Aruba地铁PIS系统无线网络技术建议书v

-Aruba地铁PIS系统无线网络技术案建议书2013年9月. z.-目录1.概述11.1需求分析21.2技术要求22.地铁PIS网络系统设计案22.1系统功能22.2案设计3案概述3整体设计4详细设计7支持333.Aruba无线网络特点总结353.1大规模商业应用证明的成熟性和稳定性353.2有线无线统一认证管理353.3基于角色的网络访问控制353.4多层次的平安保护353.5便的移动组网技术363.6灵活的认证式363.7专为无线系统优化的组播技术373.8高效智能的射频优化373.9无线频谱分析373.10统一的无线网管系统384.产品简介39ARUBA 7200系列无线控制器39ARUBA OAP-92无线接入点41ARUBA S2500接入交换机45AIRWAVE：移动企业网络的全面管理531. 概述地铁PIS网络系统是利用系统自身构建的以太网络给PIS提供网络通，该通道用来传输从中心到各车站、地铁车辆的各种数据信息、视频信息和控制信息。地铁乘客信息系统需要传送乘车须知、效劳时间、列车到发时间、列车时刻表、管理者公告、政府公告、出行参考、股票信息、媒体新闻、赛事直播、广告等实时动态的多媒体信息；在火灾、阻塞及恐惧袭击等非正常情况下，提供动态紧急疏散提示。同时视频信息由各个列车的监视器进展采集，并采用将视频进展IP封包的式通过无线传送至控制中心。整个网络必须是一个支持语音、数据、视频的融合有线和无线的网络，对业务有良好的QoS支持，支持组播通讯,并且需要具备运营所需稳定和可靠性。我们根据多年来在集成面的丰富经历，特别是在无线面领先技术为地铁乘客信息系统提供完美的网络解决案。1.1 需求分析乘客信息系统为传输数据提供所需的网络平台，其上需要支持的应用主要包括以下几类： 控制中心向各趟列车播送式发送的音频、视频等多媒体信息； 由各趟列车发送回到控制中心的车实时监控信息； 其它控制数据等。1.2 技术要求由于需要在高速移动的地铁列车环境中支撑上层的相关应用，无线网络子系统具有以下技术指标的需求： 系统需要具有最低不得小于30Mbps的传输层双向平均带宽； 在列车时速到达80km/h的时候，能够实现车载系统在无线网络子系统的无缝切换切换时间小于50ms；2. 地铁PIS网络系统设计案2.1 系统功能网络系统是利用系统自身构建的千兆以太网络和无线网给乘客信息系统提供网络通道，该通道用来传输从中心到各车站以及地铁车辆的各种数据信息、视频信息和控制信息。无线网络负责车站和列车之间的数据通信，由无线控制器和无线AP两个局部构成。无线控制器位于控制中心，无线AP接入各个车站的交换机。无线控制器采用Aruba7200系列，最大控制2048个AP；无线AP采用Aruba的无线OAP92，支持802.11abgn，支持双外置天线。整个无线架构采用“瘦AP式，所有的无线控制均通过控制中心的无线控制器进展。Aruba无线网络交换系统革命性地改变了802.11n网络的使用模式、平安模式和管理模式。Aruba无线交换系统把无线平安和无线增值效劳都集中到一个单一的、高度弹性化、可扩展的处理平台之上。网络子系统是利用系统自身构建的千兆以太网络和无线网给乘客信息系统提供网络通道，该通道用来传输从中心到各车站以及地铁车辆的各种数据信息、视频信息和控制信息。网络子系统包括有线网络和无线网络两个局部。有线网络提供根底的链路连接，无线网络支持以80公里每小时速度行驶的任意驶向的列车的通信。能够以不小于38Mbps的平均速率在列车和分线中心数据效劳器间双向传输视频影像，并能保证很小且恒定的延迟和丢包率。2.2 案设计2.2.1 案概述网络系统是利用系统自身构建的以太网络和无线网给乘客信息系统提供网络通道，该通道用来传输从中心到各车站以及地铁车辆的各种数据信息、视频信息和控制信息。网络系统分为有线网络和无线网络二局部。有线网络设备主要包括：控制中心以太网核心交换机、中心二级以太网交换机、车站以太网交换机、防火墙、路由器等。在控制中心、各车站、车辆段、停车场设置以太网交换机设备，通过传输系统提供的通道相连，通道容量按不低于800M考虑，构成乘客信息系统信息的有线传输径路。无线网络作为有线网络的延伸，提供地面与列车的通信。主要包括设置在控制中心的无线控制器、沿途隧道的光缆、无线接入点设备等。无线控制器通过控制中心乘客信息核心交换机与车站乘客信息以太网交换机相连，车站乘客信息以太网交换机和轨旁的无线接入点之间通过单模光纤连接。站台两端分别设置AP装置接至本站乘客信息以太网交换机。地铁乘客信息系统的无线传输系统作为有线网络的补充和列车等播送信息的主要途径。乘客信息系统的无线传输网络，就是为PIS系统提供无线传输信息的根底平台，为信息流从分线中心，再到各线车站，各线列车提供高速、稳定、可靠的双向传输效劳。本案无线网络系统建议采用基于 IEEE 802.11n2.4GHz的无线局域网技术，实现全线车地间PIS信息实时、无缝的传输。设备包括设置在车辆段、停车场以及沿轨道的AP(含天线)、设置在分线中心的无线控制器，以及设置在列车的无线接入设备含天线等。2.2.2 整体设计2.2.2.1 设计原则结合地铁中的网络和应用需求以及Aruba解决案的特点，无线网络子系统中的设计原则可以分为以下几大点： 采用无线交换架构组建无线网络子系统； 利用现有的有线网络资源，架设“层叠网络，保持已有的有线网络配置和设置不更改； 用户子网和设备子网隔离，无线用户无法访问设备子网； AP的IP网络设置从DHCP获取或者进展安装前静态配置，AP的无线网络设置由控制器集中推送；2.2.2.2 案拓扑地铁PIS网络系统由三层网络构造组成，即控制中心子系统、网络子系统地铁802.11n的300M无线接入网和站点网络系统，及车载子系统列车1000M Ethernet LAN以及无线车载终端。