无线覆盖系统

WLAN无线网络框架

结合用户无线网络需求情况及产品自身技术特点，为了构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求，本设计方案按照AP+AC的结构化无线网络解决方案进行设计。

采用AC+瘦AP的网络框架，根据不同场景选择不同的AP类型进行无线覆盖，如办公楼选用室内吸顶式AP，宿舍楼选用面板入墙式AP，对于室外公共区域选用室外专用AP，从而实现无线覆盖。

无线网路覆盖设计

WLAN无线覆盖

• 办公楼场景覆盖

办公楼这类室内场景具有接入用户数多，覆盖范围大的特点，对于普通场景，采用室内双频AP，支持吸顶、壁挂、桌面放装三种安装方式，可以根据覆盖目标的具体情况选择安装方式；对于用户高密场景，可以采用室内802.11AC高性能AP，其高吞吐量、高用户并发等优异的性能均能很好的满足无线接入，为企业提供高质量有偿的网络服务统一网络接入管理平台。

• 员工宿舍场景覆盖

宿舍楼、公寓楼这类场景有一个典型特点就是：房间结构统一，墙体分布密集，无线信号衰减严重。若采用传统的走廊放装部署，将AP部署在走廊里，信号穿透墙体进入房间内，使得覆盖效果大打折扣。

主推方案：采用新型的86型面板AP进行无线部署，直接替换房间内面板暗盒，即可快速完成无线网络的部署，保证每个宿舍都是满格信号，大大减少施工，同时还不破坏房间环境设计；

备选方案：采用公分馈线方案，将天线通过馈线引入房间，提升信号覆盖效果，一个AP可以覆盖4-8个房间，并保证房间内满格信号。

• 会议室、饭堂高密场景覆盖

食堂、体育馆等用户高密场景，传统的无线部署方案往往同频干扰严重，从而导致设备多用户处理能力和传输带宽大大降低，信号满格却总是连不上，网络变得“华而不实”。

采用802.11ac高密覆盖解决方案，单台AP提供吞吐更高、接入更快的无线上网服务，无线信号覆盖以5G为主，2.4G为辅，充分利用5G频谱资源，同一空间内可以实现13个互不干扰、不重叠的信道，另外，合理规划2.4G网络频谱，减少同频干扰。

• 室外公共区域覆盖

景区WLAN的覆盖需要将AP部署在室外环境，景区室外环境往往极端恶劣，常年风吹雨晒，这就要求室外AP能很好的支持防水、防潮、防雷、防尘以及防火、防晒等，在极端恶劣的室外环境中仍可正常使用，需要有效避免室外恶劣天气和环境影响，不管是在潮湿的南方还是寒冷的北方都适用。

室外AP设备采用了IP 68最高防护等级的外壳设计，支持全封闭防水、防潮、防尘以及防火、防晒等，在极端恶劣的室外环境中仍可正常使用。通过部署避雷针、天馈防雷器可有效避免室外AP被室外雷电击坏。通过部署网口防雷器可有效避免室外交换机被静电损坏。

射频规划

• SSID规划

针对不同的用户群体，在AP上设置多个SSID（单频AP最多支持16个，双频AP最多支持32个），比如：SSID1用于员工、SSID2用于工作人员和SSID3用于访客。

不同的SSID采用不同的接入认证方式，并通过AC对不同的SSID下发不同的访问控制、QOS等策略。

除此之外，根据业务应用将SSID与VLAN一一映射对应，区分不同的业务类型和用户群体。

• 信道规划

使用2.4GHz网络为例，为保证信道之间不相互干扰，要求两个信道之间间隔5个信道以上。也就是说，在无线覆盖区域内，最多可以提供3个不重叠的信道同时工作，通常采用1、6、11三个信道。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。

如果部署的是双频AP，则一个AP可以同时发射2.4G网络和5.8G网络。对于5.8G网络来说，最多可以提供5个不重叠的信道同时工作，分别是149、153、157、161、165五个信道，这样对于AP点位的部署非常灵活，可以有效降低无线干扰，提高无线上网速度。

