機(jī)場(chǎng)無(wú)線部署解決方案精編WORD版

1、機(jī)場(chǎng)無(wú)線部署解決方案精編WORD版IBM system office room A0816H-A0912AAAHH-GX8Q8-GNTHHJ8 機(jī)場(chǎng)無(wú)線覆蓋解決方案3.4.1網(wǎng)絡(luò)發(fā)現(xiàn)1 項(xiàng)目概況1.1 項(xiàng)目背景1.2 項(xiàng)目目標(biāo)42 術(shù)語(yǔ)解釋3 總體設(shè)計(jì)方案3.1 無(wú)線網(wǎng)絡(luò)組網(wǎng)規(guī)劃3.2 網(wǎng)絡(luò)高可靠性3. 2.1 AC冗余備份3. 2. 2 DHCP Server 備份3. 3無(wú)線安全設(shè)計(jì)3. 3. 1 WIFI接入及認(rèn)證過(guò)程3. 3. 2無(wú)線數(shù)據(jù)加密3. 3. 3 AC與AP之間的安全認(rèn)證3. 3.4其它無(wú)線安全控制技術(shù)3.4.2拓?fù)涔芾?.4.3無(wú)線網(wǎng)絡(luò)規(guī)劃3.4.4無(wú)線網(wǎng)絡(luò)監(jiān)控133.4.

2、5無(wú)線網(wǎng)絡(luò)安全3.4. 6 AC性能管理3.4. 7網(wǎng)絡(luò)流量分析3.4.8告警管理3.4. 9報(bào)表呈現(xiàn)軟件管理配置管理資產(chǎn)管理任務(wù)和調(diào)度日志管理安全管理3. 5QOS部署3. 5. 1 QOS總體框架153. 5. 2 QoS高優(yōu)先級(jí)業(yè)務(wù)數(shù)據(jù)優(yōu)先保證3. 5.3管理報(bào)文高優(yōu)先級(jí)處理3. 5. 4通過(guò)client QoS修改用戶的優(yōu)先級(jí)3.5.5基于用戶的限速3.6 P0E供電方案3.6. 1 P0E供電模塊供電183.6.2 P0E交換機(jī)供電3. 7網(wǎng)絡(luò)設(shè)備要求3. 7. 1 無(wú)線 AP3. 7.2 AC控制器3. 7. 3 AAS服務(wù)器3. 7. 4 Portal 服務(wù)器3. 7. 5 Ne

3、tManager 網(wǎng)管1項(xiàng)目概況1.1項(xiàng)目背景暫無(wú)1 . 2項(xiàng)目目標(biāo)暫無(wú)2 術(shù)語(yǔ)解釋W(xué)LAN：無(wú)線局域網(wǎng)絡(luò)(Wireless Local Area Networks： WLAN)是相肖便利的數(shù)據(jù)傳 輸系統(tǒng)，它利用射頻(Radio Frequency； RF)的技術(shù)，取代舊式礙手礙腳的雙絞銅線 (Coaxial)所構(gòu)成的局域網(wǎng)絡(luò)，使得無(wú)線局域網(wǎng)絡(luò)能利用簡(jiǎn)單的存取架構(gòu)讓用戶透過(guò) 它，達(dá)到信息隨身化、便利走天下的理想境界。無(wú)線AP： AP是(Wireless) Access Point的縮寫(xiě),即(無(wú)線)訪問(wèn)接入點(diǎn)。如果無(wú)線網(wǎng) 卡可比作有線網(wǎng)絡(luò)中的以太網(wǎng)卡，那么AP就是傳統(tǒng)有線網(wǎng)絡(luò)中的HUB,也是目前

4、組建 小型無(wú)線局域網(wǎng)時(shí)最常用的設(shè)備。瘦AP：無(wú)線接入點(diǎn)(AP, Access Point)也稱無(wú)線網(wǎng)橋、無(wú)線網(wǎng)關(guān)，也就是所謂的 “瘦” APo此無(wú)線設(shè)備的傳輸機(jī)制相當(dāng)于有線網(wǎng)絡(luò)中的集線器，在無(wú)線局域網(wǎng)中不停地接收和傳送數(shù)據(jù);任何一臺(tái)裝有無(wú)線網(wǎng)卡的PC均可通過(guò)AP來(lái)分享有線局域網(wǎng)絡(luò)甚 至廣域網(wǎng)絡(luò)的資源。理論上，當(dāng)網(wǎng)絡(luò)中增加一個(gè)無(wú)線AP之后，即可成倍地?cái)U(kuò)展網(wǎng)絡(luò) 覆蓋直徑;還可使網(wǎng)絡(luò)中容納更多的網(wǎng)絡(luò)設(shè)備。每個(gè)無(wú)線AP基本上都擁有一個(gè)以太網(wǎng)接口，用于實(shí)現(xiàn)無(wú)線與有線的連接。AC：無(wú)線接入控制服務(wù)器，接入控制器(AC)無(wú)線局域網(wǎng)接入控制設(shè)備，負(fù)責(zé)把來(lái)自 不同AP的數(shù)據(jù)進(jìn)行匯聚并接入Intemet,同時(shí)完成

5、AP設(shè)備的配置管理、無(wú)線用戶的 認(rèn)證、管理及寬帶訪問(wèn)、安全等控制功能。POE： POE (Power Over Ethernet)指的是在現(xiàn)有的以太網(wǎng)Cat. 5布線基礎(chǔ)架構(gòu)不作任 何改動(dòng)的情況下，在為一些基于IP的終端(如IP電話機(jī)、無(wú)線局域網(wǎng)接入點(diǎn)AP、網(wǎng) 絡(luò)攝像機(jī)等)傳輸數(shù)據(jù)信號(hào)的同時(shí).，還能為此類設(shè)備提供直流供電的技術(shù)。POE技術(shù) 能在確?，F(xiàn)有結(jié)構(gòu)化布線安全的同時(shí)保證現(xiàn)有網(wǎng)絡(luò)的正常運(yùn)作，最大限度地降低成 本。802.11g：在2. 4GHz頻段，是一種能支持較高數(shù)據(jù)傳輸速率(154Mbit/s),采用 微蜂窩、微微蜂窩結(jié)構(gòu)，自主管理的計(jì)算機(jī)局域網(wǎng)絡(luò)。802. Hi：無(wú)線安全標(biāo)準(zhǔn)，wpa

