1 项目设计概述
1.1 行业背景
随着智能终端的快速普及以及移动互联网业务的快速发展, WLAN不断向前推进,如今,WLAN在企业和家庭中无处不在,已成为用户访问互联网的主流接入方式。在企业无线业务的不断多样化的背景下,企业WLAN也井喷式的发展,为提高企业办公效率助一臂之力。
1.1 建设目标
以因特网接入为总体目标,将公司办公楼各楼层实现WIFI全覆盖。保证员工可以在办公区域内自由移动办公,提升工作效率。
1.2 设计原则
设计主要要考虑到先进性、可靠性、开放性、经济性、安全性和可管理性。设计要立足先进技术,采用最新科技的电网通技术,以改变布线难的问题。使整个网络在国内保持领先的水平,并具有长足的发展能力,以适应未来网络技术的发展。
在网络设计中遵循以下技术原则:
Ø 标准化
系统采用的信息分类编码、网络通信协议和数据接口等技术标准,将严格按照国家有关标准或行业标准规范。
Ø 实用性
满足公司业务为需要,充分利用现有资源,避免不计成本盲目追求最新技术。利用最适合公司使用的电网通设备,采用必要的、先进的网络安全手段与管理技术,以节省投资。
Ø 安全性和保密性
系统网络充分考虑网络的故障容错纠错功能,建立安全保障体系,采用先进的软硬件等技术手段,实现网络的传输安全、数据安全接口,确保网络的安全性、保密性。
Ø 开放性和可扩展性
技术上要立足长远发展,坚持选用开放性系统,在产品选型方面充分考虑可扩展性,以适应未来网络发展。
Ø 可维护性
网络接入部分具有较高的模块化程度,可满足不同业务流程的需要,易于维护和升级。
2 方案规划与设计
2.1 网络拓扑设计
下面将胖AP及瘦AP架构作对比分析,用户可根据实际情况选择合适的方案:
方案建议采用瘦AP架构设计,共分为三部分:
无线AP、POE交换机、无线控制器
为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求,本设计方案按照敦崇科技的FIT_AP+WAC的结构化无线网络解决方案进行设计。整体框架基于瘦AP方式部署,采用WAC(无线控制器)对AP进行集中管理、控制、配置下发,以及对接入终端的认证、数据分布式/集中式转发、漫游等功能。操作和维护工作现在只需要在WAC上进行就可以了。在这个架构里,AP只负责无线信号的收发,不作MAC层及其以上的协议层处理,所有的智能工作都由WAC完成。
敦崇科技基于瘦AP+WAC架构方案的优势在于:
n 配置简单:AP零配置、所有的配置集中在无线控制器上完成,简单便捷;
n 维护方便:管理、维护针对无线控制器来实现,不需要对每一台AP进行操作;
n 易于升级:针对特性增加带来的软件版本升级需求,只需要对无线控制器进行操作即可,不需要对每一台无线AP单独升级,软件的升级由AP自动完成。安全可控:可以集中进行射频及功率、信道调整,黑白名单、无线入侵检测、安全访问控制等功能;
n 扩展性强:根据需要,可以灵活增加补点AP,需要扩容的话,只需要将AP接入网络即可。支持三层漫游,方便扩展支持无线监控、话音应用等业务。
n 网络性能好:高速的数据转发,支持快速切换,数据私密性好,天然MAC层加密隧道;
n 抗干扰性强:可动态分配信道,并在受干扰时切换到最优信道
2.2 网络设备选型
根据对本公司的需求理解与实际情况调查,我们进行科学的设备选型如下:
2.3 VLAN规划
因此在本次网络改造要遵循业务VLAN和管理VLAN分离原则。具体VLAN划分可参考如下:
2.4 IP地址规划
如上"VLAN规划"如述,将规划对应的IP地址,另外还要考虑WAC的管理IP、以及核心交换机与出口路由器互连IP。
2.5 路由规划
建议全网采用静态路由的方式实现互通。详情如下:
2.6 网络安全设计
认证方式建议
