工程概況

       采(cai)取通行的(de)網(wang)絡協議標準(zhun)(zhun)：目前無線(xian)(xian)局域網(wang)普遍(bian)采(cai)用(yong)(yong)802.11系列(lie)標準(zhun)(zhun)，因此無線(xian)(xian)局域網(wang)將主要(yao)支持802.11g（54M帶寬）標準(zhun)(zhun)以提供(gong)可(ke)供(gong)實際應用(yong)(yong)的(de)相對的(de)網(wang)絡通訊服務，同時兼顧(gu)多(duo)種(zhong)類(lei)型(xing)應用(yong)(yong)和(he)將來的(de)投(tou)資(zi)保護，需要(yao)同時支持801.11a，802.11b，實現雙頻三模技術(shu)；

覆蓋范圍要求：

       1、有線(xian)網(wang)(wang)絡無法接(jie)入(ru)(ru)的室外(wai)場(chang)所：區域(yu)內一(yi)些場(chang)所很難實現(xian)網(wang)(wang)絡有線(xian)接(jie)入(ru)(ru)，采用無線(xian)方(fang)式可以實現(xian)覆蓋大范圍室外(wai)空(kong)間的無線(xian)網(wang)(wang)絡接(jie)入(ru)(ru)。

       2、有(you)線(xian)網(wang)(wang)絡(luo)(luo)使用不便(bian)或受限(xian)的(de)(de)室內空(kong)間：區域內一(yi)些室內場所空(kong)間較大，會產生許多(duo)人同時接入網(wang)(wang)絡(luo)(luo)的(de)(de)需(xu)求，采用有(you)線(xian)的(de)(de)方式只能提供(gong)少量接口，不能滿足要求。用無線(xian)網(wang)(wang)絡(luo)(luo)覆蓋來解決(jue)相當數量的(de)(de)移動設(she)備同時訪問網(wang)(wang)絡(luo)(luo)的(de)(de)問題。

無線網網絡結構(gou)要求：

       無(wu)線接(jie)入所需(xu)布(bu)設(she)的(de)AP通過局(ju)域網(wang)的(de)匯聚(ju)層(ceng)設(she)備(bei)接(jie)入到(dao)局(ju)域網(wang)中(zhong)，在匯聚(ju)層(ceng)都提供相應的(de)接(jie)口給無(wu)線網(wang)線，在接(jie)入層(ceng)設(she)備(bei)要在方案中(zhong)進行描(miao)述(shu)。

設計方案

一、整網邏輯拓撲圖

二、無線用戶認證解(jie)決方案

       本方(fang)案主(zhu)要(yao)采用(yong)portal認證(zheng)，無(wu)線(xian)AP與無(wu)線(xian)控制器通過(guo)二層隧道協議(yi)通信(xin)，無(wu)線(xian)用(yong)戶的認證(zheng)點都是(shi)放(fang)置于無(wu)線(xian)業務插卡(ka)設備(bei)上(shang)，后臺(tai)的iMC認證(zheng)計費系(xi)統作為用(yong)戶鑒(jian)權(quan)點。

       鑒(jian)于(yu)目(mu)前無線網絡本次規模，從網絡支撐能力的(de)角度來看(kan)，需要1塊板卡就可以實(shi)現。針對(dui)無線用戶，無線控制器作(zuo)為802.1x認證(zheng)的(de)終結(jie)點，iMC認證(zheng)計(ji)費系統(tong)作(zuo)為最后的(de)鑒(jian)權點，當(dang)用戶在AP內進(jin)行(xing)切(qie)換(huan)時(shi)(shi)，此時(shi)(shi)的(de)主要工作(zuo)由(you)無線交換(huan)機(ji)進(jin)行(xing)統(tong)一(yi)調度，當(dang)用戶在不(bu)(bu)同的(de)端(duan)口下的(de)不(bu)(bu)同AP的(de)覆(fu)蓋范圍時(shi)(shi)，此時(shi)(shi)用戶不(bu)(bu)會再次觸發認證(zheng)。 

