XX單位無線項目設計方案.doc

XX單位無線項目設計方案1.1 項目背景及需求分析XX單位，作為重要的政府機構，網(wǎng)絡的建設要求選用先進、成熟、安全、可靠、可擴展的網(wǎng)絡技術和網(wǎng)絡設備。為了彌補有線網(wǎng)絡覆蓋有限、接入方式靈活差的缺陷，為了給XX單位的工作人員提供簡單快捷的網(wǎng)絡接入能力，XX單位計劃建設一套無線網(wǎng)絡。針對XX單位無線網(wǎng)絡實際需求，本次新建的無線網(wǎng)絡系統(tǒng)需要重點考慮整個系統(tǒng)的高可靠性、高性能和安全性。在設備選型時采用的網(wǎng)絡產(chǎn)品供貨商應是知名品牌，有良好的信譽。1.2 無線局域網(wǎng)（WLAN）概述無線局域網(wǎng)（WLAN）技術于20世紀90年代逐步成熟并投入商用，既可以作傳統(tǒng)有線網(wǎng)絡的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線網(wǎng)絡。對比傳統(tǒng)的有線傳輸解決方案，使用WLAN網(wǎng)絡實現(xiàn)數(shù)據(jù)傳輸具有以下顯著特點：簡易性：WLAN網(wǎng)絡傳輸系統(tǒng)的安裝快速簡單，可極大的減少敷設管道及布線等繁瑣工作；靈活性：無線技術使得WLAN設備可以靈活的進行安裝并調(diào)整位置，使無線網(wǎng)絡達到有線網(wǎng)絡不易覆蓋的區(qū)域；綜合成本較低：一方面WLAN網(wǎng)絡減少了布線的費用，另一方面在需要頻繁移動和變化的動態(tài)環(huán)境中，無線局域網(wǎng)技術可以更好地保護已有投資。同時，由于WLAN技術本身就是面向數(shù)據(jù)通信領域的IP傳輸技術，因此可直接通過百兆自適應網(wǎng)口和企業(yè)內(nèi)部Intranet相連，從體系結構上節(jié)省了協(xié)議轉(zhuǎn)換器等相關設備；擴展能力強：WLAN網(wǎng)絡系統(tǒng)支持多種拓撲結構及平滑擴容，可以十分容易地從小容量傳輸系統(tǒng)平滑擴展為中等容量傳輸系統(tǒng)；隨著WLAN技術的快速發(fā)展和不斷成熟，目前在國內(nèi)外已經(jīng)具有較多的政府機構使用WLAN技術布置無線城域網(wǎng)，進行承載部分政府業(yè)務，諸如：電子政備、消防、公安信息等等。無線局域網(wǎng)技術經(jīng)過十幾年的發(fā)展，已經(jīng)歷了三代技術及產(chǎn)品的發(fā)展。第一代無線局域網(wǎng)主要是采用Fat AP，每一臺AP都要單獨進行配置，費時、費力、費成本；第二代無線局域網(wǎng)融入了無線網(wǎng)關功能但還是不能集中進行管理和配置，其管理性和安全性以及對有線網(wǎng)絡的依賴成為了第一代和第二代WLAN產(chǎn)品發(fā)展的瓶頸，由于這一代技術的AP儲存了大量的網(wǎng)絡和安全的配置，包括加密的鑰匙，Radius client的安全密碼 (secret) 等，而AP又是分散在建筑物中的各個位置，一旦AP的配置被盜取讀出并修改，其無線網(wǎng)絡系統(tǒng)就失去了安全性。另外由于AC或無線網(wǎng)關的硬件多數(shù)是基于Pentium架構的，所以當用戶接入數(shù)量 (IP sessions)增多時，無線網(wǎng)的性能會急劇下降，時常會發(fā)生掉線或死機情況。在這樣的環(huán)境下，基于無線交換機技術的第三代WLAN產(chǎn)品應運而生。第三代無線局域網(wǎng)采用無線交換機和FIT AP的架構，對傳統(tǒng)WLAN設備的功能做了重新劃分，將密集型的無線網(wǎng)絡和安全處理功能轉(zhuǎn)移到集中的 WLAN 交換機中實現(xiàn)，同時加入了許多重要新功能，諸如無線網(wǎng)管、AP間自適應、無線安管、RF監(jiān)測、無縫漫游以及Qos。，使得無線局域網(wǎng)的網(wǎng)絡性能、網(wǎng)絡管理和安全管理能力得以大幅提高。FAT AP與FIT AP兩種組網(wǎng)方案對比1.3 無線網(wǎng)絡建設原則結合WLAN的實際應用和發(fā)展要求，主要遵循以下系統(tǒng)總體原則： 實用性原則：以現(xiàn)行需求為基礎，充分考慮發(fā)展的需要來確定系統(tǒng)規(guī)模。 安全性原則：對用戶的安全以及網(wǎng)絡的安全要求較高。 可靠性原則：系統(tǒng)設計能有效的避免單點失敗，在設備的選擇和關鍵設備的互聯(lián)時，應提供充分的冗余備份，一方面最大限度地減少故障的可能性，另一方面要保證網(wǎng)絡能在最短時間內(nèi)修復。 成熟和先進性原則：由于WLAN應用于企業(yè)和運營網(wǎng)絡仍然屬于新新技術，需要及時將新技術引用進來，更好的開展業(yè)務，同時也要求保證網(wǎng)絡與業(yè)務的可靠性。 規(guī)范性原則：系統(tǒng)設計所采用的技術和設備應符合WLAN國際標準、國家標準，為系統(tǒng)的擴展升級、與其他系統(tǒng)的互聯(lián)提供良好的基礎。 開放性和標準化原則：在設計時，要求提供開放性好、標準化程度高的技術方案；設備的各種接口滿足開放和標準化原則。 可擴充和擴展化原則：所有系統(tǒng)設備不但滿足當前需要，并在擴充模塊后滿足可預見將來需求，如帶寬和設備的擴展，應用的擴展和辦公地點的擴展等。保證建設完成后的系統(tǒng)在向新的技術升級時，能保護現(xiàn)有的投資。 