《无线技术建议书 .doc》由会员分享,可在线阅读,更多相关《无线技术建议书 .doc(40页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、陕西省地税局无线技术解决方案凌云网络2013-4-18目录一、概述2一、概述2二、需求分析32.1 无线网络基础方案42.2覆盖区域详细说明92.3 无线局域网的网络管理92.4 无线安全设计112.5 集中化和统一WLAN的好处11三、设备配置清单18四、产品资料194.1、室内AP:WA-3000-N194.2、无线控制器:WS-5100-128T194.3 POE供电交换机:S2700-26TP-PWR-EI204.4核心交换机:S5700-28C-EI20五、成功案例20一、概述无线局域网(WLAN)技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以
2、替代传统的有线网络。现今基于 IEEE 802.11 标准的无线局域网(WLAN)技术已开始大量应用于城域网和企业网。WLAN(Wireless Local Area Network)在特定的场合可以替代其他有线接入方式作为网络接入最后一公里的解决方案。WLAN 具有相对于其他无线技术的高带宽和低成本,充分满足客户对高速无线宽带业务的需求无线局域网具有以下显著特点: 简易性:WLAN网桥传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作; 灵活性:无线技术使得WLAN设备可以灵活的进行安装并调整位置,使无线网络达到有线网络不易覆盖的区域; 综合成本较低:一方面WLAN网络减少了布线的
3、费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网技术可以更好地保护已有投资。同时,由于WLAN技术本身就是面向数据通信领域的IP传输技术,因此可直接通过百兆自适应网口和企业、学校内部Intranet相连,从体系结构上节省了协议转换器等相关设备; 扩展能力强:WLAN网桥系统支持多种拓扑结构及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统;随着IT技术的发展,出行用户随身电脑,手机等设备都有了WiFi上网功能,在旅行途中,上网工作和娱乐的需求越来越普遍。二、需求分析陕西省地税局需要进行无线网络建设,本次无线设计覆盖范围为办公楼(一号楼)、办公楼(二号楼)。要求无线局
4、域网能够做到完全覆盖,让员工在办公范围内可以随时随地、无拘束的连接到互联网上,实现资源共享,让用户能真正做到无线漫游,给工作和生活带来巨大的便利。并且可以以WPA2的认证加密方式保证无线网络的安全以及无线数据绝对不会外泄。无线网络用户可以根据用户名与密码的方式接入无线网络,保证了网络的安全性,防止非法用户接入无线网络,方便管理无线网络用户的接入。根据以上用户需求情况及工程师现场勘查,陕西省地税局此次无线覆盖工程建设有以下详细需求:1. 利用集中控管的无线技术实现地税局范围内的无线全覆盖,使员工能够随时随地、方便高效地访问Internet; 2. 对于无线AP设备实施统一管理和监控。3. 无线网
5、络的部署需要考虑简单方便。4. 关注安全性,需要用户在接入无线网络时使用用户名与密码的验证方式。5. 无线AP全部采用POE交换机供电。 本工程具体的建设目标是: 采用先进、成熟、可靠、稳定、安全的无线网络技术和无线网络产品,建成一个高带宽、高可靠性、可管理的安全无线网络。 无线网络的建设依附在有线网络上,采用POE供电方式,AP部署在每个楼层内的走廊里及会议室顶部,无线控制器AC部署在核心交换机房。覆盖范围要求:对所有楼层的办公室、会议区域、大堂公共区域。 采取通行的网络协议标准:目前无线局域网普遍采用802.11系列标准,因此陕西省地税局无线局域网将主要支持802.11b/g/n标准,支持
