酒店网络设计方案

目录目录 一 网络建设概述一 网络建设概述 2 1 建设背景 2 2 上网需求渐增 2 二 设计原则二 设计原则 3 1 网络需求分析 3 2 建设目标 3 3 设计原则 3 三 方案设计思路三 方案设计思路 5 1 网络拓扑图如下 5 2 技术实施 5 2 1 IP 地址分配 6 2 2 防止 ARP 地址欺骗 6 2 3 IDS 防范 8 2 4 报文源认证 8 2 5 设置异常流量防护 8 2 6 设置 IP 流量限制 9 2 7 设置网络连接限数 10 四 组网设备介绍 10 1 路由器 H3C ER3260 10 2 核心交换机与无线控制器 H3C WX3024E 13 3 接入交换机 H3C S1026E 34 4 无线 AP H3C EWP WA2610E GNP FIT 35 五 设备报价清单 42 XX 商务酒店网络商务酒店网络设计方案设计方案 一 网络建设概述一 网络建设概述 随着我国互联网络的高速发展 互联网络对人们的影响 不仅体现在人们 的工作与学习方面 而且越来越多地体现于人们生活的各个方面 互联网络将 改变人类整个生活的理念已经深入人心 1 建设背景 随着经济的蓬勃发展 为宾馆酒店业的发展提供了良好的机遇 丰厚的利 润和巨大的市场也吸引了众多的竞争者 酒店行业靠什么赢得竞争优势 酒店 在做好现有业务种类 不断提高服务水平的同时 如何把握客户的需求 用最 经济的办法获得最大的客户满意度 提高企业自身的档次和知名度 同时拓展 新的业务增长点 成为最根本的竞争所在 这使得酒店行业对信息化的需求非 常迫切 有调查表明 酒店的信息服务水平在很大程度上影响着客人的入住愿 望 无法提供高速互联网接入服务的酒店 对于客户来说 无疑是一场商业灾 难 2 上网需求渐增 统计资料显示 酒店客户中 45 的人有上网需求 并且其中有 30 的客人 提出了高速上网的要求 值得注意的是 对上网速度有强烈需求的客户 对价 格又不是很敏感 这些客人是各个酒店利润的主要来源 也是各大酒店竭力争 取的商住客户或者常住客户 因此 对于同等星级的酒店 在管理水平和房间设施趋于相近的情况下 提供高质量的互联网接入服务是酒店吸引更多商务客人入住的有效手段 采用 宽带接入可以显著提高星级酒店的信息化服务水平 酒店入住客人可以轻松自 如地实现诸如网上冲浪 IP 电话及可视电话 电视会议 电子商务 VOD 点播 互动点播电视节目和电影 虚拟专用网络 VPN 等功能 向客户提供高速上网 提高酒店的服务档次 是为了寻求酒店经济的增长 点 提高酒店的竞争力 通过传播酒店的声音 发布酒店的信息 开放酒店面 向客户的信息 提供查询酒店信息的渠道 建立网络信访机制 可加深酒店与 客人的感情 通过广泛开展对酒店客人提供公益性的信息服务 例如新闻报道 天气预报 旅游指南 航班信息 求医问药和列车时刻查询等 可建设酒店的 信息化环境 酒店可以在宽带网上运行酒店管理系统及酒店网站 向全社会推 介酒店的业务 可实现酒店内部资源共享 提高资源的利用率 为酒店节省开 支 可为酒店提供电子商务 扩大酒店的业务范围 促进酒店的管理模式的转 变 提高酒店的工作效率 可为酒店向自动化办公及无纸办公的发展提供条件 二 设计原则二 设计原则 1 1 网络需求分析 网络需求分析 XX 商务酒店上网系统项目涉及到无线网络与有线网络设计 该酒店有商务酒店上网系统项目涉及到无线网络与有线网络设计 该酒店有 14 层楼 一楼为大堂与层楼 一楼为大堂与 一个西餐厅 二楼有一个西餐厅 二楼有 2 个大会议室与一个中餐厅 个大会议室与一个中餐厅 3 14 楼楼 为客房 每层楼有为客房 每层楼有 16 个房间 酒店格局为 长个房间 酒店格局为 长 50 米 宽米 宽 20 米 中间是过道 米 中间是过道 两边是房间 两边是房间 2 建设目标 建设目标 XX 商务酒店以因特网接入的总体目标 实现酒店内部每个房间上网的需 求 提供高质量的互联网接入服务吸引更多商务客人入住 提高星级酒店的信 息化服务水平 酒店入住客人可以轻松自如地实现诸如网上冲浪综合运用计算 机网络技术向客户提供高速上网 提高酒店的服务档次 酒店经济的增长 和 酒店的竞争力 3 3 设计原则 设计原则 设计主要要考虑到先进性 可靠性 开放性 经济性 安全性和可管理性 设计要立足先进技术 采用最新科技的电网通技术 以改变酒店布线难的问 题 使整个网络在国内保持领先的水平 并具有长足的发展能力 以适应未 来网络技术的发展 所以 网络系统的可靠性就显得尤为重要 在网络设计 中遵循以下技术原则 3 2 13 2 1 标准化标准化 系统采用的信息分类编码 网络通信协议和数据接口等技术标准 将 严格按照国家有关标准或行业标准规范 3 2 23 2 2 实用性实用性 满足XX 商务酒店业务为需要 充分利用现有资源 避免不计成本盲目追 求最新技术 利用最适合酒店使用的电网通设备 采用必要的 先进的网络 安全手段与管理技术 以节省投资 3 2 33 2 3 安全性和保密性安全性和保密性 系统网络充分考虑网络的故障容错纠错功能 建立安全保障体系 采用 先进的软硬件等技术手段 实现网络的传输安全 数据安全接口 确保网络 的安全性 保密性 3 2 43 2 4 开放性和可扩充性开放性和可扩充性 技术上要立足长远发展 坚持选用开放性系统 3 