《机场跑道无线WIFI覆盖建设方案.docx》由会员分享,可在线阅读,更多相关《机场跑道无线WIFI覆盖建设方案.docx(43页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、某机场跑道无线视频监控传输系统目录第一章项目概述4第二章WIFI建设需求52.1 WIFI信号覆盖范围需求52.2 WIFI覆盖网络系统的功能需求62.3 WIFI覆盖网络系统施工需求6第三章方案设计原则7第四章方案设计依据9第五章网络架构设计10第六章产品选型及产品介绍12AC无线控制器13室外式无线AP15Portal认证服务器18第七章AP部署方案设计24第八章无线WIFI接入系统功能设计25虚拟局域网功能设计25基于用户身份的认证管理功能25用户漫游及QOS保障29用户动态负载均衡30无线信号自动优化及调整31非法信号的监测、告警及主动反制31AC控制器对WIFI无线网络系统的管理控制
2、33第九章信道规划设计40第十章无线WIFI网络优化设计42第十一章无线WIFI网络安全48第十二章无线WIFI建设方案的优势50无线管理一体化50AP零配置50电信级产品质量保证52完善的服务体系52丰富的无线网络工程经验52第十三章WIFI建设施工方案设计54专业的无线网络工程施工队伍54配套的维护设备55第十四章质量及安全57第一章项目概述2011年以来,随着智能手机、平板电脑为代表移动智能终端快速普与,且Wi-Fi已成为移动智能终端的标准配置,虽然3G(包括后续4G)技术提供移动互联网接入,但用户对流量与费用超限的担忧,各种移动智能终端通过WLAN(无线网络)进行网页浏览、安装、使用应
3、用软件日益成为用户的使用习惯,WLAN建设成本低速度快,成为性价比最高的无线互联网接入技术。越来越多的景区考虑自建无线网络,在营业区域进行无线覆盖,以向自己的最终用户提供便利的无线接入互联网服务,把无线接入互联网服务作为吸引客流,为最终用户提供便利,提升商户服务体验水平的措施之一。第二章WIFI建设需求2.1 WIFI信号覆盖范围需求l *机场3公里跑道全路段,要求达到多人同时上网,并保证多人同时可以传输大流量视频信号;2.2 WIFI覆盖网络系统的功能需求 管理中心可以对认证页面进行高度定制,页面支持多种设计语言,以实现对认证页面自由设计的需求; 方便管理,能够对接入无线网络中的用户进行上网
4、时间、上传下载速度与使用流量等方面的控制管理; 可以进行通告推送,只要用户接入到无线网络中,除了能够在认证页面推送宣传与认证信息外,同时能够在不影响用户正常上网的情况下随时推送形式多样的通告通知信息; 部署方便,维护简单;向运营商租用互联出口,在此基础上增加的无线网络,需要在不影响原有网络架构的前提下方便部署,同时对整体设备需要易操作易管理,维护简单。 扩容方便,可以方便的增加终端用户的接入数量。2.3 WIFI覆盖网络系统施工需求u 施工方便、简单;u 设备不能安装在显眼地方,设备安装位置隐蔽;u 施工时不能影响道路正常行驶;u 施工时必须遵循相关单位的各项规章制度;第三章方案设计原则*机场
5、跑道对于无线网络的建设具有很高的要求,成都福华信科技有限责任公司从打造可管理、易使用、高稳定的WIFI无线网络角度出发,致力于为客户建设一个高效可靠、使用方便的WIFI无线网络。根据*机场跑道管理中心的用户需求,该方案设计遵循以下原则:u 高可靠性,WIFI无线网络运行的稳定可靠是WIFI接入系统正常运行的关键保证,在WIFI覆盖网络设计中选用高可靠性网络产品,合理设计网络架构,适合724不间断运行;u 技术先进性与实用性,在保证满足移动终端接入该WIFI网络系统的同时,又要表达出WIFI网络系统的先进性,充分考虑到该网络系统应用的现状与未来发展趋势,能够方便的对该无线网络系统功能进行扩展;u
6、 标准开放性,支持国际上通用标准的网络协议、支持中国电信运营商的WLAN业务Portal协议规范,有利于保证与其它网络与设备之间的平滑连接互通,以与将来网络的扩展;u 灵活性与可扩展性,根据未来业务的增长与变化,该WIFI网络与设备可以平滑地扩容与升级,并在扩容与升级过程中最大程度的减少对网络架构与现有设备的更换调整;u 可管理性,对网络状况实行集中监测、分析,具有对接入用户、设备、网络、流量等进行统计分析与管理的功能。u 安全性原则:*机场跑道的WIFI覆盖系统,即是一个开放式的成熟稳定的网络系统,同时作为无线应用网络系统对用户的安全以与网络的安全要求非常高。第四章方案设计依据l 系列标准;
