1、智能工厂无线解决方案v2.0技术文档v1.0锐捷网络2017年4月目录1前言81.1文档目的81.2目标读者82术语和定义93设计目标124方案背景135问题挑战145.1企业无线建设复杂场景下挑战145.2企业无线建设安全挑战165.2.1企业组织结构复杂，内网安全权限难以管控175.2.2企业无线建设身份统一认证挑战175.2.3企业多分支漫游策略无法跟随挑战175.2.4企业访客网络安全可控挑战185.1企业无线建设用户体验挑战185.2企业建设规划与运维挑战206解决方案架构设计226.1企业无线场景226.2企业园区无线网络逻辑划分246.3AC集中式部署架构设计256.3.1总体架2、构设计256.3.2总部分支VPN互联设计266.3.3AC架构部署设计286.3.4身份统一认证与漫游设计306.3.5策略随行设计316.4AC总分式部署架构设计356.4.1总体架构设计356.4.2总部分支VPN互联设计366.4.3AC架构部署设计366.4.4身份统一认证与漫游设计386.4.5策略随行设计396.4.6架构说明416.5方案组件介绍426.5.1无线控制器AC（Access Control）426.5.2认证系统（SMP/ESS服务器）436.5.3无线接入点AP（ Access Point）446.5.4无线管理系统（RG-SNC-WLAN）446.5.5无线智3、能服务平台（RG-WIS）456.5.6出口业务网关（VPN网关）466.5.7DDI（DHCP、DNS服务器）476.6组网方案（产品选型）526.6.1AC虚拟化546.6.2分层AC566.6.3多业务AC576.6.4Remote AP587无线高安全性设计607.1射频层环境安全设计607.1.1无线SSID隐藏607.1.2非法AP检测与反制607.1.3安全雷达617.2链路层窃听设计647.2.1数据传输与加密安全647.3网络层访问安全设计647.3.1DHCP安全647.3.2AP虚拟化657.3.3同AP下终端访问隔离667.3.4ARP欺骗的防护667.3.5网络访问策4、略控制677.3.6提供外网非法URL访问过滤677.4终端接入安全设计677.4.1用户安全准入677.4.2哑终端合法性准入797.4.3AP设备合规检查808无线高体验性设计818.1接入体验设计818.1.1员工接入体验818.1.2访客接入体验828.1.3哑终端接入838.2使用体验设计848.2.1办公大楼场景设计848.2.2生产车间场景设计938.2.3仓储物流场景设计958.2.4室外回传场景设计978.2.5员工宿舍场景设计988.2.6通用型场景保障用户体验技术998.3高可用体验设计1028.3.1AC高可靠技术1028.3.2AP高可靠技术1038.3.3DDI高可5、靠技术1048.3.4服务器高可靠1048.3.5信号自动补偿1068.3.6信号抗干扰1078.3.7移动漫游设计1089无线网络智能交付及运维设计1099.1地勘设计1099.1.1地勘1099.2交付验收1139.2.1WIS智能优化1149.2.2WIS自动验收1219.3设备管理1229.3.1无线拓扑1229.3.2无线星图1239.3.3无线热图1239.3.4无线资源管理1249.3.5安全管理1249.3.6无线配置1259.4智能运维1259.4.1视图介绍1269.4.2概况预览1269.4.1无线体验分析1289.4.2无线用户分析1309.4.3无线设备分析1329.6、4.4无线指标分析1329.4.5无线数据分析13310方案核心价值13410.1场景化13410.2高安全13410.3好体验13510.4简运维13511附录13611.1无线部署规划设计13611.1.1工作频段与频点规划13611.1.2信号衰减注意事项13811.1.3服务指标注意事项13911.2锐捷中大企业行业部分成功案例14311.2.1顾家家居企业办公WLAN案例14311.2.2顾家家居企业仓储WLAN案例14611.2.3南高齿企业生产车间WLAN案例14911.3文档部分配图1521521 前言1.1 文档目的本文档是针对XX企业无线XX网络部署的技术方案，主要对WLA7、N无线网络背景知识，应用场景、总体架构、网络设备部署参数规划、安全策略规划、WLAN空中接口结构设计等进行了详细的描述，旨在将无线生产网网络部署建设工作进行标准化和规范化。1.2 目标读者本文档的目标读者主要是客户负责无线网络设计和实施的技术工程师、锐捷网络的售前工程师，售后工程师以及渠道技术工程师。2 术语和定义1、WLAN：Wireless Local Area Network，无线局域网，是通过无线通信技术将计算机设备互联起来，构成可以互相通信和实现资源共享的网络体系。无线局域网本质的特点是不再使用通信电缆将计算机与网络连接起来，而是通过无线的方式连接，从而使网络的构建和终端的移动更加灵8、活。2、AP（Access Point）无线访问点：无线终端访问有线网络的接入点，通过有线接入有线网络，通过无线射频信号跟无线终端STA通信，是无线终端与有线网络通信的桥梁。3、无线访问控制器：无线控制器通过有线网络与Fit AP相连，用于集中管理控制Fit AP。4、RF（Radio Frequency）射频：WLAN采用射频作为传输介质，实现AP与无线终端、无线终端之间的通信。5、频段：表示频率范围。在WLAN中，无线设备支持的802.11标准不同，对应的工作频段也不同，如802.11a工作在5GHz频段，802.11b/g工作在2.4GHz频段，802.11n工作在2.4GHz和5GHz9、频段。6、Wi-Fi认证：Wi-Fi全称Wireless Fidelity（无线保真），该认证是由Wi-Fi联盟（一个非盈利的国际协会）制订的，只要通过Wi-Fi认证的产品就表示可以顺利地组建无线局域网，实现与其他Wi-Fi认证产品的兼容。在Wi-Fi联盟制订的标准中，常见的有IEEE 802.11b、IEEE 802.11a、IEEE 802.11g、IEEE 802.11n等。 7、SSID：服务集标识符（Service Set Identity），在IEEE 802.11协议规定，一组提供相同无线服务的无线设备被称为服务集（service set）。SSID（Service Set Id10、entity），用于来区分无线网络，这些设备的服务集标识符（SSID）必须相同，服务集标识符是一个文本字符串，包含在发送的管理帧中。如果发送方和接收方的SSID 相同，这两台设备即可得到此服务集提供的服务进而可以通信。8、胖AP：WLAN的物理层、用户数据加密层、用户认证、QOS、网络管理、漫游技术以及其他应用层的功能集于一身，每个胖AP都是一个独立的自制系统，相互之间独立工作，管理比较复杂，一般适用于小规模应用部署。9、瘦AP：负责射频信号收发和射频扫描、802.11报文的加解密、转发、接受无线控制器的管理等功能。瘦AP上基本为“零配置”，所有功能都在无线控制器上实现，适用于大规模应用部署。11、10、IEEE 802.1X协议：是IEEE制定关于用户接入网络的认证标准，在用户接入网络之前运行，工作于MAC层，IEEE802.1x协议具有完备的用户认证、管理功能，作为一个框架性协议，IEEE802.1X支持多种认证方式，如EAP-TLS、PEAP等。11、WPA2（Wi-Fi Protected Access 2）是在2004年由Wi-Fi联盟颁布的标准，是WPA的下一代或增补版本。其包含了IEEE 802.11i所有细节和修订内容，保证了与IEEE 802.11i保持互操作性，并且在此基础了做了一些安全性、易用性的增强。它遵照NIST(National Institute of St12、andards and Technology，美国国家标准和技术研究所)的建议实现了最新加密算法AES（Advanced Encryption Standard），使用CCMP(Counter Mode with Cipher Block Chaining Message Authentication Code Protocol，计数器模式密码区块链接消息认证码协议) 作为完整性校验方式，大幅度提高了网络安全性。WPA2在加密时使用Counter Mode 模式下的AES算法，在进行身份认证和完整性检查时，则使用Cipher Block Chaining Message Authenticat13、ion Code模式下的AES算法。在2006年之后成为了Wi-Fi认证的必要条件，更成了WLAN网络的实际标准（de-facto standard），而且WPA2最终形成了802.11i的最终版本。12、CAPWAP：CAPWAP协议是无线控制器AC和无线接入点AP之间的通信协议，用于承载管理平面与数据平面流量。13. 瘦AP模式下的集中转发：在AC+AP组网的模式中，用户数据全部通过CAPWAP隧道送至AC，由AC统一做数据层面的转发。所有数据流量在此模式下必须过AC。14. 