德爲針對(duì)不同行業客戶開發相應的(de)無線wifi覆蓋系統，主要有以下(xià)項目解決方案：

1） 政府事業單位無線覆蓋系統；

2） 醫院校園無線覆蓋系統

3） 酒店(diàn)KTV無線覆蓋系統

4） 企業工業園無線覆蓋系統

5） 智能家庭無線覆蓋系統

 

企業工業園無線WIFI覆蓋系統

 

      工業園區(qū)和(hé)大(dà)中型企業通(tōng)常占地面積較大(dà)，園區(qū)内部各功能區(qū)域的(de)網絡一般在規劃設計時(shí)已經基本成型，随著(zhe)經濟發展業務拓展，人(rén)員(yuán)的(de)增加，辦公設備的(de)提升，便攜設備的(de)增加，移動辦公以及網絡無線對(duì)講、網絡語音(yīn)廣播等應用(yòng)的(de)擴展，在不影(yǐng)響企業正常生産工作，不做(zuò)大(dà)的(de)裝修變動的(de)情況下(xià)，德爲無線wifi覆蓋系統成爲了(le)企業提升網絡應用(yòng)服務的(de)優先考慮。

主要應用(yòng)場(chǎng)景：

一）企業内部辦公區(qū)域無線信号覆蓋需求

主要是爲了(le)滿足園區(qū)内的(de)企業進行辦公或是商務活動的(de)個(gè)人(rén)提供接入企業網和(hé)互聯網的(de)需要，爲他(tā)們提供方便、靈活、高(gāo)效的(de)無線網絡連接服務。無線網絡覆蓋範圍主要包括辦公區(qū)和(hé)商務接待區(qū)域無線網絡覆蓋，同時(shí)實現無線網絡系統和(hé)原有的(de)有線網絡系統的(de)無縫連接。德爲采用(yòng)靈活的(de)“有線+無線”無線覆蓋方案，充分(fēn)利用(yòng)原有的(de)有線網絡資源，通(tōng)過信号轉換擴充無線覆蓋區(qū)域，采用(yòng)行爲控制器進行無線信道授權分(fēn)配，有效滿足内外網絡物(wù)理(lǐ)隔離的(de)安全需求，同時(shí)也(yě)提高(gāo)了(le)網絡的(de)使用(yòng)效率。

二）園區(qū)内部遠(yuǎn)程聯絡無線對(duì)講信号覆蓋需求

很多(duō)企業的(de)保安、物(wù)流、倉儲、生産等部門需要無線對(duì)講功能，原有的(de)一般采用(yòng)無線對(duì)講機調制頻(pín)率對(duì)講，存在通(tōng)話(huà)距離較短（一般超過1公裏就需要增加中繼基站或者更換更高(gāo)頻(pín)率的(de)對(duì)講系統），通(tōng)話(huà)質量較差（容易受到其他(tā)頻(pín)率信号的(de)幹擾）等固有缺陷；德爲可(kě)以提供超過十平方公裏以上的(de)對(duì)講信号覆蓋，通(tōng)過網絡傳輸甚至可(kě)以實現不同城(chéng)市不同國家的(de)無線對(duì)講功能。在不改變原有對(duì)講設備的(de)前提下(xià)，德爲技術能夠保證滿足一般半徑爲3千米左右的(de)大(dà)中型企業内部無線對(duì)講的(de)需求。

德爲信息技術爲大(dà)中型企業或工業園區(qū)的(de)網絡應用(yòng)考慮的(de)非常周全，無線信号覆蓋采用(yòng)“無縫漫遊”技術，使企業在使用(yòng)無線網絡過程中具有以下(xià)特征：

1）與有線網絡的(de)無縫融合：實現企業内無線高(gāo)速上網，可(kě)在辦公大(dà)樓信号區(qū)域内随意漫遊，漫遊過程不會與企業網絡斷開，自動躍接相應無線信号。

2）易于管理(lǐ)：高(gāo)速無線企業網絡，快(kuài)速、準确地爲各企業提供組織、管理(lǐ)與決策的(de)基礎信息。

3）多(duō)種安全機制：充分(fēn)考慮網絡的(de)安全性，無線網絡系統具備多(duō)種安全防禦能力。具有多(duō)層次的(de)安全保護措施，以滿足用(yòng)戶身份鑒别、訪問控制、可(kě)稽核性和(hé)保密性等要求。

4）高(gāo)擴展性：在網絡規模不斷發展的(de)情況下(xià)，無線網絡可(kě)滿足在不改變主體架構與大(dà)部分(fēn)設備的(de)前提下(xià)，平滑實現升級和(hé)擴充，降低原有網絡的(de)硬件投資，并保證擴展後的(de)系統可(kě)用(yòng)性與穩定性。

