办公室无线网络技术方案

1656832.doc Page 1 of 99 安利中国公司 办公室 无线 网络 技术 方案 思科系统 (中国 )网络技术有限公司 2007 年 6 月 1656832.doc Page 2 of 99 1 项目概述 . 4 2 现状与需求分析 . 4 2.1 现状分析 . 4 2.2 需求分析 . 5 3 网络设计原则和设备厂商选择 . 8 3.1 网络设计实现原则 . 8 3.2 设备厂商选择原则 . 10 3.3 选择思科无线产品的技术优势 . 11 4 网络 技术选型 .16 4.1 集中无线网络架构 . 16 4.1.1 无线资源监控 . 17 4.1.2 动态信道分配 . 18 4.1.3 干扰检查和避免 . 20 4.1.4 动态发射功率控制 . 21 4.1.5 覆盖盲区检测和纠正 . 22 4.1.6 客户端和网络负载均衡 . 23 4.1.7 真正实时解决方案 . 23 4.2 轻型接入点协议 . 25 4.2.1 轻型接入点部署定位 . 25 4.2.2 标准化需求 . 27 4.2.3 运行 LWAPP . 28 5 无线网络设计规划 .30 5.1 网络结构设计概述 . 30 5.2 无线网络设计架构 . 32 5.2.1 概述 . 32 5.2.2 详细设计 . 34 5.2.3 以太网供电 . 38 5.2.4 频点规划建议 . 39 5.2.5 现有无线网络的迁移 . 39 5.2.6 无线网络性能设计 . 40 5.2.7 无线网络的频点覆盖设计 . 45 5.2.8 天线的选择 . 49 5.2.9 无线网络系统的话音应用设计（ VoWLAN） . 53 5.2.10 无线网络系统的安全设计 . 60 1656832.doc Page 3 of 99 5.2.11 无线网络系统的管理 . 66 6 思科无线网络解决方案技术优势 .68 6.1 先进的无线局域网络产品 . 68 6.2 更好的用户体验 . 68 6.3 更好的管理体验 . 69 6.4 基于用户的增强安全策略 . 70 6.5 自由 漫游移动域 . 70 6.6 采用虚拟服务组增强管理灵活性 . 70 6.7 强大的认证管理选项 . 71 6.8 集中接入点管理提供简化管理方法 . 71 6.9 动态射频（ RF）管理确保最佳覆盖范围 . 71 6.10 用户端射频优化提供个性化性能 . 72 6.11 即插即用（ PLUG-N-PLAY） /即插即增（ PLUG-N-GROW） . 72 6.12 恶意接入点防护遏制了威胁侵害 . 72 6.13 超越标准的增强型无线威胁防护 . 73 6.14 采用用户端负载均衡实现最佳性能 . 73 6.15 无缝的快速漫游支持不间断语音和多媒体业务 . 73 6.16 自愈式弹性 设计使服务中断最小化 . 74 6.17 持续运营 . 74 6.18 通过在任何网络中进行无缝的部署将您的局域网（ LAN）扩展到无线 . 74 6.19 基于标准开放方式的用户和应用兼容性方法 . 75 6.20 管理帧保护 (MFP:MANAGEMENT FRAME PROTECTION) . 75 6.21 无线 W LC与有线 IDS/IPS 联动 . 76 6.22 远程 AP 混合工作方式 H-REAP. 76 7 产品介绍 .77 7.1 无线局域网控制器 . 77 7.2 无线网管系统 . 82 7.3 定位服务器 . 89 7.4 无线接入点 . 98 1656832.doc Page 4 of 99 1 项目概述 随着办公自动化、移动办公、 RFID 技术、无线 IP 语音的不断 深入应用 ，以及访客交流的日益增多，安利中国公司 拟 建立一个能够快速、灵活、简便可靠组网 、 高安全 性以及 承载丰富 移动应用 的无线网络 。 为配合 安利中国公司 无线网络建设，在技术上需要采用现代无线网络技术的先进成果，必须保持一定的技术前瞻性，使 安利中国公司 的无线网络建设进入世界的先进行列；同时考虑 安利中国公司 的 实际应用需求，结合企业未来发展要求，在统一网络管理与安全策略的前提下，使 安利中国公司 网络的技术建设水平与经济投资效益及业务发展需求结合起来，为 安利中国公司 服务，发挥应有作用。 同时，结合 安利中国公司现有的无线网络状况，应考虑到新部署的无线网络对现有无线网络的兼容或支持对现有无线网络的平滑升级，以最大程度地保护前期投资 并实现统一管理、统一策略 。 思科公司根据自身丰富的无线网络实施经验和功能强大的无线产品依据 安利中国公司 网络现状 ，同时参照国际、国内和行业相关技术标 准及规范，以及信息化建设规范，还吸取了国内外相关案例的成功经验 ， 完全可以无缝融合进当前 安利中国公司 的信息化全面建设中。 2 现状 与 需求 分析 2.1 现状分析 本次项目主要考虑 安利中国公司各办公 室的无线网络部署。 无线覆盖空间 类型大多为办公室，少量为会议室 和空旷区域 。 办公室 房间 多 分布在走廊两侧，走廊侧为墙壁或 木 门。房间和走廊均设有吊顶，吊顶距离楼板大约 30 至 50 厘米，走廊吊顶上方为结构化布线金属线槽和 弱电路由 。 1656832.doc Page 5 of 99 各办公 室 的现有布线结构比较简单，目前各房间的 游戏 信息点均汇集到相应的配线间最终汇聚到相应的 主机房。 目前安利公司部署的是自治的无线接入点（即“胖” AP）系统。安利中国现有的无线网络中配置了一块 Cisco Catalyst 6509 交换机内置的 WLSM 无线域服务模块（ WDS）和一台 WLSE 无线 网管；无线接入点分布如下： 美银中心：部署无线接入点 Cisco AP 1231G 共 33 台 ，配置 2.4G 天线，类型为 ANT-4941； 永和仓库：部署无线接入点 Cisco AP 1231G 共 10 多台 ，配置 2.4G 天线，类型为 ANT-4941。 其他 办公室安装 有少量 自治 AP。 各 AP 通过 Cisco Catalyst 3560 以太网供电交换机提供 48V PoE 电源。 2.2 需求 分析 本次无线项目涵盖广州、北京、上海三地的多个办公室。各办公室楼层状况和现有无线网络状况如下： 办公室 每层面积 目前部署状况 中信 4 层、每层 45 米 45 米 未部署 美银 1 层 33 个独立 AP 国贸 面积约为美银一半左右 未部署 天誉 面积约与美银相仿 未部署 LC/ACTI Office 面积约与美银相仿 仓库已部署 10 多个独立 AP，办公室未部署 开发区工厂 面积约为美银 2 倍 未部署 北京 Office 面积约与美银相仿 未部署 上海 Office 面积约与美银相仿 未部署 各会议室 目前按普通空间计算，未单独计算 未部署 要求实现无线 Wi-Fi客户端 在上述区域的所有地方都能无线上网且用户可以在有无线信号的地方无缝的漫游 ，以 提供安全的移动联网环境，实现真正的安全移动， 减少布线的繁琐和成本，提高员工协同工作效率， 从而 节省成本并 提高生产率 。 1656832.doc Page 6 of 99 办公室内有大量 用户需要使用笔记本电脑接入无线网络， 并且 该数量会不断增加。对外交流活动较多，楼内不定期有访客到来也需要使用笔记本电脑接入无线网络。 不远的将来，还 需要接入 WLAN 无线手机 或 GSM/Wi-Fi双模手机 ， 提供话音服务 ；并且，能够在仓库、店铺提供基于 Wi-Fi的 RFID Tag、手持 无线 Scanner/PoS 机等 联网 应用。 无线网络目前主要应用领域 依次为数据处理，语音通讯和实时 定位 应用三种。 数据处理应用 主要体现在两个方面，一是办公自动化方面，二是信息和数据的快速处理。 无线宽带接入服务：用户可以享受真正的 无线 自由的体验，可以在办公室和楼内随时随地通过支持 WiFi的笔记本电脑 /PDA/台式 PC 享受无线网络服务，如网络办公， Email等。同时，为用户省却了布线的费用和烦恼。 