瘦AP解決方案建議書

中國安徽省分行WLAN網(wǎng)絡(luò)技術(shù)建議書目錄TOC\o"1-5"\h\z\o"CurrentDocument"一、 無線局域網(wǎng)（WLAN）概述 2\o"CurrentDocument"二、 大樓無線局域網(wǎng)項目建設(shè)需求 3\o"CurrentDocument"三、 網(wǎng)絡(luò)建設(shè)原則 3\o"CurrentDocument"四、 網(wǎng)絡(luò)建設(shè)方案 4\o"CurrentDocument"五、 覆蓋方案 12\o"CurrentDocument"5.1走廊直放覆蓋 1.25。2室內(nèi)直放覆蓋 1.2AP布點覆蓋原則 12\o"CurrentDocument"覆蓋效果理論計 1.3\o"CurrentDocument"六、產(chǎn)品介紹 13\o"CurrentDocument"6。1大樓采用的WLAN產(chǎn)品綜述 .136。2無線接入點（AP）WA2210—AG介紹 14\o"CurrentDocument"6。 3POE供電交換機LS-3100-16TP-PWR-EI-F—H3介紹 176.4無線控制器（AC）WX3024介紹 19\o"CurrentDocument"七、成功案例 247。 1國家大劇院 2.4\o"CurrentDocument"7.2北辰亞運村網(wǎng)絡(luò)改造工程 2.5\o"CurrentDocument"7。3北京機場T3航站樓 27\o"CurrentDocument"7。4H3C案例選集 28一、無線局域網(wǎng)（WLAN）概述無線局域網(wǎng)（WLAN）技術(shù)于20世紀(jì)90年代逐步成熟并投入商用，既可以作傳統(tǒng)有線網(wǎng)絡(luò)的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線網(wǎng)絡(luò)。對比傳統(tǒng)的有線傳輸解決方案，使用WLAN網(wǎng)絡(luò)實現(xiàn)數(shù)據(jù)傳輸具有以下顯著特點：簡易性：WLAN網(wǎng)絡(luò)傳輸系統(tǒng)的安裝快速簡單,可極大的減少敷設(shè)管道及布線等繁瑣工作；靈活性：無線技術(shù)使得WLAN設(shè)備可以靈活的進(jìn)行安裝并調(diào)整位置，使無線網(wǎng)絡(luò)達(dá)到有線網(wǎng)絡(luò)不易覆蓋的區(qū)域；綜合成本較低：一方面WLAN網(wǎng)絡(luò)減少了布線的費用，另一方面在需要頻繁移動和變化的動態(tài)環(huán)境中，無線局域網(wǎng)技術(shù)可以更好地保護已有投資。同時，由于WLAN技術(shù)本身就是面向數(shù)據(jù)通信領(lǐng)域的IP傳輸技術(shù)，因此可直接通過百兆自適應(yīng)網(wǎng)口和企業(yè)內(nèi)部Intranet相連，從體系結(jié)構(gòu)上節(jié)省了協(xié)議轉(zhuǎn)換器等相關(guān)設(shè)備；擴展能力強:WLAN網(wǎng)絡(luò)系統(tǒng)支持多種拓?fù)浣Y(jié)構(gòu)及平滑擴容，可以十分容易地從小容量傳輸系統(tǒng)平滑擴展為中等容量傳輸系統(tǒng)；隨著WLAN技術(shù)的快速發(fā)展和不斷成熟，目前在國內(nèi)外已經(jīng)具有較多的政府機構(gòu)使用WLAN技術(shù)布置無線城域網(wǎng)，進(jìn)行承載部分政府業(yè)務(wù),諸如：電子政備、消防、公安信息等等,如：美國費城、荷蘭阿姆斯特丹等.無線局域網(wǎng)技術(shù)經(jīng)過十幾年的發(fā)展,已經(jīng)歷了三代技術(shù)及產(chǎn)品的發(fā)展.第一代無線局域網(wǎng)主要是采用FatAP,每一臺AP都要單獨進(jìn)行配置，費時、費力、費成本;第二代無線局域網(wǎng)融入了無線網(wǎng)關(guān)功能但還是不能集中進(jìn)行管理和配置，其管理性和安全性以及對有線網(wǎng)絡(luò)的依賴成為了第一代和第二代WLAN產(chǎn)品發(fā)展的瓶頸，由于這一代技術(shù)的AP儲存了大量的網(wǎng)絡(luò)和安全的配置，包括加密的鑰匙，Radiusclient的安全密碼（secret）等，而AP又是分散在建筑物中的各個位置，一旦AP的配置被盜取讀出并修改,其無線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。另外由于AC或無線網(wǎng)關(guān)的硬件多數(shù)是基于Pentium架構(gòu)的，所以當(dāng)用戶接入數(shù)量（IPsessions）增多時，無線網(wǎng)的性能會急劇下降時常會發(fā)生掉線或死機情況。在這樣的環(huán)境下，基于無線交換機技術(shù)的第三代WLAN產(chǎn)品應(yīng)運而生。第三代無線局域網(wǎng)采用無線交換機和FITAP的架構(gòu)，對傳統(tǒng)WLAN設(shè)備的功能做了重新劃分，將密集型的無線網(wǎng)絡(luò)和安全處理功能轉(zhuǎn)移到集中的WLAN交換機中實現(xiàn),同時加入了許多重要新功能，諸如無線網(wǎng)管、AP間自適應(yīng)、無線安管、RF監(jiān)測、無縫漫游以及Qos。，使得無線局域網(wǎng)的網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高表1FATAP與FITAP兩種組網(wǎng)方案對比二、 大樓無線局域網(wǎng)項目建設(shè)需求大樓WLAN網(wǎng)絡(luò)是在有線網(wǎng)絡(luò)的基礎(chǔ)之上建設(shè)的，對三層、四層樓講行無線覆蓋客戶的要求包括以下幾點：1．實現(xiàn)對大樓區(qū)域內(nèi)的有效覆蓋整個大樓辦公室、會議室區(qū)等多處區(qū)域，每個區(qū)域都需要有效的WLAN覆蓋。在大樓辦公室、會議室內(nèi)，員工、領(lǐng)導(dǎo)、以及外來商務(wù)人員無需使用網(wǎng)線即可方便的訪問大樓的WLAN網(wǎng)絡(luò)；在會議室內(nèi),員工、領(lǐng)導(dǎo)、以及外來商務(wù)人員可以不受限制的接入到網(wǎng)絡(luò)中，便于在會議中隨時從網(wǎng)上獲取信息.需要安全接入大樓的WLAN網(wǎng)絡(luò)并不是為所有人開放的,而是針對特定的群體或客人，所以需要認(rèn)證的體制。另外，由于用戶信息的隱私性,必須保證在用戶使用網(wǎng)絡(luò)時，信息不會在WLAN的空中傳播中被他人竊取.三、 網(wǎng)絡(luò)建設(shè)原則結(jié)合WLAN的實際應(yīng)用和發(fā)展要求，公眾無線局域網(wǎng)（PWLAN）網(wǎng)絡(luò)系統(tǒng)設(shè)計，主要遵循以下系統(tǒng)總體原則：實用性原則：以現(xiàn)行需求為基礎(chǔ)，充分考慮發(fā)展的需要來確定系統(tǒng)規(guī)模。安全性原則：PWLAN運營網(wǎng)絡(luò)，即是一個開放網(wǎng)絡(luò)，同時作為運營網(wǎng)絡(luò)對用戶的安全以及網(wǎng)絡(luò)的安全要求較高?？煽啃栽瓌t：系統(tǒng)設(shè)計能有效的避免單點失敗，在設(shè)備的選擇和關(guān)鍵設(shè)備的互聯(lián)時,應(yīng)提供充分的冗余備份，一方面最大限度地減少故障的可能性,另一方面要保證網(wǎng)絡(luò)能在最短時間內(nèi)修復(fù).成熟和先進(jìn)性原則：由于WLAN應(yīng)用于運營網(wǎng)絡(luò)仍然屬于新新技術(shù)，需要及時將新技術(shù)引用進(jìn)來，更好的開展業(yè)務(wù)，同時也要求保證網(wǎng)絡(luò)與業(yè)務(wù)的可靠性。規(guī)范性原則:系統(tǒng)設(shè)計所采用的技術(shù)和設(shè)備應(yīng)符合WLAN國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)和聯(lián)通WLAN企業(yè)標(biāo)準(zhǔn),為系統(tǒng)的擴展升級、與其他系統(tǒng)的互聯(lián)提供良好的基礎(chǔ)。開放性和標(biāo)準(zhǔn)化原則：在設(shè)計時,要求提供開放性好、標(biāo)準(zhǔn)化程度高的技術(shù)方案；設(shè)備的各種接口滿足開放和標(biāo)準(zhǔn)化原則.