集团智慧园区无线网络改造方案

集团智慧园区无线网络改造方案

目录第1章、项目概述 31.1、项目名称 31.2、项目背景与挑战 31.3、建设目标 51.4、建设任务 5第2章、集团园区需求分析 62.1、网络覆盖规模 62.2、技术先进、高性能 72.3、高质量覆盖 72.4、有线、无线认证融合 82.5、智能无线集中部署、管理 82.6、无线网络高安全、高可用 82.7、多业务支持 82.8、灵活部署、易于扩展、高性价比 9第3章、建设原则 103.1、实用性 103.2、先进性 103.3、可靠性 103.4、开放性 103.5、可扩充性 103.6、可维护性 113.7、安全性 113.8、兼容性 11第4章、总体网络规划 114.1、总体系统设计概述 114.2、方案总体特点 144.3、系统设计 154.3.1、WLAN系统规划考虑因素 154.3.2、WLAN业务系统部署要求 174.3.3、完善的多媒体QoS机制 184.3.4、无线网络系统的话音应用设计（VoWLAN） 194.3.5、良好的互通性 204.3.6、基于无线系统的节电功能 224.3.7、无线安全性 224.3.8、WLAN的安全快速漫游 234.3.9、WLAN系统的选型建议 234.3.10、无线控制器的部署设计 264.3.11、网络安全规划 274.3.12、不同的认证方式 294.3.13、用户的认证和加密 294.3.14、无线接入点的接入认证 324.3.15、无线控制帧的安全管理（MFP） 334.4、思科无线网络特点详述 344.4.1、实时的射频自动监测（CleanAir) 344.4.2、ClientLink技术——更好地保证802.11a/g终端的高速稳定链接 384.4.3、VideoStream技术——更好保证高质量组播视频应用 414.4.4、BandSelect技术——将双频用户自动引导到干扰更小的5G频段 424.4.5、思科可信任无线网络架构 444.4.6、思科无线网络基于访客管理 474.4.7、思科无线网络身份认证系统功能特性 484.4.8、思科无线网络应用可视化 494.4.9、思科帮助您简化网管理 49第5章、网络设备清单 505.1、沈阳、大连园区无线地勘分布 505.2、沈阳园区无线设备方案（一） 615.3、沈阳园区无线设备方案（二） 625.4、大连园区无线设备方案（一） 635.5、大连园区无线设备方案（二） 64

项目概述项目名称项目背景与挑战集团计划2015年对集团无线网络系统进行统一的规划和升级改造，包括沈阳、大连两个园区会议室、会议中心、行政楼等公共区域的无线改造；新园区数字医疗及大连会馆的无线网络系统建设。拟采购无线网络设备（无线控制器、无线AP及安装配件、POE交换机、无线认证及管理系统等组件，包括设备安装、调试、培训等），实现无线统一接入、认证、审计、管理，规范集团无线使用，提供安全、便捷的无线认证和接入方式，构建先进、高效、稳定可靠的无线网络系统。随着网络技术的不断发展，网络的访问和接入方式呈现多样化的趋势，包括无线、有线以及远程接入VPN等方式，得到了越来越多的应用。在网络中，访问网络的终端设备种类越来越多，从传统的PC机，到IP话机，IP摄像头，打印机、传真机，尤其是随着移动终端设备，如各种智能手机，功能和性能不断提升，已经从原来的从可有可无，演变成为移动办公的重要工具，而且很多都是使用员工自带设备BYOD做办公使用。此外，随着企业开始重视自身的敏感数据和信息的安全性，严格控制对敏感信息和重要数据的访问权限，对网络的使用者，包括公司员工、合作伙伴或者临时访客，都需要依据其身份进行访问权限的分配。从上图可以看出，如今的网络比以往任何时候都更加多样化，体现在以下几个方面：网络接入方式的多样化接入设备类型的多样化访问人员身份的多样化随着网络访问方式的多样化和终端设备的多样化，出现安全漏洞和新的运营挑战的可能性也在增加，主要包括以下几个方面：用户的授权访问如何对网络访问进行权限控制如何管理由于BYOD等智能终端接入网络带来的风险如何为在办公室、家里或外面等不同地点进行不同的访问授权如何保证网络接入设备本身符合安全要求访客的访问如何限定访客的访问权限如何管理访客的网络接入访客的网络接入方式是有线还是无线如何对访客的访问进行监控无人终端的访问如何发现和识别无人值守终端设备如何判断终端设备的类型如何对终端设备的访问进行控制如何发现终端设备被仿冒因此，维护网络安全和提高运营效率需要新的解决方案，这些方案应该能够有效地执行包括无线、有线以及远程接入等网络访问的策略和授权、审核网络使用情况、监控企业的合规性并全面了解整个网络中的活动状况。建设目标采取先进主流的技术协议标准802.11ac来进行整个园区的无线覆盖，要兼容802.11abg/n。无线网络的基础设施要有统一的管理平台，实现一套帐号，有线、无线一体化认证。建设任务本次无线改造和建设项目分阶段采购和实施。第一阶段进行大连会馆的无线系统建设的招标采购和实施，大连会馆项目与大连会议室无线改造项目共用无线控制器，投标方需要考虑会馆项目相关无线license。第二阶段进行沈阳和大连两个园区会议室、会议中心、行政楼等公共区域的无线网络改造。第三阶段进行新园区数字医疗的无线系统建设。集团园区需求分析网络覆盖规模以下是通过大连和沈阳现场无线地勘收集的数据：沈阳园区办公区会议室无线覆盖AP1702IAP2702i/3702iA1楼F1-F2会议室4A2楼F1-F4会议室31A6楼会议室覆盖35行政楼F1-F3全覆盖78会议楼+报告厅会议室和公共区域277咖啡吧咖啡吧8SubTotal：1837大连河口园区会议室无线覆盖D1楼F1-F4会议室25D2楼F1-F4会议室31F3楼F1-F6会议室64F1楼+报告厅B1-F4会议室95F5楼F1-F4会议室21SubTotal：1505Total：33312以下是会馆现场无线地勘收集的数据：楼层覆盖区域房间AP数量备注B3公共会议室33B2公共会议室33B1总裁办公室55B1公共会议室22B1总裁会议室11F1大厅29F1餐厅22F1研发区一楼门厅11F2大厅12F2豪华包房22F2大包房22F2小包房11F2包房11F2洽谈室11

