“無線城市”WiFi覆蓋施工方案27頁

1、 “無線城市”WiFi覆蓋施工方案 2016年5月 目 錄第1章工程概況4第2章組網(wǎng)示意及說明4第3章工程施工計劃43.1工期總目標43.2施工階段劃分及工期目標4第4章工程實施設(shè)計54.1設(shè)計目標54.2組網(wǎng)規(guī)劃54.2.1IP編址方案54.2.2傳輸和承載網(wǎng)絡(luò)64.3無線覆蓋規(guī)劃74.4頻率規(guī)劃84.5集中管理架構(gòu)94.6AP設(shè)備安裝104.7無線射頻管理124.8無線WLAN的Qos機制144.9無線網(wǎng)絡(luò)安全164.10容量規(guī)劃194.11設(shè)備配置194.11.1.16.1無線控制器（AC）194.11.1.26.2 POE交換機204.11.1.36.3 AP6010DN-AGN(室內(nèi)

2、放裝型)214.11.1.46.4 AP7110DN-AGN(室內(nèi)放裝型)214.11.1.56.5 AP8130DN(室外型外置天線)22第5章測試驗收235.1無線覆蓋信號強度測試235.2信噪比測試245.3AP配置檢測245.4用戶認證測試255.5WEB認證接入時延測試255.6Ping包測試265.7AP間切換265.8系統(tǒng)吞吐量與接入帶寬測試275.9AP可被網(wǎng)管測試27第1章 工程概況第2章 組網(wǎng)示意及說明系統(tǒng)結(jié)構(gòu)如下：l FIT AP通過以太網(wǎng)交換機接入“無線城市”承載網(wǎng)l AC通過“無線城市”承載網(wǎng)絡(luò)，對多個FIT AP進行管理l 核心業(yè)務(wù)網(wǎng)絡(luò)通過RADIUS服務(wù)器對寬帶無

3、線局域網(wǎng)終端進行鑒權(quán)和授權(quán)，防止非法終端接入l 無線局域網(wǎng)與核心業(yè)務(wù)網(wǎng)絡(luò)之間、核心業(yè)務(wù)網(wǎng)絡(luò)與Internet之間，使用物理隔離和防火墻數(shù)據(jù)隔離的方式，實現(xiàn)二次網(wǎng)絡(luò)安全防護第3章 工程施工計劃3.1 工期總目標本工程于設(shè)備到貨后天內(nèi)完成設(shè)備的安裝調(diào)試，并交付使用。3.2 施工階段劃分及工期目標由于wifi項目工程規(guī)模大，為合理安排、有效控制，確保按期、保質(zhì)完成任務(wù)。將總工期劃分為五個階段性工期目標來控制。第一階段：施工準備階段，本階段主要完成現(xiàn)場的勘測、工程聯(lián)絡(luò)設(shè)計，繪制施工圖，為后期施工創(chuàng)造良好條件。第二階段：基礎(chǔ)施工階段本階段主要為無線接入系統(tǒng)的基站及終端的架設(shè)位置及抱桿、取電等提供條件，以

4、及設(shè)備生產(chǎn)廠家的設(shè)備備貨和測試。第三階段：設(shè)備的安裝調(diào)試階段本階段主要完成單點設(shè)備的安裝和調(diào)試。第四階段：系統(tǒng)聯(lián)合調(diào)試階段本階段主要完成無線接入系統(tǒng)和主站系統(tǒng)的聯(lián)合調(diào)試第五階段：竣工清理交驗階段本階段主要處理本工程存在的問題、竣工清理工作、編制竣工資料，組織驗收并交付使用。序號階段名稱1-78-143基礎(chǔ)施工4設(shè)備的安裝調(diào)試5系統(tǒng)聯(lián)合調(diào)試6竣工清理交驗圖表 1工程施工計劃第4章 工程實施設(shè)計4.1 設(shè)計目標系統(tǒng)提供全IP架構(gòu)的接入方式，解決城市的“最后一百米”接入需求，支持以太網(wǎng)或光纖網(wǎng)絡(luò)作為傳輸承載網(wǎng)，可選擇就近的XPON網(wǎng)絡(luò)，實現(xiàn)無線與有線接入方式的融合。4.2 組網(wǎng)規(guī)劃4.2.1 IP編

