word格式-可編輯-感謝下載支持RuckusWireless無線網解決方案建議書2009年6月word格式-可編輯-感謝下載支持目錄一、 重慶XXX酒店無線局域網系統建設需求 31．項目背景 3二、 重慶XXX酒店無線局域網設計原則和技術需求 42．1遵循標準 42．2技術潮流 42．3安全可靠 52．4可擴展可升級 52．5易管理易維護 52．6技術需求 5三、 Ruckus無線交換局域網系統技術特點 63．1Ruckus先進的智能天線和射頻控制 63．1．1智能天線技術 63．1．2Ruckus的智能天線系統 93．1．3綠色的的電磁環境 103．1．4BeamFlex和802.11n 143．2Ruckus無線局域網的管理 243．2．1集中管理–FlexMaster和ZD1000/3000 253．2．2RF的智能管控 323．2．3系統的冗余備份 333．2．4客戶端的漫游 363．2．5SNMP和TR-069 363．3Ruckus無線局域網系統的安全管理 373．3．1網絡安全的體系架構 373．3．2基礎型無線網安全機制 393．3．3增強型無線網安全機制 403．3．4Ruckus支持的認證方式 423．3．5安全的AP技術 433．3．6無線接入點安全偵測和保護 433．3．7無線網絡入侵偵測 433．3．8無線接入的病毒防護 443．3．9通過VPN再次加固無線接入 443．4無線移動音視頻應用－RuckusSmartCast 473．4．1帶寬控制與服務質量保證QOS 473．4．2BeamFlex和服務品質保證 483．4．3VoIP與WI-FI手機 523．5Ruckus的智能網狀網－SmartMesh 55四、 重慶XXX酒店無線局域網方案建議 594.1無線組網方式設計 594．1．1小型無線局域網(5到50個AP)集中式組網 594．1．2中型無線局域網(50到250個AP)集中式組網 604．1．3大型無線局域網(250個AP以上)集中式組網 614．1．4大型無線局域網(100個AP以上)分布式組網 624．1．6重慶XXX酒店無線局域網的組網設計 624．2多業務區分設計 634．3網絡與用戶管理 644．4無線安全性設計 654．5移動漫游設計 66五、 重慶XXX酒店無線局域網系統建議 685．1無線覆蓋建議 685．2無線網絡對酒店應用系統的支撐 815．2．1數據業務 815．2．2語音業務 825．2．1視頻業務 825．3網絡用戶與應用管理實現 865．4酒店無線網的安全系統實現 865．4．1認證方式 865．4．2數據加密 875．4．3語音加密 875．4．3無線空間的抗干擾 87六、Ruckus智能無線網絡方案特點 896．1組網方便 896．2智能天線技術,更少的AP數量,更大更有效的覆蓋 896．3有效的支持視頻和音頻流，智能的QoS技術 906．4抗干擾能力強 906．5用戶密度高 916．6安裝部署簡單方便 926．7可預測的性能 926．8實時監視無線RF環境 92無線控制器-ZoneDirector1000 95無線接收器-室內ZoneFlex2942 100word格式-可編輯-感謝下載支持重慶XXX酒店無線局域網系統建設需求1．項目背景對于服務產業中的酒店業來說。目前酒店行業競爭的重點已經從硬件的競爭轉移到服務的競爭，各大酒店均絞盡腦汁來提高自己的服務意識和服務水平。在傳統的服務項目已非常成熟的今天，作為四、五星級酒店如何為客戶提供新的服務成為酒店經營者頭疼的問題。近兩年來，隨著來自世界各地商務客人的增加，全球信息技術的發展和無線網絡的高速發展，以及Internet在國內的迅猛發展，為酒店經營者提供新的信息服務成為一種趨勢。這一方面提升了現代化酒店的服務與管理水平，同時，也為酒店經營者帶來了相應的利益。可以說，網絡不僅是酒店傳播信息的工具，也是留住回頭客保持入住率的有效手段，而無線網絡由于其移動性、便利性和靈活性的特點，更是得以在酒店中大顯身手。商務客人一般會要求酒店提供與其辦公室和個人家庭相同的高速Internet訪問能力，通過無線局域網就可實現靈活且可擴展的網絡解決方案。酒店對于無線網絡的建設有著不同的運營模式，有的酒店保留著運營商投資的模式，并參與運營商的分成，如同原有的語音話費以及上網業務一樣。但是運營商投資的模式，也讓酒店自己的分成利益減少了許多。在語音服務和上網出口在國內壟斷的局面下，酒店也難有機會替自己增加收入。無線網絡的運用就不一樣了，通過無線局域網的搭建，酒店可以在提高自己酒店服務水準的同時為自己找到一個新的業務增長模式和利潤創造點，并且在其基礎上逐漸擴充出其他的業務增長和服務新領域。重慶XXX酒店無線局域網設計原則和技術需求2．1遵循標準無線局域網采用的技術支持應為國際標準或業界標準，不使用某個廠商的專用技術和協議，以保證網絡設備的互通性，有利于網絡的投資保護。根據重慶XXX酒店的需求和無線網建設與設計原則，建議采用美國RuckusNetworks公司的無線交換局域網系統（以下簡稱Ruckus無線系統），完成無線局域網覆蓋項目。2．2技術潮流第一代無線局域網主要是采用胖AP架構，每臺AP都是一個獨立的個體，AP與AP之間不會進行任何溝通，需要逐臺逐臺進行配置和管理，費時、費力、維護成本高，安全低，融合性差；第二代無線局域網融入了認證網關設備，仍然不能集中對AP進行管理和配置，只是對認證管理方面有所提高而已。現今大型無線網絡要求其與傳統有線網絡平滑融合，要求管理性和安全性都必須有一個質的提高，而第一代和第二代無線技術必定不能滿足，因此，在這樣的環境下，基于無線交換機集中式管理的第三代無線架構延生了。第三代無線局域網架構采用無線交換機加瘦AP的結構，使得無線局域網的網絡性能、網絡管理和安全管理能力得以大幅提高，使建設大型無線網成為可能。但是網絡的發展日新月異，隨著人們對無線局域網技術要求的不斷提高，以及對無線局域網認識的深入，瘦AP的概念已經過時。可胖可瘦成了AP發展的趨勢，尤其是隨著802.11n的普及，簡單的瘦AP給后臺的無線交換機帶來極大的負擔。為了解決這個問題，用戶付出的代價也是巨大而不劃算的。第四代可胖可瘦AP成為無線局域網發展的必然。2．3安全可靠在網絡安全性方面，無線局域網系統要具有與有線局域網同樣要求的安全防護措施，無線網的安全性主要從以下幾個方面考慮：（1）接入認證：具有支持多種用戶認證方式；（2）數據鏈路的全程加密；（3）具有無線電波監控能力，能提供無線入侵偵測和無線終端位置的追蹤功能。具有提供智能化的無線電波自動調控與切換能力，以確保單個AP接入點在發生故障時自動切換到鄰近AP，不會影響無線的接入服務；具有支持熱備份的無線交換機的冗余備份機制。2．4可擴展可升級通過一個集中的無線局域網網管平臺實現對所有的AP功能的配置和管理，AP在提供無線接入的同時，也可進行無線入侵監控、無線電波傳輸分析。同時整個系統可以根據用戶的需要進行規模上的擴展，擴展后所有功能和管理的模式保持不變。2．5易管理易維護在網絡管理方面，必須具有集中控管、智能調控、自動恢復、系統冗余等實用功能，使所建的無線網絡可以適應多種環境的變化，可動態地保證良好的應用效果。同時，還應支持多SSID，可以方便的把語音、視頻以及其他類型的數據的應用進行分開管理。2．6技術需求根據重慶XXX酒店無線局域網系統建設要求，無線局域網系統建設原則如下：1、充分利用現有網絡結構與資源，不單獨組網，AP就近接入有線網絡（最近的交換機），并且不改變原有網絡結構以及交換機配置。2、采用集中控管的組網方式，集中控制管理所有的AP。3、AP的供電可以不單獨拉線，采用POE供電的方式。4、采用先進的WLAN網管系統管理局域網。5、充分考慮WLAN的安全性，采用先進的WLAN安全技術保障。6、無線局域網系統要支持故障熱備冗余能力。7、無線局域網系統要能方便和靈活地調整與擴充。