2 53 2 5 可维护性可维护性 网络接入部分具有较高的模块化程度 可满足不同业务流程的需要 易于维 护和升级 三 方案设计思路三 方案设计思路 XX 商务酒店网络结构上将按照层次化的原则来进行设计建设 整个网络 采用星形联结 网络层次为三层结构 即 核心层 汇聚层和接入层 根据当前和将来网络发展和流行趋势 以及网络优化改造的要求 整个网 络全部采用千兆为主干 百兆交换到桌面的原则实施 整个酒店也做无线与有 线网络 无线部分 无线部分 根据酒店的格局与考虑到无线网络的安全性与稳定性 经济性 我们采用 H3C 无线控制器 AC 瘦 AP 做分布式布置 一 二层各放置 2 个 H3C EWP WA2610E GNP FIT 500MW 大功率 AP 做分布式布置 3 14 楼每层各放 1 个 AP 通过一分三功分器 每个 AP 带 7 根天线 左右各延伸 8 米出来再各连 接一个一分三功分器 再分别延长 8 米与 12 5 米的天线 AP 接入信号通过楼 层交换机接入 无线 AP 均采用 POE 供电模块通过网线来给无线 AP 供电 从 而节约强电的布线成本 也可以提到节能环保的作用 为酒店的用电节省很多 14 层楼共放置 16 个 AP 所有 AP 通过 H3C 有线无线一体化交换机 EWP WX3024E POEP H3 来管理 EWP WX3024E POEP H3 又是一台三层 24 口千 兆交换机 在这里我们也用他做整个酒店的核心交换机 起到一机两用的功能 从而节约降低硬件设备的成本投入 天线分布示意图 无线控制器无线控制器 瘦瘦 AP 方案优点 方案优点 1 AP 零配置 无线控制器 FIT AP 控制架构对设备的功能进行了重新划分 其中无线控制器负责无 线网络的接入控制 转发和统计 AP 的配置监控 漫游管理 AP 的网管代理 安全控制 FIT AP 负责 802 11 报文的加解密 802 11 的 PHY 功能 接受无线控制器的管理 RF 空口 的统计等简单功能 H3C 公司在支持这种新的网络架构时将一些新的智能功能集成进 FIT AP 和无线控制器中 以便于给用户呈现统一的网络管理接口 FIT AP的配置保存在无线控制器中 FIT AP启动时会自动从无线控制器下载合适 的设备配置信息 FIT AP需要能够自动获取IP地址 同时FIT AP需要能够自动发现可接入的无线控 制器 并对无线控制器和FIT AP之间的网络拓扑不敏感 无线控制器支持FIT AP的配置代理和查询代理 能够将用户对FIT AP的配置顺利 传达到指定的FIT AP设备 同时可以实时察看FIT AP的状态和统计信息 无线控制器保存FIT AP的最新软件 并负责FIT AP软件的自动更新 2 H3C 公司通过这一全新的网络管理接口可以很好的解决目前型 WLAN 网络组网中存在的 管理问题 用户只需要建立业务参数模板和设备参数模板 并设定指定的AP引用这些模板 当FIT AP启动时无线控制器会根据预先的配置引用信息给FIT AP下发配置 用户的配 置工作量大大减少 用户对FIT AP的管理是通过无线控制器来代理完成 网管不再关心FIT AP的IP地 址 FIT AP和无线控制器之间的关联是自动完成 不再需用户对AP进行的配置干预 无线用户的数据报文被FIT AP封装在AP和AC间的数据隧道中 接入AP的边缘网络 不需要再为无线用户的接入而更改VLAN和ACL等配置 无线控制器保存了所管理的FIT AP的运行状况和在线用户统计信息 维护人员只 需登录到指定的无线控制器就可以完成信息察看 用户对FIT AP的管理是通过无线控 制器来代理完成 因此在线更改服务策略设定和安全策略设定也不再需要逐一登录到 AP设备 而只需要登录到指定的无线控制器就可以完成设置 无线控制器会自动把新 的配置下发到指定的FIT AP 用户不再需要手动逐一对AP设备进行软件升级 AP在每次重新启动时会自动比较 当前运行的版本和无线控制器上保存的版本 如果无线控制器上保存的版本更新 FIT AP会自动更新本地的软件影像 AP本地不再保存配置信息 即使设备丢失也不存在因配置丢失而出现的安全隐患 1 1无线网络规划无线网络规划 1 1 频率规划频率规划 目前针对 WLAN 来讲 2 4G 具有 3 具不重叠的信道 针对 5 8G 具有 5 个不重叠信道 但由于网络用户具有一定的不确定性 故网络覆盖时所需要的 WLAN 网络空间都要进行 2 4G 与 5 8G 的频率覆盖 从网络规划的角度出发 主要考虑 2 4G 与 5 8G 二个频率的覆 盖设计 针对 2 4G 的频率的信号衰减模型主要采用如下 PathLoss dB 46 10 n Log D m 而对于 5 8G 的信号衰减模型 PathLoss dB 32 4 20 lg f MHz 20 lgd KM a d KM 以上二信号衰减模型进行网络的设计 到具体网络实施时要进行工勘与优化 而对于信道主要采用 1 6 11 三个信道交错使用 具体的面覆盖逻辑示意图如下 图1 WLAN2 4G信道规划示意图 2 2 频率复用频率复用 图2 无线覆盖示意图 针对频率复用的设计与实现主要侧重于重叠区域 考虑到 802 11 技术中目前业界主要 采用 DCF 的仲裁 这样会导致从网络实施的角度出发 没有办法做到像 GSM 3G 