1、办公大楼无线覆盖解决方案大全XXXX办公大楼无线覆盖解决方案2016年4月目 录1 需求概述 32 办公大楼总体规划 42.1 办公大楼无线建设原则 42.2 办公大楼无线建设目标 62.2.1 无缝覆盖 62.2.2 安全性 62.2.3 扩展性 62.2.4 高性能 72.2.5 可管理 73 锐捷无线网络总体架构设计 83.1 基础网络技术选型 83.2 基础网络结构设计 83.3 整体网络拓扑设计 93.3.1 核心层设计 103.3.2 接入层设计 103.3.3 无线网络设计 114 网络安全设计 134.1 无线接入认证设计 134.1.1 终端智能识别的WEB认证 134.1.
2、2 基于802.1X的无感知认证 134.1.3 访客二维码认证 144.1.4 用户短信自助注册认证 144.2 无线安全技术设计 145 锐捷无线方案特点和优势 165.1 X-speed大幅提升干扰环境下的用户体验 165.2 业务流量全面分流的本地转发架构 175.3 基于用户、流量、频段的智能负载均衡 175.4 灵活便捷的访客系统 185.5 逐级深入的安全防护 195.6 坚若磐石的可靠网络 205.7 全面支持IPv6的无线网络 201 需求概述XXXX办公大楼无线网络建设需要重点考虑两个方面:客户服务的信息化、内部管理的信息化。通过该无线系统为员工提供周到、便捷、舒适、称心的
3、服务,同时提升办公大楼内部管理、运营效率,降低运作成本。 办公大楼无线网络的建设有以下几个关键难题: 1、 办公大楼的无线网络涉及多个系统,但各个系统相互独立,不能有效配合;办公大楼方希望可以提供一套完整的办公大楼无线信息化解决方案,简化部署,降低投资成本。 2、 办公大楼面积大且结构复杂,客户希望无线信号能无盲点覆盖,并且考虑到客户感受,要求无线设备及天线不能外露。 3、 办公大楼IT运维复杂,办公大楼运营后如何有效保障网络的正常运行,快速定位网络故障。 2 办公大楼总体规划2.1 办公大楼无线建设原则在办公大楼无线网络的实际应用中,无线网络的性能却无法满足实际业务的承载需求,主要表现有:
4、1. 很多办公大楼处于成本的考虑,采用了基于胖AP的无线网络架构,虽然成本低廉,但无论是配置、维护还是故障处理都需要处理大量的重复工作,运维效率高,故障延迟大,影响到客人无线上网;无线网络部署后,覆盖区内信号干扰源多,对无线网络影响大,但办公大楼网络管理系统缺乏便捷有效的管理手段来识别这些干扰源,无法对网络性能进行优化调整达到保障无线网络稳定的目的; 2. 一般厂商的无线覆盖方案仅考虑了单一的“无线信号有无”问题,在产品选型和部署方式上没有针对性,譬如仅选择单频AP设备进行部署,这样就容易造成无线接入客户端无论是802.11b/g还是802.11n都工作在2.4GHz频段,造成网络性能低下,导
5、致上网速率偏低;同时,当区域内接入用户突然增多时,由于不支持负载均衡功能,导致网络性能急速下降等等,这些都会影响到客户的无线上网体验; 3. AP部署在走廊区域,无线信号经穿墙后进入房间,导致房间内无线信号覆盖不均匀,场强低,再加上随处出现的同频干扰,经常会出现有无线信号,但却无法访问Internet的情况; 4. 办公大楼对无线网络的业务承载能力和拓展性有着很高的要求,不仅要求支持上网,还需要支持多媒体业务承载业务,但很多的无线设备对WMM协议支持有限,远远无法满足客户期望。 因此在无法覆盖方案的设计过程中,必须要加以关注,在设计中尽量避免上述问题的出现。针对办公大楼无线网络在实际应用中的主