Ruckus無線交換局域網系統技術特點3．1Ruckus先進的智能天線和射頻控制3．1．1智能天線技術智能天線技術智能天線通過一組帶有可編程電子相位關系的固定天線單元獲取方向性，并可以同時獲取基站和移動臺之間各個鏈路的方向特性。智能天線的原理是將無線電的信號導向具體的方向，產生空間定向波束，使天線主波束對準用戶信號到達方向DOA(DirectionofArrinal)，旁瓣或零陷對準干擾信號到達方向，達到充分高效利用移動用戶信號并刪除或抑制干擾信號的目的。同時，智能天線技術利用各個移動用戶間信號空間特征的差異，通過陣列天線技術在同一信道上接收和發射多個移動用戶信號而不發生相互干擾，使無線電頻譜的利用和信號的傳輸更為有效。在不增加系統復雜度的情況下，使用智能天線可滿足服務質量和擴展網絡容量的需要。智能天線的發展里程９０年代以來，陣列處理技術引入移動通信領域，很快形成了一個新的研究熱點－智能天線。智能天線應用廣泛，它在提高系統通信質量、緩解無線通信日益發展與頻譜資源不足的矛盾、以及降低系統整體造價和改善系統管理等方面，都具有獨特的優點。最初的智能天線技術主要用于雷達、聲納、軍事抗干擾通信，用來完成空間濾波和定位等。近年來，隨著移動通信的發展及對移動通信電波傳播、組網技術、天線理論等方面的研究逐漸深入，現代數字信號處理技術發展迅速，數字信號處理芯片處理能力不斷提高，利用數字技術在基帶形成天線波束成為可能，提高了天線系統的可靠性與靈活程度。智能天線技術因此用于具有復雜電波傳播環境的移動通信。此外，隨著移動通信用戶數迅速增長和人們對通話質量和數據質量要求的不斷提高，要求數據通信網在較大用戶承載下仍具有較高的話音和數據質量。技術分類智能天線技術有兩個主要分支。波束轉換技術（switchedbeamtechnology）和自適應空間數字處理技術（adaptivespatialdigitalprocessingtechnology），或簡稱波束轉換天線和自適應天線陣。天線以多個高增益的動態窄波束分別跟蹤多個期望信號，來自窄波束以外的信號被抑制。但智能天線的波束跟蹤并不意味著一定要將高增益的窄波束指向期望用戶的物理方向，事實上，在隨機多徑信道上，移動用戶的物理方向是難以確定的，特別是在發射臺至接收機的直射路徑上存在阻擋物時，用戶的物理方向并不一定是理想的波束方向。智能天線波束跟蹤的真正含義是在最佳路徑方向形成高增益窄波束并跟蹤最佳路徑的變化，充分利用信號的有效的發送功率以減小電磁干擾。１．波束轉換天線波束轉換天線具有有限數目的、固定的、預定義的方向圖，通過陣列天線技術在同一信道中利用多個波束同時給多個用戶發送不同的信號，它從幾個預定義的、固定波束中選擇其一，檢測信號強度，當移動臺越過扇區時，從一個波束切換到另一個波束。在特定的方向上提高靈敏度，從而提高通信容量和質量。為保證波束轉換天線共享同一信道的各移動用戶只接收到發給自己的信號而不發生串話，要求基站天線陣產生多個波束來分別照射不同用戶，特別地，在每個波束中發送的信息不同而且要互不干擾。每個波束的方向是固定的，并且其寬度隨著天線陣元數而變化。對于移動用戶，基站選擇不同的對應波束，使接收的信號強度最大。但用戶信號未必在固定波束中心，當使用者是在波束邊緣，干擾信號在波束的中央，接收效果最差。因此，與自適應天線陣比較，波束轉換天線不能實現最佳的信號接收。由于扇形失真，波束轉換天線增益在方位角上不均勻分布。但波束轉換天線有結構簡單和不需要判斷用戶信號方向（ＤＯＡ）的優勢。主要用于模擬通信系統。２．自適應天線陣融入自適應數字處理技術的智能天線是利用數字信號處理的算法去測量不同波束的信號強度，因而能動態地改變波束使天線的傳輸功率集中。應用空間處理技術（spatialprocessingtechnology）可以增強信號能力，使多個用戶共同使用一個信道。自適應天線陣是一個由天線陣和實時自適應信號接收處理器所組成的一個閉環反饋控制系統，它用反饋控制方法自動調準天線陣的方向圖，使它在干擾方向形成零陷，將干擾信號抵消，而且可以使有用信號得到加強，從而達到抗干擾的目的。天線陣元配置方式包含直線的型，環型和平面的型，自適應天線是智能天線的主要的型式。自適應天線完成用戶信號接收和發送可認為是全向天線。它采用數字信號處理技術識別用戶信號的DOA，或者是主波束方向。根據不同空間用戶信號傳播方向，提供不同空間通道，有效克服對系統干擾。自適應天線主要用于數字通信系統。3．1．2Ruckus的智能天線系統RuckusBeamFlex采用的就是自適應天線陣形式的智能天線系統。它由12個天線單元組成可以形成2N-1種不同的波束特征，也就是4095種的組合。BeamFlex系統軟件實時了解工作環境，包括射頻情況，通訊設備，網絡性能已經應用流，并為每一臺通訊設備選擇最合適的天線陣列。傳輸控制模塊能夠選擇高質量的信號路徑，并為接收設備選擇最佳的數據傳輸速率。3．1．3綠色的的電磁環境電磁輻射和健康隨著人們生活節奏的加快和生活質量的提高，人們正被越來越多的電子設備所籠罩。科技帶給人們便捷的同時，也帶來更多的傷害。電子產品產生的電磁污染問題已經成為人們關注的熱點。正所謂關心則亂，關于電磁輻射的相關報道和言論很多時候讓人談虎色變。電子產品的電磁輻射真就那么可怕嗎？究竟什么樣的電磁輻射才構成污染？消費者又該如何正確認識電磁輻射，將電磁輻射的負面影響降低到最小？電磁輻射是由空間共同移送的電能量和磁能量所組成，而該能量是由電荷移動所產生；舉例說，正在發射訊號的射頻天線所發出的移動電荷，便會產生電磁能量。電磁“頻譜”包括形形色色的電磁輻射，從極低頻的電磁輻射至極高頻的電磁輻射。兩者之間還有無線電波、微波、紅外線、可見光和紫外光等。電磁頻譜中射頻部分的一般定義，是指頻率約由3千赫至300吉赫的輻射。電磁輻射所衍生的能量，取決于頻率的高低-頻率愈高，能量愈大。頻率極高的X光和伽瑪射線可產生較大的能量，能夠破壞合成人體組織的分子。事實上，X光和伽瑪射線的能量之巨，足以令原子和分子電離化，故被列為“電離”輻射。這兩種射線雖具醫學用途，但照射過量將會損害健康。X光和伽瑪射線所產生的電磁能量，有別于射頻發射裝置所產生的電磁能量。射頻裝置的電磁能量屬于頻譜中頻率較低的那一端，不能破解把分子緊扣一起的化學鍵，故被列為“非電離”輻射。哪里會有電磁輻射？電磁輻射的來源有多種。人體內外均布滿由天然和人造輻射源所發出的電能量和磁能量；閃電便是天然輻射源的例子之一。至于人造輻射源，則包括微波爐、收音機、電視廣播發射機和衛星通訊裝置等。電磁輻射不等于電磁污染從理論上來講，電場和磁場的交互變化產生電磁波，電磁波向空中發射或匯汛的現象，叫電磁輻射。過量的電磁輻射造成了電磁污染。在這個電子產品充斥的時代，環境中的電磁輻射幾乎無處不在，尤其是擺滿各種電器設備的房間，電磁輻射源更多。通常情況下，電磁輻射能干擾電視的收看，使圖像不清或變形，并發出噪聲；會干擾收音機和通信系統工作，使自動控制裝置發生故障，使飛機導航儀表發生錯誤和偏差，影響地面站對人造衛星、宇宙飛船的控制。專家指出，并非所有的電磁輻射都會傷害人體，電磁輻射和電磁污染其實是兩個概念。電磁污染是電磁輻射超過一定強度（即安全衛生標準限值）后的結果，電磁污染會對人體產生負面效應，如頭疼、失眠、記憶衰退、血壓升高或下降、心臟出現界限性異常等。據職業病研究的專業人士介紹，電磁輻射對人體危害程度則隨波長而異，波長愈短對人體作用愈強，微波作用最為突出。有資料顯示，處于中、短波頻段電磁場（高頻電磁場）的操作人員，經受一定強度與時間的暴露，將產生身體不適感，嚴重者引起神經衰弱，如心血管系統的植物神經失調，但這種作用是可逆的，脫離作用區，經過一定時間的恢復，癥狀可以消失，并不成為永久性損傷;處于超短波與微波電磁場中的人員，其受傷害程度要比中、短波嚴重。尤其是微波的危害更甚。