XX商场无线网络方案.docx
《XX商场无线网络方案.docx》由会员分享,可在线阅读,更多相关《XX商场无线网络方案.docx(26页珍藏版)》请在冰点文库上搜索。
XX商场无线网络方案
XX商场无线网络方案
1项目背景和需求
1.1XX商场无线网的概述
随着技术的进步,教育需求和资源的变化、发展,无线商场网络的建设正逐渐成为不少商场信息化的重要组成部分,成为事实上的商场信息化建设热点。
无线商场已经成为提升环境品质,提高教育资源利用率,增加教育灵活性和交流性的重要方式。
1.2项目背景
XX商场无线网络以“高带宽、广覆盖、大容量”的特点可以为商场提供高速无线上网需求,,为全面感知和高速传输提供“无线”可能。
按照“整体规划、分期实施,试点先行、以点代面,科学布网、注重安全,企业应用、兼顾民用”原则,构建无线网络,建立物联网无线感知基础网络,并且利用无线网络架构的方便、快捷、灵活、覆盖广等特点,推动办公的自动化、数字化信息化的融合,实现日益增强的移动办公、生产自动化的需求,满足多业务、多平台资源共享。
1.3XX商场应用需求
XX商场要求整网高带宽,高安全,高可靠,有线网络和无线网络无缝结合,保证无线接入体验与有线接入方式保持一致。
1、无线上网:
用户只要使用支持WIFI接入的笔记本、PDA、手机等智能终端接入到WLAN中,就能高速访问INTENET,解决学生老师随时随地上网、查询资料工作环境枯燥单一的问题。
2、无线办公:
只要是已授权用户,可以访问局域网,通过局域网进行浏览、审批、收发邮件等移动办公应用;使人摆脱有线线缆的束缚,让网络为人服务,提高生产、办公效率。
3、统一认证:
有线用户和无线用户使用同一个账户,无线用户采用portal认证,有线用户采用802.1x认证,但是有线用户和无线用户的认证点要统一,简化网络管理。
4、稳定可靠:
无线AC设备采用1+1或者N+1备份,确保设备的可靠性;支持射频调优和补盲,业务续航,即使AC或者个别AP故障,最大限度的减少对网络的影响,增强网络可靠性。
2WLAN基础网络设计
2.1无线网络设计原则
XX商场网络设计应该注重简单可靠、易部署、易维护,通常遵循如下原则:
●安全性原则:
WLAN网络作为开放性的无线接入网络,在网络建设规划时需注重对用户的安全性及网络的安全性的考虑。
●可靠性原则:
WLAN网络需保证网络的信号质量、设备的稳定运行、避免单点故障,为用户提供可靠的WLAN无线接入业务。
●易维护性原则:
WLAN网络系统的设备应方便管理,易于维护,便于进行系统配置,可统一的监控设备参数、数据流量、系统性能等,并可以进行远程管理和故障诊断。
●可扩展性原则:
WLAN系统设备不但要满足当前需要,并且网络的扩展性方面要满足可预见将来需求,如带宽和设备的扩展,应用的扩展和办公地点的扩展等。
保证建设完成后的系统在向新的技术升级时,能保护已有的投资。
2.22XX商场网络总体架构
根据项目的实际情况,建议采用集中转发模式搭建WiFi无线覆盖网络。
AC统一部署在机房,AP部署于各个覆盖场景,XX商场内部采用集中转发,无线数据流统一在AC上做认证,管控和转发。
商场采用本地转发,分支AP和用户的认证统一集中在机房,分支的无线数据流直接从本地出口到internet。
如下图所示。
1、终端接入侧:
采用瘦AP方式进行部署,AP可选华为AP3010DN室内放装型产品,支持802.11/n标准,自动射频调优,可以满足全范围覆盖和无缝漫游的需求,减少同频干扰,提高无线接入的客户体验度。
2、数据承载网络:
连接外网使用防火墙USG5120,核心采用可拓展交换机S9306,接入采用千兆交换机S5700-28P-LI-PWR通过POE方式对AP供电,S5700交换机与S9306相连,AC6005接入到核心交换机上控制AP。
3、运维和管控平台管控平台:
采用华为AC对全网AP的自动配置下发、射频管理、信道分配等统一的管理和安全接入控制,让维护人员可以轻松管理办公楼无线网络。
2.3WLAN覆盖规划
2.3.1容量规划
无线网络覆盖园区内办公室,根据用户需求,一共4层,每层7-9个办公室,根据场景需求,选取AP3010,确定AP数量为32个
华为WLANAP采用第三代Wi-Fi芯片以及业界领先的智能多用户调度算法,提供高性能多用户接入能力。
考虑一定的无线环境干扰影响和容量冗余,参考的多用户接入能力如下表所示:
AP并发用户数据
序号
单用户接入带宽(Mbps)
单频AP并发用户数
(2.4GHz)
双频AP并发用户数
(2.4GHz&5GHz)
下行
上行
1
8Mbps
2Mbps
10
20
2
4Mbps
1Mbps
18
30
3
2Mbps
1Mbps
25
35
4
1Mbps
512Kbps
30
45
2.3.2覆盖规划
WLAN无线信号的覆盖范围取决于AP和终端之间的链路预算。
链路预算计算公式如下:
终端接收信号强度=AP发射功率+AP发射天线增益-空间传输距离衰减-障碍物损耗+终端接收天线增益。
其中,空间距离对信号的衰减如下:
频段
不同空间传播距离下的无线信号衰减
1m
5m
10m
20m
40m
100m
200m
320m
2.4G
46dB
64.2dB
72dB
79.8dB
87.6dB
98dB
105.8dB
113.6dB
5G
56dB
74.2dB
82dB
89.8dB
97.6dB
108dB
115.8dB
123.6m
为满足移动办公场景下不同类型终端(便携笔记本、智能手机、PAD、哑终端等)的接入,在重点覆盖区域终端接收信号电平应大于-65dBm,普通覆盖区域终端接收信号电平应大于-75dBm。
考虑用户的接入体验,根据空间开阔程度和用户分布的不同,建议AP覆盖半径如下:
●空间开阔且用户较少时,建议AP覆盖半径<20米;
●空间开阔且用户密集时,尽量降低单AP覆盖半径,以覆盖半径5~8米为宜,即单AP覆盖面积80~200m2;
●存在少量障碍物遮挡且用户数分布适中时,建议AP覆盖半径以8~12米为宜,即AP覆盖面积200~400m2;
●存在大量障碍物遮挡时,重点考虑障碍物对信号的衰减,建议对小空间单独AP覆盖;
●室外公共区域覆盖,建议AP覆盖半径<200米。
链路预算示例:
●室内:
室内AP发射功率20dBm,AP天线增益3dBi,障碍物衰减0dB,终端(智能手机)发射功率12dBm,终端天线增益0dBi。
终端在距离AP20米处的2.4G下行接收电平Pr=20dBm+3dBi-79.8dB+0dBi=-56.8dBm。
考虑到室内环境复杂,无线信号需要穿越墙体等障碍物,一般建议覆盖半径为10m~20m左右。
●室外:
室外AP发射功率27dBm,AP天线增益12dBi,障碍物衰减0dB,终端(智能手机)发射功率12dBm,终端天线增益0dBi。
终端在距离AP200米处的2.4G下行接收电平Pr=27dBm+12dBi-105.8dB+0dBi=-66.8dBm。
一般建议室外AP的覆盖范围为200m~300m。
2.3.3信道规划
为保证信道之间不相互干扰,大型移动办公必须对WLAN信道进行统一规划并实施。
WLAN系统主要应用两个频段:
2.4GHz和5.0GHz。
2.4G频段具体频率范围为2.4~2.4835GHz的连续频谱,信道编号1~14,非重叠信道共有三个,一般选取1、6、11这三个非重叠信道。
5.0G频段分配的频谱并不连续,主要分为三个频段:
5.1~5.3GHz、5.4~5.7GHz、5.7GHz~5.8GHz。
遵从国家当地法规,选择相应的非重叠信道。
WLAN信道规划需遵循两个原则:
蜂窝覆盖、交叉复用,如下图所示。
2.4G蜂窝覆盖5G蜂窝覆盖双频蜂窝覆盖
2.3.4SSID和漫游规划
