智慧展馆无线网络系统升级改造项目方案

1、 智慧展馆无线网络系统升级改造项目方案目 录 TOC o 1-3 u 第一章 展馆简介 PAGEREF _Toc47281489 h 31.1. 展会简介 PAGEREF _Toc47281490 h 31.2. 展馆简介 PAGEREF _Toc47281491 h 3第二章 网络概况 PAGEREF _Toc47281492 h 52.1. 互联拓扑架构 PAGEREF _Toc47281493 h 52.2. 分层架构 PAGEREF _Toc47281494 h 52.3. 展馆有线无线宽带架构 PAGEREF _Toc47281495 h 62.4. 展馆有线无线宽带架构 PAGER

2、EF _Toc47281496 h 8第三章 现场调研情况及分析 PAGEREF _Toc47281497 h 103.1. 干扰问题 PAGEREF _Toc47281498 h 103.2. 无线网络系统设备陈旧，技术落后 PAGEREF _Toc47281499 h 133.3. 无线网络信号覆盖的问题 PAGEREF _Toc47281500 h 143.4. 用户数量及用户上网时长的影响 PAGEREF _Toc47281501 h 163.5. 多个SSID的影响 PAGEREF _Toc47281502 h 173.6. 新建网络问题 PAGEREF _Toc47281503 h

3、 18第四章 无线网络优化技术方案 PAGEREF _Toc47281504 h 194.1. AP布点设计 PAGEREF _Toc47281505 h 194.2. 高密度设计 PAGEREF _Toc47281506 h 244.3. 高密度设计优化技术 BandSelect PAGEREF _Toc47281507 h 254.4. 高密度设计优化技术 VLAN Group及VLAN multicast PAGEREF _Toc47281508 h 264.5. 信号强度（高密度场景） PAGEREF _Toc47281509 h 284.6. 时延及带宽设计 PAGEREF _Toc

4、47281510 h 284.7. 信号强度及带宽优化技术 ClientLink PAGEREF _Toc47281511 h 294.8. 设备选型（高密度场景） PAGEREF _Toc47281512 h 304.9. 抗干扰设计 PAGEREF _Toc47281513 h 304.10. 良好的互通性 PAGEREF _Toc47281514 h 344.11. 保证组播视频应用优化 Video Stream PAGEREF _Toc47281515 h 344.12. 无线安全技术特点 PAGEREF _Toc47281516 h 364.13. WLAN的安全快速漫游 PAGER

5、EF _Toc47281517 h 484.14. 控制器高可用 PAGEREF _Toc47281518 h 494.15. 访客接入通道技术(建议把运营商的SSID清理出去，再租用给运管商运营业务，专用隧道，安全，减少占空比) PAGEREF _Toc47281519 h 514.16. ISE身份识别引擎 (用原Portal) PAGEREF _Toc47281520 h 524.17. 独特节能环保技术 - EnergyWise PAGEREF _Toc47281521 h 68展馆简介展会简介进出口商品交易会（以下简称“广交会”）由中华人民共和国商务部、广东省人民政府主办，中国对外贸

6、易中心（下称“中心”）承办，每年两届在展馆举行。每届广交会分三期进行，每期5天，两期之间的撤换展期为3天。春季广交会在4月15日开幕，5月5日闭幕；秋季广交会在10月15日开幕，11月4日闭幕。展览总面积约为116万m2，总展位数量约为59000个。展馆简介展馆地址：广州市海珠区阅江中路382号。展馆建设分三期，一期展馆位于新港东路北侧，在1996年由广州市政府建设并移交中心所有；二期展馆位于新港东路北侧，一期展馆的东面，2008年4月由中心建设；三期展馆位于新港东路南侧，2008年9月由中心建设。全部展馆建设完毕后，一、二、三期展馆被重新命名为A、B、C展区，A展区使用一至二层13个展厅（一

7、层：1.1-8.1 8个；二层1.2-5.2 5个），B展区使用一至三层13个展厅（一层9.1-13.1 5个；二层9.2-13.2 个；三层9.3-11.3三个），C展区使用一至四层11个展厅（一层14.1-16.1 3个；二层14.2-16.2 3个；三层14.3-16.3 3个；四层14.4-16.4 3个；），共38个展厅。 其中，A区B区展厅除7.1约为3000平方米外，其余展厅约为10000平方米，C区展厅约为7000平方米。网络概况展馆信息网络系统是一个综合多种软硬件应用，覆盖范围整个展馆的大型局域网系统。互联拓扑架构展馆分为ABC三个区，每个区拥有两台高性能核心交换机，三区核心

8、交换机通过万兆光纤互联成为环状结构。分层架构展馆三区的网络架构大致相同，分为核心、汇聚和接入三层：注：图中一期指A区，二期指B区，配套设置工程指C区。展馆有线无线宽带架构 有线宽带架构尽管已建设了无线网络，由于在某些以电子产品或信息化设备为主题的展厅内，2.4G频段受到展品的干扰，不能使用无线网络，加上部分用户需要更高的带宽和更稳定的接入质量，因此需要铺设有线宽带。有线宽带用户主要为各展厅内固定摊位的参展商，线路路由为摊位临时布线展厅地坑中的有线宽带端口综合布线系统展厅弱电间内交换机百兆电口。有线宽带用户通过DHCP获得IP地址，对于需要开放特殊TCP/UDP端口的用户，需发放固定地址并在防火

