郑州师范学院无线校园网解决方案.doc

烟草进修学院无线校园网解决方案 1 郑郑州州师师范范学学院院无无线线校校园园网网 解解决决方方案案 华三通信技术有限公司 2014 年 01 月 烟草进修学院无线校园网解决方案 2 目 录 1概述 4 2需求分析 5 2 1总体要求 5 2 2覆盖范围 6 2 3技术要求 6 3H3C 无线校园网建设方案 9 3 1整体方案 9 3 2无线校园网管理方案 10 3 3安全方案 14 3 3 1防 ARP 病毒 14 3 3 2无线入侵检测 15 3 3 3室内设备物理安全性 16 4H3C 方案特点与优势 17 4 1H3C 一体化无线校园解决方案 更稳定 17 4 2H3C 一体化无线校园解决方案 高安全 20 4 3H3C 一体化无线校园解决方案 易管理 21 4 4H3C 一体化无线校园解决方案 可扩展 23 4 5H3C 一体化无线校园解决方案 全业务 24 5产品配置方案 26 5 1整体配置方案 26 5 2 AP详细配置方案 26 5 3 交换机详细配置方案 27 6 方案涉及产品介绍 28 6 1H3C WX6100E 系列无线控制器 28 6 1 1产品简介 28 6 1 2产品特点 29 6 1 3产品规格 38 6 2H3C WA4600I ACN 无线接入点 47 6 2 1产品简介 47 6 2 2产品特点 48 6 2 3产品规格 52 6 3IMC WSM 无线运营管理组件 58 6 3 1产品简介 58 6 3 2产品特点 59 6 3 3运行环境 68 6 4S5120 SI 69 6 4 1产品概述 69 烟草进修学院无线校园网解决方案 3 6 4 2产品特点 69 6 4 3产品规格 72 7H3C 售后服务结构及保障体系 76 8 1服务组织结构 76 8 2服务及时性保障 77 8 3服务有效性保障 78 烟草进修学院无线校园网解决方案 4 1概述 无线局域网 WLAN 技术于 20 世纪 90 年代逐步成熟并投入商用 既可以 作传统有线网络的延伸 在某些环境也可以替代传统的有线网络 无线局域网 具有以下显著特点 简易性 WLAN 网桥传输系统的安装快速简单 可极大的减少敷设管道 及布线等繁琐工作 灵活性 无线技术使得 WLAN 设备可以灵活的进行安装并调整位置 使 无线网络达到有线网络不易覆盖的区域 综合成本较低 一方面 WLAN 网络减少了布线的费用 另一方面在需要 频繁移动和变化的动态环境中 无线局域网技术可以更好地保护已有投 资 同时 由于 WLAN 技术本身就是面向数据通信领域的 IP 传输技术 因此可直接通过千兆自适应网口和企业 学校内部 Intranet 相连 从 体系结构上节省了协议转换器等相关设备 扩展能力强 WLAN 网桥系统支持多种拓扑结构及平滑扩容 可以十分 容易地从小容量传输系统平滑扩展为中等容量传输系统 随着 WLAN 技术的快速发展和不断成熟 目前在国内外具有较多的中大规模 应用 诸如荷兰的阿姆斯特丹市的全城覆盖 诸如无线上海 无线杭州的无线 城市 向客户提供各种业务 烟草进修学院无线校园网解决方案 5 2需求分析 总体要求 无线网工程的总体原则如下 侧重实际应用 覆盖园区内区域 为教学 科研 办公及学习 生活 交 流提供切实可用的 稳定的无线网络环境 采取先进通行的协议标准 即目前无线局域网普遍采用 802 11 系列标准 无线局域网提供 802 11a 802 11b 802 11g 802 11n 标准的联网支持 提供可供实际应用的稳定网络通讯服务 实现室内无线网络的合理分布 考虑室内实现无线网络的不同情况和特点 以及目前园区室内手提电脑用户数量日益增多的情况 应采取合理的布网 方式满足现在以及未来发展的需要 新建网络需要实现与现有的无线网和有线网的网络融合与统一管理 在实施无线覆盖工程时 如无特别说明 以考虑信号覆盖范围为主 单个 AP 的并发用户数及每用户无线上网带宽不作为工程的重要因素予以考虑 所有学生宿舍楼宇主要采用室外照射方式进行覆盖 对于部分学生宿舍楼 宇 在保证信号覆盖的前提下 如果不较大的提高综合成本 楼内的部署 方式将更为可取 无线系统须具备对无线 AP 进行统一控制 管理的软硬件平台 软硬件控制 管理平台所提供的网元 License 数量与实际网元数量相匹配并易于扩充 软硬件控制 管理平台的采购 安装 调试工作由系统集成商负责 无线网系统必须实现与有线网现有认证系统对接 从而实现校园有线网与 无线网的统一身份认证 烟草进修学院无线校园网解决方案 6 2 2覆盖范围 覆盖范围 回 型教学大楼 主要包含 A B C D 四个区域 详见下 表 区域 楼层 数 每层普 通教师 数 教师 休息 区数 阶梯教 室数 备注 A5912 3 层 1 个大阶梯教师 相当于普通的 2 个 B2003 阶梯教师 1 层小些 2 层大些 C5710 D5912 3 层 1 个大阶梯教师 相当于普通的 2 个 合计 172537 2 3技术要求 室内无线 AP 输出点信号强度 20dbm 室外无线 AP 输出信号强度 73dbm 无线接入点供电方式需采用 IEEE802 3af POE 交换机远程供电 为了满足大容量并且以备扩容和发展 室内无线 AP 要求必须支持 两个射频模块 可以工作在 2 4GHz 和 5 8GHz 