辦公室無(wú)線網(wǎng)絡(luò)技術(shù)方案.doc

38062799d1b3f11f7c847e754d2bbf60.pdf page 1 of 100 安利中國(guó)公司辦公室安利中國(guó)公司辦公室 無(wú)線網(wǎng)絡(luò)技術(shù)方案無(wú)線網(wǎng)絡(luò)技術(shù)方案 思科系統(tǒng)思科系統(tǒng)(中國(guó)中國(guó))網(wǎng)絡(luò)技術(shù)有限公司網(wǎng)絡(luò)技術(shù)有限公司 2007 年年 6 月月 38062799d1b3f11f7c847e754d2bbf60.pdf page 2 of 100 1項(xiàng)目概述項(xiàng)目概述.4 2現(xiàn)狀與需求分析現(xiàn)狀與需求分析.4 2.1現(xiàn)狀分析.4 2.2需求分析.5 3網(wǎng)絡(luò)設(shè)計(jì)原則和設(shè)備廠商選擇網(wǎng)絡(luò)設(shè)計(jì)原則和設(shè)備廠商選擇.8 3.1網(wǎng)絡(luò)設(shè)計(jì)實(shí)現(xiàn)原則.8 3.2設(shè)備廠商選擇原則.10 3.3選擇思科無(wú)線產(chǎn)品的技術(shù)優(yōu)勢(shì).11 4網(wǎng)絡(luò)技術(shù)選型網(wǎng)絡(luò)技術(shù)選型.16 4.1集中無(wú)線網(wǎng)絡(luò)架構(gòu).16 4.1.1無(wú)線資源監(jiān)控17 4.1.2動(dòng)態(tài)信道分配18 4.1.3干擾檢查和避免20 4.1.4動(dòng)態(tài)發(fā)射功率控制21 4.1.5覆蓋盲區(qū)檢測(cè)和糾正22 4.1.6客戶端和網(wǎng)絡(luò)負(fù)載均衡23 4.1.7真正實(shí)時(shí)解決方案23 4.2輕型接入點(diǎn)協(xié)議.25 4.2.1輕型接入點(diǎn)部署定位25 4.2.2標(biāo)準(zhǔn)化需求27 4.2.3運(yùn)行 lwapp.28 5無(wú)線網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃無(wú)線網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃.30 5.1網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)概述.30 5.2無(wú)線網(wǎng)絡(luò)設(shè)計(jì)架構(gòu).32 5.2.1概述32 5.2.2詳細(xì)設(shè)計(jì)34 5.2.3以太網(wǎng)供電38 5.2.4頻點(diǎn)規(guī)劃建議39 5.2.5現(xiàn)有無(wú)線網(wǎng)絡(luò)的遷移39 5.2.6無(wú)線網(wǎng)絡(luò)性能設(shè)計(jì)40 5.2.7無(wú)線網(wǎng)絡(luò)的頻點(diǎn)覆蓋設(shè)計(jì)45 5.2.8天線的選擇49 5.2.9無(wú)線網(wǎng)絡(luò)系統(tǒng)的話音應(yīng)用設(shè)計(jì)（vowlan）.53 5.2.10無(wú)線網(wǎng)絡(luò)系統(tǒng)的安全設(shè)計(jì)60 38062799d1b3f11f7c847e754d2bbf60.pdf page 3 of 100 5.2.11無(wú)線網(wǎng)絡(luò)系統(tǒng)的管理66 6思科無(wú)線網(wǎng)絡(luò)解決方案技術(shù)優(yōu)勢(shì)思科無(wú)線網(wǎng)絡(luò)解決方案技術(shù)優(yōu)勢(shì).68 6.1先進(jìn)的無(wú)線局域網(wǎng)絡(luò)產(chǎn)品.68 6.2更好的用戶體驗(yàn).68 6.3更好的管理體驗(yàn).69 6.4基于用戶的增強(qiáng)安全策略.70 6.5“自由”漫游移動(dòng)域.70 6.6采用虛擬服務(wù)組增強(qiáng)管理靈活性.70 6.7強(qiáng)大的認(rèn)證管理選項(xiàng).71 6.8集中接入點(diǎn)管理提供簡(jiǎn)化管理方法.71 6.9動(dòng)態(tài)射頻（rf）管理確保最佳覆蓋范圍71 6.10用戶端射頻優(yōu)化提供個(gè)性化性能 72 6.11即插即用（plug-n-play）/即插即增（plug-n-grow）.72 6.12惡意接入點(diǎn)防護(hù)遏制了威脅侵害 72 6.13超越標(biāo)準(zhǔn)的增強(qiáng)型無(wú)線威脅防護(hù) 73 6.14采用用戶端負(fù)載均衡實(shí)現(xiàn)最佳性能 73 6.15無(wú)縫的快速漫游支持不間斷語(yǔ)音和多媒體業(yè)務(wù) 73 6.16自愈式彈性設(shè)計(jì)使服務(wù)中斷最小化 74 6.17持續(xù)運(yùn)營(yíng) 74 6.18通過(guò)在任何網(wǎng)絡(luò)中進(jìn)行無(wú)縫的部署將您的局域網(wǎng)（lan）擴(kuò)展到無(wú)線.74 6.19基于標(biāo)準(zhǔn)開(kāi)放方式的用戶和應(yīng)用兼容性方法 75 6.20管理幀保護(hù)(mfp:management frame protection) .75 6.21無(wú)線 wlc 與有線 ids/ips 聯(lián)動(dòng)76 6.22遠(yuǎn)程 ap 混合工作方式 h-reap76 7產(chǎn)品介紹產(chǎn)品介紹.77 7.1無(wú)線局域網(wǎng)控制器.77 7.2無(wú)線網(wǎng)管系統(tǒng).82 7.3定位服務(wù)器.89 7.4無(wú)線接入點(diǎn).98 38062799d1b3f11f7c847e754d2bbf60.pdf page 4 of 100 1 項(xiàng)目概述項(xiàng)目概述 隨著辦公自動(dòng)化、移動(dòng)辦公、rfid 技術(shù)、無(wú)線 ip 語(yǔ)音的不斷深入應(yīng)用，以及訪客交流 的日益增多，安利中國(guó)公司擬建立一個(gè)能夠快速、靈活、簡(jiǎn)便可靠組網(wǎng)、高安全性以及承載豐富 移動(dòng)應(yīng)用的無(wú)線網(wǎng)絡(luò)。 為配合安利中國(guó)公司無(wú)線網(wǎng)絡(luò)建設(shè)，在技術(shù)上需要采用現(xiàn)代無(wú)線網(wǎng)絡(luò)技術(shù)的先進(jìn)成果，必 須保持一定的技術(shù)前瞻性，使安利中國(guó)公司的無(wú)線網(wǎng)絡(luò)建設(shè)進(jìn)入世界的先進(jìn)行列；同時(shí)考慮安利 中國(guó)公司的實(shí)際應(yīng)用需求，結(jié)合企業(yè)未來(lái)發(fā)展要求，在統(tǒng)一網(wǎng)絡(luò)管理與安全策略的前提下，使安 利中國(guó)公司網(wǎng)絡(luò)的技術(shù)建設(shè)水平與經(jīng)濟(jì)投資效益及業(yè)務(wù)發(fā)展需求結(jié)合起來(lái)，為安利中國(guó)公司服務(wù)， 發(fā)揮應(yīng)有作用。 同時(shí)，結(jié)合安利中國(guó)公司現(xiàn)有的無(wú)線網(wǎng)絡(luò)狀況，應(yīng)考慮到新部署的無(wú)線網(wǎng)絡(luò)對(duì)現(xiàn)有無(wú)線網(wǎng) 絡(luò)的兼容或支持對(duì)現(xiàn)有無(wú)線網(wǎng)絡(luò)的平滑升級(jí)，以最大程度地保護(hù)前期投資并實(shí)現(xiàn)統(tǒng)一管理、統(tǒng)一 策略。 思科公司根據(jù)自身豐富的無(wú)線網(wǎng)絡(luò)實(shí)施經(jīng)驗(yàn)和功能強(qiáng)大的無(wú)線產(chǎn)品依據(jù)安利中國(guó)公司網(wǎng) 絡(luò)現(xiàn)狀，同時(shí)參照國(guó)際、國(guó)內(nèi)和行業(yè)相關(guān)技術(shù)標(biāo)準(zhǔn)及規(guī)范，以及信息化建設(shè)規(guī)范，還吸取了國(guó)內(nèi) 外相關(guān)案例的成功經(jīng)驗(yàn)，完全可以無(wú)縫融合進(jìn)當(dāng)前安利中國(guó)公司的信息化全面建設(shè)中。 