广州萝岗区无线宽带城域网项目无线接入系统设备采购技术建议书.doc

广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 1 of 81 技术建议书技术建议书 子项目子项目 1 项目名称项目名称 广州市 XXXX 区无线城市建设试点一期工程无线网络服务租赁项目 买方买方 广州市 XXXX 区信息化办公室 卖方卖方 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 2 of 81 目录目录 1 导言 导言 4 2 广州 广州 XXXX 区无线城域网设计方案区无线城域网设计方案 7 2 1 主网系统整体设计 7 2 2 广州 XXXX 区无线城域网设计原则 7 2 3 广州 XXXX 区无线城域网总体无线网络设计构架 8 2 4 西门子 WLAN 解决方案技术特点 9 2 4 1 SIEMENS Hipath高冗余可用性 9 2 4 2 SIEMENS Hipath 优化无线网络构架 10 2 4 3 灵活方便的部署 易于扩展及维护 12 2 4 4业界领先的无线语音服务 13 2 4 5 安全性和定位 HiGuard模块 14 2 4 6 实现可视化无线最优RF覆盖图 15 2 5 无线局域网深化设计 16 2 5 1 客户端IP寻址 17 2 5 1 安全性 18 2 5 3 过滤和访问控制 20 2 5 4 服务质量 QoS 20 2 5 5 组播 multicast 22 2 5 6西门子WLAN 的管理与维护 22 2 5 7 HiPath Wireless Manager管理软件 25 3 无线网络设备规范书无线网络设备规范书 27 3 1 主网系统主要设备配置 27 3 2 无线主要设备技术参数 27 3 2 1 SIEMENS HiPath C2400系列企业移动控制系统 28 3 2 2 SIEMENS 无线接入点 AP 2610 2620 31 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 3 of 81 3 2 3 SIEMENS HWM无线管理软件系统 35 3 3 控制器和网管系统技术规范 38 3 3 1 各街镇等场所室内部分 38 4 西门子西门子 WLAN 解决方案概述解决方案概述 40 5 国内国内 WLAN 的应用分析的应用分析 42 6 WLAN 的典型行业应用的典型行业应用 44 6 1 WLAN 在智能交通中的应用 44 6 2 WLAN 在城市联动系统中的应用 46 6 3 WLAN 在信息化医疗中的应用 48 6 4 WLAN 在制造业中的应用 51 7 成功案例成功案例 54 7 1 国内成功案例摘录 54 7 2 国外大型 WLAN 项目成功案例摘录 56 8 工程实施进度的管理工程实施进度的管理 57 8 1 项目进度阶段划分 57 8 2 项目进度阶段意义 60 8 2 1 项目调研 制定实施计划与采购方案 60 8 2 2 产品交付 60 8 2 3 设备的安装与调试 60 8 2 4 无线网络全局调试 61 8 2 5 无线网络环境试运行 61 8 2 6 系统初验 61 8 2 7 系统终验 61 8 3 项目验收标准及验收计划 62 8 3 1 工程验收概述 62 8 3 2 工程验收范围 62 8 3 3 验收标准 62 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 4 of 81 8 4 文档验收标准 63 8 5 验收方式 64 8 6 验收流程 65 8 6 1 到货设备清点验收 65 8 6 2 验收文档交付 67 8 6 3 节点安装测试验收 68 8 6 4 工程初验 68 8 6 5 工程终验 69 9 售后服务售后服务 69 9 1 服务概述 69 9 2 保修期维护服务的定义和接口 70 9 2 1 售后服务保修期定义 70 9 2 2 保修期维护服务接口 70 9 3 硬件系统的维护服务 71 9 3 1 主要硬件系统维修服务的范围 71 9 3 2 维护服务的标准 72 9 3 3 工作和责任的划分 72 9 4 故障响应服务 73 9 4 1 目的 73 9 4 2 故障响应和升级流程 74 9 4 3 故障响应时间 74 9 4 4 故障响应服务报告 74 9 5 其它 75 10 客户培训客户培训 76 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 5 of 81 1 导言 西门子公司非常荣幸能有机会参与广州 XXXX 区无线城域网项目建设 西门子公司总部位于柏林和慕尼黑的西门子公司是世界上最大的电气工程和电子公司之一 自 从公司成立以来 可持续性就一直是西门子公司的显著特征 在西门子 可持续性意味着长期 的经济成功以及一个好的企业公民所应具备的环境意识和社会责任感 公司在全球拥有大约 461 000 名雇员 实现销售额 754 45 亿欧元 净收入 30 58 亿欧元 其中 80 的销售额来自 德国境外 西门子是一家大型国际公司 其业务遍及全球 190 多个国家 在全世界拥有大约 600 家工厂 研发中心和销售办事处 公司的业务主要集中于 6 大领域 信息和通讯 自动化和控制 电力 交通 企业系统和照明 西门子的全球业务运营分别由 13 个业务集团负责 其中包括西门子 财务服务有限公司和西门子房地资产管理集团 