名称描述内容

身边的无线网络安全专家

新闻中心

EWS

休闲场所无线网络建设方案

来源: | 作者:pmo624315 | 发布时间: 2016-12-26 | 1714 次浏览 | 分享到:

1.概述

伴随着时代的发展，很多传统行业为了更好的适应当今越来越激烈的市场竞争，都在服务种类和服务领域进行了变革，对于休闲场所也是同样如此。现代的休闲场所如果还像以前一样固步自封，只提供基本的演唱娱乐即可的话，就很难适应更多客户的需求。如何在同业竞争中永远领先一步，为客户提供更全面周到地服务，一定是休闲场所经营者首先考虑的问题。近年来,随着移动互联网和无线网络的高速发展，手指移动终端几乎是人手一个甚至多个，传统网线上网早已经无法满足客人上网的需求，无线上网服务的需求越来越大。如果能在休闲场所中添加WLAN无线上网服务的话，将会给经营者带来更多的客源，因此已经有不少休闲场所实现了WLAN覆盖。WLAN覆盖不仅方便了客户，同时也是留住回头客保持入住率的有效手段之一，也为经营者创造了效益。

需求与挑战

随着智能手机的普及和数据业务流量的急速增长，娱乐场所对WLAN的需求越来越大，在夜总会、休闲场所等场所部署WLAN系统，覆盖率、体验效果无疑是解决方案的重要内容。另外，系统部署的营销效果也是运营管理者的关注点。

这给休闲场所部署WLAN系统带来以下挑战：

Ø 覆盖、干扰问题

会所内主要有两部分区域，包厢和公共区域。包厢内的无线覆盖，主要面临的问题是覆盖率。隔音设计、厚实的玻璃门都会严重衰减无线信号。而公共区域除了设备安装隐蔽性，更多的是众多无线热点带来的干扰问题，如运营商3G、4G带来的杂散干扰、其他运营热点以及个人热点带来的同邻频干扰等。

Ø安全、质量问题

设备的可靠性决定用户的体验程度，高密集高并发区域对设备的吞吐能力，以及会所内无线语音对讲应用对WLAN系统的稳定性都有很高要求。除此之外，需保证用户接入网络后的个人隐私安全，以保障用户利益。

Ø 运维、管理问题

会所为保证用户的无线接入，往往部署大量WLAN设备，这就带来了无线设备的管理维护问题。缺乏有效的网规网优工具、网络测试工具使得网络设计、网络故障定位的难度增大；同时，缺乏可视化的无线信号覆盖报表使得网络部署和维护很难实施。

Ø 营销能力

当前会所WLAN建设基本停留在网络连通的阶段，无线建设往往只在于提供无线网络，怎样利用WLAN平台来进行广告营销还是一个亟待解决的问题。使得无线投入无法转化为创造商业价值的生产力，使无线投资成为低收益的投入。

2.方案设计原则

结合WLAN的实际应用及发展要求，无线局域网系统设计，主要遵循以下原则：

Ø 实用性：以现行需求为基础，充分考虑发展的需要来确定系统规模

Ø 先进性：采用先进成熟的网络理念、技术、方法与设备，反映当今先进水平，又给未来的发展留有余地；充分采用目前国际、国内流行、成熟的技术，保证网络能适应技术的快速发展。

Ø 可靠性：系统设计能有效避免单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。

Ø 规范性：系统设计所采用的技术和设备应符合WLAN国家、国际标准，为系统扩展升级、与其他系统互联提供良好的基础

Ø 开放新及标准化：在设计时，要提供开放性好、标准化程度高的技术方案，设备的各种接口满足开放及标准化原则

Ø 可扩展性：系统不但满足当前需求，并在扩充模块后满足可预见的将来的需求，保证建设完成后，系统在向新的技术升级时，能保护现有投资。

Ø 可管理性：整个系统的设备易于管理，易于维护，操作简单，便于进行系统配置，在设备、安全性、统计、性能等方面得到很好的监视和控制，并可以进行远程管理、故障诊断处理。

