法院大樓無(wú)線網(wǎng)絡(luò)解決方案

PAGE 敦崇科技法院大樓無(wú)線網(wǎng)絡(luò)解決方案杭州敦崇科技有限公司目錄TOC\o"1-4"\h\z\u一 系統(tǒng)方案建議 31.1 概述 31.2 方案設(shè)計(jì) 31.2.1 網(wǎng)絡(luò)拓?fù)鋱D 31.2.2 無(wú)線AP點(diǎn)位及信道規(guī)劃 41.2.3 可靠性設(shè)計(jì) 81.2.4 WLAN系統(tǒng)無(wú)縫漫游設(shè)計(jì) 91.2.5 VLAN和IP地址規(guī)劃 101.2.6 數(shù)據(jù)加密及身份認(rèn)證 101.3 敦崇系列產(chǎn)品解決方案特有功能 111.3.1 AP云接入 111.3.2 資源分域和域賬號(hào)管理 121.3.3 獨(dú)創(chuàng)AP本地三層漫游技術(shù)（L3L） 131.3.4 基于用戶角色的權(quán)限控制 141.3.5 portal定制及基于多標(biāo)簽的內(nèi)容推送 151.3.6 支持多類(lèi)型用戶認(rèn)證 161.3.7 用戶行為上報(bào) 161.3.8 無(wú)線方案項(xiàng)目估算清單 17二 系統(tǒng)方案無(wú)線產(chǎn)品介紹 172.1 敦崇科技WAC4006無(wú)線管理控制器 172.1.1 產(chǎn)品規(guī)格 172.2 敦崇科技WA747AP室內(nèi)雙頻吸頂式AP 202.2.1 產(chǎn)品規(guī)格 20 系統(tǒng)方案建議概述WLAN

的成功實(shí)施提高了員工的辦公效率，公司在規(guī)模擴(kuò)大時(shí)，節(jié)省了網(wǎng)絡(luò)擴(kuò)容的時(shí)間和成本，并且保護(hù)了公司網(wǎng)絡(luò)建設(shè)的長(zhǎng)期投資成本，降低了公司網(wǎng)絡(luò)管理員的工作量。

當(dāng)前，無(wú)線網(wǎng)絡(luò)解決方案由于其組網(wǎng)靈活，成本低廉等特點(diǎn)得到了中小企業(yè)用戶青睞。而且會(huì)為中小企業(yè)無(wú)線辦公帶來(lái)巨大變化。具體來(lái)說(shuō)，

WLAN

的成功實(shí)施提高了員工的辦公效率，公司在規(guī)模擴(kuò)大時(shí)，節(jié)省了網(wǎng)絡(luò)擴(kuò)容的時(shí)間和成本，并且保護(hù)了公司網(wǎng)絡(luò)建設(shè)的長(zhǎng)期投資成本，降低了公司網(wǎng)絡(luò)管理員的工作量。最主要的，還是連接多個(gè)辦公地點(diǎn)網(wǎng)絡(luò)，使公司資源得以共享。方案設(shè)計(jì)為了滿足用戶構(gòu)建一個(gè)高速、穩(wěn)定、安全、可靠、易于管理的無(wú)線接入網(wǎng)絡(luò)的需求，本設(shè)計(jì)方案按照敦崇的FIT_AP+AC的結(jié)構(gòu)化無(wú)線網(wǎng)絡(luò)解決方案進(jìn)行設(shè)計(jì)。整體框架基于瘦AP方式部署，采用AC（無(wú)線控制器）對(duì)AP進(jìn)行集中管理、控制、配置下發(fā)，以及對(duì)接入終端的認(rèn)證、數(shù)據(jù)分布式/集中式轉(zhuǎn)發(fā)、漫游等功能。操作和維護(hù)工作現(xiàn)在只需要在AC上進(jìn)行就可以了。在這個(gè)架構(gòu)里，AP通過(guò)云接入到AC上，AP只負(fù)責(zé)無(wú)線信號(hào)的收發(fā)，不作MAC層及其以上的協(xié)議層處理，所有的智能工作都由AC完成。敦崇基于瘦AP+AC架構(gòu)方案的優(yōu)勢(shì)在于：配置簡(jiǎn)單：AP零配置、所有的配置集中在無(wú)線控制器上完成，簡(jiǎn)單便捷；維護(hù)方便：管理、維護(hù)針對(duì)無(wú)線控制器來(lái)實(shí)現(xiàn)，不需要對(duì)每一臺(tái)AP進(jìn)行操作；易于升級(jí)：針對(duì)特性增加帶來(lái)的軟件版本升級(jí)需求，只需要對(duì)無(wú)線控制器進(jìn)行操作即可，不需要對(duì)每一臺(tái)無(wú)線AP單獨(dú)升級(jí)，軟件的升級(jí)由AP自動(dòng)完成。安全可控：可以集中進(jìn)行射頻及功率、信道調(diào)整，黑白名單、無(wú)線入侵檢測(cè)、安全訪問(wèn)控制等功能；擴(kuò)展性強(qiáng)：根據(jù)需要，可以靈活增加補(bǔ)點(diǎn)AP，需要擴(kuò)容的話，只需要將AP接入網(wǎng)絡(luò)即可。支持三層漫游，方便擴(kuò)展支持無(wú)線監(jiān)控、話音應(yīng)用等業(yè)務(wù)。