- 品牌:成格信息
- 型号:cg2013
- 接口:80
- 用户线路数:
- 信令支持:
- 计费方式:
- 机箱尺寸:
- 工作电压:
- 适用范围:
随着网络技术和软件技术的飞速发展,特别是internet/intranet的出现及其相关技术的迅速发展,信息革命带来了全球范围市场竞争的日益加剧,为网络运营的现代化、信息化、自动化水平,需要以科学、先进的手段建立无线网络回传系统。作为面向运营的,具有高兼容性和丰富应用功能的网络平台,为各用户提供便捷、稳定、灵活、安全的无线网络接入和服务。
本建议方案的最终目的是,为用户提供一个安全的、高效的、先进的、适用的、经济的、信息交换网络,保证用户在信息管理系统的基础上健康、高速、有效、稳步地向前发展。
系统架构理念
◆所见即所得的射频规划工具-减少设计成本、提高部署效率
为了有效解决网络建设者在无线网络设计和规划所面临的困难,并有效降低在无线网络设计和规划方面的总体成本。系统提供可视化的无线射频规划和部署工具。该工具将为网络建设者提供最具时效的可视化无线网络部署和规划手段。通过向rf部署工具导入需要实施wlan部署的各区域平面图及其面积、预期的覆盖效果、障碍物材质等参数,rf部署工具将综合考虑整个覆盖区域内三维空间的射频特性,自动输出各覆盖区域的ap 最佳部署位置及预测的覆盖效果。这将为wlan网络的实际部署提供有力的参考,帮助无线网络设计和实施人员快速、准确对整个无线网络进行射频信道规划、射频功率确定及设备布点指导。
◆智能化的射频管理特性-减少射频管理成本、提高射频管理效率
针对无线网络中存在的射频管理难题,系统提供基于集中化或内置于无线控制设备的可视化智能rf管理工具。借助该管理工具所提供的强大功能,系统无线控制设备可以及时发现无线网络中由于接入点失效而产生的射频覆盖黑洞,并通过经优化设计的rf算法协调失效 ap 周边的其它ap资源来完成对覆盖黑洞的有效弥补。同时无线控制设备还可以发现无线网络中存在的射频干扰问题,继而利用经优化设计的rf算法协调整网射频信道资源,从而为受干扰 ap 选择新的可用信道。该新的信道信息会自动下发到受干扰的ap并得到执行,从而快速解决射频干扰问题。当在现有无线网络中为满足覆盖需求而增加新的 ap 时,无线控制设备也可以通过优化的rf算法自动决策并指导新的ap完成无线信道及射频功率的调整,以此实现无线接入点的快速部署。智能化的管理特性可显著提高网络管理者对无线网络的部署和管理效率。
◆强健的网络安全特性-降低安全威胁、避免法律风险
无线网络在某种程度上可以看作是一个开放式的公共网络,因此,为了向网络经营者提供强健安全的现代化无线网络,系统在关系到网络安全的各个层面均提供强健丰富的安全特性。在用户接入安全方面,系统提供802.1x接入认证、psk 认证、mac 接入认证以及portal 认证等。通过aaa服务器与无线控制设备的有机结合,系统可为用户提供基于用户角色的策略控制,这其中包括对用户的qos特性、应用访问权限及无线漫游特性等参数的管理和控制。在无线用户数据安全方面,系统提供 wep、wpa、wpa2 及wapi在内的强健的无线网络加密功能,为无线用户提供不同级别的数据安全保障,满足无线网络各种应用对数据安全的要求。在无线网络环境安全方面,系统智能无线接入点可同时工作在无线接入点和无线监视器的模式。同时,系统还提供完善的wids功能,帮助网络管理者及时发现并响应网络中存在的rogueap 和 ad hoc 主机等不安全因素,并可有效防护发生在无线网络中的dos 攻击。
◆加速投资回报的可运营网络-减少运营成本、改善运营环境
针对现在社会节能环保的切实需求,系统推出全系列采用独特环保理念设计的无线控制器。得益于系统独具特色的动态功率管理特性,该系列无线控制器在保持性能无损的情况下可根据自身运行情况、端口工作状态、线缆的长度和质量等多种因素自动调整供电功率,由此提供比同类型传统以太网交换机降低约30%的超低功耗。
◆最具时效的网络管理手段-降低总体管理成本、提高整网管理效率
