cisco无线网络实施方案
cisco無線網絡實施方案
一、網絡環境特點
在室外廣場的無線網絡應用環境的特點是,廣場內的用戶是不固定人群,甚至接入設備也會頻繁的變化,即網絡用戶的數量,網絡用戶的位置,以及網絡用戶的應用,網絡行為等都是非固定的,頻繁變化的,所以這種特殊需求對無線網絡解決方案提出了嚴峻的挑戰,在室外部署無線網絡,至少需要滿足以下幾點:
1.高穩定性。面對復雜的用戶群,不固定的阻擋,以及實時變化的用戶群,無線網絡需要有較強的自我優化的功能,持續對無線用戶提供穩定的網絡服務。
2.高性能,高可用性。由于室外的用戶數量不固定,用戶位置也不固定,無線網絡應該具有較高的可靠性和可用性,具有強大的容錯功能,以保證各種應用的正常運行。系統具備在線故障恢復能力,關鍵設備、模塊、線路能做到實時備份、均衡負載和自動故障切換。
3.高安全性。無線網絡需要能夠保證網絡自身的安全以及無線用戶的安全,無線網絡系統應該提供多種有效的安全控制機制,以防止機密泄露和影響正常工作。無線網絡系統應提供一套完整的安全防范措施,能夠有效地防止系統外部人員的非法侵入。
二、解決方案
Cisco無線網狀網解決方案:
1.接入網絡部分:無線接入點根據無線覆蓋區域以網狀物理分布在廣場各處,使用Cisco? Aironet? 1520系列輕量室外網狀接入點。由于是室外廣場,活動的人員或設備較多,所以在部署時應該盡量將無線接入點部署在四周的建筑物墻壁上或者路燈上等不受人員或設備移動影響的位置,同時在無線接入點的數量規劃上,由于室外廣場較為空曠,但網絡用戶的數量存在不確定性,可能會在某一時刻較高,所以,在規劃無線接入點的數量時,不僅要考慮信號的覆蓋強度,同時也需要考慮整個無線網絡的性能,可服務的用戶數。
2.無線網控制、管理部分:在網絡核心層,采用了目前基于最先進的第三代無線網絡技術的無線交換機對整個無線網絡進行統一的管理(無線交換機+瘦AP)。無線交換機可被部署于數據中心,全網的AP設備可跨越二層或三層網絡與無線交換機連接。當一個新的AP設備被連接入網絡時,將立即被無線交換機發現并配置,用戶無須在現場進行任何配置,即可隨時開通,實現即插即用的網絡部署。
3.無線網絡管理部分:Cisco? 5500 系列無線控制器是一款高度可擴展的靈活平臺,能夠在大中型企業和園區環境中,為關鍵任務無線網絡提供系統級服務。5500 系列專門采用了獨特設計,支持 802.11n 的性能下的最大可擴展性,通過射頻的監控和保護能力提供延長的正常工作時間,并且可以同時管理 500 個接入點;它具有卓越的性能,可以提供可靠的視頻流和長話級音質;它還具有增強的故障恢復功能,能在要求最嚴格的環境中提供一致的移動體驗。
4.網絡接入控制,認證服務器部分:通過與后臺的Radius服務器連接以達到對網絡接入的控制、認證和計費。基于Radius的認證計費系統由Radius認證計費軟件和服務器兩部分組成,采用先認證,后分配IP,再通過Radius服務器的數據統一計費。由單臺Radius服務器構成的計費系統最多可支持2048個寬帶用戶的計費,隨著用戶數量的增加,可通過增加Radius服務器數量的方式方便地擴充系統容量。計費系統支持Radius 標準的AAA計費,用于用戶無線接入互聯網的帳號授權、登陸驗證、帳號管理和增值服務的費用計算,提供網絡認證、網絡管理、計費功能、用戶管理和監視功能等寬帶接入和營運管理功能和數據庫接口。
三、方案特點及優勢
