无线网络系统建议书(d-link方案)

无线网络系统建议书(d-link方案)内容摘要：

网络应用进行了最优化。 通过这些设备，商业用户可以拥有高性能的 ，安全的，并且可管理和升级的一体化有线 /无线局域网交换模式。 通过 bo SFP,可选 10G 连接的开 放式插槽 1 以及基于以太网供电和冗余电源（ RPS），这些千兆无线交换机使企业能轻易的升级到下一代 无线局域网，无线设备的应用简便并且不受物理位置的影响，对安全的无线移动性和策略的执行提供集中管理 核心单元控制整个无线网络 DWS3024 千兆无线交换机是巩固安全，管理带宽和维护整个无线网络智能化的核心单元。 除了在用户漫游时监视用户身份和维持他们的认证外，这些无线交换机还能配置和控制无线接入点的其他方面，包括 RF 信道和电源管理，无线流量分段； AP 漫 游 和 负 载 平 衡 ， 非 法 AP 检测和 AP 访 问 安 全。 友翔电子科技 (北京 )有限公司 DLINK 14 高 性能 , 应用简便 针对配线房的分布式应用，每个无线交换机能支持最多 48 个无线接入点。 AP 可以直接与无线交换机端口连接，或者通过局域网交换机间接与它连接。 利用在每个端口集成 PoE，这些交换机允许被连接的 AP 安放在用 AC 电源供电的设备难以访问的地方。 硬件预先支持下一代更高速的 无线标准设备千兆传输速率。 关于电源管理 ,DWS3024/DWS3026 允许管理员设置 AP 的传送输出电源以满足个别国家的规定，并且可在需要时远程重新启动 AP。 简化的配置和应用 通过一个集中管理平台 ,网络 维护和配置过程变得更加有效率。 如果有任何一个接入点无法访问，管理员可以立刻识别出无法访问的AP 所在位置并且立即用另外一个 AP 替换它。 DWS3024/交换机将自动使用之前 AP 的相同配置对新的 AP 进行设置。 友翔电子科技 (北京 )有限公司 DLINK 15 最高性能 除了进行增强的二层转发， DWS3024/DWS3026 也提供三层和四层服务以及身份跟踪功能。 通过集中 RF 策略，最少信道使用的自动选择和 AP 负载平衡， DWS3024/DWS3026 能有效的管理无线带宽以优化 WLAN 流量。 得益于交换机间漫游，网间漫游和 AP 到交换机的千兆速率传送， 使得不同 AP 间能迅速漫游。 这些交换机也提供一些弹性功能，比如冗余负载分配千兆连接， VLAN 流量分段和致命 IGMP 侦测，以便支持 IP 多播数据流 可扩展和一体化有线 /无线应用 小型和中型企业可能只需要一个无线交换机来管理很少的 AP或者用于混合有线 /无线局域网。 当 AP 的增加时，就可能加入 4 个交换机而形成一个大型的集中管理系统。 由于扩展简便，支持下一代高速 AP 的千兆速率和支持企业范围内网间漫游的三层路由，DWS3024/3026 提供一个架构，简化并且一体化了一个特别复杂的WLAN 环境，轻 松的为将来的技术升级准备了一个现有的网络。 全面强大的安全特性 DWS3024 提供全面的网络安全特性，包括集成的基于 MAC 地址认证，入侵检测， AAA Radius 服务器 等。 DLINK 在 DWS3024 无线交换机系统中实现了一套完整的端到端分层式安全模式。 每个独立的无线子网都可以有自己独立的安全机制，例如：为访客无线网可以配置较低或开放的安全策略，而内部员友翔电子科技 (北京 )有限公司 DLINK 16 工网配置高强度的安全策略。 身份验证：将确保只有授权用户和设备才能访问网络，无线交换机提供了一系列身份验证机制，以支持各种安全要求  预分配密钥（ Preshared Key）  （ EAP）： EAP 提供了强大的身份验证机制和动态密钥分发功能，同时还提供进行双向身份验证的一种方式。 授权用户向无线网络标识自己的身份，无线网络同样向用户标识自己的身份，以确保只有授权用户才能够访问网络资源。 动态密钥分发机制则提供了一针对每一个用户、每一个会话的新的加密密钥，极大地提高了数据加密的强度。 DWS3024 支持多种 EAP 验证方式：EAPTLS， EAPTTLS， WPAPEAP 等。 数据加密：加密特性确保数据在传输过程中维护其私密性。 