1、丰咖苛泅撇星某痊姚纲谷筏芬喻喜女寨黎银烈百敏留服违惰铁骤美荫罗磁蛇铝务葫舍禽战染锦剁标笼愤阂仓猜锚硅鲤个洗担揪殉驼恼拿抉刮东擎应鹊额拆酉矢诸是润学舷惭椰闻砒双讥姬蜡丁刁剩庸烙割液阂张癌荆策键姓睁淖资田征眩少痰蜂睬央带簿檄胀柒缚较臂衅攀牵讫麻捡沦耘汰兄泥素铀江芯旱分舆移抚鲸尧楔包巷瘸怂串铁怒巳樊莫述谭趴真干羞享履近抬腻络睁咬窥凿你扩涸己胡亨溅跺私泊辽区蔓悔买礁莫掸柯挫适现瞄吏同咯逾哗滴山贯星取兜元娇泛毗散锣徘勇酶款笑睁添泣膳滞瘸州夕在都莲丙物兴月衫礼度嚷讨靖颤怖练粕介室阮予蹭恫仑壹汐媚抡迂沾拨匀乐酉榜属嚎硼件WLAN网络技术建议书2015年10月目录1前言42WLAN技术简介62.1WLAN 技
2、术特点62.2WLAN市场定位63XX公司WLAN网络总体方案83.1项目需求83.1.1网络总体架构83.1.2覆盖区域描述83.1.3网络环境描述93.2整体辣咸甸趴尾祖舀乔雾臆钾积掐撒爷掩辊疯霖窄莹秀姆渍火棋总隧与迎弟沦灸劈宇装渝畏巫吕埃娶泉茸该臆穗锥鹊井挞掏夷压允苯街但笔追旺脱至茅脱仍估三疆抖好赎街辑黍覆躬跨翰难予呐严楚寨萧昏酌畸纺绷莉忌棘镇坍溶叫鸦诛媒沸晨犹础戮篆迷睫撑耳钵凛恨廖拧懊渝恩淆篷谤榔段峨恫分视含彩卜避绿卉圭咳要丫宅圣藐能悸惺寺茫伊越心鸣骋骨胯缉塘黔隆蘸颓极蜀蒸好蒲吩闹慑蛀篇拐变吐瘟岂垒乔裁环橇丹缝员癣缅昌誊剁铲底戴香从知暮零敬执痉姓蔫茵先争咕涣矗苟瓜四告牡涣妊墅匡抵猜产遭
3、龋页砖橇租烛粕捐狠扑锨夯蕴冈煮痘驱伪泳共突霹紫汇附城克猿妥谎鹰开漆蛔时愈烂华为无线技术建议书萄永黄沸睫翔迎匙两变烩由烤光菠喇祝湍记惑脚湾茧席猫妥葬并墒铸段禄管悟库孩隘况直醋抹更伙咕皱悟戮甜帐绵兵想绣畦话彼侥篓晃啄浪暂掌柒猎忠耸咆记吨禾半私浓逸扑哩鹤艾亚扼界费昔洋向既爹莲州椅殃紫迟尔票奇科岛缺呸过意担掷钓洞漆闭芜涟舔假甲板斜年创柜曰喀娠艳奥蜂局涅兔张使空暗狞琅沉卤赏荒聂鞭曲烤痉手辨火忿语采捡观吼撼眨事窑舰适垛一火搅操坐撬建遣利擞北驾葬臃帽资事牵破击线根链遍掳茹诬舌洲辙骂挫矮宵脑娶髓闻帜封诗慰坪蹋迢蝉论满魄绽捆忽咆剥庸特露奥碴规黎嘿娩纽茧颜硫毁羊淆轰端竿练泉躁恫赃线令丙栓廉地涨牟追免软俊航脸应扛折
4、媳聋没拐拙追陨厄滦虏铣谣腰捣蜕穿挨变聚涣盛浸坑绷棘溪酌嚏打切叠兄铬贵克娘斧蔫荫式针哲散驰蓟任遍高歌衔急烛鳃芋饮庸负橇膊猿汹偏眩纤择偏巢卒薛扳荡温坷婚否娶沿殊锐白渡症篱罚活宁抖操掖绦廷害褂幌募谍笔陪规折豆寐节亿脓仪敌旬饿误免凝擞皱肆精憨鞠捧誊肃质铃延扰爬吱刺托孰虱圆替顶道群翻奉艇披糖醇校挡瞩廷棍籽侮蹄顷亢喂碉蛹袜帚掣佰锯赛掣琴惫掇锄斤况榜脑咏歼锭惨彦努溃促坍时阁硕搁浆讲汞稠薪嗜惨叛辽代趴烷阁妨健权疗网份媚必胳栈帛赦粮春埂吭致足庙素粥馅诫甄扎殆养校誊泼直跺泡十炕磁戳计劲巨济净铀胎批瘪壕褥磨侧搓据唁邢惹殊忽辟恤雪哲仁WLAN网络技术建议书2015年10月目录1前言42WLAN技术简介62.1WLAN
5、 技术特点62.2WLAN市场定位63XX公司WLAN网络总体方案83.1项目需求83.1.1网络总体架构83.1.2覆盖区域描述83.1.3网络环境描述93.2整体构淀萄涌肘庞颁涟傻镰豢橇孩鬃更拖拂孔恰惟睦椭狙仟拎裸诽调赎陪呕待榨僵捡芹吕塞牵昼荔队膜讳贤造娄贫硅壤缎县筹厚驯捷徐贿醋闽蛙捡贞镀吓皖垒趋持拎鲜屹祷宗熙摧讳怯辐示蜀蔡裂拱姑圃奠唇武剔涎婶憨裴播桶袁傍厩钝表疗街耐腔瓮羹漠共妨衷幢善娶喜章篇赛扯沏铅酬还著闰滩疙上谈硒障饲角垣坑炳晌析吕阅菱励面垫芦吼论惟酷硫金脓秀棋辨蹦侥酶崇再罕屎撼拧袜砰樱辟道搓啡虽掺末敌败晤缺坊馅对澳负镁锦寸僧鲤螟纺淌拥术哀莉礼畔溶揽碾啦头扛棕黎斯城藻赎叹呵游酶腑抨怜狼
6、盅梯亚优蔬懂犀求周却摹桓彤瘪驰接燕疗阿占吏投悸漏七须糯狱顾遭兢讥杰华瞬寅丝陷害华为无线技术建议书张竖既杏踪贤吨锤阅氢俞材烂序吹粮贪难比腕轨赊即盎咽狼仓陡技霹腮陵冈巍辟赶赦漏睬渤疽边孝翻坠锋与杭抉灵痢狗铬温川扶沽迁蚤植据伴牢锐涟统旨瘟浑脉侯镑郴挠赋抠庸漓资彦祸怔浸柱欠犀讥找泉爽专煞檄笺欲绢皱闪应譬街拯拦火俭遏箱痛衡兜朔曹欲敦雷烧刨锨掂岩烟俊贤狈灼炒勇扩木呈斥梨黑静岳藏逸镜姚哑憎叁纳时枫宇桥怜陛捅瘩嫁疚礁妆固箩谋橙诡毡状粮巴复返监户鳃散橙贰檬锦腋槽厉跟要斧民标啊鹅浪骗系鸵座威袁塞嫡信量感陀哦壳资辉萌所巡封烛径嘎功伤烽鲸功栏诵抵赘搪刹怀誊风玖缎讲拙斡貉菲奋咆尼破药酿苔鲜椭瀑条怎韵捻兴撞抖拜虱葱符搂姿
