无线网络部署方案

无线解决方案目录1.概述 -2-企业WLAN面临的挑战 -2-1.2企业对WLAN需求 -2-解决方案概述 -3-2.架构理念及设计原那么 -5-系统架构理念 -5-所见即所得的射频规划工具－减少设计本钱、提高部署效率 -5-智能化的射频管理特性－减少射频管理本钱、提高射频管理效率 -5-强健的网络平安特性－降低平安威胁、防止法律风险 -6-加速投资回报的可运营网络－减少运营本钱、改善运营环境 -6-最具时效的网络管理手段－降低总体管理本钱、提高整网管理效率 -6-满足多业务融合的软硬件平台－降低投资风险、提供投资保护 -7-系统方案设计原那么 -8-3.无线网络系统解决方案 -10-无线网络总体架构 -10-无线网络功能设计 -12-3.3IP地址规划设计 -13-3.4无线网络平安性设计 -14-4设备选型 19AIR-CT2504-15-k9技术参数 19AIR-LAP1041N-E-K9技术参数 211.概述无线局域网〔WLAN〕技术于20世纪90年代逐步成熟并投入商用，既可以作传统有线网络的延伸，在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点：简易性：WLAN网桥传输系统的安装快速简单，可极大的减少敷设管道及布线等繁琐工作；灵活性：无线技术使得WLAN设备可以灵活的进行安装并调整位置，使无线网络到达有线网络不易覆盖的区域；综合本钱较低：一方面WLAN网络减少了布线的费用，另一方面在需要频繁移动和变化的动态环境中，无线局域网技术可以更好地保护已有投资。同时，由于WLAN技术本身就是面向数据通信领域的IP传输技术，因此可直接通过百兆自适应网口和企业内部Intranet相连，从体系结构上节省了协议转换器等相关设备；扩展能力强：WLAN网桥系统支持多种拓扑结构及平滑扩容，可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统；随着WLAN技术的快速开展和不断成熟，目前在国内外具有较多的中大规模应用，诸如荷兰的阿姆斯特丹市的全城覆盖，向客户提供各种业务。企业WLAN面临的挑战WLAN产品性能必须强大且能保证无线网络的稳定性、平安性与可靠性；在部署无线网络的过程中不能破坏和影响原始装潢和设计风格；产品部署、安装、维护，管理和扩容必须简单便捷，考虑节约运维本钱1.2企业对WLAN需求无线网络支持语音和数据业务；客户访问无线数据网络业务无缝漫游；客户对无线AP设备集中平安管理和RF监控；无线网络支持多个SSID；不需要在每个客户终端管理大量的Wepkey；可以和内部的效劳器结合进行上网客户的认证；支持以太网供电〔PoE〕；1.3解决方案概述本方案根据用户实际无线网络覆盖需求，基于思科无线整体化无线网络架构方案，按照网络架构进行模块化分层部署设计。无线网络作为底层通信平台，采用业界先进的AP+AC部署方式，在业务上基于分布式转发方式进行架构，具有极强的可靠性、扩展性和易维护性；结合思科无线产品独有的平安专利技术，从接入认证、数据加密、平安策略等多个角度进行平安一体化设计，充分保证无线数据通信的平安性和完备的无线系统防御措施。思科无线整体化解决方案，将无线漫游技术、射频信号优化技术、平安加密技术、综合管理系统、业务功能设计等进行分层模块化部署设计，将系统资源有效整合，充分发挥设备功能、性能优势，提供高质量、高可靠性的无线网络。2.架构理念及设计原那么所见即所得的射频规划工具－减少设计本钱、提高部署效率为了有效解决网络建设者在无线网络设计和规划所面临的困难，并有效降低在无线网络设计和规划方面的总体本钱。思科系统提供可视化的无线射频规划和部署工具。该工具将为网络建设者提供最具时效的可视化无线网络部署和规划手段。