6、是其子集，規(guī)定使用802. 1X認(rèn)證和密鑰管理方式，在 數(shù)據(jù)加密方面，定義了 TKIP、CCMP和WRAP三種加密機(jī)制。802.Hn： Wi-Fi聯(lián)盟為了實(shí)現(xiàn)高帶寬、高質(zhì)量的WLAN服務(wù)，使無(wú)線局域網(wǎng)達(dá)到以太 網(wǎng)的性能水平，802. 11任務(wù)組制定了 N (TGn),將無(wú)線局域網(wǎng)的傳輸速率從802. Ha 和802. 11g的54Mbps增加至300Mbps以上，最高速率可達(dá)600Mbps,采用OFDM技 術(shù)、MIMO (多入多出)技術(shù)。WEP： WEP是Wired Equivalent Privacy的簡(jiǎn)稱，有線等效保密(WEP)協(xié)議是對(duì)在兩 臺(tái)設(shè)備間無(wú)線傳輸?shù)臄?shù)據(jù)進(jìn)行加密的方式，用以防止非

7、法用戶竊聽(tīng)或侵入無(wú)線網(wǎng)絡(luò)。WPA：英文縮寫(xiě)：WPA (Wi-Fi Protected Access) WPA是一種基于標(biāo)準(zhǔn)的可互操作的 WLAN安全性增強(qiáng)解決方案，可大大增強(qiáng)現(xiàn)有以及未來(lái)無(wú)線局域網(wǎng)系統(tǒng)的數(shù)據(jù)保護(hù)和訪問(wèn)控制水平。WPA源于正在制定中的IEEE802. Hi標(biāo)準(zhǔn)并將與之保持前向兼容。WPA2： WPA2是經(jīng)由Wi-Fi聯(lián)盟驗(yàn)證過(guò)的IEEE 802. lli標(biāo)準(zhǔn)的認(rèn)證形式。WPA2實(shí)現(xiàn)了 802. lli的強(qiáng)制性元素1,特別是Michael算法由公認(rèn)徹底安全的CCMP訊 息認(rèn)證碼所取代、而RC4也被AES取代。WPA/WPA2企業(yè)版：Wi-Fi聯(lián)盟已經(jīng)發(fā)布了在WPA及WPA2企業(yè)版的

8、認(rèn)證計(jì)劃里增加 EAP (可擴(kuò)充認(rèn)證協(xié)定)的消息，這是為了確保通過(guò)WPA企業(yè)版認(rèn)證的產(chǎn)品之間可以 互通。先前只有EAP-TLS (Transport Layer Security)通過(guò)Wi-Fi聯(lián)盟的認(rèn)證。SSID： SSID是Service Set Identifier的縮寫(xiě)，意思是：服務(wù)集標(biāo)識(shí)。SSID技術(shù)可 以將一個(gè)無(wú)線局域網(wǎng)分為幾個(gè)需要不同身份驗(yàn)證的子網(wǎng)絡(luò)，每一個(gè)子網(wǎng)絡(luò)都需要獨(dú)立 的身份驗(yàn)證，只有通過(guò)身份驗(yàn)證的用戶才可以進(jìn)入相應(yīng)的子網(wǎng)絡(luò)，防止未被授權(quán)的用 戶進(jìn)入本網(wǎng)絡(luò).。無(wú)線漫游：當(dāng)網(wǎng)絡(luò)環(huán)境存在多個(gè)AP，且它們的微單元互相有一定范圍的重合時(shí)，無(wú)線 用戶可以在整個(gè)WLAN覆蓋區(qū)內(nèi)移動(dòng)，無(wú)

9、線網(wǎng)卡能夠自動(dòng)發(fā)現(xiàn)附近信號(hào)強(qiáng)度最大的 AP,并通過(guò)這個(gè)AP收發(fā)數(shù)據(jù)，保持不間斷的網(wǎng)絡(luò)連接，這就稱為無(wú)線漫游。數(shù)字證書(shū)：數(shù)字證書(shū)就是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，提供了 一種在Internet上驗(yàn)證您身份的方式，它是由一個(gè)由權(quán)威機(jī)構(gòu)CA機(jī)構(gòu)，乂稱為證書(shū)授權(quán)(Certificate Authority)中心發(fā)行的，人們可以在網(wǎng)上用它來(lái)識(shí)別對(duì)方 的身份。數(shù)字證書(shū)是一個(gè)經(jīng)證書(shū)授權(quán)中心數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公 開(kāi)密鑰的文件。最簡(jiǎn)單的證書(shū)包含一個(gè)公開(kāi)密鑰、名稱以及證書(shū)授權(quán)中心的數(shù)字簽 名。數(shù)字證書(shū)是一種權(quán)威性的電子文檔，由權(quán)威公正的第三方機(jī)構(gòu)，即CA中心簽發(fā)的證書(shū)。3總體設(shè)計(jì)

10、方案3.1 無(wú)線網(wǎng)絡(luò)組網(wǎng)規(guī)劃組網(wǎng)說(shuō)明在機(jī)場(chǎng)核心交換機(jī)分別旁掛1臺(tái)或多臺(tái)AC無(wú)線控制器，通過(guò)1+1方式實(shí)現(xiàn)冗余備份，在機(jī)場(chǎng)無(wú)線熱點(diǎn)區(qū)域部署多個(gè)瘦AP o根據(jù)現(xiàn)有機(jī)場(chǎng)有線的網(wǎng)絡(luò)的部署情況，無(wú) 線AP與AC控制器間通過(guò)二層或三層實(shí)現(xiàn)互聯(lián)互通，AC工作在集中轉(zhuǎn)發(fā)模式，所有無(wú) 線終端的業(yè)務(wù)數(shù)據(jù)通過(guò)AC進(jìn)行集中轉(zhuǎn)發(fā)。機(jī)場(chǎng)無(wú)線AP手動(dòng)配置自身IP地址，與AC的IP地址實(shí)現(xiàn)隧道互聯(lián)，無(wú)線終端的IP 地址通過(guò)DHCP動(dòng)態(tài)獲取，網(wǎng)關(guān)指向機(jī)場(chǎng)的核心交換機(jī)，建議部署兩臺(tái)DHCP服務(wù)器， 在核心交換機(jī)上配置DHCP中繼，分別指向兩臺(tái)DHCP服務(wù)器，實(shí)現(xiàn)對(duì)DHCP服務(wù)器的 冗余備份。機(jī)場(chǎng)無(wú)線AP采取WPA2的無(wú)線加密認(rèn)證

11、方式。無(wú)線終端上行的802.11的數(shù)據(jù)報(bào)文通 過(guò)AP重新封裝到802. 3格式以太報(bào)文中，直接發(fā)給AC,由AC進(jìn)行過(guò)濾識(shí)別后進(jìn)行轉(zhuǎn) 發(fā)，這個(gè)過(guò)程實(shí)現(xiàn)了 WLAN無(wú)線的數(shù)據(jù)和現(xiàn)有業(yè)務(wù)的數(shù)據(jù)隔離。注意事項(xiàng)：因無(wú)線的數(shù)據(jù)均采用集中轉(zhuǎn)發(fā)方式，所以在無(wú)線終端間進(jìn)行數(shù) 據(jù)訪問(wèn)時(shí).，也需要數(shù)據(jù)通過(guò)AC集中轉(zhuǎn)發(fā)而訪問(wèn)，增加了不必要的網(wǎng)絡(luò)開(kāi) 銷，我們建議禁止無(wú)線終端間的數(shù)據(jù)訪問(wèn)業(yè)務(wù)。設(shè)備配置說(shuō)明設(shè)備名稱部署設(shè)備型號(hào)數(shù)量設(shè)備說(shuō)明無(wú)線控制器WNC6000-1000-ACX臺(tái)AC控制器，支持1024個(gè)AP接入室內(nèi)APWA2000-213W-PEX臺(tái)單頻、單模，室內(nèi)2.4G增強(qiáng) 型室內(nèi) APo 802. 11 （ b、

