XX单位无线项目设计方案

第页 , 共 55 页 1 目设计方案 目背景及需求分析 位 ， 作为重要的政府机构，网络的建设要求选用先进、成熟、安全、可靠、可扩展的网络技术和网络设备。 为了弥补有线网络覆盖有限、接入方式灵活差的缺陷，为了给 位 的工作人员提供简单快捷的网络接入能力， 位计划建设一套无线网络。 针对 位 无线网络实际需求，本次新建的无线网络系统需要重点考虑整个系统的高可靠性、高性能和安全性。在设备选型时采用的网络产品供货商应是知名品牌，有良好的信誉。 线局域网（ 述 无线局域网（ 术于 20 世纪 90 年代逐步成熟并投入商用，既可以作传统有线网络的延伸，在某些环境也可以替代传统的有线网络。对比传统的有线传输解决方案，使用 络实现数据传输具有以下显著特点： 简易性： 络传输系统的安装快速简单，可极大的减少敷设管道及布线等繁琐工作； 灵活性：无线技术使得 备可以灵活的进行安装并调整位置，使无线网络达到有线网络不易覆盖的区域； 综合成本较低：一方面 络减少了布线的费用，另一方面在需要频繁移动和变化的动态环境中，无线局域网技术可以更好地保护已有投资。同时，由于 术本身就是面向数据通信领域的 输技术，因此可直接通过百兆自适应网口和企业内部 连，从体系结构上节省了协议转换器等相关设备； 扩展能力强： 络系统支持多种拓扑结构及平滑扩容，可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统； 随着 术的快速发展和不断成熟，目前在国内外已经具有较多的政府 第页 , 共 55 页 2 机构使用 术布置无线城域网，进行承载部分政府业务，诸如：电子政备、消防、公安信息等等。 无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。 第一代无线局域网主要是采 用 P，每一台 要单独进行配置，费时、费力、费成本； 第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置，其管理性和 安全 性以及对有线网络的依赖成为了第一代和第二代 品发展的瓶颈，由于这一代技术的 存了大量的网络和安全的配置，包括加密的钥匙，安全密码 (等，而 是分散在建筑物中的各个位置，一旦 配置被盗取读 出并修改，其无线网络系统就失去了安全性。另外由于 以当用户接入数量 (IP 多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。在这样的环境下，基于无线交换机技术的第三代 品应运而生。 第三代无线局域网采用无线交换机和 P 的架构，对传统 备的功能做了重新划分，将密集型的无线网络和安全处理功能转移到集中的 换机中实现，同时加入了许多重要新功能，诸如无线网管、 自适应、无线安管、 测、无缝漫游 以及 使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。 P 与 P 两种组网方案对比 第页 , 共 55 页 3 线网络建设原则 结合 实际应用和发展要求，主要遵循以下系统总体原则： 实用性原则：以现行需求为基础，充分考虑发展的需要来确定系统规模。 安全性原则：对用户的安全以及网络的安全要求较高。 可靠性原则：系统设计能有效的避免单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。 成熟和先 进性原则：由于 用于企业和运营网络仍然属于新新技术，需要及时将新技术引用进来，更好的开展业务，同时也要求保证网络与业务的可靠性。 规范性原则：系统设计所采用的技术和设备应符合 际标准、国家标准，为系统的扩展升级、与其他系统的互联提供良好的基础。 开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。 