機(jī)場(chǎng)無(wú)線部署解決方案

--------無(wú)線部署解決方案機(jī)場(chǎng)無(wú)線覆蓋解決方案第1 頁(yè)----------------無(wú)線部署解決方案目錄1項(xiàng)目概況...................................................................................................................41.1項(xiàng)目背景..............................................................................................41.2項(xiàng)目目標(biāo)..............................................................................................42術(shù)語(yǔ)解釋...................................................................................................................43總體設(shè)計(jì)方案...........................................................................................................73.1無(wú)線網(wǎng)絡(luò)組網(wǎng)規(guī)劃..............................................................................73.2網(wǎng)絡(luò)高可靠性......................................................................................93.2.1AC冗余備份.......................................................................................93.2.2DHCPServer備份...............................................................................93.3無(wú)線安全設(shè)計(jì)....................................................................................103.3.1WIFI接入及認(rèn)證過(guò)程......................................................................103.3.2無(wú)線數(shù)據(jù)加密.....................................................................................113.3.3AC與AP之間的安全認(rèn)證...............................................................113.3.4其它無(wú)線安全控制技術(shù)....................................................................123.4無(wú)線網(wǎng)絡(luò)管理....................................................................................123.4.1網(wǎng)絡(luò)發(fā)現(xiàn)............................................................................................133.4.2拓?fù)涔芾?...........................................................................................133.4.3無(wú)線網(wǎng)絡(luò)規(guī)劃....................................................................................133.4.4無(wú)線網(wǎng)絡(luò)監(jiān)控....................................................................................133.4.5無(wú)線網(wǎng)絡(luò)安全....................................................................................133.4.6AC性能管理......................................................................................143.4.7網(wǎng)絡(luò)流量分析....................................................................................143.4.8告警管理............................................................................................143.4.9報(bào)表呈現(xiàn)............................................................................................143.4.10軟件管理............................................................................................143.4.11配置管理............................................................................................14第2 頁(yè)----------------無(wú)線部署解決方案3.4.12資產(chǎn)管理 153.4.13任務(wù)和調(diào)度 153.4.14日志管理3.4.15安全管理

........................................................................................................................................................................................................................................................................................................................................................................................

