企业无线网络系统设计方案

1、 企业无线网络系统设计方案目 录 TOC o 1-2 h z u HYPERLINK l _Toc46866084 第一部分 项目背景 PAGEREF _Toc46866084 h 2 HYPERLINK l _Toc46866085 1.1 项目概述 PAGEREF _Toc46866085 h 2 HYPERLINK l _Toc46866086 1.2 设计依据 PAGEREF _Toc46866086 h 2 HYPERLINK l _Toc46866087 1.3 设计原则 PAGEREF _Toc46866087 h 3 HYPERLINK l _Toc46866088 第二部分

2、整体需求分析 PAGEREF _Toc46866088 h 6 HYPERLINK l _Toc46866089 2.1 需求分析 PAGEREF _Toc46866089 h 6 HYPERLINK l _Toc46866090 2.2 拓扑规划 PAGEREF _Toc46866090 h 7 HYPERLINK l _Toc46866091 2.3 设计思想 PAGEREF _Toc46866091 h 7 HYPERLINK l _Toc46866092 第三部分 无线网络设计 PAGEREF _Toc46866092 h 9 HYPERLINK l _Toc46866093 3.1

3、总体设计概述 PAGEREF _Toc46866093 h 9 HYPERLINK l _Toc46866094 3.2 无线AP设备选型 PAGEREF _Toc46866094 h 50项目背景项目概述公司成立于1983年，是一家在全球范围内提供显示解决方案和快速服务支持的创新型科技企业。公司制造基地分布在深圳、上海、成都、武汉等全国各地，同时，在美国、德国、韩国、台湾、香港等主要发达国家与地区设有全球营销网络和技术服务支持平台。而目前建设中的厦门天马项目是厦门高新区着力打造千亿元光电产业集群、强化全国的光电显示产业集群试点基地的又一力作。针对其生产要求，结合我公司对于网络系统设计的理念和

4、多年来在网络工程建设中的经验，以实现高可靠、高性能、可扩充为前提，遵循开放、标准、安全和实用的原则，追求网络性能的最佳化、合理化、节省费用，技术上的先进性与成熟性、实用性相结合，为厦门G6网络系统提供合理有效的解决方案，满足其办公需求，保证在未来的信息化建设中高效稳定运行。设计依据数据中心由于其特殊性，需严格遵循国家GB标准所定义的电子信息系统机房设计等相关规范数据中心设计规范GB/T50174-2014电子信息系统机房设计规范GB50174-2008智能建筑设计标准GB/T50314-2006民用建筑设计通则GB50352-2005电力装置的继电保护和自动装置设计规范GB50062-92高层

5、民用建筑设计防火规范GB50045-95民用建筑电气设计规范JGJ/T16-92建筑与建筑群综合布线工程设计规范GB/T50311-2000弱电系统技术要求GA/T367-2001(2005年版)公共安全工程技术规范GB50348-2004电子计算机房设计规范GB50174-93建筑物防雷设计规范GB50057-94建筑物电子信息系统防雷技术规范GB50343-2004工业与民用电力装置的接地设计规范GBJ65-83工业企业通信接地设计规范GBJ79-85通信管道工程施工及验收规范GB50374-2006设计原则以安全、实用、冗余、先进、适应发展为总建设原则。1、实用性原则：以现行需求为基础，

6、充分考虑发展的需要来确定规模。2、冗余性原则：特别注重网络硬件系统自身在突发事件时的可用性，以冗余备份的设计方式加以保障。在核心位置提供设备级冗余，在主干设备与汇聚设备之间提供可靠的线路及模块冗余，当其中一个部件因故障停止工作时，另一部件自动接替其工作，并且不引起其他节点的路由表重新计算，从而提高网络的稳定性和可靠性。3、安全性原则：安全性是信息化建设的基础保障。出于安全及保密因素，现在信息化建设工程对安全性有很高的要求。设计的过程中必须依据国家各种有关安全法规政策，对硬件支撑平台的访问控制、在线监视、信息加密等方面进行完善考虑，在网络建构上根据功能划分相应的区域，使用如防火墙、入侵检测、信息

7、过滤等手段，防止非法用户、非法信息及病毒的入侵和泄密事件的发生。同时还要在企业内部建立健全各种相关安全管理制度，确保全网的安全。4、先进性原则：系统采用国际上先进的前沿网络技术，满足今后一段时期的需要。5、可靠性原则：要保证系统运行可靠，极高的平均无故障时间和极短的设备修复时间。网络的运行必须保证相当高的可靠性，以满足工作及信息的安全与稳定。防止局部故障引起整个网络系统的瘫痪，避免网络出现单点故障。6、易维护原则：系统要易于管理、易于维护。网络需要很高的可管理性，特别是在数据、视频等多业务的网络系统里，要使用可管理的网络设备，可以识别关键资源，根据流量状况以及网络性能配置阈值并为不同的应用提供

8、不同的带宽，使所有的服务能够顺利完成。随着系统的投入运行和系统资源的不断增加，网络系统应具有很好的易维护性，使管理人员易于维护，减少不必要的额外劳动，提高工作效率。7、易扩展原则：设计过程中应当保证在用户业务量和业务类型的变化增长的情况下，硬件支撑平台能够方便的升级并扩展，网络可以自如地扩充容量，支持更多的用户及应用。网络平台设计时必须按照各种国际通用标准进行，以保证各种设备、网络的兼容通用，将来网络在实现扩容、升级时不会受到某些厂家专有标准的限制。网络结构与网络技术的选择，要具有相当的前瞻性，以确保随着网络技术的不断发展，网络能够平滑地过渡到更先进的技术和设备，充分保障用户现有的投资和利益。