可管理性原則：整個系統(tǒng)的設備應易于管理，易于維護，操作簡單，易學，易用，便于進行系統(tǒng)配置，在設備、安全性、數(shù)據(jù)流量、性能等方面得到很好的監(jiān)視和控制，并可以進行遠程管理和故障診斷。二、XX單位網(wǎng)絡方案2.1 無線網(wǎng)絡系統(tǒng)整體建設方案整個XX單位無線網(wǎng)絡系統(tǒng)結構拓撲圖如下圖所示：如上圖所示，筆記本、臺式電腦、手機、IPAD等移動設備客戶端通過無線連接AP，各樓層AP分別上連到樓內(nèi)的H3C S5120 POE交換機上；POE交換機通過現(xiàn)有以太網(wǎng)線路與原核心交換機互連；AC旁掛在原核心交換機上， AC對所有的AP 進行統(tǒng)一的配置及策略下發(fā)，而不必對AP一一去進行單獨配置，同時通過網(wǎng)管平臺提供多種用戶的認證和接入功能，解決了不便于安裝客戶端用戶的安全認證問題。在外網(wǎng)無線方面我們提供了先進的基于智能無線交換架構的整體解決方案，為XX單位工作人員及參加培訓的人員的筆記本、手機、IPAD等移動設備提供接入網(wǎng)絡的能力,臺式機通過安裝USB無線網(wǎng)卡的方式接入到無線網(wǎng)絡。對終端無線接入采用WPA加密技術，并對接入用戶進行web portal管理認證，只有通過了用戶名和密碼驗證過的用戶才能連接到無線網(wǎng)絡中。本項目采用AC+FIT AP設計方案，部署WX5510E+WA2610H/WA3628i/WA2620i/WA2610X(室外)的方式組網(wǎng)，構建高速，高可靠的無線網(wǎng)絡系統(tǒng)最高的無線接入速率達到45OM。在供電部分，AP采用POE的供電方式。POE接入交換機通過以太網(wǎng)線直接對AP進行供電，無需本地取電，既節(jié)省了重新布線的工作，也方便美觀，對于主樓和東樓由于AP數(shù)量數(shù)多，所以這次我們直接新增5臺了S5120-28C/52C-PWR 全千兆POE供電交換機，一方面提供AP的POE供電，更方面的部署，另一方面也提高網(wǎng)絡的處理速度及安全防護；而對于老干處和會議廳由于新增的AP數(shù)量少，我們新增4個POE供電盒來供電，以節(jié)省用戶的投資，并方便部署。在接入安全方面:，通過AP、無線控制器及接入交換機及UAM 用戶接入管理組件組成一個立體的安全防護。接入用戶需要通過網(wǎng)頁的方式進行認證，只有合法的用戶才被允許接入，不合法的用戶無法接入，這大大提高了整個無線網(wǎng)絡的安全性。同時UAM組件還能提供針對訪客等臨時接入賬號的訪客管理功能，訪客管理員可創(chuàng)建來賓賬號并申請訪客接入網(wǎng)絡服務。企業(yè)訪客通過批準的訪客賬號訪問企業(yè)網(wǎng)絡，該賬號將在超過保留時長后失效,還能對有線、無線接入用戶可以提供統(tǒng)一的接入認證、授權功能，從而對有線、無線用戶使用統(tǒng)一帳號進行管理。在對無線接入用戶接入綁定限定的基礎上，針對無線接入特性，提供了無線SSID綁定功能。在管理方面:由于無線網(wǎng)絡的靈活性和不可見性，因此，對無線網(wǎng)絡的管理需求也較有線網(wǎng)絡更加強烈，而且無線網(wǎng)絡直接面對最終用戶，對管理系統(tǒng)穩(wěn)定性、實時性、有效性要求都較高。因此，我們通過配置的WSM無線運營管理組件依托iMC智能管理平臺，實現(xiàn)有線無線一體化的管理，在iMC系統(tǒng)全面的有線網(wǎng)絡管理的基礎上，為管理員提供無線網(wǎng)絡管理能力。管理員無需重新搭建IT管理平臺，即可在原有的有線網(wǎng)絡管理系統(tǒng)中增加無線管理功能，與有線管理平臺統(tǒng)一部署，節(jié)省用戶投入，節(jié)約維護成本。2.1.1 無線AP設計在無線AP設計時充分考慮XX單位需求以及結合H3C多年行業(yè)無線覆蓋經(jīng)驗，在本目建設中無線AP的設計針對不同區(qū)域采用不同無線AP進行無線覆蓋，以獲得更好的無線覆蓋效果。2.1.2 主樓/東樓辦公室無線AP設計辦公室設計時考慮到辦公環(huán)境的安靜性，一般均采用實心建設結構設計，對于主樓和東樓這樣的多辦公室環(huán)境，可以采用房間室內(nèi)分布式系統(tǒng)安裝設計均存在施工復雜、施工對辦公影響大。因此，在辦公區(qū)我們建議采用H3C新一代入墻式無線WA2610H，每兩房間部署一臺H3C WA2610H無線AP，可以為客戶提供良好、舒適的無線接入體驗同時能夠提供良好的無線網(wǎng)絡。H3C WA2610H-GN無線接入點是杭州華三通信技術有限公司(H3C)自主研發(fā)的新一代面板式無線接入設備(以下簡稱AP)，可以安裝在任意86mm面板的暗盒之上，不破壞原有裝修，安裝方便，可管理能力強。WA2610H-GN適合于學各種密集房間場所，解決了在這些場景中，傳統(tǒng)AP布放方式信號質(zhì)量不佳的問題，并極大的減少了安裝成本以及實施時所帶來的運營成本，WA2610H-GN內(nèi)置的IEEE 802.11b/g/n 無線模塊，最高支持150Mbps 傳輸速率，可連接筆記本、平板電腦、智能手機等無線終端設備。WA2610H 提供兩個網(wǎng)口（其中一個可以支持POE 對外供電）和一個電話接口，滿足房間VOIP、IPTV 和智能家電的擴展需求。采用內(nèi)置天線隱藏指示燈設計，使房間內(nèi)部的環(huán)境不受設備工作影響，卡線設計讓安裝更方便，符合施工人員習慣。2.1.3 大辦公室/多功能廳/主任會議室無線AP設計針對大辦公室/多功能廳/主任會議室這此類位置的覆蓋主要是高密度接入需求。