5）多(duō)種服務的(de)支持：基于網絡的(de)未來(lái)可(kě)持續發展，采用(yòng)的(de)無線産品均具備可(kě)适應未來(lái)發展的(de)無線寬帶應用(yòng)（如無線語音(yīn)應用(yòng)、無線視頻(pín)會議(yì)應用(yòng)、無線多(duō)媒體通(tōng)信應用(yòng)等）的(de)需要，并提供低成本的(de)無縫升級和(hé)前後兼容。

 

系統架構

 

接入部分(fēn)

 

無線網絡的(de)建立是在公司有線網絡之上，進行無線網絡擴充。網絡通(tōng)過網關提供的(de)網絡出口接入 Internet。

無線網絡可(kě)以按照(zhào)企業物(wù)理(lǐ)環境進行無死角覆蓋，讓公司内的(de)使用(yòng)者可(kě)以随時(shí)随地、無拘束的(de)連接到網絡。

德爲在整體無線網絡的(de)規劃中，始終以高(gāo)效、穩定、安全爲總體設計目标，同時(shí)保證易于使用(yòng)、用(yòng)戶界面統一、标準，表現力強；易于安裝和(hé)維護，網絡運行質量高(gāo)；開放性好，便于移植、擴展和(hé)推廣；具備較好的(de)性能價格比，并在幾年内保持解決方案與技術上的(de)領先，爲用(yòng)戶提供一個(gè)靈活的(de)移動辦公“平台”, 對(duì)用(yòng)戶和(hé)無線網絡進行有效的(de)管理(lǐ)，構建了(le)一個(gè)穩定的(de)、可(kě)拓展的(de)無線企業網環境。

 

安全控制機制選擇

 

在有線以太網技術的(de)發展曆程中，越來(lái)越多(duō)的(de)面向訪問端和(hé)服務端的(de)安全技術被開發 出來(lái)并得(de)到了(le)成熟運用(yòng)。而對(duì)于無線網絡而言，由于其利用(yòng)空中載波信道作爲傳輸載體，其物(wù)理(lǐ)層與數據鏈路層工作原理(lǐ)與有線網絡有所不同，其所遵循的(de)安全策略也(yě)與有線網絡截然不同。在企業級無線網絡的(de)規劃中，由于信号的(de)覆蓋将會帶來(lái)衆多(duō)的(de)未知訪問者試圖進行的(de)訪問連接，無線網絡如何從中識别出合法的(de)用(yòng)戶，避免非法用(yòng)戶利用(yòng)無線網絡的(de)安全隐患入侵整個(gè)網絡，往往成爲了(le)無線網絡規劃者需要解決的(de)難點。

在目前面向行業級的(de) WLAN 産品的(de)安全技術中，越來(lái)越強調單機安全策略的(de)強化(huà)，以及與有線網絡安全互補的(de)核心思想。其中，SSID 禁止廣播、WEP 機密、WPA 認證、802.1X 認證、 EAP-TLS 擴展認證、VLAN 劃分(fēn)等一系列技術的(de)運用(yòng)，将有效的(de)提高(gāo)無線網絡的(de)安全防禦能力。

德爲将按照(zhào)層次化(huà)的(de)設計理(lǐ)念，完成企業的(de)無線網絡安全需求。選用(yòng)的(de)網絡設備均支持 SSID 禁止廣播、WEP 機密、WPA 認證、802.1X 認證、EAP-TLS 擴展認 證、VLAN 劃分(fēn)技術，可(kě)提供完備的(de)安全防禦能力。

SSID（無線标識符）是用(yòng)于無線終端與接入點匹配以獲得(de)通(tōng)信的(de)明(míng)文密碼，對(duì)于初級 安全防範有一定作用(yòng)，且配置快(kuài)速簡單，非常适合室外無線覆蓋使用(yòng)。尤其是啓用(yòng)了(le)目前先   進的(de) SSID 廣播禁止功能之後，由于空中不再廣播明(míng)文的(de) SSID 号碼，使得(de)那些擁有截獲 SSID 密碼的(de)無線終端非法訪問網絡。

另外，WEP（有線等效密鑰）和(hé) WPA/WPA2（接入保護）技術的(de)出現，可(kě)以通(tōng)過大(dà)量的(de)密 文加密位和(hé)動态的(de)密鑰協議(yì)（TKIP/AES），爲非法訪問者制造難以攻破的(de)障礙，從而避免網 絡安全事件的(de)發生。在校園無線網絡規劃中，由于目前校園有線網絡已具備一定規模，因此， 在無線網絡融合進有線網絡進行數據交換之前，通(tōng)過 WEP 和(hé) WPA 加密技術可(kě)以增加一層保護 手段，可(kě)以極大(dà)的(de)提升安全防禦的(de)能力。

