无线网络技术建议书

无线网络建设技术建议书
杭州华三通信技术有限公司
目录
一、概述 (3)
1.1 无线局域网概述 (3)
二、创兴金融中心一楼大厅无线局域网项目建设需求 (4)
三、网络建设原则 (5)
四、网络建设方案 (6)
4.1无线网络基础方案 (6)
4.2 用户接入认证方案 (7)
4.3网络加密方案和SSID隐藏 (8)
4.4网络管理方案 (8)
4.5 H3C方案的优点 (9)
4.6 无线网络规划 (11)
4.6.1 频率规划 (11)
4.6.2 频率复用 (12)
4.6.3 AP容量规划 (13)
五、覆盖方案 (14)
5.1覆盖方案说明 (14)
5.2 覆盖效果理论计 (15)
六、产品选型 (16)
6.1无线AP选择 (16)
6.2无线控制器选择 (22)
一、概述
1.1 无线局域网概述
无线局域网（WLAN）技术于20世纪90年代逐步成熟并投入商用，既可以作传统有线网络的延伸，在某些环境也可以替代传统的有线网络。

对比传统的有线传输解决方案，使用WLAN网络实现数据传输具有以下显著特点：
➢简易性：WLAN网络传输系统的安装快速简单，可极大的减少敷设管道及布线等繁琐工作；
➢灵活性：无线技术使得WLAN设备可以灵活的进行安装并调整位置，使无线网络达到有线网络不易覆盖的区域；
➢综合成本较低：一方面WLAN网络减少了布线的费用，另一方面在需要频繁移动和变化的动态环境中，无线局域网技术可以更好地保护已有投资。

同时，由于WLAN
技术本身就是面向数据通信领域的IP传输技术，因此可直接通过百兆自适应网口
和企业内部Intranet相连，从体系结构上节省了协议转换器等相关设备；
➢扩展能力强：WLAN网络系统支持多种拓扑结构及平滑扩容，可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统；
随着WLAN技术的快速发展和不断成熟，目前在国内外已经具有较多的政府机构使用WLAN技术布置无线城域网，进行承载部分政府业务，诸如：电子政备、消防、公安信息等等，如：美国费城、荷兰阿姆斯特丹等。

无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。

第一代无线局域网主要是采用Fat AP，每一台AP都要单独进行配置，费时、费力、费成本；
第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置，其管理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈，由于这一代技术的AP储存了大量的网络和安全的配置，包括加密的钥匙，Radius client的安全密码(secret) 等，而AP又是分散在建筑物中的各个位置，一旦AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。

另外由于AC或无线网关的硬件多数是基于Pentium架构
的，所以当用户接入数量 (IP sessions)增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。

在这样的环境下，基于无线交换机技术的第三代WLAN产品应运而生。

第三代无线局域网采用无线交换机和FIT AP的架构，对传统WLAN设备的功能做了重新划分，将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现，同时加入了许多重要新功能，诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。

，使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。

表1 FAT AP与FIT AP两种组网方案对比
二、创兴金融中心一楼大厅无线局域网项目建设需求
无线网络是要保证大厅内所有用户能够通过认证后随时使用网络，重点覆盖区域为大厅、咖啡吧等，大厅内要求无盲点，保证优质的信号质量。

客人接入无线网具有多平台设备，可能是PDA、笔记本、智能手机、或其它可与无线交互的设备。

同时，为了未来扩展店内可能的无线办公系统，该无线网络必须具有一定的安全性和可管理性。

客户的要求包括以下几点：
1．实现大厅、咖啡吧等位区的覆盖
大厅内需要将信号覆盖到如下区域：大厅、咖啡吧等位区，使得客人和店内工作人员都能随时随地的接入到网络中。

