无线方案-大型光纤POE

1、一网络技术方案1.xxx办公区域无线网络建设需求1.1需求分析为了满足办公区域网络的灵活、方便。xxx想在办公区域实现有线和无线网络的全部接入。其中包括大型视频会议室、小型会议洽谈室、经理办公室和多个部门的办公室。要求在办公区域内无线网络不间断传输。1.2建设原则xxx办公区域无线网络设计必须适应当前XXX整体信息化各项应用，又可面向未来信息化发展的需要，因此必须是高质量的。在设计网络时，需要遵循以下原则：（一）实用性和先进性采用先进成熟的技术满足XXX办公区域大规模数据业务需求，兼顾其他相关的管理需求，尽可能采用先进的网络技术以适应更高的数据、语音、视频（多媒体）的传输需要，使整个系统在相当

2、一段时期内保持技术的先进性，以适应未来信息化的发展的需要。（二）安全可靠性为保证各项业务应用，网络必须具有高可靠性，尽量避免系统的单点故障。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上，在网络设计方案中要应用网络管理手段，保证接入网络用户身份的合法性；采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。（三）灵活性和可扩展性XXX办公区域网络系统是一个不断发展的系统，所以它必须具有良好的灵活性和可扩展性，能够根据XXX信息化不断深入发展的需要，方便灵活的扩展网络覆盖范围、

3、扩大网络容量和提高网络的各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力，提供技术升级、设备更新的灵活性。（四）开放性和互连性XXX办公区域网络应具备与多种协议计算机通信网络互连互通的特性，确保网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准，包括各种局域网、广域网、计算机等，坚持统一规范的原则，从而为未来的发展奠定基础。IP地址设计须遵循计算机网络TCP/IP地址编码规范；设备及端口模块、光网卡的选型必须满足国内外相关的技术标准，并保证与业界主流的网络设备厂家的设备互联、互通。（五）经济性和投资保护应以较高的性能价格比构建本计算机网络系统，使资金的产出投

4、入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转，提供高效能与高效益。尽可能保留延长已有系统的投资，充分利用以往在资金与技术方面的投入。（六）可管理性由于XXX信息网络系统本身具有一定复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重。所以在网络设计中，必须建立一套全面的网络管理解决方案。网络设备必须采用智能化、可管理的设备，同时采用先进的网络管理软件，实现先进的分布式管理。最终能够实现监控、监测整个网络的运行情况，合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护工作，从而为办公、管理提供最有力

5、的保障。2.xxx办公区无线网络系统设计2.1网络设计方案我们建议本次XXX无线网络建设项目，选用先进的、超前的、满足现在及今后几年网络发展需求。解决办公区域无线网络多协议接入和办公区域无线网络不间断传输。2.1.1XXX办公区域无线网络设计及网络组网说明在xxx办公区无线网络建设中，采用可同时支持802.11a/b/g/n协议的WA2620-AGN AP,考虑到施工环境的去本地取电的困难情况，我们都采用POE供电，所以我们选千兆POE供电交换机。同时还考虑到该项目的AP数目较多，在管理控制AP的同时还对所有数据的处理。我们采取华三5800交换机插无线控制模块的方式。再由s5800 到现有XX

6、X核心交换机，最后通过路由器出去访问internet。XXX无线网络拓扑图： 三、网络组网说明：图1. 根据用户需求客户端的AP都采用可同时支持802.11a/b/g/n协议的WA2620-AGN。同时客户要求施工环境的美观。我们只能把AP放在天花板上。又考虑到取电问题，我们全部用支持POE供电的交换机S5120-28C-PWR-EI。所以无线AP都是通过六类线连接到带POE的交换机。咱们的接入交换机都是在分机房。分机房到核心机房的光缆已经都布置好。所以我们从分机房的接入交换机到核心交换机都是通过单模模块光缆连接。核心交换机采用S5800-60C-PWR。插无线功能模块办卡，可以默认支持64个

7、AP。S5800通过千兆电口连接到XXX现有的核心。在核心交换机上开启一个接口，用于S5800-60C-PWR的上行链路，S5800-60C-PWR下行连接H3C WA26200-AGN，用户可以使用笔记本或其他WiFi终端通过WA26200-AGN 连接到项目的WLAN网络中。S5800-60C-PWR在网络中起到如下几个作用：Ø 作为48口POE+交换机使用。Ø 作为无线控制器，对FIT AP进行统一的智能管理。Ø 作为Portal Server，为项目用户提供接入认证。FIT AP组网最大的优点在于AP本身零配置，AP上电后会自动从无线控制器下载软件版本和配

