《华为无线技术建议书(共32页).doc》由会员分享,可在线阅读,更多相关《华为无线技术建议书(共32页).doc(32页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上WLAN网络技术建议书2015年10月专心-专注-专业目录1前言42WLAN技术简介62.1WLAN 技术特点62.2WLAN市场定位63XX公司WLAN网络总体方案83.1项目需求83.1.1网络总体架构83.1.2覆盖区域描述83.1.3网络环境描述93.2整体方案建议93.2.1广电行业解决方案组网建议123.2.2普教行业解决方案组网建议133.2.3酒店解决方案组网建议143.2.4无线视频监控解决方案组网建议153.3网络管理系统163.3.1eSight网管概述163.3.2eSight网管优势173.3.3WLAN管理方案183.3.4WLAN管理流程
2、193.3.5WLAN管理关键技术点204网络规划建议224.1总体原则224.2带宽模型设计224.3IP地址规划224.4VLAN规划234.4.1管理VLAN244.4.2业务VLAN244.5认证模式244.5.1WLAN终端认证244.5.2用户身份验证264.6网络安全264.6.1组网保护264.6.2接入安全方案265工程设计285.1设计原则285.2频点规划285.3覆盖规划295.4链路预算305.4.1确定边缘场强305.4.2分析传输模型,确定空间传播损耗公式315.4.3确定空间传播损耗315.4.4根据公式计算覆盖距离,判定是否满足覆盖要求325.5室内分布325
3、.6容量规划346配置说明347华为WLAN解决方案的优势368华为WLAN AP设备关键特性378.1接入点设备(Access Point)378.1.1室内分布型AP378.1.2室内放装型AP388.1.3室外型AP439应用案列459.1墨西哥国家水资源委员会WLAN项目应用案例459.2菲律宾De La Salle大学WLAN项目案例479.3光大银行昆明分行WLAN项目案例489.4昆明长水机场云南东方航空基地WLAN项目案例509.5百视通WLAN项目案例519.6中建电力有限公司WLAN项目案例529.7岗头工业园WLAN项目案例54附录A 缩略语551 WLAN技术简介 1.
4、1 WLAN 技术特点随着移动数据业务的发展,人们在接受高质量的语音通讯服务的同时,也希望能随时随地接入互联网、看视频节目、玩网络游戏。虽然移动通信技术在进入3G时代后,带宽相对2G时代有较大幅度的提升,但在应对多媒体业务的大带宽需求时仍显得力不从心;与此同时,固定宽带用户仍无法摆脱线缆的羁绊,无法享受自由接入的乐趣。二者都无法给广大用户带来理想的移动数据业务体验。WLAN凭借自己的高带宽、低成本、可漫游的技术优势,能有效分担用户密集地点的2G/3G带宽压力,带给客户更佳的体验;同时又可灵活地延伸固定宽带网络,促进固网和移动业务的有机融合;也可用于解决布线困难的村镇用户的宽带接入问题。WLAN
5、技术的成长始于20世纪80年代中期,其技术标准主要由IEEE 802.11工作组负责制定。迄今为止,该工作组已陆续地推出802.11a/b/i/e/n/k等大量标准,在用户带宽、无线安全、可管理性等方面日臻完善。根据最新的802.11n标准,WLAN物理带宽理论上可达到900 Mbps。当前802.11n主流产品带宽单频最高可达300M,支持802.11n的AP 已成为WLAN建设的首选。1.2 WLAN市场定位人们逐步进入一个移动信息社会,人们对互联网服务的需求越来越高。在需要移动联网及在网间漫游的场合、在不易布线的地方、在远距离数据处理节点等方面,商务人士对无线数据通信需求已日益迫切,互联
6、网正向机场、酒店、会议中心等热点区域乃至更为广阔的移动区域扩展。这几年,移动通信和互联网用户的数量一直呈现指数型增长的发展态势,两种通信方式很大程度上培养起用户的消费习惯,并进一步产生消费依赖,为移动互联网的发展提供了庞大的用户基础和经济基础。WLAN能广泛应用于机场、酒店、娱乐和休闲公共场所、会议展厅等人群密集流动性高的热点区域。随着城市居民经济水平的提高,IT 消费占居民支出的比例也在逐渐上升,WLAN业务还可面向家庭的带宽用户。WLAN在国内的主流应用有如下几种:l 跨越线缆鸿沟,在布线困难的区域下,提供基本的家庭宽带接入。WLAN 作为一种有效,经济和普及的移动宽带技术,将对有线宽带和
7、无线宽带 融合发展起到非常重要的促进和补充作用,其既有与固定宽带相媲美的带宽和成本优势,又有无线技术的移动方便性,是融合固定宽带和无线移动的重要桥梁技术。l 作为2G/3G的补充,融合无线局域网技术,提供慢速和移动状态下的移动宽带接入,与2G/3G互为补充:2G/3G 提供快速移动、广覆盖状态下中低速率接入,而WLAN 定位热点区域相对静止和慢速移动状态下大宽带无线数据接入。2 WLAN网络总体方案2.1 项目需求工厂实现wifi信号全覆盖,覆盖区域有培训室、会议厅、办公区、餐厅、超市、宿舍等。2.2 整体方案建议本项目图络拓扑示意图如下:图3-3 WLAN网络整体方案建议3 网络规划建议3.
