浙江农林大学无线覆盖方案

浙江农林大学校园网无线覆盖建议技术方案华三通信技术有限公司2010年8月目录TOC\o"1-5"\h\z\o"CurrentDocument"第一章H3C公司简介 2\o"CurrentDocument"第二章H3CWLAN产品线简介 4\o"CurrentDocument"第三章无线设计方案 4\o"CurrentDocument"采用无线技术的好处 4\o"CurrentDocument"选用无线局域网产品的原则 5\o"CurrentDocument"需求分析 6\o"CurrentDocument"网络方案设计介绍 6\o"CurrentDocument"无线网络管理 7\o"CurrentDocument"覆盖区域 8\o"CurrentDocument"设备配置清单 10\o"CurrentDocument"第四章无线局域网安全技术 11\o"CurrentDocument"、无线局域网的安全威胁 12\o"CurrentDocument"基本的无线局域网安全技术 12\o"CurrentDocument"无线局域网的安全策略 26\o"CurrentDocument"基于硬件的安全防护 28\o"CurrentDocument"第五章服务与培训 287X24X365服务保障 28\o"CurrentDocument"故障的申报和处理流程 32\o"CurrentDocument"维修和更换服务 34\o"CurrentDocument"用户投诉流程 35\o"CurrentDocument"H3C培训I中心 35附:产品资料 .' 41\o"CurrentDocument"H3cs7500E系列髙端多业务路由交换机 41H3CS5120-EI糸列交换机 48H3CWA2600黨列无线接入点 55\o"CurrentDocument"络管理软件介绍 59第一章H3C公司简介杭州华三通信技术有限公司（以下简称H3C）成立于2003年11月,运营总部设在杭州。2006年,H3c销售收入7.12亿美元,连续三年保持70%左右的同比增长。在全国34个省市设有分支机构。目前公司有员エ近5000人,其中研发人员占51%。H3C专注于基于!P技术的网络设备与应用的研究、开发、生产、销售及服务。H3c不但拥有全线路由器和以太网交换机产品,还在网络安全、IP存储、IP监控、语音视讯、WLAN、SOHO及软件管理系统等领域稳健成长。目前,安全产品中国市场份额位居前三,IP存储亚太市场份额第一,IP监控技术全球领先,WLAN产品在国内运营商累计出货量第一，H3C已经从单ー网络设备供应商转变为多产品IToIP解决方案供应商。H3c每年将销售额的15%以上用于研发投入,在中国的北京、杭州、深圳以及印度的班加罗尔设有研发机构,在北京和杭州设有产品鉴定测试中心。目前,H3C已申请专利超过700件,其中80%是发明专利。根植中国,H3c广泛服务于党政、公检法、财税、教育、金融、电カ、能源、交通、水利、运营商、制造业、公共事业、中小企业等用户。服务全球,H3c通过与3com、华为、西门子、NEC等公司合作拓展国际市场，目前,H3c的产品和解决方案已经覆盖全球90多个国家和地区。宽带化、移动化、IP化已经成为下一代公众运营网络的代名词,作为一种灵活的宽带无线IP接入方式,WLAN借助于接入速率高、架构使用便捷、系统费用低廉及可扩展性较好等优点,应用日趋广泛,成为近些年来全球通信领域的亮点之一。据!DC等机构的调查数据显示,2006年全球WLAN市场以极快的速度增长,市场价值达50亿美元。2006年前三季度中国WLAN设备出货量达到6242万美元,未来几年中国WLAN市场仍将保持40%左右的增长速度基于对运营网络的理解和积累,在中国电信、中国网通、中国移动、中国联通等电信运营网络广泛应用的基础上,H3c运营商WLAN解决方案已成功应用于江苏电信、北京网通、天津网通、云南电信、湖北电信、江西电信、北京联通、吉林联通、上海移动、黑龙江移动等电信运营商。为数百万级的用户提供宽带无线接入服务。

典型成功案例序号项目名称所属领域相关产品1杭州网通EPON项目运营商H3c交换机、EPON设备2杭州网通无线城市运营商H3c无线控制器、FITAP2浙江省质量技术监督局政府综合布线3杭州卷烟厂企业CISCO交换机、路由器、防火墙4浙江省出入境检验检疫局政府H3C防火墙5杭州仁文学校教育城市热点计费系统、DLINK交换机、H3C交换机6浙江瑞福通银科技发展有限公司金融H3c路由器、交换机、JUNIPER防火墙7浙江省委党校教育H3CEAD端点准入防御系统部署8温州规划局政府H3CEAD端点准入防御系统部署9嘉善行政管理执法局政府H3c交换机、防火墙10台州黄岩检察院政府H3C防火墙11杭州农副产品物流中心企业H3C交换机12杭州市果品市场企业H3c交换机、路由器13上海浦东发展银行杭州分公司金融H3c交换机、CISCO路由器14杭州联发纤维台企JUNIPER防火墙15长江印染企业H3C无线网络产品16滨江蓝山咖啡企业H3C无线网络产品……第二章H3CWLAN产品线简介H3C自2003年公司成立以来就定位于为运营商提供可运营、可管理的WLAN设备和解决方案,H3c公司每ー款AP设备都兼有电信级的稳定性和企业级的灵活性,具备更强的竞争力。目前,H3C成立了200多人的WLAN研发团队,紧跟前沿技术,快速响应用户需求。H3C对WLAN技术进行了深入的研究分析，积极参与国际标准组织的相关交流,同时H3c也针对802.11的各个工作组进行积极的沟通交流，提出自己的理解与建议,联合业界的合作伙伴共同推动标准进程,目前已经拥有100多项专利技术。作为全球领先的网络设备和解决方案供应商，H3c推行的统ー无线网络,基于有线、无线一体化解决方案的理念,为客户提供FATAP、FITAP、WirelessSwitches,MESH、网桥等全系列无线产品。第三章无线设计方案采用无线技术的好处无线局域网,也被称为WLAN(WirelessLAN),一般用于宽带家庭,大楼内部以及园区内部,典型距离覆盖几十米至几百米,目前采用的技术主要是802.lla/b/g系列。WLAN利用无线技术在空中传输数据、话音和视频信,作为传统布线网络的ー种替代方案或延伸,无线局域网把个人从办公桌边解放了出来,使他们可以随时随地获取信息,提高了员エ的办公效率。一般而言,对比于传统的有线网络,无线局域网的应用价值体现在:可移动性:由于没有线缆的限制,用户可以在不同的地方移动工作,网络用户不管在任何地方都可以实时地访问信息。-布线容易：由于不需要布线，消除了穿墙或过天花板布线的繁琐工作，因此安装容易,建网时间可大大缩短。-组网灵活:无线局域网可以组成多种拓扑结构,可以十分容易地从少数用户的点对点模式扩展到上千用户的基础架构网络成本优势:这种优势体现在用户网络需要租用大量的电信专线进行通信的时候,自行组建的WLAN会为用户节约大量的租用费用。在需要频繁移动和变化的动态环境中,无线局域网的投资更有回报。无线时代正在来临,这意味着可以在任何便于工作的地方,如在学校、医院、自助餐厅、企业、政府机构等办公室、会议室、医疗室、图书馆、实验室、以及在野外的野餐桌旁,享受工作的自由和灵活性。无线网络正在成为每个企业、单位、机构,根本的、必备的合作工具。无线局域网技术的新发展表现为更高的速度、更好的互操作性以及安全性。无线局域网具有的高灵活性和可靠性,可以立竿见影地提高生产率，在各行业的广泛应用取得了引人瞩目的成果,展示了极为广阔的市场前景，它将创造崭新的生活和工作风尚。