4S店WiFi网络方案-华为商业WiFi解决方案技术建议书.doc

华为WiFi网络方案华为技术有限公司华为商业WiFi解决方案技术建议书目 录目 录1 Wi-Fi覆盖方案11.1 华为无线概述11.3方案特点31.4干扰抑制31.5空口效率61.6多用户调度71.8负载均衡82 华为方案网络架构设计103 接入认证方案123.1 Portal认证122.1.1简介124 合规安全方案154.1 安全规划154.1.1 有线安全154.1.2 无线空口安全165 产品介绍194.1 AP6010DN-AGN室内接入AP194.2 AC6005接入控制器204.3 USG6308下一代防火墙214.4 S5720-SI系列下一代标准型千兆以太交换机224.5 S5720S-LI 系列下一代精简型千兆以太交换机22华为商业WiFi解决方案技术建议书04产品介绍1 Wi-Fi覆盖方案华为无线概述华为商业Wi-Fi解决方案提供多种Wi-Fi覆盖方式，满足多场景下的Wi-Fi覆盖需求，实现无线信号全覆盖，信号无死角。多种AP类型满足室内室外不同场景的需求场景 部署方案 设备选型 比较小的房间,数量较多并集中，如酒店客房、医院病房推荐敏捷分布式部署方式，每个楼层竖井布放中心AP，每个房间放置一个入室AP。中心AP、远端射频模块走廊楼道 A.狭长楼道用放装式AP定向天线方式； B.短小楼道用放装式AP全向天线，适当调低AP功率。 放装型AP电梯间 部署外置天线放装型AP，轿厢内人数低，单AP满足容量需求。外置天线放装型AP会议厅、宴会厅、大堂 放装式AP，根据面积大小决定使用AP个数。放装型AP室外 A.室外型放装式AP，适合辐射距离远，外挂防水防雷； B.室内放装式AP，适合门口10米内。室外型AP1.2典型组网如上图所示，不论AP数量，设备配置管理统一由AC管控，用户无线数据经过CAPWAP隧道加密，安全可靠。终端用户接入无线后需通过认证系统后方可上网。1.3方案特点l 覆盖无死角，AP和远端POE交换机之间，通过网线入室部署，无穿墙衰减与馈线损耗，信号覆盖更优。l 业务可靠性高，AP支持断链逃生，AP与AC链路中断，无线用户不受影响。l 部署管理方便，AP通过网线连接POE交换机，给AP提供远程供电，部署更方便。1.4干扰抑制CCA优化CCA（Clear Channel Assessment），即空闲信道评估。在WLAN系统中，AP或者终端是通过对信道进行能量检测的方式判断信道空闲的：图1-1 CCA优化 1、当检测到某信道的能量=CCA门限，认为信道繁忙，不在该信道发送； 2、当检测到某信道的能量登录成功页面，注册页面-注册成功页面，用户须知页面。 Phone/PC/PAD终端自适应：自动识别终端类型，合理展示推送页面。 用户自定义定制：提供基于HTML编辑的图形化编辑功能，支持图片轮播、拖拽编辑、附件下载等高级操作。 内置多套系统模板：匿名认证模板、第三方应用模板、短信注册模板，一键认证模板等，可根据场景需要自由选择。 内置多种语言：简体中文，繁体中文，英语，德语，西班牙语，葡萄牙语，法语，可扩展支持其他语言。图3-1 Portal页面定制流程l 简单易用的图形化编辑器 图3-2 图形化编辑器 3.2安全方案3.2.1安全规划华为商业Wi-Fi解决方案从有线安全和无线空口安全两个维度来保障Wi-Fi网络的安全，让用户能够放心的接入和使用Wi-Fi网络。3.2.2有线安全有线侧，通过在局域网出口处以及数据中心入口处部署下一代防火墙NGFW来抵御来自Interntet的威胁。NGFW集防火墙、IPS、DDOS等众多功能于一身，能够有效保障局域网和数据中心的安全。图3-3 部署NGFW防火墙保障有线安全3.2.3无线空口安全无线空口侧主要存在三个方面的安全：非法rogue 设备、恶意攻击和空口监听，如下图所示。