2 現(xiàn)狀與需求分析現(xiàn)狀與需求分析 2.1 現(xiàn)狀分析現(xiàn)狀分析 本次項(xiàng)目主要考慮安利中國(guó)公司各辦公室的無(wú)線網(wǎng)絡(luò)部署。無(wú)線覆蓋空間類型大多為辦公室， 少量為會(huì)議室和空曠區(qū)域。辦公室房間多分布在走廊兩側(cè)，走廊側(cè)為墻壁或木門(mén)。房間和走廊均 38062799d1b3f11f7c847e754d2bbf60.pdf page 5 of 100 設(shè)有吊頂，吊頂距離樓板大約 30 至 50 厘米，走廊吊頂上方為結(jié)構(gòu)化布線金屬線槽和弱電路由。 各辦公室的現(xiàn)有布線結(jié)構(gòu)比較簡(jiǎn)單，目前各房間的游戲信息點(diǎn)均匯集到相應(yīng)的配線間最終匯聚 到相應(yīng)的主機(jī)房。 目前安利公司部署的是自治的無(wú)線接入點(diǎn)（即“胖”ap）系統(tǒng)。安利中國(guó)現(xiàn)有的無(wú)線網(wǎng)絡(luò)中配 置了一塊 cisco catalyst 6509 交換機(jī)內(nèi)置的 wlsm 無(wú)線域服務(wù)模塊（wds）和一臺(tái) wlse 無(wú)線網(wǎng)管； 無(wú)線接入點(diǎn)分布如下： 美銀中心：部署無(wú)線接入點(diǎn) cisco ap 1231g 共 33 臺(tái)，配置 2.4g 天線，類型為 ant-4941； 永和倉(cāng)庫(kù)：部署無(wú)線接入點(diǎn) cisco ap 1231g 共 10 多臺(tái)，配置 2.4g 天線，類型為 ant-4941。 其他辦公室安裝有少量自治 ap。 各 ap 通過(guò) cisco catalyst 3560 以太網(wǎng)供電交換機(jī)提供 48v poe 電源。 2.2 需求需求分析分析 本次無(wú)線項(xiàng)目涵蓋廣州、北京、上海三地的多個(gè)辦公室。各辦公室樓層狀況和現(xiàn)有無(wú)線網(wǎng)絡(luò)狀況如 下： 辦公室每層面積目前部署狀況 中信 4 層、每層 45 米45 米未部署 美銀1 層33 個(gè)獨(dú)立 ap 國(guó)貿(mào)面積約為美銀一半左右未部署 天譽(yù)面積約與美銀相仿未部署 lc/actioffice 面積約與美銀相仿 倉(cāng)庫(kù)已部署 10 多個(gè)獨(dú)立 ap，辦公室未 部署 開(kāi)發(fā)區(qū)工廠面積約為美銀 2 倍未部署 北京office 面積約與美銀相仿未部署 上海office 面積約與美銀相仿未部署 各會(huì)議室目前按普通空間計(jì)算，未單獨(dú)計(jì)算未部署 要求實(shí)現(xiàn)無(wú)線 wi-fi 客戶端在上述區(qū)域的所有地方都能無(wú)線上網(wǎng)且用戶可以在有無(wú)線信號(hào)的 38062799d1b3f11f7c847e754d2bbf60.pdf page 6 of 100 地方無(wú)縫的漫游，以提供安全的移動(dòng)聯(lián)網(wǎng)環(huán)境，實(shí)現(xiàn)真正的安全移動(dòng)，減少布線的繁瑣和成本， 提高員工協(xié)同工作效率，從而節(jié)省成本并提高生產(chǎn)率。 辦公室內(nèi)有大量用戶需要使用筆記本電腦接入無(wú)線網(wǎng)絡(luò)，并且該數(shù)量會(huì)不斷增加。對(duì)外 交流活動(dòng)較多，樓內(nèi)不定期有訪客到來(lái)也需要使用筆記本電腦接入無(wú)線網(wǎng)絡(luò)。不遠(yuǎn)的將來(lái)，還需 要接入 wlan 無(wú)線手機(jī)或 gsm/wi-fi 雙模手機(jī)，提供話音服務(wù)；并且，能夠在倉(cāng)庫(kù)、店鋪提供基 于 wi-fi 的 rfid tag、手持無(wú)線 scanner/pos 機(jī)等聯(lián)網(wǎng)應(yīng)用。 無(wú)線網(wǎng)絡(luò)目前主要應(yīng)用領(lǐng)域依次為數(shù)據(jù)處理，語(yǔ)音通訊和實(shí)時(shí)定位應(yīng)用三種。 數(shù)據(jù)處理應(yīng)用 主要體現(xiàn)在兩個(gè)方面，一是辦公自動(dòng)化方面，二是信息和數(shù)據(jù)的快速處理。 無(wú)線寬帶接入服務(wù)：用戶可以享受真正的“無(wú)線”自由的體驗(yàn)，可以在辦公室和樓內(nèi)隨時(shí)隨 地通過(guò)支持 wifi 的筆記本電腦/pda/臺(tái)式 pc 享受無(wú)線網(wǎng)絡(luò)服務(wù)，如網(wǎng)絡(luò)辦公，email 等。同時(shí)， 為用戶省卻了布線的費(fèi)用和煩惱。 移動(dòng)辦公室：利用無(wú)線網(wǎng)絡(luò)的大面積覆蓋能力，可以將樓內(nèi)的辦公區(qū)和會(huì)議區(qū)無(wú)縫連接 在一起，工作人員可以在樓內(nèi)隨時(shí)隨地接入網(wǎng)絡(luò)進(jìn)行信息查詢，辦公應(yīng)用，通信聯(lián)絡(luò)等。 語(yǔ)音通訊應(yīng)用部分 語(yǔ)音通訊主要應(yīng)用在以下方面： -建立基于 ip 的無(wú)線語(yǔ)音網(wǎng) -緊急呼叫 -語(yǔ)音的集群通信 所需要的設(shè)備為： -voip 設(shè)備 -voip 手持終端 38062799d1b3f11f7c847e754d2bbf60.pdf page 7 of 100 -pda 和筆記本電腦 具體的應(yīng)用有以下幾類： 常規(guī)移動(dòng)語(yǔ)音呼叫 能夠完成現(xiàn)有普通語(yǔ)音移動(dòng)系統(tǒng)完成的功能，滿足日常需要；如果采用 pda 手機(jī)，還可 以完成視頻和數(shù)據(jù)上網(wǎng)功能； 緊急呼叫 某些手機(jī)可以設(shè)置緊急呼叫建； 群呼 思科自身手機(jī)具有群呼功能直接通知整個(gè)組的用戶； 與園區(qū)內(nèi)部固網(wǎng)電話的融合呼叫 固定和移動(dòng)中均可無(wú)線辦公，采用同一號(hào)碼； 節(jié)假日遠(yuǎn)程值班 通過(guò) vpn 網(wǎng)絡(luò)與出差在外、在家辦公的員工實(shí)現(xiàn)免費(fèi)通話； 總而言之，用戶希望組建無(wú)線、有線通信網(wǎng)絡(luò)，實(shí)現(xiàn)基于無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)傳輸、語(yǔ)音通 信、應(yīng)急系統(tǒng)、視頻監(jiān)控等一系列功能和增值應(yīng)用。在應(yīng)用傳統(tǒng)的辦公自動(dòng)化的同時(shí)，通過(guò)融合 技術(shù)提供個(gè)性化的服務(wù)，例如在終端上可以實(shí)現(xiàn)端到端電話交流，提高用戶的工作效率，使用戶 真正體現(xiàn)到網(wǎng)絡(luò)融合技術(shù)帶來(lái)的好處。 38062799d1b3f11f7c847e754d2bbf60.pdf page 8 of 100 注：以上為初期需求，如有調(diào)整將隨時(shí)更新。 3 網(wǎng)絡(luò)設(shè)計(jì)原則和設(shè)備廠商選擇網(wǎng)絡(luò)設(shè)計(jì)原則和設(shè)備廠商選擇 3.1 網(wǎng)絡(luò)設(shè)計(jì)實(shí)現(xiàn)原則網(wǎng)絡(luò)設(shè)計(jì)實(shí)現(xiàn)原則 基于標(biāo)準(zhǔn)化的設(shè)計(jì)和實(shí)現(xiàn) 在結(jié)構(gòu)上實(shí)現(xiàn)真正開(kāi)放，基于國(guó)際開(kāi)放式標(biāo)準(zhǔn)，開(kāi)放的網(wǎng)絡(luò)使用戶可以自由地選擇不同 廠家的產(chǎn)品，不會(huì)受到某些廠家專有標(biāo)準(zhǔn)的限制，最大程度地保護(hù)用戶的利益。網(wǎng)絡(luò)的設(shè)計(jì)基于 國(guó)際標(biāo)準(zhǔn)，網(wǎng)絡(luò)設(shè)備采用標(biāo)準(zhǔn)的接口和規(guī)范和協(xié)議，使不同廠家的設(shè)備可以順利地連接。 