三(san)、整網安全解(jie)決方案(an)

       無(wu)(wu)線(xian)局域(yu)網(wang)(wang)絡(luo)公眾型(xing)網(wang)(wang)絡(luo)，網(wang)(wang)絡(luo)安(an)(an)(an)(an)全(quan)(quan)問(wen)題在(zai)建網(wang)(wang)時(shi)必須考(kao)慮問(wen)題，安(an)(an)(an)(an)全(quan)(quan)方(fang)式主(zhu)要側重(zhong)幾個(ge)方(fang)面：用戶(hu)安(an)(an)(an)(an)全(quan)(quan)、網(wang)(wang)絡(luo)安(an)(an)(an)(an)全(quan)(quan)，而在(zai)局域(yu)網(wang)(wang)絡(luo)中(zhong)主(zhu)要依附于用戶(hu)實(shi)體的(de)(de)屬性主(zhu)要包括用戶(hu)使用的(de)(de)信(xin)息終端二層屬性（諸如：MAC地址）及用戶(hu)的(de)(de)帳(zhang)號(hao)、密(mi)碼，而對于用戶(hu)來，帳(zhang)號(hao)信(xin)息都是一個(ge)實(shi)名原(yuan)則，與用戶(hu)的(de)(de)個(ge)人信(xin)息進(jin)行(xing)關聯的(de)(de)，這樣本無(wu)(wu)線(xian)網(wang)(wang)絡(luo)中(zhong)著(zhu)重(zhong)考(kao)慮使用無(wu)(wu)線(xian)網(wang)(wang)絡(luo)的(de)(de)空口信(xin)息的(de)(de)安(an)(an)(an)(an)全(quan)(quan)機制，同時(shi)也要考(kao)慮與無(wu)(wu)線(xian)相關的(de)(de)有(you)線(xian)網(wang)(wang)絡(luo)的(de)(de)安(an)(an)(an)(an)全(quan)(quan)問(wen)題，對于原(yuan)有(you)有(you)線(xian)網(wang)(wang)絡(luo)的(de)(de)安(an)(an)(an)(an)全(quan)(quan)問(wen)題，在(zai)本技(ji)術建議(yi)書中(zhong)不作相應的(de)(de)考(kao)慮；

無線網(wang)絡安全(quan)部分主要包括(kuo)以(yi)下方面的內容：

       1、MAC地(di)址(zhi)過(guo)濾(lv)：目前支持基于MAC地(di)址(zhi)的(de)過(guo)濾(lv)，限制具有某種類(lei)型的(de)MAC地(di)址(zhi)特(te)征的(de)終端才(cai)能進入網絡中；

       2、SSID管理(li)：是一(yi)種網(wang)絡標(biao)識(shi)的(de)方案，將網(wang)絡進行一(yi)個(ge)邏輯化標(biao)識(shi)，對終端上發的(de)報(bao)文都要(yao)求(qiu)進行上帶SSID，如果沒有(you)SSID標(biao)識(shi)則不能進入網(wang)絡；

       3、WEP加(jia)(jia)密(mi)：WEP加(jia)(jia)密(mi)是一(yi)種靜態加(jia)(jia)密(mi)的(de)(de)機制，通信雙方具有一(yi)個共同的(de)(de)密(mi)鑰(yao)，終端發送的(de)(de)空(kong)口信息(xi)報文必須使用共同的(de)(de)密(mi)鑰(yao)進行加(jia)(jia)密(mi)；

       4、支(zhi)持AES加密(mi)，AES安全機(ji)制(zhi)是一(yi)種(zhong)動態(tai)密(mi)鑰(yao)管理機(ji)制(zhi)，同時(shi)密(mi)鑰(yao)生成也(ye)(ye)基(ji)于不對(dui)稱密(mi)鑰(yao)機(ji)制(zhi)來實現的(de)(de)，同時(shi)密(mi)鑰(yao)的(de)(de)管理也(ye)(ye)定期更新，具有體的(de)(de)時(shi)間由系(xi)統可(ke)以設定，一(yi)般情況都設定為5分(fen)鐘(zhong)(zhong)左(zuo)右，這樣非法用戶要想在5分(fen)鐘(zhong)(zhong)之內進(jin)行(xing)獲取足夠數量的(de)(de)報(bao)文進(jin)行(xing)匹配出(chu)密(mi)鑰(yao)出(chu)來，從無線空口(kou)的(de)(de)流理來看，基(ji)本上是不可(ke)能的(de)(de)；