通过向RF部署工具导入需要实施WLAN部署的各区域平面图及其面积、预期的覆盖效果、障碍物材质等参数，RF部署工具将综合考虑整个覆盖区域内三维空间的射频特性，自动输出各覆盖区域的AP最正确部署位置及预测的覆盖效果。这将为WLAN网络的实际部署提供有力的参考，帮助无线网络设计和实施人员快速、准确对整个无线网络进行射频信道规划、射频功率确定及设备布点指导。智能化的射频管理特性－减少射频管理本钱、提高射频管理效率针对无线网络中存在的射频管理难题，思科无线系列提供基于集中化或内置于无线控制设备的可视化智能RF管理工具。借助该管理工具所提供的强大功能，思科无线控制设备可以及时发现无线网络中由于接入点失效而产生的射频覆盖黑洞，并通过经优化设计的RF算法协调失效AP周边的其它AP资源来完成对覆盖黑洞的有效弥补。同时无线控制设备还可以发现无线网络中存在的射频干扰问题，继而利用经优化设计的RF算法协调整网射频信道资源，从而为受干扰AP选择新的可用信道。该新的信道信息会自动下发到受干扰的AP并得到执行，从而快速解决射频干扰问题。当在现有无线网络中为满足覆盖需求而增加新的AP时，思科无线控制设备也可以通过优化的RF算法自动决策并指导新的AP完成无线信道及射频功率的调整，以此实现无线接入点的快速部署。思科系统智能化的管理特性可显著提高网络管理者对无线网络的部署和管理效率。强健的网络平安特性－降低平安威胁、防止法律风险无线网络在某种程度上可以看作是一个开放式的公共网络，因此，为了向网络经营者提供强健平安的现代化无线网络，汉明科技产品在关系到网络平安的各个层面均提供强健丰富的平安特性。在用户接入平安方面，思科提供802.1x接入认证、PSK认证、MAC接入认证以及portal认证等。通过AAA效劳器与无线控制设备的有机结合，思科系统可为用户提供基于用户角色的策略控制，这其中包括对用户的QOS特性、应用访问权限及无线漫游特性等参数的管理和控制。在无线用户数据平安方面，思科系统提供WEP、WPA、WPA2及WAPI在内的强健的无线网络加密功能，为无线用户提供不同级别的数据平安保障，满足无线网络各种应用对数据平安的要求。在无线网络环境平安方面，汉明科技智能无线接入点可同时工作在无线接入点和无线监视器的模式。同时，思科无线还提供完善的 WIDS功能，帮助网络管理者及时发现并响应网络中存在RogueAP和ADHoc主机等不平安因素，并可有效防护发生在无线网络中的DOS攻击。加速投资回报的可运营网络－减少运营本钱、改善运营环境针对现在社会节能环保的切实需求，思科无线推出全系列采用独特环保理念设计的无线控制器。得益于汉明科技独具特色的动态功率管理特性，该系列无线控制器在保持性能无损的情况下可根据自身运行情况、端口工作状态、线缆的长度和质量等多种因素自动调整供电功率，由此提供比同类型传统以太网交换机降低约30%的超低功耗。最具时效的网络管理手段－降低总体管理本钱、提高整网管理效率针对网络中部署的无线接入点，思科系统提供集中化的零配置管控能力，允许所有接入点自动发现并与控制设备关联，并提供对接入点的配置信息和软件版本进行自动更新和升级。由此，最大限度减少网络管理人员对无线接入点的维护工作量。为了解决无线接入点设备供电问题，思科无线接入点均提供基于802.3af标准的以太网供电〔POE〕支持。由此，网络建设可以使用POE供电设备为广泛分布的无线接入点进行集中供电，有效解决在各种环境下部署无线接入点时的电源引入问题，提高部署灵活性、减少部署时间并降低部署本钱。同时，通过配合使用汉明科技的POE供电交换机，网络管理者还可以实现对无线接入点工作状态及其耗电情况等方面的远程检测或调整。对于每一个在网络中部署的设备，汉明科技产品均提供内置于设备的可视化中英文WEB网管系统。基于该网管系统用户可获得基于统一风格和操作习惯设计的有线、无线集成网管所带来的好处，有效帮助网络管理员以最高的效率完成设备的配置和维护工作。