针对网络中部署的无线接入点,系统提供集中化的零配置管控能力,允许所有接入点自动发现并与控制设备关联,并提供对接入点的配置信息和软件版本进行自动更新和升级。由此,最大限度减少网络管理人员对无线接入点的维护工作量。为了解决无线接入点设备供电问题,系统全系列无线接入点均提供基于802.3af标准的以太网供电(poe)支持。由此,网络建设可以使用poe供电设备为广泛分布的无线接入点进行集中供电,有效解决在各种环境下部署无线接入点时的电源引入问题,提高部署灵活性、减少部署时间并降低部署成本。同时,通过配合使用系统的poe供电交换机,网络管理者还可以实现对无线接入点工作状态及其耗电情况等方面的远程检测或调整。对于每一个在网络中部署的设备,系统均提供内置于设备的可视化中英文web网管系统。基于该网管系统用户可获得基于统一风格和操作习惯设计的有线、无线集成网管所带来的好处,有效帮助网络管理员以最高的效率完成设备的配置和维护工作。针对整个网络所有设备的集中化管理需求,系统提供全面集成有线、无线管理能力的智能融合一体化网络级大型网管平台。是一个将有线和无线网络管理特性完美融合开发而成的开创性网管平台,除向用户提供风格完全一致的有线、无线网络管理操作手段和全特性的有线、无线管理套件,还提供全面的网络性能、事件、日志和趋势分析能力。借助于丰富强大的管理和分析特性,网络管理员只需操作一套软件即可顺利完成对整体网络的部署、管理和优化,还可快速定位并帮助解决网络中产生的故障。这极大简化了网络维护的复杂性,并有效降低网络运营成本。
◆满足多业务融合的软硬件平台-降低投资风险、提供投资保护
系统为网络运营者交付的全特性无线网络控制和管理设备。全系列产品采用先进的并行多核多业务处理器及高速asic作为业务和数据处理平台。借助于先进的软、硬件产品设计,系统除提供无线用户接入、无线设备管理、无线实时语音、无线视频传送、无线快速漫游等全面无线业务能力外,还可提供高性能的nat、vpn、基于dpi的应用控制、带宽管理等丰富业务特性。同时,系统howay8000系列无线控制器还提供基于芯片级别的ipv6业务特性,可对ipv6数据报文进行硬件级的高速转发,加速各种基于 ipv6 的业务处理能力。
wifi热点区域无线网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。
本方案根据实际无线网络覆盖需求,基于系统整体化无线网络架构方案,按照网络架构进行模块化分层部署设计。无线网络作为底层通信平台,采用业界先进的瘦ap+ac部署方式,在业务上基于分布式转发方式进行架构,具有极强的可靠性、扩展性和易维护性;结合系统独有的安全专利技术,从接入认证、数据加密、安全策略等多个角度进行安全一体化设计,充分保证无线数据通信的安全性和完备的无线系统防御措施。系统无线整体化解决方案,将无线漫游技术、射频信号优化技术、安全加密技术、综合管理系统、业务功能设计等进行分层模块化部署设计,将系统资源有效整合,充分发挥设备功能、性能优势,提供高质量、高可靠性的无线网络。
方案重点阐述了wlan网络建设总体解决方案,主要包括系统总体架构,详细组网方案,支撑系统和接入系统,业务实现方案,安全系统方案,portal和radius技术要求以及系统接口要求。
2.1 无线网络总体架构
本方案中,ap与ac使用二层架构部署,即ap管理地址与ac处于同一ip子网,ac设备负责ip网段划分和数据路由转发。二层架构清晰明确、系统具有更高的数据转发性能。由于中间无需进行三层处理,故可以保证数据链路的高带宽、低延迟、无抖动。汇聚交换机与接入交换机之间采用全千兆trunk链路。汇聚交换机下连所有接入交换机,对所有链路进行集中汇聚,对所有数据进行交换转发。汇聚交换机设备采用高性能全千兆三层交换机,以提供稳定、可靠、全线速的数据转发服务。接入层设备采用二层全线速千兆交换机,其中上行链路采用千兆接口。接入交换机下挂ap,为ap提供上行链路和poe供电功能。从ap到汇聚交换机全部为二层接入,以达到更高的转发性能。无线信号穿越门、窗、墙等障碍物会有衰减,因此,无线信号和覆盖场所的物理格局关系密切。系统无线ap的覆盖原则是,首先保证覆盖区域内,ap与无线终端之间无线信号的有效交互,其次,保证覆盖区域内每个终端的覆盖带宽要求。
考虑到无线网络中庞大的用户群和视频、下载类高带宽业务需求,以及对数百台ap的大流量处理要求,如果采用集中式转发的架构模式,ac很容易成为性能瓶颈。因此方案中采用分布式转发模式。控制、管理报文通过无线控制器进行统一处理,数据报文在无线ap上直接转化为以太网格式的报文,不需要通过隧道封装交无线交换机处理,从而解决无线控制器的数据转发性能瓶颈问题。
在该方案中,应包括如下设备:
n 无线控制器,实现对ap及接入终端的集中式管理。
n 无线接入ap,实现优化、无缝的无线信号覆盖和数据分布式转发。
n poe交换机,为ap提供上行链路及对ap 进行poe供电。
2.2 无线网络功能设计
1) 零配置/即插即用功能:ap上不需要进行任何配置,只要接入到网络就可以工作
2) 软件自动升级功能:ap的软件完全实现自动升级