选用无线局域网产品的原则根据网络具体情况，在网络设计中遵循下列原则:先进性原则采用先进的设计思想,先进的网络设备,使网络在今后一定时期内保持技术上的先进性。开放性原则网络设计及网络设备选型遵从国际标准及工业标准,使网络具有高度的开放性和所提供设备在技术上的兼容性。可伸展性原则网络设计在充分考虑当前情况的同时,必须考虑到今后较长时期内业务发展的需要,留有充分的升级和扩充的可能性。充分利用现有通讯资源,为以后扩充到更高速率提供充分的余地。另ー方面,还必须为网络规模的扩展留有充分的余地。安全性原则网络系统的设计必须贯彻安全性原则，以防止来自网络内部和外部的各种破坏。贯彻安全性原则体现在以下方面:•设备采用的是扩频技术;•提供了无线数据传输的加密;•用户可以通过设置自己的AP或另加独立加密设备实现更高的安全性;华三通信技术有限公司 5网络内部对资源访问的授权、认证、控制以及审计等安全措施:防止网络内部的用户对网络资源的非法访问和破坏。可靠性原则网络系统的设计必须贯彻可靠性原则,使网络系统具有很高的可用性。可靠性原则体现在以下方面:选用技术先进、成熟高可靠性的网络设备;系统增益储备高;链路的可维护性好。可管理性原则网络系统应具有良好的可管理性,使得网络管理人员能方便及时地掌握诸如网络拓扑结构、网络性能统计、网络故障等信息,能简便地对网络进行配置和调整,确保网络工作在良好状态。需求分析浙江农林大学此次建设的无线网络将涉及教学楼、办公楼、图书馆、实验室、食堂、宿舍便捷的无线上网环境的无线覆盖。通过对教学楼、办公楼、图书馆、实验室、食堂、宿舍等区域的无线覆盖,将为学校教师教学、办公、浏览互联网提供随时随地的无盲点强度高的无线信号覆盖,并设计提供安全.高速的无线访问接入。学校今后所有的教师将可以通过电脑无线联网教学,为防止非学校工作人员擅自接入校园无线网络，需要利用web认证来验证接入无线网络人员身份的合法性。网络方案设计介绍经过上面的网络现状描述和需求分析,我们可以在下面的篇幅中进行详细的无线网络方案的设计，方案描述将分为两部分内容:1）无线局域网设计与实施部分;2）无线局域网安全部分;并且给出无线网络配置的设备的详细描述。

下面是本次学校内部无线网络覆盖的网络拓扑图:浙江农林大学无线网络拓扑图云、出口路由器千兆电 千兆光 衣锦校区核心交换机LS-7506E核心交换机LS-7506E东湖校区IMC网管平台錢強人交换よLS-51/0-28C-PWR-E教学区教学区千兆电 千兆光 衣锦校区核心交换机LS-7506E核心交换机LS-7506E东湖校区IMC网管平台錢強人交换よLS-51/0-28C-PWR-E教学区教学区梦交换机ノLS-5M52C-PW«<E区接入交邮LS-5120-52C-PWR-E如上示意图,我们在衣锦校区和东湖校区各放置一台7506E交换机作为核心交换机,每座楼房放置一台POE接入交换机,每个楼层放置若干台AP,以达到对整个校园内部区域的无线覆盖,满足现代化教学和学生生活中对无线的需求。整体无线局域网采用的是无线控制器+WA2620-AGP组合方式。无线控制器采用在核心交换机配置无线插卡来实现,以实现对所有AP的统一管理。校园网出口路由器采用SR6602万兆路由器，可满足同时和教育网及互联网互联的需求，并设计电信和网通双WAN口出口,为浙江农林大学提供快速稳定、丰富接口接入的同时，同时在出口处增加入侵防御IPS设备，也为学校网络的安全提供了强有力的保障。无线网络管理无线网络基础平台搭建完毕后,接下来考虑的重点是无线网络的管理。我们的无线

方案已经做到无线AP零配置,无线控制器统一下发配置和版本,减轻了无线网络维护量和降低了无线网络的配置难度。网络管理平台采用H3C的IMC平台,配置wlan无线管理组件和用户接入控制组件（UAM）,轻松实现无线网络管理的中文WEB界面图形化操作和无线终端接入网络网络的身份验证。上网用户接入无线网络后打开IE浏览器,输入网站后页面会被强制重定向到web认证页面,输入合法的帐号和密码通过身份验证后即可浏览网页。学校的教学办公无线终端可以使用MAC认证方式来减少验证步骤。覆盖区域现阶段可提供的2.4G电磁波对于各种建筑材质的穿透损耗的经验值如下:＞隔墙的阻挡（砖墙厚度100-300mm）：20-40dB；＞楼层的阻挡:30dB以上;＞木制家具、门和其它木板隔墙阻挡2T5dB；＞厚玻璃（12mm）：10dB（2450MHz）AP信号穿透公式如下:AP发射功率+发射天线功率一路径衰耗ー障碍物衰耗＞网卡接收灵敏度网卡发射功率+AP天线接收功率一路径衰耗ー障碍物衰耗＞AP接受灵敏度由于AP2750的发射功率为19dBm（包括自带天线）,可靠接收信号强度约ー80dBm（接受速率为24M）。普通网卡客户端的发射功率为17dBm,网卡的接口灵敏度为ー75dBm;路径衰减为70dBm（传播路径10米,衰减因子模型）AP—＞网卡:障碍物衰耗=19-70—（-75）=24dBm网卡ー〉AP：障碍物衰耗=17—70—（-80）=27dBm结论：根据介质穿透损耗可以得出:AP2750差不多可以穿透ー堵墙,两道门,两道玻璃;另外,在衡量墙壁等对于AP信号的穿透损耗时,需考虑AP信号入射角度。一面0.5米厚的墙壁，当AP信号和覆盖区域之间直线连接呈45度角入射时，相当于1米厚的墙壁;在2度角时相当于超过14米厚的墙壁。所以要获取更好的接受效果应尽量使AP信号能够垂直的穿过（90度角）墙壁或天花板。因此，根据建筑实际特点的工程勘测和项目具体实施经验,走廊中每隔约12~15米左右布置1台AP可以保证两边房间的良好覆盖,保证整层楼无盲区,可保证无线传输效果良好。

设备配置清单序号产品型号产品描述数量H3CMSR50系列路由器1RT-SR6602-AC-H3H3CSR66021U髙度路由器主机(100-240VAC,4GE/2HIMslot)12SFP-GE-LX-SM13I0-A光模块-SFP-GEー单模模块ー(1310nm,lOkm.LC)2入侵防御设备3NS-DPtechIPS2OOO-GC+1YDPtechIPS2000-GC主机(4GE电ロ+2SLOT)ー含一年特征库升级,一年病毒库升级14SFP-GE-SX-MM850-A光模块-SFP-GE-多模模块ー(850nm,0.55km,LC)25SFP-GE-LX-SM13I0-A光模块-SFP-GEー单模模块ー(1310nm,10km,LC)2核心交换机6LS-7506EH3CS7506E以太网交换机主机27LSQM1AC1400H3CS7500E交流电源模块,1400W48LSQM1SRPB0H3CS7500ESalienceVI交换路由引擎49LSQM1GP48SC0H3CS7500E48端ロ千兆/百兆以太网光接口模块(SFP,LC)210LSQMIWCMB0S7500E无线控制器业务板模块211LSQM1FWBSCOH3CS7500E防火墙业务板模块212SFP-GE-LX-SM131O-A光模块-SFP-GEー单模模块ー(131Onm,10km,LC)50接入交换机13LS-5120-28C-PWR-EI-H3H3CS5120-28C-PWR-EI•以太网交换机主机(24GE+4SFPCombo+2Slot4-POE)5414SFP-GE-SX-MM850-A光模块-SFP-GE-多模模块ー(850nm,0.55km,LC)48

