XX單位無(wú)線項(xiàng)目設(shè)計(jì)方案.doc

XX單位無(wú)線項(xiàng)目設(shè)計(jì)方案1.1 項(xiàng)目背景及需求分析XX單位，作為重要的政府機(jī)構(gòu)，網(wǎng)絡(luò)的建設(shè)要求選用先進(jìn)、成熟、安全、可靠、可擴(kuò)展的網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備。為了彌補(bǔ)有線網(wǎng)絡(luò)覆蓋有限、接入方式靈活差的缺陷，為了給XX單位的工作人員提供簡(jiǎn)單快捷的網(wǎng)絡(luò)接入能力，XX單位計(jì)劃建設(shè)一套無(wú)線網(wǎng)絡(luò)。針對(duì)XX單位無(wú)線網(wǎng)絡(luò)實(shí)際需求，本次新建的無(wú)線網(wǎng)絡(luò)系統(tǒng)需要重點(diǎn)考慮整個(gè)系統(tǒng)的高可靠性、高性能和安全性。在設(shè)備選型時(shí)采用的網(wǎng)絡(luò)產(chǎn)品供貨商應(yīng)是知名品牌，有良好的信譽(yù)。1.2 無(wú)線局域網(wǎng)（WLAN）概述無(wú)線局域網(wǎng)（WLAN）技術(shù)于20世紀(jì)90年代逐步成熟并投入商用，既可以作傳統(tǒng)有線網(wǎng)絡(luò)的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線網(wǎng)絡(luò)。對(duì)比傳統(tǒng)的有線傳輸解決方案，使用WLAN網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)傳輸具有以下顯著特點(diǎn)：簡(jiǎn)易性：WLAN網(wǎng)絡(luò)傳輸系統(tǒng)的安裝快速簡(jiǎn)單，可極大的減少敷設(shè)管道及布線等繁瑣工作；靈活性：無(wú)線技術(shù)使得WLAN設(shè)備可以靈活的進(jìn)行安裝并調(diào)整位置，使無(wú)線網(wǎng)絡(luò)達(dá)到有線網(wǎng)絡(luò)不易覆蓋的區(qū)域；綜合成本較低：一方面WLAN網(wǎng)絡(luò)減少了布線的費(fèi)用，另一方面在需要頻繁移動(dòng)和變化的動(dòng)態(tài)環(huán)境中，無(wú)線局域網(wǎng)技術(shù)可以更好地保護(hù)已有投資。同時(shí)，由于WLAN技術(shù)本身就是面向數(shù)據(jù)通信領(lǐng)域的IP傳輸技術(shù)，因此可直接通過(guò)百兆自適應(yīng)網(wǎng)口和企業(yè)內(nèi)部Intranet相連，從體系結(jié)構(gòu)上節(jié)省了協(xié)議轉(zhuǎn)換器等相關(guān)設(shè)備；擴(kuò)展能力強(qiáng)：WLAN網(wǎng)絡(luò)系統(tǒng)支持多種拓?fù)浣Y(jié)構(gòu)及平滑擴(kuò)容，可以十分容易地從小容量傳輸系統(tǒng)平滑擴(kuò)展為中等容量傳輸系統(tǒng)；隨著WLAN技術(shù)的快速發(fā)展和不斷成熟，目前在國(guó)內(nèi)外已經(jīng)具有較多的政府機(jī)構(gòu)使用WLAN技術(shù)布置無(wú)線城域網(wǎng)，進(jìn)行承載部分政府業(yè)務(wù)，諸如：電子政備、消防、公安信息等等。無(wú)線局域網(wǎng)技術(shù)經(jīng)過(guò)十幾年的發(fā)展，已經(jīng)歷了三代技術(shù)及產(chǎn)品的發(fā)展。第一代無(wú)線局域網(wǎng)主要是采用Fat AP，每一臺(tái)AP都要單獨(dú)進(jìn)行配置，費(fèi)時(shí)、費(fèi)力、費(fèi)成本；第二代無(wú)線局域網(wǎng)融入了無(wú)線網(wǎng)關(guān)功能但還是不能集中進(jìn)行管理和配置，其管理性和安全性以及對(duì)有線網(wǎng)絡(luò)的依賴成為了第一代和第二代WLAN產(chǎn)品發(fā)展的瓶頸，由于這一代技術(shù)的AP儲(chǔ)存了大量的網(wǎng)絡(luò)和安全的配置，包括加密的鑰匙，Radius client的安全密碼 (secret) 等，而AP又是分散在建筑物中的各個(gè)位置，一旦AP的配置被盜取讀出并修改，其無(wú)線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。另外由于AC或無(wú)線網(wǎng)關(guān)的硬件多數(shù)是基于Pentium架構(gòu)的，所以當(dāng)用戶接入數(shù)量 (IP sessions)增多時(shí)，無(wú)線網(wǎng)的性能會(huì)急劇下降，時(shí)常會(huì)發(fā)生掉線或死機(jī)情況。在這樣的環(huán)境下，基于無(wú)線交換機(jī)技術(shù)的第三代WLAN產(chǎn)品應(yīng)運(yùn)而生。第三代無(wú)線局域網(wǎng)采用無(wú)線交換機(jī)和FIT AP的架構(gòu)，對(duì)傳統(tǒng)WLAN設(shè)備的功能做了重新劃分，將密集型的無(wú)線網(wǎng)絡(luò)和安全處理功能轉(zhuǎn)移到集中的 WLAN 交換機(jī)中實(shí)現(xiàn)，同時(shí)加入了許多重要新功能，諸如無(wú)線網(wǎng)管、AP間自適應(yīng)、無(wú)線安管、RF監(jiān)測(cè)、無(wú)縫漫游以及Qos。，使得無(wú)線局域網(wǎng)的網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高。FAT AP與FIT AP兩種組網(wǎng)方案對(duì)比1.3 無(wú)線網(wǎng)絡(luò)建設(shè)原則結(jié)合WLAN的實(shí)際應(yīng)用和發(fā)展要求，主要遵循以下系統(tǒng)總體原則： 實(shí)用性原則：以現(xiàn)行需求為基礎(chǔ)，充分考慮發(fā)展的需要來(lái)確定系統(tǒng)規(guī)模。 安全性原則：對(duì)用戶的安全以及網(wǎng)絡(luò)的安全要求較高。 可靠性原則：系統(tǒng)設(shè)計(jì)能有效的避免單點(diǎn)失敗，在設(shè)備的選擇和關(guān)鍵設(shè)備的互聯(lián)時(shí)，應(yīng)提供充分的冗余備份，一方面最大限度地減少故障的可能性，另一方面要保證網(wǎng)絡(luò)能在最短時(shí)間內(nèi)修復(fù)。 成熟和先進(jìn)性原則：由于WLAN應(yīng)用于企業(yè)和運(yùn)營(yíng)網(wǎng)絡(luò)仍然屬于新新技術(shù)，需要及時(shí)將新技術(shù)引用進(jìn)來(lái)，更好的開(kāi)展業(yè)務(wù)，同時(shí)也要求保證網(wǎng)絡(luò)與業(yè)務(wù)的可靠性。 規(guī)范性原則：系統(tǒng)設(shè)計(jì)所采用的技術(shù)和設(shè)備應(yīng)符合WLAN國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)，為系統(tǒng)的擴(kuò)展升級(jí)、與其他系統(tǒng)的互聯(lián)提供良好的基礎(chǔ)。 開(kāi)放性和標(biāo)準(zhǔn)化原則：在設(shè)計(jì)時(shí)，要求提供開(kāi)放性好、標(biāo)準(zhǔn)化程度高的技術(shù)方案；設(shè)備的各種接口滿足開(kāi)放和標(biāo)準(zhǔn)化原則。 可擴(kuò)充和擴(kuò)展化原則：所有系統(tǒng)設(shè)備不但滿足當(dāng)前需要，并在擴(kuò)充模塊后滿足可預(yù)見(jiàn)將來(lái)需求，如帶寬和設(shè)備的擴(kuò)展，應(yīng)用的擴(kuò)展和辦公地點(diǎn)的擴(kuò)展等。