辦公室無線網(wǎng)絡(luò)技術(shù)方案

1656832.doc Page 1 of 99 安利中國公司 辦公室 無線 網(wǎng)絡(luò) 技術(shù) 方案 思科系統(tǒng) (中國 )網(wǎng)絡(luò)技術(shù)有限公司 2007 年 6 月 1656832.doc Page 2 of 99 1 項目概述 . 4 2 現(xiàn)狀與需求分析 . 4 2.1 現(xiàn)狀分析 . 4 2.2 需求分析 . 5 3 網(wǎng)絡(luò)設(shè)計原則和設(shè)備廠商選擇 . 8 3.1 網(wǎng)絡(luò)設(shè)計實現(xiàn)原則 . 8 3.2 設(shè)備廠商選擇原則 . 10 3.3 選擇思科無線產(chǎn)品的技術(shù)優(yōu)勢 . 11 4 網(wǎng)絡(luò) 技術(shù)選型 .16 4.1 集中無線網(wǎng)絡(luò)架構(gòu) . 16 4.1.1 無線資源監(jiān)控 . 17 4.1.2 動態(tài)信道分配 . 18 4.1.3 干擾檢查和避免 . 20 4.1.4 動態(tài)發(fā)射功率控制 . 21 4.1.5 覆蓋盲區(qū)檢測和糾正 . 22 4.1.6 客戶端和網(wǎng)絡(luò)負載均衡 . 23 4.1.7 真正實時解決方案 . 23 4.2 輕型接入點協(xié)議 . 25 4.2.1 輕型接入點部署定位 . 25 4.2.2 標(biāo)準(zhǔn)化需求 . 27 4.2.3 運行 LWAPP . 28 5 無線網(wǎng)絡(luò)設(shè)計規(guī)劃 .30 5.1 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計概述 . 30 5.2 無線網(wǎng)絡(luò)設(shè)計架構(gòu) . 32 5.2.1 概述 . 32 5.2.2 詳細設(shè)計 . 34 5.2.3 以太網(wǎng)供電 . 38 5.2.4 頻點規(guī)劃建議 . 39 5.2.5 現(xiàn)有無線網(wǎng)絡(luò)的遷移 . 39 5.2.6 無線網(wǎng)絡(luò)性能設(shè)計 . 40 5.2.7 無線網(wǎng)絡(luò)的頻點覆蓋設(shè)計 . 45 5.2.8 天線的選擇 . 49 5.2.9 無線網(wǎng)絡(luò)系統(tǒng)的話音應(yīng)用設(shè)計（ VoWLAN） . 53 5.2.10 無線網(wǎng)絡(luò)系統(tǒng)的安全設(shè)計 . 60 1656832.doc Page 3 of 99 5.2.11 無線網(wǎng)絡(luò)系統(tǒng)的管理 . 66 6 思科無線網(wǎng)絡(luò)解決方案技術(shù)優(yōu)勢 .68 6.1 先進的無線局域網(wǎng)絡(luò)產(chǎn)品 . 68 6.2 更好的用戶體驗 . 68 6.3 更好的管理體驗 . 69 6.4 基于用戶的增強安全策略 . 70 6.5 自由 漫游移動域 . 70 6.6 采用虛擬服務(wù)組增強管理靈活性 . 70 6.7 強大的認證管理選項 . 71 6.8 集中接入點管理提供簡化管理方法 . 71 6.9 動態(tài)射頻（ RF）管理確保最佳覆蓋范圍 . 71 6.10 用戶端射頻優(yōu)化提供個性化性能 . 72 6.11 即插即用（ PLUG-N-PLAY） /即插即增（ PLUG-N-GROW） . 72 6.12 惡意接入點防護遏制了威脅侵害 . 72 6.13 超越標(biāo)準(zhǔn)的增強型無線威脅防護 . 73 6.14 采用用戶端負載均衡實現(xiàn)最佳性能 . 73 6.15 無縫的快速漫游支持不間斷語音和多媒體業(yè)務(wù) . 73 6.16 自愈式彈性 設(shè)計使服務(wù)中斷最小化 . 74 6.17 持續(xù)運營 . 74 6.18 通過在任何網(wǎng)絡(luò)中進行無縫的部署將您的局域網(wǎng)（ LAN）擴展到無線 . 74 6.19 基于標(biāo)準(zhǔn)開放方式的用戶和應(yīng)用兼容性方法 . 75 6.20 管理幀保護 (MFP:MANAGEMENT FRAME PROTECTION) . 75 6.21 無線 W LC與有線 IDS/IPS 聯(lián)動 . 76 6.22 遠程 AP 混合工作方式 H-REAP. 76 7 產(chǎn)品介紹 .77 7.1 無線局域網(wǎng)控制器 . 77 7.2 無線網(wǎng)管系統(tǒng) . 82 7.3 定位服務(wù)器 . 89 7.4 無線接入點 . 98 1656832.doc Page 4 of 99 1 項目概述 隨著辦公自動化、移動辦公、 RFID 技術(shù)、無線 IP 語音的不斷 深入應(yīng)用 ，以及訪客交流的日益增多，安利中國公司 擬 建立一個能夠快速、靈活、簡便可靠組網(wǎng) 、 高安全 性以及 承載豐富 移動應(yīng)用 的無線網(wǎng)絡(luò) 。 為配合 安利中國公司 無線網(wǎng)絡(luò)建設(shè)，在技術(shù)上需要采用現(xiàn)代無線網(wǎng)絡(luò)技術(shù)的先進成果，必須保持一定的技術(shù)前瞻性，使 安利中國公司 的無線網(wǎng)絡(luò)建設(shè)進入世界的先進行列；同時考慮 安利中國公司 的 實際應(yīng)用需求，結(jié)合企業(yè)未來發(fā)展要求，在統(tǒng)一網(wǎng)絡(luò)管理與安全策略的前提下，使 安利中國公司 網(wǎng)絡(luò)的技術(shù)建設(shè)水平與經(jīng)濟投資效益及業(yè)務(wù)發(fā)展需求結(jié)合起來，為 安利中國公司 服務(wù)，發(fā)揮應(yīng)有作用。 同時，結(jié)合 安利中國公司現(xiàn)有的無線網(wǎng)絡(luò)狀況，應(yīng)考慮到新部署的無線網(wǎng)絡(luò)對現(xiàn)有無線網(wǎng)絡(luò)的兼容或支持對現(xiàn)有無線網(wǎng)絡(luò)的平滑升級，以最大程度地保護前期投資 并實現(xiàn)統(tǒng)一管理、統(tǒng)一策略 。 思科公司根據(jù)自身豐富的無線網(wǎng)絡(luò)實施經(jīng)驗和功能強大的無線產(chǎn)品依據(jù) 安利中國公司 網(wǎng)絡(luò)現(xiàn)狀 ，同時參照國際、國內(nèi)和行業(yè)相關(guān)技術(shù)標(biāo) 準(zhǔn)及規(guī)范，以及信息化建設(shè)規(guī)范，還吸取了國內(nèi)外相關(guān)案例的成功經(jīng)驗 ， 完全可以無縫融合進當(dāng)前 安利中國公司 的信息化全面建設(shè)中。 2 現(xiàn)狀 與 需求 分析 2.1 現(xiàn)狀分析 本次項目主要考慮 安利中國公司各辦公 室的無線網(wǎng)絡(luò)部署。 無線覆蓋空間 類型大多為辦公室，少量為會議室 和空曠區(qū)域 。 辦公室 房間 多 分布在走廊兩側(cè)，走廊側(cè)為墻壁或 木 門。房間和走廊均設(shè)有吊頂，吊頂距離樓板大約 30 至 50 厘米，走廊吊頂上方為結(jié)構(gòu)化布線金屬線槽和 弱電路由 。 1656832.doc Page 5 of 99 各辦公 室 的現(xiàn)有布線結(jié)構(gòu)比較簡單，目前各房間的 游戲 信息點均匯集到相應(yīng)的配線間最終匯聚到相應(yīng)的 主機房。 目前安利公司部署的是自治的無線接入點（即“胖” AP）系統(tǒng)。安利中國現(xiàn)有的無線網(wǎng)絡(luò)中配置了一塊 Cisco Catalyst 6509 交換機內(nèi)置的 WLSM 無線域服務(wù)模塊（ WDS）和一臺 WLSE 無線 網(wǎng)管；無線接入點分布如下： 美銀中心：部署無線接入點 Cisco AP 1231G 共 33 臺 ，配置 2.4G 天線，類型為 ANT-4941； 永和倉庫：部署無線接入點 Cisco AP 1231G 共 10 多臺 ，配置 2.4G 天線，類型為 ANT-4941。 其他 辦公室安裝 有少量 自治 AP。 各 AP 通過 Cisco Catalyst 3560 以太網(wǎng)供電交換機提供 48V PoE 電源。 2.2 需求 分析 本次無線項目涵蓋廣州、北京、上海三地的多個辦公室。各辦公室樓層狀況和現(xiàn)有無線網(wǎng)絡(luò)狀況如下： 辦公室 每層面積 目前部署狀況 中信 4 層、每層 45 米 45 米 未部署 美銀 1 層 33 個獨立 AP 國貿(mào) 面積約為美銀一半左右 未部署 天譽 面積約與美銀相仿 未部署 LC/ACTI Office 面積約與美銀相仿 倉庫已部署 10 多個獨立 AP，辦公室未部署 開發(fā)區(qū)工廠 面積約為美銀 2 倍 未部署 北京 Office 面積約與美銀相仿 未部署 上海 Office 面積約與美銀相仿 未部署 各會議室 目前按普通空間計算，未單獨計算 未部署 要求實現(xiàn)無線 Wi-Fi客戶端 在上述區(qū)域的所有地方都能無線上網(wǎng)且用戶可以在有無線信號的地方無縫的漫游 ，以 提供安全的移動聯(lián)網(wǎng)環(huán)境，實現(xiàn)真正的安全移動， 減少布線的繁瑣和成本，提高員工協(xié)同工作效率， 從而 節(jié)省成本并 提高生產(chǎn)率 。 1656832.doc Page 6 of 99 辦公室內(nèi)有大量 用戶需要使用筆記本電腦接入無線網(wǎng)絡(luò)， 并且 該數(shù)量會不斷增加。對外交流活動較多，樓內(nèi)不定期有訪客到來也需要使用筆記本電腦接入無線網(wǎng)絡(luò)。 不遠的將來，還 需要接入 WLAN 無線手機 或 GSM/Wi-Fi雙模手機 ， 提供話音服務(wù) ；并且，能夠在倉庫、店鋪提供基于 Wi-Fi的 RFID Tag、手持 無線 Scanner/PoS 機等 聯(lián)網(wǎng) 應(yīng)用。 無線網(wǎng)絡(luò)目前主要應(yīng)用領(lǐng)域 依次為數(shù)據(jù)處理，語音通訊和實時 定位 應(yīng)用三種。 數(shù)據(jù)處理應(yīng)用 主要體現(xiàn)在兩個方面，一是辦公自動化方面，二是信息和數(shù)據(jù)的快速處理。 