商场网络方案150521

xxx-DCN商场网络建设方案2/50某商场网络解决方案V1神州数码网络有限公司2015年05月目录TOC\o"1-4"\h\z\u第一章商场的基本概念 41 建设目标 42 建设思路 5第二章需求分析 51 xxx网络应用需求 52 xxx网络性能需求 6第三章商场网络设计技术规范 61 网络架构分析 62 设计思想 72.1 实用性和集成性 82.2 标准性和开放性 82.3 先进性和实用性 82.4 成熟性和可靠性 82.5 可维护性和可管理性 92.6 可扩充性和兼容性 92.7 其他 10第四章xxx新校区商场网解决方案 101 商场网解决方案 102 商场网络解决方案 122.1 网络基础平台承载设计 122.1.1 核心层设计分析 122.1.2 汇聚层设计分析 142.1.3 接入层设计分析 142.2 xxx商场网安全出口设计 152.2.1 网络出口综合防御设计 162.2.2 城域网舆情监控设计 182.3 网络管理系统设计 202.3.1 网络管理描述 202.3.2 统一网络管理平台功能描述 202.4 商场网的安全策略部署 232.4.1 设备物理安全策略 232.4.2 网络基本功能安全策略 242.4.3 网络管理功能安全策略 252.4.4 网络应用功能安全策略 252.4.5 网络层次功能安全策略 263 商场无线网络解决方案 293.1 无线商场网现状 293.2 设计原则与规划 303.2.1 设计原则 303.2.2 无线协议标准选择 313.2.3 无线频段规划 313.3 无线安全设计 343.3.1 WIDS无线入侵检测 343.3.2 WIPS无线入侵防御和非法用户定位 363.3.3 黑白名单--无线网络的安检员 373.3.4 完备内置防火墙策略 383.3.5 用户隔离 383.4 无线服务质量设计 393.4.1 端到端的无线有线一体化QOS功能 393.4.2 WLAN优先级服务 423.4.3 WMM 433.4.4 语音视频 453.4.5 组播转单播的机制 453.5 无线关键技术 463.5.1 终端时分公平 463.5.2 无线环境频谱分析 473.5.3 集中式隧道转发技术下L3漫游和跨AC漫游 483.5.4 AP跨NAT接入无线控制器 493.5.5 基于时间的访问控制 503.5.6 基于终端角色的策略管理机制 503.5.7 3.1.7无线远程抓包 513.5.8 无线SAVI(源地址有效性验证) 523.5.9 AP自动逃生机制 54第五章：附件： 56第一章背景概述1、背景

最近几年电商对传统零售的冲击越来越大，互联网、移动互联网、云计算以及大数据等新兴技术会深深的重塑零售业的商业规则。但是传统零售也大可不必谈电商色变，线上和线下将会长期共存，谈到近年来线下零售形势的不好，很多人将因素归结为电商的冲击。但是仔细分析下，现在我国的电子商务交易额占社会消费品总额的比例不足5%，如此小比例的电商如何能拖住整个线下零售业发展的步伐。即使未来的某一天电商交易额占社会消费品总额的比例达到了20%，那么仍有80%价值十几乃至几十万亿的交易在线下发生。因此，我们绝不能忽视电商这一渠道给零售业带来的冲击，但也不能唯电商论，线下仍旧会是零售的主要渠道，只不过是线下的玩法需要与时俱进。

在新技术和新渠道的冲击下，传统零售所奉行的线下的商业规则和思路，已经逐渐变得不适用了，一系列的新技术手段和商业模式通过影响消费者的购物决策过程改变了消费者和整个零售业。

新的营销方式方法、新的商业流程、新的商业生态系统，对于传统商业生态系统将会开展一次革命性的颠覆。同时也是目前传统零售商面临的挑战。2、机遇

通常，一个典型的购买过程包括消费者从认识到自身需求开始，经过信息的收集以及产品的选择与判断，最后做出购买决定。消费者从需求被激发开始，通过不断地接受和收集各种信息，对这些信息的综合判断最终形成购买的决定。对于商家来说为了顺利地实现销售，在用户做出购买决定之前如果能施加的影响越多，那么达成交易的可能性越大。这对于发展过于成熟的互联网来说，简直驾轻就熟。电商网站通过使用网站cookie跟踪用户行为，通过DSP,RTB,ADX得以实时展现在消费者面前。而对于线下零售商，在很长一段时间里，信息的来源和传播手段，分析策略都是极其匮乏的。

现在，一方面随着互联网和智能手机的深入普及，消费者有了更多获取信息的渠道，零售也变得不完全唯地段论了；另一方面移动互联网从概念变成现实，带来了更多的接触点、更新的交互方式和技术趋势。这些因素交织在一起改变了消费者购物以及收集信息的方式，信息流逐渐变得更加的实时，零售商面临的环境也更加的动态和多变。总之，以互联网和移动互联网正在重塑行业内的商业规则，消费者的行为和习惯呈现出了不同于以往任何时代的特征。对于传统零售商来说，线下依旧会是主要的零售渠道，但是如何利用互联网和移动智能终端出现的新的特征，实现泛渠道的营销，全渠道的管理，改进客户关系管理方法、优化商业流程是呈现在我们面前的最大机遇。第二章网络设计技术规范网络架构分析现代网络结构化布线工程中多采用星型结构，主要用于同一楼层，由各个房间的计算机间用集线器或者交换机连接产生的，它具有施工简单，扩展性高，成本低和可管理性好等优点；而商场网在分层布线主要采用树型结构；每个房间的计算机连接到本层的集线器或交换机，然后每层的集线器或交换机在连接到本楼出口的交换机或路由器，各个楼的交换机或路由器再连接到商场网的通信网中，由此构成了商场网的拓补结构商场网采用星形的网络拓扑结构，骨干网为千兆或万兆速率具有良好的可运行性、可管理性，能够满足未来发展和新技术的应用，另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性，我们选择热路由备份可以有效地提高核心交换的可靠性。传输介质也要适合建网需要。在楼宇之间采用光纤，保证了骨干网络的稳定可靠，不受外界电磁环境的干扰，覆盖距离大，能够覆盖全部商场。在楼宇内部采用6类双绞线。设计思想进行商场总体设计，首先要进行对象研究和需求调查，明确商场的性质、任务和改革发展的特点及系统建设的需求和条件，对商场的信息化环境进行准确的描述；其次，在应用需求分析的基础上，确定商场Intranet服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三是确定网络拓扑结构和功能，根据应用需求建设目标和商场主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划商场网建设的实施步骤。商场网总体设计方案的科学性，应该体现在能否满足以下基本要求方面：整体规划安排；先进性、开放性和标准化相结合；结构合理，便于维护；高效实用；支持宽带多媒体业务；能够实现快速信息交流、协同工作和形象展示。在追求性能优越、经济实用的前提下，本着严谨、慎重的态度，神州数码网络商场方案从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计，力图使该系统真正成为符合商场真正需求的网络系统。从技术措施角度来讲，在系统的设计和实现中，神州数码公司将严格遵守以下原则：实用性和集成性无论是系统的软硬件设计、还是集成，均应以适用为第一宗旨，在系统充分适应商场业务需求的基础上进而再来考虑其他的性能。该系统所包含的内容很多，系统设计者必须能将各种先进的软硬件设备有效地集成在一起，使系统的各个组成部分能充分发挥作用，协调一致地进行高效工作。