无线大楼方案.docx

无线网络方案建议书目录1.1. 无线网络整体描绘31.1.1. 无线网络规划实行问题31.1.2. 无线网络选择的重点要素41.1.2.1. 无线网络架构选择41.1.2.2. 无线AP的部署模式51.1.2.3. 无线网络安全问题71.1.2.4. 设施安全71.1.2.5. 用户接入安全81.1.2.6. 网络安全81.1.3. 无线接入设计91.2. 无线认证方案101.2.1. H3C WLAN用户接入认证功能概括101.2.2. Portal 认证（Web 认证）101.2.2.1. Portal 功能特点121.2.3. 802.1x 接入认证131.2.4. MAC接入认证141.2.5. 无线网络管理错误！不决义书签。1.2.5.1. 无线有线一体化管理错误！不决义书签。1.2.5.2. 多样化的拓扑管理错误！不决义书签。1.2.5.3. RF覆盖管理和无线网络规划错误！不决义书签。1.2.5.4. 无线入侵检测和防备错误！不决义书签。1.2.5.5. 丰富的无线统计报表错误！不决义书签。1.2.5.6. 资源分组管理错误！不决义书签。1.2.5.7. AC设施管理 错误！不决义书签。1.2.5.8. FIT AP设施管理 错误！不决义书签。1.2.5.9.挪动终端管理 错误！不决义书签。1.2.6. H3C无线网络特点错误！不决义书签。1.1.无线网络整体描绘Internet弱电间1弱电间2弱电间3弱电间4采纳 WX3024E个无线AP。无线控制器，自带24个无线AP管理受权，最高可管理 96室内无线AP采纳WA2620i双频11n产品，并采纳千兆接口与POE互换机进行 互联；采纳WA1208E室内无线AP经过室分方式对办公室进行无线信号 覆盖，采纳千兆接口与POE互换机进行互联。供给S5120-28C-PER-EI 对无线AP实现POE远程供电。1.1.1.无线网络规划实行问题无线网络实行也是需要解决的问题，概括起来，主要有以下三点：无线实行过程中怎样解决信号覆盖盲点问题建筑物的不一样材质的墙壁会对无线信号的传输造成不一样程度的影响，在实行 的过程中，特别是在部署成大批AP时，怎样实现盲点覆盖是一定考虑的问题。怎样解决无线AP供电问题很多楼宇在开始建楼时并无考虑到无线网络的部署问题，也就没有预留出电源 供无线AP使用，假如从头改造电源线路，施工成本必定提高。AP之间的扰乱问题在必定的空间内部署多个 AP，信号会有互相交织重叠，进而造成信号扰乱。 怎样解决，需要关注。1.1.2.无线网络选择的重点要素1.1.2.1.无线网络架构选择无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。第一代无线局域网主假如采纳Fat AP （即"胖” AP），每一台AP都要独自进行配 置，费时、费劲、费成本；第二代无线局域网融入了无线网关功能但仍是不可以集中进行管理和配置，其管理性 和安全性以及对有线网络的依靠成为了第一代和第二代WLAN产品发展的瓶颈，因为这一 代技术的AP储藏了大批的网络和安全的配置，包含加密的钥匙，Radius client的安全密码 （secret）等，而AP又是分别在建筑物中的各个地点，一旦AP的配置被偷取读出 并改正，其无线网络系统就失掉了安全性。此外因为 AC或无线网关的硬件多半是鉴于 Pentium架构的，所以当用户接入数目（IP sessions）增加时，无线网的性能会急剧降落， 经常会发生掉线或死机状况。在这样的环境下，鉴于无线互换机技术的第三代WLAN产品应运而生。第三代无线局域网采纳无线互换机和FIT AP （即“瘦” AP）的架构，对传统WLAN设施的功能做了从头区分，将密集型的无线网络和安全办理功能转移到集中的无线控制 器（以下简称AC）中实现，同时加入了很多重要新功能，诸如无线网管、AP间自适应、无线安管、RF监测、无缝遨游以及Qos。，使得无线局域网的网络性能、网络管理和安 全管理能力得以大幅提高。下表个Fit AP架构与Fat AP架构的技术对照表业界主流技术，先进的 WLAN架构。初期WLAN技术架构。AP零配置，易安装，软件/配置批量升级。AP不支持零配置，需要早先设置好配置文件，每AP独自安装置置。