展厅无线方案样本.doc

资料内容仅供您学习参考，如有不当或者侵权，请联系改正或者删除。 东莞合信百年无线网络方案 建议书 东莞市明日计算机科技有限公司 9月 目录 1.解决方案概述 3 2.架构理念及设计原则 4 2.1系统架构理念 4 2.2系统方案设计原则 6 3.无线网络系统解决方案 8 3.1无线网络总体架构 8 3.2无线网络功能设计 10 3.3 IP地址规划设计 11 3.4 无线网络安全性设计 11 3.5 WLAN系统无缝漫游设计 12 3.6 WLAN频率规划 13 3.7 AP部署方案设计 14 4.设备选型 14 4.1无线接入点IP-COM 17 4.2IP-COM无线接入点数据手册 22 1.解决方案概述 本方案根据企业办公楼及展厅实际无线网络覆盖需求, 基于整体化无线网络架构方案, 按照网络架构进行模块化分层部署设计。 在企业办公楼有多个隔断, 如何保证信号覆盖到员工生活区的每一个角落, 是本方案无线部署的重要需求。有些区域是员工办公区区, 需要保证适合于办公网络; 有些区域是客户集中的区域, 用户使用数集中, 需要保障高密度用户的接入使用。根据实际情况本方案提出以下设计思路: 1. 员工宿舍楼分三栋: 办公楼楼层: 一, 二, 三, 四, 五层楼 根据现场环境和无线传输的特点, 每层2个AP, 2.架构理念及设计原则 2.1系统架构理念 1) 智能化的射频管理特性－减少射频管理成本、 提高射频管理效率 针对无线网络中存在的射频管理难题, 本方案提供基于集中化或内置于无线控制设备的可视化智能 RF 管理工具。借助该管理工具所提供的强大功能, 本方案无线控制设备能够及时发现无线网络中由于接入点失效而产生的射频覆盖黑洞, 并经过经优化设计的 RF 算法协调失效 AP 周边的其它 AP 资源来完成对覆盖黑洞的有效弥补。同时无线控制设备还能够发现无线网络中存在的射频干扰问题, 继而利用经优化设计的 RF 算法协调整网射频信道资源, 从而为受干扰 AP 选择新的可用信道。该新的信道信息会自动下发到受干扰的 AP 并得到执行, 从而快速解决射频干扰问题。当在现有无线网络中为满足覆盖需求而增加新的 AP 时, 无线控制设备也能够经过优化的 RF 算法自动决策并指导新的AP 完成无线信道及射频功率的调整, 以此实现无线接入点的快速部署。本方案智能化的管理特性可显著提高网络管理者对无线网络的部署和管理效率。 2) 强健的网络安全特性－降低安全威胁、 避免法律风险 无线网络在某种程度上能够看作是一个开放式的公共网络, 因此, 为了向网络经营者提供强健安全的现代化无线网络, 本方案在关系到网络安全的各个层面均提供强健丰富的安全特性。在用户接入安全方面, 提供 802.1x 接入认证、 PSK 认证、 MAC 接入认证以及portal 认证等。经过 AAA 服务器与无线控制设备的有机结合, 本方案可为用户提供基于用户角色的策略控制, 这其中包括对用户的 QOS 特性、 应用访问权限及无线漫游特性等参数的管理和控制。在无线用户数据安全方面, 本方案提供 WEP、 WPA、 WPA2 及 WAPI 在内的强健的无线网络加密功能, 为无线用户提供不同级别的数据安全保障, 满足无线网络各种应用对数据安全的要求。在无线网络环境安全方面, 智能无线接入点可同时工作在无线接入点和无线监视器的模式。 3) 最具时效的网络管理手段－降低总体管理成本、 提高整网管理效率 针对网络中部署的无线接入点, 本方案提供集中化的零配置管控能力, 允许所有接入点自动发现并与控制设备关联, 并提供对接入点的配置信息和软件版本进行自动更新和升级。由此, 最大限度减少网络管理人员对无线接入点的维护工作量。为了解决无线接入点设备供电问题, 全系列无线接入点均提供基于 802.3af 标准的以太网供电( POE) 支持。