无线宽带wifi接入系统实施方案

2024年2月10日发(作者：)

无线宽带wifi接入系统实施方案

无线宽带wifi接入系统实施方案

（此文档为word格式,下载后您可任意修改编辑！）

无线宽带wifi接入系统实施方案

目 录

第1章

第2章

第3章

3.1

3.2

工程概况 ...................................................................................................... 3

组网示意及说明 .......................................................................................... 4

工程施工计划 .............................................................................................. 5

工期总目标 ....................................................................................................................... 5

施工阶段划分及工期目标 ............................................................................................... 5

第4章

4.1

工程实施设计 .............................................................................................. 6

设计目标 ........................................................................................................................... 6

4.2 组网规划 ........................................................................................................................... 6

4.2.1 IP编址方案 .............................................................................................................. 6

4.2.2 传输和承载网络 ....................................................................................................... 7

4.3

4.4

4.5

4.6

4.7

4.8

4.9

4.10

4.11

无线覆盖规划 ................................................................................................................... 7

频率规划 ......................................................................................................................... 10

集中管理架构 ................................................................................................................. 11

AP设备安装 .................................................................................................................... 12

无线射频管理 ................................................................................................................. 13

无线WLAN的Qos机制 ................................................................................................... 16

无线网络安全 ................................................................................................................. 18

容量规划 ..................................................................................................................... 20

设备配置 ......................................................................................................................... 21

第 2 页 共 33 页

无线宽带wifi接入系统实施方案

第1章 工程概况

目前，某某电网通信系统依托多次基建、技改输变电项目基本实现了主网光纤的全覆盖，完成了某某通信基础传输网络建设，所采用的技术均为有线SDH，覆盖面在主网35kV及以上变电所、各个县市供电局。配网通信系统则处在在建设完善阶段，无线宽带通信与其他通信方式相比较，具有接入便捷、与光纤通信互补性强、建设周期短、业务接入的多样性和便利性，此外，抵御灾害能力也相对较强，无线宽带通信技术在诸多方面优势明显。

本次建设的无线宽带接入网实验工程，要求解决以下潜在电网应用业务的无线接入问题：

1) 配网自动化业务；

2) 视频监控；

3) 变电所巡检及环境采集数据回传；

4) 移动办公终端接入；

5) 集群通信；

6) 智能电网配电自动化、高级量测（AMI）、用电信息采集、等概念通信支撑。

本次建设的宽带无线接入实验网采用OFDMA+WIFI AP组合解决无线宽带接入，即为满足不同的业务需求，可采用基于OFDMA技术的IEEE802.16e标准及IEEE802.11（WIFI）标准，即其中IEEE802.16e技术主要用于中远距离接入，IEEE802.11技术主要用于短距离接入。

IEEE802.11技术应用于小范围无线覆盖，在较短距离之内提供高速率无线数据传输，形成无线局域网。先期选择一个占地面积在3000平方米以内的变电所（110kV变电所）或小区楼道进行试点应用，本项目使用IEEE802.11技术研究重点在针对电网的复杂结构和环境，验证变电所应用的电磁兼容性，设备高效率、高可靠性及信息安全等关键技术，验证无线传感器网络在电网行业应用的可行性。本技术规范书主要针对IEEE802.11WLAN设备。

第 3 页 共 33 页

无线宽带wifi接入系统实施方案

第2章 组网示意及说明

变电所以IEEE802.11技术为主，能够满足现有的数据采集和设备控制等业务需求，同时能满足未来对无线传感器网络在电网行业及高电磁干扰环境应用的可行性。

系统结构如下：

SDH/MSTP、无线宽带网络

接入控制器AC

防火墙

核心业务网络

交换机

接入点

AP

接入点

AP

接入点

AP

固定无线终端

手持式终端

固定无线终端

视频监测系统系统

环境监测系统

图表 1 系统方案及网络模型示意图

 FIT AP通过工业以太网交换机接入变电站SDH/MSTP局域网

 AC通过传输承载网络，对多个变电站内的FIT AP进行管理

 核心业务网络通过RADIUS服务器对宽带无线局域网终端进行鉴权和授权，防止非法终端接入

 无线局域网与核心业务网络之间、核心业务网络与Internet之间， 第 4 页 共 33 页

无线宽带wifi接入系统实施方案

使用物理隔离和防火墙数据隔离的方式，实现二次网络安全防护

第3章 工程施工计划

3.1 工期总目标

本工程于设备到货后15天内完成设备的安装调试，并交付使用。

3.2 施工阶段划分及工期目标

由于wifi项目工程规模较小，为合理安排、有效控制，确保按期、保质完成任务。将总工期划分为五个阶段性工期目标来控制。

第一阶段：施工准备阶段，

本阶段主要完成现场的勘测、工程联络设计，绘制施工图，为后期施工创造良好条件。此阶段已经完成。

第二阶段：基础施工阶段

本阶段主要为无线接入系统的基站及终端的架设位置及抱杆、取电等提供条件，以及设备生产厂家的设备备货和测试。

第三阶段：设备的安装调试阶段

本阶段主要完成单点设备的安装和调试。

第四阶段：系统联合调试阶段

本阶段主要完成无线接入系统和主站系统的联合调试

第五阶段：竣工清理交验阶段本阶段主要处理本工程存在的问题、竣工清理工作、编制竣工资料，组织验收并交付使用。

序号

3

4

5

6

阶段名称

基础施工

设备的安装调试

系统联合调试

竣工清理交验

1---------7 8-------14

图表 1工程施工计划

第 5 页 共 33 页

无线宽带wifi接入系统实施方案

第4章 工程实施设计

4.1 设计目标

系统提供全IP架构的接入方式，解决电力业务的“最后一百米”接入需求，支持以太网或光纤网络作为传输承载网，可选择就近的SDH或MSTP网络接入电力内网，也可结合XPON技术，实现无线与有线接入方式的融合。