3) 批量配置功能:对连接到无线控制器的众多ap进行批量配置
4) 动态信道分配功能:无线控制器可以为ap自动分配信道,并在受到干扰时切换到最优信道
5) 自动发射功率调整功能:ap发生故障后,邻居ap可以提高自身功率,以弥补覆盖空洞
6) 网络负载分担功能:既可以实现用户在不同ap下的负载分担,也可以实现ap在不同无线控制器下的负载分担
7) 快速切换功能:用户在同一无线控制器的不同ap之间漫游时,可以大大提高切换速度,切换时延只有8~9毫秒
8) 跨区组网功能:对于分散在不同区域的ap依然可以通过城域网连接到无线控制器,而且ap无需任何配置
9) 跨ip子网漫游功能:无线工作站无需作任何改动,可以在不同的ip子网进行无缝漫游
2.3 ip地址规划设计
n 用户终端的ip地址
考虑到wlan业务用户移动的特点及网络管理的需要,应为用户分配公有ip地址。wlan用户终端通过dhcp协议获得动态ip地址的同时,获得缺省网关及dns地址。
n 设备ip地址
根据wlan接入设备的部署和网管需要,为ap分配公有ip地址,为接入控制器分配公有ip地址。对于有ip城域网的城市,wlan接入设备ip地址的分配应该和城域网ip地址的分配统一规划。
对ip地址编址设计和分配利用,遵循了以下原则:
1、自治:整个网络被划分成几个大的自治区域,每个大自治区域中又被划分成几个中等的自治区域,再将中等自治区域划分成几个小的自治区域。
2、有序:我们按照自治原则将网络进行逻辑划分后,就根据地域、设备分布及区域内用户数量来进行子网规划。同时,将ip地址规划和网络层次规划、路由协议规划、流量规划等结合起来考虑。为了提高地址分配效率和地址利用率,在编址设计时按照了一定的顺序进行。选择的顺序是自上而下的顺序,即采用领先的自顶向下网络设计(top-downnetwork design)方法。
3、可持续性:考虑到内网络用户数将持续高速增长,网络所要承载的业务量和业务种类越来越多,这使得网络需要频频进行技术升级、改造和扩容。所以,在进行地址分配时本方案充分考虑到了这些因素,为网络的每个部分留有部分地址冗余,这样保证网络的可持续发展。
4、可聚合:互联网日新月异的发展和日益庞大的规模令当初设计互联网络的专家始料不及,在路由表急剧膨胀情况下,可聚合原则是网络地址分配时所必须遵守的最高原则,可聚合原则要求在进行地址规划时,应提供足够的路由冗余功能。
5、尽量节约ipv4地址:由于ipv4地址越来越少,所以对于ipv4地址的使用需要格外节约。ipv4地址的节约可以通过动态编址技术和nat技术等来实现。
6、闲置ip地址回收利用:对于已分配出去的静态ip地址进行定期追踪管理,对长时间闲置的ip地址可经过确认后回收重复利用。
2.4 无线网络安全性设计
wlan利用了不可见的公用媒介进行空中信号传播,安全问题是部署无线的巨大挑战。仔细分析无线网络面临的安全挑战,主要是防止非法窃听、数据篡改,防止非法用户接入,防止恶意攻击(arp攻击、dhcp攻击),防止ap过载(广播风暴),防止不合理应用等。针对以上安全问题,系统无线系统可以提供多标识的用户的接入验证功能,如无线链路接入认证,以及针对用户接入的802.1x、web认证、mac、ssid等多种标识的认证方式。并且,可以提供对无线链路进行加密功能,如wep、wpa、wpa-psk、wpa2等加密方式。实现对所有无线数据进行加密传输
无线网络的安全性设计体现在接入认证、数据加密、安全策略三个层面。接入认证实现对接入无线网络的终端和用户进行接入合法性检查;数据加密对终端和ap之间的数据进行加密处理,防止窃听;安全策略采用用户隔离、ssid隐藏、mac地址过滤等技术手段抵御恶意用户的攻击行为。
ø 接入认证方案设计:
系统无线解决方案可实现丰富的认证方式,可同时支持mac地址认证、预共享密钥认证、802.1x认证、portal认证等,认证方式的多样性保证了应用的灵活性。如果用户网络中已包含ruidius认证服务器,我们建议用户采用802.1x认证或portal认证方式实现对接入用户的准入。也可以在用户现有网络认证系统的基础上进行扩展,把无线系统的接入控制加入到现有认证系统中,实现用户网络认证系统的统一性和完整新。
802.1x认证是一种基于端口的网络接入控制协议,该技术也是用于wlan的一种增加网络安全的解决方案。当客户端与ap关联后,是否可以使用ap提供的无线服务要取决于802.1x的认证结果。如果客户端能通过认证,就可以访问wlan中的资源;如果不能通过认证,则无法访问wlan中的资源。
