认证WLAN无线城市智慧wifi覆盖整体解决方案

WLAN无线城市智慧wifi覆盖整体解决方案”无线城市”应用和需求分析

”无线城市”的理念和目标

”无线城市”首先能使用户实现随时随地的上网,增加了便利性,提高了信息应用效率。第二”无线城市”是一种更加便利的网络部署方式,而且理论上成本会很低,因此会更迅速提高城市的信息化水平。第三”无线城市”无处不在的宽带网络可有效促进物联网的快速成长,催生孕育更为广阔的无线机器互联应用市场。

建设一个具备综合信息化支撑能力的无线城市, 以高水平的信息基础设施构建优越的商务环境和优质的生活环境,将有效支撑卓越的城市创新理念,提高城市的整体实力,增强城市的竞争力。在此基础上,提出建设”无线城市”,致力于为政府、 企业、 家庭、 个人等提供一站式的信息服务。 ”无线城市,无限精彩”将成为一张美丽的城市名片,给城市的商务旅游、 社会管理、 公共服务、 生活学习和休闲娱乐等带来卓越的效益。

”无线城市”建成之后,所有在工作、 生活、 旅游的人都将能够经过无线方式宽带上网,体会到无处不在、 随时随地的信息服务, 以高品位的商务、 办公、 生活和旅游环境吸引一流的企业和高素质的人才;政府社会管理和公共服务功能也将充分利用这个无线网络平台,提高政府管理和服务水平。 ”无线城市”将会积极融入”智慧城市”整体规划中,为打造”智慧”奠定基础, 同时”无线城市”项目还具有巨大的经济价值和广泛的社会意义。

公众需求分析

对于公众,无线宽带网络的应用为人们之间的沟通提供多元化的渠道和方式,人们能够在家里、

娱乐场所、 酒店、 机场、 绿地、 会议中心等场所,随时随地的享受无处不在的网络接入服务,真正实现数字化生活。另外,无线宽带网络还能够提供无线定位服务、 各种公共信息服务等,无线宽带网络将在商务、 旅游、 家居、 学校和医院等社会生活的诸多领域,都具有广阔的应用前景。

无线网络接入需求:任何地点、 任何时间和任何人实现无线宽带网络的接入。

公共信息的获取:天气预警、 公告信息、 市政信息、 交通拥堵状况等信息的及时获取和掌握。电子导航:在线电子地图,对于交通状况的实时了解;失物无线定位和跟踪等。

旅游信息:旅游景点宾馆酒店的查询,航班、 车票的预订;无线出租车服务,无线旅游景点咨询等。

医疗服务:远程专家诊断、 移动挂号、 老人小孩的居家照顾、 急救通报,医生在病房随时获取病人的病史和病情的详细信息等。孕妇及婴儿的全方位保健需求,个人无处不在的医疗预防信息提醒和忠告等。

休闲娱乐:在线游戏、 在线电影、 无线网上购物、 无线音乐、 在线聊天、 娱乐视频等。生活学习:无线点餐、 无线家具生活、 无线支付、 网络逛街;在线续借图书、 远程教学等。移动办公:在线交易、 在线转账、 商务服务、 上传下载文件、 收发邮件办公、 异地办公等。政府需求分析

随着中国社会经济的不断发展以及和谐社会的建设要求,如何有效、 综合利用政府资源,提高自身的日常工作效率,增强应变突发事件的能力, 已经越来越成为政府部门的一个非常重要的工作。对政府来说,遍布城市以及联动城市的无线宽带网络能够为政府的公共安全、 智能交通、公共管理、 行政执法等城市职能部门提供用于电子政务、 智能办公、 应急救助、 远程信息交

互等功能的移动宽带网络接入服务;在自然灾害、 紧急事故、 重大突发安全事件的快速反应和抗风险能力方面, 以及在特殊需求方面,无线宽带网络更能体现出不可替代的优势。

