首页 > 代码库 > aruba无线轻轨项目
aruba无线轻轨项目
在无线网络管理方面,必须具有无线的集中控管、智能调控、自动恢复、负载均衡等实用功能,所建无线网络可以适应多种环境的变化,可动态地保证良好的应用效果。还应具有远端AP数据进行采集、远程监控、终端定位等功能,支持多SSID,可以方便的把语音、视频以及其他类型的数据的应用进行分开管理。
安全性
在无线网络安全性方面,无线局域网系统具有比有线局域网更高的的安全防护要求,无线网的安全性主要从以下几个方面考虑:
(1)无线接入认证:具有支持多种用户认证方式;
(2)采用具有用户状态访问控制的防火墙技术;
(3)具有数据在无线信道上传输的VPN机制;
(4)具有无线网的防病毒机制
(5)具有无线电波监控能力
(6)能提供无线入侵侦测和无线终端位置的追踪功能。
可靠性
具有提供智能化的无线电波自动调控与切换能力,以确保单个AP接入点在发生故障时自动切换到邻近AP,不会影响无线的接入服务;具有支持热备份的无线控制器N+1的冗余备份机制。
可扩展性
通过一个集中的无线局域网网管平台实现对所有的AP功能的配置和管理以及升级,AP既可以提供无线接入,也可设置为无线入侵监控、无线终端追踪定位、无线电波传输分析的工作模式。整个系统可以根据用户的需要进行规模上的扩展,扩展后所有功能和管理的模式保持不便。
快速移动性
Aruba的设备通过特有的无线技术,保证无线终端与AP之间的切换所需时间最少。在Aruba的无线架构体系中,无线AP只作为无线天线和无线802.11a/b/g 无线协议的封装,其他无线网络中的无线认证,无线加解密,无线管理以及无线终端漫游管理等都在无线控制上完成。
因此,列车在无线切换过程中无线信号的满足快速漫游切换。所有无线安全的认证,加密等都不需要象传统瘦AP厂商那样需要重新认证与加密,IP地址也同样不需要更新,可以在漫游中保持。通过特有无线漫游技术的保障,可以让列车在无线AP间的切换保证在毫秒级别的漫游切换。
1.1.1.1 整体系统架构设计
结合武汉轻轨的PIS中的网络和应用需求以及ARUBA解决方案的特点,ARUBA无线网络系统中的设计原则可以分为以下几大点:
l 安全性---组建高安全级别的无线网络传输系统;
l 高可用性---无线网络具备抗无线干扰能力并且具备无线自愈功能以及高冗余性无线链路以及设备冗余性;
l 多媒体业务融合支持---支持视频等多媒体业务传输需求;
l 快速移动性---支持列车在80公里/小时的速度下保持列车和地面的WiFi信号连接。
武汉轻轨需求的三大特点正好符合ARUBA无线网络优势:
根据武汉轻轨无线网络的需求,建议采用无线AP配合无线控制器集中控制和管理,在武汉轻轨沿线架设无线AP,通过沿线架设的光纤汇集到控制中心,中心配置两台无线控制器作设备的冗余备份保障无线网络可靠性。
1.1.1.1.1 无线拓扑结构图
整体无线车地系统拓扑结构图
武汉轻轨1号线PIS车地无线传输系统由三层网络结构组成,即控制中心子系统、网络子系统(轻轨802.11a的54M无线接入网和站点网络系统,)及车载子系统(列车100M Ethernet LAN以及无线车载终端)。列车通过54M无线接入轨道边AP,轨道边AP通过100M Ethernet星形网接入车站交换机,车站交换机通过1000M Ethernet接入主干网络。
每个站台、轨道边沿线都铺设5.8GHz遵循802.11标准的无线接入点(AP),通过铺设在轨道边内的光纤星形网,接收从子系统控制中心发来的信号,列车终端依靠无线网络和光纤星形网通讯技术接收来自列车所到位置对应AP发送的即时信息,并实现节目信息的实时播放。同时,由于无线信息传输的双向性,PIS系统也可以将列车上的实时乘客信息、监控情况及时上传到车站控制室及子系统控制中心。
无线传输系统主要涉及轨道边沿线的无线接入点AP和天线的布放,高速移动情况下的无缝切换,以及与上级交换机设备互联和与媒体分发中心进行数字多媒体数据传输等。
1.1.1.1.2 无线控制器与核心交换机连接
在ARUBA的无线解决方案当中,两台ARUBA 6000无线控制器的放置是在武汉轻轨公司的网络数据中心。
网络连接需要注意以下两点:
l ARUBA的无线控制器与相连核心交换机/路由器之间端口协商的匹配性和稳定性:如果存在着速率匹配失误的情况,整个无线网络的稳定性会受到影响,具体表现为AP会不断进行重新启动。
l ARUBA无线控制器与核心网络设备之间相连的角色组情况需要和武汉轻轨公司网络的规划一起进行,ARUBA无线控制器和网络的核心设备之间可以通过二层Trunk方式或者三层路由方式,用于将用户划分到不同策略的角色组当中去。
1.1.1.1.3 接入层AP部署
ARUBA无线方案能够方便实现跨三层网络部署,远端接入层的AP(路边)部署只需获得相应IP网络地址和网络中已经部署的ARUBA交换机IP地址即可。极大简化了传统无线网络部署复杂程度,减轻AP设置与用户设备以及AP所连接有线网络配置。
无线AP通过武汉轻轨公司已有的路边光纤网络汇聚回到网络中心,通过已有的有线网络系统,连接到两台ARUBA 6000无线控制其上,网络管理人员通过ARUBA 6000集中管理和监控远端AP的运行状态。
1.1.1.1.4 AP的防雷设计
在实际架设的无线AP(路边室外)必须要有符合防雷标准的安装设计:
l 为预防通过交流电力引线、无线天线系统以及其它各种进出站的缆线所引入的雷害,达到确保无线站构筑物、站区工作人员的安全,以及站内通信设备的安全和正常工作,必须加强防雷措施。
l 轻轨无线站的防雷与接地设计可参照无线站的综合通信防雷与接地设计,应按《通信局(站)接地设计暂行技术规定》YD26-89执行。
l 由于无线站引入雷害的途径多且遭受雷害机率较高,无线站防雷与接地应进行全方位的综合治理。采取泄放、消峰、均压等电位的联合接地设计原理,全面系统地做好无线站的防雷与接地设计。
l 为无线站供电的电力电缆及其它进出缆线如有金属外护层或穿金属管道,最好埋设于地下。
沿线路边无线AP(无线站)防雷措施,具体方法如下图:
1. 无线站工作接地,应从接地汇集线就近引线,接地线的截面积应满足最大负荷要求,一般要求为35-95平方毫米,材料为多股铜线。
2. 无线站通信设备及供电设备的正常不带电的金属部门、通信设备所设防雷保安器的接地端,均应作保护接地,严禁作就近接零保护,接地线的截面积应不小于35平方毫米,材料多股铜线。
3. 出入无线站的电缆金属护套在入站处应作保护接地,电缆内芯线在进站处应加装保安器,电缆内的空线对亦应作保护接地。
4. 走线每隔5米作一次接地。走线架、吊挂铁件、机架(或机壳)、金属通风管道以及其它金属管线,均应良好接地并相互妥善连通。
5. 无线馈线及塔顶航空障碍信号灯馈线的金属外护层,应就近接地。
6. 无线天线应在避雷针保护范围内。避雷针与引下线应可靠焊接连通,引下线材料为40毫米×4毫米镀锌扁钢。引下线在地网上连接点与接地引入线在地网上连接之间的距离宜不小于10米。
7. 无线站交流电应采用三根相线,电力电缆金属外护层,应就近接地。
8. 无线站电的连接电缆架设如果处于年雷暴日超过20天,大地电阻率超过100欧·米的地段时,应在电缆上方埋设屏蔽线。
9. 无线站的交直流配电设备及电源自动倒换控制,应选用具有防雷措施产品,应有防雷措施和浪涌吸收装置。
1.1.1.1.5 车载无线单元设计
有关车内无线终端设备的相关接口标准,应该符合无线802.11标准,支持无线漫游快速切换。
车载无线单元除了能够在AP间快速切换,还必须满足以下要求:
l 备份:在每一列的列车车头和车尾各安装一套车载无线单元,为车上的计算机设备提供接入网络控制中心的通道,一套工作,一套备份,备份的无线单元实时检测工作无线单元的工作状态,一旦工作的无线单元发生故障,备份的无线单元将自动接管其工作。
l 广播支持:车上的计算机设备支持远程唤醒功能,依靠中心发出的指令来实现开关机,所以车载无线单元支持将中心发出的广播指令传送到车载的网络。
l 管理接口:除了提供CLI命令行接口对无线单元进行配置和管理外,必须提供Web和SNMP接口对车载无线进行配置和操作。
l 智能性:每条轻轨线路都有上下行线路,车载无线单元必须支持列车到终点后的参数切换,比如上下行线路采用不同信道的无线信号时,车载无线单元必须能够做到自动切换。
l 带宽需求:PIS对无线带宽的要求很高,车载无线单元必须在80km/h运行速度下,支持不低于15MBps的网络净吞吐率。
l 安全:必须支持WEP和WPA对数据进行加密。