除此之外，国家针对于802.11 AC新一代无线网络，也逐渐的开放了更多的频段，拥有13个不重叠、不干扰的无线信道。5G网络具有无线传输快、环境干扰小的优势。

2.4G网络信道规划如下图（5G网络信道规划类似）：图纸中橙色、蓝色、黄色信号圈分别为1、6、11信道。圆心点为AP部署位置。

无线网络安全性设计

• 无线接入认证

无线网络最主要用户群体当属为员工，员工每天使用无线的时长通常大于2小时，从宿舍到办公楼，再到饭堂，到室外娱乐，一天之内需要在多个地方上网，采用传统的Portal（web）认证，需要重复输入密码、认证繁琐，网络体验不佳，新一代Portal认证，设置断线免认证时间间隔，一天之内只需认证一次，既可在多个场景接入上网，无需重复输入密码，简化认证过程。另可进行定制，访客接入WiFi时弹出portol认证页面，根据访客回答问题正确数，以限制访客上网时间。

为了防止员工利用同一个账号共享上网或在多个终端滥用，可以通过账号-MAC自动绑定功能，在账号首次登陆时即将账号与终端MAC地址进行绑定，防止账号共享上网。

同时，无线接入方式分为员工接入和访客接入，员工接入内网，可以访问一些内部资源与外部网络，支持和用户认证服务器进行身份认证，只需要在配置页面上配置对接信息即可以和LDAP、AD域、Radius等内部的用户身份数据库进行快速的身份校验，既安全且可靠。而访客则接入外网，优化内网的工作效率与访客的外网体验，更保护了内网的安全，增强内网的安全性，防止内网受到攻击而导致内部资料泄露。常用的认证方式主要为二维码认证与微信认证，二维码认证安全快捷，微信认证可实现吸粉，适合使用。此外还有短信认证，免认证，临时访客认证等方式。

• 无线空口安全

无线网络的无线空口安全威胁主要来自非法接入点、空口窃听、恶意攻击。

非法接入点

非法接入点，如私接无线接入点、共享热点、AD-Hoc等，其威胁主要是对无线网的干扰以及诱使用户接入从而盗取用户信息，通过wIPS，检测无线环境中存在的攻击和危险行为，实时告警并产生日志，并对指定类型的攻击对象执行反制。

对非法接入点进行检测及反制，要求AP工作在特定模式下，推荐AP工作在混合模式，在提供接入业务的同时监听并反制周边设备，低成本部署。

空口窃听

总所周知，无线网络是以空气为介质进行传播的，数据通常被暴露在空气中，高校中一些好奇的员工利用无线空口抓包工具进行破解账号密码、数据分析等，对无线网路造成安全隐患，通过对无线空口进行WPA/WPA2/WAPI安全加密，或采用高安全性的802.1x、第二代Portal认证，对用户认证数据以及业务数据进行安全加密，可有效防止空口数据被窃听。

恶意攻击

网络中典型的恶意攻击包括DDOS攻击、PING攻击、ARP欺骗攻击，DDOS攻击、PING攻击等洪泛攻击可以使主机资源被耗尽，从而达到攻击的目的，致使服务器瘫痪、无法访问的情况。

通过在无线层面的攻击检测技术，可以将攻击终端加入到动态黑名单中冻结一段时间并产生告警通知，有效预防AP接入资源、服务器等资源被耗尽。同时，不影响其他终端的正常接入。

• 访问控制

信息资源众多，企业员工信息系统、业务系统、财务系统等，加上外来访客人数较多，必须针对不同的用户、不同的接入位置、不同的时间段进行访问控制，通过基于应用层的访问控制，灵活控制员工和访客的上网权限，员工只能访问已授权访问的系统，防止非法的、未经授权的越权访问，相比于传统的基于MAC、IP地址、端口的ACL访问控制策略更精准、更强大。

利用无线控制器的应用访问控制，可以将控制策略下发到AP，从而实现对内外网的访问权限控制，相比于其他方案（如采用DPI设备，只能控制访问互联网的流量）更能保证无线网路的安全性。

