3.無線網(wǎng)絡(luò)解決方案設(shè)計(jì)

3.1 無線網(wǎng)絡(luò)總體架構(gòu)

在傳統(tǒng)無線網(wǎng)絡(luò)建設(shè)中，有一個(gè)始終令網(wǎng)管人員感到頭痛的問題，那就是對(duì)AP的管理、監(jiān)控以及AP自身固件的升級(jí)。由于傳統(tǒng)AP是一種稱作為“FAT AP”，即自身需要有相應(yīng)控制軟件以及獨(dú)立的配置才能運(yùn)行，而由于AP是一種接入層設(shè)備，數(shù)量較多，且由于工廠網(wǎng)絡(luò)的復(fù)雜性以及業(yè)務(wù)的多樣性，導(dǎo)致需要根據(jù)各“熱點(diǎn)”區(qū)域進(jìn)行相應(yīng)配置，并且還需要網(wǎng)管員對(duì)這些特殊配置進(jìn)行記錄，以方便日后維護(hù)；此外，在日常運(yùn)行中，還需要了解這些數(shù)量眾多AP的工作狀態(tài)及性能等數(shù)據(jù)，而一般AP管理工具功能太過簡單，如果采用有線網(wǎng)絡(luò)網(wǎng)管軟件，由于沒有很好的對(duì)無線網(wǎng)絡(luò)做相應(yīng)的開發(fā)與支持，從而不能很好的管理無線網(wǎng)絡(luò)。

因此，我方結(jié)合富士達(dá)工廠無線網(wǎng)絡(luò)需求情況,本設(shè)計(jì)方案按照 漢明科技和 Motorola(摩托羅拉科技) AP+AC的結(jié)構(gòu)化無線網(wǎng)絡(luò)解決方案進(jìn)行設(shè)計(jì)。整體框架基于瘦AP方式部署，采用AC（無線控制器）對(duì)AP進(jìn)行集中管理、控制、配置策略的下發(fā)，以及對(duì)接入終端的認(rèn)證、數(shù)據(jù)分布式/集中式轉(zhuǎn)發(fā)、漫游等功能，操作和維護(hù)工作只需要在AC上進(jìn)行即可。在該架構(gòu)中，AP只負(fù)責(zé)無線信號(hào)的收發(fā)，不作MAC層及其以上的協(xié)議層處理，所有的智能工作都由AC完成。

圖3-1 網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D

漢明科技和 Motorola(摩托羅拉科技)基于瘦AP+AC架構(gòu)方案的優(yōu)勢在于：

1. 無縫漫游：通過 AC無線控制器管理，所有的AP均稱為瘦AP模式，可以實(shí)現(xiàn)無縫漫游，即所有AP覆蓋范圍內(nèi)，兩地之間自動(dòng)切換WIFI信號(hào)，不會(huì)產(chǎn)生斷網(wǎng)和數(shù)據(jù)丟失。

2. 集中式轉(zhuǎn)發(fā)：AC管控設(shè)備可強(qiáng)制使所有無線數(shù)據(jù)經(jīng)過AC進(jìn)行安全過濾，再轉(zhuǎn)發(fā)到主干網(wǎng)絡(luò)，這樣有利于數(shù)據(jù)的集中管控，提高網(wǎng)絡(luò)安全性。

3. 零配置：通過在AC管控設(shè)備部署好無線策略，所有的AP設(shè)備無需單獨(dú)進(jìn)行設(shè)置，直接接入網(wǎng)絡(luò)即可自動(dòng)獲得配置信息，極大的便于管理和維護(hù)。

4. 負(fù)載均衡：兩個(gè)AP設(shè)備共同覆蓋的區(qū)域，當(dāng)其中一個(gè)AP接入用戶數(shù)較多，AC可自動(dòng)進(jìn)行調(diào)控，轉(zhuǎn)移部分用戶到另一個(gè)A P，分減負(fù)擔(dān)，達(dá)到更好效果。

3.2 無線網(wǎng)絡(luò)功能設(shè)計(jì)

1.零配置/即插即用功能：AP上不需要進(jìn)行任何配置，只要接入到網(wǎng)絡(luò)就可以工作；

2.軟件自動(dòng)升級(jí)功能：AP的軟件完全實(shí)現(xiàn)自動(dòng)升級(jí)；

3.批量配置功能：對(duì)連接到無線控制器的眾多AP進(jìn)行批量配置；

4.動(dòng)態(tài)信道分配功能：無線控制器可以為AP自動(dòng)分配信道，并在受到干擾時(shí)切換到最優(yōu)信道；

5.自動(dòng)發(fā)射功率調(diào)整功能：AP發(fā)生故障后，鄰居AP可以提高自身功率，以彌補(bǔ)覆蓋空洞；

6.網(wǎng)絡(luò)負(fù)載分擔(dān)功能：既可以實(shí)現(xiàn)用戶在不同AP下的負(fù)載分擔(dān)，也可以實(shí)現(xiàn)AP在不同無線控制器下的負(fù)載分擔(dān)；