l 灵活性:在轻轨无线应用中,有可能同一线路中的列车会进行车厢重组,车载无线单元分布在车头和车尾,必须能够在列车车厢重组后能够自动识别对方并正常工作。
TrainFi 205无线车载无线单元连接示意图如下图所示:
TrainFi 205车载无线单元安装在列车的车头内,TrainFi 205和车内网络系统通过RJ45网络线连接。
v 描述
在列车头、尾各安装1套TrainFi 205轨道交通专门设计的无线客户端,以54Mbps速率与路边沿线的无线AP建立无线连接。
v 特点
? 为工业环境设计的轨道交通专用无线客户端,适合车载环境,提高车载系统的可靠性;
? 冗余54Mpbs无线链路,当主用无线链路出现故障,启用备份链路。
方案中选择的车载无线单元的优势:
l 高速切换能力:
能够支持CCTV实时流媒体业务的高速漫游能力,能够提供最小的视频延迟,在20毫秒之内就可以切换AP。
l 完善的现场测试工具
现场测试工具可以提供对轨道交通整个链路的信号分析优化系统的性能。现场测试功能可以帮助网络管理人员图形化定位信号强度以及跟踪整条轨道交通链路的信号分布选择最佳的漫游方案。
详细的漫游纪录功能,无线车载单元提供详细的漫游纪录帮助管理人员在无线网络实施过程中纪录详细的漫游过程,最终确定最佳的漫游方案。
1.1.1.2 组网方案设计
1.1.1.2.1 设备连接方案
无线网络系统设备连接图
如上图所示,在整个无线网络系统当中,两台ARUBA的无线控制器A6000放置在数据中心,与核心交换机之间采用VLAN trunk进行连接;而轻轨中的AP通过GRE隧道汇接回到无线控制器,途经轻轨站内的有线交换机和其它相关的有线网络设备。
在这样的网络实现当中,AP上用户的流量都将通过AP与无线控制器建立起的GRE隧道,流向无线控制器,在经过相应的策略匹配之后,用户会被要求认证,或者流量会被转发/丢弃。
整个物理连接如下:
AP通过光纤环网与站台的接入层交换机相连,由于AP和接入层交换机都是铜缆接口,需要通过工业级光电转换器互连转换。而控制器则采用2个端口的千兆光纤接口做端口绑定,既达到冗余功能,又达到无线带宽绑定功能。
基于整个武汉轻轨一号线乘客信息系统的系统设计架构:
中心交换机à车站级交换机à各分布点无线AP连接用光电转换器,我们在车站级交换机à各分布点无线AP连接采用星型方式,由车站级交换机采用电气连接方式汇聚该站所覆盖的各工业光电转换器,各工业光电转换器可通过长度不等的多模光纤与连接各无线AP的工业光电转换器相连通。
实现信息系统数据的下发功能即:
中心的数据服务器开始à经中心交换机à车站级交换机à各分布点无线AP连接用光电转换器à 无线APà专用车载快速无线漫游客户端à车载网络à车载LCD控制器à 各LCD显示屏系统。
实现信息系统数据的上传功能即:
车载摄像头à 视频编码器à车载LCD控制器à车载网络à专用车载快速无线漫游客户端à无线APà各分布点无线AP连接用光电转换器à车站级交换机à中心交换机à中心的数据服务器。
如下图所示:
数据下行及上行流程如附图所示:
1.1.1.2.2 系统冗余方案
在武汉轻轨无线网络中整个系统的冗余在多方面体现,其中主要有:中心无线控制器设备的冗余VRRP,远端设备的硬件冗余,无线链路的冗余,无线信号冗余等等。
中心无线控制器设备的冗余VRRP:
如设备连接图所示,在整个无线网络系统当中,ARUBA的无线控制器A6000两台设备放置在数据中心,两台A6000设备一主一从,通过标准的VRRP协议作设备冗余备份。沿线路边架设的无线AP通过光纤连接汇集到核心交换机,A6000设备与核心交换机之间采用VLAN trunk进行连接,无线AP会首先连接注册到A6000主设备,当A6000主设备故障无线AP会自动连接A6000从设备。
远端无线链路和无线信号冗余:
在轻轨中的AP通过GRE隧道汇接回到无线控制器,途经轻轨站内的有线交换机和其它相关的有线网络设备,无线的链路覆盖需要预留冗余,特别是为了配合列车载无线覆盖的区域内快速漫游,如设备连接图所示,每个无线AP的无线覆盖和相邻的无线AP最好有1/5到1/4的无线覆盖重叠,为配合无线快速无缝切换。按照武汉轻轨要求需留有需求带宽25%以上的冗余量。
无线信号的冗余,考虑到此次工程中无线设备为地面和高架线路架设,古田车辆段还存在因整体上盖物业,引起建筑的柱网会非常密集的情况,造成无线信号很容易产生多径干扰等情况,考虑到各种覆盖情况以及线路周边可能出现的未知不确定无线干扰,无线AP信号传输部分在此区域内要多考虑冗余,无线AP架设的位置,以及设备的传输冗余储备都要做相应的考虑。建议最好有10dB左右的冗余无线信号抗干扰储备。
1.1.1.3 无线覆盖建议
1.1.1.3.1 链路带宽分析
ARUBA的无线AP所使用的硬件支持无线多媒体扩展(WME)的队列,可以将这些射频的队列映射到IP的QoS机制如DSCP和802.1来保证无线的应用可以在有线的网络上获得相应的优先级。ARUBA在支持802.11e服务质量的基础上,增加了基于用户状态流的区分和优先级映射,使得同一个设备的不同应用可以得到不同的处理优先级。区分数据流的各种参数可以包括源/目的地址、协议、服务(如HTTP、TFTP、SIP等)。
ARUBA无线控制器在启用内置的防火墙时,可以识别数据流的状态和类型,因此可以根据用户或应用来分配不同的带宽。带宽分配是在无线控制器内由一个专业的漏桶算法来控制的,当用户的流量超过预定义的带宽时,数据包将被丢弃。
ARUBA的AP和无线控制器可以利用802.1p和IP DSCP来给网络里的数据包来标记QoS的优先级:
· 下行——往无线用户的方向,无线控制器根据应用和流的标识来标记802.1p标签,无线控制器内部的状态防火墙可以识别需要高优先级的数据流,然后根据用户定义的802.1p标签来标记相应的数据包,这样在无线控制器和AP之间的网络就可以据此来保证下行数据的优先级;当AP收到下行数据时,它可以根据数据包的GRE包头的信息来确定该数据包的优先级。
· 上行——无线用户往AP的方向,AP不作解密的工作,所以没有办法知道数据流的优先级,但是一旦高优先级的数据流到达无线控制器,该数据流就立即被识别并且AP被告知哪个用户具有较高的优先级,此后该用户的数据流就会被标上用户定义的802.1p标签。
由于无线服务质量标准802.11e还没有最后定稿,ARUBA支持Wi-Fi联盟的WMM规范(802.11e子集)。一旦IEEE 802.11e被定稿和正式公布,ARUBA将完全支持该标准。ARUBA的AP具有8个硬件队列,目前使用了两个:高优先级和低优先级,以后可以配合802.11e标准的发布启用8个队列,以实现更为丰富的服务质量保证方案。
1.1.1.3.2 多普勒效应
多普勒效应示意图
多普勒效应常见的例子是火车,当火车接近观察者时,其火车汽鸣声会比平常更刺耳。可以在火车经过时听出刺耳声的变化。同样的情况还有:警车的警报声和赛车的发动机声。
把声波视为有规律间隔发射的脉冲,可以想象移动设备每走一步,便发射一个脉冲,那么在移动设备之前的每一个脉冲都比移动设备站立不动是更接近,移动移动设备移动性。而在移动设备后面的声源则比原来不动时远一定距离。在移动设备之前的脉冲频率比平常变高,而在移动设备的移动之后的脉冲频率比平常变低了。
多普勒效应不仅仅限于声波,电磁波(RF信号)也存在多普勒效应。由于电磁波在真空中传播,真空中不存在介质,只需要考察光源与观测者之间的相对运动。必须根据相对论才能确定其多普勒效应的频率变化关系。
波源静止,观察者相对于媒质运动:
图表 3. 波源静止,观察者相对于媒质运动
如上图,当观察者O向着波源运动时(v0>0)时,在单位时间内,原来处在观察者处的波面向右移动u的距离,同时观察者自己向左移动了v0距离。这就相当于波通过观察者的总距离为(u+v0),因此,在单位时间内,观察者接收到的“完整波”数目等于(u+v0)距离内的完整波数目。
即观察者收到的频率为下面公式中υ为波的频率。由于波源在媒质中静止,波的频率等于波源频率,因此有
这表明,当观察者以速度v0向着静止波源运动时,接收到的频率为波源频率的(1+v0/ u)倍。当观察者背离波源运动(v0<0)时,上式仍然适用,只要将v0以负值带入即可,那时观察者接收到的频率要小于波源频率。当v0=-u时,则υ0=0,相当于观察者随着原来的波阵面一起运动,也就接受不到振动了。
在100公里/小时的移动速度下,多普勒效应造成的频移(Doppler Shift)大约为工作频率的百万分之一,对于2.4GHz (802.11g)频段来说,频移大约为2.4MHz左右,将直接导致信号衰减和误码率的上升。
