华为无线解决方案

文档编号 密级 CRM 项目技术类文档项目技术类文档 xxxx 集团集团 华为无线覆盖方案设计华为无线覆盖方案设计 VersionVersion 1 01 0 20132013 年年 3 3 月月 15 2 目目 录录 1概述 3 2xx 集团 WLAN 网络设计方案 3 2 1网络设计原则 3 2 2无线信号质量分析 3 2 3无线网络总体架构 5 2 4无线设计 5 2 5SSID 规划 7 2 6无线安全性设计 7 2 6 1WLAN 终端认证 7 2 6 2用户身份验证 8 2 6 3组网保护 8 2 6 4接入安全方案 9 2 7移动漫游设计 9 3华为 WLAN 解决方案的优势 10 4华为 WLAN 设备关键特性 12 4 1华为 AP 介绍 12 4 2华为 AC 介绍 12 15 3 1 概述概述 无线局域网 WLAN 技术于 20 世纪 90 年代逐步成熟并投入商用 既可以作传统有 线网络的延伸 在某些环境也可以替代传统的有线网络 无线局域网具有以下显著特点 简易性 WLAN 网桥传输系统的安装快速简单 可极大的减少敷设管道及布线等 繁琐工作 灵活性 无线技术使得 WLAN 设备可以灵活的进行安装并调整位置 使无线网络 达到有线网络不易覆盖的区域 综合成本较低 一方面 WLAN 网络减少了布线的费用 另一方面在需要频繁移动 和变化的动态环境中 无线局域网技术可以更好地保护已有投资 同时 由于 WLAN 技术本身就是面向数据通信领域的 IP 传输技术 因此可直接通过百兆自 适应网口和企业 内部 Intranet 相连 从体系结构上节省了协议转换器等相关设 备 扩展能力强 WLAN 网桥系统支持多种拓扑结构及平滑扩容 可以十分容易地从 小容量传输系统平滑扩展为中等容量传输系统 2 xx 集团集团 WLAN 网络设计方案网络设计方案 2 1 网络设计原则网络设计原则 此次无线局域网建设有以下需求 1 利用无线网技术实现无线覆盖 使员工能够随时随地 方便高效地访问 Internet 2 实现无线上网用户的认证 销户 监控等功能 3 对于无线 AP 设备实施统一管理和监控 4 无线网络的部署需要考虑简单方便 天线需要采取比较友好的设计 不 能让用户感受到压力 5 关注安全性 无线用户之间彼此隔离 防止 ARP 攻击 并限制上网流量 6 无线 AP 全部采用 POE 交换机供电 15 4 2 2 无线信号质量分析无线信号质量分析 下图为 WLAN 信道分配情况 在 2 4GHz 2 4835GHz 范围内共 13 个相邻子信 道 一般不相干扰的复用信道组合为 1 6 11 或 1 7 13 2 412 2 417 2 4222 4322 4422 4522 4622 4722 484 2 4272 4372 4472 4572 467 3 下表中体现的是三种频率间隔情况下 随着两 AP 间距的变化 终端连接信 号质量及吞吐量的变化 颜色代表适配卡配置软件中 检视连接信号质量窗口 显示的颜色 表格中数值表示吞吐量 单位为 kbytes s 在多用户情况下 实际情况会更差些 上述数据仅供参考 实际网络需根 据测试结果确定 15 5 2 3 无线网络总体架构无线网络总体架构 1 采用 AC6605 26 PWR 作为本次无线覆盖项目的无线控制器 2 采用 AP3010DN AGN 作为本次无线覆盖的室内无线接入点 3 采用 S2700 9TP PWR EI 作为 POE 接入交换机 4 采用 S5700 28C SI 作为无线网络的核心交换机 5 采用 USG2210 作为网络防火墙接入 internet 整体拓扑图如下 我们设计采用 PoE 供电方式 由 S2700 为华为的无线 AP 进行供电 以超五 类网线互联 最后通过楼层接入交换机连接入核心交换机 无线控制器与核心 交换机互联 无线控制器通过管理 VLAN 管理无线 AP 最后通过防火墙连接 Internet 这样整个无线网可以实施灵活的无线划分 15 6 2 4 无线设计无线设计 