酒店網(wǎng)絡設計方案

1、目錄一、網(wǎng)絡建設概述21、建設背景：22、上網(wǎng)需求漸增2二、設計原則31、網(wǎng)絡需求分析32、建設目標、33、設計原則3三、方案設計思路51、網(wǎng)絡拓撲圖如下：52、技術實施52.1、IP地址分配62.2、防止ARP地址欺騙62.3、IDS防范82.4、報文源認證82.5、設置異常流量防護82.6、設置IP流量限制92.7、設置網(wǎng)絡連接限數(shù)10四、組網(wǎng)設備介紹101.路由器（H3C ER3260）102.核心交換機與無線控制器(H3C WX3024E)133.接入交換機(H3C S1026E)34 4. 無線AP（H3C EWP-WA2610E-GNP-FIT） 35 五、設備報價清單42XX商務

2、酒店網(wǎng)絡設計方案一、網(wǎng)絡建設概述隨著我國互聯(lián)網(wǎng)絡的高速發(fā)展，互聯(lián)網(wǎng)絡對人們的影響，不僅體現(xiàn)在人們的工作與學習方面，而且越來越多地體現(xiàn)于人們生活的各個方面。互聯(lián)網(wǎng)絡將改變人類整個生活的理念已經(jīng)深入人心1、建設背景：隨著經(jīng)濟的蓬勃發(fā)展，為賓館酒店業(yè)的發(fā)展提供了良好的機遇，豐厚的利潤和巨大的市場也吸引了眾多的競爭者，酒店行業(yè)靠什么贏得競爭優(yōu)勢？ 酒店在做好現(xiàn)有業(yè)務種類，不斷提高服務水平的同時，如何把握客戶的需求，用最經(jīng)濟的辦法獲得最大的客戶滿意度，提高企業(yè)自身的檔次和知名度，同時拓展新的業(yè)務增長點，成為最根本的競爭所在，這使得酒店行業(yè)對信息化的需求非常迫切。有調查表明，酒店的信息服務水平在很大程度上

3、影響著客人的入住愿望。無法提供高速互聯(lián)網(wǎng)接入服務的酒店，對于客戶來說，無疑是一場商業(yè)災難。2、上網(wǎng)需求漸增統(tǒng)計資料顯示，酒店客戶中45的人有上網(wǎng)需求，并且其中有30的客人提出了高速上網(wǎng)的要求。值得注意的是，對上網(wǎng)速度有強烈需求的客戶，對價格又不是很敏感，這些客人是各個酒店利潤的主要來源，也是各大酒店竭力爭取的商住客戶或者常住客戶。 因此，對于同等星級的酒店，在管理水平和房間設施趨于相近的情況下，提供高質量的互聯(lián)網(wǎng)接入服務是酒店吸引更多商務客人入住的有效手段。采用寬帶接入可以顯著提高星級酒店的信息化服務水平，酒店入住客人可以輕松自如地實現(xiàn)諸如網(wǎng)上沖浪、IP電話及可視電話、電視會議、電子商務、VO

4、D點播（互動點播電視節(jié)目和電影）、虛擬專用網(wǎng)絡（VPN）等功能。 向客戶提供高速上網(wǎng)，提高酒店的服務檔次，是為了尋求酒店經(jīng)濟的增長點，提高酒店的競爭力。通過傳播酒店的聲音，發(fā)布酒店的信息，開放酒店面向客戶的信息，提供查詢酒店信息的渠道，建立網(wǎng)絡信訪機制，可加深酒店與客人的感情。通過廣泛開展對酒店客人提供公益性的信息服務，例如新聞報道、天氣預報、旅游指南、航班信息、求醫(yī)問藥和列車時刻查詢等，可建設酒店的信息化環(huán)境。酒店可以在寬帶網(wǎng)上運行酒店管理系統(tǒng)及酒店網(wǎng)站，向全社會推介酒店的業(yè)務?？蓪崿F(xiàn)酒店內部資源共享，提高資源的利用率，為酒店節(jié)省開支?？蔀榫频晏峁╇娮由虅眨瑪U大酒店的業(yè)務范圍、促進酒店的管理

5、模式的轉變、提高酒店的工作效率?？蔀榫频晗蜃詣踊k公及無紙辦公的發(fā)展提供條件。 二、設計原則1、網(wǎng)絡需求分析XX商務酒店上網(wǎng)系統(tǒng)項目涉及到無線網(wǎng)絡與有線網(wǎng)絡設計；該酒店有14層樓。一樓為大堂與 一個西餐廳。二樓有2個大會議室與一個中餐廳。3-14樓為客房，每層樓有16個房間。酒店格局為：長50米，寬20米。中間是過道，兩邊是房間。2、建設目標、 XX商務酒店以因特網(wǎng)接入的總體目標：實現(xiàn)酒店內部每個房間上網(wǎng)的需求，提供高質量的互聯(lián)網(wǎng)接入服務吸引更多商務客人入住。提高星級酒店的信息化服務水平，酒店入住客人可以輕松自如地實現(xiàn)諸如網(wǎng)上沖浪綜合運用計算機網(wǎng)絡技術向客戶提供高速上網(wǎng)，提高酒店的服務檔次，酒

6、店經(jīng)濟的增長，和酒店的競爭力。3、設計原則設計主要要考慮到先進性、可靠性、開放性、經(jīng)濟性、安全性和可管理性。設計要立足先進技術，采用最新科技的電網(wǎng)通技術，以改變酒店布線難的問題。使整個網(wǎng)絡在國內保持領先的水平，并具有長足的發(fā)展能力，以適應未來網(wǎng)絡技術的發(fā)展。所以，網(wǎng)絡系統(tǒng)的可靠性就顯得尤為重要。在網(wǎng)絡設計中遵循以下技術原則：3.2.1標準化系統(tǒng)采用的信息分類編碼、網(wǎng)絡通信協(xié)議和數(shù)據(jù)接口等技術標準，將嚴格按照國家有關標準或行業(yè)標準規(guī)范。3.2.2實用性滿足XX商務酒店業(yè)務為需要，充分利用現(xiàn)有資源，避免不計成本盲目追求最新技術。利用最適合酒店使用的電網(wǎng)通設備，采用必要的、先進的網(wǎng)絡安全手段與管理技

