《2022年机场无线部署解决方案.docx》由会员分享,可在线阅读,更多相关《2022年机场无线部署解决方案.docx(54页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选学习资料 - - - - - - - - - 无线部署解决方案机场无线掩盖解决方案第 1 页名师归纳总结 - - - - - - -第 1 页,共 31 页精选学习资料 - - - - - - - - - 无线部署解决方案目 录1 项目概况 . 4 项目背景 . 4 项目目标 . 4 2 术语说明 . 4 3 总体设计方案 . 7 无线网络组网规划 . 7 网络高牢靠性 . 9 AC 冗余备份 . 9 DHCP Server备份 . 9 无线安全设计 . 10 WIFI 接入及认证过程 . 10 无线数据加密 . AC 与 AP 之间的安全认证 . 其它无线安全掌握技术 . 12 无线网络
2、治理 . 12 网络发觉 . 13 拓扑治理 . 13 无线网络规划 . 13 无线网络监控 . 13 无线网络安全 . 13 AC 性能治理 . 14 网络流量分析 . 14 告警治理 . 14 报表出现 . 14 软件治理 . 14 配置治理 . 14第 2 页名师归纳总结 - - - - - - -第 2 页,共 31 页精选学习资料 - - - - - - - - - 无线部署解决方案资产治理 . 15 任务和调度 . 15 日志治理 . 15 安全治理 . 15 QOS 部署 . 15 QOS 总体框架 . 15QoS 高优先级业务数据优先保证 . 16治理报文高优先级处理 . 17
3、 通过 client QoS 修改用户的优先级 . 17 基于用户的限速 . 17 POE 供电方案 . 18 POE 供电模块供电 . 18 POE 交换机供电 . 19 网络设备要求 . 19 无线 AP . 19 AC 掌握器 . 20 AAS 服务器 . 22 Portal 服务器 . 25 NetManager 网管 . 27第 3 页名师归纳总结 - - - - - - -第 3 页,共 31 页精选学习资料 - - - - - - - - - 无线部署解决方案1 项目概况1.1 项目背景 暂无1.2 项目目标 暂无2 术语说明 . WLAN :无线局域网络 Wireless Lo
4、cal Area Networks; WLAN 是相当便利的数据传输系统,它利用射频Radio Frequency; RF的技术,取代旧式碍手碍脚的双绞铜线 Coaxial所构成的局域网络,使得无线局域网络能利用简洁的存取架构让用户透过它,到达信息随身化、便利走天下的抱负境域;. 无线 AP:AP 是Wireless Access Point的缩写,即 无线 拜访接入点;假如无线网卡可比作有线网络中的以太网卡,那么 AP 就是传统有线网络中的 HUB,也是目前组建小型无线局域网时最常用的设备;. 瘦 AP: 无线接入点 AP,Access Point也称无线网桥、无线网关,也就是所谓的“ 瘦”
5、AP;此无线设备的传输机制相当于有线网络中的集线器,在无线局域网中不停地接收和传送数据 ;任何一台装有无线网卡的 PC 均可通过 AP 来分享有线局域网络甚至广域网络的资源;理论上,当网络中增加一个无线 AP 之后,即可成倍地扩展网络掩盖直径;仍可使网络中容纳更多的网络设备;每个无线 AP 基本上都拥有一个以太网接口,用于实现无线与有线的连接;.AC :无线接入控降服务器,接入掌握器 AC 无线局域网接入掌握设备,负第 4 页名师归纳总结 - - - - - - -第 4 页,共 31 页精选学习资料 - - - - - - - - - 无线部署解决方案责把来自不同 AP 的数据进行汇聚并接入
6、Internet,同时完成 AP 设备的配置管理、无线用户的认证、治理及宽带拜访、安全等掌握功能;.POE:POE Power Over Ethernet指的是在现有的以太网Cat.5 布线基础架构不作任何改动的情形下,在为一些基于IP 的终端如 IP 机、无线局域网接入点 AP、网络摄像机等传输数据信号的同时,仍能为此类设备供应直流供电的技术;POE 技术能在确保现有结构化布线安全的同时保证现有网络的正常运 作,最大限度地降低成本;.g:频段,是一种能支持较高数据传输速率154Mbit/s,采纳微蜂窝、微微蜂窝结构,自主治理的电脑局域网络;.8:无线安全标准, wpa 是其子集,规定使用80