无线AP15EWP-WA2620-AGN-FITH3CWA2620-AGN802.1In无线局域网室内型2.4/5GH双频接入点-FIT40016EWP-WA2610X-GNP-FITH3CWA2610X-GNP-802.11n无线局域网室外型2.4GHz单频高功率接入点,FIT50网管软件18SWP-IMC-IMPWN-CNH3CiMC一智能管理平台标准版(不含节点)ー纯软件(DVD)中文版119LIS-IMC-IMPC-CN-200H3CiMC一智能管理平台标准版license费用一管理200节点120SWP-IMC-WSMW-CNH3CiMC-无线业务管理组件ー纯软件(CD)中文版121L1S-IMC-WSME-CN-1KH3CiMC-无线业务管理组件!icense费用一管理1000台FitAP设备122SWP-IMC-UAMN-CNH3CiMC-用户接入管理组件(不含认证用户)ー纯软件(CD)中文版123LIS-IMC-UAMB-CN-2KH3CiMC-用户接入管理组件License费用一管理2000认证用户1第四章无线局域网安全技术无线局域网(WLAN)具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点,因此无线局域网得到越来越广泛的使用。但是由于无线局域网信道开放的特点,使得攻击者能够很容易的进行窃听,恶意修改并转发,因此安全性成为阻碍无线局域网发展的最重要因素。虽然ー方面对无线局域网需求不断增长，但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否采用无线局域网系统犹豫不决。就目前而言,有很多种无线局域网的安全技术，包括物理地址(MAC)过滤、服务区标识符(SSID)匹配、有线对等保密(WEP)、端口访问控制技术(IEEE802.1X)、WPA(Wi-FiProtectedAccess)、IEEE802.1li等。面对如此多的安全技术,应该选择哪些技术来解决无线局域网的安全问题，才能满足用户对安全性的要求。、无线局域网的安全威胁利用WLAN进行通信必须具有较高的通信保密能力。对于现有的WLAN产品,它的安全隐患主要有以下几点:未经授权使用网络服务由于无线局域网的开放式访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用，降低合法用户的服务质量,而且未经授权的用户没有遵守运营商提出的服务条款，甚至可能导致法律纠纷。地址欺骗和会话拦截（中间人攻击）在无线环境中,非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多,这些合法的MAC地址可以被用来进行恶意攻击。另外,由于IEEE802.11没有对AP身份进行认证，非法用户很容易装扮成AP进入网络，并进ー步获取合法用户的鉴别身份信息，通过会话拦截实现网络入侵。高级入侵（企业网）一旦攻击者进入无线网络,它将成为进ー步入侵其他系统的起点。多数企业部署的WLAN都在防火墙之后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络，就会使整个网络暴露在非法用户面前。基本的无线局域网安全技术通常网络的安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问,而数据加密则保证发送的数据只能被所期望的用户所接收和理解。下面对在无线局域网中常用的安全技术进行简介。物理地址（MAC）过滤每个无线客户端网卡都由唯一的48位物理地址（MAC）标识,可在AP中手工维华三通信技术有限公司 12护ー组允许访问的MAC地址列表,实现物理地址过滤。这种方法的效率会随着终端数目的增加而降低,而且非法用户通过网络侦听就可获得合法的MAC地址表,而MAC地址并不难修改,因而非法用户完全可以盗用合法用户的MAC地址来非法接入。MAC:000FE201EC5D图1MAC地址过滤服务区标识符（SSID）匹配无线客户端必需设置与无线访问点AP相同的SSID,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。利用SSID设置,可以很好地进行用户群体分组，避免任意漫游带来的安全和访问性能的问题。可以通过设置隐藏接入点（AP）及SSID区域的划分和权限控制来达到保密的目的,因此可以认为SSID是ー个简单的口令,通过提供口令认证机制,实现一定的安全。

图2服务区标识匹配有线对等保密（WEP）在IEEE802.11中,定义了WEP来对无线传送的数据进行加密,WEP的核心是采用的RC4算法。在标准中,加密密钥长度有64位和128位两种。其中有24Bit的IV是由系统产生的，需要在AP和Station上配置的密钥就只有40位或104位。WEP加密原理图如下:Message图3WEP加密原理图1、AP先产生一个IV,将其同密钥串接（IV在前）作为WEPSeed,采用RC4算法生成和待加密数据等长（长度为MPDU长度加上ICV的长度）的密钥序列;2、计算待加密的MPDU数据校验值ICV,将其串接在MPDU之后;3、将上述两步的结果按位异或生成加密数据;4、加密数据前面有四个字节,存放IV和KeyID,IV占前三个字节,KeyID在第

四字节的高两位,其余的位置〇;如果使用Key-mappingKey,则KeyID为〇,如果使用DefaultKey,则KeyID为密钥索引（0—3其中之一）。加密后的输出如下图所示。Encrypted(Note)IV4Data(PDU)>1ICV4丁.,ぐi*smOctetsInit.Vector31〇tetIV4bMIDハ*N0TE:theenc^hermenipxo(e»hoexpandedthecxifinalMPDUby$Octets,4fortheIratialiiatimVector(IV)fieldind4fortheIntegrityCheckValue(ICV)."DieICVifcalculatedondieDatafieldonly图4WEP加密后的MPDU格式加密前的数据帧格式示意如下:MACHeaderData(PDU)FCS加密后的数据帧格式示意如下:MACHeaderIVData(PDU)ICVFCSWEP解密原理图如下:MesMgo图5WEP解密原理图1、找到解密密钥;2、将密钥和IV串接（IV在前）作为RC4算法的输入生成和待解密数据等长的密钥序列;3、将密钥序列和待解密数据按位异或,最后4个字节是ICV,前面是数据明文;4、对数据明文计算校验值ICVT并和K2V比较,如果相同则解密成功,否则丢弃该数据。连线对等保密WEP协议是IEEE802.il标准中提出的认证加密方法。它使用RC4流密码来保证数据的保密性,通过共享密钥来实现认证,理论上增加了网络侦听,会话截获等的攻击难度。由于其使用固定的加密密钥和过短的初始向量，加上无线局域网的通信速度非常高,该方法已被证实存在严重的安全漏洞,在15分钟内就可被攻破。现在已有专门的自由攻击软件（如airsnort）。而且这些安全漏洞和WEP对加密算法的使用机制有关,即使增加密钥长度也不可能增加安全性。另外，WEP缺少密钥管理。用户的加密密钥必须与AP的密钥相同,并且ー个服务区内的所有用户都共享同一把密钥。WEP中没有规定共享密钥的管理方案,通常是手工进行配置与维护。由于同时更换密钥的费时与困难，所以密钥通常很少更换，倘若一个用户丢失密钥,则会殃及到整个网络的安全。ICV算法不合适。WEPICV是ー种基于CRC-32的用于检测传输噪音和普通错误的算法。CRC-32是信息的线性函数,这意味着攻击者可以篡改加密信息,并很容易地修改ICVo同时WEP还可以作为一种认证方法,认证过程如下:.在无线接入点AP和工作站STA关联后,无线接入点AP随机产生一个挑战包,也就是一个字符串,并将挑战包发送给工作站STA。.工作站STA接收到挑战包后,用密钥加密挑战包，然后将加密后的密文,发送回无线接入点APo.