此外 西门子还拥有两家合资企业 博世 西门子家用电器集团和富士通西门子计算机 控股 公司 西门子在电气工程和电子领域拥有完善的业务组合 西门子的业务活动受到各种地区和行业因 素的影响 除了国际性业务 如发电 输配电 企业系统和交通技术集团 这些业务一般拥有 较长的业务周期 之外 其他领域的业务 如通信集团和欧司朗的消费品业务和自动化与驱动 集团的资本品业务 易受短期商情趋势和当时经济状况的影响 良好的业务组合帮助西门子从 容应对艰难商业环境带来的严峻挑战 此外 我们的业务领域还能充分体现未来发展的大趋 势 目前 西门子正在研发新的解决方案 以迎接未来来自卫生 能源 水处理 通信 交通 安防 物流和自动化领域的挑战 西门子透明 负责的管理和监控体系是公司实现持续性增长的保证 同时也是西门子及其业务 政策赢得和保持信誉的必不可少的条件 西门子一直非常重视尊重和保护股东的权利 总是及 时 毫无隐瞒地向他们提供公司的信息 以确保公司管理委员会和监事会之间的密切合作 并 且西门子还始终坚持遵守国际和各国的法规法则 作为一个优秀的企业公民 我们还致力于帮 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 6 of 81 助提高业务所在国的人民的生活水平 支持年轻一代的教育和培训 缓和社会问题和弘扬当地 的艺术文化 西门子拥有 900 000 多名股东 是世界上最大的上市公司之一 公司超过 55 的股本募集于 德国境外 从 2001 年 3 月开始 西门子股票在纽约证券交易所 NYSE 挂牌交易 西门子企业通信集团 西门子数字程控通信系统有限公司 Siemens Business Communication System SBCS 介绍 150 年的发展历史 已经见证德国西门子公司始终是世界电子工程领 域的全球领导者 同样 在中国 西门子数字程控通信系统有限公司 SBCS 在经历了十年 的成功发展后 为中国企业提供了具有革新意义的商务通信解决方案 德国技术 专业精神和 创新精神 在 SBCS 通信产品和服务的研发和营销过程中 得到完美地延伸和体现 西门子企业通信集团在全球 160 多个国家开展业务 拥有数以百万计的客户群体 包括 70 的名列美国 财富 杂志 500 强的公司和 300 个固定网络运营商 它们对其解决方案信赖至 深 这种无与伦比的信赖 植根于西门子倡导的卓越行业标准 SBCS 在中国的十年健康 快 速发展 完全有赖于我们始终奉行这一标准 为保持在世界范围内对通信技术发展主流趋势的主导地位 西门子公司于 2002 年在专网通信 领域推出了其下一代专用通信网 NPN 战略结构体系和总体解决方案 HiPath HiPath 构成了西门子未来通信发展的基于 IP 和软交换的技术基础以及产品品牌家族 是当今世界通 信领域最先进的解决方案之一 SBCS 除了在国内与德国同步释放最新版本的适用于不同规模 的 HiPath4000 Hipath3800 HiPath8000 系列通信交换平台外 还从德国引进了许多通信增 值应用产品和解决方案 这其中包括 适用于移动办公的 Openscape 和 Xpression 解决方案 用于调度和紧情况处理的 PDS 调度系统 用于呼叫中心的 Carol 和 Procenter 系统 DAKS 数字告警及会议服务器系统 基于 ISM 标准和 WLAN 的数字无线通信解决方案 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 7 of 81 HHSC 和 FCS JDS VMS 酒店通信解决方案 接处警及社会应急联动解决方案等 OTN 开放传输网络系统 西门子 SBCS 提供的专业服务也使得这些解决方案和产品得到了更好的设计规划和实施 并被 越来越多的用户接收和使用 在各自专业领域发挥了很好的功效 西门子 SBCS 历来重视与所有用户 包括潜在的用户 建立良好的沟通和合作关系 注重客户 的实际需要和将来的发展趋势 努力 认真地设计并提供高效的设计方案 在此次浙江广州 XXXX 区无线城域网无线网络项目中 SBCS 将委派专人负责处理和协调与本项目相关的所有 事宜 确保密切联系和快速响应 保证项目的顺利实施 为该项目的顺利实施做出我们的贡献 下面是我们对项目需求的理解和根据需求做出的方案 2 广州 XXXX 区无线城域网设计方案 2 1 主网系统整体设计主网系统整体设计 西门子为使用 WLAN 覆盖现有有线基础设施提供了一种安全 可扩展 经济有效的解决方案 该方案针对的是运行于整个广州 XXXX 区无线城域网包括多条街道及室外公共场所等需要大量 访问点 根据用户需求 本次广州 XXXX 区无线城域网共需配置 90 个无线接入点 为使 WLAN 的使用 达到最佳效果 西门子需要派工程师进行现场勘察 得出最终需要的无线接入点数量 可能会 有少量变化 2 2 广州广州 XXXX 区无线城域网设计原则区无线城域网设计原则 依据标书和网络建设原则 在无线局域网组网技术 设备产品选型 网络管理和网络安全等方 面考虑以下设计原则 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 8 of 81 遵循国际标准化原则 AP AC 应采用的技术支持应为国际标准或业界标准 而并非采用某个厂商的专用技术或似有 协议 从而保证网络设备的互操作性减少设备投入量 设计标准与规范 除非在技术规范中另作规定 所有设备和仪器的设计 制造 