XX集团办公楼WLAN方案-v2.doc

XX集团办公楼Trapeze无线网络解决方案Trapeze2020年1月目 录1 XX集团办公楼WLAN需求42 XX集团WLAN组网方案52.1网络拓扑52.2 设备选择62.2.1 AP62.2.2 无线控制器62.4 无线网络管理63 XX集团办公楼AP部署方案73.1覆盖方式描述和比较73.2障碍物对覆盖效果的影响83.3 AP具体部署位置（全覆盖）113.3.1一层113.3.2二层123.3.3三层123.3.4四层123.3.5五层133.3.6六层133.3.7七层143.3.8八层143.3.9九层153.3.10顶层153.3.11XX集团办公大楼WLAN项目AP汇总表（全覆盖）163.4 AP具体部署位置（部分覆盖）163.4.1一层163.4.2二层173.4.3三层173.4.4四层183.4.5五层183.4.6六层193.4.7七层193.4.8八层203.4.9九层203.4.10XX集团办公大楼WLAN项目AP汇总表（部分覆盖）214 Trapeze WLAN方案特点214.1 先进的智能无线交换网络架构214.1.1 先进的智能无线交换网络解决方案214.1.2 灵活的组网方式224.1.3 全网高可靠性224.1.4 优秀的扩展性224.1.5 无需更改有线网结构234.1.6 带宽控制与服务质量保证QOS234.1.7 对VoWLAN的支持234.1.8 跨三层无缝漫游234.2 功能强大的集中网络管理244.2.1 集中统一控制与管理244.2.2 简便而丰富的用户入网244.2.3 射频环境的监测244.2.4 基于Multi-SSID用户分类254.2.5 智能分配的负载均衡254.2.6 增值的无线终端定位服务254.3 无线局域网系统的安全管理264.3.1 安全策略的集中实现264.3.3 安全的本地零配置264.3.4无线网络入侵检测264.3.5 端点完整性检查275 产品介绍275.1 MX-800R275.2 MX-522305.3 RingMaster371 XX集团办公楼WLAN需求此次网络建设是对XX集团新建办公大楼进行无线覆盖。此次无线局域网具体的建设目标是：l 侧重实际应用，覆盖办公大楼的办公室和会议室。l 采取先进通行的协议标准：目前无线局域网普遍采用802.11系列标准，无线局域网提供802.11n标准的联网支持，可以匹配802.11a、802.11b、802.11g、802.11n无线设备，提供可供实际应用的稳定网络通讯服务。l 应采取合理的布网方式满足现在以及未来发展的需要。l 要使用瘦AP体系架构的无线网络解决方案，通过控制器对所有AP进行集中式管理。l AP具有自动调整射频参数的能力l AP需采用IEEE802.3af远程供电；综合布线工程需要实施所有无线信息点到本地有线网设备间，综合布线不应毁损目前楼内装修，要求美观得体，符合布线相关标准， 2 XX集团WLAN组网方案2.1网络拓扑AP部署在每个楼内的相应位置（具体AP部署位置请参考AP部署示意图），通过以太网线连接到楼层配线室的楼层POE交换机。供电方式通过楼层配线间内的POE交换机对AP进行供电。本次项目我们建议使用的AP型号为MP-522，该AP为双频AP，同时支持2.4GHz和5GHz，每个Radio支持2x2 MIMO （两个传输链和两个接收）。MP-522拥有一个10/100/1000 Mbps自协商以太网端口，并且，当两个Radio都运行在300Mbps速率的时候，能够使用802.3af POE进行供电。因此，楼层配线间内的POE交换机只需支持802.3af即可；为了充分获得802.11n AP所带来的性能提高，交换机的POE端口需要支持千兆。在核心机房内部署无线控制器，对AP进行集中管理和控制。无线控制器与核心交换机互连，对于无线用户数据流量的处理，采用集中式转发方式：在无线控制器和核心交换机上创建管理VLAN，汇聚所有来自于AP的流量；同时，在无线控制器和核心交换机上创建用户VLAN。为了提高网络性能、增加带宽并提高可靠性，无线控制器和核心交换机之间采用链路聚合。2.2 设备选择2.2.1 AP802.11n协议于2009年9月11号正式标准化，目前基于802.11n协议的AP可以提供最高300Mbps的介入速率，并兼容传统802.11a/b/g终端。802.11n AP目前已经逐渐成为WLAN网络的主流技术。因此本次项目中我们建议使用Trapeze MP-522。MP-522为双频AP，同时支持2.4GHz和5GHz，每个Radio支持2x2 MIMO （两个传输链和两个接收）。MP-522拥有一个10/100/1000 Mbps自协商以太网端口，当两个Radio都运行在300Mbps速率的时候，能够使用802.3af POE进行供电，最大限度保护用户投资。