15153.5 QOS部署 153.5.1 QOS總體框架 153.5.2 QoS高優(yōu)先級(jí)業(yè)務(wù)數(shù)據(jù)優(yōu)先保證 163.5.3 管理報(bào)文高優(yōu)先級(jí)處理 173.5.4 通過(guò)clientQoS修改用戶的優(yōu)先級(jí) 173.5.5 基于用戶的限速 173.6 POE供電方案 183.6.1 POE供電模塊供電 183.6.2 POE交換機(jī)供電 193.7 網(wǎng)絡(luò)設(shè)備要求 193.7.1 無(wú)線AP 193.7.2 AC控制器 203.7.3 AAS服務(wù)器 223.7.4 Portal服務(wù)器 253.7.5 NetManager網(wǎng)管 26第3 頁(yè)----------------無(wú)線部署解決方案項(xiàng)目概況1.1項(xiàng)目背景暫無(wú)1.2項(xiàng)目目標(biāo)暫無(wú)術(shù)語(yǔ)解釋W(xué)LAN：無(wú)線局域網(wǎng)絡(luò)(WirelessLocalAreaNetworks ；WLAN)是相當(dāng)便利的數(shù)據(jù)傳輸系統(tǒng)，它利用射頻(RadioFrequency；RF)的技術(shù)，取代舊式礙手礙腳的雙絞銅線(Coaxial)所構(gòu)成的局域網(wǎng)絡(luò)，使得無(wú)線局域網(wǎng)絡(luò)能利用簡(jiǎn)單的存取架構(gòu)讓用戶透過(guò)它，達(dá)到「信息隨身化、便利走天下」的理想境界。無(wú)線AP：AP是(Wireless)AccessPoint的縮寫(xiě)，即(無(wú)線)訪問(wèn)接入點(diǎn)。如果無(wú)線網(wǎng)卡可比作有線網(wǎng)絡(luò)中的以太網(wǎng)卡，那么AP就是傳統(tǒng)有線網(wǎng)絡(luò)中的HUB，也是目前組建小型無(wú)線局域網(wǎng)時(shí)最常用的設(shè)備。瘦AP:無(wú)線接入點(diǎn)(AP，AccessPoint)也稱無(wú)線網(wǎng)橋、無(wú)線網(wǎng)關(guān)，也就是所謂的“瘦”AP。此無(wú)線設(shè)備的傳輸機(jī)制相當(dāng)于有線網(wǎng)絡(luò)中的集線器，在無(wú)線局域網(wǎng)中不停地接收和傳送數(shù)據(jù);任何一臺(tái)裝有無(wú)線網(wǎng)卡的PC均可通過(guò)AP來(lái)分享有線局域網(wǎng)絡(luò)甚至廣域網(wǎng)絡(luò)的資源。理論上，當(dāng)網(wǎng)絡(luò)中增加一個(gè)無(wú)線 AP之后，即可成倍地?cái)U(kuò)展網(wǎng)絡(luò)覆蓋直徑;還可使網(wǎng)絡(luò)中容納更多的網(wǎng)絡(luò)設(shè)備。每個(gè)無(wú)線AP基本上都擁有一個(gè)以太網(wǎng)接口，用于實(shí)現(xiàn)無(wú)線與有線的連接。AC：無(wú)線接入控制服務(wù)器， 接入控制器(AC)無(wú)線局域網(wǎng)接入控制設(shè)備，負(fù)第4 頁(yè)----------------無(wú)線部署解決方案責(zé)把來(lái)自不同AP的數(shù)據(jù)進(jìn)行匯聚并接入 Internet，同時(shí)完成AP設(shè)備的配置管理、無(wú)線用戶的認(rèn)證、管理及寬帶訪問(wèn)、安全等控制功能。POE：POE(PowerOverEthernet) 指的是在現(xiàn)有的以太網(wǎng) Cat.5布線基礎(chǔ)架構(gòu)不作任何改動(dòng)的情況下，在為一些基于 IP的終端（如IP電話機(jī)、無(wú)線局域網(wǎng)接入點(diǎn)AP、網(wǎng)絡(luò)攝像機(jī)等）傳輸數(shù)據(jù)信號(hào)的同時(shí)，還能為此類設(shè)備提供直流供電的技術(shù)。POE技術(shù)能在確保現(xiàn)有結(jié)構(gòu)化布線安全的同時(shí)保證現(xiàn)有網(wǎng)絡(luò)的正常運(yùn)作，最大限度地降低成本。802.11g：在2.4GHz頻段，是一種能支持較高數(shù)據(jù)傳輸速率（采用微蜂窩、微微蜂窩結(jié)構(gòu)，自主管理的計(jì)算機(jī)局域網(wǎng)絡(luò)。

1～54Mbit/s），802.11i：無(wú)線安全標(biāo)準(zhǔn)，wpa是其子集，規(guī)定使用 802.1x認(rèn)證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了 TKIP、CCMP和WRAP三種加密機(jī)制。802.11n：Wi－Fi聯(lián)盟為了實(shí)現(xiàn)高帶寬、高質(zhì)量的WLAN服務(wù)，使無(wú)線局域網(wǎng)達(dá)到以太網(wǎng)的性能水平，802.11任務(wù)組制定了N（TGn），將無(wú)線局域網(wǎng)的傳輸速率從802.11a和802.11g的54Mbps增加至300Mbps以上，最高速率可達(dá)600Mbps，采用OFDM技術(shù)、MIMO（多入多出）技術(shù)。WEP：WEP是WiredEquivalentPrivacy 的簡(jiǎn)稱，有線等效保密（ WEP）協(xié)議是對(duì)在兩臺(tái)設(shè)備間無(wú)線傳輸?shù)臄?shù)據(jù)進(jìn)行加密的方式，用以防止非法用戶竊聽(tīng)或侵入無(wú)線網(wǎng)絡(luò)。WPA：英文縮寫(xiě):WPA(Wi-FiProtectedAccess)WPA 是一種基于標(biāo)準(zhǔn)的可互操作的WLAN安全性增強(qiáng)解決方案，可大大增強(qiáng)現(xiàn)有以及未來(lái)無(wú)線局域網(wǎng)系統(tǒng)的數(shù)據(jù)保護(hù)和訪問(wèn)控制水平。 WPA源于正在制定中的 IEEE802.11i標(biāo)準(zhǔn)并將與之保持前向兼容。WPA2：WPA2是經(jīng)由 Wi-Fi聯(lián)盟驗(yàn)證過(guò)的 IEEE802.11i 標(biāo)準(zhǔn)的認(rèn)證形式。WPA2實(shí)現(xiàn)了802.11i的強(qiáng)制性元素[1]，特別是Michael算法由公認(rèn)徹底安全的CCMP訊息認(rèn)證碼所取代、而 RC4也被AES取代。WPA/WPA2企業(yè)版：Wi-Fi聯(lián)盟已經(jīng)發(fā)布了在 WPA及WPA2企業(yè)版的認(rèn)證計(jì)劃里增加 EAP（可擴(kuò)充認(rèn)證協(xié)定）的消息，這是為了確保通過(guò) WPA企業(yè)版認(rèn)證的產(chǎn)品之間可以互通。 先前只有 EAP-TLS（TransportLayerSecurity ）通過(guò)Wi-Fi聯(lián)盟的認(rèn)證。