深圳機(jī)場(chǎng)t3無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)計(jì)方案

1、國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案目錄1項(xiàng)目概況和用戶(hù)需求分析41.11.21.31.3.1項(xiàng)目概況4T3 站坪無(wú)線(xiàn)網(wǎng)絡(luò)需求5無(wú)線(xiàn)網(wǎng)絡(luò)覆蓋區(qū)域6值機(jī)廳及候機(jī)區(qū)概況62網(wǎng)絡(luò)設(shè)計(jì)原則72.12.2網(wǎng)絡(luò)設(shè)計(jì)實(shí)現(xiàn)原則7可擴(kuò)充升級(jí)，具備支持目前及未來(lái)關(guān)鍵應(yīng)用的能力83無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)計(jì)103.13.23.2.13.2.23.2.33.33.3.13.3.23.3.33.3.43.3.53.43.4.13.4.23.4.33.53.5.13.5.23.63.6.13.6.2無(wú)線(xiàn)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)10無(wú)線(xiàn)無(wú)線(xiàn)無(wú)線(xiàn)無(wú)線(xiàn)無(wú)線(xiàn)層設(shè)計(jì)11系統(tǒng)設(shè)計(jì)11器的功能12器選型設(shè)計(jì)13性設(shè)計(jì)14SSID 安全設(shè)計(jì)14無(wú)線(xiàn)用戶(hù)的認(rèn)證和加密

2、15無(wú)線(xiàn)接入點(diǎn)的接入認(rèn)證16無(wú)線(xiàn)接入點(diǎn)的和.16無(wú)線(xiàn)終端快速、安全的漫游機(jī)制（CCKM/PKC）19無(wú)線(xiàn)接入層設(shè)計(jì)20無(wú)線(xiàn) AP 選型設(shè)計(jì)21無(wú)線(xiàn) AP 布點(diǎn)設(shè)計(jì)22AP 的可靠性設(shè)計(jì)22無(wú)線(xiàn)網(wǎng)絡(luò)的頻點(diǎn)覆蓋設(shè)計(jì)22確定 AP 蜂窩的大小23WLAN 信道布局24無(wú)線(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)設(shè)計(jì)27無(wú)線(xiàn)射頻物理層安全28802.11 MAC 層安全303.6.2.13.6.2.23.6.33.6.4管理幀保護(hù)(MFP:Management Frame Protection)30用戶(hù)數(shù)據(jù)幀保護(hù)30接入點(diǎn)防護(hù)遏制了威脅.31標(biāo)準(zhǔn)的增強(qiáng)型無(wú)線(xiàn)威脅防護(hù)313.6.53.6.63.73.7.1采用虛擬服務(wù)組增強(qiáng)

3、管理靈活性33基于用戶(hù)的增強(qiáng)安全策略34無(wú)線(xiàn)網(wǎng)絡(luò)系統(tǒng)的高可用性設(shè)計(jì)35無(wú)線(xiàn)器的冗余設(shè)計(jì)35Cisco Systems, Inc. Proprietary andPage 2國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案3.7.23.83.93.10無(wú)線(xiàn)信號(hào)的冗余設(shè)計(jì)36無(wú)線(xiàn)網(wǎng)絡(luò)和無(wú)線(xiàn)客戶(hù)端的良好互操作性設(shè)計(jì)37無(wú)線(xiàn)網(wǎng)絡(luò)管理系統(tǒng)設(shè)計(jì)39無(wú)線(xiàn)解決方案技術(shù)優(yōu)勢(shì)423.10.13.10.23.10.33.10.43.10.5ClientLink 技術(shù)42Band Select 技術(shù)43CleanAir 技術(shù)45802.11AC 技術(shù)45Stream 技術(shù)464設(shè)備部署484.14.24.2.14.34.44.54

4、.64.7整體部署48無(wú)線(xiàn) AP 部署48無(wú)線(xiàn) AP 位置48網(wǎng)絡(luò)部署494F 區(qū)域部署493F 區(qū)域部署512F 區(qū)域部署521F 區(qū)域部署5356設(shè)備利舊54思科無(wú)線(xiàn)的優(yōu)勢(shì)556.1 思科在無(wú)線(xiàn)網(wǎng)絡(luò)上的優(yōu)勢(shì)556.2 思科是無(wú)線(xiàn)技術(shù)的創(chuàng)新者556.3 第機(jī)構(gòu)對(duì)思科無(wú)線(xiàn)和解決方案的評(píng)價(jià)：566.4 思科在國(guó)內(nèi)機(jī)場(chǎng)站坪無(wú)線(xiàn)覆蓋的典型案例576.4.16.4.2國(guó)際機(jī)場(chǎng)57天河國(guó)際機(jī)場(chǎng)59Cisco Systems, Inc. Proprietary andPage 3國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案1項(xiàng)目概況和用戶(hù)需求分析1.1 項(xiàng)目概況航空業(yè)目前正著一個(gè)充滿(mǎn)的，但是機(jī)場(chǎng)、航空公司和依然不斷

5、地致力于機(jī)場(chǎng)投資、運(yùn)營(yíng)和安全方面的改進(jìn)與完善。在緊縮預(yù)算的情況下，這些改進(jìn)要求無(wú)疑將給機(jī)場(chǎng)管理和員工在確定有效的解決方案方面帶來(lái)史無(wú)前例的，這些解決方案應(yīng)能為的用戶(hù)提供的服務(wù)。通過(guò)在安全、可靠的環(huán)境中實(shí)施可快速部署、靈活且緊密集成的應(yīng)用，通過(guò)無(wú)線(xiàn)通信技術(shù)可幫助客戶(hù)解決這些問(wèn)題。為創(chuàng)建這樣一種環(huán)境，全球各種規(guī)模的機(jī)構(gòu)都正致力于 WiFi 聯(lián)網(wǎng)技術(shù)的標(biāo)準(zhǔn)化工作。業(yè)界（如 META 最近電信和數(shù)據(jù)管理專(zhuān)業(yè)的）表明，未來(lái)的 3 5 年中，大多數(shù)企業(yè)網(wǎng)絡(luò)都將運(yùn)用基于基于無(wú)線(xiàn)統(tǒng)一接入的架構(gòu)實(shí)現(xiàn)融合。設(shè)備成本、管理效率和長(zhǎng)期運(yùn)營(yíng)成本等優(yōu)勢(shì)的組合，將有助于確保幾乎每個(gè)大型數(shù)據(jù)、語(yǔ)音和網(wǎng)絡(luò)采用通用的無(wú)線(xiàn)接入、管

6、理、運(yùn)營(yíng)的統(tǒng)一環(huán)境。大多數(shù)機(jī)場(chǎng)都運(yùn)行著多種分立網(wǎng)絡(luò)，以支持整個(gè)機(jī)場(chǎng)設(shè)施中的數(shù)據(jù)、語(yǔ)音和通信。思科公司提供了一種基礎(chǔ)設(shè)施，機(jī)場(chǎng)部署高密度、高可靠性、高安全性的WiFi 解決方案，并在通用網(wǎng)絡(luò)架構(gòu)上整合多個(gè)系統(tǒng)。思科解決方案提供了基于標(biāo)準(zhǔn)的WiFi 網(wǎng)絡(luò)架構(gòu)，集成了機(jī)場(chǎng)的安全、運(yùn)營(yíng)和通信應(yīng)用。目前可通過(guò)部署無(wú)線(xiàn) WiFi 網(wǎng)絡(luò)，來(lái)滿(mǎn)足任意一種現(xiàn)有或新型技術(shù)要求，同時(shí)為未來(lái)的發(fā)展提供基礎(chǔ)。例如，機(jī)場(chǎng)現(xiàn)在可部署一個(gè)網(wǎng)絡(luò)，以進(jìn)行安防監(jiān)視，旅客人流、機(jī)場(chǎng)內(nèi)部商家的運(yùn)營(yíng)管理等等，從而為機(jī)場(chǎng)運(yùn)營(yíng)部門(mén)提供數(shù)據(jù)決策支持。能夠?yàn)闄C(jī)場(chǎng)從安排、開(kāi)放安檢窗口數(shù)量、登機(jī)口的平衡調(diào)度、用戶(hù)體驗(yàn)等多方面提供更為精準(zhǔn)的數(shù)據(jù)支援。

