华为无线解决方案

文档编号201111171密级CRM项目技术类文档XX集团华为无线覆盖方案设计Version 1.02013年3月1 概述32 xx集团WLAN网络设计方案32.1 网络设计原则32.2 无线信号质量分析32.3 无线网络总体架构42.4 无线设计52.5 SSID 规划102.6 无线安全性设计102.6.1 WLAN终端认证102.6.2 用户身份验证112.6.3 组网保护112.6.4 接入安全方案112.7 移动漫游设计123 华为WLAN解决方案的优势134 华为WLAN设备关键特性144.1 华为AP介绍144.2 华为AC介绍141概述无线局域网（WLAN）技术于20世纪90年代逐步成熟并投入商用，既可以作传统有线 网络的延伸，在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点： 简易性：WLAN网桥传输系统的安装快速简单，可极大的减少敷设管道及布线等 繁琐工作； 灵活性：无线技术使得WLAN设备可以灵活的进行安装并调整位置，使无线网络 达到有线网络不易覆盖的区域； 综合成本较低：一方面WLAN网络减少了布线的费用，另一方面在需要频繁移动 和变化的动态环境中，无线局域网技术可以更好地保护已有投资。同时，由于 WLAN技术本身就是面向数据通信领域的IP传输技术，因此可直接通过百兆自适 应网口和企业、内部Intranet相连，从体系结构上节省了协议转换器等相关设备； 扩展能力强：WLAN网桥系统支持多种拓扑结构及平滑扩容，可以十分容易地从 小容量传输系统平滑扩展为中等容量传输系统；2 xx集团WLAN网络设计方案2.1网络设计原则此次无线局域网建设有以下需求：1. 利用无线网技术实现无线覆盖，使员工能够随时随地、方便高效地访问 Internet。2. 实现无线上网用户的认证，销户，监控等功能。3. 对于无线AP设备实施统一管理和监控。4. 无线网络的部署需要考虑简单方便，天线需要采取比较友好的设计，不 能让用户感受到压力。5. 关注安全性，无线用户之间彼此隔离，防止ARP攻击，并限制上网流量。6. 无线AP全部采用POE交换机供电。2.2无线信号质量分析下图为WLAN信道分配情况，在2.4GHz-2.4835GHz范围内共13个相邻子信道，一般不相干扰的复用信道组合为（1, 6, 11）或（1, 7, 13）2.417, 2.4272.437. 2.447, 2.4572.4672.4122.4222.4322.4422.4522.4622.4722.484下表中体现的是三种频率间隔情况下，随着两AP间距的变化，终端连接信 号质量及吞吐量的变化。颜色代表适配卡配置软件中，检视连接信号质量窗口显 示的颜色。表格中数值表示吞吐量，单位为kbytes/s。ChannelCh1Ch6Ch4Ch6Ch5Ch6Separation25MHz10 MHzHzDistanceAP1STA1AP2STA2AP1 STA1AP2STA2AP1STA1AP2 STA21M509510254223467182M523524238188461533M556553447151438884MOKOK4422484181895MOKOK4353094252246MOKOK5064404272568MOKOK51149246729010MOKOK53252048932712MOKOK55452349848714MOKOK53452453449316MOKOK521510528506在多用户情况下，实际情况会更差些。上述数据仅供参考，实际网络需根据测试结果确定。2.3无线网络总体架构1. 采用AC6605-26-PWR作为本次无线覆盖项目的无线控制器2. 采用AP3010DN-AGN作为本次无线覆盖的室内无线接入点.3. 采用S2700-9TP-PWR-EI作为POE接入交换机4. 采用S5700-28C-SI作为无线网络的核心交换机5. 采用USG2210作为网络防火墙接入internet.