WLAN网络与安全网络项目解决方案

1、78/78 . . WLAN网络与安全网络解决方案版本：1.02010年5月目录 TOC o 1-3 h z u HYPERLINK l _Toc2746468983. 无线网络技术的发展 PAGEREF _Toc274646898 h 5HYPERLINK l _Toc2746468993.1 WLAN协议演进 PAGEREF _Toc274646899 h 6HYPERLINK l _Toc2746469003.1.1. IEEE802.11协议 PAGEREF _Toc274646900 h 6HYPERLINK l _Toc2746469013.1.2. IEEE802.11b协议 P

2、AGEREF _Toc274646901 h 6HYPERLINK l _Toc2746469023.1.3. IEEE 802.11a协议 PAGEREF _Toc274646902 h 7HYPERLINK l _Toc2746469033.1.4. IEEE802.11g协议 PAGEREF _Toc274646903 h 7HYPERLINK l _Toc2746469043.1.5. IEEE 802.11n协议 PAGEREF _Toc274646904 h 8HYPERLINK l _Toc2746469053.2 802.11n技术详细剖析 PAGEREF _Toc274646

3、905 h 9HYPERLINK l _Toc2746469063.2.1. MIMO和空分复用 PAGEREF _Toc274646906 h 9HYPERLINK l _Toc2746469073.2.2. 多频点捆绑 PAGEREF _Toc274646907 h 10HYPERLINK l _Toc2746469083.2.3. 802.11 MAC的优化 PAGEREF _Toc274646908 h 11HYPERLINK l _Toc2746469094. 企业无线网络架构 PAGEREF _Toc274646909 h 13HYPERLINK l _Toc2746469104.

4、1. 组网结构 PAGEREF _Toc274646910 h 14HYPERLINK l _Toc2746469114.1.1. WIBB的部署 PAGEREF _Toc274646911 h 14HYPERLINK l _Toc2746469124.1.2. 无线交换机分布部署 PAGEREF _Toc274646912 h 15HYPERLINK l _Toc2746469134.1.3. 集中部署 PAGEREF _Toc274646913 h 16HYPERLINK l _Toc2746469144.1.4. 集中转发 PAGEREF _Toc274646914 h 17HYPERL

5、INK l _Toc2746469154.2 AP的两层部署和三层部署 PAGEREF _Toc274646915 h 18HYPERLINK l _Toc2746469164.3 VLAN的设计 PAGEREF _Toc274646916 h 19HYPERLINK l _Toc2746469174.4 IP地址的设计 PAGEREF _Toc274646917 h 21HYPERLINK l _Toc2746469184.5 企业AP无线网络覆盖 PAGEREF _Toc274646918 h 23HYPERLINK l _Toc2746469194.5.1 室外覆盖 PAGEREF _T

6、oc274646919 h 24HYPERLINK l _Toc2746469204.5.2 室覆盖 PAGEREF _Toc274646920 h 24HYPERLINK l _Toc2746469214.6 VoWLAN 部署 PAGEREF_Toc274646921 h 26HYPERLINK l _Toc2746469225. 企业所关注的无线网络特性 PAGEREF _Toc274646922 h 27HYPERLINK l _Toc2746469235.1 两层/三层的无缝切换 PAGEREF _Toc274646923 h 27HYPERLINK l _Toc2746469245

7、.1.1位于一样的无线交换机下的两个AP间的无缝切换 PAGEREF _Toc274646924 h 28HYPERLINK l _Toc2746469255.1.2 位于不同的无线交换机下的两个AP间的无缝切换 PAGEREF _Toc274646925 h 29HYPERLINK l _Toc2746469265.2 更可靠以与更便捷部署的MESH网络 PAGEREF _Toc274646926 h 30HYPERLINK l _Toc2746469275.3 普通POE模式下的吞吐量测试 PAGEREF _Toc274646927 h 32HYPERLINK l _Toc27464692

8、85.4网络动态信道分配 PAGEREF _Toc274646928 h 33HYPERLINK l _Toc2746469295.5 Smart RF:网络自愈/自动发射功率调整 PAGEREF _Toc274646929 h 34HYPERLINK l _Toc2746469305.6 网络负载均衡 PAGEREF _Toc274646930 h 35HYPERLINK l _Toc2746469315.7 WMM无线服务质量QoS PAGEREF _Toc274646931 h 36HYPERLINK l _Toc2746469325.8 VLAN Pooling PAGEREF _To

9、c274646932 h 39HYPERLINK l _Toc2746469335.9 高度的安全性PAGEREF _Toc274646933 h 40HYPERLINK l _Toc2746469345.10 高度的可管理性 PAGEREF _Toc274646934 h 41HYPERLINK l _Toc2746469355.11 高度的可靠性 PAGEREF _Toc274646935 h 41HYPERLINK l _Toc2746469365.12 卓越的加密性能 PAGEREF _Toc274646936 h 41HYPERLINK l _Toc2746469376. 无线网络高