对于每一个在网络中部署的设备, 均提供内置于设备的可视化中文 WEB 网管系统。基于该网管系统用户可获得基于统一风格和操作习惯设计的有线、 无线集成网管所带来的好处, 有效帮助网络管理员以最高的效率完成设备的配置和维护工作。针对整个网络所有设备的集中化管理需求, 本方案提供全面、 一体化网络级大型网管平台。是一个将有线和无线网络管理特性完美融合开发而成的开创性网管平台, 除向用户提供无线网络管理操作手段和全特性的无线管理套件之外, 还提供全面的网络性能、 事件、 日志和趋势分析能力。借助于丰富强大的管理和分析特性, 网络管理员只需操作一套软件即可顺利完成对整体网络的部署、 管理和优化, 还可快速定位并帮助解决网络中产生的故障。这极大简化了网络维护的复杂性, 并有效降低网络运营成本。 2.2系统方案设计原则 本方案的设计将在追求性能优越、 经济实用的前提下, 本着严谨、 慎重的态度, 从系统结构、 技术措施、 设备选择、 系统应用、 技术服务和实施过程等方面综合进行系统的总体设计, 力图使该系统真正成为符合酒店无线覆盖需求的网络系统。系统总体设计本着总体规划、 分布实施的原则, 充分体现系统的技术先进性、 高度的安全可靠性、 良好的开放性、 可扩展性, 以及经济性。 在网络的设计和实现中, 本方案严格遵守以下原则: Ø 标准性和开放性 本方案中, 网络设计及网络设备选型遵从国际标准及工业标准, 使网络具有开放性和兼容性。本方案无线局域网系统满足国际和国内的无线标准, WLAN最大程度的兼容符合Wi-Fi标准的各种无线终端设备。 网络采用开放式体系结构, 易于扩充, 使相对独立的分系统易于进行组合和调整。选用的通信协议符合国际标准或工业标准, 网络的硬件环境、 通信环境、 软件环境相互独立, 自成平台, 使相互间依赖减至最小, 同时保证网络的互联。 Ø 先进性和安全性 系统所有的组成要素均应充分地考虑其先进性。不能一味地追求实用而忽略先进, 只有将当今最先进的技术和我们的实际应用要求紧密结合, 才能获得最大的系统性能和效益。网络的安全是事关重要的, 在某些情况下, 宁可牺牲系统的部分功能也必须保证系统的安全。无线网络系统提供多种有效的安全控制机制, 以防止机密泄露和影响正常工作。无线网络系统应提供一套完整的安全防范措施, 能够有效地防止系统外部人员的非法侵入。在无线网络建成后的3-5年之内, 不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平, 避免技术环境过于超前造成投资浪费。 Ø 成熟性和高可靠性 本方案提供的无线网络系统具有较高的可靠性和可用性, 具有强大的容错功能, 以保证各种应用的正常运行。系统具备在线故障恢复能力, 关键设备、 模块、 线路能做到实时备份、 均衡负载和自动故障切换。 Ø 可维护性和可管理性 整个信息网络系统中的互连设备, 应是使用方便、 操作简单易学, 并便于维护。对复杂和庞大的网络, 要求有强有力的网络管理手段, 以便合理的管理网络资源, 监视网络状态及控制网络的运行, 因此, 网络所选的网络设备应支持多种协议, 管理员能方便进行网络管理、 维护甚至修复。 在设计和实现时, 必须充分考虑整个系统的便于维护性, 以使系统万一发生故障时能提供有效手段及时进行恢复, 尽量减少损失。 Ø 可扩充性和兼容性 网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、 系统容量与处理能力、 物理接连、 产品支持等方面具有扩充与升级换代的可能, 采用的产品要遵循通用的工业标准, 以便不同的设备能方便灵活地接连入网并满足系统规模扩充的要求。为了使所实现系统能够在应用发生变化的情况下保护原有的开发投资, 在设计系统时, 应将系统按功能做成模块化的, 可根据需要增加和删除功能模块。 