智慧展館無線網(wǎng)絡(luò)系統(tǒng)升級改造項目方案

1、 智慧展館無線網(wǎng)絡(luò)系統(tǒng)升級改造項目方案目 錄 TOC o 1-3 u 第一章 展館簡介 PAGEREF _Toc47281489 h 31.1. 展會簡介 PAGEREF _Toc47281490 h 31.2. 展館簡介 PAGEREF _Toc47281491 h 3第二章 網(wǎng)絡(luò)概況 PAGEREF _Toc47281492 h 52.1. 互聯(lián)拓?fù)浼軜?gòu) PAGEREF _Toc47281493 h 52.2. 分層架構(gòu) PAGEREF _Toc47281494 h 52.3. 展館有線無線寬帶架構(gòu) PAGEREF _Toc47281495 h 62.4. 展館有線無線寬帶架構(gòu) PAGER

2、EF _Toc47281496 h 8第三章 現(xiàn)場調(diào)研情況及分析 PAGEREF _Toc47281497 h 103.1. 干擾問題 PAGEREF _Toc47281498 h 103.2. 無線網(wǎng)絡(luò)系統(tǒng)設(shè)備陳舊，技術(shù)落后 PAGEREF _Toc47281499 h 133.3. 無線網(wǎng)絡(luò)信號覆蓋的問題 PAGEREF _Toc47281500 h 143.4. 用戶數(shù)量及用戶上網(wǎng)時長的影響 PAGEREF _Toc47281501 h 163.5. 多個SSID的影響 PAGEREF _Toc47281502 h 173.6. 新建網(wǎng)絡(luò)問題 PAGEREF _Toc47281503 h

3、 18第四章 無線網(wǎng)絡(luò)優(yōu)化技術(shù)方案 PAGEREF _Toc47281504 h 194.1. AP布點設(shè)計 PAGEREF _Toc47281505 h 194.2. 高密度設(shè)計 PAGEREF _Toc47281506 h 244.3. 高密度設(shè)計優(yōu)化技術(shù) BandSelect PAGEREF _Toc47281507 h 254.4. 高密度設(shè)計優(yōu)化技術(shù) VLAN Group及VLAN multicast PAGEREF _Toc47281508 h 264.5. 信號強(qiáng)度（高密度場景） PAGEREF _Toc47281509 h 284.6. 時延及帶寬設(shè)計 PAGEREF _Toc

4、47281510 h 284.7. 信號強(qiáng)度及帶寬優(yōu)化技術(shù) ClientLink PAGEREF _Toc47281511 h 294.8. 設(shè)備選型（高密度場景） PAGEREF _Toc47281512 h 304.9. 抗干擾設(shè)計 PAGEREF _Toc47281513 h 304.10. 良好的互通性 PAGEREF _Toc47281514 h 344.11. 保證組播視頻應(yīng)用優(yōu)化 Video Stream PAGEREF _Toc47281515 h 344.12. 無線安全技術(shù)特點 PAGEREF _Toc47281516 h 364.13. WLAN的安全快速漫游 PAGER

5、EF _Toc47281517 h 484.14. 控制器高可用 PAGEREF _Toc47281518 h 494.15. 訪客接入通道技術(shù)(建議把運(yùn)營商的SSID清理出去，再租用給運(yùn)管商運(yùn)營業(yè)務(wù)，專用隧道，安全，減少占空比) PAGEREF _Toc47281519 h 514.16. ISE身份識別引擎 (用原Portal) PAGEREF _Toc47281520 h 524.17. 獨(dú)特節(jié)能環(huán)保技術(shù) - EnergyWise PAGEREF _Toc47281521 h 68展館簡介展會簡介進(jìn)出口商品交易會（以下簡稱“廣交會”）由中華人民共和國商務(wù)部、廣東省人民政府主辦，中國對外貿(mào)

6、易中心（下稱“中心”）承辦，每年兩屆在展館舉行。每屆廣交會分三期進(jìn)行，每期5天，兩期之間的撤換展期為3天。春季廣交會在4月15日開幕，5月5日閉幕；秋季廣交會在10月15日開幕，11月4日閉幕。展覽總面積約為116萬m2，總展位數(shù)量約為59000個。展館簡介展館地址：廣州市海珠區(qū)閱江中路382號。展館建設(shè)分三期，一期展館位于新港東路北側(cè)，在1996年由廣州市政府建設(shè)并移交中心所有；二期展館位于新港東路北側(cè)，一期展館的東面，2008年4月由中心建設(shè)；三期展館位于新港東路南側(cè)，2008年9月由中心建設(shè)。全部展館建設(shè)完畢后，一、二、三期展館被重新命名為A、B、C展區(qū)，A展區(qū)使用一至二層13個展廳（一

7、層：1.1-8.1 8個；二層1.2-5.2 5個），B展區(qū)使用一至三層13個展廳（一層9.1-13.1 5個；二層9.2-13.2 個；三層9.3-11.3三個），C展區(qū)使用一至四層11個展廳（一層14.1-16.1 3個；二層14.2-16.2 3個；三層14.3-16.3 3個；四層14.4-16.4 3個；），共38個展廳。 其中，A區(qū)B區(qū)展廳除7.1約為3000平方米外，其余展廳約為10000平方米，C區(qū)展廳約為7000平方米。網(wǎng)絡(luò)概況展館信息網(wǎng)絡(luò)系統(tǒng)是一個綜合多種軟硬件應(yīng)用，覆蓋范圍整個展館的大型局域網(wǎng)系統(tǒng)?；ヂ?lián)拓?fù)浼軜?gòu)展館分為ABC三個區(qū)，每個區(qū)擁有兩臺高性能核心交換機(jī)，三區(qū)核心

8、交換機(jī)通過萬兆光纖互聯(lián)成為環(huán)狀結(jié)構(gòu)。分層架構(gòu)展館三區(qū)的網(wǎng)絡(luò)架構(gòu)大致相同，分為核心、匯聚和接入三層：注：圖中一期指A區(qū)，二期指B區(qū)，配套設(shè)置工程指C區(qū)。展館有線無線寬帶架構(gòu) 有線寬帶架構(gòu)盡管已建設(shè)了無線網(wǎng)絡(luò)，由于在某些以電子產(chǎn)品或信息化設(shè)備為主題的展廳內(nèi)，2.4G頻段受到展品的干擾，不能使用無線網(wǎng)絡(luò)，加上部分用戶需要更高的帶寬和更穩(wěn)定的接入質(zhì)量，因此需要鋪設(shè)有線寬帶。有線寬帶用戶主要為各展廳內(nèi)固定攤位的參展商，線路路由為攤位臨時布線展廳地坑中的有線寬帶端口綜合布線系統(tǒng)展廳弱電間內(nèi)交換機(jī)百兆電口。有線寬帶用戶通過DHCP獲得IP地址，對于需要開放特殊TCP/UDP端口的用戶，需發(fā)放固定地址并在防火

9、墻上做針對性配置。 無線寬帶現(xiàn)有架構(gòu)無線客戶端的接入由連接到訪問層交換機(jī)的無線接入點（AP）提供，無線區(qū)域在功能區(qū)域上覆蓋了公眾網(wǎng)絡(luò)區(qū)域和辦公網(wǎng)絡(luò)區(qū)域，在地理位置上覆蓋全館公眾使用的大空間。無線網(wǎng)絡(luò)架構(gòu)使用采用集中式部署的方式，即采用無線控制器結(jié)合瘦AP與無線網(wǎng)絡(luò)管理系統(tǒng)的架構(gòu)，具體由無線控制器、無線交換機(jī)、核心和展廳匯聚交換機(jī)、無線接入點、POE交換機(jī)、綜合布線和無線用戶組成。3. 無線控制器由于整個展廳范圍內(nèi)將使用大量無線接入點（AP）提供無線網(wǎng)絡(luò)接入服務(wù)，故通過布置無線控制器，實現(xiàn)多個AP的統(tǒng)一策略部署和安全認(rèn)證機(jī)制，無線控制器結(jié)合配套的無線網(wǎng)絡(luò)管理系統(tǒng)對瘦AP進(jìn)行集中式部署，無線控制器