在其作用下，人體除將部分能量反射外，部分被吸收后產生熱效應。這種熱效應是由于人體組織的分子反復地極向和非極向的運動摩擦而產生的。熱效應引起體內溫度升高，如果過熱會引起損傷，一般以微波輻射最為有害。這種危害主要的病理表現為：引起嚴重神經衰弱癥狀，最突出的是造成植物神經機能紊亂。在高強度與長時間作用下，對視覺器官造成嚴重損傷，同時對生育機能也有顯著不良影響。電磁輻射衰減很快電磁場在介質中傳播時，其場量的振幅隨距離的增加而按指數規律衰減。從能量的觀點看，電磁波在介質中傳播時有能量損耗。所以人工設備產生的電磁輻射值隨距離的增加，而顯現衰減。普通純平電視機的磁場在屏幕前5厘米處可高達5微特斯拉，而屏前40厘米外就是安全范圍。日常所用功效的微波爐前5厘米處，磁場強度達8微特斯拉，離微波爐開關95厘米才是安全范圍。以下的表格是日常家電產品電磁波強度及衰減距離，供您日常擺放參考。3厘米30厘米1米吸塵器200－8002－200.13－2攪拌機60－700.6－600.02－0.25微波爐75－2004－80.25－0.6電視機2.5－500.04－20.1－0.15洗衣機0.8－500.15－30.01－0.15電熨斗8－300.12－0.30.01－0.025咖啡壺1.8－250.08－0.15>0.01電冰箱0.5－1.70.01－0.25>0.01從上表可以看出電磁波的強度隨著距離的增加，電磁波衰減的非常快。除了微波爐，其他電器距離超過1米以外的輻射都非常的低。電磁輻射不是惡魔在世界衛生組織296號“實況報道”中，描述了電磁輻射超敏反應的系列癥狀：“這些常見的癥狀包括皮膚癥狀（發紅、刺痛感和燒灼感）以及神經衰弱和植物性癥狀（疲乏、勞累、不專心、眩暈、惡心、心悸和消化障礙）。大量癥狀聚集并不是任何公認綜合癥的一部分。”對比這些癥狀，人們會懷疑自己處在電磁輻射超敏反應中。不過在同一篇文獻中，醫學界承認電磁輻射超敏反應沒有明確的診斷標準，甚至沒有科學依據將電磁輻射超敏反應與電磁場暴露聯系在一起。這是世界衛生組織在2005年公開發布的實況報道。不過最近的醫學實踐似乎對電磁輻射尤其是持續的WiFi輻射提出了更多的懷疑和批評。尤其是對于家庭用戶而言，整天24小時使用WiFi是不可能的，甚至在某些公共場所的熱點也并非時時刻刻有人使用WiFi。就像手機一樣，WiFi完全有必要智能調節發射接受功率，在潛在的輻射危害和使用便捷中達成平衡。平衡的選擇－BeamFlex縱然電磁輻射不能被證明對健康有傷害；電磁輻射隨著距離的增加，輻射強度衰減非常明顯；Wi-Fi設備的輻射強度與手機相比較要更安全的，但是電磁輻射小一些，少一些，電磁環境就會更環保一些。Ruckus基于BeamFlex技術的智能無線網解決方案可以使得有限的無線信號能量更有目的性的指向正在通訊的客戶端；而在沒有無線客戶端工作的區域，沒有電磁輻射。與現有的無線網相比較，工作環境更綠色環保，電磁輻射的目的性更強，更有效率。最大程度的避免了電磁污染現象。還要強調的是，人體對于電磁波有很強的衰減。如果人體處于Ruckus的AP和客戶端之間時，Ruckus的AP會主動選擇其他信號路徑，主動避免對人體的照射。（上圖中指示燈的指示方向就是信號的發送方向）3．1．4BeamFlex和802.11n802.11n基礎802.11n是一個美國電氣電子工程師協會（IEEE）無線標準，和較老的802.11標準相比，在吞吐量和傳輸距離上有了顯著的提升。802.11n開發了很多高級技術和新技術，如空間復用、頻道復合以及幀集成等，在物理層面上，其理論數據傳輸率最高可達IEEE802.11a/g系統最大速度54Mbps的11倍。802.11n主要使用了七種技術來提升整體帶寬與性能：多路空間數據流：1路，2路，3路或4路這讓其可以在某些環境中，提升2到4倍的數據傳輸率。頻道帶寬：20MHz組合成40MHz在某些環境下，這讓其可以大體提升一倍的物理數據傳輸率。時空塊識別選項未來的某些芯片組將支持此功能，某些環境下能提升可靠性。波束形成（Beamforming）選項未來某些芯片組會支持。可變保護間隔某些環境下可以提升大約11%的吞吐量。幀集成更高的物理速率，可以極大的改善有效吞吐量。塊應答更高的物理速率，可以極大的改善有效吞吐量。在目前生產的芯片組中，這些最重要技術已經實現的有：空間復用，頻道復合，幀集成，以及塊應答。期待的802.11n數據傳輸率雖然生產商們在不斷宣傳802.11n的理論數據傳輸率是300Mbps或者更高，但實際用戶們的吞吐量卻要低了不止一個數量級。這是因為當前的802.11n產品并未能最有效的使用這些新技術。因為擁有對Wi-Fi信號構成以及信號方向的完全控制能力,SmartWi-Fi通過使用這些技術，無論在時間上還是距離上，都確保了更高的TCP吞吐量。物理速率的提升802.11n標準的核心之一，是一種叫做“空間復用”的技術。空間復用是基于多個傳輸天線的不同編碼數據信號或數據流的并發傳輸。這樣，同一空間就被重復利用了多次，或者是被多路復用了多次。空間復用的工作原理是將一個數據幀分割為多個數據片，然后通過多個天線的多路無線信號，并發傳輸這些數據片。而接受者則使用不同的天線，接受不同的信號，并執行還原過程，將其恢復為原始數據流。空間復用通過提升發射者與接受者之間并發數據流的數量，從而提升吞吐量。空間復用實際上是利用了一個常見的無線現象，叫做“多路徑”（后文會對此進行詳細討論）。就是一個無線信號會因為反射，經由不同的路徑達到最終客戶端，導致客戶端因此難以確定正確的信號。而在802.11n里，多路徑卻是被希望發生的現象，這樣就可以向接收端傳輸更多的數據。因此，確保信號會經由不同的射頻路徑傳輸，對獲取更高性能而言就很重要了。空間復用的挑戰雖然802.11n規范允許高達4路的空間數據流，但是目前絕大多數可用的芯片組和系統只能支持2路。或許在幾年后，芯片制造商們推出新一代802.11n芯片組時，會改變這一點。802.11n數據流速率:空間復用和物理數據傳輸率一樣，對干擾和數據包丟失高度的敏感。在一個充滿干擾的環境以及（或者）不佳的位置下，AP和客戶端可能會傾向于選擇更少的空間數據流。這會導致物理數據傳輸率和實際吞吐量的急劇降低。正如前文所提及的那樣，空間復用依賴于多路徑傳輸（無線信號通過2條或者多條路徑到達接受者天線）和相關延遲（每個信號自發射到被接收到之間的時間間隔）。接收端就是依據這些路徑差異來重組或者重建原始數據流的。如果在發送端和接收端之間的空間穿越路徑太過近似（或者“相互關聯”），空間復用就會失敗，發送端就必須削減空間數據流的數量，從而降低傳輸速率。因此，確保多路徑運作對于獲取802.11n所承諾的高性能來說，也是必不可少的空間復用同時也提升了空間數據流出錯的概率。因為此時穿越無線介質的數據更多了，所以出現數據損傷或者數據包丟失的概率也就更大了。在這種情況下，對一個AP或者一個客戶端來說，最典型的反應就是使用較少的空間數據流，并降低數據傳輸率，以確保平穩運行以及最小化丟包率。認識空間復用的潛力智能天線技術才是最適合空間復用的。因為通過控制信號路徑的方向和時間，智能天線陣列最小化了陣列之間的關聯性。而正是不同的天線配置之間的非關聯性，才能保證實現使用這些系統所獲取的大部分統計增益。通過獨立掌控或者路由每一個空間數據流通過最適宜的射頻路徑，智能天線提升了空間復用通訊可用的時間百分比，拓展了空間復用的實用性。如今，幾乎所有的802.11nAP都使用了多根全方位天線，以發射不同的數據流。這些全方位天線幾乎是同等極化的，因此導致了多路徑的可能性被降到最低，特別是在很短的距離上。相反，智能天線陣列允許使用水平或者垂直極化的天線部件，以用于不同的空間數據流。這增加了（幾乎是確保了）正確多路徑傳輸的可能性。除了最大化路徑的非相關性之外，智能天線陣列技術還可以排除干擾。