2.网络的安全性
由于无线网络可以随时随地接入，故如果店内工作人员使用内部无线网络时，必须有相应的加密和认证机制，才能保证网络的安全性和保密性。

3.客户接入认证
客户接入无线可根据店内要求配置为两种：（1）开放认证，接入无线网时不需要身份认证，只有客户发起HTTP请求时，PORTAL服务器推送事先定制的验证页面，验证通过后开放网络资源。

（2）非开放认证，客户接入到无线网SSID时，事先做身份认证，认证通过后开放网络资源。

三、网络建设原则
结合WLAN的实际应用和发展要求，公众无线局域网(PWLAN)网络系统设计，主要遵循以下系统总体原则：
⏹实用性原则：以现行需求为基础，充分考虑发展的需要来确定系统规模。

⏹安全性原则：厂房内有关数据有一定的安全需要，需要有加密和认证的机制。

不能
随意被外来人员接入。

⏹可靠性原则：系统设计能有效的避免单点失败，在设备的选择和关键设备的互联时，
应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网
络能在最短时间内修复。

⏹成熟和先进性原则：由于WLAN应用于运营网络仍然属于新新技术，需要及时将新
技术引用进来，更好的开展业务，同时也要求保证网络与业务的可靠性。

⏹规范性原则：系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和联
通WLAN企业标准，为系统的扩展升级、与其他系统的互联提供良好的基础。

⏹开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；
设备的各种接口满足开放和标准化原则。

⏹可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预
见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。

保证建设完
成后的系统在向新的技术升级时，能保护现有的投资。

可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控
制，并可以进行远程管理和故障诊断。

四、网络建设方案
1、根据目前创兴金融中心一楼大厅的用户规模和网络状况，拟采用无线控制器(AC)+瘦AP（Fit AP）的组网方式，瘦AP实现无线信号的处理，而用户管理、加密、漫游、AP 管理等功能全部集中到AC进行，这样可以简化整个网络的管理，提高设备的工作效率。

2、AP的供电采用以太网供电（Power Over Ethernet，PoE），通过以太网线来汇聚AP 的流量，同时为AP提供电源，这样可以简化布线，同时减少故障点，提高网络的可靠性。

3、如果AP的安放点在天花板上面，为保证信号质量，建议采用外接天线的方式，天线采用吸顶式美化天线吸于天花板下方，不影响整体美观。

4、可以采用802.11N 300M或802.11a/b/g 54M无线AP，802.11N向下兼容A/B/G技术，同时天线采用多收多发技术，速率上比802.11a/b/g技术可高于6倍。

但802.11a/b/g 目前仍属于主流，其稳定性与性价比仍是目前大多数用户的选择。

4.1无线网络基础方案
由于大厅面积比较大、布点相对受限，综合考虑，建议使用FIT AP方案，对AP使用无线控制器WX3010进行统一管理。

如前文所述，使用瘦AP方案可以使得管理非常简单，并具有很多胖AP无法实现的特性，比如AP零配置，自动功率控制，漫游，防止非法设备入侵等等。

如果使用移动中的终端用户从一个AP走到另外一个AP的覆盖范围下时，H3C的WLAN 可以实现小于50毫秒的切换时间，完全可以应付语音和视频这些对时间比较敏感的应用。

在AP的接入方面，H3C拥有智能射频管理，当某一个AP出现故障时，周围的其他AP 会自动调整功率，对该部分区域进行重新的信号覆盖，保证信号的良好覆盖。

而当有非法AP进入无线网络造成信号干扰时，H3C只能射频管理系统可以定位出该AP的位置，以便及时加以排除。

使用无线控制器+FIT AP时，AP在启动后会自动通过DHCP方式获取IP地址，并自动搜寻可关联的无线控制器，在和无线控制器建立CAPWAP隧道之后会自动从无线控制器下载配置文件和更新软件版本。

