XX农商银行无线技术方案

需求分析项目背景随着技术的日益发展，手机等智能终端的普及，越来越多的人对无线网络有了一个较迫切的需求，能够让人享受便捷的无线服务。鄂州农商行45个网点均没有提供无线服务，对于银行而言，既少了一个业务推广渠道，也没能很好的跟上客户的实际需求。在这种背景下，鄂州农商行决定在45个网点提供无线网络服务。在网点局端，根据每个网点面积的不同，提供数量不等的无线设备。在后台部署统一管理认证的设备和软件系统，用于银行客户的上网和银行业务推广。项目规划本次项目规划鄂州农商行45个营业网点通过数据电路（运营商虚拟内网）传到市总行机房所有数据出入口（互联网）在市总行进行上网行为管理及各种认证上网，需要可划分VLAN的网管交换机逻辑隔离办公与客户的网络；出口使用多WAN口流控设备对所有用户访问日志进行记录备案。需要预留接口给公安局做数据监控。本次项目是在鄂州农商行有线网的基础上进行无线网扩容（即通过AP无线网络接入到有线网络）；每个部署AP的地方需一根五类线做为网络接入点，使用POE供电；接入使用二层千兆网管交换机千兆上联核心。核心使用三层交换机。出口上网行为管理设备对接入用户做认证与行为管理，并提供数据备份以供查询。项目建设目标本次项目建设目标如下：利用无线网络技术进一步扩展对营业网点的覆盖范围，使在鄂州农商行任何一地方都能够随时随地、方便高效地使用该网络；促进办公的效率，进一步拓展研究空间；提升办公环境，提高管理水平和效率，推动信息化建设；鄂州农商行无线覆盖方案设计原则一般来说，网络建设既要立足现状，也要考虑未来技术和业务的发展，因此一般网络建设至少要满足不少于三到五年业务的发展需求，比如当前技术发展下，无线AP设备必须支持802.11a/b/g/n/ac协议，满足未来网络的发展需要；设备支持充分的冗余性，保证不出现单点故障，同时支持系统热备份协议，保证单台设备故障不影响整个网络，故障切换时间要达到毫秒级，故障切换不影响系统的正常运行；需要考虑将来终端用户的增加，安全、稳定及可扩展性是网络建成必要的考虑因素，即要保证给网络的发展留出空间同时还需要考虑高带宽接入和安全性。综合当前网络的需求和将来网络的发展，本次网络设计主要遵循了以下几项基本设计原则：先进性原则：IP网络技术的发展非常迅速，在计算机应用领域占有越来越重要的地位。必须认识到，网络建设是一个动态的过程，在这个过程中将不断有新技术产生，有新产品出现。因此,需要采用较为先进的组网技术，选用代表当今世界潮流趋势的的网络产品，才能在未来的发展中保持技术领先。

可扩展性随着应用软件复杂程度的增加，网络用户数量的增长以及多媒体技术的普及，当今网络对带宽的需求日益增加。网络系统应该能为用户提供足够的带宽，满足用户的实际应用需求，并且带宽应该是动态可调整、可扩展的。可靠性网络的安全可靠性是网络的一个重要的指标，网络系统必须绝对可靠，网络设计必须可靠性需要重点考虑，因此网络从结构设计、产品选择以及网络管理上要对网络的可靠性作出保证。实用性网络设计一定要充分保护网络系统现有资源。同时要根据实际情况，采用新技术和新装备，还需要考虑组网过程要与平台建设及开发同步进行，建立一个实用的网络。力求使网络既满足目前需要，又能适应未来发展，同时达到较好的性能/价格比。无线网络架构本次项目整体无线网络架构如下：本次项目网络采用传统网络架构，出口采用华为下一代安全防火墙，提供丰富的接口类型，实现无线用户上网和对内部的安全防护。AC控制器胖挂核心，实现对AP的控制管理，简化网络结构，实现业务流量的高速交换及转发。每个网点有一台电脑上网（开户查询等业务），个别网点只有1台AP，每个网点不超5个设备，通过可划分VLAN的接入交换机与区县核心互联，接入交换机对无线多SSID划分VLAN，通过trunk模式与AP对接。