华为园区WLAN方案技术建议书

《华为园区WLAN方案技术建议书》由会员分享，可在线阅读，更多相关《华为园区WLAN方案技术建议书（42页珍藏版）》请在装配图网上搜索。

1、华润新能源风电厂WLAN方案技术建议书华为技术有限公司版权全部 华为技术有限公司 2012。 保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他全部商标或注册商标，由各自的全部人拥有。留意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或运用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或示意的声明或保证。由于产品版本升级或其他缘由，本文档内容会不定期进行更新。除非另有约定，本文档仅作为

2、运用指导，本文档中的全部陈述、信息和建议不构成任何明示或示意的担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼 邮编：518129 客户服务邮箱：客户服务电话：400-822-9999目 录1 WLAN方案概述11.1 方案背景1 技术背景11.2 WLAN基本概念2 网络架构模型2 AC直路设计3 独立AC4 本地转发及集中转发42 WLAN基础网络规划62.1 IP地址规划62.2 SSID规划72.3 漫游规划82.4 AP发觉并选择AC方式规划92.5 射频管理规划112.6 无线网络平安规划132.7 QoS规划142.8 牢靠性规划153 WLAN接入认证方案173.1

3、无线平安协议标准173.2 WLAN终端认证技术183.3 无线用户身份认证技术19 认证、平安集成方案224 华润新能源WDS网桥无线数据回传及覆盖方案244.1 WDS组网模式254.2 WDS组网性能指标265 WLAN网络管理方案285.1 网管方案概述285.2 eSight WLAN网络管理流程295.3 企业WLAN网络管理规划306 主要应用产品介绍316.1 AP6510DN-AGN标准室外双频AP316.2 AP6610DN-AGN全规格室外双频AP326.3 AC6605-26-PWR331 WLAN方案概述1.1 方案背景1.1.1 技术背景WLAN（Wireless

4、Local Area Network）是指利用高频射频信号（例如2.4GHz或5GHz）作为传输信道的无线局域网。802.11是IEEE在1997年为WLAN定义的一个无线网络通信的工业标准。此后这一标准又不断得到补充和完善，形成802.11的标准系列。例如比较重要的802.11、802.11a、802.11b、802.11e、802.11g、802.11i、802.11n等。其中基于802.11b标准的有时也被称为Wi-Fi标准。而802.11n标准兼容802.11a/b/g，带宽优势明显，已经成为当前的主流技术。而随着802.11ac技术的出现，必将引领无线业务进入千兆时代，为用户带来千兆

5、级别的接入速度。表1-1 802.11标准简介标准名称发布时间工作频率理论速率实际速率备注802.11b19992.4GHz11Mbps6Mbps早期标准802.11a19995.0GHz54Mbps22Mbps应用很少802.11g20032.4GHz54Mbps22Mbps早期标准802.11n20092.4/5.0GHz150Mbps75Mbps结合MIMO技术，理论速率600Mbps802.11ac20125.0GHz1Gbps400500Mbps802.11n下一代标准802.11ad发展中60GHz7Gbps发展中面对家庭高清消遣设备1.2 WLAN基本概念1.2.1 网络架构模型

6、WLAN网络在部署过程中，依据其需求，可以把网络架构设为：l 集中式架构（即FIT AP或瘦AP）表1-2 集中式架构特性表项目集中式架构适用场景新生方式，增加管理平安性基于用户位置的平安策略，高平安性网络管理AC上统一配置，AP本身零配置，维护简洁用户管理虚拟专用组方式，依据用户名区分权限，运用灵敏WLAN组网规模L2、L3漫游，拓扑无关性，适合大规模组网增值业务实力可扩展丰富业务集中式架构该架构通过无线限制器（AC）集中管理、限制多个AP，如图1-3所示。全部无线接入功能由AP和AC共同完成：l AC完成网络具有重要意义的功能，例如移动管理、身份验证、VLAN划分、射频资源管理、无线IDS

7、（Intrusion Detection Systems）和数据包转发等。l AP完成无线空口的限制，例如无线信号放射及探测响应、数据加密解密、数据传输确认、空口数据优先级管理等等。图1-3 WLAN集中式架构图AP和AC间接受CAPWAP隧道协议进行通讯，AC及AP间可以是直连或者穿越Layer 2、Layer 3网络。CAPWAP协议是基于UDP传输层的应用层协议，协议传递的信息分为两类：限制信息和数据信息。l 限制信息负责AC及AP之间的管理的交互操作，包括AP自动发觉AC、AC对AP进行平安认证、AP从AC获得软件版本、AP从AC获得配置等等。l 数据信息是封装后转发的无线数据。两类信

8、息分别运用不同的UDP端口号。CAPWAP信息在AP及AC间交互时可以运用DTLS加密机制，保证通信的平安性。全部无线接入功能由AP和AC间共同完成。集中式架构是企业网、运营商等WLAN方案的主要架构，便于集中管理、集中认证和实施平安策略。此种方案为目前企业网通用方案。在FIT AP网络架构下，又有如下划分：l 依据AC部署方式，分为集中式和分布式l 依据AC部署位置，分为旁挂和直路l 依据AC硬件体现形式，分为集成AC和独立ACl 依据业务转发形式，分为本地转发和集中转发1.2.2 AC直路设计直路直路方式是指将AC部署在AP及用户网关设备（汇聚或核心交换机）之间，实现对下辖全部AP的管理。

