【正文】 無線局域網(wǎng)項(xiàng)目解決方案技術(shù)建議書模板無線局域網(wǎng)項(xiàng)目解決方案技術(shù)建議書《目 錄》第一章、系統(tǒng)設(shè)計(jì)文檔 2 xx公司無線局域網(wǎng)系統(tǒng)建設(shè)需求 2 無線局域網(wǎng)建設(shè)和設(shè)計(jì)原則 3 方案設(shè)計(jì) 5 無線局域網(wǎng)系統(tǒng)的實(shí)現(xiàn) 14 Aruba無線交換局域網(wǎng)系統(tǒng)技術(shù)特點(diǎn) 18 中國xx集團(tuán)第一期無線網(wǎng)絡(luò)設(shè)備清單 26第二章、xx工程實(shí)施計(jì)劃書 27 工程實(shí)施概述 27 工程實(shí)施組織設(shè)計(jì) 28 工程實(shí)施計(jì)劃 29第三章、系統(tǒng)集成測試內(nèi)容 31 無線覆蓋面積測試 31 數(shù)據(jù)丟包率 31 數(shù)據(jù)吞吐率 32 域用戶登陸域測試 33 無線控制器冗余備份測試 34 WLAN管理監(jiān)控測試 35第四章、運(yùn)營維護(hù)文檔 36第五章、驗(yàn)收文檔 40 系統(tǒng)集成測試驗(yàn)收組織 40 集成測試驗(yàn)收條款 41 系統(tǒng)集成測試驗(yàn)收文檔 41 系統(tǒng)集成驗(yàn)收報(bào)告 44第六章、技術(shù)支持服務(wù)承諾 45第七章、無線用戶域認(rèn)證解決方案 46第八章、無線客戶端設(shè)置方案 59第九章、認(rèn)證服務(wù)器硬件環(huán)境 65第一章、系統(tǒng)設(shè)計(jì)文檔 xx公司無線局域網(wǎng)系統(tǒng)建設(shè)需求介紹：需求：在過去，中國xx集團(tuán)在全球?yàn)闃I(yè)務(wù)建設(shè)了完善的內(nèi)部網(wǎng)，網(wǎng)絡(luò)接入類型均是有線接入，而無線接入由于安全問題，集中控管、認(rèn)證加密等問題而遲遲未開展。這次經(jīng)歷幾個(gè)月對(duì)新一代無線解決方案的選型測試，已初步確定無線局域網(wǎng)技術(shù)的使用情況及其技術(shù)細(xì)節(jié)，并且了解到新一代無線解決方案能有效解決傳統(tǒng)金融企業(yè)的安全問題。目前，根據(jù)提出的需求，中國xx集團(tuán)在國內(nèi)共有三個(gè)地點(diǎn)有無線的需求，分別是A分部，中心總部和B分部，我們簡稱為第一期無線建設(shè)工程。主要需求如下： A分部地區(qū)主要為2號(hào)樓的第8層樓做無線全覆蓋 中心總部為幾個(gè)會(huì)議室提供無線接入 B分部的一個(gè)會(huì)議室提供無線接入 無線局域網(wǎng)建設(shè)和設(shè)計(jì)原則 中國xx集團(tuán)第一期無線局域網(wǎng)建設(shè)原則根據(jù)中國xx集團(tuán)第一期無線局域網(wǎng)系統(tǒng)建設(shè)要求，我們確立的無線局域網(wǎng)系統(tǒng)建設(shè)原則如下：采用標(biāo)準(zhǔn)WLAN交換技術(shù)及WLAN 交換體系。充分利用現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)與資源，不單獨(dú)組網(wǎng)，AP就近接入有線網(wǎng)絡(luò)（最近的交換機(jī)），并且不改變原有網(wǎng)絡(luò)結(jié)構(gòu)以及交換機(jī)配置。采用集中控管的無線組網(wǎng)技術(shù)，集中統(tǒng)一管理所有的AP。所有無線接入點(diǎn)采用標(biāo)準(zhǔn)PoE供電方式。在指定范圍內(nèi)有無線覆蓋信號(hào)，并且保證至少有36Mbps以上的無線連接速率并且能結(jié)合AD進(jìn)行域認(rèn)證登錄所有正式員工的無線連接必須是WPA加密，將來可無逢升級(jí)到WPA2或WAPI能抵御無線入侵，有效防止非法AP接入無線局域網(wǎng)系統(tǒng)要支持熱備份能力第一期的無線局域網(wǎng)系統(tǒng)要能方便和靈活地調(diào)整與擴(kuò)展，投資保護(hù)。