7、2.1x 认证和密钥治理方式,在数据加密方面,定义了TKIP 、CCMP 和 WRAP 三种加密机制;.:WiFi 联盟制定了 NTGn,300Mbps 以上,最高速率可达600Mbps,采用 OFDM 技术、 MIMO 多入多出技术;. WEP :WEP 是 Wired Equivalent Privacy 的简称,有线等效保密 WEP协议是对在两台设备间无线传输的数据进行加密的方式,侵入无线网络;用以防止非法用户窃听或. WPA:英文缩写 : WPA Wi-Fi Protected Access WPA是一种基于标准的可互操作的 WLAN 安全性增强解决方案,可大大增强现有以及将来无线局域
8、网系统的数据爱护和拜访掌握水平; WPA 源于正在制定中的 之保持前向兼容;IEEE802.11i 标准并将与.WPA2:WPA2 是经由 Wi-Fi 联盟验证过的IEEE 802.11i 标准的认证形式;WPA2 实现了 802.11i 的强制性元素 全的 CCMP 讯息认证码所取代、而1,特殊是 Michael 算法由公认完全安 RC4 也被 AES 取代;. WPA/WPA2 企业版: Wi-Fi 联盟已经发布了在 WPA 及 WPA2 企业版的认证方案里增加 EAP可扩充认证协定的消息,这是为了确保通过 WPA 企业版认证的产品之间可以互通;从前只有 EAP-TLSTransport
9、Layer Security通过 Wi-Fi 联盟的认证;. SSID:SSID 是 Service Set Identifier的缩写,意思是:服务集标识; SSID 技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证, 只有通过身份验证的用户才可以进入相应的子网络,防第 5 页名师归纳总结 - - - - - - -第 5 页,共 31 页精选学习资料 - - - - - - - - - 无线部署解决方案止未被授权的用户进入本网络 .;.无线漫游: 当网络环境存在多个AP,且它们的微单元相互有肯定范畴的重合时,无线用户可以在整个WLAN 掩盖区内移动
10、,无线网卡能够自动发觉邻近信号强度最大的AP,并通过这个AP 收发数据,保持不间断的网络连接,这就称为无线漫游;. 数字证书: 数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据,供应了一种在 Internet 上验证您身份的方式, 它是由一个由权威机构 -CA 机构,又称为证书授权 Certificate Authority 中心发行的,人们可以在网上用它来识别对方的身份; 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件;最简洁的证书包含一个公开密钥、名称以及证书授权中心的数字签名; 数字证书是一种权威性的电子文档,由权威公平的第三方机构,即 CA 中心
11、签发的证书;第 6 页名师归纳总结 - - - - - - -第 6 页,共 31 页精选学习资料 - - - - - - - - - 无线部署解决方案3 总体设计方案3.1 无线网络组网规划组网说明.在机场核心交换机分别旁挂1 台或多台 AC 无线掌握器,通过 1+1 方式实现冗余备份,在机场无线热点区域部署多个瘦AP ;依据现有机场有线的网络的部署情形,无线 AP 与 AC 掌握器间通过二层或三层实现互联互通,AC 工作在集中转发模式,全部无线终端的业务数据通过AC 进行集中转发;. 机场无线 AP 手动配置自身 IP 地址,与 AC 的 IP 地址实现隧道互联,无线终端的 IP 地址通过
12、 DHCP 动态猎取,网关指向机场的核心交换机,建议部署两台 DHCP 服务器,在核心交换机上配置DHCP 中继,分别指向两台DHCP 服务器,实现对 DHCP 服务器的冗余备份;. 机场无线 AP 实行 WPA2 的无线加密认证方式; 无线终端上行的 802.11的数据第 7 页名师归纳总结 - - - - - - -第 7 页,共 31 页精选学习资料 - - - - - - - - - 无线部署解决方案报文通过 AP 重新封装到 802.3 格式以太报文中, 直接发给 AC,由 AC 进行过滤识别后进行转发,这个过程实现了 离;WLAN 无线的数据和现有业务的数据隔. 留意事项:因无线的