7.快速切換功能：用戶在同一無線控制器的不同AP之間漫游時(shí)，可以大大提高切換速度，切換時(shí)延只有8~9毫秒；

8.跨區(qū)組網(wǎng)功能：對(duì)于分散在不同區(qū)域的AP依然可以通過城域網(wǎng)連接到無線控制器，而且AP無需任何配置；

9.跨IP子網(wǎng)漫游功能：無線工作站無需作任何改動(dòng)，可以在不同的IP子網(wǎng)進(jìn)行無縫漫游；

3.3機(jī)房和供電管理

在中心機(jī)房通過AC管理器旁接到核心交換機(jī)，這樣就可以管理所有接入網(wǎng)絡(luò)的AP設(shè)備，監(jiān)測運(yùn)行狀態(tài)、配置下發(fā)策略、自動(dòng)調(diào)控等。同時(shí)對(duì)所有經(jīng)過AP的WIFI數(shù)據(jù)，進(jìn)行集中式轉(zhuǎn)發(fā)，整體過濾。

所有無線AP設(shè)備，在工廠環(huán)境下，不宜接入電源適配器供電，均采用網(wǎng)線來進(jìn)行供電，所以，需在機(jī)房加設(shè)POE供電交換機(jī)。由于每層樓的弱電系統(tǒng)的走線，都匯聚到樓層弱電間，故建議每樓層弱電間加設(shè)POE交換機(jī)，根據(jù)需求，可分別加設(shè)8口、16口、和24口交換機(jī)。

3.3 無線網(wǎng)絡(luò)安全性設(shè)計(jì)

WLAN利用了不可見的公用媒介進(jìn)行空中信號(hào)傳播，安全問題是部署無線的巨大挑戰(zhàn)。無線網(wǎng)絡(luò)的安全性設(shè)計(jì)體現(xiàn)在接入認(rèn)證、數(shù)據(jù)加密、安全策略三個(gè)層面。接入認(rèn)證實(shí)現(xiàn)對(duì)接入無線網(wǎng)絡(luò)的終端和用戶進(jìn)行接入合法性檢查；數(shù)據(jù)加密對(duì)終端和AP之間的數(shù)據(jù)進(jìn)行加密處理，防止竊聽；安全策略采用用戶隔離、SSID隱藏、MAC地址過濾等技術(shù)手段抵御惡意用戶的攻擊行為。

3.3.1.接入認(rèn)證方案設(shè)計(jì)：

AP產(chǎn)品支持MAC地址認(rèn)證、預(yù)共享密鑰認(rèn)證、802.1X認(rèn)證、portal認(rèn)證。如果用戶網(wǎng)絡(luò)中已包含ruidius認(rèn)證服務(wù)器，我們建議用戶采用802.1x認(rèn)證或portal認(rèn)證方式實(shí)現(xiàn)對(duì)接入用戶的準(zhǔn)入。也可以在用戶現(xiàn)有網(wǎng)絡(luò)認(rèn)證系統(tǒng)的基礎(chǔ)上進(jìn)行擴(kuò)展，把無線系統(tǒng)的接入控制加入到現(xiàn)有認(rèn)證系統(tǒng)中，實(shí)現(xiàn)用戶網(wǎng)絡(luò)認(rèn)證系統(tǒng)的統(tǒng)一性和完整新。

802.1x認(rèn)證是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議，該技術(shù)也是用于WLAN的一種增加網(wǎng)絡(luò)安全的解決方案。當(dāng)客戶端與AP關(guān)聯(lián)后，是否可以使用AP提供的無線服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果客戶端能通過認(rèn)證，就可以訪問WLAN中的資源；如果不能通過認(rèn)證，則無法訪問WLAN中的資源。

Portal認(rèn)證也稱為Web認(rèn)證，一般將Portal認(rèn)證網(wǎng)站稱為門戶網(wǎng)站。未認(rèn)證用戶接入wlan后上網(wǎng)時(shí)，打開瀏覽器，portal網(wǎng)關(guān)設(shè)備將強(qiáng)制用戶登錄到特定站點(diǎn)，提示用戶輸入用戶名和密碼，只有認(rèn)證通過后才可以使用互聯(lián)網(wǎng)資源。

