1、 無線WLAN項目技術(shù)方案目錄 TOC o 1-2 h z u HYPERLINK l _Toc38870582 1前言 PAGEREF _Toc38870582 h 4 HYPERLINK l _Toc38870583 1.1文檔目的 PAGEREF _Toc38870583 h 4 HYPERLINK l _Toc38870584 1.2適用對象 PAGEREF _Toc38870584 h 4 HYPERLINK l _Toc38870585 2項目概述 PAGEREF _Toc38870585 h 5 HYPERLINK l _Toc38870586 2.1項目背景 PAGEREF _

2、Toc38870586 h 5 HYPERLINK l _Toc38870587 2.2應(yīng)用需求 PAGEREF _Toc38870587 h 5 HYPERLINK l _Toc38870588 2.3建設(shè)原則 PAGEREF _Toc38870588 h 5 HYPERLINK l _Toc38870589 3方案設(shè)計 PAGEREF _Toc38870589 h 7 HYPERLINK l _Toc38870590 3.1組網(wǎng)結(jié)構(gòu)設(shè)計 PAGEREF _Toc38870590 h 7 HYPERLINK l _Toc38870591 3.2設(shè)備命名設(shè)計 PAGEREF _Toc38870

3、591 h 8 HYPERLINK l _Toc38870592 3.3SSID命名設(shè)計 PAGEREF _Toc38870592 h 9 HYPERLINK l _Toc38870593 3.4IP地址設(shè)計 PAGEREF _Toc38870593 h 9 HYPERLINK l _Toc38870594 3.5身份認(rèn)證設(shè)計 PAGEREF _Toc38870594 h 10 HYPERLINK l _Toc38870595 4安全性設(shè)計 PAGEREF _Toc38870595 h 13 HYPERLINK l _Toc38870596 4.1設(shè)備合規(guī)檢查 PAGEREF _Toc3887

4、0596 h 13 HYPERLINK l _Toc38870597 4.2終端隔離 PAGEREF _Toc38870597 h 13 HYPERLINK l _Toc38870598 4.3無線SSID隱藏 PAGEREF _Toc38870598 h 13 HYPERLINK l _Toc38870599 4.4非法AP檢測與反制 PAGEREF _Toc38870599 h 14 HYPERLINK l _Toc38870600 4.5ARP欺騙的防護(hù) PAGEREF _Toc38870600 h 14 HYPERLINK l _Toc38870601 4.6黑名單管理 PAGEREF

5、 _Toc38870601 h 15 HYPERLINK l _Toc38870602 4.7DHCP安全 PAGEREF _Toc38870602 h 15 HYPERLINK l _Toc38870603 4.8數(shù)據(jù)傳輸與加密安全 PAGEREF _Toc38870603 h 15 HYPERLINK l _Toc38870604 5無線高可用性設(shè)計 PAGEREF _Toc38870604 h 16 HYPERLINK l _Toc38870605 5.1AC冗余設(shè)計 PAGEREF _Toc38870605 h 16 HYPERLINK l _Toc38870606 5.2信號自動補(bǔ)償

6、 PAGEREF _Toc38870606 h 16 HYPERLINK l _Toc38870607 5.3信號抗干擾 PAGEREF _Toc38870607 h 17 HYPERLINK l _Toc38870608 5.4邊緣智能感知 PAGEREF _Toc38870608 h 17 HYPERLINK l _Toc38870609 5.5移動漫游設(shè)計 PAGEREF _Toc38870609 h 18 HYPERLINK l _Toc38870610 5.6智能負(fù)載均衡 PAGEREF _Toc38870610 h 18 HYPERLINK l _Toc38870611 6無線網(wǎng)絡(luò)

7、設(shè)備監(jiān)控管理設(shè)計 PAGEREF _Toc38870611 h 20 HYPERLINK l _Toc38870612 6.1全局視圖 PAGEREF _Toc38870612 h 20 HYPERLINK l _Toc38870613 6.2無線熱圖分析 PAGEREF _Toc38870613 h 21 HYPERLINK l _Toc38870614 6.3頻譜分析 PAGEREF _Toc38870614 h 21 HYPERLINK l _Toc38870615 6.4AP超忙閑統(tǒng)計 PAGEREF _Toc38870615 h 22 HYPERLINK l _Toc38870616

8、 6.5一鍵快速定位故障 PAGEREF _Toc38870616 h 23 HYPERLINK l _Toc38870617 6.6AP地理位置定位 PAGEREF _Toc38870617 h 24 HYPERLINK l _Toc38870618 7無線部署規(guī)劃設(shè)計 PAGEREF _Toc38870618 h 25 HYPERLINK l _Toc38870619 7.1工作頻段與頻點規(guī)劃 PAGEREF _Toc38870619 h 25 HYPERLINK l _Toc38870620 7.2信號衰減注意事項 PAGEREF _Toc38870620 h 26 HYPERLINK

9、l _Toc38870621 7.3服務(wù)指標(biāo)注意事項 PAGEREF _Toc38870621 h 27 HYPERLINK l _Toc38870622 7.4接入點部署注意事項 PAGEREF _Toc38870622 h 28 HYPERLINK l _Toc38870623 7.5網(wǎng)絡(luò)布線和接入設(shè)備 PAGEREF _Toc38870623 h 29前言文檔目的本文檔是XX WLAN項目的總體概要性設(shè)計技術(shù)文件，對本次項目的總體設(shè)計方向、設(shè)計思路和參考資料作了明確的闡述。編寫本文檔的主要目的，旨在負(fù)責(zé)明確本次項目所要達(dá)成的總體目標(biāo)，指導(dǎo)與規(guī)范在實施中會涉及的工程和技術(shù)要素，以保證項目的

10、參與成員能按照規(guī)范要求高質(zhì)、高效、按時地完成本次網(wǎng)絡(luò)建設(shè)任務(wù)。適用對象本文檔的適用對象主要是負(fù)責(zé)XX WLAN項目網(wǎng)絡(luò)設(shè)計和實施的網(wǎng)絡(luò)設(shè)計人員、維護(hù)人員及項目實施小組成員。項目概述項目背景為踐行我行“擔(dān)當(dāng)社會責(zé)任，做最好的銀行”的戰(zhàn)略目標(biāo)，發(fā)揮我行 IT 藍(lán)圖新核心銀行系統(tǒng)在架構(gòu)及技術(shù)方面的優(yōu)勢， 順應(yīng)互聯(lián)網(wǎng)金融和移動互聯(lián)技術(shù)在金融服務(wù)中的應(yīng)用方向， 提升客戶服務(wù)水平和客戶滿意度，2014年總行黨委做出重要戰(zhàn)略決策，啟動網(wǎng)點智能化升級建設(shè)，并將2015年作為網(wǎng)點智能化升級建設(shè)的試點年。根據(jù)我行網(wǎng)點智能化升級建設(shè)的相關(guān)需求，需要在網(wǎng)點提供WLAN 無線局域網(wǎng)接入環(huán)境，以滿足我行服務(wù)人員無線接入需

11、求。針對于我行服務(wù)人員，主要滿足其采用移動終端設(shè)備（如各類平板電腦）訪問我行內(nèi)部移動應(yīng)用系統(tǒng)， 以提升對客戶的服務(wù)能力和服務(wù)范圍的靈活便利性。應(yīng)用需求根據(jù)內(nèi)部移動應(yīng)用系統(tǒng)對無線網(wǎng)絡(luò)接入的相關(guān)需求，通過在網(wǎng)點建設(shè)我行專用的無線網(wǎng)絡(luò)基礎(chǔ)設(shè)施， 為我行服務(wù)人員提供無線網(wǎng)絡(luò)接入， 從而支持利用 各類移動終端接入內(nèi)部移動應(yīng)用系統(tǒng)。 在此場景中，無線網(wǎng)絡(luò)是我行網(wǎng)點網(wǎng)絡(luò)基礎(chǔ)設(shè)施的重要組成部分，是有線網(wǎng)絡(luò)接入的延伸和補(bǔ)充， 為提升我行企業(yè)形象、提高服務(wù)人員服務(wù)能力、擴(kuò)展服務(wù)范圍和便利性提供必要支持。 此場景在本規(guī)范中簡稱“網(wǎng)點內(nèi)網(wǎng)WLAN” 場景。建設(shè)原則針對“網(wǎng)點內(nèi)網(wǎng) WLAN” 場景， 在建設(shè)結(jié)構(gòu)合理、功

12、能完整的無線網(wǎng)絡(luò)系統(tǒng)的前提下，針對本場景所涉及的終端無線接入系統(tǒng)，從功能性設(shè)計、實施和運維等方面提出如下無線網(wǎng)絡(luò)設(shè)計原則：1、 架構(gòu)及擴(kuò)展性設(shè)計原則： 在總行、一、二級分行及營業(yè)網(wǎng)點層級部署無線網(wǎng)絡(luò)相關(guān)功能模塊， 實現(xiàn)我行內(nèi)部人員使用 移動終端無線接入我行網(wǎng)絡(luò)。2、 網(wǎng)絡(luò)安全設(shè)計原則：從用戶身份認(rèn)證、設(shè)備合法性檢查、傳輸信息加密等方面對無線網(wǎng)絡(luò)的安全保障要點進(jìn)行設(shè)計；針對應(yīng)用場景的相關(guān)要求，明確相關(guān)的安全隔離和控制策略； 根據(jù)我行應(yīng)用需求，需要 WLAN 無線網(wǎng)絡(luò)與我行內(nèi)網(wǎng)實現(xiàn)安全的連接。根據(jù)總行領(lǐng)導(dǎo)的要求，“需要在客戶端及網(wǎng)絡(luò)接入端制定安全有效的技術(shù)方案，并經(jīng)過國家保密（密碼）管理部門審核批

13、準(zhǔn)”。為此， 在 WLAN 網(wǎng)絡(luò)建設(shè)過程中，所選的產(chǎn)品必須為我行無線網(wǎng)絡(luò)設(shè)備入圍產(chǎn)品，且其中 實現(xiàn)客戶端接入認(rèn)證功能的模塊必須具備國家保密局頒發(fā)的涉密產(chǎn)品檢測證書。3、 可靠性設(shè)計原則：選用高可靠性設(shè)備，設(shè)計合理的網(wǎng)絡(luò)冗余拓?fù)浣Y(jié)構(gòu)，確定可靠的網(wǎng)絡(luò)備份策略，提供可滿足相關(guān)應(yīng)用場景可靠性要求的相對穩(wěn)定的無線網(wǎng)絡(luò)服務(wù)。4、 可管理性設(shè)計：整個系統(tǒng)的設(shè)備易于管理，易于維護(hù)，便于進(jìn)行于進(jìn)行系統(tǒng)配置，在設(shè)備、安全性、數(shù)據(jù)流量、性能等方面進(jìn)行監(jiān)視和控制，并可以進(jìn)行遠(yuǎn)程管理和故障診斷。5、可擴(kuò)展原則： 整個系統(tǒng)應(yīng)易于擴(kuò)展， 能擴(kuò)充更多的應(yīng)用場景，便于支撐業(yè)務(wù)的良好運轉(zhuǎn)，從性能上、構(gòu)架上保證足夠的彈性。達(dá)到保護(hù)

14、投資的目的。方案設(shè)計組網(wǎng)結(jié)構(gòu)設(shè)計組網(wǎng)要點描述：1、XX分行主網(wǎng)絡(luò)中心2#網(wǎng)服務(wù)器功能區(qū)建立WLAN接入子區(qū)，初步預(yù)計，XX分行部署銳捷網(wǎng)絡(luò)的WS55048無線控制器1組（2臺），主AC放置在主中心，備AC放置在備中心，采用集中處理的方式，管理轄內(nèi)所有接入AP。后續(xù)隨著AP數(shù)量的增多，可考慮增加一組無線控制器或考慮更換成更高檔次的AC控制器。2、在省行和各二級行大樓、各營業(yè)網(wǎng)點根據(jù)情況可部署銳捷放裝型AP RG-AP320-I或智分型AP RG-AP220-E(M)，AP與AC之間的通訊IP地址采用固定分配的方式。3、接入子區(qū)增加2臺隔離防火墻，建議選擇國產(chǎn)防火墻廠商的設(shè)備。防火墻啟用透明模式，

15、開啟AP、AC之間的通訊端口允許訪問（UDP 5246/5247）4、XX分行主網(wǎng)絡(luò)中心2#網(wǎng)管理區(qū)部署一套銳捷網(wǎng)絡(luò)無線接入認(rèn)證平臺RG-SMP、實現(xiàn)對接入用戶的認(rèn)證管理，同時部署一套銳捷網(wǎng)絡(luò)集中管理平臺RG-SNC，實現(xiàn)對接入轄內(nèi)所有AC、AP設(shè)備的集中監(jiān)控與配置管理。5、根據(jù)AP所屬的地市分行，在AC上定義不同的地址池，為認(rèn)證成功通過后的終端分配對應(yīng)的IP地址，采用本地轉(zhuǎn)發(fā)模式建設(shè)，終端的網(wǎng)關(guān)地址設(shè)置在本地網(wǎng)關(guān)設(shè)備上（一、二級行辦公匯聚，網(wǎng)點路由器）。6、服務(wù)器區(qū)匯聚交換機(jī)需要配置無線終端的DHCP pool地址的C類 匯總路由指向無線控制器的三層端口，且匯聚交換機(jī)上還需要將該靜態(tài)路由重分

16、發(fā)到OSPF區(qū)域中。7、鑒于分行大樓的交換機(jī)和網(wǎng)點路由器不支持POE供電，因此需要通過增加POE交換機(jī)或POE適配器的方式對AP進(jìn)行供電。設(shè)備命名設(shè)計根據(jù)我行設(shè)備統(tǒng)一命名規(guī)則：網(wǎng)絡(luò)類型_安裝地點_設(shè)備功能_設(shè)備類型編號，第三個字段WLN，表示W(wǎng)ireless LAN功能區(qū)。各設(shè)備的命名如下：字段1_字段2_字段3_字段4nn字段 1標(biāo)識網(wǎng)絡(luò)類，長度 1 字符：A 表示1#網(wǎng)，B表示2#網(wǎng)；字段 2標(biāo)識安裝地點，格式為一級分行簡稱+城市簡稱+樓宇，長度 5 字符：一級分行簡稱：2 字符，各一級分行簡稱參考XX銀行文件國內(nèi)一級分 行地區(qū)名稱編碼對照表。 樓宇：1 字符，用 A、B、C.表示。字段

17、3標(biāo)識功能區(qū)，長度 3 字符：COR：核心功能區(qū) WBN：二級骨干網(wǎng)功能區(qū) MAN：同城網(wǎng)功能區(qū) CAM：園區(qū)網(wǎng)、局域網(wǎng)功能區(qū) ATM：離行式 ATM 接入功能區(qū) NMG：網(wǎng)絡(luò)監(jiān)控管理功能區(qū) WWN: 無線網(wǎng)絡(luò)接入功能區(qū)(3G)WLN:無線網(wǎng)絡(luò)接入功能區(qū)（WLAN）（上述功能區(qū)已按照其優(yōu)先級遞減次序列示，若某設(shè)備兼屬一個以上功能 區(qū)，則按其優(yōu)先級最高功能區(qū)命名） 字段 4AC：無線控制器AP：無線接入點nn長度 2 字符，相同功能的設(shè)備按序號排列，01-99設(shè)備名稱放置位置數(shù)量命名AC無線控制器XX分行2#網(wǎng)2臺B_HB_WLN_AC_01/2AP接入省及地市分行2#網(wǎng)300臺B_HB_WLN

18、_AP_NNAAA服務(wù)器XX分行管理區(qū)2套，HA部署根據(jù)服務(wù)器命名規(guī)則WLAN網(wǎng)管XX分行管理區(qū)1套根據(jù)服務(wù)器命名規(guī)則SSID命名設(shè)計內(nèi)部移動應(yīng)用系統(tǒng)無線接入： BOC_INTIP地址設(shè)計需要分配的IP地址如下幾類：1）AC無線控制器AC部署在2#網(wǎng)XX網(wǎng)段服務(wù)器區(qū)的接入子區(qū)，交換機(jī)、防火墻、AC的地址從主、備機(jī)房中的互聯(lián)地址塊當(dāng)中選擇。掩碼位255.255.255.248。2）AP接入使用2#網(wǎng)XX網(wǎng)段，從現(xiàn)有管理地址塊內(nèi)新啟用一個連續(xù)地址的網(wǎng)段，掩碼位根據(jù)接入的AP數(shù)量確定。連接無線AP的交換機(jī)端口應(yīng)配置MAC地址綁定。3）接入終端接入終端由各網(wǎng)點、 分行機(jī)構(gòu) 2#網(wǎng) XX網(wǎng)段中選擇。身份

19、認(rèn)證設(shè)計1）身份合規(guī)性檢查采用802.1X用戶接入時即需要認(rèn)證，用戶可采用安全證書、一次性口令（OTP）、AD域用戶數(shù)據(jù)對接、或固定設(shè)置的用戶名口令作為接入網(wǎng)絡(luò)的憑據(jù)進(jìn)行接入，認(rèn)證通過的用戶允許接入網(wǎng)絡(luò)，而未進(jìn)行認(rèn)證的客戶被拒絕接入。銳捷網(wǎng)絡(luò)的WLAN產(chǎn)品已和各大行的統(tǒng)一認(rèn)證平臺均完成對接，全面的支持業(yè)界所有WLAN安全接入方式。下述為測試結(jié)果截圖：一次性口令（OTP）認(rèn)證： 和AD域?qū)诱J(rèn)證：基于802.1x的身份準(zhǔn)入 通過AAA服務(wù)器提供統(tǒng)一的身份管理，對接入內(nèi)網(wǎng)的用戶進(jìn)行身份合法性認(rèn)證，沒有合法身份的用戶被隔離在內(nèi)網(wǎng)之外，無法登陸訪問網(wǎng)絡(luò)。多元素身份唯一性保障針對行內(nèi)辦公PC實現(xiàn)多種元素

20、進(jìn)行綁定，可選擇對用戶名、密碼、用戶IP、用戶MAC、交換機(jī)IP及交換機(jī)端口、硬盤序列號七元素進(jìn)行靈活綁定。安全性設(shè)計設(shè)備合規(guī)檢查WIFI接入應(yīng)用場景下進(jìn)行終端合規(guī)性檢查。采用MAC地址、用戶名和SSID綁定的方式，很好的保證了接入用戶設(shè)備的合法性，確保合法的人使用固定的終端做特定的操作。AP設(shè)備合規(guī)性檢查：在AC無線控制器端，采用白名單管理AP的方式，對接入的AP進(jìn)行統(tǒng)一管理，在后續(xù)擴(kuò)展AP的時候，應(yīng)首先在AC端添加新增AP的MAC地址。防止不合規(guī)的AP隨意接入銀行網(wǎng)絡(luò)。終端隔離由于無線用戶的流動性和不確定性，在某些場合（特別是在公共場合），用戶信息的私密性顯得尤為重要，需要限制用戶之間直接

21、訪問。用戶隔離技術(shù)可以控制在無線網(wǎng)絡(luò)覆蓋區(qū)域中，無線終端之間的不安全訪問（例如無線上網(wǎng)用戶之間通過網(wǎng)上鄰居訪問），避免私人信息遭到他人竊取。用戶隔離功能在不影響用戶正常上網(wǎng)的情況下對用戶進(jìn)行隔離，使之不能互訪，保證了用戶業(yè)務(wù)的安全。AC上下發(fā)同AP下用戶隔離的指令，以實現(xiàn)AP禁止兩個用戶之間互訪。系統(tǒng)會識別每一個無線報文，如果偵測到用戶數(shù)據(jù)目標(biāo)MAC地址到是連接在同一AP下，則將該數(shù)據(jù)丟棄，以此實現(xiàn)用戶之間的隔離。無線SSID隱藏?zé)o線SSID采用廣播和非廣播模式進(jìn)行發(fā)送，在廣播模式下SSID容易泄露，在非廣播模式下SSID手工添加后才可見。在本次WLAN部署中采用非廣播模式。隱藏用于內(nèi)部員工上

22、網(wǎng)的SSID，以降低SSID廣播所帶來的安全隱患。調(diào)整AP發(fā)射功率，降低信號外泄：通過調(diào)整AP的發(fā)射功率，在保障營業(yè)場所WiFi信號覆蓋質(zhì)量的前提下，盡可能減小信號外泄，做到場內(nèi)有信號、場外無信號的效果。非法AP檢測與反制無線網(wǎng)絡(luò)很容易受到各種網(wǎng)絡(luò)威脅的影響，如黑客假冒AP的網(wǎng)絡(luò)攻擊、未經(jīng)授權(quán)的AP用戶、泛洪攻擊等。非法AP對于網(wǎng)絡(luò)安全來說是一個很嚴(yán)重的威脅。AP反制功能有效的檢測出無線網(wǎng)絡(luò)環(huán)境中的非法AP，控制無線AP發(fā)送探測報文給周圍的AP并等待合法的AP回應(yīng)探測報文，以此檢測出未給出應(yīng)答報文的非法AP，從而有效的檢測出無線網(wǎng)絡(luò)中連入的非法AP，保證整個無線網(wǎng)絡(luò)環(huán)境的安全性。探測AP實時檢

23、測周邊的射頻環(huán)境，包括鄰居終端和AP信息，將檢測到的信息周期性發(fā)給關(guān)聯(lián)的AC，AC分析射頻掃描報告中的鄰居信息，通過預(yù)定義的非法設(shè)備檢測規(guī)則，對整個無線網(wǎng)絡(luò)中的異常設(shè)備進(jìn)行監(jiān)視，針對特定情況進(jìn)行反制操作。檢測到非法AP后，由反制功能對非法AP進(jìn)行反制，主要有兩種方式：Sentry模式的Radio假冒Client發(fā)送解認(rèn)證消息給非法AP，從而解除客戶端與非法AP的連接。Active模式的Radio發(fā)送解認(rèn)證消息給關(guān)聯(lián)到非法AP的客戶端，從而解除非法AP與客戶端的連接。ARP欺騙的防護(hù)ARP檢測功能有效遏制了網(wǎng)絡(luò)中日益泛濫的ARP網(wǎng)關(guān)欺騙和ARP主機(jī)欺騙的現(xiàn)象，保障了用戶的正常上網(wǎng)。無論在動態(tài)分配

24、IP環(huán)境下，還是靜態(tài)分配IP環(huán)境下，均可實現(xiàn)自動綁定工作，大大的節(jié)省了人力成本，降低了管理開銷。而配合ARP速率監(jiān)控控制ARP報文發(fā)送的速率，防止惡意利用掃描工具進(jìn)行ARP泛洪占據(jù)網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)擁塞的攻擊行為。黑名單管理靜態(tài)黑名單機(jī)制，對于違反銀行外部客戶通過無線網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)相關(guān)規(guī)定的外部客戶，將采用靜態(tài)黑名單管理機(jī)制，禁止或限制該客戶繼續(xù)使用我行相關(guān)服務(wù)。動態(tài)黑名單機(jī)制，對于某些惡意、非法的STA，AC 能夠?qū)@些STA 進(jìn)行懲罰，讓在一段時間內(nèi)不能夠上線，同時還具備將這些STA 踢下線的功能。AC會統(tǒng)計一段時間內(nèi)，STA 關(guān)聯(lián)失敗的次數(shù)，包括用戶名密碼錯誤。當(dāng)關(guān)聯(lián)失敗的次數(shù)超過一定閾

25、值時，會將STA 加入黑名單中。在黑名單中的STA 在一段時間內(nèi)不允許關(guān)聯(lián)上線。DHCP安全支持DHCP snooping，只允許信任端口的DHCP響應(yīng)，防止未經(jīng)管理員許可私自架設(shè)DHCP Server，擾亂IP地址的分配和管理，影響用戶的正常上網(wǎng)的行為；并在DHCP監(jiān)聽的基礎(chǔ)上，通過動態(tài)監(jiān)測ARP和檢查源IP，有效防范DHCP動態(tài)分配IP環(huán)境下的ARP主機(jī)欺騙和源IP地址的欺騙。數(shù)據(jù)傳輸與加密安全銳捷網(wǎng)絡(luò)無線AP與AC以國際標(biāo)準(zhǔn)的CAPWAP加密隧道模式通信，確保了數(shù)據(jù)傳輸過程中的內(nèi)容安全。銳捷網(wǎng)絡(luò)AP通過WEP、TKIP和AES加密技術(shù)，為接入用戶提供完整的數(shù)據(jù)安全保障機(jī)制，確保無線網(wǎng)絡(luò)的

26、數(shù)據(jù)傳輸安全。無線高可用性設(shè)計AC冗余設(shè)計為滿足WLAN無線網(wǎng)絡(luò)的高可用性要求，無線組網(wǎng)設(shè)計部署2臺無線控制器（AC）組成1+1熱備的方案，一臺AC作為為主控制器，另外一臺AC作為備份控制器，AP通過DHCP的offer報文中的option 138字段中的信息獲得主AC的IP地址信息并與之建立CAPWAP隧道。當(dāng)AP和主控制器注冊建立CAPWAP關(guān)聯(lián)時，主控制器會將備份控制器的信息通告給無線 AP， AP會根據(jù)此信息和備份的控制器也建立CAPWAP鏈路，但只和主控制器建立的CAPWAP鏈路處于工作狀態(tài)。當(dāng)主控制器異常不工作機(jī)時，備份控制器和主控制器之間的心跳檢測機(jī)制可以快速檢測到主設(shè)備的DOW

27、N機(jī)，并及時通知AP進(jìn)行主備用CAPWAP隧道的切換，保證用戶的業(yè)務(wù)不中斷。信號自動補(bǔ)償對無線AP的選型，方案設(shè)計支持無線信號的自動補(bǔ)償技術(shù)的AP，當(dāng)其中一臺AP故障后，周邊的其他AP自動調(diào)整發(fā)射功率，覆蓋故障AP的區(qū)域，確保該AP內(nèi)的無線終端設(shè)備正常接入無線網(wǎng)絡(luò)。（示例：正常情況下，三個AP同時工作） （示例：AP故障情況下，其他AP補(bǔ)償信號）信號抗干擾未來客戶可能有其他場景需要部署無線，網(wǎng)點附近用戶也可能架設(shè)大功率的無線，勢必會出現(xiàn)信道干擾的情況，對用無線網(wǎng)絡(luò)的可用性帶來挑戰(zhàn)。 通過AC無線控制器與AP之間的聯(lián)動，可以感知AP之間的信號強(qiáng)度和干擾，AC會自動下發(fā)策略，讓AC之間避免出現(xiàn)無線

28、信道干擾。邊緣智能感知 傳統(tǒng)“瘦AP+無線控制器”的集中式網(wǎng)絡(luò)體系架構(gòu)，無線數(shù)據(jù)流經(jīng)AP再到無線控制器進(jìn)行集中轉(zhuǎn)發(fā)，這就會存在當(dāng)無線控制器發(fā)生故障宕機(jī)后，AP無法正常工作的問題，導(dǎo)致整個無線網(wǎng)絡(luò)癱瘓。而銳捷網(wǎng)絡(luò)最新的邊緣智能感知技術(shù)，使AP能夠智能的進(jìn)行鏈路感知，當(dāng)發(fā)現(xiàn)無線控制器故障宕機(jī)后，AP快速切換為智能模式繼續(xù)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，實現(xiàn)了無線網(wǎng)絡(luò)的高可用性，真正的做到了無線用戶永不掉線。移動漫游設(shè)計WLAN無線網(wǎng)絡(luò)設(shè)計支持高速漫游、智能漫游的需要，可以滿足低延遲的視頻、語音等業(yè)務(wù)的業(yè)務(wù)需求，也可以滿足隨時接入用戶的應(yīng)用訪問需求。方案設(shè)計支持同一AC下AP之間，不同AC下AP之間的無縫快速漫游，保

29、證無線客戶端在一個子網(wǎng)內(nèi)部，從一個AP的覆蓋范圍移動到另一個AP的覆蓋范圍時，通信不中斷，用戶無需重新登錄和認(rèn)證。方案設(shè)計支持系統(tǒng)靈活定義用戶的漫游范圍，漫游組，可以根據(jù)用戶的身份和級別劃定其可以漫游，可以實現(xiàn)50ms級的二、三層無縫漫游。智能負(fù)載均衡在高密度無線用戶的情況下，無線AP將結(jié)合銳捷無線控制器智能實時的根據(jù)用戶數(shù)及數(shù)據(jù)流量調(diào)整分配到不同的AP上提供接入服務(wù)，平衡接入負(fù)載壓力，提高用戶的平均帶寬和QoS，提高連接的高可用性。當(dāng)某一區(qū)域有大量無線用戶時，控制器會根據(jù)該區(qū)域的用戶數(shù)或上網(wǎng)流量，將用戶均分到每個AP上。防止“大量用戶掛死在一臺AP上”，而影響到整體網(wǎng)絡(luò)的接入能力和性能。無線

30、網(wǎng)絡(luò)設(shè)備監(jiān)控管理設(shè)計本項目方案的無線網(wǎng)管功能部分，設(shè)計采RG-SNC-PRO有線無線一體化網(wǎng)管平臺來實現(xiàn)，為用戶提供無線管理視圖一覽、無線網(wǎng)絡(luò)拓?fù)涔芾?、無線資源管理、安全管理、統(tǒng)計分析等功能，并通過銳捷網(wǎng)絡(luò)特有的信號衰減算法，可以在無線網(wǎng)絡(luò)拓?fù)渲袨橛脩舫尸F(xiàn)真實的無線網(wǎng)絡(luò)熱點覆蓋范圍，幫助用戶做無線網(wǎng)絡(luò)熱點規(guī)劃。在無線接入環(huán)境下，由于接入位置的不確定性，無線信號在空氣中傳播難以捕捉等特性，為無線網(wǎng)絡(luò)的管理帶來很大的難度，銳捷網(wǎng)絡(luò)RG-SNC支持有線、3G/4G、WLAN、上網(wǎng)行為管理一體化管理，同時支持集中配置無線設(shè)備，還支持全方位監(jiān)控AC、AP及接入終端的運行情況，為用戶實現(xiàn)可視化管理無線網(wǎng)絡(luò)

31、。全局視圖在WLAN管理界面的首頁，管理員可以從一張圖表很清晰的看出整個無線網(wǎng)絡(luò)的運行情況。包括AC、AP的連通性，退服率、流量及關(guān)聯(lián)用戶的情況等信息。無線熱圖分析AP的信號覆蓋肉眼不可見，這就為前期部署的論證合理與否，后續(xù)網(wǎng)絡(luò)調(diào)優(yōu)帶來很大的難度，無線熱圖分析可有效地幫助網(wǎng)絡(luò)管理人員很清晰的看出無線覆蓋區(qū)域的無線信號覆蓋情況，可根據(jù)自己的喜好定義不同的顏色，可協(xié)助網(wǎng)絡(luò)管理人員進(jìn)行AP的部署是否合理？干擾、信號盲點、設(shè)備帶機(jī)數(shù)量及性能進(jìn)行有效的判斷。頻譜分析當(dāng)802.11客戶端或AP設(shè)備在通訊過程中遇到干擾源干擾時，會造成整體網(wǎng)性能下降，導(dǎo)致共享同一AP的用戶體驗變差。頻譜分析很好地是檢測RF（

32、微波爐、無繩電話和藍(lán)牙設(shè)備）信號的有效工具，為WLAN的性能提供重要的基礎(chǔ)保障。AP超忙閑統(tǒng)計通過設(shè)置AP的忙閑率統(tǒng)計，了解哪些AP使用頻度高，哪些使用頻度低協(xié)助決策如何合理利用AP，達(dá)到最優(yōu)的投入產(chǎn)出比。一鍵快速定位故障當(dāng)無線網(wǎng)絡(luò)中有人上報故障時，如何快速定位故障？通過對設(shè)備信息、用戶信息可以進(jìn)行靈活搜索，定位故障信息點？對關(guān)鍵設(shè)備的故障信息如何快速的查看？通過對關(guān)鍵設(shè)備相關(guān)信息進(jìn)行搜索，可以查看關(guān)鍵設(shè)備的相關(guān)故障信息。AP地理位置定位AP的詳細(xì)地理位置描述，清楚查看具體位置；由實施人員通過實施表格的方式導(dǎo)入到系統(tǒng)，一次導(dǎo)入永久管理，并且可隨時修改。無線部署規(guī)劃設(shè)計工作頻段與頻點規(guī)劃依照WL

33、AN的國際規(guī)范和國際無線電管理委員會的標(biāo)準(zhǔn)，WLAN無線設(shè)備的工作頻段為2400-2483.5MHz，帶寬83.5 MHz，劃分為14個子信道，每個子頻道帶寬為22 MHz, 最多有13個信道可用。頻道分配如下圖所示：無線頻段在多個頻道同時工作的情況下，為保證頻道之間不互相干擾，要求兩個頻道的中心頻率間隔不能低于25 MHz。考慮參照北美標(biāo)準(zhǔn)設(shè)計的許多WLAN設(shè)備和終端（比如網(wǎng)卡）不能使用12、13信道做為用戶信道，因此建議一般選用1/6/11信道。802.11g使用開放的2.4GHz ISM頻段，可工作的信道數(shù)為歐洲標(biāo)準(zhǔn)信道數(shù)13個。由于其支持直序擴(kuò)頻技術(shù)造成相鄰頻點之間存在重疊。對于真正相

34、互不重疊信道只有相隔5個信道的工作中心頻點。因此對于802.11g在2.4GHz地工作頻段，理論上只能進(jìn)行三信道的蜂窩規(guī)劃實現(xiàn)對需要規(guī)劃的熱點的無縫覆蓋。部署雙頻點的無線接入點，802.11n同時工作在2.4GHz和5GHz頻點；5GHz：更多的頻譜資源-數(shù)量較多的不沖突頻點，更少的干擾（藍(lán)牙、微波爐），從40MHz信道綁定獲得最高的性能，很多802.11n的客戶端只有在5GHz頻段上支持40MHz；2.4GHz：采用2.4GHz頻點，兼容原有的802.11a、b/g的客戶端；不建議在2.4GHz頻點使用40MHz信道綁定，大部分客戶端不支持；避免了802.11a、b/g與802.11n混用，

35、降低性能。雖然2.4G2.483G之間的802.11標(biāo)準(zhǔn)的無線頻點有13個，但由于設(shè)計為相互重疊，所以只有3個不重疊頻點（一般設(shè)計工作在1,6,11這三個完全不重疊的頻點），這樣使得頻點配置工程十分必要。合理的進(jìn)行信道規(guī)劃，降低同頻干擾，同時樓層之間的泄漏信號干擾也要考慮在內(nèi)。因此， WLAN頻點分配原則如下：原則上采用同一頻點組中的3個不重疊頻點進(jìn)行頻點規(guī)劃；在容量極高區(qū)域，可采用1、6、11頻點的緊湊復(fù)用，提高區(qū)域內(nèi)的承載容量，可采用AP自動頻率調(diào)整，防止同頻干擾。AP也可采用自動功率調(diào)整功能，調(diào)整信號覆蓋范圍及強(qiáng)度。但必須詳細(xì)提供各個AP的覆蓋區(qū)域以及模測效果，說明已采用避免干擾的布點及

36、規(guī)劃。相鄰覆蓋區(qū)域的AP不使用相同頻點；相同頻點通過間隔較遠(yuǎn)距離或者建筑隔斷增加同頻隔離度，避免同頻干擾；相鄰AP設(shè)定相同頻點時， 要求間隔25米以上；相鄰AP設(shè)定相鄰頻點時， 要求AP間隔15米以上；AP設(shè)定相隔頻點時， 要求間隔12米以上。信號衰減注意事項信號強(qiáng)度和傳輸距離的換算公式AP加卡的信號總強(qiáng)度公式：GtGrAP天線增益終端天線增益L信號總強(qiáng)度（dB）Gt（AP或終端功率，單位dB），Gr（終端或AP靈敏度，單位dB）距離產(chǎn)生的信號衰減公式：4020lgdL1（dB） d（距離，單位m）工程中最大傳輸距離以45m計算，所以L172dB障礙物的衰減：物體dB地板30帶窗戶的磚墻2辦公

37、室墻6辦公室墻的金屬門6磚墻的金屬門12.4靠近金屬門的磚墻3 室內(nèi)型無線AP理論上在空曠環(huán)境的部署，可以按照20米左右的半徑的經(jīng)驗值進(jìn)行點位、數(shù)量的粗略預(yù)估。但無線信號的覆蓋效果，取決于實際環(huán)境。服務(wù)指標(biāo)注意事項（1）覆蓋指標(biāo)對有業(yè)務(wù)需求的樓層和區(qū)域進(jìn)行覆蓋。目標(biāo)覆蓋區(qū)域內(nèi) 95以上的位置，接收信號電平-75dBm。 其中對重點目標(biāo)覆蓋區(qū)域的覆蓋電平指標(biāo)：重點區(qū)域內(nèi)95%以上的位置，接收信號電信-70dBm。 （2）信號質(zhì)量指標(biāo)目標(biāo)覆蓋區(qū)域內(nèi) 95%以上位置，用戶終端接收到的下行信號S/N值10dB。（3）吞吐量要求在目標(biāo)覆蓋區(qū)域內(nèi)僅有一個終端，滿足設(shè)計質(zhì)量指標(biāo)的情況下，系統(tǒng)吞吐量設(shè)計按照如下要求： 在802.11b 模式下，上行或下行單向吞吐量應(yīng)不低于5Mbps(不加密)； 在802.11g模式下，上行或下行單向吞吐量應(yīng)不低于18Mbps(不加密)；在802.11n模式下，上行或下行單向吞吐量應(yīng)不低于54Mbps(不加密)。（4）AP帶機(jī)數(shù)量 AP帶機(jī)數(shù)量，不同型號、不同品牌的產(chǎn)品，差異會比較大。