购物中心无线覆盖方案

　　购物中心无线覆盖方案

　　一、 需求分析

　　用户需求：

　　对单独的楼层进行无线无缝隙的覆盖，

　　1、高性能

　　项目需求：

　　信号强度不低于75 (dbm)，以保证用户无线上网，wifi电话，移动pda的正常使用。

　　需求分析：

　　通过多种安装方式达到主要无线应用区域场地覆盖。安装方式采用明装或暗装的方式，设备安装于房间顶端挂在外面以及粘贴在墙壁上面，覆盖区域和安装规格在方案图纸中标识。

　　2、传输性能

　　项目需求：

　　覆盖区域内,确保无线网络的传输质量以及wifi电话等无线终端设备的实时传输.

　　需求分析：

　　根据用户的容量和应用流量需求，在设计方案中满足每台ap设计接入用户数量在20-30之间为最佳效果。

　　3、无线漫游

　　项目需求：

　　要求无线网络系统支持无缝漫游，保证无线网络在覆盖区域应用实时的数据不中断流畅传输。

　　需求分析：

　　要求无线网络系统在覆盖区域支持无缝漫游，实时交互用户接入信息，保证无缝漫游性能。

　　4、网络负载均衡

　　项目需求：

　　在客服、休闲办公区等覆盖区域，要满足多用户使用时不会产生网络瓶颈和网络性能的下降。

　　需求分析：

　　在方案中，无线网络系统应该提供动态的基于流量和用户数量的负载均衡机制，为用户提供最好的网络性能。

　　5、统一维护管理

　　项目需求：

　　提供简单、易用、统一的无线网络管理平台。为今后公司的it维护人员提供最好的工作便利。

　　需求分析：

　　无线网络系统通过一个核心管理部件进行综合的管理，不需要针对单独的ap接入点进行管理和维护。

　　6、用户接入认证

　　项目需求：

　　支持主流和多种形式的无线网络接入认证方式，满足用户的安全需求。

　　需求分析：

　　要求无线系统支持国际主流的大部分认证协议和认证方式，包括web portal方式和基于radius的802.1x无线认证方式。

　　7、无线安全加密

　　项目需求：

　　无线网络的安全是一个重要的应用保障，没有安全一切应用都变得脆弱和危险。无线网络系统需要兼容和接纳最高等级和最广泛的加密协议，保证信息安全

　　需求分析：

　　支持通用的加密方式和协议，包括wep、wpa、wpa2等。加密和认证通常是一起使用的。

　　8、无线入侵防护机制

　　项目需求：

　　对于网络恶意入侵频繁发生的今天，保证网络的安全成为系统的第一要素。被入侵和恶意攻击的网络系统是无法承载日常应用的，违背网络建设的初衷。

　　需求分析：

　　无线网络的入侵防护系统能够监听个个无线信道的数据流量，实时汇总和分析。针对入侵行为进行有效的联动保护。

　　二、设计方案

　　楼层共计2层，结构大致相同。地下二层主要为停车场，面积大约为6万5千平米，预计使用ap数为50个。地下一层主要是商铺面积约为6万5千平米，预计ap使用数量为47个。具体点位详见上图。(包括ap接入的机房。)

　　二、设计说明

　　根据网络系统中不同网络设备的地位和作用，可以将上图表示的无线网络系统分为几个部分，分别是：

　　1、无线终端

　　主要承载在网络应用的无线网络终端。无线网路终端的种类很多，所承载的应用也丰富多样。例如：wifi无线电话、带有wifi功能的笔记本电脑和数字助理pda、带有wifi模块的打印机和收银机(无线扫描枪)等等。

　　目前无线设备：主要应用于无线扫描枪的实时数据传输,每个门口的进出口内分别放置一台手持无线扫描枪，用于货物的进出记录，最终将数据通过无线统一传输到数据口

　　并且办公室内的电脑也通无线进行数据的传输以及对扫描枪得数据查询

　　2、无线接入层

　　主要包含access point/access port无线接入点设备，负责无线终端用户的接入和网络传输。方案中采用的主要无线接入点产品是air-lap1142n-c-k9内置天线，所有的无线ap设备通过56v(pwr-b)直接供电，(当然也可以用以太网网线连接到支持802.3af poe供电的以太网交换机上获得电源供电。)

