XX单位无线项目设计方案.doc

XX单位无线项目设计方案1.1 项目背景及需求分析XX单位，作为重要的政府机构，网络的建设要求选用先进、成熟、安全、可靠、可扩展的网络技术和网络设备。为了弥补有线网络覆盖有限、接入方式灵活差的缺陷，为了给XX单位的工作人员提供简单快捷的网络接入能力，XX单位计划建设一套无线网络。针对XX单位无线网络实际需求，本次新建的无线网络系统需要重点考虑整个系统的高可靠性、高性能和安全性。在设备选型时采用的网络产品供货商应是知名品牌，有良好的信誉。1.2 无线局域网（WLAN）概述无线局域网（WLAN）技术于20世纪90年代逐步成熟并投入商用，既可以作传统有线网络的延伸，在某些环境也可以替代传统的有线网络。对比传统的有线传输解决方案，使用WLAN网络实现数据传输具有以下显著特点：简易性：WLAN网络传输系统的安装快速简单，可极大的减少敷设管道及布线等繁琐工作；灵活性：无线技术使得WLAN设备可以灵活的进行安装并调整位置，使无线网络达到有线网络不易覆盖的区域；综合成本较低：一方面WLAN网络减少了布线的费用，另一方面在需要频繁移动和变化的动态环境中，无线局域网技术可以更好地保护已有投资。同时，由于WLAN技术本身就是面向数据通信领域的IP传输技术，因此可直接通过百兆自适应网口和企业内部Intranet相连，从体系结构上节省了协议转换器等相关设备；扩展能力强：WLAN网络系统支持多种拓扑结构及平滑扩容，可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统；随着WLAN技术的快速发展和不断成熟，目前在国内外已经具有较多的政府机构使用WLAN技术布置无线城域网，进行承载部分政府业务，诸如：电子政备、消防、公安信息等等。无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。第一代无线局域网主要是采用Fat AP，每一台AP都要单独进行配置，费时、费力、费成本；第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置，其管理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈，由于这一代技术的AP储存了大量的网络和安全的配置，包括加密的钥匙，Radius client的安全密码 (secret) 等，而AP又是分散在建筑物中的各个位置，一旦AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的，所以当用户接入数量 (IP sessions)增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。在这样的环境下，基于无线交换机技术的第三代WLAN产品应运而生。第三代无线局域网采用无线交换机和FIT AP的架构，对传统WLAN设备的功能做了重新划分，将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现，同时加入了许多重要新功能，诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。，使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。FAT AP与FIT AP两种组网方案对比1.3 无线网络建设原则结合WLAN的实际应用和发展要求，主要遵循以下系统总体原则： 实用性原则：以现行需求为基础，充分考虑发展的需要来确定系统规模。 安全性原则：对用户的安全以及网络的安全要求较高。 可靠性原则：系统设计能有效的避免单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。 成熟和先进性原则：由于WLAN应用于企业和运营网络仍然属于新新技术，需要及时将新技术引用进来，更好的开展业务，同时也要求保证网络与业务的可靠性。 规范性原则：系统设计所采用的技术和设备应符合WLAN国际标准、国家标准，为系统的扩展升级、与其他系统的互联提供良好的基础。 开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。 可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。 可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。