6、2.4GHz频段,最高理论速率达300M bps。 稳定的网络通讯服务,同时兼顾多种类型应用和将来的投资保护。 全面的无线网络管理,以避免无线设备之间的信号干扰或网络管理的混乱而导致的问题。 AP工程布线和安装要求:I. 室内部分:将网线走走廊顶部桥架到位;AP放在桥架上,可利用设备本身自带的安装附件进行安装;II. 供电部分:AP的供电可采用POE方式由接入的网络设备进行供电(无需本地供电)。2.1 无线网络基础方案2.1.1 无线网络方案针对本次陕西省地税局无线网络建设项目,我们采用瘦AP架构,可以在公司有线网络的基础上建立逻辑独立的无线网络。WLAN领域的趋势是向集中智能和集中控制发展。
7、使用无线控制器系统来为大量轻型接入点创建和执行策略。通过集中这些设备的智能特性,整个无线网络中对WLAN运营至关重要的安全性、移动性、服务质量 (QoS)和其他功能都可得到有效管理。此外,通过分离接入点和控制器的功能,IT人员能简化管理、提高性能并使大型无线网络更为安全。由于前端的无线AP运行在瘦AP模式,通常模式下所有无线数据及控制流量均交由无线控制器来处理,因此借用公司现有的有线网的核心交换机组成集中控制管理的“覆盖式”(Overlay)无线网络,是比较经济高效的选择。无线网络方案总体拓扑如下图:方案设计中我们选用一台智达康WS-5100-128T无线控制器,WS-5100-128T无线控
8、制器可管理最大128台AP,便于以后对无线网络的扩展。无线控制器旁路接入核心网络,对整个无线网进行统一控制管理,控制器通过优化配置达到最优控制公司内的AP接入点。AP部署:无线AP通过接入到POE交换机上联入核心网络并取得供电。对于AP的管理,首先在AC(无线控制器)上注册,由AC管理;用户连接AP时需要通过radius服务器的认证,使用账号名与密码的保障网络统一性和安全性。AP与AC之间只维持及小的数据量。同时还支持AC故障、无线隧道中断时,AP仍然正常工作。无线控制器AC部署: AC放置在核心机房,无线控制器可以不需要和AP进行直接的连接就管理和控制AP,使得AP的配置管理更换变得异常简单
9、和方便。AP连接在POE交换机上和AC进行必要的通信和转发。2.1.2 无线网络安全无线网络安全部分主要包括以下方面的内容:SSID管理:是一种网络标识的方案,将网络进行一个逻辑化标识,对终端上发的报文都要求进行上带SSID,如果没有SSID标识则不能进入网络;非法AP发现和控制:通过AC控制AP扫描无线环境,发现非法接入的AP,并列入黑白名单,同时加以反制。2.1.3 频率规划 频率规划802.11b/g/n使用开放的2.4GHz 频段,可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5个信道的工作中心频点。因此对于802.
10、11b/g/n在2.4GHz地工作频段,理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。此外,由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。针对如何进行802.11b/g/n的频率规划作了大量的实验,实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖,并提供更高的服务带宽提高服务质量,和高带宽业务的开展。频率规划原理图频率规划需要配合使用的功能包括:AP支持500mW最大射频功率以及多级功率控制AP支持外置天线以及定向天线针对特殊应用还需要AP支持桥接功能、接入功能以及WDS功能2.1.4 供电问题由于本次无线网中AP设备数量较多,AP布放位置根据实际
11、覆盖效果而调整,在已建设完成的建筑物上较难进行本地供电,对于覆盖采用AP放在走廊顶部内,对AP的本地供电问题难度更大。所以选择基于标准802.3af实现对AP的供电,选择华为 S2700-26TP-PWR-EI POE交换机供电,通过以太网线在传输数据同时给AP供电,供电距离达100米,满足实际组网的要求。2.1.5 设计原则无线覆盖设计将遵循按照信号范围最大化原则,在整个公司全面覆盖的前提下,重点选择部分区域进行更加细腻的覆盖。并且,保证无线网络稳定性并与绝大多数主流无线网卡兼容,同时兼顾考虑网络扩容,为今后网络扩容做好预留。高带宽为了保障用户享受随时随地、无拘束的上网冲浪,全网的组网设计应
