華為無線解決方案

1、.文檔編號201111171密級CRM項目技術類文檔xx 集團華為無線覆蓋方案設計Version 1.02013 年3月可編輯.目錄1概述 .32xx 集團 WLAN 網絡設計方案 .32.1網絡設計原則 .32.2無線信號質量分析 .42.3無線網絡總體架構 .52.4無線設計 .62.5SSID 規(guī)劃 .112.6無線安全性設計 .122.6.1WLAN 終端認證 .122.6.2用戶身份驗證 .132.6.3組網保護 .132.6.4接入安全方案 .132.7移動漫游設計 .143華為 WLAN解決方案的優(yōu)勢 .154華為 WLAN設備關鍵特性 .174.1華為 AP 介紹 .174.2

2、華為 AC 介紹 .18可編輯.1 概述無線局域網（ WLAN ）技術于20 世紀 90 年代逐步成熟并投入商用，既可以作傳統(tǒng)有線網絡的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線網絡。無線局域網具有以下顯著特點：? 簡易性： WLAN 網橋傳輸系統(tǒng)的安裝快速簡單，可極大的減少敷設管道及布線等繁瑣工作；? 靈活性：無線技術使得 WLAN 設備可以靈活的進行安裝并調整位置，使無線網絡達到有線網絡不易覆蓋的區(qū)域；? 綜合成本較低：一方面 WLAN 網絡減少了布線的費用，另一方面在需要頻繁移動和變化的動態(tài)環(huán)境中，無線局域網技術可以更好地保護已有投資。同時，由于WLAN技術本身就是面向數據通信領域的IP 傳輸

3、技術， 因此可直接通過百兆自適應網口和企業(yè)、內部Intranet相連，從體系結構上節(jié)省了協(xié)議轉換器等相關設備；? 擴展能力強： WLAN 網橋系統(tǒng)支持多種拓撲結構及平滑擴容，可以十分容易地從小容量傳輸系統(tǒng)平滑擴展為中等容量傳輸系統(tǒng)；2xx 集團WLAN網絡設計方案2.1 網絡設計原則此次無線局域網建設有以下需求：1. 利用無線網技術實現無線覆蓋，使員工能夠隨時隨地、方便高效地訪問Internet 。2. 實現無線上網用戶的認證，銷戶，監(jiān)控等功能?？删庉?3. 對于無線 AP 設備實施統(tǒng)一管理和監(jiān)控。4. 無線網絡的部署需要考慮簡單方便，天線需要采取比較友好的設計，不能讓用戶感受到壓力。5. 關

4、注安全性，無線用戶之間彼此隔離， 防止 ARP 攻擊，并限制上網流量。6. 無線 AP 全部采用 POE 交換機供電。2.2 無線信號質量分析下圖為 WLAN 信道分配情況， 在 2.4GHz-2.4835GHz范圍內共 13 個相鄰子信道，一般不相干擾的復用信道組合為（1，6，11 ）或（ 1，7，13 ）2.4172.4272.4372.4472.4572.46751049143813271216112.4122.4222.4322.4422.4522.4622.4722.484下表中體現的是三種頻率間隔情況下，隨著兩AP 間距的變化，終端連接信號質量及吞吐量的變化。 顏色代表適配卡配置軟

5、件中，檢視連接信號質量窗口顯示的顏色。表格中數值表示吞吐量，單位為kbytes/s ?？删庉?在多用戶情況下， 實際情況會更差些。上述數據僅供參考，實際網絡需根據測試結果確定。2.3 無線網絡總體架構1. 采用 AC6605-26-PWR 作為本次無線覆蓋項目的無線控制器2. 采用 AP3010DN-AGN 作為本次無線覆蓋的室內無線接入點 .3. 采用 S2700-9TP-PWR-EI作為 POE 接入交換機4. 采用 S5700-28C-SI 作為無線網絡的核心交換機5 采用 USG2210 作為網絡防火墻接入internet.整體拓撲圖如下可編輯.我們設計采用 PoE 供電方式，由 S2