9、墙上做针对性配置。 无线宽带现有架构无线客户端的接入由连接到访问层交换机的无线接入点（AP）提供，无线区域在功能区域上覆盖了公众网络区域和办公网络区域，在地理位置上覆盖全馆公众使用的大空间。无线网络架构使用采用集中式部署的方式，即采用无线控制器结合瘦AP与无线网络管理系统的架构，具体由无线控制器、无线交换机、核心和展厅汇聚交换机、无线接入点、POE交换机、综合布线和无线用户组成。3. 无线控制器由于整个展厅范围内将使用大量无线接入点（AP）提供无线网络接入服务，故通过布置无线控制器，实现多个AP的统一策略部署和安全认证机制，无线控制器结合配套的无线网络管理系统对瘦AP进行集中式部署，无线控制器

10、应拥有多种干扰检测和避免机制，可检测干扰并重新调整网络，利用其配套的增强管理软件，无线控制器能够发现覆盖盲区，并尝试通过调整接入点的功率输出来修复。无线控制器采用1+N或1+1的冗余结构，通过TRUNK的方式连接到无线交换机上。 无线交换机无线交换机为无线网络使用的汇聚交换机，为无线控制器和无线用户提供三层冗余网关。无线交换机采用1+1的冗余结构，通过TRUNK的方式连接到无线交换机上，通过网状光纤连接到核心交换机，运行OSPF和VRRP协议。 核心和展厅汇聚交换机核心和展厅汇聚交换机是有线无线共用的，为无线网络提供了AP到控制器的GRE隧道。 无线接入点无线接入点（AP）除部分室外AP外，全

11、部为瘦AP，支持802.11a/b/g三种协议，安装在展厅顶部，由综合布线子系统提供连接到POE交换机，使用POE供电。 POE交换机POE交换机安装在弱电间内，部分端口用于AP的通信和供电，部分端口用于为有线宽带用户提供接入。 综合布线有线无线宽带共用综合布线系统，由弱电间、管道、线槽、桥架、铜缆、光纤、机柜、跳线和配线架组成。展厅弱电间分布在展厅四角，部分弱电间分布在终端信息点附近。铜缆布置在展厅地坑信息点到弱电间配线架的管道内，或布置在AP信息点到弱电间配线架的管道内。光纤采用FDBDCD架构，FD和BD放置在弱电间，CD放置在中控机房。机柜放置在弱电间和中控机房内，用于安装固定交换机和

12、配线架。跳线用于交换机端口和配线架的跳接。展馆有线无线宽带架构 宽带服务广交会期间，中心为参展商提供宽带网络服务，宽带网络服务分有线和无线网络两部分，其中有线宽带服务为收费服务，无线宽带服务为收费服务和免费限时服务相结合的模式。 业务申请和开通有线无线宽带的收费服务均可采用网上和现场申请及交费的方式，有线宽带在交费后由广交会工作人员从展厅网络端口布置网线到用户摊位的方式接入；无线网络采用Portal的方式认证接入，收费用户在交费后直接获得用户名和密码，免费用户接入用户的接入分两种，一是国内参展商用户通过portal页面上的申请页面，以手机短信的方式获得用户名和密码，二是国外采购商用户以广交会证

13、件的证件号码直接登录。 用户报障及排障有线宽带用户主要采用电话报障的方式，接障后由有线宽带技术人员上门排障。无线宽带用户的报障可采用现场和电话报障的方式，现场为设立在各展厅附近的现场服务点，电话为中心设立的宽带报障热线电话。无线宽带技术人员驻守在各现场服务点，对于收费用户，最近现场服务点的技术人员将上门服务，对于免费用户，由用户自行携带上网设备到服务点排障。现场调研情况及分析干扰问题无线网络的干扰问题是影响无线网络使用的最大问题，干扰可分同频，非法AP干扰，非wifi干扰 三类：同频干扰在展馆建设时，由于没有预计无线应用以非常快的速度普及，因此没有进行深入的网优，设备采用时没有使用定向天线，在

14、同一位置可检测到同一信道内存在信号强度相差不大的同网AP，此种设计虽然满足了覆盖的需要，在少量用户使用的情况下上网体验尚良好，但自从105届广交会无线网络免费开放给展商使用后，随着大量用户爆发式接入展馆无线网络系统，无线网络系统的冲突越来越严重，特别是2.4G频段，因只有3个可用互不干扰的信道，用户上网体验每况愈下。 (4号馆同频干扰现场实测图，红色框内为互相影响AP)非法AP干扰经检测，在展馆内存在大量的非本网AP，称为非法AP，此类非法AP分以下几类：一是参展的展品需要组建无线网络，例如无线手持式扫描枪等展品，参展商自行组建无线网络供展品使用。由于参展商为加强信号强度，常使用大功率全向的工

15、业AP，导致信号覆盖几个展厅，此类AP影响最大。二是参展商使用3G转wifi或小型无线路由器+有线宽带组网，此类AP影响较小，覆盖面积约100平方米。(x号馆非法AP干扰)现场检测到展商自带的TP Link无线路由器干扰信息强度达到 -49.0 dBm：(信号强度占空比)及分析三是微软操作系统bug，在AD-HOC方式下放出的SSID为“Free Public WiFi ”信号，因此类信号只发射控制帧，并且不能连接，因此影响较小，并随着微软操作系统的升级慢慢消失。参考： HYPERLINK /view/1553351.htm /view/1553351.htm 非法AP占用了大量的空口带宽，在