列车通过300M无线接入轨道边AP，轨道边AP通过1000M Ethernet以太网接入车站交换机，车站交换机通过1000M Ethernet接入主干网络。每个站台、轨道边沿线都铺设2.4GHz遵循802.11标准的无线接入点AP，通过铺设在轨道边的以太网，接收从子系统控制中心发来的信号，列车终端依靠无线网络和以太网通讯技术接收来自列车所到位置对应AP发送的即时信息，并实现视频信号的实时传输、播放。同时，由于无线信息传输的双向性，无线视频系统也可以将列车上的实时乘客信息、监控情况及时上传到车站控制室及子系统控制中心。无线视频传输系统主要涉及轨道边沿线的无线接入点AP和天线的布放，高速移动情况下的无缝切换，以及与上级交换机设备互联和与媒体分发中心进展数字多媒体数据传输等。2.2.2.3 设计描述地铁全线设置无线AP和天线，在控制中心的无线控制器，负责管理和控制无线传输网的工作，以到达在全线围，实时、无缝的完成车、地间的图像和数据传递。车载无线单元、车载视频控制器，车载交换机等构成车载局域网络。本案设计车载无线单元。无线网络作为有线局域网的延伸，提供了地面与列车的通信。无线接入点通过单模光纤连接到车站与有线局域网构成整体。无线网络负责车站和列车之间的数据通信，由无线控制器和无线AP两个局部构成。无线控制器位于控制中心，无线AP接入各个车站的交换机。无线控制器采用Aruba7200系列设备为1U设计，最大控制2048个APCampus-ap，远程接入APRemote-ap的数量：2048个。硬件本身支持4个SFP+端口，2个SFP端口1000BASE-* or 10/100/1000BASE-T，40G吞吐量(large packets)，支持的设备vlan数4094个，防火墙会话数2015291，IPsec会话数32768，GRE隧道system BSSID32768，该系列设备型号拥有8核处理器，每核处理器有4个线程，因此共计拥有32个虚拟CPU同时参数无线网络数据的处理。无线AP采用Aruba的无线室外OAP92，能同时支持802.11a/n或802.11b/g/n，支持双外置天线，单频最高带宽300Mbps。整个无线架构采用“瘦AP式，所有的无线控制均通过控制中心的无线控制器进展。Aruba无线网络交换系统革命性地改变了802.11网络的使用模式、平安模式和管理模式。Aruba无线交换系统把无线平安和无线增值效劳都集中到一个单一的、高度弹性化、可扩展的处理平台之上。车载局域网络主要对车载设备连接到网络系统中，通过车头车尾的无线接收单元采用WI-FI接入轨旁的无线接入点。车载设备主要负责通过无线局域网设备接收编播中心发布的信息容，通过车载LCD控制器进展解码后，在本列车的所有LCD显示屏上实时播放。同时，车载设备利用无线局域网通道将车上监视图像传递到编播中心。车载PIS子系统主要由车载交换机、效劳器、存储设备、播放控制器、显示屏、摄像机及车-地无线通信车载局部：无线网桥、天线、车载效劳器等等设备组成。本案涉及设备包括无线控制器、无线AP、天线。2.2.3 详细设计2.2.3.1 设计描述PIS无线传输网系统主要由无线控制器、中心交换机、车站交换机、光端机、铺设在隧道和车辆段中的无线基站设备AP，含定向天线、列车中的无线接入设备含天线等等构成。本案采用无线控制器、无线AP和无线网桥构建无线局域网，符合WLAN 802.11b/g/n标准。Aruba无线系统硬件有二局部，AP和无线控制器。Aruba AP是不需和无线控制器直连，它们之间是可以透过以太网交换机不管是二层或三层、路由器或其它网络设备互通。当Aruba AP插入到网络上启动后，AP是会自动和Aruba无线网络交换机建立GRE隧道的连接，之后从无线终端所发出到数据都回会经AP的GRE隧道传到Aruba无线控制器。同样当数据须发送到无线终端上时，则必先经过无线网络交换机和Aruba AP建立的GRE数据隧道，然后再经AP发送到无线终端。2.2.3.2 设备连接设计各个设备之间的连接及实现式如下：1) 无线控制器通过光纤以1000Mbps的带宽连接到核心交换机；2) 隧道中上行和下行单独铺设无线基站，即上行隧道中的无线基站和下行隧道中的的无线基站构成不同的无线网；3) 根据PIS无线传输网基站和天线的性能，以及现场的情况合理的选择AP的位置，以保证PIS无线传输网的信号场强能够在全线无缝覆盖。同时也考虑如防止对地铁其它系统的影响。后面会详细列出信号从中心车站AP车载设备之间的链路计算分析，特别是从AP到车载接收设备之间的场强衰减变化情况； 4) PIS无线传输网系统充分考虑到了列车在高速情况下的切换问题，地铁车速为80km/h，并采取有效措施减少切换时间和降低因切换带来的数据损失，以保证在车上的实时播放不中断切换时间应少于50ms，且播放质量不受影响。另外为保正系统的切换能平稳的进展，设在控制中心的无线控制器能同时管理2000个以上的AP，其目的是列车在一条线上运行时，不会出现跨无线控制器的切换。后面会详细说明不同车载设备在不同AP之间的电路切换、路由切换和不同频率间切换的具体步骤和可能造成的中断时间；5) 提供的PIS无线传输网的有效带宽最高可达300Mbps，平均可到达60Mbps，而且无线带宽具备QOS分级控制。所传图像顺畅清晰，不会出现画面中断或者跳播的现象；图像压缩编码可以是MPEG-2或MPEG-4，H.264格式(带宽为210Mbps)；PIS无线传输网提供的带宽足够传输视频直播和视频监控的数据，而且还有较大余量；6) 在布置AP时，充分考虑到了系统的可靠性，每个AP的覆盖围都保证有重叠区，而在个别AP和其它设备出现故障时，系统仍旧能正常工作。