无线网络方案.doc

方案书 无线网设计方案设计单位：XXXX20090407目录1网络需求说明-51.1 802.11a协议-52无线网络架构及设计-521设备选型-53无线组网结构示意图-114轻量级AP 的工作原理-115蜂窝布局和信道的使用-126轻量级AP-1361关联和漫游-137无线管理系统-1571 WLC 的功能-158无线网络中的数据流模式-169控制器内漫游-1810移动组-1811WLAN 安全-19111常用的安全方法有-201111基于EAP 的安全方-201112WPA-211113 WPA2-2112WLAN 安全-2213CISCO无线的可拓展功能-2214设备清单-22 141设备描述-22142设备价格清单-23 组网方案规划设计书CISCO统一无线网络 一、 网络需求及建设目标11 网络现状学校概要XXXX是北京市重点建设的多科性大学，现有XXXX路和XXXX两个校区。2002年完成了XXXX路校区一期校园网的建设工作，包括综合布线、系统集成、机房改造、基础网络服务平台建设及出口建设等，运行良好。有线网络现状2003年学校致力于XXXX校区建设，建设目标是要建成国内一流、国际先进的数字化校园。XXXX校区校园数字化基础建设包括综合布线、设备购置及系统集成，分为计算机网络系统、安全防范系统、校园广播系统、有线电视系统、通讯系统、多媒体教学系统、语音教学系统、一卡通系统、数字图书馆、电子公告屏系统、视频会议及网络教学系统、远程教学系统、同声传译系统、无线网络系统及楼宇自动化系统。现已完成整个教学园区19栋单体楼的校园网室、内外综合布线、计算机网络系统集成、主控机房工程，技术安全防范系统、多媒体网络教学系统、校园广播系统、有线电视系统、通讯系统、语音教学系统、校园一卡通系统、数字图书馆等建设工程，并已全部投入使用，运行良好。无线网络建设现状学校两个园区全部办公楼和教学楼均已联网，学生宿舍区和家属区网络在建设之中，目前学校校园网核心为千兆快速以太网，通过自建光缆连接XXXX和XXXX路两个园区形成完整的校园局域网。12 需求分析121由于以前的无线网络设备（AP）相对独立，且分布地点仅仅是个别教学区和办公区的个别楼层，没有进行有效的管理，而且品牌相对比较杂。同时，经过多年的运行，现有有线网络的局限性也逐渐暴露出来，主要体现在以下几个方面：（1）有线网络无法接入的范围：主要是指室外场所，包括体育场，广场等。这些场所是很难实现有线接入网络的，采用无线的方式就可以实现大范围室外空间的覆盖，实现无线接入网络。（2）有线网络使用不便或受限的室内空间：主要是指报告厅、会议室，大教室、图书馆阅览室、大厅、体育馆等。这些区域空间较大，而且会有很多人同时接入网络的要求，如采用有线的方式只能提供少量接口，不能满足联网需要。在这种情况下，需要建设无线网络实现网络全覆盖，并可以允许相当数量的移动设备同时访问网络。（3）有线网络虽已覆盖，但有无线应用需要的主要办公、教学场所。122经过XXXX相关负责人进行沟通，我们初步规划出两个校区有以下几个方面需要用无线来替代有线：（1）、XXXX校区：综合楼、教一楼、教二楼、教三楼、图书馆、耕耘楼、科教楼、化工实验楼、阶梯教室、礼堂，其他场地包括运动场、耕耘楼北空地、综合楼南空地、西区图书馆北空地需要覆盖。（2）、XXX校区：行政楼、文科实践中心、学生活动中心、文体馆、钟楼、图书馆、学术交流中心、专家楼、工科实践中心、工一工三楼、师生服务中心、文一文三楼、艺术楼、金工厂，其他区域包括运动场、广场等。 13 建设目标我们建设一个网络的目标：（1）、为避免不必要的损失，我们务必做到要与原有无线设备的无缝连接和统一管理（2）、要求与现有校园网网管软件、计费系统等实现连接，并能实现无线网认证计费。（3）、无线控制器集中管理的模式建设两个园区的无线网络，统一分配无线信道，防止AP 间相互干扰。（4）、基于安全方面，我们要作到一下几点： A、无线设备提供灵活的数据转发方式支持集中式转发和分布式转发。单一的集中式转发，AC虽然能对报文进行全面控制，但所有的无线业务流都要到AC进行统一处理，使得AC的转发能力很容易成为瓶颈。特别是当通过广域网方式转发时，AP作为数据接入设备部署在分支机构，而无线控制器部署在总部，所有用户数据由AP发送到无线控制器，再由无线控制器进行集中转发，导致转发效率低下。 B、 快速的二、三层漫游 集中式无线架构不但能方便地实施二层漫游，而且非常有利于跨三层的漫游实现，用FAT AP部署的WLAN网络，由于AP之间传递的信息有限，导致垮三层的漫游实现及其麻烦，集中式架构非常容易解决跨三层漫游的问题；通过无线控制器支持二、三层漫游，漫游域不受子网的限制，这种优秀的漫游特性，可以让客户在规划无线网络时，根本不用考虑以前的有线网络的规划，完全只考虑无线信号的覆盖即可，这种方式大大简化了前期的网络规划，减少了网络规划成本。