本次小范围试验包含变电站WLAN的室内覆盖和室外覆盖。变电场站业务主要包含红外温度监测、环境状态监测、开关状态图像监测、无线上网办公等功能。

4.2 组网规划

4.2.1 IP编址方案

IP编址方案包括如下几部分：无线交换机AC、7个AP、接入终端；

需要根据客户业务情况规划；

设备

无线控制器

AP1

AP2

AP3

AP4

AP5

AP6

AP7

IP

A.B.0.5/24

A.B.5.1/27

A.B.5.33/27

A.B.5.65/27

A.B.5.97/27

A.B.5.129/27

A.B.5.161/27

A.B.5.193/27

备注

中心站

室内

室内

室内

室内

室外

室外

室外

第 6 页 共 33 页

无线宽带wifi接入系统实施方案

4.2.2 传输和承载网络

与现有传输承载网络兼容的有线接入方式，包括SDH和MSTP传输方式。平水变目前采用SDH网络，AP数据通过交换机汇聚以后接入SDH网络，在电力大楼22楼中心机房落地。

4.3 无线覆盖规划

本次对现场进行了实地勘测，根据勘测情况制作实际布点图如下：

说明：根据现场情况，室内AP布点位置如图中红色点所示，在主控室、10KV开关室各安装一台AP，安装位置在中央天花，采用吸顶的安装方式。在35KV开关室安装2台AP，分别安装在两头的墙上，采用贴墙的安装方式（如下图）。所有AP都通过网线供电。主控室及10KV开关室的室内、外AP都从主控室机柜取电。

第 7 页 共 33 页

无线宽带wifi接入系统实施方案

吸顶安装 贴墙安装

因35KV开关室距离主控室约为60米，但其室内AP安装距离超过80米，所以在35KV开关室安装一壁挂式机柜安装交换机。将电源线及网线一起从主控室引入该机柜内。35KV开关室安装的室内AP及室外AP都从该机柜取电。

分别在建筑物楼顶，如图中粉色点位置安装室外AP。安装前先安装好天线支架，如下图：

第 8 页 共 33 页

无线宽带wifi接入系统实施方案

如上图所示将天线支架固定好后，将室外AP安装在天线支架上，然后通过网线将室外AP与交换机相连。对于室外走线部分应按照要求采用钢管防护。

根据现场勘测结果，提出合理布线及设备安装方案，因现场环境比较理想，按照勘测位置布置好所有AP，当系统开通应可实现该区域全覆盖。

示意图如下：

注：现场安装及施工，应按照规范谨慎实施，注意安全。

第 9 页 共 33 页

无线宽带wifi接入系统实施方案

4.4 频率规划

Wifi频率为公共频率，IEEE 802.11b/g/n 定义被操作在2.4 GHz

（2.4-2.4835） GHz的频率。802.11a/n 被操作在有更多信道的 5.8GHz（4.9 GHz

到 5.875） 频谱中。AP650支持820.11a/b/g/n.

1、在一个AP 覆盖区内直序扩频技术最多可以提供3 个不重叠的信道同时工作。考虑到制式的兼容性，相邻区域频点配置时宜选用1，6，11 信道。

2、频点配置时首先应对目标区域现场进行频率检测，对于覆盖区域内已有AP 采用的信道，应尽量避免采用。

3、对于室外区域干扰宜采用调整天线方向角，避免天线主瓣对准干扰源的方式或调整功率。

4、 室外AP 覆盖区频点配置时，为了实现AP 的有效覆盖，避免信道间的相互干扰，在信道分配时宜引入移动通信系统的蜂窝覆盖原理。对1，6，11 信道进行复用，见下图。

5、室内AP 覆盖区频点配置时应充分利用建筑物内部结构，从平层和相邻楼层的角度尽量避免每一个AP 所覆盖的区域对横向和纵向相邻区域可能存在的干扰。

第 10 页 共 33 页

无线宽带wifi接入系统实施方案

6、设计时指定规划覆盖区域的每个AP 的工作频率，不宜考虑AP 自动频率调整功能，防止频率的频繁调整而导致用户无法接入。

室外AP：5.8G频率作为mesh回传通道，2.4G频段作为覆盖频段。

4.5 集中管理架构

通过无线交换机AC管理整个网络，网管人员只需在无线交换机上就可开通、管理、维护所有AP 设备以及移动终端，包括无线信号发射、安全、接入认证、移动切换。

具体可以表现以下几个方面：

1. AP零配置

AP无需任何配置，即插即用。所有对无线网络的配置都在无线交换机上完成。

AP支持PoE供电，在连接上网线后，AP可以通过DHCP方式自动获取Wireless

Switch的地址列表，然后通过WISPe(Wireless Switch Protocol enhanced)与Wireless Switch进行通信。

2. 流量转发模式：集中转发和本地转发

考虑到无线网络维护的方便性，所有室内室外AP，都由位于汇聚层的的无线交换机AC来进行统一的管理控制，也就是无论处于NAT防火墙、宽带路由器、交换机后面的AP都可以通过AP到AC的WISPe隧道直接接受无线交换机AC的集中管理。