10、應(yīng)擁有多種干擾檢測和避免機(jī)制，可檢測干擾并重新調(diào)整網(wǎng)絡(luò)，利用其配套的增強(qiáng)管理軟件，無線控制器能夠發(fā)現(xiàn)覆蓋盲區(qū)，并嘗試通過調(diào)整接入點的功率輸出來修復(fù)。無線控制器采用1+N或1+1的冗余結(jié)構(gòu)，通過TRUNK的方式連接到無線交換機(jī)上。 無線交換機(jī)無線交換機(jī)為無線網(wǎng)絡(luò)使用的匯聚交換機(jī)，為無線控制器和無線用戶提供三層冗余網(wǎng)關(guān)。無線交換機(jī)采用1+1的冗余結(jié)構(gòu)，通過TRUNK的方式連接到無線交換機(jī)上，通過網(wǎng)狀光纖連接到核心交換機(jī)，運(yùn)行OSPF和VRRP協(xié)議。 核心和展廳匯聚交換機(jī)核心和展廳匯聚交換機(jī)是有線無線共用的，為無線網(wǎng)絡(luò)提供了AP到控制器的GRE隧道。 無線接入點無線接入點（AP）除部分室外AP外，全

11、部為瘦AP，支持802.11a/b/g三種協(xié)議，安裝在展廳頂部，由綜合布線子系統(tǒng)提供連接到POE交換機(jī)，使用POE供電。 POE交換機(jī)POE交換機(jī)安裝在弱電間內(nèi)，部分端口用于AP的通信和供電，部分端口用于為有線寬帶用戶提供接入。 綜合布線有線無線寬帶共用綜合布線系統(tǒng)，由弱電間、管道、線槽、橋架、銅纜、光纖、機(jī)柜、跳線和配線架組成。展廳弱電間分布在展廳四角，部分弱電間分布在終端信息點附近。銅纜布置在展廳地坑信息點到弱電間配線架的管道內(nèi)，或布置在AP信息點到弱電間配線架的管道內(nèi)。光纖采用FDBDCD架構(gòu)，F(xiàn)D和BD放置在弱電間，CD放置在中控機(jī)房。機(jī)柜放置在弱電間和中控機(jī)房內(nèi)，用于安裝固定交換機(jī)和

12、配線架。跳線用于交換機(jī)端口和配線架的跳接。展館有線無線寬帶架構(gòu) 寬帶服務(wù)廣交會期間，中心為參展商提供寬帶網(wǎng)絡(luò)服務(wù)，寬帶網(wǎng)絡(luò)服務(wù)分有線和無線網(wǎng)絡(luò)兩部分，其中有線寬帶服務(wù)為收費(fèi)服務(wù)，無線寬帶服務(wù)為收費(fèi)服務(wù)和免費(fèi)限時服務(wù)相結(jié)合的模式。 業(yè)務(wù)申請和開通有線無線寬帶的收費(fèi)服務(wù)均可采用網(wǎng)上和現(xiàn)場申請及交費(fèi)的方式，有線寬帶在交費(fèi)后由廣交會工作人員從展廳網(wǎng)絡(luò)端口布置網(wǎng)線到用戶攤位的方式接入；無線網(wǎng)絡(luò)采用Portal的方式認(rèn)證接入，收費(fèi)用戶在交費(fèi)后直接獲得用戶名和密碼，免費(fèi)用戶接入用戶的接入分兩種，一是國內(nèi)參展商用戶通過portal頁面上的申請頁面，以手機(jī)短信的方式獲得用戶名和密碼，二是國外采購商用戶以廣交會證

13、件的證件號碼直接登錄。 用戶報障及排障有線寬帶用戶主要采用電話報障的方式，接障后由有線寬帶技術(shù)人員上門排障。無線寬帶用戶的報障可采用現(xiàn)場和電話報障的方式，現(xiàn)場為設(shè)立在各展廳附近的現(xiàn)場服務(wù)點，電話為中心設(shè)立的寬帶報障熱線電話。無線寬帶技術(shù)人員駐守在各現(xiàn)場服務(wù)點，對于收費(fèi)用戶，最近現(xiàn)場服務(wù)點的技術(shù)人員將上門服務(wù)，對于免費(fèi)用戶，由用戶自行攜帶上網(wǎng)設(shè)備到服務(wù)點排障。現(xiàn)場調(diào)研情況及分析干擾問題無線網(wǎng)絡(luò)的干擾問題是影響無線網(wǎng)絡(luò)使用的最大問題，干擾可分同頻，非法AP干擾，非wifi干擾 三類：同頻干擾在展館建設(shè)時，由于沒有預(yù)計無線應(yīng)用以非常快的速度普及，因此沒有進(jìn)行深入的網(wǎng)優(yōu)，設(shè)備采用時沒有使用定向天線，在

14、同一位置可檢測到同一信道內(nèi)存在信號強(qiáng)度相差不大的同網(wǎng)AP，此種設(shè)計雖然滿足了覆蓋的需要，在少量用戶使用的情況下上網(wǎng)體驗尚良好，但自從105屆廣交會無線網(wǎng)絡(luò)免費(fèi)開放給展商使用后，隨著大量用戶爆發(fā)式接入展館無線網(wǎng)絡(luò)系統(tǒng)，無線網(wǎng)絡(luò)系統(tǒng)的沖突越來越嚴(yán)重，特別是2.4G頻段，因只有3個可用互不干擾的信道，用戶上網(wǎng)體驗每況愈下。 (4號館同頻干擾現(xiàn)場實測圖，紅色框內(nèi)為互相影響AP)非法AP干擾經(jīng)檢測，在展館內(nèi)存在大量的非本網(wǎng)AP，稱為非法AP，此類非法AP分以下幾類：一是參展的展品需要組建無線網(wǎng)絡(luò)，例如無線手持式掃描槍等展品，參展商自行組建無線網(wǎng)絡(luò)供展品使用。由于參展商為加強(qiáng)信號強(qiáng)度，常使用大功率全向的工

15、業(yè)AP，導(dǎo)致信號覆蓋幾個展廳，此類AP影響最大。二是參展商使用3G轉(zhuǎn)wifi或小型無線路由器+有線寬帶組網(wǎng)，此類AP影響較小，覆蓋面積約100平方米。(x號館非法AP干擾)現(xiàn)場檢測到展商自帶的TP Link無線路由器干擾信息強(qiáng)度達(dá)到 -49.0 dBm：(信號強(qiáng)度占空比)及分析三是微軟操作系統(tǒng)bug，在AD-HOC方式下放出的SSID為“Free Public WiFi ”信號，因此類信號只發(fā)射控制幀，并且不能連接，因此影響較小，并隨著微軟操作系統(tǒng)的升級慢慢消失。參考： HYPERLINK /view/1553351.htm /view/1553351.htm 非法AP占用了大量的空口帶寬，在

16、某些沖突嚴(yán)重的區(qū)域，展館無線網(wǎng)絡(luò)和非法AP搭建的網(wǎng)絡(luò)往往都不能使用。除帶寬占用外，開啟動態(tài)視頻調(diào)整功能的控制器會因沖突頻繁地改變沖突區(qū)域AP的信道和發(fā)射功率，進(jìn)一步導(dǎo)致其他區(qū)域的擺動，導(dǎo)致用戶上網(wǎng)時通時斷?？湛趲捓寐剩?5號館占空比解釋及判斷，有可能是AP或非館內(nèi)Wifi 信號，反應(yīng)空口介質(zhì)很忙，可用帶寬低，Channel1 )非wifi干擾由于2.4G是可公開使用的頻段，因此部分非802.11協(xié)議的無線設(shè)備展品也使用此頻段，例如無繩電話、遙控器和無線攝像頭等，造成無線網(wǎng)絡(luò)系統(tǒng)的背景噪音加大。以上干擾現(xiàn)象在以家電、信息化為主題的A區(qū)一期展廳特別嚴(yán)重。無線網(wǎng)絡(luò)系統(tǒng)設(shè)備陳舊，技術(shù)落后A/B/C