移动办公室：利用无线网络的大面积覆盖能力，可以将楼内的办公区和会议区无缝连接在一起，工作人员可以在楼内随时随地接入网络进行信 息查询，办公应用，通信联络等。 语音通讯应用部分 语音通讯主要应用在以下方面： - 建立基于 IP 的无线语音网 - 紧急呼叫 - 语音的集群通信 所需要的设备为： - VoIP 设备 - VoIP 手持终端 - PDA 和笔记本电脑 具体的应用有以下几类： 1656832.doc Page 7 of 99 常规移动语音呼叫 能够完成现有普通语音移动系统完成的功能，满足日常需要；如果采用 PDA 手机，还可以完成视频和数据上网功能； 紧急呼叫 某些手机可以设置紧急呼叫建； 群呼 思科自身手机具有群呼功能直接通知整个组的用户； 与园区内部固网电话的融合呼叫 固定和移动中均可无线办公，采用同一号码； 节假日远程值班 通过 VPN 网络与出差在外、在家办公的员工 实现免费通话； 总而言之，用户希望组建无线、有线通信网络，实现基于无线网络的数据传输、语音通信、应急系统、视频监控等一系列功能和增值应用。在应用传统的办公自动化的同时，通过融合技术提供个性化的服务，例如在终端上可以实现端到端电话交流，提高用户的工作效率，使用户真正体现到网络融合技术带来的好处。 1656832.doc Page 8 of 99 注：以上为初期需求， 如有调整将随时更新。 3 网络设 计原则和设备厂商选择 3.1 网络设计实现原则 基于标准化的设计和实现 在结构上实现真正开放，基于国际开放式标准，开放的网络使用户可以自由地选择不同厂家的产品，不会受到某些厂家专有标准的限制，最大程度地保护用户的利益。网络的设计基于国际标准，网络设备采用标准的接口和规范和协议，使不同厂家的设备可以顺利地连接。 技术先进性和实用性 系统建设要有一定的前瞻性，保证满足无线应用业务的同时，又要体现出网络系统的先进性。在方案设计中，把先进的技术与现有的成熟技术和标准结合起来 ，充分考虑到安利中国应用的现状和未来发展趋势。在网络建成后的 3-5 年之内，不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平，避免技术环境过于超前造成投资浪费。 高度的可靠性、稳定性和冗余 网络系统的稳定可靠是应用系统正常运行的关键保证，在整个网络中选定合理的网络架构，无线网络采用 802.11a/b/g 通信协议，在较近的距离内可以提供 54Mbps 的连接速率，可提供更多的信道，从而最大限度地支持 安利中国公司 业务系统的正常运行。 1656832.doc Page 9 of 99 为了防止局部故障引起整个网络系统的瘫痪，要避免网络出现单点失效。在网络骨干上要提供备份链路，提供冗余路由。在网络设备上要提供冗余配置，保证把局部故障对网络的影响降低到最小。 高性能 为了及时、迅速地处理网络上传送的数据，网络设备必须具备高速处理能力，提供高速数据链路，保证网络高吞吐能力，满足各种应用（如：无线语音，实时定位系统）对网络带宽的需求。 易于安装、操作和管理 良好的组织和管理对网络的正常运转和高效使用有很大帮助，网络应该能够提供方便、灵活、有力的工具，使得无 论是安装、操作还是使用对用户来说都轻而易举。 可扩充升级，具备支持目前及未来关键应用的能力 随着用户应用规模的不断扩大，要求网络可以方便地扩充容量，支持更多的用户及应用；随着网络技术的不断发展，网络必须能够平滑地过渡到新的技术和设备，保证用户现有的投资。 高度的安全性 为了保护用户在网络上数据的安全可靠，必须提供多种方式和层次的访问控制，通过使用包过滤、防火墙及 VPN 等技术保证数据的安全传输。 资源的高效利用 1656832.doc Page 10 of 99 合理利用网络资源，将网络的运行 成本降到最低，同时网络的服务产出最大。 3.2 设备厂商选择原则 由于 安利中国公司 的无线网络系统是一个涉及到多种硬件设备的复杂工程，我们建议 根据以下标准的选择厂商： 1) 设备性能价格比 设备的性能价格比是选型决策的重要考虑因素。 2) 售后服务 售后服务包括如下内容： 设备的保修期； 是否在中国有备件库，这样一旦发生硬件故障时可以及时得到更换； 是否提供热线服务，以便与原制造厂商及时取得联系，获得技术咨询和支持； 故障报告的响应时间。 3) 公司的经济、技术实力和市场 占有率，这一定程度上反映了其产品的信誉。 4) 设备的技术先进性，这是选型的重要考虑因素。 5) 设备对未来新技术的适应能力，反映设备的可扩展性，这是保护用户投资的一种策略。 6) 设备的技术性能指标。 7) 设备使用的方便程度，这体现设备的可维护性。 8) 设备在大型网络中的应用情况，它反映设备的适应性和可靠性。 9) 网络管理系统的集成性、开放性和功能，它反映网络管理系统是否能对网络作全面深入的管理，以及它对异构网络的适应能力。 10) 设备的标准化程度和可扩充性，反映对网络规模扩展的适应能力。 11) 是否对质检系统有长期稳定的优惠政策。 1656832.doc Page 11 of 99 12) 交货期的时限和信用，这对工程能否如期完成有重大影响。 13) 系统软件的升级条件是否优惠。 14) 差错的检测与隔离能力，这是网络可靠性的重要保证。 15) 手册与培训，反映用户能否较快地掌握设备的使用。 综上所述，为了保证方案的实用性、先进性 、完整性、经济性与可靠性，同时满足未来的网络升级，我们建议选用 在以上各个方面均具备较大优势的思科公司的无线网络设备和整体解决方案来构建 安利中国公司 的无线网络。 3.3 选择思科无线产品的技术优 势 思科无线产品能够提供安全的移动联网环境，可在整个园区中实现真正的安全移动，它提供完全的安全性，以保护网络，此外还提供完全的管理来控制无线环境。无线局域网技术能够为被布线束缚在办公桌前的员工解除限制，使企业受益匪浅。无线技术带来很大的自由，使用户能够随时随地访问信息，从而提高生产率。思科实现移动性的方法是消除限制，并提供解决方案，使用户能通过无线方式访问有线网络中的相同应用。真正的移动性使我们能够访问 IP 语音通信等多业务应用。移动性和 PDA 及 WLAN 手持话机等手持设备的发展，使我们距无线世界更近 一步，也使企业更加接近思科 一体化网络 的远景规划。 思科是业界唯一在为企业和服务提供商提供视频、语音、数据、无线和安全技术方面拥有丰富经验的厂商。凭借这种经验，思科屡获奖项的产品 无线 WLAN 系列产品成为业界一流的产品，因为它能用于构建移动网络，提供安全的适应性多业务解决方案。采用思科的一体化无线解决方案，可以为用户带来如下技术优势： 先进性和实用性并重 1656832.doc Page 12 of 99 系统建设具有一定的前瞻性。在无线网络建成后的 3-5 年之内，不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平 ，避免技术环境过于超前造成投资浪费。思科具备丰富的无线产品和解决方案可供用户根据自身的实际情况选择。 无线集中架构是 IETF和 Wi-Fi国际联盟推崇的未来无线以太网建网工业标准，即所谓的 瘦 AP架构。本方案建议安利中国无线局域网采用思科无线集中架构网络解决方案， 一种 基于 LWAPP（ Light Weight Access Point Protocol，即轻量级无线接入协议） 的 协议架构。 最大程度的兼容性 思科无线网络采用开放式体系结构，易于扩充，使相对独立的分系统易于进行组合和调整。选用的通信协议符合国际 标准或工业标准，网络的硬件环境、通信环境、软件环境相互独立，自成平台，使相互间依赖减至最小，同时保证网络的互联，思科的无线局域网全部支持从交换机直接通过PoE 供电，不必为 AP 另行配置电源插座 ， 针对较远传输距离 可通过单独的外置供电注入器供电。 思科的无线局域网系统满足国际和国内的无线标准，思科 WLAN 最大程度的兼容符合 Wi-Fi标准的各种无线终端设备，如 Intel讯驰系统、国内和台湾、香港生产的通过 Wi-Fi认证的无线局域网络终端设备，事实上，几乎今天在市面上知名的品牌均可以兼容。 