6、要问题,在本项目中应重点遵循以下设计原则: 1. 信号覆盖范围和强度:无线网络信号要求区域全覆盖,包括办公大楼宴会厅、早餐厅、房间、员工办公区和娱乐区,以及电梯间和消防通道等等。无线局域网协议兼容802.11a/b/g/n标准,在房间区域,信号强度-70dBm(高质量),在大堂、餐厅等客户驻留区域,信号强度-75dBm(良好质量)。 2. 用户容量和传输性能:覆盖区域内,在普通时段,用户传输速率500Kbps;上网高峰期时段,用户传输速率200Kbps,保证流畅的无线上网体验。 3. 漫游性能:支持无缝漫游,保证无线网络应用时的数据业务不中断。 4. 网络负载均衡:提供动态的基于流量和用户数量
7、的负载均衡功能,在酒吧、宴会厅、办公区等区域,要满足多用户使用时不会产生网络瓶颈和网络性能的严重下降。 5. 用户分组管理与隔离:对于不同无线用户的应用,制定不同的安全策略和优先级别。能够对无线用户进行基于用户的分组统一管理,以保障在维护过程中的灵活性。 6. 统一维护管理:提供简单、易用、统一的无线网络管理平台,以便让办公大楼网络管理员对无线网络以及无线用户有良好的可管理性和控制性。 7. 用户接入认证:无线系统需要支持多种认证协议和认证方式,包括Web Portal方式和基于RADIUS的802.1x无线认证方式。 8. 无线安全加密:无线网络系统需要兼容和接纳最高等级和最广泛使用的加密协
8、议,包括WEP、WPA-PSK、WPA2-PSK等加密方式,保证私密信息安全。 2.2 办公大楼无线建设目标2.2.1 无缝覆盖本次办公大楼无线网络建设采取标准的802.11ac网络协议标准,提供不低于1167Mbps的单个AP的无线带宽接入能力,提供高性能的无线覆盖; 无线信号覆盖整个办公大楼,保证被覆盖需求的网络访问流畅。提供数据接入业务,让用户能够快捷的访问资源。同时,利用现在的有线资源,做到有线、无线混合组网,避免投资的浪费。2.2.2 安全性网络必须具有良好的安全防范措施和密码保护技术,灵活方便的权限设定和控制机制,使系统具有多种有效手段,防范各种形式对网络的非法入侵和内部攻击,以保
9、证网络的实体安全、网络安全、系统安全和信息安全,有效地保障正常的业务活动和防止内部信息数据不被非法窃取、篡改或泄漏。因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。 2.2.3 扩展性在网络规模不断发展的情况下,无线网络应满足在不改变主体架构与大部分设备的前提下,平滑实现升级和扩充,降低原有网络的硬件投资,并保证扩展后的系统可用性与稳定性。预留AC、AP可升级的能力,为未来无线网建设提供基础,无线网络要支持AC冗余扩展N+1的冗余备份能力。统一建设必须尽量保护现有的软、硬件资源,保证各部门现有的计算机系统的使用,逐步过渡,有效保护投资,
10、最终形成一个统一的、一体化的综合网络系统。2.2.4 高性能网络链路和设备具备足够高的数据转发能力,保证各种信息的高质量无阻塞传输,交换系统具有很高的交换容量与多服务支持的能力,保证网络服务的质量。2.2.5 可管理为了让无线网络能够良性、稳定、持续、健康的发展,对无线网络进行严格的管理和控制,通过对上网的用户进行认证,记录用户行为,为办公大楼的网络管理提供便利的工具。于此同时,对于本次网络中所涉及的无线AP、AC、交换机等设备能够实现无线、有线统一的管理,确保各设备运行在最佳状态,为办公大楼的用户提供可靠的网络接入服务。3 锐捷无线网络总体架构设计3.1 基础网络技术选型在以太网技术中,10
11、00BaseT是一个里程碑,确立了以太网技术在桌面的统治地位。千兆以太网以及随后出现的万兆以太网标准是两个比较重要的标准,以太网技术通过这两个标准从桌面的局域网技术延伸到园区网以及城域网的汇聚和骨干。主干网络采用全光千兆以太网技术,千兆无线POE接入使用。核心层与汇聚点接入交换机通过光纤方式连接。接入交换机根据无线终端AP、监控节点选择POE交换机。3.2 基础网络结构设计较大规模的网络设计通常要遵循层次化设计模型。在本次网络设计当中可分为核心层、汇聚层和接入层。以无线网络作为有益的补充或替代。办公大楼采用二层组网的网络架构,选择合适的无线AP,保证信号的覆盖与稳定。核心层主要承担高速数据交换
