XX-无线网络建设方案模板(共48页).doc
精选优质文档-倾情为你奉上XXXX无线网络建设方案华三通信技术有限公司XXXX年XX月XX日专心-专注-专业目录第1章 概述(可以对从用户单位摘取一些公司背景和无线技术背景或如下:)WLAN是Wireless Local Area Network的缩写,中文全称为“无线局域网”。 WLAN采用射频(RF)技术构成局域网络,是一种便利的数据传输系统。由于无线局域网设备一般工作于免授权(unlicensed)频段,在频段的使用上无需高昂的许可费用,在接入速率和适应环境上又与3G技术存在互补性,因此,WLAN具有3G不可取代的优势;同时,由于无线局域网可以在不受地理条件限制、通信不便利以及移动通信的情况下,组建计算机网络,因此它又是有线网络的重要补充。WLAN的产品主要分为AP和用户端的适配卡。其中WLAN适配卡的销量每年以50的速度增长,其中绝大多数适配卡都被用于专业便携PC中。WLAN将成为商业便携PC的主要连接方法,到2006年,接近50的商业便携PC将安装有WLAN适配卡,一半的WLAN适配卡是随同PC一起销售的。可以预见,WLAN作为一种高速无线数据接入的手段,必将与有线网络一起,构成灵活、高效、完善的宽带网络。无线局域网技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。对比传统的有线传输解决方案,使用WLAN网桥实现数据传输具有以下显著特点:简易性:WLAN网桥传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作;灵活性:无线技术使得WLAN设备可以灵活的进行安装并调整位置,使无线网络达到有线网络不易覆盖的区域;综合成本较低:一方面WLAN网络减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网技术可以更好地保护已有投资。同时,由于WLAN技术本身就是面向数据通信领域的IP传输技术,因此可直接通过百兆自适应网口和企业、学校内部Intranet相连,从体系结构上节省了协议转换器等相关设备;扩展能力强:WLAN网桥系统支持多种拓扑结构及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统;随着WLAN技术的快速发展和不断成熟,目前在国内外具有较多的中大规模应用,诸如荷兰的阿姆斯特丹市的全城覆盖,向客户提供各种业务。第2章 需求分析从标书或了解到用户的详细需求,复制过来,并加以适当描述或如下:XXX单位为不断丰富宽带应用服务,将充分利用自身网络、客户等资源优势,抢占无线宽带市场,营造互联网产业良性发展的生态环境,积极推动互联网产业链的可持续发展。XXXX单位WLAN覆盖项目建设的总体目标是:完善组织架构,实现资源优化配置,挖掘现网潜力,提高资源利用率,增加业务种类,快速占领市场,满足个性化客户需求。通过完善组织架构,实现资源优化配置,依托XXXX强大的现有本地网络维护体系;通过挖掘河北网通现有网络潜力,利用现有资源,产生尽可能大的经济效益,降低运营成本;丰富河北网通业务种类;通过快速占领无线宽带市场, 弥补河北网通在无线宽带市场的空白,满足社会个性化客户的需求。XXXX单位WLAN覆盖项目目标如下:(可以摘自标书的项目需求,或者从用户处问到需求)1.。2.。本工程具体的建设目标是:采取通行的网络协议标准:无线局域网将主要支持802.11g/N标准以提供可供实际应用的相对稳定的网络通讯服务;室内覆盖范围大于50m。全面的无线网络支撑系统(包括无线网管、无线安全、无线QOS等),以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题;保证网络访问的安全性,支持用户多种接入方式认证机制,包括:基于PPPoE、802.1X、Portal、MAC等认证,支持外置的Portal服务器和外置的AAA服务器系统;安全、认证和管理要求为了阻止非授权用户访问无线网络,以及防止对无线局域网数据流的非法侦听,无线网络要具有相应的安全手段,主要包括:物理地址(MAC)过滤、服务区标识符(SSID)匹配、AES加密,双向认证等方式。