xxxx无线解决方案.docx

xxxx无线解决方案.docx

《xxxx无线解决方案.docx》由会员分享，可在线阅读，更多相关《xxxx无线解决方案.docx（17页珍藏版）》请在冰点文库上搜索。

xxxx无线解决方案

XXXX办公楼无线

设计方案

湖北融通三立科技有限公司

2016年4月

目录

1概述3

1.1项目背景3

1.2需求分析3

1.3终端类型3

2建设原则与目标4

2.1建设原则4

2.2建议目标4

3XXXX办公无线解决方案4

3.1设计原则4

3.2全网拓扑6

3.3无线详细规划6

3.3.1无线信号质量要求7

3.3.2影响无线覆盖效果的因素7

3.3.3频率规划与干扰控制7

3.3.4AP部署规划8

3.3.5AP容量规划9

3.3.6无线网络服务质量指标10

3.3.7SSID规划10

3.3.8以太网供电11

3.4无线可靠性设计11

3.4.1无线控制器智能集群技术11

3.4.2AP信号冗余12

3.4.3二层、三层漫游12

3.4.4胖瘦AP切换12

3.5无线网络安全设计12

3.5.1无线链路层安全13

3.5.2无线攻击防范13

3.6无线服务质量保证14

3.6.1高性能802.11n无线网络（兼容802.11a、b/g）14

3.6.2智能分配负载均衡15

4项目设备清单16

1概述

1.1项目背景

随着社会的发展进步，党政机构的职能和业务模式不断发生变化，社会对党政系统的工作方式和工作效率都提出了很高的要求。

党的十七大提出，要进一步转变政府职能，改进管理方式，推行移动办公，提高行政效率，降低行政成本，形成行为规范、运转协调、公正透明、廉洁高效的行政管理体制。

因此，一套高效移动终端接入互联网的解决方案的实施，对于推进政府职能转变，加强机关自身建设，降低行政成本，提高工作效率，提升服务水平都具有十分重要的意义。

由于移动终端缺乏相应的安全机制保障，终端的安全以及在使用过程中无法判断用户的合法性，存在非法用户、非法外设接入等问题；同时，XXXX存在对公众接入的需求，这使得网络中存在可能遭受恶意破坏的风险。

为便于开展移动办公，支撑实际移动相关工作，保障网络可用性，必须通过有效安全机制在实现接入的同时，保障信息通信网络的安全。

XXXX无线项目作为“数字化办公”的组成部分，将覆盖主楼的1层至11层。

通过搭建无线网络，实现办公人员随时随地访问互联网资源，改善网络接入体验。

1.2需求分析

无线网络

●无死角的无线覆盖，统一SSID，实现整网无缝漫游；

●可以支撑文件传输、语音视频等高带宽占用的应用；

●对于智能设备是唯一网络，无线网络要求能够在高负载的情况下提供高可靠性、高稳定性；

认证系统

●采用简单的密码认证，让使用人员能简单有效的接入适用无线无线网；

1.3终端类型

随着信息化的迅速发展，移动终端的类型也越来越多，如笔记本、PAD、手机等对终端的性能要求越来越高，终端网卡类型由单流单频网卡、双流单频网卡到现在主流的双流双频网卡，如IPAD、Iphone、三星GALAXY等都支持5G，为更好的分流，将尽可能支持5G的终端自动连接到5G射频卡上，来减轻2.4G的压力，即在部署无线网络时，当1台AP上连接人数较多时，最好使用双流双频的设备。

