《企业无线覆盖方案.doc》由会员分享,可在线阅读,更多相关《企业无线覆盖方案.doc(18页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、精品文档,仅供学习与交流,如有侵权请联系网站删除第一章 前言3第二章 企业用户需求分析42.1 企业细分42.2 无线网络Internet接入524 协同工作62.5 移动生产管理62.6 无线视频监控6第三章 解决方案73.1 设计原则73.1.1 网络连通性73.1.2 网络安全性73.1.3 网络可靠性73.1.4 网络可管理性73.1.5 网络可扩展性73.2 关键技术优势83.2.1 端到端解决方案83.2.2 产品设计业界领先83.2.3 运维管理统一高效83.2.4 工程交付经验丰富8第四章 WLAN网络解决方案94.1 基本应用场景94.2 总体组网方案104.2.1 本地组网
2、方案104.2.2 远程接入组网方案104.2.3 跨区域本地组网方案104.2.4 跨区域专网远程组网方案114.2.5 语音解决方案114.3 无线覆盖设计实现124.3.1 室外大功率覆盖方案124.3.2 室内放装覆盖方案124.3.3 室内分布系统覆盖方案124.4 移动漫游管理144.5 安全认证方案154.6 扩容方案174.6.1 覆盖扩展174.6.2 容量扩展174.7 运维方案18第五章 产品选型205.1 无线AP205.2 全千兆交换机205.3 路由器215.4 服务器23第六章 报价清单1第一章 前言WLAN是计算机网络与无线通信技术相结合的产物,它以无线信道作为
3、传输媒介,提供了传统有线局域网的功能,并具备有线网络无法相比的可移动性、组网灵活、成本优势、便于维护等特性,能够使用户真正实现随时、随地、随意的访问宽带网络。在政府和企业网领域,WLAN技术作为新的宽带数据网接入技术得到了越来越多的青睐,许多城市和地区都已经开展“无线城市”建设。而且在数字化办公、商业、医疗、教育、酒店、餐饮服务等众多领域,随着WLAN需求、技术、产品和应用的不断成熟,无线网络已经进入全面普及时代,取得了引人瞩目的成果,它将创造崭新的生活和工作风尚。对于企业来讲,随着市场竞争的加剧,无论是刚创办的小型企业还是发展中的大中型企业,都已离不开信息化网络平台,企业开始由过去粗放式的管
4、理方式向精细化管理转变,追求更高的运营效率、资源利用率,从网络中获得最大的利益。从另一方面,笔记本电脑、智慧型手机等终端在现代化的企业中不断普及,使移动办公的需求日益强烈,因此提供一个高效可靠、高宽带的无线网络已经势在必行。WLAN 灵活便捷的特点已经越来越多的被广大企业所关注。它把个人从办公桌解放了出来,使他们可以随时随地获取信息,享受工作的自由和灵活性,如可在走廊上、大厅里、过道中、办公室、会议室等任一处随时随地接入网络,这样便捷、灵活的无纸化办公、高速信息化的无线网络解决方案,使企业对外的形象更加醒目,对内的沟通管理、团队协作更加方便有效,让企业真正感受到无线网络所带来的高工作效率,大大
5、提高了企业的核心竞争力。WLAN正在成为每个企业根本的、必备的合作工具。然而,在WLAN商用化进程中,许多用户在组建无线网络时常常会碰到一些困惑。问题主要集中在如何实现无线网络的快速部署、如何实现用户的统一认证和计费管理、无线网络资源如何统一管理、如何保证网络安全性和可靠性,以及在允许大量用户接入的同时,如何防范可能的对网络的攻击等等。ZTE凭借多年积累的经验和沉淀、依托强大的研发能力、投入大量的资源,为打造可维可控的电信级和企业级WLAN网络不断创新,致力于为客户提供最优质的产品和业界具有竞争力的综合解决方案。第二章 企业用户需求分析不同类型的企业对WLAN无线网络规模、网络系统的复杂程度及
6、其网络的应用程度都有所不同,但主要包括以下的功能:从简单的文件共享、办公自动化,到复杂的电子商务、ERP等。详细企业用户需求分析如下:对中小型企业,目前为中小规模,但具有很快的发展。这些企业用户在发展过程中需要使用基于网络平台的信息自动化系统来提高生产力、降低生产成本,从而最大程度地提升其竞争力。比如:受办公格局调整等因素影响,需要为员工或临时工作人员解决移动办公和互联网络的接入等问题;方便的文件共享等无纸化办公方式来节约成本、提高员工效率,加快响应速度;解决前端少量用户,如办事处的销售人员的远程接入问题,实现协同办公,来提高服务质量和客户满意度。对于大型企业用户,除了上述需求外,由于企业规模