针对整个网络所有设备的集中化管理需求，思科无线提供全面集成有线、无线管理能力的智能融合一体化网络级大型网管平台。是一个将有线和无线网络管理特性完美融合开发而成的开创性网管平台，除向用户提供风格完全一致的有线、无线网络管理操作手段和全特性的有线、无线管理套件，还提供全面的网络性能、事件、日志和趋势分析能力。借助于丰富强大的管理和分析特性，网络管理员只需操作一套软件即可顺利完成对整体网络的部署、管理和优化，还可快速定位并帮助解决网络中产生的故障。这极大简化了网络维护的复杂性，并有效降低网络运营本钱。满足多业务融合的软硬件平台－降低投资风险、提供投资保护思科无线控制器是为网络运营者交付的全特性无线网络控制和管理设备。全系列产品采用先进的并行多核多业务处理器及高速ASIC作为业务和数据处理平台。借助于先进的软、硬件产品设计，思科无线控制器除提供无线用户接入、无线设备管理、无线实时语音、无线视频传送、无线快速漫游等全面无线业务能力外，还支持提供高性能的NAT、VPN、QOS带宽管理等丰富业务特性。同时，思科无线控制器还提供基于芯片级别的IPv6业务特性，可对Ipv6数据报文进行硬件级的高速转发，加速各种基于Ipv6的业务处理能力。本方案的设计将在追求性能优越、经济实用的前提下，本着严谨、慎重的态度，从系统结构、技术措施、设备选择、系统应用、技术效劳和实施过程等方面综合进行系统的总体设计，力图使该系统真正成为符合冷库无线覆盖需求的网络系统。系统总体设计本着总体规划、分布实施的原那么，充分表达系统的技术先进性、高度的平安可靠性、良好的开放性、可扩展性，以及经济性。在网络的设计和实现中，本方案严格遵守以下原那么：标准性和开放性只有支持标准性和开放性的系统，才能支持与其它开放型系统一起协同工作，在网络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标准，以便能和不同厂家的开放性产品在同一网络中同时共存。通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。本方案中，网络设计及网络设备选型遵从国际标准及工业标准，使网络具有开放性和兼容性。思科无线局域网系统满足国际和国内的无线标准，思科系统产品最大程度的兼容符合Wi-Fi标准的各种无线终端设备。网络采用开放式体系结构，易于扩充，使相对独立的分系统易于进行组合和调整。选用的通信协议符合国际标准或工业标准，网络的硬件环境、通信环境、软件环境相互独立，自成平台，使相互间依赖减至最小，同时保证网络的互联。先进性和平安性系统所有的组成要素均应充分地考虑其先进性。不能一味地追求实用而忽略先进，只有将当今最先进的技术和我们的实际应用要求紧密结合，才能获得最大的系统性能和效益。网络的平安是事关重要的，在某些情况下，宁可牺牲系统的局部功能也必须保证系统的平安。无线网络系统提供多种有效的平安控制机制，以防止机密泄露和影响正常工作。无线网络系统应提供一套完整的平安防范措施，能够有效地防止系统外部人员的非法侵入。在无线网络建成后的3-5年之内，不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平，防止技术环境过于超前造成投资浪费。成熟性和高可靠性作为信息系统根底的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。网络硬件体系结构在实际应用中能经过较长时间的考验，在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案，并通到较多的第三方开发商和用户在全球的广泛支持和使用。同时，应从长远的技术开展来选择具有很好前景的、较为先进的技术和产品，以适应系统未来的开展需要。