SSID：SSID是ServiceSetIdentifier 的縮寫(xiě)，意思是：服務(wù)集標(biāo)識(shí)。 SSID技術(shù)第5 頁(yè)----------------無(wú)線部署解決方案可以將一個(gè)無(wú)線局域網(wǎng)分為幾個(gè)需要不同身份驗(yàn)證的子網(wǎng)絡(luò)，每一個(gè)子網(wǎng)絡(luò)都需要獨(dú)立的身份驗(yàn)證，只有通過(guò)身份驗(yàn)證的用戶才可以進(jìn)入相應(yīng)的子網(wǎng)絡(luò)，防止未被授權(quán)的用戶進(jìn)入本網(wǎng)絡(luò).。無(wú)線漫游：當(dāng)網(wǎng)絡(luò)環(huán)境存在多個(gè) AP，且它們的微單元互相有一定范圍的重合時(shí)，無(wú)線用戶可以在整個(gè) WLAN覆蓋區(qū)內(nèi)移動(dòng)，無(wú)線網(wǎng)卡能夠自動(dòng)發(fā)現(xiàn)附近信號(hào)強(qiáng)度最大的AP，并通過(guò)這個(gè) AP收發(fā)數(shù)據(jù)，保持不間斷的網(wǎng)絡(luò)連接，這就稱為無(wú)線漫游。數(shù)字證書(shū)：數(shù)字證書(shū)就是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗(yàn)證您身份的方式，它是由一個(gè)由權(quán)威機(jī)構(gòu) -----CA機(jī)構(gòu)，又稱為證書(shū)授權(quán)（CertificateAuthority）中心發(fā)行的，人們可以在網(wǎng)上用它來(lái)識(shí)別對(duì)方的身份。數(shù)字證書(shū)是一個(gè)經(jīng)證書(shū)授權(quán)中心數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件。最簡(jiǎn)單的證書(shū)包含一個(gè)公開(kāi)密鑰、名稱以及證書(shū)授權(quán)中心的數(shù)字簽名。數(shù)字證書(shū)是一種權(quán)威性的電子文檔，由權(quán)威公正的第三方機(jī)構(gòu)，即CA中心簽發(fā)的證書(shū)。第6 頁(yè)----------------無(wú)線部署解決方案總體設(shè)計(jì)方案3.1 無(wú)線網(wǎng)絡(luò)組網(wǎng)規(guī)劃組網(wǎng)說(shuō)明在機(jī)場(chǎng)核心交換機(jī)分別旁掛 1臺(tái)或多臺(tái)AC無(wú)線控制器，通過(guò) 1+1方式實(shí)現(xiàn)冗余備份，在機(jī)場(chǎng)無(wú)線熱點(diǎn)區(qū)域部署多個(gè)瘦 AP。根據(jù)現(xiàn)有機(jī)場(chǎng)有線的網(wǎng)絡(luò)的部署情況，無(wú)線 AP與AC控制器間通過(guò)二層或三層實(shí)現(xiàn)互聯(lián)互通， AC工作在集中轉(zhuǎn)發(fā)模式，所有無(wú)線終端的業(yè)務(wù)數(shù)據(jù)通過(guò) AC進(jìn)行集中轉(zhuǎn)發(fā)。機(jī)場(chǎng)無(wú)線AP手動(dòng)配置自身IP地址，與AC的IP地址實(shí)現(xiàn)隧道互聯(lián)，無(wú)線終端的IP地址通過(guò)DHCP動(dòng)態(tài)獲取，網(wǎng)關(guān)指向機(jī)場(chǎng)的核心交換機(jī)，建議部署兩臺(tái)DHCP服務(wù)器，在核心交換機(jī)上配置DHCP中繼，分別指向兩臺(tái)DHCP服務(wù)器，實(shí)現(xiàn)對(duì)DHCP服務(wù)器的冗余備份。機(jī)場(chǎng)無(wú)線AP采取WPA2的無(wú)線加密認(rèn)證方式。無(wú)線終端上行的802.11的數(shù)據(jù)第7 頁(yè)----------------無(wú)線部署解決方案報(bào)文通過(guò)AP重新封裝到802.3格式以太報(bào)文中，直接發(fā)給 AC，由AC進(jìn)行過(guò)濾識(shí)別后進(jìn)行轉(zhuǎn)發(fā)，這個(gè)過(guò)程實(shí)現(xiàn)了 WLAN無(wú)線的數(shù)據(jù)和現(xiàn)有業(yè)務(wù)的數(shù)據(jù)隔離。注意事項(xiàng)：因無(wú)線的數(shù)據(jù)均采用集中轉(zhuǎn)發(fā)方式，所以在無(wú)線終端間進(jìn)行數(shù)據(jù)訪問(wèn)時(shí)，也需要數(shù)據(jù)通過(guò) AC 集中轉(zhuǎn)發(fā)而訪問(wèn)，增加了不必要的網(wǎng)絡(luò)開(kāi)銷，我們建議禁止無(wú)線終端間的數(shù)據(jù)訪問(wèn)業(yè)務(wù)。設(shè)備配置說(shuō)明設(shè)備名稱部署設(shè)備型號(hào)數(shù)量設(shè)備說(shuō)明無(wú)線控制器WNC6000-1000-ACX臺(tái)AC控制器，支持1024個(gè)AP接入室內(nèi)APWA2000-213W-PEX臺(tái)單頻、單模，室內(nèi)2.4G增強(qiáng)型室內(nèi)AP。802.11（b、g、n），外置天線，100mw放裝型，POE受電方式。支持wapi。室外APWA2000-362W-PTEX臺(tái)WA2000-362W-PTE,無(wú)線,雙頻、雙模，2.4G、5.8G增強(qiáng)型室外AP。802.11（a、b、g、n），外置天線，500mw+500mw放裝型，PTE受電方式。支持wapiAAS服務(wù)器AccessAuthentication1邁普設(shè)備接入認(rèn)證服務(wù)器(基本型、含硬件)，2個(gè)以太口serverAAS-L-2000X2000個(gè)License認(rèn)證用戶數(shù)，單一系統(tǒng)支持多個(gè)License累加Portal軟件PortalAuthentication1Portal認(rèn)證服務(wù)器中文版Server短信網(wǎng)關(guān)MaipuSMS-CN1MaipuSMS-CN、電信制式短信網(wǎng)關(guān)無(wú)線網(wǎng)管軟件 1 多業(yè)務(wù)智能管理平臺(tái)(專業(yè)版，中英文MaipuNetManager版，無(wú)最多可管理網(wǎng)絡(luò)設(shè)備數(shù)量限制 )NM-WlanManager 1 無(wú)線業(yè)務(wù)管理組件軟件許可，每個(gè)許可可增加500個(gè)設(shè)NM-L-500備節(jié)點(diǎn)授權(quán)許可第8 頁(yè)----------------無(wú)線部署解決方案3.2網(wǎng)絡(luò)高可靠性3.2.1AC 冗余備份AC無(wú)線控制器采用，1+1冗余備份方式，在核心交換機(jī)分別旁掛 1臺(tái)或多臺(tái)AC無(wú)線控制器，通過(guò) 1+1方式實(shí)現(xiàn)冗余備份，保證了整個(gè)無(wú)線網(wǎng)絡(luò)的高可靠性。根據(jù)無(wú)線AP的規(guī)模來(lái)確定AC的容量。在備機(jī)房放置同等數(shù)量和容量的實(shí)現(xiàn)完備的1+1冗余備份。

