企业内部WLAN方案1.doc

企业内部WLAN方案一、 概述1.1 公司无线覆盖概述公司总部位于北京，独立四层建筑。公司分部位于长沙，在一层楼间，有30个房间。现在公司将要进行网络建设，考虑到公司今后的发展，人员的增加，办公设备的提升，便携设备的增加，移动办公以及外来客户的上网等应用的扩展，在进行有线网络的建设中增加了无线网络的架设，相信在不久的将来，无线办公区域成为了公司目前网络的最佳选择。1.2公司无线覆盖需求本项目主要是为了满足公司内的企业进行办公或是商务活动的个人提供接入企业网和互联网的需要，为他们提供方便、灵活、高效的无线网络连接服务。本项目需要实现的无线网络覆盖范围包括大楼一到四层的无线网络覆盖，同时实现无线网络系统和原有的有线网络系统的无缝连接。二、系统规划2.1主要建设目标2.1.1、与传统有线网络的无缝融合实现企业内无线高速上网，可随意漫游，漫游过程不会与企业网络断开。2.1.2、易于管理建立高速的无线企业网络，利用信息的快速、准确的流通为各企业提供服务，为计划、组织、管理与决策提供基础信息和科学手段。2.1.3、可选择的多种安全机制充分考虑网络的安全性，网络系统应该具备多种安全防御能力，建成的无线网络很好的融合进网络安全解决方案体系中，并根据无线网络的安全技术特征，补充为具有多层次的安全保护措施，以满足用户身份鉴别、访问控制、可稽核性和保密性等要求。并特别保障了无线链路层的防扫描和密码探测等威胁的发生。2.1.4、高扩展性在网络规模不断发展的情况下，无线网络可满足在不改变主体架构与大部分设备的前提下，平滑实现升级和扩充，降低原有网络的硬件投资，并保证扩展后的系统可用性与稳定性。2.1.5与认证系统的融接在新建成的无线网络中，作为网络接入层的有效补充，能够完全融合进认证体系，支持今后全网对所有用户的上网控制、认证的持续运营。2.1.6多种服务的支持基于网络的未来可持续发展，采用的无线产品均具备可适应未来发展的无线宽带应用（如无线语音应用、无线视频会议应用、无线多媒体通信应用等）的需要，并提供低成本的无缝升级和前后兼容。三、方案设计依据及几个主要工作过程及原理3.1网络设计依据u 中国移动通信总公司关于WLAN的相关技术规定；u 福建移动通信有限责任公司关于WLAN工程的相关规定；u IP网网管技术标准及规范要求u IEEE 802.11标准u 计算机信息系统安全准则u 中华人民共和国电子计算机机房设计规范u 国际以太网标准 ISO/IEC 8802-3u 国际以太网标准 ANSIu 国际布线标准ISO/IEC 11801u 国家布线标准 CECE89:97u 现场勘测数据u 产品出厂参数、技术规格书3.2无线网络技术指标u 选用无选用无线802.11A/G技术带宽可达54M,进行覆盖，保证接入的信号和带宽。u 无线终端网络带宽在1Mbps以上；u 支持并发数不少于30个终端的同时接入；u 覆盖区域内的WLAN信号强度不低于-80dbmu 网络区域无线网卡最低接收电平：-80dBm;u 无线信号（扩频）信噪比（S/N）；20Dbu 发射功率：最大发射功率为100MW。u 无线网络接受灵敏度；78dBm54Mbps79dBm48Mbps83dBm36Mbps87dBm24Mbps90dBm18Mbps92dBm12Mps94dBm9Mps95dBm6Mbps93dBm11Mbps96dBm5.5Mbps97dBm2Mbps100dBm1Mbpsu 发射频普：工作频段：802.11a: 2.412GHz-2.472GHz802.11b/g: 5.725GHz-5.850GHz工作信道802.11a（与IEEE802.11兼容）、802.11n（与802.11a兼容时）：（中国）5个信道802.11b、802.11g、802.11n（与802.11b/g兼容时）：（中国）13个信道信道带宽:一. IEEE802.11a：54Mbs、48Mbps、36Mbps、24Mbps、18Mbps、12Mbps、9Mbps、6Mbps二. IEEE802.11g：54Mbs、48Mbps、36Mbps、24Mbps、18Mbps、12Mbps、11Mbps、9Mbps、6Mbps、5.5Mbps、2Mbps、1Mbps三. IEEE802.11b：11Mbps、5.5Mbps、2Mbps、1Mbps接收门限电平值：最小接收机门限电平为-80dbm，最大接收机门限电平为-8dbm。u 杂散发射：AP杂散发射功率电平值为-40dbm。u 发射功率稳定度：23PPM以下。