12、的任务,同时要为各汇聚节点提供最佳传输通道。接入层的主要任务是完成无线AP的接入,和用户连接,可能遭受ARP风暴、MAC扫描、ICMP风暴、带宽攻击等等攻击方式,对安全性的要求很高,另一方面必须提供灵活的用户管理手段。通过层次化的网络设计,网络的不同层次设备承担不同的任务,使整个网络结构清晰,便于维护和管理,便于以后的网络扩展。3.3 整体网络拓扑设计本方案采用无线控制器AC和瘦AP的部署架构,搭配锐捷POE接入交换机和高速数据交换(万兆上下行)的核心交换机一起组成集中统一的办公大楼无线网络。 采用瘦AP方式主要是为了便于进行集中配置和统一管理,在实际工作中,无线控制器AC连接到核心交换机,负
13、责无线网络的射频管理、AP配置下发等功能,对全网AP的自动配置下发、射频管理、信道分配等安全接入控制和统一的管理,让网管可以轻松管理办公大楼无线网络。 锐捷AP产品可以支持802.11a/b/g/n/ac,满足不同客户端接入需要;支持MIMO,成倍地提高无线信道容量、信道可靠性,降低误码率。支持802.11af和802.11at。3.3.1 核心层设计核心层:由高性能的设备和高速冗余的链路构成,实现数据的高速转发、负载均衡、流量控制、网管理等功能。在网络的中心节点,核心层的设备传统上会使用高性能的交换机和高速路由器来进行第二层交换和第三层路由。在网络核心层,网络核心设备不仅要能保证第二层的交换
14、和第三层的路由,还要提供完善的虚拟网划分,多协议路由,QoS处理,以及多媒体的通信支持。核心层设备应当满足以下条件:1、必须能提供大量的千兆线速接口用于核心交换机互联接入层交换机,满足用于网络互连的端口能够实现线速转发以及基于此端口的ACL、QoS等功能实施性能不下降。3、功能的丰富性:尽可能提供丰富的QoS和安全、流量管理等各种功能。4、业务上可扩展:提供对IPv6的支持。3.3.2 接入层设计接入层负责所有信息节点的接入,由高性能设备和高速冗余的链路构成,实现数据的高速转发、路由快速汇聚、负载均衡、流量控制、网络管理等功能。采用锐捷RG-AM5528产品作为接入层设备,对微AP提供功能,同
15、时进行二层数据的转发。RG-AM5528是锐捷网络推出的面向复杂应用环境(如无线宿舍网、酒店、密集办公网等)下的智分型无线接入点,采用锐捷网络独有的分布式架构和千兆独享式架构弱电间主机+微AP射频模块+百米以太网线,每房间独立广播MIMO信号,可以做到24个房间在2.4GHz和5.8GHz双频段下的双流覆盖,满足多种场景中对性能、覆盖和美化效果的多方面需求。RG-AM5528产品引领802.11ac浪潮,可支持同时工作在802.11a/n/ac和802.11b/g/n模式。该产品外观采用19英寸标准机柜尺寸,支持弱电间标准机柜部署和灵活的楼道小型机柜部署,提供24个下联RJ45接口连接到微AP
16、射频模块。RG-AM5528产品可根据需要灵活的选择多种类型的微AP射频模块,特别适合部署在高校宿舍网、酒店、办公网等环境。3.3.3 无线网络设计无线局域网(WLAN)使用的传输不再使用双绞线或光纤,而是射频(RF)。现在大多数无线LAN都在使用2.4千兆赫(GHz)的频率波段。无线网络的自由性和灵活性既可用于建筑物内部也可用于建筑物之间,特别是在建筑结构复杂、玻璃幕墙、空旷开间等物理线缆不易敷设的情况时。 1. AP电源的供给我们在本次无线网络项目建设中室内覆盖采用支持IEEE802.3af标准的PoE交换机或PoE供电器通过网线对AP进行供电。POE交换机:交换机端口支持输出功率达15.