7、術，以節(jié)省投資。3.2.3安全性和保密性系統(tǒng)網(wǎng)絡充分考慮網(wǎng)絡的故障容錯糾錯功能，建立安全保障體系，采用先進的軟硬件等技術手段，實現(xiàn)網(wǎng)絡的傳輸安全、數(shù)據(jù)安全接口，確保網(wǎng)絡的安全性、保密性。3.2.4開放性和可擴充性技術上要立足長遠發(fā)展，堅持選用開放性系統(tǒng)。3.2.5可維護性網(wǎng)絡接入部分具有較高的模塊化程度，可滿足不同業(yè)務流程的需要，易于維護和升級。三、方案設計思路XX商務酒店網(wǎng)絡結構上將按照層次化的原則來進行設計建設，整個網(wǎng)絡采用星形聯(lián)結，網(wǎng)絡層次為三層結構，即：核心層、匯聚層和接入層。根據(jù)當前和將來網(wǎng)絡發(fā)展和流行趨勢，以及網(wǎng)絡優(yōu)化改造的要求，整個網(wǎng)絡全部采用千兆為主干，百兆交換到桌面的原則實施

8、。整個酒店也做無線與有線網(wǎng)絡。無線部分：根據(jù)酒店的格局與考慮到無線網(wǎng)絡的安全性與穩(wěn)定性、經(jīng)濟性。我們采用H3C無線控制器AC+瘦AP做分布式布置。一、二層各放置2個H3C EWP-WA2610E-GNP-FIT 500MW大功率AP做分布式布置。3-14樓每層各放1個AP通過一分三功分器，每個AP帶7根天線，左右各延伸8米出來再各連接一個一分三功分器，再分別延長8米與12.5米的天線。AP接入信號通過樓層交換機接入，無線AP均采用POE供電模塊通過網(wǎng)線來給無線AP供電，從而節(jié)約強電的布線成本，也可以提到節(jié)能環(huán)保的作用，為酒店的用電節(jié)省很多。14層樓共放置16個AP。所有AP通過H3C有線無線一

9、體化交換機EWP-WX3024E-POEP-H3來管理，EWP-WX3024E-POEP-H3又是一臺三層24口千兆交換機，在這里我們也用他做整個酒店的核心交換機，起到一機兩用的功能，從而節(jié)約降低硬件設備的成本投入。天線分布示意圖：無線控制器+瘦AP方案優(yōu)點：1) AP零配置無線控制器FIT AP控制架構對設備的功能進行了重新劃分，其中無線控制器負責無線網(wǎng)絡的接入控制，轉發(fā)和統(tǒng)計、AP的配置監(jiān)控、漫游管理、AP的網(wǎng)管代理、安全控制；FIT AP負責802.11報文的加解密、802.11的PHY功能、接受無線控制器的管理、RF空口的統(tǒng)計等簡單功能。H3C公司在支持這種新的網(wǎng)絡架構時將一些新的智能

10、功能集成進FIT AP和無線控制器中，以便于給用戶呈現(xiàn)統(tǒng)一的網(wǎng)絡管理接口：n FIT AP的配置保存在無線控制器中，F(xiàn)IT AP啟動時會自動從無線控制器下載合適的設備配置信息n FIT AP需要能夠自動獲取IP地址，同時FIT AP需要能夠自動發(fā)現(xiàn)可接入的無線控制器，并對無線控制器和FIT AP之間的網(wǎng)絡拓撲不敏感n 無線控制器支持FIT AP的配置代理和查詢代理，能夠將用戶對FIT AP的配置順利傳達到指定的FIT AP設備，同時可以實時察看FIT AP的狀態(tài)和統(tǒng)計信息n 無線控制器保存FIT AP的最新軟件，并負責FIT AP軟件的自動更新2) H3C公司通過這一全新的網(wǎng)絡管理接口可以很好

11、的解決目前型WLAN網(wǎng)絡組網(wǎng)中存在的 管理問題：n 用戶只需要建立業(yè)務參數(shù)模板和設備參數(shù)模板，并設定指定的AP引用這些模板，當FIT AP啟動時無線控制器會根據(jù)預先的配置引用信息給FIT AP下發(fā)配置，用戶的配置工作量大大減少。n 用戶對FIT AP的管理是通過無線控制器來代理完成，網(wǎng)管不再關心FIT AP的IP地址，F(xiàn)IT AP和無線控制器之間的關聯(lián)是自動完成，不再需用戶對AP進行的配置干預。n 無線用戶的數(shù)據(jù)報文被FIT AP封裝在AP和AC間的數(shù)據(jù)隧道中，接入AP的邊緣網(wǎng)絡不需要再為無線用戶的接入而更改VLAN和ACL等配置n 無線控制器保存了所管理的FIT AP的運行狀況和在線用戶統(tǒng)計

12、信息，維護人員只需登錄到指定的無線控制器就可以完成信息察看。用戶對FIT AP的管理是通過無線控制器來代理完成，因此在線更改服務策略設定和安全策略設定也不再需要逐一登錄到AP設備，而只需要登錄到指定的無線控制器就可以完成設置，無線控制器會自動把新的配置下發(fā)到指定的FIT AP。n 用戶不再需要手動逐一對AP設備進行軟件升級，AP在每次重新啟動時會自動比較當前運行的版本和無線控制器上保存的版本，如果無線控制器上保存的版本更新，F(xiàn)IT AP會自動更新本地的軟件影像。n AP本地不再保存配置信息，即使設備丟失也不存在因配置丟失而出現(xiàn)的安全隱患。1 無線網(wǎng)絡規(guī)劃1) 頻率規(guī)劃目前針對WLAN來講，2.

