无线大楼方案

无线网络方案建议书 目录 1 1 无线网络总体描述 3 1 1 1 无线网络规划实施问题 3 1 1 2 无线网络选择的关键因素 4 1 1 2 1 无线网络架构选择 4 1 1 2 2 无线AP的部署模式 5 1 1 2 3 无线网络安全问题 7 1 1 2 4 设备安全 8 1 1 2 5 用户接入安全 8 1 1 2 6 网络安全 8 1 1 3 无线接入设计 9 1 2 无线认证方案 10 1 2 1 H3C WLAN 用户接入认证功能概述 10 1 2 2 Portal认证 Web认证 10 1 2 2 1 Portal功能特点 11 1 2 3 802 1x接入认证 12 1 2 4 MAC接入认证 14 1 2 5 无线网络管理 15 1 2 5 1 无线有线一体化管理 15 1 2 5 2 多样化的拓扑管理 15 1 2 5 3 RF覆盖管理和无线网络规划 16 1 2 5 4 无线入侵检测和防护 16 1 2 5 5 丰富的无线统计报表 17 1 2 5 6 资源分组管理 18 1 2 5 7 AC设备管理 18 1 2 5 8 FIT AP设备管理 18 1 2 5 9 移动终端管理 19 1 2 6 H3C无线网络特点 19 1 1 无线网络总体描述无线网络总体描述 管理平台 核心 服务器区 弱电间1 无线AP WSM 无线控制器 Internet POE交换机 弱电间2 无线AP POE交换机 弱电间3 无线AP POE交换机 弱电间4 无线AP POE交换机 采用 WX3024E 无线控制器 自带 24 个无线 AP 管理授权 最高可管理 96 个 无线 AP 室内无线 AP 采用 WA2620i 双频 11n 产品 并采用千兆接口与 POE 交换机进 行互联 采用 WA1208E 室内无线 AP 通过室分方式对办公室进行无线信号覆 盖 采用千兆接口与 POE 交换机进行互联 提供 S5120 28C PER EI 对无线 AP 实现 POE 远程供电 1 1 1 无线网络规划实施问题无线网络规划实施问题 无线网络实施也是需要解决的问题 归纳起来 主要有以下三点 无线实施过程中如何解决信号覆盖盲点问题 建筑物的不同材质的墙壁会对无线信号的传输造成不同程度的影响 在实施的 过程中 特别是在部署成大量 AP 时 如何实现盲点覆盖是必须考虑的问题 如何解决无线 AP 供电问题 许多楼宇在开始建楼时并没有考虑到无线网络的部署问题 也就没有预留出电 源供无线 AP 使用 如果重新改造电源线路 施工成本必然提升 AP 之间的干扰问题 在一定的空间内部署多个 AP 信号会有相互交错重叠 从而造成信号干扰 如何解决 需要关注 1 1 2 无线网络选择的关键因素无线网络选择的关键因素 1 1 2 1 无线网络架构选择无线网络架构选择 无线局域网技术经过十几年的发展 已经历了三代技术及产品的发展 第一代无线局域网主要是采用Fat AP 即 胖 AP 每一台AP都要单独进行配 置 费时 费力 费成本 第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置 其管理 性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈 由 于这一代技术的AP储存了大量的网络和安全的配置 包括加密的钥匙 Radius client 的安全密码 secret 等 而AP又是分散在建筑物中的各个位置 一旦AP的配置被盗 取读出并修改 其无线网络系统就失去了安全性 另外由于AC或无线网关的硬件多数 是基于Pentium架构的 所以当用户接入数量 IP sessions 增多时 无线网的性能会 急剧下降 时常会发生掉线或死机情况 在这样的环境下 基于无线交换机技术的第 三代WLAN产品应运而生 第三代无线局域网采用无线交换机和FIT AP 即 瘦 AP 的架构 对传统 WLAN设备的功能做了重新划分 将密集型的无线网络和安全处理功能转移到集中的 无线控制器 以下简称AC 