1 項目設計概述
1.1 行業背景
隨著智能終端的快速普及以及移動互聯網業務的快速發展, WLAN不斷向前推進,如今,WLAN在企業和家庭中無處不在,已成為用戶訪問互聯網的主流接入方式。在企業無線業務的不斷多樣化的背景下,企業WLAN也井噴式的發展,為提高企業辦公效率助一臂之力。
1.1 建設目標
以因特網接入為總體目標,將公司辦公樓各樓層實現WIFI全覆蓋。保證員工可以在辦公區域內自由移動辦公,提升工作效率。
1.2 設計原則
設計主要要考慮到先進性、可靠性、開放性、經濟性、安全性和可管理性。設計要立足先進技術,採用最新科技的電網通技術,以改變佈線難的問題。使整個網絡在國內保持領先的水平,並具有長足的發展能力,以適應未來網絡技術的發展。
在網絡設計中遵循以下技術原則:
Ø 標準化
系統採用的信息分類編碼、網絡通信協議和數據接口等技術標準,將嚴格按照國家有關標準或行業標準規範。
Ø 實用性
滿足公司業務為需要,充分利用現有資源,避免不計成本盲目追求最新技術。利用最適合公司使用的電網通設備,採用必要的、先進的網絡安全手段與管理技術,以節省投資。
Ø 安全性和保密性
系統網絡充分考慮網絡的故障容錯糾錯功能,建立安全保障體系,採用先進的軟硬件等技術手段,實現網絡的傳輸安全、數據安全接口,確保網絡的安全性、保密性。
Ø 開放性和可擴展性
技術上要立足長遠發展,堅持選用開放性系統,在產品選型方面充分考慮可擴展性,以適應未來網絡發展。
Ø 可維護性
網絡接入部分具有較高的模塊化程度,可滿足不同業務流程的需要,易於維護和升級。
2 方案規劃與設計
2.1 網絡拓撲設計
下面將胖AP及瘦AP架構作對比分析,用戶可根據實際情況選擇合適的方案:
方案建議採用瘦AP架構設計,共分為三部分:
無線AP、POE交換機、無線控制器
為了滿足用戶構建一個高速、穩定、安全、可靠、易於管理的無線接入網絡的需求,本設計方案按照敦崇科技的FIT_AP+WAC的結構化無線網絡解決方案進行設計。整體框架基於瘦AP方式部署,採用WAC(無線控制器)對AP進行集中管理、控制、配置下發,以及對接入終端的認證、數據分佈式/集中式轉發、漫遊等功能。操作和維護工作現在只需要在WAC上進行就可以了。在這個架構裡,AP只負責無線信號的收發,不作MAC層及其以上的協議層處理,所有的智能工作都由WAC完成。
敦崇科技基於瘦AP+WAC架構方案的優勢在於:
n 配置簡單:AP零配置、所有的配置集中在無線控制器上完成,簡單便捷;
n 維護方便:管理、維護針對無線控制器來實現,不需要對每一臺AP進行操作;
n 易於升級:針對特性增加帶來的軟件版本升級需求,只需要對無線控制器進行操作即可,不需要對每一臺無線AP單獨升級,軟件的升級由AP自動完成。安全可控:可以集中進行射頻及功率、信道調整,黑白名單、無線入侵檢測、安全訪問控制等功能;
n 擴展性強:根據需要,可以靈活增加補點AP,需要擴容的話,只需要將AP接入網絡即可。支持三層漫遊,方便擴展支持無線監控、話音應用等業務。
n 網絡性能好:高速的數據轉發,支持快速切換,數據私密性好,天然MAC層加密隧道;
n 抗干擾性強:可動態分配信道,並在受干擾時切換到最優信道
2.2 網絡設備選型
根據對本公司的需求理解與實際情況調查,我們進行科學的設備選型如下:
2.3 VLAN規劃
因此在本次網絡改造要遵循業務VLAN和管理VLAN分離原則。具體VLAN劃分可參考如下:
2.4 IP地址規劃
