大中里Show Suite地块无线网络项目技术方案

大中里ShowSuite无线网络项目技术方案 大中里40地块无线网络项目技术方案目录1. 40地块无线网络项目介绍 31.1. 项目需求分析 32. 无线网络方案设计 42.1. 无线网络整体架构 42.1.1. 网络架构设计思路 42.1.2. 展厅无线AP的选型 62.1.3. 无线系统设备清单 82.2. 无线AP点位规划 102.2.1. 无线AP点位说明 102.2.2. AP及PoE数量统计表 102.3. 访客接入安全设计 112.3.1. 访客用户认证建议 112.3.2. 访客帐号管理 122.3.3. Aruba无线状态防火墙 132.4. 无线网络高可用性设计 152.5. 无线终端保护及防入侵设计 172.5.1. 无线终端保护实现 172.5.2. 针对非法AP入侵的防范 182.5.3. 无线频谱分析 202.6. 网络可视化管理系统设计 282.7. 无线网络性能优化建议 352.7.1. 网络性能优化建议 352.7.2. 无线射频优化建议 363. 无线定位应用技术方案建议 393.1. 基于WIFI无线网络的室内定位介绍 393.1.1. 基于位置的服务（LocationBasedService-LBS） 393.1.2. 基于WiFi的网络侧室内定位 403.1.3. 基于云模式的系统应用与要求 423.2. 易寻灵动提供的应用系统介绍 433.2.1. 数字矢量地图 43. 地图底图处理 43. 地图POI数据的处理 44. 导航拓扑路径的生成 453.2.2. 广告信息的推送 453.2.3. 消费者数据统计收集 46. 客流量数据详细截图-当日客流 46. 客流量数据详细截图-当前位置 47. 客流量数据详细截图-轨迹图+停留时间 48. 客流量数据详细截图-某时刻进店统计 49. 客流量数据详细截图-当日进店量统计 49. 客流量数据详细截图-客流量对比 503.3. 易寻灵动定位系统的技术特点 503.3.1. 技术特点 513.3.2. 技术优势 5140地块无线网络项目介绍40地块无线网络主要为内部人员及到商业购物中心裙房、写字楼大堂及停车埸客人提供移动互联网接入服务，为展示大中里企业形象所必需的基础设施。因此，无线网络方案秉承以高性能、高可用、易管理、易扩展、合理投资为基本原则，在40地块商业购物中心裙房、写字楼大堂及停车场内部署一套Aruba无线网络系统，并利用到Aruba多项先进的技术使其组成有机的整体，以此打造具有超高品质的移动网络接入平台，并实现一定的技术积累为大中里后期项目作相关准备。项目需求分析结合40地块展厅无线网络建设目标，本项目的业务具体需求如下：采用瘦AP架构，无线控制器对瘦AP进行统一控制和管理；考虑未来无线网络技术和规模的发展，无线网络系统需要具备良好的可扩展性，容量规模能够满足近期内支持的AP总数，并支持未来进一步扩展的能力，更好的保护投资；无线网络系统应当具有多层次的无线网络安全功能，能够实现内、外网用户接入下的数据安全性，且提供从无线攻击和入侵防范到基于用户的无线状态防火墙等一系列安全特性；无线网络系统兼容性好，可用性高，能支持多种主流无线终端和操作系统；无线网络系统能够支持全冗余设计，有效保障无线网络的可靠性和稳定性；无线网络支持Wi-Fi定位技术，并提供开放的接口以兼容第三方定位引擎及相关应用；无线网络系统需要具备良好的网络可管理性，实现统一的用户管理、配置管理、性能管理和故障管理；无线网络方案设计易实施、易管理、易扩展。无线网络方案设计无线网络整体架构本方案考虑采用瘦AP+无线控制器架构，以独立组网的方式新建一套无线网络系统。无线控制器负责管理和控制无线接入点，无线控制器通过核心交换机以旁挂的方式实现网络互通，所有的无线数据转发、安全策略、用户认证等功能全部都无线控制器集中完成，无线接入点只提供无线终端的接入服务。无线终端在接入无线网络后，无线接入点会将终端的数据封装在GRE隧道中，交由无线控制器集中处理。网络架构设计思路大中里40地块无线网络架构示意在网络核心侧（考虑放置于IT机房内），采用2台Aruba7210无线控制器（最高单台可容纳512个无线AP），并工作在热备冗余模式（Active-Standby），同时为无线控制器配置了452个无线AP管理许可、452个无线状态防火墙许可及452个无线射频保护许可，借助Centralized-License技术实现无线控制器之前的License共享及备份。同样在IT机房内，配置一套AirWave综合网络管理系统（含软件及500个节点License，安装服务器需自行提供），实现对展厅内所有无线控制器、无线AP、交换机的网络运维管理。本项目7210无线控制器通过Port-Channel端口聚合，分别上联核心交换机，采用千兆铜缆互联。在接入侧，共计部署452颗AP，其中161颗Aruba高性能室内型AP提供停车场区域内Wi-Fi覆盖；27颗Aruba高性能室内型AP提供后勤部门区域内Wi-Fi覆盖；218颗Aruba高性能室内型AP提供公共区域内Wi-Fi覆盖；46颗Aruba高性能室内型AP提供电梯内Wi-Fi覆盖。AP通过千兆PoE交换机供电后接入网络，并与无线控制器建立隧道。AP可通过灵活的备份隧道切换机制，实现无线控制器故障时的高可用性（详见后续“高可用性设计”章节）。本方案中Wi-Fi定位服务采用基于“云”方式的第三方系统实现，除了无线网络系统相关设备以外，企业无需在本地架设、配置任何其它系统。Aruba系统除在提供用户Wi-Fi接入服务的同时，还负责密切收集场内客户端RSSI值，并通过RTLS接口上报给位于云端的第三方定位系统，配合后台定制化的管理平台，呈现如人员精确定位、客流分析等位置相关的业务应用。