思科統一無線網絡是目前業界唯一的統一有線和無線解決方案,它經濟有效地解決企業面臨的WLAN安全、部署、管理和控制問題。這一強大的解決方案結合了有線和無線網絡的最佳組件,以較低的總擁有成本提供了可擴展、可管理的安全WLAN。它包括創新的RF功能,支持對核心業務應用的實時訪問,并提供先進的企業級安全連接。通過思科統一無線網絡,機構的無線局域網提供了與有線局域網相同的安全性、可擴展性、可靠性、易部署性和可管理性。
思科統一無線網絡是一個集成化的端到端解決方案,涵括了WLAN的所有層次,從客戶端設備和接入點,到網絡基礎設施、網絡管理,乃至先進的無線服務集成與屢獲大獎的全球24小時產品支持。它提供了業界最佳的無線局域網安全性、創新性和投資保護。它是唯一將創新的接入點技術和屢獲大獎的集中管理系統、智能控制、實時定位服務,以及范圍廣泛、可互操作的思科兼容型客戶端設備相集成的解決方案。
思科統一無線網絡簡化了網絡部署、運行和管理,從而降低了整體運營開支。憑借此解決方案,通過一個中央管理控制臺能方便地管理數個、數百乃至數千個位于中央或遠程地點的接入點。思科統一無線網絡的靈活性允許網絡管理員根據其特殊需要而設計網絡,如采用高度集成的網絡設計或簡單的重疊網絡等。
統一的先進服務
統一Wi-Fi VoIP,先進的威脅檢測,身份識別網絡,基于地點的安全性,資產跟蹤和訪客接入。
世界級網絡管理
無線局域網擁有與有線局域網相同的安全性、可擴展性、可靠性、易部署性和可管理性。
網絡整合
創新的安全WLAN控制器,集成入選定的交換和路由平臺中。
移動平臺
在室內和室外環境中提供無所不在的網絡接入。增強生產率。成熟的平臺,已有大量用戶,占據61%的市場份額。即插即用。
客戶端設備
90%的Wi-Fi芯片通過了思科兼容性認證。成熟的Aironet平臺。“即時可用”的無線安全性。
通過此種方式部署的思科統一無線網絡,具有以下特點及優勢:
1.無線信號自動優化與調整
傳統“FAT AP”組建的無線網絡,在建設初期,需要對無線頻譜及channel和發射功率進行規劃,以降低同頻干擾,但是無線信號受到用戶數、天氣、濕度等環境影響因素較大,一旦外界因素發生變化后,如果AP仍使用原始參數進行運行,必然導致信號強度降低、覆蓋區域縮小等情況,導致網絡運行不穩定。
采用思科統一無線網絡解決方案,支持RF Auto-Tune技術。Cisco? Aironet? 1520 AP可以監聽、掃描所在控域中的信號強度和使用量,并將數據傳送至位于核心的Cisco? 5500 系列無線控制器上,控制器根據各AP報告的測量數據進行一個全局的調配。例如,當某一區域多數AP報告信號不足時,控制器可以動態改變該區域內相關AP的發射功率;當AP報告該區域內有相同信道信號時,則可以動態調整相關AP,以避開信道的重疊。同時RF Auto-Tune技術以可動態地調整流量負載、功率、射頻覆蓋區域和信道分配,以使覆蓋范圍和容量最大化。
2.用戶動態負載均衡
傳統上,由于受到客戶端無線網卡底層驅動算法機制的限制,用戶總是會連上信號最強的AP,而并沒有考慮到該AP是否能夠提供最佳的服務。
Cisco? 5500 系列無線控制器可以根據周圍無線信號覆蓋情況以及用戶的流量需求,動態的將用戶強制連接到其他可用AP上,將用戶流量分配到其他可用AP,從而保證了整個無線網絡的高效能和高可用度。
例如,在一個用戶較多的休息區,正常情況下大約有15人左右,采用一個AP即可滿足需求,但當用戶數突然增加后,導致該AP無法連接數過多,而此時,位于休息區外的AP由于相對與休息區來說,信號雖然比較弱,但仍然是可以滿足一定的網絡用量,此時無線交換機則強制后來的一部分用戶連接信號較弱的AP,從而實現了負載均衡,保障了網絡的暢通。
3.更快,更安全的漫游