二、XX单位网络方案2.1 无线网络系统整体建设方案整个XX单位无线网络系统结构拓扑图如下图所示：如上图所示，笔记本、台式电脑、手机、IPAD等移动设备客户端通过无线连接AP，各楼层AP分别上连到楼内的H3C S5120 POE交换机上；POE交换机通过现有以太网线路与原核心交换机互连；AC旁挂在原核心交换机上， AC对所有的AP 进行统一的配置及策略下发，而不必对AP一一去进行单独配置，同时通过网管平台提供多种用户的认证和接入功能，解决了不便于安装客户端用户的安全认证问题。在外网无线方面我们提供了先进的基于智能无线交换架构的整体解决方案，为XX单位工作人员及参加培训的人员的笔记本、手机、IPAD等移动设备提供接入网络的能力,台式机通过安装USB无线网卡的方式接入到无线网络。对终端无线接入采用WPA加密技术，并对接入用户进行web portal管理认证，只有通过了用户名和密码验证过的用户才能连接到无线网络中。本项目采用AC+FIT AP设计方案，部署WX5510E+WA2610H/WA3628i/WA2620i/WA2610X(室外)的方式组网，构建高速，高可靠的无线网络系统最高的无线接入速率达到45OM。在供电部分，AP采用POE的供电方式。POE接入交换机通过以太网线直接对AP进行供电，无需本地取电，既节省了重新布线的工作，也方便美观，对于主楼和东楼由于AP数量数多，所以这次我们直接新增5台了S5120-28C/52C-PWR 全千兆POE供电交换机，一方面提供AP的POE供电，更方面的部署，另一方面也提高网络的处理速度及安全防护；而对于老干处和会议厅由于新增的AP数量少，我们新增4个POE供电盒来供电，以节省用户的投资，并方便部署。在接入安全方面:，通过AP、无线控制器及接入交换机及UAM 用户接入管理组件组成一个立体的安全防护。接入用户需要通过网页的方式进行认证，只有合法的用户才被允许接入，不合法的用户无法接入，这大大提高了整个无线网络的安全性。同时UAM组件还能提供针对访客等临时接入账号的访客管理功能，访客管理员可创建来宾账号并申请访客接入网络服务。企业访客通过批准的访客账号访问企业网络，该账号将在超过保留时长后失效,还能对有线、无线接入用户可以提供统一的接入认证、授权功能，从而对有线、无线用户使用统一帐号进行管理。在对无线接入用户接入绑定限定的基础上，针对无线接入特性，提供了无线SSID绑定功能。在管理方面:由于无线网络的灵活性和不可见性，因此，对无线网络的管理需求也较有线网络更加强烈，而且无线网络直接面对最终用户，对管理系统稳定性、实时性、有效性要求都较高。因此，我们通过配置的WSM无线运营管理组件依托iMC智能管理平台，实现有线无线一体化的管理，在iMC系统全面的有线网络管理的基础上，为管理员提供无线网络管理能力。管理员无需重新搭建IT管理平台，即可在原有的有线网络管理系统中增加无线管理功能，与有线管理平台统一部署，节省用户投入，节约维护成本。2.1.1 无线AP设计在无线AP设计时充分考虑XX单位需求以及结合H3C多年行业无线覆盖经验，在本目建设中无线AP的设计针对不同区域采用不同无线AP进行无线覆盖，以获得更好的无线覆盖效果。2.1.2 主楼/东楼办公室无线AP设计办公室设计时考虑到办公环境的安静性，一般均采用实心建设结构设计，对于主楼和东楼这样的多办公室环境，可以采用房间室内分布式系统安装设计均存在施工复杂、施工对办公影响大。因此，在办公区我们建议采用H3C新一代入墙式无线WA2610H，每两房间部署一台H3C WA2610H无线AP，可以为客户提供良好、舒适的无线接入体验同时能够提供良好的无线网络。H3C WA2610H-GN无线接入点是杭州华三通信技术有限公司(H3C)自主研发的新一代面板式无线接入设备(以下简称AP)，可以安装在任意86mm面板的暗盒之上，不破坏原有装修，安装方便，可管理能力强。WA2610H-GN适合于学各种密集房间场所，解决了在这些场景中，传统AP布放方式信号质量不佳的问题，并极大的减少了安装成本以及实施时所带来的运营成本，WA2610H-GN内置的IEEE 802.11b/g/n 无线模块，最高支持150Mbps 传输速率，可连接笔记本、平板电脑、智能手机等无线终端设备。WA2610H 提供两个网口（其中一个可以支持POE 对外供电）和一个电话接口，满足房间VOIP、IPTV 和智能家电的扩展需求。采用内置天线隐藏指示灯设计，使房间内部的环境不受设备工作影响，卡线设计让安装更方便，符合施工人员习惯。2.1.3 大办公室/多功能厅/主任会议室无线AP设计针对大办公室/多功能厅/主任会议室这此类位置的覆盖主要是高密度接入需求。因此，我们建议在此类位置根据面积的大小直接选择H3C WA2620i-FIT和WA3628i无线AP作为该区域的无线AP，采用直放式进行安装。