1、某机场跑道无线视频监控传输系统目录第一章项目概述4第二章WIFI建设需求52.1 WIFI信号覆盖范围需求52.2 WIFI覆盖网络系统的功能需求62.3 WIFI覆盖网络系统施工需求6第三章方案设计原则7第四章方案设计依据9第五章网络架构设计10第六章产品选型及产品介绍126.1AC无线控制器136.2室外式无线AP156.3Portal认证服务器18第七章AP部署方案设计24第八章无线WIFI接入系统功能设计258.1虚拟局域网功能设计258.2基于用户身份的认证管理功能258.3用户漫游及QOS保障298.4用户动态负载均衡308.5无线信号自动优化及调整318.6非法信号的监测、告警及
2、主动反制318.7AC控制器对WIFI无线网络系统的管理控制33第九章信道规划设计40第十章无线WIFI网络优化设计42第十一章无线WIFI网络安全48第十二章无线WIFI建设方案的优势5012.1无线管理一体化5012.2AP零配置5012.3电信级产品质量保证5212.4完善的服务体系5212.5丰富的无线网络工程经验52第十三章WIFI建设施工方案设计5413.1专业的无线网络工程施工队伍5413.2配套的维护设备55第十四章质量及安全57第一章项目概述以来,伴随智能手机、平板电脑为代表移动智能终端快速普及,且Wi-Fi已成为移动智能终端标准配置,即使3G(包含后续4G)技术提供移动互联
3、网接入,但用户对流量及费用超限担忧,多种移动智能终端经过WLAN(无线网络)进行网页浏览、安装、使用应用软件日益成为用户使用习惯,WLAN建设成本低速度快,成为性价比最高无线互联网接入技术。越来越多景区考虑自建无线网络,在营业区域进行无线覆盖,以向自己最终用户提供便利无线接入互联网服务,把无线接入互联网服务作为吸引客流,为最终用户提供便利,提升商户服务体验水平方法之一。第二章WIFI建设需求2.1 WIFI信号覆盖范围需求l *机场3公里跑道全路段,要求达成多人同时上网,并确保多人同时能够传输大流量视频信号;2.2 WIFI覆盖网络系统功效需求 管理中心能够对认证页面进行高度定制,页面支持多个
4、设计语言,以实现对认证页面自由设计需求; 方便管理,能够对接入无线网络中用户进行上网时间、上传下载速度及使用流量等方面控制管理; 能够进行通告推送,只要用户接入到无线网络中,除了能够在认证页面推送宣传和认证信息外,同时能够在不影响用户正常上网情况下随时推送形式多样通告通知信息; 布署方便,维护简单;向运行商租用互联出口,在此基础上增加无线网络,需要在不影响原有网络架构前提下方便布署,同时对整体设备需要易操作易管理,维护简单。 扩容方便,能够方便增加终端用户接入数量。2.3 WIFI覆盖网络系统施工需求u 施工方便、简单;u 设备不能安装在显眼地方,设备安装位置隐蔽;u 施工时不能影响道路正常行
5、驶;u 施工时必需遵照相关单位各项规章制度;第三章方案设计标准*机场跑道对于无线网络建设含有很高要求,成全部福华信科技有限责任企业从打造可管理、易使用、高稳定WIFI无线网络角度出发,致力于为用户建设一个高效可靠、使用方便WIFI无线网络。依据*机场跑道管理中心用户需求,该方案设计遵照以下标准:u 高可靠性,WIFI无线网络运行稳定可靠是WIFI接入系统正常运行关键确保,在WIFI覆盖网络设计中选择高可靠性网络产品,合理设计网络架构,适合724不间断运行;u 技术优异性和实用性,在确保满足移动终端接入该WIFI网络系统同时,又要表现出WIFI网络系统优异性,充足考虑到该网络系统应用现实状况和未
6、来发展趋势,能够方便对该无线网络系统功效进行扩展;u 标准开放性,支持国际上通用标准网络协议、支持中国电信运行商WLAN业务Portal协议规范,有利于确保和其它网络及设备之间平滑连接互通,和未来网络扩展;u 灵活性及可扩展性,依据未来业务增加和改变,该WIFI网络及设备能够平滑地扩容和升级,并在扩容和升级过程中最大程度降低对网络架构和现有设备更换调整;u 可管理性,对网络情况实施集中监测、分析,含有对接入用户、设备、网络、流量等进行统计分析和管理功效。u 安全性标准:*机场跑道WIFI覆盖系统,即是一个开放式成熟稳定网络系统,同时作为无线应用网络系统对用户安全和网络安全要求很高。第四章方案设
