Motorola WIFI网络及安全解决方案.doc

《Motorola WIFI网络及安全解决方案.doc》由会员分享，可在线阅读，更多相关《Motorola WIFI网络及安全解决方案.doc（85页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、WLAN网络及安全网络解决方案版本：1.02010年5月目录3. 无线网络技术的发展53.1 WLAN协议演进6协议6协议6协议7协议7协议8技术详细剖析93.2.1. MIMO和空分复用93.2.2. 多频点捆绑103.2.3. 802.11 MAC的优化114. 企业无线网络架构134.1. 组网结构144.1.1. WIBB的部署144.1.2. 无线交换机分布部署154.1.3. 集中部署164.1.4. 集中转发174.2 AP的两层部署和三层部署184.3 VLAN的设计194.4 IP地址的设计214.5 企业AP无线网络覆盖234.5.1 室外覆盖244.5.2 室内覆盖244

2、.6 VoWLAN 部署265. 企业所关注的无线网络特性275.1 两层/三层的无缝切换27位于相同的无线交换机下的两个AP间的无缝切换285.1.2 位于不同的无线交换机下的两个AP间的无缝切换295.2 更可靠以及更便捷部署的MESH网络305.3 普通POE模式下的吞吐量测试32网络动态信道分配335.5 Smart RF:网络自愈/自动发射功率调整345.6 网络负载均衡355.7 WMM无线服务质量QoS365.8 VLAN Pooling395.9 高度的安全性405.10 高度的可管理性415.11 高度的可靠性415.12 卓越的加密性能416. 无线网络高可靠冗余方案41当

3、AP发生故障42当链路发生故障42当接入交换机发生故障43当主用无线交换机和核心交换机链路发生故障44当主用无线交换机发生故障447. 无线网络安全方案457.1 基本的安全考虑457.1.1 侵占无线资源45服务区标示符(SSID)：46（MAC）过滤：46无线覆盖漏洞47无线信号干扰477.2 Motorola对无线网络的分析和建议47无线通讯安全加密487.2.2 防御潜在的无线网络攻击497.2.3 无线网络准入控制NAC507.3 无线入侵保护系统-Airdefense517.3.1 AirDefense的工作流程53设备的授权分类54检测连接至网络的非法设备54非法AP和用户定位5

4、67.3.5 非法AP和非法用户的阻断577.3.6 LiveView实时远程数据分析577.3.7 无线网络漏洞评估587.3.8 入侵侦测工具597.3.9 无线网络的入侵防御机制607.3.10 降低误判率的机制617.3.11 报警627.3.12 智能型事件管理机制637.3.13 无线网络故障诊断647.3.14 网络数据取证667.3.15 整合有线网络687.3.16 频谱分析697.3.17 Reporting弹性化的报表707.3.18 符合企业的监管政策707.3.19 无线网络仿真717.3.20 Airdefense-企业级的可扩展性727.4 有线网络的安全方案73

5、8. 无线网络管理方案76配置管理76性能管理77故障管理78安全管理79备份管理793. 无线网络技术的发展 无线局域网，也被称为WLAN（Wireless LAN），一般用于大楼内部以及园区内部，典型的覆盖距离从几十米到几百米，而Motorola的一些点对多点的设备可达几十公里，点对点设备甚至可达200公里。目前所采用的技术主要是802.11a/b/g/n。从1997年开始到2009年这12WLAN技术从最早基于调频技术的n，支持的速率从最早的的2M发展到现在的802.11n的300M(单频)与600M (双频)，吞吐量提高了300倍。 在WLAN技术发展过程中，Motorola最早参与制

6、定无线网络标准的厂商之一。Mtorola公司在无线网络技术领域拥有非常高的权威与声誉，是IEEE802.11组织的五大缔造者与核心成员之一；是WiFi组织的主要发起人与召集人；Motorola公司多次当选为IEEE802.11组织的轮值主席。 WLAN利用无线技术在空中传输数据、语音与视频信号，作为传统布线网络的一种替代方案或延伸。无线局域网络的出现使得原来有线网络所遇到的问题迎刃而解，它可以使用户任意对有线网络进行扩展与延伸。只要在有线网络的基础上通过无线接入点，无线网络、无线网卡等无线设备使无线通信得以实现。在不进行传统布线的同时，提供有线局域网的所有功能，并能够随着用户的需要随意的更改扩