H3C WA3600 i系列无线产品是杭州华三通信技术有限公司(H3C)自主研发的新一代基于3-Streams 11n MIMO技术的能提供450Mbps的无线传输速率以及整机千兆接入能力千兆高速无线接入设备，可提供相当于传统802.11a/g网络10倍以上的无线接入速率，能够覆盖更大的范围。该系列无线产品上行链路采用千兆以太网接口，突破了百兆以太网接口的限制，使无线多媒体应用成为现实。WA3628(双频增强)内置终端感知型硬件智能天线阵列(最高可达4096种波形)，外型小巧美观，安装方式灵活，适用于壁挂、吸顶等多种安装方式。H3C WA2600 i系列无线产品是杭州华三通信技术有限公司(H3C)自主研发的新一代基于终端感知型硬件智能天线覆盖技术的超百兆高速无线接入设备(以下简称AP)，可提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围。该系列无线产品上行链路采用千兆以太网接口，突破了百兆速率的限制，使无线多媒体应用成为现实。2.1.4 覆盖饭堂区域无线AP设计在饭堂方面，由于饭堂原来没有XX单位的外网网络，如从新布线工程较大，所以我们设计采用在主楼的3层用两台H3C WA2610X-GNP室外AP并配上室外的定向天线来覆盖,这样可以省去重新布线的麻烦，部署十分方便室外区域无线覆盖主要需要考虑周围环境的复杂性，同时还需要考虑AP一系列的防雷、防水、工作温度等相关的控制。因此，在本次项目室外无线AP覆盖我们建议采用H3C WA2610X室外专用无线AP作为本次项目室外无线覆盖AP,用于覆盖饭堂。H3C WA2610X为H3C室外专用大功率无线AP，采用500mw大功率可调设计在室外复杂环境可以获得较好的无线覆盖效果。同时，H3C WX2610X为室外专用AP可以直接在不加装任何防水、防雷装置的情况下直接安装在室外，也能够适应室外较大的温差变化等特征。2.2 AP点数分布设计2.2.1 主楼AP分布设计在主楼每层的房间数量很多，为保证每个房间的信号，我们共采用79个H3C WA2610H面板式AP来覆盖，基本每两个房间，我们就用一个AP来覆盖,这样即可以，达到很好的信号覆盖效果,也可以节省用户的投资。另外在3-9层每层楼都有一个大办公室里面细分了多个小办公室，小办公室的隔离墙没封到顶，所以我们可以直接在大办公室的上空中间位置放置一个WA2620AP来进行全覆盖。具体见下表。主楼AP分布表楼栋楼层房间数量多办公室房会议室外网(POE供电)24口交换机外网(POE供电)48口交换机面板AP数量2620或3628备注主楼一层74二层74三层1911103其中两个用于连室外天线覆盖食堂四层191101五层191101六层1911101七层191101八层201101九层1911101十层21十一层0小2.2 东楼AP分布设计另外在四层和七层分别有个多功能厅和主任会议室，最多时人数会达到30人以上，对于这些高密度的地方，我在东楼方面多，为保证每个房间的信号，我们共采用37个H3C WA2610H面板式AP来覆盖，对于小的房间每两个房间，我们就用一个AP来覆盖；对于主任办公室则基本是第个房间一个AP，达到很好的信号覆盖效果,也可以节省用户的投资。另外在3层的4个会议室原来已有H3C的WA2620AP进行信号覆盖，我们这次可以直接复用原来的设备，以节省用户的投资；们设计每个房间用两个AP进行覆盖；这里我们选配一个H3C WA3628i 高速AP，该AP能提供空间3流(3-Streams) 450Mbps的无线传输速率以及整机千兆接入能力，是相同环境下802.11a/ g产品的10倍左右。通过内置集成终端感知型硬件智能天线覆盖技术，可以有效地从覆盖范围、接入密度、运行稳定等方面提供更高性能的接入服务,另外再配合一个WA2620iAP来进行负载分担和全覆盖。东楼AP分布表楼栋楼层房间数量多办公室房会议室外网(POE供电)24口交换机外网(POE供电)48口交换机面板AP数量2620或3628备注东楼一层(大堂)二层三层4四层11162一个用2620另一个用3628五层147六层1015七层7142一个用2620另一个用3628八层74九层714十层74十一层63小计6906203742.2.3 饭堂AP分布设计在饭堂方面，主要需要覆盖2至4楼约12个房间，由于饭堂原来没有XX单位的外网网络，如从新布线工程软大，所以我们设计采用在主楼的3层用两台H3C WA2610X-GNP室外AP并配上室外的定向天线来覆盖,这样可以省去重新布线的麻烦，部署十分方便，但需要注意不靠主楼方向的方间信号可能覆盖不到。