办公大楼无线网络覆盖方案.docx
《办公大楼无线网络覆盖方案.docx》由会员分享,可在线阅读,更多相关《办公大楼无线网络覆盖方案.docx(22页珍藏版)》请在冰豆网上搜索。
办公大楼无线网络覆盖方案
写字楼
无线网络系统建议书
2015年1月
1项目背景
请自己填写与项目有关的背景.网络建立技术选型
1.1传统的无线网络构架
传统的无线网络构架,是由网络访问接点AccessPoint〔AP〕来实现的。
AP是个单点设备,也就是说,每个AP有自己独立的CPU、存储存和管理软件,这些AP之间并没有太多的相关性。
正是由于这个特点,使得传统的无线网络在热点区、家庭等应用场景中表达出非常方便的特性,因为这些场景中,不需要太多的管理,维护和平安方面的考虑。
但是,在企业网络应用中,这种传统概念的无线网络却遇到了极大的挑战。
这集中表现在:
1)系统缺乏整合性:
与企业有线网络的集成:
单点设备由于缺少系统的整合特性,因此在实施网络构架时,很难做到与企业的有线网络一个无缝的集成。
2)系统缺乏平安性:
目前的无线网络集成中,最常见的平安策略是使用前端数据加密和后端身份验证双重方式。
然而,这些平安措施只能从使用者的角度来保护网络的平安,却不能防止无线黑客的入侵,网络的平安隐患很大。
3)系缺乏可管理性和可维护性:
单点设备需要企业的网络管理人员进展逐个的设置,管理和维护,当企业网络规模趋于大型化时,原本可以为企业员工带来方便的无线网络却给IT人员带来了莫大的麻烦。
例如在对网络AP进展升级时,管理和维护一个包括成百上千个AP的无线网络需要大量的人力投入。
4)系统缺乏可扩展性:
无线网络标准的开展迅猛,自IEEE802.11标准诞生以来,几乎每年都有2-3种新的无线标准出台。
因此,对产品的可持续升级要求也是企业应用中的一个特点。
传统无线网络产品的升级是难以实现的,不仅因为不同的无线网络标准使用的无线频率发生装置不同,还在于,AccessPoint在运算性能和效率上根本无法满足日益增长的网络通讯数据率的需求。
综上所述,我们可以看到:
传统意义上的单节点式的无线网络接入,已经远远不能满足企业移动应用的需求,相反,成为了企业网络中的一种负担和隐患。
在这种形势下,采用无线网络交换机的组网解决方案,突破了传统概念的束缚,成为了一种适合企业移动应用的新的解决方案。
1.2我们建议的无线网络构架与优势
我们建议本次的无线网络采用基于瘦AP无线架构,以更好的支持企业移动和多媒体应用,简化网络部署和管理,提供卓越的性能、平安性和可扩展性,并支持新兴的射频技术;Builtonthisplatform,theRFS7000enablescampuswideroamingacrosssubnets,andofferspowerfulfailovercapabilities,exceptionalqualityofservice(QoS)andincreasedvoicecapacity.并且能够为企业网络提供强大的容错能力、特殊效劳质量(QoS)以与增强的语音能力、完整的平安功能。
专为企业部署而设计的无线交换机,Designedforlargescale,highbandwidthdeployments,theRFS7000WirelessSwitchfromMotorolaprovidesrobust,highlyscalablesupportforseamlessenterprisemobility.提供强大的可扩展性支持无缝企业移动。
Integratedsecurityfeaturesincludeintrusiondetectionandprotection,secureguestaccessandprotectionagainstdenialofserviceattacks.
