机场无线部署解决方案.doc
《机场无线部署解决方案.doc》由会员分享,可在线阅读,更多相关《机场无线部署解决方案.doc(29页珍藏版)》请在咨信网上搜索。
1、 无线部署解决方案机场无线覆盖解决方案目录1项目概况41。1项目背景41。2项目目标42术语解释43总体设计方案73。1无线网络组网规划73。2网络高可靠性93。2.1AC 冗余备份93。2。2DHCP Server备份93。3无线安全设计103。3。1WIFI接入及认证过程103。3.2无线数据加密113。3。3AC与AP之间的安全认证113.3.4其它无线安全控制技术123。4无线网络管理123。4。1网络发现133.4。2拓扑管理133.4。3无线网络规划133。4。4无线网络监控133.4。5无线网络安全133。4。6AC性能管理143.4.7网络流量分析143。4。8告警管理143。
2、4。9报表呈现143。4.10软件管理143。4.11配置管理143.4。12资产管理153。4。13任务和调度153。4。14日志管理153。4.15安全管理153.5QOS部署153。5。1QOS总体框架153。5.2QoS高优先级业务数据优先保证163。5。3管理报文高优先级处理173。5.4通过client QoS修改用户的优先级173。5。5基于用户的限速173.6POE供电方案183.6。1POE供电模块供电183。6。2POE交换机供电193.7网络设备要求193.7。1无线AP193。7。2AC控制器203.7.3AAS服务器223.7.4Portal服务器253。7。5Net
3、Manager网管261 项目概况1.1 项目背景暂无1.2 项目目标暂无2 术语解释 WLAN:无线局域网络(Wireless Local Area Networks; WLAN)是相当便利的数据传输系统,它利用射频(Radio Frequency; RF)的技术,取代旧式碍手碍脚的双绞铜线(Coaxial)所构成的局域网络,使得无线局域网络能利用简单的存取架构让用户透过它,达到信息随身化、便利走天下的理想境界. 无线AP:AP是(Wireless) Access Point的缩写,即(无线)访问接入点。如果无线网卡可比作有线网络中的以太网卡,那么AP就是传统有线网络中的HUB,也是目前组建
4、小型无线局域网时最常用的设备。 瘦AP: 无线接入点(AP,Access Point)也称无线网桥、无线网关,也就是所谓的“瘦”AP。此无线设备的传输机制相当于有线网络中的集线器,在无线局域网中不停地接收和传送数据;任何一台装有无线网卡的PC均可通过AP来分享有线局域网络甚至广域网络的资源。理论上,当网络中增加一个无线AP之后,即可成倍地扩展网络覆盖直径;还可使网络中容纳更多的网络设备。每个无线AP基本上都拥有一个以太网接口,用于实现无线与有线的连接。 AC:无线接入控制服务器, 接入控制器(AC) 无线局域网接入控制设备,负责把来自不同AP的数据进行汇聚并接入Internet,同时完成AP设
5、备的配置管理、无线用户的认证、管理及宽带访问、安全等控制功能。 POE:POE (Power Over Ethernet)指的是在现有的以太网Cat。5布线基础架构不作任何改动的情况下,在为一些基于IP的终端(如IP电话机、无线局域网接入点AP、网络摄像机等)传输数据信号的同时,还能为此类设备提供直流供电的技术.POE技术能在确保现有结构化布线安全的同时保证现有网络的正常运作,最大限度地降低成本。 802.11g:在2.4GHz频段,是一种能支持较高数据传输速率(154Mbit/s),采用微蜂窝、微微蜂窝结构,自主管理的计算机局域网络。 802。11i:无线安全标准,wpa是其子集,规定使用8
6、02。1x认证和密钥管理方式,在数据加密方面,定义了TKIP、CCMP和WRAP三种加密机制. 802。11n:WiFi联盟为了实现高带宽、高质量的WLAN服务,使无线局域网达到以太网的性能水平,802.11任务组制定了N(TGn),将无线局域网的传输速率从802.11a和802。11g的54Mbps增加至300Mbps以上,最高速率可达600Mbps,采用OFDM技术、MIMO(多入多出)技术。 WEP:WEP是Wired Equivalent Privacy的简称,有线等效保密(WEP)协议是对在两台设备间无线传输的数据进行加密的方式,用以防止非法用户窃听或侵入无线网络. WPA:英文缩写
7、: WPA (WiFi Protected Access) WPA是一种基于标准的可互操作的WLAN安全性增强解决方案,可大大增强现有以及未来无线局域网系统的数据保护和访问控制水平.WPA源于正在制定中的IEEE802。11i标准并将与之保持前向兼容。 WPA2:WPA2 是经由 WiFi 联盟验证过的 IEEE 802。11i 标准的认证形式。WPA2 实现了 802。11i 的强制性元素 1,特别是 Michael 算法由公认彻底安全的 CCMP 讯息认证码所取代、而 RC4 也被 AES 取代。 WPA/WPA2 企业版:WiFi 联盟已经发布了在 WPA 及 WPA2 企业版的认证计划