5、址方案IP編址方案包括如下幾部分：無線交換機AC、AP、接入終端；需要根據(jù)客戶業(yè)務(wù)情況規(guī)劃；設(shè)備IP備注無線控制器192.168.128.0/23五縣一區(qū) 室內(nèi)AP1域10.1.0.0/1710.1.0.1-10.1.127.254市區(qū) 室內(nèi)外AP2域10.1.128.0/1810.1.128.1-10.1.191.254濮陽縣 室內(nèi)外AP3域10.1.192.0/1810.1.192.1-10.1.255.254清豐縣 室內(nèi)外AP4域10.2.0.0/1810.2.0.1-10.2.63.254南樂縣 室內(nèi)外AP5域10.2.64.0/1810.2.64.1-10.2.127.254范縣 室

6、內(nèi)外AP6域10.2.128.0/1810.2.128.1-10.2.191.254臺前縣 室內(nèi)外4.2.2 傳輸和承載網(wǎng)絡(luò)傳輸承載網(wǎng)絡(luò)適用包括光纖以太網(wǎng)和XPON傳輸方式，AP數(shù)據(jù)通過交換機匯聚以后接入互聯(lián)網(wǎng)，應(yīng)用業(yè)務(wù)在公司中心機房落地。4.3 無線覆蓋規(guī)劃根據(jù)項目對現(xiàn)場進行了實地勘測，根據(jù)勘測情況制作實際布點圖如下：說明：根據(jù)現(xiàn)場情況，室內(nèi)AP布點位置如圖中紅色點所示，安裝位置在中央天花，采用吸頂?shù)陌惭b方式。室外AP安裝在立桿或墻上，采用立桿安裝或貼墻的安裝方式（如下圖）。所有AP都通過網(wǎng)線供電。貼墻安裝吸頂安裝如果在建筑物樓頂安裝室外AP，安裝前先安裝好天線支架，如下圖：如上圖所示將天線

7、支架固定好后，將室外AP安裝在天線支架上，然后通過網(wǎng)線將室外AP與交換機相連。對于室外走線部分應(yīng)按照要求采用鋼管防護。根據(jù)現(xiàn)場勘測結(jié)果，提出合理布線及設(shè)備安裝方案，如果現(xiàn)場環(huán)境比較理想，按照勘測位置布置好所有AP，當系統(tǒng)開通應(yīng)可實現(xiàn)該區(qū)域全覆蓋。示意圖如下：注：現(xiàn)場安裝及施工，應(yīng)按照規(guī)范謹慎實施，注意安全。4.4 頻率規(guī)劃Wifi頻率為公共頻率，IEEE 802.11b/g/n 定義被操作在2.4 GHz （2.4-2.4835） GHz的頻率。802.11a/n 被操作在有更多信道的 5.8GHz（4.9 GHz 到 5.875） 頻譜中。AP650支持820.11a/b/g/n. 1、在一

8、個AP 覆蓋區(qū)內(nèi)直序擴頻技術(shù)最多可以提供3 個不重疊的信道同時工作?？紤]到制式的兼容性，相鄰區(qū)域頻點配置時宜選用1，6，11 信道。2、頻點配置時首先應(yīng)對目標區(qū)域現(xiàn)場進行頻率檢測，對于覆蓋區(qū)域內(nèi)已有AP 采用的信道，應(yīng)盡量避免采用。3、對于室外區(qū)域干擾宜采用調(diào)整天線方向角，避免天線主瓣對準干擾源的方式或調(diào)整功率。4、 室外AP 覆蓋區(qū)頻點配置時，為了實現(xiàn)AP 的有效覆蓋，避免信道間的相互干擾，在信道分配時宜引入移動通信系統(tǒng)的蜂窩覆蓋原理。對1，6，11 信道進行復(fù)用，見下圖。5、室內(nèi)AP 覆蓋區(qū)頻點配置時應(yīng)充分利用建筑物內(nèi)部結(jié)構(gòu)，從平層和相鄰樓層的角度盡量避免每一個AP 所覆蓋的區(qū)域?qū)M向和縱

9、向相鄰區(qū)域可能存在的干擾。6、設(shè)計時指定規(guī)劃覆蓋區(qū)域的每個AP 的工作頻率，不宜考慮AP 自動頻率調(diào)整功能，防止頻率的頻繁調(diào)整而導(dǎo)致用戶無法接入。室外AP：5.8G頻率作為mesh回傳通道，2.4G頻段作為覆蓋頻段。4.5 集中管理架構(gòu)通過無線交換機AC管理整個網(wǎng)絡(luò)，網(wǎng)管人員只需在無線交換機上就可開通、管理、維護所有AP 設(shè)備以及移動終端，包括無線信號發(fā)射、安全、接入認證、移動切換。具體可以表現(xiàn)以下幾個方面：1. AP零配置AP無需任何配置，即插即用。所有對無線網(wǎng)絡(luò)的配置都在無線交換機上完成。AP支持PoE供電，在連接上網(wǎng)線后，AP可以通過DHCP方式自動獲取Wireless Switch的地