7、计依据l IEEE 802.11系列标准;l 强制性国家标准GB15629.11-信息技术 系统间远程通信和信息交换局域网和城域网 特定要求 第11部分:无线局域网媒体访问控制和物理层规范;l 强制性国家标准GB15629.1102-信息技术系统间远程通信和信息交换 局域网和城域网 特定要求 第11部分:无线局域网媒体访问控制和物理层规范:2.4GHz/5.8GHz频段较高速物理层扩展规范l 中国国家标准UDC 614.898.5 GB 917588环境电磁波卫生标准;l 国家通信行业管理部门已颁发相关技术要求和文件;l GB 8702-88电磁辐射防护要求中国国家国家环境保护局;l GB 1
8、5629.11-信息技术系统间远程通信和信息交换局域网和城域网 特定要求 第11部分:无线局域网媒体访问控制和物理层规范l 15629.1102-信息技术 系统间远程通信和信息交换 局域网和城域网 特定要求 第11部分:无线局域网媒体访问控制和物理层规范:2.4G和5.8G频段较高速物理层扩展规范l 相关调整2.4GHz/5.8GHz频段发射功率限值及相关问题通知工信部353号l 用户方提供相关平面图纸及数据等资料l 工程师到现场实际勘测资料和相关测试数据。第五章网络架构设计 依据*机场跑道需求及道路实际情况,结合现有网络情况,设计整个网络架构以下:*机场跑道WIFI网络架构说明:采取光纤线路
9、组网,中心机房新增一条出口带宽,布署一台路由器,出口到internet,做到AP和AP间、AP和AC控制器互联,下行POE模块连接AP。中心机房布署一台三层交换机对数据进行汇聚转发,并连接AC无线控制器、Portal认证平台,及互联网网关设备。如上图所表示为整个WIFI无线接入网络系统架构图,需要新增设备为接入POE模块、AC无线控制器、室外型AP设备,Portal认证服务器、WIFI信息安全审计平台。整个网络结构层次化,整个WIFI无线网络系统经过端口隔离和划分VLAN技术来实现控制终端接入用户;能够发觉及控制终端用户私接路由器,私分DHCP地址等问题,交换机经过回环检测功效来实现广播风暴产
10、生,一但网络中环路,不会影响到整个网络运行。 经过安全网关来实现终端用户即接即用,不用更改IP地址来实现轻松上网,流量控制,不会出现某个接入用户独占带宽,造成其它用户无法正常访问网络资源等很多安全防护及行为管控。接入网络部分:WIFI无线信号覆盖区域物理分布*机场跑道全路段。整个无线网络系统采取室外覆盖方法。WIFI无线网络控制、管理部分:在网络关键层,我们采取了现在最优异AC无线控制器对整个无线网络系统进行统一管理和控制。关键层网络无线AC控制器,关键提供增强管理、无缝安全性,而且易于计划多种规模无线网络,同时还兼容各厂商路由器、以太网交换机等设备组网,提供对 AP、接入交换机全方面控制,以
11、优化无线网络并增强安全性。无线网络管理部分:关键层网络无线AC控制器,关键提供增强管理、无缝安全性,而且易于计划多种规模无线网络,同时还兼容各厂商路由器、以太网交换机等设备组网,提供对 AP、交换机和认证设备全方面控制以优化无线网络并增强安全性。第六章产品选型及产品介绍依据设计,*机场跑道WIFI建设,采取AC+AP方法组网(即FIT AP模式)。AC+AP为现有没有线网络建设中广泛采取模式,集中式无线架构不仅能方便地实施二层漫游,而且很有利于跨三层漫游实现,用Fat AP布署WLAN网络,因为AP之间传输信息有限,造成垮三层漫游实现及其麻烦,集中式架构很轻易处理跨三层漫游问题。同时无线FIP
12、模式,还能处理FAT模式无法处理信道冲突、智能AP负载分担、无线入侵检测和灵活AP接入用户控制等功效。依据*机场跑道WIFI建设具体需求,室外智能型无线AP采取福华信WBS2025AC,该无线产品是成全部福华信科技有限责任企业自主研发新一代千兆室外智能型大功率802.11AC无线接入设备(以下简称AP),可提供相当于传统802.11a/b/g网络20倍以上无线接入速率,能够覆盖更大范围。该无线产品上行链路采取千兆以太网接口,突破了百兆速率限制,使无线多媒体应用成为现实。该系列产品内置集成智能射频覆盖优化技术,单射频最大发射功率可达500mW,能够针对性地有效处理室外WIFI覆盖多种问题,提升W
13、LAN室外覆盖正确性和稳定性。AC无线控制器采取Fuhuaxin6100,AC控制器能够实现整个道路WIFI无线网络系统一体化管理,能够实现对于网络中无线AP、移动终端等无线设备进行一体化集中管理,全网设备信息和状态一目了然。移动终端信息进行查看,包含MAC地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在AC设备、所在AP设备等,并能查看各移动终端全部漫游统计;无线管理系统能够方便系统管理员愈加方便快捷丰富管理。6.1AC无线控制器Fuhuaxin6100AC控制器是面向运行商等级新型高速无线控制器。基于业界领先多核处理器架构设计,可提供强大数据处理能力和多业务扩展能力,含有管理