无线网络通信系统不仅仅需要服务于需要进行数据传输的移动终端设备,对于可以借助网络进行其它业务操作的数据用户,也应该同样提供数据传输的能力,并且保证两者互不干扰。敦崇科技所架设的无线网络系统支持多SSID,能够利用一套物理网络设备建立起几套虚拟的无线网络环境,并且每一套无线网络环境都具有其专门的认证方法。在一般数据用户进行网络访问的时候,敦崇科技可以提供包括开放系统在内的常见认证方案,包括:WEB页面认证,802.1X认证,基于SSID的认证等。用户在接入网络之前,透过无线网络子系统把相关身份信息发送到后台的认证数据库当中,只有通过身份验证的用户才能够得到进入网络进行访问的许可授权。
加密方式建议
敦崇科技架构中的集中式加密解密模式尤其适用于对于数据传输具有严格私密性要求的场所。在本方案的通信系统,正是这样的一个典型例子。控制中心和终端之间的来往控制信息以及数据都不希望受到非授权用户的任意监听进而窃取其中的敏感信息,端到端的通信受到先进加密算法的保护。敦崇科技架构中可以直接对二层的无线网络数据采用AES算法进行加密。
针对本公司不同用户类别及WIFI覆盖区域特点,建议认证方式如下:
2.7 Web认证设计
无线控制器内置本地用户数据库,可结合内置Portal服务器,通过WEB认证的方式,轻松实现无线用户的本地认证。本地认证从用户的实际需求出发,省去了外置Protal服务器和Radius服务器等设备,不仅简化了整个网络的架构,而且还大幅降低了网络建设成本,满足了中小型无线网络建设中用户安全接入的需求。
2.8 AP点位设计
各楼层AP数量型号统计如下表:
2.9 信道规划
AP的信道根据蜂窝结构的原则,采用不同信道避免同频干扰,根据现场实际环境划分;WLAN 802.11b/g/n工作在2.4GHz频段,频率范围为2.400~2.4835GHz,共83.5M带宽,划分为13个子信道,每个子信道带宽为22MHz。子信道分配如下图所示。
WLAN 802.11b/g工作频段子信道分配
在使用2.4GHz频点时,为保证信道之间不相互干扰,要求两个信道之间间隔不低于25MHz。在一个覆盖区内,最多可以提供3个不重叠的频点同时工作,通常采用1、6、11三个频点。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。
同一楼层覆盖区域内使用3个AP示意图
三个楼层AP频率规划示意图
2.10 漫游设计
在wifi网络中,用户终端通过关联AP广播的SSID进行wifi接入。移动漫游过程中,用户终端会对关联的AP进行切换,在切换过程总,不可避免的将发生"切断上一个连接、关联下一个连接"的过程,导致用户上网体验中断和业务丢包现象。由于无线局域网采用类似于移动通信网中的"蜂窝"覆盖方式,来实现大面积覆盖,当终端在移动一点到另外一点的移动过程中,不可避免的需要从一个AP切换到另外一个AP,在切换过程中,移动终端需要进行"取消关联"及"重关联"的操作,此外,在有后台认证系统存在的情况下,用户还需要进行重认证、session key重分发及重新分配IP地址的过程,这种方式无法满足一些对时延非常敏感的业务的支持,因为传统无线网络的漫游只停留在IEEE802.11协议层上,并没有对用户会话进行完整性保持。
本方案以无线控制器为核心,对所有AP上接入的用户采用统一会话管理,所有已认证终端均在中心无线控制器中保存相应会话,AP仅仅只负载传输用户数据,因此无论终端移动到哪个AP下,用户信息和授权都在无线控制器所管辖的移动域内快速的交互,可以有效保持会话完整性及可靠移动性的前提下实现无缝漫游。最终使得终端漫游切换时间控制在30ms-50ms之内,漫游切换丢包率控制在0.5%以下。
当用户在AP1的范围内,通过AP1与网络进行连接;
当用户处于AP1与AP2交叉范围内时,用户在与AP1连接的同时,与AP2做好连接的准备;
当用户到达AP2的范围时,通过AP2与网络进行连接,用户感觉不到AP的切换造成的网络中断现象。
快速漫游切换技术特点如下:
n 无线漫游过程对无线终端而言透明化
n 无线终端漫游过程中,IP地址和TCP连接保持不变,不影响用户的上层业余