網(wǎng)絡(luò)性能好：高速的數(shù)據(jù)轉(zhuǎn)發(fā)，支持快速切換，數(shù)據(jù)私密性好，天然的MAC層加密隧道；抗干擾性強(qiáng)：可動(dòng)態(tài)分配信道，并在受干擾時(shí)切換到最優(yōu)信道網(wǎng)絡(luò)拓?fù)鋱D具體的邏輯組網(wǎng)圖如下圖所示：系統(tǒng)標(biāo)準(zhǔn)網(wǎng)絡(luò)結(jié)構(gòu)，按模塊和層次規(guī)劃，共分為三部分：無(wú)線AP、POE交換機(jī)、無(wú)線控制器。以三層交換機(jī)為核心，PoE交換機(jī)作為AP的接入設(shè)備，千兆上行至核心交換機(jī)，面板AP通過(guò)百兆口連接PoE交換機(jī)。AC設(shè)備旁掛在核心交換機(jī)上，采用千兆口連接；在網(wǎng)絡(luò)出口部署防火墻設(shè)備，完成私網(wǎng)地址和公網(wǎng)之間的NAT以及訪問(wèn)控制功能。AP發(fā)現(xiàn)AC的方式有三種：AP靜態(tài)配置ACIP地址；（非完全零配置）AP廣播發(fā)現(xiàn)AC；（需在同一子網(wǎng)內(nèi)）AP通過(guò)DHCPOption43去獲取AC地址，然后單播發(fā)現(xiàn)；業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)方式有兩種：集中轉(zhuǎn)發(fā)。所有業(yè)務(wù)數(shù)據(jù)通過(guò)AP-AC之間的capwap隧道進(jìn)行轉(zhuǎn)發(fā)，對(duì)AC的性能要求很高且很容易成為瓶頸。本地轉(zhuǎn)發(fā)。數(shù)據(jù)報(bào)文在無(wú)線AP上直接轉(zhuǎn)化為以太網(wǎng)格式的報(bào)文，不需要通過(guò)隧道封裝交AC處理，從而解決AC的數(shù)據(jù)轉(zhuǎn)發(fā)性能瓶頸問(wèn)題。故該方案推薦使用本地轉(zhuǎn)發(fā)模式。無(wú)線AP點(diǎn)位及信道規(guī)劃WLAN傳輸環(huán)境的性能與許多因素相關(guān)，包括非WLAN無(wú)線設(shè)備（如藍(lán)牙、微波爐等）干擾、WLAN無(wú)線設(shè)備間同頻/鄰頻干擾、用戶處的信號(hào)強(qiáng)度等設(shè)備影響，也包括用戶端的數(shù)目、應(yīng)用與工作速率、終端網(wǎng)卡差異等的影響。因此，在實(shí)際應(yīng)用中首先要對(duì)現(xiàn)場(chǎng)環(huán)境進(jìn)行仔細(xì)的工勘，并參考用戶數(shù)目、用戶應(yīng)用等情況，確定合適的AP與天線的類(lèi)型、數(shù)目和位置，明確每個(gè)AP的目標(biāo)覆蓋范圍。在此基礎(chǔ)上，通過(guò)調(diào)整部分參數(shù)和實(shí)施一定的控制策略，將WLAN環(huán)境的性能優(yōu)化到最佳水平。本方案覆蓋樓層共21層，根據(jù)各樓層結(jié)構(gòu)環(huán)境，4-13各層房間布局基本相同，由于原有有線網(wǎng)絡(luò)到達(dá)各房間，建議采用敦崇科技WA747AP室內(nèi)雙頻吸頂式AP放在樓層中，既保證了無(wú)線信號(hào)良好覆蓋，又減少施工量，減少對(duì)現(xiàn)有網(wǎng)絡(luò)的影響。各AP匯聚到到樓層1000MPOE交換機(jī)對(duì)AP進(jìn)行PoE遠(yuǎn)程供電，省去單獨(dú)布放電源線的麻煩。AP的信道根據(jù)蜂窩結(jié)構(gòu)的原則，采用不同信道避免同頻干擾，根據(jù)現(xiàn)場(chǎng)實(shí)際環(huán)境劃分；WLAN802.11b/g/n工作在2.4GHz頻段，頻率范圍為2.400～2.4835GHz，共83.5M帶寬，劃分為13個(gè)子信道，每個(gè)子信道帶寬為22MHz。子信道分配如圖3-1所示。WLAN802.11b/g工作頻段子信道分配在使用2.4GHz頻點(diǎn)時(shí)，為保證信道之間不相互干擾，要求兩個(gè)信道之間間隔不低于25MHz。在一個(gè)覆蓋區(qū)內(nèi)，最多可以提供3個(gè)不重疊的頻點(diǎn)同時(shí)工作，通常采用1、6、11三個(gè)頻點(diǎn)。WLAN頻率規(guī)劃需綜合考慮建筑結(jié)構(gòu)、穿透損耗以及布線系統(tǒng)等具體情況進(jìn)行。