中電熊貓G108工地倉庫無線項目WLAN網(wǎng)絡解決方案

1、 中電熊貓G108工地倉庫無線項目 WLAN網(wǎng)絡無線覆蓋方案設計2015年10月目 錄目 錄21 概述32 中電熊貓G108工地倉庫無線項目 WLAN網(wǎng)絡設計方案32.1 網(wǎng)絡設計原則32.2 無線信號質量分析32.3 無線網(wǎng)絡總體架構52.4 無線設計52.5 SSID規(guī)劃62.6 無線安全性設計62.6.1 WLAN終端認證62.6.2 用戶身份驗證62.6.3 組網(wǎng)保護62.6.4 接入安全方案62.7 移動漫游設計72.9.1配置思路91 概述無線局域網(wǎng)（WLAN）技術于20世紀90年代逐步成熟并投入商用，既可以作傳統(tǒng)有線網(wǎng)絡的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線網(wǎng)絡。無線局域網(wǎng)具有以

2、下顯著特點：Ø 簡易性：WLAN網(wǎng)橋傳輸系統(tǒng)的安裝快速簡單，可極大的減少敷設管道及布線等繁瑣工作；Ø 靈活性：無線技術使得WLAN設備可以靈活的進行安裝并調(diào)整位置，使無線網(wǎng)絡達到有線網(wǎng)絡不易覆蓋的區(qū)域；Ø 綜合成本較低：一方面WLAN網(wǎng)絡減少了布線的費用，另一方面在需要頻繁移動和變化的動態(tài)環(huán)境中，無線局域網(wǎng)技術可以更好地保護已有投資。同時，由于WLAN技術本身就是面向數(shù)據(jù)通信領域的IP傳輸技術，因此可直接通過百兆自適應網(wǎng)口和企業(yè)、內(nèi)部Intranet相連，從體系結構上節(jié)省了協(xié)議轉換器等相關設備；Ø 擴展能力強：WLAN網(wǎng)橋系統(tǒng)支持多種拓撲結構及平滑擴容，

3、可以十分容易地從小容量傳輸系統(tǒng)平滑擴展為中等容量傳輸系統(tǒng)；2 中電熊貓G108工地倉庫無線項目 WLAN網(wǎng)絡設計方案2.1 網(wǎng)絡設計原則此次無線局域網(wǎng)建設有以下需求：1. 利用無線網(wǎng)技術實現(xiàn)無線覆蓋，使員工能夠隨時隨地、方便高效地傳輸數(shù)據(jù)到系統(tǒng)服務器。2. 實現(xiàn)線上網(wǎng)用戶的認證，銷戶，監(jiān)控等功能。3. 對于無線AP設備實施統(tǒng)一管理和監(jiān)控。4. 無線網(wǎng)絡的部署需要考慮簡單方便，天線需要采取比較友好的設計，不能讓用戶感受到壓力。5. 關注安全性，無線用戶之間彼此隔離，防止ARP攻擊，并限制上網(wǎng)流量。2.2 無線信號質量分析下圖為WLAN信道分配情況，在2.4GHz-2.4835GHz范圍內(nèi)共13個

4、相鄰子信道，一般不相干擾的復用信道組合為（1，6，11）或（1，7，13）2.4122.4172.4222.4322.4422.4522.4622.4722.4842.4272.4372.4472.4572.4672345178910611121314下表中體現(xiàn)的是三種頻率間隔情況下，隨著兩AP間距的變化，終端連接信號質量及吞吐量的變化。顏色代表適配卡配置軟件中，檢視連接信號質量窗口顯示的顏色。表格中數(shù)值表示吞吐量，單位為kbytes/s。在多用戶情況下，實際情況會更差些。上述數(shù)據(jù)僅供參考，實際網(wǎng)絡需根據(jù)測試結果確定。2.3 無線網(wǎng)絡總體架構1. 采用AC6605-26-PWR作為本次無線覆蓋

