某办公楼无线网络设计方案.docx

1、某办公楼无线网络设计方案某办公楼无线网络项目技术方案一、概述自Wi-Fi技术从上世纪末兴起至今，由于其部署简单、成本低廉的特点，因此短短几年间，就从技术发烧友和家庭用户的玩物，转变成商家竞相追逐的目标。市场调研公司ABI Research在其最新的一份研究报告中称，到2008年底之前，全球销售的Wi-Fi芯片组总数将突破10亿块大关。该公司估计，2012年全球Wi-Fi芯片组的年出货量将突破10亿块大关。在中国市场，Wi-Fi保持了高速增长的势头。目前国内已经具备了发展Wi-Fi的良好基础。首先，Wi-Fi技术在中国已有较广泛的认知度，在企业和热点环境中，Wi-Fi的使用也逐步增加。其次，中国

2、因特网用户数量全球排名第一，据估计，58%的用户都是通过宽带接入因特网，这预示了人们将对Wi-Fi产生浓厚的兴趣和使用的可能。因此，Wi-Fi联盟十分重视中国市场。而Wi-Fi技术也再次寄希望于与3G的融合补充，作为短距离传输，提供融入笔记本电脑和宽带的使用，满足中国越来越多的数字家庭应用。从的11Mbps，到的54Mbps，以及的300Mbps，速度的提升是用户对无线网络的最大渴求。 这意味着Wi-Fi无线网络不但可以实现前后兼容，而且能够与3G这样的无线广域网络相结合。另外，智能天线技术的应用从一定程度上解决了信号覆盖问题，通过多组独立天线组成的天线阵列系统动态调整波束的方向，能够保证让用

3、户接收到稳定的信号，并减少信号噪音的干扰。 对于现有的无线网络提供了良好的向下兼容性，不同系统的AP、终端都可以在平台上使用。并且这样的兼容不局限在b/g/n，还可以对应无线广域网，可以结合3G技术使用。尚未最终确立的标准同时也提供了可扩充性，新功能包括更好的兼容现存无线标准，还可能会支持蓝牙这样的无线技术，让最终用户的工作、生活更加方便。二、某办公楼网络现状及需求分析根据客户需求，在现有的结构上进行网络施工，解决楼宇内办工人员上网及内部网上办公，建立一个高效、灵活、快捷、安全、稳定的网络系统。在楼宇内主要区域需要有无线覆盖。新建的网络要保障高可用性，提供无线方式为主，有线方式为辅助的多种接入

4、结构。用户需要进行大面积的无线网络的室内覆盖，通过使用多个无线接入点设备（AP），所有无线用户可以实现Internet的接入，在能够完成日常使用的前提下，整个无线网络的设计还要保证用户信息的安全性及方便的管理维护。在办公大楼内安装无线访问点，该访问点可覆盖需要提供无线上网服务的区域，无线网络设备尺寸很小，安装时不影响室内的美观。当员工需要上网服务时，可以作为一个本地网络的用户自由地使用高速上网服务。有了无线网络，在办公室，会议室可以根据要求，提供多个无线的访问点，此时只要将笔记本电脑插上无线网卡，即刻随时随地网上办公，即时接入Internet传递信息和会议报道。无线网络的引入，使办公大楼开拓各

5、种新的服务成为可能。例如：来访客人只需一个笔记本就可以随时高速率访问Internet。 无线局域网系统的安装使公司员工及客户都可以非常方便和灵活地在楼内移动办公，无论是在会议室、办公室、楼道及楼内大厅都可以享受到无线网络的优越性。必将使安装了无线网络的办公大楼成为现代化星级办公大楼。三、WLAN网络设计原则为了确保建设一套完全符合用户需求并具有良好拓展性的优秀网络系统，以保护网络拥有者的投资，在本网络设计上严格按照以下无线网络设计原则进行设计： 先进性所选产品及其组网技术必须达到国际先进水平，并具备适当的技术前瞻性； 高性能所选产品硬件设计上严格依据业界同等技术最高性能标准进行设计；所选产品软

6、件开发必须采用优化的平台进行开发；所选产品必须经过严格的功能和性能测试，并达到标准； 高可用性提供多种故障恢复和冗余备份机制；提供各种网络负载分担机制；设备需具有一定程度的智能特性，以提高网络的可用性； 可管理性设备必须提供界面友好、易于操作的管理方式；为网络管理者提供多种易于使用的故障定位手段；对用户的接入提供灵活、安全的管理手段； 安全性必须对无线用户提供全面的安全接入保护能力；对无线网络中存在的不安全因素具有发现和告警（或抵御）机制； 可扩展性设备必须具备技术前瞻性和向后兼容性；组网灵活，易于扩展； 开放性设备功能研发尽可能遵循国际标准的协议；可根据客户应用需求开放必要的应用接口； 经济