由于無線局域網采用類似于移動通信網中的“蜂窩”覆蓋方式,來實現大面積覆蓋,當終端在移動一點到另外一點的移動過程中,不可避免的需要從一個AP切換到另外一個AP,在切換過程中,移動終端需要進行“取消關聯”及“重關聯”的操作,該過程一般需要300-500ms的時間,此外,在有后臺認證系統存在的情況下,用戶還需要進行重認證、session key重分發及重新分配IP地址的過程,這種方式無法滿足一些對時延非常敏感的業務諸如VOD點播、VoWLAN等的支持,因為傳統無線網絡的漫游只停留在IEEE802.11協議層上,并沒有對用戶會話進行完整性保持。
而在本方案中,我們采用的思科統一無線網絡解決方案,該方案以無線控制器為核心,對所有AP上接入的用戶采用統一會話管理,所有已認證終端均在中心無線控制器中保存相應會話,AP僅僅只負載傳輸用戶數據,因此無論終端移動到哪個AP下,用戶信息和授權都在無線控制器所管轄的移動域內快速的交互,可以有效保持會話完整性及可靠移動性的前提下實現無縫漫游。
4.基于用戶身份的管理
思科統一無線網絡方案不僅支持豐富的安全認證及加密方法以外,還提供基于用戶身份的服務,以使用戶在漫游時具有諸如虛擬專用組成員資格、訪問控制列表 (ACL)、認證、漫游策略和歷史、位置跟蹤、帶寬使用以及其他授權等內容。還可告知管理人員哪些用戶已連接、他們位于何處、他們曾經位于何處、他們正在使用哪些服務以及他們曾經使用過哪些服務。
5.高安全性的無線網絡
思科統一無線解決方案的一個核心組件即是為LWAPP事務處理使用X.509證書和AES加密。X.509和AES加密內嵌在支持LWAPP事務處理的無線網狀網解決方案中,利用AES對網狀網節點間的所有流量加密。完整的數據包傳輸路徑是從思科無線控制器到接入點,并最終到用戶。思科控制器封裝用戶數據包,并將其通過以太網轉發到正確的屋頂接入點(RAP)。RAP隨后加密用戶數據包,并通過回傳路徑進行傳輸。在到達目標MAP前,數據包可能會通過多個網狀接入點(MAP)。收到加密的用戶數據后,目標MAP進行解密,并利用客戶端指定的加密方法,將其無線傳輸到客戶端。為進行雙向驗證,網狀接入點節點間支持EAP / PSK。
四、相關產品介紹
1.Cisco? Aironet? 1520介紹
Cisco? Aironet? 1520系列輕量室外網狀接入點能夠經濟高效、可擴展地部署安全的室外無線局域網。Cisco Aironet 1520系列適用于城市Wi-Fi部署,支持公共接入、公共安全或托管服務,也能用于企業園區室外Wi-Fi擴展。
Cisco Aironet 1520系列是支持符合IEEE 802.11a和802.11b/g標準的雙頻產品。此外,還支持多種上行鏈路連接選擇,如千兆以太網(1000BaseT),以及小型可插拔(SFP)光纖插槽(100BaseBX)或有線調制解調器接口。所支持的電源選項包括480VAC、12VDC、電纜電源、以太網供電(POE)和內置備用電池。它采用了思科的自適應無線路徑協議(AWPP),可與遠程網狀網接入點間動態的構成無線網狀網,并同時為任意Wi-Fi兼容客戶端設備提供安全、高容量的無線接入。
Cisco Aironet 1520系列輕量室外網狀接入點的雙頻無線收發器配置將802.11a無線收發器專用于接入點到接入點通信,使網狀網能最大限度地利用所有可用信道,減少未許可設備的干擾,并縮短延遲。雙無線收發器配置通過微蜂窩設計,提供高系統容量,支持語音和視頻等實時應用。
2.Cisco? 5500 系列無線控制器介紹
