无线网络广场实施方案.doc

无线网络广场实施方案一、网络环境特点在室外广场的无线网络应用环境的特点是，广场内的用户是不固定人群，甚至接入设备也会频繁的变化，即网络用户的数量，网络用户的位置，以及网络用户的应用，网络行为等都是非固定的，频繁变化的，所以这种特殊需求对无线网络解决方案提出了严峻的挑战，在室外部署无线网络，至少需要满足以下几点：1.高稳定性。面对复杂的用户群，不固定的阻挡，以及实时变化的用户群，无线网络需要有较强的自我优化的功能，持续对无线用户提供稳定的网络服务。2.高性能，高可用性。由于室外的用户数量不固定，用户位置也不固定，无线网络应该具有较高的可靠性和可用性，具有强大的容错功能，以保证各种应用的正常运行。系统具备在线故障恢复能力，关键设备、模块、线路能做到实时备份、均衡负载和自动故障切换。3.高安全性。无线网络需要能够保证网络自身的安全以及无线用户的安全，无线网络系统应该提供多种有效的安全控制机制，以防止机密泄露和影响正常工作。无线网络系统应提供一套完整的安全防范措施，能够有效地防止系统外部人员的非法侵入。二、解决方案Cisco无线网状网解决方案：1.接入网络部分：无线接入点根据无线覆盖区域以网状物理分布在广场各处，使用Cisco Aironet 1520系列轻量室外网状接入点。由于是室外广场，活动的人员或设备较多，所以在部署时应该尽量将无线接入点部署在四周的建筑物墙壁上或者路灯上等不受人员或设备移动影响的位置，同时在无线接入点的数量规划上，由于室外广场较为空旷，但网络用户的数量存在不确定性，可能会在某一时刻较高，所以，在规划无线接入点的数量时，不仅要考虑信号的覆盖强度，同时也需要考虑整个无线网络的性能，可服务的用户数。2.无线网控制、管理部分：在网络核心层，采用了目前基于最先进的第三代无线网络技术的无线交换机对整个无线网络进行统一的管理（无线交换机+瘦AP）。无线交换机可被部署于数据中心，全网的AP设备可跨越二层或三层网络与无线交换机连接。当一个新的AP设备被连接入网络时，将立即被无线交换机发现并配置，用户无须在现场进行任何配置，即可随时开通，实现即插即用的网络部署。3.无线网络管理部分：Cisco 5500 系列无线控制器是一款高度可扩展的灵活平台，能够在大中型企业和园区环境中，为关键任务无线网络提供系统级服务。5500 系列专门采用了独特设计，支持 802.11n 的性能下的最大可扩展性，通过射频的监控和保护能力提供延长的正常工作时间，并且可以同时管理 500 个接入点；它具有卓越的性能，可以提供可靠的视频流和长话级音质；它还具有增强的故障恢复功能，能在要求最严格的环境中提供一致的移动体验。4.网络接入控制，认证服务器部分：通过与后台的Radius服务器连接以达到对网络接入的控制、认证和计费。基于Radius的认证计费系统由Radius认证计费软件和服务器两部分组成，采用先认证，后分配IP，再通过Radius服务器的数据统一计费。由单台Radius服务器构成的计费系统最多可支持2048个宽带用户的计费，随着用户数量的增加，可通过增加Radius服务器数量的方式方便地扩充系统容量。计费系统支持Radius 标准的AAA计费，用于用户无线接入互联网的帐号授权、登陆验证、帐号管理和增值服务的费用计算，提供网络认证、网络管理、计费功能、用户管理和监视功能等宽带接入和营运管理功能和数据库接口。三、方案特点及优势思科统一无线网络是目前业界唯一的统一有线和无线解决方案，它经济有效地解决企业面临的WLAN安全、部署、管理和控制问题。这一强大的解决方案结合了有线和无线网络的最佳组件，以较低的总拥有成本提供了可扩展、可管理的安全WLAN。它包括创新的RF功能，支持对核心业务应用的实时访问，并提供先进的企业级安全连接。通过思科统一无线网络，机构的无线局域网提供了与有线局域网相同的安全性、可扩展性、可靠性、易部署性和可管理性。 