另外，對(duì)于室内/室外型 AP 産品，由于其分(fēn)别開放于室内高(gāo)密度訪問和(hé)室外環境，面 對(duì)的(de)是所有用(yòng)戶群體，對(duì)不同的(de)用(yòng)戶群體的(de)權限和(hé)身份識别則成爲必須的(de)功能。因此，AP 産品應選擇具備多(duō) BSS 的(de)劃分(fēn)和(hé) 802.1Q VLAN 功能的(de)無線産品，協助接入層無線用(yòng)戶與接入 層交換機用(yòng)戶同樣接受全網統一管理(lǐ)和(hé) VLAN 的(de)劃分(fēn)，這(zhè)樣可(kě)以徹底解決無線用(yòng)戶無法管、 不方便管的(de)疑難問題。

 

認證方式（WX3010 控制器内置認證系統）

 

1）提供基于 AP 位置的(de)用(yòng)戶接入控制：出于安全性考慮，系統管理(lǐ)員(yuán)可(kě)控制無線用(yòng)戶接入到網絡中的(de)位置。

H3C WX3010 無線控制器支持基于 AP 位置的(de)用(yòng)戶接入控制。當無線用(yòng)戶接入網絡時(shí)，可(kě)以通(tōng)過認證服務器向 US 下(xià)發允許用(yòng)戶接入的(de) AP 列表，在 US 上進行接入控制，從而達到限制無 線用(yòng)戶隻能接入到指定位置的(de) AP 的(de)目的(de)。

2）提供精細的(de)無線用(yòng)戶管理(lǐ)：

基于 MAC 的(de)認證接入控制方式，不但可(kě)以使得(de)客戶在 AAA 服務器上對(duì)用(yòng)戶組進行權限的(de) 配置和(hé)修改，同時(shí)支持對(duì)具體用(yòng)戶的(de)權限的(de)配置，這(zhè)種精細的(de)用(yòng)戶權限控制大(dà)大(dà)增強了(le)無線 網絡的(de)可(kě)用(yòng)度，網管人(rén)員(yuán)可(kě)以輕松通(tōng)過該方式對(duì)不同級别的(de)人(rén)或人(rén)群進行接入權限分(fēn)配。

基于 MAC 的(de) VLAN 同樣也(yě)是 WX3010 無線控制器的(de)一大(dà)特色，在控制策略上，管理(lǐ)員(yuán)可(kě)以 把相同性質的(de)用(yòng)戶（MAC）劃分(fēn)到同一個(gè) VLAN，同時(shí)在 US 上基于 VLAN 配置安全策略，這(zhè)樣 做(zuò)既可(kě)以簡化(huà)系統配置，又可(kě)以做(zuò)到用(yòng)戶級粒度的(de)精細管理(lǐ)。

3）提供内置 802.1x 認證服務和(hé)内置 Portal 認證服務

H3C WX3010 無線控制器内置 802.1x 認證服務，支持 TLS、PEAP、MD5 等多(duō)種 802.1x 的(de)認證方式。在中小型企業用(yòng)戶不需要計費功能，而隻需接入控制和(hé)數據加密要求時(shí)，可(kě)利 用(yòng)内置的(de) Radius 服務直接在設備上完成 802.1x 認證功能，免去了(le)複雜(zá)的(de) AAA 服務器部署 過程，既經濟又省事。H3C WX3010 無線控制器還(hái)提供内置的(de) Portal 服務器，解決了(le)不便于安裝客戶端用(yòng)戶的(de)安全認證問題。

 

覆蓋部分(fēn)整體規劃

 

主控中心數據機房(fáng)核心交換機旁，挂 H3C WX3010 進行無線 AP 控制和(hé)管理(lǐ)。

室内方式覆蓋，采用(yòng) H3C 采用(yòng) H3C WA2110-AG 進行覆蓋；

AP 供電：視實際狀況，盡量通(tōng)過 POE 方式供電，以減少對(duì)原有裝修的(de)破壞和(hé)降低投資費用(yòng)，同時(shí)易于後期維護管理(lǐ)。

 

負載均衡功能的(de)重點應用(yòng)

無線網絡中的(de)各個(gè) AP 具有負載均衡功能，可(kě)根據系統的(de)用(yòng)戶數或是流量這(zhè)兩種方式均衡各個(gè) AP 上的(de)負載，避免某個(gè) AP 上的(de)負載過大(dà)，而使某個(gè)區(qū)域的(de)無線網絡性能下(xià)降，造成 鏈路不穩定，通(tōng)過負載均衡調節後的(de)無線網絡，具有更好的(de)網絡性能，能夠爲更多(duō)的(de)無線終 端提供良好的(de)無線性能，保障無線網絡的(de)性能。