       5、可(ke)根據(ju)用(yong)戶(hu)名來(lai)劃分權限，即(ji)相同(tong)用(yong)戶(hu)在不(bu)(bu)同(tong)地點接入無線網絡其權限保持一(yi)致(zhi)；密鑰設(she)置可(ke)能(neng)根據(ju)SSID信息與用(yong)戶(hu)信息進行(xing)組合，即(ji)不(bu)(bu)同(tong)的SSID下不(bu)(bu)同(tong)的用(yong)戶(hu)的密鑰生(sheng)成可(ke)以不(bu)(bu)一(yi)樣，這(zhe)樣一(yi)定程(cheng)度上保證用(yong)戶(hu)之間(jian)串號問(wen)題產生(sheng)，從而保護投資，以達到營維平衡(heng)；

       6、實(shi)現(xian)流量異常、報文異常監管，從而保護網絡的進一步(bu)安全；

四、頻(pin)率規(gui)劃與負載均衡(heng)解決方案

頻率規劃（支持雙頻三(san)模(mo)，建議部署802.11g）

       802.11g使用(yong)開放的2.4GHz  ISM頻段(duan)，可工(gong)作(zuo)的信道(dao)數為歐洲(zhou)標準(zhun)信道(dao)數13個。由(you)于(yu)(yu)其(qi)支持(chi)直(zhi)序擴頻技術造(zao)成相(xiang)鄰頻點之間存在重疊。對(dui)(dui)于(yu)(yu)真正相(xiang)互不重疊信道(dao)只有(you)相(xiang)隔(ge)5個信道(dao)的工(gong)作(zuo)中心(xin)頻點。因此(ci)對(dui)(dui)于(yu)(yu)802.11g在2.4GHz地(di)工(gong)作(zuo)頻段(duan)，理論上只能進(jin)行三信道(dao)的蜂窩規(gui)劃實(shi)現對(dui)(dui)需要規(gui)劃的熱(re)點的無縫覆蓋。此(ci)外，由(you)于(yu)(yu)功率模板是(shi)否能做到符合鄰道(dao)、隔(ge)道(dao)不干擾也非(fei)常影響頻率規(gui)劃的效果。

       針對如何進行802.11g的(de)(de)頻(pin)率規劃作了大量(liang)的(de)(de)實驗(yan)，實驗(yan)證明3載(zai)頻(pin)也可(ke)以實現(xian)蜂窩對需要覆(fu)蓋的(de)(de)區域進行無(wu)縫覆(fu)蓋，并(bing)提供更高的(de)(de)服務帶寬(kuan)提高服務質量(liang)，和高帶寬(kuan)業務的(de)(de)開展。

圖3 頻率規(gui)劃原理圖

頻率規劃需(xu)要配合使用的功能包括(kuo)

    1、AP支持13個信道設

    2、AP支(zhi)持100mW最大(da)射頻功(gong)率(lv)以及多級(ji)功(gong)率(lv)控制

    3、AP支持(chi)外置(zhi)天線(xian)(xian)以及定(ding)向天線(xian)(xian)

    4、針對特殊應(ying)用還(huan)需要AP支持橋接(jie)功(gong)能(neng)、接(jie)入功(gong)能(neng)以及WDS功(gong)能(neng)

