一、概述
近年来,随着国内海量信息处理,人们对网速及便捷性的需求爆炸性增长。这为国内各行各业的发展提供了良好的契机,但随之而来的行业竞争也日显激烈。在各行业硬件条件日趋同质化的今天,如何通过提高服务意识和服务水平吸引更多的潜在客户并将其发展成忠实客户成为管理者不断深入思考的问题。
随着国际互联网在国内的广泛普及和全球信息化的不断发展,网络建设逐渐受到各行各业的关注并被提到议事日程上来。但如何在建设网络的同时减少对业务的影响并有效提高同行业中的竞争力是重点考虑的问题。
在各行各业网络建设中如果采用传统有线网络进行建设,一方面需要进行大面积的布线施工,这将严重影响日常经营活动;另一方面,有线网络的整体施工周期较长,将会使增加投资回报时间。而近年来逐渐兴起的无线局域网络(WLAN)以其技术成熟、快速部署、易于扩展、可移动性和使用便利等特点,在网络建设中大显身手,成为网络建设的主要技术之一。
二、网络现状及需求分析2.1 无线网络需求分析
现单位全部岗位均已部署有线网络,但每个岗位只提供一个网络接口,无法满足多台移动设备接入的需求。因此,笔记本电脑和使用PDA的均无法提供上网服务,这将在一定程度上影响了客户体验感。对于业主来说这无疑是一大缺憾。同时,在相当程度上降低了客户对我单位服务品质的总体评价,也降低了我单位对客户的吸引力,并产生客户流失的潜在危险。
针对上述问题,需要进行无线网络覆盖,向客户提供良好的网络接入服务,以提高服务品质和对外形象。该无线网络为安全的网络接入,以保护客户使用网络的安全。同时,作为一套先进的网络,该网络还需要提供友好的管理方式,力求做到易部署、易维护、易扩展,最终实现网络的可管理、可运营,以最大限度减少对网络的总体拥有成本(TCO),并保护管理者的投资回报。
2.2无线网络覆盖范围需求
根据前期客户需求调查,目前需要在1-2层和会议室进行无线网络覆盖。
三、WLAN网络设计原则
为了确保建设一套完全符合用户需求并具有良好拓展性的优秀网络系统,以保护网络拥有者的投资,在本网络设计上严格按照以下无线网络设计原则进行设计:
l先进性
所选产品及其组网技术必须达到国际先进水平,并具备适当的技术前瞻性;
l高性能
所选产品硬件设计上严格依据业界同等技术最高性能标准进行设计;
所选产品软件开发必须采用优化的平台进行开发;
所选产品必须经过严格的功能和性能测试,并达到标准;
l高可用性
提供多种故障恢复和冗余备份机制;
提供各种网络负载分担机制;
设备需具有一定程度的智能特性,以提高网络的可用性;
l可管理性
设备必须提供界面友好、易于操作的管理方式;
为网络管理者提供多种易于使用的故障定位手段;
对用户的接入提供灵活、安全的管理手段;
l安全性
必须对无线用户提供全面的安全接入保护能力;
对无线网络中存在的不安全因素具有发现和告警(或抵御)机制;
l可扩展性
设备必须具备技术前瞻性和向后兼容性;
组网灵活,易于扩展;
l开放性
设备功能研发尽可能遵循国际标准的协议;
可根据客户应用需求开放必要的应用接口;
l经济性和实用性
所选产品具有较高的性价比;
在符合用户需求的前提下选择性能合适的产品。
四、WLAN网络设计方
无线网络拓朴图
下面我们分别从网络架构、网络管理、网络安全及无线覆盖几个方面详细阐述本方案的设计思想:
4.1网络架构选择
无线网络作为一项基础设施,其架构及技术是否合理将关系到投资者投资风险。采用不合理架构或不合理技术搭建的网络不具备良好的扩展性和技术前瞻性,将无法满足未来网络业务和规模扩展的需求,在未来网络规模和业务扩展时将使投资者面临重复投资的危险。
为避免以上问题的发生,充分保护网络建设者的投资,本次网络设计我司推荐采用高性能WIFI无线交换技术理念为基础的WLAN解决方案。
WIFI业务流程
WLAN交换技术中,所有的数据流量都要集中到WLAN交换机或控制器处做统一的数据交换,因此,当网络中业务数据流量很大时,传统WLAN交换机或控制器的压力会急剧增大,并成为无线网络数据交换的瓶颈,极端情况下将使WLAN交换机或控制器无法正常工作,导致整个网络瘫痪,为满足无线AP供电需求,决定使用1台高性能交换机用以集中管理网络内的20个AP接入点。
4.2 网络管理设计
作为一个设计良好的网络,其应该是易于管理和维护,由此把网络管理者从繁重的管理维护工作中解放出来,并提高网络管理者的工作效率。
本次网络设计中所采用的无线解决方案及其设备,具有丰富的管理特性,可以极大减轻网络管理者对网络管理和维护的工作量。
