企业无线网络设计方案.docx

1、企业无线网络设计方案企业无线网络设计方案XX科技股份有限公司2020年7月1、网络结构详细设计1.1、设计概要一、设计原则XX煤业无线网络建设方案设计，充分考虑现有需求及业务发展趋势，选用合适的技术、产品，无线网络整体设计和建设遵循如下原则： 层次化结构：核心层、汇聚层、接入层，扁平化组网，简化网络拓扑。高可靠性设计：核心节点全部冗余部署，所有设备关键部件全冗余，整网99.999%的可靠性。虚拟化设计：横向虚拟化增强可靠性、优化流量；纵向虚拟化做到各个模块网虚拟成一台交换机，运维极简。安全资源中心设计：资源中心区域配置安全资源中心，对整个网络的安全资源实行动态资源分配。二、主要设计思路安全性和

2、方便性很多时候都是相互矛盾的，考虑到厂区的生产网、办公网络之间存在（或者可能后期会有）相互的数据访问需求，但基于安全考虑，核心区很有必要先将两台核心交换机采用横向多虚一技术，将两台物理核心交换机虚拟成一台逻辑交换机。互联网出口前端的两台防火墙，基于高可用性安全性等因素考虑，将物理上的两台防火墙设置为双活防火墙。整网框架，简单描述如下：一、无生成树的高可靠网络：横向虚拟化技术加纵向虚拟化技术，配合跨机柜的链路聚合技术，保障了网络的高可用性。二、通过园区骨干交换机进行统一互联互通，做到流量清晰，隔离、互访灵活、易扩展，清晰运维。三、安全资源中心设计：资源中心区域配置安全资源中心，对整个网络的安全资

3、源实行动态资源分配。1.2、硬件设备配置序号设备型号参数单位数量1室外AP（含立杆、支架或支臂套件）AP8130DN台2室内AP（含配件及固定套件）AP4050DN台324口接入交换机S5700-36C-PWR-EI-AC台4无线控制器AC6605，配置AP管理授权1024个；台5Agile Controller准入套6上网行为管理ASG2260台7UMA堡垒机台8S12708核心交换机台924口交换机S5720-24C-EI-AC台10eSight网管系统套11S7706交换机台1.3、核心区域设计一、核心区域拓扑图二、核心区域简述1、结构描述核心区域（园区核心）由两台华为S12708交换机

4、组成，在新联建中心机房部署2台新购高性能核心交换机，实现物理设备冗余备份的同时，采用横向多虚一技术，将两台华为S12708虚拟成一台逻辑交换机。核心区域和其它各区域之间运行三层动态OSPF路由。核心区域主要功能是实现数据可靠地快速交换；2、角色功能园区核心交换机，作为整个网络的中心，物理上通过万兆光纤链路连接各个子网络系统，承载着各子网络系统间数据快速交换作用。1.4、无线网设计1.4.1、接入现状随着XX煤业网络信息化的普及，不论生产、业务或管理职能部门越来越要求尽可能方便、快速、移动式的使用网络，更多的网络接入应用场景需要无线按网络进行接入。因此，如何能够使得在很多有线网络无法延伸到的场合

5、，比如办公区、会议室、车间现场、物流仓库、厂区室外出入库等场所，也同样能够访问网络，最大程序延伸网络半径，真正让网络渗透到的每个角落，这对于工业园区的网络管理者和建设者来说，是急需思考与解决的问题。目前XX煤业并未部署无线网络，不能良好的适应目前移动终端和移动应用的发展,同时需要解决以下问题：1、无线接入端安全管控薄弱，存在较大的安全风险。2、未来无线网络上提供VoIP、视频监控、视频等增值服务需要更强大的带宽。3、移动端设备越来越多接入无线网络、这就对无线接入端的接入并发量提出挑战。1.4.2、无线接入设计原则针对XX煤业无线网络设计原则如下:1、无线网络覆盖采用2.4G+5G双频率形式。2

6、、采用瘦AP+AC的方式进行部署，根据不同的场景采用不同的类型的AP进行覆盖。3、一套无线系统，覆盖厂区办公场所、员工生产住宿区，室外场所主要覆盖体育场等移动人群主要活动区域，根据无线网络覆盖需求做到全厂区重点区域的无线网络覆盖。4、信号覆盖范围和强度:室内区域无线信号覆盖强度-70dBm；室外区域无线信号覆盖强度-75dBm。5、用户容量和传输性能需求:AP接入并发数量根据部署地点有所区分，会议室、礼堂、食堂及园区等人员可能存在高密度集中接入的区域我们设计的无线接入用户数至少200，露天体育场接入用户1500人，其他厂区、办公区至少用户接入能力至少50；在办公场所、员工宿舍区域用户接入传输率

