烟草进修学院无线校园网解决方案.pdf

《烟草进修学院无线校园网解决方案.pdf》由会员分享，可在线阅读，更多相关《烟草进修学院无线校园网解决方案.pdf（43页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 烟草进修学院无线校园网 解决方案 华三通信技术有限公司 2011 年 04 月 目 录 1 概述.44 2 需求分析.55 2.1 总体要求.55 2.2 覆盖范围.55 2.3 技术要求.66 3 H3C 无线校园网建设方案.88 3.1 整体方案.88 3.2 无线校园网管理方案.1010 3.3 安全方案.1414 3.3.1 防 ARP病毒.1414 3.3.2 无线入侵检测 .1515 3.3.3 室内设备物理安全性 .1515 4 H3C 方案特点与优势.1616 4.1 H3C 一体化无线校园解决方案更稳定：.1616 4.2 H3C 一体化无线校园解决方案高安全：.1818

2、4.3 H3C 一体化无线校园解决方案易管理：.2020 4.4 H3C 一体化无线校园解决方案可扩展：.2121 4.5 H3C 一体化无线校园解决方案全业务：.2222 5 产品配置方案.2323 6 方案涉及产品介绍.2424 6.1 H3C WX5000 系列无线控制器.2424 6.1.1 产品简介 .2424 6.2 H3C WA2620-AGN 无线接入点.2525 6.2.1 产品简介 .2525 6.2.2 产品特点 .2525 6.2.3 产品规格 .2828 6.3 IMC WSM 无线运营管理组件.3131 6.3.1 产品简介 .3131 6.3.2 产品特点 .31

3、31 6.3.3 运行环境 .3434 6.4 S5120-28P-HPWR-SI.3434 6.4.1 产品概述 .3434 6.4.2 产品特点 .3535 7 H3C 售后服务结构及保障体系.3838 7.1 服务组织结构.3838 7.2 服务及时性保障.3939 7.3 服务有效性保障.4040 1 概述 无线局域网（WLAN）技术于 20 世纪 90 年代逐步成熟并投入商用，既可以作传统有线网络的延伸，在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点：简易性：WLAN 网桥传输系统的安装快速简单，可极大的减少敷设管道及布线等繁琐工作；灵活性：无线技术使得 WLAN 设

4、备可以灵活的进行安装并调整位置，使无线网络达到有线网络不易覆盖的区域；综合成本较低：一方面 WLAN 网络减少了布线的费用，另一方面在需要频繁移动和变化的动态环境中，无线局域网技术可以更好地保护已有投资。同时，由于 WLAN 技术本身就是面向数据通信领域的 IP 传输技术，因此可直接通过百兆自适应网口和企业、学校内部 Intranet 相连，从体系结构上节省了协议转换器等相关设备；扩展能力强：WLAN 网桥系统支持多种拓扑结构及平滑扩容，可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统；随着 WLAN 技术的快速发展和不断成熟，目前在国内外具有较多的中大规模应用，诸如荷兰的阿姆斯特丹市

5、的全城覆盖，诸如无线上海、无线杭州的无线城市，向客户提供各种业务。2 需求分析 2.1 总体要求 无线网工程的总体原则如下：侧重实际应用，覆盖园区内区域，为教学、科研、办公及学习、生活、交流提供切实可用的、稳定的无线网络环境。采取先进通行的协议标准，即目前无线局域网普遍采用802.11系列标准，无线局域网提供802.11a、802.11b、802.11g、802.11n 标准的联网支持，提供可供实际应用的稳定网络通讯服务。实现室内无线网络的合理分布，考虑室内实现无线网络的不同情况和特点以及目前园区室内手提电脑用户数量日益增多的情况，应采取合理的布网方式满足现在以及未来发展的需要。新建网络需要实

6、现与现有的无线网和有线网的网络融合与统一管理。在实施无线覆盖工程时，如无特别说明，以考虑信号覆盖范围为主，单个 AP 的并发用户数及每用户无线上网带宽不作为工程的重要因素予以考虑。所有学生宿舍楼宇主要采用室外照射方式进行覆盖。对于部分学生宿舍楼宇，在保证信号覆盖的前提下，如果不较大的提高综合成本，楼内的部署方式将更为可取。无线系统须具备对无线 AP 进行统一控制、管理的软硬件平台，软硬件控制、管理平台所提供的网元License 数量与实际网元数量相匹配并易于扩充，软硬件控制、管理平台的采购、安装、调试工作由系统集成商负责。无线网系统必须实现与有线网现有认证系统对接，从而实现校园有线网与无线网的