2建设原则与目标

2.1建设原则

⏹经济实用的原则，产品及方案的规划必须具备良好的性价比。

⏹充分重视网络系统和信息的安全，建立先进的网络管理系统和安全管理系统。

⏹采用成熟技术，兼顾未来发展，既量力而行又适当超前。

⏹软硬并举，网络基础建设与信息资源建设同步进行。

2.2建议目标

依据建设原则，XXXX无线的建设目标是采用业界领先的网络设备，在充分满足基本需求的同时，使得整个网络具备高性能、智能化、易运维、面向未来特点的无线网络。

其中，高性能是建设无线的基础，智能化是建设无线的关键因素，易运维是建设的保障，面向未来是XXXX网络的最终目标。

3XXXX办公无线解决方案

3.1设计原则

根据上述的需求分析和部署环境的实际特点，XXXX的无线网络整体规划，需要本着以下原则进行规划与设计：

⏹无缝覆盖

本次无线网建设采取标准的802.11AC网络协议标准，整机提供不低于600Mbps的无线带宽接入能力，提供高性能的无线覆盖；

无线信号覆盖整个员工所有房间，保证被覆盖房间网络访问流畅。

提供数据接入业务，员工能够快捷的访问丰富的内网资源。

⏹多种服务支持

基于XXXX网络的未来可持续发展，无线网络规划应为未来发展多媒体、高带宽的无线宽带应用（如，无线语音应用、无线视频会议应用、无线监控、无线多媒体通信应用等）打下基础，并提供低成本的无缝升级和先后兼容。

无线系统需要具有IPv6协议和流量的分类转发和管理能力。

⏹安全性

网络必须具有良好的安全防范措施和密码保护技术，灵活方便的权限设定和控制机制，使系统具有多种有效手段，防范各种形式对网络的非法入侵和内部攻击，以保证网络的实体安全、网络安全、系统安全和信息安全，有效地保障正常的业务活动和防止内部信息数据不被非法窃取、篡改或泄漏。

因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。

⏹扩展性

在网络规模不断发展的情况下，无线网络应满足在不改变主体架构与大部分设备的前提下，平滑实现升级和扩充，降低原有网络的硬件投资，并保证扩展后的系统可用性与稳定性。

预留AC、AP可升级的能力，为未来无线网建设提供基础，无线网络要支持AC冗余扩展N+1的冗余备份能力；

系统建设必须尽量保护现有的软、硬件资源，保证各部门现有的计算机系统的使用，逐步过渡，有效保护用户投资，最终形成一个统一的、一体化的综合网络系统。

⏹高性能

网络链路和设备具备足够高的数据转发能力，保证各种信息的高质量无阻塞传输；交换系统具有很高的交换容量与多服务支持的能力，保证网络服务的质量。

⏹可管理

为了让网络能够良性、稳定、持续、健康的发展，对员工进行严格的管理和控制，网络管理部门需要对所有XXXX人员接入网络管理，通过对上网的员工进行认证，控制上网的行为，为XXXX的网络管理提供便利的工具。

与此同时，对于本次网络中所涉及的无线AP、AC、交换机等设备能够实现无线、有线统一的管理，确保各设备运行在最佳状态，为员工提供可靠的网络接入服务。

⏹规范化和标准化

网络体系结构、通信协议及软件的设计和开发必须按照国家或行业标准进行，要模块化、结构化、数据要代码化，以便于信息共享和交流及将来的维护。

在系统设计和软件开发时，应用程序必须规范化、模块化和可复用。

3.2全网拓扑

根据前述的网络需求分析、网络设计原则，以及总体架构的要求，设计全网拓扑图如下所示：

图2XXXX办公无线网络拓扑

XXXX办公无线解决方案由运维区、无线管理区、无线覆盖等若干模块。

各模块主要功能如下：

⏹运维区：

全局安全平台；

⏹无线管理区：

AC，电源1+1冗余备份；

⏹无线覆盖：

新增楼层PoE交换、AP组成；

⏹安全终端：

电脑无线客户端；

3.3无线详细规划

XXXX无线网络，除了要满足员工的现状与未来几年内的发展之外，还需要根据无线网络自身的特点，为其设计规划一个与“有线无线网络融合、一体化管理、高带宽、大范围覆盖、安全可信”的无线覆盖网络，无线网络规划将从无线信道带宽保障、重点区域覆盖、安全可信、认证及网络管理充分融合等多方面综合考虑

