连接上网线后，AP可以通过DHCP方式自动获取Wireless Switch的地址列表，然后通过WISPe(Wireless Switch Protocol enhanced)与Wireless Switch进行通信。2. 流量转发模式：集中转发和本地转发考虑到无线网.络维护的方便性，所有室内室外AP，都由位于汇聚层的

9、的无线交换机AC来进行统一的管理控制，也就是无论处于NAT防火墙、宽带路由器、交换机后面的AP都可以通过AP到AC的WISPe隧道直接接受无线交换机AC的集中管理。本地转发，在采用集中管理的同时，所有的流量不需要经过AC，而是从AP直接转发到相对的路径上。如AC发生故障时，AP还可以转发流量。3. 无须改造现有网.络AP可以无缝接入现有网.络。远程AP使用DHCP方式获取地址后就可以跨越3层路由器，甚至跨越互联网.络，与Wireless Switch进行自动连接。由于使用DHCP方式，网.络的规划、网.络的扩展可以集中而简单地对DHCP作配置即可，而无需去修改分散各地的成百上千的远程AP。4.

10、 更换和升级AP方便所有配置维护都可以在中心机房完成。接入端的维护更是无需专业管理人员，即插即用。在AP出现故障时，可以简单地将新的AP插上即可。无需任何配置。在Wireless Switch作升级后，可以自动对所有AP作升级，避免对每个AP手工升级的工作。5. 统一的网.络管理无线交换体系能够对于硬件、软件配置和网.络策略进行统一管理，所有配置在无线交换机上完成即可。向所有接入点自动部署配置。4.6 AP设备安装1. 馈线的安装用于连接AP和天线，为了尽量减少馈线的插入损耗，应将馈线与设备及天线连接接口擦干净再紧固接头。2. 网线的安装无线AP与交换机、网线供电模块连接的网线，因设备常安装在

11、较高处或通信塔，为减少外界对数据的影响，网线应选用屏蔽网线，及屏蔽接插件。因网线在室外使用，应对网线作好保护措施，露天网线必须穿管，并固定牢固。在靠近设备的网线，应穿软管，并制作防水弯。3. 接头防水处理室外设备的各个连接接头，至少要作三层防水处理，第一层用防水胶带将接头缠好，第二层使用防水胶泥进行处理，第三层再用防水胶带缠好。如设备安装比较恶劣的环境中，可增加胶带的层次，这时需要重复第二、第三层防水处理的步骤。4. 无线网.络避雷接地处理安装扩频通信设备的站点，应有完善的防雷接地系统。防雷接地标准应符合YD5004-94数字微波接力通信工程设计规范、YD2011微波站防雷与接地设计规范和YD

12、26通信局（站）接地设计暂行技术规定，接地电阻应5。架装天线的支架或铁塔应与楼顶接地系统良好连接。 根据相关国标/国际标准，要求必须在室外无线设备旁架设避雷针（直击雷防护处理），射频端口必须设置相应避雷器；室内设备射频端口、LAN口也必须设置相应避雷器（感应雷防护处理）；射频线缆的金属屏蔽层、避雷器必须做等电位接地处理。 当天馈线系统受到雷击时（或有高压磁场）所产生浪涌不要进入系统设备，通过接地及时的放掉浪涌来保障系统设备以及工作的安全。避雷针：通过在天线旁边架设避雷针来引开雷电的袭击，避雷针为良好导体比天线高，当雷电来时会由避雷针将其引走，避雷针需要良好的接到大地上，接地电阻小于5 欧姆。

13、射频避雷器：在无线设备外接天线系统中接入射频避雷器，当天馈线受到雷击时，避雷器在雷电来时它会及时与设备断开，通过连在避雷器外部的接地线把电流放掉后，并自动恢复连接。馈线的接地线要求每20米做一个接地，所以通常接地线到馈线头不超过20米时可以在接地线近处接地。 避雷器安装在馈线和设备之间，从避雷器引出接地线接至地极。地极接地电阻要求5 欧姆以下，一定要连接牢固，确保受雷击时可正常放电。 连接室外部分和室内部分POE的RJ-45线 这根RJ-45线为标准8芯直通线，在室外安装时应该用PVC管或其他符合室外安装标准的材料加以保护。4.7 无线射频管理1. 自动射频管理由于无线射频信号是一种无形的东西