7、l 强制性国家标准GB15629.11-2006信息技术 系统间远程通信与信息交换局域网与城域网 特定要求 第11部分:无线局域网媒体访问控制与物理层规范;l 频段较高速物理层扩展规范l 中华人民共与国国家标准UDC 614.898.5 GB 917588环境电磁波卫生标准;l 国家通信行业管理部门已颁发的相关技术要求与文件;l GB 8702-88电磁辐射防护规定中华人民共与国国家国家环境保护局;l 信息技术系统间远程通信与信息交换局域网与城域网 特定要求 第11部分:无线局域网媒体访问控制与物理层规范l 信息技术 系统间远程通信与信息交换 局域网与城域网 特定要求 第11部分:无线局域网媒
8、体访问控制与物理层规范:与频段较高速物理层扩展规范l 频段发射功率限值与有关问题通知工信部353号l 用户方提供的相关平面图纸与数据等资料l 工程师到现场实际勘测资料与有关的测试数据。第五章网络架构设计 根据*机场跑道的需求与道路的实际情况,结合现有的网络情况,设计整个网络架构如下:*机场跑道WIFI网络架构说明:采用光纤线路组网,中心机房新增一条出口带宽,部署一台路由器,出口到internet,做到AP与AP间、AP与AC控制器的互联,下行POE模块连接AP。中心机房部署一台三层交换机对数据进行汇聚转发,并连接AC无线控制器、Portal认证平台,与互联网网关设备。如上图所示为整个WIFI无
9、线接入网络的系统架构图,需要新增设备为接入POE模块、AC无线控制器、室外型AP设备,Portal认证服务器、WIFI信息安全审计平台。整个网络结构层次化,整个WIFI无线网络系统通过端口隔离与划分VLAN技术来实现控制终端接入用户;可以发现与控制终端用户私接路由器,私分DHCP地址等问题,交换机通过回环检测功能来实现广播风暴的产生,一但网络中环路,不会影响到整个网络的运营。 通过安全网关来实现终端用户的即接即用,不用更改IP地址来实现轻松上网,流量控制,不会出现某个接入用户独占带宽,导致其他用户无法正常访问网络资源等诸多安全防护与行为管控。接入网络部分:WIFI无线信号覆盖区域物理分布*机场
10、跑道全路段。整个无线网络系统采用室外覆盖的方式。WIFI无线网络控制、管理部分:在网络核心层,我们采用了目前最先进的AC无线控制器对整个无线网络系统进行统一的管理与控制。核心层网络的无线AC控制器,主要提供增强的管理、无缝的安全性,并且易于规划各种规模的无线网络,同时还兼容各厂商的路由器、以太网交换机等设备组网,提供对 AP、接入交换机的全面控制,以优化无线网络并增强安全性。无线网络管理部分:核心层网络的无线AC控制器,主要提供增强的管理、无缝的安全性,并且易于规划各种规模的无线网络,同时还兼容各厂商的路由器、以太网交换机等设备组网,提供对 AP、交换机与认证设备的全面控制以优化无线网络并增强
11、安全性。第六章产品选型与产品介绍根据设计,*机场跑道WIFI建设,采用AC+AP的方式组网(即FIT AP模式)。AC+AP为现有无线网络建设中广泛采用的模式,集中式无线架构不但能方便地实施二层漫游,而且非常有利于跨三层的漫游实现,用Fat AP部署的WLAN网络,由于AP之间传递的信息有限,导致垮三层的漫游实现与其麻烦,集中式架构非常容易解决跨三层漫游的问题。同时无线的FIP模式,还能解决FAT模式无法解决的信道冲突、智能AP的负载分担、无线入侵检测与灵活的AP接入用户控制等功能。根据*机场跑道WIFI建设的具体需求,室外智能型无线AP采用福华信WBS2025AC,该无线产品是成都福华信科技
12、有限责任公司自主研发的新一代千兆室外智能型大功率20倍以上的无线接入速率,能够覆盖更大的范围。该无线产品上行链路采用千兆以太网接口,突破了百兆速率的限制,使无线多媒体应用成为现实。该系列产品内置集成智能射频覆盖优化技术,单射频最大发射功率可达500mW,能够针对性地有效解决室外WIFI覆盖各种问题,提高WLAN室外覆盖的准确性与稳定性。AC无线控制器采用Fuhuaxin6100,AC控制器可以实现整个道路WIFI无线网络系统的一体化管理,可以实现对于网络中的无线AP、移动终端等无线设备进行一体化集中管理,全网设备信息与状态一目了然。移动终端的信息进行查看,包括MAC地址、信号强度、发射速率集、