全网以 IEEE 802.11 国际技术标准为指导，最大支持 54Mbps 的接入速率。 安全的无线辐射 根据中国国家无线电管理委员会的规定，在室内部署无线网络信号辐射不得超过 100mw，以避免 2.4GHz 和 5GHz 对人体的影响。同样的原因，在通常情况下，终端使用 60mw 左右的发射功率，以避免大功率长期辐射对人体的影响。无线接入点即 AP 执行 IEEE802.11g 标准工作在 54Mbps到 1Mbps 之间，随着终端和 AP 之间的信号的强弱， AP 和终端会自动协商根据信号的衰减程度，自动降低传输速率和增大传输功率。思科无线系统在办公室内部署的型号统 一都根据国家规定最大为 100mw，功率智能调节。 1656832.doc Page 13 of 99 实时的射频自动监测 无线信号容易受到其他信号的干扰，无线局域网使用的 2.4GHz 和 5GHz 频段是开放频段，无需注册即可获得使用，因此下列设备可能造成干扰： 微波炉 其他大楼的无线系统 工作在 2.4GHz 的无绳电话等 因此思科的 AP 可以实时进行射频的监测， AP 后台的控制器能够实时对 AP 进行控制，控制功率的大小，比如当 1 个 AP 失效以后，这个 AP 周围其他的 AP 通过自动计算对功率进行增加来覆盖失效 AP 产生的信号黑洞；出现信号干扰的时候，控制器能够对信号干扰来源进行 定位，确定何处的信号干扰，信号干扰的程度如何，并以地图方式显示在网管上。 传统有线网络在物理安全方面存在一定的优势。有线接口位于建筑物内部，这意味着企业可以利用加密卡和通行证来将未经授权的用户拒之门外。但是在无线网络中，这种物理保护并不存在。无线信号会扩散到物理围墙之外，从而可能将企业的 WLAN 拓展到某个停车场或者相邻建筑物。为了最大限度地解决这个问题，思科采用了先进的 RF 设计、发射功率控制和先进的定位技术。 自动负载均衡 有线网络在本质上具有确定性 第二层（以太网）和第三层（ IP）交换机和路由器都是便 于理解、可以预测的。但是，用户在无线网络中的体验则依赖于无线信号的传播和建筑物的其他特性。这些特性可能会迅速发生变化，从而影响连接速度和错误率。一个位于建筑物内的办公的 RF 环境在早上 10 点和 3 点时是完全不同的。在早上 10 点，有很多的用户在移动使用网络。而在早上 3点，人员都休息了，没有人在使用无线网络，而且附近的办公室也不会产生 RF 干扰。 更多的情况下，在同一时间，很多人汇聚到会议室，特别是当人数比较多，超出了 1 个 AP 的承受范围，那么无线网络会慢的无法工作；为了保障带宽，如果在 AP 设置了限制，那么后来的人员 无法得到无线连接服务，因为在后台控制器的模式，可以对 AP 自动的负载均衡，将终端分别发送到不同的 AP，自动计算和对终端的流量进行均衡，比如，当这个 AP 的利用率到了 80%，那么控制器自动将用户引导到另外的空闲的相邻 AP 上面，而在我们的设计中，所有的 AP 部署已经考虑 1656832.doc Page 14 of 99 了人员的位置和可能的集中的情况，完全可以智能的处理动态的负载变化。 自动频道管理和跨 IP 域漫游 无线局域网 802.11b/g 标准使用 3 个不重复的频道， 1、 6、 11，为了实现自动漫游，需要对频道的管理。思科无线系统由于采用了后台集中控制的方式，能够当 AP 布防后，通过实时射频监测，然后自动对频道进行分配，并地图方式显示在网管上。 无线局域网的 AP 如果处于不同的子网，在漫游的过程中，需要处理三层的漫游，在后台保持用户的 DHCP 得来的 IP 租用，认证的会话密钥等，控制器可以自动完成三层无线漫游。 最大的安全性 无线网络支持最多的安全特性，采用集中认证，对每个数据包进行加密。通过对射频的实时监测，发现并定位恶意的 AP，恶意 AP 是未经授权的人员通过自己设置一个 AP，吸引无线终端连接到恶意 AP 从而非法获得数据的黑客方法。对恶意 AP 的扫描配合采用安全无线认证协 议，能够解决AP 和无线之间的相互信任问题。目前无线局域网领域标准主要有思科和微软等公司，能够支持最多的安全保障和扩展的端口安全管理。 地理化图形管理界面 网络管理界面全部图形化，能够输入建筑的平面图，并且能够进行微调，能够输入障碍物等信息，在网管上面可以操作全部的无线功能。在 AP 上无需任何配置。 无缝集成终端定位应用 配合射频实时监测功能，射频指纹扫描能够对终端所在的位置进行定位，当一个移动终端变换位置时，能够实现 3-5 米的定位，可以将人员位置显示在网络管理界面的办公楼地理图上。方便对无线终端的监控和管 理。在网络管理系统上有针对 ERP 系统和安全管理系统的 API，可以结合 ERP和安全管理系统将定位信息集成到工作流程的管理中。 1656832.doc Page 15 of 99 4 网络技术选型 4.1 集中无线网络 架构 为了全面地满足企业的 RF 管理需求，思科设计了一个集中、简便的 集中 WLAN 架构。它的核心组件是 分离 MAC体系 ，即将对 802.11 数据和管理协议的处理，以及接入点功能分别部署于一个轻型接入点和一个集中 WLAN 控制器（ 下图 所示）。更加特别的是，对时间敏感的活动 例如信标处理、与客户端的握手、介质访问控制（ MAC）层封装 和 RF 监控 都是由接入点处理的 。所有其他活动都由 WLAN 控制器处理，它需要具备整个系统的可见度。这包括 802.11 管理协议、帧转换和桥接功能，以及对于用户移动、安全、 QoS 和 可能更加重要的是 实时 RF 管理的系统级策略。 典型的分离 MAC 体系 思科无线局域网控制器具备的实时 RF 管理对于思科轻型无线解决方案具有重要的意义。它是思科产品的一项独有特色。思科无线局域网控制器可以利用动态算法，创建一个完全自行配置、优 1656832.doc Page 16 of 99 化和治愈的环境，让思科 WLAN 适用于提供安全、可靠的业务应用。这是通过执行下列 RRM功能实现的： 无线资源监控 动态信道分配 干扰检测和避免 动态发射功率控制 覆盖盲区检测和纠正 客户端和网络负载均衡 4.1.1 无线资源监控 RF 网络的管理需要充分了解影响无线空间的因素。思科轻型接入点采用了独特的设计，不仅能够提供服务，还可以同时监控所有信道。这源自于思科在它的分离 MAC 架构中对 802.11 MAC层所开展的、广泛的开发工作。 除了提供 数据 服务以外，思科轻型接入点还可以同时扫描所在国家允许的所有有效的802.11a/b/g 信道，以及在其他地区有效的信道。这可以提供最高限度的保护 系统将发现可能从其他国家进口的恶意接入点，或 者某个知道怎样更改所在国家规定操作方式的黑客。这些黑客能够让恶意设备位于带外，从而躲过大部分 WLAN 入侵检测系统（ IDS）的扫描。 思科轻型接入点可以在不超过 60ms 的时间里进行 信道外 扫描，以监听这些信道。在此期间搜集到的分组将被发送到思科无线局域网控制器。后者将对这些分组进行分析，以发现恶意接入点（无论服务集标识符 SSID是否被广播）、恶意客户端、临时客户端和干扰接入点。 在缺省情况下，每个接入点只用 0.2%的时间进行信道外扫描。这项任务会在所有接入点之间进行统计分配，以确保相邻接入点不会同时进行 扫描，对 WLAN 的性能造成不利的影响。这使得管理员可以通过每个接入点搜集到的信息，了解他们的 WLAN 的运行状况，将网络可见度提高 到重叠式网络所无法提供的水平，解决为每三到五个接入点部署无线监听 器这一做法可能出现的 隐藏节点 问题。 在必要情况下，思科轻型接入点可以被专门部署为无线监听 器，但是成本因素和对更高网络可见度的要求通常会促使最终用户采用上述方式。 1656832.doc Page 17 of 99 4.1.2 动态信道分配 802.11 MAC 功能需要采用一种基于二进制指数退避的冲突避免机制，即带有冲突检测的载波侦听多路存取（ CSMA/CA）。 