频段 为了满足室内美观和覆盖要求 室内无线 AP 必须采用吸顶天线方 式 天线要求工作在 2 4GHz 和 5 8GHz 频段范围 无线接入点 AP 必须支持 IEEE802 11a IEEE802 11b IEEE802 11g IEEE802 11n 四种无线传输协议 无线 AP 必须支持通过 802 3 af 兼容的 POE 交换机供电 烟草进修学院无线校园网解决方案 7 要求本项目中 95 以上的无线 AP 需要使用 POE 交换机接入校园网 投标方须根据无线 AP 总数量配备所需 POE 交换机数量及 POE 模块数量 无线 AP 必须支持无线用户的隔离功能 以防止在公共区域无线用 户间的信息泄露 无线 AP 自身具备智能的 无需要辅助设备就可根据周围电磁波环 境的变化 自动进行频道最优化设置 以达到最优化覆盖的目的 无线 AP 之间可根据相互通告来获取对方连接的用户数量及流量 从而实现 AP 的负载均衡 并支持用户在不同 AP 间平滑漫游 无线 AP 支持射频 RF 信号加密特性 支持 802 11i 安全标准 提供 WPA2 认证机制可同时提供 TKIP 以及 AES 加密方式 且 AP 具有自动 识别客户端两种加密请求方式 无线 AP 支持 SNMP Vi Vii 管理及支持 Watchdog 功能 无线系统的用户认证页面需要能够支持个性化定制 并完成与校园 网当前使用的认证系统对接 从而实现无线用户上网时的接入认证 以达到对校园网上网用户进行统一认证及管理的目的 无线系统须支持 WPA 以及 WPA2 认证 支持 WPA WPA2 安全规范 支持标准的 802 1x 认证流程 内嵌 Radius Server 支持 EAP MD5 EAP TLS EAP TTLS PEAP 等多种认证协议 系统须支持 WEB DHCP 认证 认证过程支持 SSL 的加密技术 系统须支持基于 MAC 地址的认证 以及用户账号与 MAC 地址的绑 定认证 系统能够对用户进行访问控制 ACL 和策略路由 可建立完整的 访问控制列表 采用大容量控制器覆盖简化管理 投标方需要明确投标方案中控制 器可管理的 AP 数量以及扩展能力 系统必须具备扩展性 需要不更换控制器设备就能提供对 802 11n 设备的支持 无线 AP 支持射频 RF 信号加密特性 支持 802 11i 安全标准 提供 WPA2 认证机制可同时提供 TKIP 以及 AES 加密方式 且 AP 具有自动 识别客户端两种加密请求方式 烟草进修学院无线校园网解决方案 8 系统必须支持基于二层的用户隔离 系统必须支持 Portal 业务 Portal Server 支持可定制的 Portal 页面 系统必须提供 Web 和 SSH 方式管理 支持 SNMP v2 v3 网管协议 实现对现有网络系统的融合解决方案 包括不同在 AP 之间 不同 交换机之间 不同控制器之间的漫游解决方案 以及与现有有线和无 线网络管理系统的融合方案 本项目预计室内 AP 数目为 385 个 烟草进修学院无线校园网解决方案 9 3H3C无线校园网建设方案 整体方案 基于网络的先进性考虑 本次郑州师院学院无线园区网项目采用目前主 流的无线控制器 瘦 AP 的架构 在实现对校园进行无缝覆盖的同时 又能够 实现对无线网络的灵活管理配置 提高网络维护效率 由于本次项目所需室内外 AP 总数 385 台 所以在本次无线园区网解决 方案采用高性能无线控制器 WX6103 WX6103 放在网络核心 实现对于本期 无线园区网中所有的室内 AP 的统一管理 H3C WX6103 高端无线控制器基础 可管理 128 个 AP 通过软件升级最大可管理 2048 个 AP 完全能够管理本 次项目所需的室内 AP 室内型 AP 采用 WA4620i ACN 双频 AP WA4620i ACN 支持两个射频模块 可以同时工作在 2 4GHz 和 5GHz 在设备数量不变的情 况下 把网络的介入容量提高一倍 以满足 WLAN 用户快速增长的需求 PoE 交换机采用 S5120 28P HPWR SI 和 S5120 28P PWR SI S5120 28P HPWR SI 和 S5120 28P PWR SI 系列 PoE 交换机最大分别提供 370W 和 170W 的供电功率 可以分别满足 24 口和 12 口 同时接 AP 的供电需求 管理方 面 建议部署有线无线一体化管理软件 通过 WSM 无线业务管理组件的方 式实现对无线控制器 室内 AP 设备的统一管理 烟草进修学院无线校园网解决方案 10 拓扑图如下所示 3 2无线校园网管理方案 H3C 无线运营管理组件 WSM 在下一代业务软件平台 iMC 的基础上进 行开发 不仅为用户提供了灵活的组件选择 同时符合业界主流的 SOA 架构 具备良好的扩展性 能够满足客户网络管理不断发展的需求 基于 Web 的管 理系统 为无线业务管理者提供了简便 友好的管理平台 与 iMC 智能管理 平台及其它组件配合 还可实现无线设备的面板管理 故障管理 性能监控 烟草进修学院无线校园网解决方案 11 软件版本管理 配置文件管理 接入用户管理 用户认证管理等功能 并可 对网络中的其它设备进行统一管理 真正实现有线无线一体化管理 组件的主要功能和特点如下 1 无线有线一体化管理 H3C 无线运营管理组件 