保證建設(shè)完成后的系統(tǒng)在向新的技術(shù)升級(jí)時(shí)，能保護(hù)現(xiàn)有的投資。 可管理性原則：整個(gè)系統(tǒng)的設(shè)備應(yīng)易于管理，易于維護(hù)，操作簡(jiǎn)單，易學(xué)，易用，便于進(jìn)行系統(tǒng)配置，在設(shè)備、安全性、數(shù)據(jù)流量、性能等方面得到很好的監(jiān)視和控制，并可以進(jìn)行遠(yuǎn)程管理和故障診斷。二、XX單位網(wǎng)絡(luò)方案2.1 無(wú)線網(wǎng)絡(luò)系統(tǒng)整體建設(shè)方案整個(gè)XX單位無(wú)線網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)拓?fù)鋱D如下圖所示：如上圖所示，筆記本、臺(tái)式電腦、手機(jī)、IPAD等移動(dòng)設(shè)備客戶端通過(guò)無(wú)線連接AP，各樓層AP分別上連到樓內(nèi)的H3C S5120 POE交換機(jī)上；POE交換機(jī)通過(guò)現(xiàn)有以太網(wǎng)線路與原核心交換機(jī)互連；AC旁掛在原核心交換機(jī)上， AC對(duì)所有的AP 進(jìn)行統(tǒng)一的配置及策略下發(fā)，而不必對(duì)AP一一去進(jìn)行單獨(dú)配置，同時(shí)通過(guò)網(wǎng)管平臺(tái)提供多種用戶的認(rèn)證和接入功能，解決了不便于安裝客戶端用戶的安全認(rèn)證問(wèn)題。在外網(wǎng)無(wú)線方面我們提供了先進(jìn)的基于智能無(wú)線交換架構(gòu)的整體解決方案，為XX單位工作人員及參加培訓(xùn)的人員的筆記本、手機(jī)、IPAD等移動(dòng)設(shè)備提供接入網(wǎng)絡(luò)的能力,臺(tái)式機(jī)通過(guò)安裝USB無(wú)線網(wǎng)卡的方式接入到無(wú)線網(wǎng)絡(luò)。對(duì)終端無(wú)線接入采用WPA加密技術(shù)，并對(duì)接入用戶進(jìn)行web portal管理認(rèn)證，只有通過(guò)了用戶名和密碼驗(yàn)證過(guò)的用戶才能連接到無(wú)線網(wǎng)絡(luò)中。本項(xiàng)目采用AC+FIT AP設(shè)計(jì)方案，部署WX5510E+WA2610H/WA3628i/WA2620i/WA2610X(室外)的方式組網(wǎng)，構(gòu)建高速，高可靠的無(wú)線網(wǎng)絡(luò)系統(tǒng)最高的無(wú)線接入速率達(dá)到45OM。在供電部分，AP采用POE的供電方式。POE接入交換機(jī)通過(guò)以太網(wǎng)線直接對(duì)AP進(jìn)行供電，無(wú)需本地取電，既節(jié)省了重新布線的工作，也方便美觀，對(duì)于主樓和東樓由于AP數(shù)量數(shù)多，所以這次我們直接新增5臺(tái)了S5120-28C/52C-PWR 全千兆POE供電交換機(jī)，一方面提供AP的POE供電，更方面的部署，另一方面也提高網(wǎng)絡(luò)的處理速度及安全防護(hù)；而對(duì)于老干處和會(huì)議廳由于新增的AP數(shù)量少，我們新增4個(gè)POE供電盒來(lái)供電，以節(jié)省用戶的投資，并方便部署。在接入安全方面:，通過(guò)AP、無(wú)線控制器及接入交換機(jī)及UAM 用戶接入管理組件組成一個(gè)立體的安全防護(hù)。接入用戶需要通過(guò)網(wǎng)頁(yè)的方式進(jìn)行認(rèn)證，只有合法的用戶才被允許接入，不合法的用戶無(wú)法接入，這大大提高了整個(gè)無(wú)線網(wǎng)絡(luò)的安全性。同時(shí)UAM組件還能提供針對(duì)訪客等臨時(shí)接入賬號(hào)的訪客管理功能，訪客管理員可創(chuàng)建來(lái)賓賬號(hào)并申請(qǐng)?jiān)L客接入網(wǎng)絡(luò)服務(wù)。企業(yè)訪客通過(guò)批準(zhǔn)的訪客賬號(hào)訪問(wèn)企業(yè)網(wǎng)絡(luò)，該賬號(hào)將在超過(guò)保留時(shí)長(zhǎng)后失效,還能對(duì)有線、無(wú)線接入用戶可以提供統(tǒng)一的接入認(rèn)證、授權(quán)功能，從而對(duì)有線、無(wú)線用戶使用統(tǒng)一帳號(hào)進(jìn)行管理。在對(duì)無(wú)線接入用戶接入綁定限定的基礎(chǔ)上，針對(duì)無(wú)線接入特性，提供了無(wú)線SSID綁定功能。在管理方面:由于無(wú)線網(wǎng)絡(luò)的靈活性和不可見(jiàn)性，因此，對(duì)無(wú)線網(wǎng)絡(luò)的管理需求也較有線網(wǎng)絡(luò)更加強(qiáng)烈，而且無(wú)線網(wǎng)絡(luò)直接面對(duì)最終用戶，對(duì)管理系統(tǒng)穩(wěn)定性、實(shí)時(shí)性、有效性要求都較高。因此，我們通過(guò)配置的WSM無(wú)線運(yùn)營(yíng)管理組件依托iMC智能管理平臺(tái)，實(shí)現(xiàn)有線無(wú)線一體化的管理，在iMC系統(tǒng)全面的有線網(wǎng)絡(luò)管理的基礎(chǔ)上，為管理員提供無(wú)線網(wǎng)絡(luò)管理能力。管理員無(wú)需重新搭建IT管理平臺(tái)，即可在原有的有線網(wǎng)絡(luò)管理系統(tǒng)中增加無(wú)線管理功能，與有線管理平臺(tái)統(tǒng)一部署，節(jié)省用戶投入，節(jié)約維護(hù)成本。2.1.1 無(wú)線AP設(shè)計(jì)在無(wú)線AP設(shè)計(jì)時(shí)充分考慮XX單位需求以及結(jié)合H3C多年行業(yè)無(wú)線覆蓋經(jīng)驗(yàn)，在本目建設(shè)中無(wú)線AP的設(shè)計(jì)針對(duì)不同區(qū)域采用不同無(wú)線AP進(jìn)行無(wú)線覆蓋，以獲得更好的無(wú)線覆蓋效果。2.1.2 主樓/東樓辦公室無(wú)線AP設(shè)計(jì)辦公室設(shè)計(jì)時(shí)考慮到辦公環(huán)境的安靜性，一般均采用實(shí)心建設(shè)結(jié)構(gòu)設(shè)計(jì)，對(duì)于主樓和東樓這樣的多辦公室環(huán)境，可以采用房間室內(nèi)分布式系統(tǒng)安裝設(shè)計(jì)均存在施工復(fù)雜、施工對(duì)辦公影響大。因此，在辦公區(qū)我們建議采用H3C新一代入墻式無(wú)線WA2610H，每?jī)煞块g部署一臺(tái)H3C WA2610H無(wú)線AP，可以為客戶提供良好、舒適的無(wú)線接入體驗(yàn)同時(shí)能夠提供良好的無(wú)線網(wǎng)絡(luò)。H3C WA2610H-GN無(wú)線接入點(diǎn)是杭州華三通信技術(shù)有限公司(H3C)自主研發(fā)的新一代面板式無(wú)線接入設(shè)備(以下簡(jiǎn)稱AP)，可以安裝在任意86mm面板的暗盒之上，不破壞原有裝修，安裝方便，可管理能力強(qiáng)。WA2610H-GN適合于學(xué)各種密集房間場(chǎng)所，解決了在這些場(chǎng)景中，傳統(tǒng)AP布放方式信號(hào)質(zhì)量不佳的問(wèn)題，并極大的減少了安裝成本以及實(shí)施時(shí)所帶來(lái)的運(yùn)營(yíng)成本，WA2610H-GN內(nèi)置的IEEE 802.11b/g/n 無(wú)線模塊，最高支持150Mbps 傳輸速率，可連接筆記本、平板電腦、智能手機(jī)等無(wú)線終端設(shè)備。