智慧園區(qū)WLAN改造工程技術(shù)建議書

1、PAGE 智慧園區(qū)WLAN改造工程技術(shù)建議書目 錄 TOC o 1-3 h z u HYPERLINK l _Toc6516779 一、無線局域網(wǎng)概述 PAGEREF _Toc6516779 h 1 HYPERLINK l _Toc6516780 二、園區(qū)WLAN網(wǎng)絡(luò)建設(shè)需求分析 PAGEREF _Toc6516780 h 2 HYPERLINK l _Toc6516781 三、園區(qū)WLAN網(wǎng)絡(luò)建設(shè)方案 PAGEREF _Toc6516781 h 2 HYPERLINK l _Toc6516782 2.1園區(qū)WLAN建設(shè)方案設(shè)計原則 PAGEREF _Toc6516782 h 2 HYPERL

2、INK l _Toc6516783 2.2園區(qū)WLAN建設(shè)方案總體拓撲 PAGEREF _Toc6516783 h 3 HYPERLINK l _Toc6516784 2.3園區(qū)WLAN建設(shè)方案具體方案 PAGEREF _Toc6516784 h 4 HYPERLINK l _Toc6516785 2.4 設(shè)備數(shù)量 PAGEREF _Toc6516785 h 6 HYPERLINK l _Toc6516786 2.5供電問題 PAGEREF _Toc6516786 h 6 HYPERLINK l _Toc6516787 2.6認證問題 PAGEREF _Toc6516787 h 6 HYPER

3、LINK l _Toc6516788 2.7 園區(qū)無線網(wǎng)絡(luò)規(guī)劃 PAGEREF _Toc6516788 h 7 HYPERLINK l _Toc6516789 2.7.1 采用802.11n技術(shù)進行建設(shè) PAGEREF _Toc6516789 h 7 HYPERLINK l _Toc6516790 2.7.2 頻率規(guī)劃 PAGEREF _Toc6516790 h 8 HYPERLINK l _Toc6516791 2.7.3 頻率復用 PAGEREF _Toc6516791 h 9 HYPERLINK l _Toc6516792 2.7.4 AP容量規(guī)劃 PAGEREF _Toc6516792

4、 h 10 HYPERLINK l _Toc6516793 三H3C 本次WLAN網(wǎng)絡(luò)建設(shè)的優(yōu)點 PAGEREF _Toc6516793 h 11 HYPERLINK l _Toc6516794 3.1 接入速率的增高 PAGEREF _Toc6516794 h 11 HYPERLINK l _Toc6516795 3.2 覆蓋能力增加 PAGEREF _Toc6516795 h 11 HYPERLINK l _Toc6516796 3.3 安全能力強 PAGEREF _Toc6516796 h 17 HYPERLINK l _Toc6516797 3.3.1 多業(yè)務的安全性 PAGEREF

5、_Toc6516797 h 17 HYPERLINK l _Toc6516798 3. 4 多業(yè)務QOS支持 PAGEREF _Toc6516798 h 23 HYPERLINK l _Toc6516799 3. 5 管理維護的便捷 PAGEREF _Toc6516799 h 25 HYPERLINK l _Toc6516800 3.5.1 AP零配置與IPV6支持 PAGEREF _Toc6516800 h 25 HYPERLINK l _Toc6516801 3.6 實現(xiàn) AP間無線漫游 PAGEREF _Toc6516801 h 31 HYPERLINK l _Toc6516802 3.

6、7 冗余備份的實現(xiàn) PAGEREF _Toc6516802 h 33 HYPERLINK l _Toc6516803 四、 H3C公司總體描述 PAGEREF _Toc6516803 h 34一、無線局域網(wǎng)概述無線局域網(wǎng)（WLAN）技術(shù)于20世紀90年代逐步成熟并投入商用，既可以作傳統(tǒng)有線網(wǎng)絡(luò)的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線網(wǎng)絡(luò)。對比傳統(tǒng)的有線傳輸解決方案，使用WLAN網(wǎng)絡(luò)實現(xiàn)數(shù)據(jù)傳輸具有以下顯著特點：簡易性：WLAN網(wǎng)絡(luò)傳輸系統(tǒng)的安裝快速簡單，可極大的減少敷設(shè)管道及布線等繁瑣工作；靈活性：無線技術(shù)使得WLAN設(shè)備可以靈活的進行安裝并調(diào)整位置，使無線網(wǎng)絡(luò)達到有線網(wǎng)絡(luò)不易覆蓋的區(qū)域；綜合成

7、本較低：一方面WLAN網(wǎng)絡(luò)減少了布線的費用，另一方面在需要頻繁移動和變化的動態(tài)環(huán)境中，無線局域網(wǎng)技術(shù)可以更好地保護已有投資。同時，由于WLAN技術(shù)本身就是面向數(shù)據(jù)通信領(lǐng)域的IP傳輸技術(shù)，因此可直接通過百兆自適應網(wǎng)口和企業(yè)內(nèi)部Intranet相連，從體系結(jié)構(gòu)上節(jié)省了協(xié)議轉(zhuǎn)換器等相關(guān)設(shè)備；擴展能力強：WLAN網(wǎng)絡(luò)系統(tǒng)支持多種拓撲結(jié)構(gòu)及平滑擴容，可以十分容易地從小容量傳輸系統(tǒng)平滑擴展為中等容量傳輸系統(tǒng)；隨著WLAN技術(shù)的快速發(fā)展和不斷成熟，目前在國內(nèi)外已經(jīng)具有較多的政府機構(gòu)使用WLAN技術(shù)布置無線城域網(wǎng)，進行承載部分政府業(yè)務，諸如：電子政備、消防、公安信息等等，如：美國費城、荷蘭阿姆斯特丹等。無線局

8、域網(wǎng)技術(shù)經(jīng)過十幾年的發(fā)展，已經(jīng)歷了三代技術(shù)及產(chǎn)品的發(fā)展。第一代無線局域網(wǎng)主要是采用Fat AP（即“胖”AP），每一臺AP都要單獨進行配置，費時、費力、費成本；第二代無線局域網(wǎng)融入了無線網(wǎng)關(guān)功能但還是不能集中進行管理和配置，其管理性和 HYPERLINK /security t _blank 安全性以及對有線 HYPERLINK /elink t _blank 網(wǎng)絡(luò)的依賴成為了第一代和第二代WLAN產(chǎn)品發(fā)展的瓶頸，由于這一代技術(shù)的AP儲存了大量的網(wǎng)絡(luò)和安全的配置，包括加密的鑰匙，Radius client的安全密碼 (secret) 等，而AP又是分散在建筑物中的各個位置，一旦AP的配置被盜取

9、讀出并修改，其無線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。另外由于AC或無線網(wǎng)關(guān)的硬件多數(shù)是基于X86架構(gòu)的，所以當用戶接入數(shù)量 (IP sessions)增多時，無線網(wǎng)的性能會急劇下降，時常會發(fā)生掉線或死機情況。在這樣的環(huán)境下，基于無線交換機技術(shù)的第三代WLAN產(chǎn)品應運而生。第三代無線局域網(wǎng)采用無線交換機和FIT AP（即“瘦”AP）的架構(gòu)，對傳統(tǒng)WLAN設(shè)備的功能做了重新劃分，將密集型的無線網(wǎng)絡(luò)和安全處理功能轉(zhuǎn)移到集中的 WLAN 交換機中實現(xiàn)，同時加入了許多重要新功能，諸如無線網(wǎng)管、AP間自適應、無線安管、RF監(jiān)測、無縫漫游以及Qos。，使得無線局域網(wǎng)的網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高。FA