10、可靠冗余方案 PAGEREF _Toc274646937 h 41HYPERLINK l _Toc2746469386.1当AP发生故障 PAGEREF _Toc274646938 h 42HYPERLINK l _Toc2746469396.2当链路发生故障 PAGEREF _Toc274646939 h 42HYPERLINK l _Toc2746469406.3当接入交换机发生故障 PAGEREF _Toc274646940 h 43HYPERLINK l _Toc2746469416.4当主用无线交换机和核心交换机链路发生故障 PAGEREF _Toc274646941 h 44HYP

11、ERLINK l _Toc2746469426.5当主用无线交换机发生故障 PAGEREF _Toc274646942 h 44HYPERLINK l _Toc2746469437. 无线网络安全方案 PAGEREF _Toc274646943 h 45HYPERLINK l _Toc2746469447.1 基本的安全考虑 PAGEREF _Toc274646944 h 45HYPERLINK l _Toc2746469457.1.1 侵占无线资源 PAGEREF _Toc274646945 h 45HYPERLINK l _Toc2746469467.1.2服务区标示符(SSID)： PA

12、GEREF _Toc274646946 h 46HYPERLINK l _Toc2746469477.1.3（MAC）过滤： PAGEREF _Toc274646947 h 46HYPERLINK l _Toc2746469487.1.4无线覆盖漏洞 PAGEREF _Toc274646948 h 47HYPERLINK l _Toc2746469497.1.5无线信号干扰 PAGEREF _Toc274646949 h 47HYPERLINK l _Toc2746469507.2 Motorola对无线网络的分析和建议 PAGEREF _Toc274646950 h 47HYPERLINK

13、l _Toc2746469517.2.1无线通讯安全加密 PAGEREF _Toc274646951 h 48HYPERLINK l _Toc2746469527.2.2 防御潜在的无线网络攻击 PAGEREF _Toc274646952 h 49HYPERLINK l _Toc2746469537.2.3 无线网络准入控制NAC PAGEREF _Toc274646953 h 50HYPERLINK l _Toc2746469547.3 无线入侵保护系统-Airdefense PAGEREF _Toc274646954 h 51HYPERLINK l _Toc2746469557.3.1 A

14、irDefense的工作流程 PAGEREF _Toc274646955 h 53HYPERLINK l _Toc2746469567.3.2设备的授权分类 PAGEREF _Toc274646956 h 54HYPERLINK l _Toc2746469577.3.3检测连接至网络的非法设备 PAGEREF _Toc274646957 h 54HYPERLINK l _Toc2746469587.3.4非法AP和用户定位 PAGEREF _Toc274646958 h 56HYPERLINK l _Toc2746469597.3.5 非法AP和非法用户的阻断 PAGEREF _Toc2746

15、46959 h 57HYPERLINK l _Toc2746469607.3.6 LiveView实时远程数据分析 PAGEREF _Toc274646960 h 57HYPERLINK l _Toc2746469617.3.7 无线网络漏洞评估 PAGEREF _Toc274646961 h 58HYPERLINK l _Toc2746469627.3.8 入侵侦测工具 PAGEREF _Toc274646962 h 59HYPERLINK l _Toc2746469637.3.9 无线网络的入侵防御机制 PAGEREF _Toc274646963 h 60HYPERLINK l _Toc2

16、746469647.3.10 降低误判率的机制 PAGEREF _Toc274646964 h 61HYPERLINK l _Toc2746469657.3.11 报警 PAGEREF _Toc274646965 h 62HYPERLINK l _Toc2746469667.3.12 智能型事件管理机制 PAGEREF _Toc274646966 h 63HYPERLINK l _Toc2746469677.3.13 无线网络故障诊断 PAGEREF _Toc274646967 h 64HYPERLINK l _Toc2746469687.3.14 网络数据取证 PAGEREF _Toc274

17、646968 h 66HYPERLINK l _Toc2746469697.3.15 整合有线网络 PAGEREF _Toc274646969 h 68HYPERLINK l _Toc2746469707.3.16 频谱分析 PAGEREF _Toc274646970 h 69HYPERLINK l _Toc2746469717.3.17 Reporting弹性化的报表 PAGEREF _Toc274646971 h 70HYPERLINK l _Toc2746469727.3.18 符合企业的监管政策 PAGEREF _Toc274646972 h 70HYPERLINK l _Toc274

18、6469737.3.19 无线网络仿真PAGEREF _Toc274646973 h 71HYPERLINK l _Toc2746469747.3.20 Airdefense-企业级的可扩展性 PAGEREF _Toc274646974 h 72HYPERLINK l _Toc2746469757.4 有线网络的安全方案 PAGEREF _Toc274646975 h 73HYPERLINK l _Toc2746469768. 无线网络管理方案PAGEREF _Toc274646976 h 76HYPERLINK l _Toc2746469778.1配置管理 PAGEREF _Toc27464

19、6977 h 76HYPERLINK l _Toc2746469788.2性能管理 PAGEREF _Toc274646978 h 77HYPERLINK l _Toc2746469798.3故障管理 PAGEREF _Toc274646979 h 78HYPERLINK l _Toc2746469808.4安全管理 PAGEREF _Toc274646980 h 79HYPERLINK l _Toc2746469818.5备份管理 PAGEREF _Toc274646981 h 793.无线网络技术的发展无线局域网，也被称为WLAN（Wireless LAN），一般用于大楼部以与园区部，典型