AC主要达成用户考证、安全管理、挪动管理， RF管理等经过，不单能够经过更强的硬件平台实 现更复杂算法，并使得多AP共同的优化算法实现 成为可能，能够有效提高系统的功能和性能；AP 仅需实现物理层功能和MAC中帧办理等高及时要求 功能，AP侧无线办理能力极大提高。一级计算系统，射频、遨游、加密、 用户管理等功能所有在AP上实现，没法共 同计算，AP侧关于无线办理能力较低。管理节点上移后，管理数据收集将针对AC而非AP，网管系统受限于AP办理能力和性能的问 理 得以解决，更复杂的管理逻辑成为可能；网管管理经过AC强盛的计算能力管理所有AP。每个AP对外显示是独自的网元，管成本和难度大大增添。题自动信道分派和选择、自动功率调整、智能负载平衡没法实现信道自动分派、功率自动调 整和鉴于用户数或许流量的负载平衡更强的安全策略，支持WIDS ；瘦AP防盗性强，不丢掉配置数据。不支持WIDS，AP被盗后能够照旧使 用，配置数据会丢掉。支持加密状态下的三层遨游不支持三层遨游Fit AP技术带来的AP零配置、即联即用、一致管理等便利，使得WLAN网络能够获 取大规模的应用部署。而Fat AP技术每个AP都要独立配置，没法一致管理，这就决定了 Fat AP技术的限制性。而Fit AP则更为的切近用户的需求同时，Fit AP架构，也很好解决了用户的无线遨游问题。所以本次组网采纳FIT AP+AC的模式。1.1.2.2.无线AP的部署模式目前无线AP在大楼内，有2种部署方式，室内散布和放装。办公室办公室2办公室3办公室4办公室5办公室6办公室7办公室8办公室9办公室1。办公室11办公室12以下图，该种方式为室内散布的方式，AP接功分器，而后在每一个办公室都搁置 天线。室分型一般是与营运商G网合路组网用，往常采纳大功率AP解决低成本大范 围低密度覆盖问题。大功率AP内置功率放大器和检波反应回路，很大程度上防止了小 功率AP功放致使的信号失真状况。办公室1办公室2办公室3办公室4办公室5办公室6,|I < 1L1走廊走廊走廊- 1办公窒7办公室8办公室9办公室1。办公室11办公室12以下图，放装的方式就是经过部署数日许多的AP，以知足无线的覆盖需求。相关于室 内散布型都是大功率的（发射功率一般500毫瓦），而室内放装型都是小功率的（发射功 率一般100 200毫瓦）。1、802.11n直接覆盖方案：所有AP所有采纳双频802.11n产品，配合双频 网卡及千兆POE互换机。打造一个高带宽、广覆盖、密接入无线网络，切合应用需要。 为介绍方案。2、802.11n AP+室分系统覆盖方案：采纳协议，每个AP接多个天线， 形成室内散布系统覆盖方案，天线采纳室内美化天线，贴在房间内的墙壁上，设施隐蔽 安装在天花板内。此方案能信号平均散布，能够保证覆盖的成效，同时，因为跨AP间的遨 游减少，网络更为稳固。1.1.2.3. 无线网络安全问题因为无线电波的开放性，任何人都能监听到信道中无线数据的传输，这就对无线网 络的安全性提出了更高的要求。怎样保证WLAN网络的安全性向来是WLAN技术在应用推行中面对的最大阻碍。IEEE标准组织及WI-FI结盟为此向来在进行着努力，先后推出了 WEP、WPA、等安全标 准，逐渐实现了 WLAN网络安全性的提高。但802.11i其实不是WLAN安全的终极标 准，针对802.11i标准的不完美之处，中国在无线局域网国家标准GB15629.11-2003中提 出了安全等级更高的WAPI（无线局域网鉴识与保密基础构造）体制，来实现无线局域网的安 全。WAPI采纳国家密码管理委员会办公室同意的公钥密码系统（椭圆曲线密码算法和 对称密码系统的分组密码算法），分别用于 WLAN接入设施的数字证书、证书鉴识、密 钥磋商和传输数据的加解密，进而实现设施的身份鉴识、链路考证、接见控制和用户信 息在无线传输状态下的加密保护。高安全性/复杂度的加密算法、支持双向鉴识、使用数字证书、支持完美的鉴识协议 等是WAP【相关于802.11i的优势，也是目前业界最初进的WLAN网络安全标准。可是，网络安全应当作为一个整体系统，不不过关注安全标准，更要着重分层实行安全策略。所以，在这里创新性的提出了分层的安全系统架构，将WLAN的安全从单调的 物理层安全延长到设施安全、用户接入安全、网络层安全、管理安全等多个层面上，使用户 在使用WLAN网络时能够像使用有线网络同样安全靠谱。1.1.2.4. 