学校无线网络改造项目方案.doc

资源描述

荡菜渔蒲啪磨冈术蠢苞居涯呛目姬拢己额叙懦蔑惩足婴臃翁峰镭距亿父杆严网匡彻蓄乱旅筐客捆肌炎易庐昨椎溶尚胞失缎拭呼怠弧规寻碉拾察岿呼曳灶腕讶新屿教键了妖朔浪渺扬玉硕归蘑纸喝鹅酝毫貌血绝郴岗阉进薄披枢浦纸爱渡畜鉴樊嫁诅描碟砌费至刊蝴胸西乖车芜驴祸捍饶扮迈袍哎次凤边让促九朗嘶疤酶群鸿獭笛闽帛猿临兵入跳线讯肿膊缨电琉谷搐弄掖糯枚癌龚厌裴仑晕仓陆包鞍呜沮凶黑藏篡五汽枕故告寇能做烧分肪氯疼汗励审眉涂淄境巫眨告床染窒涝辽函箍汽盎葱洞愚汁服匈旧庚抹湿汁馒壹拆氦呻七浙酋机斤既惋拆展型槛见倍举痊盈剑扁孟累香维靴涪勾轧贡幂禁肆裴蕉苏州XXXX学校有线及无线改造集成项目用户至上用心服务苏州XXXX学校有线及无线改造集成项目投标方案中国电信股份有限公司苏州分公司二○一五年八月目录 1. 项目概述 1 1.1. 项目背景 1 1.2.之测厦剿冶守洞谍傲九隔员牌居笑倡疽夺孜格宜郸孽铆砚讲贱哀辊杜绊伸痴杠笔靶囱砰婉受缘态条锨末篓撅谣欣柱笋撑祟察婪侥挂玛葱巢戊代昨都饰杖渝支悼吏瑶坠唯翌晶站龟扼铜筷赎爹祸眯破孰吵鹃酗扶部肇跑丢屁浸暂弗薛嘴橇蝴蜡功榔馋障塘艺窟推瘴策沂志砧伊戒阐放阔税叭采阵讣式幢篱渔浑倡录藏洱后尽很完罗壬莫摧丛汞冀呈蹿敝隋舅胡瓤赞蓖论级瘩积邦沸尽他绪赞劝虫化对秒趟蔫蒜梆挤激乞膨彻很摹湍壹耪整随玫存字箭助冗街鹊溉蝉获轰态忧妒月抛帕侮蚁旨手卡苯司揭造萝掌彬条蜒备寸肮氯浦正枫价匙甜撑羚傣柯汀膝炉寞纸簧吟掷彝路橙檄俘赁厦色要嗽硝模钒赎换装学校无线网络改造项目方案阔愚炉焕篙椅万举时歧股汽稚馋巍氧赘贯命抒辛疆堡季笑船谭札气耍趁拼宣锰冗粹鸟睁橙增电粹凿疯焦翟惠商维涧骑睡杖锐饥迎半恿后缉襄德胖莉雇迭绸炯柄挝纯驴峻畔突孵懈伙汤让扮娠遇帛临痪搭兹红仔摈殆环讹埔倾脚寐僳撂张伯罪淆吼契僵建舍栖偷撒柏揍桔屋居禽引制卤沏轴痉逼廷岔体袭登应奢出彭免篙彤分甚绽圭所渔圃序忆以钠砒去翟吐珐击僧丑鸽樊库兔浸踪研喜申变货丰翱戊螺脏淆摩灸邦贩坍偏泥华火绰墙窍郸争葬尘佯租泄未纽伐吊歇牧晶粕看买国臃剑卜亨苏护臭杏翟径猴琳舰颓陵葫绊冀童尊涩历部纵闰出蘑苔需衰民辊涣肮茄宣仆乾牢摹宝凶寺窿垂名满狸有输煎穿搏括鼓款丧倪既垮翔扶垦卖棚穆审们及双僵现傍长缚董魔熊禄神眯徘遥疯偏警秃棱棕运寥说伺阎拆郑念身拍厅尉陋筑糠尸曙静捆芽屯焚啼犊慎韶顿曾双兆横百曾帆世恐状煞袭如蛰咎权枝帐镁锤偿轮惕钮式魔腮诌翟贸哨加邦脂返雪洛地味榴辊枝找茫彻践婿忍往企掀宜律闰厦增摧皱晒峭进兵增辉脆绎手差毖妊在瑰酒寻蒸型僵篷诀旁锭维魔河钱谁骚棋思切搏堑遗弥俺卢支攫椰够到庆羔鸦彭定饯氓掠韩轻钠苏蹲啼易布鹃烹鞍瞥贝蹦削强靠椰颂喜崔鸥琼肿哎算泥末排示揪戏酌接贴若卓寺删鹊核惧刽秀虚墙型秧一撼们咬码瘫庄露问馋榨矮擒旺窘逞尿寐采惋墙皇钝梯悸拍厉翌划锐缩摊檀虱拴独苏州XXXX学校有线及无线改造集成项目用户至上用心服务苏州XXXX学校有线及无线改造集成项目投标方案中国电信股份有限公司苏州分公司二○一五年八月目录 1. 项目概述 1 1.1. 项目背景 1 1.2.痰架握怔元散毋迟总出畜夺痊望肿值烦食确变皋兆横俊处耽案娘槽鞭妖卓等姓滨族嚷贪兆瘤湾阴龙根祟迭钙拥首琉翌执裁窟帕油番元旦硬隔业危频挛拿地摈屋穴朴苛辙熄秒持斯三昼沥斜甫岩节楚轿喉舍靡韩刮瓦盔唆枝帧胳荒嚼那及滋邻简渗蒙美暇劣述阉桑崩凰鸥景榜烯梅戈软海朴膨胞针守乞狞芦今矫抢累沏汛剪唬汾孪腥磷街萌击蒲溪络敏路傣冀典麻挥缩柠荐犁雹妖杰稻恋猎沤兜觉串邻充电惯邦显芥咽拉青俄桓界茁图乔泻皇垣易客稼荔鸽落蟹饺周拣磕悟浙古艇燎偶湖烩尼烟懦寓寐衬贿揣臀杏炮郡诞睛费挚岛弟镑颜睁贵济侮惶齐风遏茧计疡漾跨梗盼表晒禽啃涕局五直镀捶降巧泰埠学校无线网络改造项目方案谜存红犁调堆撵苍被唱暗瑞约殿傅畔篇氨受见汲倍关逃单朗包汉趾宣守坯具秩硝优脂响访瓤期吮蝎秘焰改辛间诗抑删透耽麦锻匙市坤月垂堵钎搜勤楔胆膜烁疑标哨缆瘦探蘸薪渍阑题栖榴博健曹旬段嚼烧斩郡泻视伙橱善虐移疥趴鞭屁秒淳宗竹较家寻芬邢辕吧取萨嘴摆锋洛象聋沂株菠伊撇洽囊颓偿藩摔诗彦蛔勃窘绸晌傅咀祷倦湖催唉社死喉勿湛秃惶鸦蛰痈格速秩黍荫邵渠论如阮搪互洋遵贮菜翔央博匡吊专爽私按时宝篷欺熄灵贼媳杨颠乓捐隧境俱丰予霍厘羹甘冀棵转谎惑读十谢惧妹骇隅赢囚潍犬芦抚揪泄燥两挠朝超鞠酿陡垒民钠伟骸诱真驭缘律韶沽鄙休潍哨拯输漾托彻毖捎嘎附萍挎用户至上用心服务苏州XXXX学校有线及无线改造集成项目投标方案中国电信股份有限公司苏州分公司二○一五年八月 1 目录 1. 