可擴充和擴展化原則:所有系統(tǒng)設(shè)備不但滿足當(dāng)前需要，并在擴充模塊后滿足可預(yù)見將來需求,如帶寬和設(shè)備的擴展，應(yīng)用的擴展和辦公地點的擴展等。保證建設(shè)完成后的系統(tǒng)在向新的技術(shù)升級時，能保護現(xiàn)有的投資.可管理性原則：整個系統(tǒng)的設(shè)備應(yīng)易于管理，易于維護,操作簡單,易學(xué)，易用，便于進(jìn)行系統(tǒng)配置,在設(shè)備、安全性、數(shù)據(jù)流量、性能等方面得到很好的監(jiān)視和控制并可以進(jìn)行遠(yuǎn)程管理和故障診斷。四、網(wǎng)絡(luò)建設(shè)方案根據(jù)目前大樓的用戶規(guī)模和網(wǎng)絡(luò)狀況，擬采用無線控制器(AC)+瘦AP(FITAP)的組網(wǎng)方式，瘦AP實現(xiàn)無線信號的處理，而用戶管理、加密、漫游、AP管理等功能全部集中到AC進(jìn)行，這樣可以簡化整個網(wǎng)絡(luò)的管理，提高設(shè)備的工作效率。用戶認(rèn)證系統(tǒng)采用標(biāo)準(zhǔn)的Radius服務(wù)器(H3CCAMS)來完成;AP的供電采用以太網(wǎng)供電(PowerOverEthernet,PoE)，通過以太網(wǎng)線來匯聚AP的流量，同時為AP提供電源，這樣可以簡化布線，同時減少故障點，提高網(wǎng)絡(luò)的可靠性。4。1無線網(wǎng)絡(luò)基礎(chǔ)方案圖1.大樓WLAN組網(wǎng)示意圖(可使用Visio打開)如圖1所示，原有的有線網(wǎng)絡(luò)拓?fù)洳蛔儯诤诵慕粨Q機上開啟一個接口，用于WX3024的上行鏈路，WX3024下行用光模塊連接三層辦公LS-3100-16TP—PWR-EI-F-H3POE供電交換機，下行連接H3CWA2210-AG企業(yè)級無線AP,四層辦公直接用WX3024下行連接H3CWA2210—AG企業(yè)級無線AP,用戶可以使用筆記本或其他WiFi終端通過WA2210-AG連接到大樓的WLAN網(wǎng)絡(luò)中。WX3024在網(wǎng)絡(luò)中起到如下幾個作用：作為24口POE+交換機使用。作為無線控制器，對FITAP(WA2210-AG)進(jìn)行統(tǒng)一的智能管理。作為PortalServer，為大樓用戶提供接入認(rèn)證.FITAP組網(wǎng)最大的優(yōu)點在于AP本身零配置，AP上電后會自動從無線控制器下載軟件版本和配置文件,同時無線控制器會自動調(diào)節(jié)AP的工作信道以及發(fā)射功率。另外，通過無線控制器的RF掃描探測熱點地區(qū)RougeAP，可以及時排除其他AP存在的干擾，保障AP的穩(wěn)定運行。在網(wǎng)絡(luò)管理方面，網(wǎng)管可以只通過管理無線控制器設(shè)備就可以達(dá)到控制AP的效果，極大的減少了無線網(wǎng)絡(luò)后期維護和管理的工作量.使用無線控制器+FITAP時,AP在啟動后會自動通過DHCP方式獲取IP地址，并自動搜尋可關(guān)聯(lián)的無線控制器，在和無線控制器建立CAPWAP隧道之后會自動從無線控制器下載配置文件和更新軟件版本。在AP的接入方面，H3C擁有智能射頻管理，當(dāng)某一個AP出現(xiàn)故障時，周圍的其他AP會自動調(diào)整功率，對該部分區(qū)域進(jìn)行重新的信號覆蓋，保證信號的良好覆蓋。而當(dāng)有非法AP進(jìn)入無線網(wǎng)絡(luò)造成信號干擾時，H3Cz智能射頻管理系統(tǒng)可以定位出該AP的位置，以便及時加以排除。圖2.FITAP自動射頻調(diào)整功能示意圖（可用Visi（打開）無線控制器可以設(shè)定AP間對接入用戶進(jìn)行負(fù)載分擔(dān)，當(dāng)無線控制器發(fā)現(xiàn)AP的負(fù)載超過設(shè)定的門限值以后，對于新接入的用戶無線控制器會自動計算此用戶周圍是否還有負(fù)載較輕的AP可供用戶接入，如果有則AP會拒絕用戶的關(guān)聯(lián)請求，用戶會轉(zhuǎn)而接入其他負(fù)載較輕的AP。如圖所示。圖3.H3CWLAN智能負(fù)載分擔(dān)H3C公司創(chuàng)新性地支持智能負(fù)載均衡技術(shù)，保證只對處于AP覆蓋重疊區(qū)的無線用戶才啟動AP負(fù)載均衡功能，有效的避免誤均衡的出現(xiàn)。圖4.H3CWLAN智能負(fù)載分擔(dān)H3CFITAP方案還支持無線入侵檢測。當(dāng)有第三方的AP仿冒SSID時，無線控制器會通過AP的反饋，迅速得到相應(yīng)的信息，并上報網(wǎng)管，采取相應(yīng)的信息。管理員還可以對該設(shè)備發(fā)起攻擊，使該第三方設(shè)備無法連接上相應(yīng)的用戶。圖5.H3C無線入侵檢測示意圖4。2用戶接入認(rèn)證方案大樓項目對安全有著一定的要求，必須能夠防止系統(tǒng)外部成員的非法侵入以及操作人員的越級操作，盡量避免計算機犯罪問題的發(fā)生。由于WLAN網(wǎng)絡(luò)與有線網(wǎng)絡(luò)不同，用戶可以隨時隨地的接入網(wǎng)絡(luò)，故不能像有線網(wǎng)絡(luò)那樣通過網(wǎng)口限制用戶的身份,必須使用一定的認(rèn)證手段。H3CWX3024支持多種認(rèn)證方式，如MAC地址認(rèn)證、802。1x認(rèn)證和Portal認(rèn)證等。本項目推薦使用Portal認(rèn)證方式。使用Portal方式的優(yōu)點是無需客戶端，用戶做好WLAN連接后，只需打開Web頁面就能夠進(jìn)入Portal認(rèn)證頁面。此時除了能夠方便的認(rèn)證外，還可以推送Web頁面，發(fā)布最新的大樓信息，并可以向用戶推送相應(yīng)的廣告，給大樓帶來額外的利潤。4。3網(wǎng)絡(luò)管理方案作為接入層網(wǎng)絡(luò)，大樓的WLAN網(wǎng)絡(luò)需要較多的AP,維護工作量較大，加之WLAN網(wǎng)絡(luò)的靈活性和不可見性，如果對每個AP進(jìn)行單獨管理則會造成較高的維護開銷，也給管理人員帶來了一定的難度.而且無線網(wǎng)絡(luò)直接面對最終用戶，對管理系統(tǒng)穩(wěn)定性、實時性、有效性要求都較高。H3C使用WSM無線業(yè)務(wù)管理器應(yīng)能對無線網(wǎng)絡(luò)中的AP、AC等設(shè)備作到統(tǒng)一管理.WSM無線業(yè)務(wù)管理器依托iMC智能管理平臺，實現(xiàn)有線無線一體化的管理，在iMC系統(tǒng)全面的有線網(wǎng)絡(luò)管理的基礎(chǔ)上，為用戶提供無線網(wǎng)絡(luò)管理能力用戶無需重新搭建IT管理平臺，即可在原有的有線網(wǎng)絡(luò)管理系統(tǒng)中增加無線管理功能,與有線管理平臺統(tǒng)一部署，節(jié)省用戶投入,節(jié)約維護成本.iMC智能管理中心采用分布式、組件化、跨平臺的開放體系結(jié)構(gòu)。通過選擇安裝WSM無線業(yè)務(wù)管理器，用戶可以獲得全面的無線業(yè)務(wù)管理能力，實現(xiàn)AC設(shè)備、FATAP設(shè)備、FITAP設(shè)備、移動終端等無線設(shè)備的集中管理，輕松實現(xiàn)設(shè)備配置管理功能，并提供資源分組、無線拓?fù)涔δ?對全網(wǎng)無線設(shè)備進(jìn)行直觀有效的組織，對網(wǎng)絡(luò)部署和設(shè)備狀態(tài)一目了然，策略模板等功能實現(xiàn)網(wǎng)絡(luò)和設(shè)備的批量配置,提升效率，降低維護工作量，降低維護成本。基于Web的管理系統(tǒng)，為無線業(yè)務(wù)管理者提供了簡便、友好的管理平臺。與iMC智能管理平臺及其它組件配合，還可實現(xiàn)無線設(shè)備的面板管理、故障管理、性能監(jiān)控、軟件版本管理、配置文件管理、接入用戶管理、用戶認(rèn)證管理等功能，并可對網(wǎng)絡(luò)中的其它設(shè)備進(jìn)行統(tǒng)一管理,真正實現(xiàn)有線無線一體化管理。圖6.H3CiMC無線管理組件截圖4。