8、置文件，同时无线控制器会自动调节AP的工作信道以及发射功率。另外，通过无线控制器的RF扫描探测热点地区Rouge AP，可以及时排除其他AP存在的干扰，保障AP的稳定运行。在网络管理方面，网管可以只通过管理无线控制器设备就可以达到控制AP的效果，极大的减少了无线网络后期维护和管理的工作量。使用无线控制器+FIT AP时，AP在启动后会自动通过DHCP方式获取IP地址，并自动搜寻可关联的无线控制器，在和无线控制器建立CAPWAP隧道之后会自动从无线控制器下载配置文件和更新软件版本。在AP的接入方面，H3C拥有智能射频管理，当某一个AP出现故障时，周围的其他AP会自动调整功率，对该部分区域进行重新

9、的信号覆盖，保证信号的良好覆盖。而当有非法AP进入无线网络造成信号干扰时，H3C只能射频管理系统可以定位出该AP的位置，以便及时加以排除。图2. FIT AP自动射频调整功能示意图（可用Visio打开）无线控制器可以设定AP间对接入用户进行负载分担，当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP。如图所示。图3. H3C WLAN智能负载分担H3C公司创新性地支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的

10、避免误均衡的出现。图4. H3C WLAN智能负载分担H3C FIT AP方案还支持无线入侵检测。当有第三方的AP仿冒SSID时，无线控制器会通过AP的反馈，迅速得到相应的信息，并上报网管，采取相应的信息。管理员还可以对该设备发起攻击，使该第三方设备无法连接上相应的用户。图5. H3C无线入侵检测示意图四、 用户接入认证方案xxx办公区域无线网络建设需求项目项目对安全有着一定的要求，必须能够防止系统外部成员的非法侵入以及操作人员的越级操作，尽量避免计算机犯罪问题的发生。由于WLAN网络与有线网络不同，用户可以随时随地的接入网络，故不能像有线网络那样通过网口限制用户的身份，必须使用一定的认证手段

11、。H3C 无线控制器支持多种认证方式，如MAC地址认证、802.1x认证和Portal认证等。本项目推荐使用Portal认证方式。使用Portal方式的优点是无需客户端，用户做好WLAN连接后，只需打开Web页面就能够进入Portal认证页面。此时除了能够方便的认证外，还可以推送Web页面，发布最新的项目信息，并可以向用户推送相应的广告，给XX项目带来额外的利润。4.1 H3C方案的优点n 有线无线一体化的WLAN产品线，简化维护工作，节约运行成本H3C WLAN提供有线无线一体化解决方案，一体化的特点主要体现在以下几点：1、 H3C在S7500,S7500E,S9500核心交换机上支持无线控

12、制器模块，直接把无线控制器融入核心交换机，目前H3C S7500,S7500E,S9500，华为S6500，S8500核心交换机都可以支持无线控制器业务模块，从而实现真正的有线无线一体化；2、 H3C 所有的WLAN产品和现网上数量众多的有线产品使用相同的软件平台，同样的特性，在不同的产品具有相同的命令行，这样用户维护有线产品和无线产品时，不需要熟悉两套完全不相同的操作方式，大大提高的工作效率，减少了技术人员的工作量。3、 管理特性上，H3C iMC智能管理中心能够使用同一套管理软件同时管理有线产品和无线产品，而不是象其他WLAN厂商那样，有线和无线使用不同的网管系统；另外同一套网管系统意味着

13、VLAN，QoS等都可以统一部署，减少了系统管理的复杂性。4、 在用户管理方面，H3C CAMS可以统一管理有线用户和无线用户，可以实现对用户的认证、鉴权、计费，达到有线业务和无线业务统一部署的目的。n AP零配置无线控制器FIT AP控制架构对设备的功能进行了重新划分，其中无线控制器负责无线网络的接入控制，转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制；FIT AP负责802.11报文的加解密、802.11的PHY功能、接受无线控制器的管理、RF空口的统计等简单功能。H3C公司在支持这种新的网络架构时将一些新的智能功能集成进FIT AP和无线控制器中，以便于给用户呈现统一的网

14、络管理接口：1、 FIT AP的配置保存在无线控制器中，FIT AP启动时会自动从无线控制器下载合适的设备配置信息2、 FIT AP需要能够自动获取IP地址，同时FIT AP需要能够自动发现可接入的无线控制器，并对无线控制器和FIT AP之间的网络拓扑不敏感3、 无线控制器支持FIT AP的配置代理和查询代理，能够将用户对FIT AP的配置顺利传达到指定的FIT AP设备，同时可以实时察看FIT AP的状态和统计信息4、 无线控制器保存FIT AP的最新软件，并负责FIT AP软件的自动更新H3C公司通过这一全新的网络管理接口可以很好的解决目前型WLAN网络组网中存在的管理问题：1、 用户只需

15、要建立业务参数模板和设备参数模板，并设定指定的AP引用这些模板，当FIT AP启动时无线控制器会根据预先的配置引用信息给FIT AP下发配置，用户的配置工作量大大减少。2、 用户对FIT AP的管理是通过无线控制器来代理完成，网管不再关心FIT AP的IP地址，FIT AP和无线控制器之间的关联是自动完成，不再需用户对AP进行的配置干预。3、 无线用户的数据报文被FIT AP封装在AP和AC间的数据隧道中，接入AP的边缘网络不需要再为无线用户的接入而更改VLAN和ACL等配置4、 无线控制器保存了所管理的FIT AP的运行状况和在线用户统计信息，维护人员只需登录到指定的无线控制器就可以完成信息