可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建 设完成后的系统在向新的技术升级时，能保护现有的投资。 可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。 第页 , 共 55 页 4 二、 络 方案 线网络系统整体建设方案 整个 位 无线网络系统 结构拓扑图如下图所示： 如上图所示，笔记本、台式电脑、手机、 移动设备客户端通过无线连接 各楼层 别上连到楼内的 5120 换机上 ； 换机 通过 现有以太网 线路 与 原 核心交换机 互连 ； 挂在 原 核心交换机上， 所有的 行统一的配置及策略下发，而不必对 一去进行单独配置，同时通过网管平台提供多种用户的认证和接入功能，解决了不便于安装客户端用户的安全认证问题。 在外网无线方面 我们 提供了先进的基于智能无线交换架构的整体解决方案，为 位 工作人员 及参加培训的人员 的 笔记本、手机、 移动设备 提供接入 网络 的能力 ,台式机通过安装 线网卡的方式接入到无线网络。对终端无线接入采用 密技术，并对接入用户进行 理认证，只有通过了 用户名和密码验证过的用户才能连接到无线网络中。 本项目采用 署 外 )的方式组网，构建高速，高可靠的无线网络系统最高的无线接入速率达到 45 第页 , 共 55 页 5 在供电部分， 用 供电方式。 入交换机通过以太网线直接对 行供电，无需本地取电，既节省了重新布线的工作，也方便美观 ，对于主楼和东楼由于 所以这次我们直接 新增 5台 了 2千兆 电交换机，一方面提 供 电，更方面的部署，另一方面也提高网络的处理速度及安全防护 ；而对于老干处和会议厅由于新增的 量少，我们新增 4 个 电盒来供电，以节省用户的投资，并方便部署。 在接入安全 方面 :，通过 无线控制器 及接入交换机及 户接入管理组件组成一个立体的安全防护。 接入用户需要通过网页的方式进行认证，只有合法的用户才被允许接入，不合法的用户无法接入，这大大提高了整个无线网络的安全性。 同时 件还能 提供针对访客等临时接入账号的访客管理功能，访客管理员可创建来宾账号并申请访客接入网络服务。企业 访客通过批准的访客账号访问企业网络，该账号将在超过保留时长后失效 ,还能 对有线、无线接入用户可以提供统一的接入认证、授权功能，从而对有线、无线用户使用统一帐号进行管理。在对无线接入用户接入绑定限定的基础上，针对无线接入特性，提供了无线 定功能 。 在管理 方面 :由于 无线网 络的灵活性和不可见性，因此，对无线网络的管理需求也较有线网络更加强烈，而且无线网络直接面对最终用户，对管理系统稳定性、实时性、有效性要求都较高。因此，我们通过配置的 线运营管理组件依托 能管理平台，实现有线无线一体化的管理，在 统全面的有线网络管理的基础上，为管理员提供无线网络管理能力。管理员无需重新搭建 理平台，即可在原有的有线网络管理系统中增加无线管理功能，与有线管理平台统一部署，节省用户投入，节约维护成本。 第页 , 共 55 页 6 线 计 在无线 计时充分考虑 位 需求以及结合 年行业无线覆盖经验，在本目建设中无线 设计针对不同区域采用不同无线 行无线覆盖，以获得更好的无线覆盖效果。 楼 /东楼办公室 无线 计 办公室 设计时考虑到 办公环境的安静 性，一般均采用实心建设结构设 计 ，对于主楼和东楼这样的多办公室环境， 可以采用 房间室内分布式系统安装设计均存在 施工复杂、施工对办公影响大 。因此，在 办公 区我们建议采用 一代入墙式无线 两 房间部署一台 线 以为客户提供良好、舒适的 无线接入 体验同时能够提供良好的无线网络。 线接入点是杭州华三通信技术有限公司 (主研发的新一代面板式无线接入设备 (以下简称 可以安装在任意 86板的暗盒之上，不破坏原有装修，安装方便，可管理能力强 。 合于学各种密集房间场所，解决了在这些场景中，传统 放方式信号质量不佳的问题，并极大的减少了安装成本以及实施时所带来的运营成本 ， 置的 g/n 无线模块，最高支持 150输速率，可连接笔记本、平板电脑、智能手机等无线终端设备。 