机场无线部署解决方案
机场无线覆盖解决方案
目录
1 项目概况
1.1 项目背景暂无
1.2 项目目标
暂无
2 术语解释
?WLAN:无线局域网络(Wireless Local Area Networks;WLAN)是相当便利的数据传输系统,它利用射频(Radio Frequency;RF)的技术,取代旧式碍手碍脚的双绞铜线(Coaxial)所构成的局域网络,使得无线局域网络能利用简单的存取架构让用户透过它,达到「信息随身化、便利走天下」的理想境界。
?无线AP:AP是(Wireless) Access Point的缩写,即(无线)访问接入点。如果无线网卡可比作有线网络中的以太网卡,那么AP就是传统有线网络中的HUB,也是目前组建小型无线局域网时最常用的设备。
?瘦AP:无线接入点(AP,Access Point)也称无线网桥、无线网关,也就是所谓的“瘦”
AP。此无线设备的传输机制相当于有线网络中的集线器,在无线局域网中不停地接收和传送数据;任何一台装有无线网卡的PC均可通过AP来分享有线局域网络甚至广域网络的资源。理论上,当网络中增加一个无线AP之后,即可成倍地扩展网络覆盖直径;还可使网络中容纳更多的网络设备。每个无线AP基本上都拥有一个以太网接口,用于实现无线与有线的连接。
?AC:无线接入控制服务器,接入控制器(AC) 无线局域网接入控制设备,负责把来自不同AP的数据进行汇聚并接入Internet,同时完成AP设备的配置管理、无线用户的认证、管理及宽带访问、安全等控制功能。
?POE:POE (Power Over Ethernet)指的是在现有的以太网布线基础架构不作任何改动的情况下,在为一些基于IP的终端(如IP电话机、无线局域网接入点AP、网络摄像机等)传输数据信号的同时,还能为此类设备提供直流供电的技术。POE技术能在确保现有结构化布线安全的同时保证现有网络的正常运作,最大限度地降低成本。?:在频段,是一种能支持较高数据传输速率(1~54Mbit/s),采用微蜂窝、微微蜂窝
结构,自主管理的计算机局域网络。
?:无线安全标准,wpa是其子集,规定使用认证和密钥管理方式,在数据加密方面,定义了TKIP、CCMP和WRAP三种加密机制。
?:Wi-Fi联盟为了实现高带宽、高质量的WLAN服务,使无线局域网达到以太网的性能水平,任务组制定了N(TGn),将无线局域网的传输速率从和的54Mbps增加至300Mbps以上,最高速率可达600Mbps,采用OFDM技术、MIMO(多入多出)技术。
?WEP:WEP是Wired Equivalent Privacy的简称,有线等效保密(WEP)协议是对在两台设备间无线传输的数据进行加密的方式,用以防止非法用户窃听或侵入无线网络。
?WPA:英文缩写: WPA (Wi-Fi Protected Access) WPA是一种基于标准的可互操作的WLAN安全性增强解决方案,可大大增强现有以及未来无线局域网系统的数据保护和访问控制水平。WPA源于正在制定中的标准并将与之保持前向兼容。
?WPA2:WPA2 是经由Wi-Fi 联盟验证过的IEEE 标准的认证形式。WPA2 实现了的强制性元素[1],特别是Michael 算法由公认彻底安全的CCMP 讯息认证码所取代、而RC4 也被AES 取代。
?WPA/WPA2 企业版:Wi-Fi 联盟已经发布了在WPA 及WPA2 企业版的认证计划里增加EAP(可扩充认证协定)的消息,这是为了确保通过WPA 企业版认证的产品之间可以互通。先前只有EAP-TLS(Transport Layer Security)通过Wi-Fi 联盟的认证。
?SSID:SSID是Service Set Identifier的缩写,意思是:服务集标识。SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络.。
?无线漫游:当网络环境存在多个AP,且它们的微单元互相有一定范围的重合时,无线用户可以在整个WLAN覆盖区内移动,无线网卡能够自动发现附近信号强度最大的AP,并通过这个AP收发数据,保持不间断的网络连接,这就称为无线漫游。
?数字证书:数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证您身份的方式,它是由一个由权威机构-----CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书是一种权威性的电子文档,由权威公正的第三方机构,即CA中心签发的证书。
3 总体设计方案
3.1 无线网络组网规划
?组网说明
