Aruba无线解决方案

企业办公室

无线局域网系统技术方案

1.1无线局域网的应用需求5

网络布署需求.........................................................5

1.2无线局域网布署的总体目的..........................................6

强可管理性...........................................................6

高安全性.............................................................6

真正的移动性.........................................................7

支持多业务...........................................................7

2.企'业办公室无线局域网设计原则和参照技术指标...........................7

2.1遵照原则............................................................7

2.2技术成熟...........................................................7

2.3易管理易维护........................................................8

2.4安全可靠...........................................................9

2.5参照的技术指标.....................................................9

3.企业办公室无线局域网系统设计方案....................................10

3.1整体系统架构设计...................................................10

3.2无线覆盖提议.......................................................11

3.2.1室内覆盖记录...................................................11

3.3网络安全管理措施..................................................14

3.4顾客认证措施.......................................................15

3.5网络层Vian规划...................................................15

3.6无线射频规划......................................................16

3.7产品选型特点......................................................16

3.8中心化管理（可选）................................................19

1.1无线局域网时应用需求

网络布署需求

企业无线局域网布署需求如下：

I.采用“瘦AP”H勺方式进行室内覆盖。

2.管理方面：要实现整个无线系统的统一集中管理，对各类型无线设备的入网

具有认证手段，对无线终端具有以MAC地址和基于8O2.lx、portaKVPN

欧I身份认证统一认证的手段；可以结合企业LDAP服务器进行顾客认证；支

持访客接入认证和内部员工Windows域认证；

3.技术方面:设备连接采用802.设a/b/g/n协议;