WSM 作为 iMC 智能管理中心的无线业务管理核心 对于网络中的 AC FAT AP FIT AP 移动终端等无线设备与有线设备进行 一体化集中管理 全网设备信息和状态一目了然 网络资源通过多种视图进 行查看 视图内分组管理 将规模巨大的无线接入设备有效组织 便于用户 维护 2 多样化的拓扑管理 H3C 无线运营管理组件 WSM 中的无线业务逻辑拓扑帮助用户直观了解网 络部署情况及设备 链路当前状态 系统可根据不同的方式组织资源 有效 进行拓扑分组 真实组织全网资源 物理位置视图中用户可根据需要创建多 纬度 多层次的物理位置结构 并在指定建筑物底图上根据真实情况摆放设 备 逼近真实网络环境 无线有线一体化拓扑 3 无线终端定位和漫游记录审计 烟草进修学院无线校园网解决方案 12 H3C 无线运营管理组件 WSM 可以直接在拓扑图中对移动终端的信息进行 查看 包括 MAC 地址 信号强度 发射速率集 RSSI SSID 使用信道 所 在 AC 设备 所在 AP 设备等 并能查看各移动终端的全部漫游记录 使用户 随时了解最终接入用户的情况 并对其接入轨迹进行审计 无线终端漫游记录审计 4 RF覆盖管理和无线网络规划 在实际无线环境的部署和维护中 需要关注无线设备的 RF 范围 覆盖管理 以及无线网络规划扩容问题 H3C 无线运营管理组件 WSM 可以用很直观 的拓扑图表示出无线网络中的 RF 状况 无线 RF 覆盖状况 5 无线入侵检测和防护 烟草进修学院无线校园网解决方案 13 无线网络灵活多变 并且基础设施不可见 因此比有线网络更容易遭到越权 使用 对于这类问题 H3C 无线运营管理组件 WSM 提供了 Rogue 设备检 测功能 可对无线入侵进行检测 可明确显示非法接入设备 并对其进行信 息查询 加入黑名单及发起攻击等动作 无线入侵检测和防护 6 丰富的无线统计报表 对网络进行运营管理需要对网络进行全方位的监控 从网络各种性能指标 告警指标中进行智能的统计和分析 才能有效从整体对网络状况进行衡量 H3C 无线运营管理组件 WSM 提供了丰富的无线统计报表查询和定制功能 以帮助管理员对网络进行综合而全面的管理 烟草进修学院无线校园网解决方案 14 3 3安全方案 防 ARP 病毒 ARP 欺骗攻击不仅会造成联网不稳定 引发用户无法上网 或者企 业断网导致重大生产事故 而且利用 ARP 欺骗攻击可进一步实施中间人 攻击 以此非法获取到文件服务等系统的帐号和口令 对被攻击者造成 利益上的重大损失 因此 ARP 欺骗攻击是一种非常恶劣的网络攻击行为 无线局域网由于带宽相对较窄 而且同一个 AP 下的所有用户都共 享带宽 所以一有用户中 ARP 病毒 频繁发送 ARP 报文 对网络的影响 比有线更大 针对无线网络的特点 H3C 创新的在 WLAN 上提供防 ARP 病毒方案 首先同一个 AP 的同一个 SSID 下的用户缺省启动用户隔离 这样用户发 送的 ARP 报文不会被转发给其他用户 其次 H3C ARP 攻击防御解决方案 通过对客户端 接入交换机和网关三个控制点实施自上而下的 全面防 御 并且能够根据不同的网络环境和客户需求进行 模块定制 为 用户提供多样 灵活的 ARP 攻击防御解决方案 烟草进修学院无线校园网解决方案 15 H3C 提供两类 ARP 攻击防御解决方案 监控方式 认证方式 监控 方式主要适用于动态接入用户居多的网络环境 认证方式主要适用于认 证方式接入的网络环境 实际部署时 建议分析网络的实际场景 选择 合适的攻击防御解决方案 另外 结合 H3C 独有的 iMC 智能管理中心 可以非常方便 直观的配置网关绑定信息 查看网络用户和设备的安全 状况 不仅有效的保障了网络的整体安全 更能快速发现网络中不安全 的主机和 ARP 攻击源 并迅速做出反映 3 3 2 无线入侵检测 H3C 的 WIDS 目前主要包括下面三个特性 非法设备检测 入侵检测 无线用户接入控制 黑名单和白名单 非法设备检测比较适合于大型的 WLAN 网络 通过在已有的 WLAN 网 络中部署非法设备检测功能 可以对整个 WLAN 网络中的异常设备进行 监视 并且可以根据需要对非法的设备进行防攻击处理 在实际的网络 应用中 可以启动防攻击功能 即 WIDS 会尽量阻止非法的设备提供服 务或者接入到无线网络 非法设备检测可以检测并且分类 WLAN 网络 中的多种设备 例如非法 AP 非法无线终端 非法无线网桥等等 入侵检测主要为了及时发现 WLAN 网络中的有意或者无意的攻击 通过记录信息或者日志方式通知网络管理者 根据入侵检测的结果 网 络管理者可以及时调整网络的配置 去除 WLAN 网络的不安全因素 保 证 WLAN 网络不再受到攻击 目前 H3C 的入侵检测主要包括 802 11 报文 Flood 攻击检测 AP Spoof 检测以及 Weak IV 检测 而且其中 Flood 攻 击检测可以根据不同类型的报文进行攻击检测 接入控制根据特定的属性实现了对无线客户端接入 WLAN 网络的权 限控制 目前 WIDS 接入控制主要根据 MAC 地址进行规则控制 并且支 持两种控制规则 黑名单和白名单 其中白名单只能通过手动进行配置 而黑名单同时支持手动配置方式和动态添加方式 入侵检测系统和非法 烟草进修学院无线校园网解决方案 16 设备检测模块检测到非法攻击 