2.2.2 无线控制器本次项目所需AP数量为32个，我们建议为本次项目配置一台MX-800R。MX-800R提供4 个GigE (SFP) 千兆接口和4个10/100/1000Base RJ-45端口，双PSU电源配置，可实现电源热备份。其初始配置包含 16 台 MP(Mobility Point)许可证，并且可以在每次递增 16或32管理许可证的基础上进行扩展，从而具有“按需购买，渐进扩展”的灵活性，最多支持 128个AP。为了能够管理32个AP，需要在额外配置一个能够管理16个AP的license。2.4 无线网络管理为了方便无线网络管理，建议部署一套RingMaster网管软件，实现对整个无线网络的可视化和图形化管理。根据管理的AP数量32台，需要配置一套RingMaster以及3个RTMS-10（能够管理10个AP的license）。3 XX集团办公楼AP部署方案3.1覆盖方式描述和比较本方案包括对所有楼层进行全覆盖，也包括了只对重点区域进行部分覆盖。下表列出了全覆盖方式与只对一些重点区域进行部分覆盖的比较。全覆盖部分覆盖办公效率采用全覆盖的方式，能够使员工随时随地接入网络，方便处理公务，从而提高办公效率。只能在某些区域提供一些有线接入的补充终端支持随着移动终端的普及，越来越多的员工使用PDA或手机接入到网络中，而传统的有线网络是无法满足这部分终端接入的。全覆盖的方式能够满足这种日益增长的需求只能在某些区域提供智能移动终端的接入，无法保证连续的、不中断的网络连接访客接入全覆盖的方式方便提供访客接入，并进行统一的安全接入控制只能在某些区域提供访客接入，从而导致访客通过有线接入到办公网络，造成不必要的安全问题扩展应用全覆盖能够很好的支持移动业务，包括语音，定位等。无法提供基于无线网络的高级应用无线安全全覆盖的方式有利于部署和执行统一的WIDS/WIPS方案，解决非法AP问题不能对所有区域进行有效的实行WIDS/WIPS策略成本全覆盖的方式只是在初期建设时成本会高于部分覆盖，但是，随着无线终端和应用的不断普及，全覆盖势在必行，因此，当从部分覆盖升级到全覆盖的时候，又需要重新布线，甚至破坏装修，而这些额外的开销只是会造成不必要的浪费部分覆盖，初期网络建设成本会相对较低，但是如果后期需要升级的话，后续费用甚至有可能超过前期全覆盖的成本。3.2障碍物对覆盖效果的影响 现代房屋设计复杂，但是能够阻碍无线电信号传输的，也只是墙壁、玻璃、装修板材等几种 上图标出了一栋房屋中能够阻碍信号传输的部分。那么这些个东西对于信号传输能够产生多大的阻碍呢？让我们从墙开始说起吧。 所谓的轻体墙，轻体墙在现代装修中使用极为普遍，就是我们在日常生活中所见到的那种用手一敲里面有阵阵回音的墙壁。这样的墙由于大部分使用的是木工板、菱镁板以及保温材料拼成，因此对于无线信号并没有多大的阻碍。 单砖墙一般都是用在隔断房间，或者是分割大块区域使用，一般除了外墙还有大梁下面的墙之外，就都是单砖墙了。 承重墙就是无线信号面前的马其诺防线。 墙壁是屋里对于无线信号传输最大的障碍。在我们看了这些障碍对于我们的无线信号的干扰之后，我们再来看一看其它的建筑材料对于信号传输的影响。 相比于墙壁，玻璃还是比较容易穿透的。传统的玻璃即是上图中所说的不含金属氧化物的玻璃，虽然信号衰减少，但是由于远远不及重金属氧化物玻璃的透明度，硬度，耐热度等问题，已经很少使用了。普通装修材料对于无线信号的衰减并不厉害，但是需要尽量避免使用包括金属的装修材质。金属是对无线信号的影响是最大的。 相比于墙壁，天花板吊顶对于信号的传输有着更为强大的杀伤力。现在的吊顶一般都是采用木线龙骨做支架，然后钉石膏板的做法。而且石膏板还有厚薄加厚之分， 再加上石膏板本身就属于金属氧化物，因此它对于信号的阻隔作用更加的明显。3.3 AP具体部署位置（全覆盖）对所有楼层进行全部覆盖。3.3.1一层AP 部署示意图：3.3.2二层AP 部署示意图：3.3.3三层AP 部署示意图：3.3.4四层AP 部署示意图：3.3.5五层AP 部署示意图：3.3.6六层AP 部署示意图：3.3.7七层AP 部署示意图：3.3.8八层AP 部署示意图：3.3.9九层AP 部署示意图：3.3.10顶层AP部署示意图3.3.11XX集团办公大楼WLAN项目AP汇总表（全覆盖）楼层AP数量1层22层23层24层45层46层47层48层49层410层2汇总:323.4 AP具体部署位置（部分覆盖）下面的部分是对只对一些重点区域进行部分覆盖的AP部署方案。