锐捷网络智能工厂无线解决方案

智能工厂无线解决方案V2.0

技术文档vl.O

锐捷网络

2017年4月

目录

1前言.....................................................................8

1.1文档目的................................................8

1.2目标读者................................................8

2术语和定义...............................................................9

3设计目标................................................................12

4方案背景................................................................13

5问题挑战................................................................14

5.1企业无线建设复杂场景下挑战............................14

5.2企业无线建设安全挑战..................................16

5.2.1企业组织结构复杂，内网安全权限难以管控....................16

5.2.2企业无线建设身份统一认证挑战..............................17

5.2.3企业多分支漫游策略无法跟随挑战............................17

5.2.4企业访客网络安全可控挑战...................................18

5.1企业无线建设用户体验挑战..............................18

5.2企业建设规划与运维挑战................................19

6解决方案架构设计.......................................................22

6.1企业无线场景...........................................22

6.2企业园区无线网络逻辑划分..............................24

6.3AC集中式部署架构设计.................................25

6.3.1总体架构设计..............................................25

6.3.2总部分支VPN互联设计.....................................26

6.3.3AC架构部署设计...........................................28

6.3.4身份统一认证与漫游设计.....................................29

6.3.5策略随行设计...............................................3（）

6.4AC总分式部署架构设计................................34

6.4.1总体架构设计...............................................34

6.4.2总部分支VPN互联设计.....................................35

6.4.3AC架构部署设计...........................................35

6.4.4身份统一认证与漫游设计.....................................37

6.4.5策略随行设计...............................................38

6.4.6架构说明...................................................40

6.5方案组件介绍..........................................41

6.5.1无线控制器AC（AccessControl）............................41

6.5.2认证系统（SMP/ESS服务器）................................42

6.5.3无线接入点AP（AccessPoint）..............................42

6.5.4无线管理系统（RG-SNC-WLAN）.........................................................43

6.5.5无线智能服务平台（RG-WIS）..............................................................43

6.5.6出口业务网关（VPN网关）..................................45

6.5.7DDI（DHCP、DNS服务器）.................................45

6.6组网方案（产品选型）..................

6.6.1AC虚拟化..................................

6.6.2分层AC........................................................................

6.6.3多业务AC....................................................................

6.6.4RemoteAP....................................................................

7无线高安全性设计.......................................

7.1射频层环境安全设计.....................

7.1.1无线SSID隐臧..............................

7.1.2非法AP检测与反制.........................

7.1.3安全雷达....................................

7.2链路层窃听设计........................

7.2.1数据传输与加密安全.........................

7.3网络层访问安全设计.....................

7.3.1DHCP安全.................................

7.3.2AP虚拟化..................................

7.3.3同AP下终端访问隔离.......................

7.3.4ARP欺骗的防护............................

7.3.5网络访问策略控制...........................

7.3.6提供外网非法URL访问过涯..................

7.4终端接入安全设计.......................

7.4.1用户安全准入...............................

7.4.2哑终端合法性准入...........................

7.4.3AP设备合规检查............................

8无线高体验性设计.......................................

8.1接入体验设计..........................

8.1.1员工接入体验................................

8.1.2访客接入体验...............................

8.1.3哑终端接入..................................

8.2使用体验设计...........................

8.2.1办公大楼场景设计............................

8.2.2生产车间场景设计...........................

8.2.3仓储物流场景设计............................

8.2.4室外回传场景设计............................

8.2.5员工宿舍场景设计............................

8.2.6通用型场景保障用户体验技术.................

8.3高可用体验设计.........................

8.3.1AC高可靠技术..............................

8.3.2AP高可靠技术..............................

8.3.3DDI高可靠技术.............................

8.3.4服务器高可靠................................

8.3.5信号自动补偿................................

8.3.6信号抗干扰..................................

8.3.7移动漫游设计................................

9无线网络智能交付及运维设计............................

9.1地勘设计...............................

9.1.1地勘........................................

9.2交付验收...............................

9.2.1WIS智能优化

9.2.2WIS自动验收

9.3设备管理.

9.3.1无线拓扑....................................

9.3.2无线星图....................................

9.3.3无线热图....................................

9.3.4无线资源管理................................

