華為無線解決方案

1、項目技術(shù)類文檔XX集團(tuán)華為無線覆蓋方案設(shè)計Versio n 1.02013年3月文檔編號201111171密級CRM1 概述32 xx集團(tuán)WLAN網(wǎng)絡(luò)設(shè)計方案 32.1 網(wǎng)絡(luò)設(shè)計原則322無線信號質(zhì)量分析32.3 無線網(wǎng)絡(luò)總體架構(gòu) 42.4 無線設(shè)計52.5 SSID 規(guī)劃102.6 無線安全性設(shè)計102.6.1 WLAN 終端認(rèn)證 102.6.2 用戶身份驗(yàn)證112.6.3 組網(wǎng)保護(hù)112.6.4 接入安全方案112.7 移動漫游設(shè)計123 華為 WLAN解決方案的優(yōu)勢 134 華為 WLAN 設(shè)備關(guān)鍵特性 144.1 華為AP介紹144.2 華為AC介紹1415 - 151概述無線局域網(wǎng)（

2、WLAN ）技術(shù)于20世紀(jì)90年代逐步成熟并投入商用，既可以作傳統(tǒng)有線網(wǎng)絡(luò)的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線網(wǎng)絡(luò)。無線局域網(wǎng)具有以下顯著特點(diǎn)：簡易性：WLAN網(wǎng)橋傳輸系統(tǒng)的安裝快速簡單，可極大的減少敷設(shè)管道及布線等 繁瑣工作；靈活性：無線技術(shù)使得 WLAN設(shè)備可以靈活的進(jìn)行安裝并調(diào)整位置，使無線網(wǎng)絡(luò) 達(dá)到有線網(wǎng)絡(luò)不易覆蓋的區(qū)域；綜合成本較低：一方面 WLAN網(wǎng)絡(luò)減少了布線的費(fèi)用，另一方面在需要頻繁移動 和變化的動態(tài)環(huán)境中，無線局域網(wǎng)技術(shù)可以更好地保護(hù)已有投資。同時，由于WLAN技術(shù)本身就是面向數(shù)據(jù)通信領(lǐng)域的IP傳輸技術(shù)，因此可直接通過百兆自適應(yīng)網(wǎng)口和企業(yè)、內(nèi)部Intranet相連，從體系結(jié)

3、構(gòu)上節(jié)省了協(xié)議轉(zhuǎn)換器等相關(guān)設(shè)備； 擴(kuò)展能力強(qiáng)：WLAN網(wǎng)橋系統(tǒng)支持多種拓?fù)浣Y(jié)構(gòu)及平滑擴(kuò)容，可以十分容易地從 小容量傳輸系統(tǒng)平滑擴(kuò)展為中等容量傳輸系統(tǒng)；2 xx集團(tuán)WLAN網(wǎng)絡(luò)設(shè)計方案2.1網(wǎng)絡(luò)設(shè)計原則此次無線局域網(wǎng)建設(shè)有以下需求：1. 利用無線網(wǎng)技術(shù)實(shí)現(xiàn)無線覆蓋，使員工能夠隨時隨地、方便高效地訪問 In ternet 。2. 實(shí)現(xiàn)無線上網(wǎng)用戶的認(rèn)證，銷戶，監(jiān)控等功能。3. 對于無線AP設(shè)備實(shí)施統(tǒng)一管理和監(jiān)控。4. 無線網(wǎng)絡(luò)的部署需要考慮簡單方便，天線需要采取比較友好的設(shè)計，不 能讓用戶感受到壓力。5. 關(guān)注安全性，無線用戶之間彼此隔離，防止 ARP攻擊，并限制上網(wǎng)流量6. 無線AP全部采用PO

4、E交換機(jī)供電。2.2無線信號質(zhì)量分析下圖為WLAI信道分配情況，在2.4GHz-2.4835GHz范圍內(nèi)共13個相鄰子信道，一般不相干擾的復(fù)用信道組合為(1, 6, 11 )或(1, 7, 13)2.4172.4272.4372.4472.4572.46715104914381321216112.4122.4222.4322.4422.4522.4622.4722.484下表中體現(xiàn)的是三種頻率間隔情況下，隨著兩 AP間距的變化，終端連接信 號質(zhì)量及吞吐量的變化。顏色代表適配卡配置軟件中，檢視連接信號質(zhì)量窗口顯 示的顏色。表格中數(shù)值表示吞吐量，單位為 kbytes/s。ChannelChiCh6

