制造业无线局域网系统技术方案.docx

1、制造业无线局域网系统技术方案1. xx企业电子无线局域网建设需求 31.1 项目背景 3企业概况（略） 3CDC/RDC库房无线覆盖规划 31.2 无线局域网的应用需求 3网络部署需求 31.3 无线局域网部署的总体目标 5强可管理性 5高安全性 5真正的移动性 5支持多业务 52. xx企业无线局域网设计原则和参考技术指标 62.1 遵循标准 62.2 技术成熟 62.3 易管理易维护 62.4 安全可靠 72.5 参考的技术指标 73. xx企业无线局域网系统设计和实施方案 83.1 整体系统架构设计 83.2 无线覆盖建议 93.3 网络安全管理措施 123.4 用户认证方法 124.

2、设备清单 135. Aruba“移动边缘”解决方案的技术特点 135.1 先进而成熟的无线局域网交换架构 14先进的无线局域交换机 14灵活的组网方式 15优秀的扩展性 15无需更改有线网结构 15方便地无线网络规划设计 165.2 方便而强大的网管功能 16集中式管理 16无需安装客户端软件 17RF智能控管 17多个SSID结构 18故障自动恢复 18网络负载均衡 19无线终端定位 19无缝的三层漫游 195.3 具有安全保障的无线网络 20集中的安全管理 20多种用户认证方式 20独特的无线访问控制 20安全的AP技术 20无线接入点安全侦测和保护 21无线网络入侵侦测 21无线接入的病

3、毒防护 211. xx企业电子无线局域网建设需求1.1 项目背景企业概况（略）CDC/RDC库房无线覆盖规划背景：xx企业公司的RDC和CDC库房进行无线网络建设。建设情况分为两个部分：在总部的一个地点的4个地方建立CDC库房，而在全国其它城市约70个地方建立RDC库房；基础网络状况：CDC库房由于地处总部，属于我公司企业网覆盖范围；各RDC库房由于地处外地，目前没有进行企业网接入，但我公司将以专线或基于互联网的VPN组网方式将其接入公司企业网。需求：需要对以上的各库房进行无线网络建设，各库房内外将有多个手持无线终端对公司成品进行条码扫描，并依赖于这些无线网络进行无线数据实时传递到绵阳总部核心

4、数据服务器的成品条码应用系统。无线局域网方案将根据以上信息制定。1.2 无线局域网的应用需求网络部署需求xx企业的无线局域网部署需求如下：1.在CDC库房可采用“瘦AP”的方式进行各库房完全室内覆盖，并且对两侧库房之间的室外通道也进行室外完全覆盖；2.各RDC库房除室内完全覆盖外，库房的进出货大门附近也要进行覆盖（各RDC没有平面示意图，需要根据估计进行比较充分的设计）；3.管理方面：要实现整个无线系统的统一集中管理（RDC库房的无线设备可以另外考虑），对各个无线设备的入网具备认证手段，对无线终端（例如无线条码扫描手持终端）具有以MAC地址和账户（RADIUS等后台服务器支撑）统一认证的手段；

5、4.技术方面：可以考虑802.11b的方式，同一地点无线终端可以在各个AP间无缝漫游；5.施工费用：请对CDC库房和RDC库房的实施费用分别进行核算；6.请根据以上信息制定方案、产品清单、报价（包括列表价/成交价），若存在一套以上的方案，请一并附之。7.无线AP通过有线网络接入层交换机进行企业网接入，无线AP支持基于以太网的馈线电源和本地电源，无线AP可通过Telnet和Web进行管理和升级。8.要求无线AP符合IEEE 802.11b/g和IEEE 802.1X的技术标准；支持包括LEAP、PEAP、EAP-TLS等扩展认证协议的所有802.1X认证类型；支持无线手持终端通过RADIUS（C

