动车组无线WLAN网络方案建议书

动车组无线WLAN网络方案建议书动车组无线WLAN动车组无线WLAN方案建议书6162页名目1.工程需求........................................................................... 4\l“_TOC_250045“1.1.工程概述 4\l“_TOC_250044“2.1.总体方案 5\l“_TOC_250043“2. 车地通信无线协议选择.............................................................. 7\l“_TOC_250042“2.1WIMAX技术和WLAN技术的比较 7\l“_TOC_250041“2.1WLAN协议演进 8\l“_TOC_250040“2.1.1.IEEE802.11协议 8\l“_TOC_250039“2.1.2.IEEE802.11b协议 9\l“_TOC_250038“2.1.3.IEEE802.11a协议 9\l“_TOC_250037“2.1.4.IEEE802.11g协议 10\l“_TOC_250036“2.1.5.IEEE802.11n协议 11\l“_TOC_250035“2.2802.11N技术具体剖析 12\l“_TOC_250034“MIMO和空分复用 12\l“_TOC_250033“多频点捆绑 13\l“_TOC_250032“2.2.3.802.11MAC的优化 142.2.4.AP7131 16\l“_TOC_250031“3.无线网络架构...................................................................... 17\l“_TOC_250030“组网构造 18\l“_TOC_250029“分布部署 18\l“_TOC_250028“集中部署 20\l“_TOC_250027“更牢靠以及更便捷部署的MESH网络 22\l“_TOC_250026“专用车载AP和终端＋无线网卡方式比较 24\l“_TOC_250025“一般POE模式下的吞吐量测试 25\l“_TOC_250024“安全牢靠的轨旁AP和车载AP认证 26\l“_TOC_250023“设备选型 27\l“_TOC_250022“网络动态信道安排 28\l“_TOC_250021“SmartRF:网络自愈/自动放射功率调整 29\l“_TOC_250020“网络负载均衡 29\l“_TOC_250019“WMM无线效劳质量QoS 30\l“_TOC_250018“高度的安全性 30\l“_TOC_250017“高度的可治理性 31\l“_TOC_250016“高度的牢靠性 31\l“_TOC_250015“卓越的加密性能 31\l“_TOC_250014“4.无线网络高牢靠冗余方案............................................................ 32\l“_TOC_250013“5.无线网络安全方案.................................................................. 36\l“_TOC_250012“无线通讯安全加密 37\l“_TOC_250011“防范潜在的无线网络攻击 39\l“_TOC_250010“非法AP和非法用户的觉察和抑制 39\l“_TOC_250009“无线信号泄漏防护 41\l“_TOC_250008“无线入侵保护系统 41\l“_TOC_250007“5.6有线网络的安全方案 43\l“_TOC_250006“6.无线网络治理方案.................................................................. 47\l“_TOC_250005“7.无线网络抗干扰方案................................................................ 50\l“_TOC_250004“抗干扰技术的根底 50\l“_TOC_250003“AP干扰 54\l“_TOC_250002“电磁干扰其他干扰 558.无线网络QOS方案.................................................................. 559.设备资料信息...................................................................... 59\l“_TOC_250001“AP-7131无线网络接入点 59\l“_TOC_250000“RFS7000无线网络交换机 60工程需求工程概述动车组视频信息系统是依托多媒体网络技术，以车载显示终端为媒介向乘客供给信息效劳的系统。包括列车到发时间、列车时刻表、媒体闻、赛事直播、广告、电影或者电视节目等动态的多媒体信息。动车组的车载设备在动车组检修车间通过无线技术下载视频文件在视频显示客户机，然后在列车车厢LCD使乘客通过正确的效劳信息引导，并且使乘客的旅途生活更加丰富多彩。1动车组视频传输无线网络系统构造示意图在北京，通过铁通的网络专线直接连接到各个节点的动车组接修车间。总体方案WLAN无线传输协议的选择如何选择最适宜的传输技术进展视频大文件的传输是格外关键的，例如要求在10分种内传输超过5G字节的文件，要求的传输速率为10,000,000,000x8比特/10x60=130Mbps的吞吐量。是选择WiMax还是WLAN？假设选择WLAN，是选择哪种200912，802.11WLAN802.11802.11n。