体育馆无线覆盖技术方案Word格式.docx
- 文档编号:20810716
- 上传时间:2023-01-25
- 格式:DOCX
- 页数:10
- 大小:303.59KB
体育馆无线覆盖技术方案Word格式.docx
《体育馆无线覆盖技术方案Word格式.docx》由会员分享,可在线阅读,更多相关《体育馆无线覆盖技术方案Word格式.docx(10页珍藏版)》请在冰豆网上搜索。
二、项目需求
a)本工程具体的建设目标是:
1、采取通行的网络协议IEEE802。
11g标准,选取合理的无线覆盖方案,从而实现对场管各区域的WLAN信号覆盖,提供稳定可靠的无线宽带网络接入服务;
2、全面的无线网络支撑系统(包括无线安全、无线QOS等),以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题;
3、保证网络访问的安全性,支持用户多种接入方式认证机制;
4、安全、认证和管理要求。
为了阻止非授权用户访问无线网络,以及防止对无线局域网数据流的非法侦听,无线网络要具有相应的安全手段,主要包括:
物理地址(MAC)过滤、服务区标识符(SSID)匹配、AES加密,双向认证等方式。
Ø
工程布线和安装要求:
室内部分:
将网线走暗线敷设到位挂在天花板上,则根据天花板的情况而定,天花板是非金属结构,可以固定在天花板内。
安装过程中应充分考虑防盗问题。
供电部分:
AP的供电可采用POE供电交换机配合市电进行供电.
产品能力要求要求:
支持负载均衡;
漫游切换;
支撑QOS能力
支持GuestVLAN的要求;
良好的售前售后服务,及时响应用户的需求。
三、网络建设方案
对方案的选择,我们严格按照客户的需求进行,采用瘦AP+无线控制器的组网方式,AP通过市电进行供电.场馆楼道东西常80米,南北长130米。
根据设备的覆盖数据楼道共计需要28个AP。
场馆内东西各5个,南北各4个。
本次供电方案:
集中供电方式:
通过POE交换机个POE供电端口供电;
另外,之所以要选用控制器+瘦AP解决方案,是因为就目前的AP分散状态开,分别部署在站场的不同区域,对于管理员来说,对AP的软件升级、配置管理以及无线客户端的定位是件很懊恼的事情。
有了控制器,可以将分散的AP集中管理和控制,统一下发配置和更新系统等,还可以和有线用户实现一体化的验证、智能的负载分担和二层三层漫游等。
从安全角度考虑,为实现业务的有效隔离,采用针对不同业务分配不同SSID方式进行业务区分,其中一个无线网段只能访问互联网,另外可以再设置一个无线服务(SSID)用于管理人员无线对内网的管理.并对同一个AP下的不同SSID设置不同的权限,后期还可以配合认证、EAD等手段做到终端的准入和安全接入.
3。
1无线网络基础方案
方案逻辑组网图
产品的选型
根据用户需求可知,需要认证上网,但要支持.产品选型非常重要,根据我们多年的经验和对技术的认识,在各大无线厂商中我们能看到H3C无线产品和技术的优势.
●无线AP
根据我们对客户需求的了解,场馆各区域的AP覆盖我们选用H3C的WA2612-AGN双频多模系列无线接入点,可广泛应用于各种向用户提供WLAN接入的无线网络;
WA2612—AGN作为瘦AP(FITAP)与H3CWX3024无线控制器配套使用。
WA2612-AGN基于业界最新的硬件平台,具备业界同类产品最优的无线射频功能,同时产品集硬件加密、零配置、自动信道分配、多BSSID、IPv6等多个功能于一体,实现网络的易操作性、易维护性、健壮性,并能有效的防止网络配置的对外泄漏.
