无线覆盖网络方案建议规划书.docx
《无线覆盖网络方案建议规划书.docx》由会员分享,可在线阅读,更多相关《无线覆盖网络方案建议规划书.docx(26页珍藏版)》请在冰点文库上搜索。
无线覆盖网络方案建议规划书
无线网络方案建议书
2018年6月12日
1方案概述
1.1项目背景
无线网络对比有线网络有着不受物理位置限制的便捷性优势,而随着移动互联网产业的兴起,用户对网络的使用习惯也产生了翻天覆地的变化,从最初的有线网络为主已经逐渐过渡为无线网络为主、有线网络为辅。
很多的笔记本电脑也不再设置有线网络接口,可见无线网络的发展之快。
贵公司在使用基础网络的同时,为了提升员工的网络使用体验,也急需建设一套覆盖范围广、网络速率高、体验良好的无线网络,这是员工对网络的切实的需求,也是企业信息化发展的一大步。
1.2项目建设目标
本项目的总体目标是建设企业内的全覆盖无线网络,设计符合公司的实际环境布局、楼体结构的无线信号无盲区覆盖,实现安全而便捷的企业网无线认证接入,提升办公网络使用体验,促进企业信息化管理和服务的发展。
具体建设内容包括:
●实现公司内所有室内区域的无线全覆盖;
●实现所有室区域的无线全覆盖,在室内信号无死角;
●建设有线无线一体化的认证平台,在保证企业网络安全性的同时提升用户的认证体验,在达到合适条件的情况下开启用户无感知认证,进一步提升认证体验。
●对无线网络进行有效的管理和全方位的优化,保证无线网络不仅可用,而且好用,提升信息化部门在企业内部的口碑。
1.3方案价值点
根据贵公司无线网络的需求,同时结合办公区实际部署环境,通过专业的无线勘测工程和对建筑工程图的解析来设计网络建设方案,方案需具有以下价值点:
1.无线覆盖无盲区、高性能
通过适应不同场景的不同部署方式,确保在各种环境下,各个目标空间的任意角落无线信号强度>-65dBm。
通过802.11n、802.11ac高速无线技术,在提供适合场景需要的的高无线性能,满足应用及终端使用需求。
2.认证系统更安全、更便捷
融合Web认证和802.1x,并与企业系统无缝对接,既安全又便捷。
采用无感知认证方式使得一次认证后续免认证,提高员工的无线体验。
采用二维码授权认证方式,让企业员工以及访客使用无线网络更加便捷、安全。
3.网络管理更全面、更简单
通过有线无线一体化管理,以及无线独有的热图、定位、频谱分析、无线探针等功能,以及可视化的良好展示,让网管非常高效易用。
4、网络优化更全面
通过专业化的无线网优工具wis,来提升无线网络整体的使用效果,对无线网络中存在的信号弱、漫游断线、关联不正常、认证不正常等现象进行诊断和排查,并一键修复。
2用户场景分析
2.1项目总体情况
此次网络建设是对公司办公区进行的无线全覆盖,包括如下区域:
一楼、二楼、三楼等。
要求完成全方位立体式无线覆盖,让员工们可以在这些区域随时随地、无拘束的连接到网络,员工可以依托无线完成各项办公事务,外来来宾可以顺畅的访问企业无线网络资源。
2.2无线地勘概况
根据对本次项目的实际场景进行地勘,相关情况如下:
1.建设结构不规则
本次部署中涉及到楼层与房间之间存在很多不规则的情况,对无线信号的覆盖带来较大的挑战,基本可以分为以下几种情况:
1)房间密集型
办公区域场景,通过地勘发现,墙体结构比较牢固,有实体墙、玻璃门,为了实现信号覆盖的无盲区,需要将无线AP的天线延长到各房间,信号到达房间内。
2)密集区域
同时还需根据实际地勘情况,区分哪些是密集人群办公区,哪些是稀疏的区域,针对不同区域进行针对性的部署,更加符合企业的实际情况。
2.人员分布不均匀
企业由于不同区域的用途各有不同,所以在不同区域的人员分布密度不均衡,导致部分区域的突发终端关联数、突发流量较高。
大致可以将不同场景归纳为高密度区域、普通区域、小房间。
