Ruckus Wireless 工业园区无线覆盖建设规划方案

睿智园 睿 园区 区、无 无限 限遨游 游
工业 业园区无 无线覆盖 盖规划方 方案
优科 科无线区域总 总代 东 东莞市瑞恩 恩计算机技术 术有限公司 司 全国咨询热 热线：400-637-0330 0
20 014 年 03 月

工业园区无线覆盖方案规划书
目录
一、 工业园区网络项目介绍和概述 ....................................................................................... 2 二、 无线园区网建设的原则和需求分析 ............................................................................... 2 2.1 无线园区网的建设原则 .................................................................................................... 2 2.2 无线园区网的发展方向 .................................................................................................... 2 2.3 无线园区网的安全设计原则 ............................................................................................ 3 2.4 无线园区网将来的扩展和升级 ........................................................................................ 3 2.5 无线园区网的后期管理、维护 ........................................................................................ 4 2.6 无线园区网的具体技术需求 ............................................................................................ 4 三、 无线局域网在园区里承载的典型应用 ........................................................................... 5 3.1 在现有的园区局域网里，如何快速的部署室外、室内的无线网络了？ ................... 5 3.2 面对越来越多的终端上网需求，如何保障高密度的上网接入？ ............................... 7 3.3 面对运营商、员工、 自建的无线网络，如何保障园区无线网络的稳定、可靠、抗 干扰的接入？........................................................................................................................... 8 3.4 园区网内不同终端、不同设备的连接效果千差万别，如何解决这个问题？ ......... 10 3.5 为了实现无线园区网络的稳定、可靠性，如何做到冗余的、自愈的无线网络连接？ ................................................................................................................................................ 11 3.6 员工、 、行政人员的访问数据的不同，如何区分彼此连接的网络的不同？ ....... 12 3.7 为了保障高清视频的传输，如何做到快速、平稳的传输视频数据？ ..................... 13 3.8 BYOD（自用设备使用）的流行，不同园区的认证系统的使用，如何与现有的认证 系统进行连接？..................................................................................................................... 14 3.9 如何实现无线园区网络的绿色环保的要求？ ............................................................. 15 四、 工业园区网无线局域网方案建议 ................................................................................. 16 4.1 无线园区网络的组网方式设计 ....................................................................................... 16 4.2 多业务区分设计 ............................................................................................................... 17 4.3 网络与用户管理 ............................................................................................................... 17 4.4 无线安全性设计 ............................................................................................................... 18 4.5 移动漫游设计 ................................................................................................................... 19 五、 园区的无线局域网建设规划特点 ................................................................................. 20 5.1 组网方便.......................................................................................................................... 21 5.2 智能天线技术, 更少的 AP 数量, 更大更有效的覆盖 ................................................. 21 5.3 有效的支持视频和音频流，智能的 QoS 技术 ............................................................. 22 5.4 抗干扰能力强 .................................................................................................................. 22 5.5 用户密度高...................................................................................................................... 23 5.6 安装部署简单方便 .......................................................................................................... 23 5.7 可预测的性能 .................................................................................................................. 24 5.8 实时监视无线 RF 环境 ................................................................................................... 24 六、 设备清单......................................................................................................................... 25 七、 产品介绍......................................................................................................................... 26 无线控制器 - ZoneDirector 3000 .......................................................................................... 26 八、 全国学校应用案例 ......................................................................... 错误！未定义书签。?
第 I 页共 40 页

工业园区无线覆盖方案规划书
一、 工业园区网络项目介绍和概述
XXXX
二、 无线园区网建设的原则和需求分析
2.1 无线园区网的建设原则
无线局域网采用的技术支持应为国际标准或业界标准，不使用某个厂 商的专用技术和协议， 以保证网络设备的互通性， 有利于网络的投资保护。 根据学校的需求和无线网建设与设计原则，建议采用美国 Ruckus 公司 的无线交换局域网系统（以下简称 Ruckus 公司） ，完成无线局域网覆盖项 目。在无线园区的建设规划中，我们不仅仅强调无线网络的覆盖、连接、 稳定、可靠等因素，我们更要考虑无线园区网的总体建设成本，包括建设 无线园区网络的人工成本、建设周期、工程建设的易难程度、将来的维护 和升级成本、网络管理的便易等因素。
2.2 无线园区网的发展方向
第一代无线局域网主要是采用胖 AP 架构，每台 AP 都是一个独立的个 体， AP 与 AP 之间不会进行任何沟通， 需要逐台逐台进行配置和管理， 费时、 费力、维护成本高，安全低，融合性差；第二代无线局域网融入了认证网 关设备，仍然不能集中对 AP 进行管理和配置，只是对认证管理方面有所提 高而已。现今大型无线网络要求其与传统有线网络平滑融合，要求管理性 和安全性都必须有一个质的提高，而第一代和第二代无线技术必定不能满 足，因此，在这样的环境下，基于无线 交换机集中式管理的第三代无线架构 延生了。 第三代无线局域网架构采用无
第 2 页共 40 页

