煙草進修學院無線校園網(wǎng)解決方案

1、煙草進修學院無線校園網(wǎng) 解決方案 華三通信技術有限公司華三通信技術有限公司 2011 年年 04 月月 目目 錄錄 1 1概述概述.4 2 2需求分析需求分析.4 2.1總體要求 .4 2.2覆蓋范圍 .5 2.3技術要求 .5 3 3H3CH3C 無線校園網(wǎng)建設方案無線校園網(wǎng)建設方案.7 3.1整體方案 .7 3.2無線校園網(wǎng)管理方案.8 3.3安全方案 .12 3.3.1防ARP病毒.12 3.3.2無線入侵檢測.12 3.3.3室內設備物理安全性.13 4 4H3CH3C 方案特點與優(yōu)勢方案特點與優(yōu)勢 .14 4.1H3C 一體化無線校園解決方案更穩(wěn)定：.14 4.2H3C 一體化無線校

2、園解決方案高安全：.17 4.3H3C 一體化無線校園解決方案易管理：.19 4.4H3C 一體化無線校園解決方案可擴展：.20 4.5H3C 一體化無線校園解決方案全業(yè)務：.21 5 5產(chǎn)品配置方案產(chǎn)品配置方案.22 6 6方案涉及產(chǎn)品介紹方案涉及產(chǎn)品介紹.22 6.1H3C WX5000 系列無線控制器.22 6.1.1產(chǎn)品簡介.22 6.2H3C WA2620-AGN 無線接入點.24 6.2.1產(chǎn)品簡介.24 6.2.2產(chǎn)品特點.25 6.2.3產(chǎn)品規(guī)格.28 6.3IMC WSM 無線運營管理組件.31 6.3.1產(chǎn)品簡介.31 6.3.2產(chǎn)品特點.31 6.3.3運行環(huán)境.35 6

3、.4S5120-28P-HPWR-SI.35 6.4.1產(chǎn)品概述.35 6.4.2產(chǎn)品特點.36 7 7H3CH3C 售后服務結構及保障體系售后服務結構及保障體系 .38 7.1服務組織結構 .38 7.2服務及時性保障 .40 7.3服務有效性保障 .41 1 1 概述概述 無線局域網(wǎng)（WLAN）技術于 20 世紀 90 年代逐步成熟并投入商用，既可以作傳統(tǒng)有線 網(wǎng)絡的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線網(wǎng)絡。無線局域網(wǎng)具有以下顯著特點： 簡易性：WLAN 網(wǎng)橋傳輸系統(tǒng)的安裝快速簡單，可極大的減少敷設管道及布線等繁 瑣工作； 靈活性：無線技術使得 WLAN 設備可以靈活的進行安裝并調整位置，

4、使無線網(wǎng)絡達 到有線網(wǎng)絡不易覆蓋的區(qū)域； 綜合成本較低：一方面 WLAN 網(wǎng)絡減少了布線的費用，另一方面在需要頻繁移動和 變化的動態(tài)環(huán)境中，無線局域網(wǎng)技術可以更好地保護已有投資。同時，由于 WLAN 技術本身就是面向數(shù)據(jù)通信領域的 IP 傳輸技術，因此可直接通過百兆自適應網(wǎng)口 和企業(yè)、學校內部 Intranet 相連，從體系結構上節(jié)省了協(xié)議轉換器等相關設備； 擴展能力強：WLAN 網(wǎng)橋系統(tǒng)支持多種拓撲結構及平滑擴容，可以十分容易地從小 容量傳輸系統(tǒng)平滑擴展為中等容量傳輸系統(tǒng)； 隨著 WLAN 技術的快速發(fā)展和不斷成熟，目前在國內外具有較多的中大規(guī)模應用，諸如 荷蘭的阿姆斯特丹市的全城覆蓋，諸如

5、無線上海、無線杭州的無線城市，向客戶提供各種 業(yè)務。 2 2 需求分析需求分析 總體要求總體要求 無線網(wǎng)工程的總體原則如下： 側重實際應用，覆蓋園區(qū)內區(qū)域，為教學、科研、辦公及學習、生活、交流提供切實 可用的、穩(wěn)定的無線網(wǎng)絡環(huán)境。 采取先進通行的協(xié)議標準，即目前無線局域網(wǎng)普遍采用 802.11 系列標準，無線局域網(wǎng) 提供 802.11a、802.11b、802.11g、802.11n 標準的聯(lián)網(wǎng)支持，提供可供實際應用的 穩(wěn)定網(wǎng)絡通訊服務。 實現(xiàn)室內無線網(wǎng)絡的合理分布，考慮室內實現(xiàn)無線網(wǎng)絡的不同情況和特點以及目前園 區(qū)室內手提電腦用戶數(shù)量日益增多的情況，應采取合理的布網(wǎng)方式滿足現(xiàn)在以及未 來發(fā)展

6、的需要。 新建網(wǎng)絡需要實現(xiàn)與現(xiàn)有的無線網(wǎng)和有線網(wǎng)的網(wǎng)絡融合與統(tǒng)一管理。 在實施無線覆蓋工程時，如無特別說明，以考慮信號覆蓋范圍為主，單個 AP 的并發(fā)用 戶數(shù)及每用戶無線上網(wǎng)帶寬不作為工程的重要因素予以考慮。 所有學生宿舍樓宇主要采用室外照射方式進行覆蓋。對于部分學生宿舍樓宇，在保證 信號覆蓋的前提下，如果不較大的提高綜合成本，樓內的部署方式將更為可取。 無線系統(tǒng)須具備對無線 AP 進行統(tǒng)一控制、管理的軟硬件平臺，軟硬件控制、管理平臺 所提供的網(wǎng)元 License 數(shù)量與實際網(wǎng)元數(shù)量相匹配并易于擴充，軟硬件控制、管理 平臺的采購、安裝、調試工作由系統(tǒng)集成商負責。 無線網(wǎng)系統(tǒng)必須實現(xiàn)與有線網(wǎng)現(xiàn)有