?在机场核心交换机分别旁挂1台或多台AC无线控制器,通过1+1方式实现冗余备份,在机场无线热点区域部署多个瘦AP 。根据现有机场有线的网络的部署情况,无线AP与AC控制器间通过二层或三层实现互联互通,AC工作在集中转发模式,所有无线终端的业务数据通过AC进行集中转发。
?机场无线AP手动配置自身IP地址,与AC 的IP地址实现隧道互联,无线终端的IP 地址通过DHCP 动态获取,网关指向机场的核心交换机,建议部署两台DHCP服务器,在核心交换机上配置DHCP 中继,分别指向两台DHCP服务器,实现对DHCP 服务器的冗余备份。
?机场无线AP采取WPA2的无线加密认证方式。无线终端上行的的数据报文通过AP 重新封装到格式以太报文中,直接发给AC,由AC进行过滤识别后进行转发,这个过程实现了WLAN无线的数据和现有业务的数据隔离。
?注意事项:因无线的数据均采用集中转发方式,所以在无线终端间进行数据访问时,也需要数据通过AC集中转发而访问,增加了不必要的网络开销,我们建议禁止无
线终端间的数据访问业务。
3.2 网络高可靠性
3.2.1 AC 冗余备份
AC无线控制器采用,1+1冗余备份方式,在核心交换机分别旁挂1台或多台AC 无线控制器,通过1+1方式实现冗余备份,保证了整个无线网络的高可靠性。根据无线AP的规模来确定AC的容量。在备机房放置同等数量和容量的AC,实现完备的1+1冗余备份。
1+1冗余备份方式,需要从两个层面来保证设备和网络的冗余可靠性。
首先,AC和备份AC之间的管理通道保持有快速心跳检测机制,心跳时间根据网络的质量可以配置,建议为200ms到5s之间。心跳报文在两端AC和整个通道的网络设备之间采用高优先级保证。同时,主AC和备份AC之间能定期和实时的同步AP,client
的各种状态。这样,备份AC能实时监控主AC的活动状况。一旦主AC出现宕机等事件,备份AC收不到主AC的心跳报文,立即通知该主AC管理的原AP,实行切换。
其次,AC和所管理的AP之间的管理通道保持有心跳检测机制。这种机制中除了检测AC的状态之外,还可以检测整个网络通道是否可达。心跳时间根据网络的质量可以配置,建议为5s到20s之间。1+1的备份方式在部署时,AP需要配置主用AC和备用AC的地址列表,我们采用静态指定的方式,在AP上写入主备AC的IP地址,当主AC 出现宕机或者主机房网络出现故障,访问不可达的情况下,AP主动发现并切换到备AC 上。
3.2.2 DHCP Server备份
DHCP SERVER备份实现机制:在机场主机房搭建主DHCP SERVER和备用DHCP SERVER;通过核心交换机做DHCP RELAY ,分别指向主、备DHCP SERVER,在正常情况下,用户端从主DHCP服务器获取地址,当主DHCP SERVER宕机的情况下,用户从备DHCP SERVER获取地址。该功能的实现需要在核心交换机上配置两条DHCP RELAY命令。
3.3 无线安全设计
由于无线接入的开放性,因此无线接入安全是部署无线网络的重中之重。当前兼容性最好、可实现性最高的无线安全接入方式就是结合数字证书的WPA2身份认证及数据加密技术。
3.3.1 WIFI接入及认证过程
为满足用户可以更方便快捷的使用WIFI热点,并且又能够对接入用户合法性进行确认,本方案设计采用AAS+Portal+短信方式认证。
?Web认证
机场WIFI用户使用手机或者pad自动搜索到机场WIFI热点,在连接的时候会自动重定向到本地Portal页面上,给用户推送一个Web认证界面。当用户再次通过HTTP协议上互联网时,会触发Portal认证,后端的Portal认证服务器会推送一个Web认证页面到用户终端上。用户在WEB认证界面填写自己的手机号,点击获取随机密码,则用户填写的手机号对应的手机会收到一条短信,获取到一个随机密码,用户通过该手机号码及短信收到的随机密码进行Web认证。认证通过后系统允许用户终端上网,并且返回一个认证通过的页面,再次根据用户所在的公交车位置信息判断推送不同的广告信息;
?AAS服务器
AAS是基于AAA的认证系统,在本方案中主要功能为配合Portal服务器为用户提供身份认证。AAS也可以通过代理方式与运营商或者上级AAA系统进行对接,能够直接与营运商的用户库(如手机号等信息)共享,避免用户信息多点维护。AAS认证的用户名基于运营商用户库,所以有效的避免了其他运营商的用户接入占用资源的问题。该系统允许所有运营商的用户能使用。
3.3.2 无线数据加密
WPA2使用加密性能更好、安全性更高的加密算法:AES-CCMP(Advanced Encryption Standard - Counter mode with Cipher-block chaining Message authentication code Protocol,高级加密标准-计数器模式密码区块链接消息身份验证代码协议),其主要有如下几点改进:使用128位AES加密算法实现机密性保护,数据完整性保护,自动重新生成密钥对以派生新的数据加密密钥,使用
