白山水电站无线应用系统解决方案.doc

白山水电站无线应用系统一体化白山水电站无线应用系统一体化 技术方案书技术方案书 苏州汉明科技有限公司 2011 年 4 月 白山水电站无线应用系统解决方案 第 2 页 张小强目录目录 1.解决方案概述与拓扑图解决方案概述与拓扑图 .3 1.1 方案概述 .3 1.2 网络结构拓扑图.4 2.架构理念及设计原则架构理念及设计原则 .6 2.1 系统架构理念 .6 2.2 系统方案设计原则 .8 3.无线网络系统解决方案无线网络系统解决方案 .11 3.1 无线网络总体架构 .11 3.2 无线网络功能设计 .13 3.3 IP 地址规划设计.13 3.4 无线网络安全性设计.14 3.5 无线网络管理框架设计 .16 3.6 无线网络 WDS 与 MESH功能应用.16 3.7 设备选型 .18 4.WIFI VOIP 通话、扩音系统通话、扩音系统.26 4.1 VOIP 系统简介.26 4.2 WIFI语音系统组成架构.27 4.3 VOIP 扩音系统架构.29 4.4 VOIP 系统多功能集成设计.30 4.5 VOIP 通话、扩音系统方案设计原则.33 4.6 VOIP 通话、扩音系统方案特点.33 4.7 设备选型 .34 5.WIFI 定位系统定位系统.41 5.1 WIFI定位系统概述.41 5.2 无线定位系统的组成 .42 5.3 无线定位的工作过程简介 .43 5.4 方案特点 .44 5.5 设备选型 .44 6.巡更系统巡更系统 .47 6.1 巡更系统架构 .47 6.2 巡更系统功能 .48 6.3 设备选型 .50 7.多系统一体化管理平台设计多系统一体化管理平台设计 .51 8.系统架构特点综述系统架构特点综述 .52 9.附录附录 .53 9.1 设备清单 .53 9.2 工程项目内容 .54 白山水电站无线应用系统解决方案 第 3 页 张小强1.解决方案解决方案概述与拓扑图概述与拓扑图 1.11.1 方案概述方案概述 本方案根据白山水电站巡更系统需求，基于汉明科技整体化无线网络架构 方案，按照网络架构、功能应用进行模块化分层部署设计。在基于无线网络覆 盖的基础上，将 wifi 语音系统模块，wifi 的定位系统模块，wifi 电子巡更系统 模块以及扩音广播系统模块分别独立的整合到网络中。无线网络为底层通信平 台，采用业界先进的瘦 AP+AC 部署方式，具有极强的可靠性、扩展性和易维 护性；结合汉明科技独有的 E-CARD 安全专利技术，从接入认证、数据加密、 安全策略等多个角度进行安全一体化设计，充分保证无线数据通信的安全性和 完备的无线系统防御措施。 本方案按照系统模块化架构思路设计，分无线网络通信系统，wifi 语音、 扩音系统，wifi 定位系统，wifi 巡更系统四个模块。无线网络系统为 wifi 语音 系统和 wifi 定位系统的基础平台，提供数据通信、网络覆盖、安全防范、服务 质量等全方位服务体系。无线网络系统兼具 WDS、Mesh 等无线中继链路功能， 免除复杂环境中工程、布线困扰。无线网络系统可做为独立的一个分支接入到 用户已有网络环境中，共享网管平台、认证系统平台。 Wifi 语音、扩音系统基于 VOIP SIP 协议框架进行设计，呼叫控制过程基 于“终端服务器终端”通信模式，VOIP 服务器为该系统中的 MCU（媒体 控制单元），起到呼叫控制、带宽管理、呼叫路由、用户接入管理等作用。具 有良好的话音质量，系统架构简单易于维护。扩音系统基于 VoIP 系统，应用 IP 话机的自动接听、多用户呼叫功能。扩音源为主叫方，多个被叫方响应主叫 呼叫，自动接通后，即可播放主叫端（扩音源）的声音信息。考虑到 wifi 语音 数据对数据链路低延迟、无丢包、无抖动的要求，汉明科技采用基于 802.11e 的 QOS 策略对语音数据提供高质量的数据链路，结合汉明科技在以往 Wifi 语 音电话系统中的应用案例，采用汉明科技先进的无线频谱设备对无线网络进行 更精细的优化。 