XX商场无线网络方案(共25页).doc

精选优质文档-倾情为你奉上XX商场无线网络设计方案华为技术有限公司2015.1目 录专心-专注-专业1 项目背景和需求1.1 XX商场无线网的概述随着技术的进步，教育需求和资源的变化、发展，无线商场网络的建设正逐渐成为不少商场信息化的重要组成部分，成为事实上的商场信息化建设热点。无线商场已经成为提升环境品质，提高教育资源利用率，增加教育灵活性和交流性的重要方式。1.2 项目背景XX商场无线网络以“高带宽、广覆盖、大容量” 的特点可以为商场提供高速无线上网需求，为全面感知和高速传输提供“无线” 可能。按照“整体规划、分期实施，试点先行、以点代面，科学布网、注重安全，企业应用、兼顾民用”原则，构建无线网络，建立物联网无线感知基础网络，并且利用无线网络架构的方便、快捷、灵活、覆盖广等特点，推动办公的自动化、数字化信息化的融合，实现日益增强的移动办公、生产自动化的需求，满足多业务、多平台资源共享。1.3 XX商场应用需求XX商场要求整网高带宽，高安全，高可靠，有线网络和无线网络无缝结合，保证无线接入体验与有线接入方式保持一致。1、无线上网：用户只要使用支持WIFI接入的笔记本、PDA、手机等智能终端接入到WLAN中，就能高速访问INTENET，解决学生老师随时随地上网、查询资料工作环境枯燥单一的问题。2、无线办公：只要是已授权用户，可以访问局域网，通过局域网进行浏览、审批、收发邮件等移动办公应用；使人摆脱有线线缆的束缚，让网络为人服务，提高生产、办公效率。3、统一认证：有线用户和无线用户使用同一个账户，无线用户采用portal认证，有线用户采用802.1x认证，但是有线用户和无线用户的认证点要统一，简化网络管理。4、稳定可靠：无线AC设备采用1+1或者N+1备份，确保设备的可靠性；支持射频调优和补盲，业务续航，即使AC或者个别AP故障，最大限度的减少对网络的影响，增强网络可靠性。2 WLAN基础网络设计2.1 无线网络设计原则XX商场网络设计应该注重简单可靠、易部署、易维护，通常遵循如下原则：l 安全性原则：WLAN网络作为开放性的无线接入网络，在网络建设规划时需注重对用户的安全性及网络的安全性的考虑。l 可靠性原则： WLAN网络需保证网络的信号质量、设备的稳定运行、避免单点故障，为用户提供可靠的WLAN无线接入业务。l 易维护性原则：WLAN网络系统的设备应方便管理，易于维护，便于进行系统配置，可统一的监控设备参数、数据流量、系统性能等，并可以进行远程管理和故障诊断。l 可扩展性原则：WLAN系统设备不但要满足当前需要，并且网络的扩展性方面要满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护已有的投资。2.2 2XX商场网络总体架构 根据项目的实际情况，建议采用集中转发模式搭建WiFi无线覆盖网络。AC统一部署在机房，AP部署于各个覆盖场景，XX商场内部采用集中转发，无线数据流统一在AC上做认证，管控和转发。商场采用本地转发，分支AP和用户的认证统一集中在机房，分支的无线数据流直接从本地出口到internet。如下图所示。1、终端接入侧：采用瘦AP方式进行部署， AP可选华为AP3010DN室内放装型产品，支持802.11/n标准，自动射频调优，可以满足全范围覆盖和无缝漫游的需求，减少同频干扰，提高无线接入的客户体验度。2、数据承载网络：连接外网使用防火墙USG5120，核心采用可拓展交换机S9306，接入采用千兆交换机S5700-28P-LI-PWR通过POE方式对AP供电，S5700交换机与S9306相连，AC6005接入到核心交换机上控制AP。3、运维和管控平台管控平台：采用华为AC对全网AP的自动配置下发、射频管理、信道分配等统一的管理和安全接入控制，让维护人员可以轻松管理办公楼无线网络。2.3 WLAN覆盖规划2.3.1 容量规划无线网络覆盖园区内办公室，根据用户需求，一共4层，每层7-9个办公室，根据场景需求，选取AP3010，确定AP数量为32个 华为WLAN AP采用第三代Wi-Fi芯片以及业界领先的智能多用户调度算法，提供高性能多用户接入能力。