校園無線網絡覆蓋設計方案

1、 無線局域網規(guī)劃方案書2010年11月目 錄1概述32需求分析32.1總體建設目標32.2具體實施目標43H3C無線WLAN發(fā)展之路54H3C無線校園網建設方案64.1整網邏輯拓撲圖64.2無線用戶認證解決方案74.3整網安全解決方案84.4頻率規(guī)劃與負載均衡解決方案94.5無線網絡管理解決方案94.6無線AP供電解決方案105H3C方案特點與優(yōu)勢115.1H3C一體化無線校園解決方案更穩(wěn)定：115.2H3C一體化無線校園解決方案高安全：145.3H3C一體化無線校園解決方案易管理：155.4H3C一體化無線校園解決方案可擴展：175.5H3C一體化無線校園解決方案全業(yè)務：186無線工程實施解

2、決方案207方案涉及產品介紹227.1WA2220E-AG/WA1208E-AGP227.2WA1208E-AGP307.3無線控制器無線控制器401 概述無線局域網（WLAN）技術于20世紀90年代逐步成熟并投入商用，既可以作傳統(tǒng)有線網絡的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線網絡。無線局域網具有以下顯著特點：Ø 簡易性：WLAN網橋傳輸系統(tǒng)的安裝快速簡單，可極大的減少敷設管道及布線等繁瑣工作；Ø 靈活性：無線技術使得WLAN設備可以靈活的進行安裝并調整位置，使無線網絡達到有線網絡不易覆蓋的區(qū)域；Ø 綜合成本較低：一方面WLAN網絡減少了布線的費用，另一方面在需要

3、頻繁移動和變化的動態(tài)環(huán)境中，無線局域網技術可以更好地保護已有投資。同時，由于WLAN技術本身就是面向數據通信領域的IP傳輸技術，因此可直接通過百兆自適應網口和Intranet相連，從體系結構上節(jié)省了協(xié)議轉換器等相關設備；Ø 擴展能力強：WLAN網橋系統(tǒng)支持多種拓撲結構及平滑擴容，可以十分容易地從小容量傳輸系統(tǒng)平滑擴展為中等容量傳輸系統(tǒng)；2 需求分析2.1 總體建設目標ü 利用無線網絡技術擴展公司覆蓋范圍，使全公司能夠隨時隨地、方便高效地使用企業(yè)網絡；ü 促進發(fā)展，進一步拓展研究空間；ü 提升校園網絡環(huán)境，提高管理水平和效率，推動學校信息化建設；ü

4、; 要覆蓋部分原來沒有有線網的空間，諸如：人行綠化走廊；由于本工程是在校園有線網的基礎上加以無線擴充（即采用AP將無線網絡不近接入到有線網絡）；2.2 具體實施目標Ø 側重實際應用，覆蓋校園內部分區(qū)域，為教學和學習生活提供切實可用的無線網絡環(huán)境；Ø 采取通行的網絡協(xié)議標準：目前無線局域網普遍采用802.11系列標準，因此校園無線局域網將主要支持802.11g（54M帶寬）標準以提供可供實際應用的相對穩(wěn)定的網絡通訊服務，同時兼顧多種類型應用和將來的投資保護，需要同時支持801.11a，802.11b，實現(xiàn)雙頻三模技術；Ø 全面的無線網絡支撐系統(tǒng)（包括無線網管、無線安

5、全，無線計費等），以避免無線設備及軟件之間的不兼容性或網絡管理的混亂而導致的問題；Ø 保證網絡訪問的安全性；Ø 采用非獨立型的無線網絡結構選型；Ø 覆蓋范圍要求I. 有線網絡無法接入的室外場所：校園內一些場所很難實現(xiàn)網絡有線接入，采用無線方式可以實現(xiàn)覆蓋大范圍室外空間的無線網絡接入。本次建設主要包括各宿舍及教學樓附近空地等。II. 有線網絡使用不便或受限的室內空間：校園內一些室內場所空間較大，會產生許多人同時接入網絡的需求，采用有線的方式只能提供少量接口，不能滿足要求。用無線網絡覆蓋來解決相當數量的移動設備同時訪問網絡的問題。主要包括圖書館、主樓、各教學樓等；&#

6、216; 安全、認證、計費和管理要求要與現(xiàn)有的計費系統(tǒng)對接，實現(xiàn)針對用戶計費、管理、控制功能；Ø 校園無線網網絡結構要求：無線接入所需布設的AP通過校園網的匯聚層設備接入到校園網中，在匯聚層都提供相應的接口給無線網線，在接入層設備要在方案中進行描述。Ø 工程布線和安裝要求：I. 室內部分：定好較為開闊位置，將網線和電源線走暗線敷設到位；掛在墻上，可利用設備本身自帶的安裝附件進行安裝；如果需要遮蔽，則需要定制非金屬安裝盒；如果是掛在天花板上，則根據天花板的情況而定，若天花板是非金屬結構，可以固定在天花板內。安裝過程中應充分考慮防盜問題。II. 室外部分：根據設備位置有兩種布線

7、方式。如果AP設備放置在樓頂，則需要走網線和電源線；如果AP設備放置在室內，天線放置在室外，則需要走天線饋線。這兩種方式饋線都需走鐵管，貼防水膠方式處理，安裝過程中應充分考慮防盜。III. 供電部分：AP的供電可采用POE方式由接入的網絡設備進行供電（無需本地供電）。Ø 產品能力要求要求：I. 產品支持AES、WEP加密等安全標準；II. 漫游切換；III. 支撐QOS能力3 H3C無線WLAN發(fā)展之路我們先就華三的WLAN產品的基本情況給大家做一個簡單的介紹。華三在成立之初就開始了WLAN產品的研發(fā)，2004年12月正式推出了運營級大功率WLAN產品WA1208E，大量應用于運營商