n 漫游切换过程小于30ms
n 漫游过程中,无线终端不改变ip地址,无需重新认证
2.11 本地转发设计
传统的无线数据转发流程是:所有用户数据由无线接入设备发送到无线控制器,再由无线控制器进行集中转发。当无线网络AP及用户数量比较大时,无线控制器处理能力可能就形成瓶颈。敦崇科技全系列AP可将数据报文在无线接入设备上直接转化为有线格式的报文,使得数据报文不经过无线控制器,而是在本地进行转发,大大节约了有线带宽。
2.12 Web认证设计
无线控制器内置本地用户数据库,可结合内置Portal服务器,通过WEB认证的方式,轻松实现无线用户的本地认证。本地认证从用户的实际需求出发,省去了外置Protal服务器和Radius服务器等设备,不仅简化了整个网络的架构,而且还大幅降低了网络建设成本,满足了中小型无线网络建设中用户安全接入的需求。
2.13 SSID设计
敦崇科技全系列无线AP支持使用中文SSID,可指定最长包含32个汉字的SSID,也可以使用中英文混合的SSID,为国内用户提供了更大的使用便利。不仅如此,无线AP还支持多SSID,同一AP可以发出多个SSID,构建针对不同用户类别的WLAN网络。如本次项目中,可以为公司内部人员和来宾各提供1个SSID,且确保2个WLAN的无线用户不能互访,到达用户隔离的效果。
2.14 portal 广告推送
敦崇科技的AP具有位置定位的功能,当AP注册到WAC以后,WAC上具有AP的位置信息;基于AP的物理位置信息,可以结合内容服务器进行信息推送,不同位置的AP可指定不同的内容信息推送策略,提供差异化服务。
可以通过portal广告推送特性,进行品牌形象传递及公司动态发布。如客户参观公司时,在接入WIFI网络前会自动弹出自定义的页面,为客户留下深刻印象。
2.15 POE供电规划
敦崇科技全系列室内AP不仅支持本地供电,同时还支持PoE供电。PoE设备的原理是通过非屏蔽双绞线中四对线中的两对线来供电,传输数据的同时传输直流电,使用PoE设备大大降低了设备成本和管理成本。
PoE具有如下明显的优势:
Ø 简化安装、降低成本 — 不需为每个网络设备单独提供数据和电力线缆;
Ø 灵活性提高 — 网络装置可被安装在任何位置,而不需靠近一个已存在的电源接口;
Ø 可靠性增强 — 有SNMP能力的PoE装置,可实施远程检测和控制,能有效地处理或修理装置的耗电量和(或)失效故障。
本次项目强烈推荐使用POE交换机供电方式,为前端无线AP供电。
1 项目设计概述
1.1 行业背景
随着智能终端的快速普及以及移动互联网业务的快速发展, WLAN不断向前推进,如今,WLAN在企业和家庭中无处不在,已成为用户访问互联网的主流接入方式。在企业无线业务的不断多样化的背景下,企业WLAN也井喷式的发展,为提高企业办公效率助一臂之力。
1.1 建设目标
以因特网接入为总体目标,将公司办公楼各楼层实现WIFI全覆盖。保证员工可以在办公区域内自由移动办公,提升工作效率。
1.2 设计原则
设计主要要考虑到先进性、可靠性、开放性、经济性、安全性和可管理性。设计要立足先进技术,采用最新科技的电网通技术,以改变布线难的问题。使整个网络在国内保持领先的水平,并具有长足的发展能力,以适应未来网络技术的发展。
在网络设计中遵循以下技术原则:
Ø 标准化
系统采用的信息分类编码、网络通信协议和数据接口等技术标准,将严格按照国家有关标准或行业标准规范。
Ø 实用性
满足公司业务为需要,充分利用现有资源,避免不计成本盲目追求最新技术。利用最适合公司使用的电网通设备,采用必要的、先进的网络安全手段与管理技术,以节省投资。
Ø 安全性和保密性
系统网络充分考虑网络的故障容错纠错功能,建立安全保障体系,采用先进的软硬件等技术手段,实现网络的传输安全、数据安全接口,确保网络的安全性、保密性。
Ø 开放性和可扩展性
技术上要立足长远发展,坚持选用开放性系统,在产品选型方面充分考虑可扩展性,以适应未来网络发展。