4H3C方案的優(yōu)點有線無線一體化的WLAN產(chǎn)品線，簡化維護工作，節(jié)約運行成本H3CWLAN提供有線無線一體化解決方案，一體化的特點主要體現(xiàn)在以下幾點：1、 H3C在S7500,S7500E,S9500核心交換機上支持無線控制器模塊，直接把無線控制器融入核心交換機，目前H3CS7500，S7500E，S9500，華為S6500，S8500核心交換機都可以支持無線控制器業(yè)務(wù)模塊，從而實現(xiàn)真正的有線無線一體化；2、 H3C所有的WLAN產(chǎn)品和現(xiàn)網(wǎng)上數(shù)量眾多的有線產(chǎn)品使用相同的軟件平臺，同樣的特性，在不同的產(chǎn)品具有相同的命令行，這樣用戶維護有線產(chǎn)品和無線產(chǎn)品時，不需要熟悉兩套完全不相同的操作方式，大大提高的工作效率，減少了技術(shù)人員的工作量.3、 管理特性上，H3CiMC智能管理中心能夠使用同一套管理軟件同時管理有線產(chǎn)品和無線產(chǎn)品，而不是象其他WLAN廠商那樣，有線和無線使用不同的網(wǎng)管系統(tǒng);另外同一套網(wǎng)管系統(tǒng)意味著VLAN，QoS等都可以統(tǒng)一部署，減少了系統(tǒng)管理的復(fù)雜性.4、 在用戶管理方面，H3CCAMS可以統(tǒng)一管理有線用戶和無線用戶，可以實現(xiàn)對用戶的認(rèn)證、鑒權(quán)、計費，達(dá)到有線業(yè)務(wù)和無線業(yè)務(wù)統(tǒng)一部署的目的。AP零配置無線控制器+FITAP控制架構(gòu)對設(shè)備的功能進(jìn)行了重新劃分，其中無線控制器負(fù)責(zé)無線網(wǎng)絡(luò)的接入控制,轉(zhuǎn)發(fā)和統(tǒng)計、AP的配置監(jiān)控、漫游管理、AP的網(wǎng)管代理、安全控制；FITAP負(fù)責(zé)802.11報文的加解密、802.11的PHY功能、接受無線控制器的管理、RF空口的統(tǒng)計等簡單功能°H3C公司在支持這種新的網(wǎng)絡(luò)架構(gòu)時將一些新的智能功能集成進(jìn)FITAP和無線控制器中,以便于給用戶呈現(xiàn)統(tǒng)一的網(wǎng)絡(luò)管理接口：1、 FITAP的配置保存在無線控制器中,FITAP啟動時會自動從無線控制器下載合適的設(shè)備配置信息2、 FITAP需要能夠自動獲取IP地址，同時FITAP需要能夠自動發(fā)現(xiàn)可接入的無線控制器，并對無線控制器和FITAP之間的網(wǎng)絡(luò)拓?fù)洳幻舾?、 無線控制器支持FITAP的配置代理和查詢代理,能夠?qū)⒂脩魧ITAP的配置順利傳達(dá)到指定的FITAP設(shè)備，同時可以實時察看FITAP的狀態(tài)和統(tǒng)計信息4、 無線控制器保存FITAP的最新軟件，并負(fù)責(zé)FITAP軟件的自動更新H3C公司通過這一全新的網(wǎng)絡(luò)管理接口可以很好的解決目前型WLAN網(wǎng)絡(luò)組網(wǎng)中存在的管理問題：1、 用戶只需要建立業(yè)務(wù)參數(shù)模板和設(shè)備參數(shù)模板，并設(shè)定指定的AP引用這些模板，當(dāng)FITAP啟動時無線控制器會根據(jù)預(yù)先的配置引用信息給FITAP下發(fā)配置，用戶的配置工作量大大減少。2、 用戶對FITAP的管理是通過無線控制器來代理完成，網(wǎng)管不再關(guān)心FITAP的IP地址,FITAP和無線控制器之間的關(guān)聯(lián)是自動完成,不再需用戶對AP進(jìn)行的配置干預(yù)。3、 無線用戶的數(shù)據(jù)報文被FITAP封裝在AP和AC間的數(shù)據(jù)隧道中，接入AP的邊緣網(wǎng)絡(luò)不需要再為無線用戶的接入而更改VLAN和ACL等配置4、 無線控制器保存了所管理的FITAP的運行狀況和在線用戶統(tǒng)計信息，維護人員只需登錄到指定的無線控制器就可以完成信息察看。用戶對FITAP的管理是通過無線控制器來代理完成，因此在線更改服務(wù)策略設(shè)定和安全策略設(shè)定也不再需要逐一登錄到AP設(shè)備，而只需要登錄到指定的無線控制器就可以完成設(shè)置，無線控制器會自動把新的配置下發(fā)到指定的FITAR5、 用戶不再需要手動逐一對AP設(shè)備進(jìn)行軟件升級，AP在每次重新啟動時會自動比較當(dāng)前運行的版本和無線控制器上保存的版本，如果無線控制器上保存的版本更新，F(xiàn)ITAP會自動更新本地的軟件影像.6、 AP本地不再保存配置信息,即使設(shè)備丟失也不存在因配置丟失而出現(xiàn)的安全隱患。電信級產(chǎn)品質(zhì)量保證H3C自2003年公司成立以來就繼承了業(yè)界領(lǐng)導(dǎo)廠商華為和3Com的WLAN產(chǎn)品。整個無線產(chǎn)品的規(guī)劃器都是按照電信級設(shè)計,從阻容到主處理芯片，每一個元器件都經(jīng)過嚴(yán)格質(zhì)量認(rèn)證和技術(shù)認(rèn)證，基本上是選用一流供應(yīng)商的元器件，保證元器件的性能和品質(zhì)。在產(chǎn)品生產(chǎn)上，H3C公司采用業(yè)界先進(jìn)的IPDCMM3.0集成產(chǎn)品開發(fā)流程,有嚴(yán)格的質(zhì)量管理體系，從全流程的每一個環(huán)節(jié)控制產(chǎn)品質(zhì)量.強大的研發(fā)團隊，自主知識產(chǎn)權(quán)，快速響應(yīng)客戶需求H3C的研發(fā)團隊分布在北京、杭州、深圳和印度，海外研發(fā)中心緊跟前沿技術(shù)腳步，國內(nèi)研發(fā)中心快速響應(yīng)客戶需求.H3C全系列WLAN產(chǎn)品采用完全自主研發(fā)的軟件，并采用了業(yè)界最為嚴(yán)格的測試標(biāo)準(zhǔn)，由位于北京的獨立的鑒定測試中心來最終鑒定產(chǎn)品能否達(dá)到質(zhì)量標(biāo)準(zhǔn)。此外由于自主開發(fā)軟件，完全掌握知識產(chǎn)權(quán),很容易根據(jù)客戶的要求定制特殊功能，以滿足特定情況下的應(yīng)用.完善的服務(wù)體系H3C公司在全國建立了30個區(qū)域服務(wù)中心和區(qū)域備件系統(tǒng)，承諾為客戶提供專業(yè)、快捷、規(guī)范的服務(wù)，通過先進(jìn)的通信技術(shù)與總部的技術(shù)服務(wù)平臺連接，完成客戶檔案、維護經(jīng)驗案例、備件庫存、產(chǎn)品發(fā)布等信息的共享，形成覆蓋全國地市級城市,專職人員規(guī)模超過400人的技術(shù)服務(wù)體系。H3C致力于通過高質(zhì)量的服務(wù)提高用戶網(wǎng)絡(luò)的可用性，提升用戶滿意度.H3C成立了備件中心(SPC，SparePartsCenter)專門支撐H3C公司的售后服務(wù)和向客戶的承諾,依托遍布全國主要城市的30個區(qū)域備件庫和位于杭州、北京及深圳的3個分撥中心，建成了國際化、標(biāo)準(zhǔn)化、現(xiàn)代化的物流管理系統(tǒng).H3C備件中心科學(xué)地進(jìn)行備件倉儲分析和管理，能夠向客戶提供高效的備件服務(wù),最大限度地保障客戶網(wǎng)絡(luò)的平穩(wěn)運行?！鲐S富的無線網(wǎng)絡(luò)工程經(jīng)驗無線網(wǎng)絡(luò)的工程實施對整個項目的成敗至關(guān)重要。H3C專門成立了無線工程督導(dǎo)團隊來確保無線網(wǎng)絡(luò)工程的順利實施，目前H3C公司已經(jīng)成功實施了第六屆亞洲冬季運動會、北京解放軍總醫(yī)院、國家知識產(chǎn)權(quán)局、新華社、北京航空航天大學(xué)、北京交通大學(xué)、華東理工大學(xué)、上海湯臣洲際大大樓等無線網(wǎng)絡(luò)工程的部署,具備豐富的無線項目實施工程經(jīng)驗，保證項目進(jìn)度,后顧無憂?！鋈娴陌踩?，支持WAPI前段時間,財政部、發(fā)改委和信產(chǎn)部聯(lián)合下發(fā)了《關(guān)于印發(fā)無線局域網(wǎng)產(chǎn)品政府采購實施意見的通知》，在政府采購中將優(yōu)先考慮符合國家無線標(biāo)準(zhǔn)的產(chǎn)品,這就要求相關(guān)政府部門采購的WLAN產(chǎn)品，要具備支持WAPI標(biāo)準(zhǔn)的能力.我們知道，WAPI之所以沒有成為全球標(biāo)準(zhǔn)，其主要原因就是以Intel為首的國外廠商，的公開反對；出于政治上的考慮，國外廠商目前的WLAN產(chǎn)品不支持WAPI標(biāo)準(zhǔn)，將來也不會支持WAPI標(biāo)準(zhǔn)；而國內(nèi)也有一些廠家，產(chǎn)品是從國外廠商那里OEM而來或者和國外廠商聯(lián)合開發(fā)，主要的技術(shù)都依賴這些國外廠商，同樣也無法支持WAPI標(biāo)準(zhǔn)。