　　3、汇聚层

　　主要包含cisco 交换用于每个ap的数据传输和将最终的数据汇集到一起统一传输到数据库。

　　4、核心应用层

　　air-lap1142n-c-k9无线接入点通过100 mbps的速率连接到汇集层交换机上，方案中的汇聚交换机堆叠就是通过1000mbps的高带宽连接到核心交换机上，保证了网络规划的金字塔稳定结构。

　　所有ap收集到的无线网络流量都通过交换机汇集到核心无线控制器air-ct5508-100-k9进行统一的过滤和转发，最终经过交换机到达数据库中。因为预计的点位为100多个，为了后期网络的扩展，与点位的盲点解决，推荐使用两台控制器。air-ct5508-100-k9控制器100个ap。air-ct2504-25-k9控制器25个ap。共计能够控制的ap数量为125个。

　　三、方案技术要点

　　本节针对前章节《项目需求与需求分析》中提出的具体需求进行技术实现的逐点说明。

　　1、高性能

　　信号覆盖范围和强度

　　通过在需要覆盖的区域安装部署无线接入点满足覆盖需要，同时通过实地测量和经验估算相结合的方式，设计出ap部署方案，同时通过调整个别ap保证信号强度优于75dbm。

　　用户容量和传输性能

　　根据各个区域无线用户数量估算和cisco ap产品的性能测试结果，在设计时设定每ap用户接入数量最佳在20至30期间，保证无线网路的可用性和好的传输性能。

　　2、高可用性

　　漫游性能:

　　支持二、三层漫游技术的控制器和lap1142n在真正的移动应用中满足覆盖区域无缝漫游、平滑切换的使用要求。控制器在工作时能够实时地接受并记录lap1142 提交的用户终端接入信息，包括用户mac、ip认证信息等等，当发生无论是2层还是3层漫游切换的时候，都能够提前同步终端信息，以保证在漫游时做到最快的切换。

　　用户分组管理与隔离

　　方案中，lap1142n支持多个mac地址、多个ssids、多个wlan，控制器能够管理256 / 32个vlan，还能够基于wlan限制用户访问，达到用户隔离和统一分组管理的应用效果。取消essid的对外广播，并禁止用户间的数据交流将有效地提升安全性。(具体设置可根据实际需求而定)

　　统一维护管理

　　通过无线控制器的管理系统能够进行统一监控、维护、配置和管理整个无线网络。

　　3、高安全性

　　用户接入认证

　　控制器支持的认证方式包括802.1x、radius、web、证书等方式，同时支持标准的计费和审计信息。

　　无线安全加密

　　支持的数据安全加密方式：wep、wpa、wpa2等标准加密方式。

　　四、设备参数

　　控制器air-ct5508-100-k9

　　cisco 5508 系列无线局域网控制器的特性

　　项规格

　　无线ieee 802.11a、802.11b、802.11g、802.11d、wmm/802.11e、802.11h、802.11n

　　有线/交换/路由ieee 802.3 10base-t、ieee 802.3u 100base-tx 规范、1000base-t。1000base-sx、1000-base-lh、ieee 802.1q vtagging 和 ieee 802.1ax 链路聚合。

　　数据请求注解 (rfc)· rfc 768 udp

　　· rfc 791 ip

　　· rfc 2460 ipv6(仅限直通桥接模式)

　　· rfc 792 icmp

　　· rfc 793 tcp

　　· rfc 826 arp

　　· rfc 1122 互联网主机要求

　　· rfc 1519 cidr

　　· rfc 1542 bootp

　　· rfc 2131 dhcp

　　· rfc 5415 capwap 协议规范

　　· rfc 5416 capwap binding for 802.11

　　安全标准· wpa

　　· ieee 802.11i (wpa2、rsn)