5、CMCh6Ch5Ch6Separation25MHz10MHz5MHzDistanceAP1STA1AP2STA2AP1STA1AP2 STA2AP1STA1AP2STA21M509510254223P 467 1182M523524238188461533M 1556553447151P 43888 14MOKOK4422484181895MOKOK4353094252246MOKOK5064404272568MOKOK51149246729010MOKOK53252048932712M1OKOK554523P 498 1487 n14MOKOK53452453449316MOKOK5215

6、10|528506|在多用戶情況下，實(shí)際情況會更差些。上述數(shù)據(jù)僅供參考，實(shí)際網(wǎng)絡(luò)需根據(jù)測試結(jié)果確定。2.3無線網(wǎng)絡(luò)總體架構(gòu)1. 采用AC6605-26-PW作為本次無線覆蓋項目的無線控制器2. 采用AP3010DN-AG作為本次無線覆蓋的室內(nèi)無線接入點(diǎn)3. 采用S2700-9TP-PWR-E作為POES入交換機(jī)4. 采用S5700-28C-SI作為無線網(wǎng)絡(luò)的核心交換機(jī)5. 采用USG221作為網(wǎng)絡(luò)防火墻接入in ternet.整體拓?fù)鋱D如下我們設(shè)計采用PoE供電方式，由S2700為華為的無線AP進(jìn)行供電，以超五 類網(wǎng)線互聯(lián)，最后通過樓層接入交換機(jī)連接入核心交換機(jī)，無線控制器與核心交換機(jī)互聯(lián)，無

7、線控制器通過管理 VLANt理無線AP,最后通過防火墻連接 In ternet。這樣整個無線網(wǎng)可以實(shí)施靈活的無線劃分。2.4無線設(shè)計根據(jù)無線網(wǎng)絡(luò)需求及實(shí)地的測試堪察，并結(jié)合以往的工程經(jīng)驗(yàn)，對無線網(wǎng)絡(luò)做出以下規(guī)劃3層布點(diǎn)：fL33B-LI6層布點(diǎn)：MWSTiCA二曲話伙十一険心耳転不hF7層布點(diǎn):ET'LPssss3ITLMIWR設(shè)備清單:序號型號產(chǎn)品名稱數(shù)量單價合計設(shè)備單 價、防火墻1USG2210USG2210交流主機(jī)-含HS通用安全平臺軟件1、核心交換機(jī)1S5700S-28P-LI-ACS5700S-28P-LI-AC 主機(jī)（24 千兆RJ45,4千兆SFP,交流供電）12LS5M

8、100PWA00交流電源模塊組件23eSFP-GE-SX-MM850光模塊-eSFP-GE-多模模塊（850nm,0.5k m,LC24ST-LC千兆多模光纖跳線，3米25LC-LC千兆多模光纖跳線，3米1三、接入核心交換機(jī)1S2700-9TP-PWR-EIS2700-9TP-PWR-EI 主機(jī)（8 百兆RJ45,1 千兆 Combo,PoE,交流供 電）32eSFP-GE-SX-MM850光模塊-eSFP-GE-多模模塊（850nm,0.5k m,LC23ST-LC千兆多模光纖跳線，3米24LC-LC千兆多模光纖跳線，3米1四、無線AC1AC6605-26-PWRAC6605-26-PWR-

9、64AP 組合配置 （含 AC6605-26-PWR主機(jī)）12ES0W2PSA0150150W交流電源模塊13L-AC6605-16APAC6605無線接入控制器AP資源授權(quán)（16 AP）1五、無線AP1AP3010DN-AGNAP3010DN-AGN組合配置（11 n,室內(nèi)普通型,2x2單頻，內(nèi)置天線,50mW,）13六、SI服務(wù)1調(diào)試費(fèi)SI人工1七弱電布線1康普六類非屏蔽網(wǎng) 線22康普六類24 口配線架23康普六類模塊134康普六類 2米軟跳線275康普雙孔面板136PVC阻燃線管、明線盒等17施工費(fèi)（鋪管、布線、端接、測試）138無線AP設(shè)備加固及13安裝總價2.5 SSID 規(guī)劃從用戶