供两个网口（其中一个可以支持 外供电）和一个电话接口，满足房间 智能家电的扩展需求。采用内置天线隐藏指示灯设计，使房间内部的环境不受设备工作影响，卡线设计让安装更方便，符合施工人员 习惯。 办公室 /多功能厅 /主任会议室 无线 计 针对 大办公室 /多功能厅 /主任会议室 这此类位置的覆盖主要是高密度接入需求。因此，我们建议在此类位置根据面积的大小直接选择 线 为 该 区 域的 无线 用直放式进行安装。 i 系列无线产品是杭州华三通信技术有限公司 (主研发的新一代基于 31n 术的 能提供 450无线传输速率以及整机千兆接入能力千兆高速无线接入设备，可提供相当于传统 g 网络 10 第页 , 共 55 页 7 倍以上的无线接入速率 ，能够覆盖更大的范围。该系列无线产品上行链路采用千兆以太网接口，突破了百兆以太网接口的限制，使无线多媒体应用成为现实。 频增强 )内置终端感知型硬件智能天线阵列 (最高可达 4096 种波形 )，外型小巧美观，安装方式灵活，适用于壁挂、吸顶等多种安装方式。 i 系列无线产品是杭州华三通信技术有限公司 (主研发的新一代基于终端感知型硬件智能天线覆盖技术的超百兆高速无线接入设备 (以下简称 可提供相当于传统 b/g 网络 6 倍以上的无线接入速率，能够覆盖更大的范围。该系列无线产品上行链路采用千兆以太网接口，突破了百兆速率的限制，使无线多媒体应用成为现实。 盖饭堂 区域无线 计 在饭堂方面，由于饭堂原来没有 位 的外网网络，如从新布线工程较大，所以我们设计采用在主楼的 3 层用 两台 外 配上室外的定向天线来覆盖 ,这样可以省去重新布线的麻烦，部署十分方便 室外区域无线覆盖主要需要考虑周围环境的复杂性，同时还需要考虑 系列的防雷、防水、工作温度等相关的控制。因此，在本次项目室外 无线 盖我们建议采用 外专用无线 为本次项目室外无线覆盖 于 覆盖 饭堂 。 外专用大功率无线 用 500功率可调设计在室外复杂环境可以获得较好的无线覆盖效果。同时， 室外专用 雷装置的情况下直接安装在室外，也能够适应室外较大的温差变化等特征。 P 点数 分布设计 第页 , 共 55 页 8 主楼 布设计 在 主 楼 每层的 房间数量很多，为保证每个房间的信号，我们共采用 79 个 板式 覆盖 ， 基本每两个房间，我们就用一个 覆盖 ,这样即可以 ，达到 很 好的信号覆盖效果 ,也可以节省用户的投资 。 另外在 3每层楼都有一个大办公室里面细分了多个小办公室， 小办公室的隔离墙没封到顶，所以我们可以直接 在大办公室的上空中间位置放置一个 进行全 覆盖 。 具体见 下表 。 主楼 布表 楼栋 楼层 房间数 量 多办公 室房 会议室 外网(24口交换机 外网(48口交换机 面板2620或3628 备注 主楼 一层 7 4 二层 7 4 三层 19 1 1 10 3 其中两个用于连室外天线覆盖食堂 四层 19 1 10 1 五层 19 1 10 1 六层 19 1 1 10 1 七层 19 1 10 1 八层 20 1 10 1 九层 19 1 1 10 1 十层 2 1 十一层 0 小计 150 7 0 1 2 79 9 第页 , 共 55 页 9 东楼 布 设计 另外在四层和七层分别有 个 多功能厅和主任会议室，最多时人数会达到 30人以上，对于这些高密度的地方，我 在东楼方面多，为保证每个房间的信号，我们共采用 37 个 板式 覆盖， 对于小的房间每两个房间，我们就用一个 覆盖 ；对于主任办公室则基本是第个房间一个 到 很 好的信号覆盖效果 ,也可以节省用户的投资 。 另外在 3 层的 4 个会议室原来已有 行信号覆盖，我们这次可以直接复用原来的设备，以节省用户的投资； 们 设计每个房间用两个 行 覆盖 ；这里我们选配一个 速该 提供空间 3 流 (3450无线传输速率以及整机千兆接入能力，是相同环境下 g 产品的 10 倍左右。