Ø 可维护性
网络接入部分具有较高的模块化程度,可满足不同业务流程的需要,易于维护和升级。
2 方案规划与设计
2.1 网络拓扑设计
下面将胖AP及瘦AP架构作对比分析,用户可根据实际情况选择合适的方案:
方案建议采用瘦AP架构设计,共分为三部分:
无线AP、POE交换机、无线控制器
为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求,本设计方案按照敦崇科技的FIT_AP+WAC的结构化无线网络解决方案进行设计。整体框架基于瘦AP方式部署,采用WAC(无线控制器)对AP进行集中管理、控制、配置下发,以及对接入终端的认证、数据分布式/集中式转发、漫游等功能。操作和维护工作现在只需要在WAC上进行就可以了。在这个架构里,AP只负责无线信号的收发,不作MAC层及其以上的协议层处理,所有的智能工作都由WAC完成。
敦崇科技基于瘦AP+WAC架构方案的优势在于:
n 配置简单:AP零配置、所有的配置集中在无线控制器上完成,简单便捷;
n 维护方便:管理、维护针对无线控制器来实现,不需要对每一台AP进行操作;
n 易于升级:针对特性增加带来的软件版本升级需求,只需要对无线控制器进行操作即可,不需要对每一台无线AP单独升级,软件的升级由AP自动完成。安全可控:可以集中进行射频及功率、信道调整,黑白名单、无线入侵检测、安全访问控制等功能;
n 扩展性强:根据需要,可以灵活增加补点AP,需要扩容的话,只需要将AP接入网络即可。支持三层漫游,方便扩展支持无线监控、话音应用等业务。
n 网络性能好:高速的数据转发,支持快速切换,数据私密性好,天然MAC层加密隧道;
n 抗干扰性强:可动态分配信道,并在受干扰时切换到最优信道
2.2 网络设备选型
根据对本公司的需求理解与实际情况调查,我们进行科学的设备选型如下:
2.3 VLAN规划
因此在本次网络改造要遵循业务VLAN和管理VLAN分离原则。具体VLAN划分可参考如下:
2.4 IP地址规划
如上"VLAN规划"如述,将规划对应的IP地址,另外还要考虑WAC的管理IP、以及核心交换机与出口路由器互连IP。
2.5 路由规划
建议全网采用静态路由的方式实现互通。详情如下:
2.6 网络安全设计
认证方式建议
无线网络通信系统不仅仅需要服务于需要进行数据传输的移动终端设备,对于可以借助网络进行其它业务操作的数据用户,也应该同样提供数据传输的能力,并且保证两者互不干扰。敦崇科技所架设的无线网络系统支持多SSID,能够利用一套物理网络设备建立起几套虚拟的无线网络环境,并且每一套无线网络环境都具有其专门的认证方法。在一般数据用户进行网络访问的时候,敦崇科技可以提供包括开放系统在内的常见认证方案,包括:WEB页面认证,802.1X认证,基于SSID的认证等。用户在接入网络之前,透过无线网络子系统把相关身份信息发送到后台的认证数据库当中,只有通过身份验证的用户才能够得到进入网络进行访问的许可授权。
加密方式建议
敦崇科技架构中的集中式加密解密模式尤其适用于对于数据传输具有严格私密性要求的场所。在本方案的通信系统,正是这样的一个典型例子。控制中心和终端之间的来往控制信息以及数据都不希望受到非授权用户的任意监听进而窃取其中的敏感信息,端到端的通信受到先进加密算法的保护。敦崇科技架构中可以直接对二层的无线网络数据采用AES算法进行加密。
针对本公司不同用户类别及WIFI覆盖区域特点,建议认证方式如下:
2.7 Web认证设计
无线控制器内置本地用户数据库,可结合内置Portal服务器,通过WEB认证的方式,轻松实现无线用户的本地认证。本地认证从用户的实际需求出发,省去了外置Protal服务器和Radius服务器等设备,不仅简化了整个网络的架构,而且还大幅降低了网络建设成本,满足了中小型无线网络建设中用户安全接入的需求。
2.8 AP点位设计
各楼层AP数量型号统计如下表:
2.9 信道规划
