机场无线部署解决方案.doc

机场无线覆盖解决方案目录1项目概况41.1项目背景41.2项目目标42术语解释43总体设计方案73.1无线网络组网规划73.2网络高可靠性93.2.1AC 冗余备份93.2.2DHCP Server备份93.3无线安全设计103.3.1WIFI接入及认证过程103.3.2无线数据加密113.3.3AC与AP之间的安全认证113.3.4其它无线安全控制技术123.4无线网络管理123.4.1网络发现133.4.2拓扑管理133.4.3无线网络规划133.4.4无线网络监控133.4.5无线网络安全133.4.6AC性能管理143.4.7网络流量分析143.4.8告警管理143.4.9报表呈现143.4.10软件管理143.4.11配置管理143.4.12资产管理153.4.13任务和调度153.4.14日志管理153.4.15安全管理153.5QOS部署153.5.1QOS总体框架153.5.2QoS高优先级业务数据优先保证163.5.3管理报文高优先级处理173.5.4通过client QoS修改用户的优先级173.5.5基于用户的限速173.6POE供电方案183.6.1POE供电模块供电183.6.2POE交换机供电193.7网络设备要求193.7.1无线AP193.7.2AC控制器203.7.3AAS服务器223.7.4Portal服务器253.7.5NetManager网管261 项目概况1.1 项目背景暂无1.2 项目目标暂无2 术语解释 WLAN：无线局域网络(Wireless Local Area Networks； WLAN)是相当便利的数据传输系统，它利用射频(Radio Frequency； RF)的技术，取代旧式碍手碍脚的双绞铜线(Coaxial)所构成的局域网络，使得无线局域网络能利用简单的存取架构让用户透过它，达到信息随身化、便利走天下的理想境界。 无线AP：AP是(Wireless) Access Point的缩写，即(无线)访问接入点。如果无线网卡可比作有线网络中的以太网卡，那么AP就是传统有线网络中的HUB，也是目前组建小型无线局域网时最常用的设备。 瘦AP: 无线接入点(AP，Access Point)也称无线网桥、无线网关，也就是所谓的“瘦”AP。此无线设备的传输机制相当于有线网络中的集线器，在无线局域网中不停地接收和传送数据;任何一台装有无线网卡的PC均可通过AP来分享有线局域网络甚至广域网络的资源。理论上，当网络中增加一个无线AP之后，即可成倍地扩展网络覆盖直径;还可使网络中容纳更多的网络设备。每个无线AP基本上都拥有一个以太网接口，用于实现无线与有线的连接。 AC：无线接入控制服务器， 接入控制器(AC) 无线局域网接入控制设备，负责把来自不同AP的数据进行汇聚并接入Internet，同时完成AP设备的配置管理、无线用户的认证、管理及宽带访问、安全等控制功能。 POE：POE (Power Over Ethernet)指的是在现有的以太网Cat.5布线基础架构不作任何改动的情况下，在为一些基于IP的终端（如IP电话机、无线局域网接入点AP、网络摄像机等）传输数据信号的同时，还能为此类设备提供直流供电的技术。POE技术能在确保现有结构化布线安全的同时保证现有网络的正常运作，最大限度地降低成本。 802.11g：在2.4GHz频段，是一种能支持较高数据传输速率（154Mbit/s），采用微蜂窝、微微蜂窝结构，自主管理的计算机局域网络。 802.11i：无线安全标准，wpa是其子集，规定使用802.1x认证和密钥管理方式，在数据加密方面，定义了TKIP、CCMP和WRAP三种加密机制。 802.11n：WiFi联盟为了实现高带宽、高质量的WLAN服务，使无线局域网达到以太网的性能水平，802.11任务组制定了N（TGn），将无线局域网的传输速率从802.11a和802.11g的54Mbps增加至300Mbps以上，最高速率可达600Mbps，采用OFDM技术、MIMO（多入多出）技术。 