互联网+办公大楼无线网络覆盖解决方案Word格式.docx

1、3.1.6 全面强大的安全特性 143.2 无线交换机的部署 163.2.1 无线交换机AP的三层部署方式 163.2.2 无线交换机与企业网络的接入 173.2.3 单个无线交换机和跨无线交换机的三层切换漫游 173.3 无线AP部署 183.3.1 无线频道分布图 183.3.2 无线天线选择 191 项目背景1.1 传统的无线网络构架传统的无线网络构架，是由网络访问接点Access Point（AP）来实现的。AP是个单点设备，也就是说，每个AP有自己独立的CPU、存储内存和管理软件，这些AP之间并没有太多的相关性。正是由于这个特点，使得传统的无线网络在热点区、家庭等应用场景中体现出非常

2、方便的特性，因为这些场景中，不需要太多的管理，维护和安全方面的考虑。 但是，在企业网络应用中，这种传统概念的无线网络却遇到了极大的挑战。这集中表现在：1） 系统缺乏整合性：与企业有线网络的集成：单点设备由于缺少系统的整合特性，因此在实施网络构架时，很难做到与企业的有线网络一个无缝的集成。2） 系统缺乏安全性：目前的无线网络集成中，最常见的安全策略是使用前端数据加密和后端身份验证双重方式。然而，这些安全措施只能从使用者的角度来保护网络的安全，却不能防止无线黑客的入侵，网络的安全隐患很大。3） 系缺乏可管理性和可维护性：单点设备需要企业的网络管理人员进行逐个的设置，管理和维护，当企业网络规模趋于大

3、型化时，原本可以为企业员工带来方便的无线网络却给IT人员带来了莫大的麻烦。例如在对网络AP进行升级时，管理和维护一个包括成百上千个AP的无线网络需要大量的人力投入。4） 系统缺乏可扩展性：无线网络标准的发展迅猛，自IEEE802.11标准诞生以来，几乎每年都有2-3种新的无线标准出台。因此，对产品的可持续升级要求也是企业应用中的一个特点。传统无线网络产品的升级是难以实现的，不仅因为不同的无线网络标准使用的无线频率发生装置不同，还在于，Access Point在运算性能和效率上根本无法满足日益增长的网络通讯数据率的需求。综上所述，我们可以看到：传统意义上的单节点式的无线网络接入，已经远远不能满足

4、企业移动应用的需求，相反，成为了企业网络中的一种负担和隐患。在这种形势下，采用无线网络交换机的组网解决方案，突破了传统概念的束缚，成为了一种适合企业移动应用的新的解决方案。1.2 D-LINK建议的无线网络构架及优势D-LINK建议本次的无线网络采用基于D-LINK的瘦AP无线架构,以更好的支持企业移动和多媒体应用，简化网络部署和管理，提供卓越的性能、安全性和可扩展性，并支持新兴的射频技术；Built on this platform, the RFS7000 enables campuswide roaming across subnets, and offers powerful fail

5、over capabilities, exceptional quality of service （QoS） and increased voice capacity.并且能够为企业网络提供强大的容错能力、特殊服务质量（QoS）以及增强的语音能力、完整的安全功能。D-LINK提供的无线交换机专为企业部署而设计的，Designed for large scale, high bandwidth deployments, the RFS7000 Wireless Switch from Motorola provides robust, highly scalable support for s

6、eamless enterprise mobility.提供强大的可扩展性支持无缝企业移动。Integrated security features include intrusion detection and protection, secure guest access and protection against denial of service attacks. 1.2.1 部署便捷，无缝接入现有企业网络1） AP零配置D-LINK的AP部署是为企业级无线网络而设计。AP真正无需任何配置，即插即用。所有对无线网络的配置都在无线交换机上完成。AP支持PoE供电，在连接上网线后，AP可

7、以通过DHCP方式自动获取Wireless Switch的地址列表，然后通过WISPe（Wireless Switch Protocol enhanced）与Wireless Switch进行通信。这样省却了胖AP模式下对AP复杂的配置；也避免了其他瘦AP厂家需要在AP上手工配置Wireless Switch配置的情况。在部署大型无线网络时候，工作量大大降低，极大地缩短了部署时间。2） 无须改造现有企业网络D-LINK的AP可以无缝接入现有企业网络。远程AP使用DHCP方式获取地址后就可以跨越3层交换机，与Wireless Switch进行自动连接。AP的部署无需对企业内部网络作任何修改。由于