9、整体需求分析需求分析根据前期和客户沟通汇总的需求，本次项目规划涉及网络包括：园区有线网络、园区无线网络、数据中心网络、管理控制网络、外联网络、互联网络等网络。按照模块化、层次化、区域化、可扩展的规划原则，厦门G6总体网络可进行以下模块化划分：园区网核心交换区域：VSS系统架构，高可靠性和提升网络性能;部署冗余无线控制器，实现无线快速切换园区网络接入区域：万兆光纤主干，通过VSS实现链路的捆绑，提高链路利用率，包括有线和无线接入方式.数据中心核心交换区域：VPC+系统架构，高性能高扩展性数据中心主机接入区域：公司办公业务系统的各种服务器外联区域：双机SSL VPN终结设备，提供外联及接入的高可靠

10、架构员工上网区域：链路负载均衡、防火墙设备整合应用。管理控制区域：管理控制区域，主要都由各种服务器系统组成，是整个网络运维管理的核心区域，网络管理系统、网络安全审计及授权系统、无线覆盖的管理系统、移动终端的认证管理系统等网络运维的管理系统均部署于该区域拓扑规划设计思想园区有线采用两种方案： 方案一：针对M3区采用两层架构，核心采用Cat6807交换机，接入层采用Cat6800ia交换机,实现即时接入。该接入交换机可提供48端口接入且最大24端口802.3at 30W供电能力。通过VSS+IA技术实现园区简化架构、提高转发效率的要求。 方案二：针对M4厂区由于受限于光纤等资源情况，需在M4楼部署

11、汇聚设备；即采用传统三层架构方式园区无线采用CT5520作为无线控制器，接入层AP采用支持802.11ac的1700/2700系列。无线AP2702E可实现高密度无线接入。方案中采用FlaxConnect集中认证、本地转发模式。管理控制层使用Cisco ISE作为整网管理控制平台，Cisco ISE支持有线无线准入控制一体化。将无线访客网络通过Cat6807的VRF特性进行流量隔离，并指定网关至深信服AC。深信服AC上对此网段进行Portal认证，实现对无线访客的Portal认证。无线网络设计总体设计概述 根据客户需求,在有线网络基础上作为一个补充解决办公人员内部网上网络以及各厂区内工作人员作

12、业；需建立一个高效、灵活、快捷、安全、稳定的网络系统。 对于集团的需求，本方案建议采用思科的无线网络产品系列集中式、可管理架构的无线局域网架构解决方案来实现无线网络的部署。 思科无线网络产品系列是为那些希望为本身业务、IP电话和融合多媒体应用系统广泛部署无线覆盖的一款完整802.11AC解决方案。这款解决方案将最新的行业标准与一种集中架构和先进功能结合起来，创建一种安全、经济有效并且极具扩展性的无线局域网(WLAN)基础设施。思科无线网络产品系列包括规划和实施所需的工具和功能，使首次部署无线局域网(WLAN) 能快捷简便的完成，也适合于企业逐步演进事先精确设计的无线移动基础设施。 思科无线网络

13、产品系列采用一种由一台或几台中央无线控制器控制和管理“瘦”接入点的集中式无线局域网部署模式。这套系列的三个主要构件包括一个多频点接入点（AP）、无线控制器（WLC）组合和一套有线、无线管理软件系统（Prime）。在整个无线移动解决方案中，每个构件均起着重要作用。 根据集团网络结构特点，建议选用思科集中无线网络解决方案，整体划一，系统管理，准确定位，高效运营，全面满足集团无线网络的业务需求， 集团部署WLAN控制器5520。5520支持AP的数量根据各地AP的需求而选择不同数量的许可，单台最大支持1500台AP。其中主 设备1台（配置280个AP许可），冗余设备配置一台HA功能； 保证无线核心的

14、高可靠性。 由于集团有线部分已经部署思科的交换、路由设备；因此建议在核心部署1套Prime 管理软件，作为网络的管理平台，集中管理所有集团有线、无线设备。思科prime可以帮助用户确定AP的部署位置、管理和配置所有网络中的AP以及实时监控和汇报WLAN系统的运作情况。在集团核心部署ISE认证服务器，思科ISE身份服务引擎作为下一代身份和访问控制策略平台，可以帮助企业执行策略规定、加强基础设施安全并简化服务操作。思科ISE的独特架构可帮助企业从网络、用户和设备收集实时信息，通过在有线、无线和远程网络访问等多种情景下，实施访问控制策略，并以此制定出有效的管理决策。无线系统规划以及业务系统要求无线系

15、统规划考虑因素 在进行WLAN系统设计之前，必须明白多媒体WLAN系统对于无线信号覆盖、SNR、流量、时延的要求，首先对于WLAN网络的信号覆盖，需要注意已下方面：信道规划 首先我们需要考虑容量要求，对于2.4G系统，我们知道可用的不重叠的信道只有3个，分别是1、6、11，见下图 如果只有2.4G频点进行部署，那么建议信道规划形式如下图所示，蜂窝间的重叠不得小于20% 对于5G频段范围，有多达20多个可用频点，其规划方法可以类似于2.4G进行蜂窝系统的规划方法，当然同时我们也需要考虑3维的设计覆盖，如下图所示 在中国只有5个不重叠信道可用，分别是Channel 149、153、157、161、

