WLAN無線網(wǎng)建設(shè)規(guī)范

1、上海煙草集團(tuán)WLAN無線網(wǎng)絡(luò)技術(shù)規(guī)范xxx電視臺(tái)WLAN無線網(wǎng)絡(luò)技術(shù)規(guī)范2014年10月文檔說明編號(hào)修訂內(nèi)容簡(jiǎn)述審核修訂日期修訂前版本號(hào)1建立文檔本文檔中所包含的信息屬于機(jī)密信息，如無xxx電視臺(tái)的書面許可，任何人都無權(quán)復(fù)制或利用。1 前言目前xxx電視臺(tái)的業(yè)務(wù)數(shù)據(jù)、管理數(shù)據(jù)傳輸主要依賴有線網(wǎng)絡(luò)傳輸。隨著業(yè)務(wù)的不斷增加和調(diào)整，傳統(tǒng)的有線網(wǎng)絡(luò)在靈活性、移動(dòng)性、可擴(kuò)展性方面具有一些明顯的不足。如：1.辦公人員、技術(shù)人員等日常通過辦公環(huán)境需處理的各類事務(wù)，因?yàn)楣ぷ髟虿辉谵k公室時(shí)往往也需要及時(shí)處理一些重要的工作，但有線網(wǎng)絡(luò)不能隨時(shí)接入，從而降低了工作效率。2.來賓需要網(wǎng)絡(luò)服務(wù)時(shí)，如果直接接入到有線網(wǎng)

2、絡(luò)中，不方便并帶來安全隱患。3.公司員工也更加趨于使用iphone、ipad等智能移動(dòng)終端獲取信息、辦公和處理相關(guān)業(yè)務(wù)。因此，本臺(tái)考慮部署無線局域網(wǎng)網(wǎng)絡(luò)，滿足業(yè)務(wù)要求和公司員工辦公要求。為此，集團(tuán)特制訂本規(guī)范，為全公司各辦公樓層選擇WLAN無線技術(shù)組網(wǎng)提供相關(guān)指導(dǎo)。1.1 文檔目的本文檔作為xxx電視臺(tái)各辦公樓層WLAN無線局域網(wǎng)規(guī)范，對(duì)各樓層WLAN無線網(wǎng)的總體設(shè)計(jì)、相關(guān)技術(shù)和實(shí)施標(biāo)準(zhǔn)進(jìn)行了規(guī)定，是各樓層WLAN無線網(wǎng)建設(shè)的依據(jù)。本文檔內(nèi)容只對(duì)技術(shù)相關(guān)內(nèi)容進(jìn)行定義、描述、規(guī)范和指導(dǎo)，不涉及非技術(shù)類問題。1.2 文檔范圍本文檔內(nèi)容涵蓋xxx電視臺(tái)各辦公樓層WLAN無線網(wǎng)建設(shè)的如下方面技術(shù)內(nèi)容：

3、l WLAN技術(shù)標(biāo)準(zhǔn)l xxx電視臺(tái)WLAN應(yīng)用場(chǎng)景l(fā) xxx電視臺(tái)WLAN部署架構(gòu)規(guī)范l xxx電視臺(tái)WLAN安全部署規(guī)范l xxx電視臺(tái)WLAN高可用性規(guī)范l xxx電視臺(tái)WLAN管理規(guī)范l xxx電視臺(tái)WLAN產(chǎn)品要求及標(biāo)準(zhǔn)l xxx電視臺(tái)WLAN部署注意事項(xiàng)等1.3 目標(biāo)讀者本文檔的主要讀者為xxx電視臺(tái)辦公網(wǎng)網(wǎng)絡(luò)相關(guān)管理、設(shè)計(jì)及實(shí)施維護(hù)人員。本文檔主要面向負(fù)責(zé)xxx電視臺(tái)辦公網(wǎng)網(wǎng)絡(luò)相關(guān)管理、設(shè)計(jì)及實(shí)施維護(hù)人員及服務(wù)商的項(xiàng)目實(shí)施小組成員。2 WLAN建設(shè)原則l 業(yè)務(wù)保障性原則WLAN無線技術(shù)有方便接入、方便移動(dòng)、便于擴(kuò)展等優(yōu)點(diǎn)，但是它是一種無線電通信技術(shù)，無線信號(hào)受環(huán)境影響，同時(shí)，不同

