《瘦AP解决方案建议书(共38页).doc》由会员分享,可在线阅读,更多相关《瘦AP解决方案建议书(共38页).doc(38页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上中国安徽省分行WLAN网络技术建议书目 录一、无线局域网(WLAN)概述无线局域网(WLAN)技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。对比传统的有线传输解决方案,使用WLAN网络实现数据传输具有以下显著特点: 简易性:WLAN网络传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作; 灵活性:无线技术使得WLAN设备可以灵活的进行安装并调整位置,使无线网络达到有线网络不易覆盖的区域; 综合成本较低:一方面WLAN网络减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网技术可以更
2、好地保护已有投资。同时,由于WLAN技术本身就是面向数据通信领域的IP传输技术,因此可直接通过百兆自适应网口和企业内部Intranet相连,从体系结构上节省了协议转换器等相关设备; 扩展能力强:WLAN网络系统支持多种拓扑结构及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统;随着WLAN技术的快速发展和不断成熟,目前在国内外已经具有较多的政府机构使用WLAN技术布置无线城域网,进行承载部分政府业务,诸如:电子政备、消防、公安信息等等,如:美国费城、荷兰阿姆斯特丹等。 无线局域网技术经过十几年的发展,已经历了三代技术及产品的发展。第一代无线局域网主要是采用Fat AP,每一台
3、AP都要单独进行配置,费时、费力、费成本;第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置,其管理性和性以及对有线的依赖成为了第一代和第二代WLAN产品发展的瓶颈,由于这一代技术的AP储存了大量的网络和安全的配置,包括加密的钥匙,Radius client的安全密码 (secret) 等,而AP又是分散在建筑物中的各个位置,一旦AP的配置被盗取读出并修改,其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的,所以当用户接入数量 (IP sessions)增多时,无线网的性能会急剧下降,时常会发生掉线或死机情况。在这样的环境下,基于无线交换机技术
4、的第三代WLAN产品应运而生。第三代无线局域网采用无线交换机和FIT AP的架构,对传统WLAN设备的功能做了重新划分,将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现,同时加入了许多重要新功能,诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。,使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。表1 FAT AP与FIT AP两种组网方案对比二、大楼无线局域网项目建设需求大楼WLAN网络是在有线网络的基础之上建设的,对三层、四层楼进行无线覆盖客户的要求包括以下几点:1实现对大楼区域内的有效覆盖整个大楼办公室、会议室区等多处区域,每个区域都需要
5、有效的WLAN覆盖。在大楼办公室、会议室内,员工、领导、以及外来商务人员无需使用网线即可方便的访问大楼的WLAN网络;在会议室内,员工、领导、以及外来商务人员可以不受限制的接入到网络中,便于在会议中随时从网上获取信息。2.需要安全接入大楼的WLAN网络并不是为所有人开放的,而是针对特定的群体或客人,所以需要认证的体制。另外,由于用户信息的隐私性,必须保证在用户使用网络时,信息不会在WLAN的空中传播中被他人窃取。三、网络建设原则结合WLAN的实际应用和发展要求,公众无线局域网(PWLAN)网络系统设计,主要遵循以下系统总体原则:n 实用性原则:以现行需求为基础,充分考虑发展的需要来确定系统规模