17、4W,符合IEEE802.3af标准,通过网线供电的方式为标准的PoE终端设备供电,免去额外的电源布线。经调研研华推出的符合IEEE802.3aT 标准的POE交换机,端口输出功率可以达到25-30W .通俗的说,POE交换机就是支持网线供电的交换机,其不但可以实现普通交换机的数据传输功能还能同时对网络终端进行供电。2 AP的集中管理与自动配置在传统无线网络建设中,有一个始终令网管人员感到头痛的问题,那就是对AP的管理、监控以及AP自身固件的升级。由于传统AP是一种称作为“FAT AP”,即自身需要有相应控制软件以及独立的配置才能运行,而由于AP是一种接入层设备,数量较多,且由于仓储中心网络的
18、复杂性以及业务的多样性,导致需要根据各“热点”区域进行相应配置,并且还需要网管员对这些特殊配置进行记录,以方便日后维护;此外,在日常运行中,还需要了解这些数量众多AP的工作状态及性能等数据,而一般AP管理工具功能太过简单,如果采用有线网络网管软件,由于没有很好的对无线网络做相应的开发与支持,从而不能很好的管理无线网络。3、用户漫游及QoS保障而在本方案中,我们采用零漫游方案,该方案以无线AC为核心,对所有AP上接入的用户采用统一会话管理,所有已认证终端均在中心无线AC中保存相应会话,AP仅仅只负载传输用户数据,因此无论终端移动到哪个AP下,用户信息和授权都在无线AC所管辖的移动域内快速的交互,
19、可以有效保持会话完整性及可靠移动性的前提下实现无缝漫游。4、用户动态负载均衡传统上,由于受到客户端无线网卡底层驱动算法机制的限制,用户总是会连上信号最强的AP,而并没有考虑到该AP是否能够提供最佳的服务。无线AC可以根据周围无线信号覆盖情况以及用户的流量需求,动态的将用户强制连接到其他可用AP上,将用户流量分配到其他可用AP,从而保证了整个无线网络的高效能和高可用度。RG-MAP552-W采用面板式设计,可以直接嵌入已有的86面板盒中,可以像面板AP一样省去布线施工,额外提供的防盗设计和passthrough接口可以灵活的适应办公大楼场景,适合改造类项目的大规模部署。4 网络安全设计4.1 无
20、线接入认证设计4.1.1 终端智能识别的WEB认证无线网络在提供便捷网络服务的同时,仍需确保只有合法的用户才能使用无线网络。WEB认证就是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证,是目前无线主流的认证方式之一。锐捷网络的无线控制器不仅支持终端自动识别功能和WEB Portal页面推送,而且推送的认证页面还可以根据用户自定义放置一些广告、通知、业务链接等,提供更多个性化服务。若配合锐捷SMP认证服务器还可实现基于终端类型的角色、访问权限的划分等,帮助网络运维人员实现更为精细化的无线用户管理。4.1.2
21、基于802.1X的无感知认证IEEE 802.1X协议是一种基于端口的网络接入控制协议,主要目的是为了解决无线用户的接入认证问题。对于基于802.11 系列标准的无线局域网,通过对无线用户的身份验证,无线网络可以打开或关闭无线终端接入的接口,同时还可以根据其身份属性,为其分配动态角色和VLAN,确保用户终端接入的安全性。4.1.3 访客二维码认证锐捷网络提出了更为先进的访客接待解决方案二维码认证。 访客使用移动智能终端访问无线网络后,锐捷网络的认证系统将生成专用的二维码推送到访客的终端上。 负责接待的员工使用自己的已认证通过的合法终端对访客的二维码进行扫描并自动反馈到认证系统。 认证系统记录下
