華為無線解決方案

1、 文檔編號(hào)201111171密級(jí)CRM項(xiàng)目技術(shù)類文檔xx集團(tuán)華為無線覆蓋方案設(shè)計(jì)Version 1.02013年3月目 錄1概述32xx集團(tuán) WLAN網(wǎng)絡(luò)設(shè)計(jì)方案32.1網(wǎng)絡(luò)設(shè)計(jì)原則32.2無線信號(hào)質(zhì)量分析32.3無線網(wǎng)絡(luò)總體架構(gòu)52.4無線設(shè)計(jì)52.5SSID規(guī)劃72.6無線安全性設(shè)計(jì)72.6.1WLAN終端認(rèn)證72.6.2用戶身份驗(yàn)證82.6.3組網(wǎng)保護(hù)82.6.4接入安全方案92.7移動(dòng)漫游設(shè)計(jì)93華為WLAN解決方案的優(yōu)勢(shì)104華為WLAN設(shè)備關(guān)鍵特性124.1華為AP介紹124.2華為 AC介紹121 概述無線局域網(wǎng)（WLAN）技術(shù)于20世紀(jì)90年代逐步成熟并投入商用，既可以作傳統(tǒng)有

2、線網(wǎng)絡(luò)的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線網(wǎng)絡(luò)。無線局域網(wǎng)具有以下顯著特點(diǎn)：Ø 簡(jiǎn)易性：WLAN網(wǎng)橋傳輸系統(tǒng)的安裝快速簡(jiǎn)單，可極大的減少敷設(shè)管道及布線等繁瑣工作；Ø 靈活性：無線技術(shù)使得WLAN設(shè)備可以靈活的進(jìn)行安裝并調(diào)整位置，使無線網(wǎng)絡(luò)達(dá)到有線網(wǎng)絡(luò)不易覆蓋的區(qū)域；Ø 綜合成本較低：一方面WLAN網(wǎng)絡(luò)減少了布線的費(fèi)用，另一方面在需要頻繁移動(dòng)和變化的動(dòng)態(tài)環(huán)境中，無線局域網(wǎng)技術(shù)可以更好地保護(hù)已有投資。同時(shí)，由于WLAN技術(shù)本身就是面向數(shù)據(jù)通信領(lǐng)域的IP傳輸技術(shù)，因此可直接通過百兆自適應(yīng)網(wǎng)口和企業(yè)、內(nèi)部Intranet相連，從體系結(jié)構(gòu)上節(jié)省了協(xié)議轉(zhuǎn)換器等相關(guān)設(shè)備；&#

3、216; 擴(kuò)展能力強(qiáng)：WLAN網(wǎng)橋系統(tǒng)支持多種拓?fù)浣Y(jié)構(gòu)及平滑擴(kuò)容，可以十分容易地從小容量傳輸系統(tǒng)平滑擴(kuò)展為中等容量傳輸系統(tǒng)；2 xx集團(tuán) WLAN網(wǎng)絡(luò)設(shè)計(jì)方案2.1 網(wǎng)絡(luò)設(shè)計(jì)原則此次無線局域網(wǎng)建設(shè)有以下需求：1. 利用無線網(wǎng)技術(shù)實(shí)現(xiàn)無線覆蓋，使員工能夠隨時(shí)隨地、方便高效地訪問Internet。2. 實(shí)現(xiàn)無線上網(wǎng)用戶的認(rèn)證，銷戶，監(jiān)控等功能。3. 對(duì)于無線AP設(shè)備實(shí)施統(tǒng)一管理和監(jiān)控。4. 無線網(wǎng)絡(luò)的部署需要考慮簡(jiǎn)單方便，天線需要采取比較友好的設(shè)計(jì)，不能讓用戶感受到壓力。5. 關(guān)注安全性，無線用戶之間彼此隔離，防止ARP攻擊，并限制上網(wǎng)流量。6. 無線AP全部采用POE交換機(jī)供電。2.2 無線信號(hào)

4、質(zhì)量分析下圖為WLAN信道分配情況，在2.4GHz-2.4835GHz范圍內(nèi)共13個(gè)相鄰子信道，一般不相干擾的復(fù)用信道組合為（1，6，11）或（1，7，13）2.4122.4172.4222.4322.4422.4522.4622.4722.4842.4272.4372.4472.4572.4672345178910611121314下表中體現(xiàn)的是三種頻率間隔情況下，隨著兩AP間距的變化，終端連接信號(hào)質(zhì)量及吞吐量的變化。顏色代表適配卡配置軟件中，檢視連接信號(hào)質(zhì)量窗口顯示的顏色。表格中數(shù)值表示吞吐量，單位為kbytes/s。在多用戶情況下，實(shí)際情況會(huì)更差些。上述數(shù)據(jù)僅供參考，實(shí)際網(wǎng)絡(luò)需根據(jù)測(cè)試結(jié)