6、。n 安全性原则:PWLAN运营网络,即是一个开放网络,同时作为运营网络对用户的安全以及网络的安全要求较高。n 可靠性原则:系统设计能有效的避免单点失败,在设备的选择和关键设备的互联时,应提供充分的冗余备份,一方面最大限度地减少故障的可能性,另一方面要保证网络能在最短时间内修复。n 成熟和先进性原则:由于WLAN应用于运营网络仍然属于新新技术,需要及时将新技术引用进来,更好的开展业务,同时也要求保证网络与业务的可靠性。n 规范性原则:系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和联通WLAN企业标准,为系统的扩展升级、与其他系统的互联提供良好的基础。n 开放性和标准化原则:在设计
7、时,要求提供开放性好、标准化程度高的技术方案;设备的各种接口满足开放和标准化原则。n 可扩充和扩展化原则:所有系统设备不但满足当前需要,并在扩充模块后满足可预见将来需求,如带宽和设备的扩展,应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时,能保护现有的投资。n 可管理性原则:整个系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进行系统配置,在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。四、网络建设方案根据目前大楼的用户规模和网络状况,拟采用无线控制器(AC)+瘦AP(FIT AP)的组网方式,瘦AP实现无线信号的处理,而用
8、户管理、加密、漫游、AP管理等功能全部集中到AC进行,这样可以简化整个网络的管理,提高设备的工作效率。用户认证系统采用标准的Radius服务器(H3C CAMS)来完成;AP的供电采用以太网供电(Power Over Ethernet,PoE),通过以太网线来汇聚AP的流量,同时为AP提供电源,这样可以简化布线,同时减少故障点,提高网络的可靠性。4.1无线网络基础方案图1. 大楼WLAN组网示意图(可使用Visio打开)如图1所示,原有的有线网络拓扑不变,在核心交换机上开启一个接口,用于WX3024的上行链路,WX3024下行用光模块连接三层办公LS-3100-16TP-PWR-EI-F-H3
9、 POE供电交换机,下行连接H3C WA2210-AG企业级无线AP,四层办公直接用WX3024下行连接H3C WA2210-AG企业级无线AP,用户可以使用笔记本或其他WiFi终端通过WA2210-AG连接到大楼的WLAN网络中。WX3024在网络中起到如下几个作用: 作为24口POE+交换机使用。 作为无线控制器,对FIT AP(WA2210-AG)进行统一的智能管理。 作为Portal Server,为大楼用户提供接入认证。FIT AP组网最大的优点在于AP本身零配置,AP上电后会自动从无线控制器下载软件版本和配置文件,同时无线控制器会自动调节AP的工作信道以及发射功率。另外,通过无线控
10、制器的RF扫描探测热点地区Rouge AP,可以及时排除其他AP存在的干扰,保障AP的稳定运行。在网络管理方面,网管可以只通过管理无线控制器设备就可以达到控制AP的效果,极大的减少了无线网络后期维护和管理的工作量。使用无线控制器+FIT AP时,AP在启动后会自动通过DHCP方式获取IP地址,并自动搜寻可关联的无线控制器,在和无线控制器建立CAPWAP隧道之后会自动从无线控制器下载配置文件和更新软件版本。在AP的接入方面,H3C拥有智能射频管理,当某一个AP出现故障时,周围的其他AP会自动调整功率,对该部分区域进行重新的信号覆盖,保证信号的良好覆盖。而当有非法AP进入无线网络造成信号干扰时,H
11、3Cz智能射频管理系统可以定位出该AP的位置,以便及时加以排除。图2. FIT AP自动射频调整功能示意图(可用Visio打开)无线控制器可以设定AP间对接入用户进行负载分担,当无线控制器发现AP的负载超过设定的门限值以后,对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入,如果有则AP会拒绝用户的关联请求,用户会转而接入其他负载较轻的AP。如图所示。图3. H3C WLAN智能负载分担H3C公司创新性地支持智能负载均衡技术,保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能,有效的避免误均衡的出现。图4. H3C WLAN智能负载分担H3C FIT AP