考虑一定的无线环境干扰影响和容量冗余，参考的多用户接入能力如下表所示：AP并发用户数据序号单用户接入带宽（Mbps）单频AP并发用户数(2.4 GHz)双频AP并发用户数(2.4GHz & 5GHz)下行上行18 Mbps2 Mbps102024 Mbps1 Mbps183032 Mbps1 Mbps253541 Mbps512 Kbps30452.3.2 覆盖规划WLAN无线信号的覆盖范围取决于AP和终端之间的链路预算。链路预算计算公式如下：终端接收信号强度AP发射功率AP发射天线增益空间传输距离衰减障碍物损耗终端接收天线增益。其中，空间距离对信号的衰减如下：频段不同空间传播距离下的无线信号衰减1m5m10m20m40m100m200m320m2.4G46dB64.2dB72dB79.8dB87.6dB98dB105.8dB113.6dB5G56dB74.2dB82dB89.8dB97.6dB108dB115.8dB123.6m为满足移动办公场景下不同类型终端（便携笔记本、智能手机、PAD、哑终端等）的接入，在重点覆盖区域终端接收信号电平应大于65dBm，普通覆盖区域终端接收信号电平应大于75dBm。考虑用户的接入体验，根据空间开阔程度和用户分布的不同，建议AP覆盖半径如下：l 空间开阔且用户较少时，建议AP覆盖半径20米；l 空间开阔且用户密集时，尽量降低单AP覆盖半径，以覆盖半径58米为宜，即单AP覆盖面积80200 m2；l 存在少量障碍物遮挡且用户数分布适中时，建议AP覆盖半径以812米为宜，即AP覆盖面积200400 m2；l 存在大量障碍物遮挡时，重点考虑障碍物对信号的衰减，建议对小空间单独AP覆盖；l 室外公共区域覆盖，建议AP覆盖半径200米。链路预算示例：l 室内：室内AP发射功率20dBm，AP天线增益3dBi，障碍物衰减0dB，终端（智能手机）发射功率12dBm，终端天线增益0dBi。终端在距离AP 20米处的2.4G下行接收电平Pr20dBm3dBi79.8dB0dBi-56.8dBm。考虑到室内环境复杂，无线信号需要穿越墙体等障碍物，一般建议覆盖半径为10m20m左右。l 室外：室外AP发射功率27dBm，AP天线增益12dBi，障碍物衰减0dB，终端（智能手机）发射功率12dBm，终端天线增益0dBi。终端在距离AP 200米处的2.4G下行接收电平Pr27dBm12dBi105.8dB0dBi-66.8dBm。一般建议室外AP的覆盖范围为200m300m。2.3.3 信道规划为保证信道之间不相互干扰，大型移动办公必须对WLAN信道进行统一规划并实施。WLAN系统主要应用两个频段：2.4GHz和5.0GHz。2.4G频段具体频率范围为2.42.4835GHz的连续频谱，信道编号114，非重叠信道共有三个，一般选取1、6、11这三个非重叠信道。5.0G频段分配的频谱并不连续，主要分为三个频段：5.15.3GHz、5.45.7GHz、5.7GHz5.8GHz。遵从国家当地法规，选择相应的非重叠信道。WLAN信道规划需遵循两个原则：蜂窝覆盖、交叉复用，如下图所示。 2.4G蜂窝覆盖 5G蜂窝覆盖 双频蜂窝覆盖2.3.4 SSID和漫游规划SSID规划移动办公无线网络一般按照接入用户类型和业务类型划分不同的SSID（Service Set Identification），对不同终端盒业务进行区分管理。华为AP每射频支持16个SSID，双频AP共可支持32个SSID。针对不同的用户类型，无线网络划分以下SSID。SSID名称授权接入用户Management内部接入Guest外部访客SSID和VLAN的映射通常，以太网中管理VLAN和业务VLAN是分离的。业务VLAN主要用于区分不同的业务类型或用户群体。在WLAN网络中SSID也同样可以承担相应的工作。因此，在SSID的规划中必须综合考虑VLAN与SSID的映射关系。业务VLAN应根据实际业务需要与SSID匹配映射关系，映射关系有1:1、1:N、N:1、N:N四种。