网络的控 制力度 从技术原理的角度出发 没有办法实现很好的频率复用 只能被动做些负载均衡 的功能 每个 AP 具有 54Mbps 48Mbps 36Mbps 18Mbps 等的覆盖范围 对于 54Mbps 的覆 盖范围不重叠 对于 54Mbps 与 18Mbps 就可能进行重叠 可以根据网络侧的负载功能进行 实现一定程度的频率复用功能 从网络规划的角度出发 WLAN 基本上 下行无线链路复用 的处理问题 因为目前都是 DCF 方式 而从只能结合业务目标实现网络覆盖效果 具体网 络使用效果使用负载均衡功能进行实现 负载均衡的功能实现具体原理如下 根据负载均衡的配置确定负载均衡的模式 SSID 其他参与负载均衡的 AP 的标识 用户数或流量的阀值等进行一定的初始化 确定本 AP 的 2 个射频模块连接的 STA 用户数量和流量 通过 UDP 协议以私有方式定时进行 AP 间通讯 先进行握手 成功后才进行数据的 交换 获取参与负载均衡的 AP 的负载信息 当有 STA 要接入时 根据其工作频率 比较本 AP 上该射频下的负载和其他 AP 的指 定 SSID 下的用户数或流量 以及负载均衡的 SSID 绑定接口的速率集 决定 STA 能否接入 同时要注意到若用户数已达到 AP 某个 SSID 的最大用户数 则该 AP 的 SSID 不允许再接入 STA 3 3 APAP容量规划容量规划 从业界实现的 DCF 方式来看 没有一个最大用户数的限制 但业界各个厂商进行实现 时都基于一定理解的前提下进行默认限制 H3C 目前每个 AP 最大的用户默认限制为 64 个 用户 并可以根据实际情况更改每个 AP 限制接入的用户数 根据多年的 WLAN 部署经验 H3C 建议 从网络规划的角度出发 按照每个 AP 覆盖 25 30 用户进行部署 可以保证用 户的接入质量和正常需求下的网络吞吐量 有线网络部分 有线网络部分 有线网络部分 中心机房放置在一楼 有 3 个分配线间 2 楼 管理 2 层 5 楼 管理 3 7 层 10 楼 管理 8 14 层 中心机房到 5 10 楼主干走单模光纤 汇聚层到接入层主干走六类线 接入层直接走超五 类线 汇聚层交换机我们采用 H3C 二层千兆 5016P 交换机做汇聚 接入层交 换机采用 H3C S1024E 交换机做接入 路由器我们采用 H3C ER3260 双链路接 入做出口路由器 1 网络拓扑图如下 网络拓扑图如下 2 技术实施 2 12 1 IPIP 地址分配地址分配 动态地址分配 在 ER 3260 上面开启 DHCP 分配功能 如下图 2 22 2 防止 防止 ARPARP 地址欺骗地址欺骗 PCPC 接入交换机 Internet 发送免费 ARP 更新主机 ARP 表 免费免费免费免费 ARP ARP ARP 授权授权授权授权 ARPARPARP 解决所有 解决所有 解决所有 解决所有 ARPARPARP 欺骗欺骗欺骗欺骗 PCPC ARP 欺骗一 欺骗一 PC 机假冒网关机假冒网关 ER3260 通过定时发送免费 ARP 更新网络主机上被攻击篡改了的网关 MAC 地址 保证主机与网关之间的通信 DHCP 服务服务 器器 DHCP 请求请求纪录 MAC IP 关系 伪造伪造 ARP IP MAC 关系不对关系不对 ARP 欺骗二 欺骗二 PC 机假冒机假冒 PC 机机 ER3260 通过授权 ARP 只容许静态 ARP 和 DHCP 分配的 ARP 表相中的 IP 地 址通过 从而防止 PC 机 IP 与 MAC 的欺骗 2 32 3 IDSIDS 防范防范 为了防止客房网攻击 通常会使用路由器 防火墙的组网 ER3260上内置了防攻击的功能 可以省掉防火墙了 2 42 4 报文源认证 报文源认证 2 52 5 设置异常流量防护 设置异常流量防护 网络中的主机会由于出现中毒或网卡异常等原因 向 Internet 发送大量 的异常报文 阻塞网络 大量消耗设备的资源 启用本功能后 设备会对各个 主机的流量进行检查 发现有异常流量时会进行指定的处理 以保证设备受到 此类异常流量攻击仍能正常工作 2 62 6 设置 设置 IPIP 流量限制流量限制 某些应用 比如 P2P 下载等 在给用户带来方便的同时 同时 也占用了大量的网络 带宽 一个网络的总带宽是有限的 如果这些应用过度占用网络带宽 必将会影响其他用 户正常使用网络 为了保证局域网内所有用户都能正常使用网络资源 您可以通过 IP 流量限制功能对局 域网内指定主机的流量进行限制 2 7 设置网络连接限数 设置网络连接限数 网内的主机遭受 NAT 攻击时 主机的网络连接数可能会超过几万个 从而会严重影响 业务的正常运行或出现网络掉线现象 此时 您可对指定主机的最大网络连接数进行限制 保证网络资源的有效利用 四 组网设备介绍四 组网设备介绍 1 1 路由器 路由器 H3CH3C ER3260ER3260 ER3260 是 H3C 公司推出的一款高性能路由器 它主要定位于以太网 光纤 ADSL 接入的 SMB 市场和政府 企业机构 网吧等网络环境 如需要高速 Internet 带 宽的网吧 企业 学校和酒店等 ER3260 采用专业的 64 位网络处理器 主频高达 500MHz 并且支持丰富的软件 特性 如 IPMAC 地址绑定 ARP 防攻击 流量限速 