16、察看。用户对FIT AP的管理是通过无线控制器来代理完成，因此在线更改服务策略设定和安全策略设定也不再需要逐一登录到AP设备，而只需要登录到指定的无线控制器就可以完成设置，无线控制器会自动把新的配置下发到指定的FIT AP。5、 用户不再需要手动逐一对AP设备进行软件升级，AP在每次重新启动时会自动比较当前运行的版本和无线控制器上保存的版本，如果无线控制器上保存的版本更新，FIT AP会自动更新本地的软件影像。AP本地不再保存配置信息，即使设备丢失也不存在因配置丢失而出现的安全隐患。4.2 无线网络规划4.2 .1频率规划目前针对WLAN来讲，2.4G具有3具不重叠的信道，针对5.8G具有5个

17、不重叠信道，但由于网络用户具有一定的不确定性，故网络覆盖时所需要的WLAN网络空间都要进行2.4G与5.8G的频率覆盖，从网络规划的角度出发，主要考虑2.4G与5.8G二个频率的覆盖设计，针对2.4G的频率的信号衰减模型主要采用如下：PathLoss(dB) = 46 +10* n*Log D（m），而对于5.8G的信号衰减模型：PathLoss(dB) = 32.4+20*lg fMHz+ 20*lgdKM +a * dKM，以上二信号衰减模型进行网络的设计，到具体网络实施时要进行工勘与优化，而对于信道主要采用1、6、11三个信道交错使用，具体的面覆盖逻辑示意图如下：图6. WLAN2.4G

18、信道规划示意图4.2.2 频率复用图7. 无线覆盖示意图针对频率复用的设计与实现主要侧重于重叠区域，考虑到802.11技术中目前业界主要采用DCF的仲裁，这样会导致从网络实施的角度出发，没有办法做到像GSM、3G网络的控制力度，从技术原理的角度出发，没有办法实现很好的频率复用，只能被动做些负载均衡的功能。每个AP具有54Mbps、48Mbps、36Mbps、18Mbps等的覆盖范围，对于54Mbps的覆盖范围不重叠，对于54Mbps与18Mbps就可能进行重叠，可以根据网络侧的负载功能进行实现一定程度的频率复用功能，从网络规划的角度出发，WLAN基本上、下行无线链路复用的处理问题，因为目前都是

19、DCF方式，而从只能结合业务目标实现网络覆盖效果，具体网络使用效果使用负载均衡功能进行实现。负载均衡的功能实现具体原理如下：1. 根据负载均衡的配置确定负载均衡的模式、SSID、其他参与负载均衡的AP的标识、用户数或流量的阀值等进行一定的初始化；2. 确定本AP的2个射频模块连接的STA用户数量和流量；3. 通过UDP协议以私有方式定时进行AP间通讯。先进行握手，成功后才进行数据的交换，获取参与负载均衡的AP的负载信息。4. 当有STA要接入时，根据其工作频率，比较本AP上该射频下的负载和其他AP的指定SSID下的用户数或流量，以及负载均衡的SSID绑定接口的速率集，决定STA能否接入。同时要

20、注意到若用户数已达到AP某个SSID的最大用户数，则该AP的SSID不允许再接入STA；4.2.3 AP容量规划从业界实现的DCF方式来看，没有一个最大用户数的限制，但业界各个厂商进行实现时都基于一定理解的前提下进行默认限制，H3C目前每个AP最大的用户默认限制为64个用户，并可以根据实际情况更改每个AP限制接入的用户数。根据多年的WLAN部署经验，H3C建议，从网络规划的角度出发，按照每个AP覆盖2530用户进行部署，可以保证用户的接入质量和正常需求下的网络吞吐量。五、xxx办公区域无线网络设备5.2.1核心交换机设备概述产品概述H3C S58系列交换机是H3C公司自主开发的下一代数据中心级

21、万兆以太网交换产品。分为S5800、S5810和S5820X三个子系列，为数据中心提供丰富的服务器接入方案。也可以用于园区网的汇聚层或接入层以及中小企业核心。 S5800系列支持H3C创新的IRF2（Intelligent Resilient Framework 2，第二代智能弹性架构）技术，用户可以将多台S5800交换机连接，形成一个逻辑上的独立实体，从而构建具备高可靠性、易扩展性和易管理性的新型智能网络。包括以下型号：· l S5800-60C-PWR：48个10/100/1000Base-T以太网端口（中功率PoE），4个100/1000 M SFP端口，2个以太网端口扩展插槽

