機(jī)場無線部署解決方案

1、 無線部署解決方案機(jī)場無線覆蓋解決方案目錄1項(xiàng)目概況41.1項(xiàng)目背景41.2項(xiàng)目目標(biāo)42術(shù)語解釋43總體設(shè)計(jì)方案73.1無線網(wǎng)絡(luò)組網(wǎng)規(guī)劃73.2網(wǎng)絡(luò)高可靠性93.2.1AC 冗余備份93.2.2DHCP Server備份93.3無線安全設(shè)計(jì)103.3.1WIFI接入及認(rèn)證過程103.3.2無線數(shù)據(jù)加密113.3.3AC與AP之間的安全認(rèn)證113.3.4其它無線安全控制技術(shù)123.4無線網(wǎng)絡(luò)管理123.4.1網(wǎng)絡(luò)發(fā)現(xiàn)133.4.2拓?fù)涔芾?33.4.3無線網(wǎng)絡(luò)規(guī)劃133.4.4無線網(wǎng)絡(luò)監(jiān)控133.4.5無線網(wǎng)絡(luò)安全133.4.6AC性能管理143.4.7網(wǎng)絡(luò)流量分析143.4.8告警管理143.

2、4.9報(bào)表呈現(xiàn)143.4.10軟件管理143.4.11配置管理143.4.12資產(chǎn)管理153.4.13任務(wù)和調(diào)度153.4.14日志管理153.4.15安全管理153.5QOS部署153.5.1QOS總體框架153.5.2QoS高優(yōu)先級業(yè)務(wù)數(shù)據(jù)優(yōu)先保證163.5.3管理報(bào)文高優(yōu)先級處理173.5.4通過client QoS修改用戶的優(yōu)先級173.5.5基于用戶的限速173.6POE供電方案183.6.1POE供電模塊供電183.6.2POE交換機(jī)供電193.7網(wǎng)絡(luò)設(shè)備要求193.7.1無線AP193.7.2AC控制器203.7.3AAS服務(wù)器223.7.4Portal服務(wù)器253.7.5Net

3、Manager網(wǎng)管261 項(xiàng)目概況1.1 項(xiàng)目背景暫無1.2 項(xiàng)目目標(biāo)暫無2 術(shù)語解釋Ø WLAN：無線局域網(wǎng)絡(luò)(Wireless Local Area Networks； WLAN)是相當(dāng)便利的數(shù)據(jù)傳輸系統(tǒng)，它利用射頻(Radio Frequency； RF)的技術(shù)，取代舊式礙手礙腳的雙絞銅線(Coaxial)所構(gòu)成的局域網(wǎng)絡(luò)，使得無線局域網(wǎng)絡(luò)能利用簡單的存取架構(gòu)讓用戶透過它，達(dá)到信息隨身化、便利走天下的理想境界。Ø 無線AP：AP是(Wireless) Access Point的縮寫，即(無線)訪問接入點(diǎn)。如果無線網(wǎng)卡可比作有線網(wǎng)絡(luò)中的以太網(wǎng)卡，那么AP就是傳統(tǒng)有線網(wǎng)絡(luò)

4、中的HUB，也是目前組建小型無線局域網(wǎng)時(shí)最常用的設(shè)備。Ø 瘦AP: 無線接入點(diǎn)(AP，Access Point)也稱無線網(wǎng)橋、無線網(wǎng)關(guān)，也就是所謂的“瘦”AP。此無線設(shè)備的傳輸機(jī)制相當(dāng)于有線網(wǎng)絡(luò)中的集線器，在無線局域網(wǎng)中不停地接收和傳送數(shù)據(jù);任何一臺(tái)裝有無線網(wǎng)卡的PC均可通過AP來分享有線局域網(wǎng)絡(luò)甚至廣域網(wǎng)絡(luò)的資源。理論上，當(dāng)網(wǎng)絡(luò)中增加一個(gè)無線AP之后，即可成倍地?cái)U(kuò)展網(wǎng)絡(luò)覆蓋直徑;還可使網(wǎng)絡(luò)中容納更多的網(wǎng)絡(luò)設(shè)備。每個(gè)無線AP基本上都擁有一個(gè)以太網(wǎng)接口，用于實(shí)現(xiàn)無線與有線的連接。Ø AC：無線接入控制服務(wù)器， 接入控制器(AC) 無線局域網(wǎng)接入控制設(shè)備，負(fù)責(zé)把來自不同AP的數(shù)

5、據(jù)進(jìn)行匯聚并接入Internet，同時(shí)完成AP設(shè)備的配置管理、無線用戶的認(rèn)證、管理及寬帶訪問、安全等控制功能。Ø POE：POE (Power Over Ethernet)指的是在現(xiàn)有的以太網(wǎng)Cat.5布線基礎(chǔ)架構(gòu)不作任何改動(dòng)的情況下，在為一些基于IP的終端（如IP電話機(jī)、無線局域網(wǎng)接入點(diǎn)AP、網(wǎng)絡(luò)攝像機(jī)等）傳輸數(shù)據(jù)信號(hào)的同時(shí)，還能為此類設(shè)備提供直流供電的技術(shù)。POE技術(shù)能在確保現(xiàn)有結(jié)構(gòu)化布線安全的同時(shí)保證現(xiàn)有網(wǎng)絡(luò)的正常運(yùn)作，最大限度地降低成本。Ø 802.11g：在2.4GHz頻段，是一種能支持較高數(shù)據(jù)傳輸速率（154Mbit/s），采用微蜂窩、微微蜂窩結(jié)構(gòu)，自主管理的計(jì)

6、算機(jī)局域網(wǎng)絡(luò)。Ø 802.11i：無線安全標(biāo)準(zhǔn)，wpa是其子集，規(guī)定使用802.1x認(rèn)證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了TKIP、CCMP和WRAP三種加密機(jī)制。Ø 802.11n：WiFi聯(lián)盟為了實(shí)現(xiàn)高帶寬、高質(zhì)量的WLAN服務(wù)，使無線局域網(wǎng)達(dá)到以太網(wǎng)的性能水平，802.11任務(wù)組制定了N（TGn），將無線局域網(wǎng)的傳輸速率從802.11a和802.11g的54Mbps增加至300Mbps以上，最高速率可達(dá)600Mbps，采用OFDM技術(shù)、MIMO（多入多出）技術(shù)。Ø WEP：WEP是Wired Equivalent Privacy的簡稱，有線等效保密（WE