思科统一无线网络是一个集成化的端到端解决方案，涵括了WLAN的所有层次，从客户端设备和接入点，到网络基础设施、网络管理，乃至先进的无线服务集成与屡获大奖的全球24小时产品支持。它提供了业界最佳的无线局域网安全性、创新性和投资保护。它是唯一将创新的接入点技术和屡获大奖的集中管理系统、智能控制、实时定位服务，以及范围广泛、可互操作的思科兼容型客户端设备相集成的解决方案。 思科统一无线网络简化了网络部署、运行和管理，从而降低了整体运营开支。凭借此解决方案，通过一个中央管理控制台能方便地管理数个、数百乃至数千个位于中央或远程地点的接入点。思科统一无线网络的灵活性允许网络管理员根据其特殊需要而设计网络，如采用高度集成的网络设计或简单的重叠网络等。统一的先进服务统一Wi-Fi VoIP，先进的威胁检测，身份识别网络，基于地点的安全性，资产跟踪和访客接入。 世界级网络管理无线局域网拥有与有线局域网相同的安全性、可扩展性、可靠性、易部署性和可管理性。 网络整合创新的安全WLAN控制器，集成入选定的交换和路由平台中。 移动平台在室内和室外环境中提供无所不在的网络接入。增强生产率。成熟的平台，已有大量用户，占据61%的市场份额。即插即用。 客户端设备90%的Wi-Fi芯片通过了思科兼容性认证。成熟的Aironet平台。“即时可用”的无线安全性。 通过此种方式部署的思科统一无线网络，具有以下特点及优势：1.无线信号自动优化与调整传统“FAT AP”组建的无线网络，在建设初期，需要对无线频谱及channel和发射功率进行规划，以降低同频干扰，但是无线信号受到用户数、天气、湿度等环境影响因素较大，一旦外界因素发生变化后，如果AP仍使用原始参数进行运行，必然导致信号强度降低、覆盖区域缩小等情况，导致网络运行不稳定。采用思科统一无线网络解决方案，支持RF Auto-Tune技术。Cisco Aironet 1520 AP可以监听、扫描所在控域中的信号强度和使用量，并将数据传送至位于核心的Cisco 5500 系列无线控制器上，控制器根据各AP报告的测量数据进行一个全局的调配。例如，当某一区域多数AP报告信号不足时，控制器可以动态改变该区域内相关AP的发射功率；当AP报告该区域内有相同信道信号时，则可以动态调整相关AP，以避开信道的重叠。同时RF Auto-Tune技术以可动态地调整流量负载、功率、射频覆盖区域和信道分配，以使覆盖范围和容量最大化。2.用户动态负载均衡传统上，由于受到客户端无线网卡底层驱动算法机制的限制，用户总是会连上信号最强的AP，而并没有考虑到该AP是否能够提供最佳的服务。Cisco 5500 系列无线控制器可以根据周围无线信号覆盖情况以及用户的流量需求，动态的将用户强制连接到其他可用AP上，将用户流量分配到其他可用AP，从而保证了整个无线网络的高效能和高可用度。例如，在一个用户较多的休息区，正常情况下大约有15人左右，采用一个AP即可满足需求，但当用户数突然增加后，导致该AP无法连接数过多，而此时，位于休息区外的AP由于相对与休息区来说，信号虽然比较弱，但仍然是可以满足一定的网络用量，此时无线交换机则强制后来的一部分用户连接信号较弱的AP，从而实现了负载均衡，保障了网络的畅通。3.更快，更安全的漫游由于无线局域网采用类似于移动通信网中的“蜂窝”覆盖方式，来实现大面积覆盖，当终端在移动一点到另外一点的移动过程中，不可避免的需要从一个AP切换到另外一个AP，在切换过程中，移动终端需要进行“取消关联”及“重关联”的操作，该过程一般需要300500ms的时间，此外，在有后台认证系统存在的情况下，用户还需要进行重认证、session key重分发及重新分配IP地址的过程，这种方式无法满足一些对时延非常敏感的业务诸如VOD点播、VoWLAN等的支持，因为传统无线网络的漫游只停留在IEEE802.11协议层上，并没有对用户会话进行完整性保持。