機場無線部署解決方案

1、機場無線覆蓋解決方案目錄1 工程概況4工程背景4工程目標42 術(shù)語解釋43 總體設(shè)計方案7無線網(wǎng)絡(luò)組網(wǎng)規(guī)劃7網(wǎng)絡(luò)高可靠性9AC冗余備份9DHCP Server 備份9無線平安設(shè)計10WIFI接入及認證過程 10無線數(shù)據(jù)加密11AC與AP之間的平安認證 11其它無線平安控制技術(shù)12無線網(wǎng)絡(luò)管理12網(wǎng)絡(luò)發(fā)現(xiàn)13拓撲管理13無線網(wǎng)絡(luò)規(guī)劃13無線網(wǎng)絡(luò)監(jiān)控13無線網(wǎng)絡(luò)平安13AC性能管理14網(wǎng)絡(luò)流量分析14告警管理14報表呈現(xiàn)14軟件管理14配置管理14資產(chǎn)管理15任務(wù)和調(diào)度15日志管理15平安管理15QOS部署15QOS總體框架15QoS高優(yōu)先級業(yè)務(wù)數(shù)據(jù)優(yōu)先保證 16管理報文高優(yōu)先級處理17通過cli

2、ent QoS修改用戶的優(yōu)先級 17基于用戶的限速17POE供電方案18POE供電模塊供電18POE交換機供電19網(wǎng)絡(luò)設(shè)備要求19無線AP19AC控制器20AAS效勞器22Portal效勞器25NetMa nager 網(wǎng)管271工程概況1.1工程背景暫無1.2工程目標暫無2術(shù)語解釋? WLAN :無線局域網(wǎng)絡(luò)(Wireless Local Area Networks； WLAN)是相當(dāng)便利的數(shù)據(jù)傳輸系統(tǒng)，它利用射頻(Radio Frequency; RF)的技術(shù)，取代舊式礙手礙 腳的雙絞銅線(Coaxial)所構(gòu)成的局域網(wǎng)絡(luò)，使得無線局域網(wǎng)絡(luò)能利用簡單的存 取架構(gòu)讓用戶透過它，到達信息隨身化、

3、便利走天下的理想境界。? 無線AP: AP是(Wireless) Access Point的縮寫，即(無線)訪問接入點。如果無線網(wǎng)卡可比作有線網(wǎng)絡(luò)中的以太網(wǎng)卡，那么AP就是傳統(tǒng)有線網(wǎng)絡(luò)中的HUB，也是目前組建小型無線局域網(wǎng)時最常用的設(shè)備。? 瘦AP:無線接入點(AP，Access Point)也稱無線網(wǎng)橋、無線網(wǎng)關(guān)，也就是所謂 的“瘦 AP。此無線設(shè)備的傳輸機制相當(dāng)于有線網(wǎng)絡(luò)中的集線器，在無線局 域網(wǎng)中不停地接收和傳送數(shù)據(jù)；任何一臺裝有無線網(wǎng)卡的PC均可通過AP來分 享有線局域網(wǎng)絡(luò)甚至廣域網(wǎng)絡(luò)的資源。理論上，當(dāng)網(wǎng)絡(luò)中增加一個無線AP之后，即可成倍地擴展網(wǎng)絡(luò)覆蓋直徑；還可使網(wǎng)絡(luò)中容納更多的網(wǎng)絡(luò)設(shè)

4、備。每個 無線AP根本上都擁有一個以太網(wǎng)接口，用于實現(xiàn)無線與有線的連接。? AC :無線接入控制效勞器，接入控制器(AC)無線局域網(wǎng)接入控制設(shè)備，負 責(zé)把來自不同AP的數(shù)據(jù)進行會聚并接入In ternet,同時完成AP設(shè)備的配置管 理、無線用戶的認證、管理及寬帶訪問、平安等控制功能。? POE : POE (Power Over Ethernet指的是在現(xiàn)有的以太網(wǎng) Cat.5布線根底架構(gòu)不 作任何改動的情況下，在為一些基于IP的終端如IP機、無線局域網(wǎng)接入點AP、網(wǎng)絡(luò)攝像機等傳輸數(shù)據(jù)信號的同時，還能為此類設(shè)備提供直流供電 的技術(shù)。POE技術(shù)能在確?，F(xiàn)有結(jié)構(gòu)化布線平安的同時保證現(xiàn)有網(wǎng)絡(luò)的正常運

5、 作，最大限度地降低本錢。? g:頻段，是一種能支持較高數(shù)據(jù)傳輸速率154Mbit/s，采用微蜂窩、微微 蜂窩結(jié)構(gòu)，自主管理的電腦局域網(wǎng)絡(luò)。?8無線平安標準，wpa是其子集，規(guī)定使用802.1X認證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了 TKIP、CCMP和WRAP三種加密機制。? : Wi Fi聯(lián)盟制定了 NTGn，300Mbps以上，最高速率可達 600Mbps,采 用OFDM技術(shù)、MIMO多入多出技術(shù)。? WEP : WEP是 Wired Equivale nt Privacy的簡稱，有線等效保密WEP協(xié)議 是對在兩臺設(shè)備間無線傳輸?shù)臄?shù)據(jù)進行加密的方式，用以防止非法用戶竊聽或侵入無線網(wǎng)絡(luò)