五、無線網(wang)絡管理解(jie)決方案

       基于標準(zhun)的(de)SNMP協議(yi)實現(xian)對(dui)(dui)設備的(de)管(guan)理(li)(li)，專門(men)的(de)無(wu)(wu)線(xian)(xian)局域(yu)網管(guan)理(li)(li)軟(ruan)件Quidview無(wu)(wu)線(xian)(xian)組件可(ke)實現(xian)對(dui)(dui)WLAN所有網元的(de)管(guan)理(li)(li)。網管(guan)工(gong)作(zuo)站可(ke)以放(fang)在網上的(de)任意(yi)位置(zhi)，通(tong)過標準(zhun)的(de)SNMP即可(ke)實現(xian)對(dui)(dui)無(wu)(wu)線(xian)(xian)交換機的(de)管(guan)理(li)(li)。無(wu)(wu)線(xian)(xian)交換機可(ke)以實現(xian)更(geng)為強大的(de)管(guan)理(li)(li)包括AP的(de)自動拓(tuo)撲(pu)發現(xian)、自動升級、批(pi)量(liang)配置(zhi)、分(fen)級管(guan)理(li)(li)、分(fen)級告警等(deng)，并(bing)可(ke)實現(xian)針對(dui)(dui)無(wu)(wu)線(xian)(xian)覆蓋空間內的(de)射(she)頻掃描、非法接(jie)入點(dian)監(jian)聽等(deng)安全功能。而(er)無(wu)(wu)線(xian)(xian)局域(yu)網管(guan)理(li)(li)軟(ruan)件WXM可(ke)以實現(xian)配置(zhi)管(guan)理(li)(li)整個WLAN無(wu)(wu)線(xian)(xian)網絡，其(qi)具備以下特點(dian)：

       1、零配(pei)置(zhi)安(an)裝：接(jie)(jie)入(ru)(ru)點無需準備預設置(zhi)，AP從無線(xian)(xian)控制(zhi)器繼承配(pei)置(zhi)信息。可將無線(xian)(xian)控制(zhi)器接(jie)(jie)入(ru)(ru)中(zhong)心機房核(he)心交換機中(zhong)，無線(xian)(xian)AP無需事先進(jin)行任何(he)配(pei)置(zhi)，即通過接(jie)(jie)入(ru)(ru)層交換機接(jie)(jie)入(ru)(ru)有線(xian)(xian)網(wang)絡，并自動注冊到無線(xian)(xian)控制(zhi)器上，獲取DHCP SERVER分配(pei)的IP地址(zhi)，并自動下載(zai)配(pei)置(zhi)文件(jian)正常工作，在(zai)大規模AP的項目中(zhong)大量節(jie)省安(an)裝維護(hu)成本。

       2、防盜(dao)防入侵：敏感配置(zhi)(zhi)信(xin)息(xi)不在本(ben)地保存(cun)，即(ji)使(shi)設備被入侵被盜(dao)也不會丟失安(an)全信(xin)息(xi)。實際運(yun)營中很多AP是放置(zhi)(zhi)在公共場(chang)所，如(ru)果密(mi)鑰、SSID等安(an)全信(xin)息(xi)在本(ben)地保存(cun)的話，一旦失竊(qie)對全網安(an)全性造成威(wei)脅，無線AP由于其零配置(zhi)(zhi)安(an)裝，一旦掉電不會保存(cun)任何信(xin)息(xi)，避免入侵。

       3、支持靈活的(de)拓撲結構：AP允許多種部(bu)署，從而能(neng)夠(gou)直接或(huo)間(jian)接連接到管理它的(de)無線(xian)局域網控制(zhi)器(qi)。無線(xian)控制(zhi)器(qi)與無線(xian)AP之間(jian)可以(yi)隔離任何路(lu)由器(qi)或(huo)交換機(ji)，只要共同連接進(jin)有線(xian)網絡，無線(xian)AP就可以(yi)自動尋(xun)找到無線(xian)控制(zhi)器(qi)實現注(zhu)冊(ce)。