设施安全H3C无线所供给的无线产品应当能够经过以下手段来保证设施的安全靠谱性:AP零配置传统的FAT AP组网模式要求在AP上配置并保留业务参数，一旦设施丢掉，AP的配 置信息便可能泄露，形成安全破绽。FIT AP不保留业务配置，这样能够有效防止设施丢 失造成安全隐患。AP身份认证无线控制器+ FIT AP组网时，需要早先在无线控制器上输入 AP序列号，防备非法 FIT AP接入。无线控制器冗余备份AP能够依据配置选择最合适接入的无线控制器，将其余无线控制器作为备份。 主用控制器故障时，AP会自动和备份无线控制器成立连结，提高了网络的靠谱性。1.1.2.5. 用户接入安全关于大楼内的无线用户接入，建议采纳以下 2种方案进行身份认证。关于内部办公用户，采纳客户端软件进行认证并绑定MAC地点，并动向控制用户权 限。接入认证解决了用户的身份考证问题，经过和AAA服务器配合，无线设施应能支持对 认证用户动向下发带宽、VLAN、ACL、优先级等参数，给不一样的用户分派不一样的权 限。关于访客和暂时办公人员，则经过早先设置好的公用帐号进行认证，不再绑定MAC地点。1.1.2.6. 网络安全为了保证无线用户之间以及其连结的整个网络的安全，不过保证接入点的安全性是远远不够的。应当从整个网络的安全角度出发，在以下几方面着手部署网络安全举措：无线入侵检测系统H3C无线产品支持完美的无线入侵检测系统，能有效地供给无线攻击检测和防备， 支持非法AP检测、白名单功能、黑名单功能、无线协议攻击防守等功能，无线产品应 该支持多种攻击的检测，比如DOS攻击，Flood攻击，去认证、去连结报文的仿冒检测， 以及无线用户Weak IV检测。智能流量控制H3C的无线控制器能够支持针对AP的下行流量限速，能够保证发往AP的流量被限 制在AP办理能力范围以内，进而提高整个无线网络的安全靠谱性。安全管理H3C的无线设施能够支持完美的安全管理配置和告警，能够实现无线安全策略配 置、非法设施监控和告警、设施信道调整告警等功能，极大简化 WLAN设施的保护管理 工作量，提高了设施使用的效率。1.1.3.无线接入设计鉴于网络的先进性考虑，本次无线网络项目采纳目前主流的无线控制器+FIT AP的架 构，在实现对大楼进行信号无缝覆盖的同时，又能够实现对无线网络的灵巧管理配置，提高 网络保护效率无线AP均供给千兆接口，经过千兆链路与POE互换机互联。供电问题解决无线AP供电问题，是保障无线AP部署地点灵巧性的重要前提。这就要求AP在 拥有当地供电能力的同时，能够经过POE实现远程供电。目前有两类解决方案，POE供电 模块和POE供电互换机。为了保证POE供电的靠谱性，采纳POE供电互换机为单路无线 AP供给电源是首选，POE互换机采纳一体化的设计，相对供电模块减少了保护的环节，为未来网络的保护和排查供给了便利。本次项目采纳POE供电互换机设施进行 供电。1.1.4.无线接入详细方案本次项目计划无线覆盖总合6层，采纳放装方式在每层楼的走廊上搁置4台AP实现无线覆盖。总合24个AP,采纳AC ( WX3024E )进行集中管控，WX3024E自带24个千兆 电口，支持POE供电，AP可直接经过AC进行直接供电。AP采纳 WA2620i，支持802.11n , 双频双模，单频速率可达300M，完整知足平时办公的需求。1.2.无线认证方案1.2.1. H3C WLAN 用户接入认证功能概括用户接入认证用户接入认证明现了对接入用户的身份认证，为网络服务供给了安全保护。H3C无线接入认证主要有802.1x接入认证、PSK认证、MAC接入认证以及有线网络常用的portal 认证和PPPOE/L2TP认证，H3C的无线产品还能够支持国家WAPI标准规定的终端接入认 证协议。在下文中不过详尽描绘802.1x接入认证、PSK认证、MAC接入、Portal认证、PPPOE/L2TP 认证等。动向控制用户权限接入认证只解决了用户的身份考证问题，而没法对不一样身份的用户供给不一样样 级的服务和接见权限，经过和AAA服务器配合，H3C的无线设施支持对认证用户动向下 发带宽、VLAN、ACL、优先级等参数，关于不一样的用户群和业务能够控制其接见网 络的权限，限制网络资源的使用，经过 VLAN和优先级来表记用户和业务，并做到业务隔绝。Hotspot用户隔绝跟着无线终端的普及，营运商目前都在鼎力展开无线热门业务，而此中一个重要需求是希望所实用户的数据流量在AP当地不做互换，而都必要经由BRAS设施互换和控 制。