7、展网络，实现移动应用，无线局域网把个人从办公桌边解放了出来，使他们可以随时随地获取信息，提高了员工的办公效率。对于传统的有线网络，无线局域网的应用价值主要表达在：可移动性：由于没有线缆的限制，用户可以在不同的地方移动工作，网络用户不管在任何地方都可以实时地访问信息。布线容易：由于不需要布线，消除了穿墙或过天花板布线的繁琐工作，因此安装容易，建网时间可大大缩短。组网灵活：WLAN可以组成多种拓扑结构，可以十分容易地从少数用户的点对点模式扩展到上千用户的基础架构网络成本优势：这种优势表达在用户网络需要租用大量的电信专线进行通信的时候，自行组建的WLAN会为用户节约大量的租用费用，在需要频繁移动与变

8、化的动态环境中，无线局域网的投资各有回报。而Motorola的整体解决方案具有更低的成本。虽然有些专家将无线LAN列为“商品”市场，但不同解决方案之间仍有很大的差异，难以进行对等比较。 以成本为例，每个厂商都有自己的公式来证明他们的成本是最低的。在比较基本设备时，可能看不出太大的差异，尤其是作为升级交换式架构的交换，厂商C会提供很低的折扣。不过，当你开始增加必要配置时，你就会看到资金成本以及运营成本之间的差距拉大。这些配置需要年度维护，费用一般是标价的20%，没有折扣。而这些配置是摩托罗拉的标准配置，包括机箱、机位与电源。 除此以外，摩托罗拉无线企业解决方案无疑是最易于实施与运行的解决方案。尤

9、其当您加入自复位、先进的故障排查及稳定的操作系统后，就可以避免大笔隐性无线成本。因此，您的IT工作人员就能把更多的时间用在创造有用的解决方案上，而不是浪费在照顾无线网络上。 3.1 WLAN协议演进3.1.1. 在1997年，IEEE发布无线网络规范协议，这也是在无线局域网领域内的第一个国际上被认可的协议，定义了基本的信令规范与一些服务规范。与其他IEEE802标准一样，主要工作在IS0协议最低两层（物理层与数据链路层）。技术采取跳频技术FHSS与直序扩频技术DSSS。在这个标准中，提供了1M与2M的数据传输率。请注意这1M与2M是编码的速率，实际的吞吐量比编码速率的一半还要小一点。因此的最高

10、的有效吞吐量还不到1M。远远达不到无线通信多媒体信息与视频监控信息传递的要求。3.1. 1999年9月IEEE Task Group B(TGb) 在原来802.11的基础上做了修正，802.11b被正式批准，该标准规定WLAN工作频段在2.4-2.4835 GHz，数据传输速率达到11Mbps，该标准是对IEEE 802.11的一个补充，采用补偿编码键控调制方式，采用点对点模式与基本模式两运作模式，在数据传输速率方面可以根据实际情况在11 Mbps、5.5 Mbps、2 Mbps、1 Mbps的不同速率间自动切换。同样11M也是最高编码速率，的最高的有效吞吐量在5.5M左右。3.1. 199

11、9年，IEEE 802.11a标准制定完成，该标准规定WLAN工作频段在5.15-8.825 GHz，数据传输速率达到54Mbps/72Mbps(Turbo)，传输距离控制在10-100米。该标准也是IEEE 802.11的一个补充，扩充了标准的物理层，采用正交频分复用（OFDM）的独特扩频技术，采用QFSK调制方式，可提供25Mbps的无线ATM接口与10Mbps的以太网无线帧结构接口，支持多种业务如话音、数据与图像等，一个扇区可接入多用户，每个用户可带多个用户终端。 2000年8月，IEEE802.11a协议推出，无线通讯速率可以在6M、9 M、12 M、24 M、36 M、48 M、54

12、 M间，根据通信质量进行调整。54M也是最高编码速率，的最高的有效吞吐量在25M左右。另外需要注意的是IEEE 802.11a标准工作于5.15-8.825 GHz频带需要执照的。在我国国内5GHz频段还没有开放，产品必须经过无线委员会的批准才能使用。这也带来一个好处就与一些无线企业设备a使用5.8G频段，传输的距离比2.4G距离也稍近一些，因此同样范围部署的AP数目也会稍多一些。3.1. 2003年IEEE将OFDM等上的技术应用到2.4G频段上，在此基础上制定了IEEE 802.11g认证标准，该标准拥有IEEE 802.11a的传输速率，安全性较IEEE 802.11b好，采用2种调制方