而在本方案中，我们采用的思科统一无线网络解决方案，该方案以无线控制器为核心，对所有AP上接入的用户采用统一会话管理，所有已认证终端均在中心无线控制器中保存相应会话，AP仅仅只负载传输用户数据，因此无论终端移动到哪个AP下，用户信息和授权都在无线控制器所管辖的移动域内快速的交互，可以有效保持会话完整性及可靠移动性的前提下实现无缝漫游。4.基于用户身份的管理思科统一无线网络方案不仅支持丰富的安全认证及加密方法以外，还提供基于用户身份的服务，以使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表 (ACL)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容。还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。5.高安全性的无线网络思科统一无线解决方案的一个核心组件即是为LWAPP事务处理使用X.509证书和AES加密。X.509和AES加密内嵌在支持LWAPP事务处理的无线网状网解决方案中，利用AES对网状网节点间的所有流量加密。完整的数据包传输路径是从思科无线控制器到接入点，并最终到用户。思科控制器封装用户数据包，并将其通过以太网转发到正确的屋顶接入点（RAP）。RAP随后加密用户数据包，并通过回传路径进行传输。在到达目标MAP前，数据包可能会通过多个网状接入点（MAP）。收到加密的用户数据后，目标MAP进行解密，并利用客户端指定的加密方法，将其无线传输到客户端。为进行双向验证，网状接入点节点间支持EAP / PSK。四、相关产品介绍1.Cisco Aironet 1520介绍Cisco Aironet 1520系列轻量室外网状接入点能够经济高效、可扩展地部署安全的室外无线局域网。Cisco Aironet 1520系列适用于城市Wi-Fi部署，支持公共接入、公共安全或托管服务，也能用于企业园区室外Wi-Fi扩展。Cisco Aironet 1520系列是支持符合IEEE 802.11a和802.11b/g标准的双频产品。此外，还支持多种上行链路连接选择，如千兆以太网（1000BaseT），以及小型可插拔（SFP）光纤插槽（100BaseBX）或有线调制解调器接口。所支持的电源选项包括480VAC、12VDC、电缆电源、以太网供电（POE）和内置备用电池。它采用了思科的自适应无线路径协议（AWPP），可与远程网状网接入点间动态的构成无线网状网，并同时为任意Wi-Fi兼容客户端设备提供安全、高容量的无线接入。Cisco Aironet 1520系列轻量室外网状接入点的双频无线收发器配置将802.11a无线收发器专用于接入点到接入点通信，使网状网能最大限度地利用所有可用信道，减少未许可设备的干扰，并缩短延迟。双无线收发器配置通过微蜂窝设计，提供高系统容量，支持语音和视频等实时应用。2.Cisco 5500 系列无线控制器介绍5500 系列针对高性能无线网络进行了专门优化，可以提供增强的移动性，帮助企业为下一波的移动设备和应用发展浪潮做好充分准备。5500 系列支持更高的客户端密度，可提供更高效的漫游，吞吐量至少是现有 802.11a/g 网络的九倍。 5500系列可以自动执行无线配置和管理功能，为网络管理人员提供必要的监控能力，从而经济高效地管理、保护并优化他们无线网络的性能。5500 系列内置 CleanAir 技术，通过实时和历史射频干扰信息和跨网络接入来为快速故障排除提供解决方案，以保护 802.11n 性能。