AC，1+1冗余備份方式，需要從兩個(gè)層面來(lái)保證設(shè)備和網(wǎng)絡(luò)的冗余可靠性。首先，AC和備份AC之間的管理通道保持有快速心跳檢測(cè)機(jī)制，心跳時(shí)間根據(jù)網(wǎng)絡(luò)的質(zhì)量可以配置，建議為 200ms到5s之間。心跳報(bào)文在兩端 AC和整個(gè)通道的網(wǎng)絡(luò)設(shè)備之間采用高優(yōu)先級(jí)保證。同時(shí)，主 AC和備份AC之間能定期和實(shí)時(shí)的同步AP，client的各種狀態(tài)。這樣，備份 AC能實(shí)時(shí)監(jiān)控主AC的活動(dòng)狀況。一旦主 AC出現(xiàn)宕機(jī)等事件，備份AC收不到主AC的心跳報(bào)文，立即通知該主AC管理的原AP，實(shí)行切換。其次，AC和所管理的 AP之間的管理通道保持有心跳檢測(cè)機(jī)制。這種機(jī)制中除了檢測(cè) AC的狀態(tài)之外，還可以檢測(cè)整個(gè)網(wǎng)絡(luò)通道是否可達(dá)。心跳時(shí)間根據(jù)網(wǎng)絡(luò)的質(zhì)量可以配置，建議為 5s到20s之間。1+1的備份方式在部署時(shí)，AP需要配置主用AC和備用AC的地址列表，我們采用靜態(tài)指定的方式，在 AP上寫(xiě)入主備AC的IP地址，當(dāng)主AC出現(xiàn)宕機(jī)或者主機(jī)房網(wǎng)絡(luò)出現(xiàn)故障，訪問(wèn)不可達(dá)的情況下，AP主動(dòng)發(fā)現(xiàn)并切換到備AC上。3.2.2DHCPServer 備份DHCPSERVER備份實(shí)現(xiàn)機(jī)制 ：在機(jī)場(chǎng)主機(jī)房搭建主 DHCP SERVER和備用DHCPSERVER；通過(guò)核心交換機(jī)做 DHCPRELAY，分別指向主、備 DHCPSERVER，在正常情況下，用戶端從主 DHCP服務(wù)器獲取地址，當(dāng)主 DHCPSERVER宕機(jī)的情況下，用戶從備 DHCPSERVER獲取地址 。該功能的實(shí)現(xiàn)需要在核心交第9 頁(yè)----------------無(wú)線部署解決方案換機(jī)上配置兩條 DHCPRELAY命令。3.3無(wú)線安全設(shè)計(jì)由于無(wú)線接入的開(kāi)放性，因此無(wú)線接入安全是部署無(wú)線網(wǎng)絡(luò)的重中之重。當(dāng)前兼容性最好、可實(shí)現(xiàn)性最高的無(wú)線安全接入方式就是結(jié)合數(shù)字證書(shū)的 WPA2身份認(rèn)證及數(shù)據(jù)加密技術(shù)。3.3.1WIFI接入及認(rèn)證過(guò)程為滿足用戶可以更方便快捷的使用 WIFI熱點(diǎn)，并且又能夠?qū)尤胗脩艉戏ㄐ赃M(jìn)行確認(rèn)，本方案設(shè)計(jì)采用 AAS+Portal+短信方式認(rèn)證。Web認(rèn)證機(jī)場(chǎng)WIFI用戶使用手機(jī)或者pad自動(dòng)搜索到機(jī)場(chǎng)WIFI熱點(diǎn)，在連接的時(shí)候會(huì)自動(dòng)重定向到本地Portal頁(yè)面上，給用戶推送一個(gè)Web認(rèn)證界面。當(dāng)用戶再次通過(guò)HTTP協(xié)議上互聯(lián)網(wǎng)時(shí)，會(huì)觸發(fā) Portal認(rèn)證，后端的Portal認(rèn)證服務(wù)器會(huì)推送一個(gè)Web認(rèn)證頁(yè)面到用戶終端上。用戶在WEB認(rèn)證界面填寫(xiě)自己的手機(jī)號(hào)，點(diǎn)擊獲取隨機(jī)密碼，則用戶填寫(xiě)的手機(jī)號(hào)對(duì)應(yīng)的手機(jī)會(huì)收到一條短信，獲取到一個(gè)隨機(jī)密碼，用戶通過(guò)該手機(jī)號(hào)碼及短信收到的隨機(jī)密碼進(jìn)行 Web認(rèn)證。認(rèn)證通過(guò)后系統(tǒng)允許用戶終端上網(wǎng)，并且返回一個(gè)認(rèn)證通過(guò)的頁(yè)面，再次根據(jù)用戶所在的公交車位置信息判斷推送不同的廣告信息；AAS服務(wù)器AAS是基于AAA的認(rèn)證系統(tǒng)，在本方案中主要功能為配合 Portal服務(wù)器為用戶提供身份認(rèn)證。AAS也可以通過(guò)代理方式與運(yùn)營(yíng)商或者上級(jí) AAA 系統(tǒng)進(jìn)行對(duì)接，能夠直接與營(yíng)運(yùn)商的用戶庫(kù)（如手機(jī)號(hào)等信息）共享，避免用戶信息多點(diǎn)維護(hù)。AAS認(rèn)證的用戶名基于運(yùn)營(yíng)商用戶庫(kù)，所以有效的避免了其他運(yùn)營(yíng)商的用戶接入占用資源的問(wèn)題。該系統(tǒng)允許所有運(yùn)營(yíng)商的用戶能使用。第10頁(yè)----------------無(wú)線部署解決方案3.3.2無(wú)線數(shù)據(jù)加密WPA2使用加密性能更好、安全性更高的加密算法： AES-CCMP（AdvancedEncryption Standard - Counter mode with Cipher-block chaining MessageauthenticationcodeProtocol ，高級(jí)加密標(biāo)準(zhǔn)－計(jì)數(shù)器模式密碼區(qū)塊鏈接消息身份驗(yàn)證代碼協(xié)議），其主要有如下幾點(diǎn)改進(jìn)：使用 128位AES加密算法實(shí)現(xiàn)機(jī)密性保護(hù)，數(shù)據(jù)完整性保護(hù)，自動(dòng)重新生成密鑰對(duì)以派生新的數(shù)據(jù)加密密鑰，使用數(shù)據(jù)包編號(hào)字段實(shí)現(xiàn)防重播。AES-CCMP在802.1X身份驗(yàn)證過(guò)程動(dòng)態(tài)創(chuàng)建一組主從密鑰，并由該從主密鑰對(duì)和其他值派生出數(shù)據(jù)加密所需的臨時(shí)密鑰， 避免了WPA-PSK主密鑰需事先定義而可能泄露的弊端。3.3.3AC與AP之間的安全認(rèn)證為了保證AC與AP之間的訪問(wèn)安全，尤其是防止黑客或者攻擊者從市場(chǎng)上購(gòu)買同一品牌的AP，私自接入機(jī)場(chǎng)網(wǎng)絡(luò)，進(jìn)行各種高級(jí)攻擊。因此需要加強(qiáng) AC和AP之間的安全認(rèn)證。最簡(jiǎn)單的認(rèn)證是MAC地址認(rèn)證，部署過(guò)程中可以將系統(tǒng)中的合法 AP的MAC地址統(tǒng)一記錄在Radius或者AC上。