本地转发，在采用集中管理的同时，所有的流量不需要经过AC，而是从AP直接转发到相对的路径上。如AC发生故障时，AP还可以转发流量。

3. 无须改造现有网络

AP可以无缝接入现有网络。远程AP使用DHCP方式获取地址后就可以跨越3层路由器，甚至跨越互联网络，与Wireless Switch进行自动连接。

由于使用DHCP方式，网络的规划、网络的扩展可以集中而简单地对DHCP作配置即可，而无需去修改分散各地的成百上千的远程AP。

第 11 页 共 33 页

无线宽带wifi接入系统实施方案

4. 更换和升级AP方便

所有配置维护都可以在中心机房完成。接入端的维护更是无需专业管理人员，即插即用。在AP 出现故障时，可以简单地将新的AP插上即可。无需任何配置。

在Wireless Switch作升级后，可以自动对所有AP作升级，避免对每个AP手工升级的工作。

5. 统一的网络管理

无线交换体系能够对于硬件、软件配置和网络策略进行统一管理，所有配置在无线交换机上完成即可。向所有接入点自动部署配置。

4.6 AP设备安装

1. 馈线的安装

用于连接AP和天线，为了尽量减少馈线的插入损耗，应将馈线与设备及天线连接接口擦干净再紧固接头。

2. 网线的安装

无线AP与交换机、网线供电模块连接的网线，因设备常安装在较高处或通信塔，为减少外界对数据的影响，网线应选用屏蔽网线，及屏蔽接插件。

因网线在室外使用，应对网线作好保护措施，露天网线必须穿管，并固定牢固。在靠近设备的网线，应穿软管，并制作防水弯。

3. 接头防水处理

室外设备的各个连接接头，至少要作三层防水处理，第一层用防水胶带将接头缠好，第二层使用防水胶泥进行处理，第三层再用防水胶带缠好。如设备安装比较恶劣的环境中，可增加胶带的层次，这时需要重复第二、第三层防水处理的步骤。

4. 无线网络避雷接地处理

安装扩频通信设备的站点，应有完善的防雷接地系统。防雷接地标准应符合YD5004-94《数字微波接力通信工程设计规范》、YD2011《微波站防雷与接地设计规范》和YD26《通信局（站）接地设计暂行技术规定》，接地电阻应≤5Ω。架 第 12 页 共 33 页

无线宽带wifi接入系统实施方案

装天线的支架或铁塔应与楼顶接地系统良好连接。

根据相关国标/国际标准，要求必须在室外无线设备旁架设避雷针（直击雷防护处理），射频端口必须设置相应避雷器；室内设备射频端口、LAN口也必须设置相应避雷器（感应雷防护处理）；射频线缆的金属屏蔽层、避雷器必须做等电位接地处理。

当天馈线系统受到雷击时（或有高压磁场）所产生浪涌不要进入系统设备，通过接地及时的放掉浪涌来保障系统设备以及工作的安全。

避雷针：通过在天线旁边架设避雷针来引开雷电的袭击，避雷针为良好导体比天线高，当雷电来时会由避雷针将其引走，避雷针需要良好的接到大地上，接地电阻小于5 欧姆。

射频避雷器：在无线设备外接天线系统中接入射频避雷器，当天馈线受到雷击时，避雷器在雷电来时它会及时与设备断开，通过连在避雷器外部的接地线把电流放掉后，并自动恢复连接。馈线的接地线要求每20米做一个接地，所以通常接地线到馈线头不超过20米时可以在接地线近处接地。

避雷器安装在馈线和设备之间，从避雷器引出接地线接至地极。地极接地电阻要求5 欧姆以下，一定要连接牢固，确保受雷击时可正常放电。

连接室外部分和室内部分POE的RJ-45线 这根RJ-45线为标准8芯直通线，在室外安装时应该用PVC管或其他符合室外安装标准的材料加以保护。

4.7 无线射频管理

1. 自动射频管理

由于无线射频信号是一种无形的东西，它的强度和所在的信道一般都需要根据经验手工调整，要做到无线信号均匀分布，信道的利用率高，无信道干扰并不是件非常容易的事情，但是Motorola系统的RF智能控管可以自动调节网上所有Motorola AP的射频信号特性。可以保证无线信号均匀分布，信道的利用率高，无信道干扰，无线网络做到最为优化的运行。

通过RF Planning的SmartRF Calibration功能来自动调节整个无线网络上所有AP的无线射频信号频率和功率。启动了SmartRF Calibration以后AP和AP之间会自动互传有关无线射频信号的信息和调整射频信号的参数，直到AP之 第 13 页 共 33 页

无线宽带wifi接入系统实施方案

间达到了一个最优化的无线射频信号运行环境。

当无线网络经过SmartRF Calibration调整后而正式运作时，网络管理员可在Motorola 交换机内启动SMART RF功能，则无线网络上所有的Motorola AP都会在设定的时间内自行扫描其它的无线频道。所谓射频信号扫描，是指Motorola AP 从一个射频信号频道跳到另一频道时，如Ch 1 到 Ch 2 到 Ch

3....，由于扫描的速度非常快，所以对于在线的无线用户（指连接到AP上在同一频率上的无线终端）的传输过程是不受到影响的。当AP停留在一个频道时，它会把在这频道上收到的无线射频信号信息转送回Motorola 无线交换机。这样Motorola 无线交换机就对整个无线网络上的射频信号情况有了一定了解和记录。当某一覆盖范围内的射频信号改变，如出现干扰AP所发出的射频信号或其它应用所发出的射频信号等，Motorola 无线交换机就会把所获取的无线射频信号资料做分析，以确定是否需要调整范围内AP的无线射频信号。

2. 无线空洞检测

集中控制型WLAN热点接入设备支持自动功率调整。当一个瘦AP失效时，周围瘦AP能够自动调整功率补偿失效AP的覆盖，具体实现如下图所示：

第 14 页 共 33 页

无线宽带wifi接入系统实施方案

例如在三个AP所覆盖区域，如果其中一个AP出现了故障，那么检测AP将检测到故障，并触发邻居增加发射功率，对故障AP所覆盖范围进行覆盖区域进行补偿恢复。而且可以检测到多种故障情况，如天线故障、AP以太网故障、AP因为障碍物引起的不可视、AP损坏等。

可以配合控制设备完成全局的动态功率控制，通过增加功率支持无线空洞补偿、通过降低功率避免高密度部署环境下复用频点小区间的干扰。

用户在AP覆盖区域移动，但移动到边缘情况下，用户信号强度以及接入速率低于设定要求，出现的无线覆盖的空洞，这时AP将增大发射功率对无线空洞进行补偿，而在高密度覆盖情况下，检测器将能够检测到信号覆盖状况，并全局调整AP的发射功率，减少区间干扰。

