【文章內(nèi)容簡(jiǎn)介】 ，以上二信號(hào)衰減模型進(jìn)行網(wǎng)絡(luò)的設(shè)計(jì)，到具體網(wǎng)絡(luò)實(shí)施時(shí)要進(jìn)行工勘與優(yōu)化，而對(duì)于信道主要采用11三個(gè)信道交錯(cuò)使用，具體的面覆蓋邏輯示意圖如下： 頻率復(fù)用針對(duì)頻率復(fù)用的設(shè)計(jì)與實(shí)現(xiàn)主要側(cè)重于重疊區(qū)域，這樣會(huì)導(dǎo)致從網(wǎng)絡(luò)實(shí)施的角度出發(fā)，沒(méi)有辦法做到像GSM、3G網(wǎng)絡(luò)的控制力度，從技術(shù)原理的角度出發(fā)，沒(méi)有辦法實(shí)現(xiàn)很好的頻率復(fù)用，只能被動(dòng)做些負(fù)載均衡的功能。每個(gè)AP具有300Mbps、150Mbps、54Mbps、48Mbps、36Mbps、18Mbps等的覆蓋范圍，對(duì)于54Mbps的覆蓋范圍不重疊，對(duì)于54Mbps與18Mbps就可能進(jìn)行重疊，可以根據(jù)網(wǎng)絡(luò)側(cè)的負(fù)載功能進(jìn)行實(shí)現(xiàn)一定程度的頻率復(fù)用功能，從網(wǎng)絡(luò)規(guī)劃的角度出發(fā)，WLAN基本上、下行無(wú)線鏈路復(fù)用的處理問(wèn)題，因?yàn)槟壳岸际荄CF方式，而從只能結(jié)合業(yè)務(wù)目標(biāo)實(shí)現(xiàn)網(wǎng)絡(luò)覆蓋效果。 AP容量規(guī)劃從業(yè)界實(shí)現(xiàn)的DCF方式來(lái)看，沒(méi)有一個(gè)最大用戶數(shù)的限制，但業(yè)界各個(gè)廠商進(jìn)行實(shí)現(xiàn)時(shí)都基于一定理解的前提下進(jìn)行默認(rèn)限制，H3C目前每個(gè)AP單射頻最大的用戶默認(rèn)限制為64個(gè)用戶，從網(wǎng)絡(luò)規(guī)劃的角度出發(fā)，按每個(gè)AP支持20個(gè)用戶進(jìn)行網(wǎng)絡(luò)規(guī)劃。AP的最大凈荷吞吐量為：23Mbps，用戶的增加總帶帶下降量不大， 100kbps/用戶，按128用戶進(jìn)行規(guī)劃；300kbps/用戶按64用戶進(jìn)行規(guī)劃；1Mbps/用戶按22用戶進(jìn)行規(guī)劃；2Mbps/用戶按11用戶進(jìn)行規(guī)劃； ，從系統(tǒng)能力的角度出發(fā)，可以支持64用戶接入。，除開無(wú)線開銷，真正可用的帶寬為24M，同時(shí)，接入用戶數(shù)越多，無(wú)線網(wǎng)絡(luò)的使用效率就越低。因此，建議每個(gè)AP接入用戶數(shù)按20個(gè)人來(lái)計(jì)算。，覆蓋距離更大，能提供更多用戶、更大范圍、更大流量的無(wú)線接入服務(wù)。 負(fù)載均衡AP上支持標(biāo)準(zhǔn)的IAPP協(xié)議框架，通過(guò)負(fù)載均衡的部署，可實(shí)現(xiàn)在一個(gè)熱點(diǎn)內(nèi)用戶平均分配到所部署的所有AP上，達(dá)到在一個(gè)服務(wù)區(qū)AP接入用戶數(shù)何流量的平衡，為用戶提供更高的服務(wù)質(zhì)量。具體可部署的負(fù)載均衡策略有：對(duì)所有AP設(shè)置基于用戶數(shù)的負(fù)載均衡功能，AP通過(guò)對(duì)接入用戶數(shù)的統(tǒng)計(jì)，與設(shè)定AP接入用戶數(shù)量閥值比較，達(dá)到閥值后，不允許新的用戶接入。對(duì)所有AP設(shè)置基于流量的負(fù)載均衡功能，AP通過(guò)對(duì)接入用戶流量的統(tǒng)計(jì)，與設(shè)定AP上流量漏桶閥值上沿比較，達(dá)到閥值后，不允許新的用戶接入，少于閥值下沿，再允許新用戶接入。配合網(wǎng)絡(luò)規(guī)劃，設(shè)置AP群功能，在一個(gè)群內(nèi)的AP通過(guò)組播報(bào)文實(shí)時(shí)通報(bào)接入用戶數(shù)量，當(dāng)發(fā)現(xiàn)AP間用戶數(shù)差值大于設(shè)定閥值，接入用戶多的AP將部分用戶趕下網(wǎng)。