7、認證系統(tǒng)對接，從而實現(xiàn)校園有線網(wǎng)與無線網(wǎng)的統(tǒng) 一身份認證。 2.2 覆蓋范圍覆蓋范圍 本次建設覆蓋范圍是全樓宇覆蓋，主要是三個樓宇，分別是 2 號樓，8 號樓，新樓， 通過無線 802.11n 覆蓋，要求交換機能夠提供 POE 功能，實現(xiàn)全樓宇的無盲區(qū)高速有 效無線覆蓋： （1）2 號樓： 2 號樓有 6 層，每層布置 3 臺 802.11n AP， 。 。 。 （2）8 號樓： 8 號樓有 7 層，每層布置 4 臺 802.11n AP， 。 。 。 （3）新樓： 新樓有 7 層，每層布置 3 臺 802.11n AP， 。 。 。 2.3 技術要求技術要求 室內無線 AP 輸出點信號強度2

8、0dbm，室外無線 AP 輸出信號強度-73dbm 無線接入點供電方式需采用 IEEE802.3af POE 交換機遠程供電 為了滿足大容量并且以備擴容和發(fā)展，室內無線 AP 要求必須支持兩個射頻模 塊，可以工作在 2.4GHz 和 5.8GHz 頻段 為了滿足室內美觀和覆蓋要求，室內無線 AP 必須采用吸頂天線方式，天線要 求工作在 2.4GHz 和 5.8GHz 頻段范圍。 無線接入點（AP）必須支持 IEEE802.11a、IEEE802.11b、 IEEE802.11g、IEEE802.11n 三種無線傳輸協(xié)議 無線 AP 必須支持通過 802.3 af 兼容的 POE 交換機供電 要

9、求本項目中 95%以上的無線 AP 需要使用 POE 交換機接入校園網(wǎng)，投標方須 根據(jù)無線 AP 總數(shù)量配備所需 POE 交換機數(shù)量及 POE 模塊數(shù)量 無線 AP 必須支持無線用戶的隔離功能，以防止在公共區(qū)域無線用戶間的信 息泄露 無線 AP 自身具備智能的、無需要輔助設備就可根據(jù)周圍電磁波環(huán)境的變化， 自動進行頻道最優(yōu)化設置，以達到最優(yōu)化覆蓋的目的 無線 AP 之間可根據(jù)相互通告來獲取對方連接的用戶數(shù)量及流量，從而實現(xiàn) AP 的負載均衡，并支持用戶在不同 AP 間平滑漫游 無線 AP 支持射頻(RF)信號加密特性，支持 802.11i 安全標準，提供 WPA2 認 證機制可同時提供 TKI

10、P 以及 AES 加密方式，且 AP 具有自動識別客戶端兩種加 密請求方式 無線 AP 支持 SNMP Vi/Vii 管理及支持 Watchdog 功能 無線系統(tǒng)的用戶認證頁面需要能夠支持個性化定制，并完成與校園網(wǎng)當前使 用的認證系統(tǒng)對接，從而實現(xiàn)無線用戶上網(wǎng)時的接入認證，以達到對校園網(wǎng)上網(wǎng) 用戶進行統(tǒng)一認證及管理的目的 無線系統(tǒng)須支持 WPA 以及 WPA2 認證，支持 WPA/WPA2 安全規(guī)范，支持標 準的 802.1x 認證流程，內嵌 Radius Server，支持 EAP-MD5，EAP-TLS，EAP- TTLS，PEAP 等多種認證協(xié)議 系統(tǒng)須支持 WEBDHCP 認證，認證過

11、程支持 SSL 的加密技術 系統(tǒng)須支持基于 MAC 地址的認證，以及用戶賬號與 MAC 地址的綁定認證 系統(tǒng)能夠對用戶進行訪問控制（ACL）和策略路由，可建立完整的訪問控制 列表 采用大容量控制器覆蓋簡化管理，投標方需要明確投標方案中控制器可管理 的 AP 數(shù)量以及擴展能力 系統(tǒng)必須具備擴展性，需要不更換控制器設備就能提供對 802.11n 設備的支 持 無線 AP 支持射頻(RF)信號加密特性，支持 802.11i 安全標準，提供 WPA2 認 證機制可同時提供 TKIP 以及 AES 加密方式，且 AP 具有自動識別客戶端兩種加 密請求方式 系統(tǒng)必須支持基于二層的用戶隔離 系統(tǒng)必須支持 P

12、ortal 業(yè)務，Portal Server 支持可定制的 Portal 頁面 系統(tǒng)必須提供 Web 和 SSH 方式管理；支持 SNMP v2/v3 網(wǎng)管協(xié)議 實現(xiàn)對現(xiàn)有網(wǎng)絡系統(tǒng)的融合解決方案，包括不同在 AP 之間、不同交換機之 間、不同控制器之間的漫游解決方案，以及與現(xiàn)有有線和無線網(wǎng)絡管理系統(tǒng)的融 合方案。 本項目預計室內 AP 數(shù)目為 67 個。 3 3 H3CH3C無線校園網(wǎng)建設方案無線校園網(wǎng)建設方案 整體方案整體方案 基于網(wǎng)絡的先進性考慮,本次煙草進修學院無線園區(qū)網(wǎng)項目采用目前主流的無線控 制器+瘦 AP 的架構,在實現(xiàn)對校園進行無縫覆蓋的同時,又能夠實現(xiàn)對無線網(wǎng)絡的靈活 管理配置