WEP：WEP是Wired Equivalent Privacy的简称，有线等效保密（WEP）协议是对在两台设备间无线传输的数据进行加密的方式，用以防止非法用户窃听或侵入无线网络。 WPA：英文缩写: WPA (Wi-Fi Protected Access) WPA是一种基于标准的可互操作的WLAN安全性增强解决方案，可大大增强现有以及未来无线局域网系统的数据保护和访问控制水平。WPA源于正在制定中的IEEE802.11i标准并将与之保持前向兼容。 WPA2：WPA2 是经由 Wi-Fi 联盟验证过的 IEEE 802.11i 标准的认证形式。WPA2 实现了 802.11i 的强制性元素 1，特别是 Michael 算法由公认彻底安全的 CCMP 讯息认证码所取代、而 RC4 也被 AES 取代。 WPA/WPA2 企业版：Wi-Fi 联盟已经发布了在 WPA 及 WPA2 企业版的认证计划里增加 EAP（可扩充认证协定）的消息，这是为了确保通过 WPA 企业版认证的产品之间可以互通。先前只有 EAP-TLS（Transport Layer Security）通过 Wi-Fi 联盟的认证。 SSID：SSID是Service Set Identifier的缩写，意思是：服务集标识。SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络，每一个子网络都需要独立的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入本网络.。 无线漫游：当网络环境存在多个AP，且它们的微单元互相有一定范围的重合时，无线用户可以在整个WLAN覆盖区内移动，无线网卡能够自动发现附近信号强度最大的AP，并通过这个AP收发数据，保持不间断的网络连接，这就称为无线漫游。 数字证书：数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，它是由一个由权威机构-CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书是一种权威性的电子文档，由权威公正的第三方机构，即CA中心签发的证书。 3 总体设计方案3.1 无线网络组网规划n 组网说明 在机场核心交换机分别旁挂1台或多台AC无线控制器，通过1+1方式实现冗余备份，在机场无线热点区域部署多个瘦AP 。根据现有机场有线的网络的部署情况，无线AP与AC控制器间通过二层或三层实现互联互通，AC工作在集中转发模式，所有无线终端的业务数据通过AC进行集中转发。 机场无线AP手动配置自身IP地址，与AC 的IP地址实现隧道互联，无线终端的IP地址通过DHCP 动态获取，网关指向机场的核心交换机，建议部署两台DHCP服务器，在核心交换机上配置DHCP 中继，分别指向两台DHCP服务器，实现对DHCP服务器的冗余备份。 机场无线AP采取WPA2的无线加密认证方式。无线终端上行的802.11的数据报文通过AP重新封装到802.3格式以太报文中，直接发给AC，由AC进行过滤识别后进行转发，这个过程实现了WLAN无线的数据和现有业务的数据隔离。J 注意事项：因无线的数据均采用集中转发方式，所以在无线终端间进行数据访问时，也需要数据通过AC集中转发而访问，增加了不必要的网络开销，我们建议禁止无线终端间的数据访问业务。n 设备配置说明设备名称部署设备型号数量设备说明无线控制器WNC6000-1000-ACX台AC控制器，支持1024个AP接入室内APWA2000-213W-PEX台单频、单模，室内2.4G增强型室内AP。 802.11 （ b 、 g 、 n ） ，外置天线，100mw 放装型 ， POE 受电方式。支持wapi 。室外APWA2000-362W-PTEX台WA2000-362W-PTE,无线,双频、双模，2.4G、5.8G增强型室外AP。 