3.3.1无线信号质量要求

覆盖区域信号强度不低于-75dBm，信噪比SNR≥20。

业务使用较为集中区域的接入速率应不低于140Mbps。

室内分布系统天线的等效全向辐射功率≥7dBm。

室外分布系统天线、独立WLAN天线的等效全向辐射功率≥22dBm。

室外覆盖方式时，WLAN无线信号一般按穿透一堵墙设计。

3.3.2影响无线覆盖效果的因素

信号强度和传输距离的换算公式

Gt－Gr＋AP天线增益＋终端天线增益＝L信号总强度（dB）

Gt（AP或终端功率，单位dB），Gr（终端或AP灵敏度，单位dB）

距离产生的信号衰减公式：

40＋20lgd＝L1（dB）d（距离，单位m）

障碍物的衰减

物体

dB

地板

30

带窗户的砖墙

2

办公室墙

6

办公室墙的金属门

6

砖墙的金属门

12.4

靠近金属门的砖墙

3

3.3.3频率规划与干扰控制

1.在一个AP覆盖区最多可以提供3个不重叠的信道同时工作。

考虑到制式的兼容性，相邻区域频点配置时宜选用1，6，11信道。

2.根据经验值，当相邻AP设定相同频点时,要求间隔25米以上；当相邻AP设定相邻频点时,要求AP间隔15米以上；当AP设定相隔频点时,要求间隔12米以上。

3.频点配置时首先应对目标区域现场进行频率检测，对于覆盖区域内已有AP采用的信道，应尽量避免采用。

4.对于室内区域存在多套室内覆盖系统的情况，应充分考虑其他通信系统使用的频段，设计时预留必要的保护频带，以满足干扰保护比的要求。

5.室内AP覆盖区频点配置时应充分利用建筑物内部结构，从平层和相邻楼层的角度尽量避免每一个AP所覆盖的区域对横向和纵向相邻区域可能存在的干扰。

6.系统设计时应注意避免干扰源的影响。

7.AP部署自动频率调整功能，以防止同频干扰。

3.3.4AP部署规划

3.3.5AP容量规划

考虑到人人手持智能手机及笔记本电脑，单台AP按照承载20人，40个终端计算。

当超过此容量时可考虑适当增加AP数量，以保证无线网络使用体验。

3.3.6无线网络服务质量指标

覆盖指标

对有业务需求的楼层和区域进行覆盖。

目标覆盖区域内95％以上的位置，接收信号电平≥-75dBm。

其中对重点目标覆盖区域的覆盖电平指标：

重点区域内95%以上的位置，接收信号电信≥-70dBm。

信号质量

目标覆盖区域内95%以上位置，用户终端接收到的下行信号S/N值>10dB。

速率指标

在目标覆盖区内，单用户接入最低业务速率≥70Mbps。

3.3.7SSID规划

服务集标识符SSID

在IEEE802.11中，一组无线设备被称为服务集（serviceset）。

SSID，用于来区分无线网络，这些设备的服务集标识符（SSID）必须相同，服务集标识符是一个文本字符串，包含在发送的每帧中。

如果发送方和接收方的SSID相同，这两台设备将能够通信。

SSID规划部署

在IEEE802.11中，一组无线设备被称为服务集（serviceset）。

SSID，用于来区分无线网络，这些设备的服务集标识符（SSID）必须相同，服务集标识符是一个文本字符串，包含在发送的每帧中。

如果发送方和接收方的SSID相同，这两台设备将能够通信。

划分2类SSID，对应两类用户，如下：

用户组

SSID

备注

内部

XXXX-WiFi

访客

XXXX-GUEST

3.3.8以太网供电

供电方式有两种：

PoE交换机供电、PoE适配器供电。

⏹PoE交换机供电：

需要增加支持PoE功能的以太网交换机，通过双绞线对AP进行供电。

⏹PoE适配器供电：

无需要对以太网交换机进行替换，只需要在以太网交换机与AP之间增加PoE适配器即可实现供电。

本方案中，通过部署多台全千兆POE交换机对AP通过以太网实现远程供电。

3.4无线可靠性设计

3.4.1无线控制器智能集群技术

在网络设计上，充分考虑到网络可靠性，以提供7X24小时无线网络服务。

本方案可先选择使用1台无线控制器。

今后也可以选用2台无线控制器，使用主备集群模式，实现当主无线控制器异常宕机时，备用无线控制器实现毫秒级别切换，确保无线互联网服务不会出现任何中断。

传统的无线控制器冗余备份的实现方式：

瘦AP和无线控制器之间通过心跳握手机制来判断无线控制器的工作状态，当瘦AP发现无线控制器掉线或者宕机后，会根据在本地保存的备份无线控制器的地址，与备份无线控制器重新建立隧道连接，所以在瘦AP和备份无线控制器建立成功连接之前无线用户无法收发报文。