12、 g、 n ），外置天線， 100mw放裝型，POE受電方 式。支持wapi o室外APWA2000-362W-PTEX臺(tái)WA2000-362W-PTE,無(wú)線，雙 頻、雙模，2.4G、5. 8G增強(qiáng)型 室外 APo 802. 11 （ a、b、 g、 n ），外置天線， 500mw +500mw 放裝型，PTE 受電方式。支持wapiAAS服務(wù)器AccessAuthenticationserver1邁普設(shè)備接入認(rèn)證服務(wù)器（基本型、含硬件），2個(gè)以太口AAS-L-2000X2000個(gè)License認(rèn)證用戶數(shù),單一系統(tǒng)支持多個(gè)License累加Portal軟件PortalAuthenticatio

13、n1Portal認(rèn)證服務(wù)器中文版Server短信網(wǎng)關(guān)Maipu SMS-CN1MaipuSMS-CN,電信制式短信網(wǎng)關(guān)無(wú)線網(wǎng)管軟件MaipuNetManager1多業(yè)務(wù)智能管理平臺(tái)（專業(yè) 版，中英文版，無(wú)最多可管理 網(wǎng)絡(luò)設(shè)備數(shù)量限制）NM-W1anManager1無(wú)線業(yè)務(wù)管理組件NM-L-500軟件許可，每個(gè)許可可增加500個(gè)設(shè)備節(jié)點(diǎn)授權(quán)許可3.2 網(wǎng)絡(luò)高可靠性3. 2.1 AC冗余備份AC無(wú)線控制器采用，1+1冗余備份方式，在核心交換機(jī)分別旁掛1臺(tái)或多臺(tái)AC無(wú)線 控制器，通過(guò)1+1方式實(shí)現(xiàn)冗余備份，保證了整個(gè)無(wú)線網(wǎng)絡(luò)的高可靠性。根據(jù)無(wú)線AP的 規(guī)模來(lái)確定AC的容量。在備機(jī)房放置同等數(shù)量和容量

14、的AC,實(shí)現(xiàn)完備的1+1冗余備份。1+1冗余備份方式，需要從兩個(gè)層面來(lái)保證設(shè)備和網(wǎng)絡(luò)的冗余可靠性。首先，AC和備份AC之間的管理通道保持有快速心跳檢測(cè)機(jī)制，心跳時(shí)間根據(jù)網(wǎng)絡(luò) 的質(zhì)量可以配置，建議為200ms到5s之間。心跳報(bào)文在兩端AC和整個(gè)通道的網(wǎng)絡(luò)設(shè)備之 間采用高優(yōu)先級(jí)保證。同時(shí)，主AC和備份AC之間能定期和實(shí)時(shí)的同步AP, client的各種狀態(tài)。這樣，備份AC能實(shí)時(shí)監(jiān)控主AC的活動(dòng)狀況。一旦主AC出現(xiàn)宕機(jī)等事件，備份 AC收不到主AC的心跳報(bào)文，立即通知該主AC管理的原AP,實(shí)行切換。其次，AC和所管理的AP之間的管理通道保持有心跳檢測(cè)機(jī)制。這種機(jī)制中除了檢 測(cè)AC的狀態(tài)之外，還可以檢

15、測(cè)整個(gè)網(wǎng)絡(luò)通道是否可達(dá)。心跳時(shí)間根據(jù)網(wǎng)絡(luò)的質(zhì)量可以配 置，建議為5s到20s之間。1+1的備份方式在部署時(shí)，AP需要配置主用AC和備用AC的 地址列表，我們采用靜態(tài)指定的方式，在AP上寫(xiě)入主備AC的IP地址，當(dāng)主AC出現(xiàn)宕機(jī) 或者主機(jī)房網(wǎng)絡(luò)出現(xiàn)故障，訪問(wèn)不可達(dá)的情況下，AP主動(dòng)發(fā)現(xiàn)并切換到備AC上。3. 2. 2 DHCP Server 備份DHCP SERVER備份實(shí)現(xiàn)機(jī)制：在機(jī)場(chǎng)主機(jī)房搭建主DHCP SERVER和備用DHCP SERVER；通過(guò)核心交換機(jī)做DHCP RELAY ,分別指向主、備DHCP SERVER,在正常情況 下，用戶端從主DHCP服務(wù)器獲取地址，當(dāng)主DHCP SERV

16、ER宕機(jī)的情況下，用戶從備 DHCP SERVER獲取地址。該功能的實(shí)現(xiàn)需要在核心交換機(jī)上配置兩條DHCP RELAY命 令。3.3無(wú)線安全設(shè)計(jì)由于無(wú)線接入的開(kāi)放性，因此無(wú)線接入安全是部署無(wú)線網(wǎng)絡(luò)的重中之重。當(dāng)前兼容性 最好、可實(shí)現(xiàn)性最高的無(wú)線安全接入方式就是結(jié)合數(shù)字證書(shū)的WPA2身份認(rèn)證及數(shù)據(jù)加密 技術(shù)。3. 3.1 WIFI接入及認(rèn)證過(guò)程為滿足用戶可以更方便快捷的使用WIFI熱點(diǎn)，并且乂能夠?qū)尤胗脩艉戏ㄐ赃M(jìn)行確 認(rèn)，本方案設(shè)計(jì)采用AAS+Portal+短信方式認(rèn)證。Web認(rèn)證機(jī)場(chǎng)WIFI用戶使用手機(jī)或者pad自動(dòng)搜索到機(jī)場(chǎng)WIFI熱點(diǎn)，在連接的時(shí)候會(huì)自動(dòng)重 定向到本地Portal頁(yè)面上，