13、4G具有3具不重疊的信道，針對5.8G具有5個不重疊信道，但由于網(wǎng)絡用戶具有一定的不確定性，故網(wǎng)絡覆蓋時所需要的WLAN網(wǎng)絡空間都要進行2.4G與5.8G的頻率覆蓋，從網(wǎng)絡規(guī)劃的角度出發(fā)，主要考慮2.4G與5.8G二個頻率的覆蓋設計，針對2.4G的頻率的信號衰減模型主要采用如下：PathLoss(dB) = 46 +10* n*Log D（m），而對于5.8G的信號衰減模型：PathLoss(dB) = 32.4+20*lg fMHz+ 20*lgdKM +a * dKM，以上二信號衰減模型進行網(wǎng)絡的設計，到具體網(wǎng)絡實施時要進行工勘與優(yōu)化，而對于信道主要采用1、6、11三個信道交錯使用，具體的

14、面覆蓋邏輯示意圖如下：圖1. WLAN2.4G信道規(guī)劃示意圖2) 頻率復用圖2. 無線覆蓋示意圖針對頻率復用的設計與實現(xiàn)主要側重于重疊區(qū)域，考慮到802.11技術中目前業(yè)界主要采用DCF的仲裁，這樣會導致從網(wǎng)絡實施的角度出發(fā)，沒有辦法做到像GSM、3G網(wǎng)絡的控制力度，從技術原理的角度出發(fā)，沒有辦法實現(xiàn)很好的頻率復用，只能被動做些負載均衡的功能。每個AP具有54Mbps、48Mbps、36Mbps、18Mbps等的覆蓋范圍，對于54Mbps的覆蓋范圍不重疊，對于54Mbps與18Mbps就可能進行重疊，可以根據(jù)網(wǎng)絡側的負載功能進行實現(xiàn)一定程度的頻率復用功能，從網(wǎng)絡規(guī)劃的角度出發(fā)，WLAN基本上、

15、下行無線鏈路復用的處理問題，因為目前都是DCF方式，而從只能結合業(yè)務目標實現(xiàn)網(wǎng)絡覆蓋效果，具體網(wǎng)絡使用效果使用負載均衡功能進行實現(xiàn)。負載均衡的功能實現(xiàn)具體原理如下：n 根據(jù)負載均衡的配置確定負載均衡的模式、SSID、其他參與負載均衡的AP的標識、用戶數(shù)或流量的閥值等進行一定的初始化；n 確定本AP的2個射頻模塊連接的STA用戶數(shù)量和流量；n 通過UDP協(xié)議以私有方式定時進行AP間通訊。先進行握手，成功后才進行數(shù)據(jù)的交換，獲取參與負載均衡的AP的負載信息。n 當有STA要接入時，根據(jù)其工作頻率，比較本AP上該射頻下的負載和其他AP的指定SSID下的用戶數(shù)或流量，以及負載均衡的SSID綁定接口的速

16、率集，決定STA能否接入。同時要注意到若用戶數(shù)已達到AP某個SSID的最大用戶數(shù)，則該AP的SSID不允許再接入STA；3) AP容量規(guī)劃從業(yè)界實現(xiàn)的DCF方式來看，沒有一個最大用戶數(shù)的限制，但業(yè)界各個廠商進行實現(xiàn)時都基于一定理解的前提下進行默認限制，H3C目前每個AP最大的用戶默認限制為64個用戶，并可以根據(jù)實際情況更改每個AP限制接入的用戶數(shù)。根據(jù)多年的WLAN部署經(jīng)驗，H3C建議，從網(wǎng)絡規(guī)劃的角度出發(fā)，按照每個AP覆蓋2530用戶進行部署，可以保證用戶的接入質量和正常需求下的網(wǎng)絡吞吐量。有線網(wǎng)絡部分：有線網(wǎng)絡部分，中心機房放置在一樓，有3個分配線間：2樓（管理2層）；5樓（管理3-7層）

17、：10樓（管理8-14層）。中心機房到5、10樓主干走單模光纖。匯聚層到接入層主干走六類線，接入層直接走超五類線。匯聚層交換機我們采用H3C 二層千兆5016P交換機做匯聚、接入層交換機采用H3C S1024E 交換機做接入。路由器我們采用H3C ER3260 雙鏈路接入做出口路由器。1、網(wǎng)絡拓撲圖如下：2、技術實施2.1、IP地址分配動態(tài)地址分配：在ER 3260上面開啟DHCP分配功能。如下圖：2.2、防止ARP地址欺騙PCPC接入交換機Internet發(fā)送免費ARP更新主機ARP表免費ARP+授權ARP，解決所有ARP欺騙PCPCARP欺騙一：PC機假冒網(wǎng)關ER3260通過定時發(fā)送免費A

18、RP，更新網(wǎng)絡主機上被攻擊篡改了的網(wǎng)關MAC地址，保證主機與網(wǎng)關之間的通信。DHCP服務器DHCP請求紀錄MAC-IP關系偽造ARPIP-MAC關系不對ARP欺騙二：PC機假冒PC機ER3260通過授權ARP，只容許靜態(tài)ARP和DHCP分配的ARP表相中的IP地址通過，從而防止PC機IP與MAC的欺騙。2.3、IDS防范 為了防止客房網(wǎng)攻擊，通常會使用路由器+防火墻的組網(wǎng)。ER3260上內置了防攻擊的功能，可以省掉防火墻了2.4、報文源認證2.5、設置異常流量防護網(wǎng)絡中的主機會由于出現(xiàn)中毒或網(wǎng)卡異常等原因，向Internet 發(fā)送大量的異常報文，阻塞網(wǎng)絡，大量消耗設備的資源。啟用本功能后，設備

