水投無(wú)線(xiàn)網(wǎng)絡(luò)實(shí)施方案

1、重慶市水利投資（集團(tuán)）有限公司無(wú)線(xiàn)實(shí)施方案重慶市水利投資（集團(tuán)）有限公司無(wú)線(xiàn)網(wǎng)路實(shí)施方案重慶宗燦科技發(fā)展有限公司2016年1月概述重慶市水利投資（集團(tuán)）有限公司已經(jīng)建立一套高性能、高可用性、高管理性的局域網(wǎng)，有效支撐并保證正常生產(chǎn)運(yùn)行的網(wǎng)絡(luò)需求，保護(hù)用戶(hù)信息系統(tǒng)資源（各種生產(chǎn)服務(wù)器、辦公計(jì)算機(jī)）的穩(wěn)定運(yùn)行和信息安全，形成一套完整的應(yīng)用系統(tǒng)網(wǎng)絡(luò)支撐架構(gòu)。此次無(wú)線(xiàn)網(wǎng)絡(luò)實(shí)施方案，是為滿(mǎn)足辦公網(wǎng)絡(luò)需求，滿(mǎn)足信息化的辦公，使用網(wǎng)絡(luò)管理手段來(lái)提升的管理和服務(wù)質(zhì)量，需要對(duì)公司內(nèi)部無(wú)線(xiàn)網(wǎng)絡(luò)進(jìn)行整改和完善。無(wú)線(xiàn)網(wǎng)絡(luò)作為現(xiàn)代化管理的和運(yùn)行的承載平臺(tái)，需要建設(shè)一個(gè)安全、穩(wěn)定、易管理的平臺(tái)。一、無(wú)線(xiàn)網(wǎng)絡(luò)整改背景現(xiàn)重慶

2、市水利投資（集團(tuán)）有限公司已有無(wú)線(xiàn)網(wǎng)絡(luò)，但是由于公司辦公人員較多，每層樓僅有四個(gè)無(wú)線(xiàn)AP分布與各個(gè)樓層四個(gè)死角，無(wú)法對(duì)各個(gè)樓層的辦公室進(jìn)行有效的，全方位的覆蓋。因此需要對(duì)公司無(wú)線(xiàn)網(wǎng)絡(luò)進(jìn)行整改，以達(dá)到高可管性、可控性、全方位覆蓋和有效提高工作效率的目的。二、網(wǎng)絡(luò)需求分析辦公網(wǎng)絡(luò)需要一份具有更貼近的方案：使無(wú)論技術(shù)高低的網(wǎng)絡(luò)維護(hù)工程師，都能輕松工作；讓所有用戶(hù)從領(lǐng)導(dǎo)到職工用戶(hù)，便捷訪(fǎng)問(wèn)數(shù)據(jù)資源，而不用擔(dān)心數(shù)據(jù)阻塞、丟失等隱患；充分利用無(wú)線(xiàn)網(wǎng)絡(luò)的靈活性，隨時(shí)隨地可辦公，從而有效提供工作效率。2.1、信號(hào)好的無(wú)線(xiàn)網(wǎng)絡(luò)隨著互聯(lián)網(wǎng)網(wǎng)絡(luò)應(yīng)用的發(fā)展，無(wú)線(xiàn)網(wǎng)絡(luò)需求越來(lái)越多，高帶寬，高穩(wěn)定性，安全網(wǎng)絡(luò)平臺(tái)是基礎(chǔ)。

3、構(gòu)建無(wú)阻塞和海量數(shù)據(jù)轉(zhuǎn)發(fā)無(wú)線(xiàn)網(wǎng)絡(luò)平臺(tái)就是要構(gòu)建一個(gè)隨時(shí)隨地都有好的信號(hào)的無(wú)線(xiàn)網(wǎng)絡(luò)。2.2、高安全性的無(wú)線(xiàn)網(wǎng)絡(luò)在當(dāng)今木馬、病毒、網(wǎng)絡(luò)攻擊泛濫的互聯(lián)網(wǎng)應(yīng)用年代，這些網(wǎng)絡(luò)安全威脅隨時(shí)會(huì)被帶入辦公局域網(wǎng)絡(luò)。同時(shí)，局域網(wǎng)有自身的相關(guān)辦公的業(yè)務(wù)系統(tǒng)，非內(nèi)部用戶(hù)拿一根網(wǎng)線(xiàn)隨意接入網(wǎng)絡(luò)，會(huì)對(duì)業(yè)務(wù)系統(tǒng)帶來(lái)非常大的威脅?？v觀分析現(xiàn)有互聯(lián)網(wǎng)、網(wǎng)絡(luò)經(jīng)常出現(xiàn)的網(wǎng)絡(luò)安全事件，發(fā)現(xiàn)存在安全風(fēng)險(xiǎn)多元化的特點(diǎn)。因此在建設(shè)網(wǎng)絡(luò)安全防護(hù)手段的時(shí)候，不能通過(guò)拼湊的方式來(lái)建設(shè)，需要建設(shè)一個(gè)完善的防護(hù)體系，行程安全防護(hù)流程，才能有效減少安全事件的發(fā)生，網(wǎng)絡(luò)故障的發(fā)生，基礎(chǔ)網(wǎng)絡(luò)平臺(tái)才能更能穩(wěn)定、可靠、高速的為應(yīng)用業(yè)務(wù)系統(tǒng)提供承載。2.3、

