中電熊貓G108工地倉(cāng)庫(kù)無(wú)線項(xiàng)目WLAN網(wǎng)絡(luò)解決方案

1、 中電熊貓G108工地倉(cāng)庫(kù)無(wú)線項(xiàng)目 WLAN網(wǎng)絡(luò)無(wú)線覆蓋方案設(shè)計(jì)2015年10月目 錄目 錄21 概述32 中電熊貓G108工地倉(cāng)庫(kù)無(wú)線項(xiàng)目 WLAN網(wǎng)絡(luò)設(shè)計(jì)方案32.1 網(wǎng)絡(luò)設(shè)計(jì)原則32.2 無(wú)線信號(hào)質(zhì)量分析32.3 無(wú)線網(wǎng)絡(luò)總體架構(gòu)52.4 無(wú)線設(shè)計(jì)52.5 SSID規(guī)劃62.6 無(wú)線安全性設(shè)計(jì)62.6.1 WLAN終端認(rèn)證62.6.2 用戶身份驗(yàn)證62.6.3 組網(wǎng)保護(hù)62.6.4 接入安全方案62.7 移動(dòng)漫游設(shè)計(jì)72.9.1配置思路91 概述無(wú)線局域網(wǎng)（WLAN）技術(shù)于20世紀(jì)90年代逐步成熟并投入商用，既可以作傳統(tǒng)有線網(wǎng)絡(luò)的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線網(wǎng)絡(luò)。無(wú)線局域網(wǎng)具有以

2、下顯著特點(diǎn)：Ø 簡(jiǎn)易性：WLAN網(wǎng)橋傳輸系統(tǒng)的安裝快速簡(jiǎn)單，可極大的減少敷設(shè)管道及布線等繁瑣工作；Ø 靈活性：無(wú)線技術(shù)使得WLAN設(shè)備可以靈活的進(jìn)行安裝并調(diào)整位置，使無(wú)線網(wǎng)絡(luò)達(dá)到有線網(wǎng)絡(luò)不易覆蓋的區(qū)域；Ø 綜合成本較低：一方面WLAN網(wǎng)絡(luò)減少了布線的費(fèi)用，另一方面在需要頻繁移動(dòng)和變化的動(dòng)態(tài)環(huán)境中，無(wú)線局域網(wǎng)技術(shù)可以更好地保護(hù)已有投資。同時(shí)，由于WLAN技術(shù)本身就是面向數(shù)據(jù)通信領(lǐng)域的IP傳輸技術(shù)，因此可直接通過(guò)百兆自適應(yīng)網(wǎng)口和企業(yè)、內(nèi)部Intranet相連，從體系結(jié)構(gòu)上節(jié)省了協(xié)議轉(zhuǎn)換器等相關(guān)設(shè)備；Ø 擴(kuò)展能力強(qiáng)：WLAN網(wǎng)橋系統(tǒng)支持多種拓?fù)浣Y(jié)構(gòu)及平滑擴(kuò)容，

3、可以十分容易地從小容量傳輸系統(tǒng)平滑擴(kuò)展為中等容量傳輸系統(tǒng)；2 中電熊貓G108工地倉(cāng)庫(kù)無(wú)線項(xiàng)目 WLAN網(wǎng)絡(luò)設(shè)計(jì)方案2.1 網(wǎng)絡(luò)設(shè)計(jì)原則此次無(wú)線局域網(wǎng)建設(shè)有以下需求：1. 利用無(wú)線網(wǎng)技術(shù)實(shí)現(xiàn)無(wú)線覆蓋，使員工能夠隨時(shí)隨地、方便高效地傳輸數(shù)據(jù)到系統(tǒng)服務(wù)器。2. 實(shí)現(xiàn)線上網(wǎng)用戶的認(rèn)證，銷戶，監(jiān)控等功能。3. 對(duì)于無(wú)線AP設(shè)備實(shí)施統(tǒng)一管理和監(jiān)控。4. 無(wú)線網(wǎng)絡(luò)的部署需要考慮簡(jiǎn)單方便，天線需要采取比較友好的設(shè)計(jì)，不能讓用戶感受到壓力。5. 關(guān)注安全性，無(wú)線用戶之間彼此隔離，防止ARP攻擊，并限制上網(wǎng)流量。2.2 無(wú)線信號(hào)質(zhì)量分析下圖為WLAN信道分配情況，在2.4GHz-2.4835GHz范圍內(nèi)共13個(gè)

