營業(yè)場所公共WIFI覆蓋解決方案

XXX網(wǎng)絡(luò)集團有限公司大理分公司

營業(yè)場所公共WIFI覆蓋解決方案目錄TOC\o"1-5"\h\z\o"CurrentDocument"WIFI技術(shù)簡介 31?1 WIFI技術(shù)特點 3WIFI市場定位 3\o"CurrentDocument"WIFI覆蓋總體方案 42?1 功能要求 4覆蓋區(qū)域 4方案建議 4\o"CurrentDocument"配置說明 63?1 無線接入點（AP） 6無線控制器（AC） 7用戶接入認證軟件 7上網(wǎng)數(shù)量統(tǒng)計軟件 8\o"CurrentDocument"網(wǎng)絡(luò)規(guī)劃建議 10總體原則 10帶寬模型設(shè)計 10SSID規(guī)劃 10SSID映射以太網(wǎng)中的VLAN 10VAP構(gòu)建 11漫游規(guī)劃 11IP地址規(guī)劃 12VLAN規(guī)劃 12管理VLAN 12業(yè)務(wù)VLAN 13認證模式 13WIFI終端認證 13用戶身份驗證 14網(wǎng)絡(luò)安全 14組網(wǎng)保護 14接入安全方案 14\o"CurrentDocument"工程設(shè)計 165?1 設(shè)計原則 16頻點規(guī)劃 16覆蓋規(guī)劃 17鏈路預(yù)算 18確定邊緣場強 18分析傳輸模型，確定空間傳播損耗公式 18確定空間傳播損耗 19根據(jù)公式計算覆蓋距離，判定是否滿足覆蓋要求 19室內(nèi)分布 205?6 容量規(guī)劃 21\o"CurrentDocument"6 XXXWIFI解決方案的優(yōu)勢 23iWIFI技術(shù)簡介1.1WIFI技術(shù)特點隨著移動數(shù)據(jù)業(yè)務(wù)的發(fā)展，人們在接受高質(zhì)量的語音通訊服務(wù)的同時，也希望能隨時隨地接入互聯(lián)網(wǎng)、看視頻節(jié)目、玩網(wǎng)絡(luò)游戲。雖然移動通信技術(shù)在進入3G時代后，帶寬相對2G時代有較大幅度的提升，但在應(yīng)對多媒體業(yè)務(wù)的大帶寬需求時仍顯得力不從心；與此同時,固定寬帶用戶仍無法擺脫線纜的羈絆，無法享受自由接入的樂趣。二者都無法給廣大用戶帶來理想的移動數(shù)據(jù)業(yè)務(wù)體驗。WIFI憑借自己的高帶寬、低成本、可漫游的技術(shù)優(yōu)勢，能有效分擔(dān)用戶密集地點的2G/3G帶寬壓力，帶給客戶更佳的體驗；同時又可靈活地延伸固定寬帶網(wǎng)絡(luò)，促進固網(wǎng)和移動業(yè)務(wù)的有機融合；也可用于解決布線困難的村鎮(zhèn)用戶的寬帶接入問題。WIFI技術(shù)的成長始于20世紀80年代中期，其技術(shù)標準主要由IEEE802.11工作組負責(zé)制定。迄今為止，該工作組已陸續(xù)地推出802.11a/b/g/n/ac等大量標準，在用戶帶寬、無線安全、可管理性等方面日臻完善。1?2WIFI市場定位人們逐步進入一個移動信息社會，人們對互聯(lián)網(wǎng)服務(wù)的需求越來越高。在需要移動聯(lián)網(wǎng)及在網(wǎng)間漫游的場合、在不易布線的地方、在遠距離數(shù)據(jù)處理節(jié)點等方面，商務(wù)人士對無線數(shù)據(jù)通信需求已日益迫切，互聯(lián)網(wǎng)正向機場、酒店、會議中心等熱點區(qū)域乃至更為廣闊的移動區(qū)域擴展。這幾年，移動通信和互聯(lián)網(wǎng)用戶的數(shù)量一直呈現(xiàn)指數(shù)型增長的發(fā)展態(tài)勢，兩種通信方式很大程度上培養(yǎng)起用戶的消費習(xí)慣，并進一步產(chǎn)生消費依賴，為移動互聯(lián)網(wǎng)的發(fā)展提供了龐大的用戶基礎(chǔ)和經(jīng)濟基礎(chǔ)。WIFI能廣泛應(yīng)用于機場、酒店、娛樂和休閑公共場所、會議展廳等人群密集流動性高的熱點區(qū)域。隨著城市居民經(jīng)濟水平的提高，IT消費占居民支出的比例也在逐漸上升，WIFI業(yè)務(wù)還可面向家庭的帶寬用戶。WIFI在國內(nèi)的主流應(yīng)用有如下幾種：跨越線纜鴻溝，在布線困難的區(qū)域下，提供基本的家庭寬帶接入。WIFI作為一種有效，經(jīng)濟和普及的移動寬帶技術(shù)，將對有線寬帶和無線寬帶融合發(fā)展起到非常重要的促進和補充作用，其既有與固定寬帶相媲美的帶寬和成本優(yōu)勢，又有無線技術(shù)的移動方便性，是融合固定寬帶和無線移動的重要橋梁技術(shù)。作為2G/3G的補充，融合無線局域網(wǎng)技術(shù)，提供慢速和游牧狀態(tài)下的移動寬帶接入，與2G/3G互為補充：2G/3G提供快速移動、廣覆蓋狀態(tài)下中低速率接入，而WIFI定位熱點區(qū)域相對靜止和慢速移動狀態(tài)下大寬帶無線數(shù)據(jù)接入。