機場無線部署解決方案

1、 無線部署解決方案機場無線覆蓋解決方案目錄1項目概況41.1項目背景41.2項目目標42術語解釋43總體設計方案73.1無線網絡組網規(guī)劃73.2網絡高可靠性93.2.1AC 冗余備份93.2.2DHCP Server備份93.3無線安全設計103.3.1WIFI接入及認證過程103.3.2無線數據加密113.3.3AC與AP之間的安全認證113.3.4其它無線安全控制技術123.4無線網絡管理123.4.1網絡發(fā)現133.4.2拓撲管理133.4.3無線網絡規(guī)劃133.4.4無線網絡監(jiān)控133.4.5無線網絡安全133.4.6AC性能管理143.4.7網絡流量分析143.4.8告警管理143.

2、4.9報表呈現143.4.10軟件管理143.4.11配置管理143.4.12資產管理153.4.13任務和調度153.4.14日志管理153.4.15安全管理153.5QOS部署153.5.1QOS總體框架153.5.2QoS高優(yōu)先級業(yè)務數據優(yōu)先保證163.5.3管理報文高優(yōu)先級處理173.5.4通過client QoS修改用戶的優(yōu)先級173.5.5基于用戶的限速173.6POE供電方案183.6.1POE供電模塊供電183.6.2POE交換機供電193.7網絡設備要求193.7.1無線AP193.7.2AC控制器203.7.3AAS服務器223.7.4Portal服務器253.7.5Net

3、Manager網管261 項目概況1.1 項目背景暫無1.2 項目目標暫無2 術語解釋Ø WLAN：無線局域網絡(Wireless Local Area Networks； WLAN)是相當便利的數據傳輸系統，它利用射頻(Radio Frequency； RF)的技術，取代舊式礙手礙腳的雙絞銅線(Coaxial)所構成的局域網絡，使得無線局域網絡能利用簡單的存取架構讓用戶透過它，達到信息隨身化、便利走天下的理想境界。Ø 無線AP：AP是(Wireless) Access Point的縮寫，即(無線)訪問接入點。如果無線網卡可比作有線網絡中的以太網卡，那么AP就是傳統有線網絡

4、中的HUB，也是目前組建小型無線局域網時最常用的設備。Ø 瘦AP: 無線接入點(AP，Access Point)也稱無線網橋、無線網關，也就是所謂的“瘦”AP。此無線設備的傳輸機制相當于有線網絡中的集線器，在無線局域網中不停地接收和傳送數據;任何一臺裝有無線網卡的PC均可通過AP來分享有線局域網絡甚至廣域網絡的資源。理論上，當網絡中增加一個無線AP之后，即可成倍地擴展網絡覆蓋直徑;還可使網絡中容納更多的網絡設備。每個無線AP基本上都擁有一個以太網接口，用于實現無線與有線的連接。Ø AC：無線接入控制服務器， 接入控制器(AC) 無線局域網接入控制設備，負責把來自不同AP的數

5、據進行匯聚并接入Internet，同時完成AP設備的配置管理、無線用戶的認證、管理及寬帶訪問、安全等控制功能。Ø POE：POE (Power Over Ethernet)指的是在現有的以太網Cat.5布線基礎架構不作任何改動的情況下，在為一些基于IP的終端（如IP電話機、無線局域網接入點AP、網絡攝像機等）傳輸數據信號的同時，還能為此類設備提供直流供電的技術。POE技術能在確保現有結構化布線安全的同時保證現有網絡的正常運作，最大限度地降低成本。Ø 802.11g：在2.4GHz頻段，是一種能支持較高數據傳輸速率（154Mbit/s），采用微蜂窩、微微蜂窩結構，自主管理的計

