WLAN网络建设方案

控制AP受电时间
PoE交换机远程控制AP受电时
门店 办公楼
间，确保无人值守时间，无供
电明火安全问题
15
www.h3c.com
WLAN安全：无线安全部署架构
Internet AAA平台 AAA：无线用户认证、动态授权功能
非法设备监控、定位和告警，设备信道调整告警 有线无线安全策略在无线控制器统一部署
AAA
Internet
核心交换机 无线控制器
•采用FIT AP模式，一旦AP离线，AC立即产生告警
•FIT AP本身无配置，必须配合AC使用，不会丢失密钥等安全配置 •AP设备有防盗锁孔，可以用于将AP与固定支架锁定，起到一定的防盗作用
www.h3c.com
19
WLAN管理：有线无线一体化
AC 设备 有 线 终 端 无 线 终 端
6
WLAN技术选择：标准演进
6G以下频段和60G频段 传输速率不小于1Gbit/s
2.4G频段和5.8G频段 传输速率提高到300M 兼容11a/11b/11g 2.4G频段 传输速率提高到54M 兼容11b 11b 2.4G频段、11a 5.8G频段 11b传输速率提高到5.5M和11M 11a传输速率提高到54M
AP
AP

AP
无线控制器会根据AP的邻居关系动态调 整AP工作的信道和发射功率
AP
AP AP
无线控制器会自动调整相邻的AP的发 射功率以消除黑洞区域
AP
•功率的调整和智能的切换，保证零售收银MIS系统在无线覆盖范围内的访问不会中断
www.h3c.com
13
WLAN部署－智能负载均衡
传统负载均衡技术
访客有访问外网 的要求
网管人员熟悉网络设备 的操作，但精力有限无 法应付频繁的访客帐户 开户销户和权限设置
有没有保安能够操作的 访客管理软件
保安在一个简易化的 配置界面上创见访客 账号、设定账号有效 期，也可以手工销户
保安直接面对访客，最 适合访客的开户和销户， 但因自身知识技能原因 无法操作复杂的网络设 备
www.h3c.com
17
WLAN安全：终端接入控制EAD
ຫໍສະໝຸດ Baidu你安全吗？
你可以做什 么？
身份认证
接入请求 合法用户
安全认证
合格用户
动态授权 企业网络
不同用户享 受不同的网 络使用权限
非法用户 拒绝入网
不合格 进入隔离区 强制加固
你是谁？
隔离区
你在做 什么？
行为审计
www.h3c.com
18
WLAN 安全：防范私拆AP
www.h3c.com
访客可以正常上网
23
WLAN管理：故障检测
VCT探测AP连接电缆状态为开路，AP设备被盗！
VCT虚拟电缆检测，是H3C
交换机特有的功能，可以检测交 换机某物理端口（电口）上所连 接的电缆是否正常、短路或开路， 并测算出故障点的距离。 通过VCT探测，明确AP是被 盗还是AP设备电源故障。 AP
www.h3c.com.cn
7
WLAN技术选择： Fit AP网络架构
Internet
Internet
AC
AP
AP
AP
AP
AP
AP
传统Fat AP架构
配置维护困难 配置维护困难 IP地址需要扩容 IP地址需要扩容 不支持负载均衡 不支持负载均衡
www.h3c.com
H3C Fit AP架构 零配置、自动升级 支持3层漫游
VCT: Virtual Cable Test
www.h3c.com