802.11 MAC 层由一个四路交换协议定义： Request to Send (RTS) Clear to Send (CTS) Data ACK 当某个基站需要发送信息时，它会将其提供给介质。如果介质是闲置的，接入点将会允许该基站发送它的数据。否则，基站将被告知等到其他正在使用介质的基站完成任务之后再发送数据。这可以防止两个客户端同时在同一个信道上发送数据，导致数据帧受损。 在使用 CSMA/CA 时，同一个信道上的两个接入点（位于同一个区域）与两个不同信道上的两个接入点相比，将获得其一半的容量。这可能会导致 问题。例如，某个在咖啡厅中查看电子邮件的用户可能会对相邻企业中的接入点的性能造成不利的影响。即使位于不同的网络之中，在信道 1 上向咖啡厅网络发送流量的用户也可能会导致使用同一个信道的企业数据遭到破坏。思科无线局域网控制器可以通过动态分配接入点信道，避免冲突，从而解决这个问题和其他同频干扰问题。因为思科轻型解决方案通过它的 RRM工具而具有覆盖整个企业的可见度，所以信道可以被 重复利用 ，以避免浪费宝贵的 RF 资源。换句话说，信道 1 将会分配给一个远离该咖啡厅的接入点。相比之下，其他 WLAN 系统在这种情况下通常要求完 全禁止使用信道 1。因此，思科的解决方案更为有效。 思科无线局域网控制器的动态信道分配功能还有助于最大限度地减小思科轻型 WLAN 解决方案中的相邻接入点之间的同频干扰。例如，在使用 802.11a时，信道 35和 40不能同时使用 54Mbps，具体取决于接入点和客户端的摆放位置。通过分配信道，思科无线局域网控制器可以隔离相同信道，从而避免这个问题（如 下 图所示）。 动态信道分配 1656832.doc Page 18 of 99 33%效率 100%效率 思科无线局域网控制器可以通过分析多种实时 RF 特性，有效 地处理信道分配。这些特性包括： 接入点接收能量 这取决于网络的静态拓扑；这项功能可以让信道获得最高的网络容量。 噪声 这个因素会限制客户端和接入点的信号质量。噪声的增大会导致有效网格的减小。通过优化信道和避免噪声源，思科无线局域网控制器可以在优化网络覆盖范围的同时，保持系统容量不变。如果某个信道因为噪声过高而无法使用，该信道将会被避开。 802.11 干扰 如果存在其他无线网络，思科无线局域网控制器将会改变信道的使用方式，以避免与其他网络的干扰。例如，如果一个网络使用的是信道 6，另一个相邻 WLAN 将被分 配信道1 或者 11。这可以通过限制频率重叠，提高网络容量。如果因为某个信道的使用量过高而导致没有可用容量，思科无线局域网控制器将会选择避开这个信道。 利用率 在启用这项功能时，容量计算将会考虑到某些接入点传输的流量多于其他接入点（例如一个休息室相对于一个工程区域）。因此，那些需要最多带宽的接入点将在信道分配方面获得更高的重视。 客户端负载 通过在调整信道结构时考虑客户端负载，可以最大限度地减少客户端对于WLAN 的影响。思科无线局域网控制器会周期性地监控信道分配情况，搜寻 最佳的 分配方式。只有在可以显著提 高网络性能，或者改进某个性能低下的接入点的性能时，才会进行调整。 思科无线局域网控制器可以将 RF 特性信息与智能算法相结合，执行针对整个系统的决策。利 1656832.doc Page 19 of 99 用软决策机制，可以满足互相冲突的需求，为最大限度地减少网络干扰确保最佳的选择。最终结果是在一个三维空间中实现最佳的信道配置，而位于楼层上方和下方的接入点在总体 WLAN 配置中扮演着重要的角色。 4.1.3 干扰检查和避免 干扰 的定义是任何不属于某个思科 WLAN 系统的 802.11 流量，包括恶意接入点、蓝牙设备或者相邻 WLAN。思科轻型接入点一直在扫描所有信道，寻找主要的干扰 源（如 下 图所示）。 如果 802.11 干扰幅度超过了预定的阈值（缺省值为 10%），一个消息就会被发送到思科无线控制系统（ WCS）。思科无线局域网控制器将设法重新分配信道，以便在存在干扰的情况下提高系统性能。这可能会导致相邻思科轻型接入点位于同一个信道上，但是这显然要比让接入点继续留在一个因为某个干扰接入点而无法使用的信道上好得多（考虑到利用率因素）。 动态信道分配机制对干扰的反应 恶意设备 管理员可以从思科 WCS 实时地查看 RF 环境的情况（如 下 图所示）。这有助于了解无线空间的 1656832.doc Page 20 of 99 运行状况，尤其是试图诊断 WLAN 故障时。 思科 WCS 无线统计信息视图 4.1.4 动态发射功率控制 正确的接入点发射功率设置对于保证 WLAN 的平稳运行具有重要的意义。这对于实现网络冗余也非常重要，有助于确保在接入点失去连接时进行实时的故障切换。 思科无线局域网控制器可根据实时的 WLAN 情况动态地控制接入点的发射功率。在正常情况下，功率可以保持在较低的水平，以获得额外的容量和减少干扰。思科轻型解决方案将试图根据最佳实践经验，对接入点进行平衡，以确保它们在相邻接入点之间保持 -65dbm 的发射功率。 如果检测到某个发生故障的接入点，周围接入点的功率将会 自动提高，以填补覆盖范围受损所导致的漏洞。只允许对发射功率进行静态设置的 WLAN 解决方案在支持动态网络需求方面的能力极为有限。 思科 RRM算法采用了独特的设计，可以创建最佳的用户体验。例如，如果接入点的发射功率 1656832.doc Page 21 of 99 被调低为四级（一级最高，五级最低），而且用户的接收信号强度指示（ RSSI）值降低到某个可以接受的阈值之下，接入点功率将会被提高，以便为客户端提供更好的体验。如果用户的 RSSI 值位于阈值之上 ，功率将决不会被调低。 用户可以在思科 WCS 中，方便地查看各个功率等级和接入点相邻设备信息，如 下 图所示。 图 5 利用思科 WCS 监控功率等级 4.1.5 覆盖盲区检测和纠正 如果某个接入点上的客户端的 RSSI等级较低，思科轻型接入点将会向思科 WCS 发出一个 覆盖盲区 警报。这表示存在一个覆盖信号持续较差的区域，其中没有可通信的漫游地点。 管理员可以查找接入点的历史记录，了解这些警报是不是一种长期现象。长期现象意味着存在一个长期的覆盖盲区，而不是一个偶发性的问题。如果是的话，思科无线局域网控制器将会调节接 1656832.doc Page 22 of 99 入点的发射功率等级，纠正所检测到的盲区。否则， IT 人员将可以借助准确的位置信息解决问题。 4.1.6 客户端和网络负载均衡 只有在客 户端能够通过负载均衡，有效地利用容量的情况下， WLAN 容量才具有实际意义。不幸的是，客户端并没有足够的智能来自行制定均衡决策，即使这可以带来更好的性能。例如，一个会议室中的所有用户可能都会与某个距离最近的接入点建立关联，而忽略某个距离较远、但是利用率较低的接入点。 思科无线局域网控制器为所有接入点的客户端负载提供了一个集中视图。这可用于确定在哪里将新的客户端加入网络。另外，通过一定的设置，思科轻型无线解决方案可以主动地 驱使 现有客户端关联到新的接入点，以提高 WLAN 的性能。这样，容量可以更加平均地分配到整 个无线网络之中。 4.1.7 真正 实时解决方案 思科解决方案 思科 WCS 轻型接入点和无线局域网控制器 可以提供实时的 RF 管理。其他 WLAN 供应商采用了不同的方法来解决 RF 频谱问题，但是它们缺乏思科的实时检测 RF 改动和对 WLAN 配置进行相应调整的能力。 例如，有些 WLAN 解决方案通过让接入点监听最不活跃的信道来进行信道分配。这种方式导致了接入点只能制定适合某一时间段的信道选择决策，而且接入点经常处于除了 1、 6 或者 11 以外的信道上。因为这可能产生干扰，因而不适用于大多数企业环境。 另外一种策略是开发一个网络管理应用， 让 IT 人员可以将接入点组合到一起，发送到同一个信道。在这个信道中，它们能够以不同的功率等级发送信标。结果经过分析，可以为 WLAN 信道分配创建一个原始拓扑。