具体请参看车地通信无线协议的选择。无线网络组网方案Motorola无线传输解决方案能确保沿轨道线安装的无线接入点和移动列车上的移APAP署方案；另外由于视频信息库中心在北京，是在北京集中部署还是在各个动车所或者动车段分布部署无线交换机，是实行本地转发还是集中转发方案，这些具体组网方式的深入争论请看章节无线网络架构。MESH802.11nMESH参看MESH。车载AP方案和终端＋无线网卡方案的选择MESH专用车AP一节。流量分担多终端状况下保证最高的吞吐量，请参看章节网络负载均衡。5.802.11nAP802.11nAPPOE+11nAPPOE11gAP。Motorola802.11nAP的功耗降低方式，使用一般POEPOE+交换机。具体性能测试清参看POE。5.组无线网络，请参考无线网络安全设计方案。无线网络的治理方案Motorola的无线网络系统承受集中化的统一的网络治理和掌握方案，全部的无线/配臵治理/记帐治理/性能治理/安全治理之外，无线网络应当具备图形化的可视界面，对无线网络的掩盖区域进展图形化的显示，具体请参考网管方案。抗干扰方案AP以及开放路段的干扰，是格外重要的，具体技术细节请参看抗干扰方案。高牢靠方案无线网络系统需要保证没有任何单点故障。任何轨旁AP、车载无线单元、轨道接Motorola无线系统具有特有的防吊死机制，确保无线系统的正常运行。具体请参考无线网络的高牢靠性。WLAN络建设目标的根底上，承受国际领先和牢靠的无线网络技术，共享我们在设计和部署WLAN设计，供给最正确的技术和工程支持。在满足现有需求的同时，我们还充分考虑网络将来的进展，最大限度地保证网络的先进性、牢靠性和可扩大性。摩托罗拉公司力求将每一细节问题阐述清楚，供给完整的无线网络建议，期望通过我们专业的精神，领先的技术和完善的客户至上的效劳理念为客户供给一个牢靠、安全、稳定和高效的无线网络。车地通信无线协议选择1997200912，802.11WLAN802.11802.11n，2M802.11n600M300WLAN，MotorolaMtorola公司在无线网络技术领域拥有格外高的权威和声誉，是IEEE802.11组织的五；MotorolaIEEE802.11WLANWiMAXWLAN2.1WiMAX技术和WLAN技术的比较WiMAXWorldwideInteroperabilityforMicrowaveAccess,即全球微802.16。WiMAX50km。WiMAXQoS障、传输速率相对较高〔和GSM/EDGE、CDMA/EVDO相比〕、业务丰富多样等优点。802.16a、802.16d802.16e802.16d是2～66GHz20046IEEE802IEEE802.16-2004802.16e2～6GHz接口标准。WiMax503G10建设就能实现全城掩盖，这样就使得无线网络应用的范围大大扩展。WiMax70M310WiMAX40MbpsT-1DSL〔最高〕315Mbps我们根本可以把WiMAX作为一种无线城域网技术，它的主要优势在于传输距DSL实现最终一公里的宽带接入。WiMax50即可与基站建立宽带连接。WLANWiMAXWiMAX，100WLAN600Mbps(双频)的无线接入速度。对于动车组无线网络工程来说，传输距离并不是最关键因素；吞吐量才是最大的因素；而且在中国802.16eTD-CDMAWLANWLANWLAN协议演进IEEE802.11协议1997，IEEE802.11域内的第一个国际上被认可的协议，定义了根本的信令标准和一些效劳标准。IEEE802，802.11IS0〔物理层和数据链路层〕。802.11FHSSDSSS。在这个1M2M的吞吐量比编码速率的一半还要小一点。因此802.11的最高的有效吞吐量还不1M。802.11IEEE802.11b协议19999IEEETaskGroupB(TGb)802.11WLAN2.4-2.4835GHz，数据传输速率到达11Mbps，该标准是对IEEE802.11的一个补充，承受补偿编码键控调制方式，承受点对点模式和根本模式两运作模式，在数据传输速率方面可以依据11Mbps、5.5Mbps、2Mbps、1Mbps11M，802.11b5.5MMPEG-2H.2646Mb/s，802.11bIEEE802.11a协议1999，IEEE802.11aWLAN5.15-54Mbps/72Mbps(Turbo)，10-100QFSK25MbpsATM接口和10Mbps的以太网无线帧构造接口，支持多种业务如话音、数据和图像等，一个扇区可接入多用户，每个用户可带多个用户终端。20008，IEEE802.11a协议推出，无线通讯速率可以在6M、9M、12M、24M、36M、48M、54M25M802.11a在轨道行业有不少使用的案例，但是仍旧有着带宽的瓶颈。另外需要留意的是IEEE802.11a5.15-8.825GHz频带需要执照的。在我国国内5GHz频段还没有开放，产品必需经过无线委员会的批准才能使用。这也带来一个好处就和CBTC系统完全没有冲突。另外802.11a使用5.8G频段，传输的距离比2.4G802.11aAPIEEE802.11g协议2003IEEEOFDM802.11a2.4GIEEE802.11a较IEEE802.11b好，承受2种调制方式，含802.11a中承受的OFDM与IEEE802.11b中承受的CCK，做到与802.11a和802.11b兼容.802.11g标准理论上最高数据传输速率可到达54Mbps，在实际应用中，通常有一半的“原始速度”被分组负载、校验和、帧位、错误恢复数据和其他“无用”的信息占用。