24
汇报提纲
1 3 2 3 3
需求分析
方案产品
案例分析
杭州华三通信技术有限公司.
www.h3c.com.cn
25
H3C企业WLAN应用解决方案
总部中心
WX5004 有线无线管理中心
物流中心
零售门店
WX3024 WX3010
AP
……
总部
WAN
•
门店1 门店2 门店3
门店2：分布式式无线控制器部
署，控制器旁挂门店核心交换机 ，可靠性最高，利用总部无线控 制器作为门店的备份
•
门店3：无线控制器集中在总部
部署，无线部署成本最低，控制 、管理流量占用WLAN带宽，出 口故障，将影响无线应用
PC
PDA
Mobile
PC
PDA
Mobile
PC
•精确显示无线连接用户信息，并可以对用户进行漫游轨迹、定位等操作
•包括用户名、MAC地址、IP地址，连接AP、信道、SSID等信息 www.h3c.com
22
WLAN管理：访客管理系统
• 访客帐号管理：通过访客接入管理器，通过简单的IE界面，实现用户开户，设定有 效期，销户这些操作
网管人员预先在网络 设备上创建访客组， 进行访客权限、认证 方式的配置
主CAPWAP隧道
接入/汇聚层网络
备CAPWAP隧道
AP
AP
AP
AP
AP
•不同AP的主备AC可以不同，两台AC之间可以既是负载分担关系又是备份关系。
•毫秒级的切换速度，业界最短的切换时间，业务丝毫不会受到影响。
www.h3c.com
12
WLAN部署－功率自动调整
无线控制器会控制AP自动切换到合适 的工作信道以规避干扰信号
核心交换机 无线控制器
AC和AP间的CAPWAP隧道：流量限速 无线安全插卡：提供SSL/IPSEC VPN 身份认证：802.1x/PSK/MAC/Portal多种认证方式 防攻击：防ARP攻击和DHCP Server外挂，ARP Proxy 黑名单、白名单
汇聚交换机
AP
AP零配置、AP身份认证、隐藏SSID 空口加解密：WEP/WPA/WPA2/WAPI WIDS：非法AP检测、无线协议攻击防御、黑白名单 空口带宽的管理：智能带宽限速
报文的转发。模式二、AP在为用户 转发数据的同时定期切换到其他信
设备过滤
列入黑名单 拒绝接入、丢 弃报文 攻击指示 向非法设备发起攻击
道监听信息
•
AP设备负责把监听到的无线设备和
有攻击行为的无线设备上报给无线 控制器
•
无线控制器可以控制AP 将非法设备 列入黑名单或者对其发起攻击
无线入侵检测－空中警察
漫游轨迹回放
FAT AP设 备
有线 接入 交换 机 FIT AP设 备
终端漫游信息跟踪
非法AP管理
智能定位
自定义报表
RF覆盖仿真
一体化拓扑管理
好管理，易管理
www.h3c.com
20
WLAN管理：无线射频覆盖
•显示无线AP射频覆盖范围，不同的颜色区分不同的射频覆盖强度
www.h3c.com
21
WLAN管理：WLAN用户管理
AP
AP
……
AP
•总部部署WX5004/WX6103无线控制器，实现总部AP的管理，作为门店及物流中心的备份 •部署无线EAD实现用户桌面安全接入控制，WIDS实现非法终端及AP的检测及防范 •总部部署有线无线一体化管理软件，集中管理所有门店、物流配送中心
www.h3c.com
26
企业总部无线办公网络部署
配送、物流中心 总部办公楼