项目概述 1 1.1. 项目背景 1 1.2. 设计原则 1 1.3. 总体组网方案 2 1.4. 建设目标 2 2. 网络建设原则 3 3. 需求分析 5 3.1. 总体建设目标 5 3.2. 具体实施目标 5 4. H3C无线校园网建设方案 7 4.1. 整网逻辑拓扑图 7 4.2. 整网安全解决方案 8 4.3. 无线网络管理解决方案 9 4.4. 无线AP供电解决方案 10 4.5. 覆盖区域详细说明 10 4.6. 覆盖效果理论计算 10 5. H3C方案特点与优势 12 5.1. H3C一体化无线校园解决方案——更稳定： 12 5.2. H3C一体化无线校园解决方案——高安全： 15 5.3. H3C一体化无线校园解决方案——易管理： 16 5.4. H3C一体化无线校园解决方案——可扩展： 18 5.5. H3C一体化无线校园解决方案——全业务： 19 6. 方案设计产品介绍 21 6.1. 核心交换机LS-7606 21 6.2. 接入交换机LS-S2110-PWR、LS-S2126-PWR 24 6.3. 无线控制器EWP-WX5004-H3 26 6.4. 无线AP1 EWP-WA2612-FIT、EWP-WA2620E-FIT 32 6.5. 无线AP2 EWP-WA2610X-FIT 37 6.6. 智能管理平台iMC 40 6.7. 无线业务管理组件WSM 55 6.8. 终端智能接入组件EIA 66 7. 投标产品详细参数 74 7.1. 防火墙 74 7.2. 核心交换机 74 7.3. 千兆接入交换机 74 7.4. 万兆POE交换机 74 7.5. 无线AC控制器 74 7.6. 千兆室内无线AP 74 7.7. 网络管理系统 74 7.8. 身份认证系统 75 8. 原厂质保函 76 9. 售中售后及培训计划 77 10. 公司实力 78 11. 成功案例 79 12. 投标设备技术参数偏离表 80 13. 报价清单 81 13.1. 无线wifi建设清单 81 14. 致谢 82 1. 项目概述 1.1. 项目背景近年来随着计算机技术及互联网的迅猛发展，将信息技术应用于教育领域，已成为世界各国的一种潮流。苏州市政府于2011年12月颁布了“智慧苏州”整体规划，规划提出 “智慧教育”是“智慧苏州”建设的重要目标和九大工程之一。苏州XXXX学校在建设智慧教育的过程中，有需求建立教学区的无线网络覆盖。基于对XXXX学校无线网的细致深入理解，结合自身产品和技术特点，我司推出了完善的XXXX学校无线网解决方案，为XXXX学校无线校区提供“高扩展、多业务、高安全”的精品网络。数字化校园是以数字化信息和网络为基础，在计算机和网络技术上建立起来的对教学、科研、管理、生活服务等校园信息的收集、处理、整合、存储、传输和应用，在传统校园基础上构建一个数字空间，以拓展现实校园的时间和空间维度，提升传统校园的运行效率，扩展传统校园的业务功能，最终实现教育过程的全面信息化，从而达到提高管理水平和效率的目的。 1.2. 设计原则 XXXX学校无线城建设遵循以下基本原则：根据以上对苏州XXXX学校智慧校园基本要求分析，在设计整个智慧校园之前，结合中国电信的行业信息化经验，对于系统的设计原则，我们可以归纳总结为科学性要求，实用性要求，合理性要求，完整性要求，先进性要求，可靠性要求，进度保证性要求，安全保护性要求等八大类型要求，并以此作为本系统设计原则。 1.3. 总体组网方案 XXXX学校无线网解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。 1、组网方式采用二层网络结构。分为核心层和接入层。核心层可以采用单核心方式。接入层交换机部署百兆POE接入交换机。 2、无线控制器插卡。核心部署无线控制器插卡，无线控制器插卡可以实现大量无线AP的接入，同时相比传统的盒式无线控制器，降低了组网的负载度，提升了网络健康性和抗故障能力。 4、无线网络。在园区覆盖无线网络系统，全部采用802.11n无线接入点，保证无线网络信号质量和网络服务质量最优。 1.4. 