無線認證方案.doc

.無線WIFI認證方案1.1 項目需求分析隨著各個行業(yè)信息化應(yīng)用的廣泛深入，新業(yè)務(wù)需求的不斷出現(xiàn)，客戶資源爭搶越來越激烈。從提升客戶感知、加大宣傳力度、提高工作效率等方面考慮，準備在內(nèi)部署無線網(wǎng)絡(luò)。主要應(yīng)用為：1、提供業(yè)務(wù)等待區(qū)客戶的無線上網(wǎng)需求，提升客戶感知2、新產(chǎn)品新資訊的實時廣告，加大宣傳力度3、隨時隨地實現(xiàn)無線辦公，提高工作效率針對專業(yè)性需求訂制了高性能的無線寬帶多業(yè)務(wù)支持系統(tǒng)來服務(wù)宣傳發(fā)布、無線辦公、客戶等待區(qū)域無線上網(wǎng)等需求。為用戶提供安全穩(wěn)定的整體解決方案。該方案具有多業(yè)務(wù)支持、安全、穩(wěn)定、兼容性高、可靠性高、部署容易的特點完全能實現(xiàn)無線應(yīng)用需求。1.2 系統(tǒng)方案設(shè)計原則本方案的設(shè)計將在追求性能優(yōu)越、經(jīng)濟實用的前提下，本著嚴謹、慎重的態(tài)度，從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備選擇、系統(tǒng)應(yīng)用、技術(shù)服務(wù)和實施過程等方面綜合進行系統(tǒng)的總體設(shè)計，力圖使該系統(tǒng)真正成為符合需求的無線網(wǎng)絡(luò)系統(tǒng)。系統(tǒng)總體設(shè)計本著總體規(guī)劃、分布實施的原則，充分體現(xiàn)系統(tǒng)的技術(shù)先進性、高度的安全可靠性、良好的開放性、可擴展性，以及經(jīng)濟性。在網(wǎng)絡(luò)的設(shè)計和實現(xiàn)中，本方案嚴格遵守以下原則：先進性原則 采用先進的設(shè)計思想，選用先進的網(wǎng)絡(luò)設(shè)備，使網(wǎng)絡(luò)在今后一定時期內(nèi)保持技術(shù)上的先進性。開放性原則網(wǎng)絡(luò)采用開放式體系結(jié)構(gòu)，易于擴充，使相對獨立的分系統(tǒng)易于進行組合和調(diào)整。選用的通信協(xié)議符合國際標準或工業(yè)標準，網(wǎng)絡(luò)的硬件環(huán)境、通信環(huán)境、軟件環(huán)境相互獨立，自成平臺，使相互間依賴減至最小，同時保證網(wǎng)絡(luò)的互聯(lián)。可擴充性原則網(wǎng)絡(luò)設(shè)計在充分考慮當前情況的同時，必須考慮到今后較長時期內(nèi)業(yè)務(wù)發(fā)展的需要，留有充分的升級和擴充的可能性。充分利用現(xiàn)有通訊資源，為以后擴充到更高速率提供充分的余地。另一方面，還必須為網(wǎng)絡(luò)規(guī)模的擴展留有充分的余地。安全性原則網(wǎng)絡(luò)系統(tǒng)的設(shè)計必須貫徹安全性原則，以防止來自網(wǎng)絡(luò)內(nèi)部和外部的各種破壞。貫徹安全性原則體現(xiàn)在以下方面：1.設(shè)備采用的是擴頻技術(shù)；2.提供了射頻信道的加密；3.用戶可以通過設(shè)置自己的網(wǎng)橋或另加獨立加密設(shè)備實現(xiàn)更高的安全性；4.網(wǎng)絡(luò)內(nèi)部對資源訪問的授權(quán)、認證、控制以及審計等安全措施：防止網(wǎng)絡(luò)內(nèi)部的用戶對網(wǎng)絡(luò)資源的非法訪問和破壞?？