办公室无线网络技术方案

《办公室无线网络技术方案》由会员分享，可在线阅读，更多相关《办公室无线网络技术方案（99页珍藏版）》请在装配图网上搜索。

1、 安利中国公司办公室无线网络技术方案思科系统(中国)网络技术有限公司2007年6月1项目概述42现状与需求分析42.1现状分析42.2需求分析53网络设计原则和设备厂商选择83.1网络设计实现原则83.2设备厂商选择原则103.3选择思科无线产品的技术优势114网络技术选型164.1集中无线网络架构164.1.1无线资源监控174.1.2动态信道分配184.1.3干扰检查和避免204.1.4动态发射功率控制214.1.5覆盖盲区检测和纠正224.1.6客户端和网络负载均衡234.1.7真正实时解决方案234.2轻型接入点协议254.2.1轻型接入点部署定位254.2.2标准化需求274.2.3

2、运行LWAPP285无线网络设计规划305.1网络结构设计概述305.2无线网络设计架构325.2.1概述325.2.2详细设计345.2.3以太网供电385.2.4频点规划建议395.2.5现有无线网络的迁移395.2.6无线网络性能设计405.2.7无线网络的频点覆盖设计455.2.8天线的选择495.2.9无线网络系统的话音应用设计（VoWLAN）535.2.10无线网络系统的安全设计605.2.11无线网络系统的管理666思科无线网络解决方案技术优势686.1先进的无线局域网络产品686.2更好的用户体验686.3更好的管理体验696.4基于用户的增强安全策略706.5“自由”漫游移动

3、域706.6采用虚拟服务组增强管理灵活性706.7强大的认证管理选项716.8集中接入点管理提供简化管理方法716.9动态射频（RF）管理确保最佳覆盖范围716.10用户端射频优化提供个性化性能726.11即插即用（Plug-n-Play）/即插即增（Plug-n-Grow）726.12恶意接入点防护遏制了威胁侵害726.13超越标准的增强型无线威胁防护736.14采用用户端负载均衡实现最佳性能736.15无缝的快速漫游支持不间断语音和多媒体业务736.16自愈式弹性设计使服务中断最小化746.17持续运营746.18通过在任何网络中进行无缝的部署将您的局域网（LAN）扩展到无线746.19基

4、于标准开放方式的用户和应用兼容性方法756.20管理帧保护(MFP:Management Frame Protection)756.21无线WLC与有线IDS/IPS联动766.22远程AP混合工作方式H-REAP767产品介绍777.1无线局域网控制器777.2无线网管系统827.3定位服务器897.4无线接入点981 项目概述 随着办公自动化、移动办公、RFID技术、无线IP语音的不断深入应用，以及访客交流的日益增多，安利中国公司拟建立一个能够快速、灵活、简便可靠组网、高安全性以及承载丰富移动应用的无线网络。 为配合安利中国公司无线网络建设，在技术上需要采用现代无线网络技术的先进成果，必须

5、保持一定的技术前瞻性，使安利中国公司的无线网络建设进入世界的先进行列；同时考虑安利中国公司的实际应用需求，结合企业未来发展要求，在统一网络管理与安全策略的前提下，使安利中国公司网络的技术建设水平与经济投资效益及业务发展需求结合起来，为安利中国公司服务，发挥应有作用。 同时，结合安利中国公司现有的无线网络状况，应考虑到新部署的无线网络对现有无线网络的兼容或支持对现有无线网络的平滑升级，以最大程度地保护前期投资并实现统一管理、统一策略。 思科公司根据自身丰富的无线网络实施经验和功能强大的无线产品依据安利中国公司网络现状，同时参照国际、国内和行业相关技术标准及规范，以及信息化建设规范，还吸取了国内外

6、相关案例的成功经验，完全可以无缝融合进当前安利中国公司的信息化全面建设中。2 现状与需求分析2.1 现状分析本次项目主要考虑安利中国公司各办公室的无线网络部署。无线覆盖空间类型大多为办公室，少量为会议室和空旷区域。办公室房间多分布在走廊两侧，走廊侧为墙壁或木门。房间和走廊均设有吊顶，吊顶距离楼板大约30至50厘米，走廊吊顶上方为结构化布线金属线槽和弱电路由。各办公室的现有布线结构比较简单，目前各房间的游戏信息点均汇集到相应的配线间最终汇聚到相应的主机房。目前安利公司部署的是自治的无线接入点（即“胖”AP）系统。安利中国现有的无线网络中配置了一块Cisco Catalyst 6509交换机内置的

7、WLSM无线域服务模块（WDS）和一台WLSE无线网管；无线接入点分布如下：美银中心：部署无线接入点Cisco AP 1231G共33台，配置2.4G天线，类型为ANT-4941；永和仓库：部署无线接入点Cisco AP 1231G共10多台，配置2.4G天线，类型为ANT-4941。其他办公室安装有少量自治AP。各AP通过Cisco Catalyst 3560以太网供电交换机提供48V PoE电源。2.2 需求分析本次无线项目涵盖广州、北京、上海三地的多个办公室。各办公室楼层状况和现有无线网络状况如下：办公室每层面积目前部署状况中信 4层、每层45米45米未部署美银1层33个独立AP国贸面积

8、约为美银一半左右未部署天誉面积约与美银相仿未部署LC/ACTIOffice面积约与美银相仿仓库已部署10多个独立AP，办公室未部署开发区工厂面积约为美银2倍未部署北京Office面积约与美银相仿未部署上海Office面积约与美银相仿未部署各会议室目前按普通空间计算，未单独计算未部署要求实现无线Wi-Fi客户端在上述区域的所有地方都能无线上网且用户可以在有无线信号的地方无缝的漫游，以提供安全的移动联网环境，实现真正的安全移动，减少布线的繁琐和成本，提高员工协同工作效率，从而节省成本并提高生产率。 办公室内有大量用户需要使用笔记本电脑接入无线网络，并且该数量会不断增加。对外交流活动较多，楼内不定期