13、,提高網(wǎng)絡維護效率 由于本次項目所需室內外 AP 總數(shù) 67 臺，所以在本次無線園區(qū)網(wǎng)解決方案采用高 性能無線控制器 WX5004,WX5004 放在網(wǎng)絡核心，實現(xiàn)對于本期無線園區(qū)網(wǎng)中所有的室 內 AP 的統(tǒng)一管理。H3C WX5004 高端無線控制器基礎可管理 64 個 AP，通過軟件升級最 大可管理 256 個 AP，完全能夠管理本次項目所需的室內 AP；室內型 AP 采用 WA2620- AGN 雙頻 AP，WA2620-AGN 支持兩個射頻模塊，可以同時工作在 2.4GHz 和 5GHz，在設 備數(shù)量不變的情況下，把網(wǎng)絡的介入容量提高一倍，以滿足 WLAN 用戶快速增長的需求； PoE

14、 交換機采用 S5120-28P-HPWR-SI 和 S5120-28P-PWR-SI，S5120-28P-HPWR-SI 和 S5120-28P-PWR-SI 系列 PoE 交換機最大分別提供 375W 和 375W 的供電功率，可以滿 足 24 口同時接 AP 的供電需求；管理方面，建議部署有線無線一體化管理軟件，通過 WSM 無線業(yè)務管理組件的方式實現(xiàn)對無線控制器、室內 AP 設備的統(tǒng)一管理。 具體的核心設備拓撲圖和各樓拓撲圖如下所示： 3.2 無線校園網(wǎng)管理方案無線校園網(wǎng)管理方案 H3C 無線運營管理組件（WSM）在下一代業(yè)務軟件平臺 iMC 的基礎上進行開發(fā)，不 僅為用戶提供了靈活的

15、組件選擇，同時符合業(yè)界主流的 SOA 架構，具備良好的擴展性， 能夠滿足客戶網(wǎng)絡管理不斷發(fā)展的需求?；?Web 的管理系統(tǒng)，為無線業(yè)務管理者提 供了簡便、友好的管理平臺。與 iMC 智能管理平臺及其它組件配合，還可實現(xiàn)無線設 備的面板管理、故障管理、性能監(jiān)控、軟件版本管理、配置文件管理、接入用戶管理、 用戶認證管理等功能，并可對網(wǎng)絡中的其它設備進行統(tǒng)一管理，真正實現(xiàn)有線無線一 體化管理。 組件的主要功能和特點如下： 1. 無線有線一體化管理 H3C 無線運營管理組件（WSM）作為 iMC 智能管理中心的無線業(yè)務管理核心，對于網(wǎng)絡 中的 AC、FAT AP、AC、FIT AP、移動終端等無線設

16、備與有線設備進行一體化集中管理， 全網(wǎng)設備信息和狀態(tài)一目了然。網(wǎng)絡資源通過多種視圖進行查看，視圖內分組管理， 將規(guī)模巨大的無線接入設備有效組織，便于用戶維護。 2. 多樣化的拓撲管理 H3C 無線運營管理組件（WSM）中的無線業(yè)務邏輯拓撲幫助用戶直觀了解網(wǎng)絡部署情況 及設備/鏈路當前狀態(tài)。系統(tǒng)可根據(jù)不同的方式組織資源，有效進行拓撲分組、真實組 織全網(wǎng)資源。物理位置視圖中用戶可根據(jù)需要創(chuàng)建多緯度、多層次的物理位置結構， 并在指定建筑物底圖上根據(jù)真實情況擺放設備，逼近真實網(wǎng)絡環(huán)境。 無線有線一體化拓撲 3. 無線終端定位和漫游記錄審計 H3C 無線運營管理組件（WSM）可以直接在拓撲圖中對移動終端

17、的信息進行查看，包括 MAC 地址、信號強度、發(fā)射速率集、RSSI、SSID、使用信道、所在 AC 設備、所在 AP 設 備等，并能查看各移動終端的全部漫游記錄，使用戶隨時了解最終接入用戶的情況， 并對其接入軌跡進行審計。 無線終端漫游記錄審計 4. RF覆蓋管理和無線網(wǎng)絡規(guī)劃 在實際無線環(huán)境的部署和維護中，需要關注無線設備的 RF 范圍、覆蓋管理以及無線網(wǎng) 絡規(guī)劃擴容問題。H3C 無線運營管理組件（WSM）可以用很直觀的拓撲圖表示出無線網(wǎng) 絡中的 RF 狀況。 無線 RF 覆蓋狀況 5. 無線入侵檢測和防護 無線網(wǎng)絡靈活多變，并且基礎設施不可見，因此比有線網(wǎng)絡更容易遭到越權使用。對 于這類問

18、題，H3C 無線運營管理組件（WSM）提供了 Rogue 設備檢測功能，可對無線入 侵進行檢測，可明確顯示非法接入設備，并對其進行信息查詢、加入黑名單及發(fā)起攻 擊等動作。 無線入侵檢測和防護 6. 豐富的無線統(tǒng)計報表 對網(wǎng)絡進行運營管理需要對網(wǎng)絡進行全方位的監(jiān)控，從網(wǎng)絡各種性能指標、告警指標 中進行智能的統(tǒng)計和分析，才能有效從整體對網(wǎng)絡狀況進行衡量。H3C 無線運營管理組 件（WSM）提供了豐富的無線統(tǒng)計報表查詢和定制功能，以幫助管理員對網(wǎng)絡進行綜合 而全面的管理。 3.3 安全方案安全方案 防 ARP 病毒 ARP 欺騙攻擊不僅會造成聯(lián)網(wǎng)不穩(wěn)定，引發(fā)用戶無法上網(wǎng)，或者企業(yè)斷網(wǎng)導 致重大生產(chǎn)事

