恒拓校园WLAN技术方案

.PAGE.校园WLAN无线覆盖技术方案XX恒拓物联网校园无线覆盖技术方案书一、概述无线局域网〔WLAN技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。对比传统的有线传输解决方案,使用WLAN网络实现数据传输具有以下显著特点：简易性：WLAN网络传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作；灵活性：无线技术使得WLAN设备可以灵活的进行安装并调整位置,使无线网络达到有线网络不易覆盖的区域；综合成本较低：一方面WLAN网络减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网技术可以更好地保护已有投资。同时,由于WLAN技术本身就是面向数据通信领域的IP传输技术,因此可直接通过百兆自适应网口和企业内部Intranet相连,从体系结构上节省了协议转换器等相关设备；扩展能力强：WLAN网络系统支持多种拓扑结构及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统；随着WLAN技术的快速发展和不断成熟,目前在国内外已经具有较多的政府机构使用WLAN技术布置无线城域网,进行承载部分政府业务,诸如：电子政备、消防、公安信息等等,如：美国费城、荷兰阿姆斯特丹等。二、客户需求校园无线局域网建设的总体目标是：利用无线网络技术进一步扩展网络的覆盖范围,提高网络的用户自适应性,在无线的覆盖范围内实现数据业务和语音业务的无线传输,并且可实现三层漫游,使无线局域网和有线网成为一个整体,提供安全的无线接入。由于此工程是在有线网的基础上加以无线扩充〔即采用AP将无线网络接入到有线网络,目前有线网已达到了相当的覆盖范围,可以为无线网络的建设提供支持。本工程具体的建设目标是：侧重实际应用,计划全面覆盖某某大学校园主要人群活动场所；保证网络访问的安全性,支持用户多种接入方式认证机制,包括：基于Protal、802.1X、mac等认证,支持标准的LDAP目录服务器；采取通行的网络协议标准：目前无线局域网普遍采用802.11g系列标准,因此无线局域网将主要支持802.11g〔54M带宽标准以提供可供实际应用的相对稳定的网络通讯服务；用户的漫游性。在连续覆盖区域的认证和覆盖应充分考虑移动用户的易用性,达到一次认证,移动使用的目的。安全、认证和管理要求为了阻止非授权用户访问无线网络,以及防止对无线局域网数据流的非法侦听,无线网络要具有相应的安全手段,主要包括：物理地址〔MAC过滤、服务区标识符<SSID>匹配、有线等效保密〔WEP、WPA,802.11i,EAP的扩展认证,TKIP的数据加密,二层隔离等；无线网网络结构要求：无线接入所需布设的AP通过接入设备接入到网中,在接入层提供相应的接口给AP使用；工程布线和安装要求：室内部分：定位于较为开阔位置,将网线走暗线敷设到位；挂在墙上,可利用设备本身自带的安装附件进行安装；如果需要遮蔽,则需要定制非金属安装盒；如果是挂在天花板上,则根据天花板的情况而定,若天花板是非金属结构,可以固定在天花板内。安装过程中应充分考虑防盗问题。室外部分：AP的供电可采用POE方式由接入的网络设备进行供电,室外机型需具备防雨防电等功能。供电部分：AP的供电可采用POE方式由接入的网络设备进行供电产品能力要求要求：具有无委会核准证；支持负载均衡；漫游切换；支撑QOS能力覆盖与用户数量要求：a>覆盖范围：整个校园；

b>覆盖质量：室内85％以上区域WLAN下载速率达1M以上；