4.2.1 集中式管理
无线控制器和AP间采用业界标准的CAPWAP协议进行通讯,并由此实现对AP的集中管理和自动配置。通过使用该功能,无线控制器可将其所管理AP的软件版本及配置文件自动下发到AP上。这样,当在网络中增加新的AP、更换坏的AP或给网络中所有的AP软件版本升级时,网络管理者只需在无线控制器上进行统一操作即可轻松完成相应工作。这将极大的减轻网络维护人员的管理工作量。
4.2.2网络负载均衡
在WLAN网络中一个AP的覆盖范围内,无线连接的带宽是共享,即无线终端数目越多,每个终端所能分享的带宽就越小。采用灵动WIFI WLAN解决方案的无线网络系统可在一个AP的覆盖范围内把无线用户或终端分散连接到附近的AP上。由此可以避免某个AP由于用户接入数过多,而产生性能瓶颈,并显著改善网络的性能,提高网络的可靠性。
无线用户负载均衡
4.3网络安全设计
基于对酒店网络特点的分析和对无线网络建设的经验,无线网络解决方案在用户安全、系统安全、数据安全等方面为酒店网络提供多种无线接入安全特性,充分满足各种场所下无线数据安全接入的需求。
l用户安全
本方案所选设备支持目前各种用户认证的方式(802.1X、WEB认证、MAC、SSID等),网络管理者可以根据需求方便的选择不同认证方式向用户提供安全的无线接入,并有效阻止非授权人员访问网络。同时,本方案所选无线接入点(AP)上还提供无线用户数据隔离功能,防止恶意用户通过无线网络访问其它用户的电脑。
l系统安全 本方案所选设备提供对非法及恶意AP接入的检测和隔离、针对无线网络的DOS攻击防护、对无线终端的异常流量进行检测及报警等功能。
l数据安全 本方案所选设备完全符合802.11i强健无线安全的要求,并提供包括WEP、WPA、WPA2在内的全面安全特性,满足不同用户的安全需求。
五、设备选型
综合上述的无线网络设计原则、各楼层AP布点情况及当今无线网络技术及其应用发展情况,对本无线网络设备选型如下:
5.1无线控制器选型
集路由一体化管理
产品概述:见路由器
产品特点:5.1.1、提供对FIT AP的管理 提供传统的有线接入组网、无线统一管理,交换机通过配合公司自主研发的 A20 Fit AP配置组网,对AP实现配置、升级统一管理,实现有线无线一体化灵活组网。
5.1.2、支持精细的无线用户接入控制和管理 支持基于MAC的认证接入访问控制方式,通过对加入到黑白名单中的用户的操作方式来控制无线用户的访问权限,这种精细的用户权限控制大大增强了无线网络的可用度,网管人员可以轻松通过该方式对不同级别的人进行接入权限分配。5.1.3、支持MAC地址认证,Portal认证等 MAC地址认证:ER5200G2有线无线一体化路由器支持MAC地址认证,对一些手持终端(例如:Wi-Fi Phone、手持移动终端等)并不方便采取电脑上的认证方式,MAC地址认证却可以轻松解决该问题,实现在控制器上配置好合法的MAC地址,并且对该MAC地址指定接入控制器从而访问网络的权限,该功能极大的方便了例如无线医疗系统等应用,MAC地址认证可以确保只有授予了无线客户端允许权限的用户才能访问接入到无线网络,而授予了无线客户端拒绝权限的用户是无法接入到无线网络。Portal认证:ER5200G2有线无线一体化路由器提供内置的Portal认证服务器。该认证方式无需客户端配合,直接通过浏览器WEB Portal页面作为认证通道,当用户认证通过后,可以灵活跳转到指定访问首页并启动相应授权,当然也可以根据策略要求,灵活推送定制Portal页面,达到广告宣传,信息传递的作用,广泛使用在无线校园、无线城市、访客接入等应用场景。5.1.4、支持信道智能切换 无线局域网中信道是非常稀缺的资源,每个AP只能工作在有限的非重叠的信道上,所以如何智能选择无线信道非常重要,信道优选成为无线应用的关键,而且无线工作的频段存在大量的可能的干扰源,如:雷达、微波等,ER5200G2支持为下挂AP同时开启多个无线信道,自动信道将根据信道的干扰检测选择最优选的信道分配给无线客户端。5.1.5、支持二层隧道穿透(QINQ功能) QinQ最初主要是为拓展VLAN的数量空间而产生的,它是在原有的802.1Q报文的基础上又增加一层802.1Q标签实现,使VLAN数量增加到4K*4K,随着城域以太网的发展以及运营商精细化运作的要求,QinQ的双层标签又有了进一步的使用场景,它的内外层标签可以代表不同的信息,如内层标签代表用户,外层标签代表业务,另外,QinQ报文带着两层tag穿越运营商网络,内层tag透明传送,也是一种简单、实用的VPN(Virtual Private Networks)技术,因此它又可以作为核心MPLS(Multiprotocol Label Switch) VPN在城域以太网VPN的延伸,终形成端到端的VPN技术。