802.11 （ a、b 、 g 、 n ） ，外置天线，500mw +500mw放装型 ， PTE 受电方式。支持wapiAAS服务器Access Authentication server1迈普设备接入认证服务器(基本型、含硬件)，2个以太口AAS-L-2000X2000个License认证用户数，单一系统支持多个License累加Portal软件Portal Authentication Server1Portal认证服务器中文版短信网关Maipu SMS-CN1MaipuSMS-CN、电信制式短信网关无线网管软件Maipu NetManager1多业务智能管理平台(专业版，中英文版，无最多可管理网络设备数量限制)NM-WlanManager1无线业务管理组件NM-L-500软件许可，每个许可可增加500个设备节点授权许可3.2 网络高可靠性3.2.1 AC 冗余备份AC无线控制器采用，1+1冗余备份方式，在核心交换机分别旁挂1台或多台AC无线控制器，通过1+1方式实现冗余备份，保证了整个无线网络的高可靠性。根据无线AP的规模来确定AC的容量。在备机房放置同等数量和容量的AC，实现完备的1+1冗余备份。1+1冗余备份方式，需要从两个层面来保证设备和网络的冗余可靠性。首先， AC和备份AC之间的管理通道保持有快速心跳检测机制，心跳时间根据网络的质量可以配置，建议为200ms到5s之间。心跳报文在两端AC和整个通道的网络设备之间采用高优先级保证。同时，主AC和备份AC之间能定期和实时的同步AP，client的各种状态。这样，备份AC能实时监控主AC的活动状况。一旦主AC出现宕机等事件，备份AC收不到主AC的心跳报文，立即通知该主AC管理的原AP，实行切换。其次，AC和所管理的AP之间的管理通道保持有心跳检测机制。这种机制中除了检测AC的状态之外，还可以检测整个网络通道是否可达。心跳时间根据网络的质量可以配置，建议为5s到20s之间。1+1的备份方式在部署时，AP需要配置主用AC和备用AC的地址列表，我们采用静态指定的方式，在AP上写入主备AC的IP地址，当主AC出现宕机或者主机房网络出现故障，访问不可达的情况下，AP主动发现并切换到备AC上。3.2.2 DHCP Server备份DHCP SERVER备份实现机制 ：在机场主机房搭建主 DHCP SERVER和备用DHCP SERVER；通过核心交换机做DHCP RELAY ，分别指向主、备DHCP SERVER，在正常情况下，用户端从主DHCP服务器获取地址，当主 DHCP SERVER宕机的情况下，用户从备 DHCP SERVER获取地址 。该功能的实现需要在核心交换机上配置两条DHCP RELAY命令 。3.3 无线安全设计由于无线接入的开放性，因此无线接入安全是部署无线网络的重中之重。当前兼容性最好、可实现性最高的无线安全接入方式就是结合数字证书的WPA2身份认证及数据加密技术。3.3.1 WIFI接入及认证过程为满足用户可以更方便快捷的使用WIFI热点，并且又能够对接入用户合法性进行确认，本方案设计采用AAS+Portal+短信方式认证。n Web认证机场WIFI用户使用手机或者pad自动搜索到机场WIFI热点，在连接的时候会自动重定向到本地Portal页面上，给用户推送一个Web认证界面。当用户再次通过HTTP协议上互联网时，会触发Portal认证，后端的Portal认证服务器会推送一个Web认证页面到用户终端上。用户在WEB认证界面填写自己的手机号，点击获取随机密码，则用户填写的手机号对应的手机会收到一条短信，获取到一个随机密码，用户通过该手机号码及短信收到的随机密码进行Web认证。认证通过后系统允许用户终端上网，并且返回一个认证通过的页面，再次根据用户所在的公交车位置信息判断推送不同的广告信息；n AAS服务器AAS是基于AAA的认证系统，在本方案中主要功能为配合Portal服务器为用户提供身份认证。