漫游规划漫游是指用户在部署了WLAN网络的场所移动时，用户终端可以从一个AP的覆盖范围移动到另一个AP的覆盖范围，用户无需重新登录和认证，如下图所示。WLAN网络漫游中需要了解以下两点：1、漫游过程中SSID必须一致，且使用相同的安全设置。2、漫游中选择连接哪个AP是无线客户端的动作，这个切换的时机和快慢受无线客户端的芯片或设置的影响，所以在漫游切换过程中会出现不同的终端切换性能有差异。华为WLAN解决方案通过支持PMK caching和密钥协商下移技术缩短用户漫游时延，实现50ms无感知切换，保证业务在二层漫游（同一个VLAN）或三层漫游（不同VLAN）情况下的平滑过渡。2.4 射频资源管理射频资源管理RRM（Radio Resource Management）能够实现自动检查周边无线信号环境、动态调整信道和发射功率等射频资源、智能均衡用户接入，从而降低射频信号干扰，调整无线信号覆盖范围，使无线网络能够快速适应无线环境变化，确保用户接入无线网络的服务质量，保持最优的射频资源状态。2.4.1 射频调优WLAN网络中，AP的工作状态会受到周围环境的影响。例如，当相邻AP的工作信道存在重叠频段时，某个AP的功率过大会对相邻AP造成信号干扰。通过射频调优功能，动态调整AP的信道和功率，可以使各AP（同一AC管理的AP）的信道和功率保持相对平衡，保证AP工作在一个最佳状态。根据射频调优作用的对象，射频调优的方式包括： l 全局射频调优：AC域内所有AP动态分配合理的信道和功率，一般用于新部署WLAN网络或WLAN网络出现大面积环境恶化的情况。 l 局部射频调优：对指定区域内的AP动态分配合理的信道和功率，一般用于新增AP或AC域内出现局部信号干扰的情况。2.4.2 5G优先接入5G优先接入是指对于双频AP（AP同时支持2.4G和5G射频），如果STA也同时支持5G和2.4G的功能，则AP控制STA优先接入5G。现网应用中，大多数STA同时支持5G和2.4G的功能，STA通过AP接入Internet时，通常默认选择2.4G接入。如果用户想要接入5G，需要手工选择。在高密度用户或者2.4G频段干扰较为严重的环境中，5G频段可以提供更好的接入能力，减少干扰对用户上网的影响。通过5G优先接入功能，AP可以控制STA优先接入5G。 2.4.3 限制弱信号或低速率用户接入WLAN网络中，有些STA的射频信号发送到AP后，AP收到的信号很差，这样的用户关联AP后，速率比较低，会严重影响网络的吞吐量。通过配置限制弱信号或低速率用户接入功能，可以禁止低于指定信号强度或接入速率的STA接入WLAN网络，减少弱信号或低速率用户对其他STA的影响，从而提升整个WLAN网络的应用效果。2.4.4 强制弱信号或低速率用户下线WLAN网络中，当STA与AP间的距离越来越远时，AP收到的STA信号也越来越差，但是，STA仍然保持与AP的连接而不是主动发起重新连接或漫游。通过配置强制弱信号或低速率用户下线功能，AP检测到STA的信号强度低于门限值，或接入速率低于门限值后，主动向STA发送解除关联报文，让STA可以重新连接或者漫游。减少弱信号和低速率用户对整个无线网络性能的影响。2.4.5 高密功能对于演讲厅、图书馆、报告厅、发布会现场等人员密集和数据流量需求高的场景，密集布放AP是提升用户体验的一种重要手段。由于WLAN在2.4G只有三个独立频点，当密集布放AP时，不可避免的存在由于多个AP在一个信道频段内工作导致的同频干扰，最终影响WLAN网络的整体性能。通过配置高密功能，AP可以根据相应的算法对天线、功率和信号接收门限值进行调整，减少AP间的同频干扰，提高用户的上网体验。2.4.6 频谱分析由于WLAN的工作频段为ISM频段，随着蓝牙、红外、微波炉等无线应用的增加，非WLAN设备对WLAN网络的干扰问题日益突出。频谱分析是指通过频谱分析服务器对采集到的无线信号进行特征分析，识别出Non-WiFi干扰设备，进而对干扰设备进行定位，实现对WLAN网络的调优。通过配置频谱分析功能，及时、全面的检测出WLAN网络中的非WLAN干扰，提升用户的体验。2.5 可靠性设计保证网络可靠性是移动办公网络设计的重要环节。