解决方案]xx集团办公楼wlan方案

解决方案]xx集团办公楼wlan方案内容摘要：

五层 AP 部署示意图： 六层 AP 部署示意图： 七层 AP 部署示意图： 八层 AP 部署示意图： 九层 AP 部署示意图： 集团办公大楼 WLAN 项目 AP 汇总表（部分覆盖） 楼层 AP 数量 1 层 1 2 层 3 3 层 1 4 层 1 5 层 1 6 层 1 7 层 1 8 层 1 9 层 4 汇总 : 14 4 Trapeze WLAN 方案特点 先进的智能无线交换网络架构 先进的智能无线交换网络解决方案 XX 集团办公大楼 WLAN 项目需求 ， Trapeze 建议采用先进的智能无线交换网络架构作为无线网络解决方案技术的核心思想，采用支持智能转发功能的无线 控制器 ，配合部署在各楼栋接入层的智能管理型无线接入点产品，以及无线网络集中管理平台，完成整个无线网络。 实现对整个 WLAN 的统一管理。 灵活的组网方式 智能无线交换架构带来的另一个好处是非常灵活的组网。 本次部署无线网络， 构架在有线网络之上。 采用智能无线交换网络架构，只需要在网络中心机房放置智能无线 控制器 ，在接入层 部署智能无线接入点，即可完成整网的部署。 由于智能无线接入点本身并不保存配置，所有的控制指令都有 无线控制器 统一下发，因此无论无线接入点部署于任何的物理位置，都可以与处于网络中心的 无线控制器 取得联系并被控制，无论是初次安装还是后续更换无线接入点，仅仅需要在需要部署的位置连入有线网络，即可立即在 无线控制器 的控制下开始工作，使得整网的部署非常简单和灵活。 全网高可靠性 为了充分保证随时对全网智能无线接入点的集中控制， Trapeze 无线 控制器 均支持集群和冗余能力，可以同时对同一个无线接入点提供服务，由于他 们之间采用了实时的信息同步 技术，如果一台无线交换机与无线接入点失去联系，将迅速由另一台无线控制器 接管，而用户信息不会丢失，仍然保持正常通信状态。 如果是一台 AP 发生故障， 无线控制器 可支持自恢复功能，通过快速查询该故障无线接入点邻近的智能无线接入点，调节其工作功率、信道等参数来接替该故障无线接入点的用户接入工作，迅速补充盲点，并实施向网络中心的 无线控制器 汇报，通知网管人员尽快更换故障无线接入点，更换之后， 无线控制器 将原先的配置信息继续控制新的无线接入点，邻接的无线接入点的射频参数调节恢复成原有状态，接替工作结 束。 在这整个切换期间，对用户的访问完全没有影响。 这种冗余特性将极大的保证了整网工作的可靠性。 优秀的扩展性 智能无线交换网络架构具有非常方便扩展的特性， 无线控制器能够通过 license 对管理 AP 的数量进行胜迹，例如：单台 MX800R 默认标配 可以支持 16 个 AP， 最高可支持 128 个智能无线接入点的控制权，用户可以按照“按需配置，渐进扩展”思路来不断增加智能无线接入点产品即可完成扩容，因此扩展无线接入点显得非常容易；当智能无线接入点的规模超过 单台无线控制器所能管理 AP 的最高值后， 可以非常简单的增加 无 线控制器产品，多台 无线控制器 形成智能集群体而同步信息，原有的无线交换机无需淘汰，因此 ， 非常适合大规模无线接入点的部署和后期的扩容需求。 无需更改有线网结构 无线网络并不是独立的网络，需要与有线网络很好的融合在一起工作，因此，为了避免在规划中的无线网络部署影响到有线网络的路由和 VLAN 等部署，采用智能无线交换网络架构就可以做到无需更改有线网络结构的目的。 在该网络架构中，所有无线用户的数据传输，是通过 AP 与 无线控制器 之间建立的 CAPWAP 隧道技术来完成互连，无线用户的 VLAN 无须在接入层和汇聚层存 在。 无线用户的 VLAN 是可透过无线 控制器 在整个中心网络机房和骨干交换机互连互通，同时也非常方便进行扩展。 AP 则可以放置于楼 内需要部署的任何地方，无需用直接连接到 无线控制器上 ，他们之间可以轻松地通过跨越三层进行隧道数据交换。 同时，无需担心无线用户的 VLAN会破坏原有有线网络的 VLAN 部署，所有工作可以在无线交换机上统一划分。 带宽控制与服务质量保证 QOS 通过 无线控制器 的全局控制，可以很轻松地实现对每一台智能无线接入点上行带宽，甚至每一个用户的带宽的控制。 同时，针对不同的用户业务类型（如语音通信 ）， 无线控制器 可以集中设置定义不同的 QoS 队列，比如将 SIP 和 RTP 协议可设定在高的队列，而一般应用如 、 ftp 则可设定在较低的队列。 