4、WLAN無線技術(shù)制式標(biāo)準(zhǔn)實(shí)現(xiàn)的帶寬也不同，所以，采用此技術(shù)組網(wǎng)，要考慮采用的技術(shù)標(biāo)準(zhǔn)、帶寬保障、可靠性保障、安全保障、便于運(yùn)維管理等，以能夠保障對(duì)相關(guān)業(yè)務(wù)處理和保障辦公管理業(yè)務(wù)處理為出發(fā)點(diǎn)。l 可靠性原則穩(wěn)定可靠的網(wǎng)絡(luò)是應(yīng)用系統(tǒng)正常運(yùn)行的重要保證，WLAN網(wǎng)絡(luò)也應(yīng)遵循可靠性原則，應(yīng)采用高可靠性的網(wǎng)絡(luò)產(chǎn)品和完備的網(wǎng)絡(luò)可靠性設(shè)計(jì)方案，保障WLAN無線網(wǎng)絡(luò)的可靠性和故障自愈能力。l 安全性原則遵循公司統(tǒng)一的安全策略和信息安全保障體系架構(gòu)基礎(chǔ)上，盡量采用能夠保障無線通信安全的有效措施，保證數(shù)據(jù)在WLAN無線網(wǎng)絡(luò)上的數(shù)據(jù)安全、身份安全。l 可管理性原則遵循接入網(wǎng)建設(shè)規(guī)范，WLAN無線網(wǎng)絡(luò)建設(shè)要充分考慮日

5、后擴(kuò)展后規(guī)模后的可管理性，實(shí)現(xiàn)無線用戶、設(shè)備、部署、運(yùn)維的有效管理。l 可擴(kuò)展性原則WLAN網(wǎng)絡(luò)建設(shè)需要統(tǒng)籌規(guī)劃，在可靠、安全的基礎(chǔ)上，最好建設(shè)之初就考慮采用可擴(kuò)展的技術(shù)和架構(gòu)，實(shí)現(xiàn)根據(jù)終端數(shù)量的增加可以做到平滑順利擴(kuò)展，降低重復(fù)建設(shè)成本和管理成本。3 WLAN技術(shù)標(biāo)準(zhǔn)3.1 WLAN組網(wǎng)模式目前WLAN有兩種組網(wǎng)模式，分別為自治式組網(wǎng)和集中式組網(wǎng)。自治式組網(wǎng)由一個(gè)或多個(gè)的獨(dú)立接入點(diǎn)胖AP構(gòu)成，所有配置、管理、安全等功能都在胖AP上完成。自治式組網(wǎng)模式在AP數(shù)量少、用戶數(shù)量少及網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單的環(huán)境中進(jìn)行部署；如圖1所示：Figure 1 WLAN自治式組網(wǎng)集中式組網(wǎng)由無線控制器和輕型無線接入點(diǎn)瘦

6、AP組成。如圖2所示：l 無線控制器無線控制器集中了對(duì)AP配置、管理、安全策略控制、通信控制等功能與一身，負(fù)責(zé)無線網(wǎng)絡(luò)的接入控制，轉(zhuǎn)發(fā)和統(tǒng)計(jì)、AP的配置和監(jiān)控、漫游管理、AP的網(wǎng)管代理、安全控制；AP和無線控制器間采用隧道協(xié)議進(jìn)行通訊。l 無線接點(diǎn)瘦AP輕型無線接入點(diǎn)AP：負(fù)責(zé)射頻信號(hào)收發(fā)和射頻掃描、802.11報(bào)文的加解密、轉(zhuǎn)發(fā)、接受無線控制器的管理等功能。瘦AP上基本為“零配置”，所有配置都集中到無線控制器上。Figure 2 WLAN集中式組網(wǎng)就目前兩種WLAN組網(wǎng)模式進(jìn)行對(duì)比；自治式組網(wǎng)方式，在AP少、用戶量少、網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單的情況下，宜采用自治式組網(wǎng)方式；集中式組網(wǎng)方式，是目前主流。組