9、有访客到来也需要使用笔记本电脑接入无线网络。不远的将来，还需要接入WLAN无线手机或GSM/Wi-Fi双模手机，提供话音服务；并且，能够在仓库、店铺提供基于Wi-Fi的RFID Tag、手持无线Scanner/PoS机等联网应用。 无线网络目前主要应用领域依次为数据处理，语音通讯和实时定位应用三种。数据处理应用 主要体现在两个方面，一是办公自动化方面，二是信息和数据的快速处理。 无线宽带接入服务：用户可以享受真正的“无线”自由的体验，可以在办公室和楼内随时随地通过支持WiFi的笔记本电脑/PDA/台式PC享受无线网络服务，如网络办公，Email等。同时，为用户省却了布线的费用和烦恼。 移动办公

10、室：利用无线网络的大面积覆盖能力，可以将楼内的办公区和会议区无缝连接在一起，工作人员可以在楼内随时随地接入网络进行信息查询，办公应用，通信联络等。语音通讯应用部分 语音通讯主要应用在以下方面：-建立基于IP的无线语音网 -紧急呼叫 -语音的集群通信 所需要的设备为： -VoIP 设备 -VoIP 手持终端-PDA和笔记本电脑 具体的应用有以下几类： 常规移动语音呼叫 能够完成现有普通语音移动系统完成的功能，满足日常需要；如果采用PDA手机，还可以完成视频和数据上网功能； 紧急呼叫 某些手机可以设置紧急呼叫建； 群呼 思科自身手机具有群呼功能直接通知整个组的用户； 与园区内部固网电话的融合呼叫

11、固定和移动中均可无线办公，采用同一号码； 节假日远程值班 通过VPN网络与出差在外、在家办公的员工实现免费通话； 总而言之，用户希望组建无线、有线通信网络，实现基于无线网络的数据传输、语音通信、应急系统、视频监控等一系列功能和增值应用。在应用传统的办公自动化的同时，通过融合技术提供个性化的服务，例如在终端上可以实现端到端电话交流，提高用户的工作效率，使用户真正体现到网络融合技术带来的好处。注：以上为初期需求，如有调整将随时更新。3 网络设计原则和设备厂商选择3.1 网络设计实现原则基于标准化的设计和实现 在结构上实现真正开放，基于国际开放式标准，开放的网络使用户可以自由地选择不同厂家的产品，不

12、会受到某些厂家专有标准的限制，最大程度地保护用户的利益。网络的设计基于国际标准，网络设备采用标准的接口和规范和协议，使不同厂家的设备可以顺利地连接。技术先进性和实用性 系统建设要有一定的前瞻性，保证满足无线应用业务的同时，又要体现出网络系统的先进性。在方案设计中，把先进的技术与现有的成熟技术和标准结合起来，充分考虑到安利中国应用的现状和未来发展趋势。在网络建成后的3-5年之内，不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平，避免技术环境过于超前造成投资浪费。高度的可靠性、稳定性和冗余 网络系统的稳定可靠是应用系统正常运行的关键保证，在整个网络中选定合理的网络架

13、构，无线网络采用802.11a/b/g通信协议，在较近的距离内可以提供54Mbps的连接速率，可提供更多的信道，从而最大限度地支持安利中国公司业务系统的正常运行。 为了防止局部故障引起整个网络系统的瘫痪，要避免网络出现单点失效。在网络骨干上要提供备份链路，提供冗余路由。在网络设备上要提供冗余配置，保证把局部故障对网络的影响降低到最小。高性能 为了及时、迅速地处理网络上传送的数据，网络设备必须具备高速处理能力，提供高速数据链路，保证网络高吞吐能力，满足各种应用（如：无线语音，实时定位系统）对网络带宽的需求。易于安装、操作和管理 良好的组织和管理对网络的正常运转和高效使用有很大帮助，网络应该能够提

14、供方便、灵活、有力的工具，使得无论是安装、操作还是使用对用户来说都轻而易举。可扩充升级，具备支持目前及未来关键应用的能力 随着用户应用规模的不断扩大，要求网络可以方便地扩充容量，支持更多的用户及应用；随着网络技术的不断发展，网络必须能够平滑地过渡到新的技术和设备，保证用户现有的投资。高度的安全性 为了保护用户在网络上数据的安全可靠，必须提供多种方式和层次的访问控制，通过使用包过滤、防火墙及VPN等技术保证数据的安全传输。资源的高效利用 合理利用网络资源，将网络的运行成本降到最低，同时网络的服务产出最大。3.2 设备厂商选择原则 由于安利中国公司的无线网络系统是一个涉及到多种硬件设备的复杂工程，

15、我们建议根据以下标准的选择厂商：1) 设备性能价格比 设备的性能价格比是选型决策的重要考虑因素。2) 售后服务售后服务包括如下内容： 设备的保修期； 是否在中国有备件库，这样一旦发生硬件故障时可以及时得到更换； 是否提供热线服务，以便与原制造厂商及时取得联系，获得技术咨询和支持； 故障报告的响应时间。3) 公司的经济、技术实力和市场占有率，这一定程度上反映了其产品的信誉。4) 设备的技术先进性，这是选型的重要考虑因素。5) 设备对未来新技术的适应能力，反映设备的可扩展性，这是保护用户投资的一种策略。6) 设备的技术性能指标。7) 设备使用的方便程度，这体现设备的可维护性。8) 设备在大型网络中

