智慧校园无线网络项目方案建议书

1、金钼股份工业园弱电系统信息化建设方案 智慧校园无线网络项目方案建议书金钼股份工业园弱电系统信息化建设方页 DATE yyyy-MM-dd 2019-04-18华三通信技术有限公司第页目 录 TOC o 1-3 h z u HYPERLINK l _Toc6517536 第1章 需求分析 PAGEREF _Toc6517536 h 7 HYPERLINK l _Toc6517537 1.1. 总体要求 PAGEREF _Toc6517537 h 7 HYPERLINK l _Toc6517538 1.2. 项目需求概述 PAGEREF _Toc6517538 h 7 HYPERLINK l _T

2、oc6517539 1.3. 技术需求分析 PAGEREF _Toc6517539 h 7 HYPERLINK l _Toc6517540 第2章 校园无线校园网建设方案 PAGEREF _Toc6517540 h 10 HYPERLINK l _Toc6517541 2.1. 方案拓扑 PAGEREF _Toc6517541 h 10 HYPERLINK l _Toc6517542 2.2. 整体方案描述 PAGEREF _Toc6517542 h 10 HYPERLINK l _Toc6517543 2.3. 供电方式的选择 PAGEREF _Toc6517543 h 11 HYPERLI

3、NK l _Toc6517544 2.4. 无线认证方案 PAGEREF _Toc6517544 h 12 HYPERLINK l _Toc6517545 2.4.1. H3C WLAN 用户接入认证功能概述 PAGEREF _Toc6517545 h 12 HYPERLINK l _Toc6517546 2.4.2. Portal认证（Web认证） PAGEREF _Toc6517546 h 12 HYPERLINK l _Toc6517547 2.4.3. 802.1x接入认证 PAGEREF _Toc6517547 h 15 HYPERLINK l _Toc6517548 2.4.4.

4、PSK接入认证 PAGEREF _Toc6517548 h 16 HYPERLINK l _Toc6517549 2.4.5. MAC接入认证 PAGEREF _Toc6517549 h 17 HYPERLINK l _Toc6517550 2.4.6. EAP终结和本地认证 PAGEREF _Toc6517550 h 18 HYPERLINK l _Toc6517551 2.4.7. 本项目的认证方式 PAGEREF _Toc6517551 h 18 HYPERLINK l _Toc6517552 2.5. H3C无线频谱分析方案 PAGEREF _Toc6517552 h 19 HYPER

5、LINK l _Toc6517553 2.6. 无线安全方案 PAGEREF _Toc6517553 h 29 HYPERLINK l _Toc6517554 2.6.1. 无线SAVI PAGEREF _Toc6517554 h 29 HYPERLINK l _Toc6517555 2.6.2. 无线SAVI典型配置 PAGEREF _Toc6517555 h 30 HYPERLINK l _Toc6517556 2.6.3. 防ARP病毒 PAGEREF _Toc6517556 h 34 HYPERLINK l _Toc6517557 2.6.4. 无线入侵检测WIDS PAGEREF _

6、Toc6517557 h 35 HYPERLINK l _Toc6517558 2.7. 漫游切换支持方案 PAGEREF _Toc6517558 h 37 HYPERLINK l _Toc6517559 2.8. 业务QOS支持方案 PAGEREF _Toc6517559 h 38 HYPERLINK l _Toc6517560 2.9. 智能射频管理方案 PAGEREF _Toc6517560 h 39 HYPERLINK l _Toc6517561 2.10. 智能负载均衡方案 PAGEREF _Toc6517561 h 39 HYPERLINK l _Toc6517562 2.11.

7、IPV6支持方案 PAGEREF _Toc6517562 h 40 HYPERLINK l _Toc6517563 2.12. 无线控制器N+1、1+1冗余备份方案 PAGEREF _Toc6517563 h 41 HYPERLINK l _Toc6517564 第3章 项目实施方案 PAGEREF _Toc6517564 h 46 HYPERLINK l _Toc6517565 3.1. 概述 PAGEREF _Toc6517565 h 46 HYPERLINK l _Toc6517566 3.1.1. 项目背景 PAGEREF _Toc6517566 h 46 HYPERLINK l _T

8、oc6517567 3.1.2. 项目目标 PAGEREF _Toc6517567 h 46 HYPERLINK l _Toc6517568 3.2. 无线覆盖规划原则 PAGEREF _Toc6517568 h 46 HYPERLINK l _Toc6517569 3.2.1. 频率规划 PAGEREF _Toc6517569 h 46 HYPERLINK l _Toc6517570 3.2.2. 频率复用规划 PAGEREF _Toc6517570 h 47 HYPERLINK l _Toc6517571 3.2.3. AP容量规划 PAGEREF _Toc6517571 h 48 HYP