17、給用戶推送一個(gè)Web認(rèn)證界面。當(dāng)用戶再次通過(guò)HTTP協(xié)議上 互聯(lián)網(wǎng)時(shí)，會(huì)觸發(fā)Portal認(rèn)證，后端的Portal認(rèn)證服務(wù)器會(huì)推送一個(gè)Web認(rèn)證頁(yè)面到用 戶終端上。用戶在WEB認(rèn)證界面填寫(xiě)自己的手機(jī)號(hào)，點(diǎn)擊獲取隨機(jī)密碼，則用戶填寫(xiě)的手 機(jī)號(hào)對(duì)應(yīng)的手機(jī)會(huì)收到一條短信，獲取到一個(gè)隨機(jī)密碼，川戶通過(guò)該手機(jī)號(hào)碼及短信收到 的隨機(jī)密碼進(jìn)行Web認(rèn)證。認(rèn)證通過(guò)后系統(tǒng)允許用戶終端上網(wǎng)，并且返回一個(gè)認(rèn)證通過(guò)的 頁(yè)面，再次根據(jù)用戶所在的公交車位置信息判斷推送不同的廣告信息；AAS服務(wù)器AAS是基于AAA的認(rèn)證系統(tǒng)，在本方案中主要功能為配合Portal服務(wù)器為用戶提供 身份認(rèn)證。AAS也可以通過(guò)代理方式與運(yùn)營(yíng)商或者

18、上級(jí)AAA系統(tǒng)進(jìn)行對(duì)接，能夠直接與營(yíng) 運(yùn)商的用戶庫(kù)（如手機(jī)號(hào)等信息）共享，避免用戶信息多點(diǎn)維護(hù)。AAS認(rèn)證的用戶名基于 運(yùn)營(yíng)商用戶庫(kù)，所以有效的避免了其他運(yùn)營(yíng)商的用戶接入占用資源的問(wèn)題。該系統(tǒng)允許所 有運(yùn)營(yíng)商的用戶能使用。3. 3. 2無(wú)線數(shù)據(jù)加密WPA2使用加密性能更好、安全性更高的加密算法：AES-CCMP （Advanced Encryption Standard - Counter mode with Cipher-block chaining Message authentication code Protocol,高級(jí)加密標(biāo)準(zhǔn)一計(jì)數(shù)器模式密碼區(qū)塊鏈接消息身份驗(yàn)證代碼協(xié)議），其主要有

19、 如下幾點(diǎn)改進(jìn)：使用128位AES加密算法實(shí)現(xiàn)機(jī)密性保護(hù)，數(shù)據(jù)完整性保護(hù)，自動(dòng)重新生 成密鑰對(duì)以派生新的數(shù)據(jù)加密密鑰，使用數(shù)據(jù)包編號(hào)字段實(shí)現(xiàn)防重播。AES-CCMP在 802. IX身份驗(yàn)證過(guò)程動(dòng)態(tài)創(chuàng)建一組主從密鑰，并由該從主密鑰對(duì)和其他值派生出數(shù)據(jù)加密所需的臨時(shí)密鑰，避免了 WPA-PSK主密鑰需事先定義而可能泄露的弊端。3.3. 3 AC與AP之間的安全認(rèn)證為了保證AC與AP之間的訪問(wèn)安全，尤其是防止黑客或者攻擊者從市場(chǎng)上購(gòu)買同一品 牌的AP,私自接入機(jī)場(chǎng)網(wǎng)絡(luò)，進(jìn)行各種高級(jí)攻擊。因此需要加強(qiáng)AC和AP之間的安全認(rèn) 證。最簡(jiǎn)單的認(rèn)證是MAC地址認(rèn)證，部署過(guò)程中可以將系統(tǒng)中的合法AP的MAC地

20、址統(tǒng)一 記錄在Radius或者AC上。AP在跟AC關(guān)聯(lián)進(jìn)行集中管理時(shí)，都需要在AC上通過(guò)mac地 址認(rèn)證才能允許AP接入無(wú)線網(wǎng)絡(luò)；其次是密碼認(rèn)證，第一次部署過(guò)程中需要在AP上設(shè)置相關(guān)密碼；AP在跟AC關(guān)聯(lián)進(jìn) 行集中管理時(shí)，都需要在AC上通過(guò)密碼認(rèn)證才能允許AP接入無(wú)線網(wǎng)絡(luò)；注：前面兩種方式都是單向認(rèn)證，在AC上認(rèn)證接入AP：還有一種更安全的方式是數(shù) 字證書(shū)認(rèn)證，我們采用的X. 509數(shù)字證書(shū)認(rèn)證方法。該認(rèn)證方法是雙向認(rèn)證，除了 AC上 認(rèn)證AP的證書(shū)，同時(shí)在AP上還需要驗(yàn)證AC的證書(shū)，充分保證網(wǎng)絡(luò)設(shè)備的合法性。在首 次部署的時(shí)候，需要將相關(guān)證書(shū)下發(fā)到設(shè)備上。AP運(yùn)行過(guò)程中，跟AC關(guān)聯(lián)進(jìn)行集中管

21、理 時(shí)，就會(huì)啟動(dòng)該雙向認(rèn)證，成功后才能允許AP接入無(wú)線網(wǎng)絡(luò)。3. 3. 4其它無(wú)線安全控制技術(shù)其它無(wú)線安全技術(shù)主要體現(xiàn)如下幾方面：SSID隱藏：隱藏?zé)o線對(duì)外服務(wù)標(biāo)識(shí)，類似在開(kāi)放的環(huán)境中隱藏接入端口，保護(hù)無(wú)線接 入。無(wú)線用戶接入時(shí)段控制：根據(jù)業(yè)務(wù)需要，限制終端用戶通過(guò)無(wú)線接入的時(shí)間區(qū)間，可 以實(shí)現(xiàn)在非工作時(shí)間外禁止接入網(wǎng)絡(luò)。無(wú)線用戶訪問(wèn)權(quán)限控制：可以在無(wú)線接入控制器上實(shí)現(xiàn)ACL控制，放行移動(dòng)終端業(yè)務(wù) 的目標(biāo)地址，阻斷其它應(yīng)用，通過(guò)ACL控制訪問(wèn)權(quán)限。無(wú)線用戶速率控制：通過(guò)限制每個(gè)無(wú)線終端的速率，防止各種惡意或無(wú)意的高速率訪 問(wèn)，確保其它用戶通過(guò)無(wú)線接入的接入速率、接入穩(wěn)定性。無(wú)線用戶相互隔離：對(duì)

22、通過(guò)無(wú)線接入的終端實(shí)現(xiàn)隔離，阻斷相互之間的通信，不僅實(shí) 現(xiàn)安全管理，也可避免終端之間的相互影響。3.4無(wú)線網(wǎng)絡(luò)管理整個(gè)無(wú)線網(wǎng)絡(luò)統(tǒng)一進(jìn)行無(wú)線網(wǎng)絡(luò)設(shè)備管理，無(wú)線網(wǎng)絡(luò)的可管理性在整體項(xiàng)目中將起到 非常重要的作用。根據(jù)機(jī)場(chǎng)的應(yīng)用需求，我們提出實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的“云管理”方案。簡(jiǎn)單來(lái)說(shuō)，無(wú)線網(wǎng)絡(luò)管理分成以下三層管理架構(gòu)：網(wǎng)管軟件對(duì)AC的管理：主要聚焦在網(wǎng)管軟件對(duì)各個(gè)AC的狀態(tài)監(jiān)控，并對(duì)AC進(jìn) 行權(quán)限管理及監(jiān)控。網(wǎng)管軟件對(duì)AP的管理：主要聚焦在網(wǎng)管軟件對(duì)分布在全國(guó)任意網(wǎng)點(diǎn)的AP的追溯 管理，包括每臺(tái)AP下的終端接入數(shù)，終端流量，終端應(yīng)用。網(wǎng)管軟件對(duì)無(wú)線終端的管理：主要聚焦在網(wǎng)管軟件對(duì)接入到全國(guó)任意網(wǎng)點(diǎn)的所有

