园区无线网络解决方案

园区无线网络解决方案内容摘要：

坚持发展高科技、实现产业化的宗旨，以技术创新为先导，以建设国内一流的高新技术产业化和研发基地为目标，加快建设，加快 发展，争取在 5到 10 年时间把 XX 高新区发展到 50 平方公里的规模。 届时，一座科技新城将随着 XX江北新市区崛起而崛起， XX高新区也将与海内外科技精英和有识之士携手发展，共享自然之美，同创事业辉煌。 按照规划， XX高新技术开发区无线覆盖项目分以下几个阶段。 第一阶段：在高新技术开发总公司的试点。 试点选择软件大厦总公司两层办公楼。 经过我们的现场勘察，两层楼面积均为 1000平米左右，平面 ―L‖形状，框架结构轻质隔墙，电信、网通光纤到楼层，每层楼按 50个访问点计算。 根据测算，2层共需要部署 AP 约 13个。 为了保证走道 两边的房间都能有很好 4 ****产业开发区无线网络工程建设方案 的无线信号，建议将 AP 部署在走道的天花板吊顶上。 对于人数较多的办公室或会议室，可以单独部署一个 AP。 该阶段项目实施主要目的是通过试点项目实施，实现高新技术开发总公司两层办公大楼的无线覆盖，对选用产品的基本性能有一个直观了解，积累无线项目实施经验。 第二阶段：无线覆盖管委会大楼、软件大厦、动漫大厦。 软件大厦和动漫大厦均为 ―U‖型 AB座，一层相连，楼高 12层，每层面积 1000平米左右。 管委会大楼为 ―U‖型 AB座，一楼大厅相连， A座楼高 13层，每层面积 1000平米左右，50 个访问点。 B 座楼高 15 层，每层面积 1000 平米左右， 50 个访问点。 两栋楼基本为木板墙隔间，对无线信号的影响不大。 AP 可直接部署在走道天花板吊顶上。 通过该阶段项目实施，对以上区域实现无线覆盖，同时实现园区无线设备的统一管理，逐步增加各种无线增值应用。 第三阶段： XX 软件园、软件培训中心及园区其他重点建筑覆盖及部分室外监控点覆盖。 在现场勘察过程中，我们发现软件培训中心建筑结构位老式砖墙，不利于无线信号的穿透，因此我们建议对于软件培训中心，采取每个房间部署 AP的 方式来进行信号覆盖。 在应用上，未来要对 WiF 语音的支持，要能根据不用公司的数据流量做到安全隔离，能够进行统一管理包括账号，策略。 支持 Video Over IP的支持，特别是未来可能的 CCTV监控系统的支持。 无线现场调研结果分析 根据对 XX高新区无线的要求，现场调研人员通过对软件大厦，动漫大厦，管委会大厦，软件园，软件培训中心等重要建筑物的现场调研，分析情况如下： 软件大厦：由 2 幢 16 层的建筑物组成，第一阶段的园区办公楼归属其中一幢楼的 1和 2层，再每层的房间的隔断为干墙，部分的隔断为木质 割断和玻璃组成。 每层大概 1000平米左右的空间，我们以 50的无线终端作为计算依据。 动漫大厦：由 2 幢 16 层的建筑物组成，每层的房间的隔断同样为干墙，部分的隔断为木质割断和玻璃组成。 每层大概 1000平米左右的空间，我们同样以 50的无线终端作为计算依据。 在具体的房间部署上，动漫大厦与软件大厦略 5 ****产业开发区无线网络工程建设方案 有不同。 管委会大厦：由 2幢 16层建筑物组成， 1号楼大部分的楼层都为木质隔断，每层平均为 10 个左右的无线覆盖房间区域。 2 号楼情况比较复杂，在 2 层有 7 个房间由金 属隔断分隔，在里面的区域中比 1号楼多增加了若干房间，因此 2楼有11 个无线覆盖区域。 与 1号楼不同的是， 2号楼每个楼层都增加一块区域作为多功能厅或者隔出若干房间，平均每层大概有 8个房间，房间的间隔大部分都是木质墙体。 软件园：由 1幢 3层建筑组成，结构大致分为 3个部分，墙体比较厚，由水泥组成。 对无线的衰减比较严重。 