13、式，含802.11a中采用的OFDM与IEEE802.11b中采用的CCK，做到与802.11a与802.11b兼容.802.11g标准理论上最高数据传输速率可达到54Mbps，在实际应用中，通常有一半的“原始速度”被分组负载、校验与、帧位、错误恢复数据与其他“无用”的信息占用。即使不考虑传播范围与障碍物对性能削弱影响，实际吞吐率也仅能达到最高传输速率的一半甚至更低约为2026Mbps。即便这样，其速率仍远高于802.11b标准5.5Mbps左右的实际吞吐率。 三个无重叠或无干扰信道。每个信道可同时达到54Mbps的速度。因此三个无干扰信道的集合数据吞吐率可达到54Mbps3，即162Mbps

14、的理论数据传输速率。而802.11b只能支持三个信道，最高吞吐率仅有11Mbps3=33Mbps。 由于802.11g采用不同的编码与压缩方法，因此它在进行传输时需要向同一频谱范围内的802.11b设备发送低速告警数据包。这一过程将会使已经从802.11g设备的最高有效吞吐率减至2026Mbps（无线网络的一般速率）的速率骤然降至13Mbps左右。如果传输范围内没有802.11b设备，802.11g网络可以全速运行。当这两种标准混合使用时，由于802.11g与802.11b网络使用相同的频谱，它们的吞吐率也必须相同。由于802.11g需要向下兼容802.11b，因此它在部分时间需要以较低速率的

15、“兼容模式”运行，从而性能大幅降低。 g模式的最高有效吞吐量与相同，最高吞吐量在25g使用2.4G频段，使用是完全免费的，无需申请。传输的距离比距离也稍远一些，因此同样距离的路段部署的AP数目也会更少一些，只有三个可用无重叠或无干扰信道，就需要仔细规划频点，否则会带来冲突，对系统吞吐量有着严重的影响，会导致WLAN系统无法顺利运行。3.1.n协议 2007n也分成与，即802.11 bgn与，分别与原来的与兼容。相比较于先前的 IEEE 802.11b、802.11a、802.11g等标准，IEEE 802.11n更加侧重于高吞吐量方面性能提升。 n的上行接口使用千兆GE口。而且由于802.1

16、1n使用了MIMO技术，有效地降低了多径干扰的影响，有效地改善覆盖距离，而且信号覆盖更加稳定。预计在2009年下半年正式通过，2.0草案版本与最终的正式版本相差不会太多，可以通过软件版本升级就来支持正式标准。 nn实际上可以根据需要使用2.4G与5.8G频段，或者单频最高有效吞吐量在120170M左右，有效地克服了数据、语音、视频同时传输的瓶颈，可以传输更丰富的信息内容。 bgn，同样需要考虑频段规划问题bgnn的优势，需要使用40M的带宽，这实际上也是使用了2个频段。因此需要更细致地做频率规划，避免与其他频段的应用一起造成冲突。 如果使用，与802.11a一样，由于我国国内5GHz频段还没有

17、开放，产品必须经过无线委员会的批准才能使用。这样带来的好处也是5.8G的可用频点比较多，可以更加合理的规划频点。a相比，传输的距离会比距离也更远，同样距离的路段部署的AP数目也会更少。下表是几种WLAN技术的简单汇总表，技术标准使用频率物理层最高速率受干扰情况G2Mbps采用调频技术或直序调频技术，抗干扰能力强54Mbps使用OFDM技术，对抗多径干扰能力较好5.8G信道本身干扰较少，因此11a设备受到干扰更少11Mbps抗干扰能力一般54Mbps使用OFDM技术，对抗多径干扰能力较好600Mbps（双频）使用MIMO技术与多频捆绑技术，有效提高吞吐量与覆盖距离，具有很强的抗干扰能力 综合上面

18、的n技术无疑是WLAN发展的趋势，最符合长远用户的投资收益，下面我们对进行更详细的技术剖析。3n技术详细剖析 设备兼容。802.11n在高吞吐量上与覆盖距离都有比较大的突破，是下一代的无线网络技术的标准。3.2.1. MIMO与空分复用 MIMO（多入多出）或MTMRA（多发多收天线）技术是无线移动通信领域智能天线技术的重大突破，该技术能在不增加带宽的情况下成倍地提高通信系统的容量与频谱利用率，是新一代移动通信系统必须采用的关键技术。MIMO系统在发射端与接收端均采用多天线（或阵列天线）与多通道。传输信息流S（k）经过空时编码形成N个信息子流Ci（k），i=1，3，同时传送两路流量，比802.