22、，1个（Open Application Architecture，开放业务架构）OAA插槽；5.2.2交换机设备特点：灵活的端口扩展能力随着用户端带宽不断提高，服务器万兆网卡的应用越来越广泛，交换机需要提供更高的转发性能和万兆端口扩展能力。H3C S58系列交换机支持业内最高的万兆端口密度，单台设备可以按需扩展至最多24个全线速转发的万兆端口。此外，该系列产品还可以提供灵活的千兆接入端口，可以提供16个千兆光接口或者电接口扩展模块，单台设备可以按需扩展至最多84个全线速转发的千兆端口，满足大型网络汇聚或中小网络核心对于光电混合配置的要求。智能弹性架构H3C S5800/S5820X系列交换机

23、支持IRF2（第二代智能弹性架构）技术，在扩展性、可靠性、整体架构和可用性方面具有强大的优势，主要体现在四个方面：· l 扩展性：IRF技术允许交换机利用互联电缆实现多台设备的扩展；具有即插即用、单一IP管理，同步升级的优点，同时大大降低系统扩展的成本。 · l 可靠性：通过专利的路由热备份技术，在整个IRF组内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发，极大的增强了IRF组的可靠性和高性能，同时消除了单点故障，避免了业务中断。 · l 分布性：通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利

24、用率。 · l 可用性：通过标准的万兆以太网接口实现智能弹性架构，可以根据需求分配业务带宽和系统连接带宽，合理分配本地流量与上行流量；不仅可以实现机架内、跨机架，甚至跨区域的远距离智能弹性架构。 强大的缓存能力针对于数据中心大流量数据无阻塞传输的要求，H3C S58系列可以提供强大的缓存能力，并且支持先进的缓存调度机制可以保证设备缓存能力有效利用的最大化。完善的安全控制策略H3C S58交换机支持集中式MAC地址认证、802.1x认证、PORTAL认证、EAD快速部署，支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定，同时实现用户策略（VLAN、QoS、ACL

25、）的动态下发；配合H3C公司的CAMS系统对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为。H3C S58系列交换机提供增强的ACL控制逻辑，支持超大容量的入方向和出方向ACL，并且支持基于VLAN的ACL下发，在简化用户配置过程的同时，避免了ACL资源的浪费。另外，S58系列还将支持单播反向路径查找技术（uRPF），原理是当设备的一个接口上收到一个数据包时，会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由，即验证了其真实性，如果不存在就将数据包删除，这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。多重可靠性保护H3C S58系列交换机还具备设备级和链路级的多重可靠

26、性保护。采用过流保护、过压保护和过热保护技术。所有机型支持电源冗余，其中部分机型支持内置冗余电源模块和模块化风扇组件，所有机型接口板，电源模块以及风扇模块均可以热插拔而不影响设备的正常运行。此外整机还支持电源和风扇的故障检测及告警，可以根据温度的变化自动调节风扇的转速，这些设计使我们这款盒式交换机具备了机柜式交换机的高可靠性。除了设备级可靠性以外，该系列还支持丰富的链路可靠性以外，还支持丰富的链路可靠性技术，比如华三通信独创的RRPP快速环网保护机制，VRRPE和Smart link。当网络上承载多业务、大流量的时候也不影响网络的收敛时间，保证业务的正常开展。中功率PoEH3C S5800系列

27、交换机支持PoE（Power over Ethernet）技术，通过以太网对所连接的设备（如IP Phone, Wireless AP等）进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。不仅可以提供遵从IEEE 802.3af标准的每端口15.4W的功率，还支持中功率PoE技术，每端口可以提供最高30W的输出功率，满足包括无线802.11n AP以及部分可视IP电话等大功率PD设备的使用要求。出色的管理性H3C S58系列交换机支持丰富的管理接口，例如Console、带外网口、USB口，支持SNMPv1/v2/v3，支持Open Vie

28、w等通用网管平台以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，集群管理，使设备管理更方便，并且支持SSH2.0、SSL等加密方式，使得管理更加安全。H3C S58系列交换机支持NetStream功能，以及SPAN/RSPAN/ERSPAN镜像和多个镜像观察端口，可以对网络流量进行分析以采取相应管理维护措施，使原本不可见的网络业务应用流量变得一目了然，可以为用户提供多种网流分析报表，帮助用户及时优化网络结构，调整资源部署。开放业务架构H3C S58系列交换机采用了H3C的开放业务架构（OAA），不仅可以提供传统交换机的二、三层报文转发的功能，而且可以集成包括防火墙，IPS，

29、无线控制器等高性能多业务模块，使S58交换机成为一个多业务的承载平台。5.2.3交换机设备规格：项目S5800-60C-PWRS5800-56CS5800-56C-PWRS5800-32CS5800-32C-PWRS5800-32F外形尺寸（长×宽×高）（单位：mm）440×465×86.1440×367×43.6440×427×43.6440×367×43.6440×427×43.6441×427×43.6重量 18kg 6.5kg 8.5kg 6.0k

