企业无线组网建设方案建议书

1、企业无线网络建设技术建议书深信服科技有限公司1、组网方案1.1 无线组网方式结合用户无线网络需求情况，结合深信服产品自身技术特点，为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求，本设计方案按照AP+AC的结构化无线网络解决方案进行设计。网络拓扑如下：1.2 信道规划使用2.4GHz频点为例，为保证信道之间不相互干扰，要求两个信道之间间隔不低于25MHz。在一个覆盖区内，最多可以提供3个不重叠的频点同时工作，通常采用1、6、11三个频点。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。1.3 无线安全性设计在Sangfor无线系统中，可以在多个层

2、面对系统构筑安全防护，其安全性设计如下：（1）多SSID：可以根据需要，如用户的种类、应用的种类设置多个SSID，不同的SSID采用不同的安全策略，这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式，该SSID不广播，用户无法看到，防止非法用户的接入。SSID还可以选择在某些AP上出现，某些AP上不出现，限制SSID出现的范围也是实现安全性的一种手段。（2）加密：Sangfor无线系统支持国际标准的多种数据加密方式，保护数据不被窃取，用户可根据实际需要自行选择。（3）多重接入认证方式：Sangfor无线系统支持多重认证方式结合：开放式、WPA-PSK、WPA2-PSK（个

3、人）、开放式+Portal认证、WPA-PSK/WPA2-PSK+Portal认证、WPA(企业)、WPA2（企业）、WPA/WPA2（企业）；鉴于公司对接入认证的安全性要求，建议不采用开放式接入认证方式。14 网络与用户管理1.在深信服的无线系统中可以设定用户的角色，同时，可根据角色进行访问的管控与流量的管理。比如，办公人员及领导具有较高的网络权限，可以访问更多的网络资源，或者对某些特殊的来宾开放某些VIP账号，分配给其较高权限的权限。分配较高的带宽供使用。而访客分配有限的权限，限制带宽和禁止访问内网，同时也可进行时间的限制。2.可实现用户首次登录时，系统自动完成账号与终端MAC绑定，无需管

4、理员参与，实现“人-机”唯一对应。同时，针对用户拥有多种终端的情况，可实现用户与多终端绑定关系，防止越权访问，加强安全性2、 设备选型根据对贵公司需求的分析，本方案推荐使用深信服科技的无线一体化解决方案：序号设备类型设备品牌设备型号设备数量1无线接入点AP深信服AP-24092无线控制器WAC-50013POE交换机SW-GE1614网络布线FGT(参考)超五类93、产品介绍3.1 无线控制器WAC系列WAC系列是深信服自主研发的多业务无线控制器，针对越来越多的无线接入需求，深信服推出无线一体化解决方案，为企业建设安全、访问体验好、高效的无线接入服务。具有全面的安全防御、精细的用户控制、分级的

5、授权管理、完善的射频优化管理、二三层快速漫游、灵活的QoS控制、图形化的热点分析等多功能集一身，提供一体化的解决方案。配合深信服 Fit AP系列，可满足企业、教育、酒店、医疗、政府、制造、零售、能源等大中小型场景的无线接入覆盖要求。SANGFOR WLAN Controller产品功能列表硬件参数管理端口1个console口业务端口详见具体型号输入电压100V240V AC；50/60Hz功耗详见具体型号工作/存储温度 -1055/-4070工作/存储湿度（非凝结）5%95%软件规格基础性能管理AP数详见具体型号802.11mac802.11协议簇支持802.11abgn模式可配，支持11n

6、 only配置虚拟AP支持隐藏SSID支持多国家码部署支持功率、信道手动配置支持基于AP用户数限制支持用户在线检测支持无线用户二层隔离支持无线用户强制断连支持数据转发本地转发支持集中转发支持部分集中转发部分本地转发支持漫游L2/L3快速漫游支持IPDHCP支持DHCP Client，DHCP服务器，DHCP中继，DHCP SnoopingNAT支持DNS代理支持ALG支持静态路由支持策略路由支持三层物理端口链路检测支持二层VLAN支持链路聚合支持链路状态检测支持ARP代理支持802.1x支持流量管理单用户流量限速支持802.11e/WMM支持射频优化功率自动调整支持信道自动调整支持AP负载均衡

