智能工厂无线解决方案

编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第71页 共71页智能工厂无线解决方案v2.0技术文档v1.0锐捷网络2017年4月目录1前言81.1文档目的81.2目标读者82术语和定义93设计目标124方案背景135问题挑战145.1企业无线建设复杂场景下挑战145.2企业无线建设安全挑战165.2.1企业组织结构复杂，内网安全权限难以管控175.2.2企业无线建设身份统一认证挑战175.2.3企业多分支漫游策略无法跟随挑战175.2.4企业访客网络安全可控挑战185.1企业无线建设用户体验挑战185.2企业建设规划与运维挑战206解决方案架构设计226.1企业无线场景226.2企业园区无线网络逻辑划分246.3AC集中式部署架构设计256.3.1总体架构设计256.3.2总部分支VPN互联设计266.3.3AC架构部署设计286.3.4身份统一认证与漫游设计306.3.5策略随行设计316.4AC总分式部署架构设计356.4.1总体架构设计356.4.2总部分支VPN互联设计366.4.3AC架构部署设计366.4.4身份统一认证与漫游设计386.4.5策略随行设计396.4.6架构说明416.5方案组件介绍426.5.1无线控制器AC（Access Control）426.5.2认证系统（SMP/ESS服务器）436.5.3无线接入点AP（ Access Point）446.5.4无线管理系统（RG-SNC-WLAN）446.5.5无线智能服务平台（RG-WIS）456.5.6出口业务网关（VPN网关）466.5.7DDI（DHCP、DNS服务器）476.6组网方案（产品选型）526.6.1AC虚拟化546.6.2分层AC566.6.3多业务AC576.6.4Remote AP587无线高安全性设计607.1射频层环境安全设计607.1.1无线SSID隐藏607.1.2非法AP检测与反制607.1.3安全雷达617.2链路层窃听设计647.2.1数据传输与加密安全647.3网络层访问安全设计647.3.1DHCP安全647.3.2AP虚拟化657.3.3同AP下终端访问隔离667.3.4ARP欺骗的防护667.3.5网络访问策略控制677.3.6提供外网非法URL访问过滤677.4终端接入安全设计677.4.1用户安全准入677.4.2哑终端合法性准入797.4.3AP设备合规检查808无线高体验性设计818.1接入体验设计818.1.1员工接入体验818.1.2访客接入体验828.1.3哑终端接入838.2使用体验设计848.2.1办公大楼场景设计848.2.2生产车间场景设计938.2.3仓储物流场景设计958.2.4室外回传场景设计978.2.5员工宿舍场景设计988.2.6通用型场景保障用户体验技术998.3高可用体验设计1028.3.1AC高可靠技术1028.3.2AP高可靠技术1038.3.3DDI高可靠技术1048.3.4服务器高可靠1048.3.5信号自动补偿1068.3.6信号抗干扰1078.3.7移动漫游设计1089无线网络智能交付及运维设计1099.1地勘设计1099.1.1地勘1099.2交付验收1139.2.1WIS智能优化1149.2.2WIS自动验收1219.3设备管理1229.3.1无线拓扑1229.3.2无线星图1239.3.3无线热图1239.3.4无线资源管理1249.3.5安全管理1249.3.6无线配置1259.4智能运维1259.4.1视图介绍1269.4.2概况预览1269.4.1无线体验分析1289.4.2无线用户分析1309.4.3无线设备分析1329.4.4无线指标分析1329.4.5无线数据分析13310方案核心价值13410.1场景化13410.2高安全13410.3好体验13510.4简运维13511附录13611.1无线部署规划设计13611.1.1工作频段与频点规划13611.1.2信号衰减注意事项13811.1.3服务指标注意事项13911.2锐捷中大企业行业部分成功案例14311.2.1顾家家居企业办公WLAN案例14311.2.2顾家家居企业仓储WLAN案例14611.2.3南高齿企业生产车间WLAN案例14911.3文档部分配图1521521 前言1.1 文档目的本文档是针对XX企业无线XX网络部署的技术方案，主要对WLAN无线网络背景知识，应用场景、总体架构、网络设备部署参数规划、安全策略规划、WLAN空中接口结构设计等进行了详细的描述，旨在将无线生产网网络部署建设工作进行标准化和规范化。1.2 目标读者本文档的目标读者主要是客户负责无线网络设计和实施的技术工程师、锐捷网络的售前工程师，售后工程师以及渠道技术工程师。2 术语和定义1、WLAN：Wireless Local Area Network，无线局域网，是通过无线通信技术将计算机设备互联起来，构成可以互相通信和实现资源共享的网络体系。无线局域网本质的特点是不再使用通信电缆将计算机与网络连接起来，而是通过无线的方式连接，从而使网络的构建和终端的移动更加灵活。2、AP（Access Point）无线访问点：无线终端访问有线网络的接入点，通过有线接入有线网络，通过无线射频信号跟无线终端STA通信，是无线终端与有线网络通信的桥梁。3、无线访问控制器：无线控制器通过有线网络与Fit AP相连，用于集中管理控制Fit AP。4、RF（Radio Frequency）射频：WLAN采用射频作为传输介质，实现AP与无线终端、无线终端之间的通信。