C、无线用户接入控制和管理用户访问设备时，需要先进行身份认证。在认证过程中，认证服务器会将User Profile名称下发给设备，设备会立即启用User Profile里配置的具体内容。当用户通过认证访问设备时，设备将通过这些具体内容限制用户的访问行为。无线控制器还支持基于MAC的认证接入控制方式，这种方式不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改，同时支持对具体用户的权限的配置，这种精细的用户权限控制大大增强了无线网络的可用度，网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。 D、提供基于AP位置的用户接入控制出于安全性或计费等的考虑，系统管理员可能希望控制无线用户接入到网络中的位置。通过无线控制器支持基于AP的用户接入控制。当无线用户接入网络时，可以通过认证服务器向AC下发允许用户接入的AP列表，在AC上进行接入控制，从而达到限制无线用户只能接入到指定位置的AP的目的。E、 支持无线入侵检测 非法设备的告警和攻击防护，通过无线控制器组成的WLAN网络，可以自动监测非法设备（例如Rouge AP，或者Ad Hoc 无线终端），并适时上报网管中心，同时对非法设备的攻击可以进行自动防护，最大程度地保护无线网络。（5）、网络的稳定和可靠性 无线控制器支持100毫秒业务备份，AP会同时和两台无线控制器建立CAPWAP链路，一台作为主控制器，另外一台作为备份控制器，但只有和主控制器建立的CAPWAP链路处于工作状态。当主控制器异常down机时，备份控制器和主控制器之间的心跳检测机制可以保证在100毫秒之内检测到主设备的异常，并通知AP将主控制器CAPWAP链路切换，保证控制信号的不间断传送。（6）、支持多种认证方式用户希望能通过无线控制器，做到对接入用户的认证：MAC、PPPOE、AAA、WAPI 等方式的认证。 二无线网络架构及设计 21 网络设计原则1) 服务质量保障拥塞控制和服务质量保障(QoS)是公众服务网的重要品质。由于接入方式、接入速率、应用方式、数据性质的丰富多样，网络的数据流量突发是不可避免的，因此，网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。业务分类 ，接入速率控制 ，队列机制等 。2) 网络的扩展能力网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展，以及网络规模的扩展能力。3) 交换容量扩展 交换容量应具备在现有基础上继续扩充24倍容量的能力，以适应IP类业务急速膨胀的现实。4) 端口密度扩展 设备的端口密度应能满足网络扩容时设备间互联的需要。5) 主干带宽扩展 主干带宽应具备高带宽扩展能力，以适应IP类业务急速膨胀的现实。6) 网络规模扩展 22 网络架构设计通过与XXXX沟通，我们可以看出，用户希望能够对网络进行有效的管理，同时也希望在保证安全性 情况下，同时能保证稳定性。以下是我们根据用户的需求出发，综合学校的实际情况所作的网络示意图。 网络说明：1、 我们采用CISCO WX6013 对XXXX校区和XXXX校区的无线AP 做集中式管理，同时结合学校原有无线设备- EWP-WA1208E-AG 等，对整个无线网络实现统一管理。2、 新建设的无线网络，我们采用的架构是 核心、汇聚、接入、AP终端；在原有网络的基础上增加2台汇聚交换机，设备采用CISCO 7502 ，支持万兆接入；新增的2台设备通过万兆线路相互备份，实现网络的高速传输和稳定性。3、 在两个校区通过自架设光纤线路（80公里），WX6013无线控制器可跨三层漫游，实现统一管理，并可与XXXX校区的无线控制器相互备份，保证网络的安全性，稳定性4、 接入层设备我们采用CISCO LS-3100-26TP 。此设备通过光纤与汇聚相连，实现千兆干路传输，同时此设备支持POE供电，和其连接的无线AP 无需单独接入电源。5、 室内无线AP 我们采用EWP-WA2110-AG ，其穿透率较高，传输速率高；室外AP 我们采用CISCO WA2210X-GE ，此设备的特点，对环境的适应能力强，抗干扰较好，在复杂的环境中也能保持较好的稳定性。23 产品特点CISCO WX6013 提供对802.11n AP的管理CISCO WX6000系列无线控制器在支持对传统802.11a/b/g AP管理的同时，还可以与CISCO基于802.11n协议的WA2600系列AP配合组网，从而提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围，使无线多媒体应用成为现实。 