无线认证方案

1、无线 WIFI 认证方案1.1 项目需求分析 随着各个行业信息化应用的广泛深入，新业务需求的不断出现，客户资源争抢 越来越激烈。从提升客户感知、加大宣传力度、提高工作效率等方面考虑，准 备在内部署无线网络。主要应用为：1、提供业务等待区客户的无线上网需求，提升客户感知2、新产品新资讯的实时广告，加大宣传力度3、随时随地实现无线办公，提高工作效率 针对专业性需求订制了高性能的无线宽带多业务支持系统来服务宣传发布、 无线办公、客户等待区域无线上网等需求。为用户提供安全稳定的整体解决方 案。该方案具有多业务支持、安全、稳定、兼容性高、可靠性高、部署容易的 特点完全能实现无线应用需求。1.2 系统方案

2、设计原则 本方案的设计将在追求性能优越、经济实用的前提下，本着严谨、慎重的 态度，从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等 方面综合进行系统的总体设计，力图使该系统真正成为符合需求的无线网络系 统。系统总体设计本着总体规划、分布实施的原则，充分体现系统的技术先进 性、高度的安全可靠性、良好的开放性、可扩展性，以及经济性。在网络的设计和实现中，本方案严格遵守以下原则：先进性原则采用先进的设计思想，选用先进的网络设备，使网络在今后一定时期内保 持技术上的先进性。开放性原则网络采用开放式体系结构，易于扩充，使相对独立的分系统易于进行组合 和调整。选用的通信协议符合国际标准或工业

3、标准，网络的硬件环境、通信环 境、软件环境相互独立，自成平台，使相互间依赖减至最小，同时保证网络的 互联。可扩充性原则网络设计在充分考虑当前情况的同时，必须考虑到今后较长时期内业务发 展的需要，留有充分的升级和扩充的可能性。充分利用现有通讯资源，为以后 扩充到更高速率提供充分的余地。另一方面，还必须为网络规模的扩展留有充 分的余地。安全性原则网络系统的设计必须贯彻安全性原则，以防止来自网络内部和外部的各种 破坏。贯彻安全性原则体现在以下方面：1. 设备采用的是扩频技术；2. 提供了射频信道的加密；3. 用户可以通过设置自己的网桥或另加独立加密设备实现更高的安全性；4. 网络内部对资源访问的授权

4、、认证、控制以及审计等安全措施：防止网络 内部的用户对网络资源的非法访问和破坏。可靠性原则网络系统的设计必须贯彻可靠性原则，使网络系统具有很高的可用性。可 靠性原则体现在以下方面：1. 选用技术先进、成熟高可靠性的网络设备；2. 系统增益储备高；3. 链路的可维护性好；可管理性原则网络系统应具有良好的可管理性，使得网络管理人员能方便及时地掌握诸如 网络拓扑结构、网络性能统计、网络故障等信息，能简便地对网络进行配置和 调整，确保网络工作在良好状态。2.无线网络系统解决方案本方案根据客户分布部署、统一管理的具体应用环境和实际无线网络覆盖 应用的需求，基于整体化无线网络架构方案，按照网络架构进行模块

5、化分层部 署设计。无线网络作为底层通信平台，采用业界先进的瘦 AP+AC+Portal 部署 方式，在业务上基于分布式转发方式进行架构，具有极强的可靠性、扩展性和 易维护性；结合产品独有的安全专利技术，从接入认证、数据加密、安全策略 等多个角度进行安全一体化设计，充分保证无线数据通信的安全性和完备的无 线系统防御措施。无线整体化解决方案，将无线漫游技术、射频信号优化技术、 安全加密技术、综合管理系统、业务功能设计等进行分层模块化部署设计，将 系统资源有效整合，充分发挥设备功能、性能优势，提供高质量、高可靠性的 无线网络。方案重点阐述了 WLAN 业务网络建设总体解决方案，主要包括 WLAN 业

6、 务描述，系统总体架构，详细组网方案， AP 部署方案等。2.1 无线网络总体架构结合客户无线网络应用需求情况，结合本产品自身技术特点，为了满足用 户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求，本设 计方案按照 AP+AC+Portal 的结构化无线网络解决方案进行设计。整体框架基 于瘦 AP 方式部署，采用 AC 对 AP 进行集中管理、控制、配置下发数据分布式 / 集中式转发、漫游等功能。 Portal 服务器作为对接入终端的上网认证，系统的 中央无线控制器可以同时控制若干个 AP 协同工作。操作和维护工作现在只需 要在 AC 上进行就可以了。在这个架构里， AP 只负责