煽啃栽瓌t網(wǎng)絡(luò)系統(tǒng)的設(shè)計必須貫徹可靠性原則，使網(wǎng)絡(luò)系統(tǒng)具有很高的可用性。可靠性原則體現(xiàn)在以下方面：1.選用技術(shù)先進、成熟高可靠性的網(wǎng)絡(luò)設(shè)備；2.系統(tǒng)增益儲備高；3.鏈路的可維護性好；可管理性原則網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的可管理性，使得網(wǎng)絡(luò)管理人員能方便及時地掌握諸如網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)絡(luò)性能統(tǒng)計、網(wǎng)絡(luò)故障等信息，能簡便地對網(wǎng)絡(luò)進行配置和調(diào)整，確保網(wǎng)絡(luò)工作在良好狀態(tài)。2.無線網(wǎng)絡(luò)系統(tǒng)解決方案本方案根據(jù)客戶分布部署、統(tǒng)一管理的具體應(yīng)用環(huán)境和實際無線網(wǎng)絡(luò)覆蓋應(yīng)用的需求，基于整體化無線網(wǎng)絡(luò)架構(gòu)方案，按照網(wǎng)絡(luò)架構(gòu)進行模塊化分層部署設(shè)計。無線網(wǎng)絡(luò)作為底層通信平臺，采用業(yè)界先進的瘦AP+AC+Portal部署方式，在業(yè)務(wù)上基于分布式轉(zhuǎn)發(fā)方式進行架構(gòu)，具有極強的可靠性、擴展性和易維護性；結(jié)合產(chǎn)品獨有的安全專利技術(shù)，從接入認證、數(shù)據(jù)加密、安全策略等多個角度進行安全一體化設(shè)計，充分保證無線數(shù)據(jù)通信的安全性和完備的無線系統(tǒng)防御措施。無線整體化解決方案，將無線漫游技術(shù)、射頻信號優(yōu)化技術(shù)、安全加密技術(shù)、綜合管理系統(tǒng)、業(yè)務(wù)功能設(shè)計等進行分層模塊化部署設(shè)計，將系統(tǒng)資源有效整合，充分發(fā)揮設(shè)備功能、性能優(yōu)勢，提供高質(zhì)量、高可靠性的無線網(wǎng)絡(luò)。方案重點闡述了WLAN 業(yè)務(wù)網(wǎng)絡(luò)建設(shè)總體解決方案，主要包括WLAN 業(yè)務(wù)描述，系統(tǒng)總體架構(gòu)，詳細組網(wǎng)方案，AP部署方案等。2.1 無線網(wǎng)絡(luò)總體架構(gòu)結(jié)合客戶無線網(wǎng)絡(luò)應(yīng)用需求情況，結(jié)合本產(chǎn)品自身技術(shù)特點，為了滿足用戶構(gòu)建一個高速、穩(wěn)定、安全、可靠、易于管理的無線接入網(wǎng)絡(luò)的需求，本設(shè)計方案按照AP+AC+Portal的結(jié)構(gòu)化無線網(wǎng)絡(luò)解決方案進行設(shè)計。整體框架基于瘦AP方式部署，采用AC對AP進行集中管理、控制、配置下發(fā)數(shù)據(jù)分布式/集中式轉(zhuǎn)發(fā)、漫游等功能。Portal服務(wù)器作為對接入終端的上網(wǎng)認證，系統(tǒng)的中央無線控制器可以同時控制若干個AP協(xié)同工作。操作和維護工作現(xiàn)在只需要在AC上進行就可以了。在這個架構(gòu)里，AP只負責無線信號的收發(fā)，不作MAC層及其以上的協(xié)議層處理，所有的智能工作都由AC和Portal完成?