1、協(xié)和醫(yī)院西區(qū)住院部無線網(wǎng)絡(luò)覆蓋技術(shù)建議書東風(fēng)通信技術(shù)有限公司武漢分公司2012-9-5目錄一、概述4二、項目需求4三、網(wǎng)絡(luò)建設(shè)方案63.1無線網(wǎng)絡(luò)基礎(chǔ)方案83.1.1方案邏輯組網(wǎng)圖83.1.2 h3c wlan產(chǎn)品優(yōu)勢概述93.1.3產(chǎn)品的選型103.2、各樓層ap部署圖123.2.1ap部署說明123.2.2無線網(wǎng)絡(luò)安全123.3無線用戶接入管理153.4無線網(wǎng)絡(luò)qos163.4.1漫游切換支持163.5無線網(wǎng)絡(luò)管理173.5.1總體需求173.5.2集中網(wǎng)絡(luò)管理173.6頻率規(guī)劃與負(fù)載均衡173.7供電問題183.8覆蓋區(qū)域詳細(xì)說明183.9網(wǎng)管軟件-imc wsm無線運營管理組件193.

2、9.1無線有線一體化管理203.9.2多樣化的拓?fù)涔芾?03.9.3無線終端查看和漫游記錄審計213.9.4 rf覆蓋管理213.9.5無線定位與gis管理功能223.9.6基于物理位置的無線終端準(zhǔn)入控制233.9.7ap上聯(lián)設(shè)備查詢243.9.8主備ac管理243.9.9無線入侵檢測和防護(hù)253.9.10豐富的無線統(tǒng)計報表25四、產(chǎn)品說明264.1 ewp-wa2612-agn無線接入點264.2 h3c wx3024系列無線控制器33一、概述無線局域網(wǎng)（wlan）技術(shù)于20世紀(jì)90年代逐步成熟并投入商用，既可以作傳統(tǒng)有線網(wǎng)絡(luò)的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線網(wǎng)絡(luò)。對比傳統(tǒng)的有線傳輸解決

3、方案，使用wlan網(wǎng)橋?qū)崿F(xiàn)數(shù)據(jù)傳輸具有以下顯著特點：簡易性：wlan網(wǎng)橋傳輸系統(tǒng)的安裝快速簡單，可極大的減少敷設(shè)管道及布線等繁瑣工作；靈活性：無線技術(shù)使得wlan設(shè)備可以靈活的進(jìn)行安裝并調(diào)整位置，使無線網(wǎng)絡(luò)達(dá)到有線網(wǎng)絡(luò)不易覆蓋的區(qū)域；綜合成本較低：一方面wlan網(wǎng)絡(luò)減少了布線的費用，另一方面在需要頻繁移動和變化的動態(tài)環(huán)境中，無線局域網(wǎng)技術(shù)可以更好地保護(hù)已有投資。同時，由于wlan技術(shù)本身就是面向數(shù)據(jù)通信領(lǐng)域的ip傳輸技術(shù)，因此可直接通過百兆自適應(yīng)網(wǎng)口和企業(yè)內(nèi)部intranet相連，從體系結(jié)構(gòu)上節(jié)省了協(xié)議轉(zhuǎn)換器等相關(guān)設(shè)備；擴(kuò)展能力強(qiáng)：wlan網(wǎng)橋系統(tǒng)支持多種拓?fù)浣Y(jié)構(gòu)及平滑擴(kuò)容，可以十分容易地從小

4、容量傳輸系統(tǒng)平滑擴(kuò)展為中等容量傳輸系統(tǒng)；二、項目需求 協(xié)和醫(yī)院西區(qū)前生是東風(fēng)汽車公司神龍醫(yī)院，地處武漢西南部，武漢經(jīng)濟(jì)技術(shù)開發(fā)區(qū)中心地段，規(guī)劃用地80畝，已有建筑面積1.8萬平方米，實際開放病床220 張。西區(qū)建有臨床、醫(yī)技科室19個，設(shè)置綜合重癥監(jiān)護(hù)、綜合外科、創(chuàng)傷外科、綜合內(nèi)科、婦產(chǎn)科、五官綜合（含整形美容）7個獨立病區(qū)。各科室主任均由醫(yī)院本部教授擔(dān)任，另有一大批國內(nèi)知名專家長期在這里工作。西區(qū)擁有國際先進(jìn)的多排螺旋ct、全自動生化分析儀、五分類血球儀、全自動麻醉機(jī)等多種高端手術(shù)設(shè)備，并實現(xiàn)了與本部醫(yī)學(xué)信息共享、區(qū)域內(nèi)實時遠(yuǎn)程會診的能力。病區(qū)還配備有中心供養(yǎng)、中心吸引、中央空調(diào)、中心傳呼和

5、病房獨立衛(wèi)生間，環(huán)境優(yōu)美，四季常青，被譽(yù)為花園式醫(yī)院。 西區(qū)總體規(guī)劃建筑面積近20萬平方米，設(shè)計年門診量80萬人次、開放床位2000張。其中，一期工程即投資4.6億元的外科住院大樓已經(jīng)完成前期準(zhǔn)備，即將破土動工。該院負(fù)責(zé)人表示，將利用2年至3年的時間，把西區(qū)建成擁有1200張病床、以急救創(chuàng)傷醫(yī)學(xué)為特色的大型綜合性三甲醫(yī)院，成為武漢西南部的醫(yī)療中心。根據(jù)實際工作需要，擬在協(xié)和醫(yī)院西區(qū)進(jìn)行無線局域網(wǎng)絡(luò)搭建，要求該網(wǎng)絡(luò)支持 ieee 802.11n協(xié)議，一期工程覆蓋住院部，每層樓配置相應(yīng)數(shù)量的ap，便于電子病歷業(yè)務(wù)的順利開展，無線局域網(wǎng)拓?fù)浣Y(jié)構(gòu)采用星形以太網(wǎng)，無線接入所需布設(shè)的ap通過接入設(shè)備接入到

6、網(wǎng)中，在接入層提供相應(yīng)的接口給ap使用。a) 本工程具體的建設(shè)目標(biāo)是：1、采取通行的網(wǎng)絡(luò)協(xié)議ieee 802.11g標(biāo)準(zhǔn)，選取合理的無線覆蓋方案，從而實現(xiàn)對住院部各樓層相應(yīng)區(qū)域的wlan信號覆蓋，住院部無盲點（電子病歷系統(tǒng)開展順利），提供穩(wěn)定可靠的無線寬帶網(wǎng)絡(luò)接入服務(wù)；2、全面的無線網(wǎng)絡(luò)支撐系統(tǒng)（包括無線安全、無線qos等），以避免無線設(shè)備及軟件之間的不兼容性或網(wǎng)絡(luò)管理的混亂而導(dǎo)致的問題；3、保證網(wǎng)絡(luò)訪問的安全性，支持用戶多種接入方式認(rèn)證機(jī)制,包括：基于pppoe、802.1x、portal、mac等認(rèn)證，支持外置的portal服務(wù)器和外置的aaa服務(wù)器系統(tǒng)；4、無線寬帶網(wǎng)絡(luò)將來應(yīng)該能夠支持w