7、P）協(xié)議是對在兩臺(tái)設(shè)備間無線傳輸?shù)臄?shù)據(jù)進(jìn)行加密的方式，用以防止非法用戶竊聽或侵入無線網(wǎng)絡(luò)。Ø WPA：英文縮寫: WPA (Wi-Fi Protected Access) WPA是一種基于標(biāo)準(zhǔn)的可互操作的WLAN安全性增強(qiáng)解決方案，可大大增強(qiáng)現(xiàn)有以及未來無線局域網(wǎng)系統(tǒng)的數(shù)據(jù)保護(hù)和訪問控制水平。WPA源于正在制定中的IEEE802.11i標(biāo)準(zhǔn)并將與之保持前向兼容。Ø WPA2：WPA2 是經(jīng)由 Wi-Fi 聯(lián)盟驗(yàn)證過的 IEEE 802.11i 標(biāo)準(zhǔn)的認(rèn)證形式。WPA2 實(shí)現(xiàn)了 802.11i 的強(qiáng)制性元素 1，特別是 Michael 算法由公認(rèn)徹底安全的 CCMP 訊息認(rèn)證

8、碼所取代、而 RC4 也被 AES 取代。Ø WPA/WPA2 企業(yè)版：Wi-Fi 聯(lián)盟已經(jīng)發(fā)布了在 WPA 及 WPA2 企業(yè)版的認(rèn)證計(jì)劃里增加 EAP（可擴(kuò)充認(rèn)證協(xié)定）的消息，這是為了確保通過 WPA 企業(yè)版認(rèn)證的產(chǎn)品之間可以互通。先前只有 EAP-TLS（Transport Layer Security）通過 Wi-Fi 聯(lián)盟的認(rèn)證。Ø SSID：SSID是Service Set Identifier的縮寫，意思是：服務(wù)集標(biāo)識(shí)。SSID技術(shù)可以將一個(gè)無線局域網(wǎng)分為幾個(gè)需要不同身份驗(yàn)證的子網(wǎng)絡(luò)，每一個(gè)子網(wǎng)絡(luò)都需要獨(dú)立的身份驗(yàn)證，只有通過身份驗(yàn)證的用戶才可以進(jìn)入相應(yīng)的子網(wǎng)

9、絡(luò)，防止未被授權(quán)的用戶進(jìn)入本網(wǎng)絡(luò).。 Ø 無線漫游：當(dāng)網(wǎng)絡(luò)環(huán)境存在多個(gè)AP，且它們的微單元互相有一定范圍的重合時(shí)，無線用戶可以在整個(gè)WLAN覆蓋區(qū)內(nèi)移動(dòng)，無線網(wǎng)卡能夠自動(dòng)發(fā)現(xiàn)附近信號(hào)強(qiáng)度最大的AP，并通過這個(gè)AP收發(fā)數(shù)據(jù)，保持不間斷的網(wǎng)絡(luò)連接，這就稱為無線漫游。Ø 數(shù)字證書：數(shù)字證書就是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗(yàn)證您身份的方式，它是由一個(gè)由權(quán)威機(jī)構(gòu)-CA機(jī)構(gòu)，又稱為證書授權(quán)（Certificate Authority）中心發(fā)行的，人們可以在網(wǎng)上用它來識(shí)別對方的身份。數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信

10、息以及公開密鑰的文件。最簡單的證書包含一個(gè)公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。數(shù)字證書是一種權(quán)威性的電子文檔，由權(quán)威公正的第三方機(jī)構(gòu)，即CA中心簽發(fā)的證書。 3 總體設(shè)計(jì)方案3.1 無線網(wǎng)絡(luò)組網(wǎng)規(guī)劃n 組網(wǎng)說明Ø 在機(jī)場核心交換機(jī)分別旁掛1臺(tái)或多臺(tái)AC無線控制器，通過1+1方式實(shí)現(xiàn)冗余備份，在機(jī)場無線熱點(diǎn)區(qū)域部署多個(gè)瘦AP 。根據(jù)現(xiàn)有機(jī)場有線的網(wǎng)絡(luò)的部署情況，無線AP與AC控制器間通過二層或三層實(shí)現(xiàn)互聯(lián)互通，AC工作在集中轉(zhuǎn)發(fā)模式，所有無線終端的業(yè)務(wù)數(shù)據(jù)通過AC進(jìn)行集中轉(zhuǎn)發(fā)。Ø 機(jī)場無線AP手動(dòng)配置自身IP地址，與AC 的IP地址實(shí)現(xiàn)隧道互聯(lián)，無線終端的IP地址通過D

11、HCP 動(dòng)態(tài)獲取，網(wǎng)關(guān)指向機(jī)場的核心交換機(jī)，建議部署兩臺(tái)DHCP服務(wù)器，在核心交換機(jī)上配置DHCP 中繼，分別指向兩臺(tái)DHCP服務(wù)器，實(shí)現(xiàn)對DHCP服務(wù)器的冗余備份。Ø 機(jī)場無線AP采取WPA2的無線加密認(rèn)證方式。無線終端上行的802.11的數(shù)據(jù)報(bào)文通過AP重新封裝到802.3格式以太報(bào)文中，直接發(fā)給AC，由AC進(jìn)行過濾識(shí)別后進(jìn)行轉(zhuǎn)發(fā)，這個(gè)過程實(shí)現(xiàn)了WLAN無線的數(shù)據(jù)和現(xiàn)有業(yè)務(wù)的數(shù)據(jù)隔離。J 注意事項(xiàng)：因無線的數(shù)據(jù)均采用集中轉(zhuǎn)發(fā)方式，所以在無線終端間進(jìn)行數(shù)據(jù)訪問時(shí)，也需要數(shù)據(jù)通過AC集中轉(zhuǎn)發(fā)而訪問，增加了不必要的網(wǎng)絡(luò)開銷，我們建議禁止無線終端間的數(shù)據(jù)訪問業(yè)務(wù)。n 設(shè)備配置說明設(shè)備名稱