17、區(qū)網(wǎng)絡(luò)系統(tǒng)為105/103/104屆大規(guī)模建設(shè)時期所建（中國移動對A區(qū)部分展區(qū)進(jìn)行改造除外），至今已使用接近5年時間，設(shè)備較為落后，主要表現(xiàn)為：1）AP設(shè)備陳舊大部分展區(qū)的AP僅僅支持802.11 a/b/g，單頻理論最大速率54Mbps，單個AP接入用戶數(shù)較少，并且有些產(chǎn)品已為停產(chǎn)產(chǎn)品。再加上設(shè)備老化等原因，運(yùn)行穩(wěn)定性不高。(把Aruba 、H3C 的型號指出來)2）控制器性能落后特別是B區(qū)控制器，已為停產(chǎn)產(chǎn)品，單個控制器只能支持128及256個AP，控制器間切換時間較長，控制器cpu和內(nèi)存資源不足，日志級別稍高就出現(xiàn)假死，導(dǎo)致全網(wǎng)無線網(wǎng)絡(luò)中斷，經(jīng)優(yōu)化后有所改善，但預(yù)計開啟其它高消耗的功能，

18、如定位，頻譜分析等，控制器資源依然不足。(把Aruba 、H3C 的型號指出來)3）沒有配置無線專業(yè)網(wǎng)管軟件目前，3個區(qū)的無線網(wǎng)絡(luò)系統(tǒng)沒有配置網(wǎng)管軟件，設(shè)備固件版本也較舊，無法開展各種統(tǒng)計、查找、排障功能，也不能實現(xiàn)客戶端及非法AP定位功能、頻譜分析功能功能。4）綜合布線問題安裝在展廳上空的AP通過以太網(wǎng)網(wǎng)線與在展廳四角弱電間內(nèi)的POE交換機(jī)相連，存在的問題一是部分靠近展廳中部的AP線路過長，二是綜合布線以及RJ45接頭存在氧化老化的現(xiàn)象，導(dǎo)致AP與控制器的連接時通時斷，用戶閃斷，以及控制器調(diào)整的網(wǎng)絡(luò)抖動。無線網(wǎng)絡(luò)信號覆蓋的問題由于采用全向天線，引起全館無線信號的覆蓋基本良好，但在部分區(qū)域仍存

19、在盲點，此類問題由以下原因造成：1）土建結(jié)構(gòu)的影響部分AP的安裝位置并非理想，特別是B區(qū)展館，由于頂部沒有馬道，因此AP固定在支撐柱上，巨大的支撐柱對信號有遮擋影響；在行政中心下方的展廳，由于承重大，支撐柱多，無線信號遮擋影響也比其他展廳大；B區(qū)三層展廳由于層高較高，施工時只能安裝在兩旁采用側(cè)射的方式覆蓋。2）展位裝修的影響廣交會及日常大型展覽期間，部分參展商采用特裝展臺，特裝展臺一是搭建的高度較高，二是采用了大量玻璃和金屬等對無線信號有衰減和屏蔽影響的展材，另外在部分展廳由于層高較矮，布置特裝展臺后離AP只有35米左右的空間，導(dǎo)致部分位置的信號較弱。3）珠江散步道柜臺信號弱問題珠江散步道位于

20、展廳B層，是連接A/B/C展廳的T型通道，珠江散步道在展廳的路段長約400-500米，寬約20米。珠江散步道中間布置有休息區(qū)，兩側(cè)有大量的柜臺，由于是各展館以及一二層展廳的連接通道，在展會高峰期有大量的客商。為覆蓋珠江散步道，每隔100米用4個AP采取對射的方式覆蓋，現(xiàn)場實測通道中間區(qū)域信號良好，但兩側(cè)柜臺的覆蓋較差，手機(jī)等信號接收能力較差的設(shè)備往往連接不上無線網(wǎng)絡(luò)。4）5G頻段信號覆蓋問題5G頻段的抗干擾能力較強(qiáng)，也是日后技術(shù)發(fā)展的方向，但在展館使用的過程中實測發(fā)現(xiàn)，5G頻段的覆蓋和穿透能力普遍比2.4G弱，兩者在同一地點功率相差約10-20dBm，并且使用不穩(wěn)定，在使用地點附近有人流走動有

21、時也能導(dǎo)致斷網(wǎng)。5）綜合布線的影響在部分綜合布線有問題的區(qū)域，需要使用鄰近AP進(jìn)行信號覆蓋，導(dǎo)致出現(xiàn)盲區(qū)和信號較弱區(qū)域。用戶數(shù)量及用戶上網(wǎng)時長的影響111屆廣交會信息化部對無線網(wǎng)絡(luò)系統(tǒng)的免費(fèi)用戶實行了接入限制，在接入限制之前的110屆，在無線控制器上統(tǒng)計在線用戶達(dá)15000人，根據(jù)之前歷屆廣交會的統(tǒng)計數(shù)據(jù)，若不限制用戶使用人數(shù)，每屆廣交會的無線用戶以20-25%的速度增長。112屆廣交會開始，通過認(rèn)證計費(fèi)系統(tǒng)對免費(fèi)用戶實行了限時限流量的措施，每用戶每天可以512Kb帶寬免費(fèi)使用1-2小時。通過問卷調(diào)查，客商普遍反映帶寬及使用時長不足。113屆廣交會，為提高客戶滿意度，擬進(jìn)一步擴(kuò)展帶寬到768K

22、b，免費(fèi)時長增加到3小時。不斷增長的用戶數(shù)量和使用時長增長帶來以下的影響：1）帶寬需求增長歷屆廣交會互聯(lián)網(wǎng)出口帶寬因用戶需求增長的原因，已經(jīng)歷5次擴(kuò)容，從上屆廣交會出口統(tǒng)計數(shù)據(jù)來看，仍需要對帶寬進(jìn)行擴(kuò)展。 2）設(shè)備過載由于控制器和AP性能不足，大量在線用戶導(dǎo)致設(shè)備過載。AP過載表現(xiàn)為從控制器上看到連接的客戶端數(shù)已經(jīng)達(dá)到70以上，新用戶不能接入AP，已連接的用戶不能上網(wǎng)，需要手工重啟AP以釋放連接，AP過載高發(fā)于人流密集區(qū)域（如珠江散步道），原因一是使用人數(shù)過多，二是很多用戶自動開啟WiFi，盡管不上網(wǎng)，在經(jīng)過此區(qū)域時也會連接本區(qū)域的AP。多個SSID的影響展館開設(shè)了cantonfair-fre

23、e-a, cantonfair-free, cantonfair-vip-a, cantonfair-vip四個SSID，分別對應(yīng)5G頻段的免費(fèi)用戶、2.5G頻段的免費(fèi)用戶、5G頻段的收費(fèi)用戶、2.5G頻段的收費(fèi)用戶。開設(shè)四個SSID是由于業(yè)務(wù)需求及系統(tǒng)容量的考慮，現(xiàn)時用戶分免費(fèi)用戶和收費(fèi)用戶，免費(fèi)用戶由于人數(shù)較多，為避免容量過載，在SSID上接入用戶限制為40個，又為了在人數(shù)達(dá)到上限時收費(fèi)用戶能夠接入網(wǎng)絡(luò)，另設(shè)收費(fèi)用戶專用SSID。另外為了擁有5G頻段接入能力的用戶有更好的體驗，另設(shè)5G頻段SSID。四個SSID產(chǎn)生的問題是控制信令更多，影響空口帶寬。(不準(zhǔn)確)建議：新建網(wǎng)絡(luò)問題 為解決干擾