另外，互联网资源极其丰富，但却良莠不齐，规范企业员工和访客的上网行为。基于全国最大的应用识别库，精准识别1900多种网络应用和千万级的URL地址，将违法、违规、暴力、黄色等不良网页过滤掉，净化网络环境；同时过滤钓鱼网站、恶意广告、垃圾博客，防止用户不慎访问不受信的网站带来的上当受骗。

• 行为审计记录

为了进一步保证信息安全，对特定的系统资源以及网络舆论进行保护，对于系统、BBS论坛、贴吧等相关的网络行为进行审计记录，当疑似出现安全问题时，能够做到有迹可循。

针对于无线用户的上网行为审计，包括但不限于HTTP外发内容、访问的网站和下载、邮件、FTP、TELNET、其它网络应用、网页内容、ACL拒绝行为、以及上网流量与时长控制。

无线支持内置数据中心和外置数据中心两种保留方式。其中内置的数据中心可以配置日志保留天数、磁盘预警百分比。除了将审计的结果保存于数据中心之外，我们还提供多种类型的报表，这些报表可以更好的帮助客户分析网络状态，为客户提供更方便、快捷的的管理维护方法，以及更深层次的挖掘上网用户价值，助无线增值一臂之力。

• 安全隔离

在无线网络接入的环境下，移动终端间可以进行相互通信，存在较大安全隐患。

例如部署用于公众上网的无线网络中： 终端之间传输大量文件损耗 AP 有限的带宽资源，降低了无线网络性能； 终端之间的任意互访有可能导致的数据被窃取的恶意行为，存在安全隐患，甚至还有可能存在某些感染了病毒的终端传播病毒的风险。

无线在无线网络部署时，启用此 VLAN 内用户隔离功能选项， 禁止同一 VLAN 内的用户之间相互通信，可以减少同一个 VLAN 内无线终端间的广播报文，提高了无线网络性能，同时提高了安全性。还有避免某些感染了病毒的终端传播病毒的风险，最大限度地确保办公安全，高办公效率，保障用户无线体验。

无线网络稳定快速设计

• 无缝漫游

企业对移动办公的强烈需求，员工在移动过程中要求保证业务不中断、不影响正常办公。员工在办公楼、饭堂、外公共区域等移动，无线提供L2/L3快速漫游，当用户在企业内移动时能够在不同接入点之间实现快速、平滑的漫游切换，保证用户在不同VLAN间快速漫游，并保持认证状态不变，让您漫游切换无感知，业务不中断，让企业移动办公更稳定。结合“防终端拖滞”技术，支持用户平均分配带宽，根据时间公平算法，防止单个终端拉低网络整体速度。可以保证终端漫游更快速，让移动办公更流畅、更稳定！

• 流量控制

对于任何一个网络来说，流量控制都是非常必要的。

网络越大，用户越多，流量控制的重要性越大，由于互联网出口带宽资源的宝贵，加上互联网应用所需要的带宽越来越大，如何合理的利用有限的带宽资源极为关键。

基于业务类型的流量控制

根据业务类型进行流量控制可以有效保证用户的上网体验，将流量带宽根据业务类型的重要性以及实际情况进行通道划分，可以按照业务系统、网页浏览、视频、下载、其他等划分整体流量，并设置优先级，避免大流量的网络应用影响重要业务应用的正常使用。

基于用户/用户组的流量控制

根据实际情况，对用户进行最大上行和下行带宽限制，防止单用户过度、不合理的使用网络带宽而影响其他用户的正常使用。可以根据用户类型，比如员工、访客，为员工分配高额度的最大带宽，对访客则统一分配一定额度的最大带宽。

基于AP/AP组的流量控制

不同的场景下，用户数不一样，合理的根据实际使用需求进行带宽划分可以有效保证上网效果，根据AP/AP组进行带宽分配，为某个重要区域划分足够的带宽，保证上网效果。比如运动场有大型的篮球赛时，信息管理人员可以为运动场区域的AP组分配多一些带宽，以满足大量用户的接入使用。

