公共场所wifi建设方案.docx
《公共场所wifi建设方案.docx》由会员分享,可在线阅读,更多相关《公共场所wifi建设方案.docx(76页珍藏版)》请在冰点文库上搜索。
公共场所wifi建设方案
XX公共场所WLAN服务
采购技术方案
技术方案
本方案设计采用成熟的产品和系统,保证了系统的稳定性和可靠性。
同时又提供相应的接口,以便以后的扩容及与其他系统对接。
一、方案概述
1.1项目概述
无线城市”是龙岗区“智慧城区”建设的重要内容。
为提升城市功能、满足市民日益增长的信息通信服务需求和促进信息消费增长,根据《深圳市加快推进公共场所无线局域网建设行动计划(2014-2016年)》(深府办〔2014〕4号)等文件要求,2014-2016年,龙岗区将对行政服务办事大厅、市政公园休息区、文体场馆活动区、公立医院候诊区、口岸及交通枢纽候客区等人流较为密集、窗口功能突出的公益性公共场所进行WLAN覆盖,为市民提供免费WLAN接入服务。
到2016年底,全区公益性公共场所WLAN覆盖率超过90%。
按照“重点先行,分步实施”的原则,本项目主要进行2014年度龙岗区200个公益性公共场所987个AP的WLAN覆盖服务
1.2设计依据
Ø《国务院关于印发“宽带中国”战略及实施方案的通知》(国发〔2013〕31号)
Ø《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)
Ø《移动上网日志留存规范(试行)》(工信部保〔2010〕548号)
Ø《全国人大常委会关于加强网络信息保护的决定》(2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过)
Ø《关于推进电信基础设施共建共享的紧急通知》(工信部联通〔2008〕235号)
Ø《互联网安全保护技术措施规定》(中华人民共和国公安部令 第82号)
Ø《计算机信息网络国际联网安全保护管理办法》(中华人民共和国公安部令 第33号)
Ø《电信建设管理办法》(中华人民共和国信息产业部、中华人民共和国国家发展计划委员会令第20号)(并参考修订版)
Ø《无线局域网工程设计规范》(YD5214-201X)(报批稿)
Ø《无线局域网工程验收规范》(YD5215-201X)(报批稿)
Ø《电信基础设施共建共享技术要求》(YD2164.1-2010)
Ø《电信基础设施共建共享工程技术暂行规定》(YD5191-2009)
Ø《无线通信系统室内覆盖工程设计规范》(YD/T5120-2005)
Ø《通信局(站)防雷与接地工程设计规范》(YD5098-2005)
Ø《无线局域网媒体访问控制和物理层规范》(GB15629.11-2003)
Ø《关于发布5150-5350兆赫兹频段无线接入系统频率使用相关事宜的通知》(工信部无函〔2012〕620号)
Ø《关于调整2.4GH频段发射功率限值及有关问题的通知》(信部无〔2002〕353号)
Ø《关于使用5.8GHz频段频率事宜的通知》(信部无〔2002〕277号)
Ø《智慧深圳建设实施方案(2013-2015年)》(深府办〔2013〕20号)
Ø《深圳市无线城市实施行动计划》(待发布)
Ø《深圳市宽带普及提速工程实施方案(2013-2015)》(深经贸信息秘书字〔2013〕158号)
Ø《智慧深圳规划纲要(2011-2020年)》(深经贸信息秘书字〔2012〕1170号)
Ø《广东省无线城市发展“十二五”规划》(粤经信无线〔2011〕1021号)
Ø《深圳市信息化发展“十二五”规划》(深府办〔2011〕108号)
Ø《广东省计算机信息系统安全保护条例》(2007年12月20日广东省第十届人民代表大会常务委员会第三十六次会议通过)《深圳市信息工程建设管理办法实施意见》(深信委办通〔2000〕19号)
二、方案设计
2.1、总体构架设计
图2-1总体架构图
整个系统集成了用户认证管理、设备管理、网络审计等功能,从逻辑上可分为:
前端、传输、平台三大部分。
1)前端部分由AP、交换机、ONU等组成,放置于行政服务办事大厅、市政公园休息区、文体场馆活动区、医院候诊区等人流较为密集、窗口功能突出的公益性公共场所,AP发射无线信号为用户提供无线上网。
2)传输部分由网线、电源线、光纤等组成,将前端网络流量传至平台,同时也传输平台对前端AP的配置等信息。
3)平台部分由无线控制器、上网行为管理器、认证服务器、网管服务器等组成,前端AP安装完成且网络连通时,由无线控制器对AP下发配置。
用户连接无线网络上网时,protal服务器弹出龙岗区政府门户页面,认证服务器对用户身份进行认证,上网行为进行审计对用户的行为进行审计。
RG-SNC智能网络指挥官是锐捷网络为精确进行网络管理而设计的网络管理系统。
RG-SNC专注于网络变更与配置管理,采用友好的全中文Web浏览器界面,可以远程协同维护和管理,采用非代理模式,避免了传统的“Agent”模式的繁琐和重复性劳动,而且便于实施和后期维护,极大地节省了工作时间和工作繁杂度;主动式的网管,可定义管理任务,主动收集网络状况并及时备份,做到状态变更的及时响应,出现故障可及时恢复;提供美观的网络拓扑图,俯瞰整个网络现状,出现异常时,在拓扑图上及时呈现。
产品主要配合锐捷设备使用,提供图形化的配置界面,实现对设备配置修改,从而大大降低管理员的维护强度和难度。
配置快照:
系统可以按照用户的需要定期采集设备配置文件,对设备配置信息进行备份,一旦设备配置被破坏,管理员可轻松实现设备配置恢复。
IP/MAC/PORT映射表:
用户可以据此判断ARP攻击,系统会自动分析IP/MAC的映射变更,进行预警。
设备软件统计:
系统提供统计信息,详细描述网内应用的设备型号、软件版本信息,为用户统一规划设备版本提供帮助。
设备软件批量上传下载:
提供设备软件批量上传下载功能,无需动用大量的人力物力,即可实现网内设备应用版本一致。
拓扑管理:
强大的二、三层网络拓扑发现能力,并通过拓扑图进行自动的布局呈现,提供准确的定位查询功能,提供完整的设备列表,允许用户按照自己的需要对设备进行分组管理呈现。
网络听诊器:
定期对网络响应状态进行检查,为管理员对网络进行基本体检提供帮助。
事件WIFI:
接收设备发出的事件信息,进行分析呈现。
真实的设备面板:
提供网络设备的真实面板,查看设备最为真实的信息。
配置设备:
向导式的设备配置管理,配置简单,降低错误发生的可能。
丰富的信息呈现:
提供设备的路由表、ARP表等详细信息查询,内嵌设备Telnet配置入口和设备WEB配置入口,提供用户多种方式管理设备。
系统具有良好的扩充性,并提供相关接口,以便在后续项目中可与其他相关系统联动。
本期工程将采用光纤PON技术进行接入,为每个热点提供最高1G的接入链路;热点内部根据需要采用以太网部署局域网,划分VLAN,用户采用不同的SSID接入将承载在不同的VLAN内,从而为实现多SSID应用与网络相关联,提供灵活的业务和应用组织方案。
2.2无线AP网络规划
锐捷网络推出的室内AP是高性能802.11n接入点设备,最高总数据率可达300Mbps,可以提供杰出的覆盖能力和传输距离增强特性,无需配置兔耳形天线。
这款双模接入点分别在2.4GHz频段和5GHz频段上,可后向兼容2.4GHz频段和5GHz频段上已有的802.11a/b/g客户端,从而保护客户投资,无需部署第二个覆盖网络。
为了不破坏现有办公环境和装修美观,AP一般采用吸顶/吊顶安装,天花板穿洞使其天线伸出垂直于地面,如下图:
无吊顶的区域,可以打孔固定的方式安装AP,如下图:
2.3智能无线交换网络规划
锐捷网络建议采用先进的智能无线交换网络架构作为无线网络解决方案技术的核心思想,采用支持智能转发功能的AC旁挂在核心交换机,配合部署在各楼栋接入层的智能管理型无线接入点产品,以及无线网络集中管理平台,完成整个无线网络。