7、通用的無(wú)線(xiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù)了現(xiàn)有投資，并為機(jī)場(chǎng)的多種應(yīng)用提供了平臺(tái)，這些應(yīng)用包括：數(shù)據(jù) 語(yǔ)音IP，乘客信息，航班信息，票務(wù)服務(wù)，公共互聯(lián)網(wǎng)接入，無(wú)線(xiàn)通信，公共地址監(jiān)視，電子學(xué)習(xí)，廣播電視，旅客登機(jī)的定向通知機(jī)場(chǎng)內(nèi)的位置導(dǎo)航提高運(yùn)營(yíng)靈活性排隊(duì)等候和登機(jī)檢查時(shí)間的普遍延長(zhǎng)是一個(gè)對(duì)機(jī)場(chǎng)、航空公司和乘客造成困擾的著名問(wèn)題。提高的靈活性可緩解此問(wèn)題，多家運(yùn)營(yíng)商按需共享登機(jī)口、票務(wù)柜臺(tái)和行李Cisco Systems, Inc. Proprietary andPage 4國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案區(qū)。幾個(gè)用于提供運(yùn)營(yíng)靈活性的思科通信解決方案實(shí)現(xiàn)了通用環(huán)境，可有效利用登機(jī)柜臺(tái)、登機(jī)口和行李處理。要實(shí)

8、現(xiàn)真正靈活的通用模式，就需要一個(gè)基于IP的通用智能網(wǎng)絡(luò)，該網(wǎng)絡(luò)需能立即向整個(gè)機(jī)場(chǎng)設(shè)施中的用戶(hù)提供數(shù)據(jù)、語(yǔ)音（、公共地址）、（監(jiān)視和廣播）及其他服務(wù)。例如，當(dāng)一家航空公司的登機(jī)服務(wù)在登機(jī)口處理新航班的登機(jī)時(shí)，該登機(jī)口的顯示屏、打印機(jī)、和其他網(wǎng)絡(luò)設(shè)備通信。思科無(wú)線(xiàn)CMX（Cisco Mobile Experience）解決方案提供了基于標(biāo)準(zhǔn)的網(wǎng)絡(luò)架構(gòu)，集成了機(jī)場(chǎng)的安全、運(yùn)營(yíng)和通信應(yīng)用。 由思科智能機(jī)場(chǎng)解決方案實(shí)現(xiàn)的靈活登機(jī)口和登機(jī)柜臺(tái)模式，可最為有效地使用和管理機(jī)場(chǎng)。公共設(shè)施的靈活運(yùn)營(yíng)優(yōu)勢(shì)包括： 使用服務(wù)亭或移動(dòng)設(shè)備處理乘客登機(jī)，因此消除了單一、很可能十分擁擠的乘客登機(jī)場(chǎng)所的限制通過(guò)改進(jìn)乘客和行李

9、的處理流程，縮短乘客等待時(shí)間，從而增加客戶(hù)服務(wù) 改進(jìn)通信服務(wù)，實(shí)現(xiàn)更迅速的航班周轉(zhuǎn)，最大限度地利用緊缺的登機(jī)口新收入機(jī)會(huì)乘客無(wú)線(xiàn)服務(wù)為租戶(hù)/特許經(jīng)營(yíng)商提供通信服務(wù) 改進(jìn)了乘客和行李/貨物流程通過(guò)系統(tǒng)集成，降低了重復(fù)檢驗(yàn)需求通過(guò)接入實(shí)時(shí)數(shù)據(jù)/系統(tǒng)，改進(jìn)了地面和維護(hù)操作的效率實(shí)現(xiàn)了全新的乘客自服務(wù)功能和行李自識(shí)別(RFID) 功能 改進(jìn)的安全措施 有效對(duì)機(jī)場(chǎng)內(nèi)部的全性。AP實(shí)現(xiàn)有效的探測(cè)、管控和壓制，從而保證在機(jī)場(chǎng)無(wú)線(xiàn)網(wǎng)絡(luò)的安1.2 T3 站坪無(wú)線(xiàn)網(wǎng)絡(luò)需求WLAN 必須覆蓋 T3 所有機(jī)位、遠(yuǎn)機(jī)位和近機(jī)位之間的區(qū)域，同時(shí)需要實(shí)現(xiàn)無(wú)線(xiàn)接入點(diǎn)的高冗余性，高冗余性要求 WLAN 系統(tǒng)能夠動(dòng)態(tài)的調(diào)整無(wú)線(xiàn)覆

10、蓋區(qū)域大小，在某個(gè) AP 無(wú)法正常工作時(shí)，由其它 AP 增大，讓故障 AP 覆蓋范圍內(nèi)的接入系統(tǒng)還能夠正常工作。移動(dòng)無(wú)線(xiàn)終端的應(yīng)用要求無(wú)線(xiàn)網(wǎng)絡(luò)系統(tǒng)必須具備和移動(dòng)終端很好的互操作性，例如安全的無(wú)線(xiàn)連接，QoS 支持，無(wú)縫漫游功能，同時(shí)對(duì)信號(hào)的穩(wěn)定性提出了要求。Cisco Systems, Inc. Proprietary andPage 5國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案1.3 無(wú)線(xiàn)網(wǎng)絡(luò)覆蓋區(qū)域1.3.1值機(jī)廳及候機(jī)區(qū)概況四層：1、辦理乘機(jī)手續(xù);2、國(guó)內(nèi)出港安全檢查;3、行李打包;4、行李寄存及失物招領(lǐng);5、超大行李托運(yùn)八個(gè)值機(jī)島A 值機(jī)島南航國(guó)內(nèi)航班值機(jī)區(qū)B 值機(jī)島1-12 號(hào)為南航國(guó)內(nèi)航班

11、值機(jī)區(qū);13-24 號(hào)為春 秋航、海航、川航、廈航、成都、西部航空?qǐng)F(tuán)隊(duì)柜臺(tái)值機(jī)區(qū)C 值機(jī)島海航、川航、廈航、成都、西部航空旅客值機(jī)區(qū)D 值機(jī)島和 E 值機(jī)島國(guó)際航班(深航、南航、國(guó)航、華航、立 榮、亞航、虎航、勝安、大韓、韓亞航空)值機(jī)區(qū)F 值機(jī)島東方航、上海航、航空、吉祥航空、奧凱航空、 河北航空、山東航空、航空旅客的值機(jī)區(qū)G 值機(jī)島和 H 值機(jī)島深航、國(guó)航國(guó)內(nèi)航班三層：國(guó)際(地區(qū))航班出發(fā)聯(lián)檢(主樓);國(guó)內(nèi)航班候機(jī)區(qū);國(guó)際航班候機(jī)區(qū)(東翼廊)二層：國(guó)內(nèi)旅客到達(dá);國(guó)內(nèi)航班行李提取;國(guó)內(nèi)迎客區(qū)一層：國(guó)際聯(lián)檢大廳;國(guó)際行李提取廳;國(guó)際到達(dá)迎客廳;國(guó)內(nèi)遠(yuǎn)機(jī)位候機(jī)區(qū)(十字指廊);國(guó)際遠(yuǎn)機(jī)位候機(jī)區(qū)(東

12、翼廊)負(fù)一層：地鐵 11 號(hào)線(xiàn)快線(xiàn)(預(yù)留);航站樓捷運(yùn)系統(tǒng)(預(yù)留)Cisco Systems, Inc. Proprietary andPage 6國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案2網(wǎng)絡(luò)設(shè)計(jì)原則2.1 網(wǎng)絡(luò)設(shè)計(jì)實(shí)現(xiàn)原則基于標(biāo)準(zhǔn)化的設(shè)計(jì)和實(shí)現(xiàn)在結(jié)構(gòu)上實(shí)現(xiàn)真正開(kāi)放，基于國(guó)際開(kāi)放式標(biāo)準(zhǔn)，開(kāi)放的網(wǎng)絡(luò)使用戶(hù)可以自由地選擇不同廠家的，受到某些廠家專(zhuān)有標(biāo)準(zhǔn)的限制，最大程度地保護(hù)用戶(hù)的利益。網(wǎng)絡(luò)的設(shè)計(jì)基于國(guó)際標(biāo)準(zhǔn)，網(wǎng)絡(luò)設(shè)備采用標(biāo)準(zhǔn)的接口和規(guī)范的協(xié)議，使不同廠家的設(shè)備可以順利地連接和互操作。技術(shù)先進(jìn)性和實(shí)用性系統(tǒng)建設(shè)要有一定的前瞻性，保證滿(mǎn)足現(xiàn)有業(yè)務(wù)的同時(shí)，又要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性和擴(kuò)展性。在方案設(shè)計(jì)中，把

13、思科先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來(lái)，充分考慮到應(yīng)用的現(xiàn)狀和未來(lái)發(fā)展趨勢(shì)。在網(wǎng)絡(luò)建成后的 3-5 年之內(nèi)，由于業(yè)務(wù)量的增加導(dǎo)致對(duì)網(wǎng)絡(luò)結(jié)構(gòu)及主要設(shè)備的調(diào)整。同時(shí)要考慮實(shí)際的應(yīng)用水平，避免技術(shù)環(huán)境過(guò)于超前造成投資浪費(fèi)。高度的可靠性、穩(wěn)定性和冗余網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在整個(gè)網(wǎng)絡(luò)中選定合理的網(wǎng)絡(luò)架構(gòu)，無(wú)線(xiàn)網(wǎng)絡(luò)采用集中式架構(gòu)，采用 802.11ac 通信協(xié)議，在較近的距離內(nèi)可以提供1300Mbps 的連接速率，可提供的信道，以及 MIMO 技術(shù)；在設(shè)備類(lèi)型上應(yīng)選用適應(yīng)室內(nèi)高密度環(huán)境的無(wú)線(xiàn)接入點(diǎn)，從而最大限度地支持各個(gè)業(yè)務(wù)系統(tǒng)的正常運(yùn)行。為了防止局部故障引起整個(gè)網(wǎng)絡(luò)系統(tǒng)的