7、ifi語音、iptv等增值業(yè)務(wù)；5、安全、認(rèn)證和管理要求。為了阻止非授權(quán)用戶訪問無線網(wǎng)絡(luò)，以及防止對無線局域網(wǎng)數(shù)據(jù)流的非法偵聽，無線網(wǎng)絡(luò)要具有相應(yīng)的安全手段，主要包括：物理地址（mac）過濾、服務(wù)區(qū)標(biāo)識符(ssid)匹配、aes加密，雙向認(rèn)證等方式。 工程布線和安裝要求：室內(nèi)部分：將網(wǎng)線走暗線敷設(shè)到位掛在天花板上，則根據(jù)天花板的情況而定，天花板是非金屬結(jié)構(gòu)，可以固定在天花板內(nèi)。安裝過程中應(yīng)充分考慮防盜問題。供電部分：ap的供電可采用其相應(yīng)的poe供電模塊配合市電進(jìn)行供電。 產(chǎn)品能力要求要求：具有無委會核準(zhǔn)證；支持負(fù)載均衡；漫游切換；支撐qos能力支持guest vlan的要求，以滿足合作伙伴用

8、戶通過省稅務(wù)分局網(wǎng)絡(luò)訪問歸屬于公司的網(wǎng)絡(luò)，以獲取相關(guān)資料，以很好的支撐省稅務(wù)分局工作；良好的售前售后服務(wù)，及時響應(yīng)用戶的需求。三、網(wǎng)絡(luò)建設(shè)方案針對協(xié)和醫(yī)院西區(qū)住院大樓的需求采用wlan技術(shù)構(gòu)架寬帶網(wǎng)絡(luò)服務(wù)，從技術(shù)上、工程上以及提供的服務(wù)質(zhì)量上均能較好的滿足局方的要求。對方案的選擇,我們嚴(yán)格按照客戶的需求進(jìn)行, 采用瘦ap+無線控制器+poe接入交換機(jī)的組網(wǎng)方式，ap通過poe供電模塊配合市電進(jìn)行供電。本次供電方案有兩種：通過無線控制器h3c wx3024上的24個poe供電端口供電；通過h3c wa2612-agn自身配備的poe模塊供電。兩種方式很好的解決了集中供電和分散供電的問題。另外，之

9、所以要選用控制器+瘦ap解決方案，是因為就目前的ap分散狀態(tài)開，分別部署在兩棟大樓的不同樓層，對于管理員來說，對ap的軟件升級、配置管理以及無線客戶端的定位是件很懊惱的事情。有了控制器，可以將分散的ap集中管理和控制，統(tǒng)一下發(fā)配置和更新系統(tǒng)等，還可以和有線用戶實現(xiàn)一體化的驗證、智能的負(fù)載分擔(dān)和二層三層漫游等。從安全角度考慮，為實現(xiàn)業(yè)務(wù)的有效隔離，采用針對不同業(yè)務(wù)分配不同ssid方式進(jìn)行業(yè)務(wù)區(qū)分，其中一個無線網(wǎng)段只能訪問互聯(lián)網(wǎng)，另外可以再設(shè)置一個無線服務(wù)（ssid）用于管理人員無線對內(nèi)網(wǎng)的管理。并對同一個ap下的不同ssid設(shè)置不同的權(quán)限，后期還可以配合認(rèn)證、ead等手段做到終端的準(zhǔn)入和安全接入

10、。需要說明的是，1個ap上配置兩個服務(wù)模版，通過索引號和ssid區(qū)別，對于不方便更改索引號的，例如ipad、手機(jī)等終端設(shè)備，建議使用默認(rèn)索引號1，特殊功能應(yīng)用的，用別的索引號2、3、4。舉例如下：wlan service-template 1 crypto ssid lan bind wlan-ess 1 authentication-method shared-key cipher-suite wep104 wep default-key 1 wep104 pass-phrase cipher aca-h$4f+_8a,jmo_8(q! service-template enable#wla

11、n service-template 2 crypto ssid wan bind wlan-ess 2 cipher-suite wep104 wep default-key 2 wep104 pass-phrase cipher aca-h$4f+y-)rei=t$(q! wep key-id 2 service-template enable#wlan ap ap02 model wa2612-agn serial-id 210235a0alb101000043 radio 1 max-power 20 service-template 1 service-template 2 radi

12、o enable#對于用戶關(guān)心的無線定位問題，后期可以配置相應(yīng)網(wǎng)管軟件輕松實現(xiàn)，但就目前狀況來說，也可以實現(xiàn)無線客戶端的定位，實際操作舉例如下：首先在核心交換機(jī)（h3c s7506e）上，查看當(dāng)前網(wǎng)內(nèi)的arp表該例子中192.168.12.x是無線網(wǎng)段，同樣采用h3c wx3024控制器和wa2612-agn組網(wǎng)。拿24來看，可以從核心交換機(jī)上得知是從ge1/0/19學(xué)習(xí)到的arp報文。而19號電口接的是wx3024有線無線一體化交換機(jī)，對應(yīng)控制器管理ip是00。其中100是控制器管理ip，101是交換卡管理ip。然后telnet 10.10.10.

13、100，這樣就可以看出該客戶端接在ap8上面。3.1無線網(wǎng)絡(luò)基礎(chǔ)方案3.1.1方案邏輯組網(wǎng)圖鑒于武漢協(xié)和醫(yī)院西區(qū)是首次部署wlan網(wǎng)絡(luò)，本次工程采用無線網(wǎng)就近接入的原則，采用瘦ap+無線控制器的組網(wǎng)方式。我們推薦h3c wx3024無線控制器，主機(jī)24個千兆電口支持poe供電,可直接對ap進(jìn)行饋電，如有線距離太長則可采用ap的poe供電模塊配合市電進(jìn)行供電，具體的邏輯組網(wǎng)圖如下圖所示：圖1 協(xié)和醫(yī)院西區(qū)辦公區(qū)域無線覆蓋邏輯組網(wǎng)示意圖根據(jù)用戶需求可知,需要認(rèn)證上網(wǎng),但要支持.產(chǎn)品選型非常重要,根據(jù)我們多年的經(jīng)驗和對技術(shù)的認(rèn)識,在各大無線廠商中我們能看到h3c無線產(chǎn)品和技術(shù)的優(yōu)勢.3.1.2 h3

14、c wlan產(chǎn)品優(yōu)勢概述n 電信級產(chǎn)品質(zhì)量保證h3c自2003年公司成立以來就繼承了業(yè)界領(lǐng)導(dǎo)廠商華為和3com的wlan產(chǎn)品。整個無線產(chǎn)品的規(guī)劃都是按照電信級設(shè)計，從阻容到主處理器芯片，每一個元器件都經(jīng)過嚴(yán)格質(zhì)量認(rèn)證和技術(shù)認(rèn)證，基本上是選用一流供應(yīng)商的元器件，保證元器件的性能和品質(zhì)。在產(chǎn)品生產(chǎn)上，h3c公司采用業(yè)界先進(jìn)的ipd cmm3.0集成產(chǎn)品開發(fā)流程，有嚴(yán)格的質(zhì)量管理體系，從全流程的每一個環(huán)節(jié)控制產(chǎn)品質(zhì)量。n 強(qiáng)大的研發(fā)團(tuán)隊，自主知識產(chǎn)權(quán)，快速響應(yīng)客戶需求h3c的研發(fā)團(tuán)隊分布在北京、杭州、深圳和印度，海外研發(fā)中心緊跟前沿技術(shù)腳步，國內(nèi)研發(fā)中心快速響應(yīng)客戶需求。h3c全系列wlan產(chǎn)品采用

