大明宫国家遗址公园无线解决方案

大明宫国家遗址公园无线覆盖解决方案西安市华彩网络科技发展有限责任公司第37页/共37页 大明宫国家遗址公园无线覆盖解决方案西安市华彩网络科技发展有限责任公司2015年5月目录第一章、项目背景 3第二章、需求分析 42.1总体建设目标 42.2设计原则 4第三章、设计方案 53.1网络拓扑及方案概述 53.2无线AP部署规划 63.3FITAP+AC组网方案概述 7第四章、无线系统规划 134.1无线频率规划设计 134.2AP用户接入容量规划 144.3无线射频资源管理 144.4无线AP供电设计 17第五章产品选型 185.1无线控制器（WX3510E） 185.2无线AP（WA4320i） 285.3POE交换机（S5000PV2-EI） 33第六章方案优势说明 356.1方案优势 356.2品牌优势 35第一章、项目背景大明宫国家遗址公园是世界文化遗产，全国重点文物保护单位唐大明宫是东方园林宫殿建筑艺术的杰出代表，被誉为丝绸之路的东方圣殿。大明宫遗址是1961年国务院首批公布的重点文物保护单位，是国际古遗址理事会确定的具有世界意义的重大遗址保护工程，是丝绸之路整体申请世界文化遗产的重要组成部分。大明宫国家遗址公园是西安城市建设、大遗址保护和改善民生的重点工程，西安的“城市中央公园”，使大明宫遗址区保护成为带动西安率先发展、均衡发展、科学发展的城市增长极，成为西安未来城市发展的生态基础、最重要的人文象征，并成为世界文明古都的重要支撑，进一步提升西安的城市特色。随着各种移动终端和移动应用业务层出不穷，人们在风景区游览的同时希望能够通过微信、微博等即拍即传、及时发布到各种朋友圈分享，越来越多的商业街区、广场、旅游景区和高新技术园区纷纷部署WLAN网络，以满足游客随时随地访问无线网络的需求，同时通过游客的分享起到很好的宣传效果。本次无线覆盖需要对景区重点部分及客流量密集点进行全覆盖，需要满足如下需求：高带宽：在客流量较多的地方需要保证用户的高速连接。高可靠：在信号覆盖区域内实现无线用户无缝漫游。高安全：接入用户之间网络隔离，保证游客网络应用的安全性。第二章、需求分析2.1总体建设目标利用无线网络技术进一步扩展网络的覆盖范围，使游客能够随时随地、方便高效地使用互联网，提高景区服务满足度；提升网络环境，提高管理水平和效率，推动景区信息化；本次无线网络建设工程结合现有设备上部署，做到资源合理、不浪费；2.2设计原则本次无线网络的建设，延伸了网络覆盖范围，方便景区日常办公及游客上网需求。结合WLAN的实际应用和发展要求，无线局域网(WLAN)网络系统设计，主要遵循以下系统总体原则：实用性原则：以现行需求为基础，充分考虑发展的需要来确定系统规模。安全性原则：WLAN运营网络，即是一个开放网络，同时作为运营网络对用户的安全以及网络的安全要求较高。可靠性原则：系统设计能有效的避免单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。规范性原则：系统设计所采用的技术和设备应符合WLAN国际标准、国家标准，为系统的扩展升级、与其他系统的互联提供良好的基础。开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和场地的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。第三章、设计方案3.1网络拓扑及方案概述网络建设说明：本次在景区内现有核心交换机和接入交换的基础上，通过现有网络直接连接Internet公网。在核心交换机上部署高性能无线控制器H3CWX3510E，采用无线控制器方便对大量部署AP的网络进行分布式集中管理，提高管理效率；实现统一SSID、信道自动划分、自动漫游等功能。本次无线设备采用H3CWA4320i支持802.11ac的无线AP，最高接入速率可达到866Mbps是11N无线AP速度的3倍。同时向下兼容802.11b/g/n标准，AP可同时部署在2.4G及5.8G赫兹2个频段，使用频谱导航功能为不同终端提供高速的网络访问接入；无线设备通过支持POE远程供电的POE交换机进行远程供电，一根上行网线可以同时提供数据传输和远程供电，保证了AP授电工作和有线信号的上行传输；3.2无线AP部署规划经过我们对景区内无线覆盖区域的详细实地工勘，本次规划无线APWA4320i共42台。具体分布如下：主区域分区域AP数量IMAX多媒体中心观影售票处5游客接待中心前台2休息区2丹凤门遗址一层休息区1二层休息区1四层宴会厅4入门厅1考古探索中心卫生间办公区1进门厅1休息区1第一展厅1第三展厅1室内模拟发掘体验区1陶吧1第四展厅1大明宫遗址博物馆大厅3前厅1左侧厅3营建厅1前展厅3中厅2后展厅2拆迁遗址处1结束语处2合计423.3FITAP+AC组网方案概述传统无线局域网的组网中，所使用的AP现在通常称之为“胖”AP，这种AP除了提供基本的无线连接功能外，还提供安全、管理和性能增强功能，将WLAN的物理层、用户数据加密、用户认证、QoS、网络管理、漫游技术以及其他应用层的功能集于一身，网管软件的功能在传统WLAN中将AP当作有线网络中的一个节点来管理，而没有针对无线应用的其他管理策略。