3.方案设计

3.1无线局域网技术发展及特点

802.11ac是在802.11a标准之上建立起来的包括将使用802.11a的5GHz频段。在通道的设置上，802.11ac将沿用802.11n的MIMO(多进多出)技术，为它的传输速率达到Gbps量级打下基础,第一阶段的目标达到的传输速率为1Gbps，目的是达到有线电缆的传输速率。

802.11ac每个通道的工作频宽将由802.11n的40MHz，提升到80MHz甚至是160MHz，再加上大约10%的实际频率调制效率提升，最终理论传输速度将由802.11n最高的600Mbps跃升至1Gbps。当然，实际传输率可能在300Mbps～400Mbps之间，接近目前802.11n实际传输率的3倍(目前802.11n无线路由器的实际传输率为75Mbps～150Mbps之间)，完全足以在一条信道上同时传输多路压缩视频流。

此外，802.11ac还将向后兼容802.11全系列现有和即将发布的所有标准和规范，包括即将发布的802.11s无线网状架构以及802.11u等。安全性方面，它将完全遵循802.11i安全标准的所有内容，使得无线连接能够在安全性方面达到企业级用户的需求。根据802.11ac的实现目标，未来802.11ac将可以为用户提供无缝漫游服务，并且在漫游过程中能支持无线产品相应的安全、管理以及诊断等应用。

通俗一点就是，802.11ac让千兆无线传输成为可能，完全从传输速度上满足日益增长的需求。每一次无线技术的进步都与我们的生活密切相关，与11n的诞生一样可知，千兆无线传输速率标准的提出是为了满足我们日益增长的无线传输需求，为打造新一代无线网络生活奠定基础。到那时运用于千兆桌面的大部分应用将无缝地移植到手持终端上, 让人们不再感觉有无线网络和有线网络之分,达到两者在用户端的真正统一。

3.1.1无线局域网架构

随着WLAN技术的不断成熟，人们对于基于“瘦”AP架构的组网模式关注程度越来越高，其发展规模也在不断壮大，由起初的图书馆、机场等小范围的热点区域直到目前的大型体育馆、政府、乃至无线城市。而WLAN网络在安全和管理方面的问题一直是建设者所关注的重点问题，“胖”AP无法满足我们对WLAN网络的安全性和管理方面的需求。因此，基于“瘦”AP组网的架构是无线局域网建设的主要方式，其核心设备由无线控制器AC和无线接入点AP组成。无线控制器主要负责流量监控、RF、用户认证、负载均衡、AP管理以及QoS等，AP主要负责用户的接入及无线信号的收发。这种架构的无线网络，大大简化了AP的复杂性，一切功能均有AC完成，充分解决了基于“胖”AP架构网络中的突出问题。

集中控制组网方式的优势：

l 便捷的安装、维护

部署“瘦”AP可以实现即插即用，AP设备的管理、控制、配置任务全部由无线控制器来完成，无线网络的管理员不必再对数量庞大的无线接入点进行管理和维护，所有的配置、固件升级、安全策略更新等动作都可以在无线控制器上就可以完成。

l 提供动态RF管理

WLAN控制器AC能自动获取同一个网络中不同瘦AP之间的信号强度。无线局域网控制器能利用这些信息，为网络创建一个动态优化RF拓扑。优化RF的手段主要包括动态信道调整和动态功率调整。

l 用户负载均衡技术

WLAN控制器AC能自动探测到接入点AP之间的信号强度。当有终端需连接WLAN中的无线AP时，此时只要收到终端发出的探测信号的AP都会向无线控制器AC发出信号，随后无线控制器AC将根据终端信号强度和信噪比，决定哪个AP应当响应终端的探测信号