15、完全自主研發(fā)的軟件，并采用了業(yè)界最為嚴(yán)格的測試標(biāo)準(zhǔn)，由位于北京的獨立的鑒定測試中心來最終鑒定產(chǎn)品能否達(dá)到質(zhì)量標(biāo)準(zhǔn)。此外由于自主開發(fā)軟件，完全掌握知識產(chǎn)權(quán)，很容易根據(jù)客戶的要求定制特殊功能，以滿足特定情況下的應(yīng)用。n 完善的服務(wù)體系h3c公司在全國建立了30個區(qū)域服務(wù)中心和區(qū)域備件系統(tǒng)，承諾為客戶提供專業(yè)、快捷、規(guī)范的服務(wù)，通過先進(jìn)的通信技術(shù)與總部的技術(shù)服務(wù)平臺連接，完成客戶檔案、維護(hù)經(jīng)驗案例、備件庫存、產(chǎn)品發(fā)布等信息的共享，形成覆蓋全國地市級城市，專職人員規(guī)模超過400人的技術(shù)服務(wù)體系。h3c致力于通過高質(zhì)量的服務(wù)提高用戶網(wǎng)絡(luò)的可用性，提升用戶滿意度。h3c成立了備件中心（spc，spare

16、parts center）專門支撐h3c公司的售后服務(wù)和向客戶的承諾，依托遍布全國主要城市的30個區(qū)域備件庫和位于杭州、北京及深圳的3個分撥中心，建成了國際化、標(biāo)準(zhǔn)化、現(xiàn)代化的物流管理系統(tǒng)。h3c備件中心科學(xué)地進(jìn)行備件倉儲分析和管理，能夠向客戶提供高效的備件服務(wù)，最大限度地保障客戶網(wǎng)絡(luò)的平穩(wěn)運行。n 豐富的無線網(wǎng)絡(luò)工程經(jīng)驗無線網(wǎng)絡(luò)的工程實施對整個項目的成敗至關(guān)重要。h3c專門成立了無線工程督導(dǎo)團(tuán)隊來確保無線網(wǎng)絡(luò)工程的順利實施，目前h3c公司已經(jīng)成功實施了第六屆亞洲冬季運動會、北京解放軍總醫(yī)院、國家知識產(chǎn)權(quán)局、新華社、北京航空航天大學(xué)、北京交通大學(xué)、華東理工大學(xué)、上海湯臣洲際大酒店等無線網(wǎng)絡(luò)工程

17、的部署，具備豐富的無線項目實施工程經(jīng)驗，保證項目進(jìn)度，后顧無憂。3.1.3產(chǎn)品的選型l 無線ap根據(jù)我們對客戶需求的了解，大樓各樓層ap覆蓋我們選用h3c的wa2612-agn， wa2612-agn是華三通信技術(shù)有限公司（h3c）自主研發(fā)的雙頻多模系列無線接入點，可廣泛應(yīng)用于各種向用戶提供wlan接入的無線網(wǎng)絡(luò)；wa2612-agn作為瘦ap（fit ap）與h3c公司自主研發(fā)的無線控制器系列產(chǎn)品配套使用。wa2612-agn基于業(yè)界最新的硬件平臺，具備業(yè)界同類產(chǎn)品最優(yōu)的無線射頻功能，同時產(chǎn)品集硬件加密、零配置、自動信道分配、多bssid、ipv6等多個功能于一體，實現(xiàn)網(wǎng)絡(luò)的易操作性、易維護(hù)

18、性、健壯性，并能有效的防止網(wǎng)絡(luò)配置的對外泄漏。wa2612-agn與h3c公司自主研發(fā)的系列無線控制器之間的通信基于標(biāo)準(zhǔn)的capwap架構(gòu)，通過無線控制器實現(xiàn)集中管理和簡單的即插即用安裝。同時，ap的配置信息保存在無線控制器中，即使更換ap，配置信息也可以自動下發(fā)，無需重新配置。與傳統(tǒng)基于無線控制器的集中式加密相比，wa2612-agn對用戶數(shù)據(jù)實現(xiàn)了本地流量加密，可大大減輕了無線控制器的負(fù)擔(dān)。無線控制器與后端授權(quán)/認(rèn)證/計費 (aaa) 服務(wù)器配合，可以控制用戶和用戶組的網(wǎng)絡(luò)訪問策略，當(dāng)用戶漫游網(wǎng)絡(luò)時提供安全的業(yè)務(wù)連續(xù)性和完整性。wa2612-agn產(chǎn)品具有雙頻能力，即可以工作于wlan的2

19、.4ghz頻段或5ghz頻段之上。支持多模，即指ieee802.11a、ieee802.11b和ieee802.11g三種模式。wa2612-agn可通過軟件配置支持ieee802.11a或ieee802.11b/g。wa2612-agn支持多ssid實現(xiàn)虛擬ap特性，每個ssid可對應(yīng)不同的vlan、從而對于每一個ssid可以實現(xiàn)不同的網(wǎng)絡(luò)服務(wù)及認(rèn)證方式。該特性使管理員可以方便的為不同用戶群、不同的業(yè)務(wù)制定區(qū)分的服務(wù)策略。l 無線控制器根據(jù)我們對ap的個數(shù)可以確定無線控制器（ac）的型號，根據(jù)我們的計算，一期大約需要部署30個ap，我們可以推薦h3c的wx3024，標(biāo)配可以支持24個fit

20、ap，wx3024：最多可管理48個ap；24個ge電口，支持poe供電；交換容量為： 88gbps；包轉(zhuǎn)發(fā)率： 65.47mpps。傳統(tǒng)無線網(wǎng)絡(luò)的部署需要網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)中的每一個ap進(jìn)行逐一配置，當(dāng)無線網(wǎng)絡(luò)規(guī)模較大時網(wǎng)絡(luò)管理員往往要配置上百個ap，工作量巨大，且容易出錯。而采用無線控制器和fit ap配合組網(wǎng)時，只需要在無線控制器上對一類相同屬性的ap建立配置模板，ap在啟動時可以自動從無線控制器上下載最新的配置文件。另外，由于ap本身不保存任何配置，萬一設(shè)備丟失，也可以保證網(wǎng)絡(luò)配置不被竊取。ap支持啟動后自動獲取ip地址、自動獲取ac的工作列表并自動和ac建立關(guān)聯(lián)，真正做到了零配置，免維

21、護(hù)，即插即用，極大地減輕了網(wǎng)絡(luò)管理員在部署網(wǎng)絡(luò)階段的維護(hù)工作量。當(dāng)網(wǎng)絡(luò)正常運行以后，無線控制器對所管理的ap以及ap所接入的用戶進(jìn)行實時監(jiān)控，并能將這些信息實時上報給網(wǎng)管。維護(hù)人員可以指定ap或用戶進(jìn)行在線服務(wù)策略設(shè)定和安全策略設(shè)定，使網(wǎng)絡(luò)配置策略更加靈活。同時，無線控制器支持ap軟件自動更新功能，ap在每次重新啟動時會自動比較當(dāng)前運行的軟件版本和無線控制器上的最新版本是否一致，如不一致ap會自動更新本地的軟件映像，軟件升級不再需要網(wǎng)管人員的干預(yù)。3.2、各樓層ap部署圖3.2.1ap部署說明我們選用h3c產(chǎn)品后針對武漢協(xié)和醫(yī)院西區(qū)辦公區(qū)域無線覆蓋的描述：根據(jù)我們對住院部建筑結(jié)構(gòu)的了解，每層樓

