无线大楼方案

无线网络方案建议书目录1.1.无线网络总体描述31.1.1.无线网络规划实施问题31.1.2.无线网络选择的关键因素.无线网络架构选择.无线AP的部署模式.无线网络安全问题.设备安全.用户接入安全.网络安全81.1.3.无线接入设计91.2.无线认证方案101.2.1.H3C WLAN 用户接入认证功能概述101.2.2.Portal认证（Web认证）.Portal功能特点02.1x接入认证121.2.4.MAC接入认证141.2.5.无线网络管理.无线有线一体化管理.多样化的拓扑管理.RF覆盖管理和无线网络规划.无线入侵检测和防护.丰富的无线统计报表.资源分组管理.AC设备管理.FIT AP设备管理.移动终端管理191.2.6.H3C无线网络特点191.1. 无线网络总体描述n 采用WX3024E无线控制器，自带24个无线AP管理授权，最高可管理96个无线AP。n 室内无线AP采用WA2620i双频11n产品，并采用千兆接口与POE交换机进行互联；采用WA1208E室内无线AP通过室分方式对办公室进行无线信号覆盖，采用千兆接口与POE交换机进行互联。n 提供S5120-28C-PER-EI对无线AP实现POE远程供电。1.1.1. 无线网络规划实施问题无线网络实施也是需要解决的问题，归纳起来，主要有以下三点：n 无线实施过程中如何解决信号覆盖盲点问题n 建筑物的不同材质的墙壁会对无线信号的传输造成不同程度的影响，在实施的过程中，特别是在部署成大量AP时，如何实现盲点覆盖是必须考虑的问题。n 如何解决无线AP供电问题n 许多楼宇在开始建楼时并没有考虑到无线网络的部署问题，也就没有预留出电源供无线AP使用，如果重新改造电源线路，施工成本必然提升。n AP之间的干扰问题n 在一定的空间内部署多个AP，信号会有相互交错重叠，从而造成信号干扰。如何解决，需要关注。1.1.2. 无线网络选择的关键因素. 无线网络架构选择无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。第一代无线局域网主要是采用Fat AP（即“胖”AP），每一台AP都要单独进行配置，费时、费力、费成本；第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置，其管理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈，由于这一代技术的AP储存了大量的网络和安全的配置，包括加密的钥匙，Radius client的安全密码 (secret) 等，而AP又是分散在建筑物中的各个位置，一旦AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的，所以当用户接入数量 (IP sessions)增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。在这样的环境下，基于无线交换机技术的第三代WLAN产品应运而生。第三代无线局域网采用无线交换机和FIT AP（即“瘦”AP）的架构，对传统WLAN设备的功能做了重新划分，将密集型的无线网络和安全处理功能转移到集中的无线控制器(以下简称AC)中实现，同时加入了许多重要新功能，诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。，使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。下表个Fit AP架构与Fat AP架构的技术对比表Fit AP架构Fat AP架构业界主流技术，先进的WLAN架构。早期WLAN技术架构。AP零配置，易安装，软件/配置批量升级。AP不支持零配置，需要预先设置好配置文件，每AP单独安装配置。AC主要完成用户验证、安全管理、移动管理，RF管理等通过，不仅可以通过更强的硬件平台实现更复杂算法，并使得多AP协同的优化算法实现成为可能，可以有效提高系统的功能和性能；AP仅需实现物理层功能和MAC中帧处理等高实时要求功能，AP侧无线处理能力极大提高 。一级计算体系，射频、漫游、加密、用户管理等功能全部在AP上实现，无法协同计算，AP侧对于无线处理能力较低。管理节点上移后，管理数据采集将针对AC而非AP，网管系统受限于AP处理能力和性能的问题得以解决，更复杂的管理逻辑成为可能；网管管理通过AC强大的计算能力管理所有AP。每个AP对外显示是单独的网元，管理成本和难度大大增加。 自动信道分配和选择、自动功率调整、智能负载均衡无法实现信道自动分配、功率自动调整和基于用户数或者流量的负载均衡更强的安全策略，支持WIDS；瘦AP防盗性强，不丢失配置数据。