portal认证也称为web认证,一般将portal认证网站称为门户网站。未认证用户接入wlan后上网时,打开浏览器,portal网关设备将强制用户登录到特定站点,提示用户输入用户名和密码,只有认证通过后才可以使用互联网资源。
若用户现有网络系统中无完整、统一的认证系统,可以采用较为简便的psk预共享密钥认证,psk认证需要在无线客户端和设备端配置相同的预共享密钥,如果密钥相同,psk接入认证成功;如果密钥不同,psk接入认证失败。
ø 数据加密方案设计:
数据加密方案基于wpa、wpa2、802.11i、wapi等国际安全标准。采用wep、tkip、ccmp等加密技术对所有无线数据进行加密处理,防范数据被非法窃听及篡改。保证数据的传输安全。ccmp加密技术采用aes加密算法,128位随机密钥进行加密。同时结合cbc-mac(区块密码锁链-信息真实性检查码)进行认证和完整性校验。系统的无线系统采用了业界先进的无线芯片,支持wep/tkip/aes等硬件加解密算法,使安全处理不成为系统应用的瓶颈。
系统无线系统支持密钥动态协商和更新,在采用tkip或aes加密算法时,相应的密钥均是由动态协商而来,且可以在使用一定的时长或加密数据帧后,进行动态更新。这使得非法无线用户的窃听企图难以得逞。
系统的无线系统除了支持802.11i和wpa等国际标准外,还支持中国无线局域网国家标准gb15629.11-2003中提出的、安全等级更高的wapi。
ø 安全策略方案设计:
1.隐藏ssid,不主动广播ssid信息,终端采取主动寻找方式进行接入,可以防范外来用户使其无法搜索到该ssid的信号,故也无法接入。
2.mac地址过滤功能,只有特许的mac对应的wifi终端才能接入。
3.用户隔离功能,接入同一ssid的用户之间二层隔离,保障二层安全,避免arp攻击、dhcp饿死攻击、广播风暴等二层攻击行为。
系统除了支持wifi通用的安全策略和中国标准的wapi安全标准外,还发明了《一种基于e-card的加密保护方法》、《一种用户和无线点之间的专有加密保护方法》、《一种基于心跳的wlan网络资源防盗方法》三个关于wifi的安全专利。
系统hspp加密技术是一种专有的无线接入点ap(accesspoint)与无线用户(sta)关联过程中的一种保护型的接入方法。在sta与ap已探寻到且处于第一状态(初始状态:即未认证且尚未关联状态)时,在此加入hspp特有的用户身份识别握手过程,即在第一状态(注①)中的认证前,sta发送hspp专有的用户识别码并加密,由ap解密之后判断此识别码是否正确,正确则进入用户认证状态,不正确则丢弃。此发明极大的改善了目前广泛存在的wep以及wpa等传统加密方式密码被破解造成网络资源被盗用的情况。在应用了此发明的ap中,即使网络密码被破解,由于进行破解的人不能发送含有hspp标识的身份验证包,从而导致ap不能对hsp特有的用户识别码进行识别,依然无法接入网络,从而阻止了网络资源被盗用的情况。
用户终端和无线接入点间通过e-card进行接入加密保护的方法,其特征在于所述方法包括以下步骤:步骤a1:用户发送探询请求帧给无线接入点,无线接入点接受探询请求帧后向用户sta发送探询响应帧完成探询;步骤a2:用户接受探询响应帧后,向无线接入点发送用户信息请求验证,无线接入点接受请求并告知用户;e-card和无线接入点分别对专有信息进行加密处理;步骤a3:用户发送专有信息请求帧给无线接入点;无线接入点接受用户发来的专有信息请求帧进行交互认证,并发送专有信息响应帧给用户;当e-card和无线接入点的专有信息认证结果均正确时进行正常认证程序;否则丢弃报文,不予回应。该方法给无线网络又额外增加一份安全保障,拥有e-card,即使wep,wap,wap2被外部攻击后,也难以破解e-card内专有信息,极大的提高了其网络安全性。
系统自主开发的防止盗用网络资源方法,主要用来在网络使用过程中探测非法用户并使其下线。即在sta与ap交互时,加入一种特有的心跳保持帧。它会每隔一定时间由ap发起,sta在收到此帧后会做出相应的响应,而这种相应仅有特制的无线网卡才能发出,从而得以确保接入的所有sta都是合法用户。此发明极大的改善了目前广泛存在的传统加密方式密码被破解造成网络资源被盗用的情况。在应用了此发明的无线接入点中,即使网络密码被破解,由于破解者不能响应ap发送的心跳保持帧,从而导致无线接入点不能检测到对自己所发送的心跳保持帧的响应,依然无法接入网络,即使已经接入网络的用户也会在被检测时发现并强制其下线,从而阻止了网络资源被盗用。