22、需要全網(wǎng)覆蓋，根據(jù)結(jié)構(gòu)圖看到，ap部署在走道對無線信號的穿透效果比較好，結(jié)合ap實際的覆蓋范圍及大樓的結(jié)構(gòu)，我們建議每層樓部署5個ap。相鄰之間ap和相鄰樓層之間ap按照1、6、11信道劃分錯開。3.2.2無線網(wǎng)絡(luò)安全無線局域網(wǎng)絡(luò)主要服務(wù)于企業(yè)作業(yè)系統(tǒng)，上面存在諸多的企業(yè)的商業(yè)信息，故網(wǎng)絡(luò)安全問題在建網(wǎng)時必須考慮問題，安全方式主要側(cè)重幾個方面：用戶安全、系統(tǒng)安全，對每個無線接入的用戶需要加密認(rèn)證方可進(jìn)入,可以根據(jù)不同的用戶加入不同的vlan,再通過交換機(jī)做策略的規(guī)劃.這樣本無線網(wǎng)絡(luò)中著重考慮使用無線網(wǎng)絡(luò)的空口信息的安全機(jī)制，同時也要考慮與無線相關(guān)的有線網(wǎng)絡(luò)的安全問題，對于原有有線網(wǎng)絡(luò)的安全問題

23、，在本技術(shù)建議書中不作相應(yīng)的考慮；3.2.1用戶安全數(shù)據(jù)安全部分主要包括以下方面的內(nèi)容：mac地址過濾：目前支持基于mac地址的過濾，限制具有某種類型的mac地址特征的終端才能進(jìn)入網(wǎng)絡(luò)中；ssid管理：是一種網(wǎng)絡(luò)標(biāo)識的方案，將網(wǎng)絡(luò)進(jìn)行一個邏輯化標(biāo)識，對終端上發(fā)的報文都要求進(jìn)行上帶ssid，如果沒有ssid標(biāo)識則不能進(jìn)入網(wǎng)絡(luò)；wep加密：wep加密是一種靜態(tài)加密的機(jī)制，通信雙方具有一個共同的密鑰，終端發(fā)送的空口信息報文必須使用共同的密鑰進(jìn)行加密；支持aes加密，aes安全機(jī)制是一種動態(tài)密鑰管理機(jī)制，同時密鑰生成也基于不對稱密鑰機(jī)制來實現(xiàn)的，同時密鑰的管理也定期更新，具有體的時間由系統(tǒng)可以設(shè)定，一

24、般情況都設(shè)定為5分鐘左右，這樣非法用戶要想在5分鐘之內(nèi)進(jìn)行獲取足夠數(shù)量的報文進(jìn)行匹配出密鑰出來，從無線空口的流理來看，基本上是不可能的；h3c的無線方案中的密鑰設(shè)置可能根據(jù)ssid信息與用戶信息進(jìn)行組合，即不同的ssid下不同的用戶的密鑰生成可以不一樣，這樣可以做不到不同的用戶不同的管理方式，同時具備不同的權(quán)限；3.2.2系統(tǒng)安全無線通信不需要有線電纜的連接就可以完成設(shè)備以及終端的接入，wlan設(shè)備也是一樣，這個特點給wlan帶來了無與倫比的方便性和組網(wǎng)快捷性等一系列有點，但是也給系統(tǒng)的安全帶來了隱患。如果沒有對非法、惡意ap接入系統(tǒng)進(jìn)行有效的防范，則無線系統(tǒng)會給整個無線網(wǎng)絡(luò)系統(tǒng)帶來巨大的安全

25、漏洞。ap入侵檢測和隔離：所有的ap在進(jìn)行數(shù)據(jù)接入的同時，還擔(dān)負(fù)著射頻環(huán)境掃描的功能，可預(yù)設(shè)定或按需進(jìn)行射頻掃描以識別未授權(quán)的ap，并向管理員發(fā)出警報。首先需要定義非法ap的范疇，分為非本公司所屬ap設(shè)備（非h3c ap）和本公司所屬ap設(shè)備（h3c制造的ap）兩種。針對這兩種ap，我們設(shè)置了一個場景，也就是將非法ap放置于大樓wlan系統(tǒng)中的某個位置，由于隧道ap是相鄰布放的，所以非法ap一定會位于2個合法隧道ap之間，如下圖所示：圖2 非法ap監(jiān)測示意圖如上圖所示的非法隧道ap，在實施對無線網(wǎng)絡(luò)系統(tǒng)的干擾的時候，apn和apn1會分別檢測到非法ap的信號強(qiáng)度和mac地址等信息，并會將這些信

26、息上報到網(wǎng)管系統(tǒng)，網(wǎng)管系統(tǒng)根據(jù)其mac地址信息可以分析是否為h3c公司的產(chǎn)品，并判斷屬于那個公司的產(chǎn)品，根據(jù)2個ap（或者周圍多個ap）上報的信號強(qiáng)度信息可以甄別出此非法ap的位置，也就是距離apn和apn1的距離，這是因為在無線網(wǎng)絡(luò)中ap的布放是相鄰的，也就是可以近似成為1維，所以2個ap的距離信息即可定位非法ap的位置。h3c wlan網(wǎng)管系統(tǒng)軟件中非法ap定位的流程圖如下圖所示：圖3 非法ap監(jiān)測流程圖流程說明：狀態(tài)序號流程名稱流程說明轉(zhuǎn)移條件下一狀態(tài)1開始開始無條件22閾值m初始化循環(huán)變量的閾值初始化無條件33變量n清零循環(huán)變量n清零無條件44apn發(fā)現(xiàn)非法apapn是否檢測到非法ap

27、apn是否檢測到非法ap發(fā)出的信號5/35相鄰ap同時發(fā)現(xiàn)相鄰ap是否同時檢測到非法ap相鄰ap是否同時檢測到非法ap發(fā)出的信號，并判斷信息中是否有同一非法ap發(fā)出的信息（防止多個非法ap）6/36n=n+1循環(huán)變量+1，并延遲進(jìn)行下一次掃描無條件77nm循環(huán)變量是否超出閾值循環(huán)變量是否超出閾值8/48記錄非法ap mac記錄非法ap功率記錄非法ap的mac地址記錄非法ap的功率無條件99計算非法ap位置上報非法ap信息根據(jù)功率計算非法ap的位置，將所有非法ap的信息上報管理員無條件3當(dāng)偵測到非法ap之后，管理者可以決定是否要干擾非法ap，或者將其納為正常ap；由于偵測到的非法ap有可能是鄰近

28、其它建筑安裝之正常ap，避免誤送干擾，建議干擾非法ap動作由管理者確認(rèn)后手動進(jìn)行。管理者可以從wxm網(wǎng)管程序上找出最接近非法ap的合法ap，并據(jù)此判斷非法ap的概略位置，搜集更多信息以決定是否發(fā)出干擾。i. 無線終端的異常流量檢測及報警：無線網(wǎng)管提供全面的系統(tǒng)級統(tǒng)計數(shù)據(jù)：可提供包括錯誤和流量的以太網(wǎng)統(tǒng)計數(shù)據(jù)，其中包括包的大小、無線統(tǒng)計數(shù)據(jù)以及用戶會話統(tǒng)計數(shù)據(jù)，它們保存為用戶在多個ap上的漫游記錄，并且都具有易查看的表格和圖表，以便快速識別數(shù)據(jù)走向?；谒衋p上來的無線終端的數(shù)據(jù)都要通過ap與無線交換機(jī)之間的二層隧道進(jìn)行通信，因此所有無線終端的流量均可通過無線網(wǎng)管進(jìn)行統(tǒng)計，并且通過實時的統(tǒng)計報

