华为无线解决方案

1、.文档编号201111171密级CRM项目技术类文档xx 集团华为无线覆盖方案设计Version 1.02013 年3月可编辑.目录1概述 .32xx 集团 WLAN 网络设计方案 .32.1网络设计原则 .32.2无线信号质量分析 .42.3无线网络总体架构 .52.4无线设计 .62.5SSID 规划 .112.6无线安全性设计 .122.6.1WLAN 终端认证 .122.6.2用户身份验证 .132.6.3组网保护 .132.6.4接入安全方案 .132.7移动漫游设计 .143华为 WLAN解决方案的优势 .154华为 WLAN设备关键特性 .174.1华为 AP 介绍 .174.2

2、华为 AC 介绍 .18可编辑.1 概述无线局域网（ WLAN ）技术于20 世纪 90 年代逐步成熟并投入商用，既可以作传统有线网络的延伸，在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点：? 简易性： WLAN 网桥传输系统的安装快速简单，可极大的减少敷设管道及布线等繁琐工作；? 灵活性：无线技术使得 WLAN 设备可以灵活的进行安装并调整位置，使无线网络达到有线网络不易覆盖的区域；? 综合成本较低：一方面 WLAN 网络减少了布线的费用，另一方面在需要频繁移动和变化的动态环境中，无线局域网技术可以更好地保护已有投资。同时，由于WLAN技术本身就是面向数据通信领域的IP 传输

3、技术， 因此可直接通过百兆自适应网口和企业、内部Intranet相连，从体系结构上节省了协议转换器等相关设备；? 扩展能力强： WLAN 网桥系统支持多种拓扑结构及平滑扩容，可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统；2xx 集团WLAN网络设计方案2.1 网络设计原则此次无线局域网建设有以下需求：1. 利用无线网技术实现无线覆盖，使员工能够随时随地、方便高效地访问Internet 。2. 实现无线上网用户的认证，销户，监控等功能。可编辑.3. 对于无线 AP 设备实施统一管理和监控。4. 无线网络的部署需要考虑简单方便，天线需要采取比较友好的设计，不能让用户感受到压力。5. 关

4、注安全性，无线用户之间彼此隔离， 防止 ARP 攻击，并限制上网流量。6. 无线 AP 全部采用 POE 交换机供电。2.2 无线信号质量分析下图为 WLAN 信道分配情况， 在 2.4GHz-2.4835GHz范围内共 13 个相邻子信道，一般不相干扰的复用信道组合为（1，6，11 ）或（ 1，7，13 ）2.4172.4272.4372.4472.4572.46751049143813271216112.4122.4222.4322.4422.4522.4622.4722.484下表中体现的是三种频率间隔情况下，随着两AP 间距的变化，终端连接信号质量及吞吐量的变化。 颜色代表适配卡配置软

5、件中，检视连接信号质量窗口显示的颜色。表格中数值表示吞吐量，单位为kbytes/s 。可编辑.在多用户情况下， 实际情况会更差些。上述数据仅供参考，实际网络需根据测试结果确定。2.3 无线网络总体架构1. 采用 AC6605-26-PWR 作为本次无线覆盖项目的无线控制器2. 采用 AP3010DN-AGN 作为本次无线覆盖的室内无线接入点 .3. 采用 S2700-9TP-PWR-EI作为 POE 接入交换机4. 采用 S5700-28C-SI 作为无线网络的核心交换机5 采用 USG2210 作为网络防火墙接入internet.整体拓扑图如下可编辑.我们设计采用 PoE 供电方式，由 S2

6、700 为华为的无线 AP 进行供电，以超五类网线互联， 最后通过楼层接入交换机连接入核心交换机，无线控制器与核心交换机互联，无线控制器通过管理VLAN 管理无线 AP，最后通过防火墙连接Internet 。这样整个无线网可以实施灵活的无线划分。2.4 无线设计根据无线网络需求及实地的测试堪察，并结合以往的工程经验，对无线网络做出以下规划3 层布点：可编辑.6 层布点：可编辑.7 层布点：可编辑.设备清单：单价序号型号产品名称数量设备单合计价一、防火墙USG2210交流主机 - 含 HS 通用1USG22101安全平台软件二、核心交换机可编辑.1S5700S-28P-LI-ACS5700S-2

7、8P-LI-AC主机 (24千兆RJ45,4 千兆 SFP,交流供电 )12LS5M100PWA00交流电源模块组件23eSFP-GE-SX-MM850光模块 -eSFP-GE- 多模模块2(850nm,0.5km,LC4ST-LC千兆多模光纤跳线，3 米25LC-LC千兆多模光纤跳线，3 米1三、接入核心交换机S2700-9TP-PWR-EI主机(8 百1S2700-9TP-PWR-EI兆 RJ45,1 千兆 Combo,PoE,交流3供电 )2eSFP-GE-SX-MM850光模块 -eSFP-GE- 多模模块2(850nm,0.5km,LC3ST-LC千兆多模光纤跳线，3 米24LC-L