瘦AP模式下的本地转发：在AC+AP组网的模式中，用户认证数据通过CAPWAP隧道送至AC，由AC统一控制认证层面14、。AP根据SSID与有线VLAN之间的对应关系，直接将SSID中的数据转发入相应VLAN，所有用户数据流量在此模式下无需经过AC设备。3 设计目标在建设结构合理、功能完整的网络系统的前提下，本方案从功能性设计、实施和运维几个方面考虑以下内容：1、高可靠性设计：选用高可靠性设备，设计合理的网络冗余拓扑结构，制订可靠的网络备份策略，提供可供实际业务使用的相对稳定的网络服务，保证网络具有故障自愈的能力。2、可扩展性设计：所部署系统要具备扩容能力，例如AC可通过技术手段提供更高的AP管理能力，后台网络系统可提供完善的授权扩容能力等。3、网络安全设计：从用户身份认证、设备合法性检查、传输信息加密等方面给15、出方案安全保障实施要点。4、网络灵活设计：从对信号的控制，优化部署，人员接入便利性等角度优化网络，实现灵活易用。5、可管理性设计：整个系统的设备应易于管理，易于维护，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。4 方案背景“工业4.0”是2012年德国工程院、弗劳恩霍夫协会、西门子公司等德国学术界和产业界在3位德国教授倡议的基础上推动形成的。在随后的2013年德国联邦政府将“工业4.0”上升为国家级战略，并正式发布了实施工业4.0战略规划建议白皮书。工业4.0”战略旨在建立一个信息物理融合系统(CPS)网络，通过有线/无线等方式将所16、有生产企业的自动化设备、客户需求、物流仓储、生产管理、各类软件等产业链所有环节纳入其中，使工业生产实现动态监测、自我调整、人机互动并以最优生产方式完成生产实践。无线局域网(Wireless Local Area Network，缩写为WLAN)是高速发展的现代无线通信技术在计算机网络中的应用，是计算机网络与无线通信技术相结合的产物。无线局域网(Wireless LAN)技术可以非常便捷地以无线方式将生产过程中的人、设备、应用系统进行网络连接，从而方便的进行数据高速交互，实现智能的生产。无线局域网在生产现场广阔的应用前景、广泛的市场需求以及技术上的可实现性，促进了无线局域网技术的完善和产业化。随17、着工业4.0的不断深入和无线局域网技术的不断发展，无线局域网已成为工业4.0中重要的网络连接手段。为此，经过技术调研，将对利用WLAN无线技术实现业务办理进行了研究和相关测试，综合考虑分行业务需求和技术实现复杂度，制定了WLAN无线接入标准技术方案。本文档将对该方案进行详细阐述。5 问题挑战5.1 企业无线建设复杂场景下挑战一、 部署环境复杂 障碍物阻挡a) 办公室的厚墙：走廊加两侧连续办公室的场景，采用走廊放装，无法满足移动终端的体验，如果墙壁需要重新打孔、走线，将影响办公室的专修风格。对于领导办公室更是如此，因此大多数领导办公室不具备施工条件。b) 仓库高大的货架：大型仓储物流基地一般是货18、架林立及临时货堆造成无线信号遮挡，导致AP信号时有时无。c) 员工宿舍筒子型楼：员工宿舍为连续小隔间，单个房间不大。采用传统的放装AP走廊部署覆盖方案，覆盖效果不佳，体验很差无法满足员工手机，PAD终端的使用。 特殊环境a) 生产车间：弥漫的粉尘，超高高温或超低的温度（比如冷库等极限温度）、潮湿等环境，设备部署在此类环境中，容易影响设备正常运行，也给AP使用寿命带来了挑战； 无线干扰a) 密集部署环境下的自干扰：大型会议室和大开间的办公室里由于人员密集，为了满足用户的接入能力，必须进行高密度的AP部署，因无线信道本身不足的原因会带来AP自身的干扰。b) 办公室内私设WIFI的干扰：房间密集型办19、公室由于墙体和门窗的材质各异，导致房间里信号不够智能终端进行流畅的使用，办公室人员就会在办公室里私自架设WIFI小路由，造成对整体企业无线部署的干扰。二、 入网终端复杂，管理复杂 办公大楼终端情况：a) 终端主要为台式电脑、笔记本电脑、VOIP、视频会议终端和智能终端等，这其中VOIP，视频会议等其他智能终端基本都属于哑终端，认证能力薄弱，无法支持传统的认证方式，需要区别于笔记本和手机，进行单独的认证管理方式。b) 不同类型的终端在归属部门，访问权限和策略等方面要求也不一样，需要进行区分管理与监控。c) 企业里的VOIP和视频会议属于对延时高敏感的业务，需要进行业务保障。 生产车间场景终端情况20、：a) 终端主要生产过程采集终端、移动终端、条码枪、MES工控机、无线摄像头，此类终端同样也基本属于哑终端，接入认证能力弱，需要使用其他认证管理方式进行区别管理。b) 此类终端还有一个特点就是性能，能力比较弱（信号接收和发送能力都比较弱，对无线的信号强度要求至少-65db才能保障终端能稳定使用），一般来讲不能支持最新的无线技术，大多数工作在802.11b/g模式，不仅自身工作效率低，对整体无线网络的性能也有一定的影响。c) 不同类型的终端在归属部门，访问权限和策略等方面要求也不一样，需要进行区分管理和监控。 仓储物流场景终端情况：a) 终端主要为手持扫描终端或条码枪、智能平板电脑等，类似生产车21、间终端特点，不再做描述。b) 不同类型的终端在归属部门，访问权限和策略等方面要求也不一样，需要进行区分管理和监控。 员工宿舍终端情况：a) 终端主要为手机和PAD为主，少部分笔记本PC等，穿墙部署，信号难满格，手机和PAD对信号覆盖要求高，该区域使用传统的放装AP无法满足信号的覆盖要求。三、 无线业务应用复杂 办公大楼业务情况：a) 业务主要为OA、Email、网页浏览、ERP、CRM，VOIP，视频会议等业务，但是用户在上班时间使用进行大量的P2P下载，观看在线视频等高耗带宽的应用，严重抢占OA、Email等办公业务的带宽，造成无线信道带宽不能合理利用，特别影响VOIP和视频会议，导致无法使22、用，严重影响办公效率； 生产车间场景人员、业务、终端情况：a) 业务主要生产数据实时回传、设备点检、质量检测、MES排程、物料检查等，该类业务对延时敏感，网络丢包对应用造成卡顿现象明显，丢包经常会造成程序异常工作或退出 仓储物流场景人员、业务、终端情况：a) 业务主要为设备出入库管理、盘库、移库、拆零拣选等，该类业务对丢包敏感，如果受到高带宽的业务占用无线信道资源，会导致工作人员效率低下，影响工作效率关联绩效（操作员实行计件工资，网络退服时间直接影响员工绩效，极易引起投诉和纠纷） 员工宿舍场景人员、业务、终端情况：a) 业务主要以娱乐为主，主要包含视频，应用，网页，游戏等对带宽要求高；5.2 23、企业无线建设安全挑战企业无线建设安全主要在以下方面： 空口安全难管理：空气传输，看不见摸不着，数据安全如何管理? 链路窃听无保障：数据链路上如何防止窃听，盗取企业关键数据？ 终端准入难控制：不同位置/不同类型终端接入,如何获得一致的体验与权限? 用户权限难维护：用户位置多变，传统的安全策略如何应对？ 数据安全难管理：移动办公对企业数据管理提出了新的挑战？5.2.1 企业组织结构复杂，内网安全权限难以管控随着企业的发展壮大，职位分工更加明确，部门的职责也更加细化。部门精细化的同时权限也必须精细化控制，各个部门、职位拥有责任内的不同权限。如何保障公司机密不外泄，越权事故不发生的同时还要尽量提升员工24、的使用体验是对信息部门的一大挑战。5.2.2 企业无线建设身份统一认证挑战统一认证挑战：企业在使用有线网络时候，大部分没有网络准入认证，大部分客户可能有AD域控系统管理的操作系统准入管理，但在无线办公建设后，无线网络不仅要接入办公PC，还有移动终端，AD域控级别的系统准入在移动终端上不适用。基于以上原因无线网络需要部署网络准入认证，且用户在任何位置接入网络（比如员工在园区不同楼宇接入，出差途中，分公司等）网络准入的账号和密码必须是统一，且需要和原来PC准入账号密码一致。5.2.3 企业多分支漫游策略无法跟随挑战策略漫游问题：企业部署无线移动办公后，无法使用同有线网管理方法实现用户固定的策略（其25、中策略包括权限、业务流、应用安全策略、应用策略）和体验（体验包括对优先级、带宽和VPN资源预留策略）。客户为了保障内网数据安全和互联网出口网络服务质量，在有线网络办公场景中，信息中心一般会对不同部门规划不同的IP地址，然后根据IP地址在数据中心边界和互联网出口部署具体的策略（其中策略包括权限、业务流、应用安全策略、应用策略）和体验（体验包括对优先级、带宽和VPN资源预留策略）。在无线办公场景中，由于员工随意移动，任意位置接入网络（比如员工在园区不同楼宇接入，出差途中，分公司等），获取的IP地址会随机变化，无法再根据有线网络的管理方法来实现用户固定的策略（其中策略包括权限、业务流、应用安全策略、26、应用策略）和体验（体验包括对优先级、带宽和VPN资源预留策略）。5.2.4 企业访客网络安全可控挑战企业经常会有领导、客户、合作伙伴、供应商等的接待工作，在网络高速发展的今天，访客往往会要求使用网络。对于企业来说，开放内部网络会面临企业信息安全的问题，同时如何开放、如何管理访客接入网络也是一件头痛的事情，所以企业WLAN需要一个安全，可控，可管的访客网络系统。