14、AP容量大、处理性能强、功效特征丰富等特点,最多可管理1024个AP设备。AC控制器产品特点:l 支持全网无缝漫游AC漫游功效基于HACIP快速切换技术,真正做到了终端在AP间漫游切换0丢包,切换时间控制在20ms以内,漫游过程中不改变IP地址,无需重认证。l 支持分布式/集中式数据转发架构基于业界领先数通技术,AC可灵活地决议无线终端数据由当地转发还是集中转发。AC依据网络SSID和用户VLAN计划,决定数据是否需要全部经过AC转发,或直接进入有线网络进行当地交换。数据当地转发优势是将延迟敏感、传输要求实时性高数据分类经过有线网络转发,在802.11AC大流量吞吐情况下,能够大大缓解AC流量
15、压力。l 运行级无线用户接入控制和管理基于用户接入控制是该AC控制器一大特色,User Profile(用户配置文件)提供一个配置模板,能够保留预设配置,用户能够依据不一样应用场景为User Profile配置不一样内容。支持基于MACVLAN划分,在控制策略上,管理员能够把相同性质用户(MAC)划分到同一个VLAN,同时在控制器上基于VLAN配置安全策略,这么既能够简化系统配置,又能够做到用户级精细管理。l 智能负载均衡技术Fuhuaxin6100AC控制器提供基于用户数和流量负载均衡方法,当AP负载达成设定阈值,AC会依据特定智能控制策略,自动控制新接入用户接入到邻近负载低AP上,达成一个
16、均衡网络环境。l 高可靠备份功效1+1快速备份Fuhuaxin6100AC控制器支持100毫秒业务备份,AP会同时和两台无线控制器建立CAPWAP链路,一台作为主控制器,另外一台作为备份控制器,但只有和主控制器建立CAPWAP链路处于工作状态。当主控制器异常down机时,备份控制器和主控制器之间心跳检测机制能够确保在100毫秒之内检测到主设备异常,并通知AP将主控制器CAPWAP链路切换,确保控制信号不间断传送。AC控制器实现功效介绍:在本方案设计中,AP和AC控制器之间采取“心跳”机制,定时保持通讯,AC控制器能够很立即了解AP工作状态,并将工作状态直接反应给AC控制器,AC控制器能直观显示
17、出AP拓扑结构,和布署位置及工作状态,并记入日志,以被以后查验。l 管理整个系统所以AP;l 监控全部终端接入用户;l 管剪发射频谱和频段冲突;l 负载均衡,和相邻接入点协调,平衡每一个接入点用户数量;l 每个接入用户端速率限制;l 网络错误/报警;l 已连接入网用户端分布图;l 每个 SSID 和用户端分配到带宽;l 连接/断开连接统计。6.2室外式无线APFuhuaxinWBS2025AC是福华信科技自主研发新一代基于IEEE 802.11AC技术标准超千兆高速无线接入设备,工作在2.4GHz和5.8GHzg两个频段,采取MIMO、OFDM、SDM、GI等技术,最高可提供1200Mbps数
18、据传输速率,相当于传统802.11a/b/g网络接入速率20倍。FuhuaxinWBS2025AC内置3 MIMO天线和500mW射频芯片,能提供更大覆盖范围和更强信号穿透力,室外有效覆盖距离可达200-300m。设备基于支架式外观设计,美观大方,可直接安装在路灯杆上或监控杆上。 FuhuaxinWBS2025AC含有丰富射频控制、移动访问、网络安全、多业务支持等功效,可同时提供多个接入模式(b/g/n/ac)。依据不一样应用场景,可灵活选择FIT或FAT工作模式,进行独立组网或配合福华信科技无线控制器提供基于零配置高性能无线移动网络。结合福华信科技无线网络整体化处理方案,FuhuaxinWB
19、S2025AC可广泛应用于医院、校园、酒店、企业、机场、运行商等室外无线应用场所。无线AP产品特点:l 性能卓越,稳定性高FuhuaxinWBS2025AC采取高性能嵌入式网络处理器,含有高效数据吞吐量和强劲负载能力。稳定信号强度和信号质量可确保无线网络可靠运行;支持射频功率自动调整、工作信道自动调整,支持基于用户、基于流量负载均衡等功效,提升了无线接入可用性和可靠性,使得大规模无线组网愈加灵活稳定。l 支持零配置集中管理FuhuaxinWBS2025AC在FIT模式下配合福华信科技无线控制器能够实现即插即用,AP上不需要做任何配置,AP设备管理全部由无线控制器来完成,无线网络管理员无须再对数