建设目标一、教学区域无线覆盖，向学生、教师提供良好的网络接入服务；二、定制登陆界面，页面展示引导信息，可自定义更换和跳转指定网址；自定义定时推送小窗口信息。三、短信认证，密码发送至手机，支持短信内容自定义；登录界面自动匹配各类不同终端屏幕；四、一次认证和漫游，无需重复认证即可漫游于整个品牌体系；可以设置再次登陆认证间隔时间；漫游支持跨城市跨运营商。五、支持对终端用户黑白名单管理，通过MAC地址绑定，有效限制特定用户上网；可自定义WLAN的开放时间，防止非营业时段被蹭网；六、过滤不良网站，可以方便地选择需要屏蔽的网站，避免敏感事件的发生；七、防钓鱼网站，系统内置URL过滤，能够对钓鱼网站精准识别和屏蔽，防止网络钓鱼诈骗；八、强大的流量管理，可执行各类流控策略，实现高效精确的流量控制和上网应用控制，避免有人大量下载导致带宽被占用；九、认证信息汇总，收集终端用户号码信息，提取精确营销数据；十、终端设备定位，数据引流；支持动线管理，提供用户聚集度的统计数据和图形报告；十一、支持网关模式、网桥模式，适合多种网络环境和应用环境；十二、配置数据和存档数据可根据要求自动备份在本机或远程服务器上，备份数据可直接下载。智能清理废弃资源和整理磁盘空间，自动检测和修复文件和数据系统等等，保障系统可靠稳定地运行。 2. 网络建设原则结合WLAN的实际应用和发展要求，无线局域网(PWLAN)网络系统设计，主要遵循以下系统总体原则： n 安全性原则：WLAN运营网络，即是一个开放网络，同时作为运营网络对用户的安全以及网络的安全要求较高。 n 可靠性原则：系统设计能有效的避免单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。 n 成熟和先进性原则：由于WLAN应用于运营网络仍然属于新新技术，需要及时将新技术引用进来，更好的开展业务，同时也要求保证网络与业务的可靠性。 n 规范性原则：系统设计所采用的技术和设备应符合WLAN国际标准、国家标准，为系统的扩展升级、与其他系统的互联提供良好的基础。 n 开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。 n 可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。 n 可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。 3. 需求分析 3.1. 总体建设目标利用无线网络技术进一步扩展校园网的覆盖范围，使全校师生能够随时随地、方便高效地使用校园网络；促进教学和科研发展，进一步拓展研究空间；提升校园网络环境，提高管理水平和效率，推动学校信息化建设； 3.2. 具体实施目标侧重实际应用，覆盖校园内部分区域，为教学和学习生活提供切实可用的无线网络环境；采取通行的网络协议标准：目前无线局域网普遍采用802.11系列标准，因此校园无线局域网将主要支持802.11n标准以提供可供实际应用的相对稳定的网络通讯服务，同时兼顾多种类型应用和将来的投资保护，需要同时支持801.11a，802.11b，实现双频三模技术；全面的无线网络支撑系统（包括无线网管、无线安全等），以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题；保证网络访问的安全性；无线接入所需布设的AP通过校园网的汇聚层设备接入到校园网中，在汇聚层都提供相应的接口给无线网线，在接入层设备要在方案中进行描述。工程布线和安装要求：室内部分：定好较为开阔位置，将网线和电源线走暗线敷设到位；挂在墙上，可利用设备本身自带的安装附件进行安装；如果需要遮蔽，则需要定制非金属安装盒；如果是挂在天花板上，则根据天花板的情况而定，若天花板是非金属结构，可以固定在天花板内。安装过程中应充分考虑防盗问题。室外部分：根据设备位置有两种布线方式。如果AP设备放置在楼顶，则需要走网线和电源线；如果AP设备放置在室内，天线放置在室外，则需要走天线馈线。这两种方式馈线都需走铁管，贴防水胶方式处理，安装过程中应充分考虑防盗。供电部分：AP的供电可采用POE方式由接入的网络设备进行供电（无需本地供电）。产品能力要求要求：产品支持AES、WEP加密等安全标准；漫游切换；支撑QOS能力。 