一直以来,传统的无线局域网主要是采用自治型无线接入点架构,每个无线接入点都是一个独立的管理与工作单元,无线接入点之间无法进行任何沟通,如果需要对全网设备进行管理,需要逐台进行配置和管理,不仅费时、费力、维护成本高,而且缺乏所有的无线网络设备无法形成一个整体,也就无法具备整体协作的安全防御能力,整个网络的融合性差。
后来,根据自治型无线接入点的这种缺乏全面管理的缺陷,一些厂商开始推出新的无线网络架构,即“AC+AP”结构,可以满足所有的无线接入点全部受到AC的统一控管,这种组网架构和相应产品的出现,使得无线网络的整体管理能力、安全防御能力得到完全的改善,使得无线网络的组网变得轻松、易管理。
到了这一阶段,可以说无线网络的解决方案已经上升到了一个新的台阶。
虽然这种组网架构完全解决了对无线网络的管理和控制的问题,但是依然存在缺陷。
这种缺陷在无线网络规模较小的时候并不会构成隐患,但是随着无线网络的逐渐普及,尤其是各行业内越来越多的组建大规模的无线网络时(100台无线接入点以上),在这种解决方案架构中,全部的无线接入点设备所吞吐的数据流量(用户数据、设备管理数据)都要通过加密隧道,集中的流经AC承载与处理,再通过其转发给相应的有线网络送达目的地,这必然会导致AC成为大流量数据汇聚的中心。
而AC均采用“X86+ASIC”的类服务器硬件架构,对外提供千兆端口连接,也就是说其最大的数据处理与吞吐能力不会超过2Gbps,按照每台无线接入点的真实包吞吐能力在20Mbps计算,实际上每台AC最大192台无线接入点的数据集中转发,如果超过这个规模,AC就会成为流量瓶颈,必须再增加AC设备才能扩充解决。
特别是随着802.11n传输协议的即将到来,单个无线接入点的转发效率将提高到100Mbps以上,AC架构将不再适合承担所有流量的集中处理,同时对于延迟敏感的语音传输等也无法适应。
因此,针对这一现状,锐捷网络推出了先进的“智能无线交换网络”架构技术,通过智能ACMX系列产品的控制,智能无线接入点可具备根据不同用户、不同应用类型、不同VLAN等方式来决定数据流量是否需要全部集中流经AC,这样不仅可以保持原有的AC架构解决方案的优势,更可以根据网络的数据实际情况将时延敏感、流量较大的数据流分离到有线网络直接处理,将管理控制报文、安全控制要求高的报文送交智能AC处理,避免成为AC的转发瓶颈,这种解决方案将非常适合龙岗区公共区域无线覆盖这样的大规模的无线网络环境使用。
智能无线网络体系架构打破流量瓶颈限制
智能无线网络可适应不同应用需求完成智能交换
2.3.1灵活的组网方式
智能无线交换架构带来的另一个好处是非常灵活的组网。
采用智能无线交换网络架构,只需要在网络中心机房放置智能AC,在接入层部署智能无线接入点,即可完成整网的部署。
由于智能无线接入点本身并不保存配置,所有的控制指令都有智能AC统一下发,因此无论无线接入点部署于任何的物理位置,都可以与处于网络中心的智能AC取得联系并被控制,无论是初次安装还是后续更换无线接入点,仅仅需要在需要部署的位置连入有线网络,即可立即在智能AC的控制下开始工作,使得整网的部署非常简单和灵活。
2.3.2全网高可靠性
为了充分保证随时对全网智能无线接入点的集中控制,AC支持集群和冗余能力,可以同时对同一个无线接入点提供服务,由于他们之间采用了实时的信息同步技术,如果一台AC与无线接入点失去联系,将迅速由另一台备份AC接管,而用户信息不会丢失,仍然保持正常通信状态。
如果是一台智能无线接入点发生故障,AC可支持自恢复功能,通过快速查询该故障无线接入点邻近的智能无线接入点,调节其工作功率、信道等参数来接替该故障无线接入点的用户接入工作,迅速补充盲点,并实施向网络中心的智能AC汇报,通知网管人员尽快更换故障无线接入点,更换之后,智能AC将原先的配置信息继续控制新的无线接入点,邻接的无线接入点的射频参数调节恢复成原有状态,接替工作结束。
在这整个切换期间,对用户的访问完全没有影响。
这种冗余特性将极大的保证了整网工作的可靠性。