它将由管理员保存，并发送到接入点。这种方式的问题在于一个多层建筑物总是存在垂直和水平重叠区域。这些应用通常没有考虑这些因素，因而只能创建一个局部拓扑。另外，这些扫描对 WLAN 的运行具有破坏作用，所以应当在非工作时间进行 不幸的是，办公楼在非工作时间通常都没有工作人员，大门紧锁，而且相邻的 WLAN 也不在工作，所以这时的 RF 状况也与平时大不相同。 RF 环境是动 态的； IT 人员不能只依赖于某个时刻的 WLAN 配置，尤其是非高 1656832.doc Page 23 of 99 峰期的 WLAN 配置。 企业也很难依靠现场调查工具和预定的 RF扫描来处理 WLAN配置。即使是支持 一键式 WLAN分析和配置推送的工具也不具有足够的动态性能，无法满足实际无线流量的需要。它们还需要 IT专家的亲自参与，使得他们无法适应大型企业无线网络的要求。 实时 RF 管理应当模拟开放最短路径优先（ OSPF）。 OSPF 可以利用路由参数，不断地监控网络的状态和对路由表进行必要的改动，以利用最佳的拓扑。利用内置的智能，可以仅在网络性能或者容量受到影响时才改 动信道。将配置发送到一组接入点，但无法对系统性能和用户行为作出连续反馈的无线管理系统，类似于过去的静态路由。当将路由输入曾经准确的路由表时，因为网络一直在不断变化，所以路由表在将来某个时刻并不一定准确 甚至它们的正确期仅为一天（或者一个小时）。 上面阐述整个 安利中国公司 无线系统解决方案所能够实现的效 果和 大致 的方法，能够在接入便利、安全、功能、运维、管理上满足 安利中国公司 的无线局域网络要求，整体上平衡这五个方面，后面介绍整体解决方案的各个部分：控制器、接入点、网络管理和定位服务 并 配合终端 、 AAA 认证系统 和 Windows 域服务器 AD 就构成了完整的能够实现上述目标的 有线 /无线一体化 方案。 简单来讲： 无线局域网解决方案 的组成部件如下 ： 1) 控制器： 控制所有的无线的运转过程 ； 2) AP 接入点：负责射频信号收发和射频扫描（定位和恶意 AP 扫描，收集信号，分析在控制器）， 插上网线是对其唯一的手工操作 ； 3) 网络管理 WCS：图形界面管理，输入地理图和障碍信息，可以图示定位、射频信息，记录和审计，图示恶意 AP，操作控制控制器的无线操作。 一 般 和控制器一起部署， 可以在 WCS上监控和操作整个无线局域网络系统，所有操作以 WEB 方式 进行 ； 4) 定 位服务器： 提供定位分析； 5) 终端： 兼容绝大多数厂商的终端设备，没有限制。 6) AAA 服务器： 提供集中认证， 采用安利中国现有的 RADIUS 系统，如微软 IAS 。 7) Windows AD 服务器：可以连接 AAA 服务器，当控制器到 AAA 进行认证时， AAA 查询 AD得到认证结果并返回，达到利用 AD 集中认证的结果， 可以实现在终端上仅仅登陆域就可以实现无线同时认证集成的目的 (即单次登陆： SSO， Single-Sign-On)。 1656832.doc Page 24 of 99 4.2 轻型接入点协议 安利中国公司 无线解决方案采用 LWAPP 协议，即 轻型接入点协议 。 WLAN 领域的趋势是向集中 智能和集中控制发展。使用一个 WLAN 控制器系统来为大量轻型接入点创建和执行策略。通过集中这些设备的智能特性，整个无线企业中对 WLAN 运营至关重要的安全性、移动性、服务质量 (QoS)和其他功能都可得到有效管理。此外，通过分离接入点和控制器的功能， IT 人员能简化管理、提高性能并使大型无线网络更为安全。 轻型 WLAN 系统集中提供用于企业级 RF 管理和策略控制的智能 随着更多供应商移植到层次化设计，并用轻型接入点构建更大型的网络，市场上需要一种管理轻型接入点如何与 WLAN 系统通信的标准化协议。这也正是互联网 工程任务小组（ IETF）最新规范草案，即轻型接入点协议（ LWAPP）的作用所在。凭借 LWAPP，能部署功能最多、具更高灵活性的大型多供应商无线网络。 4.2.1 轻型接入点 部署定位 传统的 WLAN 解决方案将所有的流量处理、 RF 控制、安全和移动功能分散到各接入点提供。但这种架构只允许单个接入点浏览 802.11 流量。这意味着： 当未配备管理设备时，必须分别管理各接入点，从而提高运营成本和增加对人员的要求 1656832.doc Page 25 of 99 无法查看系统中的网络级攻击和干扰 在第一层、第二层和第三层中只有一个安全策略实施点 无法发现和抵御针对整个 WLAN 的拒 绝服务 (DoS)攻击 系统不能关联或预测企业中的活动 实现优化、实时的负载均衡的能力有限 客户端无法进行快速功能切换，而这正是支持语音和视频等实时应用所必需的 如果一个接入点被偷窃或破坏，就会带来内部安全风险 1656832.doc Page 26 of 99 对等 WLAN 架构限制了性能、可管理性和安全性的提高 大量设备供应商已纷纷采取措施，来消除对等 WLAN 架构的局限性（ 如上 图）。其中许多供应商宣布采用新架构，集中部署 WLAN 智能，以实现更高性能和效率。 4.2.2 标准化需求 随着越来越多的产品使用带集中 WLAN 智能的轻型接入点，市场需要一个管理这些设备 相互间如何通信的业界标准。 LWAPP 是 IETF 工作小组为解决此问题而制订的标准化草案。 LWAPP 最初由 Airespace (2005 年 3 月被思科系统公司收购 ) 和 NTT DoCoMo 制订，是接入点和 WLAN 系统（控制器，交换机，路由器等）之间的标准化通信协议。其制订目标如 IETF 规范所述，旨在： 降低接入点中的处理负担，使这些设备中有限的计算资源可主要用于提供无线接入功能，而非用于过滤及策略实施 实现能对整个 WLAN 系统集中进行流量处理、验证、加密和策略实施（ QoS，安全等）的机制 通过第二层基础设施或 IP 路由网络，提供一个通用封装和传输机制，用于实现多供应商接入点互操作性 LWAPP 规范通过定义以下类型的活动，解决了这些问题： 接入点设备发现、信息交换和配置 接入点认证和软件控制 1656832.doc Page 27 of 99 分组封装、分段和格式化 在接入点和无线系统设备间进行通信控制和管理 LWAPP 的广泛采用使企业客户可从多种能互操作的接入点及无线系统设备中进行选择，因此他们不再需要根据哪些设备能配合工作而作出购买决策，而是可根据各接入点和无线系统设备的具体功能制订决策。 LWAPP 在市场中得到广泛接受，减少了被迫锁定于一个供应商，即只有将接入点 与同一供应商的 WLAN 系统设备共用，才能获得最优运行效果的现象。 LWAPP 还提供了一个开放标准解决方案，可在多供应商集中 WLAN 架构上提供安全的第二层和第三层网络服务。此外，凭借 LWAPP，第三方供应商也可拥有一个用于部署应用的通用架构。 4.2.3 运行 LWAPP 当 LWAPP 于 2002 年首次进入 WLAN 行业时，它通过 分离 MAC概念使管理 WLAN 部署的方式发生了革命性的改变， 分离 MAC可将 802.11 协议的实时功能和其大多数的管理功能分离 。 具体来说，实时帧交换和 MAC 管理的某些实时部分在接入点中完成，而验 证、安全管理和移动功能由 WLAN 控制器处理。采用了 LWAPP 的思科集中 WLAN 解决方案，是第一个使用分离 MAC 的集中WLAN 系统。 LWAPP 协议与思科智能 RF 管理功能的结合可使客户在很多方面获益： 管理 动态的系统级 RF 管理，包括一系列可实现平稳无线运营的特性，如动态信道分配、传输功率控制和负载均衡。 单一图形化企业级策略界面，包括 VLAN、安全和 QoS。 安全 企业级安全策略包括从无线层到 MAC 层、再到网络层的无线网络的所有层次。这样即可更方便地提供统一实施的安全和 QoS 功能，或用户策略，来满足手持扫描 仪、 PDA 或笔记本电脑等不同设备类型的特定功能。 