30、g 8kg 8.5kg管理端口1个Console口1个Console口1个Console口1个Console口1个Console口1个Console口1个带外网管口USB接口1个1个1个1个1个1个固定业务端口48个10/100/1000Base-T以太网端口（PoE），4个100/1000M SFP端口，48个10/100/1000Base-T以太网端口，4个1/10G SFP+端口48个10/100/1000Base-T以太网端口（PoE），4个1/10G SFP+端口24个10/100/1000Base-T以太网端口，4个1/10G SFP+端口24个10/100/1000Base-T以

31、太网端口（PoE），4个1/10G SFP+端口24个100/1000M SFP端口，4个1/10G SFP+端口以太网端口扩展插槽2个（前面板）1个（后面板）1个（后面板）1个（后面板）1个（后面板）1个（前面板）以太网端口扩展模块类型4端口1G/10G SFP+接口模块2端口1G/10G SFP+接口模块16端口10/100/1000MBase-T电口模块16端口100/1000M SFP端口模块无线控制业务板（小规格）OAA模块类型防火墙模块IPS模块无线控制业务板（大规格）无输入电压交流 额定电压范围：100V240V AC，50/60Hz最大电压范围：90V264V AC，

32、47/63Hz直流额定电压范围：300W DC：-48V-60V DC750W DC：-54V-57V DC额定电压范围(RPS)：10.8V13.2V DC额定电压范围(RPS)：-52V-55V DC额定电压范围(RPS)：10.8V13.2V DC额定电压范围(RPS)：-52V-55V DC额定电压范围：-48V-60V DC功耗（空载）DC：94WAC：96W102WDC：107WAC：131W67WDC：64WAC：85WDC：58WAC：67W功耗（满载）单DC：1840W（其中1500W为PoE输出)双DC：1840W（其中1500W为PoE输出)单AC：714W（其中425W

33、为PoE输出)双AC：1147W（其中740W为PoE输出)163WDC：973W（其中740W为PoE输出)AC：673W（其中370W为PoE输出)105WDC：870W（其中740W为PoE输出)AC：598W（其中370W为PoE输出）DC：136WAC：146W工作环境温度050工作环境相对湿度（非凝露）10%90%交换容量360Gbps包转发率（整机）198Mpps192Mpps192Mpps156Mpps156Mpps156Mpps支持特性S5800系列S5820X系列转发模式store-forward模式store-forward模式，cut through模式链路聚合支持GE

34、端口、10GE端口聚合支持静态聚合、动态聚合流量控制支持IEEE802.3x 流量控制，支持back pressureJumbo Frame支持MAC地址表支持32K个MAC地址支持黑洞MAC地址支持设置端口MAC地址学习最大个数VLAN支持基于端口、协议、MAC、IP子网的VLAN（4094个）支持QinQ和灵活QinQ支持Voice VLANVLAN Mapping支持1:1 VLAN Mapping支持N:1 VLAN Mapping支持2:2 VLAN MappingDHCP支持DHCP Client支持DHCP Snooping支持 DHCP Relay支持 DHCP ServerI

35、RF2智能弹性架构支持IRF2智能弹性架构支持分布式设备管理，分布式链路聚合，分布式弹性路由支持通过标准以太网接口进行堆叠支持本地堆叠和远程堆叠IPv4路由支持静态路由、RIP，OSPFv2，BGP，ISIS 支持等价路由，路由策略，VRRP，策略路由IPv6路由支持静态路由、RIPng，OSPFv3，BGP4+ for IPV6，ISISv6支持等价路由，路由策略，VRRP，策略路由URPF支持反向路由检查MCE支持BFDOSPF，BGP，IS-IS，Static RouteIPv6 over IPv4 Tunnel支持IPv6手动隧道，6to4隧道，ISATAP隧道，GRE隧道IPv4组播

36、支持IGMP Snooping 支持IGMP v1/v2/v3支持PIM-DM/SM/SSM支持MSDP、MBGP支持组播VLAN、组播VLAN+IPv6组播支持MLD Snooping v1/v2支持MLD v1/v2支持PIM-DM/SM/SSM for IPV6支持MBGP for IPv6支持IPv6组播VLAN、IPv6组播 VLAN+广播/组播/单播风暴抑制支持基于端口速率百分比的风暴抑制支持基于PPS的风暴抑制支持基于kbps的风暴抑制MSTP支持STP/RSTP/MSTP协议支持STP Root Guard、BPDU GuardRRPP支持RRPP协议及RRPP多实例Smart

37、 link和Monitor link支持Smart link及Smart link多实例支持Monitor linkQoS/ACL支持L2（Layer 2）L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP(IPv4/IPv6)地址、目的IP(IPv4/IPv6)地址、端口、协议、VLAN的流分类支持时间段（Time Range）的包过滤支持大容量双向ACL支持对端口接收报文的速率和发送报文的速率进行限制支持报文重定向每个端口支持8个输出队列支持灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP、WDRR、WFQ、SP+WDRR四种模式支持报文的802.1

