2024年1月19日发(作者：子车听春)

WLAN基础知识(入门必备)

WLAN业务技术规范

 符号及缩略语

缩写

AP

AC

AS

DHCP

DNS

EAP

EAPOL

ESSID

HLR/AuC

HTTP

IMSI

MAC

NAT

PAT

RADIUS

SIM

WEP

WLAN

Wi-Fi

英文全称

Access Point

Access Controller

Authentication Server

Dynamic Host Configuration Protocol

Domain Name Server

Extensible Authentication Protocol

EAP Over LAN

Extended Service Set Identification

Home Location Register/Authentication Center

Hyper Text Transport Protocol

International Mobile Subscriber Identification

Media Access Contaol

Network Address Translation

Port Address Translation

Remote Authentication Dial In User Service

Subscriber Identity Module

Wired Equivalent Privacy

Wireless Local Area Network

Wireless Fidelity

中文名称

接入点

接入控制器

认证服务器

动态地址分配

域名解析服务器

扩展认证协议

针对扩展认证协议LAN

扩展的服务集标示符

归属地注册/认证中心

超文本传输协议

国际移动用户识别码

介质访问控制

网络地址转换

端口地址转换

远程验证用户拨入服务

用户识别模块

有线等效私密

无线局域网

无线保真

 概述

 WLAN网络构成

中国移动北京公司WLAN网络逻辑系统结构主要由下列主要部分组成。

1．WLAN终端设备

WLAN终端设备需要安装WLAN网卡，WLAN网卡可以是任何支持IEEE802.11系列标准的设备，同时要求和WLAN接入系统设备兼容。WLAN网卡可支持802.11a/b/g协议。当采用基于802.1x机制的认证方式时，要求WLAN网卡必须能够支持WPA/WPA2加密。对可支持即拍即传业务的WLAN数码相机，需支持MAC地址认证方式。

WLAN终端设备需要安装相应的认证客户端软件（随E行），支持SIM认证方式及用户名＋密码认证方式。

2．接入点设备（Access Point，简称AP）

AP是WLAN业务网络的小型无线接入设备，完成802.11a/b/g标准的无线接入。AP1 / 28

WLAN基础知识(入门必备)

也是一种网络桥接器，是连接有线网络与无线局域网络的桥梁，任何WLAN终端设备均可通过相应的AP接入外部的网络资源。

在数据通讯方面，AP负责完成它与WLAN终端设备之间数据包的加密和解密。当用户在AP无缝覆盖区域移动时，WLAN终端设备可以在不同的AP之间切换（Handover），保证数据通讯不中断。

在安全控制方面，AP可以通过网络标志来控制用户接入；当采用基于802.1x的用户认证机制时，AP可以作为WLAN用户接入的控制点，和后台的认证服务器（RADIUS用户认证服务器或者SIM卡认证服务器）相连，完成对WLAN用户的认证。

为了满足室外连续大范围覆盖要求，在由多种类型节点构成的、以网状为基本拓扑结构的、多跳、自组织和自管理的无线网络架构中的AP，简称为MESH AP。

3．接入控制器设备（Access Controller，简称AC）

AC作为控制接入点设备的控制器，完成对接入点设备的管理和配置，实现负载均衡、动态信道分配等功能。同时AC作为接入终端的安全控制节点，完成相应的认证和计费辅助功能。

当采用基于WEB方式的用户认证时，AC作为安全控制点和后台的RADIUS用户认证服务器相连，完成对WLAN用户的认证。

当采用基于802.1x的用户认证机制时，AC可以作为WLAN用户接入的安全控制点，和后台的认证服务器（RADIUS用户认证服务器/SIM卡认证服务器）相连，完成对WLAN用户的认证。

当采用MAC地址认证时，AC作为WLAN用户控制接入的控制点，与后台认证服务器中的MAC地址信息关联，完成用户认证。

在计费中，AC作为集中式的计费数据采集前端，采集用户数据通讯的时长，流量等计费数据信息，并将其发送到相应的认证服务器产生话单。

同时，在业务控制中，AC提供强制PORTAL功能，向WLAN用户终端推送WEB用户认证请求页面和中国移动门户网站。当用户认证通过后，用户业务数据通过AC接入到相应的专用服务网络或CMNET。

4．PORTAL服务器

PORTAL服务器配合接入设备完成WEB方式下用户的认证。

5．RADIUS认证服务器

在手机号码/密码认证方式中，RADIUS认证服务器接受来自AC的用户认证服务请求，对WLAN用户进行认证，并将认证结果通知AC。

在该方式对于手机号码/密码认证方式的用户下，RADIUS认证服务器还接收计费信息采集点发送的计费数据采集信息，经过预处理后产生话单（计费数据记录，即CDR），并将话单通过计费数据接口发送给BOSS计费子系统。

RADIUS服务器支持用户预付费方式。

6、卡计费管理服务器

主要完成WLAN预付费卡的计费管理等功能。包括卡的实时反算、卡的生成、开通、订购、回收、卡密码修改、卡状态修改、卡信息查询、统计分析等功能。

7．SIM认证服务器（AS）

当对WLAN用户采用基于SIM卡的认证方式时，AS接受来自认证点（AP/AC）的用户认证服务请求，对WLAN用户进行认证，并将认证结果通知认证点（AP/AC）。

8. MAC认证服务器

当用户使用即拍即传相机通过WLAN上传图片时，MAC认证服务器接受来自认证点AC的用户认证服务请求，对WLAN用户进行认证，并将认证结果通知认证点。

2 / 28

WLAN基础知识(入门必备)

9．HLR/AuC

当对WLAN用户采用基于SIM卡的认证方式时，AS利用HLR/AuC中现有的用户认证信息，和HLR/AuC协作实现对SIM用户的认证。

10．BOSS系统

在WLAN数据业务中，BOSS系统主要完成以下功能：

（1）业务注册服务

（2）用户信息的更新

（3）计费和结算

（4）WLAN用户密码服务

 支持的业务

 业务类型

根据WLAN业务对实时性要求的不同及提供方式的不同，将WLAN业务分为如下几类：

（1）实时业务

该类业务包括双向、双方和多方业务。在进行通信时要求具有实时响应，要求提供业务的网络能依据标准严格控制延时和抖动。

（2）非实时业务

该类业务通常为信息传输业务，对网络没有严格的延时和抖动要求，例如传统的IP业务（e-mail 、文件传送协议FTP、Web 等）。

（3）VPN 业务

在包括WLAN在内的公用网络平台上构筑不受地域限制而受企业统一策略控制和管理的企业网络，为企业用户提供远端接入服务。

（4）其它业务

上述业务之外的其它业务，包括基于WLAN系统开展的个性化Portal、定位业务等。

 典型业务

 无线宽带上网

用户使用支持WLAN接入的笔记本，PDA等智能终端能够接入到WLAN中，并能够高速的访问INTENET。

在包括WLAN在内的网络平台上构筑不受地域限制而受企业统一策略控制和管理的企业网络，以便于为企业用户提供远端接入服务及文件传送服务。

 定位业务

系统要具备对接入的终端进行详尽定位的能力，并提供位置数据采集和访问接口。以便于在后续的业务规划中去设计和实现基于WLAN之上的位置服务业务。

3 / 28

WLAN基础知识(入门必备)

 即拍即传业务

该业务主要是针对数码相机，在加装了Wi-Fi模块之后，可以接入到中国移动的WLAN网络，实现照片的实时或非实时传送。

有关该业务的几项具体说明如下：

 用户终端：

 数码相机（具备Wi-Fi功能）（ 802.11a/b/g）

 认证接入方式

 MAC地址认证

 应用层协议

 FTP上传图片

 服务级别

 通过限制单AP下的用户数量，保证传输速率；

为了实现对即拍即传业务的支持，网络系统需具备如下几项业务能力：

 支持MAC认证；

 支持多SSID；

 可划分为不同的VLAN;

 可限制单AP下的用户数，当有超过限定值的过多用户试图接入时进行拒绝；

 能够区别不同用户的服务等级，向不同的用户开放不同的速率。

 Wireless Info业务

奥运Info业务是由一个基于无线网络接入、奥运Info系统和源讯提供的媒体信息服务平台三部分组成的综合平台来统一实现的，奥运Info业务不对公众开放，主要对制证媒体开放，同时可供IOC、NOC、IF等奥运大家庭成员访问。历届奥运会的组委会都会提供一套奥运INFO信息系统，媒体记者可以通过奥运固定区域（新闻中心）内的有限数量固定终端访问INFO系统，查询相关的背景资料和比赛信息等资讯，但无法对内容进行复制和编辑。随着移动通信技术的快速发展，2008年奥运会将为媒体记者提供无线接入手段方便访问INFO系统信息，奥运Wireless Info系统将成为科技奥运的亮点工程，该系统可使制证媒体在2008年北京奥运会期间在指定区域通过随时随地接入平台获取奥运会相关信息和资料，并通过短信/彩信等服务获得最新的比赛成绩、重要事件通知，方便新闻的采、编、发工作。

奥运Info系统除了网络外，主要由两个部分组成，一个是中国移动提供的奥运Wireless

Info系统，另外一个部分是由源讯提供的业务平台。其中实现认证和安全防护的奥运Wireless

Info系统主要实现对整个奥运INFO系统的认证和安全防护功能。奥运Wireless Info系统系统需要实现以下目标：

 媒体记者可以获取奥运INFO信息并访问Internet

 保证系统安全性和业务安全性

 采用多种无线终端都可访问（主要时笔记本和PDA）

 完善的认证鉴权管理接入

 在不同接入网段间无缝切换

奥运Wireless Info系统对设备的功能要求如下：

 支持RADIUS（RFC2865、RFC2866、RFC2869）协议；

 支持路由功能；

 Portal功能；

4 / 28

WLAN基础知识(入门必备)

 支持WEB认证页面的推送；

 支持认证完成后强制初始页面的推送。

 上述功能通过AC与外置的Portal服务器之间通过交互消息的方式来实现。

 Wireless Info两类权限用户在经过系统认证后需要接入网的AC设备能实现不同的路由区分，以实现不同用户权限的不同路由指向和数据隔离。

 AP设备技术要求

 AP设备功能要求

 工作频段及子信道配置

 工作频段

依照802.11a/b/g无线局域网的国际规范和国家无线电管理委员会的标准，无线局域网的无线设备AP的工作频段为：

 802.11a: 5.15 GHz～5.825 GHz

 802.11b: 2.4G Hz～2.4835 GHz

 802.11g: 2.4G Hz～2.4835 GHz

 信道配置

为了避免避免临近设备干扰，可将将整个频率划分成不同范围， 802.11b和802.11g的2.4G Hz～2.4835 GHz工作频率带宽为83.5MHz，划分为14个子信道，每个子信道带宽为22MHz。子信道分配如图1所示：

图1：802.11b/g子信道分配图

在2.4835GHz的频道范围内，最多有13个信道可用，13个信道的标号及所用中心频率的情况见下表：

5 / 28

WLAN基础知识(入门必备)

表1：13个信道的中心频率配置

信道标号

1

2

3

4

5

6

7

8

9

10

11

12

13

中心频率

2412MHz

2417MHz

2422MHz

2427MHz

2432MHz

2437MHz

2442MHz

2447MHz

2452MHz

2457MHz

2462MHz

2467MHz

2472MHz

信道低端/高端频率

2401/2423MHz

2411/2433MHz

2416/2438MHz

2421/2443MHz

2426/2448MHz

2431/2453MHz

2431/2453MHz

2436/2458MHz

2441/2463MHz

2446/2468MHz

2451/2473MHz

2456/2478MHz

2461/2483MHz

在多个信道同时工作的情况下，为保证信道之间不相互干扰，要求两个信道的中心频率间隔不能低于25MHz。因此从上图可以看出，802.11b、802.11g标准最多可以提供3个不重叠的信道同时工作。

802.11a的工作频率带宽为:100MHz，从5.725GHz到5.825GHz，划分为4个子信道，每个子信道带宽为20MHz。子信道分配如图2所示：

图2. 802.11a子信道分配



调制技术

WLAN接入设备物理层应支持如下调制技术：

802.11b模式：

 直接序列扩频（DSSS）调制技术

802.11g模式：

 PBCC调制

6 / 28

WLAN基础知识(入门必备)

 OFDM调制技术

802.11a模式：

 OFDM调制技术

 AP功能要求

 802.11a/b/g多模式支持能力

 单一AP应同时支持802.11a/b/g三模双频终端以任意模式接入；

 AP应能在控制设备配合下关闭特定一种或两种(802.11a/b/g)接入模式

 AP应具备在802.11g模式下拒绝/允许802.11b协议的终端接入的能力

 动态速率控制

WLAN设备应支持自适应编码调制技术，根据无线信号强度强弱，接入速率应在如下范围内变化：

 802.11b：1/2/5.5/11 Mbps；

 802.11g：1/2/5.5/11 /6/9/12/18/24/36/48/54 Mbps；

 802.11a：6/9/12/18/24/36/48/54 Mbps；

接入点AP设备的吞吐量受各种条件的影响，例如：工作模式的不同、不同协议的使用、小区用户数量、传输文件的大小等,请描述在不同传播环境、不同标准下AP的速率范围。

AP设备具备动态速率转换的自适应功能，在802.11a/b/g中均使用了动态速率转换的机制，允许数据速率自动调整到适应无线通信变化的特性，即当射频情况变差或出现严重干扰时，速率将自动回落。

 动态功率控制

要求AP设备需配合控制设备完成全局的动态功率控制，通过增加功率支持无线空洞补偿、通过降低功率避免高密度部署环境下复用频点小区间的干扰。动态功率控制无需依赖网管，由AP配合控制设备自动实现。