5、果確定。2.3 無線網(wǎng)絡(luò)總體架構(gòu)1. 采用AC6605-26-PWR作為本次無線覆蓋項(xiàng)目的無線控制器2. 采用AP3010DN-AGN作為本次無線覆蓋的室內(nèi)無線接入點(diǎn). 3. 采用S2700-9TP-PWR-EI作為POE接入交換機(jī)4. 采用S5700-28C-SI作為無線網(wǎng)絡(luò)的核心交換機(jī)5采用USG2210作為網(wǎng)絡(luò)防火墻接入internet.整體拓?fù)鋱D如下我們?cè)O(shè)計(jì)采用PoE供電方式，由S2700為華為的無線AP進(jìn)行供電，以超五類網(wǎng)線互聯(lián)，最后通過樓層接入交換機(jī)連接入核心交換機(jī)，無線控制器與核心交換機(jī)互聯(lián)，無線控制器通過管理VLAN管理無線AP，最后通過防火墻連接Internet。這樣整個(gè)無線

6、網(wǎng)可以實(shí)施靈活的無線劃分。2.4 無線設(shè)計(jì)根據(jù)無線網(wǎng)絡(luò)需求及實(shí)地的測(cè)試堪察，并結(jié)合以往的工程經(jīng)驗(yàn)，對(duì)無線網(wǎng)絡(luò)做出以下規(guī)劃3層布點(diǎn)：6層布點(diǎn)：7層布點(diǎn)：設(shè)備清單：序號(hào)型號(hào)產(chǎn)品名稱數(shù)量單價(jià) 合計(jì) 設(shè)備單價(jià)一、防火墻1USG2210USG2210 交流主機(jī)-含HS通用安全平臺(tái)軟件1二、核心交換機(jī)1S5700S-28P-LI-ACS5700S-28P-LI-AC主機(jī)(24千兆R(shí)J45,4千兆SFP,交流供電)12LS5M100PWA00交流電源模塊組件23eSFP-GE-SX-MM850光模塊-eSFP-GE-多模模塊(850nm,0.5km,LC24ST-LC千兆多模光纖跳線，3米25LC-LC千兆

7、多模光纖跳線，3米1三、接入核心交換機(jī)1S2700-9TP-PWR-EIS2700-9TP-PWR-EI主機(jī)(8百兆R(shí)J45,1千兆Combo,PoE,交流供電)32eSFP-GE-SX-MM850光模塊-eSFP-GE-多模模塊(850nm,0.5km,LC23ST-LC千兆多模光纖跳線，3米24LC-LC千兆多模光纖跳線，3米1四、無線AC1AC6605-26-PWRAC6605-26-PWR-64AP組合配置(含AC6605-26-PWR主機(jī))12ES0W2PSA0150150W 交流電源模塊13L-AC6605-16APAC6605無線接入控制器AP資源授權(quán)(16 AP)1五、無線AP

8、1AP3010DN-AGNAP3010DN-AGN組合配置(11n,室內(nèi)普通型,2x2單頻,內(nèi)置天線,50mW,)13六、SI服務(wù)1調(diào)試費(fèi)SI人工1七弱電布線1康普六類非屏蔽網(wǎng)線22康普六類24口配線架23康普六類模塊134康普六類2米軟跳線275康普雙孔面板136PVC阻燃線管、明線盒等17施工費(fèi)（鋪管、布線、端接、測(cè)試）138無線AP設(shè)備加固及安裝13總價(jià)2.5 SSID規(guī)劃從用戶使用安全角度考慮。使用上網(wǎng)業(yè)務(wù)人群主要分為三類（公司員工（8M），外來人員(5M)，開會(huì)人員(2M)），因此建議建立3個(gè)SSID ，方便管理及增加安全性。1、限速（512k）2、2.6 無線安全性設(shè)計(jì)2.6.1