u Poweron与powerdown坡度：上升和下降时间都是1.5us。u 支持无线网络的内、外网物理隔离选项；u 保证大流量压力测试下100小时无异u 无线覆盖网络采用802.11a/g/b技术标准,具有良好的兼容性，能兼容市场上主流的802.11a、802.11g、802.11b设备。u 支持动态IP地址分配功能，具有DHCPClient、静态IP地址、DHCPRelay功能；u 支持生成树协议u 支持802.1Q VLAN trunku 具有AP链路完整性功能，AP的有线端口发生故障或者AP上连以太网中断后，AP将自动关闭无线发射，断开连接到其无线端口上的所有用户；u 具有自动RF管理和功率控制技术。u 故障自恢复功能四、主要设备选择及性能指标4.1无线控制器WX3010设备名称技术参数及性能要求H3CWX3010无线控制器1. 整机交换容量=20G，包转发率=14Mpps2. 接口要求,8个10/100/1000M端口，2个千兆SFP光口3. 支持802.3af POE供电标准，可选支持POE+供电4. 管理12个AP，可通过软件license扩展支持管理24个AP5. 支持集中式转发6. 射频管理,自动调整功率和信道，故障AP覆盖黑洞补偿，检测覆盖黑洞7. 支持2K MAC地址8. 支持4K VLAN，Guest VLAN，支持Voice VLAN，基于协议的VLAN，基于SSID的VLAN，基于MAC的VLAN9. 支持STP/RSTP/MSTP，支持LACP10. 支持静态路由、RIPv1/v211. 支持单向链路检查协议，监控光纤或铜质双绞线的链路状态，支持SMART LINK12. 支持扩展ACL，支持L2 ACL,根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则，支持时间段ACL，支持VLAN ACL ，支持8个优先级队列/端口，支持动态ACL规则下发13. 支持高级加密标准(AES)、临时密钥交换协议（TKIP）以及有线对等加密（WEP）、支持WPA及WPA2加密算法*14. 防止ARP 欺骗攻击15. 支持Portal认证、802.1x认证、MAC地址认证、PPPoE认证16. 支持无线客户端安全端点准入，实现桌面安全，可以根据无线客户端的桌面系统补丁信息及病毒检测信息保证无线终端接入安全17. 支持本地认证服务器18. 支持内置PORTAL SERVER19. 支持DHCP Server支持WEB管理，支持SSH管理，支持CLI、SNMP V1/V2/V34.2 无线接入点EWP-WA2110-AG设备名称技术参数及性能要求H3C WA2110-AG无线AP1. 支持最高速率为54Mbps2. 支持双频多模：可以工作于WLAN的2.4GHz频段或5GHz频段之上，支持802.11b/g或802.11a协议。3. 支持内置信道数：802.11a： (中国)5个信道,802.11b/g： (中国)13个信道4. 自带天线支持以下室内覆盖范围：802.11a 大于60M；802.11b 大于125M；802.11g 大于 95M5. *支持虚拟AP，单个AP可支持不小于16个可广播SSID。6. *支持虚拟专用组，通过相同SSID的子网或VLAN单独实施加密和隔离。7. 支持802.1x认证。8. 支持WEP，Dynamic WEP，TKIP，CCMP，AES等数据加密技术。9. 支持PSK，PSKMAC authentication，802.1x11Key handshake，WPA等密钥技术。10. 支持射频扫描，能发现非法接入点、Ad-Hoc用户或其他射频干扰，并上报相应的告警。11. 支持IPV6。12. 支持CAPWAP标准。13. 支持直连或通过L2/L3方式连接到无线局域网控制器。14. 支持零配置。无需准备预设置，从无线局域网交换机或控制器获取配置信息。15. 支持自动设置发射功率和分配射频信道。16. 支持版本自动升级。17. 支持防盗防入侵，本地不保存任何配置信息。18. 支持低功耗，单个AP功耗小于8W。19. 支持本地供电和PoE供电。20.支持 -4070(不结露)五、系统架构5.1 接入部分无线网络的建设是在公司有线企业网络之上，进行无线网络扩充。网络通过网关提供的网络出口接入Internet。无线网络的主要覆盖大楼一到四层，让公司内的使用者可以随时随地、无拘束的连接到网络。该企业内具有完善的有线网络结构，新的无线网络建设要求在网络互联、安全防御等方面与有线网络进行良好的兼容和互补，并在无线网络认证方面无缝融合。