19、11g增加了n倍。 MIMO实际上有效利用了多径干扰，利用多路不相关的传输信道进行空分复用。将MIMO与OFDM技术相结合，就产生了MIMO OFDM技术，该技术通过在OFDM传输系统中采用阵列天线实现空间分集，提高了信号质量，并增加了多径的容限，使无线网络的有效传输速率有质的提升。得益于将MIMO与OFDM技术相结合而应用的MIMOOFDM技术，802.11n在支持2.4GHz频段与5GHz频段的基础上，使无线传输的质量与速度得到极大提升。 而为了提升整个网络的吞吐量。 而在天线方面，智能天线技术的应用也解决了802.11n的传输覆盖范围问题，通过多组独立天线组成的天线阵列系统，动态地调整波

20、束的方向，使得802.11n能保证用户能接收到稳定的信号，同时也能有效减少其它噪音信号的干扰，使无线网络的传输距离大大增加，移动性大大增强。3.2.2. 多频点捆绑 IEEE 802.11n通过将两个相邻的20MHz带宽捆绑在一起组成一个40MHz通讯带宽，在实际工作时可以作为两个20MHz的带宽使用（一个为主带宽，一个为次带宽，收发数据时既可以40MHz的带宽工作，也可以单个20MHz带宽工作），这样可将速率提高一倍。同时，对于IEEE 802.11a/b/g，为了防止相邻信道干扰，20MHz带宽的信道在其两侧预留了一小部分的带宽边界。而通过频带绑定技术，这些预留的带宽也可以用来通讯，从而进

21、一步提高了吞吐量。M与40M的频谱分布图，G很难进行40M带宽频率的分配。下图是G更容易进行40M带宽的分配。3.2.3. 802.11 MAC的优化 在信道的竞争中所产生的冲突，以及为解决冲突而引入的退避机制都大大降低了系统的吞吐量。还对标准的单一MAC层协议进行了优化，改变了数据帧结构，对数据帧进行聚合，增加了净负载所占的比重，减少管理检错所占的字节数大大提升了网络的吞吐量。802.11n为了解决MAC层的问题，采用了以下技术: A-MSDUA-MSDU技术是指把多个MSDU通过一定的方式聚合成一个较大的载荷。这里的MSDU可以认为是Ethernet报文。通常，当AP或无线客户端从协议栈收

22、到报文（MSDU）时，会打上Ethernet报文头，这里我们称之为A-MSDU Subframe；而在通过射频口发送出去前，需要逐一将其转换成802.11报文格式。而A-MSDU技术旨在将若干个A-MSDU Subframe聚合到一起，并封装为一个802.11报文进行发送。从而减少了发送每一个802.11报文所需的PLCP Preamble、PLCP Header与802.11MAC头的开销，同时减少了应答帧的数量，提高了报文发送的效率 A-MPDU 与A-MSDU不同的是，A-MPDU聚合的是经过802.11报文封装后的MPDU，这里的MPDU是指经过802.11封装过的数据帧。通过一次性发

23、送若干个MPDU，减少了发送每个802.11报文所需的PLCP Preamble、PLCP Header，从而提高系统吞吐量。 Block Acknowledgement 为保证数据传输的可靠性，802.11协议规定每收到一个单播数据帧，都必须立即回应ACK帧。接收端在收到A-MPDU后，需要对其中的每一个MPDU进行处理，并针对每一个MPDU发送应答帧。而Block Acknowledgement通过使用一个ACK帧来完成对多个MPDU的应答，以降低这种情况下ACK帧的数量。Short Guard Interval Short GI（Guard Interval）是802.11n针对802.