這點對于2.4GHz的頻譜來說特別重要，因為它只有3個非重復的頻道，要不是那些全方位天線的Wi-Fi系統幾乎不可能做到這一點，頻道復合也不會變得如此困難。要減輕外來干擾，并防止空間數據流間彼此相互干擾，使用自適應智能天線是最適合的，因為每一個Wi-Fi傳輸都可以被相應的特定天線獨立控制，包括對方向的控制，以及對每個數據包穿越射頻介質的路徑控制。此外，在5GHz的無線頻譜中（和2.4Ghz頻譜一樣），智能天線陣列為802.11n提供了相當高的信號增益（在許多個案中高達9dBi）。其結果就是可以在更大的覆蓋范圍內使用更多的空間數據流。40MHz頻道（頻道復合）802.11n另一個重要的技術就是40MHz頻道（也就是常說的“頻道復合”）。頻道復合通過將兩個臨近的20MHz頻道復合成一個單獨的40MHz頻道，來提升帶寬。就吞吐量的提高來說，實際上比兩倍還略高一點點，因為兩個整合頻道之間的保護帶也能被去掉。2.4GHz對5GHz以及頻道復合沒有頻道復合的話，802.11n將是殘缺不全的。限制客戶端僅能使用20MHz是一種實質上的誤導，并且會從整體上損害802.11n。由于絕大多數Wi-Fi系統中對于射頻傳輸控制的缺乏，傳統經驗告訴我們，40MHz頻道僅在5GHz波段有效，因為在那個頻譜中，有大量的非重復頻道可用。而在2.4GHz波段，僅僅只有3個非重復的20MHz頻道（頻道1，6和11）。將3個非重復頻道中的2個組合成一個更寬的40MHz頻道，將限制你只能使用一個單獨的非重復40MHz頻道。在5GHz波段，有23個非重復的20MHz頻道（實際數目視不同的國家規定而不同），因此使用40MHz頻道沒有任何的風險。另一個常見的誤解是認為使用40MHz頻道的話，將造成更多的干擾。雖然40MHz的運作會消耗2倍的帶寬，但是數據包卻只有一半（相對于時間），所以在干擾方面其實并無實際增加。要最大化802.11n的運作，AP和客戶端方面是否都有足夠的智能以確認運作的正確模式，就顯得非常重要了。SmartWi-Fi通過其獨有的方式解決了干擾問題，因而在2.4GHz頻譜內解決了頻道復合的問題。

SmartWi-Fi提升了頻道復合的幾率無論是使用2.4GHz還是5GHz的波段，40MHz的頻道都對干擾和數據包丟失極其敏感。對指定客戶端而言，絕大多數的AP都會在發現出現干擾或者數據包丟失時作出反應，降回20MHz頻道。這會導致潛在吞吐量損失一半以上。SmartWi-Fi提供了更大程度上的更多自由，允許AP在數千種可能天線模式以及路徑之間進行選擇。在絕大多數情況下，它都可以找到一種特定的天線組合，可以保證在干擾依舊的情況下，繼續使用40MHz頻道。雖然實際操作還要依賴于具體的不同環境，但實際情況就是，使用了SmartWi-Fi的頻道復合，即使在2.4GHz的波段里也是非常有效的。有效吞吐量的提高除了物理速率提升，802.11n還增加了MAC-層技術，來提升有效吞吐量。802.11n幀集成幀集成幀集成將多個小數據包組合成一個大幀——系統開銷（Overhead）更少，有效地提高數據包效率。塊應答塊應答讓接受者可以對一組幀進行應答，而不是以前那樣對單個幀進行應答。因為延遲的響應時間，應答降低了發射時間的效率。而通過一次應答多個幀，802.11n現在可以更加有效的使用無線介質。802.11n塊應答幀集成及塊應答的潛在益處和挑戰這兩個技術在約定的物理數據傳輸率上，一起引人注目的提升了實際吞吐量。這種在時間和距離上的實際吞吐量才對絕大多數用戶有意義，因為環境的改變并不總能被事先考慮到。802.11g的最大物理傳輸速率是54Mbps，但是實際的UDP性能不超過大約35Mbps，而最大的TCP吞吐量則要更低得多。而使用802.11n，在物理數據傳輸率方面的問題就更加戲劇化了。在一個沒有塊應答的300Mbps物理傳輸速率上，有效的最大UDP吞吐量不超過68Mbps。一次應答2幀可以將潛在吞吐量提升到110Mbps；一次應答4幀可以將吞吐量提升到200Mbps，以此類推。很顯然，幀集成和塊應答技術，對于802.11n所承諾的性能而言，有多么的關鍵。毋庸置疑，幀集成和塊應答同樣也對數據包丟失和干擾極其的敏感。在一個嘈雜的環境里，絕大多數AP和客戶端都會回歸到一個侵略性較少的集成上，其結果就是較低的吞吐量。通過優化到達每個客戶端的路徑，減輕干擾，提升距離，以及提供優異的接受靈敏度，SmartWi-Fi技術可以通過提升AP和客戶端之間協商達成更具侵略性的幀集成以及塊應答方案的可能性，從而幫助實現并最大化MAC層增強技術的潛力。其結果就是，在距離方面獲得可靠的性能提升。向下兼容性——802.11a/b/g客戶端802.11n向下兼容于802.11a，802.11b，以及802.11g，所以老客戶們也可以使用802.11n的AP。許多人擔心，面對這些老客戶端，802.11n將失效。這種想法是錯誤的。一些專家推薦對新式802.11n客戶端使用5GHz波段（假定很少會有拖慢網絡的802.11a客戶端），而對老客戶（802.11b/g）則使用2.4GHz波段。嗯，很合理，但這遠不是最理想的。使用雙波段AP或者覆蓋式802.11n網絡將更加的昂貴，而5GHz波段的空氣傳播性更低，傳輸距離也更短。這會導致需要更多的AP，整體方案的成本也會更貴。相對于可供選擇的更多可用頻道，802.11n的5GHz波段提供了更多的彈性，但在使用此頻譜解決和低物理速率802.11a/802.11n客戶端相關的問題方面，并沒有任何與生俱來的優勢。這一點，和802.11b在一個802.11g網絡中如何運作很相似。SmartWi-Fi引入了相關技術，以解決這些潛在的問題。某些情況下，最佳方案是給予每一個客戶端（無論其屬于何種類型）同等的介質訪問份額。比方說，10個同時進行的客戶端，每一個都消耗十分之一的傳輸時間。對于有300Mbps物理速率的一個客戶端來說，這意味著最高30Mbps的吞吐量（忽略系統開銷）。而對于只有1Mbps物理速率的客戶端而言（可能是一個老客戶端，或者是一個遠程802.11n客戶端），則意味著不超過100kbps。在其他情況下，一個最佳方案可能是懲罰慢速客戶端，而給予更快的客戶端以更多的無線網絡訪問權。其結果就是更高的整體性能和整體應用水平。問題是，絕大多數Wi-FiAP都使用集成在無線芯片組中的非彈性硬件隊列，只能提供4路標準隊列，分別是語音，視頻，數據，以及其他應用。其結果就是，一個慢速的語音客戶端將消極影響網絡中的所有其他客戶端。SmartWi-Fi結合了智能天線陣列以及QoS（服務質量控制）技術來解決這個問題。智能天線陣列允許對每一個數據包及每一個客戶端使用不同的天線陣列。與此同時，一個復雜的服務質量控制引擎為每一個客戶端都保持4條軟件隊列。不同的客戶端之間應用一個加權的循環法則。這些技術結合在一起，可以形成不同的特定策略，保證對不同客戶端之間的傳輸時間分配可以達到最優化效果。BeamFlex和802.11n802.11允諾會重新定義無線網絡，最終讓企業無線化觸手可及。但是伴隨802.11n而來的，卻是復雜性、成本的增加以及混亂性。在生產商宣揚高達300Mbps的數據傳輸率時，用戶的體驗卻完全不同。獲取802.11n系統所承諾高性能的關鍵，在于利用全新的802.11n基本技術，例如空間復用、頻道復合、幀集成以及塊應答。要做到這一點，在射頻領域方面擁有可見性以及控制力就勢在必行，與此同時，還需要對那些能對性能造成負面影響的實時環境變化擁有自適應能力。當今的802.11n系統，絕大多數都未提供能滿足需求的射頻區域控制——其結果就是不合理的系統性能。這些系統必須不斷進行一次又一次的人工調整——需要你熟知信號傳播特征以及環境條件方面的相關知識。而智能天線技術的進步，卻的的確確解決了環繞在802.11n周圍的難題，比如復雜性、可靠性，以及性能方面的問題。通過自動控制Wi-Fi信號的路徑選擇，SmartWi-Fi系統能夠確保進行空間復用，頻道復合，幀集成以及塊應答的最大可能性。