技術(shù)先進(jìn)性和實(shí)用性 系統(tǒng)建設(shè)要有一定的前瞻性，保證滿足無(wú)線應(yīng)用業(yè)務(wù)的同時(shí)，又要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先 進(jìn)性。在方案設(shè)計(jì)中，把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來(lái)，充分考慮到安利中國(guó)應(yīng) 用的現(xiàn)狀和未來(lái)發(fā)展趨勢(shì)。在網(wǎng)絡(luò)建成后的 3-5 年之內(nèi)，不會(huì)由于業(yè)務(wù)量的增加導(dǎo)致對(duì)網(wǎng)絡(luò)結(jié)構(gòu) 及主要設(shè)備的重大調(diào)整。同時(shí)要考慮實(shí)際的應(yīng)用水平，避免技術(shù)環(huán)境過(guò)于超前造成投資浪費(fèi)。 高度的可靠性、穩(wěn)定性和冗余 網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在整個(gè)網(wǎng)絡(luò)中選定合理的網(wǎng)絡(luò)架 構(gòu)，無(wú)線網(wǎng)絡(luò)采用 802.11a/b/g 通信協(xié)議，在較近的距離內(nèi)可以提供 54mbps 的連接速率，可提供 更多的信道，從而最大限度地支持安利中國(guó)公司業(yè)務(wù)系統(tǒng)的正常運(yùn)行。 38062799d1b3f11f7c847e754d2bbf60.pdf page 9 of 100 為了防止局部故障引起整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓，要避免網(wǎng)絡(luò)出現(xiàn)單點(diǎn)失效。在網(wǎng)絡(luò)骨干上 要提供備份鏈路，提供冗余路由。在網(wǎng)絡(luò)設(shè)備上要提供冗余配置，保證把局部故障對(duì)網(wǎng)絡(luò)的影響 降低到最小。 高性能 為了及時(shí)、迅速地處理網(wǎng)絡(luò)上傳送的數(shù)據(jù)，網(wǎng)絡(luò)設(shè)備必須具備高速處理能力，提供高速 數(shù)據(jù)鏈路，保證網(wǎng)絡(luò)高吞吐能力，滿足各種應(yīng)用（如：無(wú)線語(yǔ)音，實(shí)時(shí)定位系統(tǒng)）對(duì)網(wǎng)絡(luò)帶寬的 需求。 易于安裝、操作和管理 良好的組織和管理對(duì)網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)和高效使用有很大幫助，網(wǎng)絡(luò)應(yīng)該能夠提供方便、 靈活、有力的工具，使得無(wú)論是安裝、操作還是使用對(duì)用戶來(lái)說(shuō)都輕而易舉。 可擴(kuò)充升級(jí)，具備支持目前及未來(lái)關(guān)鍵應(yīng)用的能力 隨著用戶應(yīng)用規(guī)模的不斷擴(kuò)大，要求網(wǎng)絡(luò)可以方便地?cái)U(kuò)充容量，支持更多的用戶及應(yīng)用； 隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)必須能夠平滑地過(guò)渡到新的技術(shù)和設(shè)備，保證用戶現(xiàn)有的投資。 高度的安全性 為了保護(hù)用戶在網(wǎng)絡(luò)上數(shù)據(jù)的安全可靠，必須提供多種方式和層次的訪問(wèn)控制，通過(guò)使 用包過(guò)濾、防火墻及 vpn 等技術(shù)保證數(shù)據(jù)的安全傳輸。 資源的高效利用 38062799d1b3f11f7c847e754d2bbf60.pdf page 10 of 100 合理利用網(wǎng)絡(luò)資源，將網(wǎng)絡(luò)的運(yùn)行成本降到最低，同時(shí)網(wǎng)絡(luò)的服務(wù)產(chǎn)出最大。 3.2 設(shè)備廠商選擇原則設(shè)備廠商選擇原則 由于安利中國(guó)公司的無(wú)線網(wǎng)絡(luò)系統(tǒng)是一個(gè)涉及到多種硬件設(shè)備的復(fù)雜工程，我們建議根 據(jù)以下標(biāo)準(zhǔn)的選擇廠商： 1) 設(shè)備性能價(jià)格比 設(shè)備的性能價(jià)格比是選型決策的重要考慮因素。 2) 售后服務(wù) 售后服務(wù)包括如下內(nèi)容： 設(shè)備的保修期； 是否在中國(guó)有備件庫(kù)，這樣一旦發(fā)生硬件故障時(shí)可以及時(shí)得到更換； 是否提供熱線服務(wù)，以便與原制造廠商及時(shí)取得聯(lián)系，獲得技術(shù)咨詢和支持； 故障報(bào)告的響應(yīng)時(shí)間。 3) 公司的經(jīng)濟(jì)、技術(shù)實(shí)力和市場(chǎng)占有率，這一定程度上反映了其產(chǎn)品的信譽(yù)。 4) 設(shè)備的技術(shù)先進(jìn)性，這是選型的重要考慮因素。 5) 設(shè)備對(duì)未來(lái)新技術(shù)的適應(yīng)能力，反映設(shè)備的可擴(kuò)展性，這是保護(hù)用戶投資的一種策略。 6) 設(shè)備的技術(shù)性能指標(biāo)。 7) 設(shè)備使用的方便程度，這體現(xiàn)設(shè)備的可維護(hù)性。 8) 設(shè)備在大型網(wǎng)絡(luò)中的應(yīng)用情況，它反映設(shè)備的適應(yīng)性和可靠性。 9) 網(wǎng)絡(luò)管理系統(tǒng)的集成性、開(kāi)放性和功能，它反映網(wǎng)絡(luò)管理系統(tǒng)是否能對(duì)網(wǎng)絡(luò)作全面深入的管理， 以及它對(duì)異構(gòu)網(wǎng)絡(luò)的適應(yīng)能力。 38062799d1b3f11f7c847e754d2bbf60.pdf page 11 of 100 10) 設(shè)備的標(biāo)準(zhǔn)化程度和可擴(kuò)充性，反映對(duì)網(wǎng)絡(luò)規(guī)模擴(kuò)展的適應(yīng)能力。 11) 是否對(duì)質(zhì)檢系統(tǒng)有長(zhǎng)期穩(wěn)定的優(yōu)惠政策。 12) 交貨期的時(shí)限和信用，這對(duì)工程能否如期完成有重大影響。 13) 系統(tǒng)軟件的升級(jí)條件是否優(yōu)惠。 14) 差錯(cuò)的檢測(cè)與隔離能力，這是網(wǎng)絡(luò)可靠性的重要保證。 15) 手冊(cè)與培訓(xùn)，反映用戶能否較快地掌握設(shè)備的使用。 綜上所述，為了保證方案的實(shí)用性、先進(jìn)性、完整性、經(jīng)濟(jì)性與可靠性，同時(shí)滿足未來(lái) 的網(wǎng)絡(luò)升級(jí)，我們建議選用在以上各個(gè)方面均具備較大優(yōu)勢(shì)的思科公司的無(wú)線網(wǎng)絡(luò)設(shè)備和整體解 決方案來(lái)構(gòu)建安利中國(guó)公司的無(wú)線網(wǎng)絡(luò)。 3.3 選擇思科無(wú)線產(chǎn)品的技術(shù)優(yōu)勢(shì)選擇思科無(wú)線產(chǎn)品的技術(shù)優(yōu)勢(shì) 思科無(wú)線產(chǎn)品能夠提供安全的移動(dòng)聯(lián)網(wǎng)環(huán)境，可在整個(gè)園區(qū)中實(shí)現(xiàn)真正的安全移動(dòng)，它提供 完全的安全性，以保護(hù)網(wǎng)絡(luò)，此外還提供完全的管理來(lái)控制無(wú)線環(huán)境。無(wú)線局域網(wǎng)技術(shù)能夠?yàn)楸?布線束縛在辦公桌前的員工解除限制，使企業(yè)受益匪淺。無(wú)線技術(shù)帶來(lái)很大的自由，使用戶能夠 隨時(shí)隨地訪問(wèn)信息，從而提高生產(chǎn)率。思科實(shí)現(xiàn)移動(dòng)性的方法是消除限制，并提供解決方案，使 用戶能通過(guò)無(wú)線方式訪問(wèn)有線網(wǎng)絡(luò)中的相同應(yīng)用。真正的移動(dòng)性使我們能夠訪問(wèn) ip 語(yǔ)音通信等多 業(yè)務(wù)應(yīng)用。