工业园区无线覆盖方案规划书
线交换机加瘦 AP 的结构，使得无线局域网的网络性能、网络管理和安全管 理能力得以大幅提高，使建设大型无线网成为可能。但是网络的发展日新 月异，随着人们对无线局域网技术要求的不断提高，以及对无线局域网认 识的深入，瘦 AP 的概念已经过时。 可胖可瘦成了 AP 发展的趋势，尤其是 随着 802.11n 的普及，简单的瘦 AP 给后台的无线交换机带来极大的负担。 为了解决这个问题，用户付出的代价也是巨大而不划算的。第四代可胖可 瘦 AP 成为无线局域网发展的必然。
2.3 无线园区网的安全设计原则
在网络安全性方面，无线局域网系统要具有与有线局域网同样要求的 安全防护措施，无线网的安全性主要从以下几个方面考虑： （1）接入认证：具有支持多种用户认证方式； （2）数据链路的全程加密； （3）具有无线电波监控能力，能提供无线入侵侦测和无线终端位置的 追踪功能。 具有提供智能化的无线电波自动调控与切换能力，以确保单个 AP 接入 点在发生故障时自动切换到邻近 AP，不会影响无线的接入服务；具有支持 热备份的无线交换机的冗余备份机制。
2.4 无线园区网将来的扩展和升级
通过一个集中的无线局域网网管平台实现对所有的 AP 功能的配置和管 理，AP 在提供无线接入的同时，也可进行无线入侵监控、无线电波传输分
第 3 页共 40 页

工业园区无线覆盖方案规划书
析。同时整个系统可以根据用户的需要进行规模上的扩展，扩展后所有功 能和管理的模式保持不变。
2.5 无线园区网的后期管理、维护
在网络管理方面，必须具有集中控管、智能调控、自动恢复、系统冗 余等实用功能，使所建的无线网络可以适应多种环境的变化，可动态地保 证良好的应用效果。同时，还应支持多 SSID，可以方便的把语音、视频以 及其他类型的数据的应用进行分开管理。
2.6 无线园区网的具体技术需求
根据学校无线局域网系统建设要求，无线局域网系统的建议如下： 1、充分利用现有网络结构与资源，不单独组网，AP 就近接入有线网络 （最近的交换机） 。 2、采用集中管理、当地转发的组网方式，集中管理所有的 AP，同时在 接入层本地转发数据。 3、AP 的供电可以不单独拉线，采用 POE 供电的方式。 4、采用先进的 WLAN 网管系统管理局域网。 5、充分考虑 WLAN 的安全性，采用先进的 WLAN 安全技术保障。 6、无线局域网系统要支持故障热备冗余能力。 7、无线局域网系统要能方便和灵活地调整与扩充，支持 MESH 技术快 速部署无线网络。 8、无线网络采用不同性能的设备满足不同场景的需求，如在图书馆、 会议大厅满足高密度的用户接入，在园区室外满足大范围的覆盖，在办公 楼满足安全的接入。
第 4 页共 40 页

工业园区无线覆盖方案规划书
三、 无线局域网在园区里承载的典型应用
3.1 在现有的园区局域网里，如何快速的部署室外、室内的无 线网络了？
在园区网的弱电信息点设计当中，尽管教室和办公室建筑中每个房间不一 定需要使用电脑或者有网络接入的需求，但是为了考虑将来可能扩展的应用需 求，往往在所有的房间中都一定部署电话和网络端口，这样的设计通常容易造 成资源的闲置。而通过部署无线网络，在提供网络接入的同时带动了 IP 电话等 各种应用，不仅削减有线网络信息点，提高了资源利用率，而且还可以使用移 动 IP 电话替代传统的固定电话降低园区的通信费用。 这样的网络接入方式具有 灵活便捷的特点，在经济上也是一种高性价比的投资。
第 5 页共 40 页