误码发生后,Layer2(数据链路层)的数据单元需要被重新发送,这样就会造成性能和吞吐量的下降,当误码和重传多过时,无线链路就不再可用。
Aruba无线系统选用了Atheros高品质的射频芯片,可以更有效的避免和处理误码;同时,通过调整射频工作环境,为无线链路提供更多的衰减冗余(fade margin)整个系统频率的裕量可以达到±1kHz),保证链路的信号强度,可以降低多普勒效应的影响。
1.1.1.3.3 菲涅尔区干扰
在实际电磁波的空间传播比较复杂。电磁波被阻挡就会产生折射作用,大气层的温度、湿度、压强以及天气的变化都会使电磁波产生不同的折射,都会引起电磁波的不规则性,因此要有足够的无线链路冗余考虑。考虑到武汉轨道中无线菲涅尔区的干扰,武汉轨道交通中菲涅尔区间干扰会比较多。由于无线传输链路中间的空间很可能有物体遮挡。
微波通信的直线传播原理决定了微波传输路由上的不可阻挡性,就像空中飞行航路一样,需要一定的“净空区”,国家标准GB-4821规定:无线天线的正前方有一定的空旷地带(即净空区)。在此范围内不应有森林、较高的树木、 建筑物,金属构筑物等。以2.4G无线为例参数图:
根据惠更斯——菲涅尔原理,波源在一定的介质内按一定的规律传播,由于波的干涉作用的结果,就形成一个接一个新的波前面,就像一个个环带,这种现象称为菲涅尔带。在微波发信和收信之间所形成的通道称为菲涅尔区。微波接力通信的电磁波能量及所携带的信息就是菲涅尔区内辐射场的总和。为了提高传输方向性,使用的抛物面天线,它的传输菲涅尔区呈椭圆状形,而主要能量集中在第一菲涅尔区内,第一菲涅尔区半径用F1表示,其最小菲涅尔半径用F0表示。FO=0.577F1。F0也可理解为“禁区’。阻挡物不可闯入微波通信通道的“禁区”。
菲涅尔区是一个椭球体,收发天线位于椭球的两个焦点上,图中R为第一菲涅尔半径,计算公式如下:
R=0.5(λD)0.5(4) λ为波长,为两天线的距离λ=3*108/f m
H1=保证第一菲涅尔区60%的空旷需要架高天线的高度;
H2=地球曲率因素要求的天线架高高度;
D=以英里为单位的距离;
F=以GHz为单位的频率。
2. 无线链路辅助余隙
当无线信号的收发之间的直射线恰好与地形的障碍物体最高点相切,信号就不能作为自由空间传播的模式计算,无线信号接收点不可能得到相应的信号强度,有关资料表明需要6dB以上的衰耗。此外,考虑到低空大气对流层是受气象变化的不均匀的媒质,不同的气象条件会造成电波的折射作用,引起反射波电场的变化,改变原直射波的路径,影响信号的稳定度。附加轨道交通路边的建筑构件,如广告、灯箱等都是应该考虑的因数,因此,轨道交通无线通道一定要留有“辅助余隙”。
在武汉轨道建设中由于武汉双线单轨道边模式,可以采用双方向的定向天线,对抗无线信号衰减,无线链路保留6dB以上的链路冗余,建议采用单向定向天线(双线列车错车的情况下实时传输效果可能会受到影响,此时下行视频应当自动切换至录播模式)。
1.1.1.3.4 抗干扰分析
无线网络系统所遇到的干扰以及解决措施如下:
(1) 抗多路径干扰,由于发射信号被障碍物反射导致。解决措施如下:
◆ 采用OFDM(正交频分复用)调制方式,适合于多径环境下工作;
OFDM是Orthogonal Frequency Division Multiplexing的英文缩写,其具体意思为直角频率多路传输分割复用技术。这种技术将无线通信传输信号分割成了多个副载波进行传输,每个副载波由于仅仅携带了很小一部分的数据负载,OFDM技术就能利用更长的符号周期,使通信传输信号更不容易受到多径传输的干扰或者其他外界的特殊干扰。OFDM技术除了通过分割载波的方法来增强通信的抗干扰外,还通过提高载波频谱利用率的方法来提高通信的稳定性。通过对多载波的调制改进,让各子载波相互正交,扩频调制后的频谱可以相互重叠,从而基本解决了子载波间的相互干扰;
◆ 采用定向天线,使得覆盖范围内无线信号有方向行,多路径最小化;
◆ 采用差异双天线,试验证明采用差异双天线时,如果一个天线处于信号无效点,则另一个天线不会处于信号无效点,如图所示。
图 多路径示意图
在多路径无线反射环境中,信号无效点(null point)在该范围内到处存在。
将天线移动一下将移出信号无效点且接收正确的信号,因此第2个天线总能接收到信号。
(2) 抗信号衰减,无线射频信号强度与距离平方成反比。由于无线射频信号本身的特性,解决方案是加大AP的铺设密度,使得AP之间重叠范围增大。
(3) 邻频道干扰,频率串扰导致。解决措施是将相邻的AP设置到独立的3个工作频段中,可大大减少相邻AP之间的干扰。
(4) 同频道干扰,其他同频AP或者其他系统干扰造成。如果是其他同频AP干扰造成,则将其设置到独立的3个工作频段之一;如果是其他系统干扰造成,则可能的话,降低其发射功率。
(5) 多普勒频移效应,由于无线车载设备高速运动所致。ARUBA无线设备采用OFDM(正交频分复用)调制方式,本身就适合于多普勒频移环境下无线传输数据。
(6)无线网络的抗干扰能力的实现是通过多级接收滤波器来实现的。AP本身具有比较理想的抗干扰能力。在双向放大器的接收部分,又采用了两个RF滤波器。接收部分只放大2.4GHz到2.483GHz之内信号,对于其他频段的信号,均衰减,从而实现比较理想的抗干扰能力。
1.1.1.4 轻轨天线安装建议
在武汉的轨道中的AP的安装应根据武汉的气候、环境特点以及轻轨的特殊环境特点对设备采取必要的防护措施。例如防盗、抗电磁干扰、防风、防雨、防雪、防雹、防雷、防尘、防潮、防霉、防辐射、防静电等。同时与AP共同进行无线接入的光纤转换器和功率放大器也需要必要的防护措施。因此轨道中的AP推荐采用机柜式安装。如下图:
室外IP65机柜防护等级IP65以上,满足标书中室外AP的安装要求,安装方式采用地面固定安装。
在实际的武汉轨道交通区间空间不是很开阔,规定不容许架设无线天线杆,因此,定制的室外IP65机柜边上定制一根30-50厘米的口径50mm的短杆。
室外IP65机柜厚度不得超过20厘米。由于实际的设备的宽度都小于10cm,可以满足实际设备安装需求。
地面高架线路上安装专门订制的室外IP65标准机柜,内部安装无线设备,铁皮箱配专用防盗锁作防盗处理,室外IP65机柜通过膨胀螺丝连接轨道沿线路面。
1.1.1.5 无线网络安全分析
1.1.1.5.1 无线层面安全分析
ARUBA 无线系统的RF侦测功能和保护机制,可以实时监测无线网覆盖区域内的所有AP接入无线连接情况,如相邻区域的AP、设置错误的AP以及未经认可存在无线网络覆盖范围内的AP。
ARUBA 网络安全管理系统,网络安全管理人员可以及时发现是否有非法的AP接入,发现非法的AP后可以自动开启保护机制,可以阻止无线终端通过联接非法AP而造成的数据泄密。
ARUBA 无线系统的特点是交换机由专有的网络处理器和加密处理器组成,且内置一个无线入侵模式库,实时检测异常的无线数据包,当ARUBA 无线系统侦测出有入侵时,会记录和显示入侵的格式,并对入侵做出自动保护响应。
ARUBA 提供了侦测和防护两种功能。 它可以对用户和设备进行侦测和分类,这样管理员可以对无心和恶意的无线访问作相应的反应。
ARUBA 无线分类系统对连接到网络的 AP 和站点进行自动识别和分类。ARUBA 无线系统通过比较空中的无线通信和线路中的通信来运作。当找到匹配数据时,可以肯定设备属于本地网络,不是邻近网络。可以避免管理员收到错误警报,只有对真正的欺诈设备才进行这样的分类。
ARUBA 的无线AP分类法可精确地确定附近其他 AP 的威胁和干扰程度。 一旦AP分类为欺诈,ARUBA系统将自动禁用欺诈AP。 同时通知管理员这些欺诈设备的存在,并在平面图上标志出欺诈AP的精确物理位置。
由于无线网络的特性,成为拒绝服务攻击的目标。 无线攻击包括用联合请求阻塞网络的软件,让一台笔记本计算机模拟上千AP 的攻击,以及未认证洪水攻击。 ARUBA 移动控制器配备有无线安全模块,可以维护许多不同无线攻击的签名,并可以阻塞它们,保证无线服务稳定性。
高级拒绝服务 (DoS) 防护将保护企业的安全免受许多种无线攻击的威胁,包括联合请求和未认证洪水、蜜罐以及 AP 和站点伪冒。 根据位置签名和客户机分类,ARUBA AP 将删除非法请求并生成警告以通知管理员此类威胁。
无线网络中“中间人”攻击是一种很常见的攻击。在中间人攻击期间,黑客伪装成一个合法 AP。通过假扮成一个中继点,中间人欺骗用户和其他 AP 通过未认证的设备发送数据。一个攻击者可以修改或覆盖数据或执行密码破解。