中实现 同时加入了许多重要新功能 诸如无线网管 AP间 自适应 无线安管 RF监测 无缝漫游以及Qos 使得无线局域网的网络性能 网 络管理和安全管理能力得以大幅提高 下表个Fit AP架构与Fat AP架构的技术对比表 Fit AP架构架构Fat AP架构架构 业界主流技术 先进的WLAN架构 早期WLAN技术架构 AP零配置 易安装 软件 配置批量升级 AP不支持零配置 需要预先设置好 配置文件 每AP单独安装配置 AC主要完成用户验证 安全管理 移动管 理 RF管理等通过 不仅可以通过更强的硬件 平台实现更复杂算法 并使得多AP协同的优化 算法实现成为可能 可以有效提高系统的功能和 性能 AP仅需实现物理层功能和MAC中帧处理 等高实时要求功能 AP侧无线处理能力极大提 高 一级计算体系 射频 漫游 加密 用户管理等功能全部在AP上实现 无法 协同计算 AP侧对于无线处理能力较低 管理节点上移后 管理数据采集将针对AC 而非AP 网管系统受限于AP处理能力和性能的 问题得以解决 更复杂的管理逻辑成为可能 网 管管理通过AC强大的计算能力管理所有AP 每个AP对外显示是单独的网元 管 理成本和难度大大增加 自动信道分配和选择 自动功率调整 智能 负载均衡 无法实现信道自动分配 功率自动 调整和基于用户数或者流量的负载均衡 更强的安全策略 支持WIDS 瘦AP防盗性强 不丢失配置数据 不支持WIDS AP被盗后可以照常 使用 配置数据会丢失 支持加密状态下的三层漫游不支持三层漫游 Fit AP技术带来的技术带来的AP零配置 即联即用 统一管理等便利 使得零配置 即联即用 统一管理等便利 使得WLAN网络可以网络可以 得到大规模的应用部署 而得到大规模的应用部署 而Fat AP技术每个技术每个AP都要独立配置 无法统一管理 这就决都要独立配置 无法统一管理 这就决 定了定了Fat AP技术的局限性 而技术的局限性 而Fit AP则更加的贴近用户的需求则更加的贴近用户的需求 同时 同时 Fit AP架构 也很好解决了用户的无线漫游问题 所以本次组网采用架构 也很好解决了用户的无线漫游问题 所以本次组网采用FIT AP AC的模式 的模式 1 1 2 2 无线无线AP的部署模式的部署模式 目前无线AP在大楼内 有2种部署方式 室内分布和放装 如图所示 该种方式为室内分布的方式 AP接功分器 然后在每一个办公室 都放置天线 室分型一般是与运营商G网合路组网用 通常采用大功率AP解决低 成本大范围低密度覆盖问题 大功率AP内置功率放大器和检波反馈回路 很大程 度上避免了小功率AP功放导致的信号失真情况 如图所示 放装的方式就是通过部署数量较多的AP 以满足无线的覆盖需求 相 对于室内分布型都是大功率的 发射功率一般500毫瓦 而室内放装型都是小功率的 发射功率一般100 200毫瓦 1 802 11n直接覆盖方案 所有AP全部采用双频802 11n产品 配合双频802 11n 网卡及千兆POE交换机 打造一个高带宽 广覆盖 密接入无线网络 符合应用需要 为推荐方案 2 802 11n AP 室分系统覆盖方案 采用802 11a b g n协议 每个AP接多个天线 形成室内分布系统覆盖方案 天线采用室内美化天线 贴在房间内的墙壁上 设备隐 蔽安装在天花板内 此方案能信号均匀分布 可以保证覆盖的效果 同时 由于跨AP 间的漫游减少 网络更加稳定 1 1 2 3 无线网络安全问题无线网络安全问题 由于无线电波的开放性 任何人都能监听到信道中无线数据的传输 这就对无线 网络的安全性提出了更高的要求 如何保证WLAN网络的安全性一直是WLAN技术在应用推广中面临的最大障碍 IEEE标准组织及WI FI联盟为此一直在进行着努力 先后推出了WEP WPA 802 11i 等安全标准 逐步实现了WLAN网络安全性的提升 但802 11i并不是WLAN安全的终 极标准 针对802 11i标准的不完善之处 中国在无线局域网国家标准GB15629 11 2003中提出了安全等级更高的WAPI 