每个AP的输出功率满足规要求，每个AP的输出功率不大于100mW，并按照每隔150200米的距离估值配置一个AP；7) PIS无线传输网系统的空中接口、频点围和加密措施满足有关标准和规定；8) PIS无线传输网在隧道的设备满足隧道限界和其它面的要求，设备本身到达IP65的标准，以适应隧道里的环境条件；9) 系统有完善的网管设备，在控制中心能够随时监控到本系统的每一个设备的工作状况。10) 为了保证系统数据平安，采取了相应的平安措施，详见无线局域网络平安。11) 安装无线网络监测软件。主动地监控接入点，以及连接到接入点的交换机的故障和性能；迅速、便地检测、定位和禁用未经授权的不知情的员工或者由恶意的外界入侵者放置的恶意接入点；通过检测和定位RF干扰，以及主动地监控使用情况和故障，优化网络的性能。12) 安装定向天线，限定覆盖围。13) 系统具有强的抗干扰能力，能确保在各种复杂的环境下可靠工作，同时，在正常使用时不对其它系统如信号系统等造成影响。后面会详细分析所使用的设备和系统抗干扰的能力，以及相关的处理措施。2.2.3.3 无线控制器与核心交换机相连在Aruba的无线解决案当中，Aruba7200系列无线控制器的放置是在地铁线路分中心。网络连接需要注意以下两点：l Aruba的无线控制器与相连核心交换机/路由器之间端口协商的匹配性和稳定性：如果存在着速率匹配失误的情况，整个无线网络的稳定性会受到影响，具体表现为AP会不断进展重新启动。l Aruba无线控制器与核心网络设备之间相连的角色组情况需要和地铁公司网络的规划一起进展，Aruba无线控制器和网络的核心设备之间可以通过二层Trunk式或者三层路由式，用于将用户划分到不同策略的角色组当中去。2.2.3.4 接入层AP部署Aruba无线案能够便实现跨三层网络部署，远端接入层的AP路边部署只需获得相应IP网络地址和网络中已经部署的Aruba控制器IP地址即可。极大简化了传统无线网络部署复杂程度，减轻AP设置与用户设备以及AP所连接有线网络配置。无线AP通过地铁以太网会聚回到网络中心，通过各个车站的有线网络系统，连接到Aruba7200系列无线控制器上，网络管理人员通过Aruba7200系列集中管理和监控远端AP的运行状态。 数据流走向示意图：2.2.3.5 系统冗余设计 在地铁无线网络中整个系统的冗余主要表达在无线链路的冗余，无线信号冗余。l 远端无线链路和无线信号冗余在地铁中的AP通过GRE隧道接回到无线控制器，途经地铁站的有线交换机和其它相关的有线网络设备，无线的链路覆盖需要预留冗余，特别是为了配合列车载无线覆盖的区域快速漫游，每个无线AP的无线覆盖和相邻的无线AP最好有1/5到1/4的无线覆盖重叠，为配合无线快速无缝切换。无线信号的冗余，考虑到此次工程中无线设备为隧道和站架设，考虑到各种覆盖情况以及线路边可能出现的未知不确定无线干扰，无线AP信号传输局部在此区域要多考虑冗余，无线AP架设的位置，以及设备的传输冗余储藏都要做相应的考虑。l 远端无线控制器冗余在中心，部署二台Aruba7200系列控制整条线的所有AP，并且相互热备，一旦控制器出现故障，可以保证热切换，保证业务的持续进展。每个车站部署相应数量的AP，接入车站的接入交换机，无线数据通过GRE隧道到达分线中心的Aruba7200系列进展数据交换。控制器间采用MasterLocal管理模式，Master控制器对无线网络进展集中统一管理，Local控制器只负责连接在本控制器下的AP的管理。控制器组采用N+1式进展冗余，Master控制器作为Local控制器的backup备份控制器，当任Local无线控制器发生故障时，所有的AP都可以自动连接到Master控制器上，并继续提供效劳，真正为用户提供一个永不连续的无线网络。ARUBA的无线控制器也可以为AP设置主用控制器或备份控制器，当AP启动后，将首先连接主用的无线控制器，AP和控制器之间通过PAPI协议发送keepalive消息，一旦长时间检测到主用控制器无法工作，AP将自动连接到备份的控制器。这种式的优点是对控制器的连接没有特殊要求，网络可以是2层也可以是3层。2.2.3.6 系统扩展性设计在MasterLocal的工作模式下，原有居于网络核心的Master控制器可以同时继续管理所有其他的控制器，实现全网无线设备的统一管理。因此根据以上描述，当民族学院无线网络规模扩展到更大规模是，我们只需要增加Local无线控制器即可。MasterLocal工作模式如以下图显示：2.2.3.7 有效带宽及QoS保证案、切换机制2.2.3.7.1 无线带宽链路分析车载设备从分线中心效劳器接收数据时，需要经过中心交换机、无线控制器、车站交换机、光端机、无线基站、无线接入设备。其中从无线控制器到无线基站的链路属于有线链路，从无线基站到无线接入设备的链路属于无线链路。有线链路的各个路径如下：(1) 效劳器和核心交换机之间的带宽为1000Mbps，核心交换机和效劳器通信的交换端口固定的；(2) 无线控制器和核心交换机之间的链路为电口，带宽为1000Mbps，核心交换机和无线控制器通信的交换端口固定的；(3) 核心交换机和车站交换机之间的带宽为1000Mbps有效带宽200Mbps，核心交换机和车站交换机通信的交换机端口是固定的，但由于车载设备会漫游到属于不同车站交换机的AP围，因此从车载设备的数据接收链路来说，从核心交换机到车站交换机的链路是变化的；(4) 车站交换机或者车辆段交换机与AP之间的链路是光纤以及6类线通过光端机进展光电转换，带宽为100Mbps，通信的交换机端口是固定的，但由于车载设备的漫游特性，从车载设备的数据接收链路来说，从车站交换机到AP的链路是变化的。