10、T AP與FIT AP兩種組網(wǎng)方案對比二、園區(qū)WLAN網(wǎng)絡(luò)建設(shè)需求分析園區(qū)按照國家電網(wǎng)要求，業(yè)務網(wǎng)絡(luò)必須和互聯(lián)網(wǎng)絡(luò)進行隔離，斷開業(yè)務網(wǎng)絡(luò)與互聯(lián)網(wǎng)的物理與邏輯連接，業(yè)務網(wǎng)形成安全的信息內(nèi)網(wǎng)，信息外網(wǎng)與互聯(lián)網(wǎng)絡(luò)進行連接，滿足日常外部郵件收發(fā)、WEB信息發(fā)布及部分公開網(wǎng)上業(yè)務。三、園區(qū)WLAN網(wǎng)絡(luò)建設(shè)方案2.1園區(qū)WLAN建設(shè)方案設(shè)計原則1）綜合考慮各種因素的情況下，選擇802.11n技術(shù)進行無線網(wǎng)絡(luò)建設(shè)，達到300M傳輸性能；2）充分考慮WLAN系統(tǒng)的信號強度和覆蓋范圍。WLAN系統(tǒng)在弱信號情況下表現(xiàn)為速率明顯下降，直至無法連接。同時，由于本次WLAN項目基本為室內(nèi)覆蓋，信號強度亦不能太大，否則也

11、會造成AP間的信號干擾。3）WLAN系統(tǒng)由于采用多用戶共享帶寬和沖突避免機制，在用戶太多的情況下會導致沖突概率明顯增加，速率下降，延遲增加。因此，在系統(tǒng)設(shè)計中要充分考慮用戶容量需求；4）充分尊重無委會規(guī)定（信部無2002353號），室內(nèi)天線增益10dBi時，最大功率20 dBm（100mw），外部的調(diào)整或控制裝置僅用于在型號核準的技術(shù)指標范圍內(nèi)進行調(diào)整或控制。2.2園區(qū)WLAN建設(shè)方案總體拓撲園區(qū)是集團的辦公所在地，辦公人數(shù)較多、位置重要。本次網(wǎng)絡(luò)設(shè)計充分考慮工程全面覆蓋、管理便捷以及辦公人員的安全接入。組網(wǎng)拓撲如下：圖1 園區(qū)WLAN建設(shè)方案總體拓撲本次方案采用的是Fit AP的方案進行組網(wǎng)

12、，布設(shè)的范圍為園區(qū)辦公樓，當前主要考慮下圖標注的兩棟辦公樓：本次采用AP部署在吊頂，通過PoE交換機進行供電的方案 。AP通過MIMO天線提供高達300M的接入速率，采用千兆PoE交換機提供遠程供電以及數(shù)據(jù)信號的接入。2.3園區(qū)WLAN建設(shè)方案具體方案本次園區(qū)辦公樓建設(shè)時 采用連廊的方式建設(shè)，中空，內(nèi)部一圈為辦公室，外部一圈為測試室或會議室?？紤]到測試室人員較多，對于無線接入負荷較大，因此在測試室主要以有線部署外網(wǎng)為主，無線信號通過走廊上信號泄露進行薄覆蓋。無線信號主要對內(nèi)部一圈的辦公室進行覆蓋?？紤]到辦公室人員較少（），每個辦公室內(nèi)光纖點位為一個，辦公人員12人，AP如果部署在辦公室內(nèi)部，一

13、來信號覆蓋不均勻，二來成本有較大增加，因此綜合各種原因，本次方案選擇在走廊中進行AP的部署，每個AP覆蓋3間房間，并且信號可泄露至測試室以及辦公室，辦公室辦公人員也可以在使用有線辦公的同時，采用無線接入。各個樓層WLAN系統(tǒng)配置圖如下，紅色部分為本次WLAN部署大概位置。以三層為例：因為本次WLAN的建設(shè)采用的是802.11n技術(shù)進行，802.11n擁有2.4G和5G兩個頻段，比802.11g 2.4G的互不干擾頻段更多，因此在本次方案中，建議使用兩個頻段同時開啟的方案：1）使用有兩個射頻卡的802.11n AP設(shè)備；2）其中一個射頻卡啟用2.4G頻段，向下兼容802.11b/g模式，使原有8

14、02.11b/g網(wǎng)卡用戶能夠接入WLAN網(wǎng)絡(luò)；3）考慮到從2007年起，以Intel為首的芯片商已經(jīng)逐漸推出802.11n無線網(wǎng)卡芯片，包含Intel WiFi Link 4965AGN、Intel WiFi Link 5100、Intel WiFi Link 5300、Intel Centrino Advanced-N 6200、Intel Centrino Ultimate-N 6300等網(wǎng)卡，到2009年初，基本發(fā)貨的Intel 筆記本電腦已經(jīng)基本標配802.11n網(wǎng)卡，電腦城的11n網(wǎng)卡和11g網(wǎng)卡價差已經(jīng)不到10% ，因此11n當前普及率非常高，針對11n AP，考慮開啟另一個射頻卡

15、為only 11n模式，采用5G頻段，互不干擾頻段更多，干擾更少，信號質(zhì)量更好，僅允許11n 模式接入，保障更高的接入速率。2.4 設(shè)備數(shù)量各樓層AP分布數(shù)量如下（以3層為例）：樓層AP型號接入方式數(shù)量（個）3FWA2620i-AGN（100MW）放裝12無線控制器（以3層為例）：AC型號管理AP數(shù)量（個）臺數(shù)S7500E 插卡10242（考慮冗余備份）2.5供電問題由于本次無線網(wǎng)中AP設(shè)備數(shù)量較多，AP布放位置根據(jù)實際覆蓋效果而調(diào)整,考慮到實際維護的便利，考慮基于標準的802.3at實現(xiàn)對AP的供電。通過采用POE交換機通過以太網(wǎng)線在傳輸數(shù)據(jù)同時給AP供電，供電距離達100米，滿足實際組網(wǎng)的

16、要求。2.6認證問題用戶使用portal認證的過程如圖所示：PORTAL認證流程示意圖接入AP的無線終端采用portal模式，首先接入AP的客戶端通過portal認證輸入用戶名、密碼后客戶端發(fā)起EAP報文至無線控制器，在無線控制器上終結(jié)EAP報文，然后從無線控制器經(jīng)以太網(wǎng)交換機發(fā)起Raduis報文至EAD服務器，由EAD服務器來驗證用戶名、密碼是否匹配，在認證通過以后由EAD服務器下發(fā)Raduis報文至無線控制器通知該用戶認證通過，無線控制器中再將相對應的邏輯端口打開，允許用戶上網(wǎng)。2.7 園區(qū)無線網(wǎng)絡(luò)規(guī)劃2.7.1 采用802.11n技術(shù)進行建設(shè)IEEE 802.11n技術(shù)主要依靠物理層和M

