某公司网络提升建设项目


 

1 方案概述

公司网络提升项目作为“数字化网络”建设的组成部分,将覆盖公司总部办公实验环境。通过搭建无线网络,实现在总部人员随时随地访问互联网及内部网络资源,改善网络接入体验。

1.1 项目建设目标

本方案的总体目标是设计符合公司实际楼体结构的无线信号无盲区覆盖,实现安全而便捷的无线接入,提升居公司总部内员工的网络使用体验,促进信息化管理和服务的发展。
具体建设内容包括:
Ø 实现全楼的无线全覆盖;
Ø 建设总部的安全接入认证系统;
Ø 建设有线无线一体化的管理平台。

1.2 方案设计思路

根据本公司网络提升项目无线覆盖的要求,方案通过对公司总部进行实地无线地勘,结合使用网络的习惯,将无线网络延伸至建材院的每个角落。

图1-1无线方案设计思路

1、 稳定的无线覆盖
无线信号由于会受到天气、周边环境及已经部署其他无线信号源的干扰,确保新建无线信号的稳定是本次建设的首要解决的问题。通过实际环境地勘,测试无线信号等方法,确定影响本次无线建设的各种因素,进行综合分析,确保新建无线网络在信号稳定、无盲区的覆盖。
2、 安全的无线覆盖
无线网络通过广播SSID的方式,为信号覆盖范围内的终端提供无线接入的信息点。在无线网络覆盖安全方面,将采用强制接入认证、非法AP抑制等技术手段,确保接入无线网络安全性和稳定性。
3、 可控的无线覆盖
本次项目建设具备范围广和新增设备多等特点,做到对网络所涉及到的设备资源的可控,使得该网络中的所有设备运行在最佳状态,整体提升无线网络的健壮性。

1.3 方案价值点

根据建设无线网络的需求,同时结合实际部署环境,整体方案在满足无线网络建设底层需求的同时,着力于改善职工使用无线网络的体验,最终为数据传输、业务系统服务及运维管理提供夯实的无线网络基础平台。
1、 无线覆盖无盲区、高性能
通过适应不同场景的不同部署方式,尤其采用“灵动天线”解决复杂环境的覆盖问题。通过802.11ac高速无线技术,在提供适合场景需要的的高无线性能,满足应用及终端使用需求。
2、 认证系统更安全、更便捷
融合Web认证和802.1x,既安全又便捷。同时采用本特有的“一次认证、终身免认证”的无感知认证方式,让员工以及访客使用无线网络更加便捷,免除反复输入密码的麻烦。
3、 网络管理更全面、更简单
通过有线无线一体化管理,以及无线独有的热图、定位、频谱分析、无线探针等功能,以及可视化的良好展示,让网管非常高效易用。

2 项目需求分析

2.1 业务架构与需求分析

本公司的信息化业务主要包括科研、管理和服务等方面。
因此,统一的有线、无线网络支撑平台就非常重要,具体包括:
1、 需要支持基于用户信息、基于用户所在区域的信息主动推送;
2、 全校统一的身份认证平台,包括统一运营、系统对接与身份数据同步等;
3、 通过各种技术实现高安全、高性能的先进平台;
4、 统一的网管平台。

2.2 无线建设需求

无线信号覆盖
要求设一个高可用、高安全、高稳定、易使用、易管理、易扩展的无线网络与基础设施平台,通过支持最新一代的802.11ac标准,实现无线网络的无缝、高速覆盖,为网络资源的充分利用和共享提供强有力的保障,为建材院的全面信息化奠定坚实的基础。要求所有无线覆盖区域信号值大于-60dbm
无线接入性能
要求结合业务、终端、用户密度等方面的实际情况,完善基础设施,基本形成全覆盖高速无线网络。
具体要求:
无线接入认证
要求全面整合公司内各网络层认证平台的账号信息与认证方式;全面建立网络安全管理体系,包括全网安全与身份准入认证、WEB应用安全防护、并支持使用更为人性化的WEB认证。
要求支持基于用户的带宽保障与控制,无论用户在何处认证上网都可以根据其身份进行网络应用带宽的管理。
无线网络安全
要求网络建设中充分考虑无线安全的特殊性,减少或避免信息泄露、干扰用户使用的各种问题风险。
无线网络管理
为保障信息平台的稳定运行,通过功能齐全、管理科学的信息系统运维解决方案,以实现对全校的网络设备、服务器、安全产品等多种IT资源的状态和性能、关键业务系统的运行,能实现各IT资源的相互影响分析管理、统一的监控策略、统一告警策略、统一视图管理等功能,能提供完善的知识库,以支撑学校运维体系的建设。遵循ITIL、ISO20000标准,支持未来基于IT运维管理系统中的事件管理、配置管理、计划任务管理三大功能的扩展,形成统一的IT运维管理系统。

2.3 总体设计要求

需求特点总结
无线网的建设目标是实现公司总部全网环境下的无线网络全面覆盖,为满足员工访问内网资源、互联网资源构建一个真正可用的无线网络。
1、高信号质量、高性能
保证办公环境内各个角落的无线信号强度有较高要求,注重满足应用及终端使用需求。
支持最新的802.11ac标准并满足高密度人员的无线接入需求,提供高数据传输速率。
确保同一房间内同频干扰信号强度<-70dBm,提高整网吞吐性能,构建真正可用的无线网络。
2、安全与易用性并重
需要加强安全认证,确保安全和策略实施。
使用简单,强调用户的体验。同时也强调管理的接单。无线网络结构简单,需要管理的设备数量少,管理维护简单方便,整个无线部署不影响环境的美观度。

2.4 方案设计原则

根据上述的需求分析和部署环境的实际特点,公司无线网络整体规划,需要本着以下原则进行规划与设计:
无缝覆盖
本次无线网建设采取标准的802.11ac网络协议标准,提供不低于865Mbps的单个AP的无线带宽接入能力,提供高性能的无线覆盖;
无线信号覆盖整个建材院办公环境,保证被覆盖需求的网络访问流畅。提供数据接入业务,让员工能够快捷的访问丰富的网络资源。同时,必须利用现在的有线资源,做到有线、无线混合组网,避免早先投资的浪费。
多种服务支持
基于网络的未来可持续发展,无线网络规划应为未来发展多媒体、高带宽的无线宽带应用(如,无线语音应用、无线视频会议应用、无线监控、无线多媒体通信应用等)打下基础,并提供低成本的无缝升级和先后兼容。无线系统需要具有IPv6协议和流量的分类转发和管理能力。
安全性
网络必须具有良好的安全防范措施和密码保护技术,灵活方便的权限设定和控制机制,使系统具有多种有效手段,防范各种形式对网络的非法入侵和内部攻击,以保证网络的实体安全、网络安全、系统安全和信息安全,有效地保障正常的业务活动和防止内部信息数据不被非法窃取、篡改或泄漏。因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。
兼容性
本次建设的无线网络能够很好的与现有的网络兼容,对于在办公区接入内网的员工,采用统一身份准入系统,实现对访问资源的统一管理和认证。
扩展性
在网络规模不断发展的情况下,无线网络应满足在不改变主体架构与大部分设备的前提下,平滑实现升级和扩充,降低原有网络的硬件投资,并保证扩展后的系统可用性与稳定性。预留AC、AP可升级的能力,为未来无线网建设提供基础,无线网络要支持AC冗余扩展N+1的冗余备份能力;
统建设必须尽量保护现有的软、硬件资源,保证各部门现有的计算机系统的使用,逐步过渡,有效保护原有投资,最终形成一个统一的、一体化的综合网络系统。
高性能
网络链路和设备具备足够高的数据转发能力,保证各种信息的高质量无阻塞传输;交换系统具有很高的交换容量与多服务支持的能力,保证网络服务的质量。
可管理
为了让无线网能够良性、稳定、持续、健康的发展,对无线网络进行严格的管理和控制,IT管理部门需要对接入人员管理,通过对上网的人员进行认证,记录上网行为,为网络管理提供便利的工具。
于此同时,对于本次网络中所涉及的无线AP、AC、交换机等设备能够实现无线、有线统一的管理,确保各设备运行在最佳状态,为员工提供可靠的网络接入服务。
规范化和标准化
网络体系结构、通信协议及软件的设计和开发必须按照国家或行业标准进行,要模块化、结构化、数据要代码化,以便于信息共享和交流及将来的维护。在系统设计和软件开发时,应用程序必须规范化、模块化和可复用。