无线接入点也用密钥将挑战包加密，然后将自己加密后的密文与工作站STA加密后的密文进行比较，如果相同,则认为工作站STA合法,允许工作站STA利用网络资源；否则,拒绝工作站STA利用网络资源。端口访问控制技术（IEEE802.1x）和可扩展认证协议（EAP）IEEE802.1X并不是专为WLAN设计的。它是一种基于端口的访问控制技术。该技术也是用于无线局域网的一种增强网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.lx的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户连接网络。IEEE802.1X提供无线客户端与RADIUS服务器之间的认证,而不是客户端与无线接入点AP之间的认证;采用的用户认证信息仅仅是用户名与口令,在存储、使用和认证信息传递中存在很大安全隐患,如泄漏、丢失;无线接入点AP与RADIUS服务器之间基于共享密钥完成认证过程协商出的会话密钥的传递,该共享密钥为静态,存在ー定的安全隐患。802.lx协议仅仅关注端口的打开与关闭,对于合法用户（根据帐号和密码）接入时，该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的!P地址协商和分配问题,是各种认证技术中最简化的实现方案。图6802.lx端口控制在802.lx协议中,只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。客户端:一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。认证系统:在无线网络中就是无线接入点AP或者具有无线接入点AP功能的通信设备。其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。认证服务器:通过检验客户端发送来的身份标识（用户名和口令）来判别用户是否有权使用网络系统提供的服务,并根据认证结果向认证系统发出打开或保持端口关闭的状态。在具有802.lx认证功能的无线网络系统中,当ー个WLAN用户需要对网络资源进行访问之前必须先要完成以下的认证过程。.当用户有网络连接需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给AP,开始启动一次认证过程。.AP收到请求认证的数据帧后,将发出ー个请求帧要求用户的客户端程序将输入的用户名送上来。.客户端程序响应AP发出的请求,将用户名信息通过数据帧送给AP。AP将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。.认证服务器收到AP转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给AP,由AP传给客户端程序。.客户端程序收到由AP传来的加密字后,用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的），并通过AP传给认证服务器。.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向AP发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持AP端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。这里要提出的ー个值得注意的地方是:在客户端与认证服务器交换口令信息的时候,没有将口令以明文直接送到网络上进行传输,而是对ロ令信息进行了不可逆的加密算法处理,使在网络上传输的敏感信息有了更高的安全保障,杜绝了由于下级接入设备所具有的广播特性而导致敏感信息泄漏的问题。Supplicant Authenticator Radius80211 RADRSLAssociaHonrequesl.< 2AssociationresponseEAPO1 3;EAPOL-Start ».. 4:Requesゼ!dentity 5Responseidentity » 5:Radius-Access-Request .. 6:EAP-Request.6:Radius-AccoChaUenge_.71EAP-R的ponsc . ^Radius-Access-Request .,8:EAP-Succcss.8:Radius-Access-Accept।9:EAPOL-Key(WEP)图7802.lx认证过程WPA(Wi-FiProtectedAccess)WPA=802.1x+EAP+TKIP+MIC在IEEE802.1li标准最终确定前,WPA标准是代替WEP的无线安全标准协议,为IEEE802.il无线局域网提供更强大的安全性能。WPA是IEEE802.1li的ー个子集,其核心就是IEEE802.1X和TKIP»认证在802.1I中几乎形同虚设的认证阶段,到了WPA中变得尤为重要起来，它要求用户必须提供某种形式的证据来证明它是合法用户,并拥有对某些网络资源的访问权，并且是强制性的。WPA的认证分为两种:第一种采用802.1x+EAP的方式,用户提供认证所需的凭证,如用户名密码,通过特定的用户认证服务器(一般是RADIUS服务器)来实现。在大型企业网络中,通常采用这种方式。但是对于ー些中小型的企业网络或者家庭用户，架设一台专用的认证服务器未免代价过于昂贵,维护也很复杂,因此WPA也提供一种简化的模式,它不需要专门的认证服务器,这种模式叫做WPA预共享密钥(WPA-PSK),仅要求在每个WLAN节点(AP、无线路由器、网卡等)预先输入ー个密钥即可实现。只要密钥吻合,客户就可以获得WLAN的访问权。由于这个密钥仅仅用于认证过程,而不用于加密过程,因此不会导致诸如使用WEP密钥来进行802.1I共享认证那样严重的安全问题。加密WPA采用TKIP为加密引入了新的机制，它使用ー种密钥构架和管理方法,通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24位增加到48位等方法增强安全性。而且，TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后,使用802.1X产生一个唯一的主密钥处理会话。然后,TKIP把这个密钥通过安全通道分发到AP和客户端,并建立起一个密钥构架和管理系统，使用主密钥为用户会话动态产生一个唯一的数据加密密钥,来加密每一个无线通信数据报文。TKIP的密钥构架使WEP静态单ー的密钥变成了500万亿可用密钥。虽然WPA采用的还是和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破。TKIP与WEP一样基于RC4加密算法,但相比WEP算法,将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到48位,并对现有的WEP进行了改进，即追加了“每发ー个包重新生成一个新的密钥(PerPacketKey)”、“消息完整性检查(MIC)”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”四种算法,极大地提高了加密安全强度。标准工作组认为:WEP算法的安全漏洞是由于WEP机制本身引起的,与密钥的长度无关,即使增加加密密钥的长度,也不可能增强其安全程度,初始化向量IV长度的增加也只能在有限程度上提高破解难度,比如延长破解信息收集时间，并不能从根本上解决问题。