《H3c无线覆盖技术设计方案.pdf》由会员分享,可在线阅读,更多相关《H3c无线覆盖技术设计方案.pdf(46页珍藏版)》请在三一文库上搜索。
1、. . 协和医院西区住院部 无线网络覆盖 技 术 建 议 书 东风通信技术有限公司武汉分公司 2012-9-5 . . 目录 一、概述 4 二、项目需求 . 4 三、网络建设方案 . 6 3.1 无线网络基础方案. 8 3.1.1 方案逻辑组网图. 8 3.1.2 H3C WLAN产品优势概述 9 3.1.3 产品的选型 10 3.2 、各楼层 AP部署图 . . 12 3.2.1AP 部署说明 12 3.2.2 无线网络安全 12 3.3 无线用户接入管理 15 3.4 无线网络 QOS . 16 3.4.1 漫游切换支持 16 3.5 无线网络管理 17 3.5.1 总体需求 17 3.5
2、.2 集中网络管理 17 3.6 频率规划与负载均衡 17 3.7 供电问题 18 3.8 覆盖区域详细说明 18 3.9 网管软件 -iMC WSM 无线运营管理组件 19 3.9.1 无线有线一体化管理 20 3.9.2 多样化的拓扑管理 20 3.9.3 无线终端查看和漫游记录审计 21 3.9.4 RF 覆盖管理 . 21 3.9.5 无线定位与 GIS管理功能 22 . . 3.9.6 基于物理位置的无线终端准入控制 23 3.9.7AP 上联设备查询 24 3.9.8 主备 AC管理 . 24 3.9.9 无线入侵检测和防护 25 3.9.10 丰富的无线统计报表 . 25 四、产
3、品说明 . . 26 4.1 EWP-WA2612-AGN 无线接入点 . 26 4.2 H3C WX3024系列无线控制器 . 33 . . 一、概述 无线局域网( WLAN )技术于 20 世纪 90 年代逐步成熟并投入商用,既可以作传统有线 网络的延伸, 在某些环境也可以替代传统的有线网络。对比传统的有线传输解决方案,使用 WLAN 网桥实现数据传输具有以下显著特点: 简易性: WLAN 网桥传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工 作; 灵活性:无线技术使得WLAN 设备可以灵活的进行安装并调整位置,使无线网络达到 有线网络不易覆盖的区域; 综合成本较低:一方面WLA
4、N 网络减少了布线的费用,另一方面在需要频繁移动和变 化的动态环境中,无线局域网技术可以更好地保护已有投资。同时,由于WLAN 技术本身就 是面向数据通信领域的IP 传输技术, 因此可直接通过百兆自适应网口和企业内部Intranet 相连,从体系结构上节省了协议转换器等相关设备; 扩展能力强: WLAN 网桥系统支持多种拓扑结构及平滑扩容,可以十分容易地从小容量 传输系统平滑扩展为中等容量传输系统; 二、项目需求 协和医院西区前生是东风汽车公司神龙医院,地处武汉西南部,武汉经济技术开发区 中心地段,规划用地80 亩,已有建筑面积1.8 万平方米,实际开放病床220 张。西区建有 临床、医技科室
5、19 个,设置综合重症监护、综合外科、创伤外科、综合内科、妇产科、五 官综合(含整形美容)7 个独立病区。各科室主任均由医院本部教授担任,另有一大批国内 知名专家长期在这里工作。西区拥有国际先进的多排螺旋CT、全自动生化分析仪、五分类 血球仪、 全自动麻醉机等多种高端手术设备,并实现了与本部医学信息共享、区域内实时远 程会诊的能力。 病区还配备有中心供养、中心吸引、 中央空调、 中心传呼和病房独立卫生间, 环境优美,四季常青,被誉为花园式医院。 西区总体规划建筑面积近20 万平方米, 设计年门诊量80 万人次、 开放床位2000 张。 其中,一期工程即投资4.6 亿元的外科住院大楼已经完成前期
6、准备,即将破土动工。 该院负责人表示,将利用2 年至 3 年的时间,把西区建成拥有1200 张病床、以急救创 伤医学为特色的大型综合性三甲医院,成为武汉西南部的医疗中心。 . . 根据实际工作需要,拟在协和医院西区进行无线局域网络搭建,要求该网络支持 IEEE 802.11n 协议, 一期工程覆盖住院部,每层楼配置相应数量的AP ,便于电子病历业务的顺利 开展,无线局域网拓扑结构采用星形以太网,无线接入所需布设的AP通过接入设备接入到 网中,在接入层提供相应的接口给AP使用。 a) 本工程具体的建设目标是: 1、采取通行的网络协议IEEE 802.11g 标准,选取合理的无线覆盖方案,从而实现