即使不考虑传播范围和障碍物对性能减弱影响，实际吞吐率也仅能到达最高传输速率的一半甚至更低约为20~26Mbps。即便这样，其速率仍远高于802.11b标准5.5Mbps到达54Mbps的速度。因此三个无干扰信道的集合数据吞吐率可到达54Mbps×162Mbps802.11b11Mbps×3=33Mbps。频谱范围内的802.11b设备发送低速告警数据包。这一过程将会使已经从20～26Mbps〔无线网络的一般速率〕的速率13Mbps802.11b，802.11g802.11g802.11b802.11b，因此它在局部时间需要以较低速率的“兼容模式”运行，从而性能大幅降低。802.11g802.11a25M5.8G802.11aAPCBTC2.4GWLANIEEE802.11n协议802.11n2.0802.11n2.4G5.8G，802.11bgn802.11an，802.11bg802.11a容。相比较于从前的IEEE802.11b、802.11a、802.11g，IEEE802.11n更加侧重于高吞吐量方面性能提升。802.11n的无线传输速率有了很大的提高。对于使用者来说，速率已经超过了接入层有线局域网交换机的速率。最高速率可达 300Mbps，双频可以到的上行接口使用千兆GE口。而且由于802.11n使用了MIMO技术，有效地降低了多径干扰的影响，有效地改善掩盖距离，而且信号掩盖更加稳定。，2.0差不会太多，可以通过软件版本升级就来支持正式标准。600M802.11n，802.11bgn802.11an内容。CBTC2.4G802.11bgn20M40M40M2个频段。因此需要更细致地做频率规划，避开和其他2.4G频段的应用一起造成冲突。假设使用802.11an，和802.11a一样，由于我国国内5GHz频段还没有开放，产品必需经过无线委员会的批准才能使用。这样带来的好处也是CBTC802.11a，802.11an802.11a802.11aAP下表是几种WLAN技术的简洁汇总表，技术标准 使用频率技术标准 使用频率802.11 2.4G物理层最高速率2Mbps受干扰状况承受调频技术或直序调频技术，抗干扰能力强OFDM802.11a5.8G54Mbps5.8G11a802.11b2.4G11Mbps抗干扰力量一般802.11g2.4G54MbpsOFDM802.11n2.4G&5.8G600Mbps〔双频〕MIMO高吞吐量和掩盖距离，具有很强的抗干扰力量综合上面的802.11协议进展的状况的比较分析，802.11n技术无疑是最适WLAN802.11n术剖析。802.11n技术具体剖析802.11n结合了多种技术，其中包括SpatialMultiplexingMIMO〔Multi-In，Multi-Out〕〔空间多路复用多入多出〕、2040MHz信道和双频带〔2.4GHz5GHz〕，同时又能与以前的IEEE802.11b/g802.11a设备兼容。802.11n在高吞吐量上和掩盖距离都有比较大的突破，是下一代的无线网络技术的标准。MIMO和空分复用MIMO〔多入多出〕或MTMRA〔多发多收天线〕技术是无线移动通信领域智能天线技术的重大突破，该技术能在不增加带宽的状况下成倍地提高通信系统的容量和频谱利用率，是一代移动通信系统必需承受的关键技术。MIMO多天线〔或阵列天线〕和多通道。传输信息流S〔k〕经过空时编码形成N个信息子NM收天线接收，多天线接收机利用先进的空时编码处理能够分开并解码这些数据子流。这样，MIMO802.11n3×3，802.11gnMIMOMIMOOFDMMIMOOFDMOFDM中承受阵列天线实现空间分集，提高了信号质量，并增加了多径的容限，使无线网络MIMOOFDMMIMO－OFDM5GHz802.11n802.11n离大大增加，移动性大大增加。多频点捆绑20MHz40MHz20MHz〔一个为主带宽，一个为次带宽，40MHz20MHz〕，这样可将速率IEEE802.11a/b/g，为了防止相邻信道干扰，20MHz道在其两侧预留了一小局部的带宽边界。而通过频带绑定技术，这些预留的带宽也可以用来通讯，从而进一步提高了吞吐量。2.4G20M40M我们可以看到2.4G很难进展40M带宽频率的安排。以下图是5.8G频段的分布图，我们可以看到在5.8G更简洁进展40M带宽的安排。802.11MAC的优化大大降低了系统的吞吐量。802.11n802.11MAC转变了数据帧构造，对数据帧进展聚合，增加了净负载所占的比重，削减治理检错所占的字节数大大提升了网络的吞吐量。802.11nMACA-MSDUMSDUEthernetAP〔MSDU〕EthernetA-MSDUSubframe；而在通过802.11A-MSDU802.11802.11PLCPPreamble、PLCPHeader802.11MAC，同时削减了应答帧的数量，提高了报文发送的效率A-MPDUA-MSDU，A-MPDU802.11MPDU，这里的MPDU，削减了发送每802.11PLCPPreamble、PLCPHeader，从而提高系统吞吐量。BlockAcknowledgementACKA-MPDUMPDUMPDUACKMPDUACKShortGuardIntervalGI〔GuardInterval〕802.11n802.11a/gGI，用以保证接收侧能够正确的解析出各个数据块。无线信号在空间传输会因多径等因素在接收侧形成时延，假设后续数据块发送过11a/gGIShortGI400us，ShortGI10%的速率。ShortGI20MHz、40MHz2.2.4.AP7131802.112.0WLANIEEE802.11n2.02.4-GHz5-GHz300Mbps网络可以猎取高速有线网络的体验，且无论位于何处，都能移动访问高带宽的数据、语音和视频应用。