企业无线网络方案真正实现无缝漫游效果非常完美.doc

1 WLAN 方案方案 2 目目 录录 一 项目概述 2 1 1 公司无线覆盖项目概述 2 1 2 公司无线覆盖项目需求 2 二 系统规划 3 2 1 主要建设目标 3 2 1 1 与传统有线网络的无缝融合 3 2 1 2 易于管理 4 2 1 3 可选择的多种安全机制 4 2 1 4 高扩展性 4 2 1 5 与认证系统的融接 4 2 1 6 多种服务的支持 4 三 方案设计依据及几个主要工作过程及原理 4 3 1 网络设计依据 4 3 2 无线网络技术指标 5 四 主要设备选择及性能指标 9 4 1 无线控制器 WX3010 9 4 2 无线接入点 EWP WA2110 AG 10 五 系统架构 10 5 1 接入部分 11 5 2 安全控制机制选择 11 5 3 认证方式 WX3010 控制器内置认证系统 12 5 4 覆盖部分整体规划 12 5 5 负载均衡功能的重点应用 12 5 6 无线网络的拓扑图 13 六 方案具体规划 13 6 1 无线室外覆盖区域 14 6 1 1 公司一层无线覆盖 14 6 1 2 公司二层无线覆盖 15 6 1 3 公司三层无线覆盖 16 6 1 4 公司四层无线覆盖 17 七 设备清单 17 八 产品供应商简介 17 九 H3C 产品优势和应用案例 19 3 一 一 概述概述 1 11 1 公司无线覆盖概述公司无线覆盖概述 公司位于公司内 独立四层建筑 中间天井的四合结构 天井内有一丛竹子 现网络 是有线铺设 随着公司的发展 人员的增加 办公设备的提升 便携设备的增加 移动办 公以及外来客户的上网等应用的扩展 在不做大的装修变动的情况下 无线办公区域成为 了公司目前网络的最佳选择 1 21 2 公司无线覆盖需求公司无线覆盖需求 本项目主要是为了满足公司内的企业进行办公或是商务活动的个人提供接入企业网和 互联网的需要 为他们提供方便 灵活 高效的无线网络连接服务 本项目需要实现的无 线网络覆盖范围包括大楼一到四层的无线网络覆盖 同时实现无线网络系统和原有的有线 网络系统的无缝连接 二 系统规划二 系统规划 2 12 1 主要建设目标主要建设目标 2 1 12 1 1 与传统有线网络的无缝融合 与传统有线网络的无缝融合 实现企业内无线高速上网 可随意漫游 漫游过程不会与企业网络断开 2 1 22 1 2 易于管理 易于管理 建立高速的无线企业网络 利用信息的快速 准确的流通为各企业提供服务 为计划 组织 管理与决策提供基础信息和科学手段 2 1 32 1 3 可选择的多种安全机制 可选择的多种安全机制 充分考虑网络的安全性 网络系统应该具备多种安全防御能力 建成的无线网络很好 4 的融合进网络安全解决方案体系中 并根据无线网络的安全技术特征 补充为具有多层次 的安全保护措施 以满足用户身份鉴别 访问控制 可稽核性和保密性等要求 并特别保 障了无线链路层的防扫描和密码探测等威胁的发生 2 1 42 1 4 高扩展性 高扩展性 在网络规模不断发展的情况下 无线网络可满足在不改变主体架构与大部分设备的前 提下 平滑实现升级和扩充 降低原有网络的硬件投资 并保证扩展后的系统可用性与稳 定性 2 1 52 1 5 与认证系统的融接与认证系统的融接 在新建成的无线网络中 作为网络接入层的有效补充 能够完全融合进认证体系 支 持今后全网对所有用户的上网控制 认证的持续运营 2 1 62 1 6 多种服务的支持多种服务的支持 基于网络的未来可持续发展 采用的无线产品均具备可适应未来发展的无线宽带应用 如无线语音应用 无线视频会议应用 无线多媒体通信应用等 的需要 并提供低成本 的无缝升级和前后兼容 三 方案设计依据及几个主要工作过程及原理三 方案设计依据及几个主要工作过程及原理 3 13 1 网络设计依据网络设计依据 中国移动通信总公司关于 WLAN 的相关技术规定 福建移动通信有限责任公司关于 WLAN 工程的相关规定 IP 网网管技术标准及规范要求 IEEE 802 11 标准 计算机信息系统安全准则 中华人民共和国电子计算机机房设计规范 国际以太网标准 ISO IEC 8802 3 国际以太网标准 ANSI 国际布线标准 ISO IEC 11801 国家布线标准 CECE89 97 5 现场勘测数据 产品出厂参数 技术规格书 3 23 2 无线网络技术指标无线网络技术指标 选用无选用无线 802 