12、部署設(shè)備型號(hào)數(shù)量設(shè)備說明無線控制器WNC6000-1000-ACX臺(tái)AC控制器，支持1024個(gè)AP接入室內(nèi)APWA2000-213W-PEX臺(tái)單頻、單模，室內(nèi)2.4G增強(qiáng)型室內(nèi)AP。 802.11 （ b 、 g 、 n ） ，外置天線，100mw 放裝型 ， POE 受電方式。支持wapi 。室外APWA2000-362W-PTEX臺(tái)WA2000-362W-PTE,無線,雙頻、雙模，2.4G、5.8G增強(qiáng)型室外AP。 802.11 （ a、b 、 g 、 n ） ，外置天線，500mw +500mw放裝型 ， PTE 受電方式。支持wapiAAS服務(wù)器Access Authenticatio

13、n server1邁普設(shè)備接入認(rèn)證服務(wù)器(基本型、含硬件)，2個(gè)以太口AAS-L-2000X2000個(gè)License認(rèn)證用戶數(shù)，單一系統(tǒng)支持多個(gè)License累加Portal軟件Portal Authentication Server1Portal認(rèn)證服務(wù)器中文版短信網(wǎng)關(guān)Maipu SMS-CN1MaipuSMS-CN、電信制式短信網(wǎng)關(guān)無線網(wǎng)管軟件Maipu NetManager1多業(yè)務(wù)智能管理平臺(tái)(專業(yè)版，中英文版，無最多可管理網(wǎng)絡(luò)設(shè)備數(shù)量限制)NM-WlanManager1無線業(yè)務(wù)管理組件NM-L-500軟件許可，每個(gè)許可可增加500個(gè)設(shè)備節(jié)點(diǎn)授權(quán)許可3.2 網(wǎng)絡(luò)高可靠性3.2.1 AC

14、冗余備份AC無線控制器采用，1+1冗余備份方式，在核心交換機(jī)分別旁掛1臺(tái)或多臺(tái)AC無線控制器，通過1+1方式實(shí)現(xiàn)冗余備份，保證了整個(gè)無線網(wǎng)絡(luò)的高可靠性。根據(jù)無線AP的規(guī)模來確定AC的容量。在備機(jī)房放置同等數(shù)量和容量的AC，實(shí)現(xiàn)完備的1+1冗余備份。1+1冗余備份方式，需要從兩個(gè)層面來保證設(shè)備和網(wǎng)絡(luò)的冗余可靠性。首先， AC和備份AC之間的管理通道保持有快速心跳檢測機(jī)制，心跳時(shí)間根據(jù)網(wǎng)絡(luò)的質(zhì)量可以配置，建議為200ms到5s之間。心跳報(bào)文在兩端AC和整個(gè)通道的網(wǎng)絡(luò)設(shè)備之間采用高優(yōu)先級保證。同時(shí)，主AC和備份AC之間能定期和實(shí)時(shí)的同步AP，client的各種狀態(tài)。這樣，備份AC能實(shí)時(shí)監(jiān)控主AC的活

15、動(dòng)狀況。一旦主AC出現(xiàn)宕機(jī)等事件，備份AC收不到主AC的心跳報(bào)文，立即通知該主AC管理的原AP，實(shí)行切換。其次，AC和所管理的AP之間的管理通道保持有心跳檢測機(jī)制。這種機(jī)制中除了檢測AC的狀態(tài)之外，還可以檢測整個(gè)網(wǎng)絡(luò)通道是否可達(dá)。心跳時(shí)間根據(jù)網(wǎng)絡(luò)的質(zhì)量可以配置，建議為5s到20s之間。1+1的備份方式在部署時(shí)，AP需要配置主用AC和備用AC的地址列表，我們采用靜態(tài)指定的方式，在AP上寫入主備AC的IP地址，當(dāng)主AC出現(xiàn)宕機(jī)或者主機(jī)房網(wǎng)絡(luò)出現(xiàn)故障，訪問不可達(dá)的情況下，AP主動(dòng)發(fā)現(xiàn)并切換到備AC上。3.2.2 DHCP Server備份DHCP SERVER備份實(shí)現(xiàn)機(jī)制 ：在機(jī)場主機(jī)房搭建主 DH

16、CP SERVER和備用DHCP SERVER；通過核心交換機(jī)做DHCP RELAY ，分別指向主、備DHCP SERVER，在正常情況下，用戶端從主DHCP服務(wù)器獲取地址，當(dāng)主 DHCP SERVER宕機(jī)的情況下，用戶從備 DHCP SERVER獲取地址 。該功能的實(shí)現(xiàn)需要在核心交換機(jī)上配置兩條DHCP RELAY命令 。3.3 無線安全設(shè)計(jì)由于無線接入的開放性，因此無線接入安全是部署無線網(wǎng)絡(luò)的重中之重。當(dāng)前兼容性最好、可實(shí)現(xiàn)性最高的無線安全接入方式就是結(jié)合數(shù)字證書的WPA2身份認(rèn)證及數(shù)據(jù)加密技術(shù)。3.3.1 WIFI接入及認(rèn)證過程為滿足用戶可以更方便快捷的使用WIFI熱點(diǎn)，并且又能夠?qū)尤?/p>

17、用戶合法性進(jìn)行確認(rèn)，本方案設(shè)計(jì)采用AAS+Portal+短信方式認(rèn)證。n Web認(rèn)證機(jī)場WIFI用戶使用手機(jī)或者pad自動(dòng)搜索到機(jī)場WIFI熱點(diǎn)，在連接的時(shí)候會(huì)自動(dòng)重定向到本地Portal頁面上，給用戶推送一個(gè)Web認(rèn)證界面。當(dāng)用戶再次通過HTTP協(xié)議上互聯(lián)網(wǎng)時(shí)，會(huì)觸發(fā)Portal認(rèn)證，后端的Portal認(rèn)證服務(wù)器會(huì)推送一個(gè)Web認(rèn)證頁面到用戶終端上。用戶在WEB認(rèn)證界面填寫自己的手機(jī)號(hào)，點(diǎn)擊獲取隨機(jī)密碼，則用戶填寫的手機(jī)號(hào)對應(yīng)的手機(jī)會(huì)收到一條短信，獲取到一個(gè)隨機(jī)密碼，用戶通過該手機(jī)號(hào)碼及短信收到的隨機(jī)密碼進(jìn)行Web認(rèn)證。認(rèn)證通過后系統(tǒng)允許用戶終端上網(wǎng)，并且返回一個(gè)認(rèn)證通過的頁面，再次根據(jù)用戶