20、量庞大无线接入点进行单独管理和维护,全部配置、固件升级、状态监控等动作全部能够在无线网络控制器上完成,实现集群管理、统一布署,同时提供更强扩展性。使无线网络系统管理、维护变得简单易行。l 支持虚拟APFuhuaxinWBS2025AC支持虚拟多AP特征,即在一台AP设备上支持多个SSID,每个SSID对应一个独立BSS域,该BSS域可提供不一样于其它BSS域服务,从而实现在一个AP实体上派生出多个虚拟AP。利用虚拟AP特征,FuhuaxinWBS2025AC设备能够实现:u 实现为不一样用户提供不一样网络访问域。如,区分企机关内不一样部门用户网络接入资源;区分外来用户和内部用户网络访问资源。u
21、 在一个AP上为不一样用户提供差异性网络接入服务,包含:不一样安全策略、优先级、网络访问等级和认证方法。l 丰富工作和接入方法提供“接入点/桥接/STA”组合“网桥/路由器”形成多个工作模式,可针对不一样应用场景满足用户差异性需求,可兼容基于802.11b/g/n/ac标准多种wifi终端。含有PPPoE、PPTP、DHCP、802.1X、Portal等多个接入方法,并提供福华信科技独有基于U-key技术用户接入认证方法。l 方便快捷管理维护支持WEB、SNMP、Telnet、CLI、SSL等多个管理方法。结合福华信科技“无线网络一体化管理”设计思绪,实现设备控制管理、运行状态监控、无线用户管
22、理等功效。经过采取优异数据隧道技术并配合福华信科技无线控制器,Fuhuaxin WBS2025AC能够在不对现有基础网络结构进行任何改变情况下完成布署,且不会对原有网络业务产生任何影响。l 强大网络安全功效提供了丰富网络安全特征,支持WEP、WPA、WPA2、WPA-PSK、WPA2-PSK等无线链路认证、加密方法。含有SSID隐藏、接入用户隔离、MAC地址过滤、防ARP攻击、用户带宽限制等多个安全策略。可结合后台认证系统、计费系统、安全准入系统实现对用户接入管理控制,有效保护无线网络及接入用户安全。l 强大无线射频特征提供最高达1200Mpbs无线接入速率,支持最多并发100个无线接入用户同
23、时上网,室外覆盖距离可达200-300米,用户可在多个AP间移动漫游无中止访问网络。射频芯片采取世界领先Afterburner及Xpress增强技术,充足提升了信号抗干扰能力和无线链路负载能力。l 支持智能负载均衡FuhuaxinWBS2025AC支持按接入用户数量和流量复杂均衡方法,当无线控制器发觉无线接入设备负载超出设定门限值以后,对于新接入用户无线控制器会自动计算此用户周围是否还有负载较轻无线接入设备可供用户接入,假如有则会拒绝用户关联请求,用户会转而接入其它负载较轻无线接入设备,但假如无线用户不在重合覆盖区内,传统负载均衡方法往往会造成连接不上网络,造成误均衡。福华信科技创新性支持智能
24、负载均衡技术,确保只对处于覆盖重合区无线用户才开启负载均衡功效,有效避免误均衡出现,从而最大程度提升了无线网络容量。产品功效实现:l 和相邻接入点协调,平衡每一个接入口用户数量;l 每个接入点最少支持100个连接;l 接入点提供接入频道:2.4 G和5.8G;l 信道化(带宽):20 兆赫、40兆赫、80兆赫;l 每个用户端速率限制;l 连接速率使用正交频分多路复用技术(OFDM)控制.6.3Portal认证服务器此次无线WIFI接入认证服务器产品,拟采取福华信Portal产品。福华信Portal产品,基于现在中国广泛应用Portal 2.0协议和华为Portal协议标准进行开发,适合现在绝大
25、多数厂家AC设备,含有良好产品兼容性。Portal认证系统能够很方便实现在无线网络接入认证,同时能够对认证页面进行定制,以达成广告及信息推送目标。福华信Portal系统是面向提供无线或有线宽带服务企业机构和运行商一个门户系统产品。Portal门户给商户和企业除了提供最基础无线宽带认证功效,同时还提供一个基于WEB Portal内容展现平台,使商户和企业能够为最终用户在认证页面上提供自己内容信息服务。产品特点: 高性能:采取多核处理器架构和Fuhuaxin全新安全操作系统,在新建会话数方面,Fuhuaxin BRAS宽带接入网关能够每秒处理超出50万TCP会话请求,此项指标超出同类产 510倍!