13、RSSI、SSID、使用信道、所在AC设备、所在AP设备等,并能查看各移动终端的全部漫游记录;无线管理系统可以方便系统管理员更加方便快捷丰富的管理。AC无线控制器Fuhuaxin6100AC控制器是面向运营商级别的新型高速无线控制器。基于业界领先的多核处理器架构设计,可提供强大的数据处理能力与多业务扩展能力,具有管理AP容量大、处理性能强、功能特性丰富等特点,最多可管理1024个AP设备。AC控制器产品特点:l 支持全网无缝漫游AC漫游功能基于HACIP快速切换技术,真正做到了终端在AP间漫游切换0丢包,切换时间控制在20ms以内,漫游过程中不改变IP地址,无需重认证。l 支持分布式/集中式数
14、据转发架构基于业界领先的数通技术,AC可灵活地决策无线终端数据由本地转发还是集中转发。AC根据网络的SSID与用户VLAN的规划,决定数据是否需要全部经过AC转发,或直接进入有线网络进行本地交换。数据本地转发的优势是将延迟敏感、传输要求实时性高的数据分类通过有线网络转发,在的大流量吞吐情况下,可以大大缓解AC的流量压力。l 运营级的无线用户接入控制与管理基于用户的接入控制是该AC控制器的一大特色,User Profile(用户配置文件)提供一个配置模板,能够保存预设配置,用户可以根据不同的应用场景为User Profile配置不同的内容。支持基于MAC的VLAN划分,在控制策略上,管理员可以把
15、相同性质的用户(MAC)划分到同一个VLAN,同时在控制器上基于VLAN配置安全策略,这样既可以简化系统配置,又可以做到用户级的精细管理。l 智能负载均衡技术Fuhuaxin6100AC控制器提供基于用户数与流量的负载均衡方式,当AP的负载达到设定的阈值,AC会根据特定的智能控制策略,自动控制新接入的用户接入到邻近负载低的AP上,达到一个均衡的网络环境。l 高可靠的备份功能1+1快速备份Fuhuaxin6100AC控制器支持100毫秒业务备份,AP会同时与两台无线控制器建立CAPWAP链路,一台作为主控制器,另外一台作为备份控制器,但只有与主控制器建立的CAPWAP链路处于工作状态。当主控制器
16、异常down机时,备份控制器与主控制器之间的心跳检测机制可以保证在100毫秒之内检测到主设备的异常,并通知AP将主控制器CAPWAP链路切换,保证控制信号的不间断传送。AC控制器实现功能介绍:在本方案设计中,AP与AC控制器之间采用“心跳”机制,定时保持通讯,AC控制器能够非常与时的了解AP的工作状态,并将工作状态直接反映给AC控制器,AC控制器能直观显示出AP的拓扑结构,以与部署位置与工作状态,并记入日志,以被日后查验。l 管理整个系统的所以AP;l 监控所有的终端接入用户;l 管理发射频谱与频段冲突;l 负载均衡,与相邻接入点协调,平衡每一个接入点的用户数量;l 每个接入客户端的速率限制;
17、l 网络错误/报警;l 已连接入网的客户端的分布图;l 每个 SSID 与客户端分配到的带宽;l 连接/断开连接记录。室外式无线APFuhuaxinWBS2025AC是福华信科技自主研发的新一代基于IEEE 技术标准的超千频段,采用MIMO、OFDM、SDM、GI等技术,最高可提供1200Mbps的数据传输速率,相当于传统/b/g网络接入速率的20倍。FuhuaxinWBS2025AC内置3 MIMO天线与500mW的射频芯片,能提供更大的覆盖范围与更强的信号穿透力,室外有效覆盖距离可达200-300m。设备基于支架式外观设计,美观大方,可直接安装在路灯杆上或监控杆上。 FuhuaxinWBS
18、2025AC具有丰富的射频控制、移动访问、网络安全、多业务支持等功能,可同时提供多种接入模式(b/g/n/ac)。根据不同的应用场景,可灵活选择FIT或FAT工作模式,进行独立组网或配合福华信科技无线控制器提供基于零配置的高性能无线移动网络。结合福华信科技无线网络整体化解决方案,FuhuaxinWBS2025AC可广泛应用于医院、校园、酒店、企业、机场、运营商等室外无线应用场合。无线AP产品特点:l 性能卓越,稳定性高FuhuaxinWBS2025AC采用高性能嵌入式网络处理器,具有高效的数据吞吐量与强劲的负载能力。稳定的信号强度与信号质量可确保无线网络可靠运行;支持射频功率自动调整、工作信道