5、項目的無線控制器2. 采用AP5030DN作為本次綜合樓無線覆蓋的室內(nèi)無線接入點. 3. 采用雙AP熱備的方式三層旁掛于核心交換機我們設計采用強電供電方式，由電源適配器直接連接強電對無線AP進行供電，以超五類網(wǎng)線互聯(lián)，最后通過樓層接入交換機連接入交換機再接入核心交換機，無線控制器與核心交換機互聯(lián)，無線控制器通過管理VLAN管理無線AP，最后。這樣整個無線網(wǎng)可以實施靈活的無線劃分。2.4 無線設計根據(jù)無線網(wǎng)絡需求及實地的測試堪察，并結合以往的工程經(jīng)驗，對無線網(wǎng)絡做出以下規(guī)劃示意圖如下2.5 SSID規(guī)劃從用戶使用的角度來看，基本上確定劃分一個SSID，初步定為PANDA-FAB2.6 無線安全性

6、設計2.6.1 WLAN終端認證IEEE 802.11標準要求WLAN終端在準備連接到網(wǎng)絡時，必需進行“身份驗證”。 WLAN終端身份認證采用MAC接入認證2.6.2 用戶身份驗證相對于簡單的STA身份驗證過濾機制，鏈路層用戶身份驗證的安全性大大提高。通過提供有限的訪問權限來驗證用戶身份，只有確定用戶身份后才給予完整的網(wǎng)絡訪問權限，可有效判別用戶的合法性。鏈路層身份驗證時透明的，能配合任何網(wǎng)絡層協(xié)議使用。WLAN的鏈路層身份驗證WAPA/WPA2認證方式。2.6.3 組網(wǎng)保護華為AC產(chǎn)品接口豐富，支持LACP（Link Aggregation Control Protocol，以下簡稱LACP

7、）和MSTP（Multiple Spanning Tree Protocol，以下簡稱MSTP）等組網(wǎng)保護機制，可提供端口級冗余保護，及設備級1+1快速備份。2.6.4 接入安全方案華為AC均支持開放系統(tǒng)認證、WEP加密、共享密鑰認證、WPA/WPA2認證合加密、WAPI認證加密等無線接入安全特性。特性指標WLAN安全模板管理u 支持通過WLAN安全模板管理認證和加密方式。u 支持安全模板綁定到ESS模板。u 最多支持256個AP配置模板。OPEN-SYS方式認證支持“OPEN-SYS認證+無加密”方式。WEP認證加密u 支持WEP的認證/加密方式。u 每個AP最多支持4個WEP加密方式的VA

8、P。u WEP認證加密在AP實施，認證結果通知AC。WPA/WPA2認證加密u 支持AC集中認證方式。u 支持“WPA/WPA2-PSK+TKIP”的認證/加密方式。u 支持“WPA/WPA2-PSK+CCMP”的認證/加密方式。u 支持“WPA/WPA2-802.1x+TKIP”的認證/加密方式。u 支持“WPA/WPA2-802.1x+CCMP”的認證/加密方式。WAPI認證加密u 支持AC集中式WAPI認證。u 支持WAPI多信任證書方式（3證書），兼容傳統(tǒng)雙證書方式。u 支持證書和私鑰合一的發(fā)放方式。u 支持WAPI加密的啟用/禁用。2.7 移動漫游設計無線用戶移動漫游，涉及到多個層次

9、的漫游，最為簡單的是二層漫游，其他廠家產(chǎn)品都表現(xiàn)不錯，三層漫游就困難多了，還有當用戶跨越多個域時怎樣無縫漫游，華為無線局域網(wǎng)可以實現(xiàn)快速無縫漫游功能。L2/L3層漫游在傳統(tǒng)的無線局域網(wǎng)內(nèi)，無線終端要跨越不同AP之間漫游是有一定的困難，因為不同AP之間，它的無線用戶IP子網(wǎng)可能都不是在同一個VLAN內(nèi)。所以當無線終端從一個AP漫游到另一AP時，由于它們之間的缺省IP子網(wǎng)不同，無線終端會重新發(fā)出DHCP請求，這樣的話終端的IP地址就會更新，所有在原先AP建立的連接都會被切斷。過去為了解決跨越三層的漫游，有些用戶采用了Mobile IP的技術，但Mobile IP的缺點是它必須在無線終端安裝軟件。這

