一、项目背景
1.项目概述
在企业信息化飞速发展的今天,无线局域网技术日益成熟,无线网络相比较于有线网络安装更简单、使用更灵活、综合布线成本更低、扩展能力更强,无线网络在仓储场景下的使用越来越多样化,承载业务也越来越复杂化;包括AGV、AGC和穿梭车运输,以及大型制造业中的天车、行车和龙门吊等设备的用网需求等。本项目对整个仓库进行智能信息化建设的改造,完善原有有线链路的同时,利用无线网络承载仓储场景下的各种设备联网需求,同时要求整个无线网络具有可靠、安全、易管理、快速等特点。
2.建设总体需求
本次智慧仓库建设要求无线网络能够使用在仓储、流水线等场景,承载移动扫码、流水线系统、AGV和穿梭车,以及堆垛机等应用,要求无线网络在提供无线接入的同时能够更加安全、容易管理、上网快速、信号稳定、无线可靠等。同时,随着各种物联网应用的兴起,要求无线网络可快速扩展物联网应用。
- 稳定性要求
要求整个无线网络具有良好的稳定性,防止扫码枪、堆垛机和AGV小车在移动的过程中出现无线卡顿、掉线、数据终端等现象,在仓储、流水线场景下要求设备提供良好的终端漫游,防止出现掉包数据丢失。
- 可靠性要求
可靠性是对整个仓库网络的整体要求,要求网络具有冗余灾备功能,防止出现因为设备故障而导致的整体网络不可用,从而导致整个仓库的业务中断。
- 易管理要求
要求无线网络管理便捷、操作简单,使得网络管理人员能方便及时地掌握诸如网络拓扑结构、网络性能统计、网络故障等信息,能简便地对网络进行配置和调整,确保网络工作在良好状态,出现故障时能够快速恢复业务。
- 物联网扩展要求
随着各种物联网应用的兴起,大量不同协议的物联网网关可能出现重复建设的现象,因此,需要采用无线AP直接扩展物联网网关的方式,减少重复施工,降低成本。
- 安全性要求
要求建设无线网络能够针对不同场景提供安全的接入认证方式,并且对于接入的员工、用户和设备提供不同层级的安全防护。
- 工程布线和安装要求
在仓库将网线走暗线或者穿管敷设到位,AP吸顶或挂墙安装,可利用设备本身自带的安装附件进行安装,AP的供电采用POE交换机供电。
综合以上仓储对无线网络的需求,结合信锐技术产品的特点,我司设计了一套整体的智慧仓库的无线网络解决方案。
二、网络建设方案
1.建设原则
根据网络具体情况,在网络设计中遵循下列原则:
- 先进性原则
采用先进的设计思想,先进的网络设备,使网络在今后一定时期内保持技术上的先进性;
- 开放性原则
网络设计及网络设备选型遵从国际标准及工业标准,使网络具有高度的开放性和所提供设备在技术上的兼容性;
- 可伸展性原则
网络设计在充分考虑当前情况的同时,必须考虑到今后较长时期内发展的需要,留有充分的升级和扩充的可能性。充分利用现有通讯资源,为以后扩充到更高速率提供充分的余地。另一方面,还必须为网络规模的扩展留有充分的余地;
- 安全性原则
网络系统的设计必须贯彻安全性原则,以防止来自网络内部和外部的各种破坏。贯彻安全性原则体现在以下方面:
1)采用WAPI安全协议;
2)设备采用的是扩频技术;
3) 网络内部对资源访问的授权、认证、控制以及审计等安全措施:防止网络内部的用户对网络资源的非法访问和破坏。
- 可靠性原则
网络系统的设计必须贯彻可靠性原则,使网络系统具有很高的可用性。可靠性原则体现在以下方面:
1)选用技术先进、成熟高可靠性的网络设备;
2)系统增益储备高;
3)链路的可维护性好。
- 可管理性原则
网络系统应具有良好的可管理性,使得网络管理人员能方便及时地掌握诸如网络拓扑结构、网络性能统计、网络故障等信息,能简便地对网络进行配置和调整,确保网络工作在良好状态。
2.整体组网架构设计
2.1组网设计
结合该仓库无线网络需求情况,结合信锐产品自身技术特点,为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求,本设计方案按照AP+AC结构化的无线网络解决方案进行设计。
图:仓库无线网络组网示意
整个组网架构采用瘦AP组网架构,在不改变原有组网链路的基础上,将网络控制器旁挂在仓库核心交换机上,通过局域网联路统一管理各个区域的无线AP,同时在出口部署防火墙,保障整个仓库出口链路的网络安全。
2.2 WAPI安全接入架构
WAPI网络架构具有强安全、易于运营管理的特点。通过统筹规划,可在保证网络安全的前提下,实现移动客户端高效、稳定、便捷的接入WAPI网络,从而开展移动相关业务。
图:WAPI基础安全协议流程
系统架构主要包括几个部分:
- 用户终端(移动上网设备)
- WLAN无线接入控制器(AC)
- 无线接入点(AP)
- 鉴别服务器(AS)
- 安全监控和审计(终端设备管控)