这样将对于例如语音、视频这种时延敏感的业务，将可以得到最佳带宽与传输保证。 对 VoWLAN 的支持 随着 VoWLAN（ Voice over WLAN）的普及，基于 WLAN 网络的语音通信将可能成为大 办公人员 之间的主流通话方式。 而集中控制、智能转发的智能无线交换网络架构正是为此而设计的。 由于关键需要满足语音通信的时延、呼叫的容量和漫游切换时间， 无线控制器 可以支 持无线语音用户设置专有的语音 SSID，把单纯是数据传输的用户和 WLAN 语音用户隔离，并给予较高的优先队列，即可确保在数据和语音同时传送时，语音的质量不受影响。 同时也可以防止没有无线语音权限的用户使用无线语音，以确保无线网络资源能有效运用。 跨三层无缝漫游 无缝漫游是无线网络移动性的最佳体现。 但是传统的无线接入点仅仅能够实现基于二层的漫游，一旦无线用户跨越网段，就会由于重新获取 IP 地址、重认证、重新验证加密等过程，而导致漫游的失败和通信的中断。 这对于无线用户众多的 某大学 而言，是无法接受的。 利用 Trapeze 网络先进的智能无线交换网络架构，由于所有用户信息并不保存在本地的无线接入点中，而是全部集中在无线交换机上，因此无论是单台无线交换机还是多台无线交换机的集群体，包括连接状态、认证状态、 IP 地址分配信息、加密验证状态等用户信息总是实时存在的，即便是无线用户跨网段移动，还是会延续原有的 IP 地址、认证与加密方式，不存在重新获取的必要，因此也不会中断连接。 实现这一过程，并不需要有线网络的参与，对有线网络和无线用户而言都是透明的。 这种无缝跨三层漫游尤其是对延迟敏感的语音业务有重大的意义。 功能强大的 集中网络管理 集中统一控制与管理 对于无线网络来说，管理是非常重要的事情。 从 RF 射频覆盖状态的监测、无线链路的带宽的监测、用户认证的异常报警、无线接入安全等都需要考虑。 由于传统的无线局域网是单纯基于无线接入点，没有集中管理的概念，因此对于无线网络的管理，要在每个无线接入点上进行设置和更改，其工作量对于大规模无线接入点的无线网而言是不可想像的。 而且无线局域网是一个整体系统，无线接入点之间必须互协调工作，单独改变一个无线接入点的参数和配置，可能会会引起无线接入点之间的无线电波干扰，用户漫游重认证和授 权也可能会产生问题，因此集中控制和管理显得非常必要。 因此，本方案中的 无线控制器 产品可以充分发挥集中管理功能， 对全网智能无线接入点的行为和用户信息统一监控和管理， 网络管理人员 只需在 无线控制器 上就可开通、管理、维护所有处于接入层的智能无线接入点设备，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户的访问策略。 简便而丰富的用户入网 正是智能无线网络构架，使 WLAN 能够和有线网络无缝的融合，因此，能够方便地实现各种用户认证方式。 例如， webportal、 、 MAC 地址等。 在本 次项目中我们 建议对内部员工使用 的认证，对外来访客采用 webportal 的认证方式。 射频环境的监测 射频环境 的优劣，将直接影响无线网络的稳定性和链路带宽的品质，因此，对全楼 需要覆盖的区域实时的射频环境监测是保证网络稳定可靠的基石。 Trapeze 网络的 无线控制器 支持先进的提供智能化无线电射频监测和调控能力，可确保某个智能无线接入点在发生故障时，可以自动切换到邻近的智能无线接入点，由于用户信息全部同步在 无线控制器 上，因此不会影响无线的接入服务。 这种强大的射频监测能力不仅表现在对大规 模无线网络的管理工作中，即便是在初次安装无线网络时，网管人员也可可以在网络中心机房，通过 无线控制器 来自动调节整网所有智能无线接入点的射频参数，比如频率、信道、功率等。 智能无线接入点之间会自动协调射频参数，直到相邻的无线接入点之间达到最优无线电射频运行环境，并把最终调整结果返回给 无线控制器 ，网管人员就可以实时看到射频环境的现状，并决定是否继续调整或手动单独调整。 基于 MultiSSID 用户分类 有线网络的 VLAN 划分可以使得用户入网即可归属于相应的虚拟网中，并实时相应的策略和数据转发服务。 智能无 线交换网络也可以很好的实现这一点，这就是基于 无线控制器 的 MultiSSID 技术。 智能分配的负载均衡 负载均衡是网络技术中一项非常实用的技术，即便是在无线网络中，负载均衡也是不可缺少的。 