测试和安装均符合以下标准和规 范 这些标准 规范包括 1 国际标准化组织的 ISO 标准 2 国际电工委员会的 IEC 标准 3 IEEE 国际电气及电子工程师学会标准 4 ITU T 及 ITU R 国际电联标准 5 ETS 欧洲电信标准 6 中华人民共和国国家标准 7 其他公认的中华人民共和国行业标准 8 IETF 互联网工程任务组标准 9 其他国家的权威性标准 该标准应等效于或优于以上标准 供货人应明确该标准与以上标 准的主要差别 并提交该标准一份 高可用原则 无线设备应具有 AC AC AP AP AP AC 三大冗余能力 以保证无线不会因为个别设备 down 机而造成大面积 AP 无法使用 具有支持热备份协议及可突发的 AP 冗余 可扩展性原则 在完成了无线部署后无线设备应支持不断扩大的 AP 数 整个系统可以根据用户的需要进行规 模上的扩展 并且保证整体无线性能指标 功能无变化 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 9 of 81 安全性原则 无线安全性主要从以下几个方面考虑 1 数据在无线 AP 到 AC 之间的链路为 CTP 式的加密传输模式 2 MU 接入认证 对终端用户的接入可提供多种不同安全级别的接入认证 3 AC 可以实时的对 MU 终端进行监控用以可即时查看到该用户是否有非正常流量 4 AP 应同时具有 IPS IDS 功能 可保证无线网络的安全性 2 3 广州广州 XXXX 区无线城域网总体无线网络设计构架区无线城域网总体无线网络设计构架 基于以上四点原则本方案采用无线局域网与有线以太网叠加的构架策略 采用无线网就近接入 有线网的原则根据不同网络结构采用相应的 AP 工作模式 我们将遵循网络拓扑结构层次化的 总体设计思想 拓扑结构如下图所示 图 1 图 1 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 10 of 81 这种层次化部署 集中式管理的无线网络设计思想是目前国内外大型无线网络建设中普遍采用 的网络拓扑结构 在这种结构下对无线出现的故障点及设备间的冗余能做到非常大的保障 从 而有效保证了整个网络的高可靠 高性能 高安全和灵活的扩展性 2 4 西门子西门子 WLAN 解决方案技术特点解决方案技术特点 西门子以客户需求为导向 推出了 WLAN 客户化解决方案和系列产品 全面提供易于运营 易于设计 易于安装 易于管理 易于扩展 可靠高效 高性价比的宽带无线接入功能 西门 子 WLAN 解决方案的有以下优势 2 4 1 SIEMENS Hipath 高冗余可用性高冗余可用性 西门子 WLAN 支持无线接入点 控制器和网络路由的冗余高可用 如下图所示 图 2 控制器冗余 采用控制器冗余热备份设计 正常工作时采用负载分担策略 当一台控制器失效 后 另一台控制器会检测到 并迅速接管失效控制器上的 AP 使网络恢复正常工作 内置于 硬件和链路级的冗余特性 及射频端和控制器 网络端的故障切换特性确保服务的平滑持续性 接入点冗余 智能射频管理提供了自动均衡用户负载和故障切换功能 通过自动增强信号来避 免单个接入点故障引起的信号覆盖问题 进一步提高了网络性能和可靠性 网络冗余 当网络故障时 通过控制器和路由器之间的 OSPF 动态路由协议 切换到冗余链路 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 11 of 81 保证网络连通 AP HWC 冗余 Siemens 无线网络为用户提供了最大限度无线不间断接入 在提供了无线控 制器间的冗余 AP 的冗余的同时还停供了另一种其他所有厂家所没有的 AP HWC 冗余 所谓 AP HWC 冗余是指在 AP 完成启动正常工作以后 如果此时控制器出现问题 down 机并且没有 冗余设备 Siemens AP 此时在没有控制器的情况下仍能提供无线接入对用户来说这是通明的 而传统无线网络 如 ARUBA CISCO 等 构架会出现控制器不工作所有 AP 也会停止工作 2 4 2 SIEMENS Hipath 优化无线网络构架优化无线网络构架 中央集中转发模式 无线交换机方案从技术上克服了射频干扰 网络控制以及用户管理等方面问题 由于无线交换 机采用中央集中转发模式 这又带来了新的问题 数据交换效率低 在中央集中转发模式下 所有的用户数据流量在 进出 无线交换机控制器时都不可避免的需要 往返 两次汇聚或核 心交换机 给汇聚或核心交换机增加处理负荷 从而影响网络效率 增加不稳定因素 Siemens 交换模式 本地转发和中央集中转发模式相结合 中央集中转发模式下 随着无线用户的增加 数据流量遭遇带宽瓶颈的问题 在下一代无线网 络标准 IEEE802 11n 将无线网络吞吐量提高到 10 倍于当前流量的时候 我们将会发现无线交 换机控制器不仅仅是无线网络的瓶颈 甚至可能会使整个网络处于崩溃状态 Siemens 在基于第三代瘦 AP 构架基础上对数据转发做了很大优化 采用智能交换解决方案继 承了中央集中转发模式下的安全性较高的优点及本地转发聚或核心交换机增加负荷的问题 将 两者的优点相结合 对于转发效率要求高的数据流量无线接入点 AP 可以直接本地转发 而只 将部分很少的流量做 AP 到控制器集中式转发 图 3 这样大大节省了网络核心和汇聚的流量 负担 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 12 of 