5.1 企业无线建设用户体验挑战无线使用不比有线，无线用户使用的体验来源于多个方面，比如无线用户接入认证体验不好，办公使用办公软件（OA，mail，erp等），视频会议、VOIP等体验差，无线基础设施高可靠不行导致网络断断续续都会给企业无27、线使用的用户带来体验的挑战。用户接入认证体验挑战：无线电磁波在空气中随意发射，任何人都可以自由的连接无线，势必会给企业的安全带来隐患，所以在无线部署的同时，必须在无线网络上开启认证，简单的认证用户使用体验好，但是安全性又差，如何能够保障用户使用体验好的同时，安全性高，同时成本可控是一个挑战。办公使用应用业务体验挑战：无线因为是在空气里传输的电磁波信号，非常容易受到环境的影响，比如办公室里有微波炉和蓝牙设备存在都会对无线存在较大的性能应用。无线网络相当于半双工的网络，移动用户多，应用种类多，单一用户或者应用长时间的占用网络，会影响整体网络的性能，特别对办公的视频会议，语音电话会造成比较大的影响。28、网络中由经常使用视频的用户，因为流量大，突发大，占用的空间信道大，且一直占有，会导致整个无线用户的体验跟着下降，这点与有线网络运行的机制很大不同，要想保障使用无线网络同有线网络一样的体验，将会是一个巨大的挑战。无线基础实施高可靠性挑战：无线网络是否稳定可靠，AP，AC，认证准入系统，DHCP系统等关键系统故障都是对无线网络的整体使用影响比较大，如果在无线基础设施建设的时候，充分考虑的关键组件的高可靠备份也很关键。5.2 企业建设规划与运维挑战无线网络从前期的建设规划，到中期的网络优化交付，再到后期运维管理，每个过程都需要耗费大量的人力资源，且专业性要求度极高。前期的地勘点位选择将直接影响后续的29、无线体验，点位选错，调优也无法保证用户体验；中期网络优化，工作量直接跟网络规模正正比，无线专业度高，非专业人员无法进行现场调优；后期的管理运维，面对用户“时好时坏”的无线体验，即使投入大量人力资源也搞不定建设规划难度翻番1) 地勘难度大：为了保障后续无线部署后的信号强度，无线建设前期都需要进行地勘，一是确认AP的数量，二是确认信号强度，为了达到以上2个效果，需要拿AP到当地进行实地信号测试（取电，测试AP的部放都是比较头痛的问题），需要耗费大量的人力资源，且此项工作做得好坏直接影响后续无线的部署效果。2) AP信道规划难：当企业部署的AP规模越大，无线信号覆盖范围越大的时候，信道的规划往往是比30、较头痛的问题。3) AP信号强度规划难：因为无线信号是看不见摸不着的，在地勘的时候也只能对信号的大体点位进行信号强度评估与规范，无法全面有效的整体评估AP的部放点位和数量来评估整体的无线信号强度。仅仅靠经验和感觉，对实施部署人员的经验要求比较高。4) AP点位规划难：AP部署到什么位置，在后续维护中都需要用到，前期都需要详细的规划用表，作为后续维护的关键数据，无线AP部署动辄成百上千，都要和具体的位置对应起来，而AP部署不比有线统一在弱电井，无线都是放到棚顶里面，看不到不好找，是后续维护的一大难题。5) AP名字规划难：后续维护中可以根据AP的名字和位置来对应具体的故障位置，前期也要做好非常详31、细的规划，有线没有这个要求。业务优化挑战1) 信号覆盖挑战，通过地勘测试，完成部署后，存在信号覆盖问题，此时需要针对特定的区域进行该区域的AP信号的个别调整，光是找该区域对应的AP就不是件容易的事情。2) 用户带宽保障：无线采用的是CSMA/CA的机制，用户之间相互共享这个AP的带宽，当有用户长时间占用无线信道时，势必会造成该AP上其他用户的使用体验。3) 开启5GHz优先？调整RSSI门限？这些都是非常专业的无线领域的知识，参数调整需要无线建设和维护有相当经验的人才能把握。Wi-Fi故障定位复杂1) 终端设置判断：无线终端类型各种各样，终端又包含操作系统和无线网卡本身，都能影响到无线的使用，32、所以在后续维护过程中，本身对终端设置和排查就是一项非常麻烦的事情。2) 无线干扰排除：无线看不清摸不着，容易与环境中其他同频设备发出的信号相互干扰，此时看到的现象时信号很好，网络使用体验较差，寻找干扰设备也不是件容易的事情。3) 无线AP故障：某个区域AP故障了，周边AP能自动信号补偿，用户冒事看着也能用，但是体验下降了，管理员无法主动感知，而用户不爆故障就会一直降低体验的使用，事后评估无线不好用。4) 无线认证失败排查：个别用户无线认证失败排查和大面积用户认证失败排查，第一种多出在个人终端上，需要进行终端问题排查，第二种多出在设备和认证系统上，都需要专业的人员进行排查。5) AP上线故障：A33、P经常掉线，上不了线，需要到AP端去进行排查，此时找AP部署位置就会比较麻烦。而且此类故障必须到现场进行排查，给排查也带来了麻烦，而有线则不存在此问题。6 解决方案架构设计6.1 企业无线场景一、 办公大楼人员、业务、终端情况： 人员主要为行政管理、市场营销、财务部门、技术及开发，权限管理难； 业务主要为OA、Email、网页浏览、ERP、CRM等，办公业务体验难； 终端主要为台式电脑、笔记本电脑、VOIP、视频会议终端和智能终端等。二、 办公大楼环境特点及问题： 大开间场景：主要存在“信号存在盲区问题”； 会议室、报告厅场景：高密度接入干扰大，体验差； 领导办公室场景：“施工复杂，无线布线难34、，影响美观”； 接待大厅场景：“访客管理，安全问题”。三、 生产车间场景人员、业务、终端情况： 人员主要为工人、生产管理和质量管理等人员； 业务主要生产数据实时回传、设备点检、质量检测、MES排程、物料检查等 终端主要生产过程采集终端、移动终端、条码枪、MES工控机、无线摄像头四、 生产车间环境特点及问题： 环境恶劣：高温、低温、粉尘、潮湿等环境，影响设备正常运行； 移动终端漫游掉线：漫游性能良莠不齐，移动过程经常丢包掉线； 数据采集点网络难覆盖：生产数据、能源数据采集点过于分散，网络难覆盖；五、 仓储物流场景人员、业务、终端情况： 人员主要为库房管理人员； 业务主要为设备出入库管理、盘库、移35、库、拆零拣选等； 终端主要为手持扫描终端、智能平板电脑等。六、 仓储物流场景特点及问题： 信号遮挡：货架林立及临时货堆造成无线信号遮挡，信号时有时无，影响工作效率； 手持终端断线：手持终端移动过程经常断线重连，影响工作效率； 网络不易连接：室外场景容易取电，但不易连接到网络七、 员工宿舍场景人员、业务、终端情况： 人员主要为公司员工，成本很关键 业务主要以娱乐为主，主要包含视频，应用，网页，游戏等对带宽要求高； 终端主要为手机和PAD为主，少部分笔记本PC等，穿墙部署，信号难满格，手机和PAD对信号覆盖要求高。6.2 企业园区无线网络逻辑划分基于上一章节无线场景进行无线网络逻辑划分，大概可以划36、分为以下几张逻辑网络，网络访问和建设可以参考划分逻辑网络。一、 办公大楼区逻辑网络： 无线办公网：独立于有线网络，新建AC,AP基础设施，并在该基础设施上规划一个SSID，成为一张逻辑网络，员工连接该网络，主要访问为公司OA、Email、ERP、CRM等业务系统，也有可能通过该网络进行互联网访问（根据需求进行设置）。 访客网络：一般在物理的AC,AP基础设施上单独规划一个SSID，成为一张逻辑网络，访客连接该访客网络，一般只能访问互联网。二、 生产车间区逻辑网络： 生产网：在同一套物理的AC,AP基础设施上单独划分一个SSID，成为一张逻辑网络，生产线上的特定的终端连接该网络（因为该SSID专37、为特定终端连接，多数情况下该SSID设计为隐藏状态），完成生产数据的采集和上传。 办公网：同办公大楼内的办公网。三、 仓储物流区逻辑网络： 业务网：在同一套物理的AC,AP基础设施上单独划分一个SSID，成为一张逻辑网络（也有可能是一套独立于办公网无线网的另外一套独立的物理无线网络），主要应用为公司库房管理人员，使用手持扫描终端、智能平板电脑为设备出入库管理、盘库、移库、拆零拣选等。 办公网：同办公大楼内的办公网。四、 员工宿舍区逻辑网络： 互联网：该区域的AC,AP部署主要为员工娱乐用，只需划分一个SSID专用做娱乐即可，只允许访问互联网。五、 室外区： 室外回传网：主要是将特定生产数据、能38、源采集数据、视频监控等数据回传到数据中心，一般为WIFI的WDS技术和4G技术进行室外回传组网。6.3 AC集中式部署架构设计6.3.1 总体架构设计总体架构介绍： 在总部园区部署一套SMP认证管理系统，同时SMP支持集群部署。 总部园区同时有统一的身份系统，比如AD，OPEN LDAP或第三方数据身份系统，如果没有则需增加一套IPC系统。 总部园区部署一套AC控制器，同时AC控制器支持热备或虚拟化部署，对在总部园区和分支机构部署的AP进行集中管理。 总部园区部署一套RG-SNC无线管理软件系统，实现对整网的AC,AP进行集中管理。 总部园区部署一套RG-WIS无线智能服务系统，实现对整网无线39、的使用体验进行优化。 总部园区部署一套DDI系统，实现对整网无线用户进行地址分配管理。 总部园区认证管理系统SMP和总部园区AC对接，实现公司所有用户的准入认证。 公司所有用户的准入认证身份数据通过总部园区部署的SMP认证管理系统去园区的统一身份系统读取（首次）。 