无线局域网设计原则和技术需求.docx

1、无线局域网设计原则和技术需求济南*公司办公楼无线覆盖网络建设方案济南骏萨信息科技有限公司2017年4月一、济南*公司无线局域网建设需求1.1 项目背景和需求此次无线局域网项目是针对*有限公司（以下简称济南*）办公楼区域,进行无线局域网的覆盖，以满足现在和未来可能的数据、语音和视频多方面的网络应用需求。根据目前和济南*管理人员的沟通和对现场场地环境的勘察和综合分析，方案所设计的无线网络将提供高速、稳定、安全的无线信号覆盖接入,未来覆盖区域可在此基础上轻易扩展到整个建筑内的办公区域，走廊区域,以及室外”热点”公共区域等的无线覆盖。此次的方案设计将根据无线网络的高速接入和安全特性,设计针对无线覆盖所

2、涉及的全方面,多层次的和应用相关的技术,来介绍如何实现随时随地的网络资源共享访问，提供安全，可靠的无线访问接入控制和管理。所设计的无线网络平台将是一个多业务,多应用的平台,可以支持数据和语音的同时接入。针对内部办公人员和外来人员采取不同方式认证,安全稳定的接入无线。为加强对网络安全和网络应用的管理，符合公安部规章制度，我们在网络的出口处安装一台防火墙，用以保障整个网络的安全运行，避免病毒或者黑客的恶意攻击。同时为了记录用户上网行为以及防止用户非法接入和非法使用路由器，在网络中安装一台专业级上网行为管理设备，对上网用户进行认证和上网行为进行记录。做到防患于未然。1.2网络规划拓扑示意图办公楼整个

3、网络拓扑如上，运营商光纤依次连接到我们配置的防火墙-上网行为管理-核心交换机-接入交换机-无线AP，无线控制器连接到核心交换机上，之间的线缆建议用户采用六类线连接。接入交换机采用POE供电交换机，以便对AP进行供电。1.3无线AP部署设计针对此次济南*办公楼预建设的无线局域网覆盖区域，我们随相关领导进行了先期的技术谈论,现场勘察,和预规划设计,需要实现无线覆盖的区域为: 一层至四层两条走廊区域以及公共区域等。而且需要考虑移动终端实际同时接入的无线网络用户数量, 所以在方案设计中需要考虑到无线设备的性能和无线网络的造价及可扩展性。根据对建筑楼的建筑材料,建筑结构和周边环境的观测和分析,我们建议在

4、指定位置部署无线接入点AP来提供相关区域的无线覆盖。根据现场情况，我们按照每层布设6个AP进行覆盖。无线AP建议采用NETGEAR WAC740无线AP.NETGEAR Premium 802.11ac 4 x 4 Wave 2 无线接入点,专为要求高密度和卓越性能的企业设计.WAC740 采用多用户 MIMO，可以在 2.4 GHz 频段实现高达 600 Mbps 的速度,在 5 GHz 频段实现高达 1.7 Gbps 的速度. WAC740 支持以太网供电,具有 2 个以太网端口,其中一个多千兆端口可以处理高达 2.5 Gbps 的吞吐量,实现单线连接多千兆交换机，方便接线安装，该设备是目

5、前世界上最具先进性能的一款设备。接入交换机采用具有以太网供电特性的PoE交换机,型号为GS510TP，该交换机可以提供8个POE供电接口，2个光纤上联接口。可以为每层AP提供以太网线供电和网络连接； (AP数量见下表):区域AP型号和数量POE交换机数量一层WAC740 6台1二层WAC740 6台1三层WAC740 6台1四层WAC740 6台1POE交换机GS510TP 4台NETGEAR 智能无线网络主要体现以下几点优势：NETGEAR WAC740接入点提供了WLAN客户所需的多功能性、高性能、安全性和工业级特性。这些IEEE 802.11ac接入点内置阵列天线设计而且专为需通过所连天