因此，我們建議在此類位置根據(jù)面積的大小直接選擇H3C WA2620i-FIT和WA3628i無線AP作為該區(qū)域的無線AP，采用直放式進行安裝。H3C WA3600 i系列無線產(chǎn)品是杭州華三通信技術有限公司(H3C)自主研發(fā)的新一代基于3-Streams 11n MIMO技術的能提供450Mbps的無線傳輸速率以及整機千兆接入能力千兆高速無線接入設備，可提供相當于傳統(tǒng)802.11a/g網(wǎng)絡10倍以上的無線接入速率，能夠覆蓋更大的范圍。該系列無線產(chǎn)品上行鏈路采用千兆以太網(wǎng)接口，突破了百兆以太網(wǎng)接口的限制，使無線多媒體應用成為現(xiàn)實。WA3628(雙頻增強)內(nèi)置終端感知型硬件智能天線陣列(最高可達4096種波形)，外型小巧美觀，安裝方式靈活，適用于壁掛、吸頂?shù)榷喾N安裝方式。H3C WA2600 i系列無線產(chǎn)品是杭州華三通信技術有限公司(H3C)自主研發(fā)的新一代基于終端感知型硬件智能天線覆蓋技術的超百兆高速無線接入設備(以下簡稱AP)，可提供相當于傳統(tǒng)802.11a/b/g網(wǎng)絡6倍以上的無線接入速率，能夠覆蓋更大的范圍。該系列無線產(chǎn)品上行鏈路采用千兆以太網(wǎng)接口，突破了百兆速率的限制，使無線多媒體應用成為現(xiàn)實。2.1.4 覆蓋飯?zhí)脜^(qū)域無線AP設計在飯?zhí)梅矫?，由于飯?zhí)迷瓉頉]有XX單位的外網(wǎng)網(wǎng)絡，如從新布線工程較大，所以我們設計采用在主樓的3層用兩臺H3C WA2610X-GNP室外AP并配上室外的定向天線來覆蓋,這樣可以省去重新布線的麻煩，部署十分方便室外區(qū)域無線覆蓋主要需要考慮周圍環(huán)境的復雜性，同時還需要考慮AP一系列的防雷、防水、工作溫度等相關的控制。因此，在本次項目室外無線AP覆蓋我們建議采用H3C WA2610X室外專用無線AP作為本次項目室外無線覆蓋AP,用于覆蓋飯?zhí)?。H3C WA2610X為H3C室外專用大功率無線AP，采用500mw大功率可調(diào)設計在室外復雜環(huán)境可以獲得較好的無線覆蓋效果。同時，H3C WX2610X為室外專用AP可以直接在不加裝任何防水、防雷裝置的情況下直接安裝在室外，也能夠適應室外較大的溫差變化等特征。2.2 AP點數(shù)分布設計2.2.1 主樓AP分布設計在主樓每層的房間數(shù)量很多，為保證每個房間的信號，我們共采用79個H3C WA2610H面板式AP來覆蓋，基本每兩個房間，我們就用一個AP來覆蓋,這樣即可以，達到很好的信號覆蓋效果,也可以節(jié)省用戶的投資。另外在3-9層每層樓都有一個大辦公室里面細分了多個小辦公室，小辦公室的隔離墻沒封到頂，所以我們可以直接在大辦公室的上空中間位置放置一個WA2620AP來進行全覆蓋。具體見下表。主樓AP分布表樓棟樓層房間數(shù)量多辦公室房會議室外網(wǎng)(POE供電)24口交換機外網(wǎng)(POE供電)48口交換機面板AP數(shù)量2620或3628備注主樓一層74二層74三層1911103其中兩個用于連室外天線覆蓋食堂四層191101五層191101六層1911101七層191101八層201101九層1911101十層21十一層0小2.2 東樓AP分布設計另外在四層和七層分別有個多功能廳和主任會議室，最多時人數(shù)會達到30人以上，對于這些高密度的地方，我在東樓方面多，為保證每個房間的信號，我們共采用37個H3C WA2610H面板式AP來覆蓋，對于小的房間每兩個房間，我們就用一個AP來覆蓋；對于主任辦公室則基本是第個房間一個AP，達到很好的信號覆蓋效果,也可以節(jié)省用戶的投資。另外在3層的4個會議室原來已有H3C的WA2620AP進行信號覆蓋，我們這次可以直接復用原來的設備，以節(jié)省用戶的投資；們設計每個房間用兩個AP進行覆蓋；這里我們選配一個H3C WA3628i 高速AP，該AP能提供空間3流(3-Streams) 450Mbps的無線傳輸速率以及整機千兆接入能力，是相同環(huán)境下802.11a/ g產(chǎn)品的10倍左右。通過內(nèi)置集成終端感知型硬件智能天線覆蓋技術，可以有效地從覆蓋范圍、接入密度、運行穩(wěn)定等方面提供更高性能的接入服務,另外再配合一個WA2620iAP來進行負載分擔和全覆蓋。東樓AP分布表樓棟樓層房間數(shù)量多辦公室房會議室外網(wǎng)(POE供電)24口交換機外網(wǎng)(POE供電)48口交換機面板AP數(shù)量2620或3628備注東樓一層(大堂)二層三層4四層11162一個用2620另一個用3628五層147六層1015七層7142一個用2620另一個用3628八層74九層714十層74十一層63小計6906203742.2.3 飯?zhí)肁P分布設計在飯?zhí)梅矫?，主要需要覆蓋2至4樓約12個房間，由于飯?zhí)迷瓉頉]有XX單位的外網(wǎng)網(wǎng)絡，如從新布線工程軟大，所以我們設計采用在主樓的3層用兩臺H3C WA2610X-GNP室外AP并配上室外的定向天線來覆蓋,這樣可以省去重新布線的麻煩，部署十分方便，但需要注意不靠主樓方向的方間信號可能覆蓋不到。2.2.4 會議廳層AP分布設計在會議廳方面，原來已有H3C的WA2620AP進行信號覆蓋，我們這次可以直接復用原來的設備，以節(jié)省用戶的投資；另外在一層大堂和貴賓室則需要新增一個WA2620iP來覆蓋。