无线AP网络系统技术方案.docx

无线AP网络系统技术方案.docx

《无线AP网络系统技术方案.docx》由会员分享，可在线阅读，更多相关《无线AP网络系统技术方案.docx（22页珍藏版）》请在冰点文库上搜索。

无线AP网络系统技术方案

技

术

方

案

第1章.无线AP网络系统

1.1.系统概述

为了确保建设一套完全符合用户需求并具有良好拓展性的优秀网络系统，以保护网络拥有者的投资，在本网络设计上严格按照以下无线网络设计原则进行设计：

●实用性原则：

以现行需求为基础，充分考虑发展的需要来确定系统规模。

●安全性原则：

商场内无线为开放网络，无线网络可以随时随地接入，如果商场内员工和顾客使用内部无线网络时，必须有相应的加密和认证机制，才能保证网络的安全性。

同时为了满足公安部82号令的要求，商场需要一套可以进行顾客身份认证及上网行为审计和管理的系统。

●可靠性原则：

系统设计能有效的避免单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。

●规范性原则：

系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和联通WLAN企业标准，为系统的扩展升级、与其他系统的互联提供良好的基础。

●开放性和标准化原则：

在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。

●可扩充和扩展化原则：

所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和地区的扩展等。

保证建设完成后的系统在向新的技术升级时，能保护现有的投资。

●可管理性原则：

整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。

1.2.系统设计范围

无线网络覆盖项目是要保证商场内公共区域的员工和顾客能够使用移动终端（手机、平板电脑等）经过简单快捷的认证之后，随时随地的接入网络，该无线网络必须具有一定的安全性、可管理性和可扩展性。

本次无线建设包括以下几点需求：

Ø首层大堂及电梯厅采用壁挂式AP覆盖，共计4个无线AP信息点。

Ø2层及3层公共走道区域采用吸顶式无线AP信息点，共计10个无线AP信息点。

Ø人密度在20-30人左右,无线AP信息点布置按照平均20米左右一个；

Ø无线网络：

主要在1层~三层公共走道区域、电梯厅、大堂设置无线网络AP点。

共计14个无线网络AP点。

大堂4台为壁挂AP点，因楼层比较高，选择壁挂安装。

其余为吸顶安装。

大堂前台设置3个网络信息点，供接待人员使用，在预留三根JDG20管。

1.3.系统架构

无线网络系统设计采用骨干万兆、桌面100/1000M自适应接入的二层结构网络体系。

核心与接入交换机之间采用冗余链路的方式，核心交换机和存储交换机通过万兆单模光纤连接。

核心交换机采用双核心交换机，同时保证提供足够数量的千兆端口用于连接骨干网（主交换机与楼层交换机之间的链路）和连接各类服务器。

1.4.系统功能

1.无线覆盖

本次无线建设重点为商业公共走道部分无线覆盖，包含商业店铺公共过道、首层大堂、首层电梯厅区域，从AP的部署方式全面采用场景化覆盖方式，针对不同的场景采用不同的解决方案，采用不同的部署方式，让每位顾客在有WIFI地点都可以享受无线网络，不受写字楼格局等影响。

所有场景均已进行现场详细勘测，以确保方案的准确性。

2.无线供电

为方便统一管理，提高设备的安全性，本次无线供电设计建议采用POE供电的方式对无线AP进行远程供电。

采用POE方式即通过网线对AP进行供电，POE供电方式具备以下几点优势：

首先，安全性更高，通过网线进行供电可以避免本地电源的使用，有效减少强电部署，提高大楼的用电安全。

3.无线网络管理

作为接入层网络，公共区域的无线网络需要较多的AP，维护工作量较大，加之无线网络的灵活性和不可见性，如果对每个AP进行单独管理则会造成较高的维护开销，也给管理人员带来了一定的难度。

而且无线网络直接面对最终用户，对管理系统稳定性、实时性、有效性要求都较高。

4.短信认证

无线网络项目对安全有着严格的要求，必须能够对外来人员进行身份认证，一方面对网络安全有一定程度的保护，另一方面，保证网络的正常使用，提高网络的使用效率和用户的使用体验。

