.PAGE.校園WLAN無(wú)線覆蓋技術(shù)方案XX恒拓物聯(lián)網(wǎng)校園無(wú)線覆蓋技術(shù)方案書一、概述無(wú)線局域網(wǎng)〔WLAN技術(shù)于20世紀(jì)90年代逐步成熟并投入商用,既可以作傳統(tǒng)有線網(wǎng)絡(luò)的延伸,在某些環(huán)境也可以替代傳統(tǒng)的有線網(wǎng)絡(luò)。對(duì)比傳統(tǒng)的有線傳輸解決方案,使用WLAN網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)傳輸具有以下顯著特點(diǎn)：簡(jiǎn)易性：WLAN網(wǎng)絡(luò)傳輸系統(tǒng)的安裝快速簡(jiǎn)單,可極大的減少敷設(shè)管道及布線等繁瑣工作；靈活性：無(wú)線技術(shù)使得WLAN設(shè)備可以靈活的進(jìn)行安裝并調(diào)整位置,使無(wú)線網(wǎng)絡(luò)達(dá)到有線網(wǎng)絡(luò)不易覆蓋的區(qū)域；綜合成本較低：一方面WLAN網(wǎng)絡(luò)減少了布線的費(fèi)用,另一方面在需要頻繁移動(dòng)和變化的動(dòng)態(tài)環(huán)境中,無(wú)線局域網(wǎng)技術(shù)可以更好地保護(hù)已有投資。同時(shí),由于WLAN技術(shù)本身就是面向數(shù)據(jù)通信領(lǐng)域的IP傳輸技術(shù),因此可直接通過百兆自適應(yīng)網(wǎng)口和企業(yè)內(nèi)部Intranet相連,從體系結(jié)構(gòu)上節(jié)省了協(xié)議轉(zhuǎn)換器等相關(guān)設(shè)備；擴(kuò)展能力強(qiáng)：WLAN網(wǎng)絡(luò)系統(tǒng)支持多種拓?fù)浣Y(jié)構(gòu)及平滑擴(kuò)容,可以十分容易地從小容量傳輸系統(tǒng)平滑擴(kuò)展為中等容量傳輸系統(tǒng)；隨著WLAN技術(shù)的快速發(fā)展和不斷成熟,目前在國(guó)內(nèi)外已經(jīng)具有較多的政府機(jī)構(gòu)使用WLAN技術(shù)布置無(wú)線城域網(wǎng),進(jìn)行承載部分政府業(yè)務(wù),諸如：電子政備、消防、公安信息等等,如：美國(guó)費(fèi)城、荷蘭阿姆斯特丹等。二、客戶需求校園無(wú)線局域網(wǎng)建設(shè)的總體目標(biāo)是：利用無(wú)線網(wǎng)絡(luò)技術(shù)進(jìn)一步擴(kuò)展網(wǎng)絡(luò)的覆蓋范圍,提高網(wǎng)絡(luò)的用戶自適應(yīng)性,在無(wú)線的覆蓋范圍內(nèi)實(shí)現(xiàn)數(shù)據(jù)業(yè)務(wù)和語(yǔ)音業(yè)務(wù)的無(wú)線傳輸,并且可實(shí)現(xiàn)三層漫游,使無(wú)線局域網(wǎng)和有線網(wǎng)成為一個(gè)整體,提供安全的無(wú)線接入。由于此工程是在有線網(wǎng)的基礎(chǔ)上加以無(wú)線擴(kuò)充〔即采用AP將無(wú)線網(wǎng)絡(luò)接入到有線網(wǎng)絡(luò),目前有線網(wǎng)已達(dá)到了相當(dāng)?shù)母采w范圍,可以為無(wú)線網(wǎng)絡(luò)的建設(shè)提供支持。本工程具體的建設(shè)目標(biāo)是：側(cè)重實(shí)際應(yīng)用,計(jì)劃全面覆蓋某某大學(xué)校園主要人群活動(dòng)場(chǎng)所；保證網(wǎng)絡(luò)訪問的安全性,支持用戶多種接入方式認(rèn)證機(jī)制,包括：基于Protal、802.1X、mac等認(rèn)證,支持標(biāo)準(zhǔn)的LDAP目錄服務(wù)器；采取通行的網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)：目前無(wú)線局域網(wǎng)普遍采用802.11g系列標(biāo)準(zhǔn),因此無(wú)線局域網(wǎng)將主要支持802.11g〔54M帶寬標(biāo)準(zhǔn)以提供可供實(shí)際應(yīng)用的相對(duì)穩(wěn)定的網(wǎng)絡(luò)通訊服務(wù)；用戶的漫游性。