8、C千兆多模光纤跳线，3 米1四、无线 ACAC6605-26-PWR-64AP组合配1AC6605-26-PWR1置 (含 AC6605-26-PWR主机 )2ES0W2PSA0150150W交流电源模块1AC6605无线接入控制器AP 资3L-AC6605-16AP1源授权 (16 AP)五、无线 APAP3010DN-AGN组合配置1AP3010DN-AGN(11n, 室内普通型 ,2x2 单频 ,内置13天线 ,50mW,)可编辑.六、SI 服务1调试费SI 人工1七弱电布线1康普六类非屏蔽网线2康普六类 24口配线22架3康普六类模块134康普六类 2 米软跳线275康普双孔面板13P

9、VC 阻燃线管、明线61盒等施工费（铺管、 布线、713端接、测试）无线AP 设备加固及813安装总价2.5 SSID 规划从用户使用安全角度考虑。使用上网业务人群主要分为三类（公司员工（8M ），外来人员 (5M) ，开会人员 (2M) ），因此建议建立3 个 SSID ，方便管理及增加安全性。1 、限速（ 512k ）可编辑.2 、2.6 无线安全性设计终端认证IEEE 802.11 标准要求 WLAN 终端在准备连接到网络时，必需进行“身份验证”。WLAN 终端身份认证主要有两种方式：开放系统认证（Open-systemAuthentication）和共享密钥认证（ Shared-Key

10、 Authentication）。开放系统认证是IEEE 802.11 标准要求必备的一种方法， 是最简单的认证算法，即不认证。 如果认证类型设置为开放系统认证，则所有请求认证的客户端都会通过认证。在这种方式下，接入点并未验证工作站的真实身份，工作站以 MAC地址作为身份证明，这种验证方式可以让所有符合802.11 标准的终端都可以接入到 WLAN 网络中来。开放系统身份验证比较适合有众多用户的电信运营WLAN 网络。共享密钥式认证必需使用加密方式， 要求每个 WLAN 终端都镜头配置和AP完全一致的密钥（ key ）。由于配置工作量较大，一般适用于企业网、校园网及家庭网络等。二者对比如下：认

11、证方式优点劣势适用场景安全性差： 无法检验客户端是否开放式系部署简单，终端接入速度电 信 运 营 网合法，任何知道无线局域网统认证快，有效带宽高络SSID 的用户都可以访问网络可编辑.配置复杂，可扩展性不佳：每台安全性较高： 采用了加密方终端和 AP 上都需要静态配置一企业网、校园共享密钥式对密钥进行保护，空口密个很长的密钥字符串网 及 家 庭 网式认证钥数据不再明文传输有效带宽较低： 加密降低了传输络等效率用户身份验证相对于简单的 STA 身份验证过滤机制，链路层用户身份验证的安全性大大提高。通过提供有限的访问权限来验证用户身份，只有确定用户身份后才给予完整的网络访问权限，可有效判别用户的合

12、法性。链路层身份验证时透明的，能配合任何网络层协议使用。WLAN 的链路层身份验证主要有Portal(DHCP+WEB)、802.1X 、PPPoE、WAPI 等几种认证方式。组网保护华为 AC 产品接口丰富，支持 LACP（ Link Aggregation Control Protocol，以下简称 LACP）和 MSTP（Multiple Spanning Tree Protocol，以下简称 MSTP ）等组网保护机制，可提供端口级冗余保护，及设备级1+1 快速备份。接入安全方案华为 AC 均支持开放系统认证、 WEP 加密、共享密钥认证、 WPA/WPA2认证合加密、 WAPI 认证

13、加密等无线接入安全特性。可编辑.特性指标WLAN安全模板管支持通过WLAN 安全模板管理认证和加密方式。理支持安全模板绑定到ESS 模板。最多支持256 个 AP 配置模板。OPEN-SYS 方式认证WEP 认证加密WPA/WPA2认证加密WAPI 认证加密支持“OPEN-SYS 认证 + 无加密”方式。支持 WEP 的认证 / 加密方式。每个 AP 最多支持 4 个 WEP 加密方式的VAP 。WEP 认证加密在AP 实施，认证结果通知AC。支持 AC 集中认证方式。支持“ WPA/WPA2- PSK+TKIP”的认证/ 加密方式。支持“ WPA/WPA2- PSK+CCMP”的认证/ 加密

14、方式。支持“ WPA/WPA2- 802.1x+TKIP ”的认证/ 加密方式。支持“ WPA/WPA2-802.1x+CCMP”的认证/ 加密方式。支持 AC 集中式 WAPI 认证。支持 WAPI 多信任证书方式（3 证书），兼容传统双证书方式。支持证书和私钥合一的发放方式。支持 WAPI 加密的启用 / 禁用。2.7 移动漫游设计无线用户移动漫游， 涉及到多个层次的漫游，最为简单的是二层漫游，其他厂家产品都表现不错， 三层漫游就困难多了， 还有当用户跨越多个域时怎样无缝漫游，华为无线局域网可以实现快速无缝漫游功能。L2/L3 层漫游在传统的无线局域网内， 无线终端要跨越不同AP 之间漫游