8、使用DHCP方式，网络的规划、网络的扩展可以集中而简单地对DHCP作配置即可，而无需去修改分散各地的成百上千的远程AP。这样，网络规划与扩展将十分轻松方便。3） 快速部署临时的无线环境当需要在企业办公的环境外部署无线网络的时候，D-LINK快速部署的特性更容易显示出来。例如在会议室临时部署AP。只需要将AP加电，连入互联网络，AP可以自动与放置于企业内部的无线交换机进行通信。这个临时的无线网络拥有与与其他AP完全相同的特性。这时所有的问题都迎刃而解.4） 更换和升级AP方便D-LINK的所有配置维护都可以在中心机房完成。接入端的维护更是无需专业管理人员，可以作到像更换电灯泡一样简单的即插即用，

9、节省了日常维护成本。在AP出现故障时，可以简单地将新的AP插上即可。无需任何配置。在Wireless Switch作升级后，可以自动对所有AP作升级，避免对每个AP手工升级的繁琐工作。1.2.2 易于管理1） D-LINK无线交换技术特有的易于管理特性传统的AP作为一种单点设备，每一个AP都需要企业的网络管理人员进行单独的设置，管理和维护。这些设置不仅仅包括IP地址等简单配置，往往还包括大量的服务、安全、Qos等等配置。当无线网络规模趋于大型化时，原本带来方便的无线网络却给IT人员带来了莫大的麻烦。管理和维护一个多接点的无线网络需要大量的人力投入。D-LINK无线交换体系能够对于硬件、软件配置

10、和网络策略进行统一管理，所有配置在无线交换机上完成即可。向所有接入点自动部署配置，大大降低了初始化工作量。同时D-LINK的无线交换系统维护非常方便。传统AP一旦出现故障，往往需要IT管理人员赶到现场，进行处理。1.2.3 高可靠性由于本项目的无线网络将在整个企业办公无线环境中的起着重要作用，因此必须保证无线网络的高可靠性，不允许无线网络有单点故障。1） 流量分担的方式如果单点流量过大的时候,D-LINK的无线交换机会自动调整附近的无线AP.使所有的无线AP形成一个整体,自动进行流量的分担,从而避免单个AP流量过于集中的问题.而且能够让整个无线网络更加快速与稳定.2） 简单便利的备份方式D-L

11、INK的备份方式及其简单。无线交换机的配置文件可以方便地备份在TFTP Server、FTP server和Web server上。无线交换机也可以方便地备份在TFTP Server、FTP server和Web server倒入配置。D-LINK的备份不用额外备份数据库，用户信息和其他配置信息都通过配置文件方便地进行备份。本地备份方式甚至可以自动完成。即通过其中一台无线交换机修改配置，其他无线交换机的配置即自动同步。3） 自愈模式D-LINK智能的无线网络具有自愈功能，可以根据网络的情况，在接入点发生故障时，无线交换机可自动调整邻近接入点的功率，以覆盖故障接入点原来提供服务的区域。另外D-L

12、INK智能的无线网络还可以自动动态调整工作频率，当环境的无线干扰过于严重，移动用户的无线重传次数超过可设置的门限时，无线交换机可自动调整该接入点的工作频率到最小干扰的频率，从而提供更好的系统可靠性。1.2.4 低成本1） 瘦AP架构带来的优势由于瘦AP只需实现RF功能，无需实现复杂的控制和加密等功能，因此可以低得多的成本来实现。另外无线交换构架为客户提供了强大的管理功能、可扩展性、集成的安全性，管理方便，极大地降低了网络维护成本。因此总体拥有成本低。DWS-3024的集中式特性使之能够方便地扩展，无线接入端可以扩展使之适应未来出现的新的无线接入标准802.11n，交换机管理系统可以轻松升级以满

13、足企业对无线网络新的要求，如802.11n等，对于企业来讲，是一套具有很高投资保护的系统。2） 不需要特殊功能模块的收费而且相比其他厂家的产品，D-LINK的无线网络产品一次购买后即拥有所有的功能，包括DHCP服务器等，不存在需要为特殊功能再收取额外费用的问题。1.2.5 优秀的网络性能1） 通过硬件实现了数据转发在多用户连接到无线AP上时，AP的吞吐量没有丝毫的降低，而且非常稳定。2） 无缝的L2/L3漫游切换D-LINK率先实现的无缝的L2/L3漫游切换，切换时间在毫秒量级，为业务覆盖的连续性提供必要的保障，即使在跨Wireless Switch的漫游切换中，即使使用WIFI电话也能保持优

