侧重实际应用,保证信号覆盖区域无线AP信号接入点的质 量。(3)采取通行的网络协议标准:目前无线局域网普遍采用 802、11系列标准,因此WLAN需要支持802、llg(54\I带宽)或以 上标准以提供可供实际应用的相对稳定的网络通讯服务。(4) 安全、认证和管理要求:为了阻止非授权用户访问无线网络,以 防止对无线局域网数据流的非法侦听,无线网络要具有相应的安 全手段,主要包含:用户认证、物理地址(MAC)过滤、服务区标 识符(SSD)匹配、有线等效保密(WEP)、二层隔离、WPA支持 等;用户认证要求区分公司内部人员(使用域用户,可访问有网 络),外来用户(不需要认证,仅可访问特定网络)和不使用用 户的移动终端(如无线扫描仪,不需要认证,可访问所有网 络),以及基于策略的用户访问控制。(5)产品能力要求:具 有无线委员会核准证;产品支持AES、WEP加密等安全标准,无线 控制器要求具备管理200个AP的能力;漫游切换;支持较为复杂 室内环境下的可靠运行。(6) AP电源:要求不具备PoE功能的 接入交换机也可以使用类似PoE的供电方式给无线AP直接供电, 从而解决了 AP的电源接入功能。无线网络的搭建根据设计要求, 我们采用了统一管理的“瘦AP”无线网络架构。所谓“瘦AP”就 是每个AP只单独负责RF和通信的工作,其作用就是一个简单的 RF底层传感器设备,所有AP接受到的RF信号,经过80 反猫眼窥镜
2、11的 编码后,通过加密隧道协议穿过以太网传送到无线控制器,进而 由无线控制器对编码进行加密、验证、安全控制等更高层次的工 作。因此“瘦AP”的无线网络具有统一管理的特性和扩展性强、 自动RF管理和负载均衡等优势。整个无线网络主要由无线控制 器、无线接入点(AP)、无线管理系统和Radius认证服务器组 成。无线控制器集中配置和管理整个无线网络,全网络AP接受统 一管理,AP以及下面的用户按策略分配接入到接入层交换机上。 无线网络管理系统提供无线网络的优化、排障、用户跟踪、安全 监控等功能。Radius认证服务器提供用户接入身份验证。这种组 网方式保持了原有网络的结构,简易灵活并方便扩容。网络拓扑 如图1所示。在网络核心层,两台无线控制器分别接入两台核心 交换机,采用集技术,通过任意一台无线控制器可以对整个无 线网络进行配置和管理,无需到每台无线控制器上作配置,减少 两台无线控制器之间配置不同步故障的发生,同时配置了系统冗 余备份,当某台无线控制器发生故障后,另一台无线控制器自动 接收故障设备管理的AP,保障无线网络的正常运行,提高可靠 性。无线网络管理系统RFMS服务器和Radius认证服务器接入核 心交换机。各覆盖区域内AP通过无线网络连接至接入交换机中, 无线AP自动从无线控制器下载配置,所有的AP即插即用,部署 便捷,维护方便。AP的供电采用PoE供电模块,使得不具备PoE 功能的接入交换机也可以使用类似PoE的供电生命晶石>obd数据
方式给无线AP直接 供电,从而解决了无线AP的电源接入功能,也大大降低了 AP的 无线系统布线难度。为了区分不同用户的业务类型,提高无线接 入安全,我们采用虚拟AP技术同时广播3个SSID供公司内部员 工、外部用户和生产移动终端三种不同类型的用户使用,每个 SSID釆取不同的加密认证方式和访问控制策略。同时对每个SSID 的覆盖范围进行限制,内部员工使用的SSID覆盖全公司,外部用 户使用的SSID只能覆盖会议室和接待室,生产移动终端SSID覆 盖生产区域。为了实现不同用户对网络资源的访问控制,我们在 核心交换机上给每个SSID分配了 一个VLAN,并配置相应的路由和 访问控制策略。分配VLAN42用于无线网络管理,无线控制器,管 理系统和认证服务器的IP地址属于该子网。VLAN43用于该公司内 部员工SSID,可访问公司授权的资源和应用。VLAN44用于外部用 户SSID,仅可访问互联网。VLAN7用于生产移动终端SSID,可访 问所有网络。不同的用户接入不同的SSID就会自动获得相应VLAN 的IP地址,被授以不同的网络访问权限。为了实现无线网络多个 VLAN的通信,连接无线控制器的核心交换对应端口应启用VLAN的 Trunk功能,配置成Trunk模式。AP接入的接入交换机与DHCP服 务器在不同的子网中,需要启用接入交换机的D1ICP中继功能,并 配置相应的D1ICP服务器地址。连接AP的接入交换机对应端口应 启用无线网络管理VLAN (VLAN42)的Access功能,将端口配置成 Access模式,
划分到VLAN42自动升降器O除了用多SSID区分不同用户并配 置不同访问控制策略外,我们还采用了不同用户不同的身份认证 和加密方式来提高无线网络的安全性。公司内部员工采用AD+IAS 的802、lx身份认证和WPA-PSK通讯加密,在 保证安全的同时还 能对用户进行管理;外部用户采用密钥认证和WEP加密,既保证 一定的安全性又提供方便快捷的无线服务;生产移动终端采用MAC 地址认证方式和WPA-PSK进行加密。为了增强无线网络的安全 性,我们还采用带宽控制对外来用户设定其可以使用的带宽,一 方面可以限制其对网络资源的占有,另一方面,当该客户端中了 病毒以后,其病毒发作时不会占用网络全部的带宽。我们采用了 网络负载均衡和故障自动恢复来提高无线网络的可用性。网络负 载均衡可在无线覆盖范围内把无线用户或终端分散连接到附近的 AP上。在一个AP的覆盖范围内,无线连接的带宽是共享,即无线 终端数目越多,每个终端所能分享的带宽就越小。要确保每个无 线终端的传输就必须能限制一个AP上无线终端的数目或AP带宽 传输总和或每个无线终端的带宽上限。负载均衡可以有效的缓解 单个AP的负担,有效的利用临近的AP做接入,从而确保应用的 质量得到保证。故障自动恢复功能能实时侦测出网上AP是否失 效,当发觉有AP出现故障时,无线控制器能自动调节临近的AP 的功率(覆盖范围)来接替失效AP的工作。公司统一无线网络建 成之后,不仅满足了公司生产和办公无线应用的要求,而且作为 有线网络的延伸,使得企业局域网的扩展变得更加灵活简单。
>仿古建筑