2.5 无线网络管理框架设计
本方案无线网络的管理分为两个层次两级管理。第一层是接入层的ap,第二层是无线控制器ac,第一层的ap无需单独维护,全部交给第二层的ac进行统一的配置管理,包括安全策略、qos策略、rf射频管理和漫游管理。在本方案中,ac设备是整个无线系统的核心,体现在对所有ap设备的集中式管理、数据集中转发,为接入用户提供安全、数据、漫游、qos等服务。
集中式无线网络管理方案大大提高了用户对网络系统的易维护性,在ac上实现对所有ap、接入用户的状态监视、配置管理,远程操作等。ac设备集成dhcp服务、radius认证服务、portal认证服务,为客户提供统一的管理界面。瘦ap和无线控制器系统有非常强大的集中管理功能,所有的关于无线网络的配置都可以通过配置无线控制器器统一完成。例如开通、管理、维护所有ap设备以及移动终端,包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户等所有功能。系统ac产品为web图形化界面设计,提供友好、简捷的人机界面,方便用户维护、管理。
2.6wlan频率规划
wlan802.11b/g/n工作在2.4ghz频段,频率范围为2.400~2.4835ghz,共83.5m带宽,划分为13个子信道,每个子信道带宽为22mhz。子信道分配如图3-1所示。
wlan 802.11b/g工作频段子信道分配
wlan802.11a工作在5.8ghz频段,频率范围为5.725ghz~5.850ghz,共125mhz带宽,划分为5个信道,每个信道带宽为20mhz。子信道分配如图3-2所示。
wlan 802.11a工作频段子信道分配
在使用2.4ghz频点时,为保证信道之间不相互干扰,要求两个信道之间间隔不低于25mhz。在一个覆盖区内,最多可以提供3个不重叠的频点同时工作,通常采用1、6、11三个频点。5.8ghz的5个频点互不重叠,可在同一覆盖区域内使用。
wlan频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。室分合路方式原则上只能采用2.4ghz频段;室内放装和室外布放方式优先采用2.4ghz频段,若无法避免2.4ghz频段同频干扰,或为增加系统容量,可引入5.8ghz频段。
同一楼层覆盖区域内使用3个ap示意图
三个楼层ap频率规划示意图
wlan使用频段规划原则:
1)在一个ap覆盖区内直序扩频技术最多可以提供3个不重叠的信道同时工作。考虑到制式的兼容性,相邻区域频点配置时宜选用1,6,11信道。
2)频点配置时首先应对目标区域现场进行频率检测,对于覆盖区域内已有ap采用的信道,应尽量避免采用。
3)对于室外区域干扰宜采用调整天线方向角,避免天线主瓣对准干扰源的方式或调整功率。
4)对于室内区域存在多套室内覆盖系统的情况,应充分考虑其他运营商使用的频段,设计时预留必要的保护频带,以满足干扰保护比的要求。
5)室外ap覆盖区频点配置时,为了实现ap的有效覆盖,避免信道间的相互干扰,在信道分配时宜引入移动通信系统的蜂窝覆盖原理。对1,6,11信道进行复用。
6)室内ap覆盖区频点配置时应充分利用建筑物内部结构,从平层和相邻楼层的角度尽量避免每一个ap所覆盖的区域对横向和纵向相邻区域可能存在的干扰。
7)系统设计时应注意避免干扰源的影响。
2.7 防干扰设计
来自wlan网络外部的干扰也分为wlan干扰和非wlan干扰。wlan干扰主要包括rogue设备、邻居wlan网络、adhoc网络等。wlan工作在ism频段,除了wlan设备外,还有许多非wlan设备也工作在该频段,如微波炉、无绳电话、蓝牙设备、无线摄像机、户外微波链路、无线游戏控制器、zigbee、wimax等等。非wlan干扰源会干扰wlan信号,导致wlan信号无法被正确接收。还有一些非ism频段上的设备会在ism频段上产生射频信号泄露,当临近距离很近的情况下,会对wlan设备形成干扰。
对无线干扰的避免和消减,系统提出了以下7种解决措施和专利技术:
n 网络部署勘测和优化。
即在部署网络时需要勘测部署环境、各种阻挡物的衰减系数、规划网络的应用服务、规划ap覆盖范围、选择ap安装位置、选择合适的发射天线等。没有良好的网络部署,很难达到最佳的网络性能。
nmimo多入多出技术,抗多径衰落和多径传输干扰;