16、的应用情况，它反映设备的适应性和可靠性。9) 网络管理系统的集成性、开放性和功能，它反映网络管理系统是否能对网络作全面深入的管理，以及它对异构网络的适应能力。10) 设备的标准化程度和可扩充性，反映对网络规模扩展的适应能力。11) 是否对质检系统有长期稳定的优惠政策。12) 交货期的时限和信用，这对工程能否如期完成有重大影响。13) 系统软件的升级条件是否优惠。14) 差错的检测与隔离能力，这是网络可靠性的重要保证。15) 手册与培训，反映用户能否较快地掌握设备的使用。 综上所述，为了保证方案的实用性、先进性、完整性、经济性与可靠性，同时满足未来的网络升级，我们建议选用在以上各个方面均具备较大

17、优势的思科公司的无线网络设备和整体解决方案来构建安利中国公司的无线网络。3.3 选择思科无线产品的技术优势 思科无线产品能够提供安全的移动联网环境，可在整个园区中实现真正的安全移动，它提供完全的安全性，以保护网络，此外还提供完全的管理来控制无线环境。无线局域网技术能够为被布线束缚在办公桌前的员工解除限制，使企业受益匪浅。无线技术带来很大的自由，使用户能够随时随地访问信息，从而提高生产率。思科实现移动性的方法是消除限制，并提供解决方案，使用户能通过无线方式访问有线网络中的相同应用。真正的移动性使我们能够访问IP语音通信等多业务应用。移动性和PDA及WLAN手持话机等手持设备的发展，使我们距无线世

18、界更近一步，也使企业更加接近思科“一体化网络”的远景规划。 思科是业界唯一在为企业和服务提供商提供视频、语音、数据、无线和安全技术方面拥有丰富经验的厂商。凭借这种经验，思科屡获奖项的产品无线WLAN系列产品成为业界一流的产品，因为它能用于构建移动网络，提供安全的适应性多业务解决方案。采用思科的一体化无线解决方案，可以为用户带来如下技术优势：先进性和实用性并重系统建设具有一定的前瞻性。在无线网络建成后的3-5年之内，不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平，避免技术环境过于超前造成投资浪费。思科具备丰富的无线产品和解决方案可供用户根据自身的实际情况选择。无

19、线集中架构是IETF和Wi-Fi国际联盟推崇的未来无线以太网建网工业标准，即所谓的”瘦”AP架构。本方案建议安利中国无线局域网采用思科无线集中架构网络解决方案，一种基于LWAPP（Light Weight Access Point Protocol，即轻量级无线接入协议）的协议架构。最大程度的兼容性思科无线网络采用开放式体系结构，易于扩充，使相对独立的分系统易于进行组合和调整。选用的通信协议符合国际标准或工业标准，网络的硬件环境、通信环境、软件环境相互独立，自成平台，使相互间依赖减至最小，同时保证网络的互联，思科的无线局域网全部支持从交换机直接通过PoE供电，不必为AP另行配置电源插座，针对较

20、远传输距离可通过单独的外置供电注入器供电。思科的无线局域网系统满足国际和国内的无线标准，思科WLAN最大程度的兼容符合Wi-Fi标准的各种无线终端设备，如Intel讯驰系统、国内和台湾、香港生产的通过Wi-Fi认证的无线局域网络终端设备，事实上，几乎今天在市面上知名的品牌均可以兼容。全网以IEEE 802.11国际技术标准为指导，最大支持54Mbps的接入速率。安全的无线辐射根据中国国家无线电管理委员会的规定，在室内部署无线网络信号辐射不得超过100mw，以避免2.4GHz和5GHz对人体的影响。同样的原因，在通常情况下，终端使用60mw左右的发射功率，以避免大功率长期辐射对人体的影响。无线接

21、入点即AP执行IEEE802.11g标准工作在54Mbps到1Mbps之间，随着终端和AP之间的信号的强弱，AP和终端会自动协商根据信号的衰减程度，自动降低传输速率和增大传输功率。思科无线系统在办公室内部署的型号统一都根据国家规定最大为100mw，功率智能调节。实时的射频自动监测无线信号容易受到其他信号的干扰，无线局域网使用的2.4GHz和5GHz频段是开放频段，无需注册即可获得使用，因此下列设备可能造成干扰： 微波炉 其他大楼的无线系统 工作在2.4GHz的无绳电话等因此思科的AP可以实时进行射频的监测，AP后台的控制器能够实时对AP进行控制，控制功率的大小，比如当1个AP失效以后，这个AP

22、周围其他的AP通过自动计算对功率进行增加来覆盖失效AP产生的信号黑洞；出现信号干扰的时候，控制器能够对信号干扰来源进行定位，确定何处的信号干扰，信号干扰的程度如何，并以地图方式显示在网管上。传统有线网络在物理安全方面存在一定的优势。有线接口位于建筑物内部，这意味着企业可以利用加密卡和通行证来将未经授权的用户拒之门外。但是在无线网络中，这种物理保护并不存在。无线信号会扩散到物理围墙之外，从而可能将企业的WLAN拓展到某个停车场或者相邻建筑物。为了最大限度地解决这个问题，思科采用了先进的RF设计、发射功率控制和先进的定位技术。自动负载均衡有线网络在本质上具有确定性第二层（以太网）和第三层（IP）交

23、换机和路由器都是便于理解、可以预测的。但是，用户在无线网络中的体验则依赖于无线信号的传播和建筑物的其他特性。这些特性可能会迅速发生变化，从而影响连接速度和错误率。一个位于建筑物内的办公的RF环境在早上10点和3点时是完全不同的。在早上10点，有很多的用户在移动使用网络。而在早上3点，人员都休息了，没有人在使用无线网络，而且附近的办公室也不会产生RF干扰。更多的情况下，在同一时间，很多人汇聚到会议室，特别是当人数比较多，超出了1个AP的承受范围，那么无线网络会慢的无法工作；为了保障带宽，如果在AP设置了限制，那么后来的人员无法得到无线连接服务，因为在后台控制器的模式，可以对AP自动的负载均衡，将

