3.無線網絡解決方案設計

3.1 無線網絡總體架構

在傳統無線網絡建設中，有一個始終令網管人員感到頭痛的問題，那就是對AP的管理、監控以及AP自身固件的升級。由于傳統AP是一種稱作為“FAT AP”，即自身需要有相應控制軟件以及獨立的配置才能運行，而由于AP是一種接入層設備，數量較多，且由于工廠網絡的復雜性以及業務的多樣性，導致需要根據各“熱點”區域進行相應配置，并且還需要網管員對這些特殊配置進行記錄，以方便日后維護；此外，在日常運行中，還需要了解這些數量眾多AP的工作狀態及性能等數據，而一般AP管理工具功能太過簡單，如果采用有線網絡網管軟件，由于沒有很好的對無線網絡做相應的開發與支持，從而不能很好的管理無線網絡。

因此，我方結合富士達工廠無線網絡需求情況,本設計方案按照 漢明科技和 Motorola(摩托羅拉科技) AP+AC的結構化無線網絡解決方案進行設計。整體框架基于瘦AP方式部署，采用AC（無線控制器）對AP進行集中管理、控制、配置策略的下發，以及對接入終端的認證、數據分布式/集中式轉發、漫游等功能，操作和維護工作只需要在AC上進行即可。在該架構中，AP只負責無線信號的收發，不作MAC層及其以上的協議層處理，所有的智能工作都由AC完成。

圖3-1 網絡結構拓撲圖

漢明科技和 Motorola(摩托羅拉科技)基于瘦AP+AC架構方案的優勢在于：

1. 無縫漫游：通過 AC無線控制器管理，所有的AP均稱為瘦AP模式，可以實現無縫漫游，即所有AP覆蓋范圍內，兩地之間自動切換WIFI信號，不會產生斷網和數據丟失。

2. 集中式轉發：AC管控設備可強制使所有無線數據經過AC進行安全過濾，再轉發到主干網絡，這樣有利于數據的集中管控，提高網絡安全性。

3. 零配置：通過在AC管控設備部署好無線策略，所有的AP設備無需單獨進行設置，直接接入網絡即可自動獲得配置信息，極大的便于管理和維護。

4. 負載均衡：兩個AP設備共同覆蓋的區域，當其中一個AP接入用戶數較多，AC可自動進行調控，轉移部分用戶到另一個A P，分減負擔，達到更好效果。

3.2 無線網絡功能設計

1.零配置/即插即用功能：AP上不需要進行任何配置，只要接入到網絡就可以工作；

2.軟件自動升級功能：AP的軟件完全實現自動升級；

3.批量配置功能：對連接到無線控制器的眾多AP進行批量配置；

4.動態信道分配功能：無線控制器可以為AP自動分配信道，并在受到干擾時切換到最優信道；

5.自動發射功率調整功能：AP發生故障后，鄰居AP可以提高自身功率，以彌補覆蓋空洞；

6.網絡負載分擔功能：既可以實現用戶在不同AP下的負載分擔，也可以實現AP在不同無線控制器下的負載分擔；

7.快速切換功能：用戶在同一無線控制器的不同AP之間漫游時，可以大大提高切換速度，切換時延只有8~9毫秒；

8.跨區組網功能：對于分散在不同區域的AP依然可以通過城域網連接到無線控制器，而且AP無需任何配置；

9.跨IP子網漫游功能：無線工作站無需作任何改動，可以在不同的IP子網進行無縫漫游；

3.3機房和供電管理

在中心機房通過AC管理器旁接到核心交換機，這樣就可以管理所有接入網絡的AP設備，監測運行狀態、配置下發策略、自動調控等。同時對所有經過AP的WIFI數據，進行集中式轉發，整體過濾。

所有無線AP設備，在工廠環境下，不宜接入電源適配器供電，均采用網線來進行供電，所以，需在機房加設POE供電交換機。由于每層樓的弱電系統的走線，都匯聚到樓層弱電間，故建議每樓層弱電間加設POE交換機，根據需求，可分別加設8口、16口、和24口交換機。