23、無(wú)線終端的管理，包括終端流量等等。通過(guò)以上三方面不同層次的網(wǎng)絡(luò)管理，使得無(wú)線網(wǎng)絡(luò)的管理更可控。3. 4. 6 AC性能管理基于IP范圍發(fā)現(xiàn)AC,手動(dòng)添加設(shè)備基于AC發(fā)現(xiàn)無(wú)線網(wǎng)絡(luò)，自動(dòng)添加設(shè)備3. 4. 2拓?fù)涔芾碇С志W(wǎng)絡(luò)拓?fù)鋱D的自動(dòng)生成及拖拉縮放，支持網(wǎng)絡(luò)拓?fù)浞謱臃旨?jí)導(dǎo)航和管理及自動(dòng)更 新支持網(wǎng)絡(luò)拓?fù)鋱D的手動(dòng)定制及定制連接支持物理連接和邏輯連接，并在拓?fù)渖巷@示連接屬性，如端口、貸款及連接狀態(tài)3. 4.3無(wú)線網(wǎng)絡(luò)規(guī)劃支持無(wú)線分級(jí)地圖3.4.4無(wú)線網(wǎng)絡(luò)監(jiān)控支持在各AC管轄下的無(wú)線AP列表支持列出客戶端列表:包括活動(dòng)客戶端列表、客戶端列表歷史、信噪比等3. 4.5無(wú)線網(wǎng)絡(luò)安全支持統(tǒng)一安全策略：統(tǒng)一安

24、全策略的創(chuàng)建及安全策略的下發(fā)和部署支持無(wú)線安全防護(hù)：包括Rogue AP列表，Rogue Client列表，Rogue設(shè)備反制及無(wú)線入侵事件列表等支持AC性能監(jiān)控，及性能數(shù)據(jù)的管理3. 4.7網(wǎng)絡(luò)流量分析支持網(wǎng)絡(luò)流量數(shù)據(jù)采集標(biāo)準(zhǔn)(Cisco NetFlow, sFlow等)支持帶寬使用統(tǒng)計(jì)網(wǎng)絡(luò)性能瓶頸發(fā)現(xiàn)輸出網(wǎng)絡(luò)流量報(bào)告，支持基于圖形化和數(shù)據(jù)表格方式的網(wǎng)絡(luò)流量詳細(xì)報(bào)告3. 4. 8告警管理支持告警定義，告警呈現(xiàn)，告警管理及相應(yīng)的告警操作。3. 4. 9報(bào)表呈現(xiàn)支持表格和圖形混合展現(xiàn)的報(bào)表呈現(xiàn)方式可手動(dòng)、自動(dòng)生成報(bào)表，并自動(dòng)發(fā)送報(bào)表3. 4.10軟件管理支持軟件包管理及AC、AP軟件自動(dòng)升級(jí)3.

25、 4.11配置管理支持批量配置管理，配置文件管理3.4.12資產(chǎn)管理支持設(shè)備資產(chǎn)管理，設(shè)備資產(chǎn)信息收集和展示，并定期自動(dòng)同步3. 4.13任務(wù)和調(diào)度支持任務(wù)的查詢/修改/制定，從而實(shí)現(xiàn)按時(shí)批量任務(wù)實(shí)現(xiàn)支持一次性任務(wù)調(diào)度、周期性任務(wù)調(diào)度，并輸出任務(wù)執(zhí)行日志，并回報(bào)任務(wù)執(zhí)行結(jié)果 通知3. 4.14日志管理可記錄日志，包括網(wǎng)管日志，網(wǎng)元操作日志，安全日志及網(wǎng)元日志等可操作日志，包括設(shè)置、轉(zhuǎn)儲(chǔ)、查詢和打印等并可對(duì)日志進(jìn)行定期清理3. 4.15安全管理可對(duì)用戶組進(jìn)行安全管理，包括用戶管理、管理域等可實(shí)現(xiàn)第三方認(rèn)證和授權(quán)，支持RADIUS, TACCS, LDAP3.5 QOS部署3. 5.1 QOS總體

26、框架通過(guò)WMM協(xié)議，使802. 11在鏈路層和MAC層提供支持QoS的無(wú)線網(wǎng)絡(luò)接入服務(wù)，加 上有線網(wǎng)絡(luò)原有的應(yīng)用層、IP層的QoS策略，提供了無(wú)線設(shè)備端到端的QoS支持能力， 以無(wú)線終端Clientl發(fā)送報(bào)文到Client2為例說(shuō)明Qos總體框架?？傮w框架中提供兩大部分QoS部署：一是從client到AP之間的無(wú)線QoS部署，該部分主要是對(duì)于空中的無(wú)線報(bào)文 （802.11報(bào)文）進(jìn)行各種QoS管理和配置。對(duì)于語(yǔ)音和視頻等高優(yōu)先級(jí)流量進(jìn)行調(diào) 度；二是從AP到AC之間的有線QoS部署，該部分主要是對(duì)于以太網(wǎng)報(bào)文（802. 3報(bào)文） 進(jìn)行各種QoS管理和配置。因?yàn)闊o(wú)線報(bào)文達(dá)到APB,就接入了有線網(wǎng)絡(luò)，

27、報(bào)文也就 是從802. 11格式轉(zhuǎn)為802. 3格式，進(jìn)行有線網(wǎng)絡(luò)轉(zhuǎn)發(fā)。3. 5. 2 QoS高優(yōu)先級(jí)業(yè)務(wù)數(shù)據(jù)優(yōu)先保證WMM QoS至lj 802. 3的CoS之間的映射：AP收至1J 802. 11報(bào)文后，AP將其中WMM QoS字 段轉(zhuǎn)換為802. 3的CoS字段的值，保證無(wú)線用戶的優(yōu)先級(jí)信息能夠保持不變，高優(yōu)先級(jí) 數(shù)據(jù)優(yōu)先處理。內(nèi)部?jī)?yōu)先級(jí)到外部?jī)?yōu)先級(jí)的映射（未來(lái)實(shí)現(xiàn)）：數(shù)據(jù)被封裝到隧道后，內(nèi)部的優(yōu)先級(jí) 不能被其它網(wǎng)絡(luò)設(shè)備識(shí)別，因此必須將內(nèi)部的優(yōu)先級(jí)映射到外部網(wǎng)絡(luò)。AP在封裝隧道數(shù) 據(jù)時(shí)，會(huì)把內(nèi)部?jī)?yōu)先級(jí)映射到隧道數(shù)據(jù)的外部，保證其它網(wǎng)絡(luò)設(shè)備也能按照用戶數(shù)據(jù)的優(yōu)先級(jí)進(jìn)行轉(zhuǎn)發(fā)。AC對(duì)于QoS優(yōu)