隧道中无线链路的场强变化情况如下：(1) 无线信号的场强与距离的平成反比，以AP为中心向隧道两边扩散因为采用的是向正反两个向辐射信号的定向天线；(2) 在两个AP之间的重叠覆盖区域会出现场强消和涨的情况。隧道中无线AP信号的场强变化情况如以下图所示。在2.4GHz频段上，当AP端的天线增益为14dB，网桥的天线增益为7dB，网桥和AP的发射功率均为20dBm，则当网桥和AP天线直接没有障碍且天线完全对准的情况下，接收到的功率与其距离的关系如下表所示。距离米接收功率dBm5-1210-1820-2450-34100-42150-46200-50250-52300-55如果考虑到车厢的损耗、天线没有对准等情况，留出20dB的余量，因此，无论是网桥还是AP，在200米的地均能够收到-70dBm的信号。Pepwave E*press双频车载无线网桥支持802.11n技术，在80-120Km/h高速运行的情况下为列车提供3070Mbps的有效传输速率。可以解决目前PIS系统存在的局限性不能传送多路高清图像以及车载CCTV系统的画面清晰度低和实时监控的画面数量少等问题；随着首都日益国际化，地铁不但承担了城市客运工作，同时也是面对世界的一个重要窗口，因此目前使用的PIS车地无线传输系统低带宽的缺乏将日益显现。高速80-120公里/小时情况下传输速率超过30Mbps的高带宽车地无线传输系统将是未来几年地铁PIS车地无线传输系统的首选。根据链路预算，本案能够到达设计目标。2.2.3.7.2 Qos保证案WLAN网络的操作可分为两个主要工作过程：工作站参加一个BSS，工作站从一个BSS移动到另一个BSS，实现小区间的漫游。一个站点访问现存的BSS需要几个阶段。首先，工作站开机加电开场运行，过后进入睡眠模式或者进入BSS小区。站点始终需要获得同步信号(Beacon)，该信号一般来自AP接入点。站点则通过主动和被动扫频来获得同步。主动扫频是指STA启动或关联成功后扫描所有频道；一次扫描中，STA采用一组频道作为扫描围，如果发现*个频道空闲，就播送带有ESSID的探测信号；AP根据该信号做响应。被动扫频是指AP每100毫秒(时间长度可变)向外传送灯塔信号，包括用于STA同步的时间戳，支持速率以及其它信息，STA接收到灯塔信号后启动关联过程。 WLAN为防止非法用户接入，在站点定位了接入点，并取得了同步信息之后，就开场交换验证信息。验证业务提供了控制局域网接入的能力，这一过程被所有终用来建立合法介入的身份标志 站点经过验证后，关联Associate就开场了。关联用于建立无线访问点和无线工作站之间的映射关系，实际上是把无线变成有线网的连线。分布式系统将该映射关系分发给扩展效劳区中的所有AP。一个无线工作站同时只能与一个AP关联。在关联过程中，无线工作站与AP之间要根据信号的强弱协商速率。 工作站从一个小区移动到另一个小区需要从新关联。重关联Reassociate是指当无线工作站从一个扩展效劳区中的一个根本效劳区移动到另外一个根本效劳区时，与新的AP关联的整个过程。重关联总是由移动无线工作站发起。 IEEE802.11无线局域网的每个站点都与一个特定的接入点相关。如果站点从一个小区切换到另一个小区，这就是处在漫游Roaming过程中。漫游指无线工作站在一组无线访问点之间移动，并提供对于用户透明的无缝连接，包括根本漫游和扩展漫游。根本漫游是指无线STA的移动仅局限在一个扩展效劳区部。扩展漫游指无线SAT从一个扩展效劳区中的一个BSS移动到另一个扩展效劳区的一个BSS，802.11并不保证这种漫游的上层连接。近年来,无线局域网技术开展迅速，但无线局域网的性能与传统以太网相比还有一定距离，因此如提高和优化网络性能显得十分重要。 无线QoS策略Aruba的AP所使用的硬件支持无线多媒体扩展WME的队列，同时可以将这些射频的队列映射到IP的QoS机制如DSCP和802.1来保证无线的应用可以在有线的网络上获得相应的优先级。此外，Aruba在支持802.11E效劳质量的根底上，增加了基于用户状态流的区分和优先级映射，使得同一个设备的不同应用可以得到不同的处理优先级。区分数据流的各种参数可以包括源/目的地址、协议、效劳如HTTP、TFTP、SIP等。Aruba的无线控制器在启用置的防火墙时，可以识别数据流的状态和类型，因此可以根据用户或应用来分配不同的带宽。带宽分配是在无线控制器由一个专业的漏桶算法来控制的，当用户的流量超过预定义的带宽时，数据包将被丢弃。Aruba的AP和无线控制器可以利用802.1p和IP DSCP来给网络里的数据包来标记QoS的优先级：下行往无线用户的向，无线控制器根据应用和流的标识来标记802.1p标签，无线控制器部的状态防火墙可以识别需要高优先级的数据流，然后根据用户定义的802.1p标签来标记相应的数据包，这样在无线控制器和AP之间的网络就可以据此来保证下行数据的优先级；当AP收到下行数据时，它可以根据数据包的GRE的信息来确定该数据包的优先级。上行无线用户往AP的向，AP不作解密的工作，所以没有方法知道数据流的优先级，但是一旦高优先级的数据流到达无线控制器，该数据流就立即被识别并且AP被告知哪个用户具有较高的优先级，此后该用户的数据流就会被标上用户定义的802.1p标签。目前，由于无线上的效劳质量标准802.11E还没有最后定稿，所以Aruba支持Wi-Fi联盟的WMM规802.11E的子集。一旦IEEE 802.11E被定稿和正式公布，Aruba将完全支持该标准。