此外，通過任何時候都對Wi-Fi信號進行最佳路徑的路由，這些SmartWi-Fi系統能夠避免和減輕所受到的干擾。其結果就是，在任何指定范圍內，都能為用戶提供性能更好，更加可靠的無線連接。3．2Ruckus無線局域網的管理重慶XXX的無線局域網是一個數量龐大的無線網絡，包括有幾十個的無線AP，如何管理這些數量龐大的無線AP和復雜的無線應用業務，是重慶XXX酒店IT管理者面臨的一大難題。傳統無線局域網的所有網絡配置都必須在AP上設定。采用無線交換機管理控制的AP解決了上述問題，但由于所有AP的業務流量都要匯聚到無線交換機，使得無線交換機成為單點故障和性能瓶頸，而且隨著最新的802.11n技術的逐步采用，每個AP無線傳輸速率高達300Mbps，如果遍布在各處的802.11nAP的數據都匯聚到中心的無線交換機進行處理，那么集中式無線交換機的單點故障和瓶頸效應彰顯的尤為明顯，而且將遍布各處的無線用戶的數據都匯聚到中心的無線交換機進行處理，無論是用戶的使用性能還是可擴展性都是需要慎重考慮的。對重慶XXX酒店來講，兼容現有的網絡和運營模式是建設任何網絡的優先考慮。所以集中管理就是一個必須要支持的功能，比如部署在用戶場所的AP要求獲取當地的IP，而部署在管理中心機房的集中網管系統可以跨網段對部署在各用戶場所的AP進行遠程管理。新一代的無線網絡管理方案既要能夠滿足當前重慶XXX酒店業務的集中管理需求，又能夠滿足重慶XXX酒店網絡規模和新業務不斷發展的需要。Ruckus無線公司基于TR-069標準的網管系統FlexMaster是目前最適合的無線網管系統，它使得網絡管理者能夠方便的管理分布于不同區域、數量龐大的AP，可以在很大程度上減少的配置/管理工作，提高設備的易用性和可管理性，便于設備的快速部署和業務的迅速開展。FlexMaster最大支持同時管理10000個AP3．2．1集中管理–FlexMaster和ZD1000/3000FlexMaster集中網管服務器安裝在網管中心，直接管理分布在各處的2942AP和無線控制器ZoneDirector1000/3000。有些地方如運營商管理的連鎖咖啡廳、連鎖零售商店、無線熱點等，由于這些場所一般安裝的2942AP數目比較少，建議這些地點安裝的2942AP直接歸FlexMaster集中網管系統管理，供電可采用220伏AC/DC轉換器直接供電，也可以通過支持802.3af標準的PoE以太網交換機對其供電。對于連鎖酒店、學區、中大型企業以及無線管理業務，由于這些客戶一般擁有多個場所，每個場所需要部署幾十個到成百上千個AP不等，建議在這些場所的設備間部署Ruckus無線公司的無線控制器ZoneDirector1000/3000，統一管理部署在本場所的2942AP，分布在各個場所的無線控制器ZoneDirector1000/3000由部署在網管中心的FlexMaster集中管理。這樣每個場所可以通過部署在本地的ZoneDirector1000/3000進行一些本地化的配置，如只服務于該場所的特定的SSID，ZoneDirector1000/3000可以對部署在本場所的AP做靈活的射頻管理，如無線信道的選擇，發射功率的調整、負載均衡等，也有利于VoWLAN等語音業務的無縫漫游。FlexMaster集中網管系統提供以下基本功能：

(1)AP“零”配置、即插即用在任何地點的AP加電后，能夠自動找到FlexMaster網管服務器，主動請求管理，從FlexMaster網管服務器下載配置，自動進行初始化配置。AP只需要配置IP地址和指定FlexMaster網管服務器的IP/URL地址，其它的配置都由AP自動完成。基本做到AP設備的“零”配置或即插即用。AP也可以通過DHCP服務器或DNS服務器自動獲得FlexMaster網管服務器的IP/URL地址。（2）集中配置管理配置管理由FlexMaster網管服務器控制發起，通過在FlexMaster網管服務器上按組或設備類型設置配置模板。批量對指定設備和指定設備組配置更新，也可以對單臺設備進行個性化配置和管理。

(3)軟件升級管理

AP可以主動請求版本更新，也可由以FlexMaster網管服務器強制進行版本的升級。無論是哪種方式，版本的決策都由FlexMaster網管服務器來控制。FlexMaster網管服務器可以定制升級任務，為了不影響用戶的正常上網，FlexMaster網管服務器一般可以指定軟件升級或配置更新安排在凌晨用戶比較少的時間段進行。(4)性能監控和系統日志文件

FlexMaster網管服務器可以實時查詢設備狀態，顯示設備信息，包括：型號,設備名稱,MAC地址,序列號，Firmware版本,上次通信事件，組名稱等。AP可主動發送事件報告實現設備的實時告警，設備告警、事件、設備日志能夠通過Email發送到指定管理員帳號。FlexMaster網管服務器能夠查看設備log信息和存儲log文件。(5)基于加密通道的遠程管理

采用加密通道對AP進行遠程管理，管理更安全。采用基于TCP的網管，管理更可靠（SNMP是基于UDP的網管）。（6）提供審計log保存管理員操作日志，內容包括時間、審計類型、重要程度、用戶帳號和日志具體信息。可以Email審計日志到指定管理員賬號。（7）實時監視無線RF環境提供無線信號的熱敏圖，能夠實時看到無線頻譜分布、無線信號強度。在在各個服務場所部署ZoneDirector和APFlexMasterDHCP/DNS服務器AAA服務器服務器在網管中心設置FlexMaster和配置DNSZoneDirector和AP自動‘訪問回家’ZoneFlexZoneFlex連鎖零售店連鎖咖啡廳外語學院圖書館當某個區域AP相對集中，如酒店、學校的圖使館、教學樓等，可以在這些大樓的設備管理間部署Ruckus無線公司的無線控制器ZoneDirector1000/3000，統一管理部署在本樓內的2942室內型11gAP。這樣無論2942AP安裝本樓的在什么地方，都集中到安裝在本樓設備管理間的無線控制器ZoneDirector1000/3000進行管理。ZoneDirector1000/3000可以對部署在本樓內的AP做靈活的射頻管理，如無線信道的選擇，發射功率的調整、負載均衡等，也有利于VoWLAN等語音業務的無縫漫游。ZoneDirector1000/3000則可以由部署在網管中心的FlexMaster網管系統集中遠程管理。DHCPDHCP服務器AAA服務器FirewallRouterInternet2942/7942AP部署在大樓內的2942AP，通過以太網線連接到樓層以太網交換機或通過大樓的綜合布線系統直接連接到大樓設備管理間的以太網交換機。如果樓層有些地方難以實施綜合布線，則可以考慮采用Ruckus無線公司的智能MESH技術，2942AP只需部署到所需的位置，通過220VAC/DC電源適配器對其進行供電，2942AP會自動發現周圍鄰居，并自動發現一條最佳的路徑連接到有線網。RootRoot11nAP802.11g802.11g802.11n300Mbps150Mbps150Mbps100MbpsMesh11nAP如果采用Ruckus無線公司智能MESH技術，則可以大大降低施工的難度，降低工程成本，加快工程建設進度。這項技術對于已裝修的大樓或臨時增加無線覆蓋的應用場景尤為重要。由于無線MESH網經過多跳后，性能會下降。如采用Ruckus無線公司294211gAP，經過3跳MESH連接后，帶寬約為7Mbps。如果用戶應用需要很大的帶寬，則建議采用Ruckus無線公司最新的794211nAP，如上圖所示，經過3跳MESH連接后，帶寬仍高達100Mbps。2942AP如果和ZoneDirector1000/3000處于同一個二層子網內，那么AP通過二層子網內廣播自動發現ZoneDirector1000/3000，進行軟件和配置的更新和管理。