用户终端必须首先到AS服务器注册STA身份凭证,所有接入设备依据准入控制要求,进行授权管理,只有获得STA身份凭证的设备才能授权接入WLAN网络。证书认证方式为标准的WAPI身份凭证认证方式。
当设备完成管理网WAPI_CERT认证,实现设备身份凭证与设备的MAC和IMEI等硬件信息绑定,从而实现仅授权的设备可以WAPI接入。接入后用户会跳转到用户接入认证网关,用户需要提供与主体相关的身份信息,例如证书信息、用户名密码等。当用户通过了用户接入认证网关认证后,完成管理网接入控制,STA设备将接入管理网单独的用户接入区域,后续通过用户接入域边界实现访问管理网的业务
3.仓库无线覆盖关键技术
图:仓库现场
该仓库整体采用运营商线路,电信专线20M,移动专线20M,互为备源;2、仓库面积3万平米,分六个区域,三个区域有高位货架,货架大约8米;3、仓库AP数量43个;4、无线终端 PDA数量45个,手机30台,笔记本10台,有线终端、台式机电脑及打印机65台左右。
对于像仓库这样大跨度、高横梁、大空间的场景,传统吸顶AP覆盖无法达到很好的无线使用效果,因此针对此场景,我们采用硬件场景化覆盖-小角度定向天线覆盖方式+软件优化,保证仓库特殊场景中的无线使用效果。
3.1小角度定向天线覆盖
仓库场景中,选择天线时希望能够将信号控制在覆盖目标区域内,而在其他区域内能够迅速衰减。对于仓库这类近距离布放AP比较困难的场景,小半功率角的定向天线是一种很好的选择,这类天线也是很多高密场景下用得比较多的天线形态。
3.2 同频组网技术
在仓储场景下,用网终端大多处于移动状态,而对于移动终端设备而言,利用无线网络数据回传最大的弊端,就是存在因为终端设备在AP间漫游而造成丢包和数据丢失的情况;针对这种现象,信锐专门推出了同频组网零漫游仓储解决方案。
3.3 智能射频
信锐无线AP支持智能射频技术,无线抗干扰能力强,信道、功率自动调整,减少无线干扰,保证无线传输质量;检测覆盖盲区,自动增大发射功率,对覆盖黑洞进行补偿。
当智能射频功能开启时,NAC会对周围环境进行实时监控,对于无线信号覆盖不好的区域或者是信号存在盲点的区域,AC就会对附近AP功率进行调解,从而改善射频环境,弥补信号漏洞。
3.4 智能负载均衡
通过接入点负载均衡,可以基于无线接入点的工作情况进行负载均衡,比如接入用户数、信道利用率。平均分配每一个用户,确保每个无线用户都能获得畅快的上网体验,避免所有用户都连到同一个AP上导致造成资源浪费、用户上网体验不好的问题。
若部署的是双频AP,那么支持双频的移动终端会优先接入5G频段,结合接入点间负载均衡,平均分布每一个用户,保证每个接入点2.G/5G频段的终端均能达到顺畅的连接体验。
3.5无线空口资源动态管理
基于应用层的流量控制可以帮助仓库根据应用类型、接入用户身份的不同来分配流量通道大小,保障重要访问,仓库办公人员日常访问的流量带宽,比如微信、QQ等聊天、大流量互联网应用和网页浏览,可以使用动态流量技术,最大化提高带宽价值。
三、信息安全保障方案
1.设备接入安全
- 终端准入识别技术
信锐无线,基于其强大的终端类型识别,通过 OUI 识别、 DNS 指纹特征等技术,无需安全第三方应用程序到设备上,在设备接入时就能准确识别出类型;为了保证仓储环境中移动扫码枪、叉车、监控等设备使用无线网络的稳定性,以及终端数据安全性,在仓储场景中识别出设备类型后,可以设置终端接入权限,禁止手机、PC、Pad等终端接入仓储无线网络,保障仓储无线使用效果。
- 无线空口安全技术
无线数据在空中传输,承载者企业各种业务数据,需要高效且可靠的加密机制来避免数据被暴力破解或篡改。信锐技术采用WAPI,保证了企业业务数据在传输过程中既安全又可靠。
- 非法热点反制技术
信锐除了具备强大的行为管理、应用控制外,也具备无线入侵检测系统(WIDS)、无线入侵预防系统(WIPS),它是通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
2.物联网接入安全
信锐推出业内独家的物联网安全技术;
- IoT安全接入认证技术
由于现在物联网设备像是监控、扫码枪等,统一采用一个上网密码接入网络,也就意味着黑客能够侵入任何一个终端,就可以采取同样方式破解其他设备,给整个网络带来了危险。
信锐物联网安全接入认证,针对每一个终端的MAC地址特征,配置不同的上网密码,保障每一个物联网终端的上网的安全,防止出现黑客破解单一终端设备密码,从而控制整个网络终端设备的情况。
- IoT自动分类管理
大量的物联设备接入网络,如摄像头、传感器、扫码枪、采集器等,接入的网络没有分组,不同的安全设备采用统一的策略管理,造成物联设备管理复杂,缺少分组和更精细化的管理。
