办公室无线网络技术方案.docx
《办公室无线网络技术方案.docx》由会员分享,可在线阅读,更多相关《办公室无线网络技术方案.docx(95页珍藏版)》请在冰豆网上搜索。
办公室无线网络技术方案
办公室
无线网络技术方案
1项目概述4
2现状与需求分析4
2.1现状分析4
2.2需求分析5
3网络设计原则和设备厂商选择8
3.1网络设计实现原则8
3.2设备厂商选择原则10
3.3选择思科无线产品的技术优势11
4网络技术选型16
4.1集中无线网络架构16
4.1.1无线资源监控17
4.1.2动态信道分配18
4.1.3干扰检查和避免20
4.1.4动态发射功率控制21
4.1.5覆盖盲区检测和纠正22
4.1.6客户端和网络负载均衡23
4.1.7真正实时解决方案23
4.2轻型接入点协议25
4.2.1轻型接入点部署定位25
4.2.2标准化需求27
4.2.3运行LWAPP28
5无线网络设计规划30
5.1网络结构设计概述30
5.2无线网络设计架构32
5.2.1概述32
5.2.2详细设计34
5.2.3以太网供电38
5.2.4频点规划建议39
5.2.5现有无线网络的迁移39
5.2.6无线网络性能设计40
5.2.7无线网络的频点覆盖设计45
5.2.8天线的选择49
5.2.9无线网络系统的话音应用设计(VoWLAN)53
5.2.10无线网络系统的安全设计60
5.2.11无线网络系统的管理66
6思科无线网络解决方案技术优势68
6.1先进的无线局域网络产品68
6.2更好的用户体验68
6.3更好的管理体验69
6.4基于用户的增强安全策略70
6.5“自由”漫游移动域70
6.6采用虚拟服务组增强管理灵活性70
6.7强大的认证管理选项71
6.8集中接入点管理提供简化管理方法71
6.9动态射频(RF)管理确保最佳覆盖范围71
6.10用户端射频优化提供个性化性能72
6.11即插即用(Plug-n-Play)/即插即增(Plug-n-Grow)72
6.12恶意接入点防护遏制了威胁侵害72
6.13超越标准的增强型无线威胁防护73
6.14采用用户端负载均衡实现最佳性能73
6.15无缝的快速漫游支持不间断语音和多媒体业务73
6.16自愈式弹性设计使服务中断最小化74
6.17持续运营74
6.18通过在任何网络中进行无缝的部署将您的局域网(LAN)扩展到无线74
6.19基于标准/开放方式的用户和应用兼容性方法75
6.20管理帧保护(MFP:
ManagementFrameProtection)75
6.21无线WLC与有线IDS/IPS联动76
6.22远程AP混合工作方式H-REAP76
7产品介绍77
7.1无线局域网控制器77
7.2无线网管系统82
7.3定位服务器89
7.4无线接入点98
1
项目概述
随着办公自动化、移动办公、RFID技术、无线IP语音的不断深入应用,以及访客交流的日益增多,安利中国公司拟建立一个能够快速、灵活、简便可靠组网、高安全性以及承载丰富移动应用的无线网络。
为配合安利中国公司无线网络建设,在技术上需要采用现代无线网络技术的先进成果,必须保持一定的技术前瞻性,使安利中国公司的无线网络建设进入世界的先进行列;同时考虑安利中国公司的实际应用需求,结合企业未来发展要求,在统一网络管理与安全策略的前提下,使安利中国公司网络的技术建设水平与经济投资效益及业务发展需求结合起来,为安利中国公司服务,发挥应有作用。
同时,结合安利中国公司现有的无线网络状况,应考虑到新部署的无线网络对现有无线网络的兼容或支持对现有无线网络的平滑升级,以最大程度地保护前期投资并实现统一管理、统一策略。