10、址列表，然后通過WISPe(Wireless Switch Protocol enhanced)與Wireless Switch進行通信。2. 流量轉(zhuǎn)發(fā)模式：集中轉(zhuǎn)發(fā)和本地轉(zhuǎn)發(fā)考慮到無線網(wǎng)絡(luò)維護的方便性，所有室內(nèi)室外AP，都由位于匯聚層的的無線交換機AC來進行統(tǒng)一的管理控制，也就是無論處于NAT防火墻、寬帶路由器、交換機后面的AP都可以通過AP到AC的WISPe隧道直接接受無線交換機AC的集中管理。本地轉(zhuǎn)發(fā)，在采用集中管理的同時，所有的流量不需要經(jīng)過AC，而是從AP直接轉(zhuǎn)發(fā)到相對的路徑上。如AC發(fā)生故障時，AP還可以轉(zhuǎn)發(fā)流量。3. 無須改造現(xiàn)有網(wǎng)絡(luò)AP可以無縫接入現(xiàn)有網(wǎng)絡(luò)。遠程AP使用DHCP

11、方式獲取地址后就可以跨越3層路由器，甚至跨越互聯(lián)網(wǎng)絡(luò)，與Wireless Switch進行自動連接。由于使用DHCP方式，網(wǎng)絡(luò)的規(guī)劃、網(wǎng)絡(luò)的擴展可以集中而簡單地對DHCP作配置即可，而無需去修改分散各地的成百上千的遠程AP。4. 更換和升級AP方便所有配置維護都可以在中心機房完成。接入端的維護更是無需專業(yè)管理人員，即插即用。在AP出現(xiàn)故障時，可以簡單地將新的AP插上即可。無需任何配置。在Wireless Switch作升級后，可以自動對所有AP作升級，避免對每個AP手工升級的工作。5. 統(tǒng)一的網(wǎng)絡(luò)管理無線交換體系能夠?qū)τ谟布?、軟件配置和網(wǎng)絡(luò)策略進行統(tǒng)一管理，所有配置在無線交換機上完成即可。向所

12、有接入點自動部署配置。4.6 AP設(shè)備安裝1. 饋線的安裝用于連接AP和天線，為了盡量減少饋線的插入損耗，應(yīng)將饋線與設(shè)備及天線連接接口擦干凈再緊固接頭。2. 網(wǎng)線的安裝無線AP與交換機、網(wǎng)線供電模塊連接的網(wǎng)線，因設(shè)備常安裝在較高處或通信塔，為減少外界對數(shù)據(jù)的影響，網(wǎng)線應(yīng)選用屏蔽網(wǎng)線，及屏蔽接插件。因網(wǎng)線在室外使用，應(yīng)對網(wǎng)線作好保護措施，露天網(wǎng)線必須穿管，并固定牢固。在靠近設(shè)備的網(wǎng)線，應(yīng)穿軟管，并制作防水彎。3. 接頭防水處理室外設(shè)備的各個連接接頭，至少要作三層防水處理，第一層用防水膠帶將接頭纏好，第二層使用防水膠泥進行處理，第三層再用防水膠帶纏好。如設(shè)備安裝比較惡劣的環(huán)境中，可增加膠帶的層次，

13、這時需要重復(fù)第二、第三層防水處理的步驟。4. 無線網(wǎng)絡(luò)避雷接地處理安裝擴頻通信設(shè)備的站點，應(yīng)有完善的防雷接地系統(tǒng)。防雷接地標準應(yīng)符合YD5004-94數(shù)字微波接力通信工程設(shè)計規(guī)范、YD2011微波站防雷與接地設(shè)計規(guī)范和YD26通信局（站）接地設(shè)計暫行技術(shù)規(guī)定，接地電阻應(yīng)5。架裝天線的支架或鐵塔應(yīng)與樓頂接地系統(tǒng)良好連接。 根據(jù)相關(guān)國標/國際標準，要求必須在室外無線設(shè)備旁架設(shè)避雷針（直擊雷防護處理），射頻端口必須設(shè)置相應(yīng)避雷器；室內(nèi)設(shè)備射頻端口、LAN口也必須設(shè)置相應(yīng)避雷器（感應(yīng)雷防護處理）；射頻線纜的金屬屏蔽層、避雷器必須做等電位接地處理。 當天饋線系統(tǒng)受到雷擊時（或有高壓磁場）所產(chǎn)生浪涌不要進