會議廳AP分布表樓棟樓層房間數(shù)量多辦公室房會議室外網(wǎng)(POE供電)24口交換機外網(wǎng)(POE供電)48口交換機面板AP數(shù)量2620或3628備注會議廳一層(大堂)111會議廳最多時約100人，現(xiàn)已有6個H3C WA2620，準備復有小計11000012.2.5 老干處AP分布設計在老干處方面多，共有4個房間，我們共采用2個H3C WA2610H面板式AP來覆蓋，對于每兩個房間，我們就用一個AP來覆蓋；樓棟樓層房間數(shù)量多辦公室房會議室外網(wǎng)(POE供電)24口交換機外網(wǎng)(POE供電)48口交換機面板AP數(shù)量2620或3628備注老干處一層42小計40000202.2.6 XX單位整體AP詳細分布表整體匯總表樓棟樓層房間數(shù)量多辦公室房會議室外網(wǎng)(POE供電)24口交換機外網(wǎng)(POE供電)48口交換機面板AP數(shù)量2620或3628備注主樓一層74二層74三層1911103其中兩個用于連室外天線覆蓋食堂四層191101五層191101六層1911101七層191101八層201101九層1911101十層21十一層0小計1507012799東樓一層(大堂)二層三層4四層11162一個用2620另一個用3628五層147六層1015七層7142一個用2620另一個用3628八層74九層714十層74十一層63小計690620374飯?zhí)枚?用主樓室外對射來覆蓋三層4用主樓室外對射來覆蓋四層4用主樓室外對射來覆蓋小計12000000會議廳一層(大堂)111會議廳小計1100001老干處一層42小計4000020合計2368632118142.3 無線網(wǎng)絡組網(wǎng)模式設計根據(jù)XX單位對此次無線網(wǎng)絡建設提出的需求，此次無線網(wǎng)絡設計采用的是瘦AP加無線控制器的解決方案，利用無線控制器對AP進行統(tǒng)一的配置和控制。FIT AP（瘦AP）組網(wǎng)最大的優(yōu)點在于AP本身零配置，AP上電后會自動從無線控制器下載軟件版本和配置文件，同時無線控制器會自動調(diào)節(jié)AP的工作信道以及發(fā)射功率。另外，通過無線控制器的RF掃描探測熱點地區(qū)Rouge AP，可以及時排除其他AP存在的干擾，保障AP的穩(wěn)定運行。在網(wǎng)絡管理方面，網(wǎng)管可以只通過管理無線控制器設備就可以達到控制AP的效果，極大的減少了無線網(wǎng)絡后期維護和管理的工作量。使用無線控制器+FIT AP時，AP在啟動后會自動通過DHCP方式獲取IP地址，并自動搜尋可關聯(lián)的無線控制器，在和無線控制器建立CAPWAP隧道之后會自動從無線控制器下載配置文件和更新軟件版本。在AP的接入方面，H3C擁有智能射頻管理，當某一個AP出現(xiàn)故障時，周圍的其他AP會自動調(diào)整功率，對該部分區(qū)域進行重新的信號覆蓋，保證信號的良好覆蓋。而當有非法AP進入無線網(wǎng)絡造成信號干擾時，H3C智能射頻管理系統(tǒng)可以定位出該AP的位置，以便及時加以排除。FIT AP自動射頻調(diào)整功能示意圖無線控制器可以設定AP間對接入用戶進行負載分擔，當無線控制器發(fā)現(xiàn)AP的負載超過設定的門限值以后，對于新接入的用戶無線控制器會自動計算此用戶周圍是否還有負載較輕的AP可供用戶接入，如果有則AP會拒絕用戶的關聯(lián)請求，用戶會轉(zhuǎn)而接入其他負載較輕的AP。如圖所示：H3C WLAN智能負載分擔H3C公司創(chuàng)新性地支持智能負載均衡技術，保證只對處于AP覆蓋重疊區(qū)的無線用戶才啟動AP負載均衡功能，有效的避免誤均衡的出現(xiàn)。H3C WLAN智能負載分擔H3C FIT AP方案還支持無線入侵檢測。當有第三方的AP仿冒SSID時，無線控制器會通過AP的反饋，迅速得到相應的信息，并上報網(wǎng)管，采取相應的信息。管理員還可以對該設備發(fā)起攻擊，使該第三方設備無法連接上相應的用戶。H3C無線入侵檢測示意圖2.4 無線AP功率自動調(diào)整傳統(tǒng)的射頻功率控制方法只是靜態(tài)地將發(fā)射功率設置為最大值，單純地追求信號覆蓋范圍，但是功率過大可能導致對其他無線設備造成不必要的干擾。因此，需要選擇一個能平衡覆蓋范圍和系統(tǒng)容量的最佳功率。功率調(diào)整就是在整個無線網(wǎng)絡的運行過程根據(jù)實時的無線環(huán)境情況，動態(tài)地分配合理的功率。當?shù)谝淮伍_始運行的時候，它使用最大傳輸功率。當從其他鄰居（鄰居指的是AP能探測到的且必須是由同一AC管理）處得到報告時，功率是否增加或減少取決于探測的結論：1、在增加鄰居時，功率會減小。如下圖所示，覆蓋同一面積區(qū)域，當增加AP 4后，達到缺省的最大鄰居數(shù)3（此參數(shù)可配置），運行功率調(diào)整功能，可以看到調(diào)整后功率小于使用三個AP時需要的功率。功率減小示意圖2、在修復鄰居AP離線造成的信號覆蓋黑洞時，功率會增加。如圖所示。功率增大示意圖在本方案設計中采用無線功率自動調(diào)整方法來實現(xiàn)覆蓋區(qū)域優(yōu)良的無線覆蓋。配置功率自動調(diào)整后AP會從其他鄰居（鄰居指的是AP能探測到的、并且必須是由同一AC管理的其他AP）處得到通道測量報告時，功率是否增加或減少取決于探測的結論。