7、大,在多地都有分公司,以项目管理为核心的跨地域跨部门的工作机制和特点,更加需要建立网路化信息平台:企业部署WLAN,可以在不便于有线网络布线的区域有效地实现网络互联,包括办公楼、生产车间、仓库等;进行企业总部和各分公司间的全面的资源信息共享和无障碍沟通,减少浪费;满足不同部门间,如销售、研发、生产等的集群调度服务,实现事务、财务、业务一体化管理需求,提高企业竞争力,推广企业品牌。实现语音等通信需求,企业员工使用WLAN/GSM双模手机可在WLAN覆盖区优先通过Wi-Fi网络实现内部通话,参加电话会议,也可拨打PSTN外线电话,代替座机和手机的功能。2.1 企业细分企业按规模主要分为大型企业和中
8、小型企业两种,它们对网络服务的需求也不尽相同。我们建议按照其发展规律和实际需求灵活部署无线局域网,由于大企业的跨区域和跨地域特性,其WLAN网络的结构也更加复杂。对小型企业来讲,因其用户数不多,一般少于100名,办公场所较小,同时其人员数量和办公场所往往随着业务的发展而变动,无线局域网是最佳的解决方案。只要配置几个AP接入点就可以组成一个无线网络,再部署一台局域网交换机和路由器即可访问Internet。采用这种方式,网络设备即插即用,安装使用非常方便。对几百人的中型企业来讲,其办公场所一般有多个,且有一些远程分支。企业人员数量和办公场所会随业务发展而变动。网络覆盖的区域需求主要在室内空间,整体
9、的无线接入部署十几个AP或几十个AP即可,分散在会议室、培训师等多个地方。远程分支接入点,通过一个网关路由器即可达企业本地网。部门之间的网络可用VLAN划分进行隔离。员工数量的扩展、办公场所的变化据无需重新配置网络设备,解决了企业发展的后顾之忧。对于大型的企业,不仅其办公场所、生产场所区域上是分离的,而且是跨地域的企业总部和多个分公司的方式。无线组网分为室内和室外两种,包括放装型和分布式型覆盖。AP数量达几十个、上百个甚至更多,为员工提供灵活自由的无线连接,企业总部和分公司之间可利用VPN通道实时可达,采用统一的网络维护和管理方式,支持端到端的QoS保证和分权限的优先级处理。2.2 无线网络I
10、nternet接入在现代企业中,笔记本电脑、PDA、各种智能手机等的应用已十分广泛。通过 WLAN无线网络接入互联网,相比传统的有线接入,不仅节约了大量的布线成本,并且完全适应办公环境变化、办公空间扩展等需求,如能够自由调整网络结构和随意增加减少工位。由于没有线缆的限制,员工可以在不同的地方移动工作,不管在任何地方都可以实时地访问信息。2.3 无线远程接入随着公司业务的发展,分支机构增多,员工频繁出差或外出,而能及时、有效地沟通已成为企业发展的重要保障。无线远程接入,保证员工能够及时掌握客户信息和需求,处理相关业务并对客户提出的紧急问题做出及时响应信息。 WLAN支持远程办公室解决方案,帮助企
11、业将园区或总部的办公网络扩展到远程站点或远程员工,全部时间和部分时间在家办公的员工,以及移动办公的外聘人员,支持员工灵活地安排工作日程,同时确保在任何地方都可以高效地开展工作。该远程接入包含语音和视频通信及协作应用,这些应用由一系列易于部署和维护的高级网络和安全服务提供支持。无线远程接入点通过与互联网连接的路由器,建立一条指向企业网络的加密隧道,这样远程员工就能够像在办公室里一样开展业务。24 协同工作随着企业规模的扩大,跨地域跨部门人员的沟通协作日益变得更加重要。 WLAN为企业用户提供各种方式的交流通道。允许员工与内部用户、外部供应商和客户快速共享复杂文档,从而提高生产率;无论用户是在办公
12、室还是外面、本地还是异域,只要接入公司网络中,就可以进行语音/视频会议和项目沟通,实现高度统一协作通信;领导可以通过该系统随时随地的和其他部门同事进行沟通,从而增加决策的效率;支持基于会场型、桌面型等多种形式的桌面培训。 2.5 移动生产管理由于大中型企业的生产厂区分布范围较广,而采用有线网络布线往往不便于实现。采用 WLAN不仅方便解决布线难的问题,而且可以大大提高生产效率。企业管理人员、车间主管等可以利用移动办公设备,如笔记本或PDA等,结合无线网卡,利用WLAN和无线手持终端可以随时随地查询生产销售资料;仓库管理可以利用无线局域网,实时将库存信息输入应用数据库,使库存管理工作变得更加便捷