”无线城市”技术方案

总体原则

安全性原则:W LA N网络作为开放性的无线接入网络,因此网络建设规划时需注重对用户的安全性及网络的安全性的考虑。

可靠性原则: W LA N网络需保证网络的信号质量、 设备的稳定运行、 避免关键节点的单点故障,为客户提供可靠的W LA N无线接入业务。

可运营性原则:W LA N网络系统的设备应方便管理,易于维护,便于进行系统配置,可统一的监控设备参数、 数据流量、 系统性能等,并能够进行远程管理和故障诊断。

可扩展性原则:W LA N系统设备不但要满足当前需要,而且网络的扩展性方面要满足可预见将来需求,如带宽和设备的扩展,应用的扩展和办公地点的扩展等。保证建设完成后的系统在可向新的技术升级,能保护已有的投资。

整体方案

”无线城市”技术方案结构分为三部分,如下图所示:热点目标覆盖区WIFI建设,总部运维中心。热点覆盖区WIFI建设需要根据覆盖场景的特点选择合适的AP提供无线WLAN网络,是无线网络建设的重点。运维中心用于管理海量的AP设备和无线用户的管理。

运维中心

运维中心是整个”无线城市”的神经中枢和大脑。其主要负责的工作分为两大部分,一是对整个”无线城市”网络进行基本运维管理,保证整个网络的正常运作;二是将应用开发平台所需要的信

息进行收集,并将应用开发平台所需要推送的信息进行发布。

热点目标覆盖

按照热点目标地区按照环境特点、 用户对象不同能够基本划分为大、 中、 小三种覆盖场景。其中大型场景指所需WIFI覆盖范围大,室内及室外AP数量达到上百个甚至上千个,数据流量大,设备数量多的场景。如市政府集中办公区、 机场、 火车站、 图书馆、 医院等,一般属于该场景。在这种场景下,一般WIFI的覆盖采用AP+AC(无线控制器)+FW的方式实现。经过功能强大的AC,能够很好地协调成百上千的AP协同工作,实现集中管理。在该场景的互联网出口一般部署防火墙设备,一方面实现大量用户的地址转换(NAT) ,另一方面可经过VPN技术将本网络的认证信息和NAT日志信息等上传至运维中心。

中型场景指所需WIFI覆盖范围较小,市内及室外AP数量小于一百个,数据流量不大,设备数量不多的场景。如区县政务中心、 公园、 广场、 商业圈等,大部分数属于该场景。在这种场景下,一般WIFI的覆盖采用AP+Router(带AC功能)的方式实现。经过Router自带的无线管理功能,可实现对本区域内AP的集中管理。 同时经过Router所集成的NAT、 VPN、 Log等功能,实现地址转换,加密信息传输和NAT日志信息收集及上传等功能。

小型场景指所需覆盖范围小,使用单个WIFI设备即可覆盖的场景。如公交站台、 独立商户等属于该场景。在这种场景下,一般采取目标区域放置一个AP,AP统一由总部AC管理,可是用户上网的数据经过借用现网的互联网出口,将本地WIF I流量上传至Internet。

用户认证管理解决方案

用户身份验证方式

WLAN无线空口认证主要方式有开放系统认证(Open-system Authentication) 、 WEP、

WPA1/WPA2和WAPI四种。 OPEN和WEP方式是简单的物理层认证方式,安全性较差,WPA1/WPA2和WAPI方式除了物理层认证之外还增加了用户认证的鉴定,安全性更高。开放系统认证是IEEE8021 1标准要求必备的一种方法,是最简单的认证算法,即不认证。如果认证类型设置为开放系统认证,则所有请求认证的客户端都会经过认证。在这种方式下,所有符合8021 1标准的终端都能够接入到W LA N网络中来。开放系统身份验证比较适合有众多用户的电信运营W LA N网络。