4、相鄰子信道，一般不相干擾的復(fù)用信道組合為（1，6，11）或（1，7，13）2.4122.4172.4222.4322.4422.4522.4622.4722.4842.4272.4372.4472.4572.4672345178910611121314下表中體現(xiàn)的是三種頻率間隔情況下，隨著兩AP間距的變化，終端連接信號(hào)質(zhì)量及吞吐量的變化。顏色代表適配卡配置軟件中，檢視連接信號(hào)質(zhì)量窗口顯示的顏色。表格中數(shù)值表示吞吐量，單位為kbytes/s。在多用戶情況下，實(shí)際情況會(huì)更差些。上述數(shù)據(jù)僅供參考，實(shí)際網(wǎng)絡(luò)需根據(jù)測(cè)試結(jié)果確定。2.3 無(wú)線網(wǎng)絡(luò)總體架構(gòu)1. 采用AC6605-26-PWR作為本次無(wú)線覆蓋

5、項(xiàng)目的無(wú)線控制器2. 采用AP5030DN作為本次綜合樓無(wú)線覆蓋的室內(nèi)無(wú)線接入點(diǎn). 3. 采用雙AP熱備的方式三層旁掛于核心交換機(jī)我們?cè)O(shè)計(jì)采用強(qiáng)電供電方式，由電源適配器直接連接強(qiáng)電對(duì)無(wú)線AP進(jìn)行供電，以超五類網(wǎng)線互聯(lián)，最后通過(guò)樓層接入交換機(jī)連接入交換機(jī)再接入核心交換機(jī)，無(wú)線控制器與核心交換機(jī)互聯(lián)，無(wú)線控制器通過(guò)管理VLAN管理無(wú)線AP，最后。這樣整個(gè)無(wú)線網(wǎng)可以實(shí)施靈活的無(wú)線劃分。2.4 無(wú)線設(shè)計(jì)根據(jù)無(wú)線網(wǎng)絡(luò)需求及實(shí)地的測(cè)試堪察，并結(jié)合以往的工程經(jīng)驗(yàn)，對(duì)無(wú)線網(wǎng)絡(luò)做出以下規(guī)劃示意圖如下2.5 SSID規(guī)劃從用戶使用的角度來(lái)看，基本上確定劃分一個(gè)SSID，初步定為PANDA-FAB2.6 無(wú)線安全性

6、設(shè)計(jì)2.6.1 WLAN終端認(rèn)證IEEE 802.11標(biāo)準(zhǔn)要求WLAN終端在準(zhǔn)備連接到網(wǎng)絡(luò)時(shí)，必需進(jìn)行“身份驗(yàn)證”。 WLAN終端身份認(rèn)證采用MAC接入認(rèn)證2.6.2 用戶身份驗(yàn)證相對(duì)于簡(jiǎn)單的STA身份驗(yàn)證過(guò)濾機(jī)制，鏈路層用戶身份驗(yàn)證的安全性大大提高。通過(guò)提供有限的訪問(wèn)權(quán)限來(lái)驗(yàn)證用戶身份，只有確定用戶身份后才給予完整的網(wǎng)絡(luò)訪問(wèn)權(quán)限，可有效判別用戶的合法性。鏈路層身份驗(yàn)證時(shí)透明的，能配合任何網(wǎng)絡(luò)層協(xié)議使用。WLAN的鏈路層身份驗(yàn)證WAPA/WPA2認(rèn)證方式。2.6.3 組網(wǎng)保護(hù)華為AC產(chǎn)品接口豐富，支持LACP（Link Aggregation Control Protocol，以下簡(jiǎn)稱LACP