9、直路方式主要用于新建中、小型园区网络或原有网络汇聚/核心设备为华为设备的场景。图1-4 AC直路示意图1.2.3 独立AC独立AC独立AC方案是指接受单独的AC硬件设备，通过直路或者旁挂方式实现对于全部AP的管理。在独立AC方案中，接受集中式架构（FIT AP架构），运用FIT AP来负责无线终端的接入。运用独立的AC设备完成对AP设备的管理。1.2.4 本地转发及集中转发转发模式主要是AP针对用户数据可以有不同的转发处理方式。本地转发又称干脆转发，是指AP上对用户数据由本地转发到网络上层，不经过AC处理，AC只对AP进行管理。而AP管理流封装在CAPWAP隧道中，到达AC终止。图1-5 本地

10、转发示意图集中转发也称作隧道转发。业务数据报文由AP统一封装后到达AC实现转发，AC不但进行对AP管理，还作为AP流量的转发中枢。即AP管理流及数据流都封装在CAPWAP隧道中到达AC。图1-6 隧道转发示意图本地转发及集中转发优缺点对比如表1-3所示。表1-3 本地转发及集中转发优缺点对比表转发方式优点缺点本地转发设备署简洁，数据流量不经过AC，AC负担小。-集中转发数据流量和管理流量全部经过AC，可以按用户需求规划平安监管策略。AC设备数据压力较大，对AC设备本身处理实力要求较高。2 WLAN基础网络规划2.1 IP地址规划AC的IP地址AC用于管理AP，IP地址一般通过静态手工配置。AP

11、的IP地址AP的IP地址支配假如接受静态支配，由于一般AP数量较多，配置工作量大，且简洁冲突、不易于限制，所以不建议运用，建议运用DHCP动态支配。DHCP动态支配AP的IP地址时，可以有以下几种方式：l 指定地址池支配 依据DHCP Option 60表明AP身份而支配指定地址池的IP：AP的DHCP Discover报文携带Option 60，例如内容为“Huawei AP”，表示请求支配IP地址的设备是华为AP，而不是WLAN用户。DHCP Server可以通过匹配或部分匹配Option 60字符串，来为AP从指定地址池中支配地址。假如网络中部署多个DHCP Server且只有部分支持O

12、ption60，交换机等设备充当DHCP Relay时须要支持识别DHCP option 60并将DHCP报文转发到相应的DHCP Server上。 依据VLAN支配指定地址池的IP：AP相连交换机端口以Trunk方式加入VLAN，允许通过的VLAN对应的地址池即为AP支配IP地址。 依据AP的MAC地址指定支配：在DHCP Server上配置AP的MAC以及对应的IP地址。l 统一支配AP的IP地址支配同WLAN用户一样，由DHCP Server统一支配，不再区分。DHCP动态支配AP的IP地址各种方式优劣势对比如表2-1所示。表2-1 DHCP动态支配AP的IP地址各种方式优劣势表IP地址

13、支配方式优势劣势适用场景指定地址池支配DHCP Option 60AP设备及无线用户的IP地址分别须要交换机配套支持对设备IP地址管理及用户IP地址管理要求隔离的依据VLANAP设备及无线用户的IP地址分别网络配置工作量较大，不利于AP即插即用对设备IP地址管理及用户IP地址管理要求隔离的依据MACAP设备及无线用户的IP地址分别配置工作量较大，IP地址管理难度加大对少量AP设备管理有特殊要求的统一支配网络配置简洁-对AP IP管理没有要求无线终端/用户的IP地址移动用户通过DHCP动态支配IP地址，不建议静态配置；对于基本不移动的无线终端（比如：无线打印机）可以静态配置。2.2 SSID规划

14、企业园区无线网络一般依据业务类型划分不同的SSID（Service Set Identification）。SSID映射以太网中的VLAN通常，以太网中管理VLAN和业务VLAN分别。业务VLAN主要用于区分不同的业务类型或用户群体。在WLAN网络中SSID也同样可以担当相应的工作。因此，在业务VLAN的规划中必需综合考虑VLAN及SSID的映射关系。业务VLAN应依据实际业务须要及SSID匹配映射关系，映射关系有1:1、1:N、N:1、N:N四种，AC设备终结VLAN部署。VAP构建AP可以配置多个SSID，华为单频AP可支持16个SSID，双频AP可支持32个SSID。通过配置多个SSID

15、，可以将一个AP划分为多个VAP（Virtual Access Point），每一个SSID对应一个VAP，AC针对VAP进行策略下发，VAP依据策略进行终端及业务管理。2.3 漫游规划漫游是指用户在部署了WLAN网络的场所移动时，用户终端可以从一个AP的覆盖范围移动到另一个AP的覆盖范围，用户无需重新登录和认证。图2-2 用户漫游切换示意图如上图所示，假设终端及AP1已经建立关联信息，随着用户位置的移动，终端切换到AP2，具体切换流程如下：1. 客户端在各种信道中发送802.11请求帧。AP2在信道6（AP2运用的信道）中收到请求后，通过在信道6中发送应答来进行响应。客户端收到应答后，对其进