11A G 技术带宽可达 54M 进行覆盖 保证接入的信号和带宽 无线终端网络带宽在 1Mbps 以上 支持并发数不少于 30 个终端的同时接入 覆盖区域内的 WLAN 信号强度不低于 80dbm 网络区域无线网卡最低接收电平 80dBm 无线信号 扩频 信噪比 S N 20Db 发射功率 最大发射功率为 100MW 无线网络接受灵敏度 78dBm 54Mbps 79dBm 48Mbps 83dBm 36Mbps 87dBm 24Mbps 90dBm 18Mbps 92dBm 12Mps 94dBm 9Mps 95dBm 6Mbps 93dBm 11Mbps 96dBm 5 5Mbps 97dBm 2Mbps 100dBm 1Mbps 发射频普 工作频段 802 11a 2 412GHz 2 472GHz 802 11b g 5 725GHz 5 850GHz 工作信道 6 802 11a 与 IEEE802 11 兼容 802 11n 与 802 11a 兼容时 中国 5 个信道 802 11b 802 11g 802 11n 与 802 11b g 兼容时 中国 13 个信道 信道带宽 IEEE802 11a 54Mbs 48Mbps 36Mbps 24Mbps 18Mbps 12Mbps 9Mb ps 6Mbps IEEE802 11g 54Mbs 48Mbps 36Mbps 24Mbps 18Mbps 12Mbps 11M bps 9Mbps 6Mbps 5 5Mbps 2Mbps 1Mbps IEEE802 11b 11Mbps 5 5Mbps 2Mbps 1Mbps 接收门限电平值 最小接收机门限电平为 80dbm 最大接收机门限电平为 8dbm 杂散发射 AP 杂散发射功率电平值为 40dbm 发射功率稳定度 23PPM 以下 Power on 与 power down 坡度 上升和下降时间都是 1 5us 支持无线网络的内 外网物理隔离选项 提供用户管理和计费系统 支持基于用 户帐号的访问控制列表 支持预付费 后付费 时效卡等多种计费模式 以便开 发无线网络对病人和访客的增值运营 保证大流量压力测试下 100 小时无异 无线覆盖网络采用 802 11a g b 技术标准 具有良好的兼容性 能兼容 市场上主流的 802 11a 802 11g 802 11b 设备 支持动态 IP 地址分配功能 具有 DHCPClient 静态 IP 地址 DHCPRelay 功能 支持生成树协议 支持 802 1Q VLAN trunk 具有 AP 链路完整性功能 AP 的有线端口发生故障或者 AP 上连以太网中断后 AP 将自动关闭无线发射 断开连接到其无线端口上的所有用户 具有自动 RF 管理和功率控制技术 故障自恢复功能 7 四 主要设备选择及性能指标四 主要设备选择及性能指标 4 14 1 无线控制器无线控制器 WX3010WX3010 货物名称技术参数及性能要求 H3CWX3010 无 线控制器 1 整机交换容量 20G 包转发率 14Mpps 2 接口要求 8 个 10 100 1000M 端口 2 个千 兆 SFP 光口 3 支持 802 3af POE 供电标准 可选支持 POE 供电 4 管理 12 个 AP 可通过软件 license 扩展支 持管理 24 个 AP 5 支持集中式转发 6 射频管理 自动调整功率和信道 故障 AP 覆 盖黑洞补偿 检测覆盖黑洞 7 支持 2K MAC 地址 8 支持 4K VLAN Guest VLAN 支持 Voice VLAN 基于协议的 VLAN 基于 SSID 的 VLAN 基于 MAC 的 VLAN 9 支持 STP RSTP MSTP 支持 LACP 10 支持静态路由 RIPv1 v2 11 支持单向链路检查协议 监控光纤或铜质双 绞线的链路状态 支持 SMART LINK 12 支持扩展 ACL 支持 L2 ACL 根据报文的源 MAC 地址 目的 MAC 地址 802 1p 优先级 二层协议类型等二层信息制定匹配规则 支 持时间段 ACL 支持 VLAN ACL 支持 8 个 优先级队列 端口 支持动态 ACL 规则下发 13 支持高级加密标准 AES 临时密钥交换协 议 TKIP 以及有线对等加密 WEP 支持 WPA 及 WPA2 加密算法 14 防止 ARP 欺骗攻击 15 支持 Portal 认证 802 