气象台无线项目方案书.docx

1 无线网络技术方案 1.1 建设需求 1.1.1 总体需求 近年来，随着智能手机、平板电脑等终端的大量使用，信息系统应用将日益普及。然而，海量应用要得以推广并充分发挥价值，其基础之一就是无线网络的应用。通过在市局行政与业务办公楼等建设和应用无线互联网，大楼内用户可随时随地接入网络，实现联通办公，推动信息资源的共享，提高协同工作效率，进一步实现信息化的价值；通过在气象广场、海上明珠塔等区域覆盖无线网络，让游客通过短信微信等认证方式接入网络，发布气象知识和近期活动等，加强互动、学习和管理。 1.1.2 建设目标 按照“统一部署、统一规划、统一管理”的模式，建成覆盖世界气象广场，青少年天文气象馆，海上明珠气象塔，市局行政与业务办公楼，海峡气象开放实验室，地面和高空业务值班室，防雷中心这些区域的无线网络系统，采用集中控制器-无线AP分布式部署架构，部署高性能的POE交换机实现，无线信道统一规划、无线安全统一管控、无线用户统一管理、无线设备统一管控。无线网络具备业界主流的技术体系架构，具有高性能、高可用性、高扩展性；网络要具有较好的开放性、兼容性，相关系统和设备应是业界主流产品，遵循业界相关标准。 系统建成后，气象局员工可利用带有无线接入功能的笔记本、平板电脑（PAD）、智能手机等移动终端通过无线网络接入网络，通过统一无线信道，确保“一人一号”，实现楼内“漫游”，针对外部用户，制定严格的准入策略，限制其临时访问内部网络、应用系统和互联网访问的权限，并严格控制其使用流量。 1.1.3 建设内容 （1）无线网络规划。包括带宽模型设计；无线接入点（AP）、无线控制器（AC）、终端用户IP地址、无线信道、射频管理等的规划；服务质量（QOS）及可靠性设计；安全及认证、无线设备管理等的规划。 （2）部署无线接入点。在世界气象广场部署室外大功率无线接入点（AP），实现广场区域标准密度无线网络覆盖；在海上明珠塔外围部署室外大功率无线AP，塔内18、19层展厅部署室内AP，实现标准密度无线网络覆盖；在青少年天文气象馆，市局行政与业务办公楼，防雷中心部署室内AP，提供无线接入；在市局行政与业务办公楼外墙部署一台室外AP覆盖办公楼与海峡气象开放实验室楼之间的公共区域，以及部分楼道；在海峡气象开放实验室楼部署室外AP，为地面和高空业务值班室提供无线接入； （3）采购无线网络专用的楼层POE供电交换机。为保障无线AP的供电，需采购专用的POE供电交换机。经现场勘查和设计，市局行政与业务办公楼需3台24口交换机，1台8口交换机，天文气象馆，海峡气象开放实验室，防雷中心和食堂各需要1台8口交换机，共计3台24口POE交换机，5台8口POE交换机。 （4）搭建无线网络安全管控平台。建设无线网络安全管控平台，形成基于身份认证的安全管理及认证系统，通过短信认证、MAC地址绑定等方式防止非法接入，确保网络和信息的安全。 1.2 无线网络设计 1.2.1 总体方案概述 经过与气象局网络工程师的交流沟通，并通过对进行实地勘察，我们精心设计了一套先进的无线解决方案，从AP到AC，从接入到核心，从认证到管理，从实施到维护都进行了充分的考虑。 我们在项目中拟采用采用先进的无线控制器(AC)+瘦AP（FIT AP）的组网方式，瘦AP实现无线信号的处理，而用户管理、加密、漫游、AP管理等功能全部集中到AC进行，这样可以简化整个网络的管理，提高设备的工作效率。AP的供电采用以太网供电（Power Over Ethernet，PoE），通过以太网线来汇聚AP的流量，同时为AP提供电源，这样可以简化布线，同时减少故障点，提高网络的可靠性。 同时考虑到用户后续维护、管理的简单、方便，我们专门为此次项目配置了一套H3C公司的IMC智能管理软件及其相关组件，基于Web的管理系统，为用户提供了简便、友好的管理平台。