16、行评估，确定同哪个AP关联最合适。 2. 如图中的标号1所示，删除用户及AP1现有的关联。客户端通过信道1（AP1运用的信道）向AP1发送802.11解除关联信息，解除用户及AP1间的关联。3. 如图中的标号2所示，客户端通过信道6向AP2发送关联请求，AP2运用关联响应做出应答，建立用户及AP2间的关联。WLAN网络漫游中需留意以下两点：l 漫游切换须要保证SSID相同，即两台AP切换区域须要配置相同的SSID。l 漫游切换AP必需是同一个AC管理。华为WLAN解决方案通过支持下述两种快速漫游技术，实现业务的平滑过渡。l PMK caching：PMK caching技术是对于802.1X用

17、户而言的，是指802.1X用户及旧AP进行802.1X认证时，STA和AC都会缓存PMK和PMK-ID； 当漫游到新AP时， STA会把这些PMK-ID携带过去，无线限制器依据STA携带的PMK-ID查找自己缓存的PMK信息，假如查到，就认为STA已经经过802.1X认证，干脆跳过802.1X认证过程，利用缓存的PMK进行四次握手协商出加密KEY, 从而縮短了802.1X用户的漫游延时。假如没有查到，则须要重新进行802.1X认证过程。 l 密钥协商下移技术：密钥协商下移主要是针对数据加密用户包括WPA/WPA2 PSK和802.1X用户。在没有启用这个功能之前，STA主要及AC进行单播和组播

18、密钥的协商；启用这个功能后，STA干脆及关联上的AP进行单播和组播密钥的协商，这样在漫游到新AP时，削减了密钥协商所用的时间，从而縮短用户漫游延时。2.4 AP发觉并选择AC方式规划FIT AP架构下的WLAN网络中，FIT AP为零配置，当FIT AP部署到网络的时候，AP须要去找到相应的AC，并从AC上下载其配置。AP发觉AC的机制有如下几种：二层广播发觉AC当AC和AP同在一个二层的网络中时，可以通过二层广播方式干脆发觉AC。通过DHCP Option 43发觉ACOption 43是DHCP协议的一个属性，在华为WLAN网络里，AP用它识别AC的IP地址。当DHCP Server配置了

19、Option 43后，它给AP支配IP时，在DHCP Offer报文中同时会将此属性告知AP。图2-3 通过DHCP Option 43发觉AC的报文交互图通过DNS发觉AC当网络中部署了DNS Server时，还可以通过DNS方式让AP来发觉AC。须要在DHCP Server上配置DNS Server IP地址以及AC的域名。当AP通过DHCP服务器获得IP地址时，DHCP Server会在DHCP Offer报文中将DNS服务器IP地址（Option 6）和AC域名（Option 15）告知AP，在AP获得到IP地址后，则通过DNS服务器解析到AC的IP，从而实现对AC的发觉和关联。图2-

20、4 通过DNS发觉AC的报文交互图AP上预配置AC列表AP可以预配置AC的IP地址列表。当预配置好AC列表时，AP将不再启动正常的L2或L3的发觉过程，故AC列表里的地址不行达时，AP将恒久连接不上AC。上述几种方式优劣势对比如下表所示。表2-2 AP发觉并选择AC方式优劣势对比表方式部署要求优势劣势适用网络DHCP Option 43DHCP Server启动Option 43属性适用于AP/AC任何组网中对网络有部署要求大中型WLAN网络，AP/AC二层或三层组网DNS部署DNS Server；DHCP Server支持Option 15属性二层广播发觉无对已有网络没有额外要求仅能用于AP

21、/AC二层组网中小型WLAN网络，AP/AC二层组网AP上预配置静态AC列表AP预配置对已有网络没有额外要求须要对AP逐一进行配置，工作量大；若AC的IP地址发生变更，则须要重新修改AP的配置小型WLAN网络若无线网络部署了多个无线限制器，AP通过上述某种方式发觉了多个AC时，AP依据依据AC负载动态选择接入到负载轻的AC。2.5 射频管理规划及IP地址规划一样，WLAN信道是WLAN网络设计中的重要一环，大型无线园区网网络必需对WLAN信道进行统一规划。WLAN信道规划的好坏，影响到无线网络的带宽、无线网络的性能、无线网络的扩展以及无线网络的抗干扰实力，也必将干脆影响到无线网络的用户体验。射

22、频信道划分WLAN信道规划是WLAN网络设计中的重要一环，为保证信道之间不相互干扰，大型无线园区网网络必需对WLAN信道进行统一规划并实施。WLAN系统主要应用于两个频段：2.4GHz和5.0GHz。l 2.4GHz频段信道划分： 2.4G频段具体频率范围为2.42.4835GHz的连续频谱，信道编号114。 HT20信道划分：信道带宽为20M，在该模式下，一般选取1、6、11三个不重叠信道，频率规划可用频点只有3个。 HT40信道划分：信道带宽为40M，受频率限制，只支持一个不重叠信道。l 5.0GHz频段信道划分： 5.0G频段支配的频谱并不连续，主要有两段：5.155.35GHz、5.7