6、iscoSecure Access Control Server）集中进行MAC地址的认证；要求无线AP配合无线手持终端使用WPA（Wi-Fi Protected Access）协议和暂时密钥完整协议（TKIP）；9.要求使用CISCO ACS（Cisco Secure Access Control Server）对无线终端进行802.1X帐户认证；要求同一时间一个帐户只允许一个终端入网；要求在RADIUS服务器上设置多个分组以控制不同的用户访问不同的网络资源；要求实现对RADIUS服务器上的用户帐户、用户组以及系统配置等数据信息的自动备份和恢复；要求实现两个CISCO ACS之间的用户帐户和

7、用户组的互备。10.要求无线网管系统支持AP快速配置、监测AP和无线终端的状态、通过EMAIL自动发送报警或错误报告；要求无线网管系统对各个AP进行功率自动调整，以达到最优覆盖效果；要求无线网管系统能够定位AP位置，并自动生成覆盖效果图和网络拓扑图。11.要求在每个仓库内进行无盲点的完全无线覆盖；要求手持终端在同网段的AP间无缝漫游，漫游中丢包数量低于3个（不包含3个），漫游中手持终端的Telnet应用不可中断。12.产品符合自身技术参数规范。1.3 无线局域网部署的总体目标强可管理性具有强可管理性是企业网络部署的关键指标。对网络进行管理、维护以及进行故障处理的方式方法决定了网络管理人员的工作

8、量，缺乏可管理性的网络不仅仅增加了网管人员的工作量，而且间接影响着网络的安全和性能。无线网络中的网络配置复杂，设备部署分散，从无线频谱规划，无线AP的布点，到用户的接入、认证和计费，以及数据的加密，承载各种应用的带宽分配等，往往需要在各种设备之间进行参数设定。具有易操作性、可交互性的图形化网络界面，简化管理网络的步骤，减轻无线频谱规划工程的压力和网络日常维护的成本，在出现问题的时候能够提供较方便的故障排除手段，是强可管理性的表现。高安全性网络安全性能可靠也是企业级网络的一个重要指标。用户可以根据网络的情况选择不同安全级别的无线网络进行接入，在数据链路层、网络层、应用层等多层加密的通道中进行数据

9、传输。通过拒绝非授权用户进入网络占用资源的同时，保障合法用户的信息私密性。同时对于不正常的网络行为能够有相应的监控和管理措施，能够通过网络日志系统结合事后审计系统来进行网络的安全控管。真正的移动性支持无缝覆盖环境内的快速移动切换是新一代无线局域网络的特性。在满足连续无缝覆盖的无线网络环境中，支持不间断的业务服务是实施移动办公的基本需求，完美解决用户的无线重新关联，重新认证，加密密钥分发等问题，确保移动情况下的安全与网络性能，才能够真正支持用户的切换，从而实现全网的移动性。支持多业务单一数据上网为主要应用的网络部署模式已经无法适应飞速发展的移动办公需求，支持QoS的无线局域网能够为企业网络环境提

10、供更多的增值业务而成为了无线网络部署中不可或缺的目标。2. xx企业无线局域网设计原则和参考技术指标2.1 遵循标准无线局域网采用的技术支持应为国际标准或业界标准，不使用某个厂商的专用技术和协议，以保证网络设备的互通性，有利于网络的投资保护。本投标书提出采用美国Aruba Wireless Networks公司的“移动边缘”解决方案，完成xx企业无线局域网系统项目。该解决方案采用了目前业界先进的第三代无线局域网架构的产品，世界上著名的IT公司微软在全球范围内部署的无线局域网采用的也是Aruba的产品，足见该解决方案的先进性和成熟性。2.2 技术成熟无线局域网系统应该具有以下特点来体现采用技术路