总计：35覆盖范围：F1、F2全覆盖，B1、B2、B3公共会议室和总裁办公室覆盖。技术先进、高性能支持IPv6支持IPv6、IPv4无线接入，支持802.11ac、802.11n的高性能传输。高质量覆盖会馆区域无线全覆盖办公区域覆盖会议室无线覆盖质量要求所有无线覆盖网络质量必须满足无线用户的正常使用，包括日常办公及视频和语音等，要求802.11acRadio转发流量不得小于200Mbps，802.11nRadio转发流量也不得小于100Mbps,信号强度不低于-65db；所有无线覆盖网络必须满足高稳定性的要求，提供稳定、可靠的无线网络环境，要求对信号干扰源及非法AP进行识别和确定，支持信号频段自动调节和无线AP用户智能调配。有线、无线认证融合作为有线网络的有效补充，必须完全融合进有线的认证体系，支持全网对每一个用户的上网控制、认证的持续运营。做到无线、有线融合统一认证。智能无线集中部署、管理通过无线网管平台与无线交换机的配合，实现无线网络的规划、部署、监控、报表、优化等各个功能。为本次无线网络的建设提供了一整套科学的规划方案、精确的部署指导、实时的无线网络状态（包括无线频谱、无线设备、无线用户等）监控、可视化的各种报表。无线网络高安全、高可用通过无线网管平台与无线交换机的配合，实现户身份认证、入网行为控制、安全加密、病毒库、无线入侵检测、无线电射频的集中管理和部署，实现非法用户、非法AP的定位与隔离，打造高安全的无线网络。支持跨AP、跨AC的二层漫游、三层漫游，实现基于用户、基于AP、基于AC的负载均衡，打造高可用无线网络。多业务支持基于大连会馆和园区网络的未来可持续发展，无线网络规划应为未来发展园区无线宽带应用（如，无线语音应用、无线视频会议应用、无线监控、无线多媒体通信应用等）打下基础，并提供低成本的无缝升级和先后兼容。灵活部署、易于扩展、高性价比为方便园区网络的部署和未来维护的方便性，整个园区无线网络应具有灵活部署、易于扩展的特性，支持无线接入点的即插即用功能。当然，园区无线网络要具有良好的性价比。