AP在跟AC關(guān)聯(lián)進(jìn)行集中管理時(shí)，都需要在 AC上通過(guò)mac地址認(rèn)證才能允許 AP接入無(wú)線網(wǎng)絡(luò)；其次是密碼認(rèn)證，第一次部署過(guò)程中需要在 AP上設(shè)置相關(guān)密碼；AP在跟AC關(guān)聯(lián)進(jìn)行集中管理時(shí)，都需要在 AC上通過(guò)密碼認(rèn)證才能允許 AP接入無(wú)線網(wǎng)絡(luò)；注：前面兩種方式都是單向認(rèn)證，在 AC上認(rèn)證接入AP；還有一種更安全的方式是數(shù)字證書(shū)認(rèn)證，我們采用的 X.509數(shù)字證書(shū)認(rèn)證方法。該認(rèn)證方法是雙向認(rèn)證，除了AC上認(rèn)證AP的證書(shū)，同時(shí)在 AP上還需要驗(yàn)證AC的證書(shū)，充分保證網(wǎng)絡(luò)設(shè)備的合法性。在首次部署的時(shí)候，需要將相關(guān)證書(shū)下發(fā)到設(shè)備上。 AP運(yùn)行過(guò)程中，跟AC關(guān)聯(lián)進(jìn)行集中管理時(shí)，就會(huì)啟動(dòng)該雙向認(rèn)證，成功后才能允許AP接入無(wú)線網(wǎng)絡(luò)。第11頁(yè)----------------無(wú)線部署解決方案3.3.4其它無(wú)線安全控制技術(shù)其它無(wú)線安全技術(shù)主要體現(xiàn)如下幾方面：SSID隱藏：隱藏?zé)o線對(duì)外服務(wù)標(biāo)識(shí)，類似在開(kāi)放的環(huán)境中隱藏接入端口，保護(hù)無(wú)線接入。無(wú)線用戶接入時(shí)段控制：根據(jù)業(yè)務(wù)需要，限制終端用戶通過(guò)無(wú)線接入的時(shí)間區(qū)間，可以實(shí)現(xiàn)在非工作時(shí)間外禁止接入網(wǎng)絡(luò)。無(wú)線用戶訪問(wèn)權(quán)限控制：可以在無(wú)線接入控制器上實(shí)現(xiàn) ACL控制，放行移動(dòng)終端業(yè)務(wù)的目標(biāo)地址，阻斷其它應(yīng)用，通過(guò) ACL控制訪問(wèn)權(quán)限。無(wú)線用戶速率控制：通過(guò)限制每個(gè)無(wú)線終端的速率， 防止各種惡意或無(wú)意的高速率訪問(wèn)，確保其它用戶通過(guò)無(wú)線接入的接入速率、接入穩(wěn)定性。無(wú)線用戶相互隔離：對(duì)通過(guò)無(wú)線接入的終端實(shí)現(xiàn)隔離，阻斷相互之間的通信，不僅實(shí)現(xiàn)安全管理，也可避免終端之間的相互影響。3.4無(wú)線網(wǎng)絡(luò)管理整個(gè)無(wú)線網(wǎng)絡(luò)統(tǒng)一進(jìn)行無(wú)線網(wǎng)絡(luò)設(shè)備管理，無(wú)線網(wǎng)絡(luò)的可管理性在整體項(xiàng)目中將起到非常重要的作用。根據(jù)機(jī)場(chǎng)的應(yīng)用需求，我們提出實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的 “云管理”方案。簡(jiǎn)單來(lái)說(shuō)，無(wú)線網(wǎng)絡(luò)管理分成以下三層管理架構(gòu)：網(wǎng)管軟件對(duì)AC的管理：主要聚焦在網(wǎng)管軟件對(duì)各個(gè) AC的狀態(tài)監(jiān)控，并對(duì)AC進(jìn)行權(quán)限管理及監(jiān)控。網(wǎng)管軟件對(duì)AP的管理：主要聚焦在網(wǎng)管軟件對(duì)分布在全國(guó)任意網(wǎng)點(diǎn)的 AP的追溯管理，包括每臺(tái) AP下的終端接入數(shù)，終端流量，終端應(yīng)用。網(wǎng)管軟件對(duì)無(wú)線終端的管理：主要聚焦在網(wǎng)管軟件對(duì)接入到全國(guó)任意網(wǎng)點(diǎn)的所有無(wú)線終端的管理，包括終端流量等等。通過(guò)以上三方面不同層次的網(wǎng)絡(luò)管理，使得無(wú)線網(wǎng)絡(luò)的管理更可控。第12頁(yè)----------------無(wú)線部署解決方案3.4.1網(wǎng)絡(luò)發(fā)現(xiàn)基于IP范圍發(fā)現(xiàn)AC，手動(dòng)添加設(shè)備基于AC發(fā)現(xiàn)無(wú)線網(wǎng)絡(luò)，自動(dòng)添加設(shè)備3.4.2拓?fù)涔芾碇С志W(wǎng)絡(luò)拓?fù)鋱D的自動(dòng)生成及拖拉縮放，支持網(wǎng)絡(luò)拓?fù)浞謱臃旨?jí)導(dǎo)航和管理及自動(dòng)更新支持網(wǎng)絡(luò)拓?fù)鋱D的手動(dòng)定制及定制連接支持物理連接和邏輯連接，并在拓?fù)渖巷@示連接屬性，如端口、貸款及連接狀態(tài)3.4.3無(wú)線網(wǎng)絡(luò)規(guī)劃支持無(wú)線分級(jí)地圖3.4.4無(wú)線網(wǎng)絡(luò)監(jiān)控支持在各AC管轄下的無(wú)線AP列表支持列出客戶端列表:包括活動(dòng)客戶端列表、客戶端列表歷史、信噪比等3.4.5無(wú)線網(wǎng)絡(luò)安全支持統(tǒng)一安全策略：統(tǒng)一安全策略的創(chuàng)建及安全策略的下發(fā)和部署支持無(wú)線安全防護(hù)：包括 RogueAP列表，RogueClient列表，Rogue設(shè)備反制及無(wú)線入侵事件列表等第13頁(yè)----------------無(wú)線部署解決方案3.4.6AC性能管理支持AC性能監(jiān)控，及性能數(shù)據(jù)的管理3.4.7網(wǎng)絡(luò)流量分析支持網(wǎng)絡(luò)流量數(shù)據(jù)采集標(biāo)準(zhǔn) (CiscoNetFlow,sFlow 等)支持帶寬使用統(tǒng)計(jì)網(wǎng)絡(luò)性能瓶頸發(fā)現(xiàn)輸出網(wǎng)絡(luò)流量報(bào)告，支持基于圖形化和數(shù)據(jù)表格方式的網(wǎng)絡(luò)流量詳細(xì)報(bào)告3.4.8告警管理支持告警定義，告警呈現(xiàn)，告警管理及相應(yīng)的告警操作。3.4.9報(bào)表呈現(xiàn)支持表格和圖形混合展現(xiàn)的報(bào)表呈現(xiàn)方式可手動(dòng)、自動(dòng)生成報(bào)表，并自動(dòng)發(fā)送報(bào)表3.4.10 軟件管理支持軟件包管理及 AC、AP軟件自動(dòng)升級(jí)3.4.11 配置管理支持批量配置管理，配置文件管理第14頁(yè)----------------無(wú)線部署解決方案3.4.12 資產(chǎn)管理支持設(shè)備資產(chǎn)管理，設(shè)備資產(chǎn)信息收集和展示，并定期自動(dòng)同步3.4.13 任務(wù)和調(diào)度支持任務(wù)的查詢/修改/制定，從而實(shí)現(xiàn)按時(shí)批量任務(wù)實(shí)現(xiàn)支持一次性任務(wù)調(diào)度、周期性任務(wù)調(diào)度，并輸出任務(wù)執(zhí)行日志，并回報(bào)任務(wù)執(zhí)行結(jié)果通知3.4.14 日志管理可記錄日志，包括網(wǎng)管日志，網(wǎng)元操作日志，安全日志及網(wǎng)元日志等可操作日志，包括設(shè)置、轉(zhuǎn)儲(chǔ)、查詢和打印等并可對(duì)日志進(jìn)行定期清理3.4.15 安全管理可對(duì)用戶組進(jìn)行安全管理，包括用戶管理、管理域等可實(shí)現(xiàn)第三方認(rèn)證和授權(quán)，支持 RADIUS，TACCS,LDAP3.5QOS部署3.5.1QOS總體框架通過(guò)WMM協(xié)議，使802.11在鏈路層和MAC層提供支持QoS的無(wú)線網(wǎng)絡(luò)接入服務(wù)，加上有線網(wǎng)絡(luò)原有的應(yīng)用層、 IP層的QoS策略，提供了無(wú)線設(shè)備端到第15頁(yè)----------------無(wú)線部署解決方案端的QoS支持能力，以無(wú)線終端 Client1發(fā)送報(bào)文到Client2為例說(shuō)明Qos總體框架。