客服服务热线:
客服服务热线:
内容来源:首页 发布时间:2018-3-27 10:32:01 Tags:
文档编号 | 20171226001 |
密级 | ★★ |
CRM |
福码大厦无线覆盖方案设计
无线局域网(WLAN)技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点:
简易性:WLAN网桥传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作;
灵活性:无线技术使得WLAN设备可以灵活的进行安装并调整位置,使无线网络达到有线网络不易覆盖的区域;
综合成本较低:一方面WLAN网络减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网技术可以更好地保护已有投资。同时,由于WLAN技术本身就是面向数据通信领域的IP传输技术,因此可直接通过百兆自适应网口和企业、内部Intranet相连,从体系结构上节省了协议转换器等相关设备;
扩展能力强:WLAN网桥系统支持多种拓扑结构及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统;
此次无线局域网建设有以下需求:
利用无线网技术实现无线覆盖,使员工能够随时随地、方便高效地访问Internet。
实现无线上网用户的认证,销户,监控等功能。
对于无线AP设备实施统一管理和监控。
关注安全性,无线用户之间彼此隔离,防止ARP攻击,并限制上网流量。
5. 无线AP全部采用POE交换机供电,每层一个AP预算32个,传输距离在20-35m左右;机房预定于福码A座10层,POE交换机B座7层一个,A座10层一个,两个POE交换机完成对所有无线终端用户的汇聚。
下图为WLAN信道分配情况,在2.4GHz-2.4835GHz范围内共13个相邻子信道,一般不相干扰的复用信道组合为(1,6,11)或(1,7,13)
下表中体现的是三种频率间隔情况下,随着两AP间距的变化,终端连接信号质量及吞吐量的变化。颜色代表适配卡配置软件中,检视连接信号质量窗口显示的颜色。表格中数值表示吞吐量,单位为kbytes/s。
在多用户情况下,实际情况会更差些。上述数据仅供参考,实际网络需根据测试结果确定。
1. 采用原有的企业级流控路由 IK-A520作为本次无线覆盖项目的无线控制器.
2. 采用爱快 IK-S1作为本次无线覆盖的无线接入点AP.
3. 采用POE交换机TP-LINK SL1218P作为POE接入交换机。
整体拓扑图如下:
我们设计采用PoE供电方式,由POE交换机TP-LINK SL1218P为无线AP进行供电,以超五类网线互联,最后通过楼层接入交换机连接入核心交换机,无线控制器与核心交换机互联,无线控制器通过管理VLAN管理无线AP,最后通过企业级流控路由 IK-A520连接Internet。这样整个无线网可以实施灵活的无线划分。
根据无线网络需求及实地的测试堪察,并结合以往的工程经验,对无线网络做出以下规划:
序号 | 型号 | 产品名称 | 数量 | 单价 | 合计 | 备注 | |
设备单价 | |||||||
一、 | 无线控制器 | ||||||
1 | 路由 IK-A520 | 企业级无线AP控制器,带机量200-250 | 1 | 0 | 0 | 现有 | |
二、 | POE接入交换机 | ||||||
2 | TP-LINK SL1218P | 企业级POE交换机为无线AP提供稳定电流。16个百兆电口,两个千兆电口。 | 2 | 1200 | 2400 | 无 | |
三、 | 无线AP | ||||||
1 | 爱快 IK-S1 | 爱快IK-S1企业级300M无线吸顶AP 无线WiFi 室内大功率(带POE模块) | 32 | 320 | 10240 | 无 | |
四 | 其它材料 | ||||||
1 | 超五类网线 | 超五类双绞屏蔽网线(箱) | 5 | 350 | 1750 | ||
2 | 水晶头 | 工业级质量水晶头(包) | 1 | 50 | 50 | ||
3 | 6类网线 | 工业级6类成品网线(条) | 5 | 10 | 50 | ||
4 | 电源插排 | 工业级公牛16A专业插排 | 3 | 150 | 450 | ||
总价(¥) | 39940 | ||||||
A、在原有无线覆盖基础上增加设备实现两座大楼总面积70%无线信号覆盖,总带机量(无线用户接入总数)250IP,计划每层1个AP,两坐大楼共计32个AP,采用POE集中供电。