3. 系统的抗干扰措施

当AP设备启动时，会自动搜索已经存在的无线信号，主动躲避由噪音的信道，选择无噪音的信道作为自身的工作信道。

在AP设备已经完成启动后，还会实时监听信道噪音。当发现当前的工作信道出现外来信号噪音，AP会自动判断该信号是否来自欺诈AP。如果是欺诈AP，则通知网络管理员；如果不是，则自动选择最清晰的信道，以保证信号质量。

无线系统可以对WiFi和非WiFi的设备进行统计告警以及分析。

第 15 页 共 33 页

无线宽带wifi接入系统实施方案

4.8 无线WLAN的Qos机制

语音等特殊应用对无线网络的带宽和时延敏感，WLAN采用802.11e来保证不同应用的优先级，在无线接口上共有四个队列，每个队列均有相应的CWMIN/CWMAX值，对应访问无线链路的不同优先级，从而不同队列中的应用数据可以有不同的服务质量。

QoS指的是网络通过不同的网络技术为特定的网络流量提供更出色服务的能力。QoS技术是园区网络中的企业级多媒体和语音应用的重要组成部分。QoS让网络管理人员可以与他们的网络用户制定服务水平协议（SLA）。QoS能更加有效地实现网络资源的共享，加快关键任务型应用的处理速度。QoS可以管理对时间敏感的多媒体和语音应用流量，确保这些流量获得比尽力而为型数据流量更高的优先级、更多的带宽和更低的延时。利用QoS，网络管理人员可以更加有效地管理LAN和WAN的带宽。

QoS可以通过下列方式提供增强的、可预测的网络服务：











为关键的用户和应用提供专用带宽

控制抖动和延时（满足实时流量的需要）

管理和最大限度地减少网络拥塞

对网络流量进行整形，让流量平稳传输

对网络流量进行优先级划分

QoS功能的作用在一个负担较轻的网络上表现得并不明显。的确，如果延时、抖动和丢包率在介质负载较轻的情况下仍然相当明显，那就意味着存在系统故障，或者这个网络不符合该应用的延时、抖动和丢包率要求。

随着网络负载的增加，QoS功能将开始逐步影响应用的性能。QoS的作用是将特定类型的流量的延时、抖动和丢包率保持在可以接受的范围之内。

通过从接入点提供下行优先级设置功能，上行客户端流量会被作为尽力而为型流量处理。这样，客户端必须与其他客户端竞争（上行）传输带宽，以及与来自接入点的尽力而为型（下行）流量进行竞争。在特定的负载情况下，即使在接 第 16 页 共 33 页

无线宽带wifi接入系统实施方案

入点采用了QoS功能，客户端也可能会遇到上行拥塞，而对QoS敏感的应用的性能则可能会下降到无法接受的水平。

Motorola无线网络提供集成的QoS无线网络服务质量的保证，针对不同类型的无线应用，无线交换机会进行相应的处理，以保证移动业务的畅通。

Motorola无线网络预置了包括Voice在内多种Profile，同时也可以提供手工微调的方式。在方便配置Qos的同时也保证了无线网络Qos的调优。

Motorola的无线网络支持WMM(802.11e)，WMM可以有效地保证高优先级的流量得到带宽的保证和低时延。WMM定义了SIFS到AIFS多种等待时间间隔，优化这些参数可以提高网络容量。

 基于WLAN的带宽分配：摩托罗拉的AP支持为不同的WLAN分配不同的带宽，保证关键业务的可用带宽。

 基于类别映射的优先级设置：对于基于类别映射的优先级设置，数据流可以通过IP TOS、DSCP或者协议设置标明身份。一个指定的下行流量会在无线接口上获得一个特定的CoS。

 启用WMM，针对对于监控和Video不同业务设定Qos参数

 基于组播地址的优先等级设置

 通过设置WLAN的组播地址掩码，保证匹配该组播地址掩码的流立即转发而不需要等待DTIM（Delivery Traffic Indication Messages ）。通过对WLAN WMM的不同流量类型设置不同的等待桢隙，不同的转发机会和CWmin和CWmax值，保证不同类型的流具有不同的转发等级。

第 17 页 共 33 页

无线宽带wifi接入系统实施方案

4.9 无线网络安全

由于无线局域网采用公共的电磁波作为载体，因此与有线网络不同，任何人都有条件窃听或干扰信息，因此在无线局域网中，网络安全显得格外重要。由于802.11 WLAN属于公有的无线资源，因此有电信的无线网络，有移动的无线网络，有网通的无线网络，有校园的无线网络，也有众多企业或者个人架设的无线网络。有正常使用无线网络的合法用户，也有恶意用户。

非法设备(Rogue device)是指黑客在无线局域网中安放未经授权的AP或客户机提供对网络的无限制访问，通过欺骗得到关键数据。无线局域网的用户在不知情的情况下，以为自己通过很好的信号连入无线局域网，却不知已遭到黑客的监听了。这些攻击者通过非法搭建的AP或者使用无线客户端，企图想通过无线网络传播病毒蠕虫、盗用机密信息、银行帐号以及无线上网帐号，或者发起DOS攻击。

Motorola的无线解决方案RFS6000内置的无线安全功能，全面解决了在复杂的无线环境中达到只有合法授权用户才能访问无线网络的目的，防御无线DOS攻击，而且保证重要信息的不被泄露。

下面我们来详细分析无线网络安全隐患以及解决的方法。

1. 认证和加密

摩托罗拉无线网络的认证支持WPA、WPA2、MAC认证、Web认证、802.1x认证， 加密包括WEP、TKIP(WPA)、AES(WPA2)。

WEP的加密方式由于很容易破解，不推荐使用；WPA TKIP的安全程度远高于WEP加密；而WPA2 AES是最高强度的加密方式，密钥长度为256比特，加密安全级别和目前有线网络的IP Sec的加密等级相同。对于WPA2 AES可以使用共享密钥（静态）的方式，也可以使用动态更新密钥的方式。