12、方案还支持无线入侵检测。当有第三方的AP仿冒SSID时,无线控制器会通过AP的反馈,迅速得到相应的信息,并上报网管,采取相应的信息。管理员还可以对该设备发起攻击,使该第三方设备无法连接上相应的用户。图5. H3C无线入侵检测示意图4.2 用户接入认证方案大楼项目对安全有着一定的要求,必须能够防止系统外部成员的非法侵入以及操作人员的越级操作,尽量避免计算机犯罪问题的发生。由于WLAN网络与有线网络不同,用户可以随时随地的接入网络,故不能像有线网络那样通过网口限制用户的身份,必须使用一定的认证手段。H3C WX3024支持多种认证方式,如MAC地址认证、802.1x认证和Portal认证等。本项目
13、推荐使用Portal认证方式。使用Portal方式的优点是无需客户端,用户做好WLAN连接后,只需打开Web页面就能够进入Portal认证页面。此时除了能够方便的认证外,还可以推送Web页面,发布最新的大楼信息,并可以向用户推送相应的广告,给大楼带来额外的利润。4.3网络管理方案作为接入层网络,大楼的WLAN网络需要较多的AP,维护工作量较大,加之WLAN网络的灵活性和不可见性,如果对每个AP进行单独管理则会造成较高的维护开销,也给管理人员带来了一定的难度。而且无线网络直接面对最终用户,对管理系统稳定性、实时性、有效性要求都较高。H3C使用WSM无线业务管理器应能对无线网络中的AP、AC等设备
14、作到统一管理。WSM无线业务管理器依托iMC智能管理平台,实现有线无线一体化的管理,在iMC系统全面的有线网络管理的基础上,为用户提供无线网络管理能力。用户无需重新搭建IT管理平台,即可在原有的有线网络管理系统中增加无线管理功能,与有线管理平台统一部署,节省用户投入,节约维护成本。 iMC智能管理中心采用分布式、组件化、跨平台的开放体系结构。通过选择安装WSM无线业务管理器,用户可以获得全面的无线业务管理能力,实现AC设备、FAT AP设备、FIT AP设备、移动终端等无线设备的集中管理,轻松实现设备配置管理功能,并提供资源分组、无线拓扑功能,对全网无线设备进行直观有效的组织,对网络部署和设备
15、状态一目了然,策略模板等功能实现网络和设备的批量配置,提升效率,降低维护工作量,降低维护成本。基于Web的管理系统,为无线业务管理者提供了简便、友好的管理平台。与iMC智能管理平台及其它组件配合,还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理、用户认证管理等功能,并可对网络中的其它设备进行统一管理,真正实现有线无线一体化管理。图6. H3C iMC无线管理组件截图4.4 H3C方案的优点n 有线无线一体化的WLAN产品线,简化维护工作,节约运行成本H3C WLAN提供有线无线一体化解决方案,一体化的特点主要体现在以下几点:1、 H3C在S7500,S7
16、500E,S9500核心交换机上支持无线控制器模块,直接把无线控制器融入核心交换机,目前H3C S7500,S7500E,S9500,华为S6500,S8500核心交换机都可以支持无线控制器业务模块,从而实现真正的有线无线一体化;2、 H3C 所有的WLAN产品和现网上数量众多的有线产品使用相同的软件平台,同样的特性,在不同的产品具有相同的命令行,这样用户维护有线产品和无线产品时,不需要熟悉两套完全不相同的操作方式,大大提高的工作效率,减少了技术人员的工作量。3、 管理特性上,H3C iMC智能管理中心能够使用同一套管理软件同时管理有线产品和无线产品,而不是象其他WLAN厂商那样,有线和无线使
17、用不同的网管系统;另外同一套网管系统意味着VLAN,QoS等都可以统一部署,减少了系统管理的复杂性。4、 在用户管理方面,H3C CAMS可以统一管理有线用户和无线用户,可以实现对用户的认证、鉴权、计费,达到有线业务和无线业务统一部署的目的。n AP零配置无线控制器FIT AP控制架构对设备的功能进行了重新划分,其中无线控制器负责无线网络的接入控制,转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制;FIT AP负责802.11报文的加解密、802.11的PHY功能、接受无线控制器的管理、RF空口的统计等简单功能。H3C公司在支持这种新的网络架构时将一些新的智能功能集成进FIT A