真正实现有线、无线设备的一体化智能管理，包括设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理等功能，支持访客管理，终端准入及安全策略管理；可以支持802.1x和Web Portal两种认证方式；可以对无线网络进行整体的监控，以及识别智能终端类型，定位干扰源等，针对气象局对网络访问安全的要求，我们配置短信实名认证方式，后期实施通过设置不同的SSID，建立白名单和权限分级管理，将访客对网络的访问限制在安全区域。 1.2.2 无线网络设计图 无线网络逻辑图 以上为此次项目的无线网络逻辑图，其中无线控制器、网络管理软件服务器分别通过千兆双绞线连接核心交换机。接入层采用千兆三层POE供电交换机，并通过千兆光纤上联到汇聚交换机上。接入交换机通过千兆电口远程给无线AP。室外AP通过专用光模块直接连到汇聚交换机，并有大功率POE注入电源就近供电。根据大楼的物理结构、功能分区和最终用户的不同，本次采用主流、高性能的11ac AP，采用面板、放装技术来进行布放，在充分考虑覆盖效果、覆盖美观、维护管理方便等因素的前提下，最大限度提升最终用户的体验和高可用。 1.2.3 无线网络设计 本次项目采用高可靠、高性能和高安全性的超高品质国际领先的无线网络，支持接入各种主流智能终端，并支持用户全网漫游。 项目中采用AC + FIT AP集中管理组网模式，AC采用下沉方式旁挂在汇聚交换机处。（建议采用通过双AC热备份和VRRP的使用，实现基于100ms级的链路切换，保证单台AC故障时网络快速切换，不影响上层网络的使用，不影响最终用户体验。） 此次项目部署的无线控制器是H3C的WX3540E，提供96个AP的管理授权，该无线控制器最大可管理256个AP，同时设备电源采用1+1冗余，本身自带4 个千兆光电combo接口，在满足本次项目需求的基础上，为未来的升级和扩展奠定了充分硬件基础。 此次项目部署的无线AP采用H3C的主流高性能AP，根据大楼的物理结构、功能分区和最终用户的不同，在不同的区域分别采用高性能的WA4320-ACN、WA4320X-ACN、WA4330-ACN和面板式WA4320H-ACN AP。 考虑到行政和业务楼办公室的物理结构，在充分保障覆盖效果和布放美观度的前提下，采用H3C先进的11ac产品WA4320H AP，该产品采用标准的86*86mm面板，可以完全复用用户既有的86mm网口面板暗盒。每个房间安装1个AP，除提供优质的无线覆盖外，还可提供2个LAN口和一个电话口，安装简单，对客户原有装修的影响接近于零，可以有效地从覆盖范围、接入密度、运行稳定等方面提供更高性能的移动云接入服务并协助用户实现最佳无线网络TCO(总拥有成本/Total Cost of Ownership)。 考虑到行政和业务楼内气象预警中心的高密度、高带宽、高稳定性的要求，采用H3C最先进的11ac产品WA4330 AP，它遵从802.11ac协议标准，能提供3个不同的频段接入，实现866Mbps+(866/300)Mbps+300Mbps的无线传输速率以及最高两千兆接入能力，是相同环境下802.11n产品5倍左右。通过内置天线覆盖技术，可以有效地从覆盖范围、接入密度、运行稳定等方面提供更高性能的移动云接入服务并协助用户实现最佳无线网络TCO(总拥有成本/Total Cost of Ownership)。WA4330单AP支持用户数超过100，食堂用户密度大，也采用此款AP. 考虑到室外的环境和覆盖需求，我们采用WA4320X系列产品，该产品内置集成智能射频覆盖优化技术，单射频最大发射功率可达500mW，能够针对性地有效解决室外WLAN覆盖各种问题，提高WLAN室外覆盖准确性和稳定性。