7、網(wǎng)層次清晰，瘦AP 通過無線控制器進(jìn)行統(tǒng)一配置和管理，在接入點(diǎn)多，用戶量大，同時(shí)用戶分布較廣的組網(wǎng)情況下，宜采用集中式組網(wǎng)方式。自治式組網(wǎng)集中式組網(wǎng)安全性傳統(tǒng)加密、認(rèn)證方式，普通安全性增加射頻環(huán)境監(jiān)控，基于用戶位置安全策略，高安全性配置維護(hù)管理難，每個(gè)AP單獨(dú)配置、維護(hù)、管理易，無線控制器上集中配置管理，AP本身零配置，維護(hù)簡(jiǎn)單數(shù)據(jù)轉(zhuǎn)發(fā)模式本地轉(zhuǎn)發(fā)本地轉(zhuǎn)發(fā)和集中轉(zhuǎn)發(fā)用戶管理不靈活，根據(jù)AP接入的有線端口區(qū)分權(quán)限靈活，根據(jù)用戶名區(qū)分權(quán)限漫游L2漫游L2、L3漫游增值業(yè)務(wù)能力實(shí)現(xiàn)簡(jiǎn)單數(shù)據(jù)接入可擴(kuò)展語音等豐富業(yè)務(wù)組網(wǎng)可靠性不高，無法實(shí)現(xiàn)AP的負(fù)載均衡高，可以實(shí)現(xiàn)跨無線控制器、AP的負(fù)載均衡，胖瘦AP

8、切換結(jié)論傳統(tǒng)的組網(wǎng)方式，適合小規(guī)模組網(wǎng)目前主流的組網(wǎng)方式，增強(qiáng)管理，適合大規(guī)模網(wǎng)絡(luò)Table 1 WLAN組網(wǎng)方式對(duì)比由于集中式組網(wǎng)方案優(yōu)勢(shì)較多，建議各辦公樓層采用該方案。3.2 WLAN協(xié)議標(biāo)準(zhǔn)目前，已經(jīng)形成WLAN網(wǎng)絡(luò)一些協(xié)議標(biāo)準(zhǔn)，主要用于界定無線終端STA與AP間的空中接口標(biāo)準(zhǔn)，及STA與AP、及AP與無線控制器間的互操作協(xié)議、安全保證和通訊質(zhì)量保證等。主要空中接口標(biāo)準(zhǔn)有80.211b、802.11a、802.11g、802.11n等，建議各辦公樓層在部署無線時(shí)采用802.11g、802.11n等標(biāo)準(zhǔn)，各種標(biāo)準(zhǔn)帶寬和速率情況如下：標(biāo)準(zhǔn)802.11b802.11a802.11g802.11

9、n發(fā)布時(shí)間1999.71999.72003.62009.9有效帶寬5.5M24.7M24.7M100M以上無交疊信道數(shù)312315編碼技術(shù)CCKOFDMCCK/OFDMMIMO/OFDM最高速率11Mbps54Mbps54Mbps300900Mbps兼容性通過Wi-Fi認(rèn)證的產(chǎn)品間可以兼容與11b/g不兼容向下兼容11b向下兼容11b、11g和11aTable 2 WLAN空中接口標(biāo)準(zhǔn)3.3 WLAN安全標(biāo)準(zhǔn)1、WLAN 加密標(biāo)準(zhǔn)WLAN無線網(wǎng)絡(luò)涉及到業(yè)務(wù)數(shù)據(jù)通過無線信號(hào)傳輸，且接入點(diǎn)不固定，信息安全和接入用戶的身份必須得到有效保證和確認(rèn)，WLAN無線技術(shù)標(biāo)準(zhǔn)中已經(jīng)提供了相當(dāng)數(shù)量的安全標(biāo)準(zhǔn)，如

10、WEP（Wired Equivalent Protocol，有線等效協(xié)議）、WPA （Wi-Fi Protected Access），WPA2（WPA的第二個(gè)版本）、WAPI（WLAN Authentication and Privacy Infrastructure）等。WEP是IEEE 802.11b標(biāo)準(zhǔn)安全性的一部分，主要承擔(dān)對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，無身份鑒別機(jī)制，且其采用共享密鑰，全部手動(dòng)配置，24位密鑰初始值較短容易重復(fù)，密鑰初始值被明文傳送不安全，并且無真正密碼學(xué)意義上的完整性校驗(yàn)機(jī)制，所以，公司無線網(wǎng)絡(luò)不允許采用。WPA分為WPA和WPA2兩個(gè)版本，是WEP的升級(jí)版本，針對(duì)WEP的

11、幾個(gè)缺點(diǎn)進(jìn)行了彌補(bǔ)，WPA采用了TKIP（Temporal Key Integrity Protocol，臨時(shí)密鑰集成協(xié)議）加密算法，在以下幾個(gè)方面進(jìn)行了改進(jìn)，1.密鑰用重新獲取和分發(fā)機(jī)制實(shí)現(xiàn)密鑰自動(dòng)管理；2. 每幀生成密鑰防弱WEP密鑰攻擊；3. 采用幀序列號(hào)防重放攻擊；4.新的消息完整性校驗(yàn)算法及校驗(yàn)失敗策略。WPA2最終形成了802.11i的最終版本，WPA2采用CCMP加密模式，它是基于最新加密算法AES（Advanced Encryption Standard）和CCM（Counter-Mode/CBC-MAC）完整性校驗(yàn)方式，大幅度提高了網(wǎng)絡(luò)安全性。WAPI，是我國自主研發(fā)的無線W