7、500kbps。6、运维和管控平台：全网AP的自动配置下发、射频管理、信道分配等统一的管理和安全接入控制，让维护人员可以轻松管理全厂新建无线网络。7、在一个大厅里只安装一个AP，则尽量把AP安放在大厅的中央位置，而且最好是放置于大厅天花板上；如果同一空间安装两个AP，则可以放在两个对角上。8、保持信号穿过墙壁和天花板的数量最小。WLAN信号能够穿透墙壁和天花板，然而，信号的穿透损耗较大。应放置AP与计算机于合适的位置，使墙壁和天花板阻碍信号的路径最短，损耗最小。9、考虑AP和覆盖区域之间直线连接。注意AP的放置位置，要尽量使信号能够垂直的穿过墙壁或天花板。10、室外网桥长距离数据回传，要避免站

8、点周围有高大建筑或山体，保证网桥两端信号的视距可达。11、AP天线方向可调，安装AP的位置应确保天线主波束方向正对覆盖目标区域，保证良好的覆盖效果。12、AP安装位置需远离电子设备，避免覆盖区域内放置微波炉、无线摄像头、无绳电话等电子设备。1.4.3、无线规划原则在2.4GHz和5GHz中，要求最小信号强度为-65dBm，最小SNR（信噪比）为35，最大信道重叠为20%。AP的电源功率要小于国家最大功率的50%。测试时需考虑到介质的干扰，如混凝土墙、实体墙等。接入无线网络的信号强度将AP就近放置在需要无线覆盖的区域，AP根据环境情况采用吸顶式或放装型安装，尽量避开干扰，尤其是同频段的射频干扰。

9、由于双绞线的传输距离有限，一般不超过100米，因此在网络规划时结合楼层平面图，将每层楼分为多个区域，将某些特定区域做多重覆盖来增强接入能力。穿透损耗不论使用室内型AP还是室外型AP，覆盖范围会因为建筑物结构特点而显现出明显的信号衰减特征，造成信号盲区。2.4GHz微波对各种材质的穿透损耗的实测经验值：8mm木板：11.8dB38mm木板：1.53dB40mm木门：23dB12mm玻璃：23dB250mm水泥墙：2030dB砖墙：1015dB楼层阻挡：2030dB电梯阻挡：2040dB室内路径损耗室内环境路径损耗计算公式:其中，L：路径损耗（dB）；f：工作频率（MHz）；D：衰减因子；d：距离

10、（m）；p：穿透因子。在室内半开放环境下，相同楼层的传播模型简化为：2.4GHz频段：（衰减因子=2.5；穿透因子=6）5GHz频段：（衰减因子=3；穿透因子=6）所以，室内半开放环境下路径损耗随距离取值如下表:距离 1m2m5m10m15m20m40m80m100m2.4G 50dB57.5dB 67.5dB75dB79.4dB82.5dB90.1dB97.6dB100dB5.8G 57dB66dB78dB 87dB92.3dB96dB105.1dB114.1dB117dB室外路径损耗室外开放环境路径损耗计算公式:其中，L：路径损耗（dB）；f：工作频率（MHz）；d：距离（Km）。所以，室

11、外开放环境路径损耗随距离取值如下表:距离 50m100m200m300m500m800m1000m2.4G 76.4dB84.2dB 92dB96.6dB102.4dB107.7dB110.2dB5.8G 84dB91.9dB99.7dB104.2dB 110dB115.4dB117.9dB链路预算链路预算公式：其中，RSSI：场强(dBm)；P：发射功率(dBm)；Tx：发射天线增益(dB)；Rx：接收天线增益(dB)；L：路径损耗(dB)；S：穿透损耗(dB)。链路预算只作为理论参考，在实际网络建设中，应结合建筑物类型、现场无线环境和模拟测试情况做出适当的调整。1.4.4、无线网络频率信道

