地址:珞瑜路20号阜华大厦A座905
电话:027-87160876 51854521
传真:027-51854521
手机:13986205119 13871103641
随着智能终端的快速普及以及移动互联网业务的快速发展, WLAN不断向前推进,如今,WLAN在企业和家庭中无处不在,已成为用户访问互联网的主流接入方式。在企业无线业务的不断多样化的背景下,企业WLAN也井喷式的发展,为提高企业办公效率助一臂之力。
以因特网接入为总体目标,将公司办公楼各楼层实现WIFI全覆盖。保证员工可以在办公区域内自由移动办公,提升工作效率。
设计主要要考虑到先进性、可靠性、开放性、经济性、安全性和可管理性。设计要立足先进技术,采用最新科技的电网通技术,以改变布线难的问题。使整个网络在国内保持领先的水平,并具有长足的发展能力,以适应未来网络技术的发展。
在网络设计中遵循以下技术原则:
Ø
标准化
系统采用的信息分类编码、网络通信协议和数据接口等技术标准,将严格按照国家有关标准或行业标准规范。
Ø
实用性
满足公司业务为需要,充分利用现有资源,避免不计成本盲目追求最新技术。利用最适合公司使用的电网通设备,采用必要的、先进的网络安全手段与管理技术,以节省投资。
Ø
安全性和保密性
系统网络充分考虑网络的故障容错纠错功能,建立安全保障体系,采用先进的软硬件等技术手段,实现网络的传输安全、数据安全接口,确保网络的安全性、保密性。
Ø
开放性和可扩展性
技术上要立足长远发展,坚持选用开放性系统,在产品选型方面充分考虑可扩展性,以适应未来网络发展。
Ø
可维护性
网络接入部分具有较高的模块化程度,可满足不同业务流程的需要,易于维护和升级。
下面将胖AP及瘦AP架构作对比分析,用户可根据实际情况选择合适的方案:
方案建议采用瘦AP架构设计,共分为三部分:
无线AP、POE交换机、无线控制器
为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求,本设计方案按照敦崇科技的FIT_AP+WAC的结构化无线网络解决方案进行设计。整体框架基于瘦AP方式部署,采用WAC(无线控制器)对AP进行集中管理、控制、配置下发,以及对接入终端的认证、数据分布式/集中式转发、漫游等功能。操作和维护工作现在只需要在WAC上进行就可以了。在这个架构里,AP只负责无线信号的收发,不作MAC层及其以上的协议层处理,所有的智能工作都由WAC完成。
敦崇科技基于瘦AP+WAC架构方案的优势在于:
n 配置简单:AP零配置、所有的配置集中在无线控制器上完成,简单便捷;
n 维护方便:管理、维护针对无线控制器来实现,不需要对每一台AP进行操作;
n 易于升级:针对特性增加带来的软件版本升级需求,只需要对无线控制器进行操作即可,不需要对每一台无线AP单独升级,软件的升级由AP自动完成。安全可控:可以集中进行射频及功率、信道调整,黑白名单、无线入侵检测、安全访问控制等功能;
n 扩展性强:根据需要,可以灵活增加补点AP,需要扩容的话,只需要将AP接入网络即可。支持三层漫游,方便扩展支持无线监控、话音应用等业务。
n 网络性能好:高速的数据转发,支持快速切换,数据私密性好,天然MAC层加密隧道;
n 抗干扰性强:可动态分配信道,并在受干扰时切换到最优信道
根据对本公司的需求理解与实际情况调查,我们进行科学的设备选型如下:
|
序号 |
设备类型 |
设备型号 |
设备品牌 |
设备数量 |
备注 |
|
1 |
无线控制器 |
WAC1000 |
敦崇 |
1 |
|
|
2 |
吸顶式AP |
WA719AP |
敦崇 |
15 |
|
|
3 |
POE交换机 |
S2700-26TP-PWR-EI |
华为 |
1 |
|
