购物中心无线覆盖方案
　　
　　一、需求分析
　　
　　用户需求：
　　
　　对单独的楼层进行无线无缝隙的覆盖，
　　
　　1、高性能
　　
　　项目需求：
　　
　　信号强度不低于75（dbm），以保证用户无线上网，WiFi，移动PDA的正常使用。
　　
　　需求分析：
　　
　　通过多种安装方式达到主要无线应用区域场地覆盖。安装方式采用明装或暗装的方式，设备安装于房间顶端挂在外面以及粘贴在墙壁上面，覆盖区域和安装规格在方案图纸中标识。
　　
　　2、传输性能
　　
　　项目需求：
　　
　　覆盖区域内,确保无线网络的传输质量以及WiFi等无线终端设备的实时传输.
　　
　　需求分析：
　　
　　根据用户的容量和应用流量需求，在设计方案中满足每台AP设计接入用户数量在20-30之间为*效果。
　　
　　3、无线漫游
　　
　　项目需求：
　　
　　要求无线网络系统支持无缝漫游，保证无线网络在覆盖区域应用实时的数据不中断流畅传输。
　　
　　需求分析：
　　
　　要求无线网络系统在覆盖区域支持无缝漫游，实时交互用户接入信息，保证无缝漫游性能。
　　
　　4、网络负载均衡
　　
　　项目需求：
　　
　　在客服、休闲办公区等覆盖区域，要满足多用户使用时不会产生网络瓶颈和网络性能的下降。
　　
　　需求分析：
　　
　　在方案中，无线网络系统应该提供动态的基于流量和用户数量的负载均衡机制，为用户提供的网络性能。
　　
　　5、统一维护管理
　　
　　项目需求：
　　
　　提供简单、易用、统一的无线网络管理平台。为今后公司的IT维护人员提供的工作便利。
　　
　　需求分析：
　　
　　无线网络系统通过一个核心管理部件进行综合的管理，不需要针对单独的AP接入点进行管理和维护。
　　
　　6、用户接入认证
　　
　　项目需求：
　　
　　支持主流和多种形式的无线网络接入认证方式，满足用户的安全需求。
　　
　　需求分析：
　　
　　要求无线系统支持主流的大部分认证协议和认证方式，包括WebPortal方式和基于RADIUS的802.1x无线认证方式。
　　
　　7、无线安全加密
　　
　　项目需求：
　　
　　无线网络的安全是一个重要的应用保障，没有安全一切应用都变得脆弱和危险。无线网络系统需要兼容和接纳zui高等级和zui广泛的加密协议，保证信息安全
　　
　　需求分析：
　　
　　支持通用的加密方式和协议，包括WEP、WPA、WPA2等。加密和认证通常是一起使用的。
　　
　　8、无线入侵防护机制
　　
　　项目需求：
　　
　　对于网络恶意入侵频繁发生的今天，保证网络的安全成为系统的*要素。被入侵和恶意攻击的网络系统是无法承载日常应用的，违背网络建设的初衷。
　　
　　需求分析：
　　
　　无线网络的入侵防护系统能够监听个个无线信道的数据流量，实时汇总和分析。针对入侵行为进行有效的联动保护。
　　
　　二、设计方案
　　
　　楼层共计2层，结构大致相同。地下二层主要为停车场，面积大约为6万5千平米，预计使用ap数为50个。地下一层主要是商铺面积约为6万5千平米，预计ap使用数量为47个。具体点位详见上图。（包括ap接入的机房。）
　　
　　二、设计说明
　　
　　根据网络系统中不同网络设备的地位和作用，可以将上图表示的无线网络系统分为几个部分，分别是：
　　
　　1、无线终端
　　
　　主要承载在网络应用的无线网络终端。无线网路终端的种类很多，所承载的应用也丰富多样。例如：WiFi无线、带有WiFi功能的笔记本电脑和数字助理PDA、带有WiFi模块的打印机和收银机（无线扫描枪）等等。
　　
　　目前无线设备：主要应用于无线扫描枪的实时数据传输,每个门口的进出口内分别放置一台手持无线扫描枪，用于货物的进出记录，zui终将数据通过无线统一传输到数据口
　　
　　并且办公室内的电脑也通无线进行数据的传输以及对扫描枪得数据查询
　　
　　2、无线接入层
　　
　　主要包含AccessPoint/AccessPort无线接入点设备，负责无线终端用户的接入和网络传输。方案中采用的主要无线接入点产品是AIR-LAP1142N-C-K9内置天线，所有的无线AP设备通过56v（pwr-b）直接供电，（当然也可以用以太网网线连接到支持802.3afPOE供电的以太网交换机上获得电源供电。）
　　
　　3、汇聚层
　　
　　主要包含cisco交换用于每个ap的数据传输和将zui终的数据汇集到一起统一传输到数据库。
　　
　　4、核心应用层
　　
　　AIR-LAP1142N-C-K9无线接入点通过100Mbps的速率连接到汇集层交换机上，方案中的汇聚交换机堆叠就是通过1000Mbps的高带宽连接到核心交换机上，保证了网络规划的金字塔稳定结构。
　　