7、）和MSTP（Multiple Spanning Tree Protocol，以下簡(jiǎn)稱MSTP）等組網(wǎng)保護(hù)機(jī)制，可提供端口級(jí)冗余保護(hù)，及設(shè)備級(jí)1+1快速備份。2.6.4 接入安全方案華為AC均支持開(kāi)放系統(tǒng)認(rèn)證、WEP加密、共享密鑰認(rèn)證、WPA/WPA2認(rèn)證合加密、WAPI認(rèn)證加密等無(wú)線接入安全特性。特性指標(biāo)WLAN安全模板管理u 支持通過(guò)WLAN安全模板管理認(rèn)證和加密方式。u 支持安全模板綁定到ESS模板。u 最多支持256個(gè)AP配置模板。OPEN-SYS方式認(rèn)證支持“OPEN-SYS認(rèn)證+無(wú)加密”方式。WEP認(rèn)證加密u 支持WEP的認(rèn)證/加密方式。u 每個(gè)AP最多支持4個(gè)WEP加密方式的VA

8、P。u WEP認(rèn)證加密在AP實(shí)施，認(rèn)證結(jié)果通知AC。WPA/WPA2認(rèn)證加密u 支持AC集中認(rèn)證方式。u 支持“WPA/WPA2-PSK+TKIP”的認(rèn)證/加密方式。u 支持“WPA/WPA2-PSK+CCMP”的認(rèn)證/加密方式。u 支持“WPA/WPA2-802.1x+TKIP”的認(rèn)證/加密方式。u 支持“WPA/WPA2-802.1x+CCMP”的認(rèn)證/加密方式。WAPI認(rèn)證加密u 支持AC集中式WAPI認(rèn)證。u 支持WAPI多信任證書(shū)方式（3證書(shū)），兼容傳統(tǒng)雙證書(shū)方式。u 支持證書(shū)和私鑰合一的發(fā)放方式。u 支持WAPI加密的啟用/禁用。2.7 移動(dòng)漫游設(shè)計(jì)無(wú)線用戶移動(dòng)漫游，涉及到多個(gè)層次

9、的漫游，最為簡(jiǎn)單的是二層漫游，其他廠家產(chǎn)品都表現(xiàn)不錯(cuò)，三層漫游就困難多了，還有當(dāng)用戶跨越多個(gè)域時(shí)怎樣無(wú)縫漫游，華為無(wú)線局域網(wǎng)可以實(shí)現(xiàn)快速無(wú)縫漫游功能。L2/L3層漫游在傳統(tǒng)的無(wú)線局域網(wǎng)內(nèi)，無(wú)線終端要跨越不同AP之間漫游是有一定的困難，因?yàn)椴煌珹P之間，它的無(wú)線用戶IP子網(wǎng)可能都不是在同一個(gè)VLAN內(nèi)。所以當(dāng)無(wú)線終端從一個(gè)AP漫游到另一AP時(shí)，由于它們之間的缺省IP子網(wǎng)不同，無(wú)線終端會(huì)重新發(fā)出DHCP請(qǐng)求，這樣的話終端的IP地址就會(huì)更新，所有在原先AP建立的連接都會(huì)被切斷。過(guò)去為了解決跨越三層的漫游，有些用戶采用了Mobile IP的技術(shù)，但Mobile IP的缺點(diǎn)是它必須在無(wú)線終端安裝軟件。這