4、辦公網(wǎng)絡(luò)上網(wǎng)管理控制1.基礎(chǔ)網(wǎng)絡(luò)非常穩(wěn)定，且網(wǎng)絡(luò)質(zhì)量要求非常好，才能吸引用戶(hù)，才能提升用戶(hù)的滿(mǎn)意度。2.網(wǎng)絡(luò)需要可管理；可定制相關(guān)策略，管理的用戶(hù)個(gè)人的上網(wǎng)行為、網(wǎng)絡(luò)的質(zhì)量，對(duì)無(wú)線(xiàn)接入用戶(hù)進(jìn)行認(rèn)證，非公司內(nèi)部員工即使接入無(wú)線(xiàn)網(wǎng)絡(luò)也可以對(duì)其上網(wǎng)限制，從而達(dá)到網(wǎng)絡(luò)的可管理性。3.網(wǎng)絡(luò)需要可控制；可以在上網(wǎng)行為管理上面控制網(wǎng)絡(luò)的測(cè)量、計(jì)費(fèi)認(rèn)證策略、用戶(hù)訪(fǎng)問(wèn)策略等，保證運(yùn)營(yíng)可靈活調(diào)度、靈活調(diào)整。4.網(wǎng)絡(luò)需要安全；一個(gè)安全的網(wǎng)絡(luò)就像一個(gè)法制健全的國(guó)家，將有關(guān)安全事件的發(fā)生采取措施、進(jìn)行控制，才能保證社會(huì)的和諧；同樣，網(wǎng)絡(luò)有安全也應(yīng)制定相關(guān)安全策略，對(duì)相關(guān)安全事件進(jìn)行有效攔截，才能保證網(wǎng)絡(luò)的正常運(yùn)行，用戶(hù)

5、的安全網(wǎng)絡(luò)訪(fǎng)問(wèn)。在網(wǎng)絡(luò)可管、可控的基礎(chǔ)上，才能保證網(wǎng)絡(luò)真正可用好用。三、網(wǎng)絡(luò)整體框架拓?fù)鋱D重慶市水利投資（集團(tuán)）有限公司現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)圖譜圖如下圖所示：3.1、現(xiàn)無(wú)線(xiàn)覆蓋平面圖：現(xiàn)重慶市水利投資（集團(tuán)）有限公司無(wú)線(xiàn)網(wǎng)絡(luò)覆蓋平面圖如下：3.2、整改后無(wú)線(xiàn)覆蓋平面圖：重慶市水利投資（集團(tuán)）有限公司無(wú)線(xiàn)網(wǎng)絡(luò)覆蓋整改后平面圖：四、無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)計(jì)方案4.1、無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)計(jì)無(wú)線(xiàn)局域網(wǎng)（WLAN）使用的傳輸不再使用雙絞線(xiàn)或光纖，而是是紅外線(xiàn)（IR）或射頻（RF）?，F(xiàn)在大多數(shù)無(wú)線(xiàn)LAN都在使用2.4千兆赫（GHz）的頻率波段。無(wú)線(xiàn)網(wǎng)絡(luò)的自由性和靈活性既可用于建筑物內(nèi)部也可用于建筑物之間，特別是在古建筑、玻璃幕墻、空曠