WA2612—AGN与H3C公司自主研发的系列无线控制器之间的通信基于标准的CAPWAP架构,通过无线控制器实现集中管理和简单的即插即用安装.同时,AP的配置信息保存在无线控制器中,即使更换AP,配置信息也可以自动下发,无需重新配置。
与传统基于无线控制器的集中式加密相比,WA2612-AGN对用户数据实现了本地流量加密,可大大减轻了无线控制器的负担。
无线控制器与后端授权/认证/计费(AAA)服务器配合,可以控制用户和用户组的网络访问策略,当用户漫游网络时提供安全的业务连续性和完整性。
WA2612—AGN产品具有双频能力,即可以工作于WLAN的2。
4GHz频段或5GHz频段之上.支持多模,即指IEEE802.11a、IEEE802。
11b和IEEE802。
11g三种模式.WA2612-AGN可通过软件配置支持IEEE802.11a或IEEE802。
11b/g。
WA2612-AGN支持多SSID实现虚拟AP特性,每个SSID可对应不同的VLAN、从而对于每一个SSID可以实现不同的网络服务及认证方式.该特性使管理员可以方便的为不同用户群、不同的业务制定区分的服务策略。
●无线控制器
根据我们对AP的个数可以确定无线控制器(AC)的型号,根据我们的计算,一期大约需要部署46个AP,WX3024:
最多可管理48个AP;
24个GE电口,支持POE供电;
交换容量为:
88Gbps;
包转发率:
65。
47Mpps。
传统无线网络的部署需要网络管理员对网络中的每一个AP进行逐一配置,当无线网络规模较大时网络管理员往往要配置上百个AP,工作量巨大,且容易出错.而采用无线控制器和FITAP配合组网时,只需要在无线控制器上对一类相同属性的AP建立配置模板,AP在启动时可以自动从无线控制器上下载最新的配置文件。
另外,由于AP本身不保存任何配置,万一设备丢失,也可以保证网络配置不被窃取。
AP支持启动后自动获取IP地址、自动获取AC的工作列表并自动和AC建立关联,真正做到了零配置,免维护,即插即用,极大地减轻了网络管理员在部署网络阶段的维护工作量。
当网络正常运行以后,无线控制器对所管理的AP以及AP所接入的用户进行实时监控,并能将这些信息实时上报给网管.维护人员可以指定AP或用户进行在线服务策略设定和安全策略设定,使网络配置策略更加灵活。
同时,无线控制器支持AP软件自动更新功能,AP在每次重新启动时会自动比较当前运行的软件版本和无线控制器上的最新版本是否一致,如不一致AP会自动更新本地的软件映像,软件升级不再需要网管人员的干预.
2无线网络安全
无线局域网络主要服务于企业作业系统,上面存在诸多的企业的商业信息,故网络安全问题在建网时必须考虑问题,安全方式主要侧重几个方面:
用户安全、系统安全,对每个无线接入的用户需要加密认证方可进入,可以根据不同的用户加入不同的VLAN,再通过交换机做策略的规划.这样本无线网络中着重考虑使用无线网络的空口信息的安全机制,同时也要考虑与无线相关的有线网络的安全问题,对于原有有线网络的安全问题,在本技术建议书中不作相应的考虑;
用户安全
数据安全部分主要包括以下方面的内容:
MAC地址过滤:
目前支持基于MAC地址的过滤,限制具有某种类型的MAC地址特征的终端才能进入网络中;
SSID管理:
是一种网络标识的方案,将网络进行一个逻辑化标识,对终端上发的报文都要求进行上带SSID,如果没有SSID标识则不能进入网络;
WEP加密:
WEP加密是一种静态加密的机制,通信双方具有一个共同的密钥,终端发送的空口信息报文必须使用共同的密钥进行加密;
支持AES加密,AES安全机制是一种动态密钥管理机制,同时密钥生成也基于不对称密钥机制来实现的,同时密钥的管理也定期更新,具有体的时间由系统可以设定,一般情况都设定为5分钟左右,这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来,从无线空口的流理来看,基本上是不可能的;
H3C的无线方案中的密钥设置可能根据SSID信息与用户信息进行组合,即不同的SSID下不同的用户的密钥生成可以不一样,这样可以做不到不同的用户不同的管理方式,同时具备不同的权限;
四、产品说明
4。
1EWP-WA2612—AGN无线接入点
产品简介
H3CWA2600系列无线产品是杭州华三通信技术有限公司(H3C)自主研发的新一代基于802.11n技术的超百兆高速无线接入设备(以下简称AP),可提供相当于传统802。
11a/b/g网络6倍以上的无线接入速率,能够覆盖更大的范围.该系列无线产品上行接口采用千兆以太网接口接入,突破了百兆以太网接口的限制,使无线多媒体应用成为现实。
WA2600系列无线产品支持Fat和Fit两种工作模式,根据网络规划的需要,可以通过命令行灵活地在Fat和Fit两种工作模式中切换.作为瘦AP(FitAP)时,需要与H3C自主研发的WX系列无线控制器系列产品配套使用;
作为胖AP(FatAP)时,可以独立进行组网。
WA2600系列无线产品支持Fat/Fit两种工作模式的特性,有利于将客户的无线网络由小型网络平滑升级到大型网络,从而很好保护用户的投资.