13、、有序、有效,真正实现生产自动化管理。2.6 无线视频监控安全生产及重要园区场所的监控已成为大中型企业的重要需求。但大多是传统的模拟监控系统。这种系统技术陈旧,难以实时有效监控,主要靠事后看录像来追查,贻误生产事故等的最佳处理时机。同时,存储画面检索起来非常繁琐、画面质量差,实际效果不尽如人意。 WLAN提供的无线视频监方案基于新型移动IP监控技术,具有高可靠性、实时传输等特点,可使用无线信号作为回传,因此在快速布点、特殊场景布点方面具有一般安防系统所没有的优势。此外移动IP监控技术借用图像识别技术,当画面出现异常才会告警,保安劳动强度和监控效果将大幅提升。它还可与门禁、烟杆、雨淋等安防系统无
14、缝融合,一旦感知火情,可以自动调整摄像头姿态对准事发地。更重要的是,IP监控与已有网络能无缝融合;随着宽带资费的降低,企业更可以建立全国性的集中监控平台,统一监管总部及各分公司相关场所,确保安全生产及防控有序进行,大大降低了危险和人力等监控维护成本。第三章 解决方案3.1 设计原则3.1.1 网络连通性随着政府公共事业的发展和网络技术的革新,公共场所的移动终端数目也越来越多,人们需要在任何地方、任何时候都能够轻松的接入到互联网络中访问相关服务器或设备来完成他们的活动。网络环境就是提供通信设备之间需要互通的环境,以进一步实现丰富多彩的网络应用。为保证这些用户的网络业务需求,无线局域网服务成了必要
15、手段。3.1.2 网络安全性在商品竞争日益激烈的今天,政府及企业对网络的安全性有非常高的要求。在局域网和广域网中传送的数据都是相当重要的信息,因此一定要保证数据安全保密,防止被非法窃听或恶意破坏,所以在网络建设的初始就应考虑采用严密的网络安全措施。随着上网用户数量的大幅增长以及电子化办公的普及,政府和公共机构需要具备一种“智能化”的开放式网络;需要它在允许大量用户接入的同时,能够防范对网络可能的攻击。WLAN网络所提供的安全特性包括VLAN技术、用户认证技术、访问控制、负载均衡技术以及安全分级管理等,可充分满足网络安全性需求。3.1.3 网络可靠性随着互联网的发展,上网用户不断增多,访问和数据
16、传输量剧增,网络负荷也相应加重;同时随着企业对多媒体技术的广泛应用,视频数据、音频数据也越来越耗费网络带宽。如果网络没有高性能,会导致系统反应缓慢,甚至在业务量突增时,发生系统崩溃、中止和异常等现象。因此,网络在初始建设时不仅要考虑如何实现数据传输,还要充分考虑网络的冗余与可靠;否则网络在运行过程中一旦发生故障,系统又不能很快恢复工作,所带来的后果将使政府及企业蒙受巨大损失,并影响声誉和形象;并且高性能的网络也是实现一些关键业务或特殊应用的必备条件。3.1.4 网络可管理性随着网络规模的日益扩大,设备和数据的种类日益增加,网络应用的日益多样化,网络管理也更加重要。良好的网络管理要重视网络管理人
17、力和财力的事先投入,主动控制网络,从而不仅能够进行定性管理,而且还能够定量分析网络流量,了解网络健康状况等。有预见性地发现网络存在的问题,并将其消灭于萌芽状态,可以降低网络故障所带来的损失,使网络管理的投入达到事半功倍的效果。3.1.5 网络可扩展性网络建设为未来发展提供良好的扩展接口是非常理智的选择。随着企业规模的扩大、业务的增长,网络的扩展和升级是不可避免的问题。同时,由于视频会议、视频点播、视频监控、VOIP通信等多媒体技术的日趋成熟,网络传输的数据已不再是单一数据了,多媒体网络传输成为世界网络技术的趋势。政府和企业管理着眼于未来,对网络的多媒体支持是有很多需求的。通过模块化的网络结构设
18、计和WLAN网络产品,能为客户的网络提供很强的扩展和升级能力。而且在网络带宽非常宝贵的情况下,丰富的QoS机制,如IP优先、排队、组内广播和链路压缩等优化技术,能进一步使实时多媒体和关键业务得到有效的保障。3.2 关键技术优势3.2.1 端到端解决方案不仅提供终端、无线接入点AP、无线控制器AC、Radius/Portal服务器及各类交换机路由器等全系列的无线局域网系统主设备;而且提供包括土建、配套安装、设备安装全套的交钥匙工程,有着丰富的配套建设经验及完善的配套物料方案;遍布全球的直销网络,快速的故障响应能力,产品需求定制能力,具备在运营商大规模商用的经验(发货量超百万台AP);针对客户一次