17、AC層的技術(shù)改進來實現(xiàn)速率的提升。主要應用到的技術(shù)包含如下：1、MIMO，多入多出，在鏈路的發(fā)送端和接收端都采用多副天線，是將多徑傳播變?yōu)橛欣蛩?，從而在不增加帶寬的情況下，成倍地提高通信系統(tǒng)的容量和頻譜利用率，以達到WLAN系統(tǒng)速率的提升。2、雙頻帶 (支持20/40M帶寬)，通過將兩個20MHz的帶寬綁定在一起組成一個40MHz通訊帶寬，在實際工作時可以作為兩個20MHz的帶寬使用，收發(fā)數(shù)據(jù)時既可以以40MHz的帶寬工作，也可以以單個20MHz帶寬工作，從而將速率提高一倍。3、Short Guard Interval(GI)，短保護間隔，射頻芯片在使用OFDM調(diào)制方式發(fā)送數(shù)據(jù)時，整個幀是被

18、劃分成不同的數(shù)據(jù)塊進行發(fā)送的，為了數(shù)據(jù)傳輸?shù)目煽啃?，?shù)據(jù)塊之間會有GI，用以保證接收側(cè)能夠正確的解析出各個數(shù)據(jù)塊。無線信號在空間傳輸會因多徑等因素在接收側(cè)形成時延，如果后面的數(shù)據(jù)塊發(fā)送的過快的話，會和前一個數(shù)據(jù)塊的形成干擾，而GI就是用來規(guī)避這個干擾的。11a/g的GI時長為800us，而Short GI時長為400us，在使用Short GI的情況下，可提高10%的速率。4、Frame Aggregation，幀聚合，通過把多個待發(fā)送的載荷聚合到一起，一次性發(fā)送，減小了多次報文發(fā)送所需的額外協(xié)議負荷，從而提高吞吐。2.7.2 頻率規(guī)劃目前針對WLAN來講，2.4G具有3具不重疊的信道，針對5

19、.8G具有5個不重疊信道，網(wǎng)絡(luò)覆蓋時所需要的WLAN網(wǎng)絡(luò)空間都進行2.4G與5.8G的頻率覆蓋，從網(wǎng)絡(luò)規(guī)劃的角度出發(fā)，主要考慮2.4G與5.8G二個頻率的覆蓋設(shè)計，針對2.4G的頻率的信號衰減模型主要采用如下：PathLoss(dB) = 46 +10* n*Log D（m），而對于5.8G的信號衰減模型：PathLoss(dB) = 32.4+20*lg fMHz+ 20*lgdKM +a * dKM，以上二信號衰減模型進行網(wǎng)絡(luò)的設(shè)計，到具體網(wǎng)絡(luò)實施時要進行工勘與優(yōu)化，而對于信道主要采用1、6、11三個信道交錯使用，具體的面覆蓋邏輯示意圖如下：WLAN2.4G信道規(guī)劃示意圖2.7.3 頻率復

20、用無線覆蓋示意圖針對頻率復用的設(shè)計與實現(xiàn)主要側(cè)重于重疊區(qū)域，考慮到802.11技術(shù)中目前業(yè)界主要采用DCF的仲裁，這樣會導致從網(wǎng)絡(luò)實施的角度出發(fā)，沒有辦法做到像GSM、3G網(wǎng)絡(luò)的控制力度，從技術(shù)原理的角度出發(fā)，沒有辦法實現(xiàn)很好的頻率復用，只能被動做些負載均衡的功能。每個AP具有54Mbps、48Mbps、36Mbps、18Mbps等的覆蓋范圍，對于54Mbps的覆蓋范圍不重疊，對于54Mbps與18Mbps就可能進行重疊，可以根據(jù)網(wǎng)絡(luò)側(cè)的負載功能進行實現(xiàn)一定程度的頻率復用功能，從網(wǎng)絡(luò)規(guī)劃的角度出發(fā)，WLAN基本上、下行無線鏈路復用的處理問題，因為目前都是DCF方式，而從只能結(jié)合業(yè)務目標實現(xiàn)網(wǎng)絡(luò)

21、覆蓋效果，具體網(wǎng)絡(luò)使用效果使用負載均衡功能進行實現(xiàn)。負載均衡的功能實現(xiàn)具體原理如下：根據(jù)負載均衡的配置確定負載均衡的模式、SSID、其他參與負載均衡的AP的標識、用戶數(shù)或流量的閥值等進行一定的初始化；確定本AP的2個射頻模塊連接的STA用戶數(shù)量和流量；通過UDP協(xié)議以私有方式定時進行AP間通訊。先進行握手，成功后才進行數(shù)據(jù)的交換，獲取參與負載均衡的AP的負載信息。當有STA要接入時，根據(jù)其工作頻率，比較本AP上該射頻下的負載和其他AP的指定SSID下的用戶數(shù)或流量，以及負載均衡的SSID綁定接口的速率集，決定STA能否接入。同時要注意到若用戶數(shù)已達到AP某個SSID的最大用戶數(shù)，則該AP的SS

22、ID不允許再接入STA；2.7.4 AP容量規(guī)劃從業(yè)界實現(xiàn)的DCF方式來看，沒有一個最大用戶數(shù)的限制，但業(yè)界各個廠商進行實現(xiàn)時都基于一定理解的前提下進行默認限制，H3C目前每個AP最大的用戶默認限制為64個用戶，并可以根據(jù)實際情況更改每個AP限制接入的用戶數(shù)。根據(jù)多年的WLAN部署經(jīng)驗，H3C建議，從網(wǎng)絡(luò)規(guī)劃的角度出發(fā)，按照每個AP覆蓋2030用戶進行部署，可以保證用戶的接入質(zhì)量和正常需求下的網(wǎng)絡(luò)吞吐量。三H3C 本次WLAN網(wǎng)絡(luò)建設(shè)的優(yōu)點3.1 接入速率的增高本次WLAN網(wǎng)絡(luò)升級改造采用的AP設(shè)備為H3C WA2620i-AGN，能夠支持IEEE 802.11a/b/g/n四頻模式，物理層速

23、率可以達到300Mbps，已經(jīng)接近有線網(wǎng)絡(luò)的傳輸速率。3.2 覆蓋能力增加3.2.1 Fit AP方案通過智能無線資源管理實現(xiàn)覆蓋能力和容量的提升無線網(wǎng)絡(luò)由于是開放的，任何空中干擾都可能造成網(wǎng)絡(luò)的不穩(wěn)定和不安全；同時，無線信號的傳播深受環(huán)境影響，多徑等問題導致無線信號在不同方向上存在非常復雜的衰減現(xiàn)象，實際的信號覆蓋和理想的信號衰減模型往往存在一定差異。所以WLAN網(wǎng)絡(luò)的實施往往需要周密的網(wǎng)絡(luò)規(guī)劃，詳細的工勘，網(wǎng)絡(luò)部署后的調(diào)優(yōu)等一系列活動。即使完成這些活動后，網(wǎng)絡(luò)應用階段的射頻參數(shù)調(diào)整仍然是必不可少。這是因為無線環(huán)境是不斷地變化的，障礙物的移動，微波爐等工作帶來的干擾等都可能對無線信號的傳播造

24、成影響，所以無線接入點的信道、發(fā)射功率等射頻資源必須能夠動態(tài)地調(diào)整以適應用戶環(huán)境的變化。這樣的調(diào)整過程是復雜的，需要豐富的射頻技術(shù)經(jīng)驗和定期的工勘，無疑需要非常高的操作成本。此外，為了提高WLAN網(wǎng)絡(luò)的容量，常用方法是增加接入點。然而，接入點的數(shù)量增長帶來了新的問題。無線頻譜的分配就是一個典型問題。WLAN無線頻譜是一種固定資源802.11b/g標準只支持三個非重疊信道，為了避免相鄰接入點出現(xiàn)同頻干擾，需要讓相鄰AP盡量使用不同的信道，隨著AP數(shù)量的增多，避免相鄰接入點使用相同的信道變得十分困難。H3C公司無線資源管理特性提供了一套系統(tǒng)化的，實時智能射頻管理方案，使無線網(wǎng)絡(luò)能夠自動適應無線射頻