6、開(kāi)間等物理線(xiàn)纜不易敷設(shè)的情況時(shí)。本次無(wú)線(xiàn)整改完善項(xiàng)目是在重慶市水利投資（集團(tuán)）有限公司原有無(wú)線(xiàn)網(wǎng)絡(luò)覆蓋不全面的基礎(chǔ)條件下對(duì)現(xiàn)有無(wú)線(xiàn)網(wǎng)絡(luò)做出整改，使得全公司無(wú)死角的進(jìn)行網(wǎng)絡(luò)覆蓋；提高辦公效率。無(wú)線(xiàn)網(wǎng)絡(luò)已經(jīng)得到越來(lái)越多的應(yīng)用，成為有線(xiàn)網(wǎng)絡(luò)覆蓋的有力補(bǔ)充和替代方案，在本次無(wú)線(xiàn)網(wǎng)絡(luò)整改完善項(xiàng)目中，具體來(lái)說(shuō)有以下幾個(gè)方面的具體需求：4.1.1、無(wú)線(xiàn)部署模式對(duì)于局域網(wǎng)的無(wú)線(xiàn)部署我們采用哪種方式？無(wú)線(xiàn)接入點(diǎn)可支持Fat（胖）和Fit（瘦）兩種工作模式。如果采用胖AP來(lái)進(jìn)行部署，那么對(duì)于無(wú)線(xiàn)AP的統(tǒng)一管理和用戶(hù)接入權(quán)限的控制是有難度的，原因如下：1、網(wǎng)管IP地址、SSID和加密認(rèn)證方式等無(wú)線(xiàn)業(yè)務(wù)參數(shù)、信道和發(fā)

7、射功率等射頻參數(shù)均 需要手工逐一配置；2、查看狀態(tài)及用戶(hù)統(tǒng)計(jì)時(shí)，需要逐一登陸查看；3、無(wú)法進(jìn)行負(fù)載分擔(dān)、射頻管理等智能業(yè)務(wù)。4、用戶(hù)由一個(gè)AP覆蓋范圍進(jìn)入另一個(gè)AP覆蓋范圍時(shí)不能實(shí)現(xiàn)漫游功能。AP統(tǒng)一管理、用戶(hù)接入權(quán)限控制成為構(gòu)建公司無(wú)線(xiàn)網(wǎng)絡(luò)的首要問(wèn)題，所以我們認(rèn)為公司網(wǎng)無(wú)線(xiàn)的部署應(yīng)該采用瘦AP的方式：1、自動(dòng)查找AC（無(wú)線(xiàn)控制器），無(wú)需配置即插即用；2、自動(dòng)識(shí)別周邊AP，射頻、信道自動(dòng)配置；3、可以進(jìn)行負(fù)載分擔(dān)、射頻管理等智能業(yè)務(wù)；4、無(wú)線(xiàn)控制器對(duì)所有FIT AP和在線(xiàn)用戶(hù)進(jìn)行統(tǒng)計(jì)和管理。5、自動(dòng)升級(jí)，無(wú)需手工干預(yù)；6、支持訪(fǎng)問(wèn)權(quán)限靈活分配6、支持無(wú)線(xiàn)漫游功能4.1.2、無(wú)線(xiàn)網(wǎng)絡(luò)信號(hào)覆蓋在大

8、樓裝修方面更是挖空心思、不遺余力，使得信號(hào)極差，尤其值得一提的是大量的承重柱子和辦公室隔斷墻壁，使得現(xiàn)有的每個(gè)樓層四個(gè)角落的無(wú)線(xiàn)信號(hào)被大量的墻壁和承重柱子阻擋后，導(dǎo)致各個(gè)樓層中的每個(gè)辦公室沒(méi)有信號(hào)或者只有微弱的信號(hào)，而那里正是我們?nèi)藛T辦公的地方?，F(xiàn)我們采用各個(gè)辦公室各自接入一個(gè)無(wú)線(xiàn)AP的方式，直接將無(wú)線(xiàn)AP部署在辦公室或者兩個(gè)辦公室之間，從而能達(dá)到好的信號(hào)覆蓋效果。同時(shí)，因?yàn)槊績(jī)蓚€(gè)接入點(diǎn)之間的距離拉進(jìn)了，無(wú)線(xiàn)之間能實(shí)現(xiàn)蜂窩式覆蓋，兩個(gè)AP之間實(shí)現(xiàn)漫游功能，經(jīng)過(guò)我們的測(cè)試，使用者幾乎感覺(jué)不到移動(dòng)終端設(shè)備的中斷掉線(xiàn)或者系統(tǒng)的重新登陸。4.1.3、無(wú)線(xiàn)網(wǎng)絡(luò)數(shù)據(jù)傳輸傳統(tǒng)的部署方式，通過(guò)核心交換機(jī)將數(shù)據(jù)

