办公室无线网络技术方案.doc

38062799d1b3f11f7c847e754d2bbf60.pdf page 1 of 100 安利中国公司办公室安利中国公司办公室 无线网络技术方案无线网络技术方案 思科系统思科系统(中国中国)网络技术有限公司网络技术有限公司 2007 年年 6 月月 38062799d1b3f11f7c847e754d2bbf60.pdf page 2 of 100 1项目概述项目概述.4 2现状与需求分析现状与需求分析.4 2.1现状分析.4 2.2需求分析.5 3网络设计原则和设备厂商选择网络设计原则和设备厂商选择.8 3.1网络设计实现原则.8 3.2设备厂商选择原则.10 3.3选择思科无线产品的技术优势.11 4网络技术选型网络技术选型.16 4.1集中无线网络架构.16 4.1.1无线资源监控17 4.1.2动态信道分配18 4.1.3干扰检查和避免20 4.1.4动态发射功率控制21 4.1.5覆盖盲区检测和纠正22 4.1.6客户端和网络负载均衡23 4.1.7真正实时解决方案23 4.2轻型接入点协议.25 4.2.1轻型接入点部署定位25 4.2.2标准化需求27 4.2.3运行 lwapp.28 5无线网络设计规划无线网络设计规划.30 5.1网络结构设计概述.30 5.2无线网络设计架构.32 5.2.1概述32 5.2.2详细设计34 5.2.3以太网供电38 5.2.4频点规划建议39 5.2.5现有无线网络的迁移39 5.2.6无线网络性能设计40 5.2.7无线网络的频点覆盖设计45 5.2.8天线的选择49 5.2.9无线网络系统的话音应用设计（vowlan）.53 5.2.10无线网络系统的安全设计60 38062799d1b3f11f7c847e754d2bbf60.pdf page 3 of 100 5.2.11无线网络系统的管理66 6思科无线网络解决方案技术优势思科无线网络解决方案技术优势.68 6.1先进的无线局域网络产品.68 6.2更好的用户体验.68 6.3更好的管理体验.69 6.4基于用户的增强安全策略.70 6.5“自由”漫游移动域.70 6.6采用虚拟服务组增强管理灵活性.70 6.7强大的认证管理选项.71 6.8集中接入点管理提供简化管理方法.71 6.9动态射频（rf）管理确保最佳覆盖范围71 6.10用户端射频优化提供个性化性能 72 6.11即插即用（plug-n-play）/即插即增（plug-n-grow）.72 6.12恶意接入点防护遏制了威胁侵害 72 6.13超越标准的增强型无线威胁防护 73 6.14采用用户端负载均衡实现最佳性能 73 6.15无缝的快速漫游支持不间断语音和多媒体业务 73 6.16自愈式弹性设计使服务中断最小化 74 6.17持续运营 74 6.18通过在任何网络中进行无缝的部署将您的局域网（lan）扩展到无线.74 6.19基于标准开放方式的用户和应用兼容性方法 75 6.20管理帧保护(mfp:management frame protection) .75 6.21无线 wlc 与有线 ids/ips 联动76 6.22远程 ap 混合工作方式 h-reap76 7产品介绍产品介绍.77 7.1无线局域网控制器.77 7.2无线网管系统.82 7.3定位服务器.89 7.4无线接入点.98 38062799d1b3f11f7c847e754d2bbf60.pdf page 4 of 100 1 项目概述项目概述 随着办公自动化、移动办公、rfid 技术、无线 ip 语音的不断深入应用，以及访客交流 的日益增多，安利中国公司拟建立一个能够快速、灵活、简便可靠组网、高安全性以及承载丰富 移动应用的无线网络。 为配合安利中国公司无线网络建设，在技术上需要采用现代无线网络技术的先进成果，必 须保持一定的技术前瞻性，使安利中国公司的无线网络建设进入世界的先进行列；同时考虑安利 中国公司的实际应用需求，结合企业未来发展要求，在统一网络管理与安全策略的前提下，使安 利中国公司网络的技术建设水平与经济投资效益及业务发展需求结合起来，为安利中国公司服务， 发挥应有作用。 同时，结合安利中国公司现有的无线网络状况，应考虑到新部署的无线网络对现有无线网 络的兼容或支持对现有无线网络的平滑升级，以最大程度地保护前期投资并实现统一管理、统一 策略。 思科公司根据自身丰富的无线网络实施经验和功能强大的无线产品依据安利中国公司网 络现状，同时参照国际、国内和行业相关技术标准及规范，以及信息化建设规范，还吸取了国内 外相关案例的成功经验，完全可以无缝融合进当前安利中国公司的信息化全面建设中。 2 现状与需求分析现状与需求分析 2.1 现状分析现状分析 本次项目主要考虑安利中国公司各办公室的无线网络部署。无线覆盖空间类型大多为办公室， 少量为会议室和空旷区域。办公室房间多分布在走廊两侧，走廊侧为墙壁或木门。房间和走廊均 38062799d1b3f11f7c847e754d2bbf60.pdf page 5 of 100 设有吊顶，吊顶距离楼板大约 30 至 50 厘米，走廊吊顶上方为结构化布线金属线槽和弱电路由。 