WIFI网络建设项目设计方案.docx

1、WIFI网络建设项目设计方案WIFI 网络建设项目设计方案XXXX公司 2020 年 2 月1.项目背景 32.项目需求 32.1.无线网络需求 32.1.1.覆盖范围需求说明 32.1.2.功能应用需求说明 32.1.3.网络安全性 42.1.4.网络性能要求说明 43.项目整体方案设计 63.1.WIFI 网络系统整体结构介绍 63.1.1.系统拓扑图 63.1.2.WIFI 网络传输系统架构设计 73.1.3.系统性能说明 83.2.网络覆盖范围 123.2.1.设备点位表 123.2.2.网络点位设计图 133.3.设备安装布放注意事项 134.售后服务和技术支持 164.1.售后服务

2、范围 164.2.服务内容 164.3.服务承诺 164.4.服务时间 174.5.恢复时间及标准 174.6.其他 175.部分网络设备清单与参数（样本，仅供参考，具体清单需看具体场地需求） 175.1.网络设备清单 175.2.部分主要设备关键技术参数 18（1 ） 网关 18（2 ） AC 控制器 AC300 18（3 ） 无线 AP 18一、 产品描述 18二、 产品规格 181.项目背景随着互联网、智能手机等技术的快速发展和人们生活水平的提高，上网需求 成为人们生活中越来越重要的一部分。 尤其是对于在工厂打工的蓝领阶层， 上网 玩游戏、 看视频聊天等已成为他们每日必不可少的娱乐。 因

3、此， 越来越多工厂和 公司为了留住员工，提高工厂与员工的粘度，在厂区宿舍布设有线 / 无线网络， 给员工以良好的生产生活体验。我司针对不同单位及企业无线 WLAN接入网络建设根据客户的项目需求设计了多种网络架构解决方案和 WLAN优化方案，得到用 户的一致好评。2.项目需求2.1.无线网络需求本次园区宿舍网络设计和建设， 主要目标是在员工宿舍覆盖无线网络， 通过 集中引入电信带宽，集中 AC管理无线接入点（ AP），规划良好的无线环境（包 括无线部署、无线信道规划、流控、安全审计等），使得园区员工均能通过操作 简单的 web认证流程实现无线上网。2.1.1.覆盖范围需求说明根据客户需求 覆盖范

4、围包括 ：员工宿舍 2/3 栋。2.1.2.功能应用需求说明1）无线 WIFI 网络 SSID:建设无线 WiFi 网络，按照楼层广播若干个 SSID（具体 SSID 名称由客户拟 定），即每层楼一个 SSID，在哪一层就连接哪一层的 wifi 信号。（2）统一控制管理：可统一管理控制各无线接入点， 完成开通、 管理所有 AP设备以及移动终端， 包括无线电波频谱、 无线安全、 移动漫游以及接入用户限速限流等功能， 并按客 户要求统一无线接入服务集标识（ SSID）与认证秘钥。2.1.3.网络安全性承建方应保证本项目的服务要符合 计算机信息网络国际联网安全保护管理 办法等国家规定，从网络安全、应

5、用安全和信息安全方面保证 WLAN网络的安全性。保证本项目的服务、网络、信息等方面的安全性，严格落实接入认证、用户 信息登记备案和依规定报送安全主管部门等工作机制， 构建良好的网络信息安全 体系，提高网络信息可溯源性，实现项目管理方对网络和平台“可用、可管、可 控”。2.1.4.网络性能要求说明（1）支持无线网络标准协议： IEEE802.11 a/b/g/n/ac ，支持 5GHz 单频450Mbps和 2.4GHz单频 300Mbps接入性能，支持多台终端能够同时通信。（2）无线频谱管控，无线认证支持 64/128 位 WEP、动态 WEP、TKIP、CCMP（11n 推荐） 加密。（3）