8、Wi-FI熱點建設中；2007年4月H3C推出了中端無線控制器WX5002及FIT AP WA2110，在不到半年的時間里就在近百個項目中成功應用；2007年10月H3C又推出基于萬兆多核架構的高端控制器WX6103及系列化FAT/FIT雙模式AP WA2200，也迅速得到了高端用戶的認可，在一些大型無線網絡項目中成功應用。2008年3月，H3C更是厚積薄發(fā)，隆重推出了基于802.11n技術的、面向下一代無線寬帶網的WA2600系列產品，至此，H3C可以為客戶提供FAT AP、FIT AP、無線控制器、MESH、網橋等全系列無線產品及解決方案，成為國內WLAN產品的主力供應商之一。校園網一直是

9、華三最重要的市場之一，針對當前出現(xiàn)的終端的移動性增強的趨勢，H3C堅持不斷創(chuàng)新，為用戶提供相應的無線產品及解決方案，滿足了校園網用戶不斷變化的新需求，提高了生產力，同時也進一步鞏固了H3C作為國內網絡設備供應商的領導者地位。4 H3C無線校園網建設方案針對學校采用WLAN技術構架寬帶網絡服務，從技術上、工程上以及提供的服務質量上均能較好的滿足校方的要求，具體組網構架如下： 4.1 整網邏輯拓撲圖鑒于*的有線網絡已經較為完善，已經是百兆到樓，部分樓已經做到千兆到樓，本次工程采用AP就近接入的原則，同時又由于現(xiàn)在每棟樓的有線網絡為無線網絡只能提供一個有線接口，此有線接口下接一臺交換機完成網絡接口的

10、擴展，同時完成POE供電的功能；作為整個無線局域網絡的中央管理控制器，無線交換機無線控制器通過校園的核心交換機接入網絡。由胖瘦雙模室外型WA1208E對電子樓門前空地等室外區(qū)域進行覆蓋，胖瘦雙模室內型WA2220E對所有室內區(qū)域進行覆蓋。具體的邏輯組網圖如下圖所示：圖1 *無線局域網工程方案邏輯組網示意圖S3100-16TP-PWR-EIS7506EWA2210-AG1分4功分器吸頂天線吸頂天線吸頂天線吸頂天線雙絞線½射頻線½射頻線½射頻線½射頻線½射頻線物理連接圖無線控制單模光纖圖2 *無線局域網工程方案物理組網示意圖4.2 無線用戶認證解決

11、方案本方案主要采用portal認證，WA2220E-AG/WA1208E-AGP與無線控制器通過二層隧道協(xié)議通信，無線用戶的認證點都是放置于無線業(yè)務插卡設備上，后臺的iMC認證計費系統(tǒng)作為用戶鑒權點。鑒于目前*無線網絡本次規(guī)模，從網絡支撐能力的角度來看，需要1塊板卡就可以實現(xiàn)。針對無線用戶，無線控制器作為802.1x認證的終結點，iMC認證計費系統(tǒng)作為最后的鑒權點，當用戶在AP內進行切換時，此時的主要工作由無線交換機進行統(tǒng)一調度，當用戶在不同的端口下的不同AP的覆蓋范圍時，此時用戶不會再次觸發(fā)認證。 4.3 整網安全解決方案*無線局域網絡主要服務于學校的學生與教師，也是規(guī)模的公眾型網絡，同時由

12、于學生出于技術的研究興趣，會對網絡發(fā)起各種各樣的攻擊行為，此時網絡安全問題在建網時必須考慮問題，安全方式主要側重幾個方面：用戶安全、網絡安全，而在校園網絡中主要依附于用戶實體的屬性主要包括用戶使用的信息終端二層屬性（諸如：MAC地址）及用戶的帳號、密碼，而對于學校學生用戶來，帳號信息都是一個實名原則，與學生的學藉進行關聯(lián)的，這樣本無線網絡中著重考慮使用無線網絡的空口信息的安全機制，同時也要考慮與無線相關的有線網絡的安全問題，對于原有有線網絡的安全問題，在本技術建議書中不作相應的考慮；Ø 無線網絡安全：無線網絡安全部分主要包括以下方面的內容：I. MAC地址過濾：目前支持基于MAC地址

13、的過濾，限制具有某種類型的MAC地址特征的終端才能進入網絡中；II. SSID管理：是一種網絡標識的方案，將網絡進行一個邏輯化標識，對終端上發(fā)的報文都要求進行上帶SSID，如果沒有SSID標識則不能進入網絡；III. WEP加密：WEP加密是一種靜態(tài)加密的機制，通信雙方具有一個共同的密鑰，終端發(fā)送的空口信息報文必須使用共同的密鑰進行加密；IV. 支持AES加密，AES安全機制是一種動態(tài)密鑰管理機制，同時密鑰生成也基于不對稱密鑰機制來實現(xiàn)的，同時密鑰的管理也定期更新，具有體的時間由系統(tǒng)可以設定，一般情況都設定為5分鐘左右，這樣非法用戶要想在5分鐘之內進行獲取足夠數量的報文進行匹配出密鑰出來，從無

14、線空口的流理來看，基本上是不可能的；V. 華三通信的無線方案中可根據用戶名來劃分權限，即相同用戶在不同地點接入無線網絡其權限保持一致；密鑰設置可能根據SSID信息與用戶信息進行組合，即不同的SSID下不同的用戶的密鑰生成可以不一樣，這樣一定程度上保證用戶之間串號問題產生，從而保護投資，以達到營維平衡；VI. 與H3C公司的EAD方案實現(xiàn)流量異常、報文異常監(jiān)管，從而保護網絡的進一步安全；4.4 頻率規(guī)劃與負載均衡解決方案Ø 頻率規(guī)劃（支持雙頻三模，建議部署802.11g）802.11g使用開放的2.4GHz ISM頻段，可工作的信道數為歐洲標準信道數13個。由于其支持直序擴頻技術造成相

15、鄰頻點之間存在重疊。對于真正相互不重疊信道只有相隔5個信道的工作中心頻點。因此對于802.11g在2.4GHz地工作頻段，理論上只能進行三信道的蜂窩規(guī)劃實現(xiàn)對需要規(guī)劃的熱點的無縫覆蓋。此外，由于功率模板是否能做到符合鄰道、隔道不干擾也非常影響頻率規(guī)劃的效果。針對如何進行802.11g的頻率規(guī)劃作了大量的實驗，實驗證明3載頻也可以實現(xiàn)蜂窩對需要覆蓋的區(qū)域進行無縫覆蓋，并提供更高的服務帶寬提高服務質量，和高帶寬業(yè)務的開展。圖3 頻率規(guī)劃原理圖頻率規(guī)劃需要配合使用的功能包括：I. AP支持13個信道設置II. AP支持100mW最大射頻功率以及多級功率控制III. AP支持外置天線以及定向天線IV.