建设原则实用性遵循面向应用，注重实效，急用先上，逐步完善的原则；充分保护已有投资，不设计成华而不实的无线网络，也不设计成利用率低下的网络，我们以实用性的原则要求为依据，建设具有最低的TCO（拥有的总成本最低），有最高的性价比的校园无线局域网络。先进性采用先进成熟的网络概念、技术、方法与设备，反映当今先进水平，又给未来的发展留有余地；充分采用目前国际、国内流行和成熟的技术，保证网络能适应技术的快速发展。可靠性系统必须可靠运行，主要的、关键的设备应有冗余，一旦系统某些部分出现故障，应能很快恢复工作，并且不能造成任何损失。开放性选择的产品应具有好的互操作性和可移植性，并符合相关的国际标准和工业标准；无论发生任何变化，均能够最大可能性的开放标准。可扩充性系统是一个逐步发展的应用环境，在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能，这种扩充不仅能充分保护原有资源，而且具有较高的性能价格比；可维护性系统具有良好的网络管理、网络监控、故障分析和处理能力，使系统具有极高的可维护性；安全性必须具有高度的保密机制，灵活方便的权限设定和控制机制，以使系统具有多种手段来防备各种形式的非法侵入和机密信息的泄露。兼容性必须完全融合进有线的认证体系，支持全网对每一个用户的上网控制、认证的持续运营。做到无线、有线融合统一认证。总体网络规划总体系统设计概述对于大连会馆和整个园区无线覆盖的需求，本方案建议采用思科的无线网络产品系列集中式、可管理架构的无线局域网架构解决方案来实现无线网络的部署。思科无线网络产品系列是为那些希望为本身业务、IP电话和融合多媒体应用系统广泛部署无线覆盖的一款完整802.11解决方案。这款解决方案将最新的行业标准与一种集中架构和先进功能结合起来，创建一种安全、经济有效并且极具扩展性的无线局域网(WLAN)基础设施。思科无线网络产品系列包括规划和实施所需的工具和功能，使首次部署无线局域网(WLAN)能快捷简便的完成，也适合于企业逐步演进事先精确设计的无线移动基础设施。思科无线网络产品系列采用一种由一台或几台中央无线控制器控制和管理“瘦”接入点的集中式无线局域网部署模式。这套系列的三个主要构件包括一个多频点接入点（AP）、无线控制器（WLC）组合和一套无线安全访问系统（ISE）。在整个无线移动解决方案中，每个构件均起着重要作用。思科统一无线总体目标架构：根据网络结构特点，建议选用思科集中无线网络解决方案，整体划一，系统管理，准确定位，高效运营，全面满足无线网络的业务需求，通过园区部署WLAN控制器5508，可以集中管理分支机构无线AP。5508支持AP的数量根据各地AP的需求而选择不同数量的许可，单台最大支持500台AP。其中大连会馆与园区配置1台（配置50-250个AP许可）。针对AP的选择，一般思科每个AP建议连接终端设备30-50个。AP的部署：大连会馆、园区会议室、走廊、大厅和餐厅等公共服务区域。我们建议采用思科内置天线AP1700/2700系列；仓库、车间建议部署外置天线产品AP2700/3700。总部与分支无线集中管理图：思科的ISE提供全面的网络访问控制，是唯一能够将有线访问、无线访问以及远程VPN访问基于一身，提供统一服务平台的解决方案（见下图）。思科ISE借助于各种类型的设备探测与识别，灵活的终端访问控制，提供了全面的BYOD解决方案，是唯一能够利用网络设备传感器和实时地终端设备扫描的厂商，帮助企业用户为种类繁多的BYOD提供访问控制策略。思科ISE解决方案能够为企业带来以下的益处：安全性：提高接入网络访问的用户和终端设备的可视性、历史报告以及强大的故障排除工具，从而降低运营成本。一致性：企业能够以一致的方式推出高度定制化和全面的网络访问策略。合规性：通过确保执行和审核必要的控制措施使企业符合监管的要求，只有合规用户才能获得完全访问网络，不合规用户被隔离到有限的网络区域。高效性：通过将频繁操作的任务自动化处理，简化服务交付流程，提高IT部门的生产率。方案总体特点全面的产品线集中管理的动态射频控制快速安全漫游实时可见的定位服务统一的有线和无线的解决方案：QoS、安全认证、带宽控制统一的室内室外无线解决方案：统一AP、Bridge、Mesh部署、控制、网管能力室内室外智能的无线MESH能力高效率的WLAN安全、部署及管理，降低总体成本可升级、可靠的、具有弹性的WLAN架构系统设计通过分析和实践，集团WLAN的成功实现必须考虑多方面因素，这样才能确保在WLAN网络上实现语音、数据、多媒体传输。WLAN系统规划及业务系统要求如下：WLAN系统规划考虑因素在进行WLAN系统设计之前，必须明白多媒体WLAN系统对于无线信号覆盖、SNR、流量、时延的要求，首先对于WLAN网络的信号覆盖，需要注意已下方面：信道规划首先我们需要考虑容量要求，对于2.4G系统，我们知道可用的不重叠的信道只有3个，分别是1、6、11，见下图如果只有2.4G频点进行部署，那么建议信道规划形式如下图所示，蜂窝间的重叠不得小于20%对于5G频段范围，有多达20多个可用频点，其规划方法可以类似于2.4G进行蜂窝系统规划方法，这里不做介绍。在中国只有5个不重叠信道可用，分别是Channel149、153、157、161、165，但对于大多无线设备厂商来说，在5.8G的信道上只支持前4个信道。所以要求，信道间必须进行合理分配，最大化避免同信道冲突。WLAN业务系统部署要求信号强度要求室内环境对于一个有保障的多媒体无线系统，对无线蜂窝之间信号强度和信噪比也有特殊的要求，室内要求无线信号在无线蜂窝覆盖边缘信号强度不低于-67dBm至-70dBm，信道之间的信号强度差异应至少大于19dBm，信号重叠区域在20％。室外环境室内要求无线信号在无线蜂窝覆盖边缘信号强度不低于-75dBm至-78dBm，同信道之间的信号强度差异应至少大于19dBm。信号重叠区域在20％，保障无线多媒体传输的正常运用。信躁比要求室内环境室内环境相对比较干净，室内环境噪音一般不会高于-95dBm，多媒体业务的信躁比要求应不低于20dBm。室外环境室外环境相对比较复杂，室外环境噪音一般在-90dBm左右，多媒体业务的信躁比要求应不低于15dBm。传输时延根据3GPP对于多媒体质量的要求，多媒体双向传输的往返时延应低于300ms，即单向传输时延不高于150ms。多媒体质量评估根据3GPP对于多媒体质量的要求，对于有质量的多媒体网络，MOS值应不低于4.0。容量支持在进行了良好规划，并按照规划要求部署了无线网络系统以后，一个双频AP（同时支持802.11g和802.11a）对于多媒体数量的承载不低于20路实时多媒体数据。定位支持为了保证无线网络进行准确定位，室内AP间隔保持在17－20M，每个AP的覆盖半径为8－10M。完善的多媒体QoS机制在无线网络系统中，如果通过同一个AP提供多媒体、数据等服务，我们必须有Qos保证机制，要求支持WMM国际标准，支持WMM及WMMPowerSave功能，以保证有质量的多媒体传输。无线网络系统的话音应用设计（VoWLAN）VoWLAN是WLAN的增值应用之一。VoIP，IP电话通过数据网络传输语音信号。WLAN，无线局域网使你能够无线上网。VoWLAN可以说是这两者的有机结合，它可以利用现有的WLAN网络实现无线的VoIP通话能力，企业员工通过VoWLAN可在办公场所以外的地方随时访问语音、E-mail和其他已连的网络资源，这样提高了网络资源的利用率并降低了每次电话呼叫的成本，从而节省企业的总体IT费用。思科可以为用户提供全方位的VoWLAN产品和解决方案！另一种VoWLAN方式是基于软件的电话,就是通常所说的Softphone。用户可通过PDA、移动电话和笔记本电脑在提供WLAN接入的区域使用这种软件电话。这种方式可以使得在安装无线网络的任何地方进行语音交流。良好的互通性思科不仅把主要精力放在无线网络产品的研发和推出上，还十分关心无线网络产品和客户端的兼容性和互操作性方面。思科推出的CCX（CiscoCompatibleExtensions）计划给客户端带来一套功能扩展来克服基于802.11协议的诸多不足之处。在思科引入CCX八年多的时间内，所有的无线芯片制造商都纷纷和思科签订协议，并宣布在他们的客户端上遵守CCX，从中不难看到思科的业界影响力。思科差不多已经说服了每一家网卡生产商，把思科兼容扩展（CCX）标准加入到硬件里面。目前市场上的300多种无线终端有90％都通过了不同版本的CCX认证。您可以在下列链接查询到各个厂家的终端通过CCX认证/web/partners/pr46/pr147/partners_pgm_concept_home.html思科是一个不断创新的公司，CCX历经十多年，现已推出超过5个版本，每个版本侧重不同又向下兼容。通过CiscoCompatibleExtensions(CCX)计划，许多第三方手持设备供应商的产品都能支持这些思科的创新。WiFi认证的很多测试也取材于CCX计划。用户将能从CCX认证中获得无线网络最大的最大的兼容性和互操作性又不牺牲安全性、漫游性和信号稳定性。基于无线系统的节电功能移动终端的电池的能力是一个非常重要的问题，电池待机及通话时间的长短直接影响到无线多媒体网络的可用性，如果终端维持时间过短，那么这个多媒体网络基本也不可用。本次无线网络中需考虑到终端节电功能。无线安全性多媒体业务通过无线网络进行传输的时候，我们不得不可虑其多媒体业务的安全性，安全性包括了用户的身份认证和多媒体流的加密。本次设计中除考虑无线数据传输的安全性外还必须提供有效机制保障无线多媒体安全性。