B、工程施工
a、机房初步定在福码A座10层(后期可根据实际情况调整),无线控制器和POE交换机1,还有插排,光纤收发器等放置在1.2米小机柜里。
b、福码A座每层电梯处中间位置做为无线传输点安放一个AP,A座共计16个点位故安装16个AP,施工人员需要将此16个无线传输点穿网线汇聚到10层POE交换机1上的16个POE供电口以此使用网线给AP进行供电。
c、将POE交换机2放置在福码B座7层。B座同样采用电梯处中间位置做为无线传输点安放一个AP,共计16个无线传输点和16个AP,施工人员需要将此16个无线传输点穿网线汇聚到7层POE交换机2上的16个POE供电口完成所有B座无线终端用户的汇聚,然后上行口使用光纤传输至A座10层机房的AC上。所有的网线两端压上水晶头,光纤两端使用收发器转换成电信号。
d、总共32个无线AP爱快IK-S1完成两座大楼所有无线终端用户的接入,两个POE TP-LINK SL1218P交换机完成两座大楼所有无线终端用户的汇聚,无线控制器路由 IK-A520完成路由数据转发到Internet,实现用户上网看视频等。
e、功能:可以实现手机短信方式认证上网,微信广告推送认证上网,微信二维码扫一扫认证上网。
序号 | 型号 | 产品名称 | 数量 | 单价 | 合计 | |
设备单价 | ||||||
一、 | 无线控制器 | |||||
1 | 路由 IK-G30 | 企业级无线AP控制器,带机量500-1000 | 1 | 25000 | 25000 | |
二、 | POE接入交换机 | |||||
2 | TP-LINK TL-SG1226P | 企业级POE交换机为无线AP提供稳定电流。24个百兆电口,两个千兆电口。 | 4 | 1650 | 3300 | |
三、 | 无线AP | |||||
1 | 爱快 IK-S1 | 爱快IK-S1企业级300M无线吸顶AP 无线WiFi 室内大功率(带POE模块) | 96 | 320 | 30720 | |
四 | 其它材料 | |||||
1 | 超五类网线 | 超五类双绞屏蔽网线(箱) | 5 | 350 | 1750 | |
2 | 水晶头 | 工业级质量水晶头(包) | 1 | 50 | 50 | |
3 | 6类网线 | 工业级6类成品网线(条) | 5 | 10 | 50 | |
4 | 电源插排 | 工业级公牛16A专业插排 | 3 | 150 | 450 | |
总价(¥) | 61320 | |||||
A、在原有无线覆盖基础上增加设备实现两座大楼总面积90%无线信号覆盖,总带机量(无线用户接入总数)1000IP计划每层3个AP,两座大楼共计96个AP,采用POE集中供电。
B、工程施工
a、机房初步定在福码A座10层(后期可根据实际情况调整),无线控制器和POE交换机1,还有插排,光纤收发器等放置在1.2米小机柜里。
b、福码A座每层放置3个无线AP,电梯处走廊左右两端天花板位置做为两个无线传输点安放2个AP、弱电竖井门口天花板为一个无线传输点放置AP,施工人员需要将每层3个无线传输点穿网线汇聚到10层POE交换机1上的48个POE供电口以完成使用网线给AP进行集中供电。
c、将POE交换机2放置在福码B座7层。B座同样采用电梯处走廊左右两端天花板位置做为两个无线传输点安放2个AP、弱电竖井门口天花板为一个无线传输点放置1个AP,施工人员需要将每层3个无线传输点穿网线汇聚到7层POE交换机2上的48个POE供电口完成所有B座无线终端用户的汇聚,然后上行口使用光纤传输至A座10层机房的AC上。所有的网线两端压上水晶头,光纤两端使用收发器转换成电信号。
d、总共96个无线AP爱快IK-S1完成两座大楼所有无线终端用户的接入,4个POE TP-LINK TL-SG1226P交换机完成两座大楼所有无线终端用户的汇聚,无线控制器路由 IK-A520完成路由数据转发到Internet,实现用户上网看视频等。
e、功能:可以实现手机短信方式认证上网,微信广告推送认证上网,微信二维码扫一扫认证上网。
IEEE 802.11标准要求WLAN终端在准备连接到网络时,必需进行“身份验证”。
WLAN终端身份认证主要有两种方式:开放系统认证(Open-system Authentication)和共享密钥认证(Shared-Key Authentication)。