無線寬帶接入服務(wù)：用戶可以享受真正的 無線 自由的體驗，可以在辦公室和樓內(nèi)隨時隨地通過支持 WiFi的筆記本電腦 /PDA/臺式 PC 享受無線網(wǎng)絡(luò)服務(wù)，如網(wǎng)絡(luò)辦公， Email等。同時，為用戶省卻了布線的費用和煩惱。 移動辦公室：利用無線網(wǎng)絡(luò)的大面積覆蓋能力，可以將樓內(nèi)的辦公區(qū)和會議區(qū)無縫連接在一起，工作人員可以在樓內(nèi)隨時隨地接入網(wǎng)絡(luò)進行信 息查詢，辦公應(yīng)用，通信聯(lián)絡(luò)等。 語音通訊應(yīng)用部分 語音通訊主要應(yīng)用在以下方面： - 建立基于 IP 的無線語音網(wǎng) - 緊急呼叫 - 語音的集群通信 所需要的設(shè)備為： - VoIP 設(shè)備 - VoIP 手持終端 - PDA 和筆記本電腦 具體的應(yīng)用有以下幾類： 1656832.doc Page 7 of 99 常規(guī)移動語音呼叫 能夠完成現(xiàn)有普通語音移動系統(tǒng)完成的功能，滿足日常需要；如果采用 PDA 手機，還可以完成視頻和數(shù)據(jù)上網(wǎng)功能； 緊急呼叫 某些手機可以設(shè)置緊急呼叫建； 群呼 思科自身手機具有群呼功能直接通知整個組的用戶； 與園區(qū)內(nèi)部固網(wǎng)電話的融合呼叫 固定和移動中均可無線辦公，采用同一號碼； 節(jié)假日遠程值班 通過 VPN 網(wǎng)絡(luò)與出差在外、在家辦公的員工 實現(xiàn)免費通話； 總而言之，用戶希望組建無線、有線通信網(wǎng)絡(luò)，實現(xiàn)基于無線網(wǎng)絡(luò)的數(shù)據(jù)傳輸、語音通信、應(yīng)急系統(tǒng)、視頻監(jiān)控等一系列功能和增值應(yīng)用。在應(yīng)用傳統(tǒng)的辦公自動化的同時，通過融合技術(shù)提供個性化的服務(wù)，例如在終端上可以實現(xiàn)端到端電話交流，提高用戶的工作效率，使用戶真正體現(xiàn)到網(wǎng)絡(luò)融合技術(shù)帶來的好處。 1656832.doc Page 8 of 99 注：以上為初期需求， 如有調(diào)整將隨時更新。 3 網(wǎng)絡(luò)設(shè) 計原則和設(shè)備廠商選擇 3.1 網(wǎng)絡(luò)設(shè)計實現(xiàn)原則 基于標(biāo)準(zhǔn)化的設(shè)計和實現(xiàn) 在結(jié)構(gòu)上實現(xiàn)真正開放，基于國際開放式標(biāo)準(zhǔn)，開放的網(wǎng)絡(luò)使用戶可以自由地選擇不同廠家的產(chǎn)品，不會受到某些廠家專有標(biāo)準(zhǔn)的限制，最大程度地保護用戶的利益。網(wǎng)絡(luò)的設(shè)計基于國際標(biāo)準(zhǔn)，網(wǎng)絡(luò)設(shè)備采用標(biāo)準(zhǔn)的接口和規(guī)范和協(xié)議，使不同廠家的設(shè)備可以順利地連接。 技術(shù)先進性和實用性 系統(tǒng)建設(shè)要有一定的前瞻性，保證滿足無線應(yīng)用業(yè)務(wù)的同時，又要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進性。在方案設(shè)計中，把先進的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來 ，充分考慮到安利中國應(yīng)用的現(xiàn)狀和未來發(fā)展趨勢。在網(wǎng)絡(luò)建成后的 3-5 年之內(nèi)，不會由于業(yè)務(wù)量的增加導(dǎo)致對網(wǎng)絡(luò)結(jié)構(gòu)及主要設(shè)備的重大調(diào)整。同時要考慮實際的應(yīng)用水平，避免技術(shù)環(huán)境過于超前造成投資浪費。 高度的可靠性、穩(wěn)定性和冗余 網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運行的關(guān)鍵保證，在整個網(wǎng)絡(luò)中選定合理的網(wǎng)絡(luò)架構(gòu)，無線網(wǎng)絡(luò)采用 802.11a/b/g 通信協(xié)議，在較近的距離內(nèi)可以提供 54Mbps 的連接速率，可提供更多的信道，從而最大限度地支持 安利中國公司 業(yè)務(wù)系統(tǒng)的正常運行。 1656832.doc Page 9 of 99 為了防止局部故障引起整個網(wǎng)絡(luò)系統(tǒng)的癱瘓，要避免網(wǎng)絡(luò)出現(xiàn)單點失效。在網(wǎng)絡(luò)骨干上要提供備份鏈路，提供冗余路由。在網(wǎng)絡(luò)設(shè)備上要提供冗余配置，保證把局部故障對網(wǎng)絡(luò)的影響降低到最小。 高性能 為了及時、迅速地處理網(wǎng)絡(luò)上傳送的數(shù)據(jù)，網(wǎng)絡(luò)設(shè)備必須具備高速處理能力，提供高速數(shù)據(jù)鏈路，保證網(wǎng)絡(luò)高吞吐能力，滿足各種應(yīng)用（如：無線語音，實時定位系統(tǒng)）對網(wǎng)絡(luò)帶寬的需求。 易于安裝、操作和管理 良好的組織和管理對網(wǎng)絡(luò)的正常運轉(zhuǎn)和高效使用有很大幫助，網(wǎng)絡(luò)應(yīng)該能夠提供方便、靈活、有力的工具，使得無 論是安裝、操作還是使用對用戶來說都輕而易舉。 可擴充升級，具備支持目前及未來關(guān)鍵應(yīng)用的能力 隨著用戶應(yīng)用規(guī)模的不斷擴大，要求網(wǎng)絡(luò)可以方便地擴充容量，支持更多的用戶及應(yīng)用；隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)必須能夠平滑地過渡到新的技術(shù)和設(shè)備，保證用戶現(xiàn)有的投資。 高度的安全性 為了保護用戶在網(wǎng)絡(luò)上數(shù)據(jù)的安全可靠，必須提供多種方式和層次的訪問控制，通過使用包過濾、防火墻及 VPN 等技術(shù)保證數(shù)據(jù)的安全傳輸。 資源的高效利用 1656832.doc Page 10 of 99 合理利用網(wǎng)絡(luò)資源，將網(wǎng)絡(luò)的運行 成本降到最低，同時網(wǎng)絡(luò)的服務(wù)產(chǎn)出最大。 3.2 設(shè)備廠商選擇原則 由于 安利中國公司 的無線網(wǎng)絡(luò)系統(tǒng)是一個涉及到多種硬件設(shè)備的復(fù)雜工程，我們建議 根據(jù)以下標(biāo)準(zhǔn)的選擇廠商： 1) 設(shè)備性能價格比 設(shè)備的性能價格比是選型決策的重要考慮因素。 2) 售后服務(wù) 售后服務(wù)包括如下內(nèi)容： 設(shè)備的保修期； 是否在中國有備件庫，這樣一旦發(fā)生硬件故障時可以及時得到更換； 是否提供熱線服務(wù)，以便與原制造廠商及時取得聯(lián)系，獲得技術(shù)咨詢和支持； 故障報告的響應(yīng)時間。 3) 公司的經(jīng)濟、技術(shù)實力和市場 占有率，這一定程度上反映了其產(chǎn)品的信譽。 4) 設(shè)備的技術(shù)先進性，這是選型的重要考慮因素。 5) 設(shè)備對未來新技術(shù)的適應(yīng)能力，反映設(shè)備的可擴展性，這是保護用戶投資的一種策略。 6) 設(shè)備的技術(shù)性能指標(biāo)。 7) 設(shè)備使用的方便程度，這體現(xiàn)設(shè)備的可維護性。 8) 設(shè)備在大型網(wǎng)絡(luò)中的應(yīng)用情況，它反映設(shè)備的適應(yīng)性和可靠性。 9) 網(wǎng)絡(luò)管理系統(tǒng)的集成性、開放性和功能，它反映網(wǎng)絡(luò)管理系統(tǒng)是否能對網(wǎng)絡(luò)作全面深入的管理，以及它對異構(gòu)網(wǎng)絡(luò)的適應(yīng)能力。 10) 設(shè)備的標(biāo)準(zhǔn)化程度和可擴充性，反映對網(wǎng)絡(luò)規(guī)模擴展的適應(yīng)能力。 11) 是否對質(zhì)檢系統(tǒng)有長期穩(wěn)定的優(yōu)惠政策。 1656832.doc Page 11 of 99 12) 交貨期的時限和信用，這對工程能否如期完成有重大影響。 13) 系統(tǒng)軟件的升級條件是否優(yōu)惠。 14) 差錯的檢測與隔離能力，這是網(wǎng)絡(luò)可靠性的重要保證。 15) 手冊與培訓(xùn)，反映用戶能否較快地掌握設(shè)備的使用。 綜上所述，為了保證方案的實用性、先進性 、完整性、經(jīng)濟性與可靠性，同時滿足未來的網(wǎng)絡(luò)升級，我們建議選用 在以上各個方面均具備較大優(yōu)勢的思科公司的無線網(wǎng)絡(luò)設(shè)備和整體解決方案來構(gòu)建 安利中國公司 的無線網(wǎng)絡(luò)。 3.3 選擇思科無線產(chǎn)品的技術(shù)優(yōu) 勢 思科無線產(chǎn)品能夠提供安全的移動聯(lián)網(wǎng)環(huán)境，可在整個園區(qū)中實現(xiàn)真正的安全移動，它提供完全的安全性，以保護網(wǎng)絡(luò)，此外還提供完全的管理來控制無線環(huán)境。無線局域網(wǎng)技術(shù)能夠為被布線束縛在辦公桌前的員工解除限制，使企業(yè)受益匪淺。無線技術(shù)帶來很大的自由，使用戶能夠隨時隨地訪問信息，從而提高生產(chǎn)率。思科實現(xiàn)移動性的方法是消除限制，并提供解決方案，使用戶能通過無線方式訪問有線網(wǎng)絡(luò)中的相同應(yīng)用。真正的移動性使我們能夠訪問 IP 語音通信等多業(yè)務(wù)應(yīng)用。移動性和 PDA 及 WLAN 手持話機等手持設(shè)備的發(fā)展，使我們距無線世界更近 一步，也使企業(yè)更加接近思科 一體化網(wǎng)絡(luò) 的遠景規(guī)劃。 思科是業(yè)界唯一在為企業(yè)和服務(wù)提供商提供視頻、語音、數(shù)據(jù)、無線和安全技術(shù)方面擁有豐富經(jīng)驗的廠商。