农村信用社无线网络方案.doc

【精品文档】如有侵权，请联系网站删除，仅供学习与交流农村信用社无线网络方案.精品文档.西宁贝正电子科技有限公司XiNing BeiZheng Electronic Technology Co., Ltd方案书项目单位：青海省农村信用合作联社项目名称：青海省农信社办公楼无线上网实施方案制作单位：西宁贝正电子科技有限公司1.前言31.1.无线办公网络系统建设目标51.2.用户需求51.3.无线办公网络建设原则61.3.1.先进性61.3.2.标准性61.3.3.兼容性61.3.4.可升级和可扩展性71.3.5.安全性71.3.6.可管理性72.需求分析72.1.概况72.2.无线覆盖需求72.3.选型原则83.方案设计93.1.接入点覆盖及网络结构示意图93.1.1.接入点覆盖93.1.2.无线网络结构示意图94.设备介绍104.1.H3C WX3000系列有线无线一体化交换机104.1.1.产品简介104.1.2.产品特点114.1.3.产品规格124.2.H3C WX5000系列无线控制器194.2.1.产品概述194.2.2 产品特点204.2.3 产品规格254.3.WA2210无线AP产品304.3.1.产品概述304.3.2.产品特点314.3.3.硬件规格354.3.4.软件规格365.H3C公司售后保障体系395.1.两小时厂家上门服务395.2.服务组织结构395.3.服务及时性保障405.4.服务有效性保障41 6公司简介421. 前言在信息化的时代，计算机和网络已成为人们的生活中的不可缺少的部分。依靠计算机及网络获取的信息已经占到各种媒体的大部分。同时，通过方便和移动的方式获取信息成为趋势，促使便携式和移动性计算机不断发展。现在的网络将使得人们能够在广阔的世界里，非常方便灵活地接入网络。为了满足这种要求，除了在城市和广域范围内使用高效的专线和租用线路之外，还应该提供园区和城区范围内的高速高带宽无线传输方式。近年来，随着数据通信领域的发展，功能强大的便携式数据终端不断涌现，无线扩频网络技术的发展也日益迅速和成熟。无线局域网（WLAN）技术于20世纪90年代逐步成熟并投入商用，既可以作传统有线网络的延伸，在某些环境也可以替代传统的有线网络。对比传统的有线传输解决方案，使用WLAN网络实现数据传输具有以下显著特点：l 简易性：WLAN网络传输系统的安装快速简单，可极大的减少敷设管道及布线等繁琐工作；l 灵活性：无线技术使得WLAN设备可以灵活的进行安装并调整位置，使无线网络达到有线网络不易覆盖的区域；l 综合成本较低：一方面WLAN网络减少了布线的费用，另一方面在需要频繁移动和变化的动态环境中，无线局域网技术可以更好地保护已有投资。同时，由于WLAN技术本身就是面向数据通信领域的IP传输技术，因此可直接通过百兆自适应网口和企业内部Intranet相连，从体系结构上节省了协议转换器等相关设备；l 扩展能力强：WLAN网络系统支持多种拓扑结构及平滑扩容，可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统；随着WLAN技术的快速发展和不断成熟，目前在国内外已经具有较多的政府机构使用WLAN技术布置无线城域网，进行承载部分政府业务，诸如：电子政备、消防、公安信息等等，如：美国费城、荷兰阿姆斯特丹等。 无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。第一代无线局域网主要是采用Fat AP（即“胖”AP），每一台AP都要单独进行配置，费时、费力、费成本；第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置，其管理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈，由于这一代技术的AP储存了大量的网络和安全的配置，包括加密的钥匙，Radius client的安全密码 (secret) 等，而AP又是分散在建筑物中的各个位置，一旦AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的，所以当用户接入数量 (IP sessions)增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。在这样的环境下，基于无线交换机技术的第三代WLAN产品应运而生。第三代无线局域网采用无线交换机和FIT AP（即“瘦”AP）的架构，对传统WLAN设备的功能做了重新划分，将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现，同时加入了许多重要新功能，诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。