1.背景

目前很多企业工厂员工的工厂生活方式比较单调，基本就是宿舍、食堂、车间这样3点一线的单调乏味生活，除上班、加班其余的时间就是呆在宿舍。有部分不甘“寂寞”的员工会选择在上班之余的时间里外出减压，以释放这种身体和精神情感上的不适应。比如：去工厂外面的网吧上网打游戏、看电影、聊天、下载MP3等。但是众所周知工厂周围的环境复杂、治安情况比较严峻，不时有工厂的员工受到感情甚至身体上的伤害。

另一方面，现在企业频现“招工难”、“招工荒”，企业要如何留住员工？除了优厚的薪资福利外，更需要丰富员工的业余生活，让工作与生活不会那么的单调，工厂宿舍提供无线WiFi是必然选择。

2.工业园区WLAN系统建设思路

运营级WLAN建设要求从网络覆盖、组网架构、网络质量和网络管理维护等多方面着手，全方位提升定位和网络质量，具体思路如下：

Ø  实用性：以现行需求为基础，充分考虑发展的需要来确定系统规模

Ø  先进性：采用先进成熟的网络理念、技术、方法与设备，反映当今先进水平，又给未来的发展留有余地；充分采用目前国际、国内流行、成熟的技术，保证网络能适应技术的快速发展。

Ø  可靠性：系统设计能有效避免单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。

Ø  规范性：系统设计所采用的技术和设备应符合WLAN国家、国际标准，为系统扩展升级、与其他系统互联提供良好的基础

Ø  开放新及标准化：在设计时，要提供开放性好、标准化程度高的技术方案，设备的各种接口满足开放及标准化原则

Ø  可扩展性：系统不但满足当前需求，并在扩充模块后满足可预见的将来的需求，保证建设完成后，系统在向新的技术升级时，能保护现有投资。

Ø  可管理性：整个系统的设备易于管理，易于维护，操作简单，便于进行系统配置，在设备、安全性、统计、性能等方面得到很好的监视和控制，并可以进行远程管理、故障诊断处理。

3.工业园区WLAN系统设计

3.1.系统组网设计

WLAN系统的网络架构应适应各种规模、分布式组网的需求，在满足单个网点网络接入的同时，支持未来更多网点的接入，方便运维管理、系统升级等。AC等核心网元支持大容量、少节点的设置原则，逐步构筑集中、安全、网络架构。

系统组网架构如下图所示：

智能WiFi系统组网架构示图

工业园区内分不同区、工厂，且各个区域间跨度较广，这种场景适合用分布式组网方式，方便设备管理。每个区域（如宿舍区、厂房区）按现场需求部署AP，并接入互联网出口，与业务单元建立管理、控制隧道，进行数据交互。业务单元支持大容量灵活扩容，AP、业务单元、认证方式统一在管理控制平台上配置管理。

运营级用户分级：

系统支持运营场景下的多用户多层级，符合商业WiFi运营场景下不同的管理员管理不同的业务单元，不同的代理用户管理不同的AP的需求。

1.     超级管理员具有系统所有功能权限，包括AC管理、资源管理、运营管理、设备管理、AP配置、接入控制、监控等；

2.     AC管理员用于管理指定AC组下所有AP，只要在指定AC组上线的所有AP，AC管理员都可以管理；

3.     代理用户可以管理归属于自己的AP。

 

代理用户界面呈现：

系统支持的分级代理管理功能，可为多个代理用户开设管理账号，由管理员绑定对应的AP后，代理用户（即各个门店）可以单独自定义热点属性（业务、认证等）。

代理用户管理界面

 

支持一键跳转至运营平台，提高可操作性

 