SSID规划
移动办公无线网络一般按照接入用户类型和业务类型划分不同的SSID(ServiceSetIdentification),对不同终端盒业务进行区分管理。
华为AP每射频支持16个SSID,双频AP共可支持32个SSID。
针对不同的用户类型,无线网络划分以下SSID。
SSID名称
授权接入用户
Management
内部接入
Guest
外部访客
SSID和VLAN的映射
通常,以太网中管理VLAN和业务VLAN是分离的。
业务VLAN主要用于区分不同的业务类型或用户群体。
在WLAN网络中SSID也同样可以承担相应的工作。
因此,在SSID的规划中必须综合考虑VLAN与SSID的映射关系。
业务VLAN应根据实际业务需要与SSID匹配映射关系,映射关系有1:
1、1:
N、N:
1、N:
N四种。
漫游规划
漫游是指用户在部署了WLAN网络的场所移动时,用户终端可以从一个AP的覆盖范围移动到另一个AP的覆盖范围,用户无需重新登录和认证,如下图所示。
WLAN网络漫游中需要了解以下两点:
1、漫游过程中SSID必须一致,且使用相同的安全设置。
2、漫游中选择连接哪个AP是无线客户端的动作,这个切换的时机和快慢受无线客户端的芯片或设置的影响,所以在漫游切换过程中会出现不同的终端切换性能有差异。
华为WLAN解决方案通过支持PMKcaching和密钥协商下移技术缩短用户漫游时延,实现50ms无感知切换,保证业务在二层漫游(同一个VLAN)或三层漫游(不同VLAN)情况下的平滑过渡。
2.4射频资源管理
射频资源管理RRM(RadioResourceManagement)能够实现自动检查周边无线信号环境、动态调整信道和发射功率等射频资源、智能均衡用户接入,从而降低射频信号干扰,调整无线信号覆盖范围,使无线网络能够快速适应无线环境变化,确保用户接入无线网络的服务质量,保持最优的射频资源状态。
2.4.1射频调优
WLAN网络中,AP的工作状态会受到周围环境的影响。
例如,当相邻AP的工作信道存在重叠频段时,某个AP的功率过大会对相邻AP造成信号干扰。
通过射频调优功能,动态调整AP的信道和功率,可以使各AP(同一AC管理的AP)的信道和功率保持相对平衡,保证AP工作在一个最佳状态。
根据射频调优作用的对象,射频调优的方式包括:
●全局射频调优:
AC域内所有AP动态分配合理的信道和功率,一般用于新部署WLAN网络或WLAN网络出现大面积环境恶化的情况。
●局部射频调优:
对指定区域内的AP动态分配合理的信道和功率,一般用于新增AP或AC域内出现局部信号干扰的情况。
2.4.25G优先接入
5G优先接入是指对于双频AP(AP同时支持2.4G和5G射频),如果STA也同时支持5G和2.4G的功能,则AP控制STA优先接入5G。
现网应用中,大多数STA同时支持5G和2.4G的功能,STA通过AP接入Internet时,通常默认选择2.4G接入。
如果用户想要接入5G,需要手工选择。
在高密度用户或者2.4G频段干扰较为严重的环境中,5G频段可以提供更好的接入能力,减少干扰对用户上网的影响。
通过5G优先接入功能,AP可以控制STA优先接入5G。
2.4.3限制弱信号或低速率用户接入
WLAN网络中,有些STA的射频信号发送到AP后,AP收到的信号很差,这样的用户关联AP后,速率比较低,会严重影响网络的吞吐量。
通过配置限制弱信号或低速率用户接入功能,可以禁止低于指定信号强度或接入速率的STA接入WLAN网络,减少弱信号或低速率用户对其他STA的影响,从而提升整个WLAN网络的应用效果。
2.4.4强制弱信号或低速率用户下线
WLAN网络中,当STA与AP间的距离越来越远时,AP收到的STA信号也越来越差,但是,STA仍然保持与AP的连接而不是主动发起重新连接或漫游。