依據(jù)建設(shè)要求和無線網(wǎng)絡(luò)的建設(shè)原則，在無線局域網(wǎng)組網(wǎng)技術(shù)、設(shè)備產(chǎn)品選型、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全等方面考慮以下設(shè)計(jì)原則：1．先進(jìn)性原則第一代無線局域網(wǎng)主要是采用Fat AP，每一臺(tái)AP都要單獨(dú)進(jìn)行配置，費(fèi)時(shí)、費(fèi)力、費(fèi)成本；第二代無線局域網(wǎng)融入了無線網(wǎng)關(guān)功能但還是不能集中進(jìn)行管理和配置，其管理性和安全性以及對(duì)有線網(wǎng)絡(luò)的依賴成為了第一代和第二代WLAN產(chǎn)品發(fā)展的瓶頸，在這樣的環(huán)境下，基于無線交換機(jī)技術(shù)的第三代WLAN產(chǎn)品應(yīng)運(yùn)而生。第三代無線局域網(wǎng)采用無線交換機(jī)和Thin AP的架構(gòu)，使得無線局域網(wǎng)的網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高。2．可管性原則在網(wǎng)絡(luò)管理方面，必須具有集中控管、智能調(diào)控、自動(dòng)恢復(fù)、負(fù)載均衡等實(shí)用功能，使所建的無線網(wǎng)絡(luò)可以適應(yīng)多種環(huán)境的變化，可動(dòng)態(tài)地保證良好的應(yīng)用效果。同時(shí)，還應(yīng)具有遠(yuǎn)端AP數(shù)據(jù)進(jìn)行采集、遠(yuǎn)程監(jiān)控、終端定位等功能，支持多SSID，可以方便的把語音、視頻以及其他類型的數(shù)據(jù)的應(yīng)用進(jìn)行分開管理。3．安全性原則在網(wǎng)絡(luò)安全性方面，無線局域網(wǎng)系統(tǒng)要具有與有線局域網(wǎng)同樣要求的安全防護(hù)措施，無線網(wǎng)的安全性主要從以下幾個(gè)方面考慮：（1）接入認(rèn)證：具有支持多種用戶認(rèn)證方式；（2）采用具有用戶狀態(tài)訪問控制的防火墻技術(shù)；（3）具有數(shù)據(jù)在無線信道上傳輸?shù)腣PN機(jī)制；（4）具有無線網(wǎng)的防病毒機(jī)制（5）具有無線電波監(jiān)控能力，能提供無線入侵偵測和無線終端位置的追蹤功能。4．可靠性原則具有提供智能化的無線電波自動(dòng)調(diào)控與切換能力，以確保單個(gè)AP接入點(diǎn)在發(fā)生故障時(shí)自動(dòng)切換到鄰近AP，不會(huì)影響無線的接入服務(wù)；具有支持熱備份的無線交換機(jī)N+1的冗余備份機(jī)制。5．?dāng)U展性原則通過一個(gè)集中的無線局域網(wǎng)網(wǎng)管平臺(tái)實(shí)現(xiàn)對(duì)所有的AP功能的配置和管理，AP既可以提供無線接入，也可設(shè)置為無線入侵監(jiān)控、無線終端追蹤定位、無線電波傳輸分析的工作模式。同時(shí)整個(gè)系統(tǒng)可以根據(jù)用戶的需要進(jìn)行規(guī)模上的擴(kuò)展，擴(kuò)展后所有功能和管理的模式保持不便。6．標(biāo)準(zhǔn)化原則無線局域網(wǎng)采用的技術(shù)支持應(yīng)為國際標(biāo)準(zhǔn)或業(yè)界標(biāo)準(zhǔn)，不使用某個(gè)廠商的專用技術(shù)和協(xié)議，以保證網(wǎng)絡(luò)設(shè)備的互通性，有利于網(wǎng)絡(luò)的投資保護(hù)。根據(jù)需求和以上無線網(wǎng)建設(shè)與設(shè)計(jì)原則，本方案提出采用美國Aruba Networks公司的第三代無線交換局域網(wǎng)系統(tǒng)（以下簡稱Aruba無線系統(tǒng)），完成中國xx集團(tuán)第一期無線局域網(wǎng)系統(tǒng)項(xiàng)目。 