在設備第一次選擇功率時都會選擇最大功率，然后根據(jù)實際情況進行功率調(diào)整配置自動功率調(diào)整后。當沖突嚴重時，AC會在每一次優(yōu)化間隔后（間隔由命令calibration-interval指定），把調(diào)整結果應用到AP上。以后每隔一段時間AC會自動根據(jù)沖突情況進行功率調(diào)整。2.5無線網(wǎng)管設計2.5.1 WSM無線管理組件產(chǎn)品簡介近幾年來，網(wǎng)絡已經(jīng)融入到人類生活的方方面面，生產(chǎn)辦公、交通運輸、醫(yī)療衛(wèi)生、休閑娛樂無一不在使用網(wǎng)絡，隨著網(wǎng)絡的快速發(fā)展，網(wǎng)絡業(yè)務層出不窮，人們越來越多地需要時時刻刻地能夠接入網(wǎng)絡，于是筆記本電腦用戶日漸增多，手機、PDA不斷普及，更多的便攜式網(wǎng)絡接入設備進入人們的視線，而無線網(wǎng)絡以其施工簡單、接入方便逐漸被人們所喜愛。這種情況下，傳統(tǒng)的有線網(wǎng)絡連接形式已經(jīng)無法應付新的生活方式所帶來的挑戰(zhàn)。作為接入層網(wǎng)絡，無線網(wǎng)絡維護工作量較大，加之無線網(wǎng)絡的靈活性和不可見性，對無線網(wǎng)絡的管理需求也較有線網(wǎng)絡更加強烈。無線網(wǎng)絡直接面對最終用戶，對管理系統(tǒng)穩(wěn)定性、實時性、有效性要求都較高。WSM無線運營管理組件依托iMC智能管理平臺，實現(xiàn)有線無線一體化的管理，在iMC系統(tǒng)全面的有線網(wǎng)絡管理的基礎上，為管理員提供無線網(wǎng)絡管理能力。管理員無需重新搭建IT管理平臺，即可在原有的有線網(wǎng)絡管理系統(tǒng)中增加無線管理功能，與有線管理平臺統(tǒng)一部署，節(jié)省用戶投入，節(jié)約維護成本。產(chǎn)品特點H3C無線運營管理組件（WSM）在下一代業(yè)務軟件平臺iMC的基礎上進行開發(fā)，不僅為管理員提供了靈活的組件選擇，同時符合業(yè)界主流的SOA架構，具備良好的擴展性，能夠滿足客戶網(wǎng)絡管理不斷發(fā)展的需求?；赪eb的管理系統(tǒng)，為無線業(yè)務管理者提供了簡便、友好的管理平臺。與iMC智能管理平臺及其它組件配合，還可實現(xiàn)無線設備的面板管理、故障管理、性能監(jiān)控、軟件版本管理、配置文件管理、接入用戶管理等功能，并可對網(wǎng)絡中的其它設備進行統(tǒng)一管理，真正實現(xiàn)有線無線一體化管理。該組件的主要功能和特點如下：1. 無線有線一體化管理H3C無線運營管理組件（WSM）作為iMC智能管理中心的無線業(yè)務管理核心，對于網(wǎng)絡中的AC、FAT AP、AC、FIT AP、移動終端等無線設備與有線設備進行一體化集中管理，全網(wǎng)設備信息和狀態(tài)一目了然。網(wǎng)絡資源通過多種視圖進行查看，視圖內(nèi)分組管理，將規(guī)模巨大的無線接入設備有效組織，便于管理員維護。2. 多樣化的拓撲管理H3C無線運營管理組件（WSM）中的無線業(yè)務邏輯拓撲幫助管理員直觀了解網(wǎng)絡部署情況及設備/鏈路當前狀態(tài)。系統(tǒng)可根據(jù)不同的方式組織資源，有效進行拓撲分組、真實組織全網(wǎng)資源。物理位置視圖中管理員可根據(jù)需要創(chuàng)建多緯度、多層次的物理位置結構，并在指定建筑物底圖上根據(jù)真實情況擺放設備，逼近真實網(wǎng)絡環(huán)境。無線有線一體化拓撲3. 無線終端定位和漫游記錄審計H3C無線運營管理組件（WSM）可以直接在拓撲圖中對移動終端的信息進行查看，包括MAC地址、信號強度、發(fā)射速率集、RSSI、SSID、使用信道、所在AC設備、所在AP設備等，并能查看各移動終端的全部漫游記錄，使管理員隨時了解最終接入用戶的情況，并對其接入軌跡進行審計。無線終端漫游記錄審計4. RF覆蓋管理和無線網(wǎng)絡規(guī)劃在實際無線環(huán)境的部署和維護中，需要關注無線設備的RF范圍、覆蓋管理以及無線網(wǎng)絡規(guī)劃擴容問題。H3C無線運營管理組件（WSM）可以用很直觀的拓撲圖表示出無線網(wǎng)絡中的RF狀況。無線RF覆蓋狀況5. 無線入侵檢測和防護無線網(wǎng)絡靈活多變，并且基礎設施不可見，因此比有線網(wǎng)絡更容易遭到越權使用。對于這類問題，H3C無線運營管理組件（WSM）提供了Rogue設備檢測功能，可對無線入侵進行檢測，可明確顯示非法接入設備，并對其進行信息查詢、加入黑名單及發(fā)起攻擊等動作。無線入侵檢測和防護6. 豐富的無線統(tǒng)計報表對網(wǎng)絡進行運營管理需要對網(wǎng)絡進行全方位的監(jiān)控，從網(wǎng)絡各種性能指標、告警指標中進行智能的統(tǒng)計和分析，才能有效從整體對網(wǎng)絡狀況進行衡量。H3C無線運營管理組件（WSM）提供了豐富的無線統(tǒng)計報表查詢和定制功能，以幫助管理員對網(wǎng)絡進行綜合而全面的管理。無線業(yè)務報表展示2.5.2 UAM用戶接入組件產(chǎn)品簡介業(yè)界傳統(tǒng)的網(wǎng)絡管理、用戶管理軟件各自發(fā)展已經(jīng)較為完善，網(wǎng)絡管理系統(tǒng)關注于網(wǎng)絡基礎資源的管理，包括路由器、交換機、服務器等，而用戶管理則關注于對當前正在使用網(wǎng)絡基礎資源的用戶的管理，包括對用戶身份的認證、對用戶信息的組織管理等，但實際上網(wǎng)絡和用戶是有機融合的整體，需要統(tǒng)一集中管理。