9.3.5安全管理....................................

9.3.6无线配置....................................

9.4智能运维..............................

9.4.1视图介绍....................................

9.4.2概况预览....................................

9.4.1无线体验分析...............................

9.4.2无线用户分析...............................

9.4.3无线设备分析................................

9.4.4无线指标分析................................

9.4.5无线数据分析................................

10方案核心价值.........................................................51

10.1场景化.................................................51

10.2高安全.................................................51

10.3好体验.................................................52

10.4简运维52

II附录..................................................................53

11.1无线部署规划设计......................................53

11.1.1工作频段与频点规划.........................................53

11.1.2信号衰减注意事项...........................................55

11.1.3服务指标注意事项...........................................56

11.2锐捷中大企业行业部分成功案例.........................60

11.2.1顾家家居企业办公WLAN案例...............................60

11.2.2顾家家居企业仓储WLAN案例...............................62

11.2.3南高齿企业生产车间WLAN案例.............................65

11.3文档部分配图..........................

0

企业就全场景解

决方案vl.Oword版...............................................

1前言

1.1文档目的

本文档是针对XX企业无线XX网络部署的技术方案，主要对WLAN无线网

络背景知识，应用场景、总体架构、网络设备部署参数规划、安全策略规划、

WLAN空中接口结构设计等进行了详细的描述，旨在将无线生产网网络部署建

设工作进行标准化和规范化。

1.2目标读者

本文档的目标读者主要是客户负责无线网络设计和实施的技术工程师、锐

捷网络的售前工程师，售后工程师以及渠道技术工程师。

2术语和定义

1、WLAN：WirelessLocalAreaNetwork,无线局域网，是通过无线通信技

术将计算机设备互联起来，构成可以互相通信和实现资源共享的网络体系。无线

局域网本质的特点是不再使用通信电缆将计算机与网络连接起来，而是通过无线

的方式连接，从而使网络的构建和终端的移动更加灵活。

2^AP(AccessPoint)无线访问点：无线终端访问有线网络的接入点，通

过有线接入有线网络，通过无线射频信号跟无线终端STA通信，是无线终端与

有线网络通信的桥梁。

3、无线访问控制器：无线控制器通过有线网络与FitAP相连，用于集中管

理控制FitAPo

4、RF(RadioFrequency)射频：WLAN采用射频作为传输介质,实现AP

与无线终端、无线终端之间的通信。

5、频段：表示频率范围。在WLAN中，无线设备支持的802.11标准不同，

对应的工作频段也不同，如802.1la工作在5GHz频段，802.1lb/g工作在2.4GHz

频段，802.1In工作在2.4GHz和5GHz频段。

6、Wi-Fi认证：Wi-Fi全称WirelessFidelity(无线保真),该认证是由Wi-Fi

联盟(一个非盈利的国际协会)制订的，只要通过Wi-Fi认证的产品就表示可以

顺利地组建无线局域网，实现与其他Wi・Fi认证产品的兼容。在Wi・Fi联盟制订

的标准中,常见的有IEEE802.11b、IEEE802.1la、IEEE802.1lg>IEEE802.1In

等。

7、SSID；服务集标识符(ServiceSclldcntil〉),在IEEE802.11协议规定，

一组提供相同无线服务的无线设备被称为服务集(serviceset)oSSID(ServiceSet

Identity),用于来区分无线网络，这些设备的服务集标识符(SSID)必须相同，

服务集标识符是一个文本字符串，包含在发送的管理帧中。如果发送方和接收方

的SSID相同，这两台设备即可得到此服务集提供的服务进而可以通信。

8、胖AP：WLAN的物理层、用户数据加密层、用户认证、QOS、网络管

理、漫游技术以及其他应用层的功能集于一身，每个胖AP都是一个独立的自制

系统，相互之间独立工作，管理比较复杂，一般适用于小规模应用部署。

9、瘦AP：负责射频信号收发和射频扫描、802.11报文的加解密、转发、

接受无线控制器的管理等功能。瘦AP上基本为“零配置”，所有功能都在无线

控制器上实现，适用于大规模应用部署。

10、IEEE802.IX协议：是IEEE制定关于用户接入网络的认证标准，在用

户接入网络之前运行，工作于MAC层，IEEE802.1X协议具有完备的用户认证、

管理功能，作为一个框架性协议，IEEE802.1X支持多种认证方式，如EAP-TLS.