Aruba的AP具有8个硬件队列，目前只使用了两个：高优先级和低优先级，以后可以配合802.11E标准的发布启用8个队列，以实现更为丰富的效劳质量保证案。针对地铁的实际应用，采用格优先队列，保证其优先发送； 针对地铁的实际应用，应防止拥塞丢包，对实时业务质量产生影响。2.2.3.7.3 WLAN切换的根本原理WLAN网络的操作可分为两个主要工作过程：工作站参加一个BSS，工作站从一个BSS移动到另一个BSS，实现小区间的漫游。一个站点访问现存的BSS需要几个阶段。首先，工作站开机加电开场运行，过后进入睡眠模式或者进入BSS小区。站点始终需要获得同步信号(Beacon)，该信号一般来自AP接入点。站点则通过主动和被动扫频来获得同步。主动扫频是指STA启动或关联成功后扫描所有频道；一次扫描中，STA采用一组频道作为扫描围，如果发现*个频道空闲，就播送带有ESSID的探测信号；AP根据该信号做响应。被动扫频是指AP每100毫秒(时间长度可变)向外传送灯塔信号，包括用于STA同步的时间戳，支持速率以及其它信息，STA接收到灯塔信号后启动关联过程。 WLAN为防止非法用户接入，在站点定位了接入点，并取得了同步信息之后，就开场交换验证信息。验证业务提供了控制局域网接入的能力，这一过程被所有终用来建立合法介入的身份标志 站点经过验证后，关联Associate就开场了。关联用于建立无线访问点和无线工作站之间的映射关系，实际上是把无线变成有线网的连线。分布式系统将该映射关系分发给扩展效劳区中的所有AP。一个无线工作站同时只能与一个AP关联。在关联过程中，无线工作站与AP之间要根据信号的强弱协商速率。 工作站从一个小区移动到另一个小区需要从新关联。重关联Reassociate是指当无线工作站从一个扩展效劳区中的一个根本效劳区移动到另外一个根本效劳区时，与新的AP关联的整个过程。重关联总是由移动无线工作站发起。 IEEE802.11无线局域网的每个站点都与一个特定的接入点相关。如果站点从一个小区切换到另一个小区，这就是处在漫游Roaming过程中。漫游指无线工作站在一组无线访问点之间移动，并提供对于用户透明的无缝连接，包括根本漫游和扩展漫游。根本漫游是指无线STA的移动仅局限在一个扩展效劳区部。扩展漫游指无线SAT从一个扩展效劳区中的一个BSS移动到另一个扩展效劳区的一个BSS，802.11并不保证这种漫游的上层连接。近年来,无线局域网技术开展迅速，但无线局域网的性能与传统以太网相比还有一定距离，因此如提高和优化网络性能显得十分重要。 地铁中SA在AP之间的无缝切换在地铁中，为实现STA在AP之间无缝切换的实现法主要包括：l 采用基于铁路特点的覆盖和切换规则；l 选择WLAN网络架构，满足快速切换要求；“瘦接入点的架构。 基于铁路特点的覆盖和切换规则基于地铁的无线覆盖的线性特点，无线覆盖和切换规则有如下特点：l 隧道安装定向天线l 采用逆转滞后作用的切换法为应对定向性无线漫游引起的双向漫游操作挑战，建议使用新的操作理论。这一案通过配置终端为高漫游和低接入见图: 逆转滞后式的无缝切换漫游，逆转常规的滞后漫游逻辑。在这种情况下，终端将保持持续的提前漫游状态，以确保在终端移入AP覆盖区域之间时实现无缝漫游切换。在列车实际运行环境下，列车移动是必然的，对于连续运行来说，通过无线网络的连续漫游切换十分必要。无线漫游状态能够确保无论指向性移动终端是按列车前进向还是按后退向运行，在终端丧失现有AP的信号之前漫游到下一个AP。由于终端在持续移动，先前与之连接的AP，在列车移动后可能不再适合无线连接，因为它的信号强度将迅速消失或逐渐降低到无线连接阈值以下。图：逆转正向式的无缝切换漫游图：逆转滞后式的无缝切换漫游 支持快速屡次切换在车辆快速移动情况下，会出现移动单元在AP之间频繁切换的现象。假设每辆车10秒钟切换一次，则AC每秒钟需要处理3次切换。由于采用集中控制式，路由信息的更新局限于AC部，无需与其它网元交换路由信息，而目前AC在加密情况下的吞吐量也可达千兆，因此没有特殊的瓶颈。基于信号系统的应用情况，AC能够满足该切换要求。 无缝切换小结综上所述，利用“瘦接入点的网络架构，结适宜应地铁特点的无线覆盖设计和切换规则设定，可以实现无缝切换。该无缝切换技术的性能和特点如下：切换时间不大于50ms；采用定向天线获得良好的覆盖；采用逆转滞后作用的切换法保证切换的连续性；整条线路可以根据需要采用一个或多个无线通道；对现存以太网络构造无需更改，路由更新在AC完成；该网络构造可满足快速屡次切换的要求。 铁路列车无线漫游的特点无线漫游的概念涉及一系列的SA至AP连接、别离和重新连接见图：无线覆盖和漫游。在漫游过程中，只有SA对启动与AP的连接负责。只有当现有连接以漫游别离或信标信号丧失别离的式中止时，SA和AP之间的别离才会发生。可以由SA和/或AP来激活别离。只有当SA与一个新的或以前连接的AP进展重新连接时，才会发生重新连接。一个SA一次只能和一个AP进展连接，以确保SA与网络只有一个连接。相反，多个SA可以同时和一个AP进展连接。IEEE 802.11规能够将一个AP覆盖围的漫游效劳提供应另外一个AP的覆盖围。802.11设备里使用的传统漫游逻辑是基于一个选择程序，在该程序里，与下一个最正确AP的连接前提是在现有信号强度降低的同时，向一个更强的信号移动。在漫游模式中，移动SA从相邻AP的列表中选择出下一个最正确AP，其中，至少有一个AP的信号级别高出SA的连接阈值。这一漫游逻辑确保以全向的基于发射区的拓扑法来实现强大、无缝的切换，使得SA能够在任一向移动，并且有不止一个的漫游AP。图：无线覆盖和漫游2.2.3.8 抗干扰和防止对其他系统干扰的措施2.2.3.8.1 抗干扰分析地铁隧道中存在多个系统，例如信号系统、无线集群系统等等，PIS无线传输网和这些系统之间将存在相互干扰，另外PIS无线传输网也存在部干扰。