；谑軦P+AC+Portal架構(gòu)方案的優(yōu)勢在于：n配置簡單：AP零配置、所有的配置集中在AC上完成，簡單便捷；n 維護方便：管理、維護針對AC來實現(xiàn)，不需要對每一臺AP進行操作；n 易于升級：針對特性增加帶來的軟件版本升級需求，只需要在AC上進行操作即可，不需要對每一臺無線AP單獨升級，軟件的升級由AP自動完成。安全可控：可以集中進行射頻及功率、信道調(diào)整，黑白名單、無線入侵檢測、安全訪問控制等功能；n 擴展性強：根據(jù)需要，可以靈活增加補點AP，需要擴容的話，只需要將AP接入網(wǎng)絡(luò)即可。支持三層漫游，方便擴展支持無線監(jiān)控、話音應(yīng)用等業(yè)務(wù)。n 網(wǎng)絡(luò)性能好：高速的數(shù)據(jù)轉(zhuǎn)發(fā)，支持快速切換，數(shù)據(jù)私密性好，天然的MAC層加密隧道；抗干擾性強：可動態(tài)分配信道，并在受干擾時切換到最優(yōu)信道本方案設(shè)計全網(wǎng)采用業(yè)內(nèi)流行的瘦AP+AC+Portal架構(gòu)設(shè)計，將AC和Portal服務(wù)器部署于機房或者無線匯聚點， AC作為整個無線網(wǎng)絡(luò)的“大腦”，負責管理、控制、監(jiān)管所有的基站設(shè)備，Portal服務(wù)器負責上網(wǎng)認證、宣傳頁面推送。AP室內(nèi)型吸頂AP部署在購物商場的各網(wǎng)點實現(xiàn)對目標覆蓋區(qū)域的Wlan信號部署。網(wǎng)絡(luò)拓撲圖：本方案中，AP、AC和Portal服務(wù)器均使用公網(wǎng)地址部署，即AP、AC和Portal處于公網(wǎng)，AP、AC、Portal服務(wù)器地址全部使用靜態(tài)IP。優(yōu)點是便于管理，特別是在根據(jù)IP地址限制網(wǎng)絡(luò)流量的局域網(wǎng)中，以固定的IP地址或IP地址分組產(chǎn)生的流量為依據(jù)管理，可以免除在按用戶方式進行認證時用戶每次上網(wǎng)都必須進行的身份認證的繁瑣過程，同時也避免了用戶經(jīng)常忘記密碼的尷尬。無線AP的覆蓋原則是，首先保證覆蓋區(qū)域內(nèi)，AP與無線終端之間無線信號的有效交互，其次，保證覆蓋區(qū)域內(nèi)每個終端的覆蓋帶寬要求?？紤]到無線網(wǎng)絡(luò)中多媒體業(yè)務(wù)對帶寬大規(guī)模占用的特點，以及對數(shù)百臺AP的大流量處理要求，如果采用集中式轉(zhuǎn)發(fā)的架構(gòu)模式，AC很容易成為性能瓶頸。因此方案中采用分布式轉(zhuǎn)發(fā)模式?？刂啤⒐芾韴笪耐ㄟ^無線控制器進行統(tǒng)一處理，數(shù)據(jù)報文在無線AP上直接轉(zhuǎn)化為以太網(wǎng)格式的報文，不需要通過隧道封裝交無線交換機處理，從而解決無線控制器的數(shù)據(jù)轉(zhuǎn)發(fā)性能瓶頸問題。在該方案中，應(yīng)包括如下設(shè)備：n 無線控制器，實現(xiàn)對AP及接入終端的集中式管理。n Portal服務(wù)器，實現(xiàn)上網(wǎng)認證。n 無線接入AP，實現(xiàn)優(yōu)化、無縫的無線信號覆蓋和數(shù)據(jù)分布式轉(zhuǎn)發(fā)。