白山水电站无线应用系统解决方案 第 4 页 张小强Wifi 定位系统的原理为，距离、场强效应，即根据 AP 端感知的被定位源 （移动 PDA、定位标签）所处位置电磁场强度，依据场强与距离的特定算法， 计算出被定位源距 AP 的距离。通常，只要知道三个 AP 对同一被定位源的场强 数据，便可计算出该被定位源所处的位置坐标。AP 完成对被定位源场强、信道、 频谱数据的传递，定位服务器根据 AP 发来的定位数据完成对被定位源位置坐 标的计算。本方案中，我们采用世界领先的定位系统厂商 Areoscout 的定位服 务器 Areoscout Engine，定位精度可以达到 3-5 米。并且具有轨迹跟踪、活动区 域、位置-时间戳等功能。 在系统应用、系统管理层面，汉明科技基于“多系统一体化管理”设计思 路，将语音系统、巡更系统、定位系统、定位系统的管理、应用、操控组件整 合到一个平台，提供一体化管理界面，大大方便用户对各系统的管理、控制、 监控。最终，管理者面对的是一个一体化界面的管理平台，基于这个平台，可 以全方位的实现对各分系统的管理、监控。真正为用户提供了便捷、全面的操 控平台，实现系统管理平台化、系统资源一体化、系统应用集成化。 1.21.2 网络结构拓扑图网络结构拓扑图 白山水电站无线应用系统解决方案 第 5 页 张小强白山水电站无线应用系统解决方案 第 6 页 张小强2.架构理念架构理念及设计原则及设计原则 2.12.1 系统架构理念系统架构理念 1)1) 所见即所得的射频规划工具减少设计成本、提高部署效率所见即所得的射频规划工具减少设计成本、提高部署效率 为了有效解决网络建设者在无线网络设计和规划所面临的困难，并有效降低在无线 网络设计和规划方面的总体成本。汉明提供可视化的无线射频规划和部署工具。该工具 将为网络建设者提供最具时效的可视化无线网络部署和规划手段。通过向 RF 部署工具 导入需要实施 WLAN 部署的各区域平面图及其面积、预期的覆盖效果、障碍物材质等 参数，RF 部署工具将综合考虑整个覆盖区域内三维空间的射频特性，自动输出各覆盖 区域的 AP 最佳部署位置及预测的覆盖效果。这将为 WLAN 网络的实际部署提供有 力的参考，帮助无线网络设计和实施人员快速、准确对整个无线网络进行射频信道规划、 射频功率确定及设备布点指导。 2)2) 智能化的射频管理特性减少射频管理成本、提高射频管理效率智能化的射频管理特性减少射频管理成本、提高射频管理效率 针对无线网络中存在的射频管理难题，汉明科技提供基于集中化或内置于无线控制 设备的可视化智能 RF 管理工具。借助该管理工具所提供的强大功能，汉明科技无线控 制设备可以及时发现无线网络中由于接入点失效而产生的射频覆盖黑洞，并通过经优化 设计的 RF 算法协调失效 AP 周边的其它 AP 资源来完成对覆盖黑洞的有效弥补。同 时无线控制设备还可以发现无线网络中存在的射频干扰问题，继而利用经优化设计的 RF 算法协调整网射频信道资源，从而为受干扰 AP 选择新的可用信道。该新的信道信 息会自动下发到受干扰的 AP 并得到执行，从而快速解决射频干扰问题。当在现有无 线网络中为满足覆盖需求而增加新的 AP 时，汉明无线控制设备也可以通过优化的 RF 算法自动决策并指导新的AP 完成无线信道及射频功率的调整，以此实现无线接入点的 快速部署。汉明智能化的管理特性可显著提高网络管理者对无线网络的部署和管理效率。 3)3) 强健的网络安全特性降低安全威胁、避免法律风险强健的网络安全特性降低安全威胁、避免法律风险 无线网络在某种程度上可以看作是一个开放式的公共网络，因此，为了向网络经营 者提供强健安全的现代化无线网络，汉明科技在关系到网络安全的各个层面均提供强健 白山水电站无线应用系统解决方案 第 7 页 张小强丰富的安全特性。在用户接入安全方面，汉明科技提供 802.1x 接入认证、PSK 认证、 MAC 接入认证以及portal 认证等。通过 AAA 服务器与无线控制设备的有机结合，汉 明科技可为用户提供基于用户角色的策略控制，这其中包括对用户的 QOS 特性、应用 访问权限及无线漫游特性等参数的管理和控制。在无线用户数据安全方面，汉明科技提 供 WEP、WPA、WPA2 及 WAPI 在内的强健的无线网络加密功能，为无线用户提供 不同级别的数据安全保障，满足无线网络各种应用对数据安全的要求。