24、11a/g所做的改进。射频芯片在使用OFDM调制方式发送数据时，整个帧是被划分成不同的数据块进行发送的，为了数据传输的可靠性，数据块之间会有GI，用以保证接收侧能够正确的解析出各个数据块。无线信号在空间传输会因多径等因素在接收侧形成时延，如果后续数据块发送过快，会与前一个数据块形成干扰，而GI就是用来规避这个干扰的。11a/g的GI时长为800us，而Short GI时长为400us，在使用Short GI的情况下，可提高10%的速率。另外，Short GI与带宽无关，支持20MHz、40MHz带宽。4. 企业无线网络架构 传统的无线网络构架，是由网络访问接点Access Point（以下简称

25、胖AP）来实现的。胖AP是个单点设备，也就是说，每个胖AP有自己独立的运算单元CPU、存储内存与管理软件，当我们构成一个大中型的网络时，这些单点之间并没有太多的相关性，管理与维护很不方便。同时在漫游切换过程中，胖AP与有线网络之间需要频繁更新路径信息，使得切换时延大大增加。 因此，在企业，摩托罗拉建议使用无线控制交换机对所有AP接入点进行统一的管理与配置。 使用中央无线控制交换机有以下好处： 系统具有与有线网络构架的无缝整合性：无线控制交换机系统重新定义了对无线网络的构架，使之与有线网络一样具有接入层与交换层。这种结构让我们的IT管理更易于理解与掌握。通过虚拟子网的构架将无线系统有机地结合到整

26、个企业网络中，网络的规划不是独立，而是与企业的有线网络结合在一起。系统具有多重安全性：无线控制交换机固有的安全机制由访问控制、身份验证与数据加密等一整套完整的体系组成，可以在企业网络的不同层次上进行部署，从而形成分层式的安全模式，提供非常强健的端到端安全性。同时我们也提供基于物理层（无线电波）的安全防护AirDefense系统，一套可选的安全防护系统将彻底屏蔽无线网络黑客的侵袭，这是一个非常完美的解决方案。 系统具有高度的可管理性与可维护性：无线控制交换机体系对于硬件、软件配置与网络策略进行统一管理，向所有接入点自动部署配置，大大降低了初始化工作量。同时，系统的维护非常方便，无需专业管理人员，

27、接入端可以作到即插即用，节省了日常维护成本。 等，是一套具有很高投资保护的系统。4.1. 组网结构 目前各个企业的核心数据机房一般放置在IDC机房或者总部的机房内，通过租用运营商专线连接到各个分部。对于租用的运营商的专线，可以使用WIBB产品（无线桥接设备），可以提供高达300M的实际速率。对于无线交换机的放置有两种放置方式，一种是无线交换机放在每个分部，管理各个所属区域的AP。另一种方式是无线交换机集中放在IDC机房或者总部的机房内管理各个分部的AP。Motorola下面详细描述WIBB产品的部署与无线交换机放置的两种部署方式：4.1.1. WIBB的部署 目前大型企业在同一城市都开设有分部

28、，或者在企业占地面积大楼宇众多。各个分部与总部之间的数据通信只能依靠租用运营商的专线链路来实现，而各个楼宇之间的通信需要进行挖沟布线来实现，大大增加了通信的成本，而且不利于随着业务的发展而及时的调整网络架构。采用WIBB来部署实现分部与总部、楼宇之间的通信，有利于节约通信的成本与及时的调整网络架构。 楼宇之间的部署 一般情况下各个楼宇之间位于同一个院区内，楼间的距离比较近，而且是一对多的通信模式，点对多点的设备进行连接与汇聚。Motorola的点对多点设备通信距离最远距离可达18公里，每个扇区角度为60度，可以实现45Mbps的全双工实际吞吐量，如果进行全方位360度的覆盖，中心点吞吐量可达2

29、70Mbps的全双工实际吞吐量。 分部与总部之间的部署 分部与总部之间的距离位于一个城市内，距离比较远可达几十公里或一两百公里，而且数据量大。这种情况下，我们建议使用点对点的设备进行连接。Motorola的点对点设备通信距离可达250公里，可以实现300Mbps的实际吞吐量。 总院点对点点对多点分院楼宇分院楼宇 4.1.2. 无线交换机分布部署 分布部署方案是相对比较传统的部署方式，部署比较简单。在这种部署方案中，无线交换机放在各个分部，管理各自所属区域的AP。在无线交换机上的配置可以自动下载到AP。网络架构如下所述：1. 现有的核心网络，主要由企业的核心数据服务器以及对应的核心交换机以及智能

30、负载分担设备与网络管理设备组成。2. 各个分部局域网，主要由无线交换机与分部的AP组成，本地的无线交换机只能管理本地的AP，无线交换机与AP之间采用以太网进行连接。而且AP可以采用二层或者三层部署。分布部署的层次清楚、每个分部所都具有相对独立的管理权限4. 集中部署 集中部署方式为一种扁平化部署的方式，在这种部署方案中，无线交换机不再放在每个分部，而是统一放置在总部。所有的AP都由位于IDC或者总部机房的无线交换机管理。网络架构如下所述： 现有的核心网络，主要由企业的核心数据服务器、对应的核心交换机、智能负载分担设备、无线交换机、网络管理设备组成。 各个分部局域网，主要架设AP组成，各个分部的