12、规划本项目建设中，我们建议XX煤业的新建无线网络AP同时工作在2.4GHz和5.8GHz频段发射SSID信号。其中2.4GHz具有3个不重叠的信道，针对5.8GHz具有5个不重叠信道，但由于网络接入用户具有一定的不确定性，故网络覆盖时所需要的WLAN网络空间都要进行2.4GHz与5.8GHz的频率覆盖，从网络规划的角度出发，主要考虑2.4GHz与5.8GHz二个频段覆盖设计，对于2.4GHz频段主要采用1、6、11三个信道交错使用，对于5.8GHz频段主要采用149、153、157、161、165五个信道交错使用。由于WLAN 2.4GHz频段不冲突的可用信道是有限的，如果相邻AP间工作的信道

13、冲突，那么会造成AP间的信道干扰，用户的接入体验会大大降低。进行数据配置前要做好AP的信道规划，在条件允许的情况下，建议手工分配AP的信道，不建议用AP的自动调优功能。如果附近有友商的AP设备正好与我们规划的信道冲突，则需要排查协商修改到合适的信道值。无线信道网规需采取空间交错分配信道，增加网络容量。相邻AP之间信道要交错排，例如2.4G频段采用1、6、11、1、6、11信道固定顺序交错排布。允许部署5G频段情况下，优选5G频段，5G频段HT20模式非重叠信道有149、153、157、161、165。1.4.5、无线网络仿真图1.4.5.1、1号员工寝室仿真图场景：酒店/宿舍系统规划图2.4G

14、&5G仿真图1) 场强规划仿真图（信号强度，越大越好）2) 信干噪比仿真图（信号与噪声干扰比例，越小越好）1.4.5.2、高层公寓仿真图场景：酒店/宿舍系统规划图2.4G&5G仿真图1) 场强规划仿真图（信号强度，越大越好）2) 信干噪比仿真图（信号与噪声干扰比例，越小越好）1.4.5.3、办公楼仿真图场景：办公系统规划图2.4G&5G仿真图1) 场强规划仿真图（信号强度，越大越好）2) 信干噪比仿真图（信号与噪声干扰比例，越小越好）1.4.6、无线网络安全性边界防御安全：802.11网络很容易受到各种网络威胁的影响，如XX的AP用户、Ad-hoc网络、拒绝服务型攻击等。无线干扰检测系统WID

15、S（Wireless Intrusion Detection System）可以检测非法的用户或AP；无线干扰防御系统WIPS（Wireless Intrusion Prevention System）可以保护企业网络和用户不被无线网络上XX的设备访问。用户接入安全：用户接入无线网络的合法性和安全性，包括：链路认证，用户接入认证和数据加密。业务安全：保证用户的业务数据在传输过程中的安全性，避免合法用户的业务数据在传输过程中被非法捕获。WLAN技术具有安装便捷、使用灵活、经济节约、易于扩展等优点。但是WLAN技术是以无线射频信号作为业务数据的传输介质，这种开放的信道使攻击者很容易对无线信道中传输

16、的业务数据进行窃听和篡改。因此，安全性成为阻碍WLAN技术发展的最重要因素。为了保障无线用户的安全性，WLAN安全可以提供：检查和防御非法用户入侵的机制WIDS/WIPS。针对无线用户的安全策略机制，包括链路认证，用户接入认证和数据加密。基于用户业务的安全机制。设备支持对三种非法设备进行反制：非法APAC确定非法AP后，将非法AP告知监测AP。监测AP以非法AP的身份发送广播解除认证Deauthentication帧，这样，接入非法AP的STA收到解除认证帧后，就会断开与非法AP的连接。通过这种反制机制，可以阻止STA与非法AP的连接。非法STAAC确定非法STA后，将非法STA告知监测AP。

17、监测AP以非法STA的身份发送单播解除认证Deauthentication帧，这样，非法STA接入的AP在接收到解除认证帧后，就会断开与非法STA的连接。通过这种反制机制，可以阻止AP与非法STA的连接。Ad hoc设备AC确定Ad hoc设备后，将Ad hoc设备告知监测AP。监测AP以Ad hoc设备的身份（使用该设备的BSSID、MAC地址）发送单播解除认证Deauthentication帧，这样，接入Ad hoc网络的STA收到解除认证帧后，就会断开与Ad hoc设备的连接。通过这种反制机制，可以阻止STA与Ad hoc设备的连接。为了防止非法设备的入侵，可以在需要保护的网络空间中部署