19、故，而且利用 ARP 欺騙攻擊可進一步實施中間人攻擊，以此非法獲 取到文件服務等系統(tǒng)的帳號和口令，對被攻擊者造成利益上的重大損失。因此 ARP 欺騙攻擊是一種非常惡劣的網(wǎng)絡攻擊行為。 無線局域網(wǎng)由于帶寬相對較窄，而且同一個 AP 下的所有用戶都共享帶寬，所 以一有用戶中 ARP 病毒，頻繁發(fā)送 ARP 報文，對網(wǎng)絡的影響比有線更大。 針對無線網(wǎng)絡的特點，H3C 創(chuàng)新的在 WLAN 上提供防 ARP 病毒方案，首先同一 個 AP 的同一個 SSID 下的用戶缺省啟動用戶隔離，這樣用戶發(fā)送的 ARP 報文不會 被轉發(fā)給其他用戶，其次 H3C ARP 攻擊防御解決方案通過對客戶端、接入交換機 和網(wǎng)關

20、三個控制點實施自上而下的“全面防御”，并且能夠根據(jù)不同的網(wǎng)絡環(huán)境 和客戶需求進行“模塊定制”，為用戶提供多樣、靈活的 ARP 攻擊防御解決方案。 H3C 提供兩類 ARP 攻擊防御解決方案：監(jiān)控方式，認證方式。監(jiān)控方式主要 適用于動態(tài)接入用戶居多的網(wǎng)絡環(huán)境，認證方式主要適用于認證方式接入的網(wǎng)絡 環(huán)境；實際部署時，建議分析網(wǎng)絡的實際場景，選擇合適的攻擊防御解決方案。 另外，結合 H3C 獨有的 iMC 智能管理中心，可以非常方便、直觀的配置網(wǎng)關綁定 信息，查看網(wǎng)絡用戶和設備的安全狀況，不僅有效的保障了網(wǎng)絡的整體安全，更 能快速發(fā)現(xiàn)網(wǎng)絡中不安全的主機和 ARP 攻擊源，并迅速做出反映。 3.3.2

21、 無線入侵檢測 H3C 的 WIDS 目前主要包括下面三個特性： 非法設備檢測； 入侵檢測； 無線用戶接入控制（黑名單和白名單）； 非法設備檢測比較適合于大型的 WLAN 網(wǎng)絡。通過在已有的 WLAN 網(wǎng)絡中部署 非法設備檢測功能，可以對整個 WLAN 網(wǎng)絡中的異常設備進行監(jiān)視，并且可以根據(jù) 需要對非法的設備進行防攻擊處理（在實際的網(wǎng)絡應用中，可以啟動防攻擊功能， 即 WIDS 會盡量阻止非法的設備提供服務或者接入到無線網(wǎng)絡）。非法設備檢測可 以檢測并且分類 WLAN 網(wǎng)絡中的多種設備，例如非法 AP，非法無線終端，非法無 線網(wǎng)橋等等。 入侵檢測主要為了及時發(fā)現(xiàn) WLAN 網(wǎng)絡中的有意或者無意

22、的攻擊，通過記錄信 息或者日志方式通知網(wǎng)絡管理者。根據(jù)入侵檢測的結果，網(wǎng)絡管理者可以及時調 整網(wǎng)絡的配置，去除 WLAN 網(wǎng)絡的不安全因素，保證 WLAN 網(wǎng)絡不再受到攻擊。目 前 H3C 的入侵檢測主要包括 802.11 報文 Flood 攻擊檢測、AP Spoof 檢測以及 Weak IV 檢測，而且其中 Flood 攻擊檢測可以根據(jù)不同類型的報文進行攻擊檢測。 接入控制根據(jù)特定的屬性實現(xiàn)了對無線客戶端接入 WLAN 網(wǎng)絡的權限控制。目 前 WIDS 接入控制主要根據(jù) MAC 地址進行規(guī)則控制，并且支持兩種控制規(guī)則：黑名 單和白名單。其中白名單只能通過手動進行配置；而黑名單同時支持手動配置

23、方 式和動態(tài)添加方式，入侵檢測系統(tǒng)和非法設備檢測模塊檢測到非法攻擊，可以動 態(tài)地將該非法設備添加到黑名單中，后續(xù)所有從該設備接收到的報文會被直接丟 棄，從而保護了 WLAN 網(wǎng)絡不再受到該非法設備的攻擊。 3.3.3 室內設備物理安全性 H3C WA2600 自身支持物理防盜設計，位于設備頂部，可以用于將 AP 設備 與固定支架鎖定，起到一定的防盜作用。 4 4 H3CH3C方案特點與優(yōu)勢方案特點與優(yōu)勢 H3C 一體化無線校園解決方案有效實現(xiàn)了有線和無線網(wǎng)絡的融合，通過統(tǒng)一的硬件平 臺、統(tǒng)一的網(wǎng)絡管理、統(tǒng)一的用戶管理、統(tǒng)一的應用安全，為校園用戶提供安全的無線接 入。根據(jù)用戶需求。H3C 通過

24、WSM 智能無線管理組件為網(wǎng)絡管理員提供了圖形化、一體化 管理能力，可以高效地管理有線/無線網(wǎng)絡。 H3C 一體化無線校園解決方案一體化無線校園解決方案更穩(wěn)定：更穩(wěn)定： H3C WLAN 穩(wěn)定性解決方案從無線控制器的可靠性，接入交換機供電的可靠性、無線信 號的可靠性這幾方面入手，極大的提高了 WLAN 網(wǎng)絡的可靠性；在實際的使用情況來看，啟 用這些措施之后，WLAN 的可靠性能夠得到明顯的提升。 無線控制器無線控制器 1+11+1 冗余備份：冗余備份： H3C 無線控制器產(chǎn)品支持 AC 之間的 N+1 備份，以下通過介紹 AP 選擇接入的 AC 過程來 說明 AC 間的備份： 1)AP 在發(fā)現(xiàn)