14、入系統(tǒng)設(shè)備，通過接地及時的放掉浪涌來保障系統(tǒng)設(shè)備以及工作的安全。避雷針：通過在天線旁邊架設(shè)避雷針來引開雷電的襲擊，避雷針為良好導(dǎo)體比天線高，當雷電來時會由避雷針將其引走，避雷針需要良好的接到大地上，接地電阻小于5 歐姆。 射頻避雷器：在無線設(shè)備外接天線系統(tǒng)中接入射頻避雷器，當天饋線受到雷擊時，避雷器在雷電來時它會及時與設(shè)備斷開，通過連在避雷器外部的接地線把電流放掉后，并自動恢復(fù)連接。饋線的接地線要求每20米做一個接地，所以通常接地線到饋線頭不超過20米時可以在接地線近處接地。 避雷器安裝在饋線和設(shè)備之間，從避雷器引出接地線接至地極。地極接地電阻要求5 歐姆以下，一定要連接牢固，確保受雷擊時可正

15、常放電。 連接室外部分和室內(nèi)部分POE的RJ-45線 這根RJ-45線為標準8芯直通線，在室外安裝時應(yīng)該用PVC管或其他符合室外安裝標準的材料加以保護。4.7 無線射頻管理1. 自動射頻管理由于無線射頻信號是一種無形的東西，它的強度和所在的信道一般都需要根據(jù)經(jīng)驗手工調(diào)整，要做到無線信號均勻分布，信道的利用率高，無信道干擾并不是件非常容易的事情，但是HuaWei系統(tǒng)的RF智能控管可以自動調(diào)節(jié)網(wǎng)上所有HuaWei AP的射頻信號特性?？梢员ＷC無線信號均勻分布，信道的利用率高，無信道干擾，無線網(wǎng)絡(luò)做到最為優(yōu)化的運行。通過RF Planning的SmartRF Calibration功能來自動調(diào)節(jié)整個

16、無線網(wǎng)絡(luò)上所有AP的無線射頻信號頻率和功率。啟動了SmartRF Calibration以后AP和AP之間會自動互傳有關(guān)無線射頻信號的信息和調(diào)整射頻信號的參數(shù)，直到AP之間達到了一個最優(yōu)化的無線射頻信號運行環(huán)境。當無線網(wǎng)絡(luò)經(jīng)過SmartRF Calibration調(diào)整后而正式運作時，網(wǎng)絡(luò)管理員可在HuaWei 交換機內(nèi)啟動SMART RF功能，則無線網(wǎng)絡(luò)上所有的HuaWei AP都會在設(shè)定的時間內(nèi)自行掃描其它的無線頻道。所謂射頻信號掃描，是指HuaWei AP 從一個射頻信號頻道跳到另一頻道時，如Ch 1 到 Ch 2 到 Ch 3.，由于掃描的速度非常快，所以對于在線的無線用戶（指連接到AP

17、上在同一頻率上的無線終端）的傳輸過程是不受到影響的。當AP停留在一個頻道時，它會把在這頻道上收到的無線射頻信號信息轉(zhuǎn)送回HuaWei 無線交換機。這樣HuaWei 無線交換機就對整個無線網(wǎng)絡(luò)上的射頻信號情況有了一定了解和記錄。當某一覆蓋范圍內(nèi)的射頻信號改變，如出現(xiàn)干擾AP所發(fā)出的射頻信號或其它應(yīng)用所發(fā)出的射頻信號等，HuaWei 無線交換機就會把所獲取的無線射頻信號資料做分析，以確定是否需要調(diào)整范圍內(nèi)AP的無線射頻信號。2. 無線空洞檢測集中控制型WLAN熱點接入設(shè)備支持自動功率調(diào)整。當一個瘦AP失效時，周圍瘦AP能夠自動調(diào)整功率補償失效AP的覆蓋，具體實現(xiàn)如下圖所示：例如在三個AP所覆蓋區(qū)域

18、，如果其中一個AP出現(xiàn)了故障，那么檢測AP將檢測到故障，并觸發(fā)鄰居增加發(fā)射功率，對故障AP所覆蓋范圍進行覆蓋區(qū)域進行補償恢復(fù)。而且可以檢測到多種故障情況，如天線故障、AP以太網(wǎng)故障、AP因為障礙物引起的不可視、AP損壞等。可以配合控制設(shè)備完成全局的動態(tài)功率控制，通過增加功率支持無線空洞補償、通過降低功率避免高密度部署環(huán)境下復(fù)用頻點小區(qū)間的干擾。用戶在AP覆蓋區(qū)域移動，但移動到邊緣情況下，用戶信號強度以及接入速率低于設(shè)定要求，出現(xiàn)的無線覆蓋的空洞，這時AP將增大發(fā)射功率對無線空洞進行補償，而在高密度覆蓋情況下，檢測器將能夠檢測到信號覆蓋狀況，并全局調(diào)整AP的發(fā)射功率，減少區(qū)間干擾。3. 系統(tǒng)的抗