PEAP等。

11、WPA2(Wi-FiProtectedAccess2)是在2004年由Wi-Fi联盟颁布的标

准，是WPA的下一代或增补版本.其包含了IFFFX02.11i所有细节和修订内容，

保证了与IEEE802.11i保持互操作性，并且在此基础了做了一些安全性、易用性

的增强。它遵照NIST(NationalInstituteofStandardsandTechnology,美国国家标

准和技术研究所)的建议实现了最新加密算法AES(AdvancedEncryption

Standard),使用CCMP(CountcrModewithCipherBlockChainingMessage

AuthenticationCodeProtocol,计数器模式密码区块链接消息认证码协议)作为完

整性校验方式，大幅度提高了网络安仝性。WPA2在加密时使用CounterMode模

式下的AES算法，在进行身份认证和完整性检查时，则使用CipherBlockChaining

MessageAuthenticationCode模式下的AES算法。在2006年之后成为了Wi-Fi

认证的必要条件，更成了WLAN网络的实际标准［de-faciostandard),而且WPA2

最终形成了802.1li的最终版本。

12、CAPWAP：CAPWAP协议是无线控制器AC和无线接入点AP之间的

通信协议，用于承载管理平面与数据平面流量。

13.瘦AP模式下的集中转发：在AC+AP组网的模式中，用户数据全部通

过CAPWAP隧道送至AC,由AC统一做数据层面的转发。所有数据流量在此

模式下必须过ACo

14.瘦AP模式下的本地转发：在AC+AP组网的模式中，用户认证数据通

过CAPWAP隧道送至AC,由AC统一控制认证层面。AP根据SSID与有线VLAN

之间的对应关系，直接将SSID中的数据转发入相应VLAN,所有用户数据流量

在此模式下无需经过AC设备。

3设计目标

在建设结构合理、功能完整的网络系统的前提下，本方案从功能性设计、

实施和运维几个方面卷虑以下内容：

1、高可靠性设计：选用高可靠性设备，设计合理的网络冗余拓扑结构，制

订可靠的网络备份策略，提供可供实际业务使用的相对稳定的网络服务，保证网

络具有故障自愈的能力。

2、可扩展性设计：所部署系统要具备扩容能力，例如AC可通过技术手段

提供更高的AP管理能力，后台网络系统可提供完善的授权扩容能力等。

3、网络安全设计：从用户身份认证、设备合法性检查、传输信息加密等方

面给出方案安全保障实施要点。

4、网络灵活设计：从对信号的控制，优化部署，人员接入便利性等角度优

化网络，实现灵活易用。

5、可管理性设计：整个系统的设备应易于管理，易于维护，便于进行系统

配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以

进行远程管理和故障诊断。

4方案背景

“工业4.0”是2012年德国工程院、弗劳恩霍夫协会、西门子公司等德国

学术界和产业界在3位德国教授倡议的基础上推动形成的。在随后的2013年德

国联邦政府将“工业4.0”上升为国家级战略，并正式发布了《实施工业4.0战

略规划建议》白皮书。工业4.0”战略旨在建立一个信息物理融合系统(CPS)网络，

通过有线/无线等方式将所有生产企业的自动化设备、客户需求、物流仓储、生

产管理、各类软件等产业链所有环节纳入其中，使工业生产实现动态监测、自我

调整、人机互动并以最优生产方式完成生产实践。

无线局域网(WirelessLocalAreaNetwork,缩写为“WLAN")是高速发展的现

代无线通信技术在计算机网络中的应用，是计算机网络与无线通信技术相结合的

产物。无线局域网(WirelessLAN)技术可以非常便捷地以无线方式将生产过程中

的人、设备、应用系统进行网络连接，从而方便的进行数据高速交互，实现智能

的生产。

无线局域网在生产现场广阔的应用前景、广泛的市场需求以及技术上的可