信號(hào)傳輸距離與衰減值關(guān)系表(理論經(jīng)驗(yàn)指標(biāo))空間傳輸距離1m2m5m10m20m40m80m2.4GHz信號(hào)的空間衰減(dBm)4653.864.27279.887.695.55.8GHz信號(hào)的空間衰減(dBm)5663.874.28289.897.6105.5常見(jiàn)障礙物信號(hào)衰減表（理論經(jīng)驗(yàn)指標(biāo)）典型障礙物厚度（mm）2.4G信號(hào)衰減（dB）5G信號(hào)衰減（dB）合成材料2023石棉834木門(mén)4034玻璃窗5047有色厚玻璃80810磚墻1201020磚墻2401525防彈玻璃1202535混凝土2402530金屬803035實(shí)際部署中終端天線增益不可知，為方便計(jì)算常忽略接收天線增益，而采用如下公式：到達(dá)用戶端的信號(hào)電平＝AP發(fā)射功率＋AP天線增益－傳輸距離衰減值－障礙物信號(hào)衰減；舉例：在2.4G頻段，采用100mw功率的AP（20dbm），穿越1堵120mm的磚墻進(jìn)行5m的傳輸，到達(dá)終端設(shè)備的信號(hào)電平=20dB+3dB-10dB-64dB=－51dB；根據(jù)WLAN覆蓋邊緣場(chǎng)強(qiáng)的要求，到達(dá)終端用戶的信號(hào)電平不低于－75dBm，-51db>-75dB，那么可以認(rèn)為此覆蓋效果良好。在空曠區(qū)域覆蓋，則計(jì)算公式為：AP發(fā)射功率＋AP天線增益－傳輸距離衰減值；顯然，相比較存在障礙物的情況，空曠區(qū)域覆蓋的范圍更廣。根據(jù)7樓的實(shí)際情況，結(jié)合以上計(jì)算方式，建議本次部署42個(gè)AP對(duì)整個(gè)樓層進(jìn)行全覆蓋（考慮到樓層環(huán)境比較復(fù)雜，建議在系統(tǒng)部署基本完成后進(jìn)行無(wú)線系統(tǒng)可用性測(cè)試，根據(jù)實(shí)際盲點(diǎn)調(diào)整AP部署位置或增加AP數(shù)量）AP數(shù)量分配圖：序號(hào)設(shè)備型號(hào)數(shù)量說(shuō)明安裝位置1室內(nèi)雙頻吸頂型WA722M-E14100mW，內(nèi)置5dBi天線法院大樓1層2室內(nèi)雙頻吸頂型WA722M-E14100mW，內(nèi)置5dBi天線法院大樓2層3室內(nèi)雙頻吸頂型WA722M-E14100mW，內(nèi)置5dBi天線法院大樓3層4室內(nèi)雙頻吸頂型WA722M-E14100mW，內(nèi)置5dBi天線法院大樓4層5室內(nèi)雙頻吸頂型WA722M-E14100mW，內(nèi)置5dBi天線法院大樓5層6室內(nèi)雙頻吸頂型WA722M-E12100mW，內(nèi)置5dBi天線法院大樓地下1層7POE交換機(jī)S5028-PWRS5010-PWR5POE供電1、3、5層安裝24口POE交換機(jī)；地下一層與2層安裝8口POE交換機(jī)頻點(diǎn)規(guī)劃：基于IEEE802.11系列標(biāo)準(zhǔn)的WiFi擁有2.4GHz和5GHz兩個(gè)頻段，其中2.4GHz頻段可選信道有14個(gè)，每個(gè)信道帶寬為22MHz，只有3個(gè)信道相互之間無(wú)干擾，我國(guó)選用1、6、11等三個(gè)信道；5GHz頻段可選信道為27個(gè)，我國(guó)選用149、153、157、161及165等五個(gè)信道。在WLAN的工程部署中，往往需要多個(gè)AP，如果不同的AP工作在相同的頻道，就可能形成同頻干擾。為保證頻道之間不相互干擾，在多個(gè)頻道同時(shí)工作的情況下，就要求兩個(gè)頻道的中心頻率間隔不能低于25MHz。為了擴(kuò)大覆蓋范圍和提高頻譜利用率，WLAN也需要引入蜂窩結(jié)構(gòu)，對(duì)于1、6和11三個(gè)信道交錯(cuò)使用，具體的覆蓋示意圖如下：可靠性設(shè)計(jì)該方法采用AC+AP的瘦AP架構(gòu)。通常情況下，會(huì)使用AC雙機(jī)熱備的方式來(lái)保證無(wú)線網(wǎng)絡(luò)的可靠性，在主AC管理流異常斷開(kāi)時(shí)，啟用備AC來(lái)對(duì)AP進(jìn)行管理。而敦崇科技使用AP獨(dú)立生存方式，當(dāng)AC異常而無(wú)法管理AP時(shí)，AP依然能保證wifi接入服務(wù)。在網(wǎng)絡(luò)管理員及時(shí)排除AC故障后，恢復(fù)AC對(duì)AP的管理。WLAN系統(tǒng)無(wú)縫漫游設(shè)計(jì)在wifi網(wǎng)絡(luò)中，用戶終端通過(guò)關(guān)聯(lián)AP廣播的SSID進(jìn)行wifi接入。移動(dòng)漫游過(guò)程中，用戶終端會(huì)對(duì)關(guān)聯(lián)的AP進(jìn)行切換，在切換過(guò)程總，不可避免的將發(fā)生“切斷上一個(gè)連接、關(guān)聯(lián)下一個(gè)連接”的過(guò)程，導(dǎo)致用戶上網(wǎng)體驗(yàn)中斷和業(yè)務(wù)丟包現(xiàn)象。