因为作为安全关键的加密部分,TKIP没有脱离WEP的核心机制。而且,TKIP甚至更易受攻击,因为它采用了Kerberos密码,常常可以用简单的猜测方法攻破。另ー个严重问题是加/解密处理效率问题没有得到任何改进。Wi-Fi联盟和!EEE802委员会也承认,TKIP只能作为ー种临时的过渡方案,而IEEE802.1li标准的最终方案是基于IEEE802.1X认证的CCMP(CBC-MACProtocol)加密技术，即以AES(AdvancedEncryptionStandard)为核心算法。它采用CBC-MAC加密模式,具有分组序号的初始向量。CCMP为128位的分组加密算法,相比前面所述的所有算法安全程度更高。消息完整性校验(MIC),是为了防止攻击者从中间截获数据报文、篡改后重发而设置的。除了和802.11一样继续保留对每个数据分段(MPDU)进行CRC校验外,WPA为802.11的每个数据分组(MSDU)都增加了一个8个字节的消息完整性校验值,这和802.11对每个数据分段(MPDU)进行ICV校验的目的不同。ICV的目的是为了保证数据在传输途中不会因为噪声等物理因素导致报文出错,因此采用相对简单高效的CRC算法,但是黑客可以通过修改ICV值来使之和被篡改过的报文相吻合，可以说没有任何安全的功能。而WPA中的MIC则是为了防止黑客的篡改而定制的,它采用Michae!算法,具有很高的安全特性。当MIC发生错误的时候，数据很可能己经被篡改，系统很可能正在受到攻击。此时,WPA还会采取ー系列的对策，比如立刻更换组密钥、暂停活动60秒等,来阻止黑客的攻击。IEEE802.11i为了进ー步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容,IEEE802.il工作组开发了作为新的安全标准的IEEE802.11i,并且致カ于从长远角度考虑解决IEEE802.11无线局域网的安全问题」EEE802.1li标准中主要包含加密技术:TKIP(TemporalKeyIntegrityProtocol)和AES(AdvancedEncryptionStandard)»以及认证协议:IEEE802.IX〇IEEE802.1li标准已在2004年6月24美国新泽西的IEEE标准会议上正式获得批准。802.1li与WPA相比增加了一些特性:AES:更好的加密算法,但是无法与原有的802.11架构兼容,需要硬件升级。CCMPandWARP:以AES为基础。IBSS:802.Hi解决IBSS(IndependentBasicServiceSet),而WPA主要处理ESS(ExtendedServiceSet)Preauthentication：用于用户在不同的BSS(BasicServiceSet)间漫游时,减少重新连接的时间延迟。认证:lli的安全体系也使用802.1x认证机制,通过无线客户端与radius服务器之间动态协商生成PMK(PairwiseMasterKey),再由无线客户端和AP之间在这个PMK的基础上经过4次握手协商出单播密钥以及通过两次握手协商出组播密钥，每ー个无线客户端与AP之间通讯的加密密钥都不相同,而且会定期更新密钥,很大程度上保证了通讯的安全,其协商流程图如下:

图8单播和组播密钥协商过程上面图中的ptk与gtk即单播和组播加解密使用的密钥。CCMP加密:ccmp提供了加密,认证,完整性和重放保护。ccmp是基于ccm方式的,该方式使用了AES(AdvancedEncryptionStandard)加密算法。CCM方式结合了用于加密的CounterMode(CTR)和用于认证和完整性的加密块链接消息认证码(CBC-MAC、CiphyBlockChaingMessageAutenticationCode)〇CCM保护MPDU数据和IEEE802.11MPDU帧头部分域的完整性。AES定义在FIPSPUB197o所有的在ccmp中用到的AES处理都使用ー个128位的密钥和一个128位大小的数据块。CCM方式定义在RFC3610oCCM是ー个通用模式,它可以用于任意面向块的加密算法。CCM有两个参数（M和L）,CCMP使用以下值作为CCM参数:—M=8:表示MIC是8个字节。—L=2；表示域长度位2个字节。这有助于保持IEEE802.11MPDU的最大长度。针对每个会话,CCM需要有一个全新的临时密钥。CCM也要求用给定的临时密钥保护的每帧数据有唯一的nonce值。CCM是用ー个48位PN来实现的。对于同样的临时密钥可以重用PN,这可以减少很多保证安全的工作。CCMP处理用16个字节扩展了原来MPDU大小,其中8个为CCMP帧头,8个为MIC效验码。CCMP帧头由PN,ExtIV和KeyID域组成。PN是ー个48位的数字,是ー个6字节的数组。PN5是PN的最高字节,PN0是最低字节。值得注意的是CCMP不使用WEPICV。EncryptM >My10ocW(图9CCMPMPDU扩展KeyID字节的第五位,ExtIV域,表示CCMP扩展帧头8个字节。如果是使用CCMP加密,则ExtIV位的值总是为!oKeyID字节的第六第七位是为KeyID准备的。保留的各个位值为0,而且在接收的时候被忽略掉。检查重放的规则如下:1）PN值连续计算每一个MPDUo2）每个发送者都应为每个PTKSA.GTKSA和STAkeySA维护ー个PN（48位的计数器）。3）PN是ー个48位的单调递增正整数,在相应的临时密钥被初始化或刷新的时候,它也被初始化为1。4）接收者应该为每个PTKSA,GTKSA和STAKeySA维护ー组单独的PN重放计数器。接收者在将临时密钥复位的时候,会将这些计数器置〇。重放计数器被设置为可接收的CCMPMPDU的PN值。5）接收者为每个PTKSA,GTKSA和STAKeySA维护ー个独立的针对!EEE802.11MSDU优先级的重放计数器，并且从接收到的帧获取PN来检查被重放的帧。这是在重放计数器的数目时,不使用IEEE802.ilMSDU优先级。发送者不会在重放计数器内重排帧,但可能会在计数器外重排帧。IEEE802.ilMSDU优先级是重排的一个可能的原因。6）如果MPDU的PN值不连续,则它所在的MSDU整个都会被接收者抛弃。接收者同样会抛弃任何PN值小于或者等于重放计数器值的MPDU,同时增加ccmp的重放计数的值。CCMP加密过程如下图:CCMP加密步骤如下:1）增加PN值，为每个MPDU产生一个新的PN,这样对于同一个临时密钥TK永远不会有重复的PNo需要注意的是被中转的MPDUs在中转过程中是不能被修改的;MPDU帧头的各个域用于生成CCM方式所需的AdditionalAuthenticationData（AAD）〇CCM运算对这些包含在AAD的域提供了完整性保护。在传输过程中可能改变的MPDU头部各个域在计算AAD的时候被置0；CCMNonce块是从PN,A2（MPDU地址2）和优先级构造而来。优先级作为保留值设为0；4）将新的PN和KeyID置入8字节的CCMP头部;CCM最初的处理使用临时密钥TK,AAD,Nonce和MPDU数据组成密文和MIC；6）加密后的MPDU由最初的MPDU帧头,CCMP头部,加密过的数据和MIC组成。当AP从STA接收到802.11数据帧时,满足以下条件则进行CCMP解密;WPA/802.11iSTA协商使用CCMP加密;Tempkey已经协商并安装完成。