9、ERLINK l _Toc6517572 3.2.4. 覆盖效果理论计算 PAGEREF _Toc6517572 h 49 HYPERLINK l _Toc6517573 3.2.5. 覆盖区域详细说明 PAGEREF _Toc6517573 h 49 HYPERLINK l _Toc6517574 第4章 设备到货验收方案 PAGEREF _Toc6517574 h 51 HYPERLINK l _Toc6517575 4.1. 方案概述 PAGEREF _Toc6517575 h 51 HYPERLINK l _Toc6517576 4.2. 验收设备范围 PAGEREF _Toc6517

10、576 h 52 HYPERLINK l _Toc6517577 4.3. 设备开箱准备 PAGEREF _Toc6517577 h 52 HYPERLINK l _Toc6517578 4.3.1. 明确参加人员 PAGEREF _Toc6517578 h 52 HYPERLINK l _Toc6517579 4.3.2. 开箱准备 PAGEREF _Toc6517579 h 52 HYPERLINK l _Toc6517580 4.3.3. 注意事项 PAGEREF _Toc6517580 h 53 HYPERLINK l _Toc6517581 4.4. 开箱验货 PAGEREF _To

11、c6517581 h 53 HYPERLINK l _Toc6517582 4.4.1. 开箱方法 PAGEREF _Toc6517582 h 53 HYPERLINK l _Toc6517583 4.4.2. 核对物料方法 PAGEREF _Toc6517583 h 59 HYPERLINK l _Toc6517584 4.4.3. 货物加电验收 PAGEREF _Toc6517584 h 60 HYPERLINK l _Toc6517585 4.4.4. 到货即损（DOA）问题处理方法 PAGEREF _Toc6517585 h 61 HYPERLINK l _Toc6517586 4.4

12、.5. 验货确认和货物移交 PAGEREF _Toc6517586 h 65 HYPERLINK l _Toc6517587 4.4.6. 货物搬运和存放注意事项 PAGEREF _Toc6517587 h 65 HYPERLINK l _Toc6517588 第5章 售后服务方案 PAGEREF _Toc6517588 h 67 HYPERLINK l _Toc6517589 5.1. H3C服务体系介绍 PAGEREF _Toc6517589 h 67 HYPERLINK l _Toc6517590 5.1.1. H3C公司全球技术服务部 PAGEREF _Toc6517590 h 67

13、HYPERLINK l _Toc6517591 5.1.2. H3C全球客户服务呼叫中心 PAGEREF _Toc6517591 h 67 HYPERLINK l _Toc6517592 5.1.3. H3C技术支持中心 PAGEREF _Toc6517592 h 68 HYPERLINK l _Toc6517593 5.1.4. H3C备件中心 PAGEREF _Toc6517593 h 68 HYPERLINK l _Toc6517594 5.1.5. H3C培训中心 PAGEREF _Toc6517594 h 69 HYPERLINK l _Toc6517595 5.1.6. 报告输出服

14、务 PAGEREF _Toc6517595 h 70 HYPERLINK l _Toc6517596 5.1.7. 全天候724的远程技术支持服务 PAGEREF _Toc6517596 h 70 HYPERLINK l _Toc6517597 5.1.8. 维护性软件版本支持服务 PAGEREF _Toc6517597 h 71 HYPERLINK l _Toc6517598 5.1.9. 现场技术支持服务(7*24*2) PAGEREF _Toc6517598 h 71 HYPERLINK l _Toc6517599 5.1.10. 高级巡检服务 PAGEREF _Toc6517599 h

15、 72 HYPERLINK l _Toc6517600 5.1.11. 系统应急预案 PAGEREF _Toc6517600 h 72 HYPERLINK l _Toc6517601 5.1.12. 重要时刻专人值守服务 PAGEREF _Toc6517601 h 74 HYPERLINK l _Toc6517602 5.1.13. 研发现场支持服务 PAGEREF _Toc6517602 h 74 HYPERLINK l _Toc6517603 5.1.14. 网管系统开发支持 PAGEREF _Toc6517603 h 74 HYPERLINK l _Toc6517604 5.1.15.

16、定制化培训支持 PAGEREF _Toc6517604 h 75 HYPERLINK l _Toc6517605 5.1.16. 网站与论坛在线支持服务 PAGEREF _Toc6517605 h 75 HYPERLINK l _Toc6517606 5.1.17. 质保期后的支持与服务 PAGEREF _Toc6517606 h 75 HYPERLINK l _Toc6517607 第6章 培训方案 PAGEREF _Toc6517607 h 76 HYPERLINK l _Toc6517608 6.1. H3C培训总体介绍 PAGEREF _Toc6517608 h 76 HYPERLIN

17、K l _Toc6517609 6.1.1. 培训理念 PAGEREF _Toc6517609 h 76 HYPERLINK l _Toc6517610 6.1.2. 培训中心介绍 PAGEREF _Toc6517610 h 76 HYPERLINK l _Toc6517611 6.1.3. 培训师资 PAGEREF _Toc6517611 h 76 HYPERLINK l _Toc6517612 6.1.4. 培训体系 PAGEREF _Toc6517612 h 77 HYPERLINK l _Toc6517613 6.2. 针对本项目的培训计划 PAGEREF _Toc6517613 h