19、干擾措施當AP設(shè)備啟動時，會自動搜索已經(jīng)存在的無線信號，主動躲避由噪音的信道，選擇無噪音的信道作為自身的工作信道。在AP設(shè)備已經(jīng)完成啟動后，還會實時監(jiān)聽信道噪音。當發(fā)現(xiàn)當前的工作信道出現(xiàn)外來信號噪音，AP會自動判斷該信號是否來自欺詐AP。如果是欺詐AP，則通知網(wǎng)絡(luò)管理員；如果不是，則自動選擇最清晰的信道，以保證信號質(zhì)量。無線系統(tǒng)可以對WiFi和非WiFi的設(shè)備進行統(tǒng)計告警以及分析。4.8 無線WLAN的Qos機制語音等特殊應(yīng)用對無線網(wǎng)絡(luò)的帶寬和時延敏感，WLAN采用802.11e來保證不同應(yīng)用的優(yōu)先級，在無線接口上共有四個隊列，每個隊列均有相應(yīng)的CWMIN/CWMAX值，對應(yīng)訪問無線鏈路的不同

20、優(yōu)先級，從而不同隊列中的應(yīng)用數(shù)據(jù)可以有不同的服務(wù)質(zhì)量。QoS指的是網(wǎng)絡(luò)通過不同的網(wǎng)絡(luò)技術(shù)為特定的網(wǎng)絡(luò)流量提供更出色服務(wù)的能力。QoS技術(shù)是園區(qū)網(wǎng)絡(luò)中的企業(yè)級多媒體和語音應(yīng)用的重要組成部分。QoS讓網(wǎng)絡(luò)管理人員可以與他們的網(wǎng)絡(luò)用戶制定服務(wù)水平協(xié)議（SLA）。QoS能更加有效地實現(xiàn)網(wǎng)絡(luò)資源的共享，加快關(guān)鍵任務(wù)型應(yīng)用的處理速度。QoS可以管理對時間敏感的多媒體和語音應(yīng)用流量，確保這些流量獲得比盡力而為型數(shù)據(jù)流量更高的優(yōu)先級、更多的帶寬和更低的延時。利用QoS，網(wǎng)絡(luò)管理人員可以更加有效地管理LAN和WAN的帶寬。QoS可以通過下列方式提供增強的、可預(yù)測的網(wǎng)絡(luò)服務(wù)： 為關(guān)鍵的用戶和應(yīng)用提供專用帶寬 控制

21、抖動和延時（滿足實時流量的需要） 管理和最大限度地減少網(wǎng)絡(luò)擁塞 對網(wǎng)絡(luò)流量進行整形，讓流量平穩(wěn)傳輸 對網(wǎng)絡(luò)流量進行優(yōu)先級劃分QoS功能的作用在一個負擔較輕的網(wǎng)絡(luò)上表現(xiàn)得并不明顯。的確，如果延時、抖動和丟包率在介質(zhì)負載較輕的情況下仍然相當明顯，那就意味著存在系統(tǒng)故障，或者這個網(wǎng)絡(luò)不符合該應(yīng)用的延時、抖動和丟包率要求。隨著網(wǎng)絡(luò)負載的增加，QoS功能將開始逐步影響應(yīng)用的性能。QoS的作用是將特定類型的流量的延時、抖動和丟包率保持在可以接受的范圍之內(nèi)。通過從接入點提供下行優(yōu)先級設(shè)置功能，上行客戶端流量會被作為盡力而為型流量處理。這樣，客戶端必須與其他客戶端競爭（上行）傳輸帶寬，以及與來自接入點的盡力而

22、為型（下行）流量進行競爭。在特定的負載情況下，即使在接入點采用了QoS功能，客戶端也可能會遇到上行擁塞，而對QoS敏感的應(yīng)用的性能則可能會下降到無法接受的水平。HuaWei無線網(wǎng)絡(luò)提供集成的QoS無線網(wǎng)絡(luò)服務(wù)質(zhì)量的保證，針對不同類型的無線應(yīng)用，無線交換機會進行相應(yīng)的處理，以保證移動業(yè)務(wù)的暢通。HuaWei無線網(wǎng)絡(luò)預(yù)置了包括Voice在內(nèi)多種Profile，同時也可以提供手工微調(diào)的方式。在方便配置Qos的同時也保證了無線網(wǎng)絡(luò)Qos的調(diào)優(yōu)。HuaWei的無線網(wǎng)絡(luò)支持WMM(802.11e)，WMM可以有效地保證高優(yōu)先級的流量得到帶寬的保證和低時延。WMM定義了SIFS到AIFS多種等待時間間隔，優(yōu)