13、数据均采纳集中转发方式,所以在无线终端间进行数据拜访时,也需要数据通过 AC 集中转发而拜访,增加了不必要的网络开销,我们建议禁止无线终端间的数据拜访业务;设备配置说明设备名称部署设备型号数量设备说明1024 个 AP 接入无线掌握器WNC6000-1000-AC X 台AC 掌握器,支持室内 AP WA2000-213W-PE X 台单频、单模,室内2.4G 增强型室内 AP;802.11 b 、 g 、 n ,外置天线,100mw 放装型, POE 受电方式; 支持wapi ;室外 AP WA2000-362W-PTE X 台WA2000-362W-PTE,无线 ,双频、双模,2.4G 、
14、5.8G 增强型室外 AP ;802.11 a、b 、 g 、n ,外置天线,500mw +500mw 放装型, PTE 受电方式;支持 wapi AAS 服务器Access Authentication 1 迈普设备接入认证服务器基本型、含硬件 , 2 个以太口server Portal 软件AAS-L-2000 X 2000 个 License 认证用户数, 单一系统支Portal Authentication 1 持多个 License 累加Portal 认证服务器中文版Server 短信网关Maipu SMS-CN 1 MaipuSMS-CN 、电信制式短信网关无线网管软件Maipu
15、NetManager 1 多业务智能治理平台专业版, 中英文版,无最多可治理网络设备数量限制 NM-WlanManager 1 无线业务治理组件软件许可,每个许可可增加500 个设NM-L-500 备节点授权许可第 8 页名师归纳总结 - - - - - - -第 8 页,共 31 页精选学习资料 - - - - - - - - - 无线部署解决方案3.2 网络高牢靠性3.2.1 AC 冗余备份AC 无线掌握器采纳, 1+1 冗余备份方式,在核心交换机分别旁挂 1 台或多台 AC 无线掌握器,通过1+1 方式实现冗余备份,保证了整个无线网络的高牢靠性;依据无线 AP 的规模来确定 AC 的容量
16、;在备机房放置同等数量和容量的 AC,实现完备的 1+1 冗余备份;1+1 冗余备份方式,需要从两个层面来保证设备和网络的冗余牢靠性;第一, AC 和备份 AC 之间的治理通道保持有快速心跳检测机制,心跳时间依据网络的质量可以配置,建议为200ms到 5s 之间;心跳报文在两端AC 和整个通道的网络设备之间采纳高优先级保证;同时,主 AC 和备份 AC 之间能定期和实时的同步 AP,client 的各种状态;这样,备份 AC 能实时监控主 AC 的活动状况;一旦主 AC 显现宕机等大事,备份 AC 治理的原 AP,实行切换;AC 收不到主 AC 的心跳报文,立刻通知该主其次,AC 和所治理的
17、AP 之间的治理通道保持有心跳检测机制;这种机制中除了检测 AC 的状态之外, 仍可以检测整个网络通道是否可达;心跳时间依据网络的质量可以配置,建议为5s 到 20s之间; 1+1 的备份方式在部署时, AP 需要配置主用 AC 和备用 AC 的地址列表,我们采纳静态指定的方式,在 AP 上写入主备AC 的 IP 地址,当主 AC 显现宕机或者主机房网络显现故障, 拜访不行达的情形下,AP 主动发觉并切换到备 AC 上;3.2.2 DHCP Server 备份DHCP SERVER 备份实现机制:在机场主机房搭建主DHCP SERVER 和备用 DHCP SERVER;通过核心交换机做DHCP
18、 RELAY ,分别指向主、备 DHCP SERVER,在正常情形下,用户端从主 DHCP 服务器猎取地址,当主 DHCP SERVER宕机的情形下, 用户从备DHCP SERVER 猎取地址 ;该功能的实现需要在核心交 第 9 页名师归纳总结 - - - - - - -第 9 页,共 31 页精选学习资料 - - - - - - - - - 无线部署解决方案换机上配置两条 DHCP RELAY 命令 ;3.3 无线安全设计由于无线接入的开放性,因此无线接入安全是部署无线网络的重中之重;当前兼容性最好、可实现性最高的无线安全接入方式就是结合数字证书的 WPA2 身份认证及数据加密技术;3.3.