2.1 无线点位需求(可根据工堪结果或根据用户提供的详细图纸,统计出项目点位图,如下:) XXXX点位表楼层AP点位20口POE交换机点位(每配线架一台)XX大楼备注一楼31二楼37、8101两层每层5台9-2278413层每层6台合计946XX大楼1楼512楼53楼74楼47-2264516层每层4台合计856第3章 建设原则3.1 实用性原则3.1.1 先进性和实用性并重系统要有一定的前瞻性。在无线网络建成后的3-5年之内,不会由于业务量的增加导致对网络结构及主要设备的重大调整,避免技术进步造成投资浪费。3.1.2 兼容性网络采用开放式体系结构,易于扩充,使相对独立的分系统易于进行组合和调整。选用的通信协议符合国际标准或工业标准,网络的硬件环境、通信环境、软件环境相互独立,自成平台,使相互间依赖减至最小,同时保证网络的互联。3.2 无线方案设计原则根据中国国家无线电管理委员会的规定,在办公室内部署无线网络信号辐射不得超过100mw,以避免2.4GHz和5GHz对人体的影响。同样的原因,在通常情况下,终端使用5mw左右的发射功率,以避免大功率长期辐射对人体的影响。随着终端和AP之间的信号的强弱,AP和终端会自动协商根据信号的衰减程度,自动降低传输速率和增大传输功率,功率智能调节。3.2.1 实时的射频自动监测无线信号容易受到其他信号的干扰,需要AP实时进行射频的监测,AP后台的控制器能够实时对AP进行控制,控制功率的大小,比如当1个AP失效以后,其他的AP通过自动计算对功率进行增加;出现信号的时候,控制器能够对信号干扰来源进行定位,确定何处的信号干扰,信号干扰的程度如何,并地图方式显示在网管上。无线网络与医疗仪器的相互干扰和影响取决于设备的摆放位置、发射频率、输出功率,以及设备自身的抗干扰能力,无线网络的信号必须不能干扰医疗仪器。无线信号会扩散到物理围墙之外,从而可能将医院的WLAN拓展到某个停车场或者相邻建筑物。必须采用正确的RF设计、发射功率控制和先进的定位技术。3.2.2 自动负载均衡可以对AP自动的负载均衡,将终端分别发送到不同的AP,自动计算和对终端的流量进行均衡,比如,当这个AP的利用率到了80%,那么控制器自动将用户引导到另外的空闲的相邻AP上面。3.2.3 自动频道管理和跨IP域漫游无线局域网802.11b标准使用3个不重复的频道,1、6、11,为了实现自动漫游,需要对频道的管理。无线系统由于采用了后台集中控制的方式,能够当AP布防后,通过实时射频监测,然后自动对频道进行分配,并地图方式显示在网管上。无线局域网的AP如果处于不同的子网,在漫游的过程中,需要处理三层的漫游,在后台保持用户的DHCP得来的IP租用,认证的会话密钥等,控制器可以自动完成三层无线漫游。3.3 安全性性原则XXXX网络主要服务于无线查房等无来的承载,此时网络安全问题在建网时必须考虑问题,安全方式主要侧重几个方面:用户安全、网络安全,而在校园网络中主要依附于用户实体的属性主要包括用户使用的信息终端二层属性(诸如:MAC地址)及用户的帐号、密码,同时也要考虑与无线相关的有线网络的安全问题,对于原有有线网络的安全问题,在本技术建议书中不作相应的考虑;无线网络安全部分主要包括以下方面的内容:MAC地址过滤:目前支持基于MAC地址的过滤,限制具有某种类型的MAC地址特征的终端才能进入网络中;SSID管理:是一种网络标识的方案,将网络进行一个逻辑化标识,对终端上发的报文都要求进行上带SSID,如果没有SSID标识则不能进入网络;WEP加密:WEP加密是一种静态加密的机制,通信双方具有一个共同的密钥,终端发送的空口信息报文必须使用共同的密钥进行加密;支持AES加密,AES安全机制是一种动态密钥管理机制,同时密钥生成也基于不对称密钥机制来实现的,同时密钥的管理也定期更新,具有体的时间由系统可以设定,一般情况都设定为5分钟左右,这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来,从无线空口的流理来看,基本上是不可能的;华三的无线方案中可根据用户名来划分权限,即相同用户在不同地点接入无线网络其权限保持一致;密钥设置可能根据SSID信息与用户信息进行组合,即不同的SSID下不同的用户的密钥生成可以不一样,这样一定程度上保证用户之间串号问题产生,从而保护投资,以达到营维平衡;无线网络需要支持最多的安全特性,采用集中认证,对每个数据包进行加密。