7、对 住院部各楼层相应区域的WLAN 信号覆盖,住院部无盲点(电子病历系统开展顺利),提供 稳定可靠的无线宽带网络接入服务; 2、全面的无线网络支撑系统(包括无线安全、无线QOS 等),以避免无线设备及软 件之间的不兼容性或网络管理的混乱而导致的问题; 3、保证网络访问的安全性,支持用户多种接入方式认证机制, 包括:基于PPPoE 、 802.1X 、Portal 、 MAC 等认证,支持外置的Portal服务器和外置的AAA服务器系统; 4、无线宽带网络将来应该能够支持WIFI 语音、 IPTV 等增值业务; 5、安全、认证和管理要求。为了阻止非授权用户访问无线网络,以及防止对无线局 域网数据
8、流的非法侦听,无线网络要具有相应的安全手段,主要包括:物理地址(MAC )过 滤、服务区标识符(SSID) 匹配、 AES加密,双向认证等方式。 工程布线和安装要求: 室内部分: 将网线走暗线敷设到位挂在天花板上,则根据天花板的情况而定,天花板是 非金属结构,可以固定在天花板内。安装过程中应充分考虑防盗问题。 供电部分: AP的供电可采用其相应的POE供电模块配合市电进行供电。 产品能力要求要求: 具有无委会核准证; 支持负载均衡; 漫游切换; 支撑 QOS 能力 支持 Guest VLAN 的要求,以满足合作伙伴用户通过省税务分局网络访问归属于公司的 网络,以获取相关资料,以很好的支撑省税务
9、分局工作; 良好的售前售后服务,及时响应用户的需求。 . . 三、网络建设方案 针对协和医院西区住院大楼的需求采用WLAN 技术构架宽带网络服务,从技术上、工程 上以及提供的服务质量上均能较好的满足局方的要求。 对方案的选择, 我们严格按照客户的需求进行, 采用瘦 AP+ 无线控制器 +POE接入交换机 的组网方式, AP通过 POE供电模块配合市电进行供电。本次供电方案有两种:通过无线控 制器 H3C WX3024上的 24 个 POE供电端口供电;通过H3C WA2612-AGN 自身配备的POE模块 供电。两种方式很好的解决了集中供电和分散供电的问题。 另外,之所以要选用控制器+瘦 AP
10、解决方案,是因为就目前的AP分散状态开,分别部 署在两栋大楼的不同楼层,对于管理员来说,对AP的软件升级、配置管理以及无线客户端 的定位是件很懊恼的事情。有了控制器,可以将分散的AP集中管理和控制,统一下发配置 和更新系统等,还可以和有线用户实现一体化的验证、智能的负载分担和二层三层漫游等。 从安全角度考虑,为实现业务的有效隔离,采用针对不同业务分配不同SSID方式进行 业务区分, 其中一个无线网段只能访问互联网,另外可以再设置一个无线服务(SSID)用于 管理人员无线对内网的管理。并对同一个AP下的不同SSID 设置不同的权限, 后期还可以配 合认证、 EAD等手段做到终端的准入和安全接入。
11、需要说明的是, 1 个 AP上配置两个服务模 版,通过索引号和SSID区别,对于不方便更改索引号的,例如IPAD、手机等终端设备,建 议使用默认索引号1,特殊功能应用的,用别的索引号2、 3、4。举例如下: wlan service-template 1 crypto ssid lan bind WLAN-ESS 1 authentication-method shared-key cipher-suite wep104 wep default-key 1 wep104 pass-phrase cipher ACA-H$4F+_8a,JMO_8(Q! service-template enab
12、le # wlan service-template 2 crypto ssid wan bind WLAN-ESS 2 cipher-suite wep104 wep default-key 2wep104 pass-phrase cipherACA-H$4F+Y-)REI=T$(Q! wep key-id 2 service-template enable # . . wlan ap ap02 model WA2612-AGN serial-id 210235A0ALB101000043 radio 1 max-power 20 service-template 1 service-tem
