邮电学院教学楼无线网络系统建设方案(共33页).doc

《邮电学院教学楼无线网络系统建设方案(共33页).doc》由会员分享，可在线阅读，更多相关《邮电学院教学楼无线网络系统建设方案(共33页).doc（33页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上四川邮电职业技术学院第一教学楼无线网络系统建设方案成都佳铭科技有限公司二九年八月专心-专注-专业目 录第1章 概述1.1 项目建设需求四川邮电职业技术学院第一教学楼建设时间较长，在初始建设时没有考虑网络的规划，但在教学楼里面学习和工作的师生有接入校园网络的需求。如果重新进行网络综合布线，不但需要的工程量巨大，而且也将影响正常的教学秩序。因此项目需求在第一教学楼教学的师生能够无缝快速的接入校园网络，同时不进行大量的施工改造，不影响正常教学。1.2 项目建设目标充分考虑四川邮电职业技术学院的需要和应用，按照相关系统的国家标准，设计出符合邮电职业技术学院建设需求的建设方案。

2、建设方案应以“先进、实用、经济、合理，用管两便、安全可靠，易于扩展”的指导思想为原则，采用先进成熟的主流技术，充分考虑系统的可扩充性和兼容性，并体现科学规划、合理布点、使用方便的特点，达到高速、高效、无缝的无线环境的要求。具体目标如下： 利用无线网络技术扩展校园网的覆盖范围，使在第一教学楼的师生能够随时随地、方便高效地使用校园网络； 侧重实际应用，为教学和学习提供切实可用的无线网络环境； 采取通行的网络协议标准：目前无线局域网普遍采用802.11系列标准，因此校园无线局域网将主要支持802.11g（54Mbps）标准以提供可供实际应用的相对稳定的网络通讯服务； 全面的无线网络支撑系统（包括无线

3、网管、无线安全，无线计费等），以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题； 保证网络访问的安全性，支持802.1x安全认证方式；覆盖范围要求： 第一教学楼1.3 系统设计原则本方案主要解决目标区域的无线网络覆盖，以及如何增强无线网络安全性和不同等级用户可以访问网络资源的权限控制，以较小的成本为教学楼构建一个易于使用的、安全的、可管理、可扩展的无线网络环境。整个系统的设计将贯穿以下设计原则：l 先进性选用先进的无线网络设备，采用先进的设计思想，使网络在今后一定时期内保持技术上的先进性。l 稳定性网络的稳定性对系统的可用性和使用率来说至关重要。有很多因素都会影响无线网络的稳定性

4、，如天线位置、AP功率、信号干扰、用户数等，所以应由经验丰富的队伍来实施。l 开放性网络设计及网络设备选型遵从国际、国内标准，使网络具有开放性和兼容性，本方案所选用的产品能够与当前网络设备兼容或提供相应接口。l 安全性系统将利用多SSID、VLAN隔离、支持多种认证方式等功能为系统提供安全解决方案，同时为以后进一步的安全措施提供必要的接口。1.4 设计规范及依据l 建筑与建筑群综合面线系统工程设计规范(GB/T50311-2000)l 民用建筑电气设计规范JGJ/T16-92l IEEE802.11al IEEE802.11g l IEEE 802.11nl IEEE802.3协议集l IEE

5、E802.1X标准l 802.3afl Wi-Fi Protected Accessl WEP-Wired Equivalent Privacy第2章 无线网络建设方案2.1 无线系统概述根据第一教学楼的实际情况，在技术实现手段上和建设模式中，覆盖方式可以为室外覆盖室内和室内覆盖两种方式。通过调研和技术总结，设计选择为室内覆盖方式。本方案设计为无线控制器（AC）及无线接入点（FIT AP）构成的一体化解决方案。通过统一的硬件平台、统一的网络管理、统一的用户管理、统一的应用安全，供安全的无线接入。2.2 网络系统结构由于第一教学楼的没有综合布线系统，因此设计从实验楼的三楼中心机房交换机中引出跳线