802.11報(bào)文WMM協(xié)議控制Client1無(wú)線Qos調(diào)度AP802.3報(bào)文ACClientQos模塊有線Qos調(diào)度有線Qos模塊無(wú)線報(bào)文轉(zhuǎn)換為有線報(bào)文CapwapTunnelRateLimitRateLimitWMMQos模塊802.11—>802.3InnerPriority—>WMMQos模塊ACLACLWMMUP—>802.1pOuterPriorityDiffservDiffServ802.3報(bào)文802.11報(bào)文有線Qos調(diào)度WMM協(xié)議控制Client2無(wú)線Qos調(diào)度AP802.3報(bào)文ACClientQos模塊有線Qos調(diào)度有線Qos模塊有線報(bào)文轉(zhuǎn)換為無(wú)線報(bào)文RemoveCapwapRateLimitRateLimitWMMQos模塊WMMQos模塊802.11—<802.3TunnelACLACLWMMUP<—802.1pDiffServDiffserv總體框架中提供兩大部分 QoS部署：一是從client到AP之間的無(wú)線QoS部署，該部分主要是對(duì)于空中的無(wú)線報(bào)文（802.11報(bào)文）進(jìn)行各種 QoS管理和配置。對(duì)于語(yǔ)音和視頻等高優(yōu)先級(jí)流量進(jìn)行調(diào)度；二是從AP到AC之間的有線QoS部署，該部分主要是對(duì)于以太網(wǎng)報(bào)文（ 802.3報(bào)文）進(jìn)行各種QoS管理和配置。因?yàn)闊o(wú)線報(bào)文達(dá)到 AP后，就接入了有線網(wǎng)絡(luò)，報(bào)文也就是從 802.11格式轉(zhuǎn)為802.3格式，進(jìn)行有線網(wǎng)絡(luò)轉(zhuǎn)發(fā)。3.5.2QoS高優(yōu)先級(jí)業(yè)務(wù)數(shù)據(jù)優(yōu)先保證WMM QoS到802.3的CoS之間的映射：AP收到802.11報(bào)文后，AP將其中WMMQoS字段轉(zhuǎn)換為802.3的CoS字段的值，保證無(wú)線用戶的優(yōu)先級(jí)信息能夠保持不變，高優(yōu)先級(jí)數(shù)據(jù)優(yōu)先處理。內(nèi)部?jī)?yōu)先級(jí)到外部?jī)?yōu)先級(jí)的映射（未來(lái)實(shí)現(xiàn)）：數(shù)據(jù)被封裝到隧道后，內(nèi)部的優(yōu)先級(jí)不能被其它網(wǎng)絡(luò)設(shè)備識(shí)別，因此必須將內(nèi)部的優(yōu)先級(jí)映射到外部網(wǎng)絡(luò)。AP在封裝隧道數(shù)據(jù)時(shí)，會(huì)把內(nèi)部?jī)?yōu)先級(jí)映射到隧道數(shù)據(jù)的外部，保證其它網(wǎng)絡(luò)設(shè)備也能按照用戶數(shù)據(jù)的優(yōu)先級(jí)進(jìn)行轉(zhuǎn)發(fā)。AC對(duì)于QoS優(yōu)先級(jí)的處理：AC收到隧道數(shù)據(jù)后，首先解封裝，根據(jù)內(nèi)部CoS的優(yōu)先級(jí)進(jìn)行數(shù)據(jù)調(diào)度，保證高優(yōu)先級(jí)的數(shù)據(jù)得到優(yōu)先轉(zhuǎn)發(fā)。802.3的CoS到WMMQoS之間的映射：AP收到來(lái)至有線網(wǎng)絡(luò)的 802.3報(bào)文后，AP將其中802.3的CoS字段轉(zhuǎn)換為WMM QoS字段的值，對(duì)于高優(yōu)先級(jí)的數(shù)據(jù)優(yōu)先發(fā)送。第16頁(yè)----------------無(wú)線部署解決方案3.5.3管理報(bào)文高優(yōu)先級(jí)處理對(duì)AP和AC之間的管理報(bào)文,即端口號(hào)為 57776的TCP報(bào)文和端口號(hào)為57778/57779的UDP報(bào)文，設(shè)置高優(yōu)先級(jí)，可以保證管理報(bào)文的高優(yōu)先轉(zhuǎn)發(fā)。3.5.4通過(guò)clientQoS 修改用戶的優(yōu)先級(jí)AP上的clientCoS功能可以根據(jù)優(yōu)先級(jí)策略直接修改用戶的優(yōu)先級(jí)。 AP收到802.11數(shù)據(jù)后，匹配用戶的 IP地址，根據(jù)用戶的 IP匹配對(duì)應(yīng)的策略，根據(jù)策略設(shè)定的優(yōu)先級(jí)改寫(xiě)原有的優(yōu)先級(jí)，保證特定用戶的數(shù)據(jù)得到特定的優(yōu)先級(jí)。配置方式如下：配置分類表（classmap）：建立一個(gè)分類規(guī)則，可以按照 ACL、CoS、VLANID、IPV4Precedent、DSCP、IPV6FL來(lái)分類。之后，對(duì)于不同類別的數(shù)據(jù)流采取不同的策略。配置策略表（policymap）：對(duì)數(shù)據(jù)流進(jìn)行分類之后，就可以建立一個(gè)策略表，之后就可以將其對(duì)應(yīng)一個(gè)先前建立的class-map，進(jìn)入策略分類表模式，然后就可以對(duì)于不同的數(shù)據(jù)流采取不同的策略，如帶寬限制、優(yōu)先級(jí)降低、分配新的DSCP值等等。也可以定義一個(gè)集合策略，這個(gè)策略可以在同一個(gè)策略表內(nèi)部被多個(gè)策略分類表使用。將QoS應(yīng)用到AP或者AC：如果需要在AP上啟動(dòng)QoS，則在APprofile文件中增加配置的策略應(yīng)用。如果需要在AC上啟動(dòng)QoS，將策略綁定到 AC的端口。3.5.5基于用戶的限速基于用戶的限速，配置命令通過(guò) AC下發(fā)到AP上，用AP來(lái)實(shí)現(xiàn)每一個(gè)終端速度的限制。實(shí)現(xiàn)原理是對(duì)用戶的數(shù)據(jù)流量進(jìn)行精確的統(tǒng)計(jì)，按照令牌桶的原理，單位時(shí)間內(nèi)，每個(gè)用戶都會(huì)分配到指定大小的令牌，用于流量允許通過(guò)。如果超過(guò)了用戶限制的帶寬，令牌就會(huì)用完，該用戶的數(shù)據(jù)報(bào)文將會(huì)丟棄。