人民教育出版社無線局域網方案
根據無線網絡需求和無線網絡設計原則,結合Ruckus無線系統技術及產品的特點,方案的設計分為:無線組網方式設計、多業務區分設計、網絡及用戶管理、網絡安全防護設計、移動漫游、兼容性等部分。無線組網方式設計
中型無線局域網(50到250個AP)集中式組網
如果整個無線系統的AP數量比較多,且大部分也都集中在一定區域內通過以太網交換機相連,即使部分AP不是集中在特定區域內通過以太網交換機相連而是通過其他寬帶連接。那么也可以采用兩臺ZoneDirector3000來組網。該ZoneDirector3000管理所有本地的AP。人民教育出版社無線局域網的組網設計
人民教育出版社公司內我們會因應每片區域的特點和需要,部署適當的無線接入點,無線接入點通過有線連接,接入到公司原有的內部網。所有無線接入點均由兩臺無線控制器統一集中管理,配置、維護和監控。總的無線系統拓撲圖如下:

多業務區分設計
使用Ruckus的企業級無線網絡系統,可以靈活地配置分為不同的無線接入業務類型。因此,在設計上采用無線局域網多SSID技術,每一個SSID對應一個VLAN或業務。在這里,根據使用需求,我們建議在無線局域網內可以設置兩個SSID,對應兩個VLAN。一個SSID提供給內部員工所用,而另一個SSID可給外來的客戶使用。由于用戶一般把SSID看成VLAN,所以它們都會慣性地以VLAN概念來劃分SSID。其實在一個AP范圍內,不管用戶連接到那一個SSID它們實際上都是在同一個802.11廣播域內,因為無線電波的傳輸是共享。一個最簡單的例子就是AP把不同的SSID名字廣播,所以當無線終端在這個AP覆蓋范圍內啟動時,它就能同時看到多個SSID。SSID的最主要用途是可讓無線終端以不同的安全認證和加密方式入網,并且連接到指定的VLAN,通過核心路由器,還可以對特點的VLAN進行控制。為什么要把不同的安全加密協議設置在不同的SSID呢? 802.11的標準內定義了不同加密情況時數據包的封裝格式,所以在用戶的無線接入使用不同的加密程式,例如:WEP,TKIP(WPA),802.11i(WPA2)等等,不同加密方式不能在同一個SSID內同時存在的。
用戶可根據實際的情況和802.11發展來制定以怎樣方式來實現無線加密。最常見的做法是使用多個SSID,例如:一個定義為OPEN/Static WEP供客戶用,另一個SSID則為TKIP(WPA)專為內部員工使用。未來的發展趨勢是新增設一個802.11i SSID讓員工以過度的方式逐漸從轉移到這個SSID上。不能一步轉到802.11i的主因在于很多的無線終端現在尚未支持802.11i,而是不可能把所有的終端一次更換成最新的軟件程序。
在這里,我們設計兩個SSID,一個是GUEST,對外的,采用portal員工對訪客授權上網的方式,這種好處是使用方便,維護量小。對于流動性大的會議訪客,可使用會議室二維碼放上上網。并且,可以在核心路由器上將這個SSID對應的VLAN設為只允許上網,不能訪問內網,這樣安全性更高。另一個SSID定義為對內部員工開外,可考慮采用帳號和密碼認證方式,802.1x方式是最常用的,可將帳號密碼設于無線控制器內,亦可與原系統外掛的radius服務器結合使用。
無線安全性設計
在Ruckus無線系統中,可以在多個層面對系統構筑安全防護,其安全性設計如下:(1)多SSID:可以根據需要,如用戶的種類、應用的種類,在Ruckus無線系統中設置多個SSID,不同的SSID采用不同的安全策略,這樣可以對不同的用戶及應用進行區分服務。另外SSID還可以選擇隱藏的方式,該SSID不廣播,用戶無法看到,防止非法用戶的連接企圖。SSID還可以選擇在某些AP上出現,某些AP上不出現,限制SSID出現的范圍也是實現安全性的一種手段。
(2)加密:Ruckus無線系統支持多種加密的方式,二層的加密支持靜態WEP、動態WEP、TKIP、WPA、802.11i 多種加密方式,三層的加密支持IPSec VPN加密,這樣使得加密的方式更加的靈活,可以根據實際需求進行選擇。