23、化這些參數(shù)可以提高網(wǎng)絡(luò)容量。l 基于WLAN的帶寬分配：HuaWei的AP支持為不同的WLAN分配不同的帶寬，保證關(guān)鍵業(yè)務(wù)的可用帶寬。l 基于類別映射的優(yōu)先級設(shè)置：對于基于類別映射的優(yōu)先級設(shè)置，數(shù)據(jù)流可以通過IP TOS、DSCP或者協(xié)議設(shè)置標明身份。一個指定的下行流量會在無線接口上獲得一個特定的CoS。l 啟用WMM，針對對于監(jiān)控和Video不同業(yè)務(wù)設(shè)定Qos參數(shù)l 基于組播地址的優(yōu)先等級設(shè)置l 通過設(shè)置WLAN的組播地址掩碼，保證匹配該組播地址掩碼的流立即轉(zhuǎn)發(fā)而不需要等待DTIM（Delivery Traffic Indication Messages ）。通過對WLAN WMM的不同流量

24、類型設(shè)置不同的等待楨隙，不同的轉(zhuǎn)發(fā)機會和CWmin和CWmax值，保證不同類型的流具有不同的轉(zhuǎn)發(fā)等級。4.9 無線網(wǎng)絡(luò)安全由于無線局域網(wǎng)采用公共的電磁波作為載體，因此與有線網(wǎng)絡(luò)不同，任何人都有條件竊聽或干擾信息，因此在無線局域網(wǎng)中，網(wǎng)絡(luò)安全顯得格外重要。由于802.11 WLAN屬于公有的無線資源，因此有電信的無線網(wǎng)絡(luò)，有移動的無線網(wǎng)絡(luò)，有網(wǎng)通的無線網(wǎng)絡(luò)，有校園的無線網(wǎng)絡(luò)，也有眾多企業(yè)或者個人架設(shè)的無線網(wǎng)絡(luò)。有正常使用無線網(wǎng)絡(luò)的合法用戶，也有惡意用戶。非法設(shè)備(Rogue device)是指黑客在無線局域網(wǎng)中安放未經(jīng)授權(quán)的AP或客戶機提供對網(wǎng)絡(luò)的無限制訪問，通過欺騙得到關(guān)鍵數(shù)據(jù)。無線局域網(wǎng)的用

25、戶在不知情的情況下，以為自己通過很好的信號連入無線局域網(wǎng)，卻不知已遭到黑客的監(jiān)聽了。這些攻擊者通過非法搭建的AP或者使用無線客戶端，企圖想通過無線網(wǎng)絡(luò)傳播病毒蠕蟲、盜用機密信息、銀行帳號以及無線上網(wǎng)帳號，或者發(fā)起DOS攻擊。HuaWei的無線解決方案RFS6000內(nèi)置的無線安全功能，全面解決了在復(fù)雜的無線環(huán)境中達到只有合法授權(quán)用戶才能訪問無線網(wǎng)絡(luò)的目的，防御無線DOS攻擊，而且保證重要信息的不被泄露。下面我們來詳細分析無線網(wǎng)絡(luò)安全隱患以及解決的方法。1. 認證和加密HuaWei無線網(wǎng)絡(luò)的認證支持WPA、WPA2、MAC認證、Web認證、802.1x認證， 加密包括WEP、TKIP(WPA)、A

26、ES(WPA2)。WEP的加密方式由于很容易破解，不推薦使用；WPA TKIP的安全程度遠高于WEP加密；而WPA2 AES是最高強度的加密方式，密鑰長度為256比特，加密安全級別和目前有線網(wǎng)絡(luò)的IP Sec的加密等級相同。對于WPA2 AES可以使用共享密鑰（靜態(tài)）的方式，也可以使用動態(tài)更新密鑰的方式。 推薦對政府網(wǎng)絡(luò)進行最高強度的WPA2 AES加密，并且通過802.1X每隔一段時間動態(tài)下發(fā)密鑰，這樣即使有攻擊者使用暴力入侵辦法通過密碼字典持續(xù)抓取無線網(wǎng)絡(luò)包來破解用戶的密鑰，由于密碼更新的時間遠遠小于破解需要的時間，因此即使攻擊者遠遠達不到破解出原來的密鑰的需要的流量，因此網(wǎng)絡(luò)是安全的。對