憑借這種經(jīng)驗，思科屢獲獎項的產(chǎn)品 無線 WLAN 系列產(chǎn)品成為業(yè)界一流的產(chǎn)品，因為它能用于構(gòu)建移動網(wǎng)絡(luò)，提供安全的適應(yīng)性多業(yè)務(wù)解決方案。采用思科的一體化無線解決方案，可以為用戶帶來如下技術(shù)優(yōu)勢： 先進性和實用性并重 1656832.doc Page 12 of 99 系統(tǒng)建設(shè)具有一定的前瞻性。在無線網(wǎng)絡(luò)建成后的 3-5 年之內(nèi)，不會由于業(yè)務(wù)量的增加導(dǎo)致對網(wǎng)絡(luò)結(jié)構(gòu)及主要設(shè)備的重大調(diào)整。同時要考慮實際的應(yīng)用水平 ，避免技術(shù)環(huán)境過于超前造成投資浪費。思科具備豐富的無線產(chǎn)品和解決方案可供用戶根據(jù)自身的實際情況選擇。 無線集中架構(gòu)是 IETF和 Wi-Fi國際聯(lián)盟推崇的未來無線以太網(wǎng)建網(wǎng)工業(yè)標(biāo)準(zhǔn)，即所謂的 瘦 AP架構(gòu)。本方案建議安利中國無線局域網(wǎng)采用思科無線集中架構(gòu)網(wǎng)絡(luò)解決方案， 一種 基于 LWAPP（ Light Weight Access Point Protocol，即輕量級無線接入?yún)f(xié)議） 的 協(xié)議架構(gòu)。 最大程度的兼容性 思科無線網(wǎng)絡(luò)采用開放式體系結(jié)構(gòu)，易于擴充，使相對獨立的分系統(tǒng)易于進行組合和調(diào)整。選用的通信協(xié)議符合國際 標(biāo)準(zhǔn)或工業(yè)標(biāo)準(zhǔn)，網(wǎng)絡(luò)的硬件環(huán)境、通信環(huán)境、軟件環(huán)境相互獨立，自成平臺，使相互間依賴減至最小，同時保證網(wǎng)絡(luò)的互聯(lián)，思科的無線局域網(wǎng)全部支持從交換機直接通過PoE 供電，不必為 AP 另行配置電源插座 ， 針對較遠傳輸距離 可通過單獨的外置供電注入器供電。 思科的無線局域網(wǎng)系統(tǒng)滿足國際和國內(nèi)的無線標(biāo)準(zhǔn)，思科 WLAN 最大程度的兼容符合 Wi-Fi標(biāo)準(zhǔn)的各種無線終端設(shè)備，如 Intel訊馳系統(tǒng)、國內(nèi)和臺灣、香港生產(chǎn)的通過 Wi-Fi認證的無線局域網(wǎng)絡(luò)終端設(shè)備，事實上，幾乎今天在市面上知名的品牌均可以兼容。 全網(wǎng)以 IEEE 802.11 國際技術(shù)標(biāo)準(zhǔn)為指導(dǎo)，最大支持 54Mbps 的接入速率。 安全的無線輻射 根據(jù)中國國家無線電管理委員會的規(guī)定，在室內(nèi)部署無線網(wǎng)絡(luò)信號輻射不得超過 100mw，以避免 2.4GHz 和 5GHz 對人體的影響。同樣的原因，在通常情況下，終端使用 60mw 左右的發(fā)射功率，以避免大功率長期輻射對人體的影響。無線接入點即 AP 執(zhí)行 IEEE802.11g 標(biāo)準(zhǔn)工作在 54Mbps到 1Mbps 之間，隨著終端和 AP 之間的信號的強弱， AP 和終端會自動協(xié)商根據(jù)信號的衰減程度，自動降低傳輸速率和增大傳輸功率。思科無線系統(tǒng)在辦公室內(nèi)部署的型號統(tǒng) 一都根據(jù)國家規(guī)定最大為 100mw，功率智能調(diào)節(jié)。 1656832.doc Page 13 of 99 實時的射頻自動監(jiān)測 無線信號容易受到其他信號的干擾，無線局域網(wǎng)使用的 2.4GHz 和 5GHz 頻段是開放頻段，無需注冊即可獲得使用，因此下列設(shè)備可能造成干擾： 微波爐 其他大樓的無線系統(tǒng) 工作在 2.4GHz 的無繩電話等 因此思科的 AP 可以實時進行射頻的監(jiān)測， AP 后臺的控制器能夠?qū)崟r對 AP 進行控制，控制功率的大小，比如當(dāng) 1 個 AP 失效以后，這個 AP 周圍其他的 AP 通過自動計算對功率進行增加來覆蓋失效 AP 產(chǎn)生的信號黑洞；出現(xiàn)信號干擾的時候，控制器能夠?qū)π盘柛蓴_來源進行 定位，確定何處的信號干擾，信號干擾的程度如何，并以地圖方式顯示在網(wǎng)管上。 傳統(tǒng)有線網(wǎng)絡(luò)在物理安全方面存在一定的優(yōu)勢。有線接口位于建筑物內(nèi)部，這意味著企業(yè)可以利用加密卡和通行證來將未經(jīng)授權(quán)的用戶拒之門外。但是在無線網(wǎng)絡(luò)中，這種物理保護并不存在。無線信號會擴散到物理圍墻之外，從而可能將企業(yè)的 WLAN 拓展到某個停車場或者相鄰建筑物。為了最大限度地解決這個問題，思科采用了先進的 RF 設(shè)計、發(fā)射功率控制和先進的定位技術(shù)。 自動負載均衡 有線網(wǎng)絡(luò)在本質(zhì)上具有確定性 第二層（以太網(wǎng)）和第三層（ IP）交換機和路由器都是便 于理解、可以預(yù)測的。但是，用戶在無線網(wǎng)絡(luò)中的體驗則依賴于無線信號的傳播和建筑物的其他特性。這些特性可能會迅速發(fā)生變化，從而影響連接速度和錯誤率。一個位于建筑物內(nèi)的辦公的 RF 環(huán)境在早上 10 點和 3 點時是完全不同的。在早上 10 點，有很多的用戶在移動使用網(wǎng)絡(luò)。而在早上 3點，人員都休息了，沒有人在使用無線網(wǎng)絡(luò)，而且附近的辦公室也不會產(chǎn)生 RF 干擾。 更多的情況下，在同一時間，很多人匯聚到會議室，特別是當(dāng)人數(shù)比較多，超出了 1 個 AP 的承受范圍，那么無線網(wǎng)絡(luò)會慢的無法工作；為了保障帶寬，如果在 AP 設(shè)置了限制，那么后來的人員 無法得到無線連接服務(wù)，因為在后臺控制器的模式，可以對 AP 自動的負載均衡，將終端分別發(fā)送到不同的 AP，自動計算和對終端的流量進行均衡，比如，當(dāng)這個 AP 的利用率到了 80%，那么控制器自動將用戶引導(dǎo)到另外的空閑的相鄰 AP 上面，而在我們的設(shè)計中，所有的 AP 部署已經(jīng)考慮 1656832.doc Page 14 of 99 了人員的位置和可能的集中的情況，完全可以智能的處理動態(tài)的負載變化。 自動頻道管理和跨 IP 域漫游 無線局域網(wǎng) 802.11b/g 標(biāo)準(zhǔn)使用 3 個不重復(fù)的頻道， 1、 6、 11，為了實現(xiàn)自動漫游，需要對頻道的管理。思科無線系統(tǒng)由于采用了后臺集中控制的方式，能夠當(dāng) AP 布防后，通過實時射頻監(jiān)測，然后自動對頻道進行分配，并地圖方式顯示在網(wǎng)管上。 無線局域網(wǎng)的 AP 如果處于不同的子網(wǎng)，在漫游的過程中，需要處理三層的漫游，在后臺保持用戶的 DHCP 得來的 IP 租用，認證的會話密鑰等，控制器可以自動完成三層無線漫游。 最大的安全性 無線網(wǎng)絡(luò)支持最多的安全特性，采用集中認證，對每個數(shù)據(jù)包進行加密。通過對射頻的實時監(jiān)測，發(fā)現(xiàn)并定位惡意的 AP，惡意 AP 是未經(jīng)授權(quán)的人員通過自己設(shè)置一個 AP，吸引無線終端連接到惡意 AP 從而非法獲得數(shù)據(jù)的黑客方法。對惡意 AP 的掃描配合采用安全無線認證協(xié) 議，能夠解決AP 和無線之間的相互信任問題。目前無線局域網(wǎng)領(lǐng)域標(biāo)準(zhǔn)主要有思科和微軟等公司，能夠支持最多的安全保障和擴展的端口安全管理。 地理化圖形管理界面 網(wǎng)絡(luò)管理界面全部圖形化，能夠輸入建筑的平面圖，并且能夠進行微調(diào)，能夠輸入障礙物等信息，在網(wǎng)管上面可以操作全部的無線功能。在 AP 上無需任何配置。 無縫集成終端定位應(yīng)用 配合射頻實時監(jiān)測功能，射頻指紋掃描能夠?qū)K端所在的位置進行定位，當(dāng)一個移動終端變換位置時，能夠?qū)崿F(xiàn) 3-5 米的定位，可以將人員位置顯示在網(wǎng)絡(luò)管理界面的辦公樓地理圖上。方便對無線終端的監(jiān)控和管 理。在網(wǎng)絡(luò)管理系統(tǒng)上有針對 ERP 系統(tǒng)和安全管理系統(tǒng)的 API，可以結(jié)合 ERP和安全管理系統(tǒng)將定位信息集成到工作流程的管理中。 1656832.doc Page 15 of 99 4 網(wǎng)絡(luò)技術(shù)選型 4.1 集中無線網(wǎng)絡(luò) 架構(gòu) 為了全面地滿足企業(yè)的 RF 管理需求，思科設(shè)計了一個集中、簡便的 集中 WLAN 架構(gòu)。它的核心組件是 分離 MAC體系 ，即將對 802.11 數(shù)據(jù)和管理協(xié)議的處理，以及接入點功能分別部署于一個輕型接入點和一個集中 WLAN 控制器（ 下圖 所示）。更加特別的是，對時間敏感的活動 例如信標(biāo)處理、與客戶端的握手、介質(zhì)訪問控制（ MAC）層封裝 和 RF 監(jiān)控 都是由接入點處理的 。所有其他活動都由 WLAN 控制器處理，它需要具備整個系統(tǒng)的可見度。這包括 802.11 管理協(xié)議、幀轉(zhuǎn)換和橋接功能，以及對于用戶移動、安全、 QoS 和 可能更加重要的是 實時 RF 管理的系統(tǒng)級策略。 典型的分離 MAC 體系 思科無線局域網(wǎng)控制器具備的實時 RF 管理對于思科輕型無線解決方案具有重要的意義。它是思科產(chǎn)品的一項獨有特色。思科無線局域網(wǎng)控制器可以利用動態(tài)算法，創(chuàng)建一個完全自行配置、優(yōu) 1656832.doc Page 16 of 99 化和治愈的環(huán)境，讓思科 WLAN 適用于提供安全、可靠的業(yè)務(wù)應(yīng)用。