7、性和实用性所选产品具有较高的性价比；在符合用户需求的前提下选择性能合适的产品。四、某办公楼WLAN网络设计方案办公楼无线网络拓朴图下面我们分别从网络架构、网络管理、网络安全及无线覆盖几个方面详细阐述本方案的设计思想：网络架构选择无线网络作为一项基础设施，其架构及技术是否合理将关系到投资者投资风险。采用不合理架构或不合理技术搭建的网络不具备良好的扩展性和技术前瞻性，将无法满足未来网络业务和规模扩展的需求，在未来网络规模和业务扩展时将使投资者面临重复投资的危险。为避免以上问题的发生，充分保护网络建设者的投资，本次网络设计我司推荐采用以傲天高性能WIFI无线交换技术理念为基础的傲天动联WLAN解决方

8、案。灵动WIFI业务流程灵动WIFI无线交换技术是由傲天动联公司独创的WLAN交换技术，它通过改进传统WLAN交换技术中不合理的数据转发模式并结合先进的软硬件设计理念实现。在传统的WLAN交换技术中，所有的数据流量都要集中到WLAN交换机或控制器处做统一的数据交换，因此，当网络中业务数据流量很大时，传统WLAN交换机或控制器的压力会急剧增大，并成为无线网络数据交换的瓶颈，极端情况下将使WLAN交换机或控制器无法正常工作，导致整个网络瘫痪。当前，主流的WLAN接入技术802.11g最快速率仅为54 M。因此，传统WLAN交换技术中的性能问题尚未充分暴露出来，而在不久的将来当下一代高速无线网络技术

9、大规模使用时，传统WLAN交换技术中的这一问题将会变得突出而无法解决。技术最高支持600M的接入速率，假设一个WLAN交换机或控制器在有200只 AP接入时，它的WLAN交换量以达到120G，这一数字远远超过目前绝大多数WLAN交换设备的最高处理能力。针对以上问题，傲天公司提出了灵动WIFI的技术理念，这一技术理念的核心思想是，用户管理数据与用户转发数据分离，受控数据与非受控数据转发分离，网络管理数据与网络业务数据分离。 针对不同的用户、不同的数据、不同的业务采取不同的控制策略，将非受控的数据流量采用本地转发的方式直接转发，而受控数据流量需流经WLAN交换机进行处理。这样大大减小了WLAN交换

10、设备的负荷，避免了WLAN交换设备成为网络中的瓶颈。由以上分析可知，通过采用基于灵动WIFI的技术理念的傲天动联WLAN解决方案，可以保证网络未来业务及规模的扩展。并且，事实证明基于灵动WIFI技术的傲天动联WLAN解决方案将成为下一代无线网络（）的完美解决方案。这将极大的保护了网络建设者的投资，减小了投资风险。 网络管理设计作为一个设计良好的网络，其应该是易于管理和维护，由此把网络管理者从繁重的管理维护工作中解放出来，并提高网络管理者的工作效率。本次网络设计中所采用的傲天动联无线解决方案及其设备，具有丰富的管理特性，可以极大减轻网络管理者对网络管理和维护的工作量。 集中式管理傲天动联无线控制

11、器和AP间采用业界标准的CAPWAP协议进行通讯，并由此实现对AP的集中管理和自动配置。通过使用该功能，无线控制器可将其所管理AP的软件版本及配置文件自动下载到AP上。这样，当在网络中增加新的AP、更换坏的AP或给网络中所有的AP软件版本升级时，网络管理者只需在无线控制器上进行统一操作即可轻松完成相应工作。这将极大的减轻网络维护人员的管理工作量。通过CAPWAP隧道实现AP零配置全中文网管软件傲天动联无线控制器内置图形化中文版的WEB界面网络管理软件，该网管软件界面友好、功能丰富、操作简单，使网络管理者能在最短的时间内掌握无线网络的基本配置和管理。另外，该网管软件还可以提供众多强大的管理功能，