AAS也可以通过代理方式与运营商或者上级AAA系统进行对接，能够直接与营运商的用户库（如手机号等信息）共享，避免用户信息多点维护。AAS认证的用户名基于运营商用户库，所以有效的避免了其他运营商的用户接入占用资源的问题。该系统允许所有运营商的用户能使用。3.3.2 无线数据加密WPA2使用加密性能更好、安全性更高的加密算法：AES-CCMP（Advanced Encryption Standard - Counter mode with Cipher-block chaining Message authentication code Protocol，高级加密标准计数器模式密码区块链接消息身份验证代码协议），其主要有如下几点改进：使用128位AES加密算法实现机密性保护，数据完整性保护，自动重新生成密钥对以派生新的数据加密密钥，使用数据包编号字段实现防重播。AES-CCMP在802.1X身份验证过程动态创建一组主从密钥，并由该从主密钥对和其他值派生出数据加密所需的临时密钥，避免了WPA-PSK主密钥需事先定义而可能泄露的弊端。3.3.3 AC与AP之间的安全认证为了保证AC与AP之间的访问安全，尤其是防止黑客或者攻击者从市场上购买同一品牌的AP，私自接入机场网络，进行各种高级攻击。因此需要加强AC和AP之间的安全认证。最简单的认证是MAC地址认证，部署过程中可以将系统中的合法AP的MAC地址统一记录在Radius或者AC上。AP在跟AC关联进行集中管理时，都需要在AC上通过mac地址认证才能允许AP接入无线网络；其次是密码认证，第一次部署过程中需要在AP上设置相关密码；AP在跟AC关联进行集中管理时，都需要在AC上通过密码认证才能允许AP接入无线网络；注：前面两种方式都是单向认证，在AC上认证接入AP；还有一种更安全的方式是数字证书认证，我们采用的X.509数字证书认证方法。该认证方法是双向认证，除了AC上认证AP的证书，同时在AP上还需要验证AC的证书，充分保证网络设备的合法性。在首次部署的时候，需要将相关证书下发到设备上。AP运行过程中，跟AC关联进行集中管理时，就会启动该双向认证，成功后才能允许AP接入无线网络。3.3.4 其它无线安全控制技术其它无线安全技术主要体现如下几方面： SSID隐藏：隐藏无线对外服务标识，类似在开放的环境中隐藏接入端口，保护无线接入。 无线用户接入时段控制：根据业务需要，限制终端用户通过无线接入的时间区间，可以实现在非工作时间外禁止接入网络。 无线用户访问权限控制：可以在无线接入控制器上实现ACL控制，放行移动终端业务的目标地址，阻断其它应用，通过ACL控制访问权限。 无线用户速率控制：通过限制每个无线终端的速率，防止各种恶意或无意的高速率访问，确保其它用户通过无线接入的接入速率、接入稳定性。 无线用户相互隔离：对通过无线接入的终端实现隔离，阻断相互之间的通信，不仅实现安全管理，也可避免终端之间的相互影响。3.4 无线网络管理整个无线网络统一进行无线网络设备管理，无线网络的可管理性在整体项目中将起到非常重要的作用。根据机场的应用需求，我们提出实现无线网络的“云管理”方案。简单来说，无线网络管理分成以下三层管理架构： 网管软件对AC的管理：主要聚焦在网管软件对各个AC的状态监控，并对AC进行权限管理及监控。 网管软件对AP的管理：主要聚焦在网管软件对分布在全国任意网点的AP的追溯管理，包括每台AP下的终端接入数，终端流量，终端应用。 网管软件对无线终端的管理：主要聚焦在网管软件对接入到全国任意网点的所有无线终端的管理，包括终端流量等等。通过以上三方面不同层次的网络管理，使得无线网络的管理更可控。