28、先級(jí)的處理：AC收到隧道數(shù)據(jù)后，首先解封裝，根據(jù)內(nèi)部CoS的優(yōu)先 級(jí)進(jìn)行數(shù)據(jù)調(diào)度，保證高優(yōu)先級(jí)的數(shù)據(jù)得到優(yōu)先轉(zhuǎn)發(fā)。802. 3的CoS到WMM QoS之間的映射:AP收到來(lái)至有線網(wǎng)絡(luò)的802. 3報(bào)文后，AP將 其中802. 3的CoS字段轉(zhuǎn)換為WMM QoS字段的值，對(duì)于高優(yōu)先級(jí)的數(shù)據(jù)優(yōu)先發(fā)送。3. 5. 3管理報(bào)文高優(yōu)先級(jí)處理對(duì)AP和AC之間的管理報(bào)文，即端口號(hào)為57776的TCP報(bào)文和端口號(hào)為57778/57779 的UDP報(bào)文，設(shè)置高優(yōu)先級(jí)，可以保證管理報(bào)文的高優(yōu)先轉(zhuǎn)發(fā)。3. 5.4通過(guò)client QoS修改用戶的優(yōu)先級(jí)AP上的client CoS功能可以根據(jù)優(yōu)先級(jí)策略直接修改用戶的

29、優(yōu)先級(jí)。AP收到 802. 11數(shù)據(jù)后，匹配用戶的IP地址，根據(jù)用戶的IP匹配對(duì)應(yīng)的策略，根據(jù)策略設(shè)定的 優(yōu)先級(jí)改寫(xiě)原有的優(yōu)先級(jí)，保證特定用戶的數(shù)據(jù)得到特定的優(yōu)先級(jí)。配置方式如下：配置分類表(classmap)：建立一個(gè)分類規(guī)則，可以按照 ACL、CoS、VLAN ID、IPV4 Precedents DSCP、IPV6 FL 來(lái) 分類。之后，對(duì)于不同類別的數(shù)據(jù)流采取不同的策略。配置策略表(policymap)：對(duì)數(shù)據(jù)流進(jìn)行分類之后，就可以建立一個(gè)策略表，之后就可以將其對(duì)應(yīng)一個(gè)先前建立的class-map,進(jìn)入策略分類表模式，然后就可以對(duì)于不同的數(shù)據(jù)流采取不同的策略，如帶寬限制、優(yōu)先級(jí)降低、分

30、配新的DSCP值等等。也可以定義一個(gè)集合策略，這個(gè)策略可以 在同一個(gè)策略表內(nèi)部被多個(gè)策略分類表使用。將QoS應(yīng)用到AP或者AC：如果需要在AP上啟動(dòng)QoS,則在AP profile文件中增加配置的策略應(yīng)用。如果需要在AC上啟動(dòng)QoS,將策略綁定到AC的端口。3. 5.5基于用戶的限速基于用戶的限速，配置命令通過(guò)AC下發(fā)到AP上，用AP來(lái)實(shí)現(xiàn)每一個(gè)終端速度的限 制。實(shí)現(xiàn)原理是對(duì)用戶的數(shù)據(jù)流量進(jìn)行精確的統(tǒng)計(jì)，按照令牌桶的原理，單位時(shí)間內(nèi)，每 個(gè)用戶都會(huì)分配到指定大小的令牌，用于流量允許通過(guò)。如果超過(guò)了用戶限制的帶寬，令 牌就會(huì)用完，該用戶的數(shù)據(jù)報(bào)文將會(huì)丟棄。每個(gè)用戶都會(huì)有令牌桶，因此可以精確到每個(gè)

31、 用戶的限速。限速粒度為64Kbps。對(duì)于每個(gè)用戶的上行和下行報(bào)文，設(shè)計(jì)有單獨(dú)的令牌桶，可以分別控制和進(jìn)行速率限制。限速的配置可以從兩個(gè)方面進(jìn)行，如果對(duì)于所有用戶限速都相同的話，可以從AC 上通過(guò)配置AP的client qos模塊中ratelimit參數(shù)，統(tǒng)一下發(fā)給AP0如果對(duì)每個(gè)用戶 的限速不同的話，因?yàn)橛脩魯?shù)比較多，在AC上進(jìn)行統(tǒng)一配置明顯不行，需要在Radius上 對(duì)每個(gè)用戶的速率進(jìn)行單獨(dú)設(shè)置。在用戶進(jìn)行統(tǒng)一認(rèn)證的時(shí)候，將會(huì)把限速參數(shù)動(dòng)態(tài)的下 發(fā)給該用戶所在的AP。3.6 POE供電方案3. 6.1 POE供電模塊供電若熱點(diǎn)區(qū)域的無(wú)線AP部署數(shù)量較少，建議采用獨(dú)立的POE供電模塊進(jìn)行供電

32、，無(wú)需 單獨(dú)部署POE交換機(jī)。3. 6. 2 POE交換機(jī)供電若無(wú)線熱點(diǎn)區(qū)域的無(wú)線AP部署數(shù)量較多，為實(shí)現(xiàn)設(shè)備的集中供電管理，建議采用 POE供電交換機(jī)進(jìn)行供電。3.7網(wǎng)絡(luò)設(shè)備要求3. 7.1 無(wú)線 AP產(chǎn)品型號(hào)無(wú)線特性接口類型物理特性WA2000-213W-PE100mW 802. llb/g/n1 個(gè) 10/100/1000 Mbps 電口、1個(gè)控制口250mm*222mm*58mmWA2000-323W-PE500mW 802.llb/g/n500mW 802.lla/n209mm*125mm*25mm支持標(biāo)準(zhǔn)TCP/IP, IPX, NetBEUI 、 IEEE 802.11b (Wi

33、Fi Compatible), IEEE802. 11g (WiFi Compatible) ,IEEE802.3/u 10/100Base-TxRJ-45, IEEE802. 3af (Power Over Ethernet) ,IEEE802.Ip (QoS Priority), IEEE802. 1q (VLAN) ,IEEE802.lx (SecurityAuthentication) ,IEEE802.lie (Wireless QoS), IEEE802.Id(Spanning Tree Protocol)、UNHT保護(hù)模式、A-MPDU聚合、A-MSDU聚合、短GI、擴(kuò)展信道保護(hù)