每個(gè)用第17頁(yè)----------------無(wú)線部署解決方案戶都會(huì)有令牌桶，因此可以精確到每個(gè)用戶的限速。限速粒度為 64Kbps。對(duì)于每個(gè)用戶的上行和下行報(bào)文，設(shè)計(jì)有單獨(dú)的令牌桶，可以分別控制和進(jìn)行速率限制。限速的配置可以從兩個(gè)方面進(jìn)行，如果對(duì)于所有用戶限速都相同的話，可以從AC上通過(guò)配置AP的clientqos模塊中ratelimit參數(shù)，統(tǒng)一下發(fā)給 AP。如果對(duì)每個(gè)用戶的限速不同的話，因?yàn)橛脩魯?shù)比較多，在 AC上進(jìn)行統(tǒng)一配置明顯不行，需要在Radius上對(duì)每個(gè)用戶的速率進(jìn)行單獨(dú)設(shè)置。在用戶進(jìn)行統(tǒng)一認(rèn)證的時(shí)候，將會(huì)把限速參數(shù)動(dòng)態(tài)的下發(fā)給該用戶所在的 AP。3.6POE供電方案3.6.1POE供電模塊供電若熱點(diǎn)區(qū)域的無(wú)線 AP部署數(shù)量較少，建議采用獨(dú)立的 POE供電模塊進(jìn)行供電，無(wú)需單獨(dú)部署 POE交換機(jī)。第18頁(yè)----------------無(wú)線部署解決方案3.6.2POE交換機(jī)供電若無(wú)線熱點(diǎn)區(qū)域的無(wú)線 AP部署數(shù)量較多，為實(shí)現(xiàn)設(shè)備的集中供電管理， 建議采用POE供電交換機(jī)進(jìn)行供電。3.7網(wǎng)絡(luò)設(shè)備要求3.7.1無(wú)線AP產(chǎn)品型號(hào)無(wú)線特性接口類型物理特性WA2000-213100mW802.11b/g/n1個(gè)10/100/250mm*222mm*58mmW-PE1000Mbps電WA2000-323500mW802.11b/g/n口、1個(gè)控制口209mm*125mm*25mmW-PE500mW802.11a/n支持標(biāo)準(zhǔn) TCP/IP,IPX,NetBEUI、IEEE802.11b(WiFiCompatible),IEEE802.11g(WiFiCompatible),IEEE802.3/u10/100Base-TxRJ-45,IEEE802.3af(PowerOverEthernet),IEEE802.1p(QoSPriority),IEEE802.1q(VLAN),IEEE802.1x(SecurityAuthentication),IEEE802.11e(WirelessQoS),IEEE802.1d(SpanningTreeProtocol) 、11N HT保護(hù)模式、A-MPDU 聚合、A-MSDU 聚合、短GI、擴(kuò)展信道保護(hù)模式、信道模式 20M/40M工作模式 AP,Bridge----------------第19頁(yè)--------無(wú)線特性QOS管理特性診斷功能鏈路完整性路由安全特性電源環(huán)境特性工作溫度工作濕度儲(chǔ)存溫度存儲(chǔ)濕度

--------無(wú)線部署解決方案頻率自動(dòng)調(diào)節(jié)、自動(dòng)功率調(diào)整、 SmartWDS、輸出功率調(diào)節(jié)負(fù)載均衡（流量、用戶數(shù)）、帶寬控制、鏈路檢、WMM、VoIP接入數(shù)量控制Web、SSH、CLI、SNMP、管理代理、capwap、TR069用戶列表、臨近AP掃描、IPping測(cè)試、統(tǒng)計(jì)支持支持Radio開(kāi)關(guān)、WEP加密（64/128）、TKIP、WAPI、802.1x、MAC控制、station隔離、防XDos攻擊、WPA(2)-PSK、WPA(2)、小包過(guò)濾、廣播風(fēng)暴控制POE、220V0~+50℃5to95%RH-10~+60℃5to95%RH3.7.2AC控制器型號(hào)WNC6000-1000-AC硬件接口12個(gè)10/100/1000M電口、8個(gè)千兆SFP接口（需配SFP千兆光模塊），2個(gè)萬(wàn)兆SFP+(需配SFP+萬(wàn)兆光模塊)。管理AP數(shù)1024轉(zhuǎn)發(fā)能力80G軟件特性TCP/IP、IPX、NetBEUI、IEEE802.3/u10/100Base-TxRJ-45,IEEE802.3z1000BaseX、802.1d、802.1p、802.1q、802.1x、802.11、802.11b、支持協(xié)議802.11a、802.11g、802.11h、802.11i、802.11e、802.11n、CAPWAP、DHCPServer、DHCPClient、DHCPRelay、DNSCient、NTP（Server第20頁(yè)----------------無(wú)線部署解決方案andClient）、VRRP等IP路由RIPv1/v2、OSPF、BGP、StaticRouting、RIPng、OSPFv3等組播IGMPv1/v2/v3、PIM-SM、PIM-DM、PIM-SSMIPv6TCPv6、UDPv6、ICMPv6、Pingv6、TraceRTv6、Telnetv6、DNSv6、IPv6ND、IPv6PMTU、IPv6ACL、IPv6靜態(tài)路由MPLS支持LDP、支持mpls轉(zhuǎn)發(fā)、MPLSping、MPLStracerouteAP發(fā)現(xiàn)靜態(tài)IP發(fā)現(xiàn)、DHCP發(fā)現(xiàn)、DNS發(fā)現(xiàn)等AC的方式漫游支持AC內(nèi)漫游、支持跨AC間漫游、支持二/三層漫游Radio開(kāi)關(guān)、無(wú)線模式選擇(802.11a/b/g/n)、手動(dòng)或自動(dòng)信道選擇、手射頻管理動(dòng)或自動(dòng)功率調(diào)整、自動(dòng)速率選擇、支持WMM、強(qiáng)制STA漫游、支持MultiBSSIDWEP(WEP64/WEP128/WEP152)、WPA-PSK、WPA2-PSK、WPA、安全特性WPA2、WAPI、802.1X認(rèn)證、Web認(rèn)證（支持內(nèi)置Portal）、PPPoE認(rèn)證、防DoS攻擊、ACL控制（支持基于MAC地址和IP地址的接入控制）、STATION二層隔離備份功能1+1、N+1、N+N設(shè)備管理Web、SNMP（v1/v2c/v3）、Telnet、SSH、SHELL物理指標(biāo)電源AC220V；RPS-48V尺寸440mm*254mm*66.6mm環(huán)境參數(shù)工作濕度（非凝露）儲(chǔ)存溫度儲(chǔ)存濕度（非凝露）