通过对射频的实时监测,发现并定位恶意的AP,恶意AP是未经授权的人员通过自己设置一个AP,吸引无线终端连接到恶意AP从而非法获得数据的黑客方法。对恶意AP的扫描配合采用安全无线认证协议,能够解决AP和无线之间的相互信任问题。第4章 XXXX无线网络方案设计4.1 无线网络结构可把工堪的实际情况以及方案设计思路,把方案的布署方式,结构做简要分析。根据XXXX实际情况,实现无线网络覆盖需部署的无线AP数量庞大,管理难度大。因此,本次方案将采用无线控制器+FIT AP架构建设基于IEEE 802.11n技术标准的无线网络,并实现整个无线网络的统一集中式管理。无线网络建设以现有局域网络为基础,在中心机房部署两台无线控制器,互为冗余备份。各分院的无线AP均工作在FIT模式,由控制器集中管理,实现安全策略、无线QoS策略统一下发。无线AP由POE交换机进行远程供电,提高设备部署的灵活性。POE交换机部署于各配线间,通过千兆链路连接局域网骨干,实现无线网络和有线网络的衔接。同时,本次网络建设包含网络管理软件,将进一步完善无线网络管理方案,增强网络的安全性和实用性。整体网络拓扑结构如下图所示: (根据用户实际需求,及网络现状画出拓扑,拓扑比较重要,一定要专业)4.1.1 无线控制器(无线控制器可根所实际选型来定,以下以WX5004为例)根据现场的实际考察,针对XX大楼、XX大楼本次网络建设需部署xx个无线AP。因此,无线控制器选用H3C WX5004。WX5004最高管理256个无线AP,满足xx单位无线网络建设实际需求,并为将来网络扩张预留空间。双机热备本次项目配置两台无线控制器,做1+1快速备份。H3C WX5004无线控制器支持300毫秒业务备份,AP会同时和两台无线控制器建立CAPWAP链路,一台作为主控制器,另外一台作为备份控制器,备份控制器和主控制器建立的CAPWAP链路处于工作状态。当主控制器异常down机时,备份控制器和主控制器之间的心跳检测机制可以保证在300毫秒之内检测到主设备的异常,并通知AP将主控制器CAPWAP链路切换,保证控制信号的不间断传送。信道切换功能H3C WX5004支持信道切换功能,通过信道智能切换功能,可以保证每个AP能够分配到最优的信道,尽可能地减少和避免相邻信道干扰,而且通过实时信道干扰检测,可以让AP实时避开雷达,微波炉等干扰源。智能AP负载分担H3C WX5004支持智能AP负载分担功能,可以实时地分析无线客户端的位置,动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载,通过控制无线客户端接入的AP,来实现这些AP间的负载分担。系统不仅支持按照用户在线会话数的负载分担,而且支持按照用户流量负载的分担。入侵防御功能H3C WX5004支持无线入侵防御功能,当控制器检测到攻击后,会产生告警或者日志,提醒管理员进行相应的处理。特别无线协议攻击防御可以和动态黑名单配合使用,当控制器检测到攻击时,可以将发起攻击的无线客户端动态添加到动态黑名单中,从而保证WLAN系统不再被该设备攻击。4.1.2 无线AP(无线AP可根所实际选型来定,以下以H3C WA2620I-AGN为例).考虑到xx对无线网络有高稳定性和高安全性的需求,因此,在设计无线网络的时候采用IEEE 802.11n技术标准。本方案中,室内型无线AP建议选用H3C WA2620I-AGN智能型AP。H3C WA2620I-AGN支持IEEE 802.11a/b/g/n技术标准,提供相当于传统802.11a/b/g网络6倍以上的无线接入速率,传输速率最高可达300M,并且能够覆盖更大的范围和更高的连接稳定性。H3C WA2620I-AGN为双频设计,可同时工作于2.4G和5.8G频段。因此在实际应用中,对于仅支持802.11b/g标准的数据终端,例如PDA、应用手持终端等,可采用2.4G频段接入无线网络。而对于支持802.11n标准的数据终端,如笔记本电脑和平板电脑等,可采用5.8G频段进行数据高速传输,与2.4G频段相互隔离,互不影响,从而提高网络的实用性和安全性。