38、p和DSCP优先级重新标记支持WRED拥塞避免机制镜像支持N:1的端口镜像和流镜像支持多个镜像观察口支持端口的远程镜像（RSPAN）支持增强型端口的远程镜像（ERSPAN）安全特性支持用户分级管理和口令保护支持AAA认证、RADIUS认证支持MAC地址认证、802.1x认证、portal认证支持HWTACACS支持SSH 2.0支持IP+MAC+端口绑定支持IP Source Guard支持HTTPs、SSL支持PKI（Public Key Infrastructure，公钥基础设施）支持EAD支持ARP Detection功能（能够根据DHCP Snooping安全表项、802.1x表项，或

39、IP/MAC静态绑定表项进行检查）可支持DHCP Snooping，防止欺骗的DHCP服务器支持BPDU guard， Root guard支持OSPF、RIPv2报文的明文及MD5密文认证。OAA防火墙卡IPS卡无线控制业务板流量管理支持NetStream（仅S5800系列支持）加载与升级支持XModem协议、FTP、TFTP实现加载升级管理支持命令行接口（CLI）、Telnet、Console口进行配置支持SNMPv1/v2/v3支持RMON （Remote Monitoring）告警、事件、历史记录支持Imc网管系统、支持WEB网管支持系统日志、分级告警支持集群管理HGMPv2支持电源的

40、告警功能支持风扇、温度告警维护支持Ping、Tracert、NQA、Track支持虚拟电缆检测（Virtual Cable Test）、DLDP支持802.1ag、支持802.3ah支持USB进行文件上传和下载  5.2.4 S5800大容量多业务无线控制概述：H3C WX5000系列无线产品是杭州华三通信技术有限公司(以下简称H3C公司)自主研发的系列多业务无线控制器(AC，Access Controller)。H3C WX5000系列多业务无线控制器具有容量适中、高可靠性、业务类型丰富等特点，提供了丰富的有线数据和无线数据的处理功能。H3C WX5000系列多业务无线控

41、制器集精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS及IPv4&IPv6等多功能于一体，提供强大的WLAN接入控制功能。H3C WX5000系列多业务无线控制器定位在企业网，城域网WLAN接入，是大中型企业园区WLAN接入、无线城域网覆盖、热点覆盖等应用环境的最理想的接入控制器。H3C WX5000系列多业务无线控制器包括H3C WX5002(-64)、WX5004无线控制器和LSWM1WCM10、LSWM1WCM20无线控制业务板，是H3C公司自主研发的无线控制器，配合H3C公司自主研发的Fit AP，可以方便的部署于任何现有的二层网络或三层网络之中，控制器和A

42、P通过IETF制定的CAPWAP协议进行互联而无需针对现在有网络进行重新配置。LSWM1WCM10为H3C S5800系列交换机大容量无线控制业务板卡，基础规格支持64个AP，通过license32升级(最多支持6个license32)，最多可以支持256个AP，4K个无线用户，可以满足大型无线网络的部署需求。H3C公司使用创新的基于认证的组网来提供网络服务，这种方法基于用户身份而非端口或设备，以便跨越整个网络实现移动性和安全性。当用户漫游网络时，通过WLAN网络范围内的无线控制器的信息交换，以实现在整个网络范围内执行一致的访问和安全策略。同时采用WPA/WPA2和802.1X认证结合的AES

43、、TKIP以及WEP加密等功能增强了网络安全。 图1 S5800大容量多业务无线控制业务板设备外观图 5.2.5 S5800大容量多业务无线控制特点：l           提供对802.11n AP的管理H3C WX5000系列多业务无线控制器在支持对传统802.11a/b/g AP管理的同时，还可以与H3C基于802.11n协议的WA2600系列AP配合组网，从而提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围，使无线多媒体应用成为现实。

44、l           提供灵活的数据转发方式支持集中式转发和分布式转发。单一的集中式转发，AC虽然能对报文进行全面控制，但所有的无线业务流都要到AC进行统一处理，使得AC的转发能力很容易成为瓶颈。特别是当通过广域网方式转发时，AP作为数据接入设备部署在分支机构，而无线控制器部署在总部，所有用户数据由AP发送到无线控制器，再由无线控制器进行集中转发，导致转发效率低下。WX5000系列多业务无线控制器支持两种转发方式，用户可以根据需要给SSID设置转发的类型。l   

45、        运营级的无线用户接入控制和管理基于用户的接入控制是H3C WX5000系列多业务无线控制器产品的一大特色，User Profile(用户配置文件)提供一个配置模板，能够保存预设配置(一系列配置的集合)。用户可以根据不同的应用场景为User Profile配置不同的内容，比如CAR(Committed Access Rate，承诺访问速率)策略和QoS(Quality of Service，服务质量)策略等。用户访问设备时，需要先进行身份认证。在认证过程中，认证服务器会将User Profile名称下发给设备，