6、宿舍 AP设备需能长期稳定运行， 减少因外界因素引起的设备故障现象，AP设备需支持 IP41 防保等级，工作温度： -10 C45C。（4）平均每三个宿舍布置一个双频无线接入点（ AP），能同时接入至少 30 人。单间宿舍保证信号覆盖无盲点，即需无线网络覆盖区域，信号强度要达到 - 75db以内。（5）单台终端（包括 PC、移动终端等） 传输速率满足 6-15Mbps左右，且用 户体验（如娱乐游戏、高清视频等）流畅稳定，整个宿舍范围内无缝链接，无需 多次认证。（ 6）园区宿舍进行统一的网关管理， 网关性能需能带至少 1500 终端同时在 线，需支持 web 认证、流控、审计等功能。（7）为保证

7、宿舍 AP 设备供电稳定，减少用电安全隐患， AP 设备需统一使 用 24/48 口 PoE 交换机供电及数据传输。（10）为满足宿舍区大规模用户接入网络需求， 核心交换机的交换容量和包 转发率需能达到需求，且支持后期大规模灵活扩展。（11）开启无线网络认证功能：支持微信认证、账号密码认证（账号采用员 工工号等）等多元认证方式，认证账号默认绑定一台终端（多台终端需申请）， 且能做到和认证账号一一对应关系，从而做到终端使用信息溯源。（12）支持日志、事件统一收集，流量实时监控，快速定位非法用户，实现 实名用户流量 / 行为审计。（13）可检测出内网用户私接无线路由器、 360WiFi 等设备的共

8、享上网行为， 进行告警及阻断。（14）支持策略定制管控， 如限制特定访问资源、 可根据日期定制账号上网 时长等。（15）为了防止通过更改 MAC地址仿冒其他用户上网， 支持直接获取用户网 卡的物理 MAC地址，防止篡改 MAC地址。（16）网络出口设备支持互联网出口最大带宽的总和。（17）设备必须支持多链路负载均衡， 负载均衡可基于带宽、 负载等多种方 式，为防止外网线路拥塞，支持线路过载保护功能，当某条外网线路拥塞时，自 动将其流量切换到其他链路。（18）支持与认证系统联动，实现特定用户带宽限速、流量控制器功能。（19）支持防异常 TCP Flag 攻击、防 Ping of Death 攻击

9、、防 SYN Flood 攻击、防 UDPF lood 攻击、防 ICMP Flood 攻击、防超长 ICMP报文攻击、防 ARP Flood 报文攻击等。支持报文过滤、 MAC地址过滤、广播风暴抑制。（20）支持流量识别保障功能： 能够精确识别网络应用， 保障关键业务的系 统带宽，具备完善的应用协议库，协议识别数量 2500 种。定期更新协议库。3.项目整体方案设计3.1.WIFI 网络系统整体结构介绍3.1.1.系统拓扑图1）如上图，基本的组网架构就是：网关 -AC-POE交换机 -无线 AP的形式。因为厂区宿舍员工使用网络， 无非就是想要上网快捷方便， 网速稳定。 所以在此 基础下，拓扑

10、越简单越好。（2）其中 web认证是在云服务器中完成的， 具体过程如下： 当用户使用手机 或者其他终端连接到无线 AP设备发射出的 SSID 信号时，将会弹出一个认证界面 窗口，其中提示用户输入账号密码， 一旦用户输入园区统一下发的账号密码， 信 息经由认证网关到我们远方的认证服务器中请求上网认证， 认证成功，则用户可 以上网，在宿舍范围内漫游无缝链接。（3）使用此种拓扑好处在于： 简洁、 省电、实用和稳定。 由于园区无线干扰 太多，所以必须使用双频 AP，AP布入室内， 并统一规划信道， 以保证网络稳定。 使用 POE交换机给 AP供电，既能省电，也不需要在房间内另拉电线， 安全可靠。（4）