有关介绍详见本技术方案第3章节。本无线系统架构方案设计除具备高性能、易管理的特点以外，还具有非常良好的扩展性，主要体现在以下两个方面：目前配置允许同时在线452颗AP，最高可满足同时在线512颗AP，足以满足近阶段展厅Wi-Fi覆盖及扩展需要：在40地块展厅未来因业务需要而进行无线网络规模扩展时，只要按需求数量购买无线AP，即插即用。Aruba先进的零配置管理架构可完全避免二次参数配置的麻烦，实现便捷、快速的无线信号覆盖区域的扩展。此外，Aruba系统支持先进的集群管理技术，除了上文中提到的中心化License管理功能，可以实现配置自动同步、数据流量终结及冗余备份等功能。展厅无线AP的选型从40地块展厅的设计定位来看，AP选型上必须能够满足高密度、高性能的接入要求。对于高性能接入环境的无线网络设计，需要从以下几个方面考虑来确保网络接入的性能和稳定性。支持2.4GHz和5GHz双频段同时工作由于受到频率资源的限制，2.4GHz频段只能够提供1、6、11三个互相不干扰的信道,并且经常受到来自外界的bluetooth、cordlessphone和microwave等多重干扰，因此始终无法实现稳定、高速和高密度无线接入服务。采用双频工作的ARUBAAP215无线接入点可以实现2.4GHz和5GHz双频段同时覆盖，在2.4GHz和5GHz频段分别支持最高450Mbps和1300Mbps的连接速率。同时，利用ARUBA先进、独特的ClentMatch射频优化专利技术，ARUBA无线AP可以实时引导无线终端基于终端能力、信道资源和信号质量连接最佳的接入点，以保证网络性能的持续优化。此外，AP-215还特别支持抗蜂窝干扰技术。由于公共场所内不可避免地会存在运营商3G、4G信号干扰源，如基站、天馈系统等，会对2.4GHz频段的Wi-Fi产生一定的带外干扰，尤其当用户方AP安装距离3G/4G“蘑菇头”天线约1米范围以内时，将严重影响到无线数据的稳定传输。对于此类干扰，ArubaAP-215利用其内置滤波芯片进行过滤处理，实现在一定范围内对3G/4G干扰的有效地免疫，从而保证更稳定的Wi-Fi接入。采用优化天线设计，实现下方全向覆盖无论是工作在2.4GHz还是5GHz频段，当终端密度达到一定程度时，为了满足大量终端的接入，都必须采用微蜂窝方式缩小每个AP的覆盖范围，降低AP之间的同频干扰，通过频率重用的方式实现网络容量的增长。传统的全向天线在水平方向具有最高的天线增益，而在天线下方则信号较差（即所谓的“灯下黑”），考虑到展厅区域层高较高、AP部署密度较大的实际情况，这种传统的全向天线并不适合高密度环境的覆盖。最大增益方向最大增益方向(@0º方向)原因在于这种天线位于水平方向的最大增益将会导致较为严重的AP之间的同频干扰，而缩小AP发信功率则又会使天线下方的用户接收信号进一步恶化，因此通过“微蜂窝”方式来增加系统容量的效果不佳。与传统的标准全向天线不同，ARUBAAP-215采用下方全向的内置天线设计，使天线的最大增益方向面向天线下方的无线用户，同时在天线水平方向保持较小的增益，从而既保证了无线用户的信号质量，又有效降低了AP之间的同频干扰。因此采用ARUBAAP-215实现大容量、高密度接入设计时，可以在有效保证用户信号质量的前提下，通过缩小AP发信功率，降低AP之间的同频干扰，使无线频率得以重复使用，以满足增加系统容量的要求。综上所述，针对40地块展厅的无线覆盖，本方案建议采用ARUBAAP-215无线接入点，实现最高1300Mbps的双频无线覆盖，并在高密度部署的同时有效抑制AP间的同频干扰、3G/4G带外干扰，以确保网络的高性能、稳定运行。无线系统设备清单根据大中里46地块ShowSuites项目招标技术规范和要求，本方案系统配置清单如下：部件号功能描述单位数量说明备注I.无线控制器7210Aruba7010无线控制器，两个双介质端口（1000BASE-X或10/100/1000BASE-T），4个10GBASE-X(SFP+)端口，单台最高支持512个AP、16384并发用户。台2已包含在本次投标报价中。

LIC-452-AP无线接入点管理许可（452个节点），提供必要的基本功能。套1已包含在本次投标报价中。

LIC-PEFNG-452无线防火墙功能许可（452个节点），开启基于Role的访问管理、应用识别与QoS控制、网络层安全防护等功能。套1已包含在本次投标报价中。

LIC-RFP-452射频保护功能许可（452个节点），提供基于TarpitShielding的压制、WIDS、频谱分析等功能。套1已包含在本次投标报价中。可选配置。ArubaBaseOS中已包含基本的非法AP发现和基于De-auth的压制功能。II.网络管理系统AW-500ArubaAriwave无线网络管理系统，25节点，可管理多品牌有线、无线网络设备（SNMP）。套1已包含在本次投标报价中。可选配置。7010无线控制器可提供基于Web的全图形化管理界面。网管服务器硬件或者VMWare虚拟机（目前要求双核CPU，16G内存，300G硬盘空间）。台1没有包含在本次投标报价中。

III.展示厅无线网接入点AP-215Aruba215无线接入点，支持802.11a/b/g/n/ac，2.4G+5G双频段同时接入，MIMO:3X3:3内置MIMO天线，支持频谱分析，包含安装套件。台406已包含在本次投标报价中。

IV.电梯用无线网接入点RAP-108-OTAruba108无线接入点，支持802.11a/b/g/n，2.4G+5G双频段同时接入，2x2外界天线接口，包含户外防水、防尘安装套件。套46已包含在本次投标报价中。