　　· rfc 1321 md5 信息-摘要算法

　　· rfc 1851 esp 三重 des 转换

　　· rfc 2104 hmac：键散列法用于信息身份验证

　　· rfc 2246 tls 协议 1.0 版本

　　· rfc 2401 互联网协议安全架构

　　· rfc 2403 hmac-md5-96 within esp and ah

　　· rfc 2404 hmac-sha-1-96 within esp and ah

　　· rfc 2405 esp des-cbc cipher algorithm with explicit iv

　　· rfc 2406 ipsec

　　· rfc 2407 interpretation for isakmp

　　· rfc 2408 isakmp

　　· rfc 2409 ike

　　· rfc 2451 esp cbc 模式加密算法

　　· rfc 3280 互联网 x.509 pki 证书和 crl 档案

　　· rfc 3602 aes-cbc 加密算法及其与 ipsec 的搭配使用

　　· rfc 3686 使用 aes 计数器模式和 ipsec esp

　　· rfc 4347 数据报传输层安全

　　· rfc 4346 tls 协议 1.1 版本

　　加密· wep 和 tkip-mic：rc4 40、104 和 128 位(静态和共享密钥)

　　· aes：cbc、ccm、ccmp

　　· des：des-cbc、3des

　　· ssl 和 tls：rc4 128 位、rsa 1024 位和 2048 位

　　· dtls：aes-cbc

　　· ipsec：des-cbc、3des、aes-cbc

　　身份验证、授权和记账 (aaa)· ieee 802.1x

　　· rfc 2548 microsoft vendor-specific radius attributes

　　· rfc 2716 ppp eap-tls

　　· rfc 2865 radius 身份验证

　　· rfc 2866 radius 记账

　　· rfc 2867 radius tunnel 记账

　　· rfc 2869 radius 扩展

　　· rfc 3576 到 radius 的动态授权许可扩展

　　· rfc 3579 radius 的 eap 支持

　　· rfc 3580 ieee 802.1x radius 准则

　　· rfc 3748 可扩展身份验证协议

　　· 基于 web 的身份验证

　　· tacacs 管理用户支持

　　管理· snmp v1、v2c、v3

　　· rfc 854 telnet

　　· rfc 1155 用于基于 tcp/ip 的互联网的管理信息

　　· rfc 1156 mib

　　· rfc 1157 snmp

　　· rfc 1213 snmp mib ii

　　· rfc 1350 tftp

　　· rfc 1643 以太网 mib

　　· rfc 2030 sntp

　　· rfc 2616 http

　　· rfc 2665 以太网式接口类型 mib

　　· rfc 2674 桥接可管理对象定义，包括流量类型、组播过滤和虚拟扩展

　　· rfc 2819 rmon mib

　　· rfc 2863 界面群组 mib

　　· rfc 3164 syslog

　　· rfc 3414 针对 snmpv3 的、基于用户的安全模型 (usm)

　　· rfc 3418 用于 snmp 的 mib

　　· rfc 3636 支持 ieee 802.3 mau 的可管理对象定义

　　· 思科专有 mib

　　管理界面· 基于 web：http/https

　　· 命令行界面：telnet、secure shell (ssh) 协议、串行端口

　　· cisco 无线控制系统 (wcs)

　　接口和指示灯· 上行链路：8 个 (5508) 1000baset、1000base-sx 和 1000base-lh 收发器插槽

　　· 小型可插拔 (sfp) 选件(仅支持思科 sfp)：glc-t、glc-sx-mm、glc-lh-sm

　　· led 指示灯：链路

　　· 维修端口：10/100/1000 mbps 以太网 (rj45)。

　　· 维修端口：10/100/1000 mbps 以太网 (rj45)，用于确保高可用性，供未来使用

　　· led 指示灯：链路

　　· 工具端口：10/100/1000 mbps 以太网 (rj45)。

　　· led 指示灯：链路

　　· 扩展插槽：1 个 (5508)

　　· 控制台端口：rs232(包含 db-9 male/rj-45 连接器)、mini-usb

　　· 其他指示灯：sys、act、电源 1、电源 2

　　物理尺寸和环境参数· 尺寸(宽×长×高)：17.30×21.20×1.75 英寸 (440 x 539 x 44.5 毫米)

　　· 重量：20 磅(9.1 千克)，带两个电源

　　· 温度：工作温度：32 至 104°f(0 至 40°c);存储温度：–13 至 158°f(–25 至 70°c)