数据包编号字段实现防重播。AES-CCMP在身份验证过程动态创建一组主从密钥,并由该从主密钥对和其他值派生出数据加密所需的临时密钥,避免了WPA-PSK主密钥需事先定义而可能泄露的弊端。
3.3.3 AC与AP之间的安全认证
为了保证AC与AP之间的访问安全,尤其是防止黑客或者攻击者从市场上购买同一品牌的AP,私自接入机场网络,进行各种高级攻击。因此需要加强AC和AP之间的安全认证。
最简单的认证是MAC地址认证,部署过程中可以将系统中的合法AP的MAC地址统一记录在Radius或者AC上。AP在跟AC关联进行集中管理时,都需要在AC 上通过mac地址认证才能允许AP接入无线网络;
其次是密码认证,第一次部署过程中需要在AP上设置相关密码;AP在跟AC 关联进行集中管理时,都需要在AC上通过密码认证才能允许AP接入无线网络;
注:前面两种方式都是单向认证,在AC上认证接入AP;还有一种更安全的方式是数字证书认证,我们采用的数字证书认证方法。该认证方法是双向认证,除了AC上认证AP的证书,同时在AP上还需要验证AC的证书,充分保证网络设备的合法性。在首次部署的时候,需要将相关证书下发到设备上。AP运行过程中,跟AC关联进行集中管理时,就会启动该双向认证,成功后才能允许AP接入无线网络。
3.3.4 其它无线安全控制技术
其它无线安全技术主要体现如下几方面:
?SSID隐藏:隐藏无线对外服务标识,类似在开放的环境中隐藏接入端口,保护无线接入。
?无线用户接入时段控制:根据业务需要,限制终端用户通过无线接入的时间区间,可以实现在非工作时间外禁止接入网络。
?无线用户访问权限控制:可以在无线接入控制器上实现ACL控制,放行移动终端业务的目标地址,阻断其它应用,通过ACL控制访问权限。
?无线用户速率控制:通过限制每个无线终端的速率,防止各种恶意或无意的高速率访问,确保其它用户通过无线接入的接入速率、接入稳定性。
?无线用户相互隔离:对通过无线接入的终端实现隔离,阻断相互之间的通信,不仅实现安全管理,也可避免终端之间的相互影响。
3.4 无线网络管理
整个无线网络统一进行无线网络设备管理,无线网络的可管理性在整体项目中将起到非常重要的作用。根据机场的应用需求,我们提出实现无线网络的“云管理”方案。
简单来说,无线网络管理分成以下三层管理架构:
?网管软件对AC的管理:主要聚焦在网管软件对各个AC的状态监控,并对AC进行权限管理及监控。
?网管软件对AP的管理:主要聚焦在网管软件对分布在全国任意网点的AP 的追溯管理,包括每台AP下的终端接入数,终端流量,终端应用。
?网管软件对无线终端的管理:主要聚焦在网管软件对接入到全国任意网点的所有无线终端的管理,包括终端流量等等。
通过以上三方面不同层次的网络管理,使得无线网络的管理更可控。
3.4.1 网络发现
基于IP范围发现AC,手动添加设备
基于AC发现无线网络,自动添加设备
3.4.2 拓扑管理
支持网络拓扑图的自动生成及拖拉缩放,支持网络拓扑分层分级导航和管理及自动更新
支持网络拓扑图的手动定制及定制连接
支持物理连接和逻辑连接,并在拓扑上显示连接属性,如端口、贷款及连接状态
3.4.3 无线网络规划
支持无线分级地图
3.4.4 无线网络监控
支持在各AC管辖下的无线AP列表
支持列出客户端列表:包括活动客户端列表、客户端列表历史、信噪比等
3.4.5 无线网络安全
支持统一安全策略:统一安全策略的创建及安全策略的下发和部署
支持无线安全防护:包括Rogue AP列表,Rogue Client列表,Rogue设备反
制及无线入侵事件列表等
3.4.6 AC性能管理
支持AC性能监控,及性能数据的管理
3.4.7 网络流量分析
支持网络流量数据采集标准(Cisco NetFlow, sFlow等)
支持带宽使用统计
网络性能瓶颈发现
输出网络流量报告,支持基于图形化和数据表格方式的网络流量详细报告3.4.8 告警管理
支持告警定义,告警呈现,告警管理及相应的告警操作。
3.4.9 报表呈现
支持表格和图形混合展现的报表呈现方式
可手动、自动生成报表,并自动发送报表
3.4.10 软件管理
支持软件包管理及AC、AP软件自动升级
3.4.11 配置管理
支持批量配置管理,配置文件管理
3.4.12 资产管理
支持设备资产管理,设备资产信息收集和展示,并定期自动同步
3.4.13 任务和调度
支持任务的查询/修改/制定,从而实现按时批量任务实现
支持一次性任务调度、周期性任务调度,并输出任务执行日志,并回报任务执行结果通知
3.4.14 日志管理
