無線覆蓋解決方案

1、-XXXX 辦公大樓無線覆蓋解決方案2016 年 4月-無線覆蓋方案建議書目錄1需求概述 .32辦公大樓總體規(guī)劃42.1辦公大樓無線建設(shè)原則42.2辦公大樓無線建設(shè)目標(biāo).6無縫覆蓋6安全性 .6擴(kuò)展性 .6高性能 .7可管理 .73銳捷無線網(wǎng)絡(luò)總體架構(gòu)設(shè)計83.1基礎(chǔ)網(wǎng)絡(luò)技術(shù)選型83.2基礎(chǔ)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計83.3整體網(wǎng)絡(luò)拓?fù)湓O(shè)計9核心層設(shè)計10接入層設(shè)計10無線網(wǎng)絡(luò)設(shè)計114網(wǎng)絡(luò)安全設(shè)計134.1無線接入認(rèn)證設(shè)計13終端智能識別的WEB 認(rèn)證13基于 802.1X 的無感知認(rèn)證13訪客二維碼認(rèn)證 .14用戶短信自助注冊認(rèn)證144.2無線安全技術(shù)設(shè)計14I-無線覆蓋方案建議書5銳捷無線方案特點和優(yōu)

2、勢165.1X-SPEED 大幅提升干擾環(huán)境下的用戶體驗165.2業(yè)務(wù)流量全面分流的本地轉(zhuǎn)發(fā)架構(gòu)175.3基于用戶、流量、頻段的智能負(fù)載均衡.175.4靈活便捷的訪客系統(tǒng)185.5逐級深入的安全防護(hù)195.6堅若磐石的可靠網(wǎng)絡(luò) .205.7全面支持IPV6 的無線網(wǎng)絡(luò)20II-無線覆蓋方案建議書1 需求概述XXXX 辦公大樓無線網(wǎng)絡(luò)建設(shè)需要重點考慮兩個方面：客戶服務(wù)的信息化、內(nèi)部管理的信息化。通過該無線系統(tǒng)為員工提供周到、便捷、舒適、稱心的服務(wù)，同時提升辦公大樓內(nèi)部管理、運營效率，降低運作成本。辦公大樓無線網(wǎng)絡(luò)的建設(shè)有以下幾個關(guān)鍵難題：1、辦公大樓的無線網(wǎng)絡(luò)涉及多個系統(tǒng)，但各個系統(tǒng)相互獨立，不

3、能有效配合；辦公大樓方希望可以提供一套完整的辦公大樓無線信息化解決方案，簡化部署，降低投資成本。2、辦公大樓面積大且結(jié)構(gòu)復(fù)雜，客戶希望無線信號能無盲點覆蓋，并且考慮到客戶感受，要求無線設(shè)備及天線不能外露。3、辦公大樓 IT 運維復(fù)雜，辦公大樓運營后如何有效保障網(wǎng)絡(luò)的正常運行，快速定位網(wǎng)絡(luò)故障。3-無線覆蓋方案建議書2 辦公大樓總體規(guī)劃2.1 辦公大樓無線建設(shè)原則在辦公大樓無線網(wǎng)絡(luò)的實際應(yīng)用中，無線網(wǎng)絡(luò)的性能卻無法滿足實際業(yè)務(wù)的承載需求，主要表現(xiàn)有：1.很多辦公大樓處于成本的考慮，采用了基于胖AP 的無線網(wǎng)絡(luò)架構(gòu)，雖然成本低廉，但無論是配置、維護(hù)還是故障處理都需要處理大量的重復(fù)工作，運維效率高，

4、故障延遲大，影響到客人無線上網(wǎng)；無線網(wǎng)絡(luò)部署后，覆蓋區(qū)內(nèi)信號干擾源多，對無線網(wǎng)絡(luò)影響大，但辦公大樓網(wǎng)絡(luò)管理系統(tǒng)缺乏便捷有效的管理手段來識別這些干擾源，無法對網(wǎng)絡(luò)性能進(jìn)行優(yōu)化調(diào)整達(dá)到保障無線網(wǎng)絡(luò)穩(wěn)定的目的；2. 一般廠商的無線覆蓋方案僅考慮了單一的“無線信號有無”問題，在產(chǎn)品選型和部署方式上沒有針對性，譬如僅選擇單頻AP 設(shè)備進(jìn)行部署，這樣就容易造成無線接入客戶端無論是802.11b/g 還是 802.11n 都工作在 2.4GHz 頻段，造成網(wǎng)絡(luò)性能低下，導(dǎo)致上網(wǎng)速率偏低；同時，當(dāng)區(qū)域內(nèi)接入用戶突然增多時，由于不支持負(fù)載均衡功能，導(dǎo)致網(wǎng)絡(luò)性能急速下降等等，這些都會影響到客戶的無線上網(wǎng)體驗；3.