2.3.3优秀的扩展性
智能无线交换网络架构具有非常方便扩展的特性,每台AC初始默认标配就可以支持128个智能无线接入点控制权,最高可支持1024个智能无线接入点的控制权,我们可以按照“按需配置,渐进扩展”思路来不断增加智能无线接入点产品即可完成扩容,因此扩展无线接入点显得非常容易;当智能无线接入点的规模超过1024台之后,可以非常简单的增加AC产品,多台智能AC形成智能集群体而同步信息,原有的AC无需淘汰,因此非常适合大规模无线接入点的部署和后期的扩容需求。
2.3.4带宽控制与服务质量保证QOS
通过智能AC的全局控制,可以很轻松地实现对每一台智能无线接入点上行带宽,甚至每一个用户的带宽的控制。
同时,针对不同的用户业务类型,智能AC可以集中设置定义不同的QoS队列,比如将SIP和RTP协议可设定在高的队列,而一般应用如http、ftp则可设定在较低的队列。
2.3.5跨三层无缝漫游
无缝漫游是无线网络移动性的最佳体现。
但是传统的无线接入点仅仅能够实现基于二层的漫游,一旦无线用户跨越网段,就会由于重新获取IP地址、重认证、重新验证加密等过程,而导致漫游的失败和通信的中断。
这对于无线用户众多的XX广电集团而言,是无法接受的。
利用锐捷网络先进的智能无线交换网络架构,由于所有用户信息并不保存在本地的无线接入点中,而是全部集中在AC上,因此无论是单台AC还是多台AC的集群体,包括连接状态、认证状态、IP地址分配信息、加密验证状态等用户信息总是实时存在的,即便是无线用户跨网段移动,还是会延续原有的IP地址、认证与加密方式,不存在重新获取的必要,因此也不会中断连接。
实现这一过程,并不需要有线网络的参与,对有线网络和无线用户而言都是透明的。
这种无缝跨三层漫游尤其是对延迟敏感的语音业务有重大的意义。
2.4无线集中网络管理规划
2.4.1集中统一控制与管理
对于龙岗区公共场所无线网络规模如此庞大的无线网络来说,管理是非常重要的事情。
从RF射频覆盖状态的监测、无线链路的带宽的监测、用户认证的异常报警、无线接入安全等都需要考虑。
由于传统的无线局域网是单纯基于无线接入点,没有集中管理的概念,因此对于无线网络的管理,要在每个无线接入点上进行设置和更改,其工作量对于大规模无线接入点的无线网而言是不可想像的。
而且无线局域网是一个整体系统,无线接入点之间必须互协调工作,单独改变一个无线接入点的参数和配置,可能会会引起无线接入点之间的无线电波干扰,用户漫游重认证和授权也可能会产生问题,因此集中控制和管理显得非常必要。
因此,本方案中的智能AC产品可以充分发挥集中管理功能,对全网智能无线接入点的行为和用户信息统一WIFI和管理,网络管理人员只需在智能AC上就可开通、管理、维护所有处于接入层的智能无线接入点设备,包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户的访问策略。
2.4.2简便而丰富的用户入网
本方案中规划的无线网络,应能够提供对各种身份的人群的无线上网服务。
web的登录方式,无线网络也可以很好的支持,无需为每一个用户终端安装无线接入软件,认证可以基于WEB页面认证,认证只需用户打开浏览器就可以登陆。
2.4.3射频环境的监测
射频环境的优劣,将直接影响无线网络的稳定性和链路带宽的品质,因此,对企业需要覆盖的区域实时的射频环境监测是保证网络稳定可靠的基石。
锐捷网络的无线管理平台支持先进的提供智能化无线电射频监测和调控能力,可确保某个智能无线接入点在发生故障时,可以自动切换到邻近的智能无线接入点,由于用户信息全部同步在智能AC上,因此不会影响无线的接入服务。
这种强大的射频监测能力不仅表现在对大规模无线网络的管理工作中,即便是在初次安装无线网络时,网管人员也可可以在网络中心机房,通过智能ACMX-200R产品来自动调节整网所有智能无线接入点的射频参数,比如频率、信道、功率等。