AP-ANT-162.4-2.5Ghz(3.9dBi)/4.9-5.9GHz(4.7dBi),双频MIMO外接天线，下倾角全向。套46已包含在本次投标报价中。天线规格可能据实际情况进行调整。V.PoE接入交换机S1500-24PS1500-24P千兆PoE交换机，24x10/100/1000BASE-TIEEE802.3afPoE/802.3atPoE+ports，4GbESFP，包含总共100个SFP模块。台23已包含在本次投标报价中。

一台POE交换机分别与两台核心连接，加上AC与两台核心连接无线AP点位规划无线AP点位说明详细见设计公司给出的设计平面点位图AP及PoE数量统计表序列位置客用电梯内(RAP-108)停车场区域(AP-215)后勤部门区域(AP-215)公共区域(AP-215)POE设备S1500-24P140地块地下四层60223240地块地下三层79334340地块地下二层227162440地块地下一层15333540地块首层583640地块二层432740地块三层3553840地块四层43839合计4616127218AP共计452个APPOE交换机23台*注-PoE功耗设计依据：无线AP最大功耗AP-215=12.5瓦/台，RAP108=12.5瓦/台（不启用USB接口）。交换机供电配额S1500-24P提供400瓦PoE功率配额。访客接入安全设计访客用户认证建议大中里展厅无线网络主要用于访客的无线网络接入和Internet访问，由于这类用户传输的往往是非企业敏感数据，因此通常并不考虑采用加密技术，而仅仅对无线用户进行身份验证，以防止企业外无关人员随意接入无线网络。对于访客网络的认证方式，考虑到802.1X/EAP-PEAP技术需要对无线拨号程序进行配置，具有一定的技术复杂性，同时外来访客往往具有多样性和开放性等特点，因此从便于实施的角度出发，建议通过ARUBA无线控制器实施更加灵活和便于操作的WebPortal认证方式。如上图所示，由于WebPortal认证是一种基于三层的认证方式，因此在终端浏览器上弹出WebPortal页面进行身份认证之前，无线用户已经连接到无线网络上，并获得IP地址和极为有限的访问权限（如只能发起Http请求，并被控制器重定向到内置或者外置的WebPortal页面），在用户填写并发送相应的访客帐号和密码时，ARUBA无线控制器既可以通过Radius/LDAP通讯接口与外置的Radius或者AD进行通讯，对用户身份进行验证；也可以利用无线控制器内置的用户数据库对该用户身份进行验证，并在验证成功后根据先前定义为通过验证的访客用户分配相应的角色，同时实施与该角色相对应的访问控制策略、带宽管理策略和会话控制策略甚至路由策略。通过用户身份定义并分发差异化的用户策略是ARUBA特有的无线用户防火墙的强大功能之一，通过这一专有技术，无线网络可以忽略无线用户所在的VLAN、IP网段等信息，而专注于每个用户的身份角色，并围绕其身份制定与众不同的各项用户策略，使网络安全策略的实施真正从以端口/VLAN为中心演进为以用户为中心，从而使网络安全设置获得更加精细的颗粒度和前所未有的灵活性。访客帐号管理ARUBA无线控制器还内置了访客管理系统，通过在控制器上设置访客管理员账号，网络管理人员可以直接将繁琐的访客账号开通、删除等工作交给访客接待人员来完成。访客接待人员可以采用访客管理员账号登录无线控制器，并通过无线控制器所提供的图形化界面创建访客账号、密码，同时设定访客账号的有效期，有效期可以设置为时长，也可以设置为失效日期/时间等。ARUBA控制器访客管理员账号的设置界面：ARUBA控制器上访客账号的生成界面：Aruba无线状态防火墙在ARUBA无线网络系统中，由于采用了集中化的用户认证、加密和访问控制器机制，所有的用户身份认证都将通过ARUBA无线控制器来实现。ARUBA在无线控制器上集成了经过ICSA（国际计算机安全联盟）认证的用户状态防火墙，这个用户状态防火墙是以用户，而不仅仅是IP地址为验证方法的，从而可以基于每个无线网络用户的身份角色定制与其他用户完全不同的安全策略、带宽策略及QoS策略，实现完全以用户为中心的、不依赖于网络参数（如VLAN、IP地址等）的用户安全策略管理。因此，即使用户的IP地址等信息始终保持不变，ARUBA无线控制器也可以随着无线用户身份认证的进程，不断更新用户角色，并通过角色的变化赋予用户不同的访问策略。无线用户在ARUBA无线控制器中的角色分配和更新可以通过以下几种方式来实现：基于用户终端特性的角色分配用户角色依据终端特性（如终端类型、MAC地址、加密方式、连接的ESSID等）来分配，这种方式需要在控制器内部预先定义特定终端的相关特性，灵活性不足，通常只应用于某些特定环境。基于认证用户属性的角色分配用户角色依据Radius或LDAP认证过程中从认证服务器获得的用户相关属性来分配，这种方式是目前应用最为广泛的认证和授权方式。基于外部服务接口的角色分配用户角色通过无线控制器的外部服务接口（ESI），由获得授权的服务器或者防病毒系统主动添加和修改。在这种模式下，ARUBA无线控制器提供一个开放的XML-API接口，授权的外部系统可以通过标准的XML语言对无线控制器内部的无线用户列表进行添加、修改、删除和黑名单等更新操作，具有非常好的灵活性和开放性，但是需要在外部系统上进行一定的二次开发。此外，ARUBA无线防火墙还特别具备终端类型识别和基于DPI的应用识别功能。如上图所示，在无线控制器内置的防火墙能够为每个无线用户提供访问的网站、应用类型识别，并检测每个无线用户的流量，采用深度包检测（DPI）机制匹配、识别用户目的网站域名和各种应用（超过1400种），并根据应用策略的需要，在无线中实施相应的访问控制策略、带宽策略和QoS策略。