工业园区无线覆盖方案规划书
Ruckus 公司的室内、室外产品为园区网的用户提供全面的解决方案。通过 室内、室外的 AP 设备、无线网桥设备、无线 Mesh 技术、无线控制器快速的建 立无线园区网，用户不需要或者少量的部署有线网络接入点就可以部署部署全
第 6 页共 40 页

业园区无线覆 覆盖方案规划 划书 工业
校的 的无线园区网。
3.2 2 面对越 越来越多的 的终端上 上网需求，如何保 保障高密度 度的上网接 入？ ？
园区网络 络的建设初期 期，我们没 没有充分考虑 虑无线网络 络的性能、覆 覆盖范围、接 入终 终端数，随 随着无线网络 络的普及，用户使用的 的终端数爆 爆发式的增长 长，每一个 个用 户（ （包括 、员 员工）都拥有 有 2-3 个无 无线终端，比 比如： iphone、ipad、平板电脑 脑、 智能 能手机。这样 样在园区的 的用户终端数 数就是 PC 数量的 数 3 倍，同时考虑 倍 虑到临时访 访问 的用 用户，漫游 游的用户，其 其无线用户的接入会密 密集的爆发 发。
第 7 页共 40 页

业园区无线覆 覆盖方案规划 划书 工业
为了满足 足高密度的用 用户接入，基于 Rucku us AP 独特 特的硬件及软 软件设计，以 及独 独有的各种抗干扰技术 术，Ruckus s 在高密度 度的表现上非 非常优秀，单个 AP 最高 最 可关 关联用户数 数为 500 个，曾经出色 色的完成了时 时代华纳体 体育馆内 20000 人的高 高并 发场 场景，Woma ad 音乐节，白云机场 场，首都机场 场等多个机 机场，以及人 人民大会堂 堂内 央视 视节目推介会的高并发 发场景。下 下图为某个会 会议上的 AP P 所管理用 用户数的截图 图：
3.3 3 面对运 运营商、员 员工、 自建的无线 自 线网络，如何保障 障园区无线 网络 络的稳定 定、可靠、 、抗干扰 扰的接入？ ？
园区里的员工在宿舍 舍里也希望 望通过无线网 网络进行连 连接，传统的 的园区都是 是采 用员 员工自己的设备来搭建 建无线网络 络，同时运营 营商也采用 用自己的网络 络来部署无 无线 网络 络。这种情 情况下无线环 环境会变得 得很复杂，同 同时员工的 的的视频应用 用会占用很 很大 的带 带宽。
第 8 页共 40 页

工业园区无线覆盖方案规划书
为了解决抗干扰的问题。使用 Ruckus AP 的 Beamflex 专利技术可以实时 判断最佳 RF 传输路径，无论环境中存在 wifi 或非 wifi 干扰，Ruckus AP 中自 带的最佳路径算法都会以用户的最终性能为标准，计算出当前环境下的最佳路 径，从而有效避开干扰。Ruckus 的智能天线技术使得 AP 时刻计算用户所处的 位置，并变换天线模型，在任意时刻都是采用窄波束进行传输，因此系统间相 互的干扰比传统的 AP 系统间的干扰小很多。
第 9 页共 40 页

工业园区无线覆盖方案规划书
3.4 园区网内不同终端、不同设备的连接效果千差万别，如何 解决这个问题？
园区里不同的用户使用习惯不一样，用户的终端类型也千差万别，有用户 使用 iphone 手机的；有用户使用平板电脑的；有用户使用 PC 笔记本的；有用 户使用无线 POS 终端的（园区的商铺用）。用户的终端不一样，对无线网络的 要求也不一样： 1. 智能终端的发射功率远远低于笔记本电脑， 2. 智能终端的极化方向为单极化方向，而用户使用智能终端的习惯又各 不相同，因此，采用单极化天线的传统 AP 无法适应与其采用不同极化 方向的终端。 因此， 智能终端的在传统 WIFI 网络中的表现很差， 平板电脑也是相同原理。 为了解决这个问题，Ruckus 公司的 AP 中都采用了独特的天线设计及电路 设计，因此，具有极高的接收灵敏度，同时 Ruckus 公司 的 AP 都采用了双极化 天线设计，因此，无论无线终端使用哪种极化方向去传输或接收，Ruckus 公司 AP 都可以很好的支持，使无线性能不会衰减。
第 10 页共 40 页