25、環(huán)境的變化，同時保持最優(yōu)的射頻資源狀態(tài)。它采用了分布式方法學習周圍環(huán)境，進行集中式評估，可以有效地控制和分配無線資源，降低用戶的操作成本。系統(tǒng)模型如下實時無線資源管理系統(tǒng)模型系統(tǒng)提供了實時閉環(huán)的無線資源管理，包括了如下步驟：掃描每個接入點啟動后，通過CAPWAP協(xié)議與無線控制器建立隧道，并從無線控制器獲取基本的配置。無線控制器負責協(xié)調(diào)網(wǎng)絡(luò)中的無線接入點執(zhí)行掃描過程。通過定期的信道掃描，系統(tǒng)能夠分析和了解信道的質(zhì)量、干擾情況、鄰居接入點的分布等。為了不影響用戶的接入業(yè)務和產(chǎn)生不必要的干擾，系統(tǒng)將采用優(yōu)化的算法來調(diào)度掃描過程，比如避免相鄰AP同時進行掃描，動態(tài)地控制每個掃描的時隙。無線控制器調(diào)度被

26、管理的接入點收集射頻環(huán)境數(shù)據(jù)分析無線控制器將對無線接入點定期上報的數(shù)據(jù)進行聚合分析。這些數(shù)據(jù)包括：干擾：其他工作在802.11頻段的無線網(wǎng)絡(luò)對無線介質(zhì)的影響。噪音：非802.11信號，如雷達、藍牙、無繩電話、微波等等對信號的影響。丟包率：包差錯率（由于隱藏的節(jié)點或信號變形）信道負載：用來衡量媒介的繁忙程度。有效信號強度：在一定時間內(nèi)觀察到的每個鄰居的信號強度和整個信道的平均信號強度。這些數(shù)據(jù)將幫助無線控制器構(gòu)建無線網(wǎng)絡(luò)的完整視圖，為管理控制提供決策數(shù)據(jù)。決策 利用前期分析的數(shù)據(jù)，無線控制器將采用智能的算法對射頻資源進行優(yōu)化和調(diào)整，以適應無線環(huán)境的變化。 系統(tǒng)使用了優(yōu)化的信道和功率選擇算法、加權(quán)

27、判斷以及抑制限度，自動評估資源調(diào)整的影響，能夠確保系統(tǒng)的控制是可靠的。無線控制器進行控制決策執(zhí)行無線控制器將新的發(fā)射功率，信道分配等決策發(fā)送到接入點，接入點負責使能這些配置。系統(tǒng)提供了兩種控制模式：參考模式和立即模式，增加了系統(tǒng)使用的靈活性。參考模式下，系統(tǒng)不進行實際的控制策略執(zhí)行，只是給出建議的功率、信道的設(shè)定值，管理員可以決定是否執(zhí)行這些配置，確保了用戶控制的靈活性。立即模式下，將根據(jù)系統(tǒng)計算出的信道等參數(shù)進行立即的設(shè)置。上述過程是閉環(huán)過程，一旦配置下發(fā)以后，控制器將持續(xù)監(jiān)視網(wǎng)絡(luò)環(huán)境。任何無線環(huán)境的變化與波動都會被定期記錄下來，為下一輪的優(yōu)化作準備。3.2.3 H3C 智能負載均衡技術(shù)H3

28、C公司基于對802.11標準和客戶需求的深入理解，創(chuàng)新地提出了智能負載均衡專利技術(shù)，系統(tǒng)化地綜合了如上介紹的關(guān)鍵技術(shù)，可以準確有效地在WLAN網(wǎng)絡(luò)中平衡用戶的負載，充分地保證每個無線用戶的性能和帶寬。主要的技術(shù)特點如下：實時跟蹤無線客戶端位置，智能地發(fā)現(xiàn)負載均衡組用戶不需要手工配置負載均衡組。通過實時分析無線客戶端發(fā)送的報文，系統(tǒng)能夠?qū)崟r地跟蹤每個客戶端的位置信息，智能地確定某個客戶端在當前時刻和當前位置下，哪些AP可以提供服務，即實時的負載均衡組成員列表。基于集中式無線架構(gòu)每個AP通過CAPWAP協(xié)議建立和AC的控制和數(shù)據(jù)隧道，智能負載均衡算法在AC側(cè)進行集中控制。集中控制的方法，可以讓AC

29、實時完整地了解每個AP當前的負荷，從而對網(wǎng)絡(luò)中的負載進行有效均衡。支持基于用戶會話數(shù)或流量的負載均衡算法一般地，許多廠商只支持基于用戶會話數(shù)的負載均衡 。H3C的智能負載均衡技術(shù)可以讓用戶靈活地選擇基于用戶會話數(shù)或流量的負載均衡，滿足用戶不同的WLAN應用需求。用戶還可以靈活地選擇是否使能負載均衡。智能地隱藏高負載AP 當一些AP的負載過高時，通過該技術(shù)可以維持已存在的無線用戶會話，而把這些AP對新的接入用戶進行隱藏，從而讓新的接入用戶只能夠發(fā)現(xiàn)和接入到負載較小的AP上。這樣可以平滑地進行負載均衡控制，而又可以保證用戶快速地接入到網(wǎng)絡(luò)中。下面介紹負載均衡技術(shù)的主要過程：）AP通過CAPWAP協(xié)

30、議建立和AC的控制和數(shù)據(jù)隧道在AP提供用戶接入服務前，按照CAPWAP協(xié)議過程，AP首先要通過DHCP協(xié)議獲得網(wǎng)絡(luò)配置，然后發(fā)現(xiàn)AC，建立和AC間的三層隧道，從AC上獲得配置，最后進入運行狀態(tài)并等待用戶接入。）實時跟蹤無線客戶端位置WLAN網(wǎng)絡(luò)就緒后，無線客戶端將會頻繁定期地掃描信道，以發(fā)現(xiàn)無線網(wǎng)絡(luò)。當一個AP聽到來自某個無線用戶的掃描信號，將向AC通告自己發(fā)現(xiàn)了某個無線用戶。AC將以該無線用戶的MAC地址為索引，紀錄哪些AP聽到了該用戶的信號。為了保證這些信息的實時準確，通過老化機制，系統(tǒng)可以將過期的紀錄老化掉。有了這樣的信息，根據(jù)某個無線用戶的MAC地址查詢到的AP列表，就對應了在特定時刻

31、和特定位置下，能夠為該用戶提供WLAN接入服務的AP。由于無線客戶端的掃描過程是非常頻繁的，所以很自然地確保系統(tǒng)可以實時地跟蹤無線用戶的位置變化，根據(jù)特定用戶MAC地址查詢到的AP列表就是實時動態(tài)的負載均衡組。整個過程完全是自動的，不需要用戶手工配置負載均衡組。為了保證系統(tǒng)的性能，減少AP和AC間的通訊負荷，AP還可以只在自己聽到的無線用戶信息發(fā)生變化時，才通知AC刷新信息。）負載均衡條件判斷本步驟將判斷系統(tǒng)是否需要對某個接入用戶進行負載均衡控制。當無線用戶確定了自己要關(guān)聯(lián)到某個AP后，將向該AP發(fā)起關(guān)聯(lián)請求，該請求將被AP發(fā)送到AC上進行集中處理。運行在AC上的負載均衡算法首先要判斷是否需要

