华为无线解决专业方案.doc

文档编号 密级 ★★ CRM 项目技术类文档 xx集团 华为无线覆盖方案设计 Version 1.0 3月 目 录 1 概述 3 2 xx集团 WLAN网络设计方案 3 2.1 网络设计标准 3 2.2 无线信号质量分析 3 2.3 无线网络总体架构 5 2.4 无线设计 5 2.5 SSID计划 7 2.6 无线安全性设计 7 2.6.1 WLAN终端认证 7 2.6.2 用户身份验证 8 2.6.3 组网保护 8 2.6.4 接入安全方案 9 2.7 移动漫游设计 9 3 华为WLAN处理方案优势 10 4 华为WLAN设备关键特征 12 4.1 华为AP介绍 12 4.2 华为 AC介绍 12 1 概述 无线局域网（WLAN）技术于20世纪90年代逐步成熟并投入商用，既能够作传统有线网络延伸，在一些环境也能够替换传统有线网络。无线局域网含有以下显著特点： Ø 简易性：WLAN网桥传输系统安装快速简单，可极大降低敷设管道及布线等繁琐工作； Ø 灵活性：无线技术使得WLAN设备能够灵活进行安装并调整位置，使无线网络达成有线网络不易覆盖区域； Ø 综合成本较低：首先WLAN网络降低了布线费用，其次在需要频繁移动和改变动态环境中，无线局域网技术能够愈加好地保护已经有投资。同时，因为WLAN技术本身就是面向数据通信领域IP传输技术，所以可直接经过百兆自适应网口和企业、内部Intranet相连，从体系结构上节省了协议转换器等相关设备； Ø 扩展能力强：WLAN网桥系统支持多个拓扑结构及平滑扩容，能够十分轻易地从小容量传输系统平滑扩展为中等容量传输系统； 2 xx集团 WLAN网络设计方案 2.1 网络设计标准 此次无线局域网建设有以下需求： 1. 利用无线网技术实现无线覆盖，使职员能够随时随地、方便高效地访问Internet。 2. 实现无线上网用户认证，销户，监控等功效。 3. 对于无线AP设备实施统一管理和监控。 4. 无线网络布署需要考虑简单方便，天线需要采取比较友好设计，不能让用户感受到压力。 5. 关注安全性，无线用户之间相互隔离，预防ARP攻击，并限制上网流量。 6. 无线AP全部采取POE交换机供电。 2.2 无线信号质量分析 下图为WLAN信道分配情况，在2.4GHz-2.4835GHz范围内共13个相邻子信道，通常不相干扰复用信道组合为（1，6，11）或（1，7，13） 2.412 2.417 2.422 2.432 2.442 2.452 2.462 2.472 2.484 2.427 2.437 2.447 2.457 2.467 2 3 4 5 1 7 8 9 10 6 11 12 13 14 下表中表现是三种频率间隔情况下，伴随两AP间距改变，终端连接信号质量及吞吐量改变。颜色代表适配卡配置软件中，检视连接信号质量窗口显示颜色。表格中数值表示吞吐量，单位为kbytes/s。 在多用户情况下，实际情况会更差些。上述数据仅供参考，实际网络需依据测试结果确定。 2.3 无线网络总体架构 1. 采取AC6605-26-PWR作为此次无线覆盖项目标无线控制器 2. 采取AP3010DN-AGN作为此次无线覆盖室内无线接入点. 3. 采取S2700-9TP-PWR-EI作为POE接入交换机 4. 采取S5700-28C-SI作为无线网络关键交换机 5．采取USG2210作为网络防火墙接入internet. 整体拓扑图以下 我们设计采取PoE供电方法，由S2700为华为无线AP进行供电，以超五类网线互联，最终经过楼层接入交换机连接入关键交换机，无线控制器和关键交换机互联，无线控制器经过管理VLAN管理无线AP，最终经过防火墙连接Internet。这么整个无线网能够实施灵活无线划分。 