1.2.1部署便捷,无缝接入现有企业网络
1)AP零配置
我们的AP部署是为企业级无线网络而设计。
AP真正无需任何配置,即插即用。
所有对无线网络的配置都在无线交换机上完成。
AP支持PoE供电,在连接上网线后,AP可以通过DHCP方式自动获取WirelessSwitch的地址列表,然后通过WISPe(WirelessSwitchProtocolenhanced)与WirelessSwitch进展通信。
这样省却了胖AP模式下对AP复杂的配置;也防止了其他瘦AP厂家需要在AP上手工配置WirelessSwitch配置的情况。
在部署大型无线网络时候,工作量大大降低,极缩短了部署时间。
2)无须改造现有企业网络
我们的AP可以无缝接入现有企业网络。
远程AP使用DHCP方式获取地址后就可以跨越3层交换机,,与WirelessSwitch进展自动连接。
AP的部署无需对企业部网络作任何修改。
由于使用DHCP方式,网络的规划、网络的扩展可以集中而简单地对DHCP作配置即可,而无需去修改分散各地的成百上千的远程AP。
这样,网络规划与扩展将十分轻松方便。
3)快速部署临时的无线环境
当需要在企业办公的环境外部署无线网络的时候,我们快速部署的特性更容易显示出来。
例如在会议室临时部署AP。
只需要将AP加电,连入互联网络,AP可以自动与放置于企业部的无线交换机进展通信。
这个临时的无线网络拥有与与其他AP完全一样的特性。
这时所有的问题都迎刃而解.
4)更换和升级AP方便
我们的所有配置维护都可以在中心机房完成。
接入端的维护更是无需专业管理人员,可以作到像更换电灯泡一样简单的即插即用,节省了日常维护本钱。
在AP 出现故障时,可以简单地将新的AP插上即可。
无需任何配置。
在WirelessSwitch作升级后,可以自动对所有AP作升级,防止对每个AP手工升级的繁琐工作。
1.2.2易于管理
1)我们无线交换技术特有的易于管理特性
传统的AP作为一种单点设备,每一个AP都需要企业的网络管理人员进展单独的设置,管理和维护。
这些设置不仅仅包括IP地址等简单配置,往往还包括大量的效劳、平安、Qos等等配置。
当无线网络规模趋于大型化时,原本带来方便的无线网络却给IT人员带来了莫大的麻烦。
管理和维护一个多接点的无线网络需要大量的人力投入。
我们的无线交换体系能够对于硬件、软件配置和网络策略进展统一管理,所有配置在无线交换机上完成即可。
向所有接入点自动部署配置,大大降低了初始化工作量。
同时我们的无线交换系统维护非常方便。
传统AP一旦出现故障,往往需要IT管理人员赶到现场,进展处理。
我们的所有配置维护都可以在中心机房完成。
接入端的维护更是无需专业管理人员,可以作到像更换电灯泡一样简单的即插即用,节省了日常维护本钱。
1.2.3高可靠性
由于本项目的无线网络将在整个企业办公无线环境中的起着重要作用,因此必须保证无线网络的高可靠性,不允许无线网络有单点故障。
1)流量分担的方式
如果单点流量过大的时候,我们的无线交换时机自动调整附近的无线AP.使所有的无线AP形成一个整体,自动进展流量的分担,从而防止单个AP流量过于集中的问题.而且能够让整个无线网络更加快速与稳定.