FIT AP组网最大的优点在于AP本身零配置，AP上电后会自动从无线控制器下载软件版本和配置文件，同时无线控制器会自动调节AP的工作信道以及发射功率。

另外，通过无线控制器的RF扫描探测热点地区Rouge AP，可以及时排除其他AP存在的干扰，保障AP的稳定运行。

在网络管理方面，网管可以只通过管理无线控制器设备就可以达到控制AP的效果，极大的减少了无线网络后期维护和管理的工作量。

4.2 用户接入认证方案
该项目对安全有着一定的要求，必须能够防止外来人员使用网络获取网内重要资料或对网络进行攻击。

H3C认证方案采取三重保障，第一层保障是MAC地址认证，第二层保障是服务区标识符 ( SSID ) 匹配，第三层保障是802.1x认证。

MAC地址认证每个无线客户端网卡都由唯一的48位物理地址（MAC）标识，可在AP 中或者AC重维护一组允许访问的MAC地址列表，如果用户的MAC地址是合法的，AP才会对用户的流量进行进一步的处理，如果用户的MAC地址是非法的，那么AP就会丢弃用户的流量，这样就可以实现物理地址过滤，确保非法用户不能访问无线网络。

服务区标识符( SSID ) 匹配无线客户端必需设置与无线访问点AP相同的SSID ，才能访问AP；如果出示的SSID与AP的SSID不同，那么AP将拒绝它通过本服务区上网。

利用SSID设置，可以很好地进行用户群体分组，避免任意漫游带来的安全和访问性能的问题。

可以通过设置隐藏接入点（AP）及SSID区域的划分和权限控制来达到保密的目的，因此可以认为SSID是一个简单的口令，通过提供口令认证机制，实现一定的安全。

IEEE802.1x 认证是一种基于端口的访问控制技术，是用于无线局域网的一种增强网络安全解决方案。

当无线工作站STA与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。

如果认证通过，则AP为STA打开这个逻辑端口，否则不允许用户连接网络。

4.3网络加密方案和SSID隐藏
除了要对用户的身份加以认证外，还必须保证所有人的通信不会被中间人截获、窃听甚至篡改。

这就要求该无线网络必须拥有较强的加密能力。

H3C WLAN支持目前最先进的各种加密算法AES，并支持802.11和802.11i中规定的各种加密模式，包括WEP、TKIP和CCMP等，完全可以满足用户的安全需要。

当用户使用这些加密方式时，其他人使用任何设备均不可能破解用户传输的内容。

此外，H3C还支持我国自主知识产权的WAPI，安全性更高。

4.4网络管理方案
作为接入层网络，及后期可能增加AP，无线网络可能有较多的AP，维护工作量较大，加之无线网络的灵活性和不可见性，如果对每个AP进行单独管理则会造成较高的维护开销，也给管理人员带来了一定的难度。

而且无线网络直接面对最终用户，对管理系统稳定性、实时性、有效性要求都较高。

H3C使用WSM无线业务管理器应能对无线网络中的AP、AC等设备作到统一管理。

WSM
无线业务管理器依托iMC智能管理平台，实现有线无线一体化的管理，在iMC系统全面的有线网络管理的基础上，为用户提供无线网络管理能力。

用户无需重新搭建IT管理平台，即可在原有的有线网络管理系统中增加无线管理功能，与有线管理平台统一部署，节省用户投入，节约维护成本。

iMC智能管理中心采用分布式、组件化、跨平台的开放体系结构。

通过选择安装WSM无线业务管理器，用户可以获得全面的无线业务管理能力，实现AC设备、FAT AP设备、FIT AP 设备、移动终端等无线设备的集中管理，轻松实现设备配置管理功能，并提供资源分组、无线拓扑功能，对全网无线设备进行直观有效的组织，对网络部署和设备状态一目了然，策略模板等功能实现网络和设备的批量配置，提升效率，降低维护工作量，降低维护成本。

基于Web的管理系统，为无线业务管理者提供了简便、友好的管理平台。

与iMC智能管理平台及其它组件配合，还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理、用户认证管理等功能，并可对网络中的其它设备进行统一管理，真正实现有线无线一体化管理。