6、。? WPA:英文縮寫：WPA (Wi-Fi Protected Access) WPA是一種基于標準的可互操 作的WLAN平安性增強解決方案，可大大增強現(xiàn)有以及未來無線局域網(wǎng)系統(tǒng) 的數(shù)據(jù)保護和訪問控制水平。WPA源于正在制定中的IEEE802.11i標準并將與 之保持前向兼容。? WPA2 : WPA2是經(jīng)由 Wi-Fi聯(lián)盟驗證過的IEEE 802.11i標準的認證形式。 WPA2實現(xiàn)了 802.11i的強制性元素1，特別是Michael算法由公認徹底安 全的CCMP訊息認證碼所取代、而 RC4也被AES取代。? WPA/WPA2企業(yè)版：Wi-Fi聯(lián)盟已經(jīng)發(fā)布了在 WPA及 WPA2企業(yè)版的

7、認 證方案里增加EAP可擴充認證協(xié)定的消息，這是為了確保通過WPA企業(yè)版認證的產(chǎn)品之間可以互通。 先前只有 EAP-TLSTransport Layer Security 通過Wi-Fi聯(lián)盟的認證。? SSID： SSID是Service Set Identifier的縮寫，意思是：效勞集標識。SSID技術(shù) 可以將一個無線局域網(wǎng)分為幾個需要不同身份驗證的子網(wǎng)絡(luò)，每一個子網(wǎng)絡(luò)都需要獨立的身份驗證，只有通過身份驗證的用戶才可以進入相應(yīng)的子網(wǎng)絡(luò)，防止未被授權(quán)的用戶進入本網(wǎng)絡(luò).0? 無線漫游：當(dāng)網(wǎng)絡(luò)環(huán)境存在多個 AP，且它們的微單元互相有一定范圍的重合 時，無線用戶可以在整個 WLAN覆蓋區(qū)內(nèi)移動，無

8、線網(wǎng)卡能夠自動發(fā)現(xiàn)附近 信號強度最大的AP,并通過這個AP收發(fā)數(shù)據(jù)，保持不間斷的網(wǎng)絡(luò)連接，這 就稱為無線漫游。? 數(shù)字證書：數(shù)字證書就是互聯(lián)網(wǎng)通訊中標志通訊各方身份信息的一系列數(shù)據(jù)， 提供了一種在In ternet上驗證您身份的方式，它是由一個由權(quán)威機構(gòu)CA機 構(gòu)，又稱為證書授權(quán)Certificate Authority丨中心發(fā)行的，人們可以在網(wǎng)上用 它來識別對方的身份。數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密 鑰擁有者信息以及公開密鑰的文件。 最簡單的證書包含一個公開密鑰、 名稱以 及證書授權(quán)中心的數(shù)字簽名。數(shù)字證書是一種權(quán)威性的電子文檔，由權(quán)威公正的第三方機構(gòu)，即CA中心簽發(fā)的證書

9、。3總體設(shè)計方案3.1 無線網(wǎng)絡(luò)組網(wǎng)規(guī)劃無線終端無線終攜無線終端組網(wǎng)說明? 在機場核心交換機分別旁掛1臺或多臺AC無線控制器，通過1+1方式實現(xiàn)冗 余備份，在機場無線熱點區(qū)域部署多個瘦 AP o根據(jù)現(xiàn)有機場有線的網(wǎng)絡(luò)的部 署情況，無線AP與AC控制器間通過二層或三層實現(xiàn)互聯(lián)互通，AC工作在集中轉(zhuǎn)發(fā)模式，所有無線終端的業(yè)務(wù)數(shù)據(jù)通過 AC進行集中轉(zhuǎn)發(fā)。? 機場無線AP手動配置自身IP地址，與AC的IP地址實現(xiàn)隧道互聯(lián)，無線終 端的IP地址通過DHCP動態(tài)獲取，網(wǎng)關(guān)指向機場的核心交換機，建議部署兩 臺DHCP效勞器，在核心交換機上配置 DHCP中繼，分別指向兩臺DHCP服 務(wù)器，實現(xiàn)對DHCP效勞器

10、的冗余備份。? 機場無線AP采取WPA2的無線加密認證方式。無線終端上行的802.11的數(shù)據(jù) 報文通過AP重新封裝到802.3格式以太報文中，直接發(fā)給AC,由AC進行過 濾識別后進行轉(zhuǎn)發(fā)，這個過程實現(xiàn)了 WLAN無線的數(shù)據(jù)和現(xiàn)有業(yè)務(wù)的數(shù)據(jù)隔 離?？记绊氈阂驘o線的數(shù)據(jù)均采用集中轉(zhuǎn)發(fā)方式，所以在無線終端間進行數(shù)據(jù)訪問時，也需要數(shù)據(jù)通過AC集中轉(zhuǎn)發(fā)而訪問，增加了不必要的網(wǎng)絡(luò)開銷，我們建議禁止無線終端間的數(shù)據(jù)訪問業(yè)務(wù)。設(shè)備配置說明設(shè)備名稱部署設(shè)備型號數(shù)量設(shè)備說明無線控制器WNC6000-1000-ACX臺AC控制器，支持1024個AP接入室內(nèi)APWA2000-213W-PEX臺單頻、單模，室內(nèi) 2.