因此在本次网络改造要遵循业务VLAN和管理VLAN分离原则。具体VLAN划分可参考如下:
|
序号 |
VLAN ID |
用途 |
备注 |
|
1 |
10 |
内部员工 |
|
|
2 |
20 |
客人使用 |
|
|
3 |
30 |
服务器区 |
|
|
4 |
100 |
设备管理VLAN |
|
如上“VLAN规划”如述,将规划对应的IP地址,另外还要考虑WAC的管理IP、以及核心交换机与出口路由器互连IP。
|
序号 |
IP地址段 |
用途 |
备注 |
|
1 |
192.168.10.0 |
内部员工 |
|
|
2 |
192.168.20.0 |
客人使用 |
|
|
3 |
192.168.30.0 |
服务器区 |
|
|
4 |
192.168.100.0 |
设备管理 |
|
建议全网采用静态路由的方式实现互通。详情如下:
认证方式建议
无线网络通信系统不仅仅需要服务于需要进行数据传输的移动终端设备,对于可以借助网络进行其它业务操作的数据用户,也应该同样提供数据传输的能力,并且保证两者互不干扰。敦崇科技所架设的无线网络系统支持多SSID,能够利用一套物理网络设备建立起几套虚拟的无线网络环境,并且每一套无线网络环境都具有其专门的认证方法。在一般数据用户进行网络访问的时候,敦崇科技可以提供包括开放系统在内的常见认证方案,包括:WEB页面认证,802.1X认证,基于SSID的认证等。用户在接入网络之前,透过无线网络子系统把相关身份信息发送到后台的认证数据库当中,只有通过身份验证的用户才能够得到进入网络进行访问的许可授权。
加密方式建议
敦崇科技架构中的集中式加密解密模式尤其适用于对于数据传输具有严格私密性要求的场所。在本方案的通信系统,正是这样的一个典型例子。控制中心和终端之间的来往控制信息以及数据都不希望受到非授权用户的任意监听进而窃取其中的敏感信息,端到端的通信受到先进加密算法的保护。敦崇科技架构中可以直接对二层的无线网络数据采用AES算法进行加密。
针对本公司不同用户类别及WIFI覆盖区域特点,建议认证方式如下:
|
序号 |
用户类别 |
认证方式 |
备注 |
|
1 |
内部人员 |
WPA2+WEB认证 |
|
|
2 |
外来客人 |
WPA2+ portal广告 |
|
无线控制器内置本地用户数据库,可结合内置Portal服务器,通过WEB认证的方式,轻松实现无线用户的本地认证。本地认证从用户的实际需求出发,省去了外置Protal服务器和Radius服务器等设备,不仅简化了整个网络的架构,而且还大幅降低了网络建设成本,满足了中小型无线网络建设中用户安全接入的需求。
各楼层AP数量型号统计如下表:
|
序号 |
楼层 |
设备型号 |
数量 |
备注 |
|
1 |
1F |
|
|
|
|
2 |
2F |
|
|
|
|
3 |
3F |
|
|
|
|
4 |
4F |
|
|
|
|
5 |
5F |
|
|
|
|
6 |
6F |
|
|
|
|
7 |
7F |
|
|
|
AP的信道根据蜂窝结构的原则,采用不同信道避免同频干扰,根据现场实际环境划分;WLAN 802.11b/g/n工作在2.4GHz频段,频率范围为2.400~2.4835GHz,共83.5M带宽,划分为13个子信道,每个子信道带宽为22MHz。子信道分配如下图所示。
WLAN 802.11b/g工作频段子信道分配
在使用2.4GHz频点时,为保证信道之间不相互干扰,要求两个信道之间间隔不低于25MHz。在一个覆盖区内,最多可以提供3个不重叠的频点同时工作,通常采用1、6、11三个频点。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。
同一楼层覆盖区域内使用3个AP示意图
三个楼层AP频率规划示意图