24、問題，中心與中國移動合作，在干擾最嚴(yán)重的A區(qū)4.1-5.1,1.2-5.2共7個展廳及A區(qū)珠江散步道使用H3C設(shè)備新建一張實驗性新網(wǎng)，新網(wǎng)除承載廣交會業(yè)務(wù)外，還釋放CMCC信號，供移動用戶使用。(多SSID, 對廣交會免費(fèi)，CMCC收費(fèi))新網(wǎng)在每個展廳布置15個AP，使用經(jīng)過優(yōu)選的窄波瓣定向天線，并實行了信道和功率固定，以減少同頻干擾。在112屆實際應(yīng)用中，測試發(fā)現(xiàn)雖然減少了同頻干擾，但沒有非法AP定位功能，缺少頻譜分析功能，在應(yīng)對無線干擾、無線管理方面較為薄弱，在目前情況下看來，基本類似于胖AP。H3C的型號WA2620i, 5G天線沒接 (成本考慮)，和Aruba 的AP在同一展館, 沒有

25、bandselect 5G優(yōu)先(shooki補(bǔ)充)照片某些區(qū)域例如珠江散步道，AP數(shù)量較少，無線網(wǎng)絡(luò)覆蓋存在盲區(qū)。另外，未充分考慮展廳現(xiàn)場環(huán)境的復(fù)雜性，由于展廳在物理結(jié)構(gòu)，特裝展位，展品，人流等方面的影響，有時新建無線網(wǎng)絡(luò)展廳無線信號覆蓋存在盲區(qū)。無線網(wǎng)絡(luò)優(yōu)化技術(shù)方案AP布點設(shè)計 AP安裝位置 AP安裝位置，主要有兩個可選方案。第一個方案的AP安裝位置，如下圖所示：X展廳四周部署全向天線AP，中間加6個AP，安裝在固定立桿或者移動立桿上。關(guān)鍵是: AP選型，和天線的位置,部署優(yōu)勢：能夠很好地滿足高密度部署需要；信號強(qiáng)度也滿足需要；安裝和后期維護(hù)也比較方便；劣勢：需要重新布線；中間6個AP安裝問

26、題；比第二種方案多3個AP；第二個方案的AP安裝位置，如下圖所示：采用中國移動改造時的方案，采用定向天線，安裝在15M高的天花板優(yōu)勢：關(guān)鍵是: AP選型2602E，和天線的位置,部署，用板狀扇區(qū)天線，利用現(xiàn)有布線；劣勢：信號強(qiáng)度(對2.4 G , Notebook -60dbm (中心值)，對mobile 已留有余量 ) 最理想地方預(yù)計不超過-60dBm，大部分區(qū)域預(yù)計在 -65dBm -75dBm，對手機(jī)終端接入是個挑戰(zhàn)；信號質(zhì)量問題高密度環(huán)境下，客戶端吞吐量也大大折扣，因為客戶端距離AP比較遠(yuǎn)；天花板太高，安裝和后期維護(hù)比較麻煩；結(jié)合兩種方案的優(yōu)劣勢分析，強(qiáng)烈建議使用第一種方案，來進(jìn)行AP

27、的布點安裝。以下優(yōu)化方案，將基于第二種方案來描述(可結(jié)合產(chǎn)品來描述)。 AP信道規(guī)劃首先我們需要考慮容量要求，對于2.4G系統(tǒng)，我們知道可用的不重疊的信道只有3個，分別是1、6、11，見下圖：如果只有2.4G頻點進(jìn)行部署，那么建議信道規(guī)劃形式如下圖所示，蜂窩間的重疊不得小于20%對于5G頻段范圍，有多達(dá)20多個可用頻點，其規(guī)劃方法可以類似于2.4G進(jìn)行蜂窩系統(tǒng)的規(guī)劃方法，當(dāng)然同時我們也需要考慮3維的設(shè)計覆蓋，如下圖所示：在中國只有5個不重疊信道可用，分別是Channel 149、153、157、161、165，但對于大多無線設(shè)備廠商來說，在5.8G的信道上只支持前4個信道。所以要求，信道間必須

28、進(jìn)行合理分配，最大化避免同信道沖突。高密度設(shè)計每個客戶端可用的無線帶寬，跟每個AP所關(guān)聯(lián)客戶端數(shù)量有關(guān)系，請查考如下：在理想情況下，所有網(wǎng)卡都支持3x3 MIMO 802.11a/g/n時：1) 單個AP，10個并發(fā)客戶端，每個客戶端12.3 Mbps2) 單個AP，20個并發(fā)客戶端，每個客戶端6.1 Mbps3) 單個AP，30個并發(fā)客戶端，每個客戶端4.0 Mbps但是，在廣交會期間，客戶端的網(wǎng)卡不可能都支持3x3 MIMO 802.11a/g/n，需要考慮混合客戶端網(wǎng)卡情況，也就是有些網(wǎng)卡僅支持 802.11a/b，不支持802.11n。而且目前市場上，支持802.11n的網(wǎng)卡，大部分是

29、1x1 802.11 b/g/n，只支持一個空間流。在混合客戶端環(huán)境中，假設(shè)要求每個客戶端 2Mbps，則每個AP 2.4GHz頻道關(guān)聯(lián)12個客戶端，每個AP 5.8GHz 頻道關(guān)聯(lián)18個客戶端，則單個AP總共可關(guān)聯(lián)30個客戶端。在高密度場景，1萬平方米，每個客戶端2Mbps要求，部署18個AP，最大可并發(fā)支持540個用戶同時在線使用。高密度設(shè)計優(yōu)化技術(shù) BandSelect可結(jié)合產(chǎn)品和技術(shù)來解決前面的問題BandSelect技術(shù)，將雙頻用戶自動引導(dǎo)到干擾更小的5G信道。今天，很多終端設(shè)備都是雙頻設(shè)備，而新部署的無線接入點也大部分都是雙頻接入點，即同時支持2.4G和5.8G,今天的無線干擾主要

30、集中在2.4G頻段上，2.4G只有3個非重疊的信道，抗干擾能力比較差，而5.8G信道卻相對好的多，可今天的現(xiàn)實情況是：雖然無線接入點是雙頻的，用戶的終端也是雙頻的，但是，由于網(wǎng)卡的類型及驅(qū)動的不同，導(dǎo)致還有非常多的用戶是鏈接到2.4G頻段上，那么，有什么技術(shù)手段可以減少雙頻客戶端關(guān)聯(lián)到2.4G上，而直接使用5.8G頻段呢？這就是的BandSelect技術(shù)所解決的問題。Band Select技術(shù)，解決了用戶關(guān)心的802.11a/g雙頻客戶的頻道選擇問題。通過延遲對雙頻客戶端的2.4G probe請求的回應(yīng)，迫使雙頻客戶端在5.8G上發(fā)probe請求，然后回應(yīng)5.8G的probe請求，實現(xiàn)將雙頻客

31、戶端引導(dǎo)到干擾更小的5G頻道上，同時也為只支持2.4G的用戶提供了更多的使用帶寬。Bandselect算法包括兩個部分：Probe 抑制 識別雙頻客戶端 (2.4GHz 和 5GHz 能力) 抑制 2.4 GHz 信道的 Probe 回應(yīng) 等待雙頻客戶端掃描 5 GHz 信道 不在 2.4 GHz 回應(yīng)雙頻客戶端的Probe請求 容納只支持 2.4GHz 的客戶端以及雙頻段客戶端退回 2.4GHz 雙頻客戶端 2.4GHz probe 請求抑制超時 標(biāo)記只支持 2.4 GHz 的客戶端并相應(yīng) probe 請求 高密度設(shè)計優(yōu)化技術(shù) VLAN Group及VLAN multicastVLAN Gr