7、统一身份认证。2.2 覆盖范围 本次建设覆盖范围是全楼宇覆盖，主要是三个楼宇，分别是 2 号楼，8 号楼，新楼，通过无线 802.11n覆盖，要求交换机能够提供 POE 功能，实现全楼宇的无盲区高速有效无线覆盖：（1）2 号楼：2 号楼有 6 层，每层布置 3 台 802.11n AP，。（2）8 号楼：8 号楼有 7 层，每层布置 4 台 802.11n AP，。（3）新楼：新楼有 7 层，每层布置 3 台 802.11n AP，。2.3 技术要求 室内无线 AP 输出点信号强度20dbm，室外无线 AP 输出信号强度-73dbm 无线接入点供电方式需采用 IEEE802.3af POE 交

8、换机远程供电 为了满足大容量并且以备扩容和发展，室内无线 AP 要求必须支持两个射频模块，可以工作在 2.4GHz 和 5.8GHz 频段 为了满足室内美观和覆盖要求，室内无线 AP 必须采用吸顶天线方式，天线要求工作在2.4GHz 和 5.8GHz 频段范围。无线接入点（AP）必须支持 IEEE802.11a、IEEE802.11b、IEEE802.11g、IEEE802.11n 三种无线传输协议 无线 AP 必须支持通过 802.3 af 兼容的 POE 交换机供电 要求本项目中 95%以上的无线 AP 需要使用 POE 交换机接入校园网，投标方须根据无线 AP总数量配备所需 POE 交换

9、机数量及 POE 模块数量 无线 AP 必须支持无线用户的隔离功能，以防止在公共区域无线用户间的信息泄露 无线 AP 自身具备智能的、无需要辅助设备就可根据周围电磁波环境的变化，自动进行频道最优化设置，以达到最优化覆盖的目的 无线AP之间可根据相互通告来获取对方连接的用户数量及流量，从而实现AP的负载均衡，并支持用户在不同 AP 间平滑漫游 无线 AP 支持射频(RF)信号加密特性，支持 802.11i 安全标准，提供 WPA2 认证机制可同时提供 TKIP 以及 AES 加密方式，且 AP 具有自动识别客户端两种加密请求方式 无线 AP 支持 SNMP Vi/Vii 管理及支持 Watchd

10、og 功能 无线系统的用户认证页面需要能够支持个性化定制，并完成与校园网当前使用的认证系统对接，从而实现无线用户上网时的接入认证，以达到对校园网上网用户进行统一认证及管理的目的 无线系统须支持 WPA 以及 WPA2 认证，支持 WPA/WPA2 安全规范，支持标准的 802.1x 认证流程，内嵌 Radius Server，支持 EAP-MD5，EAP-TLS，EAP-TTLS，PEAP 等多种认证协议 系统须支持 WEBDHCP 认证，认证过程支持 SSL 的加密技术 系统须支持基于 MAC 地址的认证，以及用户账号与 MAC 地址的绑定认证 系统能够对用户进行访问控制（ACL）和策略路由

11、，可建立完整的访问控制列表 采用大容量控制器覆盖简化管理，投标方需要明确投标方案中控制器可管理的 AP 数量以及扩展能力 系统必须具备扩展性，需要不更换控制器设备就能提供对 802.11n 设备的支持 无线 AP 支持射频(RF)信号加密特性，支持 802.11i 安全标准，提供 WPA2 认证机制可同时提供 TKIP 以及 AES 加密方式，且 AP 具有自动识别客户端两种加密请求方式 系统必须支持基于二层的用户隔离 系统必须支持 Portal 业务，Portal Server 支持可定制的 Portal 页面 系统必须提供 Web 和 SSH 方式管理；支持 SNMP v2/v3 网管协议

12、 实现对现有网络系统的融合解决方案，包括不同在 AP 之间、不同交换机之间、不同控制器之间的漫游解决方案，以及与现有有线和无线网络管理系统的融合方案。本项目预计室内 AP 数目为 67 个。3 H3C无线校园网建设方案 3.1 整体方案 基于网络的先进性考虑,本次烟草进修学院无线园区网项目采用目前主流的无线控制器+瘦 AP的架构,在实现对校园进行无缝覆盖的同时,又能够实现对无线网络的灵活管理配置,提高网络维护效率 由于本次项目所需室内外 AP 总数 67 台，所以在本次无线园区网解决方案采用高性能无线控制器 WX5004,WX5004 放在网络核心，实现对于本期无线园区网中所有的室内AP 的统

