思科无线网络方案设计

思科无线网络方案设计内容摘要：

这是由于他们 AP 没有加解密数据的能力，一 切数据处理均由控制器完成。 尤其是当控制器加载其他功能（比如安全、 QoS、实时处理、数据转发、加密、 AP 通信、射频管理时）对平台性能的影响更大，会导致其无线控制器性能大大下降，影响正常无线网络接入的能力。 思科无线控制器设计合理，单台无线控制器可以在保证性能的情况下支持最多的的AP 数量，而不是象其它厂商支持很多 AP数量。 最简单的原则就是看思科单台控制器在支持最多数量 AP 的情况下还能实现线速转发：例如 WiSM控制器支持 300 个 AP ，每个 AP 可以实现 的数据吞吐量 ，而4400 控制器支持 100 个 AP，每个 AP可以实现高达 40Mbps 的数据吞吐量。 思科无线控制器可以在保证性能的情况下连接最多的客户端：  思科 WiSM无线控制器支持 10000 个以上的用户数  单个 6500 机箱最多可插 6块模板，支持 60000 个以上的用户数  4400 无线控制器支持 5000 个以上的用户数 另外，思科还支持 24 台控制器进行组网进一步满足用户无线接入点数量扩展的需求。 先进性和实用性并重 系统建设具 有一定的前瞻性。 在无线网络建成后的 35年之内，不会由于业务量的 增加导致对网络结构及主要设备的重大调整。 同时要考虑实际的应用水平，避免技术环境过于超前造成投资浪费。 思科具备丰富的无线产品和解决方案可供用户根据自身的实际情况选择。 最大程度的 兼容性 思科无线 网络采用开放式体系结构，易于扩充，使相对独立的分系统易于进行组合和调整。 选用的通信协议符合国际标准或工业标准，网络的硬件环境、通信环境、软件环境 本部办公楼 一体化 无线网络设计方案 Cisco Systems, Inc. Proprietary and Confidential Page 12 相互独立，自成平台，使相互间依赖减至最小，同时保证网络的互联， 思科 的无线局域网全部支持从交换机直接通过 PoE 供电，不必为 AP 另行配置电源插座。 思科 的无线局域网系统满足国际和 国内的无线标准， 思科 WLAN最大程度的兼容符合WiFi标准的各种无线终端设备，如 Intel讯驰系统、国内和台湾、香港生产的通过 WiFi 认证的无线局域网络终端设备，事实上，几乎今天在市面上知名的品牌均可以兼容。 全网以 IEEE ，最大支持 54Mbps的接入速率。 安全的 无线辐射 根据中国国家无线电管理委员会的规定，在室内部署无线网络信号辐射不得超过100mw，以避免 5GHz对人体的影响。 同样的原因，在通常情况下，终端使用60mw 左右的发射功率，以避免大功率长期 辐射对人体的影响。 无线接入点即 AP 执行 54Mbps到 1Mbps之间，随着终端和 AP 之间的信号的强弱， AP和终端会自动协商根据信号的衰减程度，自动降低传输速率和增大传输功率。 思科 无线系统在办公室内部署的型号统一都根据国家规定最大为 100mw，功率智能调节。 实时的射频自动监测 无线信号容易受到其他信号的干扰，无线局域网使用的 5GHz频段是开放频段，无需注册即可获得使用，因此下列设备可能造成干扰：  微波炉  其他大楼的无线系统  工作在 因此 思 科 的 AP可以 实时进行射频的监测， AP后台的控制器能够实时对 AP 进行控制，控制功率的大小，比如当 1个 AP失 效以后， 这个 AP 周围 其他的 AP 通过自动计算对功率进行增加 来覆盖失效 AP 产生的信号黑洞 ；出现信号 干扰 的时候，控制器能够对信号干扰来源进行定位，确定何处的信号干扰，信号干扰的程度如何，并 以 地图方式显示在网管上。 传统有线网络在物理安全方面存在一定的优势。 有线接口位于建筑物内部，这意味着企业可以利用加密卡和通行证来将未经授权的用户拒之门外。 但是在无线网络中，这种物理保护并不存在。 无线信号会扩散到物理围墙之外，从 而可能将企业的 WLAN拓展到某个 本部办公楼 一体化 无线网络设计方案 Cisco Systems, Inc. Proprietary and Confidential Page 13 停车场或者相邻建筑物。 为了最大限度地解决这个问题， 思科 采用 了先进的 RF 设计、发射功率控制和先进的定位技术。 