5、频段：表示频率范围。在WLAN中，无线设备支持的802.11标准不同，对应的工作频段也不同，如802.11a工作在5GHz频段，802.11b/g工作在2.4GHz频段，802.11n工作在2.4GHz和5GHz频段。6、Wi-Fi认证：Wi-Fi全称Wireless Fidelity（无线保真），该认证是由Wi-Fi联盟（一个非盈利的国际协会）制订的，只要通过Wi-Fi认证的产品就表示可以顺利地组建无线局域网，实现与其他Wi-Fi认证产品的兼容。在Wi-Fi联盟制订的标准中，常见的有IEEE 802.11b、IEEE 802.11a、IEEE 802.11g、IEEE 802.11n等。 7、SSID：服务集标识符（Service Set Identity），在IEEE 802.11协议规定，一组提供相同无线服务的无线设备被称为服务集（service set）。SSID（Service Set Identity），用于来区分无线网络，这些设备的服务集标识符（SSID）必须相同，服务集标识符是一个文本字符串，包含在发送的管理帧中。如果发送方和接收方的SSID 相同，这两台设备即可得到此服务集提供的服务进而可以通信。8、胖AP：WLAN的物理层、用户数据加密层、用户认证、QOS、网络管理、漫游技术以及其他应用层的功能集于一身，每个胖AP都是一个独立的自制系统，相互之间独立工作，管理比较复杂，一般适用于小规模应用部署。9、瘦AP：负责射频信号收发和射频扫描、802.11报文的加解密、转发、接受无线控制器的管理等功能。瘦AP上基本为“零配置”，所有功能都在无线控制器上实现，适用于大规模应用部署。10、IEEE 802.1X协议：是IEEE制定关于用户接入网络的认证标准，在用户接入网络之前运行，工作于MAC层，IEEE802.1x协议具有完备的用户认证、管理功能，作为一个框架性协议，IEEE802.1X支持多种认证方式，如EAP-TLS、PEAP等。11、WPA2（Wi-Fi Protected Access 2）是在2004年由Wi-Fi联盟颁布的标准，是WPA的下一代或增补版本。其包含了IEEE 802.11i所有细节和修订内容，保证了与IEEE 802.11i保持互操作性，并且在此基础了做了一些安全性、易用性的增强。它遵照NIST(National Institute of Standards and Technology，美国国家标准和技术研究所)的建议实现了最新加密算法AES（Advanced Encryption Standard），使用CCMP(Counter Mode with Cipher Block Chaining Message Authentication Code Protocol，计数器模式密码区块链接消息认证码协议) 作为完整性校验方式，大幅度提高了网络安全性。WPA2在加密时使用Counter Mode 模式下的AES算法，在进行身份认证和完整性检查时，则使用Cipher Block Chaining Message Authentication Code模式下的AES算法。在2006年之后成为了Wi-Fi认证的必要条件，更成了WLAN网络的实际标准（de-facto standard），而且WPA2最终形成了802.11i的最终版本。12、CAPWAP：CAPWAP协议是无线控制器AC和无线接入点AP之间的通信协议，用于承载管理平面与数据平面流量。13. 瘦AP模式下的集中转发：在AC+AP组网的模式中，用户数据全部通过CAPWAP隧道送至AC，由AC统一做数据层面的转发。所有数据流量在此模式下必须过AC。14. 瘦AP模式下的本地转发：在AC+AP组网的模式中，用户认证数据通过CAPWAP隧道送至AC，由AC统一控制认证层面。AP根据SSID与有线VLAN之间的对应关系，直接将SSID中的数据转发入相应VLAN，所有用户数据流量在此模式下无需经过AC设备。3 设计目标在建设结构合理、功能完整的网络系统的前提下，本方案从功能性设计、实施和运维几个方面考虑以下内容：1、高可靠性设计：选用高可靠性设备，设计合理的网络冗余拓扑结构，制订可靠的网络备份策略，提供可供实际业务使用的相对稳定的网络服务，保证网络具有故障自愈的能力。2、可扩展性设计：所部署系统要具备扩容能力，例如AC可通过技术手段提供更高的AP管理能力，后台网络系统可提供完善的授权扩容能力等。3、网络安全设计：从用户身份认证、设备合法性检查、传输信息加密等方面给出方案安全保障实施要点。4、网络灵活设计：从对信号的控制，优化部署，人员接入便利性等角度优化网络，实现灵活易用。5、可管理性设计：整个系统的设备应易于管理，易于维护，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。4 方案背景“工业4.0”是2012年德国工程院、弗劳恩霍夫协会、西门子公司等德国学术界和产业界在3位德国教授倡议的基础上推动形成的。在随后的2013年德国联邦政府将“工业4.0”上升为国家级战略，并正式发布了实施工业4.0战略规划建议白皮书。工业4.0”战略旨在建立一个信息物理融合系统(CPS)网络，通过有线/无线等方式将所有生产企业的自动化设备、客户需求、物流仓储、生产管理、各类软件等产业链所有环节纳入其中，使工业生产实现动态监测、自我调整、人机互动并以最优生产方式完成生产实践。