各办公室的现有布线结构比较简单，目前各房间的游戏信息点均汇集到相应的配线间最终汇聚 到相应的主机房。 目前安利公司部署的是自治的无线接入点（即“胖”ap）系统。安利中国现有的无线网络中配 置了一块 cisco catalyst 6509 交换机内置的 wlsm 无线域服务模块（wds）和一台 wlse 无线网管； 无线接入点分布如下： 美银中心：部署无线接入点 cisco ap 1231g 共 33 台，配置 2.4g 天线，类型为 ant-4941； 永和仓库：部署无线接入点 cisco ap 1231g 共 10 多台，配置 2.4g 天线，类型为 ant-4941。 其他办公室安装有少量自治 ap。 各 ap 通过 cisco catalyst 3560 以太网供电交换机提供 48v poe 电源。 2.2 需求需求分析分析 本次无线项目涵盖广州、北京、上海三地的多个办公室。各办公室楼层状况和现有无线网络状况如 下： 办公室每层面积目前部署状况 中信 4 层、每层 45 米45 米未部署 美银1 层33 个独立 ap 国贸面积约为美银一半左右未部署 天誉面积约与美银相仿未部署 lc/actioffice 面积约与美银相仿 仓库已部署 10 多个独立 ap，办公室未 部署 开发区工厂面积约为美银 2 倍未部署 北京office 面积约与美银相仿未部署 上海office 面积约与美银相仿未部署 各会议室目前按普通空间计算，未单独计算未部署 要求实现无线 wi-fi 客户端在上述区域的所有地方都能无线上网且用户可以在有无线信号的 38062799d1b3f11f7c847e754d2bbf60.pdf page 6 of 100 地方无缝的漫游，以提供安全的移动联网环境，实现真正的安全移动，减少布线的繁琐和成本， 提高员工协同工作效率，从而节省成本并提高生产率。 办公室内有大量用户需要使用笔记本电脑接入无线网络，并且该数量会不断增加。对外 交流活动较多，楼内不定期有访客到来也需要使用笔记本电脑接入无线网络。不远的将来，还需 要接入 wlan 无线手机或 gsm/wi-fi 双模手机，提供话音服务；并且，能够在仓库、店铺提供基 于 wi-fi 的 rfid tag、手持无线 scanner/pos 机等联网应用。 无线网络目前主要应用领域依次为数据处理，语音通讯和实时定位应用三种。 数据处理应用 主要体现在两个方面，一是办公自动化方面，二是信息和数据的快速处理。 无线宽带接入服务：用户可以享受真正的“无线”自由的体验，可以在办公室和楼内随时随 地通过支持 wifi 的笔记本电脑/pda/台式 pc 享受无线网络服务，如网络办公，email 等。同时， 为用户省却了布线的费用和烦恼。 移动办公室：利用无线网络的大面积覆盖能力，可以将楼内的办公区和会议区无缝连接 在一起，工作人员可以在楼内随时随地接入网络进行信息查询，办公应用，通信联络等。 语音通讯应用部分 语音通讯主要应用在以下方面： -建立基于 ip 的无线语音网 -紧急呼叫 -语音的集群通信 所需要的设备为： -voip 设备 -voip 手持终端 38062799d1b3f11f7c847e754d2bbf60.pdf page 7 of 100 -pda 和笔记本电脑 具体的应用有以下几类： 常规移动语音呼叫 能够完成现有普通语音移动系统完成的功能，满足日常需要；如果采用 pda 手机，还可 以完成视频和数据上网功能； 紧急呼叫 某些手机可以设置紧急呼叫建； 群呼 思科自身手机具有群呼功能直接通知整个组的用户； 与园区内部固网电话的融合呼叫 固定和移动中均可无线办公，采用同一号码； 节假日远程值班 通过 vpn 网络与出差在外、在家办公的员工实现免费通话； 总而言之，用户希望组建无线、有线通信网络，实现基于无线网络的数据传输、语音通 信、应急系统、视频监控等一系列功能和增值应用。在应用传统的办公自动化的同时，通过融合 技术提供个性化的服务，例如在终端上可以实现端到端电话交流，提高用户的工作效率，使用户 真正体现到网络融合技术带来的好处。 38062799d1b3f11f7c847e754d2bbf60.pdf page 8 of 100 注：以上为初期需求，如有调整将随时更新。 3 网络设计原则和设备厂商选择网络设计原则和设备厂商选择 3.1 网络设计实现原则网络设计实现原则 基于标准化的设计和实现 在结构上实现真正开放，基于国际开放式标准，开放的网络使用户可以自由地选择不同 厂家的产品，不会受到某些厂家专有标准的限制，最大程度地保护用户的利益。网络的设计基于 国际标准，网络设备采用标准的接口和规范和协议，使不同厂家的设备可以顺利地连接。 技术先进性和实用性 系统建设要有一定的前瞻性，保证满足无线应用业务的同时，又要体现出网络系统的先 进性。在方案设计中，把先进的技术与现有的成熟技术和标准结合起来，充分考虑到安利中国应 用的现状和未来发展趋势。在网络建成后的 3-5 年之内，不会由于业务量的增加导致对网络结构 及主要设备的重大调整。