ARUBA AP 监视空气以侦测其它伪装成有效 AP 的无线站点。 当侦测到这些伪装点时,将会采取合适的防护机制。 ARUBA 移动控制器也会在网络上追踪每台无线客户机独一无二的“签名”。 如果引入的新站点宣称自己是一台特殊的客户机,但又没有正确的签名,则侦测出它是伪冒站点。
ARUBA无线安全模块提供了许多策略,当违反策略时,可以将这些策略配置为自动采取行动。 无线策略的示例包括脆弱 WEP 执行侦测、AP 误配置保护、自组织网络侦测和保护、未认证 NIC 类型侦测以及无线网桥侦测等等。
ARUBA 可以避免无线通信进入有线网络。 使用配备有 WIP 的 ARUBA 移动系统,可以保护企业网络免受无线安全漏洞的威胁。 而且当企业准备部署无限局域网时,可以方便地重新配置 ARUBA 系统以提供可升级和安全的无线局域网基础结构。
ARUBA 可以提供无线的侦测和保护,为无线网络拒提供安全保障。
1.1.1.5.2 网络层安全分析
ARUBA策略执行防火墙模块为网络移动边缘提供了基于身份识别的安全性。 当用户是移动用户时,由于用户可能在任何地点,通过有线或无线方式进入网络,因此基于身份识别的安全性是必要的。 ARUBA 通过 ICSA 认证的状态防火墙根据用户身份识别、设备类型、位置和一天中的具体时间给用户分类,并为不同类型的用户提供了不同的访问接入。
由于在移动网络中没有安全的物理层,因此对待移动用户时,应该比对待传统的固定用户更谨慎。 防火墙是企业对于网络移动边缘的分层安全策略的强制部分。 ARUBA 独一无二的基于身份识别的状态防火墙技术使企业能够为企业网络上的一个用户或一组用户定义访问控制。
ARUBA 移动控制器提供了单点加密/解密、认证和防火墙执行。能够识别身份并且已进行终端加密,因此对于欺诈攻击免疫,这些欺诈攻击往往使得基于网络,只进行 IP 地址过滤而不是用户识别的传统防火墙束手无策。
ARUBA 允许主动执行策略,甚至在移动环境中,当用户通过网络的移动边缘漫游时,策略将始终跟随用户。
ARUBA 的状态防火墙功能不仅仅提供了耐用的安全性。 规则操作也可以使用 802.1p 或 DSCP 标记来标注包,把通信量的优先顺序区分为多个队列,或者甚至可以将特定协议重定向到不同的目标。 对于许多流行的协议,例如 SIP,流分类是有状态的,它允许将合适的 QoS 应用到控制协议和调用的会话中。对于视频业务流也可以QoS管理。
ARUBA 的状态策略执行防火墙根据用户的角色来启用对网络资源的访问。 角色通过一系列的不同机制,例如外部认证数据库、ESSID 或物理位置来分配或取得。 一旦将角色分配给用户,就可以应用不同的策略。
把基于身份识别的防火墙合并到网络的移动边缘,可以减少这些危险发生的可能以及带来的损害。 通过限制移动用户可以访问的网络资源,ARUBA 的策略执行防火墙有助于在无线中消除了蠕虫和病毒传播。
ARUBA针对无线用户设备具备黑白名单机制,可以将无线的黑客等无线攻击放入黑名单,保护无线网络安全,ARUBA的无线安全方式,当检测到无线网络上的攻击,立刻将该用户放入黑名单组中,黑名单组可以在网管设定相应的时效。可以做到基于无线的IDS和 IPS。
ARUBA的优势在于控制器内嵌了防火墙模块,可以对数据包进行深度的包检测,可以针对网络的L2到L7的数据包作状态防火墙检测。极大提高了无线网络安全性。
ARUBA的无线 AP可以定期扫描射频频谱的所有信道,捕获所有的 802.11 通信,并在本地检查所有捕获的数据。只发送违反策略的数据到中央移动控制器,可以保证将其对无线网络性能的影响降到最小。 当扫描环境时,ARUBA 系统了解所有AP和站点的信息,并根据在线路上和在空气中发现的通信流为这些设备分类。无线通信是在移动控制器上收集并进行相互关联的。
1.1.1.6 无线车-地系统网管设计
网络数据中心管理一个具有规模的无线局域网(通常在几十个AP以上)是一件非常头痛的事情。从RF覆盖面,带宽,用户的认证,以及接入的安全都要考虑。由于传统的无线局域网是单纯基于AP,因此对于无线网络的管理,其大量工作是要在每个AP上进行设置和更改。其工作量在有一定数量AP的无线网里是非常大和烦琐的,而且无线局域网是一个整体系统,AP之间必须互协调工作,单独改变一个AP参数和配置会引起AP之间的无线电波干扰,用户漫游重认证和授权也可能会产生问题。
Aruba系统具有非常强的无线局域网集中管理功能,通过无线控制器Master Switch和Local Switch管理模式管理整个网络,网管人员只需在无线控制器就可开通、管理、维护所有AP设备以及移动终端,包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。
在本次项目中配置了无线控制器Aruba 6000,可以很方便的集中控管所有安装的AP。在后续无线网络规模扩大的情况下,增加控制器或支持相应AP数量的线卡即可。
1.1.1.6.1 RF管理
Aruba系统的RF智能控管可以自动调节网上所有Aruba AP的电波特性。
初次安装无线局域网时,用户可通过RF Planning的Auto Calibration功能来自动调节整个无线网上所有AP的无线电波频率和功率。启动了Auto Calibration以后AP和AP之间会自动互传有关无线电波的信息和调整电波的参数,直到AP之间达到了一个最优化的无线电波运行环境。
Aruba 无线控制器可以对整个无线网上的电波情况侦测和记录。当某一覆盖范围内的无线电波改变,如出现干扰AP所发出的电波或其它应用所发出的电波等,Aruba 无线控制器就会把所获取的无线电波资料做分析,以确定是否需要调整这范围内AP的无线电波。
由于无线电波是一种无形的东西,它的强度和所在的信道一般都需要根据经验手工调整,要做到无线信号均匀分布,信道的利用率高,无信道干扰并不是件非常容易的事情,但是Aruba系统的RF智能控管可以自动调节网上所有Aruba AP的电波特性。可以保证无线信号均匀分布,信道的利用率高,无信道干扰,无线网络做到最为优化的运行。
当无线局域网经过Auto Calibration调整后而正式运作时,网络管理员可在Aruba 交换机内启动ARM功能,则无线网络上所有的Aruba AP都会在设定的时间内自行扫描其它的无线频道。所谓电波扫描,是指Aruba AP 从一个电波频道跳到另一频道时,如Ch 1 到 Ch 2 到 Ch 3....,由于扫描的速度非常快,所以对于在线的无线用户(指连接到AP上在同一频率上的无线终端)的传输过程是不受到影响的。当AP停留在一个频道时,它会把在这频道上收到的无线电波信息转送回Aruba 无线交换机。这样Aruba 无线交换机就对整个无线网络上的电波情况有了一定了解和记录。当某一覆盖范围内的电波改变,如出现干扰AP所发出的电波或其它应用所发出的电波等,Aruba 无线交换机就会把所获取的无线电波资料做分析,以确定是否需要调整范围内AP的无线电波。
? AP故障的自动恢复
传统的无线网络在有AP损坏或失效时,这个AP的覆盖范围就会失去了无线连接。遇到这种情况的一般做法就是把现场失效的AP换掉。但由于大多数的AP都是设置在外面(不是在机房),所以不一定能马上作更换,现场的环境也有局限性,不一定很容易维护人员即时做出更换(很多的AP都是安装在天花板上)。
Aruba系统具有自动恢复的功能,实时侦测出网上AP是否有失效,当发觉有AP出现故障时,Aruba交换机能会自动调节邻近的AP的功率(覆盖范围)来接替失效AP的工作。
? 实现无线网负载均衡
Aruba系统可在一个AP的覆盖范围内把无线用户或终端分散连接到附近的AP上。在一个AP的覆盖范围内,无线连接的带宽是共享,即无线终端数目越多,每个终端所能分享的带宽就越小。要确保每个无线终端的传输就必须能限制一个AP上无线终端的数量或AP带宽传输总和或和每个无线终端带宽上限。Aruba无线系统可应用层面通过4-7层交换模块可以实现服务器的负载均衡,VPN设备,防火墙设备等等一系列基于TCP/IP协议设备的负载均衡来保证整体网络的可靠性。
在视频应用中,负载均衡功能可以有效的缓解单个AP的负担,有效的利用临近的AP做接入,从而确保视频应用的质量得到保证。
? 无线终端定位功能
Aruba 网管系统可以跟踪和定位无线终端的位置,诸如无线接入的电脑、PDA和 Wi-Fi手机,以及非法的AP等。Aruba采用的无线定位模式称为三角定位,它的准确性可达到2.5米以内,只要寻找的无线终端附近须有三个Aruba的AP 在范围内。对于非法AP的检测具有很大的意义。