3.4.1 网络发现基于IP范围发现AC，手动添加设备基于AC发现无线网络，自动添加设备3.4.2 拓扑管理支持网络拓扑图的自动生成及拖拉缩放，支持网络拓扑分层分级导航和管理及自动更新支持网络拓扑图的手动定制及定制连接支持物理连接和逻辑连接，并在拓扑上显示连接属性，如端口、贷款及连接状态3.4.3 无线网络规划支持无线分级地图3.4.4 无线网络监控支持在各AC管辖下的无线AP列表支持列出客户端列表:包括活动客户端列表、客户端列表历史、信噪比等3.4.5 无线网络安全支持统一安全策略：统一安全策略的创建及安全策略的下发和部署支持无线安全防护：包括Rogue AP列表，Rogue Client列表，Rogue设备反制及无线入侵事件列表等3.4.6 AC性能管理支持AC性能监控，及性能数据的管理3.4.7 网络流量分析支持网络流量数据采集标准(Cisco NetFlow, sFlow等)支持带宽使用统计网络性能瓶颈发现输出网络流量报告，支持基于图形化和数据表格方式的网络流量详细报告3.4.8 告警管理支持告警定义，告警呈现，告警管理及相应的告警操作。3.4.9 报表呈现支持表格和图形混合展现的报表呈现方式可手动、自动生成报表，并自动发送报表3.4.10 软件管理支持软件包管理及AC、AP软件自动升级3.4.11 配置管理支持批量配置管理，配置文件管理3.4.12 资产管理支持设备资产管理，设备资产信息收集和展示，并定期自动同步3.4.13 任务和调度支持任务的查询/修改/制定，从而实现按时批量任务实现支持一次性任务调度、周期性任务调度，并输出任务执行日志，并回报任务执行结果通知3.4.14 日志管理可记录日志，包括网管日志，网元操作日志，安全日志及网元日志等可操作日志，包括设置、转储、查询和打印等并可对日志进行定期清理3.4.15 安全管理可对用户组进行安全管理，包括用户管理、管理域等可实现第三方认证和授权，支持RADIUS，TACCS,LDAP3.5 QOS部署3.5.1 QOS总体框架通过WMM协议，使802.11在链路层和MAC层提供支持QoS的无线网络接入服务，加上有线网络原有的应用层、IP层的QoS策略，提供了无线设备端到端的QoS支持能力，以无线终端Client1发送报文到Client2为例说明Qos总体框架。总体框架中提供两大部分QoS部署： 一是从client到AP之间的无线QoS部署，该部分主要是对于空中的无线报文（802.11报文）进行各种QoS管理和配置。对于语音和视频等高优先级流量进行调度； 二是从AP到AC之间的有线QoS部署，该部分主要是对于以太网报文（802.3报文）进行各种QoS管理和配置。因为无线报文达到AP后，就接入了有线网络，报文也就是从802.11格式转为802.3格式，进行有线网络转发。3.5.2 QoS高优先级业务数据优先保证WMM QoS到802.3的CoS之间的映射：AP收到802.11报文后，AP将其中WMM QoS字段转换为802.3的CoS字段的值，保证无线用户的优先级信息能够保持不变，高优先级数据优先处理。内部优先级到外部优先级的映射（未来实现）：数据被封装到隧道后，内部的优先级不能被其它网络设备识别，因此必须将内部的优先级映射到外部网络。AP在封装隧道数据时，会把内部优先级映射到隧道数据的外部，保证其它网络设备也能按照用户数据的优先级进行转发。AC对于QoS优先级的处理：AC收到隧道数据后，首先解封装，根据内部CoS的优先级进行数据调度，保证高优先级的数据得到优先转发。802.3的CoS到WMM QoS之间的映射：AP收到来至有线网络的802.3报文后，AP将其中802.3的CoS字段转换为WMM QoS字段的值，对于高优先级的数据优先发送。3.5.3 管理报文高优先级处理对AP和AC之间的管理报文,即端口号为57776的TCP报文和端口号为57778/57779的UDP报文，设置高优先级，可以保证管理报文的高优先转发。3.5.4 通过client QoS修改用户的优先级AP上的client CoS功能可以根据优先级策略直接修改用户的优先级。AP收到802.11数据后，匹配用户的IP地址，根据用户的IP匹配对应的策略，根据策略设定的优先级改写原有的优先级，保证特定用户的数据得到特定的优先级。