34、模式、信道模式20M/40M1：作模式AP, Bridge無(wú)線特性頻率自動(dòng)調(diào)節(jié)、自動(dòng)功率調(diào)整、Smart WDS、輸出功率調(diào)節(jié)QOS負(fù)載均衡(流量、用戶數(shù))、帶寬控制、鏈路檢、WMM、VoIP接入數(shù)量控制管理特性Web、SSH、CLI、SNMP、管理代理、capwap、TR069診斷功能用戶列表、臨近AP掃描、IP ping測(cè)試、統(tǒng)計(jì)鏈路完整性支持路由支持安全特性Radi。開(kāi)關(guān)、WEP加密(64 / 128 )、TKIP、WAPI、802. lx、MAC控制、station隔離、防XDos攻擊、WPA(2)-PSK、WPA、小包過(guò)濾、 廣播風(fēng)暴控制電源POE、 220V環(huán)境特性工作溫度0+50

35、 c工作濕度5 to 95% RH儲(chǔ)存溫度-10 +60存儲(chǔ)濕度5 to 95% RH3. 7. 2 AC控制器型號(hào)WNC6000-1000-AC硬件接口12個(gè)10/100/1000M電口、8個(gè)千兆SFP接口（需配SFP千兆光模塊），2個(gè)萬(wàn)兆SFP+（需配SFP+萬(wàn)兆光模塊）。管理AP數(shù)1024轉(zhuǎn)發(fā)能力80G軟件特性支持協(xié)議TCP/IP、IPX、NetBEUI. IEEE802. 3/u 10/100Base-Tx RJ-45, IEEE802. 3z lOOOBaseX、802. Id、802. lp 802. Iq 802. lx 802. 1R802. lib 802. Ila . 80

36、2. 11g 802. llh 802. lli 802. lie x802. lln. CAPWAP、DHCP Server、DHCP Client、DHCP Relay. DNSCient、 NTP (Server and Client) 、 VRRP 等IP路由RIPvl/v2、 OSPF、 BGP、 Static Routing. RIPng、 OSPFv3 等組播IGMP vl/v2/v3. PIM-SMx PIM-DM、 PIM-SSMIPv6TCPv6 s UDPv6、ICMPv6 Pingv6 TraceRTv6 Telnetv6. DNSv6、IPv6 ND、IPv6 PMT

37、U、IPv6 ACL、IPv6 靜態(tài)路由MPLS支持 LDP、支持 mpls 轉(zhuǎn)發(fā)、MPLS ping、MPLS tracerouteAP發(fā)現(xiàn)AC的方式靜態(tài)IP發(fā)現(xiàn)、DHCP發(fā)現(xiàn)、DNS發(fā)現(xiàn)等漫游支持AC內(nèi)漫游、支持跨AC間漫游、支持二/三層漫游射頻管理Radio開(kāi)關(guān)、無(wú)線模式選擇(802.11a/b/g/n)、手動(dòng)或自動(dòng)信道選 擇、手動(dòng)或自動(dòng)功率調(diào)整、自動(dòng)速率選擇、支持WMM、強(qiáng)制STA漫 游、支持 Multi BSSID安全特性WEP(WEP64/WEP128/WEP152) . WPA-PSK、WPA2-PSK、WPA WPA2、WAP I. 802. IX認(rèn)證、Web認(rèn)證(支持內(nèi)置Po

38、rtal)、PPPoE認(rèn)證、 防DoS攻擊、ACL控制(支持基于MAC地址和IP地址的接入控 制)、STATION二層隔離備份功能1+1、 N+l、 N+N設(shè)備管理Web、 SNMP (vl/v2c/v3) 、 Telnet、 SSH、 SHELL物理指標(biāo)電源AC 220V；RPS -48V尺寸440mm*254mm*66. 6mm環(huán)境參數(shù)工作濕度5%90 %（非凝露）儲(chǔ)存溫度-40 60儲(chǔ)存濕度5$ 90%（非凝露）3.1. 3 AAS服務(wù)器硬件規(guī)格處理器Intel /AMD 雙核 3G內(nèi)存4G硬盤500G固定接口2 個(gè) 1000M 接口長(zhǎng)X寬X高尺寸660 x 430 x 88 (mm)輸

39、入電壓600w電源雙電源互備軟件規(guī)格功能點(diǎn)子功能功能描述接入認(rèn)證Non-EAP 認(rèn)證PAP認(rèn)證CHAP認(rèn)證EAP認(rèn)證EAP-MD5 認(rèn)證EAP-PEAP + MSCHAP V2 認(rèn)證EAP-TLS 認(rèn)證AD代理認(rèn)證PAP認(rèn)證PEAP + MSCHAPv2 認(rèn)證PEAP + GTCTTLS + PAPLDAP代理認(rèn)證PAP認(rèn)證PEAP + GTCTTLS + PAPRadius代理認(rèn)證PEAP + GTC - PAPTTLS + PAP - PAPRadius中繼認(rèn)證PAP認(rèn)證CHAP認(rèn)證EAP-MD5 認(rèn)證EAP-PEAP + MSCHAP V2 認(rèn)證EAP-TLS 認(rèn)證擴(kuò)展認(rèn)證MAC接入認(rèn)證

40、支持基于不同SSID的MAC地址黑白名單功能認(rèn)證綁定用戶與wlan ssid綁定用戶與接入設(shè)備（AP、交換機(jī)）MAC地址綁定用戶名與證書(shū)名綁定用戶與終端MAC綁定用戶自動(dòng)綁定前2次登錄的MAC地址認(rèn)證控制錯(cuò)誤登錄次數(shù)控制重復(fù)登錄次數(shù)控制接入授權(quán)終端授權(quán)支持IP地址下發(fā)授權(quán)支持一個(gè)用戶綁定多個(gè)IP地址支持ACL指令、VLAN配置下發(fā)支持QoS和優(yōu)先級(jí)授權(quán)設(shè)備操作授權(quán)支持enable 15級(jí)授權(quán)，支持$011放）10$賬號(hào)進(jìn)行認(rèn)證和授權(quán)，針對(duì)不同的用戶可以綁定$611胡10$進(jìn)行認(rèn)證（不同用戶該密碼不同）；授權(quán)支持0-15級(jí)授權(quán)支持command授權(quán)，能夠支持對(duì)管理設(shè)備的command命名進(jìn)行授權(quán)