這是通過執(zhí)行下列 RRM功能實現(xiàn)的： 無線資源監(jiān)控 動態(tài)信道分配 干擾檢測和避免 動態(tài)發(fā)射功率控制 覆蓋盲區(qū)檢測和糾正 客戶端和網(wǎng)絡(luò)負載均衡 4.1.1 無線資源監(jiān)控 RF 網(wǎng)絡(luò)的管理需要充分了解影響無線空間的因素。思科輕型接入點采用了獨特的設(shè)計，不僅能夠提供服務(wù)，還可以同時監(jiān)控所有信道。這源自于思科在它的分離 MAC 架構(gòu)中對 802.11 MAC層所開展的、廣泛的開發(fā)工作。 除了提供 數(shù)據(jù) 服務(wù)以外，思科輕型接入點還可以同時掃描所在國家允許的所有有效的802.11a/b/g 信道，以及在其他地區(qū)有效的信道。這可以提供最高限度的保護 系統(tǒng)將發(fā)現(xiàn)可能從其他國家進口的惡意接入點，或 者某個知道怎樣更改所在國家規(guī)定操作方式的黑客。這些黑客能夠讓惡意設(shè)備位于帶外，從而躲過大部分 WLAN 入侵檢測系統(tǒng)（ IDS）的掃描。 思科輕型接入點可以在不超過 60ms 的時間里進行 信道外 掃描，以監(jiān)聽這些信道。在此期間搜集到的分組將被發(fā)送到思科無線局域網(wǎng)控制器。后者將對這些分組進行分析，以發(fā)現(xiàn)惡意接入點（無論服務(wù)集標(biāo)識符 SSID是否被廣播）、惡意客戶端、臨時客戶端和干擾接入點。 在缺省情況下，每個接入點只用 0.2%的時間進行信道外掃描。這項任務(wù)會在所有接入點之間進行統(tǒng)計分配，以確保相鄰接入點不會同時進行 掃描，對 WLAN 的性能造成不利的影響。這使得管理員可以通過每個接入點搜集到的信息，了解他們的 WLAN 的運行狀況，將網(wǎng)絡(luò)可見度提高 到重疊式網(wǎng)絡(luò)所無法提供的水平，解決為每三到五個接入點部署無線監(jiān)聽 器這一做法可能出現(xiàn)的 隱藏節(jié)點 問題。 在必要情況下，思科輕型接入點可以被專門部署為無線監(jiān)聽 器，但是成本因素和對更高網(wǎng)絡(luò)可見度的要求通常會促使最終用戶采用上述方式。 1656832.doc Page 17 of 99 4.1.2 動態(tài)信道分配 802.11 MAC 功能需要采用一種基于二進制指數(shù)退避的沖突避免機制，即帶有沖突檢測的載波偵聽多路存取（ CSMA/CA）。 802.11 MAC 層由一個四路交換協(xié)議定義： Request to Send (RTS) Clear to Send (CTS) Data ACK 當(dāng)某個基站需要發(fā)送信息時，它會將其提供給介質(zhì)。如果介質(zhì)是閑置的，接入點將會允許該基站發(fā)送它的數(shù)據(jù)。否則，基站將被告知等到其他正在使用介質(zhì)的基站完成任務(wù)之后再發(fā)送數(shù)據(jù)。這可以防止兩個客戶端同時在同一個信道上發(fā)送數(shù)據(jù)，導(dǎo)致數(shù)據(jù)幀受損。 在使用 CSMA/CA 時，同一個信道上的兩個接入點（位于同一個區(qū)域）與兩個不同信道上的兩個接入點相比，將獲得其一半的容量。這可能會導(dǎo)致 問題。例如，某個在咖啡廳中查看電子郵件的用戶可能會對相鄰企業(yè)中的接入點的性能造成不利的影響。即使位于不同的網(wǎng)絡(luò)之中，在信道 1 上向咖啡廳網(wǎng)絡(luò)發(fā)送流量的用戶也可能會導(dǎo)致使用同一個信道的企業(yè)數(shù)據(jù)遭到破壞。思科無線局域網(wǎng)控制器可以通過動態(tài)分配接入點信道，避免沖突，從而解決這個問題和其他同頻干擾問題。因為思科輕型解決方案通過它的 RRM工具而具有覆蓋整個企業(yè)的可見度，所以信道可以被 重復(fù)利用 ，以避免浪費寶貴的 RF 資源。換句話說，信道 1 將會分配給一個遠離該咖啡廳的接入點。相比之下，其他 WLAN 系統(tǒng)在這種情況下通常要求完 全禁止使用信道 1。因此，思科的解決方案更為有效。 思科無線局域網(wǎng)控制器的動態(tài)信道分配功能還有助于最大限度地減小思科輕型 WLAN 解決方案中的相鄰接入點之間的同頻干擾。例如，在使用 802.11a時，信道 35和 40不能同時使用 54Mbps，具體取決于接入點和客戶端的擺放位置。通過分配信道，思科無線局域網(wǎng)控制器可以隔離相同信道，從而避免這個問題（如 下 圖所示）。 動態(tài)信道分配 1656832.doc Page 18 of 99 33%效率 100%效率 思科無線局域網(wǎng)控制器可以通過分析多種實時 RF 特性，有效 地處理信道分配。這些特性包括： 接入點接收能量 這取決于網(wǎng)絡(luò)的靜態(tài)拓撲；這項功能可以讓信道獲得最高的網(wǎng)絡(luò)容量。 噪聲 這個因素會限制客戶端和接入點的信號質(zhì)量。噪聲的增大會導(dǎo)致有效網(wǎng)格的減小。通過優(yōu)化信道和避免噪聲源，思科無線局域網(wǎng)控制器可以在優(yōu)化網(wǎng)絡(luò)覆蓋范圍的同時，保持系統(tǒng)容量不變。如果某個信道因為噪聲過高而無法使用，該信道將會被避開。 802.11 干擾 如果存在其他無線網(wǎng)絡(luò)，思科無線局域網(wǎng)控制器將會改變信道的使用方式，以避免與其他網(wǎng)絡(luò)的干擾。例如，如果一個網(wǎng)絡(luò)使用的是信道 6，另一個相鄰 WLAN 將被分 配信道1 或者 11。這可以通過限制頻率重疊，提高網(wǎng)絡(luò)容量。如果因為某個信道的使用量過高而導(dǎo)致沒有可用容量，思科無線局域網(wǎng)控制器將會選擇避開這個信道。 利用率 在啟用這項功能時，容量計算將會考慮到某些接入點傳輸?shù)牧髁慷嘤谄渌尤朦c（例如一個休息室相對于一個工程區(qū)域）。因此，那些需要最多帶寬的接入點將在信道分配方面獲得更高的重視。 客戶端負載 通過在調(diào)整信道結(jié)構(gòu)時考慮客戶端負載，可以最大限度地減少客戶端對于WLAN 的影響。思科無線局域網(wǎng)控制器會周期性地監(jiān)控信道分配情況，搜尋 最佳的 分配方式。只有在可以顯著提 高網(wǎng)絡(luò)性能，或者改進某個性能低下的接入點的性能時，才會進行調(diào)整。 思科無線局域網(wǎng)控制器可以將 RF 特性信息與智能算法相結(jié)合，執(zhí)行針對整個系統(tǒng)的決策。利 1656832.doc Page 19 of 99 用軟決策機制，可以滿足互相沖突的需求，為最大限度地減少網(wǎng)絡(luò)干擾確保最佳的選擇。最終結(jié)果是在一個三維空間中實現(xiàn)最佳的信道配置，而位于樓層上方和下方的接入點在總體 WLAN 配置中扮演著重要的角色。 4.1.3 干擾檢查和避免 干擾 的定義是任何不屬于某個思科 WLAN 系統(tǒng)的 802.11 流量，包括惡意接入點、藍牙設(shè)備或者相鄰 WLAN。思科輕型接入點一直在掃描所有信道，尋找主要的干擾 源（如 下 圖所示）。 如果 802.11 干擾幅度超過了預(yù)定的閾值（缺省值為 10%），一個消息就會被發(fā)送到思科無線控制系統(tǒng)（ WCS）。思科無線局域網(wǎng)控制器將設(shè)法重新分配信道，以便在存在干擾的情況下提高系統(tǒng)性能。這可能會導(dǎo)致相鄰思科輕型接入點位于同一個信道上，但是這顯然要比讓接入點繼續(xù)留在一個因為某個干擾接入點而無法使用的信道上好得多（考慮到利用率因素）。 動態(tài)信道分配機制對干擾的反應(yīng) 惡意設(shè)備 管理員可以從思科 WCS 實時地查看 RF 環(huán)境的情況（如 下 圖所示）。這有助于了解無線空間的 1656832.doc Page 20 of 99 運行狀況，尤其是試圖診斷 WLAN 故障時。 思科 WCS 無線統(tǒng)計信息視圖 4.1.4 動態(tài)發(fā)射功率控制 正確的接入點發(fā)射功率設(shè)置對于保證 WLAN 的平穩(wěn)運行具有重要的意義。這對于實現(xiàn)網(wǎng)絡(luò)冗余也非常重要，有助于確保在接入點失去連接時進行實時的故障切換。 思科無線局域網(wǎng)控制器可根據(jù)實時的 WLAN 情況動態(tài)地控制接入點的發(fā)射功率。在正常情況下，功率可以保持在較低的水平，以獲得額外的容量和減少干擾。思科輕型解決方案將試圖根據(jù)最佳實踐經(jīng)驗，對接入點進行平衡，以確保它們在相鄰接入點之間保持 -65dbm 的發(fā)射功率。 如果檢測到某個發(fā)生故障的接入點，周圍接入點的功率將會 自動提高，以填補覆蓋范圍受損所導(dǎo)致的漏洞。只允許對發(fā)射功率進行靜態(tài)設(shè)置的 WLAN 解決方案在支持動態(tài)網(wǎng)絡(luò)需求方面的能力極為有限。 思科 RRM算法采用了獨特的設(shè)計，可以創(chuàng)建最佳的用戶體驗。例如，如果接入點的發(fā)射功率 1656832.doc Page 21 of 99 被調(diào)低為四級（一級最高，五級最低），而且用戶的接收信號強度指示（ RSSI）值降低到某個可以接受的閾值之下，接入點功率將會被提高，以便為客戶端提供更好的體驗。如果用戶的 RSSI 值位于閾值之上 ，功率將決不會被調(diào)低。 用戶可以在思科 WCS 中，方便地查看各個功率等級和接入點相鄰設(shè)備信息，如 下 圖所示。 圖 5 利用思科 WCS 監(jiān)控功率等級 4.1.5 覆蓋盲區(qū)檢測和糾正 如果某個接入點上的客戶端的 RSSI等級較低，思科輕型接入點將會向思科 WCS 發(fā)出一個 覆蓋盲區(qū) 警報。這表示存在一個覆蓋信號持續(xù)較差的區(qū)域，其中沒有可通信的漫游地點。 管理員可以查找接入點的歷史記錄，了解這些警報是不是一種長期現(xiàn)象。長期現(xiàn)象意味著存在一個長期的覆蓋盲區(qū)，而不是一個偶發(fā)性的問題。如果是的話，思科無線局域網(wǎng)控制器將會調(diào)節(jié)接 1656832.doc Page 22 of 99 入點的發(fā)射功率等級，糾正所檢測到的盲區(qū)。否則， IT 人員將可以借助準(zhǔn)確的位置信息解決問題。 4.1.6 客戶端和網(wǎng)絡(luò)負載均衡 只有在客 戶端能夠通過負載均衡，有效地利用容量的情況下， WLAN 容量才具有實際意義。