这是因为不论每台无线接入点设备一般最大能带 2030 个并发客户，一旦并发入网的无线用户数量超过这个上限则无法承载。 在 Trapeze 网络的智能无线交换网络架构体系中，由于有了 无线控制器 的集中控制，可以很清楚地知道每个区域的 AP 连接了多少个无线用户，是否已经达到用户数的上限或带宽的上限，其周边还有没有用户数和带宽较空闲的无线接入点， 无线控制器 即可将无线用户分散到不同的智能无线接入点产品上入网，特别是针对大量的数据传输和视频传输，这样就可以有效的缓解单个无线接入点的负担，有效利用周边整体无线接入点的资源，从而确保每个需要上网的用户的正常数据访问的质量。 增值的无线终端定位服务 借助构架完整的智能无线交换网络体系 ， XX 集团 WLAN 可以形成一个蜂窝部署的无缝网络。 今后在这张网络中可以完成很多增值的服务，无线终端定位就是其中一种。 通过 无线控制器 与网管系统，可以控制智能无线接入点对所有环境信道进行扫描，继而跟踪和定位无线终端的位置，诸如支持无线接入的电脑、 WiFi 手机等，今后可用于贵重资产等物体实施定位服务。 同时，基于射频的扫描，可以实时定位非法无线接入点的存在，保证网络接入的安全可靠性。 无线局域网系统的安全管理 安全策略的集中实现 传统的无线网络的安全策略均分布在每一台无线接入点上，不但需要单独配置，带来巨大的工作量，而且如果需要更改策略，还需要全部重新配置，这是无法接受的。 如果无线接入点设备被盗，非法用户可以从设备中读出 相应的入网认证、加密等信息，从而很轻易地入侵无线网络。 基于这一问题， Trapeze 网络推出的智能无线交换网络架构，将所有的安全策略全部集中到 无线控制器 上统一发布和控制，包括用户身份认证、入网行为控制、安全加密、病毒库、无线入侵检测、无线电射频管理等，网管人员只要在 无线控制器 上配置安全策略，就可以轻松地完成了整网的安全策略的配置，解决了工作量的问题，同时也避免了无线接入点被盗产生的安全信息外泄的危机。 安全的本地零配置 在传统的 AP 组网中，非法用户完全可能通过盗取无线接入点并读取入网密码等信息， 继而入侵网络。 无线控制器 通过对 AP 的 控制，使得 AP 在本地并不保存任何数据，而是全部实时存储在 无线控制器 上，因此 AP 可以实现灵配置，这对于安全而言是非常有效的，完全杜绝了非法用户在接入层盗取设备截获信息的可能，同时也大大简化了本地化的工作量。 无线网络入侵检测 无线网络由于使用空中的无线电射频信道工作，因此基于无线网络的入侵防护显得尤为重要。 这其中包括非法无线接入点的防范与非法用户连接访问的防范。 非法无线接入点可能侵占合法无线接入点的正常信道工作，这样不但会对合法的无线接入点产生干扰，由于非法设备 往往不具备安全功能，还会将非法用户之间带进有线网络中。 采用 Trapeze 网络 无线控制器 ，可以控制每台智能无线接入点产品动态扫描其所处的环境，并将扫描到的设备信息送交无线交换机及网管平台查询，这样网络管理人员即可实时发现是否有非法无线接入点存在，随后可以开启自动保护机制，阻止无线用户通过非法无线接入点进入无线网络。 另一种重要威胁是非法无线用户对合法无线接入点的入侵。 互联网上可以轻易地下载到很多无线入侵和攻击工具，而原先传统的无线接入点设备均都没有侦测无线入侵的功能，所以当受到像无线 DOS 攻击时，就会误以为是 无线电波的信号受干扰或 AP 出现不稳定情况。 这些攻击将会导致用户的无线连接断线，但网管人员却无法在第一时间得到报警。 利用 Trapeze 网络的智能无线网络架构技术， 无线控制器 本身内置无线入侵模式库，可以实时检测异常的无线数据包，当无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应和报警，并提醒网管人员注意并提示相应的解决措施。 端点完整性检查 通过和准入系统配合， 当无线终端试图访问网络，在该用户认证之前， 准入系统 可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及 防病毒定义码升级的情况，做一个检查，如果不能通过检查，可以设定策略禁止其访问网络，也可设置成将无线用户重定向到一台升级服务器，打系统补丁、安装防病毒软件和升级病毒定义码，满足系统制定的安全策略以后，该无线终端才可以进入认证环节进行用户的认证。 目前 Trapeze 的产品能够和 Microsoft NAP、 Juniper UAC 以及 Cisc。