2.2 無線網(wǎng)絡(luò)功能設(shè)計1即插即用功能：AP上只需要進行IP地址配置，接入到網(wǎng)絡(luò)就可以工作2軟件自動升級功能：AP的軟件完全實現(xiàn)自動升級3批量配置功能：對連接到無線控制器的眾多AP進行批量配置4動態(tài)信道分配功能：無線控制器可以為AP自動分配信道，并在受到干擾時切換到最優(yōu)信道5自動發(fā)射功率調(diào)整功能：AP發(fā)生故障后，鄰居AP可以提高自身功率，以彌補覆蓋空洞6網(wǎng)絡(luò)負載分擔功能：既可以實現(xiàn)用戶在不同AP下的負載分擔，也可以實現(xiàn)AP在不同無線控制器下的負載分擔7快速切換功能：用戶在同一無線控制器的不同AP之間漫游時，可以大大提高切換速度，切換時延只有89毫秒8跨區(qū)組網(wǎng)功能：對于分散在不同區(qū)域的AP依然可以通過城域網(wǎng)連接到無線控制器，而且AP無需任何配置9跨IP子網(wǎng)漫游功能：無線工作站無需作任何改動，可以在不同的IP子網(wǎng)進行無縫漫游2.3 無線網(wǎng)絡(luò)安全性設(shè)計WLAN利用了不可見的公用媒介進行空中信號傳播，安全問題是部署無線的巨大挑戰(zhàn)。仔細分析無線網(wǎng)絡(luò)面臨的安全挑戰(zhàn)，主要是防止非法竊聽、數(shù)據(jù)篡改，防止非法用戶接入，防止惡意攻擊（ARP攻擊、DHCP攻擊），防止AP過載（廣播風暴），防止不合理應(yīng)用等。針對以上安全問題，無線系統(tǒng)可以提供多標識的用戶的接入驗證功能，如無線鏈路接入認證，以及針對用戶接入的802.1X、WEB認證、MAC、SSID等多種標識的認證方式。并且，可以提供對無線鏈路進行加密功能，如WEP、WPA、WPA-PSK、WPA2等加密方式。實現(xiàn)對所有無線數(shù)據(jù)進行加密傳輸。 無線網(wǎng)絡(luò)的安全性設(shè)計體現(xiàn)在接入認證、數(shù)據(jù)加密、安全策略三個層面。接入認證實現(xiàn)對接入無線網(wǎng)絡(luò)的終端和用戶進行接入合法性檢查；數(shù)據(jù)加密對終端和AP之間的數(shù)據(jù)進行加密處理，防止竊聽；安全策略采用用戶隔離、SSID隱藏、MAC地址過濾等技術(shù)手段抵御惡意用戶的攻擊行為。2.4 無線網(wǎng)絡(luò)管理框架設(shè)計在傳統(tǒng)無線網(wǎng)絡(luò)建設(shè)中，有一個始終令網(wǎng)管人員感到頭痛的問題，那就是對AP的管理、監(jiān)控以及AP自身固件的升級。由于傳統(tǒng)AP是一種稱作為“FAT AP”，即自身需要有相應(yīng)控制軟件以及獨立的配置才能運行，而由于AP是一種接入層設(shè)備，數(shù)量較多，且由于辦公樓網(wǎng)絡(luò)的復(fù)雜性以及業(yè)務(wù)的多樣性，導(dǎo)致需要根據(jù)各“熱點”區(qū)域進行相應(yīng)配置，并且還需要網(wǎng)管員對這些特殊配置進行記錄，以方便日后維護；此外，在日常運行中，還需要了解這些數(shù)量眾多AP的工作狀態(tài)及性能等數(shù)據(jù)，而一般AP管理工具功能太過簡單，如果采用有線網(wǎng)絡(luò)網(wǎng)管軟件，由于沒有很好的對無線網(wǎng)絡(luò)做相應(yīng)的開發(fā)與支持，從而不能很好的管理無線網(wǎng)絡(luò)。本方案無線網(wǎng)絡(luò)的管理分為兩個層次兩級管理。第一層是接入層的AP，第二層是無線控制器AC，第一層的AP無需單獨維護，全部交給第二層的AC進行統(tǒng)一的配置管理，包括安全策略、QoS策略、RF射頻管理和漫游管理。在本方案中，AC設(shè)備是整個無線系統(tǒng)的核心，體現(xiàn)在對所有AP設(shè)備的集中式管理、數(shù)據(jù)集中轉(zhuǎn)發(fā)，為接入用戶提供安全、數(shù)據(jù)、漫游、QOS等服務(wù)。