16、165，但对于大多无线设备厂商来说，在5.8G的信道上只支持前4个信道。所以要求，信道间必须进行合理分配，最大化避免同信道冲突。干扰考虑 在现实环境中，来自于2.4G频点的干扰非常严重，比如蓝牙、微波炉、无绳电话等等，都工作在2.4G频段，这些系统的干扰会导致多媒体系统工作在2.4G频点及其不稳定，并且大多早期的无线终端也是工作在2.4G频点，而且是低速的WLAN设备，比如只支持802.11b，通过实际的现场分析我们得到，低速率终端对于WLAN系统的整体能力的影响非常大，会导致下降一半以上的处理能力而11a的频点相对干扰源少得多，并且民用级设备较少，来自于WLAN 11a本身的干扰也相对少得多

17、，所以在这种情况下，采用11a为多媒体系统提供服务是一种明智的选择。 为了继续提供数据服务且不影响多媒体服务，必须要求采用双频AP，同时支持802.11b/g和802.11a，这样才能同时提供高效、有质量的数据及多媒体服务。无线业务系统部署要求 信号强度要求室内环境 对于一个有保障的多媒体无线系统，对无线蜂窝之间信号强度和信噪比也有特殊的要求，室内要求无线信号在无线蜂窝覆盖边缘信号强度不低于-67dBm至-70dBm，信道之间的信号强度差异应至少大于19dBm，信号重叠区域在20。室外环境室内要求无线信号在无线蜂窝覆盖边缘信号强度不低于-75dBm至-78dBm，同信道之间的信号强度差异应至少

18、大于19dBm。信号重叠区域在20，保障无线多媒体传输的正常运用。信躁比要求室内环境室内环境相对比较干净，室内环境噪音一般不会高于-95dBm，多媒体业务的信躁比要求应不低于20dBm。室外环境室外环境相对比较复杂，室外环境噪音一般在-90dBm左右，多媒体业务的信躁比要求应不低于15dBm。传输时延 根据3GPP对于多媒体质量的要求，多媒体双向传输的往返时延应低于300ms，即单向传输时延不高于150ms。多媒体质量评估 根据3GPP对于多媒体质量的要求，对于有质量的多媒体网络，MOS值应不低于4.0。 容量支持 在进行了良好规划，并按照规划要求部署了无线网络系统以后，一个双频AP（同时支持

19、802.11g和802.11a）对于多媒体数量的承载不低于20路实时多媒体数据。定位支持 为了保证无线网络进行准确定位，室内AP间隔保持在1720M，每个AP的覆盖半径为810M。完善的多媒体QOS机制 在无线网络系统中，如果通过同一个AP提供多媒体、数据等服务，我们必须有Qos保证机制，要求支持WMM国际标准，支持WMM及WMM Power Save功能，以保证有质量的多媒体传输良好的互通性 思科不仅把主要精力放在无线网络产品的研发和推出上，还十分关心无线网络产品和客户端的兼容性和互操作性方面。思科推出的CCX（Cisco Compatible Extensions）计划给客户端带来一套功能

20、扩展来克服基于802.11协议的诸多不足之处。在思科引入CCX八年多的时间内，所有的无线芯片制造商都纷纷和思科签订协议，并宣布在他们的客户端上遵守CCX，从中不难看到思科的业界影响力。思科差不多已经说服了每一家网卡生产商，把思科兼容扩展（CCX）标准加入到硬件里面。目前市场上的300多种无线终端有90都通过了不同版本的CCX认证。您可以在下列链接查询到各个厂家的终端通过CCX认证的情况。 HYPERLINK /web/partners/pr46/pr147/partners_pgm_concept_home.html /web/partners/pr46/pr147/partners_pgm_

21、concept_home.html思科是一个不断创新的公司，CCX历经八年，现已推出5个版本，每个版本侧重不同又向下兼容。通过 Cisco Compatible Extensions (CCX)计划，许多第三方手持设备供应商的产品都能支持这些思科的创新。WiFi认证的很多测试也取材于CCX计划。用户将能从CCX认证中获得无线网络最大的最大的兼容性和互操作性又不牺牲安全性、漫游性和信号稳定性。基于无线系统的节电功能 移动终端的电池的能力是一个非常重要的问题，电池待机及通话时间的长短直接影响到无线多媒体网络的可用性，如果终端维持时间过短，那么这个多媒体网络基本也不可用。本次无线网络中需考虑到终端节

22、电功能。无线安全性 多媒体业务通过无线网络进行传输的时候，我们不得不可虑其多媒体业务的安全性，安全性包括了用户的身份认证和多媒体流的加密。本次设计中除考虑无线数据传输的安全性外还必须提供有效机制保障无线多媒体安全性。无线的安全快速漫游 在无线多媒体系统里，多媒体的漫游机制会大大影响多媒体的通话效果，尤其在切换的时候，如果漫游时间过长，那么程度稍轻的会产生通话质量影响，严重情况下，会导致多媒体通话中断。所以， WLAN的快速漫游机制是多媒体网络的至关重要的问题。 本次设计中需考虑到采用相应机制（如CCKM）保证漫游情况下的无线多媒体传输。 无线系统的选型建议多媒体WLAN系统对于无线WLAN设备