16、 針對特殊應用還需要AP支持橋接功能、接入功能以及WDS功能4.5 無線網絡管理解決方案基于標準的SNMP協(xié)議實現(xiàn)對設備的管理，專門的無線局域網管理軟件Quidview無線組件可實現(xiàn)對WLAN所有網元的管理。網管工作站可以放在網上的任意位置，通過標準的SNMP即可實現(xiàn)對無線交換機的管理。無線交換機可以實現(xiàn)更為強大的管理包括AP的自動拓撲發(fā)現(xiàn)、自動升級、批量配置、分級管理、分級告警等，并可實現(xiàn)針對無線覆蓋空間內的射頻掃描、非法接入點監(jiān)聽等安全功能。而無線局域網管理軟件WXM可以實現(xiàn)配置管理整個WLAN無線網絡，其具備以下特點：1、零配置安裝：接入點無需準備預設置，AP從無線控制器繼承配置信息。可

17、將無線控制器接入中心機房核心交換機中，WA2220E-AG/WA1208E-AGP無需事先進行任何配置，即通過接入層交換機接入有線網絡，并自動注冊到無線控制器上，獲得DHCP SERVER分配的IP地址，并自動下載配置文件正常工作，在大規(guī)模AP的項目中大量節(jié)省安裝維護成本。2、防盜防入侵：敏感配置信息不在本地保存，即使設備被入侵被盜也不會丟失安全信息。實際運營中很多AP是放置在公共場所，如果密鑰、SSID等安全信息在本地保存的話，一旦失竊對全網安全性造成威脅，WA2220E-AG/WA1208E-AGP由于其零配置安裝，一旦掉電不會保存任何信息，避免入侵。3、支持靈活的拓撲結構：AP允許多種部

18、署，從而能夠直接或間接連接到管理它的無線局域網控制器。無線控制器與WA2220E-AG/WA1208E-AGP之間可以隔離任何路由器或交換機，只要共同連接進有線網絡，WA2220E-AG/WA1208E-AGP就可以自動尋找到無線控制器實現(xiàn)注冊。4、自動設置發(fā)射功率和分配射頻信道：自動設置發(fā)射功率和分配射頻信道，用以優(yōu)化射頻單元大小和滿足各國對射頻信道的要求。當有個別AP故障時，無線控制器會自動調大相鄰AP的功率彌補信號盲區(qū)。5、基于身份的組網：根據用戶名對用戶權限進行區(qū)分，不同于傳統(tǒng)的WLAN網絡通過接入的有線交換機端口對用戶權限進行劃分，并且可以對用戶的位置、帶寬以及漫游等歷史數據進行記錄

19、跟蹤。6、提供增強的安全性和無縫漫游：通過這項基于身份的組網功能，經過改進的用戶組認證接入控制、始終強制的漫游策略以及對帶寬使用的監(jiān)視實現(xiàn)了無線局域網的增強的安全性，實現(xiàn)了無縫的用戶移動性和自由性，從而可以進行安全連接和漫游，一次認證多次接入，免去在不同AP下切換的再次認證。7、安全管理：提供入侵檢測功能，專用 AP 可以不斷地掃描空域，以便對要求更高安全性的環(huán)境提供全天候保護。一旦無線網絡中有非法接入點接入，WA2220E-AG/WA1208E-AGP將上報相應的告警給無線控制器，并通過網管軟件顯示。4.6 無線AP供電解決方案由于本次無線網中AP設備數量較多，AP布放位置根據實際覆蓋效果而

20、調整，在已建設完成的建筑物上較難進行本地供電，對于校園室外覆蓋主要采用AP放在室外，對AP的本地供電問題難度更大?；跇藴实?02.3af實現(xiàn)對AP的供電。通過在匯集交換機處疊加一個供電電源或者內嵌交換機內，通過以太網線在傳輸數據同時給AP供電，供電距離達100米，滿足實際組網的要求。但部分區(qū)域AP需室外放置，即需要配合室外機箱使用，為保證寒冷天氣低溫工作室外機箱內置電加熱板，因此除給AP進行POE供電外還需對機箱進行本地交流供電。5 H3C方案特點與優(yōu)勢H3C一體化無線校園解決方案有效實現(xiàn)了有線和無線網絡的融合，通過統(tǒng)一的硬件平臺、統(tǒng)一的網絡管理、統(tǒng)一的用戶管理、統(tǒng)一的應用安全，為校園用戶提

21、供安全的無線接入。根據用戶需求，通過在H3C系列交換機中加入無線控制器插卡，就可為原有的有線校園網絡提供無線支持，還可以像擴展和管理傳統(tǒng)有線網絡一樣，對無線網絡進行擴展和管理。H3C通過iMC智能網絡管理平臺為網絡管理員提供了圖形化、一體化管理能力，可以高效地管理有線/無線網絡。H3C無線EAD實現(xiàn)了與有線一致的、端到端的安全防護體系，可以在終端接入層面幫助高校網管人員統(tǒng)一實施安全策略，大幅度提高網絡的整體安全。5.1 H3C一體化無線校園解決方案更穩(wěn)定：H3C WLAN穩(wěn)定性解決方案從無線控制器的可靠性，接入交換機供電的可靠性、無線信號的可靠性這幾方面入手，極大的提高了WLAN網絡的可靠性；

