德为针对不同行业客户开发相应的无线wifi覆盖系统，主要有以下项目解决方案：

1） 政府事业单位无线覆盖系统；

2） 医院校园无线覆盖系统

3） 酒店KTV无线覆盖系统

4） 企业工业园无线覆盖系统

5） 智能家庭无线覆盖系统

 

企业工业园无线WIFI覆盖系统

 

      工业园区和大中型企业通常占地面积较大，园区内部各功能区域的网络一般在规划设计时已经基本成型，随着经济发展业务拓展，人员的增加，办公设备的提升，便携设备的增加，移动办公以及网络无线对讲、网络语音广播等应用的扩展，在不影响企业正常生产工作，不做大的装修变动的情况下，德为无线wifi覆盖系统成为了企业提升网络应用服务的优先考虑。

主要应用场景：

一）企业内部办公区域无线信号覆盖需求

主要是为了满足园区内的企业进行办公或是商务活动的个人提供接入企业网和互联网的需要，为他们提供方便、灵活、高效的无线网络连接服务。无线网络覆盖范围主要包括办公区和商务接待区域无线网络覆盖，同时实现无线网络系统和原有的有线网络系统的无缝连接。德为采用灵活的“有线+无线”无线覆盖方案，充分利用原有的有线网络资源，通过信号转换扩充无线覆盖区域，采用行为控制器进行无线信道授权分配，有效满足内外网络物理隔离的安全需求，同时也提高了网络的使用效率。

二）园区内部远程联络无线对讲信号覆盖需求

很多企业的保安、物流、仓储、生产等部门需要无线对讲功能，原有的一般采用无线对讲机调制频率对讲，存在通话距离较短（一般超过1公里就需要增加中继基站或者更换更高频率的对讲系统），通话质量较差（容易受到其他频率信号的干扰）等固有缺陷；德为可以提供超过十平方公里以上的对讲信号覆盖，通过网络传输甚至可以实现不同城市不同国家的无线对讲功能。在不改变原有对讲设备的前提下，德为技术能够保证满足一般半径为3千米左右的大中型企业内部无线对讲的需求。

德为信息技术为大中型企业或工业园区的网络应用考虑的非常周全，无线信号覆盖采用“无缝漫游”技术，使企业在使用无线网络过程中具有以下特征：

1）与有线网络的无缝融合：实现企业内无线高速上网，可在办公大楼信号区域内随意漫游，漫游过程不会与企业网络断开，自动跃接相应无线信号。

2）易于管理：高速无线企业网络，快速、准确地为各企业提供组织、管理与决策的基础信息。

3）多种安全机制：充分考虑网络的安全性，无线网络系统具备多种安全防御能力。具有多层次的安全保护措施，以满足用户身份鉴别、访问控制、可稽核性和保密性等要求。

4）高扩展性：在网络规模不断发展的情况下，无线网络可满足在不改变主体架构与大部分设备的前提下，平滑实现升级和扩充，降低原有网络的硬件投资，并保证扩展后的系统可用性与稳定性。

5）多种服务的支持：基于网络的未来可持续发展，采用的无线产品均具备可适应未来发展的无线宽带应用（如无线语音应用、无线视频会议应用、无线多媒体通信应用等）的需要，并提供低成本的无缝升级和前后兼容。

 

系统架构

 

接入部分

 

无线网络的建立是在公司有线网络之上，进行无线网络扩充。网络通过网关提供的网络出口接入 Internet。

无线网络可以按照企业物理环境进行无死角覆盖，让公司内的使用者可以随时随地、无拘束的连接到网络。

德为在整体无线网络的规划中，始终以高效、稳定、安全为总体设计目标，同时保证易于使用、用户界面统一、标准，表现力强；易于安装和维护，网络运行质量高；开放性好，便于移植、扩展和推广；具备较好的性能价格比，并在几年内保持解决方案与技术上的领先，为用户提供一个灵活的移动办公“平台”, 对用户和无线网络进行有效的管理，构建了一个稳定的、可拓展的无线企业网环境。

 

安全控制机制选择

 

在有线以太网技术的发展历程中，越来越多的面向访问端和服务端的安全技术被开发 出来并得到了成熟运用。而对于无线网络而言，由于其利用空中载波信道作为传输载体，其物理层与数据链路层工作原理与有线网络有所不同，其所遵循的安全策略也与有线网络截然不同。在企业级无线网络的规划中，由于信号的覆盖将会带来众多的未知访问者试图进行的访问连接，无线网络如何从中识别出合法的用户，避免非法用户利用无线网络的安全隐患入侵整个网络，往往成为了无线网络规划者需要解决的难点。