26、 多WAN口连接因特网:依据用户使用情况,Fuhuaxin BRAS宽带接入网关WAN口数能够在1-5个之间自由定义,即不会浪费,又有了更大自主度。 智能多WAN负载均衡:支持自动多线路负载均衡、线路备份,当其中一条线路断线后,自动在余下线路中进行负载均衡,不仅在双/多线捆绑方法下含有最优线路利用效果,而且有效处理了因为某一条线路中止而影响整个网络情况。 WEB认证:经过内置WEB认证模块,能够使用户经过Web网页进行上网认证,配合福华信计费管理系统能够实现记费及更多用户管理功效 短信通知:(此项为可开发功效)依据用户在认证页面填入手机号码生成帐号密码并经过短信猫将帐号密码发送至用户手机,以完
27、成用户开户认证过程。 PPPoE服务器功效:内部用户,可经过PPPoE方法进行网络联接,便于管理,并根本杜绝攻击,泄露等问题。 配合Fuhuaxin计费管理系统,能够实现对全部PPPoE用户进行统一管理,统一计费,统一查询,用户可对自己密码,用户名等进行修改,对帐户进行查询。管理人员经过远程网络,即可能全部用户进行管理。数据集中管理,更方便安全,适适用于小区宽带接入,学校接入等环境。最高可支持个PPPoE用户同时在线。 用户管理:含有用户管理功效,本机可对PPPoE,PPTP,WEB等用户进行用户管理,对PPPoE和PPTP能够实现,用户帐号、密码、带宽、IP地址、到期时间等管理功效,配合福华
28、信计费管理系统,能够实现更强大管理、计费、财务统计等功效。 便于布署:Fuhuaxin BRAS宽带接入网关支持路由、透明、混合等布署方法,同时支持静态路由、策略路由等、负载均衡等,满足不一样用户网络需求。 VPN:Fuhuaxin BRAS宽带接入网关IPSecVPN严格遵照RFC国际标准,其支持算法有DES、3DES、AES128、AES192、AES128、AES256等,同时提供SCB2国密算法支持,可为用户提供点对点、星型、网形等VPN布署方法。 PPTP VPN:FuhuaxinPPTP VPN功效支持大容量VPN接入,数量超出千条,除标准VPN功效外,还支持对远程接入用户身份认证
29、,预防非法用户接入。 带宽管理: Fuhuaxin BRAS-5200宽带接入网关提供专有,基于二层流量控制,能提供比三层IP流控更正确控制性能,可将流量控制正确到1Kbit,同时提供基于IP三层流量控制策略,以适应不一样环境需求。可为每个用户动态设定不一样带宽,以满足用户精细管理需求。 VLAN支持:支持802.1Q VLAN接口生成,支持VLAN终止,可和标准设备VLAN进行无缝连接。并独家支持PPPoEVLAN穿透。 通告功效:内置用户通告功效,用户到期通告功效,可依据需求向用户发送不一样通告内容。 网络监测:FuhuaxinQoS处理方案提供多种汇报和监控方法,帮助用户查看网络情况。用
30、户能够轻松查看接口带宽使用情况和带宽使用情况历史统计,为未来分析提供方便。 攻击防护:完善基于状态检测防火墙,流量控制和数据包过滤功效,确保了网络安全,稳定和高速运行可防御DoS/DDoS攻击、ARP欺骗攻击。 每秒50万以上新建会话数处理能力可提供强大瞬时处理能力,使得Fuhuaxin BRAS宽带接入网关有超出一般防火墙510倍抗攻击能力。 DHCP服务器:全部连接到局域网上计算机均能够自动从路由器获取TCP/IP配置信息,大大简化用户管理及设置 ARP刷新:用于向局域网内计算机广播正确网关IP和MAC地址,能够有效杜绝ARP欺骗问题。 静态IP地址绑定:MAC地址和IP地址绑定功效,使用
31、户能够对用户局域网中计算机实现最大管理权限,方便用户对各计算机进行权限设置,并可经过IP和MAC地址绑定,有效预防ARP欺骗对网络造成影响。 固件升级:用户能够经过WEB界面来升级最新固件,以增强系统稳定性或扩展系统功效。 端口映射:许可Internet用户访问用户局域网中WWW和FTP服务器和其它特定服务器。 多个管理方法:使用Web管理界面进行配置,支持远程管理,支持SSH管理,不仅可在局域网络中进行管理,还可方便用户在家或出差在外管理企业网络,一切尽在您掌握中。 系统日志:强大系统日志功效,能够随时察看设备历史状态,便于故障查找判定,还可借助第三方软件实现更具体日志统计。 Portal服