14、癱瘓，要避免網(wǎng)絡(luò)出現(xiàn)單點(diǎn)失效。在網(wǎng)絡(luò)骨干上要提供備份鏈路，提供冗余路由。在網(wǎng)絡(luò)設(shè)備（無(wú)線(xiàn)器）上要提供冗余配置，具備同時(shí)工作負(fù)載均衡的設(shè)備備份機(jī)制，保證把局部故障對(duì)網(wǎng)絡(luò)的影響降低到最小。在無(wú)線(xiàn)信號(hào)的覆蓋上要提供一定程度(15%25%)的重疊覆蓋，在保證無(wú)線(xiàn)網(wǎng)絡(luò)的漫游體驗(yàn)同時(shí)還要考慮網(wǎng)絡(luò)因?yàn)閭€(gè)別接入點(diǎn)發(fā)生故障使得部分覆蓋區(qū)域沒(méi)有無(wú)線(xiàn)信號(hào)。Cisco Systems, Inc. Proprietary andPage 7國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案高性能為了及時(shí)、迅速地處理網(wǎng)絡(luò)上傳送的數(shù)據(jù)，網(wǎng)絡(luò)設(shè)備必須具備高速處理能力，提供高速數(shù)據(jù)鏈路，保證網(wǎng)絡(luò)高吞吐能力，滿(mǎn)足各種應(yīng)用對(duì)網(wǎng)絡(luò)帶寬的需求。易于安

15、裝、操作和管理良好的組織和管理對(duì)網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)和高效使用有很大幫助，無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)備的安裝應(yīng)該簡(jiǎn)單和易于操作，無(wú)線(xiàn)網(wǎng)絡(luò)應(yīng)該能夠提供方便、靈活、的工具，使得無(wú)論是安裝、操作還是使用對(duì)用戶(hù)都是非常容易操作和管理的。2.2 可擴(kuò)充升級(jí)，具備支持目前及未來(lái)關(guān)鍵應(yīng)用的能力隨著無(wú)線(xiàn)用戶(hù)應(yīng)用規(guī)模的不斷擴(kuò)大，要求無(wú)線(xiàn)網(wǎng)絡(luò)可以方便地?cái)U(kuò)充容量，支持的用戶(hù)及應(yīng)用；同時(shí)隨著無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)必須具備足夠的彈性能夠支持平滑地過(guò)渡到新的技術(shù)和設(shè)備，保證用戶(hù)現(xiàn)有的投資。高度的安全性為了保護(hù)用戶(hù)在網(wǎng)絡(luò)上數(shù)據(jù)的安全可靠，必須提供多種方式和層次的，通過(guò)使用無(wú)線(xiàn)檢測(cè)、無(wú)線(xiàn)防護(hù)、數(shù)據(jù)濾、狀態(tài)及無(wú)線(xiàn)等技術(shù)保證數(shù)據(jù)的安全傳輸和各個(gè)

16、業(yè)務(wù)系統(tǒng)之間的有效。Cisco Systems, Inc. Proprietary andPage 8國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案通過(guò)無(wú)線(xiàn)能夠?yàn)闄C(jī)場(chǎng)將來(lái)的各種運(yùn)營(yíng)提供強(qiáng)大數(shù)據(jù)支持通過(guò)利用無(wú)線(xiàn)網(wǎng)絡(luò)能夠?qū)崟r(shí)了解到用戶(hù)分布位置，從而為機(jī)場(chǎng)對(duì)調(diào)度、登機(jī)口分配提夠有效、準(zhǔn)備的數(shù)據(jù)支持，從而有效提升機(jī)場(chǎng)運(yùn)營(yíng)成本，同時(shí)無(wú)線(xiàn)用戶(hù)信息將為機(jī)場(chǎng)將來(lái)的各種商業(yè)運(yùn)用、運(yùn)營(yíng)提供足夠的數(shù)據(jù)支持能力。Cisco Systems, Inc. Proprietary andPage 9國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案3無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)計(jì)3.1 無(wú)線(xiàn)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)根據(jù)上述 T3 站坪的無(wú)線(xiàn)覆蓋的需求分析，本方案建議采用集中式、可

17、管理架構(gòu)的無(wú)線(xiàn)局域網(wǎng)架構(gòu)解決方案來(lái)實(shí)現(xiàn)無(wú)線(xiàn)網(wǎng)絡(luò)的部署。該解決方案將最新的行業(yè)標(biāo)準(zhǔn)與一種集中架構(gòu)和先進(jìn)功能結(jié)合起來(lái)，創(chuàng)建一種安全、有效并且極具擴(kuò)展性的無(wú)線(xiàn)局域網(wǎng)(WLAN)基礎(chǔ)設(shè)施。思科無(wú)線(xiàn)網(wǎng)絡(luò)系列包括和實(shí)施所需的工具和功能，即使首次部署無(wú)線(xiàn)局域網(wǎng)(WLAN)能快捷簡(jiǎn)便的完成，也適合于企業(yè)逐步演進(jìn)事先精確設(shè)計(jì)的無(wú)線(xiàn)移動(dòng)基礎(chǔ)設(shè)施。T3 站坪 WLAN 系統(tǒng)整體架構(gòu)如下圖所示:Cisco Systems, Inc. Proprietary andPage 10國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案思科無(wú)線(xiàn)網(wǎng)絡(luò)系列采用一種由一臺(tái)或幾臺(tái)無(wú)線(xiàn)器和管理“瘦”無(wú)線(xiàn)接入點(diǎn)的集中式無(wú)線(xiàn)局域網(wǎng)部署模式。在本方案中,采用

18、基于輕型接入點(diǎn)協(xié)議（CAWAPP）的瘦 AP 網(wǎng)絡(luò)構(gòu)架方式，從系統(tǒng)功能方面劃分，T3 站坪 WLAN 網(wǎng)絡(luò)包括如下三個(gè)主要子系統(tǒng)：····無(wú)線(xiàn)系統(tǒng)：互為冗余備份的無(wú)線(xiàn)器、安全認(rèn)證；室內(nèi)高密度無(wú)線(xiàn)接入系統(tǒng)：適合室內(nèi)部署的專(zhuān)為高密度設(shè)計(jì)的無(wú)線(xiàn)接入點(diǎn)；無(wú)線(xiàn)管理軟件系統(tǒng)：思科 PI 網(wǎng)絡(luò)管理軟件；無(wú)線(xiàn)及環(huán)境感知系統(tǒng)：思科 CMX 軟件系統(tǒng)。3.2無(wú)線(xiàn)層設(shè)計(jì)3.2.1無(wú)線(xiàn)系統(tǒng)設(shè)計(jì)網(wǎng)絡(luò)層需要對(duì)不同的對(duì)象進(jìn)行安全權(quán)限及網(wǎng)絡(luò)接入能力等方面的。思科提供的網(wǎng)絡(luò)層可以根據(jù)不同的用戶(hù)對(duì)象做出不同的反應(yīng)，比如根據(jù)不同用戶(hù)群進(jìn)行不同的安全策略并且返回不同的服務(wù)質(zhì)量和服務(wù)參數(shù)。這樣，

19、通過(guò)網(wǎng)絡(luò)層，每種用戶(hù)群都可以相應(yīng)的，并且得到相應(yīng)的服務(wù)質(zhì)量保證和安全保證。在思科統(tǒng)一無(wú)線(xiàn)網(wǎng)絡(luò)中，無(wú)線(xiàn)接入點(diǎn)只執(zhí)行實(shí)時(shí)的 802.11 操作。管理和功能都由無(wú)線(xiàn)器執(zhí)行，無(wú)線(xiàn)器由眾多無(wú)線(xiàn)接入點(diǎn)所共享。無(wú)線(xiàn)接入點(diǎn)只執(zhí)行第一層和第二層的功能，幀在這兩層進(jìn)入或離開(kāi) RF 域，無(wú)線(xiàn)接入點(diǎn)完全依賴(lài)于無(wú)線(xiàn)器來(lái)執(zhí)行其它功能，如用戶(hù)認(rèn)證、安全策略管理以及 RF 信道和輸出功率的選擇。這種勞動(dòng)分工被稱(chēng)為 split-MAC 架構(gòu)，正常的 MAC 操作被分到兩個(gè)不同的地方。無(wú)線(xiàn)網(wǎng)絡(luò)中的每個(gè)無(wú)線(xiàn)接入點(diǎn)都如此，它們必須將綁定到一個(gè)無(wú)線(xiàn)器才能啟動(dòng)并支持無(wú)線(xiàn)客戶(hù)端。無(wú)線(xiàn)器成為無(wú)線(xiàn)網(wǎng)絡(luò)的樞紐，支持分散在有線(xiàn)網(wǎng)絡(luò)中的大量無(wú)線(xiàn)接入