22、在實際的使用情況來看，啟用這些措施之后，WLAN的可靠性能夠得到明顯的提升。無線控制器N+1冗余備份：H3C 無線控制器產品支持AC之間的N+1備份，以下通過介紹AP選擇接入的AC過程來說明AC間的備份：1) AP在發(fā)現(xiàn)AC的過程中，會向AC發(fā)送接入請求報文；AC在收到接入請求后，會向AP發(fā)接入回應報文，其中包含了該AC上的負載信息（AC允許接入的最大AP數，當前接入的AP數，允許接入的最大STA數，當前接入的STA數），和AP在此AC上的接入優(yōu)先級；2) AP在接收到AC的回應報文后，會選擇接入優(yōu)先級高的AC接入。如果優(yōu)先級相同，則根據AC的接入負載情況來判斷。3) AP通過比較各AC上 （

23、允許接入的最大AP數 - 當前接入的AP數），并選取值最大的AC接入。如果此值相同，則根據當前接入AC的無線用戶數判斷。4) AP通過比較各AC上 （允許接入的最大STA數 - 當前接入的STA數），并選取值大的AC接入。5) 如相等，則隨機接入。6) 通過CAPWAP隧道的心跳機制，AP可及時發(fā)現(xiàn)控制器DOWN，同時根據上述方法重新選擇一個負載輕的AC接入，從而實現(xiàn)AC的N+1備份。H3C實時無線資源管理：H3C實時無線資源管理解決方案提供了實時閉環(huán)的無線資源管理，包括了如下步驟：ü 掃描每個接入點啟動后，通過CAPWAP協(xié)議與無線控制器建立隧道，并從無線控制器獲取基本的配置。無線

24、控制器負責協(xié)調網絡中的無線接入點執(zhí)行掃描過程。通過定期的信道掃描，系統(tǒng)能夠分析和了解信道的質量、干擾情況、鄰居接入點的分布等。ü 分析無線控制器將對無線接入點定期上報的數據進行聚合分析。這些數據包括：l 干擾：其他工作在802.11頻段的無線網絡對無線介質的影響。l 噪音：非802.11信號，如雷達、藍牙、無繩電話、微波等等對信號的影響。l 丟包率：包差錯率（由于隱藏的節(jié)點或信號變形）l 信道負載：用來衡量媒介的繁忙程度。l 有效信號強度：在一定時間內觀察到的每個鄰居的信號強度和整個信道的平均信號強度。這些數據將幫助無線控制器構建無線網絡的完整視圖，為管理控制提供決策數據。ü

25、; 決策利用前期分析的數據，無線控制器將采用智能的算法對射頻資源進行優(yōu)化和調整，以適應無線環(huán)境的變化。系統(tǒng)使用了優(yōu)化的信道和功率選擇算法、加權判斷以及抑制限度，自動評估資源調整的影響，能夠確保系統(tǒng)的控制是可靠的。ü 執(zhí)行無線控制器將新的發(fā)射功率，信道分配等決策發(fā)送到接入點，接入點負責使能這些配置。系統(tǒng)提供了兩種控制模式：參考模式和立即模式，增加了系統(tǒng)使用的靈活性。參考模式下，系統(tǒng)不進行實際的控制策略執(zhí)行，只是給出建議的功率、信道的設定值，管理員可以決定是否執(zhí)行這些配置，確保了用戶控制的靈活性。立即模式下，將根據系統(tǒng)計算出的信道等參數進行立即的設置。上述過程是閉環(huán)過程，一旦配置下發(fā)以后

26、，控制器將持續(xù)監(jiān)視網絡環(huán)境。任何無線環(huán)境的變化與波動都會被定期記錄下來，為下一輪的優(yōu)化作準備。全面的PoE解決方案：PoE設備的原理是通過非屏蔽雙絞線中四對線中的兩對線來傳輸電源，傳輸數據的同時傳輸直流電。因為AP往往要求使用不間斷電源（UPS）供應電力，采用PoE設備，AP端僅僅通過一根RJ-45網線與網絡連接即可以同時傳輸數據和電力，因此在使用PoE設備的情況下，所有的AP都使用一個UPS在PoE設備端進行保護。如果不使用PoE設備，就需要給每個AP配一個UPS，而且還需要在AP附近安裝電源插座，增加了成本。因此使用PoE設備將大大降低設備成本和管理成本。PoE具有非常明顯的優(yōu)勢，具體如下

27、：l 簡化安裝，降低成本，不需為每個網絡設備單獨提供數據和電力線纜。l 靈活性提高，網絡裝置可被安裝在任何位置，而不需靠近一個已存在的電源輸出口。 l 可靠性增強，有SNMP能力的PoE裝置，可實施遠程檢測和控制，能有效地處理或修理裝置的耗電量和（或）失效故障。H3C 能夠提供全面的PoE解決方案，產品涵蓋從高端到低端的全系列產品，包括S9500，S7500E，S5600，S5500，S3600，S3100，WX3024都能夠提供PoE解決方案，H3C PoE解決方案使用工業(yè)級設計，同時能夠提供全面的管理:5.2 H3C一體化無線校園解決方案高安全：H3C一體化無線校園解決方案在遵循IEEE

28、802.11i協(xié)議和國家WAPI標準的基礎上，創(chuàng)新性的提出了分層的安全體系架構，將WLAN的安全從單一的物理層安全延伸到了物理層安全、用戶接入安全、網絡層安全、設備安全、安全管理多個層面上，使用戶在使用WLAN網絡時能夠像使用有線網絡一樣安全、可靠。無線物理安全：H3C公司的無線產品支持以下的加密機制：WEP加密、TKIP加密、CCMP加密、WAPI加密。其中，WAPI 采用國家密碼管理委員會辦公室批準的公鑰密碼體制的橢圓曲線密碼算法和對稱密碼體制的分組密碼算法，分別用于WLAN 設備的數字證書、證書鑒別、密鑰協(xié)商和傳輸數據的加解密。在無線設備安全方面，H3C的FIT AP提供“零配置”功能，

