智能信息化城市建設無線網(wǎng)WiFi覆蓋項目建設可行性研究施工方案

1、 智能信息化城市建設無線網(wǎng) WiFi覆蓋項目建設可行性研究施工方案 TOC o 1-5 h z 第1章工程概況 3第2章組網(wǎng)示意及說明 3第3章工程施工計劃 4工期總目標 4施工階段劃分及工期目標 4第4章工程實施設計 5設計目標 5組網(wǎng)規(guī)劃 5IP編址方案 5傳輸和承載網(wǎng).絡 6無線覆蓋規(guī)劃 7頻率規(guī)劃 9集中管理架構 10AP設備安裝 12無線射頻管理 13無線WLAIN勺Qos機制 16無線網(wǎng).絡安全 19容量規(guī)劃 22設備配置 23無線控制器（AC 23POE 交換機 24AP6010DN-AGN（室內(nèi)放裝型） 24AP7110DN-AGN（室內(nèi)放裝型） 25AP8130DN（ 室外型

2、外置天線） 25第5章 測試驗收 26無線覆蓋信號強度測試 26信噪比測試 27AP配置檢測 28用戶認證測試 28WEBA證接入時延測試 29Ping 包測試 30AP間切換 315.8系統(tǒng)吞吐量與接入帶寬測試 325.9 AP可被網(wǎng)管測試 32工程概況組網(wǎng)示意及說明系統(tǒng)結構如下:圖3-3組網(wǎng)示意圖2.4G與5G頻段分別下發(fā)業(yè)務，兩個AP實現(xiàn)VLAN內(nèi)漫游。FIT AP通過以太網(wǎng)交換機接入“無線城市”承載網(wǎng)AC通過“無線城市”承載網(wǎng)絡，對多個FIT AP進行管理核心業(yè)務網(wǎng).絡通過RADIUS服務器對寬帶無線局域網(wǎng)終端進行鑒權 和授權，防止非法終端接入無線局域網(wǎng)與核心業(yè)務網(wǎng).絡之間、核心業(yè)務網(wǎng)

3、.絡與In ternet之間, 使用物理隔離和防火墻數(shù)據(jù)隔離的方式，實現(xiàn)二次網(wǎng).絡安全防護第3章工程施工計劃3.1 工期總目標本工程于設備到貨后天內(nèi)完成設備的安裝調(diào)試，并交付使用。3.2施工階段劃分及工期目標由于wifi項目工程規(guī)模大，為合理安排、有效控制，確保按期、保質完成任務。將總工期劃分為五個階段性工期目標來控制。第一階段：施工準備階段，本階段主要完成現(xiàn)場的勘測、工程聯(lián)絡設計，繪制施工圖，為后期施工創(chuàng)造 良好條件。第二階段：基礎施工階段本階段主要為無線接入系統(tǒng)的基站及終端的架設位置及抱桿、取電等提供條件，以及設備生產(chǎn)廠家的設備備貨和測試。第三階段：設備的安裝調(diào)試階段本階段主要完成單點設備

4、的安裝和調(diào)試。第四階段：系統(tǒng)聯(lián)合調(diào)試階段本階段主要完成無線接入系統(tǒng)和主站系統(tǒng)的聯(lián)合調(diào)試第五階段：竣工清理交驗階段本階段主要處理本工程存在的問題、竣工清理 工作、編制竣工資料，組織驗收并交付使用。序階段名稱I-7814號3基礎施工4設備的安裝調(diào)試5系統(tǒng)聯(lián)合調(diào)試6竣工清理交驗圖表1工程施工計劃第4章工程實施設計4.1 設計目標系統(tǒng)提供全IP架構的接入方式，解決城市的“最后一百米”接入需求，支 持以太網(wǎng)或光纖網(wǎng).絡作為傳輸承載網(wǎng)，可選擇就近的XPON網(wǎng).絡，實現(xiàn)無線與 有線接入方式的融合。4.2組網(wǎng)規(guī)劃IP編址方案IP編址方案包括如下幾部分：無線交換機 AC、AP、接入終端；需要根據(jù)客戶業(yè)務情況規(guī)劃