20、點(diǎn)。無(wú)線(xiàn)接入點(diǎn)與無(wú)線(xiàn)器之間的綁定是通過(guò)建立一條隧道，用于傳輸與 802.11 相關(guān)的消息和客戶(hù)端數(shù)據(jù)。無(wú)線(xiàn)接入點(diǎn)和無(wú)線(xiàn)器可以位于同一個(gè) IP 子網(wǎng)中，也可以位于兩個(gè)完全不同的 IP 子網(wǎng)，而且這兩個(gè) IP 子網(wǎng)可以位于不同的地方。Cisco Systems, Inc. Proprietary andPage 11國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案無(wú)線(xiàn)接入點(diǎn)和無(wú)線(xiàn)器可以使用數(shù)字彼此認(rèn)證對(duì)方，這樣可以在每臺(tái)設(shè)備成為思科統(tǒng)一無(wú)線(xiàn)網(wǎng)絡(luò)的一部分前正確地對(duì)其進(jìn)行認(rèn)證，有助于確保無(wú)線(xiàn)接入點(diǎn)和無(wú)線(xiàn)控制器無(wú)法進(jìn)入網(wǎng)絡(luò)。無(wú)線(xiàn)接入點(diǎn)和無(wú)線(xiàn)器可以使用數(shù)字彼此認(rèn)證對(duì)方，這樣可以在每臺(tái)設(shè)備成為思科統(tǒng)一無(wú)線(xiàn)網(wǎng)絡(luò)的一部分前正

21、確地對(duì)其進(jìn)行認(rèn)證，有助于確保無(wú)線(xiàn)接入點(diǎn)和無(wú)線(xiàn)控制器無(wú)法進(jìn)入網(wǎng)絡(luò)。3.2.2無(wú)線(xiàn)器的功能智能 RF 管理過(guò)去，使用接入點(diǎn)的無(wú)線(xiàn)網(wǎng)絡(luò)通常利用一個(gè)靜態(tài) RF 計(jì)劃進(jìn)行部署，而且每個(gè)接入點(diǎn)都以靜態(tài)方式設(shè)置它們的信道和功率。這個(gè)計(jì)劃是根據(jù) RF制定的，即利用計(jì)算機(jī)對(duì) RF 環(huán)境的模擬，結(jié)合接入點(diǎn)的天線(xiàn)，估計(jì)接入點(diǎn)的覆蓋范圍。RF的目標(biāo)是以最小的信道重疊，獲得接入點(diǎn)的最優(yōu)覆蓋范圍。但是，因?yàn)?RF是在一個(gè)不考慮部署后 RF 環(huán)境實(shí)際發(fā)生情況的計(jì)算機(jī)上進(jìn)行的，所以它們只是對(duì)實(shí)際 RF 環(huán)境的估計(jì)。無(wú)線(xiàn)局域網(wǎng)器可以自動(dòng)獲知同一個(gè)網(wǎng)絡(luò)中不同輕型接入點(diǎn)之間的信號(hào)強(qiáng)度。器能利用這些信息，為網(wǎng)絡(luò)創(chuàng)建一個(gè)動(dòng)態(tài)優(yōu)化 RF

22、 拓?fù)?。無(wú)線(xiàn)局域網(wǎng)器可以用一種獨(dú)特的方式提供動(dòng)態(tài) RF。用戶(hù)負(fù)載均衡802.11 協(xié)議很難和保障用戶(hù)的性能和吞吐。因?yàn)?802.11 為每個(gè)網(wǎng)絡(luò)組件提供了相等的空間能力，所以每個(gè)客戶(hù)端都可以決定它接下來(lái)將漫游到哪個(gè)接入點(diǎn)。當(dāng)客戶(hù)端設(shè)備進(jìn)入一個(gè)覆蓋區(qū)域時(shí)，它們可能會(huì)漫游到信號(hào)最強(qiáng)的接入點(diǎn)。同樣，每個(gè)客戶(hù)端設(shè)備對(duì) RF 介質(zhì)的權(quán)限與它們所關(guān)聯(lián)的接入點(diǎn)一樣。因此，所有客戶(hù)端的 RF 吞吐都有可能降低，所有客戶(hù)端都可以關(guān)聯(lián)到同一個(gè)接入點(diǎn)。這通常被成為“會(huì)議室效應(yīng)”。Cisco Systems, Inc. Proprietary andPage 12國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案負(fù)載均衡可以通過(guò)不斷

23、地優(yōu)化用戶(hù)關(guān)聯(lián)關(guān)系，為每個(gè)客戶(hù)端提供最佳的，從而優(yōu)化所有客戶(hù)端的吞吐。這可以提高每個(gè)客戶(hù)端的吞吐，動(dòng)態(tài)地均衡網(wǎng)絡(luò)的客戶(hù)端負(fù)載。思科無(wú)線(xiàn)局域網(wǎng)器和模塊擁有一個(gè)網(wǎng)絡(luò)整體視圖。通過(guò)加密的無(wú)線(xiàn)消息，這些控制器可以獲知接入點(diǎn)之間的信號(hào)強(qiáng)度。另外，當(dāng)某個(gè)客戶(hù)端探測(cè)接入點(diǎn)（這是 802.11 標(biāo)準(zhǔn)的一部分，即客戶(hù)端尋找任何廣播它所尋找的 WLAN 名稱(chēng)的接入點(diǎn)）時(shí)，器會(huì)收到來(lái)自每個(gè)客戶(hù)端探測(cè)信號(hào)的接入點(diǎn)所發(fā)出的信號(hào)。器隨后將根據(jù)客戶(hù)端的信號(hào)強(qiáng)度和信噪比，決定哪個(gè)接入點(diǎn)應(yīng)當(dāng)響應(yīng)客戶(hù)端的探測(cè)信號(hào)。例如，某個(gè)相鄰接入點(diǎn)能夠以較低的信號(hào)強(qiáng)度提供相同的服務(wù)。器將根據(jù)接入點(diǎn)的信號(hào)強(qiáng)度（RSSI），決定哪個(gè)接入點(diǎn)應(yīng)當(dāng)響應(yīng)

24、客戶(hù)端的探測(cè)信號(hào)。無(wú)縫三層漫游借助采用輕型接入點(diǎn)的思科統(tǒng)一無(wú)線(xiàn)網(wǎng)絡(luò)，當(dāng)?shù)谌龑勇伪灰刖W(wǎng)絡(luò)時(shí)，管理員不需要將 VLAN 拓展到網(wǎng)絡(luò)中的所有接入點(diǎn)，就可以保持一個(gè)扁平式的無(wú)線(xiàn)子網(wǎng)。那些采用自主接入點(diǎn)的網(wǎng)絡(luò)則有所不同，它們通過(guò)拓展 VLAN 來(lái)實(shí)現(xiàn)漫游，因而會(huì)產(chǎn)生大范圍的、不便于擴(kuò)展的廣播域。利用思科統(tǒng)一無(wú)線(xiàn)網(wǎng)絡(luò)，輕型接入點(diǎn)可以被部署到網(wǎng)絡(luò)的標(biāo)準(zhǔn)子網(wǎng)基礎(chǔ)設(shè)施中，并獲得一個(gè)隸屬于它們所在子網(wǎng)的 IP 地址。所有來(lái)自于無(wú)線(xiàn)客戶(hù)端的流量都將被放置到一個(gè)通過(guò)底層網(wǎng)絡(luò)到無(wú)線(xiàn)局域網(wǎng)器的 CAPWAP 數(shù)據(jù)包中?？蛻?hù)端設(shè)備可以從接到器的子網(wǎng)獲得它們的 IP 地址，而不是它們所在的樓宇的子網(wǎng)。底層子網(wǎng)基礎(chǔ)設(shè)施對(duì)于

25、客戶(hù)端而言是透明的。器可以管理互相之間的所有漫游和隧道通信，以確保不需要移動(dòng) IP 等協(xié)議。用戶(hù)功能思科統(tǒng)一無(wú)線(xiàn)網(wǎng)絡(luò)支持對(duì)用戶(hù)的功能。首先，當(dāng)用戶(hù)多次認(rèn)證失?。ù螖?shù)可設(shè)置），無(wú)線(xiàn)器會(huì)自動(dòng)該用戶(hù)一段時(shí)間，時(shí)間長(zhǎng)短可以自由設(shè)置。而當(dāng)確認(rèn)某個(gè)客戶(hù)端是的用戶(hù)時(shí)，可手動(dòng)設(shè)置該客戶(hù)端，切斷用戶(hù)在空口側(cè)對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)進(jìn)行破壞。思科統(tǒng)一無(wú)線(xiàn)網(wǎng)絡(luò)還支持在二層網(wǎng)絡(luò)下，限制無(wú)線(xiàn)客戶(hù)端之間的通信。3.2.3無(wú)線(xiàn)器選型設(shè)計(jì)Cisco 5508 系列無(wú)線(xiàn)器是一款高度可擴(kuò)展的靈活平臺(tái)，能夠在大中型企業(yè)和園區(qū)環(huán)境中，為關(guān)鍵任務(wù)無(wú)線(xiàn)網(wǎng)絡(luò)提供系統(tǒng)級(jí)服務(wù)。5508 系列專(zhuān)門(mén)采用了獨(dú)特設(shè)計(jì)，支持Cisco Systems, Inc. P