mimo是在发送和接收端使用多个天线来同时增加数据传输速率和范围,天线上的各个信号会使用发送端和接收端上的不同传输路径。各个信号都在传输路径上跨越不同的障碍物,到达天线时信号会有些差别。在当前的无线技术,被反弹回来的信号会妨碍正确的信号接收,但通过mimo,接收端能够使用多个信号来重建原始的数据流。这样传输路径上被反弹的信息实际上帮助了接收端进行信号的重建,这意味着ap设备可以支持更大距离的传输,并且它的信号盲点会比bg的技术少,提升信号传输的质量。
n采用基于mimo技术的双极化天线。
网络覆盖最终是通过天线来实现的,因此网络覆盖质量、干扰控制等都很大程度上依赖于线选型的正确性。我们在天线选择上严格考虑天线的技术性能,主要包括:工作频段、增益、极化方式、波瓣宽度、预置倾角、下倾方式、下倾角调整范围、前后抑制比、副瓣抑制比、零点填充、回波损耗、功率容量、阻抗、三阶互调等。机械性能主要包括:尺寸、重量、天线输入接口、风载荷等。
无线信号根据极化方向的不同可分为垂直极化和水平极化,垂直极化的信号和水平极化的信号不会相互叠加干扰。而常规的天线的极化方向都是垂直极化,特别是常见的的家用级wlan产品和非wlan网络。这样,采用双极化天线,只会对垂直极化的空间流形成干扰,而水平极化的空间流几乎不受影响。采用双极化天线,即使在外界射频噪音较大的环境中,也可以有效保证水平极化的空间流不受干扰影响。
nrrm(射频资源管理),即对整个网络中的各个ap进行功率优化和信道优化;
射频资源管理(radio resourcemanagement,rrm)的目标是在有限带宽的条件下,为网络内无线用户终端提供业务质量保障,其基本出发点是在网络话务量分布不均匀、信道特性因信道衰弱和干扰而起伏变化等情况下,灵活分配和动态调整无线传输部分和网络的可用资源,最大程度地提高无线频谱利用率,防止网络拥塞和保持尽可能小的信令负荷。无线资源管理(rrm)的研究内容主要包括以下几个部分:功率控制、信道分配、调度、切换、接入控制、负载控制、端到端的qos和自适应编码调制等。
n 报文发送速率调整,动态计算每个报文发送速率。
ap设备能够针对每个client每次发送报文或重传报文时,都会考虑client的信号强度、历史发送信息等,动态计算当前报文合适的发送速率。当发送失败时,可以根据不同环境采用不同的速率调整算法。例如,高密度部署环境下,当采用高速率导致报文发送失败时,不会采用非常低的速率来重发报文。这是由于高密度环境下,报文发送失败一般是由报文冲突引起的,采用非常低的发送报文时,只会导致发送报文的空口时长变长,影响的范围更大,从而导致更大可能的冲突,引起其他ap也进一步降低发送速率,使得整个网络处于低性能状态。而只采用高速率重传,即使多次发送不成功,也可以利用上层的重传机制,最终不影响上层应用的可用性。
n 逐包功率、速率控制;
逐包功率控制和rrm动态调整ap功率的目的一样,在于减少同频ap之间的干扰。ap设备在发送每个报文时,都会根据client的rf状态调整当前报文的发送功率。逐包功率控制能够最大程度减小信号发送影响的范围,还能同时保证ap的覆盖范围。能够针对每个sta每次发送报文或重传报文时,都会考虑sta的信号强度、历史发送信息等,动态计算当前报文合适的发送速率。当发送失败时,可以根据不同环境采用不同的速率调整算法。例如,当采用高速率导致报文发送失败时,不会采用非常低的速率来重发报文。这是由于高密度环境下,报文发送失败一般是由报文冲突引起的,采用非常低的发送报文时,只会导致发送报文的空口时长变长,影响的范围更大,从而导致更大可能的冲突,引起其他ap也进一步降低发送速率,使得整个网络处于低性能状态。而只采用高速率重传,即使多次发送不成功,也可以利用上层的重传机制,最终不影响上层应用的可用性。
nap产品rf输出指标远超出业界水平,最大灵敏度达-98db,evm输出指标可达-29db以下。
evm(误差向量幅度)是测量调制精度与发射机性能的一个直接测量指标。从质量上讲,evm反映了误差向量,它定义为信号星座图中测量信号与理想无差错点之间的差别。测量信号在幅度和相位方面均不同于理想信号。这个只表示衡量发射机输出性能的重要指标,evm越小,说明输出指标越高,输出的信号质量越高。
ap产品经过前置lna技术,使得产品具有超高的接收灵敏度,比业界同等高出5db,最大灵敏度达到-98db;ap灵敏度高有助于扩大覆盖距离,同样功率输出的sta,ap能得到更高的信噪比。
2.8 wlan系统无缝漫游设计