9、傳給二層接入交換機(jī)，再由二層接入交換機(jī)轉(zhuǎn)發(fā)給無(wú)線(xiàn)控制器，所有AP全都以串聯(lián)的方式掛在無(wú)線(xiàn)控制器下一旦控制器壞了或者鏈接控制器的線(xiàn)纜接口有問(wèn)題，無(wú)線(xiàn)網(wǎng)絡(luò)就斷了，就算將控制器做成互備的，也只是達(dá)到了相對(duì)安全（人工手動(dòng)啟動(dòng)另一臺(tái)控制器，操作技術(shù)含量高，難實(shí)現(xiàn)，且可能存在另一臺(tái)控制器長(zhǎng)時(shí)間不用已經(jīng)壞掉了，卻不知道。）?，F(xiàn)可以將無(wú)線(xiàn)控制器旁?huà)煸诙咏尤虢粨Q機(jī)上面，再在各個(gè)樓層二層交換機(jī)上面都劃分一個(gè)相同的VLAN作為無(wú)線(xiàn)網(wǎng)絡(luò)專(zhuān)用的VLAN。同時(shí)，把無(wú)線(xiàn)控制器加入這個(gè)VLAN，即可實(shí)現(xiàn)統(tǒng)一管理，當(dāng)控制器斷開(kāi)時(shí)候，不論是哪種原因斷開(kāi)，我們的接入點(diǎn)直接將數(shù)據(jù)通過(guò)核心交換機(jī)發(fā)送給數(shù)據(jù)庫(kù)或者服務(wù)器,再一次讓我們的

10、無(wú)線(xiàn)天生就具備了有線(xiàn)核心交換機(jī)的穩(wěn)定策略。真正做到：除非接入點(diǎn)壞了，否則無(wú)線(xiàn)網(wǎng)絡(luò)沒(méi)問(wèn)題。4.1.4、無(wú)線(xiàn)網(wǎng)絡(luò)接入安全我們的無(wú)線(xiàn)安全結(jié)合傳統(tǒng)有線(xiàn)的安全策略IP和MAC地址的綁定基礎(chǔ)上，又增加了WEB界面的認(rèn)證。只有同時(shí)滿(mǎn)足這兩個(gè)策略的主機(jī)才能登到我們的無(wú)線(xiàn)網(wǎng)絡(luò)中。4.2、室內(nèi)無(wú)線(xiàn)網(wǎng)絡(luò)覆蓋針對(duì)當(dāng)前辦公環(huán)境室內(nèi)建筑結(jié)構(gòu)的特點(diǎn)，從不影響建筑環(huán)境美觀的角度出發(fā)并結(jié)合用戶(hù)需求，我方規(guī)劃在覆蓋產(chǎn)品上選擇吸頂式無(wú)線(xiàn)AP進(jìn)行覆蓋。所有室內(nèi)無(wú)線(xiàn)AP應(yīng)均為802.11N無(wú)線(xiàn)接入點(diǎn)，接收靈敏度高，覆蓋范圍廣，射頻信號(hào)質(zhì)量穩(wěn)定，保證了用戶(hù)無(wú)線(xiàn)網(wǎng)絡(luò)信號(hào)的穩(wěn)定性和可靠性。網(wǎng)絡(luò)設(shè)計(jì)采用“AC+FIT+AP解決方案”進(jìn)行了整體

11、覆蓋，在核心交換機(jī)連接無(wú)線(xiàn)控制器，在接入層部署POE接入交換機(jī)。4.2.1、室內(nèi)無(wú)線(xiàn)網(wǎng)絡(luò)覆蓋特點(diǎn)：l 雙頻吸頂方式部署，外形美觀，適合于空間開(kāi)闊，訪(fǎng)問(wèn)密集的場(chǎng)所，如會(huì)議室、集中辦公區(qū)等；l 單頻吸頂方式部署，外形美觀，適用于一般走廊區(qū)域；l 入墻方式部署，86盒尺寸，適用于單間辦公室區(qū)域；l 所有無(wú)線(xiàn)AP均應(yīng)采用瘦AP方式進(jìn)行部署，由部署于網(wǎng)絡(luò)信息中心的無(wú)線(xiàn)控制器進(jìn)行統(tǒng)一的配置和管理；l 外網(wǎng)相關(guān)的安全部分建設(shè)，將在后文專(zhuān)章另行敘述。4.3、無(wú)線(xiàn)認(rèn)證解決方案4.3.1、強(qiáng)制推送用戶(hù)連接到無(wú)線(xiàn)網(wǎng)絡(luò)后，瀏覽任何互聯(lián)網(wǎng)網(wǎng)站（部分終端如iOS系統(tǒng)設(shè)備可自動(dòng)彈出網(wǎng)頁(yè)），均強(qiáng)制重定向至認(rèn)證頁(yè)面。認(rèn)證頁(yè)面可