11、线的成熟可靠：1.支持相应的各种国际标准或普遍使用的工业标准； 2.支持实时和非实时数据传输，支持文本、语音、图形、图像及音频、视频等多种媒体信息的传输、查询服务，具有多种基于优先级队列的QoS保证；3.实现无线语音设备和无线终端的实时移动通信和跨IP域的无缝漫游；4.实现对射频的集中管理和控制； 5.可根据用户的身份认证进行防火墙策略的控制；6.符合国家关于无线网络安全标准和管理条例；7.具有高可靠性、可用性；2.3 易管理易维护无线网管系统需要集成相应无线网络管理功能，能够支持和已有的CA网管系统的集成，实现在单一平台下的统一管理。提供的无线网管系统能够完成对无线网络的监视和控制，保障无线

12、网络安全，查找并隔离网络故障，记录无线网络中的各种事件等。可以管理本项目中提供的所有节点，检测它们的网络性能和系统运行性能。提供的无线网管系统不仅能进行无线网络设备及IP层的流量监视，而且随着无线网络规模的不断扩大及运行于网络上的应用不断增多，还可以通过对应用流量的分析监视应用软件的运行情况。另外，无线网管系统还要能够满足以下要求：开放性支持：管理应用对外开放，可以使用任何资源及进程，即使是其它网络应用的进程，也能进行横向调用。具备企业管理能力：无线网管系统能够管理无线网络中的所有网络设备，具备支持下列能力：1.可扩展性：有能力满足用户的应用以及未来的无线网络扩展需求，为无线网络将来的升级留有

13、余地；2.集成界面支持：无线网络管理工作站能以图形方式显示网络设备之间的逻辑拓扑结构，网络的连接状态，每个网络设备的面板图形及指示灯状态等，并用图形方式配置网络参数和管理网络设备；3.无线网络设备的自动查找支持：应具有自动查找无线网络设备的能力，无线网管系统可自动发现并配置无线设备。2.4 安全可靠1.用户认证：支持用户多种接入方式认证机制，包括：基于网页认证（web）、VPN 认证、802.1X、MAC地址等认证方式，支持外置的Portal服务器和外置的AAA服务系统，支持标准的LDAP目录服务器（ldapv3），内置数据库。2.数据加密：支持静态和动态WEP，TKIP（WPA），WPA2，

14、AES、SSL、TLS、RSA等加密机制。2.5 参考的技术指标无线局域网的建设的技术指标如下：1、采用无线局域网交换技术及无线局域网交换体系结构。2、充分利用现有网络结构与资源，不单独组网，AP就近接入有线网络（最近的交换机），并且不改变原有网络结构以及交换机配置。3、采用集中控管的组网方式，集中控制管理所有的AP。4、AP的供电不单独拉线，采用POE供电的方式。5、采用先进的网管系统管理无线局域网。6、建立安全的无线局域网络。7、提供高质量的QoS保证，以达到对多媒体及语音的支持。8、充分考虑无线局域网的安全性，采用先进的安全技术保障。9、无线局域网系统要能方便和灵活地调整与扩充。3. x

15、x企业无线局域网系统设计和实施方案3.1 整体系统架构设计整个公司的库房分为CDC和RDC两大类，其中CDC库房在公司总部的统一地点，而RDC库房分散在全国各地，为了保证无线局域网系统的可用性，分布在不同地点的AP考虑独立成网，但是需要进行集中式的管理和配置。在公司总部的CDC库房的所有AP均连接回到位于绵阳的总部，总共近48个AP通过GRE隧道接入数据中心的无线交换机；同时分布在各地的AP汇聚到当地的无线交换机，并且通过站点到站点的VPN汇聚到绵阳总部。在此架构下，如果当Internet链路断开的时候，也不会有失去无线覆盖的情况，通过绵阳总部无线交换机的管理，相关无线网络的配置会分发到全国各