AP的信道根据蜂窝结构的原则,采用不同信道避免同频干扰,根据现场实际环境划分;WLAN 802.11b/g/n工作在2.4GHz频段,频率范围为2.400~2.4835GHz,共83.5M带宽,划分为13个子信道,每个子信道带宽为22MHz。子信道分配如下图所示。
WLAN 802.11b/g工作频段子信道分配
在使用2.4GHz频点时,为保证信道之间不相互干扰,要求两个信道之间间隔不低于25MHz。在一个覆盖区内,最多可以提供3个不重叠的频点同时工作,通常采用1、6、11三个频点。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。
同一楼层覆盖区域内使用3个AP示意图
三个楼层AP频率规划示意图
2.10 漫游设计
在wifi网络中,用户终端通过关联AP广播的SSID进行wifi接入。移动漫游过程中,用户终端会对关联的AP进行切换,在切换过程总,不可避免的将发生"切断上一个连接、关联下一个连接"的过程,导致用户上网体验中断和业务丢包现象。由于无线局域网采用类似于移动通信网中的"蜂窝"覆盖方式,来实现大面积覆盖,当终端在移动一点到另外一点的移动过程中,不可避免的需要从一个AP切换到另外一个AP,在切换过程中,移动终端需要进行"取消关联"及"重关联"的操作,此外,在有后台认证系统存在的情况下,用户还需要进行重认证、session key重分发及重新分配IP地址的过程,这种方式无法满足一些对时延非常敏感的业务的支持,因为传统无线网络的漫游只停留在IEEE802.11协议层上,并没有对用户会话进行完整性保持。
本方案以无线控制器为核心,对所有AP上接入的用户采用统一会话管理,所有已认证终端均在中心无线控制器中保存相应会话,AP仅仅只负载传输用户数据,因此无论终端移动到哪个AP下,用户信息和授权都在无线控制器所管辖的移动域内快速的交互,可以有效保持会话完整性及可靠移动性的前提下实现无缝漫游。最终使得终端漫游切换时间控制在30ms-50ms之内,漫游切换丢包率控制在0.5%以下。
当用户在AP1的范围内,通过AP1与网络进行连接;
当用户处于AP1与AP2交叉范围内时,用户在与AP1连接的同时,与AP2做好连接的准备;
当用户到达AP2的范围时,通过AP2与网络进行连接,用户感觉不到AP的切换造成的网络中断现象。
快速漫游切换技术特点如下:
n 无线漫游过程对无线终端而言透明化
n 无线终端漫游过程中,IP地址和TCP连接保持不变,不影响用户的上层业余
n 漫游切换过程小于30ms
n 漫游过程中,无线终端不改变ip地址,无需重新认证
2.11 本地转发设计
传统的无线数据转发流程是:所有用户数据由无线接入设备发送到无线控制器,再由无线控制器进行集中转发。当无线网络AP及用户数量比较大时,无线控制器处理能力可能就形成瓶颈。敦崇科技全系列AP可将数据报文在无线接入设备上直接转化为有线格式的报文,使得数据报文不经过无线控制器,而是在本地进行转发,大大节约了有线带宽。
2.12 Web认证设计
无线控制器内置本地用户数据库,可结合内置Portal服务器,通过WEB认证的方式,轻松实现无线用户的本地认证。本地认证从用户的实际需求出发,省去了外置Protal服务器和Radius服务器等设备,不仅简化了整个网络的架构,而且还大幅降低了网络建设成本,满足了中小型无线网络建设中用户安全接入的需求。
2.13 SSID设计
敦崇科技全系列无线AP支持使用中文SSID,可指定最长包含32个汉字的SSID,也可以使用中英文混合的SSID,为国内用户提供了更大的使用便利。不仅如此,无线AP还支持多SSID,同一AP可以发出多个SSID,构建针对不同用户类别的WLAN网络。如本次项目中,可以为公司内部人员和来宾各提供1个SSID,且确保2个WLAN的无线用户不能互访,到达用户隔离的效果。
2.14 portal 广告推送