标准性和开放性只有支持标准性和开放性的系统，才能支持与其他开放型系统一起协同工作，在网络中采用的硬件设备及软件产品应支持国际工业标准或事实上的标准，以便能和不同厂家的开放型产品在同一网络中同时共存；通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。对于处于同一工作范围内的网络设备，要求硬件设备符合NEBS标准体系认证，保证运行设备不会对其他提供服务的设备造成负面影响，不会对人和环境造成伤害，降低火灾隐患。只有符合NEBS国际标准认证的核心网络设备，才能够满足以上的关键需求，符合商场的建设要求。先进性和实用性系统所有的组成要素均应充分地考虑其先进性。我们不能一味地追求实用而忽略先进，只有将当今最先进的技术和我们的实际应用要求紧密结合，才能获得最大的系统性能和效益。商场是网络技术应用的先行者，在网络设计中，我们充分考虑商场网络设备对新技术标准的支持能力，例如：IPV6、MPLSVPN、虚拟化等技术的支持。对于商场网络中心，大数据交换量需求的场合，建议使用高性能的万兆核心交换机满足服务器的负载均衡功能，满足商场用户的大数据量通讯的需求。网络的安全是至关重要的，对网络安全隐患的预防、以及在网络出现安全问题时的快速定位和控制是商场网络建设中应该首要考虑的问题，在网络方案中提供解决的方式和手段。在某些情况下，宁可牺牲系统的部分功能也必须保护系统的安全，所以在网络设备的选择上要考虑设备的安全和稳定性等方面的需求。成熟性和可靠性作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。网络硬件体系结构和产品应在实际应用中能经过较长时间的考验，在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案，并得到较多的第三方开发商和用户在全球范围的广泛支持和使用。同时，应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品，以适应系统未来的发展需要。可靠性也是衡量一个计算机应用系统的重要标准之一。在系统网络环境中单独设备稳定、可靠运行的前提下，还需要考虑网络整体的容错能力、安全性及稳定性，使系统出现问题和故障时能迅速地修复。因此需要采取一定的预防措施，如对关键应用和主干设备考虑有适当的冗余。应急处理信息系统能够全天候工作，达到每周7x24小时工作的要求。通过选择先进体系结构的硬件设备，使商场网络系统满足5个9的可靠性，使每年的系统维护时间缩短在5.36分钟之内。一个高可用性的系统才能使用户的投资真正得到回报。可维护性和可管理性整个信息网络系统中的互连设备，应是使用方便、操作简单易学，并便于维护。对复杂和庞大的网络，要求有强有力的网络管理手段，以便合理的管理网络资源，监视网络状态及控制网络的运行。因此，网络所选网络设备应支持SNMP、RMON、SMON等协议，并支持IPV4/6的各种网络管理协议，管理员通过网管工作站就能方便地进行网络管理、维护甚至修复。在设计和实现计算机应用系统时，必须充分考虑整个系统的便于维护性，以使系统在万一发生故障时能提供有效手段及时进行恢复，尽量减少损失。可扩充性和兼容性网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理能力、物理联接、产品支持等方面具有扩充与升级换代的可能，采用的产品要遵循通用的工业标准，以便不同类型的设备能方便灵活地联接入网并满足系统规模扩充的要求。特别是在IPV6的支持方面一定要做到国际领先地位，IPV6是网络发展的必然方向，现在已经开始大规模的商用，所以在设备的选择上要着重考虑对IPV6的支持程度和先进性。为了使所实现系统能够在应用发生变化的情况下保护原有开发投资，在设计系统时，应将系统按功能做成模块化的，可根据需要增加和删减功能模块。其他在系统集成的设计过程中，决定性的因素还有很多，需要结合用户需求综合考虑。例如，网络数据流量的估计是网络所需带宽的重要依据，以信息服务系统为例，其工作方式主要分为局域网内部工作站对网络服务器上的信息资源的访问和远程计算机对本局域网网络服务器上信息资源的访问两种。由于局域网内工作站对网络服务器的访问有可能造成网络最大的数据流量，使服务器和网络设备之间的连接成为系统瓶颈口，使网络发生拥塞，因此需要对这一数据流量进行一个大致的估计，以便按照估计在服务器和工作站之间配置容量相当的网络设备和通讯带宽。遵从了如上的设计原则，选择技术先进，经济实用、适应性强、可靠性高、可扩展性好的设备，从而使系统具有较高的性能价格比，真正满足商场的应用需求。第三章xxx商场网解决方案商场网解决方案xxx网络拓扑示意图如下所示：商场网络解决方案网络基础平台承载设计核心层设计分析作为商场网络核心设备，必须提供全线速的数据交换，同时当网络流量较大时，对关键业务的服务质量提供保障。在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。同时，骨干交换机的功能还应具有较强的扩展性，目前网络正处在IPv4->IPv6过渡期，核心设备必须在一定程度上支持IPv6，同时满足其它功能的扩展。核心层设备性能分析每当提及网络设备性能的时候，很多人总认为背板带宽、背板带宽交换容量、包转发率越高越好，这完全是一个误区！真正评价一台设备性能好的依据为线速转发，或者说在所有端口100%利用率的时候仍然没有任何数据包丢失。背板带宽交换容量、包转发率本身对于一个机箱式核心交换机而言完全是所有模块的一个叠加值，所以这并不能真实地反映设备的实际性能，如果考察设备的性能，那么必须从交换背板、单个模块到背板的带宽、交换架构、芯片等方面考虑。当今网络设备制造领域所涉及的网络芯片技术、网络协议等发展迅速、日新月异，我们认为，规划网络时必须结合用户的实际情况，同时要考虑一些前瞻性的技术。关于核心交换机的选择，就需要结合项目实际以及用户目前实际需求，同时考虑未来网络存续期间业务拓展对于核心设备的扩展性要求，在此前提下要该核心交换机能够提供全线速转发。决定网络交换设备性能的关键在于背板、芯片，设备所具备的一些底层次的功能（如VLAN、LAG等）也是由芯片（包处理器）决定的。背板技术这里所说的背板准确点讲应该是交换架构（SwitchFabric），不仅仅是狭义上的机箱背面竖立的交换机线路板。现在主流的背板技术是采用Crossbar或者Crosspoint架构。背板带宽/交换容量主要是由Fabric芯片，也就是我们常说的交换矩阵芯片决定的，除非换掉Fabric芯片否则交换容量无法升级，背板带宽/交换容量对于系统的影响不是很大，它的主要作用就像一条高速公路上有多少车道，但是如果用户只有一辆车仅跑一条车道，这就是浪费。交换芯片在网络设备制造厂商业界，交换机的芯片要么自主研发，要么采用商用芯片，即交换芯片厂商的，如网络芯片领域全球排名第一的Broadcom，Cisco/3com/Nortel/神州数码等很多厂商的产品就采用该公司芯片，采用同一个芯片厂商同一型号的芯片生产的网络设备性能肯定是一样的。采用业界主流商用芯片可以有效地降低网络设备制造厂商网络产品在芯片层面的缺陷风险，因为这些主流商用芯片采用的厂家比较多，如果存在缺陷的话必须加大研发力度解决，时间长了问题相对于二流芯片厂商bug问题较少。