WLAN的安全快速漫游在无线多媒体系统里，多媒体的漫游机制会大大影响多媒体的通话效果，尤其在切换的时候，如果漫游时间过长，那么程度稍轻的会产生通话质量影响，严重情况下，会导致多媒体通话中断。所以，WLAN的快速漫游机制是多媒体网络的至关重要的问题。本次设计中需考虑到采用相应机制（如CCKM）保证漫游情况下的无线多媒体传输。WLAN系统的选型建议多媒体WLAN系统对于无线WLAN设备的选用及相关设备的选用都有比较严格的要求，只有精心设计的无线WLAN网络才能完整的提供高质量的多媒体业务。AP的选择首先对于AP和客户端的选择，前面我们已经提到，我们推荐采用双频的AP去部署无线网络以提供数据和多媒体集成的业务。天线的选择和分析首先我们观察一下无线终端天线的位置和极化分布图通过对于无线终端天线的分析，我们看出头部会对无线信号有一个衰减，具体大概会衰减5dB。同时，如果采用定向或Patch天线进行信号覆盖，由于头部的遮挡，覆盖效果会受到很大的影响，所以建议采用全向天线采取吊顶安装的方式提高信号覆盖，同时，对于AP的天线的使用，我们强烈推荐采用分级技术，分级技术可以帮助增加多媒体的稳定性及降低传输时延，通过参考下列图形，大家可以更清楚的了解分级天线带来的好处，采用分级天线以后网络传输时延明显下降多媒体要求更高的无线信号强度和信噪比，如下图所以，对于需要使用多媒体的WLAN系统来说，我们需要对无线信号有更高的要求，这也意味着无线多媒体终端需要更高的信噪比SNR，所以高增益的天线并不适合进行无线多媒体系统的部署，因为增益太高的天线会增加覆盖面积，会造成无线AP和终端设备双向功率不匹配，无线多媒体容量不够等问题。所以总结下来，我们对于无线部署的建议如下：选用无线双频AP，以部署数据及多媒体集成的业务网络采用低增益天线，以满足多媒体容量的要求AP每个无线模块配置2根以上天线以开启分级模式增强信号的稳定性和减少传输的时延采用顶部安装或帖壁安装的方式避免复杂环境对信号的衰减采用专业的无线多媒体终端以优化无线多媒体在WLAN网络中的使用感受无线控制器的部署设计无线控制器硬件通过双重供电、多链路中继、Active-Active架构选项和n+1冗余设计，消除系统内的单点故障，提供系统弹性。目前考虑投资回报率，建议部署一台WLC5508无线控制器。思科的无线控制器可以实现N:1，N:N的备份，且互为备份的控制器可以跨越三层网络，部署更灵活，同时备份控制器和主控制器可以同时接入AP，同时工作，大大保护了用户的投资！随着以后网络的不断扩展，可以再增加一台专门的备份控制器实现1＋1＋1冗余。网络安全规划由于无线信号的空间泄漏特性，以及802.11技术的普及，随之而来的无线网络安全问题也被广大用户普遍关注。如何在保证802.11WLAN的高带宽，便利访问的同时，增加强有力的安全特性？业界的厂商纷纷研究发展了802.11技术，增强了无线局域网安全的各个方面，并促成了诸如802.1x/EAP，802.11i，WPA/WPA2等标准的诞生，以及后续标准（如802.11w）的制定。Cisco在无线局域网安全技术和标准制定方面，扮演了极为重要的角色，是802.1x/EAP无线环境应用的最早支持厂商，并在无线安全标准工作组中占据领导地位。与其他网络一样，WLAN的安全性主要集中于访问控制和隐私保护。健全的WLAN访问控制――也被称为身份验证――可以防止未经授权的用户通过接入点收发信息。严格的WLAN访问控制措施有助于确保合法的客户端基站只与可靠的接入点――而不是恶意的或者未经授权的接入点――建立联系。WLAN隐私保护有助于确保只有预定的接收者才能了解所传输的数据。在数据通过一个只供数据的预定接收者使用的密钥进行加密时，所传输的WLAN数据的隐私才视为得到了妥善保护。数据加密有助于确保数据在收发传输过程中不会遭到破坏。但是，无线局域网的安全并不仅仅局限于接入认证和数据加密。无线接入设备AP的物理安全性，AP连接到有线网络交换机的安全认证，基于无线访问位置的物理防护手段，如何避免攻击，如何快速发现非法/假冒AP，对一个网络系统来讲也是十分重要的。思科无线网络的解决方案支持高效、多级别、多种类、多级的认证方式和加密技术，具体如下：无线终端用户的用户认证（用户名/密码，数字证书）无线终端用户的数据加密（WEP，TKIP，AES）无线接入点的接入认证无线控制帧的安全管理（MFP）基于2-7层内容的入侵检测系统（无线IPS、IDS系统）支持精确的非法AP定位和隔离射频干扰的检测和辨别终端的安全接入保证（NAC）Mesh回传链路数据的安全加密终端快速、安全漫游机制的实现（CCKM）独特的访客隔离机制，保证跨地区漫游用户与无线网内部用户的隔离。将访客和无线网络完全逻辑隔离，在允许访客跨地区无线网络漫游访问互联网的同时保证内部无线用户的安全网络的安全管理不同的认证方式用户的认证和加密WLAN可能会遭受多种类型的攻击。思科无线网络系统在使用802.1X-EAP、TKIP或AES时，可以防止网络遭受多种网络攻击的影响。如下表所示：攻击类型安全改进身份验证：开放加密：静态WEP身份验证：思科LEAP，EAP-FAST，EAP-TLS或者PEAP加密：动态WEP身份验证：思科LEAP，EAP-FAST，EAP-TLS或者PEAP加密：TKIP/MIC，AES中间人不安全不安全安全身份伪装不安全安全安全薄弱IV攻击（AirSnort）不安全不安全安全分组伪装（重复攻击）不安全不安全安全暴力攻击不安全安全安全字典攻击不安全安全安全新的安全技术有助于制止网络攻击在现有的无线网络数据加密技术中，除了要考虑加密算法外，还应当考虑传输密钥的管理。思科已经在产品方案上实施了TKIP/AES加密技术，可以有效改善无线链路的通讯安全。TKIP主要包括两个关键的对WEP的增强部分：1，在所有WEP加密的数据包上采用报文完整性检测(MIC)功能，以更有效的保证数据帧的完整性；2，针对所有的WEP加密的包实行基于每个数据包密匙的方式。MIC主要是用来改善802.11低效率的Integritycheckfunction(ICV)，主要解决两个主要的不足：MIC对每个无线数据帧增加序列号，而AP将丢弃顺序错误的帧；另外在无线帧上增加MIC段，MIC段则提供了更高量级的帧的完整性检查。有很多报告显示WEP密匙方式的弱点，报告了WEP在数据私密和加密上的很低功效性。在802.1X的重认证中采用WEP密匙旋转的办法可以减轻可能经受的网络攻击，但没有根本解决这些问题。802.11i的标准中WEP增强机制已经采纳了针对每个分组的WEP密匙。并且这些技术已经在Cisco的WLAN设备中得以实施。AES是一种旨在替代TKIP和WEP中使用的RC4加密的加密机制。AES不存在任何已知攻击，而且加密强度远远高于TKIP和WEP。AES是一种极为安全的密码算法，目前的分析表明，需要2的120次方次计算才能破解一个AES密钥――还没有人真正做到这一点。AES是一种区块加密法。这是一种对称性加密方法，加密和解密都使用同一个密钥，而且使用一组固定长度的比特――即所谓的“区块”。与使用一个密钥流对一个文本数据输入流进行加密的WEP不同，AES会独立地加密文本数据中的各个区块。AES标准规定了三种可选的密码长度（128、192和256比特），每个AES区块的大小为128比特。WPA2/802.11i使用128比特密钥长度。一轮WAP2/802.11iAES加密包括四个阶段。对于WPA2/802.11i，每轮会重复10次。为了保护数据的保密性和真实性，AES采用了一种名为Counter-Mode/CBC-Mac(CCM)的新型结构模式。CCM会在Counter模式（CTR）下使用AES，以保护数据保密性，而AES采用CBC-MAC来提供数据完整性。这种对两种模式（CTR和CBC-MAC）使用同一个密钥的新型结构模式已经被NIST（特殊声明800-38C）和标准化组织（IETFRFC-3610）所采用。CCM采用了一种48比特的IV。与TKIP一样，AES使用IV的方式与WEP加密模式有所不同。在CCM中，IV被用作用于制止重复攻击的加密和解密流程的输入信息。而且，因为IV空间被扩展到48比特，发生一次IV冲突所需的时间会以指数形式增长。这可以提供进一步的数据保护。由于WEP与TKIP均采用统一加密算法RC4算法实现，可不幸的是，RC4算法已经被破解，虽然TKIP依然采用了动态密钥交换技术，但是由于算法的破解，TKIP还是可以破解，只是相对WEP破解难度稍大。目前足够强壮和安全的算法只有AES，所以对于网络要求极高的用户，强烈建议采用AES的方式进行加密。由于AES算法的严密性和强壮性，他对设备的消耗极大，所以我们也必须考虑到AES对于设备和系统的消耗，在设备选用时，需要完全考虑AES加密后的转发性能。无线接入点的接入认证在集中化无线网络架构下，无线控制器完全控制和管理无线接入点，那么无线接入点是否为一个合法接入网络的设备值得我们探讨。如上面的图例所示，思科无线控制器和无线接入点系统中，都内嵌了X.509证书，通过证书，无线控制器和无线接入点之间可以互相认证对方的合法性，保证网络中的设备的合法性。除此之外，思科还能提供关于AP接入点更高级的特征-AP的802.1x认证。如上图所示，无论是最终用户或者是思科的轻量级AP都可以通过802.1x的方式进行认证接入，思科的轻量级AP设备可做为802.1x的被认证点，通过在后台AAA服务器内用户名和密码的比对，有线交换机决定允不允许开放连接AP的交换机端口。这样，可以更进一步的提高网络中AP的接入安全。