2016WLAN无线城市智慧wifi覆盖整体解决方案

2016WLAN无线城市智慧wifi覆盖整体解决方案“无线城市”应用和需求分析“无线城市”的理念和目标“无线城市”首先能使用户实现随时随地的上网，增加了便利性，提高了信息应用效率。第二“无线城市”是一种更加便利的网络部署方式，而且理论上成本会很低，所以会更迅速提高城市的信息化水平。第三“无线城市”无处不在的宽带网络可有效促进物联网的快速成长，催生孕育更为广阔的无线机器互联应用市场。建设一个具备综合信息化支撑能力的无线城市，以高水平的信息基础设施构建优越的商务环境和优质的生活环境，将有效支撑卓越的城市创新理念，提高城市的整体实力，增强城市的竞争力。在此基础上，提出建设“无线城市”，致力于为政府、企业、家庭、个人等提供一站式的信息服务。“无线城市，无限精彩”将成为一张美丽的城市名片，给城市的商务旅游、社会管理、公共服务、生活学习和休闲娱乐等带来卓越的效益。“无线城市”建成之后，所有在工作、生活、旅游的人都将可以通过无线方式宽带上网，体会到无处不在、随时随地的信息服务，以高品位的商务、办公、生活和旅游环境吸引一流的企业和高素质的人才；政府社会管理和公共服务功能也将充分利用这个无线网络平台，提高政府管理和服务水平。“无线城市”将会积极融入“智慧城市”整体规划中，为打造“智慧”奠定基础，同时“无线城市”项目还具有巨大的经济价值和广泛的社会意义。公众需求分析对于公众，无线宽带网络的应用为人们之间的沟通提供多元化的渠道和方式，人们可以在家里、娱乐场所、酒店、机场、绿地、会议中心等场所，随时随地的享受无处不在的网络接入服务，真正实现数字化生活。另外，无线宽带网络还能够提供无线定位服务、各种公共信息服务等，无线宽带网络将在商务、旅游、家居、学校和医院等社会生活的诸多领域，都具有广阔的应用前景。无线网络接入需求：任何地点、任何时间和任何人实现无线宽带网络的接入。公共信息的获取：天气预警、公告信息、市政信息、交通拥堵状况等信息的及时获取和掌握。电子导航：在线电子地图，对于交通状况的实时了解；失物无线定位和跟踪等。旅游信息：旅游景点宾馆酒店的查询，航班、车票的预订；无线出租车服务，无线旅游景点咨询等。医疗服务：远程专家诊断、移动挂号、老人小孩的居家照顾、急救通报，医生在病房随时获取病人的病史和病情的详细信息等。孕妇及婴儿的全方位保健需求，个人无处不在的医疗预防信息提醒和忠告等。休闲娱乐：在线游戏、在线电影、无线网上购物、无线音乐、在线聊天、娱乐视频等。生活学习：无线点餐、无线家具生活、无线支付、网络逛街；在线续借图书、远程教学等。移动办公：在线交易、在线转账、商务服务、上传下载文件、收发邮件办公、异地办公等。政府需求分析随着我国社会经济的不断发展以及和谐社会的建设要求，如何有效、综合利用政府资源，提高自身的日常工作效率，增强应变突发事件的能力，已经越来越成为政府部门的一个非常重要的工作。对政府来说，遍布城市以及联动城市的无线宽带网络可以为政府的公共安全、智能交通、公共管理、行政执法等城市职能部门提供用于电子政务、智能办公、应急救助、远程信息交互等功能的移动宽带网络接入服务；在自然灾害、紧急事故、重大突发安全事件的快速反应和抗风险能力方面，以及在特殊需求方面，无线宽带网络更能体现出不可替代的优势。“无线城市”技术方案总体原则安全性原则：WLAN网络作为开放性的无线接入网络，所以网络建设规划时需注重对用户的安全性及网络的安全性的考虑。可靠性原则：WLAN网络需保证网络的信号质量、设备的稳定运行、避免关键节点的单点故障，为客户提供可靠的WLAN无线接入业务。可运营性原则：WLAN网络系统的设备应方便管理，易于维护，便于进行系统配置，可统一的监控设备参数、数据流量、系统性能等，并可以进行远程管理和故障诊断。可扩展性原则：WLAN系统设备不但要满足当前需要，并且网络的扩展性方面要满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在可向新的技术升级，能保护已有的投资。