20、的覆盖距离从几十米到几百米，而Motorola的一些点对多点的设备可达几十公里，点对点设备甚至可达200公里。目前所采用的技术主要是802.11a/b/g/n。从1997年开始到2009年这12年间，802.11WLAN技术从最早基于调频技术的802.11到最新的802.11n，支持的速率从最早的的2M发展到现在的802.11n的300M(单频)和600M (双频)，吞吐量提高了300倍。在WLAN技术发展过程中，Motorola最早参与制定无线网络标准的厂商之一。Mtorola公司在无线网络技术领域拥有非常高的权威和声誉，是IEEE802.11组织的五大缔造者和核心成员之一；是WiFi组织的

21、主要发起人和召集人；Motorola公司多次当选为IEEE802.11组织的轮值主席。WLAN利用无线技术在空中传输数据、语音和视频信号，作为传统布线网络的一种替代方案或延伸。无线局域网络的出现使得原来有线网络所遇到的问题迎刃而解，它可以使用户任意对有线网络进行扩展和延伸。只要在有线网络的基础上通过无线接入点，无线网络、无线网卡等无线设备使无线通信得以实现。在不进行传统布线的同时，提供有线局域网的所有功能，并能够随着用户的需要随意的更改扩展网络，实现移动应用，无线局域网把个人从办公桌边解放了出来，使他们可以随时随地获取信息，提高了员工的办公效率。对于传统的有线网络，无线局域网的应用价值主要体现

22、在：可移动性：由于没有线缆的限制，用户可以在不同的地方移动工作，网络用户不管在任何地方都可以实时地访问信息。布线容易：由于不需要布线，消除了穿墙或过天花板布线的繁琐工作，因此安装容易，建网时间可大大缩短。组网灵活：WLAN可以组成多种拓扑结构，可以十分容易地从少数用户的点对点模式扩展到上千用户的基础架构网络成本优势：这种优势体现在用户网络需要租用大量的电信专线进行通信的时候，自行组建的WLAN会为用户节约大量的租用费用，在需要频繁移动和变化的动态环境中，无线局域网的投资各有回报。而Motorola的整体解决方案具有更低的成本。虽然有些专家将无线LAN列为“商品”市场，但不同解决方案之间仍有很大

23、的差异，难以进行对等比较。 以成本为例，每个厂商都有自己的公式来证明他们的成本是最低的。在比较基本设备时，可能看不出太大的差异，尤其是作为升级交换式架构的交换，厂商C会提供很低的折扣。不过，当你开始增加必要配置时，你就会看到资金成本以与运营成本之间的差距拉大。这些配置需要年度维护，费用一般是标价的20%，没有折扣。而这些配置是摩托罗拉的标准配置，包括机箱、机位和电源。 除此以外，摩托罗拉无线企业解决方案无疑是最易于实施和运行的解决方案。尤其当您加入自复位、先进的故障排查与稳定的操作系统后，就可以避免大笔隐性无线成本。因此，您的IT工作人员就能把更多的时间用在创造有用的解决方案上，而不是浪费在照

24、顾无线网络上。 3.1WLAN协议演进3.1.1. IEEE802.11协议在1997年，IEEE发布802.11无线网络规协议，这也是在无线局域网领域的第一个国际上被认可的协议，定义了基本的信令规和一些服务规。和其他IEEE802标准一样，802.11主要工作在IS0协议最低两层（物理层和数据链路层）。802.11技术采取跳频技术FHSS和直序扩频技术DSSS。在这个标准中，提供了1M和2M的数据传输率。请注意这1M和2M是编码的速率，实际的吞吐量比编码速率的一半还要小一点。因此802.11的最高的有效吞吐量还不到1M。802.11远远达不到无线通信多媒体信息和视频监控信息传递的要求。3.1

25、.2. IEEE802.11b协议1999年9月IEEE Task Group B(TGb) 在原来802.11的基础上做了修正，802.11b被正式批准，该标准规定WLAN工作频段在2.4-2.4835 GHz，数据传输速率达到11Mbps，该标准是对IEEE 802.11的一个补充，采用补偿编码键控调制方式，采用点对点模式和基本模式两运作模式，在数据传输速率方面可以根据实际情况在11 Mbps、5.5 Mbps、2 Mbps、1 Mbps的不同速率间自动切换。同样11M也是最高编码速率，802.11b的最高的有效吞吐量在5.5M左右。3.1.3. IEEE 802.11a协议1999年，I

26、EEE 802.11a标准制定完成，该标准规定WLAN工作频段在5.15-8.825 GHz，数据传输速率达到54Mbps/72Mbps(Turbo)，传输距离控制在10-100米。该标准也是IEEE 802.11的一个补充，扩充了标准的物理层，采用正交频分复用（OFDM）的独特扩频技术，采用QFSK调制方式，可提供25Mbps的无线ATM接口和10Mbps的以太网无线帧结构接口，支持多种业务如话音、数据和图像等，一个扇区可接入多用户，每个用户可带多个用户终端。2000年8月，IEEE802.11a协议推出，无线通讯速率可以在6M、9 M、12 M、24 M、36 M、48 M、54 M间，根