c>用户规模：按开户10000人,平均在线1000人计算；三、网络建设方案采用WLAN技术构架宽带网络服务,从技术上、工程上以及提供的服务质量上均能较好的满足要求。3.1无线网络基础方案方案逻辑组网图本次方案H3C推荐使用WA2620X-AGNP是WA2600系列无线产品中的一款室外智能型双频大功率802.11n无线基站接入设备,可以同时工作在2.4GHz和5GHz频段,采用6天线MIMO方式,单射频最大发射功率可达500mW。WA2620X-AGNP集成了H3C自主研发的智能基带射频处理模块,能够针对性地有效解决室外WLAN覆盖各种问题,提高WLAN室外覆盖准确性和稳定性。同时通过专业的一体化室外型设计,WA2620X-AGNP具备IP66防水防尘等级和大范围宽温工作能力,非常方便室外的安装和调试,广泛的应用于包括无线城市、无线校园、无线村村通、3G+W共址等各类WLAN室外场景的专业智能覆盖。前期FatAP逻辑组网图如下所示：本次工程采用无线网就近接入的原则,每台AP就近接入有线网络,此时要求相应于无线AP的有线地方都要提供一个有线交换机的接入端口〔RJ45供使用,从工程维护的角度出发,建议采用POE的方式进行给AP进行供电,具体的逻辑组网图如下图所示：校园网出口校园网出口RadiusPoE接入层交换机网管Internet………….无线接入点<FATAP模式>FATAP方案逻辑组网示意图WA2620X－AGNP支持灵活部署需要,通过软件切换即可工作于FitAP模式下,完成FitAP组网,逻辑组网如下：校园网出口校园网出口Radius无线控制器PoE接入层交换机网管无线接入点<FITAP模式>Internet………….3.1.2认证方式用户端和AP进行无线连接共有两种：一种是OPEN模式,这种模式下,无线用户无需认证即可连接到相关的SSID无线网络上。一种是ShareKey模式,这种模式下,无线用户需要用户名和密码,通过认证后才可连接到相关的SSID上。用户名和密码通过AP进行设置。处于安全考虑,建议客户采用ShareKey模式。由于大多数校园采用独立的Radius服务器进行认证计费,处于使用便捷性的考虑,在无线连接方面建议采用Open模式,当用户完成无线连接后,进行网络访问时,AP配合第三方认证服务器完成用户名和密码认证。3.1.3认证点选择：针对客户要求,Radius做为最后的鉴权点。工作于FATAP模式时,AP完成认证点功能,用户只能在二层网络漫游；当工作于FitAP+AC模式时,用户可用进行三层漫游,当用户在AP内进行切换时,此时的主要工作由无线交换机进行统一调度,当用户在相同或者不同的无线控制器下不同的端口下的不同AP的覆盖范围时,此时用户不会再次触发认证。3.1.4认证实施流程处于网络安全考虑,建议校园无线用户安装客户端软件用于认证计费,不同的用户群拥有不同的网络访问权限,比如学生主要用于Internet的网络访问和一些学习资源的访问,而学校的教职员工的访问权限会更广泛。若要求外来访客安装客户端,势必不便；故针对以上种种情况,XX恒拓公司建议采用以下实施方案：在整个无线覆盖范围,每个AP均支持SSID名为Staff和SSID名为Student的两种SSID,对于会议室,学术报告厅,会客室等接待外来访客的场所,其所对应的AP需额外只是名为Vistor的SSID。不同的SSID对应不同的VLAN,从而获取不同的资源访问权限。SSID为Staff的无线网络服务对象为全校教职工,通过认证的用户可访问相对应的教学资源。SSID为Student的无线网络服务对象为全校学生,通过认证的用户可访问Internet,学习资料等资源。SSID为Vistor的无线网络服务对象为外来访客,此类用户不需要安装客户端软件,对应的无线网络设为Open模式,用户发现无线连接,无需认证即可接入网络,此类用户仅能访问Internet。访问资源有限,但使用便捷,适合流动性强的外来访客。以上三种SSID仅做建议,学校可以根据需要增加相对应的SSID,例如针对网络维护人员,可设置隐藏的名为Admin的SSID,所谓隐藏SSID就是指AP发送的Beacon报文中不含有该SSID信息,若无预先设置,终端用户无法自动发现该SSID,从而提供该SSID的安全性。网络维护人员可通过该SSID获取较高的网络访问权限,便于随时随地接入网络进行监控和维护。3.2无线网络安全网络安全问题是在建网时必须要考虑的问题,安全方式主要侧重几个方面：用户安全、系统安全,而在网络中主要依附于用户实体的属性主要包括用户使用的信息终端二层属性〔诸如：MAC地址及用户的帐号、密码,而对于企业用户来讲,帐号信息都是一个实名原则,与员工的利益进行关联的,这样本无线网络中着重考虑使用无线网络的空口信息的安全机制。为了阻止非授权用户访问无线网络,以及防止对无线局域网数据流的非法侦听,H3C无线解决方案支持WPA、802.11i等安全策略,每个AP支持16个SSID,支持隐藏SSID技术等,确保无线网络安全。