包括：一层大厅，二层会议室，集团领导（九层）需要全覆盖，其他楼层每层茶座室需要覆盖3.4.1一层AP 部署示意图：3.4.2二层AP 部署示意图：3.4.3三层AP 部署示意图：3.4.4四层AP 部署示意图：3.4.5五层AP 部署示意图：3.4.6六层AP 部署示意图：3.4.7七层AP 部署示意图：3.4.8八层AP 部署示意图：3.4.9九层AP 部署示意图：3.4.10XX集团办公大楼WLAN项目AP汇总表（部分覆盖）楼层AP数量1层12层33层14层15层16层17层18层19层4汇总:144 Trapeze WLAN方案特点4.1 先进的智能无线交换网络架构4.1.1 先进的智能无线交换网络解决方案XX集团办公大楼WLAN项目需求，Trapeze建议采用先进的智能无线交换网络架构作为无线网络解决方案技术的核心思想，采用支持智能转发功能的无线控制器，配合部署在各楼栋接入层的智能管理型无线接入点产品，以及无线网络集中管理平台，完成整个无线网络。实现对整个WLAN的统一管理。4.1.2 灵活的组网方式智能无线交换架构带来的另一个好处是非常灵活的组网。本次部署无线网络，构架在有线网络之上。采用智能无线交换网络架构，只需要在网络中心机房放置智能无线控制器，在接入层部署智能无线接入点，即可完成整网的部署。由于智能无线接入点本身并不保存配置，所有的控制指令都有无线控制器统一下发，因此无论无线接入点部署于任何的物理位置，都可以与处于网络中心的无线控制器取得联系并被控制，无论是初次安装还是后续更换无线接入点，仅仅需要在需要部署的位置连入有线网络，即可立即在无线控制器的控制下开始工作，使得整网的部署非常简单和灵活。4.1.3 全网高可靠性为了充分保证随时对全网智能无线接入点的集中控制，Trapeze无线控制器均支持集群和冗余能力，可以同时对同一个无线接入点提供服务，由于他们之间采用了实时的信息同步技术，如果一台无线交换机与无线接入点失去联系，将迅速由另一台无线控制器接管，而用户信息不会丢失，仍然保持正常通信状态。如果是一台AP发生故障，无线控制器可支持自恢复功能，通过快速查询该故障无线接入点邻近的智能无线接入点，调节其工作功率、信道等参数来接替该故障无线接入点的用户接入工作，迅速补充盲点，并实施向网络中心的无线控制器汇报，通知网管人员尽快更换故障无线接入点，更换之后，无线控制器将原先的配置信息继续控制新的无线接入点，邻接的无线接入点的射频参数调节恢复成原有状态，接替工作结束。在这整个切换期间，对用户的访问完全没有影响。这种冗余特性将极大的保证了整网工作的可靠性。4.1.4 优秀的扩展性智能无线交换网络架构具有非常方便扩展的特性，无线控制器能够通过license对管理AP的数量进行胜迹，例如：单台MX-800R默认标配可以支持16个AP，最高可支持128个智能无线接入点的控制权，用户可以按照“按需配置，渐进扩展”思路来不断增加智能无线接入点产品即可完成扩容，因此扩展无线接入点显得非常容易；当智能无线接入点的规模超过单台无线控制器所能管理AP的最高值后，可以非常简单的增加无线控制器产品，多台无线控制器形成智能集群体而同步信息，原有的无线交换机无需淘汰，因此，非常适合大规模无线接入点的部署和后期的扩容需求。4.1.5 无需更改有线网结构无线网络并不是独立的网络，需要与有线网络很好的融合在一起工作，因此，为了避免在规划中的无线网络部署影响到有线网络的路由和VLAN等部署，采用智能无线交换网络架构就可以做到无需更改有线网络结构的目的。在该网络架构中，所有无线用户的数据传输，是通过AP与无线控制器之间建立的CAPWAP隧道技术来完成互连，无线用户的VLAN无须在接入层和汇聚层存在。无线用户的VLAN是可透过无线控制器在整个中心网络机房和骨干交换机互连互通，同时也非常方便进行扩展。AP则可以放置于楼内需要部署的任何地方，无需用直接连接到无线控制器上，他们之间可以轻松地通过跨越三层进行隧道数据交换。同时，无需担心无线用户的VLAN会破坏原有有线网络的VLAN部署，所有工作可以在无线交换机上统一划分。4.1.6 带宽控制与服务质量保证QOS通过无线控制器的全局控制，可以很轻松地实现对每一台智能无线接入点上行带宽，甚至每一个用户的带宽的控制。同时，针对不同的用户业务类型（如语音通信），无线控制器可以集中设置定义不同的QoS队列，比如将SIP和RTP协议可设定在高的队列，而一般应用如http、ftp则可设定在较低的队列。这样将对于例如语音、视频这种时延敏感的业务，将可以得到最佳带宽与传输保证。4.1.7 对VoWLAN的支持随着VoWLAN（Voice over WLAN）的普及，基于WLAN网络的语音通信将可能成为大办公人员之间的主流通话方式。而集中控制、智能转发的智能无线交换网络架构正是为此而设计的。由于关键需要满足语音通信的时延、呼叫的容量和漫游切换时间，无线控制器可以支持无线语音用户设置专有的语音SSID，把单纯是数据传输的用户和WLAN语音用户隔离，并给予较高的优先队列，即可确保在数据和语音同时传送时，语音的质量不受影响。同时也可以防止没有无线语音权限的用户使用无线语音，以确保无线网络资源能有效运用。