推荐对政府网络进行最高强度的WPA2 AES加密，并且通过802.1X每隔一段时间动态下发密钥，这样即使有攻击者使用暴力入侵办法通过密码字典持续抓取无线网络包来破解用户的密钥，由于密码更新的时间远远小于破解需要的时间，因此即使攻击者远远达不到破解出原来的密钥的需要的流量，因此网络是安全的。

对于802.1x来说，摩托罗拉无线网络支持802.1X基于数字证书的EAP-TLS 第 18 页 共 33 页

无线宽带wifi接入系统实施方案

以及使用Token令牌的方式。EAP-TLS (传输层安全) 提供为客户端和网络提供基于证书及相互的验证。 它依赖客户断和服务器方面的证书进行验证，可用于动态生成基于用户和通话的密钥以保障 WLAN 客户端和接入点之间的通信。Token通过每个用户独立的PIN动态生成密码，也可以保证只有合法的用户才能接入网络。

2. RFS6000内置无线网络安全：非法AP和非法客户端的检测和抑制

RFS6000提供全面的网络安全特性，包括：









MAC地址过滤

入侵检测和阻断

状态包检测防火墙

针对拒绝服务DOS以及其他无线网络攻击进行防范保护，在发现有非法用户进行DOS攻击时可以自动将这些用户列入黑名单。

 在非法设备检测和抑制：分为Rogue AP和Rogue Client，即非法AP和非法客户端。

Rogue AP的检测和阻断

为了发现非法AP，分布于网络各处的探测器能完成数据包的捕获和解析的功能，它们能迅速地发现所有无线设备的操作，并报告给RFS6000，这种方式称为RF扫描。某些AP能够发现相邻区域的AP，我们只要查看各AP的相邻AP。

发现AP后，可以根据合法AP认证列表(ACL)判断该AP是否合法，如果列表中没有列出该新检测到的AP的相关参数，那么就是Rogue AP识别每个AP的MAC 第 19 页 共 33 页

无线宽带wifi接入系统实施方案

地址、SSID、Vendor(提供商)、无线媒介类型以及信道。判断新检测到AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型或者信道异常，就可以认为是非法AP。

当RFS6000发现非法AP时，可以根据策略发送指令通过Sensor进行实时地阻断。

Rogue Client的检测和阻断

Rogue Client是一种试图非法进入WLAN或破坏正常无线通信的带有恶意的无线客户，其异常行为的特征主要有:

 发送长持续时间(Duration)帧;

 持续时间攻击;

 探测“any SSID”设备;

 非认证客户。

如果客户发送长持续时间/ID的帧，其他的客户必须要等到指定的持续时间(Duration)后才能使用无线媒介，如果客户持续不断地发送这样的长持续时间帧，这样就会使其他用户不能使用无线媒介而一直处于等待状态。

为了避免网络冲突，无线节点在一帧的指定时间内可以发送数据，根据802.11帧格式，在帧头的持续时间/ID域所指定的时间间隔内，为节点保留信道。网络分配矢量(NAV)存储该时间间隔值，并跟踪每个节点。只有当该持续时间值变为O后，其他节点才可能拥有信道。这迫使其他节点在该持续时间内不能拥有信道。如果攻击者成功持续发送了长持续时间的数据包，其他节点就必须等待很长时间，不能接受服务，从而造成对其他节点的拒绝服务。

当RFS6000发现非法客户端时，可以根据策略发送指令通过Sensor进行实时地阻断。

4.10 容量规划

1、并发用户数

网络在进行多终端接入设计时，建议按照每个AP的并发50个用户进行设计和计算AP数量，

每个用户2M带宽，建议并发用户数为超过30个。

最大并发用户120个。

第 20 页 共 33 页

无线宽带wifi接入系统实施方案

2、吞吐量

WLAN的数据业务吞吐量是容量设计的重要因素。在设计中应充分考虑各类数据业务特点和带宽的需求。

AP650单台吞吐量在2.4G和5.8G时各超过170M bps，可以满足多用户高带宽的应用、如接入多路高清摄像头。

4.11 设备配置

1. 无线控制器RFS6000：

数据包转发

802.1D-1999 以太网桥接；802.11-.802.3 桥接；802.1Q VLAN 标记和中继；代理ARP; IP 数据包重定向

无线网络连接

无线LAN 支持32 种WLAN ；多ESS/BSSID 流量分段；

VLAN 到ESSID 的映射；VLAN 自动分配（基于RADIUS 认证）；节能协议轮询；强制性漫游；通过带宽管理进行网络堵塞,VLAN轮询.

无线接入点

支持1-48 个“瘦”无线接入点；无线接入点自动采纳ACL ；无线接入点负载平衡；直序AP 到APort 转换

自适应式AP

支持在自适应模式下通过1 到48 种方法采用独立的摩托罗拉AP51X1 无线接入点，以支持远程办公场所和分支机构的解决方案

以太网供电

集成；每个以太网端口可提供最多29.7 瓦；针对同时运转可提供最高180 瓦

无线接入点的第2 层或第3 层部署

第3 层移动性（子网间漫游）

支持的无线接入点

AP300 (802.11a/b/g)；L2 和L3 部署（支持静态IP）；AP51X1

—自适应AP 模式

无线射频自动化通道选择(ACS) ；传输功率控制(TPC) 管理；基于国家/地区代码的RF 配置；支持802.11b 、802.11g 、802.11a 和802.11n

网络安全

数据包筛选/访问L2/3/4 状态数据包分析；控制列表(ACL)：网络地址转换(NAT)