3.3 無線網絡安全性設計

WLAN利用了不可見的公用媒介進行空中信號傳播，安全問題是部署無線的巨大挑戰。無線網絡的安全性設計體現在接入認證、數據加密、安全策略三個層面。接入認證實現對接入無線網絡的終端和用戶進行接入合法性檢查；數據加密對終端和AP之間的數據進行加密處理，防止竊聽；安全策略采用用戶隔離、SSID隱藏、MAC地址過濾等技術手段抵御惡意用戶的攻擊行為。

3.3.1.接入認證方案設計：

AP產品支持MAC地址認證、預共享密鑰認證、802.1X認證、portal認證。如果用戶網絡中已包含ruidius認證服務器，我們建議用戶采用802.1x認證或portal認證方式實現對接入用戶的準入。也可以在用戶現有網絡認證系統的基礎上進行擴展，把無線系統的接入控制加入到現有認證系統中，實現用戶網絡認證系統的統一性和完整新。

802.1x認證是一種基于端口的網絡接入控制協議，該技術也是用于WLAN的一種增加網絡安全的解決方案。當客戶端與AP關聯后，是否可以使用AP提供的無線服務要取決于802.1x的認證結果。如果客戶端能通過認證，就可以訪問WLAN中的資源；如果不能通過認證，則無法訪問WLAN中的資源。

Portal認證也稱為Web認證，一般將Portal認證網站稱為門戶網站。未認證用戶接入wlan后上網時，打開瀏覽器，portal網關設備將強制用戶登錄到特定站點，提示用戶輸入用戶名和密碼，只有認證通過后才可以使用互聯網資源。

若用戶現有網絡系統中無完整、統一的認證系統，可以采用較為簡便的PSK預共享密鑰認證，PSK認證需要在無線客戶端和設備端配置相同的預共享密鑰，如果密鑰相同， PSK接入認證成功；如果密鑰不同，PSK接入認證失敗。

3.3.2.數據加密方案設計：

采用漢明科技獨有的E-CARD專利技術對AP與終端之間的數據進行加密。

漢明科技除了支持WIFI通用的安全策略和中國標準的WAPI安全標準外，還發明了《一種基于E-CARD的加密保護方法》、《一種用戶和無線點之間的專有加密保護方法》、《一種基于心跳的WLAN網絡資源防盜方法》三個關于WIFI的安全專利。其中，E-CARD加密保護方法在提高數據加密等級的基于上，對數據加密性能和效率進行了極大的優化。本方案中，AP與終端設備之間采用E-CARD技術進行加密。采用E-CARD技術對全網數據進行機密保護。由于采用漢明獨有專利技術，使得對加密數據的破解更為不可能。

3.3.3.安全策略方案設計：

1.隱藏SSID，不主動廣播SSID信息，終端采取主動尋找方式進行接入，可以防范外來用戶使其無法搜索到該SSID的信號，故也無法接入。

2.MAC地址過濾功能，只有特許的mac對應的wifi終端才能接入。

3.用戶隔離功能，接入同一SSID的用戶之間二層隔離，保障二層安全，避免ARP攻擊、DHCP餓死攻擊、廣播風暴等二層攻擊行為。

3.4 無線網絡管理框架設計

在傳統無線網絡建設中，有一個始終令網管人員感到頭痛的問題，那就是對AP的管理、監控以及AP自身固件的升級。由于傳統AP是一種稱作為“FAT AP”，即自身需要有相應控制軟件以及獨立的配置才能運行，而由于AP是一種接入層設備，數量較多，且由于酒店網絡的復雜性以及業務的多樣性，導致需要根據各“熱點”區域進行相應配置，并且還需要網管員對這些特殊配置進行記錄，以方便日后維護；此外，在日常運行中，還需要了解這些數量眾多AP的工作狀態及性能等數據，而一般AP管理工具功能太過簡單，如果采用有線網絡網管軟件，由于沒有很好的對無線網絡做相應的開發與支持，從而不能很好的管理無線網絡。