2WIFI覆蓋總體方案2.1功能要求1、 服務(wù)對象為銀行辦理業(yè)務(wù)客戶的手機、PAID的上網(wǎng)需求。2、 各熱點接入寬帶（互聯(lián)網(wǎng)）帶寬6M—8M。3、 需通過銀行認證界面以手機號為依據(jù)進行上網(wǎng)認證，短信發(fā)送動態(tài)的上網(wǎng)密碼。4、 可統(tǒng)計上網(wǎng)數(shù)量。5、 WIFI上網(wǎng)認證界面需植入銀行圖片。6、 全州各縣需分別布放熱點，統(tǒng)一一套管控系統(tǒng)（平臺）。2?2覆蓋區(qū)域1、 金融行業(yè)營業(yè)廳。此類業(yè)務(wù)為銀行業(yè)率先應(yīng)用并為主要實施單位。2、 大型商場。城市具有相應(yīng)規(guī)模的超市及購物中心。3、 各類賓館酒店。一般為3星以上酒店及現(xiàn)代特色客棧。4、 旅游景點。在旅游景點檢票口、信息廳及景點區(qū)域，需兼室內(nèi)與室外布放熱點。本次XXX網(wǎng)絡(luò)集團有限公司大理分公司以7個營業(yè)網(wǎng)點為第一期wifi測試型布放點2?3方案建議本項目圖絡(luò)拓撲示意圖如下：Internet核心交換機接入交交換機ACeSightAgileController接入交換機n接入交換機1 接入交換機2Internet核心交換機接入交交換機ACeSightAgileController接入交換機n接入交換機1 接入交換機2AP1AP2APnAP1AP2APn AP1AP2APn圖2-1WIFI網(wǎng)絡(luò)整體方案建議實現(xiàn)方案：用戶接入認證軟件、上網(wǎng)數(shù)量統(tǒng)計軟件安裝于服務(wù)器，旁掛于現(xiàn)有核心交換機放置在中心機房；無線接入點控制器（AC）旁掛于現(xiàn)有核心交換機放置在中心機房；無線接入點（AP）放置于各營業(yè)網(wǎng)點、公共區(qū)域，通過廣電網(wǎng)絡(luò)專線的形式，直接用VLAN透傳的形式連接到核心交換機上，接受AC的統(tǒng)一管理和配置。上行接入帶寬由廣電網(wǎng)絡(luò)，在專線管理時進行統(tǒng)一管理、分配。無線接入點（AP）部署方案的選擇:AP的選擇考慮覆蓋范圍和下行、上行速率，建議如下:序號型號適用的用戶規(guī)模建議部署位置組網(wǎng)模式1XXXAP6010DN-AGN50以下各營業(yè)網(wǎng)點，公共區(qū)域直接上聯(lián)無線控制器（AC）部署方案的選擇:AC的選擇和部署需要考慮所管理的AP數(shù)量、業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)模式以及對現(xiàn)網(wǎng)的影響。在無線熱點第一期試點時期，WIFI網(wǎng)絡(luò)的規(guī)模較小，AC以旁掛核心交換機部署為主，由于現(xiàn)有網(wǎng)絡(luò)光電網(wǎng)絡(luò)公司可以通過專線接入到WIFI覆蓋的地點，所以QoS和安全等問題可以使用現(xiàn)有核心機房的設(shè)備進行處理。后期，WIFI網(wǎng)絡(luò)的規(guī)模逐漸增大，AC的部署位置逐

步上移，所管理的AP規(guī)模大大增加，網(wǎng)絡(luò)對AC規(guī)格和性能的要求也越來越高，到時候再考慮使用核心設(shè)備隨板AC進行AP管理。建議如下：序號型號適用的AP規(guī)模建議部署位置組網(wǎng)模式2XXXAC6005128以下核心機房旁掛式?用戶接入認證軟件部署方案的選擇:序號型號適用的AP規(guī)模建議部署位置組網(wǎng)模式3XXXeSight5000以下核心機房安裝服務(wù)器旁掛式?上網(wǎng)數(shù)量統(tǒng)計軟件部署方案的選擇:序號型號適用的AP規(guī)模建議部署位置組網(wǎng)模式4XXXAgileController50000以下核心機房安裝服務(wù)器旁掛式3配置說明在本項目中，擬采用XXX公司硬件和軟件。分別列舉如下：序號設(shè)備類別設(shè)備型號數(shù)量1無線接入點（AP）XXXAP6010DN-AGN72無線控制器（AC）XXXAC600513用戶接入認證軟件XXXeSight14上網(wǎng)數(shù)量統(tǒng)計軟件XXXAgileController13?1無線接入點（AP）1、 室內(nèi)雙頻AP2、 兼容IEEE802.11a/b/g/n標準3、 支持2X2MIMO,2空間流4、 內(nèi)置4dBi2.4GHz天線和5dBi5GHz天線5、 PoE供電(802.3af)6、 2.4GHz頻段和5GHz頻段每射頻發(fā)射功率100mW,整機最大速率600Mbps3?2無線控制器(AC)1、 XXX推出的針對中小型企業(yè)的小型盒式無線接入控制器，有線無線一體化的接入應(yīng)用于中小型企業(yè)及分支園區(qū)覆蓋或企業(yè)辦公網(wǎng)絡(luò)、行業(yè)無線城域網(wǎng)覆蓋、熱點覆蓋等場境。