12、LAN安全規(guī)范，它通過了IEEE認(rèn)證和授權(quán)，是一種認(rèn)證和私密性保護(hù)協(xié)議，WAPI采用非對(duì)稱(橢圓曲線密碼)和對(duì)稱密碼體制(分組密碼)相結(jié)合的方法實(shí)現(xiàn)安全保護(hù)，實(shí)現(xiàn)了設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護(hù)。 WAPI除實(shí)現(xiàn)移動(dòng)終端和AP之間的相互認(rèn)證之外，還可以實(shí)現(xiàn)移動(dòng)網(wǎng)絡(luò)對(duì)移動(dòng)終端及AP的認(rèn)證。Figure 3 WLAN加密標(biāo)準(zhǔn)2、WLAN認(rèn)證標(biāo)準(zhǔn)擴(kuò)展認(rèn)證協(xié)議（EAP）是一個(gè)認(rèn)證框架，常被用于無線/有線網(wǎng)絡(luò)安全認(rèn)證。EAP提供一些公共的功能，并且允許協(xié)商所希望的認(rèn)證機(jī)制。這些機(jī)制被叫做EAP方法，現(xiàn)在大約有40種不同的方法。在無線網(wǎng)絡(luò)中常用的方法包括EAP-TL

13、S, PEAP, LEAP,和EAP-FAST。Figure 4 WLAN認(rèn)證標(biāo)準(zhǔn)3.4 WLAN管理標(biāo)準(zhǔn)要充分發(fā)揮WLAN的作用，使WLAN能夠提供高效、可靠的業(yè)務(wù)，功能強(qiáng)大的網(wǎng)絡(luò)管理應(yīng)成為WLAN的重要組成部分。WLAN網(wǎng)絡(luò)管理是保證WLAN網(wǎng)絡(luò)正常運(yùn)行的必要條件。由于WLAN網(wǎng)絡(luò)既要管理是有線和無線相結(jié)合，除了要求遵循網(wǎng)絡(luò)管理的相關(guān)標(biāo)準(zhǔn)，SNMP、syslog、CAPWAP等相關(guān)標(biāo)準(zhǔn)，實(shí)現(xiàn)拓?fù)涔芾?、配置管理、性能管理、告警管理外，還需要對(duì)無線方面的相關(guān)特性和功能進(jìn)行有效管理，對(duì)無線控制器控制、全網(wǎng)AP集中配置、監(jiān)視AP工作狀態(tài)、在線用戶狀態(tài)、全網(wǎng)射頻規(guī)劃、安全報(bào)警、鏈路負(fù)載、設(shè)備利用率、

14、漫游記錄、報(bào)表輸出等無線網(wǎng)絡(luò)管理功能，使得管理員可以在網(wǎng)絡(luò)中心對(duì)整個(gè)網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行監(jiān)控和管理。為了降低管理難度，提高效率，需要無線控制器、AP不僅支持命令行、還支持WEB等多種管理方式。4無線解決方案方案優(yōu)勢(shì)采用AC+AP的組網(wǎng)形式，集中式轉(zhuǎn)發(fā)，集中管理的方式具有以下好處： 無線接入點(diǎn)AP采用11AC技術(shù)：在原有基礎(chǔ)上有效提高無線網(wǎng)絡(luò)帶寬，保證無線網(wǎng)絡(luò)直連。 管理簡(jiǎn)單：所有AP接入的設(shè)置全部由無線AC控制器來進(jìn)行統(tǒng)一管理實(shí)現(xiàn)同一SSID二層、三層的無線漫游功能。 認(rèn)證全面：所用的認(rèn)證及計(jì)費(fèi)等服務(wù)全部由AC側(cè)的認(rèn)證服務(wù)器來實(shí)現(xiàn)所有的接入認(rèn)證功能,對(duì)不同SSID、用戶組、用戶名設(shè)置不同訪問權(quán)限進(jìn)