11、4G增強型室內(nèi)AP。802.11 b、g、n，外置天線，100mw 放裝型，POE受電方式。支持wapi 。室外APWA2000-362W-PTEX臺WA2000-362W-PTE,無線，雙頻、雙模， 2.4G、5.8G 增強型室外 AP。802.11 a、 b、 g、 n，外置天線，500mw+500mw放裝型，PTE受電方式。支 持 wapiAAS效勞器Access Authentication server1邁普設(shè)備接入認證效勞器根本型、含硬 件，2個以太口AAS-L-2000X2000個License認證用戶數(shù)，單一系統(tǒng)支持多個License累加Portal軟件PortalAuthen

12、ticationServer1Portal認證效勞器中文版短信網(wǎng)關(guān)Maipu SMS-CN1MaipuSMS-CN、電信制式短信網(wǎng)關(guān)無線網(wǎng)管軟件Maipu NetMa nager1多業(yè)務(wù)智能管理平臺專業(yè)版，中英文 版，無最多可管理網(wǎng)絡(luò)設(shè)備數(shù)量限制 NM-Wla nMan ager1無線業(yè)務(wù)管理組件NM-L-500軟件許可，每個許可可增加500個設(shè)備節(jié)點授權(quán)許可3.2網(wǎng)絡(luò)高可靠性3.2.1 AC冗余備份AC無線控制器采用，1+1冗余備份方式，在核心交換機分別旁掛 1臺或多 臺AC無線控制器，通過1+1方式實現(xiàn)冗余備份，保證了整個無線網(wǎng)絡(luò)的高可靠 性。根據(jù)無線AP的規(guī)模來確定AC的容量。在備機房放

13、置同等數(shù)量和容量的 AC， 實現(xiàn)完備的1+1冗余備份。1+1冗余備份方式，需要從兩個層面來保證設(shè)備和網(wǎng)絡(luò)的冗余可靠性。首先，AC和備份AC之間的管理通道保持有快速心跳檢測機制，心跳時間 根據(jù)網(wǎng)絡(luò)的質(zhì)量可以配置，建議為 200ms到5s之間。心跳報文在兩端 AC和整個 通道的網(wǎng)絡(luò)設(shè)備之間米用高優(yōu)先級保證。同時，主AC和備份AC之間能定期和實時的同步AP，client的各種狀態(tài)。這樣，備份 AC能實時監(jiān)控主AC的活動狀況。 一旦主AC出現(xiàn)宕機等事件，備份 AC收不到主AC的心跳報文，立即通知該主 AC管理的原AP，實行切換。其次，AC和所管理的AP之間的管理通道保持有心跳檢測機制。 這種機制中 除

14、了檢測AC的狀態(tài)之外，還可以檢測整個網(wǎng)絡(luò)通道是否可達。心跳時間根據(jù)網(wǎng)絡(luò) 的質(zhì)量可以配置，建議為5s到20s之間。1+1的備份方式在部署時，AP需要配置 主用AC和備用AC的地址列表，我們采用靜態(tài)指定的方式，在 AP上寫入主備 AC的IP地址，當(dāng)主AC出現(xiàn)宕機或者主機房網(wǎng)絡(luò)出現(xiàn)故障，訪問不可達的情況下， AP主動發(fā)現(xiàn)并切換到備AC上。3.2.2 DHCP Server 備份DHCP SERVER備份實現(xiàn)機制9:在機場主機房搭建主 DHCP SERVER和備用DHCP SERVER;通過核心交換機做 DHCP RELAY，分別指向主、備 DHCP SERVER，在正常情況下，用戶端從主DHCP效勞

15、器獲取地址，當(dāng)主DHCP SERVER 宕機的情況下，用戶從備DHCP SERVER獲取地址。該功能的實現(xiàn)需要在核心交 換機上配置兩條DHCP RELAY命令。3.3無線平安設(shè)計由于無線接入的開放性，因此無線接入平安是部署無線網(wǎng)絡(luò)的重中之重。當(dāng) 前兼容性最好、可實現(xiàn)性最高的無線平安接入方式就是結(jié)合數(shù)字證書的WPA2身份認證及數(shù)據(jù)加密技術(shù)。3.3.1 WIFI接入及認證過程為滿足用戶可以更方便快捷的使用 WIFI熱點，并且又能夠?qū)尤胗脩艉戏ㄐ?進行確認，本方案設(shè)計米用 AAS+Portal+短信方式認證。Web認證機場WIFI用戶使用 或者pad自動搜索到機場 WIFI熱點，在連接的時候會 自

16、動重定向到本地Portal頁面上，給用戶推送一個 Web認證界面。當(dāng)用戶再次通 過HTTP協(xié)議上互聯(lián)網(wǎng)時，會觸發(fā)Portal認證，后端的Portal認證效勞器會推送一 個Web認證頁面到用戶終端上。用戶在 WEB認證界面填寫自己的號，點擊獲取隨機密碼，那么用戶填寫的號對應(yīng)的會收到一條短信，獲取到一個隨機密碼，用戶通過該號碼及短信收到的隨機密碼進行 Web認證。認證通過后系統(tǒng)允許用戶終端上網(wǎng)，并且返回一個認證通過的頁面，再次根據(jù)用戶所在的公交車位 置信息判斷推送不同的廣告信息；AAS效勞器AAS是基于AAA的認證系統(tǒng)，在本方案中主要功能為配合Portal效勞器為用 戶提供身份認證。AAS也可以通