无线局域网(Wireless Local Area Network，缩写为WLAN)是高速发展的现代无线通信技术在计算机网络中的应用，是计算机网络与无线通信技术相结合的产物。无线局域网(Wireless LAN)技术可以非常便捷地以无线方式将生产过程中的人、设备、应用系统进行网络连接，从而方便的进行数据高速交互，实现智能的生产。无线局域网在生产现场广阔的应用前景、广泛的市场需求以及技术上的可实现性，促进了无线局域网技术的完善和产业化。随着工业4.0的不断深入和无线局域网技术的不断发展，无线局域网已成为工业4.0中重要的网络连接手段。为此，经过技术调研，将对利用WLAN无线技术实现业务办理进行了研究和相关测试，综合考虑分行业务需求和技术实现复杂度，制定了WLAN无线接入标准技术方案。本文档将对该方案进行详细阐述。5 问题挑战5.1 企业无线建设复杂场景下挑战一、 部署环境复杂 障碍物阻挡a) 办公室的厚墙：走廊加两侧连续办公室的场景，采用走廊放装，无法满足移动终端的体验，如果墙壁需要重新打孔、走线，将影响办公室的专修风格。对于领导办公室更是如此，因此大多数领导办公室不具备施工条件。b) 仓库高大的货架：大型仓储物流基地一般是货架林立及临时货堆造成无线信号遮挡，导致AP信号时有时无。c) 员工宿舍筒子型楼：员工宿舍为连续小隔间，单个房间不大。采用传统的放装AP走廊部署覆盖方案，覆盖效果不佳，体验很差无法满足员工手机，PAD终端的使用。 特殊环境a) 生产车间：弥漫的粉尘，超高高温或超低的温度（比如冷库等极限温度）、潮湿等环境，设备部署在此类环境中，容易影响设备正常运行，也给AP使用寿命带来了挑战； 无线干扰a) 密集部署环境下的自干扰：大型会议室和大开间的办公室里由于人员密集，为了满足用户的接入能力，必须进行高密度的AP部署，因无线信道本身不足的原因会带来AP自身的干扰。b) 办公室内私设WIFI的干扰：房间密集型办公室由于墙体和门窗的材质各异，导致房间里信号不够智能终端进行流畅的使用，办公室人员就会在办公室里私自架设WIFI小路由，造成对整体企业无线部署的干扰。二、 入网终端复杂，管理复杂 办公大楼终端情况：a) 终端主要为台式电脑、笔记本电脑、VOIP、视频会议终端和智能终端等，这其中VOIP，视频会议等其他智能终端基本都属于哑终端，认证能力薄弱，无法支持传统的认证方式，需要区别于笔记本和手机，进行单独的认证管理方式。b) 不同类型的终端在归属部门，访问权限和策略等方面要求也不一样，需要进行区分管理与监控。c) 企业里的VOIP和视频会议属于对延时高敏感的业务，需要进行业务保障。 生产车间场景终端情况：a) 终端主要生产过程采集终端、移动终端、条码枪、MES工控机、无线摄像头，此类终端同样也基本属于哑终端，接入认证能力弱，需要使用其他认证管理方式进行区别管理。b) 此类终端还有一个特点就是性能，能力比较弱（信号接收和发送能力都比较弱，对无线的信号强度要求至少-65db才能保障终端能稳定使用），一般来讲不能支持最新的无线技术，大多数工作在802.11b/g模式，不仅自身工作效率低，对整体无线网络的性能也有一定的影响。c) 不同类型的终端在归属部门，访问权限和策略等方面要求也不一样，需要进行区分管理和监控。 仓储物流场景终端情况：a) 终端主要为手持扫描终端或条码枪、智能平板电脑等，类似生产车间终端特点，不再做描述。b) 不同类型的终端在归属部门，访问权限和策略等方面要求也不一样，需要进行区分管理和监控。 员工宿舍终端情况：a) 终端主要为手机和PAD为主，少部分笔记本PC等，穿墙部署，信号难满格，手机和PAD对信号覆盖要求高，该区域使用传统的放装AP无法满足信号的覆盖要求。三、 无线业务应用复杂 办公大楼业务情况：a) 业务主要为OA、Email、网页浏览、ERP、CRM，VOIP，视频会议等业务，但是用户在上班时间使用进行大量的P2P下载，观看在线视频等高耗带宽的应用，严重抢占OA、Email等办公业务的带宽，造成无线信道带宽不能合理利用，特别影响VOIP和视频会议，导致无法使用，严重影响办公效率； 生产车间场景人员、业务、终端情况：a) 业务主要生产数据实时回传、设备点检、质量检测、MES排程、物料检查等，该类业务对延时敏感，网络丢包对应用造成卡顿现象明显，丢包经常会造成程序异常工作或退出 仓储物流场景人员、业务、终端情况：a) 业务主要为设备出入库管理、盘库、移库、拆零拣选等，该类业务对丢包敏感，如果受到高带宽的业务占用无线信道资源，会导致工作人员效率低下，影响工作效率关联绩效（操作员实行计件工资，网络退服时间直接影响员工绩效，极易引起投诉和纠纷） 员工宿舍场景人员、业务、终端情况：a) 业务主要以娱乐为主，主要包含视频，应用，网页，游戏等对带宽要求高；5.2 企业无线建设安全挑战企业无线建设安全主要在以下方面： 空口安全难管理：空气传输，看不见摸不着，数据安全如何管理? 链路窃听无保障：数据链路上如何防止窃听，盗取企业关键数据？ 终端准入难控制：不同位置/不同类型终端接入,如何获得一致的体验与权限? 用户权限难维护：用户位置多变，传统的安全策略如何应对？ 数据安全难管理：移动办公对企业数据管理提出了新的挑战？5.2.1 企业组织结构复杂，内网安全权限难以管控随着企业的发展壮大，职位分工更加明确，部门的职责也更加细化。部门精细化的同时权限也必须精细化控制，各个部门、职位拥有责任内的不同权限。如何保障公司机密不外泄，越权事故不发生的同时还要尽量提升员工的使用体验是对信息部门的一大挑战。