，使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。表1 FAT AP与FIT AP两种组网方案对比WLAN技术优势：WLAN利用电磁波在空气中发送和接收数据，而无需线缆介质。WLAN的数据传输速率现在已经能够达到54 M，启用SUPER G模式可达到108M，传输距离最远可达10KM以上。它是对有线联网方式的一种补充和扩展，使网上的计算机具有可移动性，能快速方便地解决使用有线方式不易实现的网络连通问题。与有线网络相比，WLAN具有以下优点：(1)安装便捷 一般在网络建设中，施工周期最长、对周边环境影响最大的，就是网络布线施工工程。在施工过程中，往往需要破墙掘地、穿线架管。而WLAN最大的优势就是免去或减少了网络布线的工作量，一般只要安装一个或多个接入点 （Access Point） 设备，就可建立覆盖整个建筑或地区的局域网络。 (2)使用灵活 在有线网络中，网络设备的安放位置受网络信息点位置的限制。而一旦WLAN建成后，无线用户在无线网络的信号覆盖区域内任何一个位置都可以接入网络。(3)经济节约 由于有线网络缺少灵活性，这就要求网络规划者尽可能地考虑未来发展的需要，所以往往导致预设大量利用率较低的信息点。而一旦网络的发展超出了设计规划，又要花费较多费用进行网络改造。(4)易于扩展 WLAN有多种配置方式，能够根据需要灵活选择。这样，WLAN就能胜任从只有几个用户的小型网络到上千用户的大型网络，并且能够提供像“漫游（Roaming）”等有线网络无法提供的特性。1.1. 无线办公网络系统建设目标本期项目的目标是建立如下系统：1通过无线WLAN技术构造覆盖本地同时又能与Internet网络互联的共享信息网。2选用技术先进、具有高性能的无线网络产品。3完全符合开放性规范，将业界优秀的产品集成于该综合网络平台之中；4具有较好的可扩展性，为今后的网络扩容作好准备 5将内部无线办公网络与原有Internet接入设备进行有效结合，使无线办公网络的用户能够便捷地进行Internet访问。7在设备选型上要求所选择的无线产品必须在技术上具有先进性，通用性，且必须便于管理，维护。应具备未来良好的可扩展性，可升级性，保护单位的投资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要选择拥有足够实力和市场份额的主流产品，同时也要有好的售后服务。1.2. 用户需求本次无线局域网设计，以无线办公和无线上网为设计目标，要求建设一个采用先进技术的无线局域网络，以服务于办公楼楼宇日常办公、上网及其他应用。要求无线局域网除了安全、稳定之外，还要有良好的扩展性和自由的移动性，同时要求方案所提供的产品不仅要经济，而且建成后的网络还具有维护工作少等特点。同时所提供的设计方案具有推广价值，满足信息化无线网络的标准。在青海省农村信用联社办公楼3-5层，需要进行无线覆盖，每层部署3个AP，一共需要9个无线接入点，要求将无线移动用户与接入交换机进行互联，从而进行无线网络办公、网上冲浪以及内部资源的共享。1.3. 无线办公网络建设原则无线办公网络以实现以上功能为基本要求，在设计上力求做到既要采用国际上先进的技术，又要保证系统的安全性、可靠性和实用性。具体来讲，其设计遵循以下原则：1.3.1. 先进性网络应使用目前国际上较先进、较成熟的技术，符合国际标准和规范；1.3.2. 标准性所采用技术的标准化，可以保证网络发展的一致性，增强网络的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开放性。全面支持IEEE工业标准：IEEE 802.11a、IEEE 802.11b、IEEE  802.11gIEEE802.3u、IEEE 802.1q等。无线控制器所设备支持的功能应该有：Ø 多内核，有线、无线系统完全独立各有专攻，并行工作两不误，具备有线转发性能高，无线控制业务丰富的特点。Ø 集无线控制、有线交换和PoE+供电于一体，统一的电源、温度、关键器件管理故障点降低，节省投资；Ø 有多个千兆有线交换口，解决网络核心的传输瓶颈；Ø 内置Web网管、本地Radius Server、Portal Server和DHCP Server，有线无线业务统一监控，简化管理复杂度，节省部署和管理网络的人力投入。 AP接入速率: IEEE802.11a：最高54Mbs、IEEE802.11g：最高54Mbs、IEEE802.11b：最高11Mbps。支持国际通用的网络管理协议：SNMP（V1、V2、V3），同时支持通过Windows平台上的配置工具：Telnet、WEB进行选程管理。1.3.3. 