 动态信道控制

AP设备需配合控制设备完成全局的动态信道调整，通过调整信道避免邻近小区间干扰以及噪音和同频干扰源的干扰。动态信道控制无需依赖网管由AP配合控制设备自动实现。

 基于用户数量的负载均衡

 AP设备应支持多个WLAN终端的同时接入和连接。

 AP设备应支持和WLAN终端接入设备之间的自动信道分配、认证和关联过程。



AP设备应支持客户终端的负载均衡功能。即AP提供有关用户数量、误码率，和信号强度的信息到客户终端。客户终端选择能提供最好网络连接的AP。WLAN

802.11 MAC层负责客户端与接入点的通信，当客户端进入多个接入点覆盖区域7 / 28

WLAN基础知识(入门必备)

时，AP会配合控制设备系统基于客户数来实现负载均衡。

 接入设备准入控制

AP应在控制设备配合下，完成接入终端的准入控制功能，即可根据终端数量或者网络流量限制非关键用户或后续接入的终端获取网络资源。

 过负荷控制

AP应能在控制设备配合下，当接入的用户数量或数据流量等负荷超过设定阈值时自动进行控制，以保证AP的正常工作，并能够产生告警。

卖方的设备必须支持本功能。

 SSID支持

单一AP支持多SSID同时接入，能够至少支持8个以上的SSID。

 RF环境抗干扰能力

AP具备配合控制设备通过信道及功率的调整避免或减小干扰，并具备对非许可WLAN

AP的探测和定位能力。请说明实现方式。

 切换

AP设备配合控制设备支持WLAN终端在不同AP间的切换，且不中断网络连接。支持基于WPA/WPA2的安全漫游能力。对跨AP的切换分为两种类型：

 同一子网内部不同AP之间的切换（二层切换）；

 不同子网内不同AP之间的切换（三层切换）；

 访问控制

AP设备支持基于ESSID和MAC地址的访问控制。

 接入碰撞机制

AP设备采用802.11的CSMA/CA机制来提供以无线方式共享访问的方法。

 无线覆盖范围

接入点AP设备的无线覆盖能力与其发射功率和应用的覆盖环境条件有直接的关系，而8 / 28

WLAN基础知识(入门必备)

且不同传输速率的定义也决定了覆盖范围的大小。要求开阔环境的覆盖范围应能够达到150－300m，室内环境覆盖范围达到30－50m。

 同步要求

在ESS模式下，由AP周期性地发出时标信号，而在这一AP的小区内所有用户利用此时标信号把自己的时钟与AP同步。

 网管要求

WLAN网管接口采用SNMP（ v2c或以上版本）、Syslog和FTP作为主要接口协议。其中，AP设备采用SNMP网管接口。

在直连方式下，AP通过其本身提供的SNMP网管接口直接接入WLAN网管系统。

根据无线网络维护要求，AP设备具备对终端和非法接入AP的定位要求。

 AP设备性能要求

 无线性能要求

 天线

不同类型天线: 如全向天线，定向天线等。

内置天线或外置天线。

支持与其他移动通信系统（GSM、WCDMA、TD-SCDMA、CDMA2000、PHS等）共用室内分布式系统。

采用外置天线，天线端口的阻抗为50欧姆。

杂散发射包括：谐波辐射、寄生辐射、互调产物和变频产物。带外杂散指落到载波中心频率Fo±250％信道间隔（CS）以外的带外辐射功率电平。相对杂散发射平均功率的选取和信道间隔（CS）和杂散发射功率落入的频带有关。在测量杂散发射平均功率时，测量范围取为30MHz－5Fo（载波的5次谐波）。

AP的杂散发射功率电平限值（参考带宽内的相对杂散发射平均功率电平限值）为：小于等于-30dbm。

 发射频率稳定度

AP设备的发信频率稳定度应小于等于25ppm。

 带内和带外杂散发射

必须符合IEEE802.11a/b/g系列相关标准。

9 / 28

WLAN基础知识(入门必备)

 发射到接收的回环时间

必须符合IEEE802.11a/b/g系列相关标准。

 接收到发射的回环时间

必须符合IEEE802.11a/b/g系列相关标准。

 发射机性能要求

 发射功率

室内设备：天线增益＜10dBi时：等效全向辐射功率（EIRP）≤100 mW 或≤20 dBm；

室外设备：天线增益≥10dBi时：等效全向辐射功率（EIRP）≤500 mW 或≤27 dBm。

 发射功率控制

支持至少100%、50％、25％、12.5% 四级功率可调。

 发射频谱模版

必须符合IEEE802.11a/b/g系列相关标准。

 杂散发射

杂散发射包括：谐波辐射、寄生辐射、互调产物和变频产物。带外杂散指落到载波中心频率Fo±250％信道间隔（CS）以外的带外辐射功率电平。相对杂散发射平均功率的选取和信道间隔（CS）和杂散发射功率落入的频带有关。在测量杂散发射平均功率时，测量范围取为30MHz－5Fo（载波的5次谐波）。

AP的杂散发射功率电平限值（参考带宽内的相对杂散发射平均功率电平限值）为：小于等于-30dbm。

 发射频率稳定度

AP设备的发信频率稳定度应小于等于25ppm。

卖方要提供各种型号AP的发射频率稳定度数值。

 中心频率容限

必须符合IEEE802.11a/b/g系列相关标准。

 码片时钟频率容限

必须符合IEEE802.11a/b/g系列相关标准。

10 / 28

WLAN基础知识(入门必备)

 Power-On and power-down 斜坡

必须符合IEEE802.11a/b/g系列相关标准。

 射频载波抑制

必须符合IEEE802.11a/b/g系列相关标准。

 接收机性能要求

 接收机最小输入电平灵敏度

必须符合IEEE802.11a/b/g系列相关标准。

 接收机最大输入电平

必须符合IEEE802.11a/b/g系列相关标准。

 接收机邻道抑制

必须符合IEEE802.11a/b/g系列相关标准。

 同道干扰

对于同一频段其他设备的干扰，要求用户端管理软件具有防止传输速率过快降低的抵抗机制。

 净荷吞吐量

净负荷吞吐量为除去纠错编码和必要的无线编码的吞吐量。

 同频干扰

802.11g接入设备兼容802.11b终端，当802.11b终端接入802.11g AP时，会导致该ESSID范围内所有接入终端的速率下降。

 多径衰落

卖方要提供抗多径衰落的措施，并详细阐述措施和方案。

 频率复用

频率复用的计算方法。

各种速率级别下无线链路的计算。

11 / 28

WLAN基础知识(入门必备)

 QoS要求

AP支持WiFi规定的WMM标准，并支持802.11e的后续标准。

WLAN系统能提供端对端的QoS保证。AP设备支持根据用户业务需求或运营商的要求对用户所占用的业务带宽及优先级别进行的设定，并支持根据业务的优先级进行流量管理和控制，确保不同等级业务的QoS。支持WiFi的WMM标准。支持不同SSID基于RF资源的分配，支持不同SSID、不同用户基于速率参数的设定。

WLAN系统在提供IP业务时,应符合下表的Qos要求。

表2：IP QoS要求

业务

率

高质量电话(声码器MOS≥4.0)

标准质量电话(声码器MOS<4.0)

实时包业务

非实时业务

1×10-6

1×10-6

1×10-6

1×10-9

20ms

40ms

20ms

---

最大误码最大单向时延

 AP设备可靠性要求

 可用性

1．AP系统可用性要求

不考虑无线传输带来的影响，AP系统的年可用性指标为99.99%。

2．AP的可靠性

AP设备的MTBF应大于14年。

 稳定性

AP设备与用户终端之间的无线传输性能发生一定范围变化时，应能保持稳定工作状态。

保持稳定工作状态的无线传输性能的变化范围应能通过两种方式配置：自动配置或通过网管系统人工配置。

 设备环境要求

环境适应性功能必须经过相应的认证机构认证通过，并且有相应的认证合格证明。

 工作温度要求

室内设备：在-30℃至+50℃环境中应能正常工作。

室外设备：在-45℃~+55℃环境中应能正常工作。

12 / 28

WLAN基础知识(入门必备)

 工作湿度要求

满足IP55标准。AP设备在以下湿度条件下的环境中应能正常工作：

相对湿度：10%—90%。

注：以上室内环境为地板以上2m和设备前方0.4m处的湿度

 大气压力要求

能在以下大气压力条件下的环境中应能正常工作：86—106kPa。

 防尘要求

在以下灰尘环境下，设备应能正常工作：直径大于5um的灰尘浓度；灰尘粒子是非导电、导磁和腐蚀性的。

 防水要求

试验水压207kPa，距离试验样品1.8m，对户外设备总共喷水时间为15min，要求设备内部不进水。

 设备抗震要求

符合IEC Class 4M3标准。

 电源

AP设备应支持220V交流外接供电和以太网供电方式。

220V交流外接供电方式主电源为标称220V单相AC电源，其输入电压范围为176—264V AC，频率变化范围为45Hz—65Hz。

使用以太网供电方式时，供电传输距离应大于50米。

 接地

接地电阻不大于10欧姆时AP设备应能正常工作。

 过压过流保护

AP设备安装过压、过流保护器。过压、过流保护器在外接电源异常时必须能保护设备的核心部分。

AP设备满足ITU-T建议K.21中暴露环境条件下的要求。

支持直流供电正负反向保护。

支持供电过压保护和告警功能，并支持供电正常恢复和自启动功能。

13 / 28

WLAN基础知识(入门必备)

 防电涌破坏

AP设备应带有防电涌器件，有效防止电涌对设备的损坏。满足IEC 61000-4-5中对用于通信中心室外设备防浪涌的要求。

 防雷要求

天馈防雷通过外加防雷器实现，防雷器通流量不小于10KA，保护电压不低于20V。

网口防雷、电源口防雷可由设备本身或外加防雷器实现，防雷能力不低于以下标准：10/700us的浪涌电压能够承受，差模500V/共模4kV不损坏。

 绝缘电阻要求

正常情况下，设备的绝缘电阻应不小于50MΩ。

 AC设备技术要求

 AC设备功能要求

 接入控制

AC设备能够支持基于SIM卡方式，基于用户名/密码方式（包括预付费卡业务）和基于用户MAC地址的认证，三种认证方式应能够同时工作。

在用户名/密码认证方式时，AC设备应能够侦测到用户下线。

在基于用户MAC认证方式下，AC设备应支持对用户设备的MAC地址识别和访问控制能力，支持WirelessInfo和即拍即传两种业务的AC需根据用户的SSID支持不同的接入VLAN,为用户提供不同的带宽和服务质量保证能力，同时将不同数据流送往不同的服务器。

 DHCP功能

AC设备应能够支持DHCP动态分配IP地址。

 NAT/PAT功能

AC设备应可以同时提供网络地址翻译和端口地址翻译的功能。

 用户控制功能

AC应能够提供接入控制列表来支持对用户的MAC地址、IP地址、端口号等方面的控制。

 Portal功能

在采用基于用户名/密码、MAC方式的认证时，AC设备应能够支持认证页面的推送，14 / 28

WLAN基础知识(入门必备)

在认证成功后能够强制推送具有个性化的门户网站页面。

基于SIM认证成功后，也能够强制推送网络接入的门户网站页面。

AC与Portal服务器之间的协议交互应满足中国移动集团制定的AC和PORTAL之间的认证和推送流程，参见中国移动集团制定的《中国移动WLAN业务PORTAL协议规范》。

 带宽控制

AC设备应能够调整和控制连接到它的AP的带宽；能够调整和控制不同用户的带宽；能够通过采取丢包、改变排队时延等方法调整和控制AC端口的流量。

 过负荷控制

AC应具备在过负荷控制功能，当接入的用户数量或数据流量等负荷超过设定阈值时自动进行控制，以保证AC的正常工作，并能够产生告警。

 分布控制功能

AC应具备对与其连接的任意某个AP或某几个AP进行单独控制的功能；分别设置某个AP或某几个AP的设备参数、认证方式等，而同时不对其它与其连接的AP产生影响。

 多端口（网口）支持能力

AC应具备多端口（网口）支持能力，可以分别通过AC上不同端口（网口）与网管、

计费、认证、安全、业务等系统连接，同时要求不同端口（网口）之间具备端口隔离能力。

 RADIUS Proxy的功能

AC支持RADIUS Proxy的功能，实现SIM卡认证方式、用户名/密码认证方式（包括预费卡用户的认证）和MAC地址认证信息的分流。

 接入设备编码

AC设备应支持接入设备编码的配置，实现漫游用户及预付费卡用户的计费和结算。

 网管要求

WLAN网管接口采用SNMP（ v2c或以上版本）、Syslog和FTP作为主要接口协议。其中，AC设备采用SNMP网管接口。

 AC设备性能要求

 承载能力包括(各厂家设备只支持的能力不一样)

 AC设备能够连接的AP数量；

 AC能同时支持的并发用户数量和总用户数；

 AC设备可连接的总带宽及可用带宽；

15 / 28

WLAN基础知识(入门必备)

 AC设备交换能力。

 吞吐量（最少1G）

AC设备的吞吐量，并应能满足不同规模的业务量需求。

 冗余备份

AC设备应具有1＋1热备份及N+1负荷负担的能力。对于其他冗余备份方式及其能力请予以说明。

 AC设备可靠性要求

 可用性

AC设备的年可用性指标为99.99%。

AC设备的MTBF要大于14年。

 稳定性

当各种物理性能在一定范围内发生变化时，AC设备应能保持稳定工作状态。各种性能的变化范围应能通过两种方式配置：自动配置或通过网管系统人工配置。

 工作温度要求

在-5℃至+50℃环境中应能正常工作。

 工作湿度要求

满足IP55标准。AC设备在以下湿度条件下的环境中应能正常工作：

相对湿度：10%—90%。

注：以上为地板以上2m和设备前方0.4m处的湿度。

 大气压力要求

能在以下大气压力条件下的环境中应能正常工作：86—106kPa。

 AC设备电源和接地

设备要通过国家的3C认证。

16 / 28

WLAN基础知识(入门必备)