提供灵活的数据转发方式支持集中式转发和分布式转发。单一的集中式转发，AC虽然能对报文进行全面控制，但所有的无线业务流都要到AC进行统一处理，使得AC的转发能力很容易成为瓶颈。特别是当通过广域网方式转发时，AP作为数据接入设备部署在分支机构，而无线控制器部署在总部，所有用户数据由AP发送到无线控制器，再由无线控制器进行集中转发，导致转发效率低下。CISCO WX6000系列无线控制器支持两种转发方式，用户可以根据需要给SSID设置转发的类型。l 运营级的无线用户接入控制和管理基于用户的接入控制是CISCO WX6000系列无线控制器产品的一大特色，User Profile（用户配置文件）提供一个配置模板，能够保存预设配置（一系列配置的集合）。用户可以根据不同的应用场景为User Profile配置不同的内容，比如CAR（Committed Access Rate，承诺访问速率）策略和QoS（Quality of Service，服务质量）策略等。用户访问设备时，需要先进行身份认证。在认证过程中，认证服务器会将User Profile名称下发给设备，设备会立即启用User Profile里配置的具体内容。当用户通过认证访问设备时，设备将通过这些具体内容限制用户的访问行为。当用户下线时，系统会自动禁用User Profile下的配置项，从而取消User Profile对用户的限定。因此，User Profile适用于限制上线用户的访问行为，没有用户上线（可能是没有用户接入、或者用户没有通过认证、或者用户下线）时，User Profile是预设配置，并不生效。另外，CISCO WX6000系列无线控制器还支持基于MAC的认证接入控制方式，这种方式不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改，同时支持对具体用户的权限的配置，这种精细的用户权限控制大大增强了无线网络的可用度，网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。基于MAC的VLAN同样也是CISCO WX6000系列无线控制器的一大特色，在控制策略上，管理员可以把相同性质的用户（MAC）划分到同一个VLAN，同时在控制器上基于VLAN配置安全策略，这样做既可以简化系统配置，又可以做到用户级粒度的精细管理。l 提供基于AP位置的用户接入控制出于安全性或计费等的考虑，系统管理员可能希望控制无线用户接入到网络中的位置。CISCO WX6000系列无线控制器支持基于AP的用户接入控制。当无线用户接入网络时，可以通过认证服务器向AC下发允许用户接入的AP列表，在AC上进行接入控制，从而达到限制无线用户只能接入到指定位置的AP的目的。l 高可靠的备份功能CISCO WX6100系列高端无线控制器采用机架式系统设计，重要的部件可更换，双电源设计，满足高可靠性的要求。(1) 1+1快速备份CISCO WX6000无线控制器支持100毫秒业务备份，AP会同时和两台无线控制器建立CAPWAP链路，一台作为主控制器，另外一台作为备份控制器，但只有和主控制器建立的CAPWAP链路处于工作状态。当主控制器异常down机时，备份控制器和主控制器之间的心跳检测机制可以保证在100毫秒之内检测到主设备的异常，并通知AP将主控制器CAPWAP链路切换，保证控制信号的不间断传送。(2) N+1备份当多台WX6000系列无线控制器部署时，N+1备份方案为可靠性和经济性折中的最好方案，例如其中N台AC各自独立工作，外加一台AC作为备份AC，其中N台AC中的任何一台出现故障，都会切换到备份AC上。而当主AC恢复后，AP将自动回切到主AC上，可保障AP尽量同主AC连接。其中WX6000系列每台备份设备最多可以支持4台主设备（即4+1）。(3) N+N备份当多台WX6000系列无线控制器部署时，N+N备份可以实现最灵活的备份方案。 当有N台WX6000无线控制器同时工作时，AP初次会选择一个最优的控制器进行接入，当链接出现问题的时候，AP会在网络中重新选择一个新的最优控制器重新进行注册接入，进而实现了AP的接入备份，以及AC间负载均担。AP对最优控制器的选择，可以根据控制器负载情况动态计算（AC间动态负载均担）或事先指定控制器优先级等多种方式，十分灵活。实现N+N备份，组网中总AP数量只要小于（总AC数量-1）台控制器能够管理的AP规格即可满足备份的要求。l 信道智能切换无线局域网中，相邻无线AP需要尽可能工作在不同信道中，以减少相邻信道干扰。