4.1.3 POE交换机(POE交换机可根所实际选型来定,以下以H3C S5120-28C-PWR-EI为例)由于本次无线网中AP设备数量较多,AP布放位置根据实际覆盖效果而调整,在已建设完成的建筑物上较难进行本地供电。因此在本方案中,无线AP统一由POE交换机进行远程供电。POE交换机采用H3C S5120-28C-PWR-EI。S5120-28C-PWR-EI为全千兆交换机,配置24个千兆以太网电接口和4个千兆光接口,提供高密度的网络接入服务。支持全端口线速转发,配合无线802.11n技术标准,实现无线业务数据的高转发,提高网络整体性能,满足医疗多媒体应用需求。H3C S5120-52C-PWR-EI POE对外供电功率370W,满足全端口POE供电,可实现无线AP高密度接入。4.2 技术选型4.2.1 无线网络架构无线局域网技术经过十几年的发展,已经历了三代技术及产品的发展。第一代无线局域网主要是采用Fat AP(即“胖”AP),每一台AP都要单独进行配置,费时、费力、费成本;第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置,其管理性和性以及对有线的依赖成为了第一代和第二代WLAN产品发展的瓶颈,由于这一代技术的AP储存了大量的网络和安全的配置,包括加密的钥匙,Radius client的安全密码 (secret) 等,而AP又是分散在建筑物中的各个位置,一旦AP的配置被盗取读出并修改,其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的,所以当用户接入数量 (IP sessions)增多时,无线网的性能会急剧下降,时常会发生掉线或死机情况。在这样的环境下,基于无线交换机技术的第三代WLAN产品应运而生。第三代无线局域网采用无线交换机和FIT AP(即“瘦”AP)的架构,对传统WLAN设备的功能做了重新划分,将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现,同时加入了许多重要新功能,诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。,使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。室内无线覆盖将使用大量无线接入点(AP)提供无线网络接入服务,必须有效实现多个AP的统一策略部署和可靠的安全认证机制,因此,采用FIT AP的解决方案,即采用无线控制器结合FIT AP与无线网络管理系统的架构。4.2.2 无线传输技术从1999年802.11b技术出现到2009年802.11n技术成为正式标准,WLAN的速率从11Mbps发展到300Mbps;伴随着WLAN速度的提升,双模手机、无线定位、无线摄像头、无线条码扫描枪、移动PoS等新业务和新产品快速推出;与此同时,无线医疗、无线园区、无线校园、无线城市概念也不断推出,伴随着这些新产品和新概念,WLAN用户数快速增长,截至2008年底,中国新建的无线城市数量达30多个,2009年全球WLAN用户将接近10亿。 (以下对行业背景做简单介绍,如下对无线医疗介绍:对无线医疗网而言,使用802.11n技术是理想的选择。移动查房前期,医生护士专注于病患体征、遗嘱执行的无线数据业务,随着应用不断深入和效率的提升需求,PACS影像将被要求实现移动查询,传统的802.11g技术的54MHz带宽(实际文件传输速率20-25MHz)已经无法满足及时调用PACS影像的需求。而802.11n技术的正式推出,第一次把WLAN的速度提升到百兆以上(实际文件传输速率高达150MHz以上,是802.11g的6倍),无线的带宽不再是装饺子的茶壶嘴,而MIMO技术的使用,也极大的提升了WLAN的抗干扰性、穿透力和覆盖范围,因此802.11n一经推出就得以快速普及,并取得了大量商用部署成果,在医疗行业进行了广泛部署应用。近来国内大型三甲医院新建的无线查房业务,选择802.11n技术的医院超过70%。因此,基于XXXX实际业务需求和未来无线网络发展的考虑,同时遵循技术先进性、网络高能性和建设经济性的原则,采用IEEE 802.11n方案,构建高速、稳定、安全的无线网络。