无线控制帧的安全管理（MFP）在目前的无线网络技术的实现过程中，无线管理帧是没有经过认证、加密和签名的，所以相对来说还是会导致很多不安全因素。网络供给者可以通过模拟无线网络中的管理帧信息来破坏网络状态和窃取网络信息，从而造成用户掉线，AP无法正常接入用户的现象。在思科的无线网络中，思科通过在网络管理帧内部插入MIC，可以及时的保护网络管理帧信息，防止黑客的恶意攻击。如下图所示，并且思科支持管理帧加密混合模式，即如果客户端不能支持MFP特征，无线AP也允许这类客户端接入，但对于管理帧消息仅保护拥有支持MFP特征的客户端。这样，对于高级用户或者对于安全性要求极高的客户群我们可以保证其这方面的安全特性，也同时可以兼容对于安全性要求不是特别高的用户。思科无线网络特点详述实时的射频自动监测（CleanAir)Wi-Fi所面临的不单纯只是性能方面的挑战，也有安全方面的挑战。业界已经致力于了解欺诈无线接入点如何在企业网络中打开安全漏洞，且已经达到了很好的水平。目前，已经设计了无线入侵检测系统和入侵防御系统(wIDS/wIPS)来解决这一问题。但是，当前IDS和IPS解决方案还有一些重大盲点，如果不增加频谱智能就无法解决。当前IDS/IPS系统无法检测以专有扩展模式（如SuperG，来自Atheros）运行的无线接入点。这些随时可用的设备是检测不到的。此外，黑客还可能采用标准Wi-Fi设备（例如，运行Linux）并对其进行修改，以使其在非标准信道上运行或以其他非标准调制方案运行。只有在您分析射频物理层以后，才能检测到这些扩展或修改的设备。无线信号容易受到其他信号的干扰，无线局域网使用的2.4GHz和5GHz频段是开放频段，无需注册即可获得使用，因此下列设备可能造成干扰：微波炉其他大楼的无线系统工作在2.4GHz的无绳电话等蓝牙通信系统工作在2.4Ghz的无线摄像头除欺诈设备的威胁外，怀有恶意的人的威胁也始终存在，他们尝试利用射频拒绝服务(DoS)攻击，使您的Wi-Fi网络失效。虽然IDS/IPS系统能够监控许多“协议层”DoS攻击，但它们检测不到可能通过干扰设备或Wi-Fi设备（这些设备在诊断干扰模式下设置）实施的射频层DoS攻击。CiscoCleanAir技术使用硅片级智能来创建可感知频谱、自行恢复和自行优化的无线网络，从而缓解无线干扰的影响，并为802.11n网络提供性能保护。CleanAir技术的优势是它能够全天候运行，不间断地监控有无干扰和空气介质质量问题。这能让IT采用更为主动方法来管理频谱。IT不用再等待最终用户报告干扰（以故障通知单的形式），然后调用工具来分析问题，而是在干扰发生时即刻找到它并立即采取措施。另外，全天候的历史记录可以进行回溯分析。使用历史数据，可以很方便地分析随时间的变化趋势。在采用集成式频谱管理的无线局域网中，很可能会在多个无线接入点中检测到同一个干扰设备。如果这些设备都分别进行报告，则会对管理员生成过多警报。有了CleanAir技术，就会根据设备属性为每个由无线接入点检测到的设备分配一个伪MAC(PMAC)地址。然后，跨无线接入点比较PMAC。当两个设备的PMAC匹配（而且无线接入点彼此足够接近）时，来自这两个无线接入点的报告会“群集”到一起。现在，可以将群集作为单个设备报告给管理员。群集在定位设备时也扮演重要角色。匹配的PMAC群集为系统提供同一设备的多个功率测量值，因此可以对设备的位置进行三角测量。设备群集的重要特征是网络能够正确地对设备进行群集处理，既不会过度集群化（将不应合并的设备合并到一起），也不会集群化不足（在仅有一个设备时报告多个设备）。CleanAir技术的第二个优势是它可以远程操作。对于许多Wi-Fi部署，一个位置的IT人员管理园区中多个建筑物内的设备或多个地理位置的设备，而且可能很难以物理方式使用一种工具来远程管理这些站点。如果部署涉及到许多分支办公室，或者干扰在本质上是瞬变的，这种情况尤为明显。通过将频谱管理集成到基础架构中，IT能够在网络中的任何位置远程查看干扰条件。CiscoCleanAir技术还能够以物理方式定位干扰设备。大多数情况下，多个无线接入点将会观察到同一个引发干扰的设备。思科已经开发了高级技术，对从多个无线接入点报告的设备进行比较，并确定哪些报告实际上是由同一个设备导致的。对设备进行比照后，可以使用三角测量法查明设备的准确位置，此方法和基础架构系统当前定位Wi-Fi客户端与标签所使用的方法类似。CleanAir技术集成到无线局域网中的最大优势可能是：无线接入点RRM系统可以使用SI数据来实施全天候自动干扰缓解。这确实是下一代RRM，与以前的版本相比，可以提供更大的可靠性，而以前的版本感知不到干扰。有了CleanAir技术，就可以将网络调整为自动规避许多类型的干扰。CiscoCleanAir技术提供大量有关干扰的详细信息。但为了便于“大致”了解干扰问题在哪里影响网络，它会将详细信息累积成易于理解的高级别指标，称为空气介质质量(AQ)。AQ在信道、地面和系统级别进行报告，而且支持AQ警报，因此，当AQ低于预期阈值时，您会自动收到通知。对于大连会馆和园区的全无线覆盖，建议采用具备CiscoCleanAir功能的1700i/2700AP，发现和防止频谱干扰。ClientLink技术——更好地保证802.11a/g终端的高速稳定链接虽然802.11ac/n的AP已经开始大范围部署，尤其是本项目的无线AP全部都是采用802.11ac和兼容802.11n的AP，但是大多数员工会继续使用802.11a/g的终端设备。为了对现网存在的众多的的802.11a/g设备提供投资保护，思科开发了ClientLink技术，帮助用户将802.11ac/n的性能优势扩展到802.11a/g设备的同时，增加了他们的使用寿命。大多数的802.11ac/n解决方案为802.11a/g客户端在上行方向(客户端到无线接入点)提供了某种程度上的性能提高，但是无法在下行方向（从无线接入点到客户端）提高性能。认识到这一点非常重要，因为大多数的客户端流量，比如说网页浏览和文件下载，都是在下行方向。思科ClientLink技术提高了802.11a/g客户端下行链路的性能，从而提供了更好的网络覆盖以及更可靠的漫游体验。另一个挑战是在同时部署了802.11ac/n和802.11a/g设备的环境下，确保802.11a/g设备不会限制802.11ac/n设备的性能。通过为802.11a/g设备提高下行链路的吞吐量，ClientLink为整个网络包括802.11ac/n客户端，有效的提高了系统容量。ClientLink通过在无线接入点上预先植入的高级信号处理进程进行工作。在学习到用最大限度的方式将从无线接入点多个天线上接收到的客户端信号结合起来之后，ClientLink使用这些信息，并通过最佳方式将数据包发送回客户端，这种技术称之为多输入多输出（MIMO）波束成形。此外，MIMO波束成形技术并不需要昂贵的外部天线就可实现。1）自动射频管理无线网络的运营成本会比购买成本要高。为了帮助简化无线管理以及降低运营成本，思科M-Drive技术包括了更高级和复杂的自动射频管理功能，它能减少很多故障的产生以及IT人员花在解决此类故障上的时间。思科统一无线网络自动配置接入点的信道分配和输出功率。M-Drive技术为每个接入点建立了信道计划和输出功率，以此来优化办公空间的无线覆盖。这将大大加快无线网络的部署。由于物理条件的设施变化（例如，一个文件柜被移动了），思科M-Drive技术自动改变接入点的配置来适应这种改变。802.11ac/n标准中包括了接入点工作在80/40MHz信道提供更高性能的能力（这是对原有20MHz信道的补充），这使得信道的分配变得复杂了。M-drive技术通过理解20MHz和80/40MHz信道，简化了802.11ac/n的部署。M-Drive技术通过观测客户端的性能来检测覆盖漏洞。当一个覆盖漏洞被检测出来，系统会自动调整相近接入点的输出功率来消除覆盖漏洞。无须IT人员的干预，这既节省了时间也节省了资源。2）连接一致性无线性能随着时间或者空间的改变（因为用户移动）而不稳定，无线用户的体验可能会因此而受挫。如果用户无法完全信任和依赖无线网络，他们将拒绝经常使用无线网络。802.11ac/n和802.11a/g一样，客户端的性能会随着和接入点之间的距离变化而变化。802.11标准允许在不同的距离下，有不同的数据传输数率来处理这个问题。本质上说，客户端离接入点越远，数据传输速率越低，从而保证了即使在很低的信号强度下无线连接的可靠性。然而，802.11标准并没有指出如何来选择这些数据传输速率。友商的解决方案是用随机方式来选择数据传输速率，这肯定不是最佳的解决方式。设备的传输速率可能会比所需的低，更糟糕的情况是，设备会尝试提高传输速率，然而实际上没有任何的数据会被传送。思科M-Drive技术里的速率选择算法保证了在任何时候都有最佳的传输速率。这意味着不管客户端漫游到何处，都会有可靠的连接。另一个会对802.11ac/n和802.11a/g的性能造成影响的因素是接入点功率等级的一致性。如果功率下降，其结果可能是有覆盖漏洞，覆盖漏洞内的客户端将无法建立连接。如果功率增加，邻近的接入点可能会互相干扰。思科M-Drive技术使用经过仔细校准的硬件来测量温度，并随环境改变而调整输出功率，这将有助于确保更可靠的性能。通过第三方实验室的测试报告我们可以看到，ClientLink技术明显的提高了整体用户体验和网络的吞吐量。VideoStream技术——更好保证高质量组播视频应用视频流就绪特性通过三个方面改善了无线网络处理视频流量的方式。首先，它实现了视频组播到客户端的新方法，使得视频流更可靠并更有效地利用带宽。