江苏林洋电子股份有限公司  施海涛

1、需求分析

相对于传统的有线网络，无线网络因其布置便捷、灵活及优越的可拓展性得到越来越多的企业的青睐。同时随着无线网络技术的发展，之前受人质疑的速度和安全性都已经有了很大的改善，因此这两项已经不再是无线网络进一步推广的技术瓶颈。而且随着越来越多的厂商对新品的不断推出，为企业的无线应用提供了更多选择的机会，同时无线覆盖的成本也较以往大大的降低。但选择合适的无线产品和拥有一套完善的无线解决方案仍旧是无线应用及推广的成功关键。怎么样让大家都能够感受有无线覆盖的优越性，这个将会给我们信息部提出来一个怎么样合理布局的问题。

为了给员工和访客提供便捷的网络接入，我们计划在该厂的办公区域和访客区域实施无线网络覆盖。初步的无线规划是针对目前全厂的使用无线网络区域，以及访客区域，生产大楼MES扫条码区域，以及仓库用友ERP网络的覆盖。

本方案要求发送四个无线ESSID：LINGYANG ,LINYANG_GUEST, LYMES, LYCKAP其中LINGYANG 供内部员工（包括普通员工和VP 员工）使用；LINYANG_GUEST供到访的来宾使用; LYMES供生产制造执行系统；LYCKAP用友ERP上面使用。

办公区域部分发送一个ESSID；LINGYANG 供内部员工使用（包括普通员工和VP 员工）。其中(普通员工和VP)在大厅会议室或在厂内办公区域通过LINGYANG 只能访问访问内部网络，以及Internet；当员工通过LINGYANG 这个ESSID 连接到网络时，无需提供无线连接密码，便可自动获取到公司内部网段IP 地址。此时还无权访问任何内部资源。当员工打开一个网页时，自动显示无线网络登陆验证画面。员工输入公司内部的AD 账号和密码后方可登陆无线网络。之后员工就可以正常公司的内部网络。

访客SSID为LINYANG_GUEST，连接此SSID的笔记本只可以访问Internet资源不可以访问内部网络。此时如果有访客到本公司，可以让他到前台取用户名以及密码。此帐号的功能访客通过无线网络先获取到一个非内部网段的私有IP 地址。打开网页时，出现无线网络登陆验证画面，输入从前台获取的用户名和密码后，则可正常访问Internet，但无权访问内部网络。

LYMES这个SSID供生产制造管理系统使用，终端是DT4000wl。用于生产上面MES系统使用。

LYCKAP在仓库使用。终端设备是MC3090,用于用友ERP上面的条码系统。

由于之前公司买过好多个AP5131，单独管理单个AP 5131又不太方便。配置起来比较麻烦。所以需要我们RFS 7000也能管理此设备。这就需要工程师帮忙升级AP5131的软件版本。

2、无线覆盖方案介绍

为了实现内部员工和访客对无线网络的使用需求，本技术方案主要会应用到以下几个技术要点： 无线访问的使用者权限要和内部的活动目录（ActiveDirectory）整合为了控制不同的内部员工的无线访问权限，在进行无线登陆验证时，员工输入自己在公司内部分配的活动目录中的账号。验证服务器根据不同的账号传递给无线控制器相关的账号信息，而无线控制则根据预先设定好的不同使用者权限进行验证和区分。

利用Windows 本身的验证服务器（IAS）来整合活动目录和无线控制器的账号为了整合活动目录中的使用者账号和无限控制对不同账号的使用权限进行控制，需要用到Radius 服务器来整合账号的认证和权限的控制。 在活动目录中对不同的内部员工分成两个组一个是普通员工组（LINYANGGROUP），另外一组是访客用户组（LINYANG_GUEST Group）。把只能访问内部网络而又能访问Internet 的内部员工加入到LINYANGGROUP中；把只能够访问Internet 的内部员工加入到LINYANG_GUEST Group 中。在IAS 中设定不同的访问策略来区分LINYANGGROUP 和LINYANG_GUEST Group 的访问权限，并把不同组的ID 号传递给无限控制器来处理。

利用核心无线控制器的本地的验证服务器来来验证访客的使用权限无线控制器本身提供了内置的验证服务器功能，这可以为访客系统提供相关的访客账号信息。前台工作人员可以根据管理提供的账号和密码登陆无线控制，无线控制器根据前台工作人员账号权限提供给前台创建访客账号权限。通过简单且易操作的账号设置画面，前台可以为访客打印一张含有访客账号信息的卡片，卡片中包含了账号、密码及可访问的时间段等信息。访客可根据这张账号卡片方便的访问的无线网络

在设备选型上，我们使用了RFS7000和AP300瘦客户机+AP5131的组合模式，手持这一端我们使用了摩托罗拉的MC3090S手持终端，经过测试，该套方案搭配上自己仓库条码系统效果非常之好。手持设备在无线网络中漫游毫无问题。以下是我们的AP布点图。

Motorola采用Adaptive AP结构：即AP51x1/71x1结合无线交换机RFS7000，很好地支持层2切换和层3切换，即使两个AP在不同的无线交换机RF7000之下，也可以实现无缝漫游。在Adaptive AP结构的模式下，Motorola的无线交换机和AP之间的通信采用WISPE（Wireless Switch Protocol Enhanced）协议进行通信，无线交换机和AP之间是一个WISPE的Tunnel，任何用户的负载数据包都通过Tunnel发给RFS7000。