一方面是设备的稳定性，AC能够实现倒换后用户无感知的Session级的备份以及常年工作在室外的AP在恶劣环境下的适应能力等都是移动办公网络可靠性关注的重点。2.5.1 AC 1+1备份WLAN移动办公网络通常规模较大，为了避免AC单点故障的问题，建设采取AC 1+1热备份，增加网络的可靠性，如下图所示。2.5.2 CAPWAP断链业务保持使能业务续航功能，在CAPWAP链路中断后，AP能够继续允许新用户上线，继续访问CAPWAP未中断前的所有网络资源。当CAPWAP链路恢复后，AP将所有在链路中断期间上线的STA强制下线让STA重新与该AP进行关联，并通过日志上报所有的STA信息。该功能仅在WLAN使用的安全策略为开放系统认证、共享密钥认证和WPA/WPA2PSK时生效。2.5.3 信道切换业务不中断在WLAN应用中，有时会需要改变AP的信道。比如，在对AP进行射频调优时，可能会改变AP的信道。AP切换信道会造成AP下的无线用户的业务中断，影响用户业务的使用。使能了信道切换业务不中断功能后，AP在切换信道时不会中断用户的业务，保障用户业务的正常使用。2.5.4 AP可靠性园区内室外AP应适应各种严酷环境，包括严寒酷暑、风吹雨淋以及雷电灾害等。华为室外型AP6510DN/AP6610DN提供业界领先的防尘，防水，防风能力，以及防雷能力。2.6 安全规划WLAN安全技术可以保护合法用户接入AP，对用户的数据进行加密，监测和防御非法用户和AP，隔离用户互通，对用户集中管理并保证无线信道的资源。华为WLAN安全提供以下安全防护手段，全方位保护网络及用户安全：l 检查和防御非法用户或AP入侵的机制（WIDS/WIPS）；l 针对无线用户的安全策略机制，包括链路认证，用户接入认证和数据加密；l STA黑白名单，控制无线用户的接入；l 用户隔离，可以集中管理无线用户；l 终端类型识别功能，员工可以携带自己的WLAN终端，接入公司网络办公。2.6.1 WIDS/WIPSWLAN网络很容易受到各种网络威胁的影响，如未经授权的AP、用户、Ad-hoc网络等，设备支持以下两种技术，分别用于检测和反制非法设备。 l WIDS可以检测出非法的AP、网桥、用户终端、Adhoc，以及信道重合的干扰AP。l WIPS可以断开合法用户与仿冒AP的WLAN连接，也可以断开非法用户终端和Adhoc的接入，实现对非法设备的反制。为了实现检测和反制非法设备，AP存在三种工作模式： l 接入模式：AP仅传输WLAN用户的数据，不进行任何监测。 l 监测模式：AP需要扫描无线网络中的设备，探测无线信道中的所有802.11帧。此时AP仅能实现监测功能，不能传输WLAN的数据，即该AP提供的所有WLAN服务都将关闭。 l 混合模式：AP可以监测无线网络中设备，也可以同时传输WLAN数据。只有AP工作在监测模式或混合模式下，才可以实现对非法设备的检测和反制功能。监测AP扫描信道监测周边的无线设备信息，通过探测周围设备发送的802.11管理帧和数据帧来搜集周边的无线设备信息，将收集到的设备信息定期上报AC。 l AC判断设备为非法AP时，将非法AP告知监测AP。监测AP以非法AP的身份发送广播或单播解除认证帧，这样，接入非法AP的STA收到解除认证帧后，就会断开与非法AP的连接。通过这种反制机制，可以阻止STA与非法AP的连接。 l AC判断设备为非法用户终端和Adhoc时，监测AP使用非法设备的BSSID或MAC地址，发送单播解除认证帧，断开非法设备的连接。WIDS还支持攻击检测功能，可以检测泛洪攻击，弱IV向量攻击、欺骗攻击、暴力破解WPA/WPA2/WAPI的预共享密钥和WEP的共享密钥，及时发现网络的不安全因素，通过日志，统计信息以及告警方式及时通知网络管理员。对于检测到的进行泛洪攻击和暴力破解密钥攻击的设备，AC/AP可以将其加入黑名单，拒绝接收其发送的报文。2.6.2 安全策略WLAN安全提供了有线等效加密WEP（Wired Equivalent Privacy）、Wi-Fi安全访问协议WPA（Wi-Fi Protected Access）、WPA2、无线局域网鉴别与保密基础结构WAPI（WLAN Authentication and Privacy Infrastructure）四种安全策略机制。