兼容性跟踪世界科技发展动态，网络规划与现有的有线网络有良好的兼容性，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。1.3.4. 可升级和可扩展性随着技术不断发展，新的标准和功能不断增加，无线网络设备可以通过网络进行升级，以提供更先进、更多的功能。以方便未来更灵活的扩展。1.3.5. 安全性网络的安全性对网络设计是非常重要的，合理的网络安全控制，可以使应用环境中的信息资源得到有效的保护。必须有效的控制用户对网络的访问，灵活的实施网络的安全控制策略。无线办公网络中，无线网络用户在接入无线网络前，必须要经过认证以及授权，防止非法用户的接入。 无线接入点之间的信息必须要经过加密处理，以防止非法用户窃听、篡改。1.3.6. 可管理性要求无线产品支持：国际标准的网络管理协议SNMP，TFTP，以及通过Telnet、WEB进行远程管理和监控。通过网络管理软件实时监测无线网络设备的运行状态，网络设备的故障事件报警，网络流量统计分析等。网管软件的应用可以提高网络管理的效率，减轻网络管理人员的负担。网络管理的目标是实现零管理，基于策略的管理方式，网络管理是通过制定统一的策略，由管理策略服务器进行全局控制的。基于Web的网管界面，是便捷网管的发展趋势，灵活的操作方式简化了管理人员的工作。2. 需求分析2.1. 概况1）办公室、走廊、包括一些死角进行全部覆盖；2）其中办公楼高为3-5层，总共为3层楼，每层楼部署3个AP；3）现有的有线网络为博达公司，内网已经比较键全，都有信息进行接入，但有些工作人员无法上INTERNET,因此建议交换机支持POE供电；2.2. 无线覆盖需求1）在大楼的3-5层实现无线上网，无线覆盖要求做到尽量没有死角；2）一个ap可以带10-15个客户端；3）保证通信传输质量；4）一定要加强无线网络安全；5）采用胖瘦一体化的组网方便，方便管理，扩展；以现有网络状况为依据，此次网络升级改造目标：将无线局域网解决方案与原有布线设施进行有机结合，在覆盖区内部实现无线办公、上网。通过实施无线局域网解决方案，使用户不管是在办公楼里的任何一个角落，只要在无线信号的覆盖范围内，都能够方便、迅速地对共享信息进行访问而无需电缆的插接。这样提高了用户的办公、学习效率，也使用户能够利用手头丰富的实时信息作出决定。不需要指定明确的访问地点，始终可以保持网络连接。无线用户的接入速率采用54Mbps.2.3. 选型原则我们在进行无线网络系统设计时考虑如下特点： 1、 网络标准：内部无线局域网所有无线网络设备全部执行IEEE 802.11g标准。2、 稳定性：只有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因素，如网络的设计，产品的可靠，而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。3、 高带宽：对于无线网络数据的传输能力，在技术上要到达当前的国际先进水平。要采用最先进的网络技术，以适应大量数据的传输，既要满足目前的业务需求，又要充分考虑未来的发展。4、 易扩展： 系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。易扩展不仅仅指设备端口的扩展，还指网络结构的易扩展性：即只有在网络结构设计合理的情况下，新的网络节点才能方便地加入已有网络；5、 支持QoS：QoS (英文全称为"Quality of Service"，中文名为"服务质量")是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。本网络系统应能提供QoS功能。6、 安全性：无线网络系统应具有良好的安全性。在无线用户接入网络前，必须接受认证确保只有通过认证的用户才能够使用访问无线网络资源，拒绝非法用户。无线信息传输必须要首先经过加密过程，保证数据的完整性、可靠性、真实性。防止恶意用户破坏数据。 7、 容易控制管理：灵活控制接入用户的访问权限。3. 方案设计3.1. 接入点覆盖及网络结构示意图3.1.1. 接入点覆盖为了实现以上网络设计原则，使无线办公网络具有高速的接入速率及良好的扩展性和灵活性，便于管理，易于维护，在网络设计上采用了以下方案。Ø 室内覆盖方式在3-5层楼每层楼内，分别采用三台高灵敏度、穿透能力强的无线AP产品，配合分离式吸顶天线，可完成室内区域的完全覆盖。Ø 统一标准，统一网络统一的无线局域网络协议标准，安全标准， 接入标准和网络管理平台，才能实现真正的统一管理，便于内部网络的管理和网络策略的实施。3.1.2. 无线网络结构示意图说明：在各层楼层的天花板上均匀放置三台高灵敏度、穿透能力强的无线AP产品，配合分离式吸顶天线，完成室内区域的完全覆盖。在项目具体实施中，选用H3C公司的室内型单频AP WA2210-AG，配合室内吸顶天线，完成内部无线覆盖。