25、 AC 的過程中，會向 AC 發(fā)送接入請求報文；AC 在收到接入請求后，會向 AP 發(fā)接入回應報文，其中包含了該 AC 上的負載信息（AC 允許接入的最大 AP 數(shù)， 當前接入的 AP 數(shù)，允許接入的最大 STA 數(shù)，當前接入的 STA 數(shù)），和 AP 在此 AC 上的接入優(yōu)先級； 2)AP 在接收到 AC 的回應報文后，會選擇接入優(yōu)先級高的 AC 接入。如果優(yōu)先級相同， 則根據(jù) AC 的接入負載情況來判斷。 3)AP 通過比較各 AC 上 （允許接入的最大 AP 數(shù) - 當前接入的 AP 數(shù)），并選取值 最大的 AC 接入。如果此值相同，則根據(jù)當前接入 AC 的無線用戶數(shù)判斷。 4)AP 通

26、過比較各 AC 上（允許接入的最大 STA 數(shù) - 當前接入的 STA 數(shù)），并選取值 大的 AC 接入。 5)如相等，則隨機接入。 6)通過 CAPWAP 隧道的心跳機制，AP 可及時發(fā)現(xiàn)控制器 DOWN，同時根據(jù)上述方法重 新選擇一個負載輕的 AC 接入，從而實現(xiàn) AC 的 N+1 備份。 H3CH3C 實時無線資源管理：實時無線資源管理： H3C 實時無線資源管理解決方案提供了實時閉環(huán)的無線資源管理，包括了如下步驟： 掃描 每個接入點啟動后，通過 CAPWAP 協(xié)議與無線控制器建立隧道，并從無線控制器獲取基 本的配置。無線控制器負責協(xié)調網(wǎng)絡中的無線接入點執(zhí)行掃描過程。通過定期的信道掃描，

27、 系統(tǒng)能夠分析和了解信道的質量、干擾情況、鄰居接入點的分布等。 分析 無線控制器將對無線接入點定期上報的數(shù)據(jù)進行聚合分析。這些數(shù)據(jù)包括： 干擾：其他工作在 802.11 頻段的無線網(wǎng)絡對無線介質的影響。 噪音：非 802.11 信號，如雷達、藍牙、無繩電話、微波等等對信號的影響。 丟包率：包差錯率（由于隱藏的節(jié)點或信號變形） 信道負載：用來衡量媒介的繁忙程度。 有效信號強度：在一定時間內觀察到的每個鄰居的信號強度和整個信道的平 均信號強度。 這些數(shù)據(jù)將幫助無線控制器構建無線網(wǎng)絡的完整視圖，為管理控制提供決策數(shù)據(jù)。 決策 利用前期分析的數(shù)據(jù)，無線控制器將采用智能的算法對射頻資源進行優(yōu)化和調整，以

28、 適應無線環(huán)境的變化。 系統(tǒng)使用了優(yōu)化的信道和功率選擇算法、加權判斷以及抑制限度，自動評估資源調整 的影響，能夠確保系統(tǒng)的控制是可靠的。 執(zhí)行 無線控制器將新的發(fā)射功率，信道分配等決策發(fā)送到接入點，接入點負責使能這些配 置。系統(tǒng)提供了兩種控制模式：參考模式和立即模式，增加了系統(tǒng)使用的靈活性。參考模 式下，系統(tǒng)不進行實際的控制策略執(zhí)行，只是給出建議的功率、信道的設定值，管理員可 以決定是否執(zhí)行這些配置，確保了用戶控制的靈活性。立即模式下，將根據(jù)系統(tǒng)計算出的 信道等參數(shù)進行立即的設置。 上述過程是閉環(huán)過程，一旦配置下發(fā)以后，控制器將持續(xù)監(jiān)視網(wǎng)絡環(huán)境。任何無線環(huán) 境的變化與波動都會被定期記錄下來，為

29、下一輪的優(yōu)化作準備。 全面的全面的 PoEPoE 解決方案：解決方案： PoE 設備的原理是通過非屏蔽雙絞線中四對線中的兩對線來傳輸電源，傳輸數(shù)據(jù)的同 時傳輸直流電。因為 AP 往往要求使用不間斷電源（UPS）供應電力，采用 PoE 設備，AP 端 僅僅通過一根 RJ-45 網(wǎng)線與網(wǎng)絡連接即可以同時傳輸數(shù)據(jù)和電力，因此在使用 PoE 設備的 情況下，所有的 AP 都使用一個 UPS 在 PoE 設備端進行保護。如果不使用 PoE 設備，就需要 給每個 AP 配一個 UPS，而且還需要在 AP 附近安裝電源插座，增加了成本。因此使用 PoE 設備將大大降低設備成本和管理成本。 PoE 具有非常明

30、顯的優(yōu)勢，具體如下： 簡化安裝，降低成本，不需為每個網(wǎng)絡設備單獨提供數(shù)據(jù)和電力線纜。 靈活性提高，網(wǎng)絡裝置可被安裝在任何位置，而不需靠近一個已存在的電源 輸出口。 可靠性增強，有 SNMP 能力的 PoE 裝置，可實施遠程檢測和控制，能有效地處 理或修理裝置的耗電量和（或）失效故障。 H3C 能夠提供全面的 PoE 解決方案，產(chǎn)品涵蓋從高端到低端的全系列產(chǎn)品，H3C PoE 解決方案使用工業(yè)級設計，同時能夠提供全面的管理: 4.2 H3C 一體化無線校園解決方案一體化無線校園解決方案高安全：高安全： H3C 一體化無線校園解決方案在遵循 IEEE 802.11i 協(xié)議和國家 WAPI 標準的基