其中高密度区域包括大会议室、大办公区、财务室等环境,此类环境由于员工办公等原因会有大量终端聚集和关联,给无线网络带来较大压力。
小房间通常为领导办公室、审计等小型场景,其终端数量不多,但是由于员工对网络有重度使用,所以也要保证每个小房间AP的性能。
2.3用户终端类型分析
随着信息化的迅速发展,移动终端的类型也越来越多,如笔记本、PAD、手机等对终端的性能要求越来越高,终端网卡类型由单流单频网卡、双流单频网卡到现在主流的双流双频网卡,如IPAD4、Ipone5s、三星GALAXY等都支持5G,为更好的分流,将尽可能支持5G的终端自动连接到5G射频卡上,来减轻2.4G的压力,即在企业办公无线网络时,当1台AP上连接人数较多时,最好使用双流双频的设备。
而802.11ac协议虽然是一个刚刚开发的协议,但是由于无线网络的迅猛发展,未来将有更多的终端支持802.11ac协议,所以AP最好选用支持ac协议的设备。
2.4无线体验关键影响因素
无线网络部署模式是无线网络规划建设首先需要考虑的因素,而关联成功率、网络时延等是无线网络规划建设成功与否的直接衡量指标,因为用户只关注无线终端是否可以一次性关联上无线网络,网络浏览时时延是否够小,为了满足用户关注的这两点,工程师在网络规划时需要关注以下几方面。
2.4.1关联成功率影响因素
大部分无线网络项目中终端关联成功率主要与以下两个因素相关:
1、为了保障无线用户的上网体验,一般网络规划时会限制单个AP、AC的接入用户数量,网络规划不合理时容易出现部分区域接入用户需求远远大于设备设置的允许接入用户数量,当接入用户达到设置上限时,新的未接入用户将无法关联无线网络;
2、无线控制器受到攻击或者网络中存在大量漫游用户时,需要消耗AC一定的CPU资源,当AC的CPU资源利用率较高时如利用率达到90%以上,将出现部分用户无法关联的情况;
2.4.2网络时延的影响因素
网络时延主要考虑无线部分造成的网络时延,假设企业有充足的出口资源,下面具体分析无线链路时延影响因素:
1、射频环境复杂:
无线网络是通过电磁波进行用户数据转发,发送端将数字信号进行调制转变为模拟信号,模拟信号通过电磁波传送到接收端,接受端对模拟信号进行解调转变为数字信号,当模拟信号发生较大变形或者“信号”较弱时都无法正确进行解调,因此引起模拟信号变形或者使“信号”衰减的因素都将成为网络时延的影响因素,常见的干扰因素有工作在2.4Ghz的非WLAN设备如微波炉、无线鼠标等,工作在2.4Ghz的WLAN设备、较大流量的隐藏节点等。
2、低速率节点较多:
无线射频环境中,同一信道在同一时间只能有一个节点进行数据的发送,如何网络中存在大量的低速率节点,在转发相同数据的情况下,低速率节点需要消耗更多的时间,影响该信道中其它终端的转发。
这就如单车道的马路一样,如果在行驶的车辆中存在一台拖拉机,将影响整条车道的通行能力。
3、单个AP承担的用户数量较多:
终端协商的速率代表终端转发数据的能力,但是终端首先需要获取转发数据的机会,由于每个AP的转发性能是一定的,因此单个AP(不考虑同频干扰的情况)携带的用户越多,每个终端获得转发数据的机会越小;同样携带的终端越多终端之间产生冲突的概率就越高,在一定程度上影响AP的整体转发性能。
4、过多的上行流量:
无线网络工作在单工模式下,AP在同一时间只能进行数据转发或者接收,如果无线用户大量使用迅雷等P2P软件,同时未对上传流量进行控制,那么该软件为其它用户共享流量时将会消耗大量的信道资源,造成下行数据延时增大的问题,因此在无线网络建设时需要严格控制无线用户的上行流量,同时对用户的P2P会话进行严格控制。
3项目需求分析
3.1无线信号覆盖
要求设一个高可用、高安全、高稳定、易使用、易管理、易扩展的无线企业网络与基础设施平台,通过支持最新一代的802.11ac标准,实现无线网络的无缝、高速覆盖,为网络资源的充分利用和共享提供强有力的保障,为企业的全面信息化奠定坚实的基础。