5、 AP 部署在走廊區(qū)域，無線信號經(jīng)穿墻后進(jìn)入房間，導(dǎo)致房間內(nèi)無線信號覆蓋不均勻，場強(qiáng)低，再加上隨處出現(xiàn)的同頻干擾，經(jīng)常會出現(xiàn)有無線信號，但卻無法訪問 Internet 的情況；4. 辦公大樓對無線網(wǎng)絡(luò)的業(yè)務(wù)承載能力和拓展性有著很高的要求，不僅4-無線覆蓋方案建議書要求支持上網(wǎng)，還需要支持多媒體業(yè)務(wù)承載業(yè)務(wù)，但很多的無線設(shè)備對WMM 協(xié)議支持有限，遠(yuǎn)遠(yuǎn)無法滿足客戶期望。因此在無法覆蓋方案的設(shè)計過程中，必須要加以關(guān)注，在設(shè)計中盡量避免上述問題的出現(xiàn)。針對辦公大樓無線網(wǎng)絡(luò)在實際應(yīng)用中的主要問題，在本項目中應(yīng)重點遵循以下設(shè)計原則：1. 信號覆蓋范圍和強(qiáng)度：無線網(wǎng)絡(luò)信號要求區(qū)域全覆蓋，包括辦公大樓宴會廳

6、、早餐廳、房間、員工辦公區(qū)和娛樂區(qū)，以及電梯間和消防通道等等。無線局域網(wǎng)協(xié)議兼容802.11a/b/g/n標(biāo)準(zhǔn)，在房間區(qū)域，信號強(qiáng)度>-70dBm （高質(zhì)量），在大堂、餐廳等客戶駐留區(qū)域，信號強(qiáng)度>-75dBm （良好質(zhì)量）。2. 用戶容量和傳輸性能：覆蓋區(qū)域內(nèi)，在普通時段，用戶傳輸速率500Kbps ；上網(wǎng)高峰期時段，用戶傳輸速率200Kbps ，保證流暢的無線上網(wǎng)體驗。3. 漫游性能：支持無縫漫游，保證無線網(wǎng)絡(luò)應(yīng)用時的數(shù)據(jù)業(yè)務(wù)不中斷。4. 網(wǎng)絡(luò)負(fù)載均衡：提供動態(tài)的基于流量和用戶數(shù)量的負(fù)載均衡功能，在酒吧、宴會廳、辦公區(qū)等區(qū)域，要滿足多用戶使用時不會產(chǎn)生網(wǎng)絡(luò)瓶頸和網(wǎng)絡(luò)性能的嚴(yán)重下

7、降。5. 用戶分組管理與隔離：對于不同無線用戶的應(yīng)用，制定不同的安全策略和優(yōu)先級別。能夠?qū)o線用戶進(jìn)行基于用戶的分組統(tǒng)一管理，以保障在維護(hù)過程中的靈活性。6. 統(tǒng)一維護(hù)管理：提供簡單、易用、統(tǒng)一的無線網(wǎng)絡(luò)管理平臺，以便讓辦公大樓網(wǎng)絡(luò)管理員對無線網(wǎng)絡(luò)以及無線用戶有良好的可管理性和控制性。7. 用戶接入認(rèn)證：無線系統(tǒng)需要支持多種認(rèn)證協(xié)議和認(rèn)證方式，包括WebPortal 方式和基于 RADIUS 的 802.1x 無線認(rèn)證方式。8. 無線安全加密：無線網(wǎng)絡(luò)系統(tǒng)需要兼容和接納最高等級和最廣泛使用的加密協(xié)議，包括 WEP 、 WPA-PSK 、WPA2-PSK 等加密方式，保證私密信息安全。5-無線覆

8、蓋方案建議書2.2 辦公大樓無線建設(shè)目標(biāo)無縫覆蓋本次辦公大樓無線網(wǎng)絡(luò)建設(shè)采取標(biāo)準(zhǔn)的802.11ac 網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)，提供不低于 1167Mbps 的單個 AP 的無線帶寬接入能力，提供高性能的無線覆蓋；無線信號覆蓋整個辦公大樓，保證被覆蓋需求的網(wǎng)絡(luò)訪問流暢。提供數(shù)據(jù)接入業(yè)務(wù)，讓用戶能夠快捷的訪問資源。同時，利用現(xiàn)在的有線資源，做到有線、無線混合組網(wǎng)，避免投資的浪費。安全性網(wǎng)絡(luò)必須具有良好的安全防范措施和密碼保護(hù)技術(shù)， 靈活方便的權(quán)限設(shè)定和控制機(jī)制，使系統(tǒng)具有多種有效手段，防范各種形式對網(wǎng)絡(luò)的非法入侵和內(nèi)部攻擊，以保證網(wǎng)絡(luò)的實體安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和信息安全，有效地保障正常的業(yè)務(wù)活動和防止內(nèi)部