24、终端分别发送到不同的AP，自动计算和对终端的流量进行均衡，比如，当这个AP的利用率到了80%，那么控制器自动将用户引导到另外的空闲的相邻AP上面，而在我们的设计中，所有的AP部署已经考虑了人员的位置和可能的集中的情况，完全可以智能的处理动态的负载变化。自动频道管理和跨IP域漫游无线局域网802.11b/g标准使用3个不重复的频道，1、6、11，为了实现自动漫游，需要对频道的管理。思科无线系统由于采用了后台集中控制的方式，能够当AP布防后，通过实时射频监测，然后自动对频道进行分配，并地图方式显示在网管上。 无线局域网的AP如果处于不同的子网，在漫游的过程中，需要处理三层的漫游，在后台保持用户的D

25、HCP得来的IP租用，认证的会话密钥等，控制器可以自动完成三层无线漫游。最大的安全性无线网络支持最多的安全特性，采用集中认证，对每个数据包进行加密。通过对射频的实时监测，发现并定位恶意的AP，恶意AP是未经授权的人员通过自己设置一个AP，吸引无线终端连接到恶意AP从而非法获得数据的黑客方法。对恶意AP的扫描配合采用安全无线认证协议，能够解决AP和无线之间的相互信任问题。目前无线局域网领域标准主要有思科和微软等公司，能够支持最多的安全保障和扩展的端口安全管理。地理化图形管理界面网络管理界面全部图形化，能够输入建筑的平面图，并且能够进行微调，能够输入障碍物等信息，在网管上面可以操作全部的无线功能。

26、在AP上无需任何配置。无缝集成终端定位应用配合射频实时监测功能，射频指纹扫描能够对终端所在的位置进行定位，当一个移动终端变换位置时，能够实现3-5米的定位，可以将人员位置显示在网络管理界面的办公楼地理图上。方便对无线终端的监控和管理。在网络管理系统上有针对ERP系统和安全管理系统的API，可以结合ERP和安全管理系统将定位信息集成到工作流程的管理中。4 网络技术选型4.1 集中无线网络架构为了全面地满足企业的RF管理需求，思科设计了一个集中、简便的集中WLAN架构。它的核心组件是 “分离MAC”体系，即将对802.11数据和管理协议的处理，以及接入点功能分别部署于一个轻型接入点和一个集中WLA

27、N控制器（下图所示）。更加特别的是，对时间敏感的活动例如信标处理、与客户端的握手、介质访问控制（MAC）层封装和RF监控都是由接入点处理的。所有其他活动都由WLAN控制器处理，它需要具备整个系统的可见度。这包括802.11管理协议、帧转换和桥接功能，以及对于用户移动、安全、QoS和可能更加重要的是实时RF管理的系统级策略。典型的分离MAC体系 思科无线局域网控制器具备的实时RF管理对于思科轻型无线解决方案具有重要的意义。它是思科产品的一项独有特色。思科无线局域网控制器可以利用动态算法，创建一个完全自行配置、优化和治愈的环境，让思科WLAN适用于提供安全、可靠的业务应用。这是通过执行下列RRM功

28、能实现的： 无线资源监控 动态信道分配 干扰检测和避免 动态发射功率控制 覆盖盲区检测和纠正 客户端和网络负载均衡4.1.1 无线资源监控RF网络的管理需要充分了解影响无线空间的因素。思科轻型接入点采用了独特的设计，不仅能够提供服务，还可以同时监控所有信道。这源自于思科在它的分离MAC架构中对802.11 MAC层所开展的、广泛的开发工作。除了提供数据服务以外，思科轻型接入点还可以同时扫描所在国家允许的所有有效的802.11a/b/g信道，以及在其他地区有效的信道。这可以提供最高限度的保护系统将发现可能从其他国家进口的恶意接入点，或者某个知道怎样更改所在国家规定操作方式的黑客。这些黑客能够让恶

29、意设备位于带外，从而躲过大部分WLAN入侵检测系统（IDS）的扫描。思科轻型接入点可以在不超过60ms的时间里进行“信道外”扫描，以监听这些信道。在此期间搜集到的分组将被发送到思科无线局域网控制器。后者将对这些分组进行分析，以发现恶意接入点（无论服务集标识符SSID是否被广播）、恶意客户端、临时客户端和干扰接入点。在缺省情况下，每个接入点只用0.2%的时间进行信道外扫描。这项任务会在所有接入点之间进行统计分配，以确保相邻接入点不会同时进行扫描，对WLAN的性能造成不利的影响。这使得管理员可以通过每个接入点搜集到的信息，了解他们的WLAN的运行状况，将网络可见度提高到重叠式网络所无法提供的水平，

30、解决为每三到五个接入点部署无线监听器这一做法可能出现的“隐藏节点”问题。在必要情况下，思科轻型接入点可以被专门部署为无线监听器，但是成本因素和对更高网络可见度的要求通常会促使最终用户采用上述方式。4.1.2 动态信道分配802.11 MAC功能需要采用一种基于二进制指数退避的冲突避免机制，即带有冲突检测的载波侦听多路存取（CSMA/CA）。802.11 MAC层由一个四路交换协议定义：Request to Send (RTS) Clear to Send (CTS)Data ACK当某个基站需要发送信息时，它会将其提供给介质。如果介质是闲置的，接入点将会允许该基站发送它的数据。否则，基站将被告