19、會對各個主機的流量進行檢查，發(fā)現(xiàn)有異常流量時會進行指定的處理，以保證設備受到此類異常流量攻擊仍能正常工作2.6、設置IP流量限制某些應用（比如：P2P下載等）在給用戶帶來方便的同時，同時，也占用了大量的網(wǎng)絡帶寬。一個網(wǎng)絡的總帶寬是有限的，如果這些應用過度占用網(wǎng)絡帶寬，必將會影響其他用戶正常使用網(wǎng)絡。為了保證局域網(wǎng)內所有用戶都能正常使用網(wǎng)絡資源，您可以通過IP流量限制功能對局域網(wǎng)內指定主機的流量進行限制。2.7、設置網(wǎng)絡連接限數(shù) 網(wǎng)內的主機遭受NAT攻擊時，主機的網(wǎng)絡連接數(shù)可能會超過幾萬個，從而會嚴重影響業(yè)務的正常運行或出現(xiàn)網(wǎng)絡掉線現(xiàn)象。此時，您可對指定主機的最大網(wǎng)絡連接數(shù)進行限制，保證網(wǎng)絡資源

20、的有效利用四、組網(wǎng)設備介紹1.路由器（H3C ER3260）ER3260是H3C公司推出的一款高性能路由器，它主要定位于以太網(wǎng)/光纖/ADSL接入的SMB市場和政府、企業(yè)機構、網(wǎng)吧等網(wǎng)絡環(huán)境，如需要高速Internet帶寬的網(wǎng)吧、企業(yè)、學校和酒店等。ER3260采用專業(yè)的64位網(wǎng)絡處理器，主頻高達500MHz，并且支持豐富的軟件特性，如IPMAC地址綁定，ARP防攻擊，流量限速，雙WAN負載均衡，策略路由，源地址路由等功能。它是H3C ER系列路由器中的中高端產(chǎn)品，大型網(wǎng)吧用戶和大型企業(yè)用戶的理想選擇。專業(yè)的64位網(wǎng)絡處理器，主頻高達500MHz高性能，達到百兆線速轉發(fā)典型帶機量為200臺高處

21、理性能ER3260采用64位網(wǎng)絡處理器，主頻高達500MHz，同時配合DDRII高速RAM進行高速轉發(fā)，可以達到百兆線速轉發(fā)。在實際應用中，典型的帶機量為200臺。雙WAN口負載均衡負載均衡可以讓企業(yè)網(wǎng)用戶根據(jù)線路實際帶寬分配網(wǎng)絡流量，達到充分利用帶寬的目的。華三通信結合國內網(wǎng)絡用戶的使用習慣和特點，有針對性地推出了智能負載均衡和手動負載均衡兩種均衡模式，滿足了雙線路接入用戶對帶寬的靈活應用需求。智能負載均衡根據(jù)用戶實際帶寬比分配實際的網(wǎng)絡流量；手動負載均衡根據(jù)導入的路由表進行轉發(fā)；支持策略路由表的導入/導出功能，只需導入合適的路由表即可實現(xiàn)“電信走電信，聯(lián)通走聯(lián)通”的功能。IPSec VPN

22、ER3260支持標準的IPSec VPN，用戶可以通過簡單的WEB配置實現(xiàn)點對點之間的安全的VPN連接，最高支持168位的3DES加密；同時H3C結合國內用戶的組網(wǎng)特點在ER3260上同時支持通過域名方式配置IPSec VPN連接和NAT-T的NAT穿越功能。多局域網(wǎng)功能（VLAN）ER3260支持多局域網(wǎng)功能，企業(yè)可以方便的劃分局域網(wǎng)為多個網(wǎng)段，降低廣播域和ARP病毒的影響，針對每個局域網(wǎng)可以配置單獨的DHCP Server和防火墻規(guī)則，ER3260最多可同時支持16個內部局域網(wǎng)。ARP病毒雙重防護ER3260通過IPMAC地址綁定功能，固定了網(wǎng)關的ARP列表，可以有效防止ARP欺騙引起的內

23、網(wǎng)通訊中斷；此外ER3260毫秒級的免費ARP的定時發(fā)送機制，可以有效地避免局域網(wǎng)PC中毒后引發(fā)的ARP攻擊。網(wǎng)絡流量限速BT，迅雷等P2P軟件對網(wǎng)絡帶寬的過度占用會影響到網(wǎng)內其他用戶的正常業(yè)務，ER3260通過基于IP或基于NAT表項的網(wǎng)絡流量限速機制可以有效地控制單臺PC的上/下行流量和建立的NAT表項的個數(shù)，限制了P2P軟件對網(wǎng)絡帶寬的過度占用。業(yè)務控制（QQ/MSN/金融軟件）QQ/MSN等即時通訊軟件的大量普及，造成員工辦公效率低下，無法集中精力。ER3260獨有的應用控制功能，可以方便的限制內網(wǎng)用戶對QQ/MSN等應用的使用，ER3260同時支持對大智慧/分析家/同花順/廣發(fā)至強/

24、光大證券/國元證券等金融軟件的應用控制功能。此外，用戶可以通過對特權用戶組的設置保證關鍵用戶的使用不受影響。項目描述概述固定端口2個10/100Base-TX WAN端口3個10/100Base-TX LAN端口1個Console接口處理器(CPU)MIPS 64位500MHz 網(wǎng)絡處理器內存DDR II 64MBFLASH8MB指示燈每端口：Link/Act，Speed每設備： Power，W1/W2外形尺寸（長寬高）440(W)230(D)44(H) mm標準的19 英寸機架安裝寬度，1U 高輸入電壓100240V AC,50/60Hz功耗20W工作溫度040存儲溫度-1070工作濕度10

25、%90%無凝結存儲濕度5%90%無凝結散熱方式風扇散熱軟件特性工作模式主備模式智能負載均衡手動負載均衡(電信走電信，聯(lián)通走聯(lián)通)路由轉發(fā)模式網(wǎng)絡協(xié)議PPPoE DHCP 客戶端DHCP服務器NAPTNTPDDNS()防火墻出站通信策略(源接口/IP/MAC/用戶/目的IP/協(xié)議/端口/時間段) 入站通信策略(源接口/IP/MAC/用戶/目的IP/協(xié)議/端口/時間段) 網(wǎng)絡安全ARP防攻擊/免費ARP狀態(tài)數(shù)據(jù)包檢查防止WAN口的Ping防止TCP syn掃描防止Stealth FIN掃描防止TCP Xmas Tree掃描防止TCP Null掃描防止UDP掃描功能防止Lan