采用分离式天线设计，可以适应无线设备与高增益天线的连接使用，以保障高质量的无线信号能够覆盖更远距离，同时增强设备在干扰较大的频率环境中使用的能力。在办公楼网络中心，采用一台无线控制器，对AP进行管理控制，满足管理、维护、操作简单方便的要求。WX3024基础规格支持24个AP，通过license12升级（最多支持2个licnese12），最多支持48个AP，1K个无线用户，可以满足中小型无线网络的部署需求。WX5002-64基础规格支持32个AP，通过license32升级（最多支持1个licnese32），最多支持64个AP，2K个无线用户，可以满足中、大型无线网络的部署需求。WA2210-AG，可以适应无线设备与高增益天线的连接使用，以保障高质量的无线信号能够覆盖更远距离，同时增强设备在干扰较大的频率环境中使用的能力。4. 设备介绍4.1. H3C WX3000系列有线无线一体化交换机4.1.1. 产品简介H3C WX3000系列一体化交换机是杭州华三通信技术有限公司（以下简称H3C公司）自主研发的集成无线控制器和千兆以太网交换机功能的产品。H3C WX3000系列一体化交换机提供纯千兆以太网有线接入口，支持PoE+供电，每端口最大提供25W的功率，同时兼容802.11a/b/g/n协议。其中，WX3024后面板提供两个10GE接口插槽，解决了WLAN网络核心的传输瓶颈。WX3000系列一体化交换机提供一体化的有线无线接入控制功能，定位于中小型企业网和大型企业分支机构的一体化接入，是中小企业，大企业分支机构有线无线一体化接入最理想的一体化交换机。H3C WX3000系列一体化交换机目前有包含H3C WX3024一款型号，配合H3C公司自主研发的Fit AP （H3C WA2110/WA2200/WA2600）可以满足上述几种无线典型应用。产品视图如下：WX3024设备外观图4.1.2. 产品特点ü 提供对802.11n AP的管理WX3000系列一体化交换机在支持对传统802.11a/b/g AP管理的同时，还可以与H3C基于802.11n协议的 WA2600系列AP配合组网，从而提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围，使无线多媒体应用成为现实。ü 提供灵活的数据转发方式支持集中式转发和分布式转发。单一的集中式转发，AC虽然能对报文进行全面控制，但所有的无线业务流都要到AC进行统一处理，使得AC的转发能力很容易成为瓶颈。特别是当通过广域网方式转发时，AP作为数据接入设备部署在分支机构，而无线控制器部署在总部，所有用户数据由AP发送到无线控制器，再由无线控制器进行集中转发，导致转发效率低下。甚至当802.11n出现时，一个AP的业务报文流量高达300M之多，AC的处理性能更加成为无线系统的瓶颈。当采用分布式转发时，报文在AP上直接转化为有线格式的报文，并不经过AC，能够实现无线报文的宽带接入。WX3000系列一体化交换机，支持两种转发方式，用户可以根据需要，给SSID设置转发的类型。ü 提供基于位置的用户接入控制出于安全性或计费等的考虑，系统管理员可能希望控制无线用户接入到网络中的位置。H3C WX3000系列一体化交换机支持基于AP的用户接入控制。当无线用户接入网络时，可以通过认证服务器向AC下发允许用户接入的AP列表，在AC上进行接入控制，从而达到限制无线用户只能接入到指定位置的AP的目的。ü 提供精细的无线用户管理基于MAC的认证接入控制方式，不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改，同时支持对具体用户的权限的配置，这种精细的用户权限控制大大增强了无线网络的可用度，网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。基于MAC的VLAN同样也是WX3000系列一体化交换机的一大特色，在控制策略上，管理员可以把相同性质的用户（MAC）划分到同一个VLAN，同时在控制器上基于VLAN配置安全策略，这样做既可以简化系统配置，又可以做到用户级粒度的精细管理。ü 提供QoS Profile在基于用户授权方式的网络管理中，用户通过认证，即获得访问网络的权限。授权包括控制用户可访问的网络范围，以及用户可获得的网络服务质量，如访问带宽、访问优先级。在用户移动的网络中或大型网络中，为了方便网管人员开展日常的管理工作，QoS Profile特性提供了一种更模块化、更简单的管理方式。管理人员将一组基于用户群或特殊用户定制的策略配置在各个用户的profile中，并且为每个用户群或特殊用户预先分配各自的profile，用户认证上线时，在用户上线的端口动态下发profile配置，使该用户能动态获得其可以访问的网络范围，访问带宽以及访问优先级；在用户下线时，取消该用户在这个端口上的配置，自动关闭该端口的特殊访问权限。