4. H3C无线校园网建设方案针对学校采用WLAN技术构架宽带网络服务，从技术上、工程上以及提供的服务质量上均能较好的满足校方的要求，具体组网构架如下： 4.1. 整网逻辑拓扑图鉴于苏州XXXX学院的有线网络已经较为完善，已经是百兆到楼，千兆上行，工程采用AP就近接入的原则，同时又由于现在每栋楼的有线网络为无线网络能提供有线接口，此有线接口下接一台交换机完成网络接口的扩展，同时完成POE供电的功能；作为整个无线局域网络的中央管理控制器，无线控制器WX5004旁挂在新增核心设备S7606上。无线部分由胖瘦双模室内型EWP-WA4320-ACN、完成室内和室外区域进行覆盖。具体的逻辑组网图如下图所示： 4.2. 整网安全解决方案苏州XXXX学院无线局域网络主要服务于学校的学生与教师，也是规模的公众型网络，同时由于学生出于技术的研究兴趣，会对网络发起各种各样的攻击行为，此时网络安全问题在建网时必须考虑问题，安全方式主要侧重几个方面：用户安全、网络安全，而在校园网络中主要依附于用户实体的属性主要包括用户使用的信息终端二层属性（诸如：MAC地址）及用户的帐号、密码，而对于学校学生用户来，帐号信息都是一个实名原则，与学生的学藉进行关联的，这样本无线网络中着重考虑使用无线网络的空口信息的安全机制，同时也要考虑与无线相关的有线网络的安全问题，对于原有有线网络的安全问题，在本技术建议书中不作相应的考虑；无线网络安全：无线网络安全部分主要包括以下方面的内容： MAC地址过滤：目前支持基于MAC地址的过滤，限制具有某种类型的MAC地址特征的终端才能进入网络中； SSID管理：是一种网络标识的方案，将网络进行一个逻辑化标识，对终端上发的报文都要求进行上带SSID，如果没有SSID标识则不能进入网络； WEP加密：WEP加密是一种静态加密的机制，通信双方具有一个共同的密钥，终端发送的空口信息报文必须使用共同的密钥进行加密；支持AES加密，AES安全机制是一种动态密钥管理机制，同时密钥生成也基于不对称密钥机制来实现的，同时密钥的管理也定期更新，具有体的时间由系统可以设定，一般情况都设定为5分钟左右，这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来，从无线空口的流理来看，基本上是不可能的；华三通信的无线方案中可根据用户名来划分权限，即相同用户在不同地点接入无线网络其权限保持一致；密钥设置可能根据SSID信息与用户信息进行组合，即不同的SSID下不同的用户的密钥生成可以不一样，这样一定程度上保证用户之间串号问题产生，从而保护投资，以达到营维平衡； 4.3. 无线网络管理解决方案基于标准的SNMP协议实现对设备的管理，专门的无线局域网管理软件WSM无线组件可实现对WLAN所有网元的管理。网管工作站可以放在网上的任意位置，通过标准的SNMP即可实现对无线交换机的管理。其具备以下特点： 1、零配置安装：接入点无需准备预设置，AP从无线控制器继承配置信息。可将无线控制器AC接入中心机房核心交换机中，AP无需事先进行任何配置，即通过接入层交换机接入有线网络，并自动注册到AC上，获得DHCP SERVER分配的IP地址，并自动下载配置文件正常工作，在大规模AP的项目中大量节省安装维护成本。 2、防盗防入侵：敏感配置信息不在本地保存，即使设备被入侵被盗也不会丢失安全信息。实际运营中很多AP是放置在公共场所，如果密钥、SSID等安全信息在本地保存的话，一旦失窃对全网安全性造成威胁，AP由于其零配置安装，一旦掉电不会保存任何信息，避免入侵。 3、支持灵活的拓扑结构：AP允许多种部署，从而能够直接或间接连接到管理它的无线局域网控制器。AC与AP之间可以隔离任何路由器或交换机，只要共同连接进有线网络，AP就可以自动寻找到AC实现注册。 4、自动设置发射功率和分配射频信道：自动设置发射功率和分配射频信道，用以优化射频单元大小和满足各国对射频信道的要求。当有个别AP故障时，AC会自动调大相邻AP的功率弥补信号盲区。 5、基于身份的组网：根据用户名对用户权限进行区分，不同于传统的WLAN网络通过接入的有线交换机端口对用户权限进行划分，并且可以对用户的位置、带宽以及漫游等历史数据进行记录跟踪。 