18、78 HYPERLINK l _Toc6517614 6.2.1. 培训目的 PAGEREF _Toc6517614 h 78 HYPERLINK l _Toc6517615 6.2.2. 培训内容及进度 PAGEREF _Toc6517615 h 78 HYPERLINK l _Toc6517616 6.2.3. 标准培训 PAGEREF _Toc6517616 h 79 HYPERLINK l _Toc6517617 6.2.4. 现场培训 PAGEREF _Toc6517617 h 80 HYPERLINK l _Toc6517618 6.2.5. 厂家授权培训 PAGEREF _Toc

19、6517618 h 80 HYPERLINK l _Toc6517619 6.3. 成功案例及证明 PAGEREF _Toc6517619 h 84 HYPERLINK l _Toc6517620 6.3.1. 澳大利亚DET无线教育网用户证明(11000台11n AP) PAGEREF _Toc6517620 h 84 HYPERLINK l _Toc6517621 6.3.2. 广州移动11n合同复印件(6149台11n AP) PAGEREF _Toc6517621 h 85 HYPERLINK l _Toc6517622 6.3.3. 杭州下沙高校园区无线校园网用户使用报告(7000台

20、11n AP) PAGEREF _Toc6517622 h 88 HYPERLINK l _Toc6517623 6.3.4. 其他国内大规模部署案例 PAGEREF _Toc6517623 h 89 HYPERLINK l _Toc6517624 第7章 、附件 PAGEREF _Toc6517624 h 90 HYPERLINK l _Toc6517625 7.1. 设备厂商介绍H3C公司概述 PAGEREF _Toc6517625 h 90 HYPERLINK l _Toc6517626 7.2. H3C领先的WLAN解决方案提供商 PAGEREF _Toc6517626 h 90 HY

21、PERLINK l _Toc6517627 7.3. H3C WLAN产品技术优势说明 PAGEREF _Toc6517627 h 91 HYPERLINK l _Toc6517628 7.4. H3C部分国内案例 PAGEREF _Toc6517628 h 100 HYPERLINK l _Toc6517629 7.5. 无线局域网建设概论 PAGEREF _Toc6517629 h 104需求分析总体要求无线网工程的总体原则如下：侧重实际应用，覆盖学校的整体校园环境提供切实可用的、稳定的无线网络环境。采取先进通行的协议标准，即目前无线局域网普遍采用802.11系列标准，无线局域网提供802

22、.11a、802.11b/g、802.11n、802.11ac标准的联网支持，提供可供实际应用的稳定网络通讯服务。实现室内无线网络的合理分布，考虑室内实现无线网络的不同情况和特点以及目前学生教室手提电脑用户数量日益增多的情况，应采取合理的布网方式满足现在以及未来发展的需要。无线网系统必须实现与学校有线网现有认证系统对接，从而实现校园有线网与无线网的统一身份认证。项目需求概述建设学校包括教学楼、办公楼等大楼的无线网络，采用802.11ac双频室内放装型和终结者型及室外型AP覆盖，保证无线网络覆盖的性能。技术需求分析为保证信号覆盖效果，室内无线AP输出点信号强度-73dbm；根据实际的情况选择供电

23、方式为了满足大容量并且以备扩容和发展，室内无线AP要求必须支持两个射频模块，可以同时工作在2.4GHz和5.8GHz频段；无线接入点（AP）必须至少支持IEEE802.11a、IEEE802.11b/g、IEEE802.11n、IEEE802.11ac五种无线传输协议，在保证高速无线接入的同时对老旧无线网卡的支持；无线AP必须支持无线用户的隔离功能，以防止在公共区域无线用户间的信息泄露；无线AP必须支持Multi SSID功能，AP自身具备为不同SSID无线用户接入有线网络或互联网络提供不同身份认证策略的功能；无线AP自身应具备智能的、无需要辅助设备就可根据周围电磁波环境的变化，自动进行频道最

24、优化设置，以达到最优化覆盖的目的；无线AP之间可根据相互通告来获取对方连接的用户数量及流量，从而实现AP的负载均衡，并支持用户在不同AP间平滑漫游；无线AP支持射频(RF)信号加密特性，支持802.11i安全标准，提供WPA2认证机制可同时提供TKIP以及AES加密方式，且AP具有自动识别客户端两种加密请求方式；无线系统的用户认证页面需要能够支持个性化定制，并完成与校园网当前使用的认证系统对接，从而实现无线用户上网时的接入认证，以达到对校园网上网用户进行统一认证及管理的目的；无线系统须支持WPA以及WPA2认证，支持WPA/WPA2安全规范，支持标准的802.1x认证流程，内嵌Radius S

25、erver，支持EAP-MD5，EAP-TLS，EAP-TTLS，PEAP等多种认证协议；系统须支持基于MAC地址的认证，以及用户账号与MAC地址的绑定认证；由于本次无线项目部署的AP数量较大，因此，需要采用大容量控制器来简化管理。校园无线校园网建设方案方案拓扑本次设计拓扑图如下：整体方案描述基于网络的先进性考虑，本次学校无线网络设备项目采用目前主流的无线控制器+瘦AP的架构,在实现对校园进行无缝覆盖的同时，又能够实现对无线网络的灵活管理配置,提高网络维护效率。由于本次项目所需室内型AP总数多，随着无线用户的增加，将来无线网络的对设备的压力势必非常大。因此在本次无线校园网解决方案中采用2台S1