18、P和无线控制器中,以便于给用户呈现统一的网络管理接口:1、 FIT AP的配置保存在无线控制器中,FIT AP启动时会自动从无线控制器下载合适的设备配置信息2、 FIT AP需要能够自动获取IP地址,同时FIT AP需要能够自动发现可接入的无线控制器,并对无线控制器和FIT AP之间的网络拓扑不敏感3、 无线控制器支持FIT AP的配置代理和查询代理,能够将用户对FIT AP的配置顺利传达到指定的FIT AP设备,同时可以实时察看FIT AP的状态和统计信息4、 无线控制器保存FIT AP的最新软件,并负责FIT AP软件的自动更新H3C公司通过这一全新的网络管理接口可以很好的解决目前型WLA
19、N网络组网中存在的管理问题:1、 用户只需要建立业务参数模板和设备参数模板,并设定指定的AP引用这些模板,当FIT AP启动时无线控制器会根据预先的配置引用信息给FIT AP下发配置,用户的配置工作量大大减少。2、 用户对FIT AP的管理是通过无线控制器来代理完成,网管不再关心FIT AP的IP地址,FIT AP和无线控制器之间的关联是自动完成,不再需用户对AP进行的配置干预。3、 无线用户的数据报文被FIT AP封装在AP和AC间的数据隧道中,接入AP的边缘网络不需要再为无线用户的接入而更改VLAN和ACL等配置4、 无线控制器保存了所管理的FIT AP的运行状况和在线用户统计信息,维护人
20、员只需登录到指定的无线控制器就可以完成信息察看。用户对FIT AP的管理是通过无线控制器来代理完成,因此在线更改服务策略设定和安全策略设定也不再需要逐一登录到AP设备,而只需要登录到指定的无线控制器就可以完成设置,无线控制器会自动把新的配置下发到指定的FIT AP。5、 用户不再需要手动逐一对AP设备进行软件升级,AP在每次重新启动时会自动比较当前运行的版本和无线控制器上保存的版本,如果无线控制器上保存的版本更新,FIT AP会自动更新本地的软件影像。6、 AP本地不再保存配置信息,即使设备丢失也不存在因配置丢失而出现的安全隐患。n 电信级产品质量保证H3C自2003年公司成立以来就继承了业界
21、领导厂商华为和3Com的WLAN产品。整个无线产品的规划器都是按照电信级设计,从阻容到主处理芯片,每一个元器件都经过严格质量认证和技术认证,基本上是选用一流供应商的元器件,保证元器件的性能和品质。在产品生产上,H3C公司采用业界先进的IPD CMM3.0集成产品开发流程,有严格的质量管理体系,从全流程的每一个环节控制产品质量。n 强大的研发团队,自主知识产权,快速响应客户需求H3C的研发团队分布在北京、杭州、深圳和印度,海外研发中心紧跟前沿技术脚步,国内研发中心快速响应客户需求。H3C全系列WLAN产品采用完全自主研发的软件,并采用了业界最为严格的测试标准,由位于北京的独立的鉴定测试中心来最终
22、鉴定产品能否达到质量标准。此外由于自主开发软件,完全掌握知识产权,很容易根据客户的要求定制特殊功能,以满足特定情况下的应用。n 完善的服务体系H3C公司在全国建立了30个区域服务中心和区域备件系统,承诺为客户提供专业、快捷、规范的服务,通过先进的通信技术与总部的技术服务平台连接,完成客户档案、维护经验案例、备件库存、产品发布等信息的共享,形成覆盖全国地市级城市,专职人员规模超过400人的技术服务体系。H3C致力于通过高质量的服务提高用户网络的可用性,提升用户满意度。H3C成立了备件中心(SPC,Spare Parts Center)专门支撑H3C公司的售后服务和向客户的承诺,依托遍布全国主要城
23、市的30个区域备件库和位于杭州、北京及深圳的3个分拨中心,建成了国际化、标准化、现代化的物流管理系统。H3C备件中心科学地进行备件仓储分析和管理,能够向客户提供高效的备件服务,最大限度地保障客户网络的平稳运行。n 丰富的无线网络工程经验无线网络的工程实施对整个项目的成败至关重要。H3C专门成立了无线工程督导团队来确保无线网络工程的顺利实施,目前H3C公司已经成功实施了第六届亚洲冬季运动会、北京解放军总医院、国家知识产权局、新华社、北京航空航天大学、北京交通大学、华东理工大学、上海汤臣洲际大大楼等无线网络工程的部署,具备丰富的无线项目实施工程经验,保证项目进度,后顾无忧。n 全面的安全性,支持W