2)简单便利的备份方式
我们的备份方式与其简单。
无线交换机的配置文件可以方便地备份在TFTPServer、FTPserver和Webserver上。
无线交换机也可以方便地备份在TFTPServer、FTPserver和Webserver倒入配置。
我们的备份不用额外备份数据库,用户信息和其他配置信息都通过配置文件方便地进展备份。
本地备份方式甚至可以自动完成。
即通过其中一台无线交换机修改配置,其他无线交换机的配置即自动同步。
3)自愈模式
我们智能的无线网络具有自愈功能,可以根据网络的情况,在接入点发生故障时,无线交换机可自动调整邻近接入点的功率,以覆盖故障接入点原来提供效劳的区域。
另外我们智能的无线网络还可以自动动态调整工作频率,当环境的无线干扰过于严重,移动用户的无线重传次数超过可设置的门限时,无线交换机可自动调整该接入点的工作频率到最小干扰的频率,从而提供更好的系统可靠性。
1.2.4低本钱
1)瘦AP架构带来的优势
由于瘦AP只需实现RF功能,无需实现复杂的控制和加密等功能,因此可以低得多的本钱来实现。
另外无线交换构架为客户提供了强大的管理功能、可扩展性、集成的平安性,管理方便,极降低了网络维护本钱。
因此总体拥有本钱低。
集中式的特性使之能够方便地扩展,无线接入端可以扩展使之适应未来出现的新的无线接入标准802.11n,交换机管理系统可以轻松升级以满足企业对无线网络新的要求,如802.11n等,对于企业来讲,是一套具有很高投资保护的系统。
2)不需要特殊功能模块的收费
而且相比其他厂家的产品,我们的无线网络产品一次购置后即拥有所有的功能,包括DHCP效劳器等,不存在需要为特殊功能再收取额外费用的问题。
1.2.5优秀的网络性能
1)通过硬件实现了数据转发
在多用户连接到无线AP上时,AP的吞吐量没有丝毫的降低,而且非常稳定。
2)无缝的L2/L3漫游切换
我们率先实现的无缝的L2/L3漫游切换,切换时间在毫秒量级,为业务覆盖的连续性提供必要的保障,即使在跨WirelessSwitch的漫游切换中,即使使用WIFI也能保持优良的音质,感觉不到任何的中断。
2网络总体架构
核心层
室外无线接入点最高传输速度可达108M。
同一楼层的无线交换机直接连接到核心交换机上。
通过桥接连接到核心交换机。
进展数据交换与处理。
满足无线办公需求。
会聚层
在每个楼层采用瘦AP(企业级室无线AP)的无线架构,然后统一对各楼层的AP进展管理,每个AP之间协同工作,保证整网的数据稳定性,
接入层
接入点以无缝的运行于整个无线网络中。
每个楼层均部署AP,无线的传输速度最高可以到达108M的速度,可以更快的从效劳器上下载数据或者是上传数据到效劳器上。
在此,我们还建议:
✓相邻互备的AP分别接入到不同的接入交换机或插槽是交换机的不同插槽,以实现更高的冗余性
✓在一个区域尽量部署AP,AP之间即可以互为备份,同时也可以起到流量分担的作用.
3无线交换机的部署
3.1无线交换机的特性
无线网络集中管理一体化的可扩展有线/无线网络架构简便而有弹性的网络应用平安管理带宽和电源管理局域网管理平安和多功能管理
二层千兆无线交换机为商业环境中的无线网络应用进展了最优化。
通过这些设备,商业用户可以拥有高性能的,平安的,并且可管理和升级的一体化有线/无线局域网交换模式。
通过comboSFP,可选10G连接的开放式插槽1以与基于以太网供电和冗余电源〔RPS〕,这些千兆无线交换机使企业能轻易的升级到下一代802.11n无线局域网,无线设备的应用简便并且不受物理位置的影响,对平安的无线移动性和策略的执行提供集中管理
3.1.1核心单元控制整个无线网络
千兆无线交换机是巩固平安,管理带宽和维护整个无线网络智能化的核心单元。
除了在用户漫游时监视用户身份和维持他们的认证外,这些无线交换机还能配置和控制无线接入点的其他方面,包括RF信道和电源管理,无线流量分段;
AP漫游和负载平衡,非法AP检测和AP访问平安。