核心层设备选用依据根据对核心层技术及核心层设备性能的分析，我们总结核心层设备选用的依据是：千兆端口、万兆端口线速转发，在满配ACL后仍能线速转发；兼容NEBS标准的高可靠性，支持引擎、交换矩阵、电源、风扇冗余，支持不间断转发技术支持可商用的IPv6特性，确保下一代互联网平滑过渡支持高密度千兆、万兆接口，支持10万兆扩展能力支持环网技术，提供电信级收敛速度支持大容量RIB（路由表）和FIB（转发表），能够直接面对大规模用户的三层交换业务支持多业务模块的扩展，满足未来数据中心的复杂应用高安全性，能够抵御来自内外网的各种攻击汇聚层设计分析商场网汇聚层是商场各个区域数据的汇聚中心，分担核心层的压力，同时需要为各个区域数据提供快速的数据交换平台，另外充分考虑目前商场网的需求及未来几年的扩展，提供基于领先技术的卓越性能和可靠性。商场网汇聚层起着承上启下的作用，是保证整个商场网业务能否执行的关键。商场网汇聚层功能：提供路由，策略执行能力（流量整型等）。商场网汇聚层组成产品：汇聚层万兆IPv6/v4双栈路由硬件交换机。商场网汇聚层核心技术分析：多千兆口支持，支持万兆上联，QoS，L3－L4层交换。接入层设计分析在传统的网络设计中，三层转发完全由核心设备完成，通过光纤连接网络边缘中低端交换机，边缘交换机则10/1000M到桌面。首先，10/1000M端口接入用户已经不能满足网络应用的需求，比如网络中的视频监控及视频会议，不能给用户带来良好体验；其次，普通边缘交换机无法有效的控制网络网点间的数据传输，控制用户的访问权限，使用户局域网的安全存在威胁；另外，由于核心设备直接暴露在二层网络下，造成设备必须支持大容量的主机和子网路由表，这样一个大二层网络实际上是一个很大的广播域，使得网络中大部分设备承担了大量不必要的流量，对于核心交换机的负荷过大。如何解决上述问题，神州数码网络根据对用户实际问题和组网方案的深入分析和理解，推荐采用千兆到桌面接入的组网模式，这样可以有效解决传统组网模式的弊端，同时实现桌面接入的高带宽高性能，让视频等多媒体传输完全无阻塞，并在接入层通过VLAN划分提供基于策略的安全访问机制，提高网络的安全性。接入层要求：选择千兆接入交换机；要求接入交换机能完整支持防ARP欺骗攻击、ARP扫描攻击等安全特性，能够抵御来自内外网的各种接入层攻击；支持PoE供电接口；能做到基于用户的安全ACL策略；支持堆叠技术，支持链路捆绑。xxx商场网安全出口设计商场网出口是改善和提高商场网用户体验的重点区域，商场网出口是商场局域网与INTERNET连接的唯一通道，其稳定性、安全性、高性能等特点都是值得关注的关键性指标。随着用户规模的扩张，商场网出口在已经多次升级的情况下仍然不能满足用户的需求。在节约成本与提高用户体验这对矛盾的前提下，不升级运营商高资费的出口线路带宽，转而提高出口线路的有效利用率和关键业务的带宽保障是一个行之有效的办法。商场网出口的一些现象：来自外部网络的DoS攻击、病毒、恶意扫描防不胜防。P2P应用大行其道，蚕食出口带宽，上网速度不堪忍受，员工及客户怨声载道。出口链路众多，多链路负载均衡和策略路由充满挑战。带宽扩容，原有的路由器、防火墙超负荷运行并发连接回话激增，NAT网关频繁死机出口日志记录不详，检索复杂，面对公安机关的反查要求力不从心。IPv6网络出口缺乏安全防护手段，跨栈攻击一触即发商场网出口需求分析：通过对商场网出口面临的一些问题的深入分析，我们将商场网出口建设的需求归纳如下：出口设备需要具备高处理性能、高吞吐量，为满足internet出口的接入需求，设备应当具备万兆吞吐能力。高安全性能，能够有效阻止来自外部网络的各种攻击、病毒、扫描。能够精确识别各种应用层流量，限制非法流量，保证关键业务的服务质量。针对不同的网络对象实施精细化带宽策略，带宽管理能够精确到用户。出口多链路能够支持高性能负载均衡和策略路由，集成各大ISP路由表。提供详细的出口访问日志记录，并实现智能反查。设备尽量精简，杜绝“糖葫芦”式臃肿出口能够实现IPv4/IPv6双栈安全过滤，解决internet出口安全软肋基于上述对商场网出口的现状与需求的深刻理解，神州数码网络推出了为商场网出口区域量身定制的安全出口解决方案：神州数码安全出口解决方案，通过在商场网络出口部署DCFW系列多核安全网关：网络出口综合防御设计综合防御，净化出口，安全接入多面手：根据总体拓扑所示，在各ISP线路之间布置神州数码终结者多核超安全网关。神州数码高端安全网关专为万兆位流量的网络服务运营商、超大型商场网、数据中心等骨干网络而设计,设备采用16核64位嵌入式处理器和高速交换总线技术（如下图），实现了芯片级的硬件加解密、QoS流量管理，避免了传统ASIC和NP安全系统新建连接能力和流量控制能力弱的弊病。通过扩展license，终结者安全网关还可以支持防病毒过滤，高达8000万地址容量的URL过滤以及强大的IPS功能。神州数码终结者安全网关采用多核处理器架构，在实际工作中，每个核心可以在相对节能的方式下运行，牺牲单个核心的运算速度，但多颗核心协同处理任务，以达到性能倍增的目的。商场网出口部署“终结者”后，整体效能提升如下：多出口接驳游刃有余：internet一般存在2个出口，如中国联通（宽带）、中国电信（宽带）保证商场的不断网，神州数码高端安全网关支持完善的链路负载均衡能力，根据各个出口的负荷压力进行优化分担和链路备份。由于我国各大运营商之间存在严重的带宽瓶颈，单一的负载均衡功能并不能有效提升用户的上网质量，不恰当的负载分担策略反而会造成较大的网络延迟（如将访问电信网站的请求负载分担到联通出口），因此，神州数码终结者安全网关内置了强大的策略路由引擎，集成各大ISP路由表，可以实现智能路由选择，在计费策略允许的情况下，确保用户通过最快路径到达目的站点。高性能NAT迅捷如风：多出口的局面对出口设备的吞吐能力提出了严峻要求，而NAT则是这个环节的重中之中，据统计当网络中在线用户达到1万时，新建连接大约为17万，商场网由于有internet线路存在，连接数略低于此水平，神州数码高端安全网关最高支持500万并发连接，每秒处理新建TCP连接超过20万，UDP新建连接超过40万，完全能够满足这种大规模的城域网出口访问环境。在实际部署时，internet出口采用路由模式，internet出口采用NAT模式，internet出口也需要部署NAT。由于目前公有地址资源紧张，很多商场不希望采用公网地址池的方式部署NAT，针对这种需求，终结者安全网关支持完善的单地址NAT技术，通过神州数码独创的6元组复用技术，确保单地址的端口资源不被耗尽，保障了单地址NAT的正常运行，帮助商场有效节省公网地址。安全防护服务，随需而动：面对与日俱增的商场网出口安全威胁，神州数码高端“终结者”安全网关集成了全方位的安全防护手段，支持吞吐量高达8Gbps的状态检测安全过滤，有效保护内部服务器和用户。目前很多商场网用户因为访问挂马网页或下载带毒附件而中毒，“终结者”可支持高达1Gbps流量的防病毒过滤，通过升级license，可集成卡巴斯基反病毒引擎（40万病毒库），配置防病毒引擎后，用户访问挂马网站、下载病毒附件都会被自动过滤，解决困扰商场网用户已久的病从“口”入问题。“终结者”还可以通过license升级支持IPS功能，实现网络出口的动态防御。病毒库与IPS特征码都可以通过神州数码网站（）动态或手工升级，商场网出口安全防护将随需而动。封堵IPv6安全短板，无懈可击：随着接入区出口，对于IPv6出口的安全威胁防范却仅仅局限于IPv6ACL，更有很多商场网呈现了IPv4出口层层设防，IPv6出口大门洞开的现象，结果攻击者“曲径通幽”，通过IPv6网络入侵商场，进而攻击IPv4商场网，形成名副其实的“跨栈攻击”。