总部与分支之间的链路，使用专线对办公、生产业务的数据进行传输，或使用“互联网链路+IPsec VPN”技术对办公、生产业务数据进行传输或备份传输。此种模式主要适用分支机构比较少的企业机构。6.3.2 总部分支VPN互联设计基础部署“采用互联网链路方案作为分支之间传输链路时“：分支与总部采用主流的IPSec VPN技术进行总分互联，通40、过互联网线路构建虚拟局域网为各业务系统提供跨广域网的安全环境。 总部采用两台RG-EG系列网关，分支机构与总部的两台设备建立IPSec VPN，互为备份。总分VPN网关均可以选择出口NAT模式或者单臂旁路部署。 业务优化： 总部与分支间应用传输主要是受到了延迟、丢包以及应用协议传输效率低下的影响。其中，延迟和丢包是广域网传输固有的属性，由于总分之间的地域因素、各地分支出口运营商不同、运营商线路质量参差不齐等原因，无法消除，但是我们可以尽量减少它们对传输所带来的影响。 RG-EG网关通过数据优化、TCP优化、协议化化等手段，提高VPN隧道内的数据交互效率，提升总分间的办公体验。 TCP优化：减少41、总分之间上传输信息所需的往返次数，减少不必要的重传，同时维持传输的可靠性，改善慢启动和拥塞避免对应用吞吐量的影响，提高对总分链路间带宽的利用率。 数据优化：包括数据压缩和重复数据删除技术，减少总部与分支间数据传输量，更大程度的利用宝贵的带宽资源。 应用协议优化：利用缓存、预取以及数据批量发送等技术提高应用在总部与分支之间的传输效率，增强用户体验。常见办公应用的加速范围（线路质量越差，可加速潜力越大）6.3.3 AC架构部署设计总部园区与分支使用专线场景AC架构设计：总部园区AC设计：将AC集中在总部园区的情况下，一般可以选择热备或者AC虚拟化模式进行部署，对2种部署模式的对比如下： AC热备部42、署：AC热备部署满足WLAN无线网络的高可用性要求，无线组网设计部署2台无线控制器（AC）组成1+1热备的方案，可以设计为AA模式或者AS模式，当任意一台AC故障，另外另外一台都能无缝切换，用户感知不到网络故障。 AC虚拟化部署：AC虚拟化部署能够实现AC热备部署的所有功能情况下，且对AC的配置和管理都视为一个AC设备，管理和配置起来更加方便。另外一个优点是AC热备不具备的，可以在线扩展AC，无需中断业务。通过对比两种模式的优点，当在总部园区对AC采用集中部署模式时，推荐采用AC虚拟化的部署模式。AC转发模式设计：分支机构：因分支结构用户连接上AP后，访问互联网流量从本地分支互联网出口进行转发43、，故在AC转发模式的设计上，必须选择本地转发。总部园区：总部园区无线访问互联网和访问本地数据中心一般都需要经过总部园区核心交换机，故总部园区在AC转发模式设计上集中转发和本地转发都是可以的。总部园区与分支使用互联网线路架构采用互联网线路进行互联，总部与分支需要在互联网的链路上建立IPsec VPN，IPsec VPN的设计参考“参考总部分支VPN互联网设计”。如果总部园区与分支采用互联网线路进行互联，那么总部园区AC与分支的AP建立的CAPWAP隧道嵌套“互联网线路+IPsec VPN隧道 ”里。6.3.4 身份统一认证与漫游设计集中式认证部署设计： 统一进行用户和策略管理 企业所有用户在第一44、次认证的时候，将用户账号密码自动从AD域或者第三方统一身份系统同步到SMP系统； 该模式部署支持员工的访问权限控制策略&QOS策略&接入控制策略漫游。统一认证集中式部署适合于中小企业应用场景：中小架构企业，可以直接在总部园区部署SMP。建议部署两台SMP组成集群并实时同步在线用户等信息。SMP也可以和AD，LDAP，数据库等第三方数据源对接，实现账号同步。总部园区园区SMP和总部AC对接，实现全国所有分支机构员工的认证。正常情况下主SMP对外提供服务，当主SMP故障时，备SMP自动接替主SMP，并对外提供服务。6.3.5 策略随行设计QOS策略设计为了保证企业网络环境中关键业务的用户体验，RG45、-EG网关能够对4到7层的网络应用进行识别，用户按照业务的重要程度，支持8级带宽优先级，合理分配合适的网络带宽资源，针对不同应用、人员分别指定不同的保证带宽及上限带宽，这样能够更好的保障总部与分支的业务开展。通过与统一的身份认证系统对接，可实现针对总分各地均有办公需求的人员的指定应用，匹配身份，无论在任何分支均提供预先设计的带宽保障。专线模式QOS策略设计SMP集中部署模式+出口EG部署 SMP统一进行用户和策略管理 用户认证时，ESS/SMP从统一身份系统（AD）读取用户部门组织信息，认证成功并同步至出口网关设备； 在各出口EG上预先设置基于“部门用户组”访问总部数据中心的访问策略和访问互联46、网QOS策略； 用户认证成功后，基于“部门用户组”匹配用户身份，实现基于用户身份的QOS和访问权限策略互联网线路模式QOS策略与此类似，设计省略。用户访问权限控制设计方案一（AC上进行访问策略执行）专线模式访问权限控制设计（AC上策略执行点）访问控制权限需求：访问控制权限是指用户接入无线网络后，对园区数据中心业务访问时，客户需要基于不同部门人员访问不同业务系统有控制需求，且该员工不管在总部还是分支机构接入无线网络时，其访问数据中心业务控制需求是不变的。员工访问控制权限设计：分支机构：公司人员在分公司接入时，在总部园区SMP认证管理系统上认证成功后，SMP基于该员工所属的用户组下发一个访问策略名47、给AC(通过标准的Radius属性)，由于AC在分支机构AP采用的是本地转发模式，实际该访问策略的执行点是用户所属接入的AP点上。总部园区：当员工在总部园区接入无线网络时，同样在总部园区部署的SMP认证管理系统上完成认证，通过标准radius属性下发该用户对应部门的“策略名”给AC，如果总部园区采用的是集中转发策略，那么最终策略是在AC上执行，如果是本地转发模式，那么和分支机构一样。备注：SMP下发的“策略名”对应的具体的策略条目，需要在AC上事先进行预配置，当用户认证成功下发“策略名后”，则该用户就动态关联了该策略名对应的访问策略。如果园区不是锐捷AC控制器则需要支持标准的“radius 148、1号属性”。则可以统一在SMP上进行认证和访问权限控制。集中转发需关注AC控制器策略容量，本地转发需关注AP接入点策略容量。漫游人员访问控制权限设计：集中式部署模式，所有用户身份分组信息都同步到SMP认证管理系统中，针对不同的用户组设计的访问控制权限策略名始终保持不变。所以在集中统一部署SMP的场景下，只需统一考虑用户组的策略即可，无需考虑用户漫游变化。访客访问控制权限设计：在分支机构和总部园区统一规划一个访客SSID，访客用户通过员工授权或者二维码扫描或者微信连接wifi等多种方式接入后，只允许访问互联网。方案二（出口网关EG上进行访问策略执行）专线模式访问权限控制设计（出口网关EG上执行策49、略）出口网关统一执行策略 在各出口EG上预先设置基于“部门用户组”访问总部数据中心的访问策略和访问互联网QOS策略； 用户认证时，ESS/SMP从统一身份系统（AD）读取用户部门组织信息，认证成功并同步至出口网关设备；、 用户认证成功后，基于“部门用户组”匹配用户身份，实现基于用户身份的QOS和访问权限策略。互联网线路访问权限控制策略类似，设计省略。6.4 AC总分式部署架构设计6.4.1 总体架构设计总体架构介绍： 总部园区部署一套AC控制器，同时AC控制器支持热备或虚拟化部署，对在总部园区AP和分支机构部署的AC进行集中管理。 大型分支机构部署自己AC和AP，AC对分支机构AP进行本地管理50、，同时该AC接受总部AC的管理。 在总部园区部署一套SMP认证管理系统，同时SMP支持集群部署,与园区AC进行对接认证，负责总部园区无线用户的认证和策略管理； 在大中型分支机构分别部署ESS认证系统（小型分支依然集中到总部园区进行认证和策略管理），与本地部署的AC进行对接，负责本分支无线用户的认证和策略管理（接入控制策略和访问控制策略）。 总部园区同时有统一的身份系统，比如AD，OPEN LDAP或第三方数据身份系统。 在总部园区部署一套IPC身份策略管理系统，总部园区部署的SMP或分支机构部署的ESS取本地认证系统不存在的用户时，统一指向该IPC，IPC系统与园区现有的统一身份系统进行对接，51、并将账号信息按组织机构下发给SMP和各分支ESS。 总部园区部署一套RG-SNC无线管理软件系统，实现对整网的AC,AP进行集中管理。 总部园区部署一套RG-WIS无线智能服务系统，实现对整网无线的使用体验进行优化。 总部园区与大型分支各自部署一套DDI系统，实现对各自无线用户进行地址分配管理，建议整个公司依然统一IP地址规划。 总部与分支之间的链路，使用专线对办公、生产业务的数据进行传输，使用“互联网链路+IPsec VPN”技术对办公、生产业务数据进行备份传输。此种模式主要适用分支机构规模较大的企业机构，小型的分支机构可以参考集中模式，两种模式可以混合部署，其中大型的分支机构采用分布式，小52、型的分支采用集中式部署。AC分布式部署对应的ESS也是分布式部署，目前暂无实现用户策略漫游（访问控制策略&QOS策略&用户接入控制策略），必须是ESS/SMP集中部署才能实现上述策略的漫游。