27、于802.1x來說，HuaWei無線網(wǎng)絡(luò)支持802.1X基于數(shù)字證書的EAP-TLS以及使用Token令牌的方式。EAP-TLS (傳輸層安全) 提供為客戶端和網(wǎng)絡(luò)提供基于證書及相互的驗證。 它依賴客戶斷和服務(wù)器方面的證書進行驗證，可用于動態(tài)生成基于用戶和通話的密鑰以保障 WLAN 客戶端和接入點之間的通信。Token通過每個用戶獨立的PIN動態(tài)生成密碼，也可以保證只有合法的用戶才能接入網(wǎng)絡(luò)。2. RFS6000內(nèi)置無線網(wǎng)絡(luò)安全：非法AP和非法客戶端的檢測和抑制RFS6000提供全面的網(wǎng)絡(luò)安全特性，包括： MAC地址過濾 入侵檢測和阻斷 狀態(tài)包檢測防火墻 針對拒絕服務(wù)DOS以及其他無線網(wǎng)絡(luò)攻擊

28、進行防范保護，在發(fā)現(xiàn)有非法用戶進行DOS攻擊時可以自動將這些用戶列入黑名單。 在非法設(shè)備檢測和抑制：分為Rogue AP和Rogue Client，即非法AP和非法客戶端。Rogue AP的檢測和阻斷為了發(fā)現(xiàn)非法AP，分布于網(wǎng)絡(luò)各處的探測器能完成數(shù)據(jù)包的捕獲和解析的功能，它們能迅速地發(fā)現(xiàn)所有無線設(shè)備的操作，并報告給RFS6000，這種方式稱為RF掃描。某些AP能夠發(fā)現(xiàn)相鄰區(qū)域的AP，我們只要查看各AP的相鄰AP。發(fā)現(xiàn)AP后，可以根據(jù)合法AP認證列表(ACL)判斷該AP是否合法，如果列表中沒有列出該新檢測到的AP的相關(guān)參數(shù)，那么就是Rogue AP識別每個AP的MAC地址、SSID、Vendor

29、(提供商)、無線媒介類型以及信道。判斷新檢測到AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型或者信道異常，就可以認為是非法AP。當RFS6000發(fā)現(xiàn)非法AP時，可以根據(jù)策略發(fā)送指令通過Sensor進行實時地阻斷。Rogue Client的檢測和阻斷Rogue Client是一種試圖非法進入WLAN或破壞正常無線通信的帶有惡意的無線客戶，其異常行為的特征主要有: 發(fā)送長持續(xù)時間(Duration)幀; 持續(xù)時間攻擊; 探測“any SSID”設(shè)備; 非認證客戶。如果客戶發(fā)送長持續(xù)時間/ID的幀，其他的客戶必須要等到指定的持續(xù)時間(Duration)后才能使用無線媒介，如果客戶持

30、續(xù)不斷地發(fā)送這樣的長持續(xù)時間幀，這樣就會使其他用戶不能使用無線媒介而一直處于等待狀態(tài)。為了避免網(wǎng)絡(luò)沖突，無線節(jié)點在一幀的指定時間內(nèi)可以發(fā)送數(shù)據(jù)，根據(jù)802.11幀格式，在幀頭的持續(xù)時間/ID域所指定的時間間隔內(nèi)，為節(jié)點保留信道。網(wǎng)絡(luò)分配矢量(NAV)存儲該時間間隔值，并跟蹤每個節(jié)點。只有當該持續(xù)時間值變?yōu)镺后，其他節(jié)點才可能擁有信道。這迫使其他節(jié)點在該持續(xù)時間內(nèi)不能擁有信道。如果攻擊者成功持續(xù)發(fā)送了長持續(xù)時間的數(shù)據(jù)包，其他節(jié)點就必須等待很長時間，不能接受服務(wù)，從而造成對其他節(jié)點的拒絕服務(wù)。當RFS6000發(fā)現(xiàn)非法客戶端時，可以根據(jù)策略發(fā)送指令通過Sensor進行實時地阻斷。4.10 容量規(guī)劃1

31、、并發(fā)用戶數(shù)網(wǎng)絡(luò)在進行多終端接入設(shè)計時，建議按照每個AP的并發(fā)128個用戶進行設(shè)計和計算AP數(shù)量，每個用戶2M帶寬，建議并發(fā)用戶數(shù)為超過128個。最大并發(fā)用戶128個。2、吞吐量WLAN的數(shù)據(jù)業(yè)務(wù)吞吐量是容量設(shè)計的重要因素。在設(shè)計中應(yīng)充分考慮各類數(shù)據(jù)業(yè)務(wù)特點和帶寬的需求。單臺吞吐量在2.4G和5.8G時各超過450M bps，可以滿足多用戶高帶寬的應(yīng)用、如接入多路高清攝像頭。4.11 設(shè)備配置4.11.1.1 6.1無線控制器（AC）作用：集中管理無線局域網(wǎng)內(nèi)的AP設(shè)備，對AP實現(xiàn)配置下發(fā)，無線用戶認證接入，實現(xiàn)用戶在不同AP區(qū)域范圍的漫游，數(shù)據(jù)報文轉(zhuǎn)發(fā)等功能。 主要性能指標：l 業(yè)務(wù)端口描述