通过内置集成终端感知型硬件智能天线覆盖技术，可以有效地从覆盖范围、接入密度、运行稳定等方面提供更高性能的接入服务 ,另外再配合一个 进行 负载分担和 全覆盖 。 东楼 布表 楼栋 楼层 房间数 量 多办公 室房 会议室 外网(24口交换机 外网(48口交换机 面板2620或3628 备注 东楼 一层 (大堂 ) 二层 三层 4 四层 11 1 6 2 一个用2620 另一个用3628 五层 14 7 六层 10 1 5 七层 7 1 4 2 一个用2620 另一个用3628 第页 , 共 55 页 10 八层 7 4 九层 7 1 4 十层 7 4 十一层 6 3 小计 69 0 6 2 0 37 4 饭堂 布 设计 在饭堂方面，主要需要 覆盖 2 至 4 楼约 12 个房间，由于饭堂原来没有 外网网络，如从新布线工程软大，所以我们设计采用在主楼的 3 层用 两台外 配上室外的定向天线来覆盖 ,这样可以省去重新布线的麻烦，部署十分方便，但需要注意不靠主楼方向的方间信号可能 覆盖 不到。 第页 , 共 55 页 11 会议厅 层 布 设计 在 会议厅 方面， 原来已有 行信号覆盖，我们这次可以直接复用原来的设备，以节省用户的投资；另外在一层大堂和贵宾室则需要新增一个 覆盖 。 会议厅 布表 楼栋 楼层 房间数量 多办公室房 会议室 外网(24口交换机 外网(48口交换机 面板2620或3628 备注 会议厅 一层(大堂 ) 1 1 1 会议厅 最多时约100 人，现已有 6 个备复有 小计 1 1 0 0 0 0 1 老干处 布 设计 在老干处方面多，共有 4 个房间，我们共采用 2 个 板式 盖， 对于每两个房间，我们就用一个 覆盖 ； 楼栋 楼层 房间数 量 多办公 室房 会议室 外网(24口交换机 外网(48口交换机 面板2620或3628 备注 老干处 一层 4 2 小计 4 0 0 0 0 2 0 第页 , 共 55 页 12 位 整体 细分布表 整体汇总表 楼栋 楼层 房间数 量 多办公 室房 会议室 外网(24口交换机 外网(48口交换机 面板2620或3628 备注 主楼 一层 7 4 二层 7 4 三层 19 1 1 10 3 其中两个用于连室外天线覆盖食堂 四层 19 1 10 1 五层 19 1 10 1 六层 19 1 1 10 1 七层 19 1 10 1 八层 20 1 10 1 九层 19 1 1 10 1 十层 2 1 十一层 0 小计 150 7 0 1 2 79 9 东楼 一层 (大堂 ) 二层 三层 4 四层 11 1 6 2 一个用2620 另一个用3628 五层 14 7 六层 10 1 5 七层 7 1 4 2 一个用2620 另一个用3628 八层 7 4 九层 7 1 4 第页 , 共 55 页 13 十层 7 4 十一层 6 3 小计 69 0 6 2 0 37 4 饭堂 二层 4 用主楼室外对射来覆盖 三层 4 用主楼室外对射来覆盖 四层 4 用主楼室外对射来覆盖 小计 12 0 0 0 0 0 0 会议厅 一层 (大堂 ) 1 1 1 会议厅 小计 1 1 0 0 0 0 1 老干处 一层 4 2 小计 4 0 0 0 0 2 0 合计 236 8 6 3 2 118 14 线网络组网模式设计 根据 位 对此次无线网络建设提出的需求，此次无线网络设计采用的是瘦 无线控制器的解决方案，利用无线控制器对 行统一的配置和控制。 P（瘦 网最大的优点在于 身零配置 ， 电后会自动从无线控制器下载软件版本和配置文件，同时无线控制器会自动调节 工作信道以及发射功率。另外，通过无线控制器的 描探测热点地区 P，可以及时排除其他 在的干扰，保障 稳定运行。在网络管理方面，网管可以只通过管理无线控制器设备就可以达到控制 效果，极大的减少了无线网络后期维护和管理的工作量。 