对于无线局域网，信道是非常稀缺的资源，每个AP只能够工作在非常有限的非重叠信道上，比如对于2.4G网络，只有个非重叠信道，所以如何智能地为AP分配信道是无线应用的关键。同时，无线局域网工作的频段存在大量可能的干扰源，如雷达，微波炉，它们在网络中的出现将干扰AP的正常工作。通过信道智能切换功能，可以保证每个AP能够分配到最优的信道，尽可能地减少和避免相邻信道干扰，而且通过实时信道干扰检测，可以让AP实时避开雷达，微波炉等干扰源。l 智能AP负载分担WLAN网络的IEEE标准802.11协议把无线漫游的决策交给了无线客户端，无线客户端一般会根据AP信号强度（RSSI）选择AP，这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于这些客户端共享无线媒介，导致每个客户端的网络吞吐将大量减少。智能负载分担方法可以实时地分析无线客户端的位置，动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载，通过控制无线客户端接入的AP，来实现这些AP间的负载分担。系统不仅支持按照用户在线会话数的负载分担，而且支持按照用户流量负载的分担。l 无线入侵检查（Wireless Intrusion Detection System、WIDS）(1) 非法AP检测非法设备的告警和攻击防护，用CISCO WX6000系列无线控制器组成的WLAN网络，可以自动监测非法设备（例如Rouge AP，或者Ad Hoc 无线终端），并适时上报网管中心，同时对非法设备的攻击可以进行自动防护，最大程度地保护无线网络。(2) 白名单功能CISCO WX6000系列无线控制器支持静态配置白名单功能，该功能一旦启用，只有白名单上的无线用户才被认为是合法用户，其他非法用户的报文全部在AP上被丢弃，从而减少非法报文对无线网络的冲击。(3) 黑名单功能CISCO WX6000系列无线控制器支持静态配置黑名单和动态黑名单功能，用户可以通过配置方式或者控制器实时检测侦听的方式来确定设备是否被加入黑名单，被加入到黑名单中的设备发过来的报文全部在AP上丢弃，从而减少攻击报文对无线网络的冲击。(4) 无线协议攻击防御CISCO WX6000系列无线控制器支持多种攻击的检测，例如DOS攻击，Flood攻击，去认证、去连接报文的仿冒检测，以及无线用户Weak IV检测。当控制器检测到上述的攻击后，会产生告警或者日志，提醒管理员进行相应的处理。特别无线协议攻击防御可以和动态黑名单配合使用，当控制器检测到攻击时，可以将发起攻击的无线客户端动态添加到动态黑名单中，从而保证WLAN系统不再被该设备攻击。l 支持802.1x认证，MAC地址认证，Portal认证，PPPoE和WAPI认证CISCO WX6000系列无线控制器支持多种认证方式：(1) 802.1x认证，CISCO WX6000系列控制器，支持TLS、PEAP、TTLS、MD5、SIM卡等多种802.1x的认证方式，同时还支持802.1x本地认证方式，提供对MD5、TLS、PEAP这几种主流认证方式的支持，用户不再需要额外配置AAA服务器。 WX6000系列无线控制器还支持通过802.1x认证后动态授权VLAN和ACL功能，对用户的策略可以事先设定好，用户认证时，系统自动配置客户权限。(2) MAC地址认证，CISCO WX6000系列控制器还支持MAC地址认证，对一些手持终端（例如：WiFi Phone、手持移动终端等）并不方便采取电脑上的认证方式，MAC地址认证却可以轻松解决该问题，实现在控制器或者iMC服务器上配置好哪些MAC地址合法，这些终端就可以被允许被接入到网络，而事先没有被配置的非法终端则不能接入无线网络，该功能极大地方便了例如无线医疗系统等应用，MAC地址认证可以确保只有医院的PDA工作终端才能接入到无线网络，而拒绝病人的无线PDA使用专用无线网络。(3) Portal认证，CISCO WX6000系列控制器还支持Portal认证，一些企业外部的客户希望使用无线网络，来访问Internet，很可能外部员工并没有安装例如802.1x客户端软件，这时Portal认证提供了很好的认证方式。(4) PPPoE认证，CISCO WX6000系列控制器还支持PPPoE认证，通过PPPoE的成熟的认证，计费功能，可以方便做到按流量计费等高级的计费方式，可以满足一些客户的运营级需求。(5) WAPI认证，CISCO WX6000系列无线控制器支持中国自主知识产权的WAPI认证，通过WAPI认证和加密，可以提供更加安全的接入方式。