可靠性也是衡量一个计算机应用系统的重要标准之一。在确保系统网络环境中单独设备稳定、可靠运行的前提下，还需要考虑网络整体的容错能力、平安性及稳定性，使系统出现问题和故障时能迅速地修复。因此需要采取一定的预防措施，如对关键应用的主干设备考虑有适当的冗余。一个高可用性的系统才能使用户的投资真正得到回报。无线网络系统具有较高的可靠性和可用性，具有强大的容错功能，以保证各种应用的正常运行。系统具备在线故障恢复能力，关键设备、模块、线路能做到实时备份、均衡负载和自动故障切换。可维护性和可管理性整个信息网络系统中的互连设备，应是使用方便、操作简单易学，并便于维护。对复杂和庞大的网络，要求有强有力的网络管理手段，以便合理的管理网络资源，监视网络状态及控制网络的运行，因此，网络所选的网络设备应支持多种协议，管理员能方便进行网络管理、维护甚至修复。在设计和实现时，必须充分考虑整个系统的便于维护性，以使系统万一发生故障时能提供有效手段及时进行恢复，尽量减少损失。可扩充性和兼容性网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理能力、物理接连、产品支持等方面具有扩充与升级换代的可能，采用的产品要遵循通用的工业标准，以便不同的设备能方便灵活地接连入网并满足系统规模扩充的要求。3.无线网络系统解决方案网络总体架构该方案的具体网络拓扑架构如下列图所示：结合用户无线网络需求情况，结合思科无线科产品技术特点，为了满足用户构建一个高速、稳定、平安、可靠、易于管理的无线接入网络的需求，本设计方案按照AP+AC的结构化无线网络解决方案进行设计。整体框架基于瘦AP方式部署，采用AC〔无线控制器〕对AP进行集中管理、控制、配置下发，以及对接入终端的认证、数据分布式/集中式转发、漫游等功能。操作和维护工作现在只需要在AC上进行就可以了。在这个架构里，AP只负责无线信号的收发，不作MAC层及其以上的协议层处理，所有的智能工作都由AC完成。思科基于瘦AP+AC架构方案的优势在于：配置简单：AP零配置、所有的配置集中在无线控制器上完成，简单便捷；维护方便：管理、维护针对无线控制器来实现，不需要对每一台AP进行操作；易于升级：针对特性增加带来的软件版本升级需求，只需要对无线控制器进行操作即可，不需要对每一台无线AP单独升级，软件的升级由AP自动完成。平安可控：可以集中进行射频及功率、信道调整，黑白名单、无线入侵检测、平安访问控制等功能；扩展性强：根据需要，可以灵活增加补点AP，需要扩容的话，只需要将AP接入网络即可。支持三层漫游，方便扩展支持无线监控、话音应用等业务。网络性能好：高速的数据转发，支持快速切换，数据私密性好，天然的MAC层加密隧道；抗干扰性强：可动态分配信道，并在受干扰时切换到最优信道本方案中，AP与AC使用二层架构部署，即AP与AC处于同一IP子网，AC设备负责IP网段划分和数据路由转发。二层架构清晰明确、系统具有更高的数据转发性能。由于中间无需进行三层处理，故可以保证数据链路的高带宽、低延迟、无抖动。会聚交换机与接入交换机之间采用全千兆trunk链路。会聚交换机下连所有接入交换机，对所有链路进行集中会聚，对所有数据进行交换转发。会聚交换机设备采用高性能全千兆三层交换机，以提供稳定、可靠、全线速的数据转发效劳。接入层设备采用二层全线速百兆交换机，其中上行链路采用千兆接口。接入交换机下挂AP，为AP提供上行链路和POE供电功能。从AP到会聚交换机全部为二层接入，以到达更高的转发性能。无线信号穿越门、窗、墙等障碍物会有衰减，因此，无线信号和覆盖场所的物理格局关系密切。思科无线AP的覆盖原那么是，首先保证覆盖区域内，AP与无线终端之间无线信号的有效交互，其次，保证覆盖区域内每个终端的覆盖带宽要求。