通过配置强制弱信号或低速率用户下线功能,AP检测到STA的信号强度低于门限值,或接入速率低于门限值后,主动向STA发送解除关联报文,让STA可以重新连接或者漫游。
减少弱信号和低速率用户对整个无线网络性能的影响。
2.4.5高密功能
对于演讲厅、图书馆、报告厅、发布会现场等人员密集和数据流量需求高的场景,密集布放AP是提升用户体验的一种重要手段。
由于WLAN在2.4G只有三个独立频点,当密集布放AP时,不可避免的存在由于多个AP在一个信道频段内工作导致的同频干扰,最终影响WLAN网络的整体性能。
通过配置高密功能,AP可以根据相应的算法对天线、功率和信号接收门限值进行调整,减少AP间的同频干扰,提高用户的上网体验。
2.4.6频谱分析
由于WLAN的工作频段为ISM频段,随着蓝牙、红外、微波炉等无线应用的增加,非WLAN设备对WLAN网络的干扰问题日益突出。
频谱分析是指通过频谱分析服务器对采集到的无线信号进行特征分析,识别出Non-WiFi干扰设备,进而对干扰设备进行定位,实现对WLAN网络的调优。
通过配置频谱分析功能,及时、全面的检测出WLAN网络中的非WLAN干扰,提升用户的体验。
2.5可靠性设计
保证网络可靠性是移动办公网络设计的重要环节。
一方面是设备的稳定性,AC能够实现倒换后用户无感知的Session级的备份以及常年工作在室外的AP在恶劣环境下的适应能力等都是移动办公网络可靠性关注的重点。
2.5.1AC1+1备份
WLAN移动办公网络通常规模较大,为了避免AC单点故障的问题,建设采取AC1+1热备份,增加网络的可靠性,如下图所示。
2.5.2CAPWAP断链业务保持
使能业务续航功能,在CAPWAP链路中断后,AP能够继续允许新用户上线,继续访问CAPWAP未中断前的所有网络资源。
当CAPWAP链路恢复后,AP将所有在链路中断期间上线的STA强制下线让STA重新与该AP进行关联,并通过日志上报所有的STA信息。
该功能仅在WLAN使用的安全策略为开放系统认证、共享密钥认证和WPA/WPA2–PSK时生效。
2.5.3信道切换业务不中断
在WLAN应用中,有时会需要改变AP的信道。
比如,在对AP进行射频调优时,可能会改变AP的信道。
AP切换信道会造成AP下的无线用户的业务中断,影响用户业务的使用。
使能了信道切换业务不中断功能后,AP在切换信道时不会中断用户的业务,保障用户业务的正常使用。
2.5.4AP可靠性
园区内室外AP应适应各种严酷环境,包括严寒酷暑、风吹雨淋以及雷电灾害等。
华为室外型AP6510DN/AP6610DN提供业界领先的防尘,防水,防风能力,以及防雷能力。
2.6安全规划
WLAN安全技术可以保护合法用户接入AP,对用户的数据进行加密,监测和防御非法用户和AP,隔离用户互通,对用户集中管理并保证无线信道的资源。
华为WLAN安全提供以下安全防护手段,全方位保护网络及用户安全:
●检查和防御非法用户或AP入侵的机制(WIDS/WIPS);
●针对无线用户的安全策略机制,包括链路认证,用户接入认证和数据加密;
●STA黑白名单,控制无线用户的接入;
●用户隔离,可以集中管理无线用户;
●终端类型识别功能,员工可以携带自己的WLAN终端,接入公司网络办公。
2.6.1WIDS/WIPS
WLAN网络很容易受到各种网络威胁的影响,如XX的AP、用户、Ad-hoc网络等,设备支持以下两种技术,分别用于检测和反制非法设备。
●WIDS可以检测出非法的AP、网桥、用户终端、Adhoc,以及信道重合的干扰AP。
●WIPS可以断开合法用户与仿冒AP的WLAN连接,也可以断开非法用户终端和Adhoc的接入,实现对非法设备的反制。
为了实现检测和反制非法设备,AP存在三种工作模式:
●接入模式:
AP仅传输WLAN用户的数据,不进行任何监测。
●监测模式:
AP需要扫描无线网络中的设备,探测无线信道中的所有802.11帧。