6、线提供多种天线功能、高带宽,高稳定性环境而设计的,此款AP可独立工作在FAT（胖）模式，也可以和智能无线控制器配合工作在FIT（瘦）模式，提供了极大的可用性和投资保护性；无线AP通过GS510TP 802.3af千兆以太网交换机网线远程供电,PoE交换机均由千兆六类网线上连至核心三层交换机处.NETGEAR无线控制器为整个无线网络提供了基于中国国家安全 WLAN 加密标准 -WAPI 的支持，它也同样支持基于 WI-FI 组织标准的 802.11 i和 WPA2-E 安全标准. 如果有一些重要的业务需要通过 WLAN 网的话，提供了集中式的无线管理,分布式的AP部署，综合了无线的灵活性，强大高

7、端的安全性能，丰富的管理应用如快速漫游、支持Wi-Fi Voice，来提供整个 WLAN 网络信号加密传输的数字签名和认证。1.4方案设备推荐1. 整个网络如拓扑所示，整个网络方面建议增加一台NETGEAR Prosafe M4300系列核心交换机，作为整个网络的数据汇聚中心，将所有无线POE和有线交换机通过网线汇聚到核心交换机。2. 出口建议放置一台网域下一代防火墙ACF400，作为整个网络的安全出口。下一代防火墙面向应用层设计，具备强大的防护功能，全面代替传统防火墙，同时产品解决了多链路流量分担的问题，能做到应用流量的负载分担，可以为不同行业用户提供精细、全面的保护，使企业网络免受攻击，提

8、升了整个网络的安全性。3. 针对整个无线网络接入安全以及无线网络的审计，我们建议在整个网络中放置一台网域上网行为管理设备。无线安全接入：内部员工接入无线通过各自用户名密码认证上网，外来用户通过微信认证上网。同时上网行为管理包含网页/搜索引擎/论坛和微薄/文件外发/邮件等记录及过滤；用户管理和身份认证；智能协议识别(P2P下载、在线视频等)、流量实时监控、带宽管理、7层应用限额管理；防火墙，黑白名单管理，邮件告警、高可靠性(HA)，VPN以及多链路负载均衡功能,详细的流量和行为分析报表等功能。4. 我们在方案设计中可推荐放置一台NETGEAR WC7600无线控制器产品,对无线网络中所有无线AP

9、进行集中管理控制及配置下发，同时具有无线负载均衡，无线热图等功能，为客户提供理想的、广泛的、安全的、可管理的、全局性的无线局域网部属的安全支持。NETGEAR无线控制器WC7600单台最大支持1500个AP管理,单台控制器最大管理500个AP。WC7600提供了集中式的无线管理,分布式的AP部署，综合了无线的灵活性，强大高端的安全性能，丰富的管理应用如快速漫游、支持Wi-Fi Voice。最后，WC7600提供了企业级的接入和安全的无线局域网连接。5. 建议客户使用NETGAER智能无线管理软件NMS300，WEB界面的网络管理，界面友好、功能丰富、操作简单，使网络管理者能在最短的时间内掌握无

10、线网络的基本配置和管理。另外内置的网管功能,还可以提供众多强大的无线网络管理功能，其中包括AP批量配置、管理和告警等，实现针对无线覆盖空间内的射频扫描、非法接入点监听等安全功能。并对设备提供实时性能数据的查看功能，使用户了解当前网络运行的基本情况和性能状态，从而预防网络事故的发生，预测网络运行状态，有助于用户对网络的管理运营进行合理的规划。1.5用户上网行为功能描述： 产品简介NetSys AC-Q上网行为流量管理系列产品拥有丰富的上网行为管理审计和专业的流控功能。上网行为方面，可以对用户URL、邮件、论坛、搜索引擎、文件上传/下载等进行过滤、管理控制、记录日志等。在流控方面，以DPI（Dee

11、p Packet Inspect，深度包检测）及DFI(动态流状态检测)技术为核心，支持500多种应用协议识别，能够精确到对每个会话的数据包的检测和控制。根据核心的带宽自动分配算法、流量优先级、随机公平队列等，提供了最大带宽限制、保障带宽、预留带宽等一系列强大的带宽管理功能，在此基础上集成了强大的状态检测防火墙功能，保护了网络免受攻击，提升了整个网络的安全性 主要功能介绍：1、上网行为管理功能哪个部门哪个员工能上网。上班时间/休息时间/上午/下午可以上网。不可以访问色情、在线视频、游戏等网页。允许访问如发邮件、上传文件等等。2、流量控制功能通过专业的带宽管理和分配算法，NETSYS可以全面提升