双 WAN 负载均衡 策略 路由 源地址路由等功能 它是 H3C ER 系列路由器中的中高端产品 大型网吧 用户和大型企业用户的理想选择 专业的 64 位网络处理器 主频高达 500MHz 高性能 达到百兆线速转发 典型带机量为 200 台 高处理性能高处理性能 ER3260 采用 64 位网络处理器 主频高达 500MHz 同时配合 DDRII 高速 RAM 进 行高速转发 可以达到百兆线速转发 在实际应用中 典型的带机量为 200 台 双双 WANWAN 口负载均衡口负载均衡 负载均衡可以让企业网用户根据线路实际带宽分配网络流量 达到充分利用带 宽的目的 华三通信结合国内网络用户的使用习惯和特点 有针对性地推出了 智能负载均衡和手动负载均衡两种均衡模式 满足了双线路接入用户对带宽的 灵活应用需求 智能负载均衡根据用户实际带宽比分配实际的网络流量 手动 负载均衡根据导入的路由表进行转发 支持策略路由表的导入 导出功能 只需 导入合适的路由表即可实现 电信走电信 联通走联通 的功能 IPSecIPSec VPNVPN ER3260 支持标准的 IPSec VPN 用户可以通过简单的 WEB 配置实现点对点之间 的安全的 VPN 连接 最高支持 168 位的 3DES 加密 同时 H3C 结合国内用户的组 网特点在 ER3260 上同时支持通过域名方式配置 IPSec VPN 连接和 NAT T 的 NAT 穿越功能 多局域网功能 多局域网功能 VLANVLAN ER3260 支持多局域网功能 企业可以方便的划分局域网为多个网段 降低广播 域和 ARP 病毒的影响 针对每个局域网可以配置单独的 DHCP Server 和防火墙 规则 ER3260 最多可同时支持 16 个内部局域网 ARPARP 病毒双重防护病毒双重防护 ER3260 通过 IPMAC 地址绑定功能 固定了网关的 ARP 列表 可以有效防止 ARP 欺骗引起的内网通讯中断 此外 ER3260 毫秒级的免费 ARP 的定时发送机制 可以有效地避免局域网 PC 中毒后引发的 ARP 攻击 网络流量限速网络流量限速 BT 迅雷等 P2P 软件对网络带宽的过度占用会影响到网内其他用户的正常业务 ER3260 通过基于 IP 或基于 NAT 表项的网络流量限速机制可以有效地控制单台 PC 的上 下行流量和建立的 NAT 表项的个数 限制了 P2P 软件对网络带宽的过 度占用 业务控制 业务控制 QQ MSN QQ MSN 金融软件 金融软件 QQ MSN 等即时通讯软件的大量普及 造成员工办公效率低下 无法集中精力 ER3260 独有的应用控制功能 可以方便的限制内网用户对 QQ MSN 等应用的使 用 ER3260 同时支持对大智慧 分析家 同花顺 广发至强 光大证券 国元证券 等金融软件的应用控制功能 此外 用户可以通过对特权用户组的设置保证关 键用户的使用不受影响 项目描述 概述 固定端口 2 个 10 100Base TX WAN 端口 3 个 10 100Base TX LAN 端口 项目描述 1 个 Console 接口 处理器 CPU MIPS 64 位 500MHz 网络处理器 内存 DDR II 64MB FLASH8MB 指示灯 每端口 Link Act Speed 每设备 Power W1 W2 外形尺寸 长 宽 高 440 W 230 D 44 H mm 标准的 19 英寸机架安装宽度 1U 高 输入电压100 240V AC 50 60Hz 功耗 20W 工作温度0 40 存储温度 10 70 工作湿度10 90 无凝结 存储湿度5 90 无凝结 散热方式风扇散热 软件特性 工作模式 主备模式 智能负载均衡 手动负载均衡 电信走电信 联通走联通 路由转发模式 网络协议 PPPoE DHCP 客户端 DHCP 服务器 NAPT NTP DDNS www 3322 org 防火墙 出站通信策略 源接口 IP MAC 用户 目的 IP 协议 端口 时间段 入站通信策略 源接口 IP MAC 用户 目的 IP 协议 端口 时间段 网络安全 ARP 防攻击 免费 ARP 状态数据包检查 项目描述 防止 WAN 口的 Ping 防止 TCP syn 扫描 防止 Stealth FIN 扫描 防止 TCP Xmas Tree 扫描 防止 TCP Null 扫描 防止 UDP 扫描功能 防止 Land 攻击功能 防止 Smurf 攻击功能 防止 WinNuke 攻击功能 防止 Ping of Death 攻击 防止 SYN Flood 攻击功能 防止 UDP Flood 攻击功能 防止 ICMP Flood 攻击功能 防止 IP Spoofing 功能 防止碎片包攻击 防止 TearDrop 攻击 防止 Fraggle 攻击功能 访问控制 IPMAC 地址绑定 静态 ARP URL 过滤 黑白名单 MAC 地址过滤 QQ MSN 访问控制 金融软件控制 大智慧 分析家 同花顺 广发至强 光大证券 国元证券 项目描述 QoS 流量统计 基于 IP 端口的流量统计 网络流量限速 基于 IP 上下行流量分别限速 NAT 表项限制 应用通道限制 绿色通道 限制通道 流量监控 基于物理端口的流量统计 基于 IP 的流量统计 支持自动排序功能 基于 IP 的 NAT 