18、所在的公交車位置信息判斷推送不同的廣告信息；n AAS服務(wù)器AAS是基于AAA的認(rèn)證系統(tǒng)，在本方案中主要功能為配合Portal服務(wù)器為用戶提供身份認(rèn)證。AAS也可以通過代理方式與運(yùn)營商或者上級AAA系統(tǒng)進(jìn)行對接，能夠直接與營運(yùn)商的用戶庫（如手機(jī)號(hào)等信息）共享，避免用戶信息多點(diǎn)維護(hù)。AAS認(rèn)證的用戶名基于運(yùn)營商用戶庫，所以有效的避免了其他運(yùn)營商的用戶接入占用資源的問題。該系統(tǒng)允許所有運(yùn)營商的用戶能使用。3.3.2 無線數(shù)據(jù)加密WPA2使用加密性能更好、安全性更高的加密算法：AES-CCMP（Advanced Encryption Standard - Counter mode with Ciph

19、er-block chaining Message authentication code Protocol，高級加密標(biāo)準(zhǔn)計(jì)數(shù)器模式密碼區(qū)塊鏈接消息身份驗(yàn)證代碼協(xié)議），其主要有如下幾點(diǎn)改進(jìn)：使用128位AES加密算法實(shí)現(xiàn)機(jī)密性保護(hù)，數(shù)據(jù)完整性保護(hù)，自動(dòng)重新生成密鑰對以派生新的數(shù)據(jù)加密密鑰，使用數(shù)據(jù)包編號(hào)字段實(shí)現(xiàn)防重播。AES-CCMP在802.1X身份驗(yàn)證過程動(dòng)態(tài)創(chuàng)建一組主從密鑰，并由該從主密鑰對和其他值派生出數(shù)據(jù)加密所需的臨時(shí)密鑰，避免了WPA-PSK主密鑰需事先定義而可能泄露的弊端。3.3.3 AC與AP之間的安全認(rèn)證為了保證AC與AP之間的訪問安全，尤其是防止黑客或者攻擊者從市場上購買同

20、一品牌的AP，私自接入機(jī)場網(wǎng)絡(luò)，進(jìn)行各種高級攻擊。因此需要加強(qiáng)AC和AP之間的安全認(rèn)證。最簡單的認(rèn)證是MAC地址認(rèn)證，部署過程中可以將系統(tǒng)中的合法AP的MAC地址統(tǒng)一記錄在Radius或者AC上。AP在跟AC關(guān)聯(lián)進(jìn)行集中管理時(shí)，都需要在AC上通過mac地址認(rèn)證才能允許AP接入無線網(wǎng)絡(luò)；其次是密碼認(rèn)證，第一次部署過程中需要在AP上設(shè)置相關(guān)密碼；AP在跟AC關(guān)聯(lián)進(jìn)行集中管理時(shí)，都需要在AC上通過密碼認(rèn)證才能允許AP接入無線網(wǎng)絡(luò)；注：前面兩種方式都是單向認(rèn)證，在AC上認(rèn)證接入AP；還有一種更安全的方式是數(shù)字證書認(rèn)證，我們采用的X.509數(shù)字證書認(rèn)證方法。該認(rèn)證方法是雙向認(rèn)證，除了AC上認(rèn)證AP的證書

21、，同時(shí)在AP上還需要驗(yàn)證AC的證書，充分保證網(wǎng)絡(luò)設(shè)備的合法性。在首次部署的時(shí)候，需要將相關(guān)證書下發(fā)到設(shè)備上。AP運(yùn)行過程中，跟AC關(guān)聯(lián)進(jìn)行集中管理時(shí)，就會(huì)啟動(dòng)該雙向認(rèn)證，成功后才能允許AP接入無線網(wǎng)絡(luò)。3.3.4 其它無線安全控制技術(shù)其它無線安全技術(shù)主要體現(xiàn)如下幾方面：Ø SSID隱藏：隱藏?zé)o線對外服務(wù)標(biāo)識(shí)，類似在開放的環(huán)境中隱藏接入端口，保護(hù)無線接入。Ø 無線用戶接入時(shí)段控制：根據(jù)業(yè)務(wù)需要，限制終端用戶通過無線接入的時(shí)間區(qū)間，可以實(shí)現(xiàn)在非工作時(shí)間外禁止接入網(wǎng)絡(luò)。Ø 無線用戶訪問權(quán)限控制：可以在無線接入控制器上實(shí)現(xiàn)ACL控制，放行移動(dòng)終端業(yè)務(wù)的目標(biāo)地址，阻斷其它應(yīng)

22、用，通過ACL控制訪問權(quán)限。Ø 無線用戶速率控制：通過限制每個(gè)無線終端的速率，防止各種惡意或無意的高速率訪問，確保其它用戶通過無線接入的接入速率、接入穩(wěn)定性。Ø 無線用戶相互隔離：對通過無線接入的終端實(shí)現(xiàn)隔離，阻斷相互之間的通信，不僅實(shí)現(xiàn)安全管理，也可避免終端之間的相互影響。3.4 無線網(wǎng)絡(luò)管理整個(gè)無線網(wǎng)絡(luò)統(tǒng)一進(jìn)行無線網(wǎng)絡(luò)設(shè)備管理，無線網(wǎng)絡(luò)的可管理性在整體項(xiàng)目中將起到非常重要的作用。根據(jù)機(jī)場的應(yīng)用需求，我們提出實(shí)現(xiàn)無線網(wǎng)絡(luò)的“云管理”方案。簡單來說，無線網(wǎng)絡(luò)管理分成以下三層管理架構(gòu)：Ø 網(wǎng)管軟件對AC的管理：主要聚焦在網(wǎng)管軟件對各個(gè)AC的狀態(tài)監(jiān)控，并對AC進(jìn)行權(quán)限