29、表呈現(xiàn)出所有用戶訪問網(wǎng)絡(luò)流量，并通過設(shè)定流量閾值，一旦某無線終端流量超過閾值即實現(xiàn)異常流量的報警功能。ii. 用戶訪問控制：提供基于身份的組網(wǎng)：提供基于用戶身份的所有服務(wù)，以使用戶在漫游時具有諸如虛擬專用組（virtual private group）成員資格，并實現(xiàn)不同權(quán)限的劃分；在省稅務(wù)分局大樓實際應(yīng)用中可通過給不同部門分配不同的用戶名訪問無線網(wǎng)絡(luò)，并給予不同部門不同的訪問權(quán)限。并可通過將用戶名和mac地址進(jìn)行綁定，防止大樓以外人員通過樓內(nèi)無線網(wǎng)絡(luò)來訪問網(wǎng)絡(luò)。3.3無線用戶接入管理通過實地的考查，和用戶的交流溝通以及對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的分析后，我們采用802.1x進(jìn)行無線接入用戶進(jìn)行認(rèn)證，這樣

30、可以很好的與校園網(wǎng)原有的認(rèn)證系統(tǒng)融合。通過802.1x進(jìn)行用戶的接入認(rèn)證管理，和統(tǒng)一的計費管理。采用802.1x協(xié)議有以下幾點好處：簡潔高效：純以太網(wǎng)技術(shù)內(nèi)核，保持了ip網(wǎng)絡(luò)無連接特性，不需要進(jìn)行協(xié)議間的多層封裝，去除了不必要的開銷和冗余；消除網(wǎng)絡(luò)認(rèn)證計費瓶頸和單點故障，易于支持多業(yè)務(wù)和新興流媒體業(yè)務(wù)。 容易實現(xiàn)：可在普通l3、l2、ipdslam上實現(xiàn)，網(wǎng)絡(luò)綜合造價成本低，保留了傳統(tǒng)aaa認(rèn)證的網(wǎng)絡(luò)架構(gòu)，可以利用現(xiàn)有的radius設(shè)備。 安全可靠：在二層網(wǎng)絡(luò)上實現(xiàn)用戶認(rèn)證，結(jié)合mac、端口、賬戶、vlan和密碼等；綁定技術(shù)具有很高的安全性，在無線局域網(wǎng)網(wǎng)絡(luò)環(huán)境中802.1x結(jié)合eaptls，

31、eapttls,可以實現(xiàn)對wep證書密鑰的動態(tài)分配，克服無線局域網(wǎng)接入中的安全漏洞。 行業(yè)標(biāo)準(zhǔn)：ieee標(biāo)準(zhǔn)，和以太網(wǎng)標(biāo)準(zhǔn)同源，可以實現(xiàn)和以太網(wǎng)技術(shù)的無縫融合，幾乎所有的主流數(shù)據(jù)設(shè)備廠商在其設(shè)備，包括路由器、交換機(jī)和無線ap上都提供對該協(xié)議的支持。在客戶端方面微軟windowsxp操作系統(tǒng)內(nèi)置支持，linux也提供了對該協(xié)議的支持。 應(yīng)用靈活：可以靈活控制認(rèn)證的顆粒度，用于對單個用戶連接、用戶id或者是對接入設(shè)備進(jìn)行認(rèn)證，認(rèn)證的層次可以進(jìn)行靈活的組合，滿足特定的接入技術(shù)或者是業(yè)務(wù)的需要。 易于運營：控制流和業(yè)務(wù)流完全分離，易于實現(xiàn)跨平臺多業(yè)務(wù)運營，少量改造傳統(tǒng)包月制等單一收費制網(wǎng)絡(luò)即可升級成運

32、營級網(wǎng)絡(luò)，而且網(wǎng)絡(luò)的運營成本也有望降低。針對協(xié)和醫(yī)院西區(qū)辦公區(qū)域有以下幾點好處：1、因為考慮校園網(wǎng)的原有結(jié)構(gòu)，采用802.1x協(xié)議進(jìn)行認(rèn)證，整個校園網(wǎng)絡(luò)不需要進(jìn)行很大的調(diào)整，布署起來也很方便。2、在無線客戶端只要安裝802.1x認(rèn)證軟件，便能通過原有的有線帳號進(jìn)行認(rèn)證，無需其它的復(fù)雜配置。3.4無線網(wǎng)絡(luò)qos3.4.1漫游切換支持無線終端在全樓無線網(wǎng)絡(luò)中移動時，必然要進(jìn)行不同ap之間、所屬不同有線交換機(jī)之間的漫游切換。整個l2、l3漫游過程在50ms內(nèi)全部完成，并兼容ieee 802.11i、ieee802.11f和ieee802.11e標(biāo)準(zhǔn)，可良好支持語音、視頻等多媒體業(yè)務(wù)的需求。3.5無線

33、網(wǎng)絡(luò)管理3.5.1總體需求武漢協(xié)和醫(yī)院西區(qū)辦公網(wǎng)絡(luò)區(qū)域無線系統(tǒng)涉及的ap數(shù)量比較多，需要網(wǎng)管系統(tǒng)，因為h3c的無線控制器里可以對所有合法ap的管理，所有無需另配網(wǎng)管軟件，ac可以對整個無線網(wǎng)絡(luò)的設(shè)備進(jìn)行設(shè)備管理。3.5.2集中網(wǎng)絡(luò)管理無線網(wǎng)絡(luò)建成后，管理者可在中心端集中管理所有ap及無線 交換機(jī)，統(tǒng)一由無線控制器管理。3.6頻率規(guī)劃與負(fù)載均衡 頻率規(guī)劃802.11n使用開放的2.4ghz ism頻段，可工作的信道數(shù)為歐洲標(biāo)準(zhǔn)信道數(shù)13個。由于其支持直序擴(kuò)頻技術(shù)造成相鄰頻點之間存在重疊。對于真正相互不重疊信道只有相隔5個信道的工作中心頻點。因此對于802.11n在2.4ghz地工作頻段，理論上只

34、能進(jìn)行三信道的蜂窩規(guī)劃實現(xiàn)對需要規(guī)劃的熱點的無縫覆蓋。此外，由于功率模板是否能做到符合鄰道、隔道不干擾也非常影響頻率規(guī)劃的效果。針對如何進(jìn)行802.11n的頻率規(guī)劃作了大量的實驗，實驗證明3載頻也可以實現(xiàn)蜂窩對需要覆蓋的區(qū)域進(jìn)行無縫覆蓋，并提供更高的服務(wù)帶寬提高服務(wù)質(zhì)量，和高帶寬業(yè)務(wù)的開展。圖4 頻率規(guī)劃原理圖頻率規(guī)劃需要配合使用的功能包括：i. ap支持13個信道設(shè)置ii. ap支持最大100mw功率以及多級功率控制iii. ap支持外置天線以及定向天線iv. 針對特殊應(yīng)用還需要ap支持橋接功能、接入功能以及wds功能結(jié)合以上功能的支持，以及勘探工具，可以較好的部署ap達(dá)到頻率規(guī)劃的效果。華