第5章 無(wú)線網(wǎng)絡(luò)安全 用戶安全數(shù)據(jù)安全部分主要包括以下方面的內(nèi)容：MAC地址過(guò)濾：目前支持基于MAC地址的過(guò)濾，限制具有某種類型的MAC地址特征的終端才能進(jìn)入網(wǎng)絡(luò)中；對(duì)一些手持終端(例如：WiFi Phone、手持移動(dòng)終端等)并不方便采取電腦上的認(rèn)證方式，MAC地址認(rèn)證卻可以輕松解決該問(wèn)題，實(shí)現(xiàn)在控制器上配置好合法的MAC地址，這些MAC地址對(duì)應(yīng)的終端就可以被允許被接入到網(wǎng)絡(luò)，而事先沒(méi)有被配置的非法終端則不能接入無(wú)線網(wǎng)絡(luò)，該功能極大地方便了例如無(wú)線醫(yī)療系統(tǒng)等應(yīng)用，MAC地址認(rèn)證可以確保只有醫(yī)院的PDA工作終端才能接入到無(wú)線網(wǎng)絡(luò)，而拒絕病人的無(wú)線PDA使用專用無(wú)線網(wǎng)絡(luò)。SSID管理：是一種網(wǎng)絡(luò)標(biāo)識(shí)的方案，將網(wǎng)絡(luò)進(jìn)行一個(gè)邏輯化標(biāo)識(shí)，對(duì)終端上發(fā)的報(bào)文都要求進(jìn)行上帶SSID，如果沒(méi)有SSID標(biāo)識(shí)則不能進(jìn)入網(wǎng)絡(luò)；通過(guò)定義多個(gè)SSID，可以制定基于SSID的網(wǎng)絡(luò)服務(wù)，實(shí)現(xiàn)不同等級(jí)的用戶擁有不同的權(quán)限。WEP加密：WEP(Wired Equivalent Privacy)，用于提供一種加密機(jī)制，保護(hù)數(shù)據(jù)鏈路層的安全，使WLAN的數(shù)據(jù)傳輸安全達(dá)到與有線LAN相同的級(jí)別。WEP采用RC4算法實(shí)現(xiàn)對(duì)稱加密。通過(guò)預(yù)置在AP和無(wú)線網(wǎng)卡間共享密鑰。在通信時(shí)，WEP標(biāo)準(zhǔn)要求傳輸程序創(chuàng)建一個(gè)特定于數(shù)據(jù)包的初始化向量(IV)，將其與預(yù)置密鑰相組合，生成用于數(shù)據(jù)包加密的加密密鑰。接收程序接收此初始化向量，并將其與本地預(yù)置密鑰相結(jié)合，恢復(fù)出加密密鑰。WPA加密：WPA(WiFi Protected Access)是保護(hù)WiFi登錄安全的裝置。它分為WPA和WPA2兩個(gè)版本，是WEP的升級(jí)版本，針對(duì)WEP的幾個(gè)缺點(diǎn)進(jìn)行了彌補(bǔ)。不同于WEP，WPA同時(shí)提供加密和認(rèn)證。它保證了數(shù)據(jù)鏈路層的安全，同時(shí)保證了只有授權(quán)用戶才可以訪問(wèn)WLAN網(wǎng)絡(luò)。WPA采用TKIP協(xié)議(TemporalKeyIntegrityProtocol)作為加密協(xié)議，該協(xié)議提供密鑰重置機(jī)制，并且增強(qiáng)了密鑰的有效長(zhǎng)度，通過(guò)這些方法彌補(bǔ)了WEP協(xié)議的不足。WAPA加密：WAPI(WLAN Authenticationand Privacy Infrastructure)是我國(guó)自主研發(fā)并大力推行的WLAN安全標(biāo)準(zhǔn)，它通過(guò)了IEEE(注意，不是WiFi)認(rèn)證和授權(quán)，是一種認(rèn)證和私密性保護(hù)協(xié)議，但是能提供更加完善的安全保護(hù)。WAPI采用非對(duì)稱(橢圓曲線密碼)和對(duì)稱密碼體制(分組密碼)相結(jié)合的方法實(shí)現(xiàn)安全保護(hù)，實(shí)現(xiàn)了設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問(wèn)控制和用戶信息在無(wú)線傳輸狀態(tài)下的加密保護(hù)。