26、0508核心交换机+无线控制器插板做AC1+1冗余的形式，实现对于本期无线校园网中所有的AP的统一管理。本次S10508核心交换机还配置了ACG网关控制模块能够对所有的无线流量进行审计和控制。AP采用H3C WA4620i-ACN双频3流AP、WA4620E双频3流AP以及H3C WTU430Z终结者AP，WA 4360i 、WA4620E都支持两个射频模块，可以同时工作在2.4GHz和5GHz，在设备数量不变的情况下，把网络的接入容量提高一倍，以满足WLAN用户快速增长的需求；WTU430Z终结者AP相比传统的瘦AP架构，增加了“终极者AP本体”这个角色，每个房间仍然有一个分体AP覆盖，分体

27、AP通过网线连接到本体AP，本体AP为这些分体AP进行PoE供电的同时，也能够进行管理和维护。终结者AP具备上行接口，在部署过程当中可以发挥接入交换机的作用，与上行汇聚或者核心连接。当分体AP失去关联或者故障的时候可以再本体AP上发现。本次终结者AP部署方案提出采用86面板盒的安装模式可基于面板盒的形式安装，除了美观外，更使得能够灵活的快速安装。同样终极者分体AP部署在房间内，独立工作。相比传统的室分和放装方案，每个房间内的用户可独享单AP的提供的带宽。H3C全系列的终结者方案都支持802.11ac千兆无线接入。可以充分的满足客户对高带宽的需求。分体AP采用PoE供电。供电方式的选择如果实际环

28、境需要可以采用本地供电的方式，也可采用POE/POE+交换机基于标准的802.3af/802.3at实现对AP的供电。无线认证方案H3C WLAN 用户接入认证功能概述用户接入认证用户接入认证实现了对接入用户的身份认证，为网络服务提供了安全保护。H3C无线接入认证主要有802.1x接入认证、PSK认证、MAC接入认证以及有线网络常用的portal认证和PPPOE/L2TP认证，H3C的无线产品还可以支持国家WAPI标准规定的终端接入认证协议。在下文中只是详细描述802.1x接入认证、PSK认证、MAC接入、Portal认证、PPPOE/L2TP认证等。动态控制用户权限接入认证只解决了用户的身份

29、验证问题，而无法对不同身份的用户提供不同等级的服务和访问权限，通过和AAA服务器配合，H3C的无线设备支持对认证用户动态下发带宽、VLAN、ACL、优先级等参数，对于不同的用户群和业务可以控制其访问网络的权限，限制网络资源的使用，通过VLAN和优先级来标识用户和业务，并做到业务隔离。Hotspot用户隔离随着无线终端的普及，运营商目前都在大力开展无线热点业务，而其中一个重要需求是希望所有用户的数据流量在AP本地不做交换，而都必需经由BRAS设备交换和控制。Hotspot用户隔离通过限制相同SSID下的接入用户的互访，可以保证未认证用户无法在AP上做互访。Portal认证（Web认证）Porta

30、l认证又称为强制WEB认证，以其新业务支撑能力强大、无需安装客户软件、与组网设备无关等特点，受到越来越多用户的欢迎。Portal认证业务可以为管理者提供方便的管理功能，如要求所有的用户都到门户网站去认证，门户网站可以开展广告、信息服务、个性化的业务等，为信息传播提供一个良好的载体。Portal认证原理Portal 认证协议主要应用于H3C公司提出的基于 WEB 的宽带接入认证系统中，完成用户的认证和授权。整个 Portal 认证过程涉及到了Portal 页面，WX5004 和 iMC 服务器。Portal认证工作原理：未认证用户在访问网络时，可以直接访问为用户免费开放的资源，当用户要使用网络中

31、的收费资源时，设备会将用户的http请求重定向到Portal门户网站，用户必须在门户网站进行认证，只有认证通过后才可以访问这些资源。Portal认证的工作流程如下图所示：图 STYLEREF 1 s 3 SEQ 图 * ARABIC s 1 2 Portal认证流程认证流程：用户通过IE访问需要授权的网络资源，设备发现用户还没有通过认证则强制到Portal，Portal Server将WEB页面强推给用户，提示用户需要进行认证。用户在WEB页面中输入用户名密码并提交认证，Portal Server将认证信息发送给设备，设备将用户信息转换为Radius报文发送到iMC服务器进行认证。iMC服务器

32、对用户信息进行验证，确认无误后，下发认证通过报文以及相应的权限控制信息给设备，设备放开用户的上网权限，同时iMC服务器开始进行计费。上网期间，用户PC和Portal Server定时发送心跳报文交互，以确保用户没有因异常原因下线。用户下线时，Portal Server收到用户下线请求并通知设备，iMC服务器终止计费并通知设备断开用户。Portal功能特点不需要安装客户端软件相对于其他的认证方式，Portal认证通过网页即可实现认证，无需安装客户端。不但减少了用户机器的负担，而且方便了上网用户的使用，同时管理者也不用逐一为每个上网用户安装和升级客户端软件，极大减轻管理难度。可对在线用户进行实时检