23、25GHz5.85GHz。 HT20信道划分：不重叠信道在5.155.35GHz频段有8个，分别为36、40、44、48、52、56、60、64；在5.725GHz5.85GHz频段有4个，分别为149、153、157、161。 HT40信道划分：在该模式下，这两段频谱的可用信道分别为4个和2个。AP支持手动和自动两种方式设置工作信道。设置为自动方式后，一旦检测到信道冲突AP具有信道自动调整功能，建议AP接受自动设置工作信道方式，避开手动设置后一旦信道冲突将导致无法切换信道的问题。信道自动扫描功能：接受信道自动扫描功能，自动探测周边的AP、运用的信道及干扰，结果上报AC，触发信道调整。射频信道

24、覆盖WLAN信道规划需遵循两个原则：蜂窝覆盖、信道间隔。依据覆盖密度、干扰状况、选择2.4G/5G单频或双频覆盖。AP交替运用2.4G的1、6、11信道及5.0G的36、40、44信道，避开信号相互干扰；一般状况单独运用2.4G或5.0G的频段，对于会议室等高密度用户接入的场所，可以启用双频进行覆盖，以便供应更好的接入实力。图2-6 单频信道规划示意图图2-7 双频信道规划示意图2.6 无线网络平安规划无线设备平安l AP防盗安装AP时安装防盗锁即可。l AP零配置传统的FAT AP组网模式要求在AP上配置大量的业务参数，同时须要在AP本地保存这些业务配置信息，一旦设备丢失，AP的业务配置信息

25、就可能被泄漏，形成网络的平安漏洞。FIT AP在设备上不保存业务配置，而是每次启动的时候从无线限制器动态加载业务配置，这样可以有效避开设备丢失造成配置泄漏。当前FIT AP均能做到零配置。无线IDS/IPSl IDS非法AP检测非法AP主要指未经网络许可而非法部署的AP设备或者是对网络发起无线攻击的AP设备。对于非法部署的AP设备，可以通过限制AP接入（基于MAC地址；基于设备名称SN等）来防止非法AP接入网络。对于对网络发起无线攻击的AP设备，网络中合法部署的AP监听设备负责把监听到有攻击行为的无线设备上报给无线限制器，继而上报给网管。部署建议： 对于非法部署的AP设备，由网络设备AC检测，

26、启动相应功能即可。 这里主要给出对发起无线攻击的AP的监听部署方案以及对比状况，如表2-3所示。可以依据实际网络要求进行取舍。表2-3 对发起无线攻击的AP的监听部署方案优劣势对比表部署方式优点劣势部署专职监听AP实时监听网络，刚好检测出非法AP网络部署成本高业务AP兼职监听AP网络部署成本相对小不能实时监听网络，无法刚好检测到非法APl IPS-黑白名单用户白名单功能：无线限制器支持静态配置白名单功能，该功能一旦启用，只有白名单上的无线用户才被认为是合法用户，其他非法用户的报文全部在AC上被丢弃，从而削减非法报文对无线网络的冲击。用户黑名单功能：无线限制器通过配置方式或者实时检测侦听的方式来

27、确定设备是否被加入黑名单，被加入到黑名单中的设备发过来的报文全部在AC上丢弃，从而削减攻击报文对无线网络的冲击。部署建议：大中型园区网不建议部署，通过认证进行用户的合法检测即可。2.7 QoS规划WLAN QoS保证不同质量的无线接入服务之间的互通，满足实际应用的需求。图2-9 WLAN QoS规划如图2-9所示，在企业园区中，常接受无线空口做WMM调度，有线侧进行优先级映射，园区网做DiffServ调度的方式，最大程度优化网络发生拥塞时的核心业务和VIP用户服务质量。在这里仅介绍WMM协议技术、优先级映射和流量管理技术。流量管理l 基于用户的流量管理防止P2P业务占用带宽导致其他用户无法正常

28、运用无线网络，比如校内网。l 基于SSID的流量管理防止某些SSID用户流量过大影响其他SSID用户的正常业务，比如访客SSID的流量限制。无线空口做WMM调度Wi-Fi多媒体标准WMM（Wi-Fi Multimedia）是一种无线QoS协议，无线空口上，WMM将数据报文通过4个优先级队列发送，每个优先级队列占用信道的机会不一样，从而保证语音、视频等应用在无线网络中有更好的质量。WMM依据优先级从高到低的依次分为AC（Access Category）-VO（语音流）、AC-VI（视频流）、AC-BE（尽力而为流）、AC-BK（背景流）四个优先级队列，保证越高优先级队列中的报文，抢占信道的实力越

29、高。表2-4 WMM队列优先级WMM队列用户优先级（UP）Voice6或7Video4或5Best Effort2或3Background0或1优先级的映射优先级映射包括：无线优先级到有线优先级的映射、无线优先级到CAPWAP隧道优先级的映射。l 上行无线到有线报文优先级映射AP接收到无线客户端发送的802.11（无线）数据报文后，将其转换为802.3（以太网）报文，然后向网络侧接着转发。对于本地转发，完成用户优先级UP到802.1P优先级映射；对于集中转发，再实现隧道优先级Tunnel-802.1P、Tunnle-TOS的映射。l 下行有线报文到无线报文优先级映射AP接收到802.3以太报文