5、；設備IP備注無線控制器/23五縣一區(qū)室內(nèi)AP1域/17市區(qū)室內(nèi)外-54AP2域/18濮陽縣室內(nèi)外-54AP3域/18清豐縣室內(nèi)外-54AP4域/18南樂縣室內(nèi)外-54AP5域/18范縣室內(nèi)外-54AP6域/18臺前縣室內(nèi)外-54422傳輸和承載網(wǎng).絡傳輸承載網(wǎng)絡適用包括光纖以太網(wǎng)和 XPON傳輸方式，AP數(shù)據(jù)通過交換機匯聚以后接入互聯(lián)網(wǎng)，應用業(yè)務在公司中心機房落地。4.3無線覆蓋規(guī)劃根據(jù)項目對現(xiàn)場進行了實地勘測，根據(jù)勘測情況制作實際布點圖如下:說明：根據(jù)現(xiàn)場情況，室內(nèi) AP布點位置如圖中紅色點所示，安裝位置 在中央天花，采用吸頂?shù)陌惭b方式。室外 AP安裝在立桿或墻上，采用立桿安裝 或貼墻的安

6、裝方式（如下圖）。所有AP都通過網(wǎng)線供電。亠一墻面吸頂安裝/ON貼墻安裝如果在建筑物樓頂安裝室外 AP，安裝前先安裝好天線支架，如下圖:如上圖所示將天線支架固定好后，將室外 AP安裝在天線支架上，然后通過 網(wǎng)線將室外AP與交換機相連。對于室外走線部分應按照要求采用鋼管防護。根據(jù)現(xiàn)場勘測結果，提出合理布線及設備安裝方案，如果現(xiàn)場環(huán)境比較理想，按照勘測位置布置好所有AP，當系統(tǒng)開通應可實現(xiàn)該區(qū)域全覆蓋。示意圖如下:注：現(xiàn)場安裝及施工，應按照規(guī)范謹慎實施，注意安全。4.4頻率規(guī)劃Wifi頻率為公共頻率，IEEE 802.11b/g/n 定義被操作在 2.4 GHz (2.4-2.4835)GHz的頻

7、率。802.11a/n 被操作在有更多信道的 5.8GHz( 4.9 GHz 到 5.875) 頻譜中。AP650 支持 820.11a/b/g/n.1、在一個AP覆蓋區(qū)內(nèi)直序擴頻技術最多可以提供 3個不重疊的信道同時工作?？紤]到制式的兼容性，相鄰區(qū)域頻點配置時宜選用1，6,11信道。2、頻點配置時首先應對目標區(qū)域現(xiàn)場進行頻率檢測，對于覆蓋區(qū)域內(nèi)已有 AP采用的信道，應盡量避免采用。3、對于室外區(qū)域干擾宜采用調(diào)整天線方向角，避免天線主瓣對準干擾源的 方式或調(diào)整功率。4、 室外AP覆蓋區(qū)頻點配置時，為了實現(xiàn) AP的有效覆蓋，避免信道間的 相互干擾，在信道分配時宜引入移動通信系統(tǒng)的蜂窩覆蓋原理。對

8、1，6，11信 道進行復用，見下圖。APAP 仃：也6APAP 信泄11AP 信道1AP 信道11AP 信道115、室內(nèi)AP覆蓋區(qū)頻點配置時應充分利用建筑物內(nèi)部結構，從平層和相鄰 樓層的角度盡量避免每一個 AP所覆蓋的區(qū)域對橫向和縱向相鄰區(qū)域可能存在 的干擾。6、設計時指定規(guī)劃覆蓋區(qū)域的每個 AP的工作頻率，不宜考慮 AP自動頻 率調(diào)整功能，防止頻率的頻繁調(diào)整而導致用戶無法接入。室外AP: 5.8G頻率作為mesh回傳通道，2.4G頻段作為覆蓋頻段。4.5 集中管理架構通過無線交換機 AC管理整個網(wǎng).絡，網(wǎng)管人員只需在無線交換機上就可開 通、管理、維護所有AP設備以及移動終端，包括無線信號發(fā)射

9、、安全、接入認 證、移動切換。具體可以表現(xiàn)以下幾個方面:AP零配置AP無需任何配置，即插即用。所有對無線網(wǎng).絡的配置都在無線交換機上完成。AP支持PoE供電，在連接上網(wǎng)線后，AP可以通過DHCP方式自動獲取Wireless Switch 的地址列表，然后通過 WISPe(Wireless Switch Protocol en ha need)與 Wireless Switch 進行通信。流量轉發(fā)模式：集中轉發(fā)和本地轉發(fā)考慮到無線網(wǎng)絡維護的方便性，所有室內(nèi)室外 AP，都由位于匯聚層的的無 線交換機AC來進行統(tǒng)一的管理控制，也就是無論處于 NAT防火墻、寬帶路由 器、交換機后面的AP都可以通過AP