46、设备会立即启用User Profile里配置的具体内容。当用户通过认证访问设备时，设备将通过这些具体内容限制用户的访问行为。当用户下线时，系统会自动禁用User Profile下的配置项，从而取消User Profile对用户的限定。因此，User Profile适用于限制上线用户的访问行为，没有用户上线(可能是没有用户接入、或者用户没有通过认证、或者用户下线)时，User Profile是预设配置，并不生效。另外，H3C WX5000系列多业务无线控制器还支持基于MAC的认证接入控制方式，这种方式不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改，同时支持对具体用户的权限的配置，这

47、种精细的用户权限控制大大增强了无线网络的可用度，网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。基于MAC的VLAN同样也是H3C WX5000系列多业务无线控制器的一大特色，在控制策略上，管理员可以把相同性质的用户(MAC)划分到同一个VLAN，同时在控制器上基于VLAN配置安全策略，这样做既可以简化系统配置，又可以做到用户级粒度的精细管理。l           提供基于AP位置的用户接入控制出于安全性或计费等的考虑，系统管理员可能希望控制无线用户接入到网络中的位置。H3C

48、WX5000系列多业务无线控制器支持基于AP位置的用户接入控制。当无线用户接入网络时，可以通过认证服务器向AC下发允许用户接入的AP列表，在AC上进行接入控制，从而达到限制无线用户只能接入到指定位置的AP的目的。l           高可靠的备份功能(1) 1+1快速备份H3C WX5004无线控制器及S5800系列交换机大容量无线控制业务板卡支持300毫秒业务备份，AP会同时和两台无线控制器建立CAPWAP链路，一台作为主控制器，另外一台作为备份控制器，但只有和主控制器建立的CAPWAP链路

49、处于工作状态。当主控制器异常down机时，备份控制器和主控制器之间的心跳检测机制可以保证在300毫秒之内检测到主设备的异常，并通知AP将主控制器CAPWAP链路切换，保证控制信号的不间断传送。(2) N+1备份当多台WX5000系列控制器部署时，N+1备份方案为可靠性和经济性折中的最好方案，其中N台WX5000各自独立工作，外加一台WX5000作为备份AC，N台AC中任何一台出现故障，都会切换到备份AC上。而当主AC恢复后，AP将自动回切到主AC上，可保障AP尽量同主AC连接。WX5000系列多业务无线控制器每台备份设备最多可以支持4台主设备，即4+1。(3) N+N备份当多台WX5000系列

50、控制器部署时，N+N备份可以实现最灵活的备份方案。 当有N台WX5000无线控制器同时工作时，AP初次会选择一个最优的控制器进行接入，当链接出现问题的时候，AP会在网络中重新选择一个新的最优控制器重新进行注册接入，进而实现了AP的接入备份，以及AC间负载均担。AP对最优控制器的选择，可以根据控制器负载情况动态计算(AC间动态负载均担)或事先指定控制器优先级等多种方式，十分灵活。实现N+N备份，组网中总AP数量只要小于(总AC数量-1)台控制器能够管理的AP规格即可满足备份的要求。l         

51、60; 信道智能切换无线局域网中，相邻无线AP需要尽可能工作在不同信道中，以减少相邻信道干扰。对于无线局域网，信道是非常稀缺的资源，每个AP只能够工作在非常有限的非重叠信道上，比如对于2.4G网络，只有个非重叠信道，所以如何智能地为AP分配信道是无线应用的关键。同时，无线局域网工作的频段存在大量可能的干扰源，如雷达、微波炉，它们在网络中的出现将干扰AP的正常工作。通过信道智能切换功能，可以保证每个AP能够分配到最优的信道，尽可能地减少和避免相邻信道干扰，而且通过实时信道干扰检测，可以让AP实时避开雷达，微波炉等干扰源。l      &

52、#160;    智能AP负载分担WLAN网络的IEEE标准802.11协议把无线漫游的决策交给了无线客户端，无线客户端一般会根据AP信号强度(RSSI)选择AP，这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于这些客户端共享无线媒介，导致每个客户端的网络吞吐将大量减少。智能负载分担方法可以实时地分析无线客户端的位置，动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载，通过控制无线客户端接入的AP，来实现这些AP间的负载分担。系统不仅支持按照用户在线会话数的负载分担，而且支持按照用户流量负载的分担。l  

53、0;        无线入侵检测/防御(WIDS/WIPS)(1) 非法AP检测非法设备的告警和攻击防护功能使得H3C WX5000系列多业务无线控制器可以自动监测WLAN网络中的非法设备(例如Rouge AP，或者Ad Hoc 无线终端)，并实时上报网管中心，同时对非法设备的攻击可以进行自动防护，最大程度地保护无线网络。(2) 白名单功能H3C WX5000系列多业务无线控制器支持静态配置白名单功能，该功能一旦启用，只有白名单上的无线用户才被认为是合法用户，其他非法用户的报文全部在AP上被丢弃，从而减少非法报文对无线网络的