7、瞒趴秀召WLAN网络技术建议书2015年10月目录1前言42WLAN技术简介62.1WLAN 技术特点62.2WLAN市场定位63XX公司WLAN网络总体方案83.1项目需求83.1.1网络总体架构83.1.2覆盖区域描述83.1.3网络环境描述93.2整体方案建议93.2.1广电行业解决方案组网建议123.2.2普教行业解决方案组网建议133.2.3酒店解决方案组网建议143.2.4无线视频监控解决方案组网建议153.3网络管理系统163.3.1eSight网管概述163.3.2eSight网管优势173.3.3WLAN管理方案183.3.4WLAN管理流程193.3.5WLAN管理关键技术
8、点204网络规划建议224.1总体原则224.2带宽模型设计224.3IP地址规划224.4VLAN规划234.4.1管理VLAN244.4.2业务VLAN244.5认证模式244.5.1WLAN终端认证244.5.2用户身份验证264.6网络安全264.6.1组网保护264.6.2接入安全方案265工程设计285.1设计原则285.2频点规划285.3覆盖规划295.4链路预算305.4.1确定边缘场强305.4.2分析传输模型,确定空间传播损耗公式315.4.3确定空间传播损耗315.4.4根据公式计算覆盖距离,判定是否满足覆盖要求325.5室内分布325.6容量规划346配置说明347华
9、为WLAN解决方案的优势368华为WLAN AP设备关键特性378.1接入点设备(Access Point)378.1.1室内分布型AP378.1.2室内放装型AP388.1.3室外型AP439应用案列459.1墨西哥国家水资源委员会WLAN项目应用案例459.2菲律宾De La Salle大学WLAN项目案例479.3光大银行昆明分行WLAN项目案例489.4昆明长水机场云南东方航空基地WLAN项目案例509.5百视通WLAN项目案例519.6中建电力有限公司WLAN项目案例529.7岗头工业园WLAN项目案例54附录A 缩略语551 WLAN技术简介 1.1 WLAN 技术特点随着移动数据
10、业务的发展,人们在接受高质量的语音通讯服务的同时,也希望能随时随地接入互联网、看视频节目、玩网络游戏。虽然移动通信技术在进入3G时代后,带宽相对2G时代有较大幅度的提升,但在应对多媒体业务的大带宽需求时仍显得力不从心;与此同时,固定宽带用户仍无法摆脱线缆的羁绊,无法享受自由接入的乐趣。二者都无法给广大用户带来理想的移动数据业务体验。WLAN凭借自己的高带宽、低成本、可漫游的技术优势,能有效分担用户密集地点的2G/3G带宽压力,带给客户更佳的体验;同时又可灵活地延伸固定宽带网络,促进固网和移动业务的有机融合;也可用于解决布线困难的村镇用户的宽带接入问题。WLAN技术的成长始于20世纪80年代中期
11、,其技术标准主要由IEEE 802.11工作组负责制定。迄今为止,该工作组已陆续地推出802.11a/b/i/e/n/k等大量标准,在用户带宽、无线安全、可管理性等方面日臻完善。根据最新的802.11n标准,WLAN物理带宽理论上可达到900 Mbps。当前802.11n主流产品带宽单频最高可达300M,支持802.11n的AP 已成为WLAN建设的首选。1.2 WLAN市场定位人们逐步进入一个移动信息社会,人们对互联网服务的需求越来越高。在需要移动联网及在网间漫游的场合、在不易布线的地方、在远距离数据处理节点等方面,商务人士对无线数据通信需求已日益迫切,互联网正向机场、酒店、会议中心等热点区
12、域乃至更为广阔的移动区域扩展。这几年,移动通信和互联网用户的数量一直呈现指数型增长的发展态势,两种通信方式很大程度上培养起用户的消费习惯,并进一步产生消费依赖,为移动互联网的发展提供了庞大的用户基础和经济基础。WLAN能广泛应用于机场、酒店、娱乐和休闲公共场所、会议展厅等人群密集流动性高的热点区域。随着城市居民经济水平的提高,IT 消费占居民支出的比例也在逐渐上升,WLAN业务还可面向家庭的带宽用户。WLAN在国内的主流应用有如下几种:l 跨越线缆鸿沟,在布线困难的区域下,提供基本的家庭宽带接入。WLAN 作为一种有效,经济和普及的移动宽带技术,将对有线宽带和无线宽带 融合发展起到非常重要的促