6、算機局域網絡。Ø 802.11i：無線安全標準，wpa是其子集，規(guī)定使用802.1x認證和密鑰管理方式，在數據加密方面，定義了TKIP、CCMP和WRAP三種加密機制。Ø 802.11n：WiFi聯盟為了實現高帶寬、高質量的WLAN服務，使無線局域網達到以太網的性能水平，802.11任務組制定了N（TGn），將無線局域網的傳輸速率從802.11a和802.11g的54Mbps增加至300Mbps以上，最高速率可達600Mbps，采用OFDM技術、MIMO（多入多出）技術。Ø WEP：WEP是Wired Equivalent Privacy的簡稱，有線等效保密（WE

7、P）協議是對在兩臺設備間無線傳輸的數據進行加密的方式，用以防止非法用戶竊聽或侵入無線網絡。Ø WPA：英文縮寫: WPA (Wi-Fi Protected Access) WPA是一種基于標準的可互操作的WLAN安全性增強解決方案，可大大增強現有以及未來無線局域網系統的數據保護和訪問控制水平。WPA源于正在制定中的IEEE802.11i標準并將與之保持前向兼容。Ø WPA2：WPA2 是經由 Wi-Fi 聯盟驗證過的 IEEE 802.11i 標準的認證形式。WPA2 實現了 802.11i 的強制性元素 1，特別是 Michael 算法由公認徹底安全的 CCMP 訊息認證

8、碼所取代、而 RC4 也被 AES 取代。Ø WPA/WPA2 企業(yè)版：Wi-Fi 聯盟已經發(fā)布了在 WPA 及 WPA2 企業(yè)版的認證計劃里增加 EAP（可擴充認證協定）的消息，這是為了確保通過 WPA 企業(yè)版認證的產品之間可以互通。先前只有 EAP-TLS（Transport Layer Security）通過 Wi-Fi 聯盟的認證。Ø SSID：SSID是Service Set Identifier的縮寫，意思是：服務集標識。SSID技術可以將一個無線局域網分為幾個需要不同身份驗證的子網絡，每一個子網絡都需要獨立的身份驗證，只有通過身份驗證的用戶才可以進入相應的子網

9、絡，防止未被授權的用戶進入本網絡.。 Ø 無線漫游：當網絡環(huán)境存在多個AP，且它們的微單元互相有一定范圍的重合時，無線用戶可以在整個WLAN覆蓋區(qū)內移動，無線網卡能夠自動發(fā)現附近信號強度最大的AP，并通過這個AP收發(fā)數據，保持不間斷的網絡連接，這就稱為無線漫游。Ø 數字證書：數字證書就是互聯網通訊中標志通訊各方身份信息的一系列數據，提供了一種在Internet上驗證您身份的方式，它是由一個由權威機構-CA機構，又稱為證書授權（Certificate Authority）中心發(fā)行的，人們可以在網上用它來識別對方的身份。數字證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信

10、息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。數字證書是一種權威性的電子文檔，由權威公正的第三方機構，即CA中心簽發(fā)的證書。 3 總體設計方案3.1 無線網絡組網規(guī)劃n 組網說明Ø 在機場核心交換機分別旁掛1臺或多臺AC無線控制器，通過1+1方式實現冗余備份，在機場無線熱點區(qū)域部署多個瘦AP 。根據現有機場有線的網絡的部署情況，無線AP與AC控制器間通過二層或三層實現互聯互通，AC工作在集中轉發(fā)模式，所有無線終端的業(yè)務數據通過AC進行集中轉發(fā)。Ø 機場無線AP手動配置自身IP地址，與AC 的IP地址實現隧道互聯，無線終端的IP地址通過D

11、HCP 動態(tài)獲取，網關指向機場的核心交換機，建議部署兩臺DHCP服務器，在核心交換機上配置DHCP 中繼，分別指向兩臺DHCP服務器，實現對DHCP服務器的冗余備份。Ø 機場無線AP采取WPA2的無線加密認證方式。無線終端上行的802.11的數據報文通過AP重新封裝到802.3格式以太報文中，直接發(fā)給AC，由AC進行過濾識別后進行轉發(fā)，這個過程實現了WLAN無線的數據和現有業(yè)務的數據隔離。J 注意事項：因無線的數據均采用集中轉發(fā)方式，所以在無線終端間進行數據訪問時，也需要數據通過AC集中轉發(fā)而訪問，增加了不必要的網絡開銷，我們建議禁止無線終端間的數據訪問業(yè)務。n 設備配置說明設備名稱