3 网络总体架构设计

无线网建设的总体框架采用“结构化”的分析和控制方案,分为基础网络架构、无线网络建设、无线安全保障体系、统一运维管理和统一认证计费五个层面,建立满足项目总体设计要求的无线网络系统。

 

图3-业务架构图

3.1 基础网络总体架构

基础网络架构作为无线网络覆盖的基础,同时也是连接外网和内网的桥梁,其数据传输能力和稳定性将直接影响到无线网络的接入,基础网络架构的设计将从网路本身的健壮性方面出发,将底层结构夯实。

图3-2业务架构图

全网包括核心层、接入层、网络管理等若干模块。各模块主要功能如下:
核心层:首先全网的高速转发。无线控制器位于核心层位置。
接入层(含汇聚层):根据地理位置分布,包括无线AP的需要,提供以太网端口接入,以及必要的POE供电。
网络管理层:通过统一管理平台对所有无线、有限进行统一管理。

3.2 无线网络总体架构

在基础网路架构的基础上,通过实地勘测,规划每个AP接入点的放置位置,依托于稳定的基础网路架构,通过无线AP接入点,在区域内形成特定的无线网络覆盖,实现通过无线电磁波的方式覆盖,考虑到体墙体比较厚,在无线架构设计层面,需要将无线信号引入单个房间,以满足员工接入无线网的要求,为员工提供信号覆盖无盲区、稳定的无线网络环境。

图3-3业务架构图

集中式的无线部署方式
由于整个项目无线网络规模较大,采用集中式部署的方式容易造成性能瓶颈及管理权限集中,因此本次采用集中式的部署模式。
整个无线网络采用集中式管理方式,由中心无线控制器直接管理维护,同时达到无线控制器的灾备目的。本网络的无线网络设备可以工作在NAT、路由应用环境下,且可以实现本地转发下的统一WEB认证。
集中式的身份认证系统
全网络的统一的认证方式和无缝漫游,对于所有无线网接入用户进行统一认证,支持由中心机房的域服务器或支持通过Radius协议接口做接入用户认证,通过系统管理软件统一无线网管理和维护等工作,实现全网化跨AP和区域的统一认证和无缝漫游。

4 方案详述

依照网络总体框架,本次网络建设是在原有的有线网络上,进行无线网络扩充。需要进行建设的部分有基础网络搭建、无线信号覆盖、无线网络安全及无线网络等。

4.1 基础网络设计

本次项目建设几乎涉及建材院的所有楼宇,针对公司的实际情况,基础网络平台建设建议如下图:

 

图4-1基础网络架构

核心层设计
核心层的功能主要是实现骨干网络之间的数据高速传输,核心层设计任务的重点是提供高可靠性及高速数据传输的能力。网络的控制功能应尽量少在骨干层上实施,而是在汇聚层进行策略的实施。核心层一直被认为是所有流量的最终承受者和汇聚者,承担有线网骨干的高速数据交换。所以对核心层的设计以及网络设备的要求十分严格,要求核心交换机拥有较高的性能及可靠性,按照同档次客户的网络设计方案,核心交换机的包转发性能值至少要在5700Mpps以上,才能满足未来5~10年的发展需求。否则随着信息化建设的进一步深化,特别是随着内部资源平台的不断完善和丰富,核心交换机将无法满足这些建设需求。
中心机房作为总部核心层的中心,将承担整个无线网骨干的高速数据交换,同时为未来构建基于云服务架构的数字化提供支撑,所以核心交换机一方面要满足高性能的要求,另一方面要求支持云计算特性;通过比较在此方案核心层的设计中,采用两台高性能的核心交换机作为核心设备,构成双核心结构,实现双机热备,负载均衡,设备运行OSPF协议,以及虚拟化协议(将两台设备虚拟层一台设备)以达到核心任意一台设备发生故障都能保证网络正常运行的目的,这一切对用户都是透明的,因此为用户网络的正常运用提供的有利的保障。同时核心交换机为了支持后续的数据中心虚拟化功能,要求设备支持数据中心的特性:FCoE、CEE、TRILL等技术。同时各个大汇聚节点采用双归方式连接到两台核心设备上,保证可靠性。
核心区域架构设计如下:

 