33、测用户认证通过后，Portal Server和用户之间采用心跳机制保持通信，当终端用户的机器出现异常时，比如：死机、网络断线、异常关闭浏览器等情况出现时，Portal Server就可以及时发现用户侧的问题，并通知设备将此终端用户下线并且停止计费；同时Portal Server支持开启或者关闭心跳，也可以设置心跳的间隔和心跳超时时长，这种功能使心跳检测更加灵活，大大提高了计费精度和对复杂的网络的适应能力。具有按用户接入端口分组的功能，可为不同组用户提供不同的配置Portal认证可以根据用户所在交换机的端口以及用户所在的IP地址池，将用户划分为不同的组，每个组都可以设置不同的认证主页、不同的认证

34、方式，从而方便对不同的用户进行管理。同时PORTAL所有的认证页面都使用了动态页面技术，管理员可以根据不同用户群的特点，定制特色认证页面，极大提高用户使用满意度。支持二次地址分配和NAT功能为了减少公网IP地址资源的浪费，PORTAL通过与设备的配合，使用户在认证前使用的是私网IP，认证成功后再分配公网IP，从而保证了公网IP地址的更加合理的应用。如果用户的IP地址经过了NAT转换，再经过PORTAL服务进行认证，PORTAL服务器支持开启NAT功能，可以为用户下载一个APPLET，获取用户的实际IP地址，再通过设备进行认证。支持认证窗口的最小化功能 用户在认证通过后，Portal支持在线窗口

35、可以最小化到任务栏，以减少对用户上网的影响。防止窗口过滤的功能 很多上网用户出于安全的考虑或者防止网上的垃圾广告，会安装个人防火墙或者窗口过滤工具，来防止IE 弹出窗口。如果用户的IE开启了窗口过滤的功能，Portal在弹出认证成功窗口时，会进行窗口过滤的检测，从而防止由于窗口过滤而无法认证成功的情况。802.1x接入认证以设备端PAE对EAP报文进行中继转发为例。在WLAN应用网络中，WLAN客户端Station为客户端PAE，提供WLAN服务的设备为设备端PAE。设备端通过产生一个随机Challenge发送给客户端；客户端会使用配置的密钥对该Challenge进行加密处理并将处理后的信息返

36、回设备端；设备端根据客户端返回的加密后的Challenge以及原始的Challenge进行比较判断，设备端完成对客户端的单项认证。为了提高WLAN服务的数据安全性，IEEE 802.1x和IEEE802.11i中使用了EAPOL-Key的协商过程，设备端和客户端实现动态密钥协商和管理；同时通过802.1x协商，客户端PAE和设备端PAE协商相同的一个种子密钥PMK（参见IEEE802.11i），进一步提高了密钥协商的安全性。802.1x支持多种EAP认证方式，如EAP-TLS、EAP-PEAP、EAP-TTLS、EAP-MD5、EAP-SIM等，其中EAP-TLS为基于用户安全证书的身份验证。

37、EAP-TLS 是一种相互的身份验证方法，也就是说，客户端和服务器端进行相互身份验证。在EAP-TLS 交换过程中，远程访问客户端发送其用户证书，而远程访问服务器发送其计算机证书。如果其中一个证书未发送或无效，则连接将终断。在无线局域网应用中，当EAP TLS认证成功时，客户端PAE和Radius服务器会对应产生公用的对称的Radius Key，Radius服务器会在认证成功消息中将Radius Key通知设备端PAE。客户端PAE和设备端PAE会根据该Radius Key，客户端MAC地址以及设备端MAC地址，产生种子密钥PMK以及对应的索引PMKID。根据IEEE802.11i协议定义的算

38、法，设备端PAE和客户端PAE可以获得相同的PMK，该种子密钥将在密钥协商过程（EAPOL-Key密钥协商）中使用。PSK接入认证PSK接入认证为IEEE802.11i定义的一种新的接入认证方式，该认证方式仅支持WLAN接入客户端。PSK认证需要实现在客户端和设备端配置相同的预共享密钥，而具体的认证过程实际上在密钥协商过程（EAPOL-Key密钥协商过程）中完成。在密钥协商过程中，预共享密钥将作为输入生成密钥协商使用的PMK。可以通过是否能够对协商的消息成功解密，来确定本端配置的预共享密钥是否和对端配置的预共享密钥相同，完成设备端和客户端的互相认证。如果密钥协商成功，则表明PSK接入认证成功；