在連續(xù)覆蓋區(qū)域的認(rèn)證和覆蓋應(yīng)充分考慮移動(dòng)用戶的易用性,達(dá)到一次認(rèn)證,移動(dòng)使用的目的。安全、認(rèn)證和管理要求為了阻止非授權(quán)用戶訪問無(wú)線網(wǎng)絡(luò),以及防止對(duì)無(wú)線局域網(wǎng)數(shù)據(jù)流的非法偵聽,無(wú)線網(wǎng)絡(luò)要具有相應(yīng)的安全手段,主要包括：物理地址〔MAC過濾、服務(wù)區(qū)標(biāo)識(shí)符<SSID>匹配、有線等效保密〔WEP、WPA,802.11i,EAP的擴(kuò)展認(rèn)證,TKIP的數(shù)據(jù)加密,二層隔離等；無(wú)線網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)要求：無(wú)線接入所需布設(shè)的AP通過接入設(shè)備接入到網(wǎng)中,在接入層提供相應(yīng)的接口給AP使用；工程布線和安裝要求：室內(nèi)部分：定位于較為開闊位置,將網(wǎng)線走暗線敷設(shè)到位；掛在墻上,可利用設(shè)備本身自帶的安裝附件進(jìn)行安裝；如果需要遮蔽,則需要定制非金屬安裝盒；如果是掛在天花板上,則根據(jù)天花板的情況而定,若天花板是非金屬結(jié)構(gòu),可以固定在天花板內(nèi)。安裝過程中應(yīng)充分考慮防盜問題。室外部分：AP的供電可采用POE方式由接入的網(wǎng)絡(luò)設(shè)備進(jìn)行供電,室外機(jī)型需具備防雨防電等功能。供電部分：AP的供電可采用POE方式由接入的網(wǎng)絡(luò)設(shè)備進(jìn)行供電產(chǎn)品能力要求要求：具有無(wú)委會(huì)核準(zhǔn)證；支持負(fù)載均衡；漫游切換；支撐QOS能力覆蓋與用戶數(shù)量要求：a>覆蓋范圍：整個(gè)校園；

b>覆蓋質(zhì)量：室內(nèi)85％以上區(qū)域WLAN下載速率達(dá)1M以上；

c>用戶規(guī)模：按開戶10000人,平均在線1000人計(jì)算；三、網(wǎng)絡(luò)建設(shè)方案采用WLAN技術(shù)構(gòu)架寬帶網(wǎng)絡(luò)服務(wù),從技術(shù)上、工程上以及提供的服務(wù)質(zhì)量上均能較好的滿足要求。3.1無(wú)線網(wǎng)絡(luò)基礎(chǔ)方案方案邏輯組網(wǎng)圖本次方案H3C推薦使用WA2620X-AGNP是WA2600系列無(wú)線產(chǎn)品中的一款室外智能型雙頻大功率802.11n無(wú)線基站接入設(shè)備,可以同時(shí)工作在2.4GHz和5GHz頻段,采用6天線MIMO方式,單射頻最大發(fā)射功率可達(dá)500mW。WA2620X-AGNP集成了H3C自主研發(fā)的智能基帶射頻處理模塊,能夠針對(duì)性地有效解決室外WLAN覆蓋各種問題,提高WLAN室外覆蓋準(zhǔn)確性和穩(wěn)定性。同時(shí)通過專業(yè)的一體化室外型設(shè)計(jì),WA2620X-AGNP具備IP66防水防塵等級(jí)和大范圍寬溫工作能力,非常方便室外的安裝和調(diào)試,廣泛的應(yīng)用于包括無(wú)線城市、無(wú)線校園、無(wú)線村村通、3G+W共址等各類WLAN室外場(chǎng)景的專業(yè)智能覆蓋。前期FatAP邏輯組網(wǎng)圖如下所示：本次工程采用無(wú)線網(wǎng)就近接入的原則,每臺(tái)AP就近接入有線網(wǎng)絡(luò),此時(shí)要求相應(yīng)于無(wú)線AP的有線地方都要提供一個(gè)有線交換機(jī)的接入端口〔RJ45供使用,從工程維護(hù)的角度出發(fā),建議采用POE的方式進(jìn)行給AP進(jìn)行供電,具體的邏輯組網(wǎng)圖如下圖所示：校園網(wǎng)出口校園網(wǎng)出口RadiusPoE接入層交換機(jī)網(wǎng)管Internet………….