26、d 攻擊功能防止Smurf攻擊功能防止WinNuke攻擊功能防止Ping of Death攻擊防止SYN Flood攻擊功能防止UDP Flood攻擊功能防止ICMP Flood攻擊功能防止IP Spoofing功能防止碎片包攻擊防止TearDrop攻擊防止Fraggle攻擊功能訪問控制IPMAC地址綁定(靜態(tài)ARP) URL過濾(黑白名單)MAC地址過濾 QQ/MSN訪問控制金融軟件控制大智慧/分析家/同花順/廣發(fā)至強/光大證券/國元證券 QoS流量統(tǒng)計(基于IP/端口的流量統(tǒng)計)網(wǎng)絡流量限速(基于IP，上下行流量分別限速) NAT表項限制 應用通道限制(綠色通道/限制通道)流量監(jiān)控基于物理

27、端口的流量統(tǒng)計基于IP的流量統(tǒng)計，支持自動排序功能基于IP的NAT鏈接數(shù)統(tǒng)計路由靜態(tài)路由策略路由(基于源IP/目的IP/協(xié)議/端口/出接口/時間段)系統(tǒng)服務ALG端口觸發(fā) UPnP虛擬服務器 靜態(tài)NAT(一對一NAT) DMZ 主機VPN透傳(PPTP、L2TP、IPSec)配置管理基于Web的用戶管理接口(遠程管理/本地管理)HTTPS遠程管理命令行CLI通過HTTP 升級系統(tǒng)軟件故障診斷Ping / Tracert設備自檢故障信息一鍵導出認證CE ClassACCC2.核心交換機與無線控制器(H3C WX3024E)H3C WX3000系列有線無線一體化交換機(AC，Access Cont

28、roller)是杭州華三通信技術有限公司(以下簡稱H3C公司)自主研發(fā)的集成無線控制器和千兆以太網(wǎng)交換機功能的網(wǎng)絡設備。WX3000系列一體化交換機定位于中小型企業(yè)網(wǎng)和大型企業(yè)分支機構的一體化接入，提供純千兆以太網(wǎng)有線接入口，支持PoE+供電，同時兼容802.11a/b/g/n協(xié)議。配合H3C公司自主研發(fā)的Fit AP可以滿足中、小型企業(yè)一體化移動網(wǎng)解決方案等無線場景的典型應用。提供對802.11n AP的管理WX3000系列一體化交換機在支持對傳統(tǒng)802.11a/b/g AP管理的同時，還可以與H3C基于802.11n協(xié)議的AP配合組網(wǎng)，從而提供相當于傳統(tǒng)802.11a/b/g協(xié)議數(shù)倍的無線

29、接入速率，能夠覆蓋更大的范圍，使無線多媒體應用成為現(xiàn)實。提供靈活的數(shù)據(jù)轉發(fā)方式傳統(tǒng)的無線控制器部署一般采用集中式轉發(fā)模式，AC可以對報文進行全面控制和安全監(jiān)管，但所有的無線業(yè)務流量需要到AC進行統(tǒng)一處理，核心鏈路帶寬和AC轉發(fā)能力容易成為瓶頸。特別是AP和AC通過廣域網(wǎng)方式進行連接時，AP作為數(shù)據(jù)接入設備部署在分支機構，而AC部署在總部，所有用戶數(shù)據(jù)由AP發(fā)送到AC，再由AC進行集中轉發(fā)，導致轉發(fā)效率低下。WX3000系列一體化交換機可以支持集中式轉發(fā)和分布式轉發(fā)，用戶根據(jù)業(yè)務需要和網(wǎng)絡實際情況可以靈活設置轉發(fā)方式。支持精細的無線用戶接入控制和管理基于MAC的認證接入控制方式，不但可以使得客戶

30、在AAA服務器上對用戶組進行權限的配置和修改，同時支持對具體用戶的權限的配置，這種精細的用戶權限控制大大增強了無線網(wǎng)絡的可用度，網(wǎng)管人員可以輕松通過該方式對不同級別的人或人群進行接入權限分配。基于MAC的VLAN同樣也是WX3000系列一體化交換機的一大特色，在控制策略上，管理員可以把相同性質的用戶(MAC)劃分到同一個VLAN，同時在AC上基于VLAN配置安全策略，這樣做既可以簡化系統(tǒng)配置，又可以做到用戶級粒度的精細管理。出于安全性或計費等考慮，系統(tǒng)管理員可能希望控制無線用戶接入到網(wǎng)絡中的位置。WX3000系列一體化交換機支持基于AP位置的用戶接入控制。當無線用戶接入網(wǎng)絡時，可以通過認證服務

31、器向AC下發(fā)允許用戶接入的AP列表，在AC上進行接入控制，從而達到限制無線用戶只能接入到指定位置的AP的目的。支持802.1x認證，MAC地址認證，Portal認證等WX3000系列一體化交換機支持多種認證方式：802.1x認證：WX3000系列一體化交換機支持TLS、PEAP、TTLS、MD5、SIM卡等多種802.1x的認證方式，同時還支持802.1x本地認證方式，提供對MD5、TLS、PEAP這幾種主流認證方式的支持，用戶不再需要額外配置AAA服務器。WX3000還支持通過802.1x認證后動態(tài)授權VLAN和ACL功能，對用戶的策略可以事先設定好，用戶認證時，系統(tǒng)自動配置客戶權限。MAC

32、地址認證：WX3000支持MAC地址認證，對一些手持終端(例如：Wi-Fi Phone、手持移動終端等)并不方便采取電腦上的認證方式，MAC地址認證卻可以輕松解決該問題，實現(xiàn)在控制器或者AAA服務器上配置好合法的MAC地址，這些MAC地址對應的終端就可以被允許被接入到網(wǎng)絡，而事先沒有被配置的非法終端則不能接入無線網(wǎng)絡，該功能極大地方便了例如無線醫(yī)療系統(tǒng)等應用，MAC地址認證可以確保只有醫(yī)院的PDA工作終端才能接入到無線網(wǎng)絡，而拒絕病人的無線PDA使用專用無線網(wǎng)絡。Portal認證：WX3000提供內置的Portal認證服務器。該認證方式無需客戶端配合，直接通過瀏覽器WEB Portal頁面作為