1.1.1.6.2 性能管理
QoS保证/负载均衡:如果一旦发生多个终端竞争一个AP的时候,基于流量和基于用户/终端数目两种负载均衡功能都将被启用,从而根据现场的负载情况进行均衡操作。
在轻轨PIS项目中,通过这种机制可以提供一种办法帮助无线车载终端在会车时分别连接在附近不同的AP上,让PIS和CCTV的流量可以平均分担在不同的AP上。
1.1.1.6.3 故障管理
VRRP和AP的双备份:ARUBA的设备支持VRRP热备份,同时在AP之上也支持双备份功能。如果是集中控制的无线交换机失效,则VRRP中的备份交换机会自动激活成为网络中的ARUBA无线交换机,保证网络的连续可用性。如果是AP到主交换机的连接出现问题,AP也可以向从交换机发起连接申请,建立集中式的无线网络,以此来确保网络的运行。
1.1.1.6.4 Aruba无线网管主要特点
Aruba无线交换机中集成了相应无线网络管理功能,无线网管软件可以完成对无线网络的监视和控制,保障无线网络安全,查找并隔离网络故障,记录无线网络中的各种事件等。可以管理所有AP节点,检测它们的网络性能和系统运行性能。
? Aruba无线管理系统集成在Aruba交换机中,并且无需另外付费;
? Aruba无线管理系统可以实时报告无线网络故障并通过SNMP或着SYSLOG报警 ;
? Aruba无线管理系统提供RF Plan工具,可以进行高自动化的无线局域网规划,并提供虚拟测试验证布局效果;
? Aruba无线管理系统支持通过WEB浏览方式管理;
? Aruba无线管理系统可以设定无线交换机用户的权限,比如有的用户是只读的,有的用户只能管理部分功能,有的用户可以管理配置所有的功能。针对无线网用户,可以通过状态防火墙设定其对网络资源的访问权限;
? Aruba无线管理系统可以集中管理和监控无线网中无线交换机和AP;
? Aruba无线管理系统提供详细的无线网络运行状态的监测、统计信息;
? Aruba无线管理系统可以准确高效地自动发现AP,并对其进行自动配置;
? Aruba无线管理系统可以提供关键无线网络性能监视分析和报告能力;
? Aruba无线管理系统所提供的基于WEB的图形管理界面,易于用户日常管理使用;
? Aruba无线管理系统可以通过AP进行无线数据的采集;
? Aruba无线管理系统可以自动配置和存储无线网络设备的配置参数;
? Aruba无线管理系统认证计费系统;
? Aruba无线管理系统可详细记录每个无线用户的使用情况。可以实时查看当前在线的用户,以及用户当前的动作等功能,可以查看系统状态如CPU,内存占用,资源占用,网络状态如:实时带宽显示、路由表、ARP表、用户连接数、连线状态等功能;
? Aruba无线管理系统提供强大的统计及报表功能;支持全面的用户访问日志记录功能,监控网内用户上网行为,以备在需要的时候进行日志查询。支持任意长时间的日志记录 ,适合记录大量的日志。并提供强大的统计及报表功能,将产生的日志信息汇总成各种统计报表;
? Aruba无线管理系统具备无线射频的智能管理。
1.1.1.6.5 与第三方的网管系统集成
由于武汉轻轨PIS项目的特殊性,可能未来需要对第三方网管系统的支持,同时可能存在在同一的SNMP平台下的综合网络管理和功能支持。
Aruba无线系统能够支持通用网管系统,可以和通用网管系统完美集成,实现在单一平台下的统一管理。在Aruba系统的SNMP支持体系中,MIB存在标准的结构支持,通过和通用网管系统的集成,整个网管系统可以满足以下要求:
l 开放性支持:管理应用应对外开放,可以使用任何资源及进程,即使是其它网络应用的进程,也能进行横向调用。
l 具备企业管理能力。有能力管理无线网络中的所有网络设备,应具备下列支持能力:
l 可扩展性:有能力满足用户的应用以及未来的无线网络扩展需求,为无线网络将来的升级留有余地;
l 集成界面支持:无线网络管理工作站能以图形方式显示网络设备之间的逻辑拓扑结构,网络的连接状态,每个网络设备的面板图形及指示灯状态等,并用图形方式配置网络参数和管理网络设备。
1.1.1.7 无线漫游及其优化
1.1.1.7.1 轻轨环境中终端在AP之间的无缝切换
在武汉轻轨网络中,安装在轻轨车辆中的无线终端始终会无线漫游运行在ARUBA无线网络覆盖范围内,将无线终端漫游阈值参数设置为一个高数值可以确保终端从不满足于现有的信号电平。无线终端将一直处于漫游状态,无线终端会从邻近AP列表中选择出最佳AP。将连接阈值参数设定为一个低数值,使得终端与下一个较低信号电平的AP连接,确信下一个AP信号会有所改进。
当列车无线终端靠近下一个AP的覆盖区域时,AP的信号强度将会上升到漫游阈值以上,终端将会与下一AP进行连接。沿预定路径的提前扫描和漫游是无缝进行的。
当列车无线终端不断向前进方向移动,如下图所示,列车在两站之间运行,在两站之间架设无线AP70设备,通过AP70对轨道沿线无线覆盖,无线终端设备在列车上,通过无线和AP70互联,在无线终端经过现有AP并突然失去其信号之前,由于有无线信号重叠,为保证传输质量无线信号重叠应大于25%,列车无线终端会保持与下一跳无线AP进行连接,即使无线AP的信号电平不很高。
无线快速漫游的基础是建立在无线信号的快速连接和切换机制上的,无线终端必须要启动快速无线网络切换支持。无线快速漫游方法就是参照照传统的无线蜂窝网技术,ARUBA的无线快速漫游丰富成熟稳定案例,例如广州地铁项目为参考,ARUBA无线局域网保证不仅可以保证快速切换,语音和图像等对时延敏感信号传输都会有非常好的保证。
为提高无线快速漫游的性能,建议增强无线信号均匀覆盖,减少无线信道干扰。
考虑到无线信号的干扰问题,在武汉轨道无线项目建设中将使用802.11a信道,无线设备802.11a信道工作在5.8G频段,此频段相对无线干扰比较少,无线传输信号比较稳定。对比已经民用很多年的2.4G频段,2.4G频段为民用开放频段已经有10年历史,各种2.4G频段设备遍布大街小巷,使用2.4G频段很难避免设备同频干扰。
为提高无线快速漫游的性能,建议力争减少有源设备,降低整个系统故障率;
为提高无线快速漫游的性能,力争可以控制无线设备架设和安装工作环境,增强无线设备保护和物理安全(诸如防破坏和防盗),降低无线设备维护成本增强系统稳定性;
为提高无线快速漫游的性能,建议通过无线网络优化和优化设计调试,力争减少无线AP切换次数,提高无线网络实时多媒体应用的通讯品质。
1.1.1.7.2 铁路列车无线漫游特点
无线漫游的概念涉及一系列的终端至AP连接、分离和重新连接(见图:无线覆盖和漫游)。在漫游过程中,只有终端对启动与AP的连接负责。只有当现有连接以漫游分离或信标(信号)丢失分离的方式中止时,终端和AP之间的分离才会发生。可以由终端和/或AP来激活分离。只有当终端与一个新的或以前连接的AP进行重新连接时,才会发生重新连接。
一个无线终端一次只能和一个AP进行连接,以确保终端与网络只有一个连接。相反,多个终端可以同时和一个AP进行连接。IEEE 802.11规范能够将一个AP覆盖范围的漫游服务提供给另外一个AP的覆盖范围。802.11设备里使用的传统漫游逻辑是基于一个选择程序,在该程序里,与下一个最佳AP的连接前提是在现有信号强度降低的同时,向一个更强的信号移动。
在无线漫游模式中,移动终端从相邻AP的列表中选择出下一个最佳AP,其中,至少有一个AP的信号级别高出终端的连接阈值。这一漫游逻辑确保以全向的基于发射区的拓扑方法来实现强大、无缝的切换,使得终端能够在任一方向移动,并且有不止一个的漫游AP。
区域无线漫游和轻轨直线漫游区别如下图所示:
1.1.1.7.3 无线覆盖和切换规则
基于武汉轻轨的无线覆盖的线性特点,无线覆盖和切换规则有如下特点:
· 路边安装八目无线定向天线
· 采用逆转滞后作用的切换方法
为应对定向性无线漫游引起的双向漫游操作挑战,建议使用新的操作理论。这一方案通过配置终端为高漫游和低接入(见图: 逆转滞后方式的无缝切换漫游),逆转常规的滞后漫游逻辑。在这种情况下,终端将保持持续的提前漫游状态,以确保在终端移入AP覆盖区域之间时实现无缝漫游切换。
在列车实际运行环境下,列车移动是必然的,对于连续运行来说,通过无线网络的连续漫游切换十分必要。
无线漫游状态能够确保无论指向性移动终端是按列车前进方向还是按后退方向运行,在终端丢失现有AP的信号之前漫游到下一个AP。由于终端在持续移动,先前与之连接的AP,在列车移动后可能不再适合无线连接,因为它的信号强度将迅速消失或逐渐降低到无线连接阈值以下。