19、自动调节,支持基于用户、基于流量的负载均衡等功能,提高了无线接入的可用性与可靠性,使得大规模无线组网更加灵活稳定。l 支持零配置集中管理FuhuaxinWBS2025AC在FIT模式下配合福华信科技无线控制器可以实现即插即用,AP上不需要做任何配置,AP设备的管理全部由无线控制器来完成,无线网络管理员不必再对数量庞大的无线接入点进行单独管理与维护,所有的配置、固件升级、状态监控等动作都可以在无线网络控制器上完成,实现集群管理、统一部署,同时提供更强的扩展性。使无线网络系统的管理、维护变得简单易行。l 支持虚拟APFuhuaxinWBS2025AC支持虚拟多AP特性,即在一台AP设备上支持多个S
20、SID,每个SSID对应一个独立的BSS域,该BSS域可提供不同于其他BSS域的服务,从而实现在一个AP实体上派生出多个虚拟AP。利用虚拟AP的特性,FuhuaxinWBS2025AC设备可以实现:u 实现为不同的用户提供不同的网络访问域。如,区分企事业单位内不同部门用户的网络接入资源;区分外来用户与内部用户的网络访问资源。u 在一个AP上为不同的用户提供差异性的网络接入服务,包括:不同的安全策略、优先级、网络访问级别以与认证方式。l 丰富的工作与接入方式/ac标准的各种wifi终端。具有PPPoE、PPTP、DHCP、802.1X、Portal等多种接入方式,并提供福华信科技独有的基于U-k
21、ey技术的用户接入认证方式。l 方便快捷的管理维护支持WEB、SNMP、Telnet、CLI、SSL等多种管理方式。结合福华信科技“无线网络一体化管理”设计思路,实现设备控制管理、运行状态监控、无线用户管理等功能。通过采用先进的数据隧道技术并配合福华信科技无线控制器,Fuhuaxin WBS2025AC可以在不对现有基础网络结构进行任何改变的情况下完成部署,且不会对原有网络业务产生任何影响。l 强大的网络安全功能提供了丰富的网络安全特性,支持WEP、WPA、WPA2、WPA-PSK、WPA2-PSK等无线链路认证、加密方式。具有SSID隐藏、接入用户隔离、MAC地址过滤、防ARP攻击、用户带宽
22、限制等多种安全策略。可结合后台认证系统、计费系统、安全准入系统实现对用户的接入管理控制,有效保护无线网络与接入用户的安全。l 强大的无线射频特性提供最高达1200Mpbs的无线接入速率,支持最多并发100个无线接入用户同时上网,室外覆盖距离可达200-300米,用户可在多个AP间移动漫游无中断访问网络。射频芯片采用世界领先的Afterburner与Xpress增强技术,充分提高了信号的抗干扰能力与无线链路负载能力。l 支持智能负载均衡FuhuaxinWBS2025AC支持按接入用户数量与流量的复杂均衡方式,当无线控制器发现无线接入设备的负载超过设定的门限值以后,对于新接入的用户无线控制器会自动
23、计算此用户周围是否还有负载较轻的无线接入设备可供用户接入,如果有则会拒绝用户的关联请求,用户会转而接入其他负载较轻的无线接入设备,但如果无线用户不在重叠覆盖区内,传统的负载均衡方式往往会导致连接不上网络,造成误均衡。福华信科技创新性的支持智能负载均衡技术,保证只对处于覆盖重叠区的无线用户才启动负载均衡功能,有效的避免误均衡的出现,从而最大限度的提高了无线网络容量。产品功能实现:l 与相邻接入点协调,平衡每一个接入口的用户数量;l 每个接入点至少支持100个连接;l 接入点提供接入频道:2.4 G;l 信道化(带宽):20 兆赫、40兆赫、80兆赫;l 每个客户端的速率限制;l 连接速率使用正交
24、频分多路复用技术(OFDM)控制.Portal认证服务器本次无线WIFI接入认证服务器产品,拟采用福华信的Portal产品。福华信Portal产品,基于目前国内广泛应用的PortalPortal协议标准进行开发,适合目前绝大多数厂家的AC设备,具备良好的产品兼容性。Portal认证系统能够很方便的实现在无线网络的接入认证,同时能够对认证页面进行定制,以达到广告与信息推送的目的。福华信Portal系统是面向提供无线或有线宽带服务的企业机构与运营商的一种门户系统产品。Portal门户给商户与企业除了提供最基本的无线宽带认证功能,同时还提供一个基于WEB Portal的内容展现平台,使商户与企业能够