图4-2核心交换机虚拟化示意图

核心区两台设备通过两个万兆口互联,做虚拟化的数据同步和流量转发,同时配置万兆板卡用来连接汇聚交换机的接口。
无线网走上运营道路后,要充分保证用户的服务质量问题,以及考虑到未来至少5~10年网络的发展,按照这样的设计原则。
1、 高性能
高端交换机性能和端口密度的提升会受到其硬件的限制,而虚拟化技术系统的性能和端口密度是虚拟化技术内部所有设备性能和端口数量的总和。因此,虚拟化技术能够轻易的将设备的核心交换能力、用户端口的密度扩大数倍,从而大幅度提高单台设备的性能。
此外传统的生成树等技术为了避免环路的发生,会采用阻断一条链路的方式,而虚拟化技术可以通过跨设备链路聚合等特性,让原本“Active-standby”的工作模式,转变成为负载分担的模式,从而提高整网的运行效率。
2、 高可靠
链路级:虚拟化技术设备之间的物理端口支持链路聚合,虚拟化技术系统和上、下层设备之间的物理连接也支持聚合功能,这样,通过多链路备份提高了链路的可靠性。
协议级:虚拟化技术提供实时的协议热备份功能,负责将协议的配置信息备份到其他所有的成员设备,从而实现协议可靠。
设备级:虚拟化技术系统由多台成员设备组成,Master设备负责系统的运行、管理和维护,Slave设备在作为备份的同时也可以处理业务。一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务不中断,从而实现了设备级的备份。相比传统的二层生成树技术和三层的VRRP技术,其收敛时间从N秒级缩短到毫秒级。 
3、 高性能硬件模块
采用高性能硬件模块实现,进行设备机箱见得快速检测和设备间数据高度转发,不依赖交换机CPU和内存资源,适用于大规模的网络,无软件升级方式带来的弊端。
4、 为云计算数据中心提供基础支持
未来将建立基于云服务的校园网,要求核心设备以及数据中心接入交换机支持云计算对网络设备的技术要求。实施云计算第一步是对服务器进行虚拟化,虚拟化后个虚拟机之间的数据交互管理需要VEPA技术进行支持;同时实存储和网络融合后需要交换机支持FCoE技术;跨区的虚拟机迁移,需要设备支持TRILL技术。具体支持协议和技术为:FCoE、CEE、TRILL;以及高密度万兆接入。
接入层设计
接入层,作为用户的终端接入设备,需要实现用户的高速接入,能够满足突发流量对带宽的要求。本次方案设计使用了千兆接入交换机,实现千兆到桌面的高标准要求。同时每台设备通过千兆线路上联到汇聚设备,并且接入设备上有足够的端口冗余,一方面保证了临时增加终端设备的需求,一方面可以用来将来对上行带宽的扩展。同时在接入层需要开启以下功能:
对于接入交换机的要求首先是需要采用全千兆接入交换机,来满足千兆到桌面的设计需求。
同时在接入层需要开启以下功能:
1、 开启安全防护
所有接入交换机开启ARP攻击防御功能,有效阻断网络病毒对全网照成的影响。
2、 开启设备的CPU保护功能
防止终端发起的对网络设备的攻击,对攻击报文进行限速和丢包处理。
3、 端口环路防护
为了防止端口环路,在所有接入设备上开启端口环路防护功能,一旦下联出现环路,设备将自动关闭环路端口,解除环路造成的广播风暴。
4、 防止私接HUB
通过设置每个端口仅允许一个认证用户,保证用户私自使用HUB进行端口扩展和代理架设。
5、 开启网络管理功能
在接入设备上开启SNMP功能,要求能够通过网络管理软件进行远程管理和控制。

4.2 无线热点部署设计

建设无线网络,除了要满足现状与未来几年内的发展之外,还需要根据无线网络自身的特点,为其设计规划一个与“有线无线网络融合、一体化管理、高带宽、大范围覆盖、安全可信”的无线覆盖网络,无线网络规划将从无线信道带宽保障、重点区域覆盖、安全可信、认证及网络管理充分融合等多方面综合考虑。
无线覆盖指标要求:
无线覆盖信号
覆盖区域信号强度不低于-65dBm,信噪比SNR≥20。业务使用较为集中区域的接入速率应不低于140Mbps。室内分布系统天线的等效全向辐射功率≥7dBm。
容量计算
当无线覆盖区域并发用户超过30个,需预先考虑每层分布系统按双路设计,初期考虑单AP加功分器,增加覆盖范围。待业务量发展后,考虑增加AP部署密度。
工作频段与频点规划
依照WLAN的国际规范和国际无线电管理委员会的标准,WLAN无线设备的工作频段为2400-2483.5MHz,带宽83.5MHz,划分为14个子信道,每个子频道带宽为22 MHz,最多有13个信道可用。频道分配如下图所示:

图4-3无线频段

在多个频道同时工作的情况下,为保证频道之间不互相干扰,要求两个频道的中心频率间隔不能低于25 MHz。考虑参照北美标准设计的许多WLAN设备和终端(比如网卡)不能使用12、13信道,因此建议一般选用1/6/11信道。
部署双频点的无线接入点,802.11n同时工作在2.4GHz和5GHz频点;
Ø 5GHz:
更多的频谱资源-数量较多的不冲突频点,更少的干扰(蓝牙、微波炉),从40MHz信道绑定获得最高的性能,很多802.11ac户端只有在5GHz频段上支持;
Ø 2.4GHz:
采用2.4GHz频点,兼容原有的802.11a、b/g的客户端;不建议在2.4GHz频点使用40MHz信道绑定。

4.3 无线接入认证设计

1、 基于802.1X的无感知认证
IEEE802.1X协议是一种基于端口的网络接入控制协议,主要目的是为了解决无线用户的接入认证问题。对于基于802.11系列标准的无线局域网,通过对无线用户的身份验证,无线网络可以打开或关闭无线终端接入的接口,同时还可以根据其身份属性,为其分配动态角色和VLAN,确保用户终端接入的安全性。
在安全性上,WEB Portal认证不提供密钥的生成和交换机制,因此所有的用户流量都是以明文方式传输的,容易被截获和侦听;802.1X(WPA2-AES)符合802.11i安全标准,在用户认证的基础上,对每个报文采用不同的密钥进行逐包加密,具有更高的安全性。
在便捷性上,WEB Portal认证直接通过浏览器输入用户名及密码,整个操作过程较为简单快捷;普通的802.1X认证一般需要安装认证客户端或对操作系统原生认证客户端进行配置等,操作过程较为复杂,用户体验相对较差。
为了保证无线用户接入同时具有较高安全性和便捷性,本网络在BYOD(Bring your own device)解决方案中提出了基于802.1X的无感知认证技术,用户只需要在第一次认证中安装一个快速1X配置助手,并完成首次用户名及密码的输入,以后无线终端只要发现无线信号,就会自动进行802.1X的接入认证并连接无线网络,真正实现“一次登陆,三步操作,后续无忧”,带给用户最佳的使用体验。
 

图4-4步骤1:连接无感知认证的SSID后选择1X快速配置助手

图4-5步骤2:确认运行快速配置助手

图4-6步骤3:输入完后用户名和密码后,即可访问WLAN

图4-7手机无感知认证过程

2、 访客二维码认证
公司经常会有人员参观访问,接待来访的嘉宾,并需为其提供快捷的无线上网服务。而传统的无线网络一般会在会议室、礼堂、大厅等访客接待区域启用一个基于PSK认证的WLAN,并在可视区域贴放这个WLAN对应共享密码,访客的体验也是较为麻烦,不友好等,而且这个密码极易扩散,网络安全得不到保证,网络运维人员需定期的更换这个WLAN的密码和对应的标贴,极大的增加网络运维难度。

图4-8传统WLAN提供的密码标贴

本方案提出了更为先进的访客接待解决方案——二维码认证。
1、 访客使用移动智能终端访问无线网络后,本网络的认证系统将生成专用的二维码推送到访客的终端上,如图4-9步骤1。
2、 负责接待的员工使用自己的已认证通过的合法终端对访客的二维码进行扫描并自动反馈到认证系统,如图4-9步骤2。
3、 认证系统记录下访客和对应接待者的身份信息并确认临时开户,访客和接待者收到反馈后即可直接访问网络,如图4-9步骤3。
仅需“扫一扫”就可便捷的为访客提供无线网络服务,这是无线认证技术为提供用户体验的又一次创新。

 

图4-9二维码认证

与第三方认证系统对接(标准RADIUS对接)
现有网络中已经使用了第三方认证系统,而新建的无线网络需要和它进行对接,实现全网统一的认证计费。本网络的无线设备支持标准的RADIUS接口,能够实现和支持标准RADIUS的第三方认证系统实现无缝对接。不仅如此,本网络的无线设备还支持Windows AD域认证、通过LDAP服务器认证、远程数据库联动、远程WEB服务器联动等多种认证联动方式,保护公司的投资。