确保同一房间内同频干扰信号强度<-70dBm,提高整网吞吐性能,构建真正可用的无线网络。
具体要求:
对办公区域的全覆盖,要求室内信号强度至少达到-60dBm,室外任意角落至少-65dBm。
3.2无线接入性能
要求结合业务、终端、用户密度等方面的实际情况,完善基础设施,基本形成覆盖企业的高速无线网络。
具体要求:
采用802.11ac协议,整机提供1900Mbps接入速率,保证每终端带宽至少10M。
3.3无线接入认证
要求全面整合企业内各网络层认证平台的账号信息与认证方式;全面建立网络安全管理体系,包括全网安全与身份准入认证、WEB应用安全防护、并支持使用更为人性化的WEB认证。
要求支持基于用户的带宽保障与控制,无论用户在何处认证上网都可以根据其身份进行网络应用带宽的管理。
3.4无线网络安全
要求网络建设中充分考虑无线安全的特殊性,减少或避免信息泄露、干扰用户使用的各种问题风险。
具体要求:
1、与身份认证系统配合,保证接入用户的身份合法;
2、具有防代理功能,保证员工不会私接家用小型AP;
3、具有信道抢占功能,保证在受到无线信号干扰的情况下可以优先抢占无线信道资源。
.
3.5无线网络管理
为保障企业信息平台的稳定运行,通过功能齐全、管理科学的信息系统运维解决方案,以实现对企业的网络设备、服务器、安全产品等多种IT资源的状态和性能、关键业务系统的运行,能实现各IT资源的相互影响分析管理、统一的监控策略、统一告警策略、统一视图管理等功能,能提供完善的知识库,以支撑企业运维体系的建设。
遵循ISO20000标准,支持未来基于IT运维管理系统中的事件管理、配置管理、计划任务管理三大功能的扩展,形成统一的IT运维管理系统。
4典型无线部署场景架构设计
下面介绍一下企业网主要场景,针对这些场景,我们推荐的部署方案。
其中计费、流量管理的部署模式同传统模式没有太大的变化。
4.1.1无线接入认证场景
4.1.1.1特点、问题
1.无线技术的相对封闭性,同一区域,用户采购的AC和AP必须为统一厂商;
a)1X认证情况下,可使用同一套认证服务器同多家厂商AC对接;
b)PORTAL认证场景下,由于PORTAL认证无标准的方案,为了支持无线PORTAL认证,需要维护多套PORTAL服务器同不同厂商AC对接,或者协调服务器厂商针对各厂商AC定制化开发;故推荐AC与portal系统为统一厂家设备系统。
2.无线终端数量越来越多,且随时随地自动接入网络。
a)使用PORTAL认证,在用户密集的情况下,无意识连接到网络终端的HTTP报文“网络噪声”对认证设备的性能产生影响,可能出现用户长时间无法认证上线的现象。
4.1.1.2推荐部署方案
1.不同认证方式下的推荐部署方案
a)1X认证方式:
a.无线终端的网关终结在核心交换机上;
b.无线终端的认证终结在无线AC上;
c.具体的配置不再赘述;
b)PORTAL认证方式:
a.无线终端的网关/认证网关可以终结在核心交换机上(避免不同厂商多套PORTAL对接)
b.每个区域的AP(比如同一栋楼的AP)单独划分一个VLAN(主要为了满足定位的需求),并禁止同VLAN的STA内直接通讯;
c.价值点:
1.不同厂商AC环境下,无需多套PORTAL服务器,可兼容已有的AC部署环境;
2.借助核心交换机的高性能处理能力,在网络噪声密集的环境下确保合法用户的上线以及使用体验;
3.配合SAM实现无感知认证的部署,提升移动终端的使用体验;
2.IP地址规划:
考虑无线终端的可移动性,建议无线网络所有终端一个地址池,有效利用IP点地址,避免在某个区域无线终端聚集导致IP地址不足的情况出现;可选按区域细分网段的方式;同时利用supervlan的广播隔离技术来解决广播域过大的问题。