3.无线网络系统解决方案 3.1无线网络总体架构 员工生活区无线覆盖方案的具体网络拓扑架构如下图所示: 本设计方案按AP+AC的结构化无线网络解决方案进行设计, 整体框架基于瘦AP方式部署, 采用AC( 无线控制器) 对AP进行集中管理、 控制、 配置下发, 以及对接入终端的认证、 数据分布式/集中式转发、 漫游等功能。操作和维护工作现在只需要在AC上进行就能够了。AP只负责无线信号的收发, 不作MAC层及其以上的协议层处理, 所有的智能工作都由AC完成。基于瘦AP+AC架构方案的优势在于: 1. 依据客户使用场景, 多种AP组合使用, 优化无线网络 2. 配置简单: AP零配置、 所有的配置集中在无线交换机上完成, 简单便捷; 3. 维护方便: 管理、 维护针对无线交换机来实现, 不需要对每一台AP进行操作; 4. 易于升级: 针对特性增加带来的软件版本升级需求, 只需要经过AC进行操作即可, 不需要对每一台无线AP单独升级, 软件的升级由AP自动完成。安全可控: 能够集中进行射频及功率、 信道调整, 黑白名单、 无线入侵检测、 安全访问控制等功能; 5. 扩展性强: 根据需要, 能够灵活增加补点AP, 需要扩容的话, 只需要将AP接入网络即可。支持三层漫游, 方便扩展支持无线监控、 话音应用等业务。 6. 网络性能好: 高速的数据转发, 支持快速切换, 数据私密性好, 天然的MAC层加密隧道; 7. 抗干扰性强: 可动态分配信道, 并在受干扰时切换到最优信道 本方案中, AP与AC使用二层架构部署, 即AP与AC处于同一IP子网, AC设备负责IP网段划分和数据路由转发。二层架构清晰明确、 系统具有更高的数据转发性能。由于中间无需进行三层处理, 故能够保证数据链路的高带宽、 低延迟、 无抖动。汇聚交换机与接入交换机之间采用全千兆trunk链路。汇聚交换机下连所有接入交换机, 对所有链路进行集中汇聚, 对所有数据进行交换转发。汇聚交换机设备采用高性能全千兆三层交换机, 以提供稳定、 可靠、 全线速的数据转发服务。接入层设备采用二层全线速百兆交换机, 其中上行链路采用千兆接口。接入交换机下挂AP, 为AP提供上行链路和POE供电功能。从AP到汇聚交换机全部为二层接入, 以达到更高的转发性能。无线信号穿越门、 窗、 墙等障碍物会有衰减, 因此, 无线信号和覆盖场所的物理格局关系密切。无线AP的覆盖原则是, 首先保证覆盖区域内, AP与无线终端之间无线信号的有效交互, 其次, 保证覆盖区域内每个终端的覆盖带宽要求。 考虑到无线网络中多媒体业务对带宽大规模占用的特点, 以及对数十台AP的大流量处理要求, 如果采用集中式转发的架构模式, AC很容易成为性能瓶颈。因此方案中采用分布式转发模式。控制、 管理报文经过无线控制器进行统一处理, 数据报文在无线AP上直接转化为以太网格式的报文, 不需要经过隧道封装交无线交换机处理, 从而解决无线控制器的数据转发性能瓶颈问题。 在该方案中, 应包括如下设备: n 无线控制器, 实现对AP及接入终端的集中式管理。 n 无线接入AP, 实现优化、 无缝的无线信号覆盖和数据分布式转发。 n POE交换机, 为AP提供上行链路及对AP 进行POE供电。 3.2无线网络功能设计 1) 零配置/即插即用功能: AP上不需要进行任何配置, 只要接入到网络就能够工作 2) 软件自动升级功能: AP的软件完全实现自动升级 3) 批量配置功能: 对连接到无线控制器的众多AP进行批量配置 4) 动态信道分配功能: 无线控制器能够为AP自动分配信道, 并在受到干扰时切换到最优信道 5) 自动发射功率调整功能: AP发生故障后, 邻居AP能够提高自身功率, 以弥补覆盖空洞 6) 网络负载分担功能: 既能够实现用户在不同AP下的负载分担, 也能够实现AP在不同无线控制器下的负载分担 7) 快速切换功能: 用户在同一无线控制器的不同AP之间漫游时, 能够大大提高切换速度, 切换时延只有50毫秒 8) 跨区组网功能: 对于分散在不同区域的AP依然能够经过城域网连接到无线控制器, 而且AP无需任何配置 3.3 IP地址规划设计 无线网络系统属于用户内网, 只进行内部通信使用; 该无线网络系统作为用户整体网络的一个分支, IP地址可参照用户现有网络进行规划。