工程概況

       采取通行的網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)：目前無(wú)線局域網(wǎng)普遍采用802.11系列標(biāo)準(zhǔn)，因此無(wú)線局域網(wǎng)將主要支持802.11g（54M帶寬）標(biāo)準(zhǔn)以提供可供實(shí)際應(yīng)用的相對(duì)的網(wǎng)絡(luò)通訊服務(wù)，同時(shí)兼顧多種類型應(yīng)用和將來(lái)的投資保護(hù)，需要同時(shí)支持801.11a，802.11b，實(shí)現(xiàn)雙頻三模技術(shù)；

覆蓋范圍要求：

       1、有線網(wǎng)絡(luò)無(wú)法接入的室外場(chǎng)所：區(qū)域內(nèi)一些場(chǎng)所很難實(shí)現(xiàn)網(wǎng)絡(luò)有線接入，采用無(wú)線方式可以實(shí)現(xiàn)覆蓋大范圍室外空間的無(wú)線網(wǎng)絡(luò)接入。

       2、有線網(wǎng)絡(luò)使用不便或受限的室內(nèi)空間：區(qū)域內(nèi)一些室內(nèi)場(chǎng)所空間較大，會(huì)產(chǎn)生許多人同時(shí)接入網(wǎng)絡(luò)的需求，采用有線的方式只能提供少量接口，不能滿足要求。用無(wú)線網(wǎng)絡(luò)覆蓋來(lái)解決相當(dāng)數(shù)量的移動(dòng)設(shè)備同時(shí)訪問(wèn)網(wǎng)絡(luò)的問(wèn)題。

無(wú)線網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)要求：

       無(wú)線接入所需布設(shè)的AP通過(guò)局域網(wǎng)的匯聚層設(shè)備接入到局域網(wǎng)中，在匯聚層都提供相應(yīng)的接口給無(wú)線網(wǎng)線，在接入層設(shè)備要在方案中進(jìn)行描述。

設(shè)計(jì)方案

一、整網(wǎng)邏輯拓?fù)鋱D

二、無(wú)線用戶認(rèn)證解決方案

       本方案主要采用portal認(rèn)證，無(wú)線AP與無(wú)線控制器通過(guò)二層隧道協(xié)議通信，無(wú)線用戶的認(rèn)證點(diǎn)都是放置于無(wú)線業(yè)務(wù)插卡設(shè)備上，后臺(tái)的iMC認(rèn)證計(jì)費(fèi)系統(tǒng)作為用戶鑒權(quán)點(diǎn)。

       鑒于目前無(wú)線網(wǎng)絡(luò)本次規(guī)模，從網(wǎng)絡(luò)支撐能力的角度來(lái)看，需要1塊板卡就可以實(shí)現(xiàn)。針對(duì)無(wú)線用戶，無(wú)線控制器作為802.1x認(rèn)證的終結(jié)點(diǎn)，iMC認(rèn)證計(jì)費(fèi)系統(tǒng)作為最后的鑒權(quán)點(diǎn)，當(dāng)用戶在AP內(nèi)進(jìn)行切換時(shí)，此時(shí)的主要工作由無(wú)線交換機(jī)進(jìn)行統(tǒng)一調(diào)度，當(dāng)用戶在不同的端口下的不同AP的覆蓋范圍時(shí)，此時(shí)用戶不會(huì)再次觸發(fā)認(rèn)證。 

三、整網(wǎng)安全解決方案

       無(wú)線局域網(wǎng)絡(luò)公眾型網(wǎng)絡(luò)，網(wǎng)絡(luò)安全問(wèn)題在建網(wǎng)時(shí)必須考慮問(wèn)題，安全方式主要側(cè)重幾個(gè)方面：用戶安全、網(wǎng)絡(luò)安全，而在局域網(wǎng)絡(luò)中主要依附于用戶實(shí)體的屬性主要包括用戶使用的信息終端二層屬性（諸如：MAC地址）及用戶的帳號(hào)、密碼，而對(duì)于用戶來(lái)，帳號(hào)信息都是一個(gè)實(shí)名原則，與用戶的個(gè)人信息進(jìn)行關(guān)聯(lián)的，這樣本無(wú)線網(wǎng)絡(luò)中著重考慮使用無(wú)線網(wǎng)絡(luò)的空口信息的安全機(jī)制，同時(shí)也要考慮與無(wú)線相關(guān)的有線網(wǎng)絡(luò)的安全問(wèn)題，對(duì)于原有有線網(wǎng)絡(luò)的安全問(wèn)題，在本技術(shù)建議書(shū)中不作相應(yīng)的考慮；