QoS Profile中可以下发的配置包括ACL、QoS（优先级、带宽限速、802.1p和DSCP标记）、VLAN。4.1.3. 产品规格ü 硬件规格项目WX3024外形尺寸（长×宽×高）440×429 ×43.6（mm3）重量<7kg (不带扩展卡)管理端口1个Console口业务端口描述24个10/100/1000M电口4个千兆SFP Combo口2个10GE XFP或XENPAK光口输入电压AC：额定电压范围：100V240V AC；50/60Hz最大电压范围：90V264V AC； 47/63HzDC：额定电压范围：-52V-55V DC最大电压范围：-36V-72V DC功耗（所有端口均对外PoE+供电时）交流输入：450W直流输入：670WPoE+最大输出功率（单端口）25W工作环境温度045工作环境相对湿度（非凝露）10%90%存贮温度-40ºC70ºC存贮湿度5% 95%（非冷凝）安全规范UL 60950-1,CAN/CSA C22.2 No 60950-1, IEC 60950-1, EN 60950-1/A11, AS/NZS 60950, EN 60825-1, EN 60825-2, FDA 21 CFR Subchapter JEMCETSI EN 300 386 V1.3.3:2005EN 55024: 1998+ A1: 2001 + A2: 2003EN 55022 :2006VCCI V-3:2007ICES-003:2004EN 61000-3-2:2000+A1:2001+A2:2005EN 61000-3-3:1995+A1:2001+A2:2005AS/NZS CISPR 22:2004FCC PART 15:2005MTBF>40年（25）ü 软件规格 有线部分支持特性WX3024交换容量bit/s（全双工）88G端口聚合(1) 支持GE（Gigabit Ethernet）端口动态聚合(2) 支持10GE端口动态聚合(3) 支持动态LACP链路聚合(4) 支持手工聚合(5) 支持静态聚合(6) 支持最多（总端口数目/2）个端口聚合组，每组支持最多8个GE或2个10GE端口流控支持端口流控MAC地址表(1) 支持16K MAC地址(2) 支持1K静态MAC地址(3) 支持1K组播MAC地址(4) 支持黑洞MAC地址VLAN(1) 支持基于端口的VLAN（4094个）(2) 支持嵌套式VLAN（VLAN-VPN或QinQ）(3) 支持灵活QinQ(4) 支持协议VLAN(5) 支持Voice VLAN(6) 支持管理VLAN可配置(7) 支持GVRP(8) 支持VLAN下配置禁止MAC地址学习功能路由支持静态路由DHCP(1) 支持DHCP Client(2) 支持DHCP Snooping，包括Option 82功能组播(1) 支持IGMP（Internet Group Management Protocol） Snoopingv1/v2/v3(2) 单VLAN内最多256个组播组，整机1024个组播组(3) 支持组播VLAN(4) 支持未知组播丢弃(5) 支持未知组播出端口报文过滤(6) 支持手工配置组播MAC地址广播风暴抑制支持基于端口的广播风暴控制MSTP(1) 支持STP/RSTP/MSTP协议(2) 支持域内最大生成树（16个）(3) 支持STP Root Guard(4) 支持BPDU GuardQACL(1) 支持IEEE 802.1p/DSCP优先级(2) 支持优先级映射(3) 支持优先级标记(4) 支持流量统计(5) 支持端口信任模式(6) 每端口支持8个队列(7) 支持方式为SP/SDWRR/SP+SDWRR的队列调度(8) 支持端口和队列的流量整形(9) 支持基于端口/流的限速，最小粒度为1Kbps(10) 支持基于流的重定向(11) 支持数字表示型标准ACL(12) 支持数字表示型扩展ACL(13) 支持数字表示型二层ACL(14) 支持对下发ACL的配置(15) 支持多种QoS&ACL下发方式：全局下发、VLAN下发、端口组下发、端口下发(16) 支持根据时间段变化实时更新ACL镜像(1) 支持流镜像(2) 支持基于VLAN的镜像(3) 支持基于MAC地址的镜像(4) 支持端口镜像(5) 支持多个源端口镜像(6) 支持远程端口镜像安全特性(1) 支持用户分级管理和口令保护(2) 支持AAA认证(3) 支持Radius认证(4) 支持HWTACACS认证(5) 支持SSH 2.0(6) 支持管理VLAN(7) 支持端口隔离(8) 支持端口安全(9) 支持集中式MAC地址认证(10) 支持ARP入侵检测(11) 支持端口下IP地址过滤802.1x(1) 单端口下挂最多256个用户(2) 