12、流量管理的灵活性、稳定性及安全性，让网络资源更紧密的和业务发展整合，为企业带来最大效益通过DPI/DFI技术，AC-Q能精准识别500多种应用协议，对P2P下载、网络电视等消耗带宽资源严重的协议进行有效的封堵。通过对关键应用（VOIP、OA）、重要用户/用户组的带宽保障，保证了公司正常业务的良好运作。3、完善的审计报表功能记录访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG发表的内容各种搜索记录等所有上网记录均可完整再现。电子邮件审计、Webmail网页邮件内容全面记录，包括正文和附件。即使通讯审计（QQ、MSN、雅虎通、ICQ等，支持大部分聊天工具）（线路流量

13、、应用流量、用户流量、网站访问流量）日报、周报、月报以及自定义报表统计信息。4、链路备份以及负载均衡功能网域科技自主研发的高效负载均衡算法，支持按照源IP轮询、会话轮询、线路负载、最佳路径等多种链路自动均衡算法。选择最佳链路，保证用户访问互联网的速度。提供TCP、UDP、ICMP、HTTP等多种丰富链路侦测机制，还可以根据客户需求自定义侦测机制来配合多出口链路的健康，实现链路故障自动切换。5、即插即用功能开启即插即用功能，不论基电脑IP地址、网关，DNS服务器怎样配置，都能实现客人的电脑插上网线即可正常上网。方便了客人的使用，也降低了酒店的运作成本。NETSYS设备还可以管理、监控、查询、过滤

14、酒店客人的上网行为，规范上网行为，预防网络违法犯罪，保障网络信息安全。通过绑定房间号来绑定账户，通过这一一对应的关系直接定位到人。7、VPN功能VPN 支持：支持 IPSec VPN、PPTP VPN 功能。IPSEC VPN 利用公共网络资源，建立安全可靠、经济便捷、高速传输通道,主要是用于总部和分支、分支和分支等的安全互联。PPTP是一种支持多协议虚拟专用网络的网络技术,它工作在第二层。通过该协议，远程用户能够通过Windows xp 、 Windows 2000 和windows2003操作系统以及其它装有点对点协议的系统安全访问公司网络，并能拨号连入本地 ISP，通过 Internet

15、 安全链接到公司网络。8、多种身份认证方式用户身份认证有两种方式：客户端认证和免客户端认证。上网行为管理设备支持免客户端的WEB认证，即通过浏览器就可以完成全部的认证。上网行为管理设备除了支持本地的用户名/密码的认证外，还可以结合LDAP、AD域、Radius、POP3等外部服务器实现用户的身份认证。上网行为管理设备也支持多种认证方式的混合使用，可为不同的用户配置不同的认证方式，实现用户的差异化管理。比如，微信认证、短信认证、用户名称和密码验证等。二、无线局域网设计原则和技术需求2.1遵循标准无线局域网采用的技术支持应为国际标准或业界标准，不应使用或被某个厂商的专用技术和协议所局限，需要确保网

16、络设备的兼容性和互通性，有利于网络设备的投资保护。2.2技术成熟无线网络要求其和传统有线网络平滑融合，要求有高速,集中管理性,安全性和智能性,使当今的无线网络有了一个质的飞跃，为更多的应用和移动终端通过无线局域网络成为可能.基于分布式数据处理架构的智能无线系统出现了,它代表了第三代无线网络架构的典型特点; 将管理和业务数据处理分离, 通过AC集中控制和管理FAT/FIT AP一体型的AP, 提供用户集中的认证和管理; 网络流量负载均衡,RF信号自动调整和优化等, 而更多的业务数据处理交由前端AP来处理，使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高，使建设运营商级,园区级,大型无

17、线网实施和部署成为可能。2.3安全可靠在网络安全性方面，智能无线局域网系统同样要求有严格的安全控制和策略，可以从下几个方面考虑：（1）接入认证：具有多样化的终端设备认证方式；（2）数据库: 兼容当前多种流行的认证数据库（3）提供集中配置和管理多个安全策略和机制（4）具有基于RF的非法攻击和防御;（5）具有无线电波监控能力，可根据时间计划开启/关闭射频信号; (6) RF的有效监控, 比如AP当前RF状态,信号干扰和健康状态;具有提供智能化的无线RF信号的自动调控和切换能力，以确保单个AP接入点在发生故障时自动切换到邻近AP，不会影响无线的接入服务; 具有支持热备份的无线交换机N+1的冗余备份机

