WIFI网络建设项目设计方案

1、WIFI网络建设项目设计方案XXXX司2020年2月目录1 .项目背景32 .项目需求32.1. 无线网络需求32.1.1. 覆盖范围需求说明32.1.2. 功能应用需求说明32.1.3. 网络安全性42.1.4. 网络性能要求说明43 .项目整体方案设计63.1. WIFI网络系统整体结构介绍63.1.1. 系统拓扑图63.1.2. WIFI网络传输系统架构设计73.1.3. 系统性能说明83.2. 网络覆盖范围123.2.1. 设备点位表123.2.2. 网络点位设计图133.3. 设备安装布放注意事项134 .售后服务和技术支持164.1. 售后服务范围164.2. 服务内容164.3.

2、 服务承诺164.4. 服务时间174.5. 恢复时间及标准174.6. 其他175 .部分网络设备清单与参数(样本，仅供参考，具体清单需看具体场地需求)175.1. 网络设备清单175.2. 部分主要设备关键技术参数18(1) 网关18(2) AC控制器AC30018(3)无线AP18一、产品描述18二、产品规格181 .项目背景随着互联网、智能手机等技术的快速发展和人们生活水平的提高，上网需求成为人们生活中越来越重要的一部分。尤其是对于在工厂打工的蓝领阶层，上网玩游戏、看视频聊天等已成为他们每日必不可少的娱乐。因此，越来越多工厂和公司为了留住员工，提高工厂与员工的粘度，在厂区宿舍布设有线/

3、无线网络，给员工以良好的生产生活体验。我司针对不同单位及企业无线WLA限入网络建设根据客户的项目需求设计了多种网络架构解决方案和WLA沈化方案，得到用户的一致好评。2 .项目需求2.1. 无线网络需求本次园区宿舍网络设计和建设，主要目标是在员工宿舍覆盖无线网络，通过集中引入电信带宽，集中AC管理无线接入点（AP）,规划良好的无线环境（包括无线部署、无线信道规划、流控、安全审计等），使得园区员工均能通过操作简单的web认证流程实现无线上网。2.1.1. 覆盖范围需求说明根据客户需求覆盖范围包括：员工宿舍2/3栋。2.1.2. 功能应用需求说明（1）无线WIFI网络SSID:建设无线WiFi网络，

4、按照楼层广播若干个SSID（具体SSID名称由客户拟定），即每层楼一个SSID,在哪一层就连接哪一层的wifi信号。（2）统一控制管理：可统一管理控制各无线接入点，完成开通、管理所有AP设备以及移动终端，包括无线电波频谱、无线安全、移动漫游以及接入用户限速限流等功能，并按客户要求统一无线接入服务集标识（SSID）与认证秘钥。2.1.3.网络安全性承建方应保证本项目的服务要符合计算机信息网络国际联网安全保护管理办法等国家规定，从网络安全、应用安全和信息安全方面保证WLAN络的安全性。保证本项目的服务、网络、信息等方面的安全性，严格落实接入认证、用户信息登记备案和依规定报送安全主管部门等工作机制，

5、构建良好的网络信息安全体系，提高网络信息可溯源性，实现项目管理方对网络和平台“可用、可管、可控”。2.1.4. 网络性能要求说明(1)支持无线网络标准协议：IEEE802.11a/b/g/n/ac,支持5GHz单频450Mbp丽2.4GHz单频300Mbps接入性能，支持多台终端能够同时通信。(2)无线频谱管控，无线认证支持64/128位WEP动态WEPTKIP、CCMP(11n推荐)加密。(3)宿舍AP设备需能长期稳定运行，减少因外界因素引起的设备故障现象，AP设备需支持IP41防保等级，工作温度：-10C45C(4)平均每三个宿舍布置一个双频无线接入点(AP),能同时接入至少30人。单间宿