27、据通信质量进行调整。54M也是最高编码速率，802.11a的最高的有效吞吐量在25M左右。另外需要注意的是IEEE 802.11a标准工作于5.15-8.825 GHz频带需要执照的。在我国国5GHz频段还没有开放，产品必须经过无线委员会的批准才能使用。这也带来一个好处就和一些无线企业设备系统完全没有冲突。另外802.11a使用5.8G频段，传输的距离比2.4G距离也稍近一些，因此同样围部署802.11a的AP数目也会稍多一些。3.1.4. IEEE802.11g协议2003年IEEE将OFDM等802.11a上的技术应用到2.4G频段上，在此基础上制定了IEEE 802.11g认证标准，该标

28、准拥有IEEE 802.11a的传输速率，安全性较IEEE 802.11b好，采用2种调制方式，含802.11a中采用的OFDM与IEEE802.11b中采用的CCK，做到与802.11a和802.11b兼容.802.11g标准理论上最高数据传输速率可达到54Mbps，在实际应用中，通常有一半的“原始速度”被分组负载、校验和、帧位、错误恢复数据和其他“无用”的信息占用。即使不考虑传播围和障碍物对性能削弱影响，实际吞吐率也仅能达到最高传输速率的一半甚至更低约为2026Mbps。即便这样，其速率仍远高于802.11b标准5.5Mbps左右的实际吞吐率。单一模式的802.11g网络可支持三个无重叠或

29、无干扰信道。每个信道可同时达到54Mbps的速度。因此三个无干扰信道的集合数据吞吐率可达到54Mbps3，即162Mbps的理论数据传输速率。而802.11b只能支持三个信道，最高吞吐率仅有11Mbps3=33Mbps。由于802.11g采用不同的编码和压缩方法，因此它在进行传输时需要向同一频谱围的802.11b设备发送低速告警数据包。这一过程将会使已经从802.11g设备的最高有效吞吐率减至2026Mbps（无线网络的一般速率）的速率骤然降至13Mbps左右。如果传输围没有802.11b设备，802.11g网络可以全速运行。当这两种标准混合使用时，由于802.11g和802.11b网络使用一

30、样的频谱，它们的吞吐率也必须一样。由于802.11g需要向下兼容802.11b，因此它在部分时间需要以较低速率的“兼容模式”运行，从而性能大幅降低。802.11g模式的最高有效吞吐量和802.11a一样，最高吞吐量在25M左右。802.11g使用2.4G频段，使用是完全免费的，无需申请。传输的距离比5.8G距离也稍远一些，因此同样距离的路段部署802.11a的AP数目也会更少一些，因2.4G的只有三个可用无重叠或无干扰信道，就需要仔细规划频点，否则会带来冲突，对系统吞吐量有着严重的影响，会导致WLAN系统无法顺利运行。3.1.5. IEEE 802.11n协议2007年，IEEE已经确定通过了

31、 802.11n 的2.0草案。802.11n也分成2.4G和5.8G，即802.11 bgn和802.11an，分别和原来的802.11bg和802.11a兼容。相比较于先前的 IEEE 802.11b、802.11a、802.11g等标准，IEEE 802.11n更加侧重于高吞吐量方面性能提升。802.11n的无线传输速率有了很大的提高。对于使用者来说，速率已经超过了接入层有线局域网交换机的速率。最高速率可达300Mbps，双频可以到600Mbps（双频）。因此802.11n的上行接口使用千兆GE口。而且由于802.11n使用了MIMO技术，有效地降低了多径干扰的影响，有效地改善覆盖距离，

32、而且信号覆盖更加稳定。802.11n预计在2009年下半年正式通过，2.0草案版本和最终的正式版本相差不会太多，可以通过软件版本升级就来支持正式标准。802.11n单频300M和双频600M也是最高编码速率。802.11n实际上可以根据需要使用2.4G和5.8G频段，802.11bgn或者802.11an单频最高有效吞吐量在120170M左右，有效地克服了数据、语音、视频同时传输的瓶颈，可以传输更丰富的信息容。需要注意的是如果使用2.4G的802.11bgn，同样需要考虑频段规划问题。而且由于802.11bgn可以使用20M或者40M的带宽，如果需要充分发挥802.11n的优势，需要使用40M

33、的带宽，这实际上也是使用了2个频段。因此需要更细致地做频率规划，避免和其他2.4G频段的应用一起造成冲突。如果使用802.11an，和802.11a一样，由于我国国5GHz频段还没有开放，产品必须经过无线委员会的批准才能使用。这样带来的好处也是5.8G的可用频点比较多，可以更加合理的规划频点。另外和802.11a相比，802.11an传输的距离会比802.11a距离也更远，同样距离的路段部署802.11a的AP数目也会更少。下表是几种WLAN技术的简单汇总表，技术标准使用频率物理层最高速率受干扰情况802.112.4G2Mbps采用调频技术或直序调频技术，抗干扰能力强802.11a5.8G54