4.4 无线安全技术设计

通常情况下,安全认证工作由网关类设备完成,对于园区部署的无线网络,作为校园网的一部分,必须确保接入改网络用户的合法性。由于无线信号的公开性,采取传统的网关认证的模式,将所有的认证数据集中在网关设备进行,只能限制学生访问数据经过认证网关的情况,而对于不经过认证网关的校内网访问无法起到有效的阻止作用。
本网络基于“接入安全”的理念,将公司无线网络认证过程下移到离客户端最近的网络边界处,通过启用802.1x认证模式,当客户端在接入无线网络的时候,本网络无线控制和认证网关进行对接,客户端将认证所需要的用户名和密码上传到无线控制器,无线控制器通过与认证网关的对接,获取相关的认证信息,如果认证通过,则无线控制器将通知无线AP接入点,允许该客户端接入访问。
1、 虚拟无线分组技术
通过虚拟无线接入点(Virtual AP)技术,整机可最大提供16个ESSID,支持16个802.1QVLAN,网管人员可以对使用相同SSID的子网或VLAN单独实施加密和隔离,并可针对每个SSID配置单独的认证方式、加密机制等。
2、 标准CAPWAP加密隧道确保传输安全
本网络无线AP接入点与本网络无线控制器以国际标准的CAPWAP加密隧道模式通信,确保了数据传输过程中的内容安全。
3、 射频安全
在本网络一体化网管系统RG-SNC、RG-WS系列无线控制器产品的配合下,智分型AP可启用射频探针扫描机制,实时发现非法接入点、或其它射频干扰源,并提供相应的告警,使网管人员可随时监控各个无线环境中的潜在威胁和使用状况。
4、 ARP欺骗的防护
ARP检测功能有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象,保障了员工的正常上网。无论在动态分配IP环境下,还是静态分配IP环境下,均可实现自动绑定工作,大大的节省了人力成本,降低了管理开销。而配合ARP速率监控控制ARP报文发送的速率,防止恶意利用扫描工具进行ARP泛洪占据网络带宽,导致网络拥塞的攻击行为。
5、 DHCP安全
支持DHCP snooping,只允许信任端口的DHCP响应,防止未经管理员许可私自架设DHCP Server,扰乱IP地址的分配和管理,影响学生的正常上网的行为;并在DHCP监听的基础上,通过动态监测ARP和检查源IP,有效防范DHCP动态分配IP环境下的ARP主机欺骗和源IP地址的欺骗。

4.5 有线无线一体化网络管理

拓扑管理
公司无线网覆盖,涉及到众多无线AP、Poe供电交换机和核心交换机,为了使得新建的网络能够稳定的运行,需要对该套网络中运行的所有设备进行实时、统一监控。
本网络的管理功能将展示被管理网络的真实情况,直观的为网管人员提供了全网布局情况和设备运行情况,采用Flash技术动态的展现全网设备和连线状态,绚丽界面保证了客户的真实感体验,不同设备类型之间采用不同的图标进行区分,系统还可通过自动布局功能自动调整网络拓扑图,完善展现效果,也可以由用户手动添加或布局控制,并通过拓扑图上呈现的丰富的设备、告警、流量信息,实时的检视网络运行的全貌;可以直接在拓扑图上查找用户关注的设备和链路节点,进行点击获取更加详细的信息;用户还可以将拓扑图保存或者直接导出,为管理提供依据和便利;

 

图4-9有线无线一体化的多级拓扑管理

设备及配置管理
无线设备上线后,本网络的网管软件SNC可实现对所有热点AP和AC进行可视化的统计、管理,可实现查看全网、单个AP或某个热点的AP退服率,即AP未正常工作的时间、数量占比,能够极为清楚的发现AP的实际工作情况。目前还能进行全网超闲AP、热点区域流量、单个AP的流量、关联用户数等的统计查看,为优化无线网络的实际覆盖提供实际依据。

图410全面的设备信息查看
在无线设备配置上,可创建软件下发任务,在指定的时间完成对指定设备执行升级到指定软件版本的操作。软件下发具有一定的风险性,所以在软件下发之前进行必要的保障性检查显得尤为重要,SNC提供的软件版本的可用性检查、设备环境的支持程度检查,从多个方面对该操作进行检测,并且通过下发重启时间、下发重启策略等多个参数的设置对设备软件的生效情况进行了限定,最大可能为软件下发提供保障,若是新建的无线网络也仅需10分钟即可完成WLAN的批量配置及修改,不超过半个小时即可实现全网无线设备的配置生效,达到高效的WLAN运维管理的目标。

图4-11仿真面板的操作界面

精细化的用户管理
公司总部员工人数众多,这样就意味着全公司覆盖的无线网络最大需承载的用户数就高,但每个用户的身份角色不一样、使用移动终端不一样、使用的无线业务不一样,为了能保证不同用户都能有良好的无线上网体验,这就需要实现对每个用户都能全面深入的用户运营管理。
本网络给出了精细化的用户管理方案,能够实现自定义用户角色,根据用户角色进行权限划分,能够实现不同权限的用户只能受限访问不同的资源、获得不同无线带宽、在不同地区允许访问不同业务等。
不仅如此,本的无线网络还能自动感知用户的终端类型、业务应用等,这些都可通过认证管理软件SMP或者SAM进行可视化的呈现、管理。全面的用户信息,精细化的用户管理。

图4-12终端信息查看

图4-13全局用户信息查看

无线热敏图
无线网络的可视化热敏图功能是本网络网管软件的另一项重要组成功能,通过这一功能,网络运维人员可以实时、而且直观的了解整个无线网络的实际覆盖效果和允许情况。
无线热敏图提供的功能主要包括:
Ø 支持多种类型平面图导入
Ø 支持障碍物类型及衰耗的推荐值和自定义
Ø 支持AP位置的自定义精准布放
Ø 支持无线信号强度的可视化区分
Ø 支持AP管理用户数的可视化查看

图4-14无线热敏图

无线频谱分析
对于无线网络而言,来自外界的频率干扰往往是不可预测和难以避免的,并可能导致无线网络出现严重的网络性能和可靠性降低。这些干扰信号的来源可能是基于WiFi或者非WiFi的,而且是多种多样的,包括无绳电话、微波炉、蓝牙设备、无线视频摄像头以及无线遥感系统等。

图4-15干扰设备统计

借助于本无线控制器和无线AP,本无线网络内置的频谱分析功能可以在提供无线接入服务的同时,提供针对2.4GHz 和5GHz 频段的频谱扫描数据,识别出各种WiFi和非WiFi射频干扰信号,并分析干扰信号及其对网络性能影响。
本无线网络的评判分析功能可以提供丰富的可视化频谱分析数据和图标,这些图表主要有频谱图、Real-Time FFT(频域实时能量图)、占空比图等。
频谱图:实时显示了当前无线网络环境中各个频率范围内的的各种能量等级的信号及其渐进的过程。
Real-Time FFT: 主要是用来捕捉在802.11信道上的频域信号的每个频率上的能量等级。
占空比图:反映的是一段时间内信道上的具有有效信号值所占用的比例,可理解为信道频率范围内的繁忙程度。