瘦AP和无线控制器之间心跳握手timeout时间一般都会很长，几秒或者几十秒，也就是说当主无线控制器掉线或者宕机时，瘦AP要在几十秒以后才能发现，之后瘦AP需要与备份无线控制器之间建立连接，至少也需要几十秒的时间，这一过程下来，对用户的感受来说会有几十秒甚至几分钟的业务中断，这是用户无法接受的。

锐捷网络无线控制器采用的冗余备份技术是在虚拟化架构下开发出来的，具体实现方式为：

其中一台无线控制器将作为主无线控制器，其余N台将作为从无线控制器，无线网络初始化时，只有主无线控制器会接受AP的注册请求。

当AP和主无线控制器注册并建立CAPWAP关联时，主无线控制器会将备份虚伪控制器的信息通告给每个AP，AP会根据此信息和备份无线控制器也建立一条虚拟CAPWAP链路，但同一时间只有与主无线控制器建立的CAPWAP链路处于工作状态。

当主无线控制器异常宕机时，备份无线控制器和主无线控制器之间的心跳检测机制可以快速检测到主设备的状态，并及时通知AP进行主备用CAPWAP隧道的切换，这一过程的切换时间将保持在毫秒级别，用户的业务不会出现任何中断。

3.4.2AP信号冗余

基于无线网管系统实现AP间信号的冗余，当其中一台AP故障后，周边的其他AP自动调整发射功率，覆盖该AP的区域，确保该AP内的无线终端设备正常接入无线网络。

3.4.3二层、三层漫游

无缝漫游是无线网络移动性的最佳体现。

但是传统的AP仅仅能够实现基于二层的漫游，一旦无线用户跨越网段，就会由于重新获取IP地址、重认证、重新验证加密等过程，而导致漫游的失败和通信的中断。

这对于无线用户众多而言，是无法接受的。

利用智能分布式无线网络架构，由于所有用户信息并不保存在本地的AP中，而是全部集中在AC上，因此无论是单台AC还是多台AC集群，包括连接状态、认证状态、IP地址分配信息、加密验证状态等用户信息总是实时存在的，即便是无线用户跨网段移动，还是会延续原有的IP地址、认证与加密方式，不存在重新获取的必要，因此也不会中断连接。

实现这一过程，并不需要有线网络的参与，对有线网络和无线用户而言都是透明的。

这种无缝跨三层漫游尤其是对延迟敏感的语音业务有重大的意义。

3.4.4胖瘦AP切换

AP支持胖瘦接入点切换功能，当AC（网络层）不可达时，瘦接入点可以切换到胖接入点的工作模式，继续提供无线网络接入。

3.5无线网络安全设计

无线网络安全是一个端到端的全程概念，单纯提高某一层面的安全性并不能对网络整体的安全性有很大改善。

因此，无线网络安全最终要从无线链路层安全、无线网络层安全等层次进行安全保证，无线网络具备无线安全攻击防范的能力。

3.5.1无线链路层安全

3.5.1.1无线链路层加密

无线链路层加密方式有WEP、WPA、WPA2、WAPI等方式。

用户组

SSID

链路层加密

备注

内部

XXXX-WiFi

WPA2

访客

XXXX-GUEST

WPA2

3.5.1.2禁止广播SSID

为了提高无线网络的安全性，针对两类人群的SSID，均可选择禁止广播，只能手工添加SSID，才能与无线网络关联。

3.5.2无线攻击防范

3.5.2.1非法AP、终端的入侵检测隔离

无线网络由于使用空中的无线电射频信道工作，因此基于无线网络的入侵防护显得尤为重要。

这其中包括非法无线接入点的防范与非法用户连接访问的防范。

非法无线接入点可能侵占合法无线接入点的正常信道工作，这样不但会对合法的无线接入点产生干扰，由于非法设备往往不具备安全功能，还会将非法用户之间带进有线网络中。

采用智能无线AP，能够支持两种模式来对非法电磁信号进行监测：

一种方式为AP在做DataAP的同时，每隔一段时间主动进行ActiveScan；另一种方式可以将AP设为监听模式（称之为SentryScan），与前一种方式不同的是，此种方式为连续监控。

智能无线AP通过上述两种方式，采取按需的或预设定的射频扫描来监听周边环境的信号源的MAC地址，Channel类型及SSID等，自动识别并警告未授权的AP或Ad-Hoc网络，以避免潜在的干扰或与无线入侵者。