9、信息數(shù)據(jù)不被非法竊取、篡改或泄漏。因此系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等。擴(kuò)展性在網(wǎng)絡(luò)規(guī)模不斷發(fā)展的情況下，無線網(wǎng)絡(luò)應(yīng)滿足在不改變主體架構(gòu)與大部分設(shè)備的前提下，平滑實現(xiàn)升級和擴(kuò)充，降低原有網(wǎng)絡(luò)的硬件投資，并保證擴(kuò)展后的系統(tǒng)可用性與穩(wěn)定性。預(yù)留 AC 、AP 可升級的能力，為未來無線網(wǎng)建設(shè)提供基礎(chǔ)，無線網(wǎng)絡(luò)要支持 AC 冗余擴(kuò)展 N+1 的冗余備份能力。統(tǒng)一建設(shè)必須盡量保護(hù)現(xiàn)有的軟、硬件資源，保證各部門現(xiàn)有的計算機(jī)系統(tǒng)的使用，逐步過渡，有效保護(hù)投資，最終形成一個統(tǒng)一的、一體化的綜合網(wǎng)絡(luò)系統(tǒng)。6-無線覆蓋方案建議書高性能網(wǎng)絡(luò)鏈路和設(shè)

10、備具備足夠高的數(shù)據(jù)轉(zhuǎn)發(fā)能力，保證各種信息的高質(zhì)量無阻塞傳輸，交換系統(tǒng)具有很高的交換容量與多服務(wù)支持的能力，保證網(wǎng)絡(luò)服務(wù)的質(zhì)量?？晒芾頌榱俗専o線網(wǎng)絡(luò)能夠良性、穩(wěn)定、持續(xù)、健康的發(fā)展，對無線網(wǎng)絡(luò)進(jìn)行嚴(yán)格的管理和控制，通過對上網(wǎng)的用戶進(jìn)行認(rèn)證，記錄用戶行為，為辦公大樓的網(wǎng)絡(luò)管理提供便利的工具。于此同時，對于本次網(wǎng)絡(luò)中所涉及的無線AP 、AC、交換機(jī)等設(shè)備能夠?qū)崿F(xiàn)無線、有線統(tǒng)一的管理，確保各設(shè)備運行在最佳狀態(tài)，為辦公大樓的用戶提供可靠的網(wǎng)絡(luò)接入服務(wù)。7-無線覆蓋方案建議書3 銳捷無線網(wǎng)絡(luò)總體架構(gòu)設(shè)計3.1 基礎(chǔ)網(wǎng)絡(luò)技術(shù)選型在以太網(wǎng)技術(shù)中， 1000BaseT 是一個里程碑，確立了以太網(wǎng)技術(shù)在桌面的統(tǒng)治

11、地位。千兆以太網(wǎng)以及隨后出現(xiàn)的萬兆以太網(wǎng)標(biāo)準(zhǔn)是兩個比較重要的標(biāo)準(zhǔn)，以太網(wǎng)技術(shù)通過這兩個標(biāo)準(zhǔn)從桌面的局域網(wǎng)技術(shù)延伸到園區(qū)網(wǎng)以及城域網(wǎng)的匯聚和骨干。主干網(wǎng)絡(luò)采用全光千兆以太網(wǎng)技術(shù)，千兆無線POE 接入使用。核心層與匯聚點接入交換機(jī)通過光纖方式連接。接入交換機(jī)根據(jù)無線終端AP、監(jiān)控節(jié)點選擇 POE 交換機(jī)。3.2 基礎(chǔ)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計較大規(guī)模的網(wǎng)絡(luò)設(shè)計通常要遵循層次化設(shè)計模型。在本次網(wǎng)絡(luò)設(shè)計當(dāng)中可分為核心層、匯聚層和接入層。以無線網(wǎng)絡(luò)作為有益的補(bǔ)充或替代。辦公大樓采用二層組網(wǎng)的網(wǎng)絡(luò)架構(gòu)，選擇合適的無線 AP ，保證信號的覆蓋與穩(wěn)定。核心層主要承擔(dān)高速數(shù)據(jù)交換的任務(wù)，同時要為各匯聚節(jié)點提供最佳傳輸通道。接

12、入層的主要任務(wù)是完成無線AP 的接入，和用戶連接，可能遭受ARP 風(fēng)暴、MAC 掃描、 ICMP 風(fēng)暴、帶寬攻擊等等攻擊方式，對安全性的要求很高，另一方面必須提供靈活的用戶管理手段。通過層次化的網(wǎng)絡(luò)設(shè)計，網(wǎng)絡(luò)的不同層次設(shè)備承擔(dān)不同的任務(wù)，使整個網(wǎng)絡(luò)8-無線覆蓋方案建議書結(jié)構(gòu)清晰，便于維護(hù)和管理，便于以后的網(wǎng)絡(luò)擴(kuò)展。3.3 整體網(wǎng)絡(luò)拓?fù)湓O(shè)計本方案采用無線控制器 AC 和瘦 AP 的部署架構(gòu)，搭配銳捷 POE 接入交換機(jī)和高速數(shù)據(jù)交換（萬兆上下行）的核心交換機(jī)一起組成集中統(tǒng)一的辦公大樓無線網(wǎng)絡(luò)。采用瘦 AP 方式主要是為了便于進(jìn)行集中配置和統(tǒng)一管理,在實際工作中，無線控制器 AC 連接到核心交換機(jī)