无线网络高可用性设计无线网络的高可用性主要从两个层面考虑，一是网络核心层面，Aruba无线控制器支持标准的VRRP冗余协议，可以使用两台无线控制器组网实现1：1的冗余架构，另外，Aruba特有的LMS技术，可以实现N+1的冗余机制；Aruba特有的FastFailover快速故障倒换技术可使得无线AP切换时延达到亚秒级标准。二是无线接入点的信号冗余，Aruba无线接入点通过ARM(无线射频自适应协议)可以自动调节工作频段和发射功率，当某一颗无线接入点发生故障后，周围的无线接入点会调大自身的发射功率弥补故障无线接入点覆盖区域。以上两个层面中，第一层面对于网络可用性的影响最深，且对产品的技术特性有很高要求。本方案建议46地块展厅全面启用ArubaFastFailover技术来实现当无线控制器故障时的AP倒换，根据下文将详细阐述具体倒换过程和可靠性相关细节。ARUBA提供的基于Master-Local架构的无线控制器集群工作模式，在整个无线控制器域中，可以实现Master控制器和Local控制器之间的配置自动同步，Master控制器用于对全网所有Local控制器和AP的配置和安全参数进行管理；Local控制器则位于用户网络的不同区域或分支机构，作为Master控制器的策略执行点，用于终结和转发各区域内无线用户的业务数据，并通过内置的用户防火墙对其实施相应的安全策略，以实现分布式转发。在瘦AP+控制器架构中，传统的AP故障倒换机制存在的不足是，AP至备份控制器的切换过程中需要AP重启或重新建立隧道，而这一过程会为备份控制器及AP带来相当大的处理负荷（AP可能需要清除配置——踢出已关联终端——连接至备份控制器并下载配置），所以在大规模网络架构中，传统倒换过程往往会消耗较长的时间，造成不同程度的服务停止。ARUBA利用独创的APFastFailover™（AP快速故障倒换）技术，大幅缩短了因无线控制器故障导致的AP切换时间，以帮助客户有效解决当网络升级，或未知故障等情况所引起的网络不可用。ARUBA无线控制器可以基于AP组设置主用控制器或备份控制器，同时支持1:1（Active-Standby）、1+1（Active-Active）、N：1等多种冗余架构。当AP启动后，将首先连接主用的无线控制器，与此同时AP与备份无线控制器会建立起备用隧道，为故障的快速切换做好准备。AP和主要及备用控制器之间通过心跳报文检测无线控制器的健康状态，一旦检测到主用控制器不可达或者无法工作，AP将自动切换到备份控制器，在此切换过程中因为AP不需要重启，所以Wi-Fi信号不会发生间断。如上图所示，在本方案中根据本项目的实际情况，Aruba建议将两台ARUBA7010无线控制器运行在1:1（Active-Standby）冗余模式，并将位于1层IDF间内的Local控制器设为主用（Active）。当无线AP加电后，首先会通过展厅有线网自动连接到Local控制器，自动同步软件版本和配置，并与Local建立GRE数据隧道，与Master建立备份控制隧道，之后开始提供无线用户数据接入。与此同时，AP将周期性地地检测Local控制器状况，一旦发现与Local控制器之间的Heartbeat报文连续丢失，AP则自动通过备份隧道切换至Master控制器，此后无线用户数据将导流至Master控制器。如果此处管理员开启HA抢占功能，AP在切换至Master之后还会继续监测到Local控制器的连接是否恢复，一旦该连接恢复且保持稳定一段时间（HoldonTimer）后，AP自动切换回Local控制器。无线终端保护及防入侵设计无线终端保护实现无论是企业员工接入还是访客网络，移动终端相关的数据安全性与私密性越来越受到人们的重视，尤其是在大中里展厅这样的公共场所，访客的数据安全和个人隐私向来是困扰着业主的一大问题。在场所内全面启用无线网络提供服务的同时，由无线介质的所产生的新的风险也随之而来。我们经常发现，由于用户不恰当的操作，或另有图牟的行为，移动设备可能会连接到场所提供的AP之外的无线网络中，由此为数据窃取者提供了可用通道，后果可能严重威胁到企业的信息安全，甚至是泄露重要的商业机密。此外随着Wi-Fi技术的普遍应用，一般在公共场所内会搜索到许都不相干的Wi-Fi信号，这些信号往往来自电信运营商、相邻的企业或个人，这使得初次使用的用户（如访客）难以辨识，从而在需要连接场所Wi-Fi信号时带来不必要的困扰。通过常规的安全手段很难杜绝以上现象的发生，在本方案中配置了射频保护功能License，建议通过Aruba无线系统开启“合法终端保护”功能或“SSID白名单”功能来解决上述问题。所谓合法终端，即在无线网络中认证成功后被记录的移动终端。当此类终端试图连接展厅之外的无线信号的瞬间，Aruba系统会立刻发现，并自动对外界信号进行干预，结果使得合法终端无法连接到外界信号，在一般情况下（视无线网卡设置）终端会找最优先的信号进行关联以实现自动信号回退，最终达到保持展厅Wi-Fi信号连接的目的。SSID白名单功能，顾名思义是指使管理员可以设定合法的SSID命名范围，对在范围之外的SSID进行压制，结果使得所有无线终端（无论是否被记录为合法终端）无法连接到外部的无线信号。需要注意的是，启用SSID白名单功能可能会在一定物理范围内影响到相邻外界终端的正常通信。综上所述，大中里可以根据实际使用情况选择性地利用Aruba射频保护功能来有效保护访客、员工移动终端在Wi-Fi信号关联时的安全性与正确性。针对非法AP入侵的防范在今天的企业无线网络中，不经意的工作人员为使用方便而私自接入网络中的AP比比皆是。而恶意入侵者通过设置假冒的AP诱骗使用无线网络的员工从而截获信息。