23、管理及監(jiān)控。Ø 網(wǎng)管軟件對AP的管理：主要聚焦在網(wǎng)管軟件對分布在全國任意網(wǎng)點(diǎn)的AP的追溯管理，包括每臺(tái)AP下的終端接入數(shù)，終端流量，終端應(yīng)用。Ø 網(wǎng)管軟件對無線終端的管理：主要聚焦在網(wǎng)管軟件對接入到全國任意網(wǎng)點(diǎn)的所有無線終端的管理，包括終端流量等等。通過以上三方面不同層次的網(wǎng)絡(luò)管理，使得無線網(wǎng)絡(luò)的管理更可控。3.4.1 網(wǎng)絡(luò)發(fā)現(xiàn)基于IP范圍發(fā)現(xiàn)AC，手動(dòng)添加設(shè)備基于AC發(fā)現(xiàn)無線網(wǎng)絡(luò)，自動(dòng)添加設(shè)備3.4.2 拓?fù)涔芾碇С志W(wǎng)絡(luò)拓?fù)鋱D的自動(dòng)生成及拖拉縮放，支持網(wǎng)絡(luò)拓?fù)浞謱臃旨墝?dǎo)航和管理及自動(dòng)更新支持網(wǎng)絡(luò)拓?fù)鋱D的手動(dòng)定制及定制連接支持物理連接和邏輯連接，并在拓?fù)渖巷@示連接屬性，如端

24、口、貸款及連接狀態(tài)3.4.3 無線網(wǎng)絡(luò)規(guī)劃支持無線分級地圖3.4.4 無線網(wǎng)絡(luò)監(jiān)控支持在各AC管轄下的無線AP列表支持列出客戶端列表:包括活動(dòng)客戶端列表、客戶端列表歷史、信噪比等3.4.5 無線網(wǎng)絡(luò)安全支持統(tǒng)一安全策略：統(tǒng)一安全策略的創(chuàng)建及安全策略的下發(fā)和部署支持無線安全防護(hù)：包括Rogue AP列表，Rogue Client列表，Rogue設(shè)備反制及無線入侵事件列表等3.4.6 AC性能管理支持AC性能監(jiān)控，及性能數(shù)據(jù)的管理3.4.7 網(wǎng)絡(luò)流量分析支持網(wǎng)絡(luò)流量數(shù)據(jù)采集標(biāo)準(zhǔn)(Cisco NetFlow, sFlow等)支持帶寬使用統(tǒng)計(jì)網(wǎng)絡(luò)性能瓶頸發(fā)現(xiàn)輸出網(wǎng)絡(luò)流量報(bào)告，支持基于圖形化和數(shù)據(jù)表格方

25、式的網(wǎng)絡(luò)流量詳細(xì)報(bào)告3.4.8 告警管理支持告警定義，告警呈現(xiàn)，告警管理及相應(yīng)的告警操作。3.4.9 報(bào)表呈現(xiàn)支持表格和圖形混合展現(xiàn)的報(bào)表呈現(xiàn)方式可手動(dòng)、自動(dòng)生成報(bào)表，并自動(dòng)發(fā)送報(bào)表3.4.10 軟件管理支持軟件包管理及AC、AP軟件自動(dòng)升級3.4.11 配置管理支持批量配置管理，配置文件管理3.4.12 資產(chǎn)管理支持設(shè)備資產(chǎn)管理，設(shè)備資產(chǎn)信息收集和展示，并定期自動(dòng)同步3.4.13 任務(wù)和調(diào)度支持任務(wù)的查詢/修改/制定，從而實(shí)現(xiàn)按時(shí)批量任務(wù)實(shí)現(xiàn)支持一次性任務(wù)調(diào)度、周期性任務(wù)調(diào)度，并輸出任務(wù)執(zhí)行日志，并回報(bào)任務(wù)執(zhí)行結(jié)果通知3.4.14 日志管理可記錄日志，包括網(wǎng)管日志，網(wǎng)元操作日志，安全日志及網(wǎng)

26、元日志等可操作日志，包括設(shè)置、轉(zhuǎn)儲(chǔ)、查詢和打印等并可對日志進(jìn)行定期清理3.4.15 安全管理可對用戶組進(jìn)行安全管理，包括用戶管理、管理域等可實(shí)現(xiàn)第三方認(rèn)證和授權(quán)，支持RADIUS，TACCS,LDAP3.5 QOS部署3.5.1 QOS總體框架通過WMM協(xié)議，使802.11在鏈路層和MAC層提供支持QoS的無線網(wǎng)絡(luò)接入服務(wù)，加上有線網(wǎng)絡(luò)原有的應(yīng)用層、IP層的QoS策略，提供了無線設(shè)備端到端的QoS支持能力，以無線終端Client1發(fā)送報(bào)文到Client2為例說明Qos總體框架。總體框架中提供兩大部分QoS部署： Ø 一是從client到AP之間的無線QoS部署，該部分主要是對于空中的

27、無線報(bào)文（802.11報(bào)文）進(jìn)行各種QoS管理和配置。對于語音和視頻等高優(yōu)先級流量進(jìn)行調(diào)度；Ø 二是從AP到AC之間的有線QoS部署，該部分主要是對于以太網(wǎng)報(bào)文（802.3報(bào)文）進(jìn)行各種QoS管理和配置。因?yàn)闊o線報(bào)文達(dá)到AP后，就接入了有線網(wǎng)絡(luò)，報(bào)文也就是從802.11格式轉(zhuǎn)為802.3格式，進(jìn)行有線網(wǎng)絡(luò)轉(zhuǎn)發(fā)。3.5.2 QoS高優(yōu)先級業(yè)務(wù)數(shù)據(jù)優(yōu)先保證WMM QoS到802.3的CoS之間的映射：AP收到802.11報(bào)文后，AP將其中WMM QoS字段轉(zhuǎn)換為802.3的CoS字段的值，保證無線用戶的優(yōu)先級信息能夠保持不變，高優(yōu)先級數(shù)據(jù)優(yōu)先處理。內(nèi)部優(yōu)先級到外部優(yōu)先級的映射（未來實(shí)現(xiàn)）