12、为高带宽、可靠性设计,保证应用系统的稳定可靠运行。可扩充性考虑到用户数量和业务种类的发展,要求对于无线网络具有强大的扩展功能,陕西省地税局的无线网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。开放性技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。2.1.6 设计指标各信号输出点信号强度20-23dbm;将按照2.4G工作频段2.4122.4
13、72GHz(ETSI)分为channel1、channel6、channel11三个完全不干扰频段设计;目标覆盖区域信号强度-75dbm。1、一般来讲室内容许最大覆盖距离为25-30米,室外容许最大距离100-400米2、障碍物阻挡:要观测无线覆盖周围的障碍物确定AP的数量和放置位置,2.4G电磁波对于各种建筑材质的穿透损耗的经验值如下:l 水泥墙(1525cm): 衰减1012dBl 木板墙(510cm): 衰减56dBl 玻璃窗(35cm): 衰减57dB3、各种建筑材料对无线讯号的影响如下:l 当AP与终端隔一座水泥墙时,AP的可传送覆盖距离约剩下 5米有效距离。l 当AP与终端中间隔一
14、座木板墙时, AP 的传送距离约剩下 15米有效距离。l 当AP与终端中间隔一座玻璃墙时, AP 的传送距离约剩下 15米 有效距离。所以在安装选点时,一定要注意以避开墙、柱子等。2.1.7 覆盖方式根据国家无线电管理委员会1997年2.4GHz频段的管理办法中规定的场强标准,选配不同技术规格的射频天线,既要考虑到每个信号输出点的电频强度,又要顾及信号对人体可能存在的危害,达到“绿色环保”的效果。经过现场的覆盖区域现场勘测后,对无线覆盖区域进行详细描述:室内覆盖规划原则:l AP的放置要遵循两个原则AP覆盖区域无间隙;l AP重叠区域最小。相邻AP工作在不同频道,以 1, 6,11三个频道实现
15、全方位的覆盖。根据经验值,当相邻AP设定相同频点时, 要求间隔25米以上;当相邻AP设定相邻频点时, 要求AP间隔16米以上;当AP设定相隔频点时, 要求间隔12米以上。AP室内无障碍覆盖(802.11b/g/n):主要应用于空间较大的楼层等室内区域,此时主要信号进行此空间内覆盖,无需要考虑到穿越墙壁、地板等障碍物对隔壁空间的覆盖;AP室内穿越障碍覆盖(802.11 b/g/n):主要应用于办公室走廊两边房间结构室内区域,因为无线信号穿越墙壁、地板等障碍物会存在衰减,但在走廊式结构的室内区域具备一定的穿越障碍的能力,一般是穿越一道墙壁之后信号效果较好。因此这样的结构适合在走廊中央布置AP,来覆
16、盖两边的房间区域; 2.2覆盖区域详细说明2.2.1 AP详细分布如下:1、 办公楼(一号楼):共9层楼,1层大厅放置2个AP;2层放置7个AP,3至4层各放置9个AP,5-8层各放置7个AP,9楼放置2个,共59个AP2、 办公楼(二号楼):共9层楼,1至3层每层各放置3个AP,4至8楼每层放置6个AP,9层放置2个AP,共41个AP3、 平面图:4、 2.2.2 POE供电交换机分布如下:1、办公楼(一号楼)每三层楼有一个弱电井,将POE交换机放置于弱电井中,2、办公楼(二号楼)每三层楼有一个弱电井,将POE交换机放置于弱电井中, 2.3 无线局域网的网络管理2.3.1 集中式管理网络数据
17、中心管理一个具有规模的无线局域网(通常在几十个AP以上)是一件非常头痛的事情。从RF覆盖面,带宽,用户的认证,以及接入的安全都要考虑。由于传统的无线局域网是单纯基于AP,因此对于无线网络的管理,其大量工作是要在每个AP上进行设置和更改。其工作量在有一定数量AP的无线网里是非常大和烦琐的,而且无线局域网是一个整体系统,AP之间必须互协调工作,单独改变一个AP参数和配置会引起AP之间的无线电波干扰,用户漫游重认证和授权也可能会产生问题。使用无线控制器系统具有非常强的无线局域网集中管理功能,通过无线交换机,WS-5100-128T管理整个网络,网管人员只需在无线交换机就可开通、管理、维护所有AP设备