13、plate 2 radio enable # 对于用户关心的无线定位问题,后期可以配置相应网管软件轻松实现,但就目前状况来 说,也可以实现无线客户端的定位,实际操作举例如下: 首先在核心交换机(H3C S7506E)上,查看当前网内的arp 表 该例子中192.168.12.x是无线网段, 同样采用H3C WX3024控制器和WA2612-AGN 组网。 拿 192.168.12.124来看,可以从核心交换机上得知是从GE1/0/19 学习到的 arp 报文。 而 19 号电口接的是WX3024 有线无线一体化交换机,对应控制器管理IP 是 10.10.10.100。 其中 100 是控制器管
14、理IP ,101 是交换卡管理IP。然后 telnet 10.10.10.100, . . 这样就可以看出该客户端接在AP8上面。 3.1 无线网络基础方案 3.1.1方案逻辑组网图 鉴于武汉协和医院西区是首次部署WLAN 网络,本次工程采用无线网就近接入的原则, 采用瘦 AP+ 无线控制器的组网方式。我们推荐H3C WX3024无线控制器,主机24 个千兆电口 支持 POE供电 , 可直接对AP进行馈电,如有线距离太长则可采用AP的 POE供电模块配合市 电进行供电,具体的逻辑组网图如下图所示: . . 图1 协和医院西区办公区域无线覆盖逻辑组网示意图 根据用户需求可知, 需要认证上网 ,
15、但要支持 . 产品选型非常重要, 根据我们多年的经验 和对技术的认识, 在各大无线厂商中我们能看到H3C无线产品和技术的优势. 3.1.2 H3C WLAN 产品优势概述 电信级产品质量保证 H3C自 2003 年公司成立以来就继承了业界领导厂商华为和3Com 的 WLAN 产品。整个无 线产品的规划都是按照电信级设计,从阻容到主处理器芯片,每一个元器件都经过严格质量 认证和技术认证,基本上是选用一流供应商的元器件,保证元器件的性能和品质。在产品生 产上, H3C公司采用业界先进的IPD CMM3.0 集成产品开发流程,有严格的质量管理体系, 从全流程的每一个环节控制产品质量。 强大的研发团队
16、,自主知识产权,快速响应客户需求 H3C的研发团队分布在北京、杭州、深圳和印度,海外研发中心紧跟前沿技术脚步,国 内研发中心快速响应客户需求。H3C全系列 WLAN 产品采用完全自主研发的软件,并采用了 业界最为严格的测试标准,由位于北京的独立的鉴定测试中心来最终鉴定产品能否达到质量 标准。此外由于自主开发软件,完全掌握知识产权,很容易根据客户的要求定制特殊功能, . . 以满足特定情况下的应用。 完善的服务体系 H3C公司在全国建立了30 个区域服务中心和区域备件系统,承诺为客户提供专业、快 捷、规范的服务,通过先进的通信技术与总部的技术服务平台连接,完成客户档案、维护经 验案例、备件库存、
17、产品发布等信息的共享,形成覆盖全国地市级城市,专职人员规模超过 400 人的技术服务体系。H3C致力于通过高质量的服务提高用户网络的可用性,提升用户满 意度。 H3C成立了备件中心(SPC , Spare Parts Center)专门支撑H3C公司的售后服务和向 客户的承诺,依托遍布全国主要城市的30 个区域备件库和位于杭州、北京及深圳的3 个分 拨中心,建成了国际化、标准化、现代化的物流管理系统。H3C备件中心科学地进行备件仓 储分析和管理,能够向客户提供高效的备件服务,最大限度地保障客户网络的平稳运行。 丰富的无线网络工程经验 无线网络的工程实施对整个项目的成败至关重要。H3C专门成立了
18、无线工程督导团队来 确保无线网络工程的顺利实施,目前 H3C公司已经成功实施了第六届亚洲冬季运动会、北京 解放军总医院、国家知识产权局、新华社、北京航空航天大学、北京交通大学、华东理工大 学、上海汤臣洲际大酒店等无线网络工程的部署,具备丰富的无线项目实施工程经验,保证 项目进度,后顾无忧。 3.1.3产品的选型 无线 AP 根据我们对客户需求的了解,大楼各楼层AP 覆盖我们选用H3C 的 WA2612-AGN , WA2612-AGN 是华三通信技术有限公司(H3C )自主研发的双频多模系列无线接入点,可广泛 应用于各种向用户提供WLAN 接入的无线网络;WA2612-AGN 作为瘦 AP (
19、FIT AP )与 H3C公司 自主研发的无线控制器系列产品配套使用。 WA2612-AGN基于业界最新的硬件平台,具备业界同类产品最优的无线射频功能,同时 产品集硬件加密、零配置、自动信道分配、多BSSID 、IPv6 等多个功能于一体,实现网络的 易操作性、易维护性、健壮性,并能有效的防止网络配置的对外泄漏。 WA2612-AGN 与 H3C公司自主研发的系列无线控制器之间的通信基于标准的CAPWAP 架 构,通过无线控制器实现集中管理和简单的即插即用安装。同时,AP的配置信息保存在无 . . 线控制器中,即使更换AP ,配置信息也可以自动下发,无需重新配置。与传统基于无线控 制器的集中式