12、部署設備型號數量設備說明無線控制器WNC6000-1000-ACX臺AC控制器，支持1024個AP接入室內APWA2000-213W-PEX臺單頻、單模，室內2.4G增強型室內AP。 802.11 （ b 、 g 、 n ） ，外置天線，100mw 放裝型 ， POE 受電方式。支持wapi 。室外APWA2000-362W-PTEX臺WA2000-362W-PTE,無線,雙頻、雙模，2.4G、5.8G增強型室外AP。 802.11 （ a、b 、 g 、 n ） ，外置天線，500mw +500mw放裝型 ， PTE 受電方式。支持wapiAAS服務器Access Authenticatio

13、n server1邁普設備接入認證服務器(基本型、含硬件)，2個以太口AAS-L-2000X2000個License認證用戶數，單一系統支持多個License累加Portal軟件Portal Authentication Server1Portal認證服務器中文版短信網關Maipu SMS-CN1MaipuSMS-CN、電信制式短信網關無線網管軟件Maipu NetManager1多業(yè)務智能管理平臺(專業(yè)版，中英文版，無最多可管理網絡設備數量限制)NM-WlanManager1無線業(yè)務管理組件NM-L-500軟件許可，每個許可可增加500個設備節(jié)點授權許可3.2 網絡高可靠性3.2.1 AC

14、冗余備份AC無線控制器采用，1+1冗余備份方式，在核心交換機分別旁掛1臺或多臺AC無線控制器，通過1+1方式實現冗余備份，保證了整個無線網絡的高可靠性。根據無線AP的規(guī)模來確定AC的容量。在備機房放置同等數量和容量的AC，實現完備的1+1冗余備份。1+1冗余備份方式，需要從兩個層面來保證設備和網絡的冗余可靠性。首先， AC和備份AC之間的管理通道保持有快速心跳檢測機制，心跳時間根據網絡的質量可以配置，建議為200ms到5s之間。心跳報文在兩端AC和整個通道的網絡設備之間采用高優(yōu)先級保證。同時，主AC和備份AC之間能定期和實時的同步AP，client的各種狀態(tài)。這樣，備份AC能實時監(jiān)控主AC的活

15、動狀況。一旦主AC出現宕機等事件，備份AC收不到主AC的心跳報文，立即通知該主AC管理的原AP，實行切換。其次，AC和所管理的AP之間的管理通道保持有心跳檢測機制。這種機制中除了檢測AC的狀態(tài)之外，還可以檢測整個網絡通道是否可達。心跳時間根據網絡的質量可以配置，建議為5s到20s之間。1+1的備份方式在部署時，AP需要配置主用AC和備用AC的地址列表，我們采用靜態(tài)指定的方式，在AP上寫入主備AC的IP地址，當主AC出現宕機或者主機房網絡出現故障，訪問不可達的情況下，AP主動發(fā)現并切換到備AC上。3.2.2 DHCP Server備份DHCP SERVER備份實現機制 ：在機場主機房搭建主 DH

16、CP SERVER和備用DHCP SERVER；通過核心交換機做DHCP RELAY ，分別指向主、備DHCP SERVER，在正常情況下，用戶端從主DHCP服務器獲取地址，當主 DHCP SERVER宕機的情況下，用戶從備 DHCP SERVER獲取地址 。該功能的實現需要在核心交換機上配置兩條DHCP RELAY命令 。3.3 無線安全設計由于無線接入的開放性，因此無線接入安全是部署無線網絡的重中之重。當前兼容性最好、可實現性最高的無線安全接入方式就是結合數字證書的WPA2身份認證及數據加密技術。3.3.1 WIFI接入及認證過程為滿足用戶可以更方便快捷的使用WIFI熱點，并且又能夠對接入