敦崇科技的AP具有位置定位的功能,当AP注册到WAC以后,WAC上具有AP的位置信息;基于AP的物理位置信息,可以结合内容服务器进行信息推送,不同位置的AP可指定不同的内容信息推送策略,提供差异化服务。
可以通过portal广告推送特性,进行品牌形象传递及公司动态发布。如客户参观公司时,在接入WIFI网络前会自动弹出自定义的页面,为客户留下深刻印象。
2.15 POE供电规划
敦崇科技全系列室内AP不仅支持本地供电,同时还支持PoE供电。PoE设备的原理是通过非屏蔽双绞线中四对线中的两对线来供电,传输数据的同时传输直流电,使用PoE设备大大降低了设备成本和管理成本。
PoE具有如下明显的优势:
Ø 简化安装、降低成本 — 不需为每个网络设备单独提供数据和电力线缆;
Ø 灵活性提高 — 网络装置可被安装在任何位置,而不需靠近一个已存在的电源接口;
Ø 可靠性增强 — 有SNMP能力的PoE装置,可实施远程检测和控制,能有效地处理或修理装置的耗电量和(或)失效故障。
本次项目强烈推荐使用POE交换机供电方式,为前端无线AP供电。
1 项目设计概述
1.1 行业背景
随着智能终端的快速普及以及移动互联网业务的快速发展, WLAN不断向前推进,如今,WLAN在企业和家庭中无处不在,已成为用户访问互联网的主流接入方式。在企业无线业务的不断多样化的背景下,企业WLAN也井喷式的发展,为提高企业办公效率助一臂之力。
1.1 建设目标
以因特网接入为总体目标,将公司办公楼各楼层实现WIFI全覆盖。保证员工可以在办公区域内自由移动办公,提升工作效率。
1.2 设计原则
设计主要要考虑到先进性、可靠性、开放性、经济性、安全性和可管理性。设计要立足先进技术,采用最新科技的电网通技术,以改变布线难的问题。使整个网络在国内保持领先的水平,并具有长足的发展能力,以适应未来网络技术的发展。
在网络设计中遵循以下技术原则:
Ø 标准化
系统采用的信息分类编码、网络通信协议和数据接口等技术标准,将严格按照国家有关标准或行业标准规范。
Ø 实用性
满足公司业务为需要,充分利用现有资源,避免不计成本盲目追求最新技术。利用最适合公司使用的电网通设备,采用必要的、先进的网络安全手段与管理技术,以节省投资。
Ø 安全性和保密性
系统网络充分考虑网络的故障容错纠错功能,建立安全保障体系,采用先进的软硬件等技术手段,实现网络的传输安全、数据安全接口,确保网络的安全性、保密性。
Ø 开放性和可扩展性
技术上要立足长远发展,坚持选用开放性系统,在产品选型方面充分考虑可扩展性,以适应未来网络发展。
Ø 可维护性
网络接入部分具有较高的模块化程度,可满足不同业务流程的需要,易于维护和升级。
2 方案规划与设计
2.1 网络拓扑设计
下面将胖AP及瘦AP架构作对比分析,用户可根据实际情况选择合适的方案:
方案建议采用瘦AP架构设计,共分为三部分:
无线AP、POE交换机、无线控制器
为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求,本设计方案按照敦崇科技的FIT_AP+WAC的结构化无线网络解决方案进行设计。整体框架基于瘦AP方式部署,采用WAC(无线控制器)对AP进行集中管理、控制、配置下发,以及对接入终端的认证、数据分布式/集中式转发、漫游等功能。操作和维护工作现在只需要在WAC上进行就可以了。在这个架构里,AP只负责无线信号的收发,不作MAC层及其以上的协议层处理,所有的智能工作都由WAC完成。
敦崇科技基于瘦AP+WAC架构方案的优势在于:
n 配置简单:AP零配置、所有的配置集中在无线控制器上完成,简单便捷;
n 维护方便:管理、维护针对无线控制器来实现,不需要对每一台AP进行操作;
n 易于升级:针对特性增加带来的软件版本升级需求,只需要对无线控制器进行操作即可,不需要对每一台无线AP单独升级,软件的升级由AP自动完成。安全可控:可以集中进行射频及功率、信道调整,黑白名单、无线入侵检测、安全访问控制等功能;