23、的选用及相关设备的选用都有比较严格的要求，只有精心设计的无线WLAN网络才能完整的提供高质量的多媒体业务。AP的选择 首先对于AP和客户端的选择，前面我们已经提到，我们推荐采用双频的AP去部署无线网络以提供数据和多媒体集成的业务。天线的选择和分析首先我们观察一下无线终端天线的位置和极化分布图 通过对于无线终端天线的分析，我们看出头部会对无线信号有一个衰减，具体大概会衰减5dB。同时，如果采用定向或Patch天线进行信号覆盖，由于头部的遮挡，覆盖效果会受到很大的影响，所以建议采用全向天线采取吊顶安装的方式提高信号覆盖， 同时，对于AP的天线的使用，我们强烈推荐采用分级技术，分级技术可以帮助增加多

24、媒体的稳定性及降低传输时延，通过参考下列图形，大家可以更清楚的了解分级天线带来的好处，采用分级天线以后网络传输时延明显下降多媒体要求更高的无线信号强度和信噪比，如下图 所以，对于需要使用多媒体的WLAN系统来说，我们需要对无线信号有更高的要求，这也意味着无线多媒体终端需要更高的信噪比SNR，所以高增益的天线并不适合进行无线多媒体系统的部署，因为增益太高的天线会增加覆盖面积，会造成无线AP和终端设备双向功率不匹配，无线多媒体容量不够等问题。所以总结下来，我们对于无线部署的建议如下：选用无线双频AP，以部署数据及多媒体集成的业务网络采用低增益天线，以满足多媒体容量的要求AP每个无线模块配置2根以上

25、天线以开启分级模式增强信号的稳定性和减少传输的时延采用顶部安装或帖壁安装的方式避免复杂环境对信号的衰减采用专业的无线多媒体终端以优化无线多媒体在WLAN网络中的使用感受AP部署地点2702数量 （办公）1702数量 （厂房）m3一层（全覆盖）676m3二层（全覆盖）1076m3三层（只有办公区）120m3四层（只有办公区）70m4一层（全覆盖）118m4二层（全覆盖）518m4三层（全覆盖）318m4四层（全覆盖）218c2（只有办公区）40w2（暂时预估4个ap）40总计54224ap数量总计278“干扰”的定义是任何不属于某个思科WLAN系统的802.11流量，包括恶意接入点、蓝牙设备或者

26、相邻WLAN。思科轻型接入点一直在扫描所有信道，寻找主要的干扰源。如果802.11干扰幅度超过了预定的阈值（缺省值为10%），一个消息就会被发送到思科无线控制系统。思科无线局域网控制器将设法重新分配信道，以便在存在干扰的情况下提高系统性能。这可能会导致相邻思科轻型接入点位于同一个信道上，但是这显然要比让接入点继续留在一个因为某个干扰接入点而无法使用的信道上好得多。动态信道分配机制对干扰的反应 恶意设备管理员可以从思科WCS实时地查看RF环境的情况（如下图所示）。这有助于了解无线空间的运行状况，尤其是试图诊断WLAN故障时。无线控制器的部署设计无线控制器硬件通过双重供电、多链路中继、Active

27、-Active架构选项和n+1冗余设计，消除系统内的单点故障，提供系统弹性。思科的无线控制器可以实现N:1，N:N的备份，且互为备份的控制器可以跨越三层网络，部署更灵活，同时备份控制器和主控制器可以同时接入AP，同时工作，大大保护了用户的投资！ 随着以后网络的不断扩展，可以再增加一台专门的备份控制器实现111冗余。特步集团无线项目的整体网络拓扑如下： 本次项目选择802.11 AC无线AP作为无线接入点，那么AC可以选择思科5520系列无线控制器。采用思科5520系列无线控制器作为整个无线网络的核心，承担着无线网络的控制和数据交换工作：Cisco 5520 系列无线控制器是一款高度可扩展的灵活

28、平台，能够在大中型企业和园区环境中，为关键任务无线网络提供系统级服务。5520 系列专门采用了独特设计，支持 802.11n、802.11AC 的性能下的最大可扩展性，通过射频的监控和保护能力提供延长的正常工作时间，并且可以同时管理 1500 个接入点；它具有卓越的性能，可以提供可靠的视频流和长话级音质；它还具有增强的故障恢复功能，能在要求最严格的环境中提供一致的移动体验。5520 系列针对 HYPERLINK /go/nextgen-wireless 高性能无线网络进行了专门优化，可以提供增强的移动性，帮助企业为下一波的移动设备和应用发展浪潮做好充分准备。5520 系列支持更高的客户端密度，

29、可提供更高效的漫游，吞吐量至少是现有 802.11AC 网络的九倍。5520系列可以自动执行无线配置和管理功能，为网络管理人员提供必要的监控能力，从而经济高效地管理、保护并优化他们无线网络的性能。5520 系列内置 CleanAir 技术，通过实时和历史射频干扰信息和跨网络接入来为快速故障排除提供解决方案，以保护 802.11n 性能。作为思科统一无线网络的组成部分，该控制器可在 HYPERLINK /en/US/products/ps5678/Products_Sub_Category_Home.html Cisco Aironet 接入点、 HYPERLINK /en/US/product

30、s/ps6305/index.html Cisco 无线控制系统 (Prime) 和 HYPERLINK /en/US/products/ps9742/index.html 思科移动服务引擎之间实现实时通信，从而提供集中的安全策略、无线入侵防御系统 (IPS) 功能、以及屡获殊荣的射频管理和服务质量 (QoS)。无线接入层设计室内AP选型室内AP的选择需要考虑三个方面网络工作频段采用802.11g单频AP部署会遇到仅有三个不重叠频点部署以及2.4G非许可频点产品（2.4G步话机、微波炉、蓝牙耳机、2.4G无线耳机、无绳电话等数百种类型产品）的干扰等问题所以网络容量往往不能满足未来应用之发展需求