4.1.8 跨三层无缝漫游无缝漫游是无线网络移动性的最佳体现。但是传统的无线接入点仅仅能够实现基于二层的漫游，一旦无线用户跨越网段，就会由于重新获取IP地址、重认证、重新验证加密等过程，而导致漫游的失败和通信的中断。这对于无线用户众多的某大学而言，是无法接受的。利用Trapeze网络先进的智能无线交换网络架构，由于所有用户信息并不保存在本地的无线接入点中，而是全部集中在无线交换机上，因此无论是单台无线交换机还是多台无线交换机的集群体，包括连接状态、认证状态、IP地址分配信息、加密验证状态等用户信息总是实时存在的，即便是无线用户跨网段移动，还是会延续原有的IP地址、认证与加密方式，不存在重新获取的必要，因此也不会中断连接。实现这一过程，并不需要有线网络的参与，对有线网络和无线用户而言都是透明的。这种无缝跨三层漫游尤其是对延迟敏感的语音业务有重大的意义。4.2 功能强大的集中网络管理4.2.1 集中统一控制与管理对于无线网络来说，管理是非常重要的事情。从RF射频覆盖状态的监测、无线链路的带宽的监测、用户认证的异常报警、无线接入安全等都需要考虑。由于传统的无线局域网是单纯基于无线接入点，没有集中管理的概念，因此对于无线网络的管理，要在每个无线接入点上进行设置和更改，其工作量对于大规模无线接入点的无线网而言是不可想像的。而且无线局域网是一个整体系统，无线接入点之间必须互协调工作，单独改变一个无线接入点的参数和配置，可能会会引起无线接入点之间的无线电波干扰，用户漫游重认证和授权也可能会产生问题，因此集中控制和管理显得非常必要。因此，本方案中的无线控制器产品可以充分发挥集中管理功能，对全网智能无线接入点的行为和用户信息统一监控和管理，网络管理人员只需在无线控制器上就可开通、管理、维护所有处于接入层的智能无线接入点设备，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户的访问策略。 4.2.2 简便而丰富的用户入网正是智能无线网络构架，使WLAN能够和有线网络无缝的融合，因此，能够方便地实现各种用户认证方式。例如，web-portal、802.1X、MAC地址等。在本次项目中我们建议对内部员工使用802.1X的认证，对外来访客采用web-portal的认证方式。4.2.3 射频环境的监测射频环境的优劣，将直接影响无线网络的稳定性和链路带宽的品质，因此，对全楼需要覆盖的区域实时的射频环境监测是保证网络稳定可靠的基石。Trapeze网络的无线控制器支持先进的提供智能化无线电射频监测和调控能力，可确保某个智能无线接入点在发生故障时，可以自动切换到邻近的智能无线接入点，由于用户信息全部同步在无线控制器上，因此不会影响无线的接入服务。这种强大的射频监测能力不仅表现在对大规模无线网络的管理工作中，即便是在初次安装无线网络时，网管人员也可可以在网络中心机房，通过无线控制器来自动调节整网所有智能无线接入点的射频参数，比如频率、信道、功率等。智能无线接入点之间会自动协调射频参数，直到相邻的无线接入点之间达到最优无线电射频运行环境，并把最终调整结果返回给无线控制器，网管人员就可以实时看到射频环境的现状，并决定是否继续调整或手动单独调整。4.2.4 基于Multi-SSID用户分类有线网络的VLAN划分可以使得用户入网即可归属于相应的虚拟网中，并实时相应的策略和数据转发服务。智能无线交换网络也可以很好的实现这一点，这就是基于无线控制器的Multi-SSID技术。4.2.5 智能分配的负载均衡负载均衡是网络技术中一项非常实用的技术，即便是在无线网络中，负载均衡也是不可缺少的。这是因为不论每台无线接入点设备一般最大能带20-30个并发客户，一旦并发入网的无线用户数量超过这个上限则无法承载。在Trapeze网络的智能无线交换网络架构体系中，由于有了无线控制器的集中控制，可以很清楚地知道每个区域的AP连接了多少个无线用户，是否已经达到用户数的上限或带宽的上限，其周边还有没有用户数和带宽较空闲的无线接入点，无线控制器即可将无线用户分散到不同的智能无线接入点产品上入网，特别是针对大量的数据传输和视频传输，这样就可以有效的缓解单个无线接入点的负担，有效利用周边整体无线接入点的资源，从而确保每个需要上网的用户的正常数据访问的质量。4.2.6 增值的无线终端定位服务借助构架完整的智能无线交换网络体系，XX集团WLAN可以形成一个蜂窝部署的无缝网络。今后在这张网络中可以完成很多增值的服务，无线终端定位就是其中一种。通过无线控制器与网管系统，可以控制智能无线接入点对所有环境信道进行扫描，继而跟踪和定位无线终端的位置，诸如支持无线接入的电脑、Wi-Fi手机等，今后可用于贵重资产等物体实施定位服务。同时，基于射频的扫描，可以实时定位非法无线接入点的存在，保证网络接入的安全可靠性。