在无线网络环境 安全方面，汉明科技智能无线接入点可同时工作在无线接入点和无线监视器的模式。同 时，汉明科技还提供完善的 WIDS 功能，帮助网络管理者及时发现并响应网络中存在 的 RogueAP 和 ADHoc 主机等不安全因素，并可有效防护发生在无线网络中的 DOS 攻击。 4)4) 加速投资回报的可运营网络减少运营成本、改善运营环境加速投资回报的可运营网络减少运营成本、改善运营环境 针对现在社会节能环保的切实需求，汉明科技推出全系列采用独特环保理念设计的 无线控制器。得益于汉明科技独具特色的动态功率管理特性，该系列无线控制器在保持 性能无损的情况下可根据自身运行情况、端口工作状态、线缆的长度和质量等多种因素 自动调整供电功率，由此提供比同类型传统以太网交换机降低约30%的超低功耗。 5)5) 最具时效的网络管理手段降低总体管理成本、提高整网管理效率最具时效的网络管理手段降低总体管理成本、提高整网管理效率 针对网络中部署的无线接入点，汉明科技提供集中化的零配置管控能力，允许所有 接入点自动发现并与控制设备关联，并提供对接入点的配置信息和软件版本进行自动更 新和升级。由此，最大限度减少网络管理人员对无线接入点的维护工作量。为了解决无 线接入点设备供电问题，汉明科技全系列无线接入点均提供基于 802.3af 标准的以太网 供电（POE）支持。由此，网络建设可以使用 POE 供电设备为广泛分布的无线接入点 进行集中供电，有效解决在各种环境下部署无线接入点时的电源引入问题，提高部署灵 活性、减少部署时间并降低部署成本。同时，通过配合使用汉明科技的 POE 供电交换 机，网络管理者还可以实现对无线接入点工作状态及其耗电情况等方面的远程检测或调 整。对于每一个在网络中部署的设备，汉明科技均提供内置于设备的可视化中英文 WEB 网管系统。基于该网管系统用户可获得基于统一风格和操作习惯设计的有线、无 线集成网管所带来的好处，有效帮助网络管理员以最高的效率完成设备的配置和维护工 白山水电站无线应用系统解决方案 第 8 页 张小强作。针对整个网络所有设备的集中化管理需求，汉明科技提供全面集成有线、无线管理 能力的智能融合一体化网络级大型网管平台。是一个将有线和无线网络管理特性完美融 合开发而成的开创性网管平台，除向用户提供风格完全一致的有线、无线网络管理操作 手段和全特性的有线、无线管理套件，还提供全面的网络性能、事件、日志和趋势分析 能力。借助于丰富强大的管理和分析特性，网络管理员只需操作一套软件即可顺利完成 对整体网络的部署、管理和优化，还可快速定位并帮助解决网络中产生的故障。这极大 简化了网络维护的复杂性，并有效降低网络运营成本。 6)6) 满足多业务融合的软硬件平台降低投资风险、提供投资保护满足多业务融合的软硬件平台降低投资风险、提供投资保护 汉明Howay系列无线控制器是汉明科技公司为网络运营者交付的全特性无线网络控 制和管理设备。全系列产品采用先进的并行多核多业务处理器及高速 ASIC 作为业务 和数据处理平台。借助于先进的软、硬件产品设计，汉明Howay系列无线控制器除提供 无线用户接入、无线设备管理、无线实时语音、无线视频传送、无线快速漫游等全面无 线业务能力外，还可提供高性能的NAT、VPN、基于 DPI 的应用控制、带宽管理等丰 富业务特性。同时，汉明科技Howay 系列无线控制器还提供基于芯片级别的 IPv6 业 务特性，可对 Ipv6数据报文进行硬件级的高速转发，加速各种基于 Ipv6 的业务处理能 力。 2.22.2 系统方案设计原则系统方案设计原则 本方案的设计将在追求性能优越、经济实用的前提下，本着严谨、慎重的态度， 从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系 统的总体设计，力图使该系统真正成为符合农村无线覆盖需求的网络系统。系统总体设 计本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性、 良好的开放性、可扩展性，以及经济性。 