4.3 无线网络规划4.3.1 信号覆盖规划4.3.1.1 XX大楼可对大楼环境进行相应描述,把特别的需注意的问题指出以及将方案设计的理由做阐述.如:北院大楼共22层,包括一楼大厅、二楼输液楼、(三楼PICU、四楼手术室、六楼NICU由于摆放较多医学仪器,故该楼层不进行信号覆盖、五楼机房也不需要)、7至22楼为标准病房。共94台AP。详细点位数见点位表一楼输液区功能比较简单,包括大厅及少数办公室,所以布2个AP。二楼输液厅,在布3个AP,分布如下图所示:各个楼层根据工堪情况画出点位图,最好能有建设图纸文件,其他楼层方法一样.4.3.1.2 XX大楼其他大楼方法一样,尽量把用户所有大楼、楼层描述清晰。4.3.2 频率规划目前针对WLAN来讲,2.4G具有3具不重叠的信道,针对5.8G具有5个不重叠信道。根据实际用户端对无线传输协议标准的支持程度,网络覆盖时需要对WLAN网络空间进行2.4G与5.8G频率的双重覆盖,从网络规划的角度出发,主要考虑2.4G与5.8G二个频率的覆盖设计,针对2.4G的频率的信号衰减模型主要采用如下:PathLoss(dB) = 46 +10* n*Log D(m),而对于5.8G的信号衰减模型:PathLoss(dB) = 32.4+20*lg fMHz+ 20*lgdKM +a * dKM,以上二信号衰减模型进行网络的设计,到具体网络实施时要进行工勘与优化,而对于信道主要采用1、6、11三个信道交错使用,具体的面覆盖逻辑示意图如下:4.3.3 频率复用针对频率复用的设计与实现主要侧重于重叠区域,考虑到802.11技术中目前业界主要采用DCF的仲裁,这样会导致从网络实施的角度出发,没有办法做到像GSM、3G网络的控制力度,从技术原理的角度出发,没有办法实现很好的频率复用,只能被动做些负载均衡的功能。每个AP具有300Mbps、150Mbps、54Mbps、48Mbps、36Mbps、18Mbps等的覆盖范围,对于54Mbps的覆盖范围不重叠,对于54Mbps与18Mbps就可能进行重叠,可以根据网络侧的负载功能进行实现一定程度的频率复用功能,从网络规划的角度出发,WLAN基本上、下行无线链路复用的处理问题,因为目前都是DCF方式,而从只能结合业务目标实现网络覆盖效果。4.3.4 AP容量规划从业界实现的DCF方式来看,没有一个最大用户数的限制,但业界各个厂商进行实现时都基于一定理解的前提下进行默认限制,H3C目前每个AP单射频最大的用户默认限制为64个用户,从网络规划的角度出发,按每个AP支持20个用户进行网络规划。AP的最大净荷吞吐量为:23Mbps,用户的增加总带带下降量不大, 100kbps/用户,按128用户进行规划;300kbps/用户按64用户进行规划;1Mbps/用户按22用户进行规划;2Mbps/用户按11用户进行规划; 802.11a/b/g能够接入的并发用户数量根据不同的业务要求下的用户数量,从系统能力的角度出发,可以支持64用户接入。由于802.11a或g物理带宽为54M,除开无线开销,真正可用的带宽为24M,同时,802.11a/b/g采用CSMA/CA技术,接入用户数越多,无线网络的使用效率就越低。因此,建议每个AP接入用户数按20个人来计算。802.11n单射频能提供高达300Mbps的无线接入速度,是传统802.11a/b/g产品的六倍,覆盖距离更大,能提供更多用户、更大范围、更大流量的无线接入服务。4.3.5 负载均衡AP上支持标准的IAPP协议框架,通过负载均衡的部署,可实现在一个热点内用户平均分配到所部署的所有AP上,达到在一个服务区AP接入用户数何流量的平衡,为用户提供更高的服务质量。具体可部署的负载均衡策略有:对所有AP设置基于用户数的负载均衡功能,AP通过对接入用户数的统计,与设定AP接入用户数量阀值比较,达到阀值后,不允许新的用户接入。对所有AP设置基于流量的负载均衡功能,AP通过对接入用户流量的统计,与设定AP上流量漏桶阀值上沿比较,达到阀值后,不允许新的用户接入,少于阀值下沿,再允许新用户接入。配合网络规划,设置AP群功能,在一个群内的AP通过组播报文实时通报接入用户数量,当发现AP间用户数差值大于设定阀值,接入用户多的AP将部分用户赶下网。