30、后，将其转换为802.11报文，并在空口上依据报文中的UP优先级选择不同的WMM队列发送给用户终端。对于本地转发，须要完成802.1P到UP优先级映射；对于集中转发，在AC上可实现TOS优先级到Tunnel-TOS映射，802.1P优先级到Tunnle-802.1P优先级映射。2.8 牢靠性规划WLAN网络牢靠性主要是网络的负载分担，分为AP负载分担和AC的负载分担。l AP负载分担无线客户端一般会依据AP信号强度（RSSI）选择AP，这很简洁导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于这些客户端共享无线媒介，导致每个客户端的网络吞吐将大量削减。AP负载分担可动态地确定在

31、当前时刻和当前位置下哪些AP可以彼此分担负载，通过限制无线客户端接入的AP，来实现这些AP间的负载分担。评估负载的方式有两种： 依据用户在线会话数 依据用户流量当前AP负载分担策略是通过限制STA的接入实现负载均衡。当AP的负载状况超过阈值后，该AP就会拒绝新的终端的接入，此时终端将找寻负载较轻的AP进行连接，从而实现负载的均衡。l AC负载分担AC负载分担即AP依据AC负载动态选择接入到负载轻的AC上去。AC在响应报文（Discovery Response）中携带该AC负载信息（比如AC允许接入的最大AP数、当前接入的AP数、允许接入的最大STA数、当前接入的STA数），AP通过比较各AC的

32、负载状况选择一个负载轻的AC接入。通过CAPWAP隧道的心跳机制，AP可刚好发觉限制器Down，同时依据该方法重新选择一个负载轻的AC接入。3 WLAN接入认证方案3.1 无线平安协议标准如表3-1所示，WLAN无线平安协议标准主要有：OPEN-SYSTEM（Open system authentication）、WEP（Wired Equivalent Privacy）、WPA/WPA2（Wi-Fi Protected Access）、WAPI（WLAN Authentication and Privacy Infrastructure）。表3-1 WLAN无线平安协议标准介绍标准简介适用场

33、景OPEN-SYSTEM开放系统认证是802.11的缺省设置，不进行认证。一般用于有众多用户的运营网络WEP有线等效加密，即对于数据的加密和解密都运用同样的密钥和算法，主要用来爱惜WLAN空口信号的信息平安。应用于小规模/低平安需求的WLAN网络（SOHO/家庭热点等）。WPA/WPA2l 基于802.1x架构进行身份认证l 基于PSK(Pre-Shared Key)、EAP等协议进行身份认证l 基于TKIP实现数据加密l 基于4次握手实现用户会话密钥的动态协商l WPA2增加了预认证和CCMP加密，同时兼容WPA广泛应用于各种大、中型WLAN网络和公共场合，为目前主推加密方案。WAPIWAP

34、I系统包含WAI鉴别及密钥管理和WPI数据传输爱惜：l 基于证书机制和自行设计的WAI(WLAN Authentication Infrastructure)认证协议完成身份鉴别和密钥管理，而没有重用802.1x，Radius等现有平安标准；l 基于自行设计的WPI（WLAN privacy infrastructure）协议实现数据的加密爱惜；中国标准，一般作为准入门槛测试。华为AC均支持开放系统认证、WEP加密、共享密钥认证、WPA/WPA2认证和加密、WAPI认证加密等无线接入平安特性。3.2 WLAN终端认证技术IEEE 802.11标准要求WLAN终端在准备连接到网络时，必需进行“身

35、份验证”。WLAN终端身份认证主要有两种方式：开放系统认证（Open-system Authentication）和共享密钥认证（Shared-Key Authentication）。l 开放系统认证是IEEE 802.11标准要求必备的一种方法，是最简洁的认证算法，即不认证。假如认证类型设置为开放系统认证，则全部请求认证的客户端都会通过认证。在这种方式下，接入点并未验证工作站的真实身份，工作站以MAC地址作为身份证明，这种验证方式可以让全部符合802.11标准的终端都可以接入到WLAN网络中来。开放系统身份验证比较适合有众多用户的电信运营WLAN网络。l 共享密钥式认证必需运用加密方式，要求

36、每个WLAN终端都配置和AP完全一样的密钥（key）。由于配置工作量较大，一般适用于企业网、校内网及家庭网络等。二者对比如下：表3-2 WLAN终端认证方式对比认证方式优点缺点适用场景开放式系统认证部署简洁，终端接入速度快，有效带宽高。平安性差，无法检验客户端是否合法，任何知道无线局域网SSID的用户都可以访问网络。电信运营网络共享密钥式认证平安性较高，接受加密方式对密钥进行爱惜，空口密钥数据不再明文传输。配置困难，可扩展性不佳；每台终端和AP上都须要静态配置一个很长的密钥字符串。有效带宽较低，加密降低了传输效率。企业网、校内网及家庭网络等。3.3 无线用户身份认证技术相对于简洁的STA身份验