6、700 為華為的無線 AP 進行供電，以超五類網線互聯， 最后通過樓層接入交換機連接入核心交換機，無線控制器與核心交換機互聯，無線控制器通過管理VLAN 管理無線 AP，最后通過防火墻連接Internet 。這樣整個無線網可以實施靈活的無線劃分。2.4 無線設計根據無線網絡需求及實地的測試堪察，并結合以往的工程經驗，對無線網絡做出以下規(guī)劃3 層布點：可編輯.6 層布點：可編輯.7 層布點：可編輯.設備清單：單價序號型號產品名稱數量設備單合計價一、防火墻USG2210交流主機 - 含 HS 通用1USG22101安全平臺軟件二、核心交換機可編輯.1S5700S-28P-LI-ACS5700S-2

7、8P-LI-AC主機 (24千兆RJ45,4 千兆 SFP,交流供電 )12LS5M100PWA00交流電源模塊組件23eSFP-GE-SX-MM850光模塊 -eSFP-GE- 多模模塊2(850nm,0.5km,LC4ST-LC千兆多模光纖跳線，3 米25LC-LC千兆多模光纖跳線，3 米1三、接入核心交換機S2700-9TP-PWR-EI主機(8 百1S2700-9TP-PWR-EI兆 RJ45,1 千兆 Combo,PoE,交流3供電 )2eSFP-GE-SX-MM850光模塊 -eSFP-GE- 多模模塊2(850nm,0.5km,LC3ST-LC千兆多模光纖跳線，3 米24LC-L

8、C千兆多模光纖跳線，3 米1四、無線 ACAC6605-26-PWR-64AP組合配1AC6605-26-PWR1置 (含 AC6605-26-PWR主機 )2ES0W2PSA0150150W交流電源模塊1AC6605無線接入控制器AP 資3L-AC6605-16AP1源授權 (16 AP)五、無線 APAP3010DN-AGN組合配置1AP3010DN-AGN(11n, 室內普通型 ,2x2 單頻 ,內置13天線 ,50mW,)可編輯.六、SI 服務1調試費SI 人工1七弱電布線1康普六類非屏蔽網線2康普六類 24口配線22架3康普六類模塊134康普六類 2 米軟跳線275康普雙孔面板13P

9、VC 阻燃線管、明線61盒等施工費（鋪管、 布線、713端接、測試）無線AP 設備加固及813安裝總價2.5 SSID 規(guī)劃從用戶使用安全角度考慮。使用上網業(yè)務人群主要分為三類（公司員工（8M ），外來人員 (5M) ，開會人員 (2M) ），因此建議建立3 個 SSID ，方便管理及增加安全性。1 、限速（ 512k ）可編輯.2 、2.6 無線安全性設計終端認證IEEE 802.11 標準要求 WLAN 終端在準備連接到網絡時，必需進行“身份驗證”。WLAN 終端身份認證主要有兩種方式：開放系統(tǒng)認證（Open-systemAuthentication）和共享密鑰認證（ Shared-Key

10、 Authentication）。開放系統(tǒng)認證是IEEE 802.11 標準要求必備的一種方法， 是最簡單的認證算法，即不認證。 如果認證類型設置為開放系統(tǒng)認證，則所有請求認證的客戶端都會通過認證。在這種方式下，接入點并未驗證工作站的真實身份，工作站以 MAC地址作為身份證明，這種驗證方式可以讓所有符合802.11 標準的終端都可以接入到 WLAN 網絡中來。開放系統(tǒng)身份驗證比較適合有眾多用戶的電信運營WLAN 網絡。共享密鑰式認證必需使用加密方式， 要求每個 WLAN 終端都鏡頭配置和AP完全一致的密鑰（ key ）。由于配置工作量較大，一般適用于企業(yè)網、校園網及家庭網絡等。二者對比如下：認