支持基于端口的认证和基于MAC的认证(3) 支持Guest VLAN(4) 支持TRUNK端口认证(5) 支持动态VLAN和ACL规则下发JUMBO Frame支持最大帧长为4KDLDP支持DLDP（Device Link Detection Protocol）POE24口支持POE+远端供电(每端口最大25W)支持RPS电源加载与升级(1) 支持XModem协议实现加载升级(2) 支持FTP（File Transfer Protocol）加载升级(3) 支持TFTP（Trivial File Transfer Protocol）加载升级管理(1) 支持命令行接口（CLI）配置(2) 支持Telnet远程配置(3) 支持通过Console口配置(4) 支持SNMP（Simple Network Management Protocol）(5) 支持RMON（Remote Monitoring）告警、事件、历史记录(6) 支持Quidview网管系统(7) 支持WEB网管(8) 支持系统日志(9) 支持分级告警(11) 支持Modem远端拨号(12) 支持NTP(13) 支持电源的状态检测(14) 支持电源的告警功能(15) 支持风扇报警维护(1) 支持调试信息输出(2) 支持Ping（Packet Internet Groper）、Tracert(3) 支持HWPing(4) 支持Telnet远程维护ü 软件规格 无线部分支持特性WX3024网络互连802.3局域网协议ARP （免费ARP）VLAN（PORT-BASED VLAN/MAC-BASED VLAN）802.1p、802.1q、802.1x802.11局域网协议802.11、802.11b、802.11a、802.11g、802.11d、802.11h、802.11i、802.11e、802.11nCAPWAP协议AP和AC之间支持L2/L3层网络拓朴AP可以自动发现可接入的ACAP可以自动从AC更新软件版本AP可以自动从AC下载配置AP和AC之间支持IPv4网络漫游支持AC内漫游支持跨AC间漫游支持Key cache快速漫游IP应用Ping、TraceRT、DHCP Server、DHCP Client、DHCP Relay、DHCP Snooping、DNS Client、NTP、Telnet、TFTP Client、FTP Client、FTP ServerIP路由静态路由组播IGMP Snooping网络安全性安全认证MAC 地址认证802.1x认证 （EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-SIM、EAP-MD5）Portal认证支持无线EADAAARadius ClientHWTacacs支持认证服务器多域配置支持备份认证服务器支持基于ESS选择认证服务器支持SSID和用户账号的绑定802.11安全和加密支持多SSID支持隐藏SSID支持802.11i标准(含802.1x认证和PSK认证)支持WPA、WPA2标准WEP(WEP64/WEP128)TKIPCCMPWIDS/WIPS支持白名单支持静态和动态黑名单支持对无线非法设备的监测和攻击支持无线防攻击其他SSH V1.5/2.0转发支持集中式转发和本地转发模式基于AP的带宽限速相同SSID下的用户隔离射频管理支持国家码设置支持手动设置发射功率支持自动设置发射功率支持手动设置工作信道支持自动设置工作信道支持自动调整传输速率支持黑洞补偿支持基于流量和基于用户数的AP负载分担支持无线射频干扰监测和规避QoS支持L2L4包过滤和流分类功能支持基于用户和基于SSID的速率限制，粒度为64Kbit/s支持WMM（802.11e）支持无线优先级到有线优先级的映射支持无线用户优先级到CAPWAP隧道优先级的映射可维护性网络管理SNMP V1/V2/V3WEB管理SYSLOG用户接入管理支持Console口登录支持Telnet登录支持SSH登录支持FTP上传性能指标交换容量1Gbps可管理的最大AP数24VLAN4KACL1K无线用户数1KMAC地址表2KJbmbo帧大小4KARP表1K用户漫游切换时间小于50ms4.2. H3C WX5000系列无线控制器4.2.1. 产品概述H3C WX5000系列无线控制器是杭州华三通信技术有限公司（以下简称H3C公司）自主研发的系列无线控制器（AC，Access Controller）。H3C WX5000系列无线控制器具有容量适中、高可靠性、业务类型丰富等特点，提供了丰富的有线数据和无线数据的处理功能。H3C WX5000系列无线控制器集精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS及IPv4&IPv6等多功能于一体，提供强大的WLAN接入控制功能。