　　· 湿度：工作湿度：10-95%，无冷凝;存储湿度：最高 95%

　　· 输入功率：100 至 240 vac;50/60 hz;1.05 a@110 vac;最高 115 w;0.523a@220 vac;最高115 w;测试条件：冗余电源，40c，全流量。

　　· 散热量：最高 392 btu/小时@110/220 vac

　　合规性ce mark

　　安全：

　　· ul 60950-1:2003

　　· en 60950:2000

　　· emi 和磁化系数(a 类)

　　· 美国：fcc 第 15.107 和 15.109 部分

　　· 加拿大：ices-003

　　· 日本：vcci

　　· 欧洲：en 55022、en 55024

　　控制器air-ct2504-25-k9

　　基础参数网络标准无线标准 ?

　　ieee 802.11a、802.11b、802.11g、802.11d、wmm/802.11e、802.11h、802.11n

　　有线/交换/路由 ?

　　ieee 802.3 10base-t、ieee 802.3u 100base-tx规范、1000base-t和ieee 802.1q v标记

　　网络参数吞吐量最高500mbps

　　管理专门用于思科无线控制系统

　　基于web：http/https单个设备管理器

　　命令行界面：telnet、安全外壳(ssh)协议、串行端口

　　安全wifi保护接入(wpa)

　　ieee 802.11i(wpa2, rsn)

　　rfc 1321 md5信息—摘要算法

　　rfc 1851 esp三重des转换

　　rfc 2104 hmac：用于信息验证的密钥散列

　　rfc 2246 tls协议1.0版本

　　rfc 2401互联网协议安全架构

　　esp和ah中的rfc 2403 hmac-md5-96

　　esp和ah中的rfc 2404 hmac-sha-1-96

　　rfc 2405 esp des-cbc密码算法，采用explicit iv

　　rfc 2406 ip封装安全有效负载(esp)

　　rfc 2407针对isakmp的解释

　　rfc 2408 isakmp

　　rfc 2409 ike

　　rfc 2451 esp cbc—模式密码算法

　　rfc 3280互联网x.509 pki证书和crl档案

　　rfc 3602 aes-cbc密码算法及其与ipsec的搭配使用

　　rfc 3686使用aes计数器模式和ipsec esp

　　rfc 4347数据报传输层安全

　　rfc 4346 tls协议1.1版本

　　其他参数端口类型控制台端口：rj-45连接器

　　网络：4个1gbps以太网(rj-45)

　　安全认证ul 60950-1：第2版，en 60950：2005

　　电源电压100至240vac;50/60 hz

　　环境参数工作温度0至40°c

　　存储温度-25至70°c

　　湿度范围10-95%，非冷凝

　　外观参数状态指示灯链路状态(每个1g端口)、电源、状态、告警

　　尺寸43.9×203.2×271.5

　　产品特性优点

　　思科 1142n系列ap

　　薄外形, 集成天线的企业级ap ，轻松布署在办公室和相似的rf环境。• 两个高可靠性的 ieee 802.11a 和 802.11g/n 无线模块提供 300 mbps 容量

　　• 2.4 and 5 ghz 集成差异集成天线, 轻松布署不用外加天线

　　•薄塑胶外壳

　　• 16 mb flash 内存

　　• 可在0 到 40°c的环境下正常工作。

　　• 支持inline power (poe 和 802.3af)

　　• console端口管理

　　• 支持 wpa 和 802.11i/wpa2

　　• 通过软件包升级可支持lwapp

　　• 思科分布式无线解决方案• 顺从ieee 802.11a/b/g 标准布署在高容量的无线网络

　　• 迅速安装和轻松管理

　　其所长、• ro4bust and predictable coverage for offices and similar rf environments

　　• 低成

　　• 通过相互认证和动态加密来达到企业级安全。

　　• deployable today as an autonomous access point

　　• upgradeable in the future to operate as a lightweight access point

　　五、设备清单

　　设备名称型号单位数量单价合计备注

　　控制器cisco air-ct5508-100-k9 1台

　　cisco air-ct2504-25-k9 1台

　　lapcisco air-lap1142n-c-k9 97台

　　lap(备用预留)cisco air-lap1142n-c-k9 5台

　　poe二层交换机poe16口 4台

　　poe8口 13台

　　调试费用另算