WA2610H 提供兩個(gè)網(wǎng)口（其中一個(gè)可以支持POE 對(duì)外供電）和一個(gè)電話接口，滿足房間VOIP、IPTV 和智能家電的擴(kuò)展需求。采用內(nèi)置天線隱藏指示燈設(shè)計(jì)，使房間內(nèi)部的環(huán)境不受設(shè)備工作影響，卡線設(shè)計(jì)讓安裝更方便，符合施工人員習(xí)慣。2.1.3 大辦公室/多功能廳/主任會(huì)議室無(wú)線AP設(shè)計(jì)針對(duì)大辦公室/多功能廳/主任會(huì)議室這此類位置的覆蓋主要是高密度接入需求。因此，我們建議在此類位置根據(jù)面積的大小直接選擇H3C WA2620i-FIT和WA3628i無(wú)線AP作為該區(qū)域的無(wú)線AP，采用直放式進(jìn)行安裝。H3C WA3600 i系列無(wú)線產(chǎn)品是杭州華三通信技術(shù)有限公司(H3C)自主研發(fā)的新一代基于3-Streams 11n MIMO技術(shù)的能提供450Mbps的無(wú)線傳輸速率以及整機(jī)千兆接入能力千兆高速無(wú)線接入設(shè)備，可提供相當(dāng)于傳統(tǒng)802.11a/g網(wǎng)絡(luò)10倍以上的無(wú)線接入速率，能夠覆蓋更大的范圍。該系列無(wú)線產(chǎn)品上行鏈路采用千兆以太網(wǎng)接口，突破了百兆以太網(wǎng)接口的限制，使無(wú)線多媒體應(yīng)用成為現(xiàn)實(shí)。WA3628(雙頻增強(qiáng))內(nèi)置終端感知型硬件智能天線陣列(最高可達(dá)4096種波形)，外型小巧美觀，安裝方式靈活，適用于壁掛、吸頂?shù)榷喾N安裝方式。H3C WA2600 i系列無(wú)線產(chǎn)品是杭州華三通信技術(shù)有限公司(H3C)自主研發(fā)的新一代基于終端感知型硬件智能天線覆蓋技術(shù)的超百兆高速無(wú)線接入設(shè)備(以下簡(jiǎn)稱AP)，可提供相當(dāng)于傳統(tǒng)802.11a/b/g網(wǎng)絡(luò)6倍以上的無(wú)線接入速率，能夠覆蓋更大的范圍。該系列無(wú)線產(chǎn)品上行鏈路采用千兆以太網(wǎng)接口，突破了百兆速率的限制，使無(wú)線多媒體應(yīng)用成為現(xiàn)實(shí)。2.1.4 覆蓋飯?zhí)脜^(qū)域無(wú)線AP設(shè)計(jì)在飯?zhí)梅矫?，由于飯?zhí)迷瓉?lái)沒(méi)有XX單位的外網(wǎng)網(wǎng)絡(luò)，如從新布線工程較大，所以我們?cè)O(shè)計(jì)采用在主樓的3層用兩臺(tái)H3C WA2610X-GNP室外AP并配上室外的定向天線來(lái)覆蓋,這樣可以省去重新布線的麻煩，部署十分方便室外區(qū)域無(wú)線覆蓋主要需要考慮周圍環(huán)境的復(fù)雜性，同時(shí)還需要考慮AP一系列的防雷、防水、工作溫度等相關(guān)的控制。因此，在本次項(xiàng)目室外無(wú)線AP覆蓋我們建議采用H3C WA2610X室外專用無(wú)線AP作為本次項(xiàng)目室外無(wú)線覆蓋AP,用于覆蓋飯?zhí)?。H3C WA2610X為H3C室外專用大功率無(wú)線AP，采用500mw大功率可調(diào)設(shè)計(jì)在室外復(fù)雜環(huán)境可以獲得較好的無(wú)線覆蓋效果。同時(shí)，H3C WX2610X為室外專用AP可以直接在不加裝任何防水、防雷裝置的情況下直接安裝在室外，也能夠適應(yīng)室外較大的溫差變化等特征。2.2 AP點(diǎn)數(shù)分布設(shè)計(jì)2.2.1 主樓AP分布設(shè)計(jì)在主樓每層的房間數(shù)量很多，為保證每個(gè)房間的信號(hào)，我們共采用79個(gè)H3C WA2610H面板式AP來(lái)覆蓋，基本每?jī)蓚€(gè)房間，我們就用一個(gè)AP來(lái)覆蓋,這樣即可以，達(dá)到很好的信號(hào)覆蓋效果,也可以節(jié)省用戶的投資。另外在3-9層每層樓都有一個(gè)大辦公室里面細(xì)分了多個(gè)小辦公室，小辦公室的隔離墻沒(méi)封到頂，所以我們可以直接在大辦公室的上空中間位置放置一個(gè)WA2620AP來(lái)進(jìn)行全覆蓋。具體見(jiàn)下表。主樓AP分布表樓棟樓層房間數(shù)量多辦公室房會(huì)議室外網(wǎng)(POE供電)24口交換機(jī)外網(wǎng)(POE供電)48口交換機(jī)面板AP數(shù)量2620或3628備注主樓一層74二層74三層1911103其中兩個(gè)用于連室外天線覆蓋食堂四層191101五層191101六層1911101七層191101八層201101九層1911101十層21十一層0小2.2 東樓AP分布設(shè)計(jì)另外在四層和七層分別有個(gè)多功能廳和主任會(huì)議室，最多時(shí)人數(shù)會(huì)達(dá)到30人以上，對(duì)于這些高密度的地方，我在東樓方面多，為保證每個(gè)房間的信號(hào)，我們共采用37個(gè)H3C WA2610H面板式AP來(lái)覆蓋，對(duì)于小的房間每?jī)蓚€(gè)房間，我們就用一個(gè)AP來(lái)覆蓋；對(duì)于主任辦公室則基本是第個(gè)房間一個(gè)AP，達(dá)到很好的信號(hào)覆蓋效果,也可以節(jié)省用戶的投資。另外在3層的4個(gè)會(huì)議室原來(lái)已有H3C的WA2620AP進(jìn)行信號(hào)覆蓋，我們這次可以直接復(fù)用原來(lái)的設(shè)備，以節(jié)省用戶的投資；們?cè)O(shè)計(jì)每個(gè)房間用兩個(gè)AP進(jìn)行覆蓋；這里我們選配一個(gè)H3C WA3628i 高速AP，該AP能提供空間3流(3-Streams) 450Mbps的無(wú)線傳輸速率以及整機(jī)千兆接入能力，是相同環(huán)境下802.11a/ g產(chǎn)品的10倍左右。通過(guò)內(nèi)置集成終端感知型硬件智能天線覆蓋技術(shù)，可以有效地從覆蓋范圍、接入密度、運(yùn)行穩(wěn)定等方面提供更高性能的接入服務(wù),另外再配合一個(gè)WA2620iAP來(lái)進(jìn)行負(fù)載分擔(dān)和全覆蓋。東樓AP分布表樓棟樓層房間數(shù)量多辦公室房會(huì)議室外網(wǎng)(POE供電)24口交換機(jī)外網(wǎng)(POE供電)48口交換機(jī)面板AP數(shù)量2620或3628備注東樓一層(大堂)二層三層4四層11162一個(gè)用2620另一個(gè)用3628五層147六層1015七層7142一個(gè)用2620另一個(gè)用3628八層74九層714十層74十一層63小計(jì)6906203742.2.3 飯?zhí)肁P分布設(shè)計(jì)在飯?zhí)梅矫妫饕枰采w2至4樓約12個(gè)房間，由于飯?zhí)迷瓉?lái)沒(méi)有XX單位的外網(wǎng)網(wǎng)絡(luò)，如從新布線工程軟大，所以我們?cè)O(shè)計(jì)采用在主樓的3層用兩臺(tái)H3C WA2610X-GNP室外AP并配上室外的定向天線來(lái)覆蓋,這樣可以省去重新布線的麻煩，部署十分方便，但需要注意不靠主樓方向的方間信號(hào)可能覆蓋不到。2.2.4 會(huì)議廳層AP分布設(shè)計(jì)在會(huì)議廳方面，原來(lái)已有H3C的WA2620AP進(jìn)行信號(hào)覆蓋，我們這次可以直接復(fù)用原來(lái)的設(shè)備，以節(jié)省用戶的投資；另外在一層大堂和貴賓室則需要新增一個(gè)WA2620iP來(lái)覆蓋。