无线局域网鉴别与保密基础结构 机制 来实现无 线局域网的安全 WAPI采用国家密码管理委员会办公室批准的公钥密码体制 椭圆曲线密码算法和 对称密码体制的分组密码算法 分别用于WLAN接入设备的数字证书 证书鉴别 密钥协商和传输数据的加解密 从而实现设备的身份鉴别 链路验证 访问控制和用 户信息在无线传输状态下的加密保护 高安全性 复杂度的加密算法 支持双向鉴别 使用数字证书 支持完善的鉴别协 议等是WAPI相对于802 11i的优势 也是目前业界最先进的WLAN网络安全标准 但是 网络安全应该作为一个整体体系 不仅仅关注安全标准 更要注重分层实 施安全策略 因此 在这里创新性的提出了分层的安全体系架构 将WLAN的安全从 单一的物理层安全延伸到设备安全 用户接入安全 网络层安全 管理安全等多个层 面上 使用户在使用WLAN网络时能够像使用有线网络一样安全可靠 1 1 2 4 设备安全设备安全 H3C无线所提供的无线产品应该能够通过以下手段来保证设备的安全可靠性 AP零配置 传统的FAT AP组网模式要求在AP上配置并保存业务参数 一旦设备丢失 AP的 配置信息就可能泄漏 形成安全漏洞 FIT AP不保存业务配置 这样可以有效避免设 备丢失造成安全隐患 AP身份认证 无线控制器 FIT AP组网时 需要预先在无线控制器上输入AP序列号 防止非法 FIT AP接入 无线控制器冗余备份 AP可以根据配置选择最适合接入的无线控制器 将其它无线控制器作为备份 主 用控制器故障时 AP会自动和备份无线控制器建立连接 提高了网络的可靠性 1 1 2 5 用户接入安全用户接入安全 对于大楼内的无线用户接入 建议采用如下2种方案进行身份认证 对于内部办公用户 采用客户端软件进行认证并绑定MAC地址 并动态控制用户 权限 接入认证解决了用户的身份验证问题 通过和AAA服务器配合 无线设备应能 支持对认证用户动态下发带宽 VLAN ACL 优先级等参数 给不同的用户分配不同 的权限 对于访客和临时办公人员 则通过事先设置好的公用帐号进行认证 不再绑定 MAC地址 1 1 2 6 网络安全网络安全 为了保证无线用户之间以及其连接的整个网络的安全 仅仅保证接入点的安全性 是远远不够的 应该从整个网络的安全角度出发 在以下几方面着手部署网络安全措 施 无线入侵检测系统 H3C无线产品支持完善的无线入侵检测系统 能有效地提供无线攻击检测和防范 支持非法AP检测 白名单功能 黑名单功能 无线协议攻击防御等功能 无线产品应 该支持多种攻击的检测 例如DOS攻击 Flood攻击 去认证 去连接报文的仿冒检测 以及无线用户Weak IV检测 智能流量控制 H3C的无线控制器能够支持针对AP的下行流量限速 可以保证发往AP的流量被限 制在AP处理能力范围之内 从而提高整个无线网络的安全可靠性 安全管理 H3C的无线设备可以支持完善的安全管理配置和告警 可以实现无线安全策略配 置 非法设备监控和告警 设备信道调整告警等功能 极大简化WLAN设备的维护管 理工作量 提升了设备使用的效率 1 1 3 无线接入设计无线接入设计 基于网络的先进性考虑 本次无线网络项目采用目前主流的无线控制器 FIT AP的 架构 在实现对大楼进行信号无缝覆盖的同时 又能够实现对无线网络的灵活管理配置 提高网络维护效率 无线AP均提供千兆接口 通过千兆链路与POE交换机互联 供电问题供电问题 解决无线AP供电问题 是保障无线AP部署位置灵活性的重要前提 这就要求AP 在具有本地供电能力的同时 可以通过POE实现远程供电 目前有两类解决方案 POE供电模块和POE供电交换机 为了保证POE供电的可靠性 采用POE供电交换机 为单路无线AP提供电源是首选 POE交换机采用一体化的设计 相对供电模块减少了 维护的环节 为将来网络的维护和排查提供了便利 本次项目采用POE供电交换机设 备进行供电 1 1 4 无线接入具体方案无线接入具体方案 本次项目计划无线覆盖总共6层 采用放装方式在每层楼的走廊上放置4台AP实现 无线覆盖 总共24个AP 采用AC