 电源

AC设备必须支持以下供电方式：

1)直流供电方式：－48V DC；

2)交流供电方式：主电源为标称220V单相AC电源，其输入电压范围为210—240V AC，频率变化范围为45Hz－65Hz；能同时支持UPS供电。

 接地

AC设备接地电阻应小于5Ω。

 过压、过流保护

AC设备应安装过压、过流保护器。

AC设备应满足ITU-T建议K.21中暴露环境条件下的要求。

支持供电过压保护和告警功能，并支持供电正常恢复和自启动功能。

 防电涌破坏

AC设备应带有防电涌器件，有效防止电涌对设备的损坏。

 抗电磁干扰的能力

AC设备在受到0.01~1000MH z频率范围内电场强度为140dBuV/m的外界电磁干扰时应不出现故障和性能下降。

设备在直流或交流电源线受到下表所示0.01~100MHz频率范围内的外界电磁干扰电流时应不出现故障和性能下降。

表3：设备抗电磁干扰能力—交直流电源线

频率（MH z）

0.01~0.8

0.8~100

最大线路电流（dBuA）

-21.051gf+67.9

70

 绝缘电阻

正常情况下，设备的绝缘电阻应不小于50MΩ。

 接口要求

WLAN网络的主要接口包括WLAN移动终端与AP之间的接口，WLAN移动终端与AC之间的接口，AP与AC之间的接口，AP的网管接口，AC与Wireless Info系统的接口，AC与即拍即传业务的MAC认证服务器之间的接口，WLAN网络同无线接入安全防护系统17 / 28

WLAN基础知识(入门必备)

的接口，WLAN网络同网管系统的接口，RADIUS认证服务器与用户数据库服务器之间的接口及WLAN网络同Internet公网的接口等等。

 WLAN移动终端和AP之间的接口

WLAN移动终端与AP的之间的接口是空中接口，包括网络连接和数据通讯接口。网络连接和数据通讯接口采用IEEE 802.11a、802.11b、802.11g协议，其功能主要集中在物理层以及部分MAC层包括（802.11：信号发射，探测响应，身份验证、802.11控制：数据包确认和传输（延迟）、802.11e：帧排序和数据包优先级设置、802.11i：接入点中的加密）。

 WLAN移动终端与AC之间的接口

WLAN移动终端与AC的之间的接口是802.11标准 MAC层接口包括（802.11 MAC管理：（重新）关联请求和行为框架、802.11 数据：封装和发送到接入点、802.11e资源预留：控制协议在802.11管理帧中发送到接入点－信令在控制器完成、802.11i身份验证和密钥交换）

802.1x用户认证协议接口采用EAPoL。

 AP和AC之间的接口

AP可以采用直接和间接两种方式连到AC上。直接方式下，AP直接通过802.3x以太网协议直接连接到AC上。间接方式下AP先通过IEEE 802.3x以太网协议连接到以太网交换机，然后，再由以太网交换机通过IEEE 802.3x以太网协议连接到AC上。

 AP的网管接口

AP设备作为网元必须具备用于本地操作维护的网管控制端口，同时AP设备必须提供支持集中网管方式和远程维护的网管接口。

 AC与即拍即传业务的MAC认证服务器之间的接口

AC与即拍即传业务的MAC认证服务器之间通过标准RADIUS（Remote Authentication

Dial In User Service）协议连接，当AC作为接入控制器时，AC通过RADIUS协议将用户认证信息转发给后台认证服务器对WLAN用户进行认证。

 AC与Radius服务器的接口

AC应支持与Radius服务器连接，并通过AC与Radius服务器的接口完成WLAN业务的计费；实现SIM卡认证方式、用户名/密码认证方式（包括预费卡用户的认证）和MAC地址认证信息的分流。

18 / 28

WLAN基础知识(入门必备)

 WLAN网络同无线接入安全防护系统的接口

WLAN网络中的所有设备同上层安全系统之间的接口，SNMP（ v2c或以上版本）、Syslog和FTP协议。通过无线接入安全防护系统对整个网络进行安全防护和监控，包括防病毒、防恶意攻击、流量监控、安全设备部署、安全服务等。

 WLAN网络同网管系统的接口

WLAN网络中的所有设备同上层综合网管之间的接口，SNMP（ v2c或以上版本）、Syslog和FTP协议。WLAN网管系统支持SNMPv1、v2c、v3版本。网管系统服务器和各无线局域网控制器间通信使用SNMP v3可以提高安全性。网络管理员可通过任意运行HTTP或安全HTTP (HTTPS)的标准浏览器来访问网管系统，以确保能随时、随地使用管理功能。

 WLAN网络同Internet公网的接口

WLAN同公网之间通过以太网方式以IEEE802.3x协议连接。

 AC与Wireless Info系统的接口

AC与Wireless Info系统的认证服务器之间通过标准RADIUS（Remote Authentication

Dial In User Service）协议连接，当AC作为接入控制器时，AC与RADIUS认证服务器之间一方面通过RADIUS接口将WLAN用户的计费信息传送给认证服务器，另一方面通过RADIUS协议将用户认证信息转发给后台认证服务器对WLAN用户进行认证。

 传输要求

 E1接口要求

 提供120平衡阻抗接口；

 接口特性满足ITU-T G.703建议中的各项指标要求。

 以太网接口要求

 提供10M/100M的自适应以太网电接口或100M/1000M的自适应以太网电接口或100M以太网光接口或1000M以太网光接口；

 100M以太网光接口模块可分为多模和单模两种，标准工作波长为1310nm ，单模板的传输距离为15km，多模板的传输距离为2km；

 1000M以太网光接口支持IEEE802.1p/IEEE802.q，支持19 / 28

WLAN基础知识(入门必备)

1000BASE-LX/1000BASE-SX 的传输方式。目前所采用光模块分为多模和单模两种，单模板标准工作波长为1310nm，传输距离为10km ，多模板标准工作波长850nm，传输距离为550m。

 以太网接口电气特性遵循IEEE 802.3x协议。.

 认证要求

 用户接入认证功能

1) 同时支持WEB用户名/密码、WPA-PSK、WPA2-PSK、接入认证方式（不同的认证方式要求遵循中国移动制定的相关接入流程技术规范）；

2) 支持不同认证方式的识别，识别方式参见相关接入流程技术规范；

3) 不同认证方式的同时支持和兼容不能带来性能的降低和安全性的隐患；

4) 支持802.1X的加速，避免所有802.1X的认证都需要客户端和后台AAA系统完成，有效卸载后台AAA系统压力过大，规避AAA系统和网络瘫痪的风险；

5) 支持基于时间管理用户接入；

6) 支持基于位置管理用户接入；

7) 支持和RADIUS认证服务器之间的互通，不同的认证方式要求遵循中国移动制定的相关接入流程技术规范；

 AC认证功能

当采用基于WEB方式的用户认证时，AC安全控制点和后台的RADIUS用户认证服务器相连，完成对WLAN用户的认证。

当采用基于802.1x的用户认证机制时，AC作为WLAN用户接入的安全控制点，和后台的认证服务器（RADIUS用户认证服务器）相连，完成对WLAN用户的认证。

同时，在业务控制中，AC可以提供强制PORTAL功能，向WLAN用户终端推送WEB用户认证请求页面和中国移动门户网站。当用户认证通过后，用户业务数据通过AC接入到CMNET或Wireless Info等网络。

支持WirelessInfo、即拍即传等多种业务的AC需根据用户的SSID支持不同的接入VLAN,为用户提供不同的带宽、时延等服务质量保证能力，同时将不同数据流送往不同的服务器。

20 / 28

WLAN基础知识(入门必备)

 Portal服务器

PORTAL服务器主要提供如下功能：

（1）强制PORTAL

用户通过WEB浏览器发起Internet访问请求后，AC可以将该请求强制到PORTAL服务器，PORTAL服务器接收强制PORTAL请求，并向用户发送指定的WEB页面。

（2）认证页面推送

PORTAL服务器接收到用户页面请求时，向用户推送中国移动统一定制的认证页面。

（3）用户认证

PORTAL服务器接收用户认证请求信息后，向AC发起用户认证过程；用户认证结束后，PORTAL服务器将认证结果通知给用户。

（4）中国移动门户网站页面的推送

WLAN用户认证成功后，由PORTAL服务器向用户推送门户网站页面，用户通过门户网站页面可以查看广告以及中国移动提供的其它服务。将来还支持中国移动用户个性化页面的推送。

（5）下线通知

用户上网结束后，可以使用PORTAL功能通知用户下线；当AC侦测到用户下线或者主动切断用户连接时，也能告知PORTAL服务器。

 Radius认证服务器

支持手机号/密码认证:

在手机号码/密码认证方式中，RADIUS认证服务器接受来自AC的用户认证服务请求，对WLAN用户进行认证，并将认证结果通知AC。

使用手机号码/密码认证方式时，需要建立WLAN用户认证信息数据库。认证信息数据库存储WLAN用户信息，包括认证信息，业务属性信息，计费信息等等。当RADIUS认证服务器对WLAN用户认证时，通过数据库存取协议存取数据库中的用户授权信息，检查该用户是否合法。

对于手机号码/密码认证方式的用户，RADIUS认证服务器还接收计费信息采集点发送的计费数据采集信息，经过预处理后产生话单（计费数据记录，即CDR），并将话单通过计费数据接口发送给BOSS计费子系统。

 认证方式

WLAN网络要求必须同时提供基于EAP-PEAP-MSCHAPv2认证、WEB（用户名/密码）认证以及MAC地址认证方式，基于用户名/密码的认证方式，应考虑采用以下几种方案：中国移动通信集团公司制定的基于WEB的认证方式、EAP-PEAP-MSCHAPv2认证方式、厂商自有WEB认证方式。

1） 中国移动标准WEB认证方式

基于Web页面的WLAN用户认证方式采用流行的Web浏览器作为认证客户端软件。WEB用户接入流程包括DHCP地址分配、强制Portal、认证、中国移动门户网站推送、计费等。

21 / 28

WLAN基础知识(入门必备)

下面给出了基于WEB方式的WLAN用户接入流程。

流程描述如下：

（1）用户通过标准的DHCP协议，通过AC获取到规划的IP地址。

（2）用户打开IE，访问某个网站，发起HTTP请求。

（3）AC截获用户的HTTP请求，由于用户没有认证过，就强制到Portal服务器。

（4）Portal服务器向WLAN用户终端推送WEB认证页面。

（5）用户在认证页面上填入用户名、密码等信息，提交到Portal服务器。

（6）Portal服务器接收到用户信息，必须按照CHAP流程，向AC请求Challenge。

（7）AC返回Challenge，包括Challenge ID和Challenge。

（8）Portal将密码和Challenge ID和Challenge做MD5算法后的Challenge-Password，和用户名一起提交到AC，发起认证。

（9）AC将Challenge ID、Challenge、Challenge-Password和用户名一起送到RADIUS

Server，由RADIUS Server进行认证。

（10）RADIUS Server根据用户信息判断用户是否合法，然后回应认证成功/失败报文到AC。（如果成功，携带协商参数，以及用户的相关业务属性给用户授权。）

（11）AC返回认证结果给Portal服务器。（以及相关业务属性。）

（12）Portal服务器根据认证结果，推送认证结果页面，如果成功，推送中国移动门户页面给用户。

（13）Portal服务器回应AC收到认证结果报文。如果认证失败，则流程到此结束。

（14）认证如果成功，AC发起计费开始请求给计费服务器。

（15）计费服务器回应计费开始请求报文。用户上线完毕，开始上网。

（16）在用户上网过程中，为了保护用户计费信息，每隔一段时间AC就向计费服务器报一个实时计费信息，包括当前用户上网总时长及用户总流量信息。

（17）计费服务器回应实时计费确认报文。

（18）当AC收到下线请求时，向计费服务器发计费结束报文。

（19）计费服务器回应AC的计费结束报文。

WEB用户下线流程分为两种情况：主动下线和异常下线。

用户主动下线流程

流程描述如下：

（1）当用户需要下线时，可以点击认证结果页面上的下线机制，向Portal服务器发起一个下线请求。

（2）Portal服务器向AC发起下线请求。

（3）AC返回下线结果给Portal服务器。

（4）Portal服务器根据下线结果，推送含有对应的信息的页面给用户。

（5）当AC收到下线请求时，向计费服务器发计费结束报文。

（6）计费服务器回应AC的计费结束报文。

用户异常下线流程

流程描述如下：

（1）AC侦测到用户下线，向Portal服务器发出下线请求。

（2）Portal服务器回应下线成功。

（3）当AC收到下线请求时，向计费服务器发计费结束报文。

（4）计费服务器回应AC的计费结束报文。

22 / 28

WLAN基础知识(入门必备)

 网管系统（OMC）功能

 数据采集功能

网管系统应能将不同种类网元设备的配置数据，转换成归一化标准数据格式，存储到数据库中，为性能、告警等应用提供数据支持，为二次开发或其他的后续标准制定提供存储访问接口。

网管系统对数据采集的要求如下：

1．提供用户灵活、自行配置数据采集的手段。

2．能够提供直观的方式来显示数据采集的完成情况；

3．能够灵活地配置数据采集的时间策略；对于CPU、内存、硬盘参数，应支持15分钟的采集粒度，对于其他参数，应支持1小时的采集粒度；

4．能够对采集到的数据进行归一化处理，统一数据存储格式，以便于上层应用的开发。

 性能分析功能

厂商提供的网管系统应能对WLAN中的各网元进行实时监控，对采集到的性能数据进行分析和综合，并以图形化的形式显示，同时生成各种相关日志文件和统计报表，评估各个设备运行的有效性。