同时通过专业的一体化室外型设计，具备IP67防水防尘等级和大范围宽温工作能力，非常方便室外的安装和调试。 其它室内区域，推荐采用WA4320-CAN，该产品也是基于2-Streams 11ac MIMO技术的千兆高速无线接入设备，可提供相当于传统802.11n网络3倍以上的无线接入速率，能够覆盖更大的范围。全部内置天线，外型小巧美观，安装方式灵活，适用于壁挂、吸顶等多种安装方式。 具体如下表： 1.2.4 智能管理设计 网管软件对于网络的智能管理尤为重要，尤其是无线网络，接入点多、安装分散、维护难度大，一套精细化的网管软件对于用户后续简单、方便的维护十分必要。 本次项目在运维管理上也做了着重考虑，我们采用H3C先进的iMC智能管理平台、WSM无线业务管理组件、EIA终端智能接入组件，最终实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理等功能，并可对网络中的其它设备进行统一管理，真正实现智能型有线无线一体化管理。基于Web的管理系统，为无线业务管理者提供了简便、友好的管理平台。 我们采用的WSM组件是H3C在下一代业务软件平台iMC(intelligence Management Center/智能管理中心)的基础上开发的无线运营管理组件，不仅为管理员提供了灵活的组件选择，同时符合业界主流的SOA架构，具备良好的扩展性，能够满足客户网络管理不断发展的需求。可对无线控制器和AP进行统一的监控和管理，可以监控AP周围的无线信号环境，识别定位干扰源； 我们采用的EIA用户接入管理组件，该组件可以对接入的内部员工进行802.1X认证，对访客进行Portal认证管理。同时支持网络区域管理功能，管理员可基于IP段划分网络区域，方便系统以网络区域维度对终端进行安全管理，实现对用户的精细化管理。 我们采用的IMC及相关组件最大程度的实现了网络的智能联动，在一个管理服务器上可以实现设备管理、用户管理、用户业务管理，同时可以根据需要选择定制组件，后续增加任何业务都可以支持平滑升级，统一界面，统一风格，能够迅速的掌握并熟练应用。 1.2.5 无线用户接入管理 （1）EIA用户接入管理组件 集中化的设备资源和用户资源管理 基于iMC智能管理平台，对用户基本信息进行集中维护，包括用户姓名、证件号码、通讯地址、电话、电子邮件、用户分组；并提供用户附加信息管理功能，管理员可根据网络运营的习惯进行用户信息定制，如学校可以定制学号、年级等信息，企业可以定制部门、职务等信息。 设备和用户的统一分组管理 支持设备和用户分组功能，通过对设备资源和用户进行分组管理，系统管理员方便的分配其他管理员的管理权限，便于职责分离。 接入业务服务和用户分组可灵活对应，使得特定分组用户才能配置对应的特定服务，便于管理员进行接入业务管理。 用户管理与网络设备管理相融合，用户管理操作更简单 接入设备列表中可以直接看到用户相关信息，提高了操作员日常维护的效率。 设备选定后可直接对其进行用户操作，比如，针对某个接入设备，将其所挂的用户全部下线处理等。 在线用户列表中提供接入设备查看入口，可查看当前在线用户所对应的接入设备的详细信息，比如，对应的基本信息、告警、性能状况等。 网络设备管理和用户管理的全面融和，使得操作更友好，全面提升操作员操作体验。 支持多种接入及认证方式，适合多种接入组网场景及应用场景 支持802.1x、VPN接入等多种认证接入方式。 支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多种身份验证方式，适应不同安全要求的应用场景。 支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证，增强用户认证的安全性，防止帐号盗用和非法接入。 