6、到光收发器进行电光转换后由一根六芯室外多模光缆架空敷设到第一教学楼三楼靠楼外的外墙，通过壁挂机柜中的光纤终端盒进行光纤耦合，然后通过光电装换到无线控制器，再通过超五类配线架敷设网络电缆到各个就近楼层并设置信息点。由于第一教学楼室内没有弱电井和电缆桥架等基础设施，如果在墙外走线则容易被雷击损坏，因此设计在室内通过楼层开孔布线到各个接入楼层。系统结构如图所示：图：整体网络结构2.3 网络信号覆盖2.3.1 基础线路接入鉴于第一教学楼的没有综合布线系统，所以本次工程首先要进行综合布线系统建设，设计从实验楼的机房交换机中通过光收发器引出一根六芯室外多模光缆架空敷设到第一教学楼的靠走廊的外墙再进入3楼机

7、柜进行光纤熔接和光电转换后接入到无线控制器分配到各个楼层。2.3.2 无线网络覆盖根据实际工勘的结果来看，方案设计在3楼设置一台有线无线一体化交换机设备，同时通过POE对AP进行供电，避免了强电改造，各楼层设置三台AP，对各教学区域进行双频双模覆盖,本项目的无线覆盖设计为以下类型：l AP室内穿越障碍覆盖：主要应用于第一教学楼中间走廊、两边房间结构的室内区域，因为无线信号穿越墙壁、地板等障碍物会存在衰减，但在走廊式结构的室内区域具备一定的穿越障碍的能力，一般是穿越一道墙壁之后信号效果较好。因此这样的结构适合在走廊中布置AP，来覆盖两边的房间区域；并且根据实现工程勘测情况来看，本次项目的普通教室

8、室内覆盖部分按20米一个AP的原则设置3台AP和吸顶天线，有阶梯教室的AP适当靠近阶梯教室。楼层AP数量AC数量备注130有阶梯教室230有阶梯教室331有阶梯教室430有阶梯教室5306302.3.2.1 1-4楼覆盖第一教学楼的1-4楼包含走道两边的普通教室和一个阶梯教室，由于阶梯教室范围较大，墙壁较普通教室为厚，对信号有一定的损益。故设计AP布设时适当靠近阶梯教室，安装全向天线，对阶梯教室和附近区域进行覆盖。各台AP设置为完全独立的频段，避免干扰。结构如图所示：图： AP布设结构2.3.2.2 5-6楼覆盖第一教学楼的5-6楼仅包含走道两边的普通教室，在教室两边的走道进行AP布设覆盖即可

9、。设计在走道中按20米一台布设AP，安装全向天线，并设置为完全独立的频段，避免干扰。结构如图所示：图： AP布设结构2.3.2.3 AC布设系统设计在3楼布设一台无线控制器，带POE供电设计，分别对各楼层的AP进行有线接入和POE供电。2.4 无线频率规划802.11g使用开放的2.4GHz ISM频段，可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5个信道的工作中心频点。因此对于802.11g在2.4GHz地工作频段，理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。此外，由于功率模板是否能做到符合邻道、隔道不

10、干扰也非常影响频率规划的效果。针对如何进行802.11g的频率规划作了大量的实验，实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖，并提供更高的服务带宽提高服务质量，和高带宽业务的开展。 图 频率规划原理图频率规划需要配合使用的功能包括：I.AP支持13个信道设置II.AP支持500mW最大射频功率以及多级功率控制III.AP支持外置天线以及定向天线IV.针对特殊应用还需要AP支持桥接功能、接入功能以及WDS功能2.5 供电方式设计3楼的机柜需要交流电进行供电，故需要进行电源改造，引入强电。由于本次无线网中AP设备数量较多，AP布放位置根据实际覆盖效果而调整，第一教学楼修建年代较久，较