在wifi网络中,用户终端通过关联AP广播的SSID进行wifi接入。移动漫游过程中,用户终端会对关联的AP进行切换,在切换过程总,不可避免的将发生“切断上一个连接、关联下一个连接”的过程,导致用户上网体验中断和业务丢包现象。由于无线局域网采用类似于移动通信网中的“蜂窝”覆盖方式,来实现大面积覆盖,当终端在移动一点到另外一点的移动过程中,不可避免的需要从一个AP切换到另外一个AP,在切换过程中,移动终端需要进行“取消关联”及“重关联”的操作,此外,在有后台认证系统存在的情况下,用户还需要进行重认证、session key重分发及重新分配IP地址的过程,这种方式无法满足一些对时延非常敏感的业务的支持,因为传统无线网络的漫游只停留在IEEE802.11协议层上,并没有对用户会话进行完整性保持。
本方案以无线控制器为核心,对所有AP上接入的用户采用统一会话管理,所有已认证终端均在中心无线控制器中保存相应会话,AP仅仅只负载传输用户数据,因此无论终端移动到哪个AP下,用户信息和授权都在无线控制器所管辖的移动域内快速的交互,可以有效保持会话完整性及可靠移动性的前提下实现无缝漫游。最终使得终端漫游切换时间控制在30ms-50ms之内,漫游切换丢包率控制在0.5%以下。
当用户处于AP1与AP2交叉范围内时,用户在与AP1连接的同时,与AP2做好连接的准备;
当用户到达AP2的范围时,通过AP2与网络进行连接,用户感觉不到AP的切换造成的网络中断现象。
快速漫游切换技术特点如下:
n 无线漫游过程对无线终端而言透明化
n 无线终端漫游过程中,IP地址和TCP连接保持不变,不影响用户的上层业余
n 漫游切换过程小于30ms
n 漫游过程中,无线终端不改变ip地址,无需重新认证
传统的无线数据转发流程是:所有用户数据由无线接入设备发送到无线控制器,再由无线控制器进行集中转发。当无线网络AP及用户数量比较大时,无线控制器处理能力可能就形成瓶颈。敦崇科技全系列AP可将数据报文在无线接入设备上直接转化为有线格式的报文,使得数据报文不经过无线控制器,而是在本地进行转发,大大节约了有线带宽。
无线控制器内置本地用户数据库,可结合内置Portal服务器,通过WEB认证的方式,轻松实现无线用户的本地认证。本地认证从用户的实际需求出发,省去了外置Protal服务器和Radius服务器等设备,不仅简化了整个网络的架构,而且还大幅降低了网络建设成本,满足了中小型无线网络建设中用户安全接入的需求。
敦崇科技全系列无线AP支持使用中文SSID,可指定最长包含32个汉字的SSID,也可以使用中英文混合的SSID,为国内用户提供了更大的使用便利。不仅如此,无线AP还支持多SSID,同一AP可以发出多个SSID,构建针对不同用户类别的WLAN网络。如本次项目中,可以为公司内部人员和来宾各提供1个SSID,且确保2个WLAN的无线用户不能互访,到达用户隔离的效果。
敦崇科技的AP具有位置定位的功能,当AP注册到WAC以后,WAC上具有AP的位置信息;基于AP的物理位置信息,可以结合内容服务器进行信息推送,不同位置的AP可指定不同的内容信息推送策略,提供差异化服务。
可以通过portal广告推送特性,进行品牌形象传递及公司动态发布。如客户参观公司时,在接入WIFI网络前会自动弹出自定义的页面,为客户留下深刻印象。
敦崇科技全系列室内AP不仅支持本地供电,同时还支持PoE供电。PoE设备的原理是通过非屏蔽双绞线中四对线中的两对线来供电,传输数据的同时传输直流电,使用PoE设备大大降低了设备成本和管理成本。
PoE具有如下明显的优势:
Ø 简化安装、降低成本 — 不需为每个网络设备单独提供数据和电力线缆;
Ø 灵活性提高 — 网络装置可被安装在任何位置,而不需靠近一个已存在的电源接口;