8、1 总体原则安全性原则:WLAN网络作为开放性的无线接入网络,同时又是电信运营级的网络,所以网络建设规划时需注重对用户的安全性及网络的安全性的考虑。可靠性原则:电信运营级的WLAN网络需保证网络的信号质量、设备的稳定运行、避免单点故障,为客户提供可靠的WLAN无线接入业务。可运营性原则:WLAN网络系统的设备应方便管理,易于维护,便于进行系统配置,可统一的监控设备参数、数据流量、系统性能等,并可以进行远程管理和故障诊断。可扩展性原则:WLAN系统设备不但要满足当前需要,并且网络的扩展性方面要满足可预见将来需求,如带宽和设备的扩展,应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升
9、级时,能保护已有的投资。3.2 带宽模型设计首先明确了WLAN所承载的业务类型及其发展规模,然后分析业务流量,得出WLAN网络或子网的覆盖用户数。单个AP覆盖用户数是设计网络拓扑和网络容量的基础,也是网络发展和扩容的依据。在WLAN建设初期,新建区域和改造区域的用户入住率、业务渗透率可能较低,各地市本地网的情况会有较大差异,因此,渗透率不同对应的每个AP覆盖用户数也不同。3.3 IP地址规划IP地址的规划需要综合考虑全网AC、AP和终端用户。l AC的IP地址:用于管理AP,可用私网、公网IP,一般通过静态手工配置。l AP的IP地址:只用于接收AC的管理,通常推荐使用私网IP,一般通过DHC
10、P Server动态分配。l 终端用户的IP地址,一般通过DHCP Server提供,DHCP Server可集成于BAS或AC,也可以独立架设。终端用户通常需要分配公网IP地址,只有在企业网、校园网或某些特定场景下,才需要考虑私网IP地址。对于AC和AP的IP地址分配方法,一般有如下几种规划方式:序号AC的IP类型AP的IP类型优点劣势1公网IP私网IP便于远程管理,同时也可大大节省公网IP资源但是AC与AP之间需要L3发现,AP的地址由BAS或DHCP服务器分配。需要启用option 43来支持AC的L3发现2公网IP公网IP便于远程管理但是浪费公网地址,不利于展开业务3私网IP私网IP节
11、省公网IP地址需要考虑远程网管的实现方式。可以由AC作为DHCP server来分配同一地址段的AP地址考虑到IPv4网络中IP地址资源越来越紧缺,我们推荐AC使用公网IP地址,而AP使用私网IP地址。华为推荐的AC设备SPU板卡和AC6605-26-PWR均支持DHCP Server和DHCP Option 43。3.4 VLAN规划VLAN规划的原则:l 管理VLAN和业务VLAN分离l 业务VLAN应根据实际业务需要与SSID匹配映射关系(1:1/1:N/N:1/N:N)3.4.1 管理VLAN对于瘦AP,管理VLAN是指AC与AP之间控制报文所带VLAN。控制报文包括AP上线时的报文(
12、DHCP等)以及建立CAPWAP控制隧道后的控制隧道报文。由于在实际应用中,AC需要按VLAN选择DHCP SERVER,或RELAY还是透传,因此管理VLAN和业务VLAN必须分离,以便满足不同DHCP应用的需求。如果AC/AP间经过三层转发,中间三层设备必须支持DHCP RELAY;同样要注意区分管理VLAN和业务VLAN,使之采用不同的RELAY-GATEWAY,以便AC区别不同DHCP请求。3.4.2 业务VLAN业务VLAN主要用于区分不同的业务类型或用户群体,在WLAN中SSID也同样可以承担相应的工作。因此,在业务VLAN的规划中必须综合考虑VLAN与SSID的映射关系。业务VL
13、AN与SSID有如下四种映射关系:l SSID:VLAN=1:1部署:例如对北京市西城区“金融大街”和“中央音乐学院”进行WLAN覆盖,都是北京联通WLAN网络的覆盖区域, 所以希望用户搜索到的WLAN只有一个SSID,如“北京联通”;VLAN也只需要规划一个,如1000;l SSID:VLAN=1:N部署:虽然北京市西城区“金融大街”和“中央音乐学院”都是北京联通WLAN网络的覆盖区域,用户搜索到的WLAN只有一个SSID “北京联通”,但希望规划不同的VLAN标识不同的场点,如1000、1001,这个场景中,SSID:VLAN1:N;l SSID:VLAN=N:1部署:虽然都是北京联通的覆