29、在設備上不保存業(yè)務配置，而是每次啟動的時候從無線控制器動態(tài)加載業(yè)務配置，這樣可以有效避免設備丟失造成配置泄漏。此外，用戶在采用H3C公司的無線控制器FIT AP組網時，都需要預先在無線控制器上設置部署的AP序列號。當這些AP啟動和無線控制器建立關聯(lián)時，無線控制器會檢查AP上報的序列號信息，只有這些預先授權的AP才能接入無線控制器使用，防止非法FIT AP接入網絡。無線用戶安全：通過用戶接入認證實現(xiàn)了對校園無線接入用戶的身份認證，為網絡服務提供了安全保護。H3C無線接入認證主要有802.1x接入認證、PSK認證、MAC接入認證以及在有線校園網中常用的portal認證等。通過和AAA服務器配合，H

30、3C的無線設備支持對認證用戶動態(tài)下發(fā)帶寬、VLAN、ACL、優(yōu)先級等參數，對于不同的用戶群和業(yè)務可以控制其訪問網絡的權限，限制網絡資源的使用，通過VLAN和優(yōu)先級來標識用戶和業(yè)務，并做到業(yè)務隔離。無線網絡安全：為了保證無線用戶和整個校園網絡的安全，僅僅保證接入點的安全性是遠遠不夠的。H3C推出了無線EAD解決方案，該方案從網絡用戶終端準入控制入手，整合網絡接入控制與終端安全產品，通過安全客戶端、安全策略服務器、網絡設備以及第三方軟件的聯(lián)動，對接入網絡的用戶終端強制實施企業(yè)安全策略，嚴格控制終端用戶的網絡使用行為，加強網絡用戶終端的主動防御能力，保護網絡安全。H3C的無線產品支持EAD接入控制方

31、式，配合iNode無線/有線統(tǒng)一客戶端可以實現(xiàn)有線，無線用戶使用統(tǒng)一的客戶端進行認證，結合H3C公司的服務器，H3C公司給用戶提供了有線無線一體化的整體安全解決方案。此外，H3C的無線產品支持完善的無線入侵檢測系統(tǒng)，可以自動監(jiān)測非法設備，并適時上報網管中心，同時對非法設備的攻擊可以進行自動防護，最大程度地保護無線網絡。5.3 H3C一體化無線校園解決方案易管理：在管理方面，H3C實現(xiàn)了如下兩點：l 有線無線統(tǒng)一認證計費管理，解決了老師不希望用戶有線一套帳號，無線又一套帳號，不能統(tǒng)一計費管理的問題。l 有線無線統(tǒng)一網管，解決了老師不希望采用兩套管理系統(tǒng)的問題。管理系統(tǒng)集成專業(yè)的無線管理部件，實現(xiàn)

32、射頻資源管理、無線性能監(jiān)視、非法AP告警等管理需求。H3C無線校園管理系統(tǒng)依托iMC智能管理平臺，在iMC系統(tǒng)全面的有線網絡管理的基礎上，為用戶提供無線網絡管理能力。用戶無需重新搭建IT管理平臺，只要在原有的有線網絡管理系統(tǒng)中增加無線管理功能，便可以與有線管理平臺統(tǒng)一部署，節(jié)省投入和維護成本。H3C無線校園管理解決方案不僅為用戶提供了靈活的組件選擇，同時符合業(yè)界主流的SOA架構，具備良好的擴展性，能夠滿足客戶網絡管理的需求。通過集中式管理架構和統(tǒng)一的網管系統(tǒng)，可以保證設備互通性和無線網絡的輕松配置，實現(xiàn)有線無線一體化高效管理。H3C無線校園管理解決方案中的無線業(yè)務邏輯拓撲，使用戶直觀了解網絡部

33、署情況及設備和鏈路當前狀態(tài)。它可根據不同的方式組織資源，有效進行拓撲分組、真實組織全網資源。物理位置視圖中用戶可根據需要創(chuàng)建多維度、多層次的物理位置結構，并在指定平面圖上根據真實情況擺放設備，逼近真實網絡環(huán)境。通過H3C的管理平臺，管理人員可以對移動終端的信息進行查看，包括MAC地址、信號強度、發(fā)射速率集、RSSI、SSID、使用信道、所在AC設備、所在AP設備等，并能查看各移動終端的全部漫游記錄，可以隨時了解最終接入用戶的情況，并對其接入軌跡進行審計。此外，H3C提供服務策略和Radio策略的管理，通過模板的方式對設備進行批量管理，使用戶快速完成網絡配置。策略模板除手工添加外，還提供從文件導

34、入和設備導入功能，用戶可以從系統(tǒng)導出或導入模板，也可從某一標準配置設備上導入配置形成模板，下發(fā)到其它設備，完成策略的批量克隆功能，極大地減少用戶的維護工作量，降低維護成本。在無線安全解決方案中我們已經介紹過，從用戶管理的角度出發(fā)，H3C可通過EAD解決方案，做到有線用戶和無線用戶統(tǒng)一認證平臺，從而配合有線設備和無線設備統(tǒng)一網管，真正實現(xiàn)有線無線一體化管理。5.4 H3C一體化無線校園解決方案可擴展：IPv6：H3C公司的WLAN不但可以穿過IPv6網絡建立WLAN網絡，而且可以將IPv6孤島網絡連接到一個WLAN網絡。依托于H3C功能強大的Commware操作系統(tǒng)平臺，H3C WLAN產品從設

35、計階段就考慮了教育用戶對IPV6的需求，目前無線控制器、無線接入點全面支持IPV6特性，同時無線控制器、無線AP可以靈活的通過IPV4互聯(lián)，也可以通過IPV6互聯(lián)，無線也可以靈活的選擇是使用IPV4接入無線網絡還是IPV6接入無線網絡。H3C公司集中管理架構WLAN在接入點和接入控制器之間采用CAPWAP協(xié)議構建，而且同時支持IPv4和IPv6協(xié)議。也就是，接入控制器作為服務器，可以接收來自IPv4以及IPv6網絡的接入點的鏈接請求；而且接入點可以動態(tài)的選擇使用IPv4或者IPv6和接入控制器建立鏈接。H3C公司的Fit AP設備為零配置設備，該設備在上電后可以自動發(fā)現(xiàn)接入控制器，選擇當前能夠