IP地址规划按照职能, 分两个部分: 1. 设备管理IP: 用于标识交换机、 AP设备的固定ip地址 2. 用户终端IP: 用户终端设备( PDA、 笔记本、 WiFi手机等) 的IP地址, 或由DHCP server 自动分配或由用户手工配置 3.4 无线网络安全性设计 WLAN利用了不可见的公用媒介进行空中信号传播, 安全问题是部署无线的巨大挑战。仔细分析无线网络面临的安全挑战, 主要是防止非法窃听、 数据篡改, 防止非法用户接入, 防止恶意攻击( ARP攻击、 DHCP攻击) , 防止AP过载( 广播风暴) , 防止不合理应用等。针对以上安全问题, 本方案无线系统能够提供多标识的用户的接入验证功能, 如无线链路接入认证, 以及针对用户接入的802.1X、 WEB认证、 MAC、 SSID等多种标识的认证方式。而且, 能够提供对无线链路进行加密功能, 如WEP、 WPA、 WPA-PSK、 WPA2等加密方式。实现对所有无线数据进行加密传输 无线网络的安全性设计体现在接入认证、 数据加密、 安全策略三个层面。接入认证实现对接入无线网络的终端和用户进行接入合法性检查; 数据加密对终端和AP之间的数据进行加密处理, 防止窃听; 安全策略采用用户隔离、 SSID隐藏、 MAC地址过滤等技术手段抵御恶意用户的攻击行为。 3.5 WLAN系统无缝漫游设计 在wifi网络中, 用户终端经过关联AP广播的SSID进行wifi接入。移动漫游过程中, 用户终端会对关联的AP进行切换, 在切换过程总, 不可避免的将发生”切断上一个连接、 关联下一个连接”的过程, 导致用户上网体验中断和业务丢包现象。由于无线局域网采用类似于移动通信网中的”蜂窝”覆盖方式, 来实现大面积覆盖, 当终端在移动一点到另外一点的移动过程中, 不可避免的需要从一个AP切换到另外一个AP, 在切换过程中, 移动终端需要进行”取消关联”及”重关联”的操作, 另外, 在有后台认证系统存在的情况下, 用户还需要进行重认证、 session key重分发及重新分配IP地址的过程, 这种方式无法满足一些对时延非常敏感的业务诸如VOD点播、 VoWLAN等的支持, 因为传统无线网络的漫游只停留在IEEE802.11协议层上, 并没有对用户会话进行完整性保持。 而在本方案中, 我们采用基于Hacip漫游切换控制技术, 该方案以无线控制器为核心, 对所有AP上接入的用户采用统一会话管理, 所有已认证终端均在中心无线控制器中保存相应会话, AP仅仅只负载传输用户数据, 因此无论终端移动到哪个AP下, 用户信息和授权都在无线控制器所管辖的移动域内快速的交互, 能够有效保持会话完整性及可靠移动性的前提下实现无缝漫游。最终使得终端漫游切换时间控制在30ms-50ms之内, 漫游切换丢包率控制在0.5%以下。 基于HACIP技术的漫游切换过程 用户在AP1的范围内, 经过AP1与网络进行连接, 当用户处于AP1与AP2交叉范围内时, 用户在与AP1连接的同时, 与AP2做好连接的准备, 当用户到达AP2的范围时, 经过AP2与网络进行连接,用户感觉不到AP的切换造成的网络中断现象。 