在wifi网络中,用户终端通过关联ap广播的ssid进行wifi接入。移动漫游过程中,用户终端会对关联的ap进行切换,在切换过程总,不可避免的将发生“切断上一个连接、关联下一个连接”的过程,导致用户上网体验中断和业务丢包现象。由于无线局域网采用类似于移动通信网中的“蜂窝”覆盖方式,来实现大面积覆盖,当终端在移动一点到另外一点的移动过程中,不可避免的需要从一个ap切换到另外一个ap,在切换过程中,移动终端需要进行“取消关联”及“重关联”的操作,此外,在有后台认证系统存在的情况下,用户还需要进行重认证、sessionkey重分发及重新分配ip地址的过程,这种方式无法满足一些对时延非常敏感的业务诸如vod点播、vowlan等的支持,因为传统无线网络的漫游只停留在ieee802.11协议层上,并没有对用户会话进行完整性保持。
而在本方案中,我们采用基于系统hacip漫游切换控制技术,该方案以无线控制器为核心,对所有ap上接入的用户采用统一会话管理,所有已认证终端均在中心无线控制器中保存相应会话,ap仅仅只负载传输用户数据,因此无论终端移动到哪个ap下,用户信息和授权都在无线控制器所管辖的移动域内快速的交互,可以有效保持会话完整性及可靠移动性的前提下实现无缝漫游。最终使得终端漫游切换时间控制在30ms-50ms之内,漫游切换丢包率控制在0.5%以下。
基于hacip技术的漫游切换过程
用户在ap1的范围内,通过ap1与网络进行连接,当用户处于ap1与ap2交叉范围内时,用户在与ap1连接的同时,与ap2做好连接的准备,当用户到达ap2的范围时,通过ap2与网络进行连接,用户感觉不到ap的切换造成的网络中断现象。
系统hacip快速漫游切换技术特点如下:
n 无线漫游过程对无线终端而言透明化
n 无线终端漫游过程中,ip地址和tcp连接保持不变,不影响用户的上层业余
n 漫游切换过程小于30ms
n 漫游过程中,无线终端不改变ip地址,无需重新认证
2.9 ac双机备份方案设计
ac备份方案的实现是:一台ac主用处理各种业务,另一台ac备用,只负责与ap间capwap保活报文的处理,在masterac故障时改变自身角色,成为新的masterac处理各种业务。
ac建立主从关系后,ac间不断的发送保活报文,检测主用ac是否正常。keepalive报文的交互是基于毫秒(ms)级的。通过ac上ap优先级值的配置,可以人为选择ac对ap的控制范围。ap与ac关联时,会选择与优先级值高的ac关联为主用。优先级值范围是0~7。当ac优先级值设置为0~6时,ac发生热备切换,原主ac恢复后,ap不会再次切换回原ac;当ac优先级值设置为7时,原主ac恢复后,ap会再次切换回原ac。ac热备主从切换过程是快速的,给ap下接入客户端的通信服务带来的影响非常小。
在ac的1+1备份方案中,双ac同时与ap建立隧道,当主acdown掉后,备份ac可以在毫秒级(例如100ms)内完成检测,并完成ap的主备倒换。网络中的ap通过capwap协议与两台ac关联。ap从主用ac上获得所有的服务,slaveac不提供服务,只负责发送master ac down的信息。对端ac故障事件发生后,slaveac会转变为masterac,同时ap转到新master ac上获得服务。
2.10无线接入认证系统的集成
根据无线网络认证接入需求,本方案设计无线网络认证采用学校现有的认证系统实现,要求实现无线网络与学校现有的认证系统的无缝对接。系统无线控制器集成标准的radius、ldap对接接口和标准化的数据接口,可是实现与学校现有的认证系统进行对接,能够与wifi热点区域radius、ldap服务器联动,接口能从ldap平台获取用户角色信息,能够对用户身份进行验证。并能通过无线网络下发对不同用户实施的差异化管理策略和用户权限。
无线网络系统方案设计基于分布式转发策略进行部署,由单独的vlan承载无线业务数据。用户的ip地址既可以由ac下发也可以由用户现有的dhcpserver下发。对于用户接入认证数据可以不经过ac直接由核心交换机转发至认证系统,当无线业务数据通过ap接收后,基于802.11标准的数据帧转换为基于802.3标准的以太网数据帧。无线网络部署采用透传方式,即wlan设备本身不会改变数据帧里面的ip包文结构。无线数据对上层有线网络和认证系统透明,固用户现有的认证系统可完全对无线用户进行身份认证和管理。
无线网络与认证系统对接后,形成完整的无线网络业务系统。用户管理、用户身份合法性验证、用户身份类别的识别、不同用户的差异化管理、用户流量控制等策略都可以在学校现有的认证系统上实现。并且上网行为管理设备(金盾cnm-x5000)可以进行用户上网行为的记录。
wlan用户认证模型
本方案中,wlan业务用户的认证主要采用帐号/密码的认证方式,基于portal认证方式实现,具体认证模型如下图所示:
1) wlan用户终端
wlan用户终端指支持802.11a/b/g/n标准的wifi终端设备,如笔记本电脑,ipad,具有wifi功能的手机。
2) wlan认证接入点
wlan认证点检查连接用户是否已经通过用户认证,并和后台wlan认证服务器协同工作完成对wlan用户的认证。用户通过认证后,wlan认证点允许用户接入到ip数据网络上。目前,当采用基于web的帐号/密码认证方式时,wlan认证点为接入控制器。
3) wlan认证服务器
wlan认证服务器使用radius用户认证服务器,完成基于帐号/密码方式的用户认证。
用户帐号/密码的获取
用户在第一次使用wlan业务之前必须通过向校方相关机构申请wlan用户帐号和密码,以后可以根据需要修改自己的wlan业务密码。(或者使用有线网络的账号和密码)
用户管理
wlan用户的管理主要是对wlan业务用户数据库的管理,wlan业务用户数据库包括用户id,用户认证信息,业务属性信息,计费信息等。wlan用户的管理主要有用户数据库的创建,删除和更新。
使用帐号/密码认证方式时,radius系统需要建立wlan用户认证信息数据库。认证信息数据库存储wlan用户信息,包括认证信息,业务属性信息,计费信息等等。当radius用户认证服务器对wlan用户认证时,通过数据库存取协议存取数据库中的用户授权信息,检查该用户是否合法及使用权限等。
1) 用户数据库的创建
当用户第一次申请wlan业务帐号/密码时,radius认证服务器为用户创建wlan用户数据。
2) 用户数据库的更新
用户数据库的更新包括用户静态密码的更新,动态密码的分发,用户状态(如正常、加锁、注销)的更新,及业务属性(如套餐申请、套餐取消)的更新。
注册用户的静态密码更新可以通过portal提供的自服务页面完成,还可以通过短信修改、重置用户静态密码。当用户的密码或者业务属性发生变化时,如果用户正在使用wlan数据业务,需要对该用户重新认证。
用户认证流程
使用wlan接入用户方式,既要满足用户对internet网络资源高速访问的需求,还要提供多种安全机制,包括:访问控制、用户验证、安全管理等技术,以便于运营商在网络建成后更好的运营和维护。wlan系统采用基于web认证方式来对用户进行鉴权、授权、计费,保证网络的安全和对网络资源的控制。
web认证是用户使用web的方式,通过在浏览的页面中输入用户名和密码实现用户的认证。web认证是目前比较流行的认证方式。它不需要特殊的客户端软件,与系统平台无关,使用dhcp得到ip地址,没有额外的封装开销,并支持多播协议。
n dhcp+web流程
u dhcp+web认证请求流程
dhcp+web认证请求流程如下图所示:图3-1 dhcp+web认证请求流程
u dhcp+web正常下线流程
dhcp+web正常下线流程如图3-2所示:
图3-2 dhcp+web正常下线流程
u dhcp+web异常下线流程
dhcp+web异常下线流程如图3-3所示:
图3-3 dhcp+web异常下线流程
portal页面推送
用户通过web浏览器发起internet访问请求后,接入控制器可以将该请求强制到portal服务器,portal服务器接收强制portal请求,并向用户发送指定的web页面。
当采用基于web的静态密码认证方式时,portal服务器接收用户认证请求信息后,将用户名和密码发给接入控制器,由接入控制器向radius发起密码认证过程;认证结束后,portal服务器将认证结果通知给用户。如用户未开通wlan业务,需提示用户开户方法。
portal服务器需要在登录页面和认证成功页面上为用户提供自服务功能,认证成功页面在用户上线期间不能关闭。自服务页面由radius提供,portal需要支持页面的重定向操作,并提示用户正确使用radius提供的自服务功能。
wlan用户认证成功后,由portal服务器向用户推送门户网站页面,用户通过门户网站页面可以查看wifi热点区域信息及提供的其它服务。
用户上线结束后,可以使用portal功能通知接入控制器用户下线;当接入控制器侦测到用户下线或者主动切断用户连接时,也能告知portal服务器;用户在本次连接最大允许接入时间结束时,将被强制下线,接入控制器在强制用户下线时也能告知portal服务器。
portal页面推送支持基于windows 、android、apple ios、linux等操作系统的客户端。
广州市成格信息技术有限公司
李强
15902026557
广州市天河区中山大道西路140号华港商务大厦西塔6楼