鄂州农商行内部员工无线网使用内部无线设备，办理业务客户使用外网，每个网点在30个左右；外网通过上网行为管理做用户认证及行为管控，以及相关营销。射频规划与IP地址规划一样，WLAN信道是WLAN网络设计中重要一环，大型无线网必须对WLAN信道进行统一规划。WLAN信道规划的好坏，影响到无线网络的带宽、无线网络的性能、无线网络的扩展以及无线网络的抗干扰能力，也必将直接影响到无线网络的用户体验。频点划分为保证信道之间不相互干扰，大型无线网必须对WLAN信道进行统一规划并实施。WLAN系统主要应用两个频段：2.4GHz和5.0GHz。2.4G频段具体频率范围为2.4～2.4835GHz的连续频谱，信道编号1～14，非重叠信道共有三个，一般选取1、6、11这三个非重叠信道。5.0G频段分配的频谱并不连续，主要有两段：5.15～5.35GHz、5.725GHz～5.85GHz。不重叠信道在5.15～5.35GHz频段有8个，分别为36、40、44、48、52、56、60、64；在5.725GHz～5.85GHz频段有4个，分别为149、153、157、161，可以根据实际部署情况，选择相应的非重叠信道。信道覆盖WLAN信道规划需遵循两个原则：蜂窝覆盖、信道间隔。根据覆盖密度、干扰情况、选择2.4G/5G单频或双频覆盖。AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道，避免信号相互干扰；一般情况单独使用2.4G或5.0G的频段，对于会议室等高密度用户接入的场所，可以启用双频进行覆盖，以便提供更好的接入能力。单频覆盖和双频覆的示意图如下图所示。链路预算WLAN链路预算一般经过边缘场强确认，空间损耗计算，覆盖距离计算等步骤。边缘场强确认是指：在WLAN工程部署中，要求重点覆盖区域内的WLAN信号到达用户终端的电平不低于－75dBm。这样可以保障用户与AP的协商速率以及收发数据质量。空间损耗计算通常采用如下公式：。其中：Pr[dB]为最小接收电平，即为AP在不同传输速率下的接收灵敏度；Pt[dB]为最大发射功率；Gt[dB]为发射天线增益；Gr[dB]为接收天线增益；Pl[dB]为路径损耗（包括空间传播损耗、馈线传播损耗、墙体/玻璃阻挡损耗）。实际部署中终端天线增益不可知，为方便计算常忽略接收天线增益，而采用如下公式：到达用户端的信号电平＝AP发射功率＋AP天线增益－路径损耗。路径损耗主要指WLAN信号的空间损耗，空间损耗＝92.4+20lgf+20lgd（f：GHz，d：km）。由公式推算可知：空间传输距离100m200m300m400m500m600m1000m100m2.4GHz信号的空间衰减(dBm)808689.5929495.5100805.8GHz信号的空间衰减(dBm)87.693.697.199.6101.6103.1107.687.6SSID和漫游规划SSID规划AP可以配置多个SSID，华为单频AP可支持16个SSID，双频AP可支持32个SSID。通过配置多个SSID，AC针对不同的SSID下发不同的策略，SSID根据策略进行终端与业务管理。无线网络可按照用户群体划分不同的SSID，如下图所示，针对三种不同的用户群体，在AP上设置了3个SSID：SSID1用于办公、SSID2用于访客和SSID3用于内部。SSID和VLAN的映射通常，以太网中管理VLAN和业务VLAN是分离的。业务VLAN主要用于区分不同的业务类型或用户群体。在WLAN网络中SSID也同样可以承担相应的工作。因此，在SSID的规划中必须综合考虑VLAN与SSID的映射关系。业务VLAN应根据实际业务需要与SSID匹配映射关系，映射关系有1:1、1:N、N:1、N:N四种。漫游规划漫游是指用户在部署了WLAN网络的场所移动时，用户终端可以从一个AP的覆盖范围移动到另一个AP的覆盖范围，用户无需重新登录和认证，如下图所示。