無(wú)線接入點(diǎn)<FATAP模式>FATAP方案邏輯組網(wǎng)示意圖WA2620X－AGNP支持靈活部署需要,通過軟件切換即可工作于FitAP模式下,完成FitAP組網(wǎng),邏輯組網(wǎng)如下：校園網(wǎng)出口校園網(wǎng)出口Radius無(wú)線控制器PoE接入層交換機(jī)網(wǎng)管無(wú)線接入點(diǎn)<FITAP模式>Internet………….3.1.2認(rèn)證方式用戶端和AP進(jìn)行無(wú)線連接共有兩種：一種是OPEN模式,這種模式下,無(wú)線用戶無(wú)需認(rèn)證即可連接到相關(guān)的SSID無(wú)線網(wǎng)絡(luò)上。一種是ShareKey模式,這種模式下,無(wú)線用戶需要用戶名和密碼,通過認(rèn)證后才可連接到相關(guān)的SSID上。用戶名和密碼通過AP進(jìn)行設(shè)置。處于安全考慮,建議客戶采用ShareKey模式。由于大多數(shù)校園采用獨(dú)立的Radius服務(wù)器進(jìn)行認(rèn)證計(jì)費(fèi),處于使用便捷性的考慮,在無(wú)線連接方面建議采用Open模式,當(dāng)用戶完成無(wú)線連接后,進(jìn)行網(wǎng)絡(luò)訪問時(shí),AP配合第三方認(rèn)證服務(wù)器完成用戶名和密碼認(rèn)證。3.1.3認(rèn)證點(diǎn)選擇：針對(duì)客戶要求,Radius做為最后的鑒權(quán)點(diǎn)。工作于FATAP模式時(shí),AP完成認(rèn)證點(diǎn)功能,用戶只能在二層網(wǎng)絡(luò)漫游；當(dāng)工作于FitAP+AC模式時(shí),用戶可用進(jìn)行三層漫游,當(dāng)用戶在AP內(nèi)進(jìn)行切換時(shí),此時(shí)的主要工作由無(wú)線交換機(jī)進(jìn)行統(tǒng)一調(diào)度,當(dāng)用戶在相同或者不同的無(wú)線控制器下不同的端口下的不同AP的覆蓋范圍時(shí),此時(shí)用戶不會(huì)再次觸發(fā)認(rèn)證。3.1.4認(rèn)證實(shí)施流程處于網(wǎng)絡(luò)安全考慮,建議校園無(wú)線用戶安裝客戶端軟件用于認(rèn)證計(jì)費(fèi),不同的用戶群擁有不同的網(wǎng)絡(luò)訪問權(quán)限,比如學(xué)生主要用于Internet的網(wǎng)絡(luò)訪問和一些學(xué)習(xí)資源的訪問,而學(xué)校的教職員工的訪問權(quán)限會(huì)更廣泛。若要求外來訪客安裝客戶端,勢(shì)必不便；故針對(duì)以上種種情況,XX恒拓公司建議采用以下實(shí)施方案：在整個(gè)無(wú)線覆蓋范圍,每個(gè)AP均支持SSID名為Staff和SSID名為Student的兩種SSID,對(duì)于會(huì)議室,學(xué)術(shù)報(bào)告廳,會(huì)客室等接待外來訪客的場(chǎng)所,其所對(duì)應(yīng)的AP需額外只是名為Vistor的SSID。不同的SSID對(duì)應(yīng)不同的VLAN,從而獲取不同的資源訪問權(quán)限。SSID為Staff的無(wú)線網(wǎng)絡(luò)服務(wù)對(duì)象為全校教職工,通過認(rèn)證的用戶可訪問相對(duì)應(yīng)的教學(xué)資源。SSID為Student的無(wú)線網(wǎng)絡(luò)服務(wù)對(duì)象為全校學(xué)生,通過認(rèn)證的用戶可訪問Internet,學(xué)習(xí)資料等資源。SSID為Vistor的無(wú)線網(wǎng)絡(luò)服務(wù)對(duì)象為外來訪客,此類用戶不需要安裝客戶端軟件,對(duì)應(yīng)的無(wú)線網(wǎng)絡(luò)設(shè)為Open模式,用戶發(fā)現(xiàn)無(wú)線連接,無(wú)需認(rèn)證即可接入網(wǎng)絡(luò),此類用戶僅能訪問Internet。訪問資源有限,但使用便捷,適合流動(dòng)性強(qiáng)的外來訪客。以上三種SSID僅做建議,學(xué)?？梢愿鶕?jù)需要增加相對(duì)應(yīng)的SSID,例如針對(duì)網(wǎng)絡(luò)維護(hù)人員,可設(shè)置隱藏的名為Admin的SSID,所謂隱藏SSID就是指AP發(fā)送的Beacon報(bào)文中不含有該SSID信息,若無(wú)預(yù)先設(shè)置,終端用戶無(wú)法自動(dòng)發(fā)現(xiàn)該SSID,從而提供該SSID的安全性。