同时要考虑实际的应用水平，避免技术环境过于超前造成投资浪费。 高度的可靠性、稳定性和冗余 网络系统的稳定可靠是应用系统正常运行的关键保证，在整个网络中选定合理的网络架 构，无线网络采用 802.11a/b/g 通信协议，在较近的距离内可以提供 54mbps 的连接速率，可提供 更多的信道，从而最大限度地支持安利中国公司业务系统的正常运行。 38062799d1b3f11f7c847e754d2bbf60.pdf page 9 of 100 为了防止局部故障引起整个网络系统的瘫痪，要避免网络出现单点失效。在网络骨干上 要提供备份链路，提供冗余路由。在网络设备上要提供冗余配置，保证把局部故障对网络的影响 降低到最小。 高性能 为了及时、迅速地处理网络上传送的数据，网络设备必须具备高速处理能力，提供高速 数据链路，保证网络高吞吐能力，满足各种应用（如：无线语音，实时定位系统）对网络带宽的 需求。 易于安装、操作和管理 良好的组织和管理对网络的正常运转和高效使用有很大帮助，网络应该能够提供方便、 灵活、有力的工具，使得无论是安装、操作还是使用对用户来说都轻而易举。 可扩充升级，具备支持目前及未来关键应用的能力 随着用户应用规模的不断扩大，要求网络可以方便地扩充容量，支持更多的用户及应用； 随着网络技术的不断发展，网络必须能够平滑地过渡到新的技术和设备，保证用户现有的投资。 高度的安全性 为了保护用户在网络上数据的安全可靠，必须提供多种方式和层次的访问控制，通过使 用包过滤、防火墙及 vpn 等技术保证数据的安全传输。 资源的高效利用 38062799d1b3f11f7c847e754d2bbf60.pdf page 10 of 100 合理利用网络资源，将网络的运行成本降到最低，同时网络的服务产出最大。 3.2 设备厂商选择原则设备厂商选择原则 由于安利中国公司的无线网络系统是一个涉及到多种硬件设备的复杂工程，我们建议根 据以下标准的选择厂商： 1) 设备性能价格比 设备的性能价格比是选型决策的重要考虑因素。 2) 售后服务 售后服务包括如下内容： 设备的保修期； 是否在中国有备件库，这样一旦发生硬件故障时可以及时得到更换； 是否提供热线服务，以便与原制造厂商及时取得联系，获得技术咨询和支持； 故障报告的响应时间。 3) 公司的经济、技术实力和市场占有率，这一定程度上反映了其产品的信誉。 4) 设备的技术先进性，这是选型的重要考虑因素。 5) 设备对未来新技术的适应能力，反映设备的可扩展性，这是保护用户投资的一种策略。 6) 设备的技术性能指标。 7) 设备使用的方便程度，这体现设备的可维护性。 8) 设备在大型网络中的应用情况，它反映设备的适应性和可靠性。 9) 网络管理系统的集成性、开放性和功能，它反映网络管理系统是否能对网络作全面深入的管理， 以及它对异构网络的适应能力。 38062799d1b3f11f7c847e754d2bbf60.pdf page 11 of 100 10) 设备的标准化程度和可扩充性，反映对网络规模扩展的适应能力。 11) 是否对质检系统有长期稳定的优惠政策。 12) 交货期的时限和信用，这对工程能否如期完成有重大影响。 13) 系统软件的升级条件是否优惠。 14) 差错的检测与隔离能力，这是网络可靠性的重要保证。 15) 手册与培训，反映用户能否较快地掌握设备的使用。 综上所述，为了保证方案的实用性、先进性、完整性、经济性与可靠性，同时满足未来 的网络升级，我们建议选用在以上各个方面均具备较大优势的思科公司的无线网络设备和整体解 决方案来构建安利中国公司的无线网络。 3.3 选择思科无线产品的技术优势选择思科无线产品的技术优势 思科无线产品能够提供安全的移动联网环境，可在整个园区中实现真正的安全移动，它提供 完全的安全性，以保护网络，此外还提供完全的管理来控制无线环境。无线局域网技术能够为被 布线束缚在办公桌前的员工解除限制，使企业受益匪浅。无线技术带来很大的自由，使用户能够 随时随地访问信息，从而提高生产率。思科实现移动性的方法是消除限制，并提供解决方案，使 用户能通过无线方式访问有线网络中的相同应用。真正的移动性使我们能够访问 ip 语音通信等多 业务应用。移动性和 pda 及 wlan 手持话机等手持设备的发展，使我们距无线世界更近一步，也 使企业更加接近思科“一体化网络”的远景规划。 思科是业界唯一在为企业和服务提供商提供视频、语音、数据、无线和安全技术方面拥有丰 富经验的厂商。凭借这种经验，思科屡获奖项的产品无线 wlan 系列产品成为业界一流的产 品，因为它能用于构建移动网络，提供安全的适应性多业务解决方案。采用思科的一体化无线解 38062799d1b3f11f7c847e754d2bbf60.pdf page 12 of 100 决方案，可以为用户带来如下技术优势： 先进性和实用性并重 系统建设具有一定的前瞻性。在无线网络建成后的 3-5 年之内，不会由于业务量的增加导致 对网络结构及主要设备的重大调整。同时要考虑实际的应用水平，避免技术环境过于超前造成投 资浪费。思科具备丰富的无线产品和解决方案可供用户根据自身的实际情况选择。