15、是有一定的困难，因为不同 AP 之间，它的无线用户IP 子网可能都不是在同一个VLAN 内。所以当无线终端从一个AP 漫游到另一 AP 时，由于它们之间的缺省IP 子网不同，无线终端会重新发出DHCP 请求，这样的话终端的IP 地址就会更新，所有在原先可编辑.AP 建立的连接都会被切断。过去为了解决跨越三层的漫游，有些用户采用了Mobile IP的技术，但 Mobile IP的缺点是它必须在无线终端安装软件。这是一般网络管理人员不愿意做的事情，因为它们就必须支持和维护用户的无线接入端。通过华为无线系统， 可解决了跨越不同三层IP 子网的无线漫游问题。在不同域之间的用户认证和漫游在大型网络内，

16、一般都有很多不同的部门， 部门内通常都有自己的用户数据库，即所谓的本地认证服务器。在实现应用时， 要求有单一的认证数据库是未必可行的，但同时无线用户应是可在内无缝漫游。当用户不是在本地入网或是从一个部门的接入点漫游到另一部门的接入点需要重新认证时，如果用户名和密码在当地的数据库是不存在的话，则用户会被断线。要做到真正的无缝漫游，则需要有支持 Radius代理这样的功能。 但由于不是所有的认证服务器都支持这种功能所以在具体实施时也有一定的困难。华为本身就可提供不同域之间的认证功能，域名可以与SSID 绑定，亦可以让用户在登陆网页时输入或选择域名。华为会把在不同域之间的认证请求转发到对应这域的ra

17、dius 服务器处理。3 华为 WLAN 解决方案的优势华为是全球领先的电信解决方案供应商，是全IP 融合时代的领导者。华为的产品和解决方案已经应用于全球100 多个国家，服务全球运营商50 强中的45 家及全球 1/3 的人口，与联通集团和北京联通拥有长期稳定而紧密的合作。华为对北京联通现网组网方案、设备形态乃至业务模型有着深刻的认识，华为有能力更有意愿帮助北京联通从全网端到端的角度提供最优的WLAN 解决方案，可编辑.分享自己对全球对整个宽带网络技术发展变化以及未来移动宽带数据业务发展趋势的理解。华为早在 2000 年就投入 WLAN技术和产品领域的研发，是国内首批成为Wi Fi 成员以及

18、 WAPI 联盟成员的厂商。华为也是国内WLAN相关标准制定的积极参与者，与运营商合作先后共同推出了基于SIM 认证和 Web 认证的标准以及相关 WLAN企业标准。华为 WLAN技术预研团队， 在 802.11s Mesh、智能控制和算法等前沿领域深入研究，先后注册和获得专利近百项。长期以来，华为持续关注WLAN 网络从企业网向电信运营网络的演进，聚焦 WLAN 组网模式变化中形成新问题、 新需求，敏锐把握并及时推出契合WLAN电信运营需要的解决方案， 率先推出基于 FTTx+WLAN+3G FMC融合的电信运营级 WLAN 解决方案，首创基于BRAS 和 OLT 的业务融合型 AC ，首推

19、业内容量第一的大容量、可扩展的插卡式AC ，目前华为 802.11n 全系列智能 AP 产品已规模上市：盒式 AC容量达到业界一流标准，支持 CAPWAP硬件转发，性能强劲，可灵活应用于直连式或旁挂式组网， 自信面对 11n 时代海量数据的汹涌冲击；支持设备级和端口级冗余备份，完全满足电信运营网络的高可靠性要求插卡式 AC 最大容量可达 14K ，业内第一，可直连 BRAS ，减少用于业务控制的网元数量，简化网络结构，部署快捷、扩容方便；优化业务控制，降低 AC 与 AP 中间网络设备的功能性能要求基于 ME60 的业务融合型 AC ，减少网元数量，简化网络结构，业务控制可编辑.层面的融合，最

20、大可支持 4K AP 的管理，可应用于大规模 WLAN组网，集成 ME60自身的高可靠、高性能、强大的业务控制能力以及丰富的网络接口，全网可靠性高FTTW 承载 WLAN 业务数据，利用光纤接入网络支持 WLAN网络的广域部署；通过无源光配线网络，减少有源设备的使用，简化网络层次，提高整网可靠性；通过 PON 网络 P2MP 的网络结构和高带宽、大分光比的特质，可灵活扩展，支持 802.11b/g网络向 802.11n网络的平滑演进智能天线技术，密切监控覆盖区域内WLAN终端，随动转向、定向增益，强力抑制干扰信号，大大降低同频干扰机率，在同频干扰环境中，吞吐率相对普通全向天线 AP 高出 70%AP 智能化，开通配置零接触，即插即用；胖瘦一体自适应；独有负载均衡算法，完美削峰填谷；智能选择信道，自动调整AP 功率、速率，绿色节能；可大大简化部署和运维成本4