整体拓扑图如下a楼眼a楼瓯我们设计采用PoE供电方式，由S2700为华为的无线AP进行供电，以超五 类网线互联，最后通过楼层接入交换机连接入核心交换机，无线控制器与核心交 换机互联，无线控制器通过管理VLAN管理无线AP，最后通过防火墙连接 Internet。这样整个无线网可以实施灵活的无线划分。2.4无线设计根据无线网络需求及实地的测试堪察，并结合以往的工程经验，对无线网络做出以下规划3层布点：6层布点:KTF?E访2T ；A.| I伊 LiT7层布点:枷I设备清单:序号型号产品名称数量单价 设备单 价合计一、防火墙1USG2210USG2210交流主机-含HS通用安 全平台软件1二、核心交换机1S5700S-28P-LI-ACS5700S-28P-LI-AC 主机（24 千兆RJ45,4千兆SFP,交流供电）12LS5M100PWA00交流电源模块组件23eSFP-GE-SX-MM850光模块-eSFP-GE-多模模块 （850nm,0.5km,LC24ST-LC千兆多模光纤跳线，3米25LC-LC千兆多模光纤跳线，3米1三、接入核心交换机1S2700-9TP-PWR-EIS2700-9TP-PWR-EI 主机（8 百兆 RJ45,1 千兆 Combo,PoE,交流供 电）32eSFP-GE-SX-MM850光模块-eSFP-GE-多模模块 （850nm,0.5km,LC23ST-LC千兆多模光纤跳线，3米24LC-LC千兆多模光纤跳线，3米1四、无线AC1AC6605-26-PWRAC6605-26-PWR-64AP 组合配置（含 AC6605-26-PWR 主机）12ES0W2PSA0150150W交流电源模块13L-AC6605-16APAC6605无线接入控制器AP资源授 权（16 AP）1五、无线AP1AP3010DN-AGNAP3010DN-AGN 组合配置（11n,室 内普通型,2x2单频，内置天 线，50mW,）13六、SI服务1调试费SI人工1七弱电布线1康普六类非屏蔽网 线22康普六类24 口配线 架23康普六类模块134康普六类2米软跳 线275康普双孔面板136PVC阻燃线管、明线 盒等17施工费（铺管、布线、 端接、测试）138无线AP设备加固及13安装总价2.5 SSID 规划U从用户使用安全角度考虑。使用上网业务人群主要分为三类(公司员工(8M),外来 人员(5M),开会人员(2M)，因此建议建立3个SSID，方便管理及增加安全性。1、限速(512k)2、2.6无线安全性设计2.6.1 WLAN终端认证IEEE 802.11标准要求WLAN终端在准备连接到网络时，必需进行“身份验 证”。WLAN终端身份认证主要有两种方式：开放系统认证(Open-system Authentication) 和共享密钥认证(Shared-Key Authentication)。开放系统认证是IEEE 802.11标准要求必备的一种方法，是最简单的认证算 法，即不认证。如果认证类型设置为开放系统认证，则所有请求认证的客户端都 会通过认证。在这种方式下，接入点并未验证工作站的真实身份，工作站以MAC 地址作为身份证明，这种验证方式可以让所有符合802.11标准的终端都可以接 入到WLAN网络中来。开放系统身份验证比较适合有众多用户的电信运营WLAN网 络。共享密钥式认证必需使用加密方式，要求每个WLAN终端都镜头配置和AP完 全一致的密钥(key)。由于配置工作量较大，一般适用于企业网、校园网及家庭 网络等。二者对比如下:认证方式优点劣势适用场景开放式系 统认证部署简单，终端接入速度 快，有效带宽高安全性差：无法检验客户端是否 合法，任何知道无线局域网SSID 的用户都可以访问网络电信运营网 络共享密钥安全性较高：米用了加密方配置复杂，可扩展性不佳：每台企业网、校园式认证式对密钥进行保护，空口密终端和AP上都需要静态配置一网及家庭网钥数据不再明文传输个很长的密钥字符串有效带宽较低：加密降低了传输 效率络等2.6.2用户身份验证相对于简单的STA身份验证过滤机制，链路层用户身份验证的安全性大大提 高。