WLAN网络漫游中需要了解以下两点：1、漫游过程中SSID必须一致，且使用相同的安全设置。2、漫游中选择连接哪个AP是无线客户端的动作，这个切换的时机和快慢受无线客户端的芯片或设置的影响，所以在漫游切换过程中会出现不同的终端切换性能有差异。WLAN安全性规划在银行中部署WLAN网络需要格外关注WLAN网络的安全，保障WLAN网络的安全运行。如何考虑解决RogueAP等设备带来的安全隐患？如何防止非法的用户访问行为？怎么禁止非法用户接入网络？怎么防止空口窃听？如何保证AP接入AC的安全？这些安全隐患整体可以分为空口安全和用户安全两类。空口安全空口安全主要来自非法rogue设备，空口监听和恶意攻击三个方面，如下图所示。空口安全威胁Rogue设备网络中可能出现的Rogue设备包括RogueAP，RogueClient，Ad-hoc设备，这些设备对运维的WLAN网络会带来诸多的安全隐患，如干扰，用户和非法AP建立连接等。WLANWIDS方案支持对网络中的Rogue设备（包括AP，Client，Ad-hoc）的进行检测、识别以及反制功能。下面分别从非法设备的监听，识别，判断以及反制四个方面详细阐述，。侦听周边设备AP有三种工作模式：接入模式混，监听模式和合模式。接入模式只提供覆盖功能，不提供非法设备监听功能；监听模式只监听，不能接入业务；而混合模式可以在接入业务的同时进行监听。推荐AP工作在混合模式，在接入业务的同时监听周边设备，低成本部署。设备类型识别AP通过监听Beacon，AssociatonRequest，AssociationResponse协议报文和数据报文报文来识别Rogue设备是哪种设备（AP/Adhoc/Client）。监控AP搜集到无线设备后，维护一个无线设备信息列表，并把这些信息上报给AC，在AC上根据一定的规则进行Rogue设备判断。Rogue设备判断当AP设备工作在混合模式或者监听模式时可以实现对整个网络的监控，监控设备包括AP、Client、Adhoc终端、无线网桥等。Rogue设备反制检测到Rogue设备后，可以使能防范、反制功能。反制功能，根据反制的模式，监测模式AP从无线控制器下载攻击列表，并对Rogue设备采取措施，阻止其工作。对RogueAP的反制：监测AP通过使用RogueAP设备的地址发送假的广播解除认证帧来对RogueAP设备进行反制，抑制无线用户和非法AP建立链接。对RogueClient、Adhoc设备的反制：监测AP通过使用RogueClient、Adhoc设备的BSSID、MAC地址发送假的单播解除认证帧，对指定非法Client的进行反制。Rogue设备管理可以与定位功能集合，如在地图上可以查询或者实时显示Rogue设备的位置，为网管人员对网络监管和排障定位提供便捷。恶意攻击针对恶意攻击，WLAN要拥有多种方式。下面针对使用场景中最常用的flood攻击，WeakIV攻击，Spoof攻击方式，方案需要具备防御规划和措施。Flood攻击检测：当“恶意用户”发送大量的“连接请求报文”至AP时，这些报文会被AP转发到AC设备上进行处理，这样会对内部网络造成冲击。启动Floodattack检测，AC会检测到来自于该恶意用户的Flood攻击，AP会将来自于该用户的报文将全部被丢弃，从而实现了对于网络的安全防御。WeakIV攻击检测：对于Client的数据报文，如果该报文使用了WEP加密算法，需要启动IV检测；AC根据IV的安全性策略判断是否存在WeakIV攻击。Spoof攻击检测：这种攻击的潜在攻击者将以其他设备的名义发送攻击报文。恶意AP或者恶意用户发送一个欺骗的解除认证报文会导致无线客户端下线。AC接受到这种报文时将立刻被定义为欺骗攻击，并阻止该用户。空口窃听空口监听往往是网络攻击者尝试破解的点，需要考虑对空口数据进行加密。常用的空口加密方式有WEP，WPA/WPA2，WAPI等。