3.1.2高性能,应用简便
针对配线房的分布式应用,每个无线交换机能支持最多48个无线接入点。
AP可以直接与无线交换机端口连接,或者通过局域网交换机间接与它连接。
利用在每个端口集成802.23afPoE,这些交换机允许被连接的AP安放在用AC电源供电的设备难以访问的地方。
硬件预先支持下一代更高速的802.11n无线标准设备千兆传输速率。
关于电源管理,允许管理员设置AP的传送输出电源以满足个别国家的规定,并且可在需要时远程重新启动AP。
3.1.3简化的配置和应用
通过一个集中管理平台,网络维护和配置过程变得更加有效率。
如果有任何一个接入点无法访问,管理员可以立刻识别出无法访问的AP所在位置并且立即用另外一个AP替换它。
DWS-3024/交换机将自动使用之前AP的一样配置对新的AP进展设置。
3.1.4最高性能
除了进展增强的二层转发,我们也可以提供三层和四层效劳以与身份跟踪功能。
通过集中RF策略,最少信道使用的自动选择和AP负载平衡,DWS-3024/DWS-3026能有效的管理无线带宽以优化WLAN流量。
得益于交换机间漫游,网间漫游和AP到交换机的千兆速率传送,使得不同AP间能迅速漫游。
这些交换机也提供一些弹性功能,比方冗余负载分配千兆连接,802.1qVLAN流量分段和致命IGMP侦测,以便支持IP多播数据流
3.1.5可扩展和一体化有线/无线应用
小型和中型企业可能只需要一个无线交换机来管理很少的AP或者用于混合有线/无线局域网。
当AP的增加时,就可能参加4个交换机而形成一个大型的集中管理系统。
由于扩展简便,支持下一代高速AP的千兆速率和支持企业围网间漫游的三层路由,DWS-3024/3026提供一个架构,简化并且一体化了一个特别复杂的WLAN环境,轻松的为将来的技术升级准备了一个现有的网络。
3.1.6全面强大的平安特性
本方案提供全面的网络平安特性,包括集成的基于MAC地址认证,入侵检测,AAARadius效劳器等。
我们在无线交换机系统中实现了一套完整的端到端分层式平安模式。
每个独立的无线子网都可以有自己独立的平安机制,例如:
为访客无线网可以配置较低或开放的平安策略,而部员工网配置高强度的平安策略。
身份验证:
将确保只有授权用户和设备才能访问网络,无线交换机提供了一系列身份验证机制,以支持各种平安要求
▪预分配密钥〔Pre-sharedKey〕
▪802.1x/扩展身份验证协议〔EAP〕:
EAP提供了强大的身份验证机制和动态密钥分发功能,同时还提供进展双向身份验证的一种方式。
授权用户向无线网络标识自己的身份,无线网络同样向用户标识自己的身份,以确保只有授权用户才能够访问网络资源。
动态密钥分发机制那么提供了一针对每一个用户、每一个会话的新的加密密钥,极提高了数据加密的强度。
DWS-3024支持多种EAP验证方式:
EAP-TLS,EAP-TTLS,WPA-PEAP等。
数据加密:
加密特性确保数据在传输过程中维护其私密性。
DWS-3024支持一组加密选项,为增强加密技术提供根底,并具有一定灵活性有助于用户选择适合的级别,
▪WEP加密传输:
WEP提供静态密钥加密算法,向所有用户分发单独的密钥进展数据的加密和解密。
WEP利用被广泛使用的RC-4加密算法生成40位或128位的密钥,WEP只提供了一定程度的无线平安性,这种加密方式只能使用在非关键环境下。
▪KeyGuard:
由于WEP的非平安性,Symbol开发了KeyGuard平安协议。
KeyGuard使用TKIP,为每个数据包提供一个不同的密钥,但在检查消息完整性〔MIC〕时采用一个早期版本的协议来确保数据不被篡改或破坏。
▪WPA时效密钥完整性协议〔TKIP〕:
WPA-TKIP提供以每个数据包为根底的密钥旋转,并检查消息的完整性〔MIC〕,以确定在传输过程中数据是否被篡改或破坏。
▪WPA2高级加密标准AES:
AES加密算法为客户端传输数据提供了极高的平安性。
3.2无线交换机的部署