8、里增加 EAP(可扩充认证协定)的消息,这是为了确保通过 WPA 企业版认证的产品之间可以互通.先前只有 EAP-TLS(Transport Layer Security)通过 WiFi 联盟的认证。 SSID:SSID是Service Set Identifier的缩写,意思是:服务集标识.SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络。 无线漫游:当网络环境存在多个AP,且它们的微单元互相有一定范围的重合时,无线用户可以在整个WLAN覆盖区内移动,无线网卡能够自动
9、发现附近信号强度最大的AP,并通过这个AP收发数据,保持不间断的网络连接,这就称为无线漫游。 数字证书:数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证您身份的方式,它是由一个由权威机构-CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件.最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书是一种权威性的电子文档,由权威公正的第三方机构,即CA中心签发的证书。 3 总体设计方案3.1 无线
10、网络组网规划n 组网说明 在机场核心交换机分别旁挂1台或多台AC无线控制器,通过1+1方式实现冗余备份,在机场无线热点区域部署多个瘦AP 。根据现有机场有线的网络的部署情况,无线AP与AC控制器间通过二层或三层实现互联互通,AC工作在集中转发模式,所有无线终端的业务数据通过AC进行集中转发。 机场无线AP手动配置自身IP地址,与AC 的IP地址实现隧道互联,无线终端的IP地址通过DHCP 动态获取,网关指向机场的核心交换机,建议部署两台DHCP服务器,在核心交换机上配置DHCP 中继,分别指向两台DHCP服务器,实现对DHCP服务器的冗余备份。 机场无线AP采取WPA2的无线加密认证方式。无线
11、终端上行的802。11的数据报文通过AP重新封装到802。3格式以太报文中,直接发给AC,由AC进行过滤识别后进行转发,这个过程实现了WLAN无线的数据和现有业务的数据隔离。J 注意事项:因无线的数据均采用集中转发方式,所以在无线终端间进行数据访问时,也需要数据通过AC集中转发而访问,增加了不必要的网络开销,我们建议禁止无线终端间的数据访问业务.n 设备配置说明设备名称部署设备型号数量设备说明无线控制器WNC6000-1000-ACX台AC控制器,支持1024个AP接入室内APWA2000213WPEX台单频、单模,室内2。4G增强型室内AP。 802。11 ( b 、 g 、 n ) ,外置
12、天线,100mw 放装型 , POE 受电方式。支持wapi 。室外APWA2000-362WPTEX台WA2000362WPTE,无线,双频、双模,2.4G、5.8G增强型室外AP。 802.11 ( a、b 、 g 、 n ) ,外置天线,500mw +500mw放装型 , PTE 受电方式。支持wapiAAS服务器Access Authentication server1迈普设备接入认证服务器(基本型、含硬件),2个以太口AASL-2000X2000个License认证用户数,单一系统支持多个License累加Portal软件Portal Authentication Server1Po
13、rtal认证服务器中文版短信网关Maipu SMSCN1MaipuSMSCN、电信制式短信网关无线网管软件Maipu NetManager1多业务智能管理平台(专业版,中英文版,无最多可管理网络设备数量限制)NM-WlanManager1无线业务管理组件NML500软件许可,每个许可可增加500个设备节点授权许可3.2 网络高可靠性3.2.1 AC 冗余备份AC无线控制器采用,1+1冗余备份方式,在核心交换机分别旁挂1台或多台AC无线控制器,通过1+1方式实现冗余备份,保证了整个无线网络的高可靠性。根据无线AP的规模来确定AC的容量。在备机房放置同等数量和容量的AC,实现完备的1+1冗余备份。
14、1+1冗余备份方式,需要从两个层面来保证设备和网络的冗余可靠性.首先, AC和备份AC之间的管理通道保持有快速心跳检测机制,心跳时间根据网络的质量可以配置,建议为200ms到5s之间。心跳报文在两端AC和整个通道的网络设备之间采用高优先级保证。同时,主AC和备份AC之间能定期和实时的同步AP,client的各种状态.这样,备份AC能实时监控主AC的活动状况。一旦主AC出现宕机等事件,备份AC收不到主AC的心跳报文,立即通知该主AC管理的原AP,实行切换.其次,AC和所管理的AP之间的管理通道保持有心跳检测机制。这种机制中除了检测AC的状态之外,还可以检测整个网络通道是否可达.心跳时间根据网络的
15、质量可以配置,建议为5s到20s之间.1+1的备份方式在部署时,AP需要配置主用AC和备用AC的地址列表,我们采用静态指定的方式,在AP上写入主备AC的IP地址,当主AC出现宕机或者主机房网络出现故障,访问不可达的情况下,AP主动发现并切换到备AC上。3.2.2 DHCP Server备份DHCP SERVER备份实现机制 :在机场主机房搭建主 DHCP SERVER和备用DHCP SERVER;通过核心交换机做DHCPRELAY ,分别指向主、备DHCP SERVER,在正常情况下,用户端从主DHCP服务器获取地址,当主 DHCP SERVER宕机的情况下,用户从备 DHCP SERVER获