iMC智能管理中心的平臺組件實現(xiàn)了完善的網(wǎng)絡設備管理功能，在此的基礎上，iMC智能管理中心用戶管理組件將管理的范疇從網(wǎng)絡設備延展到了網(wǎng)絡用戶的管理，通過網(wǎng)絡設備管理和用戶管理的深度融合和聯(lián)動，在統(tǒng)一的平臺上實現(xiàn)了用戶、網(wǎng)絡的集中管理。產(chǎn)品特點iMC智能管理中心除了實現(xiàn)基礎的用戶管理和網(wǎng)絡管理功能外，最大的特色在于實現(xiàn)了兩者之間的有機融合，在統(tǒng)一的操作界面上同時完成網(wǎng)絡、用戶的管理。 集中化的設備資源和用戶資源管理 除對網(wǎng)絡設備的統(tǒng)一管理外，iMC也對用戶基本信息進行集中維護，包括用戶姓名、證件號碼、通訊地址、電話、電子郵件、用戶分組；并提供用戶附加信息管理功能，管理員可根據(jù)網(wǎng)絡運營的習慣進行用戶信息定制，如學校可以定制學號、年級等信息，企業(yè)可以定制部門、職務等信息。 設備和用戶的統(tǒng)一分組管理 支持設備和用戶分組功能，通過對設備資源和用戶進行分組管理，系統(tǒng)管理員方便的分配其他管理員的管理權限，便于職責分離。 接入業(yè)務服務和用戶分組可靈活對應，使得特定分組用戶才能配置對應的特定服務，便于管理員進行接入業(yè)務管理。 用戶管理與網(wǎng)絡設備管理相融合，用戶管理操作更簡單 接入設備列表中可以直接看到用戶相關信息，提高了操作員日常維護的效率。 設備選定后可直接對其進行用戶操作，比如，針對某個接入設備，將其所掛的用戶全部下線處理等。 在線用戶列表中提供接入設備查看入口，可查看當前在線用戶所對應的接入設備的詳細信息，比如，對應的基本信息、告警、性能狀況等。 網(wǎng)絡設備管理和用戶管理的全面融和，使得操作更友好，全面提升操作員操作體驗。 支持多種接入及認證方式，適合多種接入組網(wǎng)場景及應用場景 支持802.1x、VPN接入等多種認證接入方式。 支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多種身份驗證方式，適應不同安全要求的應用場景。 支持用戶與設備IP地址、接入端口、VLAN、用戶IP地址和MAC地址等硬件信息的綁定認證，增強用戶認證的安全性，防止帳號盜用和非法接入。 支持與Windows域管理器、第三方郵件系統(tǒng)（必須支持LDAP協(xié)議）的統(tǒng)一認證，避免用戶記憶多個用戶名和密碼。 支持端點準入防御（EAD）解決方案，確保所有接入網(wǎng)絡的用戶終端符合企業(yè)的安全策略。 嚴格的權限控制手段，強化用戶接入控制管理 基于用戶的權限控制策略，可以為不同用戶定制不同網(wǎng)絡訪問權限。 可以控制用戶的上網(wǎng)帶寬（QoS；802.1x認證支持）、限制用戶同時在線數(shù)、禁止用戶設置和使用代理服務器，有效防止個別用戶對網(wǎng)絡資源的過度占用。 支持最大閑置時長限制。 可以實現(xiàn)對用戶ACL、VLAN的控制，限制用戶對內(nèi)部敏感服務器和外部非法網(wǎng)站的訪問（802.1x認證支持）。 可以限制用戶IP地址分配策略，防止IP地址盜用和沖突。 可以限制用戶的接入時段和接入?yún)^(qū)域，用戶只能在允許的時間和地點上網(wǎng)。 可以限制終端用戶使用多網(wǎng)卡和撥號網(wǎng)絡，防止內(nèi)部信息泄露。 可以限制用戶必須使用專用安全客戶端，并強制自動升級，確保認證客戶端的安全性。 詳盡的用戶監(jiān)控，強化對終端用戶的監(jiān)視控制 iMC用戶管理組件提供強大的“黑名單”管理，可以將惡意猜測密碼的用戶加入黑名單，并可按MAC、IP地址跟蹤非法行為的來源。 管理員可以實時監(jiān)控在線用戶，強制非法用戶下線。 支持消息下發(fā)，管理員可以向上網(wǎng)用戶發(fā)布通知消息，如“系統(tǒng)升級，網(wǎng)絡將在10分中后切斷”、“您的密碼遭惡意試探，請注意保護密碼安全”等。 iMC用戶管理組件記錄認證失敗日志，便于方便定位用戶無法認證通過的原因。 集中方便的接入業(yè)務用戶管理，簡化管理員維護操作 基于服務的用戶分類管理，用戶的認證綁定策略、安全策略、訪問權限均封裝于服務中，簡化管理員的操作，保證網(wǎng)絡管理模式的統(tǒng)一。 接入用戶相關的管理動作集中化，界面對操作員來說更友好、更美觀易用。 靈活的業(yè)務及運行環(huán)境參數(shù)調(diào)整，適應不同的運行及應用環(huán)境 系統(tǒng)參數(shù)配置，提供業(yè)務相關的常用參數(shù)信息配置功能。 策略服務器參數(shù)配置，提供策略服務器及安全管理相關的參數(shù)信息配置功能。 運行參數(shù)配置，提供系統(tǒng)運行環(huán)境相關的路徑、數(shù)據(jù)庫屬性等基本信息的能。 證書文件配置，提供證書認證配置信息功能。 用戶提示信息配置，提供給用戶的相關提示信息配置功能。 客戶端自動運行任務配置，提供配置客戶端認證后自動運行相關程序的配能。 用戶密碼控制策略配置，提供配置用戶密碼的控制策略配置功能。 融合的接入設備管理，操作簡單、管理方便 接入設備配置與iMC ACL Manager組件的協(xié)同，選定接入設備后，可直接為此設備進行ACL配置；同時，在接入設備列表中，可查看其對應的ACL部署信息，便于快速部署及開通業(yè)務接入業(yè)務 為接入設備提供查詢設備明細信息的鏈接，可通過簡單的鼠標點擊看到接入設備的詳細信息，比如對應的基本信息、告警、性能狀況等。 