图:逆转滞后方式的无缝切换漫游
1.1.1.7.4 基于“瘦”接入点的架构和切换过程
轻轨车辆中的无线终端单元监测当前和下一个AP的无线功率,在切换策略中考虑不同行驶方向的列车的要求,以保证切换时间在50ms左右,该时间包括了AP切换准备,认证和重联合。
考虑到无线漫游切换前的操作,如AP的搜索和认证过程中,移动单元仍与老的AP连接,实际的切换时间小于50ms。当相邻AP选择不同的通道时,只要设备支持背景扫描功能,就可以在不中断当前业务的情况下去搜索新的AP。(而在实际设计中轻轨是一条线就是一个频段,不存在变频段问题)。
路由信息变更由中心的WLAN交换机完成,与视频服务器等设备的数据传输都需要经过AC,WLAN控制器与有线网络的逻辑接口处的路由无需变化。WLAN交换机完全掌握用户移动单元的MAC地址、IP地址以及接入的AP等信息,并将这些信息相关联,通过2层的标准协议,可以学习MAC地址表,用于选路。在重联合的过程中,这些信息将得到及时更新。由于1个WLAN交换机可以管理所有的AP和终端,终端的切换和路由信息的更新可在3-5毫秒内完成。
无线AP(架设在轨旁)和WLAN交换机(在控制中心)之间也需要通过光纤网连接,光纤网的路由无需变更。在AP与WLAN交换机之间通过GRE(Generic Routing Encapsulation)隧道连接,该连接通道提供信息在以太网上的透明传输,可以认为是一根固定的线缆连接。
1.1.1.7.5 支持快速多次切换
在24辆列车快速移动情况下,肯定会出现列车内移动终端单元在AP之间频繁切换的现象。假设每辆列车10秒钟切换一次,理论列车运行平均时速为80km/h,则列车大约在无线覆盖22m/s,WLAN交换机每秒钟需要处理3次切换。
由于采用集中控制方式,用户认证信息,加密信息,QoS信息和路由信息的更新局限于WLAN交换机内部,无需与其它网元交换路由信息,而目前ARUBA的控制器基于ASIC架构WLAN交换机在加密情况下的吞吐量可达32G,没有任何瓶颈,基于PIS系统的应用情况,ARUBA交换机能够满足该切换要求,
1.1.1.7.6 无线车载终端在无线网络中的切换技术
对于无线车载终端的漫游技术是完全基于不间断的无线频道的监控,无线信号的持续分析以及智能的漫游选择。
如下图所示,持续的无线频道监控允许无线车载终端选择适时地无线信息,以及同时可以不影响数据的发送与接受。在不同的高速移动的环境下,无线车载终端适应独特快速信号强度的切换是非常有必要的,由于不同的轻轨或者地铁线路在不同的环境下以及AP部署的差别都有其独特的信号分布,因此无线车载终端对不同无线环境的适应性非常重要。
在高速移动的环境下的AP信号强度示意图
无线车载终端可以收集和分析周围的AP信息,通过收集到的信息分析出一个最适合漫游结果。为了提供最高的带宽给PIS和CCTV监控系统,无线车载需要确认自己连接到一个信号足够好的AP,当在高速移动的情况下,通过前期对无线信号的收集和分析,通过分析出的漫游结果,AP可以自动从一个信号差的AP无缝切换到一个信号好的AP。
如下图所示,漫游的切换参数和不同情况的AP部署以及环境因素相关,不同的信号强度切换极限和优化后的漫游切换条件可以使无线车载终端通过不同的漫游算法,比如高漫游和低接入以及滞后漫游逻辑等算法,换句话说无线车载终端可以根据不同环境下的无线情况经过详细的数据采集后分析,采用最佳的漫游算法来保障应用的无缝切换。
信号强度和AP的切换
1.1.1.7.7 两车会车的无线保障机制
在会车情况下,一般都是通过不同方向的列车会车,在这种情况下可以采用多种方法来保障会车时的带宽和接入。
第一,我们可以采用5.8G(802.11a)频段下完全不重复的频段来部署无线AP,根据我们的设计在列车行驶的不同方向都有AP来保障无线信号的接入,在每一侧的AP都是同一个频段,但是在不同的方向则通过不同的频段覆盖。无线车载终端是始终连接列车行驶方向一侧的AP接入,从而保障即使在两车会车的时候也可以让列车连接在不同的AP以及使用不同的频段,保障列车的无线流量不会互相干扰。
第二,在Aruba的系统中可以采用AP的连接终端优化的方式,保障AP始终连接一个终端,而且规定连接的终端的MAC地址,这样既有效的保障了只能连接无线车载终端,又可以进一步保障当列车会车时流量保障。
第三,在一些车站时,还可以通过不同的5.8G和2.4G频段来区分PIS,CCTV生产应用和未来的旅客上网业务等。
1.1.1.7.8 无线车载终端列车首尾互换的保障机制
无线车载终端在列车的首尾互换的保障可以通过以下几点:
l 无线车载终端是完全热冗余结构,通过VRRP协议做到双机热备份。无论任何的单个无线车载终端的损坏都不影响使用。
l 列车的头,尾部分各有一套无线车载终端保障列车到达终点后的首尾互换,无线车载终端在头,尾部分也可以做到完全的冗余。当列车在行驶过程中,列车尾部的无线车载保持工作,头部的无线车载则进入特殊的沉睡模式。
l 当列车在首尾互换时,可以通过SNMP,Web界面和命令中的任意一种方式触发无线车载终端从沉睡模式到工作模式,根据在广州地铁项目经验中,可以通过列车上的服务器发送SNMP Trap告知无线车载终端列车的运行方向,车尾的无线车载终端则自动切换至工作模式。
l 无线车载终端也可以通过一些特殊的设定来触发它的工作模式,可以通过建立指定的SSID来告知无线车载终端的工作模式
1.1.1.7.9 无缝漫游小结
综上所述,利用“瘦”接入点结合无线控制器架构的无线网络系统,结合适应轻轨特点的无线覆盖设计和切换规则设定,完全可以实现无缝漫游切换。
ARUBA无缝漫游切换技术的性能和特点如下:
l 切换时间小于50ms;
l 采用定向天线获得良好的覆盖;
l 采用逆转滞后作用的切换方法保证切换的连续性;
l 完全的中心化加解密,切换AP只是信号切换,任何安全相关的认证和加密无需重新进行。
l 数据流量完全受控制器控制,支持完整的端到端QoS保障,包括无线和有线每个方面。
l 支持根据不同AP的负载或者接入数量进行负载均衡,保障会车时所有的流量可以平均分配。
l 针对各种不同的实际情况优化漫游算法的无线终端保障无线信号的最佳切换能力
1.1.1.8 设备性能指标
1.1.1.8.1 无线控制器 ARUBA 6000
具有四个插槽的ARUBA 6000 Wi-Fi交换机单机能支持多达2048个AP,提供72个10/100Mbps以太网(RJ-45),用户连接端口以及40个1000Mbps(SFP)上连线路(uplink)以及8个10G接口。该设备具有可热插拔的模块。此外,两套交换引擎模块可以在单机机身内同时运作,实现冗余,每个模块均整合一个硬件加密引擎,明文流量速度高达80Gbps。
性能和容量 | |
机架式 | 3U |
配置 | 模块式 |
10/100端口 | 最多72 |
千兆端口 | 最多40 SFP |
万兆端口 | 最多8 XFP |
有线L2/L3交换机操作 | 是 |
硬件加速加密 | 是 |
RS-232串联控制台(RJ-45) | 是 |
带外以太网管理端口 | 是 |
每台交换机最大用户数目 | 最多32768 |
每台交换机最大接入点数目 | 最多2048 |
交换机吞吐量 | 最多80Gbps |
容错性 | |
VRRP用于交换机故障切换 | 是 |
自动接入点再导引 | 是 |
冗余电源 | 是 |
冗余风扇 | 是 |
冗余监控模块 | 是 |
多个级联端口以实现冗余 | 是(可使用任一交换机端口) |
802.11传送、认证和加密 | |
802.11通信标准 | a, b&g, n |
802.1x | 是 |
加密类型: | WEP、动态WEP、TKIP、WPA、WPA-2、802.11i、DES、3DES、AES-CCMP、AES-CBC、EAP、PEAP、TLS、TTLS、LEAP、EAP-FAST、xSec-L2、AES |
MAC地址认证 | 是 |
可升级到新的加密机制 | 是 |
Wi-FiCertified标志 | 是 |
RF管理和控制 | |
适合无线电资源管理(ARM) | 是 |
语音察觉扫描 | 是 |
多ESSID | 最多16 |
3维RF站点视图 | 是 |
自动接入点校准 | 分布式和集中式 |
在失败的接入点旁进行自恢复 | 是 |
负载平衡—用户数目 | 是 |
负载平衡—基于利用情况 | 是 |
覆盖盲区和干扰检测 | 是 |
无线RMON/分组捕捉 | 是 |
第三方分析工具插件 | Ethereal,Airopeek |