32、進行負載均衡控制。負載均衡要求：當前AP的負載超出用戶預設(shè)置的閾值并且負載均衡組的負載不均衡。用戶可以選擇設(shè)置是按照用戶流量還是用戶數(shù)進行負載均衡控制，只有負載超出了一定閾值，系統(tǒng)才啟動負載均衡控制。此外，只有負載均衡組成員的負載不均衡時，系統(tǒng)才進行負載均衡。這時系統(tǒng)會根據(jù)預先實時學習的用戶信息，動態(tài)地計算出當前的負載均衡組成員，即當前哪些AP可以為該用戶提供接入服務。然后比較這些AP當前的負載，如果當前AP的負載超出均衡組中負載最輕的AP，并且滿足了指定值，那么就意味著當前AP的負載過高，需要設(shè)法把新的接入用戶平衡到其他AP中，而不是在本AP上提供接入服務。從如下的例子中，我們可以更容易地理

33、解這個過程。如：對于無線用戶MAC1，系統(tǒng)實時發(fā)現(xiàn)的負載均衡組包括了AP1, AP2和AP3, AP1是無線用戶MAC1準備接入的AP。AP1當前用戶數(shù)是10, AP2當前用戶數(shù)是8, AP3當前用戶數(shù)是5。AP1比負載最輕的AP3要多出5個用戶，即AP1負載超出AP3的負載50%，鑒于負載均衡組的負載很不均衡，系統(tǒng)將執(zhí)行負載均衡控制，設(shè)法把該用戶平衡到其他AP上。）執(zhí)行負載均衡在這個過程中，AC將控制當前AP拒絕新接入的用戶，如本例中的無線用戶MAC1，從而讓該用戶可以接入到負載較輕的其他AP上。為了防止該用戶不斷連接AP1（雖然該用戶已經(jīng)被AP1多次拒絕），基于H3C公司的專利技術(shù)，系統(tǒng)將

34、對高負載AP進行自動隱藏。在本例中，AP1將被系統(tǒng)自動隱藏：AP1將對已連接的無線用戶繼續(xù)可見，而對新接入的客戶隱藏，如對本例中的無線用戶MAC1隱藏。這樣，準備被系統(tǒng)分配到其他AP的無線用戶MAC1只好選擇接入到其他AP上。這樣，無線接入用戶可以很容易地接入到網(wǎng)絡(luò)中，既有效地進行了負載分擔，又不會由于負載均衡控制而影響了用戶的快速接入。智能負載示意圖3.3 安全能力強3.3.1 多業(yè)務的安全性H3C FIT AP解決方案提供多種業(yè)務不同網(wǎng)絡(luò)層面的安全保障，體現(xiàn)在：層次體系主要技術(shù)解決的問題物理接入WEP64/128、TKIP、CCMP加密支持國家安全標準WAPI加密方式防止無線報文被監(jiān)聽和篡

35、改SSID隱藏解決不明用戶訪問網(wǎng)絡(luò)邏輯鏈路802.1x/PSK/MAC/Portal多種認證方式的混合接入802.1x支持PEAP/TLS/TTLS/SIM多種模式可升級支持WAPI認證用戶身份鑒別和安全準入動態(tài)下發(fā)用戶的權(quán)限業(yè)務隔離Hotspot用戶隔離限制用戶互訪黑名單限制惡意用戶網(wǎng)絡(luò)無線入侵檢測系統(tǒng)非法設(shè)備的檢測、無線攻擊的告警和規(guī)避安全策略在無線控制器統(tǒng)一部署避免在大量的無線接入點部署策略AC和AP間的CAPWAP隧道下行流量限速防范外界對AP的數(shù)據(jù)流量攻擊IPSEC VPN端到端的安全加密資源綁寫（MAC、ESS、VLAN、Port）盡可能防止假冒設(shè)備AP本地不再保存配置信息避免設(shè)備

36、丟失造成配置泄漏AP身份認證只有合法的AP才能和無線控制器建立關(guān)聯(lián)AP支持多無線控制器的冗余備份無線控制器down機不會造成無線網(wǎng)絡(luò)的癱瘓網(wǎng)管無線安全策略配置無線安全策略的統(tǒng)一部署非法設(shè)備監(jiān)控和告警非法設(shè)備的檢測、無線攻擊的告警和規(guī)避設(shè)備信道調(diào)整告警了解設(shè)備遭受干擾后的信道調(diào)整情況3.3.1 支持無線入侵檢測系統(tǒng)(WIDS)隨著無線網(wǎng)絡(luò)的普遍應用，無線局域網(wǎng)技術(shù)也面臨著各種各樣的新的挑戰(zhàn)，如無線應用的網(wǎng)絡(luò)安全問題。無線局域網(wǎng)擺脫了有線的束縛，數(shù)據(jù)在一個廣泛的空間內(nèi)進行發(fā)送，任何惡意的或者非惡意的設(shè)備都能夠自由的接收無線數(shù)據(jù)，當然也能夠任意的發(fā)送無線數(shù)據(jù)。由于無線局域網(wǎng)技術(shù)無法屏蔽數(shù)據(jù)的接收和發(fā)

37、送，只能從數(shù)據(jù)的安全性和攻擊檢測的層面上對網(wǎng)絡(luò)的安全進行維護。例如802.11i協(xié)議提出了比802.11協(xié)議中的WEP加密機制更加安全的數(shù)據(jù)加密機制（CCMP）以及采用了更高級的加密算法（AES）。但是802.11協(xié)議沒有對無線局域網(wǎng)的攻擊防護進行相應的分析和定義，各個廠商通過各自的理解對于WLAN鏈路的入侵實現(xiàn)了各自的檢測機制。H3C的WIDS技術(shù)主要關(guān)注WLAN鏈路層的安全問題，解決WLAN網(wǎng)絡(luò)的入侵檢測而實現(xiàn)的對WLAN服務網(wǎng)絡(luò)的保護。技術(shù)優(yōu)點H3C的WIDS目前主要包括下面三個特性：非法設(shè)備檢測；入侵檢測；無線用戶接入控制（黑名單和白名單）；非法設(shè)備檢測比較適合于大型的WLAN網(wǎng)絡(luò)。通

38、過在已有的WLAN網(wǎng)絡(luò)中部署非法設(shè)備檢測功能，可以對整個WLAN網(wǎng)絡(luò)中的異常設(shè)備進行監(jiān)視，并且可以根據(jù)需要對非法的設(shè)備進行防攻擊處理（在實際的網(wǎng)絡(luò)應用中，可以啟動防攻擊功能，即WIDS會盡量阻止非法的設(shè)備提供服務或者接入到無線網(wǎng)絡(luò)）。非法設(shè)備檢測可以檢測并且分類WLAN網(wǎng)絡(luò)中的多種設(shè)備，例如非法AP，非法無線終端，非法無線網(wǎng)橋等等。入侵檢測主要為了及時發(fā)現(xiàn)WLAN網(wǎng)絡(luò)中的有意或者無意的攻擊，通過記錄信息或者日志方式通知網(wǎng)絡(luò)管理者。根據(jù)入侵檢測的結(jié)果，網(wǎng)絡(luò)管理者可以及時調(diào)整網(wǎng)絡(luò)的配置，去除WLAN網(wǎng)絡(luò)的不安全因素，保證WLAN網(wǎng)絡(luò)不再受到攻擊。目前H3C的入侵檢測主要包括802.11報文Floo