不幸的是，客戶端并沒有足夠的智能來自行制定均衡決策，即使這可以帶來更好的性能。例如，一個會議室中的所有用戶可能都會與某個距離最近的接入點建立關(guān)聯(lián)，而忽略某個距離較遠、但是利用率較低的接入點。 思科無線局域網(wǎng)控制器為所有接入點的客戶端負載提供了一個集中視圖。這可用于確定在哪里將新的客戶端加入網(wǎng)絡(luò)。另外，通過一定的設(shè)置，思科輕型無線解決方案可以主動地 驅(qū)使 現(xiàn)有客戶端關(guān)聯(lián)到新的接入點，以提高 WLAN 的性能。這樣，容量可以更加平均地分配到整 個無線網(wǎng)絡(luò)之中。 4.1.7 真正 實時解決方案 思科解決方案 思科 WCS 輕型接入點和無線局域網(wǎng)控制器 可以提供實時的 RF 管理。其他 WLAN 供應(yīng)商采用了不同的方法來解決 RF 頻譜問題，但是它們?nèi)狈λ伎频膶崟r檢測 RF 改動和對 WLAN 配置進行相應(yīng)調(diào)整的能力。 例如，有些 WLAN 解決方案通過讓接入點監(jiān)聽最不活躍的信道來進行信道分配。這種方式導(dǎo)致了接入點只能制定適合某一時間段的信道選擇決策，而且接入點經(jīng)常處于除了 1、 6 或者 11 以外的信道上。因為這可能產(chǎn)生干擾，因而不適用于大多數(shù)企業(yè)環(huán)境。 另外一種策略是開發(fā)一個網(wǎng)絡(luò)管理應(yīng)用， 讓 IT 人員可以將接入點組合到一起，發(fā)送到同一個信道。在這個信道中，它們能夠以不同的功率等級發(fā)送信標(biāo)。結(jié)果經(jīng)過分析，可以為 WLAN 信道分配創(chuàng)建一個原始拓撲。它將由管理員保存，并發(fā)送到接入點。這種方式的問題在于一個多層建筑物總是存在垂直和水平重疊區(qū)域。這些應(yīng)用通常沒有考慮這些因素，因而只能創(chuàng)建一個局部拓撲。另外，這些掃描對 WLAN 的運行具有破壞作用，所以應(yīng)當(dāng)在非工作時間進行 不幸的是，辦公樓在非工作時間通常都沒有工作人員，大門緊鎖，而且相鄰的 WLAN 也不在工作，所以這時的 RF 狀況也與平時大不相同。 RF 環(huán)境是動 態(tài)的； IT 人員不能只依賴于某個時刻的 WLAN 配置，尤其是非高 1656832.doc Page 23 of 99 峰期的 WLAN 配置。 企業(yè)也很難依靠現(xiàn)場調(diào)查工具和預(yù)定的 RF掃描來處理 WLAN配置。即使是支持 一鍵式 WLAN分析和配置推送的工具也不具有足夠的動態(tài)性能，無法滿足實際無線流量的需要。它們還需要 IT專家的親自參與，使得他們無法適應(yīng)大型企業(yè)無線網(wǎng)絡(luò)的要求。 實時 RF 管理應(yīng)當(dāng)模擬開放最短路徑優(yōu)先（ OSPF）。 OSPF 可以利用路由參數(shù)，不斷地監(jiān)控網(wǎng)絡(luò)的狀態(tài)和對路由表進行必要的改動，以利用最佳的拓撲。利用內(nèi)置的智能，可以僅在網(wǎng)絡(luò)性能或者容量受到影響時才改 動信道。將配置發(fā)送到一組接入點，但無法對系統(tǒng)性能和用戶行為作出連續(xù)反饋的無線管理系統(tǒng)，類似于過去的靜態(tài)路由。當(dāng)將路由輸入曾經(jīng)準(zhǔn)確的路由表時，因為網(wǎng)絡(luò)一直在不斷變化，所以路由表在將來某個時刻并不一定準(zhǔn)確 甚至它們的正確期僅為一天（或者一個小時）。 上面闡述整個 安利中國公司 無線系統(tǒng)解決方案所能夠?qū)崿F(xiàn)的效 果和 大致 的方法，能夠在接入便利、安全、功能、運維、管理上滿足 安利中國公司 的無線局域網(wǎng)絡(luò)要求，整體上平衡這五個方面，后面介紹整體解決方案的各個部分：控制器、接入點、網(wǎng)絡(luò)管理和定位服務(wù) 并 配合終端 、 AAA 認證系統(tǒng) 和 Windows 域服務(wù)器 AD 就構(gòu)成了完整的能夠?qū)崿F(xiàn)上述目標(biāo)的 有線 /無線一體化 方案。 簡單來講： 無線局域網(wǎng)解決方案 的組成部件如下 ： 1) 控制器： 控制所有的無線的運轉(zhuǎn)過程 ； 2) AP 接入點：負責(zé)射頻信號收發(fā)和射頻掃描（定位和惡意 AP 掃描，收集信號，分析在控制器）， 插上網(wǎng)線是對其唯一的手工操作 ； 3) 網(wǎng)絡(luò)管理 WCS：圖形界面管理，輸入地理圖和障礙信息，可以圖示定位、射頻信息，記錄和審計，圖示惡意 AP，操作控制控制器的無線操作。 一 般 和控制器一起部署， 可以在 WCS上監(jiān)控和操作整個無線局域網(wǎng)絡(luò)系統(tǒng)，所有操作以 WEB 方式 進行 ； 4) 定 位服務(wù)器： 提供定位分析； 5) 終端： 兼容絕大多數(shù)廠商的終端設(shè)備，沒有限制。 6) AAA 服務(wù)器： 提供集中認證， 采用安利中國現(xiàn)有的 RADIUS 系統(tǒng)，如微軟 IAS 。 7) Windows AD 服務(wù)器：可以連接 AAA 服務(wù)器，當(dāng)控制器到 AAA 進行認證時， AAA 查詢 AD得到認證結(jié)果并返回，達到利用 AD 集中認證的結(jié)果， 可以實現(xiàn)在終端上僅僅登陸域就可以實現(xiàn)無線同時認證集成的目的 (即單次登陸： SSO， Single-Sign-On)。 1656832.doc Page 24 of 99 4.2 輕型接入點協(xié)議 安利中國公司 無線解決方案采用 LWAPP 協(xié)議，即 輕型接入點協(xié)議 。 WLAN 領(lǐng)域的趨勢是向集中 智能和集中控制發(fā)展。使用一個 WLAN 控制器系統(tǒng)來為大量輕型接入點創(chuàng)建和執(zhí)行策略。通過集中這些設(shè)備的智能特性，整個無線企業(yè)中對 WLAN 運營至關(guān)重要的安全性、移動性、服務(wù)質(zhì)量 (QoS)和其他功能都可得到有效管理。此外，通過分離接入點和控制器的功能， IT 人員能簡化管理、提高性能并使大型無線網(wǎng)絡(luò)更為安全。 輕型 WLAN 系統(tǒng)集中提供用于企業(yè)級 RF 管理和策略控制的智能 隨著更多供應(yīng)商移植到層次化設(shè)計，并用輕型接入點構(gòu)建更大型的網(wǎng)絡(luò)，市場上需要一種管理輕型接入點如何與 WLAN 系統(tǒng)通信的標(biāo)準(zhǔn)化協(xié)議。這也正是互聯(lián)網(wǎng) 工程任務(wù)小組（ IETF）最新規(guī)范草案，即輕型接入點協(xié)議（ LWAPP）的作用所在。憑借 LWAPP，能部署功能最多、具更高靈活性的大型多供應(yīng)商無線網(wǎng)絡(luò)。 4.2.1 輕型接入點 部署定位 傳統(tǒng)的 WLAN 解決方案將所有的流量處理、 RF 控制、安全和移動功能分散到各接入點提供。但這種架構(gòu)只允許單個接入點瀏覽 802.11 流量。這意味著： 當(dāng)未配備管理設(shè)備時，必須分別管理各接入點，從而提高運營成本和增加對人員的要求 1656832.doc Page 25 of 99 無法查看系統(tǒng)中的網(wǎng)絡(luò)級攻擊和干擾 在第一層、第二層和第三層中只有一個安全策略實施點 無法發(fā)現(xiàn)和抵御針對整個 WLAN 的拒 絕服務(wù) (DoS)攻擊 系統(tǒng)不能關(guān)聯(lián)或預(yù)測企業(yè)中的活動 實現(xiàn)優(yōu)化、實時的負載均衡的能力有限 客戶端無法進行快速功能切換，而這正是支持語音和視頻等實時應(yīng)用所必需的 如果一個接入點被偷竊或破壞，就會帶來內(nèi)部安全風(fēng)險 1656832.doc Page 26 of 99 對等 WLAN 架構(gòu)限制了性能、可管理性和安全性的提高 大量設(shè)備供應(yīng)商已紛紛采取措施，來消除對等 WLAN 架構(gòu)的局限性（ 如上 圖）。其中許多供應(yīng)商宣布采用新架構(gòu)，集中部署 WLAN 智能，以實現(xiàn)更高性能和效率。 4.2.2 標(biāo)準(zhǔn)化需求 隨著越來越多的產(chǎn)品使用帶集中 WLAN 智能的輕型接入點，市場需要一個管理這些設(shè)備 相互間如何通信的業(yè)界標(biāo)準(zhǔn)。 LWAPP 是 IETF 工作小組為解決此問題而制訂的標(biāo)準(zhǔn)化草案。 LWAPP 最初由 Airespace (2005 年 3 月被思科系統(tǒng)公司收購 ) 和 NTT DoCoMo 制訂，是接入點和 WLAN 系統(tǒng)（控制器，交換機，路由器等）之間的標(biāo)準(zhǔn)化通信協(xié)議。其制訂目標(biāo)如 IETF 規(guī)范所述，旨在： 降低接入點中的處理負擔(dān)，使這些設(shè)備中有限的計算資源可主要用于提供無線接入功能，而非用于過濾及策略實施 實現(xiàn)能對整個 WLAN 系統(tǒng)集中進行流量處理、驗證、加密和策略實施（ QoS，安全等）的機制 通過第二層基礎(chǔ)設(shè)施或 IP 路由網(wǎng)絡(luò)，提供一個通用封裝和傳輸機制，用于實現(xiàn)多供應(yīng)商接入點互操作性 LWAPP 規(guī)范通過定義以下類型的活動，解決了這些問題： 接入點設(shè)備發(fā)現(xiàn)、信息交換和配置 接入點認證和軟件控制 1656832.doc Page 27 of 99 分組封裝、分段和格式化 在接入點和無線系統(tǒng)設(shè)備間進行通信控制和管理 LWAPP 的廣泛采用使企業(yè)客戶可從多種能互操作的接入點及無線系統(tǒng)設(shè)備中進行選擇，因此他們不再需要根據(jù)哪些設(shè)備能配合工作而作出購買決策，而是可根據(jù)各接入點和無線系統(tǒng)設(shè)備的具體功能制訂決策。 LWAPP 在市場中得到廣泛接受，減少了被迫鎖定于一個供應(yīng)商，即只有將接入點 與同一供應(yīng)商的 WLAN 系統(tǒng)設(shè)備共用，才能獲得最優(yōu)運行效果的現(xiàn)象。 