10、到AC的WISPe隧道直接接受無線交換機 AC的集中管理。本地轉發(fā)，在采用集中管理的同時，所有的流量不需要經(jīng)過 AC,而是從AP 直接轉發(fā)到相對的路徑上。如 AC發(fā)生故障時，AP還可以轉發(fā)流量。無須改造現(xiàn)有網(wǎng).絡AP可以無縫接入現(xiàn)有網(wǎng).絡。遠程AP使用DHCP方式獲取地址后就可以跨 越3層路由器，甚至跨越互聯(lián)網(wǎng).絡，與Wireless Switch 進行自動連接。由于使用DHCP方式，網(wǎng).絡的規(guī)劃、網(wǎng).絡的擴展可以集中而簡單地對 DHCP 作配置即可，而無需去修改分散各地的成百上千的遠程AP。更換和升級AP方便所有配置維護都可以在中心機房完成。接入端的維護更是無需專業(yè)管理人 員，即插即用。在A

11、P出現(xiàn)故障時，可以簡單地將新的 AP插上即可。無需任何 配置。在Wireless Switch作升級后，可以自動對所有 AP作升級，避免對每個AP手工升級的工作統(tǒng)一的網(wǎng).絡管理無線交換體系能夠對于硬件、軟件配置和網(wǎng)絡策略進行統(tǒng)一管理，所有配 置在無線交換機上完成即可。向所有接入點自動部署配置。4.6 AP設備安裝饋線的安裝用于連接AP和天線，為了盡量減少饋線的插入損耗，應將饋線與設備及天 線連接接口擦干凈再緊固接頭。網(wǎng)線的安裝無線AP與交換機、網(wǎng)線供電模塊連接的網(wǎng)線，因設備常安裝在較高處或通 信塔，為減少外界對數(shù)據(jù)的影響，網(wǎng)線應選用屏蔽網(wǎng)線，及屏蔽接插件。因網(wǎng)線在室外使用，應對網(wǎng)線作好保護措施

12、，露天網(wǎng)線必須穿管，并固定牢 固。在靠近設備的網(wǎng)線，應穿軟管，并制作防水彎。接頭防水處理室外設備的各個連接接頭，至少要作三層防水處理，第一層用防水膠帶將接 頭纏好，第二層使用防水膠泥進行處理， 第三層再用防水膠帶纏好。如設備安裝 比較惡劣的環(huán)境中，可增加膠帶的層次，這時需要重復第二、第三層防水處理的 步驟。無線網(wǎng).絡避雷接地處理安裝擴頻通信設備的站點，應有完善的防雷接地系統(tǒng)。防雷接地標準應符合 YD5004-94數(shù)字微波接力通信工程設計規(guī)范、YD2011微波站防雷與接地 設計規(guī)范和YD26通信局（站）接地設計暫行技術規(guī)定，接地電阻應W5 Q. 架裝天線的支架或鐵塔應與樓頂接地系統(tǒng)良好連接。根據(jù)

13、相關國標/國際標準，要求必須在室外無線設備旁架設避雷針（直擊雷防護處理），射頻端口必須設置相應避雷器；室內(nèi)設備射頻端口、LAN 口也必須設置相應避雷器（感應雷防護處理）；射頻線纜的金屬屏蔽層、避雷器必須做等 電位接地處理。當天饋線系統(tǒng)受到雷擊時（或有高壓磁場）所產(chǎn)生浪涌不要進入系統(tǒng)設備， 通過接地及時的放掉浪涌來保障系統(tǒng)設備以及工作的安全。避雷針：通過在天線旁邊架設避雷針來引開雷電的襲擊， 避雷針為良好導體 比天線高，當雷電來時會由避雷針將其引走， 避雷針需要良好的接到大地上，接 地電阻小于5歐姆。射頻避雷器：在無線設備外接天線系統(tǒng)中接入射頻避雷器，當天饋線受到雷 擊時，避雷器在雷電來時它會及