在目前面向行业级的 WLAN 产品的安全技术中，越来越强调单机安全策略的强化，以及与有线网络安全互补的核心思想。其中，SSID 禁止广播、WEP 机密、WPA 认证、802.1X 认证、 EAP-TLS 扩展认证、VLAN 划分等一系列技术的运用，将有效的提高无线网络的安全防御能力。

德为将按照层次化的设计理念，完成企业的无线网络安全需求。选用的网络设备均支持 SSID 禁止广播、WEP 机密、WPA 认证、802.1X 认证、EAP-TLS 扩展认 证、VLAN 划分技术，可提供完备的安全防御能力。

SSID（无线标识符）是用于无线终端与接入点匹配以获得通信的明文密码，对于初级 安全防范有一定作用，且配置快速简单，非常适合室外无线覆盖使用。尤其是启用了目前先   进的 SSID 广播禁止功能之后，由于空中不再广播明文的 SSID 号码，使得那些拥有截获 SSID 密码的无线终端非法访问网络。

另外，WEP（有线等效密钥）和 WPA/WPA2（接入保护）技术的出现，可以通过大量的密 文加密位和动态的密钥协议（TKIP/AES），为非法访问者制造难以攻破的障碍，从而避免网 络安全事件的发生。在校园无线网络规划中，由于目前校园有线网络已具备一定规模，因此， 在无线网络融合进有线网络进行数据交换之前，通过 WEP 和 WPA 加密技术可以增加一层保护 手段，可以极大的提升安全防御的能力。

另外，对于室内/室外型 AP 产品，由于其分别开放于室内高密度访问和室外环境，面 对的是所有用户群体，对不同的用户群体的权限和身份识别则成为必须的功能。因此，AP 产品应选择具备多 BSS 的划分和 802.1Q VLAN 功能的无线产品，协助接入层无线用户与接入 层交换机用户同样接受全网统一管理和 VLAN 的划分，这样可以彻底解决无线用户无法管、 不方便管的疑难问题。

 

认证方式（WX3010 控制器内置认证系统）

 

1）提供基于 AP 位置的用户接入控制：出于安全性考虑，系统管理员可控制无线用户接入到网络中的位置。

H3C WX3010 无线控制器支持基于 AP 位置的用户接入控制。当无线用户接入网络时，可以通过认证服务器向 US 下发允许用户接入的 AP 列表，在 US 上进行接入控制，从而达到限制无 线用户只能接入到指定位置的 AP 的目的。

2）提供精细的无线用户管理：

基于 MAC 的认证接入控制方式，不但可以使得客户在 AAA 服务器上对用户组进行权限的 配置和修改，同时支持对具体用户的权限的配置，这种精细的用户权限控制大大增强了无线 网络的可用度，网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。

基于 MAC 的 VLAN 同样也是 WX3010 无线控制器的一大特色，在控制策略上，管理员可以 把相同性质的用户（MAC）划分到同一个 VLAN，同时在 US 上基于 VLAN 配置安全策略，这样 做既可以简化系统配置，又可以做到用户级粒度的精细管理。

3）提供内置 802.1x 认证服务和内置 Portal 认证服务

H3C WX3010 无线控制器内置 802.1x 认证服务，支持 TLS、PEAP、MD5 等多种 802.1x 的认证方式。在中小型企业用户不需要计费功能，而只需接入控制和数据加密要求时，可利 用内置的 Radius 服务直接在设备上完成 802.1x 认证功能，免去了复杂的 AAA 服务器部署 过程，既经济又省事。H3C WX3010 无线控制器还提供内置的 Portal 服务器，解决了不便于安装客户端用户的安全认证问题。

 

覆盖部分整体规划

 

主控中心数据机房核心交换机旁，挂 H3C WX3010 进行无线 AP 控制和管理。

室内方式覆盖，采用 H3C 采用 H3C WA2110-AG 进行覆盖；

AP 供电：视实际状况，尽量通过 POE 方式供电，以减少对原有装修的破坏和降低投资费用，同时易于后期维护管理。

 

负载均衡功能的重点应用

无线网络中的各个 AP 具有负载均衡功能，可根据系统的用户数或是流量这两种方式均衡各个 AP 上的负载，避免某个 AP 上的负载过大，而使某个区域的无线网络性能下降，造成 链路不稳定，通过负载均衡调节后的无线网络，具有更好的网络性能，能够为更多的无线终 端提供良好的无线性能，保障无线网络的性能。