具体组网可以参见下图图示：在FATAP组网模式下，由于AP本身的功能强大，诸如802.1x认证终结、动态密钥的产生、漫游切换都在AP本身上实现，因此在AP上需要进行复杂的部署工作，而且AP本身的生产成本也相对较高。随着现在企业无线网络部署规模的不断扩大，FATAP组网所带来的问题也逐渐凸显出来，两个比较突出的问题表现在：建网成本太高，由于单个AP的成本太高，因此当整个网络的建设费用随网络规模急剧上升。安装维护困难，管理费用高。由于FATAP本身提供所有的功能，因此在安装时需要对设备逐台配置，在维护时也需要投入较大的成本，当网络规模超过30台以上整个网络的维护就显得非常困难了。除了以上提到的问题，FATAP的组网方式对无线网络管理和安全控制还造成很大的限制，因此在无线网络的发展中，出现了无线交换机（即无线控制器）这样一款产品来实现对网络中AP设备的集中管理，并且在此基础上，出现了FITAP（瘦AP）这样一种组网方式。FATAP向FITAP转换FITAP+无线控制器组网方式如下：在FITAP组网模式下，AP仅仅提供可靠的、高性能的无线连接，通过POE交换机接入到局域网中，由增加的无线控制器设备来集中处理所有的安全、性能和管理等WLANMAC功能，802.1x认证终结、动态密钥的产生、漫游切换也都集中到无线交换机上来实现，因此减轻了AP的负担，降低了AP的制造成本，在规模越大的网络上建网成本越低。并且由于增加了无线控制器作为中央管理控制设备，可以实现对AP的集中管理和控制，比如进行统一设备配置，统一安全设置等，并且由于FITAP的集中管理特点，可以实现许多智能化和自动化的技术应用，如AP信道和功率的自动调整，三层漫游，非法无线入侵检测，网络自愈等等，在降低人工管理投入的同时推动无线网络应用的发展。瘦AP同胖AP组网的比较总结如下表所示：FITAP解决方案特点方便部署一般而言，对网络的改造和升级对企业来说都是一个大工程，不但在网络升级期间，网络无法使用，甚至需要对原有的有线网络重新规划和部署。FITAP解决方案，采用集中式架构，在原有网络增加无线功能时，可以轻松地把原来有线企业网络，在不改变其网络的原有规划和部署的情况下，甚至不需要中断原有网络就可以轻松叠加一个无线网络，该无线网络和原有的有线网络可以形成有线无线一体化的接入方案，这种保护客户已有投资的升级方法，可以大大减少网络升级和部署的成本。易于管理、AP“零配置”传统无线网络的部署需要网络管理员对网络中的每一个AP进行逐一配置，当无线网络规模较大时网络管理员往往要配置上百个AP，工作量巨大，且容易出错。而采用无线控制器和FITAP配合组网时，只需要在无线控制器上对一类相同属性的AP建立配置模板，AP在启动时可以自动从无线控制器上下载最新的配置文件。另外，由于AP本身不保存任何配置，万一设备丢失，也可以保证网络配置不被窃取。AP支持启动后自动获取IP地址、自动获取AC的工作列表并自动和AC建立关联，真正做到了零配置，免维护，即插即用，极大地减轻了网络管理员在部署网络阶段的维护工作量。当网络正常运行以后，无线控制器对所管理的AP以及AP所接入的用户进行实时监控，并能将这些信息实时上报给网管。维护人员可以指定AP或用户进行在线服务策略设定和安全策略设定，使网络配置策略更加灵活。方便升级无线AP还支持软件自动更新功能，在其每次重新启动时会自动比较当前运行的版本和无线控制器上保存的版本，如果无线控制器上保存的版本更新，无线AP会自动更新本地的软件映像，软件升级不再需要网管人员的干预。三层漫游无线控制器支持三层漫游，并支持快速漫游，漫游切换时间小于50ms，满足对切换时间要求最苛刻的语音业务。支持虚拟AP无线AP支持多SSID实现虚拟AP特性，每个SSID可对应不同的VLAN、从而对于每一个SSID可以实现不同的网络服务及认证方式。该特性使管理员可以方便的为不同用户群、不同的业务制定区分的服务策略。丰富的RF管理和安全RF管理功能，可以使得无线网络的布网灵活性大大增强，网络的可维护性得到很大的提高。AP的功率调整和信道切换是网络部署和调试时不可缺少的重要手段，信道和功率还需要按照国家代码自动设置，无线控制器的RF管理功能使得网络部署非常简单。RSSI/SNR的不断更新，更是让系统可以适时了解每一个无线用户所处电磁环境的好坏、离AP的距离，从而可以采取相应的策略来提升网络可用性。支持智能的负载均衡支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP，但如果无线用户不在AP的重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。有线无线一体化的网管系统采用组件化结构设计，通过安装不同的业务组件实现了设备管理、软件升级管理、配置文件管理、告警管理、性能管理等功能。无论对于企业网、网络、园区网用户还是各大运营商，都可以提供完善的解决方案，方便用户监控、维护、管理各自的网络。