其次，它可以针对不同的视频流分配不同的优先次序，例如校长的讲话视频比体育比赛的视频具有更高的优先级。最后，一旦新建视频流会影响整个网络的视频质量，思科无线网络会发现并阻止新的视频请求。新的软件已经成为思科公司在其无线接入点和无线控制器的系统代码的一部分。组播对于无线是一个巨大挑战，这是因为客户端分布在离接入点不同的距离之内并因此调整相关的数据速率。为确保距离无线接入点最远的客户端可以接收到适当顺序和正确的数据包，无线网络将调整数据率来适应所有的客户。视频流就绪特性将这一转换下放到无线接入点来完成而不是通过无线控制器。思科无线局域网控制器管理传入的视频流，并传递组播流到局域网交换机，最后到达思科无线接入点。无线接入点将组播传输转换成多个独立的单播传送。无线接入点还处理状态控制，客户端监控及数据复制，以及只发送视频流到发出请求的Wi-Fi客户端而不是所有客户端。这种新办法意味着Wi-Fi网络现在可以处理大规模的视频组播，而且无线控制器和无线客户端双方之间的有线和无线带宽能够更有效的利用。此外，思科利用了802.11e/WMM无线多媒体服务质量标准，创造了更加精细粒度的视频流优先次序。目前，相对数据传输WMM允许给予视频流整体的优先权。现在，视频流就绪特性可以针对不同的视频流给予不同的优先级，这可以动态的调整网络来适应需求的变化。例如一个关于校园流量安全的视频组播可以相对于其他“尽力而为”的视频流在网络上给予高优先权。最后，视频流就绪特性对待请求组播视频的无线客户端可以达到无线语音应用的水平。随着请求和连接数量的增加，在某一个无线接入点上的无线信道迅速被填满。接下来的“呼叫”在这种情况下将面临质量差的问题，并开始侵蚀其他的通话的质量。视频流就绪特性通过资源预留控制功能阻止过多的组播视频请求，并发送一个“视频不可用”的信息，以保护网络上整体的视频质量。网络管理员可以通过一套图形化管理界面设置和管理视频流就绪特性。BandSelect技术——将双频用户自动引导到干扰更小的5G频段今天，很多终端设备都是双频设备，而本次部署的无线接入点也都是双频接入点，即同时支持2.4G和5.8G,今天的无线干扰主要集中在2.4G频段上，2.4G只有3个非重叠的信道，抗干扰能力比较差，而5.8G信道却相对好的多，可今天的现实情况是：虽然无线接入点是双频的，用户的终端也是双频的，但是，由于网卡的类型及驱动的不同，导致还有非常多的用户是链接到2.4G频段上，那么，有什么技术手段可以减少双频客户端关联到2.4G上，而直接使用5.8G频段呢？这就是思科的BandSelect技术所解决的问题。BandSelect技术，解决了用户关心的802.11a/g双频客户的频道选择问题。通过延迟对双频客户端的2.4Gprobe请求的回应，迫使双频客户端在5.8G上发probe请求，然后回应5.8G的probe请求，实现将双频客户端引导到干扰更小的5G频道上，同时也为只支持2.4G的用户提供了更多的使用带宽。BandSelect算法包括两个部分：Probe抑制识别双频客户端(2.4GHz和5GHz能力)抑制2.4GHz信道的Probe回应等待双频客户端扫描5GHz信道不在2.4GHz回应双频客户端的Probe请求容纳只支持2.4GHz的客户端以及双频段客户端退回2.4GHz双频客户端2.4GHzprobe请求抑制超时标记只支持2.4GHz的客户端并相应probe请求思科可信任无线网络架构通过思科ISE身份服务引擎，实现网络访问的认证、授权和审计等功能，可以参照以下的网络拓扑图进行搭建和部署。在思科可信网络架构中，所有接入网络的用户或者终端设备，包括有线接入、无线接入或者远程访问VPN等方式，都是由交换机或者无线控制器作为认证者的角色，思科ISE作为认证服务器的角色，提供认证、授权和审计的功能。。认证策略802.1X对于支持802.1X认证的客户端，如Windows客户端，MacBook客户端，甚至移动终端设备如iPad等，在接入有线或无线网络时，可以交换机端口上启用802.1X认证，或者在无线控制器上启用802.1X认证，思科ISE作为Radius服务器，对有线或无线的802.1X客户端进行认证。MAB对于不支持802.1X认证的终端设备，如打印机、IP话机、IP摄像头等不支持交互式认证的设备，在接入有线或无线网络时，可以在交换机端口或无线控制器启用MAB（MACAuthenticationBypass）方式进行认证，思科ISE作为Radius服务器的，完成对这类终端设备的MAB认证。WebAuth对于未安装802.1X认证客户端的终端设备，如Windows平台，MacBook平台等，在接入有线或无线网络时，可以交换机端口上启用WebAuth认证，或者在无线控制器上启用WebAuth认证，思科ISE可以将WebAuth的认证页面推送到客户端，在认证页面上输入用户认证信息，完成认证。授权策略分配VLAN通过认证的用户或终端设备，思科ISE通过Radius协议，为终端设备连接的交换机的接口分配动态的VLAN，实现对终端设备访问权限的控制。下载ACL通过认证的用户或终端设备，思科ISE可以通过预先定义的ACL，将其下发到终端设备连接的交换机的接口上。对于无线接入方式，可以直接为客户端对于的空口分配ACL。审计和报表记录认证和授权过程检查网络设备端口的认证配置的有效性提供认证和授权的历史记录和统计报表思科无线网络基于访客管理根据用户的需求描述，ISE提供了访客服务。对于一般访客而言，通过接待人为其创建临时帐号；对于合作伙伴或经常来的客人，提供自服务功能，包括自带设备（即BYOD）的注册访问功能。通过ISE完成以下的认证与授权策略的配置：用户角色设备接入方式认证方式授权策略普通访客任意任意有线WebAuth访问互联网普通访客任意任意无线WebAuth访问互联网合作伙伴任意BYOD有线自助服务访问互联网合作伙伴任意BYOD无线自助服务访问互联网思科无线网络身份认证系统功能特性特性描述AAA协议使用标准的RADIUS协议进行身份验证、授权和审计(AAA)。认证协议通过安全隧道的EAP灵活身份验证(FAST)以及EAP传输层安全(TLS)支持众多身份验证协议，包括PAP、MS-CHAP、可扩展身份验证协议(EAP)-MD5、受保护的EAP(PEAP)。策略模型提供基于规则、属性驱动的策略模型，用以创建灵活的、与业务相关的访问控制策略。属性是从预定义字典提取的，包含以下信息：用户和终端设备份、安全状态验证、身份验证协议、分析身份或其他外部属性来源，从而创建精细策略。也可动态创建属性并保存，以备后用。访问控制提供了多种使用思科网络设备高级功能的访问控制机制，包括可下载的访问控制列表(dACL)、VLAN分配、URL重定向以及SGA标签。设备识别设备出场就预置了各种终端设备（如IP电话、打印机、IP相机、智能手机和平板电脑）的设备模板。此外，管理员还可以创建属于自己的设备模板。当终端设备连接至网络时，这些模板可用于自动检测、分类和关联管理员定义的身份组。管理员还可以根据设备类型关联与其相关的授权策略。访客生命周期管理支持全面访客生命周期管理，由此访客用户可以通过管理员授权身份或通过访客门户页面进行自服务的方式在限定时间段内访问网络。允许管理员根据企业的具体需求自定义门户或策略。终端状态检查连接至网络的所有类型用户的终端设备的状态。无论是通过一个永久的基于客户端的Agent程序还是通过临时Agent程序进行操作，都可以验证终端设备符合企业的状态策略。可创建强大的评估策略，检查终端设备的以下状态信息：最新操作系统补丁、使用当前定义文件变量（版本、日期等）的防病毒/反间谍软件包、注册表（项、值等）以及应用程序。此外，身份服务引擎还支持客户端的自动修复，以及定期重新评估，以确保终端设备没有违反公司策略。终端保护服务让管理员能够对网络中有泄漏危险的终端快速采取纠正操作（隔离、解除隔离或关机）。这样有助于减少网络风险，增强安全性。集中管理支持管理员在单个基于Web的GUI控制台上集中配置和管理分析器、状态、访客、身份验证和授权服务。通过统一管理所有服务大大简化管理工作。监控与故障排除通过一个基于Web的GUI对组件进行集中监控、报告和故障排除，为网络操作员提供帮助。提供所有服务的全面历史和实时报告、所有活动的记录以及连接至网络的所有用户和设备的状态。平台选择可用平台包括物理设备或虚拟设备，共有三个物理设备型号和基于VMwareESX或ESXi的虚拟设备思科无线网络应用可视化思科无线网络系统，可以识别，分析和优化应用流量，支持1039种类型业务的识别和控制。现在基于网络的应用识别–NBAR2深度包检测和应用程序ID：思科统一无线网络应用可视化和控制配合思科思科统一无线网络应用可视化和控制配合思科PrimeAssurance提供了无与伦比的统一应用可视化和控制NBAR2LIBRARYDeepPacketinspectionTrafficRealTimeInteractiveNon-RealTimeBackgroundPOLICYPacketMarkandDrop无线控制器思科帮助您简化网管理思科网络管理系统可以实现有线和无线客户端故障一键排查：应用举例:最终用户由于无法连接无线网络访问数据，打技术支持电话获取帮助。IT支持人员通过NCS远程故障排查。总之，以上功能特性完全满足大连会馆和整个园区的无线技术和应用要求。网络设备清单沈阳、大连园区无线地勘分布1）根据大连园区无线地勘分析：需要196个无线AP（含大连报告厅7个AP)大连（D1）楼AP数量楼层房间号使用部门用途使用面积