l 支持IPv6CISCO WX6000系列无线控制器支持无线客户的IPV6接入，这时IPv6用户的网关不在无线控制器上，需要专门的IPv6网关，控制器对用户的IPv6报文感知，在隧道起点AP上，由于设备对IPv6感知，所以可以做到IPv6优先级到隧道优先级映射等，在AC侧，同样可以对IPv6报文进行ACL过滤等复杂的控制和过滤。CISCO WX6000系列无线控制器同样可以部署在IPv6网络中，AC和AP之间自动协商成IPv6隧道。AC和AP完全工作在IPv6状态时，无线控制器仍能正确地感知IPv4，并能处理无线客户的IPv4报文。CISCO WX6000系列无线控制器IPv4/6灵活的适应能力，能满足客户在IPv4到IPv6网络迁移中的各种复杂的应用，既能在IPv6孤岛中给客户提供IPv4的服务，同时也能在IPv4孤岛中让用户轻松通过IPv6协议登陆到网络。l 端到端的QoSCISCO WX6000系列高端无线控制器基于Comware V5平台开发，不但对Diff-Serv标准完善支持，同时增加了对IPv6协议的QoS支持。QoS Diff-Serv 模型中主要包括流分类、流量监管（Policing）、队列管理、队列调度（Scheduling）等，完整实现了标准中定义的EF、AF1AF4、BE等六组PHB及业务，使网络运营商可为用户提供具有不同服务质量等级的服务保证，使Internet真正成为同时承载数据、语音和视频业务的综合网络。实施Differentiated Service（Diff-Serv）的主要技术包括流分类、流量监管（CAR）、拥塞管理。(1) 流分类：依据一定的匹配规则识别出感兴趣的对象。流分类是有区别地实施服务的前提。(2) 流量监管：对进入路由器的特定流量进行监管。当流量超出规定时，可以采取限制或惩罚措施，以保护运营商的商业利益和网络资源不受损害。(3) 拥塞管理：网络拥塞时必须采取的解决资源竞争的措施。通常是将报文放入队列中缓存，并采取某种调度算法安排报文的转发次序。l 快速的二、三层漫游CISCO公司的集中式无线架构不但能方便地实施二层漫游，而且非常有利于跨三层的漫游实现，用FAT AP部署的WLAN网络，由于AP之间传递的信息有限，导致垮三层的漫游实现及其麻烦，集中式架构非常容易解决跨三层漫游的问题，CISCO WX6000系列无线控制器支持二、三层漫游，漫游域不受子网的限制，这种优秀的漫游特性，可以让客户在规划无线网络时，根本不用考虑以前的有线网络的规划，完全只考虑无线信号的覆盖即可，这种方式大大简化了前期的网络规划，减少了网络规划成本。传统的用户漫游，当无线用户终端使用802.1x作为802.11接入认证和密钥交互的手段时，无线用户终端和AP间的交互报文会非常的多。当无线用户终端在两个AP间漫游时，如果无线用户终端在新AP接入的过程完全遵从完整的802.1x的交互过程，势必造成漫游切换的时间过长，对于某些对漫游切换时间敏感的业务（例如语音业务），这样的长切换时间是无法忍受的。CISCO WX6000系列控制器采用Key caching技术完成漫游时用户的快速切换，Key caching技术在用户的安全接入和快速漫游间做了一个很好的平衡，可以使无线用户终端在两个AP间进行漫游时不必重新进行完整的802.1x认证交互过程，同时又能保证用户身份的识别和密钥使用的连续性；无线用户采用快速漫游方式，单AC内漫游时间不超过50ms，满足语音业务的苛刻需求。产品规格 项目WX6103外形尺寸436mm（宽）420mm（深）176mm（高）重量25.2kg管理端口1个Console口和一个带外网管接口可管理AP数（个）基础128个AP，最大640个AP（通过license升级单引擎可管理640个AP，双引擎可管理1280个AP）802.X局域网协议ARP （免费ARP）VLAN（PORT-BASED VLAN/MAC-BASED VLAN）802.1p802.1q802.1x802.11802.11b802.11a802.11g802.11d802.11h802.11i802.11e802.11n draft2.0CAPWAP协议AP和AC之间支持L2/L3层网络拓朴AP可以自动发现可接入的ACAP可以自动从AC更新软件版本AP可以自动从AC下载配置AP和AC之间支持IPv4/IPv6网络漫游支持AC内漫游支持跨AC间漫游支持Key cache快速漫游IP应用Ping、TraceRTDHCP ServerBootP/DHCP ClientDHCP RelayDHCP SnoopingDNS CientNTPTelnet TFTP Client FTP ClientFTP ServerIP路由静态路由组播IGMP SnoopingMLD SnoopingIPv6TCPv6、UDPv6、ICMPv6Pingv6 