39、如果密钥协商失败，则可以认为PSK接入认证失败。在WLAN应用中，PSK接入认证可以和MAC接入认证配合使用；但是对于一个客户端不能同时进行PSK接入认证和802.1x接入认证。在WLAN客户端和WLAN建立链路协商过程中，WLAN会为接入用户选择所使用的认证方式。这个在802.11用户接入过程的描述中，会给出相应的描述。MAC接入认证MAC接入认证是另外一种接入认证方式。MAC接入认证主要为当设备端发现客户端的MAC地址为未知的MAC地址时，设备端会发起对客户端的MAC地址的认证。MAC接入认证也使用Radius服务器对客户端进行认证。当MAC接入认证发现当前接入的客户端为未知客户端，会主动

40、向Radius服务器发起认证请求。Radius服务器完成对该客户端的认证，并通知设备端认证结果以及相应的授权信息。MAC接入认证过程不需要客户端参与，MAC接入认证可以支持有线用户和WLAN用户。无线局域网虽然没有明确采用MAC认证，当时在实际的无线局域网应用中，无线局域网会将MAC认证和其它的认证方式一起配合使用。例如，可以同时使用MAC接入认证和PSK认证。PSK认证完成密钥协商以及预共享密钥确认；而MAC接入认证除了实现MAC地址认证外，还可以实现对该用户的计费、授权。EAP终结和本地认证虽然802.1x是目前802.11i定义推荐的无线认证方式，但目前的市场现状是一些企业和单位正在使用

41、的AAA服务器不支持802.1x接入认证方式，无法处理EAPOL报文，为了能够兼容这些企业已经部署的AAA服务器，同时又能够提供安全的802.1x无线接入认证服务，H3C的无线产品支持对用户EAP报文的终结，H3C的无线产品和AAA服务器之间采用标准的AAA协议，而不是EAP over AAA协议。通过该功能可以有效的保护用户已有的投资，不对用户已有的认证服务器做改动。此外针对一些中小企业客户不具备AAA服务器的现状，H3C的无线产品内置了本地认证server功能，用户在开展无线安全接入服务时不再需要单独部署一台AAA服务器，这可以有效的节省用户的投资，同时减少用户的维护工作量。本项目的认证方

42、式本项目的认证方式可以采用Portal认证（无需安装客户端），当终端接入无线网络后不能访问任何网络资源，用户输入任何地址都会被重定向到控制器上的Portal页面，用户输入用户名密码后，无线控制器把用户名密码送给现有认证计费认证系统进行认证，认证计费系统如果认证成功，则在给无线控制器发送认证成功的消息的同时启动计费，这样当用户的流量通过计费网关的时候，就不会再弹出认证窗口。本项目推荐的FIT AP组网方案可以支持以上认证方式，根据用户的使用习惯，采用Portal认证的方式为管理者可提供更方便的管理功能，不需要安装客户端，用户打开IE浏览器输入任何地址时将自动弹出要求认证的对话框，要求输入用户名和

43、密码进行认证，在通过认证审核后用户采用联入网络，同时在数据传输过程中可以对传输数据进行加密处理以保证数据的安全性。在认证的具体实现方面，网络中心机房部署的已有的CAMS认证服务器建立并维护用户数据，对接入用户进行最终的授权，由学校已有的认证设备做为认证接入网关，并推出Portal认证方式的IE认证页面，并同无线网管软件共同实现对用户的管理。当用户在AP内进行切换时，此时的主要工作由无线控制器进行统一调度，当用户在不同AP的覆盖范围时用户不会再次触发认证，从而不影响无线用户的业务使用质量与无线用户在不同AP之间的漫游切换速度。H3C无线频谱分析方案H3C AirMaster采用与AirMagne

44、t Spectrum XT合作，提供专业的专业频谱分析仪解决方案。AirMagnet Spectrum XT 是首个专业频谱分析仪解决方案，融合深度 RF 分析和实时 WLAN 信息，可以更迅速、更准确地排除性能问题故障。“RF 干涉对于网络整体性能的影响分析”的深刻见解有助于准确找出上述问题的根本原因。 能够主动识别和发现射频干扰源业界最大的 RF 干扰源分类数据库，可自动应答性能问题依据 Wi-Fi 影响分析功能优先排序问题/干扰源自定义签名允许即时响应干扰问题，提供独立分类更新 AirMagnet Spectrum XT 是适用于网络工程师和安装人员/集成商排除故障和部署 WLAN 网络

45、的理想解决方案，并且可以使用普遍和方便的 USB 形状因子，允许其应用于任何笔记本、上网本或者平板电脑。干扰源自动身份证明和定位AirMagnet Spectrum XT 可实时探测并确定大量非 WLAN 干扰源，该干扰源会干扰和降低 WLAN 网络性能。设备或干扰源名单包括蓝牙设备、数字和模拟无绳电话、传统和变频微波炉、无线游戏控制器、数字视频转换器、婴儿监视器、RF 干扰发射台、雷达、运动探测器和 zigbee 设备等等。 用户也可获得干扰源的详细信息，包括峰值和平均功率、首次和最后看到的时间、中心频率、受影响的信道、干扰源被侦测到的次数等等。借助另一部被插入同一电脑的蓝牙适配器，AirM