33、認證通道，當用戶認證通過后，可以靈活跳轉到指定訪問首頁并啟動相應授權和計費。同時也可以根據(jù)策略要求，靈活推送定制Portal頁面，達到廣告宣傳、信息傳遞的作用，廣泛使用在無線校園、無線城市、訪客接入等應用場景。提供User Profile在基于用戶授權方式的網(wǎng)絡管理中，用戶通過認證，即獲得訪問網(wǎng)絡的權限。授權包括控制用戶可訪問的網(wǎng)絡范圍，以及用戶可獲得的網(wǎng)絡服務質量，如訪問帶寬、訪問優(yōu)先級。在用戶移動的網(wǎng)絡或大型網(wǎng)絡中，為了方便網(wǎng)管人員開展日常的管理工作，User Profile特性提供了一種更模塊化、更簡單的管理方式。管理人員將一組基于用戶群或特殊用戶定制的策略配置在各個用戶的profile

34、中，并且為每個用戶群或特殊用戶預先分配各自的profile，用戶認證上線時，在用戶上線的端口動態(tài)下發(fā)profile配置，使該用戶能動態(tài)獲得其可以訪問的網(wǎng)絡范圍，訪問帶寬以及訪問優(yōu)先級；在用戶下線時，取消該用戶在這個端口上的配置，自動關閉該端口的特殊訪問權限。User Profile中可以下發(fā)的配置包括ACL、QoS(優(yōu)先級、帶寬限速、802.1p和DSCP標記)、VLAN。支持信道智能切換無線局域網(wǎng)中，信道是非常稀缺的資源，每個AP只能夠工作在非常有限的非重疊信道上，比如對于2.4G網(wǎng)絡，只有個非重疊信道，所以如何智能地為AP分配信道是無線應用的關鍵。無線局域網(wǎng)工作的頻段存在大量可能的干擾源，

35、如雷達、微波爐，它們在網(wǎng)絡中的出現(xiàn)將干擾AP的正常工作。通過信道智能切換功能，可以保證每個AP能夠分配到最優(yōu)的信道，盡可能地減少和避免相鄰信道干擾，而且通過實時信道干擾檢測，可以讓AP實時避開雷達，微波爐等干擾源。支持智能AP負載分擔WLAN網(wǎng)絡的IEEE標準802.11協(xié)議把無線漫游的決策交給了無線客戶端，無線客戶端一般會根據(jù)AP信號強度(RSSI)選擇AP，這很容易導致大量的客戶端僅僅因為某個AP信號較強而連接到同一個AP上。由于這些客戶端共享無線媒介，導致每個客戶端的網(wǎng)絡吞吐將大量減少。智能負載分擔方法可以實時地分析無線客戶端的位置，動態(tài)地確定在當前時刻和當前位置下哪些AP可以彼此分擔負

36、載，通過控制無線客戶端接入的AP，來實現(xiàn)這些AP間的負載分擔。系統(tǒng)不僅支持按照用戶在線會話數(shù)的負載分擔，而且支持按照用戶流量負載的分擔。支持RealTime Spectrum Guard(實時頻譜保護)模式RealTime Spectrum Guard(RTSG)是H3C創(chuàng)新提出的針對無線環(huán)境頻譜狀態(tài)的專業(yè)監(jiān)控方案。WX3000系列一體化交換機可以和內置射頻采集模塊的Sensor AP，實現(xiàn)深度融合的射頻監(jiān)控和實時頻譜防護。RTSG的控制臺融合部署于H3C iMC智能管理中心，通過CAPWAP管理隧道，與Sensor AP進行通信和數(shù)據(jù)采集，實現(xiàn)7X24小時的無線環(huán)境質量監(jiān)控、無線網(wǎng)絡能力趨勢

37、評估以及非許可干擾告警。通過圖形化方式，主動探測和識別所有2.4GHz/5GHz波段的射頻干擾源(Wi-Fi或非Wi-Fi)，可提供實時FFT圖，頻譜密度圖、光譜圖、占空比圖、事件光譜圖、頻道功率、干擾功率等；可自動識別干擾源，確定有問題的無線設備的位置，確保無線網(wǎng)絡發(fā)揮最佳的性能。結合H3C iAR智能報表組件，可實現(xiàn)全覆蓋區(qū)內的射頻質量歷史記錄的存儲、追溯、回放等，自動生成客戶化的趨勢、合規(guī)和審計報告。針對用戶無線環(huán)境監(jiān)管的不同層次需求，RTSG方案的部署可以靈活采用Local mode或Monitor Mode。當工作在Local Mode時，可以在獲得有效的頻譜防護前提下，保持正常的用

38、戶接入和數(shù)據(jù)包轉發(fā)。支持智能無線業(yè)務感知(wIAA)WX3000系列一體化交換機支持智能感知無線業(yè)務流量，實現(xiàn)基于無線用戶狀態(tài)的彈性策略識別與管理，優(yōu)化語音及視頻業(yè)務承載。支持遠程探針分析WX3000系列一體化交換機支持針對AP的遠程探針分析功能?？梢詫Ω采w區(qū)內的Wi-Fi報文進行偵聽捕獲并實時鏡像到本地分析設備供網(wǎng)絡管理員進行故障排查、優(yōu)化分析。遠程探針分析功能既可以針對工作信道進行無收斂鏡像，也可以對所有信道輪詢采樣，靈活滿足無線網(wǎng)絡監(jiān)控運維要求。內置射頻優(yōu)化引擎(ROE)WX3000系列一體化交換機內置針對AP的射頻優(yōu)化引擎(RF Optimizing Engine)，通過基于特征和協(xié)議