n 扩展性强:根据需要,可以灵活增加补点AP,需要扩容的话,只需要将AP接入网络即可。支持三层漫游,方便扩展支持无线监控、话音应用等业务。
n 网络性能好:高速的数据转发,支持快速切换,数据私密性好,天然MAC层加密隧道;
n 抗干扰性强:可动态分配信道,并在受干扰时切换到最优信道
2.2 网络设备选型
根据对本公司的需求理解与实际情况调查,我们进行科学的设备选型如下:
2.3 VLAN规划
因此在本次网络改造要遵循业务VLAN和管理VLAN分离原则。具体VLAN划分可参考如下:
2.4 IP地址规划
如上"VLAN规划"如述,将规划对应的IP地址,另外还要考虑WAC的管理IP、以及核心交换机与出口路由器互连IP。
2.5 路由规划
建议全网采用静态路由的方式实现互通。详情如下:
2.6 网络安全设计
认证方式建议
无线网络通信系统不仅仅需要服务于需要进行数据传输的移动终端设备,对于可以借助网络进行其它业务操作的数据用户,也应该同样提供数据传输的能力,并且保证两者互不干扰。敦崇科技所架设的无线网络系统支持多SSID,能够利用一套物理网络设备建立起几套虚拟的无线网络环境,并且每一套无线网络环境都具有其专门的认证方法。在一般数据用户进行网络访问的时候,敦崇科技可以提供包括开放系统在内的常见认证方案,包括:WEB页面认证,802.1X认证,基于SSID的认证等。用户在接入网络之前,透过无线网络子系统把相关身份信息发送到后台的认证数据库当中,只有通过身份验证的用户才能够得到进入网络进行访问的许可授权。
加密方式建议
敦崇科技架构中的集中式加密解密模式尤其适用于对于数据传输具有严格私密性要求的场所。在本方案的通信系统,正是这样的一个典型例子。控制中心和终端之间的来往控制信息以及数据都不希望受到非授权用户的任意监听进而窃取其中的敏感信息,端到端的通信受到先进加密算法的保护。敦崇科技架构中可以直接对二层的无线网络数据采用AES算法进行加密。
针对本公司不同用户类别及WIFI覆盖区域特点,建议认证方式如下:
2.7 Web认证设计
无线控制器内置本地用户数据库,可结合内置Portal服务器,通过WEB认证的方式,轻松实现无线用户的本地认证。本地认证从用户的实际需求出发,省去了外置Protal服务器和Radius服务器等设备,不仅简化了整个网络的架构,而且还大幅降低了网络建设成本,满足了中小型无线网络建设中用户安全接入的需求。
2.8 AP点位设计
各楼层AP数量型号统计如下表:
2.9 信道规划
AP的信道根据蜂窝结构的原则,采用不同信道避免同频干扰,根据现场实际环境划分;WLAN 802.11b/g/n工作在2.4GHz频段,频率范围为2.400~2.4835GHz,共83.5M带宽,划分为13个子信道,每个子信道带宽为22MHz。子信道分配如下图所示。
WLAN 802.11b/g工作频段子信道分配
在使用2.4GHz频点时,为保证信道之间不相互干扰,要求两个信道之间间隔不低于25MHz。在一个覆盖区内,最多可以提供3个不重叠的频点同时工作,通常采用1、6、11三个频点。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。
同一楼层覆盖区域内使用3个AP示意图
三个楼层AP频率规划示意图
2.10 漫游设计
在wifi网络中,用户终端通过关联AP广播的SSID进行wifi接入。移动漫游过程中,用户终端会对关联的AP进行切换,在切换过程总,不可避免的将发生"切断上一个连接、关联下一个连接"的过程,导致用户上网体验中断和业务丢包现象。由于无线局域网采用类似于移动通信网中的"蜂窝"覆盖方式,来实现大面积覆盖,当终端在移动一点到另外一点的移动过程中,不可避免的需要从一个AP切换到另外一个AP,在切换过程中,移动终端需要进行"取消关联"及"重关联"的操作,此外,在有后台认证系统存在的情况下,用户还需要进行重认证、session key重分发及重新分配IP地址的过程,这种方式无法满足一些对时延非常敏感的业务的支持,因为传统无线网络的漫游只停留在IEEE802.11协议层上,并没有对用户会话进行完整性保持。