19、性采购的特点,AC配套的服务器、路由器、交换机等全套的配套产品可根据客户需求一次配置到位,可针对客户的实际机房情况配置不同的机柜:挂墙机柜、小型落地机柜(1.2米)、大型落地机柜(2米)。3.2.2 产品设计业界领先 室外型AP最高具备IP67的防护能力,适应在各种室外环境下灵活部署;AC支持双机热备份、负载均衡等功能,大幅提升网络可靠性;支持内嵌DHCP Server、Portal Server,BRAS业务计费网关等;支持内嵌Portal个性化定向推送,实现向用户推送不同Portal页面; AP产品比业界同类产品功耗水平低约40%,如W811N产品最低功耗仅为5.5W;可有效降低设备耗电量
20、、绿色环保,响应政府节能减排号召。3.2.3 运维管理统一高效 统一网管使客户免去分散人工维护的尴尬,有效降低运营维护成本;专业的故障分析、定位功能,可为客户节省大量人工定位故障成本;支持本地认证、快速认证、Radius认证等认证方式,并且可支持无感知认证,极大提升用户体验。3.2.4 工程交付经验丰富对于AP工程实施的较复杂性,针对不同使用场景有多种配套物料可供选择;例如:天线涵盖普通定向天线、高增益定向天线、网桥用的抛面天线、室内吸顶天线等;用于利旧客户已有的非POE供电交换机的POE供电模块;用于传输的EPON、GPON、POE交换机等; 在国内三大运营商及政府企业的WLAN大规模应用中
21、积累了丰富的经验,进一步强化了无线局域网系统工程交付及维护服务的能力,助力企业更好、更快的建设WLAN网络;第四章 WLAN网络解决方案4.1 基本应用场景企业WLAN的应用场景从区域上即可部署室内也可部署室外;从功能上即可覆盖办公区、会议室、培训室,也可部署在生产车间、仓库等;从场景复杂度上即可覆盖单层小区域场所,也可部署在复杂的多层建筑场所;从业务能力上即可用来做视频监控、高速数据接入,也可用作多媒体通信、网络会议等。4.2 总体组网方案在为企业用户组网时,需要考虑的主要关键要素有:网络规模和网络地域分布特征。网络规模按网络规模,主要分为中小型无线局域网(50台AP以下)和大型无线局域网(
22、50台AP以上)。前者主要应用于对网络的技术指标、实现方式等要求不高,但是对自己的需求较为敏感的场景;WLAN支持简单用户认证、或采用共享密钥的方式。以互联网接入、内部办公等应用为主。后者主要应用于满足多业务需求,如采用多SSID,且不同SSID采用不同级别的安全认证方式,使用本地转发与集中转发共存等场景。网络地域分布特征按网络地域分布特征,主要分为本地组网和跨区域组网。前者主要应用于AP、AC、计费、认证系统等在同一个地理区域,或AC和AP在同一个局域网内的场景。后者主要应用于AP、AC跨区域,或者AP、AC和认证、计费系统跨地理区域的场景;其网络结构复杂,SR/Router上往往承载多种业
23、务,有自己的认证、计费、防火墙等系统。以大型企业集团及包含分公司/分支机构、直属行政事业单位为主。4.2.1 本地组网方案主要适用于中小型企业,其办公地点主要集中一个地方。本地组网方案如下图所示。4.2.2 远程接入组网方案适用于快速发展的企业,将企业的WLAN网络延伸到远程站点,是一个安全、经济、高效的解决方案。在广域网的接入点和企业网络之间,可以建立一条加密的数据报传输层安全(DTLS)连接,通过远程办公降低成本,节约手机费用,减少运营开支。4.2.3 跨区域本地组网方案适用于大型企业集团,在多地有分公司、且规模也较大。图 43 跨区域本地组网方案跨区域专网远程组网方案适用于大型企业集团,
24、外地分公司机构可通过企业私有网络建立MPLS VPN通道接入企业总部,并由总部的AC统一控制。4.2.4 跨区域专网远程组网方案4.2.5 语音解决方案企业的Wi-Fi手机号码可以采用内部号码,由企业自己进行统一管理。企业可在各地放置语音网关设备来和本地PSTN网络互通。作为整个IP语音通信系统的核心,语音服务器控制呼叫建立和接续的过程。由于在企业内部部署了语音业务系统,可以灵活扩展一些基于Wi-Fi手机的增值业务应用,如Wi-Fi短信、视频会议、即时通信等。语音服务器:语音解决方案的核心部件,与语音网关、WLAN AC/AP设备以及Wi-Fi手机等部件共同组网,采用标准IETF SIP协议,