11、證方式優(yōu)點劣勢適用場景安全性差： 無法檢驗客戶端是否開放式系部署簡單，終端接入速度電 信 運 營 網合法，任何知道無線局域網統(tǒng)認證快，有效帶寬高絡SSID 的用戶都可以訪問網絡可編輯.配置復雜，可擴展性不佳：每臺安全性較高： 采用了加密方終端和 AP 上都需要靜態(tài)配置一企業(yè)網、校園共享密鑰式對密鑰進行保護，空口密個很長的密鑰字符串網 及 家 庭 網式認證鑰數據不再明文傳輸有效帶寬較低： 加密降低了傳輸絡等效率用戶身份驗證相對于簡單的 STA 身份驗證過濾機制，鏈路層用戶身份驗證的安全性大大提高。通過提供有限的訪問權限來驗證用戶身份，只有確定用戶身份后才給予完整的網絡訪問權限，可有效判別用戶的合

12、法性。鏈路層身份驗證時透明的，能配合任何網絡層協(xié)議使用。WLAN 的鏈路層身份驗證主要有Portal(DHCP+WEB)、802.1X 、PPPoE、WAPI 等幾種認證方式。組網保護華為 AC 產品接口豐富，支持 LACP（ Link Aggregation Control Protocol，以下簡稱 LACP）和 MSTP（Multiple Spanning Tree Protocol，以下簡稱 MSTP ）等組網保護機制，可提供端口級冗余保護，及設備級1+1 快速備份。接入安全方案華為 AC 均支持開放系統(tǒng)認證、 WEP 加密、共享密鑰認證、 WPA/WPA2認證合加密、 WAPI 認證

13、加密等無線接入安全特性?？删庉?特性指標WLAN安全模板管支持通過WLAN 安全模板管理認證和加密方式。理支持安全模板綁定到ESS 模板。最多支持256 個 AP 配置模板。OPEN-SYS 方式認證WEP 認證加密WPA/WPA2認證加密WAPI 認證加密支持“OPEN-SYS 認證 + 無加密”方式。支持 WEP 的認證 / 加密方式。每個 AP 最多支持 4 個 WEP 加密方式的VAP 。WEP 認證加密在AP 實施，認證結果通知AC。支持 AC 集中認證方式。支持“ WPA/WPA2- PSK+TKIP”的認證/ 加密方式。支持“ WPA/WPA2- PSK+CCMP”的認證/ 加密

14、方式。支持“ WPA/WPA2- 802.1x+TKIP ”的認證/ 加密方式。支持“ WPA/WPA2-802.1x+CCMP”的認證/ 加密方式。支持 AC 集中式 WAPI 認證。支持 WAPI 多信任證書方式（3 證書），兼容傳統(tǒng)雙證書方式。支持證書和私鑰合一的發(fā)放方式。支持 WAPI 加密的啟用 / 禁用。2.7 移動漫游設計無線用戶移動漫游， 涉及到多個層次的漫游，最為簡單的是二層漫游，其他廠家產品都表現不錯， 三層漫游就困難多了， 還有當用戶跨越多個域時怎樣無縫漫游，華為無線局域網可以實現快速無縫漫游功能。L2/L3 層漫游在傳統(tǒng)的無線局域網內， 無線終端要跨越不同AP 之間漫游

15、是有一定的困難，因為不同 AP 之間，它的無線用戶IP 子網可能都不是在同一個VLAN 內。所以當無線終端從一個AP 漫游到另一 AP 時，由于它們之間的缺省IP 子網不同，無線終端會重新發(fā)出DHCP 請求，這樣的話終端的IP 地址就會更新，所有在原先可編輯.AP 建立的連接都會被切斷。過去為了解決跨越三層的漫游，有些用戶采用了Mobile IP的技術，但 Mobile IP的缺點是它必須在無線終端安裝軟件。這是一般網絡管理人員不愿意做的事情，因為它們就必須支持和維護用戶的無線接入端。通過華為無線系統(tǒng)， 可解決了跨越不同三層IP 子網的無線漫游問題。在不同域之間的用戶認證和漫游在大型網絡內，

16、一般都有很多不同的部門， 部門內通常都有自己的用戶數據庫，即所謂的本地認證服務器。在實現應用時， 要求有單一的認證數據庫是未必可行的，但同時無線用戶應是可在內無縫漫游。當用戶不是在本地入網或是從一個部門的接入點漫游到另一部門的接入點需要重新認證時，如果用戶名和密碼在當地的數據庫是不存在的話，則用戶會被斷線。要做到真正的無縫漫游，則需要有支持 Radius代理這樣的功能。 但由于不是所有的認證服務器都支持這種功能所以在具體實施時也有一定的困難。華為本身就可提供不同域之間的認證功能，域名可以與SSID 綁定，亦可以讓用戶在登陸網頁時輸入或選擇域名。華為會把在不同域之間的認證請求轉發(fā)到對應這域的ra