2.2.4 会议厅层AP分布设计在会议厅方面，原来已有H3C的WA2620AP进行信号覆盖，我们这次可以直接复用原来的设备，以节省用户的投资；另外在一层大堂和贵宾室则需要新增一个WA2620iP来覆盖。会议厅AP分布表楼栋楼层房间数量多办公室房会议室外网(POE供电)24口交换机外网(POE供电)48口交换机面板AP数量2620或3628备注会议厅一层(大堂)111会议厅最多时约100人，现已有6个H3C WA2620，准备复有小计11000012.2.5 老干处AP分布设计在老干处方面多，共有4个房间，我们共采用2个H3C WA2610H面板式AP来覆盖，对于每两个房间，我们就用一个AP来覆盖；楼栋楼层房间数量多办公室房会议室外网(POE供电)24口交换机外网(POE供电)48口交换机面板AP数量2620或3628备注老干处一层42小计40000202.2.6 XX单位整体AP详细分布表整体汇总表楼栋楼层房间数量多办公室房会议室外网(POE供电)24口交换机外网(POE供电)48口交换机面板AP数量2620或3628备注主楼一层74二层74三层1911103其中两个用于连室外天线覆盖食堂四层191101五层191101六层1911101七层191101八层201101九层1911101十层21十一层0小计1507012799东楼一层(大堂)二层三层4四层11162一个用2620另一个用3628五层147六层1015七层7142一个用2620另一个用3628八层74九层714十层74十一层63小计690620374饭堂二层4用主楼室外对射来覆盖三层4用主楼室外对射来覆盖四层4用主楼室外对射来覆盖小计12000000会议厅一层(大堂)111会议厅小计1100001老干处一层42小计4000020合计2368632118142.3 无线网络组网模式设计根据XX单位对此次无线网络建设提出的需求，此次无线网络设计采用的是瘦AP加无线控制器的解决方案，利用无线控制器对AP进行统一的配置和控制。FIT AP（瘦AP）组网最大的优点在于AP本身零配置，AP上电后会自动从无线控制器下载软件版本和配置文件，同时无线控制器会自动调节AP的工作信道以及发射功率。另外，通过无线控制器的RF扫描探测热点地区Rouge AP，可以及时排除其他AP存在的干扰，保障AP的稳定运行。在网络管理方面，网管可以只通过管理无线控制器设备就可以达到控制AP的效果，极大的减少了无线网络后期维护和管理的工作量。使用无线控制器+FIT AP时，AP在启动后会自动通过DHCP方式获取IP地址，并自动搜寻可关联的无线控制器，在和无线控制器建立CAPWAP隧道之后会自动从无线控制器下载配置文件和更新软件版本。在AP的接入方面，H3C拥有智能射频管理，当某一个AP出现故障时，周围的其他AP会自动调整功率，对该部分区域进行重新的信号覆盖，保证信号的良好覆盖。而当有非法AP进入无线网络造成信号干扰时，H3C智能射频管理系统可以定位出该AP的位置，以便及时加以排除。FIT AP自动射频调整功能示意图无线控制器可以设定AP间对接入用户进行负载分担，当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP。如图所示：H3C WLAN智能负载分担H3C公司创新性地支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误均衡的出现。H3C WLAN智能负载分担H3C FIT AP方案还支持无线入侵检测。当有第三方的AP仿冒SSID时，无线控制器会通过AP的反馈，迅速得到相应的信息，并上报网管，采取相应的信息。管理员还可以对该设备发起攻击，使该第三方设备无法连接上相应的用户。H3C无线入侵检测示意图2.4 无线AP功率自动调整传统的射频功率控制方法只是静态地将发射功率设置为最大值，单纯地追求信号覆盖范围，但是功率过大可能导致对其他无线设备造成不必要的干扰。因此，需要选择一个能平衡覆盖范围和系统容量的最佳功率。功率调整就是在整个无线网络的运行过程根据实时的无线环境情况，动态地分配合理的功率。当第一次开始运行的时候，它使用最大传输功率。当从其他邻居（邻居指的是AP能探测到的且必须是由同一AC管理）处得到报告时，功率是否增加或减少取决于探测的结论：1、在增加邻居时，功率会减小。如下图所示，覆盖同一面积区域，当增加AP 4后，达到缺省的最大邻居数3（此参数可配置），运行功率调整功能，可以看到调整后功率小于使用三个AP时需要的功率。功率减小示意图2、在修复邻居AP离线造成的信号覆盖黑洞时，功率会增加。如图所示。功率增大示意图在本方案设计中采用无线功率自动调整方法来实现覆盖区域优良的无线覆盖。