31、AP全部由位于IDC或者总部机房的无线交换机统一管理。这种模式下，建议AP采用三层部署。 这种集中部署的优点在于集中化管理以及节省大量投资，整个分部的无线网络策略由总部统一制定下发到每个分部的AP，各个分部无需部署无线交换机，从而节省了大量投资。对于集中部署的方案来说还有两种转发方式，集中转发与本地转发。集中转发是传统瘦AP的转发技术，而本地转发是Motorola无线交换技术的一大创新。集中转发与本地转发的区别主要在于AP与无线交换机数据传输方式不同，分别试用于不同场合。Motorola的无线交换机同时支持这两种模式，下面我们对这两种模式进行比较：4.1.4. 集中转发在传统的瘦AP技术中，瘦

32、AP与无线交换机需要同时建立控制隧道与数据隧道。 控制隧道用来传输AP与无线交换机之间的信令，如用户的身份认证信息、心跳信息以及配置信息的下发以及状态信息的上传；数据隧道用来传输用户的实际数据，所有用户的数据到达AP后，AP将这些用户数据封装到AP到无线交换机的数据隧道中，在无线交换机从数据隧道收到这些数据包后，解包后再更加用户数据包进行数据转发。因此所有用户的数据都会经由无线交换机，数据有迂回，数据传输的路径不是最优的。当同时进行大量数据传递时，无线交换机将成为性能的瓶颈。 本地转发 Motorola率先推出的本地转发模式克服了集中转发的弊端。在本地转发模式中，瘦AP也具有一定的智能性。瘦A

33、P与无线交换机只建立一条隧道：控制隧道，用来传输用户身份认证信息、AP与无线交换机之间的信令，如心跳信息以及配置信息的下发以及状态信息的上传。用户的实际数据不再封装在隧道里，而是由瘦AP直接进行进行数据转发。同时进行大量数据传递时，不再出现无线交换机的瓶颈问题。在本地转发模式下数据无迂回，数据传输的路径是最优的。4.2 AP的两层部署与三层部署 集中控制型AP的部署方式可以分为两层部署与三层部署。1. 两层部署是指AP与无线交换机在同一个网段内，AP与无线交换机之间通过两层数据帧进行相互通信，无线用户的数据包也封装在两层数据帧里通过AP传送给无线交换机。两层部署无需增加任何设备。但是两层部署需

34、要保证AP与无线交换机在一个VLAN里。 2. 三层部署是指AP与无线交换机在不同网段内，AP与无线交换机之间存在三层设备如：路由器或者三层交换机。AP与无线交换机之间通过三层IP包进行相互通信，无线用户的数据包也封装在三层IP包里通过AP传送给无线交换机。在三层部署时，AP可以静态设置或者动态获取。在三层部署的情况下， 无线交换机只要与AP IP地址可达。AP IP地址静态配置情况无需增加任何配置。在AP地址动态获取的AP可以通过DHCP Option 189动态学习无线交换机的IP地址列表。4.3 VLAN的设计 一般厂家的无线网络产品在网络规划时都需要二层交换机连接或者划分VLAN，否则

35、将导致整体性能的降低与漫游特性的缺失。 在Motorola的无线网络中，VLAN分为AP接入VLAN与用户接入VLAN，这两个VLAN是完全独立的。AP接入VLAN仅仅是保证AP与无线交换机建立WISPe Tunnel，真正与用户相关的是用户接入VLAN，这个VLAN位于无线交换机与汇聚层交换机连接的链路上，这个VLAN决定了无线用户获得的地址。 如上图所示： AP 所在的VLAN 为VLAN 10，无线用户的VLAN为VLAN100 ，AP获得192.168.1.0/24的地址，这个IP 地址可以通过DHCP 服务器或者是以静态IP 地址方式配置在AP 上。由于无线用户的传输是通过AP 内已