第5章 无线网络安全5.1 用户安全数据安全部分主要包括以下方面的内容:MAC地址过滤:目前支持基于MAC地址的过滤,限制具有某种类型的MAC地址特征的终端才能进入网络中;对一些手持终端(例如:WiFi Phone、手持移动终端等)并不方便采取电脑上的认证方式,MAC地址认证却可以轻松解决该问题,实现在控制器上配置好合法的MAC地址,这些MAC地址对应的终端就可以被允许被接入到网络,而事先没有被配置的非法终端则不能接入无线网络,该功能极大地方便了例如无线医疗系统等应用,MAC地址认证可以确保只有医院的PDA工作终端才能接入到无线网络,而拒绝病人的无线PDA使用专用无线网络。SSID管理:是一种网络标识的方案,将网络进行一个逻辑化标识,对终端上发的报文都要求进行上带SSID,如果没有SSID标识则不能进入网络;通过定义多个SSID,可以制定基于SSID的网络服务,实现不同等级的用户拥有不同的权限。WEP加密:WEP(Wired Equivalent Privacy)是802.11b采用的安全标准,用于提供一种加密机制,保护数据链路层的安全,使WLAN的数据传输安全达到与有线LAN相同的级别。WEP采用RC4算法实现对称加密。通过预置在AP和无线网卡间共享密钥。在通信时,WEP标准要求传输程序创建一个特定于数据包的初始化向量(IV),将其与预置密钥相组合,生成用于数据包加密的加密密钥。接收程序接收此初始化向量,并将其与本地预置密钥相结合,恢复出加密密钥。WPA加密:WPA(Wi-Fi Protected Access)是保护Wi-Fi登录安全的装置。它分为WPA和WPA2两个版本,是WEP的升级版本,针对WEP的几个缺点进行了弥补。是802.11i的组成部分,在802.11i没有完备之前,是802.11i的临时替代版本。不同于WEP,WPA同时提供加密和认证。它保证了数据链路层的安全,同时保证了只有授权用户才可以访问WLAN网络。WPA采用TKIP协议(TemporalKeyIntegrityProtocol)作为加密协议,该协议提供密钥重置机制,并且增强了密钥的有效长度,通过这些方法弥补了WEP协议的不足。WAPA加密:WAPI(WLAN Authenticationand Privacy Infrastructure)是我国自主研发并大力推行的WLAN安全标准,它通过了IEEE(注意,不是Wi-Fi)认证和授权,是一种认证和私密性保护协议,其作用类似于802.11b中的WEP,但是能提供更加完善的安全保护。WAPI采用非对称(椭圆曲线密码)和对称密码体制(分组密码)相结合的方法实现安全保护,实现了设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。WAPI除实现移动终端和AP之间的相互认证之外,还可以实现移动网络对移动终端及AP的认证。同时,AP和移动终端证书的验证交给AS完成,一方面减少了MT和AP的电量消耗,另一方面为MT和AP使用不同颁发者颁发的公钥证书提供了可能。无线方案中的密钥设置可以根据SSID信息与用户信息进行组合,即不同的SSID下不同的用户的密钥生成可以不一样,这样可以做不到不同的用户不同的管理方式,同时具备不同的权限。Portal认证:Portal又称为门户网站,Portal认证通常也称为Web认证。在部署了Portal认证方式之后,未认证用户只能访问特定的站点服务器,其它任何访问都被无条件地重定向到Portal服务器,在输入正确的用户名和密码后才能通过认证;只有在认证通过后,用户才能访问其他站点。5.2 系统安全无线终端的异常流量检测及报警:无线网管提供全面的系统级统计数据:可提供包括错误和流量的以太网统计数据,其中包括包的大小、无线统计数据以及用户会话统计数据,它们保存为用户在多个AP上的漫游记录,并且都具有易查看的表格和图表,以便快速识别数据走向。基于所有AP上来的无线终端的数据都要通过AP与无线交换机之间的二层隧道进行通信,因此所有无线终端的流量均可通过无线网管进行统计,并且通过实时的统计报表呈现出所有用户访问网络流量,并通过设定流量阈值,一旦某无线终端流量超过阈值即实现异常流量的报警功能。