　　所有AP收集到的无线网络流量都通过交换机汇集到核心无线控制器AIR-CT5508-100-K9进行统一的过滤和转发，zui终经过交换机到达数据库中。因为预计的点位为100多个，为了后期网络的扩展，与点位的盲点解决，推荐使用两台控制器。AIR-CT5508-100-K9控制器100个ap。AIR-CT2504-25-K9控制器25个ap。共计能够控制的ap数量为125个。
　　
　　三、方案技术要点
　　
　　本节针对前章节《项目需求与需求分析》中提出的具体需求进行技术实现的逐点说明。
　　
　　1、高性能
　　
　　信号覆盖范围和强度
　　
　　通过在需要覆盖的区域安装部署无线接入点满足覆盖需要，同时通过实地测量和经验估算相结合的方式，设计出AP部署方案，同时通过调整个别AP保证信号强度优于75dbm。
　　
　　用户容量和传输性能
　　
　　根据各个区域无线用户数量估算和CiscoAP产品的性能测试结果，在设计时设定每AP用户接入数量*在20至30期间，保证无线网路的可用性和好的传输性能。
　　
　　2、高可用性
　　
　　漫游性能:
　　
　　支持二、三层漫游技术的控制器和LAP1142N在真正的移动应用中满足覆盖区域无缝漫游、平滑切换的使用要求。控制器在工作时能够实时地接受并记录LAP1142提交的用户终端接入信息，包括用户MAC、IP认证信息等等，当发生无论是2层还是3层漫游切换的时候，都能够提前同步终端信息，以保证在漫游时做到zui快的切换。
　　
　　用户分组管理与隔离
　　
　　方案中，LAP1142N支持多个MAC地址、多个SSIDs、多个Wlan，控制器能够管理256/32个Vlan，还能够基于Wlan限制用户访问，达到用户隔离和统一分组管理的应用效果。取消ESSID的对外广播，并禁止用户间的数据交流将有效地提升安全性。（具体设置可根据实际需求而定）
　　
　　统一维护管理
　　
　　通过无线控制器的管理系统能够进行统一监控、维护、配置和管理整个无线网络。
　　
　　3、高安全性
　　
　　用户接入认证
　　
　　控制器支持的认证方式包括802.1x、Radius、Web、证书等方式，同时支持标准的计费和审计信息。
　　
　　无线安全加密
　　
　　支持的数据安全加密方式：WEP、WPA、WPA2等标准加密方式。
　　
　　四、设备参数
　　
　　控制器AIR-CT5508-100-K9
　　
　　Cisco5508系列无线局域网控制器的特性
　　
　　项规格
　　
　　无线IEEE802.11a、802.11b、802.11g、802.11d、WMM/802.11e、802.11h、802.11n
　　
　　有线/交换/路由IEEE802.310BASE-T、IEEE802.3u100BASE-TX规范、1000BASE-T。1000BASE-SX、1000-BASE-LH、IEEE802.1QVtagging和IEEE802.1AX链路聚合。
　　
　　数据请求注解（RFC）·RFC768UDP
　　
　　·RFC791IP
　　
　　·RFC2460*6（直通桥接模式）
　　
　　·RFC792ICMP
　　
　　·RFC793TCP
　　
　　·RFC826ARP
　　
　　·RFC1122互联网主机要求
　　
　　·RFC1519CIDR
　　
　　·RFC1542BOOTP
　　
　　·RFC2131DHCP
　　
　　·RFC5415CAPWAP协议规范
　　
　　·RFC5416CAPWAPBindingfor802.11
　　
　　安全标准·WPA
　　
　　·IEEE802.11i（WPA2、RSN）
　　
　　·RFC1321MD5信息-摘要算法
　　
　　·RFC1851ESP三重DES转换
　　
　　·RFC2104HMAC：键散列法用于信息身份验证
　　
　　·RFC2246TLS协议1.0版本
　　
　　·RFC2401互联网协议安全架构
　　
　　·RFC2403HMAC-MD5-96withinESPandAH
　　
　　·RFC2404HMAC-SHA-1-96withinESPandAH
　　
　　·RFC2405ESPDES-CBCCipherAlgorithmwithExplicitIV
　　
　　·RFC2406IPsec
　　
　　·RFC2407InterpretationforISAKMP
　　
　　·RFC2408ISAKMP
　　
　　·RFC2409IKE
　　
　　·RFC2451ESPCBC模式加密算法
　　
　　·RFC3280互联网X.509PKI证书和CRL档案
　　
　　·RFC3602AES-CBC加密算法及其与IPSec的搭配使用
　　
　　·RFC3686使用AES计数器模式和IPSecESP
　　