、TraceRTv6Telnetv6DNSv6IPv6 NDIPv6 PMTUIPv6 ACLIPv6静态路由安全认证MAC 地址认证802.1x认证 （EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-SIM、EAP-MD5，其中本地认证支持EAP-TLS、EAP-PEAP、EAP-MD5）Portal认证支持本地Portal ServerPPPoE认证WAPI认证支持无线EADAAARadius ClientHWTacacs支持认证服务器多域配置支持备份认证服务器支持基于ESS选择认证服务器支持SSID和用户账号的绑定支持本地认证802.11安全和加密支持多SSID支持隐藏SSID支持802.11i标准(含802.1x认证和PSK认证)支持具有国家自主知识产权的WAPI标准的认证和加密支持WPA、WPA2标准WEP(WEP64/WEP128)TKIPCCMPWAPI加密WIDS/WIPS支持白名单支持静态和动态黑名单支持对无线非法设备的监测和攻击支持无线防攻击其他SSH V1.5/2.0转发Split MAC（集中式转发）Local MAC（本地转发）用户管理基于AP的带宽限速相同SSID下的用户隔离基于用户的带宽限速基于用户的接入控制基于用户的QoS射频管理支持国家码设置支持手动设置发射功率支持自动设置发射功率支持手动设置工作信道支持自动设置工作信道支持自动调整传输速率支持黑洞补偿支持基于流量和基于用户数的AP负载分担支持无线射频干扰监测和规避可靠性双电源备份双AC之间100ms快速切换多AC备份（1+1、N+1、N+N）QOS支持L2L4包过滤和流分类功能支持基于用户和基于SSID的速率限制，粒度为64Kbit/s基于AP的输出队列，支持FIFQ、PQ、CQ队列调度算法支持WMM（802.11e）支持无线优先级到有线优先级的映射支持无线用户优先级到CAPWAP隧道优先级的映射网络管理SNMP V1/V2c/V3WEB管理SYSLOG用户接入管理支持Console口登录支持Telnet登录支持SSH登录支持FTP上传交换容量20GbpsVLAN4KACL32K无线用户数20KMAC地址表24KJumbo帧大小4KARP表24K用户AC内漫游切换时间小于50msCISCO S7500系列业务路由交换机CISCO S7500系列业务路由交换机作为面向以业务为核心的新一代IT系统基础网络设备，从产品的形态、系统结构的设计、以及产品的性能、可靠性、安全性、扩展性和业务功能等方面都领先于业界同级别产品。l 全兼容、模块化系列产品CISCO S7500系列交换机目前提供S7502（2槽）、S7503（4槽）、S7506（7槽）、S7506R(8槽)4款模块化产品，可以满足不同规模企业不同网络层次的应用需求，同时这些模块化机架式交换机采用统一的硬件和软件平台，完全兼容的引擎和接口板，以及相同的软件版本，可以适应不断发展的企业网络，充分保护用户的投资。l 分布式业务处理体系结构CISCO S7500系列交换机采用先进的全分布式体系结构设计，通过主引擎和分布式高速业务接口板上内置的Crossbar交换网芯片实现板内、板间二、三层流量的线速分布式转发，通过分布式高速业务接口板上内置的高性能CPU与位于主控引擎上的CPU协同工作，实现ACL、流分类、QOS、组播等业务的全分布式处理。l 强大的L2/L3转发性能CISCO S7500系列交换机拥有交换容量分别为96Gbps、384Gbps、768Gbps的三种全兼容的高速引擎，分别提供72Mpps、198Mpps、432Mpps的数据转发能力，最大可以提供292个GE或24个10GE，使大型企业网、校园网络核心层、汇聚层网络全面升级至万兆平台成为可能。 l 电信级、自适应的可靠性设计CISCO S7500系列交换机支持无源背板，支持双路电源供电，支持引擎、电源、风扇的冗余，支持单板热插拔，并可以支持STP/RSTP/MSTP/VRRP等协议实现链路冗余，同时S7500系列交换机支持基于硬件的RPR弹性分组环和基于软件的快速环网保护技术，分别可以提供50ms和亚秒级别的链路故障业务快速恢复手段，这些使得以S7500系列交换机为核心的骨干网络可靠性大大提高，保障了业务的永续性。 l 完善的自适应网络安全特性CISCO S7500系列交换机遵从最小服务原则，所有可能遭受到攻击的网络服务在默认情况下均关闭。支持安全的SSH登陆、基于用户安全策略的SNMP V3、MAC+IP+VLAN绑定、802.1X认证等安全策略。支持防网络风暴攻击、防DOS/DDOS攻击、防扫描窥探攻击、防畸形报文攻击、防网络协议报文攻击等安全技术。