12、其中包括AP的自动拓扑发现、自动升级、批量配置、分级管理、分级告警等，并可实现针对无线覆盖空间内的射频扫描、非法接入点监听等安全功能。并对设备提供实时性能数据的查看功能，使用户了解当前网络运行的基本情况和性能状态，从而预防网络事故的发生，预测网络运行状态，有助于用户对网络的管理运营进行合理的规划。图形化WLAN信息监控实时射频管理傲天动联无线控制器还将具有丰富的实时射频管理特性。届时，可通过射频功率和无线信道自动调整功能有效解决无线网络中存在的射频盲区覆盖问题和无线信道干扰问题。依赖这些功能，所部署的无线网络将具备更高的抗灾和自愈能力。射频功率自动调整以覆盖射频盲区（正常情况）射频功率自动调整

13、以覆盖射频盲区（发生故障）射频功率自动调整以覆盖射频盲区（调整后）网络负载均衡在WLAN网络中一个AP的覆盖范围内，无线连接的带宽是共享，即无线终端数目越多，每个终端所能分享的带宽就越小。采用傲天动联灵动WIFIWLAN解决方案的无线网络系统可在一个AP的覆盖范围内把无线用户或终端分散连接到附近的AP上。由此可以避免某个AP由于用户接入数过多，而产生性能瓶颈，并显著改善网络的性能，提高网络的可靠性。无线用户负载均衡网络安全设计基于对办公网络特点的分析和对无线网络建设的经验，傲天动联无线网络解决方案在用户安全、系统安全、数据安全等方面为网络提供多种无线接入安全特性，充分满足各种场所下无线数据安全

14、接入的需求。 用户安全本方案所选设备支持目前各种用户认证的方式（、WEB认证、MAC、SSID、VPN等），网络管理者可以根据需求方便的选择不同认证方式向用户提供安全的无线接入，并有效阻止非授权人员访问网络。同时，本方案所选无线接入点（AP）上还提供无线用户数据隔离功能，防止恶意用户通过无线网络访问其它用户的电脑。 系统安全 本方案所选设备提供对非法及恶意AP接入的检测和隔离、针对无线网络的DOS攻击防护、对无线终端的异常流量进行检测及报警等功能。 数据安全 本方案所选设备完全符合强健无线安全的要求，并提供包括WEP、WPA、WPA2在内的全面安全特性，满足不同用户的安全需求。无线覆盖设计需要

15、根据对办公楼实地现场工程勘察后，提出无线覆盖设计方案。 B1与1层覆盖设计1层办公区设计覆盖图根据我司设计经验，在上图7个点位部署AP设备，即可满足的1层办公区覆盖需求，覆盖区接收信号强度-70dBm。 2层覆盖设计2层办公区覆盖设计图根据我司设计经验，在上图10个点位部署AP设备，即可满足的2层办公区覆盖需求，覆盖区接收信号强度-70dBm。 3层覆盖设计结合我司设计经验，在3层办公区，如上图12个点位部署AP设备，即可满足办公区覆盖需求，确保此区域信号接收强度-70dBm。 14层覆盖设计根据我司设计经验，在4层办公区，如上图8个点位部署AP设备，即可满足办公区覆盖需求，确保此区域信号接收

16、强度-70dBm。五、设备选型综合上述的无线网络设计原则、各楼层AP布点情况及当今无线网络技术及其应用发展情况，对本无线网络设备选型如下：无线控制器/一体化交换机选型 汇聚层和接入层应用 全线速二三层数据交换 集中式WLAN交换部署 统一网管平台 基于硬件加密和内容检测的高安全特性产品概述AuteU4500系列交换机是一款全千兆智能安全一体化交换机，除提供基于硬件的全千兆L2/L3以太网数据线速转发外，还提供64台Fit AP管理能力及有线、无线一体融合的可视化网管，帮助用户快速构建有线、无线一体融合型智能网络。在网络安全方面，AuteU4500系列交换机设计上充分考虑用户网络的安全性需求，可

17、为用户提供包括用户安全接入、基于硬件的DPI、WIPS、基于用户角色的自动策略控制等多种安全应用及控制手段。产品特点有线无线一体化平台得益于业界领先的一体化融合设计理念，AuteU4500具备全特性的有线和无线交换能力。整机除提供全面的以太网业务处理能力，还可提供丰富的无线网络接入和管理特性。满足用户在有线网络上平滑扩展无线应用的需求。由此充分保护用户投资。经过优化的承载业务保证AuteU4500具备基于硬件的QoS调度队列及业务优化的QoS队列调度策略，可在不降低性能的情况下为各种复杂应用提供精细的服务质量保障。借助于AuteU4500强大的QoS功能，当网络出现拥塞时即可保障关键业务的正常