开放系统认证是IEEE 802.11标准要求必备的一种方法,是最简单的认证算法,即不认证。如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证。在这种方式下,接入点并未验证工作站的真实身份,工作站以MAC地址作为身份证明,这种验证方式可以让所有符合802.11标准的终端都可以接入到WLAN网络中来。开放系统身份验证比较适合有众多用户的电信运营WLAN网络。
共享密钥式认证必需使用加密方式,要求每个WLAN终端都镜头配置和AP完全一致的密钥(key)。由于配置工作量较大,一般适用于企业网、校园网及家庭网络等。
二者对比如下:
认证方式 | 优点 | 劣势 | 适用场景 |
开放式系统认证 | 部署简单,终端接入速度快,有效带宽高 | 安全性差:无法检验客户端是否合法,任何知道无线局域网SSID 的用户都可以访问网络 | 电信运营网络 |
共享密钥式认证 | 安全性较高:采用了加密方式对密钥进行保护,空口密钥数据不再明文传输 | 配置复杂,可扩展性不佳:每台终端和AP上都需要静态配置一个很长的密钥字符串 有效带宽较低:加密降低了传输效率 | 企业网、校园网及家庭网络等 |
相对于简单的STA身份验证过滤机制,链路层用户身份验证的安全性大大提高。通过提供有限的访问权限来验证用户身份,只有确定用户身份后才给予完整的网络访问权限,可有效判别用户的合法性。链路层身份验证时透明的,能配合任何网络层协议使用。
WLAN的链路层身份验证主要有Portal(DHCP+WEB)、802.1X、PPPoE、WAPI等几种认证方式。
AC产品接口丰富,支持LACP(Link Aggregation Control Protocol,以下简称LACP)和MSTP(Multiple Spanning Tree Protocol,以下简称MSTP)等组网保护机制,可提供端口级冗余保护,及设备级1+1快速备份。
AC均支持开放系统认证、WEP加密、共享密钥认证、WPA/WPA2认证合加密、WAPI认证加密等无线接入安全特性。
特性 | 指标 |
WLAN安全模板管理 | u 支持通过WLAN安全模板管理认证和加密方式。 u 支持安全模板绑定到ESS模板。 u 最多支持256个AP配置模板。 |
OPEN-SYS方式认证 | 支持“OPEN-SYS认证+无加密”方式。 |
WEP认证加密 | u 支持WEP的认证/加密方式。 u 每个AP最多支持4个WEP加密方式的VAP。 u WEP认证加密在AP实施,认证结果通知AC。 |
WPA/WPA2认证加密 | u 支持AC集中认证方式。 u 支持“WPA/WPA2-PSK+TKIP”的认证/加密方式。 u 支持“WPA/WPA2-PSK+CCMP”的认证/加密方式。 u 支持“WPA/WPA2-802.1x+TKIP”的认证/加密方式。 u 支持“WPA/WPA2-802.1x+CCMP”的认证/加密方式。 |
WAPI认证加密 | u 支持AC集中式WAPI认证。 u 支持WAPI多信任证书方式(3证书),兼容传统双证书方式。 u 支持证书和私钥合一的发放方式。 u 支持WAPI加密的启用/禁用。 |
无线用户移动漫游,涉及到多个层次的漫游,最为简单的是二层漫游,其他厂家产品都表现不错,三层漫游就困难多了,还有当用户跨越多个域时怎样无缝漫游,无线局域网可以实现快速无缝漫游功能。
L2/L3层漫游
在传统的无线局域网内,无线终端要跨越不同AP之间漫游是有一定的困难,因为不同AP之间,它的无线用户IP子网可能都不是在同一个VLAN内。所以当无线终端从一个AP漫游到另一AP时,由于它们之间的缺省IP子网不同,无线终端会重新发出DHCP请求,这样的话终端的IP地址就会更新,所有在原先AP建立的连接都会被切断。过去为了解决跨越三层的漫游,有些用户采用了Mobile IP的技术,但Mobile IP的缺点是它必须在无线终端安装软件。这是一般网络管理人员不愿意做的事情,因为它们就必须支持和维护用户的无线接入端。
在大型网络内,一般都有很多不同的部门,部门内通常都有自己的用户数据库,即所谓的本地认证服务器。在实现应用时,要求有单一的认证数据库是未必可行的,但同时无线用户应是可在内无缝漫游。 当用户不是在本地入网或是从一个部门的接入点漫游到另一部门的接入点需要重新认证时,如果用户名和密码在当地的数据库是不存在的话,则用户会被断线。要做到真正的无缝漫游,则需要有支持Radius 代理这样的功能。但由于不是所有的认证服务器都支持这种功能所以在具体实施时也有一定的困难。
2017年12月27日
服务热线7*24小时为您在线服务
京公网安备 11010502035401号