WA2612-AGN是WA2600系列无线产品中的一款单频多模室内型802.11n无线接入设备,内置3MIMO天线,外型小巧美观,安装方式灵活,可以直接安装在天花板上。
WA2612—AGN可工作在2.4GHz频段或5GHz频段,并支持IEEE802。
11a、IEEE802。
11b、IEEE802.11g和IEEE802.11n四种模式。
产品视图如下:
产品特点
●
实现高性能无线接入和最佳无线网络TCO
WA2612—AGN遵从802.11n协议标准,采用专业模块化设计,单射频能提供高达300Mbps的无线接入速度,是相同环境下802.11a/b/g产品的6倍左右.通过特有的内置集成智能射频覆盖优化技术,可以有效地从覆盖范围、接入密度、运行稳定等方面提供更高性能的无线接入服务并协助用户实现最佳无线网络TCO(总拥有成本/TotalCostofOwnership).
绿色低碳设计
WA2612—AGN采用专业绿色低碳设计,功耗小于10W,而标准的802.3af(PoE)供电为15.4W,这就意味着WA2612-AGN可以使用普通PoE交换机(如H3CS3000/S5000系列PoE交换机)进行供电,供电距离可达100m.使用PoE交换机供电不仅可以方便施工,开关和重置无线设备时也无需现场操作,只需要远程控制PoE交换机端口,从而有效地提高无线网络的管理灵活性并降低网络维护难度。
提供千兆以太网接口有线连接
上行接口采用千兆以太网接口接入,突破了传统百兆以太网接口的限制,使有线口不再成为无线接入的速率瓶颈,为将来支持更高速率更多射频组合提供了平滑升级的平台.
支持Fat/Fit两种模式
WA2612—AGN支持Fat和Fit两种工作模式,根据网络规划的需要,可以灵活地在Fat和Fit两种工作模式中切换,同时用户可以根据应用需求,灵活选择所需的设备出厂版本(Fat模式版本或Fit模式版本)。
当客户的无线网络初始规模较小时,客户只需采购WA2612—AGN无线设备,并设置其工作模式为Fat模式。
随着客户网络规模的不断扩容,当网络中应用的WA2612—AGN无线设备达到几十甚至上百台时,为降低网络管理的复杂度,建议客户采购H3C自主研发的WX系列无线控制器设备,便于集中管理网络中的所有的WA2612—AGN无线设备,此时只需将其工作模式切换到Fit模式。
WA2612—AGN作为同时支持Fat/Fit两种工作模式的高速超百兆无线接入设备,工作模式切换过程只需要简易命令行,且可以通过设备网管批量执行,有利于将客户的无线网络由小型网络平滑升级到大型网络,从而更好地保护用户的投资,非常适合运营级大规模无线网络的平滑扩容升级。
提供本地转发功能
当WA2612—AGN(Fit模式)通过广域网方式转发时,无线接入设备部署在分支机构,而无线控制器部署在总部,所有用户数据由无线接入设备发送到无线控制器,再由无线控制器进行集中转发,导致转发效率低下。
WA2612—AGN可将数据报文在无线接入设备上直接转化为有线格式的报文,使得数据报文不经过无线控制器,而是在本地进行转发,大大提高了转发效率。
支持IPv4/IPv6双协议栈
WA2612-AGN全面支持IPv6特性,设备实现了IPv4/IPv6双协议栈。
通过与WX系列无线控制器建立IPv6隧道,无论原有有线网络是IPv4还是IPv6,WA2612-AGN都可以自由的与WX系列控制器进行通信,不会成为网络中的信息孤岛。
支持智能负载均衡
WA2612-AGN支持按接入用户数量和流量的复杂均衡方式,当无线控制器发现无线接入设备的负载超过设定的门限值以后,对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的无线接入设备可供用户接入,如果有则会拒绝用户的关联请求,用户会转而接入其他负载较轻的无线接入设备,但如果无线用户不在重叠覆盖区内,传统的负载均衡方式往往会导致连接不上网络,造成误均衡。
H3C公司创新性的支持智能负载均衡技术,保证只对处于覆盖重叠区的无线用户才启动负载均衡功能,有效的避免误均衡的出现,从而最大限度的提高了无线网络容量。