接入設備管理與拓撲管理的融合，拓撲中可以清晰的顯示出接入設備，查看接入設備相關信息，并可通過鼠標點擊方式，將此接入設備設置為非接入設備。 訪客管理功能介紹網(wǎng)絡訪客接入管理功能作為H3C UAM解決方案的組成部分，可有效幫助山莊、各種接入方式下的訪客安全接入管理問題，以某大型山莊使用H3C網(wǎng)絡訪客管理為例，訪客的網(wǎng)絡的使用流程如圖2所示。圖1 H3C訪客管理流程H3C訪客管理功能具有以下特點：1. 全面的接入方式支持。無論訪客使用有線網(wǎng)絡還是無線網(wǎng)絡，筆記本還是平板電腦，均可有效控制其接入權限。2. 靈活的訪客安全策略管理。通過UAM系統(tǒng)對訪客的終端安全進行管理，可靈活的根據(jù)訪客身份定制安全策略并實施?？扇芙饪蛻舳说氖褂?，實現(xiàn)了安全檢查的自動化。3. 高效的訪客帳號管理方式。IT管理員可以根據(jù)實際要求將普通員工、前臺、門衛(wèi)等山莊內(nèi)部人員授權為訪客管理員，由訪客管理員負責各自權限內(nèi)的訪客帳號管理，極大降低了IT管理員的工作量。4. 完備的訪客日志審計功能。訪客離開山莊后，其訪問日志仍可按系統(tǒng)設置的保留時長保存，供IT管理員審計。同時，訪客管理員的操作日志也被詳細記錄，可供查詢和管理。5. 開放的SOA架構。H3C iMC訪客管理系統(tǒng)使用開放SOA架構設計，提供了豐富的API，可方便的同山莊其它應用系統(tǒng)集成，提高了山莊管理效率。6. 一體化的解決方案。作為UAM系統(tǒng)的一部分，實現(xiàn)了山莊員工網(wǎng)絡接入、訪客網(wǎng)絡接入和終端安全控制的統(tǒng)一管理，為山莊提供了網(wǎng)絡接入控制的一體化解決方案，降低了山莊的擁有成本。三 H3C方案的特點與優(yōu)勢3.1 H3C Fit AP方案的特點3.1.1 智能射頻管理每個AP上電時，無線控制器會根據(jù)AP的鄰居關系動態(tài)調(diào)整AP工作的信道和發(fā)射功率，在保證覆蓋的前提下保證AP間的干擾最小。當AP覆蓋區(qū)域受到外界強信號干擾時，無線控制器會控制AP自動切換到合適的工作信道以規(guī)避干擾信號。當覆蓋區(qū)域內(nèi)的某個AP發(fā)生故障而造成覆蓋黑洞時，無線控制器會自動調(diào)整相鄰的AP的發(fā)射功率以消除黑洞區(qū)域，當故障AP恢復工作后無線控制器可以自動調(diào)整鄰居AP的發(fā)射功率恢復原始工作狀態(tài)。3.1.2 智能負載均衡無線控制器可以設定AP間對接入用戶進行負載分擔，負載分擔的策略可以是基于AP接入的用戶數(shù)量，AP流量負載情況當無線控制器發(fā)現(xiàn)AP的負載超過設定的門限值以后，對于新接入的用戶無線控制器會自動計算此用戶周圍是否還有負載較輕的AP可供用戶接入，如果有則AP會拒絕用戶的關聯(lián)請求，用戶會轉(zhuǎn)而接入其他負載較輕的AP。H3C公司創(chuàng)新性地支持智能負載均衡技術，保證只對處于AP覆蓋重疊區(qū)的無線用戶才啟動AP負載均衡功能，有效的避免誤均衡的出現(xiàn)。圖1 智能負載示意圖3.1.3 業(yè)務QOS支持H3C無線產(chǎn)品支持多種服務質(zhì)量Qos，支持802.11e中的EDCF優(yōu)先級，支持以太網(wǎng)口支持802.1p識別和標記。支持優(yōu)先級隊列及映射、流量限制、流分類。并且能夠?qū)OS策略映射不同SSID/VLAN。圖2 多媒體業(yè)務QOS示意3.1.4 支持無線入侵檢測系統(tǒng)(WIDS)H3C WLAN解決方案支持無線入侵檢測系統(tǒng)(WIDS)，WIDS工作原理如下：A.無線控制器可以指定AP工作在兩種工作模式：模式一、AP負責監(jiān)聽空口所有信道的信息，但不負責用戶報文的轉(zhuǎn)發(fā)。模式二、AP在為用戶轉(zhuǎn)發(fā)數(shù)據(jù)的同時定期切換到其他信道監(jiān)聽信息, AP設備負責把監(jiān)聽到的無線設備和有攻擊行為的無線設備上報給無線控制器B.無線控制器根據(jù)AP上報的設備信息識別非法設備C.無線控制器通過各種途徑提供各種聲、光、電的報警D.當有用戶試圖連接到非法的AP上時，用戶會發(fā)起關聯(lián)請求，無線控制器通過AP收到這個請求時，指揮周邊的AP發(fā)解除關聯(lián)的指令，確保用戶不會連接到非法AP。 圖3 無線入侵檢測示意圖3.1.5 Portal認證支持Portal認證又稱為強制WEB認證，以其新業(yè)務支撐能力強大、無需安裝客戶軟件、與組網(wǎng)設備無關等特點，受到越來越多用戶的歡迎。Portal認證業(yè)務可以為管理者提供方便的管理功能，如要求所有的用戶都到門戶網(wǎng)站去認證，門戶網(wǎng)站可以開展廣告、信息服務、個性化的業(yè)務等，為信息傳播提供一個良好的載體。Portal認證原理Portal 認證協(xié)議主要應用于H3C公司提出的基于 WEB 的寬帶接入認證系統(tǒng)中，完成用戶的認證和授權。整個 Portal 認證過程涉及到了Portal 頁面，WX3024 和 iMC 服務器。Portal認證工作原理：未認證用戶在訪問網(wǎng)絡時，可以直接訪問為用戶免費開放的資源，當用戶要使用網(wǎng)絡中的收費資源時，設備會將用戶的http請求重定向到Portal門戶網(wǎng)站，用戶必須在門戶網(wǎng)站進行認證，只有認證通過后才可以訪問這些資源。