移動(dòng)性和 pda 及 wlan 手持話機(jī)等手持設(shè)備的發(fā)展，使我們距無(wú)線世界更近一步，也 使企業(yè)更加接近思科“一體化網(wǎng)絡(luò)”的遠(yuǎn)景規(guī)劃。 思科是業(yè)界唯一在為企業(yè)和服務(wù)提供商提供視頻、語(yǔ)音、數(shù)據(jù)、無(wú)線和安全技術(shù)方面擁有豐 富經(jīng)驗(yàn)的廠商。憑借這種經(jīng)驗(yàn)，思科屢獲獎(jiǎng)項(xiàng)的產(chǎn)品無(wú)線 wlan 系列產(chǎn)品成為業(yè)界一流的產(chǎn) 品，因?yàn)樗苡糜跇?gòu)建移動(dòng)網(wǎng)絡(luò)，提供安全的適應(yīng)性多業(yè)務(wù)解決方案。采用思科的一體化無(wú)線解 38062799d1b3f11f7c847e754d2bbf60.pdf page 12 of 100 決方案，可以為用戶帶來(lái)如下技術(shù)優(yōu)勢(shì)： 先進(jìn)性和實(shí)用性并重 系統(tǒng)建設(shè)具有一定的前瞻性。在無(wú)線網(wǎng)絡(luò)建成后的 3-5 年之內(nèi)，不會(huì)由于業(yè)務(wù)量的增加導(dǎo)致 對(duì)網(wǎng)絡(luò)結(jié)構(gòu)及主要設(shè)備的重大調(diào)整。同時(shí)要考慮實(shí)際的應(yīng)用水平，避免技術(shù)環(huán)境過(guò)于超前造成投 資浪費(fèi)。思科具備豐富的無(wú)線產(chǎn)品和解決方案可供用戶根據(jù)自身的實(shí)際情況選擇。無(wú)線集中架構(gòu) 是 ietf 和 wi-fi 國(guó)際聯(lián)盟推崇的未來(lái)無(wú)線以太網(wǎng)建網(wǎng)工業(yè)標(biāo)準(zhǔn)，即所謂的”瘦”ap 架構(gòu)。本方案建 議安利中國(guó)無(wú)線局域網(wǎng)采用思科無(wú)線集中架構(gòu)網(wǎng)絡(luò)解決方案，一種基于 lwapp（light weight access point protocol，即輕量級(jí)無(wú)線接入?yún)f(xié)議）的協(xié)議架構(gòu)。 最大程度的兼容性 思科無(wú)線網(wǎng)絡(luò)采用開(kāi)放式體系結(jié)構(gòu)，易于擴(kuò)充，使相對(duì)獨(dú)立的分系統(tǒng)易于進(jìn)行組合和調(diào)整。 選用的通信協(xié)議符合國(guó)際標(biāo)準(zhǔn)或工業(yè)標(biāo)準(zhǔn)，網(wǎng)絡(luò)的硬件環(huán)境、通信環(huán)境、軟件環(huán)境相互獨(dú)立，自 成平臺(tái)，使相互間依賴減至最小，同時(shí)保證網(wǎng)絡(luò)的互聯(lián)，思科的無(wú)線局域網(wǎng)全部支持從交換機(jī)直 接通過(guò) poe 供電，不必為 ap 另行配置電源插座，針對(duì)較遠(yuǎn)傳輸距離可通過(guò)單獨(dú)的外置供電注入器 供電。 思科的無(wú)線局域網(wǎng)系統(tǒng)滿足國(guó)際和國(guó)內(nèi)的無(wú)線標(biāo)準(zhǔn)，思科 wlan 最大程度的兼容符合 wi-fi 標(biāo)準(zhǔn)的各種無(wú)線終端設(shè)備，如 intel 訊馳系統(tǒng)、國(guó)內(nèi)和臺(tái)灣、香港生產(chǎn)的通過(guò) wi-fi 認(rèn)證的無(wú)線局 域網(wǎng)絡(luò)終端設(shè)備，事實(shí)上，幾乎今天在市面上知名的品牌均可以兼容。 全網(wǎng)以 ieee 802.11 國(guó)際技術(shù)標(biāo)準(zhǔn)為指導(dǎo)，最大支持 54mbps 的接入速率。 安全的無(wú)線輻射 根據(jù)中國(guó)國(guó)家無(wú)線電管理委員會(huì)的規(guī)定，在室內(nèi)部署無(wú)線網(wǎng)絡(luò)信號(hào)輻射不得超過(guò) 100mw，以 避免 2.4ghz 和 5ghz 對(duì)人體的影響。同樣的原因，在通常情況下，終端使用 60mw 左右的發(fā)射功 率，以避免大功率長(zhǎng)期輻射對(duì)人體的影響。無(wú)線接入點(diǎn)即 ap 執(zhí)行 ieee802.11g 標(biāo)準(zhǔn)工作在 38062799d1b3f11f7c847e754d2bbf60.pdf page 13 of 100 54mbps 到 1mbps 之間，隨著終端和 ap 之間的信號(hào)的強(qiáng)弱，ap 和終端會(huì)自動(dòng)協(xié)商根據(jù)信號(hào)的衰 減程度，自動(dòng)降低傳輸速率和增大傳輸功率。思科無(wú)線系統(tǒng)在辦公室內(nèi)部署的型號(hào)統(tǒng)一都根據(jù)國(guó) 家規(guī)定最大為 100mw，功率智能調(diào)節(jié)。 實(shí)時(shí)的射頻自動(dòng)監(jiān)測(cè) 無(wú)線信號(hào)容易受到其他信號(hào)的干擾，無(wú)線局域網(wǎng)使用的 2.4ghz 和 5ghz 頻段是開(kāi)放頻段，無(wú) 需注冊(cè)即可獲得使用，因此下列設(shè)備可能造成干擾： 微波爐 其他大樓的無(wú)線系統(tǒng) 工作在 2.4ghz 的無(wú)繩電話等 因此思科的 ap 可以實(shí)時(shí)進(jìn)行射頻的監(jiān)測(cè)，ap 后臺(tái)的控制器能夠?qū)崟r(shí)對(duì) ap 進(jìn)行控制，控制功 率的大小，比如當(dāng) 1 個(gè) ap 失效以后，這個(gè) ap 周圍其他的 ap 通過(guò)自動(dòng)計(jì)算對(duì)功率進(jìn)行增加來(lái)覆 蓋失效 ap 產(chǎn)生的信號(hào)黑洞；出現(xiàn)信號(hào)干擾的時(shí)候，控制器能夠?qū)π盘?hào)干擾來(lái)源進(jìn)行定位，確定何 處的信號(hào)干擾，信號(hào)干擾的程度如何，并以地圖方式顯示在網(wǎng)管上。 傳統(tǒng)有線網(wǎng)絡(luò)在物理安全方面存在一定的優(yōu)勢(shì)。有線接口位于建筑物內(nèi)部，這意味著企業(yè)可 以利用加密卡和通行證來(lái)將未經(jīng)授權(quán)的用戶拒之門(mén)外。但是在無(wú)線網(wǎng)絡(luò)中，這種物理保護(hù)并不存 在。無(wú)線信號(hào)會(huì)擴(kuò)散到物理圍墻之外，從而可能將企業(yè)的 wlan 拓展到某個(gè)停車場(chǎng)或者相鄰建筑 物。為了最大限度地解決這個(gè)問(wèn)題，思科采用了先進(jìn)的 rf 設(shè)計(jì)、發(fā)射功率控制和先進(jìn)的定位技術(shù)。 自動(dòng)負(fù)載均衡 有線網(wǎng)絡(luò)在本質(zhì)上具有確定性第二層（以太網(wǎng)）和第三層（ip）交換機(jī)和路由器都是便于 理解、可以預(yù)測(cè)的。但是，用戶在無(wú)線網(wǎng)絡(luò)中的體驗(yàn)則依賴于無(wú)線信號(hào)的傳播和建筑物的其他特 性。這些特性可能會(huì)迅速發(fā)生變化，從而影響連接速度和錯(cuò)誤率。一個(gè)位于建筑物內(nèi)的辦公的 rf 環(huán)境在早上 10 點(diǎn)和 3 點(diǎn)時(shí)是完全不同的。在早上 10 點(diǎn)，有很多的用戶在移動(dòng)使用網(wǎng)絡(luò)。而在早 上 3 點(diǎn)，人員都休息了，沒(méi)有人在使用無(wú)線網(wǎng)絡(luò)，而且附近的辦公室也不會(huì)產(chǎn)生 rf 干擾。 