2.4 无线设计 依据无线网络需求及实地测试堪察，并结合以往工程经验，对无线网络做出以下计划 3层布点： 6层布点： 7层布点： 设备清单： 序号 型号 产品名称 数量 单价 累计 设备单价 一、 防火墙 　 　 　 　 1 USG2210 USG2210 交流主机-含HS通用安全平台软件 1 二、 关键交换机 　 　 　 　 1 S5700S-28P-LI-AC S5700S-28P-LI-AC主机(24千兆RJ45,4千兆SFP,交流供电) 1 2 LS5M100PWA00 交流电源模块组件 2 3 eSFP-GE-SX-MM850 光模块-eSFP-GE-多模模块(850nm,0.5km,LC 2 4 ST-LC 千兆多模光纤跳线，3米 2 5 LC-LC 千兆多模光纤跳线，3米 1 三、 接入关键交换机 　 　 　 　 1 S2700-9TP-PWR-EI S2700-9TP-PWR-EI主机(8百兆RJ45,1千兆Combo,PoE,交流供电) 3 2 eSFP-GE-SX-MM850 光模块-eSFP-GE-多模模块(850nm,0.5km,LC 2 3 ST-LC 千兆多模光纤跳线，3米 2 4 LC-LC 千兆多模光纤跳线，3米 1 四、 无线AC 　 　 　 　 1 AC6605-26-PWR AC6605-26-PWR-64AP组合配置(含AC6605-26-PWR主机) 1 2 ES0W2PSA0150 150W 交流电源模块 1 3 L-AC6605-16AP AC6605无线接入控制器AP资源授权(16 AP) 1 五、 无线AP 　 　 　 　 1 AP3010DN-AGN AP3010DN-AGN组合配置(11n,室内一般型,2x2单频,内置天线,50mW,) 13 六、 SI服务 　 　 　 　 1 调试费 SI人工 1 七 弱电布线 　 　 　 　 1 康普六类非屏蔽网线 2 2 康普六类24口配线架 2 3 康普六类模块 13 4 康普六类2米软跳线 27 5 康普双孔面板 13 6 PVC阻燃线管、明线盒等 1 7 施工费（铺管、布线、端接、测试） 13 8 无线AP设备加固及安装 13 总价 2.5 SSID计划 从用户使用安全角度考虑。使用上网业务人群关键分为三类（企业职员（8M），外来人员(5M)，开会人员(2M)），所以提议建立3个SSID ，方便管理及增加安全性。 1、限速（512k） 2、 2.6 无线安全性设计 2.6.1 WLAN终端认证 IEEE 802.11标准要求WLAN终端在准备连接到网络时，必需进行“身份验证”。 WLAN终端身份认证关键有两种方法：开放系统认证（Open-system Authentication）和共享密钥认证（Shared-Key Authentication）。 开放系统认证是IEEE 802.11标准要求必备一个方法，是最简单认证算法，即不认证。假如认证类型设置为开放系统认证，则全部请求认证用户端全部会经过认证。在这种方法下，接入点并未验证工作站真实身份，工作站以MAC地址作为身份证实，这种验证方法能够让全部符合802.11标准终端全部能够接入到WLAN网络中来。开放系统身份验证比较适合有众多用户电信运行WLAN网络。 共享密钥式认证必需使用加密方法，要求每个WLAN终端全部镜头配置和AP完全一致密钥（key）。因为配置工作量较大，通常适适用于企业网、校园网及家庭网络等。 二者对比以下： 认证方法 优点 劣势 适用场景 开放式系统认证 布署简单，终端接入速度快，有效带宽高 安全性差：无法检验用户端是否正当，任何知道无线局域网SSID 用户全部能够访问网络 电信运行网络 共享密钥式认证 安全性较高：采取了加密方法对密钥进行保护，空口密钥数据不再明文传输 配置复杂，可扩展性不佳：每台终端和AP上全部需要静态配置一个很长密钥字符串 有效带宽较低：加密降低了传输效率 企业网、校园网及家庭网络等 2.6.2 用户身份验证 相对于简单STA身份验证过滤机制，链路层用户身份验证安全性大大提升。