20、加密相比,WA2612-AGN 对用户数据实现了本地流量加密,可大大减轻了无线 控制器的负担。无线控制器与后端授权/认证 / 计费 (AAA) 服务器配合,可以控制用户和用 户组的网络访问策略,当用户漫游网络时提供安全的业务连续性和完整性。 WA2612-AGN 产品具有双频能力,即可以工作于WLAN 的 2.4GHz 频段或 5GHz频段之上。 支持多模,即指IEEE802.11a 、IEEE802.11b 和 IEEE802.11g 三种模式。 WA2612-AGN 可通过 软件配置支持IEEE802.11a 或 IEEE802.11b/g 。 WA2612-AGN 支持多 SSID实现虚
21、拟AP特性,每个 SSID可对应不同的VLAN 、从而对于每 一个 SSID可以实现不同的网络服务及认证方式。该特性使管理员可以方便的为不同用户群、 不同的业务制定区分的服务策略。 无线控制器 根据我们对AP的个数可以确定无线控制器(AC )的型号,根据我们的计算,一期大约 需要部署30 个 AP ,我们可以推荐H3C的 WX3024 ,标配可以支持24 个 Fit AP ,WX3024 :最 多可管理 48个 AP ; 24 个 GE 电口,支持 POE 供电; 交换容量为: 88Gbps; 包转发率: 65.47Mpps 。 传统无线网络的部署需要网络管理员对网络中的每一个AP进行逐一配置
22、,当无线网络规模 较大时网络管理员往往要配置上百个AP ,工作量巨大,且容易出错。而采用无线控制器和 FIT AP配合组网时,只需要在无线控制器上对一类相同属性的AP建立配置模板,AP在启动 时可以自动从无线控制器上下载最新的配置文件。另外,由于AP本身不保存任何配置,万 一设备丢失, 也可以保证网络配置不被窃取。AP支持启动后自动获取IP 地址、 自动获取AC 的工作列表并自动和AC建立关联,真正做到了零配置,免维护,即插即用,极大地减轻了 网络管理员在部署网络阶段的维护工作量。当网络正常运行以后,无线控制器对所管理的 AP以及 AP所接入的用户进行实时监控,并能将这些信息实时上报给网管。维
23、护人员可以指 定 AP或用户进行在线服务策略设定和安全策略设定,使网络配置策略更加灵活。同时,无 线控制器支持AP软件自动更新功能,AP在每次重新启动时会自动比较当前运行的软件版本 和无线控制器上的最新版本是否一致,如不一致AP会自动更新本地的软件映像,软件升级 不再需要网管人员的干预。 . . 3.2、各楼层 AP 部署图 3.2.1AP 部署说明 我们选用 H3C产品后针对武汉协和医院西区办公区域无线覆盖的描述: 根据我们对住院部建筑结构的了解,每层楼需要全网覆盖,根据结构图看到,AP部署 在走道对无线信号的穿透效果比较好,结合AP实际的覆盖范围及大楼的结构,我们建议每 层楼部署5 个 A
24、P。相邻之间AP和相邻楼层之间AP按照 1、6、11 信道划分错开。 3.2.2无线网络安全 无线局域网络主要服务于企业作业系统,上面存在诸多的企业的商业信息,故网络安全 问题在建网时必须考虑问题,安全方式主要侧重几个方面:用户安全、系统安全, 对每个无 线接入的用户需要加密认证方可进入, 可以根据不同的用户加入不同的VLAN,再通过交换机 做策略的规划 . 这样本无线网络中着重考虑使用无线网络的空口信息的安全机制,同时也要 考虑与无线相关的有线网络的安全问题,对于原有有线网络的安全问题,在本技术建议书中 不作相应的考虑; 3.2.1 用户安全 数据安全部分主要包括以下方面的内容: MAC 地
25、址过滤:目前支持基于MAC 地址的过滤,限制具有某种类型的MAC 地址特征的终 端才能进入网络中; SSID管理:是一种网络标识的方案,将网络进行一个逻辑化标识,对终端上发的报文 都要求进行上带SSID,如果没有SSID标识则不能进入网络; WEP 加密: WEP 加密是一种静态加密的机制,通信双方具有一个共同的密钥,终端发送 的空口信息报文必须使用共同的密钥进行加密; 支持 AES加密, AES安全机制是一种动态密钥管理机制,同时密钥生成也基于不对称密 钥机制来实现的,同时密钥的管理也定期更新,具有体的时间由系统可以设定,一般情况都 设定为 5 分钟左右,这样非法用户要想在5 分钟之内进行获