39、d攻擊檢測、AP Spoof檢測以及Weak IV檢測，而且其中Flood攻擊檢測可以根據(jù)不同類型的報文進行攻擊檢測。接入控制根據(jù)特定的屬性實現(xiàn)了對無線客戶端接入WLAN網(wǎng)絡(luò)的權(quán)限控制。目前WIDS接入控制主要根據(jù)MAC地址進行規(guī)則控制，并且支持兩種控制規(guī)則：黑名單和白名單。其中白名單只能通過手動進行配置；而黑名單同時支持手動配置方式和動態(tài)添加方式，入侵檢測系統(tǒng)和非法設(shè)備檢測模塊檢測到非法攻擊，可以動態(tài)地將該非法設(shè)備添加到黑名單中，后續(xù)所有從該設(shè)備接收到的報文會被直接丟棄，從而保護了WLAN網(wǎng)絡(luò)不再受到該非法設(shè)備的攻擊。非法設(shè)備檢測技術(shù)實現(xiàn)方案非法設(shè)備檢測主要通過在WLAN網(wǎng)絡(luò)中部署檢測設(shè)備，

40、對網(wǎng)絡(luò)中的各種WLAN設(shè)備進行檢測，確定WLAN網(wǎng)絡(luò)是否存在安全隱患。通過非法檢測，可以發(fā)現(xiàn)WLAN網(wǎng)絡(luò)中檢測到的設(shè)備是否非法：Ignore List：WLAN網(wǎng)絡(luò)中可以允許存在的設(shè)備（通過設(shè)備的MAC地址標示）。如果被檢測到的設(shè)備已經(jīng)在Ignore List中定義，則該設(shè)備不會被標示為非法設(shè)備；Permitted Vendor List： WLAN可以允許存在的廠商（通過廠商的OUI標示）。如果被檢測的設(shè)備為隸屬于配置的Permitted Vendor List中的一個廠商，則該設(shè)備不會被標志為非法設(shè)備；Permitted SSID List： WLAN可以允許存在的SSID。如果被檢測設(shè)備

41、提供的WLAN接入服務為指定的SSID，則該設(shè)備不會被標志為非法設(shè)備；Static Attack List：指定了WLAN網(wǎng)絡(luò)中不被允許存在的設(shè)備的MAC地址。如果一個被檢測到的設(shè)備的地址為Static Attack List中的一個地址，則該設(shè)備將被標示為非法設(shè)備。對非法設(shè)備的攻擊是非法設(shè)備檢測的一個擴展功能，可以更有效的保護WLAN網(wǎng)絡(luò)的安全。當非法設(shè)備檢測啟動了攻擊功能，則非法設(shè)備檢測模塊會最終確定出一組AP設(shè)備對非法設(shè)備進行反攻擊。非法設(shè)備主要包含兩種：一種非法設(shè)備為AP設(shè)備，即不屬于合法WLAN網(wǎng)絡(luò)的AP設(shè)備；另外一種非法設(shè)備為無線客戶端，即鏈接到非法AP的無線客戶端，或者非法客戶端

42、?；具\行機制WLAN網(wǎng)絡(luò)的非法設(shè)備檢測主要包括四個主要的部分：設(shè)備檢測，策略管理，非法設(shè)備識別以及非法設(shè)備的反攻擊。設(shè)備檢測是非法設(shè)備檢測的輸入和前提。非法設(shè)備檢測首先通過設(shè)備檢測來監(jiān)聽周圍的無線信號和報文，通過對信號和報文的分析最終創(chuàng)建被檢測到的設(shè)備信息。非法設(shè)備檢測只會在這些根據(jù)信號和報文的分析所創(chuàng)建的設(shè)備信息中，檢測和判斷非法設(shè)備。策略管理定義了確定非法設(shè)備的相關(guān)策略，根據(jù)這些策略非法設(shè)備檢測可以從設(shè)備信息中判斷出非法設(shè)備。非法設(shè)備識別是整個非法設(shè)備檢測的核心，它根據(jù)設(shè)備檢測的信息一一匹配設(shè)置的非法設(shè)備策略，最終確定哪些設(shè)備為非法設(shè)備。為了保護WLAN網(wǎng)絡(luò)的安全，需要盡量的防止非法設(shè)備

43、的工作。所以非法設(shè)備檢測除了通過日志或者Trap信息將非法設(shè)備報告給管理外，還可以啟動對非法設(shè)備的攻擊，以達到抑制非法設(shè)備的正常工作。對于非法AP設(shè)備主要的抑制方式為模仿該AP設(shè)備發(fā)送De-authentication報文，以抑制無線用戶和非法AP建立鏈接；而對于非法無線用戶，則可以模擬向該無線用戶發(fā)送De-authentication報文。 下面描述了非法設(shè)備檢測的過程：設(shè)備檢測通過對接收到的信號和802.11報文的分析，創(chuàng)建被檢測到的設(shè)備信息；非法設(shè)備識別模塊根據(jù)配置的非法設(shè)備規(guī)則，判斷被檢測到的設(shè)備是否為非法設(shè)備；如果設(shè)備為非法設(shè)備時，系統(tǒng)會產(chǎn)生相應的日志信息和Trap信息；如果啟動了非

44、法設(shè)備抑制功能，則系統(tǒng)將啟動對被檢測到的非法設(shè)備的抑制處理。入侵檢測技術(shù)實現(xiàn)方案在實際的網(wǎng)絡(luò)應用中，網(wǎng)絡(luò)的攻擊無處不在，WLAN提供的無線網(wǎng)絡(luò)同樣存在安全問題。無線網(wǎng)絡(luò)中的大部分攻擊和有線網(wǎng)絡(luò)相同，有線的IDS已經(jīng)解決了大部分的攻擊檢測功能。除了有線網(wǎng)絡(luò)的攻擊以外，WLAN也存在著無線網(wǎng)絡(luò)獨特的攻擊。所以，本節(jié)主要描述了WLAN無線鏈路攻擊的入侵檢測。WLAN的無線網(wǎng)絡(luò)的入侵檢測主要包括：無線報文的Flood攻擊：WLAN設(shè)備從一個設(shè)備指定的時間內(nèi)收到了大量的報文（例如1秒中接收到超過100個報文），則可以認為WLAN設(shè)備收到了Flood攻擊。WLAN可以支持下列類型報文的Flood攻擊檢測：

45、探測請求報文（Probe request）；認證報文（Authentication）；連接請求（Association）；去認證報文（De-authentication）;去連接報文（Disassociation）;NULL data報文；無線報文的Spoofing攻擊：設(shè)備在提供WLAN接入服務的時候，如果周圍的非法設(shè)備模仿WLAN設(shè)備發(fā)送De-authentication或者Disassociation，就造成了對于WLAN設(shè)備的Spoofing攻擊。Weak IV攻擊：WLAN在使用WEP鏈路加密的時候，對于每一個報文使用初始化向量（IV）。由于WEP加密的安全性不高，提高IV的安全性可