每种安全策略体现为一套安全机制，包括无线链路建立时的链路认证方式，无线用户上线时的用户接入认证方式和无线用户传输数据业务时的数据加密方式。2.6.3 STA黑白名单STA黑白名单实现对无线客户端的接入控制，以保证合法客户端能够正常接入WLAN网络，避免非法客户端强行接入WLAN网络： 白名单列表：允许接入WLAN网络的STA的MAC地址列表。使能白名单功能后，只有匹配白名单列表的用户可以接入无线网络，其他用户都无法接入无线网络。 黑名单列表：拒绝接入WLAN网络的STA的MAC地址列表。使能黑名单功能后，匹配黑名单列表的用户无法接入无线网络，其他用户都可以接入无线网络。如果STA白名单或者STA黑名单为空，则所有用户都可以接入WLAN网络。2.6.4 用户隔离用户隔离功能是指关联到同一个VAP上的所有无线用户之间的二层报文不能相互转发，从而使无线用户之间不能直接进行通讯，保证了用户间数据的安全性，同时也便于对用户进行计费等管理。在园区环境，有些用户需要在公共地区通过无线接入Internet，如果不能准确可靠地进行用户认证，未经授权的非法用户就可以擅自使用网络资源，这样不仅会占用宝贵的无线信道资源，增加带宽费用，还会降低合法用户的安全性和服务质量，并给无线接入服务提供商带来不可接受的损失。无线用户二层隔离功能结合IEEE802.11i、RADIUS的用户认证以及计费方式可以给用户提供专业级的安全保障。2.7 接入认证与访客管理2.7.1 用户接入认证通过用户接入认证，可以对接入网络的用户身份进行合法性进行认证，只有合法用户才允许接入，并且不同的角色，不同的用户所能够访问的资源是不同。管理员可以为用户分组，或者定义不同的角色，配置不同的资源，使得特定的用户只能访问授权的特定资源，禁止访问未授权的网络资源。WLAN网络根据用户的角色不同，建议采用三种认证方式。一是普通员工通过WEB PORTAL方式，每次上网要求进行用户名和密码认证；二是公司领导的手执终端只需输入第一用户名和密码，以后不用再次认证；三是临时访客用户由短期认证授权方式，账户和密码具有一定的时效性，即访客制度。企业访客制度需要解决以下安全性核心问题： l 对访客申请的账号进行统一管理； l 限制访客访问权限，保障企业信息安全； l 对访客上网行为审计，以避免法律风险。 华为eSight Policy Center支持企业内部员工和外部访客使用同一套系统访问，实现全网用户统一认证、授权，对访客访问网络的带宽、流量等进行限制，支持访客账号自助申请，并能进行有效管理。访客管理系统处理流程如下： l 接待人员反馈信息，由管理员或接待人员申请临时账号； l 管理员审批信息，批准临时账号，通过短信/邮件把发送临时账号给接待人员； l 访客通过临时账号登录网络，TSM进行认证和记录； l 定期清理企业临时账号信息，减轻管理难度。 2.7.2 认证方式选择无线WLAN网络认证，根据业务需求主要可以分为，本地转发- 本地认证，集中转发- 集中认证，本地转发- 集中认证三种模式：。本地转发-本地认证模式业务流程如下图所示。在本地转发模式下，认证控制点在AP上行的switch设备，只有AC与AP之间的控制报文走CAPWAP隧道，STA认证报文（如802.1X、Portal认证）和认证后的STA业务数据报文不通过隧道，经AP直接转发。在这种模式下，Dot1x认证基于EAP协议，该协议为二层应用协议，这样要求STA与认证控制点之间必须是二层网络，认证控制点往往部署在AP上行的Switch上，控制点不集中导致设备成本高，管理维护复杂，且AC无法实现对接入用户的集中控制（例如访问资源的权限、隔离、限速等）。这种方式本地互访直接在AP进行转发，无需到AC，节省AP上行带宽； 数据业务流和认证协议流都无须CAPWAP隧道封装，节省AP上行带宽；无线网业务VLAN配置可以和现有有线网的VLAN配置保持一致，减少无线网络VLAN规划和配置。这种模式主要应用在园区总部。 