河北保定白洋淀大观园景区WiFi覆盖项目技术方案

河北白洋淀大观园景区WiFi覆盖项目技术建议书2016年3月目录TOC\o"1-2"\h\z\u1、概述 31.2现状分析 31.3设计原则 31.4需求分析 52、方案设计 62.1AP布放设计 62.2网络拓扑 72.3无线安全 82.4无线网络部署方案 82.5无线网络管理 102.6供电问题 112.7覆盖效果理论计算 123、无线业务特点 133.1支持最新802.11ac技术 133.3支持频谱导航功能 133.5内置射频优化引擎(ROE) 133.6支持智能负载均衡 134、无线网络管理 141、概述1.2现状分析随着移动互联网的发展，移动终端的爆炸增长，无线终端和无线应用的快速普及，极大的推动了无线网络的发展。在这个移动互联的时代，无线已经成为终端接入的主导力量。智慧旅游，BYOD已成大势所趋，而景区WLAN的应用需求正在进一步加大。景区的竞争重点已经从“硬”转“软”，即从硬件设施转移到了如何提供高水平高质量的增值服务和体验。如今，景区的软实力已经成为行业的关注重点。随着全球信息化技术的快速发展和无线网络技术的广泛应用，为景区提供全新的高速信息服务已经成为了一种趋势，能否提升参展人员和参展商的满意度。而无线网络具有其移动性强、灵活度高、可以快速部署的优点，最适合于在景区中搭建高质量的网络信息服务平台。WLAN凭借自己的高带宽、低成本、可漫游的技术优势，能有效分担用户密集地点的3G带宽压力，带给客户更佳的体验；同时自建的WLAN网络，又可以对用户的偏好进行收集和智能分析，以便定向营销和业务推广。1.3设计原则为达到河北白洋淀大观园景区WiFi网络系统建设的目标，在网络设计构建中，我们始终坚持以下建网原则：实用性和先进性采用先进成熟的技术满足安新大观园各种应用系统的需求，兼顾其他相关的管理需求，保证满足安新大观园各种应用系统业务的同时，又体现出网络系统的先进性。在网络设计中把先进的技术与现有的成熟技术、标准和设备结合起来，充分考虑到网络应用的需求和未来的发展趋势，尽可能采用先进的网络技术以适应更高的传输需要，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息化的发展的需要。高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证，对于安新大观园网络来说更是如此，为保证各项业务应用，网络必须具有高可靠性，尽量避免系统的单点故障。要对网络结构、网络设备等各个方面进行高可靠性的设计和建设。在网络设计中特别是关键节点的设计中，选用高可靠性网络产品，在网络设计上应采用硬件备份、冗余等可靠性技术，合理设计网络冗余拓扑结构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地保证安新大观园网络系统的高效运行。标准性与开放性网上原有设备应该和新增设备采用国际标准协议进行互连互通，确保本网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准，坚持统一规范的原则，从而为未来的发展奠定基础。网络采用国际上通用标准的主流的网络协议，不仅保证与其它网络之间的平滑连接和互通，还能适应未来若干年的网络发展趋势，便于将来网络自身的扩展。高性能河北白洋淀大观园景区WiFi网络系统的性能是景区信息系统良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，力争实现透明网络，网络不能成为河北白洋淀大观园景区实施现代化应用业务的瓶颈。灵活性及可扩展性网络系统是一个不断发展的系统，网络不仅需要保持对以前技术的兼容性，还必须具有良好的灵活性和可扩展性，具备支持多种应用系统的能力，提供技术升级、设备更新的灵活性，能够根据安新大观园不断深入发展的需要，根据未来业务的增长和变化，平滑的扩充和升级现有的网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能，最大程度的减少对网络架构和现有设备的调整。