江蘇林洋電子股份有限公司  施海濤

1、需求分析

相對于傳統的有線網絡，無線網絡因其布置便捷、靈活及優越的可拓展性得到越來越多的企業的青睞。同時隨著無線網絡技術的發展，之前受人質疑的速度和安全性都已經有了很大的改善，因此這兩項已經不再是無線網絡進一步推廣的技術瓶頸。而且隨著越來越多的廠商對新品的不斷推出，為企業的無線應用提供了更多選擇的機會，同時無線覆蓋的成本也較以往大大的降低。但選擇合適的無線產品和擁有一套完善的無線解決方案仍舊是無線應用及推廣的成功關鍵。怎么樣讓大家都能夠感受有無線覆蓋的優越性，這個將會給我們信息部提出來一個怎么樣合理布局的問題。

為了給員工和訪客提供便捷的網絡接入，我們計劃在該廠的辦公區域和訪客區域實施無線網絡覆蓋。初步的無線規劃是針對目前全廠的使用無線網絡區域，以及訪客區域，生產大樓MES掃條碼區域，以及倉庫用友ERP網絡的覆蓋。

本方案要求發送四個無線ESSID：LINGYANG ,LINYANG_GUEST, LYMES, LYCKAP其中LINGYANG 供內部員工（包括普通員工和VP 員工）使用；LINYANG_GUEST供到訪的來賓使用; LYMES供生產制造執行系統；LYCKAP用友ERP上面使用。

辦公區域部分發送一個ESSID；LINGYANG 供內部員工使用（包括普通員工和VP 員工）。其中(普通員工和VP)在大廳會議室或在廠內辦公區域通過LINGYANG 只能訪問訪問內部網絡，以及Internet；當員工通過LINGYANG 這個ESSID 連接到網絡時，無需提供無線連接密碼，便可自動獲取到公司內部網段IP 地址。此時還無權訪問任何內部資源。當員工打開一個網頁時，自動顯示無線網絡登陸驗證畫面。員工輸入公司內部的AD 賬號和密碼后方可登陸無線網絡。之后員工就可以正常公司的內部網絡。

訪客SSID為LINYANG_GUEST，連接此SSID的筆記本只可以訪問Internet資源不可以訪問內部網絡。此時如果有訪客到本公司，可以讓他到前臺取用戶名以及密碼。此帳號的功能訪客通過無線網絡先獲取到一個非內部網段的私有IP 地址。打開網頁時，出現無線網絡登陸驗證畫面，輸入從前臺獲取的用戶名和密碼后，則可正常訪問Internet，但無權訪問內部網絡。

LYMES這個SSID供生產制造管理系統使用，終端是DT4000wl。用于生產上面MES系統使用。

LYCKAP在倉庫使用。終端設備是MC3090,用于用友ERP上面的條碼系統。

由于之前公司買過好多個AP5131，單獨管理單個AP 5131又不太方便。配置起來比較麻煩。所以需要我們RFS 7000也能管理此設備。這就需要工程師幫忙升級AP5131的軟件版本。

2、無線覆蓋方案介紹

為了實現內部員工和訪客對無線網絡的使用需求，本技術方案主要會應用到以下幾個技術要點： 無線訪問的使用者權限要和內部的活動目錄（ActiveDirectory）整合為了控制不同的內部員工的無線訪問權限，在進行無線登陸驗證時，員工輸入自己在公司內部分配的活動目錄中的賬號。驗證服務器根據不同的賬號傳遞給無線控制器相關的賬號信息，而無線控制則根據預先設定好的不同使用者權限進行驗證和區分。

利用Windows 本身的驗證服務器（IAS）來整合活動目錄和無線控制器的賬號為了整合活動目錄中的使用者賬號和無限控制對不同賬號的使用權限進行控制，需要用到Radius 服務器來整合賬號的認證和權限的控制。 在活動目錄中對不同的內部員工分成兩個組一個是普通員工組（LINYANGGROUP），另外一組是訪客用戶組（LINYANG_GUEST Group）。把只能訪問內部網絡而又能訪問Internet 的內部員工加入到LINYANGGROUP中；把只能夠訪問Internet 的內部員工加入到LINYANG_GUEST Group 中。在IAS 中設定不同的訪問策略來區分LINYANGGROUP 和LINYANG_GUEST Group 的訪問權限，并把不同組的ID 號傳遞給無限控制器來處理。

利用核心無線控制器的本地的驗證服務器來來驗證訪客的使用權限無線控制器本身提供了內置的驗證服務器功能，這可以為訪客系統提供相關的訪客賬號信息。前臺工作人員可以根據管理提供的賬號和密碼登陸無線控制，無線控制器根據前臺工作人員賬號權限提供給前臺創建訪客賬號權限。通過簡單且易操作的賬號設置畫面，前臺可以為訪客打印一張含有訪客賬號信息的卡片，卡片中包含了賬號、密碼及可訪問的時間段等信息。訪客可根據這張賬號卡片方便的訪問的無線網絡

在設備選型上，我們使用了RFS7000和AP300瘦客戶機+AP5131的組合模式，手持這一端我們使用了摩托羅拉的MC3090S手持終端，經過測試，該套方案搭配上自己倉庫條碼系統效果非常之好。手持設備在無線網絡中漫游毫無問題。以下是我們的AP布點圖。

Motorola采用Adaptive AP結構：即AP51x1/71x1結合無線交換機RFS7000，很好地支持層2切換和層3切換，即使兩個AP在不同的無線交換機RF7000之下，也可以實現無縫漫游。在Adaptive AP結構的模式下，Motorola的無線交換機和AP之間的通信采用WISPE（Wireless Switch Protocol Enhanced）協議進行通信，無線交換機和AP之間是一個WISPE的Tunnel，任何用戶的負載數據包都通過Tunnel發給RFS7000。