无线集中架构 是 ietf 和 wi-fi 国际联盟推崇的未来无线以太网建网工业标准，即所谓的”瘦”ap 架构。本方案建 议安利中国无线局域网采用思科无线集中架构网络解决方案，一种基于 lwapp（light weight access point protocol，即轻量级无线接入协议）的协议架构。 最大程度的兼容性 思科无线网络采用开放式体系结构，易于扩充，使相对独立的分系统易于进行组合和调整。 选用的通信协议符合国际标准或工业标准，网络的硬件环境、通信环境、软件环境相互独立，自 成平台，使相互间依赖减至最小，同时保证网络的互联，思科的无线局域网全部支持从交换机直 接通过 poe 供电，不必为 ap 另行配置电源插座，针对较远传输距离可通过单独的外置供电注入器 供电。 思科的无线局域网系统满足国际和国内的无线标准，思科 wlan 最大程度的兼容符合 wi-fi 标准的各种无线终端设备，如 intel 讯驰系统、国内和台湾、香港生产的通过 wi-fi 认证的无线局 域网络终端设备，事实上，几乎今天在市面上知名的品牌均可以兼容。 全网以 ieee 802.11 国际技术标准为指导，最大支持 54mbps 的接入速率。 安全的无线辐射 根据中国国家无线电管理委员会的规定，在室内部署无线网络信号辐射不得超过 100mw，以 避免 2.4ghz 和 5ghz 对人体的影响。同样的原因，在通常情况下，终端使用 60mw 左右的发射功 率，以避免大功率长期辐射对人体的影响。无线接入点即 ap 执行 ieee802.11g 标准工作在 38062799d1b3f11f7c847e754d2bbf60.pdf page 13 of 100 54mbps 到 1mbps 之间，随着终端和 ap 之间的信号的强弱，ap 和终端会自动协商根据信号的衰 减程度，自动降低传输速率和增大传输功率。思科无线系统在办公室内部署的型号统一都根据国 家规定最大为 100mw，功率智能调节。 实时的射频自动监测 无线信号容易受到其他信号的干扰，无线局域网使用的 2.4ghz 和 5ghz 频段是开放频段，无 需注册即可获得使用，因此下列设备可能造成干扰： 微波炉 其他大楼的无线系统 工作在 2.4ghz 的无绳电话等 因此思科的 ap 可以实时进行射频的监测，ap 后台的控制器能够实时对 ap 进行控制，控制功 率的大小，比如当 1 个 ap 失效以后，这个 ap 周围其他的 ap 通过自动计算对功率进行增加来覆 盖失效 ap 产生的信号黑洞；出现信号干扰的时候，控制器能够对信号干扰来源进行定位，确定何 处的信号干扰，信号干扰的程度如何，并以地图方式显示在网管上。 传统有线网络在物理安全方面存在一定的优势。有线接口位于建筑物内部，这意味着企业可 以利用加密卡和通行证来将未经授权的用户拒之门外。但是在无线网络中，这种物理保护并不存 在。无线信号会扩散到物理围墙之外，从而可能将企业的 wlan 拓展到某个停车场或者相邻建筑 物。为了最大限度地解决这个问题，思科采用了先进的 rf 设计、发射功率控制和先进的定位技术。 自动负载均衡 有线网络在本质上具有确定性第二层（以太网）和第三层（ip）交换机和路由器都是便于 理解、可以预测的。但是，用户在无线网络中的体验则依赖于无线信号的传播和建筑物的其他特 性。这些特性可能会迅速发生变化，从而影响连接速度和错误率。一个位于建筑物内的办公的 rf 环境在早上 10 点和 3 点时是完全不同的。在早上 10 点，有很多的用户在移动使用网络。而在早 上 3 点，人员都休息了，没有人在使用无线网络，而且附近的办公室也不会产生 rf 干扰。 38062799d1b3f11f7c847e754d2bbf60.pdf page 14 of 100 更多的情况下，在同一时间，很多人汇聚到会议室，特别是当人数比较多，超出了 1 个 ap 的 承受范围，那么无线网络会慢的无法工作；为了保障带宽，如果在 ap 设置了限制，那么后来的人 员无法得到无线连接服务，因为在后台控制器的模式，可以对 ap 自动的负载均衡，将终端分别发 送到不同的 ap，自动计算和对终端的流量进行均衡，比如，当这个 ap 的利用率到了 80%，那么 控制器自动将用户引导到另外的空闲的相邻 ap 上面，而在我们的设计中，所有的 ap 部署已经考 虑了人员的位置和可能的集中的情况，完全可以智能的处理动态的负载变化。 自动频道管理和跨 ip 域漫游 无线局域网 802.11b/g 标准使用 3 个不重复的频道，1、6、11，为了实现自动漫游，需要对 频道的管理。思科无线系统由于采用了后台集中控制的方式，能够当 ap 布防后，通过实时射频监 测，然后自动对频道进行分配，并地图方式显示在网管上。 无线局域网的 ap 如果处于不同的子网，在漫游的过程中，需要处理三层的漫游，在后台保持 用户的 dhcp 得来的 ip 租用，认证的会话密钥等，控制器可以自动完成三层无线漫游。 最大的安全性 无线网络支持最多的安全特性，采用集中认证，对每个数据包进行加密。