11、难进行本地供电改造，由于无线控制器可以支持POE供电，设计系统基于标准的802.3af实现对AP的供电。既通过以太网线在传输数据同时给AP供电（POE），供电距离达100米，满足实际组网的要求。2.6 网络安全设计本解决方案在遵循IEEE 802.11i协议和国家WAPI标准的基础上，设计为分层的安全体系架构，将WLAN的安全从单一的物理层安全延伸到了物理层安全、用户接入安全、网络层安全、设备安全、安全管理多个层面上，使用户在使用WLAN网络时能够像使用有线网络一样安全、可靠。2.6.1 无线物理安全设计使用的无线产品支持以下的加密机制：WEP加密、TKIP加密、CCMP加密、WAPI加密。其

12、中，WAPI 采用国家密码管理委员会办公室批准的公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法，分别用于WLAN 设备的数字证书、证书鉴别、密钥协商和传输数据的加解密。在无线设备安全方面，FIT AP提供“零配置”功能，在设备上不保存业务配置，而是每次启动的时候从无线控制器动态加载业务配置，这样可以有效避免设备丢失造成配置泄漏。此外，在部署无线控制器FIT AP组网时，需要预先在无线控制器上设置部署的AP序列号。当这些AP启动和无线控制器建立关联时，无线控制器会检查AP上报的序列号信息，只有这些预先授权的AP才能接入无线控制器使用，防止非法FIT AP接入网络。2.6.2 无线用户

13、安全通过用户接入认证实现了对校园无线接入用户的身份认证，为网络服务提供了安全保护。方案设计无线接入认证主要有802.1x接入认证、PSK认证、MAC接入认证以及在有线校园网中常用的portal认证等。通过和AAA服务器配合，设计的无线设备支持对认证用户动态下发带宽、VLAN、ACL、优先级等参数，对于不同的用户群和业务可以控制其访问网络的权限，限制网络资源的使用，通过VLAN和优先级来标识用户和业务，并做到业务隔离。2.6.3 无线网络安全为了保证无线用户和整个校园网络的安全，仅仅保证接入点的安全性是远远不够的。因此可以采用无线EAD解决方案，该方案从网络用户终端准入控制入手，整合网络接入控制

14、与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，加强网络用户终端的主动防御能力，保护网络安全。此外，设计无线产品支持完善的无线入侵检测系统，可以自动监测非法设备，并适时上报网管中心，同时对非法设备的攻击可以进行自动防护，最大程度地保护无线网络。由于目前用户量较少，暂不使用EAD以节约投资。无线网络安全部分主要包括以下方面的内容：I.MAC地址过滤：方案支持基于MAC地址的过滤，限制具有某种类型的MAC地址特征的终端才能进入网络中；II.SSID管理：是一种网络标识的方案，将网络进行一个逻辑化

15、标识，对终端上发的报文都要求进行上带SSID，如果没有SSID标识则不能进入网络；III.WEP加密：WEP加密是一种静态加密的机制，通信双方具有一个共同的密钥，终端发送的空口信息报文必须使用共同的密钥进行加密；IV.支持AES加密：AES安全机制是一种动态密钥管理机制，同时密钥生成也基于不对称密钥机制来实现的，同时密钥的管理也定期更新，具有体的时间由系统可以设定，一般情况都设定为5分钟左右，这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来，从无线空口的流理来看，基本上是不可能的；V.本无线方案中可根据用户名来划分权限，即相同用户在不同地点接入无线网络其权限保持一致；密钥设

16、置可能根据SSID信息与用户信息进行组合，即不同的SSID下不同的用户的密钥生成可以不一样，这样一定程度上保证用户之间串号问题产生。2.6.4 认证方式本方案主要采用802.1X认证， AP与控制器系列通过二层隧道协议通信，无线用户的认证点都是放置于控制器上，管理中心做为用户鉴权点。针对无线用户，无线交换机作为802.1X终结点，管理中心作为最后的鉴权点，当用户在AP内进行切换时，此时的主要工作由无线交换机进行统一调度，当用户在相同或者不同的交换机下不同的端口下的不同AP的覆盖范围时，此时用户不会再次触发认证，此时的认证方式可以采用本地认证，也可以采用管理中心认证。二种方式都不影响无线用户的业