3.2.园区无线网络覆盖原则

3.2.1 AP布点覆盖原则

室外场景使用室外直放AP布点覆盖，需考虑及遵循以下几个问题和原则：
设备安装位置：室外安装；

到机房路由：AP通过超五类线与就近交换机相连，如果距离超过100米时，中间增加交换机设备；

设备电源控制：采用POE供电交换机或POE集中供电器进行可远程管理和供电；

频点规划：相临AP之间2.4GHz频段我们采用1、6、11信道，（设备支持欧洲、美国信道）

功率控制：通过工程实测，调整AP的发射功率，减小AP的覆盖范围，使其来做到避免相同频道间的干扰。

干扰问题：由于WIFI2.4GHz5.8GHz频段是公用频段，业主需考虑减少其他WIFI在相关区域的大面积使用。

室内场景使用室内吸顶式AP布点覆盖，需考虑及遵循以下几个问题和原则：

设备安装位置：室内吸顶安装；

到机房路由：AP通过超五类线与POE交换机互联，当距离超过100米时中间采用光纤收发器用8芯光缆转接；

设备安装位置：室外安装

到机房路由：AP通过超五类线与就近交换机相连，如果距离超过100米时，用光纤连接到室外AP下防水、电源箱；

设备电源控制：采用POE供电交换机或POE集中供电器进行可远程管理和供电；

频点规划：相临AP之间2.4GHz频段我们采用1、6、11信道，（设备支持欧洲、美国信道）

功率控制：通过工程实测，调整AP的发射功率，减小AP的覆盖范围，使其来做到避免相同频道间的干扰。

干扰问题：由于WIFI2.4GHz5.8GHz频段是公用频段，业主需考虑减少其他WIFI在相关区域的大面积使用。

设备安装位置：室外抱杆安装、固定安装；

到机房路由：AP通过超五类线与POE交换机互联，当距离超过100米时中间采用光纤收发器用8芯光缆转接； 

3.2.2 覆盖效果理论计算

2.4G频段的电磁波有近似的路径传播损耗公式为：

PathLoss(dB) = 46 +10* n*Log D（m）

    参考衰减因子模型是本次覆盖效果的工程经验基础，无线覆盖所有设计都基于该模型推算。

    其中，D为传播路径，n为衰减因子。对于全开放环境下n的取值为2.0～2.5；对于半开放环境下n的取值为2.5～3.0；对于较封闭环境下n的取值为3.0～3.5。典型路径传播损耗理论计算值如下表：

典型路径传播损耗表

 

    通过上述公式室外覆盖区域要求在45m距离内有一个AP布点，无线覆盖完全符合75db的招标要求。

    室内AP信号穿透损耗现阶段可提供的2.4G电磁波对于各种建筑材质的穿透损耗的经验值如下：隔墙的阻挡（砖墙厚度100～300mm）：20～40dB；楼层的阻挡：30dB以上；木制家具、门和其它木板隔墙阻挡2～15dB，标准房门6～8dB；

厚玻璃（12mm）：10dB（2450MHz）。另外，在衡量墙壁等对于AP信号的穿透损耗时，需考虑AP信号入射角度，尽量使AP信号能够垂直的穿过（90度角）墙壁或天花板。

    本次室内覆盖区域要求在30m距离内有一个AP布点，完全符合75db的招标要求。

WLAN覆盖设计工程参考值

在工程实际中，如果天线口辐射功率为10dBm，使用2dBi全向室内小天线，则距离天线30米范围内，覆盖电平可以达到-75dBm以上；在政府办公区域隔墙结构，则距离天线8～10米范围内，办公室内信号可以达到-75～-85dBm。 