2942AP如果和ZoneDirector1000/3000處于不同二層網絡內，那么AP可通過DHCP服務器的選項Option43或手動設置ZoneDirector1000/3000的IP地址來發現ZoneDirector1000/3000，進行軟件和配置的更新和管理。ZoneDirector1000/3000安裝在XX大樓的管理設備間，一臺ZoneDirector1000/3000最多可以管理50/250個部署大樓內的AP。294211gAP的配置管理、日志管理、RF管理、RougeAP檢測和故障診斷管理均由ZoneDirector1000/3000負責。RADIUSRADIUSAAA服務器ZF294211g無線用戶EAPoverwirelessLAN(EAP-OL)EAPoverRADIUSPEAP,TTLS,TLSoverEAPoverwirelessLAN(EAP-OL)andoverRADIUS用戶的認證和計費可以通過ZoneDirector1000/3000與大樓現有的AAA認證計費服務器聯系完成。ZoneDirector1000/3000負責將用戶的用戶名和密碼認證信息以及計費信息傳送到大樓現有的AAA認證計費服務器。 實現的功能如下：與現有網絡結構兼容，無需對現有網絡進行任何調整和改變。集中管理和計費。支持8個SSID，支持PoE。認證加密機制是基于每個SSID來設定，針對不同的目標用戶可以采用不同的認證加密機制，例如對于訪客可以采用Webportal認證方式，而且可以設定訪客限制，一旦認證成功，訪客一般只能接入訪問互聯網。和大樓現有的AAA認證計費服務器相配合，支持基于802.1x的EAP-PEAP、EAP-TTLS等無線用戶認證加密機制，合法用戶必須輸入正確的用戶名和密碼，通過AAA系統認證后，才能接入訪問互聯網。用戶數據庫可以采用ZoneDirector1000/3000內置的用戶數據庫，也可以采用外置的RADIUS服務器或ActiveDirectory服務器。支持合法用戶在在大樓內無線網覆蓋范圍內的漫游識別，認證和計費。支持無線用戶在大樓內不同2942AP間的無縫切換而不中斷用戶數據連接。具有提供智能化的無線電波自動調控與切換能力，以確保單個AP接入點在發生故障時無線用戶自動切換到鄰近AP，不會影響到用戶的無線接入服務。支持無線用戶的二層隔離，保證用戶數據的安全。支持數據在無線信道上傳輸的VPN機制，以實現某些特殊的用戶數據集中管理；支持無線電波監控能力，能自動調整信道和發射功率，以減少干擾。支持多業務區分，可以根據用戶分類與分布情況，設置多SSID技術來實現多業務區分。支持基于每個SSID的用戶上行、下行數據輸率限制，防止使用PtP下載應用的用戶大量占用寶貴的網絡帶寬。支持防DoS惡意攻擊，一旦ZoneDirector1000/3000檢測到某臺機器連續多次認證失敗，ZoneDirector1000/3000可以根據預先的設定，一段時間內拒絕該機器發出的所有無線數據，缺省時間一般為30秒鐘。無線用戶數據流量缺省不經過ZoneDirector1000/3000進行交換，沒有瓶頸，性能好，擴展靈活。如果有些應用確實需要匯聚到ZoneDirector1000/3000進行處理，則可以通過建立VPN隧道的方式來實現。支持零配置安裝，全自動配置更新、軟件升級。除了支持硬件QoS隊列以外，還支持分別針對每個無線用戶的軟件QoS隊列，以確保對時延和抖動敏感的應用如語音、視頻等的良好支持。支持智能WiFiMESH功能，有些難以布線的地方或臨時需要部署AP的地方，則可以采用無線MESH的方法，通過其它有以太網連接的2942AP接入到大樓的有線以太網內。3．2．2RF的智能管控Ruckus基于BeamFlex技術的智能無線網解決方案可以使得有限的無線信號能量更有目的性的指向正在通訊的客戶端；而在沒有無線客戶端工作的區域，沒有電磁輻射。與現有的無線網相比較，工作環境更綠色環保，電磁輻射的目的性更強，更有效率。最大程度的避免了電磁污染現象。Ruckus無線控制器ZoneDirector1000/3000自動設定AP的工作信道，當檢測到AP工作信道有射頻干擾時，ZoneDirector1000/3000會自動調整AP的工作信道來避免干擾。當AP的部署密度很高，一旦AP內置的BeamFlex技術無法有效避免鄰近AP的相互干擾，ZoneDirector1000/3000會自動調整AP的發射功率來有效避免相互之間的射頻干擾。由于Ruckus無線公司的2942AP采用專利的BeamFlex智能天線技術，AP只往有無線用戶的方向定向發送無線信號，而不象其它廠商的AP采用360度全向發送無線信號，因此大大減少了鄰近AP之間的相互干擾，ZoneDirector1000/3000無需像其它廠商的無線交換機頻繁地調整AP的發射功率，這一點在動態環境下尤為重要。3．2．3系統的冗余備份當無線網絡規模越來越大，作為集中網管系統FlexMaster就需要系統冗余備份。最簡單、最初步的系統冗余備份是增加冗余的外置數據庫和FlexMaster服務器，增加一個負載均衡器來平衡每個FlexMaster服務器的負載，所有的FlexMaster服務器共用一個虛擬的IP地址。進一步的網絡擴展和系統冗余備份則是分布式數據中心冗余，分別部署FlexMaster集中網管系統在地理冗余的不同數據中心，北部地區的AP則配置網管URL到部署在北部數據中心FlexMaster的URL，同樣南部地區的AP則配置網管URL到部署在南部數據中心FlexMaster的URL，利用AP上配置不同FlexMaster服務器URL來做適當的負載均衡。最高級別的系統冗余則是帶冗余的災難恢復，多個地理冗余的數據中心共享同步的數據庫，數據中心可以是工作-工作狀態，也可以是工作-備份狀態，這樣可以從容應對災難性事件。在某些重要的場所，可以在一個IP子網內部署冗余的Ruckus無線公司的無線控制器ZoneDirector1000/3000，當某一個工作的ZoneDirector1000/3000出現故障，AP會自動注冊到備用的ZoneDirector1000/3000，無線用戶能夠維持會話，不需要重新手工登錄。其效果和無線用戶在同一個ZoneDirector1000/3000管理下的不同AP之間漫游的效果是一樣的。ZDAZDAZDBZDAZDB3．2．4客戶端的漫游無線用戶在在同一個ZoneDirector1000/3000管理下的不同AP之間可以無縫漫游，維持會話的連續性。RADIUSRADIUS對于基于802.1x認證的漫游，ZoneDirector1000/3000和無線客戶端在完成802.1x/EAP認證后，ZoneDirector1000/3000和無線客戶端保存PMK，ZoneDirector1000/3000把保存的PMK通知鄰近的AP，當無線客戶端漫游到鄰近AP，搜索到同樣的SSID，無線客戶端會使用存儲的PMK和新的AP做4次握手，完成快速漫游切換。當無線客戶端再漫游回到原先的AP時，無線客戶端仍然會使用存儲的PMK和原先的AP做4次握手，完成快速漫游切換，每個PMK一般保存8個小時。3．2．5SNMP和TR-069SNMP簡單網管協議比較適合在企業網內使用，當用于管理大規模網絡的時候，SNMP會遇到不能穿透防火墻或NAT設備的難題。而基于TR-069的集中網管系統能夠穿透NAT設備，方便的管理分布于不同區域、數量龐大的CPE(客戶端網絡設備)，集中管理服務器具有如下功能：自動設備發現、批量并發配置更新、安全遠程無線監視、告警、日志和報告、單個設備的細節管理、無需上門進行故障診斷、可遠程自動升級。AP的部署簡單，只需要配置好IP地址和TR-069的集中網管服務器的URL，設備就會自動完成AP的復雜配置。基本做到AP設備的“零”配置或即插即用。