38062799d1b3f11f7c847e754d2bbf60.pdf page 14 of 100 更多的情況下，在同一時(shí)間，很多人匯聚到會(huì)議室，特別是當(dāng)人數(shù)比較多，超出了 1 個(gè) ap 的 承受范圍，那么無(wú)線網(wǎng)絡(luò)會(huì)慢的無(wú)法工作；為了保障帶寬，如果在 ap 設(shè)置了限制，那么后來(lái)的人 員無(wú)法得到無(wú)線連接服務(wù)，因?yàn)樵诤笈_(tái)控制器的模式，可以對(duì) ap 自動(dòng)的負(fù)載均衡，將終端分別發(fā) 送到不同的 ap，自動(dòng)計(jì)算和對(duì)終端的流量進(jìn)行均衡，比如，當(dāng)這個(gè) ap 的利用率到了 80%，那么 控制器自動(dòng)將用戶引導(dǎo)到另外的空閑的相鄰 ap 上面，而在我們的設(shè)計(jì)中，所有的 ap 部署已經(jīng)考 慮了人員的位置和可能的集中的情況，完全可以智能的處理動(dòng)態(tài)的負(fù)載變化。 自動(dòng)頻道管理和跨 ip 域漫游 無(wú)線局域網(wǎng) 802.11b/g 標(biāo)準(zhǔn)使用 3 個(gè)不重復(fù)的頻道，1、6、11，為了實(shí)現(xiàn)自動(dòng)漫游，需要對(duì) 頻道的管理。思科無(wú)線系統(tǒng)由于采用了后臺(tái)集中控制的方式，能夠當(dāng) ap 布防后，通過(guò)實(shí)時(shí)射頻監(jiān) 測(cè)，然后自動(dòng)對(duì)頻道進(jìn)行分配，并地圖方式顯示在網(wǎng)管上。 無(wú)線局域網(wǎng)的 ap 如果處于不同的子網(wǎng)，在漫游的過(guò)程中，需要處理三層的漫游，在后臺(tái)保持 用戶的 dhcp 得來(lái)的 ip 租用，認(rèn)證的會(huì)話密鑰等，控制器可以自動(dòng)完成三層無(wú)線漫游。 最大的安全性 無(wú)線網(wǎng)絡(luò)支持最多的安全特性，采用集中認(rèn)證，對(duì)每個(gè)數(shù)據(jù)包進(jìn)行加密。通過(guò)對(duì)射頻的實(shí)時(shí) 監(jiān)測(cè)，發(fā)現(xiàn)并定位惡意的 ap，惡意 ap 是未經(jīng)授權(quán)的人員通過(guò)自己設(shè)置一個(gè) ap，吸引無(wú)線終端連 接到惡意 ap 從而非法獲得數(shù)據(jù)的黑客方法。對(duì)惡意 ap 的掃描配合采用安全無(wú)線認(rèn)證協(xié)議，能夠 解決 ap 和無(wú)線之間的相互信任問(wèn)題。目前無(wú)線局域網(wǎng)領(lǐng)域標(biāo)準(zhǔn)主要有思科和微軟等公司，能夠支 持最多的安全保障和擴(kuò)展的端口安全管理。 地理化圖形管理界面 網(wǎng)絡(luò)管理界面全部圖形化，能夠輸入建筑的平面圖，并且能夠進(jìn)行微調(diào)，能夠輸入障礙物等 信息，在網(wǎng)管上面可以操作全部的無(wú)線功能。在 ap 上無(wú)需任何配置。 無(wú)縫集成終端定位應(yīng)用 38062799d1b3f11f7c847e754d2bbf60.pdf page 15 of 100 配合射頻實(shí)時(shí)監(jiān)測(cè)功能，射頻指紋掃描能夠?qū)K端所在的位置進(jìn)行定位，當(dāng)一個(gè)移動(dòng)終端變 換位置時(shí)，能夠?qū)崿F(xiàn) 3-5 米的定位，可以將人員位置顯示在網(wǎng)絡(luò)管理界面的辦公樓地理圖上。方 便對(duì)無(wú)線終端的監(jiān)控和管理。在網(wǎng)絡(luò)管理系統(tǒng)上有針對(duì) erp 系統(tǒng)和安全管理系統(tǒng)的 api，可以結(jié) 合 erp 和安全管理系統(tǒng)將定位信息集成到工作流程的管理中。 38062799d1b3f11f7c847e754d2bbf60.pdf page 16 of 100 4 網(wǎng)絡(luò)技術(shù)選型網(wǎng)絡(luò)技術(shù)選型 4.1 集中無(wú)線網(wǎng)絡(luò)架構(gòu)集中無(wú)線網(wǎng)絡(luò)架構(gòu) 為了全面地滿足企業(yè)的 rf 管理需求，思科設(shè)計(jì)了一個(gè)集中、簡(jiǎn)便的集中 wlan 架構(gòu)。它的核 心組件是 “分離 mac”體系，即將對(duì) 802.11 數(shù)據(jù)和管理協(xié)議的處理，以及接入點(diǎn)功能分別部署于 一個(gè)輕型接入點(diǎn)和一個(gè)集中 wlan 控制器（下圖所示） 。更加特別的是，對(duì)時(shí)間敏感的活動(dòng)例 如信標(biāo)處理、與客戶端的握手、介質(zhì)訪問(wèn)控制（mac）層封裝和 rf 監(jiān)控都是由接入點(diǎn)處理的。 所有其他活動(dòng)都由 wlan 控制器處理，它需要具備整個(gè)系統(tǒng)的可見(jiàn)度。這包括 802.11 管理協(xié)議、 幀轉(zhuǎn)換和橋接功能，以及對(duì)于用戶移動(dòng)、安全、qos 和可能更加重要的是實(shí)時(shí) rf 管理的 系統(tǒng)級(jí)策略。 典型的分離 mac 體系 思科無(wú)線局域網(wǎng)控制器具備的實(shí)時(shí) rf 管理對(duì)于思科輕型無(wú)線解決方案具有重要的意義。它 是思科產(chǎn)品的一項(xiàng)獨(dú)有特色。思科無(wú)線局域網(wǎng)控制器可以利用動(dòng)態(tài)算法，創(chuàng)建一個(gè)完全自行配置、 38062799d1b3f11f7c847e754d2bbf60.pdf page 17 of 100 優(yōu)化和治愈的環(huán)境，讓思科 wlan 適用于提供安全、可靠的業(yè)務(wù)應(yīng)用。這是通過(guò)執(zhí)行下列 rrm 功 能實(shí)現(xiàn)的： 無(wú)線資源監(jiān)控 動(dòng)態(tài)信道分配 干擾檢測(cè)和避免 動(dòng)態(tài)發(fā)射功率控制 覆蓋盲區(qū)檢測(cè)和糾正 客戶端和網(wǎng)絡(luò)負(fù)載均衡 4.1.1無(wú)線資源監(jiān)控?zé)o線資源監(jiān)控 rf 網(wǎng)絡(luò)的管理需要充分了解影響無(wú)線空間的因素。思科輕型接入點(diǎn)采用了獨(dú)特的設(shè)計(jì)，不僅 能夠提供服務(wù)，還可以同時(shí)監(jiān)控所有信道。這源自于思科在它的分離 mac 架構(gòu)中對(duì) 802.11 mac 層所開(kāi)展的、廣泛的開(kāi)發(fā)工作。 除了提供數(shù)據(jù)服務(wù)以外，思科輕型接入點(diǎn)還可以同時(shí)掃描所在國(guó)家允許的所有有效的 802.11a/b/g 信道，以及在其他地區(qū)有效的信道。這可以提供最高限度的保護(hù)系統(tǒng)將發(fā)現(xiàn)可能 從其他國(guó)家進(jìn)口的惡意接入點(diǎn)，或者某個(gè)知道怎樣更改所在國(guó)家規(guī)定操作方式的黑客。這些黑客 能夠讓惡意設(shè)備位于帶外，從而躲過(guò)大部分 wlan 入侵檢測(cè)系統(tǒng)（ids）的掃描。 思科輕型接入點(diǎn)可以在不超過(guò) 60ms 的時(shí)間里進(jìn)行“信道外”掃描，以監(jiān)聽(tīng)這些信道。在此期 間搜集到的分組將被發(fā)送到思科無(wú)線局域網(wǎng)控制器。后者將對(duì)這些分組進(jìn)行分析，以發(fā)現(xiàn)惡意接 入點(diǎn)（無(wú)論服務(wù)集標(biāo)識(shí)符ssid是否被廣播） 、惡意客戶端、臨時(shí)客戶端和干擾接入點(diǎn)。 在缺省情況下，每個(gè)接入點(diǎn)只用 0.2%的時(shí)間進(jìn)行信道外掃描。這項(xiàng)任務(wù)會(huì)在所有接入點(diǎn)之 間進(jìn)行統(tǒng)計(jì)分配，以確保相鄰接入點(diǎn)不會(huì)同時(shí)進(jìn)行掃描，對(duì) wlan 的性能造成不利的影響。這使 得管理員可以通過(guò)每個(gè)接入點(diǎn)搜集到的信息，了解他們的 wlan 的運(yùn)行狀況，將網(wǎng)絡(luò)可見(jiàn)度提高 到重疊式網(wǎng)絡(luò)所無(wú)法提供的水平，解決為每三到五個(gè)接入點(diǎn)部署無(wú)線監(jiān)聽(tīng)器這一做法可能出現(xiàn)的 “隱藏節(jié)點(diǎn)”問(wèn)題。 在必要情況下，思科輕型接入點(diǎn)可以被專門(mén)部署為無(wú)線監(jiān)聽(tīng)器，但是成本因素和對(duì)更高網(wǎng)絡(luò) 可見(jiàn)度的要求通常會(huì)促使最終用戶采用上述方式。 