由于無(wú)線局域網(wǎng)采用類(lèi)似于移動(dòng)通信網(wǎng)中的“蜂窩”覆蓋方式，來(lái)實(shí)現(xiàn)大面積覆蓋，當(dāng)終端在移動(dòng)一點(diǎn)到另外一點(diǎn)的移動(dòng)過(guò)程中，不可避免的需要從一個(gè)AP切換到另外一個(gè)AP，在切換過(guò)程中，移動(dòng)終端需要進(jìn)行“取消關(guān)聯(lián)”及“重關(guān)聯(lián)”的操作，此外，在有后臺(tái)認(rèn)證系統(tǒng)存在的情況下，用戶還需要進(jìn)行重認(rèn)證、sessionkey重分發(fā)及重新分配IP地址的過(guò)程，這種方式無(wú)法滿足一些對(duì)時(shí)延非常敏感的業(yè)務(wù)諸如VOD點(diǎn)播、VoWLAN等的支持，因?yàn)閭鹘y(tǒng)無(wú)線網(wǎng)絡(luò)的漫游只停留在IEEE802.11協(xié)議層上，并沒(méi)有對(duì)用戶會(huì)話進(jìn)行完整性保持。本方案以無(wú)線控制器為核心，對(duì)所有AP上接入的用戶采用統(tǒng)一會(huì)話管理，所有已認(rèn)證終端均在中心無(wú)線控制器中保存相應(yīng)會(huì)話，AP僅僅只負(fù)載傳輸用戶數(shù)據(jù)，因此無(wú)論終端移動(dòng)到哪個(gè)AP下，用戶信息和授權(quán)都在無(wú)線控制器所管轄的移動(dòng)域內(nèi)快速的交互，可以有效保持會(huì)話完整性及可靠移動(dòng)性的前提下實(shí)現(xiàn)無(wú)縫漫游。最終使得終端漫游切換時(shí)間控制在30ms-50ms之內(nèi)，漫游切換丟包率控制在0.5%以下。漫游切換過(guò)程用戶在AP1的范圍內(nèi)，通過(guò)AP1與網(wǎng)絡(luò)進(jìn)行連接，當(dāng)用戶處于AP1與AP2交叉范圍內(nèi)時(shí)，用戶在與AP1連接的同時(shí)，與AP2做好連接的準(zhǔn)備，當(dāng)用戶到達(dá)AP2的范圍時(shí)，通過(guò)AP2與網(wǎng)絡(luò)進(jìn)行連接,用戶感覺(jué)不到AP的切換造成的網(wǎng)絡(luò)中斷現(xiàn)象?？焖俾吻袚Q技術(shù)特點(diǎn)如下：無(wú)線漫游過(guò)程對(duì)無(wú)線終端而言透明化無(wú)線終端漫游過(guò)程中,IP地址和TCP連接保持不變，不影響用戶的上層業(yè)余漫游切換過(guò)程小于30ms漫游過(guò)程中，無(wú)線終端不改變IP地址，無(wú)需重新認(rèn)證VLAN和IP地址規(guī)劃原則：管理VLAN與業(yè)務(wù)VLAN分開(kāi)。一般AC和AP在管理VLAN內(nèi)，station在業(yè)務(wù)VLAN內(nèi)。AC靜態(tài)配置IP地址，AP由DHCP-Server分配?？梢耘cAC在同一個(gè)網(wǎng)段，此時(shí)AP可廣播發(fā)現(xiàn)AC。也可以與AC在不通網(wǎng)段，此時(shí)推薦使用DHCPOption43的方式。業(yè)務(wù)VLAN劃分業(yè)務(wù)VLAN可根據(jù)用戶數(shù)的多少和用戶群體分類(lèi)進(jìn)行詳細(xì)規(guī)劃。一個(gè)業(yè)務(wù)VLAN建議IP掩碼24位，用戶數(shù)多的時(shí)候可以劃分多個(gè)業(yè)務(wù)VLAN，業(yè)務(wù)VLAN可與SSID綁定。用戶終端的IP地址由其VLAN的DHCP-Server分配。不同的用戶群體一般對(duì)應(yīng)不同的網(wǎng)絡(luò)使用權(quán)限，故可劃分VLAN來(lái)進(jìn)行分別限制。數(shù)據(jù)加密及身份認(rèn)證企業(yè)網(wǎng)內(nèi)一般將無(wú)線網(wǎng)劃分內(nèi)部網(wǎng)和外部網(wǎng)。內(nèi)網(wǎng)只供員工使用，且與企業(yè)服務(wù)器互通，對(duì)數(shù)據(jù)安全要求較高。故通過(guò)WPA-PSK+web認(rèn)證+MAC認(rèn)證的方式來(lái)加強(qiáng)內(nèi)網(wǎng)安全。首先WPA-PSK對(duì)無(wú)線數(shù)據(jù)進(jìn)行加密以保證無(wú)線鏈路的安全；web認(rèn)證進(jìn)行角色區(qū)分，劃分不同內(nèi)容權(quán)限，比如不同的不同的部分使用不同內(nèi)容資源訪問(wèn)權(quán)限。且可與企業(yè)網(wǎng)現(xiàn)有AAA服務(wù)器結(jié)合，進(jìn)行統(tǒng)一賬戶認(rèn)證；MAC認(rèn)證，一方面綁定終端，另一方面可以解決每次重新連接無(wú)線網(wǎng)后需要web認(rèn)證的繁瑣和不便；外網(wǎng)一般開(kāi)發(fā)給訪問(wèn)，使用統(tǒng)一的用戶名密碼，通過(guò)web認(rèn)證即可。敦崇系列產(chǎn)品解決方案特有功能AP云接入敦崇科技的瘦AP架構(gòu)組網(wǎng)，唯一的條件是：AC與AP之間IP路由可達(dá)。企業(yè)和運(yùn)營(yíng)商，擺脫設(shè)備和地域限制，實(shí)現(xiàn)無(wú)障礙網(wǎng)絡(luò)部署。用戶云端管理，用戶信息集中保存，安全可靠。