用户访问控制:提供基于身份的组网:提供基于用户身份的所有服务,以使用户在漫游时具有诸如虚拟专用组(Virtual Private Group)成员资格,并实现不同权限的划分;在实际应用中可通过给不同部门分配不同的用户名访问无线网络,并给予不同部门不同的访问权限。5.3 无线入侵检测WIDS非法设备是未经网络管理者许可部署的无线设备或者是发起无线攻击的设备。无线控制器可以指定AP工作在两种工作模式:模式一、AP负责监听空口所有信道的信息,但不负责用户报文的转发。模式二、AP在为用户转发数据的同时定期切换到其他信道监听信息。AP设备负责把监听到的无线设备和有攻击行为的无线设备上报给无线控制器。无线控制器根据AP上报的设备信息识别非法设备,排除合法设备。无线控制器可以控制AP 将非法设备列入黑名单或者对其发起攻击。非法设备检测比较适合于大型的WLAN网络。通过在已有的WLAN网络中部署非法设备检测功能,可以对整个WLAN网络中的异常设备进行监视,并且可以根据需要对非法的设备进行防攻击处理(在实际的网络应用中,可以启动防攻击功能,即WIDS会尽量阻止非法的设备提供服务或者接入到无线网络)。非法设备检测可以检测并且分类WLAN网络中的多种设备,例如非法AP,非法无线终端,非法无线网桥等等。入侵检测主要为了及时发现WLAN网络中的有意或者无意的攻击,通过记录信息或者日志方式通知网络管理者。根据入侵检测的结果,网络管理者可以及时调整网络的配置,去除WLAN网络的不安全因素,保证WLAN网络不再受到攻击。目前H3C的入侵检测主要包括802.11报文Flood攻击检测、AP Spoof检测以及Weak IV检测,而且其中Flood攻击检测可以根据不同类型的报文进行攻击检测。接入控制根据特定的属性实现了对无线客户端接入WLAN网络的权限控制。目前WIDS接入控制主要根据MAC地址进行规则控制,并且支持两种控制规则:黑名单和白名单。其中白名单只能通过手动进行配置;而黑名单同时支持手动配置方式和动态添加方式,入侵检测系统和非法设备检测模块检测到非法攻击,可以动态地将该非法设备添加到黑名单中,后续所有从该设备接收到的报文会被直接丢弃,从而保护了WLAN网络不再受到该非法设备的攻击。 第6章 无线网络QOS6.1 漫游切换支持无线终端在无线网络中移动时,必然要进行不同AP之间、所属不同有线交换机之间的漫游切换。首先无线终端会通过无线局域网服务器的CAMS软件进行第一次的安全接入认证,无线交换机会介入该认证过程,并获得PMK(Pairwise Master Key)。无线终端根据PMK生成多个通讯用密钥,开始进行加密会话。当无线终端发现需要进行切换时,会进行如下操作:与无线交换机进行连接的预建立;无线交换机与需要建立连接的AP交换通讯用PMK密钥,并将PMK密钥传给无线终端;无线终端发布更新消息,更新无线交换机转发表;原有的数据流转换到新的AP上来;切断原有的数据连接。整个L2、L3漫游过程在50ms内全部完成,并兼容IEEE 802.11i、IEEE802.11f和IEEE802.11e标准,可良好支持语音、视频等多媒体业务的需求。考虑到具有语音与视频的潜在需求,可以通过设置专门的SSID作为语音/视频业务使用,通过划分VLAN方式实现语音终端仅仅与语音网关进行通信,保证语音业务与数据业务隔离开来。6.2 多媒体业务的QOS支持在无线系统中,WLAN部分非常重要的就是QoS。而对于涉及到语音、视频业务的无线系统系统,通信质量尤为重要,是事关系统质量的关键指标。QoS的总体思想就是保证实时语音、视频等业务在最高的优先级。华三的WLAN系统在所有的层次保证了用户数据的最高质量的优先级调度。如图所示,在无线控制器和AP之间是通过隧道通信,不同的无线控制器之间也是通过隧道通信,业务的QoS保证是在三个层次内完成的,有AP的QoS保证,无线控制器的QoS保证和L3的QoS保证。