32、oup及VLAN multicast功能，減少廣播域同時優(yōu)化了組播視頻。對于大型網(wǎng)絡(luò)設(shè)計和部署，為了減小廣播域，降低每個子網(wǎng)內(nèi)部的廣播報文數(shù)量，網(wǎng)絡(luò)管理員通常采用網(wǎng)絡(luò)掩碼對子網(wǎng)的大小進(jìn)行限制。例如，每個VLAN采用一個C類地址，網(wǎng)絡(luò)掩碼是()，因此每個VLAN內(nèi)最多支持253個用戶。但是傳統(tǒng)的無線局域網(wǎng)廠商都只能做到SSID對應(yīng)1個VLAN，這樣的帶來的問題就是，面對大規(guī)模無線接入的時候，必須把這個映射VLAN的子網(wǎng)設(shè)的很大，比如一個B類地址（就是說將最多65000多個終端放在同一VLAN中），由于廣播域過大，大量的廣播報文（如DHCP、ARP等）將直接造成嚴(yán)重的網(wǎng)絡(luò)擁塞。正是基于這個問題考慮

33、，Cisco提出了VLAN Group的概念，也就是說一個SSID可以映射多個VLAN，用戶在連接入網(wǎng)絡(luò)中時，的無線控制器依據(jù)終端的MAC地址為其隨機(jī)分配某個VLAN，然后再通過WEB進(jìn)行認(rèn)證，這樣既解決了一個VLAN接入用戶數(shù)較少的問題，又保留了網(wǎng)絡(luò)部署（特別是用戶VLAN分配）的簡單性和易用性。VLAN Group功能非常適合大規(guī)模部署，但是，有一個重要問題是不能夠回避的，就是組播問題，也就是說如果某個AP下的SSID對應(yīng)有5個VLAN，那么根據(jù)的VideoStream技術(shù)，如果5個VLAN都有組播流，那么控制器和AP之間的組播流就會有5路（有的廠商可能還會有更多，即每個無線客戶端就占用一

34、個組播流），這顯然對有線網(wǎng)的帶寬是個浪費(fèi)，同時對控制器和AP的性能也會產(chǎn)生不必要的下降。為了解決這個問題，提出來VLAN Multicast概念，即，無論這個VLAN Group中有幾個VLAN有組播信息，只選擇其中的一個VLAN來實現(xiàn)控制器和AP之間的組播流傳輸。信號強(qiáng)度（高密度場景）在空曠無展材阻擋的情況下，PC客戶端網(wǎng)卡，信號強(qiáng)度在 -45 -65dBm，也可滿足手機(jī)及各種Pad的無線接入。為抑制同頻干擾，在高密度場景下，同一信道主AP與其它AP之間的信噪比為15dB以上。時延及帶寬設(shè)計高密度環(huán)境下，各種應(yīng)用對無線帶寬的要求，統(tǒng)計表格如下：對于混合客戶端環(huán)境（考慮僅支持802.11a/g

35、），單個AP支持30個客戶端的話，每個客戶端2Mbps，主觀使用體驗的話，能以較快速度打開常用網(wǎng)站網(wǎng)頁，能流暢觀看優(yōu)酷等視頻網(wǎng)站的標(biāo)清視頻。對于延遲，使用ping命令，以800byte包持續(xù)測試網(wǎng)關(guān)，時延在10ms以下且不丟包。對于使用2x2、2x3、3x3方式的802.11n，如果一個AP掛載20個用戶，能以的5MBps的速率下載局域網(wǎng)文件，每個客戶端最大速率可達(dá)67Mbps。信號強(qiáng)度及帶寬優(yōu)化技術(shù) ClientLink用新的白皮書ClientLink技術(shù)使802.11a/g終端更好地高速穩(wěn)定接入。雖然802.11n的AP已經(jīng)開始大范圍部署，尤其是本次的無線AP全部都是采用802.11n的A

36、P，但是大多數(shù)用戶會繼續(xù)使用802.11a/g 的終端設(shè)備。為了對現(xiàn)網(wǎng)存在的眾多的的802.11a/g 設(shè)備提供投資保護(hù)，開發(fā)了ClientLink 技術(shù)，幫助用戶將802.11n 的性能優(yōu)勢擴(kuò)展到802.11a/g 設(shè)備的同時，增加了他們的使用壽命。大多數(shù)的802.11n 解決方案為802.11a/g 客戶端在上行方向(客戶端到無線接入點)提供了某種程度上的性能提高，但是無法在下行方向（從無線接入點到客戶端）提高性能。認(rèn)識到這一點非常重要，因為大多數(shù)的客戶端流量，比如說網(wǎng)頁瀏覽和文件下載，都是在下行方向。ClientLink 技術(shù)提高了802.11a/g 客戶端下行鏈路的性能，從而提供了更好

37、的網(wǎng)絡(luò)覆蓋以及更可靠的漫游體驗。另一個挑戰(zhàn)是在同時部署了802.11n 和802.11a/g 設(shè)備的環(huán)境下，確保802.11a/g 設(shè)備不會限制802.11n 設(shè)備的性能。通過為802.11a/g 設(shè)備提高下行鏈路的吞吐量，ClientLink 為整個網(wǎng)絡(luò)包括802.11n 客戶端，有效的提高了系統(tǒng)容量。ClientLink 通過在無線接入點上預(yù)先植入的高級信號處理進(jìn)程進(jìn)行工作。在學(xué)習(xí)到用最大限度的方式將從無線接入點多個天線上接收到的客戶端信號結(jié)合起來之后，ClientLink 使用這些信息，并通過最佳方式將數(shù)據(jù)包發(fā)送回客戶端，這種技術(shù)稱之為多輸入多輸出（MIMO）波束成形。此外，MIMO 波

38、束成形技術(shù)并不需要昂貴的外部天線就可實現(xiàn)。設(shè)備選型（高密度場景）此次方案選用無線設(shè)備，關(guān)鍵參數(shù)及功能：AP使用雙頻AP，支持802.11a/b/g/n，2.4和5.8GHz頻段同時工作；AP支持智能內(nèi)置天線 或 選用外置智能天線陣列的AP；在特殊環(huán)境中，可以考慮使用2.4GHz和5.8GHz外置定向窄波瓣天線，縮小單個AP覆蓋范圍；AP單頻吞吐量支持450Mbps，后期可擴(kuò)展至單AP 1.3Gbps吞吐量；無線控制器支持動態(tài)功率和信號強(qiáng)度調(diào)整，支持單個AP功率和信號強(qiáng)度調(diào)整，用于部分區(qū)域網(wǎng)優(yōu)；AC和AP支持頻譜分析及非法AP定位功能，且配備響應(yīng)的軟件；抗干擾設(shè)計干擾：無線網(wǎng)絡(luò)的威脅微波爐、無繩

39、電話、RF干擾器、移動檢測器、鄰近的無線網(wǎng)絡(luò)和無線安全攝像頭是一些可能關(guān)閉您無線網(wǎng)絡(luò)的干擾源，會導(dǎo)致企業(yè)生產(chǎn)力停滯不前。由于 RF 頻譜涉及許多不斷變化的因素，因此 IT 經(jīng)理需要了解頻譜的情況，以防意外停機(jī)。隨著延遲敏感性應(yīng)用程序（如語音和視頻）進(jìn)入企業(yè)，IT 經(jīng)理更需要對干擾進(jìn)行深入了解。解決 RF 問題不僅需要適當(dāng)?shù)墓ぞ?，而且需要進(jìn)行適當(dāng)?shù)呐嘤?xùn)。許多企業(yè)在進(jìn)行有效的 RF 故障排除方面缺乏內(nèi)部資源和專業(yè)知識。在現(xiàn)實環(huán)境中，來自于2.4G頻點的干擾非常嚴(yán)重，比如藍(lán)牙、微波爐、無繩電話等等，都工作在2.4G頻段，這些系統(tǒng)的干擾會導(dǎo)致多媒體系統(tǒng)工作在2.4G頻點及其不穩(wěn)定，并且大多早期的無線終