10、是一般網(wǎng)絡管理人員不愿意做的事情，因為它們就必須支持和維護用戶的無線接入端。通過華為無線系統(tǒng)，可解決了跨越不同三層IP子網(wǎng)的無線漫游問題。 在不同域之間的用戶認證和漫游在大型網(wǎng)絡內(nèi)，一般都有很多不同的部門，部門內(nèi)通常都有自己的用戶數(shù)據(jù)庫，即所謂的本地認證服務器。在實現(xiàn)應用時，要求有單一的認證數(shù)據(jù)庫是未必可行的，但同時無線用戶應是可在內(nèi)無縫漫游。 當用戶不是在本地入網(wǎng)或是從一個部門的接入點漫游到另一部門的接入點需要重新認證時，如果用戶名和密碼在當?shù)氐臄?shù)據(jù)庫是不存在的話，則用戶會被斷線。要做到真正的無縫漫游，則需要有支持Radius 代理這樣的功能。但由于不是所有的認證服務器都支持這種功能所以在具

11、體實施時也有一定的困難。華為本身就可提供不同域之間的認證功能，域名可以與SSID綁定，亦可以讓用戶在登陸網(wǎng)頁時輸入或選擇域名。華為會把在不同域之間的認證請求轉發(fā)到對應這域的radius服務器處理。2.8組網(wǎng)方式采用雙鏈路熱備旁掛組網(wǎng)方式2.9數(shù)據(jù)規(guī)劃配置項數(shù)據(jù)WLAN服務WPA2加密。密碼： FAB-wlan(2015)AC1的源接口VLANIF1300：172.17.1.1/24AC2的源接口VLANIF1300：172.17.1.2/24AC Carrier ID/AC IDOther/1AP域10服務集SSID：PANDA-FAB數(shù)據(jù)轉發(fā)模式：隧道轉發(fā)DHCP服務器生產(chǎn)網(wǎng)核心交換機作為D

12、HCP服務器，為AP和STA分配地址AP的網(wǎng)關VLANIF1300：172.17.1.3/24AP的IP地址池172.17.1.4/24172.17.1.254/24STA的網(wǎng)關VLANIF1301：172.17.2.3/24STA的IP地址池172.17.2.4172.17.2.254/24備份VLANVLANIF1302:172.17.3.0/242.9.1配置思路采用如下的思路配置雙鏈路方式的AC熱備：1、配置AP、AC和其他網(wǎng)絡設備之間實現(xiàn)網(wǎng)絡互通。2、配置WLAN基本業(yè)務，保證用戶能夠訪問企業(yè)內(nèi)部網(wǎng)絡。3、使用AC全局配置方式配置雙鏈路備份。4、配置雙機熱備份功能，將AC1上的WLA

13、N業(yè)務信息通過備份鏈路批量備份和實時備份到AC2上，實現(xiàn)當AC1故障時，AC2接替AC1繼續(xù)工作，保證用戶業(yè)務不中斷。2.9.2AP靜態(tài)上線用串口登錄AP，配置AP靜態(tài)IP信息# 配置AP靜態(tài)IP地址、 AC的IP地址<Quidway> system-viewQuidway ap-address mode staticQuidway ap-address static ip-address 172.17.1.4 24Quidway ap-address static ac-list 172.17.1.1Quidway quit<Quidway> rebootSystem will reboot! Continue ? y/n:y2.9.3STA部分部分靜態(tài)地址在地址池中做靜態(tài)地址MAC綁定，可以將不需要自動分配的地址exclude掉，并且在下面做DHCP靜態(tài)綁定 d