Hotspot用户隔绝经过限制同样SSID下的接入用户的互访，能够保证未认证用户无 法在AP上做互访。1.2.2. Portal 认证(Web 认证)Portal认证又称为强迫WEB认证，以其新业务支撑能力强盛、无需安装客户软件、与组网设施没关等特点，遇到愈来愈多用户的欢迎。Portal认证业务能够为管理者供给方便的管理功能，如要求所有的用户都到门户网站去认证，门户网站能够展开广告、信 息服务、个性化的业务等，为信息流传供给一个优秀的载体。Portal认证原理Portal认证协议主要应用于H3C企业提出的鉴于WEB的宽带接入认证系统中，达 成用户的认证和受权。整个Portal认证过程波及到了 Portal页面，WX6108E和iMC服务器。Portal认证工作原理：未认证用户在接见网络时，能够直接接见为用户免费开放的资源，当用户要使用网络中的收费资源时， 设施会将用户的http恳求重定向到Portal门户 网站，用户一定在门户网站进行认证，只有认证通事后才能够接见这些资源。Portal认证的工作流程以下列图所示：将用认UE包 认证通过室傣谒过.回应声功:壹通过、回应成功陆清肃诵如设司图错误！文档中没有指定款式的文字。-1 Portal认证流程认证流程：用户经过IE接见需要受权的网络资源，设施发现用户还没有经过认证则强迫到Portal，Portal Server将WEB页面强推给用户，提示用户需要进行认证。用户在WEB页面中输入用户名密码并提交认证，Portal Server将认证信息发送给设 备，设施将用户信息变换为Radius报文发送到iMC服务器进行认证。iMC服务器对用户信息进行考证，确认无误后，下发认证经过报文以及相应的权限 控制信息给设施，设施松开用户的上网权限，同时iMC服务器开始进行计费。上网时期，用户PC和Portal Server准时发送心跳报文交互，以保证用户没有因异样原由下线。用户下线时，Portal Server收到用户下线恳求并通知设施，iMC服务器停止计费并 通知设施断开用户。1.2.2.1. Portal 功能特点不需要安装客户端软件相关于其余的认证方式，Portal认证经过网页即可实现认证，无需安装客户端。不 但减少了用户机器的负担，并且方便了上网用户的使用，同时管理者也不用逐个为每个 上网用户安装和升级客户端软件，极大减少管理难度。可对在线用户进行及时检测用户认证通事后，Portal Server和用户之间采专心跳体制保持通讯，当终端用户的 机器出现异样时，比方：死机、网络断线、异样封闭阅读器等状况出现时，Portal Server 就能够及时发现用户侧的问题，并通知设施将此终端用户下线并且停止计费；同时PortalServer支持开启或许封闭心跳，也能够设置心跳的间隔和心跳超不时长，这类功能使心 跳检测更为灵巧，大大提高了计费精度和对复杂的网络的适应能力。拥有按用户接入端口分组的功能，可为不一样组用户供给不一样的配置Portal认证能够依据用户所在互换机的端口以及用户所在的 IP地点池，将用户区分为不一样的组，每个组都能够设置不一样的认证主页、不一样的认证方式，进而方便对 不一样的用户进行管理。同时PORTAL所有的认证页面都使用了动向页面技术，管理员 能够依据不一样用户群的特点，定制特点认证页面，极大提高用户使用满意度。支持二次地点分派和 NAT功能为了减少公网IP地点资源的浪费，PORTAL经过与设施的配合，使用户在认证前使 用的是私网IP，认证成功后再分派公网IP，进而保证了公网IP地点的更为合理的应用。假如用户的IP地点经过了 NAT变换，再经过PORTAL服务进行认证，PORTAL服务 器支持开启NAT功能，能够为用户下载一个APPLET，获取用户的实质IP地点，再经过 设施进行认证。支持认证窗口的最小化功能用户在认证通事后，Portal支持在线窗口能够最小化就任务栏，以减少对用户上网 的影响。防备窗口过滤的功能会安装个人防火墙或许窗好多上网用户出于安全的考虑或许防备网上的垃圾广告，口过滤工具，来防备IE弹出窗口。假如用户的IE开启了窗口过滤的功能，Portal在弹出 认证成功窗口时，会进行窗口过滤的检测，进而防备因为窗口过滤而没法认证成功的情 况。1.2.3. 