18、以及移动终端,包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。 2.3.2 RF智能控管智达康的无线控制器可以自动调节用户所有AP的电波特性。 初次安装无线局域网时,用户可使用无线控制器自动调节整个无线网上所有AP的无线电波频率和功率。会自动互传有关无线电波的信息和调整电波的参数,直到AP之间达到了一个最优化的无线电波运行环境。当无线局域网经过自动校准的调整后而正式投入网络运作时,网络管理员可在无线交换机内启动自动频率切换这个功能,无线网上所有的智达康AP都会在设定的时间内自行扫描其它的无线频道。无线电波扫描是指智达康 AP 从一个电波频道跳到另一频道时,如Ch 1 到 Ch 2
19、到 Ch 3.,由于扫描的速度非常快,所以对于在线的无线用户(指连接到AP上在同一频率上的无线终端)的传输过程是不受到影响地。当AP停留在一个频道时,它会把在这频道上收到的无线电波信息转送回无线交换机。无线交换机可以对整个无线网上的电波情况侦测和记录。当某一覆盖范围内的无线电波改变,如出现干扰AP所发出的电波或其它应用所发出的电波等,无线交换机就会把所获取的无线电波资料做分析,以确定是否需要调整这范围内AP的无线电波。2.3.3 多个SSID结构在一个无线局域网内可以设置多个SSID,例如一个SSID可给内部员工使用,而另一个可给外来的访问客户专用。所以当无线终端在这个AP覆盖范围内启动时,它
20、就能同时看到多个SSID。SSID的另一用途是可让无线终端以不同的安全认证和加密方式入网。2.3.4 故障自动恢复传统的无线网在有AP损坏或失效时,这个AP的覆盖范围就会失去了无线连接。遇到这种情况的一般做法就是把现场失效的AP换掉。但由于大多数的AP都是设置在外面(不是在机房),所以不一定能马上作更换,现场的环境也有局限性,不一定很容易维护人员即时做出更换(很多的AP都是安装在天花板上)。智达康无线控制系统具有自动恢复的功能,实时侦测出网上AP是否有失效,当发觉有AP出现故障时,无线控制器能会自动调节邻近的AP的功率(覆盖范围)来接替失效AP的工作。2.3.5 网络负载均衡智达康无线控制系统
21、可在一个AP的覆盖范围内把无线用户或终端分散连接到附近的AP上。在一个AP的覆盖范围内,无线连接的带宽是共享,即无线终端数目越多,每个终端所能分享的带宽就越小。要确保每个无线终端的传输就必须能限制一个AP上无线终端的数量或AP带宽传输总和或和每个无线终端带宽上限。2.4 无线安全设计在无线网络中,可以在多个层面对系统构筑安全防护,其安全性设计如下:(1)多SSID:可以根据需要,如用户的种类、应用的种类,在无线网络中设置多个SSID,不同的SSID采用不同的安全策略,这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式,该SSID不广播,用户无法看到,防止非法用户的连接企图
22、。SSID还可以选择在某些AP上出现,某些AP上不出现,限制SSID出现的范围也是实现安全性的一种手段。(2)加密:智达康无线系统支持多种加密的方式,二层的加密支持静态WEP、动态WEP、TKIP、WPA、WPA2、802.11i多种加密方式,可以根据实际需求进行选择。2.5 集中化和统一WLAN的好处下面列出了WLAN集中化和统一WLAN所具有的很多好处。2.5.1 便于部署当在企业中部署自主接入点时,每个接入点都将单独进行配置。这种配置可以在每个接入点的基础上进行,也可以通过一个系统级应用或者设备完成。在完成对自主接入点的配置之后,每个接入点都将可以支持VLAN,以便划分不同的用户群组,为
23、不同的用户和用户群组区分不同的LAN策略和服务(例如安全和服务质量QoS)。这些VLAN可以扩展到网络的接入层。根据部署的规模和范围,VLAN可以在多台交换机中进行中继和扩展。在向网络引入基于轻型接入点和无线局域网控制器的集中化时,并不需要在接入层重新划分子网和设置VLAN中继。相反,VLAN将以中继方式连接到一个集中式无线局域网控制器,而控制器则将把用户和WLAN划分到VLAN中。这可以简化WLAN的部署和管理。在使用集中化解决方案时,一个轻型接入点只需要找出无线局域网控制器的IP地址当部署于第二层模式时。(在部署于一个远程子网中时,接入点需要IP地址、子网掩码和缺省网关信息)。轻型接入点还