25、为最终用户在认证页面上提供自己的内容信息服务。产品特点: 高性能:采用多核处理器架构与Fuhuaxin全新的安全操作系统,在新建会话数方面,Fuhuaxin BRAS宽带接入网关可以每秒处理超过50万的TCP会话请求,此项指标超过同类产 510倍! 多WAN口连接因特网:根据用户使用情况,Fuhuaxin BRAS宽带接入网关的WAN口数可以在1-5个之间自由定义,即不会浪费,又有了更大的自主度。 智能多WAN负载均衡:支持自动多线路负载均衡、线路备份,当其中一条线路断线后,自动在余下的线路中进行负载均衡,不仅在双/多线捆绑方式下具有最优的线路利用效果,并且有效的解决了因为某一条线路中断而影响
26、整个网络的情况。 WEB认证:通过内置的WEB认证模块,可以使用户通过Web网页进行上网认证,配合福华信计费管理系统可以实现记费与更多的用户管理功能 短信通知:(此项为可开发功能)根据用户在认证页面填入的手机号码生成帐号密码并通过短信猫将帐号密码发送至用户手机,以完成用户开户认证过程。 PPPoE服务器功能:内部用户,可通过PPPoE方式进行网络联接,便于管理,并彻底杜绝攻击,泄露等问题。 配合Fuhuaxin计费管理系统,可以实现对所有PPPoE用户进行统一管理,统一计费,统一查询,用户可对自己的密码,用户名等进行修改,对帐户进行查询。管理人员通过远程网络,即可能所有用户进行管理。数据集中管
27、理,更方便安全,适用于小区宽带接入,学校接入等环境。最高可支持2000个PPPoE用户同时在线。 用户管理:具有用户管理功能,本机可对PPPoE,PPTP,WEB等用户进行用户管理,对PPPoE与PPTP可以实现,用户帐号、密码、带宽、IP地址、到期时间等管理功能,配合福华信计费管理系统,可以实现更强大的管理、计费、财务统计等功能。 便于部署:Fuhuaxin BRAS宽带接入网关支持路由、透明、混合等部署方式,同时支持静态路由、策略路由等、负载均衡等,满足不同用户网络的需求。 VPN:Fuhuaxin BRAS宽带接入网关的IPSecVPN严格遵循RFC国际标准,其支持的算法有DES、3DE
28、S、AES128、AES192、AES128、AES256等,同时提供SCB2的国密算法支持,可为用户提供点对点、星型、网形等VPN部署方式。 PPTP VPN:Fuhuaxin的PPTP VPN功能支持大容量的VPN接入,数量超过千条,除标准VPN功能外,还支持对远程接入用户的身份认证,防止非法用户接入。 带宽管理: Fuhuaxin BRAS-5200宽带接入网关提供专有,基于二层的流量控制,能提供比三层IP流控更精确的控制性能,可将流量控制精确到1Kbit,同时提供基于IP的三层流量控制策略,以适应不同环境的需求。可为每个用户动态设定不同的带宽,以满足用户精细管理的需求。 VLAN支持:
29、支持802.1Q VLAN接口生成,支持VLAN终结,可与标准设备VLAN进行无缝连接。并独家支持PPPoE的VLAN穿透。 通告功能:内置用户通告功能,用户到期通告功能,可根据需求向用户发送不同的通告内容。 网络监测:FuhuaxinQoS解决方案提供各种报告与监控方法,帮助用户查看网络状况。用户可以轻松查看接口带宽使用情况以与带宽使用情况的历史记录,为将来分析提供方便。 攻击防护:完善的基于状态检测的防火墙,流量控制与数据包过滤功能,保证了网络的安全,稳定与高速运行可防御DoS/DDoS攻击、ARP欺骗攻击。 每秒50万以上的新建会话数处理能力可提供强大的瞬时处理能力,使得Fuhuaxin
30、 BRAS宽带接入网关有超过普通防火墙510倍的抗攻击能力。 DHCP服务器:所有连接到局域网上的计算机均能够自动从路由器获取TCP/IP配置信息,大大简化用户的管理与设置 ARP刷新:用于向局域网内的计算机广播正确的网关的IP与MAC地址,可以有效的杜绝ARP欺骗的问题。 静态IP地址绑定:MAC地址与IP地址绑定功能,使用户能够对用户局域网中的计算机实现最大的管理权限,方便用户对各计算机进行权限设置,并可通过IP与MAC地址的绑定,有效的防止ARP欺骗对网络造成的影响。 固件升级:用户可以通过WEB界面来升级最新固件,以增强系统稳定性或者扩展系统功能。 端口映射:允许Internet用户访