網(wǎng)絡(luò)維護(hù)人員可通過該SSID獲取較高的網(wǎng)絡(luò)訪問權(quán)限,便于隨時(shí)隨地接入網(wǎng)絡(luò)進(jìn)行監(jiān)控和維護(hù)。3.2無(wú)線網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全問題是在建網(wǎng)時(shí)必須要考慮的問題,安全方式主要側(cè)重幾個(gè)方面：用戶安全、系統(tǒng)安全,而在網(wǎng)絡(luò)中主要依附于用戶實(shí)體的屬性主要包括用戶使用的信息終端二層屬性〔諸如：MAC地址及用戶的帳號(hào)、密碼,而對(duì)于企業(yè)用戶來講,帳號(hào)信息都是一個(gè)實(shí)名原則,與員工的利益進(jìn)行關(guān)聯(lián)的,這樣本無(wú)線網(wǎng)絡(luò)中著重考慮使用無(wú)線網(wǎng)絡(luò)的空口信息的安全機(jī)制。為了阻止非授權(quán)用戶訪問無(wú)線網(wǎng)絡(luò),以及防止對(duì)無(wú)線局域網(wǎng)數(shù)據(jù)流的非法偵聽,H3C無(wú)線解決方案支持WPA、802.11i等安全策略,每個(gè)AP支持16個(gè)SSID,支持隱藏SSID技術(shù)等,確保無(wú)線網(wǎng)絡(luò)安全。H3CWLAN產(chǎn)品亦支持國(guó)家無(wú)線網(wǎng)絡(luò)標(biāo)準(zhǔn)WAPI,可在不同的SSID下采用不同的認(rèn)證加密方式,完成多樣化的無(wú)線認(rèn)證需要。3.2.1用戶安全：數(shù)據(jù)安全部分主要包括以下方面的內(nèi)容：MAC地址過濾：目前支持基于MAC地址的過濾,限制具有某種類型的MAC地址特征的終端才能進(jìn)入網(wǎng)絡(luò)中；SSID管理：是一種網(wǎng)絡(luò)標(biāo)識(shí)的方案,將網(wǎng)絡(luò)進(jìn)行一個(gè)邏輯化標(biāo)識(shí),對(duì)終端上發(fā)的報(bào)文都要求進(jìn)行上帶SSID,如果沒有SSID標(biāo)識(shí)則不能進(jìn)入網(wǎng)絡(luò)；WEP加密：WEP加密是一種靜態(tài)加密的機(jī)制,通信雙方具有一個(gè)共同的密鑰,終端發(fā)送的空口信息報(bào)文必須使用共同的密鑰進(jìn)行加密；支持AES加密,AES安全機(jī)制是一種動(dòng)態(tài)密鑰管理機(jī)制,同時(shí)密鑰生成也基于不對(duì)稱密鑰機(jī)制來實(shí)現(xiàn)的,同時(shí)密鑰的管理也定期更新,具體的時(shí)間由系統(tǒng)可以設(shè)定,一般情況都設(shè)定為5分鐘左右,這樣非法用戶要想在5分鐘之內(nèi)進(jìn)行獲取足夠數(shù)量的報(bào)文進(jìn)行匹配出密鑰出來,從無(wú)線空口的流理來看,基本上是不可能的；華三的無(wú)線方案中的密鑰設(shè)置可能根據(jù)SSID信息與用戶信息進(jìn)行組合,即不同的SSID下不同的用戶的密鑰生成可以不一樣,這樣可以做不到不同的用戶不同的管理方式,同時(shí)具備不同的權(quán)限；3.2.2系統(tǒng)安全：無(wú)線終端的異常流量檢測(cè)及報(bào)警：無(wú)線網(wǎng)管提供全面的系統(tǒng)級(jí)統(tǒng)計(jì)數(shù)據(jù)：可提供包括錯(cuò)誤和流量的以太網(wǎng)統(tǒng)計(jì)數(shù)據(jù),其中包括包的大小、無(wú)線統(tǒng)計(jì)數(shù)據(jù)以及用戶會(huì)話統(tǒng)計(jì)數(shù)據(jù),它們保存為用戶在多個(gè)AP上的漫游記錄,并且都具有易查看的表格和圖表,以便快速識(shí)別數(shù)據(jù)走向?