而采用漢明科技無線整體解決方案架構下的無線網絡，AP是一種被稱作“THIN AP”的結構，由于AP本身沒有任何需要配置的參數，同時AP與中心無線控制器之間采用CAPWAP協議進行通信，AP的固件、配置信息均由中心的POE交換機提供，并且AP與漢明科技無線交換之間采用“心跳”機制定時保持通訊，為了解決傳統“FAT AP”能夠集中管理、配置、升級AP；AP與漢明科技無線控制器之間采用“心跳”機制，定時保持通訊，無線控制器能夠非常及時的了解AP的工作狀態。

集中式無線網絡管理方案大大提高了用戶對網絡系統的易維護性，在AC上實現對所有AP、接入用戶的狀態監視、配置管理，遠程操作等。AC設備集成DHCP服務、RADIUS認證服務、PORTAL認證服務，為客戶提供統一的管理界面。瘦AP和無線控制器系統有非常強大的集中管理功能，所有的關于無線網絡的配置都可以通過配置無線控制器器統一完成。例如開通、管理、維護所有AP設備以及移動終端，包括無線電波頻譜、無線安全、接入認證、移動漫游以及接入用戶等所有功能。漢明科技AC產品為Web圖形化界面設計，提供友好、簡捷的人機界面，方便用戶維護、管理。

3.5 WLAN頻率規劃

WLAN 802.11b/g/n工作在2.4GHz頻段，頻率范圍為2.400～2.4835GHz，共83.5M帶寬，劃分為13個子信道，每個子信道帶寬為22MHz。子信道分配如下圖所示。

AP頻段示意圖AP頻段示意圖AP頻段示意圖

在使用2.4GHz頻點時，為保證信道之間不相互干擾，要求兩個信道之間間隔不低于25MHz。在一個覆蓋區內，最多可以提供3個不重疊的頻點同時工作，通常采用1、6、11三個頻點。WLAN頻率規劃需綜合考慮建筑結構、穿透損耗以及布線系統等具體情況進行。

AP頻段示意圖（同一樓層使用3個AP）

AP頻段示意圖2（三個樓層AP部署頻段）

3.6 無縫漫游設計

在wifi網絡中，用戶終端通過關聯AP廣播的SSID進行wifi接入。移動漫游過程中，用戶終端會對關聯的AP進行切換，在切換過程總，不可避免的將發生“切斷上一個連接、關聯下一個連接”的過程，導致用戶上網體驗中斷和業務丟包現象。

本方案中，基于漢明科技獨有的HACIP無縫漫游切換技術，使AP間漫游切換時間<30ms,確保無線客戶端在移動中也能不中斷網絡服務。在漫游區間內，不同的AP廣播同一個SSID，且都歸屬于一個相同的vlan。這樣，用戶在漫游過程中，由于關聯的始終為同一個SSID，且用戶始終處于同一個VLAN，使得用戶無需重新獲取IP地址進行重認證，大大減小漫游切換時間。在整個WLAN覆蓋區域內，終端用戶跨房間，跨樓層都能保證用戶網絡暢通，徹底消除了在胖AP模式下，由于移動導致掉線后，還需要重新認證的煩惱。

AP間WIFI信號漫游示意圖

基于HACIP技術的漫游切換過程

用戶在AP1的范圍內，通過AP1與網絡進行連接，當用戶處于AP1與AP2交叉范圍內時，用戶在與AP1連接的同時，與AP2做好連接的準備，當用戶到達AP2的范圍時，通過AP2與網絡進行連接,用戶感覺不到AP的切換造成的網絡中斷現象。

漢明科技HACIP快速漫游切換技術特點如下：

1 無線漫游過程對無線終端而言透明化

2 無線終端漫游過程中,IP地址和TCP連接保持不變，不影響用戶的上網過程

3 漫游切換過程小于30ms

4 漫游過程中，無線終端不改變ip地址，無需重新認證