31、礎上， 創(chuàng)新性的提出了分層的安全體系架構，將 WLAN 的安全從單一的物理層安全延伸到了物理層 安全、用戶接入安全、網(wǎng)絡層安全、設備安全、安全管理多個層面上，使用戶在使用 WLAN 網(wǎng)絡時能夠像使用有線網(wǎng)絡一樣安全、可靠。 無線物理安全： H3C 公司的無線產(chǎn)品支持以下的加密機制：WEP 加密、TKIP 加密、CCMP 加密、WAPI 加 密。 其中，WAPI 采用國家密碼管理委員會辦公室批準的公鑰密碼體制的橢圓曲線密碼算法 和對稱密碼體制的分組密碼算法，分別用于 WLAN 設備的數(shù)字證書、證書鑒別、密鑰協(xié)商 和傳輸數(shù)據(jù)的加解密。 在無線設備安全方面，H3C 的 FIT AP 提供“零配置”功

32、能，在設備上不保存業(yè)務配置， 而是每次啟動的時候從無線控制器動態(tài)加載業(yè)務配置，這樣可以有效避免設備丟失造成配 置泄漏。此外，用戶在采用 H3C 公司的無線控制器FIT AP 組網(wǎng)時，都需要預先在無線控 制器上設置部署的 AP 序列號。當這些 AP 啟動和無線控制器建立關聯(lián)時，無線控制器會檢 查 AP 上報的序列號信息，只有這些預先授權的 AP 才能接入無線控制器使用，防止非法 FIT AP 接入網(wǎng)絡。 無線用戶安全： 通過用戶接入認證實現(xiàn)了對校園無線接入用戶的身份認證，為網(wǎng)絡服務提供了安全保 護。H3C 無線接入認證主要有 802.1x 接入認證、PSK 認證、MAC 接入認證以及在有線校園

33、網(wǎng)中常用的 portal 認證等。通過和 AAA 服務器配合，H3C 的無線設備支持對認證用戶動態(tài) 下發(fā)帶寬、VLAN、ACL、優(yōu)先級等參數(shù)，對于不同的用戶群和業(yè)務可以控制其訪問網(wǎng)絡的權 限，限制網(wǎng)絡資源的使用，通過 VLAN 和優(yōu)先級來標識用戶和業(yè)務，并做到業(yè)務隔離。 無線網(wǎng)絡安全： 為了保證無線用戶和整個校園網(wǎng)絡的安全，僅僅保證接入點的安全性是遠遠不夠的。 H3C 推出了無線 EAD 解決方案，該方案從網(wǎng)絡用戶終端準入控制入手，整合網(wǎng)絡接入控制 與終端安全產(chǎn)品，通過安全客戶端、安全策略服務器、網(wǎng)絡設備以及第三方軟件的聯(lián)動， 對接入網(wǎng)絡的用戶終端強制實施企業(yè)安全策略，嚴格控制終端用戶的網(wǎng)絡使

34、用行為，加強 網(wǎng)絡用戶終端的主動防御能力，保護網(wǎng)絡安全。 H3C 的無線產(chǎn)品支持 EAD 接入控制方式，配合 iNode 無線/有線統(tǒng)一客戶端可以實現(xiàn)有 線，無線用戶使用統(tǒng)一的客戶端進行認證，結合 H3C 公司的服務器，H3C 公司給用戶提供 了有線無線一體化的整體安全解決方案。 此外，H3C 的無線產(chǎn)品支持完善的無線入侵檢測系統(tǒng)，可以自動監(jiān)測非法設備，并適 時上報網(wǎng)管中心，同時對非法設備的攻擊可以進行自動防護，最大程度地保護無線網(wǎng)絡。 針對煙草進修學院目前現(xiàn)狀，已經(jīng)在有線網(wǎng)絡部署了 UAM 用戶接入管理的認證，無線 網(wǎng)絡也可以通過 UAM 實現(xiàn)有線無線統(tǒng)一認證。 4.3 H3C 一體化無線校

35、園解決方案一體化無線校園解決方案易管理：易管理： 基于多年的積累和對用戶網(wǎng)絡的深入理解，H3C 智能管理中心平臺為用戶提供了實用、 易用的網(wǎng)絡管理功能，在網(wǎng)絡資源的集中管理基礎上，實現(xiàn)拓撲、故障、性能等管理功能， 不僅提供功能，更通過流程向導的方式告訴用戶如何使用功能滿足業(yè)務需求，為用戶提供 了網(wǎng)絡精細化管理最佳的工具軟件。 H3C iMC 能夠在一套系統(tǒng)中實現(xiàn)對有線網(wǎng)絡、無線控制器、無線 AP、PoE 交換機等有 線、無線校園網(wǎng)涉及的所有設備的統(tǒng)一管理，避免了有線無線網(wǎng)絡采用不同的管理系統(tǒng)帶 來的維護管理的割裂，因此能夠更方便的實現(xiàn)無線校園網(wǎng)的配置管理，降低維護工作量。 此外，H3C 公司提

36、供了自學習的、智能的、實時的無線資源管理系統(tǒng)。具有下列主要 優(yōu)勢： 實時分析無線資源 無線接入點將定期自動掃描信道，以發(fā)現(xiàn)網(wǎng)絡的拓撲結構，信道負載，干擾情況 等。 自動分配無線信道 自動為每個無線接入點分配無線信道，并且能夠根據(jù)網(wǎng)絡中的干擾變化，鄰居接 入點的信道使用情況等動態(tài)地調整無線信道的分配。 自動設置發(fā)射功率 能夠自動為每個無線接入點調整發(fā)射功率，以保證無線網(wǎng)絡的覆蓋和容量。 自我修復網(wǎng)絡 當某個接入點失效造成了網(wǎng)絡存在無線信號覆蓋黑洞時，這個區(qū)域周圍的接入點 將立即檢測到覆蓋黑洞并通過發(fā)射功率的調整來修復黑洞。 可擴展的系統(tǒng) 隨著網(wǎng)絡規(guī)模的不斷擴大，新的接入點加入到網(wǎng)絡中，系統(tǒng)能夠自