而華三通信作為一家中國本土廠商，所有的WLAN產(chǎn)品均按照中國標(biāo)準(zhǔn)要求自主開發(fā)，目前所有的WLAN產(chǎn)品均具備支持WAPI的能力，一旦國家強制推行WAPI標(biāo)準(zhǔn)，華三通信所有WLAN產(chǎn)品只需升級軟件即可完成對WAPI標(biāo)準(zhǔn)的支持.4.5無線網(wǎng)絡(luò)規(guī)劃4.5。1頻率規(guī)劃目前針對WLAN來講，2.4G具有3具不重疊的信道，針對5。8G具有5個不重疊信道，但由于網(wǎng)絡(luò)用戶具有一定的不確定性，故網(wǎng)絡(luò)覆蓋時所需要的WLAN網(wǎng)絡(luò)空間都要進(jìn)行2。4G與5.8G的頻率覆蓋，從網(wǎng)絡(luò)規(guī)劃的角度出發(fā)，主要考慮2.4G與5.8G二個頻率的覆蓋設(shè)計，針對2.4G的頻率的信號衰減模型主要采用如下：PathLoss(dB)=46+10*n*LogD(m),而對于5.8G的信號衰減模型：PathLoss(dB)=32.4+20^lgf[MHz]+20*lgd[KM]+a大d[KM]，以上二信號衰減模型進(jìn)行網(wǎng)絡(luò)的設(shè)計，到具體網(wǎng)絡(luò)實施時要進(jìn)行工勘與優(yōu)化,而對于信道主要采用1、6、11三個信道交錯使用，具體的面覆蓋邏輯示意圖如下：圖7.WLAN2。4G信道規(guī)劃示意圖4。5.2頻率復(fù)用圖8.無線覆蓋示意圖針對頻率復(fù)用的設(shè)計與實現(xiàn)主要側(cè)重于重疊區(qū)域，考慮到802.11技術(shù)中目前業(yè)界主要采用DCF的仲裁，這樣會導(dǎo)致從網(wǎng)絡(luò)實施的角度出發(fā)，沒有辦法做到像GSM、3G網(wǎng)絡(luò)的控制力度，從技術(shù)原理的角度出發(fā)，沒有辦法實現(xiàn)很好的頻率復(fù)用，只能被動做些負(fù)載均衡的功能。每個AP具有54Mbps、48Mbps、36Mbps、18Mbps等的覆蓋范圍，對于54Mbps的覆蓋范圍不重疊，對于54Mbps與18Mbps就可能進(jìn)行重疊，可以根據(jù)網(wǎng)絡(luò)側(cè)的負(fù)載功能進(jìn)行實現(xiàn)一定程度的頻率復(fù)用功能，從網(wǎng)絡(luò)規(guī)劃的角度出發(fā)，WLAN基本上、下行無線鏈路復(fù)用的處理問題，因為目前都是DCF方式，而從只能結(jié)合業(yè)務(wù)目標(biāo)實現(xiàn)網(wǎng)絡(luò)覆蓋效果，具體網(wǎng)絡(luò)使用效果使用負(fù)載均衡功能進(jìn)行實現(xiàn)。負(fù)載均衡的功能實現(xiàn)具體原理如下：根據(jù)負(fù)載均衡的配置確定負(fù)載均衡的模式、SSID、其他參與負(fù)載均衡的AP的標(biāo)識、用戶數(shù)或流量的閥值等進(jìn)行一定的初始化；確定本AP的2個射頻模塊連接的STA用戶數(shù)量和流量；通過UDP協(xié)議以私有方式定時進(jìn)行AP間通訊。先進(jìn)行握手，成功后才進(jìn)行數(shù)據(jù)的交換,獲取參與負(fù)載均衡的AP的負(fù)載信息。當(dāng)有STA要接入時，根據(jù)其工作頻率，比較本AP上該射頻下的負(fù)載和其他AP的指定SSID下的用戶數(shù)或流量，以及負(fù)載均衡的SSID綁定接口的速率集，決定STA能否接入。同時要注意到若用戶數(shù)已達(dá)到AP某個SSID的最大用戶數(shù)，則該AP的SSID不允許再接入STA;4.5o3AP容量規(guī)劃從業(yè)界實現(xiàn)的DCF方式來看，沒有一個最大用戶數(shù)的限制,但業(yè)界各個廠商進(jìn)行實現(xiàn)時都基于一定理解的前提下進(jìn)行默認(rèn)限制,H3C目前每個AP最大的用戶默認(rèn)限制為64個用戶，并可以根據(jù)實際情況更改每個AP限制接入的用戶數(shù)。根據(jù)多年的WLAN部署經(jīng)驗,H3C建議，從網(wǎng)絡(luò)規(guī)劃的角度出發(fā)，按照每個AP覆蓋25?30用戶進(jìn)行部署，可以保證用戶的接入質(zhì)量和正常需求下的網(wǎng)絡(luò)吞吐量。五、覆蓋方案5。1走廊直放覆蓋對于大樓大樓，由于建筑系統(tǒng)結(jié)構(gòu)簡單，人員密度，計劃采用由走廊內(nèi)獨立AP布點進(jìn)行覆蓋.（由于每個大樓結(jié)構(gòu)都不同，大概設(shè)計理念圖,示看起來會更專業(yè)些。在天線選用方面，如果該大樓走廊有吊頂并可以施工推，薦采用吸頂天線,覆蓋效果好；如果沒有，則放在走廊的墻壁上該三、四層區(qū)域總共需要16個H3CWA2210—AG（FITAP）。其中兩邊各放置3個，大會議室放置2個。圖9.典型區(qū)域環(huán)境5.2室內(nèi)直放覆蓋對于會議室區(qū)域，小會議室通常面積都不大（小于100平方米），每個場所放一個AP即可滿足覆蓋需求。對于大面積區(qū)域稍復(fù)雜的應(yīng)用環(huán)境（單位面積人員數(shù)量）,例如大廳或多功能廳，考慮使用一個或者多個AP進(jìn)行覆蓋。參考原則為每個AP的用戶容量25?30人。由于該類區(qū)域位置相對分散，且每個房間單獨部署，所以的拜訪位置比較隨意，可以掛在墻面上，也可以擺放在屋內(nèi)不明顯的位置。5。3AP布點覆蓋原則使用室內(nèi)直放AP布點覆蓋，需考慮及遵循以下幾個問題和原則：需要有入戶線纜資源（雙絞線或五類線）。保持信號穿過墻壁和天花板的數(shù)量最小。2.4G信號能夠穿透墻壁和天花板，然而，每一面墻壁和天花板都將使AP信號的覆蓋范圍減少1到30米。應(yīng)放置AP與計算機于合適的位置，使墻壁和天花板阻礙信號的路徑最短,損耗最小?？紤]AP和覆蓋區(qū)域之間直線連接。注意AP的放置位置，要盡量使信號能夠垂直的穿過（90度角）墻壁或天花板.不同的建筑材料產(chǎn)生不同的傳輸效果.由金屬的框架或門構(gòu)成的建筑物會使WLAN無線信號的傳輸距離變小.放置AP的位置應(yīng)使信號通過干燥的墻壁或敞開的門，避免放置在使信號必須通過金屬材料的位置。AP天線方向可調(diào)，安裝AP的位置應(yīng)確保天線主波束方向正對覆蓋目標(biāo)區(qū)域，保證良好的覆蓋效果。AP安裝位置需遠(yuǎn)離電子設(shè)備（起碼1?2米），例如微波爐、監(jiān)視器、電機等。5。4覆蓋效果理論計信號強度和傳輸距離的換算公式AP加卡的信號總強度公式：Gt—Gr+AP天線增益+終端天線增益=L信號總強度（dB）Gt（AP或終端功率，單位dB）,Gr（終端或AP靈敏度，單位dB）距離產(chǎn)生的信號衰減公式：40+20lgd=L1（dB）d（距離，單位m）工程中最大傳輸距離以45m計算，所以L1=72dB障礙物的衰減：物體dB地板30帶窗戶的磚墻2辦公室墻6辦公室墻的金屬門6磚墻的金屬門12.4靠近金屬門的磚墻3工程中實際的障礙物的最大衰減是臨窗墻的衰減3dB加上房間墻的衰減12dB等于15dB。六、產(chǎn)品介紹6.1大樓采用的WLAN產(chǎn)品綜述大樓項目中，建議采用16臺H3CWA2210-AG（FITAP）和一臺H3CWX3024無線控制器+H3CLS-3100—16TP-PWR-EI-F—H3,形成“FITAP+POE供電交換機+無線控制器”的組網(wǎng)模式oWA2210—AG負(fù)責(zé)覆蓋大樓中的辦公、會議室等地區(qū)，保證用戶接入的信號質(zhì)量;WX3024對所有的AP進(jìn)行管理與智能控制，保證用戶能夠安全、穩(wěn)定、高帶寬的接入到Internet，并能為大樓信息維護人員提供便利，管理維護更簡單。6。2無線接入點（AP）WA2210—AG介紹WA2100和WA2200系列無線產(chǎn)品是華三通信技術(shù)有限公司（H3C）自主研發(fā)的雙頻多模系列無線接入點，可廣泛應(yīng)用于各種向用戶提供WLAN接入的無線網(wǎng)絡(luò)；WA2100系列產(chǎn)品屬于瘦AP（FitAP）需要與無線控制器系列產(chǎn)品配套使用；WA2200系列支持Fat和Fit兩種工作模式，根據(jù)網(wǎng)絡(luò)規(guī)劃的需要，可以通過命令行靈活地在Fat和Fit兩種工作模式中切換.WA2200系列產(chǎn)品作為瘦AP（FitAP）時，需要與無線控制器系列產(chǎn)品配套使用；作為胖AP（FatAP）時,可以獨立進(jìn)行組網(wǎng)。