Ø 可靠性增强 — 有SNMP能力的PoE装置,可实施远程检测和控制,能有效地处理或修理装置的耗电量和(或)失效故障。
本次项目强烈推荐使用POE交换机供电方式,为前端无线AP供电。
|
项 目 |
方案特点 |
特点描述 |
备注 |
|
智慧无线体验 |
终端智能 识别 |
配合无线控制器,能根据终端特点,智能识别终端类型,自适应弹出不同大小、页面格局的Portal认证页面。终端智能识别技术免去了用户多次拖动,调整屏幕的操作,相比原来节省了近10s的时间,为用户提供更加快捷的无线体验,并且全面支持苹果iOS、安卓和windows等主流智能终端操作系统。 |
|
|
边缘智能 感知 |
传统“瘦AP+无线控制器”的集中式网络体系架构,无线数据流经AP再到无线控制器进行集中转发,这就会存在当无线控制器发生故障宕机后,AP无法正常工作的问题,导致整个无线网络瘫痪。而敦崇科技最新的边缘智能感知技术,能够智能的进行链路感知,当发现无线控制器故障宕机后,AP快速切换为智能模式继续进行数据转发,实现了无线网络的高可用性,真正的做到了无线用户永不掉线。 |
|
|
|
智能负载 均衡 |
敦崇科技的WLAN产品提供了基于用户数量和流量的负载均衡功能,当AP的负载达到门限时,AC会自动分配新接入的用户到临近负载低的AP上,大大提高了整个网络的使用效率。 |
|
|
|
用户无感知漫游访问 |
通过与无线控制器产品的配合,无线用户在AP之间移动访问时,可以保证二层网络和三层网络的无缝漫游,用户在过程中不会感觉到数据访问的中断。 |
|
|
|
本地转发 |
继承了敦崇科技一贯领先的智能本地化转发技术,彻底突破了无线控制器的流量瓶颈的限制。通过无线控制器的配合,可灵活预配置无线AP的数据转发模式,根据SSID名称或用户VLAN以决定是否需要经过无线控制器转发,或直接进入有线网络进行数据交换。 |
|
|
|
安全防护 |
用户级安全准入 |
支持WEB、802.1X、MAC地址、本地认证等多种用户准入认证方式供客户选择 |
|
|
虚拟AP技术 |
通过虚拟无线接入点(Virtual AP)技术,最大可提供16个ESSID,支持16个802.1QVLAN,网管人员可以对使用相同SSID的子网或VLAN单独实施加密和隔离,并可针对每个SSID灵活的配置单独的认证方式、加密机制等。 |
|
|
|
无线安全 防护 |
配合无线控制器,AP具备WIDS(无线入侵检测)、射频干扰定位、流氓AP的反制、防ARP欺骗、DHCP安全保护等一系列无线安全防护功能,从根本上为用户构建真正安全可靠的无线网络 |
|
|
|
短信认证 |
通过短信认证方式的访客接入无线网络后会弹出认证页面,访客可以通过自己的手机号码进行注册,按照接收的短信中的账号密码进行上网操作。 |
|
|
|
WIFI应用 |
定制广告 运营 |
随着无线WIFI普及,很多商家、企业都愿意提供免费的无线WIFI上网服务,在方便用户快速的访问互联网同时,也能够与上网用户保持互动,传播自身的品牌效应,提高用户体验,增加人流和产品与服务销量。 |
|
|
流量控制 |
基于用户账号中的带宽属性进行带宽通道分配,为接入用户提供差异化的体验。 |
|
|
|
灵活的设备 管理模式 |
胖瘦模式 灵活切换 |
支持胖(FAT)瘦(FIT)模式的灵活切换,在FIT(瘦)模式下更能实现零配置安装使用,而完善的远程管理也大幅提高了无线网络的运维管理效率。 |
|
|
Web界面 管理 |
提供AC和AP的Web管理界面,不仅轻松搞定无线配置,更能够整体运营无线网络,通过AC的Web界面不仅能够管理AP还能管理AP下联的用户,可以对用户进行限速和限制用户连入网络等行为,方便运维人员对无线的规划和运维。 |
|
上一篇:无线校园网解决方案
下一篇:没有了