37、動為它們分配 射頻資源而又不影響現(xiàn)有的無線網(wǎng)絡。 干擾檢測和避免 無線環(huán)境是經(jīng)常變化的。藍牙、微波爐、鄰居 WLAN 網(wǎng)絡等都會對客戶的網(wǎng)絡產(chǎn) 生干擾影響，系統(tǒng)能夠自動檢測到這些干擾并進行干擾避免。 實時監(jiān)視網(wǎng)絡健康 系統(tǒng)為管理員提供了充分的數(shù)據(jù)來監(jiān)視 WLAN 網(wǎng)絡的監(jiān)控，包括信道利用率，干 擾，接入點信道分配等，使管理員對網(wǎng)絡的運行狀況一目了然。 實時負載均衡 系統(tǒng)能夠實時在無線網(wǎng)絡中平衡負荷，從而保證網(wǎng)絡的吞吐和性能。 總之，H3C 實時無線資源管理特性降低了管理成本，實現(xiàn)了網(wǎng)絡的自分析、自自 配置和自修復。 4.4 H3C 一體化無線校園解決方案一體化無線校園解決方案可擴展：可擴展：

38、IPv6IPv6： H3C 所有有線和無線產(chǎn)品全部使用共同的操作系統(tǒng)平臺，Commware 平臺，Commware V5.0 版本全面支持 IPV6，使用 Commware 操作系統(tǒng)的設備可以同時支持 IPV6 和 IPV4 雙棧工作， 設備既可以工作在 IPV4 環(huán)境，也可以工作在 IPV6 環(huán)境，同時還可以工作在 IPV4 和 IPV6 混合組網(wǎng)環(huán)境。 H3C 的無線控制器和無線 AP 都使用 Commware V5 平臺，因此，H3C WLAN 解決方案既可 以工作域 IPV4，也可以工作于 IPV6 環(huán)境，也就是 AP 和 AC 可以完全工作于 IPV6 環(huán)境；而 其他廠商由于操作系統(tǒng)

39、不能支持 IPV6，所以 WLAN 設備對 IPV6 的支持都是透傳，也就是 AP 和 AC 在網(wǎng)絡中直接把 IPV6 報文封裝在 CAPWAP 隧道中，但 AP 和 AC 不能使用 IPV6 地址工 作，因此在一個純 IPV6 環(huán)境中，無法工作。 4.5 H3C 一體化無線校園解決方案一體化無線校園解決方案全業(yè)務：全業(yè)務： H3C 無線校園網(wǎng)解決方案提供 VoWiFi、無線監(jiān)控、頁面推送等業(yè)務，解決了校園內部 和校區(qū)之間通訊費用高、無線監(jiān)控和無線多媒體教學以及不同部門網(wǎng)頁個性化頁面推送的 問題，讓無線接入變得更有價值。 基于用戶的流量管理：基于用戶的流量管理： H3C FAT AP 能夠通過

40、兩種方式實現(xiàn)流量管理：一種方式是基于用戶數(shù)自動平均調整每 個用戶的接入帶寬；另一種方式是指定每用戶的接入帶寬。通過此兩種方式的流量管理， 可以防止 P2P 業(yè)務占用帶寬導致其他用戶無法正常使用網(wǎng)絡的情況。此外，H3C FIT AP 解 決方案可以實現(xiàn)基于用戶的權限和流量管理，可以設定每個用戶所占用的帶寬，實現(xiàn)精確 流量管理，配合 H3C 有線網(wǎng)絡，可以實現(xiàn)端到端的 QoS，從而達到承載語音、視頻等時延 敏感的業(yè)務的目的。 VoWiFiVoWiFi 語音解決方案：語音解決方案： WiFi 語音終端設備利用現(xiàn)有的 WLAN 網(wǎng)絡實現(xiàn)無線的 VoIP 語音通話，這既發(fā)揮了 IP 網(wǎng)絡成本低的特點，又

41、使得用戶獲得 WLAN 帶來的方便性。而對于校園等場所，可針對學生 群體開展 WiFi 語音的內部運營。H3C WLAN 解決方案能夠實現(xiàn)端到端的 QoS，確保數(shù)據(jù)業(yè)務 背景流下，語音業(yè)務流能優(yōu)先傳輸，從而有效保障語音的通話質量。同時能夠實現(xiàn)跨越三 層網(wǎng)絡的快速漫游，使得 WLAN 網(wǎng)絡能夠良好的承載語音業(yè)務。 頁面推送：頁面推送： 根據(jù)不同地理位置，不同用戶，定制 Portal 業(yè)務。H3C 無線控制器內置 Portal server， 能夠實現(xiàn)基于用戶位置和用戶屬性的頁面推送，Portal server 開發(fā)本地數(shù)據(jù)庫，存 儲 BSSID 和 WEB 網(wǎng)頁的對應關系。用戶認證時，Porta

42、l server 根據(jù)用戶接入的 BSSID 推 送給用戶相應的頁面。如：在圖書館，推送圖書館新書信息；在學生宿舍，推送后勤相關 信息等。 5 5 產(chǎn)品配置方案產(chǎn)品配置方案 設備名稱設備名稱單位單位數(shù)量數(shù)量 無線控制器AC臺2 24口千兆PoE供電交換機臺3 12口千兆PoE供電交換機臺1 無線接入點AP臺68 USB無線網(wǎng)卡802.11n雙頻臺10 無線管理軟件套1 6 6 方案涉及產(chǎn)品介紹方案涉及產(chǎn)品介紹 H3C WX5000 系列無線控制器系列無線控制器 6.1.1 產(chǎn)品簡介 H3C WX5000系列無線產(chǎn)品是杭州華三通信技術有限公司(以下簡稱H3C公司) 自主研發(fā)的系列多業(yè)務無線控制器