25、可定制IP Telephony(以下简称IPT)、IP Messaging(以下简称IPM)、IP Conferencing(以下简称IPC)等组件,为企业提供IP语音业务、IP消息业务和IP会议业务。语音网关:主要作用是完成语音或传真信号的接入,将模拟语音、传真信号转换成数字信号进行分组后打成IP包,通过网络侧以太网接口接入到IP网络进行转发,除支持完善的语音接入功能外,还能提供丰富的语音业务,如实现呼叫保持、呼叫等待、呼叫前转、呼叫转移、三方电话会议、SIP本地存活、断电逃生、Centrex改造等PSTN补充业务。4.3 无线覆盖设计实现在企业中,无线局域网系统部署的需求主要涉及三种覆盖场
26、景,包括室外大功率覆盖、室内放装覆盖、室内分布系统覆盖。针对企业用户的实际情况, 分别提供以下三种覆盖方案:室外大功率覆盖方案、室内放装覆盖方案和室内分布系统覆盖方案。4.3.1 室外大功率覆盖方案主要用于企业园区等开阔区域的覆盖。这类区域的用户多为公共用户,用户较为分散,适合采用大功率的AP配合高增益室外天线进行覆盖。4.3.2 室内放装覆盖方案主要用于办公区、会议室、生产区域、仓库等室内覆盖。这类区域多为室内热点区域,用户具有临时性、特定性等特点,适合采用室内放装设备对室内公共区域进行大面积的覆盖。4.3.3 室内分布系统覆盖方案主要用于企业办公楼内已有或有意向部署室内分布系统(DAS)场
27、景。此类区域中,WLAN系统可与其它无线系统如2G、3G共用DAS系统,快速实现目标区域的Wi-Fi信号覆盖。室外大功率覆盖采用定向天线采用定向天线的室外型AP设备布放,可以将AP集中安装在一处,且每个站点采用三副定向天线分别朝向其覆盖区域。采用全向天线在容量需求较小的区域,也可以采用若干全向天线进行覆盖。如下图所示:图 46 室外型AP全向天线覆盖采用以上两类天线模式,都要保证AP覆盖区域之间无间隙;在所有区域都能覆盖的情况下,尽量做到重叠区域最小,所需AP数量最少等要求。室外大功率覆盖应注意以下几方面:AP天线位置应相对较高,距地面约3至15m较合适;AP天线应尽量居于目标覆盖区域中央,尽
28、量放置于较空旷位置;多AP的无线覆盖范围应当适当重叠;AP天线应避免多层阻挡,特别避免穿过多层墙壁,尤其是钢筋混凝土墙体。室内放装覆盖对于用户比较集中或离室外型AP距离较远的室内区域,可以采用室内型AP来进行覆盖;在室内型AP部署时,一般采用全向天线。单个室内型AP的覆盖半径一般为30100米,最多考虑支持30名用户同时在线。可根据目标覆盖区域的开阔程度和用户数量,来选择选择合理的布放数量,部署方案举例如下图所示。采用室内放装覆盖方案时,一般采用明装壁挂或挂顶方式,也可采用天花板上隐蔽安装的方式,这样便同时保证了美观性和安全性。当采用隐蔽安装方式时,应注意天花板内的高度空间和水平方向的阻挡物,
29、尽量避免阻挡物对无线信号的屏蔽干扰。室内分布系统覆盖室内分布系统是通过功率分配器件和馈线把信源的信号功率分布到建筑物内的各个区域,以保证各个区域获得基本均衡的信号覆盖。对企业办公区、生产区等已有或将要部署室内分布系统的热点区域,利用合路器即可将Wi-Fi信号引入室内分布系统。室内型AP接入室分系统典型WLAN室分系统组网图如下图所示:室内型AP设备通过三频合路器在室分系统的干路或支路上接入,将Wi-Fi信号完成合路。值得一提,可以根据大楼实际无线上网用户的分布情况,使室内型AP尽量靠近WLAN目标覆盖区域的支路上进行接入。室分场景下用户一般比较集中且固定,因此在容量设计时按每AP并发用户数15
30、至20名来计算。这种组网方式可以使AP 重点部署在需要WLAN 信号或者人群较为密集的地区,避免不必要的投资以节省建设成本。室内分布系统天线选择此外对于室内分布系统,可选择如下图的伪装天线来进行信号收发,如此既能够满足室内无线覆盖的目的,也可以达到美化环境、提升商场顾客观感的效果。图 49 室内分布系统伪装天线4.4 移动漫游管理为实现无线接入用户的无缝漫游,可通过无线控制器AC和瘦AP之间的隧道机制,实现所有无线终端就像直接连接在无线控制器AC上。这一功能的实现,无须改变已有有线网络的配置,使无线终端在热点区域漫游时不再受限于有线网络。根据用户需要,移动漫游可分为“同AC下漫游”和“跨AC间