I. 提供实时数据采集、分析和可视化工具，用以对流量、负载、丢包、内存、延迟等性能指标进行实时监测，可任意设置数据采集对象、采集时间、采集间隔。

II. 提供相关设备的运行状态：AC、AP等设备运行情况、热点路由器运行状态、热点AP设备运行状态。

III. 支持以年、月、小时、分钟、秒等为单位的流量、用户数量的数据采集。

IV. 支持每个热点的流量、用户数量的数据采集。

V. 支持单独AP的数据流量、用户数量的采集。

VI. 各类设备故障产生不同级别的告警，同时生成各种相关日志文件和统计报表。

 告警管理功能

网管系统应提供一套完整的故障监视/处理功能，网管系统可以监视并处理各级WLAN网元的各级告警。网管系统应以统一界面接收和监控所有WLAN设备的告警，并能实时监测设备的运行状态，并可在地图上作图形化显示，提供查找故障原因的技术手段。

其主要功能包括：

a) 实时监测WLAN的各种设备的运行状态、以及设备各类故障并产生不同级别的告警，同时生成各种相关日志文件和统计报表；

b) 告警监测：主动探测或被动接收网络上的各种事件信息，并识别出其中与网络和系统故障相关的内容，对其中的关键部分保持跟踪，生成网络故障事件记录；

c) 告警通知：能够在拓扑图上提供明显的告警通知方式，例如声音和颜色的闪烁；

d) 告警压缩：网管系统可以自动记录故障状态，并自动更新这些不同的故障状态，23 / 28

WLAN基础知识(入门必备)

保证系统可以对大量重复的事件信息，能够具有压缩和归并，以避免大量重复事件对运维人员造成不必要干扰；

e) 故障统计功能：可以依据时间、使用者、设备、故障等级统计分析故障次数、平均响应时间、平均修复时间和处理状态等以评估各项设备的可靠性。能够依据序号、日期或关键词查寻历史故障数据；

f) 可以根据需要自定义网元的告警级别，并对系统定义的告警级别进行调整，有灵活的告警过滤器设置，按照监控需要选择不同的告警显示；

告警级别

严重告警

主要告警

次要告警

警告告警

g) 可以手动选择对网元的告警同步，避免网管告警信息和网元实际告警的差异。

h) 对于产生的故障告警，可以快速链接到故障处理帮助文档，包括详细的故障说明，导致故障的可能原因，相关的检查流程和故障处理步骤。

i) 告警事件分析，接收网络对象所发出的告警事件，分析安全相关的信息(如SNMP认证失败信息)，实时地向管理员告警，并提供历史安全事件的检索与分析机制，及时地发现正在进行的攻击或可疑的攻击迹象。

j) 实时监测主机系统的重要服务(如WWW，DNS，Radius，Portal等)的状态，提供安全监测工具，以搜索系统可能存在的安全漏洞或安全隐患，并给出弥补的措施。

颜色

红色

橙色

黄色

蓝色

 配置功能

主要是完成WLAN网络资源的配置，可以远程修改系统的配置参数。配置管理可区分为设备配置、网管系统配置两个部份。

设备配置管理对网元/网络设备配置进行整体控制，包括识别网元，从网元收集和向网元发送与网元配置相关的数据；配置参数应该包括整个WLAN网络中涉及到的网元、接口、通信链路、拓扑结构、网络协议和软件等相关参数。主要功能如下：

1． 配置信息自动获取功能，网管系统应提供方便的配置信息自动获取功能；

2． 自动配置、自动备份和版本比较：系统可自动发现网络设备的配置信息，以协助系统管理员快速进行网管配置。当网络配置发生变化时，系统可重新请求设备上报配置数据，原有的网管数据不能遗失，提供新配置数据和原有网管数据的版本对比功能。网管系统应能够提供对网络配置信息定时自动或手动备份的功能。

3． 配置一致性检查：提供对整个网络的配置情况进行一致性检查的手段；

4． 用户操作记录功能：配置系统的安全性是整个网络管理系统安全的核心，因此，必须对用户进行的每一配置操作进行记录。在配置管理中，需要对用户操作进行记录，并保存下来。管理人员可以随时查看特定用户在特定时间内进行的特定配置操作；

5． 对重要的系统信息进行更改时，可以选择被更改配置网元的范围。网元配置更改后，若发生运行异常，可以很快的倒回原有数据配置，并且系统配置的更改有定时执行策略。

6． 网管系统能通过IP地址对被管设备进行定位和查询。

网管系统配置主要包括，系统管理员可新增、修改、停用及删除使用者帐号，使用者帐号的配置信息包括人员名称、代号、口令及联络方法(电子邮件、呼机、传真及手机)，当系24 / 28

WLAN基础知识(入门必备)

统有需要对使用者进行告警时，即使用此处的联络方法发送告警信息。能够设定网管系统的超时时长，以及其他与网管系统相关的配置信息。

 拓扑功能

拓扑管理功能要求能够提供网络拓扑浏览器和网络树图浏览器。

网络拓扑浏览器能够分层显示WLAN的网络拓扑结构，能够正确反映AC、AP、Radius、Portal服务器及其他相关设备之间的对应关系。

网络监视基于网络拓扑图进行，在性能、告警、配置等方面动态反映网络的变化。拓扑图与树状图可以相互引导。从图标和树形图分支上可以看到相应设备详细配置信息，并在相应部件上可获得较完整的配置信息,包括基本数据与汇总数据。

网络拓扑浏览器是网管系统的基础应用程序和主要工具，应具备浏览、监视和编辑的功能，同时也应具备网络拓扑动态发现的功能。

 应用软件版本管理

WLAN网管子系统应能对应用程序的版本信息进行集中记录，并提供编辑 (增加、修改和删除)、自动批量升级、查询和打印功能。

 网管系统（OMC）接口要求

1、 北向接口：

网管系统应提供标准的北向接口（标准SNMP V2、数据库、CORBA等），向其上层WLAN综合网管系统，提供告警、性能、配置数据等。

2、 南向接口

标准的南向接口，对AP、AC进行管理。 AC通过设备的网管接口直接接入WLAN网管，AP接入省级数据网管可采用两种接口方式。

方式1：直连方式。AP通过其本身提供的SNMP网管接口直接接入WLAN网管系统。

方式2：AC代管方式。AP通过设备SNMP接口接入所属的AC，AC作为Proxy Agent实现对AP的管理功能，主要包括配置、性能参数统计、告警转发，WLAN网管系统通过AC实现对AP的所有管理功能。在这种方式下，AC必须具备对AP MIB的装载和更新能力，并向WLAN网管提供AP的等效MIB格式。

其中，对于AC、AP同厂家组网且AC具有代管能力的的情况，采用AC代管的方式实现对AP的管理；对于AC不具备代管能力的情况，采用网管系统直连AP的方法实现对AP的管理。

25 / 28

WLAN基础知识(入门必备)

 计费要求

AC设备能配合RADIUS认证服务器、AS、MAC认证服务器等完成WLAN计费。

AC设备能够配合完成计费信息的采集。

计费原始数据信息包括：

（1）用户身份信息

（2）当采用用户/口令方式时，用户身份信息使用手机号；当采用SIM认证方式时，用户身份信息使用IMSI。

（3）连接会话标识

（4）连接时长

（5）连接起始时间

（6）连接结束时间

（7）数据流量

（8）上行数据流量

（9）下行数据流量

（10）计费信息采集前端设备IP地址

（11）计费信息采集前端设备标识

（12）计费信息采集前端设备标识用来识别用户的接入地，实现不同城市和省份之间的结算。

（13）其他必要的信息。

计费信息采集完成后，AC设备能够将计费信息上传给AS产生话单（基于SIM方式）或RADIUS服务器（基于Web方式）。

AC设备能够支持灵活的计费体制，可选择基于流量，基于连接时间，基于位置的计费方式。

 安全要求

 AP安全性要求

在安全控制方面，AP配合无线接入控制器通过网络标志来控制用户接入；最终不同的用户流量将被引导到不同的逻辑VLAN中。所有用户的认证流量将通过AP与无线接入控制器的接口隧道到达无线接入控制器，最终由无线接入控制器来具体处理，具备了三层部署的能力。

为了阻止非授权用户访问无线网络，以及防止对无线局域网数据流的非法侦听，标准中引入了认证和加密的手段。

（1）SSID屏蔽

考虑到某些特殊业务必须支持SSID屏蔽

（2）数据加密

支持IEEE802.11i标准规定的安全机制。支持目前的WPA、WPA2 WiFi安全接入标准。

（3）防止非法AP设备

由于WLAN管理帧没有任何加密保护，所以如果一个虚假访问点放置到无线局域网中，26 / 28

WLAN基础知识(入门必备)

它可以非法“劫持”合法用户的信息。

AP需配合AC系统支持在无线侧对非法AP的监测，（即非法AP为一个独立的AP与移动WLAN系统有线网络没有任何连接）。

必须支持对相同SSID相同BSSID的非法AP检测。

(4)AP监控模式

为了更快的发现RF环境中的异常状态同时不影响正常数据业务的转发，AP需同时支持监控模式以及正常工作模式。

（5）AP上行接口安全

AP需支持与AC之间的管理信息加密，请描述实现方式。

（6）RF环境安全

支持对无线同频干扰源的发现并配合网管发出告警。

（7）MESH空口加密

MESH节点支持无线骨干侧互联的数据和控制信令的加密。

（8）同一AP下用户的2层和3层隔离

提供的系统应支持同一AP下无线客户端之间的互通或者隔离，用户的隔离可控。

（9）基于3层或4层的安全控制

可基于3层IP地址以及4层端口号作策略控制，策略控制并可随意跟用户，用户组，SSID以及AP绑定

（10）漫游限制

特定用户漫游到某特定位置AP，不能进行访问

（11）用户切换安全性

在某个AP自身掉电或发生故障时， 用户应该可以自动切换到其他正常工作AP。

 AC安全性要求

AC必须提供多种安全手段来保护认证、授权和计费信息流的传输、用户数据的安全以及网络安全。应能够支持用SSL、SSH管理。

（1）基于SSH的安全性

为了保证Telnet管理服务的安全性，AC应内置SSH服务器。

（2）基于SSL的安全性

为了保证HTTP管理服务的安全性，AC应支持SSL。

（3）保护对AP的控制信息

为了保证AP到AC控制信息的安全，AP和AC的内部隧道接口需支持AES等级的控制数据加密。

（4）IP地址假冒防护

AC需支持IP地址假冒的预防、侦测和围堵。系统可以设置为只允许DHCP服务获得地址的用户作为合法用户接入，私设静态地址的用户无法接入网络。如果发现地址重复可以设置系统在空口处切断该用户与AP的无线关联。可以定义AC所辖AP不理会对此类用户关联请求的时长。

（5）WIDS（无线入侵监测）

AC需

（6）IPS联动（入侵防护系统联动）

AC需支持与相关的IPS系统联动措施，对网络三至七层的攻击进行防护，并在无线27 / 28

WLAN基础知识(入门必备)

侧阻止攻击用户关联。请说明可以支持的IPS的产品型号，以及实现流程。

（7）认证攻击防护

AC需对不断重试的认证行为进行防护，防止用户端口令攻击。需支持对WEB认证、802.1x认证用户的重认证防护。可以有效的从空口侧切断此类用户的关联，并在规定时间内不予响应。系统可以定义AC所辖AP不理会对此类用户关联请求的时长。

（8）支持管理帧保护

AC需支持管理帧的保护机制，并可以支持今后客户端的管理帧保护。请说明AC的管理帧保护机制并罗列出可以支持管理帧保护的客户端兼容列表。

（9）无线攻击保护

能检测出Flood 攻击检测，射频（RF）干扰防护，AP MAC 地址伪装检测，弱WEP IV

检测，哄骗攻击检测，恶意接入点检测等。

 网络安全管理功能

通过定义个人访问权限的方式，系统提供对于管理员/操作系统访问的安全措施，确保访问请求的发起者只能在自己的权限范围内执行管理操作。

整个接入系统安全防护系统应能结合使用用户认证、访问控制、数据传输、存储的保密与完整性机制，保障整个接入系统的安全。维护系统日志，使系统的使用和网络对象的修改有据可查。同时控制对网络资源的访问。

网络安全管理功能分为两部分，首先是网络本身的安全，其次是被管网络对象的安全。

网络本身的安全管理具有以下功能：

1. 管理员身份认证，采用基于公开密钥的证书认证机制；为提高系统效率，对于信任域内(如局域网)的用户，可以使用简单口令认证；

2. 管理信息存储和传输的加密与完整性，Web浏览器和网络管理服务器之间支持安全套接字层(SSL)传输协议，对管理信息加密传输并保证其完整性；内部存储的机密信息，如登录口令等，应经加密处理；

3. 网络管理系统的用户(即管理员)按任务的不同分成若干用户组，不同的用户组中有不同的权限范围，对用户的操作由访问控制检查，保证用户不能越权使用网络管理系统。并且对于WLAN用户，能够增加、删除、修改和查询用户信息；

4. 系统日志分析，记录用户所有的操作，使系统的操作和对网络对象的修改有据可查，同时也有助于故障的跟踪与恢复；

网络对象的安全管理有以下功能：

1. 网络资源的访问控制：从网络层(IP)和传输层(TCP)控制对网络资源的访问，保护网络内部的设备和应用服务，防止外来攻击；

2. 告警事件分析，接收网络对象所发出的告警事件，分析安全相关的信息(如SNMP认证失败信息)，实时地向管理员告警，并提供历史安全事件的检索与分析机制，及时地发现正在进行的攻击或可疑的攻击迹象；

3. 通过无线接入系统安全防护系统实现实时监测主机系统的重要服务(如WWW，DNS等)的状态，提供安全监测工具，以搜索系统可能存在的安全漏洞或安全隐患，并给出弥补的措施。

4.