LWAPP 還提供了一個開放標(biāo)準(zhǔn)解決方案，可在多供應(yīng)商集中 WLAN 架構(gòu)上提供安全的第二層和第三層網(wǎng)絡(luò)服務(wù)。此外，憑借 LWAPP，第三方供應(yīng)商也可擁有一個用于部署應(yīng)用的通用架構(gòu)。 4.2.3 運行 LWAPP 當(dāng) LWAPP 于 2002 年首次進入 WLAN 行業(yè)時，它通過 分離 MAC概念使管理 WLAN 部署的方式發(fā)生了革命性的改變， 分離 MAC可將 802.11 協(xié)議的實時功能和其大多數(shù)的管理功能分離 。 具體來說，實時幀交換和 MAC 管理的某些實時部分在接入點中完成，而驗 證、安全管理和移動功能由 WLAN 控制器處理。采用了 LWAPP 的思科集中 WLAN 解決方案，是第一個使用分離 MAC 的集中WLAN 系統(tǒng)。 LWAPP 協(xié)議與思科智能 RF 管理功能的結(jié)合可使客戶在很多方面獲益： 管理 動態(tài)的系統(tǒng)級 RF 管理，包括一系列可實現(xiàn)平穩(wěn)無線運營的特性，如動態(tài)信道分配、傳輸功率控制和負載均衡。 單一圖形化企業(yè)級策略界面，包括 VLAN、安全和 QoS。 安全 企業(yè)級安全策略包括從無線層到 MAC 層、再到網(wǎng)絡(luò)層的無線網(wǎng)絡(luò)的所有層次。這樣即可更方便地提供統(tǒng)一實施的安全和 QoS 功能，或用戶策略，來滿足手持掃描 儀、 PDA 或筆記本電腦等不同設(shè)備類型的特定功能。 發(fā)現(xiàn)和抵御 DoS 攻擊，以及檢測和拒絕惡意接入點。這些功能運行于整個思科輕型無線局域網(wǎng)解決方案之上。 1656832.doc Page 28 of 99 移動 類似于手機的快速切換。 對 WLAN 語音等實時移動應(yīng)用提供出色支持。 LWAPP 是關(guān)鍵業(yè)務(wù)型無線網(wǎng)絡(luò)的重要構(gòu)建塊。它也是構(gòu)建大規(guī)模混合 WLAN 的基礎(chǔ)。通過為RF 互聯(lián)網(wǎng)提供一種標(biāo)準(zhǔn)化方式， LWAPP 可保護公司的 WLAN 投資，簡化 RF 管理，并優(yōu)化用于各種規(guī)模的 WLAN 部署的無線網(wǎng)絡(luò)。 1656832.doc Page 29 of 99 5 無線網(wǎng)絡(luò)設(shè)計規(guī)劃 5.1 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計概述 根據(jù)安利中國公司辦公室內(nèi)的 無 線應(yīng)用構(gòu)想 和實際網(wǎng)絡(luò) 分布 /結(jié)構(gòu)特點，建議選用思科特有的集中無線網(wǎng)絡(luò)解決方案，整體劃一，系統(tǒng)管理，準(zhǔn)確定位，高效運營，全面滿足安利中國公司無線網(wǎng)絡(luò)的業(yè)務(wù)需求，同時為今后的應(yīng)用拓展（如無線 IP 電話，無線 Video、 RFID 等）做好充分的技術(shù)平臺準(zhǔn)備。 1656832.doc Page 30 of 99 安利中國公司現(xiàn)有的網(wǎng)絡(luò) 帶寬資源和拓撲連接 情況， 即廣州本地的 7 個點均通過光纖以太網(wǎng)線路互聯(lián)，帶寬充足 ，其中中信為安利中國網(wǎng)絡(luò)的主生產(chǎn)中心，開發(fā)區(qū)為安利中國網(wǎng)絡(luò)的備份中心 ；而北京和上海辦公室分別通過廣域網(wǎng)租用線路連接中信主生產(chǎn)中心和開發(fā)區(qū)備份中心。 結(jié)合 現(xiàn)有網(wǎng)絡(luò)狀況和思 科集中無線網(wǎng)絡(luò)架構(gòu) ， 我們對本次 無線網(wǎng)絡(luò) 建設(shè)做如下 建議： 1. 采用 LWAPP 體系結(jié)構(gòu) ，即 采用無線控制器集中控制 /管理無線 AP 的方式； 2. 廣州中信主生產(chǎn)中心和開發(fā)區(qū)備份中心的 6500 交換機（要求支持 Sup720 引擎）上分別增加一塊 WiSM 無線控制器模塊，相互備份；中信的 WiSM 負責(zé)中信、天譽、國貿(mào)、美銀的AP 接入，作為工廠、 LC、 ACTI的 AP 的備用控制器；開發(fā)區(qū)備份中心的 WiSM 負責(zé)工廠、LC、 ACTI的 AP 接入，作為中信、天譽、國貿(mào)、美銀的 AP 的備用控制器；單個 WiSM 模塊可管理 300 個 AP，每臺 6500 交換機上 可堆疊 5 塊 WiSM，實現(xiàn) 1500個 AP 的管理 ； 3. 上海和北京 Office 采用獨立控制器 WLC-4402 各 1 臺，配置雙電源，雙光纖千兆口；若對冗余性要求較高，則建議各配置兩臺，兩臺之間相互備份（ 1 1 或 1:1)；當(dāng) AP 數(shù)目增多且超過單臺控制器處理能力時，可通過增加控制器的方式，形成 N+1 備份 ； 4. 除了對現(xiàn)有自治“胖 ” AP-Cisco AP1231G 進行升級轉(zhuǎn)換以支持集中控制式“瘦” AP 外，還建議新增 集中管理式 瘦 AP-Cisco AP 1131AG 分布在各辦公室空間 。 中信、天譽、國貿(mào)、美銀的 AP 由中信的 WiSM 控制器模塊集中管理，開發(fā)區(qū)工廠、 LC、 ACTI的 AP 由開發(fā)區(qū)的WiSM 控制器模塊集中控制，當(dāng)其中一塊故障時，另一塊 WiSM 接管廣州范圍內(nèi)所有 AP 的管理控制任務(wù)。北京和上海 Office 的 瘦 AP-Cisco AP 1131AG 由本地的 4402 獨立控制器管理控制。 5. 無線安全 認證 采用 Microsoft IAS 認證系統(tǒng)并結(jié)合 Windows AD 實現(xiàn)用戶的單次登陸（ SSO） 。 6. 網(wǎng)管系統(tǒng)采用 Cisco WCS 統(tǒng)一網(wǎng)管，并建議在需要時采用 Location Appliance 無線定位服務(wù)器 提供 無線定位服務(wù)。 1656832.doc Page 31 of 99 5.2 無線網(wǎng)絡(luò)設(shè)計架構(gòu) 5.2.1 概述 針對 辦公樓內(nèi)部的無線局域網(wǎng)覆蓋的需求，本方案建議采用思科的無線網(wǎng)絡(luò)產(chǎn)品系列集中式、可管理架構(gòu)的無線局域網(wǎng)架構(gòu)解決方案來實現(xiàn)無線網(wǎng)絡(luò)的部署。 思科無線網(wǎng)絡(luò)產(chǎn)品系列是為那些希望為本身業(yè)務(wù)、 IP 電話和融合多媒體應(yīng)用系統(tǒng)廣泛部署無線覆蓋的一款完整 802.11 解決方案。這款解決方案將最新的行業(yè)標(biāo)準(zhǔn)與一種集中架構(gòu)和先進功能結(jié)合起來，創(chuàng)建一種安全、經(jīng)濟有效并且極具擴展性的無線局域網(wǎng) (WLAN)基礎(chǔ)設(shè)施。思科無線網(wǎng)絡(luò)產(chǎn)品系列包括規(guī)劃和實施所需的工具和功能，使首次部署無線局域網(wǎng) (WLAN) 能快捷簡便的完成，也適合于企業(yè)逐步演進事先精確設(shè)計的無線移動基礎(chǔ)設(shè)施。 思科無線網(wǎng)絡(luò)產(chǎn)品系列采用一種由一臺或幾臺中央無線控制器控制和管理 瘦 接入點的集中式無線局域網(wǎng)部署模式。這套系列的三個主要構(gòu)件包括一個多頻點接入點（ AP）、無線控制器（ WLC）組合和一套無線管理軟件系統(tǒng)（ WCS）。在整個無線移動解決方案中，每個構(gòu)件均起著重要作用。 1656832.doc Page 32 of 99 思科無線接入點系列 支持 802.11a/b/g 多種連接技術(shù)，對無線數(shù)據(jù)進行加 /解密，對不同應(yīng)用的數(shù)據(jù)進行優(yōu)先級控制和排隊。同時支持無線頻率監(jiān)控管理， 包括非法 AP 的身份識別和限制，無線接入點和無線控制器之間進行控制和數(shù)據(jù)的交互。 思科無線控制器系列 無線控制器執(zhí)行多 AP 的安全控制，包括：安全、聯(lián)網(wǎng)、 QoS 以及用戶的漫游（ Roaming）。無線控制器對多個 AP 的無線數(shù)據(jù)進行轉(zhuǎn)發(fā)，并對 AP 改變無線頻率和收到攻擊進行響應(yīng)。 思科 WLAN 管理軟件（ WCS） 1656832.doc Page 33 of 99 思科 WLAN 管理軟件是一套全面的 WLAN 設(shè)計和管理軟件，幫助用戶確定 AP 的部署位置、管理和配置所有網(wǎng)絡(luò)中的 AP 以及實時監(jiān)控和匯報 WLAN 系統(tǒng)的運作情況。 5.2.2 詳細設(shè)計 本方案無線系統(tǒng)由以下各部分組成： 無線控制器 WLC： 1、在中信和開發(fā)區(qū)的其中一臺 Catalyst 6509 交換機內(nèi)置 WiSM 無線控制器模塊，兩塊 WiSM負責(zé)整個廣州地區(qū)所有 Office WLAN 的接入；內(nèi)置 WiSM 無線控制器模塊利用 Catalyst 6509 交換機的高可靠性和高穩(wěn)定性（如雙交換引擎、雙電源、雙時鐘等）。兩塊 WiSM 之間相互備份；中信的 WiSM 負責(zé)中信、天譽、國貿(mào)、美銀的 AP 接入， 并 作為工廠、 LC、 ACTI的 AP 的備用控制器；開發(fā)區(qū)備份中心的 WiSM 負責(zé)工廠、 LC、 ACTI的 AP 接入， 并 作為中信、天譽、國貿(mào)、美銀的 AP的備 用控制器。單個 WiSM模塊可管理 300個 AP，每臺 6500交換機上可堆疊 5 塊 WiSM，實現(xiàn) 1500個 AP 的管理。因為 WiSM 內(nèi)置在 Catalyst 6509 交換機內(nèi)，其通過交換機背板與交換機之間形成8Gbps（全雙工 16Gbps）吞吐量連接，完全滿足多達 300 個 AP 的線速處理要求。并且，采用內(nèi)置背板連接方式，可以節(jié)省多個千兆以太網(wǎng)端口。 