通过ARUBA交换机的WEB界面或中心化网管界面，网管中心便可实时查看到是否有非法AP在网内，或是企业无线网络覆盖范围内是否有其它AP仿冒企业AP。网管人员亦可开启自动保护机制，阻止无线终端通过非法AP连接到网内或者被诱骗到假冒AP上。这些非法的无线连接会被周边最接近的ARUBAAP所发出的802.11De-Auth包所切断。802.11De-Auth包会不停地发出直到在线的无线终端的无线连接被打断为止。这一过程专业术语成为“无线压制”或“无线围堵”。Aruba还具备独有的Tarpit技术，可代替传统的802.11De-Auth包来压制恶意设备，这一特性需要射频保护（RFProtec）许可来开启。本方案已配置RFProtect可以享受到Tarpit所带来的技术优势——相比传统技术，Tarpit压制效果更彻底，同时其对于射频资源的开销更小，执行压制时几乎不影响AP的接入性能，因此在未部署专用途压制AP的方案中尤其适用。ArubaTarpit工作流程如下图所示：此外要做到一个真正自动的保护机制就必须能正确识别所有在物理范围内检测出来的AP身份。如果把隔壁邻居所安装和使用的AP视为非法AP的话，很容易就会把它们正常的无线连接打断，间接变成对外界无线网络的DOS攻击。ARUBA的自动保护系统是市场上最卓越和最全面的无线网络安全保护工具，通过同时收集和分析来自有线端口和无线信道两方面的数据信息，ARUBA无线入侵保护系统能够准确地区分出连接到企业内网的非法AP和位于围墙外面的干扰AP之间的差异，从而可以避免对非法AP的错判和漏判。除了对非法AP进行分类和压制，ARUBA无线控制器还能够对非法AP的位置进行定位。网络管理员只需在WEB界面按“定位”按钮，非法AP的位置就会显示在图纸上（详见下文“网络可视化管理系统设计”），网络管理人员就可根据图表显示的位置找到该AP并将其从网络中清除。无线频谱分析对于无线网络而言，来自外界的频率干扰往往是不可预测和难以避免的，并可能导致无线网络出现严重的网络性能和可靠性降低。这些干扰信号的来源可能是基于WiFi或者非WiFi的，而且是多种多样的，包括无绳电话、微波炉、蓝牙设备、无线视频摄像头以及无线遥感系统等。借助于Aruba无线控制器和任意一款Aruba802.11N无线AP，Aruba无线网络内置的频谱分析功能可以在提供无线接入服务的同时，提供针对2.4GHz和5GHz频段的频谱扫描数据，识别出各种WiFi和非WiFi射频干扰信号，并分析干扰信号及其对网络性能影响。本项目已在无线控制器中配置RFProtect功能模块，在提供无线频谱分析功能时，Aruba802.11N无线AP可以支持两种工作模式：频谱分析模式采用频谱分析模式时，Aruba802.11N无线AP不提供无线接入服务，只提供频谱扫描和分析功能，网络管理员可以通过Aruba无线控制器的WebUI管理界面查看整个频段的频谱分析数据和图表。混合工作模式采用混合工作模式时，Aruba802.11N无线AP可以同时提供无线接入服务及频谱扫描和分析功能，网络管理员可以通过Aruba无线控制器的WebUI管理界面查看AP当前工作信道的频谱分析数据和图表。在这种工作模式下，由于无线AP只需要当前工作信道中的射频信号活动进行被动监听，不需要对无线信道进行切换，因此无线用户接入和数据转发性能不会收到任何影响。Aruba无线网络的频谱分析功能可以提供丰富的频谱分析数据和图表，这些图表主要可以分为信道健康状况、活动设备汇总和射频干扰特性三大类别，共计14种图表。信道健康状况图表信道健康状况图表主要用于反映无线信道的忙闲状态以及信道质量，Aruba控制器WebUI管理界面提供5种与信道健康状况相关的图表。DeviceDutyCycle这一图表主要用于反映当前各个信道的忙闲状态，以及各种无线射频信号占用信道资源的比重。如下图所示。ChannelUtilizationTrend这一图表主要用于反应信道可用性的历史发展趋势。ChannelMetrics这一图表主要用于反应无线信道的质量，其计算参数包括信道可用性、噪声水平等。ChannelQualityTrend这一图表主要反映信道质量在短时间（10~60分钟可调）内的变化趋势。ChannelQualitySpectrogram这一图表主要反映无线信号的谱线密度随时间变化的状况，其中横轴代表频率，纵轴代表时间，第三个坐标为颜色，代表信道质量，蓝色/蓝绿色表明较好的信道质量，黄色/黄红色则表明信道质量较差。ChannelSummary这一图表主要反映无线信道相关信息汇总，包括该信道中WiFi设备和非WiFi设备的数量、信道利用率、最大AP发信功率、最大干扰信号功率和信噪比等内容。活动设备汇总图表活动设备汇总图表主要用于反映Aruba频谱分析功能所识别和分类的所有无线设备列表，包括ActiveDevices,ActiveDevicesTrend,ActiveDevicesTable,InterferencePower以及ActiveDevicesTable这5种图表。ActiveDevices这一图表通过饼图的方式反映特定无线信道中所有802.11设备和非802.11设备的组成。DevicesvsChannel这一图表主要用于显示各种WiFi和非WiFi无线设备在各个信道上的分布情况。ActiveDevicesTrend这一图表用于反映一段时间内各个信道上处于活动状态的无线设备的数量和变化趋势。InterferencePower这一图表主要反映各个无线信道上可见的各种WiFi和非WiFi干扰来源的信号强度。ActiveDevicesTable这一图表以列表的方式罗列出各个信道上处于活动状态的WiFi无线设备和非WiFi无线设备的清单，包括其信号名称、信号强度、忙闲程度、活动时长、影响的无线信道等内容。