实现性，促进了无线局域网技术的完善和产'也化c随着工业4.0的不断深入和无

线局域网技术的不断发展，无线局域网已成为工业4.()中重要的网络连接手段。

为此，经过技术调研，将对利用WLAN无线技术实现'业务办理进行了研究

和相关测试，综合考虑分行业务需求和技术实现复杂度，制定了WLAN无线接

入标准技术方案。本文档将对该方案进行详细阐述。

5问题挑战

5.1企业无线建设复杂场景下挑战

一、部署环境复杂

•障碍物阻挡

a）办公室的厚墙：走廊加两侧连续办公室的场景，采用走廊放装，

无法满足移动终端的体验，如果墙壁需要重新打孔、走线，将

影响办公室的专修风格。对于领导办公室更是如此，因此大多

数领导办公室不具备施工条件。

b）仓库高大的货架：大型仓储物流基地一般是货架林立及临时货

堆造成无线信号遮挡，导致AP信号时有时无。

c）员工宿舍筒子型楼：员工宿舍为连续小隔间，单个房间不大。

采用传统的放装AP走廊部署覆盖方案，覆盖效果不佳，体验

很差无法满足员工手机，PAD终端的使用。

•特殊环境

a）生产车间：弥漫的粉尘，超高高温或超低的温度（比如冷库等

极限温度）、潮湿等环境，设备部署在此类环境中，容易影响

设备正常运行，也给AP使用寿命带来了挑战；

•无线干扰

a）密集部署环境下的自干扰：大型会议室和大开间的办公室里由

于人员密集，为了满足用户的接入能力，必须进行高密度的

AP部署，因无线信道本身不足的原因会带来AP自身的干扰。

b）办公室内私设WIFI的干扰：房间密集型办公室由于墙体和门

窗的材质各异，导致房间里信号不够智能终端进行流畅的使用,

办公室人员就会在办公室里私自架设W1FI小路由，造成对整

体企业无线部署的干扰。

二、入网终端复杂，管理复杂

•办公大楼终端情况：

a）终端主要为台式电脑、笔记本电脑、VOIP、视频会议终端和智

能终端等，这其中VOIP,视频会议等其他智能终端基本都属

于哑终端，认证能力薄弱，无法支持传统的认证方式，需要区

别于笔记本和手机，进行单独的认证管理方式。

b）不同类型的终端在归属部门，访问权限和策略等方面要求也不

一样，需要进行区分管理与监控。

c）企业里的VOIP和视频会议属于对延时高敏感的业务，需要进

行业务保障。

,生产车间场景终端情况：

a）终端主要生产过程采集终端、移动终端、条码枪、MES工控机、

无线摄像头，此类终端同样也基本属于哑终端，接入认证能力

弱，需要使用其他认证管理方式进行区别管理。

b）此类终端还有一个特点就是性能，能力比较弱（信号接收和发

送能力都比较弱，对无线的信号强度要求至少-65db才能保障

终端能稳定使用），一般来讲不能支持最新的无线技术，大多

数工作在802.1lb/g模式，不仅自身工作效率低，对整体无线

网络的性能也有一定的影响。

c）不同类型的终端在归属部门，访问权限和策略等方面要求也不

一样，需要进行区分管理和监控。

•仓储物流场景终端情况：

a）终端主要为手持扫描终端或条码枪、智能平板电脑等，类似生

产车间终端特点，不再做描述。

b）不同类型的终端在归属部门，访问权限和策略等方面要求也不

一样，需要进行区分管理和监控。

•员工宿舍终端情况：

a）终端主要为手机和PAD为主,少部分笔记本PC等，穿墙部署，

信号难满格，手机和PAD对信号覆盖要求高，该区域使用传

统的放装AP无法满足信号的覆盖要求。

无线业务应用复杂

•办公大楼业务情况：

a）业务主要为OA、Email.网页浏览、ERP.CRM,VOIP,视

频会议等业务，但是用户在上班时间使用进行大量的P2P下载,

观看在线视频等高耗带宽的应月，严重抢占OA、Email等办公

业务的带宽，造成无线信道带宽不能合理利用，特别影响VOIP

和视频会议，导致无法使用，严重影响办公效率；

•生产车间场景人员、业务、终端情况：

a）业务主要生产数据实时回传、设备点检、质量检测、MES排程、

物料检查等，该类业务对延时敏感，网络丢包对应用造成卡顿

现象明显，丢包经常会造成程序异常工作或退出

•仓储物流场景人员、'业务、终端情况：