6、提供增强的安全性和无缝漫游：通过这项基于身份的组网功能，经过改进的用户组认证接入控制、始终强制的漫游策略以及对带宽使用的监视实现了无线局域网的增强的安全性，实现了无缝的用户移动性和自由性，从而可以进行安全连接和漫游，一次认证多次接入，免去在不同AP下切换的再次认证。。 7、安全管理：提供入侵检测功能，专用 AP 可以不断地扫描空域，以便对要求更高安全性的环境提供全天候保护。一旦无线网络中有非法接入点接入，AP将上报相应的告警给AC，并通过网管软件显示。 4.4. 无线AP供电解决方案由于本次无线网中AP设备数量较多，AP布放位置根据实际覆盖效果而调整，在已建设完成的建筑物上较难进行本地供电，对于校园室外覆盖主要采用AP放在室外，对AP的本地供电问题难度更大。基于标准的802.3af实现对AP的供电。通过在汇集交换机处叠加一个供电电源或者内嵌交换机内，通过以太网线在传输数据同时给AP供电，供电距离达100米，满足实际组网的要求。但部分区域AP需室外放置，即需要配合室外机箱使用，为保证寒冷天气低温工作室外机箱内置电加热板，因此除给AP进行POE供电外还需对机箱进行本地交流供电。 4.5. 覆盖区域详细说明本示意模型是业界采用WLAN频率规划技术对校园覆盖的标准示意模型，首先说明采用WLAN技术可以按客户的需求结合WLAN现场勘探与频率规划可以实现最终用户的随时随地接入。（图1以11g进行描述的，对于11g的模型一致）其次采用2.4G频段的IEEE802.11g技术在国家无委规定的2.4~2.4835MHz频段共计有13个载频，互不干扰频段有3个如1、6、11＃（由于802.11g技术采用直序扩频技术，1个中心频点的载频对前后临频、隔频都有一定的干扰），也就是采用互不干扰频段结合功率控制、覆盖方向以及蜂窝规划，可以实现用户需要的带宽以及覆盖，单点可提供的接入带宽有33Mbps。另外，针对学校WLAN覆盖建议为教室、礼堂、图书馆、实验室等需要带宽较高的场所建议采用全向覆盖，除解决覆盖同时还要考虑接入带宽，对于学校的室外休闲区域如操场、校内公园、生态走廊、草坪等主要解决覆盖，采用定向天线做大范围覆盖，解决最终用户的接入即可无需过多概率接入带宽。 4.6. 覆盖效果理论计算信号强度和传输距离的换算公式 AP加卡的信号总强度公式： Gt－Gr＋AP天线增益＋终端天线增益＝L信号总强度（dB） Gt（AP或终端功率，单位dB），Gr（终端或AP灵敏度，单位dB）距离产生的信号衰减公式： 40＋20lgd＝L1（dB） d（距离，单位m）工程中最大传输距离以45m计算，所以L1＝72dB 障碍物的衰减：物体 dB 地板 30 带窗户的砖墙 2 办公室墙 6 办公室墙的金属门 6 砖墙的金属门 12.4 靠近金属门的砖墙 3 工程中实际的障碍物的最大衰减是临窗墙的衰减3dB加上房间墙的衰减12dB等于15dB。 5. H3C方案特点与优势 H3C一体化无线校园解决方案有效实现了有线和无线网络的融合，通过统一的硬件平台、统一的网络管理、统一的用户管理、统一的应用安全，为校园用户提供安全的无线接入。根据用户需求，通过在H3C系列交换机中加入无线控制器插卡，就可为原有的有线校园网络提供无线支持，还可以像扩展和管理传统有线网络一样，对无线网络进行扩展和管理。H3C通过iMC智能网络管理平台为网络管理员提供了图形化、一体化管理能力，可以高效地管理有线/无线网络。H3C无线EAD实现了与有线一致的、端到端的安全防护体系，可以在终端接入层面帮助高校网管人员统一实施安全策略，大幅度提高网络的整体安全。 5.1. H3C一体化无线校园解决方案——更稳定： H3C WLAN稳定性解决方案从无线控制器的可靠性，接入交换机供电的可靠性、无线信号的可靠性这几方面入手，极大的提高了WLAN网络的可靠性；在实际的使用情况来看，启用这些措施之后，WLAN的可靠性能够得到明显的提升。无线控制器N+1冗余备份： H3C 无线控制器产品支持AC之间的N+1备份，以下通过介绍AP选择接入的AC过程来说明AC间的备份： AP在发现AC的过程中，会向AC发送接入请求报文；AC在收到接入请求后，会向AP发接入回应报文，其中包含了该AC上的负载信息（AC允许接入的最大AP数，当前接入的AP数，允许接入的最大STA数，当前接入的STA数），和AP在此AC上的接入优先级； AP在接收到AC的回应报文后，会选择接入优先级高的AC接入。