针对这种危机，神州数码率先在“终结者”安全网关上开发了IPv6状态检测包过滤功能，为IPv6商场网保驾护航。网络管理系统设计网络管理描述网络是信息化的基础；保证网络持续、稳定、安全地运行是商场日常办公赖以运作的基础。“三分建设、七分管理”，对网络的管理水平将接影响到它的运行质量。根据网络不断发展的现状与用户实现需求，提出了“统一接入、统一管理、统一运维”的网络安全与管理理念，并推出了更加专业的LDCNLinkManager(DCLM)统一管理平台。是一款管理有线、无线一体化网络生命周期的综合平台，其可从计划、实施、监控、配置、问题处理、报告等对企业网络进行全面的管理。通过集中、直观、易于使用的用户管理界面显著地降低了网络运营成本。统一网络管理平台功能描述有线、无线一体化提供给用户完整的统一的有线、无线一体化视角，让用户全局掌握企业网络整体的运行情况。提供应用以保证可视化和故障排除功能，最大限度完善用户体验融合式管理，让用户轻松地实时监控、排除故障和制作报告.用户可以轻松的定位网络问题，带宽瓶颈，或者无线上网遇到的管理障碍。可简化网络管理、提高运营效率、减少人为错误灵活、直观和易于使用支持所有主流web浏览器，DCLM为初次使用用户和有经验的用户设计了一个简单灵活操作界面。每个用户可以自定义自己的门户网站界面，以适应他们的管理目标。允许用户自定义图表、表格和视图信息。灵活的访问控制操作权限和设备区域。强大的网络拓扑用户可以通过自定义的网络拓扑图查看网络的连接情和网络的流量信息.设备和Link的状态,Link的带宽以及速率通过自定义的图标和颜色清楚地呈现给用户自动发现网络拓扑,全方位支持DCN和第三方网络设备网络设备和Link的告警信息由下自上反映在拓扑图上WiFi监控和防护自动跟踪每一个wlan设备和移动用户的流量，带宽，登录方式，速率,信号,和利用信息。让用户了解wlan网络的运行状态和网络性能瓶颈.可以轻松地实施wlan监控、排除移动用户的接入故障移动客户端会话和历史客户信息收集和显示。用户可以清楚地了解谁登录了哪个无线网络,从哪里登录,通过什么设备登录,什么时间登录,以及使用了多少时间.显示网络范围内的前10名wlan设备和移动用户信息,用户可以掌控网络的潜在风险,在问题出现以前解决问题,给wlan终端用户提供极高的上网和使用体验。融入有线网络,可视性的有线无线网络连接和网络拓扑结构,方便故障排除。wlan设备和客户端仪表盘的详细信息。支持wlan网络监控与灵活的配置阀值,呈现wlan网络的瓶颈和潜在风险.提供强大的无线安全监控和防护功能.显示wlan安全和无线攻击的事件.提供非法AP和client的检测和显示功能终端定位终端轨迹故障诊断和根本原因分析DCLM组件可以很容易地解决大规模的wlan网络服务中断等网络问题。它允许IT管理员在整个wlan和有线网络能够快速识别和解决网络问题。在IP或MAC地址的移动终端用户基础上的网络故障诊断。全面的搜索网络设备并可很容易在仪表盘上发电设备的性能状况或问题。通过电子邮件，短信或脚本集成能够智能灵活的发布报警信息，并第一时间通知用户尽快解决网络中的问题。基于规则的报警关联和根本原因分析。支持报警传播，并在地图上显示最严重的报警和计数器以便更快的解决问题。商场网的安全策略部署设备物理安全策略神州数码系列产品安装了防雷击的安全芯片，并进行了良好的风扇设计，保证设备的在恶劣的环境中仍然能够正常运转。神州数码系列产品还要有完善的自检功能，能够对内存、CPU、总线、转发芯片等等硬件进行检查，保证每次开机各个方面硬件的良好运转。在高端设备还有后台的硬件检控任务，检控CPU、风扇、机箱温度等等，进行信息记录，在异常的时候给予闪灯、发警告信息等多种报警。以上机制再加上冗余电源、冗余主控、冗余风扇等方法充分保障了设备运转的物理安全。网络基本功能安全策略A.二层转发协议安全策略针对ARP的欺骗的安全策略通过认证计费系统的IP+MAC+端口+vlan的多重绑定使PC在接入网络时一定是正确的IP和Mac，而安装在PC上的Dot1x客户端可以保证在PC接入网络后进行IP或Mac修改时，及时的切断PC和网络的连接，保证错误的IP/Mac信息不被发布到网络上。另外DCN系列交换机上还有一套非法ARP阻断命令，通过此命令可以有效的从硬件转发层次，阻断抢占网关IP的非法ARP包进入网络。这就从根本上切断了抢占网关IP的安全威胁。同时此功能还提供计数和报警功能，可以及时的将发送非法ARP的PC找出来通知网管。对私建DHCP的安全策略认证计费系统安装在PC上的Dot1x客户端会自动监测PC上是否启用了DHCP服务，一旦发现非法私建DHCP服务，那么客户端程序将马上切断PC与网络的连接。另外接入交换机上启用DHCPSnooping功能，可以监听DHCP协议报文，并且设置DHCP协议的信任端口。一旦发现在非信任端口接受到DHCP服务器报文，那么将马上向网管进行报警，同时可以根据预定策略将此端口的连接切断对虚假STP欺骗的安全策略交换机上支持在端口下设置对STP协议的信任属性，从而避免虚假STP对交换机拓朴计算造成影响。对设备CPU攻击的安全策略神州数码系列产品自身采用了独特的CPU保护机制，对各种协议包根据优先级进行队列设置，对收包进行优化，保证CPU不会被虚假的信息所淹没，始终可以进行正常的协议运转。对非法用户接入的安全策略认证计费系统的IP+Mac+Vlan+端口+交换机IP的多信息绑定模式，再加上Dot1x客户端对克隆PC和代理的检查，确保了非法用户无法接入商场网。B.三层转发协议安全策略错误路由信息的安全策略神州数码系列产品可以完整实现RIP、OSPF、BGP等路由协议的安全选项，非法的路由信息无法通告MD5加密检查，确保网络路由信息的安全非法组播的安全控制神州数码独有的DCSCM安全策略组播技术，可以对源和目的进行安全控制，完整实现了在接入层网络中应用了基于IGMP源端口和目的端口检查技术，可以完全限制合法组播在网络中的稳定传输，有效控制组播建立的整个过程，保障了正常合法的组播应用的稳定运行；同时DCSCM可与AAA系统联动实现业务控制。网络管理功能安全策略神州数码全线产品支持SSH和SNMPv3协议，他们是对telnet和SNMPv1/v2的安全升级，传输的数据完全加密，从而避免了被监听窃取密码的可能。交换机的Web服务支持安全策略的cookie机制，避免用户盗窃管理页面的URL地址绕过登录流程直接对设备进行管理。telnet、SNMP和Web均有对网管原IP进行检查的功能，确保只有专门的网管设备可以访问控制交换机。对于登录密码检查，可以在本地，也可以在远端Radius服务器。这样方便进行密码管理，可以随时变换全网的登录密码，提供有力的安全保障。网络应用功能安全策略针对大量P2P流量对网络中的影响，有“疏”“堵”两套策略“堵”：部署了防火墙系统，可以设置internet应用进行监控，一旦发现相关影响，立刻针对大量P2P流量切断此网络连接。“疏”：P2P应用的强大魅力使在很多商场无法强制禁止，只能疏不能堵。而神州数码的防火墙具有强大的流量控制和流量整形功能，可以方便的对百兆甚至千兆流量进行流量控制，没有任何网络延迟，可以从流量中分析出几十种网络应用流量（包括BT及其相应的各种变种），可以对每种应用的流量进行多种灵活的控制策略。网络层次功能安全策略A.网络基础设施层安全网络基础设施安全主要包含两个方面的内容：一是设备级安全；二是网络级安全。设备级安全指的是：保护网络设备自身安全，其中网络设备自身保护又包含了三个平台的保护，分别是控制平面保护、管理平面保护、数据平面保护。