14、時與設備斷開， 通過連在避雷器外部的接地線把 電流放掉后，并自動恢復連接。饋線的接地線要求每 20米做一個接地，所以通 常接地線到饋線頭不超過20米時可以在接地線近處接地。避雷器安裝在饋線和設備之間，從避雷器引出接地線接至地極。 地極接地電 阻要求5歐姆以下，一定要連接牢固，確保受雷擊時可正常放電。連接室外部分和室內(nèi)部分 POE的RJ-45線這根RJ-45線為標準8芯直通 線，在室外安裝時應該用PVC管或其他符合室外安裝標準的材料加以保護。4.7無線射頻管理自動射頻管理由于無線射頻信號是一種無形的東西，它的強度和所在的信道一般都需要根 據(jù)經(jīng)驗手工調(diào)整，要做到無線信號均勻分布， 信道的利用率高，

15、無信道干擾并不 是件非常容易的事情，但是HuaWei系統(tǒng)的RF智能控管可以自動調(diào)節(jié)網(wǎng)上所有HuaWei AP的射頻信號特性?？梢员ＷC無線信號均勻分布，信道的利用率高, 無信道干擾，無線網(wǎng)絡做到最為優(yōu)化的運行。通過RF Planning 的SmartRF Calibration功能來自動調(diào)節(jié)整個無線網(wǎng).絡上所有AP的無線射頻信號頻率和功率。啟動了SmartRF Calibration 以后AP和AP之間會自動互傳有關無線射頻信號的信息和調(diào)整射頻信號的參數(shù)，直到 AP之間達到了一個最優(yōu)化的無線射頻信號運行環(huán)境。1.所有 APMiAH&c* 率N以最大功率發(fā)射和接收beacons缶以1 db沖歩進缺

16、卜發(fā)射功率4”重復布置戈和35.在所有 ChonnelB 1J基于信號和噪聲建立鄰居管理AP選擇檢測Af為網(wǎng)絡中的沒一個AP分配故障恢復胛為每個Channel記錄干擾AP信號強度基于記錄的信息為每個Channell每個射頻分配頻道和功率當無線網(wǎng).絡經(jīng)過SmartRF Calibration 調(diào)整后而正式運作時，網(wǎng).絡管理員可在HuaWei交換機內(nèi)啟動SMART RF功能，則無線網(wǎng).絡上所有的HuaWeiAP都會在設定的時間內(nèi)自行掃描其它的無線頻道。所謂射頻信號掃描，是指HuaWei AP從一個射頻信號頻道跳到另一頻道時，如Ch 1至U Ch 2至U Ch3，由于掃描的速度非?？?，所以對于在線的

17、無線用戶（指連接到AP上在同一頻率上的無線終端）的傳輸過程是不受到影響的。當AP停留在一個頻道時，它會把在這頻道上收到的無線射頻信號信息轉送回HuaWei無線交換機。這樣HuaWei無線交換機就對整個無線網(wǎng)絡上的射頻信號情況有了一定了解和記錄。當某一覆蓋范圍內(nèi)的射頻信號改變，如出現(xiàn)干擾AP所發(fā)出的射頻信號或其它應用所發(fā)出的射頻信號等，HuaWei無線交換機就會把所獲取的無線射頻信 號資料做分析，以確定是否需要調(diào)整范圍內(nèi) AP的無線射頻信號。無線空洞檢測集中控制型 WLAN熱點接入設備支持自動功率調(diào)整。當一個瘦AP失效時,周圍瘦AP能夠自動調(diào)整功率補償失效 AP的覆蓋，具體實現(xiàn)如下圖所示：I.檢

18、濤冊監(jiān)控所有無紅信道鄰居恢復4 艇從呷。EUl狀態(tài)轉換丸 Rescue-該特性將檢測列以下的故瘴： *APs天線故障-APS以太網(wǎng)連接故障-APS故障APaS因為故障憂引起的不可視例如在三個AP所覆蓋區(qū)域，如果其中一個 AP出現(xiàn)了故障，那么檢測 AP 將檢測到故障，并觸發(fā)鄰居增加發(fā)射功率，對故障 AP所覆蓋范圍進行覆蓋區(qū)域 進行補償恢復。而且可以檢測到多種故障情況，如天線故障、AP以太網(wǎng)故障、AP因為障礙物引起的不可視、AP損壞等?？梢耘浜峡刂圃O備完成全局的動態(tài)功率控制，通過增加功率支持無線空洞補 償、通過降低功率避免高密度部署環(huán)境下復用頻點小區(qū)間的干擾。用戶在AP覆蓋區(qū)域移動，但移動到邊緣情