15、行。同一SSID下可設(shè)置多個(gè)組及用戶，可靈活修改用戶名及密碼。對(duì)每個(gè)組及用戶可實(shí)現(xiàn)訪問策略、帶寬的管理。通過接入認(rèn)證軟件識(shí)別管理不同設(shè)備、針對(duì)不同終端類型進(jìn)行授權(quán)、組織內(nèi)部信息安全、對(duì)移動(dòng)終端進(jìn)行有效控制、如何組織外部人員接入。 安全功能全面：AP支持多種安全策略，多種密碼加密方式。AC支持多種安全功能：多個(gè)SSID共存，可實(shí)現(xiàn)部分SSID隱藏,支持RealTime Spectrum Guard(實(shí)時(shí)頻譜保護(hù))模式，支持7層移動(dòng)安全檢測(cè)/防御(wIDS/wIPS)，支持智能無線業(yè)務(wù)感知(wIAA)，支持遠(yuǎn)程探針分析等功能擴(kuò)展 可靠性方面：AC支持多種高可靠性技術(shù)，AP支持集中、本地轉(zhuǎn)發(fā)，保證網(wǎng)

16、絡(luò)的安全可靠。5xxx電視臺(tái)WLAN應(yīng)用場(chǎng)景根據(jù)電視臺(tái)目前辦公網(wǎng)的需求，可以選擇WLAN無線網(wǎng)絡(luò)組網(wǎng)。應(yīng)用場(chǎng)景覆蓋區(qū)域用戶角色終端類型業(yè)務(wù)類型無線辦公各樓層辦公區(qū)員工來賓筆記本智能手機(jī)平板電腦WLAN應(yīng)用場(chǎng)景5.1無線辦公網(wǎng)為員工提供便捷、靈活、安全的辦公網(wǎng)絡(luò)，是各辦公樓層網(wǎng)絡(luò)建設(shè)的目標(biāo)之一。針對(duì)移動(dòng)辦公的需求，各辦公樓層可以部署WLAN無線網(wǎng)絡(luò)，將辦公、管理、Internet等應(yīng)用服務(wù)與PC個(gè)人電腦、蘋果電腦、各式平板電腦、iPhone等智能手機(jī)等進(jìn)行信息集成，結(jié)合信息推送技術(shù)實(shí)現(xiàn)高效、便捷的無線辦公。6xxx電視臺(tái)WLAN部署規(guī)范WLAN為有線網(wǎng)絡(luò)的延伸，為終端提供快速、便捷、靈活的網(wǎng)絡(luò)接

17、入方式。各辦公樓層WLAN網(wǎng)絡(luò)架構(gòu)采用集中式組網(wǎng)模式，部署獨(dú)立無線控制器和無線瘦AP，WLAN數(shù)據(jù)轉(zhuǎn)發(fā)采用管理流集中轉(zhuǎn)發(fā)，數(shù)據(jù)流分布式轉(zhuǎn)發(fā)的部署模式，即終端用戶的認(rèn)證、AP注冊(cè)、AP管理等數(shù)據(jù)流通過無線控制器進(jìn)行集中或轉(zhuǎn)發(fā)，終端用戶的業(yè)務(wù)數(shù)據(jù)流通過瘦AP進(jìn)行本地轉(zhuǎn)發(fā)。WLAN安全認(rèn)證系統(tǒng)采用統(tǒng)一的認(rèn)證部署方式，實(shí)現(xiàn)WLAN用戶的全行認(rèn)證漫游。l 無線控制器:n 各樓層部署本地?zé)o線控制器n 無線網(wǎng)絡(luò)應(yīng)用較重要時(shí)，應(yīng)采用無線控制器雙機(jī)熱備方案，實(shí)現(xiàn)毫秒級(jí)故障恢復(fù)能力l 無線接入點(diǎn)AP: n 部署位置：參照table 3n 標(biāo)準(zhǔn)：802.11nn AP模式：瘦APn 連接設(shè)備：POE接入交換機(jī)n 產(chǎn)

18、品要求：見“產(chǎn)品要求及標(biāo)準(zhǔn)”章節(jié)7xxx電視臺(tái)WLAN SSID部署規(guī)范在進(jìn)行SSID規(guī)劃時(shí)，首先為了便于集團(tuán)WLAN用戶在漫游時(shí)進(jìn)行登陸，其次為了避免SSID數(shù)量過多造成的WLAN用戶接入的混亂，集團(tuán)各辦公樓層使用統(tǒng)一且單一的SSID名，SSID名為HLJTV-WLAN。8xxx電視臺(tái)WLAN安全架構(gòu)部署規(guī)范WLAN應(yīng)根據(jù)各樓層應(yīng)用環(huán)境和安全標(biāo)準(zhǔn)，采用多種安全機(jī)制，以從網(wǎng)絡(luò)上保證業(yè)務(wù)的安全。8.1WLAN安全規(guī)則部署規(guī)范8.1.1安全加密規(guī)則參考WLAN安全加密標(biāo)準(zhǔn)，應(yīng)采用符合國際標(biāo)準(zhǔn)且安全性較高的加密標(biāo)準(zhǔn)，在本次WLAN部署中建議采用WPA/WPA2/WPA2-PSK等加密標(biāo)準(zhǔn)。8.1.2