配置方式如下： 配置分类表（classmap）：建立一个分类规则，可以按照ACL、CoS、VLAN ID、IPV4 Precedent、DSCP、IPV6 FL来分类。之后，对于不同类别的数据流采取不同的策略。 配置策略表（policymap）：对数据流进行分类之后，就可以建立一个策略表，之后就可以将其对应一个先前建立的class-map，进入策略分类表模式，然后就可以对于不同的数据流采取不同的策略，如带宽限制、优先级降低、分配新的DSCP值等等。也可以定义一个集合策略，这个策略可以在同一个策略表内部被多个策略分类表使用。 将QoS应用到AP或者AC：如果需要在AP上启动QoS，则在AP profile文件中增加配置的策略应用。如果需要在AC上启动QoS，将策略绑定到AC的端口。3.5.5 基于用户的限速基于用户的限速，配置命令通过AC下发到AP上，用AP来实现每一个终端速度的限制。实现原理是对用户的数据流量进行精确的统计，按照令牌桶的原理，单位时间内，每个用户都会分配到指定大小的令牌，用于流量允许通过。如果超过了用户限制的带宽，令牌就会用完，该用户的数据报文将会丢弃。每个用户都会有令牌桶，因此可以精确到每个用户的限速。限速粒度为64Kbps。对于每个用户的上行和下行报文，设计有单独的令牌桶，可以分别控制和进行速率限制。限速的配置可以从两个方面进行，如果对于所有用户限速都相同的话，可以从AC上通过配置AP的client qos模块中ratelimit参数，统一下发给AP。如果对每个用户的限速不同的话，因为用户数比较多，在AC上进行统一配置明显不行，需要在Radius上对每个用户的速率进行单独设置。在用户进行统一认证的时候，将会把限速参数动态的下发给该用户所在的AP。3.6 POE供电方案3.6.1 POE供电模块供电若热点区域的无线AP部署数量较少，建议采用独立的POE供电模块进行供电，无需单独部署POE交换机。3.6.2 POE交换机供电若无线热点区域的无线AP部署数量较多，为实现设备的集中供电管理，建议采用POE供电交换机进行供电。3.7 网络设备要求3.7.1 无线AP产品型号无线特性接口类型物理特性WA2000-213W-PE100mW 802.11b/g/n1个10/100/ 1000 Mbps 电口、1个控制口250mm*222mm*58mmWA2000-323W-PE500mW 802.11b/g/n500mW 802.11a/n209mm*125mm*25mm支持标准TCP/IP, IPX, NetBEUI 、IEEE 802.11b (WiFi Compatible), IEEE802.11g (WiFi Compatible) ,IEEE802.3/u 10/100Base-Tx RJ-45, IEEE802.3af (Power Over Ethernet) ,IEEE802.1p (QoS Priority), IEEE802.1q (VLAN) ,IEEE802.1x (Security Authentication) ,IEEE802.11e (Wireless QoS), IEEE802.1d (Spanning Tree Protocol)、11NHT 保护模式、A-MPDU 聚合、A-MSDU 聚合、短 GI、扩展信道保护模式、信道模式20M/40M工作模式AP, Bridge无线特性频率自动调节、自动功率调整、Smart WDS、输出功率调节QOS负载均衡（流量、用户数）、带宽控制、链路检、WMM、VoIP接入数量控制管理特性Web、SSH、CLI、SNMP、管理代理、capwap、TR069诊断功能用户列表、临近AP扫描、IP ping 测试、统计链路完整性支持路由支持安全特性Radio开关、WEP加密（64 / 128 ）、TKIP、WAPI、802.1x、MAC控制、station隔离、防XDos攻击、WPA(2)-PSK、WPA(2)、小包过滤、广播风暴控制电源POE、220V环境特性工作温度0+50工作湿度 5 to 95% RH储存温度 -10 +60存储湿度5 to 95% RH3.7.2 AC控制器型 号WNC6000-1000-AC硬件接口12个10/100/1000M电口、8个千兆SFP接口（需配SFP千兆光模块），2个万兆SFP+(需配SFP+万兆光模块)。