a）业务主要为设备出入库管理、盘库、移库、拆零拣选等，该类

业务对丢包敏感，如果受到高带宽的业务占用无线信道资源，

会导致工作人员效率低下，影响工作效率关联绩效（操作员实

行计件工资，网络退服时间直接影响员工绩效，极易引起投诉

和纠纷）

•员工宿舍场景人员、业务、终端情况：

a）业务主要以娱乐为主，主要包含视频，应用，网页，游戏等对

带宽要求高；

5.2企业无线建设安全挑战

企业无线建设安全主要在以下方面：

•空口安全难管理：空气传输，看不见摸不着，数据安全如何管理？

•链路窃听无保障：数据链路上如何防止窃听，盗取企业关键数据？

•终端准入难控制：不同位置/不同类型终端接入,如何获得一致的体验

与权限？

•用户权限难维护：用户位置多变，传统的安全策略如何应对？

•数据安全难管理：移动办公对企业数据管理提出了新的挑战？

5.2.1企业组织结构复杂，内网安全权限难以管控

随着企业的发展壮大，职位分工更加明确，部门的职责也更加细化。部

门精细化的同时权限也必须精细化控制，各个部门、职位拥有责任内的不同

权限。如何保障公司机密不外泄，越权事故不发生的同时还要尽量提升员工

的使用体验是对信息部门的一大挑战。

5.2.2企业无线建设身份统一认证挑战

统一认证挑战：

企业在使用有线网络时候，大部分没有网络准入认证，大部分客户可能

有AD域控系统管理的操作系统准入管理，但在无线办公建设后，无线网络

不仅要接入办公PC,还有移动终端，AD域控级别的系统准入在移动终端上

不适用。

基于以上原因无线网络需要部署网络准入认证，且用户在任何位置接入

网络（比如员工在园区不同楼宇接入，出差途中，分公司等）网络准入的账

号和密码必须是统一，且需要和原来PC准入账号密码一致。

5.2.3企业多分支漫游策略无法跟随挑战

策略漫游问题：

企业部署无线移动办公后，无法使用同有线网管理方法实现用户固定的

策略（其中策略包括权限、业务流、应用安全策略、应用策略）和体验（体

验包括对优先级、带宽和VPN资源预留策略）。

客户为了保障内网数据安全和互联网出口网络服务质量，在有线网络办

公场景中，信息中心一般会对不同部门规划不同的IP地址，然后根据IP地址

在数据中心边界和互联网出口部署具体的策略（其中策略包括权限、业务流、

应用安全策略、应用策略）和体验（体验包括对优先级、带宽和VPN资源预

留策略）。

在无线办公场景中，由于员工随意移动，任意位置接入网络（比如员工

在园区不同楼宇接入，出差途中，分公司等），获取的IP地址会随机变化，

无法再根据有线网络的管理方法来实现用户固定的策略（其中策略包括权限、

业务流、应用安全策略、应用策略）和体验（体验包括对优先级、带宽和VPN

资源预留策略）。

5.2.4企业访客网络安全可控挑战

企业经常会有领导、客户、合作伙伴、供应商等的接待工作，在网络高

速发展的今天，访客往往会要求使用网络。对于企业来说，开放内部网络会

面临企业信息安全的问题，同时如何开放、如何管理访客接入网络也是一件

头痛的事情，所以企业WLAN需要一个安全，可控，可管的访客网络系统，

5.1企业无线建设用户体验挑战

无线使用不比有线，无线用户使用的体验来源于多个方面，比如无线用

户接入认证体验不好，办公使用办公软件（OA,mail,erp等），视频会议、

VOIP等体验差，无线基础设施高可靠不行导致网络断断续续都会给企业无线

使用的用户带来体验的挑战。

用户接入认证体验挑战：

无线电磁波在空气中随意发射，任何人都可以自由的连接无线，势必会

给企业的安全带来隐患，所以在无线部署的同时，必须在无线网络上开启认

证，简单的认证用户使用体验好，但是安全性又差，如何能够保障用户使用

体验好的同时，安全性高，同时成本可控是一个挑战。

办公使用应用业务体验挑战:

m&

比包的128隹

IMK/鹤信

臾&W・＞电经川野3■监

•现票会议，占用君完人，tr^S^S

受包帔连：

移动应用和类多,单一用户或者应用长时间

安米N8车＜13•

iSft＜1CH歧・可变占用网络，题睦网”