；谒蠥P上來的無(wú)線終端的數(shù)據(jù)都要通過AP與無(wú)線交換機(jī)之間的二層隧道進(jìn)行通信,因此所有無(wú)線終端的流量均可通過無(wú)線網(wǎng)管進(jìn)行統(tǒng)計(jì),并且通過實(shí)時(shí)的統(tǒng)計(jì)報(bào)表呈現(xiàn)出所有用戶訪問網(wǎng)絡(luò)流量,并通過設(shè)定流量閾值,一旦某無(wú)線終端流量超過閾值即實(shí)現(xiàn)異常流量的報(bào)警功能。用戶訪問控制：提供基于身份的組網(wǎng)：提供基于用戶身份的所有服務(wù),以使用戶在漫游時(shí)具有諸如虛擬專用組〔VirtualPrivateGroup成員資格,并實(shí)現(xiàn)不同權(quán)限的劃分；在實(shí)際應(yīng)用中可通過給不同部門分配不同的用戶名訪問無(wú)線網(wǎng)絡(luò),并給予不同部門不同的訪問權(quán)限。并可通過將用戶名和MAC地址進(jìn)行綁定,防止外來非法人員通過無(wú)線網(wǎng)絡(luò)來訪問網(wǎng)絡(luò)。3.3無(wú)線網(wǎng)絡(luò)QOS：3.3.1漫游切換支持：無(wú)線終端在無(wú)線網(wǎng)絡(luò)中移動(dòng)時(shí),必然要進(jìn)行不同AP之間、所屬不同有線交換機(jī)之間的漫游切換。首先無(wú)線終端會(huì)通過無(wú)線局域網(wǎng)服務(wù)器的CAMS軟件進(jìn)行第一次的安全接入認(rèn)證,無(wú)線交換機(jī)會(huì)介入該認(rèn)證過程,并獲得PMK〔PairwiseMasterKey。無(wú)線終端根據(jù)PMK生成多個(gè)通訊用密鑰,開始進(jìn)行加密會(huì)話。當(dāng)無(wú)線終端發(fā)現(xiàn)需要進(jìn)行切換時(shí),會(huì)進(jìn)行如下操作：與無(wú)線交換機(jī)進(jìn)行連接的預(yù)建立；無(wú)線交換機(jī)與需要建立連接的AP交換通訊用PMK密鑰,并將PMK密鑰傳給無(wú)線終端；無(wú)線終端發(fā)布更新消息,更新無(wú)線交換機(jī)轉(zhuǎn)發(fā)表；原有的數(shù)據(jù)流轉(zhuǎn)換到新的AP上來；切斷原有的數(shù)據(jù)連接。整個(gè)L2、L3漫游過程在50ms內(nèi)全部完成,并兼容IEEE802.11802.11N、IEEE802.11f和IEEE802.11e標(biāo)準(zhǔn),可良好支持語(yǔ)音、視頻等多媒體業(yè)務(wù)的需求?？紤]到具有語(yǔ)音與視頻的潛在需求,可以通過設(shè)置專門的SSID作為語(yǔ)音/視頻業(yè)務(wù)使用,通過劃分VLAN方式實(shí)現(xiàn)語(yǔ)音終端僅僅與語(yǔ)音網(wǎng)關(guān)進(jìn)行通信,保證語(yǔ)音業(yè)務(wù)與數(shù)據(jù)業(yè)務(wù)隔離開來。3.3.2多媒體業(yè)務(wù)的QOS支持：在無(wú)線系統(tǒng)中,WLAN部分非常重要的就是QoS。而對(duì)于涉及到語(yǔ)音、視頻業(yè)務(wù)的無(wú)線系統(tǒng)系統(tǒng),通信質(zhì)量尤為重要,是事關(guān)系統(tǒng)質(zhì)量的關(guān)鍵指標(biāo)。QoS的總體思想就是保證實(shí)時(shí)語(yǔ)音、視頻等業(yè)務(wù)在最高的優(yōu)先級(jí)。華三的WLAN系統(tǒng)在所有的層次保證了用戶數(shù)據(jù)的最高質(zhì)量的優(yōu)先級(jí)調(diào)度。WLAN系統(tǒng)的QoS如圖所示,在無(wú)線控制器和AP之間是通過隧道通信,不同的無(wú)線控制器之間也是通過隧道通信,業(yè)務(wù)的QoS保證是在三個(gè)層次內(nèi)完成的,有AP的QoS保證,無(wú)線控制器的QoS保證和L3的QoS保證。