4.3 无线局域网系统的安全管理4.3.1 安全策略的集中实现传统的无线网络的安全策略均分布在每一台无线接入点上，不但需要单独配置，带来巨大的工作量，而且如果需要更改策略，还需要全部重新配置，这是无法接受的。如果无线接入点设备被盗，非法用户可以从设备中读出相应的入网认证、加密等信息，从而很轻易地入侵无线网络。基于这一问题，Trapeze网络推出的智能无线交换网络架构，将所有的安全策略全部集中到无线控制器上统一发布和控制，包括用户身份认证、入网行为控制、安全加密、病毒库、无线入侵检测、无线电射频管理等，网管人员只要在无线控制器上配置安全策略，就可以轻松地完成了整网的安全策略的配置，解决了工作量的问题，同时也避免了无线接入点被盗产生的安全信息外泄的危机。4.3.3 安全的本地零配置在传统的AP组网中，非法用户完全可能通过盗取无线接入点并读取入网密码等信息，继而入侵网络。无线控制器通过对AP的控制，使得AP在本地并不保存任何数据，而是全部实时存储在无线控制器上，因此AP可以实现灵配置，这对于安全而言是非常有效的，完全杜绝了非法用户在接入层盗取设备截获信息的可能，同时也大大简化了本地化的工作量。4.3.4无线网络入侵检测无线网络由于使用空中的无线电射频信道工作，因此基于无线网络的入侵防护显得尤为重要。这其中包括非法无线接入点的防范与非法用户连接访问的防范。非法无线接入点可能侵占合法无线接入点的正常信道工作，这样不但会对合法的无线接入点产生干扰，由于非法设备往往不具备安全功能，还会将非法用户之间带进有线网络中。采用Trapeze网络无线控制器，可以控制每台智能无线接入点产品动态扫描其所处的环境，并将扫描到的设备信息送交无线交换机及网管平台查询，这样网络管理人员即可实时发现是否有非法无线接入点存在，随后可以开启自动保护机制，阻止无线用户通过非法无线接入点进入无线网络。另一种重要威胁是非法无线用户对合法无线接入点的入侵。互联网上可以轻易地下载到很多无线入侵和攻击工具，而原先传统的无线接入点设备均都没有侦测无线入侵的功能，所以当受到像无线DOS攻击时，就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击将会导致用户的无线连接断线，但网管人员却无法在第一时间得到报警。利用Trapeze网络的智能无线网络架构技术，无线控制器本身内置无线入侵模式库，可以实时检测异常的无线数据包，当无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应和报警，并提醒网管人员注意并提示相应的解决措施。4.3.5 端点完整性检查通过和准入系统配合，当无线终端试图访问网络，在该用户认证之前，准入系统可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况，做一个检查，如果不能通过检查，可以设定策略禁止其访问网络，也可设置成将无线用户重定向到一台升级服务器，打系统补丁、安装防病毒软件和升级病毒定义码，满足系统制定的安全策略以后，该无线终端才可以进入认证环节进行用户的认证。目前Trapeze的产品能够和Microsoft NAP、Juniper UAC以及Cisco NAC配合使用。5 产品介绍5.1 MX-800R Mobility Exchange MX-800R Trapeze Networks的Mobility Exchange MX-800R是新一代WLAN控制器，针对主流部署802.11n而设计，可在任意现有二层或三层企业级网络实现无中断、无缝和安全部署，为WLAN网络带来前所未有的灵活扩展性、可管理性、可靠性和系统自愈性，实现堪舆有线网络媲美的用户体验。 MX-800R采用Trapeze独一无二的硬件加速式WLAN数据包处理引擎，可支持多种最为苛刻的室内和室外无线应用，包括数以千计的用户提供基于Wi-Fi的语音业务。该产品可处理支持三维空间流量的802.11n接入点，数据传输率可达8 Gbps，并最多可支持128台802.11n AP。此外，即使发生罕见的控制器故障事件，也能实现“随时可用无线网络”的可靠性和无中断故障倒换，确保业务不受影响。 配合Trapeze Mobility Point （MP）系列接入点设备和Mobility System Software （MSS）软件，MX控制器能够将策略执行和数据转发任务卸载至MP，从而优化业务流、大幅缩短时延并提供卓越的可扩展性。 MX-800R融合了L2以太网交换、针对用户和业务的状态防火墙、无线入侵防御、802.1Q群集、每VLAN生成树（PVST+）、完备的有线无线融合业务服务质量（QoS）以及自动射频管理等功能。一系列MX控制器可形成一个移动域（Mobility Domain），能够在大规模单站点无线局域网上，实现无缝漫游、入侵防御和射频管理。此外，多个移动域可以通过网络域（Network Domain）实现互连，以实现广泛地理区域的基于身份识别的用户网络连接。 