网络级安全指的是：保护网络服务，相关的网络协议。神州数码的网络设备在设计、研发过程中，都已经融合了各种安全手段和技术，通过增强的安全功能，来保障网络基础设施的安全。物理层安全保护神州数码的交换机大多安装了防雷击的安全芯片，并进行了良好的风扇设计，保证设备的在恶劣的环境中仍然能够正常运转。DCN交换机都有完善的自检功能，能够对内存、CPU、总线、转发芯片等等硬件进行检查，保证每次开机各个方面硬件的良好运转。在高端设备还有后台的硬件检控任务，检控CPU、风扇、机箱温度等等，进行信息记录，在异常的时候给予闪灯、发警告信息等多种报警。高端交换机DCRS-7600和DCRS-6804E-L都设计有冗余电源、冗余主控、冗余风扇等方法充分保障了设备运转的物理安全。数据链路层安全保护S-ARP：安全ARP功能，可有效防止ARP-DOS攻击。通过对ARP报文接收速度的限制，来防止ARP攻击。DHCPGuard：只有在信任端口上才能接入DHCPServer，从而防止私自假设DHCP服务器。对非法端口进行关闭或者发送trap。PortSecurity：接入交换机可以进行port/MAC绑定，限定可接受MAC地址数量，预防MAC攻击。BPDUGuard：只有在信任端口才能接收到STP的BPDU协议报文，从而防止伪STP实体的攻击。对非法端口进行关闭或者发trap。ARP-Snooping：通过侦听某接入端口(accessswitch-port)上单位时间内收到的arp数据报的数目，如果超出设定的阈值，可能存在扫描行为，可以选择关闭端口(shutdown)或者设置blackholemac或者发送trap。网络层安全保护S-ICMP：安全ICMP功能，可有效防止PING-DOS攻击;灵活防止黑客利用ICMP不可达报文和路由重定向报文实施第三方攻击的行为。包括如下三种技术：ICMP限速功能：通过对ICMP报文接收速度的限制，来防止PING-DOS攻击。防ICMP不可达攻击功能：通过配置，决定交换机是否发送ICMPUnreachable报文，从而防止黑客利用这个功能，来攻击第三方主机。防ICMP路由重定向攻击功能：通过配置，决定交换机是否发送ICMPRedirect报文，从而防止黑客利用这个功能，来攻击第三方主机。IP-Snooping：即监控同一个srcip发送的数据报，如果dstip是一段连续变化的地址，可能存在扫描行为，可以选择关闭端口或者设置blackholemac或者发送trap。IP与交换机端口绑定，预防IP地址欺骗。关键协议绿色通道：保障正常、合法、速度合理的关键控制报文（STP、MSTP、RIP、OSFP、BGP、组播协议、双引擎板间心跳等）在大流量业务下不被淹没，快速处理不中断。CPU核心保护：有效防止各类针对CPU的非法协议攻击导致核心设备交换引擎瘫痪。各类CPU处理的报文如各种信令协议、芯片无法处理的流量等，如果超过正常速率，都会对CPU产生处理压力，很可能是攻击引起的，所以通过设置安全缓冲区、限制队列大小，把这些信令和流量控制在合理的速率范围之内，从而保护CPU免受大流量攻击。全面的受控组播方案DCSCM：可以对源和目的进行安全控制，完整实现了在接入层网络中基于IGMP源端口和目的端口的检查技术，可完全限制合法组播在网络中的稳定传输，有效控制组播建立的整个过程，保障了正常合法的组播应用的稳定运行；关键路由协议保护：神州数码网络路由协议完整实现了RIP、OSPF、BGP等路由协议的安全选项，非法的路由信息无法通告MD5加密检查，确保网络路由信息的安全。应用层安全保护拥有基于应用的业务安全管理SecAPP。其内容包括：线速业务感知：可即时感知各种高层应用业务的发生，而这个过程丝毫不影响交换机的转发性能，所以说是线速的；智能业务策略：可根据事先设定的策略，对各种高层应用业务进行分类，区分合法业务、非法业务、受限业务；深度业务控制（基于ACL-X）功能可将分类后的业务执行不同的安全控制措施，这里要借助强大的ACL-X和QoS，实现灵活的接入准入控制或者流量限制。接入交换机率先支持对特征复杂(64字节)的应用流量的访问控制，让用户可以在各种网络的环境中应对出现复杂情况。完整的ACL策略，可根据源/目的IP地址、源/目的MAC地址、IP协议类型、TCP/UDP端口号、IPPrecendence、时间范围、ToS对数据进行分类，并进行不同的转发策略。通过ACL策略的实施，用户可以在接入层交换机过滤掉“冲击波”、“震荡波”、“红色代码”等病毒包，防止扩散和冲击核心设备。配合RADIUS、802.1X等认证机制，与DCBI等认证系统联动，可有效防止非法用户侵入网络。管理、控制平面安全保护神州数码全线产品均支持SSH和SNMPv3协议，他们是对telnet和SNMPv1/v2的安全升级，传输的数据完全加密，从而避免了被监听窃取密码的可能。交换机的Web服务支持安全策略的cookie机制，避免用户盗窃管理页面的URL地址绕过登录流程直接对设备进行管理。telnet、SNMP和Web均有对网管原IP进行检查的功能，确保只有专门的网管设备可以访问控制交换机。对于登录密码检查，可以在本地，也可以在远端Radius服务器。这样方便进行密码管理，可以随时变换全网的登录密码，提供有力的安全保障。突出体现在：基于角色的分权限设备管理：管理员可以给不用人员设定不同的访问、控制网络设备的权限。安全访问(SecureShell)：控制命令加密传输。RMONSNMPV3SecurityIP功能：管理员可以指定合法IP地址才可以访问、管理网络设备。DCLM：安全的图形化设备管理。其它安全特性自主研发、具有独立自主知识产权的神州数码网络操作系统DCNOS，是神州数码公司所有网络产品的系统平台，具有高可靠性、增强的安全特性，杜绝了可能发生的对网络设备自身安全的攻击。商场无线网络解决方案无线商场网现状商场信息化是指在商场领域运用计算机多媒体和网络信息技术，促进商场的全面改革，使之适应信息化社会对商场发展的新要求。在商场网的建设和应用中，其硬件建设是基础，，而商场网的管理、维护与培训是其保障。神州数码（DCN）积极参与商场网的系统建设，多年来DCN贴近用户需求为商场行业用户推出了各种各样的贴近应用的网络解决方案。无线商场网最大的特点是具有的高度的空间自由性和灵活性;满足商场员工及客户随时随地共享商场网络资源的需要。无线商场网正是顺应了商场信息化建设的前进步伐，蓬勃发展起来的。根据分析讨论，网络建设将分以下几个部分的进行，内容包含以下几个子系统：无线网络覆盖（通过室内室外AP实现覆盖）无线管理系统（通过无线控制器和无线管理软件实现）POE供电方式（通过POE供电模块实现）用户准入系统（通过认证平台实现）大数据分析及广告推送设计原则与规划设计原则根据上述的需求分析和部署环境的实际特点，xxx商场的无线网络整体规划，需要本着以下原则进行规划与设计：无缝覆盖本次无线商场网建设采取标准的802.11n或802.11ac网络协议标准，提供不低于600Mbps的单个AP的无线带宽接入能力，802.11ac提供高达1G以上的接入能力，提供高性能的无线覆盖；无线信号覆盖整个商场区域，保证被覆盖需求的网络访问流畅。提供数据接入业务，让在此居住的用户能够快捷的访问丰富的内部资源。多服务支持基于网络的未来可持续发展，无线网络规划应为未来发展多媒体、高带宽的无线宽带应用（如，无线语音应用、无线视频会议应用、无线监控、无线多媒体通信应用等）打下基础，并提供低成本的无缝升级和先后兼容。