H3C WX5000系列无线控制器定位在企业网，城域网WLAN接入，是大中型企业园区WLAN接入、无线城域网覆盖、热点覆盖等应用环境的最理想的接入控制器。H3C WX5000系列无线控制器包括H3C WX5002、WX5004无线控制器和LSWM1WCM10、LSWM1WCM20无线控制业务板，是H3C公司自主研发的无线控制器，配合 H3C公司自主研发的Fit AP （H3C WA2100系列/WA2200系列/WA1208E系列/WA2600（802.11n）系列），可以满足大多数的无线部署典型应用。l           WX5004基础规格支持64个AP，通过license32升级（最多支持6个license32），最多可以支持256个AP，4K个无线用户，可以满足大型无线网络的部署需求。l           WX5002系列根据支持AP数量的不同，有两款型号：WX5002-64和WX5002-128。WX5002-64基础规格支持32个AP，通过license32升级（最多支持1个licnese32），最多支持64个AP，2K个无线用户，可以满足中型无线网络的部署需求；WX5002-128不支持通过license升级，最大支持128个AP。l           LSWM1WCM10为H3C S5800系列交换机大容量无线控制业务板卡，基础规格支持64个AP，通过license32升级（最多支持6个license32），最多可以支持256个AP，4K个无线用户，可以满足大型无线网络的部署需求。l           LSWM1WCM20为H3C S5800系列交换机低容量无线控制业务板卡，基础规格支持32个AP，通过license32升级（最多支持3个licnese32），最多可以支持128个AP，2K个无线用户，可以满足中型无线网络的部署需求。H3C公司使用创新的基于认证的组网来提供网络服务，这种方法基于用户身份而非端口或设备，以便跨越整个网络实现移动性和安全性。当用户漫游网络时，通过WLAN网络范围内的无线控制器的信息交换，以实现在整个网络范围内执行一致的访问和安全策略。同时采用WPA/WPA2和802.1X认证结合的AES、TKIP以及WEP加密等功能增强了网络安全。 H3C WX5000系列无线控制器与H3C FIT AP配合组网，可以方便的部署于任何现有的二层网络或三层网络之中，控制器和AP通过IETF制定的CAPWAP协议进行互联而无需针对现在有网络进行重新配置。产品视图如下：图 WX5002设备外观图4.2.2 产品特点l           提供对802.11n AP的管理H3C WX5000系列无线控制器在支持对传统802.11a/b/g AP管理的同时，还可以与H3C基于802.11n协议的WA2600系列AP配合组网，从而提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围，使无线多媒体应用成为现实。l           提供灵活的数据转发方式支持集中式转发和分布式转发。单一的集中式转发，AC虽然能对报文进行全面控制，但所有的无线业务流都要到AC进行统一处理，使得AC的转发能力很容易成为瓶颈。特别是当通过广域网方式转发时，AP作为数据接入设备部署在分支机构，而无线控制器部署在总部，所有用户数据由AP发送到无线控制器，再由无线控制器进行集中转发，导致转发效率低下。H3C WX5000系列无线控制器支持两种转发方式，用户可以根据需要给SSID设置转发的类型。l           运营级的无线用户接入控制和管理基于用户的接入控制是H3C WX5000系列无线控制器产品的一大特色，User Profile（用户配置文件）提供一个配置模板，能够保存预设配置（一系列配置的集合）。用户可以根据不同的应用场景为User Profile配置不同的内容，比如CAR（Committed Access Rate，承诺访问速率）策略和QoS（Quality of Service，服务质量）策略等。用户访问设备时，需要先进行身份认证。在认证过程中，认证服务器会将User Profile名称下发给设备，设备会立即启用User Profile里配置的具体内容。当用户通过认证访问设备时，设备将通过这些具体内容限制用户的访问行为。当用户下线时，系统会自动禁用User Profile下的配置项，从而取消User Profile对用户的限定。因此，User Profile适用于限制上线用户的访问行为，没有用户上线（可能是没有用户接入、或者用户没有通过认证、或者用户下线）时，User Profile是预设配置，并不生效。另外，H3C WX5000系列无线控制器还支持基于MAC的认证接入控制方式，这种方式不但可以使得客户在AAA服务器上对用户组进行权