28 / 28

2024年1月19日发(作者：子车听春)

WLAN基础知识(入门必备)

WLAN业务技术规范

 符号及缩略语

缩写

AP

AC

AS

DHCP

DNS

EAP

EAPOL

ESSID

HLR/AuC

HTTP

IMSI

MAC

NAT

PAT

RADIUS

SIM

WEP

WLAN

Wi-Fi

英文全称

Access Point

Access Controller

Authentication Server

Dynamic Host Configuration Protocol

Domain Name Server

Extensible Authentication Protocol

EAP Over LAN

Extended Service Set Identification

Home Location Register/Authentication Center

Hyper Text Transport Protocol

International Mobile Subscriber Identification

Media Access Contaol

Network Address Translation

Port Address Translation

Remote Authentication Dial In User Service

Subscriber Identity Module

Wired Equivalent Privacy

Wireless Local Area Network

Wireless Fidelity

中文名称

接入点

接入控制器

认证服务器

动态地址分配

域名解析服务器

扩展认证协议

针对扩展认证协议LAN

扩展的服务集标示符

归属地注册/认证中心

超文本传输协议

国际移动用户识别码

介质访问控制

网络地址转换

端口地址转换

远程验证用户拨入服务

用户识别模块

有线等效私密

无线局域网

无线保真

 概述

 WLAN网络构成

中国移动北京公司WLAN网络逻辑系统结构主要由下列主要部分组成。

1．WLAN终端设备

WLAN终端设备需要安装WLAN网卡，WLAN网卡可以是任何支持IEEE802.11系列标准的设备，同时要求和WLAN接入系统设备兼容。WLAN网卡可支持802.11a/b/g协议。当采用基于802.1x机制的认证方式时，要求WLAN网卡必须能够支持WPA/WPA2加密。对可支持即拍即传业务的WLAN数码相机，需支持MAC地址认证方式。

WLAN终端设备需要安装相应的认证客户端软件（随E行），支持SIM认证方式及用户名＋密码认证方式。

2．接入点设备（Access Point，简称AP）

AP是WLAN业务网络的小型无线接入设备，完成802.11a/b/g标准的无线接入。AP1 / 28

WLAN基础知识(入门必备)

也是一种网络桥接器，是连接有线网络与无线局域网络的桥梁，任何WLAN终端设备均可通过相应的AP接入外部的网络资源。

在数据通讯方面，AP负责完成它与WLAN终端设备之间数据包的加密和解密。当用户在AP无缝覆盖区域移动时，WLAN终端设备可以在不同的AP之间切换（Handover），保证数据通讯不中断。

在安全控制方面，AP可以通过网络标志来控制用户接入；当采用基于802.1x的用户认证机制时，AP可以作为WLAN用户接入的控制点，和后台的认证服务器（RADIUS用户认证服务器或者SIM卡认证服务器）相连，完成对WLAN用户的认证。

为了满足室外连续大范围覆盖要求，在由多种类型节点构成的、以网状为基本拓扑结构的、多跳、自组织和自管理的无线网络架构中的AP，简称为MESH AP。

3．接入控制器设备（Access Controller，简称AC）

AC作为控制接入点设备的控制器，完成对接入点设备的管理和配置，实现负载均衡、动态信道分配等功能。同时AC作为接入终端的安全控制节点，完成相应的认证和计费辅助功能。

当采用基于WEB方式的用户认证时，AC作为安全控制点和后台的RADIUS用户认证服务器相连，完成对WLAN用户的认证。

当采用基于802.1x的用户认证机制时，AC可以作为WLAN用户接入的安全控制点，和后台的认证服务器（RADIUS用户认证服务器/SIM卡认证服务器）相连，完成对WLAN用户的认证。

当采用MAC地址认证时，AC作为WLAN用户控制接入的控制点，与后台认证服务器中的MAC地址信息关联，完成用户认证。

在计费中，AC作为集中式的计费数据采集前端，采集用户数据通讯的时长，流量等计费数据信息，并将其发送到相应的认证服务器产生话单。

同时，在业务控制中，AC提供强制PORTAL功能，向WLAN用户终端推送WEB用户认证请求页面和中国移动门户网站。当用户认证通过后，用户业务数据通过AC接入到相应的专用服务网络或CMNET。

4．PORTAL服务器

PORTAL服务器配合接入设备完成WEB方式下用户的认证。

5．RADIUS认证服务器

在手机号码/密码认证方式中，RADIUS认证服务器接受来自AC的用户认证服务请求，对WLAN用户进行认证，并将认证结果通知AC。

在该方式对于手机号码/密码认证方式的用户下，RADIUS认证服务器还接收计费信息采集点发送的计费数据采集信息，经过预处理后产生话单（计费数据记录，即CDR），并将话单通过计费数据接口发送给BOSS计费子系统。

RADIUS服务器支持用户预付费方式。

6、卡计费管理服务器

主要完成WLAN预付费卡的计费管理等功能。包括卡的实时反算、卡的生成、开通、订购、回收、卡密码修改、卡状态修改、卡信息查询、统计分析等功能。

7．SIM认证服务器（AS）

当对WLAN用户采用基于SIM卡的认证方式时，AS接受来自认证点（AP/AC）的用户认证服务请求，对WLAN用户进行认证，并将认证结果通知认证点（AP/AC）。

8. MAC认证服务器

当用户使用即拍即传相机通过WLAN上传图片时，MAC认证服务器接受来自认证点AC的用户认证服务请求，对WLAN用户进行认证，并将认证结果通知认证点。

2 / 28

WLAN基础知识(入门必备)

9．HLR/AuC

当对WLAN用户采用基于SIM卡的认证方式时，AS利用HLR/AuC中现有的用户认证信息，和HLR/AuC协作实现对SIM用户的认证。

10．BOSS系统

在WLAN数据业务中，BOSS系统主要完成以下功能：

（1）业务注册服务

（2）用户信息的更新

（3）计费和结算

（4）WLAN用户密码服务

 支持的业务

 业务类型

根据WLAN业务对实时性要求的不同及提供方式的不同，将WLAN业务分为如下几类：

（1）实时业务

该类业务包括双向、双方和多方业务。在进行通信时要求具有实时响应，要求提供业务的网络能依据标准严格控制延时和抖动。

（2）非实时业务

该类业务通常为信息传输业务，对网络没有严格的延时和抖动要求，例如传统的IP业务（e-mail 、文件传送协议FTP、Web 等）。

（3）VPN 业务

在包括WLAN在内的公用网络平台上构筑不受地域限制而受企业统一策略控制和管理的企业网络，为企业用户提供远端接入服务。

（4）其它业务

上述业务之外的其它业务，包括基于WLAN系统开展的个性化Portal、定位业务等。

 典型业务

 无线宽带上网

用户使用支持WLAN接入的笔记本，PDA等智能终端能够接入到WLAN中，并能够高速的访问INTENET。

在包括WLAN在内的网络平台上构筑不受地域限制而受企业统一策略控制和管理的企业网络，以便于为企业用户提供远端接入服务及文件传送服务。

 定位业务

系统要具备对接入的终端进行详尽定位的能力，并提供位置数据采集和访问接口。以便于在后续的业务规划中去设计和实现基于WLAN之上的位置服务业务。

3 / 28

WLAN基础知识(入门必备)

 即拍即传业务

该业务主要是针对数码相机，在加装了Wi-Fi模块之后，可以接入到中国移动的WLAN网络，实现照片的实时或非实时传送。

有关该业务的几项具体说明如下：

 用户终端：

 数码相机（具备Wi-Fi功能）（ 802.11a/b/g）

 认证接入方式

 MAC地址认证

 应用层协议

 FTP上传图片

 服务级别

 通过限制单AP下的用户数量，保证传输速率；

为了实现对即拍即传业务的支持，网络系统需具备如下几项业务能力：

 支持MAC认证；

 支持多SSID；

 可划分为不同的VLAN;

 可限制单AP下的用户数，当有超过限定值的过多用户试图接入时进行拒绝；

 能够区别不同用户的服务等级，向不同的用户开放不同的速率。

 Wireless Info业务

奥运Info业务是由一个基于无线网络接入、奥运Info系统和源讯提供的媒体信息服务平台三部分组成的综合平台来统一实现的，奥运Info业务不对公众开放，主要对制证媒体开放，同时可供IOC、NOC、IF等奥运大家庭成员访问。历届奥运会的组委会都会提供一套奥运INFO信息系统，媒体记者可以通过奥运固定区域（新闻中心）内的有限数量固定终端访问INFO系统，查询相关的背景资料和比赛信息等资讯，但无法对内容进行复制和编辑。随着移动通信技术的快速发展，2008年奥运会将为媒体记者提供无线接入手段方便访问INFO系统信息，奥运Wireless Info系统将成为科技奥运的亮点工程，该系统可使制证媒体在2008年北京奥运会期间在指定区域通过随时随地接入平台获取奥运会相关信息和资料，并通过短信/彩信等服务获得最新的比赛成绩、重要事件通知，方便新闻的采、编、发工作。

奥运Info系统除了网络外，主要由两个部分组成，一个是中国移动提供的奥运Wireless

Info系统，另外一个部分是由源讯提供的业务平台。其中实现认证和安全防护的奥运Wireless

Info系统主要实现对整个奥运INFO系统的认证和安全防护功能。奥运Wireless Info系统系统需要实现以下目标：

 媒体记者可以获取奥运INFO信息并访问Internet

 保证系统安全性和业务安全性

 采用多种无线终端都可访问（主要时笔记本和PDA）

 完善的认证鉴权管理接入

 在不同接入网段间无缝切换

奥运Wireless Info系统对设备的功能要求如下：

 支持RADIUS（RFC2865、RFC2866、RFC2869）协议；

 支持路由功能；

 Portal功能；

4 / 28

WLAN基础知识(入门必备)

 支持WEB认证页面的推送；

 支持认证完成后强制初始页面的推送。

 上述功能通过AC与外置的Portal服务器之间通过交互消息的方式来实现。

 Wireless Info两类权限用户在经过系统认证后需要接入网的AC设备能实现不同的路由区分，以实现不同用户权限的不同路由指向和数据隔离。

 AP设备技术要求

 AP设备功能要求

 工作频段及子信道配置

 工作频段

依照802.11a/b/g无线局域网的国际规范和国家无线电管理委员会的标准，无线局域网的无线设备AP的工作频段为：

 802.11a: 5.15 GHz～5.825 GHz

 802.11b: 2.4G Hz～2.4835 GHz

 802.11g: 2.4G Hz～2.4835 GHz

 信道配置

为了避免避免临近设备干扰，可将将整个频率划分成不同范围， 802.11b和802.11g的2.4G Hz～2.4835 GHz工作频率带宽为83.5MHz，划分为14个子信道，每个子信道带宽为22MHz。子信道分配如图1所示：

图1：802.11b/g子信道分配图

在2.4835GHz的频道范围内，最多有13个信道可用，13个信道的标号及所用中心频率的情况见下表：

5 / 28

WLAN基础知识(入门必备)

表1：13个信道的中心频率配置

信道标号

1

2

3

4

5

6

7

8

9

10

11

12

13

中心频率

2412MHz

2417MHz

2422MHz

2427MHz

2432MHz

2437MHz

2442MHz

2447MHz

2452MHz

2457MHz

2462MHz

2467MHz

2472MHz

信道低端/高端频率

2401/2423MHz

2411/2433MHz

2416/2438MHz

2421/2443MHz

2426/2448MHz

2431/2453MHz

2431/2453MHz

2436/2458MHz

2441/2463MHz

2446/2468MHz

2451/2473MHz

2456/2478MHz

2461/2483MHz

在多个信道同时工作的情况下，为保证信道之间不相互干扰，要求两个信道的中心频率间隔不能低于25MHz。因此从上图可以看出，802.11b、802.11g标准最多可以提供3个不重叠的信道同时工作。

802.11a的工作频率带宽为:100MHz，从5.725GHz到5.825GHz，划分为4个子信道，每个子信道带宽为20MHz。子信道分配如图2所示：

图2. 802.11a子信道分配



调制技术

WLAN接入设备物理层应支持如下调制技术：

802.11b模式：

 直接序列扩频（DSSS）调制技术

802.11g模式：

 PBCC调制

6 / 28

WLAN基础知识(入门必备)

 OFDM调制技术

802.11a模式：

 OFDM调制技术

 AP功能要求

 802.11a/b/g多模式支持能力

 单一AP应同时支持802.11a/b/g三模双频终端以任意模式接入；

 AP应能在控制设备配合下关闭特定一种或两种(802.11a/b/g)接入模式

 AP应具备在802.11g模式下拒绝/允许802.11b协议的终端接入的能力

 动态速率控制

WLAN设备应支持自适应编码调制技术，根据无线信号强度强弱，接入速率应在如下范围内变化：

 802.11b：1/2/5.5/11 Mbps；

 802.11g：1/2/5.5/11 /6/9/12/18/24/36/48/54 Mbps；

 802.11a：6/9/12/18/24/36/48/54 Mbps；

接入点AP设备的吞吐量受各种条件的影响，例如：工作模式的不同、不同协议的使用、小区用户数量、传输文件的大小等,请描述在不同传播环境、不同标准下AP的速率范围。

AP设备具备动态速率转换的自适应功能，在802.11a/b/g中均使用了动态速率转换的机制，允许数据速率自动调整到适应无线通信变化的特性，即当射频情况变差或出现严重干扰时，速率将自动回落。

 动态功率控制

要求AP设备需配合控制设备完成全局的动态功率控制，通过增加功率支持无线空洞补偿、通过降低功率避免高密度部署环境下复用频点小区间的干扰。动态功率控制无需依赖网管，由AP配合控制设备自动实现。