射频干扰特性图表射频干扰特性图表可以帮助用户发现潜在干扰设备对频谱的占用和活跃程度。这些参数反映了各种射频干扰源的特性，并且可以用于识别射频干扰源的类型。Aruba频谱分析功能目前可以识别多达12种射频干扰源的类型，并且随着软件版本的升级，相应的频谱特征库也将随着不断扩充。Aruba频谱分析功能可以提供Real-timeFFT，FFTDuty-Cycle和FFTSpectrogram这三种主要的射频干扰特性图表。Real-timeFFT这一图表主要反映Aruba频谱分析功能在各个频点上探测到的射频能量的实时数据。其中横轴表示频率，纵轴表示干扰能量的强度。FFTDuty-Cycle这一图表主要反映Aruba频谱分析功能在各个频点上探测到的无线干扰信号对无线信道的占用情况。其中横轴表示频率，纵轴表示干扰信道对无线信道的占用比例。FFTSpectrogram这一图表主要反映Aruba频谱分析功能在各个频点上探测到的无线干扰信道强度在300秒时间长度内的变化趋势。其中横轴代表频率，纵轴代表时间，第三个坐标为颜色，代表信道强度，蓝色/蓝绿色表明较弱的信道强度，黄色/黄红色则表明信道强度较强。网络可视化管理系统设计在本次46地块展厅无线网建设项目中针对无线网管系统的设计要求能够全面管理无线网络设备的配置、故障、性能及用户。近期涉及被网管的网络节点数量在25个左右（包含AP、交换机），在考虑到后期网络规模的扩展的，此次建议采用的服务器配置为：双核CPU，8GB内存，100GB高转速硬盘。无线网管系统功能设计：在本次46地块展厅网管系统的建设中，我们将采用Aruba的Airwave网管系统进行部署。结合项目的特点我们将从以下几点对无线网管系统进行规划设计。该系统要具有完善的无线网设备、资源和用户管理能力；具有高效的所有子系统设备集中配置、自动下发配置信息等配置管理功能；具备状态、故障、告警、远程抓包和诊断调试等故障管理功能；具备信号冲突避免、频谱分析（FFT、占空比）、检测RF干扰等无线射频管理功能；具备流量监控、记录、分析和带宽分配与管理等性能管理功能；具备用户信息配置、用户状态检测记录、用户的资源占用率检测记录等用户管理功能。网管系统功能调试1)、无线网设备、资源和用户管理能力；①.自动发现无线局域网(WLAN)设备；②.自动跟踪接入网络的每个无线用户和设备。2)、通过自动识别功能，可以针对不同无线终端的和操作系统分配不同的控制权限；3)、通过应用软件识别功能，可以针对不同的软件类型系统分配不同的控制限制；4)、设备集中配置、自动下发配置信息等配置管理功能①.自动配置接入点、控制器和ArubaS2500移动接入交换机；②.通过基于Web的用户界面定义配置策略或从现有设备导入经过确认的配置文档；③.分级策略定义功能允许快速、轻松地对整个网络的通用配置进行更新，不需要覆盖可能因地域而不同的设置；④.高效远程软件分发功能消除了耗费时间且容易出错的手动更新；⑤.智能计划功能使IT可以在几乎不影响业务的情况下自动完成配置或固件更新，并支持创建重复任务；⑥.支持将存档的设备配置用于配置审计和版本控制；⑦.维护所有AirWave操作员所做更改的详细审核日志。5、设备状态、故障、告警、远程抓包和诊断调试等故障管理功能①.自动跟踪接入网络的每个无线用户和设备，实时记录设备设备状态、故障、告警；②.对连接无线控制器和接入点的有线基础设施进行监控；③.记录并显示射频和RADIUS错误，这些错误是发生连接问题的常见原因；④.快速查看从整个网络到设备级别的监控视图；⑤.在接入点、控制器和交换机之间映射上游关系，帮助识别宕机和性能故障；⑥.支持远程抓包功能，可以通过AP远程全频段抓包，同时对1，6，11三个频道进行抓包，有助于帮助网络故障和性能分析。6、信号冲突避免、频谱分析（FFT、占空比）、检测RF干扰等无线射频管理功能①.支持信号冲突避免，通过ARM技术可以扫描周围无线电波，检测信号干扰强度，自动调整AP信道和发射功率；②.支持频谱分析功能，可以根据实时无线电波扫描结果对现场无线电环境作出实时分析。并且支持无线场景重现功能，可以将实时的无线电波扫描结果记录下来并且进行回放，方便在事后对之前的无线电环境进行分析；③.聚合、关联、报警和记录网络上已经检测到和报告过的无线攻击，实现基础设施的全面安全；④.查看由AirWaveRAPIDS发现的恶意接入点的位置，便于更加快速地调查和消除威胁。7、流量监控、记录、分析和带宽分配与管理等性能管理功能①.支持AP设备和用户终端流量监控、记录、分析功能，实现网络性能的监测；②.根据用户终端的流量监控，可以实时调整用户的接入带宽。8、支持用户信息配置、用户状态检测记录资源占用率检测记录等用户管理功能①.支持用户信息配置，显示用户信息状态。②.支持快速对用户和无线设备进行定位，便于故障排除、规划和资产跟踪③.回放过去一天之内个别用户的位置历史，便于故障排除和丢失设备的恢复④.支持用户资源占用率监测分析，查看用户资源情况举例说明：（下面将从图形界面进行说明）1、控制器管理2、AP的管理3、用户终端的管理@@0º方向增益较小天线下方增益较大4、无线用户的管理下方全向天线下方全向天线5、基于SSID，设备类型和操作系统的流量和使用报告6、网络总流量用户~~凡走必留痕迹用户~~凡走必留痕迹用户的带宽使用情况7、无线入侵检测设备的版本、制造商和型号设备的版本、制造商和型号用户的IP、信号强度、带宽等使用情况用户的IP、信号强度、带宽等使用情况无线网络性能优化建议网络性能优化建议如何对网络进行优化、降低不必要的广播流量、提升网络整体性能是无线网络设计中必不可少的一个环节。