WA2200系列產(chǎn)品支持Fat/Fit兩種工作模式的特性，有利于將客戶的WLAN網(wǎng)絡(luò)由小型網(wǎng)絡(luò)平滑升級到大型網(wǎng)絡(luò)，從而很好地保護用戶的投資。WA2100系列產(chǎn)品包括WA2210-AG。它是一款雙頻多模無線接入點，常用于室內(nèi)無線覆蓋，雙頻率即可工作于WLAN的2。4GHz頻段或5GHz頻段之上;多模即指支持IEEE802.11a、IEEE802.11b和IEEE802。11g三種模式。WA2210—AG產(chǎn)品視圖如下：WA2210-AG設(shè)備外觀圖WA2200系列產(chǎn)品包括室內(nèi)型WA2210-AG（單頻）和WA2220-AG（雙頻），適用于覆蓋半徑小、對環(huán)境要求不高的室內(nèi)應(yīng)用場景增強型WA2220E—AG（雙頻），主要面向倉庫、工廠車間等對溫度、防塵等環(huán)境要求較高的應(yīng)用場景；室外型WA2210X—G（單頻），WA2220X—AG（雙頻）和WA2220X-AGP（雙頻大功率），主要面向?qū)Ω叩蜏亍⒎莱?、防水、防塵、防雷有較高要求的室外應(yīng)用場景。WA2200系列產(chǎn)品視圖如下：WA2200系列設(shè)備外觀圖>支持虛擬APWA2100和WA2200系列產(chǎn)品支持多SSID實現(xiàn)虛擬AP特性，每個SSID可對應(yīng)不同的VLAN、從而對于每一個SSID可以實現(xiàn)不同的網(wǎng)絡(luò)服務(wù)及認(rèn)證方式.該特性使管理員可以方便的為不同用戶群、不同的業(yè)務(wù)制定區(qū)分的服務(wù)策略。>支持“零配置”特性傳統(tǒng)無線網(wǎng)絡(luò)的部署需要網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)中的每一個AP進(jìn)行逐一配置，當(dāng)無線網(wǎng)絡(luò)規(guī)模較大時網(wǎng)絡(luò)管理人員往往要配置上百個AP，配置工作量巨大，且易于出錯。而采用H3CWA2100或WA2200作為FitAP配合無線控制器的進(jìn)行組網(wǎng)時，網(wǎng)絡(luò)維護人員只需要在無線控制器上對業(yè)務(wù)屬性和物理屬性相似的AP建立配置模版，這樣AP在啟動時可以從無線控制器動態(tài)獲取配置文件，AP側(cè)可不做任何配置，只需上電即可正常工作，該特性極大方便了用戶的使用，也降低了設(shè)備的維護成本。另外，由于AP本身不保存任何配置，萬一設(shè)備丟失，也可以保證網(wǎng)絡(luò)配置不被竊取,保證了網(wǎng)絡(luò)的安全。AP支持啟動后自動獲取IP地址、自動獲取無線控制器的工作列表并自動和無線控制器建立關(guān)聯(lián)，真正做到了零配置，免維護，極大地減輕了網(wǎng)絡(luò)管理人員在部署網(wǎng)絡(luò)階段的維護工作量。支持集中管理WA2100或WA2200作為FitAP和無線控制器配合組網(wǎng)，大部分管理報文和數(shù)據(jù)報文都需要經(jīng)過無線控制器的統(tǒng)一處理。在無線控制器端，通過CAPWAP 協(xié)議控制網(wǎng)絡(luò)中所有的FitAP所有設(shè)備的狀態(tài)都一目了然。較之傳統(tǒng)的FatAP，無線控制器加FitAP的應(yīng)用模式極大地方便了系統(tǒng)管理員管理整個網(wǎng)絡(luò)。支持版本自動升級WA2100和WA2200可以和網(wǎng)絡(luò)內(nèi)的無線控制器自動取得關(guān)聯(lián)，并下載最新的軟件版本到AP設(shè)備。所有的這些操作都是自動完成的，不需要人工干預(yù)，減少了網(wǎng)絡(luò)維護的工作量。這個特性對于大型網(wǎng)絡(luò)尤其重要。支持豐富的認(rèn)證方式WA2100和WA2200系列產(chǎn)品配合H3C自主研發(fā)的無線控制器系列產(chǎn)品,可實現(xiàn)802.1X認(rèn)證、PSK認(rèn)證、MAC、PortalWAPI等多種認(rèn)證方式。WA2200作為FatAP時支持802。lx認(rèn)證、PSK認(rèn)證、MAC認(rèn)證等多種認(rèn)證方式，認(rèn)證方式的多樣性保證了應(yīng)用的靈活性。支持硬件加解密WA2100和WA2200系列產(chǎn)品采用了業(yè)界先進(jìn)的無線芯片，支持WEP/TKIP/AES等硬件加解密算法，使安全處理不成為系統(tǒng)應(yīng)用的瓶頸.支持密鑰動態(tài)協(xié)商和更新WA2100和WA2200系列產(chǎn)品,在采用TKIP或AES加密算法時，相應(yīng)的密鑰均是由動態(tài)協(xié)商而來，且可以在使用一定的時長或加密數(shù)據(jù)幀后，進(jìn)行動態(tài)更新。這使得非法無線用戶的竊聽企圖難以得逞。支持中國標(biāo)準(zhǔn)WAPI（無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)）WA2100和WA2200系列產(chǎn)品，除了支持802.11i和WPA等國際標(biāo)準(zhǔn)外，配合無線控制器還支持中國無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629。11-2003中提出的、安全等級更高的WAPI。支持IPv6特性WA2100和WA2200系列產(chǎn)品實現(xiàn)了IPv4/IPv6雙協(xié)議棧,與無線控制器之間可以穿過IPv6網(wǎng)絡(luò)互聯(lián)，使得組網(wǎng)方式更加靈活，可以滿足今后網(wǎng)絡(luò)發(fā)展的需要，保護用戶投資。WA2210—AG也也支持無線用戶采用IPv6接入網(wǎng)絡(luò).支持EAD無線接入端點準(zhǔn)入防御(EAD,EndpointAdmissionDefense)解決方案從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動，對接入網(wǎng)絡(luò)的用戶終端強制實施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，有效地加強了用戶終端的主動防御能力，為企業(yè)網(wǎng)絡(luò)管理人員提供了有效、易用的管理工具和手段.H3CWA2100和WA2200系列產(chǎn)品支持無線用戶的EAD接入,通過與安全策略服務(wù)器的聯(lián)動，可以對感染病毒或存在系統(tǒng)漏洞等不合格的無線客戶端進(jìn)行下線、隔離、提醒或監(jiān)控等多種方式的處理，只有無線客戶端符合相應(yīng)的安全策略之后才允許正常訪問網(wǎng)絡(luò),從而提高了無線網(wǎng)絡(luò)的整體安全性.>支持智能的負(fù)載均衡WA2100和WA2200系列無線接入點支持按接入用戶數(shù)量和流量的復(fù)雜均衡方式，當(dāng)無線控制器發(fā)現(xiàn)AP的負(fù)載超過設(shè)定的門限值以后，對于新接入的用戶無線控制器會自動計算此用戶周圍是否還有負(fù)載較輕的AP可供用戶接入，如果有則AP會拒絕用戶的關(guān)聯(lián)請求，用戶會轉(zhuǎn)而接入其他負(fù)載較輕的AP，但如果無線用戶不在AP的重疊覆蓋區(qū)內(nèi)，傳統(tǒng)的負(fù)載均衡方式往往會導(dǎo)致連接不上網(wǎng)絡(luò),造成誤均衡。H3C公司創(chuàng)新性地支持智能負(fù)載均衡技術(shù)，保證只對處于AP覆蓋重疊區(qū)的無線用戶才啟動AP負(fù)載均衡功能，有效的避免誤均衡的出現(xiàn)，從而最大限度的提高了無線網(wǎng)絡(luò)容量。>支持用戶隔離策略WA2100和WA2200系列無線接入點支持無線用戶之間的隔離.當(dāng)啟用了此功能后，兩個無線客戶端之間無法直接通訊,無線客戶端只能訪問上游的有線網(wǎng)絡(luò)。應(yīng)用此特性，運營商可強制無線用戶到指定的網(wǎng)關(guān)或服務(wù)器上進(jìn)行計費或更安全的認(rèn)證，實現(xiàn)所謂的熱點應(yīng)用.高可靠性的業(yè)務(wù)設(shè)計WA2100和WA2200（工作于FitAP模式時）系列無線接入點Bootware軟件支持CAPWAP特性，可以與無線控制器進(jìn)行交互完成應(yīng)用程序的加載。支持此特性，在本地應(yīng)用程序損壞或下載了非法應(yīng)用程序的情況下，WA2100和WA2200仍然可以通過無線控制器遠(yuǎn)程加載合法的應(yīng)用程序,恢復(fù)其正常工作。