31、漫游”两大类。其中根据AC及AP组网结构,“同AC下漫游”可细分为“L2(二层)漫游”、“L3(三层)漫游”两种情况。 无线局域网系统可支持如上两种漫游方案。同AC下漫游方案L2漫游方案正常工作时,AP1和AP2会和AC的WAN口建立隧道1和隧道2;当STA正常链接AP1并在AC上认证后,该用户的SSID、MAC地址、IP地址、无线加密认证等信息都会保存在AC,并且STA发起的管理和业务的数据报文都承载在这个二层隧道1上。当STA从AP1切换到AP2时,这时AC通过判断STA用户的MAC地址不变,确定用户发生漫游,STA的管理和业务的数据报文都承载在隧道2上。这个过程,STA无需发起重新的认证
32、。L3漫游方案AP1和AP2属于同一个AC管理,且跨越三层网络与AC进行连接,广播的SSID相同并且处在同一个业务VLAN;当客户端从AP1漫游至AP2时,客户端的各种业务属性都在AC中维护着,漫游过程中不会发生地址变化、重新认证等情况。跨AC间漫游方案当客户端从一个子网的AP1漫游到另外一个子网的AP2上时,两个AC之间会建立一个私有的通信隧道。AC1会将客户端的相关信息如IP地址、认证信息等,通过隧道传递给AC2,AC2会维持客户端的相关信息不变。实际上,对于上层网络而言,此时维持客户端地址的仍然是AC1,所有发给该IP地址的数据都会先到AC1上。4.5 安全认证方案在本解决方案中, 推荐
33、采用PEAP认证和DHCP+WEB混合认证的方式。部署以上两种认证的益处如下:对于手持终端类用户,输入账号和密码操作比较繁琐。因此采用PEAP认证方式简化终端手工操作,实现无感知认证以提升用户使用体验;对于固定或移动终端,如台式机、笔记本电脑等则可采取DHCP+WEB的认证方式。PEAP认证PEAP是EAP认证方法的一种实现方式,网络侧通过用户名/密码对终端进行认证,终端侧通过服务器数字证书对网络侧进行认证。用户仅需在首次使用PEAP认证时,需输入用户名和密码;后续接入认证时无需用户任何手工操作,均由终端自动完成。PEAP(Protected EAP)通过使用TLS隧道,在PEAP客户端和认证
34、服务器之间进行安全认证。图 413 PEAP认证示意图在PEAP认证中,需要RADIUS服务器支持PEAP认证平台。因此,若用户原有RADIUS认证服务器不支持PEAP认证,则需要重新对其开发、升级更新。在本解决方案中,RADIUS服务器由 提供,可支持PEAP认证。具体参数见5章节。DHCP+WEB认证采用DHCP+WEB认证方式只需将计算机设置成自动主机配置模式,之后当用户启动浏览器并试图进行WEB访问时,将由Portal服务器向用户推送登录页面;用户通过此界面输入账号和密码等个人信息,并进而完成认证的全过程。认证示意图及认证的详细流程图 415 用户认证接入流程流程描述: 用户通过标准的
35、DHCP协议,通过AC获取到规划的IP地址。 用户打开IE,访问某个网站,发起HTTP请求。 AC截获用户的HTTP请求,由于用户没有认证过,就强制到Portal服务器。 Portal服务器向WLAN用户终端推送WEB认证页面。 用户在认证页面上填入帐号、密码等信息,提交到Portal服务器。 Portal服务器接收到用户信息,向Radius发出用户信息查询请求。 Radius验证用户密码、查询用户信息,并向Portal返回查询结果及系统配置的单次连接最大时长(SessionTimeout) 。 如查询成功,Portal服务器向AC请求Challenge。如果查询失败,Portal直接返回提示
36、信息给用户,流程至此结束。 AC返回Challenge,包括Challenge ID和Challenge。 Portal将密码和Challenge ID及Challenge做MD5算法后的Challenge-Password,和帐号一起提交到AC,发起认证。 AC将Challenge ID、Challenge、Challenge-Password和帐号一起送到中央RADIUS用户认证服务器,由中央RADIUS用户认证服务器进行认证。 中央RADIUS服务器根据用户信息判断用户是否合法。 RADIUS对用户密码分别进行静态密码和动态密码两次密码认证。如果其中一次成功,RADIUS向AC返回认证成