46、agnet Spectrum XT 可提供蓝牙的 ID、姓名、服务等信息，以便进行高级蓝牙干扰源分析。 借助 AirMagnet Spectrum XT 内置的“设备定位器工具”，用户完全可以找到在 RF 环境内运行的所有 Wi-Fi 或非 WiFi 干扰源。设备定位器工具的操作如同 Geiger 计数器，并且会在用户逐渐靠近设备位置时发出哔哔警示音。 高分辨率 RF 频谱诊断视图关键图表包括：实时 FFT - 实时查看环境内的 RF 能量以及当前、最大、最大持有和平均 RF 信号电平。 频谱密度 - 显示当前捕获期间常见信号的实时信息，查看更长周期的网络性能。这对于识别少有的发射机极为有用。

47、 谱图 - 滚动显示 RF环境的历史，并且允许可视化了解频谱随着时间的演变，查看可能造成 WLAN 网络问题的 RF 能量断断续续的钉或爆炸。burst 占空比 - 显示干扰信号出现的频率。占空比高意味着干扰源不断传输信号，最有可能对受其影响的通道带来问题。 事件频谱 - 显示过去 5 分钟检测到的干预设备的实时信息。它包括受设备影响的功率电平和信道/频率信息。 通道功率 - 显示选定频带所有通道的最大和平均电平。 干扰 - 显示选定信道上干扰设备的平均功率读数。 信道占空比及干扰功率与时间趋向对比- 显示超出噪音基线的信道平均功率以及运行中干扰设备的最大平均功率读数。 可视化 RF 干扰对于

48、 WLAN 性能的冲击为优化和确保顶级 WLAN 性能，AirMagnet Spectrum XT 引入了一种革命性的无线故障排除方法，完美结合了 RF 频谱分析和 WLAN 流量与设备分析的强大优势。用户可以插入任何受支持的无线适配器，即时查看合并的单一屏幕视图，该屏幕显示了 RF 干扰或干扰源对于 WLAN 整体真实性能的影响。 AirMagnet Spectrum XT 还可提供环境内运行的所有 Wi-Fi 设备极其配置的完整库存清单。用户有权获得大量 Wi-Fi 图表，以便更快速、高效率地解决问题，其中包括： AP 信号强度 依速度/地址/媒体分类之信道 依 CRC 或重试分类之顶级

49、10 AP 信道 SNR; 错误/重试 信道利用率 信道占用度自定义签名借助其创建适用于任何 RF 干扰设备的自定义签名的独特能力，AirMagnet Spectrum XT 可提供更高效排除任何 RF 干扰问题故障的方法，从而节约大量时间和昂贵的信息技术资源。 企业用户需要在 RF 干扰源对 WLAN 性能产生重大影响之前分类网络或环境独一无二的重复违规者。借助 AirMagnet Spectrum XT，用户可以创建适用于任何干扰源的自定义签名。创建签名非常简单，用户首先捕获干扰源签名，并使用 AirMagnet Spectrum XT 创建自定义签名，以便在设备再次遇到同样问题时自动分类

50、干扰源。 集成 AirMagnet WiFi Anlayzer 和 AirMagnet Survey在同一台电脑上运行 AirMagnet WiFi Analyzer PRO 和 AirMagnet WiFi Analyzer PRO AirMagnet Spectrum XT 的用户可以查看到 RF 频谱内每个信道的非 WLAN 干扰。简单的颜色指示器指向 RF 干扰源对于 WLAN 网络性能的影响级别。此类信息可帮助用户规划当前和计划的 WLAN 基础架构的信道设置。 在同一台机器上运行 AirMagnet Spectrum XT 的 AirMagnet Survey PRO 用户可同时执

51、行 RF 频谱勘测或搜索，而作为被动或主动跃勘测，它可减少绕行时间。用户也可得到 AirMagnet Spectrum XT 在 AirMagnet 勘测期间侦测到的干扰源清单。 纪录和回放AirMagnet Spectrum XT 用户可以保存 RF 频谱扫瞄结果，保留为真凭实据，并且随后回放，以便于捕获后调查和分析。当调查任何层级 1 服务取消攻击 WLAN 网络时，这可作为重要法庭信息，因此极其有用。用户也可彼此共享保存的曲线文件，以便进行合作分析和故障排除。 AirMagnet Spectrum XT 的即时重播功能允许用户回顾最近的频谱信息并回放，如同首次实时查看。系统要求笔记本电脑

52、/平板电脑操作系统：Microsoft Windows XP Professional (SP3)、Microsoft Windows 2003 Server、Microsoft Windows 7 Enterprise/Professional/Ultimate、Microsoft Windows Vista Business 或 Ultimate (SP2) 或平板电脑版本 2005 (SP3)注意：仅 Microsoft Windows 7 支持的 64 位操作系统Intel Core 2 Duo 2.00 GHz 或更高要求 1 GB RAM(建议 2 GB)150 MB 可用硬盘空间