经过提供有限访问权限来验证用户身份，只有确定用户身份后才给完整网络访问权限，可有效判别用户正当性。链路层身份验证时透明，能配合任何网络层协议使用。 WLAN链路层身份验证关键有Portal(DHCP+WEB)、802.1X、PPPoE、WAPI等多个认证方法。 2.6.3 组网保护 华为AC产品接口丰富，支持LACP（Link Aggregation Control Protocol，以下简称LACP）和MSTP（Multiple Spanning Tree Protocol，以下简称MSTP）等组网保护机制，可提供端口级冗余保护，及设备级1+1快速备份。 2.6.4 接入安全方案 华为AC均支持开放系统认证、WEP加密、共享密钥认证、WPA/WPA2认证合加密、WAPI认证加密等无线接入安全特征。 特征 指标 WLAN安全模板管理 u 支持经过WLAN安全模板管理认证和加密方法。 u 支持安全模板绑定到ESS模板。 u 最多支持256个AP配置模板。 OPEN-SYS方法认证 支持“OPEN-SYS认证+无加密”方法。 WEP认证加密 u 支持WEP认证/加密方法。 u 每个AP最多支持4个WEP加密方法VAP。 u WEP认证加密在AP实施，认证结果通知AC。 WPA/WPA2认证加密 u 支持AC集中认证方法。 u 支持“WPA/WPA2-PSK+TKIP”认证/加密方法。 u 支持“WPA/WPA2-PSK+CCMP”认证/加密方法。 u 支持“WPA/WPA2-802.1x+TKIP”认证/加密方法。 u 支持“WPA/WPA2-802.1x+CCMP”认证/加密方法。 WAPI认证加密 u 支持AC集中式WAPI认证。 u 支持WAPI多信任证书方法（3证书），兼容传统双证书方法。 u 支持证书和私钥合一发放方法。 u 支持WAPI加密启用/禁用。 2.7 移动漫游设计 无线用户移动漫游，包含到多个层次漫游，最为简单是二层漫游，其它厂家产品全部表现不错，三层漫游就困难多了，还有当用户跨越多个域时怎样无缝漫游，华为无线局域网能够实现快速无缝漫游功效。 L2/L3层漫游 在传统无线局域网内，无线终端要跨越不一样AP之间漫游是有一定困难，因为不一样AP之间，它无线用户IP子网可能全部不是在同一个VLAN内。所以当无线终端从一个AP漫游到另一AP时，因为它们之间缺省IP子网不一样，无线终端会重新发出DHCP请求，这么话终端IP地址就会更新，全部在原先AP建立连接全部会被切断。过去为了处理跨越三层漫游，有些用户采取了Mobile IP技术，但Mobile IP缺点是它必需在无线终端安装软件。这是通常网络管理人员不愿意做事情，因为它们就必需支持和维护用户无线接入端。 经过华为无线系统，可处理了跨越不一样三层IP子网无线漫游问题。 在不一样域之间用户认证和漫游 在大型网络内，通常全部有很多不一样部门，部门内通常全部有自己用户数据库，即所谓当地认证服务器。在实现应用时，要求有单一认证数据库是未必可行，但同时无线用户应是可在内无缝漫游。 当用户不是在当地入网或是从一个部门接入点漫游到另一部门接入点需要重新认证时，假如用户名和密码在当地数据库是不存在话，则用户会被断线。要做到真正无缝漫游，则需要有支持Radius 代理这么功效。但因为不是全部认证服务器全部支持这种功效所以在具体实施时也有一定困难。华为本身就可提供不一样域之间认证功效，域名能够和SSID绑定，亦能够让用户在登陆网页时输入或选择域名。华为会把在不一样域之间认证请求转发到对应这域radius服务器处理。 3 华为WLAN处理方案优势 华为是全球领先电信处理方案供给商，是全IP融合时代领导者。华为产品和处理方案已经应用于全球100多个国家，服务全球运行商50强中45家及全球1/3人口，和联通集团和北京联通拥有长久稳定而紧密合作。华为对北京联通现网组网方案、设备形态乃至业务模型有着深刻认识，华为有能力更有意愿帮助北京联通从全网端到端角度提供最优WLAN处理方案，分享自己对全球对整个宽带网络技术发展改变和未来移动宽带数据业务发展趋势了解。 