农村无线网络建设方案

农村无线网络建设方案

“农村信息化”重要实现对农村的最后一公里网络覆盖，提供农村信息网络教育、科技兴农、农业资讯、村务短信及时通及接入服务，满足农村精神文明建设与业余文化生活的需求，并提供基本的互联网接入服务，实现村村通。

1、建设范围

(1)、要求对所有的镇、乡的居民能够提供无线宽带服务、IP电话等多种服

务。对乡镇内的一些主要的公共区域进行无线网络热点的覆盖，包括：主要的街道、路段的十字路口，办公楼、主要的工业园区、银行、金融区、繁华商场、公园、广场、酒店、医院等建筑周围的区域。对于居民社区，可以利用原有的有线传输网络，在社区内搭建无线网络平台，对社区内的居民以及社区内的公共场所进行无线网络热点的覆盖。

(2)、扩展性应用：对于主要的交通要道以及公共场所，利用搭建好的无线

网络平台，进行布设监控摄像头，对一些紧急的交通事故及突发性事件进行实时监控，监控摄像头所采集的实时监控录像通过无线网络平台及时的传回当地的交通、警局和消防监控中心。

2、无线网络设计的原则

设计原则：

(1)、无线技术方案

可以同时使用室内产品2108和室外产品5108之间的无缝配合能力可整合室外mesh网和室内mesh网，充分利用有限的室外或室内的传输资源，构建更大规模的、跨越室内室外的无线网络。

部署安装简单–自动配置、自动发现

节点可以自我配置，当一个网络节点启动，该节点内的各模块互相自动发现并且确定它们的位置和在节点内的角色，包括该接口为有线或无线连接网络。

然后网络节点通过有线或无线网络连接模块自动发现Access/One网络内其他的节点。节点使用基于多个决策因素的算法连接到网络服务器（Network Server）。网络服务器模块用于管理和控制网络，用户连接模块用于无线接入用户到网络中，网络连接模块用于提供有线或无线的到局域网的连接，网络服务器模块、用户连接模块和网络连接模块自动的从DHCP服务器上请求及获得IP地址。

网络稳定可靠–自动调节、链路自愈

消除无线干扰–智能信道选择

支持DFS（Dynamic Frequency Selection）动态频率选择功能，具有智能选频能力。无线频谱中利用率最低、最不拥挤的信道将被使用。整个过程都是自动完成，不需要人工干预，使用灵活，极大的提高了无线网络效能。

语音优先级支持

Mesh网络能够辨认出语音数据包，并给予语音业务最高的优先级别。同时，支持VoWLAN，在端到端的mesh骨干网络中为语音数据的传输提供有效的保证。

(2)、安全性原则

系统的高安全能力确保未经确认和授权的接入点(AP)或无线终端(STA)无法

接入到移动宽带通信系统中，防止了恶意攻击者对网络的进行物理层以上的攻击。

mesh无线网络系统提供一系列完备的标准工具保障无线网络的安全，在后台采用WNMS8000对所有节点进行统一的管理。保护网络安全和加密交换的信息以防止外部窃听。Access/One全面支持802.1x，支持从WEP、TKIP到AES的加密协议。AES（先进加密协议）作为DES协议的升级替代标准，需要硬件加速，具有非常高的安全性。

提供一系列完备的标准工具保障无线网络的安全。保护网络安全就是授权潜在用户和加密交换的信息以防止外部窃听。在有线网络中，IT经理每天使用登录名和密码，通过物理安全措施防止外部窃听。安全无线网络通过论证方式授权ID和动态加密以保护信息流。

一个无线设备连接到网络节点，使用它的公共钥匙证书和EAP-TLS协议请求授权。网络节点使用它的共享安全通过RADIUS服务器授权，这使得该网络节点成为安全的网络环节。然后网络节点转发设备的授权请求。网络节点阻断了所有来自和发送给该设备的流量除了授权请求。当RADIUS服务器签发了成功授权的信息，通过动态钥匙建立了一个加密的AES链接。网络节点不再阻断到这个指定客户设备的流量。网络中的所有成员都被完全授权和加密。网络使用AES加密所有的网格链接及所有的网络管理和控制数据，使攻击者不可能破译和截获网络信息。最后，一旦用户被授权，在用户访问网络时，用户的安全始终得到保证。

通过RADIUS服务器，可以用802.1x可扩展身份验证协议（EAP）和一些钥匙旋转的方式让无线连接更安全。完整的WI-FI联盟WPA标准（WI-FI受保护访问）要求瞬时密钥整体协议（TKIP）：如果客户端不支持TKIP，那可以建立一个客户端控制的钥匙交换以提供动态WEP，更好地防止黑客攻击。

最好的方法是既使用RADIUS服务器，再加上EAP论证（传输层TLS或隧道TTLS），和高级加密标准加密（AES）。

网络节点之间采用64/128bit的AES加密所有的管理数据和通信数据。在业界中独有地提供了最高级的安全级别，充分的满足了传输网络对安全性的要求。

为了防止恶意攻击者采用物理方式进行网络攻击，如加入大功率AP等设备使频段饱和，从而引起DoS的物理式攻击，网络同时提供了对非法无线设备的扫描，当无线专网区域内出现未经授权的无线设备，可以发现网络中其他的无线局域网产品（AP，Wireless Router等），并且进行实时报警。可以迅速的检测、定位未经授权的、或恶意的接入点，通过迅速、准确的定位，指导管理员对非法设备进行排除。可以对潜在的安全隐患采取适当的措施。如下图所示：

Virtual/AP & Priority/One

特有的无线VLAN（虚拟LAN）功能。无线系统可以通过无线服务标示（SSID）控制多组群按照不同级别的安全接入，并且通过对802.1q Trunk的支持透传不同组群VLAN的用户流量。

通过多VLAN的定义以及相应的优先等级，可以为不同的VLAN提供差异化的服务质量（QoS）。

系统的每个无线模块都有4个RX Queue （接收队列）和4个TX Queue （发送队列）对无线模块接收和发送的报文进行处理。这样，接收和发送都有4个不同的处理优先级别，包括 High, med-High, Medium, Low。

通过为CoS过滤器定义的服务类型赋予相应的处理级别，就可以实现基于CoS 的优先级方式的服务质量管理。如，对于ICMP （ping 操作，IP Protocol Number 为1），可采用IP Protocol作为CoS Filter定义该服务类型，然后通过给与其相应的优先级别进行服务质量的指定。

Access/One的QoS机制使对时延敏感的业务，如语音和视频等优先于其他的需要处理的业务，保证实时业务稳定可靠的工作。

Mesh系统的安全特性可以归结为：

数据的安全传输

Mesh骨干链路采用128-bit AES隧道化加密

认证和授权

◆SSID广播抑制，防止AP广播自己的SSID

◆802.1x标准

◆Radius Client

◆非法设备发现

◆无线设备加入授权

加密

◆支持WPA和WPA2标准

◆硬件加速的AES，在不牺牲系统性能的情况下，最大化系统的安全性 Virtual AP/ PriorityOne