17、务使用质量与无线用户在不同AP之间的漫游切换速度。2.7 系统扩展考虑2.7.1 802.11n随着IP语音，网络视频等新兴网络应用的出现，用户对无线传输速率的要求也越来越高，传统的802.11a/b/g技术所能提供的带宽已渐渐不能满足用户的需求。IEEE 802.11n标准便应运而生，它定义了下一代的无线局域网技术，旨在提供支持对带宽最为敏感的应用所需的速率和可靠性。IEEE 802.11n技术通过物理层和MAC层的技术改进实现了无线传送速率的很大提升，使带宽从54Mbps提升到300Mbps。在802.11a/b/g技术提制中，由于多径效应，信号在接收侧将很容易发生符号间干扰(Inter-

18、symbol Interference)，从而导致高误码率。OFDM调制技术是将一个物理信道划分为多个子载体（Sub-carrier），将高速率的数据流调制成多个较低速率的子数据流，通过这些子载体进行通讯，从而减少ISI机会，提高网络吞吐。MIMO(多入多出)技术能在不增加带宽的情况下成倍地提高通信系统的容量和频谱利用率。其基本思路是在发射端和接收端均采用多天线(或阵列天线)和多通道。传输信息流S(k)经过空时编码形成N个信息子流Ci(k)，i=1，N。这N个子流由N个天线发射出去，经空间信道后由M个接收天线接收。多天线接收机利用先进的空时编码处理能够分开并解码这些数据子流，这样，MIMO系统

19、可以创造多个并行空间信道，解决了带宽共享的问题。将MIMO与OFDM技术相结合，就产生了MIMO OFDM技术，它通过在OFDM传输系统中采用阵列天线实现空间分集，提高了信号质量，并增加了多径的容限，使无线网络的有效传输速率有质的提升。本方案配置的无线控制器可以管理802.11n设备，如果用户选择802.11n无需更换控制器，可以节约大量成本。2.7.2 IPv6系统设计考虑了教育用户对IPV6的需求，目前设计的无线控制器、无线接入点全面支持IPV6特性，同时无线控制器、无线AP可以灵活的通过IPV4互联，也可以通过IPV6互联，无线也可以灵活的选择是使用IPV4接入无线网络还是IPV6接入无

20、线网络。WLAN在接入点和接入控制器之间采用CAPWAP协议构建，而且同时支持IPv4和IPv6协议。也就是，接入控制器作为服务器，可以接收来自IPv4以及IPv6网络的接入点的链接请求；而且接入点可以动态的选择使用IPv4或者IPv6和接入控制器建立链接。系统设计的Fit AP设备为零配置设备，该设备在上电后可以自动发现接入控制器，选择当前能够提供最优服务的接入控制器建立链接。由于接入点为零配置设备，不能判断当前接入的网络为IPv4还是IPv6网络，所以接入点会首先在IPv4网络进行接入控制器的发现和链接处理，如果接入点无法成功通过IPv4网络和接入控制器建立链接，则接入点会切换到使用IPv

21、6进行接入控制器的发现和链接处理。目前可以实现非常灵活的IPV6处理机制,即可通过IPV4网络实现IPV6互联，也可以通过IPV6网络实现IPV4互联。2.8 无线产品选型2.8.1 无线控制器设计无线控制器选用杭州华三通信技术有限公司（以下简称H3C公司）生产的 WX3024有线无线一体化交换机，是集成无线控制器和千兆以太网交换机功能的产品。H3C WX3000系列有线无线一体化交换机提供纯千兆以太网有线接入口，支持PoE+供电，每端口最大提供25W的功率，同时兼容802.11a/b/g/n协议。其中，WX3024后面板提供两个10GE接口插槽，解决了WLAN网络核心的传输瓶颈。WX3000