13、一管理。H3C WX5004高端无线控制器基础可管理 64 个 AP，通过软件升级最大可管理 256 个 AP，完全能够管理本次项目所需的室内 AP；室内型 AP 采用 WA2620-AGN 双频 AP，WA2620-AGN 支持两个射频模块，可以同时工作在 2.4GHz 和 5GHz，在设备数量不变的情况下，把网络的介入容量提高一倍，以满足 WLAN 用户快速增长的需求；PoE 交换机采用 S5120-28P-HPWR-SI 和 S5120-28P-PWR-SI，S5120-28P-HPWR-SI 和S5120-28P-PWR-SI 系列 PoE 交换机最大分别提供 375W 和 375W

14、的供电功率，可以满足 24 口同时接AP 的供电需求；管理方面，建议部署有线无线一体化管理软件，通过 WSM 无线业务管理组件的方式实现对无线控制器、室内 AP 设备的统一管理。具体的核心设备拓扑图和各楼拓扑图如下所示：3.2 无线校园网管理方案 H3C 无线运营管理组件（WSM）在下一代业务软件平台 iMC 的基础上进行开发，不仅为用户提供了灵活的组件选择，同时符合业界主流的 SOA 架构，具备良好的扩展性，能够满足客户网络管理不断发展的需求。基于 Web 的管理系统，为无线业务管理者提供了简便、友好的管理平台。与 iMC 智能管理平台及其它组件配合，还可实现无线设备的面板管理、故障管理、性

15、能监控、软件版本管理、配置文件管理、接入用户管理、用户认证管理等功能，并可对网络中的其它设备进行统一管理，真正实现有线无线一体化管理。组件的主要功能和特点如下：1.无线有线一体化管理 H3C 无线运营管理组件（WSM）作为 iMC 智能管理中心的无线业务管理核心，对于网络中的 AC、FAT AP、AC、FIT AP、移动终端等无线设备与有线设备进行一体化集中管理，全网设备信息和状态一目了然。网络资源通过多种视图进行查看，视图内分组管理，将规模巨大的无线接入设备有效组织，便于用户维护。2.多样化的拓扑管理 H3C 无线运营管理组件（WSM）中的无线业务逻辑拓扑帮助用户直观了解网络部署情况及设备/

16、链路当前状态。系统可根据不同的方式组织资源，有效进行拓扑分组、真实组织全网资源。物理位置视图中用户可根据需要创建多纬度、多层次的物理位置结构，并在指定建筑物底图上根据真实情况摆放设备，逼近真实网络环境。无线有线一体化拓扑 3.无线终端定位和漫游记录审计 H3C 无线运营管理组件（WSM）可以直接在拓扑图中对移动终端的信息进行查看，包括 MAC 地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在 AC 设备、所在 AP 设备等，并能查看各移动终端的全部漫游记录，使用户随时了解最终接入用户的情况，并对其接入轨迹进行审计。无线终端漫游记录审计 4.RF覆盖管理和无线网络规划 在实际无线环

17、境的部署和维护中，需要关注无线设备的 RF 范围、覆盖管理以及无线网络规划扩容问题。H3C 无线运营管理组件（WSM）可以用很直观的拓扑图表示出无线网络中的 RF 状况。无线 RF 覆盖状况 5.无线入侵检测和防护 无线网络灵活多变，并且基础设施不可见，因此比有线网络更容易遭到越权使用。对于这类问题，H3C 无线运营管理组件（WSM）提供了 Rogue 设备检测功能，可对无线入侵进行检测，可明确显示非法接入设备，并对其进行信息查询、加入黑名单及发起攻击等动作。无线入侵检测和防护 6.丰富的无线统计报表 对网络进行运营管理需要对网络进行全方位的监控，从网络各种性能指标、告警指标中进行智能的统计和

18、分析，才能有效从整体对网络状况进行衡量。H3C 无线运营管理组件（WSM）提供了丰富的无线统计报表查询和定制功能，以帮助管理员对网络进行综合而全面的管理。3.3 安全方案 3.3.1 防 ARP 病毒 ARP 欺骗攻击不仅会造成联网不稳定，引发用户无法上网，或者企业断网导致重大生产事故，而且利用 ARP 欺骗攻击可进一步实施中间人攻击，以此非法获取到文件服务等系统的帐号和口令，对被攻击者造成利益上的重大损失。因此 ARP 欺骗攻击是一种非常恶劣的网络攻击行为。无线局域网由于带宽相对较窄，而且同一个 AP 下的所有用户都共享带宽，所以一有用户中ARP 病毒，频繁发送 ARP 报文，对网络的影响比