无线仓储：进出货 管理、盘点 数据处理：批处理 到实时处理 无线办公、无线上网 VoWiFi、无线监控
WAN


无线收银、无线盘点、
无线办公、无线上网
无线智能货架
零售店面
•设计要素：WLAN技术选择、WLAN部署优化、WLAN安全设计和WLAN网络管理
www.h3c.com
普通交换机
POE 供电盒
POE供电盒，不需要取电，但故障点增多，无法网管
普通交换机
•POE供电使得零售企业在现有环境的设备改造中施工便捷，适合商场装修明线不外露的部署要求 •同时面向未来保证IP电话甚至IP监控方面的扩展引用
www.h3c.com
11
WLAN部署：AC可靠性设计
主AC 心跳线 备AC
Internet DNS WEB SSL VPN
服务器群
•
• •
无线控制器
大容量无线控制器满足流量转发
部署1＋1AC，并为远端门店及物 流中心提供备份方案 初期无线流量较少，采用集中式转
发模式，后期可以采用集中式＋分
布式转发模式 • 在PC终端部署EAD实现终端准入 控制功能，提高应用安全性
AP
AP
集中式转发流量 分布式转发流量
•
通过总部iMC/NTA/UBA/iAR实现
集中网络、流量、用户行为、智能 报表管理
www.h3c.com
27
企业门店无线办公网络部署
无线控制器
服务器群
• •
FIT AP部署，可采用三种方式， 分别以3个门店来分析 门店1：分布式无线控制器不是 ，采用有线无线一体化交换机做 门店核心，性价比较高，缺点是 门店无线控制器存在单点故障
无线AP接入区 www.h3c.com
终端准入控制（无线EAD)
16
WLAN安全：非法设备检测和处理
•
无线控制器 AP 非法设备
非法设备是未经网络管理者许可部
署的无线设备或者是发起无线攻击
的设备 • 无线控制器可以指定AP工作在两种 工作模式：模式一、AP负责监听空
设备信息报告
周期性监听空口信息
口所有信道的信息，但不负责用户
•WLAN部署快速简单，灵活位 置调整，使无线网络达到有线 网络不易覆盖的区域 •迅速扩展信息化应用
•TCO ＝ 设备成本（ CapEx ）+ 运维成本（ OpEx ）+ 机会成本（ Oppcost ） •比较有线组网，WLAN具有更佳的TCO总拥有成本
www.h3c.com
5
零售无线应用及设计要素
PDA
Mobile
www.h3c.com
无线零售网络规划设计
无线及业务软件产品部
汇报提纲
1 3 2 3 3
需求分析
方案产品
案例分析
杭州华三通信技术有限公司.
www.h3c.com.cn
2
物联网与无线零售
店面 配送 总部
实时性信息处理 高带宽数据传输
部署维护便利性 标准化规模扩展
无线零售
www.h3c.com
3
无线组网技术分析
覆盖范围 广域
FAT AP FIT AP
9
WLAN部署：无线AP
壁挂安装
室外安装
吸顶安装
•首先考虑AP与无线终端之间无线信号的有效交互，其次是接入用户的有效带宽 •在多个AP部署时，应考虑AP间信道的划分以及双射频AP的选择
www.h3c.com
10
WLAN部署：AP供电
电源
本地供电，不方便取电，电源线外露不美观
不支持3层漫游 不支持3层漫游 安全性差 安全性差 无法自动调节射频 无法自动调节射频
两种转发模式 支持负载均衡
支持WIDS 自动调节射频
8
WLAN技术选择：FAT/FIT 平滑切换


购买FIT/FAT双模AP来保护原有投资
统一操作系统平台，实现平滑升级
无线控制器 核心/汇聚层交换机
FIT AP FAT AP
城域
2G
2.5 G
3G
802.16无线 城域网
局域
红外 蓝牙 9.6Kbps 56Kbps 100Kbps 2Mpbs 11Mbps
802.11x无线 局域网 数据速率
54Mbps
300Mbps
•GPRS、CDMA1x 、3G、WLAN在覆盖范围、传输速率、移动性等方面相互补充 •WLAN是局域网无线组网的首选技术，随着11n标准化，更具不可替代性
协议正在制定和完善之中
802.11ac 802.11ad
2012年
11a和11b不兼容
IEEE推出的第一代 WLAN标准 2.4G频段 传输速率1M或者2M
802.11n：6倍带宽、1.3倍广覆盖、2倍 接入能力、兼容11a/b/g、高稳定性， 成为WLAN建设主流
杭州华三通信技术有限公司.
接入层交换机
FIT AP FAT AP
FAT AP FIT AP
FIT AP FAT AP FIT AP FAT AP
FIT AP FAT AP
网络建设初期使AP工作于FAT模式，满足小规 模组网需求 网络建设后期使AP工作于FIT模式，并添加无 线控制器，满足大规模组网需求
www.h3c.com
FIT AP FAT AP
AAA IMC
控制上网时间
认证、网管平台
AC可以要求指定区域的AP在指 定时间开启或者关闭某个SSID的 接入服务
隧道报文 数据报文
•晚上11点上午9:00关 闭AP射频口
•晚上10点后关 闭访客SSID， 但保留其他 SSID正常工作
节电和降低辐射
AC可以要求AP按指定时间打开 或者关闭AP射频以节约能耗，降 低辐射。
AP1 AP2
智能负载均衡技术 只在重叠覆盖区 启动负载均衡
拒绝关联

接受关联

AP1
AP2
不管是否在重叠区 都启动负载均衡
•实时跟踪无线客户端位置，智能发现负载均衡组 ，智能隐藏高负载AP •商铺用户和顾客上网流量分担，保障不同用户和重要业务的访问
www.h3c.com
14
WLAN部署：AP射频和SSID控制
www.h3c.com
4
零售信息化建设TCO分析
•设计、施工费用
运维成本
•楼层交换机设备投资 •综合布线、管道投资 •网络升级、变更投资 •二次施工，设备投资保 护
•设备安装、网络开通测试 •线路、设备维护、管理
设备成本
•门店开张、重装、节假调整， 门店组网环境经常变化，需要 快速、及时部署响应
机会成本