无线控制器可提供本地维护、远程维护、集中维护等多种维护手段，并提供完备的告警、测试、诊断、跟踪、日志等功能，方便用户的日常维护管理。支持EAD无线接入端点准入防御（EAD，EndpointAdmissionDefense）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。无线控制器支持无线用户的EAD接入，通过与安全策略服务器的联动，可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理，只有无线客户端符合相应的安全策略之后才允许正常访问网络，从而提高了无线网络的整体安全性。第四章、无线系统规划4.1无线频率规划设计目前针对WLAN来讲，2.4G具有3具不重叠的信道，针对5.8G具有5个不重叠信道，但由于网络用户具有一定的不确定性，故网络覆盖时所需要的WLAN网络空间都要进行2.4G与5.8G的频率覆盖，从网络规划的角度出发，主要考虑2.4G与5.8G二个频率的覆盖设计，针对2.4G的频率的信号衰减模型主要采用如下：PathLoss(dB)=46+10*n*LogD（m），而对于5.8G的信号衰减模型：PathLoss(dB)=32.4+20*lgf[MHz]+20*lgd[KM]+a*d[KM]，以上二信号衰减模型进行网络的设计，到具体网络实施时要进行工勘与优化，而对于信道主要采用1、6、11三个信道交错使用，具体的面覆盖逻辑示意图如下：频率规划原理图针对如何进行802.11g的频率规划作了大量的实验，实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖，并提供更高的服务带宽提高服务质量，和高带宽业务的开展。4.2AP用户接入容量规划从业界实现的方式来看，没有一个最大用户数的限制，但业界各个厂商进行实现时都基于一定理解的前提下进行默认限制。AP的最大净荷吞吐量为：23Mbps，用户的增加总带带下降量不大，300kbps/用户按64用户进行规划；1Mbps/用户按22用户进行规划；2Mbps/用户按11用户进行规划；802.11ac能够接入的并发用户数量根据不同的业务要求下的用户数量，从系统能力的角度出发，每个AP的接入用户数建议在60以下；覆盖用户数建议为1204.3无线射频资源管理无线信号的传播深受环境影响，多径等问题导致无线信号在不同方向上存在非常复杂的衰减现象，实际的信号覆盖和理想的信号衰减模型往往存在一定差异。所以WLAN网络的实施往往需要周密的网络规划，详细的工勘，网络部署后的调优等一系列活动。即使完成这些活动后，网络应用阶段的射频参数调整仍然是必不可少。这是因为无线环境是不断地变化的，障碍物的移动，微波炉等工作带来的干扰等都可能对无线信号的传播造成影响，所以无线接入点的信道、发射功率等射频资源必须能够动态地调整以适应用户环境的变化。这样的调整过程是复杂的，需要丰富的射频技术经验和定期的工勘，无疑需要非常高的操作成本。此外，为了提高WLAN网络的容量，常用方法是增加接入点。然而，接入点的数量增长带来了新的问题。无线频谱的分配就是一个典型问题。WLAN无线频谱是一种固定资源――802.11b/g标准只支持三个非重叠信道，为了避免相邻接入点出现同频干扰，需要让相邻AP尽量使用不同的信道，随着AP数量的增多，避免相邻接入点使用相同的信道变得十分困难。要求AC支持无线射频监测和调控能力，可确保某个AP在发生故障时，可以自动切换到邻近的AP，由于用户信息全部同步在AC上，因此不会影响无线的接入服务。具体出现故障AP时的射频管理如下图所示：实时分析无线资源无线接入点将定期自动扫描信道，以发现网络的拓扑结构，信道负载，干扰情况等。自动分配无线信道自动为每个无线接入点分配无线信道，并且能够根据网络中的干扰变化，邻居接入点的信道使用情况等动态地调整无线信道的分配。自动设置发射功率能够自动为每个无线接入点调整发射功率，以保证无线网络的覆盖和容量。自我修复网络当某个接入点失效造成了网络存在无线信号覆盖黑洞时，这个区域周围的接入点将立即检测到覆盖黑洞并通过发射功率的调整来修复黑洞。可扩展的系统随着网络规模的不断扩大，新的接入点加入到网络中，系统能够自动为它们分配射频资源而又不影响现有的无线网络。干扰检测和避免无线环境是经常变化的。蓝牙、微波炉、邻居WLAN网络等都会对客户的网络产生干扰影响，系统能够自动检测到这些干扰并进行干扰避免。实时监视网络健康系统为管理员提供了充分的数据来监视WLAN网络的监控，包括信道利用率，干扰，接入点信道分配等，使管理员对网络的运行状况一目了然。实时负载均衡系统能够实时在无线网络中平衡负荷，从而保证网络的吞吐和性能。总之，实时无线资源管理特性降低了管理成本，实现了网络的自分析、自配置和自修复。4.4无线AP供电设计由于本次无线网中AP设备数量较多，AP布放位置根据实际覆盖效果而调整，部分建筑物上较难进行本地供电。如果采用外置电源供电，无法统一进行管理。且如果采取本地供电对室内装修也带来了一定的困难，因此建议使用POE交换机，基于标准的802.3af实现对AP的供电。