RFS7000 是基于摩托羅拉下一代無線技術架構Wi-NG 之上的核心級無線網絡控制交換機。RFS7000 提供支持最大、要求最苛刻的環境所需的性能、安全性、靈活性和擴展性。可通過企業內部和外部交付運營商級的移動語音和數據服務簡化企業的運營。并且可通過其強大的綜合功能降低移動性的成本，這些功能包括：摩托羅拉的下一代無線（Wi-NG）體系架構、Wi-Fi 和RFID；自適應AP 技術、定位服務、802.11n 高數據速率連接（支持Mesh）、綜合分層安全性、集中管理以及許多摩托羅拉獨特的移動功能。

摩托羅拉的AP300 提供了豐富的802.11a/b/g 連接性。通過與無線交換控制器RFS7000 的配合使用，為本方案的整個無線網絡提供了極其靈活的可拓展性。AP300 是摩托羅拉的“瘦”下一代無線接入訪問點，可通過摩托絡的無限控制進行集中和遠程管理，所有的配置和設置都是在無線訪問控制器上來實現。此設備的配置迅速，并可輕松、迅速升級以支持新的功能、特性和安全協議，從而可大大降低部署、實現和管理無線網絡的成本；同時可顯著增強無線網絡基礎架構的特性、功能和安全性。

AP-5131是為制造業、倉儲物流業以及零售業而設計無線網絡接入點設備，通過單臺設備提供具備企業級性能及安全性的有線和無線連網功能。這是一個易于部署的解決方案，可以靈活地安全連接到遠程的企業專用網、互聯網和局域網資源，其速度及可靠性完全可以滿足最為苛刻的應用需要（包括實時視頻和語音）。AP-5131采用多功能一體化結構，使經濟效益和連網的簡便易用性上升到一個新臺階。AP5131將路由器、防火墻、VPN、DHCP、AAA、熱點認證網關和無線Mesh網絡功能集成到一臺可遠程管理的設備中，簡化了網絡的設置和管理工作。

3、以下是我們的AP布局圖

電表一號樓1樓無線覆蓋AP部署方案，配置13臺AP300保證覆蓋，該區域設計原則為保證信號強度。

下圖為AP覆蓋區域圖。

對車間的勘測，發現墻壁為彩鋼板，對無線信號的干擾很大，所以用多個AP對這個區域進行覆蓋來滿足公司對我們的要求。

- 電表一號樓2樓AP覆蓋區域圖

本層覆蓋數為5個AP300.

- 銘牌流水線AP覆蓋區域圖

4、具體實施方案架構分析

在活動目錄中定義兩個組，一個組名是LINGYANG Group，這個組的成員為內部員工，其權限定義為能訪問外網以及內部網絡；另外一個組名為LINYANG_GUEST Group，這個組是給訪客使用。在RFS7000 中也定義兩個組，組名也分別為LINGYANG Group 和LINYANG_GUEST Group，這個組用來分別接收活動目錄中傳遞過來的兩個同名組的賬號和權限。 在IAS 中設定兩組策略，一組策略為LINYANG Group Policy, 主要用來驗證LINGYANG Group 中的成員信息，并把賬號認證信息傳遞給RFS7000 中的LINGYANG Group；另外一組策略為LINYANG_GUEST  Group Policy，主要用來驗證LINYANG_GUEST Group 中的成員信息，并把賬號認證信息傳遞給RFS7000 中的LINYANG_GUEST Group。

在RFS7000 中分別設定LINGYANG Group 和LINYANG_GUEST Group兩個角色的規則，分別接收AD 中傳過來的賬號信息，并根據這些信息訪問不同的IP 地址段。而對訪客的控制則直接通過綁定訪問列表的方式來實現。當內部員工訪問LINYANG 無線網絡時，首先獲取到內部的合法IP。根據輸入的用戶名和密碼，RFS7000 判斷該賬號是域賬號，并將賬號傳遞給IAS 去認證。IAS 會判斷該用戶是屬于LINYANGGROUP 還是LINYANG_GUEST Group，并把相關的賬號信息傳遞給RFS7000。在RFS7000 收到這些賬號信息時，根據定義好的角色規則去匹配，從而正確的控制內部員工對授權網絡的訪問。

公司用AP300生產線位置

AP300在倉庫

公司AP5131位置

倉庫中的AP5131

調試中的AP5131

5、后續網絡的拓展性

一臺RFS7000 主機最多可支持256 個瘦AP，在瘦AP 模式下工作時，當AAP 和無線交換機暫時失去聯系的時候，AAP 可作為胖AP 繼續沿用之前的功能繼續工作48個小時。這會今后無線AP 的選擇提供更加多的選擇空間。當一臺RFS7000 不足以支持相應數量的AP 時，只需再增加一臺，并加入之前的無線交換機的Cluster 即可。而之前的備用RFS7000 也能為新加入的RFS7000 提供冗余的功能。這樣的Cluster 群組最多可支持6X1 架構，即最多可支持的瘦AP 數量為：256x6=1536；如果加上對AAP 的支持，則可增加數量為：1024x6=6144。這樣的數量應該完全滿足今后整個廠的擴容需求。

使用MOTO的無線覆蓋不管是從性價比，以及產品實際性能上講，都完全能滿足企業的要求。我們將在明年再買一臺作為RFS7000冗余。在集群模式下，兩臺或者多臺無線交換機可以工作在Active:Standby、Active:Active或N+1模式。當有一臺無線交換機出現故障時，另一臺無線交換機可以迅速接管。在切換過程中用戶IP地址保持不變，切換時間極快，用戶感覺不到網絡的變化，仍然可以正常訪問無線網絡。

此作品來源于2011摩托羅拉解決方案大獎賽