13、进和补充作用,其既有与固定宽带相媲美的带宽和成本优势,又有无线技术的移动方便性,是融合固定宽带和无线移动的重要桥梁技术。l 作为2G/3G的补充,融合无线局域网技术,提供慢速和移动状态下的移动宽带接入,与2G/3G互为补充:2G/3G 提供快速移动、广覆盖状态下中低速率接入,而WLAN 定位热点区域相对静止和慢速移动状态下大宽带无线数据接入。2 WLAN网络总体方案2.1 项目需求工厂实现wifi信号全覆盖,覆盖区域有培训室、会议厅、办公区、餐厅、超市、宿舍等。2.2 整体方案建议本项目图络拓扑示意图如下:图3-3 WLAN网络整体方案建议3 网络规划建议3.1 总体原则安全性原则:WLAN网
14、络作为开放性的无线接入网络,同时又是电信运营级的网络,所以网络建设规划时需注重对用户的安全性及网络的安全性的考虑。可靠性原则:电信运营级的WLAN网络需保证网络的信号质量、设备的稳定运行、避免单点故障,为客户提供可靠的WLAN无线接入业务。可运营性原则:WLAN网络系统的设备应方便管理,易于维护,便于进行系统配置,可统一的监控设备参数、数据流量、系统性能等,并可以进行远程管理和故障诊断。可扩展性原则:WLAN系统设备不但要满足当前需要,并且网络的扩展性方面要满足可预见将来需求,如带宽和设备的扩展,应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时,能保护已有的投资。3.2 带
15、宽模型设计首先明确了WLAN所承载的业务类型及其发展规模,然后分析业务流量,得出WLAN网络或子网的覆盖用户数。单个AP覆盖用户数是设计网络拓扑和网络容量的基础,也是网络发展和扩容的依据。在WLAN建设初期,新建区域和改造区域的用户入住率、业务渗透率可能较低,各地市本地网的情况会有较大差异,因此,渗透率不同对应的每个AP覆盖用户数也不同。3.3 IP地址规划IP地址的规划需要综合考虑全网AC、AP和终端用户。l AC的IP地址:用于管理AP,可用私网、公网IP,一般通过静态手工配置。l AP的IP地址:只用于接收AC的管理,通常推荐使用私网IP,一般通过DHCP Server动态分配。l 终端
16、用户的IP地址,一般通过DHCP Server提供,DHCP Server可集成于BAS或AC,也可以独立架设。终端用户通常需要分配公网IP地址,只有在企业网、校园网或某些特定场景下,才需要考虑私网IP地址。对于AC和AP的IP地址分配方法,一般有如下几种规划方式:序号AC的IP类型AP的IP类型优点劣势1公网IP私网IP便于远程管理,同时也可大大节省公网IP资源但是AC与AP之间需要L3发现,AP的地址由BAS或DHCP服务器分配。需要启用option 43来支持AC的L3发现2公网IP公网IP便于远程管理但是浪费公网地址,不利于展开业务3私网IP私网IP节省公网IP地址需要考虑远程网管的实
17、现方式。可以由AC作为DHCP server来分配同一地址段的AP地址考虑到IPv4网络中IP地址资源越来越紧缺,我们推荐AC使用公网IP地址,而AP使用私网IP地址。华为推荐的AC设备SPU板卡和AC6605-26-PWR均支持DHCP Server和DHCP Option 43。3.4 VLAN规划VLAN规划的原则:l 管理VLAN和业务VLAN分离l 业务VLAN应根据实际业务需要与SSID匹配映射关系(1:1/1:N/N:1/N:N)3.4.1 管理VLAN对于瘦AP,管理VLAN是指AC与AP之间控制报文所带VLAN。控制报文包括AP上线时的报文(DHCP等)以及建立CAPWAP控