一般而言，为了缩小广播域，减轻网络二层广播流量对网络、对终端的性能压力，网络管理员往往采用每个VLAN对应一个C类地址，来设置一个IP子网，网络的掩码一般是，每个子网内最多可以容纳253个用户。但是由于大多数无线局域网厂商都只能做到1个SSID对应1个VLAN，这样的带来的问题就是，当建设一个大规模无线网络的时候，为了能够允许更多的无线用户同时连接这个SSID，必须提高这个SSID所映射VLAN的IP子网规模，比如一个若干个C类地址甚至是B类地址。这样的设计与网络管理员缩小广播域的愿望完全是背道而驰的，会使得所有的用户集中在同一个VLAN，也就是同一个广播域内，从而导致网络中充斥着大量的广播包，并进一步造成终端处理能力的下降和网络拥塞。为了解决这一问题，ARUBA提供两种技术手段对网络进行优化：VLANPool技术通过VLANPool技术，可以在ARUBA无线控制器上为一个SSID映射多个VLAN，当无线用户连接这个SSID时，ARUBA无线控制器会通过Hash算法将无线终端负载均衡地分配到所对应的多个VLAN，从而大大减小了广播域的范围广播过滤技术ARUBA无线控制器凭借其强大的硬件处理能力，还能够提供广播过滤技术，通过该技术对网络中的广播包进行过滤，使得(1)DHCP广播允许通过；(2)ARP广播转换为单播后只在相关AP上发送；(3)屏蔽其它不必要的广播包。这样，就使得无线信道上的广播流量大幅度的降低，从根本上实现了对广播包的抑制和网络性能优化。无线射频优化建议对于公共展厅的无线网络，最大的挑战就是如何克服WiFi网络固有的信道容量限制，以实现高密度、高性能、稳定的无线网络连接。ARUBA的自适应射频管理可以提供具有实时性的智能射频管理功能，利用ARUBA多功能接入点（AP）对周边射频环境进行持续监测。所有的ARUBAAP都会在设定的时间内自行扫描其它的无线频道，而ARUBA无线控制器则根据AP收集到的无线电波信息进行智能计算，并对AP的发信功率和工作信道等无线电波参数进行动态调整，以使AP之间达到了一个最优化的无线电波运行状态。此外，ARUBA无线网络还能够在802.11标准框架内，不需要对无线终端网卡进行任何调整的前提下，实现无线网络与终端设备之间的协同优化。无线接入的频段指引长时间以来，无线网络性能提升的主要存在两个障碍，一是2.4GHz频段中互不干扰的信道只有3个，从信道资源角度看，非常有限；另一个是802.11标准将无线连接的决策功能（如连接那个AP、什么时候连接、用什么频率连接等问题）都留给无线终端侧完成，而相当部分终端在其设计中往往优先采用2.4GHz信道对网络进行连接，从而导致2.4GHz信道中用户密度过高、信道效率偏低的特点。ARUBA专利的自适应射频管理技术可以支持终端频段指引功能，能够自动发现并引导网络中的双频段终端（即支持2.4GHz或5GHz的终端）优先采用5GHz频段连接ARUBA的双频段AP，以均衡使用网络资源，改善网络性能。对于用户来说，通过ARUBA的无线接入频段指引功能，可以使无线网络性能得到显著的优化，包括如下：可以充分利用5GHz频段丰富的频率资源，而不仅仅是2.4GHz频段上的3个无干扰信道可用信道的增加大大缓解了2.4GHz无线网络中的同频干扰问题避免802.11b标准的慢速终端对802.11a\n等快速终端的性能影响充分利用5GHz频段丰富的频谱资源，在802.11ac网络中可以实现最高1300Mbps高速无线连接无线接入的负载均衡由于无线信道介质在物理层的共享特性，在一个AP的覆盖范围内，无线连接的带宽是共享的，即无线终端数目越多，每个终端所能分享的带宽就越小。特别是对于用户密集场合（如会议室、图书馆等），使用无线网络的终端较多时，大量用户对同一个信道资源的竞争会导致大量的冲突，从而使无线信道的效率下降，并最终导致无线网络的吞吐量性能进一步恶化。因此对于密集用户环境的无线网络部署，必须采用负载均衡技术对信道资源的使用在用户之间进行合理的分配，才能使网络整体性能得到优化。ARUBA的无线网络能够通过无线控制器对所有的AP和用户进行统一协调和管理。通过对相邻覆盖区域内每个无线信道的负载状况进行实时更新，无线控制器会按照负载均衡算法，指引无线终端连接到用户数量相对较少的无线信道上，从而使每个信道中的无线用户数量相对平均，使信道资源亦得到充份的利用，使无线用户得到更加快速的吞吐量性能。无线终端的流量整形作为无线网络体系的标准协议，802.11标准集今天仍然处于快速发展之中。作为对用户投资进行合理保护的举措，无线网络必须能够支持混合模式，使得各种无线终端（无论其网卡类型和支持的工作模式）都能够公平地接入网络。ARUBA无线网络支持缺省模式、公平模式和优先模式这三种流量整形工作模式。在公平模式中，无线控制器会主动调度每个无线终端对信道资源的占用，无论终端的性能和容量差异大小，每个终端在其空中接口都将获得相同的机会，从而得到相对公平的网络吞吐量性能。在大中里无线网络中，这种公平模式的流量整形技术尤其适用于展厅网络这样用户数量密集、终端种类多样的高密度接入环境，从而使得所有终端，无论是802.11a/b/g还是802.11n终端，均获得公平的无线射频资源。无线定位应用技术方案建议基于WIFI无线网络的室内定位介绍基于位置的服务（LocationBasedService-LBS）从2010年苹果的iPhone4和iPad发布以来，国内以智能手机和平板电脑为代表的移动智能终端（IOS，Android