思科公司根据自身丰富的无线网络实施经验和功能强大的无线产品依据安利中国公司网络现状,同时参照国际、国内和行业相关技术标准及规范,以及信息化建设规范,还吸取了国内外相关案例的成功经验,完全可以无缝融合进当前安利中国公司的信息化全面建设中。
2现状与需求分析
2.1现状分析
本次项目主要考虑安利中国公司各办公室的无线网络部署。
无线覆盖空间类型大多为办公室,少量为会议室和空旷区域。
办公室房间多分布在走廊两侧,走廊侧为墙壁或木门。
房间和走廊均设有吊顶,吊顶距离楼板大约30至50厘米,走廊吊顶上方为结构化布线金属线槽和弱电路由。
各办公室的现有布线结构比较简单,目前各房间的游戏信息点均汇集到相应的配线间最终汇聚到相应的主机房。
目前安利公司部署的是自治的无线接入点(即“胖”AP)系统。
安利中国现有的无线网络中配置了一块CiscoCatalyst6509交换机内置的WLSM无线域服务模块(WDS)和一台WLSE无线网管;无线接入点分布如下:
美银中心:
部署无线接入点CiscoAP1231G共33台,配置2.4G天线,类型为ANT-4941;
永和仓库:
部署无线接入点CiscoAP1231G共10多台,配置2.4G天线,类型为ANT-4941。
其他办公室安装有少量自治AP。
各AP通过CiscoCatalyst3560以太网供电交换机提供48VPoE电源。
2.2需求分析
本次无线项目涵盖广州、北京、上海三地的多个办公室。
各办公室楼层状况和现有无线网络状况如下:
办公室
每层面积
目前部署状况
中信
4层、每层45米×45米
未部署
美银
1层
33个独立AP
国贸
面积约为美银一半左右
未部署
天誉
面积约与美银相仿
未部署
LC/ACTI
Office面积约与美银相仿
仓库已部署10多个独立AP,办公室未部署
开发区工厂
面积约为美银2倍
未部署
北京
Office面积约与美银相仿
未部署
上海
Office面积约与美银相仿
未部署
各会议室
目前按普通空间计算,未单独计算
未部署
要求实现无线Wi-Fi客户端在上述区域的所有地方都能无线上网且用户可以在有无线信号的地方无缝的漫游,以提供安全的移动联网环境,实现真正的安全移动,减少布线的繁琐和成本,提高员工协同工作效率,从而节省成本并提高生产率。
办公室内有大量用户需要使用笔记本电脑接入无线网络,并且该数量会不断增加。
对外交流活动较多,楼内不定期有访客到来也需要使用笔记本电脑接入无线网络。
不远的将来,还需要接入WLAN无线手机或GSM/Wi-Fi双模手机,提供话音服务;并且,能够在仓库、店铺提供基于Wi-Fi的RFIDTag、手持无线Scanner/PoS机等联网应用。
无线网络目前主要应用领域依次为数据处理,语音通讯和实时定位应用三种。
数据处理应用
主要体现在两个方面,一是办公自动化方面,二是信息和数据的快速处理。
无线宽带接入服务:
用户可以享受真正的“无线”自由的体验,可以在办公室和楼内随时随地通过支持WiFi的笔记本电脑/PDA/台式PC享受无线网络服务,如网络办公,Email等。
同时,为用户省却了布线的费用和烦恼。
移动办公室:
利用无线网络的大面积覆盖能力,可以将楼内的办公区和会议区无缝连接在一起,工作人员可以在楼内随时随地接入网络进行信息查询,办公应用,通信联络等。
语音通讯应用部分
语音通讯主要应用在以下方面:
-建立基于IP的无线语音网
-紧急呼叫
-语音的集群通信
所需要的设备为:
-VoIP设备
-VoIP手持终端
-PDA和笔记本电脑
具体的应用有以下几类:
常规移动语音呼叫
能够完成现有普通语音移动系统完成的功能,满足日常需要;如果采用PDA手机,还可以完成视频和数据上网功能;
紧急呼叫
某些手机可以设置紧急呼叫建;
群呼
思科自身手机具有群呼功能直接通知整个组的用户;
与园区内部固网电话的融合呼叫
固定和移动中均可无线办公,采用同一号码;
节假日远程值班
