无线覆盖方案

无线覆盖 无线网络覆盖 方案 (一) 概述 随着企业的信息化的发展，信息系统的安全稳定运行至关重要，网络安全对企业也越来越重要。 现根据信息化安全建设的需要，对网络进行必要的安全加固和隔离，改造的目的是使企业网络结构更加安全合理。 该方案具有多业务支持、安全、稳定、兼容性高、可靠性高、部署容易的特点，能实现企业内部的无线移动需求，还能支持企业内部的各项无线应用的可靠运行。针对企业内部的 用户的不同需求，可为不同的用户提供不同的服务，安全接入属于自己的网络中，保证整个公司内部网络的安全接入。整体的解决方案包含了无线覆盖的所有软硬件设备，提供一个高安全、可管理、兼容性高的无线网络。 (二) 实施方案设计 2.1 需求 本项目旨在有线网络的基础上，建设一套安全、快速、可 靠的无线网络来覆盖2栋办公楼的办公区域。主要是为了解决现 有单独网络即为内网也是外网的问题.实现内外网隔离.为他们提 供方便、灵活、高效的无线网络连接服务。西侧办公楼为1-4层, 东侧办公楼为1-5层.在方案中我们都采用南京智达康 ZG-5000-2N型AP，进行无线网络室内覆盖。 基于有线网络布线施工进度慢，工程成本高，相对于无线网络，快速，灵活，低成本建设，且可以提供高速网络接入，能满足用户实际网络需求，可达到无处不在的网络服务，为未来拓展信息服务，提高网络使用价值，打好了基础。 2.2 方案设计 本次方案中,我们将采用基于802.11b/g/n的无线产品,进行两栋办公楼办公区的全区域无线覆盖。在这里我们选择南京智达康的ZG-5000-2N分布型AP进行无线覆盖。 由于西侧4层办公楼1-3层布局一样，在这里我们分别为1-3层每层布置4个AP热点，最后4层布置一个AP热点，通过网线连接至2楼机房POE交换机。通过POE交换机接入核心交换机，最后由AC(无线控制器)统一配置然后通过核心交换机下发至AP，完成整个西侧4层办公楼无线覆盖。 东侧5层建筑基本布局一致，但办公室跨度较大且一层入口右侧多处一个会议室,此栋建筑一层放置6个AP,2-5层每层放置5个AP,进行全区域无线覆盖.最终介入核心机房POE交换机。 (三) 覆盖示意图 无线接入覆盖范围示意图 (四) 设计指标、原则及覆盖方式 设计原则: 无线覆盖设计将遵循按照信号范围最大化原则，在整个园区办公区域全面覆盖的前提下，重点选择部分区域进行更加细腻的覆盖。并且，保证无线网络稳定性并与绝大多数主流无线网卡兼容，同时兼顾考虑网络扩容，为今后网络扩容做好预留。 设计指标: 各信号输出点信号强度10,15dbm;将按照2.4G工作频段2.412,2.472GHz(ETSI)分为channel1、channel6、channel11三个完全不干扰频段设计;目标覆盖区域信号强度>-80dbm。 1、一般来讲室内容许最大覆盖距离为25-30米，室外容许最大距离100-400米 2、障碍物阻挡:要观测无线覆盖周围的障碍物确定AP的数量和放置位置，2.4G电磁波对于各种建筑材质的穿透损耗的经验值如下: , 水泥墙(15~25cm): 衰减10~12dB , 木板墙(5~10cm): 衰减5~6dB , 玻璃窗(3~5cm): 衰减5~7dB 3、各种建筑对无线讯号的影响如下: , 当AP与终端隔一座水泥墙时,AP的可传送覆盖距离约剩下< 5 米有效距离。 , 当AP与终端中间隔一座木板墙时, AP 的传送距离约剩下< 15米有效距离。 , 当AP与终端中间隔一座玻璃墙时, AP 的传送距离约剩下< 15米 有效距离。 所以在安装选点时，一定要注意以避开墙、柱子等。 覆盖方式: 根据国家无线电管理委员会1997年《2.4GHz频段的管理办法》中规定的场强，选配不同技术规格的射频天线，既要考虑到每个信号输出点的电频强度，又要顾及信号对人体可能存在的危害，达到 “绿色环保”的效果。 经过现场的覆盖区域现场勘测后，对无线覆盖区域进行详细描述: 在覆盖区域内，选择办公区、会议室、开放场所为主，其他区域为辅的覆盖方式，实现办公区域整体无线覆盖。 室内覆盖规划原则: , AP的放置要遵循两个原则AP覆盖区域无间隙; , AP重叠区域最小。相邻AP工作在不同频道，以 1， 6，11 三个频道实现全方位的覆盖。 , 根据经验值，当相邻AP设定相同频点时, 要求间隔25米以 上;当相邻AP设定相邻频点时, 要求AP间隔16米以上;当 AP设定相隔频点时, 要求间隔12米以上。 室内典型环境覆盖: 主要特点是:环境开阔、用户数量相对集中、对带宽需求较高，主要用户群是会议办公人士、娱乐休闲上网人士，例如:多功能大厅、会议室、咖啡厅等。用户使用环境相对封闭。 (五) 无线AP的测试及安装 无线系统的测试采用以下方式: 1. 内置无线网卡的笔记本电脑，并安装无线测试相关软件 2. Network Stumbler 软件: 寻找无线TAP的利器。