提供only11n接入功能
由于802.11n向下兼容802。
11a/b/g协议,故通常情况下,802.11a/b/g用户也能接入到802。
11n的无线接入设备上。
但这种兼容能力的提供,会造成具备802.11n接入能力的用户实际使用性能产生一定程度的下降.WA2612—AGN支持将设备的射频设置为only11n模式,使得802.11n接入用户的高速带宽和接入性能得到保证。
支持中国标准WAPI
WA2612-AGN除了支持WLAN国际标准802。
11i,还支持中国无线局域网国家标准GB15629。
11-2003中提出的WAPI标准.
支持无线入侵检测/防御(WIDS/WIPS)
WA2612-AGN工作在Fat模式时,支持黑名单和白名单等无线用户接入控制特性。
WA2612—AGN工作在Fit模式时,配合H3C自主研发的WX系列无线控制器设备,可以同时支持Rogue检测、入侵检测以及黑名单和白名单等WIDS/WIPS特性.
提供EAD无线接入
终端准入控制(EAD,EnduserAdmissionDomination)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,对接入网络的用户终端强制实施企业安全策略,通过与安全策略服务器的联动,可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理,只有无线客户端符合相应的安全策略之后才允许正常访问网络,从而提高了无线网络的整体安全性。
支持中文SSID
WA2612-AGN支持使用中文SSID,可指定最长包含32个汉字的SSID,也可以使用中英文混合的SSID,为国内用户提供了更大的使用便利。
支持TR—069特性(CWMP)
WA2612-AGN支持TR—069特性,此特性方便网管人员从网络侧对位置分散的无线接入设备进行远程集中管理。
TR—069是由DSL论坛(www.dslforum。
org)所开发的系列技术规范之一,其全称为“CPE广域网管理协议"
。
全面支持智能型有线无线一体化管理
H3C全系列无线产品都可以通过开放的网络管理协议实现基于WSM的有线无线一体化管理。
WSM是H3C在下一代业务软件平台iMC(intelligenceManagementCenter/智能管理中心)的基础上开发的无线运营管理组件,不仅为管理员提供了灵活的组件选择,同时符合业界主流的SOA架构,具备良好的扩展性,能够满足客户网络管理不断发展的需求。
基于Web的管理系统,为无线业务管理者提供了简便、友好的管理平台。
与iMC智能管理平台及其它组件配合,还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理等功能,并可对网络中的其它设备进行统一管理,真正实现智能型有线无线一体化管理。
2H3CWX3024系列无线控制器
H3CWX3000系列有线无线一体化交换机是杭州华三通信技术有限公司(以下简称H3C公司)自主研发的集成无线控制器和千兆以太网交换机功能的产品。
H3CWX3000系列有线无线一体化交换机提供纯千兆以太网有线接入口,支持PoE+供电,每端口最大提供25W的功率,同时兼容802。
11a/b/g/n协议。
其中,WX3024后面板提供两个10GE接口插槽,解决了WLAN网络核心的传输瓶颈。
WX3000系列有线无线一体化交换机提供一体化的有线无线接入控制功能,定位于中小型企业网和大型企业分支机构的一体化接入,是中、小企业,大企业分支机构实现有线无线一体化接入最理想的一体化交换机。
H3CWX3000系列有线无线一体化交换机目前包含H3CWX3008、WX3010和WX3024三款型号,配合H3C公司自主研发的FitAP(H3CWA1208E/WA2110/WA2200/WA2600系列)可以满足中、小型企业和大型企业一体化移动网解决方案等无线场景的典型应用.