26、取足够数量的报文进行匹配出密 钥出来,从无线空口的流理来看,基本上是不可能的; H3C的无线方案中的密钥设置可能根据SSID信息与用户信息进行组合,即不同的SSID . . 下不同的用户的密钥生成可以不一样,这样可以做不到不同的用户不同的管理方式,同时具 备不同的权限; 3.2.2 系统安全 无线通信不需要有线电缆的连接就可以完成设备以及终端的接入,WLAN 设备也是 一样,这个特点给WLAN 带来了无与伦比的方便性和组网快捷性等一系列有点,但是也给系 统的安全带来了隐患。如果没有对非法、恶意AP接入系统进行有效的防范,则无线系统会 给整个无线网络系统带来巨大的安全漏洞。 AP入侵检测和隔离:
27、 所有的 AP在进行数据接入的同时,还担负着射频环境扫描的功能, 可预设定或按需进行射频扫描以识别未授权的AP ,并向管理员发出警报。 首先需要定义非法AP的范畴,分为非本公司所属AP设备(非H3C AP )和本公司所属 AP设备( H3C制造的 AP )两种。 针对这两种AP ,我们设置了一个场景,也就是将非法AP放置于大楼WLAN 系统中的某 个位置,由于隧道AP是相邻布放的,所以非法AP一定会位于2 个合法隧道AP之间,如下 图所示: 图 2 非法 AP监测示意图 如上图所示的非法隧道AP,在实施对无线网络系统的干扰的时候,APn和 APn 1 会分 别检测到非法AP的信号强度和MAC
28、地址等信息,并会将这些信息上报到网管系统,网管系 统根据其MAC 地址信息可以分析是否为H3C公司的产品, 并判断属于那个公司的产品,根据 2 个 AP (或者周围多个AP )上报的信号强度信息可以甄别出此非法AP的位置,也就是距离 APn和 APn 1 的距离,这是因为在无线网络中AP的布放是相邻的,也就是可以近似成为1 . . 维,所以2 个 AP的距离信息即可定位非法AP的位置。 H3C WLAN 网管系统软件中非法AP定 位的流程图如下图所示: 开始 APn发现非法 AP 记录非法AP MAC 记录非法 AP 功率 n=n+1 NO YES NO 相邻AP同时发现 NO YES YES
29、 nm 变量n清零 阈值m初始化 计算非法 AP位置 上报非法 AP信息 图 3 非法 AP监测流程图 流程说明: 状态序号流程名称流程说明转移条件下一状态 1 开始开始无条件2 2 阈值 m初始化循环变量的阈值初始化无条件3 3 变量 n 清零循环变量n 清零无条件4 4 APn发现非法AP APn是否检测到非法AP APn是否检测到非 法 AP发出的信号 5/3 5 相邻 AP同时发现 相邻 AP是否同时检测到非 法 AP 相邻 AP是否同时检 测到非法 AP发出的 信号,并判断信息 中是否有同一非法 AP发出的信息(防 止多个非法AP) 6/3 6 n=n+1 循环变量 +1,并延迟进行
30、下 一次扫描 无条件7 7 nm 循环变量是否超出阈值 循环变量是否超出 阈值 8/4 8 记录非法AP MAC 记录非法 AP功率 记录非法AP的 MAC 地址 记录非法AP的功率 无条件9 9 计算非法 AP位置根据功率计算非法AP的位无条件3 . . 上报非法 AP信息置,将所有非法AP的信息 上报管理员 当侦测到非法AP之后, 管理者可以决定是否要干扰非法AP ,或者将其纳为正常AP;由 于侦测到的非法AP有可能是邻近其它建筑安装之正常AP ,避免误送干扰, 建议干扰非法AP 动作由管理者确认后手动进行。管理者可以从WXM 网管程序上找出最接近非法AP的合法 AP , 并据此判断非法A
31、P的概略位置,搜集更多信息以决定是否发出干扰。 I.无线终端的异常流量检测及报警: 无线网管提供全面的系统级统计数据:可提供包括错误和流量的以太网统计数据,其中 包括包的大小、无线统计数据以及用户会话统计数据,它们保存为用户在多个AP上的漫游 记录,并且都具有易查看的表格和图表,以便快速识别数据走向。 基于所有AP上来的无线终端的数据都要通过AP与无线交换机之间的二层隧道进行通 信,因此所有无线终端的流量均可通过无线网管进行统计,并且通过实时的统计报表呈现出 所有用户访问网络流量,并通过设定流量阈值,一旦某无线终端流量超过阈值即实现异常流 量的报警功能。 II.用户访问控制: 提供基于身份的组