19、有线更大。针对无线网络的特点，H3C 创新的在 WLAN 上提供防 ARP 病毒方案，首先同一个 AP 的同一个 SSID 下的用户缺省启动用户隔离，这样用户发送的 ARP 报文不会被转发给其他用户，其次H3C ARP 攻击防御解决方案通过对客户端、接入交换机和网关三个控制点实施自上而下的“全面防御”，并且能够根据不同的网络环境和客户需求进行“模块定制”，为用户提供多样、灵活的 ARP 攻击防御解决方案。H3C 提供两类 ARP 攻击防御解决方案：监控方式，认证方式。监控方式主要适用于动态接入用户居多的网络环境，认证方式主要适用于认证方式接入的网络环境；实际部署时，建议分析网络的实际场景，选择

20、合适的攻击防御解决方案。另外，结合 H3C 独有的 iMC 智能管理中心，可以非常方便、直观的配置网关绑定信息，查看网络用户和设备的安全状况，不仅有效的保障了网络的整体安全，更能快速发现网络中不安全的主机和 ARP 攻击源，并迅速做出反映。3.3.2 无线入侵检测 H3C 的 WIDS 目前主要包括下面三个特性：非法设备检测；入侵检测；无线用户接入控制（黑名单和白名单）；非法设备检测比较适合于大型的 WLAN 网络。通过在已有的 WLAN 网络中部署非法设备检测功能，可以对整个 WLAN 网络中的异常设备进行监视，并且可以根据需要对非法的设备进行防攻击处理（在实际的网络应用中，可以启动防攻击功

21、能，即 WIDS 会尽量阻止非法的设备提供服务或者接入到无线网络）。非法设备检测可以检测并且分类 WLAN 网络中的多种设备，例如非法AP，非法无线终端，非法无线网桥等等。入侵检测主要为了及时发现 WLAN 网络中的有意或者无意的攻击，通过记录信息或者日志方式通知网络管理者。根据入侵检测的结果，网络管理者可以及时调整网络的配置，去除 WLAN网络的不安全因素，保证 WLAN 网络不再受到攻击。目前 H3C 的入侵检测主要包括 802.11 报文Flood 攻击检测、AP Spoof 检测以及 Weak IV 检测，而且其中 Flood 攻击检测可以根据不同类型的报文进行攻击检测。接入控制根据特

22、定的属性实现了对无线客户端接入 WLAN 网络的权限控制。目前 WIDS 接入控制主要根据 MAC 地址进行规则控制，并且支持两种控制规则：黑名单和白名单。其中白名单只能通过手动进行配置；而黑名单同时支持手动配置方式和动态添加方式，入侵检测系统和非法设备检测模块检测到非法攻击，可以动态地将该非法设备添加到黑名单中，后续所有从该设备接收到的报文会被直接丢弃，从而保护了 WLAN 网络不再受到该非法设备的攻击。3.3.3 室内设备物理安全性 H3C WA2600 自身支持物理防盗设计，位于设备顶部，可以用于将 AP 设备与固定支架锁定，起到一定的防盗作用。4 H3C方案特点与优势 H3C 一体化无

23、线校园解决方案有效实现了有线和无线网络的融合，通过统一的硬件平台、统一的网络管理、统一的用户管理、统一的应用安全，为校园用户提供安全的无线接入。根据用户需求。H3C 通过 WSM 智能无线管理组件为网络管理员提供了图形化、一体化管理能力，可以高效地管理有线/无线网络。4.1 H3C 一体化无线校园解决方案更稳定：H3C WLAN 稳定性解决方案从无线控制器的可靠性，接入交换机供电的可靠性、无线信号的可靠性这几方面入手，极大的提高了 WLAN 网络的可靠性；在实际的使用情况来看，启用这些措施之后，WLAN 的可靠性能够得到明显的提升。无线控制器 1+1 冗余备份：H3C 无线控制器产品支持 AC

24、 之间的 N+1 备份，以下通过介绍 AP 选择接入的 AC 过程来说明 AC 间的备份：1)AP 在发现 AC 的过程中，会向 AC 发送接入请求报文；AC 在收到接入请求后，会向 AP 发接入回应报文，其中包含了该 AC 上的负载信息（AC 允许接入的最大 AP 数，当前接入的 AP 数，允许接入的最大 STA 数，当前接入的 STA 数），和 AP 在此 AC 上的接入优先级；2)AP 在接收到 AC 的回应报文后，会选择接入优先级高的 AC 接入。如果优先级相同，则根据 AC的接入负载情况来判断。3)AP 通过比较各 AC 上（允许接入的最大 AP 数-当前接入的 AP 数），并选取值