方案設(shè)計(jì)根據(jù)現(xiàn)場視察和本方案的設(shè)計(jì)原則，結(jié)合Aruba無線系統(tǒng)技術(shù)及產(chǎn)品的特點(diǎn)，將方案的設(shè)計(jì)分為組網(wǎng)方式設(shè)計(jì)、多業(yè)務(wù)區(qū)分設(shè)計(jì)、網(wǎng)絡(luò)及用戶管理、網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)、移動(dòng)漫游、兼容性六個(gè)部分。設(shè)計(jì)組網(wǎng)時(shí)，我們既考慮了系統(tǒng)的冗余性，又兼顧了成本節(jié)約。我們在方案里分別按三地區(qū)獨(dú)立管理的方式設(shè)計(jì)無線控制器。首先，在中心地區(qū)，根據(jù)需求，中心系統(tǒng)設(shè)計(jì)支持AP容量為32個(gè)，因此，我們規(guī)劃了3臺(tái)A800控制器，每臺(tái)控制器支持16個(gè)AP容量，其中一臺(tái)做主控制器，平時(shí)并不管理AP，處于備份狀態(tài)，當(dāng)另外兩臺(tái)其中一臺(tái)出現(xiàn)故障，AP會(huì)自動(dòng)跳到主控制器，實(shí)現(xiàn)熱備份和消除單點(diǎn)故障的問題。目前實(shí)際配置支持xx大廈會(huì)議室和一個(gè)會(huì)議室共11個(gè)AP。其次，在A地區(qū)，需求支持AP的系統(tǒng)容量是144個(gè)，需要3臺(tái)A2400無線控制器，外加一臺(tái)A2400做主控制器，并做其余三臺(tái)的熱備份。我們把主的那臺(tái)A2400設(shè)為MASTER控制器，去管理其余三臺(tái)LOCAL控制器，每臺(tái)LOCAL角色的控制器可以支持48個(gè)AP，所以為日后擴(kuò)展AP提供方便，只要簡單加裝AP就可以了。目前A分部的AP實(shí)際使用量只有25個(gè)，主要覆蓋張江2號(hào)樓第七和第八兩層樓。最后，在B地區(qū)，需求是無線覆蓋一個(gè)會(huì)議室，我們設(shè)計(jì)了兩臺(tái)A804互為熱備，系統(tǒng)設(shè)計(jì)容量為最大支持4個(gè)AP，目前用量是2個(gè)AP。該方案采用了Aruba中檔型號(hào)Controller的堆疊模式，每個(gè)地區(qū)都采用N：1方式進(jìn)行控制器熱備份，系統(tǒng)擴(kuò)容可以通過繼續(xù)堆疊Controller實(shí)現(xiàn)。　　具體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)可參考以下圖形。以下是三地區(qū)整體無線網(wǎng)絡(luò)拓?fù)鋱D：集中式無線交換架構(gòu)設(shè)計(jì)特點(diǎn)：216。 各地區(qū)分別設(shè)計(jì)MASTER主控制器，獨(dú)立管理，并具有熱備功能。216。 簡化無線局域網(wǎng)實(shí)施、無須改動(dòng)原有線局域網(wǎng)的設(shè)置216。 加快了無線多業(yè)務(wù)開通216。 節(jié)省網(wǎng)絡(luò)工程投資成本和運(yùn)營成本216。 方便對(duì)本地?zé)o線網(wǎng)絡(luò)維護(hù)和管理216。 ARUBA第三代無線架構(gòu)具有極高的安全性下面是A分部地區(qū)拓?fù)鋱D：Aruba所有無線AP通過現(xiàn)有配線間的接入層交換機(jī)分別連接到局域網(wǎng)內(nèi)，通過原有的局域網(wǎng)從IP層連接到無線控制器，再經(jīng)過控制器的認(rèn)證加密等策略，實(shí)施管理和傳輸數(shù)據(jù)。AP與無線控制器之間無需直接連接起來，大大節(jié)省布線成本。每個(gè)AP均以POE方式供電。下面是中心地區(qū)拓?fù)鋱D：該區(qū)域是全國災(zāi)備中心會(huì)議室，面積雖小，但考慮到其重要性和突發(fā)用戶量，這里采用AP65高性能無線接入點(diǎn)，并且覆蓋加大部署密度，增加系統(tǒng)用戶容量。其中一臺(tái)A816為MASTER主控制器，其余兩臺(tái)為LOCAL副控制器，所有AP受副控制器管理，副控制器受主控制器管理。為了實(shí)現(xiàn)熱備份，所有控制器要獨(dú)立接入到骨干網(wǎng)，所有AP要獨(dú)立接入到內(nèi)網(wǎng)交換機(jī)，不能直接與控制器相連。