配置功率自动调整后AP会从其他邻居（邻居指的是AP能探测到的、并且必须是由同一AC管理的其他AP）处得到通道测量报告时，功率是否增加或减少取决于探测的结论。在设备第一次选择功率时都会选择最大功率，然后根据实际情况进行功率调整配置自动功率调整后。当冲突严重时，AC会在每一次优化间隔后（间隔由命令calibration-interval指定），把调整结果应用到AP上。以后每隔一段时间AC会自动根据冲突情况进行功率调整。2.5无线网管设计2.5.1 WSM无线管理组件产品简介近几年来，网络已经融入到人类生活的方方面面，生产办公、交通运输、医疗卫生、休闲娱乐无一不在使用网络，随着网络的快速发展，网络业务层出不穷，人们越来越多地需要时时刻刻地能够接入网络，于是笔记本电脑用户日渐增多，手机、PDA不断普及，更多的便携式网络接入设备进入人们的视线，而无线网络以其施工简单、接入方便逐渐被人们所喜爱。这种情况下，传统的有线网络连接形式已经无法应付新的生活方式所带来的挑战。作为接入层网络，无线网络维护工作量较大，加之无线网络的灵活性和不可见性，对无线网络的管理需求也较有线网络更加强烈。无线网络直接面对最终用户，对管理系统稳定性、实时性、有效性要求都较高。WSM无线运营管理组件依托iMC智能管理平台，实现有线无线一体化的管理，在iMC系统全面的有线网络管理的基础上，为管理员提供无线网络管理能力。管理员无需重新搭建IT管理平台，即可在原有的有线网络管理系统中增加无线管理功能，与有线管理平台统一部署，节省用户投入，节约维护成本。产品特点H3C无线运营管理组件（WSM）在下一代业务软件平台iMC的基础上进行开发，不仅为管理员提供了灵活的组件选择，同时符合业界主流的SOA架构，具备良好的扩展性，能够满足客户网络管理不断发展的需求。基于Web的管理系统，为无线业务管理者提供了简便、友好的管理平台。与iMC智能管理平台及其它组件配合，还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理等功能，并可对网络中的其它设备进行统一管理，真正实现有线无线一体化管理。该组件的主要功能和特点如下：1. 无线有线一体化管理H3C无线运营管理组件（WSM）作为iMC智能管理中心的无线业务管理核心，对于网络中的AC、FAT AP、AC、FIT AP、移动终端等无线设备与有线设备进行一体化集中管理，全网设备信息和状态一目了然。网络资源通过多种视图进行查看，视图内分组管理，将规模巨大的无线接入设备有效组织，便于管理员维护。2. 多样化的拓扑管理H3C无线运营管理组件（WSM）中的无线业务逻辑拓扑帮助管理员直观了解网络部署情况及设备/链路当前状态。系统可根据不同的方式组织资源，有效进行拓扑分组、真实组织全网资源。物理位置视图中管理员可根据需要创建多纬度、多层次的物理位置结构，并在指定建筑物底图上根据真实情况摆放设备，逼近真实网络环境。无线有线一体化拓扑3. 无线终端定位和漫游记录审计H3C无线运营管理组件（WSM）可以直接在拓扑图中对移动终端的信息进行查看，包括MAC地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在AC设备、所在AP设备等，并能查看各移动终端的全部漫游记录，使管理员随时了解最终接入用户的情况，并对其接入轨迹进行审计。无线终端漫游记录审计4. RF覆盖管理和无线网络规划在实际无线环境的部署和维护中，需要关注无线设备的RF范围、覆盖管理以及无线网络规划扩容问题。H3C无线运营管理组件（WSM）可以用很直观的拓扑图表示出无线网络中的RF状况。无线RF覆盖状况5. 无线入侵检测和防护无线网络灵活多变，并且基础设施不可见，因此比有线网络更容易遭到越权使用。对于这类问题，H3C无线运营管理组件（WSM）提供了Rogue设备检测功能，可对无线入侵进行检测，可明确显示非法接入设备，并对其进行信息查询、加入黑名单及发起攻击等动作。无线入侵检测和防护6. 丰富的无线统计报表对网络进行运营管理需要对网络进行全方位的监控，从网络各种性能指标、告警指标中进行智能的统计和分析，才能有效从整体对网络状况进行衡量。H3C无线运营管理组件（WSM）提供了丰富的无线统计报表查询和定制功能，以帮助管理员对网络进行综合而全面的管理。无线业务报表展示2.5.2 UAM用户接入组件产品简介业界传统的网络管理、用户管理软件各自发展已经较为完善，网络管理系统关注于网络基础资源的管理，包括路由器、交换机、服务器等，而用户管理则关注于对当前正在使用网络基础资源的用户的管理，包括对用户身份的认证、对用户信息的组织管理等，但实际上网络和用户是有机融合的整体，需要统一集中管理。