华为早在就投入WLAN 技术和产品领域研发，是中国首批成为Wi－Fi组员和WAPI 联盟组员厂商。华为也是中国WLAN 相关标准制订主动参与者，和运行商合作前后共同推出了基于SIM认证和Web认证标准和相关WLAN 企业标准。 华为WLAN 技术预研团体，在802.11s Mesh 、智能控制和算法等前沿领域深入研究，前后注册和取得专利近百项。 长久以来，华为连续关注WLAN网络从企业网向电信运行网络演进，聚焦WLAN组网模式改变中形成新问题、新需求，敏锐把握并立即推出契合WLAN电信运行需要处理方案，率先推出基于FTTx+WLAN+3G FMC融合电信运行级WLAN处理方案，首创基于BRAS和OLT业务融合型AC，首推业内容量第一大容量、可扩展插卡式AC，现在华为802.11n全系列智能AP产品已规模上市： l 盒式AC 容量达成业界一流标准，支持CAPWAP硬件转发，性能强劲，可灵活应用于直连式或旁挂式组网，自信面对11n时代海量数据汹涌冲击；支持设备级和端口级冗余备份，完全满足电信运行网络高可靠性要求 l 插卡式AC最大容量可达14K，业内第一，可直连BRAS，降低用于业务控制网元数量，简化网络结构，布署快捷、扩容方便；优化业务控制，降低AC和AP中间网络设备功效性能要求 l 基于ME60业务融合型AC ，降低网元数量，简化网络结构，业务控制层面融合，最大可支持4K AP管理，可应用于大规模WLAN组网，集成ME60 本身高可靠、高性能、强大业务控制能力和丰富网络接口，全网可靠性高 l FTTW承载WLAN业务数据，利用光纤接入网络支持WLAN网络广域布署；经过无源光配线网络，降低有源设备使用，简化网络层次，提升整网可靠性；经过PON网络P2MP网络结构和高带宽、大分光比特质，可灵活扩展，支持802.11b/g网络向802.11n网络平滑演进 l 智能天线技术，亲密监控覆盖区域内WLAN终端，随动转向、定向增益，强力抑制干扰信号，大大降低同频干扰机率，在同频干扰环境中，吞吐率相对一般全向天线AP高出70% l AP智能化，开通配置零接触，即插即用；胖瘦一体自适应；独有负载均衡算法，完美削峰填谷；智能选择信道，自动调整AP功率、速率，绿色节能；可大大简化布署和运维成本 4 华为WLAN设备关键特征 4.1 华为AP介绍 AP3010DN-AGN 是SMB 分销级双频无线AP（Access Point），支持2*2MIMO，支 持2.4GHz 和5GHz 频率，遵照IEEE 802.11b/g/n 标准，双频同时提供业务，提供更高 接入容量，支持Fit 模式WLAN（Wireless Local Area Network）接入点设备。 AP3010DN-AGN 含有完善业务支持能力，高可靠性，高安全性，网络布署简单，自 动上线和配置，实时管理和维护等特点，满足室内放装型网络布署要求。 AP3010DN-AGN 能够为中小型企业提供基础802.11n 无线网络，该类型设备可依据不 同环境灵活实施分布放装。 4.2 华为 AC介绍 AC6605是华为技术推出无线接入控制器，提供大容量、高性能、高可靠性、易安装、易维护无线数据控制业务，含有组网灵活、绿色节能等优势。AC6605含有以下特点和性能： l 强大接入容量，最大可管理1024个AP（Access Point），达成盒式AC（Access Controller）设备业界最高水平。 l 提供智能用户组策略管理。 l 含有CAPWAP（Control And Provisioning of Wireless Access Points）隧道硬件线速转发功效。 l 设备可经过网管eSight、命令行（CLI）进行维护。 支持以太网OAM（Operation, Administration and Maintenance）