2、 4Gbit/s轉(zhuǎn)發(fā)能力3、 128接入點4、 2K用戶5、 1+1熱備3?3用戶接入認證軟件AgileCONTROLLERAgileController是XXX最新研制的基于用戶和應(yīng)用的網(wǎng)絡(luò)資源自動化控制系統(tǒng)。該系統(tǒng)定位是智慧的園區(qū)大腦，在SDN集中化控制思想的指導(dǎo)下，動態(tài)調(diào)配整個園區(qū)的網(wǎng)絡(luò)與安全資源,讓網(wǎng)絡(luò)更敏捷地為業(yè)務(wù)服務(wù)。3.4上網(wǎng)數(shù)量統(tǒng)計軟件有線無線一體化管理通過eSight物理拓撲，可以統(tǒng)一監(jiān)控交換機、路由器、安全設(shè)備、H3C設(shè)備、Cisco設(shè)備以及IT設(shè)備。對網(wǎng)絡(luò)中的AC.POE交換機、FatAP、FitAP等無線設(shè)備與有線設(shè)備進行一體化集中管理，直觀地看到設(shè)備之間的連接關(guān)系、設(shè)備的狀態(tài)及告警，全網(wǎng)設(shè)備信息和狀態(tài)一目了然。輕松實現(xiàn)業(yè)務(wù)部署，支持無線設(shè)備的批量配置，提升管理效率向?qū)降臉I(yè)務(wù)部署以及基于表單AP導(dǎo)入，可加速WLAN的業(yè)務(wù)部署。通過對XXXAC設(shè)備的管理，實現(xiàn)對WLAN業(yè)務(wù)的配置。AP的信息都配置在AC上，當AP上線建立隧道后從AC獲取信息。多拓撲視圖，方便用戶從多角度了解無線網(wǎng)絡(luò)的狀態(tài)業(yè)務(wù)拓撲：顯示AC.AP、用戶的業(yè)務(wù)邏輯關(guān)系，并支持展示無線設(shè)備故障狀態(tài)，同時提供告警查看的操作快捷入口位置拓撲：支持物理位置按區(qū)域進行AP布放，熱圖覆蓋可視化展現(xiàn)，幫助運維人員及時發(fā)現(xiàn)信號覆蓋盲點與信道沖突域。支持用戶、非法設(shè)備、干擾源的定位，以及歷史軌跡的查看。管理員可控制區(qū)域內(nèi)用戶、非法AP、非法用戶、干擾源等的隱藏與顯示。頻譜分析：通過頻譜分析，可了解AP周圍的信號干擾情況，識別信道質(zhì)量以及周邊環(huán)境的干擾源。頻譜圖包括信號實時圖、深度圖、信道質(zhì)量圖、信道質(zhì)量趨勢圖、設(shè)備占空比。無線入侵檢測（WIDS）管理無線入侵檢測管理，監(jiān)控網(wǎng)絡(luò)中存在的非法設(shè)備、非法客戶端、干擾源、攻擊信息，支持用戶通過定義規(guī)則，對干擾源進行分類識別和管理。當檢測到干擾源時，可根據(jù)用戶的設(shè)置來確定是否觸發(fā)告警。同時對于非法設(shè)備可進行反制。一鍵式診斷，快速解決客戶報障問題終端側(cè)診斷：WLAN故障診斷工具，一鍵式修復(fù)因終端操作系統(tǒng)版本，無線網(wǎng)卡設(shè)置，系統(tǒng)服務(wù)設(shè)置等各種終端配置引起的網(wǎng)絡(luò)故障，幫助用戶快速解決問題，節(jié)約企業(yè)實地排障成本網(wǎng)絡(luò)故障快速定位：從用戶、SSID.AP、AC四個層面對在線用戶的網(wǎng)絡(luò)質(zhì)量進行診斷。同時給出可能引發(fā)的問題與修復(fù)建議，指導(dǎo)用戶排查故障?？焖俚臉I(yè)務(wù)調(diào)整：熱點覆蓋和射頻調(diào)優(yōu)網(wǎng)絡(luò)中存在盲區(qū)，通過eSightWLAN組件可快速、有序完成新增AP部署，實現(xiàn)熱點覆蓋。網(wǎng)絡(luò)中出現(xiàn)運營商或私人AP占用規(guī)劃信道，干擾現(xiàn)網(wǎng)AP設(shè)備，在無法協(xié)調(diào)的情況，需要通過WLAN組件快速切換信道，進行射頻調(diào)優(yōu)?？焖俚腁P故障恢復(fù)能力提供批量恢復(fù)AP的出廠設(shè)置、批量重啟AP以及AP替換的功能。AP出現(xiàn)異?；蛟赪LAN網(wǎng)絡(luò)的調(diào)試過程中，用戶可以通過網(wǎng)管遠程批量恢復(fù)AP的出廠設(shè)置。AP升級完成后或在WLAN網(wǎng)絡(luò)的調(diào)試過程中，用戶可以通過網(wǎng)管遠程批量重啟AP。AP出現(xiàn)硬件故障需要替換時，用戶可以通過網(wǎng)管替換新AP,快速保證AP替換后業(yè)務(wù)不變。