江蘇林洋電子股份有限公司  施海濤

1、需求分析

相對于傳統(tǒng)的有線網(wǎng)絡(luò)，無線網(wǎng)絡(luò)因其布置便捷、靈活及優(yōu)越的可拓展性得到越來越多的企業(yè)的青睞。同時隨著無線網(wǎng)絡(luò)技術(shù)的發(fā)展，之前受人質(zhì)疑的速度和安全性都已經(jīng)有了很大的改善，因此這兩項已經(jīng)不再是無線網(wǎng)絡(luò)進一步推廣的技術(shù)瓶頸。而且隨著越來越多的廠商對新品的不斷推出，為企業(yè)的無線應(yīng)用提供了更多選擇的機會，同時無線覆蓋的成本也較以往大大的降低。但選擇合適的無線產(chǎn)品和擁有一套完善的無線解決方案仍舊是無線應(yīng)用及推廣的成功關(guān)鍵。怎么樣讓大家都能夠感受有無線覆蓋的優(yōu)越性，這個將會給我們信息部提出來一個怎么樣合理布局的問題。

為了給員工和訪客提供便捷的網(wǎng)絡(luò)接入，我們計劃在該廠的辦公區(qū)域和訪客區(qū)域?qū)嵤�無線網(wǎng)絡(luò)覆蓋。初步的無線規(guī)劃是針對目前全廠的使用無線網(wǎng)絡(luò)區(qū)域，以及訪客區(qū)域，生產(chǎn)大樓MES掃條碼區(qū)域，以及倉庫用友ERP網(wǎng)絡(luò)的覆蓋。

本方案要求發(fā)送四個無線ESSID：LINGYANG ,LINYANG_GUEST, LYMES, LYCKAP其中LINGYANG 供內(nèi)部員工（包括普通員工和VP 員工）使用；LINYANG_GUEST供到訪的來賓使用; LYMES供生產(chǎn)制造執(zhí)行系統(tǒng)；LYCKAP用友ERP上面使用。

辦公區(qū)域部分發(fā)送一個ESSID；LINGYANG 供內(nèi)部員工使用（包括普通員工和VP 員工）。其中(普通員工和VP)在大廳會議室或在廠內(nèi)辦公區(qū)域通過LINGYANG 只能訪問訪問內(nèi)部網(wǎng)絡(luò)，以及Internet；當(dāng)員工通過LINGYANG 這個ESSID 連接到網(wǎng)絡(luò)時，無需提供無線連接密碼，便可自動獲取到公司內(nèi)部網(wǎng)段IP 地址。此時還無權(quán)訪問任何內(nèi)部資源。當(dāng)員工打開一個網(wǎng)頁時，自動顯示無線網(wǎng)絡(luò)登陸驗證畫面。員工輸入公司內(nèi)部的AD 賬號和密碼后方可登陸無線網(wǎng)絡(luò)。之后員工就可以正常公司的內(nèi)部網(wǎng)絡(luò)。

訪客SSID為LINYANG_GUEST，連接此SSID的筆記本只可以訪問Internet資源不可以訪問內(nèi)部網(wǎng)絡(luò)。此時如果有訪客到本公司，可以讓他到前臺取用戶名以及密碼。此帳號的功能訪客通過無線網(wǎng)絡(luò)先獲取到一個非內(nèi)部網(wǎng)段的私有IP 地址。打開網(wǎng)頁時，出現(xiàn)無線網(wǎng)絡(luò)登陸驗證畫面，輸入從前臺獲取的用戶名和密碼后，則可正常訪問Internet，但無權(quán)訪問內(nèi)部網(wǎng)絡(luò)。

LYMES這個SSID供生產(chǎn)制造管理系統(tǒng)使用，終端是DT4000wl。用于生產(chǎn)上面MES系統(tǒng)使用。

LYCKAP在倉庫使用。終端設(shè)備是MC3090,用于用友ERP上面的條碼系統(tǒng)。

由于之前公司買過好多個AP5131，單獨管理單個AP 5131又不太方便。配置起來比較麻煩。所以需要我們RFS 7000也能管理此設(shè)備。這就需要工程師幫忙升級AP5131的軟件版本。

2、無線覆蓋方案介紹

為了實現(xiàn)內(nèi)部員工和訪客對無線網(wǎng)絡(luò)的使用需求，本技術(shù)方案主要會應(yīng)用到以下幾個技術(shù)要點： 無線訪問的使用者權(quán)限要和內(nèi)部的活動目錄（ActiveDirectory）整合為了控制不同的內(nèi)部員工的無線訪問權(quán)限，在進行無線登陸驗證時，員工輸入自己在公司內(nèi)部分配的活動目錄中的賬號。驗證服務(wù)器根據(jù)不同的賬號傳遞給無線控制器相關(guān)的賬號信息，而無線控制則根據(jù)預(yù)先設(shè)定好的不同使用者權(quán)限進行驗證和區(qū)分。