38062799d1b3f11f7c847e754d2bbf60.pdf page 18 of 100 4.1.2動(dòng)態(tài)信道分配動(dòng)態(tài)信道分配 802.11 mac 功能需要采用一種基于二進(jìn)制指數(shù)退避的沖突避免機(jī)制，即帶有沖突檢測(cè)的載 波偵聽(tīng)多路存取（csma/ca） 。802.11 mac 層由一個(gè)四路交換協(xié)議定義： request to send (rts) clear to send (cts) data ack 當(dāng)某個(gè)基站需要發(fā)送信息時(shí)，它會(huì)將其提供給介質(zhì)。如果介質(zhì)是閑置的，接入點(diǎn)將會(huì)允許該 基站發(fā)送它的數(shù)據(jù)。否則，基站將被告知等到其他正在使用介質(zhì)的基站完成任務(wù)之后再發(fā)送數(shù)據(jù)。 這可以防止兩個(gè)客戶端同時(shí)在同一個(gè)信道上發(fā)送數(shù)據(jù)，導(dǎo)致數(shù)據(jù)幀受損。 在使用 csma/ca 時(shí)，同一個(gè)信道上的兩個(gè)接入點(diǎn)（位于同一個(gè)區(qū)域）與兩個(gè)不同信道上的 兩個(gè)接入點(diǎn)相比，將獲得其一半的容量。這可能會(huì)導(dǎo)致問(wèn)題。例如，某個(gè)在咖啡廳中查看電子郵 件的用戶可能會(huì)對(duì)相鄰企業(yè)中的接入點(diǎn)的性能造成不利的影響。即使位于不同的網(wǎng)絡(luò)之中，在信 道 1 上向咖啡廳網(wǎng)絡(luò)發(fā)送流量的用戶也可能會(huì)導(dǎo)致使用同一個(gè)信道的企業(yè)數(shù)據(jù)遭到破壞。思科無(wú) 線局域網(wǎng)控制器可以通過(guò)動(dòng)態(tài)分配接入點(diǎn)信道，避免沖突，從而解決這個(gè)問(wèn)題和其他同頻干擾問(wèn) 題。因?yàn)樗伎戚p型解決方案通過(guò)它的 rrm 工具而具有覆蓋整個(gè)企業(yè)的可見(jiàn)度，所以信道可以被 “重復(fù)利用”，以避免浪費(fèi)寶貴的 rf 資源。換句話說(shuō)，信道 1 將會(huì)分配給一個(gè)遠(yuǎn)離該咖啡廳的接入 點(diǎn)。相比之下，其他 wlan 系統(tǒng)在這種情況下通常要求完全禁止使用信道 1。因此，思科的解決 方案更為有效。 思科無(wú)線局域網(wǎng)控制器的動(dòng)態(tài)信道分配功能還有助于最大限度地減小思科輕型 wlan 解決方 案中的相鄰接入點(diǎn)之間的同頻干擾。例如，在使用 802.11a 時(shí)，信道 35 和 40 不能同時(shí)使用 54mbps，具體取決于接入點(diǎn)和客戶端的擺放位置。通過(guò)分配信道，思科無(wú)線局域網(wǎng)控制器可以隔 離相同信道，從而避免這個(gè)問(wèn)題（如下圖所示） 。 動(dòng)態(tài)信道分配 38062799d1b3f11f7c847e754d2bbf60.pdf page 19 of 100 33%效率 100%效率 思科無(wú)線局域網(wǎng)控制器可以通過(guò)分析多種實(shí)時(shí) rf 特性，有效地處理信道分配。這些特性包 括： 接入點(diǎn)接收能量這取決于網(wǎng)絡(luò)的靜態(tài)拓?fù)洌贿@項(xiàng)功能可以讓信道獲得最高的網(wǎng)絡(luò)容量。 噪聲這個(gè)因素會(huì)限制客戶端和接入點(diǎn)的信號(hào)質(zhì)量。噪聲的增大會(huì)導(dǎo)致有效網(wǎng)格的減小。 通過(guò)優(yōu)化信道和避免噪聲源，思科無(wú)線局域網(wǎng)控制器可以在優(yōu)化網(wǎng)絡(luò)覆蓋范圍的同時(shí)，保持系統(tǒng) 容量不變。如果某個(gè)信道因?yàn)樵肼曔^(guò)高而無(wú)法使用，該信道將會(huì)被避開(kāi)。 802.11 干擾如果存在其他無(wú)線網(wǎng)絡(luò)，思科無(wú)線局域網(wǎng)控制器將會(huì)改變信道的使用方式， 以避免與其他網(wǎng)絡(luò)的干擾。例如，如果一個(gè)網(wǎng)絡(luò)使用的是信道 6，另一個(gè)相鄰 wlan 將被分配信 道 1 或者 11。這可以通過(guò)限制頻率重疊，提高網(wǎng)絡(luò)容量。如果因?yàn)槟硞€(gè)信道的使用量過(guò)高而導(dǎo)致 沒(méi)有可用容量，思科無(wú)線局域網(wǎng)控制器將會(huì)選擇避開(kāi)這個(gè)信道。 利用率在啟用這項(xiàng)功能時(shí)，容量計(jì)算將會(huì)考慮到某些接入點(diǎn)傳輸?shù)牧髁慷嘤谄渌尤朦c(diǎn) （例如一個(gè)休息室相對(duì)于一個(gè)工程區(qū)域） 。因此，那些需要最多帶寬的接入點(diǎn)將在信道分配方面獲 得更高的重視。 客戶端負(fù)載通過(guò)在調(diào)整信道結(jié)構(gòu)時(shí)考慮客戶端負(fù)載，可以最大限度地減少客戶端對(duì)于 wlan 的影響。思科無(wú)線局域網(wǎng)控制器會(huì)周期性地監(jiān)控信道分配情況，搜尋“最佳的”分配方式。只 有在可以顯著提高網(wǎng)絡(luò)性能，或者改進(jìn)某個(gè)性能低下的接入點(diǎn)的性能時(shí)，才會(huì)進(jìn)行調(diào)整。 38062799d1b3f11f7c847e754d2bbf60.pdf page 20 of 100 思科無(wú)線局域網(wǎng)控制器可以將 rf 特性信息與智能算法相結(jié)合，執(zhí)行針對(duì)整個(gè)系統(tǒng)的決策。 利用軟決策機(jī)制，可以滿足互相沖突的需求，為最大限度地減少網(wǎng)絡(luò)干擾確保最佳的選擇。最終 結(jié)果是在一個(gè)三維空間中實(shí)現(xiàn)最佳的信道配置，而位于樓層上方和下方的接入點(diǎn)在總體 wlan 配 置中扮演著重要的角色。 4.1.3干擾檢查和避免干擾檢查和避免 “干擾”的定義是任何不屬于某個(gè)思科 wlan 系統(tǒng)的 802.11 流量，包括惡意接入點(diǎn)、藍(lán)牙設(shè)備 或者相鄰 wlan。思科輕型接入點(diǎn)一直在掃描所有信道，尋找主要的干擾源（如下圖所示） 。 如果 802.11 干擾幅度超過(guò)了預(yù)定的閾值（缺省值為 10%） ，一個(gè)消息就會(huì)被發(fā)送到思科無(wú)線 控制系統(tǒng)（wcs） 。思科無(wú)線局域網(wǎng)控制器將設(shè)法重新分配信道，以便在存在干擾的情況下提高系 統(tǒng)性能。這可能會(huì)導(dǎo)致相鄰思科輕型接入點(diǎn)位于同一個(gè)信道上，但是這顯然要比讓接入點(diǎn)繼續(xù)留 在一個(gè)因?yàn)槟硞€(gè)干擾接入點(diǎn)而無(wú)法使用的信道上好得多（考慮到利用率因素） 。 動(dòng)態(tài)信道分配機(jī)制對(duì)干擾的反應(yīng) 38062799d1b3f11f7c847e754d2bbf60.pdf page 21 of 100 惡意設(shè)備 管理員可以從思科 wcs 實(shí)時(shí)地查看 rf 環(huán)境的情況（如下圖所示） 。這有助于了解無(wú)線空間 的運(yùn)行狀況，尤其是試圖診斷 wlan 故障時(shí)。 思科 wcs 無(wú)線統(tǒng)計(jì)信息視圖 4.1.4動(dòng)態(tài)發(fā)射功率控制動(dòng)態(tài)發(fā)射功率控制 正確的接入點(diǎn)發(fā)射功率設(shè)置對(duì)于保證 wlan 的平穩(wěn)運(yùn)行具有重要的意義。這對(duì)于實(shí)現(xiàn)網(wǎng)絡(luò)冗 余也非常重要，有助于確保在接入點(diǎn)失去連接時(shí)進(jìn)行實(shí)時(shí)的故障切換。 思科無(wú)線局域網(wǎng)控制器可根據(jù)實(shí)時(shí)的 wlan 情況動(dòng)態(tài)地控制接入點(diǎn)的發(fā)射功率。在正常情況 下，功率可以保持在較低的水平，以獲得額外的容量和減少干擾。