81 图 3 西门子第三代无线局域网解决方案采用 Fit AP Fit AP 是智能 AP AP 除了执行无线接 收及数据传输外 还执行部分加密 过滤 QoS 射频管理等时间敏感任务及相邻接入点的直 接通信 无线控制器则执行 AP 间协调 集中控制和管理等工作 使工作负荷合理分担 性能 有了显著提高 西门子 HiPath 无线体系架构为基于统一无线网络上的融合语音和数据应用这一独特需求而构 建 从而为各种应用服务提供了坚实的基础 具有卓越移动性 性能和安全性的基础设施 在 为移动商务设计的网络体系架构上 西门子为企业用户带来了诸多满足实际需求的应用服务 将 WLAN 这一前景光明的技术转化为企业 IT 基础设施的关键组成部分 2 4 3 灵活方便的部署 易于扩展及维护灵活方便的部署 易于扩展及维护 HiPath 无线解决方案提供了灵活的部署选择 西门子 HiPath 无线解决方案不依赖任何有线网 络 也不影响有线网络的任何配置 由于控制器和接入点设备可放置于网络任意地点 可根据 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 13 of 81 无线应用和用户需求设计无线网络 部署方便 网络扩展简单易行 每个控制器支持多达 200 个接入点 通过部署多个控制器 可 以扩展到几千个接入点 即插即用安装接入点 网络可自行发现添加设备 并进行配置 控制 器通过 DHCP 服务为无线接入点分配 IP 地址 无线接入点通过 SLP 协议注册到相应控制器 地域扩展及分支机构部署也很方便 对于较小的分支机构 所需接入点的数量很少 在本地放 置控制器没必要 只需配置少量接入点 分支机构内部的访问可以在本地进行处理 通过广域 网连接到总部控制器 统一管理 这样所有分支机构都可以使用 WLAN 西门子 AP 双频支持 802 11a b g 的用户终端 支持 802 3af 以太网电源供电 使 AP 的安装更 加灵活方便 便于安装在天花板等没有普通电源供电的地方 秉承西门子卓越的制造工艺 西 门子无线 AP 设计得轻灵小巧 坚固耐用 采用专业通风设计方案及材料 具有很好的防尘功 能和广泛的温湿度适应范围 可以方便的放置于墙壁和屋顶 适用于恶劣的工作环境 由于接入点可能相互干扰并降低网络的整体性能 为了解决这个问题 西门子 HiPath WLAN 提供动态射频管理 DRM 功能 动态射频管理对每个访问点集中管理 自动优化输出能量及频率选择 提供以下功能 添加新的 AP 时 相邻接入点之间通讯 控制器自动给新接入点分配一个合适的信道 保 证相邻 AP 间无干扰 通过自动调整发射功率来实现自动优化微蜂窝覆盖 当某个接入点出现故障 其它相邻接入点会自动增强信号覆盖故障接入点所在区域 保障 该区域网络通讯 自动均衡用户负载 当某个接入点的用户过多时 周围的 AP 可以自动接管部分用户 保 障用户的使用性能 接入点可以配置成 WLAN 规避模式 只要发现不同 SSID 的其他接入点 网络中的接入点 会自动降低发射功率来规避其他无线信号 减少干扰 以获得最佳传输质量 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 14 of 81 2 4 4 业界领先的无线语音服务业界领先的无线语音服务 对 WLAN 语音的良好支持是西门子 WLAN 的一大特色 结合西门子的 Hipath 通信平台 西门 子 HiPath 无线语音服务有以下优点 1 业界领先的电话容量和音质 在普通 G 711 标准下 每个接入点允许同时有 15 个电话通话 音质 4 0 MOS 通过 G 729 压缩 可以将电话容量提高到每个接入点 25 路电话 音质 3 75 MOS MOS 为音质标准 5 为优 4 为良好 3 为一般 3 以下不可接受 2 安全快速漫游 802 11i WPAv2 采用 802 11i 的最高安全标准时 客户端在 AP 间漫游 需重新认证 这个过程需要 1 秒钟 西门子采用预认证技术 使漫游延迟 40ms 客户端在原接入点认证 同时也在相邻接入点予 认证 当客户端移动到新 AP 后 原予认证接入点作为主接入点接入 并在新的相邻接入点予 认证 保证终端无缝漫游 没有中断 语音无失真 不抖动 3 端到端语音质量保证 西门子 WLAN 支持全程 QoS 如下图所示 在传输的每一阶段 包括无线和有线 西门子提 供统一的 QoS 也就是服务质量保证机制 对于实时性要求高的语音业务 设置高优先级 率 先传输 语音终端在移动时 可自动进行速率调整 并保证音质 图 4 图 4 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 15 of 81 2 4 5 安全性和定位安全性和定位 HiGuard 模块模块 传感器和接入点的交织网络传感器和接入点的交织网络 保护 RF 环境免受最新威胁的侵害是一项艰巨的任务 尤其是当无线接入点还需要同时向授权 用户提供网络介入是尤其如此 Hipath 无线管理器 HiGuard 允许管理员将若干 Hipath 无线接 入点指定为传感器 这些传感器将持续扫描无线网络周围的无线空间 这使传感器能够提供全 天候的网络保护 同时接入点能够提供最优的网络覆盖和性能 任何接入点都可以在向用户提供业务和扫描空间两者之间来回切换 使网络管理员能够轻松方 便地优化网络以提供最佳安全性和性能 完善的无线入侵防护可保护无线通信的安全完善的无线入侵防护可保护无线通信的安全 