根据本项目的特点，本次方案建议采用短信认证的方案，客户通过短信自助获取登录密码，登录账号即用户手机号。

这种认证方式可以在减少网管人员工作量的同时，对无线接入用户进行登录信息记录，便于以后审查。

针对写字楼客户流动性较大，顾客众多且不固定的特点，无线访客接入管理组件（EIA）单台服务器最大可以支持到1万人规模，顾客通过手机接入之后，后台服务器会快速为新顾客开户，发送登陆密码到顾客手机，访客身份验证成功后，根据访客策略通过ACL、VLAN控制访问范围，访客可以手动注销或者超时自动注销；服务器也会定期自动删除失效访客账号，保障后续客户的顺利接入。

如果检测到接入用户手机长期处于“无流量”状态，EIA服务器可以将此用户作下线处理，用户再次接入的时候，无需再次输入手机号和密码，可以“快速无感知”接入继续上网。

1.5.主要设备技术要求

1.防火墙

序号

功能及技术指标

参数要求

1

硬件架构

采用非X8664位多核高性能处理器和高速存储器

主控模块内存≥16G

2U以下盒式设备

4

★基本要求

千兆光口≥4个，千兆电口≥8个

整机最大可扩展接口数量4SPF+8GE；

扩展槽位≥2个，可扩展4GEBypass功能接口；

7

▲产品性能

最大并发连接数≥220万

IPSecVPN并发连接数≥1000

每秒新建连接数≥150K

整机吞吐量≥10Gbps

整机DPI深度防御吞吐量≥6G

3DES加密≥6G

AES256加密≥6G

14

★可靠性要求

支持VRRP的链路备份

支持双机集群式高可靠性技术，融合后可同一管理配置，对外单一节点，单IP并实现主备/主主方式转发

支持IPSecVPN的IKE状态同步

17

基本功能

支持安全区域管理，可基于接口、VLAN划分安全区域

▲支持基于CPU、内存等硬件划分资源的完全虚拟化技术,可分配吞吐量、新建、并发，虚拟防火墙可独立重启、配置独立导出，虚拟防火墙数量≥64个

▲基于病毒特征进行检测

支持病毒库手动和自动升级

报文流处理模式

支持HTTP、FTP、SMTP、POP3协议

支持的病毒类型：

Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等

支持病毒日志和报表

▲支持应用层防护：

应用流控

▲支持链路负载均衡功能、服务器负载均衡功能

支持静态路由、RIPv1/2、OSPF、ISIS、BGP、策略路由等

支持防火墙\NAT日志

支持域间策略匹配日志

支持攻击防范\黑名单日志

支持NAT444用户端口块溯源日志

支持IPV6防火墙及防攻击日志

IPV6NAT64端口块溯源及会话日志

日志格式支持SYSLOG及二进制

日志开启对设备新建性能影响小于10%

支持一对一、地址池等NAT方式

支持NAT444、FullconeNAT、NAThairpin、两次NAT、双向NAT

必须支持多种应用协议，如FTP、H323、RAS、HWCC、SIP、ICMP、DNS、PPTP、NBT的NATALG功能

支持一个公网IP地址NAT无限连接

支持策略NATALG功能

支持NAT二进制日志

37

▲智能管理

支持同一管理软件，可实现全网拓扑管理

风险地图显示

攻击溯源功能

支持RBAC技术：

基于功能、web菜单、命令界别的基于用户角色的授权

41

部署模式

支持路由模式、透明模式和混杂模式

42

▲电源

实配内置固化双交流电源

43

配套管理

支持SNMPv1、SNMPv2C、SNMPv3，

支持CONSOLE、TELNET、SSHV1.5管理方式

支持NTP时间同步

支持TR069协议，BIMS管理

支持NETCONF接口

10.