第页 , 共 55 页 14 使用无线控制器 +P 时， 启动后会自动通过 式获取 址，并自动搜寻可关联的无线控制器，在和无线控制器建立 道之后会自动从无线控制器下载配置 文件和更新软件版本。 在 接入方面， 有智能射频管理，当某一个 现故障时，周围的其他 自动调整功率，对该部分区域进行重新的信号覆盖，保证信号的良好覆盖。而当有非法 入无线网络造成信号干扰时， 能射频管理系统可以定位出该 位置，以便及时加以排除。 无线控制器可以设定 对接入用户进行负载分担，当无线控制器发现 于新接入的用户无线控制器会自动计算此用户周 围是否还有负载较轻的 果有则 户会转而接入其他负载较轻的 图所示： 能负载分担 司创新性地支持智能负载均衡技术，保证只对处于 盖重叠区的无线用户才启动 载均衡功能，有效的避免误均衡的出现。 第页 , 共 55 页 15 能负载分担 P 方案还支持无线入侵检测。当有第三方的 冒 ，无线控制器会通过 反馈，迅速得到相应的信息，并上报网管，采取相应的信息。管理员还可以对该设备发起攻击，使该第三方设备无法 连接上相应的用户。 线入侵检测示意图 线 率自动调整 传统的射频功率控制方法只是静态地将发射功率设置为最大值，单纯地追求信号覆盖范围，但是功率过大可能导致对其他无线设备造成不必要的干扰。因此，需要选择一个能平衡覆盖范围和系统容量的最佳功率。 功率调整就是在整个无线网络的运行过程根据实时的无线环境情况，动态地分配合理的功率。当第一次开始运行的时候，它使用最大传输功率。当从其他邻居（邻居指的是 探测到的且必须是由同一 理）处得到报告时，功率是否增加或减少取决于探测的结论： 1、在增加邻居时，功率会减小。如下图所示，覆盖同一面积区域，当增加 第页 , 共 55 页 16 后，达到缺省的最大邻居数 3（此参数可配置），运行功率调整功能，可以看到调整后功率小于使用三个 需要的功率。 功率减小示意图 2、在修复邻居 线造成的信号覆盖黑洞时，功率会增加。如图所示。 功率增大示意图 第页 , 共 55 页 17 在本方案设计中采用无线功率自动调整方法来实现覆盖区域优良的无线覆盖。配置功率自动调整后 从其他邻居（邻居指的是 探测到的、并且必须是由同一 理的其他 得到通道测量报告时，功率是否增加或减少取决于探测的 结论。在设备第一次选择功率时都会选择最大功率，然后根据实际情况进行功率调整配置自动功率调整后。当冲突严重时， 在每一次优化间隔后（间隔由命令 定），把调整结果应用到 。以后每隔一段时间 自动根据冲突情况进行功率调整。 第页 , 共 55 页 18 线 网管设计 线 管理组件 品简介 近几年来，网络已经融入到人类生活的方方面面，生产办公、交通运输、医疗卫生、休闲娱乐无一不在使用网络，随着网络的快速发展，网络业务层出不穷，人们越来越多地需要时时 刻刻地能够接入网络，于是笔记本电脑用户日渐增多，手机、 断普及，更多的便携式网络接入设备进入人们的视线，而无线网络以其施工简单、接入方便逐渐被人们所喜爱。这种情况下，传统的有线网络连接形式已经无法应付新的生活方式所带来的挑战。 作为接入层网络，无线网络维护工作量较大，加之无线网络的灵活性和不可见性，对无线网络的管理需求也较有线网络更加强烈。无线网络直接面对最终用户，对管理系统稳定性、实时性、有效性要求都较高。 现有线无线一体化的管理，在 统全面的有 线网络管理的基础上，为管理员提供无线网络管理能力。管理员无需重新搭建 理平台，即可在原有的有线网络管理系统中增加无线管理功能，与有线管理平台统一部署，节省用户投入，节约维护成本。 品 特点 线运营管理组件（ 下一代业务软件平台 基础上进行开发，不仅为管理员提供了灵活的组件选择，同时符合业界主流的 构，具备良好的扩展性，能够满足客户网络管理不断发展的需求。基于 管理系统，为无线业务管理者提供了简便、友好的管理平台。与 能管理平台及其它组件配合，还可实现 无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理等功能，并可对网络中的其它设备进行统一管理，真正实现有线无线一体化管理。 