18、监测AP，通过无线干扰检测系统WIDS（Wireless Intrusion Detection System），监测AP可以定期对无线信号进行探测，这样，AC就可以了解到无线网络中设备的情况，进而对非法设备采取相应的防范措施。配置非法设备检测功能之前，需要先设置AP的工作模式。AP射频的工作模式有两种：normal：正常模式。如果系统未开启空口扫描功能，该射频用于传输普通的WLAN业务数据。如果系统开启了空口扫描功能，则该射频除了传输普通的WLAN业务数据，还具备了监控功能，可能会对传输普通的WLAN业务数据造成一定的影响。monitor：监控模式，只具备监控功能，不能用于普通的WLAN业务

19、，只能用于具有监控功能的WLAN业务，如WIDS、频谱分析和终端定位等。1.4.7、AP点位安装规划楼栋楼层AP型号类型数量1号员工寝室5层AP4050DN室内1号员工寝室4层AP4050DN室内1号员工寝室3层AP4050DN室内1号员工寝室2层AP4050DN室内1号员工寝室1层AP4050DN室内2号员工寝室5层AP4050DN室内2号员工寝室4层AP4050DN室内2号员工寝室3层AP4050DN室内2号员工寝室2层AP4050DN室内2号员工寝室1层AP4050DN室内3号员工寝室5层AP4050DN室内3号员工寝室4层AP4050DN室内3号员工寝室3层AP4050DN室内3号员工

20、寝室2层AP4050DN室内3号员工寝室1层AP4050DN室内4号员工寝室5层AP4050DN室内4号员工寝室4层AP4050DN室内4号员工寝室3层AP4050DN室内4号员工寝室2层AP4050DN室内4号员工寝室1层AP4050DN室内5号员工寝室5层AP4050DN室内5号员工寝室4层AP4050DN室内5号员工寝室3层AP4050DN室内5号员工寝室2层AP4050DN室内5号员工寝室1层AP4050DN室内6号员工寝室5层AP4050DN室内6号员工寝室4层AP4050DN室内6号员工寝室3层AP4050DN室内6号员工寝室2层AP4050DN室内6号员工寝室1层AP4050DN

21、室内公寓18层AP4050DN室内公寓17层AP4050DN室内公寓16层AP4050DN室内公寓15层AP4050DN室内公寓14层AP4050DN室内公寓13层AP4050DN室内公寓12层AP4050DN室内公寓11层AP4050DN室内公寓10层AP4050DN室内公寓9层AP4050DN室内公寓8层AP4050DN室内公寓7层AP4050DN室内公寓6层AP4050DN室内公寓5层AP4050DN室内公寓4层AP4050DN室内公寓3层AP4050DN室内公寓2层AP4050DN室内公寓1层AP4050DN室内1.5、互联网接入区设计一、互联网接入区拓扑结构二、互联网接入简述1、结构

22、描述在中心机房、汇聚机房分别部署2台新购的具有IPS-AV-URL功能的防火墙，通过上网行为管理设备连接园区核心交换机，构建访问控制、入侵防御等多重安全防护屏障。2、角色功能互联网接入网络，建议连接多家运营商的互联网链路，实现整个厂区的互联网上网需求，同时可以实现互联网出口的备份机制。1.6、不良言论审计和安全管理设计1、结构描述在园区的每台核心交换机上，规划出20个端口做为整个网络的安全管理域，网关就设置在园区核心交换机上。包括的主要组件有：准许控制系统（Agile Controller）、运维管理与审计系统、网络管理系统（eSight）和不良言论审计系统（ASG上网行为管理）等。2、角色与

23、功能安全管理域是整个网络的安全管理中心，加上各个安全边界防火墙和交换上的安全功能配合，实现整个网络的信息安全管理与控制，监控网络流量和用户实时数据行为，分析和发现网络中的不良言论并进行告警和阻断。2、信息安全设计与实现2.1、信息安全建设思路概述一、多区域多安全边界设计无线网线建设整个网络合理地分成多个安全区域，针对每个区域的安全需求，做了合理的安全边界规划设计，同时体现了突出重点防护重点的建设思路：互联网入口处，部署了两台带IPS和病毒防护的防火墙，做为XX煤业和互联网之间的第一道安全屏障。二、多梯度多层次安全防护1、数据传输路径上，跨区域访问需要经过多台防火墙；2、应用层级上，通过部署带I