在最新的实现中，不管是WPA1还是WPA2都可以使用802.1X，使用802.1X时称为WPA企业版，不使用802.1X时称为WPA个人版，或者叫WPA-PSK版。在实际网络部署中，空口加密通常和用户认证一起考虑，推荐使用Portal+PSK方式部署，加密方式推荐采用CCMP，在网络侧进行配置。无线产品说明出口防火墙：华为USG6370华为USG6600系列下一代防火墙是面向大中型企业、机构及下一代数据中心推出的万兆园区下一代防火墙。USG6600支持业界最多的6300+应用识别，集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏等多种安全功能于一体，开启多重防护下仍保持高性能，帮助企业构筑面向未来的下一代网络安全防护。通过ICSA实验室Firewall、IPS、IPSec、SSLVPN、AV认证，通过CCEAL4+认证，获得NSS实验室推荐级评价。型号USG6370固定接口8GE+4SFP接口扩展可扩展千兆电口/千兆光口/万兆光口，支持BYPASS插卡产品形态1U尺寸（W×D×H）442mm×421mm×44.4mm满配重量8.6kgHDD选配可热插拔硬盘冗余电源选配最大功率350W电源AC100～240V工作环境温度：0~45℃(不含硬盘)/5℃～40℃(包含硬盘)

湿度：5%～95%(不含硬盘)/5%～90%(包含硬盘)非工作环境温度：-40℃～70℃/湿度：5%～95%认证软件认证ICSALabs:Firewall，IPS，IPSecVPN,

SSLVPN

CC:EAL4+

NSSLabs:推荐级硬件认证CB,CCC,CE-SDOC,ROHS,REACH&WEEE(EU),C-TICK,ETL,FCC&IC,VCCI,BSMI功能特性一体化防护集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoS、URL过滤、反垃圾邮件等多种功能于一身，全局配置视图和一体化策略管理。应用识别与管控可识别6000+应用，访问控制精度到应用功能，例如：区分微信的文字和语音。应用识别与入侵检测、防病毒、内容过滤相结合，提高检测性能和准确率。入侵防御与Web防护第一时间获取最新威胁信息，准确检测并防御针对漏洞的攻击。可防护各种针对web的攻击，包括SQL注入攻击和跨站脚本攻击等。防病毒病毒库每日更新，可迅速检出超过500万种病毒。APT防御与沙箱联动，对恶意文件进行检测和阻断。数据防泄漏对传输的文件和内容进行识别过滤，可准确识别常见文件的真实类型，如Word、Excel、PPT、PDF等，并对敏感内容进行过滤。带宽管理与QoS优化在识别业务应用的基础上，可管理每用户/IP使用的带宽,确保关键业务和关键用户的网络体验。管控方式包括：限制最大带宽或保障最小带宽、应用的策略路由、修改应用转发优先级等。URL过滤URL分类库超过1.2亿，可区分对不同类别网站的访问，并对访问行为进行管理。防范恶意网站对企业网络的侵害。可对特定类别网站的访问进行加速，保障对高优先级网站的访问体验。行为和内容审计可基于用户对访问内容进行审计、溯源。负载均衡支持服务器负载均衡和链路负载均衡，充分利用现有网络资源。业务智能选路支持基于业务的策略路由，在多出口场景下可根据多种负载均衡算法（如带宽比例、链路健康状态等）进行智能选路。VPN加密支持丰富高可靠性的VPN特性，如IPSecVPN、SSLVPN、L2TPVPN、MPLSVPN、GRE等；提供自研的VPN客户端SecoClient，实现SSLVPN、L2TPVPN和L2TPoverIPSecVPN用户远程接入。SSL加密流量检测可作为代理检测并防御隐藏在SSL加密流量中的威胁，包括入侵防御、防病毒、内容过滤、URL过滤等应用层防护。Anti-DDoS支持DDoS攻击防护，防范SYNflood、UDPflood等10+种常见DDoS攻击。用户认证支持多种用户认证方式，包括本地认证、RADIUS、Hwtacacs、SecureID、AD、CA、LDAP、EndPointSecurity等。防火墙支持内置Portal及Portal重定向功能，与AgileController配合可以实现微信认证。安全虚拟化支持多种安全业务的虚拟化，包括防火墙、入侵防御、反病毒、VPN等。不同用户可在同一台物理设备上进行隔离的个性化管理。智能策略管理预置常用防护场景模板，快速部署安全策略，降低学习成本。