智能无线接入点之间会自动协调射频参数,直到相邻的无线接入点之间达到最优无线电射频运行环境,并把最终调整结果返回给智能AC,网管人员就可以实时看到射频环境的现状,并决定是否继续调整或手动单独调整。
2.4.4智能分配的负载均衡
负载均衡是网络技术中一项非常实用的技术,即便是在无线网络中,负载均衡也是不可缺少的。
在锐捷网络的智能无线交换网络架构体系中,由于有了智能AC产品和无线管理平台的集中控制,可以很清楚地知道每个区域的智能无线接入点连接了多少个无线用户,是否已经达到用户数的上限或带宽的上限,其周边还有没有用户数和带宽较空闲的无线接入点,AC即可将无线用户分散到不同的智能无线接入点产品上入网,特别是针对大量的数据传输和视频传输,这样就可以有效的缓解单个无线接入点的负担,有效利用周边整体无线接入点的资源,从而确保每个需要上网的用户的正常数据访问的质量。
2.5无线网络认证及安全规划
2.5.1安全策略的集中实现
传统的无线网络的安全策略均分布在每一台无线接入点上,不但需要单独配置,带来巨大的工作量,而且如果需要更改策略,还需要全部重新配置,这是无法接受的。
如果无线接入点设备被盗,非法用户可以从设备中读出相应的入网认证、加密等信息,从而很轻易地入侵无线网络。
基于这一问题,锐捷网络推出的智能无线交换网络架构,将所有的安全策略全部集中到智能AC上统一发布和控制,包括用户身份认证、入网行为控制、安全加密、病毒库、无线入侵检测、无线电射频管理等,网管人员只要在智能AC上配置安全策略,就可以轻松地完成了整网的安全策略的配置,解决了工作量的问题,同时也避免了无线接入点被盗产生的安全信息外泄的危机。
2.5.3安全的本地零配置
在传统的无线接入点组网中,非法用户完全可能通过盗取无线接入点并读取入网密码等信息,继而入侵网络。
智能ACMX-200R通过对智能无线接入点的控制,使得智能无线接入点产品在本地并不保存任何数据,而是全部实时存储在智能AC上,因此智能无线接入点可以实现灵配置,这对于安全而言是非常有效的,完全杜绝了非法用户在接入层盗取设备截获信息的可能,同时也大大简化了本地化的工作量。
2.5.4无线网络入侵检测
无线网络由于使用空中的无线电射频信道工作,因此基于无线网络的入侵防护显得尤为重要。
这其中包括非法无线接入点的防范与非法用户连接访问的防范。
非法无线接入点可能侵占合法无线接入点的正常信道工作,这样不但会对合法的无线接入点产生干扰,由于非法设备往往不具备安全功能,还会将非法用户之间带进有线网络中。
采用锐捷网络智能AC产品,可以控制每台智能无线接入点产品动态扫描其所处的环境,并将扫描到的设备信息送交AC及网管平台查询,这样网络管理人员即可实时发现是否有非法无线接入点存在,随后可以开启自动保护机制,阻止无线用户通过非法无线接入点进入无线网络。
另一种重要威胁是非法无线用户对合法无线接入点的入侵。
互联网上可以轻易地下载到很多无线入侵和攻击工具,而原先传统的无线接入点设备均都没有侦测无线入侵的功能,所以当受到像无线DOS攻击时,就会误以为是无线电波的信号受干扰或AP出现不稳定情况。
这些攻击将会导致用户的无线连接断线,但网管人员却无法在第一时间得到报警。
利用锐捷网络的智能无线网络架构技术,智能AC本身内置无线入侵模式库,可以实时检测异常的无线数据包,当无线系统侦测出有入侵时,它会记录和显示入侵的格式,并对入侵做出自动保护响应和报警,并提醒网管人员注意并提示相应的解决措施。
2.5.5病毒入侵防护
对无线终端的病毒防护可分为无线终端的准入检查和对无线终端发出数据进行有效的检查。
当无线终端试图访问网络,在该用户认证之前,需要下载一个基于JAVA的程序,可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况,做一个检查,如果不能通过检查,可以设定策略禁止其访问网络,也可设置成将无线用户重定向到一台升级服务器,打系统补丁、安装防病毒软件和升级病毒定义码,满足系统制定的安全策略以后,该无线终端才可以进入认证环节进行用户的认证。