Ruckus無線公司的AP既支持傳統的SNMP網管，也支持新型的TR-069網管。如果用戶已部署SNMP網管系統，Ruckus公司可以提供AP詳細的MIB庫，經SNMP網管軟件編譯后，Ruckus公司的AP就可以納入用戶的SNMP網管系統來管理。如果用戶新建網管系統，則建議采用新的TR-069網管系統，如Ruckus公司的基于TR-069協議的FlexMaster網管系統，安裝在一臺通用的Linux服務器上，就可以管理多達20000臺Ruckus公司的AP。Ruckus公司的AP可以人為配置由基于SNMP的網管系統管理還是由基于TR-069的網管系統管理，也可以讓AP自動選擇。如果AP找到基于TR-069的網管系統，則選擇TR-069管理系統，否則選擇SNMP的網管系統，但同時AP仍然會繼續尋找基于TR-069的網管系統。隨著網絡規模的不斷發展，基于TR-069的網管系統會越來越普遍。3．3Ruckus無線局域網系統的安全管理3．3．1網絡安全的體系架構網絡安全的任何一項工作，都必須在網絡安全組織、網絡安全策略、網絡安全技術、網絡安全運行體系的綜合作用下才能取得成效。首先必須有具體的人和組織來承擔安全工作，并且賦予組織相應的責權；其次必須有相應的安全策略來指導和規范安全工作的開展，明確應該做什么，不應該做什么，按什么流程和方法來做；再次若有了安全組織、安全目標和安全策略后，需要選擇合適的安全技術方案來滿足安全目標；最后在確定了安全組織、安全策略、安全技術后，必須通過規范的運作過程來實施安全工作，將安全組織、安全策略和安全技術有機地結合起來，形成一個相互推動、相互聯系地整體，通過實際的工程運作和動態的運營維護，最終實現安全工作的目標。完善的網絡安全體系應包括安全策略體系、安全組織體系、安全技術體系、安全運作體系.安全策略體系應包括網絡安全的目標、方針、策略、規范、標準及流程等，并通過在組織內對安全策略的發布和落實來保證對網絡安全的承諾與支持。安全組織體系包括安全組織結構建立、安全角色和職責劃分、人員安全管理、安全培訓和教育、第三方安全管理等。安全技術體系主要包括鑒別和認證、訪問控制、內容安全、冗余和恢復、審計和響應。安全運作體系包括安全管理和技術實施的操作規程，實施手段和考核辦法。安全運作體系提供安全管理和安全操作人員具體的實施指導，是整個安全體系的操作基礎。從管理和技術兩個維度推進網絡安全工作不僅是現階段解決好網絡安全問題的需要，也是今后網絡安全發展的必然趨勢。從技術角度而言1．邏輯隔離技術。以防火墻為代表的邏輯隔離技術將逐步向大容量，高效率，基于內容的過濾技術以及與入侵監測和主動防衛設備、防病毒網關設備聯動的方向發展，形成具有統計分析功能的綜合性網絡安全產品。2．防病毒技術。防病毒技術將逐步實現由單機防病毒向網絡防病毒方式過渡，而防病毒網關產品的病毒庫更新效率和服務水平，將成為今后防病毒產品競爭的核心要素。3．身份認證技術。80%的攻擊發生在內部，而不是外部。內部網的管理和訪問控制相對外部的隔離來講要復雜得多。在一般人的心目中，基于Radius的鑒別、授權和管理（AAA）系統是一個非常龐大的安全體系，主要用于大的網絡運營商，企業內部不需要這么復雜的東西。這種看法越來越過時，實際上組織內部網同樣需要一套強大的AAA系統。4．入侵監測和主動防衛技術。入侵檢測和主動防衛（IDS、IPS）作為一種實時交互的監測和主動防衛手段，正越來越多的被政府和企業應用，但如何解決監測效率和錯報、漏報率的矛盾，需要繼續進行研究。5．加密和虛擬專用網技術。組織的員工外出、移動辦公、單位和合作伙伴之間、分支機構之間通過公用的互聯網通信是必需的，因此加密通信和虛擬專用網（VPN）有很大的市場需求。IPSec已經成為市場的主流和標準。6．網管。網絡安全越完善，體系架構就越復雜。管理網絡的多臺安全設備需要集中網管。集中網管是目前安全市場的一大趨勢。從管理角度講應遵循以下原則1．整體考慮，統一規劃。網絡安全取決于系統中最薄弱的環節。“一點突破，全網突破”，單個系統考慮安全問題并不能真正有效的保證安全，需要從整體IT體系層次建立網絡安全架構，整體考慮，全面防護。2．戰略優先，合理保護。網絡安全工作應服從組織信息化建設總體戰略，滾動式實現系統安全體系的統一。在此前提之下，追求適度安全，合理保護組織信息資產，安全投入與資產的價值應相匹配。3．集中管理，重點防護。統籌設計安全總體架構，建立規范、有序的安全管理流程，集中管理各系統的安全問題，避免安全“孤島”和安全“短板”。4．七分管理，三分技術。管理是企業網絡安全的核心，技術是安全管理的保證。只有制定完整的規章制度、行為準則并和安全技術手段合理結合，網絡系統的安全才會有最大的保障。3．3．2基礎型無線網安全機制（1）更改無線AP的管理員登錄初始口令和初始SSID（2）SSID設置成隱藏，不廣播SSID大多數破解無線網的初始步驟都是先嗅探出無線AP所使用的頻道和SSID，再進行下一個步抓包、破解。隱藏SSID廣播功能可能對某些嗅探工具有用。（3）WEP加密盡管WEP已經被證明是比較脆弱的，但是采用加密方式比明文傳播還是要安全一些。現在可以從互聯網上下載到很多破解WEP加密的工具軟件，象Airsnort這種工具可以對無線網信號進行抓包，進行破解WEP密鑰，避免這種工具破解最有效的方法就是給WEP設置較為健壯的128位密鑰，而不是40位的密鑰，這樣可以讓破解的難度加大，而需要更長的時間。（4）采用比WEP更安全的WPA，甚至WPA2要破解WPA加密并非易事，需要監聽到的數據包是合法客戶端正在開始與無線AP進行“握手”的有關驗證操作過程，而且還要提供一個正好包含有這個密鑰的“字典文件”“大眾式”密鑰，容易被猜中而收錄在“字典”中，那么設置了復雜的密碼組合還是比較安全的。而WPA2是WPA的第二代，它支持更高級的AES加密，因此能夠更好地解決無線網絡的安全問題。（5）MAC地址訪問控制列表對于小型的無線網，可以采用MAC訪問列表功能的精確限制哪些無線工作站可以連接到無線網中，而那些不在訪問列表中的工作站，是無權進入無線網絡中的。每一塊無線網卡都有自己的MAC地址，我們可以在無線網絡節點設備中創建一張“MAC訪問控制表”，然后將合法的無線網卡MAC地址逐一錄入到這個列表中，允許只有“MAC訪問控制表”中顯示的MAC地址，才能進入到無線網絡中。當然MAC地址是有可能被非法訪問者克隆，這要求我們妥善保管相關網卡的MAC信息，防止遺失。（6）關閉SNMP功能要是無線網絡訪問節點支持“簡單網絡管理”（SNMP）功能的話，筆者建議你盡量將該功能關閉，以防止非法攻擊者輕易地通過無線網絡節點，來獲取整個無線局域網中的隱私信息。以上安全機制主要針對分布式胖的部署方式。實現比較簡單有效，主要解決無線覆蓋的問題。3．3．3增強型無線網安全機制若無線網傳輸的數據較為重要，或者連接到一個保密級別較高但又不能進物理隔離的有線網絡的情況下，可以考慮采用增強的無線網安全防范措施。（1）WebPortal和802.1x認證WebPortal認證的基本過程是：客戶機首先通過DHCP協議獲取到IP地址（也 可以使用靜態IP地址），但是客戶使用獲取到的IP地址并不能登上Internet，在認證通過前只能訪問特定的IP地址，這個地址通常是PORTAL服務器的IP地址。采用Portal認證的接入設備必須具備這個能力。用戶登錄到PortalServer后，可以瀏 覽上面的內容，比如廣告、新聞等免費信息，同時用戶還可以在網頁上輸入用戶名和密碼，它們會被WEB客戶端應用程序傳給PortalServer，再由PortalServer與NAS之間交互來實現用戶的認證。PortalServer在獲得用戶的用戶名和密碼外，還會得到用戶的IP地址，以它為索引來標識用戶。然后PortalServer與NAS之間用Portal協議直接通信，而NAS又與RADIUS服務器直接通信完成用戶的認證和上線過程。