9、WLAN終端認(rèn)證IEEE 802.11標(biāo)準(zhǔn)要求WLAN終端在準(zhǔn)備連接到網(wǎng)絡(luò)時(shí)，必需進(jìn)行“身份驗(yàn)證”。WLAN終端身份認(rèn)證主要有兩種方式：開放系統(tǒng)認(rèn)證（Open-system Authentication）和共享密鑰認(rèn)證（Shared-Key Authentication）。開放系統(tǒng)認(rèn)證是IEEE 802.11標(biāo)準(zhǔn)要求必備的一種方法，是最簡(jiǎn)單的認(rèn)證算法，即不認(rèn)證。如果認(rèn)證類型設(shè)置為開放系統(tǒng)認(rèn)證，則所有請(qǐng)求認(rèn)證的客戶端都會(huì)通過認(rèn)證。在這種方式下，接入點(diǎn)并未驗(yàn)證工作站的真實(shí)身份，工作站以MAC地址作為身份證明，這種驗(yàn)證方式可以讓所有符合802.11標(biāo)準(zhǔn)的終端都可以接入到WLAN網(wǎng)絡(luò)中來。開放系統(tǒng)身份

10、驗(yàn)證比較適合有眾多用戶的電信運(yùn)營(yíng)WLAN網(wǎng)絡(luò)。共享密鑰式認(rèn)證必需使用加密方式，要求每個(gè)WLAN終端都鏡頭配置和AP完全一致的密鑰（key）。由于配置工作量較大，一般適用于企業(yè)網(wǎng)、校園網(wǎng)及家庭網(wǎng)絡(luò)等。二者對(duì)比如下：認(rèn)證方式優(yōu)點(diǎn)劣勢(shì)適用場(chǎng)景開放式系統(tǒng)認(rèn)證部署簡(jiǎn)單，終端接入速度快，有效帶寬高安全性差：無法檢驗(yàn)客戶端是否合法，任何知道無線局域網(wǎng)SSID 的用戶都可以訪問網(wǎng)絡(luò)電信運(yùn)營(yíng)網(wǎng)絡(luò)共享密鑰式認(rèn)證安全性較高：采用了加密方式對(duì)密鑰進(jìn)行保護(hù)，空口密鑰數(shù)據(jù)不再明文傳輸配置復(fù)雜，可擴(kuò)展性不佳：每臺(tái)終端和AP上都需要靜態(tài)配置一個(gè)很長(zhǎng)的密鑰字符串有效帶寬較低：加密降低了傳輸效率企業(yè)網(wǎng)、校園網(wǎng)及家庭網(wǎng)絡(luò)等 2.6

11、.2 用戶身份驗(yàn)證相對(duì)于簡(jiǎn)單的STA身份驗(yàn)證過濾機(jī)制，鏈路層用戶身份驗(yàn)證的安全性大大提高。通過提供有限的訪問權(quán)限來驗(yàn)證用戶身份，只有確定用戶身份后才給予完整的網(wǎng)絡(luò)訪問權(quán)限，可有效判別用戶的合法性。鏈路層身份驗(yàn)證時(shí)透明的，能配合任何網(wǎng)絡(luò)層協(xié)議使用。WLAN的鏈路層身份驗(yàn)證主要有Portal(DHCP+WEB)、802.1X、PPPoE、WAPI等幾種認(rèn)證方式。2.6.3 組網(wǎng)保護(hù)華為AC產(chǎn)品接口豐富，支持LACP（Link Aggregation Control Protocol，以下簡(jiǎn)稱LACP）和MSTP（Multiple Spanning Tree Protocol，以下簡(jiǎn)稱MSTP）等組

12、網(wǎng)保護(hù)機(jī)制，可提供端口級(jí)冗余保護(hù)，及設(shè)備級(jí)1+1快速備份。2.6.4 接入安全方案華為AC均支持開放系統(tǒng)認(rèn)證、WEP加密、共享密鑰認(rèn)證、WPA/WPA2認(rèn)證合加密、WAPI認(rèn)證加密等無線接入安全特性。特性指標(biāo)WLAN安全模板管理u 支持通過WLAN安全模板管理認(rèn)證和加密方式。u 支持安全模板綁定到ESS模板。u 最多支持256個(gè)AP配置模板。OPEN-SYS方式認(rèn)證支持“OPEN-SYS認(rèn)證+無加密”方式。WEP認(rèn)證加密u 支持WEP的認(rèn)證/加密方式。u 每個(gè)AP最多支持4個(gè)WEP加密方式的VAP。u WEP認(rèn)證加密在AP實(shí)施，認(rèn)證結(jié)果通知AC。WPA/WPA2認(rèn)證加密u 支持AC集中認(rèn)證方式