16、某些冲突严重的区域，展馆无线网络和非法AP搭建的网络往往都不能使用。除带宽占用外，开启动态视频调整功能的控制器会因冲突频繁地改变冲突区域AP的信道和发射功率，进一步导致其他区域的摆动，导致用户上网时通时断。空口带宽利用率：(5号馆占空比解释及判断，有可能是AP或非馆内Wifi 信号，反应空口介质很忙，可用带宽低，Channel1 )非wifi干扰由于2.4G是可公开使用的频段，因此部分非802.11协议的无线设备展品也使用此频段，例如无绳电话、遥控器和无线摄像头等，造成无线网络系统的背景噪音加大。以上干扰现象在以家电、信息化为主题的A区一期展厅特别严重。无线网络系统设备陈旧，技术落后A/B/C

17、区网络系统为105/103/104届大规模建设时期所建（中国移动对A区部分展区进行改造除外），至今已使用接近5年时间，设备较为落后，主要表现为：1）AP设备陈旧大部分展区的AP仅仅支持802.11 a/b/g，单频理论最大速率54Mbps，单个AP接入用户数较少，并且有些产品已为停产产品。再加上设备老化等原因，运行稳定性不高。(把Aruba 、H3C 的型号指出来)2）控制器性能落后特别是B区控制器，已为停产产品，单个控制器只能支持128及256个AP，控制器间切换时间较长，控制器cpu和内存资源不足，日志级别稍高就出现假死，导致全网无线网络中断，经优化后有所改善，但预计开启其它高消耗的功能，

18、如定位，频谱分析等，控制器资源依然不足。(把Aruba 、H3C 的型号指出来)3）没有配置无线专业网管软件目前，3个区的无线网络系统没有配置网管软件，设备固件版本也较旧，无法开展各种统计、查找、排障功能，也不能实现客户端及非法AP定位功能、频谱分析功能功能。4）综合布线问题安装在展厅上空的AP通过以太网网线与在展厅四角弱电间内的POE交换机相连，存在的问题一是部分靠近展厅中部的AP线路过长，二是综合布线以及RJ45接头存在氧化老化的现象，导致AP与控制器的连接时通时断，用户闪断，以及控制器调整的网络抖动。无线网络信号覆盖的问题由于采用全向天线，引起全馆无线信号的覆盖基本良好，但在部分区域仍存

19、在盲点，此类问题由以下原因造成：1）土建结构的影响部分AP的安装位置并非理想，特别是B区展馆，由于顶部没有马道，因此AP固定在支撑柱上，巨大的支撑柱对信号有遮挡影响；在行政中心下方的展厅，由于承重大，支撑柱多，无线信号遮挡影响也比其他展厅大；B区三层展厅由于层高较高，施工时只能安装在两旁采用侧射的方式覆盖。2）展位装修的影响广交会及日常大型展览期间，部分参展商采用特装展台，特装展台一是搭建的高度较高，二是采用了大量玻璃和金属等对无线信号有衰减和屏蔽影响的展材，另外在部分展厅由于层高较矮，布置特装展台后离AP只有35米左右的空间，导致部分位置的信号较弱。3）珠江散步道柜台信号弱问题珠江散步道位于

20、展厅B层，是连接A/B/C展厅的T型通道，珠江散步道在展厅的路段长约400-500米，宽约20米。珠江散步道中间布置有休息区，两侧有大量的柜台，由于是各展馆以及一二层展厅的连接通道，在展会高峰期有大量的客商。为覆盖珠江散步道，每隔100米用4个AP采取对射的方式覆盖，现场实测通道中间区域信号良好，但两侧柜台的覆盖较差，手机等信号接收能力较差的设备往往连接不上无线网络。4）5G频段信号覆盖问题5G频段的抗干扰能力较强，也是日后技术发展的方向，但在展馆使用的过程中实测发现，5G频段的覆盖和穿透能力普遍比2.4G弱，两者在同一地点功率相差约10-20dBm，并且使用不稳定，在使用地点附近有人流走动有

21、时也能导致断网。5）综合布线的影响在部分综合布线有问题的区域，需要使用邻近AP进行信号覆盖，导致出现盲区和信号较弱区域。用户数量及用户上网时长的影响111届广交会信息化部对无线网络系统的免费用户实行了接入限制，在接入限制之前的110届，在无线控制器上统计在线用户达15000人，根据之前历届广交会的统计数据，若不限制用户使用人数，每届广交会的无线用户以20-25%的速度增长。112届广交会开始，通过认证计费系统对免费用户实行了限时限流量的措施，每用户每天可以512Kb带宽免费使用1-2小时。通过问卷调查，客商普遍反映带宽及使用时长不足。113届广交会，为提高客户满意度，拟进一步扩展带宽到768K

22、b，免费时长增加到3小时。不断增长的用户数量和使用时长增长带来以下的影响：1）带宽需求增长历届广交会互联网出口带宽因用户需求增长的原因，已经历5次扩容，从上届广交会出口统计数据来看，仍需要对带宽进行扩展。 2）设备过载由于控制器和AP性能不足，大量在线用户导致设备过载。AP过载表现为从控制器上看到连接的客户端数已经达到70以上，新用户不能接入AP，已连接的用户不能上网，需要手工重启AP以释放连接，AP过载高发于人流密集区域（如珠江散步道），原因一是使用人数过多，二是很多用户自动开启WiFi，尽管不上网，在经过此区域时也会连接本区域的AP。多个SSID的影响展馆开设了cantonfair-fre

23、e-a, cantonfair-free, cantonfair-vip-a, cantonfair-vip四个SSID，分别对应5G频段的免费用户、2.5G频段的免费用户、5G频段的收费用户、2.5G频段的收费用户。开设四个SSID是由于业务需求及系统容量的考虑，现时用户分免费用户和收费用户，免费用户由于人数较多，为避免容量过载，在SSID上接入用户限制为40个，又为了在人数达到上限时收费用户能够接入网络，另设收费用户专用SSID。另外为了拥有5G频段接入能力的用户有更好的体验，另设5G频段SSID。四个SSID产生的问题是控制信令更多，影响空口带宽。(不准确)建议：新建网络问题 为解决干扰