5.2.2 企业无线建设身份统一认证挑战统一认证挑战：企业在使用有线网络时候，大部分没有网络准入认证，大部分客户可能有AD域控系统管理的操作系统准入管理，但在无线办公建设后，无线网络不仅要接入办公PC，还有移动终端，AD域控级别的系统准入在移动终端上不适用。基于以上原因无线网络需要部署网络准入认证，且用户在任何位置接入网络（比如员工在园区不同楼宇接入，出差途中，分公司等）网络准入的账号和密码必须是统一，且需要和原来PC准入账号密码一致。5.2.3 企业多分支漫游策略无法跟随挑战策略漫游问题：企业部署无线移动办公后，无法使用同有线网管理方法实现用户固定的策略（其中策略包括权限、业务流、应用安全策略、应用策略）和体验（体验包括对优先级、带宽和VPN资源预留策略）。客户为了保障内网数据安全和互联网出口网络服务质量，在有线网络办公场景中，信息中心一般会对不同部门规划不同的IP地址，然后根据IP地址在数据中心边界和互联网出口部署具体的策略（其中策略包括权限、业务流、应用安全策略、应用策略）和体验（体验包括对优先级、带宽和VPN资源预留策略）。在无线办公场景中，由于员工随意移动，任意位置接入网络（比如员工在园区不同楼宇接入，出差途中，分公司等），获取的IP地址会随机变化，无法再根据有线网络的管理方法来实现用户固定的策略（其中策略包括权限、业务流、应用安全策略、应用策略）和体验（体验包括对优先级、带宽和VPN资源预留策略）。5.2.4 企业访客网络安全可控挑战企业经常会有领导、客户、合作伙伴、供应商等的接待工作，在网络高速发展的今天，访客往往会要求使用网络。对于企业来说，开放内部网络会面临企业信息安全的问题，同时如何开放、如何管理访客接入网络也是一件头痛的事情，所以企业WLAN需要一个安全，可控，可管的访客网络系统。5.1 企业无线建设用户体验挑战无线使用不比有线，无线用户使用的体验来源于多个方面，比如无线用户接入认证体验不好，办公使用办公软件（OA，mail，erp等），视频会议、VOIP等体验差，无线基础设施高可靠不行导致网络断断续续都会给企业无线使用的用户带来体验的挑战。用户接入认证体验挑战：无线电磁波在空气中随意发射，任何人都可以自由的连接无线，势必会给企业的安全带来隐患，所以在无线部署的同时，必须在无线网络上开启认证，简单的认证用户使用体验好，但是安全性又差，如何能够保障用户使用体验好的同时，安全性高，同时成本可控是一个挑战。办公使用应用业务体验挑战：无线因为是在空气里传输的电磁波信号，非常容易受到环境的影响，比如办公室里有微波炉和蓝牙设备存在都会对无线存在较大的性能应用。无线网络相当于半双工的网络，移动用户多，应用种类多，单一用户或者应用长时间的占用网络，会影响整体网络的性能，特别对办公的视频会议，语音电话会造成比较大的影响。网络中由经常使用视频的用户，因为流量大，突发大，占用的空间信道大，且一直占有，会导致整个无线用户的体验跟着下降，这点与有线网络运行的机制很大不同，要想保障使用无线网络同有线网络一样的体验，将会是一个巨大的挑战。无线基础实施高可靠性挑战：无线网络是否稳定可靠，AP，AC，认证准入系统，DHCP系统等关键系统故障都是对无线网络的整体使用影响比较大，如果在无线基础设施建设的时候，充分考虑的关键组件的高可靠备份也很关键。5.2 企业建设规划与运维挑战无线网络从前期的建设规划，到中期的网络优化交付，再到后期运维管理，每个过程都需要耗费大量的人力资源，且专业性要求度极高。前期的地勘点位选择将直接影响后续的无线体验，点位选错，调优也无法保证用户体验；中期网络优化，工作量直接跟网络规模正正比，无线专业度高，非专业人员无法进行现场调优；后期的管理运维，面对用户“时好时坏”的无线体验，即使投入大量人力资源也搞不定建设规划难度翻番1) 地勘难度大：为了保障后续无线部署后的信号强度，无线建设前期都需要进行地勘，一是确认AP的数量，二是确认信号强度，为了达到以上2个效果，需要拿AP到当地进行实地信号测试（取电，测试AP的部放都是比较头痛的问题），需要耗费大量的人力资源，且此项工作做得好坏直接影响后续无线的部署效果。2) AP信道规划难：当企业部署的AP规模越大，无线信号覆盖范围越大的时候，信道的规划往往是比较头痛的问题。3) AP信号强度规划难：因为无线信号是看不见摸不着的，在地勘的时候也只能对信号的大体点位进行信号强度评估与规范，无法全面有效的整体评估AP的部放点位和数量来评估整体的无线信号强度。仅仅靠经验和感觉，对实施部署人员的经验要求比较高。4) AP点位规划难：AP部署到什么位置，在后续维护中都需要用到，前期都需要详细的规划用表，作为后续维护的关键数据，无线AP部署动辄成百上千，都要和具体的位置对应起来，而AP部署不比有线统一在弱电井，无线都是放到棚顶里面，看不到不好找，是后续维护的一大难题。5) AP名字规划难：后续维护中可以根据AP的名字和位置来对应具体的故障位置，前期也要做好非常详细的规划，有线没有这个要求。业务优化挑战1) 信号覆盖挑战，通过地勘测试，完成部署后，存在信号覆盖问题，此时需要针对特定的区域进行该区域的AP信号的个别调整，光是找该区域对应的AP就不是件容易的事情。2) 用户带宽保障：无线采用的是CSMA/CA的机制，用户之间相互共享这个AP的带宽，当有用户长时间占用无线信道时，势必会造成该AP上其他用户的使用体验。3) 开启5GHz优先？调整RSSI门限？这些都是非常专业的无线领域的知识，参数调整需要无线建设和维护有相当经验的人才能把握。