35、為公司針對無線小區(qū)、機(jī)場、酒店等熱點區(qū)域進(jìn)行過頻率規(guī)劃，使用效果較好。 負(fù)載均衡ap上支持標(biāo)準(zhǔn)的iapp協(xié)議框架，通過負(fù)載均衡的部署，可實現(xiàn)在一個熱點內(nèi)用戶平均分配到所部署的所有ap上，達(dá)到在一個服務(wù)區(qū)ap接入用戶數(shù)何流量的平衡，為用戶提供更高的服務(wù)質(zhì)量。具體可部署的負(fù)載均衡策略有：i. 對所有ap設(shè)置基于用戶數(shù)的負(fù)載均衡功能，ap通過對接入用戶數(shù)的統(tǒng)計，與設(shè)定ap接入用戶數(shù)量閥值比較，達(dá)到閥值后，不允許新的用戶接入。ii. 對所有ap設(shè)置基于流量的負(fù)載均衡功能，ap通過對接入用戶流量的統(tǒng)計，與設(shè)定ap上流量漏桶閥值上沿比較，達(dá)到閥值后，不允許新的用戶接入，少于閥值下沿，再允許新用戶接入。ii

36、i. 配合網(wǎng)絡(luò)規(guī)劃，設(shè)置ap群功能，在一個群內(nèi)的ap通過組播報文實時通報接入用戶數(shù)量，當(dāng)發(fā)現(xiàn)ap間用戶數(shù)差值大于設(shè)定閥值，接入用戶多的ap將部分用戶趕下網(wǎng)。3.7供電問題由于本次無線網(wǎng)中ap設(shè)備數(shù)量較多，我們采用2612無線ap的poe供電模塊配合市電進(jìn)行供電，滿足實際組網(wǎng)的要求。3.8覆蓋區(qū)域詳細(xì)說明圖5 簡單同軸分布式天線系統(tǒng)原理圖本示意模型是業(yè)界采用wlan頻率規(guī)劃技術(shù)對大樓覆蓋的標(biāo)準(zhǔn)示意模型，首先說明采用wlan技術(shù)可以按客戶的需求結(jié)合wlan現(xiàn)場勘探與頻率規(guī)劃可以實現(xiàn)最終用戶的隨時隨地接入。（圖1以11g進(jìn)行描述的，對于11g的模型一致）其次采用2.4g頻段的ieee802.11g技

37、術(shù)在國家無委會規(guī)定的2.42.4835mhz頻段共計有13個載頻，互不干擾頻段有3個如1、6、11（由于802.11g技術(shù)采用直序擴(kuò)頻技術(shù)，1個中心頻點的載頻對前后臨頻、隔頻都有一定的干擾），也就是采用互不干擾頻段結(jié)合功率控制、覆蓋方向以及蜂窩規(guī)劃，可以實現(xiàn)用戶需要的帶寬以及覆蓋，單點可提供的接入帶寬有33mbps。另外，針對武漢協(xié)和醫(yī)院西區(qū)辦公區(qū)域wlan覆蓋建議為辦公室、會議室等需要帶寬較高的場所建議采用全向覆蓋，除解決覆蓋同時還要考慮接入帶寬。覆蓋效果理論計信號強(qiáng)度和傳輸距離的換算公式ap加卡的信號總強(qiáng)度公式：gtgrap天線增益終端天線增益l信號總強(qiáng)度（db）gt（ap或終端功率，單位

38、db），gr（終端或ap靈敏度，單位db）距離產(chǎn)生的信號衰減公式：4020lgdl1（db） d（距離，單位m）工程中最大傳輸距離以45m計算，所以l172db障礙物的衰減：物體db地板30帶窗戶的磚墻2辦公室墻6辦公室墻的金屬門6磚墻的金屬門12.4靠近金屬門的磚墻3工程中實際的障礙物的最大衰減是臨窗墻的衰減3db加上房間墻的衰減12db等于15db。3.9網(wǎng)管軟件-imc wsm無線運營管理組件作為接入層網(wǎng)絡(luò)，無線網(wǎng)絡(luò)維護(hù)工作量較大，加之無線網(wǎng)絡(luò)的靈活性和不可見性，對無線網(wǎng)絡(luò)的管理需求也較有線網(wǎng)絡(luò)更加強(qiáng)烈。無線網(wǎng)絡(luò)直接面對最終用戶，對管理系統(tǒng)穩(wěn)定性、實時性、有效性要求都較高。wsm無線運營

39、管理組件依托imc智能管理平臺，實現(xiàn)有線無線一體化的管理，在imc系統(tǒng)全面的有線網(wǎng)絡(luò)管理的基礎(chǔ)上，為管理員提供無線網(wǎng)絡(luò)管理能力。管理員無需重新搭建it管理平臺，即可在原有的有線網(wǎng)絡(luò)管理系統(tǒng)中增加無線管理功能，與有線管理平臺統(tǒng)一部署，節(jié)省用戶投入，節(jié)約維護(hù)成本。3.9.1無線有線一體化管理h3c無線運營管理組件（wsm）作為imc智能管理中心的無線業(yè)務(wù)管理核心，對于網(wǎng)絡(luò)中的ac、fat ap、fit ap、移動終端等無線設(shè)備與有線設(shè)備進(jìn)行一體化集中管理，全網(wǎng)設(shè)備信息和狀態(tài)一目了然。網(wǎng)絡(luò)資源通過多種視圖進(jìn)行查看，視圖內(nèi)分組管理，將規(guī)模巨大的無線接入設(shè)備有效組織，便于管理員維護(hù)。圖1. 無線業(yè)務(wù)概覽

40、3.9.2多樣化的拓?fù)涔芾韍3c無線運營管理組件（wsm）中的無線業(yè)務(wù)邏輯拓?fù)鋷椭芾韱T直觀了解網(wǎng)絡(luò)部署情況及設(shè)備/鏈路當(dāng)前狀態(tài)。系統(tǒng)可根據(jù)不同的方式組織資源，有效進(jìn)行拓?fù)浞纸M、真實組織全網(wǎng)資源。物理位置視圖中管理員可根據(jù)需要創(chuàng)建多緯度、多層次的物理位置結(jié)構(gòu)，并在指定建筑物底圖上根據(jù)真實情況擺放設(shè)備，逼近真實網(wǎng)絡(luò)環(huán)境。3.9.3無線終端查看和漫游記錄審計h3c無線運營管理組件（wsm）可以直接在拓?fù)鋱D中對移動終端的信息進(jìn)行查看，包括mac地址、信號強(qiáng)度、發(fā)射速率集、rssi、ssid、使用信道、所在ac設(shè)備、所在ap設(shè)備等，并能查看各移動終端的全部漫游記錄，使管理員隨時了解最終接入用戶的情況，

41、并對其接入軌跡進(jìn)行審計。圖3.無線終端漫游記錄審計3.9.4 rf覆蓋管理在實際無線環(huán)境的部署和維護(hù)中，需要關(guān)注無線設(shè)備的rf范圍、覆蓋管理以及無線網(wǎng)絡(luò)規(guī)劃擴(kuò)容問題。h3c無線運營管理組件（wsm）可以用很直觀的拓?fù)鋱D表示出無線網(wǎng)絡(luò)中的rf狀況。通過障礙物的設(shè)置，用戶可以更加精確的查看由于遮擋對信號衰減的情況。查詢rf覆蓋可以分別按照信號強(qiáng)度、速率、信道進(jìn)行，滿足用戶分析信號覆蓋情況的需要。圖4.無線rf覆蓋狀況3.9.5無線定位與gis管理功能對網(wǎng)絡(luò)的管理有時需要無線定位功能，通過無線定位系統(tǒng)，可以實現(xiàn)對在線sta以及非法sta、非法ap的定位，同時可以實現(xiàn)對h3c inode用戶的定位，方