（㎡）K值分摊面积

（㎡）1F103公共会议室32.161.9462.4211F102公共会议室32.261.9462.5211F105公共会议室32.721.9463.4201F106公共会议室32.261.9462.5211F107公共会议室23.271.9445.1011F108公共会议室23.031.9444.6412F205公共会议室42.141.9481.6712F206公共会议室22.351.9443.3202F208公共会议室21.461.9441.5912F209公共会议室22.001.9442.6402F210公共会议室42.361.9482.1012F211公共会议室22.001.9442.6412F212公共会议室21.851.9442.3512F215公共会议室22.871.9444.3302F216公共视频会议室21.851.9442.3512F218公共会议室22.781.9444.1513F301公共会议室17.381.9433.6813F302公共会议室22.351.9443.3213F305公共会议室42.151.9481.6913F309公共会议室22.191.9443.0113F311公共会议室22.851.9444.2913F312公共会议室21.961.9442.5613F316公共会议室21.851.9442.3513F318公共会议室22.781.9444.1514F401公共会议室29.011.9456.2314F403公共会议室36.821.9471.3614F405公共会议室22.571.9443.7414F412公共会议室22.771.9444.1314F410公共会议室21.851.9442.354F402公共会议室43.021.9483.381大连（D2）楼AP数量楼层房间号使用部门用途使用面积