40、端也是工作在2.4G頻點，而且是低速的WLAN設(shè)備，比如只支持802.11b，通過實際的現(xiàn)場分析我們得到，低速率終端對于WLAN系統(tǒng)的整體能力的影響非常大，會導(dǎo)致下降一半以上的處理能力。而11a的頻點相對干擾源少得多，并且民用級設(shè)備較少，來自于WLAN 11a本身的干擾也相對少得多，所以在這種情況下，采用11a為多媒體系統(tǒng)提供服務(wù)是一種明智的選擇。為了繼續(xù)提供數(shù)據(jù)服務(wù)且不影響多媒體服務(wù)，必須要求采用雙頻AP，同時支持802.11b/g/n和802.11a/n，這樣才能同時提供高效、有質(zhì)量的數(shù)據(jù)及多媒體服務(wù)。CleanAir技術(shù) 無線底層機(jī)制 (摘最新的CleanAir 白皮書設(shè)計指南)Cisc

41、o CleanAir 技術(shù)使用硅片級智能來創(chuàng)建可感知頻譜、自行恢復(fù)和自行優(yōu)化的無線網(wǎng)絡(luò)，從而緩解無線干擾的影響，并為 802.11n 網(wǎng)絡(luò)提供性能保護(hù)。Cisco CleanAir 技術(shù)提供 802.11n 的性能和支持關(guān)鍵任務(wù)應(yīng)用程序所需的可靠性，同時還能以智能方式避免干擾的影響。CleanAir 技術(shù)是統(tǒng)一無線網(wǎng)絡(luò)的一個系統(tǒng)范圍功能，可通過提供無線頻譜的完整情況，簡化操作和改進(jìn)無線性能。CleanAir 具有獨(dú)特的能力，可檢測其他系統(tǒng)檢測不到的 RF 干擾，識別干擾源，在地圖上找到它，然后進(jìn)行自動調(diào)整來優(yōu)化無線覆蓋范圍。通過 CleanAir，您可以訪問無線網(wǎng)絡(luò)中任何位置的設(shè)備和資產(chǎn)的實時

42、信息和歷史信息。如今，IT 經(jīng)理可以根據(jù)智能信息實施策略，快速采取行動來改進(jìn)網(wǎng)絡(luò)性能。CleanAir 技術(shù)包括Cisco 無線接入點的高級硅片設(shè)計以及無線控制器、無線網(wǎng)絡(luò)管理系統(tǒng)和 Cisco移動服務(wù)引擎。Cisco CleanAir 可使企業(yè)： 自動優(yōu)化無線 LAN 以提高可靠性和性能 執(zhí)行遠(yuǎn)程故障排除，以便快速解決問題并減少停機(jī) 檢測非 Wi-Fi 安全威脅并實時解決問題 查看歷史干擾信息，以便進(jìn)行回溯分析并快速解決問題 通過無線設(shè)備的智能識別來設(shè)置和實施策略自行恢復(fù)、自行優(yōu)化的無線網(wǎng)絡(luò)如果干擾源足夠強(qiáng)，能夠完全干擾 Wi-Fi 頻道，那么應(yīng)用 CleanAir 技術(shù)，系統(tǒng)就會在 30

43、秒內(nèi)更改頻道，以避免干擾，并繼續(xù)在受影響區(qū)域以外的其他頻道上進(jìn)行客戶端活動。系統(tǒng)能記住從微波爐、網(wǎng)橋或無線視頻攝像頭發(fā)出的間歇性干擾，避免使用運(yùn)營這些設(shè)備的頻道，以防將來造成干擾。許多公司都聲稱自己擁有集成干擾檢測系統(tǒng)，但他們的產(chǎn)品無法區(qū)分 Wi-Fi 和非 Wi-Fi 干擾。其他制造商的頻譜智能產(chǎn)品可能會錯誤地將網(wǎng)絡(luò)噪音解釋為干擾并隨機(jī)切換頻道，這會危及網(wǎng)絡(luò)穩(wěn)定性，而且可能會降低整體網(wǎng)絡(luò)性能。Cisco CleanAir 技術(shù)使用硅片級智能，可精確地檢測 20 多種干擾類型并加以分類，只有在它認(rèn)為干擾非常嚴(yán)重，以致影響網(wǎng)絡(luò)性能時，才會更改頻道。如果 CleanAir 更改頻道，它會考慮整個網(wǎng)

44、絡(luò)頻道策略，然后確定首選的頻道更改。所有這些智能功能可創(chuàng)建一個自行恢復(fù)、自行優(yōu)化的無線網(wǎng)絡(luò)，從而為 802.11n 網(wǎng)絡(luò)提供性能保護(hù)。故障排除調(diào)查分析可快速解決干擾并主動采取措施通過 CleanAir 技術(shù)，您可以利用易讀的“空氣介質(zhì)質(zhì)量指數(shù)”，充分了解無線頻譜的性能和安全性。該指數(shù)可識別出現(xiàn)問題的區(qū)域，并在接入點、樓層、建筑物和園區(qū)環(huán)境中找出問題區(qū)域。CleanAir 可減少停機(jī)。網(wǎng)絡(luò)管理員可以設(shè)置警報，以便在空氣介質(zhì)質(zhì)量低于預(yù)期閾值時得到通知。另外，還可以將系統(tǒng)配置為自動實施安全或管理策略。Cisco CleanAir 生成報告來幫助網(wǎng)絡(luò)管理員對亟需關(guān)注的干擾問題排定優(yōu)先級，便于網(wǎng)絡(luò)管理員

45、輕松地了解細(xì)節(jié)，以進(jìn)行進(jìn)一步的網(wǎng)絡(luò)分析。報告包括最差 RF 條件匯總、最近的安全風(fēng)險干擾源、閾值警報和歷史圖表。通過主動監(jiān)控“空氣介質(zhì)質(zhì)量指數(shù)”圖表和 30 天的干擾報告，管理員可以規(guī)范正常行為并監(jiān)控網(wǎng)絡(luò)趨勢，從中看出未來可能發(fā)生的問題，以免影響網(wǎng)絡(luò)性能?？焖?、準(zhǔn)確的干擾檢測可減少誤報由于大多數(shù)設(shè)備都不斷地在移動或者開啟和關(guān)閉的速度很快，因此很難跟蹤干擾。即使成百上千個設(shè)備在極為繁忙的 RF 環(huán)境中同時運(yùn)行，CleanAir 也能在 5 至 30 秒內(nèi)對 20 多種干擾進(jìn)行分類。CleanAir 分類的準(zhǔn)確性和快速性是其主要優(yōu)勢，因為它可減少無干擾時（“仿真干擾”）的干擾報告，并消除多個 AP

46、 檢測到的同一設(shè)備的重復(fù)報告。另外，它還可減少發(fā)生錯誤標(biāo)記干擾源的情況，從而減少管理員通常浪費(fèi)在搜索錯誤類型設(shè)備上的時間。高效的策略實施通過實施策略來阻止干擾 Wi-Fi 網(wǎng)絡(luò)的設(shè)備一直以來都是網(wǎng)絡(luò)管理員難以解決的問題。2.4-GHz 電話就可能使零售環(huán)境中用于庫存跟蹤的手持掃描儀失效。當(dāng)有人在打 Xbox 游戲時，網(wǎng)絡(luò)將無法正常使用。應(yīng)用 CleanAir 技術(shù)，網(wǎng)絡(luò)管理員便能夠跟蹤網(wǎng)絡(luò)性能，找到并查看非 Wi-Fi 設(shè)備產(chǎn)生的影響，實施策略，防止已知干擾源影響網(wǎng)絡(luò)速度或危害網(wǎng)絡(luò)安全。強(qiáng)大的安全性從安全性角度看，在地圖上跟蹤設(shè)備可使您立刻了解要將安保人員派往哪里。有許多網(wǎng)絡(luò)威脅是傳統(tǒng)的 ID