H3CWLAN产品亦支持国家无线网络标准WAPI,可在不同的SSID下采用不同的认证加密方式,完成多样化的无线认证需要。3.2.1用户安全：数据安全部分主要包括以下方面的内容：MAC地址过滤：目前支持基于MAC地址的过滤,限制具有某种类型的MAC地址特征的终端才能进入网络中；SSID管理：是一种网络标识的方案,将网络进行一个逻辑化标识,对终端上发的报文都要求进行上带SSID,如果没有SSID标识则不能进入网络；WEP加密：WEP加密是一种静态加密的机制,通信双方具有一个共同的密钥,终端发送的空口信息报文必须使用共同的密钥进行加密；支持AES加密,AES安全机制是一种动态密钥管理机制,同时密钥生成也基于不对称密钥机制来实现的,同时密钥的管理也定期更新,具体的时间由系统可以设定,一般情况都设定为5分钟左右,这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来,从无线空口的流理来看,基本上是不可能的；华三的无线方案中的密钥设置可能根据SSID信息与用户信息进行组合,即不同的SSID下不同的用户的密钥生成可以不一样,这样可以做不到不同的用户不同的管理方式,同时具备不同的权限；3.2.2系统安全：无线终端的异常流量检测及报警：无线网管提供全面的系统级统计数据：可提供包括错误和流量的以太网统计数据,其中包括包的大小、无线统计数据以及用户会话统计数据,它们保存为用户在多个AP上的漫游记录,并且都具有易查看的表格和图表,以便快速识别数据走向。基于所有AP上来的无线终端的数据都要通过AP与无线交换机之间的二层隧道进行通信,因此所有无线终端的流量均可通过无线网管进行统计,并且通过实时的统计报表呈现出所有用户访问网络流量,并通过设定流量阈值,一旦某无线终端流量超过阈值即实现异常流量的报警功能。用户访问控制：提供基于身份的组网：提供基于用户身份的所有服务,以使用户在漫游时具有诸如虚拟专用组〔VirtualPrivateGroup成员资格,并实现不同权限的划分；在实际应用中可通过给不同部门分配不同的用户名访问无线网络,并给予不同部门不同的访问权限。并可通过将用户名和MAC地址进行绑定,防止外来非法人员通过无线网络来访问网络。3.3无线网络QOS：3.3.1漫游切换支持：无线终端在无线网络中移动时,必然要进行不同AP之间、所属不同有线交换机之间的漫游切换。首先无线终端会通过无线局域网服务器的CAMS软件进行第一次的安全接入认证,无线交换机会介入该认证过程,并获得PMK〔PairwiseMasterKey。无线终端根据PMK生成多个通讯用密钥,开始进行加密会话。当无线终端发现需要进行切换时,会进行如下操作：与无线交换机进行连接的预建立；无线交换机与需要建立连接的AP交换通讯用PMK密钥,并将PMK密钥传给无线终端；无线终端发布更新消息,更新无线交换机转发表；原有的数据流转换到新的AP上来；切断原有的数据连接。整个L2、L3漫游过程在50ms内全部完成,并兼容IEEE802.11802.11N、IEEE802.11f和IEEE802.11e标准,可良好支持语音、视频等多媒体业务的需求。考虑到具有语音与视频的潜在需求,可以通过设置专门的SSID作为语音/视频业务使用,通过划分VLAN方式实现语音终端仅仅与语音网关进行通信,保证语音业务与数据业务隔离开来。3.3.2多媒体业务的QOS支持：在无线系统中,WLAN部分非常重要的就是QoS。而对于涉及到语音、视频业务的无线系统系统,通信质量尤为重要,是事关系统质量的关键指标。QoS的总体思想就是保证实时语音、视频等业务在最高的优先级。华三的WLAN系统在所有的层次保证了用户数据的最高质量的优先级调度。WLAN系统的QoS如图所示,在无线控制器和AP之间是通过隧道通信,不同的无线控制器之间也是通过隧道通信,业务的QoS保证是在三个层次内完成的,有AP的QoS保证,无线控制器的QoS保证和L3的QoS保证。