7、无线信号的收发，不作 MAC 层及其以上的协议层处理，所有的智能工作都由 AC 和 Portal 完成。基 于瘦 AP+AC+Portal 架构方案的优势在于：配置简单： AP 零配置、所有的配置集中在 AC 上完成，简单便捷； 维护方便：管理、维护针对 AC 来实现，不需要对每一台 AP 进行操作； 易于升级：针对特性增加带来的软件版本升级需求，只需要在 AC 上进行 操作即可，不需要对每一台无线 AP 单独升级，软件的升级由 AP 自动完成 安全可控：可以集中进行射频及功率、信道调整，黑白名单、无线入侵检 测、安全访问控制等功能；扩展性强：根据需要，可以灵活增加补点 AP,需要扩容的话，只

8、需要将 AP 接入网络即可。支持三层漫游，方便扩展支持无线监控、话音应用等业 务。网络性能好：高速的数据转发，支持快速切换，数据私密性好，天然的MAC 层加密隧道； 抗干扰性强：可动态分配信道，并在受干扰时切换到最优信道 本方案设计全网采用业内流行的瘦 AP+AC+Portal 架构设计，将 AC 和 Portal 服务器部署于机房或者无线汇聚点， AC 作为整个无线网络的“大脑”， 负责管理、控制、监管所有的基站设备， Portal 服务器负责上网认证、宣传页面推送。AP室内型吸顶AP部署在购物商场的各网点实现对目标覆盖区域的Wlan信号部署。网络拓扑图：f l Mi.-. w ； . J

9、* fl;-« nt电匚说九12回.JHi')I.t5 axisIl (o本方案中，AP、AC和Portal服务器均使用公网地址部署，即 AP、AC和 Portal处于公网，AP、AC、Portal服务器地址全部使用静态IP。优点是便于 管理，特别是在根据IP地址限制网络流量的局域网中，以固定的IP地址或IP 地址分组产生的流量为依据管理，可以免除在按用户方式进行认证时用户每次 上网都必须进行的身份认证的繁琐过程，同时也避免了用户经常忘记密码的尴 尬。无线AP的覆盖原则是，首先保证覆盖区域内，AP与无线终端之间无线信号的有效交互，其次，保证覆盖区域内每个终端的覆盖带宽要求。考

10、虑到无线网络中多媒体业务对带宽大规模占用的特点，以及对数百台AP的大流量处理要求，如果采用集中式转发的架构模式，AC很容易成为性能瓶颈。因此方案中采用分布式转发模式。控制、管理报文通过无线控制器进行统 一处理，数据报文在无线 AP上直接转化为以太网格式的报文，不需要通过隧 道封装交无线交换机处理，从而解决无线控制器的数据转发性能瓶颈问题。在该方案中，应包括如下设备:无线控制器，实现对AP及接入终端的集中式管理Portal 服务器，实现上网认证。无线接入AP，实现优化、无缝的无线信号覆盖和数据分布式转发。2.2 无线网络功能设计1 即插即用功能： AP 上只需要进行 IP 地址配置，接入到网络就

11、可以工作2 软件自动升级功能： AP 的软件完全实现自动升级3 批量配置功能：对连接到无线控制器的众多 AP 进行批量配置4 动态信道分配功能：无线控制器可以为 AP 自动分配信道，并在受到干扰时切换到最优信道5 自动发射功率调整功能： AP 发生故障后，邻居 AP 可以提高自身功率，以弥补覆盖空洞6 网络负载分担功能：既可以实现用户在不同 AP 下的负载分担，也可以实现 AP 在不同无线控制器下的负载分担7 快速切换功能：用户在同一无线控制器的不同 AP 之间漫游时，可以大大提高切换速度，切换时延只有 89 毫秒8 跨区组网功能：对于分散在不同区域的 AP 依然可以通过城域网连接到无线控制器

12、，而且 AP 无需任何配置9 跨 IP 子网漫游功能：无线工作站无需作任何改动，可以在不同的 IP 子网进行无缝漫游2.3 无线网络安全性设计WLAN 利用了不可见的公用媒介进行空中信号传播，安全问题是部署无线 的巨大挑战。仔细分析无线网络面临的安全挑战，主要是防止非法窃听、数据 篡改，防止非法用户接入，防止恶意攻击（ ARP 攻击、 DHCP 攻击），防止 AP 过载（广播风暴），防止不合理应用等。针对以上安全问题，无线系统可以 提供多标识的用户的接入验证功能，如无线链路接入认证，以及针对用户接入 的 802.1X 、 WEB 认证、 MAC 、 SSID 等多种标识的认证方式。并且，可以提