豐富的無線業(yè)務(wù)報表可直觀體現(xiàn)出無線網(wǎng)絡(luò)質(zhì)量、無線流量、無線用戶時間和空間分布全網(wǎng)資源統(tǒng)計：全網(wǎng)用戶在線趨勢圖、TOP5用戶接入AP、T0P5用戶接入SSID.T0P5重點關(guān)注的設(shè)備告警列表、全網(wǎng)物理資源統(tǒng)計等?；贏C資源統(tǒng)計：根據(jù)AC統(tǒng)計用戶在線趨勢圖、AP信息、域信息、ACTOP5告警等?；贏P資源統(tǒng)計：根據(jù)AP統(tǒng)計TOP5告警、當前AP性能KPI（AP關(guān)聯(lián)終端數(shù)、AP物理屬性、AP流量、射頻流量等）等。基于SSID資源統(tǒng)計：根據(jù)SSID統(tǒng)計AP、VAP、接入終端數(shù)等?；趨^(qū)域與位置資源統(tǒng)計：根據(jù)區(qū)域與位置統(tǒng)計AP總數(shù)、AP在線總數(shù)、STA在線總線等4網(wǎng)絡(luò)規(guī)劃建議4?1總體原則安全性原則：WIFI網(wǎng)絡(luò)作為開放性的無線接入網(wǎng)絡(luò)，同時又是電信運營級的網(wǎng)絡(luò)，所以網(wǎng)絡(luò)建設(shè)規(guī)劃時需注重對用戶的安全性及網(wǎng)絡(luò)的安全性的考慮?？煽啃栽瓌t：電信運營級的WIFI網(wǎng)絡(luò)需保證網(wǎng)絡(luò)的信號質(zhì)量、設(shè)備的穩(wěn)定運行、避免單點故障，為客戶提供可靠的WIFI無線接入業(yè)務(wù)。可運營性原則：WIFI網(wǎng)絡(luò)系統(tǒng)的設(shè)備應(yīng)方便管理，易于維護，便于進行系統(tǒng)配置，可統(tǒng)一的監(jiān)控設(shè)備參數(shù)、數(shù)據(jù)流量、系統(tǒng)性能等，并可以進行遠程管理和故障診斷?？蓴U展性原則：WIFI系統(tǒng)設(shè)備不但要滿足當前需要，并且網(wǎng)絡(luò)的擴展性方面要滿足可預(yù)見將來需求，如帶寬和設(shè)備的擴展，應(yīng)用的擴展和辦公地點的擴展等。保證建設(shè)完成后的系統(tǒng)在向新的技術(shù)升級時，能保護已有的投資。4.2帶寬模型設(shè)計首先明確了WIFI所承載的業(yè)務(wù)類型及其發(fā)展規(guī)模，然后分析業(yè)務(wù)流量，得出WIFI網(wǎng)絡(luò)或子網(wǎng)的覆蓋用戶數(shù)。單個AP覆蓋用戶數(shù)是設(shè)計網(wǎng)絡(luò)拓撲和網(wǎng)絡(luò)容量的基礎(chǔ)，也是網(wǎng)絡(luò)發(fā)展和擴容的依據(jù)。在WIFI建設(shè)初期，新建區(qū)域和改造區(qū)域的用戶入住率、業(yè)務(wù)滲透率可能較低，各地市本地網(wǎng)的情況會有較大差異，因此，滲透率不同對應(yīng)的每個AP覆蓋用戶數(shù)也不同。4?3SSID規(guī)劃企業(yè)園區(qū)無線網(wǎng)絡(luò)一般按照業(yè)務(wù)類型劃分不同的SSID(ServiceSetIdentification)。4.3.1SSID映射以太網(wǎng)中的VLAN通常，以太網(wǎng)中管理VLAN和業(yè)務(wù)VLAN分離。業(yè)務(wù)VLAN主要用于區(qū)分不同的業(yè)務(wù)類型或用戶群體。在WIFI網(wǎng)絡(luò)中SSID也同樣可以承擔(dān)相應(yīng)的工作。因此，在業(yè)務(wù)VLAN的規(guī)劃中必須綜合考慮VLAN與SSID的映射關(guān)系。業(yè)務(wù)VLAN應(yīng)根據(jù)實際業(yè)務(wù)需要與SSID匹配映射關(guān)系，映射關(guān)系有1:1、1:N、N:l、N:N四種，AC設(shè)備終結(jié)VLAN部署。VAP構(gòu)建AP可以配置多個SSID,XXX單頻AP可支持16個SSID，雙頻AP可支持32個SSID。通過配置多個SSID，可以將一個AP劃分為多個VAP（VirtualAccessPoint）,每一個SSID對應(yīng)一個VAP，AC針對VAP進行策略下發(fā)，VAP根據(jù)策略進行終端與業(yè)務(wù)管理。4.4漫游規(guī)劃漫游是指用戶在部署了WIFI網(wǎng)絡(luò)的場所移動時，用戶終端可以從一個AP的覆蓋范圍移動到另一個AP的覆蓋范圍，用戶無需重新登錄和認證。圖1-1用戶漫游切換示意圖園區(qū)網(wǎng)X JSSID:HUAWH 1**SSID:HUAWEI湮游切換①解隱用戶和API間的關(guān)聯(lián)