4.5 H3C方案的优点
AP零配置
无线控制器＋FIT AP控制架构对设备的功能进行了重新划分，其中无线控制器负责无线网络的接入控制，转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制；FIT AP负责802.11报文的加解密、802.11的PHY功能、接受无线控制器的管理、RF空口的统计等简单功能。

H3C公司在支持这种新的网络架构时将一些新的智能功能集成进FIT AP 和无线控制器中，以便于给用户呈现统一的网络管理接口：
1、FIT AP的配置保存在无线控制器中，FIT AP启动时会自动从无线控制器下载
合适的设备配置信息
2、FIT AP需要能够自动获取IP地址，同时FIT AP需要能够自动发现可接入的无
线控制器，并对无线控制器和FIT AP之间的网络拓扑不敏感
3、无线控制器支持FIT AP的配置代理和查询代理，能够将用户对FIT AP的配置
顺利传达到指定的FIT AP设备，同时可以实时察看FIT AP的状态和统计信息
4、无线控制器保存FIT AP的最新软件，并负责FIT AP软件的自动更新
H3C公司通过这一全新的网络管理接口可以很好的解决目前型WLAN网络组网中存在的管理问题：
1、用户只需要建立业务参数模板和设备参数模板，并设定指定的AP引用这些模
板，当FIT AP启动时无线控制器会根据预先的配置引用信息给FIT AP下发配
置，用户的配置工作量大大减少。

2、用户对FIT AP的管理是通过无线控制器来代理完成，网管不再关心FIT AP的
IP地址，FIT AP和无线控制器之间的关联是自动完成，不再需用户对AP进行
的配置干预。

3、无线用户的数据报文被FIT AP封装在AP和AC间的数据隧道中，接入AP的边缘
网络不需要再为无线用户的接入而更改VLAN和ACL等配置
4、无线控制器保存了所管理的FIT AP的运行状况和在线用户统计信息，维护人
员只需登录到指定的无线控制器就可以完成信息察看。

用户对FIT AP的管理
是通过无线控制器来代理完成，因此在线更改服务策略设定和安全策略设定
也不再需要逐一登录到AP设备，而只需要登录到指定的无线控制器就可以完
成设置，无线控制器会自动把新的配置下发到指定的FIT AP。

5、用户不再需要手动逐一对AP设备进行软件升级，AP在每次重新启动时会自动
比较当前运行的版本和无线控制器上保存的版本，如果无线控制器上保存的
版本更新，FIT AP会自动更新本地的软件影像。

6、AP本地不再保存配置信息，即使设备丢失也不存在因配置丢失而出现的安全
隐患。

⏹电信级产品质量保证
H3C自2003年公司成立以来就继承了业界领导厂商华为和3Com的WLAN产品。

整个无线产品的规划器都是按照电信级设计，从阻容到主处理芯片，每一个元器件都经过严格质量认证和技术认证，基本上是选用一流供应商的元器件，保证元器件的性能和品质。

在产品生产上，H3C公司采用业界先进的IPD CMM3.0集成产品开发流程，有严格的质量管理体系，从全流程的每一个环节控制产品质量。

⏹强大的研发团队，自主知识产权，快速响应客户需求
H3C的研发团队分布在北京、杭州、深圳和印度，海外研发中心紧跟前沿技术脚步，国内研发中心快速响应客户需求。

H3C全系列WLAN产品采用完全自主研发的软件，并采用了业界最为严格的测试标准，由位于北京的独立的鉴定测试中心来最终鉴定产品能否达到质量标准。

此外由于自主开发软件，完全掌握知识产权，很容易根据客户的要求定制特殊功能，以满足特定情况下的应用。

⏹完善的服务体系
H3C公司在全国建立了30个区域服务中心和区域备件系统，承诺为客户提供专业、快捷、规范的服务，通过先进的通信技术与总部的技术服务平台连接，完成客户档案、维护经验案例、备件库存、产品发布等信息的共享，形成覆盖全国地市级城市，专职人员规模超过400人的技术服务体系。