37、功报文,并携带协议参数,以及用户的相关业务属性给用户授权。如果两次都失败,RADIUS向AC返回认证失败报文。 AC返回认证结果给Portal服务器。(以及相关业务属性。) Portal服务器根据认证结果,推送认证结果页面。如果成功,根据编码规则判断帐户的归属地,推送归属地定制的个性化页面,并将认证结果、系统配置的单次连接最大时长、套餐剩余时长、自服务选项填入页面,和门户网站一起推送给客户,同时启动正计时提醒。如果失败,页面提示用户失败原因。4.6 扩容方案根据用户需求,无线局域网的扩容场景大致分为两种:覆盖扩展和容量扩展。覆盖扩展:随着无线局域网系统建设的需求提升,越来越多的地方需要实现WL
38、AN信号覆盖,这时就出现了对新区域扩展覆盖的需求。容量扩展:随着已覆盖区域用户数的不断增加,出现了无线局域网系统拥塞现象,急需增加新的AP来进行容量扩容,以满足不断增长的WLAN业务需求。比如会议大厅、生产场所、办公区域等场景都可能出现容量不足的情况。4.6.1 覆盖扩展对于覆盖扩展的场景,由于是涉及到新区域的WLAN信号覆盖,其网络设计原则、无线覆盖设计实现及移动漫游管理等均可以参考之前的章节。网络扩容可遵循如下两条原则:如果原有AC容量有富余,新部署的AP可就近接入原有AC,此时可能涉及到升级原有AC的License文件。如果受限于回程的条件及AC容量,则需要部署新的AC。如果新部署区域与
39、原来部署的WLAN网络覆盖区域邻近,则在信道规划是必须考虑邻区干扰规避方案。4.6.2 容量扩展对于容量扩展的场景,由于需要新增AP和AC来进行网络扩容,此时可采纳两种方案来扩容。 推荐采用异频扩容的方案,以降低网络扩容难度和成本。值得一提,当无线接入控制器AC接入AP的数量过多时,可在网络中增加汇聚层交换机来分区域二级组网。同频扩容方案:新扩容AP使用的频段与原来部署AP的频段相同。因此,在进行系统扩容时,不仅要考虑AP/AC的容量因素,同时也要考虑新增AP与原来部署AP的信道统一规划的问题。此时需要对所有AP进行容量、信道及功率重新规划,因此扩容方案较为复杂。异频扩容方案:新扩容AP使用的
40、频段不同于原先部署AP的频段。比如原先AP如果采用2.4GHz频段进行覆盖,那么扩容AP则可以选择5.8GHz频段。这种扩容方案由于新老设备采用了不同的频段,可不用考虑新老设备之间的干扰问题,扩容时仅考虑新增容量的规划即可。同时,如果原先部署AC的容量还有富余,也可将新增AP就近接入原有AC即可,只需软件升级AC的License,大大简化了网络扩容的难度和成本。4.7 运维方案图 417 ZTE WLAN运维方案示意图WLAN运维方案基于专业运维优化系统NetMAX E2E OSS,集成了数据采集模块、网络数据分析优化模块、AP鹰眼热点监控模块以及系列化开通维护模块等,能够实现端到端的运维功能
41、。快配工具:实现在AC批量配置AP功能,减低AP开通工时;开通检测工具:实现单AP业务测试集成化,降低系统联调及设备验证工时;割接工具:应用于替换现网运行旧设备;巡检工具:应用于日常维护,可降低巡检工作量、降低对操作人员技能水平要求等;对于现网存量大的场景,可有效降低维保成本;告警分析工具:同上;参数一致性检查工具:同上;性能KPI分析工具:同上;覆盖目标: 和泰5个楼层共80间客房,以及酒店餐厅、大堂、店前停车场等; 设备选型:室内型AP W815N、W812N V2;室外型AP W615 V3; 天线选型:高增益定向天线; 回传方案:通过ONU经PON网络回传; 供电方案:采用PoE供电;
42、 美化方案:隐蔽天线;AC组网: AC位于核心层,管理某区局下的AP;AP/AC: 本地组网模式,可向跨区域组网模式升级;接入层: PON+WLAN,ONU内置POE模块;或通过POE交换机接AP;SSID1: ZXHT,集中转发,AAA服务器对酒店内部员工认证;SSID2: ZXHT-Public,本地转发,AC自带BAS对酒店顾客认证。WLAN校园部署案例 成熟的WLAN校园网解决方案已经成功的在重庆工商大学、成都理工大学、成都五月花计算机学校、重庆电子职业学校等上百所大专院校中应用。图 61 校园组网示意图WLAN网络有多种配置方式,能够根据需要灵活选择。这样就能胜任从只有几个用户的小型