通过VPN网络与出差在外、在家办公的员工实现免费通话;
总而言之,用户希望组建无线、有线通信网络,实现基于无线网络的数据传输、语音通信、应急系统、视频监控等一系列功能和增值应用。
在应用传统的办公自动化的同时,通过融合技术提供个性化的服务,例如在终端上可以实现端到端电话交流,提高用户的工作效率,使用户真正体现到网络融合技术带来的好处。
注:
以上为初期需求,如有调整将随时更新。
3网络设计原则和设备厂商选择
3.1网络设计实现原则
基于标准化的设计和实现
在结构上实现真正开放,基于国际开放式标准,开放的网络使用户可以自由地选择不同厂家的产品,不会受到某些厂家专有标准的限制,最大程度地保护用户的利益。
网络的设计基于国际标准,网络设备采用标准的接口和规范和协议,使不同厂家的设备可以顺利地连接。
技术先进性和实用性
系统建设要有一定的前瞻性,保证满足无线应用业务的同时,又要体现出网络系统的先进性。
在方案设计中,把先进的技术与现有的成熟技术和标准结合起来,充分考虑到安利中国应用的现状和未来发展趋势。
在网络建成后的3-5年之内,不会由于业务量的增加导致对网络结构及主要设备的重大调整。
同时要考虑实际的应用水平,避免技术环境过于超前造成投资浪费。
高度的可靠性、稳定性和冗余
网络系统的稳定可靠是应用系统正常运行的关键保证,在整个网络中选定合理的网络架构,无线网络采用802.11a/b/g通信协议,在较近的距离内可以提供54Mbps的连接速率,可提供更多的信道,从而最大限度地支持安利中国公司业务系统的正常运行。
为了防止局部故障引起整个网络系统的瘫痪,要避免网络出现单点失效。
在网络骨干上要提供备份链路,提供冗余路由。
在网络设备上要提供冗余配置,保证把局部故障对网络的影响降低到最小。
高性能
为了及时、迅速地处理网络上传送的数据,网络设备必须具备高速处理能力,提供高速数据链路,保证网络高吞吐能力,满足各种应用(如:
无线语音,实时定位系统)对网络带宽的需求。
易于安装、操作和管理
良好的组织和管理对网络的正常运转和高效使用有很大帮助,网络应该能够提供方便、灵活、有力的工具,使得无论是安装、操作还是使用对用户来说都轻而易举。
可扩充升级,具备支持目前及未来关键应用的能力
随着用户应用规模的不断扩大,要求网络可以方便地扩充容量,支持更多的用户及应用;随着网络技术的不断发展,网络必须能够平滑地过渡到新的技术和设备,保证用户现有的投资。
高度的安全性
为了保护用户在网络上数据的安全可靠,必须提供多种方式和层次的访问控制,通过使用包过滤、防火墙及VPN等技术保证数据的安全传输。
资源的高效利用
合理利用网络资源,将网络的运行成本降到最低,同时网络的服务产出最大。
3.2设备厂商选择原则
由于安利中国公司的无线网络系统是一个涉及到多种硬件设备的复杂工程,我们建议根据以下标准的选择厂商:
1)设备性能价格比
设备的性能价格比是选型决策的重要考虑因素。
2)售后服务
售后服务包括如下内容:
∙设备的保修期;
∙是否在中国有备件库,这样一旦发生硬件故障时可以及时得到更换;
∙是否提供热线服务,以便与原制造厂商及时取得联系,获得技术咨询和支持;
∙故障报告的响应时间。
3)公司的经济、技术实力和市场占有率,这一定程度上反映了其产品的信誉。
4)设备的技术先进性,这是选型的重要考虑因素。
5)设备对未来新技术的适应能力,反映设备的可扩展性,这是保护用户投资的一种策略。
6)设备的技术性能指标。
7)设备使用的方便程度,这体现设备的可维护性。
8)设备在大型网络中的应用情况,它反映设备的适应性和可靠性。
9)网络管理系统的集成性、开放性和功能,它反映网络管理系统是否能对网络作全面深入的管理,以及它对异构网络的适应能力。
10)设备的标准化程度和可扩充性,反映对网络规模扩展的适应能力。