32、网:提供基于用户身份的所有服务,以使用户在漫游时具有诸如虚拟 专用组( Virtual Private Group)成员资格,并实现不同权限的划分;在省税务分局大楼 实际应用中可通过给不同部门分配不同的用户名访问无线网络,并给予不同部门不同的访问 权限。 并可通过将用户名和MAC 地址进行绑定, 防止大楼以外人员通过楼内无线网络来访问网 络。 3.3 无线用户接入管理 通过实地的考查,和用户的交流沟通以及对现有网络结构的分析后,我们采用802.1x 进行无线接入用户进行认证,这样可以很好的与校园网原有的认证系统融合。通过802.1x 进行用户的接入认证管理,和统一的计费管理。 采用 802.1
33、x 协议有以下几点好处: 简洁高效:纯以太网技术内核,保持了IP 网络无连接特性,不需要进行协议间的多层 封装, 去除了不必要的开销和冗余;消除网络认证计费瓶颈和单点故障,易于支持多业务和 新兴流媒体业务。 . . 容易实现:可在普通L3、L2、IPDSLAM上实现,网络综合造价成本低,保留了传统AAA 认证的网络架构,可以利用现有的RADIUS设备。安全可靠: 在二层网络上实现用户认 证,结合 MAC 、端口、账户、 VLAN和密码等;绑定技术具有很高的安全性,在无线局域网网 络环境中802.1x 结合 EAP TLS,EAP TTLS,可以实现对WEP 证书密钥的动态分配,克服无 线局域网
34、接入中的安全漏洞。 行业标准: IEEE 标准,和以太网标准同源,可以实现和以太网技术的无缝融合,几乎 所有的主流数据设备厂商在其设备,包括路由器、交换机和无线AP上都提供对该协议的支 持。在客户端方面微软WindowsXP操作系统内置支持,Linux 也提供了对该协议的支持。 应用灵活:可以灵活控制认证的颗粒度,用于对单个用户连接、用户ID 或者是对接入 设备进行认证,认证的层次可以进行灵活的组合,满足特定的接入技术或者是业务的需要。 易于运营: 控制流和业务流完全分离,易于实现跨平台多业务运营,少量改造传统包月制等 单一收费制网络即可升级成运营级网络,而且网络的运营成本也有望降低。 针对协
35、和医院西区办公区域有以下几点好处: 1、因为考虑校园网的原有结构,采用 802.1x 协议进行认证, 整个校园网络不需要进行 很大的调整,布署起来也很方便。 2、在无线客户端只要安装802.1x 认证软件, 便能通过原有的有线帐号进行认证,无需 其它的复杂配置。 3.4 无线网络 QOS 3.4.1漫游切换支持 无线终端在全楼无线网络中移动时,必然要进行不同AP之间、所属不同有线交换机之 间的漫游切换。 整个 L2、L3 漫游过程在50ms内全部完成,并兼容IEEE 802.11i、IEEE802.11f和 IEEE802.11e 标准,可良好支持语音、视频等多媒体业务的需求。 . . 3.5
36、 无线网络管理 3.5.1总体需求 武汉协和医院西区办公网络区域无线系统涉及的AP数量比较多,需要网管系统,因为 H3C的无线控制器里可以对所有合法AP的管理,所有无需另配网管软件,AC可以对整个无 线网络的设备进行设备管理。 3.5.2集中网络管理 无线网络建成后,管理者可在中心端集中管理所有AP及无线交换机, 统一由无线控制 器管理。 3.6 频率规划与负载均衡 频率规划 802.11n 使用开放的2.4GHz ISM 频段,可工作的信道数为欧洲标准信道数13 个。由 于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5 个信道的工作中心频点。因此对于802.11
37、n 在 2.4GHz 地工作频段,理论上只能进行三信道 的蜂窝规划实现对需要规划的热点的无缝覆盖。此外,由于功率模板是否能做到符合邻道、 隔道不干扰也非常影响频率规划的效果。 针对如何进行802.11n 的频率规划作了大量的实验,实验证明3 载频也可以实现蜂窝对 需要覆盖的区域进行无缝覆盖,并提供更高的服务带宽提高服务质量,和高带宽业务的开展。 图4 频率规划原理图 频率规划需要配合使用的功能包括: . . I.AP支持 13 个信道设置 II.AP支持最大100mw功率以及多级功率控制 III.AP支持外置天线以及定向天线 IV.针对特殊应用还需要AP支持桥接功能、接入功能以及WDS 功能