5%～90%-40℃～60℃5%～90%第21頁(yè)----------------無(wú)線部署解決方案3.7.3AAS服務(wù)器硬件規(guī)格處理器 Intel/AMD 雙核3G內(nèi)存 4G硬盤 500G固定接口 2個(gè)1000M接口長(zhǎng)×寬×高尺寸 660x430x88(mm)輸入電壓 600w電源 雙電源互備軟件規(guī)格功能點(diǎn) 子功能 功能描述PAP認(rèn)證Non-EAP認(rèn)證CHAP認(rèn)證EAP-MD5 認(rèn)證EAP認(rèn)證 EAP-PEAP+MSCHAPV2 認(rèn)證EAP-TLS認(rèn)證PAP認(rèn)證PEAP+MSCHAPv2 認(rèn)證AD代理認(rèn)證PEAP+GTC接入認(rèn)證 TTLS+PAPPAP認(rèn)證LDAP代理認(rèn)證 PEAP+GTCTTLS+PAPPEAP+GTC->PAPRadius代理認(rèn)證TTLS+PAP->PAPPAP認(rèn)證Radius中繼認(rèn)證 CHAP認(rèn)證EAP-MD5 認(rèn)證第22頁(yè)----------------無(wú)線部署解決方案EAP-PEAP+MSCHAPV2 認(rèn)證EAP-TLS 認(rèn)證支持基于不同 SSID的MAC地址黑白名單MAC接入認(rèn)證功能用戶與wlanssid綁定用戶與接入設(shè)備（ AP、交換機(jī)）MAC地址綁定擴(kuò)展認(rèn)證 認(rèn)證綁定用戶名與證書(shū)名綁定用戶與終端 MAC綁定用戶自動(dòng)綁定前 2次登錄的MAC地址錯(cuò)誤登錄次數(shù)控制認(rèn)證控制重復(fù)登錄次數(shù)控制支持IP地址下發(fā)授權(quán)支持一個(gè)用戶綁定多個(gè) IP地址終端授權(quán)支持ACL指令、VLAN配置下發(fā)支持QoS和優(yōu)先級(jí)授權(quán)支持enable15級(jí)授權(quán)，支持$enable$賬號(hào)進(jìn)行認(rèn)證和授權(quán)，針對(duì)不同的用戶可以綁定$enable$進(jìn)行認(rèn)證（不同用戶該密碼不同） ；設(shè)備操作授權(quán)授權(quán)支持0-15級(jí)授權(quán)接入授權(quán) 支持command 授權(quán)，能夠支持對(duì)管理設(shè)備的command命名進(jìn)行授權(quán)支持根據(jù)分組設(shè)置授權(quán)策略， 能夠支持分組方式制定AAA授權(quán)策略。如 802.1x接入時(shí)間控制(時(shí)間規(guī)則保持當(dāng)前 AAS以實(shí)現(xiàn)的授權(quán)策略 規(guī)則方式，基于有效期和周期日方式的策略，并且這兩種策略可以疊加使用 )、ip段的分配、對(duì)交換機(jī)的 ACL和vlan配置下發(fā)。以上策略可以在單獨(dú)的用戶上配置第23頁(yè)----------------無(wú)線部署解決方案支持代理認(rèn)證用戶授權(quán)，設(shè)置代理認(rèn)證用戶的授權(quán)規(guī)則，讓不同的代理認(rèn)證用戶在認(rèn)證后擁有對(duì)應(yīng)的權(quán)限，例如：ACL、VLAN等，需要考慮授權(quán)策略優(yōu)先支持基于時(shí)間授權(quán)，支持基于有效期和周期日方式的策略，并且這兩種策略可以疊加使用用戶組的IP地址段范圍設(shè)置、時(shí)間段有效用戶組管理規(guī)則配置用戶數(shù)據(jù)過(guò)濾、用戶賬號(hào)、PAP密碼、CHAP用戶配置密碼、分配IP地址、終端屬性綁定、用戶時(shí)間段有效規(guī)則等參數(shù)管理用戶安全帳號(hào)用戶密碼策略控制用戶監(jiān)控在線用戶的監(jiān)控與管理用戶管理統(tǒng)計(jì)有效用戶、無(wú)效用戶信息，支持Excel報(bào)表導(dǎo)出支持根據(jù)時(shí)間查詢出即將過(guò)期的用戶，并可用戶統(tǒng)計(jì)管理以多選后批量重新設(shè)置有效期和密碼支持根據(jù)時(shí)間段統(tǒng)計(jì)用戶“活躍度”（登錄次數(shù)），并根據(jù)“活躍度“進(jìn)行排序AD用戶同步從AD服務(wù)器同步用戶帳號(hào)用戶密碼修改提供web頁(yè)面，供用戶自助修改密碼生成證書(shū)生成服務(wù)器認(rèn)證證書(shū)證書(shū)管理安裝證書(shū)安裝服務(wù)器證書(shū)用戶登錄日志管理用戶登錄訪問(wèn)日志管理日志管理管理員操作日志管理管理員操作日志管理主備服務(wù)器日志同步主備服務(wù)器日志同步數(shù)據(jù)備份數(shù)據(jù)管理數(shù)據(jù)導(dǎo)出導(dǎo)出備份數(shù)據(jù)第24頁(yè)----------------無(wú)線部署解決方案數(shù)據(jù)導(dǎo)入 導(dǎo)入數(shù)據(jù)文件數(shù)據(jù)同步 主備服務(wù)器數(shù)據(jù)同步批量用戶導(dǎo)入 導(dǎo)入批量用戶數(shù)據(jù)支持雙機(jī)備份，保證系統(tǒng)可靠性支持定時(shí)從主機(jī)同步用戶信息到備機(jī)， 定時(shí)雙機(jī)備份 支持雙機(jī)備份時(shí)間可配置;支持備機(jī)log可以實(shí)時(shí)同步到主機(jī)3.7.4Portal服務(wù)器功能點(diǎn)子功能功能描述Portal可接受用戶認(rèn)證請(qǐng)求，通過(guò)Portal協(xié)議用戶身份認(rèn)證與設(shè)備交互，完成認(rèn)證過(guò)程，并通知用戶認(rèn)證結(jié)果用戶主動(dòng)下線用戶點(diǎn)擊web按鈕，可實(shí)現(xiàn)主動(dòng)下線，退出網(wǎng)絡(luò)訪問(wèn)支持穿越NAT接支持接入設(shè)備（例如：AC）在NAT后面的場(chǎng)入認(rèn)證景，實(shí)現(xiàn)NAT穿越支持動(dòng)態(tài)驗(yàn)證碼登錄時(shí)支持動(dòng)態(tài)隨機(jī)驗(yàn)證碼，防止惡意密碼猜Portal接入驗(yàn)證測(cè)用戶在Portal登錄頁(yè)面輸入自己的身份標(biāo)識(shí)信息（身份證號(hào)或者銀行卡號(hào)）、手機(jī)號(hào)后，支持通過(guò)短信獲Portal網(wǎng)關(guān)將身份信息送到后臺(tái)服務(wù)器進(jìn)行保取動(dòng)態(tài)密碼存，然后通過(guò)短信方式下發(fā)密碼給來(lái)賓用戶手機(jī)，來(lái)賓用戶將該密碼填寫(xiě)在Portal界面后就可以訪問(wèn)無(wú)線網(wǎng)絡(luò)資源。支持用戶在第一次登錄輸入用戶名、密碼登錄終端無(wú)感知認(rèn)證成功后，在后續(xù)登錄過(guò)程中，可直接進(jìn)行登錄第25頁(yè)----------------無(wú)線部署解決方案網(wǎng)絡(luò)，無(wú)需輸入用戶名和密碼支持Portal認(rèn)證成功后，由Portal服務(wù)器推送推送頁(yè)面定制定制頁(yè)面給終端，定制內(nèi)容包括快速鏈接、廣頁(yè)面定制告背景頁(yè)面等用戶可在Portal服務(wù)器定制登錄頁(yè)面Title、Portal服務(wù)器客戶圖片，登陸后頁(yè)面左邊欄鏈接和主界面背景圖定制片；查看所有在線用支持查看當(dāng)前所有在線用戶信息，包括用戶戶信息名、登錄時(shí)間、使用時(shí)長(zhǎng)；查看當(dāng)前用戶信支持用戶查看自己當(dāng)前登錄時(shí)長(zhǎng)、登錄時(shí)間信用戶管理息息可強(qiáng)制下線指定管理員可強(qiáng)制