在网络的设计和实现中，本方案严格遵守以下原则： 标准性和开放性 只有支持标准性和开放性的系统，才能支持与其它开放型系统一起协同工作，在网 络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标准，以便能和不同 白山水电站无线应用系统解决方案 第 9 页 张小强厂家的开放性产品在同一网络中同时共存。通信中应采用标准的通信协议以使不同的操 作系统与不同的网络系统及不同的网络之间顺利进行通讯。本方案中，网络设计及网络 设备选型遵从国际标准及工业标准，使网络具有开放性和兼容性。汉明科技无线局域网 系统满足国际和国内的无线标准，汉明 WLAN 最大程度的兼容符合 Wi-Fi 标准的各种无 线终端设备。 网络采用开放式体系结构，易于扩充，使相对独立的分系统易于进行组合和调整。 选用的通信协议符合国际标准或工业标准，网络的硬件环境、通信环境、软件环境相互 独立，自成平台，使相互间依赖减至最小，同时保证网络的互联。 先进性和安全性 系统所有的组成要素均应充分地考虑其先进性。不能一味地追求实用而忽略先进， 只有将当今最先进的技术和我们的实际应用要求紧密结合，才能获得最大的系统性能和 效益。网络的安全是事关重要的，在某些情况下，宁可牺牲系统的部分功能也必须保证 系统的安全。在无线网络建成后的 3-5 年之内，不会由于业务量的增加导致对网络结构 及主要设备的重大调整。同时要考虑实际的应用水平，避免技术环境过于超前造成投资 浪费。 成熟性和高可靠性 作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的 需要。网络硬件体系结构在实际应用中能经过较长时间的考验，在运行速度和性能上都 应是稳定可靠的、拥有完善的、实用的解决方案，并通到较多的第三方开发商和用户在 全球的广泛支持和使用。同时，应从长远的技术发展来选择具有很好前景的、较为先进 的技术和产品，以适应系统未来的发展需要。 可靠性也是衡量一个计算机应用系统的重要标准之一。在确保系统网络环境中单独 设备稳定、可靠运行的前提下，还需要考虑网络整体的容错能力、安全性及稳定性，使 系统出现问题和故障时能迅速地修复。因此需要采取一定的预防措施，如对关键应用的 主干设备考虑有适当的冗余。应急处理信息系统能够全天候工作，达到每周 7*24 小时 工作的要求。一个高可用性的系统才能使用户的投资真正得到回报。 白山水电站无线应用系统解决方案 第 10 页 张小强可维护性和可管理性 整个信息网络系统中的互连设备，应是使用方便、操作简单易学，并便于维护。对 复杂和庞大的网络，要求有强有力的网络管理手段，以便合理的管理网络资源，监视网 络状态及控制网络的运行，因此，网络所选的网络设备应支持多种协议，管理员能方便 进行网络管理、维护甚至修复。 在设计和实现时，必须充分考虑整个系统的便于维护性，以使系统万一发生故障时 能提供有效手段及时进行恢复，尽量减少损失。 可扩充性和兼容性 网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理能力、 物理接连、产品支持等方面具有扩充与升级换代的可能，采用的产品要遵循通用的工业 标准，以便不同的设备能方便灵活地接连入网并满足系统规模扩充的要求。为了使所实 现系统能够在应用发生变化的情况下保护原有的开发投资，在设计系统时，应将系统按 功能做成模块化的，可根据需要增加和删除功能模块。 白山水电站无线应用系统解决方案 第 11 页 张小强3.无线网络系统解决方案无线网络系统解决方案 3.13.1 无线网络总体架构无线网络总体架构 该方案的具体网络拓扑架构如下图所示： 汉明科技结合白山水电站无线网络需求情况，结合汉明科技自身技术特点，为了满 足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求，本设计方 案按照汉明科技 AP+AC 的结构化无线网络解决方案进行设计。整体框架基于瘦 AP 方 式部署，采用 AC（无线控制器）对 AP 进行集中管理、控制、配置下发，以及对接入 白山水电站无线应用系统解决方案 第 12 页 张小强终端的认证、数据分布式/集中式转发、漫游等功能。