支持与Windows域管理器、第三方邮件系统（必须支持LDAP协议）的统一认证，避免用户记忆多个用户名和密码。 支持终端准入控制（EAD）解决方案，确保所有接入网络的用户终端符合企业的安全策略 严格的权限控制手段，强化用户接入控制管理 基于用户的权限控制策略，可以为不同用户定制不同网络访问权限。 可以控制用户的上网带宽（QoS；802.1x认证支持）、限制用户同时在线数、禁止用户设置和使用代理服务器，有效防止个别用户对网络资源的过度占用。 支持最大闲置时长限制。 可以实现对用户ACL、VLAN的控制，限制用户对内部敏感服务器和外部非法网站的访问（802.1x认证支持）。 可以限制用户IP地址分配策略，防止IP地址盗用和冲突。 可以限制用户的接入时段和接入区域，用户只能在允许的时间和地点上网。 可以限制终端用户使用多网卡和拨号网络，防止内部信息泄露。 可以限制用户必须使用专用安全客户端，并强制自动升级，确保认证客户端的安全性。 详尽的用户监控，强化对终端用户的监视控制 iMC用户管理组件提供强大的“黑名单”管理，可以将恶意猜测密码的用户加入黑名单，并可按MAC、IP地址跟踪非法行为的来源。 管理员可以实时监控在线用户，强制非法用户下线。 支持消息下发，管理员可以向上网用户发布通知消息，如“系统升级，网络将在10分中后切断”、“您的密码遭恶意试探，请注意保护密码安全”等。 iMC用户管理组件记录认证失败日志，便于方便定位用户无法认证通过的原因。 集中方便的接入业务用户管理，简化管理员维护操作 基于服务的用户分类管理，用户的认证绑定策略、安全策略、访问权限均封装于服务中，简化管理员的操作，保证网络管理模式的统一。 接入用户相关的管理动作集中化，界面对操作员来说更友好、更美观易用。 接入用户可使用自助服务，帐号申请、查询、修改都通过自助服务页面完成，既提高效率，又减轻管理员的工作量。 灵活的访客账号创建流程 根据不同的应用场景，EIA访客管理提供不同的访客账号创建模式： 公共领域访客短信认证模式 在公共领域（如商场、酒店、连锁、展馆、景区、营业厅、交通候客厅等），访客需要能通过手机号码注册账号并通过短信获取账号密码信息，快速接入公众无线网络，具体流程如下： 1) 访客管理员在iMC EIA服务器上配置访客接入控制策略、账号失效天数等参数； 2) 访客连接 “访客SSID”； 3) 访客在推送的Web认证页面中输入个人手机号码，点击“获取密码”按钮； 4) iMC EIA服务器为该手机号自动注册访客账号并分配已配置的访客接入控制策略及账号有效时间； 5) iMC EIA服务器通过短信猫或短信网关将帐号及密码信息通过短信方式发送给访客； 6) 访客手机接收短信，在Web认证页面中输入获取到的密码； 7) 访客身份验证成功后，根据访客接入控制策略控制访问Internet及特定网络资源； 8) EIA服务器定期自动删除失效访客账号； 企业访客接待员开户模式 企业访客账号需专人（保安、前台或员工）管理的情况下，访客接待员可以通过登录自助系统为来访人员直接创建账号并分配接入策略，开户成功后通过邮件，具体流程如下： 1) 访客接待登录iMC EIA服务器自助平台，创建访客帐号并分配访客接入控制策略及有效时长； 2) iMC EIA服务器通过Email、短信方式将帐号及密码信息发送给访客； 3) 访客连接“访客SSID”； 4) 访客在推送的Web认证页面中输入其访客账号和密码； 5) 访客身份验证成功后，根据访客接入控制策略控制访问Internet及特定网络资源；； 6) EIA服务器定期自动删除失效访客账号 企业访客自助开户模式 企业访客自助模式是指账号由访客自行申请，但需要企业访客接待员统一审批的管理模式，具体流程如下： 1) 访客连接“访客SSID”； 2) 