4.无线AP通过有线网络接入层互换机进行企.业网接入，无线AP支持基于以

太网H勺馈线电源，无线AP可通过Telnet和Web进行管理和升级。

5.规定无线AP符合IEEE802.Ila/b/g/n的技术原则；支持包括LEAP、

PEAP、EAP-TLS等扩展认证协议时所有802.IX认证类型；

6.规定无线系统支持AP迅速配置、监测AP和无线终端的状态；规定无线系

统对各个AP进行功率自动调整，以到达最优覆盖效果；

7.覆盖范围办公楼1.5层（含室外货区），需要考虑信号覆盖及一定的顾客负

载均衡。

1.2无线局域网布署的总体目的

强可管理性

具有强可管理性是企业网络布署H勺关键指标。对网络进行管理、维护以及进

行故障处理口勺方式措施决定了网络管理人员口勺工作量，缺乏可管理性口勺网络不仅仅

增长了网管人员的工作量，并且间接影响着网络的安全和性能。无线网络中的网络

配置复杂，设备布署分散，从无线频谱规划，无线AP/J布点，到顾客日勺接入、认

证和计费，以及数据的加密，承载多种应用的带宽分派等，往往需要在多种设备之

间进行参数设定。具有易操作性、可交互性日勺图形化网络界面，简化管理网络H勺环

节，减轻无线频谱规划工程的压力和网络平常维护日勺成本，在出现问题日勺时候可以

提供较以便H勺故障排除手段，是强可管理性的体现。

高安全性

网络安全性能可靠也是企业级网络的一种重要指标。顾客可以根据网络的状

况选择不一样安全级别的无线网络进行接入，在数据链路层、网络层、应用层等多

层加密的通道中进行数据传播。通过拒绝非授权顾客进入网络占用资源日勺同步，保

障合法顾客口勺信息私密性。同步对于不正常的网络行为可以有对应的监控和管理措

施，可以通过网络日志系统结合事后审计系统来进行网络的安全控管。

真正的I移动性

支持无缝覆盖环境内的迅速移动切换是新一代无线局域网络的特性。在满足

持续无缝覆盖H勺无线网络环境中，支持不间断日勺业务服务是实行移动办公的基本需

求，完美处理顾客H勺无线重新关联，重新认证，加密密钥分发等问题，保证移动状

况下日勺安全与网络性能，才可以真正支持顾客的切换，从而实现全网日勺移动性。

支持多业务

单一数据上网为重要应用日勺网络布署模式已经无法适应飞速发展H勺移动办公

需求，支持QoS的无线局域网可以为企业网络环境提供更多的增值业务而成为了

无线网络布署中不可或缺H勺目的。

2.企业办公室无线局域网设计原则和参照技术指标

2.1遵照原则

无线局域网采用的技术支持应为国际原则或.业界原则，不使用某个厂商的专

用技术和协议，以保证网络设备H勺互通性，有助于网络的投资保护。本方案采用最

新一代无线局域网瘦AP架构Aruba专业企业无线处理方案，完毕企业无线局域网

系统项目。

22技术成熟

无线局域网系统应当具有如下特点来体现采用技术路线口勺成熟可靠：

1.支持对应的多种国际原则或普遍使用口勺工业原则；

2.支持实时和非实时数据传播，支持文本、语音、图形、图像及音频、视频等

多种媒体信息的传播、查询服务，具有多种基于优先级队列甲、JQoS保证；

3.实现无线语音设备和无线终端口勺实时移动通信和跨IP域的无缝漫游：

4.实现对射频H勺集中管理和控制；

5.可根据顾客口勺身份认证进行防火墙方略的控制；

6.符合国家有关无线网络安全原则和管理条例；

7.具有高可靠性、可用性；

23易管理易维护

无线网管系统需要集成对应无线网络管理功能，可以支持和已经有的CA网

管系统的集成，实目前单一平台下的统一管理。提供的无线网管系统可以完毕对无

线网络的监视和控制，保障无线网络安全，查找并隔离网络故障，记录无线网络中

日勺多种事件等。可以管理本项目中提供H勺所有节点，检测它们的网络性能和系统运

行性能。提供的无线网管系统不仅能进行无线网络设备及IP层的流量监视，并且

伴随无线网络规模的不停扩大及运行于网络上H勺应用不停增多，还可以通过对应用

流量的分析监视应用软件H勺运行状况。

此外，无线网管系统还要可以满足如下规定：

开放性支持：管理应用对外开放，可以使用任何资源及进程，虽然是其他网

络应用的进程，也能进行横向调用。

具有企业管理能力：无线网管系统可以管理无线网络中的所有网络设备，具

有支持下列能力：

1.可扩展性：有能力满足顾客的应用以及未来日勺无线网络扩展需求，为无线网

络未来的升级留有余地；

2.集成界面支持：无线网络管理工作站能以图形方式显示网络设备之间的逻辑

拓扑构造，网络口勺连接状态，每个网络设备口勺面板图形及指示灯状态等，并

用图形方式配置网络参数和管理网络设备；

3.无线网络设备的自动查找支持：应具有自动查找无线网络设备的能力，无线

网管系统可自动发现并配置无线设备。

24安全可靠

1.顾客认证：支持顾客多种接入方式认证机制，包拈：基于网页认证

(web)、VPN认证、802.IX>MAC地址等认证方式，支持外置的Portal

服务器和外置日勺AAA服务系统，支持原则H勺LDAP目录服务器

(ldapv3),内置数据库。

2.数据加密：支持静态和动态WEP,TKIP(WPA),WPA2,AES、SSL、

TLS、RSA等加密机制。

2.5参照的技术指标

无线局域网H勺建设H勺技术指标如下：

1、采用无线局域网互换技术及无线局域网互换体系构造。

2、充足运用既有网络构造与资源，不单独组网，AP就近接入有线网络（近

来的互换机），并且不变化原有网络构造以及互换机配置。

3、采用集中控管日勺组网方式，集中控制管理所有於JAP。

4、AP欢I供电使用POE网线供电的方式C

5、采用先进H勺网管系统管理无线局域网。

6、建立安全的无线局域网络。

7、提供高质量的QoS保证，以到达未来对多媒体及语音的支持。

8、充足考虑无线局域网日勺安全性，采用先进日勺安全技术保障。

9、无线局域网系统要能以便和灵活地调整与扩充。

3.企业办公室无线局域网系统设计方案

37整体系统架构设计

企业1・5层办公室进行无线网络全覆盖。我们通过在关键机房架设

Aruba3200无线控制器，室内无线AP-103通过接入层互换机连回关键互换机并与

无线控制器建立GRE隧道；室外AP-275通过货场POE互换机光纤连回关键互换

机并与无线控制器建立GRE隧道。

3.2无线覆盖提议

3.2.1室内（外）覆盖记录

1-5层办公室由于有约100人H勺内部办公人员，按照1：2的无线终端预估数

进行无线信号覆盖，预估需要24颗无线AP。

楼层AP数量备注

14AP103

23AP103

35AP103

45AP103

53AP103

室外货区2室外AP275

合计22

・

「msaa*I**"fe

LcpODO

OODOO

OCXXX)