24、问题，中心与中国移动合作，在干扰最严重的A区4.1-5.1,1.2-5.2共7个展厅及A区珠江散步道使用H3C设备新建一张实验性新网，新网除承载广交会业务外，还释放CMCC信号，供移动用户使用。(多SSID, 对广交会免费，CMCC收费)新网在每个展厅布置15个AP，使用经过优选的窄波瓣定向天线，并实行了信道和功率固定，以减少同频干扰。在112届实际应用中，测试发现虽然减少了同频干扰，但没有非法AP定位功能，缺少频谱分析功能，在应对无线干扰、无线管理方面较为薄弱，在目前情况下看来，基本类似于胖AP。H3C的型号WA2620i, 5G天线没接 (成本考虑)，和Aruba 的AP在同一展馆, 没有

25、bandselect 5G优先(shooki补充)照片某些区域例如珠江散步道，AP数量较少，无线网络覆盖存在盲区。另外，未充分考虑展厅现场环境的复杂性，由于展厅在物理结构，特装展位，展品，人流等方面的影响，有时新建无线网络展厅无线信号覆盖存在盲区。无线网络优化技术方案AP布点设计 AP安装位置 AP安装位置，主要有两个可选方案。第一个方案的AP安装位置，如下图所示：X展厅四周部署全向天线AP，中间加6个AP，安装在固定立杆或者移动立杆上。关键是: AP选型，和天线的位置,部署优势：能够很好地满足高密度部署需要；信号强度也满足需要；安装和后期维护也比较方便；劣势：需要重新布线；中间6个AP安装问

26、题；比第二种方案多3个AP；第二个方案的AP安装位置，如下图所示：采用中国移动改造时的方案，采用定向天线，安装在15M高的天花板优势：关键是: AP选型2602E，和天线的位置,部署，用板状扇区天线，利用现有布线；劣势：信号强度(对2.4 G , Notebook -60dbm (中心值)，对mobile 已留有余量 ) 最理想地方预计不超过-60dBm，大部分区域预计在 -65dBm -75dBm，对手机终端接入是个挑战；信号质量问题高密度环境下，客户端吞吐量也大大折扣，因为客户端距离AP比较远；天花板太高，安装和后期维护比较麻烦；结合两种方案的优劣势分析，强烈建议使用第一种方案，来进行AP

27、的布点安装。以下优化方案，将基于第二种方案来描述(可结合产品来描述)。 AP信道规划首先我们需要考虑容量要求，对于2.4G系统，我们知道可用的不重叠的信道只有3个，分别是1、6、11，见下图：如果只有2.4G频点进行部署，那么建议信道规划形式如下图所示，蜂窝间的重叠不得小于20%对于5G频段范围，有多达20多个可用频点，其规划方法可以类似于2.4G进行蜂窝系统的规划方法，当然同时我们也需要考虑3维的设计覆盖，如下图所示：在中国只有5个不重叠信道可用，分别是Channel 149、153、157、161、165，但对于大多无线设备厂商来说，在5.8G的信道上只支持前4个信道。所以要求，信道间必须

28、进行合理分配，最大化避免同信道冲突。高密度设计每个客户端可用的无线带宽，跟每个AP所关联客户端数量有关系，请查考如下：在理想情况下，所有网卡都支持3x3 MIMO 802.11a/g/n时：1) 单个AP，10个并发客户端，每个客户端12.3 Mbps2) 单个AP，20个并发客户端，每个客户端6.1 Mbps3) 单个AP，30个并发客户端，每个客户端4.0 Mbps但是，在广交会期间，客户端的网卡不可能都支持3x3 MIMO 802.11a/g/n，需要考虑混合客户端网卡情况，也就是有些网卡仅支持 802.11a/b，不支持802.11n。而且目前市场上，支持802.11n的网卡，大部分是

29、1x1 802.11 b/g/n，只支持一个空间流。在混合客户端环境中，假设要求每个客户端 2Mbps，则每个AP 2.4GHz频道关联12个客户端，每个AP 5.8GHz 频道关联18个客户端，则单个AP总共可关联30个客户端。在高密度场景，1万平方米，每个客户端2Mbps要求，部署18个AP，最大可并发支持540个用户同时在线使用。高密度设计优化技术 BandSelect可结合产品和技术来解决前面的问题BandSelect技术，将双频用户自动引导到干扰更小的5G信道。今天，很多终端设备都是双频设备，而新部署的无线接入点也大部分都是双频接入点，即同时支持2.4G和5.8G,今天的无线干扰主要

30、集中在2.4G频段上，2.4G只有3个非重叠的信道，抗干扰能力比较差，而5.8G信道却相对好的多，可今天的现实情况是：虽然无线接入点是双频的，用户的终端也是双频的，但是，由于网卡的类型及驱动的不同，导致还有非常多的用户是链接到2.4G频段上，那么，有什么技术手段可以减少双频客户端关联到2.4G上，而直接使用5.8G频段呢？这就是的BandSelect技术所解决的问题。Band Select技术，解决了用户关心的802.11a/g双频客户的频道选择问题。通过延迟对双频客户端的2.4G probe请求的回应，迫使双频客户端在5.8G上发probe请求，然后回应5.8G的probe请求，实现将双频客