17、過代理方式與運營商或者上級 AAA系統(tǒng)進行對 接，能夠直接與營運商的用戶庫如 號等信息共享，防止用戶信息多點維護。 AAS認證的用戶名基于運營商用戶庫，所以有效的防止了其他運營商的用戶接入 占用資源的問題。該系統(tǒng)允許所有運營商的用戶能使用。332無線數(shù)據(jù)加密WPA2使用加密性能更好、平安性更高的加密算法：AES-CCMPAdvaneedEneryption Standard - Counter mode with Cipher-block ehaining Message authentication code Protocol高級加密標準計數(shù)器模式密碼區(qū)塊鏈接消息身份驗 證代碼協(xié)議，其主要有

18、如下幾點改進：使用128位AES加密算法實現(xiàn)機密性保護， 數(shù)據(jù)完整性保護，自動重新生成密鑰對以派生新的數(shù)據(jù)加密密鑰，使用數(shù)據(jù)包編 號字段實現(xiàn)防重播。AES-CCMP在X身份驗證過程動態(tài)創(chuàng)立一組主從密鑰，并由 該從主密鑰對和其他值派生出數(shù)據(jù)加密所需的臨時密鑰，防止了 WPA-PSK主密鑰 需事先定義而可能泄露的弊端。3.3.3 AC與AP之間的平安認證為了保證AC與AP之間的訪問平安，尤其是防止黑客或者攻擊者從市場上購 買同一品牌的AP，私自接入機場網(wǎng)絡(luò)，進行各種高級攻擊。因此需要加強AC和AP之間的平安認證。最簡單的認證是MAC地址認證，部署過程中可以將系統(tǒng)中的合法 AP的MAC 地址統(tǒng)一記錄

19、在Radius或者AC上。AP在跟AC關(guān)聯(lián)進行集中管理時，都需要在 AC上通過mac地址認證才能允許AP接入無線網(wǎng)絡(luò)；其次是密碼認證，第一次部署過程中需要在 AP上設(shè)置相關(guān)密碼；AP在跟AC 關(guān)聯(lián)進行集中管理時，都需要在 AC上通過密碼認證才能允許AP接入無線網(wǎng)絡(luò)；注：前面兩種方式都是單向認證，在 AC上認證接入AP;還有一種更平安的 方式是數(shù)字證書認證，我們采用的 X.509數(shù)字證書認證方法。該認證方法是雙向 認證，除了 AC上認證AP的證書，同時在 AP上還需要驗證AC的證書，充分保 證網(wǎng)絡(luò)設(shè)備的合法性。在首次部署的時候，需要將相關(guān)證書下發(fā)到設(shè)備上。AP運行過程中，跟AC關(guān)聯(lián)進行集中管理時

20、，就會啟動該雙向認證，成功后才能允許 AP接入無線網(wǎng)絡(luò)。334其它無線平安控制技術(shù)其它無線平安技術(shù)主要表達如下幾方面：? SSID隱藏：隱藏?zé)o線對外效勞標識，類似在開放的環(huán)境中隱藏接入端口，保 護無線接入。? 無線用戶接入時段控制：根據(jù)業(yè)務(wù)需要，限制終端用戶通過無線接入的時間區(qū) 間，可以實現(xiàn)在非工作時間外禁止接入網(wǎng)絡(luò)。? 無線用戶訪問權(quán)限控制：可以在無線接入控制器上實現(xiàn) ACL控制，放行移動 終端業(yè)務(wù)的目標地址，阻斷其它應(yīng)用，通過 ACL控制訪問權(quán)限。? 無線用戶速率控制：通過限制每個無線終端的速率，防止各種惡意或無意的高 速率訪問，確保其它用戶通過無線接入的接入速率、接入穩(wěn)定性。? 無線用戶

21、相互隔離：對通過無線接入的終端實現(xiàn)隔離，阻斷相互之間的通信， 不僅實現(xiàn)平安管理，也可防止終端之間的相互影響。3.4無線網(wǎng)絡(luò)管理整個無線網(wǎng)絡(luò)統(tǒng)一進行無線網(wǎng)絡(luò)設(shè)備管理，無線網(wǎng)絡(luò)的可管理性在整體工程中將起到非常重要的作用。根據(jù)機場的應(yīng)用需求，我們提出實現(xiàn)無線網(wǎng)絡(luò)的云管方案。簡單來說，無線網(wǎng)絡(luò)管理分成以下三層管理架構(gòu)：?網(wǎng)管軟件對AC的管理：主要聚焦在網(wǎng)管軟件對各個 AC的狀態(tài)監(jiān)控，并 對AC進行權(quán)限管理及監(jiān)控。?網(wǎng)管軟件對AP的管理：主要聚焦在網(wǎng)管軟件對分布在全國任意網(wǎng)點的 AP 的追溯管理，包括每臺AP下的終端接入數(shù)，終端流量，終端應(yīng)用。?網(wǎng)管軟件對無線終端的管理：主要聚焦在網(wǎng)管軟件對接入到全國任