自动评估安全策略存在的风险，智能给出优化建议。

支持策略冲突和冗余检测，发现冗余的和长期未使用策略，有效控制策略规模。与FireMon公司合作提供安全策略管理解决方案，降低运维成本，减少故障风险。丰富的报表可视化多维度报表呈现，支持用户、应用、内容、时间、流量、威胁、URL等多维度呈现报表。通过华为安全中心平台生成“网络安全分析报告”，对当前网络的安全状态进行评估，并给出相关优化建议。路由特性全面支持IPV4/IPV6下的多种路由协议，如RIP、OSPF、BGP、IS-IS、IPv6RD、ACL6等；部署及可靠性透明、路由、混合部署模式，支持主/主、主/备HA特性。配套管理能力SWeb：防火墙自带的设备管理界面，提供了丰富的设备管理和维护功能，包括输出日志报表，配置各种功能，进行故障诊断等。eSight：防火墙配套的网管软件，可以提供性能、告警、资源、配置、拓扑等管理能力，实现全网设备的统一管理。AgileController：在华为SDN敏捷网络解决方案中，用户可以通过敏捷控制器AgileController实现基于应用及用户的安全策略控制。LogCenter:防火墙配套的安全事件管理系统，可以提供安全态势感知、报表管理、日志审计、集中告警管理等功能。上网行为管理：华为ASG5320ASG5000系列上网行为管理产品是华为面向各类企业、政府、大中型数据中心以及各类无线非经营性场所推出的业界领先的综合上网行为管理产品。该系列产品可深度识别、管控和审计IM聊天软件、P2P下载软件、炒股软件、网络游戏应用、流媒体在线视频应用等近千种常见应用，并利用多级流控、精准阻断、智能路由等技术提供强大的带宽管理特性。配合创新的网络应用行为精细化管理功能和清晰的易管理日志等功能。该产品可以帮助企业及各类机构提升员工工作效率、营造安全办公环境，为用户提供一套综合、完善的上网行为审计解决方案。固定接口ASG5320：12GE+12SFP网络行为审计识别主流应用，访问控制精度到应用行为，例如：可区分QQ的登录、收发消息，语音，发文件等行为URL审计千万级URL库，每周自动更新SSL解密提供加密网站、加密网站搜索内容、加密邮件解密功能。用户识别支持内置账号、第三方LDAP/Radius/AD域认证、微信认证、短信认证、Portal认证、APP认证、混合认证等应用控制基于用户、用户组、IP、IP组、应用、时间、端口、应用动作、URL、恶意URL等因素，提供灵活的控制策略流量控制基于用户、用户组、IP、IP组、应用、时间、端口、链路等维度提供带宽保障、带宽限制、每用户/IP带宽限制、带宽优先级、流量时长、流量总额等带宽调控手段内容过滤论坛贴吧、文件、邮件外发内容审计和过滤日志查询提供上网内容/文件查询，支持本地导出日志增值营销支持应用缓存、广告推送、用户行为画像等营销类功能攻击防护防护ARP、端口扫描、FLOOD、异常包、漏洞、缓冲溢出、木马等攻击病毒过滤启发式检测，可迅速检出超过百万种病毒安全互联提供标准IPSecVPN，支持与同系列产品快速对接IPSecVPN核心交换机：华为S7706S7700系列是华为公司面向下一代企业网络架构而推出的新一代高端智能路由交换机。