POE全称为PowerOverEthernet，是指通过10BASE-T、100BASE-TX、1000BASE-T以太网网络供电，其可供电的距离最长为100米。通过这种方式，可以有效的解决IP电话、无线AP、便携设备充电器、刷卡机、摄像头、数据采集等终端的集中式电源供电，对于这些终端而言不再需要考虑其室内电源系统布线的问题，在接入网络的同时就可以实现对设备的供电。按照802.3af标准的定义，POE供电系统包含两种设备PSE和PD，对于PSE设备的定义如下：PSE（power-sourcingequipment），主要是用来给其他设备进行供电的设备，对于PD设备定义如下：PD（PoweredDevice）在POE供电系统中用来受电的设备，主要是指一些无线的AP设备或者一些IPPHONE设备以及部分小功率的SOHO类交换机。POE的典型组网示意图第五章产品选型5.1无线控制器（WX3510E）H3CWX3500E是杭州华三通信技术有限公司(以下简称H3C公司)自主研发的下一代企业级核心多业务无线控制器(AC，AccessController)产品系列。WX3500E系列无线控制器具有大容量、高可靠、业务类型丰富等特点，集精细的用户控制管理、完善的射频资源管理、7X24小时无线安全管控、二三层快速漫游、灵活的QoS控制、IPv4&IPv6双栈等多功能于一体，提供强大无线接入管理能力产品特点提供对802.11acAP的管理WX3500E系列无线控制器在支持对传统802.11a/b/g/nAP管理的同时，还可以与H3C基于802.11ac协议的AP配合组网，从而提供相当于传统802.11a/b/g/n协议数倍的无线接入速率，能够覆盖更大的范围，使无线多媒体应用成为现实。提供灵活的数据转发方式传统的无线控制器部署一般采用集中式转发模式，AC可以对报文进行全面控制和安全监管，但所有的无线业务流量需要到AC进行统一处理，核心链路带宽和AC转发能力容易成为瓶颈。特别是AP和AC通过广域网方式进行连接时，AP作为数据接入设备部署在分支机构，而AC部署在总部，所有用户数据由AP发送到AC，再由AC进行集中转发，导致转发效率低下。WX3500E系列无线控制器可以支持集中式转发和分布式转发，用户根据业务需要和网络实际情况可以灵活设置转发方式。支持运营级无线用户接入控制和管理基于用户的接入控制是WX3500E系列无线控制器产品的一大特色，UserProfile(用户配置文件)提供一个配置模板，能够保存预设配置(一系列配置的集合)。用户可以根据不同的应用场景为UserProfile配置不同的内容，比如CAR(CommittedAccessRate，承诺访问速率)策略和QoS(QualityofService，服务质量)策略等。用户访问设备时，需要先进行身份认证。在认证过程中，认证服务器会将UserProfile名称下发给设备，设备会立即启用UserProfile里配置的具体内容。当用户通过认证访问设备时，设备将通过这些具体内容限制用户的访问行为。当用户下线时，系统会自动禁用UserProfile下的配置项，从而取消UserProfile对用户的限定。因此，UserProfile适用于限制上线用户的访问行为，没有用户上线(可能是没有用户接入、或者用户没有通过认证、或者用户下线)时，UserProfile是预设配置，并不生效。另外，WX3500E系列无线控制器还支持基于MAC的认证接入控制方式，这种方式不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改，同时支持对具体用户的权限的配置，这种精细的用户权限控制大大增强了无线网络的可用度，网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。基于MAC的VLAN同样也是WX3500E系列无线控制器的一大特色，在控制策略上，管理员可以把相同性质的用户(MAC)划分到同一个VLAN，同时在控制器上基于VLAN配置安全策略，这样做既可以简化系统配置，又可以做到用户级粒度的精细管理。出于安全性或计费等考虑，系统管理员可能希望控制无线用户接入到网络中的位置。WX3500E系列无线控制器支持基于AP位置的用户接入控制。当无线用户接入网络时，可以通过认证服务器向AC下发允许用户接入的AP列表，在AC上进行接入控制，从而达到限制无线用户只能接入到指定位置的AP的目的。提供高可靠的备份功能WX3500E系列无线控制器采用机架式系统设计，重要的部件可更换，双电源设计，满足高可靠性的要求。1+1快速备份WX3500E系列无线控制器支持毫秒(ms)级业务备份，AP会同时和两台无线控制器建立CAPWAP链路，一台作为主控制器，另外一台作为备份控制器，但只有和主控制器建立的CAPWAP链路处于工作状态。当主控制器异常down机时，备份控制器和主控制器之间的心跳检测机制可以保证在100毫秒(ms)之内检测到主设备的异常，并通知AP将主控制器CAPWAP链路切换，保证控制信号的不间断传送。N+1备份当多台WX3500E系列无线控制器部署时，N+1备份方案为可靠性和经济性折中的最好方案。