可记录日志,包括网管日志,网元操作日志,安全日志及网元日志等
可操作日志,包括设置、转储、查询和打印等
并可对日志进行定期清理
3.4.15 安全管理
可对用户组进行安全管理,包括用户管理、管理域等
可实现第三方认证和授权,支持RADIUS,TACCS,LDAP
3.5 QOS部署
3.5.1 QOS总体框架
通过WMM协议,使在链路层和MAC层提供支持QoS的无线网络接入服务,加上有线网络原有的应用层、IP层的QoS策略,提供了无线设备端到端的QoS支持能力,以无线终端Client1发送报文到Client2为例说明Qos总体框架。
总体框架中提供两大部分QoS部署:
?一是从client到AP之间的无线QoS部署,该部分主要是对于空中的无线报文(报文)进行各种QoS管理和配置。对于语音和视频等高优先级流量进行调度;
?二是从AP到AC之间的有线QoS部署,该部分主要是对于以太网报文(报文)进行各种QoS管理和配置。因为无线报文达到AP后,就接入了有线网络,报文也就是从格式转为格式,进行有线网络转发。
3.5.2 QoS高优先级业务数据优先保证
WMM QoS到的CoS之间的映射:AP收到报文后,AP将其中WMM QoS字段转换为的CoS字段的值,保证无线用户的优先级信息能够保持不变,高优先级数据优先处理。
内部优先级到外部优先级的映射(未来实现):数据被封装到隧道后,内部的优先级不能被其它网络设备识别,因此必须将内部的优先级映射到外部网络。AP在封装隧道数据时,会把内部优先级映射到隧道数据的外部,保证其它网络设备也能按照用户数据的优先级进行转发。
AC对于QoS优先级的处理:AC收到隧道数据后,首先解封装,根据内部CoS的优先级进行数据调度,保证高优先级的数据得到优先转发。
的CoS到WMM QoS之间的映射:AP收到来至有线网络的报文后,AP将其中的CoS字段转换为WMM QoS字段的值,对于高优先级的数据优先发送。
3.5.3 管理报文高优先级处理
对AP和AC之间的管理报文,即端口号为57776的TCP报文和端口号为57778/57779的UDP报文,设置高优先级,可以保证管理报文的高优先转发。
3.5.4 通过client QoS修改用户的优先级
AP上的client CoS功能可以根据优先级策略直接修改用户的优先级。AP收到数据后,匹配用户的IP地址,根据用户的IP匹配对应的策略,根据策略设定的优先级改写原有的优先级,保证特定用户的数据得到特定的优先级。
配置方式如下:
?配置分类表(classmap):
建立一个分类规则,可以按照ACL、CoS、VLAN ID、IPV4 Precedent、DSCP、IPV6 FL 来分类。之后,对于不同类别的数据流采取不同的策略。
?配置策略表(policymap):
对数据流进行分类之后,就可以建立一个策略表,之后就可以将其对应一个先前建立的class-map,进入策略分类表模式,然后就可以对于不同的数据流采取不同的策略,如带宽限制、优先级降低、分配新的DSCP值等等。也可以定义一个集合策略,这个策略可以在同一个策略表内部被多个策略分类表使用。
?将QoS应用到AP或者AC:
如果需要在AP上启动QoS,则在AP profile文件中增加配置的策略应用。
如果需要在AC上启动QoS,将策略绑定到AC的端口。
3.5.5 基于用户的限速
基于用户的限速,配置命令通过AC下发到AP上,用AP来实现每一个终端速度的限制。实现原理是对用户的数据流量进行精确的统计,按照令牌桶的原理,单位时间内,每个用户都会分配到指定大小的令牌,用于流量允许通过。如果超过了用户限制的
带宽,令牌就会用完,该用户的数据报文将会丢弃。每个用户都会有令牌桶,因此可以精确到每个用户的限速。限速粒度为64Kbps。
对于每个用户的上行和下行报文,设计有单独的令牌桶,可以分别控制和进行速率限制。
限速的配置可以从两个方面进行,如果对于所有用户限速都相同的话,可以从AC 上通过配置AP的client qos模块中ratelimit参数,统一下发给AP。如果对每个用户的限速不同的话,因为用户数比较多,在AC上进行统一配置明显不行,需要在Radius上对每个用户的速率进行单独设置。在用户进行统一认证的时候,将会把限速参数动态的下发给该用户所在的AP。
3.6 POE供电方案
3.6.1 POE供电模块供电
若热点区域的无线AP部署数量较少,建议采用独立的POE供电模块进行供电,无需单独部署POE交换机。
3.6.2 POE交换机供电
若无线热点区域的无线AP部署数量较多,为实现设备的集中供电管理,建议采用POE供电交换机进行供电。
3.7 网络设备要求
3.7.1 无线AP
3.7.2 AC控制器
3.7.3 AAS服务器