链接数统计 路由 静态路由 策略路由 基于源 IP 目的 IP 协议 端口 出接口 时间段 系统服务 ALG 端口触发 UPnP 虚拟服务器 静态 NAT 一对一 NAT DMZ 主机 VPN 透传 PPTP L2TP IPSec 配置管理 基于 Web 的用户管理接口 远程管理 本地管理 HTTPS 远程管理 命令行 CLI 通过 HTTP 升级系统软件 故障诊断 Ping Tracert 设备自检 故障信息一键导出 认证 CE ClassA CCC 2 2 核心交换机与无线控制器核心交换机与无线控制器 H3C H3C WX3024E WX3024E H3C WX3000 系列有线无线一体化交换机 AC Access Controller 是杭州华三 通信技术有限公司 以下简称 H3C 公司 自主研发的集成无线控制器和千兆以太 网交换机功能的网络设备 WX3000 系列一体化交换机定位于中小型企业网和大 型企业分支机构的一体化接入 提供纯千兆以太网有线接入口 支持 PoE 供电 同时兼容 802 11a b g n 协议 配合 H3C 公司自主研发的 Fit AP 可以满足中 小型企业一体化移动网解决方案等无线场景的典型应用 提供对提供对 802 11n802 11n APAP 的管理的管理 WX3000 系列一体化交换机在支持对传统 802 11a b g AP 管理的同时 还可以 与 H3C 基于 802 11n 协议的 AP 配合组网 从而提供相当于传统 802 11a b g 协 议数倍的无线接入速率 能够覆盖更大的范围 使无线多媒体应用成为现实 提供灵活的数据转发方式提供灵活的数据转发方式 传统的无线控制器部署一般采用集中式转发模式 AC 可以对报文进行全面控制 和安全监管 但所有的无线业务流量需要到 AC 进行统一处理 核心链路带宽和 AC 转发能力容易成为瓶颈 特别是 AP 和 AC 通过广域网方式进行连接时 AP 作 为数据接入设备部署在分支机构 而 AC 部署在总部 所有用户数据由 AP 发送 到 AC 再由 AC 进行集中转发 导致转发效率低下 WX3000 系列一体化交换机可以支持集中式转发和分布式转发 用户根据业务需 要和网络实际情况可以灵活设置转发方式 支持精细的无线用户接入控制和管理支持精细的无线用户接入控制和管理 基于 MAC 的认证接入控制方式 不但可以使得客户在 AAA 服务器上对用户组进 行权限的配置和修改 同时支持对具体用户的权限的配置 这种精细的用户权 限控制大大增强了无线网络的可用度 网管人员可以轻松通过该方式对不同级 别的人或人群进行接入权限分配 基于 MAC 的 VLAN 同样也是 WX3000 系列一体化交换机的一大特色 在控制策略 上 管理员可以把相同性质的用户 MAC 划分到同一个 VLAN 同时在 AC 上基于 VLAN 配置安全策略 这样做既可以简化系统配置 又可以做到用户级粒度的精 细管理 出于安全性或计费等考虑 系统管理员可能希望控制无线用户接入到网络中的 位置 WX3000 系列一体化交换机支持基于 AP 位置的用户接入控制 当无线用 户接入网络时 可以通过认证服务器向 AC 下发允许用户接入的 AP 列表 在 AC 上进行接入控制 从而达到限制无线用户只能接入到指定位置的 AP 的目的 支持支持 802 1x802 1x 认证 认证 MACMAC 地址认证 地址认证 PortalPortal 认证等认证等 WX3000 系列一体化交换机支持多种认证方式 802 1x 认证 WX3000 系列一体化交换机支持 TLS PEAP TTLS MD5 SIM 卡 等多种 802 1x 的认证方式 同时还支持 802 1x 本地认证方式 提供对 MD5 TLS PEAP 这几种主流认证方式的支持 用户不再需要额外配置 AAA 服务 器 WX3000 还支持通过 802 1x 认证后动态授权 VLAN 和 ACL 功能 对用户的策 略可以事先设定好 用户认证时 系统自动配置客户权限 MAC 地址认证 WX3000 支持 MAC 地址认证 对一些手持终端 例如 Wi Fi Phone 手持移动终端等 并不方便采取电脑上的认证方式 MAC 地址认证却可 以轻松解决该问题 实现在控制器或者 AAA 服务器上配置好合法的 MAC 地址 这些 MAC 地址对应的终端就可以被允许被接入到网络 而事先没有被配置的非 法终端则不能接入无线网络 该功能极大地方便了例如无线医疗系统等应用 MAC 地址认证可以确保只有医院的 PDA 工作终端才能接入到无线网络 而拒绝 病人的无线 PDA 使用专用无线网络 Portal 认证 WX3000 提供内置的 Portal 认证服务器 该认证方式无需客户端 配合 直接通过浏览器 WEB Portal 页面作为认证通道 当用户认证通过后 可 以灵活跳转到指定访问首页并启动相应授权和计费 同时也可以根据策略要求 灵活推送定制 Portal 页面 达到广告宣传 信息传递的作用 广泛使用在无线 校园 无线城市 访客接入等应用场景 提供提供 UserUser ProfileProfile 在基于用户授权方式的网络管理中 用户通过认证 即获得访问网络的权限 授权包括控制用户可访问的网络范围 以及用户可获得的网络服务质量 如访 问带宽 访问优先级 