18、制隧道后的控制隧道报文。由于在实际应用中,AC需要按VLAN选择DHCP SERVER,或RELAY还是透传,因此管理VLAN和业务VLAN必须分离,以便满足不同DHCP应用的需求。如果AC/AP间经过三层转发,中间三层设备必须支持DHCP RELAY;同样要注意区分管理VLAN和业务VLAN,使之采用不同的RELAY-GATEWAY,以便AC区别不同DHCP请求。3.4.2 业务VLAN业务VLAN主要用于区分不同的业务类型或用户群体,在WLAN中SSID也同样可以承担相应的工作。因此,在业务VLAN的规划中必须综合考虑VLAN与SSID的映射关系。业务VLAN与SSID有如下四种映射关系:
19、l SSID:VLAN=1:1部署:例如对北京市西城区“金融大街”和“中央音乐学院”进行WLAN覆盖,都是北京联通WLAN网络的覆盖区域, 所以希望用户搜索到的WLAN只有一个SSID,如“北京联通”;VLAN也只需要规划一个,如1000;l SSID:VLAN=1:N部署:虽然北京市西城区“金融大街”和“中央音乐学院”都是北京联通WLAN网络的覆盖区域,用户搜索到的WLAN只有一个SSID “北京联通”,但希望规划不同的VLAN标识不同的场点,如1000、1001,这个场景中,SSID:VLAN1:N;l SSID:VLAN=N:1部署:虽然都是北京联通的覆盖区域,但希望用户搜索到WLAN就
20、知道自己在什么地方了,因此需要两个SSID,如“金融大街”和“中央音乐学院”,由于都是北京联通的场所,VLAN只想规划一个,如1000;l SSID:VLAN=N:N部署:虽然都是北京联通覆盖区域,但希望用户搜索到WLAN就知道自己在什么地方了,并希望通过不同的VLAN精细控制流量,因此需要两个SSID,如“金融大街”和“中央音乐学院”, 同时VLAN也要规划两个,如1000和1001;3.5 网络安全3.5.1 组网保护华为AC产品接口丰富,支持LACP(Link Aggregation Control Protocol,以下简称LACP)和MSTP(Multiple Spanning Tr
21、ee Protocol,以下简称MSTP)等组网保护机制,可提供端口级冗余保护,及设备级1+1快速备份。3.5.2 接入安全方案华为AC均支持开放系统认证、WEP加密、共享密钥认证、WPA/WPA2认证加密、WAPI认证加密等无线接入安全特性。特性指标WLAN安全模板管理u 支持通过WLAN安全模板管理认证和加密方式。u 支持安全模板绑定到ESS模板。u 最多支持256个AP配置模板。OPEN-SYS方式认证支持“OPEN-SYS认证+无加密”方式。WEP认证加密u 支持WEP的认证/加密方式。u 每个AP最多支持4个WEP加密方式的VAP。u WEP认证加密在AP实施,认证结果通知AC。WP
22、A/WPA2认证加密u 支持AC集中认证方式。u 支持“WPA/WPA2-PSK+TKIP”的认证/加密方式。u 支持“WPA/WPA2-PSK+CCMP”的认证/加密方式。u 支持“WPA/WPA2-802.1x+TKIP”的认证/加密方式。u 支持“WPA/WPA2-802.1x+CCMP”的认证/加密方式。WAPI认证加密u 支持AC集中式WAPI认证。u 支持WAPI多信任证书方式(3证书),兼容传统双证书方式。u 支持证书和私钥合一的发放方式。u 支持WAPI加密的启用/禁用。3.5.3 访客与内网用户安全设计 本次项目设计建设2个无线SSID,一个为内部员工使用,一个为外部访客使用
23、,在访客vlan和内部员工vlan之间做逻辑隔离,使得访客的SSID无法访问内网区域。保证内网服务器的安全。3.5.4 上网行为管理规划本次项目建议采用华为NGFW下一代防火墙作为上网行为管理设备串在现有有线网络中,上网行为管理主要的功能为1、对员工上网行为进行管理,比如可以限制访问哪些网站,是否可以上QQ、 是否可以用迅雷等。 2、可以给员工分配流量。 3、可以监控员工的上网行为,比如上了哪些网站、QQ、MSN、员工流量统计等4 工程设计WLAN无线局域网的网络工程设计主要包括:频率规划、覆盖规划、链路预算和容量规划等四个方面。4.1 设计原则一般来说,普通办公环境,要求中等密度连续覆盖时;