3.1.2 链路预算

无线局域网架构确定后，需要进行链路预算。

设发射机的输出功率为Pt，空间路径衰耗PL (d>，电缆及各类器件的损耗Ls，发射天线增益为Gt，接收天线增益Gr，则接收机接收的功率电平Pr可用下面公式表示:

Pr=Pt+Gt一PL ( d)一Ls+Gr

利用以上公式计算得到各处的接收电平，进而确认AP覆盖范围。

本项目覆盖区域属于室内场景，以下为WLAN信号在室外的传播损耗：

可采用自由空间传播模型。2.4GHz、5.8GHz频段自由空间电磁波的传播路径损耗符合:

LO (dB) =92.4+201g (d) +201g (f)

注：LO为自由空间损耗；

d为传输距离，单位是km；

f为工作频率，单位是GHz。

3.1.3容量预算

对于利用AP数量的多少是根据用户数量进行估算的，计算公式下:

单个用户所得速率=(每AP基本速率*效率)/(用户数量*用户并发率)

其中，每AP基本联系速率:采用802.11ac2x2:2设备可使每个AP传输速率达到1.2Gbps ；效率：表示总开销效率因子，包括MAC低效率和纠错开销，记为50%；用户数量*用户并发率：此为同时使用无线业务的用户数量。

本项目预计每个门店并发人数为250，即系统应满足250人同时上网，按体育展馆部署经验，并发率应取值100%，按每AP大约接入80用户计算，每个用户至少可以得到的速率：

=(1.2Gbps*50%)/(80*100%)=7.68Mbps。

每用户7Mbps的速率完全能够满足用户移动终端的上网需求。

3.2无线覆盖设计

3.2.1 频率规划

根据IEEE 802.11b、IEEE802.11a及国家相关标准的规定，WLAN工作频段分别为2.4GHz～2.4835GHz和5725~5850MHz。

2.4G共13个子信道（信道14非国内标准），这13个子信道是互相重叠的。如下图：

2.4G子信道分配图

通常情况下，设计者一般会使用1、6、11信道进行蜂窝式覆盖规划，从子信道分配图上看，1、6、11三个子信道处在非重叠频段内。但本项目AP部署需满足高并发要求，AP数量部署相对密集，只有3个子信道显然不能很好的满足部署要求。信道规划选择1、5、9、13四个信道，在高密集场景部署环境下，增加可用信道数量，在实际应用、测试中证明，四信道的表现明显优于三信道。

因此，本项目部分高密集区域的频段规划设计中，可依据下图所示，用1、5、9、13四个子信道进行蜂窝式覆盖规划，提高无线网络接入效率：

按国家标准，5725~5850MHz频段共划分149、153、157、161、165五个子信道，互补重叠，实际部署中，可参照2.4G频段进行规划设计，如下图：

5.8G频段覆盖规划

3.2.2 无线接入点部署说明

包厢内部署

部署说明：

包厢内采用面板AP单独部署；
根据墙面结构选择一个或者两个房间部署一个AP；
AP通过PoE供电。

采用面板式AP部署的方式，有效解决包厢内覆盖率的问题，同时，面板AP提供有线LAN口，为包厢内有线设备提供接入接口，减少房间内设备节点的部署，节约成本。

公共区域部署

部署说明：

公共区域采用吸顶AP进行覆盖；
根据现场环境布置情况，进行蜂窝式覆盖；
AP通过PoE供电。

公共区域采用吸顶AP进行蜂窝式覆盖，提供全方位无死角的网络覆盖服务。AP外形设计较薄，且颜色较浅，可部署在天花外，提供信号覆盖质量的同时，不影响会所的环境设计。

3.2.3 网络布线及点位设计

待添加点位设计图

3.3 无线局域网系统设计

3.3.1 系统组网设计

根据系统组网设备在网络中的不同位置，并结合展馆现网的情况，最大限度减小对已有有线网络的改动，无线控制器、用户行为审计系统、认证服务器均旁挂于汇聚交换机。

系统组网如下图所示：

系统组网拓扑图

所有门店单独部署AP，通过路由器出外网，并通过公网与AC建立隧道，实现云端集中管理、本地转发的工作机制，每个门店的AP无需做繁杂的配置操作，有云AC统一下发配置，并进行射频端、接入端的集中管理，运维管理方便快捷。认证服务器、AC部署在本地中心机房，AC与认证服务器之间内网通信，提高通信效率。