12、由當(dāng)前辦公環(huán)境網(wǎng)絡(luò)管理員靈活自定義，可自主上傳圖片、文字、鏈接等信息，發(fā)布圖片數(shù)量和圖片更改次數(shù)不受限制，用戶(hù)只需登陸網(wǎng)月云平臺(tái)，即可對(duì)推送內(nèi)容進(jìn)行編輯，其中編輯功能不受時(shí)間和地點(diǎn)的限制，能上網(wǎng)的地方就能自主管理后臺(tái)。4.3.2認(rèn)證登陸彈出認(rèn)證頁(yè)面之后，用戶(hù)可以使用手機(jī)號(hào)碼、微信賬號(hào)、QQ號(hào)碼、新浪微博、隨即賬號(hào)、等多種方式連接到當(dāng)前辦公環(huán)境無(wú)線(xiàn)網(wǎng)絡(luò)，同時(shí)云平臺(tái)可以獲取到通過(guò)無(wú)線(xiàn)設(shè)備訪(fǎng)問(wèn)網(wǎng)絡(luò)的所有用戶(hù)的訪(fǎng)問(wèn)軌跡并保留訪(fǎng)問(wèn)信息，強(qiáng)大的文字及圖形化統(tǒng)計(jì)系統(tǒng)幫助管理員更好的管理網(wǎng)絡(luò)。4.4無(wú)線(xiàn)認(rèn)證方式無(wú)線(xiàn)解決方案當(dāng)中目前共支持十二種PORTAL認(rèn)證方式，根據(jù)當(dāng)前辦公環(huán)境選取的如下幾種：4.4.1賬號(hào)

13、登錄應(yīng)用人群：企業(yè)內(nèi)部人員，賬號(hào)即為每個(gè)人的工號(hào)認(rèn)證流程：l 用戶(hù)無(wú)密碼連接WIFI熱點(diǎn)，打開(kāi)IE，彈出PORTAL認(rèn)證頁(yè)面，瀏覽頁(yè)面內(nèi)容；l 輸入正確的用戶(hù)名（工號(hào)）和密碼；l 登錄上網(wǎng)。4.4.2短信認(rèn)證應(yīng)用場(chǎng)合：外來(lái)人員，短信認(rèn)證后可使用無(wú)線(xiàn)網(wǎng)絡(luò)。認(rèn)證流程：l 用戶(hù)無(wú)密碼連接WIFI熱點(diǎn)，打開(kāi)IE，彈出PORTAL認(rèn)證頁(yè)面，瀏覽頁(yè)面內(nèi)容；l 輸入正確的手機(jī)號(hào)碼，手機(jī)將收到一條包含驗(yàn)證碼的短信；l 在認(rèn)證頁(yè)面輸入短信驗(yàn)證碼；l 登錄上網(wǎng)。4.5、設(shè)備選型4.5.1、選型原則 1、適用性與先進(jìn)性相結(jié)合的原則：不同品牌的交換機(jī)產(chǎn)品價(jià)格差異較大， 功能也不一樣，因此選擇時(shí)不能只看品牌或追求高價(jià)，

14、也不能只看價(jià)錢(qián)低的，應(yīng)該根據(jù)應(yīng)用的實(shí)際情況，選擇性能價(jià)格比高，既能滿(mǎn)足目前需要，又能適應(yīng)未來(lái)幾年網(wǎng)絡(luò)發(fā)展的交換機(jī)。 2、 安全可靠的原則：交換機(jī)的安全決定了網(wǎng)絡(luò)系統(tǒng)的安全，選擇交換機(jī)時(shí) 這一點(diǎn)是非常重要的，支持MAC-IP-端口綁定、交換機(jī)私自串聯(lián)報(bào)警、ACL、QoS等技術(shù)。 3、產(chǎn)品與服務(wù)相結(jié)合的原則：選擇交換機(jī)時(shí)，既要看產(chǎn)品的品牌又要看生產(chǎn)廠商和銷(xiāo)售商品是否有強(qiáng)大的技術(shù)支持、良好的售后服務(wù)，否則買(mǎi)回的交換機(jī)出現(xiàn)故障時(shí)既沒(méi)有技術(shù)支持又沒(méi)有產(chǎn)品服務(wù)，使用戶(hù)蒙受損失。結(jié)合本次項(xiàng)目現(xiàn)場(chǎng)實(shí)際情況，網(wǎng)絡(luò)產(chǎn)品推薦：IPCOM網(wǎng)絡(luò)產(chǎn)品。（設(shè)備型號(hào)清單詳見(jiàn)：附件1：設(shè)備選型清單）4.6、設(shè)備選型理由和建議4