CD建立用口和刖2間的蕓聯(lián)如上圖所示，假設(shè)終端與AP1已經(jīng)建立關(guān)聯(lián)信息，隨著用戶位置的移動，終端切換到AP2,具體切換流程如下：客戶端在各種信道中發(fā)送802.11請求幀。AP2在信道6（AP2使用的信道）中收到請求后,通過在信道6中發(fā)送應(yīng)答來進行響應(yīng)?？蛻舳耸盏綉?yīng)答后，對其進行評估，確定同哪個AP關(guān)聯(lián)最合適。如圖中的標號1所示，刪除用戶與AP1現(xiàn)有的關(guān)聯(lián)?？蛻舳送ㄟ^信道1（AP1使用的信道）向AP1發(fā)送802.11解除關(guān)聯(lián)信息，解除用戶與AP1間的關(guān)聯(lián)。如圖中的標號2所示，客戶端通過信道6向AP2發(fā)送關(guān)聯(lián)請求，AP2使用關(guān)聯(lián)響應(yīng)做出應(yīng)答，建立用戶與AP2間的關(guān)聯(lián)。WIFI網(wǎng)絡(luò)漫游中需注意以下兩點：?漫游切換需要保證SSID相同，即兩臺AP切換區(qū)域需要配置相同的SSID。漫游切換AP必須是同一個AC管理。4?5IP地址規(guī)劃IP地址的規(guī)劃需要綜合考慮全網(wǎng)AC.AP和終端用戶。AC的IP地址：用于管理AP，可用私網(wǎng)、公網(wǎng)IP,—般通過靜態(tài)手工配置。AP的IP地址：只用于接收AC的管理，通常推薦使用私網(wǎng)IP,—般通過DHCPServer動態(tài)分配。終端用戶的IP地址，一般通過DHCPServer提供，DHCPServer可集成于BAS或AC，也可以獨立架設(shè)。終端用戶通常需要分配公網(wǎng)IP地址，只有在企業(yè)網(wǎng)、校園網(wǎng)或某些特定場景下，才需要考慮私網(wǎng)IP地址。對于AC和AP的IP地址分配方法，一般有如下幾種規(guī)劃方式:序號AC的IP類型AP的IP類型優(yōu)點劣勢1公網(wǎng)IP私網(wǎng)IP便于遠程管理，同時也可大大節(jié)省公網(wǎng)IP資源但是AC與AP之間需要L3發(fā)現(xiàn)，AP的地址由BAS或DHCP服務(wù)器分配。需要啟用option43來支持AC的L3發(fā)現(xiàn)2公網(wǎng)IP公網(wǎng)IP便于遠程管理但是浪費公網(wǎng)地址，不利于展開業(yè)務(wù)3私網(wǎng)IP私網(wǎng)IP節(jié)省公網(wǎng)IP地址需要考慮遠程網(wǎng)管的實現(xiàn)方式?？梢杂葾C作為DHCPserver來分配同一地址段的AP地址考慮到IPv4網(wǎng)絡(luò)中IP地址資源越來越緊缺，我們推薦AC使用公網(wǎng)IP地址，而AP使用私網(wǎng)IP地址。4.6VLAN規(guī)劃VLAN規(guī)劃的原則：管理VLAN和業(yè)務(wù)VLAN分離業(yè)務(wù)VLAN應(yīng)根據(jù)實際業(yè)務(wù)需要與SSID匹配映射關(guān)系(1:1/1:N/N:1/N:N)BRAS終結(jié)VLAN部署4.6.1管理VLAN對于瘦AP,管理VLAN是指AC與AP之間控制報文所帶VLAN?？刂茍笪陌ˋP上線時的報文(DHCP等)以及建立CAPWAP控制隧道后的控制隧道報文。由于在實際應(yīng)用中，AC需要按VLAN選擇DHCPSERVER，或RELAY還是透傳，因此管理VLAN和業(yè)務(wù)VLAN必須分離，以便滿足不同DHCP應(yīng)用的需求。如果AC/AP間經(jīng)過三層轉(zhuǎn)發(fā)，中間三層設(shè)備必須支持DHCPRELAY；同樣要注意區(qū)分管理VLAN和業(yè)務(wù)VLAN，使之采用不同的RELAY-GATEWAY，以便AC區(qū)別不同DHCP請求。4.6.2業(yè)務(wù)VLAN業(yè)務(wù)VLAN主要用于區(qū)分不同的業(yè)務(wù)類型或用戶群體，在WIFI中SSID也同樣可以承擔(dān)相應(yīng)的工作。因此，在業(yè)務(wù)VLAN的規(guī)劃中必須綜合考慮VLAN與SSID的映射關(guān)系。