14、良的音质，感觉不到任何的中断。2 网络总体架构此次项目中,总共有两栋大楼需要做无线覆盖,同时两栋大楼之间采用WDS（无线桥接）的方式连接起来。核心层两栋之间采用D-Link室外无线接入点DWL-2700AP，最高传输速度可达108M。同一楼层的DWS-3024无线交换机直接连接到核心交换机上。另外一栋楼通过DWL-2700AP桥接连接到核心交换机。进行数据交换与处理。满足无线办公需求。（如果是一栋楼的话则无需使用DWL-2700AP）汇聚层在每个楼层采用DLINK的DWL-3500AP瘦AP（企业级室内无线AP）的无线架构，然后由DWS-3024统一对各楼层的AP进行管理，每个AP之间协同工作

15、，保证整网的数据稳定性，接入层接入点AP（DWL-3500AP）也可以无缝的运行于整个无线网络中。每个楼层部署DWL-3500AP，无线的传输速度最高可以达到108M的速度，可以更快的从服务器上下载数据或者是上传数据到服务器上。在此，我们还建议： 相邻互备的AP分别接入到不同的接入交换机或插槽是交换机的不同插槽，以实现更高的冗余性 在一个区域尽量部署AP，AP之间即可以互为备份,同时也可以起到流量分担的作用.3 无线交换机的部署3.1 无线交换机的特性 无线网络集中管理 一体化的可扩展有线/无线网络架构简便而有弹性的网络应用安全管理带宽和电源管理局域网管理安全 和多功能管理 D-Link DW

16、S-3024二层千兆无线交换机为商业环境中的无线网络应用进行了最优化。通过这些设备，商业用户可以拥有高性能的 ，安全的，并且可管理和升级的一体化有线/无线局域网交换模式。通过combo SFP,可选10G连接的开放式插槽1以及基于以太网供电和冗余电源（RPS），这些千兆无线交换机使企业能轻易的升级到下一代802.11n无线局域网，无线设备的应用简便并且不受物理位置的影响，对安全的无线移动性和策略的执行提供集中管理3.1.1 核心单元控制整个无线网络DWS-3024千兆无线交换机是巩固安全，管理带宽和维护整个无线网络智能化的核心单元。除了在用户漫游时监视用户身份和维持他们的认证外，这些无线交换机

17、还能配置和控制无线接入点的其他方面，包括RF信道和电源管理，无线流量分段；AP漫游和负载平衡，非法AP检测和AP访问安全。3.1.2 高性能, 应用简便针对配线房的分布式应用，每个无线交换机能支持最多48个无线接入点。AP可以直接与无线交换机端口连接，或者通过局域网交换机间接与它连接。利用在每个端口集成802.23af PoE，这些交换机允许被连接的AP安放在用AC电源供电的设备难以访问的地方。硬件预先支持下一代更高速的802.11n无线标准设备千兆传输速率。关于电源管理,DWS-3024/DWS-3026允许管理员设置AP的传送输出电源以满足个别国家的规定，并且可在需要时远程重新启动AP。3

18、.1.3 简化的配置和应用通过一个集中管理平台,网络维护和配置过程变得更加有效率。如果有任何一个接入点无法访问，管理员可以立刻识别出无法访问的AP所在位置并且立即用另外一个AP替换它。DWS-3024/交换机将自动使用之前AP的相同配置对新的AP进行设置。3.1.4 最高性能 除了进行增强的二层转发，DWS-3024/DWS-3026也提供三层和四层服务以及身份跟踪功能。通过集中RF策略，最少信道使用的自动选择和AP负载平衡，DWS-3024/DWS-3026能有效的管理无线带宽以优化WLAN流量。得益于交换机间漫游，网间漫游和AP到交换机的千兆速率传送，使得不同AP间能迅速漫游。这些交换机也

19、提供一些弹性功能，比如冗余负载分配千兆连接，802.1q VLAN流量分段和致命IGMP侦测，以便支持IP多播数据流3.1.5 可扩展和一体化有线/无线应用 小型和中型企业可能只需要一个无线交换机来管理很少的AP或者用于混合有线/无线局域网。当AP的增加时，就可能加入4个交换机而形成一个大型的集中管理系统。由于扩展简便，支持下一代高速AP的千兆速率和支持企业范围内网间漫游的三层路由，DWS-3024/3026提供一个架构，简化并且一体化了一个特别复杂的WLAN环境，轻松的为将来的技术升级准备了一个现有的网络。3.1.6 全面强大的安全特性DWS-3024提供全面的网络安全特性，包括集成的基于M