　　·RFC4347数据报传输层安全
　　
　　·RFC4346TLS协议1.1版本
　　
　　加密·WEP和TKIP-MIC：RC440、104和128位（静态和共享密钥）
　　
　　·AES：CBC、CCM、CCMP
　　
　　·DES：DES-CBC、3DES
　　
　　·SSL和TLS：RC4128位、RSA1024位和2048位
　　
　　·DTLS：AES-CBC
　　
　　·IPSec：DES-CBC、3DES、AES-CBC
　　
　　身份验证、*和记账（AAA）·IEEE802.1X
　　
　　·RFC2548MicrosoftVendor-SpecificRADIUSAttributes
　　
　　·RFC2716PPPEAP-TLS
　　
　　·RFC2865RADIUS身份验证
　　
　　·RFC2866RADIUS记账
　　
　　·RFC2867RADIUSTunnel记账
　　
　　·RFC2869RADIUS扩展
　　
　　·RFC3576到RADIUS的动态*许可扩展
　　
　　·RFC3579RADIUS的EAP支持
　　
　　·RFC3580IEEE802.1XRADIUS准则
　　
　　·RFC3748可扩展身份验证协议
　　
　　·基于Web的身份验证
　　
　　·TACACS管理用户支持
　　
　　管理·SNMPv1、v2c、v3
　　
　　·RFC854net
　　
　　·RFC1155用于基于TCP/IP的互联网的管理信息
　　
　　·RFC1156MIB
　　
　　·RFC1157SNMP
　　
　　·RFC1213SNMPMIBII
　　
　　·RFC1350TFTP
　　
　　·RFC1643以太网MIB
　　
　　·RFC2030SNTP
　　
　　·RFC2616HTTP
　　
　　·RFC2665以太网式接口类型MIB
　　
　　·RFC2674桥接可管理对象定义，包括流量类型、组播过滤和虚拟扩展
　　
　　·RFC2819RMONMIB
　　
　　·RFC2863界面群组MIB
　　
　　·RFC3164Syslog
　　
　　·RFC3414针对SNMPv3的、基于用户的安全模型（USM）
　　
　　·RFC3418用于SNMP的MIB
　　
　　·RFC3636支持IEEE802.3MAU的可管理对象定义
　　
　　·思科专有MIB
　　
　　管理界面·基于Web：HTTP/HTTPS
　　
　　·命令行界面：net、SecureShell（SSH）协议、串行端口
　　
　　·Cisco无线控制系统（WCS）
　　
　　接口和指示灯·上行链路：8个（5508）1000BaseT、1000Base-SX和1000Base-LH收发器插槽
　　
　　·小型可插拔（SFP）选件（仅支持思科SFP）：GLC-T、GLC-SX-MM、GLC-LH-SM
　　
　　·LED指示灯：链路
　　
　　·维修端口：10/100/1000Mbps以太网（RJ45）。
　　
　　·维修端口：10/100/1000Mbps以太网（RJ45），用于确保高可用性，供未来使用
　　
　　·LED指示灯：链路
　　
　　·工具端口：10/100/1000Mbps以太网（RJ45）。
　　
　　·LED指示灯：链路
　　
　　·扩展插槽：1个（5508）
　　
　　·控制台端口：RS232（包含DB-9male/RJ-45连接器）、mini-USB
　　
　　·其他指示灯：Sys、ACT、电源1、电源2
　　
　　物理尺寸和环境参数·尺寸（宽×长×高）：17.30×21.20×1.75英寸（440x539x44.5毫米）
　　
　　·重量：20磅（9.1千克），带两个电源
　　
　　·温度：工作温度：32至104°F（0至40°C）;存储温度：–13至158°F（–25至70°C）
　　
　　·湿度：工作湿度：10-95%，无冷凝;存储湿度：zui高95%
　　
　　·输入功率：100至240VAC;50/60Hz;1.0@110VAC;zui高115W;0.523A@220VAC;zui高115W;测试条件：冗余电源，40C，全流量。
　　
　　·散热量：zui高392BTU/小时@110/220VAC
　　
　　合规性CEMark
　　
　　安全：
　　
　　·UL60950-1:2003
　　
　　·EN60950:2000
　　
　　·EMI和磁化系数（A类）
　　
　　·美国：FCC第15.107和15.109部分
　　
　　·加拿大：ICES-003
　　
　　·日本：VCCI
　　
　　·欧洲：EN55022、EN55024
　　
　　控制器AIR-CT2504-25-K9
　　
　　基础参数网络标准无线标准?