28、：數(shù)據(jù)被封裝到隧道后，內(nèi)部的優(yōu)先級不能被其它網(wǎng)絡(luò)設(shè)備識(shí)別，因此必須將內(nèi)部的優(yōu)先級映射到外部網(wǎng)絡(luò)。AP在封裝隧道數(shù)據(jù)時(shí)，會(huì)把內(nèi)部優(yōu)先級映射到隧道數(shù)據(jù)的外部，保證其它網(wǎng)絡(luò)設(shè)備也能按照用戶數(shù)據(jù)的優(yōu)先級進(jìn)行轉(zhuǎn)發(fā)。AC對于QoS優(yōu)先級的處理：AC收到隧道數(shù)據(jù)后，首先解封裝，根據(jù)內(nèi)部CoS的優(yōu)先級進(jìn)行數(shù)據(jù)調(diào)度，保證高優(yōu)先級的數(shù)據(jù)得到優(yōu)先轉(zhuǎn)發(fā)。802.3的CoS到WMM QoS之間的映射：AP收到來至有線網(wǎng)絡(luò)的802.3報(bào)文后，AP將其中802.3的CoS字段轉(zhuǎn)換為WMM QoS字段的值，對于高優(yōu)先級的數(shù)據(jù)優(yōu)先發(fā)送。3.5.3 管理報(bào)文高優(yōu)先級處理對AP和AC之間的管理報(bào)文,即端口號(hào)為57776的TCP報(bào)文

29、和端口號(hào)為57778/57779的UDP報(bào)文，設(shè)置高優(yōu)先級，可以保證管理報(bào)文的高優(yōu)先轉(zhuǎn)發(fā)。3.5.4 通過client QoS修改用戶的優(yōu)先級AP上的client CoS功能可以根據(jù)優(yōu)先級策略直接修改用戶的優(yōu)先級。AP收到802.11數(shù)據(jù)后，匹配用戶的IP地址，根據(jù)用戶的IP匹配對應(yīng)的策略，根據(jù)策略設(shè)定的優(yōu)先級改寫原有的優(yōu)先級，保證特定用戶的數(shù)據(jù)得到特定的優(yōu)先級。配置方式如下： Ø 配置分類表（classmap）：建立一個(gè)分類規(guī)則，可以按照ACL、CoS、VLAN ID、IPV4 Precedent、DSCP、IPV6 FL來分類。之后，對于不同類別的數(shù)據(jù)流采取不同的策略。Ø

30、; 配置策略表（policymap）：對數(shù)據(jù)流進(jìn)行分類之后，就可以建立一個(gè)策略表，之后就可以將其對應(yīng)一個(gè)先前建立的class-map，進(jìn)入策略分類表模式，然后就可以對于不同的數(shù)據(jù)流采取不同的策略，如帶寬限制、優(yōu)先級降低、分配新的DSCP值等等。也可以定義一個(gè)集合策略，這個(gè)策略可以在同一個(gè)策略表內(nèi)部被多個(gè)策略分類表使用。Ø 將QoS應(yīng)用到AP或者AC：如果需要在AP上啟動(dòng)QoS，則在AP profile文件中增加配置的策略應(yīng)用。如果需要在AC上啟動(dòng)QoS，將策略綁定到AC的端口。3.5.5 基于用戶的限速基于用戶的限速，配置命令通過AC下發(fā)到AP上，用AP來實(shí)現(xiàn)每一個(gè)終端速度的限制。實(shí)

31、現(xiàn)原理是對用戶的數(shù)據(jù)流量進(jìn)行精確的統(tǒng)計(jì)，按照令牌桶的原理，單位時(shí)間內(nèi)，每個(gè)用戶都會(huì)分配到指定大小的令牌，用于流量允許通過。如果超過了用戶限制的帶寬，令牌就會(huì)用完，該用戶的數(shù)據(jù)報(bào)文將會(huì)丟棄。每個(gè)用戶都會(huì)有令牌桶，因此可以精確到每個(gè)用戶的限速。限速粒度為64Kbps。對于每個(gè)用戶的上行和下行報(bào)文，設(shè)計(jì)有單獨(dú)的令牌桶，可以分別控制和進(jìn)行速率限制。限速的配置可以從兩個(gè)方面進(jìn)行，如果對于所有用戶限速都相同的話，可以從AC上通過配置AP的client qos模塊中ratelimit參數(shù)，統(tǒng)一下發(fā)給AP。如果對每個(gè)用戶的限速不同的話，因?yàn)橛脩魯?shù)比較多，在AC上進(jìn)行統(tǒng)一配置明顯不行，需要在Radius上對每個(gè)

32、用戶的速率進(jìn)行單獨(dú)設(shè)置。在用戶進(jìn)行統(tǒng)一認(rèn)證的時(shí)候，將會(huì)把限速參數(shù)動(dòng)態(tài)的下發(fā)給該用戶所在的AP。3.6 POE供電方案3.6.1 POE供電模塊供電若熱點(diǎn)區(qū)域的無線AP部署數(shù)量較少，建議采用獨(dú)立的POE供電模塊進(jìn)行供電，無需單獨(dú)部署POE交換機(jī)。3.6.2 POE交換機(jī)供電若無線熱點(diǎn)區(qū)域的無線AP部署數(shù)量較多，為實(shí)現(xiàn)設(shè)備的集中供電管理，建議采用POE供電交換機(jī)進(jìn)行供電。3.7 網(wǎng)絡(luò)設(shè)備要求3.7.1 無線AP產(chǎn)品型號(hào)無線特性接口類型物理特性WA2000-213W-PE100mW 802.11b/g/n1個(gè)10/100/ 1000 Mbps 電口、1個(gè)控制口250mm*222mm*58mmWA20

33、00-323W-PE500mW 802.11b/g/n500mW 802.11a/n209mm*125mm*25mm支持標(biāo)準(zhǔn)TCP/IP, IPX, NetBEUI 、IEEE 802.11b (WiFi Compatible), IEEE802.11g (WiFi Compatible) ,IEEE802.3/u 10/100Base-Tx RJ-45, IEEE802.3af (Power Over Ethernet) ,IEEE802.1p (QoS Priority), IEEE802.1q (VLAN) ,IEEE802.1x (Security Authentication) ,I

34、EEE802.11e (Wireless QoS), IEEE802.1d (Spanning Tree Protocol)、11NHT 保護(hù)模式、A-MPDU 聚合、A-MSDU 聚合、短 GI、擴(kuò)展信道保護(hù)模式、信道模式20M/40M工作模式AP, Bridge無線特性頻率自動(dòng)調(diào)節(jié)、自動(dòng)功率調(diào)整、Smart WDS、輸出功率調(diào)節(jié)QOS負(fù)載均衡（流量、用戶數(shù)）、帶寬控制、鏈路檢、WMM、VoIP接入數(shù)量控制管理特性Web、SSH、CLI、SNMP、管理代理、capwap、TR069診斷功能用戶列表、臨近AP掃描、IP ping 測試、統(tǒng)計(jì)鏈路完整性支持路由支持安全特性Radio開關(guān)、WEP加