iMC智能管理中心的平台组件实现了完善的网络设备管理功能，在此的基础上，iMC智能管理中心用户管理组件将管理的范畴从网络设备延展到了网络用户的管理，通过网络设备管理和用户管理的深度融合和联动，在统一的平台上实现了用户、网络的集中管理。产品特点iMC智能管理中心除了实现基础的用户管理和网络管理功能外，最大的特色在于实现了两者之间的有机融合，在统一的操作界面上同时完成网络、用户的管理。 集中化的设备资源和用户资源管理 除对网络设备的统一管理外，iMC也对用户基本信息进行集中维护，包括用户姓名、证件号码、通讯地址、电话、电子邮件、用户分组；并提供用户附加信息管理功能，管理员可根据网络运营的习惯进行用户信息定制，如学校可以定制学号、年级等信息，企业可以定制部门、职务等信息。 设备和用户的统一分组管理 支持设备和用户分组功能，通过对设备资源和用户进行分组管理，系统管理员方便的分配其他管理员的管理权限，便于职责分离。 接入业务服务和用户分组可灵活对应，使得特定分组用户才能配置对应的特定服务，便于管理员进行接入业务管理。 用户管理与网络设备管理相融合，用户管理操作更简单 接入设备列表中可以直接看到用户相关信息，提高了操作员日常维护的效率。 设备选定后可直接对其进行用户操作，比如，针对某个接入设备，将其所挂的用户全部下线处理等。 在线用户列表中提供接入设备查看入口，可查看当前在线用户所对应的接入设备的详细信息，比如，对应的基本信息、告警、性能状况等。 网络设备管理和用户管理的全面融和，使得操作更友好，全面提升操作员操作体验。 支持多种接入及认证方式，适合多种接入组网场景及应用场景 支持802.1x、VPN接入等多种认证接入方式。 支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多种身份验证方式，适应不同安全要求的应用场景。 支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证，增强用户认证的安全性，防止帐号盗用和非法接入。 支持与Windows域管理器、第三方邮件系统（必须支持LDAP协议）的统一认证，避免用户记忆多个用户名和密码。 支持端点准入防御（EAD）解决方案，确保所有接入网络的用户终端符合企业的安全策略。 严格的权限控制手段，强化用户接入控制管理 基于用户的权限控制策略，可以为不同用户定制不同网络访问权限。 可以控制用户的上网带宽（QoS；802.1x认证支持）、限制用户同时在线数、禁止用户设置和使用代理服务器，有效防止个别用户对网络资源的过度占用。 支持最大闲置时长限制。 可以实现对用户ACL、VLAN的控制，限制用户对内部敏感服务器和外部非法网站的访问（802.1x认证支持）。 可以限制用户IP地址分配策略，防止IP地址盗用和冲突。 可以限制用户的接入时段和接入区域，用户只能在允许的时间和地点上网。 可以限制终端用户使用多网卡和拨号网络，防止内部信息泄露。 可以限制用户必须使用专用安全客户端，并强制自动升级，确保认证客户端的安全性。 详尽的用户监控，强化对终端用户的监视控制 iMC用户管理组件提供强大的“黑名单”管理，可以将恶意猜测密码的用户加入黑名单，并可按MAC、IP地址跟踪非法行为的来源。 管理员可以实时监控在线用户，强制非法用户下线。 支持消息下发，管理员可以向上网用户发布通知消息，如“系统升级，网络将在10分中后切断”、“您的密码遭恶意试探，请注意保护密码安全”等。 iMC用户管理组件记录认证失败日志，便于方便定位用户无法认证通过的原因。 集中方便的接入业务用户管理，简化管理员维护操作 基于服务的用户分类管理，用户的认证绑定策略、安全策略、访问权限均封装于服务中，简化管理员的操作，保证网络管理模式的统一。 接入用户相关的管理动作集中化，界面对操作员来说更友好、更美观易用。 灵活的业务及运行环境参数调整，适应不同的运行及应用环境 系统参数配置，提供业务相关的常用参数信息配置功能。 策略服务器参数配置，提供策略服务器及安全管理相关的参数信息配置功能。 运行参数配置，提供系统运行环境相关的路径、数据库属性等基本信息的能。 证书文件配置，提供证书认证配置信息功能。 用户提示信息配置，提供给用户的相关提示信息配置功能。 客户端自动运行任务配置，提供配置客户端认证后自动运行相关程序的配能。 用户密码控制策略配置，提供配置用户密码的控制策略配置功能。 融合的接入设备管理，操作简单、管理方便 接入设备配置与iMC ACL Manager组件的协同，选定接入设备后，可直接为此设备进行ACL配置；同时，在接入设备列表中，可查看其对应的ACL部署信息，便于快速部署及开通业务接入业务 为接入设备提供查询设备明细信息的链接，可通过简单的鼠标点击看到接入设备的详细信息，比如对应的基本信息、告警、性能状况等。 