自动负载均衡 有线网络在本质上具有确定性――第二层（以太网）和第三层（ IP）交换机和路由器都是便于理解、可以预测的。 但是，用户在无线网络中的体验则依赖于无线信号的传播和建筑物的其他特性。 这些特性可能会迅速发生变化，从而影响连接速度和错误率。 一个位于 建筑物内的办公 的 RF 环境在早上 10 点和 3点时是完全不同的。 在早上 10点，有很多的用户在移动使用网络。 而在早上 3点， 人员 都休 息了，没有人在使用无线网络，而且附近的办公室也不会产生 RF干扰。 更多的情况下，在同一时间，很多人汇聚到会议 室 ，特别是当人数比较多，超出了 1个 AP 的承受范围，那么 无线网络 会慢的无法工作；为了保障带宽，如果在 AP 设置了限制，那么后来的人员无法得到无线连接服务，因为在后台控制器的模式，可以对 AP自动的负载均衡，将终端分别发送到不同的 AP，自动计算和对终端的流量进行均衡，比如，当这个 AP 的利用率到了 80%，那么控制器自动将用户引导到另外的空闲的相邻 AP 上面，而在我们的设计中，所有的 AP 部署已经考虑了人员的位置和 可能的集中的情况，完全可以智能的处理动态的负载变化。 自动频道管理和跨 IP 域漫游 无线局域网 ， 11，为了实现自动漫游，需要对频道的管理。 思科 无线系统由于采用了后台集中控制的方式，能够当 AP 布防后，通过实时射频监测，然后自动对频道进行分配，并地图方式显示在网管上。 无线局域网的 AP 如果处于不同的子网，在漫游的过程中，需要处理三层的漫游，在后台保持用户的 DHCP得来的 IP 租用，认证的会话密钥等，控制器可以自动完成三层无线漫游。 最大的 安全性 无线网络 支持最多的安全特性，采用集中认证，对每个数据包进行加密。 通过对射频的实时监测，发现并定位恶意的 AP，恶意 AP是未经授权的人员通过自己设置一个 AP，吸引无线终端连接到恶意 AP从而非法获得数据的黑客方法。 对恶意 AP 的扫描配合采用安全 本部办公楼 一体化 无线网络设计方案 Cisco Systems, Inc. Proprietary and Confidential Page 14 无线认证协议，能够解决 AP 和无线之间的相互信任问题。 目前无线局域网领域标准主要有 思科 和微软等公司，能够支持最多的安全保障和扩展的端口安全管理。 地理化图形管理界面 网络管理界面全部图形化，能够输入 建筑 的平面图，并且能够进行微调，能够输入障碍物等信息，在网管上面可以操作全部的无线功能。 在 AP 上无需任何配置。 无缝集成 终端定位 应用 配合射频实时监测功能，射频指纹扫描能够对终端所在的位置进行定位，当一个移动终端变换位置时，能够实现 35米的定位 ， 可以将人员位置显示在网络管理界面的 办公楼地理图上。 方便对无线终端的监控和管理。 在网络管理系统上有针对 ERP系统和安全管理系统的 API，可以结合 ERP 和安全管理系统将定位信息集成到工作流程的管理中。 本部办公楼 一体化 无线网络设计方案 Cisco Systems, Inc. Proprietary and Confidential Page 15 4 无线网络设计规划 网络 结构 设计概 述 XXXXXX办公楼的布线结构比较简单， 目前各房间的信息点均汇集到各个楼层的配线间，办公楼无线网络 采用 集中控制，分层部署的结构，在各个楼层机房交换机上部署电源注入器，为无线接入点提供基于以太网供电的接入，配置 2台互为备份的 WLC 4400 无线控制器，提供无线网络的集中管理控制，配置一台 PC服务器并安装无线控制系统 WCS 软件，提供界面友好的图形化管理手段。 核心交换机 接入交换机 无线控制器 AIRWLC4402100K9 无线网管 WCSSTANDARDK9 无线 AP AIRLAP1131AGCK9 此为逻辑设计图，具体配置见配置清单 本部办公楼 一体化 无线网络设计方案 Cisco Systems, Inc. Proprietary and Confidential Page 16 为了保证网络的可靠性 ，我们强烈 建议： 已有的 Catalyst 6500交换机 与 4400 无线控制器 之间 通过 多条 千兆光纤跳线连接 ，形成线路和设备上的冗余。 