結(jié)合資源分域和域賬號(hào)管理的功能，可是客戶共享云AC服務(wù)，實(shí)現(xiàn)實(shí)體設(shè)備價(jià)值最大化。結(jié)合AP本地三層漫游功能，即可不必部署局域網(wǎng)集中轉(zhuǎn)發(fā)數(shù)據(jù)網(wǎng)就能滿足無(wú)縫漫游，實(shí)現(xiàn)方案整體設(shè)備投入最小化。圖1AP云接入示意圖資源分域和域賬號(hào)管理敦崇科技AC可將其管理下所有AP進(jìn)行域劃分，并為每個(gè)域創(chuàng)建管理員賬號(hào)。域管理員賬號(hào)只限于管理該域下的AP、從域內(nèi)AP接入的station。通過(guò)上述功能，企業(yè)（總部+分部）一方面集中管理AC設(shè)備和數(shù)據(jù)，另一個(gè)方面分級(jí)管理不同區(qū)域的AP，使網(wǎng)絡(luò)管理更具靈活性、運(yùn)營(yíng)業(yè)務(wù)管理更具自主性；運(yùn)營(yíng)商可租售域資源管理權(quán)和網(wǎng)絡(luò)使用權(quán)，開(kāi)拓網(wǎng)絡(luò)租賃業(yè)務(wù)。圖2分級(jí)分域管理AP資源如圖2所示，AC管理下的AP分別在兩個(gè)物理域（本地局域網(wǎng)）內(nèi)，AP1、AP2、AP3在物理域A內(nèi)，AP4、AP5在物理域B內(nèi)。敦崇科技AC可以將上述兩個(gè)物理域內(nèi)的5個(gè)AP，劃分到3個(gè)邏輯域中。其中同屬一個(gè)物理域的AP1和AP2被劃入邏輯A中；不同物理域的AP3和AP4被劃入邏輯域B中；AP5被劃入邏輯域C中；而邏輯域B、C被劃入邏輯域D中。邏輯域A、B、C為平級(jí)域，它們相互透明不可見(jiàn)。邏輯域D為邏輯域B、C的上級(jí)域，即邏輯域D是由B、C兩個(gè)邏輯域組成。針對(duì)上面4個(gè)邏輯域，AC上可以創(chuàng)建對(duì)應(yīng)的四個(gè)域賬號(hào)A、B、C、D。4個(gè)賬號(hào)只能管理各自邏輯域內(nèi)的AP。比如域賬號(hào)A只能看見(jiàn)并管理邏輯域A中的AP1和AP2。而域賬號(hào)D可以管理到其兩個(gè)下級(jí)域的所有AP，AP3、AP4、AP5。獨(dú)創(chuàng)AP本地三層漫游技術(shù)（L3L）一般情況下，要實(shí)現(xiàn)三層漫游，必須要一種支持集中轉(zhuǎn)發(fā)的網(wǎng)絡(luò)設(shè)備支持。第一代瘦AP架構(gòu)中，AC充當(dāng)進(jìn)行集中轉(zhuǎn)發(fā)的網(wǎng)絡(luò)設(shè)備；第二代分布式瘦AP架構(gòu)，實(shí)現(xiàn)了云管理，但要滿足三層漫游功能，同樣需要一臺(tái)部署本地的數(shù)據(jù)網(wǎng)關(guān)設(shè)備。而使用具有本地漫游技術(shù)的敦崇科技AP，客戶無(wú)需任何其他設(shè)備參與，便實(shí)現(xiàn)三層無(wú)縫漫游功能。圖3L3L本地漫游原理圖如圖3所示，STA1在從AP1漫游到AP2時(shí)，由于兩個(gè)AP發(fā)布的SSID為不同VLAN（AP1為VLAN100，AP2為VLAN200）。如無(wú)L3L功能，STA1的在連接到AP2之后，其IP必然不能保持原先的0，而是網(wǎng)段的地址。利用敦崇科技L3L技術(shù)，在具有漫游關(guān)系的AP1和AP2之間建立漫游隧道，是STA1依然保持0的IP，其通信行為也保持在網(wǎng)段內(nèi)?；谟脩艚巧臋?quán)限控制無(wú)線終端的移動(dòng)性和流動(dòng)性，使得針對(duì)無(wú)線的終端的權(quán)限控制不能基于MAC或基于端口（SSID）。而使用web認(rèn)證的用戶名可以有效歸類(lèi)移動(dòng)終端，并通過(guò)對(duì)用戶名的角色定義，最終實(shí)現(xiàn)對(duì)一類(lèi)移動(dòng)終端進(jìn)行權(quán)限控制。敦崇科技的AC可以對(duì)每個(gè)終端進(jìn)行不同的權(quán)限控制。通過(guò)給web認(rèn)證用戶分配一個(gè)角色，角色對(duì)應(yīng)一套權(quán)限控制策略，從而實(shí)現(xiàn)對(duì)一個(gè)用戶的權(quán)限控制。如下圖所示，一個(gè)用戶名具有一個(gè)角色，多個(gè)用戶名可以是相同的角色；一個(gè)角色對(duì)應(yīng)一個(gè)權(quán)限策略；一個(gè)權(quán)限策略包好一個(gè)接入控制策略和訪問(wèn)控制策略，不同的權(quán)限可以使用相同的接入控制策略和訪問(wèn)控制策略。圖4用戶權(quán)限控制策略邏輯關(guān)系圖權(quán)限控制，包含兩個(gè)方面：接入控制、訪問(wèn)控制（包含帶寬限制）。