例如其中N台AC各自独立工作，外加一台AC作为备份AC，其中N台AC中的任何一台出现故障，都会切换到备份AC上。而当主AC恢复后，AP将自动回切到主AC上，可保障AP尽量同主AC连接。其中WX3500E每台备份设备最多可以支持4台主设备(即4+1)。N+N备份当多台WX3500E系列无线控制器部署时，N+N备份可以实现最灵活的备份方案。AP初次会选择一个最优的控制器进行接入，当链接出现问题的时候，AP会在网络中重新选择一个新的最优控制器重新进行注册接入，进而实现了AP的接入备份，以及AC间负载均担。AP对最优控制器的选择，可以根据控制器负载情况动态计算(AC间动态负载均担)或事先指定控制器优先级等多种方式，十分灵活。实现N+N备份，组网中总AP数量只要小于(总AC数量-1)台控制器能够管理的AP规格即可满足备份的要求。Portal1+1热备当多台WX3500E系列无线控制器工作在双机模式时，可以实现Portal认证高可靠。用户通过其中一台AC完成Portal认证。双机将相互同步用户的认证状态等数据。任何一台ACdown时，由于另台AC已经预同步了用户的认证数据，所以可以避免Portal重认证和用户业务中断，满足了电信级可靠性需求。DHCPServer热备当多台WX3500E系列无线控制器工作在双机模式时，用户通过其中一台AC获得DHCP地址分配后，AC间将同步地址池信息。一台ACdown机后，当用户IP地址租约到期时，将发起DHCP请求续约。另一台AC用预备份的地址池数据回应续约，避免了为用户重新分配地址和用户业务中断。支持信道智能切换无线局域网中，信道是非常稀缺的资源，每个AP只能够工作在非常有限的非重叠信道上，比如对于2.4G网络，只有３个非重叠信道，所以如何智能地为AP分配信道是无线应用的关键。无线局域网工作的频段存在大量可能的干扰源，如雷达、微波炉，它们在网络中的出现将干扰AP的正常工作。通过信道智能切换功能，可以保证每个AP能够分配到最优的信道，尽可能地减少和避免相邻信道干扰，而且通过实时信道干扰检测，可以让AP实时避开雷达，微波炉等干扰源。支持智能AP负载分担802.11协议把无线漫游的决策交给了无线客户端，无线客户端一般会根据AP信号强度(RSSI)选择AP，这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于这些客户端共享无线媒介，导致每个客户端的网络吞吐将大量减少。智能负载分担方法可以实时地分析无线客户端的位置，动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载，通过控制无线客户端接入的AP，来实现这些AP间的负载分担。系统不仅支持按照用户在线会话数的负载分担，而且支持按照用户流量负载的分担。支持7层移动安全检测/防御(wIDS/wIPS)WX3500E系列无线控制器支持的移动安全防御模式有：黑名单、白名单、Rogue防御、畸形报文检测、非法用户下线、基于可预设升级的SignatureMAC层攻击检测与反制(例如：DoS攻击，Flood攻击、中间人攻击)等。配合无线应用控制台内置的海量智能专家知识库，可以获得灵活的无线安全策略判断依据，对于明确的非法攻击源(AP或终端等)，实现可视的物理位置跟踪监控和交换机物理端口移除。通过配合H3C专业核心层防火墙/IPS设备，更可以实现移动园区的7层立体安全防御，满足真正的从无线(802.11)到有线(802.3)端到端安全防护需求。支持RealTimeSpectrumGuard(实时频谱保护)模式RealTimeSpectrumGuard(RTSG)是H3C创新提出的针对无线环境频谱状态的专业监控方案。全系列无线控制器可以和内置射频采集模块的SensorAP，实现深度融合的射频监控和实时频谱防护。RTSG的控制台融合部署于H3CiMC智能管理中心，通过CAPWAP管理隧道，与SensorAP进行通信和数据采集，实现7X24小时的无线环境质量监控、无线网络能力趋势评估以及非许可干扰告警。通过图形化方式，主动探测和识别所有2.4GHz/5GHz波段的射频干扰源(Wi-Fi或非Wi-Fi)，可提供实时FFT图，频谱密度图、光谱图、占空比图、事件光谱图、频道功率、干扰功率等；可自动识别干扰源，确定有问题的无线设备的位置，确保无线网络发挥最佳的性能。结合H3CiAR智能报表组件，可实现全覆盖区内的射频质量历史记录的存储、追溯、回放等，自动生成客户化的趋势、合规和审计报告。针对用户无线环境监管的不同层次需求，RTSG方案的部署可以灵活采用Localmode或MonitorMode。当工作在LocalMode时，可以在获得有效的频谱防护前提下，保持正常的用户接入和数据包转发。支持智能无线业务感知(wIAA)WX3500E系列无线控制器支持智能感知无线业务流量，实现基于无线用户状态的弹性策略识别与管理，优化语音及视频业务承载。支持远程探针分析WX3500E系列无线控制器支持针对AP的远程探针分析功能。可以对覆盖区内的Wi-Fi报文进行侦听捕获并实时镜像到本地分析设备供网络管理员进行故障排查、优化分析。