10、是一般網(wǎng)絡(luò)管理人員不愿意做的事情，因?yàn)樗鼈兙捅仨氈С趾途S護(hù)用戶的無(wú)線接入端。通過(guò)華為無(wú)線系統(tǒng)，可解決了跨越不同三層IP子網(wǎng)的無(wú)線漫游問(wèn)題。 在不同域之間的用戶認(rèn)證和漫游在大型網(wǎng)絡(luò)內(nèi)，一般都有很多不同的部門，部門內(nèi)通常都有自己的用戶數(shù)據(jù)庫(kù)，即所謂的本地認(rèn)證服務(wù)器。在實(shí)現(xiàn)應(yīng)用時(shí)，要求有單一的認(rèn)證數(shù)據(jù)庫(kù)是未必可行的，但同時(shí)無(wú)線用戶應(yīng)是可在內(nèi)無(wú)縫漫游。 當(dāng)用戶不是在本地入網(wǎng)或是從一個(gè)部門的接入點(diǎn)漫游到另一部門的接入點(diǎn)需要重新認(rèn)證時(shí)，如果用戶名和密碼在當(dāng)?shù)氐臄?shù)據(jù)庫(kù)是不存在的話，則用戶會(huì)被斷線。要做到真正的無(wú)縫漫游，則需要有支持Radius 代理這樣的功能。但由于不是所有的認(rèn)證服務(wù)器都支持這種功能所以在具

11、體實(shí)施時(shí)也有一定的困難。華為本身就可提供不同域之間的認(rèn)證功能，域名可以與SSID綁定，亦可以讓用戶在登陸網(wǎng)頁(yè)時(shí)輸入或選擇域名。華為會(huì)把在不同域之間的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到對(duì)應(yīng)這域的radius服務(wù)器處理。2.8組網(wǎng)方式采用雙鏈路熱備旁掛組網(wǎng)方式2.9數(shù)據(jù)規(guī)劃配置項(xiàng)數(shù)據(jù)WLAN服務(wù)WPA2加密。密碼： FAB-wlan(2015)AC1的源接口VLANIF1300：172.17.1.1/24AC2的源接口VLANIF1300：172.17.1.2/24AC Carrier ID/AC IDOther/1AP域10服務(wù)集SSID：PANDA-FAB數(shù)據(jù)轉(zhuǎn)發(fā)模式：隧道轉(zhuǎn)發(fā)DHCP服務(wù)器生產(chǎn)網(wǎng)核心交換機(jī)作為D

12、HCP服務(wù)器，為AP和STA分配地址AP的網(wǎng)關(guān)VLANIF1300：172.17.1.3/24AP的IP地址池172.17.1.4/24172.17.1.254/24STA的網(wǎng)關(guān)VLANIF1301：172.17.2.3/24STA的IP地址池172.17.2.4172.17.2.254/24備份VLANVLANIF1302:172.17.3.0/242.9.1配置思路采用如下的思路配置雙鏈路方式的AC熱備：1、配置AP、AC和其他網(wǎng)絡(luò)設(shè)備之間實(shí)現(xiàn)網(wǎng)絡(luò)互通。2、配置WLAN基本業(yè)務(wù)，保證用戶能夠訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)。3、使用AC全局配置方式配置雙鏈路備份。4、配置雙機(jī)熱備份功能，將AC1上的WLA

13、N業(yè)務(wù)信息通過(guò)備份鏈路批量備份和實(shí)時(shí)備份到AC2上，實(shí)現(xiàn)當(dāng)AC1故障時(shí)，AC2接替AC1繼續(xù)工作，保證用戶業(yè)務(wù)不中斷。2.9.2AP靜態(tài)上線用串口登錄AP，配置AP靜態(tài)IP信息# 配置AP靜態(tài)IP地址、 AC的IP地址<Quidway> system-viewQuidway ap-address mode staticQuidway ap-address static ip-address 172.17.1.4 24Quidway ap-address static ac-list 172.17.1.1Quidway quit<Quidway> rebootSystem will reboot! Continue ? y/n:y2.9.3STA部分部分靜態(tài)地址在地址池中做靜態(tài)地址MAC綁定，可以將不需要自動(dòng)分配的地址exclude掉，并且在下面做DHCP靜態(tài)綁定 d