工业园区无线覆盖方案规划书
3.5 为了实现无线园区网络的稳定、 可靠性， 如何做到冗余的、 自愈的无线网络连接？
园区的无线网络为员工、 、 办公人员提供了网络的连接， 为了实现可靠的、 稳定的连接，园区无线网络应该具有冗余的设计、冗余的无线网络覆盖，当无 线网络的某一个节点出现故障时候，不会对用户的终端上网产生影响，系统能 够自动的进行自愈及调整，同时网管人员能够快速的进行排错和维修，保障网 络的可靠、文档的运行。 为了实现这个目标，Ruckus 公司推荐的无线园区网设计里，我们可以在一 个 IP 子网内部署冗余的 Ruckus 无线公司的无线控制器 ZoneDirector ，当某 一个工作的 ZoneDirector 出现故障， AP 会自动注册到备用的 ZoneDirector ， 无线用户能够维持会话，不需要重新手工登录。其效果和无线用户在同一个 ZoneDirector 管理下的不同 AP 之间漫游的效果是一样的。
第 11 页共 40 页

工业园区无线覆盖方案规划书
ZD A
ZD B
ZD A
ZD B
3.6 员工、 、行政人员的访问数据的不同，如何区分彼此连接 的网络的不同？
采用无线网络的最大优势在于无线网络的灵活性,及时性和移动性， Ruckus 的无线网络，具有丰富的用户安全认证/数据加密传输的功能，配合学校的认证 管理系统，可为整个学校提供了高速网络信号的无隙覆盖，使整个学校处于整 体的电脑网络系统管理之下，加快 对信息的查询，认识和处理。无论是对 、 校领导还是工作人员，整个工作的进程都将是可控的。
第 12 页共 40 页

工业园区无线覆盖方案规划书
3.7 为了保障高清视频的传输，如何做到快速、平稳的传输视 频数据？
园区实时的传输，大多数学校已经建成的有线监控环境，如果临时需要增 加监控势必会进行重新布线，从而会破坏园区现有的环境，这种做法不可行。 因此，可以考虑在室内和室外部署 AP，在监控点架设一台无线摄象机，这样的 话实时监控的图像就可以通过无线网络传输到监控室里。 和安保人员通过这种 方式就可以实时的监控和管理园区的安全。
第 13 页共 40 页

工业园区无线覆盖方案规划书
3.8 BYOD（自用设备使用）的流行，不同园区的认证系统的使 用，如何与现有的认证系统进行连接？
无线网络极大地方便了教育科研。教师和科研人员可以一边讲解一边通过 无线移动终端实时调用课件，员工也可以通过终端设备来进行学校。为了实现 安全的接入到园区的无线网络，网管人员会面对不同用户角色、不同终端的操 作系统、不同的访问权限等问题。Ruckus 公司通过多种技术帮助网管人员实现 了 BYOD 的应用，同时也解决了网络安全、认证的问题： 动态 PSK：为每个用户提供一个 PSK,可在 802.1X 及密钥间达成完美平衡， 虽可简单执行，却高度安全。 零 IT 激活功能： 可为无线网络用户提供安全直接的服务及管理功能，使 用户在无 IT 员工干预的情况下即可进行网络连接。 目录集成：可使企业充分利用现有目录资源，包括活动目录、LDAP、 eDirectory（用于 BYOD 设备管理）、用户认证及策略等。 设备指纹识别及策略：有利于灵活创建基于用户、角色及设备类型的授 权参数文件。 客户端可视性：可提供精细监控及诊断功能以便管理员及支持人员更好 监管使用趋势及网络行为，从而做出明智的决策。
第 14 页共 40 页