32、务:不需要安装认证用户端, 降低用户端维护工作量;便于运行,能够在Portal页面上开展业务拓展、 技术成熟等优点而被广泛应用于运行商、学校等网络。现在在公共场所也有很多WIFI热点.WIFI本身不加密,不过当用户访问网络时候,会要求用户输入用户名和密码.认证成功后就能够上网了.WEB认证特点显而易见,就是不需要特殊用户端,有浏览器就能够了.产品功效: .高度页面定制功效,能够随意设置满足自己需求认证页面,支持JAVA、PHP等多个语言环境; .能够对接入终端账号预先判定是否可用,或免MAC认证;.支持第三方Radius,能够方便对用户进行管理,并能够依据Radius系统用户信息,在认证成功或
33、失败页面上显示用户姓名、通告等信息; .能够提供短信认证服务,提升用户体验,方便接入认证; .认证后打开指定主页,以方便用户登录企业网站或指定广告页; .支持日志统计功效,能够为相关部门提供符合要求上网日志信息; .支持第三方AC设备,比如华为、中兴等;第七章AP布署方案设计*机场跑道WIFI网络覆盖AP点位布署计划以下图。说明:在半径3公里跑道中,每300米,在道路两边选一根灯杆(或树一根立杆)挂一台FuhuaxinWBS2025AC室外型无线AP对道路进行无线覆盖。灯杆和灯杆之间,灯杆和中心机房之间用光缆连接,如上图所表示。第八章无线WIFI接入系统功效设计8.1虚拟局域网功效设计Fuhu
34、axinWBS2025AC支持虚拟多AP特征,即在一台AP设备上支持多个SSID,每个SSID对应一个独立BSS域,该BSS域可提供不一样于其它BSS域服务,从而实现在一个AP实体上派生出多个虚拟AP。该AP设备最多能够划分16个BSS域。 本AP能够配置最多16个SSID,每个SSID全部能够对应不一样VLAN。在不一样区域能够启用或不启用对应SSID虚拟局域网之间不能相互通信。每个虚拟局域网是经过防火墙连接到互联网。每个虚拟局域网对应一个专用 B 级信号范围,而且经过一台动态主机配置协议(DHCP)服务器辨识网络上用户端。8.2基于用户身份认证管理功效众所周知,无线网络采取电磁波作为传出媒
35、介进行数据传输,而电磁波在空气中进行传输,所以必需采取部分切实有效方法来保护无线网络免遭黑客入侵及避免用户数据被非法窃取。现在国际上比较流行方法是对用户进行身份认证和认证成功后要对用户数据加密来抵制非法入侵。此次天府新区政务服务中心WIFI建设方案接入认证服务器产品,拟采取福华信Portal产品。福华信Portal产品,基于现在中国广泛应用Portal 2.0协议和华为Portal协议标准进行开发,适合现在绝大多数厂家AC设备,含有良好产品兼容性。Portal认证系统能够很方便实现在无线网络接入认证,同时能够对认证页面进行定制,以达成天府新区政务服务中心对政策宣传及各项办事步骤进行结算目标。l
36、 无线网络VLAN配置在无线网络计划时,用户经过不一样SSID接入无线网络,映射为不一样VLAN,后台系统经过用户VLAN标识用户用户权限及其它身份权限。在Portal服务器上配置Portal server和启用Portal认证虚接口,和Portal重定向URL。Portal服务器依据接入用户VLAN推送不一样认证页面。l 认证过程在用户和AP建立连接时,不一样用户选择不一样SSID进行连接,并取得不一样IP地址。用户打开浏览器开始访问Internet时,经过无线控制器重定向到Portal认证页面,Portal server依据用户接入VLAN推送给用户对应页面。认证页面包含用户名、密码和验证