B地區(qū)拓?fù)鋱D：B會(huì)議室共需2臺(tái)AP，我們設(shè)計(jì)了兩個(gè)A804控制器，均設(shè)為MASTER，并有這兩臺(tái)控制器采用VRRP標(biāo)準(zhǔn)協(xié)議互為熱備份。從用戶分類與分布情況分析，無線用戶主要有以下幾類：（1）中國xx集團(tuán)正式員工；（2）參加會(huì)議人員和來訪等外來人員；（3）將來會(huì)使用的WIFI電話。因此，他們各自使用的無線網(wǎng)絡(luò)被分為不同的業(yè)務(wù)類型，在設(shè)計(jì)上，應(yīng)用無線局域網(wǎng)多SSID技術(shù)，每個(gè)SSID均是一套獨(dú)立的無線網(wǎng)，方便地設(shè)置多業(yè)務(wù)區(qū)分方式。目前，我們建議開設(shè)三個(gè)SSID號(hào)，其中一個(gè)SSID供可給內(nèi)部員工使用，根據(jù)目前xx的已有架構(gòu)，每個(gè)員工均使用有線連接，并且統(tǒng)一由微軟公司的域控制器提供權(quán)限控制，因此，給內(nèi)部域用戶使用無線連接。由于域用戶數(shù)據(jù)庫龐大，我們建議在AD控制器加裝IAS認(rèn)證服務(wù)器與之關(guān)聯(lián)，即可實(shí)現(xiàn)與原有域系統(tǒng)的無逢接軌，不需要雙重認(rèn)證，支持SSO單次輸入，在登錄域的使用上與有線連接是一模一樣的，并沒有額外的輸入。而且使用無線連接，可以為每個(gè)員工配置不同的網(wǎng)絡(luò)使用權(quán)限。第二個(gè)SSID給外來人員使用，建議采用WEB頁面認(rèn)證方式，做簡單的數(shù)據(jù)加密WEP協(xié)議，登錄此SSID的外來人員只能擁有訪問互聯(lián)網(wǎng)的權(quán)限，而不能連接到任何內(nèi)部網(wǎng)的數(shù)據(jù)，保證安全。第三個(gè)SSID供給手持終端，例如WIFI電話使用。此SSID采用MAC認(rèn)證和WEP加密，網(wǎng)絡(luò)權(quán)限設(shè)計(jì)為只能與語音服務(wù)器通訊。由于用戶一般把SSID看成VLAN，所以它們都會(huì)慣性地以VLAN概念來劃分SSID。其實(shí)在一個(gè)AP范圍內(nèi)，因?yàn)闊o線電波的傳輸是共享。一個(gè)最簡單的例子就是AP把不同的SSID名字廣播，所以當(dāng)無線終端在這個(gè)AP覆蓋范圍內(nèi)啟動(dòng)時(shí)，它就能同時(shí)看到多個(gè)SSID。SSID的最主要用途是可讓無線終端以不同的安全認(rèn)證和加密方式入網(wǎng)。Aruba無線系統(tǒng)中可以設(shè)定用戶的角色（role），每個(gè)role可以基于用戶狀態(tài)防火墻和代理限制的設(shè)定等規(guī)則，包括每個(gè)用戶的使用帶寬，允許連接的時(shí)間等等。用戶狀態(tài)防火墻是Aruba無線交換機(jī)的獨(dú)特功能，它本身就是針對(duì)無線接入的特性而設(shè)計(jì)。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒有基于用戶的，它的保護(hù)只是基于IP地址或物理端口來制定防火墻策略，所以對(duì)于沒有固定接入點(diǎn)的無線終端，這種防火墻的功效很小。Aruba的基于用戶狀態(tài)的防火墻則是與用戶認(rèn)證捆綁在一起，當(dāng)無線用戶成功通過認(rèn)證后，他會(huì)獲得一個(gè)預(yù)設(shè)的防火墻策略，不同的無線用戶有不同的防火墻策略，例如一個(gè)用戶可以使用SIP的服務(wù)，而另一用戶則可用FTP。在Aruba無線系統(tǒng)中，可以在多個(gè)層面對(duì)系統(tǒng)構(gòu)筑安全防護(hù)，其安全性設(shè)計(jì)如下：（1）多SSID：可以根據(jù)需要，如用戶的種類、應(yīng)用的種類，在Aruba無線系統(tǒng)中設(shè)置多個(gè)SSID，不同的SSID采用不同的安全策略，這樣可以對(duì)不同的用戶及應(yīng)用進(jìn)行區(qū)分服務(wù)。另外SSID還可以選擇隱藏的方式，該SSID不廣播，用