工业园区无线覆盖方案规划书
3.9 如何实现无线园区网络的绿色环保的要求？
在园区环境下部署无线网络，还应该考虑到电磁辐射和设备的绿色环保， 员工、 对无线设备的外置式天线会产生反感。Ruckus 公司的绿色环保的设备 可以解决这种担忧， 用户在部署 Ruckus 公司的设备时候， 可以快速的部署设备， 同时设备内置的天线很好的避免了用户的反感。
第 15 页共 40 页

工业园区无线覆盖方案规划书
四、 工业园区网无线局域网方案建议
根据无线网络需求和无线网络设计原则， 结合 Ruckus 无线系统技术及产品 的特点，方案的设计分为：无线组网方式设计、多业务区分设计、网络及用户 管理、网络安全防护设计、移动漫游、兼容性和计费设计七个部分。
4.1 无线园区网络的组网方式设计
园区的无线网络设计采用 PoE 供电方式，由新增的 PoE 交换远程为 Ruckus 的无线 AP 进行供电，以超五类网线互联，最后通过新增接入交换机连接接入有 线网平台交换机，整个无线网可以实施灵活的无线 VLAN 划分和各级认证加密。 AP 采用 POE 供电因此实际部署时 AP 可以直接接入到现有的有线系统交换机中， 尽量减少施工难度和施工周期，同时对现有网络架构也不会造成任何的改变， 同时 Ruckus 公司无线采用分布式转发，即数据通过无线 AP 转换进入有线网后 直接通过交换机进行转输，因此稳定性较高即使出现无线控制宕机的情况也不 会影响现有用户对无线网络的使用，同时分布式转发架构所有的数据转发通过 AP 直接进入有线网络不需要 AC 进行转发，因此 AC 特理性能不需要配置太高，
第 16 页共 40 页

工业园区无线覆盖方案规划书
AC 只需实现对 AP 注册接入用户认证，加密等控制策略即可。
4.2 多业务区分设计
使用无线网络可以分为不同的无线接入业务类型。因此，在设计上采用无 线局域网多 SSID 技术，设置多业务区分方式。在一个无线局域网内可以设置多 个 SSID，例如一个 SSID 可给内部员工所用，而另一个可给外来的客户专用。 由于用户一般把 SSID 看成 VLAN， 所以他们都会惯性地以 VLAN 概念来划分 SSID。 其实在一个 AP 范围内，不管用户连接到那一个 SSID 它们实际上都是在同一个 802.11 广播域内，因为无线电波的传输是共享。一个最简单的例子就是 AP 把 不同的 SSID 名字广播，所以当无线终端在这个 AP 覆盖范围内启动时，它就能 同时看到多个 SSID。 SSID 的最主要用途是可让无线终端以不同的安全认证和加 密方式入网。 为什么要把不同的安全加密协议设置在不同的 SSID 呢? 802.11 的标准内
定义了不同加密情况时数据包的封装格式，所以在用户的无线接入使用不同的 加密程式，例如：WEP,TKIP(WPA),802.11i(WPA2)等等，不同加密方式不能在同 一个 SSID 内同时存在的。 要注意的是 SSID 可以覆盖全网，也可以只局限于园区网内的某些范围。一 般的情况下是全网开通，例如：客人(Guest)使用的 SSID；但有些 SSID 则可能 供某些部门使用，所以它的覆盖范围通常只会局限在某些范围内。
4.3 网络与用户管理
Ruckus 无线系统中可以设定用户的角色（role），每个 role 可以基于用 户权限和可访问资源的设定等规则。 用户权限是 Ruckus ZoneDirector 的功能， 是针对无线接入的特性而设计。一般的用户接入不同的 SSID 时只具有该 SSID 或 VLAN 所对应资源的访问权限，所以访问不同的 VLAN 的资源需要分别登录不 同的 SSID，这样是十分不便的。Ruckus 的基于用户角色的权限管理是与用户认 证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的用户角色权 限，访问其他 SSID 对应的网络资源。这样，一个具有全部权限的用户通过一个
第 17 页共 40 页