24、API前段时间,财政部、发改委和信产部联合下发了关于印发无线局域网产品政府采购实施意见的通知,在政府采购中将优先考虑符合国家无线标准的产品,这就要求相关政府部门采购的WLAN产品,要具备支持WAPI标准的能力。我们知道,WAPI之所以没有成为全球标准,其主要原因就是以Intel为首的国外厂商,的公开反对;出于政治上的考虑,国外厂商目前的WLAN产品不支持WAPI标准,将来也不会支持WAPI标准;而国内也有一些厂家,产品是从国外厂商那里OEM而来或者和国外厂商联合开发,主要的技术都依赖这些国外厂商,同样也无法支持WAPI标准。而华三通信作为一家中国本土厂商,所有的WLAN产品均按照中国标准要求自
25、主开发,目前所有的WLAN产品均具备支持WAPI的能力,一旦国家强制推行WAPI标准,华三通信所有WLAN产品只需升级软件即可完成对WAPI标准的支持。4.5 无线网络规划4.5.1 频率规划目前针对WLAN来讲,2.4G具有3具不重叠的信道,针对5.8G具有5个不重叠信道,但由于网络用户具有一定的不确定性,故网络覆盖时所需要的WLAN网络空间都要进行2.4G与5.8G的频率覆盖,从网络规划的角度出发,主要考虑2.4G与5.8G二个频率的覆盖设计,针对2.4G的频率的信号衰减模型主要采用如下:PathLoss(dB) = 46 +10* n*Log D(m),而对于5.8G的信号衰减模型:Pa
26、thLoss(dB) = 32.4+20*lg fMHz+ 20*lgdKM +a * dKM,以上二信号衰减模型进行网络的设计,到具体网络实施时要进行工勘与优化,而对于信道主要采用1、6、11三个信道交错使用,具体的面覆盖逻辑示意图如下:图7. WLAN2.4G信道规划示意图4.5.2 频率复用图8. 无线覆盖示意图针对频率复用的设计与实现主要侧重于重叠区域,考虑到802.11技术中目前业界主要采用DCF的仲裁,这样会导致从网络实施的角度出发,没有办法做到像GSM、3G网络的控制力度,从技术原理的角度出发,没有办法实现很好的频率复用,只能被动做些负载均衡的功能。每个AP具有54Mbps、48
27、Mbps、36Mbps、18Mbps等的覆盖范围,对于54Mbps的覆盖范围不重叠,对于54Mbps与18Mbps就可能进行重叠,可以根据网络侧的负载功能进行实现一定程度的频率复用功能,从网络规划的角度出发,WLAN基本上、下行无线链路复用的处理问题,因为目前都是DCF方式,而从只能结合业务目标实现网络覆盖效果,具体网络使用效果使用负载均衡功能进行实现。负载均衡的功能实现具体原理如下:1. 根据负载均衡的配置确定负载均衡的模式、SSID、其他参与负载均衡的AP的标识、用户数或流量的阀值等进行一定的初始化;2. 确定本AP的2个射频模块连接的STA用户数量和流量;3. 通过UDP协议以私有方式定
28、时进行AP间通讯。先进行握手,成功后才进行数据的交换,获取参与负载均衡的AP的负载信息。4. 当有STA要接入时,根据其工作频率,比较本AP上该射频下的负载和其他AP的指定SSID下的用户数或流量,以及负载均衡的SSID绑定接口的速率集,决定STA能否接入。同时要注意到若用户数已达到AP某个SSID的最大用户数,则该AP的SSID不允许再接入STA;4.5.3 AP容量规划从业界实现的DCF方式来看,没有一个最大用户数的限制,但业界各个厂商进行实现时都基于一定理解的前提下进行默认限制,H3C目前每个AP最大的用户默认限制为64个用户,并可以根据实际情况更改每个AP限制接入的用户数。根据多年的W
29、LAN部署经验,H3C建议,从网络规划的角度出发,按照每个AP覆盖2530用户进行部署,可以保证用户的接入质量和正常需求下的网络吞吐量。五、覆盖方案5.1 走廊直放覆盖对于大楼大楼,由于建筑系统结构简单,人员密度,计划采用由走廊内独立AP布点进行覆盖。(由于每个大楼结构都不同,大概设计理念图示,看起来会更专业些。在天线选用方面,如果该大楼走廊有吊顶并可以施工,推荐采用吸顶天线,覆盖效果好;如果没有,则放在走廊的墙壁上)该三、四层区域总共需要16个H3C WA2210-AG(FIT AP)。其中两边各放置3个,大会议室放置2个。图9. 典型区域环境5.2 室内直放覆盖对于会议室区域,小会议室通常
30、面积都不大(小于100平方米),每个场所放一个AP即可满足覆盖需求。对于大面积区域稍复杂的应用环境(单位面积人员数量),例如大厅或多功能厅,考虑使用一个或者多个AP进行覆盖。参考原则为每个AP的用户容量2530人。由于该类区域位置相对分散,且每个房间单独部署,所以AP的拜访位置比较随意,可以挂在墙面上,也可以摆放在屋内不明显的位置。5.3 AP布点覆盖原则使用室内直放AP布点覆盖,需考虑及遵循以下几个问题和原则:1. 需要有入户线缆资源(双绞线或五类线)。2. 保持信号穿过墙壁和天花板的数量最小。2.4G信号能够穿透墙壁和天花板,然而,每一面墙壁和天花板都将使AP信号的覆盖范围减少1到30米。
