经济开发区无线网设计方案

1、娄底经济开发区管委会无线网络设计方案设计单位：娄底市国联信息服务有限公司2014年4月第一章 项目设计的背景和目的由于公司现有网络设备以及线路老化严重，网络故障频繁，急需升级换代。传统的有线覆盖方式工程量大，成本高，施工周期长，不能满足各种移动终端的上网需求；无线网络快速，低成本建设，也可以提供高速网络接入，能满足用户实际网络需求，可达到无处不在的网络服务，故拟定此方案。项目设定的目的建设一张全无线覆盖的办公网络，覆盖范围包括公司的两栋办公楼和食堂，网络可接入最大1000用户终端。支持802.11n、向下兼容802.11b、802.11g无线协议支持WPA/WPA2认证支持AP之间无线漫游支持

2、基于单个用户的上网管理认证带宽控制支持用户动态负载均衡可统一管理各楼道交换机、AP以及用户接入管理。第二章 无线网络的整体设计方案 一、网络的整体组成： 无线网络主要由：无线网络控制器、无线网管电脑、楼层POE交换机、楼道汇聚交换机、无线接入点AP和各无线终端组成。二、网络的拓扑结构如下：三、楼层AP布局示意图：会议室APAP采用壁挂式或者吸顶式安装方式，POE供电，信号线可以走天花板内部AP的数量和位置可以根据具体的需要和接入容量进行适当调整。四、综合布线方案综合布线采用超五类非屏蔽线缆，每个楼层放置一个带POE功能的交换机，接入所在楼层的AP并为AP供电，然后楼层交换机汇聚到楼道交换机，楼

3、道交换机连接到核心交换机或者路由器。无线控制器位于中心机房机柜内连接网管电脑，控制所有的无线接入点和用户。五、AP胖瘦一体化方案在选择无线AP方面， 采FAT/FIT一体化AP，将来可以无限满足客户增加AP的可能，当AP数达到一定规模的时候，可以用FIT AP+无线控制器进行组网，这样就可以AP零配置，AP的所有操作都在无线控制器上，软件下载、配置更新、密码认证、三层漫游等。既保护了投资也方便了管理。当无线控制器出现故障时可以自动转换为FAT AP工作方式可以保证通信不中断。采用瘦AP覆盖有如下优点：快速无缝漫游：在WLAN覆盖区域内快速切换，用户信息和授权可无缝漫游，保持业务（数据、语音、视

4、频）完整性、连续性。用户、MAC 以及 VLAN组：将 AAA 策略分配给用户、子网或设备组，以便进行方便、有效、高性价比的 WLAN 管理。 基于用户身份的组网：提供基于用户身份的所有服务，以使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表 (ACL)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容；还可跟踪用户的具体位置及当前使用业务情况。 AP零配置安装：接入点无需准备预设置，更换的 AP 从无线 LAN 交换机或控制器继承配置信息；全面的AP控制和管理：所有属性如通道编号、功率、SSID 和安全设置都由无线交换机或无线控制器集中处理控制；六、负载均衡AP上支持标准的I

5、APP协议框架，通过负载均衡的部署，可实现在一个热点内用户平均分配到所部署的所有AP上，达到在一个服务区AP接入用户数何流量的平衡，为用户提供更高的服务质量。具体可部署的负载均衡策略有：1、 对所有AP设置基于用户数的负载均衡功能，AP通过对接入用户数的统计，与设定AP接入用户数量阀值比较，达到阀值后，不允许新的用户接入。2、 对所有AP设置基于流量的负载均衡功能，AP通过对接入用户流量的统计，与设定AP上流量漏桶阀值上沿比较，达到阀值后，不允许新的用户接入，少于阀值下沿，再允许新用户接入。七、频率规划与干扰控制1、在一个 AP 覆盖区内直序扩频技术最多可以提供3 个不重叠的信道同时工作。考虑

6、到制式的兼容性，相邻区域频点配置时宜选用1，6，11 信道。2、频点配置时首先应对目标区域现场进行频率检测，对于覆盖区域内已有 AP 采用的信道，应尽量避免采用。3、室内 AP 覆盖区频点配置时应充分利用建筑物内部结构，从平层和相邻楼层的角度尽量避免每一个AP 所覆盖的区域对横向和纵向相邻区域可能存在的干扰。4、WLAN 规划设计时结合现场勘察和测试之后，应指定覆盖区域的每个AP 的工作频率，不宜考虑AP 自动频率调整功能，以防止频率的频繁调整而导致用户无法接入。八、POE供电无线AP采用POE供电方式，可以从楼层交换机处获得电源，不需要单独的电源布线，比如天花板或者高墙上，那儿不能接近AC插

7、座，为这些位置提供电源就比较困难，花费也比较昂贵。但是即使在100米之外，POE AP可以通过现存的网络电缆从楼层交换机处轻易获得电源，免除了所有单独的电源布线。九、无线控制器 无线控制器是管理带宽和维护整个无线网络智能化的核心单元。除了在用户漫游时监视用户身份和维持他们的认证外，这些无线交换机还能配置和控制无线接入点的其他方面，包括RF信道和电源管理，无线流量分段；AP漫游和负载平衡，非法AP检测和AP访问安全；提供1000用户以上的DHCP服务和认证。十、安全和认证系统无线网络安全部分主要包括以下方面的内容：1、 MAC地址过滤： AP都支持基于MAC地址的过滤，限制具有某种类型的MAC地址特征的终端才能进入网络中，对于中大规模网络时，使用MAC地址过滤时操作起来具有较大的难度，主要原因是：MAC地址的规律性不大，所有的AP都要进行配置；2、 SSID管理：是一种网络标识的方案，将网络进行一个逻辑化标识，对终端上发的报文都要求进行上带SSID，如果没有SSID标识则不能进入网络；3、 WPA加密：WPA时效密钥完整性协议（TKIP）：WPA-TKIP提供以每个数据包为基础的密钥旋转，并检查消息的完整性（MIC），以确定在传输过程中数据是否被篡改或破坏。