31、问用户局域网中的服务器以与其它特定的服务器。 多种管理方式:使用Web管理界面进行配置,支持远程管理,支持SSH管理,不仅可在局域网络中进行管理,还可方便用户在家或出差在外管理公司的网络,一切尽在您掌握中。 系统日志:强大的系统日志功能,能够随时察看设备的历史状态,便于故障的查找的判断,还可借助第三方软件实现更详细的日志记录。 Portal服务:不需要安装认证客户端, 减少客户端的维护工作量;便于运营,可以在Portal页面上开展业务拓展、 技术成熟等优点而被广泛应用于运营商、学校等网络。目前在公共场合也有很多的WIFI热点.WIFI本身不加密,但是当用户访问网络的时候,会要求用户输入用户名与
32、密码.认证成功后就可以上网了.WEB认证的特点显而易见,就是不需要特殊的客户端,有浏览器就可以了.产品功能: .高度的页面定制功能,可以随意的设置满足自己需求的认证页面,支持JAVA、PHP等多种语言环境; .能够对接入终端账号预先判断是否可用,或者免MAC认证;.支持第三方Radius,可以方便的对用户进行管理,并能够根据Radius系统用户信息,在认证成功或失败页面上显示用户姓名、通告等信息; .能够提供短信认证服务,提高用户体验,方便接入认证; .认证后打开指定主页,以方便用户登录企业网站或指定广告页; .支持日志记录功能,能够为有关部门提供符合要求的上网日志信息; .支持第三方AC设备
33、,比如华为、中兴等;第七章AP部署方案设计*机场跑道WIFI网络覆盖AP点位部署规划如下图。说明:在半径3公里的跑道中,每300米,在道路两边选一根灯杆(或树一根立杆)挂一台FuhuaxinWBS2025AC室外型无线AP对道路进行无线覆盖。灯杆与灯杆之间,灯杆与中心机房之间用光缆连接,如上图所示。第八章无线WIFI接入系统功能设计虚拟局域网功能设计FuhuaxinWBS2025AC支持虚拟多AP特性,即在一台AP设备上支持多个SSID,每个SSID对应一个独立的BSS域,该BSS域可提供不同于其他BSS域的服务,从而实现在一个AP实体上派生出多个虚拟AP。该AP设备最多可以划分16个BSS域
34、。 本AP可以配置最多16个SSID,每个SSID都可以对应不同的VLAN。在不同的区域可以启用或不启用相应的SSID虚拟局域网之间不能相互通信。每个虚拟局域网是通过防火墙连接到互联网。每个虚拟局域网对应一个专用的 B 级信号范围,并且通过一台动态主机配置协议(DHCP)服务器辨识网络上的客户端。基于用户身份的认证管理功能众所周知,无线网络采用电磁波作为传出媒介进行数据传输,而电磁波在空气中进行传输,因而必须采取一些切实有效的方法来保护无线网络免遭黑客入侵与避免用户数据被非法窃取。目前国际上比较流行的方法是对用户进行身份的认证以与认证成功后要对用户数据加密来抵制非法入侵。本次天府新区政务服务中
35、心WIFI建设方案的接入认证服务器产品,拟采用福华信的Portal产品。福华信Portal产品,基于目前国内广泛应用的PortalPortal协议标准进行开发,适合目前绝大多数厂家的AC设备,具备良好的产品兼容性。Portal认证系统能够很方便的实现在无线网络的接入认证,同时能够对认证页面进行定制,以达到天府新区政务服务中心对政策的宣传与各项办事流程进行结算的目的。l 无线网络的VLAN配置在无线网络规划时,用户通过不同的SSID接入无线网络,映射为不同的VLAN,后台系统通过用户VLAN标识用户的用户权限与其他身份权限。在Portal服务器上配置Portal server与启用Portal认
36、证的虚接口,以与Portal重定向URL。Portal服务器根据接入用户的VLAN推送不同的认证页面。l 认证过程在用户与AP建立连接时,不同的用户选择不同SSID进行连接,并获得不同的IP地址。用户打开浏览器开始访问Internet时,通过无线控制器重定向到Portal认证页面,Portal server根据用户接入的VLAN推送给用户相应的页面。认证页面包含用户名、密码与验证输入表框,同时会有相关的提示与帮助等。认证通过后,认证服务器会根据用户名与AP的配置推送相应的认证完成页面,同时用户获得Internet访问权限。根据用户名、SSID,AC动态在AP上下发QoS策略,为用户提供不同的带