访客在推送的Web认证页面中点击“访客预注册”，在预注册页面中输入账号申请信息并选择访客接待员； 3) 访客接待员登录iMC EIA服务器自助平台，为已预注册的访客分配网络接入策略及有效时长； 4) 访客帐号生效后，可通过Email或者短信方式发送给该访客； 5) 访客重新连接“访客SSID”，并在推送的Web认证页面中输入其访客账号和密码； 6) 访客身份验证成功后，根据访客接入控制策略控制访问Internet及特定网络资源；； 7) EIA服务器定期自动删除失效访客账号 其它访客开户模式 访客可以通过智能终端扫描二维码方便快捷地实现开户、接入，节省传统访客账号审批流程。通过EIA 丰富的SDK接口可与企业微信公众平台对接，实现访客通过关注企业微信公众号，一键快捷接入企业无线网络。 支持通过多种短信环境发送访客账号信息 支持通过主流短信猫接口发送短信通知，如WaveCom、万象、金笛等。 支持通过Web接口访问第三方短信网关，快速、高效地发送账号信息短信。 封装统一短信通知接口，支持与客户自有短信平台通过定制开发对接。 融合的接入设备管理，操作简单、管理方便 接入设备配置与iMC ACL Manager解决方案的协同，选定接入设备后，可直接为此设备进行ACL配置；同时，在接入设备列表中，可查看其对应的ACL部署信息，便于快速部署及开通业务接入业务。 为接入设备提供查询设备明细信息的链接，可通过简单的鼠标点击看到接入设备的详细信息，比如对应的基本信息、告警、性能状况等。 接入设备管理与拓扑管理的融合，拓扑中可以清晰的显示出接入设备，查看接入设备相关信息，并可通过鼠标点击方式，将此接入设备设置为非接入设备。 基于场景的授权策略，强化设备管理用户授权管理 支持按场景分配授权策略，场景是设备位置区域、设备类型和接入时段的组合，可定义在不同场景下设备管理用户所使用的Shell Profile和操作命令集。 支持按固定时段、年/月/周/日为周期的接入时段配置，控制设备管理用户的登录设备各时间段的权限。 支持Shell Profile精细化配置，定义设备管理用户登录设备时的全局属性，包括权限级别、接入ACL、限制时长等。 支持命令集精细化配置，定义设备管理用户登录设备时的可执行的命令集合。 详尽的日志审计，详细记录设备管理用户行为 提供认证日志监控，记录设备管理用户登录设备成功或失败信息，包括登录名、登录结果（失败原因）、认证时间、登录设备IP、终端用户IP、权限级别、登录动作、认证类型、服务类型等。 提供授权日志监控。授权行为包括登录授权和命令行授权：若设备启用登录授权，TAM服务器会对登录成功的用户进行登录级别授权，并记录登录授权日志；若设备启用命令行授权，TAM服务器会在设备管理用户执行每一条命令时判断该用户是否拥有执行命令的权限，并记录命令行授权日志。 提供设备管理用户行为审计日志监控。TAM服务器记录用户登录、登出设备以及各种行为日志，审计日志内容包括：登录名、审计类型、审计时间、设备IP、终端用户IP、命令行等。 智能的广告推送，适应不同网络运营方需求 iMC EIA组件可以配合iMC管理平台，针对不同用户身份/接入位置进行不同的广告推送业务，协助接入用户最快获取最需要的信息，从而可与第三方广告平台配合，适应不同网络运营方需求，达成广告平台、网络运营方以及接入用户的三赢。 （2）WSM无线管理组件 WSM无线业务管理器是iMC智能管理中心的业务组件之一。 iMC智能管理中心采用分布式、组件化、跨平台的开放体系结构。通过选择安装WSM无线业务管理器，用户可以获得全面的无线业务管理能力，实现AC设备、FAT AP设备、FIT AP设备、联通终端等无线设备的集中管理，轻松实现设备配置管理功能，并提供资源分组、无线拓扑功能，对全网无线设备进行直观有效的组织，对网络部署和设备状态一目了然，策略模板等功能实现网络和设备的批量配置，提升效率，降低维护工作量，降低维护成本。