主要查看无线AP与客户端之间的最大信号质量、信噪比等参数 3. NetIQ Chariot软件: 测试无线实际吞吐量的工具 同时，将要勘察的环境地图预先打印出来，以便在上面预先标注AP的布设位置，测试时尽量将AP放置在将来正式安装时的位置，以得到更真实的覆盖范围。 对于无线信号覆盖，我们遵循以下原则:不必对所有地方都要求最高的信号强度，搞清楚企业园区内部对覆盖区域的应用需求，在无线部署时重点考虑最可能会用无线连接的区域，以此为中心往外部署，对于无线用户接入量可能会很大的区域(如会议室，咖啡厅，花园等)，考虑增加AP数量实现负载均衡，对于无法布网线的地方，可考虑采用MESH部署。 无线设备安装部署 无线网络建设，设备的部署尤为重要，AP的摆放位置、摆放方向不同，相应的信号强度、信号覆盖范围也不同。总的来说，AP主要有三种部署方式:吊顶安装信号水平覆盖方式、挂壁安装信号垂直覆盖方式。 吊顶安装适合于需要以AP为中心实现一定范围内的无线水平覆盖的方式，比如在中间走道、两边房间的环境，可以将AP安装在走道天花板吊顶，以此覆盖两边的多个房间。在会议室环境，可以将AP安装在会议室天花板吊顶。AP的吊顶安装示意如下所示，AP水平信号覆盖形态亦如下所示。 吊顶安装一般有两种方式: 放在天花板内，或放在天花板外。放在天花板内，信号会有所损失。如果是非金属天花板，影响不大，却可以做到防盗和更美观。 挂壁安装适合于需要以AP为中心实现一定范围内的无线垂直覆盖的方式，比如天井式的跃层开放环境，垂直安装也可作为水平安装时对某个区域的信号补充。比如一个狭长的走道，单个AP水平安装信号可能无法完全覆盖，这时可以增加一个垂直安装来补充信号，AP的挂壁安装示意如图所示，AP垂直信号覆盖形态如图所示。 (六) 无线用户管理、接入控制 无线网络是一个开放的网络，如果没有任何安全机制，只要在无线网络所在的区域，使用无线网卡就可以方便的连入网络，使用网络资源，所以无线局域网络的安全至关重要，运营商在投资后也需要收回成本，这样必然需要对用户进行接入控制，实现对用户的管理。 在当前WLAN网络运营中，最长用的 有两种最为常用的认证方式:DHCP+WEB认证和IEEE802.1X认证。它们因为各自不同的认证特点，经常被应用到不同的热点地区或者在同一热点地区混合使用。 智达康无线AP、网桥均支持802.1x认证、以及多种加密方式，保证数据链路安全。智达康无线网络目前的用户认证结构中，采用AC作为接入控制点和后台的认证服务器(RADIUS用户认证服务器)相连，完成对WLAN用户的认证。在计费中，AC作为计费数据采集前端，采集用户数据通信的时长、流量等计费数据信息，并发送到相应认证服务器产生话单。在业务控制中，通过AC设置门户网站参数，提供业务控制功能，同时用户业务数据通过AC接入到Internet中。 多种安全方式保障网络安全 MAC地址控制:启动MAC地址控制，可有效控制无线终端用户的接入，设备MAC表中有记录的终端才能接入到网络之中。 64/128/152位 WEP加密控制:智达康无线设备支持多级加密方式，通过方便可靠的WEP加密，可有效对终端用户的接入进行控制。 WPA 加密方式:WPA加密为无线网络安全提供了更加可靠的保 障， 通过简单的操作就可以使无线网络更加安全可靠。 无线端隔离:通过无线端隔离，可使无线终端之间无法相互访问，保障了无线网络的稳定、可靠。 RADIUS服务器认证示意图 RADIUS认证服务器需要建立WLAN用户认证信息数据库。认证信息数据库存储WLAN用户的相关信息，包括认证信息、业务属性信息、计费信息等等。当RADIUS认证服务器对WLAN用户认证时，通过数据库存取协议读取数据库中的用户授权信息，检查该用户的合法性。 WEB+DCHP认证方式 在WEB，DHCP认证方式中，通常要使用接入控制器AC(Access Controler)来控制用户是否需要认证，认证的服务器可以内置于AC之中，也可以是网络中其它的Radius服务器，通常在AC内置一个Web Server或者采用外接Web Server来进行认证页面的推送。在此网络中AP作为透明桥只完成有线和无线信号之间的转换和连接，用户可以使用固定IP地址，也可以在网络中部署DHCP Server进行动态IP地址的分配，此网络中用户认证点在AC。 802.1X认证技术 在WLAN网络中，802.1X认证技术几年来也得到了快速发展，安全性方面得到了很大的加强，因此很多WLAN网络也广泛使用802.1X技术进行认证。 802.1X是一种基于端口的认证协议，是一种对用户进行认证的方法和策略。端口可以是一个物理端口，也可以是一个逻辑端口。对于无线局域网来说，一个端口就是一个信道。802.1X认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”，即只允许802.1X的认证协议报文(EAP报文)通过。 成功案例: 六盘山电厂项目 妇幼保健院无线网建设项目 西安西电开关电气有限公司网路安全隔离解决方案(附件1)