通过对射频的实时 监测，发现并定位恶意的 ap，恶意 ap 是未经授权的人员通过自己设置一个 ap，吸引无线终端连 接到恶意 ap 从而非法获得数据的黑客方法。对恶意 ap 的扫描配合采用安全无线认证协议，能够 解决 ap 和无线之间的相互信任问题。目前无线局域网领域标准主要有思科和微软等公司，能够支 持最多的安全保障和扩展的端口安全管理。 地理化图形管理界面 网络管理界面全部图形化，能够输入建筑的平面图，并且能够进行微调，能够输入障碍物等 信息，在网管上面可以操作全部的无线功能。在 ap 上无需任何配置。 无缝集成终端定位应用 38062799d1b3f11f7c847e754d2bbf60.pdf page 15 of 100 配合射频实时监测功能，射频指纹扫描能够对终端所在的位置进行定位，当一个移动终端变 换位置时，能够实现 3-5 米的定位，可以将人员位置显示在网络管理界面的办公楼地理图上。方 便对无线终端的监控和管理。在网络管理系统上有针对 erp 系统和安全管理系统的 api，可以结 合 erp 和安全管理系统将定位信息集成到工作流程的管理中。 38062799d1b3f11f7c847e754d2bbf60.pdf page 16 of 100 4 网络技术选型网络技术选型 4.1 集中无线网络架构集中无线网络架构 为了全面地满足企业的 rf 管理需求，思科设计了一个集中、简便的集中 wlan 架构。它的核 心组件是 “分离 mac”体系，即将对 802.11 数据和管理协议的处理，以及接入点功能分别部署于 一个轻型接入点和一个集中 wlan 控制器（下图所示） 。更加特别的是，对时间敏感的活动例 如信标处理、与客户端的握手、介质访问控制（mac）层封装和 rf 监控都是由接入点处理的。 所有其他活动都由 wlan 控制器处理，它需要具备整个系统的可见度。这包括 802.11 管理协议、 帧转换和桥接功能，以及对于用户移动、安全、qos 和可能更加重要的是实时 rf 管理的 系统级策略。 典型的分离 mac 体系 思科无线局域网控制器具备的实时 rf 管理对于思科轻型无线解决方案具有重要的意义。它 是思科产品的一项独有特色。思科无线局域网控制器可以利用动态算法，创建一个完全自行配置、 38062799d1b3f11f7c847e754d2bbf60.pdf page 17 of 100 优化和治愈的环境，让思科 wlan 适用于提供安全、可靠的业务应用。这是通过执行下列 rrm 功 能实现的： 无线资源监控 动态信道分配 干扰检测和避免 动态发射功率控制 覆盖盲区检测和纠正 客户端和网络负载均衡 4.1.1无线资源监控无线资源监控 rf 网络的管理需要充分了解影响无线空间的因素。思科轻型接入点采用了独特的设计，不仅 能够提供服务，还可以同时监控所有信道。这源自于思科在它的分离 mac 架构中对 802.11 mac 层所开展的、广泛的开发工作。 除了提供数据服务以外，思科轻型接入点还可以同时扫描所在国家允许的所有有效的 802.11a/b/g 信道，以及在其他地区有效的信道。这可以提供最高限度的保护系统将发现可能 从其他国家进口的恶意接入点，或者某个知道怎样更改所在国家规定操作方式的黑客。这些黑客 能够让恶意设备位于带外，从而躲过大部分 wlan 入侵检测系统（ids）的扫描。 思科轻型接入点可以在不超过 60ms 的时间里进行“信道外”扫描，以监听这些信道。在此期 间搜集到的分组将被发送到思科无线局域网控制器。后者将对这些分组进行分析，以发现恶意接 入点（无论服务集标识符ssid是否被广播） 、恶意客户端、临时客户端和干扰接入点。 在缺省情况下，每个接入点只用 0.2%的时间进行信道外扫描。这项任务会在所有接入点之 间进行统计分配，以确保相邻接入点不会同时进行扫描，对 wlan 的性能造成不利的影响。这使 得管理员可以通过每个接入点搜集到的信息，了解他们的 wlan 的运行状况，将网络可见度提高 到重叠式网络所无法提供的水平，解决为每三到五个接入点部署无线监听器这一做法可能出现的 “隐藏节点”问题。 在必要情况下，思科轻型接入点可以被专门部署为无线监听器，但是成本因素和对更高网络 可见度的要求通常会促使最终用户采用上述方式。 38062799d1b3f11f7c847e754d2bbf60.pdf page 18 of 100 4.1.2动态信道分配动态信道分配 802.11 mac 功能需要采用一种基于二进制指数退避的冲突避免机制，即带有冲突检测的载 波侦听多路存取（csma/ca） 。802.11 mac 层由一个四路交换协议定义： request to send (rts) clear to send (cts) data ack 当某个基站需要发送信息时，它会将其提供给介质。如果介质是闲置的，接入点将会允许该 基站发送它的数据。否则，基站将被告知等到其他正在使用介质的基站完成任务之后再发送数据。 这可以防止两个客户端同时在同一个信道上发送数据，导致数据帧受损。 在使用 csma/ca 时，同一个信道上的两个接入点（位于同一个区域）与两个不同信道上的 两个接入点相比，将获得其一半的容量。