18、制。2.4可扩展可升级通过一个集中的智能无线局域网网管平台实现对所有的AP功能的配置和管理，AP既可以提供无线接入，也可作为无线入侵监控、无线终端管理、无线电波传输分析的功能。同时整个系统可以根据用户的需要进行规模上的扩展，扩展后所有功能和管理的模式保持不便。2.5易管理易维护在网络管理方面，必须具有集中控管、智能调控、自动恢复、负载均衡等实用功能，使所建的无线网络可以适应多种环境的变化，可动态地保证良好的应用效果。同时，还应具有远端AP数据进行采集、远程监控等功能，支持多SSID，可以方便的把语音、视频以及其他类型的数据的应用进行分开管理。2.6技术需求根据无线局域网系统建设要求，无线局域网

19、系统建设原则如下：1、采用最新标准的无线网络交换技术及分布式交换体系结构。2、无线局域网采用用户名密码及微信认证相结合的方式对无线用户准入。3、采用集中控管的组网方式，集中控制管理所有的AP。4、AP的供电可以不单独拉电源线，采用POE供电的方式。5、采用先进的WLAN网管系统管理局域网。6、充分考虑WLAN的安全性，采用先进的WLAN安全技术保障。7、无线局域网系统要支持故障热备冗余能力。8、无线局域网系统要能方便和灵活地调整和扩充。三、NETGEAR智能无线网络的典型常用的功能AP“零”配置的集中式管理通过NETGEAR 智能无线控制器对AP间实现集中管理和自动配置。通过使用该功能，智能无

20、线控制器可以将其所管理AP的配置文件自动下载到AP上。这样，当在网络中增加新的AP、网络管理者只需在无线控制器上进行统一操作即可轻松完成相应工作,对于更换坏的AP,仅需要直接替换,无需在无线控制器上再配置。这将极大的减轻网络维护人员的管理工作量，并向用户提供即插即用的WLAN解决方案。智能的分布式数据本地转发基于业界领先的智能分布式WLAN交换特性，NETGEAR智能无线控制器支持分布式架构下的AP本地数据转发的工作模式;凭借着优异的集中管理和分布式体系架构,可以提供无线网络最好的802.11N处理性能。为了快速处理,本地传输是在AP处自动快速交换,当L3层漫游通信时,是在控制器上使用先进的数

21、据控制处理.适时的应用,象VoWi-Fi需求跨IP子网间/跨越VLAN间的漫游。智能射频管理智能的射频管理功能，面对WLAN稀缺的信道资源，能够实时监测周边使用环境，自动的配置所有无线AP射频参数，调整AP的发射功率水平、信道等，尽可能的规避相同或相近频道的干扰，并且这是个持续的过程，保证了每个AP都能在最佳的无线信道上用最合适的发射功率提供服务。全面的端到端安全具备强大的安全特性，在无线用户接入方面可提供基于MAC、802.1X、Guest 临时帐号等多种接入认证方式及严格的用户准入控制策略；可以提供基于802.11i安全特性。内置的非法AP检测可查觉并抑制网络环境中存在的Rogue AP及

22、潜在威胁,区分非法AP的分类（善意的或恶意的）;安全参数的配置还包括:多SSID、802.1Q VLAN 、V 802.1i、ACLs, RADIUS协议等，支持第三方软件执行验证和计费系统。另外,强大的RF信号预定开/关时间，可以根据时间计划开启/关闭无线AP的信号发射,是无线网络在指定的非营业时间完全无法使用。异常流量检测和告警的功能，日志记录、分析、自动备份等功能,可提供更为完善和安全的WLAN网络应用环境;快速漫游和WIFI语音包括802.11i预认证和快速漫游支持（FRS）的快速机制。快速的无缝的L2/L3漫游完全可以满足视屏、语音以及无线语音通讯等延迟敏感应用需要。WMM and