可以动态地将该非法设备添加到黑名单 中 后续所有从该设备接收到的报文会被直接丢弃 从而保护了 WLAN 网络不再受到该非法设备的攻击 3 3 3 室内设备物理安全性 H3C WA4600 自身支持物理防盗设计 位于设备顶部 可以用于 将 AP 设备与固定支架锁定 起到一定的防盗作用 烟草进修学院无线校园网解决方案 17 4H3C方案特点与优势 H3C 一体化无线校园解决方案有效实现了有线和无线网络的融合 通过统一的 硬件平台 统一的网络管理 统一的用户管理 统一的应用安全 为校园用户 提供安全的无线接入 根据用户需求 H3C 通过 WSM 智能无线管理组件为网络 管理员提供了图形化 一体化管理能力 可以高效地管理有线 无线网络 H3C 一体化无线校园解决方案 更稳定 H3C WLAN 稳定性解决方案从无线控制器的可靠性 接入交换机供电的可靠性 无线信号的可靠性这几方面入手 极大的提高了 WLAN 网络的可靠性 在实际的 使用情况来看 启用这些措施之后 WLAN 的可靠性能够得到明显的提升 无线控制器 1 1 冗余备份 H3C 无线控制器产品支持 AC 之间的 N 1 备份 以下通过介绍 AP 选择接入的 AC 过程来说明 AC 间的备份 1 AP 在发现 AC 的过程中 会向 AC 发送接入请求报文 AC 在收到接入请 求后 会向 AP 发接入回应报文 其中包含了该 AC 上的负载信息 AC 允许接入的最大 AP 数 当前接入的 AP 数 允许接入的最大 STA 数 当 前接入的 STA 数 和 AP 在此 AC 上的接入优先级 2 AP 在接收到 AC 的回应报文后 会选择接入优先级高的 AC 接入 如果 优先级相同 则根据 AC 的接入负载情况来判断 3 AP 通过比较各 AC 上 允许接入的最大 AP 数 当前接入的 AP 数 并选取值最大的 AC 接入 如果此值相同 则根据当前接入 AC 的无线用 户数判断 4 AP 通过比较各 AC 上 允许接入的最大 STA 数 当前接入的 STA 数 并选取值大的 AC 接入 5 如相等 则随机接入 6 通过 CAPWAP 隧道的心跳机制 AP 可及时发现控制器 DOWN 同时根据上 述方法重新选择一个负载轻的 AC 接入 从而实现 AC 的 N 1 备份 烟草进修学院无线校园网解决方案 18 H3C 实时无线资源管理 H3C 实时无线资源管理解决方案提供了实时闭环的无线资源管理 包括了如下 步骤 扫描 每个接入点启动后 通过 CAPWAP 协议与无线控制器建立隧道 并从无线控制器 获取基本的配置 无线控制器负责协调网络中的无线接入点执行扫描过程 通 过定期的信道扫描 系统能够分析和了解信道的质量 干扰情况 邻居接入点 的分布等 分析 无线控制器将对无线接入点定期上报的数据进行聚合分析 这些数据包括 干扰 其他工作在 802 11 频段的无线网络对无线介质的影响 噪音 非 802 11 信号 如雷达 蓝牙 无绳电话 微波等等对信 号的影响 丢包率 包差错率 由于隐藏的节点或信号变形 信道负载 用来衡量媒介的繁忙程度 烟草进修学院无线校园网解决方案 19 有效信号强度 在一定时间内观察到的每个邻居的信号强度和整个 信道的平均信号强度 这些数据将帮助无线控制器构建无线网络的完整视图 为管理控制提供决策数 据 决策 利用前期分析的数据 无线控制器将采用智能的算法对射频资源进行优化和调 整 以适应无线环境的变化 系统使用了优化的信道和功率选择算法 加权判断以及抑制限度 自动评估资 源调整的影响 能够确保系统的控制是可靠的 执行 无线控制器将新的发射功率 信道分配等决策发送到接入点 接入点负责使能 这些配置 系统提供了两种控制模式 参考模式和立即模式 增加了系统使用 的灵活性 参考模式下 系统不进行实际的控制策略执行 只是给出建议的功 率 信道的设定值 管理员可以决定是否执行这些配置 确保了用户控制的灵 活性 立即模式下 将根据系统计算出的信道等参数进行立即的设置 上述过程是闭环过程 一旦配置下发以后 控制器将持续监视网络环境 任何 无线环境的变化与波动都会被定期记录下来 为下一轮的优化作准备 全面的 PoE 解决方案 PoE 设备的原理是通过非屏蔽双绞线中四对线中的两对线来传输电源 传输数 据的同时传输直流电 因为 AP 往往要求使用不间断电源 UPS 供应电力 采 用 PoE 设备 AP 端仅仅通过一根 RJ 45 网线与网络连接即可以同时传输数据和 电力 因此在使用 PoE 设备的情况下 所有的 AP 都使用一个 UPS 在 PoE 设备端 进行保护 如果不使用 PoE 设备 就需要给每个 AP 配一个 UPS 而且还需要在 AP 附近安装电源插座 增加了成本 因此使用 PoE 设备将大大降低设备成本和 管理成本 PoE 具有非常明显的优势 具体如下 简化安装 降低成本 不需为每个网络设备单独提供数据和电力线 缆 烟草进修学院无线校园网解决方案 20 灵活性提高 网络装置可被安装在任何位置 而不需靠近一个已存 在的电源输出口 可靠性增强 有 SNMP 能力的 PoE 装置 可实施远程检测和控制 能有效地处理或修理装置的耗电量和 或 失效故障 H3C 能够提供全面的 PoE 解决方案 产品涵盖从高端到低端的全系列产品 H3C PoE 解决方案使用工业级设计 同时能够提供全面的管理 