3.2.3 四种基本IEEE802.11标准的对比

标准	802.11b	802.11a	802.11g	802.11n
波段	2.4GHz	5.8GHz	2.4GHz	2.4Ghz or 5.8Ghz
调制方式	DSSS	OFDM	OFDM	MIMO OFDM
最大覆盖范围	250m	125m	250m	250m
最大传输速率	11 Mbps	54 Mbps	54 Mbps	600Mbps
实际最大数据流量	6Mbps	27-30Mbps	27-30Mbps	300Mbps
最大无交叠信道数	3	12	3	3 or 12
其他问题	网络拥有最大的已安装量	在有些地区需要802.11扩展（如EMEA）	向前兼容802.11b	向前兼容802.12g
应用场景	- 不需要高带宽的应用。	- 需要例如语音和视频等高带宽的应用。	- 运行既需要高带宽同时又需要大覆盖区域；	- 运行既需要高带宽同时又需要大覆盖区域；
	- 需要更大的覆盖范围。	- 拥有少量紧密集中的用户。	- 需要向下兼容802.11b设备。	- 需要向下兼容802.11g设备。
	- 价格是主要考虑因素。

3.2.4 SSID规划

SSID是无线服务的标识，直接反映接入服务的属性。SSID可以按照服务对象、地点等信息来命名。为了管理和维护AP设备更加方便的目的，可以通过安装地点、上联交换机等信息来进行AP的命名。本项目中采用I-CIXI为统一的SSID。

3.2.5 频段选择

无线网络采用无需授权的频段（ISM），目前广泛使用的频段有：

902MHz：带宽为26MHz，主要应用于北美和南美。

2.4GHz：带宽为83.5MHz，主要应用美洲、欧洲大部分地区、中国、日本、法国、西班牙等。

5.8GHz：带宽为300MHz，主要应用为中国。

目前广泛使用的频段是基于IEEE 802.11协议族的频段是2.4GHz和5.8GHz，2.4GHz包含IEEE 802.11/b/g/n，5.8GHz频段包含IEEE 802.11a/n。本方案选择以上两个频段及协议标准。802.11n具有良好的向下兼容，可工作在2.4GHZ和5.8GHZ两个频段，并可实现802.11a/b/g/n接入。

以上两个频段优点是无需无线管委会授权，手续简单，并且目前绝大部分标准产品采用以上频段。缺点是干扰比较大，同一频带区域内设备会发生干扰，同时其他工业产品，如蓝牙、微波炉、无绳电话、寻呼系统、无线鼠标等，均采用以上频段，干扰比较严重。因此在信道规划上要作精确的规划。

3.2.6 信道规划

IEEE 802.11b/g可采用2.4GHz频段，该频段划分为14个22MHz信道，每个信道的间隔是5MHz，如下图所示：

为了避免相邻频段干扰，因此相邻AP之间部署需要满足一下条件：

1、任意相邻区域使用无频率交叉的频道，如：1、6、11频道 。

2、适当调整发射功率，避免跨区域同频干扰。

3、同时，由于本项目的大规模AP部署，如果楼层楼板比较薄，需要考虑到不同楼层之间相邻频道干扰，AP部署可参考下图。

 

 

3.2.7 频率复用

图1.无线覆盖示意图

针对频率复用的设计与实现主要侧重于重叠区域，考虑到802.11技术中目前业界主要采用DCF的仲裁，这样会导致从网络实施的角度出发，没有办法做到像GSM、3G网络的控制力度，从技术原理的角度出发，没有办法实现很好的频率复用，只能被动做些负载均衡的功能。每个AP具有54Mbps、48Mbps、36Mbps、18Mbps等的覆盖范围，对于54Mbps的覆盖范围不重叠，对于54Mbps与18Mbps就可能进行重叠，可以根据网络侧的负载功能进行实现一定程度的频率复用功能，从网络规划的角度出发，WLAN基本上、下行无线链路复用的处理问题，因为目前都是DCF方式，而从只能结合业务目标实现网络覆盖效果，具体网络使用效果使用负载均衡功能进行实现。

负载均衡的功能实现具体原理如下：

1.     根据负载均衡的配置确定负载均衡的模式、SSID、其他参与负载均衡的AP的标识、用户数或流量的阀值等进行一定的初始化；

2.     确定本AP的2个射频模块连接的STA用户数量和流量；

3.     通过UDP协议以私有方式定时进行AP间通讯。先进行握手，成功后才进行数据的交换，获取参与负载均衡的AP的负载信息。

4.     当有STA要接入时，根据其工作频率，比较本AP上该射频下的负载和其他AP的指定SSID下的用户数或流量，以及负载均衡的SSID绑定接口的速率集，决定STA能否接入。同时要注意到若用户数已达到AP某个SSID的最大用户数，则该AP的SSID不允许再接入STA；