26、roprietary andPage 13國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案802.11n/ac 的性能下的最大可擴(kuò)展性，通過(guò)射頻的和保護(hù)能力提供延長(zhǎng)的正常工作時(shí)間，并且可以同時(shí)管理 500 個(gè)接入點(diǎn)；它具有卓越的性能，可以提供可靠的流和長(zhǎng)話(huà)級(jí)音質(zhì)；它還具有增強(qiáng)的故障恢復(fù)功能，能在要求最嚴(yán)格的環(huán)境中提供一致的移動(dòng)體驗(yàn)。5500 系列高性能無(wú)線(xiàn)網(wǎng)絡(luò)進(jìn)行了專(zhuān)門(mén)優(yōu)化，可以提供增強(qiáng)的移動(dòng)性，幫助企業(yè)為下一波的移動(dòng)設(shè)備和應(yīng)用發(fā)展浪潮做好充分準(zhǔn)備。5500 系列支持更高的客戶(hù)端密度，可提供更高效的漫游，吞吐量至少是現(xiàn)有 802.11a/g 網(wǎng)絡(luò)的九倍。 5500 系列可以自動(dòng)執(zhí)行無(wú)線(xiàn)配置和管理功能，為網(wǎng)絡(luò)

27、管理提供必要的能力，從而高效地管理、保護(hù)并優(yōu)化他們無(wú)線(xiàn)網(wǎng)絡(luò)的性能。5500 系列內(nèi)置 CleanAir 技術(shù)，通過(guò)實(shí)時(shí)和歷史射頻干擾信息和跨網(wǎng)絡(luò)接入來(lái)為快速故障排除提供解決方案，以保護(hù) 802.11n/ac 性能。作為思科統(tǒng)一無(wú)線(xiàn)網(wǎng)絡(luò)的組成部分，該器可在 Cisco Aironet 接入點(diǎn)、Cisco 無(wú)線(xiàn)系統(tǒng)和思科移動(dòng)服務(wù)引擎之間實(shí)現(xiàn)實(shí)時(shí)通信，從而提供集中的安全策略、無(wú)線(xiàn)防御系統(tǒng)(IPS) 功能、以及屢獲殊榮的射頻管理和服務(wù)質(zhì)量 (QoS)。3.3 無(wú)線(xiàn)性設(shè)計(jì)3.3.1SSID 安全設(shè)計(jì)思科統(tǒng)一無(wú)線(xiàn)網(wǎng)絡(luò)架構(gòu)使得無(wú)線(xiàn)接入點(diǎn)支持靈活多樣的 SSID 管理，可以實(shí)現(xiàn)每個(gè)無(wú)線(xiàn)接入點(diǎn)上的每個(gè)無(wú)線(xiàn)射頻模

28、塊最多支持 16 個(gè) SSID，雙頻無(wú)線(xiàn)接入點(diǎn)則可以支持 32 個(gè)SSID。在無(wú)線(xiàn)接入點(diǎn)上開(kāi)啟的所有 SSID 信息包將被封裝并轉(zhuǎn)發(fā)到無(wú)線(xiàn)器上，由無(wú)線(xiàn)器根據(jù)每個(gè)信息包的所屬 SSID 將信息轉(zhuǎn)成 802.3 以太網(wǎng)封裝并傳送到直連交換機(jī)相應(yīng) VLAN 中。在每一個(gè) SSID 的設(shè)置方面，可以選擇不同的參數(shù)組合：認(rèn)證方式：無(wú)認(rèn)證、基于三層的 Web 認(rèn)證、基于二層的 802.1x 認(rèn)證、MAC 認(rèn)證VLAN 分配/關(guān)系不同的加密模式：無(wú)、靜態(tài) WEP、TKIP、WPA、WPA2不同的 QoS 處理機(jī)制SSID 是否對(duì)外廣播Cisco Systems, Inc. Proprietary andPa

29、ge 14國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案為了有效的廣播域，提高無(wú)線(xiàn)網(wǎng)絡(luò)的性能，思科推出了 AP-Group 技術(shù)，對(duì)于某個(gè) SSID 來(lái)講，所有支持此 SSID 的無(wú)線(xiàn)接入點(diǎn)被劃分到不同的組（Group），每一組無(wú)線(xiàn)接入點(diǎn)在后端無(wú)線(xiàn)器上為一個(gè) VLAN。舉例來(lái)講，例如擁有數(shù)百個(gè)無(wú)線(xiàn)接入點(diǎn)的無(wú)線(xiàn)覆蓋典型環(huán)境下，支持同一 SSID 的所有無(wú)線(xiàn)接入點(diǎn)，按照其所處樓層、位置劃分為不同的 AP-Group，客戶(hù)端接入不同 AP-Group 時(shí)就被分割到不同的 VLAN，獲得不同網(wǎng)段的 IP地址。3.3.2無(wú)線(xiàn)用戶(hù)的認(rèn)證和加密無(wú)線(xiàn)網(wǎng)絡(luò)可能會(huì)多種類(lèi)型的。思科無(wú)線(xiàn)網(wǎng)絡(luò)系統(tǒng)在使用 802.1X-EAP、TK

30、IP或 AES 時(shí)，可以防止網(wǎng)絡(luò)多種網(wǎng)絡(luò)的影響。如下表所示：在現(xiàn)有的無(wú)線(xiàn)網(wǎng)絡(luò)數(shù)據(jù)加密技術(shù)中，除了要考慮加密算法外，還應(yīng)當(dāng)考慮傳輸密鑰的管理。思科已經(jīng)在方案上實(shí)施了 TKIP/AES 加密技術(shù)，可以有效無(wú)線(xiàn)鏈路的通訊安全。思科統(tǒng)一解決方案在處理客戶(hù)端數(shù)據(jù)的加是放在無(wú)線(xiàn) AP 上的，同時(shí)無(wú)線(xiàn)上有專(zhuān)用的加的 ASIC，給 AP 帶來(lái)額外的負(fù)擔(dān)。由于加在 AP 上完成，就像其他無(wú)線(xiàn)廠商一樣，由于器單元需要處理加的工作，造成傳輸性能下降。思科的器支持全線(xiàn)速的轉(zhuǎn)發(fā) AES 加密數(shù)據(jù)。而對(duì)于認(rèn)證，思科無(wú)線(xiàn)器支持標(biāo)準(zhǔn)多種 EAP 方式，包括 LEAP，PEAP，EAP-Fast，EAP-TLS 等。保證非的用

31、戶(hù)無(wú)法網(wǎng)絡(luò)。Cisco Systems, Inc. Proprietary andPage 15類(lèi)型安全改進(jìn)驗(yàn)證： 開(kāi)放加密： 靜態(tài) WEP驗(yàn)證：LEAP/EAP-FAST/EAP-TLS/PEAP加密： 動(dòng)態(tài) WEP驗(yàn)證：LEAP/EAP-FAST/EAP-TLS/PEAP加密：TKIP/MIC，AES中間人不安全不安全安全不安全安全安全薄弱 IV（AirSnort）不安全不安全安全分組（重復(fù)）不安全不安全安全不安全安全安全字典不安全安全安全國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案3.3.3無(wú)線(xiàn)接入點(diǎn)的接入認(rèn)證在思科統(tǒng)一無(wú)線(xiàn)網(wǎng)絡(luò)架構(gòu)下，無(wú)線(xiàn)器完全和管理無(wú)線(xiàn)接入點(diǎn)，那么無(wú)線(xiàn)接入點(diǎn)是否為一個(gè)合法接入網(wǎng)