業(yè)務(wù)VLAN與SSID有如下四種映射關(guān)系：SSIDVLAN=1:1部署：例如對北京市西城區(qū)“金融大街”和“中央音樂學(xué)院”進行WIFI覆蓋，都是北京聯(lián)通WIFI網(wǎng)絡(luò)的覆蓋區(qū)域，所以希望用戶搜索到的WIFI只有一個SSID，如“北京聯(lián)通”；VLAN也只需要規(guī)劃一個，如1000；SSIDVLAN=1:N部署：雖然北京市西城區(qū)“金融大街”和“中央音樂學(xué)院”都是北京聯(lián)通WIFI網(wǎng)絡(luò)的覆蓋區(qū)域，用戶搜索到的WIFI只有一個SSID“北京聯(lián)通”，但希望規(guī)劃不同的VLAN標識不同的場點，如1000、1001，這個場景中，SSID.VLAN=1:N；SSIDVLAN=N:1部署：雖然都是北京聯(lián)通的覆蓋區(qū)域，但希望用戶搜索到WIFI就知道自己在什么地方了，因此需要兩個SSID，如“金融大街”和“中央音樂學(xué)院”，由于都是北京聯(lián)通的場所，VLAN只想規(guī)劃一個，如1000；SSIDVLAN=N:N部署：雖然都是北京聯(lián)通覆蓋區(qū)域，但希望用戶搜索到WIFI就知道自己在什么地方了，并希望通過不同的VLAN精細控制流量，因此需要兩個SSID，如“金融大街”和“中央音樂學(xué)院”，同時VLAN也要規(guī)劃兩個，如1000和1001；4?7認證模式4.7.1WIFI終端認證IEEE802.11標準要求WIFI終端在準備連接到網(wǎng)絡(luò)時，必需進行“身份驗證”。WIFI終端身份認證主要有兩種方式：開放系統(tǒng)認證(Open-systemAuthentication)和共享密鑰認證(Shared-KeyAuthentication)。開放系統(tǒng)認證是IEEE802.11標準要求必備的一種方法，是最簡單的認證算法，即不認證。如果認證類型設(shè)置為開放系統(tǒng)認證，則所有請求認證的客戶端都會通過認證。在這種方式下，接入點并未驗證工作站的真實身份，工作站以MAC地址作為身份證明，這種驗證方式可以讓所有符合802.11標準的終端都可以接入到WIFI網(wǎng)絡(luò)中來。開放系統(tǒng)身份驗證比較適合有眾多用戶的電信運營WIFI網(wǎng)絡(luò)。共享密鑰式認證必需使用加密方式，要求每個WIFI終端都鏡頭配置和AP完全一致的密鑰(key)。由于配置工作量較大，一般適用于企業(yè)網(wǎng)、校園網(wǎng)及家庭網(wǎng)絡(luò)等。二者對比如下:認證方式優(yōu)點劣勢適用場景開放式系統(tǒng)認證部署簡單，終端接入速度快，有效帶寬高安全性差：無法檢驗客戶端是否合法，任何知道無線局域網(wǎng)SSID的用戶都可以訪問網(wǎng)絡(luò)電信運營網(wǎng)絡(luò)共享密鑰式認證安全性較高：采用了加密方式對密鑰進行保護，空口密鑰數(shù)據(jù)不再明文傳輸配置復(fù)雜，可擴展性不佳：每臺終端和AP上都需要靜態(tài)配置一個很長的密鑰字符串有效帶寬較低：加密降低了傳輸效率企業(yè)網(wǎng)、校園網(wǎng)及家庭網(wǎng)絡(luò)等4.7.2用戶身份驗證相對于簡單的STA身份驗證過濾機制，鏈路層用戶身份驗證的安全性大大提高。通過提供有限的訪問權(quán)限來驗證用戶身份，只有確定用戶身份后才給予完整的網(wǎng)絡(luò)訪問權(quán)限，可有效判別用戶的合法性。鏈路層身份驗證時透明的，能配合任何網(wǎng)絡(luò)層協(xié)議使用。WIFI的鏈路層身份驗證主要有Portal(DHCP+WEB)、802.1X、PPPoE.WAPI等幾種認證方式。4.8網(wǎng)絡(luò)安全4.8.1組網(wǎng)保護XXXAC產(chǎn)品接口豐富，支持LACP(LinkAggregationControlProtocol，以下簡稱LACP)和MSTP(MultipleSpanningTreeProtocol,以下簡稱MSTP)等組網(wǎng)保護機制，可提供端口級冗余保護，及設(shè)備級1+1快速備份。4.8.2接入安全方案XXXAC均支持開放系統(tǒng)認證、WEP加密、共享密鑰認證、WPA/WPA2認證合加密、WAPI認證加密等無線接入安全特性。特性指標WIFI安全模板管理支持通過WIFI安全模板管理認證和加密方式。支持安全模板綁定到ESS模板。最多支持256個AP配置模板。OPEN-SYS方式認證支持“OPEN-SYS認證+無加密”方式。

特性指標WEP認證加密支持WEP的認證/加密方式。每個AP最多支持4個WEP加密方式的VAP。WEP認證加密在AP實施，認證結(jié)果通知AC。WPA/WPA2認證加密支持AC集中認證方式。支持“WPA/WPA2-PSK+TKIP”的認證/加密方式。支持“WPA/WPA2-PSK+CCMP”的認證/加密方式。支持“WPA/WPA2-802.1X+TKIP”的認證/加密方式。支持“WPA/WPA2-802.1X+CCMP”的認證/加密方式。WAPI認證加密支持AC集中式WAPI認證。支持WAPI多信任證書方式（3證書），兼容傳統(tǒng)雙證書方式。支持證書和私鑰合一的發(fā)放方式。支持WAPI加密的啟用/禁用。5工程設(shè)計WIFI無線局域網(wǎng)的網(wǎng)絡(luò)工程設(shè)計主要包括：頻率規(guī)劃、覆蓋規(guī)劃、鏈路預(yù)算和容量規(guī)劃等四個方面。