24、可以从一个标准的动态主机配置协议(DHCP)服务器接收无线局域网控制器的IP地址。在轻型接入点联系无线局域网控制器之后,控制器将会为轻型接入点设定所有RF策略和无线局域网策略。因为所有来自接入点的数据包都会被置入一个隧道中,进而发送到无线局域网控制器,所以不需要将特殊VLAN扩展到各个接入点。2.5.2 便于升级较低的运营成本可以提高一个机构的投资效率。问题是:怎样实现低成本的运营?集中化有助于简化升级利用无线控制器,所有轻型接入点映像都会被嵌入到控制器映像之中。当控制器映像被升级时,它也会升级所有与其关联的接入点。不需要在一个集中管理基站上采用一个专门的脚本或者创建一个特殊的任务。2.5.3
25、 通过动态RF管理建立可靠的连接过去,使用自主接入点的无线网络通常利用一个静态RF计划进行部署,而且每个接入点都以静态方式设置它们的信道和功率。这个计划是根据RF预测制定的,即利用计算机对RF环境的模拟,结合接入点的天线发射功率,估计接入点的覆盖范围。RF预测的目标是以最小的信道重叠,获得接入点的最优覆盖范围。但是,因为RF预测是在一个不考虑部署后RF环境实际发生情况的计算机上进行的,所以它们只是对实际RF环境的估计。例如,在使用RF预测时,很难准确地估计来自相邻网络、办公室改建、房门开启或关闭、微波炉或者其他干扰源的共用信道干扰。集中化可以提供动态RF无线局域网控制器可以自动获知同一个网络中
26、不同轻型接入点之间的信号强度。控制器能利用这些信息,为网络创建一个动态优化RF拓扑。无线局域网控制器可以用一种独特的方式提供动态RF。在一个支持瘦AP接入点启动时,它会立即搜寻网络中的无线局域网控制器。在其找到一个无线局域网控制器之后,支持瘦AP的接入点会发出加密的“neighbor”(邻居)消息。这些邻居消息包括MAC地址和任何相邻接入点的信号强度。在一个无线局域网控制器网络中,控制器可以利用这些邻居信息确定接入点在网络中的相对空间状态。控制器随后会调节每个接入点的信道和信号强度,以获得最佳的覆盖范围和网络容量。如果网络中有一个无线局域网控制器集群(例如在单个网络中部署多个控制器),那么会有
27、一个控制器被选为缺省控制器,所有控制器都会向它们的轻型接入点发送缺省控制器信息。缺省控制器会关联网络中所有接入点的信息,再将最佳信道和功率设置发送给网络中的每个接入点。发射功率自动控制是射频管理中重要的功能,能动态的调配最佳的覆盖范围。2.5.4 通过用户负载均衡优化每个用户的性能802.11协议很难预测和保障用户的性能和吞吐。因为802.11为每个网络组件提供了相等的空间访问能力,所以每个客户端都可以决定它接下来将漫游到哪个接入点。当客户端设备进入一个覆盖区域时,它们可能会漫游到信号最强的接入点。同样,每个客户端设备对RF介质的访问权限与它们所关联的接入点一样。因此,所有客户端的RF吞吐都有
28、可能降低所有客户端都可以关联到同一个接入点。这通常被成为“会议室效应”。负载均衡可以通过不断地优化用户关联关系,为每个客户端提供最佳的,从而优化所有客户端的吞吐。这可以提高每个客户端的吞吐,动态地均衡网络的客户端负载。集中化有助于均衡用户负载无线局域网控制器和模块拥有一个网络整体视图。通过加密的无线消息,这些控制器可以获知接入点之间的信号强度。另外,当某个客户端探测接入点(这是802.11标准的一部分,即客户端寻找任何广播它所寻找的WLAN名称的接入点)时,控制器会收到来自每个收到客户端探测信号的接入点所发出的信号。控制器随后将根据客户端的信号强度和信噪比,决定哪个接入点应当响应客户端的探测信
29、号。例如,某个相邻接入点能够以较低的信号强度提供相同的服务。控制器将根据接入点的信号强度(RSSI),决定哪个接入点应当响应客户端的探测信号。2.5.5 第三层漫游借助采用轻型接入点的无线控制器,当第三层漫游被引入网络时,管理员不需要将VLAN拓展到网络中的所有接入点,就可以保持一个扁平式的无线子网。那些采用自主接入点的网络则有所不同它们通过拓展VLAN来实现漫游,因而会产生大范围的、不便于扩展的广播域。集中化有助于支持第三层漫游利用无线控制器,瘦AP可以被部署到网络的标准子网基础设施中,并获得一个隶属于它们所在子网的IP地址。所有来自于无线客户端的流量都将被放置到一个通过底层网络发送到无线局