整体方案“无线城市”技术方案结构分为三部分，如下图所示：热点目标覆盖区WIFI建设，总部运维中心。热点覆盖区WIFI建设需要根据覆盖场景的特点选择合适的AP提供无线WLAN网络，是无线网络建设的重点。运维中心用于管理海量的AP设备和无线用户的管理。运维中心运维中心是整个“无线城市”的神经中枢和大脑。其主要负责的工作分为两大部分，一是对整个“无线城市”网络进行基本运维管理，保证整个网络的正常运作；二是将应用开发平台所需要的信息进行收集，并将应用开发平台所需要推送的信息进行发布。热点目标覆盖按照热点目标地区按照环境特点、用户对象不同可以基本划分为大、中、小三种覆盖场景。其中大型场景指所需WIFI覆盖范围大，室内及室外AP数量达到上百个甚至上千个，数据流量大，设备数量多的场景。如市政府集中办公区、机场、火车站、图书馆、医院等，一般属于该场景。在这种场景下，一般WIFI的覆盖采用AP+AC（无线控制器）+FW的方式实现。通过功能强大的AC，可以很好地协调成百上千的AP协同工作，实现集中管理。在该场景的互联网出口一般部署防火墙设备，一方面实现大量用户的地址转换（NAT），另一方面可通过VPN技术将本网络的认证信息和NAT日志信息等上传至运维中心。中型场景指所需WIFI覆盖范围较小，市内及室外AP数量小于一百个，数据流量不大，设备数量不多的场景。如区县政务中心、公园、广场、商业圈等，大部分数属于该场景。在这种场景下，一般WIFI的覆盖采用AP+Router（带AC功能）的方式实现。通过Router自带的无线管理功能，可实现对本区域内AP的集中管理。同时通过Router所集成的NAT、VPN、Log等功能，实现地址转换，加密信息传输和NAT日志信息收集及上传等功能。小型场景指所需覆盖范围小，使用单个WIFI设备即可覆盖的场景。如公交站台、独立商户等属于该场景。在这种场景下，一般采取目标区域放置一个AP，AP统一由总部AC管理，但是用户上网的数据通过借用现网的互联网出口，将本地WIFI流量上传至Internet。用户认证管理解决方案用户身份验证方式WLAN无线空口认证主要方式有开放系统认证（Open-systemAuthentication）、WEP、WPA1/WPA2和WAPI四种。OPEN和WEP方式是简单的物理层认证方式，安全性较差，WPA1/WPA2和WAPI方式除了物理层认证之外还增加了用户认证的鉴定，安全性更高。开放系统认证是IEEE802.11标准要求必备的一种方法，是最简单的认证算法，即不认证。如果认证类型设置为开放系统认证，则所有请求认证的客户端都会通过认证。在这种方式下，所有符合802.11标准的终端都可以接入到WLAN网络中来。开放系统身份验证比较适合有众多用户的电信运营WLAN网络。用户身份认证，其通过提供有限的访问权限来验证用户身份，只有确定用户身份后才给予完整的网络访问权限，可有效判别用户的合法性。WLAN的链路层身份验证主要有Portal(DHCP+WEB)、MAC、802.1X、WAPI等几种认证方式，可以根据具体情况选择，可以配合网络层认证使用。WLAN无线线网络用户认证方式通过采取以下几种组合，具体如下表所示。认证组合应用情况Open+Portal主流应用，运营商网络WLAN网络Open+Portal+MAC主流应用，是Open+Portal认证的衍生方式WEP+Portal基本没有应用，维护WEP密码麻烦WEP+802.1X早期EAP-SIM认证方式，运营商WLAN分担2G/3G流量场景WPA/WPA2-PSK+Portal基本没有应用，维护WEP密码麻烦WPA1/WPA2+802.1X主流应用，学校，企业，医院，政府等企业网大量使用。WAPIPSK没有使用WAPI没有使用针对“无线城市”项目，面向政府或企事业单位职员的认证推荐使用WPA2+802.1X的方式，确保数据的安全和可靠；面向普通市民的认证方式推荐Open+Portal+MAC的方式，方便实现身份鉴定，方便开展增值业务。