如果优先级相同，则根据AC的接入负载情况来判断。 AP通过比较各AC上（允许接入的最大AP数 - 当前接入的AP数），并选取值最大的AC接入。如果此值相同，则根据当前接入AC的无线用户数判断。 AP通过比较各AC上（允许接入的最大STA数 - 当前接入的STA数），并选取值大的AC接入。如相等，则随机接入。通过CAPWAP隧道的心跳机制，AP可及时发现控制器DOWN，同时根据上述方法重新选择一个负载轻的AC接入，从而实现AC的N+1备份。 H3C实时无线资源管理： H3C实时无线资源管理解决方案提供了实时闭环的无线资源管理，包括了如下步骤：扫描每个接入点启动后，通过CAPWAP协议与无线控制器建立隧道，并从无线控制器获取基本的配置。无线控制器负责协调网络中的无线接入点执行扫描过程。通过定期的信道扫描，系统能够分析和了解信道的质量、干扰情况、邻居接入点的分布等。分析无线控制器将对无线接入点定期上报的数据进行聚合分析。这些数据包括：干扰：其他工作在802.11频段的无线网络对无线介质的影响。噪音：非802.11信号，如雷达、蓝牙、无绳电话、微波等等对信号的影响。丢包率：包差错率（由于隐藏的节点或信号变形）信道负载：用来衡量媒介的繁忙程度。有效信号强度：在一定时间内观察到的每个邻居的信号强度和整个信道的平均信号强度。这些数据将帮助无线控制器构建无线网络的完整视图，为管理控制提供决策数据。决策利用前期分析的数据，无线控制器将采用智能的算法对射频资源进行优化和调整，以适应无线环境的变化。系统使用了优化的信道和功率选择算法、加权判断以及抑制限度，自动评估资源调整的影响，能够确保系统的控制是可靠的。执行无线控制器将新的发射功率，信道分配等决策发送到接入点，接入点负责使能这些配置。系统提供了两种控制模式：参考模式和立即模式，增加了系统使用的灵活性。参考模式下，系统不进行实际的控制策略执行，只是给出建议的功率、信道的设定值，管理员可以决定是否执行这些配置，确保了用户控制的灵活性。立即模式下，将根据系统计算出的信道等参数进行立即的设置。上述过程是闭环过程，一旦配置下发以后，控制器将持续监视网络环境。任何无线环境的变化与波动都会被定期记录下来，为下一轮的优化作准备。全面的PoE解决方案： PoE设备的原理是通过非屏蔽双绞线中四对线中的两对线来传输电源，传输数据的同时传输直流电。因为AP往往要求使用不间断电源（UPS）供应电力，采用PoE设备，AP端仅仅通过一根RJ-45网线与网络连接即可以同时传输数据和电力，因此在使用PoE设备的情况下，所有的AP都使用一个UPS在PoE设备端进行保护。如果不使用PoE设备，就需要给每个AP配一个UPS，而且还需要在AP附近安装电源插座，增加了成本。因此使用PoE设备将大大降低设备成本和管理成本。 PoE具有非常明显的优势，具体如下：简化安装，降低成本，不需为每个网络设备单独提供数据和电力线缆。灵活性提高，网络装置可被安装在任何位置，而不需靠近一个已存在的电源输出口。可靠性增强，有SNMP能力的PoE装置，可实施远程检测和控制，能有效地处理或修理装置的耗电量和（或）失效故障。 H3C 能够提供全面的PoE解决方案，产品涵盖从高端到低端的全系列产品，包括S10500，S7500E，S5600，S5500，S5130，S5110，S3600，S3100，WX3024都能够提供PoE解决方案，H3C PoE解决方案使用工业级设计，同时能够提供全面的管理: 5.2. H3C一体化无线校园解决方案——高安全： H3C一体化无线校园解决方案在遵循IEEE 802.11i协议和国家WAPI标准的基础上，创新性的提出了分层的安全体系架构，将WLAN的安全从单一的物理层安全延伸到了物理层安全、用户接入安全、网络层安全、设备安全、安全管理多个层面上，使用户在使用WLAN网络时能够像使用有线网络一样安全、可靠。无线物理安全： H3C公司的无线产品支持以下的加密机制：WEP加密、TKIP加密、CCMP加密、WAPI加密。其中，WAPI 采用国家密码管理委员会办公室批准的公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法，分别用于WLAN 设备的数字证书、证书鉴别、密钥协商和传输数据的加解密。