30、域网控制器的FIT数据包中。客户端设备可以从一个连接到控制器的子网获得它们的IP地址而不是它们所在的楼宇的子网。底层子网基础设施对于客户端而言是透明的。控制器可以管理互相之间的所有漫游和隧道通信,以确保不需要移动IP等协议。2.5.6 降低总拥有成本较低的总拥有成本(TCO)让机构可以在不增加额外人手的情况下部署解决方案,从而降低网络部署和维护所造成的负担。这有助于改善机构的经营状况。对于自主接入点部署方式,时间主要被用于安装和初始化接入点,重新设置接入点,以及升级接入点。在一个包含100个接入点的自主接入点网络中,如果一年为每个自主接入点花费30分钟,就相当于一年花费3000个人分钟,或者5
31、0个人/小时。在五年的折旧期中,就有超过一个月的时间被用于自主接入点的管理上不包括诊断客户端和其他网络组件问题所用的时间。图3 为配置每个接入点付出的人力成本预测集中化有助于降低TCO利用无线控制器,用户不需要逐一配置100个网络组件,而是只需要配置无线局域网控制器。控制器进而再配置网络中的所有接入点。另外,管理员不需要升级网络中每个接入点的软件,而是只需要升级无线局域网控制器的软件,这样所有轻型接入点都会同时得到升级。因为无线局域网控制器能够搜索整个无线网络,所以它可以协调信息和使用高级功能,为诊断客户端连接问题提供支持。这些功能可以降低大型无线网络的TCO,同时减少诊断和管理网络所需的成本
32、。2.5.7 有线和无线整合有线和无线网络的集成对于实现统一的网络控制、可扩展性、安全性和可靠性具有重要的意义。为了支持企业级的无线应用,必须提供覆盖整个系统的无线局域网功能(例如安全策略、RF管理、QoS和移动性)。使用轻型接入点和无线局域网控制器的WLAN可以方便地支持有线、无线局域网的整合,因为控制器功能可以与交换和路由平台结合实现更多功能。2.5.8 智达康无线AC与华为AC对比智达康AC基本信息页面:图 1 基本信息修改基本设置打开“基本设置”页,您就可以进行一些基本的系统设置,如下图所示:图 2 基本设置l AP模式用户可以设置AP的工作模式,如瘦AP或者胖AP。l 有线端速率有线
33、端速率有10Mbps,100Mbps和自适应3个选项,可根据和设备有线端口相连的其它设备,如有线交换机的端口的状态来选择与之匹配的选项。l 流分类流分类采用一定的规则识别符合某类特征的报文,它是有区别地进行服务的前提和基础。设备提供的流分类规则可以由网络管理者设置流分类的策略,包括目的MAC地址、源MAC地址、Vlan ID、Vlan优先级、以太网类型信息,对流进行分类。各个流分类的配置大同小异,现以基于目的MAC地址流分类为例,如图所示:图 3 基于目的MAC流分类 MAC 列表:显示用户所添加的基于目的MAC地址流分类的规则。 添加新的目的MAC/设置优先级:用户可以在此处添加目的MAC地
34、址,并且设置该MAC地址的优先级,有四种类型可供选择:Best(0), Good(1), middle(2), min(3)。l 配置AP作为该选项用来配置设备作为“网桥”或“路由器”来使用,当作为网桥使用时,可配置设备的生成树协议、STP优先级、管理VLAN ID、IP地址、子网掩码、默认网关、主DNS服务器和次DNS服务器,这些都是在网桥下的配置。如果作为“路由器”,则会弹出路由器的配置选项。l 生成树协议生成树协议能够阻止网络产生环路,避免形成广播风暴。建议选择“打开”按钮。l STP优先级网桥的默认优先级是32768。网桥ID由网桥优先级和网桥MAC地址组成。当优先级相同时,MAC地址
35、小的为根网桥。l 管理VLAN ID只有VLAN ID与ZG-5000-2N管理VLAN ID相同的设备才可以Ping通和管理ZG-5000-2N。l IP地址在“网桥”模式下有三种类型,STATIC、DHCP Client和PPPoE。 STATIC:手动设置静态IP地址,子网掩码,默认网关,主DNS服务器和次DNS服务器。无线网桥能够根据IP地址设置A、B、C类子网掩码,其它的可变长度的子网掩码需要手动设定。 DHCP Client:设备可从DHCP Server自动获得IP地址,子网掩码,默认网关,主DNS服务器和次DNS服务器。 PPPoE:设备设备可从PPPoE Server自动获得