安全性网络必须具有良好的安全防范措施和密码保护技术，灵活方便的权限设定和控制机制，使系统具有多种有效手段，防范各种形式对网络的非法入侵和内部攻击，以保证网络的实体安全、网络安全、系统安全和信息安全，有效地保障正常的业务活动和防止内部信息数据不被非法窃取、篡改或泄漏。因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。兼容性本次建设的无线网络能够很好的与现有的网络兼容，对于的无线用户，高配置方案中采用统一身份准入系统，实现对用户访问资源的统一管理和认证。低配置方案中采用PSK+AES的认下方式。可扩展性在网络规模不断发展的情况下，无线网络应满足在不改变主体架构与大部分设备的前提下，平滑实现升级和扩充，降低原有网络的硬件投资，并保证扩展后的系统可用性与稳定性。预留AC、AP可升级的能力，为未来无线办公楼建设提供基础，无线网络要支持AC冗余扩展N+1的冗余备份能力；建设必须尽量保护现有的软、硬件资源，保证各部门现有的计算机系统的使用，逐步过渡，有效保护用户投资，最终形成一个统一的、一体化的综合网络系统。高性能网络链路和设备具备足够高的数据转发能力，保证各种信息的高质量无阻塞传输；交换系统具有很高的交换容量与多服务支持的能力，保证网络服务的质量。可管理为了让商场无线网络能够良性、稳定、持续、健康的发展，对商场用户进行严格的管理和控制，用户需要对商场进行用户接入管理管理。于此同时，对于本次网络中所涉及的无线AP、AC、交换机等设备能够实现无线、有线统一的管理，确保各设备运行在最佳状态，为商场用户提供可靠的网络接入服务。规范化和标准化网络体系结构、通信协议及软件的设计和开发必须按照国家或行业标准进行，要模块化、结构化、数据要代码化，以便于信息共享和交流及将来的维护。在系统设计和软件开发时，应用程序必须规范化、模块化和可复用。无线协议标准选择IEEE802.11标准是无线局域网的标准之一，是无线领域目前最为成熟的网络标准。该标准定义了OSI七层模型中的物理层（PHY）和媒体访问控制层（MAC）的协议规范，其中MAC层是重点。它的制定使得各厂商之间的无线产品在物理层上实现互操作，而逻辑链路层（LLC）是一致的，即MAC层以下对网络应用是透明的。IEEE802.11标准又分为802.11a、802.11b、802.11g、802.11n、802.11ac几种。目前的笔记本、移动终端大多数都是支持2.4G的802,.11b/g/n协议，部分终端支持5G的802.11n，少数的最新的终端能够支持802,11ac协议，未来802.11ac协议必将成为主流。因此无线方案设计主要以802,.11ac为主，同时具备2.4G频段的802.11n和5G频段的802.11n或802.11ac接入能力，建议商场将来集中采购终端全部支持5G频段。无线频段规划依照WLAN的国际规范和国际无线电管理委员会的标准，WLAN无线设备的工作频段为ISM频段中的2400-2483.5MHz和5725-5875MHz频段，以及UII频段中的5150-825MHz频段，其中2.4G频段带宽83.5MHz，划分为14个子信道，每个子频道带宽为22MHz,国内最多有13个信道可用。2.4G频道分配如下图所示：2.4G无线频段在多个频道同时工作的情况下，为保证频道之间不互相干扰，要求两个频道的中心频率间隔不能低于25MHz。考虑参照北美标准设计的许多WLAN设备和终端（比如网卡）不能使用12、13信道做为用户信道，因此建议一般选用1/6/11信道。802.11b/g/n使用开放的2.4GHzISM频段，可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5个信道的工作中心频点。因此对于802.11g在2.4GHz地工作频段，理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。由于2.4G频段只有3个独立信道，因此在规划时，必须考虑相邻AP之间的信道划分，避免出现同频干扰。如下图所示，采用蜂窝方式部署，相邻两个AP的信道互不相同。2.4G频段部署示意图在国内，5G频段划分情况如下表：信道中心频率（MHz）低端/高端频率（MHz575515357655755/577515757855775/579516158055795/581516558255815/5835从表中可以看出5G频段有5个互不干扰的信道。5G频段部署示意图如下：5G频段部署示意图双频无线接入的802.11n同时工作在2.4GHz和5GHz频段，802.11ac只支持5GHz频段；5GHz：更多的频谱资源-数量较多的不冲突频点，更少的干扰（蓝牙、微波炉），从40MHz信道绑定获得最高的性能，很多802.11n的客户端只有在5GHz频段上支持40MHz；而802.11ac只能工作在5GHz，可以支持40MHz甚至80MHz，推荐新终端和对性能要求高的终端尽量采用5GHz频段。2.4GHz：采用2.4GHz频点，兼容原有的802.11b/g的客户端；不建议在2.4GHz频点使用40MHz信道绑定，大部分客户端不支持；避免802.11b/g与802.11n混用，降低性能。无线安全设计WIDS无线入侵检测AP在为无线用户提供WLAN服务的在开放无线环境中，WLAN网络很容易受到各种网络威胁的影响。为了保障无线网络通信的安全，AP需要提供无线入侵检测和反制功能。WIDS（WirelessIntrusionDetectionSystem）用于对有恶意的用户攻击和入侵无线网络进行早期检测。根据WIDS检测结果，对AP、client等入侵者进行反制，保障无线网络的安全。反制技术基于射频扫描信息，当收到射频扫描信息后，根据所实施的安全策略（安全策略有与合法APssid相同，mac相同，认证策略相同等）判定哪些AP属于非法AP，对非法AP进行反制。同样可以根据射频扫描信息得知哪些已知客户端关联在非法AP上，对已知客户端进行保护。非法AP检测：无线攻击者往往会通过搭建非法AP基站的途径来进行无线网络攻击，这种伪造AP攻击主要出于三个目的：1）伪装成正常的工作基站，使得合法客户端连接到此基站。达到转发客户端连接请求，以便截获其中内容的目的；2）恶意创建大量虚假AP基站信号，达到干扰正常通信，破坏合法用户通行的目的；3）由间谍或被收买的内部成员在内部有线网络设备上偷偷搭设非法AP，以便从外部可以轻松渗透进高强度安全环境，比如采用内外网隔离的机构。目前系统支持以下RogueAP的检测：网管设置的非法AP；非法AP假冒合法的SSID；Beacon帧中没有vendor字段；Beacon帧中没有SSID字段；在错误的信道接收到了ManagedAP的Beacon帧；AP使用了错误的安全认证方式；ManagedAP发送无效的SSIDAP工作在非法信道合法的胖AP但配置错误AP工作在WDS模式UnmanagedAP接入有线网络检测到RogueAP后，Ac根据AP上报的射频扫描报告可以得到RogueAP的大致位置信息，以帮助快速的定位RogueAP。非法STA检测，目前系统支持以下RogueClient的检测：OUI字段不合法；KnowClientDatabase判定的非法客户端合法客户端关联未知AP认证请求帧泛洪攻击探查请求帧泛洪攻击解认证帧泛洪攻击认证失败帧泛洪攻击关联请求帧泛洪攻击解关联请求帧泛洪攻击DOS：即DenialOfService，拒绝服务的缩写。拒绝服务，就相当于必胜客在客满的时候不再让人进去一样，你想吃披萨，就必须在门口等吧。