接入控制是對(duì)終端接入時(shí)（實(shí)際是認(rèn)證），對(duì)其進(jìn)行時(shí)間和地點(diǎn)的限制。web認(rèn)證流程如下，在經(jīng)歷上述認(rèn)證過(guò)程并認(rèn)證成功后，終端用戶，對(duì)終端進(jìn)行訪問(wèn)控制，主要是幾個(gè)方面：訪問(wèn)目的的域名限制、IP限制、服務(wù)端口限制、訪問(wèn)目的MAC限制。帶寬限制，對(duì)完成認(rèn)證后的終端進(jìn)行帶寬限制。portal定制及基于多標(biāo)簽的內(nèi)容推送敦崇科技AC提供portal定制功能，以滿足廣告運(yùn)營(yíng)的基本要求。但對(duì)企業(yè)來(lái)說(shuō)，廣告投入產(chǎn)出比是其很關(guān)心的問(wèn)題，而通過(guò)精準(zhǔn)投放廣告能有效提高廣告投入產(chǎn)出比。敦崇科技AC提供開(kāi)放廣告推送平臺(tái)，采集終端多樣身份標(biāo)簽，為精準(zhǔn)廣告投放提供更多有效依據(jù)。圖5多標(biāo)簽portal內(nèi)容推送如圖5所示，不同的兩個(gè)終端，在相同的時(shí)間、不同的地點(diǎn)、不同認(rèn)證用戶角色、不同的TagN（可以擴(kuò)展的用戶標(biāo)簽）接入敦崇科技瘦AP接入系統(tǒng)時(shí)，portal的廣告推送頁(yè)會(huì)是不用的內(nèi)容。支持多類(lèi)型用戶認(rèn)證無(wú)線運(yùn)營(yíng)的基礎(chǔ)是用戶。一方面增加用戶數(shù)，另一方面擴(kuò)展用戶類(lèi)型，使得全方位的無(wú)線網(wǎng)絡(luò)運(yùn)營(yíng)成為可能。敦崇科技AC，支持提供開(kāi)放接口，可支持手機(jī)短信、QQ號(hào)、微博賬號(hào)等多種互聯(lián)網(wǎng)賬號(hào)的認(rèn)證。后臺(tái)運(yùn)營(yíng)商可通過(guò)上述網(wǎng)絡(luò)賬號(hào)，向終端推送廣告信息。從而實(shí)現(xiàn)wifi網(wǎng)絡(luò)價(jià)值最大化。用戶行為上報(bào)將用戶行為上報(bào)有兩方面原因。一、網(wǎng)絡(luò)信息安全越來(lái)越引起企業(yè)和政府的重視，二、收集用戶行為信息，對(duì)用戶行為進(jìn)行大數(shù)據(jù)分析，為有效運(yùn)營(yíng)提供強(qiáng)有力的支持。圖6行為審計(jì)示意圖通過(guò)對(duì)終端行為的記錄和統(tǒng)計(jì)，網(wǎng)監(jiān)部門(mén)可以有效監(jiān)視用戶網(wǎng)絡(luò)行為，達(dá)到網(wǎng)絡(luò)安全的目的。后臺(tái)運(yùn)營(yíng)商獲取用戶信息，對(duì)其行為進(jìn)行大數(shù)據(jù)分析，可以抽象出營(yíng)銷(xiāo)模型，提供商業(yè)營(yíng)銷(xiāo)方案的有效性。無(wú)線方案項(xiàng)目估算清單序號(hào)設(shè)備類(lèi)型描述品牌設(shè)備型號(hào)數(shù)量單位1無(wú)線控制器AC集中控制管理AP，最大支持管理512個(gè)AP敦崇科技WAC10001臺(tái)2室內(nèi)雙頻吸頂AP802.11a/b/g/n，300Mbps，100mw可調(diào)，內(nèi)置天線，PoE供電。敦崇科技WA722M-E82臺(tái)324口POE交換機(jī)24個(gè)LAN口POE交換機(jī)敦崇科技S5028-PWR3臺(tái)38口POE交換機(jī)8個(gè)LAN口POE交換機(jī)敦崇科技S5010-PWR2臺(tái)系統(tǒng)方案無(wú)線產(chǎn)品介紹敦崇科技WAC4006無(wú)線管理控制器產(chǎn)品規(guī)格WAC4006產(chǎn)品硬件規(guī)格屬性參數(shù)類(lèi)型無(wú)線管理控制器重量7kg尺寸432×300×45mm接口6個(gè)10/100/1000M以太網(wǎng)口；1個(gè)console口；2個(gè)USB口電源100-240VAC，100W包轉(zhuǎn)發(fā)速率16Mpps交換能力1Gbps工作溫度-10°C~50°C存貯溫度-40°C~70°C濕度非冷凝10%~90%整機(jī)功耗≤35WWAC產(chǎn)品軟件規(guī)格屬性參數(shù)缺省管理AP數(shù)128個(gè)云接入WAC與AP之間可穿越廣域網(wǎng)、互聯(lián)網(wǎng)、NAT互聯(lián)AP注冊(cè)及管理RF無(wú)線通道管理，RF發(fā)射功率管，AP安全策略配置，AP認(rèn)證及遠(yuǎn)程注冊(cè)，AP位置管理,WLAN規(guī)則下發(fā),AP軟件升級(jí)通信功能管理DHCP服務(wù)器配置，Portal服務(wù)器配置，帶寬管理配置，VLAN管理；認(rèn)證本地及遠(yuǎn)程Portal認(rèn)證，微信認(rèn