會(huì)議廳AP分布表樓棟樓層房間數(shù)量多辦公室房會(huì)議室外網(wǎng)(POE供電)24口交換機(jī)外網(wǎng)(POE供電)48口交換機(jī)面板AP數(shù)量2620或3628備注會(huì)議廳一層(大堂)111會(huì)議廳最多時(shí)約100人，現(xiàn)已有6個(gè)H3C WA2620，準(zhǔn)備復(fù)有小計(jì)11000012.2.5 老干處AP分布設(shè)計(jì)在老干處方面多，共有4個(gè)房間，我們共采用2個(gè)H3C WA2610H面板式AP來(lái)覆蓋，對(duì)于每?jī)蓚€(gè)房間，我們就用一個(gè)AP來(lái)覆蓋；樓棟樓層房間數(shù)量多辦公室房會(huì)議室外網(wǎng)(POE供電)24口交換機(jī)外網(wǎng)(POE供電)48口交換機(jī)面板AP數(shù)量2620或3628備注老干處一層42小計(jì)40000202.2.6 XX單位整體AP詳細(xì)分布表整體匯總表樓棟樓層房間數(shù)量多辦公室房會(huì)議室外網(wǎng)(POE供電)24口交換機(jī)外網(wǎng)(POE供電)48口交換機(jī)面板AP數(shù)量2620或3628備注主樓一層74二層74三層1911103其中兩個(gè)用于連室外天線覆蓋食堂四層191101五層191101六層1911101七層191101八層201101九層1911101十層21十一層0小計(jì)1507012799東樓一層(大堂)二層三層4四層11162一個(gè)用2620另一個(gè)用3628五層147六層1015七層7142一個(gè)用2620另一個(gè)用3628八層74九層714十層74十一層63小計(jì)690620374飯?zhí)枚?用主樓室外對(duì)射來(lái)覆蓋三層4用主樓室外對(duì)射來(lái)覆蓋四層4用主樓室外對(duì)射來(lái)覆蓋小計(jì)12000000會(huì)議廳一層(大堂)111會(huì)議廳小計(jì)1100001老干處一層42小計(jì)4000020合計(jì)2368632118142.3 無(wú)線網(wǎng)絡(luò)組網(wǎng)模式設(shè)計(jì)根據(jù)XX單位對(duì)此次無(wú)線網(wǎng)絡(luò)建設(shè)提出的需求，此次無(wú)線網(wǎng)絡(luò)設(shè)計(jì)采用的是瘦AP加無(wú)線控制器的解決方案，利用無(wú)線控制器對(duì)AP進(jìn)行統(tǒng)一的配置和控制。FIT AP（瘦AP）組網(wǎng)最大的優(yōu)點(diǎn)在于AP本身零配置，AP上電后會(huì)自動(dòng)從無(wú)線控制器下載軟件版本和配置文件，同時(shí)無(wú)線控制器會(huì)自動(dòng)調(diào)節(jié)AP的工作信道以及發(fā)射功率。另外，通過(guò)無(wú)線控制器的RF掃描探測(cè)熱點(diǎn)地區(qū)Rouge AP，可以及時(shí)排除其他AP存在的干擾，保障AP的穩(wěn)定運(yùn)行。在網(wǎng)絡(luò)管理方面，網(wǎng)管可以只通過(guò)管理無(wú)線控制器設(shè)備就可以達(dá)到控制AP的效果，極大的減少了無(wú)線網(wǎng)絡(luò)后期維護(hù)和管理的工作量。使用無(wú)線控制器+FIT AP時(shí)，AP在啟動(dòng)后會(huì)自動(dòng)通過(guò)DHCP方式獲取IP地址，并自動(dòng)搜尋可關(guān)聯(lián)的無(wú)線控制器，在和無(wú)線控制器建立CAPWAP隧道之后會(huì)自動(dòng)從無(wú)線控制器下載配置文件和更新軟件版本。在AP的接入方面，H3C擁有智能射頻管理，當(dāng)某一個(gè)AP出現(xiàn)故障時(shí)，周圍的其他AP會(huì)自動(dòng)調(diào)整功率，對(duì)該部分區(qū)域進(jìn)行重新的信號(hào)覆蓋，保證信號(hào)的良好覆蓋。而當(dāng)有非法AP進(jìn)入無(wú)線網(wǎng)絡(luò)造成信號(hào)干擾時(shí)，H3C智能射頻管理系統(tǒng)可以定位出該AP的位置，以便及時(shí)加以排除。FIT AP自動(dòng)射頻調(diào)整功能示意圖無(wú)線控制器可以設(shè)定AP間對(duì)接入用戶進(jìn)行負(fù)載分擔(dān)，當(dāng)無(wú)線控制器發(fā)現(xiàn)AP的負(fù)載超過(guò)設(shè)定的門限值以后，對(duì)于新接入的用戶無(wú)線控制器會(huì)自動(dòng)計(jì)算此用戶周圍是否還有負(fù)載較輕的AP可供用戶接入，如果有則AP會(huì)拒絕用戶的關(guān)聯(lián)請(qǐng)求，用戶會(huì)轉(zhuǎn)而接入其他負(fù)載較輕的AP。如圖所示：H3C WLAN智能負(fù)載分擔(dān)H3C公司創(chuàng)新性地支持智能負(fù)載均衡技術(shù)，保證只對(duì)處于AP覆蓋重疊區(qū)的無(wú)線用戶才啟動(dòng)AP負(fù)載均衡功能，有效的避免誤均衡的出現(xiàn)。H3C WLAN智能負(fù)載分擔(dān)H3C FIT AP方案還支持無(wú)線入侵檢測(cè)。當(dāng)有第三方的AP仿冒SSID時(shí)，無(wú)線控制器會(huì)通過(guò)AP的反饋，迅速得到相應(yīng)的信息，并上報(bào)網(wǎng)管，采取相應(yīng)的信息。管理員還可以對(duì)該設(shè)備發(fā)起攻擊，使該第三方設(shè)備無(wú)法連接上相應(yīng)的用戶。H3C無(wú)線入侵檢測(cè)示意圖2.4 無(wú)線AP功率自動(dòng)調(diào)整傳統(tǒng)的射頻功率控制方法只是靜態(tài)地將發(fā)射功率設(shè)置為最大值，單純地追求信號(hào)覆蓋范圍，但是功率過(guò)大可能導(dǎo)致對(duì)其他無(wú)線設(shè)備造成不必要的干擾。因此，需要選擇一個(gè)能平衡覆蓋范圍和系統(tǒng)容量的最佳功率。功率調(diào)整就是在整個(gè)無(wú)線網(wǎng)絡(luò)的運(yùn)行過(guò)程根據(jù)實(shí)時(shí)的無(wú)線環(huán)境情況，動(dòng)態(tài)地分配合理的功率。當(dāng)?shù)谝淮伍_(kāi)始運(yùn)行的時(shí)候，它使用最大傳輸功率。當(dāng)從其他鄰居（鄰居指的是AP能探測(cè)到的且必須是由同一AC管理）處得到報(bào)告時(shí)，功率是否增加或減少取決于探測(cè)的結(jié)論：1、在增加鄰居時(shí)，功率會(huì)減小。如下圖所示，覆蓋同一面積區(qū)域，當(dāng)增加AP 4后，達(dá)到缺省的最大鄰居數(shù)3（此參數(shù)可配置），運(yùn)行功率調(diào)整功能，可以看到調(diào)整后功率小于使用三個(gè)AP時(shí)需要的功率。功率減小示意圖2、在修復(fù)鄰居AP離線造成的信號(hào)覆蓋黑洞時(shí)，功率會(huì)增加。如圖所示。功率增大示意圖在本方案設(shè)計(jì)中采用無(wú)線功率自動(dòng)調(diào)整方法來(lái)實(shí)現(xiàn)覆蓋區(qū)域優(yōu)良的無(wú)線覆蓋。配置功率自動(dòng)調(diào)整后AP會(huì)從其他鄰居（鄰居指的是AP能探測(cè)到的、并且必須是由同一AC管理的其他AP）處得到通道測(cè)量報(bào)告時(shí)，功率是否增加或減少取決于探測(cè)的結(jié)論。在設(shè)備第一次選擇功率時(shí)都會(huì)選擇最大功率，然后根據(jù)實(shí)際情況進(jìn)行功率調(diào)整配置自動(dòng)功率調(diào)整后。當(dāng)沖突嚴(yán)重時(shí)，AC會(huì)在每一次優(yōu)化間隔后（間隔由命令calibration-interval指定），把調(diào)整結(jié)果應(yīng)用到AP上。