通过提供有限的访问权限来验证用户身份，只有确定用户身份后才给予完整 的网络访问权限，可有效判别用户的合法性。链路层身份验证时透明的，能配合 任何网络层协议使用。WLAN 的链路层身份验证主要有 Portal（DHCP+WEB）、802.1X、PPPoE、WAPI 等几种认证方式。2.6.3组网保护华为 AC 产品接口丰富，支持 LACP （Link Aggregation Control Protocol， 以下简称 LACP）和 MSTP （Multiple Spanning Tree Protocol，以下简称 MSTP） 等组网保护机制，可提供端口级冗余保护，及设备级1+1快速备份。2.6.4接入安全方案华为AC均支持开放系统认证、WEP加密、共享密钥认证、WPA/WPA2认证合 加密、WAPI认证加密等无线接入安全特性。特性指标WLAN安全模板管理 支持通过WLAN安全模板管理认证和加密方式。 支持安全模板绑定到ESS模板。 最多支持256个AP配置模板。OPEN-SYS方式认 证支持“OPEN-SYS认证+无加密”方式。WEP认证加密 支持WEP的认证/加密方式。 每个AP最多支持4个WEP加密方式的VAP。 WEP认证加密在AP实施，认证结果通知AC。WPA/WPA2认证加 密 支持AC集中认证方式。 支持“WPA/WPA2-PSK+TKIP ”的认证/加密方式。 支持“WPA/WPA2-PSK+CCMP ”的认证/加密方式。 支持“WPA/WPA2-802.1x+TKIP”的认证/加密方式。 支持“WPA/WPA2-802.1x+CCMP”的认证/加密方式。W特性指标/API认证加密 支持AC集中式WAPI认证。 支持WAPI多信任证书方式（3证书），兼容传统双证书方式。 支持证书和私钥合一的发放方式。 支持WAPI加密的启用/禁用。2.7移动漫游设计无线用户移动漫游，涉及到多个层次的漫游，最为简单的是二层漫游，其他 厂家产品都表现不错，三层漫游就困难多了，还有当用户跨越多个域时怎样无缝 漫游，华为无线局域网可以实现快速无缝漫游功能。L2/L3层漫游在传统的无线局域网内，无线终端要跨越不同AP之间漫游是有一定的困难， 因为不同AP之间，它的无线用户IP子网可能都不是在同一个VLAN内。所以当 无线终端从一个AP漫游到另一 AP时，由于它们之间的缺省IP子网不同，无线 终端会重新发出DHCP请求，这样的话终端的IP地址就会更新，所有在原先AP 建立的连接都会被切断。过去为了解决跨越三层的漫游，有些用户采用了 Mobile IP的技术，但Mobile IP的缺点是它必须在无线终端安装软件。这是一般网络 管理人员不愿意做的事情，因为它们就必须支持和维护用户的无线接入端。通过华为无线系统，可解决了跨越不同三层IP子网的无线漫游问题。在不 同域之间的用户认证和漫游在大型网络内，一般都有很多不同的部门，部门内通常都有自己的用户数据 库，即所谓的本地认证服务器。在实现应用时，要求有单一的认证数据库是未必 可行的，但同时无线用户应是可在内无缝漫游。当用户不是在本地入网或是从 一个部门的接入点漫游到另一部门的接入点需要重新认证时，如果用户名和密码 在当地的数据库是不存在的话，则用户会被断线。要做到真正的无缝漫游，则需 要有支持Radius代理这样的功能。但由于不是所有的认证服务器都支持这种功 能所以在具体实施时也有一定的困难。华为本身就可提供不同域之间的认证功 能，域名可以与SSID绑定，亦可以让用户在登陆网页时输入或选择域名。华为 会把在不同域之间的认证请求转发到对应这域的radius服务器处理。3华为WLAN解决方案的优势华为是全球领先的电信解决方案供应商，是全ip融合时代的领导者。华为 的产品和解决方案已经应用于全球100多个国家，服务全球运营商50强中的45 家及全球1/3的人口，与联通集团和北京联通拥有长期稳定而紧密的合作。