图4-16频谱分析界面

远程运维管理
无线网络采用无线信号进行数据传输,相对于有线网络来说,无线信号的质量受环境影响非常大,而且无线网络涉及的AP数量多、部署的范围广。一旦无线网络中出现任何问题,运维人员都不得不亲自来到现场进行排查,运维工作量大。
本网络为了实现无线网络的远程运维管理,在每个AP上集成了远程探针模块,它可以对覆盖区内的Wi-Fi报文进行侦听捕获并实时镜像到本地分析设备供网络管理员进行故障排查、优化分析。远程探针分析功能既可以针对工作信道进行无收敛镜像,也可以对所有信道轮询采样,灵活满足无线网络监控运维要求。

5 无线方案特点和优势

5.1 最强劲的无线性能

支持2.4GHz和5.8GHz双频同时工作。双路双频,整机四条空间流,整机最大接入速率1.267Gbps;扩展模式下整机四路射频,八条空间流,整机最大接入速率2.4Gbps。
在大型会场、机场、车站等多用户的场景下,为了提供WLAN服务,不得不在同一区域内部署多台AP,甚至多家运营商会部署多套无线设备,设备间的同频干扰加剧,无线数据竞争发送时冲突增多,而且部分低速用户大量占用无线链路进行数据传输,无线网络的实际吞吐性能大幅下降,用户体验极差。
目前传统无线厂商的优化方法主要分为以下三种:
1、 调整AP的发射功率,降低同频信号的重叠覆盖范围,在一定程度上减少数据冲突;
2、 优化AP的部署位置,尽量利用环境中的阻挡物来减少干扰;
3、 通过禁止低速率终端发送数据来提高无线链路利用率。
而本网络在有效实现上述优化方法的前提下,创新推出了新的加速技术,它主要有两大功能特点:
自适应优先级
能够迅速感知Radio上下行流量的差别,实现自适应优先级控制,自动调整Radio和Client的EDCA参数,在多厂商AP的环境下,极大的提升了AP的下行发包能力和抗干扰能力,相比于环境下其他AP的无线用户,接入我司AP的无线用户终端能够获得更高的数据传输性能。
公平调度
另一大功能就是公平调度,它主要根据终端流量的实时信息,预测终端流量,然后计算并调整AP和终端的空口带宽,然后利用令牌桶原理进行流量整线来实现无线空口资源的公平占用。这就为802.11g、802.11n等不同类型的终端提供相同的访问时间,极大的解决了因终端无线网卡老旧或终端离AP较远而导致用户无线上网延时大、速度慢、AP整机性能低下的问题,有效的提升了低速终端的性能,保证用户无论使用何种类型的终端,都将在相同的位置上获得同样良好的无线上网体验。

图5-1公平调度原理图

 

图5-2公平调度效果图

5.2 最优质的无线覆盖能力

会思考的灵动天线
本网络的下一代AP将全部搭载全新的灵动天线。该天线也属于智能天线的一种,它综合了交换波束天线和自适应阵列天线的优点,在对于简单环境下的用户接入,使用近似于交换波束的天线选择方式去完成用户快速高性能接入,而在复杂和干扰环境下,又能够通过强大的软件算法,控制多天线的组合来达到更好的效果,同时本的智能天线技术还增加了对移动终端无线接入的识别和优化,这些都是本网络在AP智能天线技术上巨大创新,所以,也被称为会思考的的灵动天线。

图5-3灵动天线

1.1677万种天线路径选择,覆盖无死角
本网络的灵动天线矩阵架构,能够动态选择不同的天线组合,支持最高多达1677万种组合方案,彻底解决传统天线存在覆盖盲区的弱点。无论在任何角落,都能定制出一条最适合移动智能终端当前位置的天线天线路径,真正实现全面覆盖,绝无死角。

图5-4信号覆盖对比

2.全自动调节,让信号随你而“动”
无论终端如何移动,都有最佳的信号路径跟随,这是灵动天线技术带来的革命性改变。无需人工干预,凭借其强大的运算性能,可以在1毫秒内完成300次指向终端的信号路径切换,即便在快速奔跑状态下也能保证时刻都有最佳的信号与终端同“行”。

图5-5信号追踪示意图

3.功率不变,却有3倍的信号提升
能够精确计算终端的位置,并通过动态组合的天线模式,针对每个终端位置来提升不同的信号强度,最大可以提升到普通AP的3倍,这使得覆盖范围内无论远近的各个点都能接收最佳信号。而且完全不用担心由此带来的辐射增加,因为增强的信号强度都全部被用来抵消传输路径和穿透墙壁的损耗,AP的发射功率都是完全符合国家标准。

图5-6信号强度提升

4.终端接入优化设计,更适合手机和平板电脑用户
当移动智能终端接入无线网络时,本产品会快速、准确的识别到终端的类型,如果是使用功率较低的手机、平板电脑等移动终端时,能够通过动态信号补偿技术,针对移动终端提升接收灵敏度、增加重传,保证所有的终端都能获得最优的接入效果。

 

5.干扰降低30%,部署更轻松
干扰是无线网络的最大难题,特别是当在狭小的空间部署大量AP时,干扰影响会尤为明显,根据使用者位置自动调整无线信号的输出方向,当受到干扰时,能够自适应选择更优的路径避开干扰,这项技术经测试可以将干扰的影响有效降低30%以上。

图5-8干扰对比图

5.3 专利创新的无线智分

当今社会,无线网络已经广泛应用到了高校宿舍、医院、酒店等环境中。主流的部署方案有直接放装和室内分布式两种。在楼道直接放装部署的优势在于性能高,部署简单,缺点是穿墙后房间内信号差,AP间干扰严重,网络几乎不可用。通过多级功分器、耦合器连接的室分部署拥有信号好,漫游好的优点,但也存在专用配件多、部署复杂、性能低等弊端。因此,这类环境的无线部署一直是个技术难题。
基于此,本网络针对宿舍、医院、酒店等复杂、恶劣的无线环境推出了集放装和室分优势为一体的无线智分解决方案,完美的实现了客户对上述场景中无线信号好、性能高、部署简单美观的要求,也获得国家专利认可,并在众多高校、医院中成功大规模应用。
1.成就无处不在的"满格"信号

图5-9本智分部署图

本网络采用了业界独创的技术,自动调整智分型AP外接的8根天线的工作模式,确保每根天线都能独立的进行数据收发,实现“1分8”部署,而且智分部署方案采用超柔馈线连接美化天线的入室部署方式,不再需要无线信号穿透墙壁进行覆盖,使房间内每个角落的信号都是“满格”。
2.三般变化,尽显智慧
新一代智分可根据用户对于覆盖和性能的不同偏重要求实现高达三种不同的部署变化,而这一切都源于智分AP内置高度集成的智能功分设计,智分AP的双路射频信号藉此实现合路或分配处理,满足了用户多种的实际使用需求,更彰显了新一代智分的灵动智慧。