基于Web的管理系统，为无线业务管理者提供了简便、友好的管理平台。 Ø 有线无线一体化管理，提升整体管理能力，使用户获得最佳管理体验，并节约用户部署和维护成本； Ø 漫游域、物理位置、设备类型等多种视图呈现网络资源，网络部署情况更加清晰； Ø 从纷繁复杂的网络中抽象出逻辑化的无线业务拓扑，使无线网络展示更加清晰，帮助用户更加有针对性地管理无线业务； Ø 全面的无线参数浏览及批量配置功能，使用户真正实现无线网络和设备的远程集中监控和管理； Ø 强大的故障管理能力及设备状态实时显示功能，使用户对网络运行情况了如指掌； 无线终端查看和漫游记录审计 对于移动终端的每一次接入，WSM都会详细记录，包括接入时间、接入服务名、接入时长以及接入AP等。为了方便网络管理员对移动终端接入历史的查看，WSM提供了按各种条件查询的功能，包括MAC地址、用户名称、在线时段、在线时长等。此外，WSM还利用位置视图拓扑动态模拟移动终端在过去的接入情况，通过这种图形化的动态方式，系统管理员更好地了解移动终端在过去的接入情况。 用户在线历史 无线频谱防护 用户可以通过频谱防护功能查看无线网络中的当前干扰设备，历史干扰设备和信道质量，并对Radio进行频谱分析监控，观察实时频谱数据图，从而充分了解无线网络的性能和安全性。设备配置对支持频谱防护的AC以及AP进行频谱防护相关功能进行配置，方便用户定制频谱防护功能。支持干扰设备信息查询，用户可通过输入查询条件快速得到所有相关的干扰设备信息。 支持信道利用率图、信道利用率趋势图、信道质量图、信道质量趋势图、干扰信号强度、FFT图、FFT Duty Cycle和Swept Spectrogram图的监控，还能查看实时图保存的监控历史文件，支持FFT、FFT Duty Cycle、Swept Spectrogram历史图，以图表相结合的方式展现给用户，内容清晰直观。支持AP信道质量信息查询，用户可通过输入查询条件快速得到所有相关的AP信道质量信息。 （3）iMC网管管理平台 H3C iMC网管平台支持用户分权管理功能：可以为不同的管理员设置不同的用户名、密码，并限制管理员的管理权限和管理范围，实现用户分权管理。 更多的管理设备类型 除了传统的路由器、交换机外，更能对网络中的无线、安全、语音、存储、服务器、打印机、UPS等设备进行管理，实现设备资源的集中化管理。 多厂家设备的统一管理 除了对H3C的网络设备管理外，H3C智能管理平台还实现了对业界其他主流厂家网络设备的管理。 灵活快捷的自动发现算法 基于H3C专利的发现算法，H3C智能管理平台能快速、准确地发现网络资源，包括路由方式、ARP方式、IPSec VPN方式、网段方式等。 丰富、实用的网络拓扑视图 除传统的IP拓扑视图外，智能管理中心平台还支持自定义视图，使用户可以根据自己的组织结构、地域情况、甚至楼层情况清晰灵活地绘制出客户化的网络拓扑。 清晰、直观的故障列表 智能管理中心能自动汇总全网中故障设备，形成故障设备列表，使管理员能快速、清晰的找到需要关注的故障设备。 一目了然的网络性能指标 CPU利用率、内存利用率、带宽利用率、设备响应性能、设备不可达等是网络性能管理中用户最关注的几项，基于此智能管理中心通过TopN列表，使用户能一目了然当前网络中的性能瓶颈问题。 详实的性能统计报表 利用采集到的性能数据信息，智能管理中心能对关键的性能监控内容形成实用、详实的统计报表，用户可以直接打印这些报表，也可以将报表导成Excel、Html、PDF、Word等形式的文件。 1.3 方案的优势 1.3.1 智能射频管理 每个AP上电时，无线控制器会根据AP的邻居关系动态调整AP工作的信道和发射功率，在保证覆盖的前提下保证AP间的干扰最小。 