发现和抵御 DoS 攻击，以及检测和拒绝恶意接入点。这些功能运行于整个思科轻型无线局域网解决方案之上。 1656832.doc Page 28 of 99 移动 类似于手机的快速切换。 对 WLAN 语音等实时移动应用提供出色支持。 LWAPP 是关键业务型无线网络的重要构建块。它也是构建大规模混合 WLAN 的基础。通过为RF 互联网提供一种标准化方式， LWAPP 可保护公司的 WLAN 投资，简化 RF 管理，并优化用于各种规模的 WLAN 部署的无线网络。 1656832.doc Page 29 of 99 5 无线网络设计规划 5.1 网络结构设计概述 根据安利中国公司办公室内的 无 线应用构想 和实际网络 分布 /结构特点，建议选用思科特有的集中无线网络解决方案，整体划一，系统管理，准确定位，高效运营，全面满足安利中国公司无线网络的业务需求，同时为今后的应用拓展（如无线 IP 电话，无线 Video、 RFID 等）做好充分的技术平台准备。 1656832.doc Page 30 of 99 安利中国公司现有的网络 带宽资源和拓扑连接 情况， 即广州本地的 7 个点均通过光纤以太网线路互联，带宽充足 ，其中中信为安利中国网络的主生产中心，开发区为安利中国网络的备份中心 ；而北京和上海办公室分别通过广域网租用线路连接中信主生产中心和开发区备份中心。 结合 现有网络状况和思 科集中无线网络架构 ， 我们对本次 无线网络 建设做如下 建议： 1. 采用 LWAPP 体系结构 ，即 采用无线控制器集中控制 /管理无线 AP 的方式； 2. 广州中信主生产中心和开发区备份中心的 6500 交换机（要求支持 Sup720 引擎）上分别增加一块 WiSM 无线控制器模块，相互备份；中信的 WiSM 负责中信、天誉、国贸、美银的AP 接入，作为工厂、 LC、 ACTI的 AP 的备用控制器；开发区备份中心的 WiSM 负责工厂、LC、 ACTI的 AP 接入，作为中信、天誉、国贸、美银的 AP 的备用控制器；单个 WiSM 模块可管理 300 个 AP，每台 6500 交换机上 可堆叠 5 块 WiSM，实现 1500个 AP 的管理 ； 3. 上海和北京 Office 采用独立控制器 WLC-4402 各 1 台，配置双电源，双光纤千兆口；若对冗余性要求较高，则建议各配置两台，两台之间相互备份（ 1 1 或 1:1)；当 AP 数目增多且超过单台控制器处理能力时，可通过增加控制器的方式，形成 N+1 备份 ； 4. 除了对现有自治“胖 ” AP-Cisco AP1231G 进行升级转换以支持集中控制式“瘦” AP 外，还建议新增 集中管理式 瘦 AP-Cisco AP 1131AG 分布在各办公室空间 。 中信、天誉、国贸、美银的 AP 由中信的 WiSM 控制器模块集中管理，开发区工厂、 LC、 ACTI的 AP 由开发区的WiSM 控制器模块集中控制，当其中一块故障时，另一块 WiSM 接管广州范围内所有 AP 的管理控制任务。北京和上海 Office 的 瘦 AP-Cisco AP 1131AG 由本地的 4402 独立控制器管理控制。 5. 无线安全 认证 采用 Microsoft IAS 认证系统并结合 Windows AD 实现用户的单次登陆（ SSO） 。 6. 网管系统采用 Cisco WCS 统一网管，并建议在需要时采用 Location Appliance 无线定位服务器 提供 无线定位服务。 1656832.doc Page 31 of 99 5.2 无线网络设计架构 5.2.1 概述 针对 办公楼内部的无线局域网覆盖的需求，本方案建议采用思科的无线网络产品系列集中式、可管理架构的无线局域网架构解决方案来实现无线网络的部署。 思科无线网络产品系列是为那些希望为本身业务、 IP 电话和融合多媒体应用系统广泛部署无线覆盖的一款完整 802.11 解决方案。这款解决方案将最新的行业标准与一种集中架构和先进功能结合起来，创建一种安全、经济有效并且极具扩展性的无线局域网 (WLAN)基础设施。思科无线网络产品系列包括规划和实施所需的工具和功能，使首次部署无线局域网 (WLAN) 能快捷简便的完成，也适合于企业逐步演进事先精确设计的无线移动基础设施。 思科无线网络产品系列采用一种由一台或几台中央无线控制器控制和管理 瘦 接入点的集中式无线局域网部署模式。这套系列的三个主要构件包括一个多频点接入点（ AP）、无线控制器（ WLC）组合和一套无线管理软件系统（ WCS）。在整个无线移动解决方案中，每个构件均起着重要作用。 1656832.doc Page 32 of 99 思科无线接入点系列 支持 802.11a/b/g 多种连接技术，对无线数据进行加 /解密，对不同应用的数据进行优先级控制和排队。同时支持无线频率监控管理， 包括非法 AP 的身份识别和限制，无线接入点和无线控制器之间进行控制和数据的交互。 思科无线控制器系列 无线控制器执行多 AP 的安全控制，包括：安全、联网、 QoS 以及用户的漫游（ Roaming）。无线控制器对多个 AP 的无线数据进行转发，并对 AP 改变无线频率和收到攻击进行响应。 思科 WLAN 管理软件（ WCS） 1656832.doc Page 33 of 99 思科 WLAN 管理软件是一套全面的 WLAN 设计和管理软件，帮助用户确定 AP 的部署位置、管理和配置所有网络中的 AP 以及实时监控和汇报 WLAN 系统的运作情况。 5.2.2 详细设计 本方案无线系统由以下各部分组成： 无线控制器 WLC： 1、在中信和开发区的其中一台 Catalyst 6509 交换机内置 WiSM 无线控制器模块，两块 WiSM负责整个广州地区所有 Office WLAN 的接入；内置 WiSM 无线控制器模块利用 Catalyst 6509 交换机的高可靠性和高稳定性（如双交换引擎、双电源、双时钟等）。两块 WiSM 之间相互备份；中信的 WiSM 负责中信、天誉、国贸、美银的 AP 接入， 并 作为工厂、 LC、 ACTI的 AP 的备用控制器；开发区备份中心的 WiSM 负责工厂、 LC、 ACTI的 AP 接入， 并 作为中信、天誉、国贸、美银的 AP的备 用控制器。单个 WiSM模块可管理 300个 AP，每台 6500交换机上可堆叠 5 块 WiSM，实现 1500个 AP 的管理。因为 WiSM 内置在 Catalyst 6509 交换机内，其通过交换机背板与交换机之间形成8Gbps（全双工 16Gbps）吞吐量连接，完全满足多达 300 个 AP 的线速处理要求。并且，采用内置背板连接方式，可以节省多个千兆以太网端口。 2、在上海和北京办公室，分别采用外置的独立控制器 WLC 4402 各一台。为了增加系统的可靠性，每台 4402 控制器都配置了双电源，以减少因为电源故障导致的服务中断；并且配置了 双光纤千兆端口，两个光口之间通过 LAG（ Link Aggregation Group）方式捆绑，以减少因单端口故障而导致的服务中断。未来，对系统冗余性要求更高的情况下，我们建议采用两台 WLC4402 形成 1：1 或 1 1 的冗余工 作方式，避免其中一台掉电或故障时导致的用户无法接入无线网络问题 ， 两台WLC4402 组成一个高性能，高冗余，高扩展的控制器群组（ Group），既 能按需实现负载均衡，又能确保备份冗余，而且能够根据业务提升，高效快捷的拓展整 个控制平台的容量 ，即 当 AP 数目增多且超过单台控制器处理能力时，可通过增 加控制器的方式，形成 N+1 备份。这里配置的外置 WLC 4402 无线控制器可以管理 /控制 25 台 AP。每台 WLC4402 可以配置 2 个千兆以太网端口，连接到 1656832.doc Page 34 of 99 核心交换机，支持最大 2Gbps（全双工 4Gbps）的吞吐量，实现多达 25 个 AP 同时接入时的全线速处理负荷要求。 