无线因为是在空气里传输的电磁波信号，非常容易受到环境的影响，比

如办公室里有微波炉和蓝牙设备存在都会对无线存在较大的性能应用。

无线网络相当于半双工的网络，移动用户多，应用种类多，单一用户或

者应用长时间的占用网络，会影响整体网络的性能，特别对办公的视频会议,

语音电话会造成比较大的影响OO

网络中由经常使用视频的用户，因为流量大，突发大，占用的空间信道

大，且一直占有，会导致整个无线用户的体验跟着下降，这点与有线网络运

行的机制很大不同，要想保障使用无线网络同有线网络一样的体验，将会是

一个巨大的挑战。

无线基础实施高可靠性挑战：

无线网络是否稳定可靠，AP,AC,认证准入系统，DHCP系统等关键系

统故障都是对无线匣络的整体使用影响比较大，如果在无线基础设施建设的

时候，充分考虑的关键组件的高可靠备份也很关键。

5.2企业建设规划与运维挑战

无线网络从前期的建设规划，到中期的网络优化交付，再到后期运维管

理，每个过程都需要耗费大量的人力资源，且专业性要求度极高。

前期的地勘点位选择将直接影响后续的无线体验，点位选错，调优也无

法保证用户体验；中期网络优化，工作量直接跟网络规模正正比，无线专业

度高，非专业人员无法进行现场调优；后期的管理运维，面对用户“时好时

坏”的无线体验，即使投入大量人力资源也搞不定

建设规划难度翻番

1）地勘难度大：为了保障后续无线部署后的信号强度，无线建设前期都

需要进行地勘，一是确认AP的数量，二是确认信号强度，为了达到

以上2个效果，需要拿AP到当地进行实地信号测试（取电，测试AP

的部放都是比较头痛的问题），需要耗费大量的人力资源，且此项工

作做得好坏直接影响后续无线的部署效果。

2）AP信道规划难：当企业部署的AP规模越大，无线信号覆盖范围越大

的时候，信道的规划往往是比较头痛的问题。

3）AP信号强度规划难：因为无线信号是看不见摸不着的，在地勘的时

候也只能对信号的大体点位进行信号强度评估与规范，无法全面有效

的整体评估AP的部放点位和数量来评估整体的无线信号强度°仅仅

靠经验和感觉，对实施部署人员的经验要求比较高。

4）AP点位规划难：AP部署到什么位置，在后续维护中都需要用到，前

期都需要详细的规划用表，作为后续维护的关键数据，无线AP部署

动辄成百上千，都要和具体的位置对应起来，而AP部署不比有线统

一在弱电井，无线都是放到棚顶里面，看不到不好找，是后续维护的

一大难题。

5）AP名字规划难:后续维护中可以根据AP的名字和位置来对应具体的

故障位置，前期也要做好非常详细的规划，有线没有这个要求。

业务优化挑战

1）信号覆盖挑战，通过地勘测试，完成部署后，存在信号覆盖问题，此

时需要针对特定的区域进行该区域的AP信号的个别调整，光是找该

区域对应的AP就不是件容易的事情。

2）用户带宽保障：无线采用的是CSMA/CA的机制，用户之间相互共享

这个AP的带宽，当有用户长时间占用无线信道时，势必会造成该AP

上其他用户的使用体验。

3）开启5GHz优先？调整RSSI门限？这些都是非常专业的无线领域的

知识，参数调整需要无线建设和维护有相当经验的人才能把握。

Wi・Fi故障定位复杂

1）终端设置判断：无线终端类型各种各样，终端又包含操作系统和无线