19、況下，用戶信號強度以及接入速率低于設定要求，出現(xiàn)的無線覆蓋的空洞，這時 AP將增大發(fā)射功率對無線空洞進行補償，而在高密度覆蓋情況下，檢測器將能夠檢測到信號覆蓋狀況，并全局 調(diào)整AP的發(fā)射功率，減少區(qū)間干擾。系統(tǒng)的抗干擾措施當AP設備啟動時，會自動搜索已經(jīng)存在的無線信號，主動躲避由噪音的信 道，選擇無噪音的信道作為自身的工作信道。在AP設備已經(jīng)完成啟動后，還會實時監(jiān)聽信道噪音。當發(fā)現(xiàn)當前的工作信道出現(xiàn)外來信號噪音，AP會自動判斷該信號是否來自欺詐 AP。如果是欺詐AP， 則通知網(wǎng).絡管理員；如果不是，則自動選擇最清晰的信道，以保證信號質量。無線系統(tǒng)可以對WiFi和非WiFi的設備進行統(tǒng)計告警以及

20、分析。4.8 無線 WLAN 的Qos機制語音等特殊應用對無線網(wǎng)絡的帶寬和時延敏感，WLAN采用802.11e來保 證不同應用的優(yōu)先級，在無線接口上共有四個隊列，每個隊列均有相應的 CWMIN/CWMAX 值，對應訪問無線鏈路的不同優(yōu)先級，從而不同隊列中的應 用數(shù)據(jù)可以有不同的服務質量。QoS指的是網(wǎng).絡通過不同的網(wǎng).絡技術為特定的網(wǎng).絡流量提供更出色服務 的能力。QoS技術是園區(qū)網(wǎng).絡中的企業(yè)級多媒體和語音應用的重要組成部分。 QoS讓網(wǎng).絡管理人員可以與他們的網(wǎng).絡用戶制定服務水平協(xié)議（SLA）。QoS 能更加有效地實現(xiàn)網(wǎng)絡資源的共享，加快關鍵任務型應用的處理速度。QoS可以管理對時間敏感

21、的多媒體和語音應用流量，確保這些流量獲得比盡力而為型數(shù)據(jù)流量更高的優(yōu)先級、更多的帶寬和更低的延時。利用QoS，網(wǎng).絡管理人員可以更加有效地管理LAN和WAN的帶寬。QoS可以通過下列方式提供增強的、可預測的網(wǎng).絡服務：為關鍵的用戶和應用提供專用帶寬控制抖動和延時（滿足實時流量的需要）管理和最大限度地減少網(wǎng).絡擁塞對網(wǎng)絡流量進行整形，讓流量平穩(wěn)傳輸對網(wǎng)絡流量進行優(yōu)先級劃分QoS功能的作用在一個負擔較輕的網(wǎng).絡上表現(xiàn)得并不明顯。的確，如果延 時、抖動和丟包率在介質負載較輕的情況下仍然相當明顯， 那就意味著存在系統(tǒng) 故障，或者這個網(wǎng).絡不符合該應用的延時、抖動和丟包率要求。隨著網(wǎng)絡負載的增加，QoS

22、功能將開始逐步影響應用的性能。QoS的作用 是將特定類型的流量的延時、抖動和丟包率保持在可以接受的范圍之內(nèi)。通過從接入點提供下行優(yōu)先級設置功能，上行客戶端流量會被作為盡力而為 型流量處理。這樣，客戶端必須與其他客戶端競爭（上行）傳輸帶寬，以及與來 自接入點的盡力而為型（下行）流量進行競爭。在特定的負載情況下，即使在接 入點采用了 QoS功能，客戶端也可能會遇到上行擁塞，而對QoS敏感的應用的 性能則可能會下降到無法接受的水平。HuaWei無線網(wǎng).絡提供集成的QoS無線網(wǎng).絡服務質量的保證，針對不同類 型的無線應用，無線交換機會進行相應的處理，以保證移動業(yè)務的暢通。HuaWei無線網(wǎng).絡預置了包