HACIP快速漫游切换技术特点如下: n 无线漫游过程对无线终端而言透明化 n 无线终端漫游过程中,IP地址和TCP连接保持不变, 不影响用户的上层业余 n 漫游切换过程小于30ms n 漫游过程中, 无线终端不改变ip地址, 无需重新认证 3.6 WLAN频率规划 WLAN 802.11b/g/n工作在2.4GHz频段, 频率范围为2.400～2.4835GHz, 共83.5M带宽, 划分为13个子信道, 每个子信道带宽为22MHz。子信道分配如图3-1所示。 WLAN 802.11b/g工作频段子信道分配 在使用2.4GHz频点时, 为保证信道之间不相互干扰, 要求两个信道之间间隔不低于25MHz。在一个覆盖区内, 最多能够提供3个不重叠的频点同时工作, 一般采用1、 6、 11三个频点。WLAN频率规划需综合考虑建筑结构、 穿透损耗以及布线系统等具体情况进行。 同一楼层覆盖区域内使用3个AP示意图 3.7 AP部署方案设计 根据用户建筑结构并结合无线部署经验, 本方案设计目标覆盖区域整体合计使用IP－COM型无线AP 设备, 无线信号采用蜂窝式部署方式实现。如下所示为AP部署情况: 生活区网络走线图 宿舍楼 楼层 数量 小计 总计 1F 办公楼 2F 2 10 10 3F 2 4F 2 5F 2 4.设备选型 4.1无线接入点ip-com w45ap 产品概述: Ip-com w45ap是自主研发的新一代基于IEEE 802.11n技术标准的超百兆高速无线接入设备, 工作在2.4GHz频段, 采用MIMO、 OFDM、 SDM、 GI等技术, 相当于传统802.11a/b/g网络接入速率的6倍。Ip-com w45ap内置4 MIMO天线和500mW的射频芯片, 能提供更大的覆盖范围和更强的信号穿透力, 室内有效覆盖距离可达20-30m。设备基于吸顶式外观设计, 美观大方, 可直接安装在天花板上。 Ip-com w45ap具有丰富的射频控制、 移动访问、 网络安全、 多业务支持等功能, 可同时提供多种接入模式( b/g/n) 。根据不同的应用场景, 可灵活选择FIT或FAT工作模式, 进行独立组网或配合无线控制器提供基于零配置的高性能无线移动网络。结合无线网络整体化解决方案, Ip-com w45ap可广泛应用于医院、 校园、 酒店、 企业、 机场、 运营商等室内无线应用场合。 产品特点: l 性能卓越, 稳定性高 l 支持零配置集中管理 l 支持虚拟AP l 丰富的工作和接入方式 l 方便快捷的管理维护 l 强大的网络安全功能 l 强大的无线射频特性 4.2 IP-COM CW500无线控制器 1.1产品概述 IP－com CW500定位于工厂生活区, 产品应用于IP-COM无线整体解决方案的AP管理设备。设备支持最高32台AP管理, 可为酒店提供一站式解决方式; CW500提供AP智能诊断功能, 可智能识别局域网异常状态AP, 并以邮件或桌面告警方式知会的用户 产品特性 AP自动发现并统一管理 能够自动发现所有接入网络中的AP, 发现AP后, 自动为AP动态分配IP地址, 并将AP添加至管理列表中, 无需人工手动添加, 简单易用; 设备列表支持导出, 便于后期维护; AP状态监控 监控AP当前的运行状态, 并将AP工作状态以直观的方式在界面上显示出来, 方便查看; 能够批量配置、 升级、 重启、 复位等操作; AP离线告警 支持桌面告警和邮件告警两种方式, 当AP出现故障, 达到AP接入数的上限会及时通知网管, 排除潜在的网络故障; 信道自动调节 经过信道智能切换功能, 能够保证每个AP能够分配到最优的信道, 尽可能地减少和避免相邻信道干扰; 二层漫游 支持同一子网内的快速漫游, 同时能够基于AP和SSID做用户接入数量限制, 当AP接入数达到设定的上限时, 会主动漫游到邻近的其它AP上; 跨VLAN管理AP 最大支持48个QVLAN, AC作为旁路模式部署在网络中, 直接对接核心交换机的VLAN划分, 实现各VLAN的信息互通, 集中管理不同VLAN内的AP; 支持的AP型号列表 支持AC管理的的AP型号包括: W10AP、 W15AP、 W30AP、 W40AP、 W45AP、 W50AP、 W65AP、 W65APV2.0、 W75AP、 W75APV2.0、 W85AP、 W85APV2.0、 F130AP等、 1.3 艾泰上网行为管理路由器 产品概述: 全千兆防火墙架构宽带网关/宽带路由器是上海艾泰科技针对高带宽需求, 高安全、 高可靠性要求的中大型网吧、 社区等设计而推出的全千兆防火墙宽带网关/路由器。