14、盖区域,但希望用户搜索到WLAN就知道自己在什么地方了,因此需要两个SSID,如“金融大街”和“中央音乐学院”,由于都是北京联通的场所,VLAN只想规划一个,如1000;l SSID:VLAN=N:N部署:虽然都是北京联通覆盖区域,但希望用户搜索到WLAN就知道自己在什么地方了,并希望通过不同的VLAN精细控制流量,因此需要两个SSID,如“金融大街”和“中央音乐学院”, 同时VLAN也要规划两个,如1000和1001;3.5 网络安全3.5.1 组网保护华为AC产品接口丰富,支持LACP(Link Aggregation Control Protocol,以下简称LACP)和MSTP(Mul
15、tiple Spanning Tree Protocol,以下简称MSTP)等组网保护机制,可提供端口级冗余保护,及设备级1+1快速备份。3.5.2 接入安全方案华为AC均支持开放系统认证、WEP加密、共享密钥认证、WPA/WPA2认证加密、WAPI认证加密等无线接入安全特性。特性指标WLAN安全模板管理u 支持通过WLAN安全模板管理认证和加密方式。u 支持安全模板绑定到ESS模板。u 最多支持256个AP配置模板。OPEN-SYS方式认证支持“OPEN-SYS认证+无加密”方式。WEP认证加密u 支持WEP的认证/加密方式。u 每个AP最多支持4个WEP加密方式的VAP。u WEP认证加密
16、在AP实施,认证结果通知AC。WPA/WPA2认证加密u 支持AC集中认证方式。u 支持“WPA/WPA2-PSK+TKIP”的认证/加密方式。u 支持“WPA/WPA2-PSK+CCMP”的认证/加密方式。u 支持“WPA/WPA2-802.1x+TKIP”的认证/加密方式。u 支持“WPA/WPA2-802.1x+CCMP”的认证/加密方式。WAPI认证加密u 支持AC集中式WAPI认证。u 支持WAPI多信任证书方式(3证书),兼容传统双证书方式。u 支持证书和私钥合一的发放方式。u 支持WAPI加密的启用/禁用。3.5.3 访客与内网用户安全设计 本次项目设计建设2个无线SSID,一个
17、为内部员工使用,一个为外部访客使用,在访客vlan和内部员工vlan之间做逻辑隔离,使得访客的SSID无法访问内网区域。保证内网服务器的安全。3.5.4 上网行为管理规划本次项目建议采用华为NGFW下一代防火墙作为上网行为管理设备串在现有有线网络中,上网行为管理主要的功能为1、对员工上网行为进行管理,比如可以限制访问哪些网站,是否可以上QQ、 是否可以用等。 2、可以给员工分配流量。 3、可以监控员工的上网行为,比如上了哪些网站、QQ、员工等4 工程设计WLAN无线局域网的网络工程设计主要包括:频率规划、覆盖规划、链路预算和容量规划等四个方面。4.1 设计原则一般来说,普通办公环境,要求中等密
18、度连续覆盖时;或用户只对若干单个房间实现点覆盖的情况下,AP的规划较为简单,可由用户自行完成。比如,酒店的公共休息区,小酒吧,咖啡厅,会议室,西餐厅等区域,通常面积都不大(小于100平方米),每个场所放一个AP即可。或者从容量角度出发,确定所需AP数量后,选择适当位置摆放AP即可。当在大面积区域,较为复杂的应用环境,且用户对传输速率和信号质量要求较高时,建设WLAN需要对AP的架设位置、AP采用频点、AP隔离距离、是否引入室分系统等进行专门的规划。做一个WLAN的规划,第一步,应综合考虑覆盖和容量的两个方面的因素,在了解用户覆盖范围和覆盖密度要求的基础上,确定该网络预计的AP数量及摆放位置;第