华为 对北京联通现网组网方案、设备形态乃至业务模型有着深刻的认识，华为有能力 更有意愿帮助北京联通从全网端到端的角度提供最优的WLAN解决方案，分享自 己对全球对整个宽带网络技术发展变化以及未来移动宽带数据业务发展趋势的 理解。华为早在2000年就投入WLAN技术和产品领域的研发，是国内首批成为Wi -Fi成员以及WAPI联盟成员的厂商。华为也是国内WLAN相关标准制定的积极 参与者，与运营商合作先后共同推出了基于SIM认证和Web认证的标准以及相关 WLAN企业标准。华为WLAN技术预研团队，在802.11s Mesh、智能控制和算 法等前沿领域深入研究，先后注册和获得专利近百项。长期以来，华为持续关注WLAN网络从企业网向电信运营网络的演进，聚焦 WLAN组网模式变化中形成新问题、新需求，敏锐把握并及时推出契合WLAN电信 运营需要的解决方案，率先推出基于FTTx+WLAN+3G FMC融合的电信运营级WLAN 解决方案，首创基于BRAS和OLT的业务融合型AC，首推业内容量第一的大容量、 可扩展的插卡式人目前华为802.11n全系列智能AP产品已规模上市：盒式AC容量达到业界一流标准，支持CAPWAP硬件转发，性能强劲， 可灵活应用于直连式或旁挂式组网，自信面对11n时代海量数据的汹涌冲 击；支持设备级和端口级冗余备份，完全满足电信运营网络的高可靠性要 求 插卡式AC最大容量可达14K，业内第一，可直连BRAS,减少用于业务 控制的网元数量，简化网络结构，部署快捷、扩容方便；优化业务控制， 降低AC与AP中间网络设备的功能性能要求基于ME60的业务融合型AC，减少网元数量，简化网络结构，业务控制 层面的融合，最大可支持4K AP的管理，可应用于大规模WLAN组网，集成ME60自身的高可靠、高性能、强大的业务控制能力以及丰富的网络 接口，全网可靠性高 FTTW承载WLAN业务数据，利用光纤接入网络支持WLAN网络的广域 部署；通过无源光配线网络，减少有源设备的使用，简化网络层次，提高 整网可靠性；通过PON网络P2MP的网络结构和高带宽、大分光比的特 质，可灵活扩展，支持802.11b/g网络向802.11n网络的平滑演进智能天线技术，密切监控覆盖区域内WLAN终端，随动转向、定向增益， 强力抑制干扰信号，大大降低同频干扰机率，在同频干扰环境中，吞吐率 相对普通全向天线AP高出70% AP智能化，开通配置零接触，即插即用；胖瘦一体自适应;独有负载均衡 算法，完美削峰填谷；智能选择信道，自动调整P功率、速率，绿色节 能；可大大简化部署和运维成本4华为WLAN设备关键特性4.1华为AP介绍AP3010DN-AGN 是SMB 分销级的双频无线AP(Access Point)，支持2*2MIMO，支 持2.4GHz和5GHz频率，遵循IEEE 802.11b/g/n标准，双频同时提供业务，提供更高的 接入容量，支持Fit模式的WLAN(Wireless Local Area Network)接入点设备。AP3010DN-AGN具有完善的业务支持能力，高可靠性，高安全性，网络部署简单，自 动上线和配置，实时管理和维护等特点，满足室内放装型网络部署要求。AP3010DN-AGN可以为中小型企业提供基本的802.11n无线网络，该类型设备可根据不 同环境灵活实施分布放装。4.2华为AC介绍AC6605是华为技术有限公司推出的无线接入控制器，提供大容量、高性能、高可靠性、易 安装、易维护的无线数据控制业务，具有组网灵活、绿色节能等优势AC6605具有以下特 点和性能：日 强大的接入容量，最大可管理1024个AP(Access Point)，达到盒式AC(Access Controller)设备的业界最高水平。村 提供智能用户组策略管理。日 具有 CAPWAP (Control And Provisioning of Wireless Access Points)隧道硬 件线速转发功能。村设备可通过网管eSight、命令行(CLI)进行维护。支持以太网 OAM (Operation, Administration and Maintenance)