该产品基于华为公司智能多层交换的技术理念，在提供稳定、可靠、安全的高性能L2~L4层交换服务基础上，进一步提供MPLSVPN、业务流分析、完善的HQoS策略、可控组播、资源负载均衡、一体化安全等智能业务优化手段，同时具备超强扩展性和可靠性。S7700系列广泛适用于园区网络、数据中心核心/汇聚节点，可对无线、话音、视频和数据融合网络进行先进的控制，帮助企业构建交换路由一体化的端到端融合网络。产品特性强大的业务处理能力，提升网络架构扩展性超高万兆和100G端口密度，单台设备最大支持576个10GE端口，160个40GE端口，80个100GE端口，充分满足多媒体视频会议、数据访问等大带宽应用需求。多业务路由交换平台，满足企业接入、汇聚、核心业务承载要求，支持无线、语音、视频和数据应用，为企业提供高可用、低时延、全业务的一体化网络解决方案。支持分布式L2/L3MPLSVPN功能，支持MPLS、VPLS、分层VPLS、VLL，满足企业VPN等接入需求。完善的二、三层组播协议，支持PIMSM、PIMDM、PIMSSM、MLD、IGMPSnooping，满足多终端高清视频监控和视频会议接入需求。运营级高可靠性设计，可视化故障诊断S7700具备超越5个9的高可靠性，主控、电源、风扇框等关键部件采用冗余设计，所有模块均支持热插拔。S7700采用创新性CSS交换网集群技术，克服了业界普遍采用的线卡集群跨框多次交换，交换效率低下的架构难题，同时可以通过跨框链路聚合提高链路的利用率，并消除单点故障。S7700支持业务口集群技术，普通业务端口可以复用为集群端口，使端口应用更加灵活。S7700支持快速自愈保护技术HSR(High-speedSelfRecovery)，独家实现端到端IPMPLS承载网50ms倒换保护，进一步提升网络可靠性。专用的故障检测定位子卡，提供硬件BFD，提供3.3ms高精度硬件级以太OAM功能，802.3ah、802.1ag和ITU-Y.1731标准协议，网络故障发生时能够在第一时间检测所有终端Session联通性，图形化网管故障诊断界面，设备节点、链路自动遍历，实现网络快速故障检测与定位。冗余控制引擎间主备无缝切换，设备优雅重启实现NSF无中断转发。支持ISSU业务运行中软件升级，设备软件升级过程中确保关键业务和服务不中断。高性能IPv6业务能力，IPv4到IPv6平滑升级S7700软硬件平台均支持IPv6，取得工信部IPv6入网认证和IPv6Ready第二阶段金色认证。支持IPv4/IPv6双协议栈，支持多种隧道技术，支持IPv6静态路由、RIPng、OSPFv3、BGP+、IS-ISv6、IPv6组播，满足IPv6独立组网和IPv4/IPv6混合组网要求。全方位安全保护，应对企业内外部安全威胁S7700支持MACsec，提供逐跳设备的数据安全传输，适用于政府、金融等对数据机密性要求较高的场合。NGFW新一代防火墙业务处理板，在提供传统防火墙、身份认证、Anti-DDOS等基础防御功能外，同时支持IPS、反垃圾邮件、Web安全、应用控制等专业安全功能。提供完善的NAC解决方案，支持MAC地址认证、Portal认证、802.1x认证、DHCPSnooping触发认证多种认证方式，有效应对哑终端接入、移动设备接入和集中式IP地址分配等多种接入方式的安全挑战，确保企业网络安全。提供2级CPU保护机制，支持1KCPU硬件保护队列，可实现数据和控制的分离处理，防止拒绝服务攻击、非法接入以及控制平面过载等安全威胁，提供业界领先的一体化安全解决方案。