信锐IoT分类管理,可以通过MAC和DHCP识别终端的类型,并且将终端进行分组,对不同的组别进行不同策略的下发,从而进行精细化的设备管理。
- 物联云平台安全
采用云平台企业账号隔离,黑客攻破单一帐号不会造成平台其它帐号信息的泄漏;同时采用数据库备份、HTTPS加密访问,防止黑客暴力破解帐号。
3.物联网数据安全保障
物联网终端安全防护措施不足。物联网设备的专用性、低成本、轻量级,导致很少防病毒软件能适配安装,设备出厂未进行安全检查,物联网终端分散安装、导致物理攻击、篡改和仿冒。
- 传输安全保障
在传输层上,MQTT使用TLS不但可以加密通讯,还可以使用X509证书来认证设备;从而保障数据使用的安全;在应用层上,支持客户标识、用户名密码以及X509证书,在应用层验证设备。
- 数据存储保障
公有云:数据采用独立加密算法进行加密存储,让用户掌握自身的数据。
私有云:支持私有云平台部署,所有数据进行本地化私有云平台存储。
- 运维管理保障
支持账号防盗、防暴力破解,同时在APP或web管理平台上传输的数据,均通过https进行传输加密,保障数据链路传输的安全。
4.高可靠性方案
4.1 AC 1+1冗余
通过部署2台控制器,实现企业无线网络的冗余灾备,增加网络可靠性,避免单点故障。
两台控制器实现冗余热备方案,一台为主机,一台为备机,当主机运行正常时,备机处于待命状态,主机上的必要配置(例如WLAN配置,用户信息等)同步到备机上面,一旦主机出现运行故障,则AP自动切换到备机上运行,保证用户业务不中断;当主机恢复后,AP切换回主机。
4.2 AP灾备冗余
通过AP灾备冗余方案,当AP与网络控制器因外界因素(如AC宕机、控制器与核心交换机网线断开)造成的通信连接断开后,自动启用应急策略或应急SSID,新接入的用户会划分到指定的应急VLAN以及分配相应的应急角色,仍然能保证用户正常上网以及新用户的认证接入。无线局域网(WLAN)是全球最主要的无线宽带接入方式,具有带宽高、成本低、部署方便等特点。
四、网络运维管理方案
1.集中管理方案
通过信锐有线无线统一集中管理平台,AP安装前无需对设备进行任何配置,部署完成后由网络控制器统一下发配置,极大的减少实施和维护的工作量及成本。设备后期维护中,通过统一管理平台内置的图形化热点分析界面,可有效查找到问题点,轻松完成维护工作。
通过对部署在覆盖目标的AP进行分组管理,比如按照建筑物划分管理组,方便IT管理员管理运维。同时,IT管理员可在控制器上可统一查看所有AP的运行情况(如AP接入用户、AP带宽使用情况、设备利用率、AP在线情况等),当AP设备出现异常或故障时,会出现告警事件,帮助IT管理员及时排除问题。
2.图形化后台管理
通过自带的无线网络管理后台,借助可视化管理界面,信息管理员不需要再担心无线网络管理问题,无线网络运行状态更加清晰,故障排除更加简便,所有的接入点AP运行状态一目了然,无线网络配置更改更加方便,为IT人员工作“减负”。
通过信锐统一无线后台即可以完成所有配置,包括交换机、无线和物联网设备,无需记住和登陆多个管理平台,不需要记住身份认证、网络管理配置、审计数据中心、营销中心等多个管理后台账号密码,节省了运维时间。
3.分权分级管理
信锐网络控制器拥有丰富的管理员控制权限,通过管理员分权分级,可以灵活的、精细的控制每个管理员的管理权限,方便网络的维护管理。
管理员类型分为超级管理员、普通管理员。超级管理员可以配置、修改网络控制器上所有的配置,普通管理员是由超级管理员分配的,不同的普通管理员可以是不同的管理权限。
4 .零配置上线
所有无线热点、交换机和物联网的配置统一在网络控制器上配置,部署简单,配置简易,实现用户零学习成本。配置支持自动以及手工备份和还原,双重保证无线热点的24小时不间断运行。
5.云升级
所有无线热点支持从云端自动升级到最新的版本,不同硬件型号AP能自动判断并完成升级,无线客户手工干预,降低了后续升级维护成本。客户可选择夜里自动升级,减少白天升级导致的业务中断问题。
6.可视化的热点地图
大型企业随着业务的快速发展,无线热点部署剧增,企业分支控制器部署也剧增,面临着复杂的设备管理问题。
信锐技术提供了强大的可视化的热点地图,通过地图展示可有效地帮助网络管理人员快速地分析和掌握设备的实时运行状态和负载情况。该特性以地图式的展现方式,分层管理设备,以掌握设备的实时运行状态。
热点位图还提供人流密度分析、用户位置的搜索快速定位、安全事件等机制,帮助网管更好地管理无线网络,服务于企业员工,帮助更好的信息化管理仓储区域。
深圳市信锐网科技术有限公司
售前咨询热线:400-878-3313
售后服务热线:400-878-3389
| 