37、宽保证。对本次WIFI建设来说,可以为不同级别的用户保证不同的带宽,提高用户应用网络的同时,增加本次赛事的保障能力。Portal认证流程l 多种认证功能1)无线接入认证认证方式多样,所有用户均可以方便的接入到无线网络中。外来办事群众可以通过输入手机号码与密码进行认证上网,比如内部人员根据自己的固定帐号登录,对于部分终端,如领导的手机,也可以不需要认证即可体验无线网络,比如免认证;2)认证页面定制系统管理人员可以登录Portal服务器,定制设计符合要求的认证页面,支持多种网页制作语言,提供多种行业认证页面模版,也可以自己设计,实现更人性化、更自由得页面定制功能,可以在认证页面承载通告、宣传、认证
38、等信息内容;3)短信认证/身份证认证/第三方认证支持手机获取随机密码短信的方式认证上网,用户只需要输入自己的手机号码即可收到随机密码,在60秒内输入密码提交验证即可上网;同时支持身份证刷卡验证上网,只需要将身份证贴近读卡器即可根据身份信息生成独有的认证信息,方便用户认证上网;同时也可以支持第三方扩展认证,比如微信、QQ、新浪微博等认证方式4)手机兼容显示 认证页面与广告可以更好的适应用户手机终端,自适应手机终端类型,可以更好的适应手机屏幕显示,让手机显示更炫;5)日志审计 记录接入到无线网络中用户的手机号码、MAC地址、上下线时间、接入AP点、IP地址等信息;6)热备功能 实现Portal服务
39、器的热备管理,对Portal服务器上现有的数据与配置进行保存,当Portal服务程序出现问题后能够与时的响应并迅速恢复。用户漫游与QOS保障由于无线局域网采用类似于移动通信网中的“蜂窝”覆盖方式,来实现大面积覆盖,当终端在移动一点到另外一点的移动过程中,不可避免的需要从一个AP切换到另外一个AP,在切换过程中,移动终端需要进行“取消关联”与“重关联”的操作,该过程一般需要300500ms的时间,此外,在有后台认证系统存在的情况下,用户还需要进行重认证、session key重分发与重新分配IP地址的过程,这种方式无法满足一些对时延非常敏感的业务,因为传统无线网络的漫游只停留在IEEE802.1
40、1协议层上,并没有对用户会话进行完整性保持。而在本建设方案中,我们采用AP+AC方案,该方案AC控制器为核心,对所有AP上接入的用户采用统一会话管理,所有成功接入终端均在中心AC控制器保存相应会话,AP仅仅只负载传输用户数据,因此无论终端移动到哪个AP下,用户信息与授权都在AC所管辖的移动域内快速的交互,可以有效保持会话完整性与可靠移动性的前提下实现无缝漫游。另外,还支持WMM(Wireless Media-Media)无线多媒体协议,能够将语音、视频数据包以更高的优先级进行传送,提供了对无线QoS的保障。用户动态负载均衡传统上,由于受到客户端无线网卡底层驱动算法机制的限制,用户总是会连上信号
41、最强的AP,而并没有考虑到该AP是否能够提供最佳的服务。本建设方案中,AC控制器可以根据周围无线信号覆盖情况以与用户的流量需求,动态的将用户强制连接到其他可用AP上,将用户流量分配到其他可用AP,从而保证了整个无线网络的高效能与高可用度。例如在一个用户较多的会议室,正常情况下大约有20-30人左右,采用一个AP即可满足需求,但当用户数突然增加后,导致该AP无法连接数过多,而此时,位于会议室外的AP由于相对与会议室来说,信号虽然比较弱,但仍然是可以满足一定的网络用量,此时无线控制器则强制后来的一部分用户连接信号较弱的AP,从而实现了负载均衡,保障了网络的畅通。无线信号自动优化与调整传统“FAT
42、AP”组建的无线网络,在建设初期,需要对无线频谱与channel与发射功率进行规划,以降低同频干扰,但是无线信号受到用户数、天气、湿度等环境影响因素较大,一旦外界因素发生变化后,如果AP仍使用原始参数进行运行,必然导致信号强度降低、覆盖区域缩小等情况,导致网络运行不稳定。在本次天府新区无线WIFI建设方案中,支持RF Auto-Tune技术。无线AP可以监听、扫描所在空域中的信号强度与使用量,并将数据传送至位于核心的AC控制器上,AC控制器根据各AP报告的测量数据进行一个全局的调配,例如,当某一区域多数AP报告信号不足时,AC控制器可以动态改变该区域内相关AP的发射功率;当AP报告该区域内有相