工业园区无线覆盖方案规划书
SSID 登录后，可以访问所有 SSID 对应的语音、数据和视频业务的权限，从而 简化了用户的权限设置和用户管理的复杂性。 一般在用户权限设计中，可以将来宾和普通用户的权限设置的较低，只能 访问有限的资源，且优先级较低，并且有带宽的限制。 其他用户可能有较高的权限，可以访问更多的学校资源，或者对某些特殊 的来宾开放某些 VIP 账号，分配给其较高权限的 role。在带宽方面可以做比较 宽松的限制。所有这些在配置、使用和管理上都非常符合一般企业的网络管理 需求。
4.4 无线安全性设计
在 Ruckus 无线系统中，可以在多个层面对系统构筑安全防护，其安全性设 计如下： （1）多 SSID：可以根据需要，如用户的种类、应用的种类，在 Ruckus 无 线系统中设置多个 SSID，不同的 SSID 采用不同的安全策略，这样可以对不同 的用户及应用进行区分服务。另外 SSID 还可以选择隐藏的方式，该 SSID 不广 播，用户无法看到，防止非法用户的连接企图。SSID 还可以选择在某些 AP 上 出现，某些 AP 上不出现，限制 SSID 出现的范围也是实现安全性的一种手段。 （2）加密：Ruckus 无线系统支持多种加密的方式，二层的加密支持静态 WEP、动态 WEP、TKIP、WPA、802.11i 多种加密方式，三层的加密支持 IPSec
VPN 加密，这样使得加密的方式更加的灵活，可以根据实际需求进行选择。 （3）用户认证提供三种方式： ① WPA-PSK＋captive portal+VPN。 加密方式采用 WPA-PSK，不建议采用静态 WEP，因为有安全隐患。采用 captive portal+VPN 的认证方式，同时 VPN 还具有三层的加密功能，具有更高 的安全性。认证服务器的选择比较灵活，可以使用 RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS，甚至是 Ruckus 交换机内置的帐户数据库。 ② WPA+802.11x 加密方式尽量采用 WPA，如果客户端不支持也可采用动态 WEP，认证方式采用 802.11x，认证服务器选择 RADIUS。
第 18 页共 40 页

工业园区无线覆盖方案规划书
③ Dynamic PSK? Dynamic PSK?是 Ruckus 专利的用户认证和加密技术。传统的无线加密密钥 对所有的用 户是相同的，相当脆弱；而且长度较短，容易被解码。Dynamic PSK?技术 为每一个用户提供一个 64 字节的密钥， 实现完整而且非常安全的认证加密手段。 （4）用户的 Role（角色）：每一类用户可以建立一个相关的 Role，每个 Role 有一个用户状态防火墙的设定和带宽控制的设定，这样我们就可以将设定 的安全策略加载到每个用户身上。 （6）带宽控制：可以对每个用户设定其可以使用的带宽，一方面可以限制 其对网络资源的占有，另一方面，当该客户端中了病毒以后，其病毒发作时不 会占用网络全部的带宽。 （7）认证系统支持： Ruckus 无线系统支持多种认证系统，诸如 Radius、 微软的 AD（活动目录）和在 Ruckus 无线交换机内部的 Internal DB 等等。
4.5 移动漫游设计
无线用户移动漫游，涉及到多个层次的漫游，最为简单的是二层漫游，其 他厂家产品都表现不错，三层漫游就困难多了，还有当用户跨越多个域时怎样 无缝漫游，Ruckus 无线局域网可以实现快速无缝漫游功能。 L2/L3 层漫游 在传统的无线局域网内， 无线终端要跨越不同 AP 之间漫游是有一定的困难， 因为不同 AP 之间，它的无线用户 IP 子网可能都不是在同一个 VLAN 内。所以当 无线终端从一个 AP 漫游到另一 AP 时，由于它们之间的缺省 IP 子网不同，无线 终端会重新发出 DHCP 请求，这样的话终端的 IP 地址就会更新，所有在原先 AP 建立的连接都会被切断。 过去为了解决跨越三层的漫游， 有些用户采用了 Mobile IP 的技术，但 Mobile IP 的缺点是它必须在无线终端安装软件。这是一般网络 管理人员不愿意做的事情，因为它们就必须支持和维护用户的无线接入端。 通过 Ruckus 无线系统，可解决了跨越不同三层 IP 子网的无线漫游问题。 当无线终端从一个 AP 的 IP 子网漫游到另一个 AP 的不同 IP 子网时，它重新发
第 19 页共 40 页