Hipath 无线管理器 HiGuard 的设计可以识别最新的无线威胁 并在他们对网络造成影响之前 主动消除这些威胁 传感器持续扫描空间并自动提供保护 防止任何未授权的 WI FI 活动 一 旦 HiGuard 确定了威胁 传感器使用完善的 RF 对策来防止该威胁同时又不中断授权的 Wi Fi 通信 与其他只能在给定时间进行扫描或防护的解决方案不同的是 HiGuard 传感器可以在防 护最多 20 个不同的威胁的同时扫描其他问题 SIEMENS 采用了创新独特的自动分类技术后 属于临近无线网络的友好 AP 和客户端被允许 同时存在 被确定具有威胁的设备将立即触发警告并被阻断 迅速查找非法迅速查找非法 AP 并提供精确的可视化定位并提供精确的可视化定位 在除了可通过 RF 对策远程关闭未授权的非法 AP 以外 为了永久的消除安全威胁 Hipath 无 线管理器 HiGuard 入侵防护功能还提供精确定位跟踪功能来精确定位非法 AP 和客户端并把它 们删除 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 16 of 81 图 5 HiPath 无线管理器 HiGuard 提供可视化定位功能 使它能够定位属于公司的无线资源或者与 资源关联的客户端 此外还提供了一个开放式 API 以帮助与第三方应用的集成 从而提高健壮 的定位业务 2 4 6 实现可视化无线最优实现可视化无线最优 RF 覆盖图覆盖图 要获得高性能接入点和传感器的位置设定都很重要 在运行诸如语音等实时视觉图像 该图像 将 RF 覆盖区域叠加在公司建筑平面上 这种可视化 热图 使管理员能够评估信号强度和链 路速度以确定弱点 并通过重新定位 AP 可方便地纠正问题 图 6 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 17 of 81 图 6 2 5 无线局域网深化设计无线局域网深化设计 HiPath Wireless 无线架构提供对无线用户的集中控制和管理 西门子 WLAN 采用用户组策略 提供对无线用户的集中控制和管理 无线用户的网络策略被应用于无线控制器和接入点 网络 策略应用程序系统被称作虚拟网络服务 VNS 通过用户组策略可以进行安全隔离 设置路 由策略和服务质量 用户分组基于用户需求 流量类型 安全许可 服务质量参数 设备 物理位置和同步运行于 无线基础设施上的其他应用 提供了灵活方便的网络分组方式 可设置各种策略 包括认证 访问过滤 QoS 策略等 可以有效加强管理 保证应用质量 例如 对语音和数据业务设置分 隔的逻辑组十分通用 通过设置不同优先级 对实时性要求高的语音流量优先传输 或员工 访客分隔组 设置不同安全策略和访问权限 这些逻辑组独立于物理网络 对用户透明 管理 方便 可以根据不同用户设置策略路由 指定不同下一跳地址 按用户提供不同的服务 以每 个 VNS 为基础 可对无线控制器进行配置 对经过它的用户流量应用特定的过滤策略 这种 情况下 在无线控制器自身上过滤器定义可以是静态的 如果使用了 RADIUS 验证可以动态提 供设定应用的过滤器 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 18 of 81 我们需设置以下网络策略 1 客户端 IP 寻址 2 安全性 3 过滤和访问控制 4 服务质量 QoS 5 组播 6 动态射频管理 2 5 1 客户端客户端 IP 寻址寻址 首先用机制策略对每个 VNS 进行配置 将 IP 地址分发给无线客户端 通过配置相关的子网 VNS 和 IP 地址范围和信息 由无线控制器通过其内部 DHCP 服务器集中提供 移动用户首先通过一个接入点与一特定 SSID 服务设置标示符 建立联系 SSID 是 WLAN 网络的名称 移动用户选择访问的 WLAN 网络 可以存在一个以上的 SSID 如下图所示 每个 SSID 均与一个虚拟网络服务 VNS 建立联系 根据不同属性 如安全策 略 应用程序 隔离用户 连接 WLAN 的无线客户端能发现 SSID HiPath Wireless 接入点上的每个接收器 802 11b g 和 802 11a 能支持 8 个 SSID 多 SSID 功能的优点是继承了 VNS 的策略 尤其是安全性策 略 因此 不同的用户组可以与相同的接入点连接并且获得不同的验证安全策略 捕获门户 AAA 802 1x 等 当用户成功与某个给定 SSID 建立联系 用户数据流将基于分配策略在内部映射到 VNS 当流 量从客户终端流向接入点再到控制器或相反时 软件会确保适当标记流量 并将其递交给正确 的 SSID 和 VNS 对于有线网络 这完全是透明的 并且能实现网络中服务的极大灵活性和虚 拟性 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 19 of 81 每个 VNS 代表一个唯一的 IP 子网 因此每个经过验证的 WLAN 用户由无线控制器分配一个 IP 地址 这是通过为移动用户分配一个来自无线控制器内部 DHCP 服务器的 IP 地址而实现的 图 7 2 5 1 安全性安全性 无线局域网是一把双刃剑 即有方便灵活的优势 又有易受攻击的天然弱点 任何处在无线局 域网覆盖范围的人都有条件发起攻击 无线局域网的安全是用户最关心的问题 西门子 WLAN 支持所有安全标准 支持多种 多层次安全性 支持加密与认证结合的 802 11i 安全标准 叠 