無(wú)線網(wǎng)絡(luò)安全部分主要包括以下方面的內(nèi)容：

       1、MAC地址過(guò)濾：目前支持基于MAC地址的過(guò)濾，限制具有某種類型的MAC地址特征的終端才能進(jìn)入網(wǎng)絡(luò)中；

       2、SSID管理：是一種網(wǎng)絡(luò)標(biāo)識(shí)的方案，將網(wǎng)絡(luò)進(jìn)行一個(gè)邏輯化標(biāo)識(shí)，對(duì)終端上發(fā)的報(bào)文都要求進(jìn)行上帶SSID，如果沒(méi)有SSID標(biāo)識(shí)則不能進(jìn)入網(wǎng)絡(luò)；

       3、WEP加密：WEP加密是一種靜態(tài)加密的機(jī)制，通信雙方具有一個(gè)共同的密鑰，終端發(fā)送的空口信息報(bào)文必須使用共同的密鑰進(jìn)行加密；

       4、支持AES加密，AES安全機(jī)制是一種動(dòng)態(tài)密鑰管理機(jī)制，同時(shí)密鑰生成也基于不對(duì)稱密鑰機(jī)制來(lái)實(shí)現(xiàn)的，同時(shí)密鑰的管理也定期更新，具有體的時(shí)間由系統(tǒng)可以設(shè)定，一般情況都設(shè)定為5分鐘左右，這樣非法用戶要想在5分鐘之內(nèi)進(jìn)行獲取足夠數(shù)量的報(bào)文進(jìn)行匹配出密鑰出來(lái)，從無(wú)線空口的流理來(lái)看，基本上是不可能的；

       5、可根據(jù)用戶名來(lái)劃分權(quán)限，即相同用戶在不同地點(diǎn)接入無(wú)線網(wǎng)絡(luò)其權(quán)限保持一致；密鑰設(shè)置可能根據(jù)SSID信息與用戶信息進(jìn)行組合，即不同的SSID下不同的用戶的密鑰生成可以不一樣，這樣一定程度上保證用戶之間串號(hào)問(wèn)題產(chǎn)生，從而保護(hù)投資，以達(dá)到營(yíng)維平衡；

       6、實(shí)現(xiàn)流量異常、報(bào)文異常監(jiān)管，從而保護(hù)網(wǎng)絡(luò)的進(jìn)一步安全；

四、頻率規(guī)劃與負(fù)載均衡解決方案

頻率規(guī)劃（支持雙頻三模，建議部署802.11g）

       802.11g使用開(kāi)放的2.4GHz  ISM頻段，可工作的信道數(shù)為歐洲標(biāo)準(zhǔn)信道數(shù)13個(gè)。由于其支持直序擴(kuò)頻技術(shù)造成相鄰頻點(diǎn)之間存在重疊。對(duì)于真正相互不重疊信道只有相隔5個(gè)信道的工作中心頻點(diǎn)。因此對(duì)于802.11g在2.4GHz地工作頻段，理論上只能進(jìn)行三信道的蜂窩規(guī)劃實(shí)現(xiàn)對(duì)需要規(guī)劃的熱點(diǎn)的無(wú)縫覆蓋。此外，由于功率模板是否能做到符合鄰道、隔道不干擾也非常影響頻率規(guī)劃的效果。

       針對(duì)如何進(jìn)行802.11g的頻率規(guī)劃作了大量的實(shí)驗(yàn)，實(shí)驗(yàn)證明3載頻也可以實(shí)現(xiàn)蜂窩對(duì)需要覆蓋的區(qū)域進(jìn)行無(wú)縫覆蓋，并提供更高的服務(wù)帶寬提高服務(wù)質(zhì)量，和高帶寬業(yè)務(wù)的開(kāi)展。

圖3 頻率規(guī)劃原理圖

頻率規(guī)劃需要配合使用的功能包括

    1、AP支持13個(gè)信道設(shè)

    2、AP支持100mW最大射頻功率以及多級(jí)功率控制

    3、AP支持外置天線以及定向天線

    4、針對(duì)特殊應(yīng)用還需要AP支持橋接功能、接入功能以及WDS功能

五、無(wú)線網(wǎng)絡(luò)管理解決方案

       基于標(biāo)準(zhǔn)的SNMP協(xié)議實(shí)現(xiàn)對(duì)設(shè)備的管理，專門(mén)的無(wú)線局域網(wǎng)管理軟件Quidview無(wú)線組件可實(shí)現(xiàn)對(duì)WLAN所有網(wǎng)元的管理。網(wǎng)管工作站可以放在網(wǎng)上的任意位置，通過(guò)標(biāo)準(zhǔn)的SNMP即可實(shí)現(xiàn)對(duì)無(wú)線交換機(jī)的管理。無(wú)線交換機(jī)可以實(shí)現(xiàn)更為強(qiáng)大的管理包括AP的自動(dòng)拓?fù)浒l(fā)現(xiàn)、自動(dòng)升級(jí)、批量配置、分級(jí)管理、分級(jí)告警等，并可實(shí)現(xiàn)針對(duì)無(wú)線覆蓋空間內(nèi)的射頻掃描、非法接入點(diǎn)監(jiān)聽(tīng)等安全功能。而無(wú)線局域網(wǎng)管理軟件WXM可以實(shí)現(xiàn)配置管理整個(gè)WLAN無(wú)線網(wǎng)絡(luò)，其具備以下特點(diǎn)：