34、Mbps使用OFDM技术，对抗多径干扰能力较好5.8G信道本身干扰较少，因此11a设备受到干扰更少802.11b2.4G11Mbps抗干扰能力一般802.11g2.4G54Mbps使用OFDM技术，对抗多径干扰能力较好802.11n2.4G & 5.8G600Mbps（双频）使用MIMO技术和多频捆绑技术，有效提高吞吐量和覆盖距离，具有很强的抗干扰能力综合上面的802.11协议发展的情况的比较分析，802.11n技术无疑是WLAN发展的趋势，最符合长远用户的投资收益，下面我们对802.11n进行更详细的技术剖析。3.2 802.11n技术详细剖析802.11n 结合了多种技术，其中包括 Spa

35、tial Multiplexing MIMO（Multi-In， Multi-Out）（空间多路复用多入多出）、20和 40MHz 信道和双频带（2.4 GHz 和5 GHz），同时又能与以前的 IEEE 802.11b/g 以与802.11a设备兼容。802.11n在高吞吐量上和覆盖距离都有比较大的突破，是下一代的无线网络技术的标准。3.2.1. MIMO和空分复用MIMO（多入多出）或MTMRA（多发多收天线）技术是无线移动通信领域智能天线技术的重大突破，该技术能在不增加带宽的情况下成倍地提高通信系统的容量和频谱利用率，是新一代移动通信系统必须采用的关键技术。MIMO系统在发射端和接收端均

36、采用多天线（或阵列天线）和多通道。传输信息流S（k）经过空时编码形成N个信息子流Ci（k），i=1，N。这N个子流由N个天线发射出去，经空间信道后由M个接收天线接收，多天线接收机利用先进的空时编码处理能够分开并解码这些数据子流。这样，MIMO系统可以创造多个并行空间信道，解决了带宽共享的问题。802.11n天线数量可以支持到33，同时传送两路流量，比802.11g增加了n倍。 MIMO实际上有效利用了多径干扰，利用多路不相关的传输信道进行空分复用。将MIMO与OFDM技术相结合，就产生了MIMO OFDM技术，该技术通过在OFDM传输系统中采用阵列天线实现空间分集，提高了信号质量，并增加了多径

37、的容限，使无线网络的有效传输速率有质的提升。得益于将MIMO与OFDM技术相结合而应用的MIMOOFDM技术，802.11n在支持2.4GHz频段和5GHz频段的基础上，使无线传输的质量和速度得到极大提升。 而为了提升整个网络的吞吐量。而在天线方面，智能天线技术的应用也解决了802.11n的传输覆盖围问题，通过多组独立天线组成的天线阵列系统，动态地调整波束的方向，使得802.11n能保证用户能接收到稳定的信号，同时也能有效减少其它噪音信号的干扰，使无线网络的传输距离大大增加，移动性大大增强。3.2.2. 多频点捆绑IEEE 802.11n通过将两个相邻的20MHz带宽捆绑在一起组成一个40MH

38、z通讯带宽，在实际工作时可以作为两个20MHz的带宽使用（一个为主带宽，一个为次带宽，收发数据时既可以40MHz的带宽工作，也可以单个20MHz带宽工作），这样可将速率提高一倍。同时，对于IEEE 802.11a/b/g，为了防止相邻信道干扰，20MHz带宽的信道在其两侧预留了一小部分的带宽边界。而通过频带绑定技术，这些预留的带宽也可以用来通讯，从而进一步提高了吞吐量。下图是2.4G频段在20M和40M的频谱分布图，我们可以看到2.4G很难进行40M带宽频率的分配。下图是5.8G频段的分布图，我们可以看到在5.8G更容易进行40M带宽的分配。3.2.3. 802.11 MAC的优化802.11

39、abg在信道的竞争中所产生的冲突，以与为解决冲突而引入的退避机制都大大降低了系统的吞吐量。802.11n还对802.11标准的单一MAC层协议进行了优化，改变了数据帧结构，对数据帧进行聚合，增加了净负载所占的比重，减少管理检错所占的字节数大大提升了网络的吞吐量。802.11n为了解决MAC层的问题，采用了以下技术:A-MSDUA-MSDU技术是指把多个MSDU通过一定的方式聚合成一个较大的载荷。这里的MSDU可以认为是Ethernet报文。通常，当AP或无线客户端从协议栈收到报文（MSDU）时，会打上Ethernet报文头，这里我们称之为A-MSDU Subframe；而在通过射频口发送出去前

40、，需要逐一将其转换成802.11报文格式。而A-MSDU技术旨在将若干个A-MSDU Subframe聚合到一起，并封装为一个802.11报文进行发送。从而减少了发送每一个802.11报文所需的PLCP Preamble、PLCP Header和802.11MAC头的开销，同时减少了应答帧的数量，提高了报文发送的效率 A-MPDU与A-MSDU不同的是，A-MPDU聚合的是经过802.11报文封装后的MPDU，这里的MPDU是指经过802.11封装过的数据帧。通过一次性发送若干个MPDU，减少了发送每个802.11报文所需的PLCP Preamble、PLCP Header，从而提高系统吞吐量