提供对802。
11nAP的管理
WX3000系列有线无线一体化交换机在支持对传统802.11a/b/gAP管理的同时,还可以与H3C基于802。
11n协议的WA2600系列AP配合组网,从而提供相当于传统802.11a/b/g网络6倍以上的无线接入速率,能够覆盖更大的范围,使无线多媒体应用成为现实.
提供灵活的数据转发方式
支持集中式转发和分布式转发。
单一的集中式转发,有线无线一体化交换机(US,UnifiedSwitch)虽然能对报文进行全面控制,但所有的无线业务流都要到US进行统一处理,使得US的转发能力很容易成为瓶颈。
特别是当通过广域网方式转发时,AP作为数据接入设备部署在分支机构,而US部署在总部,所有用户数据由AP发送到US,再由US进行集中转发,导致转发效率低下。
甚至当802。
11n出现时,一个AP的业务报文流量高达300M之多,US的处理性能更加成为无线系统的瓶颈。
当采用分布式转发时,报文在AP上直接转化为有线格式的报文,并不经过US,能够实现无线报文的宽带接入。
WX3000系列有线无线一体化交换机支持两种转发方式,用户可以根据需要给SSID设置转发的类型。
提供基于AP位置的用户接入控制
出于安全性或计费等的考虑,系统管理员可能希望控制无线用户接入到网络中的位置。
H3CWX3000系列有线无线一体化交换机支持基于AP位置的用户接入控制.当无线用户接入网络时,可以通过认证服务器向US下发允许用户接入的AP列表,在US上进行接入控制,从而达到限制无线用户只能接入到指定位置的AP的目的。
提供精细的无线用户管理
基于MAC的认证接入控制方式,不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改,同时支持对具体用户的权限的配置,这种精细的用户权限控制大大增强了无线网络的可用度,网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。
基于MAC的VLAN同样也是WX3000系列有线无线一体化交换机的一大特色,在控制策略上,管理员可以把相同性质的用户(MAC)划分到同一个VLAN,同时在US上基于VLAN配置安全策略,这样做既可以简化系统配置,又可以做到用户级粒度的精细管理。
提供内置802.1x认证服务和内置Portal认证服务
H3CWX3000系列有线无线一体化交换机内置802。
1x认证服务,支持TLS、PEAP、MD5等多种802.1x的认证方式。
在中小型企业用户不需要计费功能,而只需接入控制和数据加密要求时,可利用内置的Radius服务直接在设备上完成802。
1x认证功能,免去了复杂的AAA服务器部署过程,既经济又省事。
H3CWX3000系列有线无线一体化交换机还提供内置的Portal服务器,解决了不便于安装客户端用户的安全认证问题。
提供UserProfile
在基于用户授权方式的网络管理中,用户通过认证,即获得访问网络的权限.授权包括控制用户可访问的网络范围,以及用户可获得的网络服务质量,如访问带宽、访问优先级。
在用户移动的网络或大型网络中,为了方便网管人员开展日常的管理工作,UserProfile特性提供了一种更模块化、更简单的管理方式。
管理人员将一组基于用户群或特殊用户定制的策略配置在各个用户的profile中,并且为每个用户群或特殊用户预先分配各自的profile,用户认证上线时,在用户上线的端口动态下发profile配置,使该用户能动态获得其可以访问的网络范围,访问带宽以及访问优先级;
在用户下线时,取消该用户在这个端口上的配置,自动关闭该端口的特殊访问权限。
UserProfile中可以下发的配置包括ACL、QoS(优先级、带宽限速、802。
1p和DSCP标记)、VLAN。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 体育馆 无线 覆盖 技术 方案