无线wlan覆盖解决方案技术建议书

无线wlan覆盖解决方案技术建议书内容摘要：

换机与 CAMS 系统完成用户认证； 此方式具有的优点：用户认证完成实体主要体现于 CAMS 系统，呈现一个集中模式，便于维护与统一控制，也便于与其它系统的用户信息进行统一管理； 在认证方式上，目前 CAMS 系统支持多种认证 方式。 主要 包括： 认证、 Web 认证。 认证方案介绍 协议是 IEEE在 通过的正式标准，标准的起草者包括 Microsoft， Cisco，Extreme， Nortel 等； 定义了基于端口的网络接入控制协议（ port based work access control），该协议适用于接入设备与接入端口间点到点的连接方式，其中端口既可以是物理端口，也可以是逻辑端口。 华为 3 公司的网络设备对 做了扩充，使其可以基于 MAC 地址进 行网络接入控制。 用户使用 认证的过程如图所示： 9 认证流程示意 图 接入 AP 的 无线终端 采用 模式，首先 接入 AP 的客户端 通过 认证输 入用户名、密码后客户端发起 EAP报文至 AP，在 AP上终结 EAP报文，然后从 AP经交换机 发起 Raduis报文至 CAMS 服务器，由 CAMS 服务器来验证用户名、密码是否匹配，在认证通过以后由 CAMS服务器下发 Raduis 报文至交换机 和 AP通知该用户认证通过， AP 再将相对应的 信道 打开，允许学习 MAC 地址，允许用户上网。 华为 3Com 公司对 认证方式进行了优化，使其可以支持基于 MAC 的用户控制，即一般情况下如果多个用户连接到一个 HUB，其中一个用户认证通过后，其他用户也能够使用网络，但华为 3Com 公司对 认证方案优化后，只有认证通过的用户（ MAC）才能使用网络，其他用户还是不能使用网络。 CAMS 系统与华为 3Com 公司设备（含华为设备）配合实现 认证有两种方式，一是在接入层启用 认证，另一是在汇聚层启用 认证，组网如下图所示：（图中红色线是设备发起认证的数据流，黄色线是 CAMS 回应数据流，以下各图同 ）。 10 CAMS 与华为 3Com 公司设备与组网在接入层启用 认证 接入层启用 认证进行组网时，在接入层设备终结 报文，并转换成 Radius协议报文到 CAMS 进行认证。 这种方式能很好地利用 CAMS 的功能对用户进行控制，如用户通知消息下发、端口绑定（控制到用户接入端口）、用户 IP 绑定、用户 MAC 绑定以及防止用户使用代理等。 汇聚层启用 认证进行组网时，在汇聚层设备终结 报文，并转换成 Radius协议报文到 CAMS 进行认证，这种方式配置管理相对接入层简单，但对用户 的控制力度不如接入层强，如对端口绑定功能就控制不到接入端口。 11 CAMS 与华为 3Com 公司设备与组网在汇聚层启用 认证 WEB 认证方案介绍 WEB 用户上网时，设备强制用户到门户网站，并提供门户网站主页，用户可以免费访问其中的服务。 当要使用互联网中的其他信息时，则必须在门户网站进行认证，只有认证通过后才可以使用这些服务。 WEB 认证用户不需要安装额外的客户端软件。 使用 WEB 认证时，强制 Portal 可以在汇聚层进行，也可以在核心层设备上进行。 使用WEB 认证时不需要安装客户端软件， 使得管理和维护更简单，并同时能利用 CAMS 的功能较 12 好地对用户进行控制，如用户端口绑定、用户 IP 绑定、用户 MAC 绑定等，但无法做到用户通知消息下发和防止用户使用代理。 WEB 认证与 认证对比 功能 WEB 认证 认证 客户端软件 不需要 需要 客户端 版本限制 不支持 支持 自动探测并屏蔽代理服务器 不支持 支持 限制多网卡、拨号上网 不支持 支持 显示 当前网络状态及认证状态 支持 支持 异常下线探测功能 支持 支持 消息下发 不支持 支持 对 AAA 服务器的特 别要求 无 无 分布式认证 支持 支持 网络性能影响 低 低 Radius 服务器的性能影响 无 无 标准化程度 低 高 IP 地址浪费 无 无 由于本网属于公众型网络， WLAN 无线网络的覆盖空间是开放的，导致接触网络的用户身份都是不确定的，同时目前影响网络安全的因素对于网络使用者的要求越来越低了， 从网络控制安全性考虑， 在无线网络建设中我们建议采用。 