4.1.2办公认证场景
4.1.2.1特点、问题:
1.网络中心对于终端管理约束力较弱,存在特权用户;
2.办公室存在打印机等终端类型;
3.特殊业务部门接入,需要独立网段、同其他用户隔离的要求;
4.1.2.2推荐部署方案
说明
哑终端、特权用户的接入
采用MAC认证方式
免认证区域
将免认证区域划分到一个VLAN内,并将该VLAN配置为免认证VLAN
管理员认证后,区域内所有的用户可直接上线
将免认证区域划分到一个VLAN内,该区域通过一台三层交换机接入到这个VLAN下
管理员认证通过后,该区域所有用户无需认证,直接上线
特殊业务部门加入
需要同其他用户网段隔离的特殊业务部门,可单独分配一个SVI给此类部门,为其配置单独的网段
4.1.2.3ESS安全认证系统
1.支持与第三方身份中心的WindowsAD域服务联动,实现SMP认证上线。
2.支持与第三方身份中心的LDAP服务联动,实现SMP认证上线
5方案详述
依照总体框架,本次网络建设是企业无线网络新建。
需要进行建设的部分有无线网络核心、无线信号覆盖、无线网络安全认证等。
5.1网络建设模式
无线网络建设方式还处于评估阶段,本次方案规划参照自建网络模式。
5.1.1企业自建无线网络
企业自建无线网络按照与原有有线网络连接方式的不同可以分为两种方式:
纯无线网络、有线无线“融合”网络。
1、纯无线网络:
无线网络的承载链路、设备与原有有线网络物理隔离,原有网络规划对无线承载网络建设无任何限制,POE交换机与无线承载网络的核心交换机直接相连,AP网关推荐设置在核心交换机上,核心交换机与原有有线网络通过三层进行互联。
在纯无线网络中用户数据转发,既可以使用本地转发也可以使用集中转发的方式,推荐按照如下的方式选择数据转发模式:
本地转发:
单个AC上接入用户数量较多、AC压力较大CPU利用率较高、且不存在跨AC的层漫游时推荐采用本地转发模式;
集中转发:
单个AC上接入用户数量较少、AC压力较小CPU利用率较低时,或者无线企业网部署多台AC,用户可以在企业内进行漫游时推荐采用集中转发模式,由于集中转发相对本地转发维护更见简便,可以使用集中转发的场景优先考虑使用集中转发;
2、有线无线“融合”:
该模式一般将POE交换机连接在有线接入设备下,如果采用本地转发需要在原有有线设备上配置无线用户VLAN信息,可能需要对原有网络结构进行修改,同时也将增加管理人员的维护量,因此“融合”模式下推荐采用集中转发模式,在原有网络上只需要增加AP的管理地址段即可;
5.2全网拓扑设计
根据前述的网络需求分析、网络设计原则,以及总体架构的要求,设计全网拓扑图如下所示:
图51XX网络拓扑图
企业网汇聚通过千兆到无线poe接入交换机;接入交换机千兆到AP,办公区域等将同时实施无线覆盖的设计架构。
系统架构分为核心层、汇聚层、分布接入层。
并根据信息系统的具体情况,部署身份认证系统、全网安全管理系统,并实现对网络资源平台的统一管理。
5.3基础网络设计
本次项目建设涉及的地点,针对实际情况,基础网络平台建设如下:
5.4无线热点部署设计
建设无线网络,除了要满足员工容量的现状与未来几年内的发展之外,还需要根据无线网络自身的特点,为其设计规划一个与“有线无线网络融合、一体化管理、高带宽、大范围覆盖、安全可信”的无线覆盖网络,无线网络规划将从无线信道带宽保障、重点区域覆盖、安全可信、认证及网络管理充分融合等多方面综合考虑。
5.4.1无线覆盖指标要求
5.4.1.1无线覆盖信号
覆盖区域信号强度不低于-65dBm,信噪比SNR≥20。
业务使用较为集中区域的接入速率应不低于140Mbps。
室内分布系统天线的等效全向辐射功率≥7dBm。
室外分布系统天线、独立WLAN天线的等效全向辐射功率≥22dBm。
容量计算