37、输入表框,同时会有相关提醒和帮助等。认证经过后,认证服务器会依据用户名和AP配置推送对应认证完成页面,同时用户取得Internet访问权限。依据用户名、SSID,AC动态在AP上下发QoS策略,为用户提供不一样带宽确保。对此次WIFI建设来说,能够为不一样等级用户确保不一样带宽,提升用户应用网络同时,增加此次赛事保障能力。Portal认证步骤l 多个认证功效1)无线接入认证认证方法多样,全部用户均能够方便接入到无线网络中。外来办事群众能够经过输入手机号码及密码进行认证上网,比如内部人员依据自己固定帐号登录,对于部分终端,如领导手机,也能够不需要认证即可体验无线网络,比如免认证;2)认证页面定制
38、系统管理人员能够登录Portal服务器,定制设计符合要求认证页面,支持多个网页制作语言,提供多个行业认证页面模版,也能够自己设计,实现更人性化、更自由得页面定制功效,能够在认证页面承载通告、宣传、认证等信息内容;3)短信认证/身份证认证/第三方认证支持手机获取随机密码短信方法认证上网,用户只需要输入自己手机号码即可收到随机密码,在60秒内输入密码提交验证即可上网;同时支持身份证刷卡验证上网,只需要将身份证贴近读卡器即可依据身份信息生成独有认证信息,方便用户认证上网;同时也能够支持第三方扩展认证,比如微信、QQ、新浪微博等认证方法4)手机兼容显示 认证页面和广告能够愈加好适应用户手机终端,自适应
39、手机终端类型,能够愈加好适应手机屏幕显示,让手机显示更炫;5)日志审计 统计接入到无线网络中用户手机号码、MAC地址、上下线时间、接入AP点、IP地址等信息;6)热备功效 实现Portal服务器热备管理,对Portal服务器上现有数据及配置进行保留,当Portal服务程序出现问题后能够立即响应并快速恢复。8.3用户漫游及QOS保障因为无线局域网采取类似于移动通信网中“蜂窝”覆盖方法,来实现大面积覆盖,当终端在移动一点到另外一点移动过程中,不可避免需要从一个AP切换到另外一个AP,在切换过程中,移动终端需要进行“取消关联”及“重关联”操作,该过程通常需要300500ms时间,另外,在有后台认证系
40、统存在情况下,用户还需要进行重认证、session key重分发及重新分配IP地址过程,这种方法无法满足部分对时延很敏感业务,因为传统无线网络漫游只停留在IEEE802.11协议层上,并没有对用户会话进行完整性保持。而在本建设方案中,我们采取AP+AC方案,该方案AC控制器为关键,对全部AP上接入用户采取统一会话管理,全部成功接入终端均在中心AC控制器保留对应会话,AP仅仅只负载传输用户数据,所以不管终端移动到哪个AP下,用户信息和授权全部在AC所管辖移动域内快速交互,能够有效保持会话完整性及可靠移动性前提下实现无缝漫游。另外,还支持WMM(Wireless Media-Media)无线多媒体
41、协议,能够将语音、视频数据包以更高优先级进行传送,提供了对无线QoS保障。8.4用户动态负载均衡传统上,因为受到用户端无线网卡底层驱动算法机制限制,用户总是会连上信号最强AP,而并没有考虑到该AP是否能够提供最好服务。本建设方案中,AC控制器能够依据周围无线信号覆盖情况和用户流量需求,动态将用户强制连接到其它可用AP上,将用户流量分配到其它可用AP,从而确保了整个无线网络高效能和高可用度。比如在一个用户较多会议室,正常情况下大约有20-30人左右,采取一个AP即可满足需求,但当用户数忽然增加后,造成该AP无法连接数过多,而此时,在会议室外AP因为相对和会议室来说,信号即使比较弱,但仍然是能够满
42、足一定网络用量,此时无线控制器则强制以后一部分用户连接信号较弱AP,从而实现了负载均衡,保障了网络通畅。8.5无线信号自动优化及调整传统“FAT AP”组建无线网络,在建设早期,需要对无线频谱及channel和发射功率进行计划,以降低同频干扰,不过无线信号受到用户数、天气、湿度等环境影响原因较大,一旦外界原因发生改变后,假如AP仍使用原始参数进行运行,肯定造成信号强度降低、覆盖区域缩小等情况,造成网络运行不稳定。在此次天府新区无线WIFI建设方案中,支持RF Auto-Tune技术。无线AP能够监听、扫描所在空域中信号强度和使用量,并将数据传送至在关键AC控制器上,AC控制器依据各AP汇报测量