这可能会导致问题。例如，某个在咖啡厅中查看电子邮 件的用户可能会对相邻企业中的接入点的性能造成不利的影响。即使位于不同的网络之中，在信 道 1 上向咖啡厅网络发送流量的用户也可能会导致使用同一个信道的企业数据遭到破坏。思科无 线局域网控制器可以通过动态分配接入点信道，避免冲突，从而解决这个问题和其他同频干扰问 题。因为思科轻型解决方案通过它的 rrm 工具而具有覆盖整个企业的可见度，所以信道可以被 “重复利用”，以避免浪费宝贵的 rf 资源。换句话说，信道 1 将会分配给一个远离该咖啡厅的接入 点。相比之下，其他 wlan 系统在这种情况下通常要求完全禁止使用信道 1。因此，思科的解决 方案更为有效。 思科无线局域网控制器的动态信道分配功能还有助于最大限度地减小思科轻型 wlan 解决方 案中的相邻接入点之间的同频干扰。例如，在使用 802.11a 时，信道 35 和 40 不能同时使用 54mbps，具体取决于接入点和客户端的摆放位置。通过分配信道，思科无线局域网控制器可以隔 离相同信道，从而避免这个问题（如下图所示） 。 动态信道分配 38062799d1b3f11f7c847e754d2bbf60.pdf page 19 of 100 33%效率 100%效率 思科无线局域网控制器可以通过分析多种实时 rf 特性，有效地处理信道分配。这些特性包 括： 接入点接收能量这取决于网络的静态拓扑；这项功能可以让信道获得最高的网络容量。 噪声这个因素会限制客户端和接入点的信号质量。噪声的增大会导致有效网格的减小。 通过优化信道和避免噪声源，思科无线局域网控制器可以在优化网络覆盖范围的同时，保持系统 容量不变。如果某个信道因为噪声过高而无法使用，该信道将会被避开。 802.11 干扰如果存在其他无线网络，思科无线局域网控制器将会改变信道的使用方式， 以避免与其他网络的干扰。例如，如果一个网络使用的是信道 6，另一个相邻 wlan 将被分配信 道 1 或者 11。这可以通过限制频率重叠，提高网络容量。如果因为某个信道的使用量过高而导致 没有可用容量，思科无线局域网控制器将会选择避开这个信道。 利用率在启用这项功能时，容量计算将会考虑到某些接入点传输的流量多于其他接入点 （例如一个休息室相对于一个工程区域） 。因此，那些需要最多带宽的接入点将在信道分配方面获 得更高的重视。 客户端负载通过在调整信道结构时考虑客户端负载，可以最大限度地减少客户端对于 wlan 的影响。思科无线局域网控制器会周期性地监控信道分配情况，搜寻“最佳的”分配方式。只 有在可以显著提高网络性能，或者改进某个性能低下的接入点的性能时，才会进行调整。 38062799d1b3f11f7c847e754d2bbf60.pdf page 20 of 100 思科无线局域网控制器可以将 rf 特性信息与智能算法相结合，执行针对整个系统的决策。 利用软决策机制，可以满足互相冲突的需求，为最大限度地减少网络干扰确保最佳的选择。最终 结果是在一个三维空间中实现最佳的信道配置，而位于楼层上方和下方的接入点在总体 wlan 配 置中扮演着重要的角色。 4.1.3干扰检查和避免干扰检查和避免 “干扰”的定义是任何不属于某个思科 wlan 系统的 802.11 流量，包括恶意接入点、蓝牙设备 或者相邻 wlan。思科轻型接入点一直在扫描所有信道，寻找主要的干扰源（如下图所示） 。 如果 802.11 干扰幅度超过了预定的阈值（缺省值为 10%） ，一个消息就会被发送到思科无线 控制系统（wcs） 。思科无线局域网控制器将设法重新分配信道，以便在存在干扰的情况下提高系 统性能。这可能会导致相邻思科轻型接入点位于同一个信道上，但是这显然要比让接入点继续留 在一个因为某个干扰接入点而无法使用的信道上好得多（考虑到利用率因素） 。 动态信道分配机制对干扰的反应 38062799d1b3f11f7c847e754d2bbf60.pdf page 21 of 100 恶意设备 管理员可以从思科 wcs 实时地查看 rf 环境的情况（如下图所示） 。这有助于了解无线空间 的运行状况，尤其是试图诊断 wlan 故障时。 思科 wcs 无线统计信息视图 4.1.4动态发射功率控制动态发射功率控制 正确的接入点发射功率设置对于保证 wlan 的平稳运行具有重要的意义。这对于实现网络冗 余也非常重要，有助于确保在接入点失去连接时进行实时的故障切换。 思科无线局域网控制器可根据实时的 wlan 情况动态地控制接入点的发射功率。在正常情况 下，功率可以保持在较低的水平，以获得额外的容量和减少干扰。思科轻型解决方案将试图根据 最佳实践经验，对接入点进行平衡，以确保它们在相邻接入点之间保持-65dbm 的发射功率。 如果检测到某个发生故障的接入点，周围接入点的功率将会自动提高，以填补覆盖范围受损 所导致的漏洞。只允许对发射功率进行静态设置的 wlan 解决方案在支持动态网络需求方面的能 38062799d1b3f11f7c847e754d2bbf60.pdf page 22 of 100 力极为有限。 