17、用戶合法性進行確認，本方案設計采用AAS+Portal+短信方式認證。n Web認證機場WIFI用戶使用手機或者pad自動搜索到機場WIFI熱點，在連接的時候會自動重定向到本地Portal頁面上，給用戶推送一個Web認證界面。當用戶再次通過HTTP協議上互聯網時，會觸發(fā)Portal認證，后端的Portal認證服務器會推送一個Web認證頁面到用戶終端上。用戶在WEB認證界面填寫自己的手機號，點擊獲取隨機密碼，則用戶填寫的手機號對應的手機會收到一條短信，獲取到一個隨機密碼，用戶通過該手機號碼及短信收到的隨機密碼進行Web認證。認證通過后系統允許用戶終端上網，并且返回一個認證通過的頁面，再次根據用戶

18、所在的公交車位置信息判斷推送不同的廣告信息；n AAS服務器AAS是基于AAA的認證系統，在本方案中主要功能為配合Portal服務器為用戶提供身份認證。AAS也可以通過代理方式與運營商或者上級AAA系統進行對接，能夠直接與營運商的用戶庫（如手機號等信息）共享，避免用戶信息多點維護。AAS認證的用戶名基于運營商用戶庫，所以有效的避免了其他運營商的用戶接入占用資源的問題。該系統允許所有運營商的用戶能使用。3.3.2 無線數據加密WPA2使用加密性能更好、安全性更高的加密算法：AES-CCMP（Advanced Encryption Standard - Counter mode with Ciph

19、er-block chaining Message authentication code Protocol，高級加密標準計數器模式密碼區(qū)塊鏈接消息身份驗證代碼協議），其主要有如下幾點改進：使用128位AES加密算法實現機密性保護，數據完整性保護，自動重新生成密鑰對以派生新的數據加密密鑰，使用數據包編號字段實現防重播。AES-CCMP在802.1X身份驗證過程動態(tài)創(chuàng)建一組主從密鑰，并由該從主密鑰對和其他值派生出數據加密所需的臨時密鑰，避免了WPA-PSK主密鑰需事先定義而可能泄露的弊端。3.3.3 AC與AP之間的安全認證為了保證AC與AP之間的訪問安全，尤其是防止黑客或者攻擊者從市場上購買同

20、一品牌的AP，私自接入機場網絡，進行各種高級攻擊。因此需要加強AC和AP之間的安全認證。最簡單的認證是MAC地址認證，部署過程中可以將系統中的合法AP的MAC地址統一記錄在Radius或者AC上。AP在跟AC關聯進行集中管理時，都需要在AC上通過mac地址認證才能允許AP接入無線網絡；其次是密碼認證，第一次部署過程中需要在AP上設置相關密碼；AP在跟AC關聯進行集中管理時，都需要在AC上通過密碼認證才能允許AP接入無線網絡；注：前面兩種方式都是單向認證，在AC上認證接入AP；還有一種更安全的方式是數字證書認證，我們采用的X.509數字證書認證方法。該認證方法是雙向認證，除了AC上認證AP的證書

21、，同時在AP上還需要驗證AC的證書，充分保證網絡設備的合法性。在首次部署的時候，需要將相關證書下發(fā)到設備上。AP運行過程中，跟AC關聯進行集中管理時，就會啟動該雙向認證，成功后才能允許AP接入無線網絡。3.3.4 其它無線安全控制技術其它無線安全技術主要體現如下幾方面：Ø SSID隱藏：隱藏無線對外服務標識，類似在開放的環(huán)境中隱藏接入端口，保護無線接入。Ø 無線用戶接入時段控制：根據業(yè)務需要，限制終端用戶通過無線接入的時間區(qū)間，可以實現在非工作時間外禁止接入網絡。Ø 無線用戶訪問權限控制：可以在無線接入控制器上實現ACL控制，放行移動終端業(yè)務的目標地址，阻斷其它應