无线网管系统 WCS： 为了更好的实效对于 WLAN 控制器、无线接入点、无线客户端的高效统一管理，建议配备一套 WLAN 控制系统 WCS 系统软件。因安利公司现有自治无线系统中已有一套胖 AP 网管 WLSE-1130-19，为实现投资保护，可迁移升级为 WCS 网管 平台，无需购买新的网管服务器硬件，只需定购相应的管理 License 即可。迁移升级而成的 WCS 软件运行在 RedHat Linux 系统上，具有支持定位功能。 WCS 软件支持分级管理。 WCS 软件包含无线系统配置、监控和管理的基本功能（ WLAN systems configuration, monitoring and management）；同时，具有无线网络规划与设计（ Planning & Design)、射频管理（ RF management）、定位追踪 (location tracking),、入侵检测管理 (IPS)等高级功能。 WCS 软件可管理同时室内室外无线设备，实现一体化、无边界无线网络管理。 本方案配置的各无线控制器内已含无线 IDS/IPS、 Web Portal 认证、 ACL、动态策略、非法 AP 抑制、 Guest Tunnel等功能；无需额外购买相应的 License。在 Cisco 的无线控制器上，目前唯一需要 License 的是定位功能，其余功能皆不需要 License。 简而言之， WCS 的任务是通过对多达几百台各种级别 WLAN 控制器的系统管理，提供给客户一个面向相当规模无线局域网规划、配置和管理的领先平台，进行 RF 预测、策略配置、网络优化、排障、用户跟踪、安全监控和无线局域网系统管理。本方案稍后将会对 WCS 网管系统进行详细介绍。 Radius 身份认证、授权、记帐服务器 ：为实现无线网络内对无线客户端（用户和设备）的身份认证、授权和记帐等安全功能，并结合安利公司现有有线和无线网络中已采用的 Microsoft IAS认证系统，建议采用 Microsoft IAS 认证系统做为支持 Radius 身份验证、授权和记帐的 AAA 服务器。同时， Microsoft IAS Radius 认证系统可以和 Window 域控制器系统 (Window Domain Controller)内的域用户数据库 (Active Directory)相结合，提供基于域用户名的身份验证，实现单次登陆 SSO（ Single Sign On），即利用域用户名和密码对用户验证，不需要再显式地提示用户输入进入无线网络的用户名和密码，达到无线网络接入的便利性。当一个无线用户试图访问无线网络的时候， IAS认证系统会校验用户的用户名和密码，如果发现该用户是 Windows 域用户，他会将用户名和密码 1656832.doc Page 35 of 99 转给 AD 去验证。验证完后会将结果返回给 IAS 认证系统， IAS 认证系统根据用户的属性给 与特定的访问权限。 无线定位 Location（可选项） ：本方案中为升级后的 WCS 网管系统配置了定位功能，当网管人员需要定位追逐某个 AP、客户端时，可实现对 AP、客户端的按需查询。譬如，当 WCS 发出 Rouge AP、 Rouge Client 等告警时，网管人员可通过定位功能查看其准确位置（精度为 3-5 米范围），并通过 WCS 网管发出围堵命令，让其周围的 1 4 个 AP 发起对此 Rouge AP、 Rouge Client 的围堵。将来，根据业务的特点和需求（譬如大量使用 RFID Tag），以及无线网络安全管理的重要性，建议部署一台思科特有的无线定位设备 Location Appliance 2710， Location Appliance 2710 是业界第一款能够同时对 WLAN 基础设施内部数千个设备进行实时定位跟踪的产品。它为重要资产跟踪、 IT管理和基于位置的安全技术提供了一个经济有效、高分辨率的定位解决方案，同时能够协助客户尽快定位某些产生安全隐患的设备位置，进一步有效的确保 WLAN 的稳定可靠运营。下文将会对无线定位设备进行较为详细的介绍。 无线接入点： 以上 WLC WCS Location Appliance 形成了 思科集中无 线网络架构中重要的控制管理运维组件， 根据安利中国各 办公室 楼层信息点需求和物理条件， 为 简单、方便、快捷 地 部署无线接入点设备，建议选用思科出色的双频 802.11a/b/g AP1131 无线接入点， AP1131 无线接入点能够同时支持 802.11 A/B/G 双频工作；此 AP 支持在 2.4GHz 和 5GHz 频段同时工作，以提高 AP的吞吐率； 802.11A 和 802.11B/G 同时工作时，最大带宽可达到 108Mbps；此 AP 同时支持数据转发和频谱扫描 (sensor),性能基本不受影响 。 在缺省情况下，每个接入点只用 0.2%的时 间进行信道外扫描。这项任务会在所有接入点之间进行统计分配，以确保相邻接入点不会同时进行扫描，对WLAN 的性能造成不利的影响。这使得管理员可以通过每个接入点搜集到的信息，了解他们的 WLAN的运行状况，将网络可见度提高到重叠式网络所无法提供的水平，解决为每三到五个接入点部署无线监听器这一做法可能出现的 隐藏节点 问题。 Cisco AP1131 内置全向天线；天线功率分别为 2.4 GHz: 3 dBi； 5 GHz: 4.5 dBi。 根据各办公楼楼层 物理 环境 和建筑平面图， 配置无线接入点 AP 1131，分布在楼层合 适的位置，无线 AP 初步配置如下： 1656832.doc Page 36 of 99 AP 部署地点 现有 AP 数目 估计 AP 数目 中信 （ 4 层、按每层 15 个计算） 0 60 BOA（ 1 层、现有 33 个 AP 转换） 33 0 GM(15 个 ) 0 15 TY(25 个 ) 0 25 LC/ACTI(仓库 -现有 10 多个 AP 转换、 office 增加 25 个） 15（ ?） 25 工厂（ 60 个） 0 60 北京（ 25 个） 0 25 上海（ 25 个 ) 0 25 各会议室（目前按普通空间计算，未单独计算） 0 0 现有总计 48 新增总计 235 全部总计 283 说明：目前的 AP 数量为初步估算，具体的无线 接入点 规划和站点测量可以在项目执行时进行。由于无线网络设计规划时面临的不确定因素比较多，所以很难精确确定所需 AP 的数量，故最后结果必须留有一定的冗余！ 办公室内所有的移动 客户端关联到 AP 1131 无线接入点，通过无线接入点与无线局域网无线控制器（ WiSM/WLC 4402）之间的 LWAPP 连接，经过无线控制器 接入到办公楼局域网 中。由于所有的用户信息均由无线控制器来控制，因此所有的移动用户无论处于 办公室的哪个位置 ，均可以获得相同的访问控制属性（ 根据用户策略，也可以设置为不同的访问控制属性），并实现在整个办公室 内部的无缝漫游 。 AP1131 无线接入点 支持集中控制架构的 瘦 AP模式，无需配置，只需将其连接办公室局域网络，即可 通过无线控制器 实现 为 其覆盖范围内的无线设备提供高速、安全、稳定的无线链路。 1656832.doc Page 37 of 99 5.2.3 以太网供电 AP1131 的供电方式有以下三种： 1.通过支持 PoE/802.3af 的以太网交换机直接供电，要求连接 AP的交换机端口支持 PoE/802.3af 功能，最远传输距离 100 米； 2.当连接 AP 的交换机端口不支持PoE/802.3af 时，可以通过外置供电模块进行电源输入。供电模块通过普通以太网端口连接上游交换机，而为下游 AP 提供 PoE/802.3af 供电。这样 AP 和以太网交换机之间的距离，可以延伸至 200米 (供电模块采用双绞线连接交换机 )，或 2100 米（供电模块通过光纤连接交换机）。 3.通过 100-240V本地电源转换器，为 AP 提供 48V 直流电源。此种方式要求 AP 所在位置有电源供应。 