32、絡(luò)的設(shè)備值得探討。思科無(wú)線(xiàn)器和無(wú)線(xiàn)接入點(diǎn)系統(tǒng)中，都內(nèi)嵌了 X.509，通過(guò)，無(wú)線(xiàn)器和無(wú)線(xiàn)接入點(diǎn)之間可以互相認(rèn)證對(duì)方的，保證網(wǎng)絡(luò)中的設(shè)備的。除此之外，思科還能提供關(guān)于無(wú)線(xiàn)接入點(diǎn)更高級(jí)的特征無(wú)線(xiàn)接入點(diǎn)的 802.1x 認(rèn)證。如上圖所示，無(wú)論是最終用戶(hù)或者是思科的無(wú)線(xiàn)接入點(diǎn)都可以通過(guò) 802.1x 的方式進(jìn)行認(rèn)證接入，思科的無(wú)線(xiàn)接入點(diǎn)可做為 802.1x 的被認(rèn)證點(diǎn)，通過(guò)在AAA 服務(wù)器內(nèi)用戶(hù)名和的比對(duì)，有線(xiàn)交換機(jī)決定允不開(kāi)放連接無(wú)線(xiàn)接入點(diǎn)的交換機(jī)端口。這樣，可以更進(jìn)一步提高網(wǎng)絡(luò)中無(wú)線(xiàn)接入點(diǎn)的接入安全。3.3.4無(wú)線(xiàn)接入點(diǎn)的和思科的無(wú)線(xiàn)系統(tǒng)對(duì)于無(wú)線(xiàn)接入點(diǎn)、Ad-Hoc 設(shè)備具有非常嚴(yán)謹(jǐn)并有效的處理過(guò)

33、程，在思科的統(tǒng)一無(wú)線(xiàn)網(wǎng)絡(luò)，用戶(hù)采用無(wú)線(xiàn)系統(tǒng)可以不再擔(dān)心無(wú)線(xiàn)接入點(diǎn)、Ad-Hoc 帶來(lái)的無(wú)線(xiàn)威脅問(wèn)題。Cisco Systems, Inc. Proprietary andPage 16國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案由上圖所示，有三種機(jī)制用于發(fā)現(xiàn)無(wú)線(xiàn)接入點(diǎn)：Auto-RRM思科的無(wú)線(xiàn)網(wǎng)絡(luò)系統(tǒng)可以通過(guò)運(yùn)行在接入模式下的無(wú)線(xiàn)接入點(diǎn)對(duì)無(wú)線(xiàn)接入點(diǎn)進(jìn)行發(fā)現(xiàn)和抑制，移除無(wú)線(xiàn)接入點(diǎn)上的所有客戶(hù)端，有效的防止無(wú)線(xiàn)接入點(diǎn)對(duì)于普通客戶(hù)端的行為。通常思科統(tǒng)一無(wú)線(xiàn)網(wǎng)絡(luò)中的無(wú)線(xiàn)接入點(diǎn)都會(huì)對(duì)無(wú)線(xiàn)接入點(diǎn)進(jìn)行發(fā)現(xiàn)和抑制，因此無(wú)線(xiàn)接入點(diǎn)除了工作在所配置的信道接入客戶(hù)終端外，還需要不間斷地掃描網(wǎng)絡(luò)中所有信道，并在無(wú)線(xiàn)接入點(diǎn)工作

34、的信道不間斷地發(fā)出一些模擬的管理消息幀，并將所獲取的相關(guān)信息報(bào)告給無(wú)線(xiàn)器，其中包括：無(wú)線(xiàn)接入點(diǎn)的 MAC 地址、無(wú)線(xiàn)接入點(diǎn)的名稱(chēng)、接入客戶(hù)端得 MAC 地址、幀是否受到 WPA 或 WEP 保護(hù)、SNR、RSSI 等。然后無(wú)線(xiàn)器開(kāi)始確定所報(bào)告的無(wú)線(xiàn)接入點(diǎn)是連在本地網(wǎng)絡(luò)，還是一個(gè)簡(jiǎn)單的鄰居無(wú)線(xiàn)接入點(diǎn)。必須指出的一點(diǎn)是，無(wú)線(xiàn)接入點(diǎn)的發(fā)現(xiàn)和抑制極為消耗無(wú)線(xiàn)接入點(diǎn)的，大多數(shù)廠商均是通過(guò)部署無(wú)線(xiàn)接入點(diǎn)在模式（Monitor）進(jìn)行該處理，所以如果完成這樣的功能，客戶(hù)需要的無(wú)線(xiàn)接入點(diǎn)的數(shù)量是正常接入模式數(shù)量的一倍（接入模式的無(wú)線(xiàn)接入點(diǎn)+模式的無(wú)線(xiàn)接入點(diǎn)）。但思科所有的無(wú)線(xiàn)接入點(diǎn)均有特殊設(shè)計(jì)，所以可以保證在接

35、入模式下就可完成對(duì)于無(wú)線(xiàn)接入點(diǎn)的發(fā)現(xiàn)和抑制工作，而不影響無(wú)線(xiàn)接入點(diǎn)的接入性能。Cisco Systems, Inc. Proprietary andPage 17國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案ARP Sniffing用于確定無(wú)線(xiàn)接入點(diǎn)是否連入本地有線(xiàn)網(wǎng)絡(luò)。將無(wú)線(xiàn)接入點(diǎn)的工作模式更改為“Rogue Detector”模式，并以 trunk 方式連到有線(xiàn)網(wǎng)，從而可以到所有的 VLAN。“Rogue Detector”無(wú)線(xiàn)接入點(diǎn)有線(xiàn)網(wǎng)絡(luò)中的 ARP 包，發(fā)現(xiàn)是否有無(wú)線(xiàn)器識(shí)別到的無(wú)線(xiàn)接入點(diǎn)或客戶(hù)端的 MAC 地址；若有，它就會(huì)讓無(wú)線(xiàn)器發(fā)出告警：發(fā)現(xiàn)無(wú)線(xiàn)接入點(diǎn)/客戶(hù)端連入有線(xiàn)網(wǎng)。如果無(wú)線(xiàn)接入點(diǎn)與“R

36、ogue Detector”無(wú)線(xiàn)接入點(diǎn)之間跨了三層，或者存在地址轉(zhuǎn)換，那么就不可能通過(guò) ARP Sniffing 方式發(fā)現(xiàn)無(wú)線(xiàn)接入點(diǎn)。通過(guò)運(yùn)行 RLDP，無(wú)線(xiàn)器會(huì)挑選一個(gè)離無(wú)線(xiàn)接入點(diǎn)最近的無(wú)線(xiàn)接入點(diǎn)，將它的信道調(diào)整為無(wú)線(xiàn)接入點(diǎn)工作的信道，作為客戶(hù)端關(guān)聯(lián)到無(wú)線(xiàn)接入點(diǎn)上，一旦關(guān)聯(lián)，就可以通過(guò) DHCP獲取 IP 地址，然后通過(guò)無(wú)線(xiàn)接入點(diǎn)向無(wú)線(xiàn)器一個(gè)特殊的 IP 包，如果無(wú)線(xiàn)控制器收到了此特殊 IP 包，就可以確定無(wú)線(xiàn)接入點(diǎn)與無(wú)線(xiàn)器所在的無(wú)線(xiàn)網(wǎng)絡(luò)位于同一個(gè)有線(xiàn)網(wǎng)?？偟膩?lái)講，可以通過(guò)以下四步對(duì)無(wú)線(xiàn)接入點(diǎn)進(jìn)行處理。另外，僅僅是通過(guò)無(wú)線(xiàn)設(shè)備對(duì)無(wú)線(xiàn)接入點(diǎn)進(jìn)行抑制還是不夠的，徹底解決無(wú)線(xiàn)接入點(diǎn)問(wèn)題的方法是關(guān)閉

37、無(wú)線(xiàn)接入點(diǎn)連接的交換機(jī)端口，當(dāng)然更徹底的是從物理上移除該無(wú)線(xiàn)接入點(diǎn)。Cisco Systems, Inc. Proprietary andPage 18國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案思科的有線(xiàn)無(wú)線(xiàn)集成的網(wǎng)絡(luò)系統(tǒng)完全可以提供無(wú)線(xiàn)接入點(diǎn)的檢測(cè)和聯(lián)動(dòng)功能，在思科的網(wǎng)絡(luò)系統(tǒng)里，一旦無(wú)線(xiàn)網(wǎng)絡(luò)檢測(cè)到無(wú)線(xiàn)接入點(diǎn)存在，即可發(fā)出指令接交換機(jī)關(guān)閉連接無(wú)線(xiàn)接入點(diǎn)的交換機(jī)端口。最后，確定所發(fā)現(xiàn)無(wú)線(xiàn)接入點(diǎn)的精確位置可以幫助管理員及時(shí)地從物理上排除非法無(wú)線(xiàn)接入點(diǎn)，徹底解決無(wú)線(xiàn)接入點(diǎn)帶來(lái)的安全隱患，思科的無(wú)線(xiàn)系統(tǒng)同時(shí)集成了精確的功能，可以幫助管理員在界面上準(zhǔn)確的出無(wú)線(xiàn)接入點(diǎn)的真實(shí)物理位置，從而幫助管理員輕松的移除無(wú)線(xiàn)接