有线无线混合组网下的认证方案 区分有线无线用户 对有线用户和无线用户进行分别 认证 ，有线用户在以 太网交换机上实现认证，无线用户在 WLAN AP 设备上实现认证。 通过在 CAMS 上设定对应的绑定区域，对于只能使用有线上网的用户绑定所有以太网交换机 IP 地址，无线上网用户绑定所有 AP 的 IP 地址，无线和有线均可使用的用户绑定所有交换机、 AP 地址。 设备要求：实现认证的以太网交换机和 AP 设备必须支持标准 Radius协议， 能够 和 CAMS配合实现认证计费功能。 如果要实现华为扩展的 Radius 功能，如防代理、消息下发等功能。 则必须使用对应的华为设备。 13 不区分有线用户和无线用户 不区分有线用户和无线用户， 所有 用户均在交换机上实现接入认证功能， WLAN 设备只透传报文，不进行认证。 环境要求：实现认证的以太网交换机必须支持标准 Radius 协议， 能够 和 CAMS 配合实现认证计费功能。 如果要实现华为扩展的 Radius 功能，如防代理、消息下发等功能。 则必须使用对应的华为设备。 用户管理 CAMS 系统功能强大，操作简单，在用户认证管理上，具有以下特点：  用户绑定功能 CAMS 支持绑定用户名和设备 IP 地址、入端口号、 VLAN ID、用户 MAC 地址、用户 IP 地址等信息，保证用户绑定合法性。 并支持用户 MAC 地址和用户 IP 地址自学习功能，大大减少管理员的录入量。  认证区域绑定功能 通过认证报文上传的认证接入设备 IP 地址， CAMS 系统可实现认证区域绑定功能。 用户上网的区域可被限制在一定范围内，增强了网络的安全性。  防代理功能 针对学校用户， CAMS 提供防代理功能，禁止用户使用代理上网，并支持限制用户使用的客户端，要求用户必须使用专用安全客户端，并强制自动升级，确保认证客户端的安全性。 目前 CAMS 系统的防代理功能必须要与华为 3 交换机配合实现。 华为 AP 暂不支持防代理功能。  用户黑名单管理 CAMS 认证系统支持黑名单管理，支 持手工加入黑名单、自动将欠费用户加入黑名单、自动将恶意登录用户加入黑名单、自动将充值失败超过阈值用户加入黑名单并提供黑名单增强功能：在被试探帐号加入黑名单的同时记录恶意试探机器的 MAC 地址，限制从该 MAC 地址的机器试探该帐号，但被试探帐号可以在其它 MAC 地址的机器上正常使用，保证登录用户的合法性。  用户上网全程监控 CAMS 认证计费系统能对学生上网的全过程进行管理，实现学生上网的实时监测。 对于 14 网络上进行非法操作的学生，具备将用户踢下线的功能，控制学生对网络的使用。 网管方案 鉴于华为 3Com 公 司已经具有大量的设备应用于 医疗卫生 网，在网管方面建议采用我司的 Quidview 产品， Quidview 在设备网管的定位上又增加了综合网管的功能及周边的增值功能，如网上产品版本管理及批理升级的功能； 目前 Quidview 产品可与友商的网管共同集成于第三方网管平台，目前可管理华为 3Com的所有产品，对于其他厂商的产品管理方面取决于设备是否采用标准协议进行实现的； 对于 WLAN 设备来说，与其它华为 3Com 产品的网管工作于一个平台，可以通过购买部件进行升级就可以支持，而部分其他厂商采用独立的一套网管平台进行管理 WLAN 设备。 网络中全部为华为设备 对于全部为华为公司设备的网络，建议采用 Quidview 网管系统。 Quidview 网络管理 系统 为用户提供了灵活的组件化结构，包括网络管理框架（ NMF）、网络配置中心（ NCC）、设备管理 (DM)等组件，用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件。 15 Quidview 支持设备自动发现、拓扑管理、告警管理、性能管理、网管用户管理等基础功能；提供全网的拓扑显示、故障处理、服务器管理等功能。 可以轻松实现路由器、以太网交换机等设备管理、维护功能。 为企业网用户提供了全面的网 络管理功能。 无线网络方案 WLAN 技术 1996 年就已经提出，经历一条曲直的道路，已经逐渐被市场认可了， 对于无线网络， 部基本上采用室内覆盖模式， 考虑到 的建筑结构较为特殊， WLAN 技术很难穿透建筑物，同时又由于 WLAN 属于高频窄波，绕建筑物的能力较弱。 