3.3.2 多业务区分设计

使用无线网络可以分为不同的无线接入业务类型。因此，在设计上采用无线局域网多SSID技术，设置多业务区分方式。在一个无线局域网内可以设置多个SSID，例如一个SSID可给内部员工（如收银、无线对讲机），一个可顾客使用，配置对应的保障策略，以保障关键业务。由于用户一般把SSID看成VLAN，所以它们都会惯性地以VLAN概念来划分SSID。其实在一个AP范围内，不管用户连接到那一个SSID它们实际上都是在同一个802.11广播域内，因为无线电波的传输是共享。一个最简单的例子就是AP把不同的SSID名字广播，所以当无线终端在这个AP覆盖范围内启动时，它就能同时看到多个SSID。SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。

3.3.3 无线接入认证

当前会所AN建设基本停留在网络连通的阶段，无线建设往往只在于提供无线网络，利用WLAN平台来进行广告营销，使无线投入转化为创造商业价值的生产力，是建设者亟待解决的问题。

当前主流的认证方式主要有：微信认证、微信连wifi、Web Portal认证等几种方式，无线系统组成设备的高度整合，为各种认证设置提供无缝对接选项，免除管理者运营管理过程中出现的各种对接问题。

微信营销是网络经济时代企业或个人营销模式的一种。是伴随着微信的火热而兴起的一种网络营销方式。微信不存在距离的限制，用户注册微信后，可与周围同样注册的“朋友”形成一种联系，订阅自己所需的信息，商家通过提供用户需要的信息，推广自己的产品，从而实现点对点的营销。

相比于传统营销方式的高昂费用，微信的使用是免费的，群发信息也完全不收费用，不需要上百万、上千万的持续投入。同时，微信营销帮助拉动粉丝，增加营销推广受众人数；微信公众号只能给已关注企业公众号的粉丝推送信息，而这些客人也是真正的对业务感兴趣的高价值人群，在定向营销过程中更加能够带来直接利益。

微信连wifi功能

3.3.6 无线局域网安全设计

在每个门店的局域网系统设计中，外网与内网之间通过防火墙实现安全控制，防火墙设置防御策略，控制外网到局域网的流量安全，可避免病毒和安全隐患在有线、无线网络之间相互扩散。

局域网内，无线控制器支持丰富的ACL配置选项，可以通过设置该策略来实现对不同设备的访问控制，并支持限定用户只能访问指定URL或者不允许访问某些URL，严格控制接入用户访问路径，以及为管理者提供更多访问权限的管理手段。

无线网络作为有线网络的补充，其安全性与有线网络密不可分，总体可以分成四个层面，分别是射频层（物理层）安全、链路层安全、网络层安全和应用层安全。

u 射频层安全

由于AP使用空中的无线电射频信道工作，每路射频都会占用一个信道。非法设备可能侵占合法AP的正常信道工作，一方面会对合法的无线接入点产生干扰，另一方面是非法无线用户对合法AP的入侵。互联网上可以轻易下载到很多无线入侵和攻击工具，而原先传统的无线接入点设备均都没有侦测无线入侵的功能，所以当受到像无线DOS攻击时，就会误以为是无线电波的信号受干扰或AP出现不稳定情况，这些攻击会导致用户的无线连接发生中断。通过无线控制器非法AP探测功能，为管理者呈现周围环境扫描列表，提供RougeAP扫描、Adhoc扫描等功能，通过扫描的AP周围的非法AP、友好AP为管理员提供无线网络频谱情况，是否需要进行反制动作，以此保障系统射频端的安全。