38、结合以上功能的支持,以及勘探工具,可以较好的部署AP达到频率规划的效果。华为 公司针对无线小区、机场、酒店等热点区域进行过频率规划,使用效果较好。 负载均衡 AP上支持标准的IAPP 协议框架,通过负载均衡的部署,可实现在一个热点内用户平均 分配到所部署的所有AP上,达到在一个服务区AP接入用户数何流量的平衡,为用户提供更 高的服务质量。具体可部署的负载均衡策略有: I.对所有 AP设置基于用户数的负载均衡功能,AP通过对接入用户数的统计,与 设定 AP接入用户数量阀值比较,达到阀值后,不允许新的用户接入。 II.对所有 AP设置基于流量的负载均衡功能,AP通过对接入用户流量的统计,与 设定
39、AP上流量漏桶阀值上沿比较,达到阀值后,不允许新的用户接入,少于 阀值下沿,再允许新用户接入。 III.配合网络规划, 设置 AP群功能, 在一个群内的AP通过组播报文实时通报接入 用户数量, 当发现 AP间用户数差值大于设定阀值,接入用户多的AP将部分用 户赶下网。 3.7 供电问题 由于本次无线网中AP设备数量较多,我们采用2612 无线 AP的 POE供电模块配合市电 进行供电,满足实际组网的要求。 3.8 覆盖区域详细说明 图5 简单同轴分布式天线系统原理图 本示意模型是业界采用WLAN 频率规划技术对大楼覆盖的标准示意模型,首先说明采用 WLAN 技术可以按客户的需求结合WLAN 现
40、场勘探与频率规划可以实现最终用户的随时随地接 . . 入。 (图 1以 11g 进行描述的,对于11g 的模型一致)其次采用2.4G 频段的 IEEE802.11g 技术在国家无委会规定的2.42.4835MHz 频段共计有13 个载频, 互不干扰频段有3 个如 1、 6、11(由于802.11g 技术采用直序扩频技术,1 个中心频点的载频对前后临频、隔频都 有一定的干扰) ,也就是采用互不干扰频段结合功率控制、覆盖方向以及蜂窝规划,可以实 现用户需要的带宽以及覆盖,单点可提供的接入带宽有33Mbps。另外,针对武汉协和医院 西区办公区域WLAN 覆盖建议为办公室、会议室等需要带宽较高的场所建
41、议采用全向覆盖, 除解决覆盖同时还要考虑接入带宽。 覆盖效果理论计 信号强度和传输距离的换算公式 AP加卡的信号总强度公式: GtGrAP天线增益终端天线增益L 信号总强度(dB) Gt(AP或终端功率,单位dB) , Gr(终端或AP灵敏度,单位dB) 距离产生的信号衰减公式: 4020lgd L1(dB) d (距离,单位m ) 工程中最大传输距离以45m计算,所以L172dB 障碍物的衰减: 物体dB 地板30 带窗户的砖墙2 办公室墙6 办公室墙的金属门6 砖墙的金属门12.4 靠近金属门的砖墙3 工程中实际的障碍物的最大衰减是临窗墙的衰减3dB加上房间墙的衰减12dB等于 15dB。
42、 3.9 网管软件 -iMC WSM 无线运营管理组件 作为接入层网络,无线网络维护工作量较大,加之无线网络的灵活性和不可见性,对无 线网络的管理需求也较有线网络更加强烈。无线网络直接面对最终用户,对管理系统稳定性、 实时性、有效性要求都较高。 WSM 无线运营管理组件依托iMC 智能管理平台,实现有线无线一体化的管理,在iMC系 统全面的有线网络管理的基础上,为管理员提供无线网络管理能力。管理员无需重新搭建 . . IT 管理平台,即可在原有的有线网络管理系统中增加无线管理功能,与有线管理平台统一 部署,节省用户投入,节约维护成本。 3.9.1无线有线一体化管理 H3C无线运营管理组件(WS
43、M )作为 iMC 智能管理中心的无线业务管理核心,对于网络 中的 AC 、FAT AP、FIT AP 、移动终端等无线设备与有线设备进行一体化集中管理,全网设 备信息和状态一目了然。网络资源通过多种视图进行查看,视图内分组管理,将规模巨大的 无线接入设备有效组织,便于管理员维护。 图 1. 无线业务概览 3.9.2多样化的拓扑管理 H3C无线运营管理组件(WSM )中的无线业务逻辑拓扑帮助管理员直观了解网络部署情 况及设备 /链路当前状态。系统可根据不同的方式组织资源,有效进行拓扑分组、真实组织 全网资源。 物理位置视图中管理员可根据需要创建多纬度、多层次的物理位置结构,并在指 定建筑物底图
44、上根据真实情况摆放设备,逼近真实网络环境。 . . 3.9.3无线终端查看和漫游记录审计 H3C无线运营管理组件(WSM )可以直接在拓扑图中对移动终端的信息进行查看,包括 MAC 地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在AC设备、所在AP设备等, 并能查看各移动终端的全部漫游记录,使管理员随时了解最终接入用户的情况,并对其接入 轨迹进行审计。 图 3. 无线终端漫游记录审计 3.9.4 RF覆盖管理 在实际无线环境的部署和维护中,需要关注无线设备的RF范围、覆盖管理以及无线网 . . 络规划扩容问题。H3C无线运营管理组件(WSM )可以用很直观的拓扑图表示出无线网络中