31、户端引导到干扰更小的5G频道上，同时也为只支持2.4G的用户提供了更多的使用带宽。Bandselect算法包括两个部分：Probe 抑制 识别双频客户端 (2.4GHz 和 5GHz 能力) 抑制 2.4 GHz 信道的 Probe 回应 等待双频客户端扫描 5 GHz 信道 不在 2.4 GHz 回应双频客户端的Probe请求 容纳只支持 2.4GHz 的客户端以及双频段客户端退回 2.4GHz 双频客户端 2.4GHz probe 请求抑制超时 标记只支持 2.4 GHz 的客户端并相应 probe 请求 高密度设计优化技术 VLAN Group及VLAN multicastVLAN Gr

32、oup及VLAN multicast功能，减少广播域同时优化了组播视频。对于大型网络设计和部署，为了减小广播域，降低每个子网内部的广播报文数量，网络管理员通常采用网络掩码对子网的大小进行限制。例如，每个VLAN采用一个C类地址，网络掩码是()，因此每个VLAN内最多支持253个用户。但是传统的无线局域网厂商都只能做到SSID对应1个VLAN，这样的带来的问题就是，面对大规模无线接入的时候，必须把这个映射VLAN的子网设的很大，比如一个B类地址（就是说将最多65000多个终端放在同一VLAN中），由于广播域过大，大量的广播报文（如DHCP、ARP等）将直接造成严重的网络拥塞。正是基于这个问题考虑

33、，Cisco提出了VLAN Group的概念，也就是说一个SSID可以映射多个VLAN，用户在连接入网络中时，的无线控制器依据终端的MAC地址为其随机分配某个VLAN，然后再通过WEB进行认证，这样既解决了一个VLAN接入用户数较少的问题，又保留了网络部署（特别是用户VLAN分配）的简单性和易用性。VLAN Group功能非常适合大规模部署，但是，有一个重要问题是不能够回避的，就是组播问题，也就是说如果某个AP下的SSID对应有5个VLAN，那么根据的VideoStream技术，如果5个VLAN都有组播流，那么控制器和AP之间的组播流就会有5路（有的厂商可能还会有更多，即每个无线客户端就占用一

34、个组播流），这显然对有线网的带宽是个浪费，同时对控制器和AP的性能也会产生不必要的下降。为了解决这个问题，提出来VLAN Multicast概念，即，无论这个VLAN Group中有几个VLAN有组播信息，只选择其中的一个VLAN来实现控制器和AP之间的组播流传输。信号强度（高密度场景）在空旷无展材阻挡的情况下，PC客户端网卡，信号强度在 -45 -65dBm，也可满足手机及各种Pad的无线接入。为抑制同频干扰，在高密度场景下，同一信道主AP与其它AP之间的信噪比为15dB以上。时延及带宽设计高密度环境下，各种应用对无线带宽的要求，统计表格如下：对于混合客户端环境（考虑仅支持802.11a/g

35、），单个AP支持30个客户端的话，每个客户端2Mbps，主观使用体验的话，能以较快速度打开常用网站网页，能流畅观看优酷等视频网站的标清视频。对于延迟，使用ping命令，以800byte包持续测试网关，时延在10ms以下且不丢包。对于使用2x2、2x3、3x3方式的802.11n，如果一个AP挂载20个用户，能以的5MBps的速率下载局域网文件，每个客户端最大速率可达67Mbps。信号强度及带宽优化技术 ClientLink用新的白皮书ClientLink技术使802.11a/g终端更好地高速稳定接入。虽然802.11n的AP已经开始大范围部署，尤其是本次的无线AP全部都是采用802.11n的A

36、P，但是大多数用户会继续使用802.11a/g 的终端设备。为了对现网存在的众多的的802.11a/g 设备提供投资保护，开发了ClientLink 技术，帮助用户将802.11n 的性能优势扩展到802.11a/g 设备的同时，增加了他们的使用寿命。大多数的802.11n 解决方案为802.11a/g 客户端在上行方向(客户端到无线接入点)提供了某种程度上的性能提高，但是无法在下行方向（从无线接入点到客户端）提高性能。认识到这一点非常重要，因为大多数的客户端流量，比如说网页浏览和文件下载，都是在下行方向。ClientLink 技术提高了802.11a/g 客户端下行链路的性能，从而提供了更好

37、的网络覆盖以及更可靠的漫游体验。另一个挑战是在同时部署了802.11n 和802.11a/g 设备的环境下，确保802.11a/g 设备不会限制802.11n 设备的性能。通过为802.11a/g 设备提高下行链路的吞吐量，ClientLink 为整个网络包括802.11n 客户端，有效的提高了系统容量。ClientLink 通过在无线接入点上预先植入的高级信号处理进程进行工作。在学习到用最大限度的方式将从无线接入点多个天线上接收到的客户端信号结合起来之后，ClientLink 使用这些信息，并通过最佳方式将数据包发送回客户端，这种技术称之为多输入多输出（MIMO）波束成形。此外，MIMO 波

38、束成形技术并不需要昂贵的外部天线就可实现。设备选型（高密度场景）此次方案选用无线设备，关键参数及功能：AP使用双频AP，支持802.11a/b/g/n，2.4和5.8GHz频段同时工作；AP支持智能内置天线 或 选用外置智能天线阵列的AP；在特殊环境中，可以考虑使用2.4GHz和5.8GHz外置定向窄波瓣天线，缩小单个AP覆盖范围；AP单频吞吐量支持450Mbps，后期可扩展至单AP 1.3Gbps吞吐量；无线控制器支持动态功率和信号强度调整，支持单个AP功率和信号强度调整，用于部分区域网优；AC和AP支持频谱分析及非法AP定位功能，且配备响应的软件；抗干扰设计干扰：无线网络的威胁微波炉、无绳