41、。Block Acknowledgement为保证数据传输的可靠性，802.11协议规定每收到一个单播数据帧，都必须立即回应ACK帧。接收端在收到A-MPDU后，需要对其中的每一个MPDU进行处理，并针对每一个MPDU发送应答帧。而Block Acknowledgement通过使用一个ACK帧来完成对多个MPDU的应答，以降低这种情况下ACK帧的数量。Short Guard IntervalShort GI（Guard Interval）是802.11n针对802.11a/g所做的改进。射频芯片在使用OFDM调制方式发送数据时，整个帧是被划分成不同的数据块进行发送的，为了数据传输的可靠性，数据

42、块之间会有GI，用以保证接收侧能够正确的解析出各个数据块。无线信号在空间传输会因多径等因素在接收侧形成时延，如果后续数据块发送过快，会和前一个数据块形成干扰，而GI就是用来规避这个干扰的。11a/g的GI时长为800us，而Short GI时长为400us，在使用Short GI的情况下，可提高10%的速率。另外，Short GI与带宽无关，支持20MHz、40MHz带宽。4. 企业无线网络架构传统的无线网络构架，是由网络访问接点Access Point（以下简称胖AP）来实现的。胖AP是个单点设备，也就是说，每个胖AP有自己独立的运算单元CPU、存储存和管理软件，当我们构成一个大中型的网络时

43、，这些单点之间并没有太多的相关性，管理和维护很不方便。同时在漫游切换过程中，胖AP与有线网络之间需要频繁更新路径信息，使得切换时延大大增加。因此，在企业，摩托罗拉建议使用无线控制交换机对所有AP接入点进行统一的管理和配置。使用中央无线控制交换机有以下好处：系统具有和有线网络构架的无缝整合性：无线控制交换机系统重新定义了对无线网络的构架，使之和有线网络一样具有接入层和交换层。这种结构让我们的IT管理更易于理解和掌握。通过虚拟子网的构架将无线系统有机地结合到整个企业网络中，网络的规划不是独立，而是与企业的有线网络结合在一起。系统具有多重安全性：无线控制交换机固有的安全机制由访问控制、身份验证和数据

44、加密等一整套完整的体系组成，可以在企业网络的不同层次上进行部署，从而形成分层式的安全模式，提供非常强健的端到端安全性。同时我们也提供基于物理层（无线电波）的安全防护AirDefense系统，一套可选的安全防护系统将彻底屏蔽无线网络黑客的侵袭，这是一个非常完美的解决方案。系统具有高度的可管理性和可维护性：无线控制交换机体系对于硬件、软件配置和网络策略进行统一管理，向所有接入点自动部署配置，大大降低了初始化工作量。同时，系统的维护非常方便，无需专业管理人员，接入端可以作到即插即用，节省了日常维护成本。系统具有高度可扩展性：无线控制交换机的集中式特性使之能够方便地扩展，无线接入端可以扩展使之适应未来

45、出现的新的无线接入标准，交换机管理系统可以轻松升级以满足企业对无线网络新的要求，如802.11i或AES等，是一套具有很高投资保护的系统。4.1. 组网结构目前各个企业的核心数据机房一般放置在IDC机房或者总部的机房，通过租用运营商专线连接到各个分部。对于租用的运营商的专线，可以使用WIBB产品（无线桥接设备），可以提供高达300M的实际速率。对于无线交换机的放置有两种放置方式，一种是无线交换机放在每个分部，管理各个所属区域的AP。另一种方式是无线交换机集中放在IDC机房或者总部的机房管理各个分部的AP。Motorola下面详细描述WIBB产品的部署和无线交换机放置的两种部署方式：4.1.1.

46、 WIBB的部署目前大型企业在同一城市都开设有分部，或者在企业占地面积大楼宇众多。各个分部和总部之间的数据通信只能依靠租用运营商的专线链路来实现，而各个楼宇之间的通信需要进行挖沟布线来实现，大大增加了通信的成本，而且不利于随着业务的发展而与时的调整网络架构。采用WIBB来部署实现分部与总部、楼宇之间的通信，有利于节约通信的成本和与时的调整网络架构。楼宇之间的部署一般情况下各个楼宇之间位于同一个院区，楼间的距离比较近，而且是一对多的通信模式，点对多点的设备进行连接和汇聚。Motorola的点对多点设备通信距离最远距离可达18公里，每个扇区角度为60度，可以实现45Mbps的全双工实际吞吐量，如果

47、进行全方位360度的覆盖，中心点吞吐量可达270Mbps的全双工实际吞吐量。分部和总部之间的部署分部和总部之间的距离位于一个城市，距离比较远可达几十公里或一两百公里，而且数据量大。这种情况下，我们建议使用点对点的设备进行连接。Motorola的点对点设备通信距离可达250公里，可以实现300Mbps的实际吞吐量。总院点对点点对多点分院楼宇分院楼宇4.1.2. 无线交换机分布部署分布部署方案是相对比较传统的部署方式，部署比较简单。在这种部署方案中，无线交换机放在各个分部，管理各自所属区域的AP。在无线交换机上的配置可以自动下载到AP。网络架构如下所述：现有的核心网络，主要由企业的核心数据服务器以