22、系列有线无线一体化交换机提供一体化的有线无线接入控制功能，定位于中小型网和大型分支网的一体化接入，是本项目实现有线无线一体化接入最理想的一体化交换机。图：H3C WX3024产品特点如下：l 提供对802.11n AP的管理WX3000系列有线无线一体化交换机在支持对传统802.11a/b/g AP管理的同时，还可以与H3C基于802.11n协议的WA2600系列AP配合组网，从而提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围，使无线多媒体应用成为现实。l 提供灵活的数据转发方式支持集中式转发和分布式转发。单一的集中式转发，有线无线一体化交换机（US，Uni

23、fied Switch）虽然能对报文进行全面控制，但所有的无线业务流都要到US进行统一处理，使得US的转发能力很容易成为瓶颈。特别是当通过广域网方式转发时，AP作为数据接入设备部署在分支机构，而US部署在总部，所有用户数据由AP发送到US，再由US进行集中转发，导致转发效率低下。甚至当802.11n出现时，一个AP的业务报文流量高达300M之多，US的处理性能更加成为无线系统的瓶颈。当采用分布式转发时，报文在AP上直接转化为有线格式的报文，并不经过US，能够实现无线报文的宽带接入。WX3000系列有线无线一体化交换机支持两种转发方式，用户可以根据需要给SSID设置转发的类型。l 提供基于AP位

24、置的用户接入控制出于安全性或计费等的考虑，系统管理员可能希望控制无线用户接入到网络中的位置。H3C WX3000系列有线无线一体化交换机支持基于AP位置的用户接入控制。当无线用户接入网络时，可以通过认证服务器向US下发允许用户接入的AP列表，在US上进行接入控制，从而达到限制无线用户只能接入到指定位置的AP的目的。l 提供精细的无线用户管理基于MAC的认证接入控制方式，不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改，同时支持对具体用户的权限的配置，这种精细的用户权限控制大大增强了无线网络的可用度，网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。基于MAC的VLAN

25、同样也是WX3000系列有线无线一体化交换机的一大特色，在控制策略上，管理员可以把相同性质的用户（MAC）划分到同一个VLAN，同时在US上基于VLAN配置安全策略，这样做既可以简化系统配置，又可以做到用户级粒度的精细管理。l 提供内置802.1x认证服务和内置Portal认证服务H3C WX3000系列有线无线一体化交换机内置802.1x认证服务，支持TLS、PEAP、MD5等多种802.1x的认证方式。在中小型企业用户不需要计费功能，而只需接入控制和数据加密要求时，可利用内置的Radius服务直接在设备上完成802.1x认证功能，免去了复杂的AAA服务器部署过程，既经济又省事。H3C WX

26、3000系列有线无线一体化交换机还提供内置的Portal服务器，解决了不便于安装客户端用户的安全认证问题。l 提供User Profile在基于用户授权方式的网络管理中，用户通过认证，即获得访问网络的权限。授权包括控制用户可访问的网络范围，以及用户可获得的网络服务质量，如访问带宽、访问优先级。在用户移动的网络或大型网络中，为了方便网管人员开展日常的管理工作，User Profile特性提供了一种更模块化、更简单的管理方式。管理人员将一组基于用户群或特殊用户定制的策略配置在各个用户的profile中，并且为每个用户群或特殊用户预先分配各自的profile，用户认证上线时，在用户上线的端口动态下发

27、profile配置，使该用户能动态获得其可以访问的网络范围，访问带宽以及访问优先级；在用户下线时，取消该用户在这个端口上的配置，自动关闭该端口的特殊访问权限。User Profile中可以下发的配置包括ACL、QoS（优先级、带宽限速、802.1p和DSCP标记）、VLAN。硬件规格如下：项目WX3024外形尺寸（长宽高）44042943.6（mm3）重量40年（25）软件规格如下：支持特性WX3024交换容量bit/s（全双工）88G包转发率pps（整机）65.47M端口聚合(1) 支持GE（Gigabit Ethernet）端口动态聚合(2) 支持10GE端口动态聚合（仅WX3024）(3