6.4.2 总部分支VPN互联设计参考“AC集中式部署架构设计”章节“VPN互联设计”部分6.4.3 AC架构部署设计总部园区与分支使用专线场景AC架构设计：总部园区AC设计：参考集中部署模式的分析推荐总部园区AC采用虚拟化技术进行部署，对总部园区AP进行管理的同时，对分支机构的分支AC进行管理（依据企业内部的管理方式决定）。分支机构AC设计：中大型分支：中大型分支由于本地AP部署较多（一般超过50，此类规53、模的AP部署，分支机构人员规模超过1000人），推荐在本地部署分支AC，对本地AP进行管理和用户的接入认证。避免过多的AP和AC以及用户认证的交互报文通过互联网或专线传送到总部园区。此分支AC可以直接被总部的中心AC进行管理和配置，可以根据分支机构IT人员水平进行灵活的规划。小型分支机构：参考集中式部署模式，此种类型的分支架构在本地不部署AC控制器，AP统一由总部AC进行管理，认证也是在总部的center AC上进行。如果此类分支出口采用了锐捷公司EG680P系列的出口网关产品，可以将本分支的AP管理功能交由EG680P系列网关来兼管，认证则在EG680P系列网关上进行。AC转发模式设计：分支54、机构：因分支机构部署了分支AC，用户连接上AP后，访问互联网流量从本地分支互联网出口进行转发，故在AC转发模式的设计上，选择本地和集中转发都是可以的。部分小型分支没有部署AC的场景下，此分支的AP还必须设计成本地转发模式。总部园区：参考6.3.3章节中总部园区AC转发模式设计部分。总部园区与分支使用互联网线路架构：采用互联网线路进行互联，总部与分支需要在互联网的链路上建立IPsec VPN，IPsec VPN的设计参考“参考总部分支VPN互联网设计”。如果总部园区与分支采用互联网线路进行互联，那么总部园区AC对分支的AC的配置以及RG-SNC/WIS对分支AC，AP管理流量等封装“互联网线路+55、IPsec VPN ”里，其他部分没有变化。6.4.4 身份统一认证与漫游设计分布式部署设计：针对于大型分支机构，在总部部署IPC和SMP，各省分支机构分别部署SMP，同时SMP支持集群部署。 IPC集中对所有分支机构的账号信息进行统一管理，也可以和AD，LDAP，数据库等第三方数据源对接，实现账号同步，并将账号信息按组织机构下发给各分部SMP。分支机构的SMP和本地AC对接，实现本地用户的认证。当用户需要漫游时，漫游区域的SMP没有漫游用户的账号信息，那么漫游区域的SMP会主动到IPC上进行认证。统一账号园区漫游开启漫游功能让用户在企业网内使用同一帐号即可登陆，免去记录多个帐号，并能提供一致56、的实名制日志由于认证系统分布式部署暂未实现策略（访问控制策略，QOS策略，用户认证接入控制策略）漫游，AC分布式部署场景下，如果要实现以上需求，SMP/ESS还得使用集中式部署，部署模式参考6.3.4章节。6.4.5 策略随行设计QOS策略设计QOS策略主要是在总部园区和分支机构出口进行设计，AC总分式和集中式两种部署模式对出口设备设计没有区别，因此本章节参考6.3.5章节的QOS策略设计即可。用户访问权限控制设计分布式部署访问权限控制设计访问控制权限需求：访问控制权限是指用户接入无线网络后，对园区数据中心业务访问时，客户需要基于不同部门人员访问不同业务系统有控制需求，且该员工不管在总部还是分57、支机构接入无线网络时，其访问数据中心业务控制需求是不变的。员工访问控制权限设计：分支机构：公司人员在分公司接入时，在总部园区SMP认证管理系统上认证成功后，SMP基于该员工所属的用户组下发一个访问策略名给AC(通过标准的Radius属性)，如果分支AC在分支机构AP采用的是本地转发模式，实际该访问策略的执行点是用户所属接入的AP点上，如果分支AC在分支机构AP采用的是集中转发模式，那么访问策略的执行点在分支AC上。总部园区：当员工在总部园区接入无线网络时，同样在总部园区部署的SMP认证管理系统上完成认证，通过标准radius属性下发该用户对应部门的“策略名”给AC，如果总部园区采用的是集中转发58、策略，那么最终策略是在AC上执行，如果是本地转发模式，那么访问策略则AC上执行。备注：SMP下发的“策略名”对应的具体的策略条目，需要在AC上事先进行预配置，当用户认证成功下发“策略名后”，则该用户就动态关联了该策略名对应的访问策略。如果园区不是锐捷AC控制器则需要支持标准的“radius 11号属性”。则可以统一在SMP上进行认证和访问权限控制。集中转发需关注AC控制器策略容量，本地转发需关注AP接入点策略容量。漫游人员访问控制权限设计：公司员工从分支出差到总部或其他分支时，用户认证接入到当地的无线网进行认证时，本地没有该用户的信息，从IPC同步过来，在本地ESS系统里显示为访客，目前会按照59、统一访客授权给该漫游的员工。需要IPC/ESS/SMP进行相关场景的开发。访客访问控制权限设计：在分支机构和总部园区统一规划一个访客SSID，访客用户通过员工授权或者二维码扫描或者微信连接wifi等多种方式接入后，只允许访问互联网。6.4.6 架构说明集中部署总部运维成本高采用集中式部署的方式，整个企业账号管理及认证由总部统一维护。总部运维成本较高。 链路可靠性要求较高AC集中部署在总部，分支的AP与AC通讯对链路要求较高；认证服务器集中部署在总部，对链路要求比较高。分布式部署总部运维成本低，分支自行运维。采用分布式部署的方式，通过IPC对整个机构（如金融，保险, 大型企业等）账号统一的管理，60、各分支机构自行维护SMP。对现有网络影响最小的部署方案。分布式部署对于分支机构与总部之间的线路要求很低，基本上只要三层能通，就可以部署实施，因为IPC与分支SMP之间同步的数据量很小，采用定时同步和触发同步结合的方式，对线路要求降到最低，可穿越NAT环境（分支机构在NAT以内）。本地认证，提高性能，减少故障影响采用分布式部署加本地认证的方式，认证服务器在本地，提高认证的速度，增强性能。同时采用分布式部署，将服务器故障带来的风险降到最低，不会因为某个服务器瘫痪带来大面积断网。6.5 方案组件介绍6.5.1 无线控制器AC（Access Control）作为瘦AP架构的核心，无线控制器实现对所有A61、P的集中化控制和管理，所有配置都在无线控制器上完成，AP通过自动发现机制关联上无线控制器以后，自动和控制器同步Firmware版本，自动下载无线配置，无需对单个AP进行配置。为了降低AP间的同频干扰和邻频干扰，无线控制器能够根据无线环境自动规划AP的功率和信道。为保证无线网络的可靠性，无线控制器通常采用高可用架构，使用1+1冗余或者N+1冗余。无线控制器可以实现根据无线用户输入的用户名、密码信息以及接入设备类型信息，结合无线用户接入的AP位置以及接入时间，无线控制器和统一认证平台进行交互，实现无线用户的认证和授权。无线控制器还具有一些增强特性，比如无线控制器能够根据用户终端的类型，保证无线用户62、无线信号的稳定性并选择最合适用户接入的无线频段，对非法用户的DDOS等攻击进行自动检测与防御等。 6.5.2 认证系统（SMP/ESS服务器）认证系统（AAA服务器）主要负责进行用户的访问认证。其接受无线控制器传递过来的用户名、密码以及无线用户的设备类型等各种信息并进行用户合法性认证，无线控制器根据认证系统返回的认证结果决定是否允许无线用户接入网络。RG-SMP（安全管理平台）是分支机构中的用户身份及策略服务器。在SMP上，保存着由IPC下发下来的用户的身份信息，用户在接入网络之前，需要在SMP服务器上通过认证，以保障用户身份的合法性。SMP支持多种认证方式：802.1x认证，portal认证63、，证书认证，短信认证，MAC快速认证，访客二维码认证，TACACS+认证，微信认证，微信连wifi等，应对不同的应用场景。RG-IPC（Identity Policy Center身份策略中心）是分布式部署的核心组件，整个机构（银行，保险，证券等）中所有要入网的用户的身份存储于IPC服务器。如果是与第三方身份对接，IPC承载对接的功能，并由其下发给分支机构（分行，分支机构）。当分支机构间用户需要漫游时，IPC同时接受漫游用户认证请求。6.5.3 无线接入点AP（ Access Point）无线用户通过无线接入点AP接入无线网络，无线接入点采用瘦AP，以保证无线网络的快速部署以及快速切换。瘦AP64、遵循标准CAPWAP协议与无线控制器进行通信，CAPWAP隧道可以根据要求使用DTLS加密或者不加密。瘦AP在收到无线用户的上行数据包以后，会采用WPA或者WPA2安全架构进行 AES加密，将数据包封装在CAPWAP隧道里发给无线控制器。无线控制器收到目的地是发送给无线用户的IP数据包后，同样通过CAPWAP隧道封装之后发给瘦AP，瘦AP再根据设定的加密类型通过WPA或者WPA2安全架构进行AES或者TKIP加密后发给无线用户。无线接入点AP可以采用单频AP或双频AP，单频AP工作在2.4GHz频段，双频AP可以同时工作在5GHz和2.4GHz频段。2.4GHz频段共有3个非重叠且频宽的20M65、的工作信道，5GHz在中国有13个非重叠且频宽为20M的工作信道。