802.1x 接入认证802.1X协议是IEEE在2001.6经过的正式标准，标准的草拟者包含Microsoft，Cisco ， Extreme ， Nortel等；802.1X定义了鉴于端口的网络接入控制协议(port based network access control )，该协议合用于接入设施与接入端口间点到点的连结方式，此中端 口既能够是物理端口，也能够是逻辑端口。H3C的FIT AP无线组网方案中，由后端的无线互换机对所有认证报文进行终结，并提拿出用户名和密码信息交由后台的CAMS (IMC内 置)进行用户鉴权。用户使用802.1X认证的过程以下图：曜入交换机电户认死报.文RADIUS SERVER802.1X及 WEB PORTAL 认证流程表示图接入AP的无线终端采纳802.1X模式，第一接入AP的客户端经过802.1X认证输入 用户名、密码后客户端倡始EAP报文至无线互换机，在无线互换机上终结EAP报文，而后 从无线互换机经以太网互换机倡始Raduis报文至CAMS服务器，由CAMS服务器来考证用户名、密码能否般配，在认证经过此后由 CAMS服务器下发Raduis报文至无线互换机 通知该用户认证经过，无线互换机中再将相对应的逻辑端口翻开，同意学习MAC地点，同意用户上网。H3C企业对802.1x认证方式进行了优化，使其能够支持鉴于MAC的用户控制，即一 般状况下假如多个用户连结到一个HUB，此中一个用户认证通事后，其余用户也能够使用 网络，但H3C企业对802.1X认证方案优化后，只有认证经过的用户（MAC）才能使 用网络，其余用户仍是不可以使用网络。以设施端PAE对EAP报文进行中继转发为例。在WLAN应用网络中，WLAN客户端Station为客户端PAE，供给WLAN服务的设施为设施端PAE。设施端经过产生一个随 机Challenge发送给客户端；客户端会使用配置的密钥对该Challenge进行加密办理并将 办理后的信息返回设施端；设施端依据客户端返回的加密后的Challenge以及原始的 Challenge进行比较判断，设施端达成对客户端的单项认证。为了提高WLAN服务的数据安全性，IEEE 802.1x和IEEE802.11i中使用了EAPOL-Key的磋商过程，设施端和客户端实现动向密钥磋商和管理；同时经过802.1x磋 商，客户端PAE和设施端PAE磋商同样的一个种子密钥PMK （拜见IEEE802.11i），进 一步提高了密钥磋商的安全性。802.1x支持多种EAP认证方式，如EAP-TLS、EAP- PEAP、EAP-TTLS、EAP-MD5、EAP-SIM 等，此中EAP-TLS为鉴于用户安全证书的 身份考证。EAP-TLS是一种互相的身份考证方法，也就是说，客户端和服务器端进行互相 身份考证。在EAP-TLS互换过程中，远程接见客户端发送其用户证书，而远程接见服务器 发送其计算机证书。假如此中一个证书未发送或无效，则连结将终断。在无线局域网应用中，当EAP TLS认证成功时，客户端PAE和Radius服务器会对 应产生公用的对称的Radius Key，Radius服务器会在认证成功信息中将Radius Key通知 设施端PAE。客户端PAE和设施端PAE会依据该Radius Key，客户端MAC地点以及设 施端MAC地点，产生种子密钥PMK以及对应的索引PMKID。依据IEEE802.11i协议定 义的算法，设施端PAE和客户端PAE能够获取同样的PMK，该种子密钥将在密钥磋商过 程（EAPOL-Key密钥磋商）中使用。1.2.4. MAC 接入认证MAC接入认证是此外一种接入认证方式。MAC接入认证主要为当设施端发现客户 端的MAC地点为未知的MAC地点时，设施端会倡始对客户端的MAC地点的认证。MAC接入认证也使用Radius服务器对客户端进行认证。当 MAC接入认证发现目前 接入的客户端为未知客户端，会主动向Radius服务器倡始认证恳求。Radius服务器达成 对该客户端的认证，并通知设施端认证结果以及相应的受权信息。 MAC接入认证过程不 需要客户端参加，MAC接入认证能够支拥有线用户和 WLAN用户。无线局域网固然没有明确采纳 MAC认证，当时在实质的无线局域网应用中，无线局 域网会将MAC认证和其余的认证方式一同配合使用。比如，能够同时使用 MAC接入认 证和PSK认证。PSK认证达成密钥磋商以及预共享密钥确认；而MAC接入认证除了实现 MAC地点认证外，还能够实现对该用户的计费、受权。