解密过程:图11CCMP解密过程图1）解析加密过的MPDU,创建AAD和Nonce值；2）AAD是由加密过的MPDU头部形成的；Nonce值是根据A2,PN和优先级字节（保留，各位置〇）创建而来；4）提取MIC对CCM进行完整性校验；5）CCM接收过程使用临时密钥,AAD,Nonce,MIC和MPDU加密数据来解密得到明文,同时对AAD和MPDU明文进行完整性校验；6）从CCM接收过程收到的MPDU头部和MPDU明文数据连接起来组成一个未加密的MPDU；7）解密过程防止了MPDUs的重放，这种重放通过确认MPDU里的PN值比包含在会话里的重放计数器大来实现,接着进行检查重放,解密失败的帧直接丢弃。华三通信技术有限公司 25相比前面的安全方法,IEEE802.1li具有以下ー些技术优势:在WLAN底层引入AES算法,即加密和解密一般由硬件完成,克服WEP的缺陷,有线对等保密(WEP)协议的缺陷延缓了无线局域网(WLAN)在许多企业内的应用和普及。无线局域网网络会暴露某个网络，因此，从安全的角度来讲,不能像核心企业网络而必须像接入网络那样来对待。如果企业用户通过ー个局域网交换中心互相连接,人们就可认为他们已经成为信任用户。无论是wep加密还是tkip加密都是以rc4算法为核心，由于rc4算法本身的缺陷,在接入点和客户端之间以“RC4”方式对分组信息进行加密的技术，密码很容易被破解。AES是一种对称的块加密技术,提供比WEP/TKIP中RC4算法更高的加密性能。对称密码系统要求收发双方都知道密钥，而这种系统的最大困难在于如何安全地将密钥分配给收发的双方,特别是在网络环境中,Ui体系使用802.1X认证和密钥协商机制来管理密钥。AES加密算法使用!28bit分组加码数据。它的输出更具有随机性，对!28比特、轮数为7的密文进行攻击时需要几乎整个的密码本,对192、256比特加密的密文进行攻击不仅需要密码本,还需要知道相关的但并不知道密钥的密文,这比WEP具有更高的安全性，攻击者要获取大量的密文，耗用很大的资源，花费更长的时间破译。它解密的密码表和加密的密码表是分开的，支持子密钥加密,这种做法优于最初的用ー个特殊的密钥解密，很容易防护塞攻击和同步攻击,加密和解密的速度快，在安全性上优于WEPoAES算法支持任意分组的大小,密钥的大小为128、192、256,可以任意组合。此外,AES还具有应用范围广、等待时间短、相对容易隐藏、吞吐量高的优点。经过比较分析,可知此算法在性能等各方面都优于WEP和tkip,利用此算法加密,无线局域网的安全性会获得大幅度提高,从而能够有效地防御外界攻击。无线局域网的安全策略当我们使用了802.1X、EAP、AES和TKIP之后,还需要了解其中的一些问题,这些是建立安全WLAN网络环境必须的。首先,IEEE802.1li工作小组所建立的TKIP,是为了快速修正WEP的严重问题。TKIP在算法上与WEP相同,也是使用RC4算法,但这种算法并不是最理想的选择。使用AES能把原来的问题解决得更好，但是AES无法与原有的802.11架构兼容,需要升级软硬件。第二,一些新的协议、技术的加入,华三通信技术有限公司 26与原有802.11混合在ー起,使得整个网络结构更加复杂,同时也增加了处理的负担,导致网络性能降低。新的技术让生产厂商和网络用户有更多的可选择性,但同时也带来了兼容性的问题。第三,对于用户来说,在购买设备之前,需要了解产品能提供什么样的功能,有什么样的兼容性的要求。例如,从公司A购买了AP,然后从公司B和C购买了无线网卡,很可能存在因兼容性导致某些功能无法使用的问题。从企业角度而言,随着无线网络应用的推进，企业需要更加注重无线网络安全的问题，针对不同的用户需求,提出一系列不同级别的无线安全技术策略，从传统的WEP加密到IEEE802.Hi,从MAC地址过滤到IEEE802.lx安全认证技术,要分别考虑能满足单一的家庭用户、大中型企业、运营商等不同级别的安全需求。对于小型企业和家庭用户而言,无线接入用户数量比较少,一般没有专业的IT管理人员,对网络安全性的要求相对较低。通常情况下不会配备专用的认证服务器,这种情况下,可直接采用AP进行认证，WPA-PSK+接入点隐藏可以保证基本的安全级别。在仓库物流、医院、学校等环境中,考虑到网络覆盖范围以及终端用户数量,AP和无线网卡的数量必将大大增加,同时由于使用的用户较多,安全隐患也相应增加,此时简单的WPA-PSK已经不能满足此类用户的需求。如表中所示的中级安全方案使用支持IEEE802.lx认证技术的AP作为无线网络的安全核心,并通过后台的Radius服务器进行用户身份验证,有效地阻止未经授权的用户接入。在各类公共场合以及网络运营商、大中型企业、金融机构等环境中,有些用户需要在热点公共地区（如机场、咖啡店等）通过无线接入!nternet»因此用户认证问题就显得至关重要。如果不能准确可靠地进行用户认证，就有可能造成服务盗用的问题，这种服务盗用对于无线接入服务提供商来说是不可接受的损失,表中专业级解决方案可以较好地满足用户需求,通过用户隔离技术、IEEE802.1i、Radius的用户认证以及计费方式确保用户的安全。安全级别典型场合使用技术初级安全小型企业,家庭用户等WPA-PSK+接入点隐藏中级安全仓库物流、医院、学校、餐饮娱乐IEEE802.1X认证+TKIP加密专业级安全各类公共场合及网络运营商、大中型企业、金融机构用户隔离技术+IEEE802.1H+Radius认证和计费（对运营商）基于硬件的安全防护我们在核心交换机上配置防火墙插卡和ips插卡,通过ips设备的有效防护,不仅可以防蠕虫病毒的活动,还能防止文件病毒、蠕虫病毒、宏病毒、木马、后门等病毒样本通过网络上传下载进行扩散,通过深入到7层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、DDoS等攻击和恶意行为,并对分布在网络中的各种P2P、IM等非关键业务进行有效管理,实现对网络应用、网络基础设施和网络性能的全面保护。并且通过精细化带宽管理,帮助用户遏制非关键应用抢夺宝贵的带宽和IT资源，从而确保网络资源的合理配置和关键业务的服务质量，显著提高网络的整体性能。第五章服务与培训5.17X24X365服务保障H3C的服务总部设在浙江杭州。H3C深知网络稳定性对于网络通信的重要性,为此建立了遍布全国的服务机构。除公司总部设有完备的技术支援平台外，我们还在全国建立了31个售后服务中心,建有完备的技术支援平台和备件库系统,通过先进的通信技术与总部的技术支援平台连接,完成用户信息、故障处理流程、备件库存、产品分布等信息的共享,形成一覆盖全国地市级城市,专职人员规模超过!00人的技术支援体系。同时还在各省市派遣有售后服务工程师,以提高售后服务的响应速度。H3c技术支援部本着用户至上的原则,凭借雄厚的技术实カ、完善的服务网络、电信级的服务标准、强大的支持后盾、无可比拟的地域优势及双方在工作流程上的联系,承诺给用户和合作伙伴提供及时、高效、可靠的服务。同时，H3C服务体系已经通过TL9000通信服务国际权威标准认证和IS09000标准认证,以保证用户能得到专业化、标准化和可量度的售后服务。H3c技术支援部由总エ办、网络组、各产品项目组（TSC:技术支持中心）、代理商服务管理部,办事处数据通信技术支持部等部门组成。代理商服务管理部总エ办数据通信技术支持部办事处数据通信技术支持小组总エ办负责与H3c中央研究部的接口。将日常工作中所遇到的用户的需求和改进意见进行汇总,提供给开发部门,在产品中尽早融入用户的需求。同时,还负责网站、资料和技术支持流程建设。网络组产品专家组的主要工作是对TSC中心、办事处技术工程师无法及时定位的疑难问题进行处理,保证问题处理的及时性。代理商服务管理部代理商服务管理部的工作是制定代理商的售后服务政策，保证用户、代理商和H3c的多赢。