37、证过滤机制，链路层用户身份验证的平安性大大提高。通过供应有限的访问权限来验证用户身份，只有确定用户身份后才赐予完整的网络访问权限，可有效判别用户的合法性。链路层身份验证是透亮的，能协作任何网络层协议运用。常用的WLAN的链路层身份验证主要有MAC认证、802.1x、Portal（DHCP+Web）、PPPoE等几种认证方式。对于华润新能源风电厂而言，无线哑终端一般通过MAC认证接入，办公区域通过802.1x或Portal认证接入，访客区域一般通过Portal认证接入。多种认证技术保证WiFi终端平安接入，合法用户访问合规资源，从源头上消退平安威逼。MAC认证MAC认证是一种基于端口和MAC地址

38、对用户的网络访问权限进行限制的认证方法，它不须要用户安装任何的客户端。由于无线终端的网卡都具备唯一的MAC地址，因此可以通过检查无线终端数据包的源MAC地址来识别无线终端的合法性。地址过滤限制方式要求预先在AP服务器中写入合法的MAC地址列表，只有当客户机的MAC地址和合法MAC地址表中的地址匹配，AP才允许客户机及之通信。在企业园区中MAC认证主要用于IP电话、打印机等哑终端设备的接入。802.1x认证802.1x是针对以太网而提出的基于端口进行网络访问限制的平安性标准草案。基于端口的网络访问限制利用物理层特性对连接到LAN端口的设备进行身份认证。假如认证失败，则禁止该设备访问LAN资源。尽

39、管802.1x标准最初是为有线以太网设计制定的，但它也适用于符合802.11标准的无线局域网，且被视为是WLAN的一种增加性网络平安解决方案。802.1x体系结构包括三个主要的组件：l 请求方（Supplicant）：提出认证申请的用户接入设备，在无线网络中，通常指待接入网络的无线客户机STA。l 认证方（Authenticator）：允许客户机进行网络访问的实体，在无线网络中，通常指访问接入点AP或限制器AC设备。l 认证服务器（Authentication Sever）：为认证方供应认证服务的实体。认证服务器对请求方进行验证，然后告知认证方该请求者是否为授权用户。认证服务器可以是某个单独的

40、服务器实体，也可以不是，后一种状况通常是将认证功能集成在认证方Authenticator中。802.1x技术是一种增加型的网络平安解决方案。在接受802.1x的无线LAN中，无线用户端安装802.1x客户端软件作为请求方，无线设备AP/AC内嵌802.1x认证代理作为认证方，同时它还作为Radius认证服务器的客户端，负责用户及Radius服务器之间认证信息的转发。802.1x体系本身不是一个完整的认证机制，而是一个通用架构。用来传输实际的认证协议。802.1x体系的好处就是当一个新的认证协议发展出来的时候，基础的802.1x体系机制不须要随着变更。802.1x体系运用EAP（Extensib

41、le Authentication Protocol）认证协议，目前有超过20种不同的EAP协议。802.1x认证常用的包括以下几种EAP认证模式：l EAP-MD5l EAP-TLS(Transport Layer Security)l EAP-TTLS(Tunnelled Transport Layer Security)l EAP-PEAP(Protected EAP)l EAP-LEAP(Lightweight EAP)l EAP-SIMPortal认证Portal认证也称Web认证或DHCP+Web认证。客户端运用标准Web阅读器（例如IE），填入用户名、密码信息，页面提交后，由We

42、b服务器和设备协作完成用户的认证。接入设备将来自客户的HTTP请求重定向到Portal服务器，在Portal页面上输入用户名、密码进行认证。用户在Web认证之前，必需先通过DHCP、静态配置等获得IP地址。用户假如被配置成强制Web认证，则用户只须要输入自己宠爱的网页即可，系统自动下载认证网页。主要认证过程为：1. 动态用户通过DHCP协议获得地址；2. 用户访问Web认证服务器的认证页面，并在其中输入用户名、密码，Web认证服务器将用户的信息通过内部协议，通知接入设备；3. 接入服务器到相应的AAA服务器对该用户进行认证，将认证结果通知Web认证服务器；4. Web认证服务器通过HTTP页面

43、将认证结果通知用户，假如认证成功用户即可正常访问网络资源。Portal认证通常须要多个服务器支持，DHCP服务器、AAA服务器等。无线接入认证和平安协议对应关系表3-3 无线接入认证和平安协议对应关系表认证方法平安协议平安性封装开销地址支配客户端软件应用场景MAC认证Open System低小认证后支配不须要PDA、IP电话等哑终端设备接入。WEP/WPA/WPA2+PSK低小认证后支配不须要场景同上，须要维护PSK密码。Portal认证Open System中小认证前支配不须要中小型园区网络。WEP/WPA/WPA2+PSK中小认证前支配不须要场景同上，须要维护PSK密码。802.1x认证W

44、EP/WPA/WPA2高小认证后支配须要大中型园区网络。从平安性和易部署性等多方面考虑，举荐802.1xWPA2的机制。无线用户AC集中认证方案无线用户在AC上集中认证，可以保证无线用户集中管理，授权通过AC限制隧道下发到AP设备，精细化限制用户访问权限，并在用户漫游、平安限制等方面由AC做到灵敏限制。无线用户集中认证，须要保证相关认证协议能够上送AC处理。集中转发场景下，EAP、Portal报文作为数据报文通过CAPWAP数据隧道上送AC；在本地转发场景下，可通过配置让EAP、Portal报文进入CAPWAP限制隧道，从而上送到AC设备完成认证过程。图3-4 无线用户AC集中认证示意图AC集