36、提供最優(yōu)服務的接入控制器建立鏈接。由于接入點為零配置設備，不能判斷當前接入的網絡為IPv4還是IPv6網絡，所以H3C的接入點會首先在IPv4網絡進行接入控制器的發(fā)現(xiàn)和鏈接處理，如果接入點無法成功通過IPv4網絡和接入控制器建立鏈接，則接入點會切換到使用IPv6進行接入控制器的發(fā)現(xiàn)和鏈接處理。目前H3C可以實現(xiàn)非常靈活的IPV6處理機制,即可通過IPV4網絡實現(xiàn)IPV6互聯(lián)，也可以通過IPV6網絡實現(xiàn)IPV4互聯(lián)。萬兆多核平臺：H3C無線控制器數據平面采用多核多線程處理架構（Multi-Core/Multi-Thread）作為新一代硬件平臺，以在保持通用處理器高靈活高可擴展性的優(yōu)勢的前提下，大

37、幅度提升數據處理的性能。同時，H3C無線控制器在控制平面采用獨立的高速通用處理器，可以滿足大規(guī)模用戶的認證和管理等控制需求。H3C無線控制器采用獨立的控制CPU配合高性能多核多線程處理器架構，在擁有高速數據轉發(fā)的同時，保障了控制平面的業(yè)務處理能力，在大規(guī)模用戶在線的情況下，控制CPU的負擔能夠維持在一個較低的水平。H3C多核處理器技術具有可擴展性強、功能實現(xiàn)靈活、掩蓋外設訪問數據及阻塞延遲等特點，對用戶量大、業(yè)務豐富、且新應用不斷涌現(xiàn)的WLAN領域，提供了堅實的硬件基礎。而數據解析引擎、流分類引擎、加解密引擎，以及TCAM、XGE等外圍器件，均在無線業(yè)務處理中得到應用，并發(fā)揮了重要的作用。5.

38、5 H3C一體化無線校園解決方案全業(yè)務：H3C 無線校園網解決方案提供VoWiFi、無線監(jiān)控、頁面推送等業(yè)務，解決了校園內部和校區(qū)之間通訊費用高、無線監(jiān)控和無線多媒體教學以及不同部門網頁個性化頁面推送的問題，讓無線接入變得更有價值?；谟脩舻牧髁抗芾恚?H3C FAT AP能夠通過兩種方式實現(xiàn)流量管理：一種方式是基于用戶數自動平均調整每個用戶的接入帶寬；另一種方式是指定每用戶的接入帶寬。通過此兩種方式的流量管理，可以防止P2P業(yè)務占用帶寬導致其他用戶無法正常使用網絡的情況。此外，H3C FIT AP解決方案可以實現(xiàn)基于用戶的權限和流量管理，可以設定每個用戶所占用的帶寬，實現(xiàn)精確流量管理，配合H

39、3C有線網絡，可以實現(xiàn)端到端的QoS，從而達到承載語音、視頻等時延敏感的業(yè)務的目的。無線監(jiān)控：H3C無線監(jiān)控解決方案整合了公司無線網絡和視頻監(jiān)控解決方案的優(yōu)勢，將IP智能監(jiān)控從通常的有線網絡接入延伸到無線網絡接入，根據用戶的應用場景提供豐富多樣的無線組網接入模式，通過統(tǒng)一網管對無線資源和監(jiān)控資源進行統(tǒng)一管理和控制。H3C 無線監(jiān)控解決方案能夠提供端到端的QoS保證，能夠實現(xiàn)有線無線網絡的統(tǒng)一管理，網絡和監(jiān)控業(yè)務的統(tǒng)一管理。同時，通過對突發(fā)流量進行碼流平滑、多流選擇以及誤碼重傳機制，保證了視頻流的實時性和流暢性。VoWiFi語音解決方案：WiFi語音終端設備利用現(xiàn)有的WLAN網絡實現(xiàn)無線的VoI

40、P語音通話，這既發(fā)揮了IP網絡成本低的特點，又使得用戶獲得WLAN帶來的方便性。而對于校園等場所，可針對學生群體開展WiFi語音的內部運營。H3C WLAN解決方案能夠實現(xiàn)端到端的QoS，確保數據業(yè)務背景流下，語音業(yè)務流能優(yōu)先傳輸，從而有效保障語音的通話質量。同時能夠實現(xiàn)跨越三層網絡的快速漫游，使得WLAN網絡能夠良好的承載語音業(yè)務。頁面推送：根據不同地理位置，不同用戶，定制Portal業(yè)務。H3C無線控制器內置Portal server，能夠實現(xiàn)基于用戶位置和用戶屬性的頁面推送，Portal server開發(fā)本地數據庫，存儲BSSID和WEB網頁的對應關系。用戶認證時，Portal serv

41、er根據用戶接入的BSSID推送給用戶相應的頁面。如：在圖書館，推送圖書館新書信息；在學生宿舍，推送后勤相關信息等。6 無線工程實施解決方案從整體的統(tǒng)計看來，*此次的無線覆蓋設計基本上可以分為以下幾種類型：根據本項目的需求與將業(yè)的業(yè)務發(fā)展需求，初步確定室內部分主要覆蓋以下空間，主要包括圖書館所有的空間及辦公樓所有的空間；根據實際工勘的結果來看，可以歸納為四大類：AP室內無障礙覆蓋、AP室內穿越障礙覆蓋、室外開闊空間覆蓋，下面則對這三類覆蓋分別進行描述：Ø AP室內無障礙覆蓋：主要應用于空間較大的階梯教室等重點室內區(qū)域，此時主要信號進行此空間內覆蓋，無需要考慮到穿越墻壁、地板等障礙物對