不支持WIDS，AP被盗后可以照常使用，配置数据会丢失。支持加密状态下的三层漫游不支持三层漫游Fit AP技术带来的AP零配置、即联即用、统一管理等便利，使得WLAN网络可以得到大规模的应用部署。而Fat AP技术每个AP都要独立配置，无法统一管理，这就决定了Fat AP技术的局限性。而Fit AP则更加的贴近用户的需求 同时，Fit AP架构，也很好解决了用户的无线漫游问题。所以本次组网采用FIT AP+AC的模式。. 无线AP的部署模式目前无线AP在大楼内，有2种部署方式，室内分布和放装。如图所示，该种方式为室内分布的方式，AP接功分器，然后在每一个办公室都放置天线。室分型一般是与运营商G网合路组网用，通常采用大功率AP解决低成本大范围低密度覆盖问题。大功率AP内置功率放大器和检波反馈回路，很大程度上避免了小功率AP功放导致的信号失真情况。如图所示，放装的方式就是通过部署数量较多的AP，以满足无线的覆盖需求。相对于室内分布型都是大功率的（发射功率一般500毫瓦），而室内放装型都是小功率的（发射功率一般100200毫瓦）。1、802.11n直接覆盖方案：所有AP全部采用双频802.11n产品，配合双频802.11n网卡及千兆POE交换机。打造一个高带宽、广覆盖、密接入无线网络，符合应用需要。为推荐方案。2、802.11n AP+室分系统覆盖方案：采用802.11a/b/g/n协议，每个AP接多个天线，形成室内分布系统覆盖方案，天线采用室内美化天线，贴在房间内的墙壁上，设备隐蔽安装在天花板内。此方案能信号均匀分布，可以保证覆盖的效果，同时，由于跨AP间的漫游减少，网络更加稳定。. 无线网络安全问题由于无线电波的开放性，任何人都能监听到信道中无线数据的传输，这就对无线网络的安全性提出了更高的要求。如何保证WLAN网络的安全性一直是WLAN技术在应用推广中面临的最大障碍。IEEE标准组织及WI-FI联盟为此一直在进行着努力，先后推出了WEP、WPA、802.11i等安全标准，逐步实现了WLAN网络安全性的提升。但802.11i并不是WLAN安全的终极标准，针对802.11i标准的不完善之处，中国在无线局域网国家标准GB15629.11-2003中提出了安全等级更高的WAPI(无线局域网鉴别与保密基础结构)机制，来实现无线局域网的安全。WAPI采用国家密码管理委员会办公室批准的公钥密码体制（椭圆曲线密码算法和对称密码体制的分组密码算法），分别用于WLAN接入设备的数字证书、证书鉴别、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。高安全性/复杂度的加密算法、支持双向鉴别、使用数字证书、支持完善的鉴别协议等是WAPI相对于802.11i的优势，也是目前业界最先进的WLAN网络安全标准。但是，网络安全应该作为一个整体体系，不仅仅关注安全标准，更要注重分层实施安全策略。因此，在这里创新性的提出了分层的安全体系架构，将WLAN的安全从单一的物理层安全延伸到设备安全、用户接入安全、网络层安全、管理安全等多个层面上，使用户在使用WLAN网络时能够像使用有线网络一样安全可靠。. 设备安全H3C无线所提供的无线产品应该能够通过以下手段来保证设备的安全可靠性：AP零配置传统的FAT AP组网模式要求在AP上配置并保存业务参数，一旦设备丢失，AP的配置信息就可能泄漏，形成安全漏洞。FIT AP不保存业务配置，这样可以有效避免设备丢失造成安全隐患。AP身份认证无线控制器FIT AP组网时，需要预先在无线控制器上输入AP序列号，防止非法FIT AP接入。无线控制器冗余备份AP可以根据配置选择最适合接入的无线控制器，将其它无线控制器作为备份。主用控制器故障时，AP会自动和备份无线控制器建立连接，提高了网络的可靠性。. 用户接入安全对于大楼内的无线用户接入，建议采用如下2种方案进行身份认证。对于内部办公用户，采用客户端软件进行认证并绑定MAC地址，并动态控制用户权限。接入认证解决了用户的身份验证问题，通过和AAA服务器配合，无线设备应能支持对认证用户动态下发带宽、VLAN、ACL、优先级等参数，给不同的用户分配不同的权限。对于访客和临时办公人员，则通过事先设置好的公用帐号进行认证，不再绑定MAC地址。. 网络安全为了保证无线用户之间以及其连接的整个网络的安全，仅仅保证接入点的安全性是远远不够的。应该从整个网络的安全角度出发，在以下几方面着手部署网络安全措施：无线入侵检测系统H3C无线产品支持完善的无线入侵检测系统，能有效地提供无线攻击检测和防范，支持非法AP检测、白名单功能、黑名单功能、无线协议攻击防御等功能，无线产品应该支持多种攻击的检测，例如DOS攻击，Flood攻击，去认证、去连接报文的仿冒检测，以及无线用户Weak IV检测。