当AP覆盖区域受到外界强信号干扰时，无线控制器会控制AP自动切换到合适的工作信道以规避干扰信号。 当覆盖区域内的某个AP发生故障而造成覆盖黑洞时，无线控制器会自动调整相邻的AP的发射功率以消除黑洞区域，当故障AP恢复工作后无线控制器可以自动调整邻居AP的发射功率恢复原始工作状态。 1.3.2 智能负载均衡 无线控制器可以设定AP间对接入用户进行负载分担，负载分担的策略可以是基于AP接入的用户数量，AP流量负载情况。 当无线控制器发现AP的负载超过设定的门限值 以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP。 图1 智能负载示意图 1.3.3 业务QOS支持 本次项目提供的无线产品支持多种服务质量Qos，支持802.11e中的EDCF优先级，支持以太网口支持802.1p识别和标记。支持优先级队列及映射、流量限制、流分类。并且能够对QOS策略映射不同SSID/VLAN。 图2 多媒体业务QOS示意 1.3.4 真正支持无线IPv6 H3C的无线控制器和无线AP都使用Commware V5平台，因此，H3C WLAN解决方案既可以工作域IPV4，也可以工作于IPV6环境，也就是AP和AC可以完全工作于IPV6环境；而很多其他产品由于操作系统不能支持IPV6，所以WLAN设备对IPV6的支持都是透传，也就是AP和AC在网络中直接把IPV6报文封装在CAPWAP隧道中，但AP和AC不能使用IPV6地址工作，因此在一个纯IPV6环境中，无法工作。 2012年4月，教育部将召开全国教育信息化工作会议，发布实施《教育信息化十年发展规划》， 提出 “在2015年前各级各类学校和教育管理部门的信息化装备全面支持IPV6协议，与IPV6互联网和现有IPV4互联网实现互联互通；国家教育云服务平台初步建成” ，H3C无线产品已经全面支持IPv6，包括IPv6的DHCP、ACL、DNS、认证，路由，网络管理等，IPv6专利申请数超过50件，是真正意义上的成熟商用IPv6（非IPv4透传模式），同时与清华大学合作开发了IPv6的SAVI技术标准，进一步解决IPv6环境下的安全问题，教育部，中科院，清华大学，北京大学都对H3C在IPv6技术及产品上所做的努力和贡献进行了重要肯定。 1.3.5 智能天线稳定及高密覆盖 本次提供的H3C的无线AP产品，采用硬件智能天线阵列技术，实现射频信号根据终端位置的定向覆盖，类似舞台的探照灯，与客户位置同步移动。在多个工程局点中的应用实践证明，覆盖效果非常理想。 原理：全向天线虽然能够将图中两个用户都覆盖到，但由于每个时刻，中心的AP只能和一个用户交互报文，此时只有蓝色部分形成了有效覆盖，其他绝大部分信号传播都造成了能量浪费，属于无效的覆盖，如果能将此部分浪费的能量集中到有效覆盖区域，势必会获得更高的信号强度以及传输带宽；而对于定向天线而言，由于能量的集中，覆盖区域内的信号强度会比较高，但是由于信号覆盖角度较小，很多需要覆盖的范围没有信号可以到达。如果在右侧用户空闲时，可以将信号转移至左侧用户，势必可以提高覆盖的有效性，以及大幅提高用户的接入能力。 阵列天线由多个天线形成阵列，在工作时，AP通过对工作环境的判断以及用户位置的感知，经过内部芯片处理，让不同的天线组合工作，形成不同的天线波瓣，实现多种方向、角度、增益都不相同的“虚拟天线”，当AP与某一用户通信时，天线就把“能量束”直接瞄准该用户，一方面该用户获得的信号强度会比较高，另一方面不该被“打扰”的用户也不会被干扰，是最为完美的解决方案。 