19、安全認(rèn)證規(guī)則參考WLAN安全認(rèn)證標(biāo)準(zhǔn)，應(yīng)采用結(jié)合CA證書的安全認(rèn)證標(biāo)準(zhǔn)，從而保證統(tǒng)一認(rèn)證的安全最大化，在本次WLAN部署中建議采用EAP-TLS/PEAP等認(rèn)證體系標(biāo)準(zhǔn)。8.1.3 SSID安全規(guī)則無線信號(hào)SSID采用廣播和非廣播模式進(jìn)行發(fā)送，在廣播模式下SSID容易泄露，在非廣播模式下SSID手工添加后才可見。在WLAN部署中安全性要求較高的應(yīng)用場(chǎng)景建議采用非廣播模式。 8.1.4安全訪問規(guī)則在WLAN的一些應(yīng)用場(chǎng)景，需要對(duì)無線網(wǎng)絡(luò)訪問進(jìn)行嚴(yán)格的安全訪問控制，如：訪客只能訪問Internet。8.1.5帳號(hào)安全規(guī)則針對(duì)進(jìn)行認(rèn)證的用戶，當(dāng)輸入多次用戶名和密碼時(shí)，建議采取一定的鎖定策略或采取黑名

20、單的方式對(duì)帳號(hào)進(jìn)行安全防范，具體的策略由網(wǎng)絡(luò)中心靈活設(shè)置。8.2 WLAN統(tǒng)一認(rèn)證部署規(guī)范為了便于無線用戶能夠安全、便捷、無縫的進(jìn)行全行漫游，全集團(tuán)使用統(tǒng)一認(rèn)證、分布式管理的原則進(jìn)行無線用戶的認(rèn)證部署。WLAN統(tǒng)一認(rèn)證組件包括認(rèn)證系統(tǒng)、目錄服務(wù)系統(tǒng)和證書系統(tǒng)，其中根目錄系統(tǒng)、根證書系統(tǒng)部署在集團(tuán)服務(wù)器區(qū)，子域系統(tǒng)、子證書系統(tǒng)部署在各辦公樓層服務(wù)器區(qū)，認(rèn)證系統(tǒng)部署在集團(tuán)和各辦公樓層的服務(wù)器區(qū)。8.3 WLAN設(shè)備安全管理規(guī)范根據(jù)公司的網(wǎng)絡(luò)設(shè)備安全管理規(guī)范，對(duì)遠(yuǎn)程telnet和本地console口令分別要求如下：（1）遠(yuǎn)程telnet：只允許指定源IP地址telnet，并且用密文設(shè)置登錄的密碼；（

21、2）本地console口：用密文設(shè)置登錄密碼。（3）telnet、console口用戶的登錄權(quán)限都設(shè)置為最低的0級(jí)，該級(jí)別只能執(zhí)行ping、tracert等操作，無法修改配置，也無法查看設(shè)備配置；另外設(shè)置超級(jí)密碼，登錄設(shè)備后再輸入超級(jí)密碼方可以查看配置，提高配置管理的安全性，超級(jí)密碼只有各辦公樓層信息科技部專門管理員才能獲取，分、支行維護(hù)人員沒有權(quán)限。（4）密碼的復(fù)雜性要求：要求密碼必須包含數(shù)字、特殊符號(hào)、字母，且長(zhǎng)度在位（含）以上。9xxx電視臺(tái)WLAN IP地址規(guī)范各樓層WLAN網(wǎng)絡(luò)無線控制器、AP管理地址，從辦公核心網(wǎng)分配的本樓層IP地址塊分配；10xxx電視臺(tái)WLAN 高可用性部署規(guī)范