14、，它的强度和所在的信道一般都需要根据经验手工调整，要做到无线信号均匀分布，信道的利用率高，无信道干扰并不是件非常容易的事情，但是HuaWei系统的RF智能控管可以自动调节网上所有HuaWei AP的射频信号特性。可以保证无线信号均匀分布，信道的利用率高，无信道干扰，无线网.络做到最为优化的运行。通过RF Planning的SmartRF Calibration功能来自动调节整个无线网.络上所有AP的无线射频信号频率和功率。启动了SmartRF Calibration以后AP和AP之间会自动互传有关无线射频信号的信息和调整射频信号的参数，直到AP之间达到了一个最优化的无线射频信号运行环境。当无线

15、网.络经过SmartRF Calibration调整后而正式运作时，网.络管理员可在HuaWei 交换机内启动SMART RF功能，则无线网.络上所有的HuaWei AP都会在设定的时间内自行扫描其它的无线频道。所谓射频信号扫描，是指HuaWei AP 从一个射频信号频道跳到另一频道时，如Ch 1 到 Ch 2 到 Ch 3.，由于扫描的速度非常快，所以对于在线的无线用户（指连接到AP上在同一频率上的无线终端）的传输过程是不受到影响的。当AP停留在一个频道时，它会把在这频道上收到的无线射频信号信息转送回HuaWei 无线交换机。这样HuaWei 无线交换机就对整个无线网.络上的射频信号情况有了

16、一定了解和记录。当某一覆盖范围内的射频信号改变，如出现干扰AP所发出的射频信号或其它应用所发出的射频信号等，HuaWei 无线交换机就会把所获取的无线射频信号资料做分析，以确定是否需要调整范围内AP的无线射频信号。2. 无线空洞检测集中控制型WLAN热点接入设备支持自动功率调整。当一个瘦AP失效时，周围瘦AP能够自动调整功率补偿失效AP的覆盖，具体实现如下图所示：例如在三个AP所覆盖区域，如果其中一个AP出现了故障，那么检测AP将检测到故障，并触发邻居增加发射功率，对故障AP所覆盖范围进行覆盖区域进行补偿恢复。而且可以检测到多种故障情况，如天线故障、AP以太网故障、AP因为障碍物引起的不可视、

17、AP损坏等。可以配合控制设备完成全局的动态功率控制，通过增加功率支持无线空洞补偿、通过降低功率避免高密度部署环境下复用频点小区间的干扰。用户在AP覆盖区域移动，但移动到边缘情况下，用户信号强度以及接入速率低于设定要求，出现的无线覆盖的空洞，这时AP将增大发射功率对无线空洞进行补偿，而在高密度覆盖情况下，检测器将能够检测到信号覆盖状况，并全局调整AP的发射功率，减少区间干扰。3. 系统的抗干扰措施当AP设备启动时，会自动搜索已经存在的无线信号，主动躲避由噪音的信道，选择无噪音的信道作为自身的工作信道。在AP设备已经完成启动后，还会实时监听信道噪音。当发现当前的工作信道出现外来信号噪音，AP会自动

18、判断该信号是否来自欺诈AP。如果是欺诈AP，则通知网.络管理员；如果不是，则自动选择最清晰的信道，以保证信号质量。无线系统可以对WiFi和非WiFi的设备进行统计告警以及分析。4.8 无线WLAN的Qos机制语音等特殊应用对无线网.络的带宽和时延敏感，WLAN采用802.11e来保证不同应用的优先级，在无线接口上共有四个队列，每个队列均有相应的CWMIN/CWMAX值，对应访问无线链路的不同优先级，从而不同队列中的应用数据可以有不同的服务质量。QoS指的是网.络通过不同的网.络技术为特定的网.络流量提供更出色服务的能力。QoS技术是园区网.络中的企业级多媒体和语音应用的重要组成部分。QoS让网

19、.络管理人员可以与他们的网.络用户制定服务水平协议（SLA）。QoS能更加有效地实现网.络资源的共享，加快关键任务型应用的处理速度。QoS可以管理对时间敏感的多媒体和语音应用流量，确保这些流量获得比尽力而为型数据流量更高的优先级、更多的带宽和更低的延时。利用QoS，网.络管理人员可以更加有效地管理LAN和WAN的带宽。 QoS可以通过下列方式提供增强的、可预测的网.络服务： 为关键的用户和应用提供专用带宽 控制抖动和延时（满足实时流量的需要） 管理和最大限度地减少网.络拥塞 对网.络流量进行整形，让流量平稳传输 对网.络流量进行优先级划分 QoS功能的作用在一个负担较轻的网.络上表现得并不明显