28、) 支持动态LACP链路聚合(4) 支持手工聚合(5) 支持静态聚合(6) 支持最多（总端口数目/2）个端口聚合组，每组支持最多8个GE或2个10GE(3010是10个端口，聚合组是4个)端口流控支持端口流控MAC地址表支持16K MAC地址支持1K静态MAC地址支持1K组播MAC地址支持黑洞MAC地址VLAN(1) 支持基于端口的VLAN（4094个）(2) 支持嵌套式VLAN（VLAN-VPN或QinQ）(3) 支持灵活QinQ(4) 支持协议VLAN(5) 支持Voice VLAN(6) 支持GVRP(7) 支持VLAN下配置禁止MAC地址学习功能路由支持静态路由支持RIPv1/v2DH

29、CP(1) 支持DHCP Server(2) 支持DHCP Client(3) 支持DHCP Snooping，包括Option 82功能组播(1) 支持IGMP（Internet Group Management Protocol） Snoopingv1/v2/v3(2) 单VLAN内最多256个组播组，整机1024个组播组(3) 支持组播VLAN(4) 支持未知组播丢弃(5) 支持未知组播出端口报文过滤(6) 支持手工配置组播MAC地址广播风暴抑制支持基于端口的广播风暴控制MSTP(1) 支持STP/RSTP/MSTP协议(2) 支持域内最大生成树（16个）(3) 支持STP Root G

30、uard(4) 支持BPDU GuardQACL(1) 支持IEEE 802.1p/DSCP优先级(2) 支持优先级映射(3) 支持优先级标记(4) 支持流量统计(5) 支持端口信任模式(6) 每端口支持8个队列(7) 支持方式为SP/WRR/SP+WRR的队列调度(8) 支持端口和队列的流量整形(9) 支持基于端口/流的限速，最小粒度为1Kbps(10) 支持基于流的重定向(11) 支持数字表示型标准ACL(12) 支持数字表示型扩展ACL(13) 支持数字表示型二层ACL(14) 支持对下发ACL的配置(15) 支持多种QoS&ACL下发方式：全局下发、VLAN下发、端口组下发、端口下发(

31、16) 支持根据时间段变化实时更新ACL镜像(1) 支持流镜像(2) 支持基于VLAN的镜像(3) 支持基于MAC地址的镜像(4) 支持端口镜像(5) 支持多个源端口镜像(6) 支持远程端口镜像安全特性(1) 支持用户分级管理和口令保护(2) 支持AAA认证(3) 支持Radius认证(4) 支持HWTACACS认证(5) 支持SSH 2.0(6) 支持管理VLAN(7) 支持端口隔离(8) 支持端口安全(9) 支持集中式MAC地址认证(10) 支持ARP入侵检测(11) 支持端口下IP地址过滤802.1x(1) 单端口最多支持256个用户(2) 支持基于端口的认证和基于MAC的认证(3) 支

32、持Guest VLAN(4) 支持TRUNK端口认证(5) 支持动态VLAN和ACL规则下发JUMBO Frame支持最大帧长为4KDLDP支持DLDP（Device Link Detection Protocol）PoE4端口支持PoE+远端供电(每端口最大25W，整机最大提供100W功率)8端口支持PoE+远端供电(每端口最大25W，整机最大提供125W功率)24口支持PoE+远端供电(每端口最大25W，整机最大提供370W功率，外接RPS电源可支持600W功率)不支持RPS电源不支持RPS电源支持RPS电源加载与升级(1) 支持FTP（File Transfer Protocol）加载升

33、级(2) 支持TFTP（Trivial File Transfer Protocol）加载升级管理(1) 支持命令行接口（CLI）配置(2) 支持Telnet远程配置(3) 支持通过Console口配置(4) 支持SNMP（Simple Network Management Protocol）(5) 支持RMON（Remote Monitoring）告警、事件、历史记录(6) 支持iMC网管系统(7) 支持WEB网管(8) 支持系统日志(9) 支持分级告警(11) 支持Modem远端拨号(12) 支持NTP(13) 支持电源的状态检测(14) 支持电源的告警功能(15) 支持风扇报警维护(1)