作为思科统一无线网络的组成部分，该控制器可在 Cisco Aironet 接入点、Cisco 无线控制系统 (WCS) 和思科移动服务引擎之间实现实时通信，从而提供集中的安全策略、无线入侵防御系统 (IPS) 功能、以及屡获殊荣的射频管理和服务质量 (QoS)。3.无线交换机+瘦AP特点介绍.集中控制与管理无线交换机瘦AP架构具有简单而强大的无线局域网集中式管理功能，AP本身并不存放任何的配置文件，AP的配置是从无线交换机上获取的，通过无线交换机管理模式可以统一管理整个无线网络的AP。.即插即用的网络部署无线交换机可被部署于数据中心，全网的AP设备可跨越二层或三层网络与无线交换机连接。当一个新的AP设备被连接入网络时，将立即被无线交换机发现并配置，用户无须在现场进行任何配置，即可随时开通，实现即插即用的网络部署。.网络自愈功能无线交换机能实时侦测出线上AP是否存在失效，当发现有AP出现故障时，无线交换机会自动检测这个故障，并指示附近的接入点调整功率和信道设置来弥补发生故障的接入点留下的空缺。若有新的接入点加入，其他接入点应能降低功率发射，以避免产生冲突。.无线接入的负载均衡为了更合理地分配带宽，在无线交换机里有全部分布AP的列表和负载状况，无线交换机会根据一定的算法，指示一些连接用户数量较多的AP把其覆盖范围内的无线用户或终端分散连接到邻近的AP上，从而分担AP的负担，达到最佳的使用效果，充分利用网络资源。.安全性瘦AP架构的无线系统的安全管理是将访问控制、安全认证、防病毒、无线入侵监测以及RF电磁波管理等多项安全功能汇聚到无线交换机上来完成，通过集中式安全管理增强了无线安全性。此外，当用户漫游时，在无线交换机之间共享用户特定的安全策略将能够在整个无线网络范围内统一控制用户属性和组属性。.QoS无线交换机支持基于分类的流量队列，以确保无线语音（VoWLAN）或其他时延敏感的应用能获得所需的服务等级和服务质量；同时支持带宽限制，可针对重要的数据传输应用，提供优先的带宽保证。支持802.1p/Diffserv等，可在无线和有线网络上有效区分数据流。.流量分离无线交换机可灵活配置无线接入点的数据转发模式，根据数据的分类决定是否需要经过无线交换机转发，或直接进入有线网络进行数据交换。对于延迟敏感、传输要求实时性高的数据分类，可以不经过无线交换机而直接接入上层网络，更好地适应未来无线网络更高流量传输的要求，诸如VoWLAN、802.11n传输等。4. Radius服务器认证与计费功能介绍、功能(一)用户认证 用户认证过程：1、用户发送DHCP请示，请示中包含用户名和密码2、向Radius服务器进行用户认证。3、Radius服务器通过用户认证，返回认证成功信息。4、完成DHCP+认证过程，返回用户合法的IP地址配置。(二) Radius计费用户计费过程：1、通过DHCP认证，向用户发送成功登录。2、Radius服务器开始计费。3、用户发送退出登录请示。4、Radius服务器收到用户请示，结束计费。(三)认证方式 网络用户可以使用以下认证方式：1、基于帐号密码的Web 用户认证方式。2、基于802.1Q 的VLAN 的Web 认证方式。3、基于帐号密码的客户端认证方式。4、用户的网络可以支持多种设置，计费系统支持以下方式：1)动态分配IP;2)IP地址绑定网卡地址;3)即插即用;4)固定专线IP。5)建议采用动态分配IP+Web 浏览器认证的办法。(四)计费安全 用户与网络计费系统之间的通信使用专用的加密技术，并且辅助以其他手段来达到网络安全的目的。1、应用NAT 技术，使内部网和Internet 实现充分隔离，内部用户可以访问校园网外部用户，外部用户特殊用户可以访问内部用户，让内部网用户共享上网的同时，保证了内部网络的安全；2、通过路由器进行NAT 转换；NAT 技术和路由转发技术并存；3、可以屏蔽某些服务和网站，支持路由规则或防火墙通道设置，提供无限个IP地址的过滤表；支持账号绑定IP 功能；支持MAC-IP 地址绑定功能。