19、二步,再根据各AP的摆放位置,根据一定原则来确定各AP应设定占用的频点。首先,从覆盖角度而言,需考虑现场的无线传播环境、空间面积、平面分布、建筑材料来确定单个AP在该空间内可能的覆盖范围。其次,要收集预计该空间内客户端可能的用户数量与密度,应注意用户对数据速率的要求、同时联机数量等种种因素,这些因素都会影响到联机的质量和速率,故依实际环境的不同规划方式会有较大差异。4.2 频点规划本次覆盖区域AP点位如下:WIFI覆盖区域有:培训室一(可容纳80人)、 2个AP会议厅(13米*8米60人)、2个AP办公区(13米*50米,容纳100人)、3个AP 培训室二(可容纳80人)、2个AP小餐厅、餐厅
20、(50米*13米600)、15个AP超市(16米*100米200)、5个AP男生宿舍(每层面积91米*17米,共六层,1层44个房间楼道两侧分布,2-6层各47个房间楼道两侧分布)、一层15个AP 、 2层16个AP、3层16个AP、4层16个AP、5层16个AP、6层16个AP。女生宿舍楼(每层面积91米*17米,共六层,1层44个房间楼道两侧分布,2-6层各47个房间楼道两侧分布)、一层15个AP、 2层16个AP、3层16个AP、4层16个AP、5层16个AP、6层16个AP。礼堂(50米*13米,容纳350人)9个AP 基于IEEE802.11系列标准的WiFi拥有2.4GHz和5GH
21、z两个频段,其中2.4GHz频段可选信道有14个,每个信道带宽为22MHz,只有3个信道相互之间无干扰,我国选用1、6、11等三个信道;5GHz频段可选信道为27个,我国选用149、153、157、161及165等五个信道。在WLAN的工程部署中,往往需要多个AP,如果不同的AP工作在相同的频道,就可能形成同频干扰。为保证频道之间不相互干扰,在多个频道同时工作的情况下,就要求两个频道的中心频率间隔不能低于25 MHz。为了扩大覆盖范围和提高频谱利用率,WLAN也需要引入蜂窝结构,对于1、6和11三个信道交错使用,具体的覆盖示意图如下:1:代表信道12:代表信道63:代表信道114.3 覆盖规划
22、华为WLAN网络覆盖规划包含以下步骤:a) 射频信号模拟测试(可选)由于室内传播环境的复杂性,目前还没有成熟的规划工具可以精确的预测出室内覆盖的情况。另外室内覆盖使用的传播模型相对简单,在实际应用的各种场景需要进行适当的修正、调整以便更准确的进行覆盖预测。根据方案设计和天线布设的原则将模拟信号源架设好,利用场强测试设备进行信号覆盖情况的测试。主要目的:确定该建筑信号传播特点、确定合适的天线位置。b) 室内/外系统勘测通过现场勘测确定站点的基本情况,了解建筑周围的传播环境,以明确选用何种部署方式(室内放装、室内分布和室外覆盖)。各区域的用途,帮助工程师确定容量、覆盖和业务质量要求,避免图上作业的
23、局限。站点勘测可以帮助确定AP、天线安装位置,以及走线路由。根据勘查计划,进行站点无线勘测。勘测过程中需要记录以下信息:周围无线传播环境条件(照片)、建筑空间分割等的现场查看,可能的AP安装位置位置,弱电井可能走线位置。另外勘测中需要询问各空间的用途,判断话务类型、高峰时间。另外注意电梯、出入口人员移动路线。帮助确定容量、切换区的设置。c) 覆盖设计与预测覆盖预测过程和无线站址勘测过程是紧密关联的。在网络规划过程中,覆盖预测通常并不是一次就可以达到网络规划目标,需要进行若干次的反复调整。预测的主要内容包括:输入数据采集,预测工作,预测报告。d) 解决方案和拓扑结构根据建筑的情况确定使用的产品方
24、案,主要方案:室内放装AP,室内AP+DAS覆盖,室外AP+网桥,室外AP+光缆等。还需要确定能否共享存在的室内分布系统,以及共享的方案。并且根据建筑的情况设计室分系统的拓扑、路由等。根据建筑的面积、用途、结构特点,确定信号源的选取和具体的覆盖方案。确定功分器、合路器、天线的射频器件选用。绘制WLAN室分系统的系统原理图(拓扑图)。该部分工作一般是基于建筑的图纸和用途等信息的基础做出,一般没有经过现场勘测,或者少量的勘测。4.4 链路预算WLAN链路预算一般经过以下步骤:l 确定边缘场强l 分析传输模型,确定空间传播损耗公式l 确定空间传播损耗l 根据公式计算覆盖距离,判定是否满足覆盖要求4.