4 2H3C 一体化无线校园解决方案 高安全 H3C 一体化无线校园解决方案在遵循 IEEE 802 11i 协议和国家 WAPI 标准的基 础上 创新性的提出了分层的安全体系架构 将 WLAN 的安全从单一的物理层安 全延伸到了物理层安全 用户接入安全 网络层安全 设备安全 安全管理多 个层面上 使用户在使用 WLAN 网络时能够像使用有线网络一样安全 可靠 无线物理安全 H3C 公司的无线产品支持以下的加密机制 WEP 加密 TKIP 加密 CCMP 加密 WAPI 加密 其中 WAPI 采用国家密码管理委员会办公室批准的公钥密码体制的椭圆曲线密 码算法和对称密码体制的分组密码算法 分别用于 WLAN 设备的数字证书 证 书鉴别 密钥协商和传输数据的加解密 在无线设备安全方面 H3C 的 FIT AP 提供 零配置 功能 在设备上不保存业 务配置 而是每次启动的时候从无线控制器动态加载业务配置 这样可以有效 避免设备丢失造成配置泄漏 此外 用户在采用 H3C 公司的无线控制器 FIT AP 组网时 都需要预先在无线控制器上设置部署的 AP 序列号 当这些 AP 启动 和无线控制器建立关联时 无线控制器会检查 AP 上报的序列号信息 只有这些 预先授权的 AP 才能接入无线控制器使用 防止非法 FIT AP 接入网络 无线用户安全 通过用户接入认证实现了对校园无线接入用户的身份认证 为网络服务提供了 安全保护 H3C 无线接入认证主要有 802 1x 接入认证 PSK 认证 MAC 接入认 证以及在有线校园网中常用的 portal 认证等 通过和 AAA 服务器配合 H3C 的 无线设备支持对认证用户动态下发带宽 VLAN ACL 优先级等参数 对于不同 烟草进修学院无线校园网解决方案 21 的用户群和业务可以控制其访问网络的权限 限制网络资源的使用 通过 VLAN 和优先级来标识用户和业务 并做到业务隔离 无线网络安全 为了保证无线用户和整个校园网络的安全 仅仅保证接入点的安全性是远远不 够的 H3C 推出了无线 EAD 解决方案 该方案从网络用户终端准入控制入手 整合网络接入控制与终端安全产品 通过安全客户端 安全策略服务器 网络 设备以及第三方软件的联动 对接入网络的用户终端强制实施企业安全策略 严格控制终端用户的网络使用行为 加强网络用户终端的主动防御能力 保护 网络安全 H3C 的无线产品支持 EAD 接入控制方式 配合 iNode 无线 有线统一客户端可以 实现有线 无线用户使用统一的客户端进行认证 结合 H3C 公司的服务器 H3C 公司给用户提供了有线无线一体化的整体安全解决方案 此外 H3C 的无线产品支持完善的无线入侵检测系统 可以自动监测非法设备 并适时上报网管中心 同时对非法设备的攻击可以进行自动防护 最大程度地 保护无线网络 针对烟草进修学院目前现状 已经在有线网络部署了 UAM 用户接入管理的认证 无线网络也可以通过 UAM 实现有线无线统一认证 烟草进修学院无线校园网解决方案 22 4 3H3C 一体化无线校园解决方案 易管理 基于多年的积累和对用户网络的深入理解 H3C 智能管理中心平台为用户提供 了实用 易用的网络管理功能 在网络资源的集中管理基础上 实现拓扑 故 障 性能等管理功能 不仅提供功能 更通过流程向导的方式告诉用户如何使 用功能满足业务需求 为用户提供了网络精细化管理最佳的工具软件 H3C iMC 能够在一套系统中实现对有线网络 无线控制器 无线 AP PoE 交换 机等有线 无线校园网涉及的所有设备的统一管理 避免了有线无线网络采用 不同的管理系统带来的维护管理的割裂 因此能够更方便的实现无线校园网的 配置管理 降低维护工作量 此外 H3C 公司提供了自学习的 智能的 实时的无线资源管理系统 具有下 列主要优势 实时分析无线资源 无线接入点将定期自动扫描信道 以发现网络的拓扑结构 信道负载 干扰情况等 自动分配无线信道 自动为每个无线接入点分配无线信道 并且能够根据网络中的干扰变 化 邻居接入点的信道使用情况等动态地调整无线信道的分配 自动设置发射功率 烟草进修学院无线校园网解决方案 23 能够自动为每个无线接入点调整发射功率 以保证无线网络的覆盖和 容量 自我修复网络 当某个接入点失效造成了网络存在无线信号覆盖黑洞时 这个区域周 围的接入点将立即检测到覆盖黑洞并通过发射功率的调整来修复黑洞 可扩展的系统 随着网络规模的不断扩大 新的接入点加入到网络中 系统能够自动 为它们分配射频资源而又不影响现有的无线网络 干扰检测和避免 无线环境是经常变化的 蓝牙 微波炉 邻居 WLAN 网络等都会对客户 的网络产生干扰影响 系统能够自动检测到这些干扰并进行干扰避免 实时监视网络健康 系统为管理员提供了充分的数据来监视 WLAN 网络的监控 包括信道利 用率 干扰 接入点信道分配等 使管理员对网络的运行状况一目了 然 实时负载均衡 系统能够实时在无线网络中平衡负荷 从而保证网络的吞吐和性能 总之 H3C 实时无线资源管理特性降低了管理成本 实现了网络的自分 析 自自配置和自修复 4 4H3C 一体化无线校园解决方案 可扩展 IPv6 H3C 所有有线和无线产品全部使用共同的操作系统平台 Commware 平台 Commware V5 0 版本全面支持 IPV6 使用 Commware 操作系统的设备可以同时支 