如上"VLAN規劃"如述,將規劃對應的IP地址,另外還要考慮WAC的管理IP、以及核心交換機與出口路由器互連IP。
2.5 路由規劃
建議全網採用靜態路由的方式實現互通。詳情如下:
2.6 網絡安全設計
認證方式建議
無線網絡通信系統不僅僅需要服務於需要進行數據傳輸的移動終端設備,對於可以藉助網絡進行其它業務操作的數據用戶,也應該同樣提供數據傳輸的能力,並且保證兩者互不干擾。敦崇科技所架設的無線網絡系統支持多SSID,能夠利用一套物理網絡設備建立起幾套虛擬的無線網絡環境,並且每一套無線網絡環境都具有其專門的認證方法。在一般數據用戶進行網絡訪問的時候,敦崇科技可以提供包括開放系統在內的常見認證方案,包括:WEB頁面認證,802.1X認證,基於SSID的認證等。用戶在接入網絡之前,透過無線網絡子系統把相關身份信息發送到後臺的認證數據庫當中,只有通過身份驗證的用戶才能夠得到進入網絡進行訪問的許可授權。
加密方式建議
敦崇科技架構中的集中式加密解密模式尤其適用於對於數據傳輸具有嚴格私密性要求的場所。在本方案的通信系統,正是這樣的一個典型例子。控制中心和終端之間的來往控制信息以及數據都不希望受到非授權用戶的任意監聽進而竊取其中的敏感信息,端到端的通信受到先進加密算法的保護。敦崇科技架構中可以直接對二層的無線網絡數據採用AES算法進行加密。
針對本公司不同用戶類別及WIFI覆蓋區域特點,建議認證方式如下:
2.7 Web認證設計
無線控制器內置本地用戶數據庫,可結合內置Portal服務器,通過WEB認證的方式,輕鬆實現無線用戶的本地認證。本地認證從用戶的實際需求出發,省去了外置Protal服務器和Radius服務器等設備,不僅簡化了整個網絡的架構,而且還大幅降低了網絡建設成本,滿足了中小型無線網絡建設中用戶安全接入的需求。
2.8 AP點位設計
各樓層AP數量型號統計如下表:
2.9 信道規劃
AP的信道根據蜂窩結構的原則,採用不同信道避免同頻干擾,根據現場實際環境劃分;WLAN 802.11b/g/n工作在2.4GHz頻段,頻率範圍為2.400~2.4835GHz,共83.5M帶寬,劃分為13個子信道,每個子信道帶寬為22MHz。子信道分配如下圖所示。
WLAN 802.11b/g工作頻段子信道分配
在使用2.4GHz頻點時,為保證信道之間不相互干擾,要求兩個信道之間間隔不低於25MHz。在一個覆蓋區內,最多可以提供3個不重疊的頻點同時工作,通常採用1、6、11三個頻點。WLAN頻率規劃需綜合考慮建築結構、穿透損耗以及佈線系統等具體情況進行。
同一樓層覆蓋區域內使用3個AP示意圖
三個樓層AP頻率規劃示意圖
2.10 漫遊設計
在wifi網絡中,用戶終端通過關聯AP廣播的SSID進行wifi接入。移動漫遊過程中,用戶終端會對關聯的AP進行切換,在切換過程總,不可避免的將發生"切斷上一個連接、關聯下一個連接"的過程,導致用戶上網體驗中斷和業務丟包現象。由於無線局域網採用類似於移動通信網中的"蜂窩"覆蓋方式,來實現大面積覆蓋,當終端在移動一點到另外一點的移動過程中,不可避免的需要從一個AP切換到另外一個AP,在切換過程中,移動終端需要進行"取消關聯"及"重關聯"的操作,此外,在有後臺認證系統存在的情況下,用戶還需要進行重認證、session key重分發及重新分配IP地址的過程,這種方式無法滿足一些對時延非常敏感的業務的支持,因為傳統無線網絡的漫遊只停留在IEEE802.11協議層上,並沒有對用戶會話進行完整性保持。