软件培训中心：由不太规则的 1幢建筑物组成，底层为大厅分为不同的走廊，房间分布在不同的走廊边，墙体都是水泥机构，衰减比较严重。 2楼同样是水泥墙体，每个房间相对比较小， AP 的部署比较困难，建议针对重点 区域加强部署。 3至 5楼都同样是水泥墙体，房间的无线信号衰减比较严重。 经过以上的调研，通过基本的无线模拟测算，我们得出 AP 的大致分配数量，精确的结果需要在第二阶段进一步详细测试。 结果如下： 6 ****产业开发区无线网络工程建设方案 第 2章 XXXX园区无线网络整体架构设 计 无线网络设计原则 高性能。 无线网络系统能够适应今后高带宽的要求，满足日益增长的业务量需求，这些需求不但包括今后巨大的业务数据量，同时也包括音频、视频等的需求。 高可用性。 无线网络系统具有较高的可靠性和可用性，具有强大的容错功能，以保证各种应用的正常运行。 系统具备在线故障恢复能力，关键设备、模块、线路能做到实时备份、均衡负载和自动故障切换。 可管理性。 可以对网络进行在线监控，随时了解无线网络的 ― 健康状态 ‖ ，快速定位并排除故障，根据需要优化网络，更合理地对网络进行配置及资源分配，提高网络的利用率和性能。 安全性。 无线网络系统提供多种有效的安全控制机制，以防止机密泄露和影响正常工作。 无线网络系统应提供一套完整的安全防范措施，能够有效地防止系统外部人员的非法侵入。 可扩展性。 应用的不断发展要求网络在性能、协议、网络拓扑及各种业务等方面具备很好的可扩展性。 在无线网络设计及选择设备时应完全满足目前的应用需求，同时充分考虑今后较长时间内应用发展的需要，网络系统应能方便地升级。 开放性。 无线网络系统应采用国际标准。 无线网络体系结构与系统应用相互独立，支持各种通讯协议，各种数据库和客户机 /服务器应用，与现有的 LAN网络系统无缝地集成。 经济性和实用性。 完全从目前的应用需求出发，设计既能够满足目前的应用需求又能面向未来的应用需求升级的网络系统方案，同时又要保证提供服 务时的经济性。 在满足系统功能要求的前提下，尽量降低建设成本，考虑今后升级时设备的可持续使用，保护用户投资。 7 ****产业开发区无线网络工程建设方案 XXXX园区无线局域网整体架构 无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。 第一代无线局域网技术采用单纯的 AP 实现无线接入外，基本上没有其它功能。 第二代无线局域网技术，采用 AC＋智能 AP 构架， AC两者实质均为二层设备，AP 实现接入、 AC实现汇聚和认证功能，有的厂商的 AC实现了二层网络交换，具有基本的网络的控制和 用户的管理，如： WEB 认证、流量的控制、访问的控制等；支持 VLAN、 VPN、 WPA 等基本的安全管理，它们无法实现对无线电磁波层面的调控和优化。 由于这一代技术的 AP 储存了大量的网络和安全的配置，包括加密的钥匙，Radius client的安全密钥等，而 AP 又是分散在建筑物中的各个位置，一旦 AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。 另外由于 AC或无线网关的硬件多数是基于 Pentium架构的，所以当用户接入数量增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。 第三代无线局域网技术 采用无线交换网络架构（以 ARUBA 为代表），实现了基于无线网络交换机，以 AP 为单元交换的无线网络系统， ARUBA 是采用独立的无线网络交换机实现的。 作为第三代的 ARUBA无线系统采用了 Wireless Switch＋ AP 构架，将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现，同时加入了许多重要新功能，诸如无线网管、 AP 间自适应、无线安全管理、 RF监测、无缝漫游以及 QoS保证等。 