25、4.1 确定边缘场强一般地,在WLAN工程部署中,要求重点覆盖区域内的WLAN信号到达用户终端的电平不低于75dBm。4.4.2 分析传输模型,确定空间传播损耗公式对接收电平的估算通常采用如下公式:其中:PrdB为最小接收电平,即为AP在不同传输速率下的接收灵敏度;PtdB为最大发射功率;GtdB为发射天线增益;GrdB为接收天线增益;PldB为路径损耗(包括空间传播损耗、馈线传播损耗、墙体/玻璃阻挡损耗);4.4.3 确定空间传播损耗实际部署中终端天线增益不可知,为方便计算常忽略接收天线增益,而采用如下公式:到达用户端的信号电平 AP发射功率AP天线增益路径损耗路径损耗包括:l AP到天线间
26、的馈线损耗:适用于室内分布式部署,在室外部署时如果馈线过长也需考虑l WLAN信号的空间损耗:适用于所有部署方式,根据电磁波空间衰减公式计算。空间损耗 92.4+20lgf+20lgd (f:GHz,d:km) 由公式推算可知:空间传输距离100m200m300m400m500m600m1000m2.4GHz信号的空间衰减(dBm)808689.5929495.51005.8GHz信号的空间衰减(dBm)87.693.697.199.6101.6103.1107.6l 墙体/玻璃阻挡:适用于所有部署方式,一般根据经验值判定。2.4GHz电磁波对于各种建筑材质的穿透损耗的经验值如下:钢筋混凝土墙
27、:20-30dB;木制家具、门和其它木板隔墙阻挡2-15dB;厚玻璃(12mm):10dB4.4.4 根据公式计算覆盖距离,判定是否满足覆盖要求 为便于理解链路估算的过程,这里给出一个室外场地覆盖的预算案例:根据WLAN覆盖边缘场强的要求,到达终端用户的信号电平不低于75dBm,500mW AP的输出电平27dBm,天线增益9dBi,距离AP 500m时信号的衰减量94dBm,可知: 27+9-94-58dBm,大于-75dBm,因此在正常情况下,AP可以为500M处用户可以提供满速率接入。4.5 容量规划WLAN的AP设备允许多个用户同时接入,但如果接入用户数目过多,会导致用户体验下降,因此
28、建议一般每个单频11n AP同时接入的用户数量控制在在2030之间为宜,双频AP建议控制在3550个用户。5 华为WLAN解决方案的优势华为早在2000年就投入WLAN 技术和产品领域的研发,是国内首批成为WiFi成员以及WAPI 联盟成员的厂商。华为也是国内WLAN 相关标准制定的积极参与者,与运营商合作先后共同推出了基于SIM认证和Web认证的标准以及相关WLAN 企业标准。 华为WLAN 技术预研团队,在802.11s Mesh 、智能控制和算法等前沿领域深入研究,先后注册和获得多项专利。盒式AC 容量达到业界一流标准,支持CAPWAP硬件转发,性能强劲,可灵活应用于直连式或旁挂式组网,
29、自信面对11n时代海量数据的汹涌冲击;支持设备级和端口级冗余备份,完全满足电信运营网络的高可靠性要求l 插卡式AC最大容量可达14K,业内第一,可直连BRAS,减少用于业务控制的网元数量,简化网络结构,部署快捷、扩容方便;优化业务控制,降低AC与AP中间网络设备的功能性能要求 l FTTW承载WLAN业务数据,利用光纤接入网络支持WLAN网络的广域部署;通过无源光配线网络,减少有源设备的使用,简化网络层次,提高整网可靠性;通过PON网络P2MP的网络结构和高带宽、大分光比的特质,可灵活扩展,支持802.11b/g网络向802.11n网络的平滑演进l 智能天线波束成形技术,可依据用户信号在空间传
30、播的不同路径,最佳地形成方向图,在不同到达方向上给予不同的,实时地形成窄波束对准用户信号,而在其他方向尽量压低旁瓣,采用指向性接收,从而提高系统的容量 l 第三代11n芯片,融入专利技术和算法,提升信号质量,得到更高和更稳定的吞吐量。降低多用户并发下的丢包、时延和抖动,保障性能的领先l AP智能化,开通配置零接触,即插即用;独有负载均衡算法,完美削峰填谷;智能选择信道,自动调整AP功率、速率,绿色节能;可大大简化部署和运维成本l AP人性化工程设计,固定件简单,与友商同类型产品相比,只需一人操作,15分钟安装完成。安装维护效率提升l Dying Gasp机制,支持设备在断电瞬间,保持CPU运行