（㎡）K值分摊面积

（㎡）B1B102公共会议室5.451.8410.020B1B103公共会议室5.451.8410.020B1B105公共会议室9.621.8417.690B1B107公共会议室26.441.8448.6201F101公共会议室23.081.8442.4411F103公共会议室21.781.8440.051F105公共会议室21.881.8440.2311F106公共会议室21.661.8439.8301F107公共会议室22.971.8442.2401F108公共会议室22.711.8441.7611F109公共会议室27.771.8451.0611F110公共会议室50.231.8492.3711F111公共会议室44.781.8482.3411F112公共会议室21.441.8439.4201F118公共会议室20.221.8437.1801F121公共会议室19.981.8436.7401F123公共会议室19.981.8436.7401F125公共会议室20.031.8436.8312F201公共会议室45.901.8484.4012F202公共会议室45.981.8484.5512F203公共会议室45.451.8483.5812F205公共会议室27.831.8451.1812F206公共会议室45.881.8484.3712F207公共会议室44.781.8482.3402F208公共会议室27.741.8451.0112F209公共会议室21.501.8439.5402F216公共会议室27.481.8450.5312F219公共会议室19.681.8436.1912F222BPO会议室20.021.8436.8103F301公共视频会议室45.941.8484.4813F302公共会议室46.081.8484.7313F303闲置会议室21.881.8440.2313F305公共会议室22.521.8441.4113F306公共会议室21.981.8440.4213F307公共会议室27.831.8451.1823F308公共会议室23.111.8442.5033F315公共会议室85.461.84157.1503F317公共会议室27.751.8451.0313F318公共会议室27.871.8451.2513F319公共会议室20.171.8437.0904F401闲置会议室21.651.8439.8114F405公共会议室21.951.8440.3614F406交通会议室23.001.8442.2904F407公共会议室29.181.8453.6614F408公共会议室46.481.8485.4714F410公共会议室24.161.8444.4304F415软件开发会议室22.581.8441.5211F102—会议室———64F409—会议室———6大连（F1）楼AP数量楼层房间号使用部门用途使用面积

（㎡）K值分摊面积

（㎡）2F206哈曼会议室25.433.0276.7002F208汽车电子本部会议室24.263.0273.1712F212汽车电子本部会议室49.763.02150.0913F320公共会议室69.273.02208.9313F305公共会议室37.33.02112.5013F307公共会议室66.183.02199.6113F309公共视频会议室140.223.02422.9323F310公共会议室49.743.02150.0313F318行政平台会议室104.223.02314.3524F405人力平台会议室66.183.02199.6104F407公共会议室140.223.02422.932大连（F3）楼AP数量楼层房间号使用部门用途使用面积

（㎡）K值分摊面积

（㎡）1F103公共会议室58.701.6496.3601F105-1公共会议室35.361.6458.0511F105-2闲置会议室24.751.6440.6301F109公共会议室60.111.6498.6821F111闲置会议室58.701.6496.3601F116公共会议室46.741.6476.7321F112公共会议室23.371.6438.3621F110公共视频会议室97.501.64160.0641F108公共会议室35.341.6458.0121F106公共会议室35.341.6458.0102F206嵌入式会议室54.721.6489.8312F207嵌入式会议室34.321.6456.3412F208嵌入式会议室31.351.6451.4612F209嵌入式会议室31.681.6452.0112F210嵌入式会议室31.921.6452.4012F211嵌入式会议室33.001.6454.1712F212嵌入式会议室87.051.64142.9022F215嵌入式会议室26.401.6443.3412F216嵌入式会议室35.341.6458.0112F217嵌入式会议室78.001.64128.0533F309国合会议室29.371.6448.2113F311嵌入式会议室29.701.6448.7613F312嵌入式会议室31.471.6451.6613F315公共会议室29.701.6448.7613F316公共会议室31.471.6451.6613F317国合会议室37.221.6461.1013F318公共视频会议室87.051.64142.9023F320公共会议室31.471.6451.6613F322公共会议室31.471.6451.6614F405IA会议室54.721.6489.8324F406IA会议室55.291.6490.7714F407IA会议室31.231.6451.2714F408IA会议室31.351.6451.4614F409IA会议室31.921.6452.4014F410IA会议室31.921.6452.4014F415IA会议室31.921.6452.4014F416IA会议室31.921.6452.4014F417IA会议室31.231.6451.2714F418IA会议室31.231.6451.2714F419IA视频会议室55.291.6490.7714F420IA视频会议室55.291.6490.7715F506商用会议室25.081.6441.1715F508商用会议室31.351.6451.4615F509IA会议室23.731.6438.9605F510商用会议室27.361.6444.9115F511IA会议室23.371.6438.3615F512商用会议室88.551.64145.3725F515IA会议室65.521.64107.5625F518商用会议室22.801.6437.4315F520商用会议室22.801.6437.4315F522商用会议室21.661.6435.5616F607软件测试会议室23.051.6437.8416F609软件测试会议室67.761.64111.2416F611软件测试会议室23.051.6437.8416F612汽车电子第一事业部会议室24.891.6440.8616F615软件测试会议室24.781.6440.6816F616汽车电子第一事业部会议室23.051.6437.8406F618汽车电子第一事业部视频会议室67.761.64111.2416F622汽车电子第一事业部会议室23.051.6437.841大连（F5）楼AP数量楼层房间号使用部门用途使用面积

（㎡）K值分摊面积

（㎡）1F102大商所会议室48.091.5172.8311F106大商所会议室33.51.5150.731F108大商所会议室35.041.5153.062F202公共会议室48.091.5172.8312F203公共会议室33.071.5150.0812F205公共会议室22.261.5133.7112F206公共会议室33.51.5150.7312F207东信会议室29.481.5144.6412F208公共会议室35.041.5153.0613F316东信会议室25.91.5139.2213F318东信会议室25.061.5137.9513F319金融视频会议室33.141.5150.1913F320东信会议室25.061.5137.9513F321金融会议室51.761.5178.3813F326公共会议室19.771.5129.9403F328东信会议室23.571.5135.6913F330公共会议室27.961.5142.3403F332东信会议室31.561.5147.7904F401国合会议室23.051.5134.9114F402国合会议室26.491.5140.1214F403国合会议室22.471.5134.0314F406国合会议室25.361.5138.4014F408国合会议室25.361.5138.4014F410国合会议室26.441.5140.0414F419国合会议室34.711.5152.5614F421国合视频会议室33.251.5150.351另：大连报告厅需要5个AP。2）高级会馆无线地勘分析，共需要35个无线AP。二层无线分布；大堂4角部署AP，根据现场踏勘AP预埋网线线位置均偏置建筑中线，部署AP基于预埋线放置会影响装修美观度。一层无线分布；一层会所门厅由于欧式装修风格棚顶及墙壁不适合安装AP，所以门厅通过相连的大堂部署的AP覆盖。F1\F2所有包房的AP预留网线均预留于地面，AP部署可以根据地插或线头位置安装在在墙壁、会议桌下的等隐蔽位置 B1层无线分布；B1五个总裁办公室图纸没有预留AP网线，现场每个办公室内地面有多条预留网线，墙壁均有网口面板。 B2层无线分布；B3层无线分布；B1\B2\B3会议室吊棚内是否有网线不确定，AP预埋网线位置不确定。综合布线图纸中均有标注在会议室中心出有预留设计。3）沈阳园区无线地勘分析，共需要190个无线AP(含沈阳报告厅7个AP)。A1楼会议室会覆盖4A2楼F1（106、104、108；116、120、126；121、123、125共使用6个AP，其他会议室每个房间一个AP）8A2楼F2（212、216、220；223，225，227公用4个AP其他会议室每个房间一个AP）7A2楼F3（330、332、334用2个AP；336-348双数号会议室共用4个，其他会议室每个房间一个AP）9A2楼F4（