13、 供对无线链路进行加密功能，如 WEP、 WPA 、 WPA-PSK 、 WPA2 等加密方式 实现对所有无线数据进行加密传输。无线网络的安全性设计体现在接入认证、数据加密、安全策略三个层面。 接入认证实现对接入无线网络的终端和用户进行接入合法性检查；数据加密对终端和 AP 之间的数据进行加密处理，防止窃听；安全策略采用用户隔离、SSID 隐藏、 MAC 地址过滤等技术手段抵御恶意用户的攻击行为。2.4 无线网络管理框架设计在传统无线网络建设中，有一个始终令网管人员感到头痛的问题，那就是 对 AP 的管理、监控以及 AP 自身固件的升级。由于传统 AP 是一种称作为 “FAT AP”，即自身需

14、要有相应控制软件以及独立的配置才能运行，而由于 AP 是一种接入层设备，数量较多，且由于办公楼网络的复杂性以及业务的多样 性，导致需要根据各“热点”区域进行相应配置，并且还需要网管员对这些特 殊配置进行记录，以方便日后维护；此外，在日常运行中，还需要了解这些数 量众多 AP 的工作状态及性能等数据，而一般 AP 管理工具功能太过简单，如 果采用有线网络网管软件，由于没有很好的对无线网络做相应的开发与支持， 从而不能很好的管理无线网络。本方案无线网络的管理分为两个层次两级管理。第一层是接入层的AP，第二层是无线控制器AC，第一层的AP无需单独维护，全部交给第二层的 AC进 行统一的配置管理，包括

15、安全策略、 QoS 策略、 RF 射频管理和漫游管理。在 本方案中， AC 设备是整个无线系统的核心，体现在对所有 AP 设备的集中式管 理、数据集中转发，为接入用户提供安全、数据、漫游、 QOS 等服务。集中式无线网络管理方案大大提高了用户对网络系统的易维护性，在 AC 上实现对所有AP、接入用户的状态监视、配置管理，远程操作等。瘦AP和无线控制器系统有非常强大的集中管理功能，所有的关于无线网络的配置都可以 通过配置无线控制器器统一完成。例如开通、管理、维护所有 AP 设备以及移 动终端，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户等 所有功能。 AC 产品为 Web 图形化界

16、面设计，提供友好、简捷的人机界面，方 便用户维护、管理。2.5 WLAN 频率规划WLAN 802.11b/g/n 工作在2.4GHz频段，频率范围为 2.400 2.4835GHz ，共 83.5M 带宽，划分为 13 个子信道，每个子信道带宽为 22MHz 。子信道分配如图 3-1 所示。2117242724372 72457216724127d222d322.4422 4522 4622 4722J&4WLAN 802.11b/g 工作频段子信道分配WLAN 802.11a 工作在 5.8GHz 频段，频率范围为 5.725GHz5.850GHz共125MHz带宽，划分为5个信道

17、，每个信道带宽为20MHz。子信道分配如图3-2所示。WLAN 802.11a 工作频段子信道分配在使用2.4GHz频点时，为保证信道之间不相互干扰，要求两个信道之间间隔 不低于25MHz。在一个覆盖区内，最多可以提供 3个不重叠的频点同时工作, 通常采用1、6 11三个频点。Wlan使用频段规划原则:1）在一个 AP 覆盖区内直序扩频技术最多可以提供 3 个不重叠的信道同时工作。 考虑到制式的兼容性，相邻区域频点配置时宜选用1 ，6，11 信道。2）频点配置时首先应对目标区域现场进行频率检测，对于覆盖区域内已有AP采用的信道，应尽量避免采用。3）室内 AP 覆盖区频点配置时，为了实现 AP

18、的有效覆盖，避免信道间的相互干 扰，在信道分配时宜引入移动通信系统的蜂窝覆盖原理。对1， 6，11 信道进行复用。4）系统设计时应注意避免干扰源的影响。2.6 防干扰设计来自 WLAN 网络外部的干扰也分为 WLAN 干扰和非 WLAN 干扰。 WLAN 干扰主要包括Rogue设备、邻居WLAN网络、Ad hoc网络等。WLAN工作 在 ISM 频段，除了 WLAN 设备外，还有许多非 WLAN 设备也工作在该频段， 如微波炉、无绳电话、蓝牙设备、无线摄像机、户外微波链路、无线游戏控制 器、 Zigbee 、 WiMax 等等。非 WLAN 干扰源会干扰 WLAN 信号，导致 WLAN 信号无法被正确接收。还有一些非 ISM 频段上的设备会在 ISM 频段上 产生射频信号泄露，当临近距离很近的情况下，会对 WLAN 设备形成干扰。2.7 WLAN 系统无缝漫游设计在 wifi 网络中，用户终端通过关联 AP 广播的 SSID 进行 wifi 接入。移动 漫游过程中，用户终端会对关联的 AP 进行切换，在切换过程总，不可避免的 将发生“切断上一个连接、关联下一个连接”的过程，导致用户上网体验中断 和业务丢包现象。而在本方案中，我们采用基于 Hacip 漫游切换控制技术，该方案以无线控 制器为核心，对所有 AP 上接入的