11、该拓扑中，网关除了具有强大的信息处理和转发功能外， 还具有审计系6 / 19统和各项网络优化和流量控制的功能该组架构符合客户的需求又满足了网络的高效性、安全性、稳定性、可统一 管理性。3.1.2.WIFI 网络传输系统架构设计目前可以采用的无线网络架构有自治式组网架构和智能分布式无线组网架 构。自治式组网架构由胖 AP构成，网络结构简单。在 AP少、用户量少、网络结 构简单的情况下， 宜采用自治式组网方式。 智能分布式无线组网架构由 AC+瘦 AP 构成，是目前主流的架构方向。组网层次清晰，瘦 AP 通过 AC进行统一配置和 管理，在接入点多， 用户量大，用户分布较广并需实现跨网统一认证的组网

12、情况 下，宜采用集中式组网方式。胖 AP 架构AC+瘦 AP架构组网架构自治式组网架构智能分布式无线组网架构技术路线传统的组网方式，适合小规模组网目前主流的组网方式，增强管 理，适合大规模网络安全性传统加密、认证方式，普通安全性增加射频环境监控，基于用户 位置安全策略，高安全性网络管理每个 AP上保存配置文件AC上配置好文件， AP本身零配 置，维护简单用户管理根据 AP接入的有线端口区分权限根据用户名区分权限，使用灵活漫游L2 漫游L2、L3 漫游增值业务能 力实现简单数据接入可扩展语音等丰富业务组网可靠性无法实现 AP的负载均衡可以实现跨 AC、AP的负载均衡 胖瘦 AP切换因此根据无线城

13、域网建设项目建设需求， 采用无线控制器 (AC)+瘦 AP(FIT AP) 的组网方式，瘦 AP实现无线信号的处理，而用户管理、加密、漫游、 AP管理等 功能全部集中到 AC进行，这样可以简化整个网络的管理， 提高设备的工作效率， 同时可以满足无线网络漫游应用的需求。 AP的供电采用以太网供电 (Power Over Ethernet ，PoE)和本地供电相结合的方式来供电，结合实际的网络状况，选择 合适的供电模式。POE供电通过以太网线来汇聚 AP的流量，同时为 AP提供电源， 这样可以简化布线，同时减少故障点，提高网络的可靠性。3.1.3.系统性能说明3.1.3.1. 智能带宽保障无线 A

14、P可以支持多个 SSID，不同的使用人员接入不同的 SSID，可以开启智 能带宽保障功能，即在流量未拥塞时，确保所有 SSID 的报文都可以自由通过； 在流量拥塞时，确保关键的 SSID可以保证各自配置的保障带宽。 通过这种方式， 既确保了网络带宽的充分利用，又保证了关键业务的上网宽带。3.1.3.2. 快速的漫游特性控制器采用 Key caching 技术完成漫游时用户的快速切换， Key caching 技 术在用户的安全接入和快速漫游间做了一个很好的平衡， 可以使无线用户终端在 两个 AP间进行漫游时不必重新进行完整的 802.1x 认证交互过程， 同时又能保证 用户身份的识别和密钥使用

15、的连续性； 无线用户采用快速漫游方式， 漫游时间不 超过 50ms，满足了客户上网不中断的需求。3.1.3.3.智能射频管理每个 AP上电时，无线控制器会根据 AP的邻居关系动态调整 AP工作的信道 和发射功率，在保证覆盖的前提下保证 AP间的干扰最小。当 AP覆盖区域受到外界强信号干扰时， 无线控制器会控制 AP 自动切换到合 适的工作信道以规避干扰信号。当覆盖区域内的某个 AP发生故障而造成覆盖黑洞时，无线控制器会自动调 整相邻的 AP的发射功率以消除黑洞区域， 当故障 AP恢复工作后无线控制器可以 自动调整邻居 AP的发射功率恢复原始工作状态。3.1.3.4.无线 AP功率自动调整传统的