10、使用安全角度考慮。使用上網(wǎng)業(yè)務(wù)人群主要分為三類（公司員工（8M ）,外來人員（5M），開會人員（2M），因此建議建立 3個SSID，方便管理及增加安全性。1、限速（512k）2、2.6無線安全性設(shè)計2.6.1 WLAN終端認(rèn)證IEEE 802.11標(biāo)準(zhǔn)要求WLAF終端在準(zhǔn)備連接到網(wǎng)絡(luò)時，必需進(jìn)行“身份驗(yàn) 證”WLAN終端身份認(rèn)證主要有兩種方式：開放系統(tǒng)認(rèn)證（Ope n-systemAuthentication ）和共享密鑰認(rèn)證（Shared-Key Authentication）。開放系統(tǒng)認(rèn)證是IEEE 802.11標(biāo)準(zhǔn)要求必備的一種方法，是最簡單的認(rèn)證算 法，即不認(rèn)證。如果認(rèn)證類型設(shè)置為開放

11、系統(tǒng)認(rèn)證，則所有請求認(rèn)證的客戶端都會通過認(rèn)證。在這種方式下，接入點(diǎn)并未驗(yàn)證工作站的真實(shí)身份，工作站以MAC地址作為身份證明，這種驗(yàn)證方式可以讓所有符合802.11標(biāo)準(zhǔn)的終端都可以接入到WLAN網(wǎng)絡(luò)中來。開放系統(tǒng)身份驗(yàn)證比較適合有眾多用戶的電信運(yùn)營WLAF網(wǎng)絡(luò)。共享密鑰式認(rèn)證必需使用加密方式，要求每個WLAF終端都鏡頭配置和AP完 全一致的密鑰（key）。由于配置工作量較大，一般適用于企業(yè)網(wǎng)、校園網(wǎng)及家庭 網(wǎng)絡(luò)等。二者對比如下:認(rèn)證方式優(yōu)點(diǎn)劣勢適用場景開放式系 統(tǒng)認(rèn)證部署簡單，終端接入速度 快，有效帶寬高安全性差：無法檢驗(yàn)客戶端是否 合法，任何知道無線局域網(wǎng) SSID 的用戶都可以訪問網(wǎng)絡(luò)電信運(yùn)

12、營網(wǎng) 絡(luò)共享密鑰 式認(rèn)證安全性較咼：米用了加密方 式對密鑰進(jìn)行保護(hù)， 空口密配置復(fù)雜，可擴(kuò)展性不佳：每臺 終端和AP上都需要靜態(tài)配置一企業(yè)網(wǎng)、校園 網(wǎng)及家庭網(wǎng)鑰數(shù)據(jù)不再明文傳輸絡(luò)等個很長的密鑰字符串有效帶寬較低：加密降低了傳輸 效率262用戶身份驗(yàn)證相對于簡單的STA身份驗(yàn)證過濾機(jī)制，鏈路層用戶身份驗(yàn)證的安全性大大提 高。通過提供有限的訪問權(quán)限來驗(yàn)證用戶身份，只有確定用戶身份后才給予完整的網(wǎng)絡(luò)訪問權(quán)限，可有效判別用戶的合法性。鏈路層身份驗(yàn)證時透明的，能配合任何網(wǎng)絡(luò)層協(xié)議使用。WLAN勺鏈路層身份驗(yàn)證主要有 Portal(DHCP+WEB) 802.1X、PPPoE WAPI 等幾種認(rèn)證方式。2

13、.6.3組網(wǎng)保護(hù)華為 AC產(chǎn)品接口豐富，支持 LACP( Link Aggregation Control Protocol ， 以下簡稱 LACP 和 MSTP( Multiple Spanning Tree Protocol ，以下簡稱 MSTP 等組網(wǎng)保護(hù)機(jī)制，可提供端口級冗余保護(hù)，及設(shè)備級 1+1快速備份。2.6.4接入安全方案華為AC均支持開放系統(tǒng)認(rèn)證、 WEP加密、共享密鑰認(rèn)證、 WPA/WPA認(rèn)證合 加密、WAPI認(rèn)證加密等無線接入安全特性。特性指標(biāo)WLAN安全模板管理支持通過WLAN安全模板管理認(rèn)證和加密方式。支持安全模板綁定到 ESS模板。最多支持256個AP配置模板。OPE