1x 认证 MAC 地址 认证 PPPoE 认证 16 支持无线客户端安全端点准入 实现桌面安 全 可以根据无线客户端的桌面系统补丁信 息及病毒检测信息保证无线终端接入安全 17 支持本地认证服务器 18 支持内置 PORTAL SERVER 19 支持 DHCP Server 支持 WEB 管理 支持 SSH 管理 支持 CLI SNMP V1 V2 V3 8 4 24 2 无线接入点无线接入点 EWP WA2110 AGEWP WA2110 AG 货物名称技术参数及性能要求 H3C WA2110 AG 无线 AP 1 支持最高速率为 54Mbps 2 支持双频多模 可以工作于 WLAN 的 2 4GHz 频段或 5GHz 频段之上 支持 802 11b g 或 802 11a 协议 3 支持内置信道数 802 11a 中国 5 个信 道 802 11b g 中国 13 个信道 4 自带天线支持以下室内覆盖范围 802 11a 大于 60M 802 11b 大于 125M 802 11g 大 于 95M 5 支持虚拟 AP 单个 AP 可支持不小于 16 个可广播 SSID 6 支持虚拟专用组 通过相同 SSID 的子网 或 VLAN 单独实施加密和隔离 7 支持 802 1x 认证 8 支持 WEP Dynamic WEP TKIP CCMP AES 等数据加密技术 9 支持 PSK PSK MAC authentication 802 1x 11Key handshake WPA 等密钥技术 10 支持射频扫描 能发现非法接入点 Ad Hoc 用户或其他射频干扰 并上报相应的告 警 11 支持 IPV6 12 支持 CAPWAP 标准 13 支持直连或通过 L2 L3 方式连接到无线局域 网控制器 14 支持零配置 无需准备预设置 从无线局域 网交换机或控制器获取配置信息 15 支持自动设置发射功率和分配射频信道 16 支持版本自动升级 17 支持防盗防入侵 本地不保存任何配置信息 18 支持低功耗 单个 AP 功耗小于 8W 19 支持本地供电和 PoE 供电 支持 40 70 不结露 五 系统架构五 系统架构 5 15 1 接入部分接入部分 无线网络的建设是在公司有线企业网络之上 进行无线网络扩充 网络通过网关提供 的网络出口接入 Internet 无线网络的主要覆盖大楼一到四层 让公司内的使用者可以随 9 时随地 无拘束的连接到网络 该企业内具有完善的有线网络结构 新的无线网络建设要 求在网络互联 安全防御等方面与有线网络进行良好的兼容和互补 并在无线网络认证方 面无缝融合 在整体无线网络的规划中 始终以高效 稳定 安全为总体设计目标 同时保证易于 使用 用户界面统一 标准 表现力强 易于安装和维护 网络运行质量高 开放性好 便于移植 扩展和推广 具备较好的性能价格比 并在几年内保持解决方案与技术上的领 先 为用户提供一个灵活的移动教学和办公的 平台 对用户和无线网络进行有效的管 理 构建了一个稳定的 可拓展的无线企业网环境 5 25 2 安全控制机制选择安全控制机制选择 在有线以太网技术的发展历程中 越来越多的面向访问端和服务端的安全技术被开发 出来并得到了成熟运用 而对于无线网络而言 由于其利用空中载波信道作为传输载体 其物理层与数据链路层工作原理与有线网络有所不同 其所遵循的安全策略也与有线网络 截然不同 在校园级无线网络的规划中 由于信号的覆盖将会带来众多的未知访问者试图 进行的访问连接 无线网络如何从中识别出合法的用户 避免非法用户利用无线网络的安 全隐患入侵整个网络 往往成为了无线网络规划者需要解决的难点 在目前面向行业级的 WLAN 产品的安全技术中 越来越强调单机安全策略的强化 以 及与有线网络安全互补的核心思想 其中 SSID 禁止广播 WEP 机密 WPA 认证 802 1X 认证 EAP TLS 扩展认证 VLAN 划分等一系列技术的运用 将有效的提高无线网络的安全 防御能力 本此规划中 将按照层次化的设计理念 完成公司的无线网络安全需求 智达 康的室内型和室外型网络设备均支持 SSID 禁止广播 WEP 机密 WPA 认证 802 1X 认证 EAP TLS 扩展认证 VLAN 划分技术 可提供完备的安全防御能力 SSID 无线标识符 是用于无线终端与接入点匹配以获得通信的明文密码 对于初级 安全防范有一定作用 且配置快速简单 非常适合室外无线覆盖使用 