23、括Voice在內(nèi)多種Profile，同時也可以提供手 工微調(diào)的方式。在方便配置 Qos的同時也保證了無線網(wǎng).絡Qos的調(diào)優(yōu)。HuaWei的無線網(wǎng).絡支持 WMM(802.11e),WMM 可以有效地保證高優(yōu)先級的流量得到帶寬的保證和低時延。 WMM 定義了 SIFS到AIFS多種等待時間 間隔，優(yōu)化這些參數(shù)可以提高網(wǎng).絡容量?；赪LAN的帶寬分配：HuaWei的AP支持為不同的 WLAN分配不同的 帶寬，保證關鍵業(yè)務的可用帶寬。基于類別映射的優(yōu)先級設置：對于基于類別映射的優(yōu)先級設置，數(shù)據(jù)流可以 通過IP TOS、DSCP或者協(xié)議設置標明身份。一個指定的下行流量會在無線 接口上獲得一個特定的C

24、oS。啟用WMM，針對對于監(jiān)控和 Video不同業(yè)務設定Qos參數(shù)基于組播地址的優(yōu)先等級設置通過設置WLAN的組播地址掩碼，保證匹配該組播地址掩碼的流立即轉發(fā)而不需要等待 DTIM (Delivery Traffic Indication Messages)。通過對 WLANWMM的不同流量類型設置不同的等待楨隙，不同的轉發(fā)機會和CWmin和CWmax值，保證不同類型的流具有不同的轉發(fā)等級。4.9無線網(wǎng).絡安全由于無線局域網(wǎng)采用公共的電磁波作為載體，因此與有線網(wǎng)絡不同，任何人都有條件竊聽或干擾信息，因此在無線局域網(wǎng)中，網(wǎng)絡安全顯得格外重要。由于802.11 WLAN屬于公有的無線資源，因此有電

25、信的無線網(wǎng)絡，有移動的無 線網(wǎng)絡，有網(wǎng)通的無線網(wǎng).絡，有校園的無線網(wǎng).絡，也有眾多企業(yè)或者個人架設 的無線網(wǎng).絡。有正常使用無線網(wǎng).絡的合法用戶，也有惡意用戶。非法設備(Rogue device)是指黑客在無線局域網(wǎng)中安放未經(jīng)授權的AP或客戶機提供對網(wǎng).絡的無限制訪問，通過欺騙得到關鍵數(shù)據(jù)。無線局域網(wǎng)的用戶在 不知情的情況下，以為自己通過很好的信號連入無線局域網(wǎng)，卻不知已遭到黑客的監(jiān)聽了。這些攻擊者通過非法搭建的 AP或者使用無線客戶端，企圖想通過無 線網(wǎng).絡傳播病毒蠕蟲、盜用機密信息、銀行帳號以及無線上網(wǎng)帳號，或者發(fā)起 DOS攻擊。HuaWei的無線解決方案RFS6000內(nèi)置的無線安全功能，

26、全面解決了在復 雜的無線環(huán)境中達到只有合法授權用戶才能訪問無線網(wǎng).絡的目的，防御無線DOS攻擊，而且保證重要信息的不被泄露。下面我們來詳細分析無線網(wǎng).絡安全隱患以及解決的方法。1.認證和加密HuaWei無線網(wǎng).絡的認證支持 WPA、WPA2、MAC認證、Web認證、802.1x 認證， 加密包括 WEP、TKIP(WPA)、AES(WPA2)。WEP的加密方式由于很容易破解，不推薦使用；WPA TKIP的安全程度遠高 于WEP加密；而 WPA2 AES是最高強度的加密方式，密鑰長度為 256比特， 加密安全級別和目前有線網(wǎng).絡的IP Sec的加密等級相同。對于WPA2 AES可以使用共享密鑰（

27、靜態(tài)）的方式，也可以使用動態(tài)更新密鑰的方式。推薦對政府網(wǎng)絡進行最高強度的 WPA2 AES加密，并且通過802.1X每隔 一段時間動態(tài)下發(fā)密鑰，這樣即使有攻擊者使用暴力入侵辦法通過密碼字典持續(xù) 抓取無線網(wǎng).絡包來破解用戶的密鑰，由于密碼更新的時間遠遠小于破解需要的 時間，因此即使攻擊者遠遠達不到破解出原來的密鑰的需要的流量，因此網(wǎng)絡是安全的。對于802.1X來說，HuaWei無線網(wǎng).絡支持802.1X基于數(shù)字證書的EAP-TLS 以及使用Token令牌的方式。EAP-TLS （傳輸層安全）提供為客戶端和網(wǎng).絡提供 基于證書及相互的驗證。它依賴客戶斷和服務器方面的證書進行驗證，可用于動態(tài)生成基于