(五)计费方式 用户的收费报表、费用查询和月度统计报表等等的功能。可以根据用户的需要选择基于时间、流量、包月、封顶、增值服务等计费方式，同时支持优惠时段，根据不同的增值服务类型收费等多种灵活的功能；提供专业开户、计费、统计、监示和查询等网络版营运软件，可打印完善的月收费报表，或者提供其它管理系统的接口数据和生成商业银行收费的接口文件。1、按时间段：按用户登录到用户退出登录的时间段计费。2、按流量计费：按用户上网端口的流入、流出数据量(字节数、数据包数)多少计费。3、实时计费：根据用户信用度值计费；根据用户的预付款值计费。4、优惠日计费管理：包括节假日、星期、特定日。5、按累积时长优惠；按累积流量优惠。 6、按特定时间段优惠按使用流量分段优惠。7、设定上网卡费率；多业务合一卡计费。8、同一服务不同用户群定义不同资费政策。(六)增值服务计费提供多种增值服务的计费，并且后台管理可以增加增值服务项，也可以设置多种增值服务的组合。计费系统内置了视频点播、语音交流、网络游戏等增值服务的接口，用户网络费用帐单与增值服务使用帐单全部可以通过计费系统统一打印给出。、系统组成 宽带计费系统组成：1、Radius认证服务器，完成用户认证、授权和计费信息采集功能。2、Radius管理系统，对Radius服务器进行配置，管理NAS和在线用户。3、用户管理系统，提供用户管理、缴费、计费策略定制、统计、审计等功能。4、帐单系统，可按时批量出帐单。5、用户服务系统，提供用户修改密码，查询上网记录和帐单的服务。(一)Radius认证服务器 Radius认证服务器是计费系统最核心的部分，认证又称为AAA ，它包含三个方面内容：Authentication (鉴别)、Authorization (授权)、Accounting (计费)。Radius协议是目前应用最广泛，并已发展成为事实上的AAA标准协议。Radius用户认证系统功能特点如下：1、支持PPPOE、WEB LOGIN、DHCP等多种接入认证方式2、支持Radius标准协议3、支持带宽管理4、可运行于Windows NT、Windows 2000，Linux和Solairs操作系统平台。 5、可挂接Oracle，MS SQL Server，Borland InterBase等多种后台数据库。6、符合RFC2865、RFC2866和RFC2869标准，支持EAP。7、高效的用户认证和计费信息采集，每秒可处理100次以上的认证和计费信息采集。8、支持在线用户唯一性限制或者指定某用户的最大同时在线数量。9、支持帐号和主叫(MAC地址)的绑定。10、支持帐号和IP地址的绑定。11、支持帐号和VLAN ID的绑定。 (二)Radius管理系统Radius管理系统运行于Window平台，可以管理本地和远端的Radius，可完成对Radius服务器的配置，比如添加NAS，管理用户在线表。对于宽带接入设备，Radius管理系统还增加了一些网管功能：1、应用SNMP查询和同步NAS上用户在线表。2、应用SNMP将用户实时断线。3、应用SNMP取得NAS的运行状态参数。 (三)用户管理系统用户管理系统运行于Window平台，提供用户管理、缴费、计费策略定制、统计、审计等功能。1、用户管理2、帐目管理3、服务和计费策略管理4、用户统计分析5、管理员分级管理 6、系统日志(四)帐单服务器帐单服务器主要针对月结算后付费的用户月费结算，可按照运营商指定的计费周期(比如每月1日到月底，或者上月的21日到本月20日)和各个用户具体的计费策略进行月帐单结算。(五)用户服务系统以WEB访问的形式向所有用户服务：1、提供修改密码2、查询上网记录3、查询帐单的服务、设备配置(一)小规模应用方案如在建设初期，网络规模小，用户数量较少，技术维护支持力量有限，小规模应用方案就是为满足处于起步阶段的