25、最大的 AC 接入。如果此值相同，则根据当前接入 AC 的无线用户数判断。4)AP 通过比较各 AC 上（允许接入的最大 STA 数-当前接入的 STA 数），并选取值大的 AC 接入。5)如相等，则随机接入。6)通过 CAPWAP 隧道的心跳机制，AP 可及时发现控制器 DOWN，同时根据上述方法重新选择一个负载轻的 AC 接入，从而实现 AC 的 N+1 备份。H3C 实时无线资源管理：H3C 实时无线资源管理解决方案提供了实时闭环的无线资源管理，包括了如下步骤：扫描 每个接入点启动后，通过 CAPWAP 协议与无线控制器建立隧道，并从无线控制器获取基本的配置。无线控制器负责协调网络中的无

26、线接入点执行扫描过程。通过定期的信道扫描，系统能够分析和了解信道的质量、干扰情况、邻居接入点的分布等。分析 无线控制器将对无线接入点定期上报的数据进行聚合分析。这些数据包括：干扰：其他工作在 802.11 频段的无线网络对无线介质的影响。噪音：非 802.11 信号，如雷达、蓝牙、无绳电话、微波等等对信号的影响。丢包率：包差错率（由于隐藏的节点或信号变形）信道负载：用来衡量媒介的繁忙程度。有效信号强度：在一定时间内观察到的每个邻居的信号强度和整个信道的平均信号强度。这些数据将帮助无线控制器构建无线网络的完整视图，为管理控制提供决策数据。决策 利用前期分析的数据，无线控制器将采用智能的算法对射频

27、资源进行优化和调整，以适应无线环境的变化。系统使用了优化的信道和功率选择算法、加权判断以及抑制限度，自动评估资源调整的影响，能够确保系统的控制是可靠的。执行 无线控制器将新的发射功率，信道分配等决策发送到接入点，接入点负责使能这些配置。系统提供了两种控制模式：参考模式和立即模式，增加了系统使用的灵活性。参考模式下，系统不进行实际的控制策略执行，只是给出建议的功率、信道的设定值，管理员可以决定是否执行这些配置，确保了用户控制的灵活性。立即模式下，将根据系统计算出的信道等参数进行立即的设置。上述过程是闭环过程，一旦配置下发以后，控制器将持续监视网络环境。任何无线环境的变化与波动都会被定期记录下来，

28、为下一轮的优化作准备。全面的 PoE 解决方案：PoE 设备的原理是通过非屏蔽双绞线中四对线中的两对线来传输电源，传输数据的同时传输直流电。因为 AP 往往要求使用不间断电源（UPS）供应电力，采用 PoE 设备，AP 端仅仅通过一根 RJ-45 网线与网络连接即可以同时传输数据和电力，因此在使用 PoE 设备的情况下，所有的 AP 都使用一个 UPS 在 PoE设备端进行保护。如果不使用 PoE 设备，就需要给每个 AP 配一个 UPS，而且还需要在 AP 附近安装电源插座，增加了成本。因此使用 PoE 设备将大大降低设备成本和管理成本。PoE 具有非常明显的优势，具体如下：简化安装，降低成

29、本，不需为每个网络设备单独提供数据和电力线缆。灵活性提高，网络装置可被安装在任何位置，而不需靠近一个已存在的电源输出口。可靠性增强，有 SNMP 能力的 PoE 装置，可实施远程检测和控制，能有效地处理或修理装置的耗电量和（或）失效故障。H3C 能够提供全面的 PoE 解决方案，产品涵盖从高端到低端的全系列产品，H3C PoE 解决方案使用工业级设计，同时能够提供全面的管理:4.2 H3C 一体化无线校园解决方案高安全：H3C 一体化无线校园解决方案在遵循 IEEE 802.11i 协议和国家 WAPI 标准的基础上，创新性的提出了分层的安全体系架构，将 WLAN 的安全从单一的物理层安全延伸

30、到了物理层安全、用户接入安全、网络层安全、设备安全、安全管理多个层面上，使用户在使用 WLAN 网络时能够像使用有线网络一样安全、可靠。无线物理安全：H3C 公司的无线产品支持以下的加密机制：WEP 加密、TKIP 加密、CCMP 加密、WAPI 加密。其中，WAPI 采用国家密码管理委员会办公室批准的公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法，分别用于 WLAN 设备的数字证书、证书鉴别、密钥协商和传输数据的加解密。在无线设备安全方面，H3C 的 FIT AP 提供“零配置”功能，在设备上不保存业务配置，而是每次启动的时候从无线控制器动态加载业务配置，这样可以有效避免设备丢失

31、造成配置泄漏。此外，用户在采用 H3C 公司的无线控制器FIT AP 组网时，都需要预先在无线控制器上设置部署的 AP 序列号。当这些AP 启动和无线控制器建立关联时，无线控制器会检查 AP 上报的序列号信息，只有这些预先授权的 AP 才能接入无线控制器使用，防止非法 FIT AP 接入网络。无线用户安全：通过用户接入认证实现了对校园无线接入用户的身份认证，为网络服务提供了安全保护。H3C 无线接入认证主要有 802.1x 接入认证、PSK 认证、MAC 接入认证以及在有线校园网中常用的 portal 认证等。通过和 AAA 服务器配合，H3C 的无线设备支持对认证用户动态下发带宽、VLAN、