规格指标S7706交换容量19.84/86.4Tbps包转发率2880/26400Mpps主控板槽位2交换网槽位2（主控集成）业务槽位6无线管理支持随板AC支持AP接入控制、AP域管理和AP配置模板管理支持射频模板管理、统一静态配置和集中动态管理支持WLAN基本业务、QoS、安全和用户管理支持AC功能分层部署用户管理支持统一用户管理支持PPPoE、802.1X、MAC、Portal认证方式支持基于流量和时长计费方式支持分组分域分时授权方式VLAN支持4K个VLAN支持Access、Trunk、Hybrid方式，支持LNP链路类型自协商支持defaultVLAN支持VLAN交换支持QinQ、增强型灵活QinQ支持基于MAC的动态VLAN分配ARP支持256KARP表项MAC地址功能支持1MMAC地址表项支持MAC地址自动学习和老化支持静态、动态、黑洞MAC表项支持源MAC地址过滤支持基于端口和VLAN的MAC地址学习限制环网保护技术支持STP(IEEE802.1d)，RSTP(IEEE802.1w)和MSTP(IEEE802.1s)支持SEP智能保护协议支持BPDU保护、Root保护、环路保护支持BPDUTunnel支持ERPS以太环保护协议（G.8032）IP路由支持1MIPv4路由表项支持RIP、OSPF、ISIS、BGP等IPv4动态路由协议支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6动态路由协议组播支持128K组播路由表项支持IGMPv1/v2/v3、IGMPv1/v2/v3Snooping支持PIMDM、PIMSM、PIMSSM支持MSDP、MBGP支持用户快速离开机制支持组播流量控制支持组播查询器支持组播协议报文抑制功能支持组播CAC支持组播ACLMPLS支持MPLS基本功能支持MPLSOAM支持MPLSTE支持MPLSVPN/VLL/VPLS可靠性支持LACP、支持跨设备E-Trunk支持VRRP、BFDforVRRP支持BFDforBGP/IS-IS/OSPF/静态路由支持NSF、GRforBGP/IS-IS/OSPF/LDP支持TEFRR、IPFRR支持以太网OAM802.3ah和802.1ag支持快速自愈保护技术HSR支持ITU-Y.1731支持DLDP支持运行中软件升级ISSUQoS支持256KACL支持基于Layer2协议头、Layer3协议、Layer4协议、802.1p优先级等的组合流分类支持ACL、CAR、Remark、Schedule等动作支持PQ、WRR、DRR、PQ+WRR、PQ+DRR等队列调度方式支持WRED、尾丢弃等拥塞避免机制支持5级HQoS支持流量整形配置与维护支持敏捷零配置部署支持Console、Telnet、SSH等终端服务支持SNMPv1/v2c/v3等网络管理协议支持通过FTP、TFTP方式上载、下载文件支持BootROM升级和远程在线升级支持热补丁支持用户操作日志支持OPS安全和管理802.1x认证，Portal认证MACSec支持NAC支持RADIUS和HWTACACS用户登录认证命令行分级保护，未授权用户无法侵入支持防范DoS攻击、TCP的SYNFlood攻击、UDPFlood攻击、广播风暴攻击、大流量攻击支持1KCPU通道队列保护支持ICMP实现ping和traceroute功能支持RMON支持ServiceChain支持安全启动（需使用支持安全启动的主控板）时间同步支持1588v2支持同步以太增值业务能力支持Firewall功能支持NAT功能支持NetStream功能支持IPSec功能支持负载均衡功能支持无线AC功能支持IPS入侵防御系统互通性VBST基于VLAN生成树协议（和PVST/PVST+/RPVST互通）LNP链路类型协商协议（和DTP相似功能）VCMPVLAN集中管理协议（和VTP相似功能）绿色节能支持802.3az能效以太网机箱尺寸mm（宽×深×高）442×489×442，10U机箱重量（空配）15Kg工作电压DC：–40V～–72VAC：90V～290V整机最大功耗2200W整机最大POE功率8800W核心交换机：华为无线控制器AC6005AC6005接入控制器是华为推出的针对中小型企业的小型盒式无线接入控制器，支持有线无线一体化接入，应用于中小型企业及分支园区覆盖或企业办公网络等场境。