7、支持无线防广播泛洪(arp代理）支持安全防御DoS攻击防御支持WIPS支持接入认证认证类型支持WPA-PSK、WPA2-PSK、WAP-PSK/WPA2-PSK混合加密、开放式+web认证、WPA-PSK/WPA2-PSK+web认证、WPA(企业)、WPA2(企业)、WPA/WPA2(企业)短信认证支持二维码认证支持加密方式支持TKIP和AESMAC+用户名绑定支持域计算机认证支持EAP类型支持中继模式、终结EAP-PEAP模式、终结EAP-TLS模式自定义portal界面支持支持使用本地数据库支持使用LDAP服务器作为认证服务器支持MAC静态白名单支持动态黑名单支持访问权限基于用户帐号/S

8、SID/区域/接入终端的角色分配管理支持基于用户角色的访问权限控制支持以ssid为单位灵活配置规则确定用户的用户角色支持以ssid为单位灵活配置规则确定用户的vlan支持备份双机热备支持AC间AP快速切换支持双机配置同步支持备份配置和备份恢复支持实时状态显示流量历史查询支持local wac状态显示支持动态黑名单显示支持AP在线、离线提醒支持在线用户信息显示支持网络攻击实时告警支持接口状态告警支持双机切换告警支持AP信息显示支持射频信息显示支持WLAN信息显示支持系统日志查询支持热点分析依据用户显示繁忙或空闲AP支持依据流量显示繁忙或空闲AP支持显示信号好和信号差的AP支持网管与配置WEB U

9、I 配置 通过HTTPS访问支持AP升级计划支持策略故障排除功能支持自动更新升级支持重启设备、重启服务支持配置时间日期、NTP服务支持配置管理员帐号支持配置序列号支持3.2 无线接入点AP系列AP-240系列是深信服科技自主研发的面向下一代高速无线网络的无线接入产品（AP），采用最新IEEE802.11n标准，2X2MiMo技术，双频段并发工作，整机传输速率高达600Mbps，同时，提供一个10/100/1000Base-T以太网端口上联，使无线多媒体应用成为现实。支持本地供电和基于802.3at/af标准的PoE供电模式，客户可根据供电环境灵活选择。统一集中管理，易部署，更安全，维护更便捷。

10、支持本地转发，业务流和管理流分开，更佳的传输体验。可广泛适用企业，校园，酒店，度假村等场所的无线接入部署。千兆以太网传输AP-240提供一个10/100/1000Mbps以太网端口上联，相对于传统百兆端口，有线传输不再是无线速率的带宽瓶颈。高密度接入针对一些用户密度大的场所，传统单台AP承载用户往往捉襟见肘。AP-240应用最新深信服硬件平台和操作系统，相较于普通无线接入点，接入用户数大幅提高，提升一倍之余。统一集中管理结合深信服WAC无线统一集中管理平台，安装前无需对设备进行任何配置，部署完成后由无线控制器统一下发配置，极大的减少实施和维护的工作量及成本。后期维护中，通过WAC内置的图形化热

11、点分析界面，可有效查找到问题点，轻松完成维护工作。硬件参数尺寸170mm*170mm*40mm以太网口1*10/100/1000MbpsConsole口1PoE支持802.3af/802.3at天线4根3dBi全向天线本地供电支持48VDC发射功率20dBm调节功率粒度1dBm功耗12W复位/恢复出厂设置支持状态指示灯1*power,1*sys,1*2.4GHz,1*5GHz工作/存储温度-1055/-4070工作/存储湿度（非凝结）5%95%软件规格射频空间流数（streams）2工作频段802.11b/g/n : 2.4GHz-2.483GHz (中国)802.11a/n : 5.725G

12、Hz-5.850GHz (中国)调制技术OFDM : BPSK6/9Mbps、QPSK12/18Mbps、16-QAM24Mbps、64-QAM48/54MbpsDSSS : DBPSK1Mbps、DQPSK2Mbps、CCK5.5/11MbpsMIMO-OFDM : MCS 0-15支持信道数802.11a、802.11n（兼容802.11a模式）：5个信道802.11b、802.11g、802.11n（兼容802.11b/g模式）：13个信道信道自动调整支持功率自动控制支持WLAN功能虚拟AP支持SSID隐藏支持STA相关支持STA异常下线检测、STA老化、基于STA的统计和状态查询等接入用户数限制支持链路完整性检测支持基于用户、流量的智能负载均衡支持用户数限制支持基于SSID/接入