Wi-Fi故障定位复杂1) 终端设置判断：无线终端类型各种各样，终端又包含操作系统和无线网卡本身，都能影响到无线的使用，所以在后续维护过程中，本身对终端设置和排查就是一项非常麻烦的事情。2) 无线干扰排除：无线看不清摸不着，容易与环境中其他同频设备发出的信号相互干扰，此时看到的现象时信号很好，网络使用体验较差，寻找干扰设备也不是件容易的事情。3) 无线AP故障：某个区域AP故障了，周边AP能自动信号补偿，用户冒事看着也能用，但是体验下降了，管理员无法主动感知，而用户不爆故障就会一直降低体验的使用，事后评估无线不好用。4) 无线认证失败排查：个别用户无线认证失败排查和大面积用户认证失败排查，第一种多出在个人终端上，需要进行终端问题排查，第二种多出在设备和认证系统上，都需要专业的人员进行排查。5) AP上线故障：AP经常掉线，上不了线，需要到AP端去进行排查，此时找AP部署位置就会比较麻烦。而且此类故障必须到现场进行排查，给排查也带来了麻烦，而有线则不存在此问题。6 解决方案架构设计6.1 企业无线场景一、 办公大楼人员、业务、终端情况： 人员主要为行政管理、市场营销、财务部门、技术及开发，权限管理难； 业务主要为OA、Email、网页浏览、ERP、CRM等，办公业务体验难； 终端主要为台式电脑、笔记本电脑、VOIP、视频会议终端和智能终端等。二、 办公大楼环境特点及问题： 大开间场景：主要存在“信号存在盲区问题”； 会议室、报告厅场景：高密度接入干扰大，体验差； 领导办公室场景：“施工复杂，无线布线难，影响美观”； 接待大厅场景：“访客管理，安全问题”。三、 生产车间场景人员、业务、终端情况： 人员主要为工人、生产管理和质量管理等人员； 业务主要生产数据实时回传、设备点检、质量检测、MES排程、物料检查等 终端主要生产过程采集终端、移动终端、条码枪、MES工控机、无线摄像头四、 生产车间环境特点及问题： 环境恶劣：高温、低温、粉尘、潮湿等环境，影响设备正常运行； 移动终端漫游掉线：漫游性能良莠不齐，移动过程经常丢包掉线； 数据采集点网络难覆盖：生产数据、能源数据采集点过于分散，网络难覆盖；五、 仓储物流场景人员、业务、终端情况： 人员主要为库房管理人员； 业务主要为设备出入库管理、盘库、移库、拆零拣选等； 终端主要为手持扫描终端、智能平板电脑等。六、 仓储物流场景特点及问题： 信号遮挡：货架林立及临时货堆造成无线信号遮挡，信号时有时无，影响工作效率； 手持终端断线：手持终端移动过程经常断线重连，影响工作效率； 网络不易连接：室外场景容易取电，但不易连接到网络七、 员工宿舍场景人员、业务、终端情况： 人员主要为公司员工，成本很关键 业务主要以娱乐为主，主要包含视频，应用，网页，游戏等对带宽要求高； 终端主要为手机和PAD为主，少部分笔记本PC等，穿墙部署，信号难满格，手机和PAD对信号覆盖要求高。6.2 企业园区无线网络逻辑划分基于上一章节无线场景进行无线网络逻辑划分，大概可以划分为以下几张逻辑网络，网络访问和建设可以参考划分逻辑网络。一、 办公大楼区逻辑网络： 无线办公网：独立于有线网络，新建AC,AP基础设施，并在该基础设施上规划一个SSID，成为一张逻辑网络，员工连接该网络，主要访问为公司OA、Email、ERP、CRM等业务系统，也有可能通过该网络进行互联网访问（根据需求进行设置）。 访客网络：一般在物理的AC,AP基础设施上单独规划一个SSID，成为一张逻辑网络，访客连接该访客网络，一般只能访问互联网。二、 生产车间区逻辑网络： 生产网：在同一套物理的AC,AP基础设施上单独划分一个SSID，成为一张逻辑网络，生产线上的特定的终端连接该网络（因为该SSID专为特定终端连接，多数情况下该SSID设计为隐藏状态），完成生产数据的采集和上传。 办公网：同办公大楼内的办公网。三、 仓储物流区逻辑网络： 业务网：在同一套物理的AC,AP基础设施上单独划分一个SSID，成为一张逻辑网络（也有可能是一套独立于办公网无线网的另外一套独立的物理无线网络），主要应用为公司库房管理人员，使用手持扫描终端、智能平板电脑为设备出入库管理、盘库、移库、拆零拣选等。 办公网：同办公大楼内的办公网。四、 员工宿舍区逻辑网络： 互联网：该区域的AC,AP部署主要为员工娱乐用，只需划分一个SSID专用做娱乐即可，只允许访问互联网。五、 室外区： 室外回传网：主要是将特定生产数据、能源采集数据、视频监控等数据回传到数据中心，一般为WIFI的WDS技术和4G技术进行室外回传组网。6.3 AC集中式部署架构设计6.3.1 总体架构设计总体架构介绍： 在总部园区部署一套SMP认证管理系统，同时SMP支持集群部署。 总部园区同时有统一的身份系统，比如AD，OPEN LDAP或第三方数据身份系统，如果没有则需增加一套IPC系统。 总部园区部署一套AC控制器，同时AC控制器支持热备或虚拟化部署，对在总部园区和分支机构部署的AP进行集中管理。 总部园区部署一套RG-SNC无线管理软件系统，实现对整网的AC,AP进行集中管理。 总部园区部署一套RG-WIS无线智能服务系统，实现对整网无线的使用体验进行优化。 总部园区部署一套DDI系统，实现对整网无线用户进行地址分配管理。 总部园区认证管理系统SMP和总部园区AC对接，实现公司所有用户的准入认证。 公司所有用户的准入认证身份数据通过总部园区部署的SMP认证管理系统去园区的统一身份系统读取（首次）。 总部与分支之间的链路，使用专线对办公、生产业务的数据进行传输，或使用“互联网链路+IPsec VPN”技术对办公、生产业务数据进行传输或备份传输。