拥有独特的全千兆防火墙架构, 集防病毒、 防攻击性能于一身最大限度保证内网安全; 结合智能带宽管理、 上网监控管理等全面的上网行为管理, 轻松管控上网行为; 拥有多种形式的VPN功能, 支持PPTP/L2TP/IPSec等协议, 满足VPN网络需求, 支持VPN网络借线。超强的数据包转发能力, 特别适合网吧、 社区应用的小包转发能力, 保证在线游戏、 视频、 聊天对等应用的数据高速转发, 轻松架构全千兆高速网络。三WAN口提供多出口的选择, 支持多线路实时备份和负载均衡; 支持电信/联通智能策略路由, 实现了电信流量走电信、 联通流量走联通, 彻底解决互联互通问题。 产品特点: 1,全千兆性能 全新的全千兆架构, 3LAN口千兆+2WAN口千兆+底层硬件架构( 64位高性能网络专用处理器、 DDR内存) 保证核心千兆处理能力 2,防火墙功能 能够控制用户的上网权限和上网时段, 还能够保护内部网络免遭外来攻击。支持IP/MAC绑定, 黑名单, 白名单, 对不同等级用户进行分组, 实行用户认证。 3,灵活的VPN功能 支持IPSec、 L2TP以及PPTP三种VPN协议, 它们能够单独使用, 也能够结合使用; 4,三WAN口和智能NAT 提供三个WAN口, 支持ADSL、 光纤、 Cable Modem等方式的混合接入。在PPPoE拨号上网方式下, 提供”按需拨号”、 ”自动拨号”和”手动拨号”三种PPPoE连接方式; 还允许管理员控制拨号连接的开始时间和结束时间, 从而防止忘记断线而浪费上网时间。 5,策略库 经过引用防火墙策略库, 不但实现了单键设置ARP欺骗防御、 DoS/DDoS攻击防御、 冲击波病毒防御等功能, 还实现了单键管制QQ/MSN等即时聊天软件的使用、 单键管制BT/电驴等常见P2P软件的使用, 大大简化了配置。 6,带宽管理 提供基于CBT( Credit-Based Queuing) 算法的带宽管理功能, 可大大提高带宽利用率, 并能有效抑制BT、 讯雷、 QQ直播等P2P软件对带宽的滥用: 支持按时间段进行带宽管理, 实现了在网络繁忙的时候启用带宽管理, 从而保证局域网所有用户都能合理使用带宽; 而在用户少、 网络空闲的时候, 则不进行带宽控制, 从而方便网络管理员进行更新内部服务器等网络维护工作, 使得现有用户能够高速上网, 保证了线路带宽的充分利用。 7,用户管理 支持IP/MAC地址绑定, 过滤非法IP或MAC地址, 方便设置上网黑名单和白名单。值得注意的是, HiPER还支持IP/MAC地址全部绑定功能, 只需一键操作, 就能够一次性将所有动态IP/MAC地址对全部绑定; 再配合ARP广播和更新限制功能, 就能够有效防止HiPER和局域网主机遭受ARP欺骗攻击了。 8.网络监控 支持上网监控功能, 提供多种监控和诊断方式, 可动态监控网络运行情况和用户上网行为, 帮助网管人员快速定位和排除网络故障, 特别是能够实时发现网络异常及异常主机, 如感染病毒或发起攻击的主机。 9,配置和管理 提供友好的全中文WEB界面, 直观易用、 功能丰富, 快速向导可帮助用户在短时间内完成初始配置; 同时还提供传统的CLI界面, 功能更丰富; 而且, 两种方式下均支持经过Internet进行简便、 安全的远程管理。