加 VPN 安全 用户组策略 西门子 HiPath 无线解决方案以用户和网络安全性为出发点 提供所有行业标准验证 授权 记账和加密特性 以及独特安全特性如逻辑用户分组 VPN 安全隧道 静态门户 重导 和 智能发现和控制非授权接入点设备 入侵检测 MAC 过滤 黑名单 SSID 服务区标识符 屏 蔽 让非法的移动用户无法发现无线接入点的服务 等功能 西门子 HiPath Wireless 提供多 种安全级别和措施 以保证管理访问 数据保护 拒绝服务 DoS 攻击保护以及 HiPath Wireless 集成解决方案的普通用户和管理员的信息安全 1 用户端验证及加密 西门子 HiPath Wireless 为无线客户端提供功能强大的验证和数据加密能力 有多种方法提供 验证 使用 EAP TLS EAP TTLS 以及 EAP PEAP 验证的 802 1x 基于 MAC 的授权 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 20 of 81 内部捕获门户 基于 Web 的验证 通过 RADIUS Remote Authentication Dial In User Service 外部捕获门户 基于 Web 的验证 通过 RADIUS 和第三方开发的验证机制 通过不同的算法为无线客户端提供加密 WEP RC4 加密 40 位 104 位和 128 位 带 TKIP 的 WPAv1 RC4 加密 WPAv2 AES 加密 以上设置可通过设定网络 RADIUS 服务器上的验证和授权配置以及无线控制器网络管理配置实 现 2 管理验证与加密 针对系统的管理 提供以下安全性 应用 https 安全协议对 Web 界面进行安全访问 用于命令行接口 CLI 的 ssh Secure Shell 可以通过有线和无线访问方式实现管理 但是可以禁止无线访问 使用个人用户名和密码能安全地访问管理界面 还可以对用户访问特权进行定义 使用户拥有 对用户界面进行完全读 写 Admin 用户 或 只读 的权限 3 安全入侵检测 西门子无线局域网提供完善的入侵检测和保护机制及安全网络管理 防止黑客入侵等外部的安 全威胁 黑客可以使用 AP 冒充合法身份的无线接入点 入侵网络 采用西门子无线网络管理 系统 将接入点用做扫描器 控制器收集信息 分析并报告 识别 欺骗 接入点及危害类型 拒绝 欺骗 接入点的网络访问 确定 欺骗 接入点的位置并向管理员告警 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 21 of 81 2 5 3 过滤和访问控制过滤和访问控制 以每个 VNS 为基础 可对无线控制器进行配置 对经过它的用户流量应用特定的过滤策略 这种情况下 在无线控制器自身上过滤器定义可以是静态的 如果使用了 RADIUS 验证可以动 态提供设定应用的过滤器 在 802 1x 或捕获门户验证过程中成功进行了用户验证时 被称作 FILTER ID 的标准 RADIUS 属性可用来识别一个应用于进 出用户流量的特定过滤器定义 2 5 4 服务质量 服务质量 QoS 对于比较重要的业务系统同时在网络繁忙有限的条件下 采用 QoS 机制来进行重要业务的服 务质量保证 QoS 即服务质量 为了支持不同网络服务要求的语音 视频及数据应用通信 网络核心需根据 需求区分不同的通信 并为之提供服务 QoS 将服务分成不同优先级 保证优先级高的应用率 先传输 QoS 包括 3 方面 即分类 标记 队列 输出队列输出队列 Queue high medium normal low 流流 分分 类类 图 8 本方案采用 QoS 控制技术 对于实时性要求高的语音 视频业务设置高优先级 保证其率先 传输 整个系统需要充分考虑瞬时拥塞 保证关键业务流和控制流优先 要求采用 DiffServ QoS 机 制 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 22 of 81 西门子 WLAN 支持 802 11e 服务质量标准 在无线域每个 VNS 拥有一个针对 QoS 特性的配 置策略应用 系统将数据流分为 4 个队列 队列名应用级别 AC VO 语音3 AC VI视频2 AC BK 后台1 AC BE 尽力而为0 QoS 的三层标记 DSCP 区分服务码点 和二层标记 802 1d 可通过在 VNS 中设置 WMM WiFi Multimedia 参数来指定 队列中的标记映射如下表所示 DSCP802 1d WMM 0 x387AC VO 0 x306AC VO 0 x285AC VI 0 x204AC VI 0 x183AC BK 0 x102AC BK 0 x081AC BE 0 x000AC BE 在有线域采用 自适应 QoS 保证端到端 QoS 如下图所示 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 23 of 81 图 9 2 5 5 组播 组播 multicast 当同一数据源的数据需要同时传输给多个目的时 可以采用组播技术 不需多条数据流同时在 网络上传输 只需单一数据在网络上传输 再分别传给不同目的 大大节省了传输干线的带宽 西门子 HiPath WLAN 提供一种独立于 IGMP Internet 组管理协议 的组播机制 组播功能主 要完成将在控制器处接收到的组播流量交送到分布在与无线域相连的所有接入点的无线用户 