此种模式主要适用分支机构比较少的企业机构。6.3.2 总部分支VPN互联设计基础部署“采用互联网链路方案作为分支之间传输链路时“：分支与总部采用主流的IPSec VPN技术进行总分互联，通过互联网线路构建虚拟局域网为各业务系统提供跨广域网的安全环境。 总部采用两台RG-EG系列网关，分支机构与总部的两台设备建立IPSec VPN，互为备份。总分VPN网关均可以选择出口NAT模式或者单臂旁路部署。 业务优化： 总部与分支间应用传输主要是受到了延迟、丢包以及应用协议传输效率低下的影响。其中，延迟和丢包是广域网传输固有的属性，由于总分之间的地域因素、各地分支出口运营商不同、运营商线路质量参差不齐等原因，无法消除，但是我们可以尽量减少它们对传输所带来的影响。 RG-EG网关通过数据优化、TCP优化、协议化化等手段，提高VPN隧道内的数据交互效率，提升总分间的办公体验。 TCP优化：减少总分之间上传输信息所需的往返次数，减少不必要的重传，同时维持传输的可靠性，改善慢启动和拥塞避免对应用吞吐量的影响，提高对总分链路间带宽的利用率。 数据优化：包括数据压缩和重复数据删除技术，减少总部与分支间数据传输量，更大程度的利用宝贵的带宽资源。 应用协议优化：利用缓存、预取以及数据批量发送等技术提高应用在总部与分支之间的传输效率，增强用户体验。常见办公应用的加速范围（线路质量越差，可加速潜力越大）6.3.3 AC架构部署设计总部园区与分支使用专线场景AC架构设计：总部园区AC设计：将AC集中在总部园区的情况下，一般可以选择热备或者AC虚拟化模式进行部署，对2种部署模式的对比如下： AC热备部署：AC热备部署满足WLAN无线网络的高可用性要求，无线组网设计部署2台无线控制器（AC）组成1+1热备的方案，可以设计为AA模式或者AS模式，当任意一台AC故障，另外另外一台都能无缝切换，用户感知不到网络故障。 AC虚拟化部署：AC虚拟化部署能够实现AC热备部署的所有功能情况下，且对AC的配置和管理都视为一个AC设备，管理和配置起来更加方便。另外一个优点是AC热备不具备的，可以在线扩展AC，无需中断业务。通过对比两种模式的优点，当在总部园区对AC采用集中部署模式时，推荐采用AC虚拟化的部署模式。AC转发模式设计：分支机构：因分支结构用户连接上AP后，访问互联网流量从本地分支互联网出口进行转发，故在AC转发模式的设计上，必须选择本地转发。总部园区：总部园区无线访问互联网和访问本地数据中心一般都需要经过总部园区核心交换机，故总部园区在AC转发模式设计上集中转发和本地转发都是可以的。总部园区与分支使用互联网线路架构采用互联网线路进行互联，总部与分支需要在互联网的链路上建立IPsec VPN，IPsec VPN的设计参考“参考总部分支VPN互联网设计”。如果总部园区与分支采用互联网线路进行互联，那么总部园区AC与分支的AP建立的CAPWAP隧道嵌套“互联网线路+IPsec VPN隧道 ”里。6.3.4 身份统一认证与漫游设计集中式认证部署设计： 统一进行用户和策略管理 企业所有用户在第一次认证的时候，将用户账号密码自动从AD域或者第三方统一身份系统同步到SMP系统； 该模式部署支持员工的访问权限控制策略&QOS策略&接入控制策略漫游。统一认证集中式部署适合于中小企业应用场景：中小架构企业，可以直接在总部园区部署SMP。建议部署两台SMP组成集群并实时同步在线用户等信息。SMP也可以和AD，LDAP，数据库等第三方数据源对接，实现账号同步。总部园区园区SMP和总部AC对接，实现全国所有分支机构员工的认证。正常情况下主SMP对外提供服务，当主SMP故障时，备SMP自动接替主SMP，并对外提供服务。6.3.5 策略随行设计QOS策略设计为了保证企业网络环境中关键业务的用户体验，RG-EG网关能够对4到7层的网络应用进行识别，用户按照业务的重要程度，支持8级带宽优先级，合理分配合适的网络带宽资源，针对不同应用、人员分别指定不同的保证带宽及上限带宽，这样能够更好的保障总部与分支的业务开展。通过与统一的身份认证系统对接，可实现针对总分各地均有办公需求的人员的指定应用，匹配身份，无论在任何分支均提供预先设计的带宽保障。专线模式QOS策略设计SMP集中部署模式+出口EG部署 SMP统一进行用户和策略管理 用户认证时，ESS/SMP从统一身份系统（AD）读取用户部门组织信息，认证成功并同步至出口网关设备； 在各出口EG上预先设置基于“部门用户组”访问总部数据中心的访问策略和访问互联网QOS策略； 用户认证成功后，基于“部门用户组”匹配用户身份，实现基于用户身份的QOS和访问权限策略互联网线路模式QOS策略与此类似，设计省略。用户访问权限控制设计方案一（AC上进行访问策略执行）专线模式访问权限控制设计（AC上策略执行点）访问控制权限需求：访问控制权限是指用户接入无线网络后，对园区数据中心业务访问时，客户需要基于不同部门人员访问不同业务系统有控制需求，且该员工不管在总部还是分支机构接入无线网络时，其访问数据中心业务控制需求是不变的。员工访问控制权限设计：分支机构：公司人员在分公司接入时，在总部园区SMP认证管理系统上认证成功后，SMP基于该员工所属的用户组下发一个访问策略名给AC(通过标准的Radius属性)，由于AC在分支机构AP采用的是本地转发模式，实际该访问策略的执行点是用户所属接入的AP点上。总部园区：当员工在总部园区接入无线网络时，同样在总部园区部署的SMP认证管理系统上完成认证，通过标准radius属性下发该用户对应部门的“策略名”给AC，如果总部园区采用的是集中转发策略，那么最终策略是在AC上执行，如果是本地转发模式，那么和分支机构一样。