PIS无线传输网系统所遇到的干扰以及解决措施如下：(1) 多路径干扰，由于发射信号被障碍物反射导致。解决措施如下： 我提供的设备采用OFDM正交频分复用调制式，本身就适合于多径环境下工作；OFDM是Orthogonal Frequency Division Multiple*ing的英文缩写，其具体意思为直角频率多路传输分割复用技术。这种技术将无线通信传输信号分割成了多个副载波进展传输，而每个副载波由于仅仅携带了很小一局部的数据负载，这样的话OFDM技术就能利用更长的符号期，从而使通信传输信号更不容易受到多径传输的干扰或者其他外界的特殊干扰。此外，OFDM技术除了通过分割载波的法来增强通信的抗干扰外，它还通过提高载波频谱利用率的法来提高通信的稳定性。这种技术通过对多载波的调制改进，让各子载波相互正交，于是扩频调制后的频谱可以相互重叠，从而根本解决了子载波间的相互干扰； 采用定向天线，使得覆盖围减少，多路径最小化； 采用差异双天线，试验证明采用差异双天线时，如果一个天线处于信号无效点，则另一个天线不会处于信号无效点，如以下图。图 多路径示意图在多路径环境中，信号无效点(null point)在该围到处存在。将天线少移动一下将移出信号无效点且接收正确的信号，因此第2个天线总能接收到信号。(2) 信号衰减，无线射频信号强度与距离平成反比。这是无线射频信号本身的特性，解决案是加大AP的铺设密度，使得AP之间存在重叠围。(3) 邻频道干扰，频率串扰导致。解决措施是将相邻的AP设置到独立的3个工作频段中，可大大减少相邻AP之间的干扰。(4) 同频道干扰，其他同频AP或者其他系统干扰造成。如果是其他同频AP干扰造成，则将其设置到独立的3个工作频段之一；如果是其他系统干扰造成，则可能的话，降低其发射功率。(5) 多普勒频移效应，车载设备高速运动所致。提供的无线设备采用OFDM正交频分复用调制式，本身就适合于多普勒频移环境下传输数据。6无线网络的抗干扰能力的实现是通过多级接收滤波器来实现的。AP本身具有比较理想的抗干扰能力。接收局部只接收2.4GHz到2.483GHz之信号，对于其他频段的信号，均衰减，从而实现比较理想的抗干扰能力。2.2.3.8.2 干扰分析PIS无线传输网系统也会对其他工作于5.8GHz频段的系统造成干扰，一是发射信号的邻道功率，二是发射频谱杂散辐射。为了降低干扰，采取如下措施：(1) 在满足覆盖围的条件下，降低发射功率；(2) 采用定向天线，减少与其他系统的重叠围；(3) 如果其他系统也是WLAN 802.11n,则可以将其AP都设置在其他独立的工作频段上，并使用不同的网络IDSSID。(4) 本系统的邻道功率抑制到达40dB以上，频谱模板远优于802.11中的要求。发射频谱杂散辐射在各个频段上能够满足无线电委员会的要求。2.2.3.9 无线网络的平安2.2.3.9.1 无线网络RF的检测和保护一般的企业用户都误解无线网络是不平安的，其实如果使用恰当，不但能提升企业效益，还可以加强整个有线局域网的网络平安。由于家用无线网络AP的普及化，使很多企业员工为便把一些简单的AP带回公司使用。当这些AP接入到传输网上的以太网端口时，间接把传输网播送到外，可使企业外的人通过无线终端在企业外也可很容易进入局域网。2.2.3.9.2 检测和保护无线网络射频今天一般单纯以AP组建无线网都缺乏AP相互之间的协调和无线射频的监控能力，所以对企业围和边的无线网状况可以说是一无所知。就是企业部用户使用无线接入是否真的连接到企业设置的AP也不能充分肯定。采用了Aruba 无线系统就可把企业边无线环境显示出来，包括所有AP,如地铁无线网络边的AP和设置有误的AP或未经认可而连接到局域网的AP。2.2.3.9.3 阻挡非法(未经可)和设置有误的AP连接到地铁无线传输网络通过Aruba无线控制器的WEB界面，用户便可查看到是否有非法AP在传输网。网管人员亦可开启自动保护基制，阻止无线终端通过非法AP连接到传输网。这些非法的无线连接会被边最接近的Aruba AP透过所发出的802.11 De-Auth包所切断。802.11 De-Auth包会不停地发出直到在线的无线终端的无线连接被打断为止。假设要寻查非法AP的位置所在，只需在WEB界面按Locate这按钮，非法AP的位置就会显示在企业的办公室的图纸上(用户必须预先把企业无线网络的构造图输入Aruba无线控制器的RF Planning 系统)，网络管理人员就可根据图表显示的位置找到这AP。Aruba的自动保护系统是市场上最卓越和最全面的无线网络平安保护工具。要做到一个真正自动的保护机制就必须能正确识别所有在企业围检测出来的AP身份。如果把隔壁公司所安装和使用的AP视为非法AP的话，很容易就会把它们正常的无线连接打断，间接变成DOS攻击其它企业的网络。2.2.3.9.4 检测无线入侵今天已经有很多的无线入侵和攻击的工具可从下载，这些工具的普及对企业和运营商的无线网络构成重大的压力。今天绝大局部的无线网络都没有检测无线入侵的功能，所以当受到像无线DOS攻击时，就会误以为是无线射频的信号受干扰或AP出现不稳定情况。这些攻击在HotSpot会导致无线用户断线，但运营商仍懵然不知，用户则错误以为是网络问题，间接影响运营商的收入。单纯依赖AP是不可能检测出无线入侵的攻击，因为攻击数据包的记认须依靠AP来识别，但AP本质上就不是设计来区分数据包的格式，所以根本不能实现这样的功能。有些厂家则提供专门AP检测器和效劳器来监控无线网络，根本原理是通过AP检测器把包转发到效劳器上做较对，关键就是硬件体系是否有足够的处理能力来做检查。