43、局域网到上千用户的大型网络,并且能够提供像“漫游(roaming)”等有线网络无法提供的功能。图 63 视频监控组网示意图第五章 产品选型5.1 无线APH3C WA2600 i系列无线产品是杭州华三通信技术有限公司(H3C)自主研发的新一代基于终端感知型硬件智能天线覆盖技术的超百兆高速无线接入设备(以下简称AP),可提供相当于传统802.11a/b/g网络6倍以上的无线接入速率,能够覆盖更大的范围。该系列无线产品上行链路采用千兆以太网接口,突破了百兆速率的限制,使无线多媒体应用成为现实。WA2600 i系列AP共分为WA2610(单频)、WA2620(双频)两款型号,该系列产品外型小巧美观,
44、安装方式灵活,适用于壁挂、桌面、吸顶等三种安装方式,也可根据部署场景配合11n专用天线灵活使用。WA2600 i系列室内放装型802.11n无线接入设备5.2 全千兆交换机H3C S5120-LI系列以太网交换机是H3C技术有限公司秉承IToIP理念设计的二层线速智能型可网管的入门级千兆以太网交换机产品,具有全千兆接口、大缓存设计,具备高速率、低时延的转发性能,可以为用户提供高性能、低成本、可网管的千兆到桌面的解决方案,是千兆接入的理想选择。H3C S5120-LI系列以太网交换机目前包含如下型号:S5120-28P-LI:24个10/100/1000Base-T以太网端口,4个1000Bas
45、e-X SFP千兆以太网端口S5120-LI系列千兆交换机5.3 路由器MSR(Multiple Services Routers)多业务开放路由器是杭州华三通信技术有限公司(以下简称“H3C”)专门面向行业分支机构和大中型企业而推出的新一代网络产品。MSR先进的软件结构与硬件平台,能够在最小的投资范围内为企业边缘网络提供一体化解决方案,更能充分满足未来业务扩展的多元化应用需求,符合企业IT建设的现状与趋势。企业信息架构正在由C/S模式向B/S模式转变,MSR具备高数据转发能力与高加密能力,很好的解决了转变过程中凸现的网络带宽压力与安全隐患,保障企业关键业务流可以高速、机密的通过广域网传输。M
46、SR集数据安全、语音通信、视频交互、业务定制等功能于一体,能够在企业网络应用不断丰富的形势下将多元业务方便的部署于同一节点,不仅能够最大程度的避免网络中多设备繁杂异构问题,而且极大降低了企业网络建设的初期投资与长期运维成本。针对企业用户日益个性化的应用需求,MSR领先集成了可以定制开发的高性能开放业务平台,任何人都可以基于该平台开发自身需要的高级网络业务,企业用户只需安装软件便能在网络中方便的部署相应业务,节省了购置各类高昂专用网络设备的投资。H3C MSR 30多业务开放路由器包含MSR 30-10、MSR 30-11、MSR 30-11E、MSR 30-11F、MSR 30-16、MSR
47、30-20、MSR 30-40和MSR 30-60等八款设备,该产品内置的硬件加密功能可以为中小型分支机构提供与总部安全的数据连接,MSR 30也可以作为中小企业核心设备,承担公司广域路由、局域交换、IP语音、视频交互等综合应用。通过在单一平台集成多种网络功能,不仅能够减少业务扩展给企业带来的无尽投资,更能实现总部对众多分支的统一管理和控制,免去了大量的运维成本,让企业在信息化进程中更具竞争力。MSR 30-10、MSR 30-11、MSR 30-11E和MSR 30-11F四款路由器则是最为典型的路由交换一体化设备,这几款设备通过支持24口以太网交换模块或固化24口、48口以太网交换接口的方式实现交换接口的灵活配置和交换接口高密度的要求,MSR 30-11F是目前业界能够在1U高度的设备上提供最大密度交换接口的路由器产品。这几款设备将功能强大的路由器设备和专业的交换设备有机地结合在一起,能够为用户提供最高性价比的路由交换一体化的应用和组网。MSR 30产品采用华三通信技术公司成熟商用的操作系统平台,提供丰富的QoS特性,全面支持IPv6,同时大大地增强部署MPLS VPN业务的能力。MSR30采用OAA(Open Application Architecture)开放应用体系架构,产品提供了一
黑公网安备:91230400333293403D