智能流量控制H3C的无线控制器能够支持针对AP的下行流量限速，可以保证发往AP的流量被限制在AP处理能力范围之内，从而提高整个无线网络的安全可靠性。安全管理H3C的无线设备可以支持完善的安全管理配置和告警，可以实现无线安全策略配置、非法设备监控和告警、设备信道调整告警等功能，极大简化WLAN设备的维护管理工作量，提升了设备使用的效率。1.1.3. 无线接入设计基于网络的先进性考虑,本次无线网络项目采用目前主流的无线控制器+FIT AP的架构,在实现对大楼进行信号无缝覆盖的同时,又能够实现对无线网络的灵活管理配置,提高网络维护效率.无线AP均提供千兆接口，通过千兆链路与POE交换机互联。供电问题解决无线AP供电问题，是保障无线AP部署位置灵活性的重要前提。这就要求AP在具有本地供电能力的同时，可以通过POE实现远程供电。目前有两类解决方案，POE供电模块和POE供电交换机。为了保证POE供电的可靠性，采用POE供电交换机为单路无线AP提供电源是首选，POE交换机采用一体化的设计，相对供电模块减少了维护的环节，为将来网络的维护和排查提供了便利。本次项目采用POE供电交换机设备进行供电。1.1.4. 无线接入具体方案本次项目计划无线覆盖总共6层，采用放装方式在每层楼的走廊上放置4台AP实现无线覆盖。总共24个AP,采用AC（WX3024E）进行集中管控，WX3024E自带24个千兆电口，支持POE供电，AP可直接通过AC进行直接供电。AP采用WA2620i，支持802.11n，双频双模，单频速率可达300M，完全满足日常办公的需求。1.2. 无线认证方案1.2.1. H3C WLAN 用户接入认证功能概述 用户接入认证用户接入认证实现了对接入用户的身份认证，为网络服务提供了安全保护。H3C无线接入认证主要有802.1x接入认证、PSK认证、MAC接入认证以及有线网络常用的portal认证和PPPOE/L2TP认证，H3C的无线产品还可以支持国家WAPI标准规定的终端接入认证协议。在下文中只是详细描述802.1x接入认证、PSK认证、MAC接入、Portal认证、PPPOE/L2TP认证等。 动态控制用户权限接入认证只解决了用户的身份验证问题，而无法对不同身份的用户提供不同等级的服务和访问权限，通过和AAA服务器配合，H3C的无线设备支持对认证用户动态下发带宽、VLAN、ACL、优先级等参数，对于不同的用户群和业务可以控制其访问网络的权限，限制网络资源的使用，通过VLAN和优先级来标识用户和业务，并做到业务隔离。 Hotspot用户隔离随着无线终端的普及，运营商目前都在大力开展无线热点业务，而其中一个重要需求是希望所有用户的数据流量在AP本地不做交换，而都必需经由BRAS设备交换和控制。Hotspot用户隔离通过限制相同SSID下的接入用户的互访，可以保证未认证用户无法在AP上做互访。1.2.2. Portal认证（Web认证）Portal认证又称为强制WEB认证，以其新业务支撑能力强大、无需安装客户软件、与组网设备无关等特点，受到越来越多用户的欢迎。Portal认证业务可以为管理者提供方便的管理功能，如要求所有的用户都到门户网站去认证，门户网站可以开展广告、信息服务、个性化的业务等，为信息传播提供一个良好的载体。Portal认证原理Portal 认证协议主要应用于H3C公司提出的基于 WEB 的宽带接入认证系统中，完成用户的认证和授权。整个 Portal 认证过程涉及到了Portal 页面，WX6108E 和 iMC 服务器。Portal认证工作原理：未认证用户在访问网络时，可以直接访问为用户免费开放的资源，当用户要使用网络中的收费资源时，设备会将用户的http请求重定向到Portal门户网站，用户必须在门户网站进行认证，只有认证通过后才可以访问这些资源。Portal认证的工作流程如下图所示：图 Error! No text of specified style in document.1 Portal认证流程认证流程：用户通过IE访问需要授权的网络资源，设备发现用户还没有通过认证则强制到Portal，Portal Server将WEB页面强推给用户，提示用户需要进行认证。用户在WEB页面中输入用户名密码并提交认证，Portal Server将认证信息发送给设备，设备将用户信息转换为Radius报文发送到iMC服务器进行认证。iMC服务器对用户信息进行验证，确认无误后，下发认证通过报文以及相应的权限控制信息给设备，设备放开用户的上网权限，同时iMC服务器开始进行计费。