36、建立的WISPe 隧道与无线 交换机互连的，获得10.1.1.0/24的地址。所以实际上无线用户的VLAN 是无须在接入层与汇聚层存在。当大规模开展无线局域网时，就无须把在不同接入层上新增的无线终端VLAN/IP 子网逐一在局域网上打通。无线用户的VLAN 是可透过无线 交换机与骨干交换机互连互通。事实上，Motorola的无线交换机对于接入AP的VLAN没有任何要求，只要IP地址可达，通过广域网链路都可以。无线交换机也可以统一管理所有AP。由于Motorola 的AP 是通过WISPe 的隧道连接到MOTOROLA 交换机上，所以Motorola 产品在规划上可以完全不改变原有的网络结构，同

37、时实现无缝的二三层漫游。并且所有的AP 都统一规划统一集中管理。 下面详细叙述一下无线交换机在规划配置实施时需要考虑的问题：1. AP 的VLAN 与无线用户的VLAN 第一代的无线局域网对AP 所在的VLAN(AP 为网络设备)与无线用户所在的VLAN 是没有明确的区分。第一代无线组网无论对无线用户、AP 与网络的管理都有一定困难，而且很容易造成混乱。对网络管理而然，网络设备的VLAN/IP 子网应当与用户是分开，这样才可确保正常网络运行与维护。但在具体实施时，很多为了方便都会把AP 与无线用户设置在同一个VLAN 内。这种组网方式在现今的非常普遍，所以一般用户都误解无线局域网的SSID为局

38、域网的VLAN。2. VLAN 与无线SSID 的关系 一般用户都误解无线局域网的SSID 为局域网的VLAN，这可能是由于第一代的无线局域网都是通过“FAT AP”组网的原因。其实二者之间的关系并非是一对一，即一个SSID 必须对应有一个VLAN。当然把一SSID 设定在一个VLAN 内对传统的无线局域网只能够支持第二层的无线用户漫游是唯一可实现的方式。但这样的组网必须在现有的网络上做出很多改动，AP 数量多时，无线用户VLAN/IP 子网也增多，无线用户IP 子网在局域网内必须全打通，（即汇聚层与骨干层的路由开通）否则无线用户就不能访问局域网上其它网点，包括在不同接入层的无线用户。 MOT

39、OROLA 交换机组网，当无线用户加入到无线网上的一个SSID 时，很容易与VLAN 绑定，无线用户漫游到不同AP 上，因SSID 的缺省VLAN 实际上是穿越接入层到MOTOROLA 交换机上，用户的VLAN 是无需在每个接入层上开通。但亦有可能SSID 在不同的AP 接入点时，它设置的缺省VLAN 是不一样的。当有这样的情况出现时，无线用户从一个AP 接入点漫游到另一个AP 接入点时， DHCP 协议应会重分发给无线终端新的IP 地址，但如果无线终端的IP 地址更新的话，它先前建立的所有应用连接就会被切断。这样的无线局域网实际上就不能支持跨三层无线漫游。在公司网络中实现无线局域网接入，不需

40、要在现有的局域网上做很多路由的修改，MOTOROLA AP 所在的VLAN 与无线用户的VLAN 是独立分开的，用户只须在MOTOROLA AP 的接入点分配给它IP 地址即可，这个IP 地址可以是通过DHCP 服务器来分发，可以是以静态IP 地址方式配置在MOTOROLA AP 上。由于无线用户的传输是通过MOTOROLA AP 内已建立的WISPe 隧道与MOTOROLA 交换机互连的，所以实际上无线用户的VLAN 是无须在接入层与汇聚层存在。当大规模开展无线局域网时，就无须把在不同接入层上新增的无线终端VLAN/IP 子网逐一在局域网上打通。无线用户的VLAN 是可透过MOTOROLA

41、交换机与骨干交换机互连互通。4.4 IP地址的设计 IP 地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系，将对网络的可用性、可靠性与有效性产生显著影响。在对IP 地址进行规划建设的同时，应充分考虑本地网对IP 地址的需求，以满足未来业务发展对IP 地址的需求。 IP 地址规划遵循以下几点： IP 地址的规划与划分应该考虑到IP 网络的飞速发展，能够满足网络未来发展的需要；既要满足本期工程对IP 地址的需求，同时要充分考虑未来业务发展，预留相应的地址段。IP 地址规划应该是网络整体规划的一部分，即IP 地址规划要与网络层次规划、路由协议规划、流量规划等结合起来考虑。I