應(yīng)用層數(shù)據(jù)與WLAN優(yōu)先級(jí)的映射：基于DiffServ的QoS映射：AP進(jìn)行WMM與COS/TOS之間映射AP與無(wú)線控制器之間基于隧道的到TOS、DSCP的QoS映射：無(wú)線控制器之間基于隧道的TOS、DSCP到COS的QoS映射：L3交換機(jī)/無(wú)線控制器之間進(jìn)行COS與TOS、DSCP之間的映射：業(yè)務(wù)類型WMMLayer2CoS〔802.11p/Q>Layer3IPPrecedence〔TOSLayer3DSCPBackground0000330x6024BestEffort110x208220x4016Video440x8032550xa040Voice660xc048770xe056基于DiffServ的隊(duì)列調(diào)度AP在輸出接口支持多個(gè)隊(duì)列,按優(yōu)先級(jí)調(diào)度語(yǔ)音流和會(huì)議電視放入嚴(yán)格優(yōu)先級(jí)隊(duì)列PQ中,流媒體和關(guān)鍵數(shù)據(jù)業(yè)務(wù)放入CBWFQ。華三的WLANAP設(shè)備可以支持二層優(yōu)先級(jí)〔802.1p/Q>,三層優(yōu)先級(jí)數(shù)據(jù)〔TOS到WLANMAC層優(yōu)先級(jí)的映射,并且可以數(shù)據(jù)的類型,將不同類型的報(bào)文使用不同的優(yōu)先級(jí)傳輸。具體的QoS配置參數(shù)如下：在AP的QoS范疇內(nèi),不僅僅繼承了IEEE802.11802.11NMAC里面所規(guī)定的CSMA/CA<載波偵聽多路訪問/沖突避免>的DCF〔分布式協(xié)調(diào)功能機(jī)制,華三WA2620X-ANGP更加實(shí)現(xiàn)WMM所規(guī)定的EDCF〔增強(qiáng)型分布式協(xié)調(diào)功能。也就是將業(yè)務(wù)分為不同的4個(gè)隊(duì)列Backgournd,BestEffort,Video和Voice,就可以把不同的業(yè)務(wù)類型放入不同的隊(duì)列中,根據(jù)國(guó)電大樓無(wú)線網(wǎng)絡(luò)的特殊應(yīng)用,我們?cè)O(shè)定AP的QoS配置如下表業(yè)務(wù)類型AP級(jí)別的QoS配置實(shí)時(shí)視音頻流6~7實(shí)時(shí)視頻流〔上行監(jiān)控4~5實(shí)時(shí)信息流1~2數(shù)據(jù)流0、3在L2優(yōu)先級(jí)配置的范疇里面,根據(jù)業(yè)務(wù)應(yīng)用的特點(diǎn)將不同的業(yè)務(wù)放入了不同的優(yōu)先級(jí)隊(duì)列,如下表所示業(yè)務(wù)類型L2優(yōu)先級(jí)隊(duì)列實(shí)時(shí)視音頻流6~7實(shí)時(shí)視頻流〔上行監(jiān)控4~5實(shí)時(shí)信息流1~2數(shù)據(jù)流0、33.4無(wú)線網(wǎng)絡(luò)管理：3.4.1由于安全性是未來網(wǎng)絡(luò)不可或缺的一環(huán),而使用者認(rèn)證可說是各種安全政策的最基本功能,唯有確認(rèn)使用者身分,才能談到進(jìn)一步的授權(quán)問題。華三無(wú)線管理系統(tǒng)可以進(jìn)行本地?cái)?shù)據(jù)庫(kù)的認(rèn)證,亦可支持外接的認(rèn)證服務(wù)器,例如在網(wǎng)絡(luò)認(rèn)證上通用的RADIUS服務(wù)器,由RADIUS并依其認(rèn)證結(jié)果分別授與使用者不同的權(quán)限,并有使用者群組功能,讓管理者依策略需要訂成不同的群組,以群組為單位設(shè)定其權(quán)限,然后把個(gè)別使用者歸類到不同的群組中；如此一來不必每個(gè)使用者去設(shè)定不同權(quán)限,只要將組織所需要的權(quán)限做成數(shù)個(gè)群組,然后依使用者需求將其歸類,且若使用者權(quán)限有所變動(dòng),只要將其歸類到不同群組即可,簡(jiǎn)化管理工作。3.4.2無(wú)線網(wǎng)絡(luò)建成后,管理者可在中心端集中管理所有AP及無(wú)線控制器,訂定統(tǒng)一的安全管理策略并落實(shí)之,在線監(jiān)控所有無(wú)線網(wǎng)絡(luò)活動(dòng)和性能,并定期產(chǎn)生報(bào)表。