无线接入点AP可以同时支持或者部分支持多种802.11b、802.11a、802.11g、802.11n、802.11AC等协议，802.11b工作在2.4GHz频段，最高物理速率为11Mbps，802.11g工作在2.4GHz频段，最高速率为54Mbps, 802.11a工作在5GHz频段，最高速率为54Mbps, 802.11n可以工作在2.4GHz频段和5GHz频段，目前最高速率可以到450Mbps，802.11ac可以工作在5GHz频段，目前最高速度1.3Gbps。6.5.4 无线管理系统（RG-SNC-WLAN）本项目66、无线网络管理系统采用集中式部署模式，即在总部园区部署WLAN管理系统，以实现所有园区和分支WLAN设备终端管理和维护。管理系统包括配置管理、故障管理和性能管理等功能，实现无线网络整个生命周期的管理，包括实施前的无线网络规划功能、实施中的网络监控和用户监控功能、实施以后定期的无线用户报表生成以及无线用户故障的故障诊断功能。对AP以及用户的状态进行实时监控。具有详细的当前数据和历史数据，能够根据要求出具完备的网络和用户的无线性能报表以及无线安全报表；网管平台具有无线故障排查的协助工具，以缩减故障诊断时间。6.5.5 无线智能服务平台（RG-WIS）WIS(Wireless intelligent 67、service),无线智能服务平台，是无线产品统一线上服务平台,打通无线产品从交付到运维各阶段需求。l WIS WIS是一款独一无二的无线网络运维系统,专注极致的用户体验。将看不见的无线网络可视化,用智慧的“大脑”做自动网优,且紧随互联网+潮流,变革交互方式,可支持微信,APP 做移动运维,且对外开放接口,支持自定义,让网络运维变得轻盈便捷无限可能。无线网络智能运维解决方案合集,完整的客户无线网络体验运维服务,包含单一客户视图及对运营投资方 的分级视图。一键预览、一键体检、一键诊断、一键网优、一键报告、一键防御、一键升级等快捷功能, 满足从交付到防御式运维和呈现的所有需求。用于项目交付和运维阶68、段,可选择云端部署或者本地部署两种方式。 l 云地勘免安装,免授权,项目初期部署规划工具。环境识别,方案推荐,信号仿真,报告导出,且支持多人协作 进度跟踪等便捷功能。 用于项目初期规划阶段。 l WiFi 魔盒 移动端 WiFi 检测,诊断,优化工具。支持交付验收阶段的实施规划和设备二维码扫一扫录入,Telnet和蓝牙遥控设备等功能;且支持验收阶段所需专业测试:包含漫游测试,单点测试,Ping 测试,一键验收 报告导出等。 手机APP,用于项目交付实施和运维阶段,且可满足日常 WiFi 检测需求(非专业人士可用)。l WIS云服务官网WIS 云服务官网()即 WIS 云服务运营中心。WIS 家69、族产品最新资讯和更新发布,产品论坛,客户项目管理中心,数据中转站。l 锐捷无线百科微信公众号，充当着两个重要角色。一，无线“果壳” ，分享无线基础知识和无线最新资讯，坚持原创，用通俗易懂的表达解释专业知识；二，口袋里的无线运维工具，接入WIS的项目即可通过无线百科实时关注网络运行状况，满足网络问题实时告警和运行日报定期发送等。TIPS：适合所有对无线有兴趣的人和已接入WIS的用户，只需关注公众号。l WiFi 侦探PC端网卡优化、网卡监控、以及网络问题诊断工具。可直观呈现终端网卡的各项参数指标，包含空口时延，速率，信号强度，上下行速度，同频干扰数等；对网卡的能力给出基本评价；记录无线网卡体验的70、关键事件；提供基本测速功能。TIPS：PC版小软件，Windows操作系统。用于项目交付和运维阶段，且可满足一般用户无线网络优化需求（非专业人士可用）。6.5.6 出口业务网关（VPN网关） IPSec VPN组网： 总部与分支采用的出口业务网关RG-EG系列产品，为总部、分支间的IPSecVPN组网方案，同时针对总部中心端提供SSLVPN移动办公接入，针对分支机构提供精准流控、上网行为管理、智能选路、实名认证等全方位的业务保障方案。广域网优化：总部与分支均采用支持广域网优化技术的RG-EG系列网关，通过数据优化、TCP优化、应用优化技术和带宽管理，使总分之间的文件传输更快，分支打开办公业务速71、度提升2至10倍，关键业务带宽充分保障。SSL VPN拨入：提供SSLVPN功能，可通过网页或Windows、Macos、IOS、Android等平台app随时、随地接入办公网络，方便出差等远程办公人员。部署模式选择：根据各分支的需求，提供串接与旁路不同的部署模式，也可满足分支的上网行为管理、出口选路等需求。6.5.7 DDI（DHCP、DNS服务器）DHCP、DNS作为网络的基础服务，是网络正常运行的基础，当前，通过购买服务器安装Windows ServerLinux等解决方案在可靠性、功能性、运维等方面均存在诸多问题。本项目采用RG-DDI网络核心服务设备，是一款融合极致智能DNS、增强型72、DHCP服务器、可视化IP地址管理的硬件产品，提供统一图形化管理界面，丰富的DNS和IP审计报表，简化DNS、DHCP服务的运维管理。高性能，IP地址秒取通过RG-DDI产品，提供3K个IP地址/S的分配能力，基本网络中IP地址秒分配。同时，支持DHCP OPTION43,OPTION138选项，能够完成AP的零配置上线。AP和STA的DHCP配置不需要再集成在AC等产品中，很好的解放了AC，专业的产品做专业的事情，无线网络整网稳定可靠性更高。DHCP双机热备提供双机热备，状态信息实时同步，保障DHCP服务的可靠性。地址池可视化管理和及时告警自动实现IP+MAC+端口+主机名绑定，3步轻松完成73、部署一键授权新用户，新终端入网安全又快捷，能够自动推荐空闲的IP地址。实时监控DHCP地址池使用率，超出使用率阈值发送提醒地址易扩容（地址池超级域）在使用了AC三层漫游方案中，员工一般会采用终端记忆自动登录功能，在企业入口位置，上班期间终端进入该区域会无感知的连接网络，即使到了各自办公区域，IP地址也不会释放，导致企业入口位置终端地址池会大量被使用，会出现地址池溢出的情形。RG-DDI支持地址池轻松扩容方案，出现上述情形后，只需要配置需要的网关设备上次地址，在RG-DDI上配置超级地址池即可完成扩容，整个网络结构不需要改变。 DNS可靠专业的设备，十多年的专业硬件平台和RGOS系统，拥有多种防74、攻击技术。支持双机备份。支持内部DNS大容量缓存技术，大大提升访问体验。入站智能DNS，提升外部访问体验对于提供了外部网站，对外网上办理业务的企业有效。内部会有自己的各种域名服务器，且网络中部署了多个不同运营商的出口线路。入站智能DNS解析，根据用户运营商属性返回相应的服务器运营商公网IP.，使得外部客户访问企业网络无跨运营商问题，大大提升了访问速度。DNS多出口链路优化与出口网关（RG-EG系列网关、RG-RSR77系列路由器以及其他品牌出口设备）联动，根据各条线路的带宽比或负载率信息自动分配DNS请求，均衡各条线路之间的流量。提供DNS链路自动探测DDI设备可以借助于PING和DNS的解析75、过程，实现出口设备质量检测，出现异常能够及时切换到可用路径。7 方案核心价值7.1 场景化根据企业场景设计，针对办公大楼、生产车间、仓储区、员工宿舍及室外场景提供针对的解决方案，解决信号覆盖、漫游、环境适应性等问题，为各个场景提供优质的无线覆盖。客户价值：1) 更加贴近实际使用场景。从制造业中的实际场景出发，提出针对解决方案，方案更加适合制造业客户。2) 全场景解决方案。针对制造业客户中可能出现的场景，提供全场景的解决无线解决方案7.2 高安全从“严苛的准入、主动式射频防御、安全域隔离”三大安全要素着眼，提供802.1x、web portal无感知认证及二维码扫描和微信认证，并通过主动射频扫描76、，发现钓鱼wifi、流氓wifi、私接wifi等安全隐患并告警。AP虚拟化可以利用在物理AP上虚拟出两台虚拟AP，实现员工和访客的业务隔离，隔离等级高于普通的SSID隔离。客户价值：1) 控制无线网络入网用户身份。根据用户身份，提供不同的入网认证，控制已经明确用网人身份。2) 管理无线射频环境，保证射频安全。扫描周边无线信号，并对有安全隐患的射频信号进行区分，并可采取告警、反制等手段，保证射频安全3) 保证业务网安全。讲业务网和非业务网进行严格隔离，防止网络攻击，保证业务网安全。7.3 好体验针对无线中常遇到的干扰、终端关联等问题，锐捷提供了创新的Pre-ax、C-Link、AirReorde77、r技术，降低了干扰并保证终端的正确管理，提升了用户的无线体验。在会议室场景，锐捷的数字办公室为开会人员推荐正确的智能电视并提供屏幕防抢占功能，让用户更好的用无线投屏实现新型数字会议室。客户价值：1) 一流的无线网络体验。在复杂的网络环境下，提供流畅的无线网络体验。2) 数字化会议室。利用无线带来的设备发现、设备推荐和防屏幕抢占功能，更好的利用无线投屏进行开会7.4 简运维提供基于用户体验的运维界面，让无线网络体验可视化，并配备基于Andorid和IOS的APP，一键检测让人人成为网络体验专家。无线使用报告输出，可以提供过去一段时间的无线网络体验情况，方便管理人员对网络运行状况的把控以及体现无线78、网络的价值。