MESH802.11nAP71315181RFS7000MotorolaAP7131MCS0-15，MCS0-7MCS1540M300M802.11a/b/g/nAP-7131mesh网络功能以及非数据应用〔包括无线IPS传感器功能〕，DFS认证要求802.11nDraft2.0AP-7131600Mbps的速度——是802.11a/g6AP架构使该设备能够供给两种操作模式〔无需更改固件〕——802.3af环境中自动配臵的力量进一步简化了部署。无线网络架构AccessPoint〔AP〕来实APCPU、存储内存和治理软件，当我们构成一个大中型的网络时，这些单点之间并没有太多的相关AP路径信息，使得切换时延大大增加。因此，在系统掌握中心，摩托罗拉建议使用无线掌握交换机对动车组检修车间AP使用中心无线掌握交换机有以下好处：系统具有和有线网络构架的无缝整合性：无线掌握交换机系统重定义了对无线网络的构架，使之和有线网络一样具有接入层和交换层。这种构造让我们的企业网络中，网络的规划不是独立，而是与企业的有线网络结合在一起。系统具有多重安全性：无线掌握交换机固有的安全机制由访问掌握、身份验证和数据加密等一整套完整的体系组成，可以在企业网络的不同层次上进展部署，从而形成分层式的安全模式，供给格外强健的端到端安全性。同时我们也供给基于物理层〔无线电波〕的安全防护AirDefense防护系统将彻底屏蔽无线网络黑客的侵袭，这是一个格外完善的解决方案。无线掌握交换机体系对于硬件、软件配插即用，节约了日常维护本钱。系统具有高度可扩展性：无线掌握交换机的集中式特性使之能够便利地扩展，无线接入端可以扩展使之适应将来消灭的的无线接入标准，交换机治理系统802.11iAES具有很高投资保护的系统。组网构造视频信息库中心设臵在北京，视频信息中心通过铁通的网络专线直接连接到各个动车所或动车段。无线交换机的放臵有两种放臵方式，一种是无线交换机放在每个AP。另一种方式是无线交换机集中放在北京，AP。下面具体描述这两种部署方式。分布部署分布部署方案是相比照较传统的部署方式，部署比较简洁。在这种部署方案AP。在无线交换机上AP。整个网络分成三个局部：第一局部主要为现有的核心网络，主要由视频信息效劳器以及对应的核心交换机以及智能负载分担设备组成，增一台无线网络效劳器；其次局部为各个动车所或APAPGELCDAPIPMeshAP。分布部署的层次清楚、每个动车所都具有相对独立的治理权限。集中部署集中部署方式为一种扁平化部署的方式，在这种部署方案中，无线交换机不再AP息库中心的无线交换机治理。整个网络分成三个局部：第一局部主要为现有的核心网络，主要由视频信息效劳器以及对应的核心交换机以及智能负载分担设备组成，增主备两台无线交换机和无线网络效劳器；其次局部APAPAP口连接。IPMeshAP。这种集中部署的优点在于集中化治理以及节约大量投资，整个动车组无线网络AP，各个动车所或动车段无需部署无线交换机，从而节约了大量投资。对于集中部署的方案来说还有两种转发方式，集APMotorola交换技术的一大创。Motorola式进展比较：集中转发在传统的瘦AP技术中，瘦AP和无线交换机需要同时建立掌握隧道和数据隧道。信息以及配臵信息的下发以及状态信息的上传；数据隧道用来传输用户的实际数据，AP，APAP，在无线交换机从数据隧道收到这些数据包后，解包后再更加用户数据包进展数据转发。因此全部用户的数据都会经由无线交换机，数据有迂回，数据传输的路径不是最优的。当同时进展大量数据传递时，无线交换机将成为性能的瓶颈。就动车组无线WLAN工程的数据传输而言，集中转发将增加延时，影响网络性能。本地转发Motorola领先推出的本地转发模式抑制了集中转发的弊端。在本地转发模式中APAP传输用户身份认证信息、APAP数据转发。同时进展大量数据传递时，不再消灭无线交换机的瓶颈问题。在本地转发模式下数据无迂回，数据传输的路径是最优的。考虑到动车组无线工程中承受本地转发技术。更牢靠以及更便捷部署的MESH网络11nMESHAP。MESHMESHAP优点是其次个优点的扩大，由于节约了传输链路。MeshMeshAPAPMeshMeshAPMESHMESHAP依据无线信号的强度以及到有线网络的跳数选取到有线网络的最正确路径；并且在这条最正确路径消灭故障时可以在这种状况下选取次优路径。Mesh证了网络不会依靠于单个网络节点的工作状态，即使一个节点失效，与其相连的其它节点仍可以通过其它链路保持正常连接，有效保证了网络的稳定牢靠。节点间的无线连接使网络可以很简洁地扩展到更大的范围。在动车组检修车间，可以使用如下方式进展MESH网络部署：AP通过MESH链路连接到有线网络这主要是对那些在位臵高或者其他难以布线的AP。APMESHAP较简洁地进展连接掌握。专用车载AP和终端＋无线网卡方式比较AP视频显示客户机＋无线网卡主要基于如下理由：提高无线网络传输速率802.11anAP300－360M802.11gn802.11an高。提高网络牢靠性显示客户机＋无线网卡的方案由于通过操作系统的无线网卡驱动方式工作，无线信号CPU内存，无线网卡的工作状态和吞吐量也随之会受到影响，从而大大降低了无线网络的牢靠性。改善无线传输信号线的接收增益，另一方面通过多个天线进展信号的分集接收，通过这两方面可以有效地改善无线信号接收质量。者只有一个外接天线接口。这两种状况都不利于无线信号的接收和发送。便利进展AP连接的掌握APAP一般POE模式下的吞吐量测试802.11nAPPOE+11nAP11gAP。MotorolaAP7131耗降低方式，使用一般POE交换机的端口供电也可以实现802.11n的高吞吐量。Motorola11nAPPOEPOE+交换机。