31、,自动上报“断电告警”,让运维更轻松6 主要产品介绍6.1 NGFW-下一代防火墙+上网行为管理 USG6620USG6600是华为公司面向中小企业、企业分支和连锁机构推出的企业级下一代防火墙。USG6600支持业界最多的6000+应用识别,提供精细的应用层安全防护和业务加速。一机多能,实现多地间的稳定安全互联,为企业提供全面、简单、高效的下一代网络安全防护。获得国际权威测评机构ICSA Labs防火墙与IPS双认证。 功能全面,一机多用,整体拥有成本低; 6000+应用识别,精细管控并优化关键业务体验; 预置防护场景模板,智能策略优化,迅速上手,使用简单; 精细的上网行为管理,杜绝通过文件的
32、数据泄露; 丰富高可靠的VPN特性,确保企业总部和分支间高效安全互联。传统防火墙主要通过端口和IP进行访问控制,下一代防火墙的核心功能依然是访问控制。USG6000在控制的维度和精细程度上都有很大的提高:一体化防护:从应用、用户、内容、时间、威胁、位置6个维度进行一体化的管控和防御。内容层的防御与应用识别深度结合,一体化处理。例如: 识别出Oracle的流量,进而针对性地进行对应的入侵防御,效率更高,误报更少。基于应用:运用多种技术手段,准确识别包括移动应用及Web应用内的6000+应用协议及应用的不同功能,继而进行访问控制和业务加速。例如:区分微信的语音和文字后采取不同的控制策略。基于用户:
33、通过Radius、LDAP、AD等8种用户识别手段集成已有用户认证系统简化管理。基于用户进行访问控制、QoS管理和深度防护。基于位置:与全球位置信息结合,识别流量发起的位置信息;掌控应用和攻击发起的位置,第一时间发现网络异常情况。根据位置信息可以实现对不同区域访问流量的差异化控制。支持根据IP自定义位置越来越多的信息资产连接到了互联网上,网络攻击和信息窃取形成巨大的产业链,这对下一代防火墙的防护范围提出了更高要求。USG6000具备全面的防护功能:一机多能:集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功能于一身,简化部署,提高管理效率。入侵防护(IPS):超过3
34、500+漏洞特征的攻击检测和防御。支持Web攻击识别和防护,如跨站脚本攻击、SQL注入攻击等;防病毒(AV):高性能病毒引擎,可防护500万种以上的病毒和木马,病毒特征库每日更新;数据防泄漏:对传输的文件和内容进行识别过滤。可识别120+种常见文件类型,防止通过修改后缀名的病毒攻击。能对Word、Excel、PPT、PDF、RAR等30+文件进行还原和内容过滤,防止企业关键信息通过文件泄露。SSL解密:作为代理,可对SSL加密流量进行应用层安全防护,如IPS、AV、数据防泄漏、URL过滤等。Anti-DDoS:可以识别和防范SYN flood、UDP flood等10+种DDoS攻击,识别50
35、0多万种病毒。上网行为管理:采用基于云的URL分类过滤,预定义的URL分类库已超过8500万,阻止员工访问恶意网站带来的威胁。并可对员工的发帖、FTP等上网行为进行控制。可对上网记录进行审计。安全互联:丰富的VPN特性,确保企业总部和分支间高可靠安全互联。支持IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等;QoS管理:基于应用灵活的管理流量带宽的上限和下限,可基于应用进行策略路由和QoS标签着色。支持对URL分类的QoS标签着色,例如:优先转发对财经类网站的访问。负载均衡:支持服务器间的负载均衡。对多出口场景,可按照链路质量、链路带宽比例、链路权重基于应用进行