远程探针分析功能既可以针对工作信道进行无收敛镜像，也可以对所有信道轮询采样，灵活满足无线网络监控运维要求。内置射频优化引擎(ROE)WX3500E系列无线控制器内置针对AP的射频优化引擎(RFOptimizingEngine)，通过基于特征和协议的射频优化，有效提升无线部署中高密度接入、流媒体传输等场景中的应用加速能力和质量保障效果。其中包含：多用户公平调度、混合接入公平、过滤干扰、速率最优、频谱导航、组播增强(IPv4/IPv6)、逐包功率控制和智能带宽保障等。支持802.1x认证，MAC地址认证，Portal认证等WX3500E系列无线控制器支持多种认证方式：802.1x认证：WX3500E系列无线控制器支持TLS、PEAP、TTLS、MD5、SIM卡等多种802.1x的认证方式，同时还支持802.1x本地认证方式，提供对MD5、TLS、PEAP这几种主流认证方式的支持，用户不再需要额外配置AAA服务器。WX3500E系列无线控制器还支持通过802.1x认证后动态授权VLAN和ACL功能，对用户的策略可以事先设定好，用户认证时，系统自动配置客户权限。MAC地址认证：WX3500E系列无线控制器支持MAC地址认证，对一些手持终端(例如：Wi-FiPhone、手持移动终端等)并不方便采取电脑上的认证方式，MAC地址认证却可以轻松解决该问题，实现在控制器或者AAA服务器上配置好合法的MAC地址，这些MAC地址对应的终端就可以被允许被接入到网络，而事先没有被配置的非法终端则不能接入无线网络，该功能极大地方便了例如无线医疗系统等应用，MAC地址认证可以确保只有医院的PDA工作终端才能接入到无线网络，而拒绝病人的无线PDA使用专用无线网络。Portal认证：WX3500E系列无线控制器提供内置的Portal认证服务器。该认证方式无需客户端配合，直接通过浏览器WEBPortal页面作为认证通道，当用户认证通过后，可以灵活跳转到指定访问首页并启动相应授权和计费。同时也可以根据策略要求，灵活推送定制Portal页面，达到广告宣传、信息传递的作用，广泛使用在无线校园、无线城市、访客接入等应用场景。支持IPv4/IPv6双协议栈(NativeIPv6)WX3500E系列无线控制器支持无线客户的IPV6接入。在隧道起点AP上，由于设备对IPv6感知，所以可以做到IPv6优先级到隧道优先级映射等；在AC侧，同样可以对IPv6报文进行ACL过滤等复杂的控制和过滤。WX3500E系列无线控制器同样可以部署在IPv6网络中，AC和AP之间自动协商成IPv6隧道。AC和AP完全工作在IPv6状态时，无线控制器仍能正确地感知IPv4，并能处理无线客户的IPv4报文。WX3500E系列无线控制器IPv4/6灵活的适应能力，能满足客户在IPv4到IPv6网络迁移中的各种复杂的应用，既能在IPv6孤岛中给客户提供IPv4的服务，同时也能在IPv4孤岛中让用户轻松通过IPv6协议登录到网络。针对校园网层出不穷的IPv6伪造报文攻击，WX3500E系列无线控制器支持IPv6SAVI(SourceAddressValidation，源地址有效性验证)技术。通过对地址分配协议的侦听获取用户的IP地址，保证随后的应用中能够使用正确地址上网，且不可伪造他人IP地址，保证了源地址的可靠性。同时，通过IPv6SAVI和Portal技术的结合，进一步保证了所有上网用户报文的真实性和安全性。提供端到端的QoSWX3500E系列无线控制器基于Comware平台开发，不但对Diff-Serv标准完善支持，同时增加了对IPv6协议的QoS支持。QoSDiff-Serv模型中主要包括流分类、流量监管(Policing)、队列管理、队列调度(Scheduling)等，完整实现了标准中定义的EF、AF1～AF4、BE等六组PHB及业务，使网络运营商可为用户提供具有不同服务质量等级的服务保证，使Internet真正成为同时承载数据、语音和视频业务的综合网络。支持快速的二、三层漫游H3C公司的集中式无线架构不但能方便地实施二层漫游，而且非常有利于跨三层的漫游实现，用FatAP部署的WLAN网络，由于AP之间传递的信息有限，导致垮三层的漫游实现及其麻烦，集中式架构非常容易解决跨三层漫游的问题，WX3500E系列无线控制器支持二、三层漫游，漫游域不受子网的限制。这种优秀的漫游特性，可以让客户在规划无线网络时，无需过多考虑现有网络的规划，更多关注在无线信号的覆盖即可，这种方式大大简化了前期的网络规划，减少了网络规划成本。传统模式下，当无线用户终端使用802.1x作为802.11接入认证和密钥交互的手段时，无线用户终端和AP间的交互报文会非常的多。当无线用户终端在两个AP间漫游时，如果无线用户终端在新AP接入的过程完全遵从完整的802.1x的交互过程，势必造成漫游切换的时间过长，对于某些对漫游切换时间敏感的业务(例如语音业务)，这样的长切换时间是无法忍受的。WX3500E系列无线控制器采用Keycaching技术完成漫游时用户的快速切换，Keycaching技术在用户的安全接入和快速漫游间做了一个很好的平衡，可以使无线用户终端在两个AP间进行漫游时不必重新进行完整的802.1x认证交互过程，同时又能保证用户身份的识别和密钥使用的连续性；无线用户采用快速漫游方式，单AC内漫游时间不超过50ms，满足了语音业务的苛刻需求。