22、访客和对应接待者的身份信息并确认临时开户,访客和接待者收到反馈后即可直接访问网络。仅需“扫一扫”就可便捷的为访客提供无线网络服务,这是无线认证技术为提供用户体验的又一次创新。4.1.4 用户短信自助注册认证在公共区域经常会提供免费的WLAN,但这又需要考虑接入用户及终端的安全,并实现可追溯。锐捷网络专门为这种用户场景推出了用户短信自助注册的认证方式。 用户使用移动智能终端连接公共区域开启用户短信自助认证功能的WLAN后,该WLAN会在用户进行HTTP访问后推送出一个WEB Portal页面,页面上会需要用户输入自己的手机号码作为用户名, 认证系统获取到该信息后通过短信网关向该手机发送随机登陆密
23、码并设上一定的失效时间, 用户最终在认证页面上输入手机短信上的密码即可完成接入认证,并可进行无线网络访问。一个短信,即可便捷与安全的实现用户自助注册认证。4.2 无线安全技术设计锐捷网络基于“接入安全”的理念,将无线网络认证过程下移到离客户端最近的网络边界处,通过启用WEB认证模式,当用户在接入无线网络的时候,锐捷网络无线控制通过portal的方式将认证页面推送到客户端,然后将用户认证所需要的用户名和密码上传到无线控制器,获取学生相关的认证信息,如果认证通过,完成认证过程。1. 虚拟无线分组技术通过虚拟无线接入点(Virtual AP)技术,整机可最大提供16个ESSID,支持16个802.1
24、QVLAN,网管人员可以对使用相同SSID的子网或VLAN单独实施加密和隔离,并可针对每个SSID配置单独的认证方式、加密机制等。2. 标准CAPWAP加密隧道确保传输安全锐捷网络无线AP接入点与锐捷网络无线控制器以国际标准的CAPWAP加密隧道模式通信,确保了数据传输过程中的内容安全。3. 射频安全在锐捷网络一体化网管系统RG-SNC、RG-WS系列无线控制器产品的配合下, AP可启用射频探针扫描机制,实时发现非法接入点、或其它射频干扰源,并提供相应的告警,使网管人员可随时监控各个无线环境中的潜在威胁和使用状况。4. ARP欺骗的防护ARP检测功能有效遏制了网络中日益泛滥的ARP网关欺骗和A
25、RP主机欺骗的现象,保障了用户的正常上网。无论在动态分配IP环境下,还是静态分配IP环境下,均可实现自动绑定工作,大大的节省了人力成本,降低了管理开销。而配合ARP速率监控控制ARP报文发送的速率,防止恶意利用扫描工具进行ARP泛洪占据网络带宽,导致网络拥塞的攻击行为。5. DHCP安全支持DHCP snooping,只允许信任端口的DHCP响应,防止未经管理员许可私自架设DHCP Server,扰乱IP地址的分配和管理,影响用户的正常上网的行为;并在DHCP监听的基础上,通过动态监测ARP和检查源IP,有效防范DHCP动态分配IP环境下的ARP主机欺骗和源IP地址的欺骗。5 锐捷无线方案特点
26、和优势5.1 X-speed大幅提升干扰环境下的用户体验在大型会场、机场、车站等多用户的场景下,为了提供WLAN服务,不得不在同一区域内部署多台AP,甚至多家运营商会部署多套无线设备,设备间的同频干扰加剧,无线数据竞争发送时冲突增多,而且部分低速用户大量占用无线链路进行数据传输,无线网络的实际吞吐性能大幅下降,用户体验极差。而锐捷网络在有效实现上述优化方法的前提下,又创新的推出了X-speed加速技术,它主要有两大功能特点:自适应优先级开启X-speed技术的AP能够迅速感知Radio上下行流量的差别,实现自适应优先级控制,自动调整Radio和Client的EDCA参数,在多厂商AP的环境下,
27、极大的提升了AP的下行发包能力和抗干扰能力,相比于环境下其他AP的无线用户,接入我司AP的无线用户终端能够获得更高的数据传输性能。公平调度X-speed技术的另一大功能就是公平调度,它主要根据终端流量的实时信息,预测终端流量,然后计算并调整AP和终端的空口带宽,然后利用令牌桶原理进行流量整线来实现无线空口资源的公平占用。这就为802.11g、802.11n等不同类型的终端提供相同的访问时间,极大的解决了因终端无线网卡老旧或终端离AP较远而导致用户无线上网延时大、速度慢、AP整机性能低下的问题,有效的提升了低速终端的性能,保证用户无论使用何种类型的终端,都将在相同的位置上获得同样良好的无线上网体