认证 访问控制列表(ACL) ；

第 21 页 共 33 页

无线宽带wifi接入系统实施方案

预共享密钥(PSK)；802.1x/EAP —传输层安全、隧道传输层安全、受保护的EAP (PEAP)；Kerberos 带EAP-TTLS 、EAP-PEAP （包括内置的用户名/密码数据库；支持LDAP ）和EAP-SIM 本机支持的集成AAA/RADIUS 服务器

传输加密

WEP 40/128 (RC4) 、KeyGuard 、WPA—TKIP 、WPA2-CCMP (AES) 、WPA2-TKIP

IPSec VPN

确保来宾访问安全基于Web 的本地认证

网关：支持DES 、3DES 和AES 加密

针对用户登录的URL （hotspot 提供）重新定向；可自定义的登录/欢迎页面；支持外部认证/登记系统

无线RADIUS 支持（标准和摩托罗拉•基于MAC 的认证（标准）供应商特有属性）

•基于用户的VLAN （标准）：

•基于用户的QoS (Motorola VSA)

•基于地点的认证(Motorola VSA)

•许可的ESSID (Motorola VSA)

为Microsoft 和Sygate 的第三方系统提供NAC 支持

优化的无线QOS

RF 优先级

Wi-Fi 多媒体扩展

分类与标识

系统恢复和冗余

Active:Standby；Active:Active 和1:Many 冗余（带无线接入点和MU 负载平衡）；自行修复（在检测到RF 干扰或RF 覆盖范围丢失时）

系统扩展性

ExpressCard™ 插槽：可选EVDO/HSPDA 插卡，用于将来的宽带回传服务

管理

命令行接口（串行、telnet 、SSH ）；基于Web 的安全GUI (SSL)；SNMP v1/v2/v3；SNMP traps —40

多个用户配置选项；Syslog；TFTP Client ；安全网络时间协议(SNTP) ；基于文本的交换机配置文件；DHCP （客户端/服务器/中继）、交换机自动配置和固件更新（通过DHCP 选项）；多用户角色（用于交换机访问）；Syslog 、MIB（MIB-II 、Etherstat 、无线交换机特有的监控和配置）

物理参数

外形

尺寸

重量

物理接口

1U 机架式安装设计

高x长x宽= 44.45 毫米x 440 毫米x 390.8 毫米

6.35 千克

1x 上行端口—10/100/1000 Cu/GB SFP 接口8x 10/100/1000 Cu

以太网端口（29.7 瓦的以太网供电功率）1x 10/100 管理接口（OOB 端口）1x USB 2.0 主机1x ExpressCard™ 插槽（USB 模式）1x 串行接口（RJ45 样式）

平均无故障时间

电源要求

AC 输入电压

>65,000 小时

90 – 264 VAC 50/60Hz

802.11 流量优先级排定

WMM-容许节能控制

1-4 层数据包分类；802.1pVLAN 优先级；DiffServ/TOS

第 22 页 共 33 页

无线宽带wifi接入系统实施方案

AC 最大输入电流

输入频率

使用环境

工作温度

存储温度

散热

需遵从的法规

产品安全

EMC 标准

UL/cUL 60950-1 、IEC / EN60950-1

FCC （美国）、Industry Canada 、CE （欧洲）、

VCCI （日本）、C-Tick （澳大利亚/新西兰）

0°C 至40°C

-40°C 至70°C

665 BTU/ 小时

6A@115 VAC，3A@230 VAC

47 Hz 至63 Hz

2. 无线AP650：

-------------802.11n无线局域网接入点

物理规范

尺寸：

AP650（内置天线）

长9.5英寸X宽7.5英寸X高1.7英寸

长241.3厘米X宽189.61厘米X高43.6厘米

重量：

部件编号：*

2.0磅/0.91公斤

AP-0650-60010-WW;AP-0650-60010-US;