系统的中央无线控制器可以同时 控制几几百到上千个 AP 协同工作。操作和维护工作现在只需要在 AC 上进行就可以了。 在这个架构里，AP 只负责无线信号的收发，不作 MAC 层及其以上的协议层处理，所 有的智能工作都由 AC 完成。汉明科技基于瘦 AP+AC 架构方案的优势在于： 配置简单：AP 零配置、所有的配置集中在无线交换机上完成，简单便捷； 维护方便：管理、维护针对无线交换机来实现，不需要对每一台 AP 进行操作； 易于升级：针对特性增加带来的软件版本升级需求，只需要对无线交换机进行操作 即可，不需要对每一台无线 AP 单独升级，软件的升级由 AP 自动完成。安全可控： 可以集中进行射频及功率、信道调整，黑白名单、无线入侵检测、安全访问控制等 功能； 扩展性强：根据需要，可以灵活增加补点 AP，需要扩容的话，只需要将 AP 接入网 络即可。支持三层漫游，方便扩展支持无线监控、话音应用等业务。 网络性能好：高速的数据转发，支持快速切换，数据私密性好，天然的 MAC 层加 密隧道； 抗干扰性强：可动态分配信道，并在受干扰时切换到最优信道 本方案中，AP 与 AC 使用二层架构部署，即 AP 与 AC 处于同一 IP 子网，AC 设备 负责 IP 网段划分和数据路由转发。二层架构清晰明确、系统具有更高的数据转发性能。 由于中间无需进行三层处理，故可以保证数据链路的高带宽、低延迟、无抖动。汇聚交 换机与接入交换机之间采用全千兆 trunk 链路。汇聚交换机下连所有接入交换机，对所 有链路进行集中汇聚，对所有数据进行交换转发。汇聚交换机设备采用高性能全千兆三 层交换机，以提供稳定、可靠、全线速的数据转发服务。接入层设备采用二层全线速百 兆交换机，其中上行链路采用千兆接口。接入交换机下挂 AP，为 AP 提供上行链路和 POE 供电功能。从 AP 到汇聚交换机全部为二层接入，以达到更高的转发性能。无线信 号穿越门、窗、墙等障碍物会有衰减，因此，无线信号和覆盖场所的物理格局关系密切。 汉明科技无线 AP 的覆盖原则是，首先保证覆盖区域内，AP 与无线终端之间无线信号的 有效交互，其次，保证覆盖区域内每个终端的覆盖带宽要求。 白山水电站无线应用系统解决方案 第 13 页 张小强考虑到无线网络中语音系统业务、定位系统业务对延时敏感性强的特点，以及对数 百台 AP 的大流量处理要求，如果采用集中式转发的架构模式，AC 很容易成为性能瓶颈。 因此方案中采用分布式转发模式。控制、管理报文通过无线控制器进行统一处理，数据 报文在无线 AP 上直接转化为以太网格式的报文，不需要通过隧道封装交无线交换机处 理，从而解决无线控制器的数据转发性能瓶颈问题。 在该方案中，应包括如下设备： 无线控制器，实现对 AP 及接入终端的集中式管理。 无线接入 AP，实现优化、无缝的无线信号覆盖和数据分布式转发。 POE 交换机，为 AP 提供上行链路及对 AP 进行 POE 供电。 汇聚交换机，连接所有接入交换机及 AC，为数据交换中枢。 3.23.2 无线网络功能设计无线网络功能设计 1)零配置/即插即用功能：AP 上不需要进行任何配置，只要接入到网络就可以工 作 2)软件自动升级功能：AP 的软件完全实现自动升级 3)批量配置功能：对连接到无线控制器的众多 AP 进行批量配置 4)动态信道分配功能：无线控制器可以为 AP 自动分配信道，并在受到干扰时切 换到最优信道 5)自动发射功率调整功能：AP 发生故障后，邻居 AP 可以提高自身功率，以弥补 覆盖空洞 6)网络负载分担功能：既可以实现用户在不同 AP 下的负载分担，也可以实现 AP 在不同无线控制器下的负载分担 7)快速切换功能：用户在同一无线控制器的不同 AP 之间漫游时，可以大大提高 切换速度，切换时延只有 89 毫秒 8)跨区组网功能：对于分散在不同区域的 AP 依然可以通过城域网连接到无线控 制器，而且 AP 无需任何配置 9)跨 IP 子网漫游功能：无线工作站无需作任何改动，可以在不同的 IP 子网进行 白山水电站无线应用系统解决方案 第 14 页 张小强无缝漫游 3.33.3 IPIP 地址规划设计地址规划设计 无线网络系统属于用户内网，只进行内部通信使用；该无线网络系统作为用户整体 网络的一个分支，ip 地址可参照用户现有网络进行规划。