图：传统全向天线和定向天线存在的缺陷 1.3.6 多业务的安全性 本次项目的解决方案提供多种业务不同网络层面的安全保障，体现在： 层次体系 主要技术 解决的问题 物理接入 WEP64/128、TKIP、CCMP加密 可升级支持WAPI加密 防止无线报文被监听和篡改 SSID隐藏 解决不明用户访问网络 逻辑链路 802.1x/PSK/MAC/Portal多种认证方式的混合接入 802.1x支持PEAP/TLS/TTLS/SIM多种模式 可升级支持WAPI认证 用户身份鉴别和安全准入 动态下发用户的权限 业务隔离 Hotspot用户隔离 限制用户互访 黑名单 限制恶意用户 网络 无线入侵检测系统 非法设备的检测、无线攻击的告警和规避 安全策略在无线控制器统一部署 避免在大量的无线接入点部署策略 AC和AP间的CAPWAP隧道下行流量限速 防范外界对AP的数据流量攻击 IPSEC VPN 端到端的安全加密 资源绑写（MAC、ESS、VLAN、Port） 尽可能防止假冒 设备 AP本地不再保存配置信息 避免设备丢失造成配置泄漏 AP身份认证 只有合法的AP才能和无线控制器建立关联 AP支持多无线控制器的冗余备份 无线控制器down机不会造成无线网络的瘫痪 网管 无线安全策略配置 无线安全策略的统一部署 非法设备监控和告警 非法设备的检测、无线攻击的告警和规避 设备信道调整告警 了解设备遭受干扰后的信道调整情况 1.3.7 制定IETF WLAN标准 IETF（Internet Engineering Task Force，互联网工程任务组）组织主要负责互联网相关技术规范的研发和制定，TCP/IP、OSPF、MPLS VPN、IPv6等IP协议标准均来自于该组织。目前，IETF已成为全球互联网界最具权威的大型技术研究组织，吸引了业内诸多研究人员与厂商的关注与参与。由H3C技术专家作为第一作者起草的两篇无线技术草案在IETF大会上，获得全票通过，RFC5833和RFC5834正式发布，最终成为无线管理领域全球标准的重要组成部分，推动WLAN应用的发展。 除已经正式发布的RFC之外，H3C还陆续提交了其他很多草案，参与中国通信标准化协会及IETF, SMTA, SPC,PCI-SIG, Wi-Fi, USB, SNIA, VCCI等国际标准组织，制定了众多国家标准、行业标准以及应用标准等。 1.3.8 绿色的无线网络 从理论上分析，无线信号不会对精密仪器设备存在干扰：无线设备不会与校园内许多精密设备造成影响，校园的电磁干扰不会影响无线网络的正常运行。设备工作的环境比较复杂，所有精密设备都采取了防干扰屏蔽措施，自身抗干扰能力强，一般的电磁干扰不会影响设备正常运行。而无线网络设备的输出功率在60mW~100mW 之间，比GSM 手机的功率小得多。德国科隆大学附属校园对该院使用普通手机的心脏起搏器携带者进行了研究，科学家经过反复试验发现，手机与起搏器保持25 厘米以上距离时，起搏器功能基本不受手机干扰；那么更低功率的无线网络不会对患者的健康造成危害，也不会影响到心脏起搏器的正常工作。从功率上分析，无线信号不会对用户造成干扰：中国信息产业部无线电管理委员会规定单个无线接入点设备RF 发射功率不可超过100mW，H3C无线网络设备符合国际标准，实际工作在规定的安全发射功率范围之内，必然不会对人体健康产生影响 综上所述，只要无线网络设备符合国际标准，实际工作在安全发射功率范围之内，就不会对人体健康产生影响。另外，实验证明，只要在构建无线网络之前对部署环境进行严密的测量，对无线设备的摆放位置进行合理的设计，采用适当的发射功率，无线设备不会对校园内的精密设备造成影响，校园的各类仪器电磁干扰也不会影响无线设备的正常运行。 H3C的产品从规模应用和专业测试结果来看，绿色环保：H3C的无线设备在绿色和环保设计方面经过认真的考虑，目前已经在世界各地的校园大规模应用数年有余，迄今没有出现过无线设备危害人体健康和干扰精密设备的事故。 1.3.9 华三通信简介