47、S/IPS 系統(tǒng)檢測不到的原因在于只能在 RF 級別檢測到它們。這些威脅包括專有無線網(wǎng)橋，以及較早的標(biāo)準(zhǔn)，如 802.11FH。這些威脅還包括在非標(biāo)準(zhǔn)運(yùn)行頻率上運(yùn)行或使用非標(biāo)準(zhǔn)調(diào)制的惡意 Wi-Fi 設(shè)備。當(dāng)然，干擾設(shè)備也會經(jīng)常發(fā)生拒絕服務(wù)類型攻擊。除在地圖上查看影響安全的設(shè)備外，管理員還可以根據(jù)設(shè)備或位置來配置定制警報。這是一種強(qiáng)大的功能，因為某些設(shè)備在建筑物的一些區(qū)域（例如，交易翼）內(nèi)可能被認(rèn)為是威脅，但在其他區(qū)域（如建筑物大廳）則不被認(rèn)為是威脅。二.部分區(qū)域根據(jù)實際情況可考慮手動壓制非法AP描述一下良好的互通性 在一個開放的無線網(wǎng)絡(luò)中，考慮到無線設(shè)備及終端會采用不同廠商的產(chǎn)品，所以必須支

48、持WiFi設(shè)備間的互相兼容性，為了保證不同廠商間的無線設(shè)備都可以良好的兼容，需要無線AP及客戶端都通過WiFi國際組織的認(rèn)證。具體認(rèn)證產(chǎn)品和信息，可參考 HYPERLINK 網(wǎng)站。保證組播視頻應(yīng)用優(yōu)化 Video Stream視頻流就緒特性通過三個方面改善了無線網(wǎng)絡(luò)處理視頻流量的方式。首先，它實現(xiàn)了視頻組播到客戶端的新方法，使得視頻流更可靠并更有效地利用帶寬。其次，它可以針對不同的視頻流分配不同的優(yōu)先次序，例如領(lǐng)導(dǎo)的講話視頻比體育比賽的視頻具有更高的優(yōu)先級。 最后，一旦新建視頻流會影響整個網(wǎng)絡(luò)的視頻質(zhì)量，無線網(wǎng)絡(luò)會發(fā)現(xiàn)并阻止新的視頻請求。新的軟件已經(jīng)成為公司在其無線接入點和無線控制器的系統(tǒng)代碼

49、的一部分。組播對于無線是一個巨大挑戰(zhàn)，這是因為客戶端分布在離接入點不同的距離之內(nèi)并因此調(diào)整相關(guān)的數(shù)據(jù)速率。為確保距離無線接入點最遠(yuǎn)的客戶端可以接收到適當(dāng)順序和正確的數(shù)據(jù)包，無線網(wǎng)絡(luò)將調(diào)整數(shù)據(jù)率來適應(yīng)所有的客戶。視頻流就緒特性將這一轉(zhuǎn)換下放到無線接入點來完成而不是通過無線控制器。無線局域網(wǎng)控制器管理傳入的視頻流，并傳遞組播流到局域網(wǎng)交換機(jī)，最后到達(dá)無線接入點。無線接入點將組播傳輸轉(zhuǎn)換成多個獨(dú)立的單播傳送。無線接入點還處理狀態(tài)控制，客戶端監(jiān)控及數(shù)據(jù)復(fù)制，以及只發(fā)送視頻流到發(fā)出請求的Wi-Fi客戶端而不是所有客戶端。這種新辦法意味著Wi-Fi網(wǎng)絡(luò)現(xiàn)在可以處理大規(guī)模的視頻組播，而且無線控制器和無線客戶

50、端雙方之間的有線和無線帶寬能夠更有效的利用。此外，利用了802.11e/WMM無線多媒體服務(wù)質(zhì)量標(biāo)準(zhǔn)，創(chuàng)造了更加精細(xì)粒度的視頻流優(yōu)先次序。目前，相對數(shù)據(jù)傳輸WMM允許給予視頻流整體的優(yōu)先權(quán)?，F(xiàn)在，視頻流就緒特性可以針對不同的視頻流給予不同的優(yōu)先級，這可以動態(tài)的調(diào)整網(wǎng)絡(luò)來適應(yīng)需求的變化。例如一個關(guān)于流量安全的視頻組播可以相對于其他“盡力而為”的視頻流在網(wǎng)絡(luò)上給予高優(yōu)先權(quán)。最后，視頻流就緒特性對待請求組播視頻的無線客戶端可以達(dá)到無線語音應(yīng)用的水平。隨著請求和連接數(shù)量的增加，在某一個無線接入點上的無線信道迅速被填滿。接下來的“呼叫”在這種情況下將面臨質(zhì)量差的問題，并開始侵蝕其他的通話的質(zhì)量。視頻流就

51、緒特性通過資源預(yù)留控制功能阻止過多的組播視頻請求，并發(fā)送一個“視頻不可用”的信息，以保護(hù)網(wǎng)絡(luò)上整體的視頻質(zhì)量。 網(wǎng)絡(luò)管理員可以通過一套圖形化管理界面設(shè)置和管理視頻流就緒特性。 無線安全技術(shù)特點由于無線信號的空間泄漏特性，以及802.11技術(shù)的普及，隨之而來的無線網(wǎng)絡(luò)安全問題也被廣大用戶普遍關(guān)注。如何在保證802.11WLAN的高帶寬，便利訪問的同時，增加強(qiáng)有力的安全特性？業(yè)界的廠商紛紛研究發(fā)展了802.11技術(shù)，增強(qiáng)了無線局域網(wǎng)安全的各個方面，并促成了諸如802.1x/EAP，802.11i，WPA/WPA2等標(biāo)準(zhǔn)的誕生，以及后續(xù)標(biāo)準(zhǔn)（如802.11w）的制定。Cisco在無線局域網(wǎng)安全技術(shù)和

52、標(biāo)準(zhǔn)制定方面，扮演了極為重要的角色，是802.1x/EAP無線環(huán)境應(yīng)用的最早支持廠商，并在無線安全標(biāo)準(zhǔn)工作組中占據(jù)領(lǐng)導(dǎo)地位。與其他網(wǎng)絡(luò)一樣，WLAN的安全性主要集中于訪問控制和隱私保護(hù)。健全的WLAN訪問控制也被稱為身份驗證可以防止未經(jīng)授權(quán)的用戶通過接入點收發(fā)信息。嚴(yán)格的WLAN訪問控制措施有助于確保合法的客戶端基站只與可靠的接入點而不是惡意的或者未經(jīng)授權(quán)的接入點建立聯(lián)系。WLAN隱私保護(hù)有助于確保只有預(yù)定的接收者才能了解所傳輸?shù)臄?shù)據(jù)。在數(shù)據(jù)通過一個只供數(shù)據(jù)的預(yù)定接收者使用的密鑰進(jìn)行加密時，所傳輸?shù)腤LAN數(shù)據(jù)的隱私才視為得到了妥善保護(hù)。數(shù)據(jù)加密有助于確保數(shù)據(jù)在收發(fā)傳輸過程中不會遭到破壞。但是

53、，無線局域網(wǎng)的安全并不僅僅局限于接入認(rèn)證和數(shù)據(jù)加密。無線接入設(shè)備AP的物理安全性，AP連接到有線網(wǎng)絡(luò)交換機(jī)的安全認(rèn)證，基于無線訪問位置的物理防護(hù)手段，如何避免攻擊，如何快速發(fā)現(xiàn)非法/假冒AP，對一個網(wǎng)絡(luò)系統(tǒng)來講也是十分重要的。同時，隨著最新的無線安全技術(shù)的發(fā)展，新的802.11w標(biāo)準(zhǔn)也被提上了議事日程，802.11w是對無線信號的管理幀進(jìn)行安全管理的一種標(biāo)準(zhǔn)，已經(jīng)在無線網(wǎng)絡(luò)接入點和控制器以及CCX的計劃上支持了MFP。在部署Mesh網(wǎng)絡(luò)的時候，由于所有信令和數(shù)據(jù)的傳輸都是通過802.11a的Backhaul進(jìn)行回傳，那么對于11a上的數(shù)據(jù)加密也是我們需要關(guān)心的安全問題。無線網(wǎng)絡(luò)的解決方案支持高

