xxx电视台WLAN无线网络技术规2014年10月文档说明本文档中所包含的信息属于信息，如无xxx电视台的书面许可，任何人都无权复制或利用。

1前言目前xxx电视台的业务数据、管理数据传输主要依赖有线网络传输。

随着业务的不断增加和调整，传统的有线网络在灵活性、移动性、可扩展性方面具有一些明显的不足。

如：1. 办公人员、技术人员等日常通过办公环境需处理的各类事务，因为工作原因不在办公室时往往也需要及时处理一些重要的工作，但有线网络不能随时接入，从而降低了工作效率。

2. 来宾需要网络服务时，如果直接接入到有线网络中，不方便并带来安全隐患。

3.公司员工也更加趋于使用iphone、ipad等智能移动终端获取信息、办公和处理相关业务。

因此，本台考虑部署无线局域网网络，满足业务要求和公司员工办公要求。

为此，集团特制订本规，为全公司各办公楼层选择WLAN无线技术组网提供相关指导。

1.1文档目的本文档作为xxx电视台各办公楼层WLAN无线局域网规，对各楼层WLAN无线网的总体设计、相关技术和实施标准进行了规定，是各楼层WLAN无线网建设的依据。

本文档容只对技术相关容进行定义、描述、规和指导，不涉及非技术类问题。

1.2文档围本文档容涵盖xxx电视台各办公楼层WLAN无线网建设的如下方面技术容：●WLAN技术标准●xxx电视台WLAN应用场景●xxx电视台WLAN部署架构规●xxx电视台WLAN安全部署规●xxx电视台WLAN高可用性规●xxx电视台WLAN管理规●xxx电视台WLAN产品要求及标准●xxx电视台WLAN部署注意事项等1.3目标读者本文档的主要读者为xxx电视台办公网网络相关管理、设计及实施维护人员。

本文档主要面向负责xxx电视台办公网网络相关管理、设计及实施维护人员及服务商的项目实施小组成员。

2WLAN建设原则●业务保障性原则WLAN无线技术有方便接入、方便移动、便于扩展等优点，但是它是一种无线电通信技术，无线信号受环境影响，同时，不同WLAN无线技术制式标准实现的带宽也不同，所以，采用此技术组网，要考虑采用的技术标准、带宽保障、可靠性保障、安全保障、便于运维管理等，以能够保障对相关业务处理和保障办公管理业务处理为出发点。

●可靠性原则稳定可靠的网络是应用系统正常运行的重要保证，WLAN网络也应遵循可靠性原则，应采用高可靠性的网络产品和完备的网络可靠性设计方案，保障WLAN无线网络的可靠性和故障自愈能力。

●安全性原则遵循公司统一的安全策略和信息安全保障体系架构基础上，尽量采用能够保障无线通信安全的有效措施，保证数据在WLAN无线网络上的数据安全、身份安全。

●可管理性原则遵循接入网建设规，WLAN无线网络建设要充分考虑日后扩展后规模后的可管理性，实现无线用户、设备、部署、运维的有效管理。

●可扩展性原则WLAN网络建设需要统筹规划，在可靠、安全的基础上，最好建设之初就考虑采用可扩展的技术和架构，实现根据终端数量的增加可以做到平滑顺利扩展，降低重复建设成本和管理成本。

3WLAN技术标准3.1WLAN组网模式目前WLAN有两种组网模式，分别为自治式组网和集中式组网。

自治式组网由一个或多个的独立接入点胖AP构成，所有配置、管理、安全等功能都在胖AP上完成。

自治式组网模式在AP数量少、用户数量少及网络结构简单的环境中进行部署；如图1所示：Figure 1 WLAN自治式组网集中式组网由无线控制器和轻型无线接入点瘦AP组成。

如图2所示：●无线控制器无线控制器集中了对AP配置、管理、安全策略控制、通信控制等功能与一身，负责无线网络的接入控制，转发和统计、AP的配置和监控、漫游管理、AP 的网管代理、安全控制；AP和无线控制器间采用隧道协议进行通讯。

●无线接点瘦AP轻型无线接入点AP：负责射频信号收发和射频扫描、802.11报文的加解密、转发、接受无线控制器的管理等功能。

瘦AP上基本为“零配置”，所有配置都集中到无线控制器上。

Figure 2 WLAN集中式组网就目前两种WLAN组网模式进行对比；自治式组网方式，在AP少、用户量少、网络结构简单的情况下，宜采用自治式组网方式；集中式组网方式，是目前主流。

组网层次清晰，瘦AP 通过无线控制器进行统一配置和管理，在接入点多，用户量大，同时用户分布较广的组网情况下，宜采用集中式组网方式。

自治式组网集中式组网安全性传统加密、认证方式，普通安全性增加射频环境监控，基于用户位置安全策略，高安全性配置维护管理难，每个AP单独配置、维护、管理易，无线控制器上集中配置管理，AP 本身零配置，维护简单数据转发模式本地转发本地转发和集中转发用户管理不灵活，根据AP接入的有线端口区分权限灵活，根据用户名区分权限漫游L2漫游L2、L3漫游增值业务能力实现简单数据接入可扩展语音等丰富业务组网可靠性不高，无法实现AP的负载均衡高，可以实现跨无线控制器、AP的负载均衡，胖瘦AP切换结论传统的组网方式，适合小规模组网目前主流的组网方式，增强管理，适合大规模网络Table 1 WLAN组网方式对比由于集中式组网方案优势较多，建议各办公楼层采用该方案。