本方案以无线控制器为核心,对所有AP上接入的用户采用统一会话管理,所有已认证终端均在中心无线控制器中保存相应会话,AP仅仅只负载传输用户数据,因此无论终端移动到哪个AP下,用户信息和授权都在无线控制器所管辖的移动域内快速的交互,可以有效保持会话完整性及可靠移动性的前提下实现无缝漫游。最终使得终端漫游切换时间控制在30ms-50ms之内,漫游切换丢包率控制在0.5%以下。
当用户在AP1的范围内,通过AP1与网络进行连接;
当用户处于AP1与AP2交叉范围内时,用户在与AP1连接的同时,与AP2做好连接的准备;
当用户到达AP2的范围时,通过AP2与网络进行连接,用户感觉不到AP的切换造成的网络中断现象。
快速漫游切换技术特点如下:
n 无线漫游过程对无线终端而言透明化
n 无线终端漫游过程中,IP地址和TCP连接保持不变,不影响用户的上层业余
n 漫游切换过程小于30ms
n 漫游过程中,无线终端不改变ip地址,无需重新认证
2.11 本地转发设计
传统的无线数据转发流程是:所有用户数据由无线接入设备发送到无线控制器,再由无线控制器进行集中转发。当无线网络AP及用户数量比较大时,无线控制器处理能力可能就形成瓶颈。敦崇科技全系列AP可将数据报文在无线接入设备上直接转化为有线格式的报文,使得数据报文不经过无线控制器,而是在本地进行转发,大大节约了有线带宽。
2.12 Web认证设计
无线控制器内置本地用户数据库,可结合内置Portal服务器,通过WEB认证的方式,轻松实现无线用户的本地认证。本地认证从用户的实际需求出发,省去了外置Protal服务器和Radius服务器等设备,不仅简化了整个网络的架构,而且还大幅降低了网络建设成本,满足了中小型无线网络建设中用户安全接入的需求。
2.13 SSID设计
敦崇科技全系列无线AP支持使用中文SSID,可指定最长包含32个汉字的SSID,也可以使用中英文混合的SSID,为国内用户提供了更大的使用便利。不仅如此,无线AP还支持多SSID,同一AP可以发出多个SSID,构建针对不同用户类别的WLAN网络。如本次项目中,可以为公司内部人员和来宾各提供1个SSID,且确保2个WLAN的无线用户不能互访,到达用户隔离的效果。
2.14 portal 广告推送
敦崇科技的AP具有位置定位的功能,当AP注册到WAC以后,WAC上具有AP的位置信息;基于AP的物理位置信息,可以结合内容服务器进行信息推送,不同位置的AP可指定不同的内容信息推送策略,提供差异化服务。
可以通过portal广告推送特性,进行品牌形象传递及公司动态发布。如客户参观公司时,在接入WIFI网络前会自动弹出自定义的页面,为客户留下深刻印象。
2.15 POE供电规划
敦崇科技全系列室内AP不仅支持本地供电,同时还支持PoE供电。PoE设备的原理是通过非屏蔽双绞线中四对线中的两对线来供电,传输数据的同时传输直流电,使用PoE设备大大降低了设备成本和管理成本。
PoE具有如下明显的优势:
Ø 简化安装、降低成本 — 不需为每个网络设备单独提供数据和电力线缆;
Ø 灵活性提高 — 网络装置可被安装在任何位置,而不需靠近一个已存在的电源接口;
Ø 可靠性增强 — 有SNMP能力的PoE装置,可实施远程检测和控制,能有效地处理或修理装置的耗电量和(或)失效故障。
本次项目强烈推荐使用POE交换机供电方式,为前端无线AP供电。
13910246332
Copyright 2015-2018 www.intsavi.com.cn All Rights Reserved
电话:010-62980070 010-62961051 手机:13910246332
版权所有北京赛维博信科技发展有限公司 备案号:京ICP备14043711号-1 京ICP备14043711号-3