36、负载均衡。虚拟化:支持多种安全业务的虚拟化,包括防火墙、入侵防御、反病毒、VPN等。不同用户可在同一台物理设备上进行隔离的个性化管理。下一代防火墙的防护范围和控制精度比传统防火墙大大增加,这对使用者的经验和技能提出了更高的要求。华为USG6000利用Smart Policy功能降低对使用者的要求,更好的进行防护。Smart Policy主要具备以下功能:快速部署策略:内置场景策略模板,不依赖使用者的经验也能快速地部署常用防护策略。例如:如果希望使用网络存储,管理员仅需基于“使用网盘”这个策略模板,就能建立一系列策略。在策略中,对网盘类应用允许下载并进行病毒检测,但禁止文件上传。智能优化策略:根
37、据内置应用风险库和网络实际流量对已部署的安全策略进行评估和优化,使其符合最小授权原则。在企业遗留大量端口防护策略,需要转换为NGFW使用的应用防护策略时尤其有用。智能精简策略:自动发现重复的和长期没有使用的策略,精简策略规模,简化管理;UTM产品当开启应用层防护时性能下降明显,无法满足当前应用层防护的性能要求。下一代防火墙要求在多重防护的情况下仍保持高性能。USG6000系列下一代防火墙采用全新架构的智能感知引擎(IAE, Intelligence Awareness Engine),采用了一次解析多业务并行处理的架构,确保多重防御下的高性能体验。IAE使用了三大核心技术:一体化描述语言:应用
38、识别、IPS、AV采用统一的描述语言,一次性处理,一次性分析,减少重复的操作;一体化处理架构:不同于UTM对各个安全功能串行处理,USG6000在完成统一解析后,各安全业务检查是并行的,最后做统一处理。每个步骤一次性做好,确保多安全业务开启情况下,对整体性能影响最小;软硬结合一体化:对有规律、大批量、高运算能力要求的报文处理,例如:报文加解密、特征匹配,采用专用多核平台由专用的协处理器硬件处理。对小规模的运算,仍然用软件处理。软硬结合一体化的处理方式让整体性能更高。6.2 7706核心交换机+无线控制器S7700高端智能路由交换机提供有线无线深度融、统一用户管理、网络质量感知iPCA、完善的H
39、-QoS策略、一体化安全等智能业务优化手段,支持100G端口,支持SVF超级虚拟交换机,具备超强扩展性和可靠性。通过部署内置华为首款以太网络处理器ENP的X1E单板,S7700可以升级为敏捷交换机,客户可以享有敏捷交换机带来的创新体验。随板AC,业务单板兼具无线AC功能;整机最大可管理2K AP,32K用户;整机转发性能可达T-bit;统一用户管理功能,支持PPPoE/802.1X/MAC/Portal等多种认证方式,用户、业务可视可控;iPCA网络质量感知,提供秒级的故障检测,检测直接精准到故障端口;SVF超级虚拟交换网,将盒式交换机纵向虚拟为框式交换机板卡,将AP纵向虚拟成端口,整网虚拟化
40、为一台设备进行管理。6.3 POE供电交换机 5700-28TP-PWR-LI智能低功耗,提供灵活可配的标准、基本、深度三种节能模式,是业界首家支持整机休眠的交换机设备;业界首款内置可更换蓄电池的款型实现电池状态可视化管理。主要应用于网络接入层频繁断电的场景,节省UPS成本和空间;电源端口前置款型可满足300mm深的机柜放置,整台设备可前面板单面维护,简化运维且机柜摆放更加灵活省空间。6.4 无线接入点AP4030DN高速可靠的无线接入服务,支持33MIMO,整机最高速率可达1.6Gbps,支持双以太接口的链路聚合;完善的用户接入控制能力,可根据用户组策略,基于用户实施访问控制;高等级的网络安
41、全性,支持WIDS和WIPS;强大的网络特性,支持IPv4/IPv6双协议栈7 应用案列7.1 光大银行昆明分行WLAN项目案例项目场景 中国光大银行成立于1992年8月,1997年1月完成股份制改革,成为国内第一家国有控股并有国际金融组织参股的全国性股份制商业银行。客户需求如下: n 充分利用现网已有设备,实现有线无线网络一体化 n 营业厅内,客户免费接入WLAN,浏览产品信息或办理金融业务。那些不愿意在柜台排队办理业务的市民,可通过手机、iPad等在营业厅内通过WLAN接入,登录网上银行或手机银行,轻松处理金融交易解决方案 n 不改变现网拓扑结构,AC旁挂在核心交换机上 n 按照客户需求,