Aruba 无线网络系统是市场上少数可在单一平台上同时提供无线接入和检测无线入侵功能的厂家。2.2.3.9.5 无线网络入侵检测和保护Aruba 的特点是无线控制器是由专有的网络处理器和加密处理器组成，且置有一个无线入侵数据库，所以可以在同一的交换平台支援多种无线功能和高速度处理无线数据包的比照。当Aruba 系统检测出有入侵时，它会记录和显示入侵的格式，且可对*些入侵做出自动保护，防止其他恶意AP和用户的干扰。车地无线网络设备2.2.3.9.6 无线网络终端定位效劳Aruba 的另一特殊功能是可跟踪在企业所有Wi-Fi终端的位置，如PDA, Wi-Fi手机，和笔记本等。当地铁在安装Aruba无线系统之前或安装以后，网管人员可把地铁线路的图纸输入到Aruba无线控制器的RF Planning 系统，然后把AP安装的物理位置输入到图纸上的座标或具体的位置上。网管人员如需寻找一无线终端的所在位置时，例如非法AP或Wi-Fi 手机，在无线终端的记录表找到了终端的网络地址后，可按 Locate 这按钮，则网管界面会弹出在RF Planning上终端在地铁图纸的物理位置。这种无线定位模式称为三角定位，它的准确性可到达5米以，先决条件是所寻找的无线终端附近须有最小三个Aruba的AP 在围。这是传统无线网络所不能做的，在一些其他行业，如如医院就是采用了无线定位技术来取代传呼机在医院寻找医生、病人等。2.2.3.9.7 无线用户网络接入的管理无线接入和以太网接入的最大区别在于绝大局部的无线接入都必须用户做认证(OPEN System 接入除外)。通过认证后，每个无线用户可以被设定在一用户权限面版，这个面版定义了用户的防火墙策略，所在的VLAN，带宽，以致VPN的地址池。由于无线网的根本特性是用户可漫游(即没有一固定的接入点)，所以单纯基于端口，IP地址的防火墙策略是不能有效控制无线终端的访问。Aruba无线控制器置了一个ICSA认可的个人防火墙系统。当每个用户或终端通过无线接入认证后都会获得一个特定的防火墙策略(包含在用户权限面版)， 而企业IT可因应自身的情况来设定不同的IP效劳权限给不同的用户，如限制*些用户使用SIP效劳或制止用户访问*些效劳器或网段等。无线用户访问管理是一个非常重要的平安机制，且它必须和整个无线系统结合在一起，因为单纯的无线链路层保护是不能够有效控制无线用户网络访问和提供IP层的保护，如网络的蛔虫，像HAMMER、CODE RED等。如果采用一般的网络防火墙，则怎样把无线用户设置在不同的防火墙策略.2.2.3.9.8 网络的平安保护和检测由于无线终端接入是没有明确物理位置限制的(有可能在地铁线的外围也可接收到无线射频的信号)，所以管理极难以固定的网络防火墙设备来防无线连接(防火墙一般很少会设置在每一个接入层的数据链路上)。并且网络防火墙是不能防止无线终端之间的通信，所以万一有无线终端被病毒感染或黑客在无线发起攻击的话，它都很会容易散播到其它的无线终端及整个传输网络的其它网点。有一些单位为了平安就采用一刀切的法，把所有无线接入会聚到一个DMZ，再通过一网络防火墙的过滤才让无线数据进入企业网。这种式在具体实施时有一定的困难，只能局限在传输网的*些围，因无线用户/终端必需集中在一VLAN上处理，否则的话很难把它们会聚到一个DMZ。如果不是经过DMZ的话，则可能威胁到网的平安，但要把在不同接入点AP的无线用户/终端和有线用户(在同一接入点)完全分隔开而设置到DMZ上的同一个VLAN则需在现有的局域网做很多改动。且未来如要增加多一些AP接入点的话，亦同样需要在局域网的接入层，会聚层做很多改动。采用传统的网络防火墙来实现无线接入平安保护的最大问题是缺乏灵活性，因它本质上不是设计来做部的平安保护，而是用来确保外来数据进入企业网是平安可靠的，所以一般都会设置在企业因特网的连接口。从因特网进入企业网和企业部的无线接入的最大区别在于后者是可对用户做认证，但前者是不可能实现。由于不能确认用户的身份，所以防火墙的检查或策略只可按端口和IP 原地址来制定，不管用户是谁。这种模式在企业部署会对用户的网访问有很多限制，缺乏灵活性，所以是很难被用户广泛承受，只可在小围或小规模的情况下实现。要做到实施和维护简单便，亦可根据用户身份来制定平安访问策略，Aruba的无线解决案就可以彻底解决这些问题。2.2.3.9.9 无线局域网的认证和加密平安可以说是企业是否采用无线网的最主要考虑因素。网络平安围是非常广，从无线电波，无线链路层，以致网络层和应用层等，它们都是息息相关和相互影响。如果单纯只考虑无线接入层的平安而把网络层分开处理的话，就会把整个网络的平安构造打断，不但在现有网络上需重新设置以配合，令网络维护变得更复杂和缺乏灵活性，且一不小心更会造成平安漏洞。Aruba和其它厂家在认证和加密上的最大区别在于二者都不是通过AP来实现的，而是在Aruba交换机上实现。这种构造称为集中加密式，不单比在AP上做加密更平安，且大大简化了用户(radius)认证设置和管理。试想当用户透过WPA登陆无线网时，认证是必须经过后台的radius 效劳器，亦即前端必须有radius clients如果AP是radius client的话，则在一个地铁无线局域网，便须设置和管理很多radius clients (假设要同时管理200个 AP)，这不但加添了不必要的麻烦，且亦增加了网络平安的漏洞，因radius 的secret 密码都是储存在AP，所以万一AP被盗窃，它的Radius secret便泄露，这样整个网络的平安都会受到威胁。由于Aruba的AP是不储存任平安设置和无线局域网具体配置(AP IP地址除外)，再者Aruba 的AP是不能单独使用，所以就算Aruba AP被盗取，黑客也不会拿到无线网络配置的资料。