32、ACL、优先级等参数，对于不同的用户群和业务可以控制其访问网络的权限，限制网络资源的使用，通过 VLAN 和优先级来标识用户和业务，并做到业务隔离。无线网络安全：为了保证无线用户和整个校园网络的安全，仅仅保证接入点的安全性是远远不够的。H3C 推出了无线 EAD 解决方案，该方案从网络用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，加强网络用户终端的主动防御能力，保护网络安全。H3C 的无线产品支持 EAD 接入控制方式，配合 iNode 无线/有线统一

33、客户端可以实现有线，无线用户使用统一的客户端进行认证，结合 H3C 公司的服务器，H3C 公司给用户提供了有线无线一体化的整体安全解决方案。此外，H3C 的无线产品支持完善的无线入侵检测系统，可以自动监测非法设备，并适时上报网管中心，同时对非法设备的攻击可以进行自动防护，最大程度地保护无线网络。针对烟草进修学院目前现状，已经在有线网络部署了 UAM 用户接入管理的认证，无线网络也可以通过 UAM 实现有线无线统一认证。4.3 H3C 一体化无线校园解决方案易管理：基于多年的积累和对用户网络的深入理解，H3C 智能管理中心平台为用户提供了实用、易用的网络管理功能，在网络资源的集中管理基础上，实现

34、拓扑、故障、性能等管理功能，不仅提供功能，更通过流程向导的方式告诉用户如何使用功能满足业务需求，为用户提供了网络精细化管理最佳的工具软件。H3C iMC 能够在一套系统中实现对有线网络、无线控制器、无线 AP、PoE 交换机等有线、无线校园网涉及的所有设备的统一管理，避免了有线无线网络采用不同的管理系统带来的维护管理的割裂，因此能够更方便的实现无线校园网的配置管理，降低维护工作量。此外，H3C 公司提供了自学习的、智能的、实时的无线资源管理系统。具有下列主要优势：实时分析无线资源 无线接入点将定期自动扫描信道，以发现网络的拓扑结构，信道负载，干扰情况等。自动分配无线信道 自动为每个无线接入点分

35、配无线信道，并且能够根据网络中的干扰变化，邻居接入点的信道使用情况等动态地调整无线信道的分配。自动设置发射功率 能够自动为每个无线接入点调整发射功率，以保证无线网络的覆盖和容量。自我修复网络 当某个接入点失效造成了网络存在无线信号覆盖黑洞时，这个区域周围的接入点将立即检测到覆盖黑洞并通过发射功率的调整来修复黑洞。可扩展的系统 随着网络规模的不断扩大，新的接入点加入到网络中，系统能够自动为它们分配射频资源而又不影响现有的无线网络。干扰检测和避免 无线环境是经常变化的。蓝牙、微波炉、邻居 WLAN 网络等都会对客户的网络产生干扰影响，系统能够自动检测到这些干扰并进行干扰避免。实时监视网络健康 系统

36、为管理员提供了充分的数据来监视 WLAN 网络的监控，包括信道利用率，干扰，接入点信道分配等，使管理员对网络的运行状况一目了然。实时负载均衡 系统能够实时在无线网络中平衡负荷，从而保证网络的吞吐和性能。总之，H3C 实时无线资源管理特性降低了管理成本，实现了网络的自分析、自自配置和自修复。4.4 H3C 一体化无线校园解决方案可扩展：IPv6：H3C 所有有线和无线产品全部使用共同的操作系统平台，Commware 平台，Commware V5.0 版本全面支持 IPV6，使用 Commware 操作系统的设备可以同时支持 IPV6 和 IPV4 双栈工作，设备既可以工作在 IPV4环境，也可以

37、工作在 IPV6 环境，同时还可以工作在 IPV4 和 IPV6 混合组网环境。H3C 的无线控制器和无线 AP 都使用 Commware V5 平台，因此，H3C WLAN 解决方案既可以工作域 IPV4，也可以工作于 IPV6 环境，也就是 AP 和 AC 可以完全工作于 IPV6 环境；而其他厂商由于操作系统不能支持IPV6，所以WLAN设备对IPV6的支持都是透传，也就是AP和AC在网络中直接把IPV6报文封装在CAPWAP隧道中，但 AP 和 AC 不能使用 IPV6 地址工作，因此在一个纯 IPV6 环境中，无法工作。4.5 H3C 一体化无线校园解决方案全业务：H3C 无线校园网