35、密（64 / 128 ）、TKIP、WAPI、802.1x、MAC控制、station隔離、防XDos攻擊、WPA(2)-PSK、WPA(2)、小包過濾、廣播風(fēng)暴控制電源POE、220V環(huán)境特性工作溫度0+50工作濕度 5 to 95% RH儲(chǔ)存溫度 -10 +60存儲(chǔ)濕度5 to 95% RH3.7.2 AC控制器型 號(hào)WNC6000-1000-AC硬件接口12個(gè)10/100/1000M電口、8個(gè)千兆SFP接口（需配SFP千兆光模塊），2個(gè)萬兆SFP+(需配SFP+萬兆光模塊)。管理AP數(shù)1024轉(zhuǎn)發(fā)能力80G軟件特性支持協(xié)議TCP/IP、IPX、NetBEUI、IEEE802.3/u 10

36、/100Base-Tx RJ-45, IEEE 802.3z 1000BaseX 、802.1d、802.1p、802.1q、802.1x、802.11、802.11b、802.11a、802.11g、802.11h、802.11i、802.11e、802.11n、CAPWAP、DHCP Server、DHCP Client、DHCP Relay、DNS Cient、NTP（Server and Client）、VRRP等IP路由RIPv1/v2、OSPF、BGP、Static Routing、RIPng、OSPFv3等組播IGMP v1/v2/v3、PIM-SM、PIM-DM、PIM-SSM

37、IPv6TCPv6、UDPv6、ICMPv6、Pingv6、TraceRTv6、Telnetv6、DNSv6、IPv6 ND、IPv6 PMTU、IPv6 ACL、IPv6靜態(tài)路由MPLS支持LDP、支持mpls轉(zhuǎn)發(fā)、MPLS ping、MPLS tracerouteAP發(fā)現(xiàn)AC的方式靜態(tài)IP發(fā)現(xiàn)、DHCP發(fā)現(xiàn)、DNS發(fā)現(xiàn)等漫游支持AC內(nèi)漫游、支持跨AC間漫游、支持二/三層漫游射頻管理Radio開關(guān)、無線模式選擇(802.11a/b/g/n)、手動(dòng)或自動(dòng)信道選擇、手動(dòng)或自動(dòng)功率調(diào)整、自動(dòng)速率選擇、支持WMM、強(qiáng)制STA漫游、支持Multi BSSID安全特性WEP(WEP64/WEP128/W

38、EP152)、WPA-PSK、WPA2-PSK、WPA、WPA2、WAPI、802.1X認(rèn)證、Web認(rèn)證（支持內(nèi)置Portal）、PPPoE認(rèn)證、防DoS攻擊、ACL控制（支持基于MAC地址和IP地址的接入控制）、STATION二層隔離備份功能1+1、N+1、N+N設(shè)備管理Web、SNMP（v1/v2c/v3）、Telnet、SSH、SHELL物理指標(biāo)電源AC 220V； RPS -48V尺寸440mm*254mm*66.6mm環(huán)境參數(shù)工作濕度（非凝露）5%90 %儲(chǔ)存溫度-4060儲(chǔ)存濕度（非凝露）5%90% 3.7.3 AAS服務(wù)器硬件規(guī)格處理器Intel /AMD 雙核3G內(nèi)存

39、4G硬盤500G固定接口2個(gè)1000M接口長×寬×高尺寸660 x 430 x 88 (mm)輸入電壓600w電源雙電源互備軟件規(guī)格功能點(diǎn)子功能功能描述接入認(rèn)證Non-EAP認(rèn)證PAP認(rèn)證CHAP認(rèn)證EAP認(rèn)證EAP-MD5認(rèn)證EAP-PEAP + MSCHAP V2 認(rèn)證EAP-TLS 認(rèn)證AD代理認(rèn)證PAP認(rèn)證PEAP + MSCHAPv2 認(rèn)證PEAP + GTCTTLS + PAPLDAP代理認(rèn)證PAP認(rèn)證PEAP + GTCTTLS + PAPRadius代理認(rèn)證PEAP + GTC -> PAPTTLS + PAP -> PAPRadius中繼認(rèn)證P

40、AP 認(rèn)證CHAP 認(rèn)證EAP-MD5 認(rèn)證EAP-PEAP + MSCHAP V2 認(rèn)證EAP-TLS 認(rèn)證擴(kuò)展認(rèn)證MAC接入認(rèn)證支持基于不同SSID的MAC地址黑白名單功能認(rèn)證綁定用戶與wlan ssid綁定用戶與接入設(shè)備（AP、交換機(jī)）MAC地址綁定用戶名與證書名綁定用戶與終端MAC綁定用戶自動(dòng)綁定前2次登錄的MAC地址認(rèn)證控制錯(cuò)誤登錄次數(shù)控制重復(fù)登錄次數(shù)控制接入授權(quán)終端授權(quán)支持IP地址下發(fā)授權(quán)支持一個(gè)用戶綁定多個(gè)IP地址支持ACL指令、VLAN配置下發(fā)支持QoS和優(yōu)先級授權(quán)設(shè)備操作授權(quán)支持enable 15級授權(quán)，支持$enable$賬號(hào)進(jìn)行認(rèn)證和授權(quán)，針對不同的用戶可以綁定$enab

41、le$進(jìn)行認(rèn)證（不同用戶該密碼不同）；授權(quán)支持0-15級授權(quán)支持command授權(quán)，能夠支持對管理設(shè)備的command 命名進(jìn)行授權(quán)授權(quán)策略支持根據(jù)分組設(shè)置授權(quán)策略，能夠支持分組方式制定AAA授權(quán)策略。如802.1x接入時(shí)間控制(時(shí)間規(guī)則保持當(dāng)前AAS以實(shí)現(xiàn)的規(guī)則方式，基于有效期和周期日方式的策略，并且這兩種策略可以疊加使用)、ip段的分配、對交換機(jī)的ACL和vlan配置下發(fā)。以上策略可以在單獨(dú)的用戶上配置支持代理認(rèn)證用戶授權(quán)，設(shè)置代理認(rèn)證用戶的授權(quán)規(guī)則，讓不同的代理認(rèn)證用戶在認(rèn)證后擁有對應(yīng)的權(quán)限，例如：ACL、VLAN等，需要考慮授權(quán)策略優(yōu)先支持基于時(shí)間授權(quán)，支持基于有效期和周期日方式的策略