用户身份认证,其经过提供有限的访问权限来验证用户身份,只有确定用户身份后才给予完整的网络访问权限,可有效判别用户的合法性。W LA N的链路层身份验证主要有

Portal(DHCP+WEB)、 MAC、 8021X、 WAPI等几种认证方式,能够根据具体情况选择,能够配合网络层认证使用。

W LA N无线线网络用户认证方式经过采取以下几种组合,具体如下表所示。

认证组合 应用情况

Open+Portal 主流应用,运营商网络WLAN网络

Open+Portal+MAC 主流应用,是Open+Portal认证的衍生方式

WEP+Portal 基本没有应用,维护WEP密码麻烦

WEP+8021X 早期EAP-SIM认证方式,运营商WLAN分担2G/3G流量场景

WPA/WPA2-PSK+Portal 基本没有应用,维护WEP密码麻烦

WPA1/WPA2+8021 X 主流应用,学校,企业,医院,政府等企业网大量使用。

WAPI PSK 没有使用

WAPI 没有使用

针对”无线城市”项目,面向政府或企事业单位职员的认证推荐使用WPA2+8021 X的方式,确保数据的安全和可靠;面向普通市民的认证方式推荐Open+Portal+MAC的方式,方便实现身份鉴定,方便开展增值业务。这种认证方式只需要在第一次接入WIFI时经过Portal网页进行认证, 以后市民再连接WIFI时就无需输入用户名密码,方便快捷(免认证的时间,能够同配置) 。对于临时访客和游客,能够采取限时访问的方式,这种模式下用户每次登录只能允许有一定时间的访问网络权限,超时后必须重新登录。登录口令能够经过短信,微信,APP客户端的方式下发(APP客户端认证方式需要对接和开发) 。

针对”无线城市”项目,市政府集中办公区、 机场、 火车站、 图书馆、 医院等AP规模较大的场景,推荐集中认证-集中转发模式;公交站台、 独立商户等AP规模较小的分支场景,推荐使用集中认证-本地转发。这里所讲的”集中认证”指的是无线用户的认证网关集中到AC上认证,不是AAA系统。

用户策略管理

用户策略是指用户认证经过后,基于用户角色对可访问网络资源进行的安全控制。

1 、 管理员在控制器中创立用户账号、 用户组, 同时将用户账号加入其所属的用户组,然后为用户统一定义基于用户组的网络访问策略(即用户组策略) 。

2、 敏捷交换机( 自带随板AC)作为策略执行点和准入认证点设备,和Control ler建立关联后,控制器将管理员配置的网络访问策略下发给所有关联的设备上,在执行策略的设备上生成基于用户组的业务模板。

3、 用户启动认证,在认证过程中,控制器根据用户的登录信息,将其与用户组关联。认证成功后,控制器将该用户所属用户组下发给敏捷交换机。

4、 在敏捷交换机上,基于control ler下发的用户组信息,实施UCL策略控制,限制访问资源权限、 用户带宽等策略。

5、 用户在”无线城市”的任何地方登陆, 由于准入设备(PEP)都预置了业务策略,用户重新认证上线后,可具有一致的网络访问策略,实现业务随行。

24数据传输解决方案

数据传输通道

热点WIFI覆盖到总部运维中心的数据传输通道推荐充分利用现有网络环境或者租赁运营商网络,避免重复投资。 当前主要可分为三种情况:a)利用以太交换机传输; b)利用PON网络传输; c)利用CMTS网络传输。考虑租赁运营商网络费用昂贵,该传输通道主要承载用户认证, 日志信息以及增值业务等,无线用户的访问互联网的流量建议全部走本地internet出口。

无线服务质量

”无线城市”网络能够建立成一个旅游,娱乐,餐饮等等于一体的内部服务网络,里面能够插入丰富的多媒体视频资源,介绍成都各个旅游景点,城市特色等等,这样将产生大带宽的需求。 由于空口带宽资源有限,而且本质是一个共享的资源,使得空口资源的QoS调度非常关键,空口QoS调度能力,直接影响整个”无线城市”网络的体验。为此,需从多层级的流量控制、 强大的优先级调度和灵活的标签映射等多个方面,提供丰富灵活的QoS服务质量,确保用户端到端的业务体验。