42、P 地址的规划应尽可能与网络层次相对应，应该是自顶向下的一种规划。 通过预测网络的规模，应该为一个网络区域分配的网络地址留有一定的容量，便于系统扩展。大型局域网规划，应该首先把整个网络划分为几个大区域，方法是根据地域、设备分布及区域内用户数量来划分，每个大区域又可以分为几个子区域，每个子区域从它的上一级区域里获取IP 地址段（子网段）。这种方式充分考虑了网络层次与路由协议的规划，通过聚合网络减少网络中路由的数目与地址维护的数量，充分表达了分层管理的思想。尽量保证本地网内IP 地址的较大范围的连续性，通过汇总缩小路由表，提高转发效率。IP 地址的分配必须采用VLSM 技术，保证IP 地址的利用效

43、率。采用CIDR 技术，这样可以减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小。充分合理利用已申请的地址空间，提高地址的利用效率。简单一致性：地址分配力求简单，分配规则力求一致，便于日后对IP 地址的管理。IP 地址分配方式建议采用DHCP 方式。IP地址包括用户的IP地址与接入AP的IP地址。 初步估计有2,500个用户同时在线。需要2,500/256=10.53，因此可以初步分配10个C类地址给用户使用。8个C类地址段(C1C10)，共2000个地址，用于数据/话音用户接入地址分配C1C6，共1500个 IPv4地址，作为普通数据客户端地址；C7C8

44、，共512个IPv4地址，作为VoWLAN客户端地址；C9C10，共1024个IPv4地址，作为保留地址池接入AP的IP地址数量为AP的数目，接入时需要根据接入点所在的VLAN范围配置或者动态获得该网段范围的地址。4.5 企业AP无线网络覆盖 与有线网络相比，WLAN具有安装便捷、移动性好、使用灵活、易于扩展等优点，可以为不易布线的地方与远距离的数据处理节点提供强大的网络支持。由于WLAN具有上述不可替代的优点，因而会迅速地应用于需要在移动中联网与在网络间漫游的场合。但与此同时也给WLAN的优化设计与管理带来了很多新的问题。 WLAN包括无线网卡与接入点（AP）.无线网卡安装在移动终端上，用来

45、访问AP。无线网卡带有发送器、接收器、天线与提供无线终端接口的硬件。AP是一个桥接的无线基站，放置于固定位置并可连接到有线局域网。AP带有发送器、接收器、天线与桥接器，带有与IEEE802.3有线局域网的接口，可以让无线终端同有线局域网通信。WLAN不同于传统的有线网络，噪声与干扰、建筑物结构、无线设备的摆放及其参数的设置都对WLAN的信号质量与传输速度等性能有很大的影响。因此，WLAN的设计也与有线网络不同。WLAN优化设计的目的是：使无线接入设备覆盖所有期望覆盖的区域，并且具有足够承担预期负载的能力。由于环境的复杂性，WLAN的设计必须通过实际的测量才能达到理想效果。其中，AP的定位与频率

46、分配是WLAN优化设计的两个重要方面。AP的位置首先应根据实际的场景与需求初步进行选择，然后在通过实地测量进行调整。定位需要遵循以下原则：AP的覆盖区域之间无间隙，AP之间重迭区域最小。第一条原则保证所有的区域都能覆盖到，而第二条原则是要尽可能减少所需的AP数量。AP覆盖区域的确定需要根据接收到的信号强度来决定，做法是先设定一个信号强度阀值，例如为满足某小区域的无线终端点播流媒体课件的需求，通过测量得知信噪比SNR10dB是能够保证点播流媒体课件质量稳定的最低信号强度，所以可将10dB作为阀值，凡是信号强度不低于这个阀值的区域就确定为AP的覆盖区域；然后进行实地测量，并记录，产生AP的覆盖区域

47、图；最后根据定位原则进行调整，直到满意为止。由于各个区域的用户密度不同，一般情况下用户密度大的区域情况更复杂，所以应先在用户密度高的区域进行AP的布置然后再布置用户密度低的区域。在空旷的户外可用对称圆形与球形来划定AP覆盖区域并且采用有线或者MESH的方式连接；而在规则的狭长或矩形建筑物内可用线形或矩形将AP对称分布。但是由于室内建筑结构的复杂性，例如金属防盗门、铝合金门窗等，应当在初步选择AP位置后进行仔细的测量，以确保布置的AP能够覆盖所有区域。 在AP的位置已经固定，覆盖范围也已经确定之后，要考虑的是频率分局的问题。IEEE802.11b的工作频率为2.4GHz，每个通道带宽为22MHz，两个相邻频道的中心距仅为5MH