集中转发-集中认证模式业务流程如下图所示，在集中转发模式下，认证控制点在AC设备，AC与AP之间的控制报文、STA认证报文 （如802.1X、Portal认证） 、认证后的STA业务数据报文全部走CAPWAP隧道。 在这种模式下，Dot1x等接入控制点可以部署在AC上，但是所有数据都走隧道， 即使本地互访数据报文也要经过AC转发。这种认证方式安全性相对较高； AC实现对无线用户的集中接入控制；无线网络部署时不需要考虑有线网络的情况，无线网络要单独规划VLAN，方便运维。 这种模式主要应用在园区总部。本地转发-集中认证模式业务流程如下：如图下图所示，在本地转发模式下，可通过配置， 让STA认证报文（如802.1X、Portal认证）进入CAPWAP隧道，从而上送到AC设备，认证控制点在AC设备，完成认证过程。而认证后的STA业务数据报文不通过隧道，经AP直接转发。 在这种模式下，能够实现在AC上对无线用户的集中接入控制功能，主要包括用户的隔离、限速、ACL；并且Radius授权通过AC控制隧道下发到AP设备，提升网络安全性。这种模式AC实现对无线用户的集中接入控制功能；授权通过AC控制隧道下发到AP设备，提升网络安全性； 本地互访直接在AP进行转发，无需到AC，节省AP上行带宽；这种认证方式主要应用在AC部署与总部，AP放在各个分支的场景。本地转发-集中认证模式最大的优势在于在本地转发的场景下，能够实现对无线用户进行集中接入控制，并且Huawei WLAN解决方案可以很好的解决本地转发模式下，用户的跨三层漫游这一难题，使园区和分支场景下即实现了统一管理，又实现业务数据本地出口转发，减少网络迂回。2.7.3 访客管理随着企业与外界交往的增加，WLAN移动办公能够灵活满足客户沟通、交流、参观过程中对网络接入的诉求，访问企业公共资源或internet。企业提供一套访客管理系统，既能方便客户交流，提升企业形象，同时对访客的网络接入权限做到精细管控。企业访客系统需要解决以下安全性核心问题： l 对访客申请的账号进行统一管理； l 限制访客访问权限，保障企业信息安全； l 对访客上网行为审计，以避免法律风险。 华为eSight Policy Center支持企业内部员工和外部访客使用同一套系统访问，实现全网用户统一认证、授权， 对访客访问网络的带宽、流量等进行限制，支持访客账号自助申请，并能进行有效管理。访客管理系统处理流程如下： l 接待人员反馈信息，由管理员或接待人员申请临时账号； l 管理员审批信息，批准临时账号，通过短信/邮件把发送临时账号给接待人员； l 访客通过临时账号登录网络，TSM进行认证和记录； l 定期清理企业临时账号信息，减轻管理难度。 图2-1 华为访客接入管理系统3 无线商场网络络设计优势针对商场网络面临的新挑战和诉求，从基础网络，无线WLAN覆盖，认证计费，管理运维等多个方面针对性的开发了完备有竞争力的WLAN无线解决方案。无线商场网络方案的优势整体可以概括为6大特点。l 融合AC简化运维节省投资ü 随着基于WLAN的商场办公和商场应用的逐渐增多。如何实现有线无线的融合，做到真正的有线无线的转发统一，做到有线设备和无线设备的配置管理统一，减少网络运维的繁琐，是商场普遍面临的一个问题。l 提供稳定可靠的运营ü 随着基于WLAN的商场办公和商场应用的逐渐增多，对商场无线网络的可靠性提出了越来越高的要求，如何保证网络的高可靠性成为一个基本的需求。l 多层次服务质量保障ü 随着媒体方式的发展，越来越多地高带宽的应用（如P2P，流媒体）使得商场内关键业务（如远程教学、视频监控）的带宽不足。ü 华为AP灵活调整物理信道竞争参数，降低碰撞几率，大大提升整体吞吐量，支持对用户和用户组进行个性化限速，均衡用户占用带宽，利用QOS保障用户的业务的通畅。l 高性能，无限扩展 ü 商场网络络的建设，需要考虑后期扩容，并兼容技术的发展。ü 由于华为多年在无线领域的技术积累，华为无线AP的性能卓越，第三方Tolly以及众多实际项目证明，我司单台AP的吞吐量大于业界友商20%47%。l 智能射频规划和优化ü 随着无线网络规模的扩大及其应用的丰富，在无线工程实施中我们将面临诸多方面的挑战。