3.2.1无线交换机AP的三层部署方式
本方案采用PoE供电,选择无线交换机就近接入。
AP在加电后,AP发送Hello播送包试图发现交换机,因为无线交换机都处在会聚核心层,不在同一个播送域,AP在指定时间没有收到无线交换机回应的Parent数据包,AP就会发起DHCPDiscover数据包。
DHCPServer回应DHCPOffer数据包,里面含有AP的地址、掩码、网关,另外也含有WirelessSwitch地址列表,AP选择适宜的WirelessSwitch去Adopt,无线交换机把AP需要的配置发送给AP。
这样无线交换机和AP之间的通信就正常建立起来。
由于DHCPServer和AP也不在同一个播送域,需要在会聚层交换机上启用DHCPRelay功能,将DHCP播送包转成发往DHCPServer的单播包。
3.2.2无线交换机与企业网络的接入
提供全千兆口,建议将光纤端口用于上连端口,接入企业网络,其他端口直接用于与DWL-3500AP进展通信。
为移动计算机和测试PC设置统一的办公用WLAN,例如为media,所有用户都使用这个WLAN,并且使用一样的Windows登录的用户名和口令使用WLAN网络。
无线交换机根据Windows上的InternetAuthenticationServer返回的vlanID为用户动态分配VLAN,从而区分不同的用户。
我们建议客户网管人员定期观察访客WLAN的用户数和流量,确定是否有非法使用的情况。
3.2.3单个无线交换机和跨无线交换机的三层切换漫游
在一个无线交换机下的两个AP下进展切换。
虽然AP部署在不同的IP网段里,但是由于用户的相关信息都在同一个无线交换机里,在切换时IP地址保持不变,因此可以实现快速无缝切换。
举例:
3.3无线AP部署
3.3.1无线频道分布图
由于AP较多,应注意AP的信道规划。
相邻3个区域要采用完全不干扰的频段,如信道1、6、11。
因为实际施工中,建筑材料、办公环境差异很大,故对信号影响也很大,如果实测信号穿透情况良好,方案可以进一步优化,每层只需要放置更少数量的AP即可。
AP的数量视现场实际勘测情况而定。
为了保障无线网络系统处于最正确运营状态。
因此,为了保证在发生突发事件的情况下系统的正常运行,设计中需规划一定的冗余数量的AP以与无线信号的冗余。
3.3.2无线天线选择
在实际运用中,有多种选择,一般可以选用外置3db或5db的全向天线,在全向天线不能覆盖需要的位置时,可以选用适宜的定向天线到达覆盖的目的。
在本次项目中建议采用外置全向天线。
4附件:
设备资料〔仅供参考〕
4.1无线交换机
设备接口
-24个10/100/1000BASE-T集成802.3afPoE的千兆端口
-4个ComboSFP插槽
-RS-232Console端口
-2个可选10G模块1的开放插槽
二层特性
-MAC地址表容量:
8K的条目
-IGMP侦测:
1K多播组
-分布树:
8021.D分布树
802.1w快速分布树
802.1s多分布树
-802.3ad链路聚集:
最多32个工作组
每个工作组最多8个端口
-端口监视:
一对一端口监视
多对一端口监视
-大数据帧长度:
最大9KBytes
冗余电源
-可选外部DP-600RPS连接器
基于以太网供电
-标准:
802.3af
-每个端口输出功率:
15.4W
-总输出功率:
370W
-端口电流超过350mA自动禁用
-线缆要求:
在RJ-45端口运行PoE使用5类UTP或者STP的第4,5〔节点〕和7,8针〔返回〕Category5UTPorSTP
性能
-交换机性能:
48GbpsDWS-3026:
88Gbps
-最大转发速率:
35.71MppsDWS-3026:
65.47Mpps
-交换模式:
存储转发
-包缓存容量:
750KBytes
流控制
-全双工模式802.3x标准
-半双工模式背压流控
可选10G级联模块
WLAN管理能力