31、知等到其他正在使用介质的基站完成任务之后再发送数据。这可以防止两个客户端同时在同一个信道上发送数据，导致数据帧受损。在使用CSMA/CA时，同一个信道上的两个接入点（位于同一个区域）与两个不同信道上的两个接入点相比，将获得其一半的容量。这可能会导致问题。例如，某个在咖啡厅中查看电子邮件的用户可能会对相邻企业中的接入点的性能造成不利的影响。即使位于不同的网络之中，在信道1上向咖啡厅网络发送流量的用户也可能会导致使用同一个信道的企业数据遭到破坏。思科无线局域网控制器可以通过动态分配接入点信道，避免冲突，从而解决这个问题和其他同频干扰问题。因为思科轻型解决方案通过它的RRM工具而具有覆盖整个企业的可

32、见度，所以信道可以被“重复利用”，以避免浪费宝贵的RF资源。换句话说，信道1将会分配给一个远离该咖啡厅的接入点。相比之下，其他WLAN系统在这种情况下通常要求完全禁止使用信道1。因此，思科的解决方案更为有效。思科无线局域网控制器的动态信道分配功能还有助于最大限度地减小思科轻型WLAN解决方案中的相邻接入点之间的同频干扰。例如，在使用802.11a时，信道35和40不能同时使用54Mbps，具体取决于接入点和客户端的摆放位置。通过分配信道，思科无线局域网控制器可以隔离相同信道，从而避免这个问题（如下图所示）。动态信道分配 33%效率 100%效率思科无线局域网控制器可以通过分析多种实时RF特性，

33、有效地处理信道分配。这些特性包括：接入点接收能量这取决于网络的静态拓扑；这项功能可以让信道获得最高的网络容量。噪声这个因素会限制客户端和接入点的信号质量。噪声的增大会导致有效网格的减小。通过优化信道和避免噪声源，思科无线局域网控制器可以在优化网络覆盖范围的同时，保持系统容量不变。如果某个信道因为噪声过高而无法使用，该信道将会被避开。802.11干扰如果存在其他无线网络，思科无线局域网控制器将会改变信道的使用方式，以避免与其他网络的干扰。例如，如果一个网络使用的是信道6，另一个相邻WLAN将被分配信道1或者11。这可以通过限制频率重叠，提高网络容量。如果因为某个信道的使用量过高而导致没有可用容量

34、，思科无线局域网控制器将会选择避开这个信道。利用率在启用这项功能时，容量计算将会考虑到某些接入点传输的流量多于其他接入点（例如一个休息室相对于一个工程区域）。因此，那些需要最多带宽的接入点将在信道分配方面获得更高的重视。客户端负载通过在调整信道结构时考虑客户端负载，可以最大限度地减少客户端对于WLAN的影响。思科无线局域网控制器会周期性地监控信道分配情况，搜寻“最佳的”分配方式。只有在可以显著提高网络性能，或者改进某个性能低下的接入点的性能时，才会进行调整。思科无线局域网控制器可以将RF特性信息与智能算法相结合，执行针对整个系统的决策。利用软决策机制，可以满足互相冲突的需求，为最大限度地减少网

35、络干扰确保最佳的选择。最终结果是在一个三维空间中实现最佳的信道配置，而位于楼层上方和下方的接入点在总体WLAN配置中扮演着重要的角色。4.1.3 干扰检查和避免“干扰”的定义是任何不属于某个思科WLAN系统的802.11流量，包括恶意接入点、蓝牙设备或者相邻WLAN。思科轻型接入点一直在扫描所有信道，寻找主要的干扰源（如下图所示）。如果802.11干扰幅度超过了预定的阈值（缺省值为10%），一个消息就会被发送到思科无线控制系统（WCS）。思科无线局域网控制器将设法重新分配信道，以便在存在干扰的情况下提高系统性能。这可能会导致相邻思科轻型接入点位于同一个信道上，但是这显然要比让接入点继续留在一个

36、因为某个干扰接入点而无法使用的信道上好得多（考虑到利用率因素）。动态信道分配机制对干扰的反应恶意设备管理员可以从思科WCS实时地查看RF环境的情况（如下图所示）。这有助于了解无线空间的运行状况，尤其是试图诊断WLAN故障时。思科WCS无线统计信息视图4.1.4 动态发射功率控制正确的接入点发射功率设置对于保证WLAN的平稳运行具有重要的意义。这对于实现网络冗余也非常重要，有助于确保在接入点失去连接时进行实时的故障切换。思科无线局域网控制器可根据实时的WLAN情况动态地控制接入点的发射功率。在正常情况下，功率可以保持在较低的水平，以获得额外的容量和减少干扰。思科轻型解决方案将试图根据最佳实践经验

37、，对接入点进行平衡，以确保它们在相邻接入点之间保持-65dbm的发射功率。如果检测到某个发生故障的接入点，周围接入点的功率将会自动提高，以填补覆盖范围受损所导致的漏洞。只允许对发射功率进行静态设置的WLAN解决方案在支持动态网络需求方面的能力极为有限。思科RRM算法采用了独特的设计，可以创建最佳的用户体验。例如，如果接入点的发射功率被调低为四级（一级最高，五级最低），而且用户的接收信号强度指示（RSSI）值降低到某个可以接受的阈值之下，接入点功率将会被提高，以便为客户端提供更好的体验。如果用户的RSSI值位于阈值之上，功率将决不会被调低。用户可以在思科WCS中，方便地查看各个功率等级和接入点相

38、邻设备信息，如下图所示。图5 利用思科WCS监控功率等级4.1.5 覆盖盲区检测和纠正如果某个接入点上的客户端的RSSI等级较低，思科轻型接入点将会向思科WCS发出一个“覆盖盲区”警报。这表示存在一个覆盖信号持续较差的区域，其中没有可通信的漫游地点。管理员可以查找接入点的历史记录，了解这些警报是不是一种长期现象。长期现象意味着存在一个长期的覆盖盲区，而不是一个偶发性的问题。如果是的话，思科无线局域网控制器将会调节接入点的发射功率等级，纠正所检测到的盲区。否则，IT人员将可以借助准确的位置信息解决问题。4.1.6 客户端和网络负载均衡只有在客户端能够通过负载均衡，有效地利用容量的情况下，WLAN