32、：24個10/100/1000M電口， 2個10GE XFP光口。l 交換容量：128Gbit/sl 轉(zhuǎn)發(fā)能力：128Gbit/sl MAC地址表：支持16KMAC地址l ARP地址表：支持8KARP地址l 無線用戶接入能力：整機接入用戶數(shù)為10K，單AP接入用戶數(shù)最多為256個（取決于具體AP型號）l 可管理AP的數(shù)量：支持最多管理1024個AP。4.11.1.2 6.2 POE交換機作用: 連接無線AP ,對無線AP遠程供電，實現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)。主要性能指標：l 業(yè)務(wù)端口描述：8個10/100/1000Base-T以太網(wǎng)端口，2個1000Base-X SFP端口。l 交換容量：256Gbpsl

33、包轉(zhuǎn)發(fā)率：19.5Mpps4.11.1.3 6.3 AP6010DN-AGN(室內(nèi)放裝型)作用：實現(xiàn)無線信號的覆蓋，為無線網(wǎng)絡(luò)設(shè)備提供接入，在寫字樓室內(nèi)使用。主要性能指標：l 業(yè)務(wù)端口：1000M以太網(wǎng)口(可擴展光傳輸)l 供電：POE支持802.af/802.3at兼容供電l 天線：內(nèi)置4*4硬件智能天線系統(tǒng)（基礎(chǔ)增益4dBi）l 工作頻段：802.11b/g/n:2.4GHz-2.483GHzl 發(fā)射功率：發(fā)射功率20dBm4.11.1.4 6.4 AP7110DN-AGN(室內(nèi)放裝型)作用：實現(xiàn)無線信號的覆蓋，為無線網(wǎng)絡(luò)設(shè)備提供接入，該AP為大功率AP，有效覆蓋公共區(qū)域。主要性能指標：l

34、 頻率范圍（MHz）：24002500 /51505850l 帶寬（MHz）： 100M/700Ml 可同時在線的用戶數(shù)量：最大為256l 天線類型：可拆卸式RP-SMA無線天線，33MIMO(三條空間流)4.11.1.5 6.5 AP8130DN(室外型外置天線)防塵防水，耐高低溫。適用于廣場、步行街、游樂場等覆蓋場景，或者無線港口、無線數(shù)據(jù)回傳、無線視頻監(jiān)控等橋接場景。主要性能指標：l 頻率范圍（MHz）：24002500 /51505850l 最高速率達1.75 Gbit/sl 可同時在線的用戶數(shù)量：最大為256l 天線類型：外置無線天線，33MIMO(三條空間流)第5章 測試驗收5.1

35、 無線覆蓋信號強度測試測試項目無線覆蓋信號強度測試測試方法1、 在插有無線網(wǎng)卡的筆記本電腦上運行專用測試軟件，在設(shè)計目標覆蓋區(qū)域內(nèi)進行覆蓋電平測試；2、 每20平方米測試地點不應(yīng)少于1個，測試點的選取應(yīng)均勻分布，并且能夠反映該區(qū)域的覆蓋情況。指標要求在設(shè)計目標覆蓋區(qū)域內(nèi)95%以上位置，接收信號強度大于等于-80dBm；檢查結(jié)果 通過 未通過遺留問題5.2 信噪比測試測試項目信噪比測試測試方法1、 在插有無線網(wǎng)卡的筆記本電腦上運行專用測試軟件，在設(shè)計目標覆蓋區(qū)域內(nèi)進行SNR測試；2、 每20平方米測試地點不應(yīng)少于1個，測試點的選取應(yīng)均勻分布，并且能夠反映該區(qū)域的覆蓋情況。指標要求在設(shè)計目標覆蓋區(qū)域內(nèi)95%以上位置，用戶終端無線網(wǎng)卡接收到的信噪比（SNR）大于20dB。檢查結(jié)果 通過 未通過遺留問題5.3 AP配置檢測測試項目AP配置檢測測試方法在插有無線網(wǎng)卡的筆記本電腦上運行專用測試軟件，在設(shè)計目標覆蓋區(qū)域內(nèi)