1、技术方案书目录一、概述 .3二、项目需求 .3三、网络建设方案 .43.1无线网络基础方案 .5方案逻辑组网图 .5WLAN产品优势概述 .5产品的选型 .63.2无线网络安全 .8四、产品说明 .94.1 EWP-WA2612-AGN无线接入点 .94.2 H3C WX3024系列无线控制器 .13一、概述无线局域网(WLAN)技术于 20世纪 90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。对比传统的有线传输解决方案,使用 WLAN网桥实现数据传输具有以下显著特点:简易性:WLAN 网桥传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作
2、;灵活性:无线技术使得 WLAN设备可以灵活的进行安装并调整位置,使无线网络达到有线网络不易覆盖的区域;综合成本较低:一方面 WLAN网络减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网技术可以更好地保护已有投资。同时,由于 WLAN技术本身就是面向数据通信领域的 IP传输技术,因此可直接通过百兆自适应网口和企业内部Intranet相连,从体系结构上节省了协议转换器等相关设备;扩展能力强:WLAN 网桥系统支持多种拓扑结构及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统;二、项目需求a) 本工程具体的建设目标是:1、采取通行的网络协议 IEEE 802
3、.11g标准,选取合理的无线覆盖方案,从而实现对各楼层相应区域的 WLAN信号覆盖,提供稳定可靠的无线宽带网络接入服务;2、全面的无线网络支撑系统(包括无线安全、无线 QOS等),以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题;3、保证网络访问的安全性,支持用户多种接入方式认证机制,包括:基于PPPoE、802.1X、Portal、MAC 等认证,支持外置的 Portal服务器和外置的 AAA服务器系统;4、无线宽带网络将来应该能够支持 WIFI语音、IPTV 等增值业务;5、安全、认证和管理要求。为了阻止非授权用户访问无线网络,以及防止对无线局域网数据流的非法侦听,无线网络要
4、具有相应的安全手段,主要包括:物理地址(MAC)过滤、服务区标识符(SSID)匹配、AES 加密,双向认证等方式。 工程布线和安装要求:室内部分:将网线走暗线敷设到位挂在天花板上,则根据天花板的情况而定,天花板是非金属结构,可以固定在天花板内。安装过程中应充分考虑防盗问题。供电部分:AP 的供电可采用其相应的 POE供电模块配合市电进行供电。 产品能力要求要求:支持负载均衡;漫游切换;支撑 QOS能力支持 Guest VLAN的要求;良好的售前售后服务,及时响应用户的需求。三、网络建设方案对方案的选择,我们严格按照客户的需求进行, 采用瘦 AP+无线控制器的组网方式,AP通过市电进行供电。本次
5、供电方案有两种:通过无线控制器 H3C WX3024上的 24个 POE供电端口供电;通过 H3C WA2612-AGN自身配备的 POE模块供电。两种方式很好的解决了集中供电和分散供电的问题。另外,之所以要选用控制器+瘦 AP解决方案,是因为就目前的 AP分散状态开,分别部署在大楼的不同楼层,对于管理员来说,对 AP的软件升级、配置管理以及无线客户端的定位是件很懊恼的事情。有了控制器,可以将分散的 AP集中管理和控制,统一下发配置和更新系统等,还可以和有线用户实现一体化的验证、智能的负载分担和二层三层漫游等。从安全角度考虑,为实现业务的有效隔离,采用针对不同业务分配不同 SSID方式进行业务