因為安全問題，通常支持安全性較強的CHAP式認證。它的優點是不需要特殊的客戶端軟件，降低網絡維護工作量。802.1X是一個IEEE標準，用于對有線以太網和無線802.11網絡進行經過身份驗證的網絡訪問。IEEE802.1X支持集中化用戶標識、身份驗證、動態密鑰管理以及記帳。802.1X標準通過允許計算機和網絡彼此驗證身份、生成通過無線連接加密數據的每用戶/每會話密鑰以及提供動態更改密鑰的能力來提高安全性。（2）VPN虛擬專網系統除了802.1x認證，在無線網之上采用VPN技術，可以進一步增強關鍵數據的安全性。VPN技術不屬于802.11標準定義，因此它是一種增強性無線網絡安全解決方案。VPN協議包括第二層PPTP/L2TP協議以及第三層的IPsec協議。VPN只涉及發起端，終結端，因此對無線訪問點AP來講是透明的，并不需要在無線訪問點支持VPN。IPsec是標準的第三層安全協議，用于保護IP數據包或上層數據，它可以定義哪些數據流需要保護，怎樣保護以及應該將這些受保護的數據流轉發給誰。由于它工作在網絡層，因此可以用于兩臺主機之間，網絡安全網關之間，或主機與網關之間。當對數據的安全性要求非常之高時，可以考慮增加VPN虛擬網關，尤其是以IPsec協議建立的VPN。這是目前可以實現的較高數據安全等級的技術。（3）防火墻系統防火墻是建立在被保護網絡與不可信網絡之間的一道安全屏障，用于保護企業內部網絡和資源。它在內部和外部兩個網絡之間建立一個安全控制點，對進、出內部網絡的服務和訪問進行控制和審計。防火墻產品主要分為兩大類：包過濾防火墻（網絡層）在網絡層提供較低級別的安全防護和控制。應用級防火墻（應用代理）在最高的應用層提供高級別的安全防護和控制。應將無線局域網的流量接入有線網的非信任區，由整個網絡的安全控制機制統一的進行安全控制。如果專門為無線配置防火墻，會造成不必要的設備成本的增加；分散的安全機制造成安全策略的不一致等。（4）專用無線網入侵檢測系統采用第三方專業公司生產的無線網專用入侵檢測系統對網絡進行監控，及時發現非法接入的AP以及假冒的客戶端，并且對無線網的安全狀況進行實時的分析和監控。WLAN入侵檢測系統主要是針對采用802.11協議的WLAN進行網絡安全狀態的判斷和分析，WLAN入侵檢測系統采用了分布式的結構，將進行數據采集的Sensor分布在WLAN的邊緣和關鍵地點，并且通過有線的方式將收集到的信息統一傳輸到一個集中的信息處理平臺。信息處理平臺通過對802.11協議的解碼和分析，判斷有無異常現象，比如非法接入的AP和終端設備、中間人攻擊、有無違反規定傳輸數據的情況，以及通過對無線網絡進行的性能和狀態分析，識別拒絕服務攻擊現象。它能夠自動發現網絡中存在的AdHoc網絡，并且通過通知管理員來及時阻止可能造成的進一步損害。基于Web界面的安全管理界面讓管理員可以進行策略的集中配置和分發，以及觀察網絡狀況、產生報表。WLAN入侵檢測系統通過結合協議分析、特征比對以及異常狀況檢測三種技術，對WLAN網絡流量進行深入分析，并且能夠實時阻斷非法連接。（5）動態秘鑰技術3．3．4Ruckus支持的認證方式AP支持認證方式用戶可以通過設置AP自身對無線用戶進行認證。認證方式有以下幾種：開放WEPWPA/WPA2802.1X認證ZoneDirector支持的認證方式用戶可以通過RuckusZoneDirector對無線用戶進行認證。認證方式有以下幾種：本地認證與現有的Windows服務器的AD認證與現有的RADIUS 服務器整合進行認證802.1X認證3．3．5安全的AP技術由于Ruckus的AP是不儲存任何網絡配置（IP地址除外）和安全設置，因此Ruckus管理的AP是不能單獨工作的，因此獲得和接入進RuckusAP，黑客也不會拿到無線網的網絡和安全配置參數。3．3．6無線接入點安全偵測和保護采用Ruckus無線系統的RF偵測功能和保護機制可以實時監測園區無線網覆蓋區域內的所有AP接入情況,如相鄰的AP、設置錯誤的AP以及未經認可而連接到網絡中的AP。通過Ruckus的網絡安全管理系統，網絡安全管理人員可以及時發現是否有非法的AP接入，發現后可以開啟自動保護機制，阻止無線終端通過非法AP聯接到無線網中。3．3．7無線網絡入侵偵測網絡監控與入侵檢測系統將網絡上傳輸的數據實時捕獲下來，檢查是否有黑客入侵和可疑活動的發生，一旦發現有黑客入侵，系統將做出實時響應和報警。入侵檢測模型可以分為兩大類：基于網絡的入侵檢測：通過實時監視網絡上的數據流，來尋找具有網絡攻擊特征的活動；基于主機的入侵檢測：通過分析系統的審記數據，檢查系統資源的使用情況以及啟動的服務等來檢測本機是否受到了攻擊。對已知攻擊的檢測:通過分析攻擊的原理提取攻擊特征，建立攻擊特征庫，使用模式匹配的方法，來識別攻擊；對未知攻擊和可疑活動的檢測:通過建立統計模型和智能分析模塊，來發現新的攻擊和可疑活動。Ruckus向用戶推薦使用第三方的入侵偵測產品。入侵偵測是專業性非常強的技術，需要對網絡攻擊有深入的認識。入侵偵測做的不專業，只能是花錢買心理安慰，不能發揮作用。入侵偵測只是報警并不能防范，所以還要與網絡安全服務商簽訂服務合同，通過人為的方式改變網絡的參數配置實現網絡的防入侵，防攻擊。Ruckus的專長在天線的技術，射頻的技術，以及網絡接入技術。我們認為在無線產品中加入入侵偵測功能，并不能對用戶的網絡安全做到全方位的保護，同時還增加了用戶不必要的成本。3．3．8無線接入的病毒防護病毒的防護要從客戶端的防護做起。客戶端中毒會造成性能下降，不能正常工作，丟失文件，丟失密碼，形成僵尸被控制機所控制。對網絡有影響主要是蠕蟲類病毒。通過計算機網絡傳播，不改變文件和資料信息，利用網絡從一臺機器的內存傳播到其他機器的內存，計算網絡地址，將自身的病毒通過網絡發送。像蠕蟲病毒尼坶達，它不但會感染EXE文件，還會通過局域網，電子郵件網頁等途徑進行傳播。對網絡形成壓力，造成網絡系統的不穩定。所以病毒的防護，一定要從源頭抓起，要采取各種手段，減少客戶端不中毒的可能性。同時RuckusAP還可以進行限速，對于每一個客戶端的速率進行嚴格限定，縱然客戶端中毒，病毒在網絡上泛濫也不會造成網絡的癱瘓，減緩病毒在網絡上傳播的速度。同時Ruckus還有較強的訪問控制機制，可以采取阻斷中毒客戶端流量的措施。但所有這些網絡手段只能是輔助性的，是防護性的。3．3．9通過VPN再次加固無線接入 對于數據安全性要求非常高的用戶可以考慮VPN的方式，尤其是IPSec的VPN解決方案。IPSec協議是網絡層協議,是為保障IP通信而提供的一系列協議族。IPSec針對數據在通過公共網絡時的數據完整性、安全性和合法性等問題設計了一整套隧道、加密和認證方案。IPSec能為IPv4/IPv6網絡提供能共同操作/使用的、高品質的、基于加密的安全機制。提供包括存取控制、無連接數據的完整性、數據源認證、防止重發攻擊、基于加密的數據機密性和受限數據流的機密性服務。IPSec的基本目的是把密碼學的安全機制引入IP協議，通過使用現代密碼學方法支持保密和認證服務，使用戶能有選擇地使用，并得到所期望的安全服務。IPSec將幾種安全技術結合形成一個完整的安全體系，它包括安全協議部分和密鑰協商部分。（1）安全關聯和安全策略：安全關聯（SecurityAssociation，SA）是構成IPSec的基礎，是兩個通信實體經協商建立起來的一種協定，它們決定了用來保護數據包安全的安全協議（AH協議或者ESP協議）、轉碼方式、密鑰及密鑰的有效存在時間等。（2）IPSec協議的運行模式：IPSec協議的運行模式有兩種，IPSec隧道模式及IPSec傳輸模式。隧道模式的特點是數據包最終目的地不是安全終點。通常情況下，只要IPSec雙方有一方是安全網關或路由器，就必須使用隧道模式。傳輸模式下，IPSec主要對上層協議即