34、 支持调试信息输出(2) 支持Ping（Packet Internet Groper）、Tracert(3) 支持NQA（网络质量分析）(4) 支持Telnet远程维护2.8.2 FIT/FAT APAP设备选用杭州华三通信技术有限公司生产的WA2220-AG无线局域网室内型AG双频双模接入点。图: H3C WA2220-AGWA2200系列无线产品是华三通信技术有限公司（H3C）自主研发的双频多模系列无线接入点，可广泛应用于各种向用户提供WLAN接入的无线网络； WA2200系列支持Fat和Fit两种工作模式，根据网络规划的需要，可以通过命令行灵活地在Fat和Fit两种工作模式中切换。WA2

35、200系列产品作为瘦AP（Fit AP）时，需要与无线控制器系列产品配套使用；作为胖AP（Fat AP）时，可以独立进行组网。WA2200系列产品支持Fat/Fit两种工作模式的特性，有利于将客户的WLAN网络由小型网络平滑升级到大型网络，从而很好地保护用户的投资。产品特点如下：l 支持集中管理WA2100或WA2200系列作为Fit AP和无线控制器或有线无线一体化交换机配合组网，大部分管理报文和数据报文都需要经过无线控制器的统一处理。在无线控制器端，通过CAPWAP协议控制网络中所有的Fit AP，所有设备的状态都一目了然。较之传统的Fat AP，无线控制器加Fit AP的应用模式极大地方

36、便了系统管理员管理整个网络。l 支持版本自动升级WA2100和WA2200系列可以和网络内的无线控制器自动取得关联，并下载最新的软件版本到AP设备。所有的这些操作都是自动完成的，不需要人工干预，减少了网络维护的工作量。这个特性对于大型网络尤其重要。l 支持中国标准WAPI（无线局域网鉴别和保密基础结构）WA2100和WA2200系列产品，除了支持802.11i和WPA等国际标准外，配合无线控制器还支持中国无线局域网国家标准GB15629.11-2003 中提出的、安全等级更高的WAPI。WA2200系列产品工作在Fat AP模式时，也可独立支持WAPI。l 支持IPv6特性WA2100和WA2

37、200系列产品实现了IPv4/IPv6双协议栈，与无线控制器之间可以穿过IPv6网络互联，使得组网方式更加灵活，可以满足今后网络发展的需要，保护用户投资。WA2100和WA2200系列也支持无线用户采用IPv6接入网络。l 支持EAD无线接入端点准入防御（EAD，Endpoint Admission Defense）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为企业网络管理人员提供了有效、易

38、用的管理工具和手段。H3C WA2100和WA2200系列产品支持无线用户的EAD接入，通过与安全策略服务器的联动，可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理，只有无线客户端符合相应的安全策略之后才允许正常访问网络，从而提高了无线网络的整体安全性。l 支持智能的负载均衡WA2100和WA2200系列无线接入点支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP，但如

39、果无线用户不在AP的重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。H3C公司创新性地支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。l 支持用户隔离策略WA2200系列无线接入点支持无线用户之间的隔离。当启用了此功能后，两个无线客户端之间无法直接通讯，无线客户端只能访问上游的有线网络。应用此特性，运营商可强制无线用户到指定的网关或服务器上进行计费或更安全的认证，实现所谓的热点应用。l 提供灵活的数据转发方式支持集中式转发和分布式转发。集中式转发模式下，所有的无线业务流都要到无线控制

40、器进行统一处理，无线控制器可以对报文进行全面控制，集中式转发对无线控制器的处理性能要求较高。采用分布式转发时，报文在AP上直接完成帧格式转换和转发，报文不再集中上送无线控制器，能够实现无线报文的宽带接入。分布式转发特别适用于当AP作为数据接入设备部署在分支机构，而AC部署在总部的应用场合。WA2200系列无线接入点，可与H3C无线控制器配合，支持两种转发方式，用户可以根据需要，给SSID设置转发的类型。除以上特点，WA2200系列还支持以下功能：l 支持TR-069特性(CWMP)WA2200系列工作于Fat AP模式时，支持TR-069特性。TR-069是由DSL论坛（www.dslforu

