工程概况
采取通行的网络协议标准:目前无线局域网普遍采用802.11系列标准,因此无线局域网将主要支持802.11g(54M带宽)标准以提供可供实际应用的相对的网络通讯服务,同时兼顾多种类型应用和将来的投资保护,需要同时支持801.11a,802.11b,实现双频三模技术;
覆盖范围要求:
1、有线网络无法接入的室外场所:区域内一些场所很难实现网络有线接入,采用无线方式可以实现覆盖大范围室外空间的无线网络接入。
2、有线网络使用不便或受限的室内空间:区域内一些室内场所空间较大,会产生许多人同时接入网络的需求,采用有线的方式只能提供少量接口,不能满足要求。用无线网络覆盖来解决相当数量的移动设备同时访问网络的问题。
无线网网络结构要求:
无线接入所需布设的AP通过局域网的汇聚层设备接入到局域网中,在汇聚层都提供相应的接口给无线网线,在接入层设备要在方案中进行描述。
设计方案
一、整网逻辑拓扑图
二、无线用户认证解决方案
本方案主要采用portal认证,无线AP与无线控制器通过二层隧道协议通信,无线用户的认证点都是放置于无线业务插卡设备上,后台的iMC认证计费系统作为用户鉴权点。
鉴于目前无线网络本次规模,从网络支撑能力的角度来看,需要1块板卡就可以实现。针对无线用户,无线控制器作为802.1x认证的终结点,iMC认证计费系统作为最后的鉴权点,当用户在AP内进行切换时,此时的主要工作由无线交换机进行统一调度,当用户在不同的端口下的不同AP的覆盖范围时,此时用户不会再次触发认证。
三、整网安全解决方案
无线局域网络公众型网络,网络安全问题在建网时必须考虑问题,安全方式主要侧重几个方面:用户安全、网络安全,而在局域网络中主要依附于用户实体的属性主要包括用户使用的信息终端二层属性(诸如:MAC地址)及用户的帐号、密码,而对于用户来,帐号信息都是一个实名原则,与用户的个人信息进行关联的,这样本无线网络中着重考虑使用无线网络的空口信息的安全机制,同时也要考虑与无线相关的有线网络的安全问题,对于原有有线网络的安全问题,在本技术建议书中不作相应的考虑;
无线网络安全部分主要包括以下方面的内容:
1、MAC地址过滤:目前支持基于MAC地址的过滤,限制具有某种类型的MAC地址特征的终端才能进入网络中;
2、SSID管理:是一种网络标识的方案,将网络进行一个逻辑化标识,对终端上发的报文都要求进行上带SSID,如果没有SSID标识则不能进入网络;
3、WEP加密:WEP加密是一种静态加密的机制,通信双方具有一个共同的密钥,终端发送的空口信息报文必须使用共同的密钥进行加密;
4、支持AES加密,AES安全机制是一种动态密钥管理机制,同时密钥生成也基于不对称密钥机制来实现的,同时密钥的管理也定期更新,具有体的时间由系统可以设定,一般情况都设定为5分钟左右,这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来,从无线空口的流理来看,基本上是不可能的;
5、可根据用户名来划分权限,即相同用户在不同地点接入无线网络其权限保持一致;密钥设置可能根据SSID信息与用户信息进行组合,即不同的SSID下不同的用户的密钥生成可以不一样,这样一定程度上保证用户之间串号问题产生,从而保护投资,以达到营维平衡;
6、实现流量异常、报文异常监管,从而保护网络的进一步安全;
四、频率规划与负载均衡解决方案
频率规划(支持双频三模,建议部署802.11g)
802.11g使用开放的2.4GHz ISM频段,可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5个信道的工作中心频点。因此对于802.11g在2.4GHz地工作频段,理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。此外,由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。
针对如何进行802.11g的频率规划作了大量的实验,实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖,并提供更高的服务带宽提高服务质量,和高带宽业务的开展。
图3 频率规划原理图
频率规划需要配合使用的功能包括
1、AP支持13个信道设
2、AP支持100mW最大射频功率以及多级功率控制
3、AP支持外置天线以及定向天线
4、针对特殊应用还需要AP支持桥接功能、接入功能以及WDS功能
五、无线网络管理解决方案
基于标准的SNMP协议实现对设备的管理,专门的无线局域网管理软件Quidview无线组件可实现对WLAN所有网元的管理。网管工作站可以放在网上的任意位置,通过标准的SNMP即可实现对无线交换机的管理。无线交换机可以实现更为强大的管理包括AP的自动拓扑发现、自动升级、批量配置、分级管理、分级告警等,并可实现针对无线覆盖空间内的射频扫描、非法接入点监听等安全功能。而无线局域网管理软件WXM可以实现配置管理整个WLAN无线网络,其具备以下特点:
1、零配置安装:接入点无需准备预设置,AP从无线控制器继承配置信息。可将无线控制器接入中心机房核心交换机中,无线AP无需事先进行任何配置,即通过接入层交换机接入有线网络,并自动注册到无线控制器上,获取DHCP SERVER分配的IP地址,并自动下载配置文件正常工作,在大规模AP的项目中大量节省安装维护成本。
2、防盗防入侵:敏感配置信息不在本地保存,即使设备被入侵被盗也不会丢失安全信息。实际运营中很多AP是放置在公共场所,如果密钥、SSID等安全信息在本地保存的话,一旦失窃对全网安全性造成威胁,无线AP由于其零配置安装,一旦掉电不会保存任何信息,避免入侵。
3、支持灵活的拓扑结构:AP允许多种部署,从而能够直接或间接连接到管理它的无线局域网控制器。无线控制器与无线AP之间可以隔离任何路由器或交换机,只要共同连接进有线网络,无线AP就可以自动寻找到无线控制器实现注册。
4、自动设置发射功率和分配射频信道:自动设置发射功率和分配射频信道,用以优化射频单元大小和满足各国对射频信道的要求。当有个别AP故障时,无线控制器会自动调大相邻AP的功率弥补信号盲区。
5、基于身份的组网:根据用户名对用户权限进行区分,不同于传统的WLAN网络通过接入的有线交换机端口对用户权限进行划分,并且可以对用户的位置、带宽以及漫游等历史数据进行记录跟踪。
6、提供增强的安全性和无缝漫游:通过这项基于身份的组网功能,经过改进的用户组认证接入控制、始终强制的漫游策略以及对带宽使用的监视实现了无线局域网的增强的安全性,实现了无缝的用户移动性和自由性,从而可以进行安全连接和漫游,一次认证多次接入,免去在不同AP下切换的再次认证。
7、安全管理:提供入侵检测功能,专用 AP 可以不断地扫描空域,以便对要求更高安全性的环境提供全天候保护。一旦无线网络中有非法接入点接入,无线AP将上报相应的告警给无线控制器,并通过网管软件显示。
六、无线AP供电解决方案
由于本次无线网中AP设备数量较多,AP布放位置根据实际覆盖效果而调整,在已建设完成的建筑物上较难进行本地供电,对于室外覆盖主要采用AP放在室外,对AP的本地供电问题难度更大。基于标准的802.3af实现对AP的供电。通过在汇集交换机处叠加一个供电电源或者内嵌交换机内,通过以太网线在传输数据同时给AP供电,供电距离达100米,满足实际组网的要求。
但部分区域AP需室外放置,即需要配合室外机箱使用,为保证寒冷天气低温工作室外机箱内置电加热板,因此除给AP进行POE供电外还需对机箱进行本地交流供电。