38、入點(diǎn)。需要指出的是，思科的無(wú)線(xiàn)網(wǎng)絡(luò)系統(tǒng)不但支持對(duì)AP 的與功能，同時(shí)同樣支持客戶(hù)端的與，原理和AP 的與類(lèi)似，就不重復(fù)說(shuō)明了。3.3.5無(wú)線(xiàn)終端快速、安全的漫游機(jī)制（CCKM/PKC）在一些業(yè)務(wù)的當(dāng)中，數(shù)據(jù)是需要進(jìn)行加密的，那么在漫游過(guò)程中就要涉及到加密密鑰的交換。在一般情況下，密鑰的交換會(huì)涉及到無(wú)線(xiàn)客戶(hù)端、無(wú)線(xiàn)接入點(diǎn)、無(wú)線(xiàn)控制器還有的認(rèn)證服務(wù)器。這樣，就會(huì)導(dǎo)致切換過(guò)程中切換時(shí)間的延長(zhǎng)。對(duì)于一些關(guān)鍵業(yè)務(wù)及對(duì)于時(shí)間敏感的業(yè)務(wù)來(lái)說(shuō)，切換時(shí)間的要求非常高，所以，這里就需要一種體制來(lái)保證在加密情況下的高速、高效的切換過(guò)程。思科通過(guò) CCKM/PKC 機(jī)制來(lái)保證高速、高效的安全切換，密鑰交換過(guò)程，從而縮

39、短切換時(shí)間。Cisco Systems, Inc. Proprietary andPage 19國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案3.4 無(wú)線(xiàn)接入層設(shè)計(jì)無(wú)線(xiàn)接入層是國(guó)際機(jī)場(chǎng)無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)的重點(diǎn)，是各種應(yīng)用傳輸?shù)幕A(chǔ)承載平臺(tái)，在無(wú)線(xiàn)網(wǎng)絡(luò)的部署中，考慮不同的環(huán)境，需要有適應(yīng)于不同環(huán)境的無(wú)線(xiàn)接入點(diǎn)進(jìn)行無(wú)線(xiàn)覆蓋。在此基礎(chǔ)上，基于不同環(huán)境的無(wú)線(xiàn)接入點(diǎn)都需要有統(tǒng)一的無(wú)線(xiàn)器和單元進(jìn)行統(tǒng)一、集中的配置和管理。1）室內(nèi)環(huán)境一空間較大的開(kāi)闊室內(nèi)區(qū)域。因此無(wú)線(xiàn)信號(hào)覆蓋的問(wèn)題不大，主要考慮無(wú)線(xiàn)接入點(diǎn)的性能和容量。2）室內(nèi)環(huán)境二場(chǎng)館內(nèi)商業(yè)區(qū)等房間結(jié)構(gòu)室內(nèi)區(qū)域，這類(lèi)區(qū)域內(nèi)，有墻壁等物會(huì)對(duì)無(wú)線(xiàn)信號(hào)造成衰減，但在走廊式結(jié)構(gòu)的室

40、內(nèi)區(qū)域具備一定的穿越的能力，一般是穿越一道墻壁之后信號(hào)效果仍較好。因此這樣的結(jié)構(gòu)適合在走廊中布置無(wú)線(xiàn)接入點(diǎn)，來(lái)覆蓋周邊的房間區(qū)域。進(jìn)行室內(nèi)無(wú)線(xiàn)網(wǎng)絡(luò)的建設(shè)之前，需要對(duì)室內(nèi)無(wú)線(xiàn)環(huán)境的特點(diǎn)做一定的了解。室內(nèi)環(huán)境的地形相對(duì)較小，間隔物多而材料復(fù)雜，所以會(huì)產(chǎn)生室內(nèi)的多徑反射問(wèn)題和折射、衍射的情況，而且室內(nèi)的接入密度相對(duì)較大，數(shù)據(jù)流量相對(duì)集中，需要考慮無(wú)線(xiàn)接入點(diǎn)的容量和負(fù)載問(wèn)題。室內(nèi)環(huán)境，以下列出了一些影響室內(nèi)環(huán)境的無(wú)線(xiàn)信號(hào)強(qiáng)度的參考。3）室內(nèi)環(huán)境三需要精準(zhǔn)無(wú)線(xiàn)的區(qū)域。無(wú)線(xiàn)使用 RSSI 技術(shù)進(jìn)行無(wú)線(xiàn)終端位置，其主要通過(guò)終端到多個(gè)無(wú)線(xiàn)接入點(diǎn)的信號(hào)衰減程度，通過(guò)算法得到相應(yīng)的位置參數(shù)和數(shù)據(jù)信息。Cisco

41、Systems, Inc. Proprietary andPage 20物衰減石膏板墻3dB帶金屬框的墻6dB空心磚墻4dB隔斷3dB金屬門(mén)6dB磚墻上的金屬門(mén)12.4dB國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案因此，依托于這個(gè)技術(shù)，在無(wú)線(xiàn)接入點(diǎn)部署時(shí)，有如下部署原則需要重點(diǎn)關(guān)注：Wi-Fi RSSI由于 RSSI（無(wú)線(xiàn)接入 AP）必須部署間隔均勻地部署于整個(gè)區(qū)域內(nèi)。技術(shù)的算法，部分區(qū)域可能需要額外部署 AP 來(lái)實(shí)現(xiàn)無(wú)線(xiàn)終端定位。RSSI線(xiàn)網(wǎng)絡(luò)的 RSSI線(xiàn)網(wǎng)絡(luò)的 RSSI（無(wú)線(xiàn)接入 AP）必須是均勻隔開(kāi)并形成一個(gè)等邊三角形（三個(gè)無(wú)能夠同時(shí)收到無(wú)線(xiàn)終端的信號(hào)）或多邊形（四個(gè)或能夠獲得數(shù)據(jù)）。個(gè)無(wú)3.

42、4.1無(wú)線(xiàn) AP 選型設(shè)計(jì)用于覆蓋國(guó)際機(jī)場(chǎng)的無(wú)線(xiàn)接入點(diǎn)，建議采用思科 2700 系列無(wú)線(xiàn)接入點(diǎn)和思科3700 系列無(wú)線(xiàn)接入點(diǎn)結(jié)合的方式進(jìn)行覆蓋。思科 Aironet 2700 為思科無(wú)線(xiàn)系列思科 Aironet 2700/3700 為思科無(wú)線(xiàn)系列引入了一個(gè)新的 802.11ac Wave 1 無(wú)線(xiàn)接入點(diǎn)系列。 2700 被設(shè)計(jì)為具有成本效益的 802.11ac 解決方案，適用于不同的市場(chǎng)：包括企業(yè)、醫(yī)療行業(yè)、教育行業(yè)、生產(chǎn)制造業(yè)以及倉(cāng)儲(chǔ)物流等環(huán)境。 AP2700 系列是思科繼 2013 年推出模塊化的 AP3700 系列之后的第二個(gè)集成 802.11ac 的平臺(tái)。2700/3700 系列無(wú)線(xiàn)接

43、入點(diǎn)具備定制的 3x4（4x4）多輸入多輸出（ MIMO） 三空間流無(wú)線(xiàn)電模塊，支持多樣的部署模型和環(huán)境，包密度接入環(huán)境。高密度接入體驗(yàn)技術(shù)（思科稱(chēng)之為 HDX）包含多種應(yīng)用于無(wú)線(xiàn)接入點(diǎn)的技術(shù)特性，主要包括： 1.3 Gbps 吞吐量 跨無(wú)線(xiàn)接入點(diǎn)降噪技術(shù) 優(yōu)化漫游技術(shù) 思科 ClientLink 3.0 思科 CleanAir MIMO 均衡技術(shù)Cisco Systems, Inc. Proprietary andPage 21國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案思科 2702/3702 無(wú)線(xiàn)接入點(diǎn)被認(rèn)為是思科無(wú)線(xiàn)陣容中的支柱，專(zhuān)門(mén)為正在尋找高性能的、非模塊化的、高性?xún)r(jià)比的無(wú)線(xiàn)接入點(diǎn)的用戶(hù)所準(zhǔn)

44、備。該無(wú)線(xiàn)接入點(diǎn)的配置有內(nèi)置天線(xiàn)和外置天線(xiàn)兩種型號(hào)，支持 2.4GHz 下高達(dá) 160mW 及 5GHz*下 200mW 的，2 個(gè)千兆以太接口，并可以由 802.3atPOE+, 加強(qiáng)版 POE 或者 802.3af POE 驅(qū)動(dòng)。3.4.2無(wú)線(xiàn) AP 布點(diǎn)設(shè)計(jì)綜合各商圈的幾類(lèi)場(chǎng)景，按照商圈的形狀來(lái)區(qū)分無(wú)線(xiàn) AP 布點(diǎn)場(chǎng)景。主要可以將廣場(chǎng)分為以下幾類(lèi)：1. 門(mén)字形的廣場(chǎng)；2. 類(lèi)似 L 形的不規(guī)則廣場(chǎng)；3 類(lèi) S 型4 高天花開(kāi)闊區(qū)域型而國(guó)際機(jī)場(chǎng)商場(chǎng)內(nèi)部可以按照高天花開(kāi)闊區(qū)域型來(lái)理解。3.4.3AP 的可靠性設(shè)計(jì)無(wú)線(xiàn) AP 的可靠性設(shè)計(jì)主要體現(xiàn)為：當(dāng)一臺(tái) AP 掉線(xiàn)或者工作不正常之后，會(huì)形成