39、电话、RF干扰器、移动检测器、邻近的无线网络和无线安全摄像头是一些可能关闭您无线网络的干扰源，会导致企业生产力停滞不前。由于 RF 频谱涉及许多不断变化的因素，因此 IT 经理需要了解频谱的情况，以防意外停机。随着延迟敏感性应用程序（如语音和视频）进入企业，IT 经理更需要对干扰进行深入了解。解决 RF 问题不仅需要适当的工具，而且需要进行适当的培训。许多企业在进行有效的 RF 故障排除方面缺乏内部资源和专业知识。在现实环境中，来自于2.4G频点的干扰非常严重，比如蓝牙、微波炉、无绳电话等等，都工作在2.4G频段，这些系统的干扰会导致多媒体系统工作在2.4G频点及其不稳定，并且大多早期的无线终

40、端也是工作在2.4G频点，而且是低速的WLAN设备，比如只支持802.11b，通过实际的现场分析我们得到，低速率终端对于WLAN系统的整体能力的影响非常大，会导致下降一半以上的处理能力。而11a的频点相对干扰源少得多，并且民用级设备较少，来自于WLAN 11a本身的干扰也相对少得多，所以在这种情况下，采用11a为多媒体系统提供服务是一种明智的选择。为了继续提供数据服务且不影响多媒体服务，必须要求采用双频AP，同时支持802.11b/g/n和802.11a/n，这样才能同时提供高效、有质量的数据及多媒体服务。CleanAir技术 无线底层机制 (摘最新的CleanAir 白皮书设计指南)Cisc

41、o CleanAir 技术使用硅片级智能来创建可感知频谱、自行恢复和自行优化的无线网络，从而缓解无线干扰的影响，并为 802.11n 网络提供性能保护。Cisco CleanAir 技术提供 802.11n 的性能和支持关键任务应用程序所需的可靠性，同时还能以智能方式避免干扰的影响。CleanAir 技术是统一无线网络的一个系统范围功能，可通过提供无线频谱的完整情况，简化操作和改进无线性能。CleanAir 具有独特的能力，可检测其他系统检测不到的 RF 干扰，识别干扰源，在地图上找到它，然后进行自动调整来优化无线覆盖范围。通过 CleanAir，您可以访问无线网络中任何位置的设备和资产的实时

42、信息和历史信息。如今，IT 经理可以根据智能信息实施策略，快速采取行动来改进网络性能。CleanAir 技术包括Cisco 无线接入点的高级硅片设计以及无线控制器、无线网络管理系统和 Cisco移动服务引擎。Cisco CleanAir 可使企业： 自动优化无线 LAN 以提高可靠性和性能 执行远程故障排除，以便快速解决问题并减少停机 检测非 Wi-Fi 安全威胁并实时解决问题 查看历史干扰信息，以便进行回溯分析并快速解决问题 通过无线设备的智能识别来设置和实施策略自行恢复、自行优化的无线网络如果干扰源足够强，能够完全干扰 Wi-Fi 频道，那么应用 CleanAir 技术，系统就会在 30

43、秒内更改频道，以避免干扰，并继续在受影响区域以外的其他频道上进行客户端活动。系统能记住从微波炉、网桥或无线视频摄像头发出的间歇性干扰，避免使用运营这些设备的频道，以防将来造成干扰。许多公司都声称自己拥有集成干扰检测系统，但他们的产品无法区分 Wi-Fi 和非 Wi-Fi 干扰。其他制造商的频谱智能产品可能会错误地将网络噪音解释为干扰并随机切换频道，这会危及网络稳定性，而且可能会降低整体网络性能。Cisco CleanAir 技术使用硅片级智能，可精确地检测 20 多种干扰类型并加以分类，只有在它认为干扰非常严重，以致影响网络性能时，才会更改频道。如果 CleanAir 更改频道，它会考虑整个网

44、络频道策略，然后确定首选的频道更改。所有这些智能功能可创建一个自行恢复、自行优化的无线网络，从而为 802.11n 网络提供性能保护。故障排除调查分析可快速解决干扰并主动采取措施通过 CleanAir 技术，您可以利用易读的“空气介质质量指数”，充分了解无线频谱的性能和安全性。该指数可识别出现问题的区域，并在接入点、楼层、建筑物和园区环境中找出问题区域。CleanAir 可减少停机。网络管理员可以设置警报，以便在空气介质质量低于预期阈值时得到通知。另外，还可以将系统配置为自动实施安全或管理策略。Cisco CleanAir 生成报告来帮助网络管理员对亟需关注的干扰问题排定优先级，便于网络管理员

45、轻松地了解细节，以进行进一步的网络分析。报告包括最差 RF 条件汇总、最近的安全风险干扰源、阈值警报和历史图表。通过主动监控“空气介质质量指数”图表和 30 天的干扰报告，管理员可以规范正常行为并监控网络趋势，从中看出未来可能发生的问题，以免影响网络性能。快速、准确的干扰检测可减少误报由于大多数设备都不断地在移动或者开启和关闭的速度很快，因此很难跟踪干扰。即使成百上千个设备在极为繁忙的 RF 环境中同时运行，CleanAir 也能在 5 至 30 秒内对 20 多种干扰进行分类。CleanAir 分类的准确性和快速性是其主要优势，因为它可减少无干扰时（“仿真干扰”）的干扰报告，并消除多个 AP