22、意網(wǎng)點的所有無線終端的管理，包括終端流量等等。通過以上三方面不同層次的網(wǎng)絡(luò)管理，使得無線網(wǎng)絡(luò)的管理更可控。網(wǎng)絡(luò)發(fā)現(xiàn)基于IP范圍發(fā)現(xiàn)AC,手動添加設(shè)備基于AC發(fā)現(xiàn)無線網(wǎng)絡(luò)，自動添加設(shè)備342拓撲管理支持網(wǎng)絡(luò)拓撲圖的自動生成及拖拉縮放，支持網(wǎng)絡(luò)拓撲分層分級導(dǎo)航和管理及自動更新支持網(wǎng)絡(luò)拓撲圖的手動定制及定制連接支持物理連接和邏輯連接，并在拓撲上顯示連接屬性，如端口、貸款及連接狀態(tài)無線網(wǎng)絡(luò)規(guī)劃支持無線分級地圖無線網(wǎng)絡(luò)監(jiān)控支持在各AC管轄下的無線AP列表支持列出客戶端列表：包括活動客戶端列表、客戶端列表歷史、信噪比等無線網(wǎng)絡(luò)平安支持統(tǒng)一平安策略：統(tǒng)一平安策略的創(chuàng)立及平安策略的下發(fā)和部署支持無線平安防護：

23、包括 Rogue AP列表，Rogue Client列表，Rogue設(shè)備反制及無線入侵事件列表等346 AC性能管理支持AC性能監(jiān)控，及性能數(shù)據(jù)的管理網(wǎng)絡(luò)流量分析支持網(wǎng)絡(luò)流量數(shù)據(jù)采集標準(Cisco NetFlow, sFlow等)支持帶寬使用統(tǒng)計網(wǎng)絡(luò)性能瓶頸發(fā)現(xiàn)輸出網(wǎng)絡(luò)流量報告，支持基于圖形化和數(shù)據(jù)表格方式的網(wǎng)絡(luò)流量詳細報告告警管理支持告警定義，告警呈現(xiàn)，告警管理及相應(yīng)的告警操作。報表呈現(xiàn)支持表格和圖形混合展現(xiàn)的報表呈現(xiàn)方式可手動、自動生成報表，并自動發(fā)送報表軟件管理支持軟件包管理及AC、AP軟件自動升級配置管理支持批量配置管理，配置文件管理3412資產(chǎn)管理支持設(shè)備資產(chǎn)管理，設(shè)備資產(chǎn)信息收集

24、和展示，并定期自動同步3.4.13 任務(wù)和調(diào)度支持任務(wù)的查詢/修改/制定，從而實現(xiàn)按時批量任務(wù)實現(xiàn)支持一次性任務(wù)調(diào)度、周期性任務(wù)調(diào)度，并輸出任務(wù)執(zhí)行日志，并回報任務(wù)執(zhí)行結(jié)果通知3.4.14 日志管理可記錄日志，包括網(wǎng)管日志，網(wǎng)元操作日志，平安日志及網(wǎng)元日志等可操作日志，包括設(shè)置、轉(zhuǎn)儲、查詢和打印等并可對日志進行定期清理3.4.15 平安管理可對用戶組進行平安管理，包括用戶管理、管理域等可實現(xiàn)第三方認證和授權(quán)，支持 RADIUS，TACCS,LDAP3.5 QOS部署3.5.1 QOS總體框架在鏈路層和MAC層提供支持QoS的無線網(wǎng)絡(luò)接入效勞，加上有線網(wǎng)絡(luò)原有的應(yīng)用層、IP層的QoS策略，提供了

25、無線設(shè)備端到端的 QoS支持能力，以無線終端Client1發(fā)送報文到Client2為例說明Qos總體框架802.1報文WMMQoS模塊802.1報文WMMQoS模塊AP無線報文轉(zhuǎn)換為有線報文802.11-> 802.3WMM UP> 802.1pAP有線報文轉(zhuǎn)換為無線報文802.11 802.3.WMM UP 802.1pClient Qo 模塊RateLimitACLDiffServClie nt Qo 摸塊RateLimitACLDiffServ802.報文有線QoS調(diào)度Capwap TunnelInner Priority>Outer PriorityRemove Ca

26、pwap Tunn el802.報文有線QoS調(diào)度AC有線QoS模塊RateLimitACLDiffserv802報文有細o調(diào)度AC有線Qo模塊RateLimitACLDiffserv總體框架中提供兩大局部 QoS部署: ? 一是從client到AP之間的無線QoS部署，該局部主要是對于空中的無線報文802.11報文進行各種QoS管理和配置。對于語音和視頻等高優(yōu)先級流量 進行調(diào)度；? 二是從AP到AC之間的有線QoS部署，該局部主要是對于以太網(wǎng)報文802.3 報文進行各種QoS管理和配置。因為無線報文到達 AP后，就接入了有線網(wǎng) 絡(luò)，報文也就是從802.11格式轉(zhuǎn)為802.3格式，進行有線網(wǎng)絡(luò)

27、轉(zhuǎn)發(fā)。3.5.2 QoS高優(yōu)先級業(yè)務(wù)數(shù)據(jù)優(yōu)先保證WMM QoS到802.3的CoS之間的映射：AP收到報文后，AP將其中，保證 無線用戶的優(yōu)先級信息能夠保持不變，高優(yōu)先級數(shù)據(jù)優(yōu)先處理。內(nèi)部優(yōu)先級到外部優(yōu)先級的映射未來實現(xiàn)：數(shù)據(jù)被封裝到隧道后，內(nèi)部的 優(yōu)先級不能被其它網(wǎng)絡(luò)設(shè)備識別，因此必須將內(nèi)部的優(yōu)先級映射到外部網(wǎng)絡(luò)。AP在封裝隧道數(shù)據(jù)時，會把內(nèi)部優(yōu)先級映射到隧道數(shù)據(jù)的外部，保證其它網(wǎng)絡(luò)設(shè)備 也能按照用戶數(shù)據(jù)的優(yōu)先級進行轉(zhuǎn)發(fā)。AC對于QoS優(yōu)先級的處理：AC收到隧道數(shù)據(jù)后，首先解封裝，根據(jù)內(nèi)部 CoS的優(yōu)先級進行數(shù)據(jù)調(diào)度，保證高優(yōu)先級的數(shù)據(jù)得到優(yōu)先轉(zhuǎn)發(fā)。802.3的CoS到WMM QoS之間的映