13、，負(fù)責(zé)無線網(wǎng)絡(luò)的射頻管理、AP 配置下發(fā)等功能，對全網(wǎng) AP 的自動配置下發(fā)、射頻管理、信道分配等安全接入控制和統(tǒng)一的管理，讓網(wǎng)管可以輕松管理辦公大樓無線網(wǎng)絡(luò)。銳捷 AP 產(chǎn)品可以支持802.11a/b/g/n/ac，滿足不同客戶端接入需要；支持MIMO ，成倍地提高無線信道容量、信道可靠性，降低誤碼率。支持802.11af 和802.11at 。9-無線覆蓋方案建議書核心層設(shè)計核心層：由高性能的設(shè)備和高速冗余的鏈路構(gòu)成，實現(xiàn)數(shù)據(jù)的高速轉(zhuǎn)發(fā)、負(fù)載均衡、流量控制、網(wǎng)管理等功能。在網(wǎng)絡(luò)的中心節(jié)點，核心層的設(shè)備傳統(tǒng)上會使用高性能的交換機(jī)和高速路由器來進(jìn)行第二層交換和第三層路由。在網(wǎng)絡(luò)核心層，網(wǎng)絡(luò)核心

14、設(shè)備不僅要能保證第二層的交換和第三層的路由，還要提供完善的虛擬網(wǎng)劃分，多協(xié)議路由，QoS處理，以及多媒體的通信支持。核心層設(shè)備應(yīng)當(dāng)滿足以下條件：1、必須能提供大量的千兆線速接口用于核心交換機(jī)互聯(lián)接入層交換機(jī)，滿足用于網(wǎng)絡(luò)互連的端口能夠?qū)崿F(xiàn)線速轉(zhuǎn)發(fā)以及基于此端口的ACL 、QoS 等功能實施性能不下降。3、功能的豐富性：盡可能提供豐富的QoS 和安全、流量管理等各種功能。4、業(yè)務(wù)上可擴(kuò)展：提供對IPv6 的支持。接入層設(shè)計接入層負(fù)責(zé)所有信息節(jié)點的接入，由高性能設(shè)備和高速冗余的鏈路構(gòu)成，實現(xiàn)數(shù)據(jù)的高速轉(zhuǎn)發(fā)、路由快速匯聚、負(fù)載均衡、流量控制、網(wǎng)絡(luò)管理等功能。采用銳捷 RG-AM5528 產(chǎn)品作為接入

15、層設(shè)備，對微 AP 提供功能，同時進(jìn)行二層數(shù)據(jù)的轉(zhuǎn)發(fā)。 RG-AM5528 是銳捷網(wǎng)絡(luò)推出的面向復(fù)雜應(yīng)用環(huán)境（如無線宿舍網(wǎng)、酒店、密集辦公網(wǎng)等）下的智分型無線接入點，采用銳捷網(wǎng)絡(luò)獨有的分布式架構(gòu)和千兆獨享式架構(gòu)弱電間主機(jī) +微 AP 射頻模塊 +百米以太網(wǎng)線，每房間獨立廣播 MIMO 信號，可以做到 24 個房間在 2.4GHz 和 5.8GHz 雙頻段下的雙流覆蓋，滿足多種場景中對性能、覆蓋和美化效果的多方面需求。RG-AM5528 產(chǎn)品引領(lǐng) 802.11ac 浪潮，可支持同時工作在802.11a/n/ac和802.11b/g/n模式。該產(chǎn)品外觀采用19 英寸標(biāo)準(zhǔn)機(jī)柜尺寸，支持弱電間標(biāo)準(zhǔn)機(jī)柜

16、部署和靈活的樓道小型機(jī)柜部署，提供24 個下聯(lián) RJ45 接口連接到微 AP 射頻模塊。 RG-AM5528 產(chǎn)品可根據(jù)需要靈活的選擇多種類型的微AP 射頻模塊，特別10-無線覆蓋方案建議書適合部署在高校宿舍網(wǎng)、酒店、辦公網(wǎng)等環(huán)境。無線網(wǎng)絡(luò)設(shè)計無線局域網(wǎng)（ WLAN ）使用的傳輸不再使用雙絞線或光纖，而是射頻（RF）?，F(xiàn)在大多數(shù)無線LAN 都在使用 2.4 千兆赫（ GHz ）的頻率波段。無線網(wǎng)絡(luò)的自由性和靈活性既可用于建筑物內(nèi)部也可用于建筑物之間，特別是在建筑結(jié)構(gòu)復(fù)雜、玻璃幕墻、空曠開間等物理線纜不易敷設(shè)的情況時。1. AP 電源的供給我們在本次無線網(wǎng)絡(luò)項目建設(shè)中室內(nèi)覆蓋采用支持IEEE80