利用Windows 本身的驗證服務(wù)器（IAS）來整合活動目錄和無線控制器的賬號為了整合活動目錄中的使用者賬號和無限控制對不同賬號的使用權(quán)限進行控制，需要用到Radius 服務(wù)器來整合賬號的認證和權(quán)限的控制。 在活動目錄中對不同的內(nèi)部員工分成兩個組一個是普通員工組（LINYANGGROUP），另外一組是訪客用戶組（LINYANG_GUEST Group）。把只能訪問內(nèi)部網(wǎng)絡(luò)而又能訪問Internet 的內(nèi)部員工加入到LINYANGGROUP中；把只能夠訪問Internet 的內(nèi)部員工加入到LINYANG_GUEST Group 中。在IAS 中設(shè)定不同的訪問策略來區(qū)分LINYANGGROUP 和LINYANG_GUEST Group 的訪問權(quán)限，并把不同組的ID 號傳遞給無限控制器來處理。

利用核心無線控制器的本地的驗證服務(wù)器來來驗證訪客的使用權(quán)限無線控制器本身提供了內(nèi)置的驗證服務(wù)器功能，這可以為訪客系統(tǒng)提供相關(guān)的訪客賬號信息。前臺工作人員可以根據(jù)管理提供的賬號和密碼登陸無線控制，無線控制器根據(jù)前臺工作人員賬號權(quán)限提供給前臺創(chuàng)建訪客賬號權(quán)限。通過簡單且易操作的賬號設(shè)置畫面，前臺可以為訪客打印一張含有訪客賬號信息的卡片，卡片中包含了賬號、密碼及可訪問的時間段等信息。訪客可根據(jù)這張賬號卡片方便的訪問的無線網(wǎng)絡(luò)

在設(shè)備選型上，我們使用了RFS7000和AP300瘦客戶機+AP5131的組合模式，手持這一端我們使用了摩托羅拉的MC3090S手持終端，經(jīng)過測試，該套方案搭配上自己倉庫條碼系統(tǒng)效果非常之好。手持設(shè)備在無線網(wǎng)絡(luò)中漫游毫無問題。以下是我們的AP布點圖。

Motorola采用Adaptive AP結(jié)構(gòu)：即AP51x1/71x1結(jié)合無線交換機RFS7000，很好地支持層2切換和層3切換，即使兩個AP在不同的無線交換機RF7000之下，也可以實現(xiàn)無縫漫游。在Adaptive AP結(jié)構(gòu)的模式下，Motorola的無線交換機和AP之間的通信采用WISPE（Wireless Switch Protocol Enhanced）協(xié)議進行通信，無線交換機和AP之間是一個WISPE的Tunnel，任何用戶的負載數(shù)據(jù)包都通過Tunnel發(fā)給RFS7000。

RFS7000 是基于摩托羅拉下一代無線技術(shù)架構(gòu)Wi-NG 之上的核心級無線網(wǎng)絡(luò)控制交換機。RFS7000 提供支持最大、要求最苛刻的環(huán)境所需的性能、安全性、靈活性和擴展性�？赏ㄟ^企業(yè)內(nèi)部和外部交付運營商級的移動語音和數(shù)據(jù)服務(wù)簡化企業(yè)的運營。并且可通過其強大的綜合功能降低移動性的成本，這些功能包括：摩托羅拉的下一代無線（Wi-NG）體系架構(gòu)、Wi-Fi 和RFID；自適應(yīng)AP 技術(shù)、定位服務(wù)、802.11n 高數(shù)據(jù)速率連接（支持Mesh）、綜合分層安全性、集中管理以及許多摩托羅拉獨特的移動功能。

摩托羅拉的AP300 提供了豐富的802.11a/b/g 連接性。通過與無線交換控制器RFS7000 的配合使用，為本方案的整個無線網(wǎng)絡(luò)提供了極其靈活的可拓展性。AP300 是摩托羅拉的“瘦”下一代無線接入訪問點，可通過摩托絡(luò)的無限控制進行集中和遠程管理，所有的配置和設(shè)置都是在無線訪問控制器上來實現(xiàn)。此設(shè)備的配置迅速，并可輕松、迅速升級以支持新的功能、特性和安全協(xié)議，從而可大大降低部署、實現(xiàn)和管理無線網(wǎng)絡(luò)的成本；同時可顯著增強無線網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的特性、功能和安全性。

AP-5131是為制造業(yè)、倉儲物流業(yè)以及零售業(yè)而設(shè)計無線網(wǎng)絡(luò)接入點設(shè)備，通過單臺設(shè)備提供具備企業(yè)級性能及安全性的有線和無線連網(wǎng)功能。這是一個易于部署的解決方案，可以靈活地安全連接到遠程的企業(yè)專用網(wǎng)、互聯(lián)網(wǎng)和局域網(wǎng)資源，其速度及可靠性完全可以滿足最為苛刻的應(yīng)用需要（包括實時視頻和語音）。AP-5131采用多功能一體化結(jié)構(gòu)，使經(jīng)濟效益和連網(wǎng)的簡便易用性上升到一個新臺階。AP5131將路由器、防火墻、VPN、DHCP、AAA、熱點認證網(wǎng)關(guān)和無線Mesh網(wǎng)絡(luò)功能集成到一臺可遠程管理的設(shè)備中，簡化了網(wǎng)絡(luò)的設(shè)置和管理工作。