MX控制器可配置为一个虚拟控制器集群，以提供多对多冗余，而无需昂贵的热备用控制器。即使发生罕见的控制器故障事件，也能实现“随时可用无线网络”的可靠性和无中断故障倒换，确保业务不受影响。 MX-800R使用与所有其他Trapeze MX控制器相同的移动系统软件。欲了解更多有关安全性和联网性能的信息，请参阅移动系统软件产品数据。 XX集团办公楼Trapeze无线网络解决方案主要特征 可扩展性和可靠性 可管理的接入点数量 最多为128台接入点（AP），每次可增加16份接入点许可 平台可靠性 冗余电源标准 网络可靠性 EtherChannel 负载分担技术，提供冗余链路 生成树和每VLAN生成树（PVST+） 通过任何MX端口实现自愈网络连接 MX控制器可实现N:1和N:N冗余配置 安全性 鉴权 支持全面的本地AAA鉴权，包括以802.1x标准作为主要鉴权算法或集中式AAA服务 支持多个AAA服务器组，可以在多台AAA服务器之间或一个AAA服务器组内部，分担负载 生成和管理X.509数字证书 分配和执行从AAA服务器后台集中管理的每用户权限策略 权限包括虚拟专用组成员、个人防火墙过滤器、访问时间（TOD/DOW）限制、加密类型和针对特定位置的策略 符合IEEE 802.1X标准，支持多种扩展认证协议（EAP）（TLS、PEAP/MSCHAP、TTLS） WebAAA技术、消息鉴权码（MAC）、开放式鉴权 经WiFi WPA2企业级认证 密钥管理 将加密密钥分配给MP MX负责生成主密钥和会话密钥 可为各种加密解决方案提供密钥管理 管理和控制 管理接入 命令行接口（控制台系列端口、远程登录和SSHv2） WebView Web接入（https） SSL、XML（配合RingMaster软件） SNMP v1、v2c、v3 针对系统检测的Syslog支持 更换控制的详细审计控制 针对高级故障排除的远程抓包能力 射频管理 MP功率/信道自动调节 动态频率选择（DFS） 用户管理和统计 详尽的每用户会话射频帐户统计数据管理 按用户名、会话、VLAN、用户组或IT团队选定的其他标准，跟踪定位信息、漫游历史记录、虚拟专用组、网络地址、状态、网络活动、错误、使用情况和其他属性 利用AAA服务器的帐务应用，提供每用户审计记录和计费功能MP管理和控制 配置和控制MP：控制第三方AP。 启动、配置和管理符合IETF CAPWAP架构的模型。MX充当接入控制器（AC），可实现直接、交换和路由连接。 利用Smart Mobile技术，支持MX或MP实现智能交换。 多个MX实现自愈控制 技术规格 硬件技术规格 外形尺寸（宽x深x高） 17.32英寸 x 14.78英寸 x 1.74英寸（44厘米 x 37.54厘米 x 4.42厘米） 重量 11.6lbs （5.2公斤） 接口 4个千兆以太网小型可插拔（SFP）端口 4个10/100/1000Mbps以太网RJ45端口 环境 工作温度：0至40 储存温度：-20至70 湿度：1090（非冷凝） 功率 100-240 VAC、 50-60 Hz，93.4W 配备双PSU达到高峰 合规性 安全法则 UL 609501-1、CB IEC 609501-EN、CSA C22.2 NoO、60950-1-03 电磁干扰与电磁兼容（EMI/EMC） FCC Part 15 A类 ICES A类 VCCI A类 EN 55022 A类 EN 55024 EN 60601-1-2 CISPR 22 A类 台湾：CNS 13438 A类 中国大陆：CCC GB 9254-88 A类 澳洲/新西兰：AS/NZ 3548 A类 IEEE标准 802.1x：基于端口的网络接入控制 802.3i：10BASE-T以太网 802.3u：100BASE-T快速以太网 802.3ab：1000 BASE-TX千兆以太网 802.11 a/b/g/n、802.11d、802.11e、802.11h、802.11i 802.1D生成树 802.1Q VLAN标签 802.3ad（静态配置） 5.2 MX-522Trapeze MobilityPoint（MP）系列多功能接入点（AP）是面向Trapeze Smart Mobile智能无线局域网的室内/室外无线接入点、桥接和无线网状网（Wireless Mesh）设备。 主流802.11n 针对主流应用802.11n标准的产品价格竞争激烈，MP-522可提供优于传统a/b/g接入点8-10倍的性能优势，而只需增加极低的成本。 作为企业级802.11n室内接入点，MP-522专为高密度部署设计，相比较覆盖面积更强调吞吐能力，此外它还支持丰富的多媒体应用，如VoIP和Video-over-IP。