41、授權(quán)策略支持根據(jù)分組設(shè)置授權(quán)策略，能 夠支持分組方式制定AAA授權(quán)策 略。如802. lx接入時(shí)間控制（時(shí) 間規(guī)則保持當(dāng)前AAS以實(shí)現(xiàn)的規(guī) 則方式，基于有效期和周期日方 式的策略，并且這兩種策略可以 疊加使用）、ip段的分配、對(duì)交 換機(jī)的ACL和vlan配置下發(fā)。以 上策略可以在單獨(dú)的用戶上配置支持代理認(rèn)證用戶授權(quán)，設(shè)置代 理認(rèn)證用戶的授權(quán)規(guī)則，讓不同 的代理認(rèn)證用戶在認(rèn)證后擁有對(duì) 應(yīng)的權(quán)限,例如:ACL、VLAN 等，需要考慮授權(quán)策略優(yōu)先支持基于時(shí)間授權(quán)，支持基于有 效期和周期日方式的策略，并且 這兩種策略可以疊加使用用戶管理用戶組管理用戶組的IP地址段范圍設(shè)置、時(shí)間段有效規(guī)則配置用戶配置用

42、戶數(shù)據(jù)過(guò)濾、用戶賬號(hào)、PAP密碼、CHAP密碼、分配IP地址、終端屬性綁定、用戶時(shí)間段有效規(guī)則等參數(shù)管理用戶安全帳號(hào)用戶密碼策略控制用戶監(jiān)控在線用戶的監(jiān)控與管理用戶統(tǒng)計(jì)管理統(tǒng)計(jì)有效用戶、無(wú)效用戶信息，支持Excel報(bào)表導(dǎo)出支持根據(jù)時(shí)間查詢出即將過(guò)期的 用戶，并可以多選后批量重新設(shè)置有效期和密碼支持根據(jù)時(shí)間段統(tǒng)計(jì)用戶“活躍 度”（登錄次數(shù)），并根據(jù)“活 躍度“進(jìn)行排序AD用戶同步從AD服務(wù)器同步用戶帳號(hào)用戶密碼修改提供web頁(yè)面，供用戶自助修改密碼證書(shū)管理生成證書(shū)生成服務(wù)器認(rèn)證證書(shū)安裝證書(shū)安裝服務(wù)器證書(shū)日志管理用戶登錄日志管理用戶登錄訪問(wèn)日志管理管理員操作日志管理管理員操作日志管理主備服務(wù)器日志

43、同步主備服務(wù)器日志同步數(shù)據(jù)管理數(shù)據(jù)導(dǎo)出數(shù)據(jù)備份導(dǎo)出備份數(shù)據(jù)數(shù)據(jù)導(dǎo)入導(dǎo)入數(shù)據(jù)文件數(shù)據(jù)同步主備服務(wù)器數(shù)據(jù)同步批量用戶導(dǎo)入導(dǎo)入批量用戶數(shù)據(jù)雙機(jī)備份支持雙機(jī)備份支持雙機(jī)備份，保證系統(tǒng)可靠性支持定時(shí)從主機(jī)同步用戶信息到備機(jī)，定時(shí)時(shí)間可配置；支持備機(jī)log可以實(shí)時(shí)同步到主機(jī)3. 7. 4 Portal 服務(wù)器功能點(diǎn)子功能功能描述Portal接入用戶身份認(rèn)證Portal可接受用戶認(rèn)證請(qǐng)求，通過(guò)Portal協(xié)議 與設(shè)備交互，完成認(rèn)證過(guò)程，并通知用戶認(rèn)證結(jié) 果用戶主動(dòng)下線用戶點(diǎn)擊web按鈕，可實(shí)現(xiàn)主動(dòng)下線，退出網(wǎng)絡(luò)訪問(wèn)支持穿越AT接入認(rèn)證支持接入設(shè)備（例如：AC）在NAT后面的場(chǎng)景，實(shí)現(xiàn)NAT穿越支持動(dòng)態(tài)驗(yàn)證碼

44、驗(yàn)證登錄時(shí)支持動(dòng)態(tài)隨機(jī)驗(yàn)證碼，防止惡意密碼猜測(cè)支持通過(guò)短信獲取動(dòng)態(tài)密碼用戶在Portal登錄頁(yè)面輸入自己的身份標(biāo)識(shí)信息 （身份證號(hào)或者銀行卡號(hào)）、手機(jī)號(hào)后，Portal網(wǎng)關(guān)將身份信息送到后臺(tái)服務(wù)器進(jìn)行保存，然后通過(guò)短信方式下發(fā)密碼給來(lái)賓用戶手機(jī)，來(lái)賓用 戶將該密碼填寫(xiě)在Portal界面后就可以訪問(wèn)無(wú)線 網(wǎng)絡(luò)資源。終端無(wú)感知認(rèn)證支持用戶在第一次登錄輸入用戶名、密碼登錄成功后，在后續(xù)登錄過(guò)程中，可直接進(jìn)行登錄網(wǎng)絡(luò)，無(wú)需輸入用戶名和密碼頁(yè)面定制推送頁(yè)面定制支持Portal認(rèn)證成功后，由Portal服務(wù)器推送 定制頁(yè)面給終端，定制內(nèi)容包括快速鏈接、廣告 背景頁(yè)面等Portal服務(wù)器客戶定制用戶可在Po

45、rtal服務(wù)器定制登錄頁(yè)面Title、圖片，登陸后頁(yè)面左邊欄鏈接和主界面背景圖片；用戶管理查看所有在線用戶信息支持查看當(dāng)前所有在線用戶信息，包括用戶名、登錄時(shí)間、使用時(shí)長(zhǎng)；查看當(dāng)前用戶信息支持用戶查看自己當(dāng)前登錄時(shí)長(zhǎng)、登錄時(shí)間信息可強(qiáng)制下線指定用戶管理員可強(qiáng)制下線指定用戶雙機(jī)備份支持雙機(jī)備份支持雙Portal服務(wù)器備份，當(dāng)一個(gè)Portal服務(wù)器停機(jī)后，另外一臺(tái)Portal服務(wù)器可以在3秒內(nèi)接替其工作3. 7. 5 NetManager 網(wǎng)管軟件特性網(wǎng)絡(luò)發(fā)現(xiàn)基于IP范圍的發(fā)現(xiàn)根據(jù)IP地址范圍發(fā)現(xiàn)網(wǎng)絡(luò)手動(dòng)添加設(shè)備手動(dòng)添加單個(gè)設(shè)備基于AC發(fā)現(xiàn)無(wú)線網(wǎng)絡(luò)基于AC發(fā)現(xiàn)由AC控制的無(wú)線網(wǎng)絡(luò)基于種子文件的發(fā)現(xiàn)根據(jù)種子文件發(fā)現(xiàn)設(shè)備自動(dòng)發(fā)現(xiàn)自動(dòng)發(fā)現(xiàn)邁普無(wú)線設(shè)備拓?fù)涔芾硗負(fù)鋱D支持分級(jí)背景地圖支持定制背景地圖支持拖拉移動(dòng)、縮放、打印功能全屏拓?fù)滹@示支持網(wǎng)絡(luò)拓?fù)浞謱臃旨?jí)導(dǎo)航和管理支持廣域網(wǎng)鏈路拓?fù)浒l(fā)現(xiàn)拓?fù)渥詣?dòng)更新拓?fù)渚庉嬍?/p>