图3-4 空口安全威胁Rogue设备商业Wi-Fi环境中可能出现的Rogue设备包括Rogue AP，Rogue Client，Ad-hoc设备，这些设备对运维的WLAN网络会带来诸多的安全隐患，如干扰，用户和非法AP建立连接等。华为WLAN WIDS方案支持对网络中的Rogue 设备（包括AP，Client，Ad-hoc）的进行检测、识别以及反制功能。下面分别从非法设备的监听，识别，判断以及反制四个方面详细阐述，华为WLAN对非法设备安全的防护。l 侦听周边设备 AP有三种工作模式：接入模式，监听模式和混合模式。 接入模式只提供覆盖功能，不提供非法设备监听功能；监听模式只监听，不能接入业务；而混合模式可以在接入业务的同时进行监听。 推荐AP工作在混合模式，在接入业务的同时监听周边设备，低成本部署。l 设备类型识别 AP通过监听Beacon，Associaton Request，Association Response协议报文和数据报文报文来识别Rogue设备是哪种设备（AP/Ad hoc/Client）。 监控AP搜集到无线设备后，维护一个无线设备信息列表，并把这些信息上报给AC，在AC上根据一定的规则进行Rogue设备判断。l Rogue设备判断 当AP设备工作在混合模式或者监听模式时可以实现对整个网络的监控，监控设备包括AP、Client、Ad hoc终端、无线网桥等。l Rogue设备反制 检测到Rogue设备后，可以使能防范、反制功能。反制功能，根据反制的模式，监测模式AP从无线控制器下载攻击列表，并对Rogue设备采取措施，阻止其工作。 对Rogue AP的反制：监测AP通过使用Rogue AP设备的地址发送假的广播解除认证帧来对Rogue AP设备进行反制，抑制无线用户和非法AP建立链接。 对Rogue Client、Ad hoc设备的反制：监测AP通过使用Rogue Client、Ad hoc设备的BSSID、MAC地址发送假的单播解除认证帧，对指定非法Client的进行反制。 Rogue设备管理可以与定位功能集合，如在地图上可以查询或者实时显示Rogue设备的位置，为网管人员对网络监管和排障定位提供便捷。图3-5 Rogue设备管理可以与定位功能集合恶意攻击针对恶意攻击，华为WLAN拥有多种方式。下面针对最常用的flood攻击，Weak IV攻击，Spoof攻击方式，介绍华为的防御规划和措施。l Flood攻击检测： 当“恶意用户”发送大量的“连接请求报文”至AP时，这些报文会被AP转发到AC设备上进行处理，这样会对内部网络造成冲击。 启动Flood attack检测，AC会检测到来自于该恶意用户的Flood攻击，AP会将来自于该用户的报文将全部被丢弃，从而实现了对于网络的安全防御。l Weak IV攻击检测： 对于Client的数据报文，如果该报文使用了WEP加密算法，需要启动IV检测； AC根据IV的安全性策略判断是否存在Weak IV攻击。l Spoof攻击检测： 这种攻击的潜在攻击者将以其他设备的名义发送攻击报文。 恶意AP或者恶意用户发送一个欺骗的解除认证报文会导致无线客户端下线。 AC接受到这种报文时将立刻被定义为欺骗攻击，并阻止该用户。空口窃听华为WLAN提供多种空口加密方式，以避免空口被窃听。如WEP、WPA/WPA2、WAPI等。4产品介绍4.1 AP6010DN-AGN室内接入APAP6010系列接入点是性能增强级802.11n产品，巧夺天工，性能强大，绿色节能。适合部署在企业办公、校园、医疗领域、大型商场、会展中心等环境，高密用户接入无忧，无线业务自在随行。