IP 地址规划按照职能，分两 个部分： 1. 设备管理 ip：用于标识交换机、AP 设备的固定 ip 地址 2. 用户终端 ip：用户终端设备（PDA、笔记本、wifi 手机等）的 ip 地址，或由 DHCP server 自动分配或由用户手工配置 对 IP 地址编址设计和分配利用，遵循了以下原则： 1、自治：整个网络被划分成几个大的自治区域，每个大自治区域中又被划分成几 个中等的自治区域,再将中等自治区域划分成几个小的自治区域。 2、有序：我们按照自治原则将网络进行逻辑划分后，就根据地域、设备分布及区 域内用户数量来进行子网规划。同时，将 IP 地址规划和网络层次规划、路由协议规划、 流量规划等结合起来考虑。为了提高地址分配效率和地址利用率，在编址设计时按照了 一定的顺序进行。选择的顺序是自上而下的顺序，即采用领先的自顶向下网络设计 （Top-Down Network Design）方法。 3、可持续性：考虑到内网络用户数将持续高速增长，网络所要承载的业务量和业 务种类越来越多，这使得网络需要频频进行技术升级、改造和扩容。所以，在进行地址 分配时本方案充分考虑到了这些因素，为网络的每个部分留有部分地址冗余，这样保证 网络的可持续发展。 4、可聚合：互联网日新月异的发展和日益庞大的规模令当初设计互联网络的专家 始料不及，在路由表急剧膨胀情况下，可聚合原则是网络地址分配时所必须遵守的最高 原则，可聚合原则要求在进行地址规划时，应提供足够的路由冗余功能。 5、尽量节约 IPv4 地址：由于 IPv4 地址越来越少，所以对于 IPv4 地址的使用需要 格外节约。IPv4 地址的节约可以通过动态编址技术和 NAT 技术等来实现。 6、闲置 IP 地址回收利用：对于已分配出去的静态 IP 地址进行定期追踪管理，对长 时间闲置的 IP 地址可经过确认后回收重复利用。 白山水电站无线应用系统解决方案 第 15 页 张小强3.43.4 无线网络安全性设计无线网络安全性设计 WLAN 利用了不可见的公用媒介进行空中信号传播，安全问题是部署无线的巨大挑战。 仔细分析无线网络面临的安全挑战，主要是防止非法 AP 接入，防止非法用户接入，防 止 ARP 攻击，防止 AP 过载，防止不合理应用等。针对以上安全问题，汉明科技无线系 统可以提供多标识的用户的接入验证功能，如 802.1X、WEB 认证、MAC、SSID 等多种标 识的认证方式，配置非常灵活，而且可以集中配置。并且，可以提供统一的加密功能， 如 WEP、WPA、WPA-PSK、WPA2 等加密方式，而且所有的配置都可以通过 AC 全局配置。 无线网络的安全性设计体现在接入认证、数据加密、安全策略三个层面。接入认证 实现对接入无线网络的终端和用户进行接入合法性检查；数据加密对终端和 AP 之间的 数据进行加密处理，防止窃听；安全策略采用用户隔离、SSID 隐藏、MAC 地址过滤等技 术手段抵御恶意用户的攻击行为。 接入认证方案设计： 汉明科技支持 MAC 地址认证、预共享密钥认证、802.1X 认证、portal 认证。如果 用户网络中已包含 ruidius 认证服务器，我们建议用户采用 802.1x 认证或 portal 认证方 式实现对接入用户的准入。也可以在用户现有网络认证系统的基础上进行扩展，把无线 系统的接入控制加入到现有认证系统中，实现用户网络认证系统的统一性和完整新。 802.1x 认证是一种基于端口的网络接入控制协议，该技术也是用于 WLAN 的一种 增加网络安全的解决方案。当客户端与 AP 关联后，是否可以使用 AP 提供的无线服务 要取决于 802.1x 的认证结果。如果客户端能通过认证，就可以访问 WLAN 中的资源； 如果不能通过认证，则无法访问 WLAN 中的资源。 Portal 认证也称为 Web 认证，一般将 Portal 认证网站称为门户网站。