45、一個(gè)覆蓋區(qū)域的“黑洞”。這個(gè)時(shí)候，器會(huì)自動(dòng)發(fā)現(xiàn)這個(gè)“黑洞”的存在，并告知周?chē)腁P 增大以及調(diào)整相關(guān) RF 參數(shù)來(lái)彌補(bǔ)該 AP 掉線(xiàn)造成的盲區(qū)，達(dá)到動(dòng)態(tài)的“自愈”。在涉及 AP 部署的時(shí)候，同時(shí)考慮 AP 的間距，能夠支持動(dòng)態(tài)“自愈”的功能。3.5 無(wú)線(xiàn)網(wǎng)絡(luò)的頻點(diǎn)覆蓋設(shè)計(jì)802.11b/g 的頻率范圍 2400-2483.5MHz，劃分了 14 個(gè)子頻道，頻帶寬為 22MHz，最多可以提供 3 個(gè)不重疊的頻道同時(shí)工作(1，6，11)。Cisco Systems, Inc. Proprietary andPage 22國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案3.5.1確定 AP 蜂窩的大小AP 蜂窩的

46、大小決定了需要并部署的 AP 數(shù)量，然而，設(shè)計(jì)方案并不能僅根據(jù)成本來(lái)選擇。當(dāng)客戶(hù)端移動(dòng)或匯集在同一個(gè)地方時(shí)，AP 蜂窩的大小將影響 AP 的性能。別忘了，WLAN 是一種共享介質(zhì)。在單個(gè) AP 蜂窩內(nèi)，與 AP 相關(guān)聯(lián)的所有客戶(hù)端將共享并爭(zhēng)用帶寬。如果蜂窩太大，可能有大量的客戶(hù)端在這里，并使用該 AP。如果縮小蜂窩，同時(shí)使用網(wǎng)絡(luò)的客戶(hù)端數(shù)量也將減少。有關(guān) AP 蜂窩應(yīng)覆蓋多少個(gè)客戶(hù)端沒(méi)有固定的經(jīng)驗(yàn)規(guī)則。和交換型網(wǎng)絡(luò)一樣，限制客戶(hù)端數(shù)量的因素是客戶(hù)端使用的應(yīng)用類(lèi)型以及在給定時(shí)刻通過(guò)介質(zhì)傳輸?shù)臄?shù)據(jù)量。作為一個(gè)非常粗略的指導(dǎo)原則，可考慮將無(wú)線(xiàn)蜂窩的最大峰值吞吐量除以同時(shí)上網(wǎng)的客戶(hù)端數(shù)量，得到每位用戶(hù)

47、的最大數(shù)據(jù)率。同時(shí)應(yīng)考慮 802.11 封裝和帶寬爭(zhēng)用帶來(lái)的開(kāi) 銷(xiāo)，使用 802.11b 時(shí)，思科單個(gè) 1310 AP 的吞吐量通?？筛哌_(dá) 6.8Mbps，而 802.11g 可高達(dá)28 Mbps。這意味著在包含 25 個(gè)客戶(hù)端的 802.11b 蜂窩內(nèi)，每個(gè)客戶(hù)端的最大吞埕量為272Kbit/s (6.8Mbps / 25)；在 802.11g 蜂窩內(nèi)包含 25 個(gè)客戶(hù)端時(shí)，每個(gè)客戶(hù)端的最大吞吐量為 1.12 Mbit/s (28 Mbps / 25)。另外別忘了，在大型蜂窩內(nèi)，當(dāng)客戶(hù)端遠(yuǎn)離 AP 時(shí)，其數(shù)據(jù)率將降低。例如，當(dāng)802.11b 客戶(hù)端在 AP 附近時(shí)，可以使用最高的數(shù)據(jù)率（11

48、Mbit/s）。隨著客戶(hù)端逐漸遠(yuǎn)離AP，數(shù)據(jù)率將降低到 5.5、2 和 1Mbit/s。你可能希望客戶(hù)端在蜂窩內(nèi)能夠使用最高的數(shù)據(jù)率，這可以通過(guò)縮小蜂窩來(lái)實(shí)現(xiàn)。一般而言，AP 蜂窩的大小取決于 AP 的。功率越高，覆蓋范圍越大，因此必須動(dòng)態(tài)調(diào)整 AP 的，以免其信號(hào)到附近使用相同信道的 AP 蜂窩內(nèi)。Cisco Systems, Inc. Proprietary andPage 23國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案確定 AP 蜂窩的大小和位置后，客戶(hù)端應(yīng)該能夠在覆蓋范圍內(nèi)的任何位置關(guān)聯(lián)和漫游。如果一個(gè) AP 出現(xiàn)故障，它原來(lái)覆蓋的區(qū)域?qū)⒆兂伸o區(qū)。顯然，可以通過(guò)替換出現(xiàn)故障的 AP 來(lái)修復(fù)這個(gè)

49、“洞” 如果能在 AP 出現(xiàn)了故障的第一時(shí)間發(fā)現(xiàn)的話(huà)。也可以對(duì)相鄰的 AP 進(jìn)行配置以增大其輸出功率，從而使其覆蓋范圍包含這個(gè)“洞”。然而，調(diào)整 AP 的功率是一項(xiàng)棘手的任務(wù)，可能影響眾多其他的 AP 蜂窩。思科集中式架構(gòu)的無(wú)線(xiàn)網(wǎng)絡(luò)解決方案很好的解決了上述問(wèn)題。射頻管理內(nèi)嵌于無(wú)線(xiàn)器，自動(dòng)管理調(diào)整射頻參數(shù)Key RF Stats ProfiledAP Received EnergyTotal Energy on Each ChannelNon-802.11 NoiseNon-802.11 Noise Heard on Channel802.11 Interference (Described a

50、s %busy)802.11 Packets Heard During Sampling IntervalsUtilizationMore Emphasis Given to APs That Require More BandwidthLWAPP APWLC就像器里有一個(gè) 射頻 和調(diào)整的專(zhuān)業(yè)工程師3.5.2WLAN 信道布局為最大限度地減少信道之間的重疊和干擾，應(yīng)避免相鄰 AP 使用相同的信道。在802.11b 和 802.11g 中，只能使用信道 1、6 和 11?？梢杂幸?guī)則地排列蜂窩，交替使用不同的信道。Cisco Systems, Inc. Proprietary andPage 24

51、All Channels Scanned While Offering Service Country Channels Only or All ChannelsAll 802.11 Packets Collected and CharacterizedRogue Beacons, Rogue Clients, 802.11 Interference and Matched Against IDS Signatures偵測(cè)和壓制用戶(hù)負(fù)載管理覆蓋漏洞管理自動(dòng)頻段分配移動(dòng)性管理干擾發(fā)現(xiàn)和避免國(guó)際機(jī)場(chǎng) T3 航站樓無(wú)線(xiàn)網(wǎng)絡(luò)方案交替使用信道可避免重疊，這常被稱(chēng)為信道重用?？紤]設(shè)計(jì)和維護(hù)無(wú)線(xiàn)局域網(wǎng)所涉及

52、的每項(xiàng)任務(wù)時(shí)，它們就像是要解決的難題！必須對(duì)每個(gè) AP 的蜂窩大小、和使用的信道進(jìn)行協(xié)調(diào)。如果要客戶(hù)端整個(gè)園區(qū)無(wú)線(xiàn)網(wǎng)進(jìn)行漫游，漫游也將是一個(gè)問(wèn)題。好消息是，思科統(tǒng)一無(wú)線(xiàn)網(wǎng)絡(luò)解決了這些眾多的難題。它可以實(shí)現(xiàn)： 動(dòng)態(tài)地分配信道：WLC 根據(jù)區(qū)域內(nèi)其他活動(dòng)的接入點(diǎn)，為每個(gè) AP 選擇并配置 RF 信道。 優(yōu)化：WLC 根據(jù)所需的覆蓋范圍設(shè)置每個(gè) AP 的。還將定期地自動(dòng)調(diào)整。 自我修復(fù)無(wú)線(xiàn)覆蓋范圍：如果某個(gè) AP 出現(xiàn)故障，將自動(dòng)調(diào)高周?chē)?LAP 的，以覆蓋出現(xiàn)的空洞。射頻管理實(shí)時(shí)射頻管理 射頻域是一個(gè)永遠(yuǎn)變化的環(huán)境 用戶(hù)的移動(dòng) 干擾的發(fā)生器從無(wú)線(xiàn)域的整體系統(tǒng)角度出發(fā)對(duì)所轄的AP實(shí)施覆蓋優(yōu)化以及網(wǎng)絡(luò)可用性的調(diào)整RF channel “1”RF channel “6”RF channel “11” 優(yōu)化的射