同时还对代理商的服务的质量进行考核，接受和处理用户对代理商服务质量的投诉。TSC（技术支持中心）TSC中心主要针对代理商和重要行业客户,当重要行业客户或代理商在出现疑难问题时,可以通过800电话寻求支援。800电话通过CallCenter接入到TSC,TSC对问题进行记录和分类,记录到问题处理数据库,然后根据不同的问题分配给不同的技术人员进行处理，技术人员根据问题的情况，采用电话远程支持、远程登录支持、现场处理等不同的支持方式对代理商或客户进行支持。并对问题的处理形成闭环。办事处数据通信技术支持办事处数据通信技术支持的主要工作是对代理商和重要用户提供最直接的支持,以及对代理商的培训工作。同时办事处技术支持工程师作为代理商服务管理的延伸,对代理商的售后服务的能力和质量进行监控,上报的数据作为对代理商考核的ー个重要的依据。通过以上职能部门，H3C公司数据通信技术支持部能够为用户和合作伙伴提供如下服务:H3C的TSC中心设有7X24X365小时的RSC（远程支援中心）,提供全天候无间断的远程技术服务，可随时接收故障的反馈和申报，H3c将根据故障报告内容对问题进行分级，在规定的时间内对申报的问题进行响应及解决。H3C数据通信技术支持部在其总部技术支持中心和全国各办事处都配备足够数量的技术支持工程师。可根据用户申报问题的具体情况对用户进行现场技术支持。在技术支持中心设有资深技术支持工程师,对重点项目进行技术支持。H3C数据通信技术支持部设有网上问题处理数据库,可由H3C的任何一位エ程师在接到问题反馈且自身无法直接解答时，将有关问题通报H3C网上问题处理中心,通过IT平台将问题提交到相应的研发项目组进行处理，确保问题的解决和便于问题的监控。H3c的TSC中心在北京建有全系列产品的实验室,能够根据用户提供的故障现象、组网图、设备配置文件等信息,对用户的网络进行模拟，定位和解决问题。H3c数据通信技术支持部依托H3c遍布全国一级城市的28个备件库,能够提供高效的备件服务。一旦设备故障定位是硬件故障，故障模块或部件可以及时得到更换，使故障设备恢复正常运行。H3C数据通信网站向用户和合作伙伴提供免费的标准软件服务,一旦设备故障定位为软件故障,可以及时从软件中心上免费得到相应的软件,并及时下载故障设备中,使故障设备恢复正常运行。H3c设有专门的资料部门,专门从事产品用户手册、安装手册和其它技术资料的组织、编辑和出版。H3C出版的所有手册、技术资料均可提供中文的电子文档和纸面文档,以方便用户的使用。H3c认证培训体系覆盖全球，通过国际权威认证机构PROMETRIC开展技术等级认证。目前已经正式推出HCNE（H3C认证网络工程师）和HCSE（H3C认证高级网络工程师）认证培训。H3C与专业顾问公司合作,引入IPD（集成产品开发）思想,数据通信技术支持部凭借丰富的客户服务经验和对用户需求的深刻理解,参与IPD产品开发,在产品设计阶段构建产品的服务优势。以IT平台为支撑，客户信息、客户问题信息、网上设备信息等都得到了有效管理和合理应用,有力地保障了业务运作和面向客户的服务。全公司所有技术和业务人员全部实现了电脑联网（包括异地联网）,通过网上实时查询系统、网上实时交流平台等,实现了指令的传达、工作讨论、技术及业务信息的交流等基本以电子流实现,体现了以信息技术实现管理高效、信息共享、服务快捷的国际化潮流。故障的申报和处理流程用户发现设备故障T通过热线电话向华为公司，技术支持中心申报后合作（题火伴当用户发现问题后,根据《设备验收报告》中H3c合作的承建方提供的技术支持热线电话,向其申报设备故障排除申请。承建方技术支持中心根据用户提供的信息,按照H3c故障分级标准对故障进行分级,并在规定的时间内对用户的故障进行处理。如果通过远程方式可以对故障进行定位的,则可以对故障进行具体的处理直到故障排除。如果无法通过远程方式对故障进行定位，则承建方的技术工程师在规定的时间内前往故障现场收集信息、定位和解决问题。承建方工程师在现场仍然无法定位问题时,需要及时将该故障进行上报到H3C数据通信技术支持部TSC中心,同时提供用户的信息和已经执行的操作和结果。H3c数据通信技术支持部TSC中心对问题进行分析,如果可以通过远程方式进行处理的，则指导承建方对设备进行必要的操作，收集进ー步的信息,并提供最终的解决方案。如果H3C数据通信技术支持部TSC中心无法通过远程方式排除故障,则将安排就近的H3C办事处技术支持工程师前往现场进行进ー步的处理。如果在现场仍然无法排除故障,则会立即将该故障通过H3c“网上问题处理”流程反馈到H3c中央研究部,直到故障的最终定位。当问题定位后,如果是软件问题,则通过修改设备的配置或者是更换设备的VRP操作系统进行处理;如果是硬件问题，则通过备件维修和更换服务对故障设备进行维修和更换。在设备的维护服务中,H3c和合作伙伴承建方承担不同的职责,通过职责的划分，有利于对故障处理过程的监督。服务内容H3C合作伙伴H3c技术支持部远程支持向用户提供故障申报的热线电话。根据用户反馈的故障信息、，通过远程电话支持方式、远程登录方式对故障进行分析和定位。对合作伙伴提供7X24小时热线电话支持,协助代理商对故障进行分析和定位。现场支持在规定的时间内前往故障现场,获取进ー步的故障现象。在合作伙伴的配合下对故障进行深入的分析,最终定位故障的性质软件升级服务定位故障为软件问题后,对故障设备的VRP操作系统进行升级,直到故障排除指导合作伙伴选择正确的VRP软件进行设备升级。确保故障的排除。硬件更换通过自身的备件库对故障设备进行更换和维修。并向H3C备件中心返回故障设备和申请备件补充。当合作伙伴没有足够的备件时，向其提供快速的备件支持。同时负责合作伙伴故障设备的更换和维修。维修和更换服务针对本次项目,H3c及承建方承诺在一年内用户的设备出现任何硬件故障,均可以得到快捷的维修或更换服务。H3c根据产品层次的不同,根据各地市场容量、物流速度等多方面因素综合考虑，制定有效的备件策略，保证备件有效及时。当用户的设备出现硬件故障后,H3C合作伙伴承建方首先利用本身备件库向用户提供备件服务并完成故障件的维修或更换,同时向H3c提出备件维修或更换申请,以便得到及时的备件补充。当H3C合作伙伴承建方本身的备件库无法满足用户更换时,承建方可由H3C当地办事处备件库得到备件支持，进行故障件的维修和更换。如果上述两个备件库都无法满足用户更换时，可以得到H3C数据通信中央备件库的支持。除此以外H3C还有遍布全国主要城市的28个本地备件库,对用户提供高效、快捷的备件服务。黑龙江新疆z新疆z一・ノ ’、な・辽林内蒙古北京中山河北青海甘肃宁夏西山东陕］古山河北青海甘肃宁夏西山东陕］古西河南江苏四川云南安徽浙江江西福建广西 广东海南海南用户投诉流程如果用户对H3C合作伙伴的售后服务不满意,可以向H3C技术支持部投诉,H3C技术支持部将对该投诉进行调查和处理,并将最后的处理结果报告给用户和H3c渠道管理部。如果用户对H3C技术支持部的售后服务不满意，可以直接向H3C渠道营销干部部投诉，H3c渠道营销干部部将对该投诉进行调查和处理,并将最后的处理结果报告给用户和H3C渠道营销管理委员会。H3C培训中心一流的师资队伍、一流的技术水平、一流的教学设备和一流的培训环境,提供着一流的培训服务。100多名电信业的精英教师在这里为用户提供一流的培训指导。所有的培训项目及培训课程都经过精心设计和专业开发，以达到用户的最高满意度;培训内容和种类ー应俱全,能够满足用户不断变化的培训需求。装备完善的培训中心能够提供当今先进高效的教学手段:课堂讲座、多媒体教学、CBT(Computer-basedTraining)及模拟真实环境的上机实习;各类机房和教室装备有先进的测试仪器和H3C最新的设备;实习设备相互连接以模拟现代电信网络,可同时容纳500多名学员在此接受设备的运维训练。认证培训体系【H3c认证培训体系】由三部分组成:技术认证培训体系、销售认证培训体系、专项认证培训体系。技术认证培训体系由初、中、高三级组成;销售认证培训体系由两级组成;专项认证培训体系由金融网络解决方案、H3CVoIP解决方案、H3c网络安全解决方案、企业接入解决方案等组成,并且将根据技术和市场的发展不断推出满足用户需求的专项认证。具体培训课程由分布在全国各地的“H3c认证网络技术教育中心”提供,认证考试由美国专业考试与认证服务机构Prometric公司代理，考生可以在中国大陆的所有APTC(Prometric授权考试中心)报名参加考试。