18、运行，同时也可为非关键业务提供良好的用户体验，充分满足用户网络多业务融合的应用需求。而精细到1K的带宽限速粒度，更可满足运营级网络对业务带宽控制的严格要求。统一网络管理基于一体化融合设计的傲天动联一体化交换机天然具备统一网管的特性。借助于设备内置的中英文可视化网管系统，用户可获得基于统一风格和操作习惯设计的有线、无线集成网管所带来的好处，有效帮助网络管理员以最高的效率完成设备的配置和维护工作。内置多种认证方式针对网络用户日益迫切的安全接入需求，AuteU4500提供丰富的安全接入特性。无论有线还是无线用户均支持MAC、Portal等多种接入认证方式。而为了防止来自于用户终端的不安全因素对网络造

19、成影响，AuteU4500还提供严格的用户准入控制策略。基于AuteU4500强大安全特性的保护，网络用户可随时获得良好的安全应用体验。硬件支持IPv6和演进AuteU4500继承了傲天动联业界领先的智能分布式WLAN交换特性，可为网络中的WLAN数据提供基于硬件级别的优化转发流程，并可有效避免由完全集中式WLAN交换架构所带来的性能瓶颈问题。从而为企业的网络部署提供最优解决方案。此外，AuteU4500还具备芯片级的IPv6支持特性，可对IPv6数据报文进行硬件级的高速转发，加速各种基于IPv6的业务处理能力。产品形态得益于业界领先的一体化融合设计理念，AuteU4500具备全特性的有线和无

20、线交换能力。整机除提供全面的以太网业务处理能力，还可提供丰富的无线网络接入和管理特性。满足用户在有线网络上平滑扩展无线应用的需求。由此充分保护用户投资。经过优化的承载业务保证AuteU4500具备基于硬件的QoS调度队列及业务优化的QoS队列调度策略，可在不降低性能的情况下为各种复杂应用提供精细的服务质量保障。借助于AuteU4500强大的QoS功能，当网络出现拥塞时即可保障关键业务的正常运行，同时也可为非关键业务提供良好的用户体验，充分满足用户网络多业务融合的应用需求。而精细到1K的带宽限速粒度，更可满足运营级网络对业务带宽控制的严格要求。统一网络管理基于一体化融合设计的傲天动联一体化交换机

21、天然具备统一网管的特性。借助于设备内置的中英文可视化网管系统，用户可获得基于统一风格和操作习惯设计的有线、无线集成网管所带来的好处，有效帮助网络管理员以最高的效率完成设备的配置和维护工作。内置多种认证方式针对网络用户日益迫切的安全接入需求，AuteU4500提供丰富的安全接入特性。无论有线还是无线用户均支持MAC、Portal等多种接入认证方式。而为了防止来自于用户终端的不安全因素对网络造成影响，AuteU4500还提供严格的用户准入控制策略。基于AuteU4500强大安全特性的保护，网络用户可随时获得良好的安全应用体验。硬件支持IPv6和演进AuteU4500继承了傲天动联业界领先的智能分布

22、式WLAN交换特性，可为网络中的WLAN数据提供基于硬件级别的优化转发流程，并可有效避免由完全集中式WLAN交换架构所带来的性能瓶颈问题。从而为企业的网络部署提供最优解决方案。此外，AuteU4500还具备芯片级的IPv6支持特性，可对IPv6数据报文进行硬件级的高速转发，加速各种基于IPv6的业务处理能力。产品型号 产品型号 物理接口 POE端口数 DPI特性 支持AP数 AuteU4524 出厂整机-auteU4524一体化交换机-24个10/100/1000Base-T(后4个为combo口)-最大支持64AP-交流电源-支持DPI特性0 - 64个 AuteU4524-P 出厂整机-a

23、uteU4524一体化交换机-24个10/100/1000Base-T(后4个为combo口)-最大支持64AP-交流电源-支持DPI特性-提供24个POE端口24 - 64个物理规格尺寸：440mm300mm 重量：存储温度：-2570C工作湿度：10-90无凝结工作温度：040C硬件规格插槽数量：2个扩展插槽物理端口 10/100/1000Base-T(电口） 1000Base-X（SFP光口）10/100/1000Base-T以太网端口：最多24个1000Base-X SFP端口：最多4个工作湿度：10-90无凝结电气特性工作电压：100-240VAC(10%)工作电流：50Hz/60H

24、z(3Hz)整机功耗：55W性能与容量集中控制AP数：64个Remote AP数量：512个无线用户数：1600整机吞吐量：48GbpsMAC地址表：16KVLAN数量：4K 主机IP表: 1K三层接口数：4K静态路由：1KRIP路由： 1KOSPF路由：10K组播组：1281000Base-X SFP端口：最多6个10/100/1000Base-T以太网端口：最多26个ACL/QoS及策略控制支持支持WMM与DSCP/TOS映射L2至L4报文的五元组ACL基于SSID的流分类与流策略基于角色/用户的流分类与权限控制每个端口8个优先级语音准入控制支持WRR、SP、WRR+SP队列调度1K粒度的