16、地的网络当中去。考虑AP的覆盖能力，冗余设计，接入容量，以及无线交换机的功能设置，整体系统架构符合以下几点：1. 覆盖库房的AP数目不足2的按照部署2个AP来考虑；2. 各个RDC库房无线交换机以ARUBA200为主，通过VPN接回到总部；3. 总部部署ARUBA2400进行本地无线网络接入和全局无线网络配置管理。具体拓扑连接图示如下：3.2 无线覆盖建议3.2.1 室内覆盖统计由于缺乏实地勘测和具体的数据，按照常规标准室内AP覆盖3050米范围来计算，使用库房面积除以1600计算，不足1的均按照2来计算（冗余设计），具体覆盖情况需要按照实地勘测后决定，估算的数量要浮动10%左右。绵阳总部的C

17、DC库房需求数目约为48个。各地RDC库房的AP数目如下表：库房编码面积M2widthLengthAP 数目170040180.437522250040631.5625239820120826.1375746500120544.06255510750120906.71875769870120826.168757785040210.5312528330040832.062529220040551.375210115040290.7187521173040180.4562521211800120987.375813160040401214139001201168.68759154600401152

18、.8753166529120544.080625417190040481.1875218215040541.34375219146501201229.1562510209350120785.84375621230040581.4375222315040791.96875223210040531.31252246000120503.754256650120554.15625426180040451.125227146040370.91252284200401052.625329255040641.59375230310040781.9375231100040250.625232500012042

19、3.12533390040230.5625234370040932.3125235240040601.5236380040952.3752374500401132.81253384860401223.03753397100120594.43755404139401032.58687534110300120866.43757426500120544.06254436700120564.18754442441612020315.261645182040461.13752466910120584.31875547315040791.96875248148001201239.2510498750120

20、735.4687565011262120947.038757516900120584.3125452350040882.18752537728120644.83554195040491.218752554359401092.7243753564820401213.01253579500120795.93756589200120775.756597300120614.5625560215040541.34375261110040280.68752626800120574.25563300040751.875264385040962.40625365195040491.21875266950402

21、40.59375267210040531.3125268240040601.526910400120876.5770150001201259.375107110100120846.3125772192440481.2025273150040380.9375274300040751.8752其中无线交换机需求为：总部一台ARUBA2400，各地库房ARUBA200共计61台，ARUBA800共计13台。最后的设备清单请见4。3.2.2 室外覆盖统计室外和库房门口的无线覆盖情况由于没有进行实地的勘测，在估计情况下，可以建议每一个库房（包括CDC以及RDC）使用AP60加上天线的方式进行覆盖，在范围

22、比较大或者室外环境比较恶劣的情况下也可以采用AP80M进行覆盖。3.3 网络安全管理措施Aruba无线网的安全管理系统实现如下功能：接入认证控制： 验证用户， 授权他们接入特定的资源， 同时拒绝为XX的用户提供接入。 确保链路的保密与数据的完整： 防止XX的用户读取或更动在网络上传输的数据。 监测和阻断无线攻击： 防止攻击占用某个接入点的所有可用带宽， 导致其他用户的正当接入。检测无线终端的防病毒状态：防止染有病毒的无线终端接入。3.4 用户认证方法Aruba支持用户多种接入方式认证机制，包括：基于网页认证（web）、VPN 认证、802.1X、mac等认证，支持外置的Portal服务器和外置

23、的AAA服务器系统，支持标准的LDAP目录服务器（ldapv3），同时Aruba无线交换机内含一个Inter DB，可以直接使用该数据库创建用户帐户，更加方便用户的使用。根据用户的需求，建议用户的认证方式设计如下：从上网用户类型与应用类型情况分析，用户主要有：（1）办公人员；（2）移动终端。在方案实现上使用两个SSID：一个供办公人员使用，可以不用加密，只做基于WEB或802.1X的接入认证，另一个SSID供接入移动终端使用，该SSID被配置为隐含，不广播出来，采用WPA加密802.1x认证方式，确保此类用户的安全性。3.5 设计方案特点1. 各库房独立成网，通过绵阳总部进行统一配置和管理。2