45、 的 RF状况。通过障碍物的设置,用户可以更加精确的查看由于遮挡对信号衰减的情况。查 询 RF覆盖可以分别按照信号强度、速率、信道进行,满足用户分析信号覆盖情况的需要。 图 4. 无线 RF覆盖状况 3.9.5无线定位与GIS 管理功能 对网络的管理有时需要无线定位功能,通过无线定位系统,可以实现对在线STA以及非 法 STA 、非法 AP的定位,同时可以实现对H3C iNode 用户的定位,方便用户第一时间的了 解无线用户和非法设备的物理位置,第一时间解决问题。通过 GIS 管理功能, 可以实现对对 AP的 GIS 信息管理功能,地理位置确定等等。 . . 图 5. 无线定位业务展示 图 6
46、. GIS 业务管理 3.9.6基于物理位置的无线终端准入控制 结合 iNode 客户端, WSM 可以实现基于物理位置的无线终端准入控制。通过设置准入区 域及其准入规则, 用户可以将未经授权的iNode 用户强制下线或向其发送通知等方式进行控 制,方便了用户实施基于物理位置的终端准入控制。 . . 3.9.7AP 上联设备查询 WSM 可以实现对AP可能的上联设备进行查询的功能,并可以确定AP与上联设备是否直 连。通过此功能, 用户可以方便的查找AP的物理接入端口。 如果 AP是使用 PoE供电的方式, 还可以通过对PoE端口的操作实现对AP的断电、上电。 3.9.8主备 AC管理 WSM
47、可以提供强大的主备AC管理功能。在界面中,可以看到各个AP的主备连接状态, . . 并且可以对相同序列号的AP进行合并, 从而实现了全网级别的AP管理。 同时, 在处理报表 等性能数据时, 自动对主备情况下的性能数据进行整合,极大提高了性能数据的可用性、移 动性。 同时,通过主备AC分组的配置,用户可以方便的将配置同时下发到主备AC上,方便 了用户的使用。 3.9.9无线入侵检测和防护 无线网络灵活多变,并且基础设施不可见,因此比有线网络更容易遭到越权使用。对于 这类问题, WSM 提供了 Rogue设备检测功能,可对无线入侵进行检测,可明确显示非法接入 设备,并对其进行信息查询、加入黑名单及
48、发起攻击等动作。 3.9.10丰富的无线统计报表 对网络进行运营管理需要对网络进行全方位的监控,从网络各种性能指标、告警指标中 进行智能的统计和分析,才能有效从整体对网络状况进行衡量。WSM 提供了丰富的无线统计 报表查询和定制功能, 以帮助管理员对网络进行综合而全面的管理。通过配置分级报表系统, . . 可以实现对大规模的无线网络的报表系统,从而可以满足运营商级别的报表统计需求。 四、产品说明 4.1 EWP-WA2612-AGN无线接入点 产品简介 . . H3C WA2600系列无线产品是杭州华三通信技术有限公司(H3C)自主研发的新一代基于 802.11n 技术的超百兆高速无线接入设备
49、( 以下简称AP),可提供相当于传统802.11a/b/g 网络 6 倍以上的无线接入速率,能够覆盖更大的范围。该系列无线产品上行接口采用千兆以 太网接口接入,突破了百兆以太网接口的限制,使无线多媒体应用成为现实。WA2600系列 无线产品支持Fat 和 Fit两种工作模式,根据网络规划的需要,可以通过命令行灵活地在 Fat 和 Fit两种工作模式中切换。作为瘦AP(Fit AP)时,需要与H3C自主研发的WX 系列无 线控制器系列产品配套使用;作为胖AP(Fat AP) 时,可以独立进行组网。WA2600系列无线 产品支持Fat/Fit两种工作模式的特性, 有利于将客户的无线网络由小型网络平滑升级到大 型网络,从而很好保护用户的投资。 WA2612-AGN 是 WA2600系列无线产品中的一款单频多模室内型802.11n 无线接入设备, 内置 3 MIMO天线,外型小巧美观,安装方式灵活,可以直接安装在天花板上。WA2612-AGN 可工作在2.4GHz 频段或 5GHz频段,并支持IEEE802.11a 、IEEE802.11b 、IEEE802.11g 和 IEEE802.11n 四种模式。 产品视图如下: 图 1 WA2612-AGN室内型单频802.11n 无线接入设备 产品特点 实现高性能无线接入和最佳无线网络TCO
链接地址:https://www.31doc.com/p-5595505.html