以后每隔一段時(shí)間AC會(huì)自動(dòng)根據(jù)沖突情況進(jìn)行功率調(diào)整。2.5無(wú)線網(wǎng)管設(shè)計(jì)2.5.1 WSM無(wú)線管理組件產(chǎn)品簡(jiǎn)介近幾年來(lái)，網(wǎng)絡(luò)已經(jīng)融入到人類生活的方方面面，生產(chǎn)辦公、交通運(yùn)輸、醫(yī)療衛(wèi)生、休閑娛樂(lè)無(wú)一不在使用網(wǎng)絡(luò)，隨著網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)業(yè)務(wù)層出不窮，人們?cè)絹?lái)越多地需要時(shí)時(shí)刻刻地能夠接入網(wǎng)絡(luò)，于是筆記本電腦用戶日漸增多，手機(jī)、PDA不斷普及，更多的便攜式網(wǎng)絡(luò)接入設(shè)備進(jìn)入人們的視線，而無(wú)線網(wǎng)絡(luò)以其施工簡(jiǎn)單、接入方便逐漸被人們所喜愛(ài)。這種情況下，傳統(tǒng)的有線網(wǎng)絡(luò)連接形式已經(jīng)無(wú)法應(yīng)付新的生活方式所帶來(lái)的挑戰(zhàn)。作為接入層網(wǎng)絡(luò)，無(wú)線網(wǎng)絡(luò)維護(hù)工作量較大，加之無(wú)線網(wǎng)絡(luò)的靈活性和不可見(jiàn)性，對(duì)無(wú)線網(wǎng)絡(luò)的管理需求也較有線網(wǎng)絡(luò)更加強(qiáng)烈。無(wú)線網(wǎng)絡(luò)直接面對(duì)最終用戶，對(duì)管理系統(tǒng)穩(wěn)定性、實(shí)時(shí)性、有效性要求都較高。WSM無(wú)線運(yùn)營(yíng)管理組件依托iMC智能管理平臺(tái)，實(shí)現(xiàn)有線無(wú)線一體化的管理，在iMC系統(tǒng)全面的有線網(wǎng)絡(luò)管理的基礎(chǔ)上，為管理員提供無(wú)線網(wǎng)絡(luò)管理能力。管理員無(wú)需重新搭建IT管理平臺(tái)，即可在原有的有線網(wǎng)絡(luò)管理系統(tǒng)中增加無(wú)線管理功能，與有線管理平臺(tái)統(tǒng)一部署，節(jié)省用戶投入，節(jié)約維護(hù)成本。產(chǎn)品特點(diǎn)H3C無(wú)線運(yùn)營(yíng)管理組件（WSM）在下一代業(yè)務(wù)軟件平臺(tái)iMC的基礎(chǔ)上進(jìn)行開(kāi)發(fā)，不僅為管理員提供了靈活的組件選擇，同時(shí)符合業(yè)界主流的SOA架構(gòu)，具備良好的擴(kuò)展性，能夠滿足客戶網(wǎng)絡(luò)管理不斷發(fā)展的需求?；赪eb的管理系統(tǒng)，為無(wú)線業(yè)務(wù)管理者提供了簡(jiǎn)便、友好的管理平臺(tái)。與iMC智能管理平臺(tái)及其它組件配合，還可實(shí)現(xiàn)無(wú)線設(shè)備的面板管理、故障管理、性能監(jiān)控、軟件版本管理、配置文件管理、接入用戶管理等功能，并可對(duì)網(wǎng)絡(luò)中的其它設(shè)備進(jìn)行統(tǒng)一管理，真正實(shí)現(xiàn)有線無(wú)線一體化管理。該組件的主要功能和特點(diǎn)如下：1. 無(wú)線有線一體化管理H3C無(wú)線運(yùn)營(yíng)管理組件（WSM）作為iMC智能管理中心的無(wú)線業(yè)務(wù)管理核心，對(duì)于網(wǎng)絡(luò)中的AC、FAT AP、AC、FIT AP、移動(dòng)終端等無(wú)線設(shè)備與有線設(shè)備進(jìn)行一體化集中管理，全網(wǎng)設(shè)備信息和狀態(tài)一目了然。網(wǎng)絡(luò)資源通過(guò)多種視圖進(jìn)行查看，視圖內(nèi)分組管理，將規(guī)模巨大的無(wú)線接入設(shè)備有效組織，便于管理員維護(hù)。2. 多樣化的拓?fù)涔芾鞨3C無(wú)線運(yùn)營(yíng)管理組件（WSM）中的無(wú)線業(yè)務(wù)邏輯拓?fù)鋷椭芾韱T直觀了解網(wǎng)絡(luò)部署情況及設(shè)備/鏈路當(dāng)前狀態(tài)。系統(tǒng)可根據(jù)不同的方式組織資源，有效進(jìn)行拓?fù)浞纸M、真實(shí)組織全網(wǎng)資源。物理位置視圖中管理員可根據(jù)需要?jiǎng)?chuàng)建多緯度、多層次的物理位置結(jié)構(gòu)，并在指定建筑物底圖上根據(jù)真實(shí)情況擺放設(shè)備，逼近真實(shí)網(wǎng)絡(luò)環(huán)境。無(wú)線有線一體化拓?fù)?. 無(wú)線終端定位和漫游記錄審計(jì)H3C無(wú)線運(yùn)營(yíng)管理組件（WSM）可以直接在拓?fù)鋱D中對(duì)移動(dòng)終端的信息進(jìn)行查看，包括MAC地址、信號(hào)強(qiáng)度、發(fā)射速率集、RSSI、SSID、使用信道、所在AC設(shè)備、所在AP設(shè)備等，并能查看各移動(dòng)終端的全部漫游記錄，使管理員隨時(shí)了解最終接入用戶的情況，并對(duì)其接入軌跡進(jìn)行審計(jì)。無(wú)線終端漫游記錄審計(jì)4. RF覆蓋管理和無(wú)線網(wǎng)絡(luò)規(guī)劃在實(shí)際無(wú)線環(huán)境的部署和維護(hù)中，需要關(guān)注無(wú)線設(shè)備的RF范圍、覆蓋管理以及無(wú)線網(wǎng)絡(luò)規(guī)劃擴(kuò)容問(wèn)題。H3C無(wú)線運(yùn)營(yíng)管理組件（WSM）可以用很直觀的拓?fù)鋱D表示出無(wú)線網(wǎng)絡(luò)中的RF狀況。無(wú)線RF覆蓋狀況5. 無(wú)線入侵檢測(cè)和防護(hù)無(wú)線網(wǎng)絡(luò)靈活多變，并且基礎(chǔ)設(shè)施不可見(jiàn)，因此比有線網(wǎng)絡(luò)更容易遭到越權(quán)使用。對(duì)于這類問(wèn)題，H3C無(wú)線運(yùn)營(yíng)管理組件（WSM）提供了Rogue設(shè)備檢測(cè)功能，可對(duì)無(wú)線入侵進(jìn)行檢測(cè)，可明確顯示非法接入設(shè)備，并對(duì)其進(jìn)行信息查詢、加入黑名單及發(fā)起攻擊等動(dòng)作。無(wú)線入侵檢測(cè)和防護(hù)6. 豐富的無(wú)線統(tǒng)計(jì)報(bào)表對(duì)網(wǎng)絡(luò)進(jìn)行運(yùn)營(yíng)管理需要對(duì)網(wǎng)絡(luò)進(jìn)行全方位的監(jiān)控，從網(wǎng)絡(luò)各種性能指標(biāo)、告警指標(biāo)中進(jìn)行智能的統(tǒng)計(jì)和分析，才能有效從整體對(duì)網(wǎng)絡(luò)狀況進(jìn)行衡量。H3C無(wú)線運(yùn)營(yíng)管理組件（WSM）提供了豐富的無(wú)線統(tǒng)計(jì)報(bào)表查詢和定制功能，以幫助管理員對(duì)網(wǎng)絡(luò)進(jìn)行綜合而全面的管理。無(wú)線業(yè)務(wù)報(bào)表展示2.5.2 UAM用戶接入組件產(chǎn)品簡(jiǎn)介業(yè)界傳統(tǒng)的網(wǎng)絡(luò)管理、用戶管理軟件各自發(fā)展已經(jīng)較為完善，網(wǎng)絡(luò)管理系統(tǒng)關(guān)注于網(wǎng)絡(luò)基礎(chǔ)資源的管理，包括路由器、交換機(jī)、服務(wù)器等，而用戶管理則關(guān)注于對(duì)當(dāng)前正在使用網(wǎng)絡(luò)基礎(chǔ)資源的用戶的管理，包括對(duì)用戶身份的認(rèn)證、對(duì)用戶信息的組織管理等，但實(shí)際上網(wǎng)絡(luò)和用戶是有機(jī)融合的整體，需要統(tǒng)一集中管理。