24、. 统一的认证方式和加密方式，全面支持WPA和WPA2。3. 无线频谱自我管理，AP之间支持负载均衡。4. 设备清单无线局域网部署所需的设备清单（估算情况下）设备名称产品描述数量Aruba 24001Aruba 80013Aruba 20061Aruba AP61支持802.11a or b/g322Aruba AP60支持802.11a or b/g78相关天线78对电源线5V2A4005. Aruba“移动边缘”解决方案的技术特点无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。第一代无线局域网技术采用单纯的AP实现无线接入外，基本上没有其它功能。第二代无线局域网技术，采用AC

25、智能AP构架，AC两者实质均为二层设备，AP实现接入、AC实现汇聚和认证功能，有的厂商的AC实现了二层网络交换，具有基本的网络的控制和用户的管理，如：WEB认证、流量的控制、访问的控制等；支持VLAN、VPN、WPA等基本的安全管理，它们无法实现对无线电磁波层面的调控和优化。由于这一代技术的AP储存了大量的网络和安全的配置，包括加密的钥匙，Radius client的安全密码 (secret) 等，而AP又是分散在建筑物中的各个位置，一旦AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。另外由于AC或无线网络关的硬件多数是基于Pentium架构的，所以当用户接入数量 (IP sessi

26、ons)增多时，无线网络的性能会急剧下降，时常会发生掉线或死机情况。第三代无线局域网技术采用无线交换网络架构（以Cisco、Aruba为代表），实现了基于无线网络交换机，以AP为单元交换的无线网络系统，Aruba是采用独立的无线网络交换机实现的。作为第三代的Aruba无线系统采用了Wireless SwitchAP构架，将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现，同时加入了许多重要新功能，诸如无线网络管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。Aruba无线系统不但具有一、二代无线产品所有的功能，并且在无线网络的规划、管理、安全和对音视频业务的支持方面都

27、有着与一代和二代产品不可比拟的优势。在无线网络融合到有线网络方面，Aruba无线系统所独有的三层路由穿透技术可以不更改原有线网的路由设定，使得无线网络的规划和实施非常方便。在无线网络管理方面，Aruba无线系统实现真正的集中控管，包括独有的RF智能调控，自动恢复、负载均衡功能，使无线网络可以适应无线环境中的电磁波变化，动态自动调节到最佳应用效果；还可以实现远端AP状态监测，方便实现对AP的管理；具有多SSID支持，实现了对无线数据、语音和视频的应用带宽管理。在无线安全性方面，Aruba无线系统具备多种用户认证、基于用户的状态防火墙、VPN加密机制、无线入侵侦测、无线接入病毒防护功能以及集中的安

28、全管理。在无线音视频应用方面，Aruba独有的基于每个用户的带宽控制和QOS保证，可以确保语音和视频业务的实时性，先进的无缝三层移动漫游，使得VoIP以及Wi-Fi Phone可以自由的在任意AP间切换，具有目前业界最低的时延。5.1 先进而成熟的无线局域网交换架构先进的无线局域交换机作为第三代的Aruba系统采用了Wireless Switchthin AP构架，将第二代分散在AP+AC上的网络管理和安全管理功能转移到集中的 WLAN 交换机中实现，同时增加了许多无线局域网全新的功能：诸如：无线安全性、AP管理控制、RF站址监测、无缝移动漫游，特别是对语音、视频业务的支持有专门的Qos保证，使得VoIP的应用，如Wi-Fi技术应用得到了飞速发展。灵活的组网方式第三代的Aruba产品可以根据从小型的无线网络规模（几十个AP），到大型无线网络规模（几百个AP，甚至上千个AP），都可以采用集中或者分布式的组网方式进行灵活的组网。并可以提供冗余热备份机制，保证系统的高可用性。优秀的扩展性 无线网络具有非常容易扩展的特性，因此，今天在组建无线网络时必须要考虑系统的扩展性。在网络系统扩展性方面，Aruba的一台5000/6000型交换机可灵活地对从128个AP扩充到支持512个 AP，因此扩展AP非常