思科 rrm 算法采用了独特的设计，可以创建最佳的用户体验。例如，如果接入点的发射功率 被调低为四级（一级最高，五级最低） ，而且用户的接收信号强度指示（rssi）值降低到某个可以 接受的阈值之下，接入点功率将会被提高，以便为客户端提供更好的体验。如果用户的 rssi 值位 于阈值之上，功率将决不会被调低。 用户可以在思科 wcs 中，方便地查看各个功率等级和接入点相邻设备信息，如下图所示。 图 5 利用思科 wcs 监控功率等级 4.1.5覆盖盲区检测和纠正覆盖盲区检测和纠正 如果某个接入点上的客户端的 rssi 等级较低，思科轻型接入点将会向思科 wcs 发出一个 “覆盖盲区”警报。这表示存在一个覆盖信号持续较差的区域，其中没有可通信的漫游地点。 38062799d1b3f11f7c847e754d2bbf60.pdf page 23 of 100 管理员可以查找接入点的历史记录，了解这些警报是不是一种长期现象。长期现象意味着存 在一个长期的覆盖盲区，而不是一个偶发性的问题。如果是的话，思科无线局域网控制器将会调 节接入点的发射功率等级，纠正所检测到的盲区。否则，it 人员将可以借助准确的位置信息解决 问题。 4.1.6客户端和网络负载均衡客户端和网络负载均衡 只有在客户端能够通过负载均衡，有效地利用容量的情况下，wlan 容量才具有实际意义。 不幸的是，客户端并没有足够的智能来自行制定均衡决策，即使这可以带来更好的性能。例如， 一个会议室中的所有用户可能都会与某个距离最近的接入点建立关联，而忽略某个距离较远、但 是利用率较低的接入点。 思科无线局域网控制器为所有接入点的客户端负载提供了一个集中视图。这可用于确定在哪 里将新的客户端加入网络。另外，通过一定的设置，思科轻型无线解决方案可以主动地“驱使”现有 客户端关联到新的接入点，以提高 wlan 的性能。这样，容量可以更加平均地分配到整个无线网 络之中。 4.1.7真正实时解决方案真正实时解决方案 思科解决方案思科 wcs 轻型接入点和无线局域网控制器可以提供实时的 rf 管理。 其他 wlan 供应商采用了不同的方法来解决 rf 频谱问题，但是它们缺乏思科的实时检测 rf 改动 和对 wlan 配置进行相应调整的能力。 例如，有些 wlan 解决方案通过让接入点监听最不活跃的信道来进行信道分配。这种方式导 致了接入点只能制定适合某一时间段的信道选择决策，而且接入点经常处于除了 1、6 或者 11 以 外的信道上。因为这可能产生干扰，因而不适用于大多数企业环境。 另外一种策略是开发一个网络管理应用，让 it 人员可以将接入点组合到一起，发送到同一个 信道。在这个信道中，它们能够以不同的功率等级发送信标。结果经过分析，可以为 wlan 信道 分配创建一个原始拓扑。它将由管理员保存，并发送到接入点。这种方式的问题在于一个多层建 筑物总是存在垂直和水平重叠区域。这些应用通常没有考虑这些因素，因而只能创建一个局部拓 38062799d1b3f11f7c847e754d2bbf60.pdf page 24 of 100 扑。另外，这些扫描对 wlan 的运行具有破坏作用，所以应当在非工作时间进行不幸的是， 办公楼在非工作时间通常都没有工作人员，大门紧锁，而且相邻的 wlan 也不在工作，所以这时 的 rf 状况也与平时大不相同。rf 环境是动态的；it 人员不能只依赖于某个时刻的 wlan 配置， 尤其是非高峰期的 wlan 配置。 企业也很难依靠现场调查工具和预定的 rf 扫描来处理 wlan 配置。即使是支持“一键式” wlan 分析和配置推送的工具也不具有足够的动态性能，无法满足实际无线流量的需要。它们还 需要 it 专家的亲自参与，使得他们无法适应大型企业无线网络的要求。 实时 rf 管理应当模拟开放最短路径优先（ospf） 。ospf 可以利用路由参数，不断地监控网 络的状态和对路由表进行必要的改动，以利用最佳的拓扑。利用内置的智能，可以仅在网络性能 或者容量受到影响时才改动信道。将配置发送到一组接入点，但无法对系统性能和用户行为作出 连续反馈的无线管理系统，类似于过去的静态路由。当将路由输入曾经准确的路由表时，因为网 络一直在不断变化，所以路由表在将来某个时刻并不一定准确甚至它们的正确期仅为一天（或 者一个小时） 。 上面阐述整个安利中国公司无线系统解决方案所能够实现的效果和大致的方法，能够在接入 便利、安全、功能、运维、管理上满足安利中国公司的无线局域网络要求，整体上平衡这五个方 面，后面介绍整体解决方案的各个部分：控制器、接入点、网络管理和定位服务并配合终端、aaa 认证系统和 windows 域服务器 ad 就构成了完整的能够实现上述目标的有线/无线一体化方案。 简单来讲： 无线局域网解决方案的组成部件如下： 1) 控制器：控制所有的无线的运转过程； 2) ap 接入点：负责射频信号收发和射频扫描（定位和恶意 ap 扫描，收集信号，分析在控制 器） ，插上网线是对其唯一的手工操作； 3) 网络管理 wcs：图形界面管理，输入地理图和障碍信息，可以图示定位、射频信息，记录 和审计，图示恶意 ap，操作控制控制器的无线操作。