高容量、高性能拥有8个GE口，提供4Gbit/s的转发能力，可管理256个AP，接入2K无线终端使用灵活灵活的数据转发方式和用户权限控制，支持直接转发、隧道转发，并提供基于用户和角色的访问控制策略控制能力网络运维方式丰富丰富的网络运维方式，可通过网管eSight、WEB网管、命令行（CLI）进行维护以AP组为中心的模板化配置，简化配置，提高配置效率以AP组为中心，常用参数默认选中，无需预先配置，简化配置步骤；针对业务差异小的配置，支持参数复制功能，仅需修改差异配置，提高配置效率。一键式诊断，解决日常网络80%的网络故障基于用户、AP、AC三个维度的一键式智能诊断，支持实时与定时诊断，并且针对故障问题提供可行性处理建议。内置应用识别服务器ˉ支持4~7层应用识别，可识别1600多种应用。包括LYNC/Facetime/YouTube/Facebook等常见办公应用与P2P下载应用。ˉ支持基于应用的策略控制技术，包括流量限制、流量阻断、优先级调整等策略。ˉ支持应用识别库在线更新升级，无需升级软件版本。完备的高可靠性设计ˉ支持环境监控开关量接口和板内温度探测器，实时监控AC6005运行周围的环境。ˉ支持AC1+1热备、N+1备份模式，业务不中断。ˉ支持基于LACP（LinkAggregationControlProtocol）、MSTP（MultipleSpanningTreeProtocol）的端口冗余备份。大容量、高性能设计ˉAC6005最大可管理256个AP，满足中小型园区的管理需求。ˉ拥有8个GE口，提供20G的交换容量以及业界同规格产品最大4Gbit/s的转发能力。ˉ支持2048个用户管理能力，保证单AP100个用户同时传输数据。角色多样ˉAC6005-8-PWR提供8口PoE或4口PoE+供电能力，可为直连AP供电，无需新增POE交换机。ˉ内置Portal/AAA服务器，可为1K用户提供Portal认证/802.1x服务。组网灵活ˉAC支持直连式，旁挂式和桥接/Mesh组网模式，同时支持数据集中转发和本地转发模式。ˉ支持跨二层、三层AP/AC间组网，同时支持AP在私网、AC在公网的NAT穿越部署。ˉ兼容管理华为全系列802.11n和802.11acAP，实现802.11n和802.11acAP的混合组网，保护用户投资。丰富的操作接口ˉ6GE+2GEComboˉ1个RJ-45维护串口ˉ1个USB维护串口接入交换机：华为S1720-10GW-PWR-2P/S1720-28GWR-PWR-4PS1700系列交换机提供简单便利的安装维护手段和丰富的业务特性，助力用户打造安全可靠的高性能网络，可广泛应用于中小企业、网吧、酒店、学校等以太接入场景。根据设备支持的不同管理方式。Web管理型交换机：支持通过Web浏览s器管理和维护设备，提供了易操作、友好的人机界面。款型丰富同时提供无管理、Web管理及全管理等系列产品，可满足客户不同应用场景需求。静音节能支持端口低耗电闲置模式，大幅降低功耗；采用无风扇静音设计，降低整机功耗，同时让您免除噪音的烦扰安全，无阻塞转发丰富的安全特性，802.1x、Portal、MAC等安全认证方式；提供二层线速交换能力，所有端口无阻塞转发AP：华为AP3010DN-v2AP3010DN-V2是华为公司推出的经济适用级802.11n/ac产品，美观实用，适合部署在中小型企业、咖啡厅、休闲中心等商业环境。最新一代802.11ac芯片技术，2.4GHz和5GHz双频设计；支持2×2MIMO，双频速率最高可达1.167Gbps；信号增强设计，覆盖范围提升一倍；整机最大用户数达到128个，超强用户接入能力。兼容IEEE802.11a/b/g/n/ac标准最高速率达1.167Gbps支持最大合并比（MRC）支持11n波束成形（beamforming）支持最