15、.6.1、無(wú)線(xiàn)設(shè)備選型理由和建議選型理由一共有以下幾點(diǎn)：1、本次項(xiàng)目是在原有無(wú)線(xiàn)網(wǎng)絡(luò)不能完全覆蓋的基礎(chǔ)條件下進(jìn)行無(wú)線(xiàn)網(wǎng)絡(luò)全方位覆蓋整改；2、盡可能節(jié)約成本；3、能夠管理網(wǎng)絡(luò)上的有線(xiàn)、無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)備，并能夠通過(guò)SNMP進(jìn)去配置設(shè)備。減少網(wǎng)絡(luò)維護(hù)工作人員，有豐富的告警功能，及時(shí)的傳遞信息給網(wǎng)絡(luò)維護(hù)人員，能夠主動(dòng)的監(jiān)控和處理故障。4、能夠適用于現(xiàn)場(chǎng)環(huán)境的無(wú)線(xiàn)AP應(yīng)該具有MIMO、OFDM等技術(shù)，最高可提供300Mbps的無(wú)線(xiàn)數(shù)據(jù)傳輸速率。設(shè)備內(nèi)置2根MIMO天線(xiàn)，能提供更大的覆蓋范圍和更強(qiáng)的信號(hào)穿透力，室內(nèi)有效覆蓋距離可達(dá)20-30米；室內(nèi)有效覆蓋房間數(shù)量可達(dá)8-12個(gè)。5、充分考慮無(wú)線(xiàn)供電問(wèn)題，應(yīng)注

16、重?zé)o線(xiàn)AP供電是否安全，插座是否容易脫落；所以為了解決以上問(wèn)題，無(wú)線(xiàn)AP應(yīng)該采用POE交換機(jī)給每個(gè)樓層無(wú)線(xiàn)AP獨(dú)立供電。以保證無(wú)線(xiàn)AP供電問(wèn)題。所以，結(jié)合以上幾點(diǎn)特點(diǎn)來(lái)看，要同時(shí)滿(mǎn)足節(jié)約成本適用于現(xiàn)場(chǎng)特殊環(huán)境的設(shè)備推薦IPCOM的W40AP、CW1000無(wú)線(xiàn)控制器和網(wǎng)月2MS3228POE供電交換機(jī)；五、無(wú)線(xiàn)網(wǎng)絡(luò)方案特點(diǎn)5.6.1、 AP電源的供給 在目前的技術(shù)環(huán)境下，無(wú)線(xiàn)接入點(diǎn)仍然需要電源，這就削弱了無(wú)線(xiàn)局域網(wǎng)的優(yōu)勢(shì)。在安裝時(shí)，我們不得不考慮電源插口是否存在，以及連接是否可靠，電源是否會(huì)從墻板上脫落等不確定因素。 為了解決這上述問(wèn)題，所有無(wú)線(xiàn)AP都支持IEEE802.3af標(biāo)準(zhǔn)的POE供電方

17、式，因此可以通過(guò)位于各個(gè)樓層內(nèi)部署POE交換機(jī)為每一個(gè)無(wú)線(xiàn)AP供電。5.6.2、提供靈活的多SSID支持早先，由于技術(shù)及成本的制約，AP只能提供單一SSID，因此要想在使得無(wú)線(xiàn)網(wǎng)所能提供的服務(wù)均混合在一個(gè)服務(wù)集之上；所有單個(gè)AP都支持最多4個(gè)SSID，并可以對(duì)每一個(gè)SSID分配不同的認(rèn)證、加密和VLAN策略，用戶(hù)一旦連接上一SSID后，可以被賦予該SSID所提供的屬性。基于多SSID的應(yīng)用能夠?qū)崿F(xiàn)網(wǎng)內(nèi)的多種復(fù)雜應(yīng)用，有利于大型商場(chǎng)和企業(yè)等環(huán)境的管理，從而讓無(wú)線(xiàn)網(wǎng)業(yè)務(wù)系統(tǒng)功能更多、更為靈活。5.6.3、 AP的集中管理與自動(dòng)配置 在傳統(tǒng)無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)中，由于AP都是所謂的胖AP（FAT AP），即

18、自身需要有相應(yīng)控制軟件以及獨(dú)立的配置才能運(yùn)行，這就給管理人員造成了很大的困擾，那就是對(duì)AP的管理、監(jiān)控以及AP自身固件的升級(jí)非常麻煩。而由于AP是一種接入層設(shè)備，數(shù)量較多，且由于網(wǎng)絡(luò)的復(fù)雜性以及業(yè)務(wù)的多樣性，導(dǎo)致需要根據(jù)各“熱點(diǎn)”區(qū)域進(jìn)行相應(yīng)配置，并且還需要管理人員對(duì)這些特殊配置進(jìn)行記錄，以方便日后維護(hù)；此外，在日常運(yùn)行中，還需要了解這些數(shù)量眾多AP的工作狀態(tài)及性能等數(shù)據(jù)，而一般AP管理工具功能太過(guò)簡(jiǎn)單，如果采用有線(xiàn)網(wǎng)絡(luò)網(wǎng)管軟件，由于沒(méi)有很好的對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)做相應(yīng)的開(kāi)發(fā)與支持，從而不能很好的管理無(wú)線(xiàn)網(wǎng)絡(luò)。針對(duì)此種問(wèn)題，本次項(xiàng)目由硬件無(wú)線(xiàn)控制器和瘦AP組成的無(wú)線(xiàn)網(wǎng)絡(luò)，所有無(wú)線(xiàn)AP在網(wǎng)絡(luò)中將即插即用，