39、容量才具有实际意义。不幸的是，客户端并没有足够的智能来自行制定均衡决策，即使这可以带来更好的性能。例如，一个会议室中的所有用户可能都会与某个距离最近的接入点建立关联，而忽略某个距离较远、但是利用率较低的接入点。思科无线局域网控制器为所有接入点的客户端负载提供了一个集中视图。这可用于确定在哪里将新的客户端加入网络。另外，通过一定的设置，思科轻型无线解决方案可以主动地“驱使”现有客户端关联到新的接入点，以提高WLAN的性能。这样，容量可以更加平均地分配到整个无线网络之中。4.1.7 真正实时解决方案思科解决方案思科WCS轻型接入点和无线局域网控制器可以提供实时的RF管理。其他WLAN供应商采用了不

40、同的方法来解决RF频谱问题，但是它们缺乏思科的实时检测RF改动和对WLAN配置进行相应调整的能力。例如，有些WLAN解决方案通过让接入点监听最不活跃的信道来进行信道分配。这种方式导致了接入点只能制定适合某一时间段的信道选择决策，而且接入点经常处于除了1、6或者11以外的信道上。因为这可能产生干扰，因而不适用于大多数企业环境。另外一种策略是开发一个网络管理应用，让IT人员可以将接入点组合到一起，发送到同一个信道。在这个信道中，它们能够以不同的功率等级发送信标。结果经过分析，可以为WLAN信道分配创建一个原始拓扑。它将由管理员保存，并发送到接入点。这种方式的问题在于一个多层建筑物总是存在垂直和水平

41、重叠区域。这些应用通常没有考虑这些因素，因而只能创建一个局部拓扑。另外，这些扫描对WLAN的运行具有破坏作用，所以应当在非工作时间进行不幸的是，办公楼在非工作时间通常都没有工作人员，大门紧锁，而且相邻的WLAN也不在工作，所以这时的RF状况也与平时大不相同。RF环境是动态的；IT人员不能只依赖于某个时刻的WLAN配置，尤其是非高峰期的WLAN配置。企业也很难依靠现场调查工具和预定的RF扫描来处理WLAN配置。即使是支持“一键式”WLAN分析和配置推送的工具也不具有足够的动态性能，无法满足实际无线流量的需要。它们还需要IT专家的亲自参与，使得他们无法适应大型企业无线网络的要求。实时RF管理应当模

42、拟开放最短路径优先（OSPF）。OSPF可以利用路由参数，不断地监控网络的状态和对路由表进行必要的改动，以利用最佳的拓扑。利用内置的智能，可以仅在网络性能或者容量受到影响时才改动信道。将配置发送到一组接入点，但无法对系统性能和用户行为作出连续反馈的无线管理系统，类似于过去的静态路由。当将路由输入曾经准确的路由表时，因为网络一直在不断变化，所以路由表在将来某个时刻并不一定准确甚至它们的正确期仅为一天（或者一个小时）。上面阐述整个安利中国公司无线系统解决方案所能够实现的效果和大致的方法，能够在接入便利、安全、功能、运维、管理上满足安利中国公司的无线局域网络要求，整体上平衡这五个方面，后面介绍整体解

43、决方案的各个部分：控制器、接入点、网络管理和定位服务并配合终端、AAA认证系统和Windows域服务器AD 就构成了完整的能够实现上述目标的有线/无线一体化方案。简单来讲： 无线局域网解决方案的组成部件如下：1) 控制器：控制所有的无线的运转过程；2) AP接入点：负责射频信号收发和射频扫描（定位和恶意AP扫描，收集信号，分析在控制器），插上网线是对其唯一的手工操作；3) 网络管理WCS：图形界面管理，输入地理图和障碍信息，可以图示定位、射频信息，记录和审计，图示恶意AP，操作控制控制器的无线操作。一般和控制器一起部署，可以在WCS上监控和操作整个无线局域网络系统，所有操作以WEB方式进行；4

44、) 定位服务器：提供定位分析；5) 终端：兼容绝大多数厂商的终端设备，没有限制。6) AAA服务器：提供集中认证，采用安利中国现有的RADIUS系统，如微软IAS 。7) Windows AD服务器：可以连接AAA服务器，当控制器到AAA进行认证时，AAA查询AD得到认证结果并返回，达到利用AD集中认证的结果，可以实现在终端上仅仅登陆域就可以实现无线同时认证集成的目的(即单次登陆：SSO，Single-Sign-On)。4.2 轻型接入点协议安利中国公司无线解决方案采用LWAPP协议，即轻型接入点协议。WLAN领域的趋势是向集中智能和集中控制发展。使用一个WLAN控制器系统来为大量轻型接入点创

45、建和执行策略。通过集中这些设备的智能特性，整个无线企业中对WLAN运营至关重要的安全性、移动性、服务质量 (QoS)和其他功能都可得到有效管理。此外，通过分离接入点和控制器的功能，IT人员能简化管理、提高性能并使大型无线网络更为安全。轻型WLAN系统集中提供用于企业级RF管理和策略控制的智能随着更多供应商移植到层次化设计，并用轻型接入点构建更大型的网络，市场上需要一种管理轻型接入点如何与WLAN系统通信的标准化协议。这也正是互联网工程任务小组（IETF）最新规范草案，即轻型接入点协议（LWAPP）的作用所在。凭借LWAPP，能部署功能最多、具更高灵活性的大型多供应商无线网络。4.2.1 轻型接