思科輕型解決方案將試圖根據(jù) 最佳實(shí)踐經(jīng)驗(yàn)，對(duì)接入點(diǎn)進(jìn)行平衡，以確保它們?cè)谙噜徑尤朦c(diǎn)之間保持-65dbm 的發(fā)射功率。 如果檢測(cè)到某個(gè)發(fā)生故障的接入點(diǎn)，周圍接入點(diǎn)的功率將會(huì)自動(dòng)提高，以填補(bǔ)覆蓋范圍受損 所導(dǎo)致的漏洞。只允許對(duì)發(fā)射功率進(jìn)行靜態(tài)設(shè)置的 wlan 解決方案在支持動(dòng)態(tài)網(wǎng)絡(luò)需求方面的能 38062799d1b3f11f7c847e754d2bbf60.pdf page 22 of 100 力極為有限。 思科 rrm 算法采用了獨(dú)特的設(shè)計(jì)，可以創(chuàng)建最佳的用戶體驗(yàn)。例如，如果接入點(diǎn)的發(fā)射功率 被調(diào)低為四級(jí)（一級(jí)最高，五級(jí)最低） ，而且用戶的接收信號(hào)強(qiáng)度指示（rssi）值降低到某個(gè)可以 接受的閾值之下，接入點(diǎn)功率將會(huì)被提高，以便為客戶端提供更好的體驗(yàn)。如果用戶的 rssi 值位 于閾值之上，功率將決不會(huì)被調(diào)低。 用戶可以在思科 wcs 中，方便地查看各個(gè)功率等級(jí)和接入點(diǎn)相鄰設(shè)備信息，如下圖所示。 圖 5 利用思科 wcs 監(jiān)控功率等級(jí) 4.1.5覆蓋盲區(qū)檢測(cè)和糾正覆蓋盲區(qū)檢測(cè)和糾正 如果某個(gè)接入點(diǎn)上的客戶端的 rssi 等級(jí)較低，思科輕型接入點(diǎn)將會(huì)向思科 wcs 發(fā)出一個(gè) “覆蓋盲區(qū)”警報(bào)。這表示存在一個(gè)覆蓋信號(hào)持續(xù)較差的區(qū)域，其中沒(méi)有可通信的漫游地點(diǎn)。 38062799d1b3f11f7c847e754d2bbf60.pdf page 23 of 100 管理員可以查找接入點(diǎn)的歷史記錄，了解這些警報(bào)是不是一種長(zhǎng)期現(xiàn)象。長(zhǎng)期現(xiàn)象意味著存 在一個(gè)長(zhǎng)期的覆蓋盲區(qū)，而不是一個(gè)偶發(fā)性的問(wèn)題。如果是的話，思科無(wú)線局域網(wǎng)控制器將會(huì)調(diào) 節(jié)接入點(diǎn)的發(fā)射功率等級(jí)，糾正所檢測(cè)到的盲區(qū)。否則，it 人員將可以借助準(zhǔn)確的位置信息解決 問(wèn)題。 4.1.6客戶端和網(wǎng)絡(luò)負(fù)載均衡客戶端和網(wǎng)絡(luò)負(fù)載均衡 只有在客戶端能夠通過(guò)負(fù)載均衡，有效地利用容量的情況下，wlan 容量才具有實(shí)際意義。 不幸的是，客戶端并沒(méi)有足夠的智能來(lái)自行制定均衡決策，即使這可以帶來(lái)更好的性能。例如， 一個(gè)會(huì)議室中的所有用戶可能都會(huì)與某個(gè)距離最近的接入點(diǎn)建立關(guān)聯(lián)，而忽略某個(gè)距離較遠(yuǎn)、但 是利用率較低的接入點(diǎn)。 思科無(wú)線局域網(wǎng)控制器為所有接入點(diǎn)的客戶端負(fù)載提供了一個(gè)集中視圖。這可用于確定在哪 里將新的客戶端加入網(wǎng)絡(luò)。另外，通過(guò)一定的設(shè)置，思科輕型無(wú)線解決方案可以主動(dòng)地“驅(qū)使”現(xiàn)有 客戶端關(guān)聯(lián)到新的接入點(diǎn)，以提高 wlan 的性能。這樣，容量可以更加平均地分配到整個(gè)無(wú)線網(wǎng) 絡(luò)之中。 4.1.7真正實(shí)時(shí)解決方案真正實(shí)時(shí)解決方案 思科解決方案思科 wcs 輕型接入點(diǎn)和無(wú)線局域網(wǎng)控制器可以提供實(shí)時(shí)的 rf 管理。 其他 wlan 供應(yīng)商采用了不同的方法來(lái)解決 rf 頻譜問(wèn)題，但是它們?nèi)狈λ伎频膶?shí)時(shí)檢測(cè) rf 改動(dòng) 和對(duì) wlan 配置進(jìn)行相應(yīng)調(diào)整的能力。 例如，有些 wlan 解決方案通過(guò)讓接入點(diǎn)監(jiān)聽(tīng)最不活躍的信道來(lái)進(jìn)行信道分配。這種方式導(dǎo) 致了接入點(diǎn)只能制定適合某一時(shí)間段的信道選擇決策，而且接入點(diǎn)經(jīng)常處于除了 1、6 或者 11 以 外的信道上。因?yàn)檫@可能產(chǎn)生干擾，因而不適用于大多數(shù)企業(yè)環(huán)境。 另外一種策略是開(kāi)發(fā)一個(gè)網(wǎng)絡(luò)管理應(yīng)用，讓 it 人員可以將接入點(diǎn)組合到一起，發(fā)送到同一個(gè) 信道。在這個(gè)信道中，它們能夠以不同的功率等級(jí)發(fā)送信標(biāo)。結(jié)果經(jīng)過(guò)分析，可以為 wlan 信道 分配創(chuàng)建一個(gè)原始拓?fù)?。它將由管理員保存，并發(fā)送到接入點(diǎn)。這種方式的問(wèn)題在于一個(gè)多層建 筑物總是存在垂直和水平重疊區(qū)域。這些應(yīng)用通常沒(méi)有考慮這些因素，因而只能創(chuàng)建一個(gè)局部拓 38062799d1b3f11f7c847e754d2bbf60.pdf page 24 of 100 撲。另外，這些掃描對(duì) wlan 的運(yùn)行具有破壞作用，所以應(yīng)當(dāng)在非工作時(shí)間進(jìn)行不幸的是， 辦公樓在非工作時(shí)間通常都沒(méi)有工作人員，大門(mén)緊鎖，而且相鄰的 wlan 也不在工作，所以這時(shí) 的 rf 狀況也與平時(shí)大不相同。rf 環(huán)境是動(dòng)態(tài)的；it 人員不能只依賴于某個(gè)時(shí)刻的 wlan 配置， 尤其是非高峰期的 wlan 配置。 企業(yè)也很難依靠現(xiàn)場(chǎng)調(diào)查工具和預(yù)定的 rf 掃描來(lái)處理 wlan 配置。即使是支持“一鍵式” wlan 分析和配置推送的工具也不具有足夠的動(dòng)態(tài)性能，無(wú)法滿足實(shí)際無(wú)線流量的需要。它們還 需要 it 專家的親自參與，使得他們無(wú)法適應(yīng)大型企業(yè)無(wú)線網(wǎng)絡(luò)的要求。 實(shí)時(shí) rf 管理應(yīng)當(dāng)模擬開(kāi)放最短路徑優(yōu)先（ospf） 。ospf 可以利用路由參數(shù)，不斷地監(jiān)控網(wǎng) 絡(luò)的狀態(tài)和對(duì)路由表進(jìn)行必要的改動(dòng)，以利用最佳的拓?fù)?。利用?nèi)置的智能，可以僅在網(wǎng)絡(luò)性能 或者容量受到影響時(shí)才改動(dòng)信道。將配置發(fā)送到一組接入點(diǎn)，但無(wú)法對(duì)系統(tǒng)性能和用戶行為作出 連續(xù)反饋的無(wú)線管理系統(tǒng)，類似于過(guò)去的靜態(tài)路由。當(dāng)將路由輸入曾經(jīng)準(zhǔn)確的路由表時(shí)，因?yàn)榫W(wǎng) 絡(luò)一直在不斷變化，所以路由表在將來(lái)某個(gè)時(shí)刻并不一定準(zhǔn)確甚至它們的正確期僅為一天（或 者一個(gè)小時(shí)） 。 上面闡述整個(gè)安利中國(guó)公司無(wú)線系統(tǒng)解決方案所能夠?qū)崿F(xiàn)的效果和大致的方法，能夠在接入 便利、安全、功能、運(yùn)維、管理上滿足安利中國(guó)公司的無(wú)線局域網(wǎng)絡(luò)要求，整體上平衡這五個(gè)方 面，后面介紹整體解決方案的各個(gè)部分：控制器、接入點(diǎn)、網(wǎng)絡(luò)管理和定位服務(wù)并配合終端、aaa 認(rèn)證系統(tǒng)和 windows 域服務(wù)器 ad 就構(gòu)成了完整的能夠?qū)崿F(xiàn)上述目標(biāo)的有線/無(wú)線一體化方案。 