在用户移动的网络或大型网络中 为了方便网管人员开 展日常的管理工作 User Profile 特性提供了一种更模块化 更简单的管理方 式 管理人员将一组基于用户群或特殊用户定制的策略配置在各个用户的 profile 中 并且为每个用户群或特殊用户预先分配各自的 profile 用户认证上线时 在用户上线的端口动态下发 profile 配置 使该用户能动态获得其可以访问的 网络范围 访问带宽以及访问优先级 在用户下线时 取消该用户在这个端口 上的配置 自动关闭该端口的特殊访问权限 User Profile 中可以下发的配置包括 ACL QoS 优先级 带宽限速 802 1p 和 DSCP 标记 VLAN 支持信道智能切换支持信道智能切换 无线局域网中 信道是非常稀缺的资源 每个 AP 只能够工作在非常有限的非重 叠信道上 比如对于 2 4G 网络 只有 个非重叠信道 所以如何智能地为 AP 分配信道是无线应用的关键 无线局域网工作的频段存在大量可能的干扰源 如雷达 微波炉 它们在网络 中的出现将干扰 AP 的正常工作 通过信道智能切换功能 可以保证每个 AP 能 够分配到最优的信道 尽可能地减少和避免相邻信道干扰 而且通过实时信道 干扰检测 可以让 AP 实时避开雷达 微波炉等干扰源 支持智能支持智能 APAP 负载分担负载分担 WLAN 网络的 IEEE 标准 802 11 协议把无线漫游的决策交给了无线客户端 无线 客户端一般会根据 AP 信号强度 RSSI 选择 AP 这很容易导致大量的客户端仅 仅因为某个 AP 信号较强而连接到同一个 AP 上 由于这些客户端共享无线媒介 导致每个客户端的网络吞吐将大量减少 智能负载分担方法可以实时地分析无线客户端的位置 动态地确定在当前时刻 和当前位置下哪些 AP 可以彼此分担负载 通过控制无线客户端接入的 AP 来 实现这些 AP 间的负载分担 系统不仅支持按照用户在线会话数的负载分担 而 且支持按照用户流量负载的分担 支持支持 RealTimeRealTime SpectrumSpectrum Guard Guard 实时频谱保护实时频谱保护 模式模式 RealTime Spectrum Guard RTSG 是 H3C 创新提出的针对无线环境频谱状态的专 业监控方案 WX3000 系列一体化交换机可以和内置射频采集模块的 Sensor AP 实现深度融合的射频监控和实时频谱防护 RTSG 的控制台融合部署于 H3C iMC 智能管理中心 通过 CAPWAP 管理隧道 与 Sensor AP 进行通信和数据采集 实现 7X24 小时的无线环境质量监控 无线网 络能力趋势评估以及非许可干扰告警 通过图形化方式 主动探测和识别所有 2 4GHz 5GHz 波段的射频干扰源 Wi Fi 或非 Wi Fi 可提供实时 FFT 图 频谱 密度图 光谱图 占空比图 事件光谱图 频道功率 干扰功率等 可自动识 别干扰源 确定有问题的无线设备的位置 确保无线网络发挥最佳的性能 结 合 H3C iAR 智能报表组件 可实现全覆盖区内的射频质量历史记录的存储 追 溯 回放等 自动生成客户化的趋势 合规和审计报告 针对用户无线环境监管的不同层次需求 RTSG 方案的部署可以灵活采用 Local mode 或 Monitor Mode 当工作在 Local Mode 时 可以在获得有效的频谱防护 前提下 保持正常的用户接入和数据包转发 支持智能无线业务感知支持智能无线业务感知 wIAA wIAA WX3000 系列一体化交换机支持智能感知无线业务流量 实现基于无线用户状态 的弹性策略识别与管理 优化语音及视频业务承载 支持远程探针分析支持远程探针分析 WX3000 系列一体化交换机支持针对 AP 的远程探针分析功能 可以对覆盖区内 的 Wi Fi 报文进行侦听捕获并实时镜像到本地分析设备供网络管理员进行故障 排查 优化分析 远程探针分析功能既可以针对工作信道进行无收敛镜像 也 可以对所有信道轮询采样 灵活满足无线网络监控运维要求 内置射频优化引擎内置射频优化引擎 ROE ROE WX3000 系列一体化交换机内置针对 AP 的射频优化引擎 RF Optimizing Engine 通过基于特征和协议的射频优化 有效提升无线部署中高密度接入 流媒体传 输等场景中的应用加速能力和质量保障效果 其中包含 多用户公平调度 混 合接入公平 过滤干扰 速率最优 频谱导航 组播增强 IPv4 IPv6 逐包功 率控制和智能带宽保障等 提供端到端的提供端到端的 QoSQoS WX3000 系列一体化交换机基于 Comware 平台开发 对 Diff Serv 标准可以完善 支持 QoS Diff Serv 模型中主要包括流分类 流量监管 Policing 队列管理 队 列调度 Scheduling 等 完整实现了标准中定义的 EF AF1 AF4 BE 等六组 PHB 及业务 使网络运营商可为用户提供具有不同服务质量等级的服务保证 使 Internet 真正成为同时承载数据 语音和视频业务的综合网络 支持快速的二 三层漫游支持快速的二 三层漫游 H3C 公司的集中式无线架构不但能方便地实施二层漫游 而且非常有利于跨三 层的漫游实现 用 Fat AP 部署的 WLAN 网络 由于 AP 之间传递的信息有限 导 致垮三层的漫游实现及其麻烦 