31、。而随着双频三模（802.11a/b/g）无线网卡及终端的普及，园区网络及大型企业WLAN的覆盖也逐渐由802.11b/g转为802.11a/b/g。802.11b/g具备较大的覆盖范围但只有三个不重叠的频点，而802.11a由于频段较高所以无线链路损耗也较802.11b/g严重所以覆盖范围较小，但是802.11a却具备了4个不重叠的频点资源（中国），所以可以提供较高质量和容量的小区覆盖，因此也扩大了无线网络容量。建议采用同时能够提供双频的AP来进行网络部署。考虑到现阶段多媒体无线终端设备的情况，本次以2.4G频段覆盖为基础，结合5G频段覆盖进行设计。网络容量和性能集团的无线网络是以提供应用为

32、最终目标而建设的网络平台。为了满足集团多媒体业务，包括视频、语音等方面的需求，带宽需求则是一切业务的首要基础。所以本次室内将部署cisco支持802.11AC技术的AP，支持在2.4G和5G频段下实现802.11n技术。在802.11g下最高可提供144M带宽、在802.11n下最高可提供300M带宽，802.11AC支持1.3G带宽；完全可以满足各种多媒体业务的需求。 AP安装由于集团建筑结构美观复杂，所以为了不破坏建筑内部的装修环境思科提供了AP外观简洁（白色方形）且最厚处厚度仅有3.3厘米的厚度很适合在允许的区域内安装在天花板顶部或墙壁上。这样既不影响建筑外观对安装位置也没有环境要求。8

33、02.11 AC技术IEEE 802.11ac，是一个 HYPERLINK /view/345218.htm t _blank 802.11无线局域网（ HYPERLINK /view/32856.htm t _blank WLAN）通信标准，它通过5GHz频带（也是其得名原因）进行通信。理论上，它能够提供最少1Gbps带宽进行多站式 HYPERLINK /view/5470.htm t _blank 无线局域网通信，或是最少500Mbps的单一连接传输带宽。 HYPERLINK /view/3423310.htm t _blank 802.11ac是 HYPERLINK /view/3284

34、3.htm t _blank 802.11n的继承者。它采用并扩展了源自802.11n的空中接口（air interface）概念，包括：更宽的RF带宽（提升至160MHz），更多的MIMO空间流（spatial streams）（增加到 8），多用户的 HYPERLINK /subview/50652/5074234.htm t _blank MIMO，以及更高阶的调制（modulation）（达到 256QAM）。核心技术 HYPERLINK /view/3423310.htm t _blank 802.11ac的核心技术主要基于 HYPERLINK /view/32828.htm t _

35、blank 802.11a。802.11ac继续工作在5.0GHz频段上以保证向下兼容性，但数据传输通道会大大扩充，在当前 20MHz的基础上增至40MHz或者80MHz，甚至有可能达到160MHz。再加上大约10%的实际频率调制效率提升，新标准的理论传输速度最高有望 达到1Gbps，是802.11n 300Mbps的三倍多。802.11ac与802.11n之间的区别从核心技术来看，802.11ac是在802.11a无线Wi-Fi标准之上建立起来的，包括将使用802.11a的5GHz频段。不过在通道的设置上，802.11ac将沿用802.11n的MIMO(多进多出)技术，为它的传输速率达到1G

36、bps打下基础。802.11ac每个通道的工作频率将由802.11n的40MHz，提升到80MHz甚至是160MHz，再加上大约10%的实际频率调制效 率提升，最终理论传输速度将由802.11n最高的600Mbps跃升至1Gbps。当然，实际传输率可能在300Mbps400Mbps之间，接近目前802.11n实际传输率的3倍(目前802.11n无线路由器的实际传输率为75Mbps150Mbps之间)，足以在一条信道上同时传输多路压缩视频流。此外，802.11ac还将向后兼容802.11全系列现有和即将发布的所有标准和规范，包括即将发布的802.11s无线网状架构以及 802.11u等。安全性方

37、面，它将完全遵循802.11i安全标准的所有内容，使得无线Wi-Fi能够在安全性方面达到企业级用户的需求。根据 802.11ac的实现目标，未来802.11ac将可以帮助企业或家庭实现无缝漫游，并且在漫游过程中能支持Wi-Fi产品相应的安全、管理以及诊断等应用。802.11ac的优势802.11ac的第一个优势是它是专门为5GHz频段设计的。这个频段为关键的数据速率增强功能之一的通道绑定提供了更大的灵活性。通道绑定通常用于目前的802.11n设备中。由于多数802.11n设备是为2.4Ghz频段设计的，这个频段的通道绑定能够引起严重的互操作问题。5GHz频段能够以更广大的空间提供更多的频道，对

38、于婴儿监视器、无线监视摄像机和微波炉等消费电子设备的干扰远远不那么敏感。额外的协议增强功能也专门使通道绑定不可能引起互操作问题。这包括设备能够评估相邻的频段是否清晰和是否可用于通道绑定以及让设备在数据传输之前保留更宽的带宽。这允许将通道绑定从802.11n中的40MHz提高到802.11ac的80至160MHz。让通道绑定更少侵入性并且让无线设备默认地使用是在802.11ac中实现加快的数据速率的关键。802.11ac的第二个优势是尽管数据速率显著增加，电源消耗与802.11n类似的容量相比还减少了。802.11n开始把电源极限(特别是用于移动/便携式设备)提高到大多数便携式设备无法利用802