31、应放置AP与计算机于合适的位置,使墙壁和天花板阻碍信号的路径最短,损耗最小。3. 考虑AP和覆盖区域之间直线连接。注意AP的放置位置,要尽量使信号能够垂直的穿过(90度角)墙壁或天花板。4. 不同的建筑材料产生不同的传输效果。由金属的框架或门构成的建筑物会使WLAN无线信号的传输距离变小。放置AP的位置应使信号通过干燥的墙壁或敞开的门,避免放置在使信号必须通过金属材料的位置。5. AP天线方向可调,安装AP的位置应确保天线主波束方向正对覆盖目标区域,保证良好的覆盖效果。6. AP安装位置需远离电子设备(起码12米),例如微波炉、监视器、电机等。5.4 覆盖效果理论计信号强度和传输距离的换算公式
32、AP加卡的信号总强度公式:GtGrAP天线增益终端天线增益L信号总强度(dB)Gt(AP或终端功率,单位dB),Gr(终端或AP灵敏度,单位dB)距离产生的信号衰减公式:4020lgdL1(dB) d(距离,单位m)工程中最大传输距离以45m计算,所以L172dB障碍物的衰减:物体dB地板30带窗户的砖墙2办公室墙6办公室墙的金属门6砖墙的金属门12.4靠近金属门的砖墙3工程中实际的障碍物的最大衰减是临窗墙的衰减3dB加上房间墙的衰减12dB等于15dB。六、产品介绍6.1 大楼采用的WLAN产品综述大楼项目中,建议采用16台H3C WA2210-AG(FIT AP)和一台H3C WX3024
33、无线控制器+H3C LS-3100-16TP-PWR-EI-F-H3,形成“FIT AP + POE供电交换机+无线控制器”的组网模式。WA2210-AG负责覆盖大楼中的办公、会议室等地区,保证用户接入的信号质量;WX3024对所有的AP进行管理与智能控制,保证用户能够安全、稳定、高带宽的接入到Internet,并能为大楼信息维护人员提供便利,管理维护更简单。6.2 无线接入点(AP) WA2210-AG介绍WA2100和WA2200系列无线产品是华三通信技术有限公司(H3C)自主研发的双频多模系列无线接入点,可广泛应用于各种向用户提供WLAN接入的无线网络;WA2100系列产品属于瘦AP(F
34、it AP)需要与无线控制器系列产品配套使用;WA2200系列支持Fat和Fit两种工作模式,根据网络规划的需要,可以通过命令行灵活地在Fat和Fit两种工作模式中切换。WA2200系列产品作为瘦AP(Fit AP)时,需要与无线控制器系列产品配套使用;作为胖AP(Fat AP)时,可以独立进行组网。WA2200系列产品支持Fat/Fit两种工作模式的特性,有利于将客户的WLAN网络由小型网络平滑升级到大型网络,从而很好地保护用户的投资。WA2100系列产品包括WA2210-AG。它是一款双频多模无线接入点,常用于室内无线覆盖,双频率即可工作于WLAN的2.4GHz频段或5GHz频段之上;多模
35、即指支持IEEE802.11a、IEEE802.11b和IEEE802.11g三种模式。WA2210-AG产品视图如下:WA2210-AG设备外观图WA2200系列产品包括室内型WA2210-AG(单频)和WA2220-AG(双频),适用于覆盖半径小、对环境要求不高的室内应用场景;增强型WA2220E-AG(双频),主要面向仓库、工厂车间等对温度、防尘等环境要求较高的应用场景;室外型WA2210X-G(单频),WA2220X-AG(双频)和WA2220X-AGP(双频大功率),主要面向对高低温、防潮、防水、防尘、防雷有较高要求的室外应用场景。WA2200系列产品视图如下:WA2200系列设备外
36、观图 支持虚拟APWA2100和WA2200系列产品支持多SSID实现虚拟AP特性,每个SSID可对应不同的VLAN、从而对于每一个SSID可以实现不同的网络服务及认证方式。该特性使管理员可以方便的为不同用户群、不同的业务制定区分的服务策略。 支持“零配置”特性传统无线网络的部署需要网络管理人员对网络中的每一个AP进行逐一配置,当无线网络规模较大时网络管理人员往往要配置上百个AP,配置工作量巨大,且易于出错。而采用H3C WA2100或WA2200 作为Fit AP配合无线控制器的进行组网时,网络维护人员只需要在无线控制器上对业务属性和物理属性相似的AP建立配置模版,这样AP在启动时可以从无线