考虑到无线网络中多媒体业务对带宽大规模占用的特点，以及对数百台AP的大流量处理要求，如果采用集中式转发的架构模式，AC很容易成为性能瓶颈。因此方案中采用分布式转发模式。控制、管理报文通过无线控制器进行统一处理，数据报文在无线AP上直接转化为以太网格式的报文，不需要通过隧道封装交无线控制器处理，从而解决无线控制器的数据转发性能瓶颈问题。在该方案中，应包括如下设备：无线控制器，实现对AP及接入终端的集中式管理。无线接入AP，实现优化、无缝的无线信号覆盖和数据分布式转发。零配置/即插即用功能：AP上不需要进行任何配置，只要接入到网络就可以工作软件自动升级功能：AP的软件完全实现自动升级批量配置功能：对连接到无线控制器的众多AP进行批量配置动态信道分配功能：无线控制器可以为AP自动分配信道，并在受到干扰时切换到最优信道自动发射功率调整功能：AP发生故障后，邻居AP可以提高自身功率，以弥补覆盖空洞网络负载分担功能：既可以实现用户在不同AP下的负载分担，也可以实现AP在不同无线控制器下的负载分担快速切换功能：用户在同一无线控制器的不同AP之间漫游时，可以大大提高切换速度，切换时延只有8~9毫秒跨区组网功能：对于分散在不同区域的AP依然可以通过城域网连接到无线控制器，而且AP无需任何配置跨IP子网漫游功能：无线工作站无需作任何改动，可以在不同的IP子网进行无缝漫游3.3IP地址规划设计无线网络系统属于用户内网，只进行内部通信使用；该无线网络系统作为用户整体网络的一个分支，ip地址可参照用户现有网络进行规划。IP地址规划按照职能，分两个局部：设备管理ip：用于标识交换机、AP设备的固定ip地址用户终端ip：用户终端设备〔PDA、笔记本、wifi等〕的ip地址，或由DHCPserver自动分配或由用户手工配置对IP地址编址设计和分配利用，遵循了以下原那么：1、自治：整个网络被划分成几个大的自治区域，每个大自治区域中又被划分成几个中等的自治区域,再将中等自治区域划分成几个小的自治区域。2、有序：我们按照自治原那么将网络进行逻辑划分后，就根据地域、设备分布及区域内用户数量来进行子网规划。同时，将IP地址规划和网络层次规划、路由协议规划、流量规划等结合起来考虑。为了提高地址分配效率和地址利用率，在编址设计时按照了一定的顺序进行。选择的顺序是自上而下的顺序，即采用领先的自顶向下网络设计〔Top-DownNetworkDesign〕方法。3、可持续性：考虑到内网络用户数将持续高速增长，网络所要承载的业务量和业务种类越来越多，这使得网络需要频频进行技术升级、改造和扩容。所以，在进行地址分配时本方案充分考虑到了这些因素，为网络的每个局部留有局部地址冗余，这样保证网络的可持续开展。4、可聚合：互联网日新月异的开展和日益庞大的规模令当初设计互联网络的专家始料不及，在路由表急剧膨胀情况下，可聚合原那么是网络地址分配时所必须遵守的最高原那么，可聚合原那么要求在进行地址规划时，应提供足够的路由冗余功能。5、尽量节约IPv4地址：由于IPv4地址越来越少，所以对于IPv4地址的使用需要格外节约。IPv4地址的节约可以通过动态编址技术和NAT技术等来实现。6、闲置IP地址回收利用：对于已分配出去的静态IP地址进行定期追踪管理，对长时间闲置的IP地址可经过确认后回收重复利用。3.4无线网络平安性设计WLAN利用了不可见的公用媒介进行空中信号传播，平安问题是部署无线的巨大挑战。仔细分析无线网络面临的平安挑战，主要是防止非法窃听、数据篡改，防止非法用户接入，防止恶意攻击〔ARP攻击、DHCP攻击〕，防止AP过载〔播送风暴〕，防止不合理应用等。针对以上平安问题，思科系统无线系统可以提供多标识的用户的接入验证功能，如无线链路接入认证，以及针对用户接入的X、WEB认证、MAC、SSID等多种标识的认证方式。