以下图是几个11n主流厂家AP在一般POE模式下的性能测试的环境，测试厂家包括Motorola,CiscoAruba。POE12.96W。以下图为测试结果，我们可以看到其他厂家相对于Motorola的11nAP在一般POE38%-56%11nAP11gAP802.3afPower,DualRadioDownstreamTCP25020038%39.6%56.1%25020038%39.6%56.1%150phguhT100500MotorolaAP7131Cisco1250Aruba124Cisco1140VendorGHzTotal安全牢靠的轨旁AP和车载AP认证APAPAPAPAP〔作为认证申请者〕在经过正确配臵AP〔作为认证点〕向网络发起的初次认证〔今后的重认证可以通过CCKM技术进展优化，从而降低漫游处理开销〕。`接入认证方面，简洁的实现方式是承受预共享密钥〔PSK〕的方法，但是存在802.1x/EAP802.1x/EAP身份的用户不行能连接到无线网络中，也不行能获知网络通讯的信息。摩托罗拉工作802.1x/EAPAPAP802.1xAP802.1x/EAPRADIUSAAA；AAA〔通过/不通过〕通过RADIUS会保存一份副本，供重认证时查找.设备选型WLAN/MotorolaMotorolaRFS7000RFS7000RF一个高带宽、高可用性的完全自行配臵、优化、冗余、自愈和安全的网络环境。RFS7000动态信道安排自动放射功率调整网络负载均衡无线流量优先处理高安全性易治理性网络动态信道安排802.11MAC功能需要承受一种基于二进制指数退避的冲突避开机制，即带有冲突检测的载波侦听多路存取〔CSMA/CA〕。将会允许该终端发送它的数据。否则，终端将被告知等到其他正在使用介质的基站完成任务之后再发送数据。这可以防止两个客户端同时在同一个信道上发送数据，导致数据帧受损。〔位于同一个区域〕与两个不同信道上的两个接入点相比，将获得其一半的容量。这可能会导致问题。摩托罗拉的AP可以通过动态安排接入点信道，避开冲突，从而提高系统容量。WLAN邻接入点之间的同频干扰。通过安排信道，可以隔离一样信道，从而避开这个问题〔如以下图所示〕。33%效率 100%效率APRF安排。这些特性包括：无线信道中的AP数量。摩托罗拉无线交换机通过分析由AP收集的beacon信APAPAP。AP。噪声――这个因素会限制客户端和接入点的信号质量。噪声的增大会导致有效网格的减小。通过优化信道和避开噪声源，摩托罗拉无线交换机可以在优化网络掩盖范围的同时，保持系统容量不变。假设某个信道由于噪声过高而无法使用，该信道将会被避开。802.11干扰――假设存在其他无线网络，摩托罗拉无线交换机将会自动转变信6，另一11。这可以通过限制频率重叠，提高网络容量。假设由于某个信道的使用量过高而导致没有可用容量，摩托罗拉无线交换机将会选择避开这个信道。摩托罗拉无线交换机可以将RF的决策。利用软决策机制，可以满足相互冲突的需求，为最大限度地削减网络干扰确保最正确的选择。SmartRF:网络自愈/自动放射功率调整正确的接入点放射功率设臵对于保证WLAN实现网络冗余也格外重要，有助于确保在接入点失去连接时进展实时的故障切换。SmartRFWLAN的放射功率。在正常状况下，功率可以保持在较低的水平，以获得额外的容量和削减干扰。假设检测到某个发生故障的接入点，四周接入点的功率将会自动提高，以填补掩盖WLAN态网络需求方面的力量极为有限。网络负载均衡只有在客户端能够通过负载均衡，有效地利用容量的状况下，WLAN容量才具有某个距离较远、但是利用率较低的接入点。方式来确定在哪里将的客户端参加网络。分别为基于用户数量的负载分担和基于流量的负载分担。当启用上述负载分担方式时，摩托罗拉无线交换机可以主动地“驱WLAN安排到整个无线网络之中。Motorola2.4G5.8GAPWMMQoSMotorola的无线网络支持WMM(802.11e)，WMM可以有效地保证高优先级的流量SIFSAIFS可以提高网络容量。在实际部署中，可以将AFC系统中需要传输的数据进展细分，作优先级划分，优先保证明时数据信息的传输。MotorolaMeshWMM(802.11e)的厂家。高度的安全性摩托罗拉拥有世界上最优秀的无线网络入侵保护系统WIPS(wirelessinstructionprotectionsystem)，可以探测到上百种的无线入侵行为。这套系统被用于美国国防部等其他对无线网络安全有极高要求的地方。摩托罗拉的AirDefense无线入侵防护系统为专业人员供给了强大工具，可以24WLAN的投资供给有力保障。主要功能有：恶意/入侵检测：实时检测802.11网络中是否存在恶意设备漏洞评估：找出网络弱点，例如设备配臵不当或薄弱的加密环节准确定位：快速准确地找出网络中的任何设备策略执行：在发生违反策略的行为时即时发出通知并做出响应应集中治理：用户界面简洁易用，功能强大，可针对各层级的用户高度的可治理性RF7000AP端，配臵维护都可以在中心机房完成，接入端的维护更是无需专业治理人员。另外，摩托罗拉的RFMSRFMS高度的牢靠性Motorola一个无线交换机集群。当某台无线交换机发生故障后，集群中其余的无线交换机依据AP。更为特别的是，这些堆叠成集群的无线交换机不仅可以按主备机方式进展冗余备Active：Active状态，而是全部设备都可以同时工作，这样提高了设备的利用率，降低了故障修复的时延。卓越的加密性能AESMotorolaRFS7000通过了测试，吞吐量没有下降。无线网络高牢靠冗余方案WLAN换机通过双千兆链路接入到核心，传输链路可选择裸光纤传输。下行通过百兆口直接接入轨旁AP。核心交换机则建议选择支持冗余引擎、冗余电源、支持热插拔的高端交换机产品。