RFS7000 是基于摩托罗拉下一代无线技术架构Wi-NG 之上的核心级无线网络控制交换机。RFS7000 提供支持最大、要求最苛刻的环境所需的性能、安全性、灵活性和扩展性。可通过企业内部和外部交付运营商级的移动语音和数据服务简化企业的运营。并且可通过其强大的综合功能降低移动性的成本，这些功能包括：摩托罗拉的下一代无线（Wi-NG）体系架构、Wi-Fi 和RFID；自适应AP 技术、定位服务、802.11n 高数据速率连接（支持Mesh）、综合分层安全性、集中管理以及许多摩托罗拉独特的移动功能。

摩托罗拉的AP300 提供了丰富的802.11a/b/g 连接性。通过与无线交换控制器RFS7000 的配合使用，为本方案的整个无线网络提供了极其灵活的可拓展性。AP300 是摩托罗拉的“瘦”下一代无线接入访问点，可通过摩托络的无限控制进行集中和远程管理，所有的配置和设置都是在无线访问控制器上来实现。此设备的配置迅速，并可轻松、迅速升级以支持新的功能、特性和安全协议，从而可大大降低部署、实现和管理无线网络的成本；同时可显著增强无线网络基础架构的特性、功能和安全性。

AP-5131是为制造业、仓储物流业以及零售业而设计无线网络接入点设备，通过单台设备提供具备企业级性能及安全性的有线和无线连网功能。这是一个易于部署的解决方案，可以灵活地安全连接到远程的企业专用网、互联网和局域网资源，其速度及可靠性完全可以满足最为苛刻的应用需要（包括实时视频和语音）。AP-5131采用多功能一体化结构，使经济效益和连网的简便易用性上升到一个新台阶。AP5131将路由器、防火墙、VPN、DHCP、AAA、热点认证网关和无线Mesh网络功能集成到一台可远程管理的设备中，简化了网络的设置和管理工作。

3、以下是我们的AP布局图

电表一号楼1楼无线覆盖AP部署方案，配置13台AP300保证覆盖，该区域设计原则为保证信号强度。

下图为AP覆盖区域图。

对车间的勘测，发现墙壁为彩钢板，对无线信号的干扰很大，所以用多个AP对这个区域进行覆盖来满足公司对我们的要求。

- 电表一号楼2楼AP覆盖区域图

本层覆盖数为5个AP300.

- 铭牌流水线AP覆盖区域图

4、具体实施方案架构分析

在活动目录中定义两个组，一个组名是LINGYANG Group，这个组的成员为内部员工，其权限定义为能访问外网以及内部网络；另外一个组名为LINYANG_GUEST Group，这个组是给访客使用。在RFS7000 中也定义两个组，组名也分别为LINGYANG Group 和LINYANG_GUEST Group，这个组用来分别接收活动目录中传递过来的两个同名组的账号和权限。 在IAS 中设定两组策略，一组策略为LINYANG Group Policy, 主要用来验证LINGYANG Group 中的成员信息，并把账号认证信息传递给RFS7000 中的LINGYANG Group；另外一组策略为LINYANG_GUEST  Group Policy，主要用来验证LINYANG_GUEST Group 中的成员信息，并把账号认证信息传递给RFS7000 中的LINYANG_GUEST Group。

在RFS7000 中分别设定LINGYANG Group 和LINYANG_GUEST Group两个角色的规则，分别接收AD 中传过来的账号信息，并根据这些信息访问不同的IP 地址段。而对访客的控制则直接通过绑定访问列表的方式来实现。当内部员工访问LINYANG 无线网络时，首先获取到内部的合法IP。根据输入的用户名和密码，RFS7000 判断该账号是域账号，并将账号传递给IAS 去认证。IAS 会判断该用户是属于LINYANGGROUP 还是LINYANG_GUEST Group，并把相关的账号信息传递给RFS7000。在RFS7000 收到这些账号信息时，根据定义好的角色规则去匹配，从而正确的控制内部员工对授权网络的访问。

公司用AP300生产线位置

AP300在仓库

公司AP5131位置

仓库中的AP5131

调试中的AP5131

5、后续网络的拓展性

一台RFS7000 主机最多可支持256 个瘦AP，在瘦AP 模式下工作时，当AAP 和无线交换机暂时失去联系的时候，AAP 可作为胖AP 继续沿用之前的功能继续工作48个小时。这会今后无线AP 的选择提供更加多的选择空间。当一台RFS7000 不足以支持相应数量的AP 时，只需再增加一台，并加入之前的无线交换机的Cluster 即可。而之前的备用RFS7000 也能为新加入的RFS7000 提供冗余的功能。这样的Cluster 群组最多可支持6X1 架构，即最多可支持的瘦AP 数量为：256x6=1536；如果加上对AAP 的支持，则可增加数量为：1024x6=6144。这样的数量应该完全满足今后整个厂的扩容需求。

使用MOTO的无线覆盖不管是从性价比，以及产品实际性能上讲，都完全能满足企业的要求。我们将在明年再买一台作为RFS7000冗余。在集群模式下，两台或者多台无线交换机可以工作在Active:Standby、Active:Active或N+1模式。当有一台无线交换机出现故障时，另一台无线交换机可以迅速接管。在切换过程中用户IP地址保持不变，切换时间极快，用户感觉不到网络的变化，仍然可以正常访问无线网络。

此作品来源于2011摩托罗拉解决方案大奖赛