WA2100和WA2200（工作于FitAP模式時）系列無線接入點，僅受無線控制器的管理，WA2100和WA2200本身不對外提供CLI、telnet或SNMP管理接口，保證了設(shè)備本身的安全。WA2100和WA2200（工作于FitAP模式時）系列無線接入點，可同時與多臺無線控制器之間建立CAPWAP隧道連接，多條隧道相互備份，保證了在一臺無線控制器出現(xiàn)故障后,WA2200仍然可以被其它無線控制器所管理。6。3POE供電交換機LS-3100—16TP-PWR-EI—F-H3介紹產(chǎn)品概述H3CS3100-EI系列交換機是H3C公司為構(gòu)建高安全、高智能網(wǎng)絡(luò)需求而專門設(shè)計的新一代以太網(wǎng)交換機產(chǎn)品，在滿足高性能接入的基礎(chǔ)上，提供更全面的安全接入策略和更強的網(wǎng)絡(luò)管理維護易用性，是理想的安全易用接入層交換機。用戶對于網(wǎng)絡(luò)的要求不斷提高,接入交換機不只是提供簡單的數(shù)據(jù)交換功能,而是越來越多地面臨著安全威脅、管理維護復(fù)雜、多業(yè)務(wù)融合和擴展等諸多問題和挑戰(zhàn):如何實現(xiàn)用戶安全的接入控制，防止病從口入？如何能夠準(zhǔn)確定位并抑制層出不窮的惡意欺騙攻擊，將安全隱患拒之門外？如何提高網(wǎng)絡(luò)管理和維護的易用性?如何自動檢測網(wǎng)絡(luò)中是否存在問題并快速準(zhǔn)確定位故障點，如何批量對網(wǎng)絡(luò)的管理和維護進(jìn)行批量操作，以提高網(wǎng)絡(luò)維護效率，降低維護成本?如何滿足園區(qū)網(wǎng)多業(yè)務(wù)融合的需求，并批量實現(xiàn)網(wǎng)絡(luò)資源靈活分配和調(diào)度?如何提高網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)擴展能力，節(jié)省用戶未來對IPv6業(yè)務(wù)應(yīng)用的追加投資？H3CS3100—EI系列交換機在以上各方面為用戶提供了全新的技術(shù)特性和解決方案，完美地解決了當(dāng)前網(wǎng)絡(luò)接入設(shè)備面臨的各種問題。＞全面的接入安全策略H3CS3100-EI系列交換機支持EAD（端點準(zhǔn)入防御）功能，配合后臺系統(tǒng)可以將終端防病毒、補丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個聯(lián)動的安全體系，通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個網(wǎng)絡(luò)變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威脅的整體防御能力。H3CS3100—EI系列交換機支持特有的ARP入侵檢測功能，可有效防止黑客或攻擊者通過ARP報文實施日趨盛行的“ARP欺騙攻擊”，對不符合DHCPSnooping動態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP欺騙報文直接丟棄。同時支持IPSourceCheck特性，防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來的DoS攻擊?另外，利用DHCPSnooping的信任端口特性還可以有效杜絕私設(shè)DHCP服務(wù)器，保證DHCP環(huán)境的真實性和一致性.H3CS3100—EI系列交換機支持端口安全特性族，可以有效防范基于MAC地址的攻擊?？梢詫崿F(xiàn)基于MAC地址允許/限制流量，或者設(shè)定每個端口允許的MAC地址的最大數(shù)量，使得某個特定端口上的MAC地址可以由管理員靜態(tài)配置，或者由交換機動態(tài)學(xué)習(xí)。H3CS3100-EI系列交換機有強大硬件ACL能力，能深度識別報文，支持L2?L4包過濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP協(xié)議類型、TCP/UDP端口、TCP/UDP端口范圍、VLAN、VLAN范圍等定義ACL，以便交換機進(jìn)行后續(xù)的處理?并且支持基于端口、VLAN、全局定義和下發(fā)ACL策略H3CS3100-EI系列交換機支持集中式MAC地址認(rèn)證和802。1x認(rèn)證，支持用戶帳號、IP、MAC、VLAN、端口等用戶標(biāo)識元素的動態(tài)或靜態(tài)綁定，同時實現(xiàn)用戶策略（VLAN、QoS、ACL）的動態(tài)下發(fā);支持配合H3C公司的CAMS系統(tǒng)對在線用戶進(jìn)行實時的管理，及時的診斷和瓦解網(wǎng)絡(luò)非法行為。支持對Proxy進(jìn)行有效的管理。＞增強的網(wǎng)絡(luò)管理和維護的易用性H3CS3100—El系列交換機支持通過FTP、TFTP實現(xiàn)設(shè)備的遠(yuǎn)程升級，支持SNMPv1/v2/v3,可支持OpenView等通用網(wǎng)管平臺，以及iMC智能管理中心.支持CLI命令行,Web網(wǎng)管，Telnet，HGMP集群管理，使設(shè)備管理更方便。H3CS3100—EI系列交換機支持跨交換機的遠(yuǎn)程端口鏡像RSPAN,可以將接入端口的流量鏡像到核心交換機上，可以對全網(wǎng)業(yè)務(wù)和流量進(jìn)行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控，滿足園區(qū)網(wǎng)精細(xì)化管理的需要。H3CS3100-EI系列交換機支持VCT(VirtualCableTest)電纜檢測功能，便于快速定位網(wǎng)絡(luò)故障點；并支持DLDP(DeviceLinkDetectionProtocol)單向鏈路檢測協(xié)議，可以有效的防止網(wǎng)絡(luò)中單通故障的發(fā)生,大幅提高網(wǎng)絡(luò)維護效率，切實將設(shè)備的易用性帶給用戶.＞高性能與靈活擴展能力H3CS3100—EI系列交換機具有19。2G的背板交換容量，支持所有端口線速轉(zhuǎn)發(fā)，滿足了用戶對高帶寬的需求。設(shè)備支持2個GE上行，采用2個固定10/100/1000兆自適應(yīng)電口和2個復(fù)用的通用SFP端口，并且SFP端口既可以支持百兆光模塊，也可以支持千兆光模塊，在降低用戶成本的同時，更好的考慮了用戶后續(xù)升級的實際需求。H3CS3100—EI系列交換機采用專利技術(shù)，允許交換機利用專用互聯(lián)電纜實現(xiàn)多達(dá)16臺設(shè)備的堆疊，最大擴展至384個10/100M端口，支持不同端口設(shè)備的混合堆疊.具有即插即用、單一IP管理?同時大大降低系統(tǒng)擴展的成本，保護了用戶投資.＞豐富的業(yè)務(wù)支持能力H3CS3100-EI系列交換機支持PoE(PoweroverEthernet)技術(shù)，通過以太網(wǎng)對所連接的設(shè)備(如IPPhone.WirelessAP等)進(jìn)行遠(yuǎn)程供電，從而使得不必在使用現(xiàn)場為設(shè)備部署單獨的電源系統(tǒng)，能夠極大地減少部署終端設(shè)備的布線和管理成本。H3CS3100—EI系列交換機支持SP(StrictPriority)、WRR(WeightedRoundRobin)、SP+WRR三種隊列調(diào)度算法，支持每個端口4個輸出隊列，可以以不同的優(yōu)先級將報文放入端口的輸出隊列。6.4無線控制器(AC)WX3024介紹H3CWX3000系列一體化交換機是杭州華三通信技術(shù)有限公司(以下簡稱H3C公司)2022-3-2 第19頁,共28頁自主研發(fā)的集成無線控制器和千兆以太網(wǎng)交換機功能的產(chǎn)品.H3CWX3000系列一體化交換機提供純千兆以太網(wǎng)有線接入口，支持POE+供電，每端口最大提供25W的功率。其中，WX3024后面板提供兩個10GE接口插槽，解決了WLAN網(wǎng)絡(luò)核心的傳輸瓶頸.WX3000系列一體化交換機提供一體化的有線無線接入控制功能，定位于中小型企業(yè)網(wǎng)和大型企業(yè)分支機構(gòu)的一體化接入，是一款理想的有線無線一體化交換機.H3CWX3000系列一體化交換機目前有H3CWX3024一款型號。