iMC智能管理中心的平臺(tái)組件實(shí)現(xiàn)了完善的網(wǎng)絡(luò)設(shè)備管理功能，在此的基礎(chǔ)上，iMC智能管理中心用戶管理組件將管理的范疇從網(wǎng)絡(luò)設(shè)備延展到了網(wǎng)絡(luò)用戶的管理，通過(guò)網(wǎng)絡(luò)設(shè)備管理和用戶管理的深度融合和聯(lián)動(dòng)，在統(tǒng)一的平臺(tái)上實(shí)現(xiàn)了用戶、網(wǎng)絡(luò)的集中管理。產(chǎn)品特點(diǎn)iMC智能管理中心除了實(shí)現(xiàn)基礎(chǔ)的用戶管理和網(wǎng)絡(luò)管理功能外，最大的特色在于實(shí)現(xiàn)了兩者之間的有機(jī)融合，在統(tǒng)一的操作界面上同時(shí)完成網(wǎng)絡(luò)、用戶的管理。 集中化的設(shè)備資源和用戶資源管理 除對(duì)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理外，iMC也對(duì)用戶基本信息進(jìn)行集中維護(hù)，包括用戶姓名、證件號(hào)碼、通訊地址、電話、電子郵件、用戶分組；并提供用戶附加信息管理功能，管理員可根據(jù)網(wǎng)絡(luò)運(yùn)營(yíng)的習(xí)慣進(jìn)行用戶信息定制，如學(xué)?？梢远ㄖ茖W(xué)號(hào)、年級(jí)等信息，企業(yè)可以定制部門、職務(wù)等信息。 設(shè)備和用戶的統(tǒng)一分組管理 支持設(shè)備和用戶分組功能，通過(guò)對(duì)設(shè)備資源和用戶進(jìn)行分組管理，系統(tǒng)管理員方便的分配其他管理員的管理權(quán)限，便于職責(zé)分離。 接入業(yè)務(wù)服務(wù)和用戶分組可靈活對(duì)應(yīng)，使得特定分組用戶才能配置對(duì)應(yīng)的特定服務(wù)，便于管理員進(jìn)行接入業(yè)務(wù)管理。 用戶管理與網(wǎng)絡(luò)設(shè)備管理相融合，用戶管理操作更簡(jiǎn)單 接入設(shè)備列表中可以直接看到用戶相關(guān)信息，提高了操作員日常維護(hù)的效率。 設(shè)備選定后可直接對(duì)其進(jìn)行用戶操作，比如，針對(duì)某個(gè)接入設(shè)備，將其所掛的用戶全部下線處理等。 在線用戶列表中提供接入設(shè)備查看入口，可查看當(dāng)前在線用戶所對(duì)應(yīng)的接入設(shè)備的詳細(xì)信息，比如，對(duì)應(yīng)的基本信息、告警、性能狀況等。 網(wǎng)絡(luò)設(shè)備管理和用戶管理的全面融和，使得操作更友好，全面提升操作員操作體驗(yàn)。 支持多種接入及認(rèn)證方式，適合多種接入組網(wǎng)場(chǎng)景及應(yīng)用場(chǎng)景 支持802.1x、VPN接入等多種認(rèn)證接入方式。 支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多種身份驗(yàn)證方式，適應(yīng)不同安全要求的應(yīng)用場(chǎng)景。 支持用戶與設(shè)備IP地址、接入端口、VLAN、用戶IP地址和MAC地址等硬件信息的綁定認(rèn)證，增強(qiáng)用戶認(rèn)證的安全性，防止帳號(hào)盜用和非法接入。 支持與Windows域管理器、第三方郵件系統(tǒng)（必須支持LDAP協(xié)議）的統(tǒng)一認(rèn)證，避免用戶記憶多個(gè)用戶名和密碼。 支持端點(diǎn)準(zhǔn)入防御（EAD）解決方案，確保所有接入網(wǎng)絡(luò)的用戶終端符合企業(yè)的安全策略。 嚴(yán)格的權(quán)限控制手段，強(qiáng)化用戶接入控制管理 基于用戶的權(quán)限控制策略，可以為不同用戶定制不同網(wǎng)絡(luò)訪問(wèn)權(quán)限。 可以控制用戶的上網(wǎng)帶寬（QoS；802.1x認(rèn)證支持）、限制用戶同時(shí)在線數(shù)、禁止用戶設(shè)置和使用代理服務(wù)器，有效防止個(gè)別用戶對(duì)網(wǎng)絡(luò)資源的過(guò)度占用。 支持最大閑置時(shí)長(zhǎng)限制。 可以實(shí)現(xiàn)對(duì)用戶ACL、VLAN的控制，限制用戶對(duì)內(nèi)部敏感服務(wù)器和外部非法網(wǎng)站的訪問(wèn)（802.1x認(rèn)證支持）。 可以限制用戶IP地址分配策略，防止IP地址盜用和沖突。 可以限制用戶的接入時(shí)段和接入?yún)^(qū)域，用戶只能在允許的時(shí)間和地點(diǎn)上網(wǎng)。 可以限制終端用戶使用多網(wǎng)卡和撥號(hào)網(wǎng)絡(luò)，防止內(nèi)部信息泄露。 可以限制用戶必須使用專用安全客戶端，并強(qiáng)制自動(dòng)升級(jí)，確保認(rèn)證客戶端的安全性。 詳盡的用戶監(jiān)控，強(qiáng)化對(duì)終端用戶的監(jiān)視控制 iMC用戶管理組件提供強(qiáng)大的“黑名單”管理，可以將惡意猜測(cè)密碼的用戶加入黑名單，并可按MAC、IP地址跟蹤非法行為的來(lái)源。 管理員可以實(shí)時(shí)監(jiān)控在線用戶，強(qiáng)制非法用戶下線。 支持消息下發(fā)，管理員可以向上網(wǎng)用戶發(fā)布通知消息，如“系統(tǒng)升級(jí)，網(wǎng)絡(luò)將在10分中后切斷”、“您的密碼遭惡意試探，請(qǐng)注意保護(hù)密碼安全”等。 iMC用戶管理組件記錄認(rèn)證失敗日志，便于方便定位用戶無(wú)法認(rèn)證通過(guò)的原因。 集中方便的接入業(yè)務(wù)用戶管理，簡(jiǎn)化管理員維護(hù)操作 基于服務(wù)的用戶分類管理，用戶的認(rèn)證綁定策略、安全策略、訪問(wèn)權(quán)限均封裝于服務(wù)中，簡(jiǎn)化管理員的操作，保證網(wǎng)絡(luò)管理模式的統(tǒng)一。 接入用戶相關(guān)的管理動(dòng)作集中化，界面對(duì)操作員來(lái)說(shuō)更友好、更美觀易用。 靈活的業(yè)務(wù)及運(yùn)行環(huán)境參數(shù)調(diào)整，適應(yīng)不同的運(yùn)行及應(yīng)用環(huán)境 系統(tǒng)參數(shù)配置，提供業(yè)務(wù)相關(guān)的常用參數(shù)信息配置功能。 策略服務(wù)器參數(shù)配置，提供策略服務(wù)器及安全管理相關(guān)的參數(shù)信息配置功能。 運(yùn)行參數(shù)配置，提供系統(tǒng)運(yùn)行環(huán)境相關(guān)的路徑、數(shù)據(jù)庫(kù)屬性等基本信息的能。 證書文件配置，提供證書認(rèn)證配置信息功能。 用戶提示信息配置，提供給用戶的相關(guān)提示信息配置功能。 客戶端自動(dòng)運(yùn)行任務(wù)配置，提供配置客戶端認(rèn)證后自動(dòng)運(yùn)行相關(guān)程序的配能。 用戶密碼控制策略配置，提供配置用戶密碼的控制策略配置功能。 融合的接入設(shè)備管理，操作簡(jiǎn)單、管理方便 接入設(shè)備配置與iMC ACL Manager組件的協(xié)同，選定接入設(shè)備后，可直接為此設(shè)備進(jìn)行ACL配置；同時(shí)，在接入設(shè)備列表中，可查看其對(duì)應(yīng)的ACL部署信息，便于快速部署及開(kāi)通業(yè)務(wù)接入業(yè)務(wù) 為接入設(shè)備提供查詢?cè)O(shè)備明細(xì)信息的鏈接，可通過(guò)簡(jiǎn)單的鼠標(biāo)點(diǎn)擊看到接入設(shè)備的詳細(xì)信息，比如對(duì)應(yīng)的基本信息、告警、性能狀況等。 