该组件的主要功能和特点如下： 1. 无线有线一体化管理 线运营管理组件（ 为 能管理中心的无线业务管理核心，对于网络中的 P、 P、移动终端等无线设备与有线设备进行一体化集中管理，全网设备信息和状态一目了然。网络资源通过多种视图进行查 第页 , 共 55 页 19 看，视图内分组管理，将规模巨大的无线接入设备有效组织，便于管理员维护。 2. 多样化的拓扑管理 线运营管理组件（ 的无线业务逻辑拓扑帮助管理员直观了解网络部署情况及设备 /链路当前状态。系统可根据不同的方式组织资源，有效进行拓扑分组、真实组织全网资源。物理位置视图中管理员可根据需要创建多纬度、多层次的物理位置结构，并在指定建筑物底图上根据真实情况摆放设备，逼近真实网络环境。 无线有线一体化拓扑 3. 无线终端定位和漫游记录审计 线运营管理组件（ 以直接在拓扑图中对移动终端的信息进行查看，包括 址、信号强度、发射速率集、 用信道、所在备、所在 备等，并能查看各移动终端的全部漫游记录，使管理员随时了解最终接入用户的情况，并对其接入轨迹进行审计。 第页 , 共 55 页 20 无线终端漫游记录审计 4. 盖管理和无线网络规划 在实际无线环境的部署和维护中，需要关注无线设备的 围、覆盖管理以及无线网络规划扩容问题。 线运营管理组件（ 以用很直观的拓扑图表示出无线网络中的 况。 无线 盖状况 5. 无线入侵检测和防护 无线网络灵活多变，并且基础设施不可见，因此比有线网络更容易遭到越权使用。对于这类问题， 线 运营管理组件（ 供了 备检测功能，可对无线入侵进行检测，可明确显示非法接入设备，并对其进行信息查询、加入黑名单及发起攻击等动作。 第页 , 共 55 页 21 无线入侵检测和防护 6. 丰富的无线统计报表 对网络进行运营管理需要对网络进行全方位的监控，从网络各种性能指标、告警指标中进行智能的统计和分析，才能有效从整体对网络状况进行衡量。 供了丰富的无线统计报表查询和定制功能，以帮助管理员对网络进行综合而全面的管理。 第页 , 共 55 页 22 无线业务报表展示 第页 , 共 55 页 23 户接入 组件 品简介 业界传统的网络管理、用户管理软件各自发展已经较为完善，网络管理系统关注于网络基础资源的管理，包括路由器、交换机、服务器等，而用户管理则关注于对当前正在使用网络基础资源的用户的管理，包括对用户身份的认证、对用户信息的组织管理等，但实际上网络和用户是有机融合的整体，需要统一集中管理。 能管理中心的平台组件实现了完善的网络设备管理功能，在此的基础上， 能管理中心用户管理组件将管理的范畴从网络设备延展到了网络用户的管理，通过网络设备管理和用户管理的深度融合和联动，在统一的 平台上实现了用户、网络的集中管理。 品 特点 能管理中心除了实现基础的用户管理和网络管理功能外，最大的特色在于实现了两者之间的有机融合，在统一的操作界面上同时完成网络、用户的管理。 集中化的设备资源和用户资源管理 第页 , 共 55 页 24 除对网络设备的统一管理外， 括用户姓名、证件号码、通讯地址、电话、电子邮件、用户分组；并提供用户附加信息管理功能，管理员可根据网络运营的习惯进行用户信息定制，如学校可以定制学号、年级等信息，企业可以定制部门、职务等信息。 设备和用 户的统一分组管理 支持设备和用户分组功能，通过对设备资源和用户进行分组管理，系统管理员方便的分配其他管理员的管理权限，便于职责分离。 接入业务服务和用户分组可灵活对应，使得特定分组用户才能配置对应的特定服务，便于管理员进行接入业务管理。 用户管理与网络设备管理相融合，用户管理操作更简单 接入设备列表中可以直接看到用户相关信息，提高了操作员日常维护的效率。 设备选定后可直接对其进行用户操作，比如，针对某个接入设备，将其所挂的用户全部下线处理等。 在线用户列表中提供接入设备查看入口，可查看当前在线用户所对应的接 入设备的详细信息，比如，对应的基本信息、告警、性能状况等。 