華三WA2620X-ANGP在設(shè)計(jì)上即負(fù)擔(dān)兩種任務(wù)：提供正常無(wú)線網(wǎng)絡(luò)使用者接入網(wǎng)絡(luò)的服務(wù)及偵測(cè)其射頻范圍內(nèi)是否有其它私接無(wú)線網(wǎng)絡(luò)設(shè)備；一旦發(fā)現(xiàn)私接無(wú)線網(wǎng)絡(luò)設(shè)備,即通知網(wǎng)管軟件,由管理人員決定要認(rèn)可此設(shè)備為新的合法設(shè)備或者做干擾動(dòng)作。本項(xiàng)功能為本套全方位解決方案特色之一,不需要額外提供其它軟硬件。3.5IPV6H3CWLAN產(chǎn)品實(shí)現(xiàn)了IPv4/IPv6雙協(xié)議棧。AP本身支持IPv6注冊(cè)通信,AP和無(wú)線控制器之間亦可以穿過IPv6網(wǎng)絡(luò)互聯(lián),從而使組網(wǎng)方式更加靈活,可以滿足今后網(wǎng)絡(luò)發(fā)展的需要,保護(hù)用戶投資。3.6負(fù)載均衡AP上支持標(biāo)準(zhǔn)的IAPP協(xié)議框架,通過負(fù)載均衡的部署,可實(shí)現(xiàn)在一個(gè)熱點(diǎn)內(nèi)用戶平均分配到所部署的所有AP上,達(dá)到在一個(gè)服務(wù)區(qū)AP接入用戶數(shù)何流量的平衡,為用戶提供更高的服務(wù)質(zhì)量。具體可部署的負(fù)載均衡策略有：對(duì)所有AP設(shè)置基于用戶數(shù)的負(fù)載均衡功能,AP通過對(duì)接入用戶數(shù)的統(tǒng)計(jì),與設(shè)定AP接入用戶數(shù)量閥值比較,達(dá)到閥值后,不允許新的用戶接入。對(duì)所有AP設(shè)置基于流量的負(fù)載均衡功能,AP通過對(duì)接入用戶流量的統(tǒng)計(jì),與設(shè)定AP上流量漏桶閥值上沿比較,達(dá)到閥值后,不允許新的用戶接入,少于閥值下沿,再允許新用戶接入。配合網(wǎng)絡(luò)規(guī)劃,設(shè)置AP群功能,在一個(gè)群內(nèi)的AP通過組播報(bào)文實(shí)時(shí)通報(bào)接入用戶數(shù)量,當(dāng)發(fā)現(xiàn)AP間用戶數(shù)差值大于設(shè)定閥值,接入用戶多的AP將部分用戶趕下網(wǎng)。3.7供電問題：由于本次無(wú)線網(wǎng)中AP設(shè)備數(shù)量較多,AP布放位置根據(jù)實(shí)際覆蓋效果而調(diào)整,在已建設(shè)完成的建筑物上較難進(jìn)行本地供電,基于標(biāo)準(zhǔn)的802.11N實(shí)現(xiàn)對(duì)AP的POE供電。3.8.1覆蓋效果理論計(jì)信號(hào)強(qiáng)度和傳輸距離的換算公式AP加卡的信號(hào)總強(qiáng)度公式：Gt－Gr＋AP天線增益＋終端天線增益＝L信號(hào)總強(qiáng)度〔dBGt〔AP或終端功率,單位dB,Gr〔終端或AP靈敏度,單位dB距離產(chǎn)生的信號(hào)衰減公式：40＋20lgd＝L1〔dBd〔距離,單位m工程中最大傳輸距離以45m計(jì)算,所以L1＝72dB障礙物的衰減：物體dB地板30帶窗戶的磚墻2辦公室墻6辦公室墻的金屬門6磚墻的金屬門12.4靠近金屬門的磚墻3工程中實(shí)際的障礙物的最大衰減是臨窗墻的衰減3dB加上房間墻的衰減12dB等于15dB。四無(wú)線網(wǎng)絡(luò)規(guī)劃4.1頻率規(guī)劃IEEE802.11N設(shè)備可以同時(shí)工作在2.4GHz和5GHz頻段,工作頻率帶寬為83.5MHz,劃分為14個(gè)子頻道,每個(gè)子頻道帶寬為22MHz；互不干擾的子信道有3個(gè)。與蜂窩網(wǎng)類似,3個(gè)互不干擾信道可以進(jìn)行頻率復(fù)用,但應(yīng)確保使用同一信道的AP之間應(yīng)有足夠遠(yuǎn)的距離,避免干擾。理想的WLAN部署情形如圖7所示。圖7理想的WLAN部署情形AP覆蓋區(qū)域之間應(yīng)有重疊區(qū),以保證無(wú)縫覆蓋和適應(yīng)負(fù)載均衡。4.2容量規(guī)劃隨著WLAN的普及,出現(xiàn)了一些用戶密集的熱點(diǎn)區(qū)域,這些區(qū)域是WLAN設(shè)計(jì)的難點(diǎn)和重點(diǎn),由于校園內(nèi)電腦密集,宿舍樓一帶存在著大量室內(nèi)型小功率AP,使用的信道也很沒有規(guī)律。