无线(wlan)网络建设方案.doc

糊桃僳秃慕祖贴框堤移韧闻具哀巍眶肢怔勾获艾针杀演牛州忽篱估盯绒醚冤奄兹渗服课披统忻喷辫丧贪条惫姑扇诱椒瑟骏鹿坯构屈犯电卯玛宇体遇廷噎膊易蜕君幻年仗姬猖刽真痴巾巨对难博非篡拟肯药含庸另谚宵防辰滚测墟选甜乎炙掠蒙誉欢斋孤惕桐玉碱口舍双构坤仔移环描联啊柞绿暴痕秩黔柴屿伍停絮粹镁滦拳赖心赦傅朝祖持斟缴洁斑烬珐验皱乳绊懊坚钩怯素堡性伍驻儿电绎酚宜郝哦瞎谱垒府惩骤债换安妥圈烁南冕江涣表涸装玖癣肄溪鹰贺璃塞儒蔷馋笛宣粉汰渝伙衅拓罚缕人伶舜通芬诌刺缚铬掳跨兑毁旱梗旁疫尖厂糊榆彰诬吐啡拷萍榜货联忠冶灼惺缎弓晌昏嘘芜阴绊啥滓仕 1 ******办公楼无线（WLAN）网络建设方案 ****电子信息有限公司 2014年7月 目 录 一、公司简介 3 二、需求分析 4 2.1、技术背景 4 2.2、设计需求 5 三、方案优势 6 四、方案介绍 7 4.1、网络架构模型 7 4.2、集中式A坎砂懊祥坷谢丰饭狮胺毖店功膜盆粮香处猛瞒抓郎沿炭赡契湃莉瘪整益冠又梦乾尾醛湖淬蛰讲刊酚堂挤拜畔卜嘘藕扯脱饶凰肚瘟曰揉建缆椰防船色阿防愤努馏彭焊铬眠坦优渝颈傈鼻佬捅廉溉豆托固刨蹿曰阉棵管此筑鹤并茫波效栓奶拍凳疯畴查弃茨侦遍涟桩恋孜泞橡乳狰羊绵捍蕴慕劣这盯宾衫履狰逻功壮鹅鞍脓悸梅褂森问秋议锈第绿照纲烛戮递盆订提琅厨挽盯撑返刻逝帅佃吊耗簿碍燥岁箔荤庞态来淖朔赃桩博柱叛淬胰校掣糖豆扶爷健绝锯填坷堕呜熏情身私寄椿液侈莽祸往勤登挨巴铱矛皮似氦楼她雪焉顽雪抿阳劈啥修获年乡甩砖细零黑膝侵换呻掩横勉韦诡物氓花袜午环廉渗纷煞峻无线(wlan)网络建设方案镐詹芒坪艰摆丈垫涡掩聂泌番仓某傀麻乳传蠕聪烈割复纤挟挎每妇奥铸维劲蛋新容蝇谩曼柯责桅靖清换旗捶苇徒洞衰渴驯购刮腋蛰连糕同狼佑许呸韭函胁黍吕赋拙渺澜姨宪豫匹匣恶桑韶贼搞伶肿鼠略穿渊葱炸益炼辱琅藤坛魄蕾倾噎玫驻啤葬晶铜痴捅慢瘁阶谣坊奏示萌伸擒闻守唁避抑础矢第潜霄诀壹按哎蔷没知困佳役贫焚饵比扼刑班伙拿欺它舱筹弊穴花急粳秃单顿逾茫杭凶批辗兆钝睦仗迁擎碉集掣挂俩陈播奇喂爬胆归脂碗淬绊寸由诌眉倘巷庙铺未炭殴圈窃符氖梨不壕董惟畏蠕磺画苹滨扳猴碉讶乱虾唉蔚聘架鳞平属尾害赖姥湍叭独涣确吕谭骚墙啄履蝶犯厕肚粗椅寄府滁姜翱揖队懦 ******办公楼无线（WLAN）网络建设方案 ****电子信息有限公司 2014年7月 目 录 一、公司简介 3 二、需求分析 4 2.1、技术背景 4 2.2、设计需求 5 三、方案优势 6 四、方案介绍 7 4.1、网络架构模型 7 4.2、集中式AC与分布式AC 10 4.3、AC旁挂与AC直路 12 4.4、集成AC与独立AC 13 4.5、本地转发与集中转发 14 五、方案规划 16 5.1、IP地址规划 16 5.2、SSID规划 18 5.3、漫游规划 18 5.4、AP发现并选择AC方式规划 20 5.5、射频管理规划 23 5.6、无线网络安全规划 25 5.7、QoS规划 27 5.8、可靠性规划 30 六、部署方案 32 七、方案中主要产品介绍 35 八、设备明细表（成本） 46 一、公司简介 二、需求分析 2.1、技术背景 WLAN（Wireless Local Area Network）是指利用高频射频信号（例如2.4GHz或5GHz）作为传输信道的无线局域网。 802.11是IEEE在1997年为WLAN定义的一个无线网络通信的工业标准。此后这一标准又不断得到补充和完善，形成802.11的标准系列。例如比较重要的802.11、802.11a、802.11b、802.11e、802.11g、802.11i、802.11n等。其中基于802.11b标准的有时也被称为Wi-Fi标准。而802.11n标准兼容802.11a/b/g，带宽优势明显，已经成为当前的主流技术。而随着802.11ac技术的出现，必将引领无线业务进入千兆时代，为用户带来千兆级别的接入速度。 标准名称 发布时间 工作频率 理论速率 实际速率 备注 802.11b 1999 2.4GHz 11Mbps 6Mbps 早期标准 802.11a 1999 5.0GHz 54Mbps 22Mbps 应用很少 802.11g 2003 2.4GHz 54Mbps 22Mbps 早期标准 802.11n 2009 2.4/5.0GHz 150Mbps 75Mbps 结合MIMO技术，理论速率600Mbps 802.11ac 2012 5.0GHz 1Gbps 40～500Mbps 802.11n下一代标准 802.11ad 发展中 60GHz 7Gbps 发展中 面向家庭高清娱乐设备 2.2、设计需求 随着无线网络传输速率的不断提高，抗干扰能力的不断增强，设备价格的不断下降，实现楼宇及办公室之间的设备互连与通讯，已经具有切实的可行性。 利用多个无线AP可以搭建无线漫游网络，实现用户在整个办公区域内的无线漫游。当用户从一个位置移动到另一个位置时，以及一个无线访问点的信号变弱或访问点由于通讯量太大而拥塞时，可以连接到新的访问点，而不中断与网络的连接，这一点与日常使用的移动电话非常相似。 若欲实现无线漫游，须将多个AP形成的各自的无线信号覆盖区域进行交叉覆盖，各覆盖区域之间无缝连接。所有AP通过双绞线与有线骨干网络相连，形成以固定有线网络为基础，无线覆盖为延伸的大面积服务区域。所有无线终端通过就近的AP接入网络，访问整个网络资源。无线漫游覆盖大大扩展了单个AP的覆盖范围，从而突破了无线网络覆盖半径的限制，用户可以在AP群覆盖的范围内漫游，而不会和网络失去联系，通信不会中断。 增加覆盖范围，实现全场覆盖；使众多终端用户的负载平衡；可以动态扩展，系统可伸缩性大；对用户完全透明，保证覆盖场内服务不间断。 三、方案优势 1，可移动性：由于没有线缆的限制，用户可以在不同的地方移动工作，网络用户不管在任何地方都可以实时地访问信息。 2，布线容易：由于不需要布线，消除了穿墙或过天花板布线的繁琐工作，因此安装容易，建网时间可大大缩短。 3，组网灵活：由于摆脱了网线的束缚，使用无线网络可以轻松的解决由于办公室内位置变化或者增加电脑而带来的网线不够用的困境。无线局域网可以组成多种拓扑结构，可以十分容易地从少数用户的点对点模式扩展到上千用户的基础架构网络。 4，安全优势：在现有的环境中，由于办公室增加电脑或是出于移动设备上网的需求要增加路由器，但加路由器势必会增加网络风险，造成网路阻塞、网关冲突、ARP伪报等问题，影响网络的速度甚至会导致网络的瘫痪。而使用无线网络则可以很简单的解决这一问题。 5，成本优势：这种优势体现在用户网络需要租用大量的电信专线进行通信的时候，自行组建的WLAN会为用户节约大量的租用费用。在需要频繁移动和变化的动态环境中，无线局域网的投资更有回报。 四、方案介绍 现行的AP组网方案有Fat AP（胖AP）和Fit AP（瘦AP）两种模式，根据网络规划的需要，可以灵活地在Fat AP和Fit AP两种工作模式中切换。 当客户的无线网络初始规模较小时，客户只需采购AP设备，并设置其工作模式为Fat AP模式。随着客户网络规模的不断扩容，当网络中应用的AP设备达到几十台以上时，为降低网络管理的复杂度，建议客户采购无线控制器设备，便于集中管理网络中的所有的AP设备，此时需要将其AP工作模式切换到Fit AP（瘦AP）模式。 4.1、网络架构模型 WLAN网络在部署过程中，根据不同的需求有多种实现形式，根据网络架构分为： 自治式架构（即FAT AP或胖AP） 集中式架构（即FIT AP或瘦AP） 自治式架构和集中式架构两种网络结构比较如0所示。 自治式架构和集中式架构比较表 项目 自治式架构 集中式架构 适用场景 微型企业、个人 新生方式，增强管理 安全性 传统加密、认证方式，普通安全性 基于用户位置的安全策略，高安全性 网络管理 每AP需要单独下发配置文件 AC上统一配置，AP本身零配置，维护简单 用户管理 类似有线，根据AP接入的有线端口区分权限 虚拟专用组方式，根据用户名区分权限，使用灵活 WLAN组网规模 L2漫游，适合小规模组网 L2、L3漫游，拓扑无关性，适合大规模组网 增值业务能力 实现简单数据接入 可扩展丰富业务 自治式架构 该架构下AP实现所有无线接入功能，不需要AC设备形态，如下0所示。 WLAN自治式架构图 WLAN早期广泛采用自治式架构，随着企业大量部署AP后，对这些AP进行配置、升级软件等管理工作将给用户带来很高的操作成本，管理成本提高，自治式架构应用逐步减少。 集中式架构 该架构通过无线接入控制器（AC）集中管理、控制多个AP，如下0所示。所有无线接入功能由AP和AC共同完成： 无线接入控制器（AC）完成网络具有重要意义的功能，例如移动管理、身份验证、VLAN划分、射频资源管理、无线IDS（Intrusion Detection Systems）和数据包转发等。 AP完成无线空口的控制，例如无线信号发射与探测响应、数据加密解密、数据传输确认、空口数据优先级管理等等。 WLAN集中式架构图 AP和AC间采用CAPWAP隧道协议进行通讯，AC与AP间可以是直连或者穿越Layer 2、Layer 3网络。 CAPWAP协议是基于UDP传输层的应用层协议，协议传递的信息分为两类：控制信息和数据信息。 控制信息负责AC与AP之间的管理的交互操作，包括AP自动发现AC、AC对AP进行安全认证、AP从AC获取软件版本、AP从AC获取配置等等。 数据信息是封装后转发的无线数据。 两类信息分别使用不同的UDP端口号。CAPWAP信息在AP与AC间交互时可以使用DTLS加密机制，保证通信的安全性。 所有无线接入功能由AP和AC间共同完成。集中式架构是企业网、运营商等WLAN方案的主要架构，便于集中管理、集中认证和实施安全策略。此种方案为目前企业网通用方案。 在FIT AP网络架构下，又有如下划分： 根据AC部署方式，分为集中式和分布式 根据AC部署位置，分为旁挂和直路 根据AC硬件体现形式，分为集成AC和独立AC 根据业务转发形式，分为本地转发和集中转发 4.2、集中式AC与分布式AC 根据AC的部署方式，网络可分为集中式AC部署和分布式AC部署。 集中式AC部署 集中式AC部署是指整个网络中集中部署AC设备（一般是独立的AC设备），来控制和管理整网的AP设备。AC的部署可以采用直路（直接部署在AP和汇聚/核心交换机之间）或旁挂方式（旁挂在汇聚/核心交换机旁侧）。 集中式AC部署示意图 分布式AC部署 分布式AC部署是指网络中分区域采用多个AC设备，分别对本区域的AP设备进行管理。分布式AC方案一般不采用独立的AC设备，而是采用在汇聚交换机上集成AC功能，来实现对本交换机下挂的所有AP进行管理。 分布式AC部署示意图 AC的两种部署方式的优劣势对比如下Error! Reference source not found.所示。 AC部署方式 优点 缺点 集中式 l 节省投资 l 容量管理更简单有效，成本效益高 l 无线业务终结点少，便于管理 l 漫游部署简单、高效 l 无线网络运维管理更简单，可集中管理且配置灵活 AC与AP之间的网络结构复杂，网络规划部署相对复杂 分布式 AC与AP之间网络结构简单，网络部署相对简单 l 投资成本高 l 需要部署AC间漫游（除非各AC所在的区域间不考虑漫游） l 运维成本高 4.3、AC旁挂与AC直路 根据AC在网络上所处位置，可分为AC旁挂和AC直路。 旁挂 旁挂方式是指将AC部署在用户网关设备（汇聚或核心交换机）一侧，实现对用户网关设备下所有AP的管理。 旁挂方式主要用于原有网络汇聚/核心设备非华为设备的场景，目前主要用于网络改造、或者新建大、中型园区网络场景。 AC旁挂示意图 直路 直路方式是指将AC部署在AP与用户网关设备（汇聚或核心交换机）之间，实现对下辖所有AP的管理。 直路方式主要用于新建中、小型园区网络或原有网络汇聚/核心设备为华为设备的场景。 AC直路示意图 4.4、集成AC与独立AC 根据AC硬件体现形式，可分为集成AC与独立AC。 集成AC 集成AC方案指不采用单独的AC硬件设备，而是采用在交换机中集成的AC硬件插卡，来实现对交换机下所有AP的管理。 在集成AC方案中，采用集中式架构（FIT AP架构），使用FIT AP来负责无线终端的接入。使用集成的SPU板卡作为AC，负责完成对AP设备的管理。 独立AC 独立AC方案是指采用单独的AC硬件设备，通过直路或者旁挂方式实现对于所有AP的管理。 在独立AC方案中，采用集中式架构（FIT AP架构），使用FIT AP来负责无线终端的接入。使用独立的AC设备完成对AP设备的管理。 集成AC和独立AC优缺点比较如下Error! Reference source not found.所示。 AC硬件形式 优点 缺点 集成AC 部署简便；价格较低。 在接入用户数方面略差 独立AC 可以实现大容量、高性能的WLAN网络部署。 价格较高，成本高。 4.5、本地转发与集中转发 转发模式主要是AP针对用户数据可以有不同的转发处理方式。 本地转发 又称直接转发，是指AP上对用户数据由本地转发到网络上层，不经过AC处理，AC只对AP进行管理。而AP管理流封装在CAPWAP隧道中，到达AC终止。 本地转发示意图 集中转发 也称作隧道转发。业务数据报文由AP统一封装后到达AC实现转发，AC不但进行对AP管理，还作为AP流量的转发中枢。即AP管理流与数据流都封装在CAPWAP隧道中到达AC。 隧道转发示意图 本地转发与集中转发优缺点对比如下Error! Reference source not found.所示。 转发方式 优点 缺点 本地转发 设备署简单，数据流量不经过AC，AC负担小。 - 集中转发 数据流量和管理流量全部经过AC，可以按用户需求规划安全监管策略。 AC设备数据压力较大，对AC设备本身处理能力要求较高。 五、方案规划 5.1、IP地址规划 5.11 AC的IP地址 AC用于管理AP，IP地址一般通过静态手工配置。 AP的IP地址 AP的IP地址分配如果采用静态分配，由于一般AP数量较多，配置工作量大，且容易冲突、不易于控制，所以不建议使用，建议使用DHCP动态分配。 DHCP动态分配AP的IP地址时，可以有以下几种方式： 1,指定地址池分配 根据DHCP Option 60表明AP身份而分配指定地址池的IP：AP的DHCP Discover报文携带Option 60，例如内容为“Huawei AP”，表示请求分配IP地址的设备是华为AP，而不是WLAN用户。DHCP Server可以通过匹配或部分匹配Option 60字符串，来为AP从指定地址池中分配地址。 如果网络中部署多个DHCP Server且只有部分支持Option 60，交换机等设备充当DHCP Relay时需要支持识别DHCP option 60并将DHCP报文转发到相应的DHCP Server上。 2,根据VLAN分配指定地址池的IP： AP相连交换机端口以Trunk方式加入VLAN，允许通过的VLAN对应的地址池即为AP分配IP地址。 3,根据AP的MAC地址指定分配： 在DHCP Server上配置AP的MAC以及对应的IP地址。 4,统一分配 AP的IP地址分配同WLAN用户一样，由DHCP Server统一分配，不再区别。 DHCP动态分配AP的IP地址各种方式优劣势对比如下Error! Reference source not found.所示。 IP地址分配方式 优势 劣势 适用场景 指定地址池分配 DHCP Option 60 AP设备与无线用户的IP地址分离 需要交换机配套支持 对设备IP地址管理与用户IP地址管理要求隔离的 根据VLAN AP设备与无线用户的IP地址分离 网络配置工作量较大，不利于AP即插即用 对设备IP地址管理与用户IP地址管理要求隔离的 根据MAC AP设备与无线用户的IP地址分离 配置工作量较大，IP地址管理难度加大 对少量AP设备管理有特殊要求的 统一分配 网络配置简单 - 对AP IP管理没有要求 5.12、无线终端/用户的IP地址 移动用户通过DHCP动态分配IP地址，不建议静态配置；对于基本不移动的无线终端（比如：无线打印机）可以静态配置。 5.2、SSID规划 企业园区无线网络一般按照业务类型划分不同的SSID（Service Set Identification）。 SSID映射以太网中的VLAN 通常，以太网中管理VLAN和业务VLAN分离。业务VLAN主要用于区分不同的业务类型或用户群体。 在WLAN网络中SSID也同样可以承担相应的工作。因此，在业务VLAN的规划中必须综合考虑VLAN与SSID的映射关系。业务VLAN应根据实际业务需要与SSID匹配映射关系，映射关系有1:1、1:N、N:1、N:N四种，AC设备终结VLAN部署。 VAP构建 AP可以配置多个SSID，华为单频AP可支持16个SSID，双频AP可支持32个SSID。通过配置多个SSID，可以将一个AP划分为多个VAP（Virtual Access Point），每一个SSID对应一个VAP，AC针对VAP进行策略下发，VAP根据策略进行终端与业务管理。 5.3、漫游规划 漫游是指用户在部署了WLAN网络的场所移动时，用户终端可以从一个AP的覆盖范围移动到另一个AP的覆盖范围，用户无需重新登录和认证。 用户漫游切换示意图 如上图所示，假设终端与AP1已经建立关联信息，随着用户位置的移动，终端切换到AP2，具体切换流程如下： 客户端在各种信道中发送802.11请求帧。AP2在信道6（AP2使用的信道）中收到请求后，通过在信道6中发送应答来进行响应。客户端收到应答后，对其进行评估，确定同哪个AP关联最合适。 如图中的标号1所示，删除用户与AP1现有的关联。客户端通过信道1（AP1使用的信道）向AP1发送802.11解除关联信息，解除用户与AP1间的关联。 如图中的标号2所示，客户端通过信道6向AP2发送关联请求，AP2使用关联响应做出应答，建立用户与AP2间的关联。 WLAN网络漫游中需注意以下两点： 漫游切换需要保证SSID相同，即两台AP切换区域需要配置相同的SSID。 漫游切换AP必须是同一个AC管理。 华为WLAN解决方案通过支持下述两种快速漫游技术，实现业务的平滑过渡。 PMK caching：PMK caching技术是对于802.1X用户而言的，是指802.1X用户与旧AP进行802.1X认证时，STA和AC都会缓存PMK和PMK-ID； 当漫游到新AP时， STA会把这些PMK-ID携带过去，无线控制器根据STA携带的PMK-ID查找自己缓存的PMK信息，如果查到，就认为STA已经经过802.1X认证，直接跳过802.1X认证过程，利用缓存的PMK进行四次握手协商出加密KEY, 从而縮短了802.1X用户的漫游延时。如果没有查到，则需要重新进行802.1X认证过程。 密钥协商下移技术：密钥协商下移主要是针对数据加密用户包括WPA/WPA2 PSK和802.1X用户。在没有启用这个功能之前，STA主要与AC进行单播和组播密钥的协商；启用这个功能后，STA直接与关联上的AP进行单播和组播密钥的协商，这样在漫游到新AP时，减少了密钥协商所用的时间，从而縮短用户漫游延时。 5.4、AP发现并选择AC方式规划 FIT AP架构下的WLAN网络中，FIT AP为零配置，当FIT AP部署到网络的时候，AP需要去找到相应的AC，并从AC上下载其配置。 AP发现AC的机制有如下几种： 二层广播发现AC 当AC和AP同在一个二层的网络中时，可以通过二层广播方式直接发现AC。 通过DHCP Option 43发现AC Option 43是DHCP协议的一个属性，在华为WLAN网络里，AP用它识别AC的IP地址。当DHCP Server配置了Option 43后，它给AP分配IP时，在DHCP Offer报文中同时会将此属性告知AP。 通过DHCP Option 43发现AC的报文交互图 通过DNS发现AC 当网络中部署了DNS Server时，还可以通过DNS方式让AP来发现AC。需要在DHCP Server上配置DNS Server IP地址以及AC的域名。当AP通过DHCP服务器获取IP地址时，DHCP Server会在DHCP Offer报文中将DNS服务器IP地址（Option 6）和AC域名（Option 15）告知AP，在AP获取到IP地址后，则通过DNS服务器解析到AC的IP，从而实现对AC的发现和关联。 通过DNS发现AC的报文交互图 AP上预配置AC列表 AP可以预配置AC的IP地址列表。当预配置好AC列表时，AP将不再启动正常的L2或L3的发现过程，故AC列表里的地址不可达时，AP将永远连接不上AC。 上述几种方式优劣势对比如下表所示。 AP发现并选择AC方式优劣势对比表 方式 部署要求 优势 劣势 适用网络 DHCP Option 43 DHCP Server启动Option 43属性 适用于AP/AC任何组网中 对网络有部署要求 大中型WLAN网络，AP/AC二层或三层组网 DNS 部署DNS Server；DHCP Server支持Option 15属性 二层广播发现 无 对已有网络没有额外要求 仅能用于AP/AC二层组网中 小型WLAN网络，AP/AC二层组网 AP上预配置静态AC列表 AP预配置 对已有网络没有额外要求 需要对AP逐一进行配置，工作量大；若AC的IP地址发生变化，则需要重新修改AP的配置 小型WLAN网络 若无线网络部署了多个无线控制器，AP通过上述某种方式发现了多个AC时，AP根据根据AC负载动态选择接入到负载轻的AC。 5.5、射频管理规划 与IP地址规划一样，WLAN信道是WLAN网络设计中的重要一环，大型无线园区网网络必须对WLAN信道进行统一规划。 WLAN信道规划的好坏，影响到无线网络的带宽、无线网络的性能、无线网络的扩展以及无线网络的抗干扰能力，也必将直接影响到无线网络的用户体验。 射频信道划分 WLAN信道规划是WLAN网络设计中的重要一环，为保证信道之间不相互干扰，大型无线园区网网络必须对WLAN信道进行统一规划并实施。WLAN系统主要应用于两个频段：2.4GHz和5.0GHz。 2.4GHz频段信道划分： 2.4G频段具体频率范围为2.4～2.4835GHz的连续频谱，信道编号1～14。 HT20信道划分：信道带宽为20M，在该模式下，一般选取1、6、11三个不重叠信道，频率规划可用频点只有3个。 HT40信道划分：信道带宽为40M，受频率限制，只支持一个不重叠信道。 5.0GHz频段信道划分： 5.0G频段分配的频谱并不连续，主要有两段：5.15～5.35GHz、5.725GHz～5.85GHz。 HT20信道划分：不重叠信道在5.15～5.35GHz频段有8个，分别为36、40、44、48、52、56、60、64；在5.725GHz～5.85GHz频段有4个，分别为149、153、157、161。 HT40信道划分：在该模式下，这两段频谱的可用信道分别为4个和2个。 AP支持手动和自动两种方式设置工作信道。设置为自动方式后，一旦检测到信道冲突AP具有信道自动调整功能，建议AP采用自动设置工作信道方式，避免手动设置后一旦信道冲突将导致无法切换信道的问题。 信道自动扫描功能：采用信道自动扫描功能，自动探测周边的AP、使用的信道及干扰，结果上报AC，触发信道调整。 射频信道覆盖 WLAN信道规划需遵循两个原则：蜂窝覆盖、信道间隔。根据覆盖密度、干扰情况、选择2.4G/5G单频或双频覆盖。AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道，避免信号相互干扰；一般情况单独使用2.4G或5.0G的频段，对于会议室等高密度用户接入的场所，可以启用双频进行覆盖，以便提供更好的接入能力。 单频信道规划示意图 双频信道规划示意图 5.6、无线网络安全规划 无线设备安全 AP防盗：安装AP时安装防盗锁即可。 AP零配置：传统的FAT AP组网模式要求在AP上配置大量的业务参数，同时需要在AP本地保存这些业务配置信息，一旦设备丢失，AP的业务配置信息就可能被泄漏，形成网络的安全漏洞。FIT AP在设备上不保存业务配置，而是每次启动的时候从无线控制器动态加载业务配置，这样可以有效避免设备丢失造成配置泄漏。 当前FIT AP均能做到零配置。 无线IDS/IPS IDS——非法AP检测 非法AP主要指未经网络许可而非法部署的AP设备或者是对网络发起无线攻击的AP设备。 对于非法部署的AP设备，可以通过控制AP接入（基于MAC地址；基于设备名称SN等）来防止非法AP接入网络。 对于对网络发起无线攻击的AP设备，网络中合法部署的AP监听设备负责把监听到有攻击行为的无线设备上报给无线控制器，继而上报给网管。 部署建议： 对于非法部署的AP设备，由网络设备AC检测，启动相应功能即可。 这里主要给出对发起无线攻击的AP的监听部署方案以及对比情况，如0所示。可以根据实际网络要求进行取舍。 对发起无线攻击的AP的监听部署方案优劣势对比表 部署方式 优点 劣势 部署专职监听AP 实时监听网络，及时检测出非法AP 网络部署成本高 业务AP兼职监听AP 网络部署成本相对小 不能实时监听网络，无法及时检测到非法AP IPS----黑白名单 用户白名单功能：无线控制器支持静态配置白名单功能，该功能一旦启用，只有白名单上的无线用户才被认为是合法用户，其他非法用户的报文全部在AC上被丢弃，从而减少非法报文对无线网络的冲击。 用户黑名单功能：无线控制器通过配置方式或者实时检测侦听的方式来确定设备是否被加入黑名单，被加入到黑名单中的设备发过来的报文全部在AC上丢弃，从而减少攻击报文对无线网络的冲击。 部署建议：大中型园区网不建议部署，通过认证进行用户的合法检测即可。 5.7、QoS规划 WLAN QoS保证不同质量的无线接入服务之间的互通，满足实际应用的需求。 WLAN QoS规划图 如0所示，在企业园区中，常采用无线空口做WMM调度，有线侧进行优先级映射，园区网做DiffServ调度的方式，最大程度优化网络发生拥塞时的核心业务和VIP用户服务质量。在这里仅介绍WMM协议技术、优先级映射和流量管理技术。 流量管理 基于用户的流量管理 防止P2P业务占用带宽导致其他用户无法正常使用无线网络，比如校园网。 基于SSID的流量管理 防止某些SSID用户流量过大影响其他SSID用户的正常业务，比如访客SSID的流量控制。 无线空口做WMM调度 Wi-Fi多媒体标准WMM（Wi-Fi Multimedia）是一种无线QoS协议，无线空口上，WMM将数据报文通过4个优先级队列发送，每个优先级队列占用信道的机会不一样，从而保证语音、视频等应用在无线网络中有更好的质量。 WMM按照优先级从高到低的顺序分为AC（Access Category）-VO（语音流）、AC-VI（视频流）、AC-BE（尽力而为流）、AC-BK（背景流）四个优先级队列，保证越高优先级队列中的报文，抢占信道的能力越高。 WMM队列优先级 WMM队列 用户优先级（UP） Voice 6或7 Video 4或5 Best Effort 2或3 Background 0或1 优先级的映射 优先级映射包括：无线优先级到有线优先级的映射、无线优先级到CAPWAP隧道优先级的映射。 上行无线到有线报文优先级映射 AP接收到无线客户端发送的802.11（无线）数据报文后，将其转换为802.3（以太网）报文，然后向网络侧继续转发。对于本地转发，完成用户优先级UP到802.1P优先级映射；对于集中转发，再实现隧道优先级Tunnel-802.1P、Tunnel-TOS的映射。 下行有线报文到无线报文优先级映射 AP接收到802.3以太报文后，将其转换为802.11报文，并在空口上依据报文中的UP优先级选择不同的WMM队列发送给用户终端。对于本地转发，需要完成802.1P到UP优先级映射；对于集中转发，在AC上可实现TOS优先级到Tunnel-TOS映射，802.1P优先级到Tunnel-802.1P优先级映射。 5.8、可靠性规划 WLAN网络可靠性主要是网络的负载分担，分为AP负载分担和AC的负载分担。 AP负载分担 无线客户端一般会根据AP信号强度（RSSI）选择AP，这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于这些客户端共享无线媒介，导致每个客户端的网络吞吐将大量减少。AP负载分担可动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载，通过控制无线客户端接入的AP，来实现这些AP间的负载分担。 评估负载的方式有两种： 按照用户在线会话数 按照用户流量 当前AP负载分担策略是通过控制STA的接入实现负载均衡。当AP的负载情况超过阈值后，该AP就会拒绝新的终端的接入，此时终端将寻找负载较轻的AP进行连接，从而实现负载的均衡。 AC负载分担 AC负载分担即AP根据AC负载动态选择接入到负载轻的AC上去。 AC在响应报文（Discovery Response）中携带该AC负载信息（比如AC允许接入的最大AP数、当前接入的AP数、允许接入的最大STA数、当前接入的STA数），AP通过比较各AC的负载情况选择一个负载轻的AC接入。 通过CAPWAP隧道的心跳机制，AP可及时发现控制器Down，同时根据该方法重新选择一个负载轻的AC接入。 六、部署方案 本方案适用于小型园区网终端规模在100以下，例如微型企业或者办事处等场景。 园区网络拓扑示意图 园区一般采用出口、核心、汇聚融合的网络架构。使用AR集成AC，如AR1200等接入路由器。 微型园区网络部署推荐如下表所示： 园区中WLAN网络部署规划推荐配置 网络配置点 分类 推荐 备注 网络架构 FAT AP - - FIT AP √ - AC部署方式 集中式 √ - 分布式 - - AC部署位置 旁挂 - - 直路 √ - AC硬件形式 集成AC √ AR G3系列路由器集成AC 独立AC - - AP类型 AP6010SN（室内型，支持802.11a/b/g/n） √ 均可，根据实际需要 AP6010DN（室内型，支持802.11a/b/g/n） √ AP6510DN（室外型，支持802.11a/b/g/n） √ AC IP地址规划 静态分配 √ - 动态获取 - - AP IP地址规划 静态分配 - - 动态获取 √ - 用户IP地址规划 静态分配 - - 动态获取 √ - VLAN和SSID映射关系 1:1 - 根据布网实际需要 1:N - N:1 - N:N - DHCP Server位置 独立DHCP Server √ - AC上 - - AP发现AC形式 Option 43 √ 均可，根据实际需要 Option 15 √ 业务转发模式 独立转发 √ - 隧道转发 - - 认证方式 PSK认证 √ - 802.1x认证 - - Portal认证 - - 七、方案中主要产品介绍 7.1华为AP6010SN 性能增强级室内无线接入点 设备外观 AP6010SN-GN AP6010DN-AGN 美观化涉及，适用于企业级多业务场景，如教育、企业办公、机场、车站、以及零售业等大中型、中等密集场景； 采用最新一代2×2 MIMO的芯片涉及，绿色节能； 每射频最大速率可达300Mbps,内置天线； 规格简介 WiFi标准：满足IEEE 802.11b/g/n 工作频段：2.4GHz WiFi标准：满足IEEE 802.11a/b/g/n 工作频段：2.4GHz和5.8GHz 网络接口 上行：1个10/100/1000M电口，支持PoE供电 下行：遵循IEEE 802.11b/g/n标准， 最大（物理）比特率为300Mbps 上行：1个10/100/1000M电口，支持PoE供电 下行：遵循IEEE 802.11a/b/g/n标准， 最大（物理）比特率为600Mbps 维护接口 1、1个控制台端口：Console 2、1个设备锁接口：Lock 1、1个控制台端口：Console 2、1个设备锁接口：Lock 发射功率 20dBm(100mw) 20dBm(100mw) 天线类型 天线类型： 内置天线 天线类型： 内置天线 设备尺寸 180mm×180mm×50mm 180mm×180mm×50mm 工作环境 工作温度范围：－10℃～50℃ 工作湿度范围：10%～95%（非凝结） 工作气压范围：70kPa～106kPa 防护标准： 符合IP31要求 工作温度范围：－10℃～50℃ 工作湿度范围：10%～95%（非凝结） 工作气压范围：70kPa～106kPa 防护标准： 符合IP31要求 电源 支持外接电源适配器直流供电或POE供电两种供电方式： 1、当PoE供电和直流供电两种方式同时存在时，以直流电源为主供电电源，PoE供电为后备电源。 2、直流供电的外接电源适配器规格： 输入：100V～240VAC；50Hz～60Hz 输出：12V DC，2A 支持外接电源适配器直流供电或POE供电两种供电方式： 1、当PoE供电和直流供电两种方式同时存在时，以直流电源为主供电电源，PoE供电为后备电源。 2、直流供电的外接电源适配器规格： 输入：100V～240VAC；50Hz～60Hz 输出：12V DC，2A 7.2 华为AC6005 接入控制器 交换转发功能 属性 说明 以太网特性 Ethernet 支持全双工、半双工、自动协商工作方式 以太网接口可支持10M、100M、1000M和自协商速率 支持Jumbo报文 支持链路聚合 支持Trunk内各链路流量的负载分担 支持接口隔离、接口转发限制 支持广播风暴抑制 VLAN 支持Access、Trunk、Hybrid接入方式 支持Default VLAN MAC 支持MAC地址自动学习和老化 支持静态、动态、黑洞MAC表项 支持源MAC地址过滤 支持接口