5500 系列針對高性能無線網絡進行了專門優化,可以提供增強的移動性,幫助企業為下一波的移動設備和應用發展浪潮做好充分準備。5500 系列支持更高的客戶端密度,可提供更高效的漫游,吞吐量至少是現有 802.11a/g 網絡的九倍。 5500系列可以自動執行無線配置和管理功能,為網絡管理人員提供必要的監控能力,從而經濟高效地管理、保護并優化他們無線網絡的性能。5500 系列內置 CleanAir 技術,通過實時和歷史射頻干擾信息和跨網絡接入來為快速故障排除提供解決方案,以保護 802.11n 性能。作為思科統一無線網絡的組成部分,該控制器可在 Cisco Aironet? 接入點、Cisco 無線控制系統 (WCS) 和思科移動服務引擎之間實現實時通信,從而提供集中的安全策略、無線***防御系統 (IPS) 功能、以及屢獲殊榮的射頻管理和服務質量 (QoS)。
3.無線交換機+瘦AP特點介紹
⑴.集中控制與管理
無線交換機+瘦AP架構具有簡單而強大的無線局域網集中式管理功能,AP本身并不存放任何的配置文件,AP的配置是從無線交換機上獲取的,通過無線交換機管理模式可以統一管理整個無線網絡的AP。
⑵.即插即用的網絡部署
無線交換機可被部署于數據中心,全網的AP設備可跨越二層或三層網絡與無線交換機連接。當一個新的AP設備被連接入網絡時,將立即被無線交換機發現并配置,用戶無須在現場進行任何配置,即可隨時開通,實現即插即用的網絡部署。
⑶.網絡自愈功能
無線交換機能實時偵測出線上AP是否存在失效,當發現有AP出現故障時,無線交換機會自動檢測這個故障,并指示附近的接入點調整功率和信道設置來彌補發生故障的接入點留下的空缺。若有新的接入點加入,其他接入點應能降低功率發射,以避免產生沖突。
⑷.無線接入的負載均衡
為了更合理地分配帶寬,在無線交換機里有全部分布AP的列表和負載狀況,無線交換機會根據一定的算法,指示一些連接用戶數量較多的AP把其覆蓋范圍內的無線用戶或終端分散連接到鄰近的AP上,從而分擔AP的負擔,達到最佳的使用效果,充分利用網絡資源。
⑸.安全性
瘦AP架構的無線系統的安全管理是將訪問控制、安全認證、防病毒、無線***監測以及RF電磁波管理等多項安全功能匯聚到無線交換機上來完成,通過集中式安全管理增強了無線安全性。此外,當用戶漫游時,在無線交換機之間共享用戶特定的安全策略將能夠在整個無線網絡范圍內統一控制用戶屬性和組屬性。
⑹.QoS
無線交換機支持基于分類的流量隊列,以確保無線語音(VoWLAN)或其他時延敏感的應用能獲得所需的服務等級和服務質量;同時支持帶寬限制,可針對重要的數據傳輸應用,提供優先的帶寬保證。支持802.1p/Diffserv等,可在無線和有線網絡上有效區分數據流。
⑺.流量分離
無線交換機可靈活配置無線接入點的數據轉發模式,根據數據的分類決定是否需要經過無線交換機轉發,或直接進入有線網絡進行數據交換。對于延遲敏感、傳輸要求實時性高的數據分類,可以不經過無線交換機而直接接入上層網絡,更好地適應未來無線網絡更高流量傳輸的要求,諸如VoWLAN、802.11n傳輸等。
4. Radius服務器認證與計費功能介紹
⑴、功能
(一)用戶認證
用戶認證過程:
1、用戶發送DHCP請示,請示中包含用戶名和密碼
2、向Radius服務器進行用戶認證。
3、Radius服務器通過用戶認證,返回認證成功信息。
4、完成DHCP+認證過程,返回用戶合法的IP地址配置。
(二) Radius計費
用戶計費過程:
1、通過DHCP認證,向用戶發送成功登錄。
2、Radius服務器開始計費。
3、用戶發送退出登錄請示。
4、Radius服務器收到用戶請示,結束計費。
(三)認證方式
網絡用戶可以使用以下認證方式:
1、基于帳號密碼的Web 用戶認證方式。
2、基于802.1Q 的VLAN 的Web 認證方式。
3、基于帳號密碼的客戶端認證方式。