2、在上海和北京辦公室，分別采用外置的獨立控制器 WLC 4402 各一臺。為了增加系統(tǒng)的可靠性，每臺 4402 控制器都配置了雙電源，以減少因為電源故障導(dǎo)致的服務(wù)中斷；并且配置了 雙光纖千兆端口，兩個光口之間通過 LAG（ Link Aggregation Group）方式捆綁，以減少因單端口故障而導(dǎo)致的服務(wù)中斷。未來，對系統(tǒng)冗余性要求更高的情況下，我們建議采用兩臺 WLC4402 形成 1：1 或 1 1 的冗余工 作方式，避免其中一臺掉電或故障時導(dǎo)致的用戶無法接入無線網(wǎng)絡(luò)問題 ， 兩臺WLC4402 組成一個高性能，高冗余，高擴展的控制器群組（ Group），既 能按需實現(xiàn)負載均衡，又能確保備份冗余，而且能夠根據(jù)業(yè)務(wù)提升，高效快捷的拓展整 個控制平臺的容量 ，即 當(dāng) AP 數(shù)目增多且超過單臺控制器處理能力時，可通過增 加控制器的方式，形成 N+1 備份。這里配置的外置 WLC 4402 無線控制器可以管理 /控制 25 臺 AP。每臺 WLC4402 可以配置 2 個千兆以太網(wǎng)端口，連接到 1656832.doc Page 34 of 99 核心交換機，支持最大 2Gbps（全雙工 4Gbps）的吞吐量，實現(xiàn)多達 25 個 AP 同時接入時的全線速處理負荷要求。 無線網(wǎng)管系統(tǒng) WCS： 為了更好的實效對于 WLAN 控制器、無線接入點、無線客戶端的高效統(tǒng)一管理，建議配備一套 WLAN 控制系統(tǒng) WCS 系統(tǒng)軟件。因安利公司現(xiàn)有自治無線系統(tǒng)中已有一套胖 AP 網(wǎng)管 WLSE-1130-19，為實現(xiàn)投資保護，可遷移升級為 WCS 網(wǎng)管 平臺，無需購買新的網(wǎng)管服務(wù)器硬件，只需定購相應(yīng)的管理 License 即可。遷移升級而成的 WCS 軟件運行在 RedHat Linux 系統(tǒng)上，具有支持定位功能。 WCS 軟件支持分級管理。 WCS 軟件包含無線系統(tǒng)配置、監(jiān)控和管理的基本功能（ WLAN systems configuration, monitoring and management）；同時，具有無線網(wǎng)絡(luò)規(guī)劃與設(shè)計（ Planning & Design)、射頻管理（ RF management）、定位追蹤 (location tracking),、入侵檢測管理 (IPS)等高級功能。 WCS 軟件可管理同時室內(nèi)室外無線設(shè)備，實現(xiàn)一體化、無邊界無線網(wǎng)絡(luò)管理。 本方案配置的各無線控制器內(nèi)已含無線 IDS/IPS、 Web Portal 認證、 ACL、動態(tài)策略、非法 AP 抑制、 Guest Tunnel等功能；無需額外購買相應(yīng)的 License。在 Cisco 的無線控制器上，目前唯一需要 License 的是定位功能，其余功能皆不需要 License。 簡而言之， WCS 的任務(wù)是通過對多達幾百臺各種級別 WLAN 控制器的系統(tǒng)管理，提供給客戶一個面向相當(dāng)規(guī)模無線局域網(wǎng)規(guī)劃、配置和管理的領(lǐng)先平臺，進行 RF 預(yù)測、策略配置、網(wǎng)絡(luò)優(yōu)化、排障、用戶跟蹤、安全監(jiān)控和無線局域網(wǎng)系統(tǒng)管理。本方案稍后將會對 WCS 網(wǎng)管系統(tǒng)進行詳細介紹。 Radius 身份認證、授權(quán)、記帳服務(wù)器 ：為實現(xiàn)無線網(wǎng)絡(luò)內(nèi)對無線客戶端（用戶和設(shè)備）的身份認證、授權(quán)和記帳等安全功能，并結(jié)合安利公司現(xiàn)有有線和無線網(wǎng)絡(luò)中已采用的 Microsoft IAS認證系統(tǒng)，建議采用 Microsoft IAS 認證系統(tǒng)做為支持 Radius 身份驗證、授權(quán)和記帳的 AAA 服務(wù)器。同時， Microsoft IAS Radius 認證系統(tǒng)可以和 Window 域控制器系統(tǒng) (Window Domain Controller)內(nèi)的域用戶數(shù)據(jù)庫 (Active Directory)相結(jié)合，提供基于域用戶名的身份驗證，實現(xiàn)單次登陸 SSO（ Single Sign On），即利用域用戶名和密碼對用戶驗證，不需要再顯式地提示用戶輸入進入無線網(wǎng)絡(luò)的用戶名和密碼，達到無線網(wǎng)絡(luò)接入的便利性。當(dāng)一個無線用戶試圖訪問無線網(wǎng)絡(luò)的時候， IAS認證系統(tǒng)會校驗用戶的用戶名和密碼，如果發(fā)現(xiàn)該用戶是 Windows 域用戶，他會將用戶名和密碼 1656832.doc Page 35 of 99 轉(zhuǎn)給 AD 去驗證。驗證完后會將結(jié)果返回給 IAS 認證系統(tǒng)， IAS 認證系統(tǒng)根據(jù)用戶的屬性給 與特定的訪問權(quán)限。 無線定位 Location（可選項） ：本方案中為升級后的 WCS 網(wǎng)管系統(tǒng)配置了定位功能，當(dāng)網(wǎng)管人員需要定位追逐某個 AP、客戶端時，可實現(xiàn)對 AP、客戶端的按需查詢。譬如，當(dāng) WCS 發(fā)出 Rouge AP、 Rouge Client 等告警時，網(wǎng)管人員可通過定位功能查看其準(zhǔn)確位置（精度為 3-5 米范圍），并通過 WCS 網(wǎng)管發(fā)出圍堵命令，讓其周圍的 1 4 個 AP 發(fā)起對此 Rouge AP、 Rouge Client 的圍堵。將來，根據(jù)業(yè)務(wù)的特點和需求（譬如大量使用 RFID Tag），以及無線網(wǎng)絡(luò)安全管理的重要性，建議部署一臺思科特有的無線定位設(shè)備 Location Appliance 2710， Location Appliance 2710 是業(yè)界第一款能夠同時對 WLAN 基礎(chǔ)設(shè)施內(nèi)部數(shù)千個設(shè)備進行實時定位跟蹤的產(chǎn)品。它為重要資產(chǎn)跟蹤、 IT管理和基于位置的安全技術(shù)提供了一個經(jīng)濟有效、高分辨率的定位解決方案，同時能夠協(xié)助客戶盡快定位某些產(chǎn)生安全隱患的設(shè)備位置，進一步有效的確保 WLAN 的穩(wěn)定可靠運營。下文將會對無線定位設(shè)備進行較為詳細的介紹。 無線接入點： 以上 WLC WCS Location Appliance 形成了 思科集中無 線網(wǎng)絡(luò)架構(gòu)中重要的控制管理運維組件， 根據(jù)安利中國各 辦公室 樓層信息點需求和物理條件， 為 簡單、方便、快捷 地 部署無線接入點設(shè)備，建議選用思科出色的雙頻 802.11a/b/g AP1131 無線接入點， AP1131 無線接入點能夠同時支持 802.11 A/B/G 雙頻工作；此 AP 支持在 2.4GHz 和 5GHz 頻段同時工作，以提高 AP的吞吐率； 802.11A 和 802.11B/G 同時工作時，最大帶寬可達到 108Mbps；此 AP 同時支持數(shù)據(jù)轉(zhuǎn)發(fā)和頻譜掃描 (sensor),性能基本不受影響 。 在缺省情況下，每個接入點只用 0.2%的時 間進行信道外掃描。這項任務(wù)會在所有接入點之間進行統(tǒng)計分配，以確保相鄰接入點不會同時進行掃描，對WLAN 的性能造成不利的影響。這使得管理員可以通過每個接入點搜集到的信息，了解他們的 WLAN的運行狀況，將網(wǎng)絡(luò)可見度提高到重疊式網(wǎng)絡(luò)所無法提供的水平，解決為每三到五個接入點部署無線監(jiān)聽器這一做法可能出現(xiàn)的 隱藏節(jié)點 問題。 Cisco AP1131 內(nèi)置全向天線；天線功率分別為 2.4 GHz: 3 dBi； 5 GHz: 4.5 dBi。 根據(jù)各辦公樓樓層 物理 環(huán)境 和建筑平面圖， 配置無線接入點 AP 1131，分布在樓層合 適的位置，無線 AP 初步配置如下： 1656832.doc Page 36 of 99 AP 部署地點 現(xiàn)有 AP 數(shù)目 估計 AP 數(shù)目 中信 （ 4 層、按每層 15 個計算） 0 60 BOA（ 1 層、現(xiàn)有 33 個 AP 轉(zhuǎn)換） 33 0 GM(15 個 ) 0 15 TY(25 個 ) 0 25 LC/ACTI(倉庫 -現(xiàn)有 10 多個 AP 轉(zhuǎn)換、 office 增加 25 個） 15（ ?） 25 工廠（ 60 個） 0 60 北京（ 25 個） 0 25 上海（ 25 個 ) 0 25 各會議室（目前按普通空間計算，未單獨計算） 0 0 現(xiàn)有總計 48 新增總計 235 全部總計 283 說明：目前的 AP 數(shù)量為初步估算，具體的無線 接入點 規(guī)劃和站點測量可以在項目執(zhí)行時進行。由于無線網(wǎng)絡(luò)設(shè)計規(guī)劃時面臨的不確定因素比較多，所以很難精確確定所需 AP 的數(shù)量，故最后結(jié)果必須留有一定的冗余！ 辦公室內(nèi)所有的移動 客戶端關(guān)聯(lián)到 AP 1131 無線接入點，通過無線接入點與無線局域網(wǎng)無線控制器（ WiSM/WLC 4402）之間的 LWAPP 連接，經(jīng)過無線控制器 接入到辦公樓局域網(wǎng) 中。由于所有的用戶信息均由無線控制器來控制，因此所有的移動用戶無論處于 辦公室的哪個位置 ，均可以獲得相同的訪問控制屬性（ 根據(jù)用戶策略，也可以設(shè)置為不同的訪問控制屬性），并實現(xiàn)在整個辦公室 內(nèi)部的無縫漫游 。 AP1131 無線接入點 支持集中控制架構(gòu)的 瘦 AP模式，無需配置，只需將其連接辦公室局域網(wǎng)絡(luò)，即可 通過無線控制器 實現(xiàn) 為 其覆蓋范圍內(nèi)的無線設(shè)備提供高速、安全、穩(wěn)定的無線鏈路。 