组网方案 建筑的府视图如下图所示： 16 平面建筑结构示意图 的 无线覆盖 空间主要包括： C 区的 18 个病房、机房、护士站、医生办公室、库房、理疗室、备餐间及 D 区的 18 房间、示教室、备餐间、主任办公室、值班护士长办工室、护士值班室、医生办公 室、换药房、护士站等，考虑到工作的必要建议 所以的 空间作相应的覆盖，具有如下： C 区的机房，鉴于的每间的空间不是特别的大，同时 病 房之间不 是 承重墙 ， 建议无线的覆盖方案 的 原则 是 ： 以本着节约、全 覆盖 的 原则，即采用 每一层放置 8 个 AP， 每层的总长度大约为 90 米左右， AP 都将放置在 过道 ，同时满足 覆盖 每一个房间 ； C 区总 和 D 区总共使用： 4+4=8 个 AP，另外， 要 将 C 区到 D 区 空间覆盖 需增加 1 个 AP，则每层共使用 9个 AP；本大楼具有 13 层，并且每层的结构基本一致，则整栋大楼共使用 13*9=117个 AP； 组网 关键问题解决 分层网络构架 构架可运营 WLAN 网络，除了要求 AP（ Access Point）支持宽带无线接入网络的覆盖特性、可运营、可管理特性外，还要求整个网络的开放、兼容、安全、可运营、可管理、可盈利。 在构架 WLAN 公众网络一般基于网络分层的理念，即不同层面的设备承担不同的功能，以达到组合后整网的功能与业务支撑。 目前 WLAN 网络分层模式如下： 17 WLAN 网络体系架构 在实际 WLAN 可运营组网应用中，网络分为用户接入层、边缘汇聚层、业务控制层、业务管理 层。 在此图中，将 Cer网纳入 WLAN业务中的各个业务层，运营商络与 SP都是 Cer网络的外部网络，另外图中涉及到 WIFI 类的终端产品，在次方案中不进行相关的描述。 用户接入层对应设备为 AP（ Access Point），主要承担与终端用户基于 协议的PHY/MAC 层的协议对接，具体包括工作模式、无线鉴权、 ESSID 诊别、 MAC 帧插入、 IAPP、节电模式、 Allow Guest、 MAC 层访问控制、用户接入认证报文承载、动态密钥协商等等。 此外还要保证承载层的高性能、高可靠性。 AP 在设备的设计 上支持了此类功能， 可以与后台系统进行配合完成认证与计费的功能，对于复杂的 NAT、路由策略等其它的高层应用不进行支持。 边缘汇聚层对应设备为 AC（ Access Controller），主要承担 WLAN 网络接入网关的角色，具体可以支持对用户的合法性认证、计费的发起（ Client）、用户管理（访问控制、接入带宽控制、用户的信息绑定），子网内无缝切换的布署、整网安全的布署、整网 QoS 的布署、子网网络设备管理等以及与业务控制层结合提供增值业务如强制 Portal、即插即用、与酒店营帐系统接口等等。 在电信运营商可以由 BRAS 或支持用户管理、认证、计费的汇聚层设备承担， AC 的设备形态可以由 L2/L3与 CAMS 进行配合使用进行完成； 业务管理层主要为 WLAN 网络提供基于网络服务的业务，由于 WLAN 具有宽带网络的特性同时也具备无线网络的特性，因此， 主要为将运运营增值业务而进行准备，在运营商领域中 目前已成熟的宽带价值连业务、移动数据业务均可以 部署其中。 认证点位置 业务模型 ，组网灵活，设备功能齐全，可满足 AP 作为认证点或 CAMS+L2/L3 作为认证 18 点的建网模式，具体如下：  方案一： CAMS+L2/L3 作为集中认证点，同时支持 WEB、 、 PPPOE 认证， L2/L3以下为二层网、 L2/L3 以上为三层网 ；  方案二： AP 作为 认证 点。 推荐方案： 针对校园网的网络现状，优先选择方案一，其次选择方案二，方案一可以简化 AP 点对于各种用户类型的处理，简化将来的业务扩展。 整网安全 塞尔网络的 WLAN 网络 主要 服务于公众 型学生 用户， 运营者 与最终用户 都很 担心安全问题，即用户安全，具体细分包括用户帐号密码的安全，用户上往后计算机内部数据，用户数据在网上传输的安全等。 此外， WLAN 作为运营网络自身的安全也是运营 者 必须考虑的问题。 华为 3Com 公司 WLAN 解决方案可提供端到端的安全部署，能满足公众运营网络的安全要求。  针对终端用户上网认证的用户名密码的安全：。