网卡本身，都能影响到无线的使用，所以在后续维护过程中，本身对

终端设置和排查就是一项非常麻烦的事情。

2）无线干扰排除：无线看不清摸不着，容易与环境中其他同频设备发出

的信号相互干扰，此时看到的现象时信号很好，网络使用体验较差，

寻找干扰设备也不是件容易的事情。

3）无线AP故障：某个区域AP故障了，周边AP能自动信号补偿，用户

冒事看着也能用，但是体验下降了，管理员无法主动感知，而用户不

爆故障就会一直降低体验的使用，事后评估无线不好用。

4）无线认证失败排查：个别用户无线认证失败排查和大面积用户认证失

败排查，第一种多出在个人终端上，需要进行终端问题排查，第二种

多出在设备和认证系统上，都需要专业的人员进行排查。

5）AP上线故障：AP经常掉线，上不了线，需要到AP端去进行排查，

此时找AP部署位置就会比较麻烦。而且此类故障必须到现场进行排

查，给排查也带来了麻烦，而有线则不存在此问题。

6解决方案架构设计

6.1企业无线场景

gI店舍:'二.：,：：：..：：：：：：.：.ri

入"■■■■■■!iiiiiifl=======:：：*：a：=^9:

：数讴中心机房

》室外费盖I

会

大

总；ACSMPSNCWIS

议

开

部

室

间

园

园区网

区

接!CRMOANESERP

存I4

大

厅

生产车间仓储物流

d品*1三业蚓

生产左间生产及筋数据采案点出入库、分栋平台仓储区

一、办公大楼人员、业务、终端情况：

•人员主要为行政管理、市场营销、财务部门、技术及开发，权限管理难；

・业务主要为OA、Email＞网页浏览、ERP、CRM等，办公业务体验难；

•终端主要为台式电脑、笔记本电脑、VOIP.视频会议终端和智能终端等。

一、办公大楼环境特点及问题：

•大开间场景：主要存在“信号存在盲区问题”；

•会议室、报告厅场景：高密度接入干扰大，体验差；

•领导办公室场景：“施工复杂，无线布线难，影响美观”；

•接待大厅场景：“访客管理，安全问题”。

三、生产车间场景人员、业务、终端情况：

•人员主要为工人、生产管理和质量管理等人员；

•业务主要生产数据实时回传、设备点检、质量检测、MES排程、物料检查

等

•终端主要生产过程采集终端、移动终端、条码枪、MES工控机、无线摄像

头

四、生产车间环境特点及问题：

•环境恶劣：高温、低温、粉尘、潮湿等环境，影响设备正常运行；

•移动终端漫游掉线：漫游性能良莠不齐，移动过程经常丢包掉线；

•数据采集点网络难覆盖:生产数据、能源数据采集点过于分散，网络难覆盖；

五、仓储物流场景人员、业务、终端情况：

•人员主要为库房管理人员；

•业务主要为设备出入库管理、盘库、移库、拆零拣选等；

•终端主要为手持扫描终端、智能平板电脑等。

六、仓储物流场景特点及问题：

•信号遮挡：货架林立及临时货堆造成无线信号遮挡，信号时有时无，影响工

作效率；

•手持终端断线：手持终端移动过程经常断线重连，影响工作效率；

•网络不易连接：室外场景容易取电，但不易连接到网络

七、员工宿舍场景人员、业务、终端情况：

•人员主要为公司员工，成本很关键

•业务主要以娱乐为主，主要包含视频，应用，网页，游戏等对带宽要求高;