根据无线网络需求及实地的测试堪察 并结合以往的工程经验 对无线网络做出以下规划 3 层布点 6 层布点 15 7 7 层布点 15 8 设备清单 设备清单 单价单价 序号序号型号型号产品名称产品名称数量数量设备单设备单 价价 合计合计 一 一 防火墙防火墙 1 1USG2210 USG2210 交流主机 含 HS 通用安 全平台软件 1 二 二 核心交换机核心交换机 1 1 S5700S 28P LI AC S5700S 28P LI AC 主机 24 千兆 RJ45 4 千兆 SFP 交流供电 1 2 2LS5M100PWA00 交流电源模块组件 2 3 3 eSFP GE SX MM850 光模块 eSFP GE 多模模块 850nm 0 5km LC 2 15 9 4 4ST LC 千兆多模光纤跳线 3 米 2 5 5LC LC 千兆多模光纤跳线 3 米 1 三 三 接入核心交换机接入核心交换机 1 1S2700 9TP PWR EI S2700 9TP PWR EI 主机 8 百兆 RJ45 1 千兆 Combo PoE 交流供 电 3 2 2 eSFP GE SX MM850 光模块 eSFP GE 多模模块 850nm 0 5km LC 2 3 3ST LC 千兆多模光纤跳线 3 米 2 4 4LC LC 千兆多模光纤跳线 3 米 1 四 四 无线无线 ACAC 1 1AC6605 26 PWR AC6605 26 PWR 64AP 组合配置 含 AC6605 26 PWR 主机 1 2 2ES0W2PSA0150 150W 交流电源模块 1 3 3L AC6605 16AP AC6605 无线接入控制器 AP 资源 授权 16 AP 1 五 五 无线无线 APAP 1 1AP3010DN AGN AP3010DN AGN 组合配置 11n 室 内普通型 2x2 单频 内置天线 50mW 13 六 六 SISI 服务服务 1 1 调试费SI 人工 1 七七弱电布线弱电布线 1 1 康普六类非屏蔽网 线 2 2 2 康普六类 24 口配线 架 2 3 3 康普六类模块13 4 4 康普六类 2 米软跳 线 27 5 5 康普双孔面板13 6 6 PVC 阻燃线管 明 线盒等 1 7 7 施工费 铺管 布 线 端接 测试 13 8 8 无线 AP 设备加固及13 15 10 安装 总价 2 5 SSID 规划规划 从用户使用安全角度考虑 使用上网业务人群主要分为三类 公司员工 8M 外 来人员 5M 开会人员 2M 因此建议建立 3 个 SSID 方便管理及增加安全性 1 限速 512k 2 2 6 无线安全性设计无线安全性设计 2 6 1 WLAN 终端认证 IEEE 802 11 标准要求 WLAN 终端在准备连接到网络时 必需进行 身份验 证 WLAN 终端身份认证主要有两种方式 开放系统认证 Open system Authentication 和共享密钥认证 Shared Key Authentication 开放系统认证是 IEEE 802 11 标准要求必备的一种方法 是最简单的认证 算法 即不认证 如果认证类型设置为开放系统认证 则所有请求认证的客户 端都会通过认证 在这种方式下 接入点并未验证工作站的真实身份 工作站 以 MAC 地址作为身份证明 这种验证方式可以让所有符合 802 11 标准的终端都 可以接入到 WLAN 网络中来 开放系统身份验证比较适合有众多用户的电信运营 WLAN 网络 共享密钥式认证必需使用加密方式 要求每个 WLAN 终端都镜头配置和 AP 完全一致的密钥 key 由于配置工作量较大 一般适用于企业网 校园网及 家庭网络等 二者对比如下 认证方式认证方式优点优点劣势劣势适用场景适用场景 开放式系 统认证 部署简单 终端接入速度 快 有效带宽高 安全性差 无法检验客户端是 否合法 任何知道无线局域网 SSID 的用户都可以访问网络 电信运营网 络 共享密钥 式认证 安全性较高 采用了加密 方式对密钥进行保护 空 配置复杂 