6、区分,其中一个无线网段只能访问互联网,另外可以再设置一个无线服务(SSID)用于管理人员无线对内网的管理。并对同一个 AP下的不同 SSID设置不同的权限,后期还可以配合认证、EAD 等手段做到终端的准入和安全接入。3.1 无线网络基础方案方案逻辑组网图根据用户需求可知,需要认证上网,但要支持.产品选型非常重要,根据我们多年的经验和对技术的认识,在各大无线厂商中我们能看到 H3C无线产品和技术的优势.WLAN产品优势概述 电信级产品质量保证H3C自 2003年公司成立以来就继承了业界领导厂商华为和 3Com的 WLAN产品。整个无线产品的规划都是按照电信级设计,从阻容到主处理器芯片,每一个元器
7、件都经过严格质量认证和技术认证,基本上是选用一流供应商的元器件,保证元器件的性能和品质。在产品生产上,H3C 公司采用业界先进的 IPD CMM3.0集成产品开发流程,有严格的质量管理体系,从全流程的每一个环节控制产品质量。 强大的研发团队,自主知识产权,快速响应客户需求H3C的研发团队分布在北京、杭州、深圳和印度,海外研发中心紧跟前沿技术脚步,国内研发中心快速响应客户需求。H3C 全系列 WLAN产品采用完全自主研发的软件,并采用了业界最为严格的测试标准,由位于北京的独立的鉴定测试中心来最终鉴定产品能否达到质量标准。此外由于自主开发软件,完全掌握知识产权,很容易根据客户的要求定制特殊功能,以
8、满足特定情况下的应用。 完善的服务体系H3C公司在全国建立了 30个区域服务中心和区域备件系统,承诺为客户提供专业、快捷、规范的服务,通过先进的通信技术与总部的技术服务平台连接,完成客户档案、维护经验案例、备件库存、产品发布等信息的共享,形成覆盖全国地市级城市,专职人员规模超过 400人的技术服务体系。H3C 致力于通过高质量的服务提高用户网络的可用性,提升用户满意度。H3C成立了备件中心(SPC,Spare Parts Center)专门支撑 H3C公司的售后服务和向客户的承诺,依托遍布全国主要城市的 30个区域备件库和位于杭州、北京及深圳的 3个分拨中心,建成了国际化、标准化、现代化的物流
9、管理系统。H3C 备件中心科学地进行备件仓储分析和管理,能够向客户提供高效的备件服务,最大限度地保障客户网络的平稳运行。 丰富的无线网络工程经验无线网络的工程实施对整个项目的成败至关重要。H3C 专门成立了无线工程督导团队来确保无线网络工程的顺利实施,目前 H3C公司已经成功实施了第六届亚洲冬季运动会、北京解放军总医院、国家知识产权局、新华社、北京航空航天大学、北京交通大学、华东理工大学、上海汤臣洲际大酒店等无线网络工程的部署,具备丰富的无线项目实施工程经验,保证项目进度,后顾无忧。产品的选型 无线 AP根据我们对客户需求的了解,大楼各楼层 AP覆盖我们选用 H3C的 WA2612-AGN,
10、WA2612-AGN是华三通信技术有限公司(H3C)自主研发的双频多模系列无线接入点,可广泛应用于各种向用户提供 WLAN接入的无线网络;WA2612-AGN 作为瘦 AP(FIT AP)与 H3C公司自主研发的无线控制器系列产品配套使用。WA2612-AGN基于业界最新的硬件平台,具备业界同类产品最优的无线射频功能,同时产品集硬件加密、零配置、自动信道分配、多 BSSID、IPv6 等多个功能于一体,实现网络的易操作性、易维护性、健壮性,并能有效的防止网络配置的对外泄漏。WA2612-AGN与 H3C公司自主研发的系列无线控制器之间的通信基于标准的 CAPWAP架构,通过无线控制器实现集中管