资质证明

▲具有中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》，能提供有效证书的复印件。

▲提供中国国家信息安全漏洞共享平台技术组成员证书

2.核心交换机

序号

功能及技术指标

参数要求

1

★整机架构性能

双主控；业务插槽数≥6；交换容量≥19Tbps，包转发能力≥2800Mbps；

2

接口要求

以太网支持千兆电口，千兆光口，10GE端口

单槽位千兆端口密度≥24

单槽位万兆端口密度≥24

单槽位能够同时提供千兆光口、千兆电口、万兆光口，且实际可用端口总数≥48，提高槽位利用率和业务可靠性

支持POE+，满足新一代园区网以太网供电需求

7

QOS

每端口支持8个优先级队列，3个丢弃优先级，支持SP、WRR、SP+WRR三种队列调度算法

支持精细化的流量监管，粒度可达8K

支持流量整形Shapping

支持WRED拥塞避免

支持802.1p、TOS、DSCP、EXP优先级映射

12

可靠性

双引擎快速倒换，主备切换时候板内转发无丢包

支持NSF/GRforOSFP/BGP/IS-IS

支持热补丁功能，可在线进行补丁升级

支持BFD，BFDforVRRP/BGP/IS-IS/OSPF/RSVP/LDP/RIP/静态路由。

BFD收敛时间<50ms

支持IPFRR，满足网络收敛<50ms

17

虚拟化

多虚一技术（N:

1），可以将4台物理设备逻辑上虚拟成一台

一虚多技术（1:

N），可以将一台物理设备逻辑上虚拟成多台虚拟设备

支持多虚一技术和一虚多技术的配合使用

支持远程端口扩展，作为控制设备实现对端口扩展模块的集中控制

21

数据中心特性

支持FCoE功能；支持FCF模式转发，VSAN的创建及配置，支持FC地址的分配及WWN地址和FC地址的绑定等功能；

支持OPENFLOW1.3

支持普通模式和Openflow模式切换

支持多控制器（EQUAL模式、主备模式）

支持多表流水线

支持Grouptable

支持Meter

支持主流的MACinIP技术，如EVI/EVN/OTV等，实现跨三层网络的二层互联

支持VxLAN网关

25

有线无线一体化

支持融合AC功能，无需额外配置单独硬件，并且能在交换机上对所有上线的AP进行管理与配置CK

26

安全特性

支持DHCPSnooping

支持ARP防攻击

支持广播风暴抑制

支持端口隔离

支持IP+MAC+VLAN+PORT的绑定

支持报文过滤功能，黑洞路由、黑洞MAC

支持IEEE802.1ae介质访问控制安全技术

33

管理特性

支持Console/AUX/Telnet/SSH2.0

支持风扇管理

支持电源管理

支持在线诊断

支持SNMPv1/v2/v3

支持端口镜像、VLAN镜像、RSPAN、流镜像

支持内置智能图形化管理功能，能够实现通过图形化界面设置配置及命令一键下发和版本智能升级

40

▲资质证书

提供工信部入网许可证

产品生产厂商需通过ISO9001质量管理体系认证认证，提供证书复印件

产品生产厂商需通过国际软件研发成熟度CMMIL5级认证认证，提供证书复印件

43

▲实际配置

≥16端口万兆以太网光接口（SFP+,LC）+24端口千兆以太网电接口模块

3.24口POE交换机

序号

功能及技术指标

详细技术参数

1

★整机性能

交换容量≥330Gbps，包转发率≥90Mpps

2

★接口类型

10/100/1000Base-T自适应以太网端口≥24个，万兆SFP+口≥4个，支持PoE+供电，PoE供电总功率≥370W

3

VLAN特性

支持基于端口的VLAN，支持基于协议的VLAN；

支持基于MAC的VLAN；

最大VLAN数≥4094

4

链路聚合

支持最多8个端口聚合；支持LACP

5

堆叠

支持通过标准以太端口进行堆叠，最大堆叠台数≥9台；

堆叠链路冗余保护能够快速收敛，收敛时间≤50ms

6

镜像功能

支持本地端口镜像和远程端口镜像；

支持流镜像；

支持N：

M的端口镜像（M＞1）

7

组播协议

支持IGMPSnooping

支持MLDSnooping

支持组播VLAN

8

路由协议

支持IPv4静态路由、RIPV1/V2、OSPF，支持IPv6静态路由、RIPng

9

可靠性

支持RRPP（快速环网保护协议），环网故障恢复时间不超过50ms

支持Smartlink，收敛时间≤50ms

支持RSTP功能：

收敛时间≤50ms

支持MSTP功能：

收敛时间≤50ms

支持PVST功能：

收敛时间≤50ms

▲支持ERPS功能，能够快速阻断环路，链路收敛时间≤50ms

15

安全控制

支持802.1x认证

支持MAC地址认证

支持Portal认证

支持端口同时开启802.1x，MAC地址认证及Portal认证

支持CPU保护功能，能限制非法报文对CPU的攻击，保护交换机在各种环境下稳定工作

20

管理和维护

支持SNMPV1/V2/V3、RMON

支持命令行接口（CLI），Telnet，Console口

支持OAM（802.1AG，802.3AH）以太网运行、维护和管理标准

23

绿色节能

符合IEEE802.3az（EEE）节能标准

支持端口定时down功能（Schedulejob）

支持端口休眠，关闭没有应用的端口，节省能源

提供中国节能产品认证证书

27

▲资质认证

提供工信部进网许可证

28

★兼容性

为了保证网络系统稳定可靠，与核心交换机同一品牌

4.无线控制器

序号

功能及技术指标

详细技术参数

1

▲设备架构

千兆电口≥8个，千兆光口≥2个

支持可插拔电源，1+1冗余备份，支持交流或直流

3

★整机性能

最大管理AP数≥256

4

虚拟化功能

▲能够将多台物理无线控制器设备虚拟化成一台。

多台物理设备虚拟化之后对外呈现一台虚拟控制器，提供同一的管理界面及IP地址，并自动同步配置

接入虚拟化控制器的AP能够以负载均衡的方式，接入多台物理控制器设备

6

license池化功能：

虚拟化设备的license为多台物理设备的累加，接入AP能力和转发能力也能够相应累加

多台物理控制器虚拟化之后，当物理控制出现故障时，其负载的AP能够自动迁移到其他控制器上并保持不掉线；能够实现备份功能，且该功能无需license

8

分层AC架构

支持集中控制分级管理的分层AC构架，由一个总的核心层管理AC下挂多个本地接入层AC。

▲支持分层架构核心层AC统一管理功能：

核心层AC可以同一管理下属的所有接入层AC和AP，配置能够自动同步，并且在核心层AC上能够查看整个无线网络的信息

▲支持分层架构license统一管理功能：

license仅受控于核心层AC的license数量，而接入层AC无需license

▲支持分层架构核心层ACnas-ip同一和自由选择认证点功能：

能够设置在核心层AC认证或接入层AC认证，如果在核心层AC上认证，则设置nas-ip地址为核心层AC地址，用户就可以正确上行

12

▲无线定位

支持无线定位功能，定位精度能够达到2米以内

参与定位的AP支持跨信道部署

无需事先进行工程采样

支持显示出终端热图及终端统计

16

带宽控制

支持针对单一用户及用户群组进行上、下行带宽独立限制；

支持AP根据业务，带宽限速及灵活的带宽调整能力。

17

▲无线链路层安全监控防御

设备支持对钓鱼AP的检测和反制

支持对不同区域设置不同安全级别

支持对私接代理进行检测

支持对未知攻击进行检测

支持对中间人检测并反制

22

▲无线物理层安全监测功能

设备在正常提供无线服务的情况下可检测到无线摄像头、微波炉等非WIFI干扰设备，同时可以在网管平台上显示干扰设备和被干扰信道等相关信息，被干扰期间设备正常提供无线服务，终端通信无丢包

23

无感知认证

传统认证在每次智能终端接入时都要输入一次用户名密码，此功能可以再用户首次认证成功接入后，以后不需要接入网络认证时再次输入用户名密码，系统会自动记录用户信息并且与设备绑定，主要满足智能终端每次输入口令比较繁琐

24

零漫游功能

设备支持零漫游功能，终端在AP之间移动，终端反复漫游，在此过程中终端ping包不丢包

25

转发模式

支持不同SSID采用不同转发模式（集中转发与本地转发），灵活组网

26

可靠性

支持1+1热备功能，当主AC故障时，下属AP自动迁移到备份AC，迁移过程AP不掉线，客户业务不中断；

27

接入控制

支持802.1X、Portal、MAC认证；

远程Portal认证：

支持远程独立服务器模式；

远程Portal页面推送：

支持基于SSID、AP的Portal页面推送；

28

管理功能

采取BS结构，无需在客户端安装任何客户端采用浏览器即可访问网管平台。

系统支持AC、AP的各种配置管理和软件升级。

结合公有云平台可实现极简运维及业务增值

29

资质证书

提供工信部进网许可证

提供中国节能产品认证证书

5.无线认证营销平台

序号

功能及技术指标

参数要求

1

认证方式

▲支持802.1x、Portal、MAC地址认证、CA证书认证、WAPI、802.1XWEP等企业认证，以及二维码审核认证、微信认证、短信认证、APP认证、临时访客账号、Facebook等外来访客认证方式；