WX3024E 进行集中管控 WX3024E自带24个千 兆电口 支持POE供电 AP可直接通过AC进行直接供电 AP采用WA2620i 支持 802 11n 双频双模 单频速率可达300M 完全满足日常办公的需求 1 2 无线认证方案无线认证方案 1 2 1 H3C WLAN 用户接入认证功能概述用户接入认证功能概述 用户接入认证 用户接入认证实现了对接入用户的身份认证 为网络服务提供了安全保护 H3C 无线接入认证主要有802 1x接入认证 PSK认证 MAC接入认证以及有线网络常用的 portal认证和PPPOE L2TP认证 H3C的无线产品还可以支持国家WAPI标准规定的终 端接入认证协议 在下文中只是详细描述802 1x接入认证 PSK认证 MAC接入 Portal认证 PPPOE L2TP认证等 动态控制用户权限 接入认证只解决了用户的身份验证问题 而无法对不同身份的用户提供不同等级 的服务和访问权限 通过和AAA服务器配合 H3C的无线设备支持对认证用户动态下 发带宽 VLAN ACL 优先级等参数 对于不同的用户群和业务可以控制其访问网络 的权限 限制网络资源的使用 通过VLAN和优先级来标识用户和业务 并做到业务隔 离 Hotspot 用户隔离 随着无线终端的普及 运营商目前都在大力开展无线热点业务 而其中一个重要 需求是希望所有用户的数据流量在AP本地不做交换 而都必需经由BRAS设备交换和 控制 Hotspot用户隔离通过限制相同SSID下的接入用户的互访 可以保证未认证用户 无法在AP上做互访 1 2 2 Portal 认证 认证 Web 认证 认证 Portal认证又称为强制WEB认证 以其新业务支撑能力强大 无需安装客户软件 与组网设备无关等特点 受到越来越多用户的欢迎 Portal认证业务可以为管理者提供 方便的管理功能 如要求所有的用户都到门户网站去认证 门户网站可以开展广告 信息服务 个性化的业务等 为信息传播提供一个良好的载体 Portal认证原理 Portal 认证协议主要应用于H3C公司提出的基于 WEB 的宽带接入认证系统中 完成用户的认证和授权 整个 Portal 认证过程涉及到了Portal 页面 WX6108E 和 iMC 服务器 Portal认证工作原理 未认证用户在访问网络时 可以直接访问为用户免费开放的 资源 当用户要使用网络中的收费资源时 设备会将用户的http请求重定向到Portal门 户网站 用户必须在门户网站进行认证 只有认证通过后才可以访问这些资源 Portal 认证的工作流程如下图所示 图 Error No text of specified style in document 1 Portal认证流程 认证流程 用户通过IE访问需要授权的网络资源 设备发现用户还没有通过认证则强制到 Portal Portal Server将WEB页面强推给用户 提示用户需要进行认证 用户在WEB页面中输入用户名密码并提交认证 Portal Server将认证信息发送给 设备 设备将用户信息转换为Radius报文发送到iMC服务器进行认证 iMC服务器对用户信息进行验证 确认无误后 下发认证通过报文以及相应的权限 控制信息给设备 设备放开用户的上网权限 同时iMC服务器开始进行计费 上网期间 用户PC和Portal Server定时发送心跳报文交互 以确保用户没有因异 常原因下线 用户下线时 Portal Server收到用户下线请求并通知设备 iMC服务器终止计费并 通知设备断开用户 1 2 2 1 Portal功能特点功能特点 不需要安装客户端软件不需要安装客户端软件 相对于其他的认证方式 Portal认证通过网页即可实现认证 无需安装客户端 不 但减少了用户机器的负担 而且方便了上网用户的使用 同时管理者也不用逐一为每 个上网用户安装和升级客户端软件 极大减轻管理难度 可对在线用户进行实时检测可对在线用户进行实时检测 用户认证通过后 Portal Server和用户之间采用心跳机制保持通信 当终端用户 的机器出现异常时 