       1、零配置安裝：接入點(diǎn)無(wú)需準(zhǔn)備預(yù)設(shè)置，AP從無(wú)線控制器繼承配置信息?？蓪o(wú)線控制器接入中心機(jī)房核心交換機(jī)中，無(wú)線AP無(wú)需事先進(jìn)行任何配置，即通過(guò)接入層交換機(jī)接入有線網(wǎng)絡(luò)，并自動(dòng)注冊(cè)到無(wú)線控制器上，獲取DHCP SERVER分配的IP地址，并自動(dòng)下載配置文件正常工作，在大規(guī)模AP的項(xiàng)目中大量節(jié)省安裝維護(hù)成本。

       2、防盜防入侵：敏感配置信息不在本地保存，即使設(shè)備被入侵被盜也不會(huì)丟失安全信息。實(shí)際運(yùn)營(yíng)中很多AP是放置在公共場(chǎng)所，如果密鑰、SSID等安全信息在本地保存的話，一旦失竊對(duì)全網(wǎng)安全性造成威脅，無(wú)線AP由于其零配置安裝，一旦掉電不會(huì)保存任何信息，避免入侵。

       3、支持靈活的拓?fù)浣Y(jié)構(gòu)：AP允許多種部署，從而能夠直接或間接連接到管理它的無(wú)線局域網(wǎng)控制器。無(wú)線控制器與無(wú)線AP之間可以隔離任何路由器或交換機(jī)，只要共同連接進(jìn)有線網(wǎng)絡(luò)，無(wú)線AP就可以自動(dòng)尋找到無(wú)線控制器實(shí)現(xiàn)注冊(cè)。

       4、自動(dòng)設(shè)置發(fā)射功率和分配射頻信道：自動(dòng)設(shè)置發(fā)射功率和分配射頻信道，用以優(yōu)化射頻單元大小和滿足各國(guó)對(duì)射頻信道的要求。當(dāng)有個(gè)別AP故障時(shí)，無(wú)線控制器會(huì)自動(dòng)調(diào)大相鄰AP的功率彌補(bǔ)信號(hào)盲區(qū)。

       5、基于身份的組網(wǎng)：根據(jù)用戶名對(duì)用戶權(quán)限進(jìn)行區(qū)分，不同于傳統(tǒng)的WLAN網(wǎng)絡(luò)通過(guò)接入的有線交換機(jī)端口對(duì)用戶權(quán)限進(jìn)行劃分，并且可以對(duì)用戶的位置、帶寬以及漫游等歷史數(shù)據(jù)進(jìn)行記錄跟蹤。

       6、提供增強(qiáng)的安全性和無(wú)縫漫游：通過(guò)這項(xiàng)基于身份的組網(wǎng)功能，經(jīng)過(guò)改進(jìn)的用戶組認(rèn)證接入控制、始終強(qiáng)制的漫游策略以及對(duì)帶寬使用的監(jiān)視實(shí)現(xiàn)了無(wú)線局域網(wǎng)的增強(qiáng)的安全性，實(shí)現(xiàn)了無(wú)縫的用戶移動(dòng)性和自由性，從而可以進(jìn)行安全連接和漫游，一次認(rèn)證多次接入，免去在不同AP下切換的再次認(rèn)證。

       7、安全管理：提供入侵檢測(cè)功能，專用 AP 可以不斷地掃描空域，以便對(duì)要求更高安全性的環(huán)境提供全天候保護(hù)。一旦無(wú)線網(wǎng)絡(luò)中有非法接入點(diǎn)接入，無(wú)線AP將上報(bào)相應(yīng)的告警給無(wú)線控制器，并通過(guò)網(wǎng)管軟件顯示。

六、無(wú)線AP供電解決方案

       由于本次無(wú)線網(wǎng)中AP設(shè)備數(shù)量較多，AP布放位置根據(jù)實(shí)際覆蓋效果而調(diào)整，在已建設(shè)完成的建筑物上較難進(jìn)行本地供電，對(duì)于室外覆蓋主要采用AP放在室外，對(duì)AP的本地供電問(wèn)題難度更大?；跇?biāo)準(zhǔn)的802.3af實(shí)現(xiàn)對(duì)AP的供電。通過(guò)在匯集交換機(jī)處疊加一個(gè)供電電源或者內(nèi)嵌交換機(jī)內(nèi)，通過(guò)以太網(wǎng)線在傳輸數(shù)據(jù)同時(shí)給AP供電，供電距離達(dá)100米，滿足實(shí)際組網(wǎng)的要求。

       但部分區(qū)域AP需室外放置，即需要配合室外機(jī)箱使用，為保證寒冷天氣低溫工作室外機(jī)箱內(nèi)置電加熱板，因此除給AP進(jìn)行POE供電外還需對(duì)機(jī)箱進(jìn)行本地交流供電。