跳线实时同步状态信息，一旦消灭主用无线交换机故障，备用无线交换机能马上接收Motorola的无线交换机支持系统冗余备份，多台无线交换机可进展堆叠，构成一个无线交换机集群。当某台无线交换机发生故障后，集群中其余的无线交换机依据负载分担的智能算法接收故障设备治理的AP。更为特别的是，这些堆叠成集群的无线交换机不仅可以按主备机方式进展冗Active：Active活的状态，而是全部设备都可以同时工作，这样提高了设备的利用率，降低了故障修复的时延。APAP都同时连接到同一个车站的有线交换机，那么一旦该交换机发生故障，将会导致这些APAP该无线网络具有很好的冗余性，我们来分析下面五种状况。AP发生故障APAP当链路发生故障APAPMeshAP，承受无线链路进展上传。当接入交换机发生故障这种状况我们需要认真规划传输链路，我们建议传输链路实行穿插排放的方式。APAP，仍旧无法和有线网络通讯。当主用无线交换机和核心交换机链路发生故障EtherChannel当主用无线交换机发生故障常运行。就以上分析，该网络没有任何单点故障，具有很好的牢靠性。无线网络安全方案条件窃听或干扰信息，因此在无线局域网中，网络安全很重要。常见的无线网络安全问题如下：效劳区标示符(SSID)：SSIDAPSSID的口令，从而供给肯定的安全。假设配臵AP向外播送其SSID，那末安全程度将下降；由于一般状况下，用户自己配臵客户端系统，所以很多人都知道该SSID，很简洁PC实现对区域内AP的扫描，从而非法使用该AP的网络资源。有的厂家支持“任何”SSIDAPAP，这将跳过SSIDSSID少可以杜绝简洁的扫描攻击。物理地址〔MAC〕过滤：每个无线工作站网卡都由唯一的物理地址标示，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。物理地址过滤属于硬件认证，而不是列表数目不超过40个；假设用户增加，则扩展力量很差，因此只适合于小型网络规模。对于二代无线架构，MAC由于无线信号的空间泄漏特性，以及802.11技术的普及，随之而来的无线网络安全问题也被宽阔用户普遍关注。如何在保证802.11WLAN的高带宽，便利访问的同802.11域网安全的各个方面，并促成了诸如802.1x/EAP，802.11i，WPA/WPA2等标准的诞生，以及后续标准〔802.11w〕的制定。802.1x/EAP无线环境应用的最早支持厂商，并在无线安全标准工作组中占据领导地位。与其他网络一样，WLAN的安全性主要集中于访问掌握和隐私保护。健全的WLAN访问掌握〔也被称为身份验证〕可以防止未经授权的用户通过接入点收发信息。严格WLAN〔而不是恶意的或者未经授权的接入点〕建立联系。WLAN隐私保护有助于确保只有预定的接收者才能了解所传输的数据。在数据通WLAN为得到了妥当保护。数据加密有助于确保数据在收发传输过程中不会遭到破坏。但是，无线局域网的安全并不仅仅局限于接入认证和数据加密。无线接入设备AP/AP，对一个网络系统来讲也是格外重要的。下面我们就结合动车组列车WLAN传输特点，进展具体说明。无线通讯安全加密APAP过程中，全部数据包经过加密后在无线链路上进展传输。在现有的无线网络数据加密技术中，除了要考虑加密算法外，还应当考虑传输密钥的治理。摩托罗拉已经在产品TKIP/AESTKIP〔动态密钥完整性协议〕加密机制TKIP〔动态密钥完整性协议〕主要包括两个关键的对WEP〔连线对等保护〕的增加局部：1、在全部WEP〔连线对等保护〕加密的数据包上承受报文完整性检测(MIC)功能，以更有效的保证数据帧的完整性；2、针对全部的WEP〔连线对等保护〕加密的包实行基于每个数据包密匙的方式。MIC802.11Integritycheckfunction(ICV)，主要MIC对每个无线数据帧增加序列号，而AP将丢弃挨次错误的MIC，MICWEP〔连线对等保护〕WEP802.1XWEP〔连线对等保护〕密匙旋转的方法可以减轻可能经受的网络攻击，但没有根本解决这些问题。802.11iWEP〔连线对等保护〕增加机制已经承受了针对每个分组的WEPWLANAES(高级加密标准)加密机制AES(TKIP〔动态密钥完整性协议〕WEPRC4AES(高级加密标准)不存在任何攻击，而且加密强度远远连线对等保护〕。AES(高级加密标准)是一种极为安全的密码算法，120AES(高级加密标准)密钥――还没有人真正做到这一点。AES(高级加密标准)是一种区块加密法。这是一种对称性加密方法，加密和解密都使用同一个密钥，而且使用一组固定长度的比特――即所谓的“区块”。与使用一WEP〔连线对等保护〕不同，AES加密文本数据中的各个区块。AES〔128、192和256比特〕，每个AES(高级加密标准)区块的大小为128比特。WAP2/802.11iAESWPA2/802.11i10AES承受了一种名为Counter-Mode/CBC-Mac(CCM)的型构造模式。CCM会在Counter模式〔CTR〕下使用AES，以保护数据保密〔CTRCBC-MAC〕使用同一个密钥的型构造模式已经被NIST〔特别声明800-38C〕和标准化组织〔IETFRFC-3610〕所承受。48IVTKIPAES(IVCCM，IV48IV指数形式增长。这可以供给进一步的数据保护。〕，AESAES防范潜在的无线网络攻击802.1X-EAP、TKIPAES(高级加密标准)时，可以防止网络患病多种网络攻击的影响。如下表所示：的安全技术有助于制止网络攻击攻击类型安全改进身份验证：身份验证：身份验证：开放EAP-FAST，EAP-TLSEAP-FAST，EAP-TLSPEAP加密：PEAP加密：WEP加密：TKIP/MIC，AESWEP中间人担忧全担忧全安全身份伪装担忧全安全安全薄弱IV担忧全担忧全安全〔AirSnort〕分组伪装〔重复攻担忧全担忧全安全击〕暴力攻击担忧全安全安全字典攻击担忧全安全安全非法AP和非法用户的觉察和抑制AP的无限制访问，通过哄骗得到关键数据。