39、.11n的全部优势的水平。通过使用更有效率的数据编码机制，802.11ac允许设备使用较少的传输路径，同时仍然能够实现更高的数据速率。正是额外的RF传输链真正地消耗电源。此外，考虑到802.11ac的一个主要应用是在家庭内部发布视频，电源问题可以进一步缓解，因为许多设备将不是移动的，如你的52英寸液晶电视机。这意味着交流电是可用的。视频传送一般是单向的。这意味着PC或者数字录像机将传送视频。这些设备需要更多的电源。电视机或者iPad主要是接收高带宽信号。这些设备需要较少的电源。最后，802.11ac引进了一个可选购的功能。一台传送设备能够同时向多个接收设备传送流视频等数据。目前，802.11通

40、讯实际上是点对点的通讯。如果同一个视频流需要发送到三个客户机，它就需要三倍的带宽。采用802.11ac，带宽的使用将更有效率。综上所述，在本次室内无线部署时对于无线AP部分我们建议选择思科1700系列 AP部署在办公区，同时选择思科2700系列802.11ac标准1.3G吞吐的无线AP部署在会议室等高密度区域。POE接入交换机思科建议集团采用以太网供电技术为无线AP提供电源！从字面上不难理解，以太网供电技术是指网络设备无需插接电源，而直接通过与上联的设备之间的以太网网线来提供设备正常运行所需要的电源。在IEEE所批准的802.3af标准中，对路由器、交换机和集线器通过以太网网线向IP电话、安全

41、系统以及无线局域网接入点等设备供电的方式进行了明确规定，为以太网供电技术的广泛应用提供了足够的保障。此外，以太网供电技术还将提高用户在支持新服务和新应用方面的网络灵活性和实用性，通过降低成本开支、简化管理和降低运行成本，以太网供电技术将使现有的网络基础设施为客户创造更多、更好的收益。综上所述，在本次POE交换机建议选择思科C2960X 24 POE交换机统一身份认证 本次项目的目的不是新建一张独立的网络，而是为现有网增加无线覆盖能力，建成后，新的网在使用方式上不应该有重大变化。因此，新建的无线网络必须与现有网络的认证系统集成。用户无论通过有线网络还是无线网络访问，都要经过相同方式的身份认证，采

42、用同一套用户口令信息和授权信息，一次性认证后就可以访问授权的网络资源。 在尽可能与有线网络保持一致的同时，也要充分考虑无线网络本身的特点。现有网络中有多种不同类型的终端，有通用计算机，各种各样的移动终端，如智能手机、平板电脑等，还有支持无线网络的专用仪器和设备，如无线视频监控仪，无线打印机，等等。这些终端对认证方式的支持情况各不相同，我们必须考虑为所有终端提供适当的认证方式。根据对网络用户的安全要求，以及校内主要无线网络终端类型的统计，要求新建的无线网络必须支持以下几种认证方式：802.1x认证802.1x是现有认证方式中最安全的一种。802.1x可以基于证书对访问设备进行认证，并通过扩展认证

43、协议EAP实现用户身份的认证，整个认证过程可以由加密隧道保护，避免认证信息泄露。802.1x可以作为WPA的认证组件，支持AES/TKIP数据加密，为用户数据提供加密服务。802.1x的部署成本稍高，要求用户终端安装支持802.1x的客户端软件。不过，目前主流的操作系统如MS Windows、MAC OS、Android、Sybian等都带有内置的802.1x客户端，简化了软件配置的问题。802.1x适合计算机操作熟练，且对无线传输安全要求较高的用户使用。Web认证Web认证是指通过web portal为用户提供认证界面的认证方式。使用web认证时，用户可以直接关联到无线网络并得到IP地址，但

44、此时用户还不能正常访问网络，要想得到完全的网络访问服务，用户必须打开Web浏览器，试图访问某个网站，然后认证系统会通过用户的浏览器推出认证界面，要求用户输入用户名称和认证口令等信息，用户输入后，无线系统则拿用户提供的认证信息到后台认证系统处认证，如果通过，则控制器放开此用户的访问权限，用户可以访问网络。Web认证方式通过web浏览器引导用户完成认证，这种界面很友好，直观，对任何有浏览网络经验的用户来说都很简单。而且，web浏览器软件几乎在任何智能设备上都存在，不需要用户专门安装，对终端的要求很低。因此，web认证方式很适合高校环境，可以大大减轻用户终端设备支持的压力。MAC地址认证通常，网络中

45、还有一类设备，这些设备通常是专用的仪器或工具，如无线摄像头、无线打印机、无线条码扫描仪等。这些设备的处理资源很有限，主要用于其本身工作，很难在上面安装web浏览器或其他认证客户端软件。对这些设备最可靠的方式是根据其MAC地址进行访问控制，即MAC地址认证。MAC地址认证方式不需要终端设备安装任何客户端软件，也不需要终端用户进行认证操作，适合简单设备的验证。MAC地址认证可以分两种情况，白名单和黑名单。白名单即在认证服务器上维持一个MAC地址表，这个表中的地址是允许访问网络的；黑名单则正好相反，被列在这个表中的地址不能访问网络，一般把已知不安全的设备列出，这些设备本身对网络构成安全威胁，无论什么