22、10.1無線控制器高可用性部署規(guī)范在WLAN設(shè)計(jì)上建議對(duì)于重要的無線應(yīng)用單位部署2臺(tái)無線控制器，通過集群或熱備份模式實(shí)現(xiàn)WLAN的高可靠性和高可用性，從而保證業(yè)務(wù)和管理的可持續(xù)性。10.2信號(hào)高可用性部署規(guī)范在進(jìn)行WLAN的部署時(shí)建議采用無線信號(hào)的自動(dòng)補(bǔ)償技術(shù)的AP，要求當(dāng)其中一臺(tái)AP故障后，周邊的其他AP自動(dòng)調(diào)整發(fā)射功率，覆蓋故障AP的區(qū)域，確保該AP內(nèi)的無線終端設(shè)備正常接入無線網(wǎng)絡(luò)。10.3用戶負(fù)載高可用性部署規(guī)范無線終端設(shè)備在接入點(diǎn)上不均勻的分布通常會(huì)導(dǎo)致網(wǎng)絡(luò)負(fù)載嚴(yán)重不平衡，使用戶業(yè)務(wù)受到帶寬影響，甚至不能正常接入。在進(jìn)行WLAN的部署時(shí)建議采用集中式網(wǎng)絡(luò)架構(gòu)，集中式部署架構(gòu)可以很清楚地

23、知道每個(gè)區(qū)域的AP連接了多少個(gè)無線用戶，是否已經(jīng)達(dá)到用戶數(shù)的上限或帶寬的上限，其周邊還有沒有用戶數(shù)和帶寬較空閑的AP，可以有效的緩解單個(gè)AP的負(fù)擔(dān)，有效利用周邊整體AP的資源，從而確保每個(gè)需要接入網(wǎng)絡(luò)的用戶的正常數(shù)據(jù)訪問的質(zhì)量。11xxx電視臺(tái)WLAN 管理規(guī)范由于WLAN網(wǎng)絡(luò)涉及無線和有線的結(jié)合，需要同時(shí)對(duì)有線和無線信號(hào)進(jìn)行監(jiān)控和管理，為了保證網(wǎng)絡(luò)的運(yùn)維管理，需要配置相應(yīng)的無線網(wǎng)管系統(tǒng)，實(shí)現(xiàn)如下的管理能力。l 通過無線圖形界面管理，實(shí)現(xiàn)無線設(shè)備的精細(xì)管理：面板管理、故障管理、性能監(jiān)控、事件監(jiān)控、軟件版本管理、配置文件管理、接入用戶管理、用戶認(rèn)證管理等功能等。l 無線射頻管理：統(tǒng)一遠(yuǎn)程配置AP

24、的射頻功率、無線信道分配等參數(shù)，并可實(shí)時(shí)與設(shè)備保持配置信息的同步與更新。并根據(jù)需要運(yùn)行掃描以探測(cè)和定位非法無線接入點(diǎn)、非法用戶和非法網(wǎng)絡(luò)，并及時(shí)向網(wǎng)管員告警并給出處理建議。l 需要實(shí)時(shí)統(tǒng)計(jì)和監(jiān)視全網(wǎng)的設(shè)備工作狀態(tài)、資源利用、無線設(shè)備告警、信道使用情況、實(shí)時(shí)流量等多維度狀態(tài)，能全部以統(tǒng)計(jì)圖形直觀顯示給網(wǎng)管人員，特別便利于網(wǎng)管人員的日常管理工作。12xxx電視臺(tái)WLAN 產(chǎn)品要求及標(biāo)準(zhǔn)1、無線控制器：根據(jù)無線終端接入數(shù)量選擇相應(yīng)型號(hào)的無線控制器；支持瘦AP的本地?cái)?shù)據(jù)轉(zhuǎn)發(fā)；支持AC集群或熱備份冗余；支持WPA、WPA2安全標(biāo)準(zhǔn)；支持二三層漫游；2、無線接入點(diǎn)AP：支持802.11n支持雙頻支持POE

25、供電；支持瘦AP的本地?cái)?shù)據(jù)轉(zhuǎn)發(fā)；覆蓋性能：150Mbps/臺(tái)；用戶數(shù)量：32用戶/臺(tái)；支持WPA、WPA2安全標(biāo)準(zhǔn)；支持二三層漫游；13xxx電視臺(tái)WLAN 部署注意事項(xiàng)13.1頻率部署注意事項(xiàng)1、在一個(gè)AP覆蓋區(qū)最多可以提供3 個(gè)不重疊的信道同時(shí)工作。考慮到制式的兼容性，相鄰區(qū)域頻點(diǎn)配置時(shí)宜選用1，6，11 信道。2、根據(jù)經(jīng)驗(yàn)值，當(dāng)相鄰AP設(shè)定相同頻點(diǎn)時(shí), 要求間隔25米以上；當(dāng)相鄰AP設(shè)定相鄰頻點(diǎn)時(shí), 要求AP間隔15米以上；當(dāng)AP設(shè)定相隔頻點(diǎn)時(shí), 要求間隔12米以上。3、頻點(diǎn)配置時(shí)首先應(yīng)對(duì)目標(biāo)區(qū)域現(xiàn)場(chǎng)進(jìn)行頻率檢測(cè)，對(duì)于覆蓋區(qū)域內(nèi)已有AP采用的信道，應(yīng)盡量避免采用。4、對(duì)于室內(nèi)區(qū)域存在多套