簡(jiǎn)單來(lái)講： 無(wú)線局域網(wǎng)解決方案的組成部件如下： 1) 控制器：控制所有的無(wú)線的運(yùn)轉(zhuǎn)過(guò)程； 2) ap 接入點(diǎn)：負(fù)責(zé)射頻信號(hào)收發(fā)和射頻掃描（定位和惡意 ap 掃描，收集信號(hào)，分析在控制 器） ，插上網(wǎng)線是對(duì)其唯一的手工操作； 3) 網(wǎng)絡(luò)管理 wcs：圖形界面管理，輸入地理圖和障礙信息，可以圖示定位、射頻信息，記錄 和審計(jì)，圖示惡意 ap，操作控制控制器的無(wú)線操作。一般和控制器一起部署，可以在 wcs 上監(jiān)控和操作整個(gè)無(wú)線局域網(wǎng)絡(luò)系統(tǒng)，所有操作以 web 方式進(jìn)行； 4) 定位服務(wù)器：提供定位分析； 5) 終端：兼容絕大多數(shù)廠商的終端設(shè)備，沒(méi)有限制。 6) aaa 服務(wù)器：提供集中認(rèn)證，采用安利中國(guó)現(xiàn)有的 radius 系統(tǒng)，如微軟 ias 。 38062799d1b3f11f7c847e754d2bbf60.pdf page 25 of 100 7) windows ad 服務(wù)器：可以連接 aaa 服務(wù)器，當(dāng)控制器到 aaa 進(jìn)行認(rèn)證時(shí)，aaa 查詢 ad 得到認(rèn)證結(jié)果并返回，達(dá)到利用 ad 集中認(rèn)證的結(jié)果，可以實(shí)現(xiàn)在終端上僅僅登陸域就可 以實(shí)現(xiàn)無(wú)線同時(shí)認(rèn)證集成的目的(即單次登陸：sso，single-sign-on)。 4.2 輕型接入點(diǎn)協(xié)議輕型接入點(diǎn)協(xié)議 安利中國(guó)公司無(wú)線解決方案采用 lwapp 協(xié)議，即輕型接入點(diǎn)協(xié)議。wlan 領(lǐng)域的趨勢(shì)是向集 中智能和集中控制發(fā)展。使用一個(gè) wlan 控制器系統(tǒng)來(lái)為大量輕型接入點(diǎn)創(chuàng)建和執(zhí)行策略。通過(guò) 集中這些設(shè)備的智能特性，整個(gè)無(wú)線企業(yè)中對(duì) wlan 運(yùn)營(yíng)至關(guān)重要的安全性、移動(dòng)性、服務(wù)質(zhì)量 (qos)和其他功能都可得到有效管理。此外，通過(guò)分離接入點(diǎn)和控制器的功能，it 人員能簡(jiǎn)化管理、 提高性能并使大型無(wú)線網(wǎng)絡(luò)更為安全。 輕型 wlan 系統(tǒng)集中提供用于企業(yè)級(jí) rf 管理和策略控制的智能 隨著更多供應(yīng)商移植到層次化設(shè)計(jì)，并用輕型接入點(diǎn)構(gòu)建更大型的網(wǎng)絡(luò)，市場(chǎng)上需要一種管 理輕型接入點(diǎn)如何與 wlan 系統(tǒng)通信的標(biāo)準(zhǔn)化協(xié)議。這也正是互聯(lián)網(wǎng)工程任務(wù)小組（ietf）最新 規(guī)范草案，即輕型接入點(diǎn)協(xié)議（lwapp）的作用所在。憑借 lwapp，能部署功能最多、具更高靈 活性的大型多供應(yīng)商無(wú)線網(wǎng)絡(luò)。 38062799d1b3f11f7c847e754d2bbf60.pdf page 26 of 100 4.2.1輕型接入點(diǎn)部署定位輕型接入點(diǎn)部署定位 傳統(tǒng)的 wlan 解決方案將所有的流量處理、rf 控制、安全和移動(dòng)功能分散到各接入點(diǎn)提供。 但這種架構(gòu)只允許單個(gè)接入點(diǎn)瀏覽 802.11 流量。這意味著： 當(dāng)未配備管理設(shè)備時(shí)，必須分別管理各接入點(diǎn)，從而提高運(yùn)營(yíng)成本和增加對(duì)人員的要求 無(wú)法查看系統(tǒng)中的網(wǎng)絡(luò)級(jí)攻擊和干擾 在第一層、第二層和第三層中只有一個(gè)安全策略實(shí)施點(diǎn) 無(wú)法發(fā)現(xiàn)和抵御針對(duì)整個(gè) wlan 的拒絕服務(wù)(dos)攻擊 系統(tǒng)不能關(guān)聯(lián)或預(yù)測(cè)企業(yè)中的活動(dòng) 實(shí)現(xiàn)優(yōu)化、實(shí)時(shí)的負(fù)載均衡的能力有限 客戶端無(wú)法進(jìn)行快速功能切換，而這正是支持語(yǔ)音和視頻等實(shí)時(shí)應(yīng)用所必需的 如果一個(gè)接入點(diǎn)被偷竊或破壞，就會(huì)帶來(lái)內(nèi)部安全風(fēng)險(xiǎn) 38062799d1b3f11f7c847e754d2bbf60.pdf page 27 of 100 對(duì)等 wlan 架構(gòu)限制了性能、可管理性和安全性的提高 大量設(shè)備供應(yīng)商已紛紛采取措施，來(lái)消除對(duì)等 wlan 架構(gòu)的局限性（如上圖） 。其中許多供 應(yīng)商宣布采用新架構(gòu)，集中部署 wlan 智能，以實(shí)現(xiàn)更高性能和效率。 4.2.2標(biāo)準(zhǔn)化需求標(biāo)準(zhǔn)化需求 隨著越來(lái)越多的產(chǎn)品使用帶集中 wlan 智能的輕型接入點(diǎn)，市場(chǎng)需要一個(gè)管理這些設(shè)備相互 間如何通信的業(yè)界標(biāo)準(zhǔn)。lwapp 是 ietf 工作小組為解決此問(wèn)題而制訂的標(biāo)準(zhǔn)化草案。lwapp 最 初由 airespace (2005 年 3 月被思科系統(tǒng)公司收購(gòu)) 和 ntt docomo 制訂，是接入點(diǎn)和 wlan 系 統(tǒng)（控制器，交換機(jī)，路由器等）之間的標(biāo)準(zhǔn)化通信協(xié)議。其制訂目標(biāo)如 ietf 規(guī)范所述，旨在： 降低接入點(diǎn)中的處理負(fù)擔(dān)，使這些設(shè)備中有限的計(jì)算資源可主要用于提供無(wú)線接入功能，而 非用于過(guò)濾及策略實(shí)施 實(shí)現(xiàn)能對(duì)整個(gè) wlan 系統(tǒng)集中進(jìn)行流量處理、驗(yàn)證、加密和策略實(shí)施（qos，安全等）的機(jī) 制 通過(guò)第二層基礎(chǔ)設(shè)施或 ip 路由網(wǎng)絡(luò)，提供一個(gè)通用封裝和傳輸機(jī)制，用于實(shí)現(xiàn)多供應(yīng)商接入 點(diǎn)互操作性 lwapp 規(guī)范通過(guò)定義以下類型的活動(dòng)，解決了這些問(wèn)題： 接入點(diǎn)設(shè)備發(fā)現(xiàn)、信息交換和配置 38062799d1b3f11f7c847e754d2bbf60.pdf page 28 of 100 接入點(diǎn)認(rèn)證和軟件控制 分組封裝、分段和格式化 在接入點(diǎn)和無(wú)線系統(tǒng)設(shè)備間進(jìn)行通信控制和管理 lwapp 的廣泛采用使企業(yè)客戶可從多種能互操作的接入點(diǎn)及無(wú)線系統(tǒng)設(shè)備中進(jìn)行選擇，因此 他們不再需要根據(jù)哪些設(shè)備能配合工作而作出購(gòu)買決策，而是可根據(jù)各接入點(diǎn)和無(wú)線系統(tǒng)設(shè)備的 具體功能制訂決策。 lwapp 在市場(chǎng)中得到廣泛接受，減少了被迫鎖定于一個(gè)供應(yīng)商，即只有將接入點(diǎn)與同一供應(yīng) 商的 wlan 系統(tǒng)設(shè)備共用，才能獲得最優(yōu)運(yùn)行效果的現(xiàn)象。lwapp 還提供了一個(gè)開(kāi)放標(biāo)準(zhǔn)解決方 案，可在多供應(yīng)商集中 wlan 架構(gòu)上提供安全的第二層和第三層網(wǎng)絡(luò)服務(wù)。此外，憑借 lwapp， 第三方供應(yīng)商也可擁有一個(gè)用于部署應(yīng)用的通用架構(gòu)。 4.2.3運(yùn)行運(yùn)行 lwapp 當(dāng) lwapp 于 2002 年首次進(jìn)入 wlan 行業(yè)時(shí)，它通過(guò)“分離 mac”概念使管理 wlan 部署的 方式發(fā)生了革命性的改變， “分離 mac”可將 802.11 協(xié)議的實(shí)時(shí)功能和