46、以提高WLAN網(wǎng)絡(luò)的安全性。Weak IV的攻擊就是指無線用戶使用不安全的方法產(chǎn)生報文使用的IV，例如始終使用固定的IV。WIDS入侵檢測機制WIDS入侵檢測主要包括四個部分：策略定義和維護，信息收集，入侵檢測判斷和攻擊防范實施。入侵檢測判斷是整個入侵檢測的核心，主要根據(jù)收集到的信息以及定義的判斷策略確定當前的系統(tǒng)是否收到了攻擊。當WLAN系統(tǒng)檢測到入侵攻擊時，為了保護WLAN系統(tǒng)可以啟動攻擊防范實施，例如發(fā)送日志信息，發(fā)送Trap信息，等等。特別當WLAN系統(tǒng)檢測到來自某個非法設(shè)備的Flood攻擊，可以動態(tài)將該非法設(shè)備加入到黑名單中，控制不允許該設(shè)備接入到WLAN系統(tǒng)中，所有來自于黑名單中的

47、設(shè)備的報文可以被AP設(shè)備盡早丟棄，保證WLAN設(shè)備免受沖擊。下面描述了整個入侵檢測的過程：WLAN系統(tǒng)接收到802.11報文，可以根據(jù)報文類型以及報文的源地址（即無線客戶端）更新統(tǒng)計信息；如果報文為De-authentication報文或者Disassociation報文，則需要進行spoofing檢測，如果報文的源地址為WLAN系統(tǒng)的地址則標志W(wǎng)LAN系統(tǒng)受到了De-authentication或者Disassociation Spoofing攻擊；對于數(shù)據(jù)報文，如果該報文使用了WEP加密算法，則啟動IV檢測，根據(jù)IV的安全性策略判斷是否存在Weak IV攻擊。對WIDS的統(tǒng)計信息需要進行定

48、期的檢測。如果檢測發(fā)現(xiàn)滿足入侵策略，則可以確定WLAN系統(tǒng)收到了Flood攻擊。如果系統(tǒng)啟動了動態(tài)黑名單，WIDS可以將檢測的Flood攻擊設(shè)備加入黑名單，實現(xiàn)WLAN系統(tǒng)的入侵防范。無線入侵檢測示意圖3. 4 多業(yè)務QOS支持H3C無線產(chǎn)品支持多種服務質(zhì)量Qos，支持802.11e中的EDCF優(yōu)先級，支持以太網(wǎng)口支持802.1p識別和標記。支持優(yōu)先級隊列及映射、流量限制、流分類。并且能夠?qū)OS策略映射不同SSID/VLAN。多媒體業(yè)務QOS示意3.4.1 智能帶寬管理由于無線共享競爭機制，實際部署使用中，個別用戶的P2P軟件的應用往往占用大量無線帶寬，從而導致其他用戶無法接入。H3C AP

49、 智能帶寬管理功能根據(jù)接入用戶數(shù)進行自動帶寬調(diào)整，可以有效防止P2P業(yè)務占用過多的帶寬，導致其他正常用戶無法使用網(wǎng)絡(luò)?？梢灾С只谟脩舻膸挿峙浼夹g(shù)可靈活滿足根據(jù)用戶級別進行帶寬分配的需求，有效保障VIP用戶的鏈路帶寬。3.4.2 混合用戶接入管理同一SSID多種認證混合接入用戶帶寬智能管理用戶位置快速定位不同SSID不同Web頁面3.4.3 實現(xiàn)基于用戶的授權(quán)對于無線控制器，當要把一個port配置到多個vlan時，需要把這個port打上多個vlan的tag （類似有線網(wǎng)絡(luò)switch的trunk port功能），給用戶下發(fā)的vlan屬性，需要在Radius Server上針對每個用戶分別配置

50、，當一個wireless client通過AAA認證后，將獲取其vlan屬性并會被分配到相應vlan中3. 5 管理維護的便捷3.5.1 AP零配置與IPV6支持傳統(tǒng)的WLAN網(wǎng)絡(luò)都是為企業(yè)或家庭內(nèi)少量移動用戶的接入而組建的，這類網(wǎng)絡(luò)典型的組網(wǎng)方式是采用FAT AP有線交換機的分布式WLAN組網(wǎng)模式，由AP來完成用戶的無線接入、用戶權(quán)限認證、用戶安全策略實施，對WLAN網(wǎng)絡(luò)設(shè)備的管理也是分布式的。隨著WLAN技術(shù)的成熟和應用的普及，越來越多的企業(yè)開始大規(guī)模部署WLAN網(wǎng)絡(luò)，接入的用戶數(shù)和無線設(shè)備的規(guī)模都在成倍增長，網(wǎng)絡(luò)維護人員在建設(shè)和維護WLAN網(wǎng)絡(luò)時發(fā)現(xiàn)采用傳統(tǒng)的WLAN組網(wǎng)和管理模式已經(jīng)很

51、難適應現(xiàn)有的WLAN網(wǎng)絡(luò)規(guī)模。目前在中大型WLAN網(wǎng)絡(luò)的建設(shè)和維護中遇到的主要問題有：WLAN建網(wǎng)時需要對成百上千的AP進行逐一配置：網(wǎng)管IP地址、SSID和加密認證方式等無線業(yè)務參數(shù)、信道和發(fā)射功率等射頻參數(shù)、ACL和QOS等服務策略，很容易因誤配置而造成配置不一致。為了管理AP，需要維護大量AP的IP地址和設(shè)備的映射關(guān)系，每新增加一批AP設(shè)備都需要進行地址關(guān)系維護。接入AP的邊緣網(wǎng)絡(luò)需要更改VLAN、ACL等配置以適應無線用戶的接入，為了能夠支持用戶的無縫漫游，需要在邊緣網(wǎng)絡(luò)上配置所有無線用戶可能使用的VLAN和ACL。察看網(wǎng)絡(luò)運行狀況和用戶統(tǒng)計時需要逐一登錄到AP設(shè)備才能完成察看。在線更

52、改服務策略和安全策略設(shè)定時也需要逐一登錄到AP設(shè)備才能完成設(shè)定。升級AP軟件無法自動完成，維護人員需要手動逐一對設(shè)備進行軟件升級，費時費力AP設(shè)備的丟失意味著網(wǎng)絡(luò)配置的丟失，在發(fā)現(xiàn)設(shè)備丟失前，網(wǎng)絡(luò)存在入侵隱患，在發(fā)現(xiàn)設(shè)備丟失后又需要全網(wǎng)重配置。無線控制器FIT AP控制架構(gòu)對設(shè)備的功能進行了重新劃分，其中無線控制器負責無線網(wǎng)絡(luò)的接入控制，轉(zhuǎn)發(fā)和統(tǒng)計、AP的配置監(jiān)控、漫游管理、AP的網(wǎng)管代理、安全控制；FIT AP負責802.11報文的加解密、802.11的PHY功能、接受無線控制器的管理、RF空口的統(tǒng)計等簡單功能。H3C公司在支持這種新的網(wǎng)絡(luò)架構(gòu)時將一些新的智能功能集成進FIT AP和無線控制