53、Microsoft .NET 架构 2.0 上网本操作系统：Microsoft Windows XP Home、Microsoft Windows 7 Home Premium、Microsoft Windows 7 StarterIntel Atom N270/1.6 GHz CPU 或 N470 处理器（1.83 GHz，667MHz FSB）Microsoft .NET 架构 2.01 GB 内存（建议 2 GB）RF 频谱分析(运行 Spectrum XT 必须使用 RF 频谱适配器; 查看 RF 频谱数据和分类非 Wi-Fi 干扰源)AirMagnet Spectrum XT 适配器

54、(USB 形状因子) 天线：包装含一根全方位天线。 更多 Wi-Fi 分析 (可选的 AirMagnet 支持的 Wi-Fi 适配器)除 AirMagnet Spectrum USB 适配器支持的频谱功能之外，AirMagnet Spectrum XT 提供更多 Wi-Fi 分析功能。这不会改变 AirMagnet Spectrum USB 适配器的要求， 一旦缺乏该适配器，AirMedic USB 无法正常工作。 更多蓝牙分析使用可选的 Windows 兼容的蓝牙适配器，AirMagnet Spectrum XT 可提供高级蓝牙干扰源信息。高级信息包括蓝牙设备的名称、ID、服务等详情。 用户

55、可使用电脑内置的蓝牙适配器或外部适配器。蓝牙适配器范例之一即是经由 AirMagnet 测试的 IOGEAR GBU421 蓝牙适配器。 注意：强烈建议用户始终使用 Microsoft 开发的蓝牙设备驱动程序，而非供应商提供的驱动程序。此驱动程序已被置入 Windows XP (SP3)、Vista、 7 操作系统。请参阅 Microsoft 网站，获取其他操作系统驱动程序。小结：一：基本功能扫描 2.4G、5G、4.9G 频段，并能定位Wi-Fi 干扰源检测、识别、定位非Wi-Fi 射频干扰源，如：蓝牙、微波炉、无线游戏手柄、无绳电话，Zigbee等RF 频谱分析实时FFT图频谱密度图频谱直

56、方图信道能量图干扰能量图信道占空比事件直方图信道占空比/时间趋势图干扰能量/时间趋势图非 Wi-Fi 设备 （实时、历史、汇总）图Wi-Fi 分析AP 信号强度信道统计/速度/地址/媒体类型按照CRC错误及重传前10位的AP信道信噪比信道错误/重试信道利用率信道负载独特、创新的利用频谱分析诊断WLAN的故障 （可视化）频谱记录、快速回放二：技术参数频率范围：2402 2494 MHz 51605330 MHz 54905710MHz 57355835MHz 4910 4990MHz2. 频谱卡：108.2 38.18 毫米 ；31.2 毫克；070 摄氏度； 5伏直流/2瓦3. 振幅 +/-

57、2dB；分辨率 156.3KHz4. 扫描时间 64msec/每信道（20MHz）无线安全方案无线SAVISAVI（Source Address Validation，源地址有效性验证）特性应用在接入设备上，通过ND Snooping特性、DHCPv6 Snooping特性及IP Source Guard特性建立起地址和端口的绑定关系表，并且以绑定关系为依据对DHCPv6协议报文、ND协议报文和IPv6数据报文的源地址进行合法性的过滤检查。在一个用户较多的网络中，对用户地址的管理是一项比较麻烦的事情，如果用户自己随心所欲的配置自己的网络地址，那么对地址的管理就会非常困难，地址的利用率也会较低。

58、通过本特性，可以实现对用户地址的统一管理，只允许用户通过DHCPv6或SLAAC方式获取IPv6地址，而通过手工配置的地址是无法通过合法性检测的，从而控制该用户对网络的访问权限。ClientACLSWAPDibbler Server图 STYLEREF 1 s 3 SEQ 图 * ARABIC s 1 10无线IPv6 SAVI组网图无线SAVI典型配置主要配置步骤(1) 配置AC、AP通过IPv6建立关联。# 在AC上使能IPv6并配置IPv6地址。AC ipv6AC interface Vlan-interface1AC-vlan1 ipv6 address 3001:1:1/64# 配置

59、服务模板并使用SAVI功能。AC wlan service-template 1 clearAC-wlan-st-1 ssid IPv6_SAVIAC-wlan-st-1 bind WLAN-ESS 1AC-wlan-st-1 ip-check-sourceAC-wlan-st-1 service-template enable# 创建AP管理模板，其名称为ap1，型号名称这里选择WA2620-AGN。AC wlan ap ap1 model WA2620-AGN# 设置AP的序列号为210235A29F007C000182。AC-wlan-ap-ap1 serial-id 210235A29

60、F007C000182# 进入radio2射频视图。AC-wlan-ap-ap1 radio 2# 将在AC上配置的服务模板1与射频2进行关联。AC-wlan-ap-ap1-radio-2 service-template 1# 使能AP的radio 2。AC-wlan-ap-ap1-radio-2 radio enableAC-wlan-ap-ap1-radio-2 quitAC-wlan-ap-ap1 quit# 在交换机上配置路由公告。LSW ipv6LSW interface Vlan-interface1LSW ipv6 address 3001:1:2/64LSW ipv6 nd