28、验。5.2 业务流量全面分流的本地转发架构锐捷网络推出的本地转发架构,从架构上解决了无线控制器的流量瓶颈问题。本地转发架构即AP上行到无线控制器的数据无需经过控制器,而直接在接入交换机上进行转发。通过无线控制器的配合,可灵活预配置AP产品的数据转发模式,或直接进入有线网络进行数据交换。本地转发技术可以将延迟敏感、传输要求实时性高的数据分类通过有线网络转发,可以大大缓解无线控制器的流量压力,更好的适应802.11n、甚至是802.11ac网络高流量传输的要求。 5.3 基于用户、流量、频段的智能负载均衡锐捷网络基于对802.11标准和客户需求的深入理解,创新地提出了智能负载均衡专利技术,可以准确
29、有效地在WLAN网络中平衡用户的负载,充分地保证每个无线用户的性能和带宽。主要的技术特点如下:基于集中式无线架构每个AP通过CAPWAP协议建立与AC间的控制和数据隧道,智能负载均衡算法在AC侧进行集中控制。集中控制的方法,可以让AC实时完整地了解每个AP当前的负荷,从而对网络中的负载进行有效均衡。频谱导航技术(BandSelect)AP支持检测客户端是否自带双频网卡,如果是,AP会拒绝客户端连接2.4G一定次数,优先将客户端接入5.8G,再计算当前2.4G和5.8G接入用户数量差异,当超过一定差异时,启动频段间负载均衡,防止5.8G和2.4G接入用户数量差异过大。随着双频终端越来越多,除了传
30、统的迅驰笔记本外,iPad 2、New iPad、iPhone 5都已经使用双频网卡,频谱导航技术能够讲负载引导到较少人使用,较少干扰的5GHz频段上,大幅度降低2.4GHz压力,提升AP使用效率。支持基于用户会话数、流量、用户数的负载均衡算法一般地,许多厂商只支持基于用户会话数的负载均衡。锐捷网络的智能负载均衡技术可以让用户灵活地选择基于用户会话数、用户数或流量的负载均衡,满足用户不同的WLAN应用需求。用户还可以灵活地选择是否使能负载均衡。智能地隐藏高负载AP当一些AP的负载过高时,通过锐捷网络的智能负载均衡技术可以维持已存在的无线用户会话,而把这些AP对新的接入用户进行隐藏,从而让新的接
31、入用户只能够发现和接入到负载较小的AP上。这样可以平滑地进行负载均衡控制,而又可以保证用户快速地接入到网络中。5.4 灵活便捷的访客系统锐捷网络将最前沿的移动互联网应用和精细化的用户管理系统进行深度融合,创新的使用二维码访客接待系统和用户短信自助认证系统,为访客高效快捷的提供了安全的无线网络服务。二维码认证 访客使用移动智能终端访问无线网络后,锐捷网络的认证系统将生成专用的二维码推送到访客的终端上。 负责接待的员工使用自己的已认证通过的合法终端对访客的二维码进行扫描并自动反馈到认证系统。 认证系统记录下访客和对应接待者的身份信息并确认临时开户,访客和接待者收到反馈后即可直接访问网络。短信自助认证 用户使用移动智能终端连接公共区域开启用户短信自助认证功能的WLAN后,该WLAN会在用户进行HTTP访问后推送出一个WEB Portal页面,页面上会需要用户输入自己的手机号码作为用户名, 认证系统获取到该信息后通过短信网关向该手机发送随机登陆密码并设上一定的失效时间, 用户最终在认证页面上输入手机短信上的密码即可完成接入认证,并可进行无线网络访问。仅需“扫一扫”或者一个短信,就可便捷的为访客提供无线网络服务,这是锐捷网络为提升用户体验的又一次创新。5.5 逐级深入的安全防护1全面的准入认证锐捷网络的无线支持软证书、硬证书、802.1X、WEB等多种用户接入认证方式。全面的准入认证方式
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1