26、室內(nèi)覆蓋系統(tǒng)的情況，應(yīng)充分考慮其他通信系統(tǒng)使用的頻段，設(shè)計(jì)時(shí)預(yù)留必要的保護(hù)頻帶，以滿足干擾保護(hù)比的要求。5、 系統(tǒng)設(shè)計(jì)時(shí)應(yīng)注意避免干擾源的影響。6、 AP部署自動(dòng)頻率調(diào)整功能，以防止同頻干擾。13.2信號(hào)衰減注意事項(xiàng)信號(hào)強(qiáng)度和傳輸距離的換算公式GtGrAP天線增益終端天線增益L信號(hào)總強(qiáng)度（dB）Gt（AP或終端功率，單位dB），Gr（終端或AP靈敏度，單位dB）距離產(chǎn)生的信號(hào)衰減公式：4020lgdL1（dB） d（距離，單位m）衰減物體信號(hào)衰減強(qiáng)度(dB)備注地板30帶窗戶的磚墻2辦公室墻6辦公室墻的金屬門6磚墻的金屬門12.4靠近金屬門的磚墻3Table 4 WLAN信號(hào)衰減對(duì)應(yīng)表13.3

27、頻率規(guī)劃注意事項(xiàng)1、在一個(gè)AP覆蓋區(qū)最多可以提供3 個(gè)不重疊的信道同時(shí)工作?？紤]到制式的兼容性，相鄰區(qū)域頻點(diǎn)配置時(shí)宜選用1，6，11 信道。2、根據(jù)經(jīng)驗(yàn)值，當(dāng)相鄰AP設(shè)定相同頻點(diǎn)時(shí), 要求間隔25米以上；當(dāng)相鄰AP設(shè)定相鄰頻點(diǎn)時(shí), 要求AP間隔15米以上；當(dāng)AP設(shè)定相隔頻點(diǎn)時(shí), 要求間隔12米以上。3、頻點(diǎn)配置時(shí)首先應(yīng)對(duì)目標(biāo)區(qū)域現(xiàn)場(chǎng)進(jìn)行頻率檢測(cè)，對(duì)于覆蓋區(qū)域內(nèi)已有AP采用的信道，應(yīng)盡量避免采用。4、對(duì)于室內(nèi)區(qū)域存在多套室內(nèi)覆蓋系統(tǒng)的情況，應(yīng)充分考慮其他通信系統(tǒng)使用的頻段，設(shè)計(jì)時(shí)預(yù)留必要的保護(hù)頻帶，以滿足干擾保護(hù)比的要求。5、室內(nèi)AP覆蓋區(qū)頻點(diǎn)配置時(shí)應(yīng)充分利用建筑物內(nèi)部結(jié)構(gòu)，從平層和相鄰樓層的角度盡量避免每一個(gè)AP所覆蓋的區(qū)域?qū)M向和縱向相鄰區(qū)域可能存在的干擾。6、系統(tǒng)設(shè)計(jì)時(shí)應(yīng)注意避免干擾源的影響。7、AP部署自動(dòng)頻率調(diào)整功能，以防止同頻干擾。13.4服務(wù)指標(biāo)注意事項(xiàng)l 覆蓋指標(biāo)對(duì)有業(yè)務(wù)需求的樓層和區(qū)域進(jìn)行覆蓋。目標(biāo)覆蓋區(qū)域內(nèi)95以上的位置，接收信號(hào)電平-75dBm；其中對(duì)重點(diǎn)目標(biāo)覆蓋區(qū)域的覆蓋電平指標(biāo)：重點(diǎn)區(qū)域內(nèi)95%以上的位置，接收信號(hào)電信-70dBm。l 信號(hào)質(zhì)量目標(biāo)覆蓋區(qū)域內(nèi)95%以上位置，用戶終端接收到的下行信號(hào)S/N 值10dB。l 速率指標(biāo)在目標(biāo)覆蓋區(qū)內(nèi)，單用戶接入最低業(yè)務(wù)速率5Mbps。l 信號(hào)外泄室內(nèi)無線信號(hào)泄露到室外10m 處的強(qiáng)度不高于-75dB13.5A