3.2.8 供电方式

无线AP可以采用两种供电方式，POE和本地交流电源供电。

POE方式可以直接在信号线上供电。优点是线路简单，电源功率可以通过POE交换机调节，缺点是设备造价会相应提高。POE供电也可以采用交换机供电和POE转接盒，在供电较为集中的弱电间，可以配置POE交换机给AP供电，需要供电的设备较少的点则采用POE无线注入器，每个AP的功率最大为15.4W。

交流本地供电方式是传统的方式，优点是节省成本，缺点是需要增加线缆敷设，并且无法控制电源输出，无法对设备进行远程开关。

本方案采用POE供电方式，通过POE交换机实现AP的远程供电及数据传输。 

3.2.9 无线用户身份认证

无线网络认证系统支持主流的认证方式：如短信认证、微信认证、APP认证、Portal认证、无感知认证等。

在无线网络中可以采用多种认证方式并存，如Portal认证+微信认证，两种认证方式任选其一，认证通过即可无线上网。

 

身份认证包括支持通过Radius服务器或者无线控制器本地数据库认证无线用户，支持的认证方式如下

802.1X认证，接入AP的无线终端采用802.1X模式，首先接入AP的客户端通过802.1X认证输入用户名、密码后客户端发起EAP报文至无线交换机，在无线交换机上终结EAP报文，然后从无线交换机经以太网交换机发起Raduis报文至认证服务器，由认证服务器来验证用户名、密码是否匹配，在认证通过以后由认证服务器下发Raduis报文至无线交换机通知该用户认证通过，无线交换机中再将相对应的逻辑端口打开，允许学习MAC地址，允许用户上网。这种方式的优点是控制力度强，缺点是需要安装客户端或设置客户端。适合内部办公人员。

MAC认证，这种认证方式适合设备使用，客户端不需要输入用户名和密码，比如无线手持设备等。设备接上后即可根据MAC地址完成认证。

Portal认证，WEB用户上网时，设备强制用户到门户网站，并提供门户网站主页，用户可以免费访问其中的服务。当要使用互联网中的其他信息时，则必须在门户网站进行认证，只有认证通过后才可以使用这些服务。WEB认证用户不需要安装额外的客户端软件。这种认证方式适合临时访客和移动用户。

PPPoE认证，这种方式与802.1X方式相似，主要在以太网上通过PPP协议进行身份认证。

访客管理，如果召开大型会议，与会人员较多，可以通过EAD的访客自助方式，用户自行在页面登记后，可以激活自己帐号，并受限访问网络资源。

在身份认证方面，需要根据实际需求，可选用合适的认证方式。

3.2.10 无线数据加密方式

常用的加密方式主要有以下几种：

WEP（Wired Equivalent Privacy）加密方式，WEP加密整个网络共用一个共享密钥，一旦丢失，整个网络都很危险。

WPA（Wi-Fi Protected Access）安全架构，增强了认证方式，支持802.1X认证，增加了 Key的生成、管理以及传递的机制，每个用户使用独立的Key，通过安全的传递方法传递用户数据加密使用的Key，增加了两类对称加密算法，加密强度大大增强。

WPA2安全架构

WAPI安全架构，是我国的一个安全体系标准。

3.3.无线网络部署方案（根据现场工勘所得）

4.方案特点  

4.1.高度自定义网络，强大的营销能力

系统设计满足客户安全接入、用户管理、形象展示、信息推送等多种功能，具有超高的性价比，满足多行业用户的应用需求。 认证系统与WLAN 产品完美融合，提供完整的企业级无线用户安全认证计费解决方案。