基于时间段流量控制

宿舍白天在线人数较少，晚上在线人数激增，而办公楼场景却恰恰相反，白天人数较多，晚上人数少，根据时间段的流量控制，结合基于AP/AP组、用户、应用类型的流量控制，合理分配带宽资源，最大化提高带宽利用率。

动态流量控制

通过动态流量控制，根据实际带宽使用情况，实时调整通道流量，重要业务系统设置为保证通道，非重要应用设置为限制通道，当非重要应用的限制通道有空余带宽时，可以分配给保证通道使用。

• 无线空口QoS

单AP的无线连接速率从几年前的54M、150M到现在的300M、600M，甚至G比特，无线连接速率不断增大，除去报文额外开销，加上在实际环境中速度衰减以及无线终端的协议支持，实际有效可用的空口资源有限，并且AP的空口资源会随着接入人数的增加而递减，有效的管理AP的空口资源如同流量控制一样重要，合理分配空口资源可以提高用户传输速度，提高用户上网体验。

NAC支持基于应用、SSID的空口资源分配，并支持802.11e/WMM优先级设置，全面保障无线空口资源的合理利用。

基于SSID的空口资源管理

通过基于SSID的空口资源分配，将同一个AP上的多个SSID按照百分比进行分配，比如员工SSID分配50%，教师SSID分配40%，访客SSID分配10%，智能带宽动态分配，保障重要SSID的流量的优先级。

基于业务类型的空口资源管理

基于业务类型的无线空口的资源，可以根据业务类型的不同划分流量通道，将无线空口资源进行管道化的精细管理，如教学相关业务系统分配30%，网页浏览分配30%，视频下载20%，其他20%，合理分配无线空口资源，保障重要应用的优先传输。

用户间平均分配带宽

用户间平均分配带宽，终端公平调度（时间公平算法），避免低速终端长时间暂用无线空口资源而造成的整体网络性能低下的问题，提升整体上网体验。

�� WMM/802.11e

IEEE 802.11e 为基于802.11 协议的WLAN 体系添加了QoS 特性，通过IEEE802.11e标准，通过设置QoS优先级，可以保障重要业务类型应用的优先处理能力，比如语音、视频。

• 应用层加速技术

无线网络随着接入人数的不断增加，由于干扰增大导致上网速度慢，应用访问体验差。采用应用层协议加速技术，客户端无需安装任何插件，只需在无线控制器上开启应用加速功能，通过改善无线传输协议算法，无线网络的传输速度就能够提升1.5-4倍效果。有效解决无线网络由于干扰导致的无线传输速率低、丢包、延迟等网络质量问题。

防终端拖滞

传统的无线随着低速终端的接入会导致高速终端速率被拉低，从而导致整体吞吐率下降，客户业务响应缓慢，严重影响终端的应用访问体验。

无线底层技术的改进，提出“防终端拖滞”创新专利，支持用户平均分配带宽，根据时间公平算法，防止单个终端拉低网络整体速度。

�� 高密优化

对于部分区域，终端分布密集，用户体验效果就会下降，然而在这有限的空间里部署过多AP的话，往往解决不了用户多的问题，反而会带来更多的干扰漫游问题。

高密优化功能针对终端分布密集的场景进行无线网络性能优化，降低由于终端低速率发送probe response（探测帧响应）消耗无线的性能空间，从而提升高密度场景用户的无线上网体验。

广播优化

针对无线通信特点，通过对 TCP/IP 协议栈进行优化，开发出了广播优化的技术： 1、 ARP 广播转单播； 2、禁止 DHCP 请求的广播发往无线终端； 3、智能提高广播速度。广播优化后，可以减少不必要的 “垃圾”报文在无线网络中传播，提高无线网络的整体容量，提高用户的上网体验，无线用户的并发数也将得到提高。

本篇文章来源于微信公众号: 苏州硕铭系统集成有限公司