若用戶現(xiàn)有網(wǎng)絡(luò)系統(tǒng)中無完整、統(tǒng)一的認(rèn)證系統(tǒng)，可以采用較為簡便的PSK預(yù)共享密鑰認(rèn)證，PSK認(rèn)證需要在無線客戶端和設(shè)備端配置相同的預(yù)共享密鑰，如果密鑰相同， PSK接入認(rèn)證成功；如果密鑰不同，PSK接入認(rèn)證失敗。

3.3.2.數(shù)據(jù)加密方案設(shè)計(jì)：

采用漢明科技獨(dú)有的E-CARD專利技術(shù)對(duì)AP與終端之間的數(shù)據(jù)進(jìn)行加密。

漢明科技除了支持WIFI通用的安全策略和中國標(biāo)準(zhǔn)的WAPI安全標(biāo)準(zhǔn)外，還發(fā)明了《一種基于E-CARD的加密保護(hù)方法》、《一種用戶和無線點(diǎn)之間的專有加密保護(hù)方法》、《一種基于心跳的WLAN網(wǎng)絡(luò)資源防盜方法》三個(gè)關(guān)于WIFI的安全專利。其中，E-CARD加密保護(hù)方法在提高數(shù)據(jù)加密等級(jí)的基于上，對(duì)數(shù)據(jù)加密性能和效率進(jìn)行了極大的優(yōu)化。本方案中，AP與終端設(shè)備之間采用E-CARD技術(shù)進(jìn)行加密。采用E-CARD技術(shù)對(duì)全網(wǎng)數(shù)據(jù)進(jìn)行機(jī)密保護(hù)。由于采用漢明獨(dú)有專利技術(shù)，使得對(duì)加密數(shù)據(jù)的破解更為不可能。

3.3.3.安全策略方案設(shè)計(jì)：

1.隱藏SSID，不主動(dòng)廣播SSID信息，終端采取主動(dòng)尋找方式進(jìn)行接入，可以防范外來用戶使其無法搜索到該SSID的信號(hào)，故也無法接入。

2.MAC地址過濾功能，只有特許的mac對(duì)應(yīng)的wifi終端才能接入。

3.用戶隔離功能，接入同一SSID的用戶之間二層隔離，保障二層安全，避免ARP攻擊、DHCP餓死攻擊、廣播風(fēng)暴等二層攻擊行為。

3.4 無線網(wǎng)絡(luò)管理框架設(shè)計(jì)

在傳統(tǒng)無線網(wǎng)絡(luò)建設(shè)中，有一個(gè)始終令網(wǎng)管人員感到頭痛的問題，那就是對(duì)AP的管理、監(jiān)控以及AP自身固件的升級(jí)。由于傳統(tǒng)AP是一種稱作為“FAT AP”，即自身需要有相應(yīng)控制軟件以及獨(dú)立的配置才能運(yùn)行，而由于AP是一種接入層設(shè)備，數(shù)量較多，且由于酒店網(wǎng)絡(luò)的復(fù)雜性以及業(yè)務(wù)的多樣性，導(dǎo)致需要根據(jù)各“熱點(diǎn)”區(qū)域進(jìn)行相應(yīng)配置，并且還需要網(wǎng)管員對(duì)這些特殊配置進(jìn)行記錄，以方便日后維護(hù)；此外，在日常運(yùn)行中，還需要了解這些數(shù)量眾多AP的工作狀態(tài)及性能等數(shù)據(jù)，而一般AP管理工具功能太過簡單，如果采用有線網(wǎng)絡(luò)網(wǎng)管軟件，由于沒有很好的對(duì)無線網(wǎng)絡(luò)做相應(yīng)的開發(fā)與支持，從而不能很好的管理無線網(wǎng)絡(luò)。

而采用漢明科技無線整體解決方案架構(gòu)下的無線網(wǎng)絡(luò)，AP是一種被稱作“THIN AP”的結(jié)構(gòu)，由于AP本身沒有任何需要配置的參數(shù)，同時(shí)AP與中心無線控制器之間采用CAPWAP協(xié)議進(jìn)行通信，AP的固件、配置信息均由中心的POE交換機(jī)提供，并且AP與漢明科技無線交換之間采用“心跳”機(jī)制定時(shí)保持通訊，為了解決傳統(tǒng)“FAT AP”能夠集中管理、配置、升級(jí)AP；AP與漢明科技無線控制器之間采用“心跳”機(jī)制，定時(shí)保持通訊，無線控制器能夠非常及時(shí)的了解AP的工作狀態(tài)。