42、隔壁空間的覆蓋；此時又分二種情況，劃分原則主要要看是否要使用吸頂天線的問題，根據實現(xiàn)工程勘測情況來看，室內部分都可以采用吸頂天線的方式進行操作。Ø AP室內穿越障礙覆蓋：主要應用于各辦公樓、圖書館、各教學樓等中間走廊兩邊房間結構室內區(qū)域，因為無線信號穿越墻壁、地板等障礙物會存在衰減，但在走廊式結構的室內區(qū)域具備一定的穿越障礙的能力，一般是穿越一道墻壁之后信號效果較好。因此這樣的結構適合在走廊中布置AP，來覆蓋兩邊的房間區(qū)域；并且根據實現(xiàn)工程勘測情況來看，室內走廊部分都可以采用吸頂天線的方式進行操作。宿舍宿舍宿舍宿舍宿舍宿舍宿舍宿舍APAPAP吸頂天線Ø 室外開闊空間覆蓋：主

43、要應用于各教學樓、宿舍樓門前空地這樣的室外開闊區(qū)域，在室外開闊空間中AP的覆蓋能力比室內半開闊空間要遠，但為了保證效果通常是添加室外天線使用?？紤]到AP的有線端需要接入到有線網絡，這就存在兩種方式：在附近具備有線網絡建筑物的情況，往往考慮通過將AP安裝在具備有線網絡的建筑物的樓頂或是側壁上通過室外定向天線對室外開闊空間進行覆蓋。7 方案涉及產品介紹7.1 WA2220E-AG/WA1208E-AGPH3C WA2200無線局域網接入點設備是華三公司最新研制的高性能系列化無線接入點產品，包括室內型、增強型類產品。WA2200系列既可以作為瘦AP（Fit AP）與無線控制器配合組網，也可以作為胖A

44、P（FAT AP）獨立進行組網，為WLAN（Wireless Local Area Network）用戶提供無線接入服務。WA2200系列設備外觀如下0所示。 室內型 增強型 WA2200系列設備外觀圖室內型設備型號： H3C WA2210-AG(單頻)、H3C WA2220-AG(雙頻)增強型設備型號：H3C WA2220E-AG(雙頻)產品特點WA2200系列無線接入點具有以下特點：系列化產品滿足不同的應用環(huán)境1> 室內型的兩款，適用于覆蓋半徑小、對環(huán)境要求不高的室內應用場景；2> 增強型的一款，主要面向倉庫、工廠車間等對溫度、防塵等環(huán)境要求較高的應用場景；3>室外型三款

45、，主要面向對高低溫、防潮、防水、防塵、防雷有較高要求的室外應用場景。支持FAT/ FIT兩種工作模式WA2200系列支持FAT和FIT兩種工作模式，根據網絡規(guī)劃的需要，可以通過命令行靈活地在FAT和FIT兩種工作模式中切換。當客戶的WLAN網絡初始規(guī)模較小時，客戶可以只采購WA2200設備并設置其工作于FAT模式。隨著客戶網絡規(guī)模的不斷擴容，當幾十甚至上百臺WA2200得到應用時，為降低網絡管理的復雜度，建議客戶采購無線控制器，用于集中管理所有的WA2200設備。WA2200只有切換到FIT工作模式后，才能接受無線控制器的集中管理。支持FAT/FIT兩種工作模式，有利于將客戶的WLAN網絡由小

46、型網絡平滑升級到大型網絡，從而很好地保護用戶的投資。支持雙頻多模雙頻是指2.4GHz頻段和5GHz頻段。多模是指IEEE802.11a、IEEE802.11b和IEEE802.11g三種模式。WA2210-AG可支持IEEE802.11b/g或IEEE802.11a，WA2220-AG、WA2220E-AG可以同時支持IEEE802.11b/g和IEEE802.11a。支持集中控制管理WA2200工作于FIT模式時，無線控制器 通過CAPWAP協(xié)議對WA2200實施控制，所有WA2200的狀態(tài)在控制器上均可查詢和管理。此外，對于來自無線客戶端的協(xié)商報文，WA2200會將其透傳至無線控制器進行集

47、中處理。因此，所有客戶端的狀態(tài)在控制器上同樣也是可查詢和管理的。支持“零配置”特性WA2200工作于FIT模式時，所有必須配置均通過CAPWAP協(xié)議由無線控制器動態(tài)獲取，WA2200上不需要作任何配置。此特性使WLAN網絡維護變得簡單。支持版本自動升級WA2200作為FIT AP和無線控制器 配合使用時，可以和網絡內的CAPWAP服務器取得聯(lián)系，并下載最新的軟件版本到AP設備。所有的這些操作都是自動完成的，不需要人工的干預，減少了網絡維護的工作量。靈活的轉發(fā)策略WA2200工作于FIT模式時，在對無線用戶數據的轉發(fā)控制上，既可以支持本地轉發(fā)模式，也可以支持集中轉發(fā)模式，集中轉發(fā)即數據幀通過CA

48、PWAP隧道傳送到控制器上再進行轉發(fā)。具體采用哪種轉發(fā)模式，這可以通過在無線控制器上進行相應配置來實現(xiàn)。集中控制和管理，降低了管理員維護WLAN網絡的難度。支持虛擬APWA2200支持虛擬AP特性，每個虛擬AP可應用不同的VLAN、不同的網絡服務以及不同的認證方式。該特性使得網絡管理員可方便地為不同的用戶群提供特定的服務。支持完善的安全策略支持豐富的認證方式WA2200同時支持802.1x認證、PSK認證、MAC認證、PPPoE認證等多種認證方式，認證方式的多樣性保證了應用的靈活性。支持硬件加解密WA2200采用了業(yè)界先進的無線芯片，支持WEP/TKIP/AES等硬件加解密算法，使安全處理不成

49、為系統(tǒng)應用的瓶頸。支持密鑰動態(tài)協(xié)商和更新WA2200當采用TKIP或AES加密算法時，相應的密鑰均是由動態(tài)協(xié)商而來，且可以在使用一定的時長或加密數據幀后，進行動態(tài)更新。這使得非法無線用戶的竊聽企圖難以得逞。支持中國標準WAPI（無線局域網鑒別和保密基礎結構）WA2200除了支持802.11i和WPA等國際標準外，還支持中國無線局域網國家標準GB15629.11-2003 中提出的、安全等級更高的WAPI。支持IPv6特性WA2200全面支持IPv6特性，解決了IPv4下的地址枯竭等問題，可以滿足今后網絡發(fā)展的需要，是發(fā)展的一個大趨勢。支持QoSWA2200支持無線QoS標準WMM（802.11