42、便用戶第一時間的了解無線用戶和非法設(shè)備的物理位置，第一時間解決問題。通過gis管理功能，可以實現(xiàn)對對ap的gis信息管理功能，地理位置確定等等。圖5.無線定位業(yè)務(wù)展示圖6. gis業(yè)務(wù)管理3.9.6基于物理位置的無線終端準(zhǔn)入控制結(jié)合inode客戶端，wsm可以實現(xiàn)基于物理位置的無線終端準(zhǔn)入控制。通過設(shè)置準(zhǔn)入?yún)^(qū)域及其準(zhǔn)入規(guī)則，用戶可以將未經(jīng)授權(quán)的inode用戶強(qiáng)制下線或向其發(fā)送通知等方式進(jìn)行控制，方便了用戶實施基于物理位置的終端準(zhǔn)入控制。3.9.7ap上聯(lián)設(shè)備查詢wsm可以實現(xiàn)對ap可能的上聯(lián)設(shè)備進(jìn)行查詢的功能，并可以確定ap與上聯(lián)設(shè)備是否直連。通過此功能，用戶可以方便的查找ap的物理接入端口。

43、如果ap是使用poe供電的方式，還可以通過對poe端口的操作實現(xiàn)對ap的斷電、上電。3.9.8主備ac管理wsm可以提供強(qiáng)大的主備ac管理功能。在界面中，可以看到各個ap的主備連接狀態(tài)，并且可以對相同序列號的ap進(jìn)行合并，從而實現(xiàn)了全網(wǎng)級別的ap管理。同時，在處理報表等性能數(shù)據(jù)時，自動對主備情況下的性能數(shù)據(jù)進(jìn)行整合，極大提高了性能數(shù)據(jù)的可用性、移動性。同時，通過主備ac分組的配置，用戶可以方便的將配置同時下發(fā)到主備ac上，方便了用戶的使用。3.9.9無線入侵檢測和防護(hù)無線網(wǎng)絡(luò)靈活多變，并且基礎(chǔ)設(shè)施不可見，因此比有線網(wǎng)絡(luò)更容易遭到越權(quán)使用。對于這類問題，wsm提供了rogue設(shè)備檢測功能，可對無

44、線入侵進(jìn)行檢測，可明確顯示非法接入設(shè)備，并對其進(jìn)行信息查詢、加入黑名單及發(fā)起攻擊等動作。3.9.10豐富的無線統(tǒng)計報表對網(wǎng)絡(luò)進(jìn)行運營管理需要對網(wǎng)絡(luò)進(jìn)行全方位的監(jiān)控，從網(wǎng)絡(luò)各種性能指標(biāo)、告警指標(biāo)中進(jìn)行智能的統(tǒng)計和分析，才能有效從整體對網(wǎng)絡(luò)狀況進(jìn)行衡量。wsm提供了豐富的無線統(tǒng)計報表查詢和定制功能，以幫助管理員對網(wǎng)絡(luò)進(jìn)行綜合而全面的管理。通過配置分級報表系統(tǒng)，可以實現(xiàn)對大規(guī)模的無線網(wǎng)絡(luò)的報表系統(tǒng)，從而可以滿足運營商級別的報表統(tǒng)計需求。四、產(chǎn)品說明4.1 ewp-wa2612-agn無線接入點產(chǎn)品簡介h3c wa2600系列無線產(chǎn)品是杭州華三通信技術(shù)有限公司(h3c)自主研發(fā)的新一代基于802.11

45、n技術(shù)的超百兆高速無線接入設(shè)備(以下簡稱ap)，可提供相當(dāng)于傳統(tǒng)802.11a/b/g網(wǎng)絡(luò)6倍以上的無線接入速率，能夠覆蓋更大的范圍。該系列無線產(chǎn)品上行接口采用千兆以太網(wǎng)接口接入，突破了百兆以太網(wǎng)接口的限制，使無線多媒體應(yīng)用成為現(xiàn)實。wa2600系列無線產(chǎn)品支持fat和fit兩種工作模式，根據(jù)網(wǎng)絡(luò)規(guī)劃的需要，可以通過命令行靈活地在fat和fit兩種工作模式中切換。作為瘦ap(fit ap)時，需要與h3c自主研發(fā)的wx系列無線控制器系列產(chǎn)品配套使用；作為胖ap(fat ap)時，可以獨立進(jìn)行組網(wǎng)。wa2600系列無線產(chǎn)品支持fat/fit兩種工作模式的特性，有利于將客戶的無線網(wǎng)絡(luò)由小型網(wǎng)絡(luò)平滑

46、升級到大型網(wǎng)絡(luò)，從而很好保護(hù)用戶的投資。wa2612-agn是wa2600系列無線產(chǎn)品中的一款單頻多模室內(nèi)型802.11n無線接入設(shè)備，內(nèi)置3 mimo天線，外型小巧美觀，安裝方式靈活，可以直接安裝在天花板上。wa2612-agn可工作在2.4ghz頻段或5ghz頻段，并支持ieee802.11a、ieee802.11b、ieee802.11g和ieee802.11n四種模式。產(chǎn)品視圖如下：圖1 wa2612-agn室內(nèi)型單頻802.11n 無線接入設(shè)備產(chǎn)品特點l 實現(xiàn)高性能無線接入和最佳無線網(wǎng)絡(luò)tcowa2612-agn遵從802.11n協(xié)議標(biāo)準(zhǔn)，采用專業(yè)模塊化設(shè)計，單射頻能提供高達(dá)300m

47、bps的無線接入速度，是相同環(huán)境下802.11a/b/g產(chǎn)品的6倍左右。通過特有的內(nèi)置集成智能射頻覆蓋優(yōu)化技術(shù)，可以有效地從覆蓋范圍、接入密度、運行穩(wěn)定等方面提供更高性能的無線接入服務(wù)并協(xié)助用戶實現(xiàn)最佳無線網(wǎng)絡(luò)tco(總擁有成本/total cost of ownership)。l 綠色低碳設(shè)計wa2612-agn采用專業(yè)綠色低碳設(shè)計，功耗小于10w，而標(biāo)準(zhǔn)的802.3af(poe)供電為15.4w，這就意味著wa2612-agn可以使用普通poe交換機(jī)(如h3c s3000/s5000系列poe交換機(jī))進(jìn)行供電，供電距離可達(dá)100m。使用poe交換機(jī)供電不僅可以方便施工，開關(guān)和重置無線設(shè)備時

48、也無需現(xiàn)場操作，只需要遠(yuǎn)程控制poe交換機(jī)端口，從而有效地提高無線網(wǎng)絡(luò)的管理靈活性并降低網(wǎng)絡(luò)維護(hù)難度。l 提供千兆以太網(wǎng)接口有線連接上行接口采用千兆以太網(wǎng)接口接入，突破了傳統(tǒng)百兆以太網(wǎng)接口的限制，使有線口不再成為無線接入的速率瓶頸，為將來支持更高速率更多射頻組合提供了平滑升級的平臺。l 支持fat/fit兩種模式wa2612-agn支持fat和fit兩種工作模式，根據(jù)網(wǎng)絡(luò)規(guī)劃的需要，可以靈活地在fat和fit兩種工作模式中切換，同時用戶可以根據(jù)應(yīng)用需求，靈活選擇所需的設(shè)備出廠版本(fat模式版本或fit模式版本)。當(dāng)客戶的無線網(wǎng)絡(luò)初始規(guī)模較小時，客戶只需采購wa2612-agn無線設(shè)備，并設(shè)置