另外，对于某些重点区域，还可以部署专用AP不断地扫描空域，以便对要求更高安全性的环境提供全天候保护。

当系统发现非法AP或者非法信号后，可以根据管理策略，手动或自动将非法AP加入系统的黑名单中。

当发现有无线客户端尝试链接该非法AP时，系统可以主动向该无线客户端发出IEEE802.11disassociation信号，强制将该终端与非法AP断开，从而让终端始终连接上合法的无线网络上，保证了用户的数据安全。

另一种重要威胁是非法无线用户对合法无线接入点的入侵。

互联网上可以轻易地下载到很多无线入侵和攻击工具，而原先传统的无线接入点设备均都没有侦测无线入侵的功能，所以当受到像无线DOS攻击时，就会误以为是无线电波的信号受干扰或AP出现不稳定情况。

这些攻击将会导致用户的无线连接断线，但网管人员却无法在第一时间得到报警。

利用网络的智能无线网络架构技术，智能无线交换机本身内置无线入侵模式库，可以实时检测异常的无线数据包，当无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应和报警，并提醒网管人员注意并提示相应的解决措施。

3.5.2.2病毒与攻击安全

锐捷提供的无线解决方案通过多种内在的安全机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户使用网络，保证合法用户合理化使用网络，如IP/MAC/WLAN多元素绑定、硬件ACL控制、基于数据流的带宽限速等，满足大楼无线网加强对访问者进行控制、限制非授权用户通信的需求。

3.5.2.3ARP欺骗的防护

ARP检测功能有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象，保障了用户的正常上网。

无论在动态分配IP环境下，还是静态分配IP环境下，均可实现自动绑定工作，大大的节省了人力成本，降低了管理开销。

而配合ARP速率监控控制ARP报文发送的速率，防止恶意利用扫描工具进行ARP泛洪占据网络带宽，导致网络拥塞的攻击行为。

3.5.2.4DHCP安全

支持DHCPsnooping，只允许信任端口的DHCP响应，防止未经管理员许可私自架设DHCPServer，扰乱IP地址的分配和管理，影响用户的正常上网的行为；并在DHCP监听的基础上，通过动态监测ARP和检查源IP，有效防范DHCP动态分配IP环境下的ARP主机欺骗和源IP地址的欺骗。

3.6无线服务质量保证

3.6.1高性能802.11n无线网络（兼容802.11a、b/g）

目前业界比较成熟的802.11n设备主要采用2个空间流技术，即最大速率可达到300Mbps。

但在射频性能的关键指标—MIMO类型的选择上则分成多种，例如3X3MIMO、2X3MIMO、2X2MIMO和1X1SISO。

其中，3X3MIMO凭借着三天线同时收发的先天优势，成为目前覆盖能力最强、吞吐性能最好的一种架构。

覆盖区域建议部署3×3MIMO架构的高性能802.11nAP，不仅能够提供6倍于802.11a/g设备的速率，并且可以在AP发射功率相同的情况下提供比802.11ag设备高出30%-50%的覆盖范围。

图3802.11n性能对比

图4无线覆盖

3.6.2智能分配负载均衡

采用智能负载均衡技术，解决网络中负载不均衡的问题，并有效提升网络可靠性和传输质量。

无线智能网络架构可以很清楚地知道每个区域的智能AP连接了多少个无线用户，是否已经达到用户数的上限或带宽的上限，其周边还有没有用户数和带宽较空闲的AP，可以有效的缓解单个AP的负担，有效利用周边整体AP的资源，从而确保每个需要接入网络的用户的正常数据访问的质量。

4项目设备清单

序号

产品代码

项目名称

数量

备注

1

WP-2024P

H3CWP2024P,以太网交换机,24个10/100Base-T,2个10/100/1000Base-T与1000Base-XSFPCOMBO,POE

2

24口POE交换机

2

EWP-WX5004-H3

H3CWX5004-4端口千兆Combo无线控制器

1

AC，含电源。

License可选

3

LSKM2150A

150W交流电源模块

2

4

EWP-WA2620E-D

H3CWA2620-802.11ac无线局域网室内放装型2.4/5GHz双频接入点-FIT

28

室内放装双频AP