 动态信道控制

AP设备需配合控制设备完成全局的动态信道调整，通过调整信道避免邻近小区间干扰以及噪音和同频干扰源的干扰。动态信道控制无需依赖网管由AP配合控制设备自动实现。

 基于用户数量的负载均衡

 AP设备应支持多个WLAN终端的同时接入和连接。

 AP设备应支持和WLAN终端接入设备之间的自动信道分配、认证和关联过程。



AP设备应支持客户终端的负载均衡功能。即AP提供有关用户数量、误码率，和信号强度的信息到客户终端。客户终端选择能提供最好网络连接的AP。WLAN

802.11 MAC层负责客户端与接入点的通信，当客户端进入多个接入点覆盖区域7 / 28

WLAN基础知识(入门必备)

时，AP会配合控制设备系统基于客户数来实现负载均衡。

 接入设备准入控制

AP应在控制设备配合下，完成接入终端的准入控制功能，即可根据终端数量或者网络流量限制非关键用户或后续接入的终端获取网络资源。

 过负荷控制

AP应能在控制设备配合下，当接入的用户数量或数据流量等负荷超过设定阈值时自动进行控制，以保证AP的正常工作，并能够产生告警。

卖方的设备必须支持本功能。

 SSID支持

单一AP支持多SSID同时接入，能够至少支持8个以上的SSID。

 RF环境抗干扰能力

AP具备配合控制设备通过信道及功率的调整避免或减小干扰，并具备对非许可WLAN

AP的探测和定位能力。请说明实现方式。

 切换

AP设备配合控制设备支持WLAN终端在不同AP间的切换，且不中断网络连接。支持基于WPA/WPA2的安全漫游能力。对跨AP的切换分为两种类型：

 同一子网内部不同AP之间的切换（二层切换）；

 不同子网内不同AP之间的切换（三层切换）；

 访问控制

AP设备支持基于ESSID和MAC地址的访问控制。

 接入碰撞机制

AP设备采用802.11的CSMA/CA机制来提供以无线方式共享访问的方法。

 无线覆盖范围

接入点AP设备的无线覆盖能力与其发射功率和应用的覆盖环境条件有直接的关系，而8 / 28

WLAN基础知识(入门必备)

且不同传输速率的定义也决定了覆盖范围的大小。要求开阔环境的覆盖范围应能够达到150－300m，室内环境覆盖范围达到30－50m。

 同步要求

在ESS模式下，由AP周期性地发出时标信号，而在这一AP的小区内所有用户利用此时标信号把自己的时钟与AP同步。

 网管要求

WLAN网管接口采用SNMP（ v2c或以上版本）、Syslog和FTP作为主要接口协议。其中，AP设备采用SNMP网管接口。

在直连方式下，AP通过其本身提供的SNMP网管接口直接接入WLAN网管系统。

根据无线网络维护要求，AP设备具备对终端和非法接入AP的定位要求。

 AP设备性能要求

 无线性能要求

 天线

不同类型天线: 如全向天线，定向天线等。

内置天线或外置天线。

支持与其他移动通信系统（GSM、WCDMA、TD-SCDMA、CDMA2000、PHS等）共用室内分布式系统。

采用外置天线，天线端口的阻抗为50欧姆。

杂散发射包括：谐波辐射、寄生辐射、互调产物和变频产物。带外杂散指落到载波中心频率Fo±250％信道间隔（CS）以外的带外辐射功率电平。相对杂散发射平均功率的选取和信道间隔（CS）和杂散发射功率落入的频带有关。在测量杂散发射平均功率时，测量范围取为30MHz－5Fo（载波的5次谐波）。

AP的杂散发射功率电平限值（参考带宽内的相对杂散发射平均功率电平限值）为：小于等于-30dbm。

 发射频率稳定度

AP设备的发信频率稳定度应小于等于25ppm。

 带内和带外杂散发射

必须符合IEEE802.11a/b/g系列相关标准。

9 / 28

WLAN基础知识(入门必备)

 发射到接收的回环时间

必须符合IEEE802.11a/b/g系列相关标准。

 接收到发射的回环时间

必须符合IEEE802.11a/b/g系列相关标准。

 发射机性能要求

 发射功率

室内设备：天线增益＜10dBi时：等效全向辐射功率（EIRP）≤100 mW 或≤20 dBm；

室外设备：天线增益≥10dBi时：等效全向辐射功率（EIRP）≤500 mW 或≤27 dBm。

 发射功率控制

支持至少100%、50％、25％、12.5% 四级功率可调。

 发射频谱模版

必须符合IEEE802.11a/b/g系列相关标准。

 杂散发射

杂散发射包括：谐波辐射、寄生辐射、互调产物和变频产物。带外杂散指落到载波中心频率Fo±250％信道间隔（CS）以外的带外辐射功率电平。相对杂散发射平均功率的选取和信道间隔（CS）和杂散发射功率落入的频带有关。在测量杂散发射平均功率时，测量范围取为30MHz－5Fo（载波的5次谐波）。

AP的杂散发射功率电平限值（参考带宽内的相对杂散发射平均功率电平限值）为：小于等于-30dbm。

 发射频率稳定度

AP设备的发信频率稳定度应小于等于25ppm。

卖方要提供各种型号AP的发射频率稳定度数值。

 中心频率容限

必须符合IEEE802.11a/b/g系列相关标准。

 码片时钟频率容限

必须符合IEEE802.11a/b/g系列相关标准。

10 / 28

WLAN基础知识(入门必备)

 Power-On and power-down 斜坡

必须符合IEEE802.11a/b/g系列相关标准。

 射频载波抑制

必须符合IEEE802.11a/b/g系列相关标准。

 接收机性能要求

 接收机最小输入电平灵敏度

必须符合IEEE802.11a/b/g系列相关标准。

 接收机最大输入电平

必须符合IEEE802.11a/b/g系列相关标准。

 接收机邻道抑制

必须符合IEEE802.11a/b/g系列相关标准。

 同道干扰

对于同一频段其他设备的干扰，要求用户端管理软件具有防止传输速率过快降低的抵抗机制。

 净荷吞吐量

净负荷吞吐量为除去纠错编码和必要的无线编码的吞吐量。

 同频干扰

802.11g接入设备兼容802.11b终端，当802.11b终端接入802.11g AP时，会导致该ESSID范围内所有接入终端的速率下降。

 多径衰落

卖方要提供抗多径衰落的措施，并详细阐述措施和方案。

 频率复用

频率复用的计算方法。

各种速率级别下无线链路的计算。

11 / 28

WLAN基础知识(入门必备)

 QoS要求

AP支持WiFi规定的WMM标准，并支持802.11e的后续标准。

WLAN系统能提供端对端的QoS保证。AP设备支持根据用户业务需求或运营商的要求对用户所占用的业务带宽及优先级别进行的设定，并支持根据业务的优先级进行流量管理和控制，确保不同等级业务的QoS。支持WiFi的WMM标准。支持不同SSID基于RF资源的分配，支持不同SSID、不同用户基于速率参数的设定。

WLAN系统在提供IP业务时,应符合下表的Qos要求。

表2：IP QoS要求

业务

率

高质量电话(声码器MOS≥4.0)

标准质量电话(声码器MOS<4.0)

实时包业务

非实时业务

1×10-6

1×10-6

1×10-6

1×10-9

20ms

40ms

20ms

---

最大误码最大单向时延

 AP设备可靠性要求

 可用性

1．AP系统可用性要求

不考虑无线传输带来的影响，AP系统的年可用性指标为99.99%。

2．AP的可靠性

AP设备的MTBF应大于14年。

 稳定性

AP设备与用户终端之间的无线传输性能发生一定范围变化时，应能保持稳定工作状态。

保持稳定工作状态的无线传输性能的变化范围应能通过两种方式配置：自动配置或通过网管系统人工配置。

 设备环境要求

环境适应性功能必须经过相应的认证机构认证通过，并且有相应的认证合格证明。

 工作温度要求

室内设备：在-30℃至+50℃环境中应能正常工作。

室外设备：在-45℃~+55℃环境中应能正常工作。

12 / 28

WLAN基础知识(入门必备)

 工作湿度要求

满足IP55标准。AP设备在以下湿度条件下的环境中应能正常工作：

相对湿度：10%—90%。

注：以上室内环境为地板以上2m和设备前方0.4m处的湿度

 大气压力要求

能在以下大气压力条件下的环境中应能正常工作：86—106kPa。

 防尘要求

在以下灰尘环境下，设备应能正常工作：直径大于5um的灰尘浓度；灰尘粒子是非导电、导磁和腐蚀性的。

 防水要求

试验水压207kPa，距离试验样品1.8m，对户外设备总共喷水时间为15min，要求设备内部不进水。

 设备抗震要求

符合IEC Class 4M3标准。

 电源

AP设备应支持220V交流外接供电和以太网供电方式。

220V交流外接供电方式主电源为标称220V单相AC电源，其输入电压范围为176—264V AC，频率变化范围为45Hz—65Hz。

使用以太网供电方式时，供电传输距离应大于50米。

 接地

接地电阻不大于10欧姆时AP设备应能正常工作。

 过压过流保护

AP设备安装过压、过流保护器。过压、过流保护器在外接电源异常时必须能保护设备的核心部分。

AP设备满足ITU-T建议K.21中暴露环境条件下的要求。

支持直流供电正负反向保护。

支持供电过压保护和告警功能，并支持供电正常恢复和自启动功能。

13 / 28

WLAN基础知识(入门必备)

 防电涌破坏

AP设备应带有防电涌器件，有效防止电涌对设备的损坏。满足IEC 61000-4-5中对用于通信中心室外设备防浪涌的要求。

 防雷要求

天馈防雷通过外加防雷器实现，防雷器通流量不小于10KA，保护电压不低于20V。

网口防雷、电源口防雷可由设备本身或外加防雷器实现，防雷能力不低于以下标准：10/700us的浪涌电压能够承受，差模500V/共模4kV不损坏。

 绝缘电阻要求

正常情况下，设备的绝缘电阻应不小于50MΩ。

 AC设备技术要求

 AC设备功能要求

 接入控制

AC设备能够支持基于SIM卡方式，基于用户名/密码方式（包括预付费卡业务）和基于用户MAC地址的认证，三种认证方式应能够同时工作。

在用户名/密码认证方式时，AC设备应能够侦测到用户下线。

在基于用户MAC认证方式下，AC设备应支持对用户设备的MAC地址识别和访问控制能力，支持WirelessInfo和即拍即传两种业务的AC需根据用户的SSID支持不同的接入VLAN,为用户提供不同的带宽和服务质量保证能力，同时将不同数据流送往不同的服务器。

 DHCP功能

AC设备应能够支持DHCP动态分配IP地址。

 NAT/PAT功能

AC设备应可以同时提供网络地址翻译和端口地址翻译的功能。

 用户控制功能

AC应能够提供接入控制列表来支持对用户的MAC地址、IP地址、端口号等方面的控制。

 Portal功能

在采用基于用户名/密码、MAC方式的认证时，AC设备应能够支持认证页面的推送，14 / 28

WLAN基础知识(入门必备)

在认证成功后能够强制推送具有个性化的门户网站页面。

基于SIM认证成功后，也能够强制推送网络接入的门户网站页面。

AC与Portal服务器之间的协议交互应满足中国移动集团制定的AC和PORTAL之间的认证和推送流程，参见中国移动集团制定的《中国移动WLAN业务PORTAL协议规范》。

 带宽控制

AC设备应能够调整和控制连接到它的AP的带宽；能够调整和控制不同用户的带宽；能够通过采取丢包、改变排队时延等方法调整和控制AC端口的流量。

 过负荷控制

AC应具备在过负荷控制功能，当接入的用户数量或数据流量等负荷超过设定阈值时自动进行控制，以保证AC的正常工作，并能够产生告警。

 分布控制功能

AC应具备对与其连接的任意某个AP或某几个AP进行单独控制的功能；分别设置某个AP或某几个AP的设备参数、认证方式等，而同时不对其它与其连接的AP产生影响。

 多端口（网口）支持能力

AC应具备多端口（网口）支持能力，可以分别通过AC上不同端口（网口）与网管、

计费、认证、安全、业务等系统连接，同时要求不同端口（网口）之间具备端口隔离能力。

 RADIUS Proxy的功能

AC支持RADIUS Proxy的功能，实现SIM卡认证方式、用户名/密码认证方式（包括预费卡用户的认证）和MAC地址认证信息的分流。

 接入设备编码

AC设备应支持接入设备编码的配置，实现漫游用户及预付费卡用户的计费和结算。

 网管要求

WLAN网管接口采用SNMP（ v2c或以上版本）、Syslog和FTP作为主要接口协议。其中，AC设备采用SNMP网管接口。

 AC设备性能要求

 承载能力包括(各厂家设备只支持的能力不一样)

 AC设备能够连接的AP数量；

 AC能同时支持的并发用户数量和总用户数；

 AC设备可连接的总带宽及可用带宽；

15 / 28

WLAN基础知识(入门必备)

 AC设备交换能力。

 吞吐量（最少1G）

AC设备的吞吐量，并应能满足不同规模的业务量需求。

 冗余备份

AC设备应具有1＋1热备份及N+1负荷负担的能力。对于其他冗余备份方式及其能力请予以说明。

 AC设备可靠性要求

 可用性

AC设备的年可用性指标为99.99%。

AC设备的MTBF要大于14年。

 稳定性

当各种物理性能在一定范围内发生变化时，AC设备应能保持稳定工作状态。各种性能的变化范围应能通过两种方式配置：自动配置或通过网管系统人工配置。

 工作温度要求

在-5℃至+50℃环境中应能正常工作。

 工作湿度要求

满足IP55标准。AC设备在以下湿度条件下的环境中应能正常工作：

相对湿度：10%—90%。

注：以上为地板以上2m和设备前方0.4m处的湿度。

 大气压力要求

能在以下大气压力条件下的环境中应能正常工作：86—106kPa。

 AC设备电源和接地

设备要通过国家的3C认证。

16 / 28

WLAN基础知识(入门必备)