当无线覆盖区域并发员工超过30个,需预先考虑每层分布系统按双路设计,待业务量发展后,考虑增加AP部署密度。
5.4.1.2工作频段与频点规划
依照WLAN的国际规范和国际无线电管理委员会的标准,WLAN无线设备的工作频段为2400-2483.5MHz,带宽83.5MHz,划分为14个子信道,每个子频道带宽为22MHz,最多有13个信道可用。
频道分配如下图所示:
图52无线频段
在多个频道同时工作的情况下,为保证频道之间不互相干扰,要求两个频道的中心频率间隔不能低于25MHz。
考虑参照北美标准设计的许多WLAN设备和终端(比如网卡)不能使用12、13信道做为员工信道,因此建议一般选用1/6/11信道。
部署双频点的无线接入点,802.11n工作在2.4GHz,802.11ac工作在5GHz频点;
Ø5.8GHz:
更多的频谱资源-数量较多的不冲突频点,更少的干扰(蓝牙、微波炉),从40MHz信道绑定(未来80Mhz信道绑定)获得最高的性能,802.11ac的客户端只有在5GHz频段上支持40MHz;
Ø2.4GHz:
采用2.4GHz频点,兼容原有的802.11a、b/g的客户端;不建议在2.4GHz频点使用40MHz信道绑定,大部分客户端不支持;避免了802.11a、b/g与802.11n混用,降低性能。
5.4.1.3覆盖效果计算
AP的信号总强度公式:
Gt-Gr+AP天线增益+终端天线增益=L信号总强度(dB)。
表51无线信号强度计算参数
AP部署空旷区域,20-25米远,笔记本无线接入
计算(基于dBm)
无线AP发射功率
100mW发射功率(高调制速率时发射功率会下降2-5db)
20
增项
室内定向发射天线增益12dBi
12
笔记本天线增益2dBi
2
减项
参考平均3米7D馈线损耗;
-10
一般情况:
由于天线不对正,不再主波瓣情况的调整
-5
2.4G/5.8G空间传播20米
-66/-74
(2.4G10米60dB,5.8G10米68dB,每1倍变化差6dB)
各种衰落/波动影响(室内、市区<15dB)
-15
根据较坏情况
接受电平RSSI=发射功率+增项+减项-(-95dBm)
33/25
计算的RSSI
RSSI为20以上可以实现满速率,RSSI为16是较好,RSSI为13是可以连接的,RSSI在5-10连接很不稳定
信号质量好可以达到满速率
5.5无线接入认证设计
5.5.1终端智能识别的WEB认证
无线网络在提供便捷网络服务的同时,仍需确保只有合法的用户才能使用无线网络。
WEB认证就是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证,是目前无线主流的认证方式之一。
而且随着近年来iPhone、iPad、Android、WindowsPhone等各种智能能移动终端的日益普及,网络中不再是清一色的笔记本电脑终端。
一个智能的无线网络,必须能够考虑到不同的终端类型、屏幕尺寸对Portal认证页面的不同要求,实时地对各种终端类型进行识别,并推送符合终端屏幕尺寸的WEBPortal页面,使用户能够更为便捷的输入用户名及密码,提升无线用户体验。
锐捷网络的无线控制器不仅支持终端自动识别功能和WEBPortal页面推送,而且推送的认证页面还可以根据用户自定义放置一些广告、通知、业务链接等,提供更多个性化服务。
若配合锐捷SMP认证服务器还可实现基于终端类型的角色、访问权限的划分等,帮助网络运维人员实现更为精细化的无线用户管理。
图54自适应认证页面
5.5.2基于802.1X的无感知认证
IEEE802.1X协议是一种基于端口的网络接入控制协议,主要目的是为了解决无线用户的接入认证问题。
对于基于802.11系列标准的无线局域网,通过对无线用户的身份验证,无线网络可以打开或关闭无线终端接入的接口,同时还可以根据其身份属性,为其分配动态角色和VLAN,确保用户终端接入的安全性。