基于定时器的接入点接入控制 | 是 |
移动性 | |
快速漫游 | 20–30毫秒(交换机间) 10–15毫秒(交换机内) |
内部子网漫游 | 是 |
移动IP支持 | 是 |
代理移动IP | 是 |
代理DHCP | 是 |
VPN和防火墙 | |
并发IPsec通道 | 最多32,768 |
状态防火墙策略(每用户/每端口) | 最多2,097,200 |
VPN终端 | Ipsec、PPTP、L2TP、XAUTH、xSec,(客户端服务器和点到点) |
VPN拨号器 | 是 |
定制强制网络门户 | 是 |
外部强制网络门户 | 是 |
网络地址转换 | 是 |
ACLs | 标准和扩展 |
用户管理 | |
每个用户或每个角色分配 | 防火墙策略、带宽合同、会话优先级、VLAN分配 |
角色来源 | 根据认证、ESSID、加密、OUI |
基于位置的接入控制 | 是 |
服务质量 | |
带宽控制 | 是—每个用户和每个角色 |
应用识别流量分类 | 是 |
优先级 | |
802.1p支持 | 是 |
DiffServ控制协议支持(DSCP标记) | 是 |
VoIP | 支持 |
语音察觉RF监控/扫描 | 是—基于会话 |
状态语音会话优先级 | SCP、SIP、Skinny、Vocera |
认证服务 | |
本地RADIUS | 是 |
第三方AAA服务器互用性 | Microsoft Active Directory、Microsoft IAS Radius Server、Cisco ACS Radius Server、Funk Steel Belted adius Server、RSA ACEserver、Infoblox、Interlink Radius Server |
高级AAA服务: | RFC3576、Auth.Server per SSID、Auth Serverper FQDN、RADIUS 服务器接口安全 NAS Ipsec DES/3DES |
LDAP/SSL安全LDAP | 是 |
无线LAN入侵检测 | |
语音察觉扫描 | 是 |
多频段扫描(单模,整个频段) | 是 |
与第三方WLAN协同工作 | 是 |
检测并消除未经授权的接入点 | 是 |
拒绝服务攻击检测和防护 | 认证和解除认证洪泛 (De authentication flood)、探测器请求洪泛 (Proberequest flood)、伪接入点洪泛 (Fake AP flood)、人为攻击检测和防护、序列号、EAP 速率、工作站断开分析 |
工作站和接入点分类 | 是 |
工作站黑名单 | 手动、认证失败、人为攻击 |
对未经授权或无效接入点分类 | 是 |
接入点错误配置保护 | 是 |
假冒工作站和接入点 | 是 |
不正确/效率低的WEPkeys和初始化矢量 | 是 |
自组网检测和防止 | 是 |
未授权的NIC类型(OUI) | 是 |
特征符分析 | 是 |
可升级至识别新的特征符和攻击 | 是 |
多租户策略 | 是 |
无线网桥检测 | 是 |
网络和系统管理 | |
网站用户界面 | 是 |
命令行 | 控制台、telnet、SSH |
系统日志(Syslog) | 是 |
SNMP v2c | 是 |
ARUBA私有MIB | 是 |
MIB-II | 是 |
本地Wi-Fi交换机的集中配置 | 2048 |
Wi-Fi交换机和所有接入点的图像更新 | 是 |
第三方安全服务集成 | |
防病毒服务集成和用户隔离 | 是-Fortinet |
修复集成和用户隔离 | 是-Sygate |
服务器负载平衡用于外部服务器/组 | 是 |
标准支持 | IEEE 802.1xIEEE 802.3 10BASE-T |
电源 | |
功率损耗 | 最大 466 W 每 PSU |
交流输入电压 | 100–127VAC,200–240VAC |
输入频率 | 47–63 Hz |
实际尺寸 | |
高 | 5.75? (146 mm) |
宽 | 17.4? (444 mm) |
深 | 12.5? (317.5 mm) |
重量 | 30 磅 (不算包装) |
规则 | FCC part 15 Class A CE 加拿大工业部 (IC) Class A VCCI Class A(日本) EN 55022 Class A (CISPR 22 Class A)、EN 61000-3、EN 61000-4-2、EN 61000-4-3、EN 61000-4-4、EN 61000-4-5、EN 61000-4- 6、EN 61000-4-8、EN 61000-4-11、EN 55024、AS/N2S 3548 |
安全 | UL 60950 CAN/CSA 22.2 #60950 |
1.1.1.8.2 无线AP ARUBA 70
ARUBA 70是业内首款双频混合型接入点,可以同时提供目前的802.11a和802.11b/g服务,同时还能通过附加的以太网端口,安全地建立有线接连。70型接入点可以在2.5GHZ到5GHZ的波段内,独立或同时提供接入点功能和射频监测功能的多用途设备。 它特别适合空间紧密型的装配,可以安全地安装在墙壁、天花板或桌面。
{0<}98{>天线
l {0><}0{>AP 70 集成天线:<0}
{0> <}0{>集成的、分集支持两个三波段全向高增益天线,可移动 180 度<0}
l {0> <}0{>集成天线增益<0}
{0>2.4-2.5 GHz / 4.46 dBi<0}
{0>5.150 GHz / 7.21 dBi<0}
{0>5.350 GHz / 6.49 dBi<0}
{0>5.850 GHz / 5.23 dBi<0}
l {0><}0{>AP 70 外部天线接口:<0}
{0><}0{>四个(2 x 2.4GHz 和 2 x 5GHz)分集支持反极性 SMA (RP-SMA) 天线接口,适用于各种模式类型和增益的各种可拆卸天线。<0}
{0><}98{>射频规格 – 802.11A<0}
l {0> <}87{>频带<0}
{0>5.150 ~ 5.250 GHz(低频)<0}
{0>4 channels<}98{>4 通道<0}
{0>5.250 ~ 5.350 GHz(中频)<0}
{0>4 channels<}98{>4 通道<0}
{0>5.500 ~ 5.700 GHz(ETSI 波段)<0}
{0>11 channels<}98{>11 通道<0}
{0>5.725~ 5.825 GHz(高频)<0}
{0>4 channels<}98{>4 通道<0}
l {0><}98{>射频技术:<0} {0><}98{>正交频分多路复用 (OFDM)<0}
l {0>? Modulation type – BPSK, QPSK, 16-QAM, 64-QAM<}98{>调制类型 – BPSK、QPSK、16-QAM、64-QAM<0}
l {0> <}98{>发射功率 – 可由系统管理员/专业安装人员配置<0}
l {0>有 ACK 的 CSMA/CA<0}
l {0><}98{>操作通道数:<0}
{0>–美国和加拿大:<0}<}0{>8 个外部天线/12 个内部天线<0}
{0>– ETSI:<}98{>– ETSI:<0} {0>up to 19<}0{>最多 19<0}
{0>– Japan:<}98{>– 日本:<0} 4
l {0>Data rates:<}98{>数据率:<0} {0> <}98{>每通道 6、9、12、18、24、36、48、54 Mbps<0}
{0><}98{>射频规格 – 802.11B<0}
l {0> Frequency band<}98{>频带<0}
{0><}98{>2.4 ~ 2.483GHz(美国、加拿大和 ETSI)<0}
{0><}81{>2.4 ~ 2.497GHz(日本)<0}
l {0><}98{>射频技术 – 直接序列展频 (DSSS)<0}
l {0> <}98{>调制类型 – CCK、BPSK、QPSK<0}
l {0> <}98{>发射功率 – 可由系统管理员配置<0}
l {0>有 ACK 的 CSMA/CA<0}
l {0><}98{>操作通道数:<0}
{<}98{>美国和加拿大:<0} 11
{0ETSI:<}98{>ETSI:<0} 13
{0><}98{>日本:<0} 14
l {0>Data rates:<}98{>数据率:<0} <}98{>每通道 1、2、5.5、11 Mbps<0}