-最多48个AP(直接连接或通过局域网交换机间接连接)
-最多512个无线用户
漫游-快速漫游
-交换机间漫游
-网间漫游
访问控制和带宽管理
-每个AP最多16个SSID(每个RF频段8个SSID)
-AP负载平衡
AP管理
-AP自动发现
-AP远程重新启动
-AP监视:
列出受管理的AP,非法AP,认证失败的AP
-客户端监视:
列出与每个受管理的AP相关联的客户
-Ad-hoc客户端监视
-AP认证支持本地数据库和外部RADIUS效劳器
-集中的RF/平安策略管理
WLAN平安
-WPA个人/企业级
-WPA2个人/企业级
-64/128/152位WEP数据加密
-基于RF信道,MAC地址,SSID和时间的无线工作站和AP分类
-基于MAC地址的非法和有效AP分类
VLAN-802.1QVLAN标记
-VLAN工作组:
最多4094个
-GVRP
三层特性
-IPv4静态路由
-路由表容量:
最多128条静态路由
-浮动静态路由
-VRRP
效劳质量
-802.1p优先级序列(每个端口最多8个序列)
-CoS基于:
交换机端口,VLAN,DSCP,TCP/UDP端口,TOS,目的/源MAC地址,目的/源IP地址
-带宽控制:
64Kb/s粒度
ACL(访问控制列表)
-ACL基于:
交换机端口,MAC地址,802.1p优先级序列,VLAN,以太网类型
段,DSCP,IP地址,协议类型,TCP/UDP端口
LAN平安
-RADIUS认证进展访问管理
-TACACS+认证进展访问管理
-SSHv1,v2
-SSLv3
-端口平安:
每个端口20个MAC地址
陷阱损害通知
-802.1x基于端口访问控制
-拒绝效劳攻击保护
-0到255Kps粒度的播送风暴控制
管理模式
-基于Web的图形用户界面
-Telnet效劳器:
最多5个对话
-TFTP客户端
-多个配置文件
-BOOTP/DHCP客户端
-SNTP
-双镜像
4.2108M无线AP
高达108Mbps的速率
高达108Mbps的传输速率〔Turbo模式〕是带宽密集WLAN应用的理想解决方案。
在多个用户同时访问网络的这一特定的运行环境下,可以以双倍常规802.11g无线LAN设备吞吐率来运行
PoE推动无线部署
对于最大的覆盖围来说,AP能放在一些偏僻的地方,比方天花板或者高墙上,那儿不能接近AC插座,为这些位置提供电源就比拟困难,花费也比拟昂贵。
但是即使在100米之外,可以通过现存的网络电缆从交换机处轻易获得电源,免除了所有单独的电源布线。
有了产业标准802.3afPoE支持,该无线接入点甚至不需要PoE插头
持续信道扫描,检测漫游AP
DWL-3500AP在持续对无线频率波段和其相关的信道进展扫描,检测漫游的时候,又同时为移动客户提供无线连接。
如果检测到了一个漫游,它就会讲结果报告给管理它的DWS-3024/3026无线交换机。
管理员可以从管理控制台处识别漫游AP,并采取相应措施
总的平安性能&效劳质量
支持64/128/152位WEP数据加密,WPA/WPA2平安和每个RF频率的多个SSID。
与交换机连接后,这些功能和无线用户MAC地址过滤,SSID播送禁用可以用于安装平安性能,并限制外面对部网络的访问。
对于一些重要的无线传输比方VoIP和流媒体应用,传送重要基于用户的效劳比方语音通信量的优先传送,支持802.1QVLAN标识和WMM(Wi-Fi多媒体)
标准
+IEEE802.11b,802.11g无线LAN
+IEEE802.3,802.3u以太网
+IEEE802.3x流控制
+IEEE802.3af以太网供电(PoE)
数据传输速率
For802.11g:
+108,54,48,36,24,18,12,9和6Mbps+
对于802.11b:
+11,5.5,2和1Mbps
无线频率围
2.4GHz到2.4835GHz
RF信道
802.11b:
美国信道为+11
EU信道为+13
日本信道为+13
升级会员 