中电熊猫G108工地仓库无线项目WLAN网络解决方案(共10页)

1、 _ NUMPAGES 11 - PAGE 11 中电熊猫G108工地仓库(cngk)无线项目 WLAN网络(wnglu)无线覆盖(fgi)方案设计2015年10月目 录 TOC o 1-5 h z u HYPERLINK l _Toc7072 目 录 PAGEREF _Toc7072 2 HYPERLINK l _Toc30485 1 概述(i sh) PAGEREF _Toc30485 3 HYPERLINK l _Toc8516 2 中电熊猫G108工地(gngd)仓库无线项目 WLAN网络设计方案 PAGEREF _Toc8516 3 HYPERLINK l _Toc16833 2.1

2、 网络(wnglu)设计原则 PAGEREF _Toc16833 3 HYPERLINK l _Toc17699 2.2 无线信号质量分析 PAGEREF _Toc17699 3 HYPERLINK l _Toc1698 2.3 无线网络总体架构 PAGEREF _Toc1698 5 HYPERLINK l _Toc12451 2.4 无线设计 PAGEREF _Toc12451 5 HYPERLINK l _Toc13010 2.5 SSID规划 PAGEREF _Toc13010 6 HYPERLINK l _Toc2205 2.6 无线安全性设计 PAGEREF _Toc2205 6 H

3、YPERLINK l _Toc7011 2.6.1 WLAN终端认证 PAGEREF _Toc7011 6 HYPERLINK l _Toc27406 2.6.2 用户身份验证 PAGEREF _Toc27406 6 HYPERLINK l _Toc22215 2.6.3 组网保护 PAGEREF _Toc22215 6 HYPERLINK l _Toc27487 2.6.4 接入安全方案 PAGEREF _Toc27487 6 HYPERLINK l _Toc11900 2.7 移动漫游设计 PAGEREF _Toc11900 7 HYPERLINK l _Toc2539 2.9.1配置思路

4、 PAGEREF _Toc2539 9概述(i sh)无线局域网（WLAN）技术(jsh)于20世纪90年代逐步成熟并投入商用，既可以作传统有线网络的延伸，在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点：简易(jiny)性：WLAN网桥传输系统的安装快速简单，可极大的减少敷设管道及布线等繁琐工作；灵活性：无线技术使得WLAN设备可以灵活的进行安装并调整位置，使无线网络达到有线网络不易覆盖的区域；综合成本较低：一方面WLAN网络减少了布线的费用，另一方面在需要频繁移动和变化的动态环境中，无线局域网技术可以更好地保护已有投资。同时，由于WLAN技术本身就是面向数据通信领域的IP传输

5、技术，因此可直接通过百兆自适应网口和企业、内部Intranet相连，从体系结构上节省了协议转换器等相关设备；扩展能力强：WLAN网桥系统支持多种拓扑结构及平滑扩容，可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统；中电熊猫G108工地仓库无线项目 WLAN网络设计方案网络设计原则此次无线局域网建设有以下需求：利用无线网技术实现无线覆盖，使员工能够随时随地、方便高效地传输数据到系统服务器。实现线上网用户的认证，销户，监控等功能。对于无线AP设备实施统一管理和监控。无线网络的部署需要考虑简单方便，天线需要采取比较友好的设计，不能让用户感受到压力。关注安全性，无线用户之间彼此隔离，防止ARP

6、攻击，并限制上网流量。无线信号(xnho)质量分析下图为WLAN信道分配情况，在2.4GHz-2.4835GHz范围内共13个相邻子信道，一般(ybn)不相干扰的复用信道组合为（1，6，11）或（1，7，13）2.4122.4172.4222.4322.4422.4522.4622.4722.4842.4272.4372.4472.4572.4672345178910611121314下表中体现的是三种频率间隔(jin g)情况下，随着两AP间距的变化，终端连接信号质量及吞吐量的变化。颜色代表适配卡配置软件中，检视连接信号质量窗口显示的颜色。表格中数值表示吞吐量，单位为kbytes/s。在多用

7、户情况下，实际情况会更差些。上述数据仅供参考，实际网络需根据测试结果确定。无线网络总体(zngt)架构采用(ciyng)AC6605-26-PWR作为(zuwi)本次无线覆盖项目的无线控制器采用AP5030DN作为本次综合楼无线覆盖的室内无线接入点. 采用双AP热备的方式三层旁挂于核心交换机我们设计采用强电供电方式，由电源适配器直接连接强电对无线AP进行供电，以超五类网线互联，最后通过楼层接入交换机连接入交换机再接入核心交换机，无线控制器与核心交换机互联，无线控制器通过管理VLAN管理无线AP，最后。这样整个无线网可以实施灵活的无线划分。无线设计根据无线网络需求及实地的测试堪察，并结合以往的工

8、程经验，对无线网络做出以下规划示意图如下SSID规划(guhu)从用户(yngh)使用的角度来看，基本上确定(qudng)划分一个SSID，初步定为PANDA-FAB无线安全性设计WLAN终端认证IEEE 802.11标准要求WLAN终端在准备连接到网络时，必需进行“身份验证”。 WLAN终端身份认证采用MAC接入认证用户身份验证相对于简单的STA身份验证过滤机制，链路层用户身份验证的安全性大大提高。通过提供有限的访问权限来验证用户身份，只有确定用户身份后才给予完整的网络访问权限，可有效判别用户的合法性。链路层身份验证时透明的，能配合任何网络层协议使用。WLAN的链路层身份验证WAPA/WPA