43、同信道信号时,则可以动态调整相关AP,以避开信道的重叠。本解决方案中 的RF Auto-Tune技术以可动态地调整流量负载、功率、射频覆盖区域与信道分配,以使覆盖范围与容量最大化。非法信号的监测、告警与主动反制感知无线电可提供监测WLAN所工作的射频环境的功能,能对非法接入点与无线入侵者进行探测并定位.动态了解无线局域网(WLAN)所工作的射频(RF)环境的状态,对提供高水平的网络性能与安全非常必要。在无线网络解决方案中(IEEE802.11a/b/g/n),弱平时只使用IEEE802.11b/g/n一个频段,则可以将802.11a/n频段用于监听,(称之为Sentry Scan)与前一种方式
44、不同的是,此种方式为连续监控。无线AP通过上述两种方式,采取按需的或预设定的射频扫描来监听周边环境的信号源的MAC地址, Channel,类型与SSID等,自动识别并警告未授权的AP或Ad-Hoc网络,以避免潜在的干扰或与无线入侵者。另外,对于某些重点区域,还可以部署专用 AP不断地扫描空域,以便对要求更高安全性的环境提供全天候保护。当系统发现非法信号后,可以根据管理策略,手动或自动将非法AP加入系统的Attack list中,当发现有无线客户端尝试链接该非法AP时,系统可以主动向该无线客户端发出disassociation信号,强制将该终端与非法AP断开,从而让终端始终连接上合法的无线网络上
45、,保证了用户的数据安全。AC控制器对WIFI无线网络系统的管理控制 AC控制器主要对整个无线网络系统的管理与控制,相当于整个无线网络系统的大脑,以下为AC控制器的部分管理控制。.1通过 Web管理界面配置设备.2无线网络系统监控功能介绍了AC系统的概要信息,查询AP在线情况,查询STA在线情况,无线接入服务配置,Portal配置,RADIUS配置的查询。“网络监控”功能分为三个子菜单:概要、AP列表、终端列表用户可以根据不同的过滤条件找到符合条件的AP,过滤条件包括:在线AP、离线AP、按IP地址、按AP名字、按部署方位、按产品类型、按MAC地址、按槽位号。对于过滤出来的AP,用户可以选择“按
46、IP升序排列”或者“按IP降序排列”显示AP“终端列表”页面显示无线控制器系统中终端情况,包括STA总数、STA在线总数、STA离线总数。用户可以通过设置不同的过滤条件查找符合条件的STA,包括按AP的IP查找STA、按AP的MAC查找STA、按槽位查找STA。.3认证配置“认证配置”页面分为四个部分:NAS配置、Portal配置、RADIUS配置、域配置NAS配置如图所示,NAS列表中包含所有可以作为Portal server与radius server的client ip,只有SERVICE接口地址可以加入NAS列表,且每个槽位上最多可以配置5个NAS实体,即5个NAS IP。Portal
47、认证是一种WEB认证的方式,一般将Portal认证网站称为门户网站,未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。用户可以向用户推送门户网站(Portal页面),输入用户名与密码进行认证,这种开始Portal认证的方式称作主动认证。反之,如果用户试图通过HTTP访问其他外网,将被强制访问Portal认证网站,从而开始Portal认证过程,这种方式称作强制认证。Portal配置页面,“域名”表示Portal服务器属于哪个认证域的名称;“IP”表示Portal服务器的地址;“认证范围”说明了该Portal服务器能够认证的用户的地址范围;“URL”是用户认证时Portal服务器的推送页面。.4故障诊断故障诊断,用于判断AC与相连设备的互通性。如图所示,输入相连设备的IP,然后点击“开始”,检测AC与该地址是否互通。.5端口管理在“端口管理”页面,用可以查看各个业务板上的端口状态,包括链路状态、自适应状态灯。用户在“槽位号”中选择相应的业务