45、中认证组网如图3-4所示，认证方式包括MAC、802.1x、Portal、PPPoE等方式。园区网中，从平安性、易部署等角度考虑，一般举荐802.1x+WPA2接入认证。3.3.2 认证、平安集成方案认证平安方案：依据华润新能源的要求，对认证和平安要求较早，可通过准入限制平安检查，提升内网平安。并且服务器组件支持定制化选择，若用户只作准入认证，则可不选择平安组件。图3-5 认证平安方案组网图如上图，认证组件、平安组件、客户端为必选组件。其中服务器组件接受华为TSM系统，认证服务器和平安服务器之间为内部通道，一般部署在同一台服务器上。功能实现流程：1. 无线用户认证报文到AC后，通过Radius

46、协议（Portal认证先到Portal服务器交互）到认证服务器完成认证过程。 2. 平安服务器和客户端协作，完成终端病毒库、补丁等健康检查功能，并可和软件服务器联动，进行终端修复操作。4 华润新能源WDS网桥无线数据回传及覆盖方案WDS（Wireless Distribution System），通过无线链路连接两个或者多个独立的有线局域网或者无线局域网，组建一个互通的网络，实现数据访问。WDS技术适用于在大型仓库、港口码头、山川河流等不适合部署线缆的恶劣环境以及乡村、郊区或者野外等人员稀疏环境，通过无线链路连接两个或者多个独立的有线局域网或者无线局域网，并为他们之间供应数据交换功能。便利网络

47、部署、安装，实现灵敏组网。图4-1 WLAN无线回传示意图如图4-1所示，在不适合部署线缆的恶劣环境下，无线网桥通过P2P/P2MP桥接功能，实现热点区域覆盖和数据回传；其中桥接运用5.0G频段，无线覆盖运用2.4G频段。4.1 WDS组网模式在实际组网中，WDS网桥组网模式可以分为点对点模式和点对多点模式。图4-2 点对点组网模式示意图如图4-2所示，WDS通过两台设备实现了两个网络无线桥接，最终实现两个网络的互通。实际应用中，每一台设备可以通过配置对端设备的MAC地址，确定须要建立的桥接链路。图4-3 点对多点组网模式示意图如图4-3所示，在点到多点的组网环境中，一台设备作为中心设备，其他

48、全部的设备都只和中心设备建立无线桥接，实现多个网络的互联。但是多个分支网络的互通都要通过中心桥接设备进行数据转发。在点对多点组网场景下，AP网桥链路之间、以及有线链路可能出现网络环路。为防止网络风暴、保证正确的二层转发，须要启用STP功能打开环路检测。STP功能对AP有线接口、和开启了WDS的网桥接口有效。网桥端口的每个无线虚链路作为一个独立逻辑端口参及STP协议交互和限制。4.2 WDS组网性能指标由于无线技术较简洁受到应用环境、传输距离、天线增益、频宽等因素影响，因此在进行无线回传规划时须要关注现场环境带来的影响，传输性能如下表所示：表4-1 无线网桥（WDS）P2P传输性能指标工作频段环

49、境天线增益典型距离下802.11n HT20/HT40吞吐量（Mbps）500m1km2km5km10km频宽2.4G覆盖/维护市区11dBi80804515/HT2014dBi8080803615HT2017 dBi8080806036HT20郊区/农村11dBi8080703212HT2014dBi8080805532HT2017 dBi8080808055HT205.8G无线回传市区11dBi55/9030/456/?/HT20/HT4015dBi80/16060/9530/45/HT20/HT4018dBi80/16080/16050/8012/15/HT20/HT4021dBi80/

50、16080/16080/13532/5010/?HT20/HT40郊区/农村11dBi80/16080/13545/658/?/HT20/HT4015dBi80/16080/16048/7010/?/HT20/HT4018dBi80/16080/16080/12030/458/?HT20/HT4021dBi80/16080/16080/16050/8027/40HT20/HT402.4G一般用于用户接入覆盖及设备维护，不建议回传运用，无线回传举荐5.8G频段，传输距离限制在5KM。表4-2 无线网桥（WDS）P2MP传输性能指标P2MP影响因素吞吐量影响因子隐藏终端多用户竞争PMP1无无112

51、0.60.950.570.28530.60.90.540.1840.60.90.540.13550.60.80.480.09660.60.80.480.08运用点对多点（P2MP）网桥时受隐藏终端和多用户竞争等因素影响，吞吐量将急剧下降；因此点对多点（P2MP）网桥吞吐量性能评估需在点对点（P2P）网桥数据基础上考虑吞吐量系数。网络规划中，P2MP网桥举荐不超过4个，无线回传距离限制在5km内。5 WLAN网络管理方案5.1 网管方案概述华为公司eSight管理平台依据企业网网络管理特点，接受B/S架构，瘦客户端，远程登录。eSight平台的WLAN功能模块组件化解耦，按需拆卸，便于在企业网不