本方案以無線控制器為核心,對所有AP上接入的用戶採用統一會話管理,所有已認證終端均在中心無線控制器中保存相應會話,AP僅僅只負載傳輸用戶數據,因此無論終端移動到哪個AP下,用戶信息和授權都在無線控制器所管轄的移動域內快速的交互,可以有效保持會話完整性及可靠移動性的前提下實現無縫漫遊。最終使得終端漫遊切換時間控制在30ms-50ms之內,漫遊切換丟包率控制在0.5%以下。
當用戶在AP1的範圍內,通過AP1與網絡進行連接;
當用戶處於AP1與AP2交叉範圍內時,用戶在與AP1連接的同時,與AP2做好連接的準備;
當用戶到達AP2的範圍時,通過AP2與網絡進行連接,用戶感覺不到AP的切換造成的網絡中斷現象。
快速漫遊切換技術特點如下:
n 無線漫遊過程對無線終端而言透明化
n 無線終端漫遊過程中,IP地址和TCP連接保持不變,不影響用戶的上層業餘
n 漫遊切換過程小於30ms
n 漫遊過程中,無線終端不改變ip地址,無需重新認證
2.11 本地轉發設計
傳統的無線數據轉發流程是:所有用戶數據由無線接入設備發送到無線控制器,再由無線控制器進行集中轉發。當無線網絡AP及用戶數量比較大時,無線控制器處理能力可能就形成瓶頸。敦崇科技全系列AP可將數據報文在無線接入設備上直接轉化為有線格式的報文,使得數據報文不經過無線控制器,而是在本地進行轉發,大大節約了有線帶寬。
2.12 Web認證設計
無線控制器內置本地用戶數據庫,可結合內置Portal服務器,通過WEB認證的方式,輕鬆實現無線用戶的本地認證。本地認證從用戶的實際需求出發,省去了外置Protal服務器和Radius服務器等設備,不僅簡化了整個網絡的架構,而且還大幅降低了網絡建設成本,滿足了中小型無線網絡建設中用戶安全接入的需求。
2.13 SSID設計
敦崇科技全系列無線AP支持使用中文SSID,可指定最長包含32個漢字的SSID,也可以使用中英文混合的SSID,為國內用戶提供了更大的使用便利。不僅如此,無線AP還支持多SSID,同一AP可以發出多個SSID,構建針對不同用戶類別的WLAN網絡。如本次項目中,可以為公司內部人員和來賓各提供1個SSID,且確保2個WLAN的無線用戶不能互訪,到達用戶隔離的效果。
2.14 portal 廣告推送
敦崇科技的AP具有位置定位的功能,當AP註冊到WAC以後,WAC上具有AP的位置信息;基於AP的物理位置信息,可以結合內容服務器進行信息推送,不同位置的AP可指定不同的內容信息推送策略,提供差異化服務。
可以通過portal廣告推送特性,進行品牌形象傳遞及公司動態發佈。如客戶參觀公司時,在接入WIFI網絡前會自動彈出自定義的頁面,為客戶留下深刻印象。
2.15 POE供電規劃
敦崇科技全系列室內AP不僅支持本地供電,同時還支持PoE供電。PoE設備的原理是通過非屏蔽雙絞線中四對線中的兩對線來供電,傳輸數據的同時傳輸直流電,使用PoE設備大大降低了設備成本和管理成本。
PoE具有如下明顯的優勢:
Ø 簡化安裝、降低成本 — 不需為每個網絡設備單獨提供數據和電力線纜;
Ø 靈活性提高 — 網絡裝置可被安裝在任何位置,而不需靠近一個已存在的電源接口;
Ø 可靠性增強 — 有SNMP能力的PoE裝置,可實施遠程檢測和控制,能有效地處理或修理裝置的耗電量和(或)失效故障。
本次項目強烈推薦使用POE交換機供電方式,為前端無線AP供電。
2.16 方案特點
閱讀更多 安防精英聯盟 的文章