46、入点部署定位传统的WLAN解决方案将所有的流量处理、RF控制、安全和移动功能分散到各接入点提供。但这种架构只允许单个接入点浏览802.11流量。这意味着： 当未配备管理设备时，必须分别管理各接入点，从而提高运营成本和增加对人员的要求 无法查看系统中的网络级攻击和干扰 在第一层、第二层和第三层中只有一个安全策略实施点 无法发现和抵御针对整个WLAN的拒绝服务(DoS)攻击 系统不能关联或预测企业中的活动 实现优化、实时的负载均衡的能力有限 客户端无法进行快速功能切换，而这正是支持语音和视频等实时应用所必需的 如果一个接入点被偷窃或破坏，就会带来内部安全风险对等WLAN架构限制了性能、可管理性和安

47、全性的提高大量设备供应商已纷纷采取措施，来消除对等WLAN架构的局限性（如上图）。其中许多供应商宣布采用新架构，集中部署WLAN智能，以实现更高性能和效率。4.2.2 标准化需求随着越来越多的产品使用带集中WLAN智能的轻型接入点，市场需要一个管理这些设备相互间如何通信的业界标准。LWAPP是IETF工作小组为解决此问题而制订的标准化草案。LWAPP最初由Airespace (2005年3月被思科系统公司收购) 和NTT DoCoMo制订，是接入点和WLAN系统（控制器，交换机，路由器等）之间的标准化通信协议。其制订目标如IETF规范所述，旨在： 降低接入点中的处理负担，使这些设备中有限的计算

48、资源可主要用于提供无线接入功能，而非用于过滤及策略实施 实现能对整个WLAN系统集中进行流量处理、验证、加密和策略实施（QoS，安全等）的机制 通过第二层基础设施或IP路由网络，提供一个通用封装和传输机制，用于实现多供应商接入点互操作性LWAPP规范通过定义以下类型的活动，解决了这些问题： 接入点设备发现、信息交换和配置 接入点认证和软件控制 分组封装、分段和格式化 在接入点和无线系统设备间进行通信控制和管理LWAPP的广泛采用使企业客户可从多种能互操作的接入点及无线系统设备中进行选择，因此他们不再需要根据哪些设备能配合工作而作出购买决策，而是可根据各接入点和无线系统设备的具体功能制订决策。L

49、WAPP在市场中得到广泛接受，减少了被迫锁定于一个供应商，即只有将接入点与同一供应商的WLAN系统设备共用，才能获得最优运行效果的现象。LWAPP还提供了一个开放标准解决方案，可在多供应商集中WLAN架构上提供安全的第二层和第三层网络服务。此外，凭借LWAPP，第三方供应商也可拥有一个用于部署应用的通用架构。4.2.3 运行LWAPP当LWAPP于2002年首次进入WLAN行业时，它通过“分离MAC”概念使管理WLAN部署的方式发生了革命性的改变，“分离MAC”可将802.11协议的实时功能和其大多数的管理功能分离。 具体来说，实时帧交换和MAC管理的某些实时部分在接入点中完成，而验证、安全管

50、理和移动功能由WLAN控制器处理。采用了LWAPP的思科集中WLAN解决方案，是第一个使用分离MAC的集中WLAN系统。LWAPP协议与思科智能RF管理功能的结合可使客户在很多方面获益：管理 动态的系统级RF管理，包括一系列可实现平稳无线运营的特性，如动态信道分配、传输功率控制和负载均衡。 单一图形化企业级策略界面，包括VLAN、安全和QoS。安全 企业级安全策略包括从无线层到MAC层、再到网络层的无线网络的所有层次。这样即可更方便地提供统一实施的安全和QoS功能，或用户策略，来满足手持扫描仪、PDA或笔记本电脑等不同设备类型的特定功能。 发现和抵御DoS攻击，以及检测和拒绝恶意接入点。这些功

51、能运行于整个思科轻型无线局域网解决方案之上。移动 类似于手机的快速切换。 对WLAN语音等实时移动应用提供出色支持。LWAPP是关键业务型无线网络的重要构建块。它也是构建大规模混合WLAN的基础。通过为RF互联网提供一种标准化方式，LWAPP可保护公司的WLAN投资，简化RF管理，并优化用于各种规模的WLAN部署的无线网络。5 无线网络设计规划5.1 网络结构设计概述根据安利中国公司办公室内的无线应用构想和实际网络分布/结构特点，建议选用思科特有的集中无线网络解决方案，整体划一，系统管理，准确定位，高效运营，全面满足安利中国公司无线网络的业务需求，同时为今后的应用拓展（如无线IP电话，无线Vi

52、deo、RFID等）做好充分的技术平台准备。安利中国公司现有的网络带宽资源和拓扑连接情况，即广州本地的7个点均通过光纤以太网线路互联，带宽充足，其中中信为安利中国网络的主生产中心，开发区为安利中国网络的备份中心；而北京和上海办公室分别通过广域网租用线路连接中信主生产中心和开发区备份中心。结合现有网络状况和思科集中无线网络架构，我们对本次无线网络建设做如下建议：1. 采用LWAPP体系结构，即采用无线控制器集中控制/管理无线AP的方式；2. 广州中信主生产中心和开发区备份中心的6500交换机（要求支持Sup720引擎）上分别增加一块WiSM无线控制器模块，相互备份；中信的WiSM负责中信、天誉、