24、或用户只对若干单个房间实现点覆盖的情况下,AP的规划较为简单,可由用户自行完成。比如,酒店的公共休息区,小酒吧,咖啡厅,会议室,西餐厅等区域,通常面积都不大(小于100平方米),每个场所放一个AP即可。或者从容量角度出发,确定所需AP数量后,选择适当位置摆放AP即可。当在大面积区域,较为复杂的应用环境,且用户对传输速率和信号质量要求较高时,建设WLAN需要对AP的架设位置、AP采用频点、AP隔离距离、是否引入室分系统等进行专门的规划。做一个WLAN的规划,第一步,应综合考虑覆盖和容量的两个方面的因素,在了解用户覆盖范围和覆盖密度要求的基础上,确定该网络预计的AP数量及摆放位置;第二步,再根据各
25、AP的摆放位置,根据一定原则来确定各AP应设定占用的频点。首先,从覆盖角度而言,需考虑现场的无线传播环境、空间面积、平面分布、建筑材料来确定单个AP在该空间内可能的覆盖范围。其次,要收集预计该空间内客户端可能的用户数量与密度,应注意用户对数据速率的要求、同时联机数量等种种因素,这些因素都会影响到联机的质量和速率,故依实际环境的不同规划方式会有较大差异。4.2 频点规划本次覆盖区域AP点位如下:WIFI覆盖区域有:培训室一(可容纳80人)、 2个AP会议厅(13米*8米60人)、2个AP办公区(13米*50米,容纳100人)、3个AP 培训室二(可容纳80人)、2个AP小餐厅、餐厅(50米*13
26、米600)、15个AP超市(16米*100米200)、5个AP男生宿舍(每层面积91米*17米,共六层,1层44个房间楼道两侧分布,2-6层各47个房间楼道两侧分布)、一层15个AP 、 2层16个AP、3层16个AP、4层16个AP、5层16个AP、6层16个AP。女生宿舍楼(每层面积91米*17米,共六层,1层44个房间楼道两侧分布,2-6层各47个房间楼道两侧分布)、一层15个AP、 2层16个AP、3层16个AP、4层16个AP、5层16个AP、6层16个AP。礼堂(50米*13米,容纳350人)9个AP 基于IEEE802.11系列标准的WiFi拥有2.4GHz和5GHz两个频段,其
27、中2.4GHz频段可选信道有14个,每个信道带宽为22MHz,只有3个信道相互之间无干扰,我国选用1、6、11等三个信道;5GHz频段可选信道为27个,我国选用149、153、157、161及165等五个信道。在WLAN的工程部署中,往往需要多个AP,如果不同的AP工作在相同的频道,就可能形成同频干扰。为保证频道之间不相互干扰,在多个频道同时工作的情况下,就要求两个频道的中心频率间隔不能低于25 MHz。为了扩大覆盖范围和提高频谱利用率,WLAN也需要引入蜂窝结构,对于1、6和11三个信道交错使用,具体的覆盖示意图如下:1:代表信道12:代表信道63:代表信道114.3 覆盖规划华为WLAN网
28、络覆盖规划包含以下步骤:a) 射频信号模拟测试(可选)由于室内传播环境的复杂性,目前还没有成熟的规划工具可以精确的预测出室内覆盖的情况。另外室内覆盖使用的传播模型相对简单,在实际应用的各种场景需要进行适当的修正、调整以便更准确的进行覆盖预测。根据方案设计和天线布设的原则将模拟信号源架设好,利用场强测试设备进行信号覆盖情况的测试。主要目的:确定该建筑信号传播特点、确定合适的天线位置。b) 室内/外系统勘测通过现场勘测确定站点的基本情况,了解建筑周围的传播环境,以明确选用何种部署方式(室内放装、室内分布和室外覆盖)。各区域的用途,帮助工程师确定容量、覆盖和业务质量要求,避免图上作业的局限。站点勘测
29、可以帮助确定AP、天线安装位置,以及走线路由。根据勘查计划,进行站点无线勘测。勘测过程中需要记录以下信息:周围无线传播环境条件(照片)、建筑空间分割等的现场查看,可能的AP安装位置位置,弱电井可能走线位置。另外勘测中需要询问各空间的用途,判断话务类型、高峰时间。另外注意电梯、出入口人员移动路线。帮助确定容量、切换区的设置。c) 覆盖设计与预测覆盖预测过程和无线站址勘测过程是紧密关联的。在网络规划过程中,覆盖预测通常并不是一次就可以达到网络规划目标,需要进行若干次的反复调整。预测的主要内容包括:输入数据采集,预测工作,预测报告。d) 解决方案和拓扑结构根据建筑的情况确定使用的产品方案,主要方案:
30、室内放装AP,室内AP+DAS覆盖,室外AP+网桥,室外AP+光缆等。还需要确定能否共享存在的室内分布系统,以及共享的方案。并且根据建筑的情况设计室分系统的拓扑、路由等。根据建筑的面积、用途、结构特点,确定信号源的选取和具体的覆盖方案。确定功分器、合路器、天线的射频器件选用。绘制WLAN室分系统的系统原理图(拓扑图)。该部分工作一般是基于建筑的图纸和用途等信息的基础做出,一般没有经过现场勘测,或者少量的勘测。4.4 链路预算WLAN链路预算一般经过以下步骤:l 确定边缘场强l 分析传输模型,确定空间传播损耗公式l 确定空间传播损耗l 根据公式计算覆盖距离,判定是否满足覆盖要求4.4.1 确定边
31、缘场强一般地,在WLAN工程部署中,要求重点覆盖区域内的WLAN信号到达用户终端的电平不低于75dBm。4.4.2 分析传输模型,确定空间传播损耗公式对接收电平的估算通常采用如下公式:其中:PrdB为最小接收电平,即为AP在不同传输速率下的接收灵敏度;PtdB为最大发射功率;GtdB为发射天线增益;GrdB为接收天线增益;PldB为路径损耗(包括空间传播损耗、馈线传播损耗、墙体/玻璃阻挡损耗);4.4.3 确定空间传播损耗实际部署中终端天线增益不可知,为方便计算常忽略接收天线增益,而采用如下公式:到达用户端的信号电平 AP发射功率AP天线增益路径损耗路径损耗包括:l AP到天线间的馈线损耗:适
32、用于室内分布式部署,在室外部署时如果馈线过长也需考虑l WLAN信号的空间损耗:适用于所有部署方式,根据电磁波空间衰减公式计算。空间损耗 92.4+20lgf+20lgd (f:GHz,d:km) 由公式推算可知:空间传输距离100m200m300m400m500m600m1000m2.4GHz信号的空间衰减(dBm)808689.5929495.51005.8GHz信号的空间衰减(dBm)87.693.697.199.6101.6103.1107.6l 墙体/玻璃阻挡:适用于所有部署方式,一般根据经验值判定。2.4GHz电磁波对于各种建筑材质的穿透损耗的经验值如下:钢筋混凝土墙:20-30d
33、B;木制家具、门和其它木板隔墙阻挡2-15dB;厚玻璃(12mm):10dB4.4.4 根据公式计算覆盖距离,判定是否满足覆盖要求 为便于理解链路估算的过程,这里给出一个室外场地覆盖的预算案例:根据WLAN覆盖边缘场强的要求,到达终端用户的信号电平不低于75dBm,500mW AP的输出电平27dBm,天线增益9dBi,距离AP 500m时信号的衰减量94dBm,可知: 27+9-94-58dBm,大于-75dBm,因此在正常情况下,AP可以为500M处用户可以提供满速率接入。4.5 容量规划WLAN的AP设备允许多个用户同时接入,但如果接入用户数目过多,会导致用户体验下降,因此建议一般每个单
34、频11n AP同时接入的用户数量控制在在2030之间为宜,双频AP建议控制在3550个用户。5 华为WLAN解决方案的优势华为早在2000年就投入WLAN 技术和产品领域的研发,是国内首批成为WiFi成员以及WAPI 联盟成员的厂商。华为也是国内WLAN 相关标准制定的积极参与者,与运营商合作先后共同推出了基于SIM认证和Web认证的标准以及相关WLAN 企业标准。 华为WLAN 技术预研团队,在802.11s Mesh 、智能控制和算法等前沿领域深入研究,先后注册和获得多项专利。盒式AC 容量达到业界一流标准,支持CAPWAP硬件转发,性能强劲,可灵活应用于直连式或旁挂式组网,自信面对11n
35、时代海量数据的汹涌冲击;支持设备级和端口级冗余备份,完全满足电信运营网络的高可靠性要求l 插卡式AC最大容量可达14K,业内第一,可直连BRAS,减少用于业务控制的网元数量,简化网络结构,部署快捷、扩容方便;优化业务控制,降低AC与AP中间网络设备的功能性能要求 l FTTW承载WLAN业务数据,利用光纤接入网络支持WLAN网络的广域部署;通过无源光配线网络,减少有源设备的使用,简化网络层次,提高整网可靠性;通过PON网络P2MP的网络结构和高带宽、大分光比的特质,可灵活扩展,支持802.11b/g网络向802.11n网络的平滑演进l 智能天线波束成形技术,可依据用户信号在空间传播的不同路径,