17、2.3af 標(biāo)準(zhǔn)的 PoE交換機(jī)或 PoE 供電器通過網(wǎng)線對AP 進(jìn)行供電。POE 交換機(jī)：交換機(jī)端口支持輸出功率達(dá)15.4W ，符合 IEEE802.3af 標(biāo)準(zhǔn)，通過網(wǎng)線供電的方式為標(biāo)準(zhǔn)的PoE 終端設(shè)備供電，免去額外的電源布線。經(jīng)調(diào)研研華推出的符合 IEEE802.3aT 標(biāo)準(zhǔn)的 POE 交換機(jī)，端口輸出功率可以達(dá)到25-30W. 通俗的說， POE 交換機(jī)就是支持網(wǎng)線供電的交換機(jī)，其不但可以實現(xiàn)普通交換機(jī)的數(shù)據(jù)傳輸功能還能同時對網(wǎng)絡(luò)終端進(jìn)行供電。2AP 的集中管理與自動配置在傳統(tǒng)無線網(wǎng)絡(luò)建設(shè)中，有一個始終令網(wǎng)管人員感到頭痛的問題，那就是對 AP 的管理、監(jiān)控以及AP 自身固件的升級。由

18、于傳統(tǒng)AP 是一種稱作為“ FATAP ”，即自身需要有相應(yīng)控制軟件以及獨立的配置才能運行，而由于AP 是一種接入層設(shè)備，數(shù)量較多，且由于倉儲中心網(wǎng)絡(luò)的復(fù)雜性以及業(yè)務(wù)的多樣性，導(dǎo)致需要根據(jù)各“熱點”區(qū)域進(jìn)行相應(yīng)配置，并且還需要網(wǎng)管員對這些特殊配置進(jìn)行記錄，以方便日后維護(hù)；此外，在日常運行中，還需要了解這些數(shù)量眾多AP 的11-無線覆蓋方案建議書工作狀態(tài)及性能等數(shù)據(jù)，而一般 AP 管理工具功能太過簡單，如果采用有線網(wǎng)絡(luò)網(wǎng)管軟件，由于沒有很好的對無線網(wǎng)絡(luò)做相應(yīng)的開發(fā)與支持，從而不能很好的管理無線網(wǎng)絡(luò)。3、用戶漫游及 QoS 保障而在本方案中，我們采用零漫游方案，該方案以無線AC 為核心，對所有AP

19、上接入的用戶采用統(tǒng)一會話管理，所有已認(rèn)證終端均在中心無線AC 中保存相應(yīng)會話， AP 僅僅只負(fù)載傳輸用戶數(shù)據(jù)，因此無論終端移動到哪個AP 下，用戶信息和授權(quán)都在無線AC 所管轄的移動域內(nèi)快速的交互，可以有效保持會話完整性及可靠移動性的前提下實現(xiàn)無縫漫游。4、用戶動態(tài)負(fù)載均衡傳統(tǒng)上，由于受到客戶端無線網(wǎng)卡底層驅(qū)動算法機(jī)制的限制，用戶總是會連上信號最強(qiáng)的 AP ，而并沒有考慮到該AP 是否能夠提供最佳的服務(wù)。無線 AC 可以根據(jù)周圍無線信號覆蓋情況以及用戶的流量需求，動態(tài)的將用戶強(qiáng)制連接到其他可用AP 上，將用戶流量分配到其他可用AP ，從而保證了整個無線網(wǎng)絡(luò)的高效能和高可用度。RG-MAP552

20、-W 采用面板式設(shè)計，可以直接嵌入已有的86 面板盒中，可以像面板 AP 一樣省去布線施工，額外提供的防盜設(shè)計和 passthrough 接口可以靈活的適應(yīng)辦公大樓場景，適合改造類項目的大規(guī)模部署。12-無線覆蓋方案建議書4 網(wǎng)絡(luò)安全設(shè)計4.1 無線接入認(rèn)證設(shè)計終端智能識別的WEB 認(rèn)證無線網(wǎng)絡(luò)在提供便捷網(wǎng)絡(luò)服務(wù)的同時，仍需確保只有合法的用戶才能使用無線網(wǎng)絡(luò)。 WEB 認(rèn)證就是一種對用戶訪問網(wǎng)絡(luò)的權(quán)限進(jìn)行控制的身份認(rèn)證方法，這種認(rèn)證方法不需要用戶安裝專用的客戶端認(rèn)證軟件，使用普通的瀏覽器軟件就可以進(jìn)行身份認(rèn)證，是目前無線主流的認(rèn)證方式之一。銳捷網(wǎng)絡(luò)的無線控制器不僅支持終端自動識別功能和WEBP