28、用戶和通話的密鑰以保障WLAN客戶端和接入點之間的通信Token通過每個用戶獨立的PIN動態(tài)生成密碼，也可以保證只有合法的用戶才能接入網(wǎng).絡BupkliingSID1: Chinan st采用web認證-f詢密SaO.ChnarctraiD.ChinanetGavemnieraBuildingAF30C AP30gbbiD.ChiriSret 3SlD:CTnnare?t SlD.GovEinnientSSID2:G0vernnn$7)t 采mitt證書或黯 牌認證WPA2密SSDrChnanetssiD: Gave rm ent2.RFS6000內(nèi)置無線網(wǎng).絡安全：非法AP和非法客戶端的檢測

29、和抑制RFS6000提供全面的網(wǎng).絡安全特性，包括：MAC地址過濾入侵檢測和阻斷 狀態(tài)包檢測防火墻針對拒絕服務DOS以及其他無線網(wǎng).絡攻擊進行防范保護，在發(fā)現(xiàn) 有非法用戶進行DOS攻擊時可以自動將這些用戶列入黑名單。在非法設備檢測和抑制：分為 Rogue AP和Rogue Client，即非法AP和非法客戶端。Rogue AP的檢測和阻斷為了發(fā)現(xiàn)非法AP，分布于網(wǎng).絡各處的探測器能完成數(shù)據(jù)包的捕獲和解析的 功能，它們能迅速地發(fā)現(xiàn)所有無線設備的操作，并報告給RFS6000，這種方式稱為RF掃描。某些AP能夠發(fā)現(xiàn)相鄰區(qū)域的AP，我們只要查看各 AP的相鄰 AP。發(fā)現(xiàn)AP后，可以根據(jù)合法AP認證列表

30、（ACL）判斷該AP是否合法，如果列 表中沒有列出該新檢測到的AP的相關參數(shù)，那么就是Rogue AP識別每個AP 的MAC地址、SSID、Vendor（提供商）、無線媒介類型以及信道。判斷新檢測 到AP的MAC地址、SSID、Vendor（提供商）、無線媒介類型或者信道異常，就 可以認為是非法AP。當RFS6000發(fā)現(xiàn)非法AP時，可以根據(jù)策略發(fā)送指令通過 Sensor進行實時 地阻斷。Rogue Clie nt 的檢測和阻斷Rogue Client是一種試圖非法進入WLAN或破壞正常無線通信的帶有惡意 的無線客戶，其異常行為的特征主要有：發(fā)送長持續(xù)時間（Duration）幀；持續(xù)時間攻擊；探

31、測“ any SSID ”設備；非認證客戶。如果客戶發(fā)送長持續(xù)時間/ID的幀，其他的客戶必須要等到指定的持續(xù)時間(Duration)后才能使用無線媒介，如果客戶持續(xù)不斷地發(fā)送這樣的長持續(xù)時間 幀，這樣就會使其他用戶不能使用無線媒介而一直處于等待狀態(tài)。為了避免網(wǎng)絡沖突，無線節(jié)點在一幀的指定時間內(nèi)可以發(fā)送數(shù)據(jù)，根據(jù)802.11幀格式，在幀頭的持續(xù)時間/ID域所指定的時間間隔內(nèi)，為節(jié)點保留信 道。網(wǎng).絡分配矢量(NAV)存儲該時間間隔值，并跟蹤每個節(jié)點。只有當該持續(xù)時 間值變?yōu)镺后，其他節(jié)點才可能擁有信道。這迫使其他節(jié)點在該持續(xù)時間內(nèi)不 能擁有信道。如果攻擊者成功持續(xù)發(fā)送了長持續(xù)時間的數(shù)據(jù)包，其他節(jié)

32、點就必須 等待很長時間，不能接受服務，從而造成對其他節(jié)點的拒絕服務。當RFS6000發(fā)現(xiàn)非法客戶端時，可以根據(jù)策略發(fā)送指令通過Sensor進行實 時地阻斷。4.10容量規(guī)劃1、并發(fā)用戶數(shù)網(wǎng).絡在進行多終端接入設計時，建議按照每個 AP的并發(fā)128個用戶進行 設計和計算AP數(shù)量，每個用戶2M帶寬，建議并發(fā)用戶數(shù)為超過128個。最大并發(fā)用戶128個。2、吞吐量WLAN的數(shù)據(jù)業(yè)務吞吐量是容量設計的重要因素。在設計中應充分考慮各類數(shù)據(jù)業(yè)務特點和帶寬的需求單臺吞吐量在2.4G和5.8G時各超過450M bps，可以滿足多用戶高帶寬 的應用、如接入多路高清攝像頭。4.11設備配置6.1無線控制器（AC）作