WAPI除實(shí)現(xiàn)移動(dòng)終端和AP之間的相互認(rèn)證之外，還可以實(shí)現(xiàn)移動(dòng)網(wǎng)絡(luò)對(duì)移動(dòng)終端及AP的認(rèn)證。同時(shí)，AP和移動(dòng)終端證書的驗(yàn)證交給AS完成，一方面減少了MT和AP的電量消耗，另一方面為MT和AP使用不同頒發(fā)者頒發(fā)的公鑰證書提供了可能。無(wú)線方案中的密鑰設(shè)置可以根據(jù)SSID信息與用戶信息進(jìn)行組合，即不同的SSID下不同的用戶的密鑰生成可以不一樣，這樣可以做不到不同的用戶不同的管理方式，同時(shí)具備不同的權(quán)限。Portal認(rèn)證：Portal又稱為門戶網(wǎng)站，Portal認(rèn)證通常也稱為Web認(rèn)證。在部署了Portal認(rèn)證方式之后，未認(rèn)證用戶只能訪問(wèn)特定的站點(diǎn)服務(wù)器，其它任何訪問(wèn)都被無(wú)條件地重定向到Portal服務(wù)器，在輸入正確的用戶名和密碼后才能通過(guò)認(rèn)證；只有在認(rèn)證通過(guò)后，用戶才能訪問(wèn)其他站點(diǎn)。 系統(tǒng)安全無(wú)線終端的異常流量檢測(cè)及報(bào)警：無(wú)線網(wǎng)管提供全面的系統(tǒng)級(jí)統(tǒng)計(jì)數(shù)據(jù)：可提供包括錯(cuò)誤和流量的以太網(wǎng)統(tǒng)計(jì)數(shù)據(jù)，其中包括包的大小、無(wú)線統(tǒng)計(jì)數(shù)據(jù)以及用戶會(huì)話統(tǒng)計(jì)數(shù)據(jù)，它們保存為用戶在多個(gè)AP上的漫游記錄，并且都具有易查看的表格和圖表，以便快速識(shí)別數(shù)據(jù)走向?；谒蠥P上來(lái)的無(wú)線終端的數(shù)據(jù)都要通過(guò)AP與無(wú)線交換機(jī)之間的二層隧道進(jìn)行通信，因此所有無(wú)線終端的流量均可通過(guò)無(wú)線網(wǎng)管進(jìn)行統(tǒng)計(jì)，并且通過(guò)實(shí)時(shí)的統(tǒng)計(jì)報(bào)表呈現(xiàn)出所有用戶訪問(wèn)網(wǎng)絡(luò)流量，并通過(guò)設(shè)定流量閾值，一旦某無(wú)線終端流量超過(guò)閾值即實(shí)現(xiàn)異常流量的報(bào)警功能。用戶訪問(wèn)控制：提供基于身份的組網(wǎng)：提供基于用戶身份的所有服務(wù)，以使用戶在漫游時(shí)具有諸如虛擬專用組（Virtual Private Group）成員資格，并實(shí)現(xiàn)不同權(quán)限的劃分；在實(shí)際應(yīng)用中可通過(guò)給不同部門分配不同的用戶名訪問(wèn)無(wú)線網(wǎng)絡(luò)，并給予不同部門不同的訪問(wèn)權(quán)限。 無(wú)線入侵檢測(cè)WIDS非法設(shè)備是未經(jīng)網(wǎng)絡(luò)管理者許可部署的無(wú)線設(shè)備或者是發(fā)起無(wú)線攻擊的設(shè)備。無(wú)線控制器可以指定AP工作在兩種工作模式：模式一、AP負(fù)責(zé)監(jiān)聽空口所有信道的信息，但不負(fù)責(zé)用戶報(bào)文的轉(zhuǎn)發(fā)。模式二、AP在為用戶轉(zhuǎn)發(fā)數(shù)據(jù)的同時(shí)定期切換到其他信道監(jiān)聽信息。AP設(shè)備負(fù)責(zé)把監(jiān)聽到的無(wú)線設(shè)備和有攻擊行為的無(wú)線設(shè)備上報(bào)給無(wú)線控制器。無(wú)線控制器根據(jù)AP上報(bào)的設(shè)備信息識(shí)別非法設(shè)備，排除合法設(shè)備。無(wú)線控制器可以控制AP 將非法設(shè)備列入黑名單或者對(duì)其發(fā)起攻擊。非法設(shè)備檢測(cè)比較適合于大型的WLAN網(wǎng)絡(luò)。