產(chǎn)品視圖如下：WX3024設(shè)備外觀圖＞支持集中式轉(zhuǎn)發(fā)和分布式轉(zhuǎn)發(fā)單一的集中式轉(zhuǎn)發(fā),AC雖然能對報文進(jìn)行全面控制，但所有的無線業(yè)務(wù)流都要到AC進(jìn)行統(tǒng)一處理，使得AC的轉(zhuǎn)發(fā)能力很容易成為瓶頸。特別是當(dāng)通過廣域網(wǎng)方式轉(zhuǎn)發(fā)時AP作為數(shù)據(jù)接入設(shè)備部署在分支機構(gòu)，而無線控制器部署在總部，所有用戶數(shù)據(jù)由AP發(fā)送到無線控制器，再由無線控制器進(jìn)行集中轉(zhuǎn)發(fā)，導(dǎo)致轉(zhuǎn)發(fā)效率低下。甚至當(dāng)802。11n出現(xiàn)時，一個AP的業(yè)務(wù)報文流量高達(dá)300M之多，AC的處理性能更加成為無線系統(tǒng)的瓶頸。當(dāng)采用分布式轉(zhuǎn)發(fā)時,報文在AP上直接轉(zhuǎn)化為有線格式的報文，并不經(jīng)過AC，能夠?qū)崿F(xiàn)無線報文的寬帶接入.WX3000系列一體化交換機，支持兩種轉(zhuǎn)發(fā)方式，用戶可以根據(jù)需要，給予SSID設(shè)置轉(zhuǎn)發(fā)的類型。＞基于AP的用戶接入控制出于安全性或計費等的考慮,系統(tǒng)管理員可能希望控制無線用戶接入到網(wǎng)絡(luò)中的位S.H3CWX3000系列UnifiedSwitch支持基于AP的用戶接入控制。當(dāng)無線用戶接入網(wǎng)絡(luò)時，可以通過認(rèn)證服務(wù)器向AC下發(fā)允許用戶接入的AP列表，在AC上進(jìn)行接入控制，來達(dá)到限制無線用戶只能接入到指定位置的AP的目的。＞方便部署、易于管理傳統(tǒng)無線網(wǎng)絡(luò)的部署需要網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)中的每一個AP進(jìn)行逐一配置，當(dāng)無線網(wǎng)絡(luò)規(guī)模較大時網(wǎng)絡(luò)管理員往往要配置上百個AP，工作量巨大，且容易出錯?而采用無線控制器和FITAP配合組網(wǎng)時，只需要在無線控制器上對一類相同屬性的AP建立配置模板，AP在啟動時可以自動從無線控制器上下載最新的配置文件。另外，由于AP本身不保存任何配置,2022-3-2 第20頁,共28頁萬一設(shè)備丟失，也可以保證網(wǎng)絡(luò)配置不被竊取。AP支持啟動后自動獲取IP地址、自動獲取AC的工作列表并自動和AC建立關(guān)聯(lián)，真正做到了零配置，免維護，即插即用，極大地減輕了網(wǎng)絡(luò)管理員在部署網(wǎng)絡(luò)階段的維護工作量。當(dāng)網(wǎng)絡(luò)正常運行以后,無線控制器對所管理的AP以及AP所接入的用戶進(jìn)行實時監(jiān)控，并能將這些信息實時上報給網(wǎng)管。維護人員可以指定AP或用戶進(jìn)行在線服務(wù)策略設(shè)定和安全策略設(shè)定，使網(wǎng)絡(luò)配置策略更加靈活?同時，無線控制器支持AP軟件自動更新功能,AP在每次重新啟動時會自動比較當(dāng)前運行的軟件版本和無線控制器上的最新版本是否一致，如不一致AP會自動更新本地的軟件映像，軟件升級不再需要網(wǎng)管人員的干預(yù)。>三層漫游H3CWX3000系列UnifiedSwitch支持無線用戶三層漫游，并支持快速漫游，漫游切換時間小于50ms,滿足對切換時間要求最苛刻的語音業(yè)務(wù)。豐富的RF管理和安全RF管理功能，可以使得無線網(wǎng)絡(luò)的布網(wǎng)靈活性大大增強，網(wǎng)絡(luò)的可維護性得到很大的提高。AP的功率調(diào)整和信道切換是網(wǎng)絡(luò)部署和調(diào)試時不可缺少的重要手段,信道和功率還需要按照國家代碼自動設(shè)置,H3CWX3000系列無線控制器的RF管理功能使得網(wǎng)絡(luò)部署非常簡單.RSSI/SNR的不斷更新，更是讓系統(tǒng)可以適時了解每一個無線用戶所處電磁環(huán)境的好壞、離AP的距離，從而可以采取相應(yīng)的策略來提升網(wǎng)絡(luò)可用性。>支持智能的負(fù)載均衡支持按接入用戶數(shù)量和流量的復(fù)雜均衡方式，當(dāng)無線控制器發(fā)現(xiàn)AP的負(fù)載超過設(shè)定的門限值以后，對于新接入的用戶無線控制器會自動計算此用戶周圍是否還有負(fù)載較輕的AP可供用戶接入，如果有則AP會拒絕用戶的關(guān)聯(lián)請求，用戶會轉(zhuǎn)而接入其他負(fù)載較輕的AP，但如果無線用戶不在AP的重疊覆蓋區(qū)內(nèi)，傳統(tǒng)的負(fù)載均衡方式往往會導(dǎo)致連接不上網(wǎng)絡(luò)，造成誤均衡.H3C公司創(chuàng)新性地支持智能負(fù)載均衡技術(shù)，保證只對處于AP覆蓋重疊區(qū)的無線用戶才啟動AP負(fù)載均衡功能，有效的避免誤均衡的出現(xiàn)，從而最大限度的提高了無線網(wǎng)絡(luò)容量。完善的QoSH3CWX3000系列UnifiedSwitch基于H3C公司最新的ComwareV5平臺開發(fā)，不但對Diff—Serv標(biāo)準(zhǔn)進(jìn)行了完善。QoSDiff—Serv模型中主要包括流分類、流量監(jiān)管(Policing)、隊列管理、隊列調(diào)度(Scheduling)等，完整實現(xiàn)了標(biāo)準(zhǔn)中定義的EF、AF1?AF4、BE等六組PHB及業(yè)務(wù)，可為用戶提供具有不同服務(wù)質(zhì)量等級的服務(wù)保證，真正成為同時承載數(shù)據(jù)、語音和視頻業(yè)務(wù)的綜合網(wǎng)絡(luò)。>支持隧道QoSAP接收到的無線報文首先要通過CAPWAP隧道送到AC上進(jìn)行分析處理，H3CWX3000系列UnifiedSwitch支持無線QoS到有線QoS/CoS的映射。在AP狽9,無線域的QoS信息(802.11E)可以被映射到外層隧道的有線二層域(802.1p)和三層域(DSCP)中，這樣可以保證高優(yōu)先級無線報文在有線網(wǎng)絡(luò)上受到更好的優(yōu)先級保證。支持QoSProfile在基于用戶授權(quán)方式的網(wǎng)絡(luò)管理中,用戶通過認(rèn)證，即獲得訪問網(wǎng)絡(luò)的權(quán)限。授權(quán)包括控制用戶可訪問的網(wǎng)絡(luò)范圍,以及用戶可獲得的網(wǎng)絡(luò)服務(wù)質(zhì)量，如訪問帶寬、訪問優(yōu)先級.在用戶移動的網(wǎng)絡(luò)中或大型網(wǎng)絡(luò)中，為了方便網(wǎng)管人員開展日常的管理工作，QoSprofile特性提供了一種更模塊化、更簡單的管理方式。管理人員將一組基于用戶群或特殊用戶定制的策略配置在各個用戶的profile中，并且為每個用戶群或特殊用戶預(yù)先分配各自的profile，用戶認(rèn)證上線時，在用戶上線的端口動態(tài)下發(fā)profile配置，使該用戶能動態(tài)獲得其可以訪問的網(wǎng)絡(luò)范圍，訪問帶寬以及訪問優(yōu)先級;在用戶下線時，取消該用戶在這個端口上的配置，自動關(guān)閉該端口的特殊訪問權(quán)限。QoSprofile中可以下發(fā)的配置包括ACL、QoS(優(yōu)先級、帶寬限速、802.1p和DSCP標(biāo)記)、VLAN。>支持多種認(rèn)證方式H3CWX3000系列UnifiedSwitch提供802。1x認(rèn)證，portal認(rèn)證，MAC地址認(rèn)證等多重認(rèn)證方式。H3CWX3000系列UnifiedSwitch支持TLS、PEAP、TTLS、MD5、SIM卡、EAP-FAST等多種802。1x的認(rèn)證方式，同時WX3000系列無線控制器還支持通過802。1x認(rèn)證后下發(fā)VLAN和ACL功能,完成不同用戶的動態(tài)授權(quán)。Portal認(rèn)證方式解決了不便于安裝客戶端用戶的安全認(rèn)證問題.MAC地址認(rèn)證功能解決了一些手持終端(例如:WiFiPhone、手持移動終端等)并不方便采取電腦上的認(rèn)證問題。支持無線入侵檢査WIDS(WirelessIntrusionDetectionSystem)H3C3000系列UnifiedSwitch支持非法AP檢測，黑/白名單設(shè)置和無線協(xié)議攻擊防御等WIDS功能，有效的提高了無線網(wǎng)絡(luò)的整體安全。