尤其是启用了目前 先进的 SSID 广播禁止功能之后 由于空中不再广播明文的 SSID 号码 使得那些拥有截获 SSID 密码的无线终端非法访问网络 另外 WEP 有线等效密钥 和 WPA WPA2 接入保护 技术的出现 可以通过大量的 密文加密位和动态的密钥协议 TKIP AES 为非法访问者制造难以攻破的障碍 从而避免 网络安全事件的发生 在校园无线网络规划中 由于目前校园有线网络已具备一定规模 因此 在无线网络融合进有线网络进行数据交换之前 通过 WEP 和 WPA 加密技术可以增加 一层保护手段 可以极大的提升安全防御的能力 另外 对于室内 室外型 AP 产品 由于其分别开放于室内高密度访问和室外环境 面 对的是所有用户群体 对不同的用户群体的权限和身份识别则成为必须的功能 因此 AP 产品应选择具备多 BSS 的划分和 802 1Q VLAN 功能的无线产品 协助接入层无线用户与接 10 入层交换机用户同样接受全网统一管理和 VLAN 的划分 这样可以彻底解决无线用户无法管 不方便管的疑难问题 5 35 3 认证方式认证方式 WX3010WX3010 控制器内置认证系统 控制器内置认证系统 提供基于提供基于 AP 位置的用户接入控制位置的用户接入控制 出于安全性或计费等的考虑 系统管理员可能希望控制无线用户接入到网络中的位置 H3C WX3010 无线控制器支持基于 AP 位置的用户接入控制 当无线用户接入网络时 可以 通过认证服务器向 US 下发允许用户接入的 AP 列表 在 US 上进行接入控制 从而达到限制 无线用户只能接入到指定位置的 AP 的目的 提供精细的无线用户管理提供精细的无线用户管理 基于 MAC 的认证接入控制方式 不但可以使得客户在 AAA 服务器上对用户组进行权限 的配置和修改 同时支持对具体用户的权限的配置 这种精细的用户权限控制大大增强了 无线网络的可用度 网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分 配 基于 MAC 的 VLAN 同样也是 WX3010 无线控制器的一大特色 在控制策略上 管理员可 以把相同性质的用户 MAC 划分到同一个 VLAN 同时在 US 上基于 VLAN 配置安全策略 这样做既可以简化系统配置 又可以做到用户级粒度的精细管理 提供内置提供内置 802 1x 认证服务和内置认证服务和内置 Portal 认证服务认证服务 H3C WX3010 无线控制器内置 802 1x 认证服务 支持 TLS PEAP MD5 等多种 802 1x 的认证方式 在中小型企业用户不需要计费功能 而只需接入控制和数据加密要求 时 可利用内置的 Radius 服务直接在设备上完成 802 1x 认证功能 免去了复杂的 AAA 服务器部署过程 既经济又省事 H3C WX3010 无线控制器还提供内置的 Portal 服务器 解决了不便于安装客户端用户的安全认证问题 5 45 4 覆盖部分整体规划覆盖部分整体规划 主控机房核心交换机旁 挂 H3C WX3010 进行无线 AP 控制和管理 室内方式覆盖 采用 H3C 采用 H3C WA2110 AG 进行覆盖 具体定点见草图 AP 供电视 实际状况 尽量就近取电和网络向 少量通过 POE 方式供电 5 55 5 负载均衡功能的重点应用负载均衡功能的重点应用 无线网络中的各个 AP 具有负载均衡功能 可根据系统的用户数或是流量这两种方式均 衡各个 AP 上的负载 避免某个 AP 上的负载过大 而使某个区域的无线网络性能下降 造 成链路不稳定 通过负载均衡调节后的无线网络 具有更好的网络性能 能够为更多的无 线终端提供良好的无线性能 保障无线网络的性能 11 5 65 6 无线网络的拓扑图无线网络的拓扑图 六 方案具体规划六 方案具体规划 根据公司分布状况 在详细的地形勘测 信道检验 信息点分布等了解之后 提出了 室外的无线网络的具体部署规划 本次设计根据目前用户数和环境状况 植物对无线信号的阻挡很大 设计是一台 H3C WX3010 无线控制器和 7 台 AP H3C WA2110 AG 对楼层进行覆盖 建议增加 2 台作为备用机 天井覆盖设备或者盲点位置覆盖 12 6 16 1 无线室外覆盖区域无线室外覆盖区域 6 1 16 1 1 公司一层无线覆盖公司一层无线覆盖 13 6 1 26 1 2 公司二层无线覆盖公司二层无线覆盖 