20、。的确，如果延时、抖动和丢包率在介质负载较轻的情况下仍然相当明显，那就意味着存在系统故障，或者这个网.络不符合该应用的延时、抖动和丢包率要求。 随着网.络负载的增加，QoS功能将开始逐步影响应用的性能。QoS的作用是将特定类型的流量的延时、抖动和丢包率保持在可以接受的范围之内。 通过从接入点提供下行优先级设置功能，上行客户端流量会被作为尽力而为型流量处理。这样，客户端必须与其他客户端竞争（上行）传输带宽，以及与来自接入点的尽力而为型（下行）流量进行竞争。在特定的负载情况下，即使在接入点采用了QoS功能，客户端也可能会遇到上行拥塞，而对QoS敏感的应用的性能则可能会下降到无法接受的水平。HuaW

21、ei无线网.络提供集成的QoS无线网.络服务质量的保证，针对不同类型的无线应用，无线交换机会进行相应的处理，以保证移动业务的畅通。HuaWei无线网.络预置了包括Voice在内多种Profile，同时也可以提供手工微调的方式。在方便配置Qos的同时也保证了无线网.络Qos的调优。HuaWei的无线网.络支持WMM(802.11e)，WMM可以有效地保证高优先级的流量得到带宽的保证和低时延。WMM定义了SIFS到AIFS多种等待时间间隔，优化这些参数可以提高网.络容量。 基于WLAN的带宽分配：HuaWei的AP支持为不同的WLAN分配不同的带宽，保证关键业务的可用带宽。 基于类别映射的优先级设

22、置：对于基于类别映射的优先级设置，数据流可以通过IP TOS、DSCP或者协议设置标明身份。一个指定的下行流量会在无线接口上获得一个特定的CoS。 启用WMM，针对对于监控和Video不同业务设定Qos参数 基于组播地址的优先等级设置 通过设置WLAN的组播地址掩码，保证匹配该组播地址掩码的流立即转发而不需要等待DTIM（Delivery Traffic Indication Messages ）。通过对WLAN WMM的不同流量类型设置不同的等待桢隙，不同的转发机会和CWmin和CWmax值，保证不同类型的流具有不同的转发等级。4.9 无线网.络安全由于无线局域网采用公共的电磁波作为载体，因

23、此与有线网.络不同，任何人都有条件窃听或干扰信息，因此在无线局域网中，网.络安全显得格外重要。由于802.11 WLAN属于公有的无线资源，因此有电信的无线网.络，有移动的无线网.络，有网通的无线网.络，有校园的无线网.络，也有众多企业或者个人架设的无线网.络。有正常使用无线网.络的合法用户，也有恶意用户。非法设备(Rogue device)是指黑客在无线局域网中安放XX的AP或客户机提供对网.络的无限制访问，通过欺骗得到关键数据。无线局域网的用户在不知情的情况下，以为自己通过很好的信号连入无线局域网，却不知已遭到黑客的监听了。这些攻击者通过非法搭建的AP或者使用无线客户端，企图想通过无线网.

24、络传播病毒蠕虫、盗用机密信息、银行帐号以及无线上网帐号，或者发起DOS攻击。HuaWei的无线解决方案RFS6000内置的无线安全功能，全面解决了在复杂的无线环境中达到只有合法授权用户才能访问无线网.络的目的，防御无线DOS攻击，而且保证重要信息的不被泄露。 下面我们来详细分析无线网.络安全隐患以及解决的方法。1. 认证和加密HuaWei无线网.络的认证支持WPA、WPA2、MAC认证、Web认证、802.1x认证， 加密包括WEP、TKIP(WPA)、AES(WPA2)。WEP的加密方式由于很容易破解，不推荐使用；WPA TKIP的安全程度远高于WEP加密；而WPA2 AES是最高强度的加密

25、方式，密钥长度为256比特，加密安全级别和目前有线网.络的IP Sec的加密等级相同。对于WPA2 AES可以使用共享密钥（静态）的方式，也可以使用动态更新密钥的方式。 推荐对政府网.络进行最高强度的WPA2 AES加密，并且通过802.1X每隔一段时间动态下发密钥，这样即使有攻击者使用暴力入侵办法通过密码字典持续抓取无线网.络包来破解用户的密钥，由于密码更新的时间远远小于破解需要的时间，因此即使攻击者远远达不到破解出原来的密钥的需要的流量，因此网.络是安全的。对于802.1x来说，HuaWei无线网.络支持802.1X基于数字证书的EAP-TLS以及使用Token令牌的方式。EAP-TLS