28、射：AP收到來至有線網(wǎng)絡(luò)的802.3報文 后，AP將其中802.3的CoS字段轉(zhuǎn)換為 WMM QoS字段的值，對于高優(yōu)先級的 數(shù)據(jù)優(yōu)先發(fā)送。管理報文高優(yōu)先級處理對AP和AC之間的管理報文，即端口號為57776的TCP報文和端口號為 57778/57779的UDP報文，設(shè)置高優(yōu)先級，可以保證管理報文的高優(yōu)先轉(zhuǎn)發(fā)。通過client QoS 修改用戶的優(yōu)先級AP上的client CoS功能可以根據(jù)優(yōu)先級策略直接修改用戶的優(yōu)先級，匹配用 戶的IP地址，根據(jù)用戶的IP匹配對應(yīng)的策略，根據(jù)策略設(shè)定的優(yōu)先級改寫原有的 優(yōu)先級，保證特定用戶的數(shù)據(jù)得到特定的優(yōu)先級。配置方式如下：? 配置分類表classmap:

29、建立一個分類規(guī)那么，可以按照 ACL、CoS、VLAN ID、IPV4 Preceden、DSCP、IPV6FL來分類。之后，對于不同類別的數(shù)據(jù)流采取不同的策略。? 配置策略表policymap:對數(shù)據(jù)流進行分類之后，就可以建立一個策略表，之后就可以將其對應(yīng)一個先前 建立的class-map,進入策略分類表模式，然后就可以對于不同的數(shù)據(jù)流采取不同 的策略，如帶寬限制、優(yōu)先級降低、分配新的DSCP值等等。也可以定義一個集合策略，這個策略可以在同一個策略表內(nèi)部被多個策略分類表使用。? 將QoS應(yīng)用到AP或者AC:如果需要在AP上啟動QoS，那么在AP profile文件中增加配置的策略應(yīng)用。如果需

30、要在AC上啟動QoS，將策略綁定到AC的端口。基于用戶的限速基于用戶的限速，配置命令通過 AC下發(fā)到AP上，用AP來實現(xiàn)每一個終 端速度的限制。實現(xiàn)原理是對用戶的數(shù)據(jù)流量進行精確的統(tǒng)計，按照令牌桶的原 理，單位時間內(nèi)，每個用戶都會分配到指定大小的令牌，用于流量允許通過。如 果超過了用戶限制的帶寬，令牌就會用完，該用戶的數(shù)據(jù)報文將會丟棄。每個用戶都會有令牌桶，因此可以精確到每個用戶的限速。限速粒度為64Kbps。對于每個用戶的上行和下行報文，設(shè)計有單獨的令牌桶，可以分別控制和進行速 率限制。限速的配置可以從兩個方面進行，如果對于所有用戶限速都相同的話，可以從AC上通過配置AP的client qo

31、s模塊中ratelimit參數(shù)，統(tǒng)一下發(fā)給 AP。如果 對每個用戶的限速不同的話，因為用戶數(shù)比擬多，在AC上進行統(tǒng)一配置明顯不行， 需要在Radius上對每個用戶的速率進行單獨設(shè)置。在用戶進行統(tǒng)一認證的時候， 將會把限速參數(shù)動態(tài)的下發(fā)給該用戶所在的AP。3.6 POE供電方案3.6.1 POE供電模塊供電假設(shè)熱點區(qū)域的無線 AP部署數(shù)量較少，建議采用獨立的 POE供電模塊進行 供電，無需單獨部署POE交換機。362 POE交換機供電假設(shè)無線熱點區(qū)域的無線 AP部署數(shù)量較多，為實現(xiàn)設(shè)備的集中供電管理，建議采用POE供電交換機進行供電3.7網(wǎng)絡(luò)設(shè)備要求3.7.1 無線 AP產(chǎn)品型號無線特性接口類型

32、物理特性WA2000-213W-PE1 個 10/100/1000 Mbps 電口、1個控制口250mm*222mm*58mmWA2000-323W-PE209mm*125mm*25mm支持標準TCP/IP, IPX, NetBEUI、IEEE 802.11b (WiFi Compatible), IEEE802.11g (WiFi Compatible) ,IEEE802.3/u 10/100Base-Tx RJ-45, IEEE802.3af (Power Over Ethernet) ,IEEE802.1p (QoS Priority), IEEE802.1q(VLAN) ,IEEE80

33、2.1x (Security Authe nticatio n) ,IEEE802.11e (WirelessQoS), IEEE802.1d (Spa nning Tree Protocol)11NHT保護模式、A-MPDU聚合、A-MSDU聚合、短GI、擴展信道保 護模式、信道模式20M/40M工作模式AP, Bridge無線特性頻率自動調(diào)節(jié)、自動功率調(diào)整、Smart WDS、輸出功率調(diào)節(jié)QOS負載均衡流量、用戶數(shù)、帶寬控制、鏈路檢、 WMM、VoIP接入 數(shù)量控制管理特性Web、SSH、CLI、SNMP、管理代理、capwap TR069診斷功能用戶列表、臨近AP掃描、IP ping測試