u 链路层安全

链路层的安全主要依靠标准体系中的安全特性来保证，通过802.1x、PSK、MAC、Portal等方式来控制各种类型用户的准入，丰富的产品线为管理者提供整套服务设备，包括认证、控制、管理等，从源头上杜绝第三方整合设备带来的安全风险，通过用户二三层隔离等技术来限制用户间互访。

u 网络层安全

通过准入检查后，如何对无线终端发出数据进行有效的检查和监控是进一步的病毒防护手段。通过和第三方的防病毒厂家合作，可以允许设定策略，对于某些用户以及某些可能沾染病毒的数据，将其重定向到防病毒设备上进行防病毒检查，检查完成后，才允许通过，否则会将数据丢弃。

u 应用层安全

应用层的安全是无线网络有别于有线网络安全的特有属性，通过无线设备与防火墙、无线定位设备的配合，可实现对非法用户、终端的行为进行实时监控和记录，同时在有必要的情况下可以通过无线定位组件来实现对非法用户、终端的位置定位。

3.4 方案特点

3.4.1 高带宽和抗干扰性

系统部署采用的无线接入点（AP）遵循802.11a/b/g/n/ac标准，能提供高达1.2Gbps的无线接入速度，可以同时工作在802.11b/g/n模式和802.11a/n/ac模式，通过双频接入使用方式，能有效地从覆盖范围、接入密度、运行稳定等方面提供更高性能的无线接入服务。AP特有的ASM射频技术增强了系统的抗干扰能力，提高了实际应用的传输带宽。专有的Crystal外围补偿校准技术提高了频谱资源的利用率。

3.4.2 智能射频管理及负载均衡技术

无线控制器内提供自动功率和信道调整功能。通过专有的射频检测和RF管理算法，优化射频覆盖效果。当AP信号受到外界强信号干扰时，通过控制AP自动切换到合适的工作信道以规避干扰信号，保障WLAN通信的畅通。

支持黑洞补偿功能，在某个AP出现故障时，能够自动加大周围AP的功率以保障覆盖效果。

支持对非法AP的探测以及反制，对于钓鱼AP以及仿冒AP，可以迅速识别，并通过监控以及反制功能，攻击钓鱼AP使用户无法连接，避免损失。

支持按接入用户数量和流量的负载均衡方式，当无线控制器发现无线接入设备的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的无线接入设备可供用户接入，如果有则会拒绝用户的关联请求，用户会转而接入其他负载较轻的无线接入设备，但如果无线用户不在重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。创新性的支持智能负载均衡技术，保证只对处于覆盖重叠区的无线用户才启动负载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。

3.4.3 高可靠性，保障展馆无线业务

独创的瘦AP独立工作功能，无线设备在瘦AP的模式下，如果AP和AC的通信中断，AP会自动切换为独立工作模式，保持原有用户网络继续正常使用，并可接入认证新的用户。在通信恢复后会自动注册到AC，全程用户无感知。

AP独立生存功能，保障业务可靠性

支持100毫秒业务备份，AP会同时和两台无线控制器建立CAPWAP链路，一台作为主控制器，另外一台作为备份控制器，但只有和主控制器建立的CAPWAP链路处于工作状态。当主控制器异常down机时，备份控制器和主控制器之间的心跳检测机制可以保证在100毫秒之内检测到主设备的异常，并通知AP将主控制器CAPWAP链路切换，保证控制信号的不间断传送。

AC支持1+1双隧道热备份

3.4.4 终端智能识别与BYOD

采用业界领先的智能终端识别技术，可以根据终端特点，智能识别终端类型以及系统类型，自适应弹出不同大小、页面格局的Portal认证页面。终端智能识别技术可以智能识别用户设备，用以适配不同大小的页面，免去了用户多次拖动，调整屏幕的操作，同时还可以为不同用户提供不同的上网策略，为用户提供更加智能的无线体验。