13、。u 支持“WPA/WPA2-PSK+TKIP”的認(rèn)證/加密方式。u 支持“WPA/WPA2-PSK+CCMP”的認(rèn)證/加密方式。u 支持“WPA/WPA2-802.1x+TKIP”的認(rèn)證/加密方式。u 支持“WPA/WPA2-802.1x+CCMP”的認(rèn)證/加密方式。WAPI認(rèn)證加密u 支持AC集中式WAPI認(rèn)證。u 支持WAPI多信任證書方式（3證書），兼容傳統(tǒng)雙證書方式。u 支持證書和私鑰合一的發(fā)放方式。u 支持WAPI加密的啟用/禁用。2.7 移動(dòng)漫游設(shè)計(jì)無線用戶移動(dòng)漫游，涉及到多個(gè)層次的漫游，最為簡(jiǎn)單的是二層漫游，其他廠家產(chǎn)品都表現(xiàn)不錯(cuò)，三層漫游就困難多了，還有當(dāng)用戶跨越多個(gè)域時(shí)怎樣

14、無縫漫游，華為無線局域網(wǎng)可以實(shí)現(xiàn)快速無縫漫游功能。L2/L3層漫游在傳統(tǒng)的無線局域網(wǎng)內(nèi)，無線終端要跨越不同AP之間漫游是有一定的困難，因?yàn)椴煌珹P之間，它的無線用戶IP子網(wǎng)可能都不是在同一個(gè)VLAN內(nèi)。所以當(dāng)無線終端從一個(gè)AP漫游到另一AP時(shí)，由于它們之間的缺省IP子網(wǎng)不同，無線終端會(huì)重新發(fā)出DHCP請(qǐng)求，這樣的話終端的IP地址就會(huì)更新，所有在原先AP建立的連接都會(huì)被切斷。過去為了解決跨越三層的漫游，有些用戶采用了Mobile IP的技術(shù)，但Mobile IP的缺點(diǎn)是它必須在無線終端安裝軟件。這是一般網(wǎng)絡(luò)管理人員不愿意做的事情，因?yàn)樗鼈兙捅仨氈С趾途S護(hù)用戶的無線接入端。通過華為無線系統(tǒng)，可解決

15、了跨越不同三層IP子網(wǎng)的無線漫游問題。 在不同域之間的用戶認(rèn)證和漫游在大型網(wǎng)絡(luò)內(nèi)，一般都有很多不同的部門，部門內(nèi)通常都有自己的用戶數(shù)據(jù)庫，即所謂的本地認(rèn)證服務(wù)器。在實(shí)現(xiàn)應(yīng)用時(shí)，要求有單一的認(rèn)證數(shù)據(jù)庫是未必可行的，但同時(shí)無線用戶應(yīng)是可在內(nèi)無縫漫游。 當(dāng)用戶不是在本地入網(wǎng)或是從一個(gè)部門的接入點(diǎn)漫游到另一部門的接入點(diǎn)需要重新認(rèn)證時(shí)，如果用戶名和密碼在當(dāng)?shù)氐臄?shù)據(jù)庫是不存在的話，則用戶會(huì)被斷線。要做到真正的無縫漫游，則需要有支持Radius 代理這樣的功能。但由于不是所有的認(rèn)證服務(wù)器都支持這種功能所以在具體實(shí)施時(shí)也有一定的困難。華為本身就可提供不同域之間的認(rèn)證功能，域名可以與SSID綁定，亦可以讓用戶在

16、登陸網(wǎng)頁時(shí)輸入或選擇域名。華為會(huì)把在不同域之間的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到對(duì)應(yīng)這域的radius服務(wù)器處理。3 華為WLAN解決方案的優(yōu)勢(shì)華為是全球領(lǐng)先的電信解決方案供應(yīng)商，是全I(xiàn)P融合時(shí)代的領(lǐng)導(dǎo)者。華為的產(chǎn)品和解決方案已經(jīng)應(yīng)用于全球100多個(gè)國(guó)家，服務(wù)全球運(yùn)營(yíng)商50強(qiáng)中的45家及全球1/3的人口，與聯(lián)通集團(tuán)和北京聯(lián)通擁有長(zhǎng)期穩(wěn)定而緊密的合作。華為對(duì)北京聯(lián)通現(xiàn)網(wǎng)組網(wǎng)方案、設(shè)備形態(tài)乃至業(yè)務(wù)模型有著深刻的認(rèn)識(shí)，華為有能力更有意愿幫助北京聯(lián)通從全網(wǎng)端到端的角度提供最優(yōu)的WLAN解決方案，分享自己對(duì)全球?qū)φ麄€(gè)寬帶網(wǎng)絡(luò)技術(shù)發(fā)展變化以及未來移動(dòng)寬帶數(shù)據(jù)業(yè)務(wù)發(fā)展趨勢(shì)的理解。華為早在2000年就投入WLAN 技術(shù)和產(chǎn)品領(lǐng)