16、射频功率控制方法只是静态地将发射功率设置为最大值， 单纯地追求信号覆盖范围，但是功率过大可能导致对其他无线设备造成不必要的干扰。 因此， 需要选择一个能平衡覆盖范围和系统容量的最佳功率。功率调整就是在整个无线网络的运行过程根据实时的无线环境情况， 动态地 分配合理的功率。 当第一次开始运行的时候， 它使用最大传输功率。 当从其他邻 居（邻居指的是 AP能探测到的且必须是由同一 AC管理） 处得到报告时， 功率是 否增加或减少取决于探测的结论：1、在增加邻居时，功率会减小。如下图所示，覆盖同一面积区域，当增加AP 4 后，达到缺省的最大邻居数 3（此参数可配置），运行功率调整功能，可以 看到调整

17、后功率小于使用三个 AP时需要的功率。功率减小示意图2、在修复邻居 AP离线造成的信号覆盖黑洞时，功率会增加。如图所示功率增大示意图在本方案设计中采用无线功率自动调整方法来实现覆盖区域优良的无线覆 盖。配置功率自动调整后 AP会从其他邻居 （邻居指的是 AP能探测到的、 并且必 须是由同一 AC管理的其他 AP）处得到通道测量报告时，功率是否增加或减少取 决于探测的结论。 在设备第一次选择功率时都会选择最大功率， 然后根据实际情 况进行功率调整配置自动功率调整后。当冲突严重时， AC 会在每一次优化间隔 后（间隔由命令 calibration-interval 指定），把调整结果应用到 AP上

18、。以后 每隔一段时间 AC会自动根据冲突情况进行功率调整。3.1.3.5.智能负载均衡无线控制器可以设定 AP间对接入用户进行负载分担，负载分担的策略可以 是基于 AP接入的用户数量， AP流量负载情况当无线控制器发现 AP 的负载超过设定的门限值以后，对于新接入的用户无 线控制器会自动计算此用户周围是否还有负载较轻的 AP可供用户接入，如果有 则 AP 会拒绝用户的关联请求，用户会转而接入其他负载较轻的 AP。系统支持智能负载均衡技术，保证只对处于 AP覆盖重叠区的无线用户才启动 AP 负载均衡功能，有效的避免误均衡的出现图 1 智能负载示意图3.1.3.6.多业务的安全性FIT AP 解决

19、方案提供多种业务不同网络层面的安全保障，体现在：层次体系主要技术解决的问题物理接入WEP64/128、TKIP、CCMP加密可升级支持 WAPI加密防止无线报文被监听和篡改SSID 隐藏解决不明用户访问网络逻辑链路802.1x/PSK/MAC/Portal 多种认证方式 的混合接入802.1x 支持 PEAP/TLS/TTLS/SIM 多种模 式可升级支持 WAPI认证用户身份鉴别和安全准入动态下发用户的权限业务隔离Hotspot 用户隔离限制用户互访黑名单限制恶意用户网络无线入侵检测系统非法设备的检测、无线攻击的告警和规避安全策略在无线控制器统一部署避免在大量的无线接入点部署策略AC和 AP

20、间的 CAPWA隧P 道下行流量限速防 范外界对 AP的数据流量攻击IPSEC VPN端到端的安全加密资源绑写（ MAC、 ESS、 VLAN、Port ）尽可能防止假冒设备AP本地不再保存配置信息避免设备丢失造成配置泄漏AP身份认证只有合法的 AP才能和无线控制器 建立关联AP支持多无线控制器的冗余备份无线控制器 down 机不会造成无线 网络的瘫痪网管无线安全策略配置无线安全策略的统一部署非法设备监控和告警非法设备的检测、无线攻击的告警和规避设备信道调整告警了解设备遭受干扰后的信道调整情况3.1.3.7.集中管理控制 AP功能Fit （瘦） AP 和无线控制器系统有非常强大的集中管理功能，