华为提供可视化的无线射频规划和部署工具，为用户提供最具时效的可视化无线网络规划和部署手段。ü 当无线网络中由于AP中断而产生的覆盖盲区，AC可以通过经智能RF算法灵活调整失效AP周边的其它AP射频功率来完成对覆盖盲区的有效补充。ü AC可以发现无线网络中存在的射频干扰问题，继而调整信道，为受干扰AP 选择新的信道，从而可以迅速自动解决干扰问题。l 无线有线一体化管理ü 无线商场网络部署一般需要几百台甚至成千台AP布放在商场的每个室内的角落，或者布放在室外灯杆、外墙、楼顶上。如此分散且庞大的无线网络设备如何与原先的有线设备有机统一管理起来是商场网络管理者面临的一个难题。4 产品介绍4.1 产品介绍4.1.1 AP3010DN美观标准室内型双频AP主要性能l 2x2多入多出(MIMO)，2条空间流l 支持WIDS/WIPSl 支持WDS/Meshl 支持频谱分析、定位服务等软件增值业务l 支持动态射频优化（Auto Radio）l 支持高密加速（High Density Boost）l 支持感知随身（User Awareness）l 支持IPv6l AP3010系列AP每射频最大速率可达300Mbps，一体化内置天线l 支持802.3af/at以太网供电标准，简化安装，扩大设备的安装范围4.1.2 无线控制器AC6005AC6005产品有如下特点：l 丰富的接口类型 业务接口：8个电口，其中最后2个电口与光口组成combo 维护接口：1个RJ-45维护串口，1个USB口l 高容量、高性能的一体化设计 拥有8个GE口，提供4Gbit/s的转发能力 8口PoE满供能力，可以满足AC下直挂AP或其他需要供电终端的网络部署要求l 高可靠性设计 支持基于LACP 的端口冗余备份 支持组网1+1冗余热备l 易安装、易维护功能 AC6005尺寸为320mm×233.6mm×43.6mm，适合在桌面、标准IEC机柜（19英寸）里安装 内置Web网管，可以提供本地的图形化管理 网管eSight具有丰富的北向接口，符合企业用户使用习惯 支持板内温度探测器，实时监控AC运行环境l 绿色节能 采用静音风扇，风扇转速自动调整，降低系统的噪音，节省风扇功耗 当检测不到业务端口对端连接设备，即端口空闲时，则芯片进入省电模式，以减小功耗 采用先进工艺、高集成度、低功耗芯片，在提升系统性能的同时还降低了整机功耗4.1.3 接入交换机 S5700-28P-LI-PWRl 端口类型端口结构：非模块化端口数量：28个端口描述：24个10/100/1000Base-T端口，4个1000Base-X SFP端口l VLAN支持4K个VLAN支持Guest VLAN、Voice VLAN支持基于MAC/协议/IP子网/策略/端口的VLAN支持SuperVLANl QOS支持对端口接收和发送报文的速率进行限制支持报文重定向支持基于端口的流量监管，支持双速三色CAR功能每端口支持8个队列支持WRR、DRR、SP、WRRSP、DRR+SP队列调度算法支持报文的802.1p和DSCP优先级重新标记支持基于队列限速和端口Shaping功能l 组播管理支持IGMP v1/v2/v3 Snooping和快速离开机制 支持VLAN内组播转发和组播多VLAN复制支持捆绑端口的组播负载分担 支持可控组播基于端口的组播流量统计l 安全管理用户分级管理和口令保护支持防止DOS、ARP攻击功能、ICMP防攻击支持IP、MAC、端口、VLAN的组合绑定 支持端口隔离、端口安全、Sticky MAC支持黑洞MAC地址支持MAC地址学习数目限制支持IEEE 802.1X认证，支持单端口最大用户数限制支持AAA认证，支持Radius、HWTACACS、NAC等多种方式4.1.4 USG5120l 8500万海量URL过滤，搜索引擎关键字过滤、页面关键字过滤；l 支持FE、GE、E1/CE1、Serial、ADSL2+、3G等多种接入方式；l 支持10个扩展槽，单卡最高20GE，整机最大可以扩展到88GE；l 状态防火墙、NAT、身份认证、Anti-DDoS等功能；l 应用程序管控：IM/P2P限流、阻断，有效保障关键业务带宽。