9、2认证(rnzhng)方式。组网保护(boh)华为AC产品接口丰富(fngf)，支持LACP（Link Aggregation Control Protocol，以下简称LACP）和MSTP（Multiple Spanning Tree Protocol，以下简称MSTP）等组网保护机制，可提供端口级冗余保护，及设备级1+1快速备份。接入安全方案华为AC均支持开放系统认证、WEP加密、共享密钥认证、WPA/WPA2认证合加密、WAPI认证加密等无线接入安全特性。特性指标WLAN安全模板管理支持通过WLAN安全模板管理认证和加密方式。支持安全模板绑定到ESS模板。最多支持256个AP配置模板。O

10、PEN-SYS方式认证支持“OPEN-SYS认证+无加密”方式。WEP认证加密支持WEP的认证/加密方式。每个AP最多支持4个WEP加密方式的VAP。WEP认证加密在AP实施，认证结果通知AC。WPA/WPA2认证加密支持AC集中认证方式。支持“WPA/WPA2-PSK+TKIP”的认证/加密方式。支持“WPA/WPA2-PSK+CCMP”的认证/加密方式。支持“WPA/WPA2-802.1x+TKIP”的认证/加密方式。支持“WPA/WPA2-802.1x+CCMP”的认证/加密方式。WAPI认证加密支持AC集中式WAPI认证。支持WAPI多信任证书方式（3证书），兼容传统双证书方式。支持证

11、书和私钥合一的发放方式。支持WAPI加密的启用/禁用。移动漫游(mnyu)设计无线用户移动漫游，涉及到多个层次(cngc)的漫游，最为简单的是二层漫游，其他厂家产品都表现不错，三层漫游就困难多了，还有当用户跨越多个域时怎样无缝漫游，华为无线局域网可以实现快速无缝漫游功能。L2/L3层漫游(mnyu)在传统的无线局域网内，无线终端要跨越不同AP之间漫游是有一定的困难，因为不同AP之间，它的无线用户IP子网可能都不是在同一个VLAN内。所以当无线终端从一个AP漫游到另一AP时，由于它们之间的缺省IP子网不同，无线终端会重新发出DHCP请求，这样的话终端的IP地址就会更新，所有在原先AP建立的连接都

12、会被切断。过去为了解决跨越三层的漫游，有些用户采用了Mobile IP的技术，但Mobile IP的缺点是它必须在无线终端安装软件。这是一般网络管理人员不愿意做的事情，因为它们就必须支持和维护用户的无线接入端。通过华为无线系统，可解决了跨越不同三层IP子网的无线漫游问题。 在不同域之间的用户认证和漫游在大型网络内，一般都有很多不同的部门，部门内通常都有自己的用户数据库，即所谓的本地认证服务器。在实现应用时，要求有单一的认证数据库是未必可行的，但同时无线用户应是可在内无缝漫游。 当用户不是在本地入网或是从一个部门的接入点漫游到另一部门的接入点需要重新认证时，如果用户名和密码在当地的数据库是不存在

13、的话，则用户会被断线。要做到真正的无缝漫游，则需要有支持Radius 代理这样的功能。但由于不是所有的认证服务器都支持这种功能所以在具体实施时也有一定的困难。华为本身就可提供不同域之间的认证功能，域名可以与SSID绑定，亦可以让用户在登陆网页时输入或选择域名。华为会把在不同域之间的认证请求转发到对应这域的radius服务器处理。2.8组网方式采用(ciyng)双链路热备旁挂组网方式2.9数据(shj)规划配置项数据WLAN服务WPA2加密。密码： FAB-wlan(2015)AC1的源接口VLANIF1300：172.17.1.1/24AC2的源接口VLANIF1300：172.17.1.2/

14、24AC Carrier ID/AC IDOther/1AP域10服务集SSID：PANDA-FAB数据转发模式：隧道转发DHCP服务器生产网核心交换机作为DHCP服务器，为AP和STA分配地址AP的网关VLANIF1300：172.17.1.3/24AP的IP地址池172.17.1.4/24172.17.1.254/24STA的网关VLANIF1301：172.17.2.3/24STA的IP地址池172.17.2.4172.17.2.254/24备份VLANVLANIF1302:172.17.3.0/242.9.1配置(pizh)思路采用如下的思路配置双链路方式的AC热备：1、配置AP、AC

15、和其他网络设备之间实现网络互通。2、配置WLAN基本业务，保证用户能够访问企业内部网络。3、使用AC全局配置方式配置双链路备份。4、配置双机热备份功能，将AC1上的WLAN业务信息通过备份链路批量备份和实时备份到AC2上，实现当AC1故障时，AC2接替AC1继续工作，保证用户业务不中断。2.9.2AP静态(jngti)上线用串口登录(dn l)AP，配置AP静态(jngti)IP信息# 配置AP静态IP地址、 AC的IP地址 system-viewQuidway ap-address mode staticQuidway ap-address static ip-address 172.17.1.4 24Quidway ap-address static ac-list 172.17.1.1Quidway quit rebootSystem will reboot! Continue ? y/n:y2.9.3STA部分部分静态地址在地址池中做静态地址MAC绑定