37、控制器动态获取配置文件,AP侧可不做任何配置,只需上电即可正常工作,该特性极大方便了用户的使用,也降低了设备的维护成本。另外,由于AP本身不保存任何配置,万一设备丢失,也可以保证网络配置不被窃取,保证了网络的安全。AP支持启动后自动获取IP地址、自动获取无线控制器的工作列表并自动和无线控制器建立关联,真正做到了零配置,免维护,极大地减轻了网络管理人员在部署网络阶段的维护工作量。 支持集中管理WA2100或WA2200作为Fit AP和无线控制器配合组网,大部分管理报文和数据报文都需要经过无线控制器的统一处理。在无线控制器端,通过CAPWAP协议控制网络中所有的Fit AP,所有设备的状态都一目
38、了然。较之传统的Fat AP,无线控制器加Fit AP的应用模式极大地方便了系统管理员管理整个网络。 支持版本自动升级WA2100和WA2200可以和网络内的无线控制器自动取得关联,并下载最新的软件版本到AP设备。所有的这些操作都是自动完成的,不需要人工干预,减少了网络维护的工作量。这个特性对于大型网络尤其重要。 支持丰富的认证方式WA2100和WA2200系列产品配合H3C自主研发的无线控制器系列产品,可实现802.1x认证、PSK认证、MAC、Portal、WAPI等多种认证方式。WA2200作为Fat AP时支持802.1x认证、PSK认证、MAC认证等多种认证方式,认证方式的多样性保证
39、了应用的灵活性。 支持硬件加解密WA2100和WA2200系列产品采用了业界先进的无线芯片,支持WEP/TKIP/AES等硬件加解密算法,使安全处理不成为系统应用的瓶颈。 支持密钥动态协商和更新WA2100和WA2200系列产品,在采用TKIP或AES加密算法时,相应的密钥均是由动态协商而来,且可以在使用一定的时长或加密数据帧后,进行动态更新。这使得非法无线用户的窃听企图难以得逞。 支持中国标准WAPI(无线局域网鉴别和保密基础结构)WA2100和WA2200系列产品,除了支持802.11i和WPA等国际标准外,配合无线控制器还支持中国无线局域网国家标准GB15629.11-2003 中提出的
40、、安全等级更高的WAPI。 支持IPv6特性WA2100和WA2200系列产品实现了IPv4/IPv6双协议栈,与无线控制器之间可以穿过IPv6网络互联,使得组网方式更加灵活,可以满足今后网络发展的需要,保护用户投资。WA2210-AG也也支持无线用户采用IPv6接入网络。 支持EAD无线接入端点准入防御(EAD,Endpoint Admission Defense)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户
41、终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。H3C WA2100和WA2200系列产品支持无线用户的EAD接入,通过与安全策略服务器的联动,可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理,只有无线客户端符合相应的安全策略之后才允许正常访问网络,从而提高了无线网络的整体安全性。 支持智能的负载均衡WA2100和WA2200系列无线接入点支持按接入用户数量和流量的复杂均衡方式,当无线控制器发现AP的负载超过设定的门限值以后,对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入,如果有则AP会拒绝用户
42、的关联请求,用户会转而接入其他负载较轻的AP,但如果无线用户不在AP的重叠覆盖区内,传统的负载均衡方式往往会导致连接不上网络,造成误均衡。H3C公司创新性地支持智能负载均衡技术,保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能,有效的避免误均衡的出现,从而最大限度的提高了无线网络容量。 支持用户隔离策略WA2100和WA2200系列无线接入点支持无线用户之间的隔离。当启用了此功能后,两个无线客户端之间无法直接通讯,无线客户端只能访问上游的有线网络。应用此特性,运营商可强制无线用户到指定的网关或服务器上进行计费或更安全的认证,实现所谓的热点应用。 高可靠性的业务设计WA2100和WA2