管理AP数1024转发能力80G软件特性支持协议TCP/IP、IPX、NetBEUI、IEEE802.3/u 10/100Base-Tx RJ-45, IEEE 802.3z 1000BaseX 、802.1d、802.1p、802.1q、802.1x、802.11、802.11b、802.11a、802.11g、802.11h、802.11i、802.11e、802.11n、CAPWAP、DHCP Server、DHCP Client、DHCP Relay、DNS Cient、NTP（Server and Client）、VRRP等IP路由RIPv1/v2、OSPF、BGP、Static Routing、RIPng、OSPFv3等组播IGMP v1/v2/v3、PIM-SM、PIM-DM、PIM-SSMIPv6TCPv6、UDPv6、ICMPv6、Pingv6、TraceRTv6、Telnetv6、DNSv6、IPv6 ND、IPv6 PMTU、IPv6 ACL、IPv6静态路由MPLS支持LDP、支持mpls转发、MPLS ping、MPLS tracerouteAP发现AC的方式静态IP发现、DHCP发现、DNS发现等漫游支持AC内漫游、支持跨AC间漫游、支持二/三层漫游射频管理Radio开关、无线模式选择(802.11a/b/g/n)、手动或自动信道选择、手动或自动功率调整、自动速率选择、支持WMM、强制STA漫游、支持Multi BSSID安全特性WEP(WEP64/WEP128/WEP152)、WPA-PSK、WPA2-PSK、WPA、WPA2、WAPI、802.1X认证、Web认证（支持内置Portal）、PPPoE认证、防DoS攻击、ACL控制（支持基于MAC地址和IP地址的接入控制）、STATION二层隔离备份功能1+1、N+1、N+N设备管理Web、SNMP（v1/v2c/v3）、Telnet、SSH、SHELL物理指标电源AC 220V； RPS -48V尺寸440mm*254mm*66.6mm环境参数工作湿度（非凝露）5%90 %储存温度-4060储存湿度（非凝露）5%90%3.7.3 AAS服务器硬件规格处理器Intel /AMD 双核3G内存4G硬盘500G固定接口2个1000M接口长宽高尺寸660 x 430 x 88 (mm)输入电压600w电源双电源互备软件规格功能点子功能功能描述接入认证Non-EAP认证PAP认证CHAP认证EAP认证EAP-MD5认证EAP-PEAP + MSCHAP V2 认证EAP-TLS 认证AD代理认证PAP认证PEAP + MSCHAPv2 认证PEAP + GTCTTLS + PAPLDAP代理认证PAP认证PEAP + GTCTTLS + PAPRadius代理认证PEAP + GTC - PAPTTLS + PAP - PAPRadius中继认证PAP 认证CHAP 认证EAP-MD5 认证EAP-PEAP + MSCHAP V2 认证EAP-TLS 认证扩展认证MAC接入认证支持基于不同SSID的MAC地址黑白名单功能认证绑定用户与wlan ssid绑定用户与接入设备（AP、交换机）MAC地址绑定用户名与证书名绑定用户与终端MAC绑定用户自动绑定前2次登录的MAC地址认证控制错误登录次数控制重复登录次数控制接入授权终端授权支持IP地址下发授权支持一个用户绑定多个IP地址支持ACL指令、VLAN配置下发支持QoS和优先级授权设备操作授权支持enable 15级授权，支持$enable$账号进行认证和授权，针对不同的用户可以绑定$enable$进行认证（不同用户该密码不同）；授权支持0-15级授权支持command授权，能够支持对管理设备的command 命名进行授权授权策略支持根据分组设置授权策略，能够支持分组方式制定AAA授权策略。