53、国贸、美银的AP接入，作为工厂、LC、ACTI的AP的备用控制器；开发区备份中心的WiSM负责工厂、LC、ACTI的AP接入，作为中信、天誉、国贸、美银的AP的备用控制器；单个WiSM模块可管理300个AP，每台6500交换机上可堆叠5块WiSM，实现1500个AP的管理；3. 上海和北京Office采用独立控制器WLC-4402各1台，配置双电源，双光纤千兆口；若对冗余性要求较高，则建议各配置两台，两台之间相互备份（11或1:1)；当AP数目增多且超过单台控制器处理能力时，可通过增加控制器的方式，形成N+1备份；4. 除了对现有自治“胖”AP-Cisco AP1231G进行升级转换以支持集中

54、控制式“瘦”AP外，还建议新增集中管理式“瘦”AP-Cisco AP 1131AG分布在各办公室空间。中信、天誉、国贸、美银的AP由中信的WiSM控制器模块集中管理，开发区工厂、LC、ACTI的AP由开发区的WiSM控制器模块集中控制，当其中一块故障时，另一块WiSM接管广州范围内所有AP的管理控制任务。北京和上海Office的“瘦”AP-Cisco AP 1131AG由本地的4402独立控制器管理控制。5. 无线安全认证采用Microsoft IAS 认证系统并结合Windows AD实现用户的单次登陆（SSO）。6. 网管系统采用Cisco WCS统一网管，并建议在需要时采用Locatio

55、n Appliance无线定位服务器提供无线定位服务。 5.2 无线网络设计架构5.2.1 概述针对办公楼内部的无线局域网覆盖的需求，本方案建议采用思科的无线网络产品系列集中式、可管理架构的无线局域网架构解决方案来实现无线网络的部署。思科无线网络产品系列是为那些希望为本身业务、IP电话和融合多媒体应用系统广泛部署无线覆盖的一款完整802.11解决方案。这款解决方案将最新的行业标准与一种集中架构和先进功能结合起来，创建一种安全、经济有效并且极具扩展性的无线局域网(WLAN)基础设施。思科无线网络产品系列包括规划和实施所需的工具和功能，使首次部署无线局域网(WLAN) 能快捷简便的完成，也适合于企

56、业逐步演进事先精确设计的无线移动基础设施。 思科无线网络产品系列采用一种由一台或几台中央无线控制器控制和管理“瘦”接入点的集中式无线局域网部署模式。这套系列的三个主要构件包括一个多频点接入点（AP）、无线控制器（WLC）组合和一套无线管理软件系统（WCS）。在整个无线移动解决方案中，每个构件均起着重要作用。思科无线接入点系列支持802.11a/b/g多种连接技术，对无线数据进行加/解密，对不同应用的数据进行优先级控制和排队。同时支持无线频率监控管理，包括非法AP的身份识别和限制，无线接入点和无线控制器之间进行控制和数据的交互。思科无线控制器系列无线控制器执行多AP的安全控制，包括：安全、联网、

57、QoS以及用户的漫游（Roaming）。无线控制器对多个AP的无线数据进行转发，并对AP改变无线频率和收到攻击进行响应。思科WLAN管理软件（WCS）思科WLAN管理软件是一套全面的WLAN设计和管理软件，帮助用户确定AP的部署位置、管理和配置所有网络中的AP以及实时监控和汇报WLAN系统的运作情况。5.2.2 详细设计本方案无线系统由以下各部分组成：无线控制器WLC： 1、在中信和开发区的其中一台Catalyst 6509交换机内置WiSM无线控制器模块，两块WiSM负责整个广州地区所有Office WLAN的接入；内置WiSM无线控制器模块利用Catalyst 6509交换机的高可靠性和高

58、稳定性（如双交换引擎、双电源、双时钟等）。两块WiSM之间相互备份；中信的WiSM负责中信、天誉、国贸、美银的AP接入，并作为工厂、LC、ACTI的AP的备用控制器；开发区备份中心的WiSM负责工厂、LC、ACTI的AP接入，并作为中信、天誉、国贸、美银的AP的备用控制器。单个WiSM模块可管理300个AP，每台6500交换机上可堆叠5块WiSM，实现1500个AP的管理。因为WiSM内置在Catalyst 6509交换机内，其通过交换机背板与交换机之间形成8Gbps（全双工16Gbps）吞吐量连接，完全满足多达300个AP的线速处理要求。并且，采用内置背板连接方式，可以节省多个千兆以太网端口

59、。2、在上海和北京办公室，分别采用外置的独立控制器WLC 4402各一台。为了增加系统的可靠性，每台4402控制器都配置了双电源，以减少因为电源故障导致的服务中断；并且配置了双光纤千兆端口，两个光口之间通过LAG（Link Aggregation Group）方式捆绑，以减少因单端口故障而导致的服务中断。未来，对系统冗余性要求更高的情况下，我们建议采用两台WLC4402形成1：1或11的冗余工作方式，避免其中一台掉电或故障时导致的用户无法接入无线网络问题，两台WLC4402组成一个高性能，高冗余，高扩展的控制器群组（Group），既能按需实现负载均衡，又能确保备份冗余，而且能够根据业务提升，高

60、效快捷的拓展整个控制平台的容量，即当AP数目增多且超过单台控制器处理能力时，可通过增加控制器的方式，形成N+1备份。这里配置的外置WLC 4402无线控制器可以管理/控制25台AP。每台WLC4402可以配置2个千兆以太网端口，连接到核心交换机，支持最大2Gbps（全双工4Gbps）的吞吐量，实现多达25个AP同时接入时的全线速处理负荷要求。无线网管系统WCS：为了更好的实效对于WLAN控制器、无线接入点、无线客户端的高效统一管理，建议配备一套WLAN控制系统WCS系统软件。因安利公司现有自治无线系统中已有一套“胖”AP网管WLSE-1130-19，为实现投资保护，可迁移升级为WCS网管平台，无需购买新的网管服务器硬件，只需定购相应的管理License即可。迁移升级而成的WCS软