无线局域网的用户在不知情的状况下，以为自己通过很好的信号连入无线局域网，却不知已遭到黑客的监听了。APRogueClient，AP状况。RogueAPAPAP，SSIDSTARogueAPIDS，用于收集探测器传来的网络治理软件，用于与有线网络沟通，推断出RogueDevice能快速地觉察全部无线设备的操作，并报告给治理员或IDS系统，这种方式称为RF扫描。某些AP能够觉察相邻区域的AP，我们只要查看各AP的相邻AP。固然通过网络治理SNMP，AP(ACL)APAPRogueAPAPMAC、Vendor(APMAC、Vendor(AP。RogueClientWLAN客户，治理员只要多留意他们的特别行为，就不难识别假冒客户。其特别行为的特征主要有:①发送长持续时间(Duration)帧;②持续时间攻击;③探测“anySSID”设备;④非认证客户。假设客户发送长持续时间/ID样就会使其他用户不能使用无线媒介而始终处于等待状态。为了避开网络冲突，无线节点在一帧的指定时间内可以发送数据，依据802.11(NAVO点才可能拥有信道。这迫使其他节点在该持续时间内不能拥有信道。假设攻击者成功持续发送了长持续时间的数据包，其他节点就必需等待很长时间，不能承受效劳，从而造成对其他节点的拒绝效劳。SSIDAPSSIDNICMACVendor列表中，则可能是非法客户。RF7000供给全面的网络安全特性，包括集成的基于MAC地址认证，入侵检测，Hotspot流量优化的同时针对拒绝效劳以及其他无线网络攻击进展防范保护，在觉察有非法用DOS无线信号泄漏防护间范围内，并通过其他技术，防止无线信号、WLAN我们建议承受如下手段。SSID，既节约了带宽，又增加了安全性；在系统传输天线选择上，尽量承受定向天线――避开无线信号的不必要泄漏；802.11b802.11gn〔接收灵敏度确定值大〕，假设本系统中的无线设备翻开了无用的低速率，更简洁患病远端其他系统的影响及黑客攻击。无线入侵保护系统摩托罗拉供给最先进的无线入侵专业保护AirDefense系统。众所周知，美国国AirDefense国国防部的高度认可，并在其办公场所得到部署。在中国部署在白云机场、中心电视台、WalmartFedex。常见的无线入侵行为有以下几种：欺诈设备信号在实体墙和防火墙四周进展传输入侵者或黑客可以发动攻击(DoS),间或相关和恶意相关的设备可以窃听信息热点区的无线网络诈骗或分析软件(AirSnarf,Hotspotter等)业资源完全暴露Sensor,这个特地的无线传感器可40,000–60,000平方英尺(3700–5600平方米)范围内的全部设备。无APAP300Firmware通过特地的软件进展相互转换。部署示意图如下所示：此外，AirDefense还供给入侵者跟踪功能，这对于快速定位和对入侵者进展必要措施格外有帮助。5.6有线网络的安全方案一步介绍此次工程网络架构设计的相关技术及部署方案。点。访问掌握和网络准入：作为访问掌握和网络准入的两个阶段，本局部分别介绍了建立(IBNS)，以及在此技术上协作式安全的具体实现：网络准入掌握(NAC)方案；PortSecurityMACMACCAMCAMMAC，CAMCAMMACMACCAMMACMACHUBsniffer能。防范方法macofSQLMACMACCAM(PortSecurity)和动态端口安全功能可被用来阻挡MAC泛滥攻击。例如交换机连接单台工1；IPMAC3：IPIP通过端口安全功能，网络治理员也可以静态设臵每个端口所允许连接的合法MAC地址，实现设备级的安全授权。动态端口安全则设臵端口允许合法MAC地址的数目，MACPortSecurity端口上最大可以通过的MAC地址数量端口上学习或通过哪些MAC地址对于超过规定数量的MAC处理进展违反处理端口上学习或通过哪些MAC地址可以通过静态手工定义，也可以在交换机自动学习。交换机动态学习端口MAC，直到指定的MAC地址数量，交换机关机后重学习。目前较的技术是StickyPortmac对于超过规定数量的MAC处理进展处理一般有三种方式：Shutdown：端口关闭。Protect：丢弃非法流量，不报警。Restrict：丢弃非法流量，报警。2).DHCPDHCPSnoopingDHCPserverIPDNS、WINSDHCP网管人员比较问题，常见的有：DHCPserverDHCPserverDOS有些用户任凭指定地址，造成网络地址冲突。DHCP的运作机制，通常效劳器和客户端没有认证机制，假设网络上存在多台DHCP由于不留神配臵了DHCP效劳器引起的网络混乱也格外常见。MACDHCPDHCP效劳器对应网段的全部地址被占用，此类攻击既可以造成DOS的破坏，也可和DHCPDHCPIPDNSDHCPSnoopingDHCPSnooping技术是DHCP安全特性，通过建立和维护DHCPSnooping绑定表过滤不行信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。 通过截取一个虚拟局域网内的DHCP信息，交换机可以在用户和DHCP效劳器之间担当就像小型安全防基于动态地址安排建立了一个DHCP绑定表，并将该表存贮在交换机里。在没有DHCP的环境中，绑定条目可能被静态定义，每个DHCP绑定条目包含客户端地址〔一个静态地址或者一个从DHCP效劳器上猎取的地址〕、客户端MAC地址、端口、VLANID、租借时间、绑定类型〔静态的或者动态的〕。