备注：SMP下发的“策略名”对应的具体的策略条目，需要在AC上事先进行预配置，当用户认证成功下发“策略名后”，则该用户就动态关联了该策略名对应的访问策略。如果园区不是锐捷AC控制器则需要支持标准的“radius 11号属性”。则可以统一在SMP上进行认证和访问权限控制。集中转发需关注AC控制器策略容量，本地转发需关注AP接入点策略容量。漫游人员访问控制权限设计：集中式部署模式，所有用户身份分组信息都同步到SMP认证管理系统中，针对不同的用户组设计的访问控制权限策略名始终保持不变。所以在集中统一部署SMP的场景下，只需统一考虑用户组的策略即可，无需考虑用户漫游变化。访客访问控制权限设计：在分支机构和总部园区统一规划一个访客SSID，访客用户通过员工授权或者二维码扫描或者微信连接wifi等多种方式接入后，只允许访问互联网。方案二（出口网关EG上进行访问策略执行）专线模式访问权限控制设计（出口网关EG上执行策略）出口网关统一执行策略 在各出口EG上预先设置基于“部门用户组”访问总部数据中心的访问策略和访问互联网QOS策略； 用户认证时，ESS/SMP从统一身份系统（AD）读取用户部门组织信息，认证成功并同步至出口网关设备；、 用户认证成功后，基于“部门用户组”匹配用户身份，实现基于用户身份的QOS和访问权限策略。互联网线路访问权限控制策略类似，设计省略。6.4 AC总分式部署架构设计6.4.1 总体架构设计总体架构介绍： 总部园区部署一套AC控制器，同时AC控制器支持热备或虚拟化部署，对在总部园区AP和分支机构部署的AC进行集中管理。 大型分支机构部署自己AC和AP，AC对分支机构AP进行本地管理，同时该AC接受总部AC的管理。 在总部园区部署一套SMP认证管理系统，同时SMP支持集群部署,与园区AC进行对接认证，负责总部园区无线用户的认证和策略管理； 在大中型分支机构分别部署ESS认证系统（小型分支依然集中到总部园区进行认证和策略管理），与本地部署的AC进行对接，负责本分支无线用户的认证和策略管理（接入控制策略和访问控制策略）。 总部园区同时有统一的身份系统，比如AD，OPEN LDAP或第三方数据身份系统。 在总部园区部署一套IPC身份策略管理系统，总部园区部署的SMP或分支机构部署的ESS取本地认证系统不存在的用户时，统一指向该IPC，IPC系统与园区现有的统一身份系统进行对接，并将账号信息按组织机构下发给SMP和各分支ESS。 总部园区部署一套RG-SNC无线管理软件系统，实现对整网的AC,AP进行集中管理。 总部园区部署一套RG-WIS无线智能服务系统，实现对整网无线的使用体验进行优化。 总部园区与大型分支各自部署一套DDI系统，实现对各自无线用户进行地址分配管理，建议整个公司依然统一IP地址规划。 总部与分支之间的链路，使用专线对办公、生产业务的数据进行传输，使用“互联网链路+IPsec VPN”技术对办公、生产业务数据进行备份传输。此种模式主要适用分支机构规模较大的企业机构，小型的分支机构可以参考集中模式，两种模式可以混合部署，其中大型的分支机构采用分布式，小型的分支采用集中式部署。AC分布式部署对应的ESS也是分布式部署，目前暂无实现用户策略漫游（访问控制策略&QOS策略&用户接入控制策略），必须是ESS/SMP集中部署才能实现上述策略的漫游。6.4.2 总部分支VPN互联设计参考“AC集中式部署架构设计”章节“VPN互联设计”部分6.4.3 AC架构部署设计总部园区与分支使用专线场景AC架构设计：总部园区AC设计：参考集中部署模式的分析推荐总部园区AC采用虚拟化技术进行部署，对总部园区AP进行管理的同时，对分支机构的分支AC进行管理（依据企业内部的管理方式决定）。分支机构AC设计：中大型分支：中大型分支由于本地AP部署较多（一般超过50，此类规模的AP部署，分支机构人员规模超过1000人），推荐在本地部署分支AC，对本地AP进行管理和用户的接入认证。避免过多的AP和AC以及用户认证的交互报文通过互联网或专线传送到总部园区。此分支AC可以直接被总部的中心AC进行管理和配置，可以根据分支机构IT人员水平进行灵活的规划。小型分支机构：参考集中式部署模式，此种类型的分支架构在本地不部署AC控制器，AP统一由总部AC进行管理，认证也是在总部的center AC上进行。如果此类分支出口采用了锐捷公司EG680P系列的出口网关产品，可以将本分支的AP管理功能交由EG680P系列网关来兼管，认证则在EG680P系列网关上进行。AC转发模式设计：分支机构：因分支机构部署了分支AC，用户连接上AP后，访问互联网流量从本地分支互联网出口进行转发，故在AC转发模式的设计上，选择本地和集中转发都是可以的。部分小型分支没有部署AC的场景下，此分支的AP还必须设计成本地转发模式。总部园区：参考6.3.3章节中总部园区AC转发模式设计部分。总部园区与分支使用互联网线路架构：采用互联网线路进行互联，总部与分支需要在互联网的链路上建立IPsec VPN，IPsec VPN的设计参考“参考总部分支VPN互联网设计”。如果总部园区与分支采用互联网线路进行互联，那么总部园区AC对分支的AC的配置以及RG-SNC/WIS对分支AC，AP管理流量等封装“互联网线路+IPsec VPN ”里，其他部分没有变化。6.4.4 身份统一认证与漫游设计分布式部署设计：针对于大型分支机构，在总部部署IPC和SMP，各省分支机构分别部署SMP，同时SMP支持集群部署。 