38、解决方案提供 VoWiFi、无线监控、页面推送等业务，解决了校园内部和校区之间通讯费用高、无线监控和无线多媒体教学以及不同部门网页个性化页面推送的问题，让无线接入变得更有价值。基于用户的流量管理：H3C FAT AP 能够通过两种方式实现流量管理：一种方式是基于用户数自动平均调整每个用户的接入带宽；另一种方式是指定每用户的接入带宽。通过此两种方式的流量管理，可以防止 P2P 业务占用带宽导致其他用户无法正常使用网络的情况。此外，H3C FIT AP 解决方案可以实现基于用户的权限和流量管理，可以设定每个用户所占用的带宽，实现精确流量管理，配合 H3C 有线网络，可以实现端到端的 QoS，从而达

39、到承载语音、视频等时延敏感的业务的目的。VoWiFi 语音解决方案：WiFi 语音终端设备利用现有的 WLAN 网络实现无线的 VoIP 语音通话，这既发挥了 IP 网络成本低的特点，又使得用户获得 WLAN 带来的方便性。而对于校园等场所，可针对学生群体开展 WiFi 语音的内部运营。H3C WLAN 解决方案能够实现端到端的 QoS，确保数据业务背景流下，语音业务流能优先传输，从而有效保障语音的通话质量。同时能够实现跨越三层网络的快速漫游，使得 WLAN 网络能够良好的承载语音业务。页面推送：根据不同地理位置，不同用户，定制 Portal 业务。H3C 无线控制器内置 Portal ser

40、ver，能够实现基于用户位置和用户属性的页面推送，Portal server 开发本地数据库，存储 BSSID 和 WEB网页的对应关系。用户认证时，Portal server 根据用户接入的 BSSID 推送给用户相应的页面。如：在图书馆，推送图书馆新书信息；在学生宿舍，推送后勤相关信息等。5 产品配置方案 设备名称 单位 数量 无线控制器AC 台 2 24口千兆PoE供电交换机 台 3 12口千兆PoE供电交换机 台 1 无线接入点AP 台 68 USB无线网卡802.11n双频 台 10 无线管理软件 套 1 6 方案涉及产品介绍 6.1 H3C WX5000 系列无线控制器 6.1.1

41、 产品简介 H3C WX5000系列无线产品是杭州华三通信技术有限公司(以下简称H3C公司)自主研发的系列多业务无线控制器(AC，Access Controller)。H3C WX5000系列多业务无线控制器具有容量适中、高可靠性、业务类型丰富等特点，提供了丰富的有线数据和无线数据的处理功能。H3C WX5000系列多业务无线控制器集精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS及IPv4&IPv6等多功能于一体，提供强大的WLAN接入控制功能。H3C WX5000系列多业务无线控制器定位在企业网，城域网WLAN接入，是大中型企业园区WLAN接入、无线城域网覆盖、热点覆盖

42、等应用环境的最理想的接入控制器。H3C WX5000系列多业务无线控制器包括H3C WX5002(-64)、WX5004无线控制器和LSWM1WCM10、LSWM1WCM20无线控制业务板，是H3C公司自主研发的无线控制器，配合H3C公司自主研发的Fit AP，可以方便的部署于任何现有的二层网络或三层网络之中，控制器和AP通过IETF制定的CAPWAP协议进行互联而无需针对现在有网络进行重新配置。WX5004基础规格支持64个AP，通过license32升级(最多支持6个license32)，最多可以支持256个AP，4K个无线用户，可以满足大型无线网络的部署需求；WX5002-64基础规格支

43、持32个AP，通过license32升级(最多支持1个licnese32)，最多支持64个AP，2K个无线用户，可以满足中型无线网络的部署需求；LSWM1WCM10为H3C S5800系列交换机大容量无线控制业务板卡，基础规格支持64个AP，通过license32升级(最多支持6个license32)，最多可以支持256个AP，4K个无线用户，可以满足大型无线网络的部署需求。LSWM1WCM20为H3C S5800系列交换机低容量无线控制业务板卡，基础规格支持32个AP，通过license32升级(最多支持3个licnese32)，最多可以支持128个AP，2K个无线用户，可以满足中型无线网络

44、的部署需求。H3C公司使用创新的基于认证的组网来提供网络服务，这种方法基于用户身份而非端口或设备，以便跨越整个网络实现移动性和安全性。当用户漫游网络时，通过WLAN网络范围内的无线控制器的信息交换，以实现在整个网络范围内执行一致的访问和安全策略。同时采用WPA/WPA2和802.1X认证结合的AES、TKIP以及WEP加密等功能增强了网络安全。产品视图如下：图 2 WX5004 多业务无线控制器设备外观图 6.2 H3C WA2620-AGN 无线接入点 6.2.1 产品简介 H3C WA2600系列无线产品是杭州华三通信技术有限公司(H3C)自主研发的新一代基于802.11n技术的超百兆高速