11、理和简单的即插即用安装。同时,AP 的配置信息保存在无线控制器中,即使更换 AP,配置信息也可以自动下发,无需重新配置。与传统基于无线控制器的集中式加密相比,WA2612-AGN 对用户数据实现了本地流量加密,可大大减轻了无线控制器的负担。无线控制器与后端授权/认证/计费 (AAA) 服务器配合,可以控制用户和用户组的网络访问策略,当用户漫游网络时提供安全的业务连续性和完整性。WA2612-AGN产品具有双频能力,即可以工作于 WLAN的 2.4GHz频段或 5GHz频段之上。支持多模,即指 IEEE802.11a、IEEE802.11b 和 IEEE802.11g三种模式。WA2612-AG
12、N 可通过软件配置支持 IEEE802.11a或 IEEE802.11b/g。WA2612-AGN支持多 SSID实现虚拟 AP特性,每个 SSID可对应不同的 VLAN、从而对于每一个 SSID可以实现不同的网络服务及认证方式。该特性使管理员可以方便的为不同用户群、不同的业务制定区分的服务策略。 无线控制器根据我们对 AP的个数可以确定无线控制器(AC)的型号,根据我们的计算,一期大约需要部署 24个 AP,我们可以推荐 H3C的 WX3024,标配可以支持 24个 Fit AP,WX3024:最多可管理 48个 AP;24 个 GE电口,支持 POE供电;交换容量为: 88Gbps;包转发
13、率: 65.47Mpps。传统无线网络的部署需要网络管理员对网络中的每一个 AP进行逐一配置,当无线网络规模较大时网络管理员往往要配置上百个 AP,工作量巨大,且容易出错。而采用无线控制器和 FIT AP配合组网时,只需要在无线控制器上对一类相同属性的 AP建立配置模板,AP 在启动时可以自动从无线控制器上下载最新的配置文件。另外,由于 AP本身不保存任何配置,万一设备丢失,也可以保证网络配置不被窃取。AP 支持启动后自动获取 IP地址、自动获取 AC的工作列表并自动和 AC建立关联,真正做到了零配置,免维护,即插即用,极大地减轻了网络管理员在部署网络阶段的维护工作量。当网络正常运行以后,无线
14、控制器对所管理的 AP以及 AP所接入的用户进行实时监控,并能将这些信息实时上报给网管。维护人员可以指定 AP或用户进行在线服务策略设定和安全策略设定,使网络配置策略更加灵活。同时,无线控制器支持 AP软件自动更新功能,AP 在每次重新启动时会自动比较当前运行的软件版本和无线控制器上的最新版本是否一致,如不一致 AP会自动更新本地的软件映像,软件升级不再需要网管人员的干预。3.2无线网络安全无线局域网络主要服务于企业作业系统,上面存在诸多的企业的商业信息,故网络安全问题在建网时必须考虑问题,安全方式主要侧重几个方面:用户安全、系统安全,对每个无线接入的用户需要加密认证方可进入,可以根据不同的用
15、户加入不同的 VLAN,再通过交换机做策略的规划.这样本无线网络中着重考虑使用无线网络的空口信息的安全机制,同时也要考虑与无线相关的有线网络的安全问题,对于原有有线网络的安全问题,在本技术建议书中不作相应的考虑;用户安全数据安全部分主要包括以下方面的内容:MAC地址过滤:目前支持基于 MAC地址的过滤,限制具有某种类型的 MAC地址特征的终端才能进入网络中;SSID管理:是一种网络标识的方案,将网络进行一个逻辑化标识,对终端上发的报文都要求进行上带 SSID,如果没有 SSID标识则不能进入网络;WEP加密:WEP 加密是一种静态加密的机制,通信双方具有一个共同的密钥,终端发送的空口信息报文必
16、须使用共同的密钥进行加密;支持 AES加密,AES 安全机制是一种动态密钥管理机制,同时密钥生成也基于不对称密钥机制来实现的,同时密钥的管理也定期更新,具有体的时间由系统可以设定,一般情况都设定为 5分钟左右,这样非法用户要想在 5分钟之内进行获取足够数量的报文进行匹配出密钥出来,从无线空口的流理来看,基本上是不可能的;H3C的无线方案中的密钥设置可能根据 SSID信息与用户信息进行组合,即不同的 SSID下不同的用户的密钥生成可以不一样,这样可以做不到不同的用户不同的管理方式,同时具备不同的权限;四、产品说明4.1 EWP-WA2612-AGN 无线接入点产品简介H3C WA2600系列无线