应用层数据与WLAN优先级的映射：基于DiffServ的QoS映射：AP进行WMM与COS/TOS之间映射AP与无线控制器之间基于隧道的到TOS、DSCP的QoS映射：无线控制器之间基于隧道的TOS、DSCP到COS的QoS映射：L3交换机/无线控制器之间进行COS与TOS、DSCP之间的映射：业务类型WMMLayer2CoS〔802.11p/Q>Layer3IPPrecedence〔TOSLayer3DSCPBackground0000330x6024BestEffort110x208220x4016Video440x8032550xa040Voice660xc048770xe056基于DiffServ的队列调度AP在输出接口支持多个队列,按优先级调度语音流和会议电视放入严格优先级队列PQ中,流媒体和关键数据业务放入CBWFQ。华三的WLANAP设备可以支持二层优先级〔802.1p/Q>,三层优先级数据〔TOS到WLANMAC层优先级的映射,并且可以数据的类型,将不同类型的报文使用不同的优先级传输。具体的QoS配置参数如下：在AP的QoS范畴内,不仅仅继承了IEEE802.11802.11NMAC里面所规定的CSMA/CA<载波侦听多路访问/冲突避免>的DCF〔分布式协调功能机制,华三WA2620X-ANGP更加实现WMM所规定的EDCF〔增强型分布式协调功能。也就是将业务分为不同的4个队列Backgournd,BestEffort,Video和Voice,就可以把不同的业务类型放入不同的队列中,根据国电大楼无线网络的特殊应用,我们设定AP的QoS配置如下表业务类型AP级别的QoS配置实时视音频流6~7实时视频流〔上行监控4~5实时信息流1~2数据流0、3在L2优先级配置的范畴里面,根据业务应用的特点将不同的业务放入了不同的优先级队列,如下表所示业务类型L2优先级队列实时视音频流6~7实时视频流〔上行监控4~5实时信息流1~2数据流0、33.4无线网络管理：3.4.1由于安全性是未来网络不可或缺的一环,而使用者认证可说是各种安全政策的最基本功能,唯有确认使用者身分,才能谈到进一步的授权问题。华三无线管理系统可以进行本地数据库的认证,亦可支持外接的认证服务器,例如在网络认证上通用的RADIUS服务器,由RADIUS并依其认证结果分别授与使用者不同的权限,并有使用者群组功能,让管理者依策略需要订成不同的群组,以群组为单位设定其权限,然后把个别使用者归类到不同的群组中；如此一来不必每个使用者去设定不同权限,只要将组织所需要的权限做成数个群组,然后依使用者需求将其归类,且若使用者权限有所变动,只要将其归类到不同群组即可,简化管理工作。3.4.2无线网络建成后,管理者可在中心端集中管理所有AP及无线控制器,订定统一的安全管理策略并落实之,在线监控所有无线网络活动和性能,并定期产生报表。华三WA2620X-ANGP在设计上即负担两种任务：提供正常无线网络使用者接入网络的服务及侦测其射频范围内是否有其它私接无线网络设备；一旦发现私接无线网络设备,即通知网管软件,由管理人员决定要认可此设备为新的合法设备或者做干扰动作。本项功能为本套全方位解决方案特色之一,不需要额外提供其它软硬件。3.5IPV6H3CWLAN产品实现了IPv4/IPv6双协议栈。AP本身支持IPv6注册通信,AP和无线控制器之间亦可以穿过IPv6网络互联,从而使组网方式更加灵活,可以满足今后网络发展的需要,保护用户投资。3.6负载均衡AP上支持标准的IAPP协议框架,通过负载均衡的部署,可实现在一个热点内用户平均分配到所部署的所有AP上,达到在一个服务区AP接入用户数何流量的平衡,为用户提供更高的服务质量。具体可部署的负载均衡策略有：对所有AP设置基于用户数的负载均衡功能,AP通过对接入用户数的统计,与设定AP接入用户数量阀值比较,达到阀值后,不允许新的用户接入。对所有AP设置基于流量的负载均衡功能,AP通过对接入用户流量的统计,与设定AP上流量漏桶阀值上沿比较,达到阀值后,不允许新的用户接入,少于阀值下沿,再允许新用户接入。配合网络规划,设置AP群功能,在一个群内的AP通过组播报文实时通报接入用户数量,当发现AP间用户数差值大于设定阀值,接入用户多的AP将部分用户赶下网。3.7供电问题：由于本次无线网中AP设备数量较多,AP布放位置根据实际覆盖效果而调整,在已建设完成的建筑物上较难进行本地供电,基于标准的802.11N实现对AP的POE供电。