4、用戶的網絡可以支持多種設置,計費系統支持以下方式:
1)動態分配IP;
2)IP地址綁定網卡地址;
3)即插即用;
4)固定專線IP。
5)建議采用動態分配IP+Web 瀏覽器認證的辦法。
(四)計費安全
用戶與網絡計費系統之間的通信使用專用的加密技術,并且輔助以其他手段來達到網絡安全的目的。
1、應用NAT 技術,使內部網和Internet 實現充分隔離,內部用戶可以訪問校園網外部用戶,外部用戶特殊用戶可以訪問內部用戶,讓內部網用戶共享上網的同時,保證了內部網絡的安全;
2、通過路由器進行NAT 轉換;NAT 技術和路由轉發技術并存;
3、可以屏蔽某些服務和網站,支持路由規則或防火墻通道設置,提供無限個IP地址的過濾表;支持賬號綁定IP 功能;支持MAC-IP 地址綁定功能。
(五)計費方式
用戶的收費報表、費用查詢和月度統計報表等等的功能。可以根據用戶的需要選擇基于時間、流量、包月、封頂、增值服務等計費方式,同時支持優惠時段,根據不同的增值服務類型收費等多種靈活的功能;提供專業開戶、計費、統計、監示和查詢等網絡版營運軟件,可打印完善的月收費報表,或者提供其它管理系統的接口數據和生成商業銀行收費的接口文件。
1、按時間段:按用戶登錄到用戶退出登錄的時間段計費。
2、按流量計費:按用戶上網端口的流入、流出數據量(字節數、數據包數)多少計費。
3、實時計費:根據用戶信用度值計費;根據用戶的預付款值計費。
4、優惠日計費管理:包括節假日、星期、特定日。
5、按累積時長優惠;按累積流量優惠。
6、按特定時間段優惠按使用流量分段優惠。
7、設定上網卡費率;多業務合一卡計費。
8、同一服務不同用戶群定義不同資費政策。
(六)增值服務計費
提供多種增值服務的計費,并且后臺管理可以增加增值服務項,也可以設置多種增值服務的組合。計費系統內置了視頻點播、語音交流、網絡游戲等增值服務的接口,用戶網絡費用帳單與增值服務使用帳單全部可以通過計費系統統一打印給出。
⑵、系統組成
寬帶計費系統組成:
1、Radius認證服務器,完成用戶認證、授權和計費信息采集功能。
2、Radius管理系統,對Radius服務器進行配置,管理NAS和在線用戶。
3、用戶管理系統,提供用戶管理、繳費、計費策略定制、統計、審計等功能。
4、帳單系統,可按時批量出帳單。
5、用戶服務系統,提供用戶修改密碼,查詢上網記錄和帳單的服務。
(一)Radius認證服務器
Radius認證服務器是計費系統最核心的部分,認證又稱為AAA ,它包含三個方面內容:Authentication (鑒別)、Authorization (授權)、Accounting (計費)。Radius協議是目前應用最廣泛,并已發展成為事實上的AAA標準協議。
Radius用戶認證系統功能特點如下:
1、支持PPPOE、WEB LOGIN、DHCP等多種接入認證方式
2、支持Radius標準協議
3、支持帶寬管理
4、可運行于Windows NT、Windows 2000,Linux和Solairs操作系統平臺。
5、可掛接Oracle,MS SQL Server,Borland InterBase等多種后臺數據庫。
6、符合RFC2865、RFC2866和RFC2869標準,支持EAP。
7、高效的用戶認證和計費信息采集,每秒可處理100次以上的認證和計費信息采集。
8、支持在線用戶唯一性限制或者指定某用戶的最大同時在線數量。
9、支持帳號和主叫(MAC地址)的綁定。
10、支持帳號和IP地址的綁定。
11、支持帳號和VLAN ID的綁定。
(二)Radius管理系統