持 IPV6 和 IPV4 双栈工作 设备既可以工作在 IPV4 环境 也可以工作在 IPV6 环境 同时还可以工作在 IPV4 和 IPV6 混合组网环境 烟草进修学院无线校园网解决方案 24 H3C 的无线控制器和无线 AP 都使用 Commware V5 平台 因此 H3C WLAN 解决方 案既可以工作域 IPV4 也可以工作于 IPV6 环境 也就是 AP 和 AC 可以完全工 作于 IPV6 环境 而其他厂商由于操作系统不能支持 IPV6 所以 WLAN 设备对 IPV6 的支持都是透传 也就是 AP 和 AC 在网络中直接把 IPV6 报文封装在 CAPWAP 隧道中 但 AP 和 AC 不能使用 IPV6 地址工作 因此在一个纯 IPV6 环境 中 无法工作 4 5H3C 一体化无线校园解决方案 全业务 H3C 无线校园网解决方案提供 VoWiFi 无线监控 页面推送等业务 解决了校 园内部和校区之间通讯费用高 无线监控和无线多媒体教学以及不同部门网页 个性化页面推送的问题 让无线接入变得更有价值 基于用户的流量管理 H3C FAT AP 能够通过两种方式实现流量管理 一种方式是基于用户数自动平均 调整每个用户的接入带宽 另一种方式是指定每用户的接入带宽 通过此两种 方式的流量管理 可以防止 P2P 业务占用带宽导致其他用户无法正常使用网络 的情况 此外 H3C FIT AP 解决方案可以实现基于用户的权限和流量管理 可 以设定每个用户所占用的带宽 实现精确流量管理 配合 H3C 有线网络 可以 实现端到端的 QoS 从而达到承载语音 视频等时延敏感的业务的目的 VoWiFi 语音解决方案 WiFi 语音终端设备利用现有的 WLAN 网络实现无线的 VoIP 语音通话 这既发挥 了 IP 网络成本低的特点 又使得用户获得 WLAN 带来的方便性 而对于校园等 场所 可针对学生群体开展 WiFi 语音的内部运营 H3C WLAN 解决方案能够实 现端到端的 QoS 确保数据业务背景流下 语音业务流能优先传输 从而有效 保障语音的通话质量 同时能够实现跨越三层网络的快速漫游 使得 WLAN 网络 能够良好的承载语音业务 烟草进修学院无线校园网解决方案 25 页面推送 根据不同地理位置 不同用户 定制 Portal 业务 H3C 无线控制器内置 Portal server 能够实现基于用户位置和用户属性的页面推送 Portal server 开发本地数据 库 存储 BSSID 和 WEB 网页的对应关系 用户认证时 Portal server 根据用 户接入的 BSSID 推送给用户相应的页面 如 在图书馆 推送图书馆新书信息 在学生宿舍 推送后勤相关信息等 烟草进修学院无线校园网解决方案 26 5产品配置方案 5 1 整体配置方案 设备名称单位数量备注 S5120 28P HPWR SI台17可给24个ap供电 S5120 28P PWR SI台10可给12个ap供电 WA4620i ACN台385 LIS WX 128A个3384个ap扩容license 5 2 ap 详细配置方案 区 域 楼层 普通 教室 数 ap 数 普通教 室 教师休 息区数 ap 数 教 室休息区 阶梯教室 数 ap 数 阶 梯教室 ap 数量 汇总 备注 1F92112529 2F92112529 3F92111827 4F92112529 A 5F92112529 1F0201339 B 2F02013515 1F72110515 2F72110515 3F72110515 4F72110515 C 5F72110515 1F92112529 2F92112529 3F92111827 4F92112529 D 5F92112529 合 计 25 15 24 385 普通 教室 80 个人 左右 普通 阶梯 教室 250 个人 左右 烟草进修学院无线校园网解决方案 27 5 3 交换机详细配置方案 区域楼层 ap 数 WA4620i CAN S5120 28P HPWR SIS5120 28P PWR SI 1F2911 2F2911 3F2711 4F2911 A 5F2911 1F910 B 2F1510 1F1510 2F1510 3F1510 4F1510 C 5F1510 1F2911 2F2911 3F2711 4F2911 D 5F2911 合计 3851710 烟草进修学院无线校园网解决方案 28 6方案涉及产品介绍 H3C WX6100E 系列无线控制器 6 1 1产品简介 H3C WX6100E 是杭州华三通信技术有限公司 以下简称H3C 公司 自主研发的 运营级核心多业务无线控制器 AC Access Controller 产品系列 WX6100E 系列无线控制器具有大容量 高可靠 业务类型丰富等特点 集精细的用户控 制管理 完善的射频资源管理 7X24 小时无线安全管控 二三层快速漫游 灵活的QoS 控制 IPv4 IPv6 双栈等多功能于一体 提供强大的有线 无线一 体化接入能力 H3C WX6100E 系列无线控制器包括 WX6103E WX6108E 和 WX6112E 三款 型号 配合 H3C Fit AP 产品系列 可以满足大型企业园区 WLAN 接入 无线 城域网覆盖 热点覆盖等无线场景的典型应用 