图5-10智分三种部署方式

4房间双频双流部署
一套智分仅覆盖4间房,但每个房间内都有2.4GHz和5GHz的双频信号,而且各自都能最大提供300Mbps的接入速率,4间房的所有用户共享这600Mbps的接入性能,适用于对无线性能有极高要求的场景。
8房间双频单流部署
一套智分可覆盖8间房,每个房间内都有2.4GHz和5GHz的双频信号,而各自能最大提供150Mbps的接入速率,8间房的所有用户共享这300Mbps的接入性能,适用于2.4GHz和5GHz终端都存在一起使用的类宿舍网场景。
8房间单频单流部署
智分可覆盖8间房,但每个房间都为2.4GHz的单频信号。智分AP采用的双射频卡设计,每路提供了150Mbps的接入性能,整机300Mbps的2.4GHz接入性能被8间房的所有用户共享,使2.4GHz的频段资源得到了最大化的利用,适用于终端均为2.4GHz终端,且无第三方设备干扰的环境。
3.干扰低得不可想象

图5-11干扰对比图

最新的RRM技术,实时采集空间中无线信号的强度,为每根天线选择最适合的无线信号发射功率,实现功率自动调整,在保证每个房间都能获得优异信号强度的前提下,有效的利用了房间墙壁对无线信号的衰减,尽最大程度避免了相邻房间信号的干扰。
同样的环境下,采用智分前后,干扰改善的效果一目了然。

5.4 独特的功能确保整体方案的先进性

业务流量全面分流的本地转发架构
传统的“无线交换机+瘦无线接入点”结构,是一种流量集中式转发的架构,即AP上行的所有流量均需通过无线控制器进行集中式转发。这种架构可以满足所有的无线接入点全部受到无线交换机的统一控管,这种组网架构和相应产品的出现,使得无线网络的整体管理能力、安全防御能力得到完全的改善,使得无线网络的组网变得轻松、易管理。到了这一阶段,可以说无线网络的解决方案已经上升到了一个新的台阶。
虽然这种架构解决了对无线网络的管理和控制的问题,但是依然存在缺陷。这种缺陷在802.11g标准或者规模较小的无线网络下并不会构成隐患,但是随着802.11n技术的全面普及和802.11ac技术的新兴应用,尤其是各行业越来越多在组建大规模的无线网络时(1000台无线接入点以上),在这种解决方案架构会导致无线交换机成为大流量数据汇聚的中心。业内通常一台最大可200台AP的无线交换机的数据处理与吞吐能力不会超过4Gbps,如果按照每台802.11n无线接入点的真实包吞吐能力在100-120Mbps计算,实际上每台无线交换机最大能够负载的AP数量不超过40台。很显然,集中式转发架构在802.11n时代遇到了不可逾越的障碍。
本网络推出的本地转发架构,从架构上解决了无线控制器的流量瓶颈问题。本地转发架构即AP上行到无线控制器的数据无需经过控制器,而直接在接入交换机上进行转发。通过无线控制器的配合,可灵活预配置AP产品的数据转发模式,例如根据SSID名称或者用户VLAN以决定是否需要经过无线控制器转发,或直接进入有线网络进行数据交换。
本地转发技术可以将延迟敏感、传输要求实时性高的数据分类通过有线网络转发,可以大大缓解无线控制器的流量压力,更好的适应802.11ac网络高流量传输的要求。
基于用户、流量、频段的智能负载均衡
某个共同区域内,可能发生这样的问题:大部分终端全部接入某个AP,而相邻的AP则很少用户选择,这就造成了AP之间的负载不均衡,部分AP过载,部分AP空载的情况。
所以WLAN网络需要一种方法来实现在网络中(多个AP间)均衡地分担无线用户的负载,这是保证无线接入的性能和Qos的关键。这种技术一般被称为WLAN网络负载均衡技术。
针对这种情况,本网络提出了智能负载均衡功能,该功能首先能够区分相邻AP之间共同覆盖区域,实时准确地发现负载均衡组,其次利用准确的负载均衡的算法,最后有效的控制“过载”无线用户的离开。从而实现共同区域内AP之间接入负载均衡,不让某个AP出现过载情况。
本网络基于对802.11标准和客户需求的深入理解,创新地提出了智能负载均衡专利技术,如下介绍的关键技术,可以准确有效地在WLAN网络中平衡用户的负载,充分地保证每个无线用户的性能和带宽。
主要的技术特点如下:
基于集中式无线架构
每个AP通过CAPWAP协议建立与AC间的控制和数据隧道,智能负载均衡算法在AC侧进行集中控制。集中控制的方法,可以让AC实时完整地了解每个AP当前的负荷,从而对网络中的负载进行有效均衡。
频谱导航技术(BandSelect)
AP支持检测客户端是否自带双频网卡,如果是,AP会拒绝客户端连接2.4G一定次数,优先将客户端接入5.8G,再计算当前2.4G和5.8G接入用户数量差异,当超过一定差异时,启动频段间负载均衡,防止5.8G和2.4G接入用户数量差异过大。随着双频终端越来越多,除了传统的迅驰笔记本外,iPad 2、New iPad、iPhone 5都已经使用双频网卡,频谱导航技术能够讲负载引导到较少人使用,较少干扰的5GHz频段上,大幅度降低2.4GHz压力,提升AP使用效率。
支持基于用户会话数、流量、用户数的负载均衡算法
一般地,许多厂商只支持基于用户会话数的负载均衡。本网络的智能负载均衡技术可以让用户灵活地选择基于用户会话数、用户数或流量的负载均衡,满足用户不同的WLAN应用需求。用户还可以灵活地选择是否使能负载均衡。
智能地隐藏高负载AP
当一些AP的负载过高时,通过本网络的智能负载均衡技术可以维持已存在的无线用户会话,而把这些AP对新的接入用户进行隐藏,从而让新的接入用户只能够发现和接入到负载较小的AP上。这样可以平滑地进行负载均衡控制,而又可以保证用户快速地接入到网络中。
一个有效的WLAN网络负载均衡方法必须系统化地综合了如下的关键技术:
Ø 实时准确地发现负载均衡组;
Ø 负载均衡的算法;
Ø 能够有效地控制无线用户的离开或接入到AP
其过程及原理如下:
1.实时准确发现负载均衡组
本网络AP能够实时跟踪无线客户端位置,当一个AP听到来自某个无线用户的扫描信号,将向AC通告自己发现了某个无线用户。AC将以该无线用户的MAC地址为索引,纪录哪些AP听到了该用户的信号。为了保证这些信息的实时准确,通过老化机制,系统可以将过期的纪录老化掉。有了这样的信息,根据某个无线用户的MAC地址查询到的AP列表,就对应了在特定时刻和特定位置下,能够为该用户提供WLAN接入服务的AP。由于无线客户端的扫描过程是非常频繁的,所以很自然地确保系统可以实时地跟踪无线用户的位置变化,根据特定用户MAC地址查询到的AP列表就是实时动态的负载均衡组。整个过程完全是自动的,不需要用户手工配置负载均衡组。为了保证系统的性能,减少AP和AC间的通讯负荷,AP还可以只在自己听到的无线用户信息发生变化时,才通知AC刷新信息。
2.负载均衡条件判断
当无线用户确定了自己要关联到某个AP后,将向该AP发起关联请求,该请求将被AP发送到AC上进行集中处理。运行在AC上的负载均衡算法首先要判断是否需要进行负载均衡控制。负载均衡要求:当前AP的负载超出用户预设置的阈值并且负载均衡组的负载不均衡。用户可以选择设置是按照用户流量还是用户数进行负载均衡控制,只有负载超出了一定阈值,系统才启动负载均衡控制。此外,只有负载均衡组成员的负载不均衡时,系统才进行负载均衡。这时系统会根据预先实时学习的用户信息,动态地计算出当前的负载均衡组成员,即当前哪些AP可以为该用户提供接入服务。然后比较这些AP当前的负载,如果当前AP的负载超出均衡组中负载最轻的AP,并且满足了指定值,那么就意味着当前AP的负载过高,需要设法把新的接入用户平衡到其他AP中,而不是在本AP上提供接入服务。