H3C致力于通过高质量的服务提高用户网络的可用性，提升用户满意度。

H3C成立了备件中心（SPC，Spare Parts Center）专门支撑H3C公司的售后服务和向
客户的承诺，依托遍布全国主要城市的30个区域备件库和位于杭州、北京及深圳的3个分拨中心，建成了国际化、标准化、现代化的物流管理系统。

H3C备件中心科学地进行备件仓储分析和管理，能够向客户提供高效的备件服务，最大限度地保障客户网络的平稳运行。

⏹丰富的无线网络工程经验
无线网络的工程实施对整个项目的成败至关重要。

H3C专门成立了无线工程督导团队来确保无线网络工程的顺利实施，目前H3C公司已经成功实施了第六届亚洲冬季运动会、北京解放军总医院、国家知识产权局、新华社、北京航空航天大学、北京交通大学、华东理工大学、上海汤臣洲际大饭店、喜来登大饭店、小南国饭店、上海地铁、上海电信无线城市、中国移动无线城市、上海第一妇幼保健院等无线网络工程的部署，具备丰富的无线项目实施工程经验，保证项目进度，后顾无忧。

⏹全面的安全性，支持WAPI
前段时间，财政部、发改委和信产部联合下发了《关于印发无线局域网产品政府采购实施意见的通知》，在政府采购中将优先考虑符合国家无线标准的产品，这就要求相关政府部门采购的WLAN产品，要具备支持WAPI标准的能力。

我们知道，WAPI之所以没有成为全球标准，其主要原因就是以Intel为首的国外厂商，的公开反对；出于政治上的考虑，国外厂商目前的WLAN产品不支持WAPI标准，将来也不会支持WAPI标准；而国内也有一些厂家，产品是从国外厂商那里OEM而来或者和国外厂商联合开发，主要的技术都依赖这些国外厂商，同样也无法支持WAPI标准。

而华三通信作为一家中国本土厂商，所有的WLAN产品均按照中国标准要求自主开发，目前所有的WLAN产品均具备支持WAPI的能力，一旦国家强制推行WAPI标准，华三通信所有WLAN产品只需升级软件即可完成对WAPI标准的支持。

4.6 无线网络规划
4.6.1 频率规划
目前针对WLAN来讲，2.4G具有3个不重叠的信道，针对5.8G具有5个不重叠信道，
但由于网络用户具有一定的不确定性，故网络覆盖时所需要的WLAN网络空间都要进行2.4G 与5.8G的频率覆盖，从网络规划的角度出发，主要考虑2.4G与5.8G二个频率的覆盖设计，针对2.4G的频率的信号衰减模型主要采用如下：PathLoss(dB) = 46 +10* n*Log D（m），而对于5.8G的信号衰减模型：PathLoss(dB) = 32.4+20*lg f[MHz]+ 20*lgd[KM] +a * d[KM]，以上二信号衰减模型进行网络的设计，到具体网络实施时要进行工勘与优化，而对于信道主要采用1、6、11三个信道交错使用，具体的面覆盖逻辑示意图如下：
图1.WLAN2.4G信道规划示意图
4.6.2 频率复用
图2.无线覆盖示意图
针对频率复用的设计与实现主要侧重于重叠区域，考虑到802.11技术中目前业界主要采用DCF的仲裁，这样会导致从网络实施的角度出发，没有办法做到像GSM、3G网络的控制力度，从技术原理的角度出发，没有办法实现很好的频率复用，只能被动做些负载均衡的功能。

每个AP具有54Mbps、48Mbps、36Mbps、18Mbps等的覆盖范围，对于54Mbps的覆盖范围不重叠，对于54Mbps与18Mbps就可能进行重叠，可以根据网络侧的负载功能进行实现一定程度的频率复用功能，从网络规划的角度出发，WLAN基本上、下行无线链路复用的处理问题，因为目前都是DCF方式，而从只能结合业务目标实现网络覆盖效果，具体网络使用效果使用负载均衡功能进行实现。