39、的射頻優(yōu)化，有效提升無線部署中高密度接入、流媒體傳輸?shù)葓鼍爸械膽眉铀倌芰唾|量保障效果。其中包含：多用戶公平調度、混合接入公平、過濾干擾、速率最優(yōu)、頻譜導航、組播增強(IPv4/IPv6)、逐包功率控制和智能帶寬保障等。提供端到端的QoSWX3000系列一體化交換機基于Comware平臺開發(fā)，對Diff-Serv標準可以完善支持。QoS Diff-Serv 模型中主要包括流分類、流量監(jiān)管(Policing)、隊列管理、隊列調度(Scheduling)等，完整實現(xiàn)了標準中定義的EF、AF1AF4、BE等六組PHB及業(yè)務，使網(wǎng)絡運營商可為用戶提供具有不同服務質量等級的服務保證，使Internet

40、真正成為同時承載數(shù)據(jù)、語音和視頻業(yè)務的綜合網(wǎng)絡。支持快速的二、三層漫游H3C公司的集中式無線架構不但能方便地實施二層漫游，而且非常有利于跨三層的漫游實現(xiàn)，用Fat AP部署的WLAN網(wǎng)絡，由于AP之間傳遞的信息有限，導致垮三層的漫游實現(xiàn)及其麻煩，集中式架構非常容易解決跨三層漫游的問題，WX3000系列一體化交換機支持二、三層漫游，漫游域不受子網(wǎng)的限制。這種優(yōu)秀的漫游特性，可以讓客戶在規(guī)劃無線網(wǎng)絡時，無需過多考慮現(xiàn)有網(wǎng)絡的規(guī)劃，更多關注在無線信號的覆蓋即可，這種方式大大簡化了前期的網(wǎng)絡規(guī)劃，減少了網(wǎng)絡規(guī)劃成本。傳統(tǒng)模式下，當無線用戶終端使用802.1x作為802.11接入認證和密鑰交互的手段時，

41、無線用戶終端和AP間的交互報文會非常的多。當無線用戶終端在兩個AP間漫游時，如果無線用戶終端在新AP接入的過程完全遵從完整的802.1x的交互過程，勢必造成漫游切換的時間過長，對于某些對漫游切換時間敏感的業(yè)務(例如語音業(yè)務)，這樣的長切換時間是無法忍受的。WX3000采用Key caching技術完成漫游時用戶的快速切換，Key caching技術在用戶的安全接入和快速漫游間做了一個很好的平衡，可以使無線用戶終端在兩個AP間進行漫游時不必重新進行完整的802.1x認證交互過程，同時又能保證用戶身份的識別和密鑰使用的連續(xù)性；無線用戶采用快速漫游方式，單AC內漫游時間不超過50ms，滿足了語音業(yè)務

42、的苛刻需求。支持多種分支機構遠程接入場景當AC和AP通過廣域網(wǎng)鏈路進行連接時，用戶可以靈活選擇集中轉發(fā)或本地轉發(fā)模式，提升分支機構局域網(wǎng)打印訪問、終端互訪等業(yè)務性能。當廣域網(wǎng)鏈路發(fā)生故障或AC發(fā)生故障時，在線用戶不掉線，可以繼續(xù)訪問本地資源，并且可支持AC逃生功能。當分支機構也部署了認證服務器時，AP可進行本地認證。例如，當AC與AP之間鏈路正常時，分支機構的用戶認證由總部集中完成；當AC與AP間鏈接意外斷開后，AP可以使用分支機構本地認證服務器為新上線的用戶認證。當分支機構AP部署于私網(wǎng)內時，AC可以穿越NAT與AP進行通信。硬件規(guī)格項目WX3024E 外形尺寸(長寬高)44042943.6

43、(mm3)重量45年軟件規(guī)格-有線部分支持特性WX3024E交換容量bit/s(全雙工)88G包轉發(fā)率pps(整機)65.47M端口聚合(1) 支持GE(Gigabit Ethernet)端口動態(tài)聚合(2) 支持10GE端口動態(tài)聚合(僅WX3024E)(3) 支持動態(tài)LACP鏈路聚合(4) 支持手工聚合(5) 支持靜態(tài)聚合12組(12*GE/2*10GE)端口流控支持端口流控MAC地址表支持8K MAC地址支持1K靜態(tài)MAC地址支持1K組播MAC地址支持黑洞MAC地址VLAN(1) 支持基于端口的VLAN(4094個)(2) 支持嵌套式VLAN(VLAN-VPN或QinQ)(3) 支持靈活Qi

44、nQ(4) 支持協(xié)議VLAN(5) 支持Voice VLAN(6) 支持GVRP(7) 支持VLAN下配置禁止MAC地址學習功能路由支持靜態(tài)路由支持RIPv1/v2DHCP(1) 支持DHCP Server(2) 支持DHCP Client(3) 支持DHCP Snooping，包括Option 82功能組播(1) 支持IGMP(Internet Group Management Protocol) Snoopingv1/v2/v3(2) 單VLAN內最多256個組播組，整機1024個組播組(3) 支持組播VLAN(4) 支持未知組播丟棄(5) 支持未知組播出端口報文過濾(6) 支持手工配置組

45、播MAC地址廣播風暴抑制支持基于端口的廣播風暴控制MSTP(1) 支持STP/RSTP/MSTP協(xié)議(2) 支持域內最大生成樹(16個)(3) 支持STP Root Guard(4) 支持BPDU GuardQACL(1) 支持IEEE 802.1p/DSCP優(yōu)先級(2) 支持優(yōu)先級映射(3) 支持優(yōu)先級標記(4) 支持流量統(tǒng)計(5) 支持端口信任模式(6) 每端口支持8個隊列(7) 支持方式為SP/WRR/SP+WRR的隊列調度(8) 支持端口和隊列的流量整形(9) 支持基于端口/流的限速，最小粒度為1Kbps(10) 支持基于流的重定向(11) 支持數(shù)字表示型標準ACL(12) 支持數(shù)字表