       4、自動設置發射功(gong)率(lv)和(he)分(fen)配射頻信(xin)道(dao)：自動設置發射功(gong)率(lv)和(he)分(fen)配射頻信(xin)道(dao)，用以優化(hua)射頻單元(yuan)大(da)小(xiao)和(he)滿足各國對射頻信(xin)道(dao)的(de)要(yao)求。當(dang)有個(ge)別AP故(gu)障時，無(wu)線(xian)控制器會(hui)自動調大(da)相鄰AP的(de)功(gong)率(lv)彌(mi)補信(xin)號盲區(qu)。

       5、基于(yu)身份的組網(wang)：根據用(yong)戶(hu)名對用(yong)戶(hu)權限進(jin)行區分(fen)，不同于(yu)傳統的WLAN網(wang)絡通過(guo)接入(ru)的有(you)線交換機端口(kou)對用(yong)戶(hu)權限進(jin)行劃分(fen)，并且(qie)可以對用(yong)戶(hu)的位(wei)置(zhi)、帶(dai)寬以及漫(man)游等歷史數據進(jin)行記錄跟蹤(zong)。

       6、提供增強(qiang)的(de)(de)(de)安(an)全(quan)(quan)性(xing)和(he)無縫(feng)漫游：通(tong)過(guo)這項基于身份的(de)(de)(de)組網(wang)(wang)功能(neng)，經(jing)過(guo)改進(jin)的(de)(de)(de)用戶組認證(zheng)接入控制、始終強(qiang)制的(de)(de)(de)漫游策略以(yi)及(ji)對帶寬(kuan)使用的(de)(de)(de)監視實現了無線局域網(wang)(wang)的(de)(de)(de)增強(qiang)的(de)(de)(de)安(an)全(quan)(quan)性(xing)，實現了無縫(feng)的(de)(de)(de)用戶移(yi)動性(xing)和(he)自(zi)由性(xing)，從而可以(yi)進(jin)行(xing)安(an)全(quan)(quan)連接和(he)漫游，一次認證(zheng)多次接入，免去在不同(tong)AP下切換的(de)(de)(de)再次認證(zheng)。

       7、安(an)全管理：提供(gong)入侵(qin)檢(jian)測功能，專用(yong) AP 可(ke)以(yi)不斷(duan)地掃描空(kong)域，以(yi)便對(dui)要求更高安(an)全性的(de)環(huan)境(jing)提供(gong)全天候保護(hu)。一旦無(wu)線(xian)網絡中有(you)非法接入點接入，無(wu)線(xian)AP將上報相應的(de)告警給無(wu)線(xian)控制(zhi)器(qi)，并通過網管軟件顯示。

六(liu)、無(wu)線AP供電解決方(fang)案

       由于(yu)本(ben)次無線網中(zhong)AP設備數量(liang)較(jiao)多(duo)，AP布(bu)放(fang)位置(zhi)根據(ju)實際覆蓋(gai)效果而調整，在已建(jian)(jian)設完成的(de)(de)建(jian)(jian)筑(zhu)物上較(jiao)難進(jin)行本(ben)地(di)供電(dian)(dian)，對于(yu)室外覆蓋(gai)主要采用AP放(fang)在室外，對AP的(de)(de)本(ben)地(di)供電(dian)(dian)問題(ti)難度更大。基于(yu)標準的(de)(de)802.3af實現對AP的(de)(de)供電(dian)(dian)。通過在匯集交(jiao)換機(ji)處(chu)疊加一個(ge)供電(dian)(dian)電(dian)(dian)源或者內(nei)嵌交(jiao)換機(ji)內(nei)，通過以太網線在傳(chuan)輸數據(ju)同時給AP供電(dian)(dian)，供電(dian)(dian)距離達100米，滿(man)足(zu)實際組網的(de)(de)要求。

       但部分區域AP需室外(wai)(wai)放置(zhi)，即需要配合室外(wai)(wai)機箱(xiang)使用，為保證(zheng)寒(han)冷天氣(qi)低溫工作室外(wai)(wai)機箱(xiang)內置(zhi)電加熱板(ban)，因此除(chu)給AP進行POE供(gong)電外(wai)(wai)還需對機箱(xiang)進行本地交流供(gong)電。