33、用：集中管理無線局域網(wǎng)內(nèi)的 AP設備，對AP實現(xiàn)配置下發(fā)，無線用戶認證接入，實現(xiàn)用戶在不同 AP區(qū)域范圍的漫游，數(shù)據(jù)報文轉發(fā)等功能。主要性能指標：業(yè)務端口描述：24 個 10/100/1000M 電口，2 個 10GE XFP 光口 交換容量：128Gbit/s轉發(fā)能力：128Gbit/sMAC地址表：支持16KMAC 地址ARP地址表：支持8KARP地址無線用戶接入能力：整機接入用戶數(shù)為10K，單AP接入用戶數(shù)最多 為256個（取決于具體AP型號）可管理AP的數(shù)量：支持最多管理1024個AP。6.2 POE 交換機作用：連接無線AP ,對無線AP遠程供電，實現(xiàn)數(shù)據(jù)轉發(fā)S57OO-1 尸尺主要

34、性能指標：業(yè)務端口描述： 8個10/100/1000Base-T以太網(wǎng)端口，2個1000Base-X SFP 端口。交換容量：256Gbps包轉發(fā)率：19.5Mpps6.3 AP6010DN-AGN（ 室內(nèi)放裝型）作用：實現(xiàn)無線信號的覆蓋，為無線網(wǎng).絡設備提供接入，在寫字樓室內(nèi)使 用。主要性能指標：業(yè)務端口： 1000M以太網(wǎng)口（可擴展光傳輸）供電：POE支持802.af/802.3at 兼容供電天線：內(nèi)置4*4硬件智能天線系統(tǒng)（基礎增益 4dBi）工作頻段：802.11b/g/n:2.4GHz-2.483GHz 發(fā)射功率：發(fā)射功率w 20dBm6.4 AP7110DN-AGN（ 室內(nèi)放裝型）

35、作用：實現(xiàn)無線信號的覆蓋，為無線網(wǎng).絡設備提供接入，該 AP為大功率AP，有效覆蓋公共區(qū)域。主要性能指標：頻率范圍（MHz ）: 24002500 /51505850帶寬（MHz ）:100M/700M可同時在線的用戶數(shù)量：最大為 256天線類型：可拆卸式RP-SMA無線天線，3 X3MIM0（三條空間流）6.5 AP8130DN（室外型外置天線）防塵防水，耐高低溫。適用于廣場、步行街、游樂場等覆蓋場景，或者無線港口、無線數(shù)據(jù)回傳、無線視頻監(jiān)控等橋接場景。UAWEI主要性能指標：頻率范圍（MHz ）: 24002500 /51505850最咼速率達1.75 Gbit/s可同時在線的用戶數(shù)量：最

36、大為 256天線類型：外置無線天線，3 X3MIM0（三條空間流）第5章測試驗收5.1無線覆蓋信號強度測試測試項目無線覆蓋信號強度測試測試方法1、在插有無線網(wǎng)卡的筆記本電腦上運行專用測試軟件，在設計目標覆蓋區(qū)域內(nèi)進行覆蓋電平測試；2、每20平方米測試地點不應少于1個，測試點的選取應均勻分布，并且能夠反映該區(qū)域的覆蓋情況。指標要求在設計目標覆蓋區(qū)域內(nèi)95%以上位置，接收信號強度大于等于-80dBm ；檢查結果通過未通過遺留問題5.2信噪比測試測試項目信噪比測試測試方法1、在插有無線網(wǎng)卡的筆記本電腦上運行專用測試軟件，在設計 目標覆蓋區(qū)域內(nèi)進行SNR測試；2、每20平方米測試地點不應少于1個，測試點的選取應均勻 分布，并且能夠反映該區(qū)域的覆蓋情況。指標要求在設計目標覆蓋區(qū)域內(nèi)95%以上位置，用戶終端無線網(wǎng)卡 接收到的信噪比（SNR）大于20dB。檢查結果通過未通過遺留問題5.3 AP配置檢測測試項目AP配置檢測測試方法在插有無線網(wǎng)卡的筆記本電腦上運行專用測試軟件，在設 計目標覆蓋區(qū)域內(nèi)測試所有 AP信道及SSI