50、e），保證了為不同的業(yè)務可以提供不同的無線信道競爭能力。WMM結合有線QoS策略，可以提供端到端的QoS保證。支持無線用戶隔離WA2200工作于FAT AP模式時，支持無線用戶之間的隔離。當啟用了此功能后，兩個無線客戶端之間無法直接通訊，無線客戶端只能訪問上游的有線網絡。應用此特性，運營商可強制無線用戶到指定的網關或服務器上進行計費或更安全的認證，實現(xiàn)所謂的熱點應用。高可靠性的業(yè)務設計BOOTWARE支持CAPWAPWA2200產品Bootware軟件支持CAPWAP特性，可以與無線控制器進行交互完成應用程序的加載。支持此特性， 當WA2200工作于FIT模式時，在本地應用程序損壞或下載了非法

51、應用程序的情況下，仍然可以通過無線控制器遠程為WA2200加載合法的應用程序，恢復其正常工作，省卻了本地升級版本的煩惱。無管理維護接口保證設備免受非法控制WA2200作為FIT AP使用時，僅受無線控制器的管理，WA2200本身不對外提供CLI、telnet或SNMP管理接口，保證了設備本身的安全。支持多CAPWAP隧道備份WA2200作為FIT AP使用時，可同時與多臺無線控制器之間建立CAPWAP隧道連接，多條隧道相互備份，保證了在一臺無線控制器出現(xiàn)故障后，WA2200仍然可以被其它無線控制器所管理。支持橋接鏈路的備份WA2200啟用橋接特性時，可同時與兩個對端建立互為備份關系的橋接鏈路，

52、兩條鏈路中只有一條能發(fā)送數據。當主鏈路信號質量無法保障時，則將數據流量自動切換到備份鏈路。此特性尤其適用于軌道交通信息系統(tǒng)。傳輸速率高達108MWA2200支持Turbo模式，可以將兩個信道捆綁起來用于數據傳輸，捆綁后的信道帶寬加倍，最高傳輸速率也由普通模式下的54M提高到108M。寬溫度范圍室內型工作溫度范圍為0至45攝氏度，室外型和增強型工作溫度范圍為-30至45攝氏度，寬溫度范圍保證了WA2200可以在任何季節(jié)工作在全球絕大多數地點。技術參數系統(tǒng)參數1 > 室內型號 H3C WA2210-AG H3C WA2220-AG參數指標重量300g尺寸長×寬×高= 16

53、6x188x42 mm（不含天線和安裝附件） 工作溫度045ºC工作濕度10% 95%（非冷凝）存貯溫度-40ºC70ºC存貯濕度5% 95%（非冷凝）2> 增強型號 H3C WA2220E-AG參數指標重量500g尺寸長×寬×高= 195x135x35 mm（不含天線和安裝附件） 工作溫度-3055ºC工作濕度10% 95%（非冷凝）存貯溫度-40ºC70ºC存貯濕度5% 95%（非冷凝）電源參數1> 室內型號 H3C WA2210-AG H3C WA2220-AG參數指標整機功耗<6W供電方式

54、*本地供電：+48V DC/0.5A以太網供電（PoE）：-48VDC （五類線最遠100米）電源-48V直流電（以太網供電）+48V直流電（本地供電，外接變壓器完成AC/DC轉換）2> 增強型號 H3C WA2220E-AG參數指標整機功耗<10W供電方式*本地供電：+48V DC/0.5A以太網供電（PoE）：-48VDC （五類線最遠100米）電源-48V直流電（以太網供電）+48V直流電（本地供電，外接變壓器完成AC/DC轉換）*室外型不支持本地供電方式。工作指標參數指標工作頻段（GHz）IEEE802.11b/g2.40GHz2.4835GHzIEEE802.11a5.1

55、5GHz5.35GHz，5.725GHz5.850GHz調制方式IEEE802.11bDSSSDBPSK（用于1Mbit/s）DQPSK（用于2Mbit/s）CCK（用于5.5Mbit/s和11Mbit/s）IEEE802.11gOFDMBPSK（用于6Mbit/s和 9Mbit/s）QPSK（用于12Mbit/s和18Mbit/s）16-QAM（用于24Mbit/s和36Mbit/s）64-QAM（用于48Mbit/s 和54Mbit/s）DSSSDBPSK （用于1Mbit/s）DQPSK（用于2Mbit/s）CCK（用于5.5Mbit/s和11Mbit/s）IEEE802.11aOFDM

56、BPSK（用于6Mbit/s和 9Mbit/s）QPSK（用于12Mbit/s和18Mbit/s）16-QAM（用于24Mbit/s和36Mbit/s）64-QAM（用于48Mbit/s 和54Mbit/s）發(fā)射功率見下表接收靈敏度見下表接入用戶數64 per radio內置信道數（個）IEEE802.11a（5GHz頻段）802.11a與IEEE802.11兼容，(美國)12個信道，(中國)5個信道IEEE802.11b/g（2.4GHz頻段）802.11b/g與IEEE802.11兼容，(美國)11個信道，(中國、歐洲)13個信道接入速率（Mbit/s）IEEE 802.11a 6Mbit/s、9Mbit/s、12Mbit/s、18Mbit/s、24Mbit/s、36Mbit/s、48Mbit/s、54Mbit/sIEEE 802.11g1Mbit/s、2Mbit/s、5.5Mbit/s、6Mbit/s、9Mbit/s、11Mbit/s、12Mbit/s、18Mbit/s、24Mbit/s、36Mbit/s、48Mbit/s、54Mbit/s無線覆蓋范圍室內辦公環(huán)境（自帶全向天線）：50100