支持CISCO EAD端点安全防御解决方案。支持内置的防火墙安全模块。 l 丰富的多业务支持CISCO S7500系列交换机支持强大的组播功能、灵活QinQ、802.1x、内置DHCP-SERVER、NAT、PBR、POE+Voice Vlan、EPON等多种业务特性，这些业务特性极大的提高了企业网络业务部署的简便性和灵活性，同时增强了对IP语音、视频、WLAN的支持能力，为企业IT系统实现通信整合提供了便利。基于 “ASIC+NP”的体系结构，可以灵活的支持业务功能的不断扩展，通过多功能网络处理器模块，可以进一步支持NAT、PBR等多种高级业务特性。支持CWDM和单纤双向光模块，可以在1对光纤上承载8个千兆收发业务或在1根光纤上同时承载收发业务，有效节省光纤资源。 l 特色的网络流量分析功能CISCO S7500系列交换机可以支持NetStream（网流分析）功能，通过NetStream与CISCO XLOG网络分析器相互配合，可帮助网络管理员轻松的获得详细的网络应用信息，使网络系统变得透明、可见。例如查看Web、文件传输协议(FTP)、Telnet和其它著名的TCP/IP应用所占通信资源的百分比，以及用户利用网络和应用资源的详细情况，进而用于高效地规划和分配资源，并保障网络的安全运营。l 人性化的运营维护管理特性CISCO S7500系列交换机支持集群管理，可以对网元进行批量配置和批量升级，实现ACL/VLAN的动态策略下发，同时CISCO网络管理平台可以实现拓扑管理、可视化图形界面、智能化性能监控、告警管理等功能，这些有助于提高网络管理人员的效率、缩短网络故障及维护扩容的时间。属 性S7502结构机架式模块化交换机外形尺寸（mm）（宽高深）436130.5400满配时最大重量20kg引擎交换容量192G整机包转发率144Mpps背板容量280Gbps插槽数量2业务槽位2冗余设计电源、主控冗余VLAN数量4K二层功能支持IEEE 802.1d（STP）/802.1w（RSTP）/802.1s（MSTP） 支持RRPP（快速环网保护协议）支持BPDU TUNNEL支持802.1q，提供4K VLAN和VLAN Trunk支持基于端口、协议、子网的VLAN支持Voice VLAN支持PVLAN、SuperVLAN支持GVRP/GMRP支持QinQ，灵活QinQ支持802.3x流控机制及半双工反压流控支持802.3ad 端口聚合支持跨板端口汇聚和动态聚合支持端口锁定支持端口镜像支持跨板端口镜像支持RSPAN支持端口自动协商支持广播风暴抑制支持9K JUMBO 帧端口聚合支持，每组最大支持8个GE口或8个FE口捆绑，支持跨板端口聚合POE支持IEEE标准802.3af POE功能网络特性支持ARP，支持Local ARP Proxy、支持DHCP Relay、支持DHCP Server路由表项64K 路由特性支持IP、TCP、UDP、ICMP协议支持IPX协议支持OSPF支持RIP1/2支持静态路由支持IS-IS支持BGP4支持策略路由支持等价路由支持VRRP组播协议支持IGMP、IGMP Proxy支持PIM-SM、PM-DM等组播路由协议支持IGMP SNOOPING支持组播VLAN支持组播权限控制支持组播组快速离开ACL/QOS提供L2/3/4 ACL流规则过滤支持基于端口和VLAN的ACL支持每端口8个硬件队列支持IEEE 802.1p（COS优先级）和DSCP支持Diff-serv/QoS支持流量监管（CAR），粒度为64Kbps支持流量整形（Traffic Shapping）支持端口双向限速支持优先级Mark/Remark支持PQ、SP、WRR、SPWRR队列调度机制 NAT功能通过配置多功能业务板支持NAT、动态NAT功能、动态NAPT、ALG、多ISP、EasyIP、NAT策略、NAT日志、NAT黑名单、内部服务器等功能特性网流分析通过配置多功能业务板支持NetStream网流分析功能，可以对网络中的通信量和资源使用情况进行分类和统计，并生成报表，进行网络透视，并提供标准V5、V8、V9格式统计输出安全特性提供L2/3/4 ACL流规则过滤；用户分级管理和口令保护；提供多种用户认证方式：本地/Radius/802.1x/TACAS+认证；支持OSPF、RIP v2、BGP v4及IS-IS的报文明文及MD5密文认证；支持SNMP v3的加密和认证；支持SSH V1.5/V2；支持MAC-PORT、IP-MAC绑定。