42、，并且這兩種策略可以疊加使用用戶管理用戶組管理用戶組的IP地址段范圍設(shè)置、時(shí)間段有效規(guī)則配置用戶配置用戶數(shù)據(jù)過濾、用戶賬號(hào)、PAP密碼、CHAP密碼、分配IP地址、終端屬性綁定、用戶時(shí)間段有效規(guī)則等參數(shù)管理用戶安全帳號(hào)用戶密碼策略控制用戶監(jiān)控在線用戶的監(jiān)控與管理用戶統(tǒng)計(jì)管理統(tǒng)計(jì)有效用戶、無效用戶信息，支持Excel報(bào)表導(dǎo)出支持根據(jù)時(shí)間查詢出即將過期的用戶，并可以多選后批量重新設(shè)置有效期和密碼支持根據(jù)時(shí)間段統(tǒng)計(jì)用戶“活躍度”（登錄次數(shù)），并根據(jù)“活躍度“進(jìn)行排序AD用戶同步從AD服務(wù)器同步用戶帳號(hào)用戶密碼修改提供web頁面，供用戶自助修改密碼證書管理生成證書生成服務(wù)器認(rèn)證證書安裝證書安裝服務(wù)器證

43、書日志管理用戶登錄日志管理用戶登錄訪問日志管理管理員操作日志管理管理員操作日志管理主備服務(wù)器日志同步主備服務(wù)器日志同步數(shù)據(jù)管理數(shù)據(jù)導(dǎo)出數(shù)據(jù)備份導(dǎo)出備份數(shù)據(jù)數(shù)據(jù)導(dǎo)入導(dǎo)入數(shù)據(jù)文件數(shù)據(jù)同步主備服務(wù)器數(shù)據(jù)同步批量用戶導(dǎo)入導(dǎo)入批量用戶數(shù)據(jù)雙機(jī)備份支持雙機(jī)備份支持雙機(jī)備份，保證系統(tǒng)可靠性支持定時(shí)從主機(jī)同步用戶信息到備機(jī)，定時(shí)時(shí)間可配置;支持備機(jī)log可以實(shí)時(shí)同步到主機(jī)3.7.4 Portal服務(wù)器功能點(diǎn)子功能功能描述Portal接入用戶身份認(rèn)證Portal可接受用戶認(rèn)證請求，通過Portal協(xié)議與設(shè)備交互，完成認(rèn)證過程，并通知用戶認(rèn)證結(jié)果用戶主動(dòng)下線用戶點(diǎn)擊web按鈕，可實(shí)現(xiàn)主動(dòng)下線，退出網(wǎng)絡(luò)訪問支持穿越

44、NAT接入認(rèn)證支持接入設(shè)備（例如：AC）在NAT后面的場景，實(shí)現(xiàn)NAT穿越支持動(dòng)態(tài)驗(yàn)證碼驗(yàn)證登錄時(shí)支持動(dòng)態(tài)隨機(jī)驗(yàn)證碼，防止惡意密碼猜測支持通過短信獲取動(dòng)態(tài)密碼用戶在Portal登錄頁面輸入自己的身份標(biāo)識(shí)信息（身份證號(hào)或者銀行卡號(hào)）、手機(jī)號(hào)后，Portal網(wǎng)關(guān)將身份信息送到后臺(tái)服務(wù)器進(jìn)行保存，然后通過短信方式下發(fā)密碼給來賓用戶手機(jī)，來賓用戶將該密碼填寫在Portal界面后就可以訪問無線網(wǎng)絡(luò)資源。終端無感知認(rèn)證支持用戶在第一次登錄輸入用戶名、密碼登錄成功后，在后續(xù)登錄過程中，可直接進(jìn)行登錄網(wǎng)絡(luò)，無需輸入用戶名和密碼頁面定制推送頁面定制支持Portal認(rèn)證成功后，由Portal服務(wù)器推送定制頁面給終

45、端，定制內(nèi)容包括快速鏈接、廣告背景頁面等Portal服務(wù)器客戶定制用戶可在Portal服務(wù)器定制登錄頁面Title、圖片，登陸后頁面左邊欄鏈接和主界面背景圖片；用戶管理查看所有在線用戶信息支持查看當(dāng)前所有在線用戶信息，包括用戶名、登錄時(shí)間、使用時(shí)長；查看當(dāng)前用戶信息支持用戶查看自己當(dāng)前登錄時(shí)長、登錄時(shí)間信息可強(qiáng)制下線指定用戶管理員可強(qiáng)制下線指定用戶雙機(jī)備份支持雙機(jī)備份支持雙Portal服務(wù)器備份，當(dāng)一個(gè)Portal服務(wù)器停機(jī)后，另外一臺(tái)Portal服務(wù)器可以在3秒內(nèi)接替其工作3.7.5 NetManager網(wǎng)管軟件特性網(wǎng)絡(luò)發(fā)現(xiàn)基于IP范圍的發(fā)現(xiàn)根據(jù)IP地址范圍發(fā)現(xiàn)網(wǎng)絡(luò)手動(dòng)添加設(shè)備手動(dòng)添加單個(gè)設(shè)備基于AC發(fā)現(xiàn)無線網(wǎng)絡(luò)基于AC發(fā)現(xiàn)由AC控制的無線網(wǎng)絡(luò)基于種子文件的發(fā)現(xiàn)根據(jù)種子文件發(fā)現(xiàn)設(shè)備自動(dòng)發(fā)現(xiàn)自動(dòng)發(fā)現(xiàn)邁普無線設(shè)備拓?fù)涔芾硗負(fù)鋱D支持分級背景地圖支持定制背景地圖支持拖拉移動(dòng)、縮放、打印功能全屏拓?fù)滹@示支持網(wǎng)絡(luò)拓?fù)浞謱臃旨墝?dǎo)航和管理支持廣域網(wǎng)鏈路拓?fù)浒l(fā)現(xiàn)拓?fù)渥詣?dòng)更新拓