11)是否对质检系统有长期稳定的优惠政策。
12)交货期的时限和信用,这对工程能否如期完成有重大影响。
13)系统软件的升级条件是否优惠。
14)差错的检测与隔离能力,这是网络可靠性的重要保证。
15)手册与培训,反映用户能否较快地掌握设备的使用。
综上所述,为了保证方案的实用性、先进性、完整性、经济性与可靠性,同时满足未来的网络升级,我们建议选用在以上各个方面均具备较大优势的思科公司的无线网络设备和整体解决方案来构建安利中国公司的无线网络。
3.3选择思科无线产品的技术优势
思科无线产品能够提供安全的移动联网环境,可在整个园区中实现真正的安全移动,它提供完全的安全性,以保护网络,此外还提供完全的管理来控制无线环境。
无线局域网技术能够为被布线束缚在办公桌前的员工解除限制,使企业受益匪浅。
无线技术带来很大的自由,使用户能够随时随地访问信息,从而提高生产率。
思科实现移动性的方法是消除限制,并提供解决方案,使用户能通过无线方式访问有线网络中的相同应用。
真正的移动性使我们能够访问IP语音通信等多业务应用。
移动性和PDA及WLAN手持话机等手持设备的发展,使我们距无线世界更近一步,也使企业更加接近思科“一体化网络”的远景规划。
思科是业界唯一在为企业和服务提供商提供视频、语音、数据、无线和安全技术方面拥有丰富经验的厂商。
凭借这种经验,思科屡获奖项的产品——无线WLAN系列产品成为业界一流的产品,因为它能用于构建移动网络,提供安全的适应性多业务解决方案。
采用思科的一体化无线解决方案,可以为用户带来如下技术优势:
先进性和实用性并重
系统建设具有一定的前瞻性。
在无线网络建成后的3-5年之内,不会由于业务量的增加导致对网络结构及主要设备的重大调整。
同时要考虑实际的应用水平,避免技术环境过于超前造成投资浪费。
思科具备丰富的无线产品和解决方案可供用户根据自身的实际情况选择。
无线集中架构是IETF和Wi-Fi国际联盟推崇的未来无线以太网建网工业标准,即所谓的”瘦”AP架构。
本方案建议安利中国无线局域网采用思科无线集中架构网络解决方案,一种基于LWAPP(LightWeightAccessPointProtocol,即轻量级无线接入协议)的协议架构。
最大程度的兼容性
思科无线网络采用开放式体系结构,易于扩充,使相对独立的分系统易于进行组合和调整。
选用的通信协议符合国际标准或工业标准,网络的硬件环境、通信环境、软件环境相互独立,自成平台,使相互间依赖减至最小,同时保证网络的互联,思科的无线局域网全部支持从交换机直接通过PoE供电,不必为AP另行配置电源插座,针对较远传输距离可通过单独的外置供电注入器供电。
思科的无线局域网系统满足国际和国内的无线标准,思科WLAN最大程度的兼容符合Wi-Fi标准的各种无线终端设备,如Intel讯驰系统、国内和台湾、香港生产的通过Wi-Fi认证的无线局域网络终端设备,事实上,几乎今天在市面上知名的品牌均可以兼容。
全网以IEEE802.11国际技术标准为指导,最大支持54Mbps的接入速率。
安全的无线辐射
根据中国国家无线电管理委员会的规定,在室内部署无线网络信号辐射不得超过100mw,以避免2.4GHz和5GHz对人体的影响。
同样的原因,在通常情况下,终端使用60mw左右的发射功率,以避免大功率长期辐射对人体的影响。
无线接入点即AP执行IEEE802.11g标准工作在54Mbps到1Mbps之间,随着终端和AP之间的信号的强弱,AP和终端会自动协商根据信号的衰减程度,自动降低传输速率和增大传输功率。
思科无线系统在办公室内部署的型号统一都根据国家规定最大为100mw,功率智能调节。
实时的射频自动监测
无线信号容易受到其他信号的干扰,无线局域网使用的2.4GHz和5GHz频段是开放频段,无需注册即可获得使用,因此下列设备可能造成干扰:
Ø微波炉
Ø其他大楼的无线系统
Ø工作在2.4GHz的无绳电话等
因此思科的AP可以实时进行射频的监测,AP后台的控制器能够实时对AP进行控制,控制功率的大小,比如当1个AP失效以后,这个AP周围其他的AP通过自动计算对功率进行增加来覆盖失效AP产生的信号黑洞;出现信号干扰的时候,控制器能够对信号干扰来源进行定位,确定何处的信号干扰,信号干扰的程度如何,并以地图方式显示在网管上。
传统有线网络在物理安全方面存在一定的优势。
有线接口位于建筑物内部,这意味着企业可以利用加密卡和通行证来将XX的用户拒之门外。
但是在无线网络中,这种物理保护并不存在。
无线信号会扩散到物理围墙之外,从而可能将企业的WLAN拓展到某个停车场或者相邻建筑物。
为了最大限度地解决这个问题,思科采用了先进的RF设计、发射功率控制和先进的定位技术。
自动负载均衡
有线网络在本质上具有确定性――第二层(以太网)和第三层(IP)交换机和路由器都是便于理解、可以预测的。
但是,用户在无线网络中的体验则依赖于无线信号的传播和建筑物的其他特性。
这些特性可能会迅速发生变化,从而影响连接速度和错误率。
一个位于建筑物内的办公的RF环境在早上10点和3点时是完全不同的。
在早上10点,有很多的用户在移动使用网络。
而在早上3点,人员都休息了,没有人在使用无线网络,而且附近的办公室也不会产生RF干扰。
更多的情况下,在同一时间,很多人汇聚到会议室,特别是当人数比较多,超出了1个AP的承受范围,那么无线网络会慢的无法工作;为了保障带宽,如果在AP设置了限制,那么后来的人员无法得到无线连接服务,因为在后台控制器的模式,可以对AP自动的负载均衡,将终端分别发送到不同的AP,自动计算和对终端的流量进行均衡,比如,当这个AP的利用率到了80%,那么控制器自动将用户引导到另外的空闲的相邻AP上面,而在我们的设计中,所有的AP部署已经考虑了人员的位置和可能的集中的情况,完全可以智能的处理动态的负载变化。
自动频道管理和跨IP域漫游
无线局域网802.11b/g标准使用3个不重复的频道,1、6、11,为了实现自动漫游,需要对频道的管理。
思科无线系统由于采用了后台集中控制的方式,能够当AP布防后,通过实时射频监测,然后自动对频道进行分配,并地图方式显示在网管上。
无线局域网的AP如果处于不同的子网,在漫游的过程中,需要处理三层的漫游,在后台保持用户的DHCP得来的IP租用,认证的会话密钥等,控制器可以自动完成三层无线漫游。
最大的安全性
无线网络支持最多的安全特性,采用集中认证,对每个数据包进行加密。
通过对射频的实时监测,发现并定位恶意的AP,恶意AP是XX的人员通过自己设置一个AP,吸引无线终端连接到恶意AP从而非法获得数据的黑客方法。
对恶意AP的扫描配合采用安全无线认证协议,能够解决AP和无线之间的相互信任问题。
目前无线局域网领域标准主要有思科和微软等公司,能够支持最多的安全保障和扩展的端口安全管理。
地理化图形管理界面
网络管理界面全部图形化,能够输入建筑的平面图,并且能够进行微调,能够输入障碍物等信息,在网管上面可以操作全部的无线功能。
在AP上无需任何配置。
无缝集成终端定位应用
配合射频实时监测功能,射频指纹扫描能够对终端所在的位置进行定位,当一个移动终端变换位置时,能够实现3-5米的定位,可以将人员位置显示在网络管理界面的办公楼地理图上。
方便对无线终端的监控和管理。
在网络管理系统上有针对ERP系统和安全管理系统的API,可以结合ERP和安全管理系统将定位信息集成到工作流程的管理中。
4
网络技术选型
4.1集中无线网络架构
为了全面地满足企业的RF管理需求,思科设计了一个集中、简便的集中WLAN架构。