54、冲击。(3) 黑名单功能H3C WX5000系列多业务无线控制器支持静态配置黑名单和动态黑名单功能，用户可以通过配置方式或者控制器实时检测侦听的方式来确定设备是否被加入黑名单，被加入到黑名单中的设备发过来的报文全部在AP上丢弃，从而减少攻击报文对无线网络的冲击。(4) 无线协议攻击防御H3C WX5000系列多业务无线控制器支持多种攻击的检测，例如DOS攻击，Flood攻击，去认证、去连接报文的仿冒检测，以及无线用户Weak IV检测。当控制器检测到上述的攻击后，会产生告警或者日志，提醒管理员进行相应的处理。特别无线协议攻击防御可以和动态黑名单配合使用，当控制器检测到攻击时，可以将发起攻击的无

55、线客户端动态添加到动态黑名单中，从而保证WLAN系统不再被该设备攻击。l           支持802.1x认证，MAC地址认证，Portal认证，PPPoE和WAPI认证H3C WX5000系列多业务无线控制器支持多种认证方式：(1) 802.1x认证H3C WX5000系列控制器，支持TLS、PEAP、TTLS、MD5、SIM卡等多种802.1x的认证方式，同时还支持802.1x本地认证方式，提供对MD5、TLS、PEAP这几种主流认证方式的支持，用户不再需要额外配置AAA服务器。 H3C

56、 WX5000系列多业务无线控制器还支持通过802.1x认证后动态授权VLAN和ACL功能，对用户的策略可以事先设定好，用户认证时，系统自动配置客户权限。(2) MAC地址认证H3C WX5000系列控制器还支持MAC地址认证，对一些手持终端(例如：WiFi Phone、手持移动终端等)并不方便采取电脑上的认证方式，MAC地址认证却可以轻松解决该问题，实现在控制器或者CAMS服务器上配置好合法的MAC地址，这些MAC地址对应的终端就可以被允许被接入到网络，而事先没有被配置的非法终端则不能接入无线网络，该功能极大地方便了例如无线医疗系统等应用，MAC地址认证可以确保只有医院的PDA工作终端才能接

57、入到无线网络，而拒绝病人的无线PDA使用专用无线网络。(3) Portal认证H3C WX5000系列控制器还支持Portal认证，一些企业外部的客户希望使用无线网络，来访问Internet，很可能外部员工并没有安装例如802.1x客户端软件，这时，Portal认证提供了很好的认证方式。(4) PPPoE认证H3C WX5000系列控制器还支持PPPoE认证，通过PPPoE的成熟的认证，计费功能，可以方便做到按流量计费等高级的计费方式，可以满足一些客户的运营级需求。WAPI认证，H3C WX5004无线控制器及S5800大容量无线控制业务板卡支持中国自主知识产权的WAPI认证。l &

58、#160;         支持IPv6H3C WX5000系列多业务无线控制器支持无线客户的IPV6接入，这时IPv6用户的网关不在无线控制器上，需要专门的IPv6网关，控制器对用户的IPv6报文感知，在隧道起点AP上，由于设备对IPv6感知，所以可以做到IPv6优先级到隧道优先级映射等，在AC侧，同样可以对IPv6报文进行ACL过滤等复杂的控制和过滤。H3C WX5000系列多业务无线控制器同样可以部署在IPv6网络中，AC和AP之间自动协商成IPv6隧道。AC和AP完全工作在IPv6状态时，无线控制器仍能正确

59、地感知IPv4，并能处理无线客户的IPv4报文。H3C WX5000系列多业务无线控制器IPv4/6灵活的适应能力，能满足客户在IPv4到IPv6网络迁移中的各种复杂的应用，既能在IPv6孤岛中给客户提供IPv4的服务，同时也能在IPv4孤岛中让用户轻松通过IPv6协议登录到网络。l           端到端的QoSH3C WX5000系列多业务无线控制器基于Comware V5平台开发，不但对Diff-Serv标准的完善支持，同时增加了对IPv6协议的QoS支持。QoS Diff-Serv

60、模型中主要包括流分类、流量监管(Policing)、队列管理、队列调度(Scheduling)等，完整实现了标准中定义的EF、AF1AF4、BE等六组PHB及业务，使网络运营商可为用户提供具有不同服务质量等级的服务保证，使Internet真正成为同时承载数据、语音和视频业务的综合网络。l           高性能大容量MESH网关WX5000系列多业务无线控制器支持IEEE 802.11s draft MESH网络标准；WLAN Mesh网络是一种新的无线局域网类型。与传统的WLAN不同的是，WLAN Mesh网络中的AP是无线连接的，而且AP间可以建立多跳的无线链路。因为只是骨干网进行了变动，对于终端用户来讲，传统的WLAN和WLAN Mesh网络没有任何区别。WLAN