19、零配置接入網(wǎng)絡(luò)，在找到無(wú)線(xiàn)控制器后，將由無(wú)線(xiàn)控制器進(jìn)行統(tǒng)一配置及控制，AP的配置管理、日志管理、RF管理、Rouge AP檢測(cè)和故障診斷管理均由無(wú)線(xiàn)控制器負(fù)責(zé)，極大的方便了網(wǎng)絡(luò)管理人員的日常維護(hù)管理工作。5.5.4、用戶(hù)的身份認(rèn)證及加密眾所周知，無(wú)線(xiàn)網(wǎng)絡(luò)采用電磁波作為傳出媒介進(jìn)行數(shù)據(jù)傳輸，而電磁波由于可以穿透建筑物而泄漏到外部空間，因此對(duì)于無(wú)線(xiàn)網(wǎng)絡(luò)的安全策略就不能采用有線(xiàn)網(wǎng)的思路，因而必須采取一些切實(shí)有效的方法來(lái)保護(hù)無(wú)線(xiàn)網(wǎng)絡(luò)免遭黑客入侵及避免用戶(hù)數(shù)據(jù)被非法竊取。目前國(guó)際上比較流行的方法是對(duì)用戶(hù)進(jìn)行身份的認(rèn)證以及認(rèn)證成功后要對(duì)用戶(hù)的數(shù)據(jù)進(jìn)行加密來(lái)反制非法入侵。本無(wú)線(xiàn)解決方案當(dāng)中支持多種加密方式：

20、WEP加密方式WPA/WPA2 PSK加密方式WPA/WPA2 RADIUS加密方式PORTAL認(rèn)證加密方式其中PORTAL認(rèn)證功能由于其具備了操作簡(jiǎn)便，密碼唯一，管理方便，可擴(kuò)展性強(qiáng)，便于推廣信息等特點(diǎn)，成為了酒店、商場(chǎng)、學(xué)校等大型場(chǎng)所首選的無(wú)線(xiàn)加密方式。同時(shí)，無(wú)線(xiàn)PORTAL認(rèn)證系統(tǒng)當(dāng)中支持身份證刷卡，與前臺(tái)系統(tǒng)完美融合，輕松實(shí)現(xiàn)，前臺(tái)刷卡，AC后臺(tái)開(kāi)通無(wú)線(xiàn)，憑身份證等認(rèn)證方式可連接到無(wú)線(xiàn)網(wǎng)絡(luò)。5.5.5、無(wú)線(xiàn)漫游 由于無(wú)線(xiàn)局域網(wǎng)采用類(lèi)似于移動(dòng)通信網(wǎng)中的“蜂窩”覆蓋方式，來(lái)實(shí)現(xiàn)大面積覆蓋，當(dāng)終端在移動(dòng)一點(diǎn)到另外一點(diǎn)的移動(dòng)過(guò)程中，不可避免的需要從一個(gè)AP切換到另外一個(gè)AP，在切換過(guò)程中，移動(dòng)

21、終端需要進(jìn)行“取消關(guān)聯(lián)”及“重關(guān)聯(lián)”的操作，該過(guò)程一般需要300500ms的時(shí)間，此外，在有后臺(tái)認(rèn)證系統(tǒng)存在的情況下，用戶(hù)還需要進(jìn)行重認(rèn)證、session key重分發(fā)及重新分配IP地址的過(guò)程，這種方式無(wú)法滿(mǎn)足一些對(duì)時(shí)延非常敏感的業(yè)務(wù)諸如VOD點(diǎn)播、VoWLAN等的支持，因?yàn)閭鹘y(tǒng)無(wú)線(xiàn)網(wǎng)絡(luò)的漫游只停留在IEEE802.11協(xié)議層上，并沒(méi)有對(duì)用戶(hù)會(huì)話(huà)進(jìn)行完整性保持。 本無(wú)線(xiàn)解決方案當(dāng)中，無(wú)線(xiàn)控制器會(huì)對(duì)所有AP上接入的用戶(hù)采用統(tǒng)一會(huì)話(huà)管理，所有已認(rèn)證終端均在控制器當(dāng)中保存相應(yīng)會(huì)話(huà)，AP僅僅只負(fù)載傳輸用戶(hù)數(shù)據(jù)，因此無(wú)論終端移動(dòng)到哪個(gè)AP下，用戶(hù)信息和授權(quán)都在無(wú)線(xiàn)控制器所管轄的移動(dòng)域內(nèi)快速的交互，可以有