ARP(DAI)IPSourceGuard防范方法为了防止这种类型的攻击，CatalystDHCP(DHCPSnooping)功能可有效阻挡此类攻击，当翻开此功能，全部用户端口除非特别设臵，被认为不行信任端口，不应当DHCP上连端口应被设臵为信任端口。DHCPDROPDHCP3).IPIPSourceGuardIPMACIP欺IP/MACDOS：PingOfDeath、Synflood、ICMPStormABpingping答都会返回到B地址，通过这种方式来实施拒绝效劳(DoS)攻击，这样可以掩盖攻击TCPSYNIPTCPIP可以通过手动修改地址或者运行一个实施地址哄骗的程序来假冒一个合法地址。IP往利用哄骗技术来掩盖它们真实的源头主机。防范方法IP(IPSourceGuard)DHCPIPPVACL，DHCPIP有合法源地址的数据保进展转发，合法源地址是与IP地址绑定表保持全都的，它也是，DHCPSnoopingDHCPIPSourceGuardIPMACDHCPSnooping够被允许传输。此时，必需将IPIPSourceGuardPortSecurityDHCPOption82IP址＋MAC无线网络治理方案AP以上〕，需要考虑很多方面AP，AP上AP的无线网里是格外大和烦琐的，而且无线局域网是一个整体系统，APAP参数和配臵会引APMotorolaRFS7000AP设备以及移动终端，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。WLANAP、AirDefense配臵治理AP，依据站APSite，然后分级显示，然后显示网络拓扑：通知网络治理员。性能治理摆放位臵的最正确建议以帮助妥当规划，同200多种统计数据，使您能够快速评估网络的安康状况。用户可以查看无线根底设施设备和客户端的状况，排解网络问题，生成报表以及导出原始RFRF掩盖范围、负载平衡、冗余、安全级别和网络MotorolaRFMSWebPDA/MotorolapocketPC〔MC70〕对网络进展治理。关键性能指标〕，可以对无线网络状况有一个直观的了解，包括：负载分担无线信号掩盖区域无线网络的利用率无线网络的安全指标无线网络的冗余特性平均信号接收强度〕Avg.SNR〔平均信噪比〕，APAvg.RSSI〔平均信号接收强度〕andAvg.SNR〔平均信噪比〕进展统计。故障治理一些预选设定的脚本。APAPAPAPAPAP态。SNMPTrapsyslog安全治理可以更好地适应网管人员的治理需求。无线网络治理软件应能统一治理室内室外的无AP，合理安排各种网络资源权限，并对无线网络攻击进展治理和掌握。备份治理摩托罗拉的网管可以统一治理无线交换机和AP的软件版本，可以统一进展软件AP复原。无线网络抗干扰方案抗干扰技术的根底OFDM技术我们选用了802.11a或者g技术的产品作为动车组的无线传输设备。主要出于OFDM有效抑制多种干扰的主要技术。正交频分复用技术〔OFDM〕40OFDM应用是军用的无线高频通信链路。但这种多载波传输技术在双向无线数据方面的应用却是近十年来的趋势。经过多年的进展，该技术在播送式的音频和视频领域已得到广泛的应用。主要的应用包括：非对称的数字用户环路〔ADSL〕、ETSI标准的音频播送〔DAB〕、数字视频播送〔DVB〕等。OFDM由于其频谱利用率高、本钱低等缘由越来越受到人们的关注。随着人们对通信数据化、宽带化、个人化和移动化的需求，OFDM技术在综合无线接入领域将越来越得到广泛的应用。正交频分复用技术〔OFDM〕是一OFDM媒体业务的进展，它才被人们生疏到是一种实现高速双向无线数据通信的良好方法。Modem64／128／256QAM技术、栅格编码技术、软判决技术、信道自适应技术、插入保护时段、削减均衡计算OFDMOFDMOFDMOrthogonalFrequencyDivisionMultiplexing写，其具体意思为直角频率多路传输分割复用技术。这种技术将无线通信传输信号分割成了多个副载波进展传输，而每个副载波由于仅仅携带了很小一局部的数据负载，OFDM传输的干扰或者其他外界的特别干扰。固然，OFDM技术除了通过分割载波的方法来增加通信的抗干扰外，它还通过提高载波频谱利用率的方法来提高通信的稳定性。这种技术通过对多载波的调制改进，让各子载波相互正交，于是扩频调制后的频谱可以相互重叠，从而减小了子载波间的相互干扰。在对每个载波完成调制以后，为了增加数HomePlug全部将要被发送数据信号位的载波进展合并处理，把众多的单个信号合并成一个独立的传输信号进展发送。OFDM技术比较突出的地方就是即使在窄带带宽下也能够发出大量的数据。OFDM1000全的运行。OFDM技术能够持续不断地监控传输介质上通信特性的突然变化。由于通信OFDM切断相应的载波以保证持续地进展成功的通信；而且该技术可以自动地检测到传输介质下哪一个特定的载波存在高的信号衰减或干扰脉冲，然后实行适宜的调制措施来使指定频率下的载波进展成功通信；在高层建筑物、居民密集和地理上突出的地方以及OFDMOFDM会被利用在简洁外界干扰或者抵抗外界干扰力量较差的传输介质中，因此这种技术在将来将是格外有前途的，它的优越性在于它能抑制干预造成的障碍。OFDM技术与传统的相关技术相比存在下面的优势特点：OFDM字信号处理器来供给高速数据效劳，系统实现起来相对简单一点；OFDM存在的一些问题进展快速修正，并可以对那些在通信传输过程中遭到破坏的信号数据位进展自动重建；OFDM的信号在传输过程中不简洁被窃取，从而保证信号传送具有更高的安全性；OFDM可以抑制信号传输的障碍，而且还能提高通信传输的速度，因此在一些恶劣环境中通讯它将格外有吸引力；OFDM技术每赫兹的带宽更高，这样无线系统的容量也就更大，而且它抗OFDM100Mbit/sOFDM无线信道性能变差的问题，从而抑制传输