多层级的流量控制能力:基于SSID的流量控制、 基于AP的流量控制、 基于用户的流量控制,而且支持多层级的组合使用。经过这些手段,管理员能够按不同的接入区域/热点设定不同的上下行流量带宽限制, 比如公共场所AP提供带宽小于办公场所的带宽;能够指定具体账号的带宽

限制, 比如公共账号提供2M的带宽限制, 以防止恶意的带宽占用;对于部分场合能够部署多种SS ID接入服务, 比如一个是XXXX无线城市,一个是XXXX市政,为两个不同的SS I D接入服务设定不同的带宽资源。

网络可靠性解决方案

网络的稳定性是每一张网络都重点关注的事情之一。 ”无线城市”网络的可靠性一般重点关注组网的可靠性和设备的可靠性两个方面。

组网的可靠性

AC控制器作为WLA N的关键组件,负责AP管理、用户认证和无线流量转发等重要功能,因此AC控制器的稳定性设计就是不可忽视的问题。针对”无线城市”的具体场景,推荐以下两种备份方式:

各热点与总部之间,推荐AC控制器N+1冷备份

”无线城市”项目,一般都有很多个热点和应用场景,单个AC很难完全实现对各热点接入用户的认证和AP管理。经过采取分布式部署,即每个大中型热点和总部分别部署AC,小型热点只部署AP,不部署独立的AC, 由总部AC统一管理。为了保证网络的可靠性,多个大中型热点的AC与总部AC之间推荐N+1备份方式,当任何一个热点AC发生故障,总部的备份AC能够迅速完成切换,相应的AP和接入用户迁移到备份AC,从而保证网络稳定,具体如下图所示。总部,推荐AC控制器1+1热备份

由于总部AC管理AP和用户量大,且承担着各热点AC的备份任务, 因此一定要确保总部AC的可靠性,推荐总部部署2台AC,2台AC之间经过1+1热备份增强可靠性,具体如下图所示。

设备的可靠性

AP一般安装在比较隐蔽的环境,环境比较恶劣,特别是室外AP,因此室外AP一定要有很强的防尘,防水,防风, 以及防雷能力。

无线安全解决方案

网络的安全性也是每一张网络都重点关注的事情之一。W LA N无线网络信号存在与空气中,任何人都能够接收到,很容易受到外界干扰和威胁的影响,如WIDS/WIPS,周边射频信号的干扰,非法设备的检测和反制等。

WIDS/WIPS

为了方便实现非法设备的检测和反制, 同时又不增加设备,建议AP支持混合模式传输模式,即单个AP能够监测无线网络中设备,也能够同时传输WLAN数据。 同时,WIDS还应支持攻击检测功能,能够检测泛洪攻击,弱IV向量攻击、 欺骗攻击、 暴力破解WPA/WPA2/WAPI的预共享密钥和WEP的共享密钥,及时发现网络的不安全因素,及时反制并经过日志,统计信息以及告警方式及时通知网络管理员。无线钓鱼与Rouge AP防护

无线钓鱼是将有线网络中的钓鱼攻击方法应用到无线领域,但由于网络传输协议不同,用的方式当然也不同,常见的无线钓鱼方式是基于伪造AP使得无线客户端访问虚假的AP,从而钓鱼得到客户端信息。针对非法瘦AP接入有线网络后无线钓鱼的场景防护手段依靠AC对AP接入的安全控制能够进行防护。WLAN需支持针对非法AP的无线钓鱼防护,支持Rouge AP检测和隔离。

网络运维解决方案

”无线城市”项目涉及面较广,设备较多, 网络开局和运维是不容忽视的一个重大问题。有一个专