Portal認證的工作流程如下圖所示：Portal認證流程認證流程：用戶通過IE訪問需要授權的網(wǎng)絡資源，設備發(fā)現(xiàn)用戶還沒有通過認證則強制到Portal，Portal Server將WEB頁面強推給用戶，提示用戶需要進行認證。用戶在WEB頁面中輸入用戶名密碼并提交認證，Portal Server將認證信息發(fā)送給設備，設備將用戶信息轉(zhuǎn)換為Radius報文發(fā)送到iMC服務器進行認證。iMC服務器對用戶信息進行驗證，確認無誤后，下發(fā)認證通過報文以及相應的權限控制信息給設備，設備放開用戶的上網(wǎng)權限，同時iMC服務器開始進行計費。上網(wǎng)期間，用戶PC和Portal Server定時發(fā)送心跳報文交互，以確保用戶沒有因異常原因下線。用戶下線時，Portal Server收到用戶下線請求并通知設備，iMC服務器終止計費并通知設備斷開用戶。Portal功能特點不需要安裝客戶端軟件相對于其他的認證方式，Portal認證通過網(wǎng)頁即可實現(xiàn)認證，無需安裝客戶端。不但減少了用戶機器的負擔，而且方便了上網(wǎng)用戶的使用，同時管理者也不用逐一為每個上網(wǎng)用戶安裝和升級客戶端軟件，極大減輕管理難度?？蓪υ诰€用戶進行實時檢測用戶認證通過后，Portal Server和用戶之間采用心跳機制保持通信，當終端用戶的機器出現(xiàn)異常時，比如：死機、網(wǎng)絡斷線、異常關閉瀏覽器等情況出現(xiàn)時，Portal Server就可以及時發(fā)現(xiàn)用戶側(cè)的問題，并通知設備將此終端用戶下線并且停止計費；同時Portal Server支持開啟或者關閉心跳，也可以設置心跳的間隔和心跳超時時長，這種功能使心跳檢測更加靈活，大大提高了計費精度和對復雜的網(wǎng)絡的適應能力。具有按用戶接入端口分組的功能，可為不同組用戶提供不同的配置Portal認證可以根據(jù)用戶所在交換機的端口以及用戶所在的IP地址池，將用戶劃分為不同的組，每個組都可以設置不同的認證主頁、不同的認證方式，從而方便對不同的用戶進行管理。同時PORTAL所有的認證頁面都使用了動態(tài)頁面技術，管理員可以根據(jù)不同用戶群的特點，定制特色認證頁面，極大提高用戶使用滿意度。支持二次地址分配和NAT功能為了減少公網(wǎng)IP地址資源的浪費，PORTAL通過與設備的配合，使用戶在認證前使用的是私網(wǎng)IP，認證成功后再分配公網(wǎng)IP，從而保證了公網(wǎng)IP地址的更加合理的應用。如果用戶的IP地址經(jīng)過了NAT轉(zhuǎn)換，再經(jīng)過PORTAL服務進行認證，PORTAL服務器支持開啟NAT功能，可以為用戶下載一個APPLET，獲取用戶的實際IP地址，再通過設備進行認證。支持認證窗口的最小化功能 用戶在認證通過后，Portal支持在線窗口可以最小化到任務欄，以減少對用戶上網(wǎng)的影響。防止窗口過濾的功能 很多上網(wǎng)用戶出于安全的考慮或者防止網(wǎng)上的垃圾廣告，會安裝個人防火墻或者窗口過濾工具，來防止IE 彈出窗口。如果用戶的IE開啟了窗口過濾的功能，Portal在彈出認證成功窗口時，會進行窗口過濾的檢測，從而防止由于窗口過濾而無法認證成功的情況。3.1.6 多業(yè)務的安全性H3C FIT AP解決方案提供多種業(yè)務不同網(wǎng)絡層面的安全保障，體現(xiàn)在：層次體系主要技術解決的問題物理接入WEP64/128、TKIP、CCMP加密可升級支持WAPI加密防止無線報文被監(jiān)聽和篡改SSID隱藏解決不明用戶訪問網(wǎng)絡邏輯鏈路802.1x/PSK/MAC/Portal多種認證方式的混合接入802.1x支持PEAP/TLS/TTLS/SIM多種模式可升級支持WAPI認證用戶身份鑒別和安全準入動態(tài)下發(fā)用戶的權限業(yè)務隔離Hotspot用戶隔離限制用戶互訪黑名單限制惡意用戶網(wǎng)絡無線入侵檢測系統(tǒng)非法設備的檢測、無線攻擊的告警和規(guī)避安全策略在無線控制器統(tǒng)一部署避免在大量的無線接入點部署策略AC和AP間的CAPWAP隧道下行流量限速防范外界對AP的數(shù)據(jù)流量攻擊IPSEC VPN端到端的安全加密資源綁寫（MAC、ESS、VLAN、Port）盡可能防止假冒設備AP本地不再保存配置信息避免設備丟失造成配置泄漏AP身份認證只有合法的AP才能和無線控制器建立關聯(lián)AP支持多無線控制器的冗余備份無線控制器down機不會造成無線網(wǎng)絡的癱瘓網(wǎng)管無線安全策略配置無線安全策略的統(tǒng)一部署非法設備監(jiān)控和告警非法設備的檢測、無線攻擊的告警和規(guī)避設備信道調(diào)整告警了解設備遭受干擾后的信道調(diào)整情況3.1.7 IPV6為了適應下一代IP網(wǎng)絡的部署要求，H3C公司的FIT AP能夠同時滿足IPv4和IPv6兩種不同網(wǎng)絡的組網(wǎng)要求（圖示），為了簡化用戶配置這種適應能力不需要用戶配置干預而是自適應調(diào)整。作為FIT AP的缺省發(fā)現(xiàn)方式FIT AP會首先作為IPv4節(jié)點發(fā)起無線控制器發(fā)現(xiàn)過程，當發(fā)現(xiàn)過程失敗以后，F(xiàn)IT AP會切換到IPv6節(jié)點方式繼續(xù)無線控制器發(fā)現(xiàn)過程。FI