客户价值：1) 用户体验视角的可视化运维。基于最终用户体验的运维界面，更直接的掌握无线网络运行状况。2) 自助式运维。提供手机端APP，当上报网络故障时，可通过软件进行一件扫描，初步对问题进行判断。8 附录8.1 无线部署规划设计8.1.1 工作频段与频点规划依照WLAN的国际规范和国际无线电管理委员会的标准，WLAN无线设备的工作频段为2400-2483.5MHz，带宽83.5 MHz，划分为14个子信道，每个子频道带宽为22 MHz, 最多有13个信道可用。频道分配如下图所示：在多个频道同时工作的情况下，为保证频道之间不互相干扰，要求两个频道的中心频率间隔不能低于25 MHz。79、考虑参照北美标准设计的许多WLAN设备和终端（比如网卡）不能使用12、13信道做为用户信道，因此建议一般选用1/6/11信道。802.11g使用开放的2.4GHz ISM频段，可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5个信道的工作中心频点。因此对于802.11g在2.4GHz地工作频段，理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。部署双频点的无线接入点，802.11n同时工作在2.4GHz和5GHz频点；5GHz：更多的频谱资源-数量较多的不冲突频点，更少的干扰（蓝牙、微波炉），从40MHz信道绑定获80、得最高的性能，很多802.11n的客户端只有在5GHz频段上支持40MHz；2.4GHz：采用2.4GHz频点，兼容原有的802.11a、b/g的客户端；不建议在2.4GHz频点使用40MHz信道绑定，大部分客户端不支持；避免了802.11a、b/g与802.11n混用，降低性能。虽然2.4G2.483G之间的802.11标准的无线频点有13个，但由于设计为相互重叠，所以只有3个不重叠频点（一般设计工作在1,6,11这三个完全不重叠的频点），这样使得频点配置工程十分必要。合理的进行信道规划，降低同频干扰，同时楼层之间的泄漏信号干扰也要考虑在内。因此， WLAN频点分配原则如下：a) 原则上采用81、同一频点组中的3个不重叠频点进行频点规划；b) 在容量极高区域，可采用1、6、11频点的紧凑复用，提高区域内的承载容量，可采用AP自动频率调整，防止同频干扰。AP也可采用自动功率调整功能，调整信号覆盖范围及强度。但必须详细提供各个AP的覆盖区域以及模测效果，说明已采用避免干扰的布点及规划。c) 相邻覆盖区域的AP不使用相同频点；d) 相同频点通过间隔较远距离或者建筑隔断增加同频隔离度，避免同频干扰；e) 相邻AP设定相同频点时， 要求间隔25米以上；f) 相邻AP设定相邻频点时， 要求AP间隔15米以上；g) AP设定相隔频点时， 要求间隔12米以上。8.1.2 信号衰减注意事项信号强度和传输82、距离的换算公式AP加卡的信号总强度公式：GtGrAP天线增益终端天线增益L信号总强度（dB）Gt（AP或终端功率，单位dB），Gr（终端或AP灵敏度，单位dB）距离产生的信号衰减公式：4020lgdL1（dB） d（距离，单位m）工程中最大传输距离以45m计算，所以L172dB障碍物的衰减：物体dB地板30带窗户的砖墙2办公室墙6办公室墙的金属门6砖墙的金属门12.4靠近金属门的砖墙3 室内型无线AP理论上在空旷环境的部署，可以按照20米左右的半径的经验值进行点位、数量的粗略预估。但无线信号的覆盖效果，取决于实际环境。8.1.3 服务指标注意事项覆盖指标对有业务需求的楼层和区域进行覆盖。目标覆83、盖区域内 95以上的位置，接收信号电平-75dBm。 其中对重点目标覆盖区域的覆盖电平指标：重点区域内95%以上的位置，接收信号电信-70dBm。 信号质量指标目标覆盖区域内 95%以上位置，用户终端接收到的下行信号S/N值10dB。吞吐量要求在目标覆盖区域内仅有一个终端，满足设计质量指标的情况下，系统吞吐量设计按照如下要求： 在802.11b 模式下，上行或下行单向吞吐量应不低于5Mbps(不加密)； 在802.11g模式下，上行或下行单向吞吐量应不低于18Mbps(不加密)；在802.11n模式下，上行或下行单向吞吐量应不低于54Mbps(不加密)。AP带机数量 AP带机数量，不同型号、不84、同品牌的产品，差异会比较大。一般行业用AP（非SOHO型家用AP），至少应保证每AP带终端数量不低于20个并发，表现优秀的AP产品，甚至可以做到100个终端的并发数。接入点部署注意事项（1）在部署AP时，考虑覆盖区域范围，在同一个部署区域中当其中一台AP故障后，周边的其他AP自动调整发射功率，覆盖故障AP的区域，确保该AP内的无线终端设备正常接入无线网络。（2）使用室内直放AP布点覆盖，需考虑及遵循以下几个问题和原则：需要有入户线缆资源。如果在一个大厅里只安装一个AP，则尽量把AP安放在大厅的中央位置，而且最好是放置于大厅天花板上；如果同一空间安装两个AP，则可以放在两个对角上。保持信号穿过墙85、壁和天花板的数量最小。2.4G信号能够穿透墙壁和天花板，然而，每一面墙壁和天花板都将使AP信号的覆盖范围减少1到30米。应放置AP与计算机于合适的位置，使墙壁和天花板阻碍信号的路径最短，损耗最小。考虑AP和覆盖区域之间直线连接。注意AP的放置位置，要尽量使信号能够垂直的穿过（90度角）墙壁或天花板。不同的建筑材料产生不同的传输效果。由金属的框架或门构成的建筑物会使WLAN无线信号的传输距离变小。放置AP的位置应使信号通过干燥的墙壁或敞开的门，避免放置在使信号必须通过金属材料的位置。AP安装位置需远离电子设备（起码12米），例如微波炉、监视器、电机等。网络布线和接入设备网线由于需要进行POE供电86、，建议线品保证至少是超5类双绞线以上，有条件的话可以使用6类双绞线线。AP的供电，可以采用单独POE模块，或者POE交换机2种类型。POE交换机供电：在高密度的无线AP的覆盖场景下，建议采用POE交换机供电方式，选用支持802.3af兼容AP。采用低功耗的802.11nAP，兼容802.2af，利用原有设备，节省投资；低碳、节能、绿色环保；独立POE供电适配器：在AP数量不多场景下，如果采用POE交换机供电，会有端口浪费，增加了用户的成本，同时，无线和有线一般是同时部署的。在有线接入交换机的接口有剩余的情况下，采用外接POE注入器的方式，将能充分利用现有的有线交换机，不用再增加专用的POE交换87、机，而极大地节省了用户的投资。POE电源注入器方式，该方式适合于无线AP节点数量不多的场所。线缆布放的一般要求:线缆布放前应核对规格、路由及位置是否与设计规定相符合；布放的线缆应平直，不得产生扭绞、打圈等现象，不应受到外力挤压和损伤； 在布放前，线缆两端应写有标记，标明起始和终端位置以及信息点的标号，标签书写应清晰、端正和正确；信号电缆、电源线、双绞线缆、光缆及建筑物内其它弱电线缆应分离布放。布放线缆应有冗余。在二级交接间、设备间双绞电缆预留长度一般为3-6m，工作区为0.3-0.6m。特殊要求的应按设计要求预留布放线缆，在牵引过程中吊挂线缆的支点相隔检举不应大于1.5m。线缆布放过程中为避免88、受力和扭曲，应制作合格的牵引端头。如果采用机械牵引，应根据线缆布放环境、牵引的长度、牵引张力等因素选用集中牵引或分散牵引等方式。8.2 锐捷中大企业行业部分成功案例8.2.1 顾家家居企业办公WLAN案例客户背景顾家家居，享誉全球的家居品牌。顾家家居自创立以来，专业从事客餐厅及卧室家具产品的研究、开发、生产与销售，为全球家庭提供健康、舒适、环保的客餐厅及卧室家居产品。目前，顾家家居产品远销世界120余个国家和地区，在国内外拥有超过3000家品牌专卖店,为全球家庭提供高品质的产品和服务。2016年10月，顾家家居在上证A股成功上市，股票代码603816。需求描述 客户办公环境WIFI刚部署一年左89、右某厂家的设备，部署初期没什么问题，但随着使用人数的增加，员工时不时的投诉、报障，问题各种各样，有打开网页卡，有坐在办公位上使用也一直掉，故障一直无法定位，也没有方便快捷的手段，工程师来到现场时无法进行故障复现，即使复现了，也只能看看附近设备的灯是否正常，设备有没有挂起，没有其它的可尝试解决手段。因此客户产生了办公网无线替换的需求，希望能够找到一个体验好，并且后期运维管理简单的办公方案。关键技术点精密的“C-LinkTM接入”锐捷C-LinkTM，保证终端关联最佳接入点达到90%！依据多维度参数构建终端体验模型，包括终端实时的时延、丢包、信号强度以及无线网络的信道、负载、吞吐等状况自动进行智能90、终端均衡，最终为终端选择最佳接入点。公平的“AirReorderTM调度” 根据终端状态精确的分配不同时间片，例如通用时间片的分配，使得暂无请求的终端将空口资源释放出来，从而其他终端的报文不会被拥塞。通过智能学习算法保障每个用户体验，保证关键业务优先的同时做到最优公平调度，保证每一个客户的体验卓越的“Pre-axTM抗干扰”Pre-axTM技术，引入802.11ax的空间复用思想来提升高密抗干扰能力。