46、用户都不能用这些设备访问网。无论用哪种，都使用统一认证系统。在思科统一无线网络系统中，真正执行认证动作的是无线控制器AC，是AC收集用户认证信息，并通过RADIUS与认证服务器交互，完成认证动作。认证过程如下图所示：为方便用户使用，特步集团无线网络设置多个WLAN，分别使用不同的用户认证方式，通过WLAN对应的SSID名称指出该WLAN使用的认证方式。用户可以根据自己的安全需要选择WLAN进行访问。本项目主要选择了使用Web认证方式的WLAN，用户会顺利关联到无线网络并获取IP地址。但要想真正访问网络，用户需要打开一个web浏览器并接受认证。此时控制器AC不允许该用户通过无线网络收发任何数据，

47、除了DNS和DHCP数据。当用户发出HTTP请求时，AC截获该请求并将用户浏览器重定向到事先指定的认证界面上，该界面引导用户输入用户名和口令，认证界面上的代码将认证信息提交给AC，然后AC通过RADIUS协议与认证服务器完成认证过程。AC与认证服务器的通讯是后台通讯，可以使用明文的PAP方式认证，如果PAP不能满足安全要求，也可以配置AC，使用更安全的CHAP方式认证。在使用Web认证方式时，思科无线控制器支持PAP、标准CHAP和MD5 CHAP三种认证方法。其中MD5 CHAP既不会在网络上传输用户的口令信息，也不需要在后台存储其明文口令，这样可以从技术上避免用户口令泄露，而且，消除网管人

48、员对用户口令信息保密的责任，符合特步集团网络管理运行的要求。因此我们建议对与Web认证方式采用MD5CHAP认证方法。对于选择了MAC地址认证设备，则AC通过RADIUS协议向认证服务器请求认证，该请求中，用户名和口令都基于MAC地址信息。MAC地址认证又可以分为两种情况，白名单和黑名单方式。白名单方式及服务器维护一个MAC地址列表，该列表中的MAC地址是可以访问网络的。如果终端的MAC地址出现在这个列表中，则该设备可以访问网络；黑名单中则列举已知对网络有威胁的设备的MAC地址，如果一个终端设备的MAC地址出现在这个列表中，则任何人都无法使用该设备访问特步集团的无线网络。思科的无线解决方案同时

49、支持白名单方式和黑名单方式。建议为无线仪器设备、无线打印机等设置专门的WLAN，采用MAC地址认证，为这些特殊设备提供安全的无线网络服务。WLAN领域的趋势是向集中智能和集中控制发展。使用一个WLAN控制器系统来为大量轻型接入点创建和执行策略。通过集中这些设备的智能特性，整个无线企业中对WLAN运营至关重要的安全性、移动性、服务质量 (QoS)和其他功能都可得到有效管理。此外，通过分离接入点和控制器的功能，IT人员能简化管理、提高性能并使大型无线网络更为安全。无线网络管理传统的WLAN解决方案将所有的流量处理、RF控制、安全和移动功能分散到各接入点提供。但这种架构只允许单个接入点浏览802.1

50、1流量。这意味着： 当未配备管理设备时，必须分别管理各接入点，从而提高运营成本和增加对人员的要求无法查看系统中的网络级攻击和干扰在第一层、第二层和第三层中只有一个安全策略实施点无法发现和抵御针对整个WLAN的拒绝服务(DoS)攻击系统不能关联或预测企业中的活动实现优化、实时的负载均衡的能力有限客户端无法进行快速功能切换，而这正是支持语音和视频等实时应用所必需的如果一个接入点被偷窃或破坏，就会带来内部安全风险对等WLAN架构限制了性能、可管理性和安全性的提高 大量设备供应商已纷纷采取措施，来消除对等WLAN架构的局限性（如上图）。其中许多供应商宣布采用新架构，集中部署WLAN智能，以实现更高性能

51、和效率。思科无线网络特点实时的射频自动监测（CleanAir)Wi-Fi 所面临的不单纯只是性能方面的挑战，也有安全方面的挑战。业界已经致力于了解欺诈无线接入点如何在企业网络中打开安全漏洞，且已经达到了很好的水平。目前，已经设计了无线入侵检测系统和入侵防御系统 (wIDS/wIPS) 来解决这一问题。但是，当前 IDS 和 IPS 解决方案还有一些重大盲点，如果不增加频谱智能就无法解决。当前 IDS/IPS 系统无法检测以专有扩展模式（如 Super G，来自 Atheros）运行的无线接入点。这些随时可用的设备是检测不到的。此外，黑客还可能采用标准 Wi-Fi 设备（例如，运行 Linux）

52、并对其进行修改，以使其在非标准信道上运行或以其他非标准调制方案运行。只有在您分析射频物理层以后，才能检测到这些扩展或修改的设备。无线信号容易受到其他信号的干扰，无线局域网使用的2.4GHz和5GHz频段是开放频段，无需注册即可获得使用，因此下列设备可能造成干扰：微波炉其他大楼的无线系统工作在2.4GHz的无绳电话等蓝牙通信系统工作在2.4Ghz的无线摄像头除欺诈设备的威胁外，怀有恶意的人的威胁也始终存在，他们尝试利用射频拒绝服务 (DoS) 攻击，使您的 Wi-Fi 网络失效。虽然 IDS/IPS 系统能够监控许多“协议层”DoS 攻击，但它们检测不到可能通过干扰设备或 Wi-Fi 设备（这些

53、设备在诊断干扰模式下设置）实施的射频层 DoS 攻击。Cisco CleanAir 技术使用硅片级智能来创建可感知频谱、自行恢复和自行优化的无线网络，从而缓解无线干扰的影响，并为 802.11n 网络提供性能保护。CleanAir 技术的优势是它能够全天候运行，不间断地监控有无干扰和空气介质质量问题。这能让 IT 采用更为主动方法来管理频谱。IT 不用再等待最终用户报告干扰（以故障通知单的形式），然后调用工具来分析问题，而是在干扰发生时即刻找到它并立即采取措施。另外，全天候的历史记录可以进行回溯分析。使用历史数据，可以很方便地分析随时间的变化趋势。在采用集成式频谱管理的无线局域网中，很可能会在