在整体无线网络的规划中，始终以高效、稳定、安全为总体设计目标，同时保证易于使用、用户界面统一、标准，表现力强；易于安装和维护，网络运行质量高；开放性好，便于移植、扩展和推广；具备较好的性能价格比，并在几年内保持解决方案与技术上的领先，为用户提供一个灵活的移动教学和办公的“平台”, 对用户和无线网络进行有效的管理，构建了一个稳定的、可拓展的无线企业网环境。5.2 安全控制机制选择在有线以太网技术的发展历程中，越来越多的面向访问端和服务端的安全技术被开发出来并得到了成熟运用。而对于无线网络而言，由于其利用空中载波信道作为传输载体，其物理层与数据链路层工作原理与有线网络有所不同，其所遵循的安全策略也与有线网络截然不同。在校园级无线网络的规划中，由于信号的覆盖将会带来众多的未知访问者试图进行的访问连接，无线网络如何从中识别出合法的用户，避免非法用户利用无线网络的安全隐患入侵整个网络，往往成为了无线网络规划者需要解决的难点。在目前面向行业级的WLAN产品的安全技术中，越来越强调单机安全策略的强化，以及与有线网络安全互补的核心思想。其中，SSID禁止广播、WEP机密、WPA认证、802.1X认证、EAP-TLS扩展认证、VLAN划分等一系列技术的运用，将有效的提高无线网络的安全防御能力。本此规划中，将按照层次化的设计理念，完成公司的无线网络安全需求。智达康的室内型和室外型网络设备均支持SSID禁止广播、WEP机密、WPA认证、802.1X认证、EAP-TLS扩展认证、VLAN划分技术，可提供完备的安全防御能力。SSID（无线标识符）是用于无线终端与接入点匹配以获得通信的明文密码，对于初级安全防范有一定作用，且配置快速简单，非常适合室外无线覆盖使用。尤其是启用了目前先进的SSID广播禁止功能之后，由于空中不再广播明文的SSID号码，使得那些拥有截获SSID密码的无线终端非法访问网络。另外，WEP（有线等效密钥）和WPA/WPA2（接入保护）技术的出现，可以通过大量的密文加密位和动态的密钥协议（TKIP/AES），为非法访问者制造难以攻破的障碍，从而避免网络安全事件的发生。在校园无线网络规划中，由于目前校园有线网络已具备一定规模，因此，在无线网络融合进有线网络进行数据交换之前，通过WEP和WPA加密技术可以增加一层保护手段，可以极大的提升安全防御的能力。另外，对于室内/室外型AP产品，由于其分别开放于室内高密度访问和室外环境，面对的是所有用户群体，对不同的用户群体的权限和身份识别则成为必须的功能。因此，AP产品应选择具备多BSS的划分和802.1Q VLAN功能的无线产品，协助接入层无线用户与接入层交换机用户同样接受全网统一管理和VLAN的划分，这样可以彻底解决无线用户无法管、不方便管的疑难问题。5.3 认证方式（WX3010控制器内置认证系统） 提供基于AP位置的用户接入控制出于安全性或计费等的考虑，系统管理员可能希望控制无线用户接入到网络中的位置。H3C WX3010无线控制器支持基于AP位置的用户接入控制。当无线用户接入网络时，可以通过认证服务器向US下发允许用户接入的AP列表，在US上进行接入控制，从而达到限制无线用户只能接入到指定位置的AP的目的。提供精细的无线用户管理基于MAC的认证接入控制方式，不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改，同时支持对具体用户的权限的配置，这种精细的用户权限控制大大增强了无线网络的可用度，网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。基于MAC的VLAN同样也是WX3010无线控制器的一大特色，在控制策略上，管理员可以把相同性质的用户（MAC）划分到同一个VLAN，同时在US上基于VLAN配置安全策略，这样做既可以简化系统配置，又可以做到用户级粒度的精细管理。提供内置802.1x认证服务和内置Portal认证服务H3C WX3010无线控制器内置802.1x认证服务，支持TLS、PEAP、MD5等多种802.1x的认证方式。在中小型企业用户不需要计费功能，而只需接入控制和数据加密要求时，可利用内置的Radius服务直接在设备上完成802.1x认证功能，免去了复杂的AAA服务器部署过程，既经济又省事。H3C WX3010无线控制器还提供内置的Portal服务器，解决了不便于安装客户端用户的安全认证问题。5.4覆盖部分整体规划主控机房核心交换机旁，挂H3C WX3010