通過(guò)在已有的WLAN網(wǎng)絡(luò)中部署非法設(shè)備檢測(cè)功能，可以對(duì)整個(gè)WLAN網(wǎng)絡(luò)中的異常設(shè)備進(jìn)行監(jiān)視，并且可以根據(jù)需要對(duì)非法的設(shè)備進(jìn)行防攻擊處理（在實(shí)際的網(wǎng)絡(luò)應(yīng)用中，可以啟動(dòng)防攻擊功能，即WIDS會(huì)盡量阻止非法的設(shè)備提供服務(wù)或者接入到無(wú)線網(wǎng)絡(luò)）。非法設(shè)備檢測(cè)可以檢測(cè)并且分類WLAN網(wǎng)絡(luò)中的多種設(shè)備，例如非法AP，非法無(wú)線終端，非法無(wú)線網(wǎng)橋等等。入侵檢測(cè)主要為了及時(shí)發(fā)現(xiàn)WLAN網(wǎng)絡(luò)中的有意或者無(wú)意的攻擊，通過(guò)記錄信息或者日志方式通知網(wǎng)絡(luò)管理者。根據(jù)入侵檢測(cè)的結(jié)果，網(wǎng)絡(luò)管理者可以及時(shí)調(diào)整網(wǎng)絡(luò)的配置，去除WLAN網(wǎng)絡(luò)的不安全因素，保證WLAN網(wǎng)絡(luò)不再受到攻擊。、AP Spoof檢測(cè)以及Weak IV檢測(cè)，而且其中Flood攻擊檢測(cè)可以根據(jù)不同類型的報(bào)文進(jìn)行攻擊檢測(cè)。接入控制根據(jù)特定的屬性實(shí)現(xiàn)了對(duì)無(wú)線客戶端接入WLAN網(wǎng)絡(luò)的權(quán)限控制。目前WIDS接入控制主要根據(jù)MAC地址進(jìn)行規(guī)則控制，并且支持兩種控制規(guī)則：黑名單和白名單。其中白名單只能通過(guò)手動(dòng)進(jìn)行配置；而黑名單同時(shí)支持手動(dòng)配置方式和動(dòng)態(tài)添加方式，入侵檢測(cè)系統(tǒng)和非法設(shè)備檢測(cè)模塊檢測(cè)到非法攻擊，可以動(dòng)態(tài)地將該非法設(shè)備添加到黑名單中，后續(xù)所有從該設(shè)備接收到的報(bào)文會(huì)被直接丟棄，從而保護(hù)了WLAN網(wǎng)絡(luò)不再受到該非法設(shè)備的攻擊。 第6章 無(wú)線網(wǎng)絡(luò)QOS 漫游切換支持無(wú)線終端在無(wú)線網(wǎng)絡(luò)中移動(dòng)時(shí)，必然要進(jìn)行不同AP之間、所屬不同有線交換機(jī)之間的漫游切換。首先無(wú)線終端會(huì)通過(guò)無(wú)線局域網(wǎng)服務(wù)器的CAMS軟件進(jìn)行第一次的安全接入認(rèn)證，無(wú)線交換機(jī)會(huì)介入該認(rèn)證過(guò)程，并獲得PMK（Pairwise Master Key）。無(wú)線終端根據(jù)PMK生成多個(gè)通訊用密鑰，開始進(jìn)行加密會(huì)話。當(dāng)無(wú)線終端發(fā)現(xiàn)需要進(jìn)行切換時(shí)，會(huì)進(jìn)行如下操作：與無(wú)線交換機(jī)進(jìn)行連接的預(yù)建立；無(wú)線交換機(jī)與需要建立連接的AP交換通訊用PMK密鑰，并將PMK密鑰傳給無(wú)線終端；無(wú)線終端發(fā)布更新消息，更新無(wú)線交換機(jī)轉(zhuǎn)發(fā)表；原有的數(shù)據(jù)流轉(zhuǎn)換到新的AP上來(lái)；切斷原有的數(shù)據(jù)連接。整個(gè)LL3漫游過(guò)程在50ms內(nèi)全部完成，并兼容IEEE 、可良好支持語(yǔ)音、視頻等多媒體業(yè)務(wù)的需求?？紤]到具有語(yǔ)音與視頻的潛在需求，可以通過(guò)設(shè)置專門的SSID作為語(yǔ)音/視頻業(yè)務(wù)使用，通過(guò)劃分VLAN方式實(shí)現(xiàn)語(yǔ)音終端僅僅與語(yǔ)音網(wǎng)關(guān)進(jìn)行通信，保證語(yǔ)音業(yè)務(wù)與數(shù)據(jù)業(yè)務(wù)隔離開來(lái)。