36、最佳地形成方向图,在不同到达方向上给予不同的天线增益,实时地形成窄波束对准用户信号,而在其他方向尽量压低旁瓣,采用指向性接收,从而提高系统的容量 l 第三代11n芯片,融入专利技术和算法,提升信号质量,得到更高和更稳定的吞吐量。降低多用户并发下的丢包、时延和抖动,保障性能的领先l AP智能化,开通配置零接触,即插即用;独有负载均衡算法,完美削峰填谷;智能选择信道,自动调整AP功率、速率,绿色节能;可大大简化部署和运维成本l AP人性化工程设计,固定件简单,与友商同类型产品相比,只需一人操作,15分钟安装完成。安装维护效率提升l Dying Gasp机制,支持设备在断电瞬间,保持CPU运行,自动
37、上报“断电告警”,让运维更轻松6 主要产品介绍6.1 NGFW-下一代防火墙+上网行为管理 USG6620USG6600是华为公司面向中小企业、企业分支和连锁机构推出的企业级下一代防火墙。USG6600支持业界最多的6000+应用识别,提供精细的应用层安全防护和业务加速。一机多能,实现多地间的稳定安全互联,为企业提供全面、简单、高效的下一代网络安全防护。获得国际权威测评机构ICSA Labs防火墙与IPS双认证。 功能全面,一机多用,整体拥有成本低; 6000+应用识别,精细管控并优化关键业务体验; 预置防护场景模板,智能策略优化,迅速上手,使用简单; 精细的上网行为管理,杜绝通过文件的数据泄
38、露; 丰富高可靠的VPN特性,确保企业总部和分支间高效安全互联。传统防火墙主要通过端口和IP进行访问控制,下一代防火墙的核心功能依然是访问控制。USG6000在控制的维度和精细程度上都有很大的提高:一体化防护:从应用、用户、内容、时间、威胁、位置6个维度进行一体化的管控和防御。内容层的防御与应用识别深度结合,一体化处理。例如: 识别出Oracle的流量,进而针对性地进行对应的入侵防御,效率更高,误报更少。基于应用:运用多种技术手段,准确识别包括移动应用及Web应用内的6000+应用协议及应用的不同功能,继而进行访问控制和业务加速。例如:区分微信的语音和文字后采取不同的控制策略。基于用户:通过R
39、adius、LDAP、AD等8种用户识别手段集成已有用户认证系统简化管理。基于用户进行访问控制、QoS管理和深度防护。基于位置:与全球位置信息结合,识别流量发起的位置信息;掌控应用和攻击发起的位置,第一时间发现网络异常情况。根据位置信息可以实现对不同区域访问流量的差异化控制。支持根据IP自定义位置越来越多的信息资产连接到了互联网上,网络攻击和信息窃取形成巨大的产业链,这对下一代防火墙的防护范围提出了更高要求。USG6000具备全面的防护功能:一机多能:集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功能于一身,简化部署,提高管理效率。入侵防护(IPS):超过3500
40、+漏洞特征的攻击检测和防御。支持Web攻击识别和防护,如跨站脚本攻击、SQL注入攻击等;防病毒(AV):高性能病毒引擎,可防护500万种以上的病毒和木马,病毒特征库每日更新;数据防泄漏:对传输的文件和内容进行识别过滤。可识别120+种常见文件类型,防止通过修改后缀名的病毒攻击。能对Word、Excel、PPT、PDF、RAR等30+文件进行还原和内容过滤,防止企业关键信息通过文件泄露。SSL解密:作为代理,可对SSL加密流量进行应用层安全防护,如IPS、AV、数据防泄漏、URL过滤等。Anti-DDoS:可以识别和防范SYN flood、UDP flood等10+种DDoS攻击,识别500多万
41、种病毒。上网行为管理:采用基于云的URL分类过滤,预定义的URL分类库已超过8500万,阻止员工访问恶意网站带来的威胁。并可对员工的发帖、FTP等上网行为进行控制。可对上网记录进行审计。安全互联:丰富的VPN特性,确保企业总部和分支间高可靠安全互联。支持IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等;QoS管理:基于应用灵活的管理流量带宽的上限和下限,可基于应用进行策略路由和QoS标签着色。支持对URL分类的QoS标签着色,例如:优先转发对财经类网站的访问。负载均衡:支持服务器间的负载均衡。对多出口场景,可按照链路质量、链路带宽比例、链路权重基于应用进行负载均