AP-0650-66030-WW;AP-0650-66030-US

安装方式：

增强级：

LED指示灯：

吊装（安装在天花板下T形柱上）；壁挂

否

AP650（外置天线）

长8.5英寸X宽5.6英寸X高1.5英寸

长216.4厘米X宽141.0厘米X高37.71厘米

2.5磅/1.14公斤

AP-0650-60020-WW;AP-0650-60020-US

AP-0650-66040-WW;AP-0650-66040-US

安装在天花板上；壁挂

是，通过UL 2043认证

2个LED指示灯，可指示2.4GHz/5GHz频率占用、电源开关、正常工作和错误等状态

无线数据通信和网络

支持的数据速率：

802.11b/g：1,2,5.5,11,6,9,12,18,24,36,48和54Mbps

802.11a：6,9,12,18,24,36,48和54Mbps

802.11n：MCS0-15，最高300Mbps

网络标准：

无线技术：

802.11a,802.11b,802.11g,802.11n

直接系列扩频（DSSS）、正交频分复用（OFDM）和空间复用（MIMO）

第 23 页 共 33 页

无线宽带wifi接入系统实施方案

支持的VLAN/WLAN数量：

上联：

射频规范

工作信道： 5GHz：从4920 MHz到5825 MHz的所有信道

2.4GHz：信道1-13（2412-2472MHz）, 信道14（2484MHz），仅日本

实际工作频率取决于各国无线电分配制度

最大有效发射功率：

发射功率调节：

天线型号：

工作频段：

1dB步长

2x3 MIMO（两根用于发射，三根用于接收）

FCC EU 2.412至2.462 GHz 2.412至2.472 GHz 5.150至5.250 （UNII -1） 5.150至5.250 GHz

5.725至5.825 （UNII -3） 5.150至5.350 GHz 5.725至5.850 （ISM） 5.470至5.725

GHz

（特定国家） 日本： 2.412至2.484GHz 4.900至5.000 GHz 5.150至5.250 GHz

使用环境：

运行温度：

储存温度：

运行湿度：

海拔高度（运行）：

海拔高度（存储）：

静电释放：

电源规范：

工作电压：

工作电流：

支持以太网供电：

802.3af电源：48VDC@12.95W（典型值）；36VDC至57VDC（范围）

270mA（典型值）

IEEE802.3af标准

15,000英尺/4,572米

+/-15kv（空气）；+/-8kv（接触）

-4°F至122°F/0°C至50°C

-40°F至158°F/-40°C至70°C

5%-95%（非冷凝）

8,000英尺/2,438米

24dBm

自适应10/100/1000Base-T以太网接口

RFS6000：32个VLAN/32个WLAN；RFS7000：256个VLAN/256个WLAN

最大无线发射功率：

频段

单天线复合发射功率

+21 dBm

+19 dBm

双天线复合发射功率

+24 dBm

+22 dBm

2400MHZ

5200MHZ

典型功耗：

方案1

1

2

直流电压

48V

48V

直流电流

270 mA

209 mA

直流功耗

12.95W

10.00 W

天线规范

类型： 2.4GHz和5.2 GHz一体化天线

6个用于连接外置天线的RSMA连接器（不含）

第 24 页 共 33 页

无线宽带wifi接入系统实施方案

频段：

电压驻波比：

增益：

内置天线参数

内置天线参数

电压驻波比

2.4GHz频段最大增益

5.2GHz频段最大增益

2.4GHz至5.2 GHz； 4.9GHz至5.850 GHz （实际工作频率取决于各国无线电管制制度和认证机构）

<2：1

2.0dBi（2.4 GHz）、 4.8dBi（5GHz）

取决于天线

取决于天线

参数值

<2：1

2.0dBi

4.8dBi

产品安全性认证：

型号核准：

UL60950、Cul、EU 和UL 2043（外置天线）

FCC （美国）、加拿大工业部、 CE（欧洲）和TELEC（日本）

3. 室外 mesh AP-7131

AP-7131 802.11a/b/g/n 接入点可提供构建全无线企业所需的吞吐量、覆盖范围和灵活性。 三重无线模块化设计支持高速无线语音和数据服务、网状网以及非数据应用，如 IPS。 完全符合 DFS 标准的 802.11n Draft 2.0 AP-7131 可使每接入点的速度高达 600 Mbps - 是 802.11a/g 接入点带宽的 6 倍。 自适应 AP 体系结构使设备无需更换固件即具备两种操作模式 - 作为独立接入点或作为无线交换机采用的接入点以实现集中式管理。

可与任何基于标准的 IEEE WLAN 配合使用

三重无线，双频设计；2.4/5 GHz 频段的 802.11a/b/g/n 。

802.11n 支持

具有最大的无线网络吞吐量，可支持几乎所有企业应用，包括语音和视频：

3X3 MIMO

在 2.4GHz 和 5Ghz 为 20/40 MHz 的信道宽度

帧聚合（AMSDU/ AMPDU）

减少帧间间隔

每个无线电 300 Mbps 的数据速率

自适应 AP 模式

第 25 页 共 33 页

无线宽带wifi接入系统实施方案

可使用一个无线交换机进行控制，通过 NOC 实现集中管理，以及在连接丢失的情况下，作为独立接入点恢复功能

完全集成

集成的安全路由器、DHCP 服务器、状态包检测防火墙、AAA Radius 服务器、NAT

和热点网关使您无需购买和管理额外的设备，并简化了网络服务和公共访问的配置。

网状网

允许在远程或室外地点以无线方式扩展现有的有线或无线网络。

端到端企业级有线和无线安全性。

802.11i、WPA2 和 WPA；IPSec 加密。

三重恶意 AP 检测

通过板载 IDS、移动设备辅助模式、专用无线 IPS 传感器无线电立即识别和举报未授权用户。 可与任何基于标准的 IEEE WLAN 配合使用

三重无线，双频设计；2.4/5 GHz 频段的 802.11a/b/g/n 。

802.11n 支持

具有最大的无线网络吞吐量，可支持几乎所有企业应用，包括语音和视频：

3X3 MIMO

在 2.4GHz 和 5Ghz 为 20/40 MHz 的信道宽度

帧聚合（AMSDU/ AMPDU）

减少帧间间隔

每个无线电 300 Mbps 的数据速率

自适应 AP 模式

可使用一个无线交换机进行控制，通过 NOC 实现集中管理，以及在连接丢失的情况下，作为独立接入点恢复功能

完全集成

集成的安全路由器、DHCP 服务器、状态包检测防火墙、AAA Radius 服务器、NAT

和热点网关使您无需购买和管理额外的设备，并简化了网络服务和公共访问的配置。

第 26 页 共 33 页

无线宽带wifi接入系统实施方案

网状网

允许在远程或室外地点以无线方式扩展现有的有线或无线网络。

端到端企业级有线和无线安全性。

802.11i、WPA2 和 WPA；IPSec 加密。

三重恶意 AP 检测

通过板载 IDS、移动设备辅助模式、专用无线 IPS 传感器无线电立即识别和举报未授权用户。

4. 全千兆智能网管接入交换机 S5120-28P-LI

支持特性

外形尺寸（长×宽×高）

重量

业务端口描述

交换容量（全双工）

包转发率（整机）

端口聚合

广播风暴抑制

VLAN

DHCP

组播

生成树

镜像

S5120-28P-LI

440×160×43.6（单位：mm）

<3kg

24个10/100/1000 Base-T以太网端口

4个1000Base-X SFP千兆以太网端口

192Gbps

42Mpps

最大聚合8GE

支持IEEE 802.3x流控（全双工）

支持基于端口速率百分比的风暴抑制

支持基于端口的VLAN（4K个）

支持DHCP Client

支持DHCP Snooping

支持DHCP Snooping Option82

支持IGMP Snoopingv1/v2/v3

支持STP/RSTP/MSTP协议

支持端口镜像N;1

支持IEEE 802.1p/DSCP优先级

支持优先级映射

支持端口信任模式

每端口支持4个队列

支持端口队列调度(SP/WRR/SP+WRR)