为了避免 IP 组播路由环路和相关的组播复制滥发 系统要求在提供与组播基础设施的组播连 通性时识别一个特定的物理端口 在对 IGMP 订阅的需求发生改变时 系统能实现对组播组的 定义 将这种组播组传送给所提供 VNS 相关的无线客户端 对在识别物理端口处接收的组播 数据包进行过滤 以确定相应组播组注册的是哪一个 VNS 然后 为了传送给具有匹配 VNS 用户的接入点 对数据包进行复制和封装 接入点对数据包解封 并将其发送给有无线客户端 的相应 SSID 从 VNS 上无线用户接收到的组播数据包在控制器处被接收 解封 并路由给属于识别物理端 口的子网 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 24 of 81 2 5 6 西门子西门子 WLAN 的管理与维护的管理与维护 HiPath 无线解决方案可以采用 WEB 网页 命令行或 SNMP 三种方法管理 具有集中管理和 部署简化的特点 新接入点设备由网络自动发现和根据缺省策略配置 除非有特殊要求才会进 行变更 通过记录和报警子系统可查询故障 追踪用户 设备和事件 生成统计报告 服务访问服务访问 配置好控制器的管理端口地址和相关访问权限 就可以通过以下三种方法访问控制器 1 网页 2 CLI 命令行界面 3 SNMP 简单网络管理协议 通过 WEB 网页访问控制器是最常用的方法 可以进行一般的管理配置 主要包括控制器 AP 用户组策略三项配置 CLI 是命令行方式 它支持所有物理端口的配置和软件备份 从本界面可以执行恢复和升级 采用西门子 HiPath Wireless Manager 管理软件可通过 SNMP 进行图形化网络管理 记录记录 系统中的每个组件均提供记录 所有的记录都生成 SNMP 事件 有五个记录级别 1 紧急 2 主要 3 次要 4 信息 5 追踪 接入点也生成记录 并与整个事件系统集成 可以对每个接入点开启 禁止追踪 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 25 of 81 记录是结构化的 可显示组件名称 时间 安全性 以及事件的详细情况 追踪追踪 通过 CLI 能开启追踪 追踪对于捕捉流经系统的消息流是十分有作用的 如开启追踪时显示 RADIUS 客户端消息 这非常有助于用 RADIUS 服务器的客户端交互来诊断特殊问题 建议只 有在必要时才开启追踪 因为它会对性能造成负面影响 统计统计 作为 快速 统计报告统计表 控制器上有两种收集间隔 每 30 秒钟收集数据统计 每 90 秒钟给出接入点统计 可以为数据端口 接入点 无线客户端分别生成统计表 管理与配置文件管理与配置文件 有三种方式可以修改配置 1 通过网页修改配置 2 通过 CLI 修改配置 3 通过 CLI 网页恢复配置的备份副本 应在软件升级之前对配置进行备份 并使用网页或 CLI 从控制器将备份拷贝出来 软件升级软件升级 通过 CLI 或网页可以进行软件更新 HiPath 集成软件更新有两种方法 通过安全 FTP sftp 下载软件包 并进行应用 通过 ftp 下载软件包 并进行应用 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 26 of 81 一旦选择了文件 升级过程是自动的 不需要进行手动干预 控制器升级后可以升级 AP 接入点 控制器软件包含最新版本的 AP 映象 通过网页可以采 用自动或手动方式升级 AP 接入点 备份与恢复备份与恢复 通过 CLI 和网页可以进行备份和恢复 可以进行备份的信息包括 配置 这是配置数据库的完整备份 CDR 呼叫详细情况记录 这些是用户对话记录 记录 完整的系统事件记录 审核记录 与网页互动的记录 恶意接入点 恶意接入点配置和恶意接入点记录 可以进行恢复的信息包括 配置 恶意接入点配置 2 5 7 HiPath Wireless Manager 管理软件管理软件 大规模 多控制器 深层次管理应采用无线管理软件 HiPath Wireless Manager 在 Windows 2003 Server 服务器上运行 HiPath Wireless Manager 管理套件体系结构如下图所示 图 10 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 27 of 81 图 10 HiPath Wireless Manager 通过拓扑图层次化集中管理所有 WLAN 设备 主要功能包括 1 配置管理 可对控制器 AP 用户组策略进行配置 2 故障管理 对网络进行监控 及时检测到故障点 故障级别 诊断并向管理员告警 3 性能管理 性能监控和报告 显示位置信息 显示射频信号强弱的情况 直观的图表显示 详细的趋势分析 找到性能瓶颈 实现性能优化 可以设定阀值 超过阀值向管理员告警 管理界面如下图所示 图 11 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 28 of 81 图 11 3 无线网络设备规范书 3 1 主网系统主要设备配置主网系统主要设备配置 无线组网系统主要配置 设备数量说明 C24001 AP 262020 3 2 无线主要设备技术参数无线主要设备技术参数 由于无线网络实际设计与现场环境关系较大 未来承包商中标后深化设备中须根据室内全覆盖 室外关键部分覆盖的无线以太网覆盖原则进行实际勘测及设计 