48、与对应的核心交换机以与智能负载分担设备和网络管理设备组成。各个分部局域网，主要由无线交换机和分部的AP组成，本地的无线交换机只能管理本地的AP，无线交换机和AP之间采用以太网进行连接。而且AP可以采用二层或者三层部署。分布部署的层次清楚、每个分部所都具有相对独立的管理权限4.1.3. 集中部署集中部署方式为一种扁平化部署的方式，在这种部署方案中，无线交换机不再放在每个分部，而是统一放置在总部。所有的AP都由位于IDC或者总部机房的无线交换机管理。网络架构如下所述：现有的核心网络，主要由企业的核心数据服务器、对应的核心交换机、智能负载分担设备、无线交换机、网络管理设备组成。各个分部局域网，主要架

49、设AP组成，各个分部的AP全部由位于IDC或者总部机房的无线交换机统一管理。这种模式下，建议AP采用三层部署。这种集中部署的优点在于集中化管理以与节省大量投资，整个分部的无线网络策略由总部统一制定下发到每个分部的AP，各个分部无需部署无线交换机，从而节省了大量投资。对于集中部署的方案来说还有两种转发方式，集中转发和本地转发。集中转发是传统瘦AP的转发技术，而本地转发是Motorola无线交换技术的一大创新。集中转发和本地转发的区别主要在于AP和无线交换机数据传输方式不同，分别试用于不同场合。Motorola的无线交换机同时支持这两种模式，下面我们对这两种模式进行比较：4.1.4. 集中转发在传

50、统的瘦AP技术中，瘦AP和无线交换机需要同时建立控制隧道和数据隧道。控制隧道用来传输AP和无线交换机之间的信令，如用户的身份认证信息、心跳信息以与配置信息的下发以与状态信息的上传；数据隧道用来传输用户的实际数据，所有用户的数据到达AP后，AP将这些用户数据封装到AP到无线交换机的数据隧道中，在无线交换机从数据隧道收到这些数据包后，解包后再更加用户数据包进行数据转发。因此所有用户的数据都会经由无线交换机，数据有迂回，数据传输的路径不是最优的。当同时进行大量数据传递时，无线交换机将成为性能的瓶颈。4.1.5 本地转发Motorola率先推出的本地转发模式克服了集中转发的弊端。在本地转发模式中，瘦A

51、P也具有一定的智能性。瘦AP和无线交换机只建立一条隧道：控制隧道，用来传输用户身份认证信息、AP和无线交换机之间的信令，如心跳信息以与配置信息的下发以与状态信息的上传。用户的实际数据不再封装在隧道里，而是由瘦AP直接进行进行数据转发。同时进行大量数据传递时，不再出现无线交换机的瓶颈问题。在本地转发模式下数据无迂回，数据传输的路径是最优的。4.2 AP的两层部署和三层部署 集中控制型AP的部署方式可以分为两层部署和三层部署。1. 两层部署是指AP和无线交换机在同一个网段，AP和无线交换机之间通过两层数据帧进行相互通信，无线用户的数据包也封装在两层数据帧里通过AP传送给无线交换机。两层部署无需增加

52、任何设备。但是两层部署需要保证AP和无线交换机在一个VLAN里。 2. 三层部署是指AP和无线交换机在不同网段，AP和无线交换机之间存在三层设备如：路由器或者三层交换机。AP和无线交换机之间通过三层IP包进行相互通信，无线用户的数据包也封装在三层IP包里通过AP传送给无线交换机。在三层部署时，AP可以静态设置或者动态获取。在三层部署的情况下， 无线交换机只要和AP IP地址可达。AP IP地址静态配置情况无需增加任何配置。在AP地址动态获取的AP可以通过DHCP Option 189动态学习无线交换机的IP地址列表。4.3 VLAN的设计一般厂家的无线网络产品在网络规划时都需要二层交换机连接或

53、者划分VLAN，否则将导致整体性能的降低和漫游特性的缺失。在Motorola的无线网络中，VLAN分为AP接入VLAN和用户接入VLAN，这两个VLAN是完全独立的。AP接入VLAN仅仅是保证AP和无线交换机建立WISPe Tunnel，真正和用户相关的是用户接入VLAN，这个VLAN位于无线交换机和汇聚层交换机连接的链路上，这个VLAN决定了无线用户获得的地址。如上图所示： AP 所在的VLAN 为VLAN 10，无线用户的VLAN为VLAN100 ，AP获得192.168.1.0/24的地址，这个IP 地址可以通过DHCP 服务器或者是以静态IP 地址方式配置在AP 上。由于无线用户的传输