24、PS和病毒防护功能的防火墙，实现了从网络层到应用层的多层级防护；三、多安全组件功能相互联动相互完善补充1、安全边界防火墙，从资源端精确到主机IP加应用层端口级，而办公随行功能可以精确到5W1H级的用户端的访问者的控制。2、准许控制系统（Agile Controller）联动，给移动办公人员提供精准贴身的认证授权资源访问。3、运维管理与审计系统，为信息化的管理提供了安全可控的保障。4、网络管理系统（eSight），使网络运行状况清晰可见，故障定位和排除方便而快速。2.2、准入控制及业务随行设计2.2.1、概述为解决员工随时随地接入网络的需求，且必须保障网络安全的情况下，所以选择华为的Agile

25、Controller（Campus版本）准入控制系统。Agile Controller可以实现控制企业员工与访客终端对网络的访问，实施统一的接入管理策略。灵活的认证与授权策略，满足企业的各种业务控制需求。全生命周期的访客管理，所见即所得的图形化页面定制，以及社交媒体认证，简化企业有线接入和WiFi接入服务。提供全生命周期的访客管理，实现访客账号申请、审批、分发、认证、审计与注销等统一管理，同时支持图形化Portal定制能力，可与社交媒体联动认证，帮助企业进行广告营销。业务随行组件基于安全组的策略矩阵与VIP体验保障，通过自然语言完成全网策略统一规划与部署，让网络资源跟随人移动，保障策略一致，体

26、验一致。创新的敏捷特性，配合华为敏捷交换机、NGFW防火墙与SVN网关，提供全新的二维矩阵的策略编排方式，实现基于安全组的权限、应用、带宽、QoS、安全策略统一规划与自动部署，确保全网策略一致，让用户自由移动时享受一致的业务体验。业务编排组件将原来物理设备的能力，抽象成虚拟服务概念，对用户屏蔽具体的物理形态和位置，针对具体的业务，引流至这些业务的需要处理的服务结点。创新的敏捷特性，将物理安全设备资源池化，屏蔽具体的物理形态和位置，形成“安全资源中心”，基于业务需要将流量引至安全资源中心检测处理，提升物理资源利用率，节省企业建网成本。传统访问控制通过ACL或VLAN实现，无法与IP地址解耦。IP

27、地址变化时需到多个设备变更配置，维护工作量大。传统QoS策略根据IP地址控制，部署在出口防火墙。但在用户IP地址不固定的情况无法通过IP地址确定对应的用户，即无法基于用户实施QoS策略。业务随行根据用户接入的5W1H条件确定访问权限和QoS策略。5W1H即为六和分析法，主要针对What,Where,When,Who,Why,How六种维度来对用户的行文进行匹配策略和审计。2.2.2、原理Agile Controller-Campus版本（简称为AC-Campus）系统管理员全网部署访问控制策略（组间策略）和QoS策略，策略涉及的安全组一并部署到设备。交换机可以接收访问控制策略（交换机转换为AC

28、L），防火墙可以接收访问控制策略（防火墙转换为安全策略）和QoS策略。当接入无线网络的用户发起认证，作为认证控制点的交换机接收到认证请求后转发到AC-Campus，认证成功后根据5W1H给用户授权安全组，并将用户与安全组关联关系返回交换机。用户发起业务访问当业务访问数据流到达交换机时，执行组间访问控制策略，根据用户所属安全组确定能访问的业务资源。当业务访问数据流到达防火墙时，由于用户未在防火墙认证上线，防火墙没有用户所属安全组信息。防火墙将用户IP地址发到AC-Campus，如果用户IP地址在AC-Campus所配置的“内网网段”范围，则根据用户认证信息查询该IP地址对应的安全组，并将用户与安

29、全组关联信息返回防火墙。执行访问控制策略（防火墙转换为安全策略）和QoS策略。根据用户所属安全组确定能访问的业务资源和QoS优先级2.2.3、组网架构具体组网如上图所示，由终端、接入网络、控制器（AC-Campus）组成。终端：负责向用户提供人机接口，对用户进行认证和资源访问控制；包括有线终端、无线终端、哑终端等，根据终端类型的不同采用不同的认证方式，具本详见网络准入控制及安全策略设计章节。接入设备：对终端进行认证和权限控制；有防火墙、交换机等设备。控制器AC-Campus：用户策略的创建与下发，以及对用户进行认证。当网络中有用户需要接入到现网中，用户需要输入账号密码等认证信息送给radius客户端也就是接入控制设备（交换机）；再由客户端将认证信息送往radius服务器端（Agile Controller）；服务器端将是否通过认证的报文发往接入控制设备；如果认证失败，则拒