一般和控制器一起部署，可以在 wcs 上监控和操作整个无线局域网络系统，所有操作以 web 方式进行； 4) 定位服务器：提供定位分析； 5) 终端：兼容绝大多数厂商的终端设备，没有限制。 6) aaa 服务器：提供集中认证，采用安利中国现有的 radius 系统，如微软 ias 。 38062799d1b3f11f7c847e754d2bbf60.pdf page 25 of 100 7) windows ad 服务器：可以连接 aaa 服务器，当控制器到 aaa 进行认证时，aaa 查询 ad 得到认证结果并返回，达到利用 ad 集中认证的结果，可以实现在终端上仅仅登陆域就可 以实现无线同时认证集成的目的(即单次登陆：sso，single-sign-on)。 4.2 轻型接入点协议轻型接入点协议 安利中国公司无线解决方案采用 lwapp 协议，即轻型接入点协议。wlan 领域的趋势是向集 中智能和集中控制发展。使用一个 wlan 控制器系统来为大量轻型接入点创建和执行策略。通过 集中这些设备的智能特性，整个无线企业中对 wlan 运营至关重要的安全性、移动性、服务质量 (qos)和其他功能都可得到有效管理。此外，通过分离接入点和控制器的功能，it 人员能简化管理、 提高性能并使大型无线网络更为安全。 轻型 wlan 系统集中提供用于企业级 rf 管理和策略控制的智能 随着更多供应商移植到层次化设计，并用轻型接入点构建更大型的网络，市场上需要一种管 理轻型接入点如何与 wlan 系统通信的标准化协议。这也正是互联网工程任务小组（ietf）最新 规范草案，即轻型接入点协议（lwapp）的作用所在。凭借 lwapp，能部署功能最多、具更高灵 活性的大型多供应商无线网络。 38062799d1b3f11f7c847e754d2bbf60.pdf page 26 of 100 4.2.1轻型接入点部署定位轻型接入点部署定位 传统的 wlan 解决方案将所有的流量处理、rf 控制、安全和移动功能分散到各接入点提供。 但这种架构只允许单个接入点浏览 802.11 流量。这意味着： 当未配备管理设备时，必须分别管理各接入点，从而提高运营成本和增加对人员的要求 无法查看系统中的网络级攻击和干扰 在第一层、第二层和第三层中只有一个安全策略实施点 无法发现和抵御针对整个 wlan 的拒绝服务(dos)攻击 系统不能关联或预测企业中的活动 实现优化、实时的负载均衡的能力有限 客户端无法进行快速功能切换，而这正是支持语音和视频等实时应用所必需的 如果一个接入点被偷窃或破坏，就会带来内部安全风险 38062799d1b3f11f7c847e754d2bbf60.pdf page 27 of 100 对等 wlan 架构限制了性能、可管理性和安全性的提高 大量设备供应商已纷纷采取措施，来消除对等 wlan 架构的局限性（如上图） 。其中许多供 应商宣布采用新架构，集中部署 wlan 智能，以实现更高性能和效率。 4.2.2标准化需求标准化需求 随着越来越多的产品使用带集中 wlan 智能的轻型接入点，市场需要一个管理这些设备相互 间如何通信的业界标准。lwapp 是 ietf 工作小组为解决此问题而制订的标准化草案。lwapp 最 初由 airespace (2005 年 3 月被思科系统公司收购) 和 ntt docomo 制订，是接入点和 wlan 系 统（控制器，交换机，路由器等）之间的标准化通信协议。其制订目标如 ietf 规范所述，旨在： 降低接入点中的处理负担，使这些设备中有限的计算资源可主要用于提供无线接入功能，而 非用于过滤及策略实施 实现能对整个 wlan 系统集中进行流量处理、验证、加密和策略实施（qos，安全等）的机 制 通过第二层基础设施或 ip 路由网络，提供一个通用封装和传输机制，用于实现多供应商接入 点互操作性 lwapp 规范通过定义以下类型的活动，解决了这些问题： 接入点设备发现、信息交换和配置 38062799d1b3f11f7c847e754d2bbf60.pdf page 28 of 100 接入点认证和软件控制 分组封装、分段和格式化 在接入点和无线系统设备间进行通信控制和管理 lwapp 的广泛采用使企业客户可从多种能互操作的接入点及无线系统设备中进行选择，因此 他们不再需要根据哪些设备能配合工作而作出购买决策，而是可根据各接入点和无线系统设备的 具体功能制订决策。 lwapp 在市场中得到广泛接受，减少了被迫锁定于一个供应商，即只有将接入点与同一供应 商的 wlan 系统设备共用，才能获得最优运行效果的现象。lwapp 还提供了一个开放标准解决方 案，可在多供应商集中 wlan 架构上提供安全的第二层和第三层网络服务。此外，凭借 lwapp， 第三方供应商也可拥有一个用于部署应用的通用架构。 4.2.3运行运行 lwapp 当 lwapp 于 2002 年首次进入 wlan 行业时，它通过“分离 mac”概念使管理 wlan 部署的 方式发生了革命性的改变， “分离 mac”可将 802.11 协议的实时功能和