1656832.doc Page 38 of 99 5.2.4 频 点规划 建议 建议采用 802.11 A/B/G同时工作的方式，以提高 AP 的吞吐率；即从 B/G single-band 的最大 54Mbps 带宽 扩展到 到 A/B/G dual-band 的最大 108Mbps 带宽。未来，在采用如 Cisco 7921 等支持 802.11A的无线 IP 电话环境中，建议让无线 IP 电话采用 802.11A 频段；笔记本电脑 /RFID Tag/手持终端 POS机等采用 802.11B/G 频段。即 802.11A 频段传输 IP Voice， 802.11B/G 频段传输 IP Data；这样，既可以充分利用 AP 的高吞吐率特性，充分 发挥 AP 系统性能，也减少客户端之间的带宽竞争 ，保障无线语音对 QoS 的高要求 。 5.2.5 现有无线网络的迁移 Cisco 支持对现有自治“胖” AP 系统到集中架构的“瘦” AP 系统的平滑 迁移 ，以保证对现有无线网络的兼容性和对前期投资的充分保护： 1、现有自治 AP 的迁移 安利公司现有的自治 胖 AP Cisco 1231G 可以很简便地转换到由无线控制器集中控制的 瘦 AP 模式，也能够很简便地从 瘦 AP还原回 胖 AP模式。转换过程简单，可单独离线转换，也可通过 WLC无线控制器批处理转换。 2、现有 WLSM 模块的回购 Cisco 对现有网络中的 1 块 WLSM 模块进行等价 Trade-in(回购 )。 3、现有 WLSE 网管的迁移 Cisco 对现有网络中的 1 台 WLSE 网管（软件硬件）实现迁移， WLSE 可迁移到支持 WCS 网管平台，只需要订购相应的 License，不需要另行购买服务器硬件。 1656832.doc Page 39 of 99 5.2.6 无线网络性能设计 在 办公楼 内部 部署一个能保证性能的 WLAN 并非易事，规划 WLAN 的关键是规划接入点，需要有足够的蜂窝重叠覆盖以供漫游，并需要足够的带宽以供应用。如果无线接入点不足，最后可能导致吞吐量出现问题，同时也会使覆盖区域零星散落，对用户的 漫游和工作地点造成一定的限制。我们的网络设计均针对以下问题作出。 考虑移动性需求 在做接入点规划时需要考虑用户的移动性 需求。一种用户在整个覆盖区域内移动时需要一直与 WLAN 相连接，譬如基于 WLAN 的 IP 语音 。另一种用户只需要不时接入 WLAN，比如高级管理人员在不同大楼会议间歇时需要不时查看电子邮件。第一种需求需要跨越 WLAN的无缝漫游，此 WLAN需要大 的 接入点密度。而第二种需求属于间断性的无线连接，接入点密度可以相对小一些。 本次项目要求实现 的应用情况属于第一种情况，因此应部署一定密度的无线接入点，同时通过合理的频点规划最大程度上避免频率干扰问题。 计算吞吐量 在布署 WLAN 之前需要考虑 WLAN 最常使用的是哪种 通信：是电子邮件和 Web 通信、或是对速度要求很高的 ERP（企业资源规划）、还是 CAD（计算机辅助设计）应用程序。是需要速度为 54Mbps的 802.11a和 802.11g，还是只需要速度为 11Mbps 的 802.11b 就足够。不管使用哪一种通信，当用户与接入点的距离过远时，网络速度都会显著下降，所以安装足够的接入点不仅仅是为了支持所有的用户，也是达到用户需要的连接速度所要求的。 1656832.doc Page 40 of 99 1656832.doc Page 41 of 99 WLAN 宣称的速度并不一定准确对应于它的实际速度。与交换式以太网不同， WLAN 是一种共享介质，它更像是老式以 太网的集线器模型，将可用的吞吐量分割为若干份而不是为每个接入设备提供专线速度。这一限制（通过电波传输数据时还会有 50%的损耗）对无线网络的吞吐量规划而言是一个很大的问题，计算接入点数目时最好多预留一些空间。仅仅根据用户数目及其最小带宽需求来计算接入点数目是极其冒险的，尽管它可以在一段时间内满足对容量的需求。 防止干扰 干扰对于某些机构可能会是个问题。尽管追踪入侵微电波、无绳电话和蓝牙设备并非难事，但更常遇到的是来自网络内部其它接入点甚至是网络外部的干扰。例如， 802.11b和 802.11g在 2.4GHz频带内提供三个相同的非重叠信道，这使得规划密集部署或在相邻 WLAN 的干扰下工作变得十分困难。 1656832.doc Page 42 of 99 理想的情况是， 2.4GHz 环境中的信道 1、 6 和 11 永远不会与同一信道相邻，这样它们就不会相互干扰，但这是不现实的。实际上需要一定量的良性蜂窝覆盖重叠以允许用户漫游（ 20%到 30%最佳），但如果站点处的建筑物超过一层，即便是使用高增益天线，建筑物的层与层之间也会有一些渗漏。 802.11a的 12 个非重叠信道可以在很大程度上缓解信道分配带来的问题。 802.11a 使用的5GHz 频带几乎不会造成任何非 WLAN 干扰，而且用户也不太可能遇到相邻 802.11a 接入点。 关注覆盖区域 WLAN 的射频信号是这样传播的：信号频率越低，无线网络传输速度越慢，有效范围就越远。由于大量射频信号以较低频率传播，同时信噪比的灵敏度因为高速调制方式而增加，所以速度为1Mbps 的 2.4GHz 802.11b 信号的传播距离远远超过速度为 54Mbps 的 5GHz 802.11a 信号。 WLAN 的覆盖范围除了受不同射频带和吞吐量变化而造成的波传播特征影响之外，还会因为自由空间路径损耗和衰减而受到限制。自由空间路径损耗更 大程度上是开放或户外环境方面的问题，实际上是无线电信号因为波前扩展引起的扩散导致接收天线接收不到这些信号。衰减则在 WLAN 的室内安装中比较常见，它是振幅下降，或者射频信号在穿过墙壁、门或其它障碍物时减弱造成的。这就是 WLAN 在密集建筑物周围性能不好的原因。当面对这种物理上的干扰时，即使是弹性比5GHz 信号好得多的 2.4GHz 信号，仍然会遇到某些射频问题。 1656832.doc Page 43 of 99 多路径效应也是影响覆盖范围的重要因素之一。所谓多路径效应，就是信号被反射并回送的现象。在大多数情况下，多路径效应使接收到的信号被削弱 或是被完全抵消。于是有一些本来应该充分传播信号的区域几乎或根本没有射频信号覆盖。防止多路径效应的办法是拆除或重新安置机柜和网络设备机架之类的干扰对象，同时增加接入点密度或功率输出。 使用自动化工具 以上提到的所有这一切，都要从无线站点勘察着手，站点勘察将评估和规划无线基础设施的射频（ RF， radio frequency）环境和接入点的设置，以确保 WLAN 正常工作。从便携式 WLAN 硬件工具箱到提供站点覆盖区域详细视图的软件包，有许多很方便的工具可帮助完成站点勘察。 站点勘察工具使 得布署 WLAN 的工作能够非常顺利地进行。射频建模软件，例如思科的 WCS， 1656832.doc Page 44 of 99 可根据进入楼层计划自动确定接入点位置来帮助自动决定接入点的初始布局。其它工具，例如Airmagnet，可通过运行软件的便携式或手持式设备来提供有关射频环境的信息。综合工具，例如Ekahau 的 Site Survey 会从 WLAN 的系统范围角度记录同样的射频数据和用户的位置。不管使用什么工具，仍然需要手工进行站点勘察，这是勘察工具所不能代替的。 像思科的规划工具可以确定接入点位置、信道分配、功率输出设置以及其它配置属性。它们使用用 户密度和吞吐量这类参数作为标准。问题在于仍然必须在基于 CAD 的楼层规划中对诸如混凝土外墙和金属门之类的建筑物指定预设衰减级别，除非规划中已经包含此信息。 接入点勘察工作完成后，需要验证和描述这些接入点的覆盖区域。为此，可使用随客户机 WLAN卡提供的站点勘察实用程序（假定供应商捆绑了该实用程序）或者使用随高级监视工具提供的实用程序，或者是一些便携式 WLAN 分析仪。 5.2.7 无线网络的频点覆盖设计 802.11b/g 的频率