36、IP地址,子网掩码,默认网关等参数,从而实现在PPPoE Server端对设备的管理。修改无线参数打开“RF配置”中的“无线设定”页,可配置设备无线接口的工作参数:图 4 无线设定l 开启Radio开启Radio,设备会连续发射信号,STA可以扫描到并连接;禁用Radio,设备会停止发射信号,STA将扫描不到设备,更无法进行连接。l 无线模式有以下模式可以选择: 802.11g:建立符合802.11g的网络,802.11b的无线终端无法接入此网络。 802.11b:建立符合802.11b的网络,802.11b、802.11g和802.11n(2.4G)的无线终端都可接入此网络。 802.11b
37、g:建立符合802.11bg的网络,802.11b、802.11g和802.11n(2.4G)的无线终端都可接入此网络。 802.11b/g/n: 即混合网络,802.11b、802.11g和802.11n(2.4G)的无线终端都可接入此网络。 信道模式信道模式有三种:20MHz, 20/40MHz, 40MHz. 默认: 20MHz。 短GI为了数据传输的可靠性,数据块之间会有GI,用以保证接收侧能够正确的解析出各个数据块。启用短GI可提高传输速率。 AMPDUAggregate MAC Protocol data unit(聚合MAC协议数据单元)。A-MPDU聚合的是经过802.11报文
38、封装后的MPDU,而提高系统吞吐量。A-MPDU技术只适用于所有MPDU的目的端为同一个HT STA的情况。 AMSDUAggregate MAC Service data unit (聚合MAC服务数据单元) 。A-MSDU技术是指把多个MSDU通过一定的方式聚合成一个较大的载荷,提高发送报文的速率。A-MSDU技术只适用于所有MSDU的目的端为同一个HT STA的情况。 HT保护开启时,可以提高802.11n设备之间的传输速率,降低与802.11b/g设备的传输速率。 信道保护信道保护有三种模式:不保护,CTS to Self,RTS-CTS。启用保护模式,可在多台802.11设备争用信道
39、时,避免冲突发生。默认:不保护。 广播风暴控制网络上的广播帧(由于被转发)数量急剧增加而影响正常的网络通讯的反常现象,广播风暴会占用相当可观的网络带宽,造成整个网络无法正常工作。广播风暴控制是允许端口对网络上出现的广播风暴进行过滤。开启广播风暴控制后,当端口收到的广播帧累计到预定门限值时,端口将自动丢弃收到的广播帧。当未启用该功能或广播帧未累计到门限值时,广播帧将被正常广播到交换机的其它端口。 启用阻止XDos攻击启用时可以有效地防止XDos (Syn拒绝服务攻击的一种)攻击,默认为不启用。 Vap隔离启用或禁止Vap隔离。默认:是。 输出功率调整产品的无线信号发射功率。输出功率越大,设备的无
40、线信号能覆盖的范围越大,但同时功耗和对邻近设备的干扰也就越大。默认是最大输出功率,可以将功率降低。 启用自动功率调节无线接入点根据连接在其上的、或试图与其连接的无线终端的信号强度来自动调整自己的输出功率,在保证所有的STA都可以和无线接入点正常通信的同时,将无线接入点的发射功率降到最低,最大限度地避免对邻近设备产生干扰。 启用频率自动调节启用频率自动调节后,设备在上电时检测所有可用信道,选择一个相对干净的信道(被其他AP占用的最少)进行工作。之后,无线接入点会以设置的频率自动调节间隔时间为周期再次对工作的频率进行选择。当相邻无线接入点的信号强度低于最低检测门限时,无线接入点会忽略该设备。l 链
41、路完整性启用链路完整性功能后,当AP的LAN端口处于有线端状态时,如没有接网线, AP会断开已经连接的无线终端并拒绝试图连接的无线终端。当LAN端口变为上行链路状态后,AP又允许无线终端连接。链路完整性功能必须与Ping 测试功能同时启用。l 用户控制模式用户控制模有两种,根据流量和用户数。选择用户数时,当连接的STA超过设置的用户数时,设备会拒绝新用户的连接;选择流量时,当经过设备的带宽超过设置的流量时,设备会拒绝新用户的连接。l 流量控制模式设备支持3种流量控制模式:MAC地址,AP和VAP(SSID)。 MAC地址模式选择MAC地址方式后,在访问控制页面根据客户端的MAC地址设置相应的带