支持CISCO EAD端点安全防御解决方案系统管理支持SNMP v3：Quidview网管系统；支持RMON ；支持系统日志；支持分级告警；支持本地、远程诊断；提供多语言支持维护方式支持本地配置口（Console）配置支持远端拨号、Telnet远程维护支持命令行配置（CLI）支持Ping、Tracert支持Xmodem协议实现加载升级支持FTP、TFTP协议加载升级重量（满配时最大重量）20kg最大功耗300WMTBF218,000 h200工作于Fat AP模式时，可以配置工作为DHCP server，为接入的无线客户端动态分配IP地址，此功能使网络管理者省却了规划静态地址的烦恼。l支持PPPoE客户端WA2200工作于Fat AP模式时，可以配置工作为PPPoE client，能主动与远端的PPPoE server建立PPPoE 连接。l支持大功率WA2220E-AGP大功率型AP，11g模块输出功率最大可达500mW、且发射功率多级可调，同时具有较高的接收灵敏度。l支持光口上行WA2210X-G、WA2210X-GE、WA2220X-AG、WA2220X-AGP三款室外型AP都支持SFP上行FE光口，用户在室外部署时不用在配置额外的光电转换器，减少了网络故障点。此外，上行ETH口与上行光口可进行冗余备份，提供更高的可靠性。l支持更高的工作温度要求室内型工作温度范围为0至45摄氏度，室外型和增强型工作温度范围为-30至55摄氏度，宽温度范围保证了WA2200可以在任何季节工作在全球绝大多数地点。l支持轨道交通特性轨旁AP和车载AP WA2220E-AG-T在设备启动后将自动发现AC并建立和AC的CAPWAP协议控制隧道，通过该隧道设备可以更新设备软件版本和获得网络配置。随着车辆的移动，车载AP将快速扫描信道以发现车辆移动方向上可用的轨旁AP，并与之快速建立无线链路，这个链路将车载网络和轨旁的有线网络进行了联通，从而提供了通讯通道。CISCO WA2200系列AP配合CISCO无线控制器实现的链路质量预测的切换技术（简称，WHFT），可保证车辆在运行过程中，车载AP与轨旁AP的链路零切换时间。WHFT总是设法让车载AP维持和多个轨旁AP的无线链路，系统会选择当前一个较优的无线链路进行数据转发。通过部署时保证相邻轨旁AP彼此重叠足够的区域，所有与切换有关的处理，在列车运行在相邻AP重叠区域内完成，从而实现车载AP在与旧的轨旁AP（如APn）脱离前与新轨旁AP（如APn+1）建立连接，即在中断前连接（connection-before-break）。EWP-WA1208E-AG/ EWP-WA1208E-AGP EWP-WA2200E-AG/ EWP-WA2200E-AGP组网应用3无线组网结构示意图 因为本次网络中无线网络的拖扩建，主要是在原有有线网络的基础上，所以，我们只需要在原有的基础上，增加相对应的POE接入交换机和无线AP，即可达到对学校主要场所的无线信号覆盖。对于无线网络区域，我们通过无线网络控制器调节AP信道的方式，调整蜂窝的大少，使网络中不出现蜂窝频率重合，以解决全校无线网络覆盖问题。FAT AP供电FAT AP 使用的直流电，可采取下列方式之一给AP 供电：AC 适配器：如果AP 附近有AC 电源，可通过这种适配器直接将电源连接到AP上 。 通过(PoE)交换机 ：可使用IEEE802.3af，通过交换机端口和以太网电缆给LAP 供电。可以通过以太网电缆的接脚对1，2 和3，6 或4，5 和7，8 给LAP 供电。5教学楼层和运动场，室外空地中蜂窝布局和信道的使用在每栋教学楼中，为了使无线信号能覆盖到楼层的每个角落，使室外空地无线信号完全覆盖，就必须要交替使用信道，并且要避免重叠，这常被称为信道重用技术。它提供了4、8 甚至12 个互不重叠的信道。信道重用技术可以覆盖更大的区域。可以保障教学楼的每层，运动场和室外空地全部覆盖。图2 二为同一层办公楼或者室外空地的信道布局楼层使用的使用三维信道布局。在实际上，相邻楼层中的蜂窝将相互重叠，就像同一楼层的相邻蜂窝一样。在这种情况下，在楼层平面内以及楼层之间都需要交替地使用信道。中间楼层的信道1 不能与上层楼和下层楼的信道1 相互重叠。图3三维信道布局6FAT AP关联和漫游6.1.漫游过程WLAN漫游概述IACTP（Inter Access Controller Tunneling Protocol 访问控制器间隧道协议）是CISCO公司自主研发的私有协议，该协议定义了AC（Access Controller）与AC之间是如何通信的。IACTP提供了无线控制器间的通用封装和传输机制，保证了AC之间的安全传输。通过IACTP协议完成互相连接的无线控制器构成了漫游组。在当前版本中一个漫游组最多允许有8个无线控制器。漫游组的建立和维护均由IACTP协议完成。IACTP协议为应用（共享与交换信息）提供了一个控制通道，也同时提供封装AC间