42、规划两个SSID,一个给客户在体验区使用,一个给行内员工使用;同时,实现无缝漫游 n 利用现有网络,无线网就近接入的原则;同时二级分行的有线网络为无线网络提供一个或多个有线接口,通过一台交换机完成网络接口的扩展,采用PoE供电 n 采用802.1X认证,AP与AC通过隧道协议通信,无线用户的认证点都是放置于认证管理系统上 客户价值 n 银行客户无需排队,即可了解或办理相关业务,提升客户满意度 n 方便用户通过无线接入办理业务,提升工作人员效率,同时降低工作强度 n 简单部署、集中管理、容易维护7.2 昆明长水机场云南东方航空基地WLAN项目案例项目场景 昆明长水国际机场是继北京、上海和广州之后
43、的第四大国家门户枢纽机场,这也让昆明长水国际机场成为了中国西部地区唯一的国家门户枢纽机场。客户需求如下: n 在建设基地园区网的同时,需要对办公区域进行无线覆盖,增强移动办公的灵活性 n 新机场基地有多条互联网出口及集团互联出口,需要保障网络的安全性和带宽的负载均衡 n 昆明长水机场搬迁政府要求在8小时内完成新老机场转场,面临系统切换失败,机场停运的巨大风险和挑战 解决方案 n 在汇聚和核心层都采用虚拟化集群技术,提高网络管理性 n 在核心交换机上配置防火墙板卡,在出口处部署防火墙IPS以及SSL VPN方便用户接入 n 部署近300台AP实现办公区域无线覆盖,并使用华为NAC解决方案对WLA
44、N用户进行完善的认证和管理,提高网络安全性 客户价值 n 昆明机场转场运营无缝衔接,云南东航基地网络切换稳定,运营正常,树立了良好的社会声誉 n 实现了网点的高效、泛在接入。实现了有线、无线一体化的接入,提升了工作效率 n 全冗余设计,提升网络可靠性。保障业务不中断 7.3 百视通WLAN项目案例项目场景 百视通公司(BesTV)是国内领先的IPTV新媒体视听业务运营商、服务商。BesTV在中国IPTV产业中处于领先地位,国际媒体评价BesTV为全球最著名的IPTV产业品牌之一。客户需求如下: n 实现有线无线网络的一体化,保障千兆到桌面 n 在所有楼层进行无线覆盖,在移动办公同时需保障网络的
45、可扩展性 n 需要保障网络的安全性和负载均衡 解决方案 n 使用汇聚交换机集成的SPU板卡作为 AC,负责完成对 AP 设备的管理 n 使用 TSM 来实现对用户的接入认证,并实现对于用户的网络权限的策略控制。未认证时或认证失败时只能访问认证前域;认证通过但如果终端不安全只能访问隔离域;认证通过并且终端安全可以访问认证后域 客户价值 n 为企业员工提供随时、随地的无线接入功能,提高工作效率 n 简单部署、集中管理、容易维护 7.4 中建电力有限公司WLAN项目案例项目场景 中国电力建设集团有限公司是我国唯一提供水利电力工程及基础设施规划、勘测设计、咨询监理、建设管理、投资运营为一体的综合性建设
46、集团。客户需求如下: n 领导登陆专用SSID只需要输入密码,直接进入专用VLAN,拥有较高访问权限 n 其它人员另外一个SSID,跳出对话框,需要输入用户名和密码,根据不同角色进入不同VLAN,不同VLAN赋予不同的权限 n 访客仅能访问外网,不能访问内网 解决方案 n 领导采取PSK认证方式,接入专用SSID,通过ACL控制策略,只需输入密码即可 n 员工采用802.1x认证,接入员工SSID,针对用户的不同角色下发业务VLANn 访客采用802.1x认证,接入员工SSID,分配GUEST VLAN,只能访问有限网络 客户价值 n 领导可以仅输入密码就可以完成认证,省去每次输入密码的繁琐 n 员工和访客使用同一个SSID,减少SSID的管理;并可以通过动态VLAN确保不同的用户群体有不同的访问权限 n 公司员工在办公室,会议室实现三层漫游,业务无中断 7.5 岗头工业园WLAN项目案例