易操作性和可管理性由于河北白洋淀大观园景区网络复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重。所以在网络设计中，必须建立一套全面的网络管理解决方案。网络设备必须采用智能化，可管理的设备，同时采用先进的网络管理软件，实现先进的管理。最终能够实现监控、监测整个网络的运行情况，合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护工作，从而为办公、管理提供最有力的保障。1.4需求分析1、保证河北白洋淀大观园景区的无线覆盖，为旅游人员及服务人员提供一个高速稳定的无线网络2、所有无线设备可管理，通过网管系统能够对所有设备进行管理。2、方案设计根据河北白洋淀大观园景区的无线网络需求和无线网络设计原则，结合无线技术和产品的特点，方案设计如下：2.1AP布放设计根据现场实际勘测、信号测试情况，无线网络采取蜂窝式部署方式。AP安装在景区的室外区域。AP布放位置如下：请参考CAD制图的的无线AP点位图2.2网络拓扑目前推荐使用的无线组网方式为AC+瘦AP的方式，采用无线集中管理的方式，方便管理，方便维护，即插即用；旁挂式组网是指AC旁挂在在汇聚交换机旁边，实现对AP的WLAN业务管理。在旁挂式组网中，AC管理AP是通过NAC和AP之间的控制隧道传输的。数据业务流可以通过数据隧道经AC转发，也可以不经过AC直接转发。此次的AC采用有线无线一体化的控制，不仅具备传统的AC控制器功能，同时通过AC控制器自身具备的POE端口为无线AP供电，起到了POE交换机的功能，实现有线无线一体化的功能。本次工程采用AP就近接入的原则，同时选用交换机加POE模块为AP提供远程供电；既减少了施工布线的工作，又减少了出现单点故障的可能，室外区域通过室外型802.11acAP对景区的室外区域进行覆盖，保证参展人员和参展商在室外可以随时随的的通过景区无线WLAN网络访问互联网。2.3无线安全无线局域网络主要服务于景区的参展人员和内部员工，也是规模的公众型网络，网络安全问题在建网时必须考虑问题，安全方式主要侧重几个方面：用户安全、网络安全，而在局域网络中主要依附于用户实体的属性；主要包括用户使用的信息终端二层属性（诸如：MAC地址）及用户的帐号、密码，而对于单位用户来说，帐号信息都是一个实名原则，这样本无线网络中着重考虑使用无线网络的空口信息的安全机制，同时也要考虑与无线相关的有线网络的安全问题；无线网络安全：无线网络安全部分主要包括以下方面的内容：MAC地址过滤：目前支持基于MAC地址的过滤，限制具有某种类型的MAC地址特征的终端才能进入网络中；SSID管理：是一种网络标识的方案，将网络进行一个逻辑化标识，对终端上发的报文都要求进行上带SSID，如果没有SSID标识则不能进入网络；WEP加密：WEP加密是一种静态加密的机制，通信双方具有一个共同的密钥，终端发送的空口信息报文必须使用共同的密钥进行加密；支持AES加密，AES安全机制是一种动态密钥管理机制，同时密钥生成也基于不对称密钥机制来实现的，同时密钥的管理也定期更新，具有体的时间由系统可以设定，一般情况都设定为5分钟左右，这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来，从无线空口的流量来看，基本上是不可能的；H3C的无线方案中可根据用户名来划分权限，即相同用户在不同地点接入无线网络其权限保持一致；密钥设置可能根据SSID信息与用户信息进行组合，即不同的SSID下不同的用户的密钥生成可以不一样，这样一定程度上保证用户之间串号问题产生，从而保护投资，以达到营维平衡2.4无线网络部署方案本次设计的有线无线一体化方案为无线控制器＋802.11ac“瘦”AP方案，无线控制器作为无线数据控制转发中心，内置于网络中心机房的核心交换机，无线接入点则部署在室外。11acFitAP和无线控制器之间既可以在同一个网段，也可以不在同一个网段，它们之间通过CAPWAP协议自动建立隧道（该隧道基于UDP，可以穿越三层网络），结合有线交换机的接入功能，这样就非常容易部署有线无线一体化接入方案。本方案的特点如下：1)IEEE802.11ac技术主要依靠物理层和MAC层的技术改进来实现速率的提升。