)證，Radius接口，支持第三方HTTPAPI認(rèn)證用戶角色管理，用戶帶寬管理，基于時(shí)間或流量的計(jì)費(fèi)，用戶位置管理，準(zhǔn)入規(guī)則管理；準(zhǔn)入控制基于用戶角色、MAC/IP地址、限制用戶在線數(shù)、限制用戶使用的終端帶寬控制基于用戶角色、協(xié)議、及MAC/IP地址轉(zhuǎn)發(fā)模式集中轉(zhuǎn)發(fā)/本地轉(zhuǎn)發(fā)安全SSID隱藏，用戶隔離，廣播抑制，等安全功能漫游在同一WAC內(nèi)間實(shí)現(xiàn)漫游內(nèi)容推送基于AP位置的廣告頁(yè)面推送VPN配合AP形成，可隨之?dāng)U展的無(wú)線VPN流量統(tǒng)計(jì)可完成流量統(tǒng)計(jì)功能，配合CSP完成基于流量的計(jì)費(fèi)。管理手段基于HTTPS的Web界面，CLI，SSH，Console和SNMP管理日志Syslog服務(wù)器接口，用戶名及MAC/IP地址，用戶接入位置，AP位置及狀態(tài)黑白名單基于IP、MAC、端口的黑白名單策略其他NAT、策略路由、VLAN、DHCP、ACL、黑白名單等敦崇科技WA22M-E室內(nèi)雙頻吸頂式AP產(chǎn)品介紹產(chǎn)品概述WA722M-E無(wú)線產(chǎn)品是杭州敦崇科技股份有限公司自主研發(fā)的新一代基于802.11n技術(shù)的超百兆高速雙頻無(wú)線接入設(shè)備(以下簡(jiǎn)稱AP)，可提供相當(dāng)于傳統(tǒng)802.11a/b/g網(wǎng)絡(luò)6倍以上的無(wú)線接入速率，能夠覆蓋更大的范圍。WA722M-E無(wú)線產(chǎn)品是一款室內(nèi)雙頻吸頂式802.11n無(wú)線接入設(shè)備，內(nèi)置4根MIMO天線，外型小巧美觀，安裝方式靈活，適用于壁掛、桌面、吸頂?shù)热N安裝方式。WA722M-E工作在2.4GHz和5.8GHz頻段，支持IEEE802.11a、IEEE802.11b、IEEE802.11g和IEEE802.11n四種模式。(WA722M-E產(chǎn)品實(shí)物圖)產(chǎn)品特點(diǎn)實(shí)現(xiàn)高性能無(wú)線接入和最佳無(wú)線網(wǎng)絡(luò)TCOWA722M-E遵從802.11n協(xié)議標(biāo)準(zhǔn)，采用專業(yè)模塊化設(shè)計(jì)，單射頻能提供高達(dá)300Mbps的無(wú)線接入速度，是相同環(huán)境下802.11a/b/g產(chǎn)品的6倍左右。通過(guò)特有的內(nèi)置集成智能射頻覆蓋優(yōu)化技術(shù)，可以有效地從覆蓋范圍、接入密度、運(yùn)行穩(wěn)定等方面提供更高性能的無(wú)線接入服務(wù)并協(xié)助用戶實(shí)現(xiàn)最佳無(wú)線網(wǎng)絡(luò)TCO(總擁有成本/TotalCostofOwnership)。提供千兆以太網(wǎng)接口有線連接上行接口采用千兆以太網(wǎng)接口接入，突破了傳統(tǒng)百兆以太網(wǎng)接口的限制，使有線口不再成為無(wú)線接入的速率瓶頸，為將來(lái)支持更高速率更多射頻組合提供了平滑升級(jí)的平臺(tái)。支持Fat/Fit兩種模式WA722M-E支持Fat和Fit兩種工作模式，根據(jù)網(wǎng)絡(luò)規(guī)劃的需要，可以靈活地在Fat和Fit兩種工作模式中切換，同時(shí)用戶可以根據(jù)應(yīng)用需求，靈活選擇所需的設(shè)備出廠版本(Fat模式版本或Fit模式版本)。當(dāng)客戶的無(wú)線網(wǎng)絡(luò)初始規(guī)模較小時(shí)，客戶只需采購(gòu)WA722M-E無(wú)線設(shè)備，并設(shè)置其工作模式為Fat模式。隨著客戶網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)容，當(dāng)網(wǎng)絡(luò)中應(yīng)用的WA722M-E無(wú)線設(shè)備達(dá)到幾十甚至上百臺(tái)時(shí)，為降低網(wǎng)絡(luò)管理的復(fù)雜度，建議客戶采購(gòu)統(tǒng)一的無(wú)線控制器設(shè)備，便于集中管理網(wǎng)絡(luò)中的所有的WA722M-E無(wú)線設(shè)備，此時(shí)只需將其工作模式切換到Fit模式。WA722M-E作為同時(shí)支持Fat/Fit兩種工作模式的高速超百兆無(wú)線接入設(shè)備，工作模式切換過(guò)程只需要簡(jiǎn)易命令行，有利于將客戶的無(wú)線網(wǎng)絡(luò)由小型網(wǎng)絡(luò)平滑升級(jí)到大型網(wǎng)絡(luò)，從而更好地保護(hù)用戶的投資，非常適合運(yùn)營(yíng)級(jí)大規(guī)模無(wú)線網(wǎng)絡(luò)的平滑擴(kuò)容升級(jí)。