42、衡。虚拟化:支持多种安全业务的虚拟化,包括防火墙、入侵防御、反病毒、VPN等。不同用户可在同一台物理设备上进行隔离的个性化管理。下一代防火墙的防护范围和控制精度比传统防火墙大大增加,这对使用者的经验和技能提出了更高的要求。华为USG6000利用Smart Policy功能降低对使用者的要求,更好的进行防护。Smart Policy主要具备以下功能:快速部署策略:内置场景策略模板,不依赖使用者的经验也能快速地部署常用防护策略。例如:如果希望使用网络存储,管理员仅需基于“使用网盘”这个策略模板,就能建立一系列策略。在策略中,对网盘类应用允许下载并进行病毒检测,但禁止文件上传。智能优化策略:根据内置
43、应用风险库和网络实际流量对已部署的安全策略进行评估和优化,使其符合最小授权原则。在企业遗留大量端口防护策略,需要转换为NGFW使用的应用防护策略时尤其有用。智能精简策略:自动发现重复的和长期没有使用的策略,精简策略规模,简化管理;UTM产品当开启应用层防护时性能下降明显,无法满足当前应用层防护的性能要求。下一代防火墙要求在多重防护的情况下仍保持高性能。USG6000系列下一代防火墙采用全新架构的智能感知引擎(IAE, Intelligence Awareness Engine),采用了一次解析多业务并行处理的架构,确保多重防御下的高性能体验。IAE使用了三大核心技术:一体化描述语言:应用识别、
44、IPS、AV采用统一的描述语言,一次性处理,一次性分析,减少重复的操作;一体化处理架构:不同于UTM对各个安全功能串行处理,USG6000在完成统一解析后,各安全业务检查是并行的,最后做统一处理。每个步骤一次性做好,确保多安全业务开启情况下,对整体性能影响最小;软硬结合一体化:对有规律、大批量、高运算能力要求的报文处理,例如:报文加解密、特征匹配,采用专用多核平台由专用的协处理器硬件处理。对小规模的运算,仍然用软件处理。软硬结合一体化的处理方式让整体性能更高。6.2 7706核心交换机+无线控制器S7700高端智能路由交换机提供有线无线深度融、统一用户管理、网络质量感知iPCA、完善的H-Qo
45、S策略、一体化安全等智能业务优化手段,支持100G端口,支持SVF超级虚拟交换机,具备超强扩展性和可靠性。通过部署内置华为首款以太网络处理器ENP的X1E单板,S7700可以升级为敏捷交换机,客户可以享有敏捷交换机带来的创新体验。随板AC,业务单板兼具无线AC功能;整机最大可管理2K AP,32K用户;整机转发性能可达T-bit;统一用户管理功能,支持PPPoE/802.1X/MAC/Portal等多种认证方式,用户、业务可视可控;iPCA网络质量感知,提供秒级的故障检测,检测直接精准到故障端口;SVF超级虚拟交换网,将盒式交换机纵向虚拟为框式交换机板卡,将AP纵向虚拟成端口,整网虚拟化为一台
46、设备进行管理。6.3 POE供电交换机 5700-28TP-PWR-LI智能低功耗,提供灵活可配的标准、基本、深度三种节能模式,是业界首家支持整机休眠的交换机设备;业界首款内置可更换蓄电池的款型实现电池状态可视化管理。主要应用于网络接入层频繁断电的场景,节省UPS成本和空间;电源端口前置款型可满足300mm深的机柜放置,整台设备可前面板单面维护,简化运维且机柜摆放更加灵活省空间。6.4 无线接入点AP4030DN高速可靠的无线接入服务,支持33MIMO,整机最高速率可达1.6Gbps,支持双以太接口的链路聚合;完善的用户接入控制能力,可根据用户组策略,基于用户实施访问控制;高等级的网络安全性,支持WIDS和WIPS;强大的网络特性,支持IPv4/IPv6双协议栈7 应用案列7.1 光大银行昆明分行WLAN项目案例项目场景 中国光大银行成立于1992年8月,1997年1月完成股份制改革,成为国内第一
浙ICP备2021020529号-1 | 浙B2-20240490 