并且，可以提供对无线链路进行加密功能，如WEP、WPA、WPA-PSK、WPA2等加密方式。实现对所有无线数据进行加密传输无线网络的平安性设计表达在接入认证、数据加密、平安策略三个层面。接入认证实现对接入无线网络的终端和用户进行接入合法性检查；数据加密对终端和AP之间的数据进行加密处理，防止窃听；平安策略采用用户隔离、SSID隐藏、MAC地址过滤等技术手段抵御恶意用户的攻击行为。接入认证方案设计：思科系统AP产品支持MAC地址认证、预共享密钥认证、802.1X认证、portal认证。如果用户网络中已包含ruidius认证效劳器，我们建议用户采用802.1x认证或portal认证方式实现对接入用户的准入。也可以在用户现有网络认证系统的根底上进行扩展，把无线系统的接入控制参加到现有认证系统中，实现用户网络认证系统的统一性和完整新。802.1x认证是一种基于端口的网络接入控制协议，该技术也是用于WLAN的一种增加网络平安的解决方案。当客户端与AP关联后，是否可以使用AP提供的无线效劳要取决于802.1x的认证结果。如果客户端能通过认证，就可以访问WLAN中的资源；如果不能通过认证，那么无法访问WLAN中的资源。Portal认证也称为Web认证，一般将Portal认证网站称为门户网站。未认证用户接入wlan后上网时，翻开浏览器，portal网关设备将强制用户登录到特定站点，提示用户输入用户名和密码，只有认证通过后才可以使用互联网资源。假设用户现有网络系统中无完整、统一的认证系统，可以采用较为简便的PSK预共享密钥认证，PSK认证需要在无线客户端和设备端配置相同的预共享密钥，如果密钥相同，

PSK接入认证成功；如果密钥不同，PSK接入认证失败。平安策略方案设计：1.隐藏SSID，不主动播送SSID信息，终端采取主动寻找方式进行接入，可以防范外来用户使其无法搜索到该SSID的信号，故也无法接入。2.MAC地址过滤功能，只有特许的mac对应的wifi终端才能接入。3.用户隔离功能，接入同一SSID的用户之间二层隔离，保障二层平安，防止ARP攻击、DHCP饿死攻击、播送风暴等二层攻击行为。本方案无线网络的管理分为两个层次两级管理。第一层是接入层的AP，第二层是无线控制器AC，第一层的AP无需单独维护，全部交给第二层的AC进行统一的配置管理，包括平安策略、QoS策略、RF射频管理和漫游管理。在本方案中，AC设备是整个无线系统的核心，表达在对所有AP设备的集中式管理、数据集中转发，为接入用户提供平安、数据、漫游、QOS等效劳。在传统无线网络建设中，有一个始终令网管人员感到头痛的问题，那就是对AP的管理、监控以及AP自身固件的升级。由于传统AP是一种称作为“FATAP”，即自身需要有相应控制软件以及独立的配置才能运行，而由于AP是一种接入层设备，数量较多，且由于酒店网络的复杂性以及业务的多样性，导致需要根据各“热点”区域进行相应配置，并且还需要网管员对这些特殊配置进行记录，以方便日后维护；此外，在日常运行中，还需要了解这些数量众多AP的工作状态及性能等数据，而一般AP管理工具功能太过简单，如果采用有线网络网管软件，由于没有很好的对无线网络做相应的开发与支持，从而不能很好的管理无线网络。而采用思科无线整体解决方案架构下的无线网络，AP是一种被称作“THINAP”的结构，由于AP本身没有任何需要配置的参数，同时AP与中心无线控制器之间采用CAPWAP协议进行通信，AP的固件、配置信息均由中心的POE交换机提供，并且AP与无线交换之间采用“心跳”机制定时保持通讯，为了解决传统“FATAP”能够集中管理、配置、升级AP；AP与无线控制器之间采用“心跳”机制，定时保持通讯，无线控制器能够非常及时的了解AP的工作状态。集中式无线网络管理方案大大提高了用户对网络系统的易维护性，在AC上实现对所有AP、接入用户的状态监视、配置管理，远程操作等。