上网期间，用户PC和Portal Server定时发送心跳报文交互，以确保用户没有因异常原因下线。用户下线时，Portal Server收到用户下线请求并通知设备，iMC服务器终止计费并通知设备断开用户。. Portal功能特点l 不需要安装客户端软件相对于其他的认证方式，Portal认证通过网页即可实现认证，无需安装客户端。不但减少了用户机器的负担，而且方便了上网用户的使用，同时管理者也不用逐一为每个上网用户安装和升级客户端软件，极大减轻管理难度。l 可对在线用户进行实时检测用户认证通过后，Portal Server和用户之间采用心跳机制保持通信，当终端用户的机器出现异常时，比如：死机、网络断线、异常关闭浏览器等情况出现时，Portal Server就可以及时发现用户侧的问题，并通知设备将此终端用户下线并且停止计费；同时Portal Server支持开启或者关闭心跳，也可以设置心跳的间隔和心跳超时时长，这种功能使心跳检测更加灵活，大大提高了计费精度和对复杂的网络的适应能力。l 具有按用户接入端口分组的功能，可为不同组用户提供不同的配置Portal认证可以根据用户所在交换机的端口以及用户所在的IP地址池，将用户划分为不同的组，每个组都可以设置不同的认证主页、不同的认证方式，从而方便对不同的用户进行管理。同时PORTAL所有的认证页面都使用了动态页面技术，管理员可以根据不同用户群的特点，定制特色认证页面，极大提高用户使用满意度。l 支持二次地址分配和NAT功能为了减少公网IP地址资源的浪费，PORTAL通过与设备的配合，使用户在认证前使用的是私网IP，认证成功后再分配公网IP，从而保证了公网IP地址的更加合理的应用。如果用户的IP地址经过了NAT转换，再经过PORTAL服务进行认证，PORTAL服务器支持开启NAT功能，可以为用户下载一个APPLET，获取用户的实际IP地址，再通过设备进行认证。l 支持认证窗口的最小化功能 用户在认证通过后，Portal支持在线窗口可以最小化到任务栏，以减少对用户上网的影响。l 防止窗口过滤的功能 很多上网用户出于安全的考虑或者防止网上的垃圾广告，会安装个人防火墙或者窗口过滤工具，来防止IE 弹出窗口。如果用户的IE开启了窗口过滤的功能，Portal在弹出认证成功窗口时，会进行窗口过滤的检测，从而防止由于窗口过滤而无法认证成功的情况。1.2.3. 802.1x接入认证802.1X协议是IEEE在2001.6通过的正式标准，标准的起草者包括Microsoft，Cisco，Extreme，Nortel等；802.1X定义了基于端口的网络接入控制协议（port based network access control），该协议适用于接入设备与接入端口间点到点的连接方式，其中端口既可以是物理端口，也可以是逻辑端口。H3C的FIT AP无线组网方案中，由后端的无线交换机对所有认证报文进行终结，并提取出用户名和密码信息交由后台的CAMS（IMC内置）进行用户鉴权。用户使用802.1X认证的过程如图所示：802.1X及WEB PORTAL认证流程示意图接入AP的无线终端采用802.1X模式，首先接入AP的客户端通过802.1X认证输入用户名、密码后客户端发起EAP报文至无线交换机，在无线交换机上终结EAP报文，然后从无线交换机经以太网交换机发起Raduis报文至CAMS服务器，由CAMS服务器来验证用户名、密码是否匹配，在认证通过以后由CAMS服务器下发Raduis报文至无线交换机通知该用户认证通过，无线交换机中再将相对应的逻辑端口打开，允许学习MAC地址，允许用户上网。H3C公司对802.1x认证方式进行了优化，使其可以支持基于MAC的用户控制，即一般情况下如果多个用户连接到一个HUB，其中一个用户认证通过后，其他用户也能够使用网络，但H3C公司对802.1X认证方案优化后，只有认证通过的用户（MAC）才能使用网络，其他用户还是不能使用网络。以设备端PAE对EAP报文进行中继转发为例。在WLAN应用网络中，WLAN客户端Station为客户端PAE，提供WLAN服务的设备为设备端PAE。设备端通过产生一个随机Challenge发送给客户端；客户端会使用配置的密钥对该Challenge进行加密处理并将处理后的信息返回设备端；设备端根据客户端返回的加密后的Challenge以及原始的Challenge进行比较判断，设备端完成对客户端的单项认证。为了提高WLAN服务的数据安全性，IEEE 802.1x和IEEE802.11i中使用了EAPOL-Key的协商过程，设备端和客户端实现动态密钥协商和管理；同时通过802.1x协商，客户端