6、舍保证信号覆盖无盲点，即需无线网络覆盖区域，信号强度要达到-75db以内。(5)单台终端(包括PG移动终端等)传输速率满足6-15Mbps左右，且用户体验(如娱乐游戏、高清视频等)流畅稳定，整个宿舍范围内无缝链接，无需多次认证。(6)园区宿舍进行统一的网关管理，网关性能需能带至少1500终端同时在线，需支持web认证、流控、审计等功能。(7)为保证宿舍AP设备供电稳定，减少用电安全隐患，AP设备需统一使用24/48口PoE交换机供电及数据传输。(10)为满足宿舍区大规模用户接入网络需求，核心交换机的交换容量和包转发率需能达到需求，且支持后期大规模灵活扩展。(11)开启无线网络认证功能：支持微信

7、认证、账号密码认证(账号采用员工工号等)等多元认证方式，认证账号默认绑定一台终端(多台终端需申请)，且能做到和认证账号一一对应关系，从而做到终端使用信息溯源。(12)支持日志、事件统一收集，流量实时监控，快速定位非法用户，实现实名用户流量/行为审计。(13)可检测出内网用户私接无线路由器、360WiFi等设备的共享上网行为，进行告警及阻断。(14)支持策略定制管控，如限制特定访问资源、可根据日期定制账号上网时长等。(15)为了防止通过更改MAO址仿冒其他用户上网，支持直接获取用户网卡的物理MAC!址，防止篡改MAC!址。(16)网络出口设备支持互联网出口最大带宽的总和。(17)设备必须支持多链

8、路负载均衡，负载均衡可基于带宽、负载等多种方式，为防止外网线路拥塞，支持线路过载保护功能，当某条外网线路拥塞时，自动将其流量切换到其他链路。(18)支持与认证系统联动，实现特定用户带宽限速、流量控制器功能。(19)支持防异常TCPFlag攻击、防PingofDeath攻击、防SYNFlood攻击、防UDPFlood攻击、防ICMPFlood攻击、防超长ICMP报文攻击、防ARPFlood报文攻击等。支持报文过滤、MAC!址过滤、广播风暴抑制。(20)支持流量识别保障功能：能够精确识别网络应用，保障关键业务的系统带宽，具备完善的应用协议库，协议识别数量2500种。定期更新协议库。3.项目整体方案

9、设计3.1. WIFI网络系统整体结构介绍3.1.1. 系统拓扑图各种带有无线网卡的网络终端(1)如上图，基本的组网架构就是：网关-AC-PO,换机-无线AP的形式。因为厂区宿舍员工使用网络，无非就是想要上网快捷方便，网速稳定。所以在此基础下，拓扑越简单越好。(2)其中web认证是在云服务器中完成的，具体过程如下：当用户使用手机或者其他终端连接到无线AP设备发射出的SSID信号时，将会弹出一个认证界面窗口，其中提示用户输入账号密码，一旦用户输入园区统一下发的账号密码，信息经由认证网关到我们远方的认证服务器中请求上网认证，认证成功，则用户可以上网，在宿舍范围内漫游无缝链接。(3)使用此种拓扑好处

10、在于：简洁、省电、实用和稳定。由于园区无线干扰太多，所以必须使用双频AP,AP布入室内，并统一规划信道，以保证网络稳定。使用POES换机给AP供电，既能省电，也不需要在房间内另拉电线，安全可靠。(4)该拓扑中，网关除了具有强大的信息处理和转发功能外，还具有审计系6/19统和各项网络优化和流量控制的功能。该组架构符合客户的需求又满足了网络的高效性、安全性、稳定性、可统管理性。3.1.2. WIFI网络传输系统架构设计目前可以采用的无线网络架构有自治式组网架构和智能分布式无线组网架构。自治式组网架构由胖AP构成，网络结构简单。在AP少、用户量少、网络结构简单的情况下，宜采用自治式组网方式。智能分布

11、式无线组网架构由AC-fiAP构成，是目前主流的架构方向。组网层次清晰，瘦AP通过AC进行统一配置和管理，在接入点多，用户量大，用户分布较广并需实现跨网统一认证的组网情况下，宜采用集中式组网方式。胖AP架构AC-ftAP架构组网架构自治式组网架构智能分布式无线组网架构技术路线传统的组网方式，适合小规模组网目前主流的组网方式，增强管理，适合大规模网络安全性传统加密、认证方式，普通安全性增加射频环境监控，基于用户位置安全策略，高安全性网络管理每个AP上保存配置文件AC上配置好文件，AP本身零配置，维护简单用户管理根据AP接入的有线端口区分权限根据用户名区分权限，使用灵活漫游L2漫游L2、L3漫游增

12、值业务能力实现简单数据接入可扩展语音等丰富业务组网可靠性无法实现AP的负载均衡可以实现跨ACAP的负载均衡胖瘦AP切换因此根据无线城域网建设项目建设需求，采用无线控制器（AC）+瘦AP（FITAP）的组网方式，瘦AP实现无线信号的处理，而用户管理、加密、漫游、AP管理等功能全部集中到AC进行，这样可以简化整个网络的管理，提高设备的工作效率，同时可以满足无线网络漫游应用的需求。AP的供电采用以太网供电（PowerOverEthernet,PoEJ和本地供电相结合的方式来供电，结合实际的网络状况，选择合适的供电模式。PO跌电通过以太网线来汇聚AP的流量，同时为AP提供电源,这样可以简化布线，同时减

13、少故障点，提高网络的可靠性。3.1.3. 系统性能说明3.1.3.1, 智能带宽保障无线AP可以支持多个SSID,不同的使用人员接入不同的SSID,可以开启智能带宽保障功能，即在流量未拥塞时，确保所有SSID的报文都可以自由通过；在流量拥塞时，确保关键的SSID可以保证各自配置的保障带宽。通过这种方式，既确保了网络带宽的充分利用，又保证了关键业务的上网宽带。3.1.3.2, 快速的漫游特性控制器采用Keycaching技术完成漫游时用户的快速切换，Keycaching技术在用户的安全接入和快速漫游间做了一个很好的平衡，可以使无线用户终端在两个AP间进行漫游时不必重新进行完整的802.1x认证交

14、互过程，同时又能保证用户身份的识别和密钥使用的连续性；无线用户采用快速漫游方式，漫游时间不超过50m6满足了客户上网不中断的需求。3.1.3.3, 智能射频管理每个AP上电时，无线控制器会根据AP的邻居关系动态调整AP工作的信道和发射功率，在保证覆盖的前提下保证AP间的干扰最小。当AP覆盖区域受到外界强信号干扰时，无线控制器会控制AP自动切换到合适的工作信道以规避干扰信号。当覆盖区域内的某个AP发生故障而造成覆盖黑洞时，无线控制器会自动调整相邻的AP的发射功率以消除黑洞区域，当故障AP恢复工作后无线控制器可以自动调整邻居AP的发射功率恢复原始工作状态。3.1.3.4, 无线AP功率自动调整传统

15、的射频功率控制方法只是静态地将发射功率设置为最大值，单纯地追求信号覆盖范围，但是功率过大可能导致对其他无线设备造成不必要的干扰。因此,需要选择一个能平衡覆盖范围和系统容量的最佳功率。功率调整就是在整个无线网络的运行过程根据实时的无线环境情况，动态地分配合理的功率。当第一次开始运行的时候，它使用最大传输功率。当从其他邻居（邻居指的是AP能探测到的且必须是由同一AC管理）处得到报告时，功率是否增加或减少取决于探测的结论：1、在增加邻居时，功率会减小。如下图所示，覆盖同一面积区域，当增加AP4后，达到缺省的最大邻居数3（此参数可配置），运行功率调整功能，可以看到调整后功率小于使用三个AP时需要的功率

16、。功率减小示意图使酒讪不口怦用酊丽力过利映TTlTJflQr大黎ffi*3时代用iiJNI再j-uMjjSEM小2、在修复邻居AP离线造成的信号覆盖黑洞时，功率会增加。如图所示功率增大示意图在本方案设计中采用无线功率自动调整方法来实现覆盖区域优良的无线覆盖。配置功率自动调整后AP会从其他邻居（邻居指的是AP能探测到的、并且必须是由同一AC管理的其他AP）处得到通道测量报告时，功率是否增加或减少取决于探测的结论。在设备第一次选择功率时都会选择最大功率，然后根据实际情况进行功率调整配置自动功率调整后。当冲突严重时，AC会在每一次优化间隔后（间隔由命令calibration-interval指定），

17、把调整结果应用到AP上。以后每隔一段时间AC会自动根据冲突情况进行功率调整。3.1.3,5,智能负载均衡无线控制器可以设定AP间对接入用户进行负载分担，负载分担的策略可以是基于AP接入的用户数量，AP流量负载情况当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AR系统支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误均衡的出现负载均衡原理图1智能负载示意图3.1.3.6,多业务的安全性FITAP解决方案提供多

18、种业务不同网络层面的安全保障，体现在:层次体系主要技术解决的问题物理接入WEP64/128、TKIP、CCMPm密可升级支持WAPI加密防止无线报文被监听和篡改SSID隐藏解决不明用户访问网络逻辑链路802.1x/PSK/MAC/Portal多种认证方式的混合接入802.1x支持PEAP/TLS/TTLS/SIM多种模式可升级支持WAPI认证用户身份鉴别和安全准入动态卜发用户的权限业务隔离Hotspot用户隔离限制用户互访黑名单限制恶意用户网络无线入侵检测系统非法设备的检测、无线攻击的告警和规避安全策略在无线控制器统一部署避免在大量的无线接入点部署策略AC和AP间的CAPWA隧应下行流量限速防

19、范外界对AP的数据流量攻击IPSECVPN端到端的女全加管资源绑写(MACESSVLANPort)尽可能防止假冒设备AP本地不再保存配置信息避免设备丢失造成配置泄漏AP身份认证只有合法的AP才能和无线控制器建立关联AP支持多无线控制器的冗余备份无线控制器down机不会造成无线网络的瘫痪网管无线安全策略配置无线安全策略的统一部署非法设备监控和告警非法设备的检测、无线攻击的告警和规避设备信道调整告警了解设备遭骨干扰后的信道调整情况3.1,3.7,集中管理控制AP功能Fit（瘦）AP和无线控制器系统有非常强大的集中管理功能，所有的关于无线网络的配置都可以通过配置无线控制器器统一完成。例如开通、管理、

20、维护所有AP设备以及修改移动终端信息，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户等所有功能。另外无线控制器还可以通过堆叠技术不断进行升级，增加可以管理的Fit（瘦）AP的数量3.1.3.8,智能化易管理3.2. 网络覆盖范围根据客户需求覆盖范围包括：员工宿舍2/3栋3.2.1. 设备点位表ftg企业级双频吸顶AP无线控制器出口网关16口PO,换机24口PO或换机员工一层00000员工二层80000员工三层91120员工四层90000员工五层90020员工六层90000管理一层120000管理二层120000管理三层120003管理四层120000管理五层120000管理六层12

21、0000合计11611433.2.2,网络点位设计图3.3. 设备安装布放注意事项室内AP覆盖需考虑及遵循以下几个问题和原则：(1)需要有线缆资源(五、六类线等)。(2)保持信号穿过墙壁和天花板的数量最小。2.4G信号能够穿透墙壁和天花板，然而，每一面墙壁和天花板都将使AP信号的覆盖范围减少1到30米。应放置AP于合适的位置，使墙壁和天花板阻碍信号的路径最短，损耗最小。(3)考虑AP和覆盖区域之间直线连接。注意AP的放置位置，要放置在布点宿舍的天花板正中央，尽量使信号能够垂直的穿过(90度角)墙壁。(4)不同的建筑材料产生不同的传输效果。由金属的框架或门构成的建筑物会使WLAN5线信号的传输距

22、离变小。放置AP的位置应使信号通过干燥的墙壁或敞开的门，避免放置在使信号必须通过金属材料的位置。(5)AP安装位置需远离电子设备(起码12米)，例如微波炉、监视器、电机等。(6)相邻AP之间信道需要在不同频段。障碍物对2.4GHz衰减量(dB)对5GHzg减量(dB)4.5cm厚金属门13254.5cm实木门6104.5cm中空门474.5cm内部隔断墙469cm砖块61045cm混凝土墙183070cm混凝土外墙45531.5cm玻璃隔断812表12.4G/5GHz电磁波对于各种介质对无线信号衰减的经验值建筑物的混凝土墙壁对信号的损耗非常大。从实际经验来看，WLAN勺信号很难穿过两堵墙后还能

23、保证覆盖效果。故而本项目采用每3个房间共用一个AP的布设模式。(7)每个不同格局的施工环境，施工首日就要认真熟悉环境，把设计图中需要注意的部分整理出来。(8)走廊内如有走线要铺设pvc线槽。根据对现场原有桥架的观察，走线管时需以扎带(或铁丝)与码子两种方式固定线管。(9)网线如通过袭洞进入房间，洞周围痕迹要处理好，布线全程套管沿着墙壁上方走，线头无裸露。(10)上下楼层之间如有袭洞的话一定要处理好洞口的封堵，不能有渗水的隐患。(11)所有网线进入机柜前必须理好、网线两端均需标好专业标签。且网线均需由下往上进入机柜，机箱内必须布有散热设备(小风扇等)。(12)机柜布设要考虑通风，不能太低，但是也

24、不能置顶，离天花板至少要有30CR!且机柜两边不能有墙挡住(以防散热不好)。(13)布线时所有网线需预留有足够的长度，不能用转接头。(以防由于长期扭曲使得水晶头或者网线损坏)(14)原则上遵循一层楼的AP集中接某一个POEfc换机，多出的再接下一个交换机，不能多层AP无顺序混接。(15)如施工有难度，一定要及时联系相关负责人，施工期间，可以袭洞的时间和需袭洞的地方，与相关人员确认。(16)电线需由零线、火线、地线组成，接入电表或者电闸时，需电工协助。(17)施工当日，施工负责人必须对照设计图，跟项目相关人员确认后，方可开始施工。4 .售后服务和技术支持我公司本着用户至上的原则，凭借雄厚的技术实

25、力、快速反应及就近服务的售后服务网络，竭诚为甲方提供高性价比、稳定的系统和贴近客户需求的解决方案，提供专业、及时、高效、全面的售后维护和技术支持服务。4.1. 售后服务范围(1)包括我方为甲方指定园区宿舍所布设的整个无线网络环境内的无线设备、交换机、路由器等的定期巡检和维护、系统升级等。(2)园区内无线网络体验的整体优化和定期巡检。(3)对于甲方在服务期内临时增加的其他有关服务。4.2. 服务内容针对服务期限内无线网络设备使用中发生的各种软硬件故障，我司负责提供技术支持和现场服务，直至排除故障；对于园区员工恶意损坏带来的设备损失和甲方新增的各项服务，我方将以报告形式将费用和维修方案上交甲方，于

26、甲方确认并付款后解决。如甲方人员要求了解和学习无线管理平台的操作，我方提供技术培训等。4.3. 服务承诺我司承诺为甲方单位提供快速、高效的现场维修服务，具体内容包括：(1)按时上门，在客户报障24小时内上门了解情况和提供服务。(2)现场维修，针对园区内出现的设备或网络故障，携带相应的配件和设备提供维修服务。(3)针对无线网络优化的问题，我司将采用上门现场或网络远程调试方式服务。我司承诺每月向甲方提供一份无线网络定期维护报告。4.4. 服务时间我司办公服务时间：7天*24小时*365天。届时将有项目专员专门负责。4.5. 恢复时间及标准(1)我司承诺软件问题12小时内解决问题；(2)硬件问题的解决时间依硬件提供商的标准承诺修复时间，最迟不超过48小时;(3)恢复标准为软硬件故障排除后，无线网络恢复，甲方各终端设备在具有网络连接功能的条件下能够正常联网使用。4.6. 其他服务期内，甲方如有特殊服务需求时，双方将对服务内容、费用额度、费用计算方式和结算方式进行协商解决，协商结果将以本方案附件形式出现。5 .部分网络设备清单与参数(样本，仅供参考，具体清单需看具体场地需求)5.1. 网络设备清单1网美爰快IKG306口千兆,可节机1500个1Z&