21、ortal 頁面推送，而且推送的認(rèn)證頁面還可以根據(jù)用戶自定義放置一些廣告、通知、業(yè)務(wù)鏈接等，提供更多個性化服務(wù)。若配合銳捷SMP 認(rèn)證服務(wù)器還可實現(xiàn)基于終端類型的角色、訪問權(quán)限的劃分等，幫助網(wǎng)絡(luò)運維人員實現(xiàn)更為精細(xì)化的無線用戶管理?；?802.1X 的無感知認(rèn)證IEEE802.1X 協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議，主要目的是為了解決無線用戶的接入認(rèn)證問題。對于基于802.11 系列標(biāo)準(zhǔn)的無線局域網(wǎng)，通過對無線用戶的身份驗證，無線網(wǎng)絡(luò)可以打開或關(guān)閉無線終端接入的接口，同時還可以根據(jù)其身份屬性，為其分配動態(tài)角色和VLAN ，確保用戶終端接入的安全性。13-無線覆蓋方案建議書訪客二維碼認(rèn)證銳

22、捷網(wǎng)絡(luò)提出了更為先進(jìn)的訪客接待解決方案二維碼認(rèn)證。訪客使用移動智能終端訪問無線網(wǎng)絡(luò)后，銳捷網(wǎng)絡(luò)的認(rèn)證系統(tǒng)將生成專用的二維碼推送到訪客的終端上。負(fù)責(zé)接待的員工使用自己的已認(rèn)證通過的合法終端對訪客的二維碼進(jìn)行掃描并自動反饋到認(rèn)證系統(tǒng)。認(rèn)證系統(tǒng)記錄下訪客和對應(yīng)接待者的身份信息并確認(rèn)臨時開戶，訪客和接待者收到反饋后即可直接訪問網(wǎng)絡(luò)。僅需“掃一掃”就可便捷的為訪客提供無線網(wǎng)絡(luò)服務(wù)，這是無線認(rèn)證技術(shù)為提供用戶體驗的又一次創(chuàng)新。用戶短信自助注冊認(rèn)證在公共區(qū)域經(jīng)常會提供免費的WLAN ，但這又需要考慮接入用戶及終端的安全，并實現(xiàn)可追溯。銳捷網(wǎng)絡(luò)專門為這種用戶場景推出了用戶短信自助注冊的認(rèn)證方式。用戶使用移動智

23、能終端連接公共區(qū)域開啟用戶短信自助認(rèn)證功能的WLAN 后，該 WLAN 會在用戶進(jìn)行HTTP 訪問后推送出一個WEBPortal頁面，頁面上會需要用戶輸入自己的手機(jī)號碼作為用戶名，認(rèn)證系統(tǒng)獲取到該信息后通過短信網(wǎng)關(guān)向該手機(jī)發(fā)送隨機(jī)登陸密碼并設(shè)上一定的失效時間，用戶最終在認(rèn)證頁面上輸入手機(jī)短信上的密碼即可完成接入認(rèn)證，并可進(jìn)行無線網(wǎng)絡(luò)訪問。一個短信，即可便捷與安全的實現(xiàn)用戶自助注冊認(rèn)證。4.2 無線安全技術(shù)設(shè)計銳捷網(wǎng)絡(luò)基于“接入安全”的理念，將無線網(wǎng)絡(luò)認(rèn)證過程下移到離客戶端最近的網(wǎng)絡(luò)邊界處，通過啟用WEB 認(rèn)證模式，當(dāng)用戶在接入無線網(wǎng)絡(luò)的時候，銳14-無線覆蓋方案建議書捷網(wǎng)絡(luò)無線控制通過 por

24、tal 的方式將認(rèn)證頁面推送到客戶端，然后將用戶認(rèn)證所需要的用戶名和密碼上傳到無線控制器，獲取學(xué)生相關(guān)的認(rèn)證信息，如果認(rèn)證通過，完成認(rèn)證過程。1. 虛擬無線分組技術(shù)通過虛擬無線接入點（VirtualAP ）技術(shù)，整機(jī)可最大提供16 個 ESSID ，支持16 個 802.1QVLAN ，網(wǎng)管人員可以對使用相同SSID 的子網(wǎng)或 VLAN 單獨實施加密和隔離，并可針對每個SSID 配置單獨的認(rèn)證方式、加密機(jī)制等。2.標(biāo)準(zhǔn) CAPWAP 加密隧道確保傳輸安全銳捷網(wǎng)絡(luò)無線 AP 接入點與銳捷網(wǎng)絡(luò)無線控制器以國際標(biāo)準(zhǔn)的CAPWAP 加密隧道模式通信，確保了數(shù)據(jù)傳輸過程中的內(nèi)容安全。3. 射頻安全在銳捷