DOS攻击即让目标机器停止提供服务或资源访问。DOS攻击主要是通过发送大量的数据包，从而占用带宽或者占满NAT设备的session。从而导致不能上网，打不开网页等。因此DCN无线设备针对DOS攻击，配置了安全的防御策略，为安全着想，为实现网络稳定运行而努力。WIPS无线入侵防御和非法用户定位随着无线网络环境越来越复杂，那么，如何对无线非法用户和非法AP的入侵进行防护呢？这时，WIPS功能，可以作为网络环境安全运行的得力保镖，它会集成到WLAN的基础设置中去，对恶意的接入点进行检测，分类和定位，并且对其进行控制。可以对第三方接入点进行实时监控，拒绝任何非法服务的攻击和检测，攻击的终端会自动进入黑名单！对非法设备的反制：检测到RogueAP和RogueClient之后，需要对非法设备进行一定的反制措施，来减轻非法设备的影响。在检测到RogueAP后，如果开启了RogueAP反制功能，AC将攻击列表发送给ManagedAP，由ManagedAP对Rogue设备采取措施。启动反制措施后，ManagedAP会假冒Client发送解认证消息给RogueAP，会发送解认证消息给关联到RogueAP的Client，以解除RogueAP和Client的连接。根据网络实际接入情况，多次反制以便最终解除错误的连接。Ad-hoc网络是一种点对点的、能够临时快速自动组网的无线移动网络。网络中所有节点的地位平等，无需设置任何的中心控制节点。网络中的节点不仅具有普通移动终端所需的功能，而且具有报文转发能力。与普通的移动网络和固定网络相比，它具有无中心、自组织、多跳路由、动态拓扑特点，使得网络具有很强的健壮性、抗毁性和灵活性。AP负责将检测到的无线邻居（AP、client）发送给AC。AC检查AP上报的AP、client是否非法，若有非法AP或client，通知AP进行反制。AP接收到AC的反制消息后，对不同的网络设备采用相应的反制措施，破坏非法设备的网络连接，从而保证网络免受非法设备攻击及通信信息的保密性。鉴于ad-hoc网络是靠STA发出beacon帧来维持网络的连接，无需关联、认证等，因此，采用基础架构网络中的反制方式，对于ad-hoc网络不起作用，需要采用发fakebeacon帧的方式来扰乱ad-hoc网络，使其不能正常工作。黑白名单--无线网络的安检员静态黑名单可以防止事先已知的攻击源，当然，大多数攻击源是未知的，因此“动静结合”是保卫网络环境的一个全能型技术特点。简单的来说，泛洪攻击（Flooding攻击）是指WLAN设备会在短时间内接收了大量的同种类型的报文。此时WLAN设备会被泛洪的攻击报文淹没而无法处理真正的无线终端的报文。IDS攻击检测通过持续的监控每台设备的流量大小来预防这种泛洪攻击。当流量超出可容忍的上限时，该设备将被认为要在网络内泛洪从而被锁定，此时如果使能了动态黑名单，检查到的攻击设备将被加入动态黑名单。完备内置防火墙策略五元组的防火墙策略最大限度的完善了网络稳定运行的需求，无线网络好坏不止是信号的优劣，这个幕后英雄必不可少，DCN五元组防火墙策略包括基于MAC，IP，端口，协议和流的策略规则，丰富而全面。内置防火墙功能，在一定程度上完善了无线控制器单一的AP控制功能，很大程度上保证了网络中，用户需要的策略通过无线控制器来完成。用户隔离可运营的WLAN网络中，用户之间是互不信任的，所以必须采用用户隔离技术防止用户之间的互相攻击或窃听。同时，如果用户利用局域网互相访问和传递数据，也会占用网络资源，致使网络拥塞，因此在某些场合也必须采用用户隔离禁止用户间互相访问。WLAN用户的隔离机制，有效保证了网络中终端之间有序的通讯状态，可以通过二层隔离防止在同一AP上的用户相互通讯，也可以在三层模式下过滤防止在不同AP上的用户相互通讯，当然，客户端还是可以正常访问Internet的。无线服务质量设计端到端的无线有线一体化QOS功能概述场景1场景2什么是QOSQualityofService（服务质量）是指网络通信过程中，允许用户业务在丢包率、延迟、抖动和带宽等方面获得可预期的服务水平。IPQoS目标：避免并管理IP网络拥塞减少IP报文的丢失率调控IP网络的流量为特定用户或特定业务提供专用带宽支撑IP网络上的实时业务技术特点AC、AP的qos分为两种模型：IntServ模型：业务通过信令向网络申请特定的QoS服务，网络在流量参数描述的范围内，预留资源以承诺满足该请求。资源保留控制技术：基于每个AP，预留指定的用户视频流数目，一旦请求超过该数目，拒绝接入，以确保原有资源的带宽；DiffServ模型：当网络出现拥塞时，根据业务的不同服务等级约定，有差别地进行流量控制和转发来解决拥塞问题。常见的几种QoS应用场景:基于流量分类的qos基于自定义优先级的QOS基于SSID的qosVIP用户保障接入如图所示：每个AP假设最高用户连接数为20，在AP接入用户满时。这时如果有高优先级的用户，那么AC就会将这个AP下优先级较低的用户强制下线，以保证高优先级用户的接入。WLAN优先级服务多AP如上图所示，某个热点有多台AP，STA会根据AP信号的强弱选择接入的AP，当最近的AP用户数接满时，会优先接入较远的且AP用户数未满的AP。某个热点区域内所有AP都接满用户时，当高优先级的用户接入，AC会强制低优先级用户下线。（说明：多SSID的况与此相同，客户可自己选择一个SSID，接入流程如上。）高级用户根据AP信号的强弱选择优先接入的APAP将接入用户信息传输至ACAC将认证信息传输至DCSM(含Radius),DCSM获取认证用户的合法性与用户类型；DCSM将用户类型信息回传给AC设备，AC根据用户类型，判断用户的优先级，结合客户接入AP的用户接入数，如果这个AP接入用户数已满，那么AC就会强制低优先级用户下线WMM802.11网络提供了基于竞争的无线接入服务，但是不同的应用需求对于网络的要求是不同的，而原始的网络不能为不同的应用提供不同质量的接入服务，所以已经不能满足实际应用的需要。接入类WMM按照优先级从高到低的顺序分为AC-VO（语音流）、AC-VI（视频流）、AC-BE（尽力而为流）、AC-BK（背景流）四个优先级队列，在EDCA参数设置上应该保证越高优先级队列中的报文，抢占信道的能力越高。用户优先级对应于有线的802.1d优先级规范，WMM规定了八个用户优先级（UserPriority），其含义和有线的802.1d优先级相同，且可以一一映射支持WMM的设备根据其用户优先级，将数据包放入不同的接入类（优先级队列）中，其对应关系如下表所示：优先级802.1d优先级802.1d描述AC（接入类）WMM描述最低最高1backgroundAC-BK背景流2-0besteffortAC-BE尽力而为流3exceptionaleffort4controlledloadAC-VI视频流5video6voiceAC-VO语音流7networkcontrol企业接入企业急需QoS才能支持无线VoIP，从而凭借Wi-Fi基础设施，在整个企业范围内显著节省成本，并提供无线话音连接，同时避免蜂窝话音通信较高的成本。WMM在企业中的另一种应用是优化业务量管理，可使网络管理人员对不同的用户分配不同的优先级。例如，网络管理人员可对共享网络的用户分配较低的优先级，或对执行关键任务的员工，或对流视频或电话会议一类的应用提供更多的网络资源。公共接入优化业务量管理同样是Wi-Fi公共接入的至关重要的能力。WMM可用于保证特殊应用(如话音或游戏)能够利用所需的网络资源，或保证特殊用户(如付费较多的用户)能够优先接入。