14、N-SYS方式認(rèn) 證支持“OPENSYS認(rèn)證+無加密”方式。WEP認(rèn)證加密支持WEP的認(rèn)證/加密方式。每個AP最多支持4個 WEP加密方式的 VAP。WEP認(rèn)證加密在 AP實(shí)施，認(rèn)證結(jié)果通知 AC。WPA/WPA2認(rèn)證加 密支持AC集中認(rèn)證方式。支持“ WPA/WPA2PSK+TKIP'的認(rèn)證/加密方式。 支持“ WPA/WPA2PSK+CCM” 的認(rèn)證/加密方式。支持“ WPA/WPA2802.1X+TKIP "的認(rèn)證/加密方式。支持“ WPA/WPA2-802.1 x+CCMP 的認(rèn)證/加密方式。特性指標(biāo)WAPI認(rèn)證加密支持AC集中式 WAPI認(rèn)證。支持WAPI多信任證書

15、方式（3證書），兼容傳統(tǒng)雙證書方式。 支持證書和私鑰合一的發(fā)放方式。支持WAPI加密的啟用/禁用。2.7移動漫游設(shè)計無線用戶移動漫游，涉及到多個層次的漫游，最為簡單的是二層漫游，其他 廠家產(chǎn)品都表現(xiàn)不錯，三層漫游就困難多了，還有當(dāng)用戶跨越多個域時怎樣無縫 漫游，華為無線局域網(wǎng)可以實(shí)現(xiàn)快速無縫漫游功能。L2/L3層漫游在傳統(tǒng)的無線局域網(wǎng)內(nèi)，無線終端要跨越不同AP之間漫游是有一定的困難， 因?yàn)椴煌珹P之間，它的無線用戶IP子網(wǎng)可能都不是在同一個 VLAN內(nèi)。所以當(dāng) 無線終端從一個AP漫游到另一 AP時，由于它們之間的缺省IP子網(wǎng)不同，無線 終端會重新發(fā)出DHCP青求，這樣的話終端的IP地址就會更新

16、，所有在原先 AP 建立的連接都會被切斷。過去為了解決跨越三層的漫游，有些用戶采用了 Mobile IP的技術(shù)，但Mobile IP 的缺點(diǎn)是它必須在無線終端安裝軟件。這是一般網(wǎng)絡(luò) 管理人員不愿意做的事情，因?yàn)樗鼈兙捅仨氈С趾途S護(hù)用戶的無線接入端。通過華為無線系統(tǒng)，可解決了跨越不同三層IP子網(wǎng)的無線漫游問題。 在不 同域之間的用戶認(rèn)證和漫游在大型網(wǎng)絡(luò)內(nèi)，一般都有很多不同的部門，部門內(nèi)通常都有自己的用戶數(shù)據(jù) 庫，即所謂的本地認(rèn)證服務(wù)器。在實(shí)現(xiàn)應(yīng)用時，要求有單一的認(rèn)證數(shù)據(jù)庫是未必 可行的，但同時無線用戶應(yīng)是可在內(nèi)無縫漫游。當(dāng)用戶不是在本地入網(wǎng)或是從一個部門的接入點(diǎn)漫游到另一部門的接入點(diǎn)需要重新認(rèn)證

17、時，如果用戶名和密碼在當(dāng)?shù)氐臄?shù)據(jù)庫是不存在的話，則用戶會被斷線。要做到真正的無縫漫游，則需要有支持Radius代理這樣的功能。但由于不是所有的認(rèn)證服務(wù)器都支持這種功 能所以在具體實(shí)施時也有一定的困難。華為本身就可提供不同域之間的認(rèn)證功 能，域名可以與SSID綁定，亦可以讓用戶在登陸網(wǎng)頁時輸入或選擇域名。華為 會把在不同域之間的認(rèn)證請求轉(zhuǎn)發(fā)到對應(yīng)這域的radius服務(wù)器處理。3華為WLAN解決方案的優(yōu)勢華為是全球領(lǐng)先的電信解決方案供應(yīng)商，是全I(xiàn)P融合時代的領(lǐng)導(dǎo)者。華為的產(chǎn)品和解決方案已經(jīng)應(yīng)用于全球 100多個國家，服務(wù)全球運(yùn)營商50強(qiáng)中的45 家及全球1/3的人口，與聯(lián)通集團(tuán)和北京聯(lián)通擁有長期穩(wěn)