19、1 WIFI 接入及认证过程为满意用户可以更便利快捷的使用WIFI 热点,并且又能够对接入用户合法性进行确认,本方案设计采纳 AAS+Portal+短信方式认证;Web 认证机场 WIFI 用户使用或者 pad自动搜寻到机场 WIFI 热点,在连接的时候会自动重定向到本地Portal 页面上,给用户推送一个Web 认证界面;当用户再次通过 HTTP 协议上互联网时, 会触发 Portal 认证,后端的 Portal 认证服务器会推送一个 Web 认证页面到用户终端上;用户在 WEB 认证界面填写自己的 号,点击获取随秘密码,就用户填写的 号对应的 会收到一条短信,猎取到一个随秘密码,用户通过该
20、 号码及短信收到的随秘密码进行 Web 认证;认证通过后系统允许用户终端上网,并且返回一个认证通过的页面,再次依据用户所在的公交车位置信息判定推送不同的广告信息;AAS 服务器AAS 是基于 AAA 的认证系统,在本方案中主要功能为协作 Portal 服务器为用户供应身份认证; AAS 也可以通过代理方式与运营商或者上级 AAA 系统进行对接,能够直接与营运商的用户库 如号等信息 共享,防止用户信息多点爱护;AAS 认证的用户名基于运营商用户库,所以有效的防止了其他运营商的用户接入 占用资源的问题;该系统答应全部运营商的用户能使用;第 10 页名师归纳总结 - - - - - - -第 10
21、页,共 31 页精选学习资料 - - - - - - - - - 无线部署解决方案3.3.2 无线数据加密WPA2 使用加密性能更好、安全性更高的加密算法:AES-CCMPAdvanced Encryption Standard - Counter mode with Cipher-block chaining Message authentication code Protocol,高级加密标准计数器模式密码区块链接消息身份验证代码协议,其主要有如下几点改良: 使用 128 位 AES 加密算法实现秘密性爱护,数据完整性爱护,自动重新生成密钥对以派生新的数据加密密钥,使用数据包编号字段实现防
22、重播; AES-CCMP 在 X 身份验证过程动态创建一组主从密钥,并由该从主密钥对和其他值派生出数据加密所需的暂时密钥,需事先定义而可能泄露的弊端;3.3.3 AC 与 AP 之间的安全认证防止了 WPA-PSK 主密钥为了保证 AC 与 AP 之间的拜访安全, 特殊是防止黑客或者攻击者从市场上购买同一品牌的 AP,私自接入机场网络,进行各种高级攻击;因此需要加强 AC 和AP 之间的安全认证;最简洁的认证是 MAC 地址认证,部署过程中可以将系统中的合法 AP 的 MAC地址统一记录在 Radius或者 AC 上;AP 在跟 AC 关联进行集中治理时,都需要在AC 上通过 mac 地址认证
23、才能答应 AP 接入无线网络;其次是密码认证, 第一次部署过程中需要在AP 上设置相关密码; AP 在跟 AC关联进行集中治理时,都需要在AC 上通过密码认证才能答应AP 接入无线网络;注:前面两种方式都是单向认证,在AC 上认证接入 AP;仍有一种更安全的方式是数字证书认证,我们采纳的 X.509 数字证书认证方法;该认证方法是双向认证,除了 AC 上认证 AP 的证书,同时在AP 上仍需要验证 AC 的证书,充分保证网络设备的合法性;在首次部署的时候,需要将相关证书下发到设备上;AP 运行过程中,跟 AC 关联进行集中治理时,就会启动该双向认证,胜利后才能答应AP 接入无线网络;第 11
24、页名师归纳总结 - - - - - - -第 11 页,共 31 页精选学习资料 - - - - - - - - - 无线部署解决方案3.3.4 其它无线安全掌握技术其它无线安全技术主要表达如下几方面:. SSID 隐匿:隐匿无线对外服务标识,类似在开放的环境中隐匿接入端口,保护无线接入;. 无线用户接入时段掌握 :依据业务需要, 限制终端用户通过无线接入的时间区间,可以实现在非工作时间外禁止接入网络;.无线用户拜访权限掌握 :可以在无线接入掌握器上实现ACL 掌握,放行移动终端业务的目标地址,阻断其它应用,通过ACL 掌握拜访权限;.无线用户速率掌握 :通过限制每个无线终端的速率,防止各种恶
25、意或无意的高速率拜访,确保其它用户通过无线接入的接入速率、接入稳固性;. 无线用户相互隔离 :对通过无线接入的终端实现隔离,阻断相互之间的通信,不仅实现安全治理,也可防止终端之间的相互影响;3.4 无线网络治理整个无线网络统一进行无线网络设备治理,无线网络的可治理性在整体项目 中将起到特别重要的作用;依据机场的应用需求,我们提出实现无线网络的“云管 理”方案;简洁来说,无线网络治理分成以下三层治理架构:.网管软件对 AC 的治理:主要聚焦在网管软件对各个AC 的状态监控,并对 AC 进行权限治理及监控;.网管软件对 AP 的治理:主要聚焦在网管软件对分布在全国任意网点的AP的追溯治理,包括每台