，Windows）市场呈现出井喷式的增长，尤其是智能手机，普及率快速上升，已经成为互联网终端中不可忽视的一部分。手机的智能应用、手机支付等概念也都随着智能手机的普及而日益火热起来，而移动智能终端上个智能应用也被认为是互联网上的下一个增长点。LBS(基于位置的服务）近几年不断兴起，所谓的LBS(基于位置的服务），总的来说就是利用网络为移动用户完成定位，并基于这种定位而产生的附加服务或应用。随着LBS的兴起，并随之应用在购物，休闲，旅游等方方面面，LBS带来的全新体验，让生活中的点点滴滴变的即生动又形象。为使用者带来具有新鲜感、立体感、空间感的体验感受。基于WiFi的网络侧室内定位网络侧定位平台的前提：消费者随身携带的智能终端手机，必须支持WIFI功能，同时将WiFi功能打开，不需要连接到某颗ap发射出来的ssid上；也就是说，只要智能终端手机信号被任意AP热点接受到并上传至定位服务器，即可确定人员的位置；为实现对整体客户参观人员的数据统计和收集，可以采用网络侧定位平台。该方案需要部署的AP硬件支持，即将其探测到周围无线设备（定位标签、手机、电脑等）的UDP包上传至AC，网络侧定位服务器对这些无线设备进行定位计算。网络侧定位平台也可以统计打开手机的普通用户的位置，通过统计学模型，估算出所有用户流量和位置分布。网络侧定位平台也可以统计打开手机的普通用户的位置，通过统计学模型，估算出所有用户流量和位置分布。定位平台跟AP/AC设备对接，网络侧位产品常用于用户群体性行为进行分析统计和WiFi终端设备的定位。网络侧WiFi实时定位系统构架如下图所示，网络侧定位是指在无线局域网络访问点（AP）扫描人员携带的终端（手机）的信号，将数据传送给定位服务器，定位服务器根据信号的强弱或信号到达时差计算出人员的位置。如上图所示，WiFi实时定位监控系统主要由手机、无线网络基础设施（AP、AC）和定位服务平台三部分组成。LC：locationcontroller，负责从网络侧获取定位相关信息，通过中间件进行数据格式转换后，把组完包的数据发给PS（定位服务器）。PS：positionsever，负责获取LC发来的定位报数据，进行定位解算。解算后的数据存入数据库1（原始位置数据），并提供实时定位服务。位置数据库经过提取处理，存入数据库2（一次加工后的位置数据）。无线局域网AP和AC必须支持移动设备扫描功能。AP设备需要把扫描到的WiFi终端的信息进行上报，不仅仅是接入AP的终端，没有接入但能探测到的终端也要上报。AP上报到AC的内容包括：WiFi终端的MAC、RSSI（信号强度）、信噪比、扫描或接入AP的MAC、IP（如果接入的话就包含此信息）、终端的类别型号操作系统（如果接入的话就包含此信息）等。定位方面还关心的是上报的周期，也就是AP探测扫描的周期，希望能快些，当然这个周期也要根据网络带宽容量方面综合考虑。网络侧平台性能：高精度室内定位引擎；需要WiFi设备支持移动设备扫描功能；水平定位精度可达3-10米，高度方向实现楼层判断；高效的缓存策略与负载均衡机制，支持大用户量并发访问（单服务器支持5000用户并发），位置服务器访问容量可扩展；灵活的位置服务接口，提供跨平台的位置服务，提供手机定位SDK，支持IOS\Android\WP等平台。开发前提和所需环境：客户使用的无线品牌厂家向易寻灵动科技（北京）有限公司的定位平台提供终端的MAC+RSSI信息（非接入网络的终端也要提供）；向易寻灵动科技（北京）有限公司的定位方案提供终端的MAC+RSSI信息的协议接口：TZSP、AeroScout（MU）或其他协议；AP收到终端信号强度要求：大于-70dB，重点区域大于-65dB；同时扫描到终端AP数量要求：大于等于3个；AP工作条件：工作在混合接入模式下（即ap正常工作，同时扫描终端接入）支持扫描未接入终端，全信道扫描频率：小于5秒；AP工作在监控模式下支持扫描未接入终端，全信道扫描频率：小于1秒。网络侧定位平台特点：终端上无需安装定位软件包；适用于大规模的行业应用；适应于所有WiFi网络设备。基于云模式的系统应用与要求易寻灵动LBS云是易寻灵动的其中过一种应用模式，意思是将项目中所有所需要的软硬件都集成到云端，可以节省硬件费用，方便客户自行维护和在系统平台上进行二次开发。在云端，易寻灵动将开放定位引擎／围栏推送／后台统计分析的功能模块，将所有的虚拟服务器均部署在运营商机房的云端，并提供对存储的数据进行实时索引与计算。采用云模式的优势之一就是规模经济。利用云模式可以节省基础设施的建设，比同在单一的企业内开发相比，云模式能够提供更好，更便宜和更可靠的应用。如果需要，应用能够利用云的全部资源而无须要求公司投资类似的物理资源。另外，说到成本，由于云模式遵循一对多的模型，与单独的桌面程序部署相比，成本极大地降低了。对企业客户而言，对自由云服务的配置和管理也变繁为简，只需要每年购买易寻灵动提供的云平台数据维护即可完成对整体服务的维护和管理。采用云模式对网络唯一的要求就是带宽的要求，因为所有的数据都需要通过互联网上传到云平台中心，经过计算后，将结果返回；所以对带宽是有一定的要求的；我们建议互联网出口提供专线20M带宽用于保证数据的流量运转正常，当然这个数值只是个参考值，与平日客流量，导航客户多少，商城面积大小都是有关系的。易寻灵动提供的应用系统介绍在能够准确的获得进入大中里展厅的用户位置信息之后，利用这些位置信息能做些什么应用呢？又能为商城和用户带来什么不一样的体验？总体来说，在基于云的模式下，我们针对该项目提供如下以下几部分：POI功能，基于位置的广告信息精准推送，社交，顾客数据统计收集，数据后台分析等。数字矢量地图地图矢量化包括三部分内容：地图底图处理、地图POI数据的处理和导航拓扑路径的生成。地图底图处理根据客户提供的平面图，进行校准、格式转换、信息检查等处理，制作矢量图底图；制作客户专用的符号库、线型库以及填充库；确定不同缩放级别所显示的地图详略内容及自动综合策略；地图POI数据的处理POI是“PointofInterest”的缩写，翻译为“兴趣点”，每个POI包含名称