提供的无线局域网解决方案应采用基于控制器的体系构架 控制器与无线接入点 AP 协同 工作 支持集中管理 支持 802 11i 安全体系架构 支持端到端 QoS 与 VoIP 语音通信平台 配合支持 VoWLAN 无线语音通讯 易于设计 易于安装 易于扩展 不影响有线网络的任何 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 29 of 81 配置 无线 AP 无线控制器 无线网管软件采用同一生产厂商 以下为无线网络关键设备技 术要求 3 2 1 SIEMENS HiPath C2400 系列企业移动控制系统系列企业移动控制系统 HiPath Wireless C2400 为新一代模块化控制器 C2400 由以下部分组成 带一 cPCI 底板的 2 5U 机箱 SME 模块 HME 模块 NPE 模块 电源单元以及冗余风扇模块 如下图所示 图 12 图 12 主要结构如下 利用西门子 HiPath 组合 HiPath 4000 的外观结构及组件 允许现场更换模块 提高了可支持性 双电源 冗余热备 冗余风扇 冗余热备 4 个 10 100 1000 兆 RJ45 铜接口 由三种模块单元组成 SME 2151 主机处理器 利用了西门子 HiPath 4000 现有的 DSCXL MSE 2011 媒体存储单元 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 30 of 81 NPE 2411 网络处理器 下表列出了 HiPath Wireless 控制器 C2400 的系统最大限值与容量 限值 C2400 E C2400 C 访问点最大值 400 200 最大吞吐量 2 Gb 秒 2 Gb 秒 用户 单控制器 最大值 81924096 用户 Multi Box 预留 最大值 81924096 VNS最大值 64 32 路由最大值 静态路由 动态已知路由 总计10 000路由 1000 9000 总计5000路由 500 4500 管理员用户最大值 5 5 过滤器组或过滤器定义的最大值 512 512 Total全过滤规则最大值60 000 60 000 VLAN最大值 64 32 HiPath Wireless 控制器 C2400 的系统具体参数列表 控制器采用模块化插槽结构 易于扩展 易于维护 每个控制器支持交换容量 2Gbps 每个控制器支持千兆端口 4 个 有专用的管理端口 包括以太网口和 Console 口 采用双电源冗余 双风扇冗余 支持线速处理 支持 VLAN 桥接功能 每个控制器支持用户数 4096 每个控制器支持的 AP 数量 200 个 支持 QoS 802 11e WMM ToS DiffServ 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 31 of 81 支持无线入侵检测和入侵保护功能 无线 VPN 支持 IPSec PPTP 和 L2TP 支持无线安全协议 WPA WPA2 802 11i 支持高级加密标准 AES 临时密钥交换协议 TKIP 以及有线对等加密 WEP 支持 WPA 及 WPA2 加密算法 支持 WPA PSK WPA2 PSK 和 RIDUS 服务器 802 1x 认证 支持基于 MAC 的验证 支持无线终端跨 IP 子网的快速无缝漫游 支持跨交换机之间漫游的用户安全信息共享 并保持全网漫游身份的唯一性 在 802 11i 最高安全加密认证标准下 无线网络用户在不同无线接入点之间的漫游切换时 间小于 50ms 无论是在同一控制器下还是不同控制器间 实现安全无缝漫游 没有中断 或重新认证 并提供相应权威机构的认证报告 如 tolly group 支持 Console SNMP SSH 管理 支持 HTTPS 进行系统管理配置 支持虚拟专用组 64 能够基于不同的应用或用户群体来设置各种策略 包括加密 认证 访问过滤 访问控制 QOS 策略等 有效加强管理 保证应用质量 过滤器组或过滤器定义数量的最大值 512 所有过滤规则数量最大值 60000 可以实现多个无线控制器间的组网及冗余热备份和负载均衡 自动故障切换 控制器内置 DHCP 服务 支持 DHCP 中继功能 支持服务定位协议 SLP 控制器内置 Web 门户入口 Captive Portal 认证 URL 重导至 Web 页面 支持静态路由协议和 OSPF 动态路由协议 路由最大值 10000 支持控制器实时动态为 AP 分配信道和发射功率调整 新 AP 自动发现和配置 管理员用户最大值 5 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 32 of 81 运行温度为 0 40 湿度 10 95 3 2 2 SIEMENS 无线接入点 无线接入点 AP 2610 2620 AP2610 带内置天线的型号 图 13 AP2620 带外置天线的型号 图 14 图 14 2610 采用内置天线 2620 采用 2 根外置天线 可以灵活的更换为其它各类天线 以提高信号 强度 适合不同的现场环境 AP2610 20 是双频访问点 为需要无线服务的任何地点提供 WLAN 802 11 a b g 覆盖 支 广州萝岗区无线宽带城域网项目无线接入系统设备采购项目 Page 33 of 81 持 802 11a b g 终端设备 访问点执行加密等对时间敏感的任务 相互间进行直接通信以及无 线装置管理和