集中式架构非常容易解决跨三层漫游的问题 WX3000 系列一体化交换机支持二 三层漫游 漫游域不受子网的限制 这种优 秀的漫游特性 可以让客户在规划无线网络时 无需过多考虑现有网络的规划 更多关注在无线信号的覆盖即可 这种方式大大简化了前期的网络规划 减少 了网络规划成本 传统模式下 当无线用户终端使用 802 1x 作为 802 11 接入认证和密钥交互的 手段时 无线用户终端和 AP 间的交互报文会非常的多 当无线用户终端在两个 AP 间漫游时 如果无线用户终端在新 AP 接入的过程完全遵从完整的 802 1x 的 交互过程 势必造成漫游切换的时间过长 对于某些对漫游切换时间敏感的业 务 例如语音业务 这样的长切换时间是无法忍受的 WX3000 采用 Key caching 技术完成漫游时用户的快速切换 Key caching 技术在用户的安全接入 和快速漫游间做了一个很好的平衡 可以使无线用户终端在两个 AP 间进行漫游 时不必重新进行完整的 802 1x 认证交互过程 同时又能保证用户身份的识别和 密钥使用的连续性 无线用户采用快速漫游方式 单 AC 内漫游时间不超过 50ms 满足了语音业务的苛刻需求 支持多种分支机构远程接入场景支持多种分支机构远程接入场景 当 AC 和 AP 通过广域网链路进行连接时 用户可以灵活选择集中转发或本地转 发模式 提升分支机构局域网打印访问 终端互访等业务性能 当广域网链路发生故障或 AC 发生故障时 在线用户不掉线 可以继续访问本 地资源 并且可支持 AC 逃生功能 当分支机构也部署了认证服务器时 AP 可进行本地认证 例如 当 AC 与 AP 之间链路正常时 分支机构的用户认证由总部集中完成 当 AC 与 AP 间链接意 外断开后 AP 可以使用分支机构本地认证服务器为新上线的用户认证 当分支机构 AP 部署于私网内时 AC 可以穿越 NAT 与 AP 进行通信 硬件规格硬件规格 项目 WX3024E 外形尺寸 长 宽 高 440 429 43 6 mm3 重量 45 年 软件规格软件规格 有线部分有线部分 支持特性 WX3024E 交换容量 bit s 全 双工 88G 包转发率 pps 整机 65 47M 1 支持 GE Gigabit Ethernet 端口动态聚合 2 支持 10GE 端口动态聚合 仅 WX3024E 3 支持动态 LACP 链路聚合 4 支持手工聚合 5 支持静态聚合 端口聚合 12 组 12 GE 2 10GE 端口流控支持端口流控 支持 8K MAC 地址 支持 1K 静态 MAC 地址 支持 1K 组播 MAC 地址 MAC 地址表 支持黑洞 MAC 地址 1 支持基于端口的 VLAN 4094 个 2 支持嵌套式 VLAN VLAN VPN 或 QinQ 3 支持灵活 QinQ 4 支持协议 VLAN 5 支持 Voice VLAN 6 支持 GVRP VLAN 7 支持 VLAN 下配置禁止 MAC 地址学习功能 支持静态路由 路由 支持 RIPv1 v2 1 支持 DHCP Server 2 支持 DHCP Client DHCP 3 支持 DHCP Snooping 包括 Option 82 功能 1 支持 IGMP Internet Group Management Protocol Snoopingv1 v2 v3 2 单 VLAN 内最多 256 个组播组 整机 1024 个组播 组 3 支持组播 VLAN 4 支持未知组播丢弃 5 支持未知组播出端口报文过滤 组播 6 支持手工配置组播 MAC 地址 广播风暴抑制支持基于端口的广播风暴控制 支持特性 WX3024E 1 支持 STP RSTP MSTP 协议 2 支持域内最大生成树 16 个 3 支持 STP Root Guard MSTP 4 支持 BPDU Guard 1 支持 IEEE 802 1p DSCP 优先级 2 支持优先级映射 3 支持优先级标记 4 支持流量统计 5 支持端口信任模式 6 每端口支持 8 个队列 7 支持方式为 SP WRR SP WRR 的队列调度 8 支持端口和队列的流量整形 9 支持基于端口 流的限速 最小粒度为 1Kbps 10 支持基于流的重定向 11 支持数字表示型标准 ACL 12 支持数字表示型扩展 ACL 13 支持数字表示型二层 ACL 14 支持对下发 ACL 的配置 15 支持多种 QoS ACL 下发方式 全局下发 VLAN 下发 端口组下发 端口下发 QACL 16 支持根据时间段变化实时更新 ACL 1 支持流镜像 2 支持基于 VLAN 的镜像 3 支持基于 MAC 地址的镜像 4 支持端口镜像 5 支持多个源端口镜像 镜像 6 支持远程端口镜像 1 支持用户分级管理和口令保护 2 支持 AAA 认证 3 支持 Radius 认证 4 支持 HW TACACS 认证 5 支持 SSH 2 0 6 支持管理 VLAN 7 支持端口隔离 8 支持端口安全 9 支持集中式 MAC 地址认证 10 支持 ARP 入侵检测 安全特性 11 支持端口下 IP 地址过滤 1 单端口最多支持 256 个用户 2 支持基于端口的认证和基于 MAC 的认证 802 1x 3 支持 Guest VLAN 支持特性 