34、、統(tǒng)計鏈路完整性支持路由支持平安特性Radio開關(guān)、WEP加密64 / 128、TKIP、WAPI、MAC 控制、station 隔離、防XDos攻擊、WPA(2)-PSK、WPA(2)、小包過濾、播送風(fēng)暴控 制電源POE、220V環(huán)境特性工作溫度0+50°C工作濕度5 to 95% RH儲存溫度-10 +60 C存儲濕度5 to 95% RH3.7.2 AC控制器型號WNC6000-1000-AC硬件接口12個10/100/1000M電口、8個千兆SFP接口需配SFP千兆光模塊， 2個萬兆SFP+(需配SFP+萬兆光模塊)。管理AP數(shù)1024轉(zhuǎn)發(fā)能力80G軟件特性支持協(xié)議TCP/I

35、P、IPX、NetBEUI、IEEE802.3/u 10/100Base-Tx RJ-45, IEEE 802.3z 1000BaseX、CAPWAP、DHCP Server、 DHCP Client、DHCP Relay、DNS Cient、NTPServer and Clien、 VRRP 等IP路由RIPv1/v2、OSPF、BGP、Static Rout ing、RIP ng、OSPFv3 等組播IGMP v1/v2/v3、PIM-SM、PIM-DM、PIM-SSMIPv6TCPv6、UDPv6、ICMPv6、Pingv6、TraceRTv6、Telnetv6、DNSv6、IPv6 N

36、D、IPv6 PMTU、IPv6 ACL、IPv6 靜態(tài)路由MPLS支持 LDP、支持 mpls 轉(zhuǎn)發(fā)、MPLS ping、MPLS tracerouteAP發(fā)現(xiàn)AC的方式靜態(tài)IP發(fā)現(xiàn)、DHCP發(fā)現(xiàn)、DNS發(fā)現(xiàn)等漫游支持AC內(nèi)漫游、支持跨AC間漫游、支持二/三層漫游射頻管理Radio開關(guān)、無線模式選擇(/b/g/n)、手動或自動信道選擇、手動或自 動功率調(diào)整、自動速率選擇、支持WMM、強制STA漫游、支持MultiBSSID平安特性WEP(WEP64/WEP128/WEP152)、WPA-PSK、WPA2-PSK、WPA、WPA2、WAPI、認證、Web認證支持內(nèi)置 Portal、PPPoE認

37、證、防DoS攻擊、ACL控制支持基于MAC地址和IP地址的接入控制、STATION二層隔離備份功能1+1、N+1、N+N設(shè)備管理Web、SNMPv1/v2c/v3、TeInet、SSH、SHELL物理指標電源AC 220V ；RPS -48V尺寸44omm*254mm*mm環(huán)境參數(shù)工作濕度非凝露5% 90 %儲存溫度-40 T 60 r儲存濕度非凝露5% 90%3.7.3 AAS效勞器硬件規(guī)格處理器In tel /AMD 雙核 3G內(nèi)存4G硬盤500G固定接口2 個 1000M 接口長X寬高尺寸660 x 430 x 88 (mm)輸入電壓600w電源雙電源互備軟件規(guī)格功能點子功能功能描述接入

38、認證Non-EAP 認證PAP認證CHAP認證EAP認證EAP-MD5 認證EAP-PEAP + MSCHAP V2 認證EAP-TLS 認證AD代理認證PAP認證PEAP + MSCHAPV2 認證PEAP + GTCTTLS + PAPLDAP代理認證PAP認證PEAP + GTCTTLS + PAPRadius代理認證PEAP + GTC -> PAPTTLS + PAP -> PAPRadius中繼認證PAP認證CHAP認證EAP-MD5 認證EAP-PEAP + MSCHAP V2 認證EAP-TLS 認證擴展認證MAC接入認證支持基于不同 SSID的MAC地址黑白名單功

39、能認證綁定用戶與wlan ssid綁定用戶與接入設(shè)備AP、交換機MAC地址綁定用戶名與證書名綁定用戶與終端MAC綁定用戶自動綁定前2次登錄的MAC地址認證控制錯誤登錄次數(shù)控制重復(fù)登錄次數(shù)控制接入授權(quán)終端授權(quán)支持IP地址下發(fā)授權(quán)支持一個用戶綁定多個IP地址支持ACL指令、VLAN配置下發(fā)支持QoS和優(yōu)先級授權(quán)設(shè)備操作授權(quán)支持enable 15級授權(quán)，支持$en able$®號進行認證和授權(quán)，針 對不同的用戶可以綁定$enable$®行認證不同用戶該密 碼不同；授權(quán)支持 0-15級授權(quán)支持comma nd授權(quán)，能夠支持對管理設(shè)備的comma nd命名進行授權(quán)授權(quán)策略支持根據(jù)分組