49、其工作模式為fat模式。隨著客戶網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)容，當(dāng)網(wǎng)絡(luò)中應(yīng)用的wa2612-agn無線設(shè)備達(dá)到幾十甚至上百臺時，為降低網(wǎng)絡(luò)管理的復(fù)雜度，建議客戶采購h3c自主研發(fā)的wx系列無線控制器設(shè)備，便于集中管理網(wǎng)絡(luò)中的所有的wa2612-agn無線設(shè)備，此時只需將其工作模式切換到fit模式。wa2612-agn作為同時支持fat/fit兩種工作模式的高速超百兆無線接入設(shè)備，工作模式切換過程只需要簡易命令行，且可以通過設(shè)備網(wǎng)管批量執(zhí)行，有利于將客戶的無線網(wǎng)絡(luò)由小型網(wǎng)絡(luò)平滑升級到大型網(wǎng)絡(luò)，從而更好地保護(hù)用戶的投資，非常適合運營級大規(guī)模無線網(wǎng)絡(luò)的平滑擴(kuò)容升級。l 提供本地轉(zhuǎn)發(fā)功能當(dāng)wa2612-agn (

50、fit模式)通過廣域網(wǎng)方式轉(zhuǎn)發(fā)時，無線接入設(shè)備部署在分支機(jī)構(gòu)，而無線控制器部署在總部，所有用戶數(shù)據(jù)由無線接入設(shè)備發(fā)送到無線控制器，再由無線控制器進(jìn)行集中轉(zhuǎn)發(fā)，導(dǎo)致轉(zhuǎn)發(fā)效率低下。wa2612-agn可將數(shù)據(jù)報文在無線接入設(shè)備上直接轉(zhuǎn)化為有線格式的報文，使得數(shù)據(jù)報文不經(jīng)過無線控制器，而是在本地進(jìn)行轉(zhuǎn)發(fā)，大大提高了轉(zhuǎn)發(fā)效率。l 支持ipv4/ipv6雙協(xié)議棧wa2612-agn全面支持ipv6特性，設(shè)備實現(xiàn)了ipv4/ipv6雙協(xié)議棧。通過與wx系列無線控制器建立ipv6隧道，無論原有有線網(wǎng)絡(luò)是ipv4還是ipv6，wa2612-agn都可以自由的與wx系列控制器進(jìn)行通信，不會成為網(wǎng)絡(luò)中的信息孤島。

51、l 支持智能負(fù)載均衡wa2612-agn支持按接入用戶數(shù)量和流量的復(fù)雜均衡方式，當(dāng)無線控制器發(fā)現(xiàn)無線接入設(shè)備的負(fù)載超過設(shè)定的門限值以后，對于新接入的用戶無線控制器會自動計算此用戶周圍是否還有負(fù)載較輕的無線接入設(shè)備可供用戶接入，如果有則會拒絕用戶的關(guān)聯(lián)請求，用戶會轉(zhuǎn)而接入其他負(fù)載較輕的無線接入設(shè)備，但如果無線用戶不在重疊覆蓋區(qū)內(nèi)，傳統(tǒng)的負(fù)載均衡方式往往會導(dǎo)致連接不上網(wǎng)絡(luò)，造成誤均衡。h3c公司創(chuàng)新性的支持智能負(fù)載均衡技術(shù)，保證只對處于覆蓋重疊區(qū)的無線用戶才啟動負(fù)載均衡功能，有效的避免誤均衡的出現(xiàn)，從而最大限度的提高了無線網(wǎng)絡(luò)容量。l 提供only 11n接入功能由于802.11n向下兼容802.

52、11a/b/g協(xié)議，故通常情況下，802.11a/b/g用戶也能接入到802.11n的無線接入設(shè)備上。但這種兼容能力的提供，會造成具備802.11n接入能力的用戶實際使用性能產(chǎn)生一定程度的下降。wa2612-agn支持將設(shè)備的射頻設(shè)置為only 11n模式，使得802.11n接入用戶的高速帶寬和接入性能得到保證。l 支持中國標(biāo)準(zhǔn)wapiwa2612-agn除了支持wlan國際標(biāo)準(zhǔn)802.11i，還支持中國無線局域網(wǎng)國家標(biāo)準(zhǔn)gb15629.11-2003 中提出的wapi標(biāo)準(zhǔn)。l 支持無線入侵檢測/防御(wids/wips)wa2612-agn工作在fat模式時，支持黑名單和白名單等無線用戶接入

53、控制特性。wa2612-agn工作在fit模式時，配合h3c自主研發(fā)的wx系列無線控制器設(shè)備，可以同時支持rogue檢測、入侵檢測以及黑名單和白名單等wids/wips特性。l 提供ead無線接入終端準(zhǔn)入控制(ead，end user admission domination)解決方案從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，對接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實施企業(yè)安全策略，通過與安全策略服務(wù)器的聯(lián)動，可以對感染病毒或存在系統(tǒng)漏洞等不合格的無線客戶端進(jìn)行下線、隔離、提醒或監(jiān)控等多種方式的處理，只有無線客戶端符合相應(yīng)的安全策略之后才允許正常訪問網(wǎng)絡(luò)，從而提高了無線網(wǎng)絡(luò)的整體安

54、全性。l 支持中文ssidwa2612-agn支持使用中文ssid，可指定最長包含32個漢字的ssid，也可以使用中英文混合的ssid，為國內(nèi)用戶提供了更大的使用便利。l 支持tr-069特性(cwmp)wa2612-agn支持tr-069特性，此特性方便網(wǎng)管人員從網(wǎng)絡(luò)側(cè)對位置分散的無線接入設(shè)備進(jìn)行遠(yuǎn)程集中管理。tr-069是由dsl論壇()所開發(fā)的系列技術(shù)規(guī)范之一，其全稱為“cpe廣域網(wǎng)管理協(xié)議”。l 全面支持智能型有線無線一體化管理h3c全系列無線產(chǎn)品都可以通過開放的網(wǎng)絡(luò)管理協(xié)議實現(xiàn)基于wsm的有線無線一體化管理。wsm是h3c在下一代業(yè)務(wù)軟件平臺imc(i

55、ntelligence management center/智能管理中心)的基礎(chǔ)上開發(fā)的無線運營管理組件，不僅為管理員提供了靈活的組件選擇，同時符合業(yè)界主流的soa架構(gòu)，具備良好的擴(kuò)展性，能夠滿足客戶網(wǎng)絡(luò)管理不斷發(fā)展的需求?；趙eb的管理系統(tǒng)，為無線業(yè)務(wù)管理者提供了簡便、友好的管理平臺。與imc智能管理平臺及其它組件配合，還可實現(xiàn)無線設(shè)備的面板管理、故障管理、性能監(jiān)控、軟件版本管理、配置文件管理、接入用戶管理等功能，并可對網(wǎng)絡(luò)中的其它設(shè)備進(jìn)行統(tǒng)一管理，真正實現(xiàn)智能型有線無線一體化管理。產(chǎn)品規(guī)格l 硬件規(guī)格屬性 wa2612-agn重量0.5kg尺寸(不包含天線接口和附件)直徑190mm，厚度60mm10/100/1000m以太網(wǎng)口1個poe支持802.3af/802.3at兼容供電console口1個天線內(nèi)置