16、取地址 。该功能的实现需要在核心交换机上配置两条DHCP RELAY命令 。3.3 无线安全设计由于无线接入的开放性,因此无线接入安全是部署无线网络的重中之重。当前兼容性最好、可实现性最高的无线安全接入方式就是结合数字证书的WPA2身份认证及数据加密技术。3.3.1 WIFI接入及认证过程为满足用户可以更方便快捷的使用WIFI热点,并且又能够对接入用户合法性进行确认,本方案设计采用AAS+Portal+短信方式认证。n Web认证机场WIFI用户使用手机或者pad自动搜索到机场WIFI热点,在连接的时候会自动重定向到本地Portal页面上,给用户推送一个Web认证界面.当用户再次通过HTTP协
17、议上互联网时,会触发Portal认证,后端的Portal认证服务器会推送一个Web认证页面到用户终端上。用户在WEB认证界面填写自己的手机号,点击获取随机密码,则用户填写的手机号对应的手机会收到一条短信,获取到一个随机密码,用户通过该手机号码及短信收到的随机密码进行Web认证。认证通过后系统允许用户终端上网,并且返回一个认证通过的页面,再次根据用户所在的公交车位置信息判断推送不同的广告信息;n AAS服务器AAS是基于AAA的认证系统,在本方案中主要功能为配合Portal服务器为用户提供身份认证。AAS也可以通过代理方式与运营商或者上级AAA系统进行对接,能够直接与营运商的用户库(如手机号等信
18、息)共享,避免用户信息多点维护。AAS认证的用户名基于运营商用户库,所以有效的避免了其他运营商的用户接入占用资源的问题。该系统允许所有运营商的用户能使用。3.3.2 无线数据加密WPA2使用加密性能更好、安全性更高的加密算法:AES-CCMP(Advanced Encryption Standard - Counter mode with Cipher-block chaining Message authentication code Protocol,高级加密标准计数器模式密码区块链接消息身份验证代码协议),其主要有如下几点改进:使用128位AES加密算法实现机密性保护,数据完整性保护,自
19、动重新生成密钥对以派生新的数据加密密钥,使用数据包编号字段实现防重播。AES-CCMP在802。1X身份验证过程动态创建一组主从密钥,并由该从主密钥对和其他值派生出数据加密所需的临时密钥,避免了WPAPSK主密钥需事先定义而可能泄露的弊端。3.3.3 AC与AP之间的安全认证为了保证AC与AP之间的访问安全,尤其是防止黑客或者攻击者从市场上购买同一品牌的AP,私自接入机场网络,进行各种高级攻击。因此需要加强AC和AP之间的安全认证.最简单的认证是MAC地址认证,部署过程中可以将系统中的合法AP的MAC地址统一记录在Radius或者AC上.AP在跟AC关联进行集中管理时,都需要在AC上通过mac
20、地址认证才能允许AP接入无线网络;其次是密码认证,第一次部署过程中需要在AP上设置相关密码;AP在跟AC关联进行集中管理时,都需要在AC上通过密码认证才能允许AP接入无线网络;注:前面两种方式都是单向认证,在AC上认证接入AP;还有一种更安全的方式是数字证书认证,我们采用的X.509数字证书认证方法。该认证方法是双向认证,除了AC上认证AP的证书,同时在AP上还需要验证AC的证书,充分保证网络设备的合法性。在首次部署的时候,需要将相关证书下发到设备上。AP运行过程中,跟AC关联进行集中管理时,就会启动该双向认证,成功后才能允许AP接入无线网络。3.3.4 其它无线安全控制技术其它无线安全技术主
21、要体现如下几方面: SSID隐藏:隐藏无线对外服务标识,类似在开放的环境中隐藏接入端口,保护无线接入. 无线用户接入时段控制:根据业务需要,限制终端用户通过无线接入的时间区间,可以实现在非工作时间外禁止接入网络. 无线用户访问权限控制:可以在无线接入控制器上实现ACL控制,放行移动终端业务的目标地址,阻断其它应用,通过ACL控制访问权限。 无线用户速率控制:通过限制每个无线终端的速率,防止各种恶意或无意的高速率访问,确保其它用户通过无线接入的接入速率、接入稳定性。 无线用户相互隔离:对通过无线接入的终端实现隔离,阻断相互之间的通信,不仅实现安全管理,也可避免终端之间的相互影响.3.4 无线网络
22、管理整个无线网络统一进行无线网络设备管理,无线网络的可管理性在整体项目中将起到非常重要的作用。根据机场的应用需求,我们提出实现无线网络的“云管理方案。简单来说,无线网络管理分成以下三层管理架构: 网管软件对AC的管理:主要聚焦在网管软件对各个AC的状态监控,并对AC进行权限管理及监控. 网管软件对AP的管理:主要聚焦在网管软件对分布在全国任意网点的AP的追溯管理,包括每台AP下的终端接入数,终端流量,终端应用。 网管软件对无线终端的管理:主要聚焦在网管软件对接入到全国任意网点的所有无线终端的管理,包括终端流量等等.通过以上三方面不同层次的网络管理,使得无线网络的管理更可控。3.4.1 网络发现
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 机场 无线 部署 解决方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【丰****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【丰****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。