5.1設(shè)計原則一般來說，普通辦公環(huán)境，要求中等密度連續(xù)覆蓋時；或用戶只對若干單個房間實現(xiàn)點覆蓋的情況下，AP的規(guī)劃較為簡單，可由用戶自行完成。比如，酒店的公共休息區(qū)，小酒吧，咖啡廳，會議室，西餐廳等區(qū)域，通常面積都不大（小于100平方米），每個場所放一個AP即可。或者從容量角度出發(fā)，確定所需AP數(shù)量后，選擇適當位置擺放AP即可。當在大面積區(qū)域，較為復(fù)雜的應(yīng)用環(huán)境，且用戶對傳輸速率和信號質(zhì)量要求較高時，建設(shè)WIFI需要對AP的架設(shè)位置、AP采用頻點、AP隔離距離、是否引入室分系統(tǒng)等進行專門的規(guī)劃。做一個WIFI的規(guī)劃，第一步，應(yīng)綜合考慮覆蓋和容量的兩個方面的因素，在了解用戶覆蓋范圍和覆蓋密度要求的基礎(chǔ)上，確定該網(wǎng)絡(luò)預(yù)計的AP數(shù)量及擺放位置；第二步，再根據(jù)各AP的擺放位置，根據(jù)一定原則來確定各AP應(yīng)設(shè)定占用的頻點。首先，從覆蓋角度而言，需考慮現(xiàn)場的無線傳播環(huán)境、空間面積、平面分布、建筑材料來確定單個AP在該空間內(nèi)可能的覆蓋范圍。其次，要收集預(yù)計該空間內(nèi)客戶端可能的用戶數(shù)量與密度，應(yīng)注意用戶對數(shù)據(jù)速率的要求、同時聯(lián)機數(shù)量等種種因素，這些因素都會影響到聯(lián)機的質(zhì)量和速率，故依實際環(huán)境的不同規(guī)劃方式會有較大差異。5?2頻點規(guī)劃基于IEEE802.ll系列標準的WiFi擁有2.4GHz和5GHz兩個頻段，其中2.4GHz頻段可選信道有14個，每個信道帶寬為22MHz，只有3個信道相互之間無干擾，我國選用1、6、11等三個信道；5GHz頻段可選信道為27個，我國選用149、153、157、161及165等五個信道。在WIFI的工程部署中，往往需要多個AP,如果不同的AP工作在相同的頻道，就可能形成同頻干擾。為保證頻道之間不相互干擾，在多個頻道同時工作的情況下，就要求兩個頻道的中心頻率間隔不能低于25MHz。為了擴大覆蓋范圍和提高頻譜利用率，WIFI也需要引入蜂窩結(jié)構(gòu)，對于1、6和11三個信道交錯使用，具體的覆蓋示意圖如下:1：代表信道12：代表信道63：代表信道115.3覆蓋規(guī)劃XXXWIFI網(wǎng)絡(luò)覆蓋規(guī)劃包含以下步驟：a） 射頻信號模擬測試（可選）由于室內(nèi)傳播環(huán)境的復(fù)雜性，目前還沒有成熟的規(guī)劃工具可以精確的預(yù)測出室內(nèi)覆蓋的情況。另外室內(nèi)覆蓋使用的傳播模型相對簡單，在實際應(yīng)用的各種場景需要進行適當?shù)男拚?、調(diào)整以便更準確的進行覆蓋預(yù)測。根據(jù)方案設(shè)計和天線布設(shè)的原則將模擬信號源架設(shè)好，利用場強測試設(shè)備進行信號覆蓋情況的測試。主要目的：確定該建筑信號傳播特點、確定合適的天線位置。b） 室內(nèi)/外系統(tǒng)勘測通過現(xiàn)場勘測確定站點的基本情況，了解建筑周圍的傳播環(huán)境，以明確選用何種部署方式（室內(nèi)放裝、室內(nèi)分布和室外覆蓋）。各區(qū)域的用途，幫助工程師確定容量、覆蓋和業(yè)務(wù)質(zhì)量要求，避免圖上作業(yè)的局限。站點勘測可以幫助確定AP、天線安裝位置，以及走線路由。根據(jù)勘查計劃，進行站點無線勘測?？睖y過程中需要記錄以下信息：周圍無線傳播環(huán)境條件（照片）、建筑空間分割等的現(xiàn)場查看，可能的AP安裝位置位置，弱電井可能走線位置。另外勘測中需要詢問各空間的用途，判斷話務(wù)類型、高峰時間。另外注意電梯、出入口人員移動路線。幫助確定容量、切換區(qū)的設(shè)置。c）覆蓋設(shè)計與預(yù)測覆蓋預(yù)測過程和無線站址勘測過程是緊密關(guān)聯(lián)的。在網(wǎng)絡(luò)規(guī)劃過程中，覆蓋預(yù)測通常并不是一次就可以達到網(wǎng)絡(luò)規(guī)劃目標，需要進行若干次的反復(fù)調(diào)整。預(yù)測的主要內(nèi)容包括：輸入數(shù)據(jù)采集，預(yù)測工作，預(yù)測報告。d）解決方案和拓撲結(jié)構(gòu)根據(jù)建筑的情況確定使用的產(chǎn)品方案，主要方案：室內(nèi)放裝AP,室內(nèi)AP+DAS覆蓋，室外AP+網(wǎng)橋，室外AP+光纜等。還需要確定能否共享存在的室內(nèi)分布系統(tǒng)，以及共享的方案。并且根據(jù)建筑的情況設(shè)計室分系統(tǒng)的拓撲、路由等。