43、(AC，Access Controller)。H3C WX5000系 列多業(yè)務無線控制器具有容量適中、高可靠性、業(yè)務類型豐富等特點，提供了 豐富的有線數(shù)據(jù)和無線數(shù)據(jù)的處理功能。H3C WX5000系列多業(yè)務無線控制器 集精細的用戶控制管理、完善的RF管理及安全機制、快速漫游、超強的QoS 及IPv4&IPv6等多功能于一體，提供強大的WLAN接入控制功能。H3C WX5000系列多業(yè)務無線控制器定位在企業(yè)網(wǎng)，城域網(wǎng)WLAN接入，是大中型 企業(yè)園區(qū)WLAN接入、無線城域網(wǎng)覆蓋、熱點覆蓋等應用環(huán)境的最理想的接入 控制器。 H3C WX5000系列多業(yè)務無線控制器包括H3C WX5002(-64)、

44、WX5004無線控 制器和LSWM1WCM10、LSWM1WCM20無線控制業(yè)務板，是H3C公司自主 研發(fā)的無線控制器，配合H3C公司自主研發(fā)的Fit AP，可以方便的部署于任何 現(xiàn)有的二層網(wǎng)絡或三層網(wǎng)絡之中，控制器和AP通過IETF制定的CAPWAP協(xié)議 進行互聯(lián)而無需針對現(xiàn)在有網(wǎng)絡進行重新配置。 WX5004基礎規(guī)格支持64個AP，通過license32升級(最多支持6個license32)， 最多可以支持256個AP，4K個無線用戶，可以滿足大型無線網(wǎng)絡的部署需求； WX5002-64基礎規(guī)格支持32個AP，通過license32升級(最多支持1個licnese32)， 最多支持64個A

45、P，2K個無線用戶，可以滿足中型無線網(wǎng)絡的部署需求； LSWM1WCM10為H3C S5800系列交換機大容量無線控制業(yè)務板卡，基礎規(guī) 格支持64個AP，通過license32升級(最多支持6個license32)，最多可以支持 256個AP，4K個無線用戶，可以滿足大型無線網(wǎng)絡的部署需求。 LSWM1WCM20為H3C S5800系列交換機低容量無線控制業(yè)務板卡，基礎規(guī) 格支持32個AP，通過license32升級(最多支持3個licnese32)，最多可以支持 128個AP，2K個無線用戶，可以滿足中型無線網(wǎng)絡的部署需求。 H3C公司使用創(chuàng)新的基于認證的組網(wǎng)來提供網(wǎng)絡服務，這種方法基于用戶

46、身份 而非端口或設備，以便跨越整個網(wǎng)絡實現(xiàn)移動性和安全性。當用戶漫游網(wǎng)絡時， 通過WLAN網(wǎng)絡范圍內的無線控制器的信息交換，以實現(xiàn)在整個網(wǎng)絡范圍內執(zhí) 行一致的訪問和安全策略。同時采用WPA/WPA2和802.1X認證結合的 AES、TKIP以及WEP加密等功能增強了網(wǎng)絡安全。 產(chǎn)品視圖如下： 圖 2 WX5004 多業(yè)務無線控制器設備外觀圖 6.2 H3C WA2620-AGN 無線接入點無線接入點 6.2.1 產(chǎn)品簡介 H3C WA2600系列無線產(chǎn)品是杭州華三通信技術有限公司(H3C)自主研發(fā)的新 一代基于802.11n技術的超百兆高速無線接入設備(以下簡稱AP)，可提供相當 于傳統(tǒng)802

47、.11a/b/g網(wǎng)絡6倍以上的無線接入速率，能夠覆蓋更大的范圍。該系 列無線產(chǎn)品上行接口采用千兆以太網(wǎng)接口接入，突破了百兆以太網(wǎng)接口的限制， 使無線多媒體應用成為現(xiàn)實。WA2600系列無線產(chǎn)品支持Fat和Fit兩種工作模 式，根據(jù)網(wǎng)絡規(guī)劃的需要，可以通過命令行靈活地在Fat和Fit兩種工作模式中 切換。作為瘦AP(Fit AP)時，需要與H3C自主研發(fā)的WX系列無線控制器系列 產(chǎn)品配套使用；作為胖AP(Fat AP)時，可以獨立進行組網(wǎng)。WA2600系列無線 產(chǎn)品支持Fat/Fit兩種工作模式的特性，有利于將客戶的無線網(wǎng)絡由小型網(wǎng)絡平 滑升級到大型網(wǎng)絡，從而很好保護用戶的投資。 WA2620-

48、AGN是WA2600系列無線產(chǎn)品中一款雙頻多模室內型802.11n無線接 入設備，內置6 MIMO天線，外型小巧美觀，安裝方式靈活，適用于壁掛、桌 面和吸頂?shù)热N安裝方式，也可根據(jù)部署場景配合11n專用天線靈活使用。 WA2620-AGN可同時工作在2.4GHz頻段和5GHz頻段，并支持 IEEE802.11a、IEEE802.11b、IEEE802.11g和IEEE802.11n四種模式。 6.2.2 產(chǎn)品特點 實現(xiàn)高性能無線接入和最佳無線網(wǎng)絡TCO WA2620-AGN遵從802.11n協(xié)議標準，采用專業(yè)模塊化設計，單射頻能提供高 達300Mbps的無線接入速度，是相同環(huán)境下802.11a/b/g產(chǎn)品的6倍左右。通過 特有的內置集成智能射頻覆蓋優(yōu)化技術，可以有效地從覆蓋范圍、接入密度、 運行穩(wěn)定等方面提供更高性能的無線接入服務并協(xié)助用戶實現(xiàn)最佳無線網(wǎng)絡 TCO(總擁有成本/Total Cost of Ownership)。 綠色低碳設計 WA2620-AGN采用專業(yè)綠色低碳設計，功耗小于13W，而標準的802.3af(PoE)供 電為15.4W，這就意味著WA2620-AGN可以使用普通PoE交換機(