提供本地轉(zhuǎn)發(fā)功能當(dāng)WA722M-E(Fit模式)通過(guò)廣域網(wǎng)方式轉(zhuǎn)發(fā)時(shí)，無(wú)線接入設(shè)備部署在分支機(jī)構(gòu)，而無(wú)線控制器部署在總部，所有用戶數(shù)據(jù)由無(wú)線接入設(shè)備發(fā)送到無(wú)線控制器，再由無(wú)線控制器進(jìn)行集中轉(zhuǎn)發(fā)，導(dǎo)致轉(zhuǎn)發(fā)效率低下。WA722M-E可將數(shù)據(jù)報(bào)文在無(wú)線接入設(shè)備上直接轉(zhuǎn)化為有線格式的報(bào)文，使得數(shù)據(jù)報(bào)文不經(jīng)過(guò)無(wú)線控制器，而是在本地進(jìn)行轉(zhuǎn)發(fā)，大大提高了轉(zhuǎn)發(fā)效率。提供only11n接入功能由于802.11n向下兼容802.11b/g協(xié)議，故通常情況下，802.11b/g用戶也能接入到802.11n的無(wú)線接入設(shè)備上。但這種兼容能力的提供，會(huì)造成具備802.11n接入能力的用戶實(shí)際使用性能產(chǎn)生一定程度的下降。WA722M-E支持將設(shè)備的射頻設(shè)置為only11n模式，使得802.11n接入用戶的高速帶寬和接入性能得到保證。支持中文SSIDWA722M-E支持使用中文SSID，可指定最長(zhǎng)包含32個(gè)漢字的SSID，也可以使用中英文混合的SSID，為國(guó)內(nèi)用戶提供了更大的使用便利。支持多種認(rèn)證方式WA722M-E為適應(yīng)不同組網(wǎng)環(huán)境和不同應(yīng)用需求，支持Portal認(rèn)證、微信認(rèn)證、短信認(rèn)證等多種認(rèn)證方式，為不同行業(yè)應(yīng)用提供了定制化的認(rèn)證服務(wù)。無(wú)縫漫游FIT模式下，WA722M-E不但能方便地實(shí)施二層漫游，而且非常有利于跨三層的漫游實(shí)現(xiàn)，為客戶提供無(wú)感知的無(wú)縫漫游體驗(yàn)。頻譜導(dǎo)航引導(dǎo)雙頻STA連接到接入容量更高的5G頻段，從而減輕2.4G頻段的壓力。負(fù)載均衡WA722M-E支持按接入用戶數(shù)量和流量的復(fù)雜均衡方式，實(shí)現(xiàn)多個(gè)AP間均衡地分擔(dān)無(wú)線用戶的負(fù)載。當(dāng)無(wú)線控制器發(fā)現(xiàn)無(wú)線接入設(shè)備的負(fù)載超過(guò)設(shè)定的門(mén)限值以后，對(duì)于新接入的用戶無(wú)線控制器會(huì)自動(dòng)計(jì)算此用戶周?chē)欠襁€有負(fù)載較輕的無(wú)線接入設(shè)備可供用戶接入，如果有則會(huì)拒絕用戶的關(guān)聯(lián)請(qǐng)求，用戶會(huì)轉(zhuǎn)而接入其他負(fù)載較輕的無(wú)線接入設(shè)備，但如果無(wú)線用戶不在重疊覆蓋區(qū)內(nèi)，傳統(tǒng)的負(fù)載均衡方式往往會(huì)導(dǎo)致連接不上網(wǎng)絡(luò)，造成誤均衡。敦崇支持智能負(fù)載均衡技術(shù)，保證只對(duì)處于覆蓋重疊區(qū)的無(wú)線用戶才啟動(dòng)負(fù)載均衡功能，有效的避免誤均衡的出現(xiàn)，從而最大限度的提高了無(wú)線網(wǎng)絡(luò)容量。WiFi定位支持STA、AP、TAG等多種終端的掃描，和優(yōu)頻等眾多業(yè)內(nèi)WIFI定位服務(wù)商合作對(duì)接，定位精度在3-5米左右。逐包功率控制根據(jù)發(fā)送對(duì)端的信號(hào)強(qiáng)度、丟包率等情況在工作模式下的發(fā)送速率集中指定合適的發(fā)送速率和發(fā)射功率。減小AP對(duì)其它無(wú)線設(shè)備的干擾，適用于高密覆蓋場(chǎng)合且環(huán)保節(jié)能。速率集可配配置AP支持的速率，可屏蔽低速率設(shè)備對(duì)無(wú)線性能的影響。本地與云平臺(tái)管理互通敦崇提供瘦AP本地化AC管理的同時(shí)，還結(jié)合先進(jìn)的云平臺(tái)技術(shù)，從而實(shí)現(xiàn)設(shè)備管理“鏈路聚合“化，本地與云平臺(tái)管理互通有無(wú)、相輔相成，極大地便利了用戶開(kāi)局及維護(hù)，同時(shí)也為用戶運(yùn)營(yíng)提供了雙重支撐。產(chǎn)品規(guī)格產(chǎn)品硬件規(guī)格屬性WA722M-E尺寸210x210x42mm10/100/1000M以太網(wǎng)口1個(gè)PoE支持802.3af/802.3at兼容供電本地供電支持48VDCConsole口1個(gè)內(nèi)置天線2.4G/5G,內(nèi)置5dBi天線工作頻段802.11a/b/g/n：2.4-2.4835GHz，802.11a/n：5.15-5.35GHz，5.725