无线接入点 采用 以太网供电 设计 思科建议用户采用 以太网供电技术 为无线 AP 提供电源。 从字面上不难理解 ， 以太网供电技术是指网络设备无需插接电源 ， 而直接通过与上联的设备之间的以太网网线来提供设备正常运行所需要的电源。 在 IEEE所批准的 标准中 ， 对 路由器、交换机和集线器通过以太网网线向 IP 电话、安全系统以及无线局域网接入点等设备供电的方式进行了明确规定 ， 为以太网供电技术的广泛应用提供了足够的保障。 通常 ， 包括 IP电话、无线接入设备、接入交换机等设备要正常运行的话 ， 至少都需要两个接口 ， 一个上联上层设备 ， 而另一个 连接电源 ， 两者缺一不可。 在正常的网络环境 ， 这两个必备条件很容易满足 ， 但对于一些必须要被安放在特殊位置 ， 如 吊 顶、办公室墙壁中等 ， 在连接到电源时就必须单独布线 ， 给用户带来成本增加以及工作复杂性等问题。 而 IEEE ， 则使用户在网络实施时免去对电源接口的依赖。 在该标准中 ， 通过定义包括在非屏蔽的双绞线上传输 48V 的交流电等方法来构建供电设备和用电设备 ， 可用于已有的线缆设备 ， 包括 3类、 5类、 5e 类或 6类线缆、垂直和插塞式电缆、接线板、插座和连接硬件 ， 而不需要对设备进 行修改。 同时 ， 由于在 标准中电源设备还包含有一种防止向不符合 ， 只有具有认证的“ Power over LAN”标志终端才能接收电源 ， 从而防止了损坏其他设备。 此外 ， ， 用户只需在网络核心部位配备一套UPS 设备就可以为本地网内多种分散设备提供电力备份 ， 并且 Web 控制的 SNMP远程访问和管理。 在 办公楼 网络建设中部署或逐渐部署基于以太网供电技术的设备有以下 4个优势 ： 本部办公楼 一体化 无线网络设计方案 Cisco Systems, Inc. Proprietary and Confidential Page 17  简化管理 ： 5 类线已是网络中广泛部署的数据和语音布线 ， 以太网供电设备通过单一电缆 ， 不仅提供了网络连接 ， 也提供了设备需要的电源 ， 从而简化了线缆管理、对不间断电源（ UPS）的备份要求 ， 以及 IP 电话提供。  高移动性 ： 以太网供电设备无需交流电布线 ， 移动方便 ， 同时还降低成本 ， 减少业务的中断。 另外 ， 以太网供电设备可以加速无线接入点部署。  部署方便 ： 由于无需本地交流电源支持终端设备 ， 如 IP电话、无线接入点和摄像机 ， 因此即使扩展这些设备的部署 ， 也不会增加本地交流插座和相关布线开支。  保护投资 ： 视频监视、远程视频服务和智能建筑物管理解决方 案等新应用 ， 可充分利用以太网连接来获得供电和网络连接。 目前 ， 网络已开始朝着融合的趋势发展 ， 而这种融合已不仅仅只是在数据网上融合语音的应用。 以太网供电技术的逐渐成熟 ， 不仅推动了 IP电话和无线局域网等应用更为广泛的普及 ， 还为用户的网络提供了更多新的应用。 IP 电话 ： 通过在 IP数据和语音融合网络上采用以太网供电设备 ， 在实施 IP 电话应用时无需再使用外部电源 ， 确保了电源的集中冗余性和电源管理。 而通过在以太网上实施安全、 QoS 保障等机制 ， 确保了 IP 电话应用的高安全性和高服务质量保障。 无线局 域网 ： 基于以太网供电技术的无线局域网设备的出现 ， 可在没有电源接口的任何位置安放无线接入设备 ， 确保用户无论位于园区网的何处都能持续接入网络和资源。 视频监视 ： 正是因为基于以太网供电技术的视频设备的出现 ， 用户在实现视频监视时不再需要提供交流电或安装独立的电缆基础设施 ， 从而可以部署更多摄像机 ， 保证所监控的环境更为安全。 此外 ， 以太网供电技术还将提高用户在支持新服务和新应用方面的网络灵活性和实用性 ， 通过降低成本开支、简化管理和降低运行成本 ， 以太网供电技术将使现有的网络基础设施为客户创造更多、更好的收益。 无线网络设计架构 概述 本部办公楼 一体化 无线网络设计方案 Cisco Systems, Inc. Proprietary and Confidential Page 18 对于 办公楼 内部的无线局域网覆盖的需求，本方案建议采用 思科 的 无线网络产品 系列集。