46、示型擴展ACL(13) 支持數(shù)字表示型二層ACL(14) 支持對下發(fā)ACL的配置(15) 支持多種QoS&ACL下發(fā)方式：全局下發(fā)、VLAN下發(fā)、端口組下發(fā)、端口下發(fā)(16) 支持根據(jù)時間段變化實時更新ACL鏡像(1) 支持流鏡像(2) 支持基于VLAN的鏡像(3) 支持基于MAC地址的鏡像(4) 支持端口鏡像(5) 支持多個源端口鏡像(6) 支持遠程端口鏡像安全特性(1) 支持用戶分級管理和口令保護(2) 支持AAA認證(3) 支持Radius認證(4) 支持HW TACACS認證(5) 支持SSH 2.0(6) 支持管理VLAN(7) 支持端口隔離(8) 支持端口安全(9) 支持集中式MA

47、C地址認證(10) 支持ARP入侵檢測(11) 支持端口下IP地址過濾802.1x(1) 單端口最多支持256個用戶(2) 支持基于端口的認證和基于MAC的認證(3) 支持Guest VLAN(4) 支持TRUNK端口認證(5) 支持動態(tài)VLAN和ACL規(guī)則下發(fā)JUMBO Frame支持最大幀長為4KDLDP支持DLDP(Device Link Detection Protocol)加載與升級(1) 支持FTP(File Transfer Protocol)加載升級(2) 支持TFTP(Trivial File Transfer Protocol)加載升級管理(1) 支持命令行接口(CLI)配

48、置(2) 支持Telnet遠程配置(3) 支持通過Console口配置(4) 支持SNMP(Simple Network Management Protocol)(5) 支持RMON(Remote Monitoring)告警、事件、歷史記錄(6) 支持iMC網(wǎng)管系統(tǒng)(7) 支持WEB網(wǎng)管(8) 支持系統(tǒng)日志(9) 支持分級告警(11) 支持Modem遠端撥號(12) 支持NTP(13) 支持電源的狀態(tài)檢測(14) 支持電源的告警功能(15) 支持風扇報警維護(1) 支持調試信息輸出(2) 支持Ping(Packet Internet Groper)、Tracert(3) 支持NQA(網(wǎng)絡質量分

49、析)(4) 支持Telnet遠程維護軟件規(guī)格-無線部分項目支持特性WX3024E 基礎性能缺省管理AP數(shù)24License步長12最大管理AP數(shù)60/96*可配置最大AP數(shù)120/192*最大用戶數(shù)1KAAA支持最大用戶數(shù)2K本地認證支持的最大用戶數(shù)1K本地Portal認證時支持的最大用戶數(shù)1KMAC地址表深度2KVLAN數(shù)4KACL數(shù)2KDHCP Server最大租約數(shù)量IPv4: 8K、IPv6: 8KDHCP Server最大地址池個數(shù)IPv4: 128、IPv6: 128802.11MAC802.11協(xié)議簇支持多SSID（每射頻口）16隱藏SSID支持11G保護支持11n only支持

50、用戶數(shù)限制支持：基于SSID、Radio的用戶數(shù)限制用戶在線檢測支持用戶無流量自動老化支持支持多國家碼部署支持基于SSID的無線用戶隔離支持無線用戶二層隔離支持40MHz模式的20MHz/40MHz自動切換支持本地轉發(fā)支持：基于SSID+VLAN的本地轉發(fā)AC-AP間隧道自動輸入AP序列號支持AC發(fā)現(xiàn)(DHCP option43、DNS方式)支持IPv6隧道支持時鐘同步支持Jumbo幀發(fā)送支持AP雙上行隧道鏈路支持通過AC配置AP基本網(wǎng)絡參數(shù)(靜態(tài)IP、VLAN、接入的AC地址)支持AP與AC間穿越NAT支持隧道IPSec加密支持漫游同一AC內,不同AP下二、三層漫游支持不同AC間,不同AP下

51、二、三層漫游支持接入控制Open system、Shared-Key支持WPA、WPA2支持WEP-64/128、動態(tài)WEP支持TKIP支持CCMP支持(11n推薦)WAPI不支持SSH v1.5/v2.0支持無線EAD(終端準入控制)支持Portal認證支持：遠程、外掛服務器Portal頁面推送支持：基于SSID、AP的Portal頁面推送Portal穿越Proxy支持802.1x認證支持：EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-MD5、EAP-SIM、LEAP、EAP-FAST、EAP offload (僅支持TLS, PEAP)本地認證支持：802.1X、Portal

52、、MAC認證LDAP (1. 支持802.1X與Portal接入2. 802.1X接入時,支持EAP-GTC和EAP-TLS)支持基本位置的用戶接入控制支持訪客接入支持VIP通道支持ARP防攻擊支持：無線SAVISSID防假冒支持：用戶名與SSID綁定基于域、SSID選擇AAA服務器支持AAA服務器備份支持無線用戶的本地AAA服務器支持TACACS+支持QoS優(yōu)先級映射支持L2-L4流分類支持流量限速支持：流控粒度8Kbps802.11e/WMM支持基于用戶角色(User Profile)的接入控制支持智能帶寬限速-基于帶寬均分算法支持智能帶寬限速-基于每用戶指定帶寬的算法支持智能帶寬保障(在流量未擁塞時，確保不同優(yōu)先級SSID下的報文都可以自由通過；在流量擁塞時，確保每個SSID可以保持各自約定的最小帶寬)支持QoS Optimization for SVP phone支持CAC(Call Admission Control)支持：基于用戶數(shù)/帶寬的CAC端到端QoS支持AP上行口限速支持無線資源管理國家碼鎖定支持靜態(tài)信道、功率設置支持動態(tài)信道、功率設置支持動態(tài)速率調節(jié)支持空口黑洞檢測和補償支持負載均衡維度支持：基于流量、用戶、頻段(雙頻支持)智能負載均衡支持AP均衡組支持：自動發(fā)現(xiàn)并靈活設定安全防御靜態(tài)黑名單條數(shù)32動態(tài)黑名單條數(shù)256白名單條