集中式無線網(wǎng)絡(luò)管理方案大大提高了用戶對網(wǎng)絡(luò)系統(tǒng)的易維護性，在AC上實現(xiàn)對所有AP、接入用戶的狀態(tài)監(jiān)視、配置管理，遠程操作等。瘦AP和無線控制器系統(tǒng)有非常強大的集中管理功能，所有的關(guān)于無線網(wǎng)絡(luò)的配置都可以通過配置無線控制器器統(tǒng)一完成。例如開通、管理、維護所有AP設(shè)備以及移動終端，包括無線電波頻譜、無線安全、接入認證、移動漫游以及接入用戶等所有功能。AC產(chǎn)品為Web圖形化界面設(shè)計，提供友好、簡捷的人機界面，方便用戶維護、管理。2.5 WLAN頻率規(guī)劃WLAN 802.11b/g/n工作在2.4GHz頻段，頻率范圍為2.4002.4835GHz，共83.5M帶寬，劃分為13個子信道，每個子信道帶寬為22MHz。子信道分配如圖3-1所示。WLAN 802.11b/g工作頻段子信道分配WLAN 802.11a工作在5.8GHz頻段，頻率范圍為5.725GHz5.850GHz，共125MHz帶寬，劃分為5個信道，每個信道帶寬為20MHz。子信道分配如圖3-2所示。WLAN 802.11a工作頻段子信道分配在使用2.4GHz頻點時，為保證信道之間不相互干擾，要求兩個信道之間間隔不低于25MHz。在一個覆蓋區(qū)內(nèi)，最多可以提供3個不重疊的頻點同時工作，通常采用1、6、11三個頻點。Wlan使用頻段規(guī)劃原則：1）在一個AP覆蓋區(qū)內(nèi)直序擴頻技術(shù)最多可以提供3個不重疊的信道同時工作?？紤]到制式的兼容性，相鄰區(qū)域頻點配置時宜選用1，6，11信道。2）頻點配置時首先應(yīng)對目標區(qū)域現(xiàn)場進行頻率檢測，對于覆蓋區(qū)域內(nèi)已有AP采用的信道，應(yīng)盡量避免采用。3)室內(nèi)AP覆蓋區(qū)頻點配置時，為了實現(xiàn)AP 的有效覆蓋，避免信道間的相互干擾，在信道分配時宜引入移動通信系統(tǒng)的蜂窩覆蓋原理。對1，6，11信道進行復(fù)用。4）系統(tǒng)設(shè)計時應(yīng)注意避免干擾源的影響。2.6 防干擾設(shè)計來自WLAN網(wǎng)絡(luò)外部的干擾也分為WLAN干擾和非WLAN干擾。WLAN干擾主要包括Rogue設(shè)備、鄰居WLAN網(wǎng)絡(luò)、Ad hoc網(wǎng)絡(luò)等。WLAN工作在ISM頻段，除了WLAN設(shè)備外，還有許多非WLAN設(shè)備也工作在該頻段，如微波爐、無繩電話、藍牙設(shè)備、無線攝像機、戶外微波鏈路、無線游戲控制器、Zigbee、WiMax等等。非WLAN干擾源會干擾WLAN信號，導(dǎo)致WLAN信號無法被正確接收。還有一些非ISM頻段上的設(shè)備會在ISM頻段上產(chǎn)生射頻信號泄露，當臨近距離很近的情況下，會對WLAN設(shè)備形成干擾。2.7 WLAN系統(tǒng)無縫漫游設(shè)計在wifi網(wǎng)絡(luò)中，用戶終端通過關(guān)聯(lián)AP廣播的SSID進行wifi接入。移動漫游過程中，用戶終端會對關(guān)聯(lián)的AP進行切換，在切換過程總，不可避免的將發(fā)生“切斷上一個連接、關(guān)聯(lián)下一個連接”的過程，導(dǎo)致用戶上網(wǎng)體驗中斷和業(yè)務(wù)丟包現(xiàn)象。而在本方案中，我們采用基于Hacip漫游切換控制技術(shù)，該方案以無線控制器為核心，對所有AP上接入的用戶采用統(tǒng)一會話管理，所