21、所有的关于 无线网络的配置都可以通过配置无线控制器器统一完成。例如开通、管理、维 护所有 AP设备以及修改移动终端信息，包括无线电波频谱、无线安全、接入认 证、移动漫游以及接入用户等所有功能。另外无线控制器还可以通过堆叠技术 不断进行升级，增加可以管理的 Fit （瘦） AP 的数量3.1.3.8.智能化易管理3.2.网络覆盖范围根据客户需求覆盖范围包括：员工宿舍 2/3 栋3.2.1. 设备点位表位置企业级双频吸 顶 AP无线控制器出口网关16 口 POE交换机24 口 POE交换机员工一层00000员工二层80000员工三层91120员工四层90000员工五层90020员工六层90000管

22、理一层120000管理二层120000管理三层120003管理四层120000管理五层120000管理六层120000合计11611433.2.2.网络点位设计图3.3. 设备安装布放注意事项室内 AP覆盖需考虑及遵循以下几个问题和原则：（1）需要有线缆资源（五、六类线等）。（2）保持信号穿过墙壁和天花板的数量最小。 2.4G 信号能够穿透墙壁和天 花板，然而，每一面墙壁和天花板都将使 AP信号的覆盖范围减少 1 到 30 米。应 放置 AP于合适的位置，使墙壁和天花板阻碍信号的路径最短，损耗最小。13 / 19（3）考虑 AP和覆盖区域之间直线连接。注意 AP 的放置位置，要放置在布 点宿舍

23、的天花板正中央，尽量使信号能够垂直的穿过（ 90 度角）墙壁。（4）不同的建筑材料产生不同的传输效果。由金属的框架或门构成的建筑 物会使 WLAN无线信号的传输距离变小。 放置 AP的位置应使信号通过干燥的墙壁 或敞开的门，避免放置在使信号必须通过金属材料的位置。（5）AP安装位置需远离电子设备（起码 12 米），例如微波炉、监视器、 电机等。6）相邻 AP之间信道需要在不同频段障碍物对 2.4GHz 衰减量 （dB）对 5GHz衰减量（ dB）4.5cm 厚金属门13254.5cm 实木门6104.5cm 中空门474.5cm 内部隔断墙469cm砖块61045cm混凝土墙183070cm混

24、凝土外墙45531.5cm 玻璃隔断812表 1 2.4G/5GHz 电磁波对于各种介质对无线信号衰减的经验值建筑物的混凝土墙壁对信号的损耗非常大。从实际经验来看， WLAN的信号 很难穿过两堵墙后还能保证覆盖效果。故而本项目采用每 3 个房间共用一个 AP 的布设模式。（7）每个不同格局的施工环境， 施工首日就要认真熟悉环境， 把设计图中需 要注意的部分整理出来。（8）走廊内如有走线要铺设 pvc 线槽。根据对现场原有桥架的观察，走线 管时需以扎带（或铁丝）与码子两种方式固定线管。9）网线如通过袭洞进入房间， 洞周围痕迹要处理好， 布线全程套管沿着墙壁上方走，线头无裸露（10）上下楼层之间如

25、有袭洞的话一定要处理好洞口的封堵， 不能有渗水的 隐患。（11）所有网线进入机柜前必须理好、网线两端均需标好专业标签。且网线 均需由下往上进入机柜，机箱内必须布有散热设备（小风扇等）。（12）机柜布设要考虑通风，不能太低，但是也不能置顶，离天花板至少要有 30cm。且机柜两边不能有墙挡住（以防散热不好）。（13）布线时所有网线需预留有足够的长度，不能用转接头。（以防由于长 期扭曲使得水晶头或者网线损坏）（14）原则上遵循一层楼的 AP集中接某一个 POE交换机，多出的再接下一 个交换机，不能多层 AP无顺序混接。（15）如施工有难度，一定要及时联系相关负责人，施工期间，可以袭洞的 时间和需袭洞