负载均衡的功能实现具体原理如下：
1.根据负载均衡的配置确定负载均衡的模式、SSID、其他参与负载均衡的AP的标
识、用户数或流量的阀值等进行一定的初始化；
2.确定本AP的2个射频模块连接的STA用户数量和流量；
3.通过UDP协议以私有方式定时进行AP间通讯。

先进行握手，成功后才进行数据
的交换，获取参与负载均衡的AP的负载信息。

4.当有STA要接入时，根据其工作频率，比较本AP上该射频下的负载和其他AP
的指定SSID下的用户数或流量，以及负载均衡的SSID绑定接口的速率集，决
定STA能否接入。

同时要注意到若用户数已达到AP某个SSID的最大用户数，
则该AP的SSID不允许再接入STA；
4.6.3 AP容量规划
从业界实现的DCF方式来看，没有一个最大用户数的限制，但业界各个厂商进行实现时都基于一定理解的前提下进行默认限制，H3C目前每个AP最大的用户默认限制为64个用户（可扩展支持128），从网络规划的角度出发，按每个AP支持128个用户进行网络规划，尤其针对高密集区域。

AP的最大净荷吞吐量为：23Mbps，用户的增加总带带下降量不大， 100kbps/用户，按128用户进行规划；300kbps/用户按64用户进行规划；1Mbps/用户按22用户进行规划；2Mbps/用户按11用户进行规划；
802.11a/b/g能够接入的并发用户数量根据不同的业务要求下的用户数量，从系统能力的角度出发，可以支持64用户接入；
五、覆盖方案
5.1覆盖方案说明
根据1F平面图可看出为不规则形状，此方案在图中已标明每个AP具体的安装位置。

由于无线信号透过水泥墙的衰减是很大的，所以AP的部署方式一般要避免穿过更多的墙壁、柱子等，所以AP的部署基本考虑阻断比较薄弱的位置，所以减少信号损失。

使用室内直放AP布点覆盖，需考虑及遵循以下几个问题和原则：
1.需要有入户线缆资源（双绞线或五类线）。

2.如果在一个大厅里只安装一个AP，则尽量把AP安放在大厅的中央位置，而且最好
是放置于大厅天花板上；如果同一空间安装两个AP，则可以放在两个对角上。

3.保持信号穿过墙壁和天花板的数量最小。

2.4G信号能够穿透墙壁和天花板，然而，
每一面墙壁和天花板都将使AP信号的覆盖范围减少1到30米。

应放置AP与计算
机于合适的位置，使墙壁和天花板阻碍信号的路径最短，损耗最小。

4.考虑AP和覆盖区域之间直线连接。

注意AP的放置位置，要尽量使信号能够垂直的
穿过（90度角）墙壁或天花板。

5.不同的建筑材料产生不同的传输效果。

由金属的框架或门构成的建筑物会使WLAN
无线信号的传输距离变小。

放置AP的位置应使信号通过干燥的墙壁或敞开的门，
避免放置在使信号必须通过金属材料的位置。

6.AP天线方向可调，安装AP的位置应确保天线主波束方向正对覆盖目标区域，保证
良好的覆盖效果。

7.AP安装位置需远离电子设备（起码1~2米），例如微波炉、监视器、电机等。

5.2 覆盖效果理论计
信号强度和传输距离的换算公式
AP加卡的信号总强度公式：
Gt－Gr＋AP天线增益＋终端天线增益＝L信号总强度（dB）
Gt（AP或终端功率，单位dB），Gr（终端或AP灵敏度，单位dB）
距离产生的信号衰减公式：
40＋20lgd＝L1（dB） d（距离，单位m）
工程中最大传输距离以45m计算，所以L1＝72dB
障碍物的衰减：
工程中实际的障碍物的最大衰减是临窗墙的衰减3dB加上房间墙的衰减12dB等于
15dB。