5.1.6、支持二层多路径负载均衡 MSTP是在传统的STP、RSTP的基础上发展而来的生成树协议,通过对VLAN分组并将其关联到生成树实例。每个实例都拥有独立于其他生成树实例的拓扑,这种体系结构为数据流量提供了多条转发路径,并且支持负均衡功能,如果某条转发路径发生故障,不会影响到不同转发路径中的实例,从而提高了网络容错的能力,在大型网络中,通过使用不同的VLAN和不同的生成树拓扑,将能够更好的管理网络和冗余路径的使用。5.1.7、支持基于协议和数据流特征的访问控制 对于日益扩大的网络规模,对于网络安全的控制成为网络管理的重要内容。针对协议和数据流的特征制定访问规则,对数据流进行过滤可以限制网络中的通讯数据的类型,限制网络的使用者或使用设备,在数据流通过网络设备时对其进行分类过滤,并对从指定接口输入或输出的数据流进行检查,根据匹配条件决定是允许或拒绝。5.1.8、支持三层路由转发 支持交换功能还提供高速的三层路由转发支持静态路由功能,按照目的网络和路由方式的不同,分为默认路由、静态路由、阻塞路由。当网络复杂并存在多个局域网时,默认路由可以实现所有客户端都可以访问广域网;静态路由可以实现每一个对局域网的访问;阻塞路由可以实现禁止对局域网的访问。支持端口路由可以实现对网络广播风暴的隔开,又可以实现网络间的互访。支持VLAN路由。可对每一个VLAN开启路由接口。不用经过上级路由设备即可实现VLAN间的快速访问。支持Loopback路由。可创建Loopback地址,用于对FIT AP的通信和管理。5.1.9、支持智能识别基础业务流的QOS策略 在网络业务复杂的环境下各种各样的业务流,如何为一些对网络质量有特性要求的业务流特供更好的服务质量成为设备的关键,CW3024除提供传统的QOS策略外还支持个别特殊业务流的智能识别功能,如:IP语音业务流和网络存储业务流,在特定的端口上开启相应的业务流识别功能设备将自动对业务流特供优先转发。5.1.10、提供万兆高速率的有线接入 支持万兆XFP光纤接入,万兆端口的线速可达到14880952pps,可实现远距离高速率双向传输。一个万兆端口的接入相当于10个千兆端口的汇聚。突破了传统百兆千兆以太网接口的限制,使有线口不再成为无线接入的速率瓶颈,为将来支持更高速率更多射频组合提供了平滑升级的平台。 5.1.11、提供完善的安全防护和入侵检测功能 为用户提供针对非法AP,非法无线客户端的多项入侵检测功能。如:非法AP检测的SSID冲突检测,隐藏SSID检测,非法无线客户端的认证请求速率检测,探测请求速率检测等。提供完善的入侵检测功能。同时,CW3024还为用户提供了防DOS攻击功能。为网络的安全防护提供保障。5.1.12、支持可视化AP管理状态显示(地图功能) 为用户提供了可视化AP状态显示功能。在地图模块里每个正在被管理的AP都会在地图上显示。用户能够拖动AP到地图指定的位置上,另当鼠标放在对应的AP上,AP的基本信息和位置信息就能显示出来。这样用户就能直观的了解到无线网络的拓扑结构和基本信息,为用户对AP的管理提供了方便。5.1.13、支持多种应用部署场景 当产品与AP通过广域网链路进行连接管理时,可以开启AC的三层路由功能直接与广域网进行对接,上层无需再加三层转发设备为用户节省接入成本。当产品通过局域网与AP进行连接管理时,交换机工作在二层下接AP无需设置交换机地址直接通过广播发现AP,下接AP无需手动设置自动接入,用户安装和组网更加方便和便捷。
5.2无线接入点(AP)
产品概述: A20室内胖瘦一体无线接入点。
5.2.1、产品特点:※ 2*2 MiMO设计,无线速度最高可达300M;※ 双端口千兆设计,同时支持PoE供电;※ 水滴式外形设计,保证信号最强覆盖;※ 胖瘦一体化设计,支持FAT和FIT模式切换;※ 支持在2.4GHz频段工作;※ 内置全铝散热器;※ 节能设计,软件内置功率可调节功能;5.2.2、产品优势:※ 射频功率最高可达400mW,有效覆盖范围可达20-30米;※ 内置纯硬件智能天线技术,天线最高增益可达7dbi;※ 漏斗式天线设计,每根天线可以覆盖6-12㎡,无死角覆盖※ 高达800M处理器,使得无线数据转发CPU不在是瓶颈;※ 128M内存,使得无线转发效率更高;※ 支持个性中文SSID定制;※ 支持用户端QoS负载;产品详细规格:
5.2.3、无线智能高速云接入 A20 AP 遵从802.11n 协议标准,可提供3个空间流(3-Streams) 高达300Mbps 的无线传输速率,是相同环境下802.11a/ g 产品的10 倍左右。同时动态调节无线传输速率,可更加稳定、高效的传输无线数据。5.2.4、上行千兆以太网连接 上行链路采用千兆以太网接口,同时作为PoE供电口。可实现灵活布网、安全使用、高速接入。 5.2.5、Fat/Fit 两种模式智能切换 A20AP支持Fat 和Fit 两种工作模式,根据网络规划的需要,可以灵活地在Fat 和Fit 两种工作模式中切换。当客户的无线网络初始规模较小时,只需采购少量A20 AP,并设置其工作模式为Fat 模式。随着客户网络规模的不断扩容, 当网络中应用的A20 AP达到几十甚至上百台时,为降低网络管理的复杂度,建议客户采购自主研发的ER5200G2管理型路由器,便于集中管理网络中的所有的A20 AP,此时只需将其工作模式切换到Fit 模式。 5.2.6、提供AC集中转发功能 Fit模式下,A20 AP部署在网络边缘部分,作为无线接入热点。而无线控制器部署在总部,所有用户数据由无线接收点发送到无线控制器,再由无线控制器进行集中转发。便于监控网络环境、管理上网行为。
5.2.7、支持IPv4/IPv6双协议栈 A20 AP全面支持IPv6协议,设备实现了IPv4/IPv6双协议栈。无论用户的无线终端设备是IPv4还是IPv6,都可成功接入,实现完美兼容。
5.2.8、支持远程捕获分析 A20 AP可以对覆盖区内的Wi-Fi报文进行侦听捕获,网络管理员可将数据包下载至本地电脑,进行故障排查、优化分析。远程无线数据帧捕获分析功能针对工作信道进行捕获备份,灵活满足无线网络监控运维要求。
5.2.9、支持智能负载均衡 F145AP支持按接入用户数量和流量的复杂均衡方式,当无线接入设备的负载超过设定的门限值以后,则会拒绝新接入的用户的关联请求,从而最大限度的提高无线网络的性能。
5.2.10、支持接口报文统计 提供了当前AP的无线网络接口的流量统计,实时显示AP的无线接口上的VAP发送和接收数据统计,及由于网络环境恶化引起的丢包、误包的个数,便于对无线网络运行情况进行监控和维护。
5.2.11、提供only 11n接入功能 由于802.11n向下兼容802.11b/g协议,故通常情况下,802.11b/g用户也能接入到802.11n的无线接入设备上。但这种兼容能力的提供,会造成具备802.11n接入能力的用户实际使用性能产生一定程度的下降。支持将无线接入设备的某一射频设置为only 11n接入模式,使得802.11n用户的带宽得到保证。
5.2.12、支持中文SSIDA20 AP支持使用中文SSID,可指定最长包含32个汉字的SSID,也可以使用中英文混合的SSID,为国内用户提供了更大的使用便利。
5.2.13、支持SNMP特性 A20 AP支持SNMP特性,此特性方便网管人员从网络侧对位置分散的无线接入设备进行远程集中管理。
5.2.14、支持无线分布系统(WDS) 无线分布系统(WDS) 允许连接多个AP。使用WDS,AP之间不需要网线,便可以以标准化的方式彼此通信。这种能力是至关重要的,它为漫游客户端和管理多个无线网络提供无缝体验。通过减少所需的布线量,它也可以简化网络基础设施。根据要连接的链路数量,您可以配置AP点对点,或点对多点桥接模式。
5.2.15、支持无线QoS 服务质量(Quality of Service)允许你为多种服务提供不同的优先级。通过基于特征和协议的优化,增加吞吐量提高区分的无线流量性能,如Voice-over-IP (VoIP),其他类型的音频,视频和流媒体,以及传统的IP数据。对不同类型的无线通信指定不同的队列参数,有效地指定用于传输的最小和最大等待时间(通过Contention Windows)。
5.2.16、支持客户端QoS 客户端QoS特性对连接到网络上的无线客户端的某些QoS方面提供额外的控制,控制客户端允许和接收的最大带宽量。基于客户端IPV4、IPV6、MAC地址设置访问控制列表(ACL),进行网络授权。客户端QoS还允许通过差分服务(DiffServ)配置每个客户端的各种微流,用来定义一般的微流及适用于每个无线客户端的入站和出站处理特点。