可扩展性不佳 每 台终端和 AP 上都需要静态配置 企业网 校 园网及家庭 15 11 口密钥数据不再明文传输一个很长的密钥字符串 有效带宽较低 加密降低了传 输效率 网络等 2 6 2 用户身份验证 相对于简单的 STA 身份验证过滤机制 链路层用户身份验证的安全性大大 提高 通过提供有限的访问权限来验证用户身份 只有确定用户身份后才给予 完整的网络访问权限 可有效判别用户的合法性 链路层身份验证时透明的 能配合任何网络层协议使用 WLAN 的链路层身份验证主要有 Portal DHCP WEB 802 1X PPPoE WAPI 等几种认证方式 2 6 3 组网保护 华为 AC 产品接口丰富 支持 LACP Link Aggregation Control Protocol 以下简称 LACP 和 MSTP Multiple Spanning Tree Protocol 以 下简称 MSTP 等组网保护机制 可提供端口级冗余保护 及设备级 1 1 快速备 份 2 6 4 接入安全方案 华为 AC 均支持开放系统认证 WEP 加密 共享密钥认证 WPA WPA2 认证合 加密 WAPI 认证加密等无线接入安全特性 特性特性指标指标 WLAN 安全模板管 理 支持通过 WLAN 安全模板管理认证和加密方式 支持安全模板绑定到 ESS 模板 最多支持 256 个 AP 配置模板 OPEN SYS 方式认 证 支持 OPEN SYS 认证 无加密 方式 WEP 认证加密 支持 WEP 的认证 加密方式 每个 AP 最多支持 4 个 WEP 加密方式的 VAP WEP 认证加密在 AP 实施 认证结果通知 AC WPA WPA2 认证加 密 支持 AC 集中认证方式 支持 WPA WPA2 PSK TKIP 的认证 加密方式 支持 WPA WPA2 PSK CCMP 的认证 加密方式 支持 WPA WPA2 802 1x TKIP 的认证 加密方式 支持 WPA WPA2 802 1x CCMP 的认证 加密方式 15 12 特性特性指标指标 WAPI 认证加密 支持 AC 集中式 WAPI 认证 支持 WAPI 多信任证书方式 3 证书 兼容传统双证书方式 支持证书和私钥合一的发放方式 支持 WAPI 加密的启用 禁用 2 7 移动漫游设计移动漫游设计 无线用户移动漫游 涉及到多个层次的漫游 最为简单的是二层漫游 其 他厂家产品都表现不错 三层漫游就困难多了 还有当用户跨越多个域时怎样 无缝漫游 华为无线局域网可以实现快速无缝漫游功能 L2 L3 层漫游 在传统的无线局域网内 无线终端要跨越不同 AP 之间漫游是有一定的困难 因为不同 AP 之间 它的无线用户 IP 子网可能都不是在同一个 VLAN 内 所以当 无线终端从一个 AP 漫游到另一 AP 时 由于它们之间的缺省 IP 子网不同 无线 终端会重新发出 DHCP 请求 这样的话终端的 IP 地址就会更新 所有在原先 AP 建立的连接都会被切断 过去为了解决跨越三层的漫游 有些用户采用了 Mobile IP 的技术 但 Mobile IP 的缺点是它必须在无线终端安装软件 这是 一般网络管理人员不愿意做的事情 因为它们就必须支持和维护用户的无线接 入端 通过华为无线系统 可解决了跨越不同三层 IP 子网的无线漫游问题 在 不同域之间的用户认证和漫游 在大型网络内 一般都有很多不同的部门 部门内通常都有自己的用户数 据库 即所谓的本地认证服务器 在实现应用时 要求有单一的认证数据库是 未必可行的 但同时无线用户应是可在内无缝漫游 当用户不是在本地入网或 是从一个部门的接入点漫游到另一部门的接入点需要重新认证时 如果用户名 和密码在当地的数据库是不存在的话 则用户会被断线 要做到真正的无缝漫 游 则需要有支持 Radius 代理这样的功能 但由于不是所有的认证服务器都 支持这种功能所以在具体实施时也有一定的困难 华为本身就可提供不同域之 间的认证功能 域名可以与 SSID 绑定 亦可以让用户在登陆网页时输入或选择 