接入設(shè)備管理與拓?fù)涔芾淼娜诤?，拓?fù)渲锌梢郧逦娘@示出接入設(shè)備，查看接入設(shè)備相關(guān)信息，并可通過(guò)鼠標(biāo)點(diǎn)擊方式，將此接入設(shè)備設(shè)置為非接入設(shè)備。 訪客管理功能介紹網(wǎng)絡(luò)訪客接入管理功能作為H3C UAM解決方案的組成部分，可有效幫助山莊、各種接入方式下的訪客安全接入管理問(wèn)題，以某大型山莊使用H3C網(wǎng)絡(luò)訪客管理為例，訪客的網(wǎng)絡(luò)的使用流程如圖2所示。圖1 H3C訪客管理流程H3C訪客管理功能具有以下特點(diǎn)：1. 全面的接入方式支持。無(wú)論訪客使用有線網(wǎng)絡(luò)還是無(wú)線網(wǎng)絡(luò)，筆記本還是平板電腦，均可有效控制其接入權(quán)限。2. 靈活的訪客安全策略管理。通過(guò)UAM系統(tǒng)對(duì)訪客的終端安全進(jìn)行管理，可靈活的根據(jù)訪客身份定制安全策略并實(shí)施?？扇芙饪蛻舳说氖褂?，實(shí)現(xiàn)了安全檢查的自動(dòng)化。3. 高效的訪客帳號(hào)管理方式。IT管理員可以根據(jù)實(shí)際要求將普通員工、前臺(tái)、門衛(wèi)等山莊內(nèi)部人員授權(quán)為訪客管理員，由訪客管理員負(fù)責(zé)各自權(quán)限內(nèi)的訪客帳號(hào)管理，極大降低了IT管理員的工作量。4. 完備的訪客日志審計(jì)功能。訪客離開(kāi)山莊后，其訪問(wèn)日志仍可按系統(tǒng)設(shè)置的保留時(shí)長(zhǎng)保存，供IT管理員審計(jì)。同時(shí)，訪客管理員的操作日志也被詳細(xì)記錄，可供查詢和管理。5. 開(kāi)放的SOA架構(gòu)。H3C iMC訪客管理系統(tǒng)使用開(kāi)放SOA架構(gòu)設(shè)計(jì)，提供了豐富的API，可方便的同山莊其它應(yīng)用系統(tǒng)集成，提高了山莊管理效率。6. 一體化的解決方案。作為UAM系統(tǒng)的一部分，實(shí)現(xiàn)了山莊員工網(wǎng)絡(luò)接入、訪客網(wǎng)絡(luò)接入和終端安全控制的統(tǒng)一管理，為山莊提供了網(wǎng)絡(luò)接入控制的一體化解決方案，降低了山莊的擁有成本。三 H3C方案的特點(diǎn)與優(yōu)勢(shì)3.1 H3C Fit AP方案的特點(diǎn)3.1.1 智能射頻管理每個(gè)AP上電時(shí)，無(wú)線控制器會(huì)根據(jù)AP的鄰居關(guān)系動(dòng)態(tài)調(diào)整AP工作的信道和發(fā)射功率，在保證覆蓋的前提下保證AP間的干擾最小。當(dāng)AP覆蓋區(qū)域受到外界強(qiáng)信號(hào)干擾時(shí)，無(wú)線控制器會(huì)控制AP自動(dòng)切換到合適的工作信道以規(guī)避干擾信號(hào)。當(dāng)覆蓋區(qū)域內(nèi)的某個(gè)AP發(fā)生故障而造成覆蓋黑洞時(shí)，無(wú)線控制器會(huì)自動(dòng)調(diào)整相鄰的AP的發(fā)射功率以消除黑洞區(qū)域，當(dāng)故障AP恢復(fù)工作后無(wú)線控制器可以自動(dòng)調(diào)整鄰居AP的發(fā)射功率恢復(fù)原始工作狀態(tài)。3.1.2 智能負(fù)載均衡無(wú)線控制器可以設(shè)定AP間對(duì)接入用戶進(jìn)行負(fù)載分擔(dān)，負(fù)載分擔(dān)的策略可以是基于AP接入的用戶數(shù)量，AP流量負(fù)載情況當(dāng)無(wú)線控制器發(fā)現(xiàn)AP的負(fù)載超過(guò)設(shè)定的門限值以后，對(duì)于新接入的用戶無(wú)線控制器會(huì)自動(dòng)計(jì)算此用戶周圍是否還有負(fù)載較輕的AP可供用戶接入，如果有則AP會(huì)拒絕用戶的關(guān)聯(lián)請(qǐng)求，用戶會(huì)轉(zhuǎn)而接入其他負(fù)載較輕的AP。H3C公司創(chuàng)新性地支持智能負(fù)載均衡技術(shù)，保證只對(duì)處于AP覆蓋重疊區(qū)的無(wú)線用戶才啟動(dòng)AP負(fù)載均衡功能，有效的避免誤均衡的出現(xiàn)。圖1 智能負(fù)載示意圖3.1.3 業(yè)務(wù)QOS支持H3C無(wú)線產(chǎn)品支持多種服務(wù)質(zhì)量Qos，支持802.11e中的EDCF優(yōu)先級(jí)，支持以太網(wǎng)口支持802.1p識(shí)別和標(biāo)記。支持優(yōu)先級(jí)隊(duì)列及映射、流量限制、流分類。并且能夠?qū)OS策略映射不同SSID/VLAN。圖2 多媒體業(yè)務(wù)QOS示意3.1.4 支持無(wú)線入侵檢測(cè)系統(tǒng)(WIDS)H3C WLAN解決方案支持無(wú)線入侵檢測(cè)系統(tǒng)(WIDS)，WIDS工作原理如下：A.無(wú)線控制器可以指定AP工作在兩種工作模式：模式一、AP負(fù)責(zé)監(jiān)聽(tīng)空口所有信道的信息，但不負(fù)責(zé)用戶報(bào)文的轉(zhuǎn)發(fā)。模式二、AP在為用戶轉(zhuǎn)發(fā)數(shù)據(jù)的同時(shí)定期切換到其他信道監(jiān)聽(tīng)信息, AP設(shè)備負(fù)責(zé)把監(jiān)聽(tīng)到的無(wú)線設(shè)備和有攻擊行為的無(wú)線設(shè)備上報(bào)給無(wú)線控制器B.無(wú)線控制器根據(jù)AP上報(bào)的設(shè)備信息識(shí)別非法設(shè)備C.無(wú)線控制器通過(guò)各種途徑提供各種聲、光、電的報(bào)警D.當(dāng)有用戶試圖連接到非法的AP上時(shí)，用戶會(huì)發(fā)起關(guān)聯(lián)請(qǐng)求，無(wú)線控制器通過(guò)AP收到這個(gè)請(qǐng)求時(shí)，指揮周邊的AP發(fā)解除關(guān)聯(lián)的指令，確保用戶不會(huì)連接到非法AP。 圖3 無(wú)線入侵檢測(cè)示意圖3.1.5 Portal認(rèn)證支持Portal認(rèn)證又稱為強(qiáng)制WEB認(rèn)證，以其新業(yè)務(wù)支撐能力強(qiáng)大、無(wú)需安裝客戶軟件、與組網(wǎng)設(shè)備無(wú)關(guān)等特點(diǎn)，受到越來(lái)越多用戶的歡迎。Portal認(rèn)證業(yè)務(wù)可以為管理者提供方便的管理功能，如要求所有的用戶都到門戶網(wǎng)站去認(rèn)證，門戶網(wǎng)站可以開(kāi)展廣告、信息服務(wù)、個(gè)性化的業(yè)務(wù)等，為信息傳播提供一個(gè)良好的載體。Portal認(rèn)證原理Portal 認(rèn)證協(xié)議主要應(yīng)用于H3C公司提出的基于 WEB 的寬帶接入認(rèn)證系統(tǒng)中，完成用戶的認(rèn)證和授權(quán)。整個(gè) Portal 認(rèn)證過(guò)程涉及到了Portal 頁(yè)面，WX3024 和 iMC 服務(wù)器。Portal認(rèn)證工作原理：未認(rèn)證用戶在訪問(wèn)網(wǎng)絡(luò)時(shí)，可以直接訪問(wèn)為用戶免費(fèi)開(kāi)放的資源，當(dāng)用戶要使用網(wǎng)絡(luò)中的收費(fèi)資源時(shí)，設(shè)備會(huì)將用戶的http請(qǐng)求重定向到Portal門戶網(wǎng)站，用戶必須在門戶網(wǎng)站進(jìn)行認(rèn)證，只有認(rèn)證通過(guò)后才可以訪問(wèn)這些資源。