网络设备管理和用户管理的全面融和，使得操作更友好，全面提升操作员操作体验。 第页 , 共 55 页 25 支持多种接入及认证方式，适合多种接入组网场景及应用场景 支持 多种 认证 接入 方式 。 支持 应不同安全要求的应用场景。 支持 用户与设备 接入端口 、 用户 件信息的 绑定认证 ，增强用户认证的安全性，防止帐号盗用和非法接入。 支持与 三方邮件系统（必须支持 统一认证，避免用户记忆多个用户名和密码。 支持端点准入防御（ 决方案，确保所有接入网络的用户终端符合企业的安全策略。 严格的权限控制手段，强化用户接入控制管理 基于用户的权限控制策略，可以为不同用户定制不同网络访问权限。 可以控制用户的上网带宽（ 限制用户同时在线数、禁止用户设置和使用代理服务器，有效防止个别用户对网络资源的过度占用。 支持最大闲置时长限制。 可以实现对用户 制用户对内部敏感服 务器和外部非法网站的访问（ 可以限制用户 止 可以限制用户的接入时段和接入区域，用户只能在允许的时间和地点上网。 可以限制终端用户使用多网卡和拨号网络，防止内部信息泄露。 可以限制用户必须使用专用安全客户端，并强制自动升级，确保认证客户端的安全性。 详尽的用户监控，强化对终端用户的监视控制 名单”管理，可以将恶意猜测密码的用户加入黑名单，并可按 管理员可以实时监控在线用户，强制非 法用户下线。 支持消息下发，管理员可以向上网用户发布通知消息，如“系统升级，网络将在 10分中后切断”、“您的密码遭恶意试探，请注意保护密码安全”等。 于方便定位用户无法认证通过的 第页 , 共 55 页 26 原因。 集中方便的接入业务用户管理，简化管理员维护操作 基于服务的用户分类管理，用户的认证绑定策略、安全策略、访问权限均封装于服务中，简化管理员的操作，保证网络管理模式的统一。 接入用户相关的管理动作集中化，界面对操作员来说更友好、更美观易用。 灵活的业务及运行环境参数调整，适应不同的运行及应用 环境 系统参数配置，提供业务相关的常用参数信息配置功能。 策略服务器参数配置，提供策略服务器及安全管理相关的参数信息配置功能。 运行参数配置，提供系统运行环境相关的路径、数据库属性等基本信息的能。 证书文件配置，提供证书认证配置信息功能。 用户提示信息配置，提供给用户的相关提示信息配置功能。 客户端自动运行任务配置，提供配置客户端认证后自动运行相关程序的配能。 用户密码控制策略配置，提供配置用户密码的控制策略配置功能。 融合的接入设备管理，操作简单、管理方便 接入设备配置与 协同，选定接入设备后，可直接为此设备进行 时，在接入设备列表中，可查看其对应的 于快速部署及开通业务接入业务 为接入设备提供查询设备明细信息的链接，可通过简单的鼠标点击看到接入设备的详细信息，比如对应的基本信息、告警、性能状况等。 接入设备管理与拓扑管理的融合，拓扑中可以清晰的显示出接入设备，查看接入设备相关信息，并可通过鼠标点击方式，将此接入设备设置为非接入设备。 客管理功能介绍 网络访客接入管理功能作为 决方案的组成部分，可有效帮助山庄、各种 接入方式下的访客安全接入管理问题，以某大型山庄使用 络访客管理为例，访客的网络的使用流程如图 2 所示。 第页 , 共 55 页 27 图 1 客管理功能具有以下特点： 1. 全面的接入方式支持。 无论访客使用有线网络还是无线网络，笔记本还是平板电脑，均可有效控制其接入权限。 2. 灵活的访客安全策略管理。 通过 灵活的根据访客身份定制安全策略并实施。可溶解客户端的使用，实现了安全检查的自动化。 3. 高效的访客帐号管理方式。 将普通员工、前台、门卫等山庄内部人员授权为访客管理员，由访客管理员负责各自权限内的访客帐号管理，极大降低了 4. 完备的访客日志审计功能。 访客离开山庄后，其访问日志仍可按系统设置的保留时长保存，供 时，访客管理员的操作日志也被详细记录，可供查询和管理。 5. 开放的 供了丰富的 方便的同山庄其它应用系统集成，提高了山庄管理效率。 6. 