26、的地方，与相关人员确认。（16）电线需由零线、火线、地线组成，接入电表或者电闸时， 需电工协助。（17）施工当日，施工负责人必须对照设计图，跟项目相关人员确认后，方 可开始施工。4.售后服务和技术支持我公司本着用户至上的原则，凭借雄厚的技术实力、快速反应及就近服务 的售后服务网络，竭诚为甲方提供高性价比、稳定的系统和贴近客户需求的解 决方案，提供专业、及时、高效、全面的售后维护和技术支持服务。4.1.售后服务范围（1）包括我方为甲方指定园区宿舍所布设的整个无线网络环境内的无线设 备、交换机、路由器等的定期巡检和维护、系统升级等。（2）园区内无线网络体验的整体优化和定期巡检。（3）对于甲方在服务

27、期内临时增加的其他有关服务。4.2.服务内容针对服务期限内无线网络设备使用中发生的各种软硬件故障，我司负责提 供技术支持和现场服务，直至排除故障；对于园区员工恶意损坏带来的设备损 失和甲方新增的各项服务，我方将以报告形式将费用和维修方案上交甲方，于 甲方确认并付款后解决。如甲方人员要求了解和学习无线管理平台的操作，我 方提供技术培训等。4.3.服务承诺我司承诺为甲方单位提供快速、高效的现场维修服务，具体内容包括：（1）按时上门，在客户报障 24 小时内上门了解情况和提供服务。（2）现场维修，针对园区内出现的设备或网络故障，携带相应的配件和设 备提供维修服务。（3）针对无线网络优化的问题，我司将

28、采用上门现场或网络远程调试方式 服务。我司承诺每月向甲方提供一份无线网络定期维护报告。4.4.服务时间我司办公服务时间：7 天*24 小时 *365 天。届时将有项目专员专门负责。4.5.恢复时间及标准（1）我司承诺软件问题 12 小时内解决问题；（2）硬件问题的解决时间依硬件提供商的标准承诺修复时间，最迟不超过 48 小时；（3）恢复标准为软硬件故障排除后，无线网络恢复，甲方各终端设备在具 有网络连接功能的条件下能够正常联网使用。4.6.其他服务期内，甲方如有特殊服务需求时，双方将对服务内容、费用额度、费用计算方式和结算方式进行协商解决，协商结果将以本方案附件形式出现。5.部分网络设备清单与

29、参数 （样本，仅供参考，具体 清单需看具体场地需求）5.1.网络设备清单5.2.部分主要设备关键技术参数1） 网关2） AC控制器 AC300（ 3） 无线 AP室内双频 AP750M一、产品描述双频吸顶 AP可同时工作在 2.4GHz/5GHz两个频段，最高无线速率可达 750Mbps，可接入更多无线客户端，解决酒楼、会议厅、 KTV等人流密集型环境 的无线接入问题。750Mbps高速率采用 802.11ac 技术，提供高达 750Mbps 的无线接入速度，是相同环境下802.11/b/g/n 产品的 2 倍左右线性功率手动调整可根据实际环境合理调整发射功率在酒吧 /KTV 休闲中心大厅等人 流量大、 AP密度大的环境，可降低发射功率，以减少 AP间相互干扰， 提高无线质量；在工业园区等 AP密度小且建筑布局比较复杂的环境， 可提高发射功率，提升覆盖效果二、产品规格型号双频 AP750M内存（闪存）128M（16M闪存）接口一个 DC电源接口 ,1 个 WAN口， 1 个 LAN口，1个复位按 钮，长按恢复默认配置天线全向高增益 6 dBi 内置天线尺寸198mm x198mm x 28mm净重472 g待机量2.4G频段支持 30台， 5.8G 频段支持 30 台工作频段支持 2.4GHz、5.8GHz 两个频段无线协议标准I