根據(jù)建筑的面積、用途、結(jié)構(gòu)特點，確定信號源的選取和具體的覆蓋方案。確定功分器、合路器、天線的射頻器件選用。繪制WIFI室分系統(tǒng)的系統(tǒng)原理圖（拓撲圖）。該部分工作一般是基于建筑的圖紙和用途等信息的基礎(chǔ)做出，一般沒有經(jīng)過現(xiàn)場勘測，或者少量的勘測。5.4鏈路預(yù)算WIFI鏈路預(yù)算一般經(jīng)過以下步驟：確定邊緣場強分析傳輸模型，確定空間傳播損耗公式確定空間傳播損耗根據(jù)公式計算覆蓋距離，判定是否滿足覆蓋要求5.4.1確定邊緣場強一般地，在WIFI工程部署中，要求重點覆蓋區(qū)域內(nèi)的WIFI信號到達用戶終端的電平不低于一75dBm。5.4.2分析傳輸模型，確定空間傳播損耗公式對接收電平的估算通常采用如下公式：Pr[^]=珂羽]+G^dB]-P^dB}+其中：Pr[dB]為最小接收電平，即為AP在不同傳輸速率下的接收靈敏度;Pt[dB]為最大發(fā)射功率；Gt[dB]為發(fā)射天線增益；Gr[dB]為接收天線增益；Pl[dB]為路徑損耗（包括空間傳播損耗、饋線傳播損耗、墻體/玻璃阻擋損耗）；5.4.3確定空間傳播損耗實際部署中終端天線增益不可知，為方便計算常忽略接收天線增益，而采用如下公式：到達用戶端的信號電平=AP發(fā)射功率+AP天線增益一路徑損耗路徑損耗包括：AP到天線間的饋線損耗：適用于室內(nèi)分布式部署，在室外部署時如果饋線過長也需考慮WIFI信號的空間損耗：適用于所有部署方式，根據(jù)電磁波空間衰減公式計算?？臻g損耗=92?4+201gf+201gd（f：GHz,d：km）由公式推算可知：空間傳輸距離100m200m300m400m500m600m1000m2.4GHz信號的空間衰減（dBm）808689.5929495.51005.8GHz信號的空間衰減（dBm）87.693.697.199.6101.6103.1107.6?墻體/玻璃阻擋：適用于所有部署方式，一般根據(jù)經(jīng)驗值判定。2.4GHz電磁波對于各種建筑材質(zhì)的穿透損耗的經(jīng)驗值如下：鋼筋混凝土墻：20-30dB；木制家具、門和其它木板隔墻阻擋2-15dB；厚玻璃（12mm）：10dB5.4.4根據(jù)公式計算覆蓋距離，判定是否滿足覆蓋要求為便于理解鏈路估算的過程，這里給出一個室外場地覆蓋的預(yù)算案例：根據(jù)WIFI覆蓋邊緣場強的要求，到達終端用戶的信號電平不低于一75dBm,500mWAP

的輸出電平27dBm，天線增益9dBi,距離AP500m時信號的衰減量94dBm,可知:27+9-94=-58dBm，大于-75dBm,因此在正常情況下，AP可以為500M處用戶可以提供滿速率接入。5.5室內(nèi)分布室內(nèi)分布式部署是當前WIFI建設(shè)的主要形態(tài)。大對數(shù)情況下，WIFI的室內(nèi)分布覆蓋都會共用原有的2G/3G室內(nèi)分布系統(tǒng)，我們只需要在現(xiàn)網(wǎng)的室分系統(tǒng)中選擇合適的接入點，利用合路器將WIFI信號饋入到原有室分系統(tǒng)即可，施工方便快捷，可以快速開通網(wǎng)絡(luò)。大功率刖濾液合路大功率刖濾液合路圖5-1WIFI室分系統(tǒng)示意圖WIFI共用現(xiàn)有2G/3G室內(nèi)天饋系統(tǒng)時，需要注意如下幾點：1、 WIFI信號頻率高于原有2G/3G業(yè)務(wù)信號，原室分系統(tǒng)中的功分器、耦合器、天線等部件能否滿足WIFI信號工作頻段要求，如果滿足不了頻段要求，這些部件需要重新更換。2、 需綜合考慮原有室分系統(tǒng)對WIFI信號的衰減能否滿足到達天線端的輸出功率在8?13dBm范圍內(nèi)，如果超差過大需要重新選擇合適的接入點或者合適的功分器、耦合器來匹配輸出功率要求。3、 需分析WIFI信號接入對原有2G/3G業(yè)務(wù)信號的影響，避免發(fā)生串擾，導(dǎo)致兩個系統(tǒng)的性能都被惡化。特別對于3G信號與WIFI信號的合成，由于頻段非常接近，進行合路時，一定要保證合路器具有足夠的帶外抑制，否則，合路信號將可能產(chǎn)生串擾，導(dǎo)致兩個系統(tǒng)的性能都被惡化。對于多路信號的合一，不管在室內(nèi)還是室外，通常都要用到合路器部件。合路器既是個合路設(shè)備，同時也可以看成一個帶通濾波器，它對于不同頻率信號具有很好的帶外抑制作用,

保證不同頻段的信號間有足夠的隔離度指標，從而實現(xiàn)共天饋系統(tǒng)，有助于減少天線數(shù)量和饋線長度，甚至減少架設(shè)天線的場地，大大降低了網(wǎng)絡(luò)建設(shè)成本。下圖為三頻合路器示意圖：對于頻段接近的信號合路，需要先明確系統(tǒng)間的隔離度要求，再根據(jù)該指標要求選擇滿足要求的合路器使用。通過三頻