26、AP 下的终端接入数,终端流量,终端应用;. 网管软件对无线终端的治理:主要聚焦在网管软件对接入到全国任意网点的全部无线终端的治理,包括终端流量等等;通过以上三方面不同层次的网络治理,使得无线网络的治理更可控;第 12 页名师归纳总结 - - - - - - -第 12 页,共 31 页精选学习资料 - - - - - - - - - 无线部署解决方案3.4.1 网络发觉 基于 IP 范畴发觉 AC,手动添加设备基于 AC 发觉无线网络,自动添加设备3.4.2 拓扑治理 支持网络拓扑图的自动生成及拖拉缩放,支持网络拓扑分层分级导航和治理及自动更新支持网络拓扑图的手动定制及定制连接支持物理连接和
27、规律连接,并在拓扑上显示连接属性,如端口、贷款及连接状态3.4.3 无线网络规划 支持无线分级地图3.4.4 无线网络监控 支持在各 AC 管辖下的无线 AP 列表支持列出客户端列表 :包括活动客户端列表、客户端列表历史、信噪比等3.4.5 无线网络安全 支持统一安全策略:统一安全策略的创建及安全策略的下发和部署支持无线安全防护:包括 制及无线入侵大事列表等Rogue AP 列表, Rogue Client 列表, Rogue 设备反第 13 页名师归纳总结 - - - - - - -第 13 页,共 31 页精选学习资料 - - - - - - - - - 无线部署解决方案3.4.6 AC
28、性能治理支持 AC 性能监控,及性能数据的治理3.4.7 网络流量分析支持网络流量数据采集标准 支持带宽使用统计网络性能瓶颈发觉Cisco NetFlow, sFlow 等 输出网络流量报告,支持基于图形化和数据表格方式的网络流量具体报告3.4.8 告警治理支持告警定义,告警出现,告警治理及相应的告警操作;3.4.9 报表出现支持表格和图形混合呈现的报表出现方式可手动、自动生成报表,并自动发送报表3.4.10 软件治理支持软件包治理及 AC、AP 软件自动升级3.4.11 配置治理支持批量配置治理,配置文件治理第 14 页名师归纳总结 - - - - - - -第 14 页,共 31 页精选学
29、习资料 - - - - - - - - - 无线部署解决方案3.4.12 资产治理支持设备资产治理,设备资产信息收集和呈现,并定期自动同步3.4.13 任务和调度支持任务的查询 /修改 /制定,从而实现按时批量任务实现支持一次性任务调度、周期性任务调度,并输出任务执行日志,并回报任务执行结果通知3.4.14 日志治理可记录日志,包括网管日志,网元操作日志,安全日志及网元日志等可操作日志,包括设置、转储、查询和打印等并可对日志进行定期清理3.4.15 安全治理可对用户组进行安全治理,包括用户治理、治理域等可实现第三方认证和授权,支持3.5 QOS 部署3.5.1 QOS 总体框架RADIUS ,
30、TACCS,LDAP 在链路层和 MAC 层供应支持 QoS 的无线网络接入服务, 加上有线网络原有的应用层、 IP 层的 QoS 策略,供应了无线设备端到端的第 15 页QoS 支持才能,以无线终名师归纳总结 - - - - - - -第 15 页,共 31 页精选学习资料 - - - - - - - - - 无线部署解决方案端 Client1 发送报文到 Client2 为例说明 Qos 总体框架;802.11报文Client1WMM协议掌握WMMQos模块APClient Qos模块Capwap Tunnel802.3报文AC无线Qos调度有线Qos调度有线Qos模块无线报文转换为有线报
31、文RateLimitRateLimitWMM Qos模块802.11 802.3Inner Priority ACLACLWMM UP 802.1pOuter PriorityDiffservDiffServ802.3报文 有线Qos调度 802.11报文 WMM协议掌握 Client2 无线Qos调度 AP 802.3报文 ACWMM Qos模块 WMMQos模块 有线报文转换为无线报文WMM UP 802.1p 802.11 802.3 Client Qos模块 RateLimitDiffServ ACL Remove Capwap Tunnel 有线Qos调度 有线Qos模块 RateLimitDiffserv ACL总体框架中供应两大部分 QoS部署:. 一是从 client 到 AP 之间的无线 QoS 部署,该部分主要是对于空中的无线报文802.11 报文进行各种 进行调度;QoS 治理和配置;对于语音和视频等高优先级流量. 二是从 AP 到