•终端主要为手机和PAD为主，少部分笔记本PC等，穿墙部署，信号难满

格，手机和PAD对信号覆盖要求高。

6.2企业园区无线网络逻辑划分

基于上一章节无线场景进行无线网络逻辑划分，大概可以划分为以下几

张逻辑网络，网络访问和建设可以参考划分逻辑网络。

一、办公大楼区逻辑网络：

•无线办公网：独立于有线网络，新建AC,AP基础设施，并在该基础

设施上规划一个SSID,成为一张逻辑网络，员工连接该网络，主要

访问为公司OA、Email、ERP、CRM等业务系统，也有可能通过该

网络进行互联网访问（根据需求进行设置。

・访客网络：一般在物理的AC,AP基础设施上单独规划一个SSID,成

为一张逻辑网络，访客连接该访客网络，一般只能访问互联网。

二、生产车间区逻辑网络：

・生产网：在同一套物理的AC,AP基础设施上单独划分一个SSID,成

为一张逻辑网络，生产线上的特定的终端连接该网络（因为该SSID

专为特定终端连接，多数情况下该SSID设计为隐藏状态），完成生

产数据的采集和上传。

・办公网：同办公大楼内的办公网。

三、仓储物流区逻辑网络：

・业务网：在同一套物理的AC,AP基础设施上单独划分一个SSID,成

为一张逻辑网络（也有可能是一套独立于办公网无线网的另外一套独

立的物理无线网络），主要应用为公司库房管理人员，使用手持扫描

终端、智能平板电脑为设备出入库管理、盘库、移库、拆零拣选等。

・办公网：同办公大楼内的办公网。

四、员工宿舍区逻辑网络：

•互联网：该区域的AC,AP部署主要为员工娱乐用，只需划分一个SSID

专用做娱乐即可，只允许访问互联网°

五、室外区：

•室外回传网：主要是将特定生产数据、能源采集数据、视频监控等数

据回传到数据中心，一般为WIFI的WDS技术和4G技术进行室外回

传组网。

6.3AC集中式部署架构设计

6.3.1总体架构设计

；Era口口kGO>))g

大

o公火候WB中心批

，“冰COCXMSAO分

S口

支

即

8口

KW0B0S

口

口

口

中

型

分

支

总体架构介绍：

・在总部园区部署一套SMP认证管理系统，同时SMP支持集群部署。

•总部园区同时有统一的身份系统，比如AD,OPENLDAP或第三方

数据身份系统，如果没有则需增加一套IPC系统。

•总部园区部署一套AC控制器，同时AC控制器支持热备或虚拟化部

署，对在总部园区和分支机构部署的AP进行集中管理。

•总部园区部署一套RG-SNC无线管理软件系统,实现对整网的AC,AP

进行集中管理。

•总部园区部署一套RG-WIS无线智能服务系统，实现对整网无线的使

用体验进行优化。

•总部园区部署一套DDI系统，实现对整网无线用户进行地址分配管理。

•总部园区认证管理系统SMP和总部园区AC对接，实现公司所有用

户的准入认证。

­公司所有用户的准入认证身份数据通过总部园区部署的SMP认证管

理系统去园区的统一身份系统读取（首次）。

•总部与分支之间的链路，使用专线对办公、生产业务的数据进行传输，

或使用“互联网链路+IPsecVPN”技术对办公、生产业务数据进行传

输或备份传输。

此种模式主要适用分支机构比较少的企业机构。

6.3.2总部分支VPN互联设计

基础部署“采用互联网链路方案作为分支之间传输链路时“：

分支n

分支与总部采用主流的IPSecVPN技术进行总分互联,通过互联网线路构建虚

拟局域网为各业务系统提供跨广域网的安全环境。

总部采用两台RG-EG系列网关，分支机构与总部的两台设备建立IPSec

VPN,互为备份。总分VPN网关均可以选择出口NAT模式或者单臂旁路剖署。

业务优化：

总部与分支间应用传输主要是受到了延迟、丢包以及应用协议传输效率低

下的影响°其中，延迟和丢包是广域网传输固有的属性，由干总分之间的地域因

素、各地分支出口运营商不同、运营商线路质量参差不齐等原因，无法消除，但

是我们可以尽量减少它们对传输所带来的影响。

RG-EG网关通过数据优化、TCP优化、协议化化等手段，提高VPN隧道

内的数据交互效率，提升总分间的办公体验。

•TCP优化：减少总分之间上传输信息所需的往返次数，减少不必要的

重传，同时维持传输的可靠性，改善慢启动和拥塞避免对应用吞吐量

的影响，提高对总分链路间带宽的利月率。

•数据优化：包括数据压缩和重复数据删除技术，减少总部与分支间数

据传输量，更大程度的利用宝贵的带宽资源。

•应用协议优化：利用缓存、预取以及数据批量发送等技术提高应用在

总部与分支之间的传输效率，增强用户体验。

常见办公应用的加速范围（线路质量越差，可加速潜力越大）

6.3.3AC架构部署设计

总部园区与分支使用专线场景AC架构设计:

大

型

分

支

一

中

£!

分