2

第三方认证

支持关联RADIUS、微软AD域、LDAP、数据库（Oracle、MySQL、MS-SQL）、Portal2.0、AS等外置认证服务器，实现802.1x、Portal等第三方认证；

3

移动OA认证

▲支持对接移动办公平台进行用户认证，包括阿里钉钉、微信企业号、等主流平台，支持同步组织架构实现不同部门人员分配不同的上网权限策略，同时用户端可以直接通过APP或轻应用即可自助管理账号密码，提供功能截图及加盖公章。

4

自注册认证

支持账号自注册认证方式，通过手机号码白名单来自助设置账号密码，并且支持通过手机号码找回密码

5

智能PSK认证

支持智能PSK技术，不同的终端使用不同的专属密码，并支持移动终端的秘钥与MAC和SN进行绑定，其他终端即使拿到了该秘钥也无法上网，保证终端安全接入要求

6

认证中英切换

▲支持Portal认证页面中英文切换；支持页面终端自适应，推送合适匹配终端的尺寸Portal页面；

7

系统语言

支持根据移动终端系统语言推送自动推送匹配认证页面，比如系统语言为英文时

8

推送模板

▲支持内置5种以上广告模板，支持实时预览模板效果，并支持倒计时的形式，强制用户观看一定时间的页面展示才允许认证上网，提供功能截图证明并加盖厂商公章；

9

个性推送

▲提供个性化特色营销推送，可以依据用户的性别（男/女）、归属地（哪里人）、爱好属性（购物/体育/理财/影视等达人）、手机运营商类型（联通/移动/电信）、终端类型（苹果/安卓/WP）等推送不同的Portal认证页面，提高营销展示效果，提供功能截图及加盖公章；

10

多对象页面推送

▲支持根据用户/接入AP/终端类型设置不同的跳转页面或URL，同时将用户名、终端MAC、IP以及接入的AP/AP组等信息传递给网站，用于二次开发或统计分析

11

大数据分析

支持用户画像，支持对用户的移动轨迹、来访偏好、高峰时段、来访频次、驻留时长、WiFi使用时长、移动终端类型、性别、归属地域、上网爱好标签等信息进行收集和分析

6.上网行为管理及审计平台

序号

功能及技术指标

参数要求

1

▲设备架构

6个千兆电口，4个千兆光口，1个RJ45串口、冗余电源

2

★整机性能

吞吐量≥2.5Gb、并发会话数≥700,000、用户规模≥9000人

3

网络应用识别

▲支持应用识别，能识别不低于4700种的网络应用，能识别邮件、游戏、P2P流媒体、WEB流媒体、金融交易、办公OA、移动终端应用等主流应用，提供功能截图及加盖公章。

4

本地转发应用识别及审计

▲支持本地转发模式下的应用识别和行为审计，能够在本地转发情况下支持用户画像、应用排行统计、用户上网行为审计等，提供功能截图及加盖公章。

5

上网行为审计

▲支持上网行为审计，可审计用户访问的URL、网络应用类型、非加密的邮件正文及其附件内容、WebBBS发帖内容、微博内容、FTP上传和下载的文件名、TELNET执行的命令等，提供功能截图及加盖公章。

6

对接网监平台

▲支持与本地公安网监平台对接，将审计数据上传至公安的网监平台

7

ACL

支持多元化基于应用识别的ACL，包括用户、接入位置、终端类型、终端MAC地址、时间段；

8

URL识别

▲支持URL预分类，能识别新闻门户、网上购物、成人内容、求职招聘、教育、宗教等类别，识别URL不低于千万级；

7.室内无线AP

●支持胖/瘦两种AP工作模式；

●1个千兆电口+1console口，支持802.11b/g/n/ac，双频双流；

●无线速率600Mbps，内置2根不可拆卸7dbi增益全向天线；

●发射功率23dBm，支持多SSID；

●支持自动信道选择或手动信道选择、支持按百分比设置无线发射功率、支持无线接入客户列表显示，频段自动导航技术，自动引导终端选择最优频段，提升整个无线网络的接入数和性能，防护等级IP41，功耗12.95W；

●支持定位；

●支持本地48DC供电和POE供电；

●带机量30