3.8.1覆盖效果理论计信号强度和传输距离的换算公式AP加卡的信号总强度公式：Gt－Gr＋AP天线增益＋终端天线增益＝L信号总强度〔dBGt〔AP或终端功率,单位dB,Gr〔终端或AP灵敏度,单位dB距离产生的信号衰减公式：40＋20lgd＝L1〔dBd〔距离,单位m工程中最大传输距离以45m计算,所以L1＝72dB障碍物的衰减：物体dB地板30带窗户的砖墙2办公室墙6办公室墙的金属门6砖墙的金属门12.4靠近金属门的砖墙3工程中实际的障碍物的最大衰减是临窗墙的衰减3dB加上房间墙的衰减12dB等于15dB。四无线网络规划4.1频率规划IEEE802.11N设备可以同时工作在2.4GHz和5GHz频段,工作频率带宽为83.5MHz,划分为14个子频道,每个子频道带宽为22MHz；互不干扰的子信道有3个。与蜂窝网类似,3个互不干扰信道可以进行频率复用,但应确保使用同一信道的AP之间应有足够远的距离,避免干扰。理想的WLAN部署情形如图7所示。图7理想的WLAN部署情形AP覆盖区域之间应有重叠区,以保证无缝覆盖和适应负载均衡。4.2容量规划随着WLAN的普及,出现了一些用户密集的热点区域,这些区域是WLAN设计的难点和重点,由于校园内电脑密集,宿舍楼一带存在着大量室内型小功率AP,使用的信道也很没有规律。下面讨论AP接入能力、干扰对WLAN速率的影响几个方面的问题。单AP接入能力由于WLAN采用CSMA/CA机制,如果接入用户过多,那么同一时刻发生冲突的概率明显增大,也必定会延长每个用户等待的时间,而使得系统带宽闲置；如果用户超过一定的限度,会导致系统的瘫痪。工程设计上一般每AP接入用户数在20～30台左右应该比较合适。4.3信道干扰4.经过测试,使用2.4GHz频段的设备中,蓝牙等小功率设备对WLAN网络的影响很小,可以忽略；微波炉等大功率设备对WLAN网络的影响较大,在网络设计时应注意远离此类设备。图8是微波炉对WLAN〔802.11b传输速率影响的曲线图。图8微波炉对WLAN〔802.11b传输速率影响的曲线图从图中可以看出,WLAN设备靠近干扰源时,传输速率迅速下降。由于某某大学主要的大功率微波设备只存在于教工宿舍区和部分实验室,因此影响不大。基本可以忽略不计。4.WLAN采用的直接序列扩频技术的扩频码是标准的,不同的设备使用相同的扩频码,因此相邻小区不能使用相同频率,否则将造成同频干扰。就某某大学的方案设计而言,除考虑本方案中100多个AP信道之间的干扰外,也须充分考虑校园内已有AP的影响,尤其在宿舍区。图9、10分别是相距40m的两个802.11b的AP使用1、6信道和1、1信道时的网络吞吐量。图9两AP分别使用1、6信道图10两AP均使用1信道在使用非干扰频段时,两AP总吞吐量可以接近11Mbit/s；在同频时总吞吐量不足6Mbit/s,此时2个AP与非干扰情况下1个AP的吞吐量接近。所以,在有限范围内单纯采用增加AP的办法是无法提高网络容量的。4.两信道中心频率小于25MHz时,信道之间存在重叠区域,会有部分干扰。图11曲线是两AP信道间隔分别为0～5情况下的总吞吐量曲线。图11两AP信道间隔分别为0～5情况下的总吞吐量曲线使用邻频可以增加可用频点数,但会引入干扰,工程上一般仍采用1、6、11三个完全不干扰的频段。对于使用邻频的能否使系统总容量得以及提升、提升效果还有待进一步的试验来验证。4.3通过规避干扰提升网络容量,尤其是在小范围提供大容量的无线局域网是WLAN设计的难点。针对干扰规避和容量提升,业内主要有如下几种建议：充分利用天然隔断〔如建筑物、墙体等、使用802.11N、降低AP发射功率、使用扇区天线或智能天线。利用隔断进行频率复用是WLAN网络规划的基本方法,802.11N的使用主要受限于用户发展,这里都不再赘述。下面针对后两种建议进行简单讨论。4.3.4降低AP发射功率可以减少AP的覆盖范围,从而增大频率复用度。降低AP发射功率,可以减少AP之间的相互干扰；但是,STA的发射功率一般为30mW,部分STA设备的功率用户是无法控制的,所以AP与STA之间、STA与STA之间的干扰依然存在,所能带来的容量提升也有限。况且采用室外覆盖的方案,对于AP而言,功率余量已经不大,故不建议采用此方法。4.3.5此技术用于蜂窝网络,使容量得以提升。WLAN使用扇区天线或智能天线,可以减少AP之间以及ST