图 2 WX6103 多业务无线控制器设备外观图 烟草进修学院无线校园网解决方案 29 6 1 2 产品特点 提供对802 11n AP的管理 WX6100E系列无线控制器在支持对传统802 11a b g AP管理的同时 还可以与 H3C基于802 11n协议的AP配合组网 从而提供相当于传统802 11a b g协议数 倍的无线接入速率 能够覆盖更大的范围 使无线多媒体应用成为现实 提供灵活的数据转发方式 传统的无线控制器部署一般采用集中式转发模式 AC可以对报文进行全面控制 和安全监管 但所有的无线业务流量需要到AC进行统一处理 核心链路带宽和 AC转发能力容易成为瓶颈 特别是AP和AC通过广域网方式进行连接时 AP作 为数据接入设备部署在分支机构 而AC部署在总部 所有用户数据由AP发送到 AC 再由AC进行集中转发 导致转发效率低下 WX6100E系列无线控制器可以支持集中式转发和分布式转发 用户根据业务需 要和网络实际情况可以灵活设置转发方式 支持运营级无线用户接入控制和管理 基于用户的接入控制是WX6100E系列无线控制器产品的一大特色 User Profile 用户配置文件 提供一个配置模板 能够保存预设配置 一系列配置的集 合 用户可以根据不同的应用场景为User Profile配置不同的内容 比如 CAR Committed Access Rate 承诺访问速率 策略和QoS Quality of Service 服务质量 策略等 用户访问设备时 需要先进行身份认证 在认证过程中 认证服务器会将User Profile名称下发给设备 设备会立即启用User Profile里配置的具体内容 当用 户通过认证访问设备时 设备将通过这些具体内容限制用户的访问行为 当用 户下线时 系统会自动禁用User Profile下的配置项 从而取消User Profile对用 烟草进修学院无线校园网解决方案 30 户的限定 因此 User Profile适用于限制上线用户的访问行为 没有用户上线 可能是没有用户接入 或者用户没有通过认证 或者用户下线 时 User Profile是预设配置 并不生效 另外 WX6100E系列无线控制器还支持基于MAC的认证接入控制方式 这种方 式不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改 同时支 持对具体用户的权限的配置 这种精细的用户权限控制大大增强了无线网络的 可用度 网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分 配 基于MAC的VLAN同样也是WX6100E系列无线控制器的一大特色 在控制策略 上 管理员可以把相同性质的用户 MAC 划分到同一个VLAN 同时在控制器上 基于VLAN配置安全策略 这样做既可以简化系统配置 又可以做到用户级粒度 的精细管理 出于安全性或计费等考虑 系统管理员可能希望控制无线用户接入到网络中的 位置 WX6100E系列无线控制器支持基于AP位置的用户接入控制 当无线用户 接入网络时 可以通过认证服务器向AC下发允许用户接入的AP列表 在AC上 进行接入控制 从而达到限制无线用户只能接入到指定位置的AP的目的 提供高可靠的备份功能 WX6100E系列无线控制器采用机架式系统设计 重要的部件可更换 双电源设 计 满足高可靠性的要求 1 1快速备份 WX6100E系列无线控制器支持毫秒 ms 级业务备份 AP会同时和两台无线控制 器建立CAPWAP链路 一台作为主控制器 另外一台作为备份控制器 但只有 和主控制器建立的CAPWAP链路处于工作状态 当主控制器异常down机时 备 份控制器和主控制器之间的心跳检测机制可以保证在100毫秒 ms 之内检测到主 烟草进修学院无线校园网解决方案 31 设备的异常 并通知AP将主控制器CAPWAP链路切换 保证控制信号的不间断 传送 N 1备份 当多台WX6100E系列无线控制器部署时 N 1备份方案为可靠性和经济性折中 的最好方案 例如其中N台AC各自独立工作 外加一台AC作为备份AC 其中N 台AC中的任何一台出现故障 都会切换到备份AC上 而当主AC恢复后 AP将 自动回切到主AC上 可保障AP尽量同主AC连接 其中WX6103每台备份设备最 多可以支持4台主设备 即4 1 N N备份 当多台WX6100E系列无线控制器部署时 N N备份可以实现最灵活的备份方案 AP初次会选择一个最优的控制器进行接入 当链接出现问题的时候 AP会在网 络中重新选择一个新的最优控制器重新进行注册接入 进而实现了AP的接入备 份 以及AC间负载均担 AP对最优控制器的选择 可以根据控制器负载情况动 态计算 AC间动态负载均担 或事先指定控制器优先级等多种方式 十分灵活 实现N N备份 组网中总AP数量只要小于 总AC数量 1 台控制器能够管理的AP 规格即可满足备份的要求 Portal 1 1备份 当多台WX6100E系列无线控制器工作在双机模式时 可以实现Portal认证高可 靠 用户通过其中一台AC完成Portal认证 双机将相互同步用户的认证状态等 数据 任何一台AC down时 由于另台AC已经预同步了用户的认证数据 所以 可以避免Portal重认证和用户业务中断 满足了电信级可靠性需求 DHCP