庶务中心

o职工食堂

-5inr■•

1

到SO〈…寸9B83SJ&£884

3Swyl口叶ijBSB胜哈时1

m大堂11

®®®®14G“辿aasffH

匕3•5**力

w®®014=A-*==

9

办公楼一层平面图

办公楼二层平面图

办公楼三层平面图

多功能厅o

伙期

X234667d)9

办公楼五层平面图

详细设计点位可参见CAD图纸。

3.3网络安全管理措施

企业无线网日勺安全管理系统实现如下功能：

接入认证控制：结合既有AD服务器，验证合法顾客，授权他们接入特定

的企业内网资源，同步拒绝为未经授权向顾客提供接入；访客顾客使用无线控制

器内部数据库进行WebProtal认证或者802.IX认证。

保证链路的保密与数据的完整：防止未经授权的顾客读取或更动在网络上

传播日勺数据。

监测和阻断无线袭击：防止袭击占用某个接入点H勺所有可用带宽，导致其

他顾客H勺合法接入。

34顾客认证措施

无线网络支持顾客多种接入方式认证机制，包括：基于网页认证(web)、

VPN认证、802.IX.mac等认证，支持外置的Portal服务器和外置的AAA服务器

系统，支持原则/、JLDAP目录服务器(Idapv3),同步Aruba无线互换机内含一种

InterDB,可以直接使用该数据库创立顾客帐户，愈加以便顾客的使用。

根据顾客的需求，提议顾客的认证方式设计如下：

内部员工结合后台AD认证服务器使用802.1X认证，访客使用WEB认证并

弹出登录页面。

在目前方案实现上使用两个SSID分别供内部人员和访客使用。

3.5网络层Vian规划

无线网络在与企业企业网络进行整合，并提供无线接入服务时，需要波及如下

3种VLAN：

■AP-VLAN：用于连接APB'JVLAN,AP由以太网供电互换机透传到企业网三层关

键互换机路由回到无线控制器，在天线控制器上不配置对应的APVian及接口

地址，AP地址由企业DHCP服务器下发，并设置对应的。ption43属性指向无线

控制器接口地址

■Mgmt-VLAN：无线控制器管理VLAN,连接关键互换机，用于终止来自无线APW、J

管理和数据隧道。

■User-VLAN：企业无线顾客所属VLAN,采用隧道模式回到无线控制器，接入企

业企业内网或访问Internet,根据顾客类型可分设不一样的Vian进行隔离。

3.6无线射频规划

根据企业H勺无线应用需求，在企业无线网中配置如下无线信号•：

■Company-Guest:采用WebProtal认证，通过2.4GHz和5GHz频段在覆盖范围

广播，为企业访客提供基于网页认证H勺无线接入

■Company:采用802.IX认证，AES加密，通过2.4GHz和5GHz频段在覆盖范围广

播，为企业职工顾客提供基于帐号认证H勺无线接入

3.7产品选型特点

室内我们选用/ARUBAAP103重要从如下几种方面考虑来保证网络接入的

性能和稳定性。

■采用高性能无线接入点

IEEE802.1IN原则通过信道捆绑（ChannelBinding）和多入多出（MIMO）技

术在理论上可以实现600Mbps的接入速率。

1In“Hov/Sforupto4

ofMJMOspatialmvltlp*eM*ng

OOOMbpai

ArubaAPI03采用2.4GHz和5GHz射频，每个射频都具有2X2:2MIMO和

两个集成的全向下倾天线，提供了每射频高达300MbpsH勺无线数据速率。

■采用优化天线设计，实现下方全向覆盖

由于无线信道具有共享介质特性，当终端密度到达一定程度时，为了满

足大量终端日勺接入，都必须采用微蜂窝方式缩小每个AP的覆盖范围，减

少AP之间的同频干扰，通过频率重用的方式实现网络容量的增长。

老式日勺全向天线在水平方向具有最高日勺天线增益，比较轻易产生互相干

扰，而在天线正下方则信号较差（即所谓的“灯下黑”），考虑到办公室

环境AP布署特点，这种老式日勺全向天线并不适合这些区域的覆盖。

原因在于这种天线位于水平方向的最大增益将会导致较为严重口勺AP之

间的同频干扰，而缩小AP发信功率则又会使天线下方H勺顾客接受信号深

入恶化，因此通过“微蜂窝”方式来增长系统容量日勺效果不佳。

与老式的原则全向天线不一样，ARUBA无线API03采用全向下倾H勺内

置天线设计，使天线的最大增益方向面向天线下方日勺无线顾客，同步在天

线水平方向保持较小的增益，从而既保证了无线顾客的信号质量，又有效

减少了AP之间的同频干扰。

因此采用ARUBA无线接入点实现大容量、高密度接入设计时，可以在

有效保证顾客信号质量H勺前提下，通过缩小AP发信功率，减少AP之间的

同频干扰，使无线频率得以反复使用，以满足增长系统容量的规定。

室外我们提供了Aruba最新的AP275室外型AP进行覆盖

提到老式的J室外型AP,往往想到巨大的外形，丑陋的天线，安装困

难。不过这些在Aruba最新的AP275前都不成了问题。AP275支持

802.1lac原则，最高在5GHz频段支持1.