 电源

AC设备必须支持以下供电方式：

1)直流供电方式：－48V DC；

2)交流供电方式：主电源为标称220V单相AC电源，其输入电压范围为210—240V AC，频率变化范围为45Hz－65Hz；能同时支持UPS供电。

 接地

AC设备接地电阻应小于5Ω。

 过压、过流保护

AC设备应安装过压、过流保护器。

AC设备应满足ITU-T建议K.21中暴露环境条件下的要求。

支持供电过压保护和告警功能，并支持供电正常恢复和自启动功能。

 防电涌破坏

AC设备应带有防电涌器件，有效防止电涌对设备的损坏。

 抗电磁干扰的能力

AC设备在受到0.01~1000MH z频率范围内电场强度为140dBuV/m的外界电磁干扰时应不出现故障和性能下降。

设备在直流或交流电源线受到下表所示0.01~100MHz频率范围内的外界电磁干扰电流时应不出现故障和性能下降。

表3：设备抗电磁干扰能力—交直流电源线

频率（MH z）

0.01~0.8

0.8~100

最大线路电流（dBuA）

-21.051gf+67.9

70

 绝缘电阻

正常情况下，设备的绝缘电阻应不小于50MΩ。

 接口要求

WLAN网络的主要接口包括WLAN移动终端与AP之间的接口，WLAN移动终端与AC之间的接口，AP与AC之间的接口，AP的网管接口，AC与Wireless Info系统的接口，AC与即拍即传业务的MAC认证服务器之间的接口，WLAN网络同无线接入安全防护系统17 / 28

WLAN基础知识(入门必备)

的接口，WLAN网络同网管系统的接口，RADIUS认证服务器与用户数据库服务器之间的接口及WLAN网络同Internet公网的接口等等。

 WLAN移动终端和AP之间的接口

WLAN移动终端与AP的之间的接口是空中接口，包括网络连接和数据通讯接口。网络连接和数据通讯接口采用IEEE 802.11a、802.11b、802.11g协议，其功能主要集中在物理层以及部分MAC层包括（802.11：信号发射，探测响应，身份验证、802.11控制：数据包确认和传输（延迟）、802.11e：帧排序和数据包优先级设置、802.11i：接入点中的加密）。

 WLAN移动终端与AC之间的接口

WLAN移动终端与AC的之间的接口是802.11标准 MAC层接口包括（802.11 MAC管理：（重新）关联请求和行为框架、802.11 数据：封装和发送到接入点、802.11e资源预留：控制协议在802.11管理帧中发送到接入点－信令在控制器完成、802.11i身份验证和密钥交换）

802.1x用户认证协议接口采用EAPoL。

 AP和AC之间的接口

AP可以采用直接和间接两种方式连到AC上。直接方式下，AP直接通过802.3x以太网协议直接连接到AC上。间接方式下AP先通过IEEE 802.3x以太网协议连接到以太网交换机，然后，再由以太网交换机通过IEEE 802.3x以太网协议连接到AC上。

 AP的网管接口

AP设备作为网元必须具备用于本地操作维护的网管控制端口，同时AP设备必须提供支持集中网管方式和远程维护的网管接口。

 AC与即拍即传业务的MAC认证服务器之间的接口

AC与即拍即传业务的MAC认证服务器之间通过标准RADIUS（Remote Authentication

Dial In User Service）协议连接，当AC作为接入控制器时，AC通过RADIUS协议将用户认证信息转发给后台认证服务器对WLAN用户进行认证。

 AC与Radius服务器的接口

AC应支持与Radius服务器连接，并通过AC与Radius服务器的接口完成WLAN业务的计费；实现SIM卡认证方式、用户名/密码认证方式（包括预费卡用户的认证）和MAC地址认证信息的分流。

18 / 28

WLAN基础知识(入门必备)

 WLAN网络同无线接入安全防护系统的接口

WLAN网络中的所有设备同上层安全系统之间的接口，SNMP（ v2c或以上版本）、Syslog和FTP协议。通过无线接入安全防护系统对整个网络进行安全防护和监控，包括防病毒、防恶意攻击、流量监控、安全设备部署、安全服务等。

 WLAN网络同网管系统的接口

WLAN网络中的所有设备同上层综合网管之间的接口，SNMP（ v2c或以上版本）、Syslog和FTP协议。WLAN网管系统支持SNMPv1、v2c、v3版本。网管系统服务器和各无线局域网控制器间通信使用SNMP v3可以提高安全性。网络管理员可通过任意运行HTTP或安全HTTP (HTTPS)的标准浏览器来访问网管系统，以确保能随时、随地使用管理功能。

 WLAN网络同Internet公网的接口

WLAN同公网之间通过以太网方式以IEEE802.3x协议连接。

 AC与Wireless Info系统的接口

AC与Wireless Info系统的认证服务器之间通过标准RADIUS（Remote Authentication

Dial In User Service）协议连接，当AC作为接入控制器时，AC与RADIUS认证服务器之间一方面通过RADIUS接口将WLAN用户的计费信息传送给认证服务器，另一方面通过RADIUS协议将用户认证信息转发给后台认证服务器对WLAN用户进行认证。

 传输要求

 E1接口要求

 提供120平衡阻抗接口；

 接口特性满足ITU-T G.703建议中的各项指标要求。

 以太网接口要求

 提供10M/100M的自适应以太网电接口或100M/1000M的自适应以太网电接口或100M以太网光接口或1000M以太网光接口；

 100M以太网光接口模块可分为多模和单模两种，标准工作波长为1310nm ，单模板的传输距离为15km，多模板的传输距离为2km；

 1000M以太网光接口支持IEEE802.1p/IEEE802.q，支持19 / 28

WLAN基础知识(入门必备)

1000BASE-LX/1000BASE-SX 的传输方式。目前所采用光模块分为多模和单模两种，单模板标准工作波长为1310nm，传输距离为10km ，多模板标准工作波长850nm，传输距离为550m。

 以太网接口电气特性遵循IEEE 802.3x协议。.

 认证要求

 用户接入认证功能

1) 同时支持WEB用户名/密码、WPA-PSK、WPA2-PSK、接入认证方式（不同的认证方式要求遵循中国移动制定的相关接入流程技术规范）；

2) 支持不同认证方式的识别，识别方式参见相关接入流程技术规范；

3) 不同认证方式的同时支持和兼容不能带来性能的降低和安全性的隐患；

4) 支持802.1X的加速，避免所有802.1X的认证都需要客户端和后台AAA系统完成，有效卸载后台AAA系统压力过大，规避AAA系统和网络瘫痪的风险；

5) 支持基于时间管理用户接入；

6) 支持基于位置管理用户接入；

7) 支持和RADIUS认证服务器之间的互通，不同的认证方式要求遵循中国移动制定的相关接入流程技术规范；

 AC认证功能

当采用基于WEB方式的用户认证时，AC安全控制点和后台的RADIUS用户认证服务器相连，完成对WLAN用户的认证。

当采用基于802.1x的用户认证机制时，AC作为WLAN用户接入的安全控制点，和后台的认证服务器（RADIUS用户认证服务器）相连，完成对WLAN用户的认证。

同时，在业务控制中，AC可以提供强制PORTAL功能，向WLAN用户终端推送WEB用户认证请求页面和中国移动门户网站。当用户认证通过后，用户业务数据通过AC接入到CMNET或Wireless Info等网络。

支持WirelessInfo、即拍即传等多种业务的AC需根据用户的SSID支持不同的接入VLAN,为用户提供不同的带宽、时延等服务质量保证能力，同时将不同数据流送往不同的服务器。

20 / 28

WLAN基础知识(入门必备)

 Portal服务器

PORTAL服务器主要提供如下功能：

（1）强制PORTAL

用户通过WEB浏览器发起Internet访问请求后，AC可以将该请求强制到PORTAL服务器，PORTAL服务器接收强制PORTAL请求，并向用户发送指定的WEB页面。

（2）认证页面推送

PORTAL服务器接收到用户页面请求时，向用户推送中国移动统一定制的认证页面。

（3）用户认证

PORTAL服务器接收用户认证请求信息后，向AC发起用户认证过程；用户认证结束后，PORTAL服务器将认证结果通知给用户。

（4）中国移动门户网站页面的推送

WLAN用户认证成功后，由PORTAL服务器向用户推送门户网站页面，用户通过门户网站页面可以查看广告以及中国移动提供的其它服务。将来还支持中国移动用户个性化页面的推送。

（5）下线通知

用户上网结束后，可以使用PORTAL功能通知用户下线；当AC侦测到用户下线或者主动切断用户连接时，也能告知PORTAL服务器。

 Radius认证服务器

支持手机号/密码认证:

在手机号码/密码认证方式中，RADIUS认证服务器接受来自AC的用户认证服务请求，对WLAN用户进行认证，并将认证结果通知AC。

使用手机号码/密码认证方式时，需要建立WLAN用户认证信息数据库。认证信息数据库存储WLAN用户信息，包括认证信息，业务属性信息，计费信息等等。当RADIUS认证服务器对WLAN用户认证时，通过数据库存取协议存取数据库中的用户授权信息，检查该用户是否合法。

对于手机号码/密码认证方式的用户，RADIUS认证服务器还接收计费信息采集点发送的计费数据采集信息，经过预处理后产生话单（计费数据记录，即CDR），并将话单通过计费数据接口发送给BOSS计费子系统。

 认证方式

WLAN网络要求必须同时提供基于EAP-PEAP-MSCHAPv2认证、WEB（用户名/密码）认证以及MAC地址认证方式，基于用户名/密码的认证方式，应考虑采用以下几种方案：中国移动通信集团公司制定的基于WEB的认证方式、EAP-PEAP-MSCHAPv2认证方式、厂商自有WEB认证方式。

1） 中国移动标准WEB认证方式

基于Web页面的WLAN用户认证方式采用流行的Web浏览器作为认证客户端软件。WEB用户接入流程包括DHCP地址分配、强制Portal、认证、中国移动门户网站推送、计费等。

21 / 28

WLAN基础知识(入门必备)

下面给出了基于WEB方式的WLAN用户接入流程。

流程描述如下：

（1）用户通过标准的DHCP协议，通过AC获取到规划的IP地址。

（2）用户打开IE，访问某个网站，发起HTTP请求。

（3）AC截获用户的HTTP请求，由于用户没有认证过，就强制到Portal服务器。

（4）Portal服务器向WLAN用户终端推送WEB认证页面。

（5）用户在认证页面上填入用户名、密码等信息，提交到Portal服务器。

（6）Portal服务器接收到用户信息，必须按照CHAP流程，向AC请求Challenge。

（7）AC返回Challenge，包括Challenge ID和Challenge。

（8）Portal将密码和Challenge ID和Challenge做MD5算法后的Challenge-Password，和用户名一起提交到AC，发起认证。

（9）AC将Challenge ID、Challenge、Challenge-Password和用户名一起送到RADIUS

Server，由RADIUS Server进行认证。

（10）RADIUS Server根据用户信息判断用户是否合法，然后回应认证成功/失败报文到AC。（如果成功，携带协商参数，以及用户的相关业务属性给用户授权。）

（11）AC返回认证结果给Portal服务器。（以及相关业务属性。）

（12）Portal服务器根据认证结果，推送认证结果页面，如果成功，推送中国移动门户页面给用户。

（13）Portal服务器回应AC收到认证结果报文。如果认证失败，则流程到此结束。

（14）认证如果成功，AC发起计费开始请求给计费服务器。

（15）计费服务器回应计费开始请求报文。用户上线完毕，开始上网。

（16）在用户上网过程中，为了保护用户计费信息，每隔一段时间AC就向计费服务器报一个实时计费信息，包括当前用户上网总时长及用户总流量信息。

（17）计费服务器回应实时计费确认报文。

（18）当AC收到下线请求时，向计费服务器发计费结束报文。

（19）计费服务器回应AC的计费结束报文。

WEB用户下线流程分为两种情况：主动下线和异常下线。

用户主动下线流程

流程描述如下：

（1）当用户需要下线时，可以点击认证结果页面上的下线机制，向Portal服务器发起一个下线请求。

（2）Portal服务器向AC发起下线请求。

（3）AC返回下线结果给Portal服务器。

（4）Portal服务器根据下线结果，推送含有对应的信息的页面给用户。

（5）当AC收到下线请求时，向计费服务器发计费结束报文。

（6）计费服务器回应AC的计费结束报文。

用户异常下线流程

流程描述如下：

（1）AC侦测到用户下线，向Portal服务器发出下线请求。

（2）Portal服务器回应下线成功。

（3）当AC收到下线请求时，向计费服务器发计费结束报文。

（4）计费服务器回应AC的计费结束报文。

22 / 28

WLAN基础知识(入门必备)

 网管系统（OMC）功能

 数据采集功能

网管系统应能将不同种类网元设备的配置数据，转换成归一化标准数据格式，存储到数据库中，为性能、告警等应用提供数据支持，为二次开发或其他的后续标准制定提供存储访问接口。

网管系统对数据采集的要求如下：

1．提供用户灵活、自行配置数据采集的手段。

2．能够提供直观的方式来显示数据采集的完成情况；

3．能够灵活地配置数据采集的时间策略；对于CPU、内存、硬盘参数，应支持15分钟的采集粒度，对于其他参数，应支持1小时的采集粒度；

4．能够对采集到的数据进行归一化处理，统一数据存储格式，以便于上层应用的开发。

 性能分析功能

厂商提供的网管系统应能对WLAN中的各网元进行实时监控，对采集到的性能数据进行分析和综合，并以图形化的形式显示，同时生成各种相关日志文件和统计报表，评估各个设备运行的有效性。