17、产品是杭州华三通信技术有限公司(H3C)自主研发的新一代基于802.11n技术的超百兆高速无线接入设备(以下简称 AP),可提供相当于传统 802.11a/b/g网络 6倍以上的无线接入速率,能够覆盖更大的范围。该系列无线产品上行接口采用千兆以太网接口接入,突破了百兆以太网接口的限制,使无线多媒体应用成为现实。WA2600 系列无线产品支持 Fat和 Fit两种工作模式,根据网络规划的需要,可以通过命令行灵活地在 Fat和 Fit两种工作模式中切换。作为瘦 AP(Fit AP)时,需要与 H3C自主研发的 WX系列无线控制器系列产品配套使用;作为胖 AP(Fat AP)时,可以独立进行组网。W
18、A2600 系列无线产品支持 Fat/Fit两种工作模式的特性,有利于将客户的无线网络由小型网络平滑升级到大型网络,从而很好保护用户的投资。WA2612-AGN是 WA2600系列无线产品中的一款单频多模室内型 802.11n无线接入设备,内置 3 MIMO天线,外型小巧美观,安装方式灵活,可以直接安装在天花板上。WA2612-AGN可工作在 2.4GHz频段或 5GHz频段,并支持 IEEE802.11a、IEEE802.11b、IEEE802.11g 和IEEE802.11n四种模式。产品视图如下:产品特点 实现高性能无线接入和最佳无线网络 TCOWA2612-AGN遵从 802.11n协
19、议标准,采用专业模块化设计,单射频能提供高达300Mbps的无线接入速度,是相同环境下 802.11a/b/g产品的 6倍左右。通过特有的内置集成智能射频覆盖优化技术,可以有效地从覆盖范围、接入密度、运行稳定等方面提供更高性能的无线接入服务并协助用户实现最佳无线网络 TCO(总拥有成本/Total Cost of Ownership)。 绿色低碳设计WA2612-AGN采用专业绿色低碳设计,功耗小于 10W,而标准的 802.3af(PoE)供电为15.4W,这就意味着 WA2612-AGN可以使用普通 PoE交换机(如 H3C S3000/S5000系列 PoE交换机)进行供电,供电距离可达
20、 100m。使用 PoE交换机供电不仅可以方便施工,开关和重置无线设备时也无需现场操作,只需要远程控制 PoE交换机端口,从而有效地提高无线网络的管理灵活性并降低网络维护难度。 提供千兆以太网接口有线连接上行接口采用千兆以太网接口接入,突破了传统百兆以太网接口的限制,使有线口不再成为无线接入的速率瓶颈,为将来支持更高速率更多射频组合提供了平滑升级的平台。 支持 Fat/Fit两种模式WA2612-AGN支持 Fat和 Fit两种工作模式,根据网络规划的需要,可以灵活地在 Fat和 Fit两种工作模式中切换,同时用户可以根据应用需求,灵活选择所需的设备出厂版本(Fat模式版本或 Fit模式版本)
21、。当客户的无线网络初始规模较小时,客户只需采购 WA2612-AGN无线设备,并设置其工作模式为 Fat模式。随着客户网络规模的不断扩容,当网络中应用的 WA2612-AGN无线设备达到几十甚至上百台时,为降低网络管理的复杂度,建议客户采购 H3C自主研发的 WX系列无线控制器设备,便于集中管理网络中的所有的 WA2612-AGN无线设备,此时只需将其工作模式切换到 Fit模式。WA2612-AGN作为同时支持 Fat/Fit两种工作模式的高速超百兆无线接入设备,工作模式切换过程只需要简易命令行,且可以通过设备网管批量执行,有利于将客户的无线网络由小型网络平滑升级到大型网络,从而更好地保护用户的投资,非常适合运营级大规模无线网络的平滑扩容升级。