41、m.org)所开发的系列技术规范之一，其全称为“CPE广域网管理协议”。此特性方便网管人员从网络侧对位置分散的WA2200系列设备进行远程集中管理。l 支持桥接应用WA2200系列可以配置射频单元作为桥接使用，为连接两个或多个物理上隔离的局域网接入点。WA2200系列同时支持点到点或点到多点桥接应用，使用双频无线接入点时，可以将一个射频单元作接入，另一个作桥接使用，使得在对WLAN网络进行桥接时，可以不需单独部署AP。l 同时支持本地供电和PoE供电WA2210X-GE和WA2220X-AGE不仅支持PoE供电，还支持本地供电。对于采用光纤直连室外远距离组网的情况，可以直接采用220V电压进行

42、本地供电。l 支持大功率WA2220X-AGP大功率型AP，11g模块输出功率最大可达500mW、且发射功率多级可调，同时具有较高的接收灵敏度。l 支持光口上行WA2210X-G、WA2210X-GE、WA2220X-AG、WA2220X-AGP和WA2220X-AGE五款室外型AP都支持SFP上行FE光口，用户在室外部署时不用在配置额外的光电转换器，减少了网络故障点。此外，上行ETH口与上行光口可进行冗余备份，提供更高的可靠性。l 支持更高的工作温度要求室外型工作温度范围为-30至55摄氏度，宽温度范围保证了WA2200室外型可以在任何季节工作在全球绝大多数地点。l 支持链路快速切换轨旁AP

43、和车载AP WA2220E-AG-T在设备启动后将自动发现AC并建立和AC的CAPWAP协议控制隧道，通过该隧道设备可以更新设备软件版本和获得网络配置。硬件规格如下：参数WA2220-AG重量500g尺寸16611840mm10/100Base-Tx1100Base-Fx0PoE供电支持802.3af本地供电支持Console1(仅供调试)天线WA2210-AG：2dBi双频分集天线WA2220-AG： 2dBi双频天线Reset1工作温度-10C55C工作湿度5%95%（非冷凝）存贮温度-40C85C存贮湿度5%95%（非冷凝）整机功耗-15C以上WA2210-AG：8WWA2220-AG：

44、软件规格如下：产品型号WA2220-AG产品定位室内型Fit/Fat APIEEE802.11a/b/g同时支持a/b/g (WA2220-AG)工作频段802.11a：5.15GHz-5.35GHz，5.725GHz-5.850GHz802.11b、802.11g：2.4000GHz-2.4835GHz调制方式802.11a：OFDM802.11b：DBPSK、DQPSK、CCK802.11g：CCK、OFDM发射功率100mw功率调整精度1dBm接收灵敏度802.11a：-70dBm54Mbps,-90dBm6Mbps802.11b：-89dBm11Mbps,-97dBm1Mbps802.

45、11g：-72dBm54Mbps,-91dBm6MbpsAP设备容量AP支持的内置信道数量802.11a与IEEE802.11兼容：(美国)12个信道，(中国)5个信道802.11b、802.11g：(美国)11个信道，(中国、欧洲)13个信道AP接入速率IEEE802.11a：54Mbs、48Mbps、36Mbps、24Mbps、18Mbps、12Mbps、9Mbps、6MbpsIEEE802.11g：54Mbs、48Mbps、36Mbps、24Mbps、18Mbps、12Mbps、11Mbps、9Mbps、6Mbps、5.5Mbps、2Mbps、1MbpsIEEE802.11b：11Mbps、5.5Mbps、2Mbps、1Mbps虚拟AP32 (WA2220-AG)安全策略加密支持64、128位WEP加密，WPA，802.11i和WAPI支持WPA和802.11i的多种密钥更新触发条件用户隔