3.2WLAN协议标准目前，已经形成WLAN网络一些协议标准，主要用于界定无线终端STA与AP 间的空中接口标准，及STA与AP、及AP与无线控制器间的互操作协议、安全保证和通讯质量保证等。

主要空中接口标准有80.211b、802.11a、802.11g、802.11n等，建议各办公楼层在部署无线时采用802.11g、802.11n等标准，各种标准带宽和速率情况如下：Table 2 WLAN空中接口标准3.3WLAN安全标准1、WLAN 加密标准WLAN无线网络涉及到业务数据通过无线信号传输，且接入点不固定，信息安全和接入用户的身份必须得到有效保证和确认，WLAN无线技术标准中已经提供了相当数量的安全标准，如WEP（Wired Equivalent Protocol，有线等效协议）、WPA （Wi-Fi Protected Access），WPA2（WPA的第二个版本）、WAPI（WLAN Authentication and Privacy Infrastructure）等。

WEP是IEEE 802.11b标准安全性的一部分，主要承担对传输的数据进行加密，无身份鉴别机制，且其采用共享密钥，全部手动配置，24位密钥初始值较短容易重复，密钥初始值被明文传送不安全，并且无真正密码学意义上的完整性校验机制，所以，公司无线网络不允许采用。

WPA分为WPA和WPA2两个版本，是WEP的升级版本，针对WEP的几个缺点进行了弥补，WPA采用了TKIP（Temporal Key Integrity Protocol，临时密钥集成协议）加密算法，在以下几个方面进行了改进，1.密钥用重新获取和分发机制实现密钥自动管理；2. 每帧生成密钥防弱WEP密钥攻击；3. 采用帧序列号防重放攻击；4.新的消息完整性校验算法及校验失败策略。

WPA2最终形成了802.11i 的最终版本，WPA2采用CCMP加密模式，它是基于最新加密算法AES（Advanced Encryption Standard）和CCM（Counter-Mode/CBC-MAC）完整性校验方式，大幅度提高了网络安全性。

WAPI，是我国自主研发的无线WLAN安全规，它通过了IEEE认证和授权，是一种认证和私密性保护协议，WAPI采用非对称(椭圆曲线密码)和对称密码体制(分组密码)相结合的方法实现安全保护，实现了设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。

WAPI除实现移动终端和AP之间的相互认证之外，还可以实现移动网络对移动终端及AP的认证。

Figure 3 WLAN加密标准2、WLAN认证标准扩展认证协议（EAP）是一个认证框架，常被用于无线/有线网络安全认证。

EAP提供一些公共的功能，并且允许协商所希望的认证机制。

这些机制被叫做EAP 方法，现在大约有40种不同的方法。

在无线网络中常用的方法包括EAP-TLS, PEAP, LEAP,和EAP-FAST。

Figure 4 WLAN认证标准3.4WLAN管理标准要充分发挥WLAN的作用，使WLAN能够提供高效、可靠的业务，功能强大的网络管理应成为WLAN的重要组成部分。

WLAN网络管理是保证WLAN网络正常运行的必要条件。

由于WLAN网络既要管理是有线和无线相结合，除了要求遵循网络管理的相关标准，SNMP、syslog、CAPWAP等相关标准，实现拓扑管理、配置管理、性能管理、告警管理外，还需要对无线方面的相关特性和功能进行有效管理，对无线控制器控制、全网AP集中配置、监视AP工作状态、在线用户状态、全网射频规划、安全报警、链路负载、设备利用率、漫游记录、报表输出等无线网络管理功能，使得管理员可以在网络中心对整个网络运行状态进行监控和管理。

为了降低管理难度，提高效率，需要无线控制器、AP不仅支持命令行、还支持WEB等多种管理方式。

4无线解决方案方案优势采用AC+AP的组网形式，集中式转发，集中管理的方式具有以下好处：➢无线接入点AP采用11AC技术：在原有基础上有效提高无线网络带宽，保证无线网络直连。

➢管理简单：所有AP接入的设置全部由无线AC控制器来进行统一管理实现同一SSID二层、三层的无线漫游功能。

➢认证全面：所用的认证及计费等服务全部由AC侧的认证服务器来实现所有的接入认证功能,对不同SSID、用户组、用户名设置不同访问权限进行。

同一SSID下可设置多个组及用户，可灵活修改用户名及密码。

对每个组及用户可实现访问策略、带宽的管理。

通过接入认证软件识别管理不同设备、针对不同终端类型进行授权、组织部信息安全、对移动终端进行有效控制、如何组织外部人员接入。

➢安全功能全面：AP支持多种安全策略，多种密码加密方式。

AC支持多种安全功能：多个SSID共存，可实现部分SSID隐藏,支持RealTime Spectrum Guard(实时频谱保护)模式，支持7层移动安全检测/防御(wIDS/wIPS)，支持智能无线业务感知(wIAA)，支持远程探针分析等功能扩展➢可靠性方面：AC支持多种高可靠性技术，AP支持集中、本地转发，保证网络的安全可靠。

5xxx电视台WLAN应用场景根据电视台目前办公网的需求，可以选择WLAN无线网络组网。

WLAN应用场景5.1无线办公网为员工提供便捷、灵活、安全的办公网络，是各办公楼层网络建设的目标之一。

针对移动办公的需求，各办公楼层可以部署WLAN无线网络，将办公、管理、Internet等应用服务与PC个人电脑、苹果电脑、各式平板电脑、iPhone等智能手机等进行信息集成，结合信息推送技术实现高效、便捷的无线办公。