集中式無線網(wǎng)絡(luò)管理方案大大提高了用戶對(duì)網(wǎng)絡(luò)系統(tǒng)的易維護(hù)性，在AC上實(shí)現(xiàn)對(duì)所有AP、接入用戶的狀態(tài)監(jiān)視、配置管理，遠(yuǎn)程操作等。AC設(shè)備集成DHCP服務(wù)、RADIUS認(rèn)證服務(wù)、PORTAL認(rèn)證服務(wù)，為客戶提供統(tǒng)一的管理界面。瘦AP和無線控制器系統(tǒng)有非常強(qiáng)大的集中管理功能，所有的關(guān)于無線網(wǎng)絡(luò)的配置都可以通過配置無線控制器器統(tǒng)一完成。例如開通、管理、維護(hù)所有AP設(shè)備以及移動(dòng)終端，包括無線電波頻譜、無線安全、接入認(rèn)證、移動(dòng)漫游以及接入用戶等所有功能。漢明科技AC產(chǎn)品為Web圖形化界面設(shè)計(jì)，提供友好、簡捷的人機(jī)界面，方便用戶維護(hù)、管理。

3.5 WLAN頻率規(guī)劃

WLAN 802.11b/g/n工作在2.4GHz頻段，頻率范圍為2.400～2.4835GHz，共83.5M帶寬，劃分為13個(gè)子信道，每個(gè)子信道帶寬為22MHz。子信道分配如下圖所示。

AP頻段示意圖AP頻段示意圖AP頻段示意圖

在使用2.4GHz頻點(diǎn)時(shí)，為保證信道之間不相互干擾，要求兩個(gè)信道之間間隔不低于25MHz。在一個(gè)覆蓋區(qū)內(nèi)，最多可以提供3個(gè)不重疊的頻點(diǎn)同時(shí)工作，通常采用1、6、11三個(gè)頻點(diǎn)。WLAN頻率規(guī)劃需綜合考慮建筑結(jié)構(gòu)、穿透損耗以及布線系統(tǒng)等具體情況進(jìn)行。

AP頻段示意圖（同一樓層使用3個(gè)AP）

AP頻段示意圖2（三個(gè)樓層AP部署頻段）

3.6 無縫漫游設(shè)計(jì)

在wifi網(wǎng)絡(luò)中，用戶終端通過關(guān)聯(lián)AP廣播的SSID進(jìn)行wifi接入。移動(dòng)漫游過程中，用戶終端會(huì)對(duì)關(guān)聯(lián)的AP進(jìn)行切換，在切換過程總，不可避免的將發(fā)生“切斷上一個(gè)連接、關(guān)聯(lián)下一個(gè)連接”的過程，導(dǎo)致用戶上網(wǎng)體驗(yàn)中斷和業(yè)務(wù)丟包現(xiàn)象。

本方案中，基于漢明科技獨(dú)有的HACIP無縫漫游切換技術(shù)，使AP間漫游切換時(shí)間<30ms,確保無線客戶端在移動(dòng)中也能不中斷網(wǎng)絡(luò)服務(wù)。在漫游區(qū)間內(nèi)，不同的AP廣播同一個(gè)SSID，且都?xì)w屬于一個(gè)相同的vlan。這樣，用戶在漫游過程中，由于關(guān)聯(lián)的始終為同一個(gè)SSID，且用戶始終處于同一個(gè)VLAN，使得用戶無需重新獲取IP地址進(jìn)行重認(rèn)證，大大減小漫游切換時(shí)間。在整個(gè)WLAN覆蓋區(qū)域內(nèi)，終端用戶跨房間，跨樓層都能保證用戶網(wǎng)絡(luò)暢通，徹底消除了在胖AP模式下，由于移動(dòng)導(dǎo)致掉線后，還需要重新認(rèn)證的煩惱。

AP間WIFI信號(hào)漫游示意圖

基于HACIP技術(shù)的漫游切換過程

用戶在AP1的范圍內(nèi)，通過AP1與網(wǎng)絡(luò)進(jìn)行連接，當(dāng)用戶處于AP1與AP2交叉范圍內(nèi)時(shí)，用戶在與AP1連接的同時(shí)，與AP2做好連接的準(zhǔn)備，當(dāng)用戶到達(dá)AP2的范圍時(shí)，通過AP2與網(wǎng)絡(luò)進(jìn)行連接,用戶感覺不到AP的切換造成的網(wǎng)絡(luò)中斷現(xiàn)象。

漢明科技HACIP快速漫游切換技術(shù)特點(diǎn)如下：

1 無線漫游過程對(duì)無線終端而言透明化

2 無線終端漫游過程中,IP地址和TCP連接保持不變，不影響用戶的上網(wǎng)過程

3 漫游切換過程小于30ms

4 漫游過程中，無線終端不改變ip地址，無需重新認(rèn)證