Portal認(rèn)證的工作流程如下圖所示：Portal認(rèn)證流程認(rèn)證流程：用戶通過(guò)IE訪問(wèn)需要授權(quán)的網(wǎng)絡(luò)資源，設(shè)備發(fā)現(xiàn)用戶還沒(méi)有通過(guò)認(rèn)證則強(qiáng)制到Portal，Portal Server將WEB頁(yè)面強(qiáng)推給用戶，提示用戶需要進(jìn)行認(rèn)證。用戶在WEB頁(yè)面中輸入用戶名密碼并提交認(rèn)證，Portal Server將認(rèn)證信息發(fā)送給設(shè)備，設(shè)備將用戶信息轉(zhuǎn)換為Radius報(bào)文發(fā)送到iMC服務(wù)器進(jìn)行認(rèn)證。iMC服務(wù)器對(duì)用戶信息進(jìn)行驗(yàn)證，確認(rèn)無(wú)誤后，下發(fā)認(rèn)證通過(guò)報(bào)文以及相應(yīng)的權(quán)限控制信息給設(shè)備，設(shè)備放開(kāi)用戶的上網(wǎng)權(quán)限，同時(shí)iMC服務(wù)器開(kāi)始進(jìn)行計(jì)費(fèi)。上網(wǎng)期間，用戶PC和Portal Server定時(shí)發(fā)送心跳報(bào)文交互，以確保用戶沒(méi)有因異常原因下線。用戶下線時(shí)，Portal Server收到用戶下線請(qǐng)求并通知設(shè)備，iMC服務(wù)器終止計(jì)費(fèi)并通知設(shè)備斷開(kāi)用戶。Portal功能特點(diǎn)不需要安裝客戶端軟件相對(duì)于其他的認(rèn)證方式，Portal認(rèn)證通過(guò)網(wǎng)頁(yè)即可實(shí)現(xiàn)認(rèn)證，無(wú)需安裝客戶端。不但減少了用戶機(jī)器的負(fù)擔(dān)，而且方便了上網(wǎng)用戶的使用，同時(shí)管理者也不用逐一為每個(gè)上網(wǎng)用戶安裝和升級(jí)客戶端軟件，極大減輕管理難度。可對(duì)在線用戶進(jìn)行實(shí)時(shí)檢測(cè)用戶認(rèn)證通過(guò)后，Portal Server和用戶之間采用心跳機(jī)制保持通信，當(dāng)終端用戶的機(jī)器出現(xiàn)異常時(shí)，比如：死機(jī)、網(wǎng)絡(luò)斷線、異常關(guān)閉瀏覽器等情況出現(xiàn)時(shí)，Portal Server就可以及時(shí)發(fā)現(xiàn)用戶側(cè)的問(wèn)題，并通知設(shè)備將此終端用戶下線并且停止計(jì)費(fèi)；同時(shí)Portal Server支持開(kāi)啟或者關(guān)閉心跳，也可以設(shè)置心跳的間隔和心跳超時(shí)時(shí)長(zhǎng)，這種功能使心跳檢測(cè)更加靈活，大大提高了計(jì)費(fèi)精度和對(duì)復(fù)雜的網(wǎng)絡(luò)的適應(yīng)能力。具有按用戶接入端口分組的功能，可為不同組用戶提供不同的配置Portal認(rèn)證可以根據(jù)用戶所在交換機(jī)的端口以及用戶所在的IP地址池，將用戶劃分為不同的組，每個(gè)組都可以設(shè)置不同的認(rèn)證主頁(yè)、不同的認(rèn)證方式，從而方便對(duì)不同的用戶進(jìn)行管理。同時(shí)PORTAL所有的認(rèn)證頁(yè)面都使用了動(dòng)態(tài)頁(yè)面技術(shù)，管理員可以根據(jù)不同用戶群的特點(diǎn)，定制特色認(rèn)證頁(yè)面，極大提高用戶使用滿意度。支持二次地址分配和NAT功能為了減少公網(wǎng)IP地址資源的浪費(fèi)，PORTAL通過(guò)與設(shè)備的配合，使用戶在認(rèn)證前使用的是私網(wǎng)IP，認(rèn)證成功后再分配公網(wǎng)IP，從而保證了公網(wǎng)IP地址的更加合理的應(yīng)用。如果用戶的IP地址經(jīng)過(guò)了NAT轉(zhuǎn)換，再經(jīng)過(guò)PORTAL服務(wù)進(jìn)行認(rèn)證，PORTAL服務(wù)器支持開(kāi)啟NAT功能，可以為用戶下載一個(gè)APPLET，獲取用戶的實(shí)際IP地址，再通過(guò)設(shè)備進(jìn)行認(rèn)證。支持認(rèn)證窗口的最小化功能 用戶在認(rèn)證通過(guò)后，Portal支持在線窗口可以最小化到任務(wù)欄，以減少對(duì)用戶上網(wǎng)的影響。防止窗口過(guò)濾的功能 很多上網(wǎng)用戶出于安全的考慮或者防止網(wǎng)上的垃圾廣告，會(huì)安裝個(gè)人防火墻或者窗口過(guò)濾工具，來(lái)防止IE 彈出窗口。如果用戶的IE開(kāi)啟了窗口過(guò)濾的功能，Portal在彈出認(rèn)證成功窗口時(shí)，會(huì)進(jìn)行窗口過(guò)濾的檢測(cè)，從而防止由于窗口過(guò)濾而無(wú)法認(rèn)證成功的情況。3.1.6 多業(yè)務(wù)的安全性H3C FIT AP解決方案提供多種業(yè)務(wù)不同網(wǎng)絡(luò)層面的安全保障，體現(xiàn)在：層次體系主要技術(shù)解決的問(wèn)題物理接入WEP64/128、TKIP、CCMP加密可升級(jí)支持WAPI加密防止無(wú)線報(bào)文被監(jiān)聽(tīng)和篡改SSID隱藏解決不明用戶訪問(wèn)網(wǎng)絡(luò)邏輯鏈路802.1x/PSK/MAC/Portal多種認(rèn)證方式的混合接入802.1x支持PEAP/TLS/TTLS/SIM多種模式可升級(jí)支持WAPI認(rèn)證用戶身份鑒別和安全準(zhǔn)入動(dòng)態(tài)下發(fā)用戶的權(quán)限業(yè)務(wù)隔離Hotspot用戶隔離限制用戶互訪黑名單限制惡意用戶網(wǎng)絡(luò)無(wú)線入侵檢測(cè)系統(tǒng)非法設(shè)備的檢測(cè)、無(wú)線攻擊的告警和規(guī)避安全策略在無(wú)線控制器統(tǒng)一部署避免在大量的無(wú)線接入點(diǎn)部署策略AC和AP間的CAPWAP隧道下行流量限速防范外界對(duì)AP的數(shù)據(jù)流量攻擊IPSEC VPN端到端的安全加密資源綁寫（MAC、ESS、VLAN、Port）盡可能防止假冒設(shè)備AP本地不再保存配置信息避免設(shè)備丟失造成配置泄漏AP身份認(rèn)證只有合法的AP才能和無(wú)線控制器建立關(guān)聯(lián)AP支持多無(wú)線控制器的冗余備份無(wú)線控制器down機(jī)不會(huì)造成無(wú)線網(wǎng)絡(luò)的癱瘓網(wǎng)管無(wú)線安全策略配置無(wú)線安全策略的統(tǒng)一部署非法設(shè)備監(jiān)控和告警非法設(shè)備的檢測(cè)、無(wú)線攻擊的告警和規(guī)避設(shè)備信道調(diào)整告警了解設(shè)備遭受干擾后的信道調(diào)整情況3.1.7 IPV6為了適應(yīng)下一代IP網(wǎng)絡(luò)的部署要求，H3C公司的FIT AP能夠同時(shí)滿足IPv4和IPv6兩種不同網(wǎng)絡(luò)的組網(wǎng)要求（圖示），為了簡(jiǎn)化用戶配置這種適應(yīng)能力不需要用戶配置干預(yù)而是自適應(yīng)調(diào)整。作為FIT AP的缺省發(fā)現(xiàn)方式FIT AP會(huì)首先作為IPv4節(jié)點(diǎn)發(fā)起無(wú)線控制器發(fā)現(xiàn)過(guò)程，當(dāng)發(fā)現(xiàn)過(guò)程失敗以后，F(xiàn)IT AP會(huì)切換到IPv6節(jié)點(diǎn)方式繼續(xù)無(wú)線控制器發(fā)現(xiàn)過(guò)程。FI