MP-522包含双频率：分别运行于2.4 GHz频带和5 GHz频带，同时每个频率支持2x2操作（即两条发射链和两条接收链）。 MP-522拥有四条内置天线，使Trapeze继续保持其一向“薄AP”内置天线设计的领导地位。无论安装在天花板还是墙壁上，都可提供出色的全方位覆盖功能。 室内/室外应用 作为MP-522的版本之一，MP-522E同样适用于外部天线端口，可为远距离的普通室内/室外应用,节省大量成本。但这并非完全适用于3x3 MIMO扩展范围或极端天气条件下的专用11n室外接入点。 在实际应用中，MP-522E本身可在室内安装，外部天线则安装在建筑物外墙。另外，MP-522E还适用于低成本室外AP，只要将其安装在一个恒温保护箱内而无需考虑PoE电源是否一起安装。 连接和电源选项 MP-522具备10/100/1000以太网自动协商模式端口操作的特点，以适应无缝以太网基础设施。为了保证您在现有PoE基础设施方面的投资，MP-522可在300 Mbps的无线设备及现有的基于802.3af的PoE基础设施上实现全面运行。此外，它还兼容较新的高功率802.3at PoE。 法规遵从和安全性 MP-522完全符合IEEE 802.11n 2.0标准，并与802.11n 客户端及原有的802.11 a/b/g客户端进行了互操作性测试，满足智能手机、平板电脑和医疗设备等的广泛应用。 MP-522可支持企业（802.1X）和个人（预共享密钥）模式下的包括WPA2（基于802.11i的Wi-Fi接入保护2）和WPA（Wi-Fi接入保护)在内的各种加密方法。此外，由于MP-522不会在本地存储数据、加密密钥或安全证书，一旦被盗，也不会给企业造成任何安全性风险。 向后兼容性 为了保证消费者在原有802.11客户端的投资并轻松过渡至802.11n，MP-522可与2.4 GHz和5 GHz频带的802.11a/b/g客户端完全兼容。 MP-522 与 Trapeze a/b/g AP具有相同的吊装托架，可轻松实现11n升级，它兼容上一代Trapeze网络移动交换WLAN控制器，可与已安装的控制器进行配置而无需任何硬件升级。 可靠性与可扩展性 作为智能移动系统的一部分，MP-522可支持Trapeze移动系统软件（MSS）的各种增强功能，包括本地切换、频带用户均衡、客户端和AP负载平衡及无中断故障切换。当WLAN控制器失效，AP将自动无缝切换至另一个控制器并保持无线网络会话。 射频管理 MP-522在无线入侵检测系统和无线入侵防御系统及拒绝服务（DoS）攻击检测方面有着举足轻重的作用。其ActiveScan机制可以对所有的802.11频道执行扫描，又可同时为客户端提供无线连接。利用SentryScan技术，MP-522还可充当专门的“哨兵”，执行多个MP或单个MP无线设备的持续扫描和防护。 MP-522之硬件还可支持实时WLAN频谱管理，为有效的高性能无线接入设备提供更高的射频信号质量，另外，它还可同时支持接入服务和频谱分析。这种性能不仅确保提前检测到普通射频干扰，同时允许适当的纠正行为，以减少干扰造成的性能损失。由于使用WLAN频谱的设备愈来愈多，检测和避免射频干扰就显得尤为重要。 频谱管理极为重要，尤其是需要实现VoWLAN语音和其他实时通信（如遥测）的SLAs。 易于安装 MP-522配备一个灵活的可在天花板和墙壁安装的套件。此外，因为它使用与a/b/g 相同的安装托架，可轻松替换MP-3xx和MP-4xx系列接入点。 外观设计特别适用于办公环境，接入点的外壳经过专门设计，看起来就像一个烟雾探测器，普通的外观降低了被蓄意破坏的可能性，其内置Kensington安全锁也进一步增强了防盗安全性。 特殊智能移动功能 MP-522具有智能移动分布式流量转发功能，可优化流量、减少延迟并提高可扩展性。除了传统的接入点功能，MP-522还可配置为一个Mesh AP.MP 522E更可配用无线分布系统（WDS），以帮助企业解决线缆无法连接或未设计连接WLAN的问题。 实时定位服务 MP-522还支持针对精确三维定位的Wi-Fi信号信息定位服务。常用功能包括资产跟踪和基于客户端位置的安全行动。 移动系统软件 MP-522和所有其他Trapeze移动接入点使用相同的移动系统软件。欲了解更多关于MP-522安全性和联网功能的信息，请参阅移动系统软件功能表。 