53、器中，以便于給用戶呈現(xiàn)統(tǒng)一的網(wǎng)絡(luò)管理接口：FIT AP的配置保存在無線控制器中，F(xiàn)IT AP啟動時會自動從無線控制器下載合適的設(shè)備配置信息FIT AP需要能夠自動獲取IP地址，同時FIT AP需要能夠自動發(fā)現(xiàn)可接入的無線控制器，并對無線控制器和FIT AP之間的網(wǎng)絡(luò)拓撲不敏感無線控制器支持FIT AP的配置代理和查詢代理，能夠?qū)⒂脩魧IT AP的配置順利傳達到指定的FIT AP設(shè)備，同時可以實時察看FIT AP的狀態(tài)和統(tǒng)計信息無線控制器保存FIT AP的最新軟件，并負責FIT AP軟件的自動更新H3C公司通過這一全新的網(wǎng)絡(luò)管理接口可以很好的解決目前中大型WLAN網(wǎng)絡(luò)組網(wǎng)中存在的管理問題：用戶

54、只需要建立業(yè)務參數(shù)模板和設(shè)備參數(shù)模板，并設(shè)定指定的AP引用這些模板，當FIT AP啟動時無線控制器會根據(jù)預先的配置引用信息給FIT AP下發(fā)配置，用戶的配置工作量大大減少。用戶對FIT AP的管理是通過無線控制器來代理完成，網(wǎng)管不再關(guān)心FIT AP的IP地址，F(xiàn)IT AP和無線控制器之間的關(guān)聯(lián)是自動完成，不再需用戶對AP進行的配置干預。無線用戶的數(shù)據(jù)報文被FIT AP封裝在AP和AC間的數(shù)據(jù)隧道中，接入AP的邊緣網(wǎng)絡(luò)不需要再為無線用戶的接入而更改VLAN和ACL等配置無線控制器保存了所管理的FIT AP的運行狀況和在線用戶統(tǒng)計信息，維護人員只需登錄到指定的無線控制器就可以完成信息察看。用戶對F

55、IT AP的管理是通過無線控制器來代理完成，因此在線更改服務策略設(shè)定和安全策略設(shè)定也不再需要逐一登錄到AP設(shè)備，而只需要登錄到指定的無線控制器就可以完成設(shè)置，無線控制器會自動把新的配置下發(fā)到指定的FIT AP。用戶不再需要手動逐一對AP設(shè)備進行軟件升級，AP在每次重新啟動時會自動比較當前運行的版本和無線控制器上保存的版本，如果無線控制器上保存的版本更新，F(xiàn)IT AP會自動更新本地的軟件影像。AP本地不再保存配置信息，即使設(shè)備丟失也不存在因配置丟失而出現(xiàn)的安全隱患。在集中式WLAN管理模式中，H3C的FIT AP和無線控制器之間可以支持三種網(wǎng)絡(luò)拓撲結(jié)構(gòu)：直連模式：:FIT AP和無線控制器直接互

56、聯(lián)，中間不經(jīng)過其他設(shè)備節(jié)點.二層網(wǎng)絡(luò)連接模式： FIT AP和無線控制器同屬于一個二層廣播域，F(xiàn)IT AP和AC之間通過二層交換機互聯(lián).三層網(wǎng)絡(luò)連接模式： FIT AP和無線控制器屬于不同的IP網(wǎng)段. FIT AP和AC之間的通信需要通過路由器或者三層交換機三層轉(zhuǎn)發(fā)來完成. 無線控制器和FIT AP之間的網(wǎng)絡(luò)拓撲獲取IP地址FIT AP在和網(wǎng)絡(luò)通信前必須能夠獲取自身的IP地址，為了減少維護人員的配置，F(xiàn)IT AP必須能夠支持自動獲取IP地址，目前業(yè)界標準的做法是采用DHCP client功能. AP啟動以后會在其上行接口上通過DHCP client模塊發(fā)起獲取IP地址的過程. 通過DHCP的協(xié)

57、議交互FIT AP可以從DHCP server獲取到以下信息：自身使用的IP地址、DNS server的IP地址、網(wǎng)關(guān)IP地址、域名、可接入的無線控制器的IP地址列表（此信息通過DHCP option43提供）等.發(fā)現(xiàn)相同二層網(wǎng)絡(luò)內(nèi)的無線控制器（含直連模式）FIT AP一旦獲取到IP地址，就會通過廣播方式發(fā)起無線控制器發(fā)現(xiàn)請求.和AP同屬于相同二層廣播域的無線控制器會根據(jù)預先配置的可接入AP列表和當前的負載情況決定是否響應AP的發(fā)現(xiàn)請求.通過用戶的預先配置和無線控制器自身的判斷可以使FIT AP均衡的接入到不同的無線控制器。FIT AP和無線控制器的交互過程詳見圖3AC1NetworkVLAN

58、1AC發(fā)現(xiàn)請求AC發(fā)現(xiàn)響應AC2VLAN1AP2AP1VLAN1VLAN11221相同廣播域內(nèi)的無線控制器發(fā)現(xiàn)過程發(fā)現(xiàn)跨三層網(wǎng)絡(luò)的無線控制器H3C的FIT AP還能夠支持被跨三層網(wǎng)絡(luò)的無線控制器管理.在這種情況下由于FIT AP和無線控制器之間跨越了三層網(wǎng)絡(luò)，因此FIT AP已經(jīng)無法通過二層廣播方式來發(fā)現(xiàn)無線控制器而只能通過單播形式來發(fā)現(xiàn)遠端的無線控制器，但FIT AP如何能夠獲取到無線控制器的IP地址呢？ H3C的FIT AP支持兩種方法來實現(xiàn)這一功能：方法一：FIT AP從DHCP server獲取IP地址時同時會獲取到自身的domain名字和DNS server地址，F(xiàn)IT AP將獲取到

59、的domain名字和固定的H3C串拼接成H3C.xxxx.xxx的DNS域名，同時FIT AP會向DNS server請求解析獲取H3C.xxxx.xxx的IP地址，用戶只需在DNS server上配置H3C.xxxx.xxx對應的無線控制器的IP地址，AP就能獲取到無線控制器的IP地址并向該IP地址發(fā)送無線控制器發(fā)現(xiàn)請求方法二：用戶在DHCP server上通過option43屬性來配置無線控制器的IP地址，當FIT AP在從DHCP server獲取IP地址時，通過解析DHCP回應報文中攜帶的option43屬性就可以獲取無線控制器的IP地址并向該IP地址發(fā)送無線控制器發(fā)現(xiàn)請求部署于IPv

60、6雙棧網(wǎng)絡(luò)為了適應下一代IP網(wǎng)絡(luò)的部署要求，H3C公司的FIT AP能夠同時滿足IPv4和IPv6兩種不同網(wǎng)絡(luò)的組網(wǎng)要求（圖4所示），為了簡化用戶配置這種適應能力不需要用戶配置干預而是自適應調(diào)整.作為FIT AP的缺省發(fā)現(xiàn)方式FIT AP會首先作為IPv4節(jié)點發(fā)起無線控制器發(fā)現(xiàn)過程，當發(fā)現(xiàn)過程失敗以后，F(xiàn)IT AP會切換到IPv6節(jié)點方式繼續(xù)無線控制器發(fā)現(xiàn)過程. FIT AP會在以下兩種情況下切換到IPv6模式：FIT AP無法從DHCP server獲取到IPv4網(wǎng)絡(luò)地址FIT AP在IPv4網(wǎng)絡(luò)沒有無線控制器響應FIT AP的發(fā)現(xiàn)請求FIT AP在IPv4網(wǎng)絡(luò)中和所有的無線控制器建立連接失