25、網(wǎng)絡(luò)一體化網(wǎng)管系統(tǒng)RG-SNC 、RG-WS 系列無線控制器產(chǎn)品的配合下，AP 可啟用射頻探針掃描機(jī)制，實時發(fā)現(xiàn)非法接入點、或其它射頻干擾源，并提供相應(yīng)的告警，使網(wǎng)管人員可隨時監(jiān)控各個無線環(huán)境中的潛在威脅和使用狀況。4.ARP 欺騙的防護(hù)ARP 檢測功能有效遏制了網(wǎng)絡(luò)中日益泛濫的ARP 網(wǎng)關(guān)欺騙和 ARP 主機(jī)欺騙的現(xiàn)象，保障了用戶的正常上網(wǎng)。無論在動態(tài)分配IP 環(huán)境下，還是靜態(tài)分配IP環(huán)境下，均可實現(xiàn)自動綁定工作，大大的節(jié)省了人力成本，降低了管理開銷。而配合 ARP 速率監(jiān)控控制ARP 報文發(fā)送的速率，防止惡意利用掃描工具進(jìn)行ARP泛洪占據(jù)網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)擁塞的攻擊行為。5. DHCP 安

26、全支持 DHCPsnooping ，只允許信任端口的DHCP 響應(yīng)，防止未經(jīng)管理員許可私自架設(shè) DHCPServer ，擾亂 IP 地址的分配和管理，影響用戶的正常上網(wǎng)的行為；并在 DHCP 監(jiān)聽的基礎(chǔ)上，通過動態(tài)監(jiān)測ARP 和檢查源 IP，有效防范 DHCP 動態(tài)分配 IP 環(huán)境下的 ARP 主機(jī)欺騙和源 IP 地址的欺騙。15-無線覆蓋方案建議書5 銳捷無線方案特點和優(yōu)勢5.1X-speed 大幅提升干擾環(huán)境下的用戶體驗在大型會場、機(jī)場、車站等多用戶的場景下，為了提供WLAN 服務(wù)，不得不在同一區(qū)域內(nèi)部署多臺 AP ，甚至多家運營商會部署多套無線設(shè)備，設(shè)備間的同頻干擾加劇，無線數(shù)據(jù)競爭發(fā)送

27、時沖突增多，而且部分低速用戶大量占用無線鏈路進(jìn)行數(shù)據(jù)傳輸，無線網(wǎng)絡(luò)的實際吞吐性能大幅下降，用戶體驗極差。而銳捷網(wǎng)絡(luò)在有效實現(xiàn)上述優(yōu)化方法的前提下，又創(chuàng)新的推出了X-speed 加速技術(shù)，它主要有兩大功能特點：自適應(yīng)優(yōu)先級開啟 X-speed 技術(shù)的 AP 能夠迅速感知 Radio 上下行流量的差別，實現(xiàn)自適應(yīng)優(yōu)先級控制，自動調(diào)整 Radio 和 Client 的 EDCA 參數(shù)，在多廠商 AP 的環(huán)境下，極大的提升了 AP 的下行發(fā)包能力和抗干擾能力，相比于環(huán)境下其他 AP 的無線用戶，接入我司 AP 的無線用戶終端能夠獲得更高的數(shù)據(jù)傳輸性能。公平調(diào)度X-speed 技術(shù)的另一大功能就是公平調(diào)

28、度，它主要根據(jù)終端流量的實時信息，預(yù)測終端流量，然后計算并調(diào)整AP 和終端的空口帶寬，然后利用令牌桶原理進(jìn)行流量整線來實現(xiàn)無線空口資源的公平占用。這就為802.11g 、802.11n 等不同類型的終端提供相同的訪問時間，極大的解決了因終端無線網(wǎng)卡老舊或終端離AP較遠(yuǎn)而導(dǎo)致用戶無線上網(wǎng)延時大、速度慢、AP 整機(jī)性能低下的問題，有效的提升了低速終端的性能，保證用戶無論使用何種類型的終端，都將在相同的位置上16-無線覆蓋方案建議書獲得同樣良好的無線上網(wǎng)體驗。5.2 業(yè)務(wù)流量全面分流的本地轉(zhuǎn)發(fā)架構(gòu)銳捷網(wǎng)絡(luò)推出的本地轉(zhuǎn)發(fā)架構(gòu)，從架構(gòu)上解決了無線控制器的流量瓶頸問題。本地轉(zhuǎn)發(fā)架構(gòu)即AP 上行到無線控制器

29、的數(shù)據(jù)無需經(jīng)過控制器，而直接在接入交換機(jī)上進(jìn)行轉(zhuǎn)發(fā)。通過無線控制器的配合，可靈活預(yù)配置AP 產(chǎn)品的數(shù)據(jù)轉(zhuǎn)發(fā)模式，或直接進(jìn)入有線網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換。本地轉(zhuǎn)發(fā)技術(shù)可以將延遲敏感、傳輸要求實時性高的數(shù)據(jù)分類通過有線網(wǎng)絡(luò)轉(zhuǎn)發(fā)，可以大大緩解無線控制器的流量壓力，更好的適應(yīng)802.11n 、甚至是802.11ac 網(wǎng)絡(luò)高流量傳輸?shù)囊蟆?.3 基于用戶、流量、頻段的智能負(fù)載均衡銳捷網(wǎng)絡(luò)基于對802.11 標(biāo)準(zhǔn)和客戶需求的深入理解，創(chuàng)新地提出了智能負(fù)載均衡專利技術(shù)，可以準(zhǔn)確有效地在WLAN 網(wǎng)絡(luò)中平衡用戶的負(fù)載，充分地保證每個無線用戶的性能和帶寬。主要的技術(shù)特點如下：基于集中式無線架構(gòu)每個 AP 通過 CAP