2.2.3.10 网络性能优化设计如对网络进展优化、降低不必要的播送流量、提升网络整体性能是无线网络设计中必不可少的一个环节。一般而言，为了缩小播送域，减轻网络二层播送流量对网络、对终端的性能压力，网络管理员往往采用每个VLAN对应一个C类地址，来设置一个IP子网，网络的掩码一般是，每个子网最多可以容纳253个用户。但是由于大多数无线局域网厂商都只能做到1个SSID对应1个VLAN，这样的带来的问题就是当建立一个大规模的无线校园网的时候，为了能够允更多的无线用户同时连接这个SSID，必须提高这个SSID所映射VLAN的IP子网规模，比方一个假设干个C类地址甚至是B类地址。这样的设计与网络管理员缩小播送域的愿望完全是背道而驰的，会使得所有的用户集中在同一个VLAN，也就是同一个播送域，从而导致网络中充满着大量的播送包，并进一步造成终端处理能力的下降和网络拥塞。在民族学院的无线网络建立中，ARUBA提供以下两种技术手段对网络进展优化： VLAN Pool技术通过VLAN Pool技术，可以在ARUBA无线控制器上为一个SSID映射多个VLAN，当无线用户连接这个SSID时，ARUBA无线控制器会通过Hash算法将无线终端负载均衡地分配到所对应的多个VLAN，从而大大减小了播送域的围 播送过滤技术ARUBA无线控制器凭借其强大的硬件处理能力，还能够提供播送过滤技术，通过该技术对网络中的播送包进展过滤，使得(1)DHCP播送允通过；(2)ARP播送转换为单播后只在相关AP上发送；(3)屏蔽其它不必要的播送包。这样，就使得无线信道上的播送流量大幅度的降低，从根本上实现了对播送包的抑制和网络性能优化。2.2.4 IPv6支持Aruba无线产品目前已经支持IPv6流量转发，IPv6防火墙，以及基于IPv6的网络管理等全部IPv6功能及特性。全系无线产品均支持IPv4/IPv6双栈，从而为用户提供和有线网近乎同等的应用承载：IPv6的功能特点1、支持IPv6的状态检测用户防火墙和IPv6 RA过滤；2、无线控制器支持MLD Snooping，配合现有IPv6有线网络，实现IPv6组播业务；3、AP和无线控制器之间可以建立基于IPv6地址的隧道，多个无线控制器之间可以建立基于IPv6地址的隧道；4、支持IPv6管理特性；5、基于Web Portal的IPv6用户身份认证；ARUBA无线控制器可以截获未认证IPv6用户的Http和Https请求，并将其重定向到Portal认证页面，对未认证IPv6用户进展身份验证。6、基于用户角色的IPv6防火墙策略； 根据Web Portal认证的结果以及从Radius认证系统返回的用户属性，ARUBA无线控制器为每个IPv6用户分配相应的角色，并实施IPv6防火墙策略。7、基于IPv6的无线用户网络透传和路由效劳； 对于通过身份认证的IPv6用户，ARUBA无线控制器提供IPv6透传和路由效劳，无线用户的IPv6网关可以指向校园IPv6网络核心设备或者ARUBA无线控制器，并由无线控制器提供IPv6二层转发或路由效劳。8、基于IPv6的网络管理和系统日志。ARUBA无线控制器提供基于IPv6的网络管理功能，网络管理员可以通过纯IPv6网络直接访问无线控制器的IPv6管理效劳接口，并通过IPv6日志效劳器接收来自无线控制器的系统日志。3. Aruba无线网络特点总结3.1 大规模商业应用证明的成熟性和稳定性作为全球领先的高校无线网络解决案供应商，ARUBA的无线解决案在各个行业均获得了大规模的应用，其中不仅包括Microsoft、SAP、Google这样的高科技企业，也包括耶学校、麻省理工学院、俄亥俄州立学校、华盛顿学校、卡基-梅隆学校以及剑桥学校等世界知名的高等学府，还包括Medstar Health、The Ottawa Hospital、SHARP HealthCare、SAMSUNG Medical Center以及台大医院等众多高等级医疗机构。此外，ARUBA无线网络解决案在中国也获得了大规模的部署，包括西北民族大学、延边大学、理工、东南学校、邮电、中国政法学校、*财经学校、中国地质大学、华东师学校、大学等重点院校，也包括中央电视台、*浦东国际机场、地铁、地铁、山核电、华电国际发电集团等各大用户。在长期的商业运行中，ARUBA无线解决案经过了市场的格考验，具有已获市场证明的成熟性与稳定性。3.2 有线无线统一认证管理Aruba无线解决案支持有线无线统一认证管理，连接到Aruba控制器上的有线用户也需要进展与无线用户一样的认证之后才能继续上网，并且获得相应的权限，真正做到了有线无线的统一平安接入。3.3 基于角色的网络访问控制Aruba无线控制器支持“Rolebase平安角色管理，可以实现同一台笔记本用两个不同用户名登录无线网络可以获得不同的带宽、Vlan及访问策略，也可以实现不同的无线类型的终端获得不同的role。3.4 多层次的平安保护ARUBA无线控制器提供业界独有的多层次的无线平安来保护无线资源、数据、网络和用户。配以完善的射频监控技术，获得专利的分类引擎让管理员可以通过自动检测非授权用户、抑制非法AP 和保证用户不会连接到非法AP 等法来保护无线资源。链路层的平安包括支持WEP、动态WEP、TKIP和AES 协议以保护用户数据平安。基于802.1* 认证与标准的认证机制如RADIUS、LDAP 和Active Directory 一起，并结合链路层的加密来保护用户的隐私。并可在作802.1*加密认证的同时，对用户终端设备首先进展认证，这样设备用户认证的式，极大提高了网络的平安和可靠度。同时，ARUBA的无线控制器也可以终结IPSEC，PPTP，L2TP等多种VPN 隧道。