此时AP仅能实现监测功能,不能传输WLAN的数据,即该AP提供的所有WLAN服务都将关闭。
●混合模式:
AP可以监测无线网络中设备,也可以同时传输WLAN数据。
只有AP工作在监测模式或混合模式下,才可以实现对非法设备的检测和反制功能。
监测AP扫描信道监测周边的无线设备信息,通过探测周围设备发送的802.11管理帧和数据帧来搜集周边的无线设备信息,将收集到的设备信息定期上报AC。
●AC判断设备为非法AP时,将非法AP告知监测AP。
监测AP以非法AP的身份发送广播或单播解除认证帧,这样,接入非法AP的STA收到解除认证帧后,就会断开与非法AP的连接。
通过这种反制机制,可以阻止STA与非法AP的连接。
●AC判断设备为非法用户终端和Adhoc时,监测AP使用非法设备的BSSID或MAC地址,发送单播解除认证帧,断开非法设备的连接。
WIDS还支持攻击检测功能,可以检测泛洪攻击,弱IV向量攻击、欺骗攻击、暴力破解WPA/WPA2/WAPI的预共享密钥和WEP的共享密钥,及时发现网络的不安全因素,通过日志,统计信息以及告警方式及时通知网络管理员。
对于检测到的进行泛洪攻击和暴力破解密钥攻击的设备,AC/AP可以将其加入黑名单,拒绝接收其发送的报文。
2.6.2安全策略
WLAN安全提供了有线等效加密WEP(WiredEquivalentPrivacy)、Wi-Fi安全访问协议WPA(Wi-FiProtectedAccess)、WPA2、无线局域网鉴别与保密基础结构WAPI(WLANAuthenticationandPrivacyInfrastructure)四种安全策略机制。
每种安全策略体现为一套安全机制,包括无线链路建立时的链路认证方式,无线用户上线时的用户接入认证方式和无线用户传输数据业务时的数据加密方式。
2.6.3STA黑白名单
STA黑白名单实现对无线客户端的接入控制,以保证合法客户端能够正常接入WLAN网络,避免非法客户端强行接入WLAN网络:
白名单列表:
允许接入WLAN网络的STA的MAC地址列表。
使能白名单功能后,只有匹配白名单列表的用户可以接入无线网络,其他用户都无法接入无线网络。
黑名单列表:
拒绝接入WLAN网络的STA的MAC地址列表。
使能黑名单功能后,匹配黑名单列表的用户无法接入无线网络,其他用户都可以接入无线网络。
如果STA白名单或者STA黑名单为空,则所有用户都可以接入WLAN网络。
2.6.4用户隔离
用户隔离功能是指关联到同一个VAP上的所有无线用户之间的二层报文不能相互转发,从而使无线用户之间不能直接进行通讯,保证了用户间数据的安全性,同时也便于对用户进行计费等管理。
在园区环境,有些用户需要在公共地区通过无线接入Internet,如果不能准确可靠地进行用户认证,XX的非法用户就可以擅自使用网络资源,这样不仅会占用宝贵的无线信道资源,增加带宽费用,还会降低合法用户的安全性和服务质量,并给无线接入服务提供商带来不可接受的损失。
无线用户二层隔离功能结合IEEE802.11i、RADIUS的用户认证以及计费方式可以给用户提供专业级的安全保障。
2.7接入认证与访客管理
2.7.1用户接入认证
通过用户接入认证,可以对接入网络的用户身份进行合法性进行认证,只有合法用户才允许接入,并且不同的角色,不同的用户所能够访问的资源是不同。
管理员可以为用户分组,或者定义不同的角色,配置不同的资源,使得特定的用户只能访问授权的特定资源,禁止访问未授权的网络资源。
WLAN网络根据用户的角色不同,建议采用三种认证方式。
一是普通员工通过WEBPORTAL方式,每次上网要求进行用户名和密码认证;二是公司领导的手执终端只需输入第一用户名和密码,以后不用再次认证;三是临时访客用户由短期认证授权方式,账户和密码具有一定的时效性,即访客制度。
企业访客制度需要解决以下安全性核心问题:
●对访客申请的账号进行统一管理;
●限制访客访问权限,保障企业信息安全;
●对访客上网行为审计,以避免法律风险。
华为eSightPolicyCenter支持企业内部员工和外部访客使用同一套系统访问,实现全网用户统一认证、授权,对访客访问网络的带宽、流量等进行限制,支持访客账号自助申请,并能进行有效管理。
访客管理系统处理流程如下:
●接待人员反馈信息,由管理员或接待人员申请临时账号;
●管理员审批信息,批准临时账号,通过短信/邮件把发送临时账号给接待人员;
●访客通过临时账号登录网络,TSM进行认证和记录;
●定期清理企业临时账号信息,减轻管理难度。
2.7.2认证方式选择
无线WLAN网络认证,根据业务需求主要可以分为,本地转发-本地认证,集中转发-集中认证,本地转发-集中认证三种模式:
。
本地转发-本地认证模式业务流程如下图所示。
在本地转发模式下,认证控制点在AP上行的switch设备,只有AC与AP之间的控制报文走CAPWAP隧道,STA认证报文(如802.1X、Portal认证)和认证后的STA业务数据报文不通过隧道,经AP直接转发。
在这种模式下,Dot1x认证基于EAP协议,该协议为二层应用协议,这样要求STA与认证控制点之间必须是二层网络,认证控制点往往部署在AP上行的Switch上,控制点不集中导致设备成本高,管理维护复杂,且AC无法实现对接入用户的集中控制(例如访问资源的权限、隔离、限速等)。
这种方式本地互访直接在AP进行转发,无需到AC,节省AP上行带宽;数据业务流和认证协议流都无须CAPWAP隧道封装,节省AP上行带宽;无线网业务VLAN配置可以和现有有线网的VLAN配置保持一致,减少无线网络VLAN规划和配置。
这种模式主要应用在园区总部。
集中转发-集中认证模式业务流程如下图所示,在集中转发模式下,认证控制点在AC设备,AC与AP之间的控制报文、STA认证报文(如802.1X、Portal认证)、认证后的STA业务数据报文全部走CAPWAP隧道。
在这种模式下,Dot1x等接入控制点可以部署在AC上,但是所有数据都走隧道,即使本地互访数据报文也要经过AC转发。
这种认证方式安全性相对较高;AC实现对无线用户的集中接入控制;无线网络部署时不需要考虑有线网络的情况,无线网络要单独规划VLAN,方便运维。
这种模式主要应用在园区总部。
本地转发-集中认证模式业务流程如下:
如图下图所示,在本地转发模式下,可通过配置,让STA认证报文(如802.1X、Portal认证)进入CAPWAP隧道,从而上送到AC设备,认证控制点在AC设备,完成认证过程。
而认证后的STA业务数据报文不通过隧道,经AP直接转发。
在这种模式下,能够实现在AC上对无线用户的集中接入控制功能,主要包括用户的隔离、限速、ACL;并且Radius授权通过AC控制隧道下发到AP设备,提升网络安全性。
这种模式AC实现对无线用户的集中接入控制功能;授权通过AC控制隧道下发到AP设备,提升网络安全性;本地互访直接在AP进行转发,无需到AC,节省AP上行带宽;这种认证方式主要应用在AC部署与总部,AP放在各个分支的场景。
本地转发-集中认证模式最大的优势在于在本地转发的场景下,能够实现对无线用户进行集中接入控制,并且HuaweiWLAN解决方案可以很好的解决本地转发模式下,用户的跨三层漫游这一难题,使园区和分支场景下即实现了统一管理,又实现业务数据本地出口转发,减少网络迂回。
2.7.3访客管理
随着企业与外界交往的增加,WLAN移动办公能够灵活满足客户沟通、交流、参观过程中对网络接入的诉求,访问企业公共资源或internet。
企业提供一套访客管理系统,既能方便客户交流,提升企业形象,同时对访客的网络接入权限做到精细管控。
企业访客系统需要解决以下安全性核心问题:
●对访客申请的账号进行统一管理;
●限制访客访问权限,保障企业信息
升级会员 