这种认证方式只需要在第一次接入WIFI时通过Portal网页进行认证，以后市民再连接WIFI时就无需输入用户名密码，方便快捷（免认证的时间，可以同配置）。对于临时访客和游客，可以采取限时访问的方式，这种模式下用户每次登录只能允许有一定时间的访问网络权限，超时后必须重新登录。登录口令可以通过短信，微信，APP客户端的方式下发（APP客户端认证方式需要对接和开发）。针对“无线城市”项目，市政府集中办公区、机场、火车站、图书馆、医院等AP规模较大的场景，推荐集中认证-集中转发模式；公交站台、独立商户等AP规模较小的分支场景，推荐使用集中认证-本地转发。这里所讲的“集中认证”指的是无线用户的认证网关集中到AC上认证，不是AAA系统。用户策略管理用户策略是指用户认证通过后，基于用户角色对可访问网络资源进行的安全控制。1、管理员在控制器中创建用户账号、用户组，同时将用户账号加入其所属的用户组，然后为用户统一定义基于用户组的网络访问策略（即用户组策略）。2、敏捷交换机（自带随板AC）作为策略执行点和准入认证点设备，和Controller建立关联后，控制器将管理员配置的网络访问策略下发给所有关联的设备上，在执行策略的设备上生成基于用户组的业务模板。3、用户启动认证，在认证过程中，控制器根据用户的登录信息，将其与用户组关联。认证成功后，控制器将该用户所属用户组下发给敏捷交换机。4、在敏捷交换机上，基于controller下发的用户组信息，实施UCL策略控制，限制访问资源权限、用户带宽等策略。5、用户在“无线城市”的任何地方登陆，由于准入设备（PEP）都预置了业务策略，用户重新认证上线后，可具有一致的网络访问策略，实现业务随行。2.4数据传输解决方案数据传输通道热点WIFI覆盖到总部运维中心的数据传输通道推荐充分利用现有网络环境或者租赁运营商网络，避免重复投资。当前主要可分为三种情况：a）利用以太交换机传输；b）利用PON网络传输；c）利用CMTS网络传输。考虑租赁运营商网络费用昂贵，该传输通道主要承载用户认证，日志信息以及增值业务等，无线用户的访问互联网的流量建议全部走本地internet出口。无线服务质量“无线城市”网络可以建立成一个旅游，娱乐，餐饮等等于一体的内部服务网络，里面可以插入丰富的多媒体视频资源，介绍成都各个旅游景点，城市特色等等，这样将产生大带宽的需求。由于空口带宽资源有限，而且本质是一个共享的资源，使得空口资源的QoS调度非常关键，空口QoS调度能力，直接影响整个“无线城市”网络的体验。为此，需从多层级的流量控制、强大的优先级调度和灵活的标签映射等多个方面，提供丰富灵活的QoS服务质量，确保用户端到端的业务体验。多层级的流量控制能力：基于SSID的流量控制、基于AP的流量控制、基于用户的流量控制，并且支持多层级的组合使用。通过这些手段，管理员可以按不同的接入区域/热点设定不同的上下行流量带宽限制，比如公共场所AP提供带宽小于办公场所的带宽；可以指定具体账号的带宽限制，比如公共账号提供2M的带宽限制，以防止恶意的带宽占用；对于部分场合可以部署多种SSID接入服务，比如一个是XXXX无线城市，一个是XXXX市政，为两个不同的SSID接入服务设定不同的带宽资源。网络可靠性解决方案网络的稳定性是每一张网络都重点关注的事情之一。“无线城市”网络的可靠性一般重点关注组网的可靠性和设备的可靠性两个方面。组网的可靠性AC控制器作为WLAN的关键组件，负责AP管理、用户认证和无线流量转发等重要功能，因此AC控制器的稳定性设计就是不可忽视的问题。针对“无线城市”的具体场景，推荐以下两种备份方式：各热点与总部之间，推荐AC控制器N+1冷备份“无线城市”项目，通常都有很多个热点和应用场景，单个AC很难完全实现对各热点接入用户的认证和AP管理。通过采取分布式部署，即每个大中型热点和总部分别部署AC，小型热点只部署AP，不部署独立的AC，由总部AC统一管理。为了保证网络的