54、多个无线接入点中检测到同一个干扰设备。如果这些设备都分别进行报告，则会对管理员生成过多警报。有了 CleanAir 技术，就会根据设备属性为每个由无线接入点检测到的设备分配一个伪 MAC (PMAC) 地址。然后，跨无线接入点比较 PMAC。当两个设备的 PMAC 匹配（而且无线接入点彼此足够接近）时，来自这两个无线接入点的报告会“群集”到一起。现在，可以将群集作为单个设备报告给管理员。群集在定位设备时也扮演重要角色。匹配的 PMAC 群集为系统提供同一设备的多个功率测量值，因此可以对设备的位置进行三角测量。设备群集的重要特征是网络能够正确地对设备进行群集处理，既不会过度集群化（将不应合并的设

55、备合并到一起），也不会集群化不足（在仅有一个设备时报告多个设备）。CleanAir 技术的第二个优势是它可以远程操作。对于许多 Wi-Fi 部署，一个位置的 IT 人员管理园区中多个建筑物内的设备或多个地理位置的设备，而且可能很难以物理方式使用一种工具来远程管理这些站点。如果部署涉及到许多分支办公室，或者干扰在本质上是瞬变的，这种情况尤为明显。通过将频谱管理集成到基础架构中，IT 能够在网络中的任何位置远程查看干扰条件。Cisco CleanAir 技术还能够以物理方式定位干扰设备。大多数情况下，多个无线接入点将会观察到同一个引发干扰的设备。思科已经开发了高级技术，对从多个无线接入点报告的设备

56、进行比较，并确定哪些报告实际上是由同一个设备导致的。对设备进行比照后，可以使用三角测量法查明设备的准确位置，此方法和基础架构系统当前定位 Wi-Fi 客户端与标签所使用的方法类似。CleanAir 技术集成到无线局域网中的最大优势可能是：无线接入点 RRM 系统可以使用 SI 数据来实施全天候自动干扰缓解。这确实是下一代 RRM，与以前的版本相比，可以提供更大的可靠性，而以前的版本感知不到干扰。有了 CleanAir 技术，就可以将网络调整为自动规避许多类型的干扰。Cisco CleanAir 技术提供大量有关干扰的详细信息。但为了便于“大致”了解干扰问题在哪里影响网络，它会将详细信息累积成易

57、于理解的高级别指标，称为空气介质质量 (AQ)。AQ 在信道、地面和系统级别进行报告，而且支持 AQ 警报，因此，当 AQ 低于预期阈值时，您会自动收到通知。对于特步集团的全无线覆盖，建议采用具备 Cisco CleanAir功能的 AP，发现和防止频谱干扰。ClientLink技术更好地保证802.11AC/n/AC终端的高速稳定链接虽然802.11n的AP已经开始大范围部署，尤其是本项目的无线AP全部都是采用802.11n的AP，但是大多数员工会继续使用802.11AC 的终端设备。为了对现网存在的众多的的802.11AC 设备提供投资保护，思科开发了ClientLink 技术，帮助用户将

58、802.11n 的性能优势扩展到802.11AC 设备的同时，增加了他们的使用寿命。大多数的802.11n 解决方案为802.11AC 客户端在上行方向(客户端到无线接入点)提供了某种程度上的性能提高，但是无法在下行方向（从无线接入点到客户端）提高性能。认识到这一点非常重要，因为大多数的客户端流量，比如说网页浏览和文件下载，都是在下行方向。思科ClientLink 技术提高了802.11AC 客户端下行链路的性能，从而提供了更好的网络覆盖以及更可靠的漫游体验。另一个挑战是在同时部署了802.11n 和802.11AC 设备的环境下，确保802.11AC 设备不会限制802.11n 设备的性能。

59、通过为802.11AC 设备提高下行链路的吞吐量，ClientLink 为整个网络包括802.11n 客户端，有效的提高了系统容量。ClientLink 通过在无线接入点上预先植入的高级信号处理进程进行工作。在学习到用最大限度的方式将从无线接入点多个天线上接收到的客户端信号结合起来之后，ClientLink 使用这些信息，并通过最佳方式将数据包发送回客户端，这种技术称之为多输入多输出（MIMO）波束成形。此外，MIMO 波束成形技术并不需要昂贵的外部天线就可实现。1）自动射频管理无线网络的运营成本会比购买成本要高。为了帮助简化无线管理以及降低运营成本，思科M-Drive 技术包括了更高级和复杂

60、的自动射频管理功能，它能减少很多故障的产生以及IT 人员花在解决此类故障上的时间。思科统一无线网络自动配置接入点的信道分配和输出功率。M-Drive 技术为每个接入点建立了信道计划和输出功率，以此来优化办公空间的无线覆盖。这将大大加快无线网络的部署。由于物理条件的设施变化（例如，一个文件柜被移动了），思科M-Drive 技术自动改变接入点的配置来适应这种改变。802.11n 标准中包括了接入点工作在40MHz 信道提供更高性能的能力（这是对原有20MHz 信道的补充），这使得信道的分配变得复杂了。M-drive 技术通过理解20MHz 和40MHz 信道，简化了802.11n的部署。M-Dri