应用层数据与WLAN优先级的映射:基于DiffServ的QoS映射:AP进行WMM与COS/TOS之间映射AP与无线控制器之间基于隧道的到TOS、DSCP的QoS映射:无线控制器之间基于隧道的TOS、DSCP到COS的QoS映射:L3交换机/无线控制器之间进行COS与TOS、DSCP之间的映射:业务类型WMMLayer 2 CoS(802.11p/Q)Layer 3 IPPrecedence(TOS)Layer 3DSCPBackground0000330x6024Best Effort110x208220x4016Video440x8032550xa040Voice660xc048770xe056基于DiffServ的队列调度AP在输出接口支持多个队列,按优先级调度语音流和会议电视放入严格优先级队列PQ中,流媒体和关键数据业务放入CBWFQ。华三的WLAN AP设备可以支持二层优先级(802.1p/Q),三层优先级数据(TOS)到WLAN MAC层优先级的映射,并且可以数据的类型,将不同类型的报文使用不同的优先级传输。具体的QoS配置参数如下:在AP的QoS范畴内,不仅仅继承了IEEE802.11 MAC里面所规定的CSMA/CA(载波侦听多路访问/冲突避免)的DCF(分布式协调功能)机制,华三 无线AP更加实现WMM所规定的EDCF(增强型分布式协调功能)。也就是将业务分为不同的4个队列Backgournd,Best Effort,Video和Voice,就可以把不同的业务类型放入不同的队列中,根据大楼无线网络的特殊应用,我们设定AP的QoS配置如下表。业务类型AP级别的QoS配置实时视音频流67实时视频流(上行监控)45实时信息流12数据流0、3在L2优先级配置的范畴里面,根据业务应用的特点将不同的业务放入了不同的优先级队列,如下表所示。业务类型L2优先级队列实时视音频流67实时视频流(上行监控)45实时信息流12数据流0、3第7章 无线网络管理在本次无线方案中,无线管理由H3C 的iMC智能管理中心的无线管理组件实现管理。通过无线管理系统以及AC的配合,可以实现更为强大管理功能,包括AP的自动拓扑发现、自动升级、批量配置、分级管理、分级告警等,并可实现针对无线覆盖空间内的射频扫描、非法接入点监听等安全功能。H3C iMC采用B/S架构,更为方便的通过远程方式对网络的状态进行监控和维护,运维人员可以采用IE浏览器,通过用户名/密码远程登录系统进行维护,同时,H3C iMC还可以实现用户分权限、设备分组的管理,不同的级别管理人员可对设备进行各种类型的操作,而且还可以限制可以管理的设备。H3C iMC不仅能够独立提供完整的网络管理平台,还能够与OpenView、SNMPc多种主流通用网管平台灵活集成;不仅能够管理H3C公司的全线数据通信设备,还能够通过标准MIB管理CISCO、3COM等各主流厂商的数据通讯设备。通过部署H3C iMC网管系统,可以实现以下运行维护管理功能。7.1 资源分组管理WSM无线业务管理组件作为iMC智能管理中心的无线业务管理核心,对于网络中的AC、FAT AP、FIT AP、移动终端等无线设备进行集中管理,全网设备信息和状态一目了然。网络资源通过物理位置、设备类型等多种视图进行查看,视图内分组管理,将规模巨大的无线接入设备有效组织,便于用户维护。7.1.1 无线拓扑管理无线业务拓扑视图中将同该AC相连的Fit AP和移动终端在一张拓扑图中显示,并能与告警联动,实时更新显示Fit AP和移动终端的在线状态和告警状态。在该拓扑上还能够展示非法AP和非法移动终端,并用虚线表示由谁检测到的这些非法设备。 支持AC与FIT AP之间的物理拓扑展示,绘制出AC与FIT AP之间实际的链路和设备,便于在AP无法注册时快速定位具体故障位置。无线设备物理位置拓扑除了提供有线无线一体化管理的逻辑拓扑显示以外,iMC还支持显示无线设备物理位置拓扑。无线设备物理位置视图功能可以以楼层、房间等物理位置为单位集中查看在该物理位置中的所有AP设备,并支持按Radio类型显示无线信号覆盖范围(RF覆盖)。通过RF覆盖和物理位置拓扑的集合,展现一个房间或楼层目前的无线信号覆盖情况,可以帮助用户定位信号过弱,上网速度慢或无法上网问题,并帮助用户调整AP的部署位置以及发射功率、信道等参数配置,以实现最优、最经济的无线的信号覆盖。7.2 AC设备管理WSM组件提供对AC设备的基本信息和无线业务信息的管理。其中基本信息部分包括设备标签、状态、IP地址、设备型号、接口列表等信息的浏览和配置;无线业务信息的管理包括MAC模