这将使服务提供商能够提供收费服务，并支持媒体应用。语音视频SVP服务SVP（SpectraLinkVoicePriority，Spectralink语音优先级）是Spectralink公司为向语音通话提供QoS保障而设计的语音优先协议。IP头中ProtocolID为119。当AP通过IP头中的ProtocolID字段辨认出SVP报文，将其放入高优先级队列传输，分为以下两种情况：当AP的WMM功能未使能时，没有接入类（AC）的概念，所有报文(非SVP报文)共享同一个队列，但SVP报文将独享高优先级队列，使用AIFSN=1,cwMIN=0,cwMAX=0,MaxBurst=1.5的参数进行报文传输。当AP的WMM功能使能时，SVP报文将放入AC-VO队列，其WMM优先级为6。上图描述SVP客户端之间，客户和服务器之间通信场景，SVP报文需要通过SVPserver，SVPserver完成协议的解释及SVP报文向其他格式的转换，DCN无线控制器可以将SVP报文映射到配置指定的接入类上，对于去SVP客户端的报文，按照指定AC对应的EDCA参数与信道竞争，从而实现对SVP的更灵活支持。组播转单播的机制由于组播流量的传递并不可靠，因此并没有得到确认。为了避免接收端出错，大多数AP在最低级别的物理层进行简单的组播数据包传输（e.g.1mbps）。而剩下的组播流量由于增加了传输时间，因此很容易受到干扰。对于组播来说，Wi-Fi网络的优势在于它减少了干扰、障碍以及数据包引起的其它问题。因此，基于传统Wi-Fi网络的多播传输已经成为各大企业的关键应用技术。相比之下，Wi-Fi单播传输需要得到接收设备的确认。发送设备可以利用这些确认信息来确定传输是否成功，同时优化物理层数据传输速率。DCN利用强大的802.11确认反馈机制，利用单播确认来使Wi-Fi传输实时具备最佳性能和信号。这种内置的反馈机制将有助于实现组播流量中极低的丢包率，同时增加组播流数量，而该系统也将进行可靠传输。无线关键技术终端时分公平无线网络中由于部分802.11b、802.11g老旧终端协商速率低或者终端离AP较远协商速率低，导致大量用户无线上网延时大、速度慢、AP整机性能低下。简单地采用速率控制和流量整形，无法解决低速率终端接入环境下的AP性能问题。DCN智能无线AP通过基于终端空时公平的智能控制，根本性的解决了这个问题，保证用户无论使用何种类型的终端，都将在相同的位置上获得同样良好的无线上网体验。通过基于终端时分公平的智能控制，网络性能无论是对客户端还是对整个网络都极大地提高了。所有高数据传输率客户端的性能都有极大提升，而低速率客户端几乎没有受到负面影响。在开放的无线网络中，性能提升的效果甚至会更明显。一旦高速客户端完成传输，在无线网络中正在传输的客户端数量就更少，因此竞争和重试就会减少，从而大幅度提升了AP整机性能。将802.11b/g/n比作公路上奔跑的三种不同速度的单位，如果在这条没有合理指挥的道路上，行走慢的单位必然会影响快速移动的单位。基于终端时分公平的智能控制，就好比为每个不同速度的单位单独分配一个专属的车道，这样保证了速度快的单位可以自由行使在专属的空间中。测试中每个客户端传输整10,000个1500字节的HTTP包，吞吐量都是6Mbps。所有六个客户端完成传输10,000HTTP包所需的时间在90到100秒之间。无线环境频谱分析为了提供更好的WLAN服务质量，进行射频管理是必须要存在的一项内容，如今空气中无线信号越来越复杂，因此无线设备不仅仅只能作为只关注无线信号的产品，无线信号的传播受周围环境影响，无线环境是在不断变化的，移动的障碍物、正在工作的微波炉、蓝牙设备、游戏手柄等带来的干扰都可能对无线信号的传播造成影响，所以实时了解无线环境中频谱资源的使用情况，能够帮助无线网络管理员作出决策，调整AP的信道、发射功率等射频参数，来保证无线服务的质量。集中式隧道转发技术下L3漫游和跨AC漫游在无线网络实际应用中，如客户需要覆盖一个商场，而商场的不同区域被划分了不同子网。在这种场景中，AC位于骨干网中，而AP需要分布在不同区域中，即分布在不同子网中。这种场景下，当用户从一个区域漫游到另一个区域时，就是一种三层漫游情况。集中式隧道转发-三层漫游示意图station从AP1漫游到AP3的处理过程如下：集群式管理模式下，AP与AC之间，AC与AC之间都会在关联之后建立起一条集中式隧道在无线用户漫游到新的其他网段的AP上的时候，station还可以保持IP地址不变Station漫游后，目的地址为Host的报文送到AP3上，被打上CAPWAP头，通过隧道送到AC3AC3发现本地没有创建VLAN1，就广播到所有tunnel上AC2收到后，拆掉包头，发现系统没有创建VLAN，就将包丢掉AC1收到后，拆掉包头，会在VLAN1中转发报文到Host。跨AC漫游：DCN无线控制器间的通过通用封装和传输机制，上保证了无线控制器-无线控制器间的WLAN传输安全。无线控制器间通信的建立采用标准的TCPC/S模式。对于部署多个AC的大型网络中，漫游可能发生在不同AC管理的AP间，为保证漫游的平滑进行，需要开启跨AC的漫游支持功能。client在不同AC管理的AP间漫游而保持自身属性不变的特性。漫游发生在提供相同SSID的AP间，对于接入相同SSID而归属不同的vlan的漫游，AC间同样也会同步用户的信息，仍然可以实现用户的无缝漫游。AP跨NAT接入无线控制器AP跨NAT接入无线控制器，实现了远程办公的技术需求，方面中心集中管理所有无线网络设备，甚至跨国家的进行各区域的无线设备管理需求。这一基本功能，建立在了DCN优质网络设备的基础之上，是无线方案中不可或缺的解决办法之一。基于时间的访问控制DCN无线设备，可以根据用户需要，对客户端实行基于时间的访问控制。可以根据时间段的规则，允许客户端是否可以上网。是政府、银行、商场、访客访问应用中的理想功能。基于终端角色的策略管理机制基于角色的接入控制，内置防火墙，可以灵活的进行策略控制。一体化认证方式，灵活控制上网策略。不同的SSID网络，可以采取不同的加密认证方式以及管理策略，可以通过AC集中配置，例如一个商场网中可以配置UNIV、VOICE、GUEST三个不同的SSID网络，满足不同的网络建设需求；同一个SSID网络，不同的用户组，可以采用基于终端角色的管理策略。每个终端在认证过程中，AAA服务器在返回认证结果的同时都会统一给每个终端动态下发不同的策略，具体的策略内容配置和控制都由AC和AP实现。例如在UNIV的SSID网络中，针对场场员工、用户、客户等不同用户组，实施不同的策略管理。目前支持如下完备的基于角色的策略机制：基于用户的VLAN；基于用户的防火墙策略（AccessControlList）；基于用户的带宽控制（上下行bandwidth）；基于用户的QoSPolicy策略(可以实现对指定数据流的访问控制和优先级操作)。基于终端角色的策略在如下认证方式下支持：基于MAC的认证方式；基于802.1X的认证方式；基于Portal的认证方式。3.1.7 无线远程抓包DCN无线控制器支持针对AP的远程探针分析功能。可以对覆盖区内的Wi-Fi报文进行侦听捕获并实时镜像到本地分析设备供网络管理员进行故障排查、优化分析。远程探针分析功能既可以针对工作信道进行无收敛镜像，也可以对所有信道轮询采样，灵活满足无线网络监控运维要求。无线SAVI(源地址有效性验证)WLAN网络环境中，由于802.11i等安全机制的应用，增强了WLAN数据链路层的数据加密和认证性能，也使MAC地址成为与三层IP地址