Server热备 当多台WX6100E系列无线控制器工作在双机模式时 用户通过其中一台AC获得 烟草进修学院无线校园网解决方案 32 DHCP地址分配后 AC间将同步地址池信息 一台AC down机后 当用户IP地 址租约到期时 将发起DHCP请求续约 另一台AC用预备份的地址池数据回应 续约 避免了为用户重新分配地址和用户业务中断 支持信道智能切换 无线局域网中 信道是非常稀缺的资源 每个AP只能够工作在非常有限的非重 叠信道上 比如对于2 4G网络 只有 个非重叠信道 所以如何智能地为AP分 配信道是无线应用的关键 无线局域网工作的频段存在大量可能的干扰源 如雷达 微波炉 它们在网络 中的出现将干扰AP的正常工作 通过信道智能切换功能 可以保证每个AP能够 分配到最优的信道 尽可能地减少和避免相邻信道干扰 而且通过实时信道干 扰检测 可以让AP实时避开雷达 微波炉等干扰源 支持智能AP负载分担 802 11协议把无线漫游的决策交给了无线客户端 无线客户端一般会根据AP信 号强度 RSSI 选择AP 这很容易导致大量的客户端仅仅因为某个AP信号较强而 连接到同一个AP上 由于这些客户端共享无线媒介 导致每个客户端的网络吞 吐将大量减少 智能负载分担方法可以实时地分析无线客户端的位置 动态地确定在当前时刻 和当前位置下哪些AP可以彼此分担负载 通过控制无线客户端接入的AP 来实 现这些AP间的负载分担 系统不仅支持按照用户在线会话数的负载分担 而且 支持按照用户流量负载的分担 支持7层移动安全检测 防御 wIDS wIPS WX6100E系列无线控制器支持的移动安全防御模式有 黑名单 白名单 Rogue防御 畸形报文检测 非法用户下线 基于可预设升级的Signature MAC 层攻击检测与反制 例如 DoS攻击 Flood攻击 中间人攻击 等 配合无线应 烟草进修学院无线校园网解决方案 33 用控制台内置的海量智能专家知识库 可以获得灵活的无线安全策略判断依据 对于明确的非法攻击源 AP 或终端等 实现可视的物理位置跟踪监控和交换机 物理端口移除 通过配合H3C 专业核心层防火墙 IPS 设备 更可以实现移动园区的7 层立体 安全防御 满足真正的从无线 802 11 到有线 802 3 端到端安全防护需求 支持RealTime Spectrum Guard 实时频谱保护 模式 RealTime Spectrum Guard RTSG 是H3C 创新提出的针对无线环境频谱状态的 专业监控方案 全系列无线控制器可以和内置射频采集模块的Sensor AP 实现 深度融合的射频监控和实时频谱防护 RTSG 的控制台融合部署于H3C iMC 智能管理中心 通过CAPWAP 管理隧道 与Sensor AP 进行通信和数据采集 实现7X24 小时的无线环境质量监控 无 线网络能力趋势评估以及非许可干扰告警 通过图形化方式 主动探测和识别 所有2 4GHz 5GHz 波段的射频干扰源 Wi Fi 或非Wi Fi 可提供实时FFT 图 频谱密度图 光谱图 占空比图 事件光谱图 频道功率 干扰功率等 可自 动识别干扰源 确定有问题的无线设备的位置 确保无线网络发挥最佳的性能 结合H3C iAR 智能报表组件 可实现全覆盖区内的射频质量历史记录的存储 追溯 回放等 自动生成客户化的趋势 合规和审计报告 针对用户无线环境监管的不同层次需求 RTSG 方案的部署可以灵活采用Local mode 或Monitor Mode 当工作在Local Mode 时 可以在获得有效的频谱防 护前提下 保持正常的用户接入和数据包转发 支持智能无线业务感知 wIAA WX6100E 系列无线控制器支持智能感知无线业务流量 实现基于无线用户状 态的弹性策略识别与管理 优化语音及视频业务承载 支持远程探针分析 WX6100E 系列无线控制器支持针对AP 的远程探针分析功能 可以对覆盖区内 烟草进修学院无线校园网解决方案 34 的Wi Fi 报文进行侦听捕获并实时镜像到本地分析设备供网络管理员进行故障 排查 优化分析 远程探针分析功能既可以针对工作信道进行无收敛镜像 也 可以对所有信道轮询采样 灵活满足无线网络监控运维要求 内置射频优化引擎 ROE WX6100E 系列无线控制器内置针对AP 的射频优化引擎 RF Optimizing Engine 通过基于特征和协议的射频优化 有效提升无线部署中高密度接入 流媒体传 输等场景中的应用加速能力和质量保障效果 其中包含 多用户公平调度 混 合接入公平 过滤干扰 速率最优 频谱导航 组播增强 IPv4 IPv6 逐包功 率控制和智能带宽保障等 支持802 1x 认证 MAC 地址认证 Portal 认证等 WX6100E 系列无线控制器支持多种认证方式 802 1x 认证 WX6100E 系列无线控制器支持TLS PEAP TTLS MD5 SIM 卡等多种802 1x 的认证方式 同时还支持802 1x 本地认证方式 提供对 MD5 TLS PEAP 这几种主流认证方式的支持 用户不再需要额外配置AAA 服务器 WX6100E 系列无线控制器还支持通过802 1x 认证后动态授权VLAN 和ACL 功能 对用户的策略可以事先设定好 用户认证时 系统自动配置客户 权限 MAC 地址认证 WX6100E 系列无线控制器支持MAC 地址认