产品外观技术规格参数AP6010DN-AGN尺寸（长宽高）180mm180mm50mm电源输入DC 12V10%POE供电：-48V DC满足802.3af/at以太网供电标准最大功耗10.2W工作温度-10+50天线类型/增益内置天线2.4G：4dBi5G：5dBiSSID数量32可同时在线的用户数量128最大发射功率23dBm（组合功率）MIMO:空间流22:2无线协议802.11a/b/g/n最高速率600Mbps4.2 AC6005接入控制器AC6005接入控制器是华为推出的针对中小型企业的小型盒式无线接入控制器。支持有线无线一体化接入，应用于中小型企业及分支园区覆盖或企业办公网络等场境。高容量、高性能设计，拥有8个GE口，提供4Gbit/s的转发能力，可管理256个AP，接入2K无线终端；灵活的数据转发方式，支持直接转发、隧道转发；灵活的用户权限控制，提供基于用户和角色的访问控制策略控制能力；丰富的网络运维方式，可通过网管eSight、WEB网管、命令行（CLI）进行维护。产品外观技术规格参数AC6005端口6 x GE + 2 x GE ComboPoE8端口PoE/4端口PoE+电源AC转发能力4Gbit/s最大可管理AP的数量256无线用户接入能力2KAP与AC间组网方式支持L2/L3层网络拓扑转发模式支持直接转发/隧道转发AC冗余备份支持1+1热备/N+1备份方式无线协议802.11 a/b/g/n/ac4.3 USG6308下一代防火墙华为USG6305/6310S/6320系列桌面型下一代防火墙是专为小型企业、行业分支、连锁商业机构设计开发的安全网关产品，其集成多种安全能力于一身，全面支持IPV4/IPV6下的多种路由协议，适用于各种小型网络接入场景。产品外观技术规格型号USG6308固定接口4GE+2Combo接口扩展可扩展千兆电口/千兆光口/万兆光口，支持BYPASS插卡一体化防护集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoS、URL过滤、反垃圾邮件等多种功能与一身，全局配置视图和一体化策略管理支持多种安全业务的虚拟化，包括防火墙、入侵防御、反病毒、VPN等。不同用户可在同一台物理设备上进行隔离的个性化管理应用识别与管控可识别6000+应用，访问控制精度到应用功能，例如区分微信的文字和语音。应用识别与入侵检测、防病毒、内容过滤相结合，提高检测性能和准确率入侵防御与Web防护第一时间获取最新威胁信息，准确检测并防御针对漏洞的攻击。可防护各种针对web的攻击，包括SQL注入攻击和跨站脚本攻击防病毒病毒库每日更新，可迅速检出超过500万种病毒数据防泄漏对传输的文件和内容进行识别过滤，可准确识别常见文件的真实类型，如Word、Excel、PPT、PDF等，并对敏感内容进行过滤带宽管理与QoS优化在识别业务应用的基础上，可管理每用户/IP使用的带宽, 确保关键业务和关键用户的网络体验。管控方式包括：限制最大带宽或保障最小带宽、应用的策略路由、修改应用转发优先级等VPN加密支持丰富高可靠性的VPN特性，如IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等业务智能选路支持基于业务的策略路由，在多出口场景下可根据多种负载均衡算法（如带宽比例、链路健康状态等）进行智能选路4.4 S5720-SI系列下一代标准型千兆以太交换机S5720-SI下一代标准型千兆以太网交换机系列（以下简称S5720-SI），是华为公司全新研发的三层千兆以太网交换机，提供灵活的全千兆接入以及高性价比的固定千兆和万兆上行端口，并采用先进的前后风道及电源冗余设计。该系列交换机基于新一代高性能硬件和华为公司统一的VRP（Versatile Routing Platform）软件平台，具有增强的三层特性，简易的运行维护，智能iStack堆叠，灵活的以太组网，可扩展支持MACSec，成熟的IPv6特性等特点，广泛应用于企业园区接入和汇聚、数据中心接入等多种应用场景。产品外观和技术规格4.5 S5720S-LI 系列下一代精简型千兆以太交换机S5720S-LI下一