技术认证体系:【H3c认证网络工程师】(HCNE：HuaweiCertifiedNetworkEngineer)【H3c认证高级网络工程师】(HCSE：HuaweiCertifiedSeniorNetworkEngineer)【H3c认证网络互联专家】(HCIE：HuaweiCertifiedInternetworkExpert)【H3c认证网络工程师】(HCNE)主要定位于中小型网络的设计、实施与维护等方面。由《构建中小企业网络》ー门课程组成,该课程包含网络基础、常见接口与电缆、以太网交换机、路由器原理、TCP/IP/IPX协议、广域网协议、路由协议、DDR/ISDN、访问控制列表、备份中心、简单网络故障排除等知识点,另外还提供了H3c系列路由器及系列交换机、网络规划设计等知识的介绍。通过相应的认证考试即可获得由H3c统ー签发的“H3c认证网络工程师”由协议、DDR/ISDN、访问控制列表、备份中心、简单网络故障排除等知识点,另外还提供了H3c系列路由器及系列交换机、网络规划设计等知识的介绍。通过相应的认证考试即可获得由H3c统ー签发的“H3c认证网络工程师”(HCNE)的证书。推荐的培训推荐的考试构建中小企业网络H3C认证网络工程【H3c认证高级网络工程师】(HCSE)主要定位于中大型园区网络的配置、维护及方案设计。由《构建企业级路由网络》、《构建企业级交换网络》、《企业级网络方案设计》三门课程组成。上述三门课程分别覆盖了路由、交换、VPN、安全特性、QOS、网络设计等全方位的部署园区网络所需的理论及实际设备配置维护方面的知识。"H3c认证网络工程师”在全部通过三门课程所对应的考试后可获得H3c统ー签发的“H3c认证高级网络工程师”证书。推荐的培训推茬的考试构建企业级路由网络H3C认证网络工程师第一步构建企业级交换网络企业级网络方案设计构建企业级交换网络企业级网络方案设计企业级路由网络第二步高级网络工程师考企业级交换网络第二歩网络方案设计【H3c认证网络互联专家】(HCIE)主要定位于行业及运营级网络的设计、实施与维护。课程主要涉及MPLS/ATM/SDH/POS等运营级网络知识。培训均为单项课程,学员可以采用自学并结合难点科目培训方式进行学习。”H3c认证网络互联专家”的认证考试侧重于实际的运营方案设计和相应设备配置、维护能力的考

核。“H3c认证高级网络工程师”在通过“H3c运营网络”考试后即可参加由H3c统ー组织的实践考试。实践考试通过后即可获得由H3c统ー签发的“H3c认证网络互联专家”证书。推荐的培训推荐的考试推荐的培训MPLS原理及应用MPLS原理及应用H3C认证高级网络工程师ATM原理及应用SDH/POS原理及应用SDH/POS原理及应用销售认证体系:【H3c认证销售工程师】(HSE：HuaweiCertifiedSalesEngineer)【H3c认证销售专家】(HSP：HuaweiCertifiedSalesProfessional)H3C认证销售专家H3C认证销售工程师【H3c认证销售工程师】（HSE）主要定位于企业级网络产品的销售人员,内容包括网络基础知识、常见网络接口与线缆、H3c中低端路由器、以太网交换机介绍、H3c通用路由平台VRP、高端路由器介绍、Refiner产品介绍、iManager网管。在通过ー门对应的考试后可获得H3c统ー签发的“H3c认证销售工程师”证书。【H3c认证销售专家】（HSP）主要定位于行业及电信营运级网络产品的销售人员,内容包括行业分析、网络层次划分及设备特征、网络方案分析及规划、H3c网络解决方案及产品集成以及营销策略等内容。在通过ー门对应的考试后可获得H3c统ー签发的“H3c认证销售专家”证书。专项认证培训课程介绍:【H3CVoIP解决方案】课程涵盖语音路由器,Refineri.5等H3CVoIP解决方案【H3c金融网络解决方案】课程阐述了全方位的金融网络解决方案,包括SNA,哑终端等【H3c企业接入解决方案】课程涵盖H3c企业接入路由器、接入服务器Refiner2.0等方面的知识【H3c网络安全解决方案】课程阐述了H3c关于网络安全的全面解决方案H3c认证专项培训H3CVOIPH3c认证专项培训H3CVOIP解决方案为了满足不同用户不同层次的培训需求,培训中心采用当地集中培训以及现场培训相结合的三级培训体系。当地集中培训是在客户认为方便的地方进行的培训I,培训课程应客户需求设计,具有较强的针对性和时效性。现场培训是在工程安装阶段以及日常维护时，在安装维护现场进行的培训I，内容实用且针对性强;华三通信技术有限公司 40为及时经济地满足用户持续增长的培训需求,H3c培训在中国如浙江、北京、上海、广州、南京、昆明等地以及全球范围建有多个授权培训分部进行部分产品及课程的培训。授权分部的培训与总部模式一致,在培训质量上均有强有力的保证措施。附:产品资料H3CS7500E系列高端多业务路由交换机H3CS7500E系列产品是杭州华三通信技术有限公司（以下简称H3C公司）面向融合业务网络推出的新一代高端多业务路由交换机,该产品基于H3c自主知识产权的ComwareV5操作系统,融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时，保证了网络最大正常运行时间,从而降低了客户的总拥有成本（TCO）oH3cs7500E符合“限制电子设备有害物质标准（RoHS）”,是绿色环保的路由交换机。H3cs7500E系列包括S7510E（12槽）、S7506E（8槽）、S7506E-V（垂直8槽）、S7503E（5槽）、7503E-S（3槽）和S7502E（4槽）6款产品,除了7503E-S所有产品均支持冗余主控。H3cs7500E可广泛应用于城域网汇聚和边缘、园区网核心和汇聚以及配线间等多种网络环境,为用户提供了有线无线一体化、有源无源一体化的行业解决方案。产品特点■丰富的业务,适应融合业务网络发展趋势基于IRF2(第二代智能弹性架构)技术的虚拟化架构H3cs7500E面向数据中心技术的演进,推出了IRF2为代表的软件虚拟化技术,提供多台主机的协同工作、统一管理和不间断维护功能;IRF2不仅成为数据中心交换设备高性能、虚拟化的关键技术,而且对于传统企业网应用,IRF2所提供的高可靠性和无缝升级、扩展能力,也成为H3c用户增值服务的重要组成部分。全面的MPLS、VPLS业务能力H3CS7500E所有产品均支持Multi-VRF特性，可以作为MCE设备使用;支持三层的MPLSVPN和二层的MPLSVPN(Martini、Kompella)；支持MPLSOAM特性,方便用户的管理和维护;与H3CMPLSVPNManager配合,实现图形化的MPLS部署与维护。全面支持VPLS,VLL,支持1KVPLS实例，4KVLL,还支持分层VPLS以及QINQ+VPLS接入方式,提供端到端2层VPN接入方案,支持