54、效、多級別、多種類、多級的認(rèn)證方式和加密技術(shù)，具體如下：無線終端用戶的用戶認(rèn)證（用戶名/密碼，數(shù)字證書）無線終端用戶的數(shù)據(jù)加密（WEP，TKIP，AES）無線接入點的接入認(rèn)證無線控制幀的安全管理（MFP）基于2-7層內(nèi)容的入侵檢測系統(tǒng)（無線IPS、IDS系統(tǒng)）支持精確的非法AP定位和隔離射頻干擾的檢測和辨別終端的安全接入保證（NAC）Mesh回傳鏈路數(shù)據(jù)的安全加密終端快速、安全漫游機(jī)制的實現(xiàn)（CCKM）獨(dú)特的訪客隔離機(jī)制，保證跨地區(qū)漫游用戶與無線網(wǎng)內(nèi)部用戶的隔離。將訪客和無線網(wǎng)絡(luò)完全邏輯隔離，在允許訪客跨地區(qū)無線網(wǎng)絡(luò)漫游訪問互聯(lián)網(wǎng)的同時保證內(nèi)部無線用戶的安全網(wǎng)絡(luò)的安全管理所以，提供了基于有線無

55、線集成的統(tǒng)一的端到端的安全架構(gòu)，系統(tǒng)構(gòu)架如下下面我們詳細(xì)討論無線安全系統(tǒng)在各方面的實現(xiàn)情況。用戶的認(rèn)證和加密WLAN可能會遭受多種類型的攻擊。無線網(wǎng)絡(luò)系統(tǒng)在使用802.1X-EAP、TKIP或AES時，可以防止網(wǎng)絡(luò)遭受多種網(wǎng)絡(luò)攻擊的影響。如下表所示：新的安全技術(shù)有助于制止網(wǎng)絡(luò)攻擊攻擊類型安全改進(jìn)身份驗證：開放加密：靜態(tài)WEP身份驗證：LEAP，EAP-FAST，EAP-TLS或者PEAP加密：動態(tài)WEP身份驗證：LEAP，EAP-FAST，EAP-TLS或者PEAP加密：TKIP/MIC，AES中間人不安全不安全安全身份偽裝不安全安全安全薄弱IV攻擊（AirSnort）不安全不安全安全分組偽裝

56、（重復(fù)攻擊）不安全不安全安全暴力攻擊不安全安全安全字典攻擊不安全安全安全在現(xiàn)有的無線網(wǎng)絡(luò)數(shù)據(jù)加密技術(shù)中，除了要考慮加密算法外，還應(yīng)當(dāng)考慮傳輸密鑰的管理。已經(jīng)在產(chǎn)品方案上實施了TKIP/AES加密技術(shù)，可以有效改善無線鏈路的通訊安全。TKIP主要包括兩個關(guān)鍵的對WEP的增強(qiáng)部分：1，在所有WEP加密的數(shù)據(jù)包上采用報文完整性檢測 (MIC) 功能，以更有效的保證數(shù)據(jù)幀的完整性；2，針對所有的WEP加密的包實行 基于每個數(shù)據(jù)包密匙的方式。MIC主要是用來改善802.11低效率的 Integrity check function (ICV)，主要解決兩個主要的不足：MIC對每個無線數(shù)據(jù)幀增加序列號，而

57、AP將丟棄順序錯誤的幀；另外在無線幀上增加MIC段，MIC段則提供了更高量級的幀的完整性檢查。有很多報告顯示W(wǎng)EP密匙方式的弱點，報告了WEP在數(shù)據(jù)私密和加密上的很低功效性。在802.1X的重認(rèn)證中采用WEP密匙旋轉(zhuǎn)的辦法可以減輕可能經(jīng)受的網(wǎng)絡(luò)攻擊，但沒有根本解決這些問題。802.11i的標(biāo)準(zhǔn)中WEP增強(qiáng)機(jī)制已經(jīng)采納了針對每個分組的WEP密匙。并且這些技術(shù)已經(jīng)在Cisco的WLAN設(shè)備中得以實施。AES是一種旨在替代TKIP和WEP中使用的RC4加密的加密機(jī)制。AES不存在任何已知攻擊，而且加密強(qiáng)度遠(yuǎn)遠(yuǎn)高于TKIP和WEP。AES是一種極為安全的密碼算法，目前的分析表明，需要2的120次方次計

58、算才能破解一個AES密鑰還沒有人真正做到這一點。AES是一種區(qū)塊加密法。這是一種對稱性加密方法，加密和解密都使用同一個密鑰，而且使用一組固定長度的比特即所謂的“區(qū)塊”。與使用一個密鑰流對一個文本數(shù)據(jù)輸入流進(jìn)行加密的WEP不同，AES會獨(dú)立地加密文本數(shù)據(jù)中的各個區(qū)塊。AES標(biāo)準(zhǔn)規(guī)定了三種可選的密碼長度（128、192和256比特），每個AES區(qū)塊的大小為128比特。WPA2/802.11i使用128比特密鑰長度。一輪WAP2/802.11i AES加密包括四個階段。對于WPA2/802.11i，每輪會重復(fù)10次。為了保護(hù)數(shù)據(jù)的保密性和真實性，AES采用了一種名為Counter-Mode/CBC-

59、Mac (CCM)的新型結(jié)構(gòu)模式。CCM會在Counter模式（CTR）下使用AES，以保護(hù)數(shù)據(jù)保密性，而AES采用CBC-MAC來提供數(shù)據(jù)完整性。這種對兩種模式（CTR和CBC-MAC）使用同一個密鑰的新型結(jié)構(gòu)模式已經(jīng)被NIST（特殊聲明800-38C）和標(biāo)準(zhǔn)化組織（IETF RFC-3610）所采用。CCM采用了一種48比特的IV。與TKIP一樣，AES使用IV的方式與WEP加密模式有所不同。在CCM中，IV被用作用于制止重復(fù)攻擊的加密和解密流程的輸入信息。而且，因為IV空間被擴(kuò)展到48比特，發(fā)生一次IV沖突所需的時間會以指數(shù)形式增長。這可以提供進(jìn)一步的數(shù)據(jù)保護(hù)。由于WEP與TKIP均采用

60、統(tǒng)一加密算法RC4算法實現(xiàn)，可不幸的是，RC4算法已經(jīng)被破解，雖然TKIP依然采用了動態(tài)密鑰交換技術(shù)，但是由于算法的破解，TKIP還是可以破解，只是相對WEP破解難度稍大。目前足夠強(qiáng)壯和安全的算法只有AES，所以對于網(wǎng)絡(luò)要求極高的用戶，強(qiáng)烈建議采用AES的方式進(jìn)行加密。由于AES算法的嚴(yán)密性和強(qiáng)壯性，他對設(shè)備的消耗極大，所以我們也必須考慮到AES對于設(shè)備和系統(tǒng)的消耗，在設(shè)備選用時，需要完全考慮AES加密后的轉(zhuǎn)發(fā)性能。無線接入點的接入認(rèn)證在集中化無線網(wǎng)絡(luò)架構(gòu)下，無線控制器完全控制和管理無線接入點，那么無線接入點是否為一個合法接入網(wǎng)絡(luò)的設(shè)備值得我們探討。如上面的圖例所示，無線控制器和無線接入點系統(tǒng)