15 13 域名 华为会把在不同域之间的认证请求转发到对应这域的 radius 服务器处理 3 华为华为 WLAN 解决方案的优势解决方案的优势 华为是全球领先的电信解决方案供应商 是全 IP 融合时代的领导者 华为 的产品和解决方案已经应用于全球 100 多个国家 服务全球运营商 50 强中的 45 家及全球 1 3 的人口 与联通集团和北京联通拥有长期稳定而紧密的合作 华为对北京联通现网组网方案 设备形态乃至业务模型有着深刻的认识 华为 有能力更有意愿帮助北京联通从全网端到端的角度提供最优的 WLAN 解决方案 分享自己对全球对整个宽带网络技术发展变化以及未来移动宽带数据业务发展 趋势的理解 华为早在 2000 年就投入 WLAN 技术和产品领域的研发 是国内首批成为 Wi Fi 成员以及 WAPI 联盟成员的厂商 华为也是国内 WLAN 相关标准制定的 积极参与者 与运营商合作先后共同推出了基于 SIM 认证和 Web 认证的标准以 及相关 WLAN 企业标准 华为 WLAN 技术预研团队 在 802 11s Mesh 智能 控制和算法等前沿领域深入研究 先后注册和获得专利近百项 长期以来 华为持续关注 WLAN 网络从企业网向电信运营网络的演进 聚焦 WLAN 组网模式变化中形成新问题 新需求 敏锐把握并及时推出契合 WLAN 电 信运营需要的解决方案 率先推出基于 FTTx WLAN 3G FMC 融合的电信运营级 WLAN 解决方案 首创基于 BRAS 和 OLT 的业务融合型 AC 首推业内容量第一的 大容量 可扩展的插卡式 AC 目前华为 802 11n 全系列智能 AP 产品已规模上 市 盒盒式式AC 容容量量达达到到业业界界一一流流标标准准 支支持持CAPWAP 硬硬件件转转发发 性性能能强强劲劲 可可灵灵活活应应用用于于直直连连式式或或旁旁挂挂式式组组网网 自自信信面面对对11n 时时代代海海量量数数据据的的汹汹涌涌冲冲 击击 支支持持设设备备级级和和端端口口级级冗冗余余备备份份 完完全全满满足足电电信信运运营营网网络络的的高高可可靠靠性性 要要求求 插插卡卡式式AC 最最大大容容量量可可达达14K 业业内内第第一一 可可直直连连BRAS 减减少少用用于于业业务务 控控制制的的网网元元数数量量 简简化化网网络络结结构构 部部署署快快捷捷 扩扩容容方方便便 优优化化业业务务控控制制 15 14 降降低低AC 与与 AP 中中间间网网络络设设备备的的功功能能性性能能要要求求 基基于于ME60 的的业业务务融融合合型型AC 减减少少网网元元数数量量 简简化化网网络络结结构构 业业务务控控 制制层层面面的的融融合合 最最大大可可支支持持4K AP 的的管管理理 可可应应用用于于大大规规模模WLAN 组组网网 集集成成ME60 自自身身的的高高可可靠靠 高高性性能能 强强大大的的业业务务控控制制能能力力以以及及丰丰富富的的网网 络络接接口口 全全网网可可靠靠性性高高 FTTW 承承载载WLAN 业业务务数数据据 利利用用光光纤纤接接入入网网络络支支持持WLAN 网网络络的的广广 域域部部署署 通通过过无无源源光光配配线线网网络络 减减少少有有源源设设备备的的使使用用 简简化化网网络络层层次次 提提高高整整网网可可靠靠性性 通通过过PON 网网络络P2MP 的的网网络络结结构构和和高高带带宽宽 大大分分光光比比 的的特特质质 可可灵灵活活扩扩展展 支支持持802 11b g 网网络络向向802 11n 网网络络的的平平滑滑演演进进 智智能能天天线线技技术术 密密切切监监控控覆覆盖盖区区域域内内WLAN 终终端端 随随动动转转向向 定定向向增增益益 强强力力抑抑制制干干扰扰信信号号 大大大大降降低低同同频频干干扰扰机机率率 在在同同频频干干扰扰环环境境中中 吞吞吐吐 率率相相对对普普通通全全向向天天线线AP 高高出出70 AP 智智能能化化 开开通通配配置置零零接接触触 即即插插即即用用 胖胖瘦瘦一一体体自自适适应应 独独有有负负载载均均 衡衡算算法法 完完美美