它的核心组件是“分离MAC”体系,即将对802.11数据和管理协议的处理,以及接入点功能分别部署于一个轻型接入点和一个集中WLAN控制器(下图所示)。
更加特别的是,对时间敏感的活动――例如信标处理、与客户端的握手、介质访问控制(MAC)层封装和RF监控――都是由接入点处理的。
所有其他活动都由WLAN控制器处理,它需要具备整个系统的可见度。
这包括802.11管理协议、帧转换和桥接功能,以及对于用户移动、安全、QoS和――可能更加重要的是――实时RF管理的系统级策略。
典型的分离MAC体系
思科无线局域网控制器具备的实时RF管理对于思科轻型无线解决方案具有重要的意义。
它是思科产品的一项独有特色。
思科无线局域网控制器可以利用动态算法,创建一个完全自行配置、优化和治愈的环境,让思科WLAN适用于提供安全、可靠的业务应用。
这是通过执行下列RRM功能实现的:
∙无线资源监控
∙动态信道分配
∙干扰检测和避免
∙动态发射功率控制
∙覆盖盲区检测和纠正
∙客户端和网络负载均衡
4.1.1无线资源监控
RF网络的管理需要充分了解影响无线空间的因素。
思科轻型接入点采用了独特的设计,不仅能够提供服务,还可以同时监控所有信道。
这源自于思科在它的分离MAC架构中对802.11MAC层所开展的、广泛的开发工作。
除了提供数据服务以外,思科轻型接入点还可以同时扫描所在国家允许的所有有效的802.11a/b/g信道,以及在其他地区有效的信道。
这可以提供最高限度的保护――系统将发现可能从其他国家进口的恶意接入点,或者某个知道怎样更改所在国家规定操作方式的黑客。
这些黑客能够让恶意设备位于带外,从而躲过大部分WLAN入侵检测系统(IDS)的扫描。
思科轻型接入点可以在不超过60ms的时间里进行“信道外”扫描,以监听这些信道。
在此期间搜集到的分组将被发送到思科无线局域网控制器。
后者将对这些分组进行分析,以发现恶意接入点(无论服务集标识符[SSID]是否被广播)、恶意客户端、临时客户端和干扰接入点。
在缺省情况下,每个接入点只用0.2%的时间进行信道外扫描。
这项任务会在所有接入点之间进行统计分配,以确保相邻接入点不会同时进行扫描,对WLAN的性能造成不利的影响。
这使得管理员可以通过每个接入点搜集到的信息,了解他们的WLAN的运行状况,将网络可见度提高到重叠式网络所无法提供的水平,解决为每三到五个接入点部署无线监听器这一做法可能出现的“隐藏节点”问题。
在必要情况下,思科轻型接入点可以被专门部署为无线监听器,但是成本因素和对更高网络可见度的要求通常会促使最终用户采用上述方式。
4.1.2动态信道分配
802.11MAC功能需要采用一种基于二进制指数退避的冲突避免机制,即带有冲突检测的载波侦听多路存取(CSMA/CA)。
802.11MAC层由一个四路交换协议定义:
RequesttoSend(RTS)<–>CleartoSend(CTS)
Data<–>ACK
当某个基站需要发送信息时,它会将其提供给介质。
如果介质是闲置的,接入点将会允许该基站发送它的数据。
否则,基站将被告知等到其他正在使用介质的基站完成任务之后再发送数据。
这可以防止两个客户端同时在同一个信道上发送数据,导致数据帧受损。
在使用CSMA/CA时,同一个信道上的两个接入点(位于同一个区域)与两个不同信道上的两个接入点相比,将获得其一半的容量。
这可能会导致问题。
例如,某个在咖啡厅中查看电子邮件的用户可能会对相邻企业中的接入点的性能造成不利的影响。
即使位于不同的网络之中,在信道1上向咖啡厅网络发送流量的用户也可能会导致使用同一个信道的企业数据遭到破坏。
思科无线局域网控制器可以通过动态分配接入点信道,避免冲突,从而解决这个问题和其他同频干扰问题。
因为思科轻型解决方案通过它的RRM工具而具有覆盖整个企业的可见度,所以信道可以被“重复利用”,以避免浪
升级会员 