43、数据进行一个全局调配,比如,当某一区域多数AP汇报信号不足时,AC控制器能够动态改变该区域内相关AP发射功率;当AP汇报该区域内有相同信道信号时,则能够动态调整相关AP,以避开信道重合。本处理方案中 RF Auto-Tune技术以可动态地调整流量负载、功率、射频覆盖区域和信道分配,以使覆盖范围和容量最大化。8.6非法信号监测、告警及主动反制感知无线电可提供监测WLAN所工作射频环境功效,能对非法接入点和无线入侵者进行探测并定位.动态了解无线局域网(WLAN)所工作射频(RF)环境状态,对提供高水平网络性能和安全很必需。在无线网络处理方案中,能够支持两种模式来对非法电磁信号进行监测:一个方法为无
44、线AP在做Data AP同时,每隔一段时间主动进行Active Scan;另一个方法为无线AP为双频工作,同时支持2.4G和5.8(IEEE802.11a/b/g/n),弱平时只使用IEEE802.11b/g/n一个频段,则能够将802.11a/n频段用于监听,(称之为Sentry Scan)和前一个方法不一样是,此种方法为连续监控。无线AP经过上述两种方法,采取按需或预设定射频扫描来监听周围环境信号源MAC地址, Channel,类型及SSID等,自动识别并警告未授权AP或Ad-Hoc网络,以避免潜在干扰或和无线入侵者。另外,对于一些关键区域,还能够布署专用 AP不停地扫描空域,方便对要求更
45、高安全性环境提供全天候保护。当系统发觉非法信号后,能够依据管理策略,手动或自动将非法AP加入系统Attack list中,当发觉有没有线用户端尝试链接该非法AP时,系统能够主动向该无线用户端发出disassociation信号,强制将该终端和非法AP断开,从而让终端一直连接上正当无线网络上,确保了用户数据安全。8.7AC控制器对WIFI无线网络系统管理控制 AC控制器关键对整个无线网络系统管理和控制,相当于整个无线网络系统大脑,以下为AC控制器部分管理控制。8.7.1经过 Web管理界面配置设备8.7.2无线网络系统监控功效介绍了AC系统概要信息,查询AP在线情况,查询STA在线情况,无线接入
46、服务配置,Portal配置,RADIUS配置查询。“网络监控”功效分为三个子菜单:概要、AP列表、终端列表用户能够依据不一样过滤条件找到符合条件AP,过滤条件包含:在线AP、离线AP、按IP地址、按AP名字、按布署方位、按产品类型、按MAC地址、按槽位号。对于过滤出来AP,用户能够选择“按IP升序排列”或“按IP降序排列”显示AP“终端列表”页面显示无线控制器系统中终端情况,包含STA总数、STA在线总数、STA离线总数。用户能够经过设置不一样过滤条件查找符合条件STA,包含按APIP查找STA、按APMAC查找STA、按槽位查找STA。8.7.3认证配置“认证配置”页面分为四个部分:NAS配
47、置、Portal配置、RADIUS配置、域配置NAS配置图所表示,NAS列表中包含全部能够作为Portal server和radius serverclient ip,只有SERVICE接口地址能够加入NAS列表,且每个槽位上最多能够配置5个NAS实体,即5个NAS IP。Portal认证是一个WEB认证方法,通常将Portal认证网站称为门户网站,未认证用户上网时,设备强制用户登录到特定站点,用户能够无偿访问其中服务。当用户需要使用互联网中其它信息时,必需在门户网站进行认证,只有认证经过后才能够使用互联网资源。用户能够向用户推送门户网站(Portal页面),输入用户名和密码进行认证,这种开始Portal认证方法称作主动认证。反之,假如用户试图经过HTTP访问其它外网,将被强制访问Portal认证网站,从而开始Portal认证过程,这种方法称作强制认证。Portal配置页面,“域名”表
浙ICP备2021020529号-1 | 浙B2-20240490 