20、AC地址认证，入侵检测，AAA Radius服务器等。D-LINK在DWS-3024无线交换机系统中实现了一套完整的端到端分层式安全模式。每个独立的无线子网都可以有自己独立的安全机制，例如：为访客无线网可以配置较低或开放的安全策略，而内部员工网配置高强度的安全策略。身份验证：将确保只有授权用户和设备才能访问网络，无线交换机提供了一系列身份验证机制，以支持各种安全要求 预分配密钥（Pre-shared Key） 802.1x/扩展身份验证协议（EAP）：EAP提供了强大的身份验证机制和动态密钥分发功能，同时还提供进行双向身份验证的一种方式。授权用户向无线网络标识自己的身份，无线网络同样向用户标识

21、自己的身份，以确保只有授权用户才能够访问网络资源。动态密钥分发机制则提供了一针对每一个用户、每一个会话的新的加密密钥，极大地提高了数据加密的强度。DWS-3024支持多种EAP验证方式：EAP-TLS，EAP-TTLS，WPA-PEAP等。数据加密：加密特性确保数据在传输过程中维护其私密性。DWS-3024支持一组加密选项，为增强加密技术提供基础，并具有一定灵活性有助于用户选择适合的级别， WEP加密传输：WEP提供静态密钥加密算法，向所有用户分发单独的密钥进行数据的加密和解密。WEP利用被广泛使用的RC-4加密算法生成40位或128位的密钥，WEP只提供了一定程度的无线安全性，这种加密方式只

22、能使用在非关键环境下。 Key Guard：由于WEP的非安全性，Symbol开发了Key Guard安全协议。Key Guard使用TKIP，为每个数据包提供一个不同的密钥，但在检查消息完整性（MIC）时采用一个早期版本的协议来确保数据不被篡改或破坏。 WPA时效密钥完整性协议（TKIP）：WPA-TKIP提供以每个数据包为基础的密钥旋转，并检查消息的完整性（MIC），以确定在传输过程中数据是否被篡改或破坏。 WPA2高级加密标准AES：AES加密算法为客户端传输数据提供了极高的安全性。3.2 无线交换机的部署3.2.1 无线交换机AP的三层部署方式DWL-3500AP采用PoE供电，选择D

23、WS-3024无线交换机就近接入。AP在加电后，AP发送Hello广播包试图发现交换机，因为无线交换机都处在汇聚核心层，不在同一个广播域，AP在指定时间内没有收到无线交换机回应的Parent数据包，AP就会发起DHCP Discover数据包。DHCP Server回应DHCP Offer数据包，里面含有AP的地址、掩码、网关，另外也含有Wireless Switch地址列表，AP选择合适的Wireless Switch 去Adopt, 无线交换机把AP需要的配置发送给AP。这样无线交换机和AP之间的通信就正常建立起来。由于DHCP Server和AP也不在同一个广播域内，需要在汇聚层交换机上

24、启用DHCP Relay功能，将DHCP广播包转成发往DHCP Server的单播包。3.2.2 无线交换机与企业网络的接入DWS-3024是全千兆口，建议将光纤端口用于上连端口，接入企业网络，其他端口直接用于与DWL-3500AP进行通信。 DWS-3024上为移动计算机和测试PC设置统一的办公用WLAN，例如为media，所有用户都使用这个WLAN，并且使用相同的Windows登录的用户名和口令使用WLAN网络。无线交换机根据Windows上的Internet Authentication Server返回的vlan ID为用户动态分配VLAN，从而区分不同的用户。如下图所示，销售部门分配

25、VLAN为VLAN10, 财务部门分配VLAN为VLAN 100。VLAN200分配给无线交换机的端口用于连入AP300。 我们建议客户网管人员定期察看访客WLAN的用户数和流量，确定是否有非法使用的情况。3.2.3 单个无线交换机和跨无线交换机的三层切换漫游在一个无线交换机下的两个AP下进行切换。虽然AP部署在不同的IP网段里，但是由于用户的相关信息都在同一个无线交换机里，在切换时IP地址保持不变，因此可以实现快速无缝切换。3.3 无线AP部署 3.3.1 无线频道分布图由于AP较多，应注意AP的信道规划。相邻3个区域内要采用完全不干扰的频段，如信道1、6、11。因为实际施工中，建筑材料、办公环境差异很大，故对信号影响也很大（见下表），如果实测信号穿透情况良好，方案可以进一步优化，每层只需要放置更少数量的AP即可。AP的数量视现场实际勘测情况而定。为了保障无线网络系统处于最佳运营状态。因此，为了保证在发生突发事件的情况下系统的正常运行，设计中需规划一定的冗余数量的AP以及无线信号的冗余。3.3.2 无线天线选择DWL-3500AP在实际运用中有多种选择，一般可以选用外置3db或5db的全向天线，在全向天线不能覆盖需要的位置时，可以选用合适的定向天线达到覆盖的目的。在本次项目中建议采用外置全向天线的