17、域的研發(fā)，是國(guó)內(nèi)首批成為WiFi成員以及WAPI 聯(lián)盟成員的廠商。華為也是國(guó)內(nèi)WLAN 相關(guān)標(biāo)準(zhǔn)制定的積極參與者，與運(yùn)營(yíng)商合作先后共同推出了基于SIM認(rèn)證和Web認(rèn)證的標(biāo)準(zhǔn)以及相關(guān)WLAN 企業(yè)標(biāo)準(zhǔn)。 華為WLAN 技術(shù)預(yù)研團(tuán)隊(duì)，在802.11s Mesh 、智能控制和算法等前沿領(lǐng)域深入研究，先后注冊(cè)和獲得專利近百項(xiàng)。長(zhǎng)期以來，華為持續(xù)關(guān)注WLAN網(wǎng)絡(luò)從企業(yè)網(wǎng)向電信運(yùn)營(yíng)網(wǎng)絡(luò)的演進(jìn)，聚焦WLAN組網(wǎng)模式變化中形成新問題、新需求，敏銳把握并及時(shí)推出契合WLAN電信運(yùn)營(yíng)需要的解決方案，率先推出基于FTTx+WLAN+3G FMC融合的電信運(yùn)營(yíng)級(jí)WLAN解決方案，首創(chuàng)基于BRAS和OLT的業(yè)務(wù)融合型A

18、C，首推業(yè)內(nèi)容量第一的大容量、可擴(kuò)展的插卡式AC，目前華為802.11n全系列智能AP產(chǎn)品已規(guī)模上市：l 盒式AC 容量達(dá)到業(yè)界一流標(biāo)準(zhǔn)，支持CAPWAP硬件轉(zhuǎn)發(fā)，性能強(qiáng)勁，可靈活應(yīng)用于直連式或旁掛式組網(wǎng)，自信面對(duì)11n時(shí)代海量數(shù)據(jù)的洶涌沖擊；支持設(shè)備級(jí)和端口級(jí)冗余備份，完全滿足電信運(yùn)營(yíng)網(wǎng)絡(luò)的高可靠性要求l 插卡式AC最大容量可達(dá)14K，業(yè)內(nèi)第一，可直連BRAS，減少用于業(yè)務(wù)控制的網(wǎng)元數(shù)量，簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)，部署快捷、擴(kuò)容方便；優(yōu)化業(yè)務(wù)控制，降低AC與AP中間網(wǎng)絡(luò)設(shè)備的功能性能要求 l 基于ME60的業(yè)務(wù)融合型AC ，減少網(wǎng)元數(shù)量，簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)，業(yè)務(wù)控制層面的融合，最大可支持4K AP的管理，可應(yīng)

19、用于大規(guī)模WLAN組網(wǎng)，集成ME60 自身的高可靠、高性能、強(qiáng)大的業(yè)務(wù)控制能力以及豐富的網(wǎng)絡(luò)接口，全網(wǎng)可靠性高l FTTW承載WLAN業(yè)務(wù)數(shù)據(jù)，利用光纖接入網(wǎng)絡(luò)支持WLAN網(wǎng)絡(luò)的廣域部署；通過無源光配線網(wǎng)絡(luò)，減少有源設(shè)備的使用，簡(jiǎn)化網(wǎng)絡(luò)層次，提高整網(wǎng)可靠性；通過PON網(wǎng)絡(luò)P2MP的網(wǎng)絡(luò)結(jié)構(gòu)和高帶寬、大分光比的特質(zhì)，可靈活擴(kuò)展，支持802.11b/g網(wǎng)絡(luò)向802.11n網(wǎng)絡(luò)的平滑演進(jìn)l 智能天線技術(shù)，密切監(jiān)控覆蓋區(qū)域內(nèi)WLAN終端，隨動(dòng)轉(zhuǎn)向、定向增益，強(qiáng)力抑制干擾信號(hào)，大大降低同頻干擾機(jī)率，在同頻干擾環(huán)境中，吞吐率相對(duì)普通全向天線AP高出70%l AP智能化，開通配置零接觸，即插即用；胖瘦一體自適應(yīng)；獨(dú)有負(fù)載均衡算法，完美削峰填谷；智能選擇信道，自動(dòng)調(diào)整AP功率、速率，綠色節(jié)能；可大大簡(jiǎn)化部署和運(yùn)維成本4 華為WLAN設(shè)備關(guān)鍵特性4.1 華為AP介紹A