比如 死机 网络断线 异常关闭浏览器等情况出现时 Portal Server就可以及时发现用户侧的问题 并通知设备将此终端用户下线并且停止计费 同时Portal Server支持开启或者关闭心跳 也可以设置心跳的间隔和心跳超时时长 这种功能使心跳检测更加灵活 大大提高了计费精度和对复杂的网络的适应能力 具有按用户接入端口分组的功能 可为不同组用户提供不同的配置具有按用户接入端口分组的功能 可为不同组用户提供不同的配置 Portal认证可以根据用户所在交换机的端口以及用户所在的IP地址池 将用户划分 为不同的组 每个组都可以设置不同的认证主页 不同的认证方式 从而方便对不同 的用户进行管理 同时PORTAL所有的认证页面都使用了动态页面技术 管理员可以 根据不同用户群的特点 定制特色认证页面 极大提高用户使用满意度 支持二次地址分配和支持二次地址分配和 NAT 功能功能 为了减少公网IP地址资源的浪费 PORTAL通过与设备的配合 使用户在认证前 使用的是私网IP 认证成功后再分配公网IP 从而保证了公网IP地址的更加合理的应 用 如果用户的IP地址经过了NAT转换 再经过PORTAL服务进行认证 PORTAL服 务器支持开启NAT功能 可以为用户下载一个APPLET 获取用户的实际IP地址 再通 过设备进行认证 支持认证窗口的最小化功能支持认证窗口的最小化功能 用户在认证通过后 Portal支持在线窗口可以最小化到任务栏 以减少对用户上网 的影响 防止窗口过滤的功能防止窗口过滤的功能 很多上网用户出于安全的考虑或者防止网上的垃圾广告 会安装个人防火墙或者 窗口过滤工具 来防止IE 弹出窗口 如果用户的IE开启了窗口过滤的功能 Portal在 弹出认证成功窗口时 会进行窗口过滤的检测 从而防止由于窗口过滤而无法认证成 功的情况 1 2 3 802 1x 接入认证接入认证 802 1X协议是IEEE在2001 6通过的正式标准 标准的起草者包括 Microsoft Cisco Extreme Nortel等 802 1X定义了基于端口的网络接入控制协议 port based network access control 该协议适用于接入设备与接入端口间点到 点的连接方式 其中端口既可以是物理端口 也可以是逻辑端口 H3C的FIT AP无线 组网方案中 由后端的无线交换机对所有认证报文进行终结 并提取出用户名和密码 信息交由后台的CAMS IMC内置 进行用户鉴权 用户使用802 1X认证的过程如图所示 802 1X及及WEB PORTAL认证流程示意图认证流程示意图 接入AP的无线终端采用802 1X模式 首先接入AP的客户端通过802 1X认证输入 用户名 密码后客户端发起EAP报文至无线交换机 在无线交换机上终结EAP报文 然后从无线交换机经以太网交换机发起Raduis报文至CAMS服务器 由CAMS服务器 来验证用户名 密码是否匹配 在认证通过以后由CAMS服务器下发Raduis报文至无 线交换机通知该用户认证通过 无线交换机中再将相对应的逻辑端口打开 允许学习 MAC地址 允许用户上网 H3C公司对802 1x认证方式进行了优化 使其可以支持基于MAC的用户控制 即 一般情况下如果多个用户连接到一个HUB 其中一个用户认证通过后 其他用户也能 够使用网络 但H3C公司对802 1X认证方案优化后 只有认证通过的用户 MAC 才 能使用网络 其他用户还是不能使用网络 以设备端PAE对EAP报文进行中继转发为例 在WLAN应用网络中 WLAN客户端 Station为客户端PAE 提供WLAN服务的设备为设备端PAE 设备端通过产生一个随 机Challenge发送给客户端 客户端会使用配置的密钥对该Challenge进行加密处理并 将处理后的信息返回设备端 设备端根据客户端返回的加密后的Challenge以及原始的 Challenge进行比较判断 设备端完成对客户端的单项认证 为了提高WLAN服务的数据安全性 IEEE 802 1x和IEEE802 11i中使用了EAPOL