接入设备管理与拓扑管理的融合，拓扑中可以清晰的显示出接入设备，查看接入设备相关信息，并可通过鼠标点击方式，将此接入设备设置为非接入设备。 访客管理功能介绍网络访客接入管理功能作为H3C UAM解决方案的组成部分，可有效帮助山庄、各种接入方式下的访客安全接入管理问题，以某大型山庄使用H3C网络访客管理为例，访客的网络的使用流程如图2所示。图1 H3C访客管理流程H3C访客管理功能具有以下特点：1. 全面的接入方式支持。无论访客使用有线网络还是无线网络，笔记本还是平板电脑，均可有效控制其接入权限。2. 灵活的访客安全策略管理。通过UAM系统对访客的终端安全进行管理，可灵活的根据访客身份定制安全策略并实施。可溶解客户端的使用，实现了安全检查的自动化。3. 高效的访客帐号管理方式。IT管理员可以根据实际要求将普通员工、前台、门卫等山庄内部人员授权为访客管理员，由访客管理员负责各自权限内的访客帐号管理，极大降低了IT管理员的工作量。4. 完备的访客日志审计功能。访客离开山庄后，其访问日志仍可按系统设置的保留时长保存，供IT管理员审计。同时，访客管理员的操作日志也被详细记录，可供查询和管理。5. 开放的SOA架构。H3C iMC访客管理系统使用开放SOA架构设计，提供了丰富的API，可方便的同山庄其它应用系统集成，提高了山庄管理效率。6. 一体化的解决方案。作为UAM系统的一部分，实现了山庄员工网络接入、访客网络接入和终端安全控制的统一管理，为山庄提供了网络接入控制的一体化解决方案，降低了山庄的拥有成本。三 H3C方案的特点与优势3.1 H3C Fit AP方案的特点3.1.1 智能射频管理每个AP上电时，无线控制器会根据AP的邻居关系动态调整AP工作的信道和发射功率，在保证覆盖的前提下保证AP间的干扰最小。当AP覆盖区域受到外界强信号干扰时，无线控制器会控制AP自动切换到合适的工作信道以规避干扰信号。当覆盖区域内的某个AP发生故障而造成覆盖黑洞时，无线控制器会自动调整相邻的AP的发射功率以消除黑洞区域，当故障AP恢复工作后无线控制器可以自动调整邻居AP的发射功率恢复原始工作状态。3.1.2 智能负载均衡无线控制器可以设定AP间对接入用户进行负载分担，负载分担的策略可以是基于AP接入的用户数量，AP流量负载情况当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP。H3C公司创新性地支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误均衡的出现。图1 智能负载示意图3.1.3 业务QOS支持H3C无线产品支持多种服务质量Qos，支持802.11e中的EDCF优先级，支持以太网口支持802.1p识别和标记。支持优先级队列及映射、流量限制、流分类。并且能够对QOS策略映射不同SSID/VLAN。图2 多媒体业务QOS示意3.1.4 支持无线入侵检测系统(WIDS)H3C WLAN解决方案支持无线入侵检测系统(WIDS)，WIDS工作原理如下：A.无线控制器可以指定AP工作在两种工作模式：模式一、AP负责监听空口所有信道的信息，但不负责用户报文的转发。模式二、AP在为用户转发数据的同时定期切换到其他信道监听信息, AP设备负责把监听到的无线设备和有攻击行为的无线设备上报给无线控制器B.无线控制器根据AP上报的设备信息识别非法设备C.无线控制器通过各种途径提供各种声、光、电的报警D.当有用户试图连接到非法的AP上时，用户会发起关联请求，无线控制器通过AP收到这个请求时，指挥周边的AP发解除关联的指令，确保用户不会连接到非法AP。 图3 无线入侵检测示意图3.1.5 Portal认证支持Portal认证又称为强制WEB认证，以其新业务支撑能力强大、无需安装客户软件、与组网设备无关等特点，受到越来越多用户的欢迎。Portal认证业务可以为管理者提供方便的管理功能，如要求所有的用户都到门户网站去认证，门户网站可以开展广告、信息服务、个性化的业务等，为信息传播提供一个良好的载体。Portal认证原理Portal 认证协议主要应用于H3C公司提出的基于 WEB 的宽带接入认证系统中，完成用户的认证和授权。整个 Portal 认证过程涉及到了Portal 页面，WX3024 和 iMC 服务器。Portal认证工作原理：未认证用户在访问网络时，可以直接访问为用户免费开放的资源，当用户要使用网络中的收费资源时，设备会将用户的http请求重定向到Portal门户网站，用户必须在门户网站进行认证，只有认证通过后才可以访问这些资源。