{0><}98{>射频规格 – 802.11G<0}
l {0><}98{>频带<0}
{2.412 ~ 2.462GHz(美国、加拿大)<0}
{0>2.412 ~ 2.472GHz (ETSI)<0}
{0>2.412 ~ 2.484GHz(日本)<0}
l {0> <}98{>射频技术 – OFDM<0}
l {0> <}0{>调制类型 – CCK、BPSK、QPSK、16 QAM、64-QAM<0}
l {0> <}98{>发射功率 – 可由系统管理员配置<0}
l {0>有 ACK 的 CSMA/CA<0}
l {0><}98{>操作通道数:<0}
{0>美国和加拿大:<0} 11
{0>ETSI:<0} 13
{0><}98{>日本:<0} 14
l {0><}98{>数据率:<0} <}98{>每通道 6、9、12、18、24、36、48、54 Mbps<0}
l {0> <}98{>多模式射频带 802.11a 或 802.11b/g,可通过软件选择<0}
1.1.1.8.3 TrainFi 205无线车载专用终端
专用车载无线终端相关参数
TrainFi 205
Model | TrainFi 205 |
网络接口 | 一个标准RJ45网络接口 |
无线协议 | 支持802.11a协议 |
传输功率谱密度 | 5.18~5.24GHz 5.26~5.32 GHz 5.745~5.825GHz 发射功率误差为:+/- 1dB |
接受灵敏度 | -88dBm@6Mbps 发射功率误差为:+/- 1dB |
设备内存 | 32MB RAM |
安全 | 支持64/128-bit WEP加密 |
设备物理尺寸 | 127.1W x 107.4D x 32.1H (mm) 或者 5.0W x 4.2D x 1.3H (英寸) |
设备重量 | 330克/ 0.7英镑 |
设备电源适配器标准 | 直流电源为DC 5V |
设备功耗 | 最大为5W |
天线接口 | RP-TNC 型内凹母头接口 |
工作温度 | -20 to 75°C / -4 to 167°F |
工作湿度 | 15 to 95% |
符合标准 | FCC, RoHS |
保修期限 | 一年 |
1.1.1.8.4 无线网络优化方案
考虑到目前轻轨无线系统的专用性,在同一个无线AP,甚至在相邻2个AP接入的列车数量基本都小于一辆列车,由于AP没有用户接入时占用的带宽开销较小,而无线信道的信互影响的主要是相邻的AP。
因此建议在全线所有的AP可以使用同一个无线通道,一方面节省无线信道资源,另一方面也便于列车运行时快速发现下一跳AP,甚至无需Probe,只需根据收到的Beacon信号即可。
轨道交通的无线网络微蜂窝覆盖,无线设备降低发射功率与定向天线配合提高信号利用率,并降低多径效应影响。
无线网络设备支持802.11b, 802.11g, 802.11a三种标准,能提供灵活的组网方式。无线基础网络无需任何改动即可平滑支持用户今后长期业务发展需要,保护用户既有投资。现在使用802.11a作无线覆盖,考虑到实际的应用可以考虑扩展使用802.11g,只需在沿线AP端增加2.4G无线天线,在列车内增加车载设备和天线就可以灵活扩容,可以使无线链路带宽成倍增加。
合理无线AP信号覆盖冗余设计,力争链路上没有单点故障,一个AP出现故障,图像传输不受很大影响。
使用ARUBA的无线防火墙的QoS机制,可以对不同的业务类型区别对待,进行有针对性的无线带宽管理,保证主要和关键的数据业务优先处理和发送。
建议在无线网络建设运营3-6个月后,对无线网络进行系统的无线网络优化。在安装无线局域网时,可通过RF Planning的Auto Calibration功能来自动调节整个无线网上所有AP的无线电波频率和功率。启动Auto Calibration后AP和AP之间会自动互传有关无线电波的信息和调整电波的参数,Aruba 无线控制器可以对整个无线网上的电波情况侦测和记录。当某一覆盖范围内的无线电波改变,如出现干扰AP所发出的电波或其它应用所发出的电波等,Aruba 无线控制器就会把所获取的无线电波资料记录分析,以确定是否需要调整这范围内AP的无线电波。
无线网络优化的关键是:数据的采集分析和优化调整方案的实施。
数据采集是网络优化的前提和基础
主要包括:基站参数表、无线统计数据、系统告警事件记录和运行维护中心反馈的投诉和维修信息等。
(1)基站站点参数表
基站参数表主要包括:站名、站号、AP的配置、频点、经纬度、天线增益、天线方位角、俯仰角等。同时准备标明站号、频点、方位角(天线方向)的地图,记录目前无线系统版本和支持特殊功能清单,以及有关系统配置信息等。
(2)无线信息统计数据
无线网络的各项运行指标,无线电波的信息反映了无线网络的实际运行状态。数据是我们进行下一步工作如参数调整的基础。
(3)电测记录数据
通过到有问题的地方进行实地电测测试,可以将测试点附近的接收电平、接收质量、所占用的小区和信道、最强邻小区、切换等数据记录下来。重点分析路测中发现的问题,如所测数据与理论设计数据不符合;无线信号是否不正常切换;无线信号是否信号电平低等。然后在分析无线路测数据的基础上,检查修改无线邻区关系和切换参数、调整天线倾角和方向、查找干扰来源、分析和发现天馈系统的安装错误和误差,诸如天线和设备相关的连线接口防水等。
(4)投诉和运维数据统计
无线测试能够比较客观地反映无线网络的实际状况,要能够反映网络整体情况,应选择尽量多的地点进行,这些地点最好是涵盖性和代表性的地点;。
在对数据进行详细采集、分析和研究后,常常会涉及到天馈系统的调整、基站的调测、频率规划的调整、系统参数的调整等优化方案实施活动。
实际无线网络优化调整
(1)天馈系统调整
无线天馈系统是一个相当重要的部分。它的好坏直接影响到通信的质量和信号的覆盖。可以通过调整天线的高度、上下倾角、左右方向等因素来改变优化AP的覆盖范围,降低对其它AP的同、邻频干扰。还可通过调整天线间的相对位置来避免天线间的相互影响从而获得更大的隔离度等。选择增益高、方向性好、频带宽、机械性能好的天线也非常重要。
注意天线调整的幅度一定不要太大,倾角一般不要最好不要超过3-5°,水平方向如无特殊考虑也不要偏离工程设计。
(2)基站调测
在数据分析和现场测试的基础上可能需要对一些基站进行重新调测以便排除硬件故障对网络性能的影响,必要时要对故障硬件要进行及时更换。
(3)频率规划调整
干扰指标与频率规划关系密切。802.11a频率规划可以使系统的整体干扰水平最低。由于工程初期预分配的频率方案不可避免存在着缺陷,还存在着一些邻频现象,加上实际环境和地形变化的影响,我们必须再微调,必须在日常工作中通过实测来加以修改和调整,以进一步减少干扰,得出最佳频率方案。
(4)参数调整
对参数进行合理的调整常能取得很大的效果。网络优化就是网络中各种参数的优化设置和调整的过程。无线网络优化要把握参数调整的基本原则是为了充分利用无线资源,达到提高网络平均服务水平的目标。无线网络优化参数的修改要适度,太小就不起作用,太大则会带来负面影响。在得到某些优化效果的同时,必然会牺牲另外一些指标。无线网络系统的整体性,在作参数调整时必须考虑到局部的参数调整可能对其它相邻尤其是相邻区域的无线环境的影响。
异频信道优化
本系统中,不同方向的轨道沿线节点AP分别使用149信道、165信道,列车上的无线回程模块仅需交替扫描149和165信道,既减少了扫描时间,提高切换速度,相邻节点采用同一信道有效的保证列车快速漫游切换。
在无线优化上可以进一步的优化,可以通过上下行的不同流量进行优化,可以使应用通过不同信道分别开来。
1.1.1.8.5 如何支持未来的多业务无线应用
无线AP的双频支持特性(2.4GHz,5GHz),可根据信号系统采用的频率情况,选用完全互不干扰的频率进行无线覆盖,从而绝对保证整个无线信号系统的稳定和可靠性。
在轻轨沿线的车站,未来会产生多种应用,比如旅客上网,无线POS,无线Check-in等各种多种基于Wi-Fi技术无线应用。Aruba无线系统同时可以帮助客户达到这类应用的具体实现,同时不会干扰正常的PIS系统。
具体方式是使用2.4GHz频段覆盖特定区域,让其他应用使用2.4频段可以有效的防止对PIS应用在无线侧的干扰。同时Aruba系统特有的针对用户,角色组以及不同SSID的带宽分配技术和端到端的QoS保障机制可以帮助无线系统在运行多种应用时,仍旧可以保障多种应用正常运行。
aruba无线轻轨项目