主要特征 射频特征 双模运行 同时在802.11a（5 GHz）和802.11 b/g（2.4 GHz）频段上运行 内置天线 优化802.11n空间多样性 优化增益模式以获得最大无线覆盖面积 真正的全向天线功能，不受替换位置的限制无线电发射 单一dBm增量的颗粒发射功率设置 功率设置 配置功率允许控制射频小区的规模 可靠性 射频自动调节 持续自动调节，以实现最优信道和传输功率 消除了相邻AP不在服务区时的覆盖漏洞 针对射频管理功能的硬件设施 可扩展性 客户端加密 同时支持多达500个客户端 基于硬件的无线通信专用加密解决方案，循环为每个会话提供密钥，以支持经认证的WPA（TKIP）、WPA2（AES）、40位WEP、128位WEP和动态WEP运行 802.11n 2 x 2 MIMO（两条无线收发链），两路空间流 20 MHz和40 MHz信道 每个频段上的物理层数据速率可高达300 Mbps 自适应帧聚合L2（MPDU-聚合）和L3（MSDU聚合） 循环延迟分集（CDD） 微弱信号检测 最大比合并 范围扩展 安全性 物理安全 其貌不扬的外观看起来像一个感烟探测器 不在本地保存数据、安全信息或加密密钥 不具备控制端口，不可实现本地接入 即使被盗，安全配置数据也不会随之泄露 可以将被盗接入点列入“黑名单” 内置Kensington安全锁 WIDS/WIPS 线设备可为ActiveScan或SentryScan单独配置 安装 安装 具备一个隐形卡扣，可以安装在天花板上 支持天花板和墙壁两种安装方式 功率 适用于任何带有PoE的Trapeze Networks公司Mobility Exchange WLAN控制器 适用于任何带有PoE的交换器或中垮电源 射频规划 射频自动调节的断电回弹设计，使用RingMaster 技术规格 硬件技术规格 外形尺寸 宽：7.1英寸（18厘米） 高：2.4英寸（6.1厘米） 重：569克（1.25磅） 接口 一个RJ-45端口，用于连接至10/100/1000 Mbps以太网和标准IEEE 802.3af以太网供电（PoE） 环境 工作温度：0至50 （32F至104F） 贮存温度：-40至70 （-4F至158F） 湿度：10% - 95%（非冷凝） 状态指示灯 3个彩色LED指示灯表明设备活动和多种不同的状态 功率 最大：11.3W；双模运行峰值功率，Cat 5e最远传输距离 最小：低于9W；闲置，Cat 5e最远传输距离802.11n无线规范 运行频率 2.4 GHz至2.472 GHz及5.15 GHz至5.85 GHz调制模式 正交频分复用（OFDM） 发射功率 取决于所在国家和地区，两条天线2.4/5GHz时最高可达21dBm 可配置关联速率 调制编码方案MCS 0 MCS 15（6.5Mbps 300Mbps）；常规速率：54 Mbps、48 Mbps、36 Mbps、24 Mbps、18 Mbps、12 Mbps、Mbps及6 Mbps，可自动降级 802.11a无线规范 运行频率 5.15 GHz至5.85 GHz 调制模式 正交频分复用（OFDM） 发射功率 取决于所在国家和地区，两条天线2.4/5GHz时最高可达21dBm 可配置关联速率 54 Mbps、48 Mbps、36 Mbps、24 Mbps、18 Mbps、12 Mbps、9Mbps及6 Mbps，可自动降级 802.11b无线规范 运行频率 2.4 GHz至2.472 GHz 调制模式 直接序列扩频技术（DSSS） 发射功率 取决于所在国家和地区，两条天线2.4/5GHz时最高可达21dBm 可配置关联速率 11 Mbps、5.5 Mbps、2 Mbps及1 Mbps，可自动降级 802.11g无线规范 运行频率 2.4 GHz至2.484 GHz 调制模式 正交频分复用（OFDM） 发射功率 取决于所在国家和地区，两条天线2.4/5GHz时最高可达21dBm 可配置关联速率 54 Mbps、48 Mbps、36 Mbps、24 Mbps、18 Mbps、12 Mbps、9Mbps及6 Mbps，可自动降级 无线认证 运行信道 取决于所在国家和地区 5 GHz无线认证 美国：47CFR（FCC）第15.407和15.247部分 加拿大：IC RSS-210，第七版 日本：TELEC，W52/W53/W56 2.4 GHz无线认证 美国：47CFR（FCC）第Part 15.247部分 加拿大：IC RSS-210，第七版 欧洲：ETSI EN300 328，EN301 489-1和489-17 日本：TELEC 遵循的标准 IEEE 802.3i：10BASE-T以太网 802.3u：100BASE-TX快速以太网 802.3ab：1000 BASE-TX千兆以太网 802.3af：以太网供电技术 802.3at：以太网供电技术 802.11 a/b/g/n、802.11d、802.11e、802.11h、802.11i、802.11k 802.1X 网络接入控制和交互认证 802.11a、802.11b、802.11g和802.11n无线LAN 802.11e服务质量（QoS）（WMM）、呼叫准入控制（TSPEC）、不定期自动省电模式（U-APSD） 802.11i快速漫游（PMK Cache）、加密（AES/CCMP和TKIP） Wi-Fi 接入保护（WPA）和Wi-Fi接入保护