46、 检测到的同一设备的重复报告。另外，它还可减少发生错误标记干扰源的情况，从而减少管理员通常浪费在搜索错误类型设备上的时间。高效的策略实施通过实施策略来阻止干扰 Wi-Fi 网络的设备一直以来都是网络管理员难以解决的问题。2.4-GHz 电话就可能使零售环境中用于库存跟踪的手持扫描仪失效。当有人在打 Xbox 游戏时，网络将无法正常使用。应用 CleanAir 技术，网络管理员便能够跟踪网络性能，找到并查看非 Wi-Fi 设备产生的影响，实施策略，防止已知干扰源影响网络速度或危害网络安全。强大的安全性从安全性角度看，在地图上跟踪设备可使您立刻了解要将安保人员派往哪里。有许多网络威胁是传统的 ID

47、S/IPS 系统检测不到的原因在于只能在 RF 级别检测到它们。这些威胁包括专有无线网桥，以及较早的标准，如 802.11FH。这些威胁还包括在非标准运行频率上运行或使用非标准调制的恶意 Wi-Fi 设备。当然，干扰设备也会经常发生拒绝服务类型攻击。除在地图上查看影响安全的设备外，管理员还可以根据设备或位置来配置定制警报。这是一种强大的功能，因为某些设备在建筑物的一些区域（例如，交易翼）内可能被认为是威胁，但在其他区域（如建筑物大厅）则不被认为是威胁。二.部分区域根据实际情况可考虑手动压制非法AP描述一下良好的互通性 在一个开放的无线网络中，考虑到无线设备及终端会采用不同厂商的产品，所以必须支

48、持WiFi设备间的互相兼容性，为了保证不同厂商间的无线设备都可以良好的兼容，需要无线AP及客户端都通过WiFi国际组织的认证。具体认证产品和信息，可参考 HYPERLINK 网站。保证组播视频应用优化 Video Stream视频流就绪特性通过三个方面改善了无线网络处理视频流量的方式。首先，它实现了视频组播到客户端的新方法，使得视频流更可靠并更有效地利用带宽。其次，它可以针对不同的视频流分配不同的优先次序，例如领导的讲话视频比体育比赛的视频具有更高的优先级。 最后，一旦新建视频流会影响整个网络的视频质量，无线网络会发现并阻止新的视频请求。新的软件已经成为公司在其无线接入点和无线控制器的系统代码

49、的一部分。组播对于无线是一个巨大挑战，这是因为客户端分布在离接入点不同的距离之内并因此调整相关的数据速率。为确保距离无线接入点最远的客户端可以接收到适当顺序和正确的数据包，无线网络将调整数据率来适应所有的客户。视频流就绪特性将这一转换下放到无线接入点来完成而不是通过无线控制器。无线局域网控制器管理传入的视频流，并传递组播流到局域网交换机，最后到达无线接入点。无线接入点将组播传输转换成多个独立的单播传送。无线接入点还处理状态控制，客户端监控及数据复制，以及只发送视频流到发出请求的Wi-Fi客户端而不是所有客户端。这种新办法意味着Wi-Fi网络现在可以处理大规模的视频组播，而且无线控制器和无线客户

50、端双方之间的有线和无线带宽能够更有效的利用。此外，利用了802.11e/WMM无线多媒体服务质量标准，创造了更加精细粒度的视频流优先次序。目前，相对数据传输WMM允许给予视频流整体的优先权。现在，视频流就绪特性可以针对不同的视频流给予不同的优先级，这可以动态的调整网络来适应需求的变化。例如一个关于流量安全的视频组播可以相对于其他“尽力而为”的视频流在网络上给予高优先权。最后，视频流就绪特性对待请求组播视频的无线客户端可以达到无线语音应用的水平。随着请求和连接数量的增加，在某一个无线接入点上的无线信道迅速被填满。接下来的“呼叫”在这种情况下将面临质量差的问题，并开始侵蚀其他的通话的质量。视频流就

51、绪特性通过资源预留控制功能阻止过多的组播视频请求，并发送一个“视频不可用”的信息，以保护网络上整体的视频质量。 网络管理员可以通过一套图形化管理界面设置和管理视频流就绪特性。 无线安全技术特点由于无线信号的空间泄漏特性，以及802.11技术的普及，随之而来的无线网络安全问题也被广大用户普遍关注。如何在保证802.11WLAN的高带宽，便利访问的同时，增加强有力的安全特性？业界的厂商纷纷研究发展了802.11技术，增强了无线局域网安全的各个方面，并促成了诸如802.1x/EAP，802.11i，WPA/WPA2等标准的诞生，以及后续标准（如802.11w）的制定。Cisco在无线局域网安全技术和

52、标准制定方面，扮演了极为重要的角色，是802.1x/EAP无线环境应用的最早支持厂商，并在无线安全标准工作组中占据领导地位。与其他网络一样，WLAN的安全性主要集中于访问控制和隐私保护。健全的WLAN访问控制也被称为身份验证可以防止未经授权的用户通过接入点收发信息。严格的WLAN访问控制措施有助于确保合法的客户端基站只与可靠的接入点而不是恶意的或者未经授权的接入点建立联系。WLAN隐私保护有助于确保只有预定的接收者才能了解所传输的数据。在数据通过一个只供数据的预定接收者使用的密钥进行加密时，所传输的WLAN数据的隐私才视为得到了妥善保护。数据加密有助于确保数据在收发传输过程中不会遭到破坏。但是

53、，无线局域网的安全并不仅仅局限于接入认证和数据加密。无线接入设备AP的物理安全性，AP连接到有线网络交换机的安全认证，基于无线访问位置的物理防护手段，如何避免攻击，如何快速发现非法/假冒AP，对一个网络系统来讲也是十分重要的。同时，随着最新的无线安全技术的发展，新的802.11w标准也被提上了议事日程，802.11w是对无线信号的管理帧进行安全管理的一种标准，已经在无线网络接入点和控制器以及CCX的计划上支持了MFP。在部署Mesh网络的时候，由于所有信令和数据的传输都是通过802.11a的Backhaul进行回传，那么对于11a上的数据加密也是我们需要关心的安全问题。无线网络的解决方案支持高