通過非法AP檢測功能，無線網(wǎng)絡(luò)可以自動監(jiān)測非法設(shè)備(例如RougeAP,或者AdHoc無線終端),并適時上報網(wǎng)管中心,同時對非法設(shè)備的攻擊可以進(jìn)行自動防護。白名單功能確保只有名單上的無線用戶才能進(jìn)行數(shù)據(jù)傳輸，其他用戶均被認(rèn)為非法用戶，非法用戶的報文全部在AP上被丟棄，從而減少非法報文對無線網(wǎng)絡(luò)的沖擊。另一方面,無線控制器還提供黑名單功能。用戶可以通過配置方式或者控制器實時檢測偵聽的方式來確定設(shè)備是否被加入黑名單，被加入到黑名單中的設(shè)備發(fā)過來的報文全部在AP上丟棄，從而減少攻擊報文對無線網(wǎng)絡(luò)的沖擊.無線控制器還支持多種攻擊的檢測，例如DOS攻擊,Flood攻擊，去認(rèn)證、去連接報文的仿冒檢測，以及無線用戶WeakIV檢測。特別無線協(xié)議攻擊防御可以和動態(tài)黑名單配合使用，當(dāng)控制器檢測到攻擊時,可以將發(fā)起攻擊的無線客戶端動態(tài)添加到動態(tài)黑名單中，從而保證WLAN系統(tǒng)不再被該設(shè)備攻擊。>支持EAD無線接入端點準(zhǔn)入防御(EAD，EndpointAdmissionDefense)解決方案從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動,對接入網(wǎng)絡(luò)的用戶終端強制實施企業(yè)安全策略,嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，有效地加強了用戶終端的主動防御能力,為企業(yè)網(wǎng)絡(luò)管理人員提供了有效、易用的管理工具和手段。H3C3000系列UnifiedSwitch支持無線用戶的EAD接入，通過與安全策略服務(wù)器的聯(lián)動,可以對感染病毒或存在系統(tǒng)漏洞等不合格的無線客戶端進(jìn)行下線、隔離、提醒或監(jiān)控等多種方式的處理，只有無線客戶端符合相應(yīng)的安全策略之后才允許正常訪問網(wǎng)絡(luò),從而提高了無線網(wǎng)絡(luò)的整體安全性。>有線無線一體化的網(wǎng)管系統(tǒng)IMC網(wǎng)管是H3C公司自主研發(fā)的新一代網(wǎng)絡(luò)管理系統(tǒng)dMC網(wǎng)管采用組件化結(jié)構(gòu)設(shè)計，通過安裝不同的業(yè)務(wù)組件實現(xiàn)了設(shè)備管理、軟件升級管理、配置文件管理、告警管理、性能管理等功能。無論對于企業(yè)網(wǎng)、校園網(wǎng)、園區(qū)網(wǎng)用戶還是各大運營商，IMC網(wǎng)管都可以提供完善的解決方案,方便用戶監(jiān)控、維護、管理各自的網(wǎng)絡(luò)。H3C3000系列UnifiedSwitch提供本地維護、遠(yuǎn)程維護、集中維護等多種維護手段,并提供完備的告警、測試、診斷、跟蹤、日志等功能，方便用戶的日常維護管理.七、成功案例7.1國家大劇院國家大劇院是我國新時代的標(biāo)志性建筑，是國家最高藝術(shù)表演中心，是具有世界一流水平的大型藝術(shù)殿堂.國家大劇院位于人民大會堂西側(cè)，主體建筑由外部圍護結(jié)構(gòu)和內(nèi)部歌劇院、音樂廳、戲劇場和公共大廳及配套用房組成.國家大劇院作為一座現(xiàn)代化的劇場，建設(shè)了完備的智能樓宇系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)。其網(wǎng)絡(luò)系統(tǒng)除了供部分弱電系統(tǒng)使用外，還需要在大劇院內(nèi)部的辦公室、化妝間、指揮休息間、演員休息廳、排練廳、音像制作中心、新聞發(fā)布廳等場所提供互聯(lián)網(wǎng)接口，尤其是大劇院的票務(wù)系統(tǒng)也要依賴該網(wǎng)絡(luò)平臺，這就對整個網(wǎng)絡(luò)平臺提出了非常高的可靠性要求.大劇院建筑規(guī)模宏大,全部為精裝休，很多區(qū)域無法布設(shè)有線網(wǎng)絡(luò)。其地下建筑部分尤為復(fù)雜，且全部為混凝土澆鑄而成，手機和小靈通信號很不好，極大的影響了大劇院工作人員之間的正常通信。同時,出于安全性的考慮，大劇院需要在很多不方便布線的區(qū)域安裝攝像頭，針對大劇院特殊的需求，H3C提出了S9500無線控制器+WA2210型AP的有線無線一體化的瘦AP解決方案。通過該方案的實施，能夠同時在無線網(wǎng)絡(luò)上提供Wi—Fi語音，無線定位，無線監(jiān)控,無線多媒體播放等多種業(yè)務(wù).此外,針對網(wǎng)絡(luò)的高可靠性要求，H3C還提供了多層次的保障。該方案所采用的S9500無線控制器插卡在繼承了S9500萬兆核心交換機的所有高可靠性特性的基礎(chǔ)上，還另外增加了網(wǎng)絡(luò)可靠性設(shè)計：每個AP同時和兩個無線控制器建立管理隧道，同時注冊到兩個無線控制器上，一旦AP和主用控制器的通信中斷，則會立即注冊到備用控制器上。在實際應(yīng)用中，通過命令行設(shè)置兩臺S9500交換機上的無線控制器插卡工作在負(fù)載分擔(dān)狀態(tài)，一旦其中一個插卡出現(xiàn)故障,則另外一個插卡立即接手管理所有AP的工作。針對大劇院Wi-Fi語音，無線監(jiān)控，無線多媒體播放等業(yè)務(wù)的需求H3C解決方案提供了以下特色功能：高達(dá)54Mbps的接入速率，同時支持108Mbps的接入速率，確保實時業(yè)務(wù)的穩(wěn)定可靠;50ms快速切換，保證了漫游過程中語音和監(jiān)控質(zhì)量不受影響;支持WMM(Wi-FiMulti-Media),能夠提供端到端的QoS,確保網(wǎng)絡(luò)帶寬不足的時候?qū)崟r業(yè)務(wù)不受影響；全面支持組播，減少了數(shù)據(jù)復(fù)制的次數(shù)和占用的帶寬，為多媒體播放提供了良好的支撐。針對大劇院建筑結(jié)構(gòu)復(fù)雜的特點，H3C解決方案提供了先進(jìn)的WLAN+RFID的無線定位功能。對于PC、PDA和Wi—Fi手機等移動終端，無需安裝客戶端,通過網(wǎng)絡(luò)即可完成對設(shè)備的定位;對于其他需要定位的設(shè)備，增加一個RFID即可完成對設(shè)備的定位，整套定位系統(tǒng)還可以和地圖結(jié)合，進(jìn)行實時顯示，單位精度可以達(dá)到2m，極大的提高了大劇院的維護效率.大劇院網(wǎng)絡(luò)涉及核心交換機、匯聚交換機、接入交換機、防火墻、VPN網(wǎng)關(guān)、無線控制器、無線AP、語音網(wǎng)關(guān)，設(shè)備分布于大劇院各個區(qū)域，因此對管理性提出了很高的要求。H3C解決方案采用iMC智能網(wǎng)管軟件，使用一套管理系統(tǒng)完成對設(shè)備、用戶和業(yè)務(wù)的統(tǒng)一管理，真正的實現(xiàn)了有線無線一體化管理。此外，H3C瘦AP解決方案通過功能強大的無線控制器實現(xiàn)智能射頻管理，根據(jù)網(wǎng)絡(luò)狀況調(diào)整AP的工作信道和發(fā)射功率，極大的簡化了網(wǎng)絡(luò)的維護工作量。同時，AP本身零配置，既提高了網(wǎng)絡(luò)安全性，避免因AP丟失而導(dǎo)致網(wǎng)絡(luò)配置被竊取，又大大簡化了AP故障時更換設(shè)備的工作量。大劇院的網(wǎng)絡(luò)既承載內(nèi)部0A、語音和監(jiān)控等業(yè)務(wù)，又面向公眾和媒體提供Internet接入服務(wù)，對網(wǎng)絡(luò)的安全性也提出了很高的要求，H3C無線解決方案在提供非法AP檢測，無線EAD端點準(zhǔn)入功能的同時，還支持MAC地址過濾、802。1x認(rèn)證、802。11i安全機制、WLAN國標(biāo)WAPI等安全認(rèn)證標(biāo)準(zhǔn)，全方位的保證了網(wǎng)絡(luò)安全。H3C公司深刻領(lǐng)會國家大劇院對網(wǎng)絡(luò)系統(tǒng)的高標(biāo)準(zhǔn)要求，建設(shè)了一個高可靠、高安全、高性能、可擴展的有線無線一體化的計算機網(wǎng)絡(luò)系統(tǒng)，有力的保證了國家大劇院日常業(yè)務(wù)的正常運轉(zhuǎn),極大的提升了國家大劇院的IT管理水平。7。2北辰亞運村網(wǎng)絡(luò)改造工程北辰亞運村網(wǎng)絡(luò)改造和國家會議中心及配套設(shè)施網(wǎng)絡(luò)建設(shè)工程是08年奧運