WX3024E 4 支持 TRUNK 端口认证 5 支持动态 VLAN 和 ACL 规则下发 JUMBO Frame 支持最大帧长为 4K DLDP 支持 DLDP Device Link Detection Protocol 1 支持 FTP File Transfer Protocol 加载升级 加载与升级 2 支持 TFTP Trivial File Transfer Protocol 加 载升级 1 支持命令行接口 CLI 配置 2 支持 Telnet 远程配置 3 支持通过 Console 口配置 4 支持 SNMP Simple Network Management Protocol 5 支持 RMON Remote Monitoring 告警 事件 历 史记录 6 支持 iMC 网管系统 7 支持 WEB 网管 8 支持系统日志 9 支持分级告警 11 支持 Modem 远端拨号 12 支持 NTP 13 支持电源的状态检测 14 支持电源的告警功能 管理 15 支持风扇报警 1 支持调试信息输出 2 支持 Ping Packet Internet Groper Tracert 3 支持 NQA 网络质量分析 维护 4 支持 Telnet 远程维护 软件规格软件规格 无线部分无线部分 项目支持特性 WX3024E 缺省管理 AP 数 24 License 步长12 最大管理 AP 数 60 96 可配置最大 AP 数 120 192 最大用户数 1K 基础性能 AAA 支持最大 用户数 2K 项目支持特性 WX3024E 本地认证支持 的最大用户数1K 本地 Portal 认证时支持的 最大用户数 1K MAC 地址表深 度 2K VLAN 数 4K ACL 数 2K DHCP Server 最大租约数量IPv4 8K IPv6 8K DHCP Server 最大地址池个 数 IPv4 128 IPv6 128 802 11 协议 簇 支持 多 SSID 每 射频口 16 隐藏 SSID支持 11G 保护支持 11n only 支持 用户数限制支持 基于 SSID Radio 的用户数限制 用户在线检测支持 用户无流量自 动老化 支持 支持多国家码 部署 支持 基于 SSID 的 无线用户隔离支持 无线用户二层 隔离 支持 40MHz 模式的 20MHz 40MHz 自动切换 支持 802 11MAC 本地转发支持 基于 SSID VLAN 的本地转发 自动输入 AP 序列号 支持 AC 发现 DHCP option43 DN S 方式 支持 IPv6 隧道支持 AC AP 间隧道 时钟同步支持 项目支持特性 WX3024E Jumbo 帧发送 支持 AP 双上行隧 道链路 支持 通过 AC 配置 AP 基本网络 参数 静态 IP VLAN 接 入的 AC 地址 支持 AP 与 AC 间穿 越 NAT 支持 隧道 IPSec 加 密 支持 同一 AC 内 不 同 AP 下二 三层漫游 支持 漫游 不同 AC 间 不 同 AP 下二 三层漫游 支持 Open system Shar ed Key 支持 WPA WPA2支持 WEP 64 128 动态 WEP 支持 TKIP 支持 CCMP 支持 11n 推荐 WAPI 不支持 SSH v1 5 v2 0 支持 无线 EAD 终 端准入控制 支持 Portal 认证支持 远程 外挂服务器 Portal 页面 推送 支持 基于 SSID AP 的 Portal 页面推送 Portal 穿越 Proxy 支持 802 1x 认证 支持 EAP TLS EAP TTLS EAP PEAP EAP MD5 EAP SIM LEAP EAP FAST EAP offload 仅支持 TLS PEAP 接入控制 本地认证支持 802 1X Portal MAC 认证 项目支持特性 WX3024E LDAP 1 支持 802 1X 与 Portal 接入 2 802 1X 接 入时 支持 EAP GTC 和 EAP TLS 支持 基本位置的用 户接入控制 支持 访客接入支持 VIP 通道支持 ARP 防攻击支持 无线 SAVI SSID 防假冒支持 用户名与 SSID 绑定 基于域 SSID 选择 AAA 服务 器 支持 AAA 服务器备 份 支持 无线用户的本 地 AAA 服务器支持 TACACS 支持 优先级映射支持 L2 L4 流分类 支持 流量限速支持 流控粒度 8Kbps 802 11e WMM 支持 基于用户角色 User Profile 的接 入控制 支持 智能带宽限速 基于带宽均 分算法 支持 智能带宽限速 基于每用户 指定带宽的算 法 支持 QoS 智能带宽保障 在流量未拥 塞时 确保不 支持 项目支持特性 WX3024E 同优先级 SSID 下的报 文都可以自由 通过 在流量 拥塞时 确保 每个 SSID 可 以保持各自约 定的最小带宽 QoS Optimization for SVP phone 支持 CAC Call Admission Control 支持 基于用户数 带宽的 CAC 端到端 QoS支持 AP 上行口限 速 支持 国家码锁定支持 静态信道 功 率设置 支持 动态信道 功 率设置 支持 动态速率调节支持 空口黑洞检测 和补偿 支持 负载均衡