45、无线接入设备(以下简称AP)，可提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围。该系列无线产品上行接口采用千兆以太网接口接入，突破了百兆以太网接口的限制，使无线多媒体应用成为现实。WA2600系列无线产品支持Fat和Fit两种工作模式，根据网络规划的需要，可以通过命令行灵活地在Fat和Fit两种工作模式中切换。作为瘦AP(Fit AP)时，需要与H3C自主研发的WX系列无线控制器系列产品配套使用；作为胖AP(Fat AP)时，可以独立进行组网。WA2600系列无线产品支持Fat/Fit两种工作模式的特性，有利于将客户的无线网络由小型网络平滑升级到大型网络，从

46、而很好保护用户的投资。WA2620-AGN是WA2600系列无线产品中一款双频多模室内型802.11n无线接入设备，内置6 MIMO天线，外型小巧美观，安装方式灵活，适用于壁挂、桌面和吸顶等三种安装方式，也可根据部署场景配合11n专用天线灵活使用。WA2620-AGN可同时工作在2.4GHz频段和5GHz频段，并支持IEEE802.11a、IEEE802.11b、IEEE802.11g和IEEE802.11n四种模式。6.2.2 产品特点 实现高性能无线接入和最佳无线网络TCO WA2620-AGN遵从802.11n协议标准，采用专业模块化设计，单射频能提供高达300Mbps的无线接入速度，是

47、相同环境下802.11a/b/g产品的6倍左右。通过特有的内置集成智能射频覆盖优化技术，可以有效地从覆盖范围、接入密度、运行稳定等方面提供更高性能的无线接入服务并协助用户实现最佳无线网络TCO(总拥有成本/Total Cost of Ownership)。绿色低碳设计 WA2620-AGN采用专业绿色低碳设计，功耗小于13W，而标准的802.3af(PoE)供电为15.4W，这就意味着 WA2620-AGN可以使用普通PoE交换机(如H3C S3000/S5000系列PoE交换机)进行供电，供电距离可达100m。使用PoE交换机供电不仅可以方便施工，开关和重置无线设备时也无需现场操作，只需要远

48、程控制PoE交换机端口，从而有效地提高无线网络的管理灵活性并降低网络维护难度。提供千兆以太网接口有线连接 上行接口采用千兆以太网接口接入，突破了传统百兆以太网接口的限制，使有线口不再成为无线接入的速率瓶颈，为将来支持更高速率更多射频组合提供了平滑升级的平台。支持Fat/Fit两种模式 WA2620-AGN支持Fat和Fit两种工作模式，根据网络规划的需要，可以灵活地在Fat和Fit两种工作模式中切换，同时用户可以根据应用需求，灵活选择所需的设备出厂版本(Fat模式版本或Fit模式版本)。当客户的无线网络初始规模较小时，客户只需采购WA2620-AGN无线设备，并设置其工作模式为Fat模式。随着

49、客户网络规模的不断扩容，当网络中应用的WA2620-AGN无线设备达到几十甚至上百台时，为降低网络管理的复杂度，建议客户采购H3C自主研发的WX系列无线控制器设备，便于集中管理网络中的所有的WA2620-AGN无线设备，此时只需将其工作模式切换到Fit模式。WA2620-AGN作为同时支持Fat/Fit两种工作模式的高速超百兆无线接入设备，工作模式切换过程只需要简易命令行，且可以通过设备网管批量执行，有利于将客户的无线网络由小型网络平滑升级到大型网络，从而更好地保护用户的投资，非常适合运营级大规模无线网络的平滑扩容升级。提供本地转发功能 当WA2600(Fit模式)通过广域网方式转发时，无线接

50、入设备部署在分支机构，而无线控制器部署在总部，所有用户数据由无线接入设备发送到无线控制器，再由无线控制器进行集中转发，导致转发效率低下。WA2620-AGN可将数据报文在无线接入设备上直接转化为有线格式的报文，使得数据报文不经过无线控制器，而是在本地进行转发，大大提高了转发效率。支持IPv4/IPv6双协议栈 WA2620-AGN全面支持IPv6特性，设备实现了IPv4/IPv6双协议栈。通过与WX系列无线控制器建立IPv6隧道，无论原有有线网络是IPv4还是IPv6，WA2620-AGN都可以自由的与WX系列控制器进行通信，不会成为网络中的信息孤岛。支持智能负载均衡 WA2620-AGN支持