30、WAP 協(xié)議建立與 AC 間的控制和數(shù)據(jù)隧道，智能負(fù)載均衡算法在 AC 側(cè)進(jìn)行集中控制。集中控制的方法，可以讓AC 實時完整地了解每個AP 當(dāng)前的負(fù)荷，從而對網(wǎng)絡(luò)中的負(fù)載進(jìn)行有效均衡。頻譜導(dǎo)航技術(shù) (BandSelect)AP 支持檢測客戶端是否自帶雙頻網(wǎng)卡，如果是，AP 會拒絕客戶端連接2.4G 一定次數(shù)，優(yōu)先將客戶端接入 5.8G ，再計算當(dāng)前 2.4G和 5.8G 接入用戶數(shù)量差異，當(dāng)超過一定差異時，啟動頻段間負(fù)載均衡，防止5.8G 和 2.4G 接入用戶數(shù)量差異過大。隨著雙頻終端越來越多，除了傳統(tǒng)的迅馳筆記本外，iPad2 、 NewiPad 、iPhone5都已經(jīng)使用雙頻網(wǎng)卡，頻譜導(dǎo)

31、航技術(shù)能夠講負(fù)載引導(dǎo)到較少人使用，較少干擾的 5GHz 頻段上，大幅度降低2.4GHz 壓力，提升 AP 使用效率。17-無線覆蓋方案建議書支持基于用戶會話數(shù)、流量、用戶數(shù)的負(fù)載均衡算法一般地，許多廠商只支持基于用戶會話數(shù)的負(fù)載均衡。銳捷網(wǎng)絡(luò)的智能負(fù)載均衡技術(shù)可以讓用戶靈活地選擇基于用戶會話數(shù)、用戶數(shù)或流量的負(fù)載均衡，滿足用戶不同的 WLAN 應(yīng)用需求。用戶還可以靈活地選擇是否使能負(fù)載均衡。智能地隱藏高負(fù)載AP當(dāng)一些 AP 的負(fù)載過高時，通過銳捷網(wǎng)絡(luò)的智能負(fù)載均衡技術(shù)可以維持已存在的無線用戶會話，而把這些AP 對新的接入用戶進(jìn)行隱藏，從而讓新的接入用戶只能夠發(fā)現(xiàn)和接入到負(fù)載較小的AP 上。這樣

32、可以平滑地進(jìn)行負(fù)載均衡控制，而又可以保證用戶快速地接入到網(wǎng)絡(luò)中。5.4 靈活便捷的訪客系統(tǒng)銳捷網(wǎng)絡(luò)將最前沿的移動互聯(lián)網(wǎng)應(yīng)用和精細(xì)化的用戶管理系統(tǒng)進(jìn)行深度融合，創(chuàng)新的使用二維碼訪客接待系統(tǒng)和用戶短信自助認(rèn)證系統(tǒng)，為訪客高效快捷的提供了安全的無線網(wǎng)絡(luò)服務(wù)。二維碼認(rèn)證訪客使用移動智能終端訪問無線網(wǎng)絡(luò)后，銳捷網(wǎng)絡(luò)的認(rèn)證系統(tǒng)將生成專用的二維碼推送到訪客的終端上。負(fù)責(zé)接待的員工使用自己的已認(rèn)證通過的合法終端對訪客的二維碼進(jìn)行掃描并自動反饋到認(rèn)證系統(tǒng)。認(rèn)證系統(tǒng)記錄下訪客和對應(yīng)接待者的身份信息并確認(rèn)臨時開戶，訪客和接待者收到反饋后即可直接訪問網(wǎng)絡(luò)。短信自助認(rèn)證用戶使用移動智能終端連接公共區(qū)域開啟用戶短信自助認(rèn)證功能的WLAN 后，該 WLAN 會在用戶進(jìn)行HTTP 訪問后推送出一個WEBPortal頁面，頁面上會需要用戶輸入自己的手機(jī)號碼作為用戶名，認(rèn)證系統(tǒng)獲取到該信息后通過短信網(wǎng)關(guān)向該手機(jī)發(fā)送隨機(jī)登陸密碼并設(shè)上一定的失效時間，用戶最終在認(rèn)證頁面上輸入手機(jī)短信上的密碼即可完成接入認(rèn)證，并可18-無線覆蓋方案建議書進(jìn)行無線網(wǎng)絡(luò)訪問。僅需“掃一掃”或者一個短信，就可便捷的為訪客提供無線網(wǎng)絡(luò)服務(wù)，這是銳捷網(wǎng)絡(luò)為提升用戶體驗的又一次創(chuàng)新。5.5 逐級深入的安全防護(hù)1全面的準(zhǔn)入認(rèn)證銳捷網(wǎng)絡(luò)