接收能力动态调整，采用DCCADSC技术，降低AP受干扰范围，使得每台AP犹如在无干扰环境下运行。实时发射功率调优，每AP上为每用户依据用户体验设定专属功率调整算法。部署效果通过对办公区的无线部署91、，解决了办公区域的干扰、终端关联和均衡问题。C-LinkTM接入-最优接入点AirReorderTM调度-体验全绿棒棒的Pre-axTM抗干扰-无灾区客户收益通过新办公无线解决分囊啊的部署，使得时延大幅下降，丢包率降至0，提升效果明显，内网极限性能测试，性能提升3倍以上漫游丢包率下降至1/3以下。8.2.2 顾家家居企业仓储WLAN案例客户背景顾家家居，享誉全球的家居品牌。顾家家居自创立以来，专业从事客餐厅及卧室家具产品的研究、开发、生产与销售，为全球家庭提供健康、舒适、环保的客餐厅及卧室家居产品。目前，顾家家居产品远销世界120余个国家和地区，在国内外拥有超过3000家品牌专卖店,为全球家庭92、提供高品质的产品和服务。2016年10月，顾家家居在上证A股成功上市，股票代码603816。 需求分析顾家家居江东仓储区域，主要是5#和6#楼，每栋楼分别为四层，每一层大概有1.6万,总共将近13万。本次项目建设目标是实现仓储无线覆盖，提供移动终端PDA无线接入。无论是扫码枪的条形码扫描业务，还是仓储的环境，都具有很强的特殊性。扫码业务对于无线的要求在于移动范围大，漫游切换不丢包。而其业务的数据传输量都在几K到十几K之间，所以对于无线网络的吞吐性能并没有太高的要求。而仓储环境复杂，且货架和货物都会对型号产生干扰，对于AP本身的质量和部署都提出了很高的要求。针对扫码枪的条形码扫描业务，结合仓储面93、积大，货架货物堆放比较高，环境有特殊性等特点。仓储无线网络的建设总结如下：1. 扫码终端移动不中断无线网络系统具有较高的可靠性和可用性，具有强大的终端接入功能，通过合理的AP距离间隔，保障有效覆盖范围内的无线信噪比质量（终端要求信噪比不低于60dbm） ，同时应在设计上保证一定终端承载富余，在业务集中时期，允许指定区域的终端数量有一定增加，在无干扰的情况下单AP无线接入能力要能达到40个。2. 多种扫码终端稳定连接不同厂家的扫码枪出于成本的考虑，扫码枪上的无线网卡一般规格都比较低。一般情况下是单路工作在2.4GHZ频段下，支持802.11b/g工作模式。另外，受制于扫码枪本身的能耗的规格，扫码94、枪上面的无线网卡发射功率不是很大，一般在16dbm到19dbm之间，这也就决定了扫码枪的回传距离不会超过60米，另外由于无线网卡的规格一般都比较低，所以无线网卡在主动漫游方面做的普遍不够完善，有的甚至不会主动切换。由于在无线车间的应用中，员工会携带扫码枪在车间内大范围的移动。当扫码枪从一个AP的覆盖信号范围漫游到另一个AP的覆盖范围内时，由于主动漫游能力弱。要求无线网络的信号质量在重要业务区域的信噪比能满足扫码枪的最低接入能力，并且不能超过其最大回传距离。3. 无线网络统一管理顾家家居现有下沙、江东、河北等厂区，厂区后续均需覆盖无线设备。网络管理中心，要能够实时的监控所有wlan设备的实时使用95、情况，并能够对所有wlan设备进行远程的配置管理。部署方案如上图拓扑所示为其中一层部署示意图，整个一层占地1.6万平，仓储中间建筑物隔离，分成大约8000的区域，规划每一套零漫游AP覆盖4000平左右。仓储终端主要是PDA，日常作业进行货物的扫码，采用锐捷1分48方式进行无线部署，解决了仓储的无线信号覆盖存在盲点和无线漫游丢包问题。其中每一套1分48，结构是一个零漫游AP连接 8个智分单元，每个智分单元连接6根天线，来进行覆盖。5#和6#共需要32套一分48。客户收益仓储区域各个角落和过道实现均匀的信号覆盖，移动PDA走到任何地方都是信号满格，并且移动过程中不出现漫游，业务不中断，很好的支撑起96、了仓储WMS业务。8.2.3 南高齿企业生产车间WLAN案例项目背景中国高速传动设备集团有限公司（以下简称中国传动）是一个以专业生产高速重载齿轮为主的大型企业集团，名列中国机械工业核心竞争力 100强。其前身南京机床修理厂，成立于1969年。1976年，改扩建为专业化齿轮生产厂家，并更名为南京高速齿轮箱厂。2001年，成立股份有限公司。本着“步步攀高，孜孜求精”的企业精神，经过四十多年的发展和积累，中国传动逐步壮大为中国齿轮行业公认的龙头企业。目前，公司在技术、设备、产品性能上均处于国内领先水平，正在跨入国际先进行列。为了进一步提升企业的信息化水平，提高工人生产效率，中国传动计划在生产车间内部97、署扫码系统。通过扫码枪扫描条形码的方式，实时获得和传递物料与产品信息。为了能够保障扫码业务的顺利进行，需要在生产车间内部署一套稳定、高速、易管理的WLAN网络部署方案如上图拓扑所示，整张无线网络采用“瘦AP+AC”的架构组成。每个厂区的车间部署无线AP，在小行厂区的中心机房部署一台AC，对所有厂区的AP进行统一的管理和配置。考虑到车间内的部署环境，取电不易，AP建议采用PoE交换机供电的方式。除了小行厂区的车间，其余厂区均使用电信VPN的方式接入小行厂区。关键技术场景化的无线部署针对企业车间的几种特殊场景，本方案选用不同的产品进行有针对性的覆盖。对于高温车间和有粉尘与油烟的机床车间，采用锐捷网98、络工业级大功率AP进行覆盖。IP67的防护品质，保证无线网络在极端环境下的稳定性；内置定向天线，方便部署，覆盖范围广。对于装配车间以及部分开阔的办公场所，采用锐捷网络室内“X-sense”灵动无线AP进行覆盖，内置X-Sense灵动天线，极大提升信号强度和用户体验，成本低廉，部署方便。双SSID区分内外网部署在车间内的AP采用双频双流的802.11n模式AP进行覆盖，整机吞吐性能可以达到600Mbps。由于车间内的wlan除了供扫码枪进行扫码业务以外，还要提供给部分工作人员和访客的移动终端连接上外网，所以，在部署的时候，建议配置AP放出两个SSID。例如“wlan-work”与“wlan-gu99、est”。其中“wlan-work”是内网，只允许扫码枪接入，进行扫码业务；而连接到“wlan-guest”的通过两个SSID将无线网络自然的分隔成逻辑内外网。AP采用分布式转发的转发模式。即只有AP与AC之间交互的管理报文以及终端的关联请求认证报文会由AP转发给AC，其余的数据报文均由AP自行转发处理。这样的转发模式大大的减轻了AC与VPN链路的压力。终端管理策略建议由于移动扫码枪不属于智能移动设备，所以，一般无法安装802.1X客户端，使用web认证也不方便。而且条形码扫描业务本身，终端接入系统也要做认证。所以，出于易用性的考虑，本方案建议使用WPA2加密的方式对无线进行加密。另外，锐捷无100、线设备支持mac地址认证的方式，如果对每个车间内的扫码枪终端有精细的管理需求，可以将该车间内所有的移动终端mac地址放到一个白名单组里，即该车间范围内只允许名单组里mac地址的终端上线。这样做可以防止其他终端在获知内网无线密码以后登陆内网，不过当终端需要跨车间使用时，需要管理员手动调整。针对车间内放出的另一路信号“wlan-guest”，可以使用WPA2密码加密加web认证的方式进行终端管理，或者配合锐捷用户管理认证平台软件用二维码扫描认证的方式进行管理。集监控管理，有线无线于一体的IT运维管理平台对于一套无线网络而言，有大量有线和无线设备，一套简约实用的网管软件，可以让企业的工程师在办公室内101、对所有的网络设备轻松进行管理；而对于整个集团的IT业务而言，一套功能强大的运维软件，能够让CIO以及IT工程师随时对企业的整个IT系统的状况了如指掌。本方案推荐使用的运维管理平台是锐捷网络RILL运维管理平台。它具有以下几个特殊优势：（1）可以实时监控市场上所有主流IT厂商的服务器，交换机，存储，中间件，数据库等信息资源在企业中的运行情况，而且以业务的视角对企业内所有的IT资源进行梳理整合。每一个业务对应哪些IT资源都有非常明晰的表示。当IT业务出现问题时可以从该业务对应的资源关系图中迅速定位出问题的IT资源，大大减少了运维人员排查定位的时间。（2）RILL平台可以对锐捷的无线，有线网络设备进102、行一体化统一管理，包括无线星光图，无线热图，远程AP配置管理，远程终端用户控制管理等。（3）可以基于IT日常运维产生的大数据进行精细化处理，提取有用的信息，并生成各种图表，为IT人员的工作汇报提供丰富而有力的依据。（4）该平台从IT资源的监控管理，到IT业务流程的建设和管理均有对应产品。可以满足企业信息化建设不同阶段，以及信息化建设的不断发展的需求。（5）RILL平台的是依据功能模块和资源节点许可数两个维度进行出售。对于本项目而言，一期无线网络建设可以只选购基础平台和无线管理模块，后期运维建设，IT业务流程建设再填充相应的软件模块与节点许可，大大增强了投资的灵活性。客户收益1、生产车间无线信号全覆盖，热处理车间在5060度的高温下、机床车间在电磁干扰环境下都可以提供稳定的信号覆盖2、手持PDA可以流畅的进行售后及质检工作，全程没有信号死角，信号稳定。3、统一的运维管理界面，可以在总部管理到全厂的AP设备，并接收到设备告警锐捷网络的智能工厂无线解决方案很好的支撑了客户的MES业务。第71页