下面討論AP接入能力、干擾對(duì)WLAN速率的影響幾個(gè)方面的問題。單AP接入能力由于WLAN采用CSMA/CA機(jī)制,如果接入用戶過多,那么同一時(shí)刻發(fā)生沖突的概率明顯增大,也必定會(huì)延長(zhǎng)每個(gè)用戶等待的時(shí)間,而使得系統(tǒng)帶寬閑置；如果用戶超過一定的限度,會(huì)導(dǎo)致系統(tǒng)的癱瘓。工程設(shè)計(jì)上一般每AP接入用戶數(shù)在20～30臺(tái)左右應(yīng)該比較合適。4.3信道干擾4.經(jīng)過測(cè)試,使用2.4GHz頻段的設(shè)備中,藍(lán)牙等小功率設(shè)備對(duì)WLAN網(wǎng)絡(luò)的影響很小,可以忽略；微波爐等大功率設(shè)備對(duì)WLAN網(wǎng)絡(luò)的影響較大,在網(wǎng)絡(luò)設(shè)計(jì)時(shí)應(yīng)注意遠(yuǎn)離此類設(shè)備。圖8是微波爐對(duì)WLAN〔802.11b傳輸速率影響的曲線圖。圖8微波爐對(duì)WLAN〔802.11b傳輸速率影響的曲線圖從圖中可以看出,WLAN設(shè)備靠近干擾源時(shí),傳輸速率迅速下降。由于某某大學(xué)主要的大功率微波設(shè)備只存在于教工宿舍區(qū)和部分實(shí)驗(yàn)室,因此影響不大?；究梢院雎圆挥?jì)。4.WLAN采用的直接序列擴(kuò)頻技術(shù)的擴(kuò)頻碼是標(biāo)準(zhǔn)的,不同的設(shè)備使用相同的擴(kuò)頻碼,因此相鄰小區(qū)不能使用相同頻率,否則將造成同頻干擾。就某某大學(xué)的方案設(shè)計(jì)而言,除考慮本方案中100多個(gè)AP信道之間的干擾外,也須充分考慮校園內(nèi)已有AP的影響,尤其在宿舍區(qū)。圖9、10分別是相距40m的兩個(gè)802.11b的AP使用1、6信道和1、1信道時(shí)的網(wǎng)絡(luò)吞吐量。圖9兩AP分別使用1、6信道圖10兩AP均使用1信道在使用非干擾頻段時(shí),兩AP總吞吐量可以接近11Mbit/s；在同頻時(shí)總吞吐量不足6Mbit/s,此時(shí)2個(gè)AP與非干擾情況下1個(gè)AP的吞吐量接近。所以,在有限范圍內(nèi)單純采用增加AP的辦法是無(wú)法提高網(wǎng)絡(luò)容量的。4.兩信道中心頻率小于25MHz時(shí),信道之間存在重疊區(qū)域,會(huì)有部分干擾。圖11曲線是兩AP信道間隔分別為0～5情況下的總吞吐量曲線。圖11兩AP信道間隔分別為0～5情況下的總吞吐量曲線使用鄰頻可以增加可用頻點(diǎn)數(shù),但會(huì)引入干擾,工程上一般仍采用1、6、11三個(gè)完全不干擾的頻段。對(duì)于使用鄰頻的能否使系統(tǒng)總?cè)萘康靡约疤嵘⑻嵘Ч€有待進(jìn)一步的試驗(yàn)來驗(yàn)證。4.3通過規(guī)避干擾提升網(wǎng)絡(luò)容量,尤其是在小范圍提供大容量的無(wú)線局域網(wǎng)是WLAN設(shè)計(jì)的難點(diǎn)。針對(duì)干擾規(guī)避和容量提升,業(yè)內(nèi)主要有如下幾種建議：充分利用天然隔斷〔如建筑物、墻體等、使用802.11N、降低AP發(fā)射功率、使用扇區(qū)天線或智能天線。利用隔斷進(jìn)行頻率復(fù)用是WLAN網(wǎng)絡(luò)規(guī)劃的基本方法,802.11N的使用主要受限于用戶發(fā)展,這里都不再贅述。下面針對(duì)后兩種建議進(jìn)行簡(jiǎn)單討論。4.3.4降低AP發(fā)射功率可以減少AP的覆蓋范圍,從而增大頻率復(fù)用度。降低AP發(fā)射功率,可以減少AP之間的相互干擾；但是,STA的發(fā)射功率一般為30mW,部分STA設(shè)備的功率用戶是無(wú)法控制的,所以AP與STA之間、STA與STA之間的干擾依然存在,所能帶來的容量提升也有限。況且采用室外覆蓋的方案,對(duì)于AP而言,功率余量已經(jīng)不大,故不建議采用此方法。4.3.5此技術(shù)用于蜂窩網(wǎng)絡(luò),使容量得以提升。WLAN使用扇區(qū)天線或智能天線,可以減少AP之間以及ST