2）全系无线产品支持IPv4和IPv6双栈，为用户提供和有线网近乎同等的应用承载：无线交换机支持MLDSnooping，配合现有IPv6有线网络，实现IPv6组播业务；AP和无线控制器之间可以建立基于IPv6地址的隧道，多个无线控制器之间可以建立基于IPv6地址的隧道；支持IPv6管理特性。3）智能射频管理：每个AP上电时，无线控制器会根据AP的邻居关系动态调整AP工作的信道和发射功率，在保证覆盖的前提下保证AP间的干扰最小。当AP覆盖区域受到外界强信号干扰时，无线控制器会控制AP自动切换到合适的工作信道以规避干扰信号当覆盖区域内的某个AP发生故障而造成覆盖黑洞时，无线控制器会自动调整相邻的AP的发射功率以消除黑洞区域，当故障AP恢复工作后无线控制器可以自动调整邻居AP的发射功率恢复原始工作状态。4）智能负载均衡：无线控制器可以设定AP间对接入用户进行负载分担，负载分担的策略可以是基于AP接入的用户数量，AP流量负载情况；当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP；只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误均衡的出现。5)无线入侵检测：非法设备是未经网络管理者许可部署的无线设备或者是发起无线攻击的设备，无线控制器可以指定AP工作在两种工作模式：模式一、AP负责监听空口所有信道的信息，但不负责用户报文的转发。模式二、AP在为用户转发数据的同时定期切换到其他信道监听信息；2.5无线网络管理基于标准的SNMP协议实现对设备的管理，iMC中专门的无线局域网管理软件WSM组件可实现对WLAN所有网元的管理。网管工作站可以放在网上的任意位置，通过标准的SNMP即可实现对无线交换机的管理。无线控制器可以实现更为强大的管理包括AP的自动拓扑发现、自动升级、批量配置、分级管理、分级告警等，并可实现针对无线覆盖空间内的射频扫描、非法接入点监听等安全功能。而无线局域网管理软件WSM可以实现配置管理整个WLAN无线网络，其具备以下特点：1、零配置安装：接入点无需准备预设置，AP从无线控制器继承配置信息。可将无线控制器接入中心机房核心交换机中，AP无需事先进行任何配置，即通过接入层交换机接入有线网络，并自动注册到无线控制器上，获得DHCPSERVER分配的IP地址，并自动下载配置文件正常工作，在大规模AP的项目中大量节省安装维护成本。2、防盗防入侵：敏感配置信息不在本地保存，即使设备被入侵被盗也不会丢失安全信息。实际运营中很多AP是放置在公共场所，如果密钥、SSID等安全信息在本地保存的话，一旦失窃对全网安全性造成威胁，AP由于其零配置安装，一旦掉电不会保存任何信息，避免入侵。3、支持灵活的拓扑结构：AP允许多种部署，从而能够直接或间接连接到管理它的无线局域网控制器。无线控制器与AP之间可以隔离任何路由器或交换机，只要共同连接进有线网络，AP就可以自动寻找到无线控制器实现注册。4、自动设置发射功率和分配射频信道：自动设置发射功率和分配射频信道，用以优化射频单元大小和满足各国对射频信道的要求。当有个别AP故障时，无线控制器会自动调大相邻AP的功率弥补信号盲区。5、基于身份的组网：根据用户名对用户权限进行区分，不同于传统的WLAN网络通过接入的有线交换机端口对用户权限进行划分，并且可以对用户的位置、带宽以及漫游等历史数据进行记录跟踪。6、提供增强的安全性和无缝漫游：通过这项基于身份的组网功能，经过改进的用户组认证接入控制、始终强制的漫游策略以及对带宽使用的监视实现了无线局域网的增强的安全性，实现了无缝的用户移动性和自由性，从而可以进行安全连接和漫游，一次认证多次接入，免去在不同AP下切换的再次认证。。7、安全管理：提供入侵检测功能，专用AP可以不断地扫描空域，以便对要求更高安全性的环境提供全天候保护。一旦无线网络中有非法接入点接入，AP将上报相应的告警给无线控制器，并通过网管软件显示。2.6供电问题由于本次无线网中AP设备数量较多，AP布放位置根据实际覆盖效果而调整，在已建设完成的建筑物上较难进行本地供电。因此本次采用基于标准的802.3af的PoE模块实现对AP的供电,完全满足802.11ac高带宽的需求。