图5-12智能负载均衡效果图

灵活便捷的访客系统
高校、企业、事业单位等都会频繁的举办的各种重要的研讨会、交流会、报告等,但如何为众多来访的嘉宾提供最为便捷安全的网络服务一直是访客系统中最为重要的内容。
本网络将最前沿的移动互联网应用和精细化的用户管理系统进行深度融合,创新的使用二维码访客接待系统和用户短信自助认证系统,为访客高效快捷的提供了安全的无线网络服务。
二维码认证
访客使用移动智能终端访问无线网络后,本网络的认证系统将生成专用的二维码推送到访客的终端上。
负责接待的员工使用自己的已认证通过的合法终端对访客的二维码进行扫描并自动反馈到认证系统。
认证系统记录下访客和对应接待者的身份信息并确认临时开户,访客和接待者收到反馈后即可直接访问网络。
短信自助认证
1、 用户使用移动智能终端连接公共区域开启用户短信自助认证功能的WLAN后,该WLAN会在用户进行HTTP访问后推送出一个WEB Portal页面,页面上会需要用户输入自己的手机号码作为用户名,
2、 认证系统获取到该信息后通过短信网关向该手机发送随机登陆密码并设上一定的失效时间,
3、 用户最终在认证页面上输入手机短信上的密码即可完成接入认证,并可进行无线网络访问。
访客在通过不同的快捷认证方式完成无线网络的接入认证的过程中,后台的认证系统会实现访客信息的记录,如访客的终端类型、访客的对应接待者、访客的手机号码、访客的终端MAC等。对于不同类型的访客还能设置不同的用户访问控制策略,如可使用网络的有效时间、可访问的网络资源、无线网络的带宽及优先级等,做到了真正精细化的访客管理。而且访客的访问网络的每个操作都能通过远端的本日志服务器进行记载,整个访客系统实现了前沿应用、快捷服务、安全使用的最佳融合。
仅需“扫一扫”或者一个短信,就可便捷的为访客提供无线网络服务,这是本网络为提升用户体验的又一次创新。
逐级深入的安全防护
1.全面的准入认证
本网络的无线支持软证书、硬证书、802.1X、WEB等多种用户接入认证方式。全面的准入认证方式,用户按需使用,为整个WLAN的安全构建了第一道护城门。

图5-13全面的认证方式

2.用户信息的多元组绑定
为了保证账号口令、终端和接入网络的有效性与安全性,本网络的WLAN支持用户信息的多维度绑定,最多可将用户的帐号与接入的SSID、关联AP/AC的IP和MAC地址、数字证书、甚至是用户终端的硬盘序列号进行用户信息的捆绑,实现无线安全的全面的监控、定位、追溯。
一旦出现问题,能够快速定位事发用户、终端甚至位置,让非法操作无处遁形!

图5-14多维度信息绑定

3.由始至终的无线数据加密保护
从终端到AP再到AC的整个链路中,本网络的WLAN产品可采用最高级别的加密方式。移动终端和AC间的无线链路上,所有数据采用AES加密,每个无线数据包都会采用逐包加密后进行传输,目前暂无破解手段;而从AP到AC的有线链路上,所有数据均在CAPWAP的加密隧道中进行传输,数据能够得到全面的保护,这是真正的安全与数据同行。

图5-15无线数据传输过程

4.用户权限的灵活控制
配合本网络的认证计费系统,可实现精细化的无线用户管理,能够不同用户类型、不同的登陆区域、针织不同的终端类型等进行灵活的访问权限控制,保证不同用户只能访问自身权限下的目标网络,达到全局安全,灵活易控的无线网络建设目标。

图5-16基于用户的安全策略

5.非法AP及用户的防御反制
无线网络在正式使用后,经常会受到非法AP的干扰、攻击,而且也有非法用户或者合法用户的非法终端(携带病毒等)接入引起的Flooding攻击、Weak IV攻击、Spoof攻击等,导致整个无线网络极不稳定,甚至是合法用户或机密信息被窃取等,网络安全得不到最根本的保障。
本网络采用基于有线、无线的一体化防御反制体系,对于非法AP盗接合法用户,可通过我司AP启用射频防御反制功能,通过对非法AP进行解关联攻击,让非法AP上关联的终端下线,并关联至合法的AP上;对于非法AP直接连接本交换机上,可直接关闭交换机端口将非法AP进行阻断;当感知到非法用户在进行无线攻击时,可从AP侧将非法用户踢下线,并保持一段时间不然其再次进行关联。这些安全措施强有力的打击了非法AP及用户,全力构建了和谐稳定的无线网络。

图5-17无线WIDS功能

坚若磐石的可靠网络
1.无线网络永不中断——边缘智能感知技术(RIPT)
传统“瘦AP+无线控制器”的集中式网络体系架构,无线数据流经AP再到无线控制器进行集中转发,这就会存在当无线控制器发生故障宕机后,AP无法正常工作的问题,导致整个无线网络瘫痪。
本网络最新的边缘智能感知技术,能够智能的进行链路感知,当发现无线控制器故障宕机后,AP快速切换为智能模式继续进行数据转发,而且能够继续进行新用户的认证接入,实现了无线网络的高可用性,真正的做到了无线用户永不掉线。

图5-18边缘智能感知功能示意图

2.毫秒级的热备冗余切换
为了尽可能防止单点故障,提高WLAN的可靠性,本网络支持1+1、N+1等多种热备方式。通过热备的多隧道和快速感知切换技术,有效的将AC的热备切换时间缩短到50ms以内,完全不影响到用户的正常使用。