如802.1x接入时间控制(时间规则保持当前AAS以实现的规则方式，基于有效期和周期日方式的策略，并且这两种策略可以叠加使用)、ip段的分配、对交换机的ACL和vlan配置下发。以上策略可以在单独的用户上配置支持代理认证用户授权，设置代理认证用户的授权规则，让不同的代理认证用户在认证后拥有对应的权限，例如：ACL、VLAN等，需要考虑授权策略优先支持基于时间授权，支持基于有效期和周期日方式的策略，并且这两种策略可以叠加使用用户管理用户组管理用户组的IP地址段范围设置、时间段有效规则配置用户配置用户数据过滤、用户账号、PAP密码、CHAP密码、分配IP地址、终端属性绑定、用户时间段有效规则等参数管理用户安全帐号用户密码策略控制用户监控在线用户的监控与管理用户统计管理统计有效用户、无效用户信息，支持Excel报表导出支持根据时间查询出即将过期的用户，并可以多选后批量重新设置有效期和密码支持根据时间段统计用户“活跃度”（登录次数），并根据“活跃度“进行排序AD用户同步从AD服务器同步用户帐号用户密码修改提供web页面，供用户自助修改密码证书管理生成证书生成服务器认证证书安装证书安装服务器证书日志管理用户登录日志管理用户登录访问日志管理管理员操作日志管理管理员操作日志管理主备服务器日志同步主备服务器日志同步数据管理数据导出数据备份导出备份数据数据导入导入数据文件数据同步主备服务器数据同步批量用户导入导入批量用户数据双机备份支持双机备份支持双机备份，保证系统可靠性支持定时从主机同步用户信息到备机，定时时间可配置;支持备机log可以实时同步到主机3.7.4 Portal服务器功能点子功能功能描述Portal接入用户身份认证Portal可接受用户认证请求，通过Portal协议与设备交互，完成认证过程，并通知用户认证结果用户主动下线用户点击web按钮，可实现主动下线，退出网络访问支持穿越NAT接入认证支持接入设备（例如：AC）在NAT后面的场景，实现NAT穿越支持动态验证码验证登录时支持动态随机验证码，防止恶意密码猜测支持通过短信获取动态密码用户在Portal登录页面输入自己的身份标识信息（身份证号或者银行卡号）、手机号后，Portal网关将身份信息送到后台服务器进行保存，然后通过短信方式下发密码给来宾用户手机，来宾用户将该密码填写在Portal界面后就可以访问无线网络资源。终端无感知认证支持用户在第一次登录输入用户名、密码登录成功后，在后续登录过程中，可直接进行登录网络，无需输入用户名和密码页面定制推送页面定制支持Portal认证成功后，由Portal服务器推送定制页面给终端，定制内容包括快速链接、广告背景页面等Portal服务器客户定制用户可在Portal服务器定制登录页面Title、图片，登陆后页面左边栏链接和主界面背景图片；用户管理查看所有在线用户信息支持查看当前所有在线用户信息，包括用户名、登录时间、使用时长；查看当前用户信息支持用户查看自己当前登录时长、登录时间信息可强制下线指定用户管理员可强制下线指定用户双机备份支持双机备份支持双Portal服务器备份，当一个Portal服务器停机后，另外一台Portal服务器可以在3秒内接替其工作3.7.5 NetManager网管软件特性网络发现基于IP范围的发现根据IP地址范围发现网络手动添加设备手动添加单个设备基于AC发现无线网络基于AC发现由AC控制的无线网络基于种子文件的发现根据种子文件发现设备自动发现自动发现迈普无线设备拓扑管理拓扑图支持分级背景地图支持定制背景地图支持拖拉移动、缩放、打印功能全屏拓扑显示支持网络拓扑分层分级导航和管理支持广域网链路拓扑发现拓扑自动更新拓扑编辑手动定制拓扑结构手动定制连接资源状态状态显示告警概现无线网络监控无线网络热点地图分层级地图支持支持拖拉定位、缩放、打印功