通过以太网线在传输数据同时给AP供电，供电距离达100米，满足实际组网的要求。2.7覆盖效果理论计算信号强度和传输距离的换算公式AP加卡的信号总强度公式：Gt－Gr＋AP天线增益＋终端天线增益＝L信号总强度（dB）Gt（AP或终端功率，单位dB），Gr（终端或AP灵敏度，单位dB）距离产生的信号衰减公式：40＋20lgd＝L1（dB）d（距离，单位m）工程中最大传输距离以45m计算，所以L1＝72dB障碍物的衰减：物体dB地板30带窗户的砖墙2办公室墙6办公室墙的金属门6砖墙的金属门12.4靠近金属门的砖墙3工程中实际的障碍物的最大衰减是临窗墙的衰减3dB加上房间墙的衰减12dB等于15dB。3、无线业务特点3.1支持最新802.11ac技术此方案采用的产品WA4320x型AP遵从802.11ac协议标准，采用专业模块化设计，单射频能提供高达866Mbps的无线接入速度，是相同环境下802.11n产品的3倍左右。且向下兼容802.11a/b/g/n协议。3.3支持频谱导航功能将用户尽量引导到5G频段上，让用户体验802.11ac的极速网络。5G信道数量多，能够获得非常好的性能。3.5内置射频优化引擎(ROE)AP内置射频优化引擎(RFOptimizingEngine)，通过基于特征和协议的射频优化，有效提升无线部署中高密度接入、流媒体传输等场景中的应用加速能力和质量保障效果。3.6支持智能负载均衡AP支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现无线接入设备的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的无线接入设备可供用户接入，如果有则会拒绝用户的关联请求，用户会转而接入其他负载较轻的无线接入设备，从而最大限度的提高了无线网络容量。4、无线网络管理作为接入层网络，无线网络维护工作量较大，加之无线网络的灵活性和不可见性，对无线网络的管理需求也较有线网络更加强烈。无线网络直接面对最终用户，对管理系统稳定性、实时性、有效性要求都较高。WSM无线运营管理组件依托iMC智能管理平台，实现有线无线一体化的管理，在iMC系统全面的有线网络管理的基础上，为管理员提供无线网络管理能力。管理员无需重新搭建IT管理平台，即可在原有的有线网络管理系统中增加无线管理功能，与有线管理平台统一部署，节省用户投入，节约维护成本。H3C无线运营管理组件（WSM）在下一代业务软件平台iMC的基础上进行开发，不仅为管理员提供了灵活的组件选择，同时符合业界主流的SOA架构，具备良好的扩展性，能够满足客户网络管理不断发展的需求。基于Web的管理系统，为无线业务管理者提供了简便、友好的管理平台。与iMC智能管理平台及其它组件配合，还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理等功能，并可对网络中的其它设备进行统一管理，真正实现有线无线一体化管理。无线有线一体化管理H3C无线运营管理组件（WSM）作为iMC智能管理中心的无线业务管理核心，对于网络中的AC、FATAP、FITAP、移动终端等无线设备与有线设备进行一体化集中管理，全网设备信息和状态一目了然。网络资源通过多种视图进行查看，视图内分组管理，将规模巨大的无线接入设备有效组织，便于管理员维护。多样化的拓扑管理WSM中的无线业务逻辑拓扑帮助管理员直观了解网络部署情况及设备/链路当前状态。系统可根据不同的方式组织资源，有效进行拓扑分组、真实组织全网资源。物理位置视图中管理员可根据需要创建多纬度、多层次的物理位置结构，并在指定建筑物底图上根据真实情况摆放设备，逼近真实网络环境。无线终端查看和漫游记录审计WSM可以直接在拓扑图中对移动终端的信息进行查看，包括MAC地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在AC设备、所在AP设备等，并能查看各移动终端的全部漫游记录，使管理员随时了解最终接入用户的情况，并对其接入轨迹进行审计。RF覆盖及无线网络规划在实际无线环境的部署和维护中，需要关注无线设备的RF范围、覆盖管理以及无线网络规划扩容问