22、效保持會(huì)話(huà)完整性及可靠移動(dòng)性的前提下實(shí)現(xiàn)無(wú)縫漫游。5.5.6、無(wú)線(xiàn)信號(hào)自動(dòng)優(yōu)化與調(diào)整 傳統(tǒng)“FAT AP”組建的無(wú)線(xiàn)網(wǎng)絡(luò)，在建設(shè)初期，需要對(duì)無(wú)線(xiàn)頻譜及channel和發(fā)射功率進(jìn)行規(guī)劃，以降低同頻干擾，但是無(wú)線(xiàn)信號(hào)受到用戶(hù)數(shù)、天氣、濕度等環(huán)境影響因素較大，一旦外界因素發(fā)生變化后，如果AP仍使用原始參數(shù)進(jìn)行運(yùn)行，必然導(dǎo)致信號(hào)強(qiáng)度降低、覆蓋區(qū)域縮小等情況，導(dǎo)致網(wǎng)絡(luò)運(yùn)行不穩(wěn)定。 本次無(wú)線(xiàn)網(wǎng)絡(luò)解決方案當(dāng)中，支持RF自動(dòng)調(diào)整技術(shù)。可以監(jiān)聽(tīng)、掃描所在空域中的信號(hào)強(qiáng)度和使用量，并將數(shù)據(jù)傳送至無(wú)線(xiàn)控制器上，控制器根據(jù)各AP報(bào)告的測(cè)量數(shù)據(jù)進(jìn)行一個(gè)全局的調(diào)配，RF技術(shù)以可動(dòng)態(tài)地調(diào)整流量負(fù)載、功率、射頻覆蓋區(qū)域和信道

23、分配，以使覆蓋范圍和容量最大化。5.5.7、非法用戶(hù)的防御本次項(xiàng)目中所有無(wú)線(xiàn)AP支持MAC地址準(zhǔn)入功能，可設(shè)置黑白名單，當(dāng)非法用戶(hù)想要連接到無(wú)線(xiàn)網(wǎng)絡(luò)時(shí)，系統(tǒng)可以主動(dòng)向該無(wú)線(xiàn)客戶(hù)端發(fā)出IEEE802.11 disassociation信號(hào)，強(qiáng)制將該終端與非法AP斷開(kāi)，阻止非法訪(fǎng)問(wèn)連接到無(wú)線(xiàn)網(wǎng)絡(luò)，給無(wú)線(xiàn)系統(tǒng)一個(gè)安全的防護(hù)。5.5.8、無(wú)線(xiàn)網(wǎng)絡(luò)的可擴(kuò)展性 本無(wú)線(xiàn)網(wǎng)絡(luò)解決方案，不僅提供了完善的基于用戶(hù)的控制策略、安全認(rèn)證和數(shù)據(jù)安全加密機(jī)制，還保持著良好的網(wǎng)絡(luò)可擴(kuò)展性，AP與無(wú)線(xiàn)控制器之間通過(guò)自封協(xié)議進(jìn)行通訊，無(wú)需改變現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，也無(wú)需考慮協(xié)議兼容性，實(shí)現(xiàn)了與拓?fù)錈o(wú)關(guān)的組網(wǎng)，使得整個(gè)無(wú)線(xiàn)網(wǎng)絡(luò)有著更強(qiáng)的伸縮性，為今后網(wǎng)絡(luò)的升級(jí)和擴(kuò)容提供良好的可擴(kuò)展性。附件1：設(shè)備選型清單設(shè)備名稱(chēng)設(shè)備型號(hào)設(shè)備參數(shù)無(wú)線(xiàn)APW45APW40AP是一款基于最新的IEEE802.11n標(biāo)準(zhǔn)的無(wú)線(xiàn)接入點(diǎn)，它采用高級(jí) MIMO（多進(jìn)多出）技術(shù)，為無(wú)線(xiàn)用戶(hù)提供最高 300Mbps 的穩(wěn)定傳輸速率，且向下兼容IEEE802.11b/g設(shè)備；POE供電技術(shù)，只需一根網(wǎng)線(xiàn)就可以實(shí)現(xiàn)數(shù)據(jù)的傳輸和AP的供電，吸頂式設(shè)計(jì)以及POE供電技術(shù)的使用更加方