未认证用户接 入 wlan 后上网时，打开浏览器，portal 网关设备将强制用户登录到特定站点，提示用户 输入用户名和密码，只有认证通过后才可以使用互联网资源。 若用户现有网络系统中无完整、统一的认证系统，可以采用较为简便的 PSK 预共 享密钥认证，PSK 认证需要在无线客户端和设备端配置相同的预共享密钥，如果密钥相 同， PSK 接入认证成功；如果密钥不同，PSK 接入认证失败。 白山水电站无线应用系统解决方案 第 16 页 张小强数据加密方案设计： 采用汉明科技独有的 E-CARD 专利技术对 AP 与终端之间的数据进行加密。 汉明科技除了支持 WIFI 通用的安全策略和中国标准的 WAPI 安全标准外，还发明 了一种基于 E-CARD 的加密保护方法、一种用户和无线点之间的专有加密保护方 法、一种基于心跳的 WLAN 网络资源防盗方法三个关于 WIFI 的安全专利。其中， E-CARD 加密保护方法在提高数据加密等级的基于上，对数据加密性能和效率进行了极 大的优化。本方案中，AP 与终端设备之间采用 E-CARD 技术进行加密。采用 E-CARD 技术对全网数据进行机密保护。由于采用汉明独有专利技术，使得对加密数据的破解更 为不可能。 安全策略方案设计： 1.隐藏 SSID，不主动广播 SSID 信息，终端采取主动寻找方式进行接入，可以防范外来 用户使其无法搜索到该 SSID 的信号，故也无法接入。 2.MAC 地址过滤功能，只有特许的 mac 对应的 wifi 终端才能接入。 3.用户隔离功能，接入同一 SSID 的用户之间二层隔离，保障二层安全，避免 ARP 攻击、 DHCP 饿死攻击、广播风暴等二层攻击行为。 3.53.5 无线网络管理框架设计无线网络管理框架设计 本方案无线网络的管理分为两个层次两级管理。第一层是接入层的 AP，第二层是 无线控制器 AC，第一层的 AP 无需单独维护，全部交给第二层的 AC 进行统一的配置 管理，包括安全策略、QoS 策略、RF 射频管理和漫游管理。在本方案中，AC 设备是整 个无线系统的核心，体现在对所有 AP 设备的集中式管理、数据集中转发，为接入用户 提供安全、数据、漫游、QOS 等服务。 集中式无线网络管理方案大大提高了用户对网络系统的易维护性，在 AC 上实现对 所有 AP、接入用户的状态监视、配置管理，远程操作等。AC 设备集成 DHCP 服务、 RADIUS 认证服务、PORTAL 认证服务，为客户提供统一的管理界面。瘦 AP 和无线控制器 系统有非常强大的集中管理功能，所有的关于无线网络的配置都可以通过配置无线控制 器器统一完成。例如开通、管理、维护所有 AP 设备以及移动终端，包括无线电波频谱、 白山水电站无线应用系统解决方案 第 17 页 张小强无线安全、接入认证、移动漫游以及接入用户等所有功能。汉明科技 AC 产品为 Web 图形化界面设计，提供友好、简捷的人机界面，方便用户维护、管理。 3.63.6 无线网络无线网络 WDSWDS 与与 MeshMesh 功能应用功能应用 MeshMesh 功能介绍功能介绍 无线 Mesh 网络是一种新的无线局域网类型。与传统的 WLAN 不同的是，无线 Mesh 网络中的 AP 是无线连接的，而且 AP 间可以建立多跳的无线链路。无线 Mesh 网 络只是对骨干网进行了变动，和传统的 WLAN 没有任何区别。汉明科技无线 Mesh 网络架 构功能为网络环境复杂的应用场景提供了一系列的优势。 高性价比：Mesh 网络中，只有 MPP 需要接入到有线网络，对有线的依赖程度被降到 了最低程度，省却了购买大量有线设备以及布线安装的投资开销。 可扩展性强：Mesh 网络中，AP 之间能自动相互发现并发起无线连接建立，如果需要 向网络中增加新的 AP 节点，只需要将新增节点安装并进行相应的配置。 部署快捷：组建 Mesh 网络，除 MPP 外的其他 AP 均不需要走线接入有线网络，和传 统 WLAN 网络相比，大大缩短组建周期。 高可靠性：传统 WLAN 网络模式下，一旦某个 AP 上行有线链路出现故障，则该 AP 所 关联的所有客户端均无法正常接入 WLAN 网络。而 Mesh 网络中各 AP 之间实现的是全 连接，由某个 Mesh