17、dius 服務器處理。3 華為 WLAN 解決方案的優(yōu)勢華為是全球領先的電信解決方案供應商，是全IP 融合時代的領導者。華為的產品和解決方案已經應用于全球100 多個國家，服務全球運營商50 強中的45 家及全球 1/3 的人口，與聯通集團和北京聯通擁有長期穩(wěn)定而緊密的合作。華為對北京聯通現網組網方案、設備形態(tài)乃至業(yè)務模型有著深刻的認識，華為有能力更有意愿幫助北京聯通從全網端到端的角度提供最優(yōu)的WLAN 解決方案，可編輯.分享自己對全球對整個寬帶網絡技術發(fā)展變化以及未來移動寬帶數據業(yè)務發(fā)展趨勢的理解。華為早在 2000 年就投入 WLAN技術和產品領域的研發(fā)，是國內首批成為Wi Fi 成員以及

18、 WAPI 聯盟成員的廠商。華為也是國內WLAN相關標準制定的積極參與者，與運營商合作先后共同推出了基于SIM 認證和 Web 認證的標準以及相關 WLAN企業(yè)標準。華為 WLAN技術預研團隊， 在 802.11s Mesh、智能控制和算法等前沿領域深入研究，先后注冊和獲得專利近百項。長期以來，華為持續(xù)關注WLAN 網絡從企業(yè)網向電信運營網絡的演進，聚焦 WLAN 組網模式變化中形成新問題、 新需求，敏銳把握并及時推出契合WLAN電信運營需要的解決方案， 率先推出基于 FTTx+WLAN+3G FMC融合的電信運營級 WLAN 解決方案，首創(chuàng)基于BRAS 和 OLT 的業(yè)務融合型 AC ，首推

19、業(yè)內容量第一的大容量、可擴展的插卡式AC ，目前華為 802.11n 全系列智能 AP 產品已規(guī)模上市：盒式 AC容量達到業(yè)界一流標準，支持 CAPWAP硬件轉發(fā)，性能強勁，可靈活應用于直連式或旁掛式組網， 自信面對 11n 時代海量數據的洶涌沖擊；支持設備級和端口級冗余備份，完全滿足電信運營網絡的高可靠性要求插卡式 AC 最大容量可達 14K ，業(yè)內第一，可直連 BRAS ，減少用于業(yè)務控制的網元數量，簡化網絡結構，部署快捷、擴容方便；優(yōu)化業(yè)務控制，降低 AC 與 AP 中間網絡設備的功能性能要求基于 ME60 的業(yè)務融合型 AC ，減少網元數量，簡化網絡結構，業(yè)務控制可編輯.層面的融合，最

20、大可支持 4K AP 的管理，可應用于大規(guī)模 WLAN組網，集成 ME60自身的高可靠、高性能、強大的業(yè)務控制能力以及豐富的網絡接口，全網可靠性高FTTW 承載 WLAN 業(yè)務數據，利用光纖接入網絡支持 WLAN網絡的廣域部署；通過無源光配線網絡，減少有源設備的使用，簡化網絡層次，提高整網可靠性；通過 PON 網絡 P2MP 的網絡結構和高帶寬、大分光比的特質，可靈活擴展，支持 802.11b/g網絡向 802.11n網絡的平滑演進智能天線技術，密切監(jiān)控覆蓋區(qū)域內WLAN終端，隨動轉向、定向增益，強力抑制干擾信號，大大降低同頻干擾機率，在同頻干擾環(huán)境中，吞吐率相對普通全向天線 AP 高出 70%AP 智能化，開通配置零接觸，即插即用；胖瘦一體自適應；獨有負載均衡算法，完美削峰填谷；智能選擇信道，自動調整AP 功率、速率，綠色節(jié)能；可大大簡化部署和運維成本4