52、同场景下灵敏组合，并能够供应二次开发和定制实力。图5-1 eSight WLAN网络管理5.2 eSightWLAN网络管理流程WLAN网络管理帮助用户快速完成无线网络部署，供应网络设备、非法AP等物理资源监控，实现故障的快速感知、定位及解决，同时通过无线相关报表及多形式分类资源统计，为用户日常运维及网络调整供应了依据，极大提升网络管理效率。Sight WLAN网络管理流程如图5-2所示。图5-2 eSight WLAN网络管理流程网络部署网络安装完毕后，用户通过简洁向导式部署页面，首先指定AC参数配置，其次创建网元级配置模板，通过规化表单批量导入FIT AP列表，最终批量完成FIT AP部署

53、，快速完成WLAN网络的部署。网络监控用户可以通过网管物理拓扑，查看监控AC设备及链路状态；可以通过WLAN业务拓扑直观查看STA、FIT AP、AC接入关系；可以通过位置拓扑查看当前热点位置及射频信号覆盖范围并在视图上标识当前非法AP位置。用户通过性能管理、告警管理及WLAN物理资源管理监控网络运行状况，并通过报表系统周期性给出WLAN相关报表，帮助用户实现轻松运维。网络故障复原当网络中的AP出现异样或在WLAN网络的调试过程中，用户可以通过网管远程批量复原AP的出厂设置；在WLAN网络中AP升级完成后或在WLAN网络的调试过程中，用户可以通过网管远程批量重启AP；当网络中的AP出现硬件故障

54、须要替换时，用户可以通过网管快速完成AP替换，AC复制故障AP上原有的配置至替换新替换的AP，快速保证AP替换后业务不变。用户可以可通过AP PING上行设备IP（包括网关或服务器IP），依据测试结果，推断AP上行业务线路的通断状况；或通过AP下行PING用户IP地址，从而确认用户报障缘由是用户关联问题还是上行业务不通。AP Ping受AP状态正常约束，所以供应AC的诊断，AC下行Ping，可诊断AC至AP链路通断。5.3 企业WLAN网络管理规划大中型园区无线网络管理对于大中型园区WLAN网络，举荐运用特地的网管平台（例如eSight）实现对WLAN网络的管理。它不仅可以实现对于WLAN业务

55、的AC、AP、STA等节点和资源的监控，还可以实现对于AC、AP等节点和业务的配置，节约维护成本。小型、微型园区无线网络管理小型园区网络中可能不会部署特地的网管，此时可以通过AC上的本地管理对无线网络进行管理维护，包括相关配置、告警、软件版本管理等等。登录到AC的方式有Telnet，可以满足一般或平安的登录要求。基于用户的帐号管理可以确保只有相关资格的人才能登录网络进行网络运维管理，爱惜网络的平安及牢靠性。6 主要应用产品介绍WLAN系列产品主要包括AC6605盒式AP6510DN或AP6610DN等多款AP。6.1 AP6510DN-AGN标准室外双频AP图6-1 AP6510DN-AGN产

56、品实物图产品规格表6-1 AP6510DN-AGN产品规格项目规格IEEE标准802.11a/b/g/n标准，支持2.4GHz和5GHz频率尺寸26526583mm重量3.0kg功耗24W供电标准802.3af放射功率2.4GHz-500mW5GHz-125mW主要性能l 2x2多入多出(MIMO)，2条空间流l 支持最大比合并(MRC)l 支持802.11n和 802.11a/g波束赋形l 支持20- 和40-MHz 信道，PHY数据速率高达300Mbps l 数据包聚合：A-MPDU(Tx/Rx)；A-MSDU(Rx only) l 802.11动态频率选择(DFS) 6.2 AP6610

57、DN-AGN全规格室外双频AP图6-3 AP6610DN-AGN产品实物图产品规格表6-2 AP6610DN-AGN产品规格项目规格IEEE标准802.11a/b/g/n标准，支持2.4GHz和5GHz频率尺寸26526583mm重量3.5kg功耗28W供电非标准802.3at放射功率2.4GHz-500mW5GHz-125mW接口支持SFP接口，支持沟通本地供电主要性能l 2x2 多入多出(MIMO)，2条空间流l 支持最大比合并(MRC)l 支持802.11n和 802.11a/g波束赋形l 支持20- 和40-MHz 信道，PHY数据速率高达300Mbps l 数据包聚合：A-MPDU(

58、Tx/Rx)；A-MSDU(Rx only) l 802.11动态频率选择(DFS)6.3 AC6605-26-PWR图6-4 AC6605-26-PWR产品实物图AC6605-26-PWR特点产品有如下：l 高性能 支持快速漫游（缓存PMK） 高达512 APs管理实力l 高牢靠 AC设备间1+1双链路备份 上行链路LACP、MSTP 50ms爱惜 双电源接口，备份爱惜 风扇、电源热插拔，高温告警爱惜l 强大的组网和业务实力 丰富接口：2个10GE光接口，4个GE Combo接口，24个GE电口。 业务强大：精细化QoS、丰富L2/L3功能、标准MIB接口。l 爱惜投资 无缝适应WLAN 11b/g和11n 华为标准软件平台，和宽带城域设备无缝融合