在安全性上,WEBPortal认证不提供密钥的生成和交换机制,因此所有的用户流量都是以明文方式传输的,容易被截获和侦听;802.1X(WPA2-AES)符合802.11i安全标准,在用户认证的基础上,对每个报文采用不同的密钥进行逐包加密,具有更高的安全性。
在便捷性上,WEBPortal认证直接通过浏览器输入用户名及密码,整个操作过程较为简单快捷;普通的802.1X认证一般需要安装认证客户端或对操作系统原生认证客户端进行配置等,操作过程较为复杂,用户体验相对较差。
为了保证无线用户接入同时具有较高安全性和便捷性,锐捷网络在BYOD(Bringyourowndevice)解决方案中提出了基于802.1X的无感知认证技术,用户只需要在第一次认证中安装一个快速1X配置助手,并完成首次用户名及密码的输入,以后无线终端只要发现无线信号,就会自动进行802.1X的接入认证并连接无线网络,真正实现“一次登陆,三步操作,后续无忧”,带给用户最佳的使用体验。
图55步骤1:
连接无感知认证的SSID后选择1X快速配置助手
图56步骤2:
确认运行快速配置助手
图57步骤3:
输入完后用户名和密码后,即可访问WLAN
图58手机无感知认证过程
5.5.3访客二维码认证
如果举办大型的学术交流会议,将接待来访的嘉宾,并需为其提供快捷的无线上网服务。
而传统的无线网络一般会在会议室、礼堂、大厅等访客接待区域启用一个基于PSK认证的WLAN,并在可视区域贴放这个WLAN对应共享密码,访客的体验也是较为麻烦,不友好等,而且这个密码极易扩散,网络安全得不到保证,网络运维人员需定期的更换这个WLAN的密码和对应的标贴,极大的增加网络运维难度。
图59传统WLAN提供的密码标贴
锐捷网络提出了更为先进的访客接待解决方案——二维码认证。
Ø访客使用移动智能终端访问无线网络后,锐捷网络的认证系统将生成专用的二维码推送到访客的终端上,如图5-10步骤1。
Ø负责接待的员工使用自己的已认证通过的合法终端对访客的二维码进行扫描并自动反馈到认证系统,如图5-10步骤2。
Ø认证系统记录下访客和对应接待者的身份信息并确认临时开户,访客和接待者收到反馈后即可直接访问网络,如图5-10步骤3。
仅需“扫一扫”就可便捷的为访客提供无线网络服务,这是无线认证技术为提供用户体验的又一次创新。
图510二维码认证过程
5.6无线安全技术设计
通常情况下,安全认证工作由网关类设备完成,对于XX部署的无线网络,作为企业网的一部分,必须确保接入改网络用户的合法性。
由于无线信号的公开性,采取传统的网关认证的模式,将所有的认证数据集中在网关设备进行,只能限制员工访问数据经过认证网关的情况,而对于不经过认证网关的企业网访问无法起到有效的阻止作用。
1.员工数据加密安全
锐捷网络智分型AP通过WEP、TKIP和AES加密技术,为接入企业提供完整的数据安全保障机制,确保无线网络的数据传输安全。
2.虚拟无线分组技术
通过虚拟无线接入点(VirtualAP)技术,整机可最大提供16个ESSID,支持16个802.1QVLAN,网管人员可以对使用相同SSID的子网或VLAN单独实施加密和隔离,并可针对每个SSID配置单独的认证方式、加密机制等。
3.标准CAPWAP加密隧道确保传输安全
锐捷网络无线AP接入点与锐捷网络无线控制器以国际标准的CAPWAP加密隧道模式通信,确保了数据传输过程中的内容安全。
4.射频安全
在锐捷网络一体化网管系统RG-SNC、RG-WS系列无线控制器产品的配合下,智分型AP可启用射频探针扫描机制,实时发现非法接入点、或其它射频干扰源,并提供相应的告警,使网管人员可随时监控各个无线环境中的潜在威胁和使用状况。
5.ARP欺骗的防护
ARP检测功能有效遏制了网络中日益泛滥的ARP网关欺骗和ARP
升级会员 