54、效、多级别、多种类、多级的认证方式和加密技术，具体如下：无线终端用户的用户认证（用户名/密码，数字证书）无线终端用户的数据加密（WEP，TKIP，AES）无线接入点的接入认证无线控制帧的安全管理（MFP）基于2-7层内容的入侵检测系统（无线IPS、IDS系统）支持精确的非法AP定位和隔离射频干扰的检测和辨别终端的安全接入保证（NAC）Mesh回传链路数据的安全加密终端快速、安全漫游机制的实现（CCKM）独特的访客隔离机制，保证跨地区漫游用户与无线网内部用户的隔离。将访客和无线网络完全逻辑隔离，在允许访客跨地区无线网络漫游访问互联网的同时保证内部无线用户的安全网络的安全管理所以，提供了基于有线无

55、线集成的统一的端到端的安全架构，系统构架如下下面我们详细讨论无线安全系统在各方面的实现情况。用户的认证和加密WLAN可能会遭受多种类型的攻击。无线网络系统在使用802.1X-EAP、TKIP或AES时，可以防止网络遭受多种网络攻击的影响。如下表所示：新的安全技术有助于制止网络攻击攻击类型安全改进身份验证：开放加密：静态WEP身份验证：LEAP，EAP-FAST，EAP-TLS或者PEAP加密：动态WEP身份验证：LEAP，EAP-FAST，EAP-TLS或者PEAP加密：TKIP/MIC，AES中间人不安全不安全安全身份伪装不安全安全安全薄弱IV攻击（AirSnort）不安全不安全安全分组伪装

56、（重复攻击）不安全不安全安全暴力攻击不安全安全安全字典攻击不安全安全安全在现有的无线网络数据加密技术中，除了要考虑加密算法外，还应当考虑传输密钥的管理。已经在产品方案上实施了TKIP/AES加密技术，可以有效改善无线链路的通讯安全。TKIP主要包括两个关键的对WEP的增强部分：1，在所有WEP加密的数据包上采用报文完整性检测 (MIC) 功能，以更有效的保证数据帧的完整性；2，针对所有的WEP加密的包实行 基于每个数据包密匙的方式。MIC主要是用来改善802.11低效率的 Integrity check function (ICV)，主要解决两个主要的不足：MIC对每个无线数据帧增加序列号，而

57、AP将丢弃顺序错误的帧；另外在无线帧上增加MIC段，MIC段则提供了更高量级的帧的完整性检查。有很多报告显示WEP密匙方式的弱点，报告了WEP在数据私密和加密上的很低功效性。在802.1X的重认证中采用WEP密匙旋转的办法可以减轻可能经受的网络攻击，但没有根本解决这些问题。802.11i的标准中WEP增强机制已经采纳了针对每个分组的WEP密匙。并且这些技术已经在Cisco的WLAN设备中得以实施。AES是一种旨在替代TKIP和WEP中使用的RC4加密的加密机制。AES不存在任何已知攻击，而且加密强度远远高于TKIP和WEP。AES是一种极为安全的密码算法，目前的分析表明，需要2的120次方次计

58、算才能破解一个AES密钥还没有人真正做到这一点。AES是一种区块加密法。这是一种对称性加密方法，加密和解密都使用同一个密钥，而且使用一组固定长度的比特即所谓的“区块”。与使用一个密钥流对一个文本数据输入流进行加密的WEP不同，AES会独立地加密文本数据中的各个区块。AES标准规定了三种可选的密码长度（128、192和256比特），每个AES区块的大小为128比特。WPA2/802.11i使用128比特密钥长度。一轮WAP2/802.11i AES加密包括四个阶段。对于WPA2/802.11i，每轮会重复10次。为了保护数据的保密性和真实性，AES采用了一种名为Counter-Mode/CBC-

59、Mac (CCM)的新型结构模式。CCM会在Counter模式（CTR）下使用AES，以保护数据保密性，而AES采用CBC-MAC来提供数据完整性。这种对两种模式（CTR和CBC-MAC）使用同一个密钥的新型结构模式已经被NIST（特殊声明800-38C）和标准化组织（IETF RFC-3610）所采用。CCM采用了一种48比特的IV。与TKIP一样，AES使用IV的方式与WEP加密模式有所不同。在CCM中，IV被用作用于制止重复攻击的加密和解密流程的输入信息。而且，因为IV空间被扩展到48比特，发生一次IV冲突所需的时间会以指数形式增长。这可以提供进一步的数据保护。由于WEP与TKIP均采用

60、统一加密算法RC4算法实现，可不幸的是，RC4算法已经被破解，虽然TKIP依然采用了动态密钥交换技术，但是由于算法的破解，TKIP还是可以破解，只是相对WEP破解难度稍大。目前足够强壮和安全的算法只有AES，所以对于网络要求极高的用户，强烈建议采用AES的方式进行加密。由于AES算法的严密性和强壮性，他对设备的消耗极大，所以我们也必须考虑到AES对于设备和系统的消耗，在设备选用时，需要完全考虑AES加密后的转发性能。无线接入点的接入认证在集中化无线网络架构下，无线控制器完全控制和管理无线接入点，那么无线接入点是否为一个合法接入网络的设备值得我们探讨。如上面的图例所示，无线控制器和无线接入点系统