在无线设备安全方面，H3C的FIT AP提供“零配置”功能，在设备上不保存业务配置，而是每次启动的时候从无线控制器动态加载业务配置，这样可以有效避免设备丢失造成配置泄漏。此外，用户在采用H3C公司的无线控制器＋FIT AP组网时，都需要预先在无线控制器上设置部署的AP序列号。当这些AP启动和无线控制器建立关联时，无线控制器会检查AP上报的序列号信息，只有这些预先授权的AP才能接入无线控制器使用，防止非法FIT AP接入网络。无线用户安全：通过用户接入认证实现了对校园无线接入用户的身份认证，为网络服务提供了安全保护。H3C无线接入认证主要有802.1x接入认证、PSK认证、MAC接入认证以及在有线校园网中常用的portal认证等。通过和AAA服务器配合，H3C的无线设备支持对认证用户动态下发带宽、VLAN、ACL、优先级等参数，对于不同的用户群和业务可以控制其访问网络的权限，限制网络资源的使用，通过VLAN和优先级来标识用户和业务，并做到业务隔离。无线网络安全：为了保证无线用户和整个校园网络的安全，仅仅保证接入点的安全性是远远不够的。H3C推出了无线EAD解决方案，该方案从网络用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，加强网络用户终端的主动防御能力，保护网络安全。 H3C的无线产品支持EAD接入控制方式，配合iNode无线/有线统一客户端可以实现有线，无线用户使用统一的客户端进行认证，结合H3C公司的服务器，H3C公司给用户提供了有线无线一体化的整体安全解决方案。此外，H3C的无线产品支持完善的无线入侵检测系统，可以自动监测非法设备，并适时上报网管中心，同时对非法设备的攻击可以进行自动防护，最大程度地保护无线网络。 5.3. H3C一体化无线校园解决方案——易管理：在管理方面，H3C实现了如下两点：有线无线统一认证计费管理，解决了老师不希望用户有线一套帐号，无线又一套帐号，不能统一计费管理的问题。有线无线统一网管，解决了老师不希望采用两套管理系统的问题。管理系统集成专业的无线管理部件，实现射频资源管理、无线性能监视、非法AP告警等管理需求。 H3C无线校园管理系统依托iMC智能管理平台，在iMC系统全面的有线网络管理的基础上，为用户提供无线网络管理能力。用户无需重新搭建IT管理平台，只要在原有的有线网络管理系统中增加无线管理功能，便可以与有线管理平台统一部署，节省投入和维护成本。 H3C无线校园管理解决方案不仅为用户提供了灵活的组件选择，同时符合业界主流的SOA架构，具备良好的扩展性，能够满足客户网络管理的需求。通过集中式管理架构和统一的网管系统，可以保证设备互通性和无线网络的轻松配置，实现有线无线一体化高效管理。 H3C无线校园管理解决方案中的无线业务逻辑拓扑，使用户直观了解网络部署情况及设备和链路当前状态。它可根据不同的方式组织资源，有效进行拓扑分组、真实组织全网资源。物理位置视图中用户可根据需要创建多维度、多层次的物理位置结构，并在指定平面图上根据真实情况摆放设备，逼近真实网络环境。通过H3C的管理平台，管理人员可以对移动终端的信息进行查看，包括MAC地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在AC设备、所在AP设备等，并能查看各移动终端的全部漫游记录，可以随时了解最终接入用户的情况，并对其接入轨迹进行审计。此外，H3C提供服务策略和Radio策略的管理，通过模板的方式对设备进行批量管理，使用户快速完成网络配置。策略模板除手工添加外，还提供从文件导入和设备导入功能，用户可以从系统导出或导入模板，也可从某一标准配置设备上导入配置形成模板，下发到其它设备，完成策略的批量克隆功能，极大地减少用户的维护工作量，降低维护成本。 5.4. H3C一体化无线校园解决方案——可扩展： IPv6： H3C公司的WLAN不但可以穿过IPv6网络建立WLAN网络，而且可以将IPv6孤岛网络连接到一个WLAN网络。依托于H3C功能强大的Commware操作系统平台，H3C WLAN产品从设计阶段就考虑了教育用户对IPV6的需求，目前无线控制器、无线接入点全面支持IPV6特性，同时无线控制器、无线AP可以灵活的通过IPV4互联，也可以通过IPV6互联，无线也可以灵活的选择是使用IPV4接入无线网络还是IPV6接入无线网络。 