企业无线覆盖方案设计

1、企 业 无 线 覆 盖方案设计2012年11月目 录1需求分析41.1 公司概况41.2 无线企业网络的特点和建设需求42方案设计52.1 设计原则52.2 无线局域网产品的选择71 组网方便82 智能天线技术使得有效覆盖范围广83 Dynamic（动态）PSK和访客服务，无线安全保证84抗干扰能力强96 用户密度高107 安装部署简单方便108 可预测的性能109 全系列11n产品，支持无以伦比的大流量数据传输112.3 企业无线网络设计11231、设计目标1124 设计覆盖范围153 无线覆盖接入点设计153.1 室内覆盖方案1534 无线网络安全规划1635 室内覆盖接入点覆盖区域统计1

2、64 无线AP及相关设备总汇175 RUCKUS企业无线局域网技术特点175.1 Ruckus无线局域网系统架构185.1.1 灵活的组网方式185.1.2 BeamFlex智能天线技术,提高覆盖范围和用户密度，提高抗干扰能力185.1.3 无需更改有线网结构195.2 无线局域网的网络管理195.2.1 集中式统一管理195.2.2无需安装客户端软件195.2.3 RF智能控管205.2.4 多个SSID结构205.2.5故障自动恢复205.2.6网络负载均衡215.3 无线局域网系统的安全管理215.3.1 集中的安全管理215.3.2多种用户认证方式215.3.3 独特的DynamicP

3、SK和访客安全215.3.4无线接入点安全侦测和保护225.3.5无线网络入侵过滤225.4.1 带宽控制与服务质量保证QOS225.4.2 无缝的二、三层漫游236、建成后的效果以及未来应用介绍237、项目相关产品和关键技术介绍237.1Ruckus ZoneFlex 7962/7762/7363系列AP介绍237.2ZoneDirector 介绍241需求分析1.1 公司概况公司目前使用的无线路由和AP设备多为家用级AP，在早期无线还未普及时，这些设备还能够满足用户使用，随着无线的广泛使用，办公区域的无线面临着几个问题：无线信号不稳定，抗干扰性差，设备的数据吞吐量小，性能不好，安全系数低，

4、这些问题，严重干扰了用户对internet的访问，造成用户经常出现无线无法连接，网络数据包丢失严重。公司经常会有来宾用户访问，用以前的无线网络，可以随意访问公司内部的数据，这样也是十分不安全的。结合公司实际情况，建议对无线部署采用分批分期的方式进行建设。具体为：对一些迫切需要无线覆盖的地点优先考虑，例如会议室、高管区域等地方；对一些内部有线节点较为充分的建筑，对这些建筑的室内无线覆盖随后建设。 1.2 无线企业网络的特点和建设需求一般企业无线网络，具有其鲜明的特点：1、 用户密度高，流量巨大：在办公人数多的区域，尤其是会议室，接入无线网络的用户密度很高，应用以数据上传、下载等为主，流量大而且有

5、非常多的小数据包；2、 安全性要求高：无论是用户认证还是信息传输加密都需要考虑，除了保护信息安全，还需要考虑网络本身的安全，防止来自无线网络的攻击和无效资源占用等。必要时，可以定位终端接入网的具体位置。3、 简单的规划，管理，维护，扩展需要尽可能简单：无线网络的规划、点位确定和安装位置需要尽可能简单、方便。维护和扩展更需要直观和灵活。避免需要专业无线人员才能胜任的复杂的安装维护和扩展。4、 集中、智能化管理。相应的无线网络的规划、建设要求为：1、 规模网络部署，集中、智能化管理。会议室集中的区域密集部署、支持大容量信息传输。2、 室内统一覆盖，无缝漫游：对于室内不方便部署以太网的区域或室外区域

6、，可以采用无线MESH的方式进行覆盖，包括从室内到室外的MESH覆盖。3、 超强的性能和流量支持，11n产品要求；4、 稳定性：抗干扰、接入性能稳定可靠的无线网络5、 与有线网络无缝融合(转向安全、稳定、冗余)6、 统一用户接入控制策略，保障网络安全性 2方案设计2.1 设计原则 企业WLAN网络的设计一般要求满足l 网络稳定性和用户接入稳定性，抗无线干扰性好 由于无线的不确定性，稳定可靠的接入对用户体验来讲非常重要。如果无线接入不稳定，那么就失去了其作用。所以要求建设的无线网络在保证覆盖的同时，抗干扰能力要强，保证用户的稳定接入。这样的产品能保证无线的覆盖，又能将附近AP或其他设备产生的干扰

7、降低到最小，保证网络的运行稳定可靠，保证网络畅通。在会议室周围，稳定性尤其重要。l 安全性 无线网与内网及内外网之间的通信均设有不同级别的安全防护措施，保证网络系统不受干扰，正常运行。在网络安全性方面，无线局域网系统要具有与有线局域网同样要求的安全防护措施，无线网的安全性主要从以下几个方面考虑：（1）接入认证：具有支持多种用户认证方式；（2）用户隔离，相同或不同AP下的用户不能直接相互访问；（3） 能检测非法AP和仿冒AP的存在；（5）具有无线电波监控能力，能提供无线入侵侦测。同时具有提供智能化的无线电波自动调控与切换能力，以确保单个AP接入点在发生故障时自动切换到邻近AP，不会影响无线的接入

8、服务，保证业务的安全性。系统要对用户进行权限管理，对恶意危害公司网安全的，列入“黑名单”，禁止其访问网络。l AP的有效覆盖范围广，可支持的用户密度高 AP的有效覆盖面积要大，这样可以在用户非密集的地方减少AP的数量，降低投资成本。同时在密集用户群区域，同时需要支持高密度用户的接入。否则用户会发现他看到AP的信号良好，但却连接不上。会造成大量的投诉和降低用户的体验。由于公司无线部署的地点和用户的密度很高，所以无线网络不能只是强调覆盖，同时要强调单位AP可以支持的用户数。这样才能保证用户的正常使用。这也是目前采用室分系统进行无线AP部署时没有考虑的问题。l 易于规划部署和安装、管理和维护无线网络

9、的规划设计非常复杂，而且使用环境会有变化（如室外覆盖，树叶在不同季节的变化会影响覆盖效果）。所以，选择的WLAN解决方案应该你那个即插即用、集中维护和管理，自动进行配置和无线优化。在网络管理方面，必须具有安装简单、集中控管、智能调控、自动恢复等实用功能，使所建的无线网络可以适应多种环境的变化，可动态、自动调整无线信道和功率以保证良好的应用效果。l 可扩展性 象有线网络一样，随着流量和用户数目的增加，无线网络也需要不断扩展以支持更多的用户和更大的覆盖。无线控制器和集中管理系统要能够支持AP数量扩展的能力。通过一个集中的无线局域网网管平台实现对所有的AP功能的配置和管理，AP既可以提供无线接入，也

10、可设置为无线入侵监控、无线终端追踪定位、无线电波传输分析的工作模式。根据企业无线局域网系统建设要求，无线局域网系统具体建设原则如下：1、采用WLAN控制器及集中管理的体系结构。2、充分利用现有网络结构与资源，AP就近或按需接入有线网络（最近的交换机），并且不改变原有网络结构以及交换机配置。3、充分考虑WLAN的安全性，采用先进的WLAN安全技术保障系统和用户的安全。4、AP的抗干扰能力要强，有效覆盖范围大，单AP用户密度高。5、可预测、稳定的性能。6、无线局域网系统要能方便和灵活地调整与扩充，必要时可以采用MESH技术扩展室内或室外覆盖区域。7、和现有有线网络的无缝集成，如802.1x认证、W

11、ebPortal认证，采用RADIUS、LDAP或者Windows Active Directory系统进行认证等。2.2 无线局域网产品的选择 根据前述企业的具体需求，我们建议使用Ruckus公司的无线局域网解决方案。RUCKUS是无线网络解决方案的专业厂商，作为新一代代无线局域网技术的代表， Ruckus产品采用了不同于传统AP全向天线的BeamFlex智能天线技术、SmartCast和FlexMaster（集中管理系统）ACAP构架。智能天线矩阵系统由多根水平和垂直极化天线组成，可以提供4096种天线模式，系统控制软件利用构建在802.1MAC层协议中的反馈机制不停的为每一个接受设备调整

12、天线模式。通过为每一个接受设备选择一个优化的天线阵列，BeamFlex能够扩展无线覆盖范围和更高的通讯速度，并支持高密度的用户接入。SmartCast技术包括组播流量处理技术、智能QoS和基于“识别应用”的流量自动分类能力。SmartCast的智能模糊控制技术能够从所有流量中自动的识别和区分流量类型，自动的为不同类型流量标记服务类型。这些技术保证了无线网络可以支持稳定可靠的大范围覆盖、高用户密度、多媒体业务支持、无线安全、AP管理控制、RF站址监测、无缝漫游等。Ruckus无线解决方案的智能MESH可以逻辑组网，利用原有企业网络，不用物理布线，部署灵活方便，可扩展性好。1 组网方便无需重新布线

13、或划分VLAN，AP就近接入局域网。在网络的中心或集中交换机处部署无线控制器ZoneDirector，对AP进行同一的AP、用户接入、安全和无线RF管理。这样各区域采用ZoneDirector进行本地无线网络的管理（包括AP配置和状态、软件管理、用户认证、安全和无线RF管理等），而中心FlexMaster对ZoneDirector进行统一管理和监控。ZoneDirector支持多个AAA认证服务器和本地数据库用户服务器。支持WEBPortal认证、802.1x认证等。如果公司现在采用的是802.1x客户端认证的方式，那么现有的用户可以使用同一客户端进行认证接入。 2 智能天线技术使得有效覆盖范

14、围广 Ruckus的ZoneFlex系列AP的天线是由多根水平和垂直极化天线组成的智能天线矩阵系统，系统控制软件利用构建在802.1MAC层协议中的反馈机制不停的为每一个接受设备调整天线模式。通过为每一个接受设备选择一个优化的天线阵列，BeamFlex能够扩展无线覆盖范围和更高的通讯速度。结合11n的BeamForming技术而形成的动态BeamForming，使Ruckus的11n 可以支持更大范围、更多用户和更大流量的应用场合。3 Dynamic（动态）PSK和访客服务，无线安全保证公司职员接入的SSID可以采用独有的动态PSK技术，保证每个人的无线接入的加密密钥都不相同，即保证了信息的安

15、全，也保证了用户间的安全。在启用动态PSK后，当网络用户首先激活自己对WLAN的访问时，一个独一无二、预先共享的key（PSK）就会被自动生成，以用于他们的认证过程（这是被WLAN安装精灵默认激活的）。默认情况下，所有的动态PSK都会在2个月的时间内失效。不过，你可以对PSK的失效进行控制，设定具体何时会对用户提示PSK失效，要求他们重新激活自己的无线访问。动态PSK技术还简化了无线接入的操作：点击一下即可接入。这样，不仅增加了无线网络的安全性，而且大大简化了管理和维护无线网络接入的难度。同时访客服务（GuestPass）缺省和内部子网隔离，在为访客提供便捷的网络接入的同时，保障了网络的安全。

16、4抗干扰能力强智能天线系统通过检测射频和多径问题以及邻居网络噪声带来的干扰，能够实时重新自我配置和调整，使得AP在一个不断变化的环境中从多种不同质量的信号传输路径中立即选择一个最优的传输路径。无论在室内还是室外，由于WLAN采用ISM频谱，在该频带内有众多的设备使用：如蓝牙、无绳电话、游戏机等，同时也包括部署在附近的其他AP。几乎通过跳频来解决干扰问题，而又不想因为缩小功率而减少覆盖范围，Ruckus AP可以通过改变传输路径来避开干扰，保证数据的可靠传输。如下图，AP通过改变传输路径，避开手机的干扰。AP通过改变传输路径，将信号有效覆盖到承重墙后边的区域。6 用户密度高可以同时支持40个以上

17、用户接入，是目前可支持用户最多的AP。单纯的覆盖范围广在用户接入密度高的场合，实际上是个缺点。因为用户会发现他看到AP的信号良好，但却连接不上。会造成大量的投诉和降低用户的体验。7 安装部署简单方便新AP可以自动发现AC或集中管理系统，自动更新软件版本和初始化配置。安装人员无需查看需要安装或更换的AP的版本、配置，无需现场调试和测试，插上电连上线就一切OK了。BeamFlex技术对AP的安装位置没有特殊的要求，可以安装在方便安装（如具有以太网接口的几乎任何地方）。这样不仅方便了安装，还节省了安装成本。另外，内置的MESH技术可以扩展覆盖不方便布线的区域。8 可预测的性能无线和有线的最大不同，在

18、于其不确定性很大，而这点也是无线网络维护和运营的难点。BeamFlex智能天线技术和SmartCast技术使预测AP的性能成为可能。大大降低了维护和运营的成本，增加用户的体验。9 全系列11n产品，支持无以伦比的大流量数据传输 Ruckus具有完整的11n 产品线，包括室内双频ZF7962/ZF7363、室内单频ZF7942/ZF7343和室外双频ZF7762。单频净流量可达200Mbps。独特的动态BeamForming技术可以优化各种11n客户端的性能，为用户提供真正的11n的体验。2.3 企业无线网络设计231、设计目标 覆盖公司内办公区域，为办公提供切实可用的、稳定的无线网络环境。采取

19、先进通行的协议标准：目前无线局域网普遍采用802.11协议栈，无线局域网提供最新的802.11a/b/g/n标准，可以匹配802.11a/b/g/n无线设备，提供稳定的网络通讯服务。室内无线网络的部署：考虑室内实现无线网络的不同情况和特点以及目前学生教室和宿舍笔记本用户数量日益增多的情况，采用合适的无线设备以满足密集接入和大数据流量，以及未来多媒体视频教学的需要。 目标标覆盖区域任意点信号强度>-75dBm；单个AP用户并发数>20个；单个用户连接物理速率可达300Mbps。 施工要求：无线接入点可以根据情况采用本地220V供电或采用IEEE802.3af POE交换机远程供电；综

20、合布线工程必须将所有AP连接到就近有线网设备间。232、设计性能采用智能无线交换网络架构，只需要在企业网络中心机房放置智能无线局域网交换机(AC)，在接入层部署智能无线接入点(AP)，即可完成整网的部署。由于AP本身并不保存配置，所有的控制指令都有AC统一下发，因此无论AP部署于任何的物理位置，都可以与处于网络中心的AC取得联系并被控制，无论是初次安装还是后续更换AP，仅仅需要在需要部署的位置连入有线网络，即可立即在AC的控制下开始工作。考虑到11n已经标准化，以及11n终端设备的普及。为了充分体现无线网络对大数据流量和多媒体的支持，同时保护投资未来不用再升级到11n。建议全网均采用11n A

21、P进行部署。这样网络性能能够提高5倍。设计方案室内覆盖采用Ruckus的ZoneFlex 7363双频802.11a/b/g/n四模AP，室外覆盖采用Ruckus智能ZoneFlex7762双频802.11a/b/g/n四模室外AP。233 认证方式和网络安全 本次提供的产品可以提供同时支持Portal和802.1x的身份认证方式，并可以通过LDAP、RADIUS或者AD和与现有的局域网后台账户联动，实现账号的统一，简化入网方式，并保持统一性。对一些敏感和比较重要的资源，可以采用前述的Dynamic PSK (动态PSK)技术进行认证，及保证了认证的完整性又保证了信息的安全性，维护管理也变得简

22、单方便。234 无线网络内用户的漫游 无缝漫游是无线网络移动性的最佳体现。要求无线网络敷设完成以后能够实现公司内无缝漫游。235 BandSteering（频段引导）在高密度用户环境下，Ruckus无线AP支持一种频段引导的机制，当AP检测到无线用户同时支持5.8GHz和2.4GHz接入，而且工作在5GHz频段好于2.4GHz频段，AP就会引导无线用户使用5GHz频段，通过这种机制将无线用户分布到各个频段，提高网络总的无线性能。 236 AirFairness（空中时间的公平性） Ruckus无线AP支持这项新技术是为了提升无线连接速度快的客户端的无线性能并提高无线网络的整体性能。由于新的11

23、n无线客户端支持短帧聚合等技术优势，吞吐量显得过高，原因1是11n新技术比传统11a/b/g有技术的优势，原因2可能是AP公平性不太够。Ruckus为了提高11n无线网络的整体性能和传统11a/b/g客户端的无线性能，我们采用air fairness无线公平技术，在提高传统11a/b/g客户的吞吐量的同时，也提高了11n无线网络的整体性能。2.3.7 负载均衡负载均衡是网络技术中一项非常实用的技术，即便是在无线网络中，负载均衡也是不可缺少的。这是因为不论每台无线接入点设备一般最大能带20-30个并发客户，一旦并发入网的无线用户数量超过这个上限则无法承载。特别是针对大量的数据传输和视频传输，这样

24、就可以有效的缓解单个无线接入点的负担，有效利用周边整体无线接入点的资源，从而确保每个需要上网的用户的正常数据访问的质量。2.3.8 智能MESH由于室内有些地方布线不方便，或者需要在室外部署AP，但以太网线不好部署或处于安全的原因不能部署。Ruckus的智能MESH可以采用无线中继MESH的方式，无需网线就可以对相应区域进行延伸覆盖。Ruckus的智能mesh网络是一个自组织、自优化、自愈的无线网络，每个AP自动配置，mesh网络部署既快又省心，无需传统mesh网络所需的复杂、令人头疼的射频规划。2.3.9 集中监控与管理 AC可以对全网智能无线接入点的行为和用户信息统一监控和管理，网管人员只

25、需在AC上就可开通、管理、维护所有处于接入层的智能无线接入点设备，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户的访问策略。可以根据不同的类型用户提供不同的账号，新增无线认证系统可以结合标准RADIUS、LDAP目录服务或WINDOWS ActiveDirectory，同第三方认证计费系统互通，直接读取原有网络帐户，实现有线无线统一帐户认证。AC（ZoneDirector）还提供专业WLAN管理平台软件，配套认证系统，提供用户接入日志、用户漫游日志、AP流量日志、AP通断日志等多种管理维护手段，并有效监控无线网络用户网络使用情况。由于公司办公区域较多，集中的网络管理就变得非常重要。

26、Ruckus的FlexMaster集中网管服务器安装在机房，可以直接管理分布在各处的ZoneFlex AP和无线控制器ZoneDirector 。 各个区域可以部署Ruckus无线公司的无线控制器ZoneDirector，统一管理部署在分小区的ZoneFlex AP，而分布在各个区域的无线控制器ZoneDirector 由部署在网管中心的FlexMaster集中管理。这样每个小区可以通过部署在本地的ZoneDirector进行一些本地化的配置，如只服务于该场所的特定的SSID，射频管理，如无线信道的选择，发射功率的调整、负载均衡等。ZoneDirector 1000/3000则可以由部署在网管

27、中心的FlexMaster网管系统集中远程管理。 FlexMaster集中网管系统提供以下基本功能：  (1) “零”配置、即插即用在任何地点的AP和ZoneDirector加电后，能够自动找到FlexMaster网管服务器，主动请求管理，从FlexMaster网管服务器下载配置，自动进行初始化配置。AP或ZoneDirector只需要配置IP地址和指定FlexMaster网管服务器的IP/URL地址，其它的配置都由FlexMaster自动完成。基本做到设备的“零”配置或即插即用。AP或ZoneDirector也可以通过DHCP服务器或DNS服务器自动获得FlexMaster网管服务

28、器的IP/URL地址。 (3)软件升级管理版本的决策都由FlexMaster网管服务器来控制。FlexMaster网管服务器可以定制升级任务，为了不影响用户的正常的网络服务，FlexMaster网管服务器一般可以指定软件升级或配置更新安排在凌晨用户比较少的时间段进行。(4)性能监控和系统日志文件  FlexMaster网管服务器可以实时查询设备状态，显示设备信息，包括：型号, 设备名称, MAC地址, 序列号，Firmware版本, 上次通信事件，组名称等。AP可主动发送事件报告实现设备的实时告警，设备告警、事件、设备日志能够通过Email发送到指定管理员帐号。F

29、lexMaster网管服务器能够查看设备信息和存储日志文件。 (5)各种统计、趋势报表   FlexMaster可以实时显示、定时定期或按需生成各种关于用户、AP、整个系统的使用状况、趋势以及网络状况的报表，为网络管理和维护提供非常有价值的参考。并可以选择Email自动发送相关报表。2310 冗余和业务可靠性、网络高可用性 AC支持无线射频监测和调控能力，当某个AP在发生故障时，可以自动将临近AP的发射功率调整以覆盖故障AP原来覆盖的区域，保证用户的无线接入平滑切换。同时AC采用11备份冗余配置，实时同步配置和状态信息。24 设计覆盖范围企业内楼宇的无线覆盖将采用楼内内置天

30、线AP覆盖模式。通过在相关区域部署无线接入点产品，结合部署的有线网络架构，完成无线网络的上网需求。由于用户密集度和数据大流量的要求，要求采用智能无线接入点产品，采用多入多出MIMO技术的智能天线11n AP，以支持更多的用户和数据传输。AP应选择内置天线（外观不应有天线伸出），同时，包括以太网供电、端口保护、广播风暴抑制、信道智能调整、MAC地址过滤、VLAN划分、基于位置和业务的QoS保证、300Mbps传输速率等多项功能部署，完成办公区域的无线网络覆盖。如对办公区域1、2、3号会议室进行无线覆盖；室内则可以直接布署在走廊附近，通过现有的布线系统与局域网连接起来。ZoneDirector的访

31、客实现可以让访客获得一个临时通行证，接入局域网和Internet，访客离开后或下线后该通行证即失效。同时保证访客和公司内网其他资源的隔离。3 无线覆盖接入点设计3.1 室内覆盖方案根据公司的需求，目前对以下区域进行覆盖。311、5号会议室 5号会议室位置较偏僻，并且墙都是实墙，无线信号在这里基本上都搜不到，所以建议在5号会议室单独放一台无线AP3.12、品三区域品三区域办公人员也较多，平时连接无线的人员多是手机或者PAD，所以考虑在品三区域也放置一台无线AP。3.13、1号会议室 1号会议室人员流动较大，平时办公人员较多，可以考虑在信息部放置一台无线AP。为了分担1号会议室人员较多时，无线AP

32、负载较大的情况，因此考虑在品三区域和市场部区域放置的无线AP进行负载，这样，在保证了品三区域人员和市场部人员能够连接无线的同时，还可以对放置在信息部的AP进行负载均衡设置，当1号会议室人员较多时，连接无线的设备会自动查找其它区域无线信号相对较好的来连接，所有AP考虑采用支持IEEE 802.11a/b/g/n双频AP。3.14、市场部市场部也需要放置一台无线AP，用来供应市场、人事、财务2号会议室等人员连接，这个区域办公人员连接无线多是用PAD或者手机，所以这里的无线AP也可以用来分担信息部所放的无线AP的连接数量。3.15、高管区域高管区域位置比较特殊，位置在整个大楼最里面，所以也是需要放置

33、一台无线AP3.16、33楼前台33楼前台附件有两个会议室，这两个会议室平时使用无线的人数较多，建立单独放一台AP。317 33楼办公大厅 33楼办公大厅大部分多为业务人员，使用的也多是笔记本，部分用户会使用PAD或手机上网，所以也建议放一台AP34 无线网络安全规划SSID、WPA、WPA2、VLAN等一系列技术的运用，将有效的提高无线网络的安全防御能力。本此规划中，将按照层次化的设计理念，完成四川农业大学的无线网络安全需求。SSID（无线标识符）是用于无线终端与接入点匹配以获得通信的明文密码，对于初级安全防范有一定作用，且配置快速简单，非常适合室外无线覆盖使用。尤其是启用了目前先进的SSI

34、D广播禁止功能之后，由于空中不再广播明文的SSID号码，使得那些拥有截获SSID密码的无线终端非法访问网络。 对于内部用户，可以建立一个SSID和长期使用的密码，便于用户每次在登陆时不用在次输入密码；对于外部来宾访问的用户，可以设置一个单独的SSID，密码使用动态更新，对于这个密码可以做时间限止，每次在连接上SSID后，通过登陆网页，输入随机的密码，即可上网，同时可以对外来人员做访问限止，不允许他们访问公司内部的网络，这个动态密码可以向IT人员询问。35 室内覆盖接入点覆盖区域统计各个AP具体位置及覆盖区域如下表所示：办公区域覆盖范围安装位置AP数量5号会议室5号会议室5号会议室1品三区域品三

35、区域+SAP区域+3号会议室品三区域11号会议室1号会议室+信息部+财务部+奥尔玛部信息部1市场部市场部+审计部+人事/行政部市场部1高管区域高管区域+财务高管区域133楼前台33楼两个会议室33楼前台133楼大厅33楼大厅办公室33楼大厅中央14 无线AP及相关设备总汇设备名称型号数量备注无线AP控制器ZoneDirector30001机房室内双频11n APZoneFlex7363（11n）7室内FlexMaster软件FlexMaster服务器PoE交换机6可选。可以采用外置电源供电5 RUCKUS企业无线局域网技术特点 传统无线局域网技术采用单纯的AP实现无线接入，基本上没有其它功能。

36、只有基本的管理和安全控制功能，无法在网络层面对用户的安全、抗干扰（包括相互之间的干扰）和无法实现对无线电磁波层面的调控和优化。另外由于无需交换机的瓶颈问题，所以当采用11n或用户接入数量 (IP sessions)增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。新一代代无线局域网技术采用集中管理和控制，智能天线和多媒体QoS技术，实现了基于无线网络控制器，集中管理，以AP为单元的无线网络系统。作为新一代代的Ruckus无线系统采用了FlexMaster集中管理Wireless ACAP构架，将密集型的无线网络和安全处理功能转移到集中的 WLAN AC和中心管理平台上，同时加入了许多重

37、要新功能，诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos保证。5.1 Ruckus无线局域网系统架构5.1.1 灵活的组网方式无需重新布线或划分VLAN，AP就近接入局域网。在机房部署无线控制器ZoneDirector，对AP进行同一的AP、用户接入、安全和无线RF管理。AP接入局域网后，如果需要也可以在机房部署FlexMaster集中管理系统。这样各区域采用ZoneDirector进行本地无线网络的管理（包括AP配置和状态、软件管理、用户认证、安全和无线RF管理等），而中心FlexMaster对ZoneDirector进行统一管理和监控。5.1.2 BeamFlex智能天

38、线技术,提高覆盖范围和用户密度，提高抗干扰能力AP的天线是由多根水平和垂直极化天线组成的智能天线矩阵系统，可以提供4096种天线模式，系统控制软件利用构建在802.1MAC层协议中的反馈机制不停的为每一个接受设备调整天线模式。通过为每一个接受设备选择一个优化的天线阵列，BeamFlex能够扩展无线覆盖范围和更高的通讯速度。这一技术将大大减少用户在热点地区AP的部署数量，节省用户的投资。可以同时支持40个以上用户接入。单纯的覆盖范围广在用户接入密度高的场合，实际上是个缺点。因为用户会发现他看到AP的信号良好，但却连接不上。会造成大量的投诉和降低用户的体验。智能天线系统通过检测射频和多径问题以及邻

39、居网络噪声带来的干扰，能够实时重新自我配置和调整，使得AP在一个不断变化的环境中从多种不同质量的信号传输路径中立即选择一个最优的传输路径。在办公楼中，由于AP众多，在每个频道都有多个AP，因此无法通过跳频来解决干扰问题，而又不想因为缩小功率而减少覆盖范围，Ruckus AP可以通过改变传输路径来避开干扰，保证数据的可靠传输。5.1.3 无需更改有线网结构无线用户的传输和采用有线的方式是相同的，所以实际上无线用户的VLAN是无须在接入层和汇聚层存在。无线用户的VLAN是可透过接入交换机和骨干交换机互连互通。这样非常方便在局域网里实施无线局域网，同时也非常方便进行扩展。RUCKUS的ZoneDir

40、ector可以安装在公司机房，而AP则可以放置于公司的任何地方，无需用二层设备连到ZoneDirector，或者划分VLAN；其他厂家则需要二层交换机连接或者划分VLAN，否则只能将认证点下放到AP上，导致整体性能的降低和漫游特性的缺失。不用划分VLAN，对于企业无线网的管理带来极大的便利性。对原有的有线网路由器不需要改变路由结构，减轻了由于无线网的建设而对原有网络的结构改变的工作量。5.2 无线局域网的网络管理5.2.1 集中式统一管理Ruckus系统具有非常强的无线局域网集中管理功能，通过ZoneDirector或FlexMaster可用管理整个网络，网管人员只需在ZoneDirector

41、就可开通、管理、维护所有AP设备以及移动终端，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。 5.2.2无需安装客户端软件如果采用WebPortal认证，Ruckus系统无需为每一个移动用户终端安装无线接入软件， Ruckus的认证可以基于WEB页面认证，认证只需用户打开浏览器就可以登陆。5.2.3 RF智能控管Ruckus系统的RF智能控管可以自动调节网上所有Ruckus AP的电波特性， 优化的无线电波运行环境。Ruckus系统的RF智能控管可以自动对网上所有Ruckus AP的无线电波管理。Ruckus ZoneDirector可以对整个无线网上的电波情况侦测和记录。当某一

42、覆盖范围内的无线电环境发生改变，如出现干扰AP所发出的无线信号或其它设备所发出的无线信号等，Ruckus ZoneDirector就会把所获取的无线信号资料做分析，以确定是否需要调整这范围内AP的无线发射信道等参数。5.2.4 多个SSID结构Ruckus系统的多SSID结构和和实现技术使得在Ruckus无线局域网系统的各种多媒体应用服务（数据、语音和视频）在Qos上表现非常出色。在一个无线局域网内可以设置多个SSID，例如一个SSID可给公司内部员工使用，而另一个可给外来的访问客户专用。所以当无线终端在这个AP覆盖范围内启动时，它就能同时看到多个SSID。SSID的另一用途是可让无线终端以不

43、同的安全认证和加密方式入网。5.2.5故障自动恢复传统的无线网在有AP损坏或失效时，这个AP的覆盖范围就会失去了无线连接。遇到这种情况的一般做法就是把现场失效的AP换掉。但由于大多数的AP都是设置在外面(不是在机房)，所以不一定能马上作更换，现场的环境也有局限性，不一定很容易维护人员即时做出更换(很多的AP都是安装在天花板上)。Ruckus系统具有自动恢复的功能，实时侦测出网上AP是否有失效，当发觉有AP出现故障时，ZoneDirector能会自动调节邻近的AP的功率（覆盖范围）来接替失效AP的工作。5.2.6网络负载均衡Ruckus系统可在一个AP的覆盖范围内把无线用户或终端分散连接到附近的

44、AP上。在一个AP的覆盖范围内，无线连接的带宽是共享，即无线终端数目越多，每个终端所能分享的带宽就越小。要确保每个无线终端的传输就必须能限制一个AP上无线终端的数量或AP带宽传输总和或和每个无线终端带宽上限。5.3 无线局域网系统的安全管理5.3.1 集中的安全管理Ruckus无线系统的安全管理是汇聚到Ruckus ZoneDirector上来完成的，解决了传统的无线网对安全的分散管理（AP、AC）和能力，给用户带来的不安全感，摆脱了对有线网安全的依赖性。5.3.2多种用户认证方式在Ruckus无线系统中，一个无线用户进入无线网以后，会拿到一个最基本的入网权限，这个权限不容许用户访问任何网段，

45、只让用户通过DHCP获取IP地址、传送DNS协议数据包，通过认证以后才可以接入无线网。Ruckus无线系统支持目前各种用户认证的方式（802.1X、WEB认证、MAC、SSID、DynamicPSK、GuestPass等），用户可以根据需要方便选择。5.3.3 独特的DynamicPSK和访客安全ZoneDirector还具有专利的DynamicPSK技术和访客控制技术，与以往其他产品不一样，Ruckus ZoneDirector将实现可靠的无线安全机制自动化。Ruckus ZoneDirector和ZoneFlex AP内置Ruckus专利的动态PSK技术将无线安全实现过程自动化以确保用户认

46、证的完整性。第一次用户只需将其设备接入到LAN，通过俘获门户（Captive Portal）将用户定向到一个URL进行一次性认证。基于该认证，ZoneDirector自动为用户配置指定的SSID和一个唯一的、动态产生的密钥。该密钥过期后可自动地被删除，或在用户不再被信任时人工删除。Ruckus ZoneDirector可使用本地认证数据库或外置的认证系统如RADIUS、LDAP和ActiveDirectory集中管理网络中所有 ZoneFlex AP用户的认证和授权，提供网络系统级的安全访问控制。这个功能对维护企业网内用户的认证安全是非常方便和灵活的。ZoneDirector的访客实现可以让访

47、客获得一个临时通行证，接入局域网和Internet，访客离开后或下线后该通行证即失效。同时保证访客和局域网其他资源的隔离。5.3.4无线接入点安全侦测和保护采用Ruckus 无线系统的RF侦测功能和保护机制可以实时监测局域无线网覆盖区域内的所有AP接入情况,如相邻房间的AP、设置错误的AP以及未经认可而连接到网络中的AP。通过Ruckus 的网络安全管理系统，网络安全管理人员可以及时发现是否有非法的AP接入。5.3.5无线网络入侵过滤今天已经有很多的无线入侵和攻击的工具可从网站下载，这些工具的普及对公司、和运营商的无线网的安全构成很大的威胁。今天绝大部分的无线局域网都没有侦测无线入侵的功能，所

48、以当受到像无线DOS攻击时，就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击在会导致用户的无线连接断线，但网管中心仍然不知，用户则误以为是网络问题，间接影响无线网系统的品质。Ruckus 无线系统的特点是将具有异常的接入请求和一定时间内多次认证不通过的用户列入黑名单并暂时阻止其接入。5.4.1 带宽控制与服务质量保证QOSRuckus无线系统的带宽管理能力使得在移动音视频应用方面表现出很强的优势。Ruckus无线系统可在每个用户的权限限制内用户无线连接的最高带宽。自动对于不同的IP服务，对不同的业务自动设置不同的队列。5.4.2 无缝的二、三层漫游Ruckus 无线可以支持无线接

49、入用户在 AP、WLAN 交换机、多子网以及多VLAN 之间无缝地漫游，而且不会丢失连接，也不需要重启DHCP。无线网络不需要对现有网络进行任何改变就可以实现这一切。其他厂家一般只能实现二层漫游。跨网段时需要二次认证，导致丢包或者很大延迟。而Ruckus的漫游性能极佳，保证了语音的流畅。这种技术可以确保无线语音业务可以无缝的在AP间漫游，而不会发生掉线，是语音业务的质量保证。6、建成后的效果以及未来应用介绍这次无线局域网建设分为2大部分，无线设备安装调试、综合布线。计划覆盖从5号会议室、品三、SAP区域、3号会议室、拓展部、前台、奥尔玛、信息部、1号会议室、2号会议室、市场部、审计部、人事行政部、营运部、财务部和高管区域无线网络覆盖架设以后，其功能及用途是多样化的。它是基于高科技的网络技术，它不仅能取代所有有线网络能实现的功能，他独特的“不需要线缆及构架简单”的优点，使许多有线无法实现和很难实现的网络建设成为轻而易举的事情。这足以可见无线网络技术应用的领域是非常广泛的。7、项目相关产品和关键技术介绍7.1 Ruckus ZoneFlex 7962/7762/7363系列AP介绍 Ruckus无线ZoneF