　　
　　IEEE802.11a、802.11b、802.11g、802.11d、WMM/802.11e、802.11h、802.11n
　　
　　有线/交换/路由?
　　
　　IEEE802.310BASE-T、IEEE802.3u100BASE-TX规范、1000BASE-T和IEEE802.1QV标记
　　
　　网络参数吞吐量zui高500Mbps
　　
　　管理专门用于思科无线控制系统
　　
　　基于Web：HTTP/HTTPS单个设备管理器
　　
　　命令行界面：net、安全外壳（SSH）协议、串行端口
　　
　　安全WiFi保护接入（WPA）
　　
　　IEEE802.11i（WPA2,RSN）
　　
　　RFC1321MD5信息—摘要算法
　　
　　RFC1851ESP三重DES转换
　　
　　RFC2104HMAC：用于信息验证的密钥散列
　　
　　RFC2246TLS协议1.0版本
　　
　　RFC2401互联网协议安全架构
　　
　　ESP和AH中的RFC2403HMAC-MD5-96
　　
　　ESP和AH中的RFC2404HMAC-SHA-1-96
　　
　　RFC2405ESPDES-CBC密码算法，采用ExplicitIV
　　
　　RFC2406IP封装安全有效负载（ESP）
　　
　　RFC2407针对ISAKMP的解释
　　
　　RFC2408ISAKMP
　　
　　RFC2409IKE
　　
　　RFC2451ESPCBC—模式密码算法
　　
　　RFC3280互联网X.509PKI证书和CRL档案
　　
　　RFC3602AES-CBC密码算法及其与IPsec的搭配使用
　　
　　RFC3686使用AES计数器模式和IPsecESP
　　
　　RFC4347数据报传输层安全
　　
　　RFC4346TLS协议1.1版本
　　
　　其他参数端口类型控制台端口：RJ-45连接器
　　
　　网络：4个1Gbps以太网（RJ-45）
　　
　　安全认证UL60950-1：第2版，EN60950：2005
　　
　　电源电压100至240VAC;50/60Hz
　　
　　环境参数工作温度0至40°C
　　
　　存储温度-25至70°C
　　
　　湿度范围10-95%，非冷凝
　　
　　外观参数状态指示灯链路状态（每个1G端口）、电源、状态、告警
　　
　　尺寸43.9×203.2×271.5
　　
　　产品特性优点
　　
　　思科1142N系列AP
　　
　　薄外形,集成天线的企业级AP，轻松布署在办公室和相似的RF环境。•两个高可靠性的IEEE802.11a和802.11g/n无线模块提供300Mbps容量
　　
　　•2.4and5GHz集成差异集成天线,轻松布署不用外加天线
　　
　　•薄塑胶外壳
　　
　　•16MBFlash内存
　　
　　•可在0到40°C的环境下正常工作。
　　
　　•支持Inlinepower（POE和802.3af）
　　
　　•Console端口管理
　　
　　•支持WPA和802.11i/WPA2
　　
　　•通过软件包升级可支持LWAPP
　　
　　•思科分布式无线解决方案•顺从IEEE802.11a/b/g标准布署在高容量的无线网络
　　
　　•迅速安装和轻松管理
　　
　　其所长、•Ro4bustandpredictablecoverageforofficesandsimilarRFenvironments
　　
　　•低成
　　
　　•通过相互认证和动态加密来达到企业级安全。
　　
　　•Deployabletodayasanautonomousaccesspoint
　　
　　•Upgradeableinthefuturetooperateasalightweightaccesspoint
　　
　　五、设备清单
　　
　　设备名称型号单位数量单价合计备注
　　
　　控制器CiscoAIR-CT5508-100-K91台
　　
　　CiscoAIR-CT2504-25-K91台
　　
　　lapCiscoAIR-Lap1142N-C-k997台
　　
　　Lap（备用预留）CiscoAIR-Lap1142N-C-k95台
　　
　　Poe二层交换机POE16口4台
　　
　　POE8口13台
　　
　　调试费用另算