通过了准入检查后,但是如何对无线终端发出数据进行有效的检查和WIFI是更加进一步的病毒防护手段。
通过和第三方的防病毒厂家合作,锐捷网络的智能AC产品可以允许设定策略,对于某些用户以及某些可能沾染病毒的数据,将其重定向到防病毒设备上进行防病毒检查,检查完成后,才允许通过,否则会将数据丢弃。
基于上述工作过程,智能无线交换网络系统即可实现对无线终端有效病毒防护。
2.5.6无线安全认证接入
在部署无线网络之后,根据要求,同时对有线网和无线网进行统一的认证。
具体到无线网络的认证要求是:
1.当无线用户想要接入无线网络时,首先连接到附近的无线网的接入点(AP)上。
2.无线接入点(AP)发现有用户要求进行无线连接时,会要求用户进行帐号认证。
3.用户端的操作系统在收到AP的信号后,会要求用户输入系统的帐号和密码。
4.用户输入完后,会将加密后的用户名密码发送给无线AP。
5.无线AP在收到加密后的用户帐号、密码后,会将其发送给认证系统进行确认。
6.认证系统在确认AP发来的帐号、密码后,会发送指令给AP。
命令AP接受或拒绝用户的无线连接请求。
7.如果认证系统命令AP接受用户连接,则AP打开无线信道,允许用户接入,同时认证系统开始对用户进行网络。
本次筹建无线网络系统,XX广电集团要求新建的无线系统能够在认证方面与原有的有线网络认证体系完全融合,对认证用户完全透明,不增加用户的认证次数和复杂性,同时还要保证无线用户入网即认证的目的,便于控制无线用户的安全访问和与有线网络的认证账号统一性。
锐捷网络提供的无线接入点产品将与目前XX广电集团的宽带认证管理系统联动以满足客户的需求。
具体实现方式是采用无线接入点已经良好支持的EAP-PEAP作为认证加密协议,保证用户认证传输过程中的安全和身份的核查。
认证用户采用与有线网络一致的用户名和密码,无线接入点作为EAP-PEAP的认证体,管理网关作为后台Radius。
具体工作原理如下:
建成后的XX广电集团无线网络将获得与有线网络一致的认证方式,同时兼顾了无线网络的连接过程的安全,为此而进行的开发合作与调整是基于国际标准认证协议进行的,可保证开发投入的风险降低。
2.5.7无线网络用户隔离
在目前面向行业级的WLAN产品的安全技术中,越来越强调单机安全策略的强化,以及与有线网络安全互补的核心思想。
其中,SSID、WEP、WPA、VLAN等一系列技术的运用,将有效的提高无线网络的安全防御能力。
本此规划中,将按照层次化的设计理念,完成XX广电集团的无线网络安全需求。
SSID(无线标识符)是用于无线终端与接入点匹配以获得通信的明文密码,对于初级安全防范有一定作用,且配置快速简单,非常适合室外无线覆盖使用。
尤其是启用了目前先进的SSID广播禁止功能之后,由于空中不再广播明文的SSID号码,使得那些拥有截获SSID密码的无线终端非法访问网络。
另外,WEP(有线等效密钥)和WPA(接入保护)技术的出现,可以通过大量的密文加密位和动态的密钥,为非法访问者制造很高的安全难度,从而避免网络安全时间的发生。
在无线网络规划中,由于目前有线网络咦具备一定规模,因此,在无线网络融合进有线网络进行数据交换之前,通过WEP和WPA加密技术可以增加一层保护手段,可以极大的提升安全防御的能力。
另外,对于室内AP产品,由于其开放于公共环境,面对的是所有用户群体,对不同的用户群体的权限和身份识别则成为必须的功能。
因此,AP产品应选择具备802.1QVLAN功能的无线产品,协助接入层无线用户与接入层交换机用户同样接受全网统一管理和VLAN的划分,这样可以彻底解决无线用户无法管、不方便管的疑难问题。
基于以上的需求,建议在AP针对不同用户开启不同的802.1QVLAN,并可在每个VLAN内实现用户物理隔离,并可以对每个VLAN实现单独的SSID分配、WEP和WPA加密,以及802.1X认证。
可以为同一个AP覆盖范围内的不同用户实施不
升级会员 