一体化的解决方案。 作为 现了山庄员工网络接入、访客网络接入和终端 安全控制的统一管理，为山庄提供了网络接入控制的一体化解决方案，降低了山庄的拥有成本。 第页 , 共 55 页 28 三 3C P 方案的特点 能射频管理 每个 电时，无线控制器会根据 邻居关系动态调整 作的信道和发射功率，在保证覆盖的前提下保证 的干扰最小。 当 盖区域受到外界强信号干扰时，无线控制器会控制 动切换到合适的工作信道以规避干扰信号。 当覆盖区域内的某个 生故障而造成覆盖黑洞时，无线控制器会自动调整相邻的 发射功率以消除黑洞区域，当 故障 复工作后无线控制器可以自动调整邻居 发射功率恢复原始工作状态。 能负载均衡 无线控制器可以设定 对接入用户进行负载分担，负载分担的策略可以是基于 入的用户数量， 量负载情况 当无线控制器发现 负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的 供用户接入，如果有则 拒绝用户的关联请求，用户会转而接入其他负载较轻的 司创新性地支持智能负载均衡技术，保证只对处于 盖重叠区的无线用户才启动 载均衡功能 ，有效的避免误均衡的出现。 第页 , 共 55 页 29 A 2拒绝关联接受关联负载均衡原理A 2智能负载均衡技术启动负载分担的重叠覆盖区不启动负载分担的区域图 1 智能负载示意图 务 持 线产品支持多种服务质量 持 的 先级，支持以太网口支持 别和标记。支持优先级队列及映射、流量限制、流分类。并且能够对 略映射不同 逻辑端口（ W L A N/ B S S ）接收者终端 辑端口调度(V Gr o 物理端口 多媒体业务 意 第页 , 共 55 页 30 持无线入侵检测系统 (决方案支持无线入侵检测系统 ( 作原理如下： A. 无线控制器可以指定 作在两种工作模式：模式一、 责监听空口所有信道的信息，但不负责用户报文的转发。模式二、 为用户转发数据的同时定期切换到其他信道监听信息 , 备负责把监听到的无线设备和有攻击行为的无线设备上报给无线控制器 B. 无线控制器根据 报的设备信息识别非法设备 C. 无线控制器通过各种途径提供各种声、光、电的报警 D. 当有用户试图连接到非法的 时，用户会发起关联请求，无线控制器通过 到这个请求时，指挥周边的 解除关联的 指令，确保用户不会连接到非法 图 3 无线入侵检测示意图 证支持 证又称为强制 证，以其新业务支撑能力强大、无需安装客户软件、与组网设备无关等特点，受到越来越多用户的欢迎。 证业务可以为管理者提供方便的管理功能，如要求所有的用户都到门户网站去认证，门户网站可以开展广告、信息服务、个性化的业务等，为信息传播提供一个良好的载体。 第页 , 共 55 页 31 证原理 证协议主要应用于 司提出的基于 宽带接入认证系统中，完成用户的认证和 授权。整个 证过程涉及到了 面， 务器。 证工作原理：未认证用户在访问网络时，可以直接访问为用户免费开放的资源，当用户要使用网络中的收费资源时，设备会将用户的 求重定向到 户网站，用户必须在门户网站进行认证，只有认证通过后才可以访问这些资源。 证的工作流程如下图所示： 证流程 认证流程： 用户通过 问需要授权的网络资源，设备发现用户还没有通过认证则强制到 面强推给用户，提示用户需要进行认证。 用户在 面中输入用户名密码并提交认证， 认证信息发送给设备，设备将用户信息转换为 文发送到 务器进行认证。 务器对用户信息进行验证，确认无误后，下发认证通过报文以及相应的权限控制信息给设备，设备放开用户的上网权限，同时 务器开始进行计费。 上网期间，用户 时发送心跳报文交互，以确保用户没有因异常原因下线。 第页 , 共 55 页 32 用户下线时， 到用户下线请 求并通知设备， 务器终止计费并通知设备断开用户。 能特点 不需要安装客户端软件 相对于其他的认证方式， 证通过网页即可实现认证，无需安装客户端。不但减少了用户机器的负担，而且方便了上网用户的使用，同时管理者