23、Spectralink SVP QoS 可以支持Wi-Fi语音的优先级别设置, 最小化Wi-Fi语音传输的时延，提高AP的接入终端容量，加速漫游切换时间,尤其语音的漫游,它会比一般的数据移动传输更有保证。网管软件NETGAER智能无线控制器内置图形化的WEB界面的网络管理，界面友好、功能丰富、操作简单，使网络管理者能在最短的时间内掌握无线网络的基本配置和管理。另外内置的网管功能,还可以提供众多强大的无线网络管理功能，其中包括AP批量配置、管理和告警等，实现针对无线覆盖空间内的射频扫描、非法接入点监听等安全功能。并对设备提供实时性能数据的查看功能，使用户了解当前网络运行的基本情况和性能状态，从而

24、预防网络事故的发生，预测网络运行状态，有助于用户对网络的管理运营进行合理的规划。四、以太网PoE供电交换机PoE (Power Over Ethernet) 以太网供电这项创新的技术，指的是现有的以太网CAT-5布线基础架构在不用作任何改动的情况下就能保证在为如IP电话机、无线局域网接入点AP、安全网络摄像机以及其他一些基于IP的终端传输数据信号的同时，还能为此类设备提供直流供电的能力。PoE技术用一条通用以太网电缆同时传输以太网信号和直流电源，将电源和数据集成在同一有线系统当中，在确保现有结构化布线安全的同时保证了现有网络的正常运作。大部分情况下，802.3af PoE的供电端输出端口在非屏

25、蔽的双绞线上输出4457V的直流电压、350400mA的直流电流，为一般功耗在15.4W以下的设备提供以太网供电。而802.3at PoE供电输出端口,每端口可支持30W,未来可支持60W-100w电力; 典型情况下，一个IP电话机的功耗约为35W，一个无线局域网访问接入点AP的功耗约为612W，一个网络安全摄像机设备的功耗约为1012W。一个典型的PoE以太网供电的连接示意图如下图一所示：PoE以太网供电为用户带来的好处是显而易见的，将在未来几年内受到用户的大力欢迎。节约成本。因为它只需要安装和支持一条而不是两条电缆。一个AC电源接口的价格大约为100300美元，许多带电设备，例如视频监视摄

26、像机等，都需要安装在难以部署AC电源的地方。随着和以太网相连的设备的增加，如果无需为数百或数千台设备提供本地电源，将大大降低部署成本，并简化其可管理性。它易于安装和管理。客户能够自动、安全地在网络上混用原有设备和PoE设备，能够和现有以太网电缆共存。它安全。因为PoE供电端设备只会为需要供电的设备供电。只有连接了需要供电的设备，以太网电缆才会有电压存在，因而消除了线路上漏电的风险。它得于网络设备的管理。因为当远端设备和网络相连后，将能够远程控制、重配或重设。更多增强的应用。随着IEEE 802.3af标准的确立，其他大量的应用也将快速涌现出来，包括蓝牙接入点、灯光工作、网络打印机、IP电话机、

27、Web摄像机、无线网桥、门禁读卡机和监测系统等。用户在当前的以太网设备上融合新的供电装置，就可以在现有的网线上提供48v直流电源，降低了网络建设的总成本，并且保护了投资。五、关于我们骏萨信息JunSaSoft是一家专注于无线网络应用和推广的技术服务型公司，致力于把世界一流的网络产品和解决方案带给每一位客户。公司长期和网件NETGEAR、HP、浪潮、网域、飞塔等国内外知名品牌进行合作，为客户提供具有先进技术的优质产品以及完整的解决方案和优质的售后服务。公司 “以优质服务为导向，以客户满意为目的”的经营方针，赢得了广大客户的信赖和认可，如今骏萨信息已经取得了骄人的业绩，在山东拥有上千家应用案例，服务于政府、企业、教育、医疗、酒店、旅游景点、仓储、商超等行业。济南骏萨信息科技有限公司拥有一支勇于拼搏，敢于创新的技术服务团队，公司员工接受过世界知名企业的培训，具备丰富的理论和实践经验，站在客户的立场给客户提供详细的售前技术咨询和售后服务。客户的信任和支持使得我们更加自信，我们始终坚持“合作共赢、共同发展”的理念，长期为客户带来高品质的产品和优质的服务。和客户同进步、共发展！