3、以下是我們的AP布局圖

電表一號樓1樓無線覆蓋AP部署方案，配置13臺AP300保證覆蓋，該區(qū)域設(shè)計原則為保證信號強度。

下圖為AP覆蓋區(qū)域圖。

對車間的勘測，發(fā)現(xiàn)墻壁為彩鋼板，對無線信號的干擾很大，所以用多個AP對這個區(qū)域進行覆蓋來滿足公司對我們的要求。

- 電表一號樓2樓AP覆蓋區(qū)域圖

本層覆蓋數(shù)為5個AP300.

- 銘牌流水線AP覆蓋區(qū)域圖

4、具體實施方案架構(gòu)分析

在活動目錄中定義兩個組，一個組名是LINGYANG Group，這個組的成員為內(nèi)部員工，其權(quán)限定義為能訪問外網(wǎng)以及內(nèi)部網(wǎng)絡(luò)；另外一個組名為LINYANG_GUEST Group，這個組是給訪客使用。在RFS7000 中也定義兩個組，組名也分別為LINGYANG Group 和LINYANG_GUEST Group，這個組用來分別接收活動目錄中傳遞過來的兩個同名組的賬號和權(quán)限。 在IAS 中設(shè)定兩組策略，一組策略為LINYANG Group Policy, 主要用來驗證LINGYANG Group 中的成員信息，并把賬號認證信息傳遞給RFS7000 中的LINGYANG Group；另外一組策略為LINYANG_GUEST  Group Policy，主要用來驗證LINYANG_GUEST Group 中的成員信息，并把賬號認證信息傳遞給RFS7000 中的LINYANG_GUEST Group。

在RFS7000 中分別設(shè)定LINGYANG Group 和LINYANG_GUEST Group兩個角色的規(guī)則，分別接收AD 中傳過來的賬號信息，并根據(jù)這些信息訪問不同的IP 地址段。而對訪客的控制則直接通過綁定訪問列表的方式來實現(xiàn)。當(dāng)內(nèi)部員工訪問LINYANG 無線網(wǎng)絡(luò)時，首先獲取到內(nèi)部的合法IP。根據(jù)輸入的用戶名和密碼，RFS7000 判斷該賬號是域賬號，并將賬號傳遞給IAS 去認證。IAS 會判斷該用戶是屬于LINYANGGROUP 還是LINYANG_GUEST Group，并把相關(guān)的賬號信息傳遞給RFS7000。在RFS7000 收到這些賬號信息時，根據(jù)定義好的角色規(guī)則去匹配，從而正確的控制內(nèi)部員工對授權(quán)網(wǎng)絡(luò)的訪問。

公司用AP300生產(chǎn)線位置

AP300在倉庫

公司AP5131位置

倉庫中的AP5131

調(diào)試中的AP5131

5、后續(xù)網(wǎng)絡(luò)的拓展性

一臺RFS7000 主機最多可支持256 個瘦AP，在瘦AP 模式下工作時，當(dāng)AAP 和無線交換機暫時失去聯(lián)系的時候，AAP 可作為胖AP 繼續(xù)沿用之前的功能繼續(xù)工作48個小時。這會今后無線AP 的選擇提供更加多的選擇空間。當(dāng)一臺RFS7000 不足以支持相應(yīng)數(shù)量的AP 時，只需再增加一臺，并加入之前的無線交換機的Cluster 即可。而之前的備用RFS7000 也能為新加入的RFS7000 提供冗余的功能。這樣的Cluster 群組最多可支持6X1 架構(gòu)，即最多可支持的瘦AP 數(shù)量為：256x6=1536；如果加上對AAP 的支持，則可增加數(shù)量為：1024x6=6144。這樣的數(shù)量應(yīng)該完全滿足今后整個廠的擴容需求。

使用MOTO的無線覆蓋不管是從性價比，以及產(chǎn)品實際性能上講，都完全能滿足企業(yè)的要求。我們將在明年再買一臺作為RFS7000冗余。在集群模式下，兩臺或者多臺無線交換機可以工作在Active:Standby、Active:Active或N+1模式。當(dāng)有一臺無線交換機出現(xiàn)故障時，另一臺無線交換機可以迅速接管。在切換過程中用戶IP地址保持不變，切換時間極快，用戶感覺不到網(wǎng)絡(luò)的變化，仍然可以正常訪問無線網(wǎng)絡(luò)。

此作品來源于2011摩托羅拉解決方案大獎賽