图5-19毫秒级的热备技术

全面支持IPv6的无线网络
随着以IPv4为核心技术的Internet获得巨大成功, IP技术取得广泛应用,但IPv4地址资源紧张直接限制了IP技术应用的进一步发展。IETF在20世纪90年代提出下一代互联网协议-IPv6被公认为IPv4未来的升级版本,地址长度将由32位增加到128位,从本质上改善地址资源紧缺问题。
在物联网和移动互联网成为未来发展趋势的当下,无线部署方案不仅要考虑在普通IPv4网络中的应用,更需要同时支持在IPv6网络中的应用,为未来预留下充足的成长空间。
首先需要了解当前主流的无线应用架构。当前主流的应用架构方式为无线控制器AC+Fit AP的集中式无线局域网部署,其中无线控制器负责无线网络的接入控制,转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制;Fit AP负责802.11报文的加解密、802.11的PHY功能、接受无线控制器的管理、RF空口的统计等简单功能。
本网络的IPv6实现方式当前主要包括透传及CAPWAP隧道方式两种:透传方式,即无线控制器和Fit AP对于IPv6报文不做额外的处理,直接按照二层转发的模式处理;这种情况下,无线控制器和Fit AP仍然使用IPV4地址建立CAPWAP隧道,管理和转发仍然是基于IPv4地址,无线控制器和Fit AP组成的无线局域网在网络的架构中只是充当了二层交换机交换机的角色,对IPV6报文没有任何处理,在只支持IPv6协议栈的纯IPv6环境中无法正常工作。目前所有的WLAN产品都支持这种方式;CAPWAP隧道方式,则是AP和AC支持IPv6和IPv4双协议栈,AP和AC可以使用IPv4地址建立CAPWAP隧道,也可以使用IPv6地址建立CAPWAP隧道;这种情况下AP和AC要全面支持IPv6协议栈,能够直接处理IPv6报文,因此可以在IPv4I组网中工作,也可以在IPv6环境下工作,还可以在IPv4/IPv6混合组网的环境下工作,具有很大的灵活性。因此只有支持IPv6 CAPWAP方式的设备,才能真正实现对IPv6真实环境的全面支持。
本网络的无线设备能够全面支持IPv6 CAPWAP方式,结合该性能以及AC+AP的无线应用架构优势,不但在现有的IPv4网络中可以随意建立WLAN网络,提供WLAN接入服务,更可以便捷满足未来发展需要。如后续有任何关于IPv4向IPv6升级的网络改造,所有的接入点和接入控制器不需要替换,不需要升级,甚至不需要修改配置,就可以继续提供WLAN接入服务,极大方便了网络建设和维护。

5.5 场景化产品确保方案设计的针对性

在实际WLAN项目建设中因各家厂商AP产品特性单一、同质化严重的情况,均采用在覆盖区域进行直接放装部署或室内分布式部署等一刀切的老旧建设方式,未能充分考虑无线覆盖区域的建筑环境特点和用户的实际应用需求,导致项目实施交付后,原定的无线业务系统无法使用,用户无线体验差,最终无线网络成为摆设的尴尬局面。正是敏锐的捕捉到了这些信息,本网络创新的推出了无线网络建设的新思路——提供基于场景的无线产品和解决方案,根据用户场景的特点采用专门的无线产品进行定制化的无线覆盖,为用户提供真正高速可用的无线网络。
高密度房间场景的无线覆盖
用户场景特点:1、房间较为密集,且数量较多;2、房间走墙壁厚实,且走廊侧无窗、防盗门等;3、入室门边还可能有厕所;4、用户数多,对无线网络性能要求高。
普通AP部署存在的问题:
目前这种场景会有两种可能部署方式,第一种是采用在楼道间直接放装AP进行覆盖,但这样信号一般很难穿透多堵墙实现两侧房间的有效覆盖,这种部署基本满足不了应用终端的信号强度需求。另外在楼道上放装超过3个AP,同频干扰带来的WLAN性能大幅下降也会影响到用户使用,所以这种方式基本不会被正式使用。
第2种是采用室内分布式部署的方式,即需使用500mw的大功率AP、直径20cm的蘑菇天线、直径达2cm的专用馈线以及功分器放大器等室分专用器件(如下图),整个部署施工难度大;且802.11n的室分AP最大接入速率仅为150Mbps,性能较低;而且把这些体积较大的专用天线、馈线放到宿舍或病房内,效果极不美观且容易给普通用户带来辐射大的心理暗示,进而产生抵触投诉情绪等。

图5-20传统室分设备部署效果图

本网络强烈推荐使用本专利创新产品——“无线智分”进行部署,优点如下:

图5-121本智分部署效果图

1、 因采用智分AP直接连超柔馈线(比网线细)伸入到房间后用美化天线(火柴盒大小)进行覆盖,信号再无需穿墙,1个智分AP轻松实现最大8个房间的“满格“信号覆盖;
2、 智分AP的天线伸入到房间后,有效利用AP功率的调整和房间墙壁对信号衰减,即便多个AP密集部署,实际干扰低的不可想象;
3、 智分AP采用了双路双频设计,整机最大能提供600Mbps的接入速率,是传统室分AP的4倍,对宿舍等多用户下的高性能需求可以完全满足;
4、 整个智分部署方案仅需3种设备,智分AP、超柔馈线、美化天线即可完成覆盖,部署简单美观,后期维护方便快捷。
智能楼宇场景的无线覆盖
用户场景特点:1、房间密集,房间数多;2、单个房间2~3个用户;3、环境美观度要求高,WLAN建设不得破坏装修;4、部署要快速,不能影响正常运营办公。
常见场景:酒店、独立办公室等
本网络推荐在这类场景使用最新的墙装MiNi型AP进行无线覆盖,原因如下:

图5-22墙面式AP部署效果图

1、 墙装MiNi型AP采用国标86面板尺寸设计,符合酒店、办公室等建筑施工的规范性要求;
2、 施工安装快捷,直接替换掉原有房间内的有线面板即可,单个AP安装仅需5分钟,降低了因施工给酒店带来的损失。
3、 AP在提供无线信号覆盖的同时,还能提供有线端口和RJ11的电话线端口供使用,“一机多能”,减少综合布线施工的成本。
园区房场景的无线覆盖
用户场景特点:1、房屋私有,统一施工布线难度大;2、楼道均为防盗门,楼房墙体较厚,通过室外AP无法覆盖室内;3、单房间用户较少,约2~4人。
常见场景:小区楼、家属楼、酒店等
本网络推荐在这类用户场景下使用WOC(有线电视无线网)的部署方式,即通过CATV(有线电视)的线路传输WLAN信号到房间内进行无线覆盖,具体如下图,优点如下:

图5-23本WOC方案示意图

1、 无需进行布线操作,利用原有CATV线路即可传输WLAN信号,到用户房间后使用WOC天线面板替换掉原有有线电视面板即可,施工改造简单快捷。
2、 有线电视信号和WLAN信号工作在不同频段,使用同一套介质线路传输,互不干扰,无论那一种信号发生问题,只要CATV的同轴电缆无损,另外一种都能正常工作。

5.6 可视化管理确保运行维护的便捷性

本的无线网络可以通过模块采用有线无线一体化模式对无线设备进行集中的可视化运维管理。
 


 

图5-24模块示意图

拓扑管理:能够实现有线无线设备一体化管理,通过直观的拓扑展现了解无线网络的运行状态。
热点管理:实现按热点对AP设备进行统计、管理,并通过热图对热点内AP分布及信号覆盖、接入AP的终端用户等信息进行呈现。
无线控制器管理:可以通过无线模块对无线设备AC进行集中化管理,包括界面化配置,性能监控等。
Fit AP管理:实现Fit AP设备的监控、状态、负荷的管理,并可以实现定期开关功能,同时还可查看AP负荷状态,并实现超过负载后的提供告警。
终端用户管理:可实现对无线接入用户的管理,包括热点的用户接入量、速率、用户上下线等信息。
非法AP管理:对网内发现的非法AP基本信息进行呈现,可以定位到发现者AP,能关联到热点并在热图上对发现者AP进行呈现,提供告警信息。
故障排查助手:可以根据IP、MAC等信息对终端、认证用户、AP、AC、非法AP进行查询检索,为故障排查提供协助。
 

案例搜索
合作联系
010-82872655
典型案例