支持多种分支机构远程接入场景当AC和AP通过广域网链路进行连接时，用户可以灵活选择集中转发或本地转发模式，提升分支机构局域网打印访问、终端互访等业务性能。当广域网链路发生故障或AC发生故障时，在线用户不掉线，可以继续访问本地资源，并且可支持AC逃生功能。当分支机构AP部署于私网内时，AC可以穿越NAT与AP进行通信。5.2无线AP（WA4320i）H3CWA4300i系列无线产品是杭州华三通信技术有限公司(H3C)自主研发的新一代基于2-Streams11acMIMO技术的千兆高速无线接入设备(以下简称AP)，可提供相当于传统802.11n网络3倍以上的无线接入速率，能够覆盖更大的范围。产品特点：实现智能千兆云接入和最佳无线网络TCOWA4300i系列AP遵从802.11ac协议标准，能提供空间2流(2-Streams)866Mbps的无线传输速率以及整机千兆接入能力，是相同环境下802.11n产品3倍左右。通过内置天线覆盖技术，可以有效地从覆盖范围、接入密度、运行稳定等方面提供更高性能的移动云接入服务并协助用户实现最佳无线网络TCO(总拥有成本/TotalCostofOwnership)。绿色低碳设计全速率全特性能够满足标准POE供电（低于12.95W）。WA4300i系列AP采用专业绿色低碳设计，支持动态MIMO省电模式(DMPS)与增强型自动省电传送(E-APSD)，智能辨识终端实际性能需求，合理化调配终端休眠队列，动态调整MIMO工作模式。WA4300i系列AP支持GreenAP模式，实现单天线待机，节能更精准。WA4300i系列AP通过创新性的逐包功率控制(PPC)技术，在确保报文能成功传输的前提下动态调节AP设备和客户端直接的双向功率，以达到减少设备能耗和延长移动终端待机时间的作用。提供双千兆以太网接口有线连接WA4300i系列AP支持双频同时工作，整机性能可达2000Mbps。WA4300i链路采用上下行独立双千兆以太网接口，突破了传统单以太网接口的限制，使有线口不再成为无线接入的速率瓶颈，为将来支持更高速率更多射频组合提供了平滑升级的平台。双千兆以太网口的支持，还可以实现AP上行链路传输的备份，有效降低规模部署中有线侧故障对无线网络运行带来的风险和影响。支持Fat/Fit两种模式WA4300i系列AP支持Fat和Fit两种工作模式，根据网络规划的需要，可以灵活地在Fat和Fit两种工作模式中切换，同时用户可以根据应用需求，灵活选择所需的设备出厂版本(Fat模式版本或Fit模式版本)。当客户的无线网络初始规模较小时，客户只需采购相应无线设备，并设置其工作模式为Fat模式。随着客户网络规模的不断扩容，当网络中应用的无线设备达到几十甚至上百台时，为降低网络管理的复杂度，建议客户采购H3C自主研发的WX系列无线控制器设备，便于集中管理网络中的所有的WA4300i系列无线设备，此时只需将其工作模式切换到Fit模式。工作模式切换过程只需要简易命令行，且可以通过设备网管批量执行，有利于将客户的无线网络由小型网络平滑升级到大型网络，从而更好地保护用户的投资，非常适合运营级大规模无线网络的平滑扩容升级。提供本地转发功能当WA4300i系列AP(Fit模式)通过广域网方式转发时，无线接入设备部署在分支机构，而无线控制器部署在总部，所有用户数据由无线接入设备发送到无线控制器，再由无线控制器进行集中转发。WA4300i系列AP可将数据报文在无线接入设备上直接转化为有线格式的报文，使得数据报文不经过无线控制器，而是在本地进行转发，大大节约了有线带宽。支持IPv4/IPv6双协议栈(NativeIPv6)WA4300i系列AP全面支持IPv6特性，设备实现了IPv4/IPv6双协议栈。无论原有有线网络是IPv4还是IPv6，都可以自动地与WX系列控制器进行注册提供WLAN服务，不会成为网络中的信息孤岛。支持RealTimeSpectrumGuard(实时频谱保护)模式RealTimeSpectrumGuard(RTSG)是H3C创新提出的针对无线环境频谱状态的专业监控方案。H3CWA4300i系列AP支持内置射频采集模块，实现深度融合的射频监控和实时频谱防护。RTSG的控制台融合部署于H3CiMC智能管理中心，通过CAPWAP管理隧道，与SensorAP进行通信和数据采集，实现7X24小时的无线环境质量监控、无线网络能力趋势评估以及非许可干扰告警。通过图形化方式，主动探测和识别所有2.4GHz/5GHz波段的射频干扰源(Wi-Fi或非Wi-Fi)，可提供实时FFT图，频谱密度图、光谱图、占空比图、事件光谱图、频道功率、干扰功率等；可自动识别干扰源，确定有问题的无线设备的位置，确保无线网络发挥最佳的性能。结合H3CiAR智能报表组件，可实现全覆盖区内的射频质量历史记录的存储、追溯、回放等，自动生成客户化的趋势、合规和审计报告。针对用户无线环境监管的不同层次需求，RTSG方案的部署可以灵活采用Localmode或MonitorMode。