1656832.doc Page 37 of 99 5.2.3 以太網(wǎng)供電 AP1131 的供電方式有以下三種： 1.通過支持 PoE/802.3af 的以太網(wǎng)交換機直接供電，要求連接 AP的交換機端口支持 PoE/802.3af 功能，最遠傳輸距離 100 米； 2.當(dāng)連接 AP 的交換機端口不支持PoE/802.3af 時，可以通過外置供電模塊進行電源輸入。供電模塊通過普通以太網(wǎng)端口連接上游交換機，而為下游 AP 提供 PoE/802.3af 供電。這樣 AP 和以太網(wǎng)交換機之間的距離，可以延伸至 200米 (供電模塊采用雙絞線連接交換機 )，或 2100 米（供電模塊通過光纖連接交換機）。 3.通過 100-240V本地電源轉(zhuǎn)換器，為 AP 提供 48V 直流電源。此種方式要求 AP 所在位置有電源供應(yīng)。 1656832.doc Page 38 of 99 5.2.4 頻 點規(guī)劃 建議 建議采用 802.11 A/B/G同時工作的方式，以提高 AP 的吞吐率；即從 B/G single-band 的最大 54Mbps 帶寬 擴展到 到 A/B/G dual-band 的最大 108Mbps 帶寬。未來，在采用如 Cisco 7921 等支持 802.11A的無線 IP 電話環(huán)境中，建議讓無線 IP 電話采用 802.11A 頻段；筆記本電腦 /RFID Tag/手持終端 POS機等采用 802.11B/G 頻段。即 802.11A 頻段傳輸 IP Voice， 802.11B/G 頻段傳輸 IP Data；這樣，既可以充分利用 AP 的高吞吐率特性，充分 發(fā)揮 AP 系統(tǒng)性能，也減少客戶端之間的帶寬競爭 ，保障無線語音對 QoS 的高要求 。 5.2.5 現(xiàn)有無線網(wǎng)絡(luò)的遷移 Cisco 支持對現(xiàn)有自治“胖” AP 系統(tǒng)到集中架構(gòu)的“瘦” AP 系統(tǒng)的平滑 遷移 ，以保證對現(xiàn)有無線網(wǎng)絡(luò)的兼容性和對前期投資的充分保護： 1、現(xiàn)有自治 AP 的遷移 安利公司現(xiàn)有的自治 胖 AP Cisco 1231G 可以很簡便地轉(zhuǎn)換到由無線控制器集中控制的 瘦 AP 模式，也能夠很簡便地從 瘦 AP還原回 胖 AP模式。轉(zhuǎn)換過程簡單，可單獨離線轉(zhuǎn)換，也可通過 WLC無線控制器批處理轉(zhuǎn)換。 2、現(xiàn)有 WLSM 模塊的回購 Cisco 對現(xiàn)有網(wǎng)絡(luò)中的 1 塊 WLSM 模塊進行等價 Trade-in(回購 )。 3、現(xiàn)有 WLSE 網(wǎng)管的遷移 Cisco 對現(xiàn)有網(wǎng)絡(luò)中的 1 臺 WLSE 網(wǎng)管（軟件硬件）實現(xiàn)遷移， WLSE 可遷移到支持 WCS 網(wǎng)管平臺，只需要訂購相應(yīng)的 License，不需要另行購買服務(wù)器硬件。 1656832.doc Page 39 of 99 5.2.6 無線網(wǎng)絡(luò)性能設(shè)計 在 辦公樓 內(nèi)部 部署一個能保證性能的 WLAN 并非易事，規(guī)劃 WLAN 的關(guān)鍵是規(guī)劃接入點，需要有足夠的蜂窩重疊覆蓋以供漫游，并需要足夠的帶寬以供應(yīng)用。如果無線接入點不足，最后可能導(dǎo)致吞吐量出現(xiàn)問題，同時也會使覆蓋區(qū)域零星散落，對用戶的 漫游和工作地點造成一定的限制。我們的網(wǎng)絡(luò)設(shè)計均針對以下問題作出。 考慮移動性需求 在做接入點規(guī)劃時需要考慮用戶的移動性 需求。一種用戶在整個覆蓋區(qū)域內(nèi)移動時需要一直與 WLAN 相連接，譬如基于 WLAN 的 IP 語音 。另一種用戶只需要不時接入 WLAN，比如高級管理人員在不同大樓會議間歇時需要不時查看電子郵件。第一種需求需要跨越 WLAN的無縫漫游，此 WLAN需要大 的 接入點密度。而第二種需求屬于間斷性的無線連接，接入點密度可以相對小一些。 本次項目要求實現(xiàn) 的應(yīng)用情況屬于第一種情況，因此應(yīng)部署一定密度的無線接入點，同時通過合理的頻點規(guī)劃最大程度上避免頻率干擾問題。 計算吞吐量 在布署 WLAN 之前需要考慮 WLAN 最常使用的是哪種 通信：是電子郵件和 Web 通信、或是對速度要求很高的 ERP（企業(yè)資源規(guī)劃）、還是 CAD（計算機輔助設(shè)計）應(yīng)用程序。是需要速度為 54Mbps的 802.11a和 802.11g，還是只需要速度為 11Mbps 的 802.11b 就足夠。不管使用哪一種通信，當(dāng)用戶與接入點的距離過遠時，網(wǎng)絡(luò)速度都會顯著下降，所以安裝足夠的接入點不僅僅是為了支持所有的用戶，也是達到用戶需要的連接速度所要求的。 1656832.doc Page 40 of 99 1656832.doc Page 41 of 99 WLAN 宣稱的速度并不一定準(zhǔn)確對應(yīng)于它的實際速度。與交換式以太網(wǎng)不同， WLAN 是一種共享介質(zhì)，它更像是老式以 太網(wǎng)的集線器模型，將可用的吞吐量分割為若干份而不是為每個接入設(shè)備提供專線速度。這一限制（通過電波傳輸數(shù)據(jù)時還會有 50%的損耗）對無線網(wǎng)絡(luò)的吞吐量規(guī)劃而言是一個很大的問題，計算接入點數(shù)目時最好多預(yù)留一些空間。僅僅根據(jù)用戶數(shù)目及其最小帶寬需求來計算接入點數(shù)目是極其冒險的，盡管它可以在一段時間內(nèi)滿足對容量的需求。 防止干擾 干擾對于某些機構(gòu)可能會是個問題。盡管追蹤入侵微電波、無繩電話和藍牙設(shè)備并非難事，但更常遇到的是來自網(wǎng)絡(luò)內(nèi)部其它接入點甚至是網(wǎng)絡(luò)外部的干擾。例如， 802.11b和 802.11g在 2.4GHz頻帶內(nèi)提供三個相同的非重疊信道，這使得規(guī)劃密集部署或在相鄰 WLAN 的干擾下工作變得十分困難。 1656832.doc Page 42 of 99 理想的情況是， 2.4GHz 環(huán)境中的信道 1、 6 和 11 永遠不會與同一信道相鄰，這樣它們就不會相互干擾，但這是不現(xiàn)實的。實際上需要一定量的良性蜂窩覆蓋重疊以允許用戶漫游（ 20%到 30%最佳），但如果站點處的建筑物超過一層，即便是使用高增益天線，建筑物的層與層之間也會有一些滲漏。 802.11a的 12 個非重疊信道可以在很大程度上緩解信道分配帶來的問題。 802.11a 使用的5GHz 頻帶幾乎不會造成任何非 WLAN 干擾，而且用戶也不太可能遇到相鄰 802.11a 接入點。 關(guān)注覆蓋區(qū)域 WLAN 的射頻信號是這樣傳播的：信號頻率越低，無線網(wǎng)絡(luò)傳輸速度越慢，有效范圍就越遠。由于大量射頻信號以較低頻率傳播，同時信噪比的靈敏度因為高速調(diào)制方式而增加，所以速度為1Mbps 的 2.4GHz 802.11b 信號的傳播距離遠遠超過速度為 54Mbps 的 5GHz 802.11a 信號。 WLAN 的覆蓋范圍除了受不同射頻帶和吞吐量變化而造成的波傳播特征影響之外，還會因為自由空間路徑損耗和衰減而受到限制。自由空間路徑損耗更 大程度上是開放或戶外環(huán)境方面的問題，實際上是無線電信號因為波前擴展引起的擴散導(dǎo)致接收天線接收不到這些信號。衰減則在 WLAN 的室內(nèi)安裝中比較常見，它是振幅下降，或者射頻信號在穿過墻壁、門或其它障礙物時減弱造成的。這就是 WLAN 在密集建筑物周圍性能不好的原因。當(dāng)面對這種物理上的干擾時，即使是彈性比5GHz 信號好得多的 2.4GHz 信號，仍然會遇到某些射頻問題。 1656832.doc Page 43 of 99 多路徑效應(yīng)也是影響覆蓋范圍的重要因素之一。所謂多路徑效應(yīng)，就是信號被反射并回送的現(xiàn)象。在大多數(shù)情況下，多路徑效應(yīng)使接收到的信號被削弱 或是被完全抵消。于是有一些本來應(yīng)該充分傳播信號的區(qū)域幾乎或根本沒有射頻信號覆蓋。防止多路徑效應(yīng)的辦法是拆除或重新安置機柜和網(wǎng)絡(luò)設(shè)備機架之類的干擾對象，同時增加接入點密度或功率輸出。 使用自動化工具 以上提到的所有這一切，都要從無線站點勘察著手，站點勘察將評估和規(guī)劃無線基礎(chǔ)設(shè)施的射頻（ RF， radio frequency）環(huán)境和接入點的設(shè)置，以確保 WLAN 正常工作。從便攜式 WLAN 硬件工具箱到提供站點覆蓋區(qū)域詳細視圖的軟件包，有許多很方便的工具可幫助完成站點勘察。 站點勘察工具使 得布署 WLAN 的工作能夠非常順利地進行。射頻建模軟件，例如思科的 WCS， 1656832.doc Page 44 of 99 可根據(jù)進入樓層計劃自動確定接入點位置來幫助自動決定接入點的初始布局。其它工具，例如Airmagnet，可通過運行軟件的便攜式或手持式設(shè)備來提供有關(guān)射頻環(huán)境的信息。綜合工具，例如Ekahau 的 Site Survey 會從 WLAN 的系統(tǒng)范圍角度記錄同樣的射頻數(shù)據(jù)和用戶的位置。不管使用什么工具，仍然需要手工進行站點勘察，這是勘察工具所不能代替的。 像思科的規(guī)劃工具可以確定接入點位置、信道分配、功率輸出設(shè)置以及其它配置屬性。它們使用用 戶密度和吞吐量這類參數(shù)作為標(biāo)準(zhǔn)。問題在于仍然必須在基于 CAD 的樓層規(guī)劃中對諸如混凝土外墻和金屬門之類的建筑物指定預(yù)設(shè)衰減級別，除非規(guī)劃中已經(jīng)包含此信息。 接入點勘察工作完成后，需要驗證和描述這些接入點的覆蓋區(qū)域。為此，可使用隨客戶機 WLAN卡提供的站點勘察實用程序（假定供應(yīng)商捆綁了該實用程序）或者使用隨高級監(jiān)視工具提供的實用程序，或者是一些便攜式 WLAN 分析儀。 5.2.7 無線網(wǎng)絡(luò)的頻點覆蓋設(shè)計 802.11b/g 的頻率