40、設(shè)置授權(quán)策略，能 夠支持分組方式制定 AAA授權(quán) 策略。如接入時間控制時間規(guī)那么 保持當(dāng)前AAS以實現(xiàn)的規(guī)那么方式，基于有效期和周期日方式的 策略，并且這兩種策略可以疊加 使用、ip段的分配、對交換機的 ACL和vlan配置下發(fā)。以上策略 可以在單獨的用戶上配置支持代理認證用戶授權(quán)，設(shè)置代 理認證用戶的授權(quán)規(guī)那么，讓不同 的代理認證用戶在認證后擁有對應(yīng)的權(quán)限，例如：ACL、VLAN 等，需要考慮授權(quán)策略優(yōu)先支持基于時間授權(quán)，支持基于有效期和周期日方式的策略，并且這兩種策略可以疊加使用用戶管理用戶組管理用戶組的IP地址段范圍設(shè)置、時間段有效規(guī)那么配置用戶配置用戶數(shù)據(jù)過濾、用戶賬號、PAP密碼、C

41、HAP密碼、分配IP地址、 終端屬性綁定、用戶時間段有效 規(guī)那么等參數(shù)管理用戶平安帳號用戶密碼策略控制用戶監(jiān)控在線用戶的監(jiān)控與管理用戶統(tǒng)計管理統(tǒng)計有效用戶、無效用戶信息，支持Excel報表導(dǎo)出支持根據(jù)時間查詢出即將過期的用戶，并可以多項選擇后批量重新設(shè)置有效期和密碼支持根據(jù)時間段統(tǒng)計用戶 活潑度登錄次數(shù)，并根據(jù)活潑度進行排序AD用戶同步從AD效勞器同步用戶帳號用戶密碼修改提供web頁面，供用戶自助修改密碼證書管理生成證書生成效勞器認證證書安裝證書安裝效勞器證書日志管理用戶登錄日志管理用戶登錄訪問日志管理管理員操作日志管理管理員操作日志管理主備效勞器日志同步主備效勞器日志同步數(shù)據(jù)管理數(shù)據(jù)導(dǎo)出數(shù)據(jù)

42、備份導(dǎo)出備份數(shù)據(jù)數(shù)據(jù)導(dǎo)入導(dǎo)入數(shù)據(jù)文件數(shù)據(jù)同步主備效勞器數(shù)據(jù)同步批量用戶導(dǎo)入導(dǎo)入批量用戶數(shù)據(jù)雙機備份支持雙機備份支持雙機備份，保證系統(tǒng)可靠性支持定時從主機同步用戶信息到備機，定時時間可配置；支持備機log可以實時同步到主機3.7.4 Portal 效勞器功能點子功能功能描述Portal接入用戶身份認證Portal可接受用戶認證請求，通過 Portal協(xié)議 與設(shè)備交互，完成認證過程，并通知用戶認證 結(jié)果用戶主動下線用戶點擊web按鈕，可實現(xiàn)主動下線，退出 網(wǎng)絡(luò)訪問支持穿越NAT接入認證支持接入設(shè)備例如：AC丨在NAT后面的場 景，實現(xiàn)NAT穿越支持動態(tài)驗證碼驗證登錄時支持動態(tài)隨機驗證碼，防止惡意密

43、碼猜測支持通過短信獲取動態(tài)密碼用戶在Portal登錄頁面輸入自己的身份標識 信息身份證號或者銀行卡號、號后，Portal網(wǎng)關(guān)將身份信息送到后臺效勞器進行保 存，然后通過短信方式下發(fā)密碼給來賓用 戶，來賓用戶將該密碼填寫在Portal界面 后就可以訪問無線網(wǎng)絡(luò)資源。終端無感知認證支持用戶在第一次登錄輸入用戶名、密碼登錄 成功后，在后續(xù)登錄過程中，可直接進行登錄 網(wǎng)絡(luò)，無需輸入用戶名和密碼頁面定制推送頁面定制支持Portal認證成功后，由Portal效勞器推送定制頁面給終端，定制內(nèi)容包括快速鏈接、廣告背景頁面等Portal效勞器客戶定制用戶可在Portal效勞器定制登錄頁面Title、 圖片，登陸

44、后頁面左邊欄鏈接和主界面背景圖 片；用戶管理查看所有在線用戶信息支持查看當(dāng)前所有在線用戶信息，包括用戶 名、登錄時間、使用時長；查看當(dāng)前用戶信息支持用戶查看自己當(dāng)前登錄時長、登錄時間信 息可強制下線指定用戶管理員可強制下線指定用戶雙機備份支持雙機備份支持雙Portal效勞器備份，當(dāng)一個Portal效勞 器停機后，另外一臺Portal效勞器可以在3秒 內(nèi)接替其工作3.7.5 NetManager 網(wǎng)管軟件特性網(wǎng)絡(luò)發(fā)現(xiàn)基于IP范圍的發(fā)現(xiàn)根據(jù)IP地址范圍發(fā)現(xiàn)網(wǎng)絡(luò)手動添加設(shè)備手動添加單個設(shè)備基于AC發(fā)現(xiàn)無線網(wǎng)絡(luò)基于AC發(fā)現(xiàn)由AC控制的無線網(wǎng)絡(luò)基于種子文件的發(fā)現(xiàn)根據(jù)種子文件發(fā)現(xiàn)設(shè)備自動發(fā)現(xiàn)自動發(fā)現(xiàn)邁普無線設(shè)備拓撲管理拓撲圖支持分級背景地圖支持定制背景地圖支持拖拉移動、縮放、打印功能全屏拓撲顯示支持網(wǎng)絡(luò)拓撲分層分級導(dǎo)航和管理支持廣域網(wǎng)鏈路拓撲發(fā)現(xiàn)拓撲自動更新拓撲編輯手動定制拓撲結(jié)構(gòu)手動定制連接資源狀態(tài)狀