对于未来整个无线局域网覆盖的需求，本方案建议采用 ARUBA 的 WLAN 产品（室内 AP＋无线控制器），采用集 中式、可管理架构的无线局域网解决方案来实现未来企业的无线覆盖要求。 安全保障的无线网络的重要性 ARUBA从网络设计者的角度来看，对于 XX高新开发区大规模部署无线网络，必须对无线网络的安全性加以重视， ARUBA建议从以下几方面做到全方位的安全保证： 8 ****产业开发区无线网络工程建设方案 集中的安全管理 ARUBA 无线系统的安全管理是将防火墙、 VPN、安全认证、防病毒、无线入侵监测 IDS以及 RF 电磁波管理等多项安全功能汇聚到 ARUBA无线交换机上来完成的，解决了传统 的无线网对安全的分散管理（ AP、 AC）和能力，给用户带来的不安全感，摆脱了对有线网安全的依赖性。 多种用户认证方式组合 在 ARUBA无线系统中，一个无线用户进入无线网以后，只会拿到一个最基本的入网权限，这个权限不容许用户访问任何网段，只让用户通过 DHCP 获取 IP地址、传送 DNS 协议数据包，通过认证以后才可以接入无线网。 ARUBA无线系统支持目前各种用户认证的方式（ 、 WEB认证、 MAC、 SSID等），企业用户可以根据需要方便选择。 无线访问控制 用户状态防火墙是 ARUBA无线交换机 的独特功能，它本身就是针对无线接入的特性而设计。 传统的网络防火墙是没有用户这概念，它的保护只是基于 IP 地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效是不大。 ARUBA 无线系统的防火墙功能则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的用户状态防火墙，不同的无线用户有不同的防火墙策略，例如领导和工作人员可以使用更多的服务，而访客只可以浏览网页、收发 Email 等，这样可以极大方便企业用户的安全管理。 安全的 AP 技术 ARUBA 无线系统和其它厂家在 无线接入的认证和加密上最大的区别是前者不是通过 AP，而是在 ARUBA 无线交换机上实现。 由于 ARUBA 的 AP 是不储存任何网络配置（ IP 地址除外）和安全设置，因此 ARUBA 管理的 AP 是不能单独工作的，因此获得或接入 ARUBA 的 AP，黑客也不会拿到无线网的网络和安全配置参数和信息。 无线接入点安全侦测和保护 采用 ARUBA 无线系统的 RF侦测功能和保护机制可以实时监测企业无线网覆盖区域内的所有 AP 接入情况 ,如相邻房间的 AP、设置错误的 AP 以及未经认可而连接到网络中的 AP。 通过 ARUBA 的网络安全管理系 统，网 9 ****产业开发区无线网络工程建设方案 络安全管理人员可以及时发现是否有非法的 AP 接入，发现后可以开启自动保护机制，阻止无线终端通过非法 AP 联接到无线网中。 无线网络入侵侦测 IDS（可选 license 模块） 今天已经有很多的无线入侵和攻击的工具可从网站下载，这些工具的普及对企业、和运营商的无线网的安全构成很大的威胁。 今天绝大部分的无线局域网都没有侦测无线入侵的功能，所以当受到像无线 DOS 攻击时，就会误以为是无线电波的信号受干扰或 AP 出现不稳定情况。 这些攻击在 HotSpot会 导致用户的无线连接断线，但网管中心仍然不知，用户则误以为是网络问题，间接影响无线网系统的品质。 ARUBA 无线系统的特点是交换机由专有的网络处理器和加密处理器组成，且内置一个无线入侵模式库，实时检测异常的无线数据包，当 ARUBA 无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵。