无线局域网设计原则和技术需求

1、企业无线覆盖解决方案济南*公司办公楼无线覆盖网络建设方案济南骏萨信息科技有限公司2017年4月目录一、济南*有限公司无线局域网建设需求11.1 项目背景和需求11.2 网络规划拓扑示意图21.3 无线AP部署设计21.4 方案设备推荐31.5 用户上网行为功能描述：4二、无线局域网设计原则和技术需求62.1 遵循标准62.2 技术成熟62.3 安全可靠62.4 可扩展可升级72.5 易管理易维护72.6 技术需求7三、NETGEAR能无线网络的典型常用的功能8四、以太网PoE供电交换机10五、关于我们12国企业无线覆盖解决方案一、济南*公司无线局域网建设需求1.1 项目背景和需求此次无线局域网

2、项目是针对*有限公司（以下简称济南*）办公楼区域，进行无线局域网的覆盖，以满足现在和未来可能的数据、语音和视频多方面的网络应用需求。根据目前与济南*管理人员的沟通和对现场场地环境的勘察和综合分析，方案所设计的无线网络将提供高速、稳定、安全的无线信号覆盖接入，未来覆盖区域可在此基础上轻易扩展到整个建筑内的办公区域，走廊区域，以及室外“热点”公共区域等的无线覆盖。此次的方案设计将根据无线网络的高速接入和安全特性，设计针对无线覆盖所涉及的全方面，多层次的和应用相关的技术，来介绍如何实现随时随地的网络资源共享访问，提供安全，可靠的无线访问接入控制和管理。所设计的无线网络平台将是一个多业务，多应用的平台

3、，可以支持数据和语音的同时接入。针对内部办公人员和外来人员采取不同方式认证，安全稳定的接入无线。为加强对网络安全和网络应用的管理，符合公安部规章制度，我们在网络的出口处安装一台防火墙，用以保障整个网络的安全运行，避免病毒或者黑客的恶意攻击。同时为了记录用户上网行为以及防止用户非法接入和非法使用路由器，在网络中安装一台专业级上网行为管理设备，对上网用户进行认证和上网行为进行记录。做到防患于未然。31.2 网络规划拓扑示意图sa2.iin无线控制器internet防火端投资管理有阳公司网络架构上网行为管理°二无线AP U有线而绛悔心交换机千兆光纤IdOOMBatir-TPOE交疑机无线即

4、办公楼整个网络拓扑如上，运营商光纤依次连接到我们配置的防火墙-上网行为管理-核心交换机-接入交换机-无线AP,无线控制器连接到核心交换机上，之间的线缆建议用户采用六类线连接。接入交换机采用POE供电交换机，以便对AP进行供电。1.3 无线AP部署设计针对此次济南*办公楼预建设的无线局域网覆盖区域，我们随相关领导进行了先期的技术谈论，现场勘察，和预规划设计，需要实现无线覆盖的区域为：一层至四层两条走廊区域以及公共区域等。而且需要考虑移动终端实际同时接入的无线网络用户数量，所以在方案设计中需要考虑到无线设备的性能和无线网络的造价及可扩展性。根据对建筑楼的建筑材料，建筑结构和周边环境的观测和分析，我

5、们建议在指定位置部署无线接入点AP来提供相关区域的无线覆盖。根据现场情况，我们按照每层布设6个AP进行覆盖。无线AP建议采用NETGEARWAC740|AP.NETGEARPremium802.11ac4x4Wave2无线接入点，专为要求高密度和卓越性能的企业设计.WAC740采用多用户MIMO,可以在2.4GHz频段实现高达600Mbps的速度，在5GHz频段实现高达1.7Gbps的速度.WAC740支持以太网供电，具有2个以太网端口,其中一个多千兆端口可以处理高达2.5Gbps的吞吐量，实现单线连接多千兆交换机，方便接线安装，该设备是目前世界上最具先进性能的一款设备。接入交换机采用具有以太

6、网供电特性的PoE交换机，型号为GS510Tp该交换机可以提供8个POE供电接口，2个光纤上联接口。可以为每层AP提供以太网线供电和网络连接；（AP数量见下表）：区域AP型号和数量PO或换机数量一层WAC7406台1二层WAC7406台1三层WAC7406台1四层WAC7406台1PO或换机GS510TP4台NETGEA砒能无线网络主要体现以下几点优势:NETGEARWAC7射入点提供了WLAN户所需的多功能性、高性能、安全性和工业级特性。这些IEEE802.11ac接入点内置阵列天线设计而且专为需通过所连天线提供多种天线功能、高带宽，高稳定性环境而设计的，此款AP可独立工作在FAT（胖）模式

7、，也可以和智能无线控制器配合工作在FIT（瘦）模式，提供了极大的可用性和投资保护性；无线AP通过GS510Tp802.3af千兆以太网交换机网线远程供电,PoE交换机均由千兆六类网线上连至核心三层交换机处NETGEA吸线控制器为整个无线网络提供了基于中国国家安全WLAN加密标准-WAPI的支持，它也同样支持基于WI-FI组织标准的802.11i和WPA2-E安全标准.如果有一些重要的业务需要通过WLAN网的话，提供了集中式的无线管理，分布式的AP部署，综合了无线的灵活性，强大高端的安全性能，丰富的管理应用如快速漫游、支持Wi-FiVoice,来提供整个WLAN网络信号加密传输的数字签名和认证。

8、1.4 方案设备推荐1 .整个网络如拓扑所示，整个网络方面建议增加一台NETGEARProsafeM4300系列核心交换机，作为整个网络的数据汇聚中心，将所有无线POE和有线交换机通过网线汇聚到核心交换机。2 .出口建议放置一台网域下一代防火墙ACF40Q作为整个网络的安全出口。下一代防火墙面向应用层设计，具备强大的防护功能，全面代替传统防火墙，同时产品解决了多链路流量分担的问题，能做到应用流量的负载分担，可以为不同行业用户提供精细、全面的保护，使企企业无线覆盖解决方案业网络免受攻击，提升了整个网络的安全性。3 .针对整个无线网络接入安全以及无线网络的审计，我们建议在整个网络中放置一台网域上网

9、行为管理设备。无线安全接入：内部员工接入无线通过各自用户名密码认证上网，外来用户通过微信认证上网。同时上网行为管理包含网页/搜索引擎/论坛和微薄/文件外发/邮件等记录及过滤；用户管理和身份认证；智能协议识别（P2P下载、在线视频等）、流量实时监控、带宽管理、7层应用限额管理；防火墙，黑白名单管理，邮件告警、高可靠性（HA）,VPN以及多链路负载均衡功能，详细的流量和行为分析报表等功能。4 .我们在方案设计中可推荐放置一台NETGEAWC760优线控制器产品,对无线网络中所有无线AP进行集中管理控制及配置下发，同时具有无线负载均衡，无线热图等功能，为客户提供理想的、广泛的、安全的、可管理的、全局

10、性的无线局域网部属的安全支持。NETGEA就线控制器WC760弹台最大支持1500个AP管理，单台控制器最大管理500个AP。WC760提供了集中式的无线管理，分布式的AP部署，综合了无线的灵活性，强大高端的安全性能，丰富的管理应用如快速漫游、支持Wi-FiVoice。最后，WC760提供了企业级的接入和安全的无线局域网连接。5 .建议客户使用NETGAE帮能无线管理软件NMS300WE沸面的网络管理，界面友好、功能丰富、操作简单，使网络管理者能在最短的时间内掌握无线网络的基本配置和管理。另外内置的网管功能，还可以提供众多强大的无线网络管理功能，其中包括AP批量配置、管理和告警等，实现针对无线

11、覆盖空间内的射频扫描、非法接入点监听等安全功能。并对设备提供实时性能数据的查看功能，使用户了解当前网络运行的基本情况和性能状态，从而预防网络事故的发生，预测网络运行状态，有助于用户对网络的管理运营进行合理的规划。1.5 用户上网行为功能描述：产品简介NetSysAC-Q上网行为流量管理系列产品拥有丰富的上网行为管理审计和专业的流控功能。上网行为方面，可以对用户URL邮件、论坛、搜索引擎、FTP/HTTP文件上传/下载等进行过滤、管理控制、记录日志等。在流控方面，以DPI（DeepPacketInspect,深度包检测）及DFI（动态流状态检测）技术为核心，支持500多种应用协议识别，能够精确到

12、对每个会话的数据包的检测和控制。根据核心的带宽自动分配算法、流量优先级、随机公平队列等，提供了最大带宽限制、保障带宽、预留带宽等一系列强大的带宽管理功能，在此基础上集成了强大的状态检测防7火墙功能，保护了网络免受攻击，提升了整个网络的安全性主要功能介绍：1、上网行为管理功能哪个部门哪个员工能上网。上班时间/休息时间/上午吓午可以上网。不可以访问色情、在线视频、游戏等网页。允许访问如发邮件、上传文件等等。2、流量控制功能通过专业的带宽管理和分配算法，NETSYST以全面提升流量管理的灵活性、稳定性及安全性，让网络资源更紧密的与业务发展整合，为企业带来最大效益通过DPI/DFI技术，AC-Q能精准

13、识别500多种应用协议，对P2P下载、网络电视等消耗带宽资源严重的协议进行有效的封堵。通过对关键应用（VOIP、OA）、重要用户/用户组的带宽保障，保证了公司正常业务的良好运作。3、完善的审计报表功能记录访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG发表的内容各种搜索记录等所有上网记录均可完整再现。电子邮件审计、Webmail网页邮件内容全面记录，包括正文和附件。即使通讯审计（QQ、MSN、雅虎通、ICQ等，支持大部分聊天工具）（线路流量、应用流量、用户流量、网站访问流量）日报、周报、月报以及自定义报表统计信息。4、链路备份以及负载均衡功能网域科技自主研发的高

14、效负载均衡算法，支持按照源IP轮询、会话轮询、线路负载、最佳路径等多种链路自动均衡算法。选择最佳链路，保证用户访问互联网的速度。提供TCRUDPICMRHTT邛多种丰富链路侦测机制，还可以根据客户需求自定义侦测机制来配合多出口链路的健康，实现链路故障自动切换。5、即插即用功能开启即插即用功能，不论基电脑IP地址、网关，DNS服务器怎样配置，都能实现客人的电脑插上网线即可正常上网。方便了客人的使用，也降低了酒店的运作成本。NETSYS设备还可以管理、监控、查询、过滤酒店客人的上网行为，规范上网行为，预防网络违法犯罪，保障网络信息安全。通过绑定房间号来绑定账户，通过这一一对应的关系直接定位到人。7

15、、VPN功能VPN支持：支持IPSecVPN、PPTPVPN功能。IPSECVPN利用公共网络资源，建立安全可靠、经济便捷、高速传输通道，主要是用于总部和分支、分支和分支等的安全互联。PPTP是一种支持多协议虚拟专用网络的网络技术，它工作在第二层。通过该协议，远程用户能够通过Windowsxp、Windows2000和windows2003操作系统以及其它装有点对点协议的系统安全访问公司网络，并能拨号连入本地ISP,通过Internet安全链接到公司网络。8、多种身份认证方式用户身份认证有两种方式：客户端认证和免客户端认证。上网行为管理设备支持免客户端的WEB认证，即通过浏览器就可以完成全部的

16、认证。上网行为管理设备除了支持本地的用户名/密码的认证外，还可以结合LDAP、AD域、Radius、POP3等外部服务器实现用户的身份认证。上网行为管理设备也支持多种认证方式的混合使用，可为不同的用户配置不同的认证方式，实现用户的差异化管理。比如，微信认证、短信认证、用户名称和密码验证等。二、无线局域网设计原则和技术需求2.1 遵循标准无线局域网采用的技术支持应为国际标准或业界标准，不应使用或被某个厂商的专用技术和协议所局限，需要确保网络设备的兼容性和互通性，有利于网络设备的投资保护。2.2 技术成熟无线网络要求其与传统有线网络平滑融合，要求有高速，集中管理性，安全性和智能性，使当今的无线网络

17、有了一个质的飞跃，为更多的应用和移动终端通过无线局域网络成为可能.基于分布式数据处理架构的智能无线系统出现了，它代表了第三代无线网络架构的典型特点；将管理和业务数据处理分离，通过AC集中控制和管理FAT/FITAP一体型的AP,提供用户集中的认证和管理；网络流量负载均衡,RF信号自动调整和优化等，而更多的业务数据处理交由前端AP来处理，使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高，使建设运营商级，园区级,大型无线网实施和部署成为可能。2.3 安全可靠在网络安全性方面，智能无线局域网系统同样要求有严格的安全控制和策略，可以从下几个方面考虑：(1)接入认证：具有多样化的终端设备认证

18、方式；(2)数据库：兼容当前多种流行的认证数据库(3)提供集中配置和管理多个安全策略和机制(4)具有基于RF的非法攻击和防御；(5)具有无线电波监控能力，可根据时间计划开启/关闭射频信号；(6)RF的有效监控，比如AP当前RF状态，信号干扰和健康状态；具有提供智能化的无线RF信号的自动调控与切换能力，以确保单个AP接入点在发生故障时自动切换到邻近AP,不会影响无线的接入服务；具有支持热备份的无线交换机N+1的冗余备份机制。2.4 可扩展可升级通过一个集中的智能无线局域网网管平台实现对所有的AP功能的配置和管理，AP既可以提供无线接入，也可作为无线入侵监控、无线终端管理、无线电波传输分析的功能。

19、同时整个系统可以根据用户的需要进行规模上的扩展，扩展后所有功能和管理的模式保持不便。2.5 易管理易维护在网络管理方面，必须具有集中控管、智能调控、自动恢复、负载均衡等实用功能，使所建的无线网络可以适应多种环境的变化，可动态地保证良好的应用效果。同时，还应具有远端AP数据进行采集、远程监控等功能，支持多SSID,可以方便的把语音、视频以及其他类型的数据的应用进行分开管理。2.6 技术需求根据无线局域网系统建设要求，无线局域网系统建设原则如下：1、采用最新标准的无线网络交换技术及分布式交换体系结构。2、无线局域网采用用户名密码及微信认证相结合的方式对无线用户准入。3、采用集中控管的组网方式，集中

20、控制管理所有的AP。4、AP的供电可以不单独拉电源线，采用POE供电的方式。5、采用先进的WLAN网管系统管理局域网。6、充分考虑WLAN的安全性，采用先进的WLAN安全技术保障。7、无线局域网系统要支持故障热备冗余能力。企业无线覆盖解决方案8、无线局域网系统要能方便和灵活地调整与扩充。三、NETGEAR智能无线网络的典型常用的功能AP"零”配置的集中式管理通过NETGEA用能无线控制器对AP间实现集中管理和自动配置。通过使用该功能，智能无线控制器可以将其所管理AP的配置文件自动下载到AP上。这样，当在网络中增加新的AP、网络管理者只需在无线控制器上进行统一操作即可轻松完成相应工作，

21、对于更换坏的AP,仅需要直接替换，无需在无线控制器上再配置。这将极大的减轻网络维护人员的管理工作量，并向用户提供即插即用的WLAN军决方案。智能的分布式数据本地转发基于业界领先的智能分布式WLAN&换特性，NETGEAR1能无线控制器支持分布式架构下的AP本地数据转发的工作模式；凭借着优异的集中管理和分布式体系架构，可以提供无线网络最好的802.11N处理性能。为了快速处理，本地传输是在AP处自动快速交换，当L3层漫游通信时，是在控制器上使用先进的数据控制处理.适时的应用，象VoWi-Fi需求跨IP子网间/跨越VLAN间的漫游。智能射频管理智能的射频管理功能，面对WLAN缺的信道资源，

22、能够实时监测周边使用环境，自动的配置所有无线AP射频参数，调整AP的发射功率水平、信道等，尽可能的规避相同或相近频道的干扰，并且这是个持续的过程，保证了每个AP都能在最佳的无线信道上用最合适的发射功率提供服务。#国企业无线覆盖解决方案#当有AP故障，利用周边AP 自动修补RF信号的覆需司自定义MLARF工作时循£比II工件时间段自动工育RF仁号；年“可日/小时/范围）N t I 17 t AKWLANRF自动优化和时间管理自动规避同频干扰自动调整发射功率全面的端到端安全具备强大的安全特性，在无线用户接入方面可提供基于MAC802.1X、Guest临时帐号等多种接入认证方式及严格的用户

23、准入控制策略；可以提供基于802.11i安全特性。内置的非法AP检测可查觉并抑制网络环境中存在的RogueAP及潜在威胁，区分非法AP的分类（善意的或恶意的）；安全参数的配置还包括：多SSID、802.1QVLAN、V802.1i、ACLs,RADIU砌、议等，支持第三方软件执行验证和计费系统。另外，强大的RF信号预定开/关时间，可以根据时间计划开启/关闭无线AP的信号发射，是无线网络在指定的非营业时间完全无法使用。异常流量检测和告警的功能，日志记录、分析、自动备份等功能，可提供更为完善和安全的WLAN）0络应用环境；快速漫游和WIFI语音包才802.11i预认证和快速漫游支持（FRS的快速机

24、制。快速的无缝的L2/L3漫游完全可以满足视屏、语音以及无线语音通讯等延迟敏感应用需要。WMMndSpectralinkSVPQoS可以支持Wi-Fi语音的优先级别设置，最小化Wi-Fi语音传输的时延，提高AP的接入终端容量，加速漫游切换时间，尤其语音的漫游，它会比一般的数据移动传输更有保证。网管软件NETGAERF能无线控制器内置图形化的WEB#面的网络管理，界面友好、功能丰富、操作简单，使网络管理者能在最短的时间内掌握无线网络的基本配置和管理。另外内置的网管功能，还可以提供众多强大的无线网络管理功能，其中包括AP批量配置、管理和告警等，实现针对无线覆盖空间内的射频扫描、非法接入点监听等安全

25、功能。并对设备提供实时性能数据的查看功能，使用户了解当前网络运行的基本情况和性能状态，从而预防网络事故的发生，预测网络运行状态，有助于用户对网络的管理运营进行合理的规划。四、以太网PoE供电交换机PoE(PowerOverEthernet)以太网供电这项创新的技术，指的是现有的以太网CAT-5布线基础架构在不用作任何改动的情况下就能保证在为如IP电话机、无线局域网接入点AR安全网络摄像机以及其他一些基于IP的终端传输数据信号的同时，还能为此类设备提供直流供电的能力。PoE技术用一条通用以太网电缆同时传输以太网信号和直流电源，将电源和数据集成在同一有线系统当中，在确保现有结构化布线安全的同时保证

26、了现有网络的正常运作。大部分情况下，802.3afPoE的供电端输出端口在非屏蔽的双绞线上输出4457V的直流电压、350400mA的直流电流，为一般功耗在15.4W以下的设备提供以太网供电。而802.3atPoE供电输出端口，每端口可支持30W未来可支持60W-100W电力；典型情况下，一个IP电话机的功耗约为35VV一个无线局域网访问接入点AP的功耗约为612VV一个网络安全摄像机设备的功耗约为1012W一个典型的PoE以太网供电的连接示意图如下图一所示:EE骏游信息企业无线覆盖解决方案跣供电技术NETGEARComecf wilh InrwrcMfi"FSM7326PPoE朗爱供电交犊机国际桶器IEEE 8C2 Jsf供电端i史希每端口巷出独心44-57V DC3&0nnA在123万助上同时传触据和世每端口堤端设备精耗功率：最大154啊无纬局城阙排九点AF 典型为5-12W局双网LF电话 典型I为3PWPoE以太网供电为用户