Portal认证的工作流程如下图所示：Portal认证流程认证流程：用户通过IE访问需要授权的网络资源，设备发现用户还没有通过认证则强制到Portal，Portal Server将WEB页面强推给用户，提示用户需要进行认证。用户在WEB页面中输入用户名密码并提交认证，Portal Server将认证信息发送给设备，设备将用户信息转换为Radius报文发送到iMC服务器进行认证。iMC服务器对用户信息进行验证，确认无误后，下发认证通过报文以及相应的权限控制信息给设备，设备放开用户的上网权限，同时iMC服务器开始进行计费。上网期间，用户PC和Portal Server定时发送心跳报文交互，以确保用户没有因异常原因下线。用户下线时，Portal Server收到用户下线请求并通知设备，iMC服务器终止计费并通知设备断开用户。Portal功能特点不需要安装客户端软件相对于其他的认证方式，Portal认证通过网页即可实现认证，无需安装客户端。不但减少了用户机器的负担，而且方便了上网用户的使用，同时管理者也不用逐一为每个上网用户安装和升级客户端软件，极大减轻管理难度。可对在线用户进行实时检测用户认证通过后，Portal Server和用户之间采用心跳机制保持通信，当终端用户的机器出现异常时，比如：死机、网络断线、异常关闭浏览器等情况出现时，Portal Server就可以及时发现用户侧的问题，并通知设备将此终端用户下线并且停止计费；同时Portal Server支持开启或者关闭心跳，也可以设置心跳的间隔和心跳超时时长，这种功能使心跳检测更加灵活，大大提高了计费精度和对复杂的网络的适应能力。具有按用户接入端口分组的功能，可为不同组用户提供不同的配置Portal认证可以根据用户所在交换机的端口以及用户所在的IP地址池，将用户划分为不同的组，每个组都可以设置不同的认证主页、不同的认证方式，从而方便对不同的用户进行管理。同时PORTAL所有的认证页面都使用了动态页面技术，管理员可以根据不同用户群的特点，定制特色认证页面，极大提高用户使用满意度。支持二次地址分配和NAT功能为了减少公网IP地址资源的浪费，PORTAL通过与设备的配合，使用户在认证前使用的是私网IP，认证成功后再分配公网IP，从而保证了公网IP地址的更加合理的应用。如果用户的IP地址经过了NAT转换，再经过PORTAL服务进行认证，PORTAL服务器支持开启NAT功能，可以为用户下载一个APPLET，获取用户的实际IP地址，再通过设备进行认证。支持认证窗口的最小化功能 用户在认证通过后，Portal支持在线窗口可以最小化到任务栏，以减少对用户上网的影响。防止窗口过滤的功能 很多上网用户出于安全的考虑或者防止网上的垃圾广告，会安装个人防火墙或者窗口过滤工具，来防止IE 弹出窗口。如果用户的IE开启了窗口过滤的功能，Portal在弹出认证成功窗口时，会进行窗口过滤的检测，从而防止由于窗口过滤而无法认证成功的情况。3.1.6 多业务的安全性H3C FIT AP解决方案提供多种业务不同网络层面的安全保障，体现在：层次体系主要技术解决的问题物理接入WEP64/128、TKIP、CCMP加密可升级支持WAPI加密防止无线报文被监听和篡改SSID隐藏解决不明用户访问网络逻辑链路802.1x/PSK/MAC/Portal多种认证方式的混合接入802.1x支持PEAP/TLS/TTLS/SIM多种模式可升级支持WAPI认证用户身份鉴别和安全准入动态下发用户的权限业务隔离Hotspot用户隔离限制用户互访黑名单限制恶意用户网络无线入侵检测系统非法设备的检测、无线攻击的告警和规避安全策略在无线控制器统一部署避免在大量的无线接入点部署策略AC和AP间的CAPWAP隧道下行流量限速防范外界对AP的数据流量攻击IPSEC VPN端到端的安全加密资源绑写（MAC、ESS、VLAN、Port）尽可能防止假冒设备AP本地不再保存配置信息避免设备丢失造成配置泄漏AP身份认证只有合法的AP才能和无线控制器建立关联AP支持多无线控制器的冗余备份无线控制器down机不会造成无线网络的瘫痪网管无线安全策略配置无线安全策略的统一部署非法设备监控和告警非法设备的检测、无线攻击的告警和规避设备信道调整告警了解设备遭受干扰后的信道调整情况3.1.7 IPV6为了适应下一代IP网络的部署要求，H3C公司的FIT AP能够同时满足IPv4和IPv6两种不同网络的组网要求（图示），为了简化用户配置这种适应能力不需要用户配置干预而是自适应调整。作为FIT AP的缺省发现方式FIT AP会首先作为IPv4节点发起无线控制器发现过程，当发现过程失败以后，FIT AP会切换到IPv6节点方式继续无线控制器发现过程。FI