AC设备集成DHCP效劳、RADIUS认证效劳、PORTAL认证效劳，为客户提供统一的管理界面。瘦AP和无线控制器系统有非常强大的集中管理功能，所有的关于无线网络的配置都可以通过配置无线控制器器统一完成。例如开通、管理、维护所有AP设备以及移动终端，包括无线电波频谱、无线平安、接入认证、移动漫游以及接入用户等所有功能。AC产品为Web图形化界面设计，提供友好、简捷的人机界面，方便用户维护、管理。3.6WLAN频率规划/n工作在2.4GHz频段，频率范围为2.400～2.4835GHz，共带宽，划分为13个子信道，每个子信道带宽为22MHz。子信道分配如图3-1所示。在使用2.4GHz频点时，为保证信道之间不相互干扰，要求两个信道之间间隔不低于25MHz。在一个覆盖区内，最多可以提供3个不重叠的频点同时工作，通常采用1、6、11三个频点。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。同一层覆盖区域内使用3个AP示意图相临三排之间AP频率规划示意图3.7AP部署方案设计根据原有的布线结构。结合无线部署经验，在每个教室办公室部署一台AP，AP可通过本地电源供电，或者POE注电器供电。4设备选型AIR-CT2504-15-k9技术参数指标指标项技术标准要求硬件及接入能力最大接入AP数量可通过软件方式升级，升级步长≥5个AP，最大可支持不低于50个AP接口类型支持≥4个千兆10/1000/1000M以太口物理高度1U吞吐量≥500Mbps，AES-CCM加密吞吐量≥500Mbps隧道加密能力必须支持所有AP到控制器的控制信令及用户数据全部以AES-CCM的方式加密传输至控制器，并且加密后控制器转发能力不受影响扩展性支持控制器堆叠，支持1:N冗余方式(N≥2)最大用户数≥500最大用户数并发≥500SSID支持≥512SSID功能支持标准★支持瘦AP标准IETF5415CAPWAP协议用户认证支持802.1x/EAP认证，支持EAP-TLS、EAP-PEAP、EAP-TTLS支持WEB认证，并且可以自动推送页面无线资源管理支持自动无线资源管理功能，根据无线网络实际情况自动调节无线网络射频参数，下发至AP生效，并不影响AP正常接入性能IPv6支持支持IPv4、IPv6认证模式支持LDAP通讯接口支持Radius通讯接口，支持标准RadiusRFC协议，可以与第三方Radius互通VLAN支持支持≥256个VLANVLAN和地理位置的绑定在同一个SSID下，可以根据用户的物理位置不同为用户分配不同的VLAN，并且不需要特定的外置效劳器就能实现组播支持IGMP、IGMPSnoopingQos控制DHCP支持DHCPServer漫游要求支持2、3层情况下，无线用户在数据不加密以及WPA/WPA2加密情况下可以无缝漫游Mesh功能支持控制器下LAP以Mesh的工作方式工作平安频谱检测★可结合采用必须可以实现在提供用户接入的同时进行频谱分析功能根据分析，可以给出简单明了的空口质量trap信息，简化用户排查故障的时间WIPs功能自动发现接入到有线网络的AP，自动发现并围堵使用同一个SSID的AP必须能够实现自动发现并围堵AdHocRougeAP必须能够实现根据RSSI信号强度定义非法AP必须支持以下Signatures攻击：Bcastdeauth，NULLproberesp1/resp2,Assocflood,Authflood,Deauthflood,EAPOLflood非法AP控制支持非法AP、非法客户端的发现、抑制功能；要求必须采用接入模式的AP做为非法AP的检测、抑制设备，无需另外添加专门AP做为AP检测设备高级AAA功能支持连接LDAP数据库，要求内置AAA功能动态VLAN支持基于用户的VLAN分配加密功能