DWS3024 支持一组加密选项，为增强加密技术提供基础，并具有一定灵活性有助于用户选择适合的级别 ，  WEP 加密传输： WEP 提供静态密钥加密算法，向所有用户分发单独的密钥进行数据的加密和解密。 WEP 利用被广泛使用的 RC4 加密算法生成 40 位或 128 位的密钥， WEP只提供了一定程度的无线安全性，这种加密方式只能使用在非关键环境下。  Key Guard：由于 WEP 的非安全性， Symbol 开发了 Key Guard 安全协议。 Key Guard 使用 TKIP，为每个数据包提友翔电子科技 (北京 )有限公司 DLINK 17 供一个不同的密钥，但在检查消息完整性（ MIC）时采用一个早期版本的协议来确保数据不被篡改或破坏。  WPA 时效密钥完整性协议（ TKIP）： WPATKIP 提供以每个数据包为基础的密钥旋转，并检查消息的完整性（ MIC），以确定在传输过程中数据是否被篡改或破坏。  WPA2 高级加密标准 AES： AES 加密算法为客户端传输数据提供了极高的安全性。 无线交换机的部署 无线交换机 AP 的三层部署方式 DWL3500AP 采用 PoE 供电，选择 DWS3024 无线 交换机就近接入。 AP 在加电后， AP发送 Hello 广播包试图发现交换机，因为无线交换机都处在汇聚核心层，不在同一个广播 域， AP 在指定时间内没有收到无线交换机回应的 Parent 数据包， AP 就会发起 DHCP Discover 数据包。 DHCP Server 回应 DHCP Offer 数据包，里面含有 AP 的地址、掩码、网关，另外也含有 Wireless Switch 地址列表， AP 选择合适的 Wireless Switch 去 Adopt, 无线交换机把 AP需要的配置发送给AP。 这样无线交换机和 AP之间的通信就正常建立起来。 由于 DHCP Server 和 AP 也不在同一个广播域内，需要在汇聚层交换机上启用 DHCP Relay 功能，将 DHCP 广播 包转成发往 DHCP Server的单播包。 友翔电子科技 (北京 )有限公司 DLINK 18 无线交换机与企业网络的接入 DWS3024 是全 千兆口，建议将 光纤端口 用于上连端口，接入企业网络， 其他端口直接 用于与 DWL3500AP 进行通信。 DWS3024 上为移动计算机和测试 PC 设置统一的办公用 WLAN，例如为 media，所有用户都使用这个 WLAN，并且使用相同的 Windows 登录的用户名和口令使用 WLAN 网络。 无线交换机根据 Windows 上的Inter Authentication Server 返回的 vlan ID 为用户动态分配VLAN，从而 区分不同的用户。 如下图所示，销售部门分配 VLAN 为VLAN10, 财务部门分配 VLAN 为 VLAN 100。 VLAN200 分配给无线交换机的端口用于连入 AP300。 我们建议 客户 网管人员定期察看访客 WLAN 的用户数和流量，确定 是否 有非法使用的情况。 单个无线交换机和跨无线交换机的三层切换漫游 在一个无线交换机下的两个 AP 下进行切换。 虽然 AP 部署在不同的 IP 网段里，但是由于用户的相关信息都在同一个无线交换机里，在切换时 IP 地址保持不变，因此可以实现快速无缝切换。 友翔电子科技 (北京 )有限公司 DLINK 19 无线 AP部署 无线频道分布图 由于 AP 较 多，应注意 AP 的信道规划。 相邻 3 个区域内要采用完全不干扰的频段，如信道 11。 因为实际施工中，建筑材料、办公环境差异很大，故对信号影响也很大（见下表），如果实测信号穿透情况良好，方案可以进一步优化，每层只需要放置更少数量的 AP 即可。 AP 的数量视现场实际勘测情况而定。 友翔电子科技 (北京 )有限公司 DLINK 20 为了保障无线网络系统处于最佳运营状态。 因此，为了保证在发生突发事件的情况下系统的正常运行，设计中需规划一定的冗余数量的 AP 以及无线信号的冗余。 无线 天线选择 DWL3500AP 在 实际运用中 有多种选择，一般可以选用 外置 3db或 5db 的全向天线，在全向天线不能覆盖需要的位置时，可以选用合适的定向天线达到覆盖的目的。 在本次项目中建议采用 外 置 全向 天线的 友翔电子科技 (北京 )有限公司 DLINK。