6 1 36 1 3 公司三层无线覆盖公司三层无线覆盖 14 15 6 1 46 1 4 公司四层无线覆盖公司四层无线覆盖 无线网络设计无线网络设计 四层为外出员工的临时办公区 用户数比较少 故建议在过道处用一个 AP 对两边的 房间进行覆盖 七 设备清单七 设备清单 16 序号产品型号产品描述数量单价 RMB 小计 RMB 1EWP WA2210 AG H3C WA2210 AG 无线局域网室内型无线局域网室内型 AG 单频双模接入点单频双模接入点 62 020 0012 120 00 2EWP WX3010 POEP H3 H3C WX3008 PoEP 8 端口千兆端口千兆 8GE T PoE Plus 有线无线一体化交换机有线无线一体化交换机 114 700 0014 700 00 3 工程费 1 800 001 800 00 总计 28 620 00 八 产品供应商简介八 产品供应商简介 杭州华三通信技术有限公司 简称 H3C 致力于 IP 技术与产品的研究 开发 生产 销售及服务 2008 年 H3C 销售收入净额 8 84 亿美金 US GAAP 缴纳各项税费近 8 亿人 民币 在国内 31 省市和海外多个国家或地区设有分支机构 目前公司有员工 4800 人 其 中研发人员占 55 H3C 每年将销售额的 15 以上用于研发投入 在中国的北京 杭州和深圳设有研发机 构 在北京和杭州设有可靠性试验室以及产品鉴定测试中心 截止 2009 年上半年 H3C 已 申请专利超过 2000 件 其中 85 是发明专利 年专利申请数在中国通信企业中位居前三 H3C 已参与中国通信标准化协会及 IETF SMTA SPC PCI SIG Wi Fi USB SNIA VCCI 等国际标准组织 为构建以业务应用为中心的动态 IT 架构 H3C 提出了 IToIP 理念 基于 IP 技术标准 提供统一 IT 基础架构 具备 标准 融合 开放 增值 特征 基于 IToIP 构建网络 安 全 存储 多媒体四大产品线 实现了从网络设备供应商到 IToIP 整体解决方案供应商的 战略跨越 确立了牢固的市场领先地位 目前 H3C 在中国的交换机和企业级路由器市场 份额排名第一 运营商 WLAN 设备市场份额排名第一 网络安全设备市场份额排名第一 IP 存储市场份额第一 IP 监控技术全球领先 已成为中国平安城市第一品牌 截止 2009 年 5 月底 已经累计承建超过 140 个平安工程项目 根植中国 H3C 始终以 为客户创造价值 作为公司发展的源动力 不断细分客户需 求 面向行业 商业 中小企业 运营商三大客户类型分别提供量身定制的整体解决方案 服务于 70 以上的中央部委 全部 211 高校和 985 高校 四大银行 全球最繁忙的 机场之一首都机场 自然环境最为恶劣的青藏铁路 国家最高艺术殿堂国家大剧院 单体 17 建筑面积最大的奥运项目国际会议中心及电信 移动 联通 广电等运营商市场 服务全球 通过与 3Com 华为 NEC 等公司合作拓展国际市场 目前 H3C 的产品和解 决方案已经覆盖全球近百个国家和地区 赢得包括瑞士电信 西班牙电信 英国沃达丰 法国国铁 法国标致雪铁龙集团 俄罗斯联邦储蓄银行 美国霍华德大学 日本社保厅 北海道大学在内的众多国际客户 无线产品 H3C AP 设备现网使用量已超过 30 万台 H3C WLAN 在国家大剧院 首都国际机场 T3 航站楼 国家图书馆 中央职业教育实训 基地 上海陆家嘴 广州国际金融中心等高端项目中获得广泛应用 在国内高校无线校园 网建设以超过 30 的份额位居第一 H3C WLAN 在中国电信以超过 40 的份额位居第一 在中国移动应用遍布 18 个省及自 治区 其中山东移动 广东移动 安徽移动 江西移动等省建设量超过万台 同时进入中 国移动 09 年瘦 AP 架构集采短名单 业务软件 服务于中国银行 中国建设银行 民生银行 新华社 中国环科院 中国外交部 国 家人事部 成都市政府 央视国际 中国外运总公司 太原钢铁 中石化 西北局 华北 局 三一重工等高端客户 作为 中国最专业 应用最广泛的网络准入解决方案 截至 09 年上半年 H3C 终端 准入控制解决方案 EAD 累计布署超过 80 万终端 CCID 报告显示 H3C EAD 在品牌评价 市 场份额等方面均位列中国终端准入市场第一名 iMC 自 07 年推出至今 已销