QoS

第 27 页 共 33 页

无线宽带wifi接入系统实施方案

安全特性

支持用户分级管理和口令保护

支持Radius认证

支持SSH 2.0

支持802.1X认证

支持Guest VLAN

支持端口隔离

支持端口安全

支持端口MAC地址学习数目限制

支持IP源地址保护

支持IP+MAC+端口的绑定

支持SNMP，WEB网管，内置H3C WiNet内嵌式网管软件（作为成员设备）

支持命令行接口（CLI），Telnet，Console口进行配置

支持VCT（Virtual Cable Test）电缆检测功能

支持Loopback-detection 端口环回检测

管理与维护

输入电压交流

功耗（满负荷时）

工作环境温度

工作环境

额定电压范围：100V～240V AC；50/60Hz

最大电压范围：90V～264V AC；47/63Hz

31.5W

0℃～45℃

相对湿度10%～90%（非凝露）

第5章 测试验收

5.1 无线覆盖信号强度测试

测试项目 无线覆盖信号强度测试

1、在插有无线网卡的笔记本电脑上运行专用测试软件，在设计目标覆盖区域内进行覆盖电平测试；

测试方法

2、每20平方米测试地点不应少于1个，测试点的选取应均匀分布，并且能够反映该区域的覆盖情况。

在设计目标覆盖区域内95%以上位置，接收信号强度大于指标要求

等于-80dBm；

第 28 页 共 33 页

无线宽带wifi接入系统实施方案

检查结果

遗留问题

□ 通过 □ 未通过

5.2 信噪比测试

测试项目

测试方法

信噪比测试

1、在插有无线网卡的笔记本电脑上运行专用测试软件，在设计目标覆盖区域内进行SNR测试；

2、每20平方米测试地点不应少于1个，测试点的选取应均匀分布，并且能够反映该区域的覆盖情况。

指标要求

检查结果

遗留问题

□ 通过

□ 未通过

在设计目标覆盖区域内95%以上位置，用户终端无线网卡接收到的信噪比（SNR）大于20dB。

5.3 AP配置检测

测试项目

测试方法

AP配置检测

在插有无线网卡的笔记本电脑上运行专用测试软件，在设计目标覆盖区域内测试所有AP信道及SSID。

指标要求

AP频率配置必须符合设计文档为每个AP指定的信道；

AP的广播SSID配置为CMCC；

注：特殊专网的SSID根据具体要求进行配置

检查结果

遗留问题

□ 通过

□ 未通过

第 29 页 共 33 页

无线宽带wifi接入系统实施方案

5.4 用户认证测试

测试项目

测试方法

基于WEB认证测试

在热点覆盖区域内不同地点使用“用户名+密码”方式进行20次WEB认证，记录是否认证成功。

认证失败次数≤1次

检查结果

遗留问题

测试项目

测试方法

基于MAC认证测试

在插有无线网卡的笔记本电脑，在网络覆盖的区域内不同地点进行20次MAC认证，记录是否认证成功。

认证失败次数≤1次

□ 通过

□ 未通过

□ 通过

□ 未通过

指标要求

指标要求

检查结果

遗留问题

5.5 WEB认证接入时延测试

测试项目 WEB认证接入时延测试

1、用户笔记本电脑终端通过与AP进行关联，使用浏览器访问Internet；

2、弹出Protal页面后，输入用户名和密码，进行登录认证；

测试方法

3、记录从登录到登录成功的延时；

4、选取设计覆盖范围内不同地点、不同AP重复进行20次接入测试，分别记录响应延时；

指标要求

检查结果

遗留问题

第 30 页 共 33 页

平均登陆时延不大于5秒。

□ 通过 □ 未通过

无线宽带wifi接入系统实施方案

5.6 Ping包测试

测试项目

测试方法

ping包测试

1、笔记本通过认证接入网络；

2、笔记本通过无线网卡分别ping

AC或AC上连端口的IP地址，ping包大小为1500bytes，ping包次数为100次；

3、记录响应时间、丢包率等参数；

指标要求

时延不大于50ms；

Ping包的丢包率不大于3%；

□ 通过

□ 未通过 检查结果

遗留问题

5.7 AP间切换

测试项目

测试方法

AP间切换测试

1、笔记本终端通过认证接入网络，并通过无线网卡Ping本地网关；

2、笔记本终端由目前接入AP的覆盖范围移动至相邻AP的覆盖范围内后，一直进行的ping本地网关仍然成功；

3、在此过程中使用另一台笔记本终端登陆到源AP和目标AP管理页面，确认测试笔记本终端由源AP切换到了目标AP；

4、重复以上步骤，连续测试10次以上，测试包含热点所有相邻AP，记录切换是否成功；

指标要求

切换成功率不小于90%

□ 通过

□ 未通过 检查结果

遗留问题

第 31 页 共 33 页

无线宽带wifi接入系统实施方案

5.8 系统吞吐量与接入带宽测试

测试项目

测试方法

系统吞吐量与接入带宽测试

1、笔记本终端加载可记录用户传输速率的软件；

2、用户通过认证接入到网络后，登录测试FTP服务器，进行50M文件的FTP上传下载操作，记录速率；

3、重复3次，记录上传下载速率；

指标要求

要求在下载过程中没有明显中断；

要求单用户接入时，在信号强度大于-70dBm的区域，带宽达到设备标称要求；

□ 通过 □ 未通过

检查结果

遗留问题

5.9 AP可被网管测试

测试项目

测试方法

指标要求

AP可被网管测试

通过IP地址等信息，将热点各AP加入网管系统；

网管应可以发现新接入的AP；

检查结果

遗留问题

第 32 页 共 33 页

□ 通过

□ 未通过

无线宽带wifi接入系统实施方案

第 33 页 共 33 页