18、定而緊密的合作。華為 對北京聯(lián)通現(xiàn)網(wǎng)組網(wǎng)方案、設(shè)備形態(tài)乃至業(yè)務(wù)模型有著深刻的認(rèn)識，華為有能力 更有意愿幫助北京聯(lián)通從全網(wǎng)端到端的角度提供最優(yōu)的WLANS決方案，分享自己對全球?qū)φ麄€寬帶網(wǎng)絡(luò)技術(shù)發(fā)展變化以及未來移動寬帶數(shù)據(jù)業(yè)務(wù)發(fā)展趨勢的 理解。華為早在2000年就投入 WLAN技術(shù)和產(chǎn)品領(lǐng)域的研發(fā)，是國內(nèi)首批成為 Wi Fi成員以及WAPI聯(lián)盟成員的廠商。華為也是國內(nèi) WLAN相關(guān)標(biāo)準(zhǔn)制定的積極 參與者，與運(yùn)營商合作先后共同推出了基于 SIM認(rèn)證和Web認(rèn)證的標(biāo)準(zhǔn)以及相關(guān) WLAN企業(yè)標(biāo)準(zhǔn)。 華為WLAN技術(shù)預(yù)研團(tuán)隊，在802.11s Mesh、智能控制和算 法等前沿領(lǐng)域深入研究，先后注冊和獲得

19、專利近百項。長期以來，華為持續(xù)關(guān)注 WLAF網(wǎng)絡(luò)從企業(yè)網(wǎng)向電信運(yùn)營網(wǎng)絡(luò)的演進(jìn)，聚焦 WLANS網(wǎng)模式變化中形成新問題、新需求，敏銳把握并及時推出契合WLANfe信運(yùn)營需要的解決方案，率先推出基于 FTTX+WLAN+3GMC融合的電信運(yùn)營級 WLAN 解決方案，首創(chuàng)基于BRASffi OLT的業(yè)務(wù)融合型AC首推業(yè)內(nèi)容量第一的大容量、 可擴(kuò)展的插卡式AC，目前華為802.11n全系列智能AP產(chǎn)品已規(guī)模上市：盒式AC 容量達(dá)到業(yè)界一流標(biāo)準(zhǔn)，支持CAPWAP硬件轉(zhuǎn)發(fā)，性能強(qiáng)勁， 可靈活應(yīng)用于直連式或旁掛式組網(wǎng)，自信面對11n時代海量數(shù)據(jù)的洶涌沖 擊；支持設(shè)備級和端口級冗余備份，完全滿足電信運(yùn)營網(wǎng)絡(luò)的

20、高可靠性要 求插卡式AC最大容量可達(dá)14K，業(yè)內(nèi)第一，可直連BRAS，減少用于業(yè)務(wù) 控制的網(wǎng)元數(shù)量，簡化網(wǎng)絡(luò)結(jié)構(gòu)，部署快捷、擴(kuò)容方便；優(yōu)化業(yè)務(wù)控制， 降低AC與AP中間網(wǎng)絡(luò)設(shè)備的功能性能要求基于ME60的業(yè)務(wù)融合型AC，減少網(wǎng)元數(shù)量，簡化網(wǎng)絡(luò)結(jié)構(gòu)，業(yè)務(wù)控制 層面的融合，最大可支持4K AP的管理，可應(yīng)用于大規(guī)模 WLAN組網(wǎng)， 集成ME60自身的高可靠、高性能、強(qiáng)大的業(yè)務(wù)控制能力以及豐富的網(wǎng)絡(luò) 接口，全網(wǎng)可靠性高FTTW承載WLAN業(yè)務(wù)數(shù)據(jù)，利用光纖接入網(wǎng)絡(luò)支持 WLAN網(wǎng)絡(luò)的廣域 部署；通過無源光配線網(wǎng)絡(luò)，減少有源設(shè)備的使用，簡化網(wǎng)絡(luò)層次，提高 整網(wǎng)可靠性；通過PON網(wǎng)絡(luò)P2MP的網(wǎng)絡(luò)結(jié)構(gòu)和高帶寬、大分光比的特 質(zhì)，可靈活擴(kuò)展，支持802.11b/g網(wǎng)絡(luò)向802.11n網(wǎng)絡(luò)的平滑演進(jìn)智能天線技術(shù)，密切監(jiān)控覆蓋區(qū)域內(nèi) WLAN終端，隨動轉(zhuǎn)向、定向增益， 強(qiáng)力抑制干擾信號，大大降低同頻干擾機(jī)率，在同頻干擾環(huán)境中，吞吐率 相對普通全向天線AP高出70%AP智能化，開通配置零接觸，即插即用；胖瘦一體自適應(yīng)；獨(dú)有負(fù)載均衡 算法，完美削峰填谷；智能選擇信道，自動調(diào)整 AP功率、速率，綠色