IPC集中对所有分支机构的账号信息进行统一管理，也可以和AD，LDAP，数据库等第三方数据源对接，实现账号同步，并将账号信息按组织机构下发给各分部SMP。分支机构的SMP和本地AC对接，实现本地用户的认证。当用户需要漫游时，漫游区域的SMP没有漫游用户的账号信息，那么漫游区域的SMP会主动到IPC上进行认证。统一账号园区漫游开启漫游功能让用户在企业网内使用同一帐号即可登陆，免去记录多个帐号，并能提供一致的实名制日志由于认证系统分布式部署暂未实现策略（访问控制策略，QOS策略，用户认证接入控制策略）漫游，AC分布式部署场景下，如果要实现以上需求，SMP/ESS还得使用集中式部署，部署模式参考6.3.4章节。6.4.5 策略随行设计QOS策略设计QOS策略主要是在总部园区和分支机构出口进行设计，AC总分式和集中式两种部署模式对出口设备设计没有区别，因此本章节参考6.3.5章节的QOS策略设计即可。用户访问权限控制设计分布式部署访问权限控制设计访问控制权限需求：访问控制权限是指用户接入无线网络后，对园区数据中心业务访问时，客户需要基于不同部门人员访问不同业务系统有控制需求，且该员工不管在总部还是分支机构接入无线网络时，其访问数据中心业务控制需求是不变的。员工访问控制权限设计：分支机构：公司人员在分公司接入时，在总部园区SMP认证管理系统上认证成功后，SMP基于该员工所属的用户组下发一个访问策略名给AC(通过标准的Radius属性)，如果分支AC在分支机构AP采用的是本地转发模式，实际该访问策略的执行点是用户所属接入的AP点上，如果分支AC在分支机构AP采用的是集中转发模式，那么访问策略的执行点在分支AC上。总部园区：当员工在总部园区接入无线网络时，同样在总部园区部署的SMP认证管理系统上完成认证，通过标准radius属性下发该用户对应部门的“策略名”给AC，如果总部园区采用的是集中转发策略，那么最终策略是在AC上执行，如果是本地转发模式，那么访问策略则AC上执行。备注：SMP下发的“策略名”对应的具体的策略条目，需要在AC上事先进行预配置，当用户认证成功下发“策略名后”，则该用户就动态关联了该策略名对应的访问策略。如果园区不是锐捷AC控制器则需要支持标准的“radius 11号属性”。则可以统一在SMP上进行认证和访问权限控制。集中转发需关注AC控制器策略容量，本地转发需关注AP接入点策略容量。漫游人员访问控制权限设计：公司员工从分支出差到总部或其他分支时，用户认证接入到当地的无线网进行认证时，本地没有该用户的信息，从IPC同步过来，在本地ESS系统里显示为访客，目前会按照统一访客授权给该漫游的员工。需要IPC/ESS/SMP进行相关场景的开发。访客访问控制权限设计：在分支机构和总部园区统一规划一个访客SSID，访客用户通过员工授权或者二维码扫描或者微信连接wifi等多种方式接入后，只允许访问互联网。6.4.6 架构说明集中部署总部运维成本高采用集中式部署的方式，整个企业账号管理及认证由总部统一维护。总部运维成本较高。 链路可靠性要求较高AC集中部署在总部，分支的AP与AC通讯对链路要求较高；认证服务器集中部署在总部，对链路要求比较高。分布式部署总部运维成本低，分支自行运维。采用分布式部署的方式，通过IPC对整个机构（如金融，保险, 大型企业等）账号统一的管理，各分支机构自行维护SMP。对现有网络影响最小的部署方案。分布式部署对于分支机构与总部之间的线路要求很低，基本上只要三层能通，就可以部署实施，因为IPC与分支SMP之间同步的数据量很小，采用定时同步和触发同步结合的方式，对线路要求降到最低，可穿越NAT环境（分支机构在NAT以内）。本地认证，提高性能，减少故障影响采用分布式部署加本地认证的方式，认证服务器在本地，提高认证的速度，增强性能。同时采用分布式部署，将服务器故障带来的风险降到最低，不会因为某个服务器瘫痪带来大面积断网。6.5 方案组件介绍6.5.1 无线控制器AC（Access Control）作为瘦AP架构的核心，无线控制器实现对所有AP的集中化控制和管理，所有配置都在无线控制器上完成，AP通过自动发现机制关联上无线控制器以后，自动和控制器同步Firmware版本，自动下载无线配置，无需对单个AP进行配置。为了降低AP间的同频干扰和邻频干扰，无线控制器能够根据无线环境自动规划AP的功率和信道。为保证无线网络的可靠性，无线控制器通常采用高可用架构，使用1+1冗余或者N+1冗余。无线控制器可以实现根据无线用户输入的用户名、密码信息以及接入设备类型信息，结合无线用户接入的AP位置以及接入时间，无线控制器和统一认证平台进行交互，实现无线用户的认证和授权。无线控制器还具有一些增强特性，比如无线控制器能够根据用户终端的类型，保证无线用户无线信号的稳定性并选择最合适用户接入的无线频段，对非法用户的DDOS等攻击进行自动检测与防御等。 6.5.2 认证系统（SMP/ESS服务器）认证系统（AAA服务器）主要负责进行用户的访问认证。其接受无线控制器传递过来的用户名、密码以及无线用户的设备类型等各种信息并进行用户合法性认证，无线控制器根据认证系统返回的认证结果决定是否允许无线用户接入网络。RG-SMP（安全管理平台）是分支机构中的用户身份及策略服务器。在SMP上，保存着由IPC下发下来的用户的身份信息，用户在接入网络之前，需要在SMP服务器上通过认证，以保障用户身份的合法性。SMP支持多种认证方式：802.1x认证，portal认证，证书认证，短信认证，MAC快速认证，访客二维码认证