26、(传输层安全) 提供为客户端和网.络提供基于证书及相互的验证。 它依赖客户断和服务器方面的证书进行验证，可用于动态生成基于用户和通话的密钥以保障 WLAN 客户端和接入点之间的通信。Token通过每个用户独立的PIN动态生成密码，也可以保证只有合法的用户才能接入网.络。2. RFS6000内置无线网.络安全：非法AP和非法客户端的检测和抑制 RFS6000提供全面的网.络安全特性，包括： MAC地址过滤 入侵检测和阻断 状态包检测防火墙 针对拒绝服务DOS以及其他无线网.络攻击进行防范保护，在发现有非法用户进行DOS攻击时可以自动将这些用户列入黑名单。 在非法设备检测和抑制：分为Rogue A

27、P和Rogue Client，即非法AP和非法客户端。Rogue AP的检测和阻断为了发现非法AP，分布于网.络各处的探测器能完成数据包的捕获和解析的功能，它们能迅速地发现所有无线设备的操作，并报告给RFS6000，这种方式称为RF扫描。某些AP能够发现相邻区域的AP，我们只要查看各AP的相邻AP。发现AP后，可以根据合法AP认证列表(ACL)判断该AP是否合法，如果列表中没有列出该新检测到的AP的相关参数，那么就是Rogue AP识别每个AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型以及信道。判断新检测到AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型或者信

28、道异常，就可以认为是非法AP。当RFS6000发现非法AP时，可以根据策略发送指令通过Sensor进行实时地阻断。Rogue Client的检测和阻断Rogue Client是一种试图非法进入WLAN或破坏正常无线通信的带有恶意的无线客户，其异常行为的特征主要有: 发送长持续时间(Duration)帧; 持续时间攻击; 探测“any SSID”设备; 非认证客户。如果客户发送长持续时间/ID的帧，其他的客户必须要等到指定的持续时间(Duration)后才能使用无线媒介，如果客户持续不断地发送这样的长持续时间帧，这样就会使其他用户不能使用无线媒介而一直处于等待状态。为了避免网.络冲突，无线节点在

29、一帧的指定时间内可以发送数据，根据802.11帧格式，在帧头的持续时间/ID域所指定的时间间隔内，为节点保留信道。网.络分配矢量(NAV)存储该时间间隔值，并跟踪每个节点。只有当该持续时间值变为O后，其他节点才可能拥有信道。这迫使其他节点在该持续时间内不能拥有信道。如果攻击者成功持续发送了长持续时间的数据包，其他节点就必须等待很长时间，不能接受服务，从而造成对其他节点的拒绝服务。当RFS6000发现非法客户端时，可以根据策略发送指令通过Sensor进行实时地阻断。4.10 容量规划1、并发用户数网.络在进行多终端接入设计时，建议按照每个AP的并发128个用户进行设计和计算AP数量，每个用户2M

30、带宽，建议并发用户数为超过128个。最大并发用户128个。2、吞吐量WLAN的数据业务吞吐量是容量设计的重要因素。在设计中应充分考虑各类数据业务特点和带宽的需求。单台吞吐量在2.4G和5.8G时各超过450M bps，可以满足多用户高带宽的应用、如接入多路高清摄像头。4.11 设备配置4.11.1.1 6.1无线控制器（AC）作用：集中管理无线局域网内的AP设备，对AP实现配置下发，无线用户认证接入，实现用户在不同AP区域范围的漫游，数据报文转发等功能。 主要性能指标： 业务端口描述：24个10/100/1000M电口， 2个10GE XFP光口。 交换容量：128Gbit/s 转发能力：12

31、8Gbit/s MAC地址表：支持16KMAC地址 ARP地址表：支持8KARP地址 无线用户接入能力：整机接入用户数为10K，单AP接入用户数最多为256个（取决于具体AP型号） 可管理AP的数量：支持最多管理1024个AP。4.11.1.2 6.2 POE交换机作用: 连接无线AP ,对无线AP远程供电，实现数据转发。主要性能指标： 业务端口描述：8个10/100/1000Base-T以太网端口，2个1000Base-X SFP端口。 交换容量：256Gbps 包转发率：19.5Mpps4.11.1.3 6.3 AP6010DN-AGN(室内放装型)作用：实现无线信号的覆盖，为无线网.络设备提供接入，在写字楼室内使用。主要性能指标： 业务端口：1000M以太网口(可扩展光传输) 供电：POE支持802.af/802.3at兼容供电 天线：内置4*4硬件智能天线系统（基础增益4dBi） 工作频段：802.11b/g/n:2.4GHz-2.4