系统提供全套运营解决方案，认证服务器可呈现丰富的定制化信息，管理者可以针对不同时期，呈现不同的认证界面，提升单位服务质量及服务形象。

用户自定义认证方式及界面设计

 

认证界面定制

 

 

4.2.畅快的接入体验

由于多数的802.11n设备是为2.4GHz频段设计，2.4GHz本身的可用信道较少，同时还有其它工作于2.4GHz频段的设备(例如蓝牙，微波炉、无线监视摄像机等)的干扰，即使在双空间流40Mhz频宽下其连接速率能达到300Mbps，但是实际网络环境中，由于相互的信道冲突等原因，其实际吞吐并不高，用户体验差。本套系统采用802.11ac AP进行覆盖，支持2.4GHz和5.8GHz两个频段，采用双频MIMO 2x2、OFDM等技术，最高可提供1.2Gbps的数据传输速率， 是11n 产品的4倍。AP内置高性能双频 MIMO天线和500mW的射频芯片，最大限度避免干扰，配合强大的吞吐能力，为用户提供高速、畅快的接入体验。

4.3.高可靠性

无线设备在瘦AP的模式下，如果AP和AC的通信中断，AP会自动切换为独立工作模式，保持原有用户网络继续正常使用，并可接入认证新的用户。在通信恢复后会自动注册到AC，全程用户无感知。

AP独立生存功能，保障业务可靠性

支持100毫秒业务备份，AP会同时和两台无线控制器建立CAPWAP链路，一台作为主控制器，另外一台作为备份控制器，但只有和主控制器建立的CAPWAP链路处于工作状态。当主控制器异常down机时，备份控制器和主控制器之间的心跳检测机制可以保证在100毫秒之内检测到主设备的异常，并通知AP将主控制器CAPWAP链路切换，保证控制信号的不间断传送。

AC支持1+1双隧道热备份

4.4.智能射频管理及负载均衡技术

无线控制器内提供自动功率和信道调整功能。通过专有的射频检测和RF管理算法，优化射频覆盖效果。当AP信号受到外界强信号干扰时，通过控制AP自动切换到合适的工作信道以规避干扰信号，保障WLAN通信的畅通。

支持黑洞补偿功能，在某个AP出现故障时，能够自动加大周围AP的功率以保障覆盖效果。

支持对非法AP的探测以及反制，对于钓鱼AP以及仿冒AP，可以迅速识别，并通过监控以及反制功能，攻击钓鱼AP使用户无法连接，避免损失。

支持按接入用户数量和流量的负载均衡方式，当无线控制器发现无线接入设备的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的无线接入设备可供用户接入，如果有则会拒绝用户的关联请求，用户会转而接入其他负载较轻的无线接入设备，但如果无线用户不在重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。创新性的支持智能负载均衡技术，保证只对处于覆盖重叠区的无线用户才启动负载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。

4.5.终端智能识别与BYOD

采用业界领先的智能终端识别技术，可以根据终端特点，智能识别终端类型以及系统类型，自适应弹出不同大小、页面格局的Portal认证页面。终端智能识别技术可以智能识别用户设备，用以适配不同大小的页面，免去了用户多次拖动，调整屏幕的操作，同时还可以为不同用户提供不同的上网策略，为用户提供更加智能的无线体验。

丰富的BYOD，满足各种类型用户的接入要求

4.6.多层次网络安全架构

系统设计从射频端应用层，提供全方位安全机制，为用户无线体验保驾护航。

多层次网络安全架构

支持对非法AP的探测以及反制，对于钓鱼AP以及仿冒AP，可以迅速识别，AP实时扫描无线信道中的恶意AP并实施反制，有效切断其无线服务。

非法AP探测与反制

 

4.7.便捷的运维管理

设备管理界面支持全中文，操作简便。在AC的WEB页面上，故障诊断提供了便捷的网络连通性检测功能，通过该功能可以快速的定位AC通信故障节点，快速排除故障。