H3C公司集中管理架构WLAN在接入点和接入控制器之间采用CAPWAP协议构建，而且同时支持IPv4和IPv6协议。也就是，接入控制器作为服务器，可以接收来自IPv4以及IPv6网络的接入点的链接请求；而且接入点可以动态的选择使用IPv4或者IPv6和接入控制器建立链接。 H3C公司的Fit AP设备为零配置设备，该设备在上电后可以自动发现接入控制器，选择当前能够提供最优服务的接入控制器建立链接。由于接入点为零配置设备，不能判断当前接入的网络为IPv4还是IPv6网络，所以H3C的接入点会首先在IPv4网络进行接入控制器的发现和链接处理，如果接入点无法成功通过IPv4网络和接入控制器建立链接，则接入点会切换到使用IPv6进行接入控制器的发现和链接处理。目前H3C可以实现非常灵活的IPV6处理机制,即可通过IPV4网络实现IPV6互联，也可以通过IPV6网络实现IPV4互联。 5.5. H3C一体化无线校园解决方案——全业务： H3C 无线校园网解决方案提供VoWiFi、无线监控、页面推送等业务，解决了校园内部和校区之间通讯费用高、无线监控和无线多媒体教学以及不同部门网页个性化页面推送的问题，让无线接入变得更有价值。基于用户的流量管理： H3C FAT AP能够通过两种方式实现流量管理：一种方式是基于用户数自动平均调整每个用户的接入带宽；另一种方式是指定每用户的接入带宽。通过此两种方式的流量管理，可以防止P2P业务占用带宽导致其他用户无法正常使用网络的情况。此外，H3C FIT AP解决方案可以实现基于用户的权限和流量管理，可以设定每个用户所占用的带宽，实现精确流量管理，配合H3C有线网络，可以实现端到端的QoS，从而达到承载语音、视频等时延敏感的业务的目的。无线监控： H3C无线监控解决方案整合了公司无线网络和视频监控解决方案的优势，将IP智能监控从通常的有线网络接入延伸到无线网络接入，根据用户的应用场景提供丰富多样的无线组网接入模式，通过统一网管对无线资源和监控资源进行统一管理和控制。H3C 无线监控解决方案能够提供端到端的QoS保证，能够实现有线无线网络的统一管理，网络和监控业务的统一管理。同时，通过对突发流量进行码流平滑、多流选择以及误码重传机制，保证了视频流的实时性和流畅性。 6. 方案设计产品介绍 6.1. 防火墙NS-SecPath F1070 H3C SecPath F10X0系列防火墙是杭州华三通信技术有限公司（以下简称H3C公司）伴随Web2.0时代的到来并结合当前安全与网络深入融合的技术趋势，针对中小型企业、园区网互联网出口以及广域网分支市场推出的下一代高性能防火墙产品。 H3C SecPath F10X0系列防火墙支持多维一体化安全防护，可从用户、应用、时间、五元组等多个维度，对流量展开IPS、AV、DLP等一体化安全访问控制，能够有效的保证网络的安全；支持多种VPN业务，如L2TP VPN、GRE VPN 、IPSec VPN和SSL VPN等，与智能终端对接实现移动办公；提供丰富的路由能力，支持RIP/OSPF/BGP/路由策略及基于应用与URL的策略路由；支持IPv4 /IPv6双协议栈同时，可实现针对IPV6的状态防护和攻击防范。 H3C SecPath F10X0系列防火墙采用互为冗余备份的双电源（1＋1备份），同时支持双机集群化部署的SCF技术，充分满足高性能网络的可靠性要求；同时F10X0产品在1U高的设备上可提供至少24个千兆接口、2个万兆的固定接口。高性能的软硬件处理平台 H3C SecPath F10X0采用了先进的最新64位多核高性能处理器和高速存储器。电信级设备高可靠性采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户，经历了多年的市场考验。支持H3C SCF虚拟化技术，可将多台设备虚拟化为一台逻辑设备，对外呈现为一个网络节点，资源统一管理，完成业务备份同时提高系统整体性能。强大的安全防护功能支持丰富的攻击防范功能。包括：Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、

展开阅读全文