Radius管理系統運行于Window平臺,可以管理本地和遠端的Radius,可完成對Radius服務器的配置,比如添加NAS,管理用戶在線表。
對于寬帶接入設備,Radius管理系統還增加了一些網管功能:
1、應用SNMP查詢和同步NAS上用戶在線表。
2、應用SNMP將用戶實時斷線。
3、應用SNMP取得NAS的運行狀態參數。
(三)用戶管理系統
用戶管理系統運行于Window平臺,提供用戶管理、繳費、計費策略定制、統計、審計等功能。
1、用戶管理
2、帳目管理
3、服務和計費策略管理
4、用戶統計分析
5、管理員分級管理
6、系統日志
(四)帳單服務器
帳單服務器主要針對月結算后付費的用戶月費結算,可按照運營商指定的計費周期(比如每月1日到月底,或者上月的21日到本月20日)和各個用戶具體的計費策略進行月帳單結算。
(五)用戶服務系統
以WEB訪問的形式向所有用戶服務:
1、提供修改密碼
2、查詢上網記錄
3、查詢帳單的服務
⑶、設備配置
(一)小規模應用方案
如在建設初期,網絡規模小,用戶數量較少,技術維護支持力量有限,小規模應用方案就是為滿足處于起步階段的這種中小規模運營點的需求而專門設計的。
該方案全部采用Windows平臺搭建支持HA的Radius服務器,同時要求NAS支持雙Radius主備切換。采用三臺PC Server,全部安裝Windows 2000,其中一臺安裝Oracle Server或者MS SQL Server。
(二)大規模應用方案
當網絡用戶達到一定規模時,可采用更高端的解決方案。該方案為Radius雙機熱備份方式,采用兩臺SUN服務器,后臺數據庫為Oracle,兩臺SUN服務器都安裝了Radius服務器和Oralce數據庫服務器,兩臺機器的Oracle數據庫服務器共享存儲介質(采用外置磁盤陣列,Mirror),共享一個IP地址,HA采用第三方軟件Rose實現,包括Rose HA Oralce Agent。
當主服務器失效的時候,備份服務器上的Rose會接管主服務器的IP地址,接管Oralce服務和啟動備份服務器上的Radius服務器。該方案主備角色明確,兩臺服務器只有一臺是在服務的,其優點是NAS上可不支持雙Radius失效切換。
采用兩臺SUN E450服務器,Sparc II 400MHZ CPU,1G內存,18.2G硬盤,預裝Solaris 7;數據庫采用Oracle 8.1.5i企業版,10用戶;數據庫部分存貯介質采用A1000共享磁盤陣列,容量72G,可擴充;配置磁帶機為數據庫備份用;雙機熱備份軟件采用Rose HA for E450 + Rose HA Oracle Agent。
注:產品相關鏈接
Cisco? Aironet? 1520系列:
http://www.cisco.com/web/CN/products/products_netsol/wireless/products/aironet1500/aironet_1520.html
Cisco? 5500 系列無線控制器:
http://www.cisco.com/web/CN/products/products_netsol/wireless/products/5500controllers/controllers_5500.html
轉載于:https://blog.51cto.com/zouxianjun1218/1579831
總結
以上是生活随笔為你收集整理的cisco无线网络实施方案的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: ansible+heartbeatV2构
- 下一篇: OSPF协议介绍及配置 (下)