54、是通过AP 已建立的WISPe 隧道和无线 交换机互连的，获得10.1.1.0/24的地址。所以实际上无线用户的VLAN 是无须在接入层和汇聚层存在。当大规模开展无线局域网时，就无须把在不同接入层上新增的无线终端VLAN/IP 子网逐一在局域网上打通。无线用户的VLAN 是可透过无线 交换机和骨干交换机互连互通。事实上，Motorola的无线交换机对于接入AP的VLAN没有任何要求，只要IP地址可达，通过广域网链路都可以。无线交换机也可以统一管理所有AP。由于Motorola 的AP 是通过WISPe 的隧道连接到MOTOROLA 交换机上，所以Motorola 产品在规划上可以完全不改变原有

55、的网络结构，同时实现无缝的二三层漫游。并且所有的AP 都统一规划统一集中管理。下面详细叙述一下无线交换机在规划配置实施时需要考虑的问题：AP 的VLAN 和无线用户的VLAN第一代的无线局域网对AP 所在的VLAN(AP 为网络设备)和无线用户所在的VLAN 是没有明确的区分。第一代无线组网无论对无线用户、AP 和网络的管理都有一定困难，而且很容易造成混乱。对网络管理而然，网络设备的VLAN/IP 子网应当和用户是分开，这样才可确保正常网络运行和维护。但在具体实施时，很多为了方便都会把AP 和无线用户设置在同一个VLAN 。这种组网方式在现今的非常普遍，所以一般用户都误解无线局域网的SSID为

56、局域网的VLAN。VLAN 和无线SSID 的关系一般用户都误解无线局域网的SSID 为局域网的VLAN，这可能是由于第一代的无线局域网都是通过“FAT AP”组网的原因。其实二者之间的关系并非是一对一，即一个SSID 必须对应有一个VLAN。当然把一SSID 设定在一个VLAN 对传统的无线局域网只能够支持第二层的无线用户漫游是唯一可实现的方式。但这样的组网必须在现有的网络上做出很多改动，AP 数量多时，无线用户VLAN/IP 子网也增多，无线用户IP 子网在局域网必须全打通，（即汇聚层和骨干层的路由开通）否则无线用户就不能访问局域网上其它网点，包括在不同接入层的无线用户。MOTOROLA

57、交换机组网，当无线用户加入到无线网上的一个SSID 时，很容易与VLAN 绑定，无线用户漫游到不同AP 上，因SSID 的缺省VLAN 实际上是穿越接入层到MOTOROLA 交换机上，用户的VLAN 是无需在每个接入层上开通。但亦有可能SSID 在不同的AP 接入点时，它设置的缺省VLAN 是不一样的。当有这样的情况出现时，无线用户从一个AP 接入点漫游到另一个AP 接入点时， DHCP 协议应会重分发给无线终端新的IP 地址，但如果无线终端的IP 地址更新的话，它先前建立的所有应用连接就会被切断。这样的无线局域网实际上就不能支持跨三层无线漫游。在公司网络中实现无线局域网接入，不需要在现有的局

58、域网上做很多路由的修改，MOTOROLA AP 所在的VLAN 和无线用户的VLAN 是独立分开的，用户只须在MOTOROLA AP 的接入点分配给它IP 地址即可，这个IP 地址可以是通过DHCP 服务器来分发，可以是以静态IP 地址方式配置在MOTOROLA AP 上。由于无线用户的传输是通过MOTOROLA AP 已建立的WISPe 隧道和MOTOROLA 交换机互连的，所以实际上无线用户的VLAN 是无须在接入层和汇聚层存在。当大规模开展无线局域网时，就无须把在不同接入层上新增的无线终端VLAN/IP 子网逐一在局域网上打通。无线用户的VLAN 是可透过MOTOROLA 交换机和骨干交

59、换机互连互通。4.4 IP地址的设计IP 地址空间的分配与合理使用与网络拓扑结构、网络组织与路由政策有非常密切的关系，将对网络的可用性、可靠性与有效性产生显著影响。在对IP 地址进行规划建设的同时，应充分考虑本地网对IP 地址的需求，以满足未来业务发展对IP 地址的需求。IP 地址规划遵循以下几点：IP 地址的规划与划分应该考虑到IP 网络的飞速发展，能够满足网络未来发展的需要；既要满足本期工程对IP 地址的需求，同时要充分考虑未来业务发展，预留相应的地址段。IP 地址规划应该是网络整体规划的一部分，即IP 地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP 地址的规划应尽可

60、能和网络层次相对应，应该是自顶向下的一种规划。通过预测网络的规模，应该为一个网络区域分配的网络地址留有一定的容量，便于系统扩展。大型局域网规划，应该首先把整个网络划分为几个大区域，方法是根据地域、设备分布与区域用户数量来划分，每个大区域又可以分为几个子区域，每个子区域从它的上一级区域里获取IP 地址段（子网段）。这种方式充分考虑了网络层次和路由协议的规划，通过聚合网络减少网络中路由的数目和地址维护的数量，充分体现了分层管理的思想。尽量保证本地网IP 地址的较大围的连续性，通过汇总缩小路由表，提高转发效率。IP 地址的分配必须采用VLSM 技术，保证IP 地址的利用效率。采用CIDR 技术，这样