43、200(工作于Fit AP模式时)系列无线接入点Bootware软件支持CAPWAP特性,可以与无线控制器进行交互完成应用程序的加载。支持此特性,在本地应用程序损坏或下载了非法应用程序的情况下,WA2100和WA2200仍然可以通过无线控制器远程加载合法的应用程序,恢复其正常工作。WA2100和WA2200(工作于Fit AP模式时)系列无线接入点,仅受无线控制器的管理,WA2100和WA2200本身不对外提供CLI、telnet或SNMP管理接口,保证了设备本身的安全。WA2100和WA2200(工作于Fit AP模式时)系列无线接入点,可同时与多台无线控制器之间建立CAPWAP隧道连接,多
44、条隧道相互备份,保证了在一台无线控制器出现故障后,WA2200仍然可以被其它无线控制器所管理。6.3 POE供电交换机 LS-3100-16TP-PWR-EI-F-H3 介绍产品概述H3C S3100-EI系列交换机是H3C公司为构建高安全、高智能网络需求而专门设计的新一代以太网交换机产品,在满足高性能接入的基础上,提供更全面的安全接入策略和更强的网络管理维护易用性,是理想的安全易用接入层交换机。用户对于网络的要求不断提高,接入交换机不只是提供简单的数据交换功能,而是越来越多地面临着安全威胁、管理维护复杂、多业务融合和扩展等诸多问题和挑战: 如何实现用户安全的接入控制,防止病从口入?如何能够准
45、确定位并抑制层出不穷的恶意欺骗攻击,将安全隐患拒之门外? 如何提高网络管理和维护的易用性?如何自动检测网络中是否存在问题并快速准确定位故障点,如何批量对网络的管理和维护进行批量操作,以提高网络维护效率,降低维护成本? 如何满足园区网多业务融合的需求,并批量实现网络资源灵活分配和调度?如何提高网络设备的业务扩展能力,节省用户未来对IPv6业务应用的追加投资?H3C S3100-EI系列交换机在以上各方面为用户提供了全新的技术特性和解决方案,完美地解决了当前网络接入设备面临的各种问题。 全面的接入安全策略H3C S3100-EI系列交换机支持EAD(端点准入防御)功能,配合后台系统可以将终端防病毒
46、、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3C S3100-EI系列交换机支持特有的ARP入侵检测功能,可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”,对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IP Source Check特性,防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的
47、非法地址仿冒,以及大流量地址仿冒带来的DoS攻击。另外,利用DHCP Snooping的信任端口特性还可以有效杜绝私设DHCP服务器,保证DHCP环境的真实性和一致性。H3C S3100-EI系列交换机支持端口安全特性族,可以有效防范基于MAC地址的攻击。可以实现基于MAC地址允许/限制流量,或者设定每个端口允许的MAC地址的最大数量,使得某个特定端口上的MAC地址可以由管理员静态配置,或者由交换机动态学习。H3C S3100-EI系列交换机有强大硬件ACL能力,能深度识别报文,支持L2L4包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP协议类型、TCP/UDP
48、端口、TCP/UDP端口范围、VLAN、VLAN范围等定义ACL,以便交换机进行后续的处理。并且支持基于端口、VLAN、全局定义和下发ACL策略H3C S3100-EI系列交换机支持集中式MAC地址认证和802.1x认证,支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定,同时实现用户策略(VLAN、QoS、ACL)的动态下发;支持配合H3C公司的CAMS系统对在线用户进行实时的管理,及时的诊断和瓦解网络非法行为。支持对Proxy进行有效的管理。 增强的网络管理和维护的易用性H3C S3100-EI系列交换机支持通过FTP、TFTP实现设备的远程升级,支持SNMP v1/v2/v3,可支持Open View等通用网管平台,以及iM