当工作在LocalMode时，可以在获得有效的频谱防护前提下，保持正常的用户接入和数据包转发。提供EAD无线接入终端准入控制(EAD，EnduserAdmissionDomination)解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，对接入网络的用户终端强制实施企业安全策略，通过与安全策略服务器的联动，可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理，只有无线客户端符合相应的安全策略之后才允许正常访问网络，从而提高了无线网络的整体安全性。支持远程探针分析WA4300i系列AP支持作为远程探针分析的Sensor设备，可以对覆盖区内的Wi-Fi报文进行侦听捕获并实时镜像到本地分析设备供网络管理员进行故障排查、优化分析。远程探针分析功能既可以针对工作信道进行无收敛镜像，也可以对所有信道轮询采样，灵活满足无线网络监控运维要求。内置射频优化引擎(ROE)WA4300i系列AP内置射频优化引擎(RFOptimizingEngine)，通过基于特征和协议的射频优化，有效提升无线部署中高密度接入、流媒体传输等场景中的应用加速能力和质量保障效果。其中包含：多用户公平调度、混合接入公平、过滤干扰、速率最优、频谱导航、组播增强(IPv4/IPv6)、逐包功率控制和智能带宽保障等。支持智能负载均衡WA4300i系列AP支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现无线接入设备的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的无线接入设备可供用户接入，如果有则会拒绝用户的关联请求，用户会转而接入其他负载较轻的无线接入设备，但如果无线用户不在重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。H3C公司创新性的支持智能负载均衡技术，保证只对处于覆盖重叠区的无线用户才启动负载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。支持中文SSIDWA4300i系列AP支持使用中文SSID，可指定最长包含32个汉字的SSID，也可以使用中英文混合的SSID，为国内用户提供了更大的使用便利。全面支持智能型有线无线一体化管理H3C全系列无线产品都可以通过开放的网络管理协议实现基于WSM的有线无线一体化管理。WSM是H3C在下一代业务软件平台iMC(intelligenceManagementCenter/智能管理中心)的基础上开发的无线运营管理组件，不仅为管理员提供了灵活的组件选择，同时符合业界主流的SOA架构，具备良好的扩展性，能够满足客户网络管理不断发展的需求。基于Web的管理系统，为无线业务管理者提供了简便、友好的管理平台。与iMC智能管理平台及其它组件配合，还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理等功能，并可对网络中的其它设备进行统一管理，真正实现智能型有线无线一体化管理。5.3POE交换机（S5000PV2-EI）H3CS5000PV2-EI系列以太网交换机是杭州华三通信技术有限公司（以下简称H3C公司）面向接入层推出的新一代全千兆产品，在满足高性能接入的基础上，提供更全面的安全接入策略和更强的网络管理维护易用性；可广泛应用于政府、中小型企业、学校以及酒店等行业的网络建设场景。产品特点：丰富的安全策略H3CS5000PV2-EI系列交换机支持特有的ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”。支持IPSourceGuard特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及DoS攻击。另外，利用DHCPSnooping的信任端口特性还可以有效杜绝私设DHCP服务器，保证DHCP环境的真实性和一致性。H3CS5000PV2-EI系列交换机支持端口安全特性族，可以有效防范基于MAC地址的攻击，实现基于MAC地址允许/限制流量。H3CS5000PV2-EI系列交换机提供802.1X和MAC认证方式对接入的用户进行认证，支持客户端软件版本检测、GuestVLAN等功能，和iMC配合还可以实现代理检测、双网卡检测等功能。通过这些功能的应用可以对用户的合法性进行充分的检查和控制，最大程度的减少非法用户对网络安全的危害。增强的多业务能力H3CS5000PV2-EI系列交换机支持端口限速以及流限速功能，防止恶意侵占网络带宽，也为网络带宽的精细化管理提供了手段。H3CS5000PV2-EI系列交换机支持SP（StrictPriority）、WRR（WeightedRoundRobin）、SP+WRR三种队列调度算法，可以以不同的优先级将报文放入端口的输出队列。H3CS5000PV2-EI系列交换机支持丰富的IPv6管理功能及支持丰富的IPV6业务特性等。专业的防雷功能