25、限速基于端口和基于流量的流量镜像基于、DSCP对报文进行着色、映射及remark用户接入与安全、MAC地址认证安全（WPA、WPA2）支持EAP-PEAP、EAP-TLS、EAP-TTLS同时支持内置Portal和外置Portal认证方式支持Radius认证、本地认证广播风暴抑制支持Radius Server切换与备份支持计费与认证分离端口安全与隔离用户黑白名单IP Source Guard无线用户二层隔离（单播和广播）深度包检测P2P、IM阻断；业务识别Wireless IDSARP攻击/欺骗防护CPU攻击防护DOS攻击防护无线集中控制与射频管理基于CAPWAP协议的集中式管理基于SSID的

26、智能转发模式选择SSID与VLAN绑定支持SuperG模式（108M）AP接入用户数限制基于MAC/IP用户限制SSID隐藏AP广播自动发现ACAP通过DNS发现ACAP通过DHCP option43发现ACAP自动配置下载集中控制AP自动升级自动信道和功率选择非法AP与AD-HOC网络检测与干扰基于用户的负载均衡满足二三层快速漫游网络与高级应用L2/L3有线数据线速转发基于端口的VLAN和的VLAN支持Private VLAN端口链路聚合（STP/RSTP/MSTP)IGMP SnoopingVRRP Based N+1 冗余备份支持静态路由支持RIP路由协议支持OSPF路由协议策略路由/路

27、由策略PPPoE/IPSEC/SSL透传支持SNAT、DNAT、NAPT内置DHCP Snooping内置DHCP Server内置DHCP Relay内置Portal Server/Proxy网络管理与维护基于用户角色的分级分权管理基于HTTP/HTTPS的WEB管理基于SSH/Telnet/Console的命令行管理支持SNMPv2和v3的远程管理标准MIBs和私有MIBs详细的Syslog日志文件支持NTP Server、Client可视化AP热点部署工具AP集中配置与自动升级详尽的无线客户端统计信息功能模块License管理设备告警与邮件通知电磁兼容及安全EMI特性：符合EN55022

28、 Class A、ETSI EN 300 386、CISPR 22 ClassA、GB9254 ClassA、IEC61000-3-2、IEC 61000-3-3 FCC ClassA、VCCI ClassAEMS特性：符合EN55024 、ETSI EN 300 386、CISPR 24、GB/T 17626、GB/T 17618、IEC 61000-4安全特性：符合EN 60950、UL 60950、CAN/ NO. 60950、GB 4943、IEC 60950、AS/NZS 60950产品规格物理规格尺寸：440mm300mm 重量：存储温度：-2570C工作湿度：10-90无凝结工作

29、温度：040C硬件规格插槽数量：2个扩展插槽物理端口 10/100/1000Base-T(电口） 1000Base-X（SFP光口）10/100/1000Base-T以太网端口：最多24个1000Base-X SFP端口：最多4个工作湿度：10-90无凝结电气特性工作电压：100-240VAC(10%)工作电流：50Hz/60Hz(3Hz)整机功耗：55W性能与容量集中控制AP数：64个Remote AP数量：512个无线用户数：1600整机吞吐量：48GbpsMAC地址表：16KVLAN数量：4K 主机IP表: 1K三层接口数：4K静态路由：1KRIP路由： 1KOSPF路由：10K组播组：

30、1281000Base-X SFP端口：最多6个10/100/1000Base-T以太网端口：最多26个ACL/QoS及策略控制支持支持WMM与DSCP/TOS映射L2至L4报文的五元组ACL基于SSID的流分类与流策略基于角色/用户的流分类与权限控制每个端口8个优先级语音准入控制支持WRR、SP、WRR+SP队列调度1K粒度的限速基于端口和基于流量的流量镜像基于、DSCP对报文进行着色、映射及remark用户接入与安全、MAC地址认证安全（WPA、WPA2）支持EAP-PEAP、EAP-TLS、EAP-TTLS同时支持内置Portal和外置Portal认证方式支持Radius认证、本地认证广播风暴抑制支持Radius Server切换与备份支持计费与认证分离端口安全与隔离用户黑白名单IP Source Guard无线用户二层隔离（单播和广播）深度包检测P2P、IM阻断；业务识别Wireless IDS