42、宽。带宽限制在加入MAC地址的同时被设置。 AP模式选择AP方式后,可以限制所有连接AP的客户端的带宽。设置最大吞吐量即可限制客户端的带宽。 VAP(SSID) 模式选择VAP(SSID)方式后,通过限制不同profile的带宽,而限制连接到此profile(SSID)的客户端的带宽。在安全配置文件页面,选择要配置的profile,设置最大吞吐量即可限制连接到此SSID的客户端的带宽。无线端访问控制设备通过无线端访问控制,指定STA访问无线接入点的权限,提供另外一层安全机制。无线端访问控制的模式为本地MAC地址数据库。图 5 访问控制列表打开“访问控制”页,选择“开启访问控制”保存后,可以手工
43、添加新的STA为可信或拒绝STA,同时可以控制每个STA的带宽。l 可信选择此选项后,只有可信无线STA列表中的STA可以连接上AP,其余STA都无法连接AP。l 拒绝选择此选项后,除了拒绝的无线STA列表中的STA不能连上AP,其余STA都可以连接上AP。VAP(虚拟多AP)设定VAP功能可以方便您对不同类别的用户进行分级管理,一个无线接入点可以虚拟出8个不同的虚拟无线接入点AP,每个虚拟无线接入点有不同的MAC地址、不同的安全接入策略(WEP、WPA、WPA-PSK等)、不同的VLAN划分。对无线终端而言,就像存在8个实际无线接入点一样。当无线终端试图连接某个虚拟无线接入点时,它首先需要支
44、持该虚拟无线接入点的安全策略。当无线终端成功和该虚拟无线接入点建立连接之后,该无线终端将会获得和该虚拟无线接入点的VLAN设定相一致的VLAN属性。虚拟无线接入点的安全策略配置如下图所示。图 6 VAP设定l IP地址过滤将您希望阻止或允许访问的IP地址列入此表。您必须先勾选“启用IP过滤”方可使用此功能。 图 7 IP 地址过滤H3C 无线AC基本信息页面:提供对 802.1 AP 的管理1nWX5000 系列有线无线一体化交换机在支持对传统 802.11a/b/g AP 管理的同时,还可以与 H3C 基于 802.1 协议的 AP 配合组1n网,从而提供相当于传统 802.11a/b/g
45、协议数倍的无线接入速率,能够覆盖更大的范围,使无线多媒体应用成为现实。提供灵活的数据转发方式传统的无线控制器部署一般采用集中式转发模式,AC 可以对报文进行全面控制和安全监管,但所有的无线业务流量需要到 AC 进行统一处理,核心链路带宽和 AC 转发能力容易成为瓶颈。特别是 AP 和 AC 通过广域网方式进行连接时,AP 作为数据接入设备部署在分支机构,而 AC 部署在总部,所有用户数据由 AP 发送到 AC,再由 AC 进行集中转发,导致转发效率低下。WX5000 系列无线控制器可以支持集中式转发和分布式转发,用户根据业务需要和网络实际情况可以灵活设置转发方式。另外,WX5000 系列无线控
46、制器还支持基于 MAC 的认证接入控制方式,这种方式不但可以使得客户在 AAA 服务器上对用户组进行权限的配置和修改,同时支持对具体用户的权限的配置,这种精细的用户权限控制大大增强了无线网络的可用度,网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。基于 MAC 的 VLAN 同样也是 WX5000 系列无线控制器的一大特色,在控制策略上,管理员可以把相同性质的用户(MAC)划分到同一个 VLAN,同时在控制器上基于 VLAN 配置安全策略,这样做既可以简化系统配置,又可以做到用户级粒度的精细管理。出于安全性或计费等的考虑,系统管理员可能希望控制无线用户接入到网络中的位置。WX5
47、000 系列无线控制器支持基于 AP 位置的用户接入控制。当无线用户接入网络时,可以通过认证服务器向 AC 下发允许用户接入的 AP 列表,在 AC 上进行接入控制,从而达到限制无线用户只能接入到指定位置的 AP 的目的。2.5.9 总结使用无线控制器可以降低部署、管理无线网络的复杂性;支持多种高级服务,例如定位和入侵检测(需增加无线组件);并且有助于确保有线、无线网络的运营成本的可管理性。网络集中和整合并不是新概念它最初是由蜂窝网络运营商所提出的,进而被引入到了802.11网络之中。通过集中和整合,无线网络将能够扩展到大型企业级部署,为用户提供可靠的连接和移动性。序号名称型号品牌单位数量1室内无线APWA-3000-N智达康无线通信台1004无线控制器WS-5100-128T智达康无线通信台15POE供电交换机S2700-26TP-PWR-EI华为台58核心交换机S5700-28C-EI华为台