I. 提供实时数据采集、分析和可视化工具，用以对流量、负载、丢包、内存、延迟等性能指标进行实时监测，可任意设置数据采集对象、采集时间、采集间隔。

II. 提供相关设备的运行状态：AC、AP等设备运行情况、热点路由器运行状态、热点AP设备运行状态。

III. 支持以年、月、小时、分钟、秒等为单位的流量、用户数量的数据采集。

IV. 支持每个热点的流量、用户数量的数据采集。

V. 支持单独AP的数据流量、用户数量的采集。

VI. 各类设备故障产生不同级别的告警，同时生成各种相关日志文件和统计报表。

 告警管理功能

网管系统应提供一套完整的故障监视/处理功能，网管系统可以监视并处理各级WLAN网元的各级告警。网管系统应以统一界面接收和监控所有WLAN设备的告警，并能实时监测设备的运行状态，并可在地图上作图形化显示，提供查找故障原因的技术手段。

其主要功能包括：

a) 实时监测WLAN的各种设备的运行状态、以及设备各类故障并产生不同级别的告警，同时生成各种相关日志文件和统计报表；

b) 告警监测：主动探测或被动接收网络上的各种事件信息，并识别出其中与网络和系统故障相关的内容，对其中的关键部分保持跟踪，生成网络故障事件记录；

c) 告警通知：能够在拓扑图上提供明显的告警通知方式，例如声音和颜色的闪烁；

d) 告警压缩：网管系统可以自动记录故障状态，并自动更新这些不同的故障状态，23 / 28

WLAN基础知识(入门必备)

保证系统可以对大量重复的事件信息，能够具有压缩和归并，以避免大量重复事件对运维人员造成不必要干扰；

e) 故障统计功能：可以依据时间、使用者、设备、故障等级统计分析故障次数、平均响应时间、平均修复时间和处理状态等以评估各项设备的可靠性。能够依据序号、日期或关键词查寻历史故障数据；

f) 可以根据需要自定义网元的告警级别，并对系统定义的告警级别进行调整，有灵活的告警过滤器设置，按照监控需要选择不同的告警显示；

告警级别

严重告警

主要告警

次要告警

警告告警

g) 可以手动选择对网元的告警同步，避免网管告警信息和网元实际告警的差异。

h) 对于产生的故障告警，可以快速链接到故障处理帮助文档，包括详细的故障说明，导致故障的可能原因，相关的检查流程和故障处理步骤。

i) 告警事件分析，接收网络对象所发出的告警事件，分析安全相关的信息(如SNMP认证失败信息)，实时地向管理员告警，并提供历史安全事件的检索与分析机制，及时地发现正在进行的攻击或可疑的攻击迹象。

j) 实时监测主机系统的重要服务(如WWW，DNS，Radius，Portal等)的状态，提供安全监测工具，以搜索系统可能存在的安全漏洞或安全隐患，并给出弥补的措施。

颜色

红色

橙色

黄色

蓝色

 配置功能

主要是完成WLAN网络资源的配置，可以远程修改系统的配置参数。配置管理可区分为设备配置、网管系统配置两个部份。

设备配置管理对网元/网络设备配置进行整体控制，包括识别网元，从网元收集和向网元发送与网元配置相关的数据；配置参数应该包括整个WLAN网络中涉及到的网元、接口、通信链路、拓扑结构、网络协议和软件等相关参数。主要功能如下：

1． 配置信息自动获取功能，网管系统应提供方便的配置信息自动获取功能；

2． 自动配置、自动备份和版本比较：系统可自动发现网络设备的配置信息，以协助系统管理员快速进行网管配置。当网络配置发生变化时，系统可重新请求设备上报配置数据，原有的网管数据不能遗失，提供新配置数据和原有网管数据的版本对比功能。网管系统应能够提供对网络配置信息定时自动或手动备份的功能。

3． 配置一致性检查：提供对整个网络的配置情况进行一致性检查的手段；

4． 用户操作记录功能：配置系统的安全性是整个网络管理系统安全的核心，因此，必须对用户进行的每一配置操作进行记录。在配置管理中，需要对用户操作进行记录，并保存下来。管理人员可以随时查看特定用户在特定时间内进行的特定配置操作；

5． 对重要的系统信息进行更改时，可以选择被更改配置网元的范围。网元配置更改后，若发生运行异常，可以很快的倒回原有数据配置，并且系统配置的更改有定时执行策略。

6． 网管系统能通过IP地址对被管设备进行定位和查询。

网管系统配置主要包括，系统管理员可新增、修改、停用及删除使用者帐号，使用者帐号的配置信息包括人员名称、代号、口令及联络方法(电子邮件、呼机、传真及手机)，当系24 / 28

WLAN基础知识(入门必备)

统有需要对使用者进行告警时，即使用此处的联络方法发送告警信息。能够设定网管系统的超时时长，以及其他与网管系统相关的配置信息。

 拓扑功能

拓扑管理功能要求能够提供网络拓扑浏览器和网络树图浏览器。

网络拓扑浏览器能够分层显示WLAN的网络拓扑结构，能够正确反映AC、AP、Radius、Portal服务器及其他相关设备之间的对应关系。

网络监视基于网络拓扑图进行，在性能、告警、配置等方面动态反映网络的变化。拓扑图与树状图可以相互引导。从图标和树形图分支上可以看到相应设备详细配置信息，并在相应部件上可获得较完整的配置信息,包括基本数据与汇总数据。

网络拓扑浏览器是网管系统的基础应用程序和主要工具，应具备浏览、监视和编辑的功能，同时也应具备网络拓扑动态发现的功能。

 应用软件版本管理

WLAN网管子系统应能对应用程序的版本信息进行集中记录，并提供编辑 (增加、修改和删除)、自动批量升级、查询和打印功能。

 网管系统（OMC）接口要求

1、 北向接口：

网管系统应提供标准的北向接口（标准SNMP V2、数据库、CORBA等），向其上层WLAN综合网管系统，提供告警、性能、配置数据等。

2、 南向接口

标准的南向接口，对AP、AC进行管理。 AC通过设备的网管接口直接接入WLAN网管，AP接入省级数据网管可采用两种接口方式。

方式1：直连方式。AP通过其本身提供的SNMP网管接口直接接入WLAN网管系统。

方式2：AC代管方式。AP通过设备SNMP接口接入所属的AC，AC作为Proxy Agent实现对AP的管理功能，主要包括配置、性能参数统计、告警转发，WLAN网管系统通过AC实现对AP的所有管理功能。在这种方式下，AC必须具备对AP MIB的装载和更新能力，并向WLAN网管提供AP的等效MIB格式。

其中，对于AC、AP同厂家组网且AC具有代管能力的的情况，采用AC代管的方式实现对AP的管理；对于AC不具备代管能力的情况，采用网管系统直连AP的方法实现对AP的管理。

25 / 28

WLAN基础知识(入门必备)

 计费要求

AC设备能配合RADIUS认证服务器、AS、MAC认证服务器等完成WLAN计费。

AC设备能够配合完成计费信息的采集。

计费原始数据信息包括：

（1）用户身份信息

（2）当采用用户/口令方式时，用户身份信息使用手机号；当采用SIM认证方式时，用户身份信息使用IMSI。

（3）连接会话标识

（4）连接时长

（5）连接起始时间

（6）连接结束时间

（7）数据流量

（8）上行数据流量

（9）下行数据流量

（10）计费信息采集前端设备IP地址

（11）计费信息采集前端设备标识

（12）计费信息采集前端设备标识用来识别用户的接入地，实现不同城市和省份之间的结算。

（13）其他必要的信息。

计费信息采集完成后，AC设备能够将计费信息上传给AS产生话单（基于SIM方式）或RADIUS服务器（基于Web方式）。

AC设备能够支持灵活的计费体制，可选择基于流量，基于连接时间，基于位置的计费方式。

 安全要求

 AP安全性要求

在安全控制方面，AP配合无线接入控制器通过网络标志来控制用户接入；最终不同的用户流量将被引导到不同的逻辑VLAN中。所有用户的认证流量将通过AP与无线接入控制器的接口隧道到达无线接入控制器，最终由无线接入控制器来具体处理，具备了三层部署的能力。

为了阻止非授权用户访问无线网络，以及防止对无线局域网数据流的非法侦听，标准中引入了认证和加密的手段。

（1）SSID屏蔽

考虑到某些特殊业务必须支持SSID屏蔽

（2）数据加密

支持IEEE802.11i标准规定的安全机制。支持目前的WPA、WPA2 WiFi安全接入标准。

（3）防止非法AP设备

由于WLAN管理帧没有任何加密保护，所以如果一个虚假访问点放置到无线局域网中，26 / 28

WLAN基础知识(入门必备)

它可以非法“劫持”合法用户的信息。

AP需配合AC系统支持在无线侧对非法AP的监测，（即非法AP为一个独立的AP与移动WLAN系统有线网络没有任何连接）。

必须支持对相同SSID相同BSSID的非法AP检测。

(4)AP监控模式

为了更快的发现RF环境中的异常状态同时不影响正常数据业务的转发，AP需同时支持监控模式以及正常工作模式。

（5）AP上行接口安全

AP需支持与AC之间的管理信息加密，请描述实现方式。

（6）RF环境安全

支持对无线同频干扰源的发现并配合网管发出告警。

（7）MESH空口加密

MESH节点支持无线骨干侧互联的数据和控制信令的加密。

（8）同一AP下用户的2层和3层隔离

提供的系统应支持同一AP下无线客户端之间的互通或者隔离，用户的隔离可控。

（9）基于3层或4层的安全控制

可基于3层IP地址以及4层端口号作策略控制，策略控制并可随意跟用户，用户组，SSID以及AP绑定

（10）漫游限制

特定用户漫游到某特定位置AP，不能进行访问

（11）用户切换安全性

在某个AP自身掉电或发生故障时， 用户应该可以自动切换到其他正常工作AP。

 AC安全性要求

AC必须提供多种安全手段来保护认证、授权和计费信息流的传输、用户数据的安全以及网络安全。应能够支持用SSL、SSH管理。

（1）基于SSH的安全性

为了保证Telnet管理服务的安全性，AC应内置SSH服务器。

（2）基于SSL的安全性

为了保证HTTP管理服务的安全性，AC应支持SSL。

（3）保护对AP的控制信息

为了保证AP到AC控制信息的安全，AP和AC的内部隧道接口需支持AES等级的控制数据加密。

（4）IP地址假冒防护

AC需支持IP地址假冒的预防、侦测和围堵。系统可以设置为只允许DHCP服务获得地址的用户作为合法用户接入，私设静态地址的用户无法接入网络。如果发现地址重复可以设置系统在空口处切断该用户与AP的无线关联。可以定义AC所辖AP不理会对此类用户关联请求的时长。

（5）WIDS（无线入侵监测）

AC需

（6）IPS联动（入侵防护系统联动）

AC需支持与相关的IPS系统联动措施，对网络三至七层的攻击进行防护，并在无线27 / 28

WLAN基础知识(入门必备)

侧阻止攻击用户关联。请说明可以支持的IPS的产品型号，以及实现流程。

（7）认证攻击防护

AC需对不断重试的认证行为进行防护，防止用户端口令攻击。需支持对WEB认证、802.1x认证用户的重认证防护。可以有效的从空口侧切断此类用户的关联，并在规定时间内不予响应。系统可以定义AC所辖AP不理会对此类用户关联请求的时长。

（8）支持管理帧保护

AC需支持管理帧的保护机制，并可以支持今后客户端的管理帧保护。请说明AC的管理帧保护机制并罗列出可以支持管理帧保护的客户端兼容列表。

（9）无线攻击保护

能检测出Flood 攻击检测，射频（RF）干扰防护，AP MAC 地址伪装检测，弱WEP IV

检测，哄骗攻击检测，恶意接入点检测等。

 网络安全管理功能

通过定义个人访问权限的方式，系统提供对于管理员/操作系统访问的安全措施，确保访问请求的发起者只能在自己的权限范围内执行管理操作。

整个接入系统安全防护系统应能结合使用用户认证、访问控制、数据传输、存储的保密与完整性机制，保障整个接入系统的安全。维护系统日志，使系统的使用和网络对象的修改有据可查。同时控制对网络资源的访问。

网络安全管理功能分为两部分，首先是网络本身的安全，其次是被管网络对象的安全。

网络本身的安全管理具有以下功能：

1. 管理员身份认证，采用基于公开密钥的证书认证机制；为提高系统效率，对于信任域内(如局域网)的用户，可以使用简单口令认证；

2. 管理信息存储和传输的加密与完整性，Web浏览器和网络管理服务器之间支持安全套接字层(SSL)传输协议，对管理信息加密传输并保证其完整性；内部存储的机密信息，如登录口令等，应经加密处理；

3. 网络管理系统的用户(即管理员)按任务的不同分成若干用户组，不同的用户组中有不同的权限范围，对用户的操作由访问控制检查，保证用户不能越权使用网络管理系统。并且对于WLAN用户，能够增加、删除、修改和查询用户信息；

4. 系统日志分析，记录用户所有的操作，使系统的操作和对网络对象的修改有据可查，同时也有助于故障的跟踪与恢复；

网络对象的安全管理有以下功能：

1. 网络资源的访问控制：从网络层(IP)和传输层(TCP)控制对网络资源的访问，保护网络内部的设备和应用服务，防止外来攻击；

2. 告警事件分析，接收网络对象所发出的告警事件，分析安全相关的信息(如SNMP认证失败信息)，实时地向管理员告警，并提供历史安全事件的检索与分析机制，及时地发现正在进行的攻击或可疑的攻击迹象；

3. 通过无线接入系统安全防护系统实现实时监测主机系统的重要服务(如WWW，DNS等)的状态，提供安全监测工具，以搜索系统可能存在的安全漏洞或安全隐患，并给出弥补的措施。

4.

28 / 28