22、用，通過ACL控制訪問權限。Ø 無線用戶速率控制：通過限制每個無線終端的速率，防止各種惡意或無意的高速率訪問，確保其它用戶通過無線接入的接入速率、接入穩(wěn)定性。Ø 無線用戶相互隔離：對通過無線接入的終端實現隔離，阻斷相互之間的通信，不僅實現安全管理，也可避免終端之間的相互影響。3.4 無線網絡管理整個無線網絡統一進行無線網絡設備管理，無線網絡的可管理性在整體項目中將起到非常重要的作用。根據機場的應用需求，我們提出實現無線網絡的“云管理”方案。簡單來說，無線網絡管理分成以下三層管理架構：Ø 網管軟件對AC的管理：主要聚焦在網管軟件對各個AC的狀態(tài)監(jiān)控，并對AC進行權限

23、管理及監(jiān)控。Ø 網管軟件對AP的管理：主要聚焦在網管軟件對分布在全國任意網點的AP的追溯管理，包括每臺AP下的終端接入數，終端流量，終端應用。Ø 網管軟件對無線終端的管理：主要聚焦在網管軟件對接入到全國任意網點的所有無線終端的管理，包括終端流量等等。通過以上三方面不同層次的網絡管理，使得無線網絡的管理更可控。3.4.1 網絡發(fā)現基于IP范圍發(fā)現AC，手動添加設備基于AC發(fā)現無線網絡，自動添加設備3.4.2 拓撲管理支持網絡拓撲圖的自動生成及拖拉縮放，支持網絡拓撲分層分級導航和管理及自動更新支持網絡拓撲圖的手動定制及定制連接支持物理連接和邏輯連接，并在拓撲上顯示連接屬性，如端

24、口、貸款及連接狀態(tài)3.4.3 無線網絡規(guī)劃支持無線分級地圖3.4.4 無線網絡監(jiān)控支持在各AC管轄下的無線AP列表支持列出客戶端列表:包括活動客戶端列表、客戶端列表歷史、信噪比等3.4.5 無線網絡安全支持統一安全策略：統一安全策略的創(chuàng)建及安全策略的下發(fā)和部署支持無線安全防護：包括Rogue AP列表，Rogue Client列表，Rogue設備反制及無線入侵事件列表等3.4.6 AC性能管理支持AC性能監(jiān)控，及性能數據的管理3.4.7 網絡流量分析支持網絡流量數據采集標準(Cisco NetFlow, sFlow等)支持帶寬使用統計網絡性能瓶頸發(fā)現輸出網絡流量報告，支持基于圖形化和數據表格方

25、式的網絡流量詳細報告3.4.8 告警管理支持告警定義，告警呈現，告警管理及相應的告警操作。3.4.9 報表呈現支持表格和圖形混合展現的報表呈現方式可手動、自動生成報表，并自動發(fā)送報表3.4.10 軟件管理支持軟件包管理及AC、AP軟件自動升級3.4.11 配置管理支持批量配置管理，配置文件管理3.4.12 資產管理支持設備資產管理，設備資產信息收集和展示，并定期自動同步3.4.13 任務和調度支持任務的查詢/修改/制定，從而實現按時批量任務實現支持一次性任務調度、周期性任務調度，并輸出任務執(zhí)行日志，并回報任務執(zhí)行結果通知3.4.14 日志管理可記錄日志，包括網管日志，網元操作日志，安全日志及網

26、元日志等可操作日志，包括設置、轉儲、查詢和打印等并可對日志進行定期清理3.4.15 安全管理可對用戶組進行安全管理，包括用戶管理、管理域等可實現第三方認證和授權，支持RADIUS，TACCS,LDAP3.5 QOS部署3.5.1 QOS總體框架通過WMM協議，使802.11在鏈路層和MAC層提供支持QoS的無線網絡接入服務，加上有線網絡原有的應用層、IP層的QoS策略，提供了無線設備端到端的QoS支持能力，以無線終端Client1發(fā)送報文到Client2為例說明Qos總體框架。總體框架中提供兩大部分QoS部署： Ø 一是從client到AP之間的無線QoS部署，該部分主要是對于空中的

27、無線報文（802.11報文）進行各種QoS管理和配置。對于語音和視頻等高優(yōu)先級流量進行調度；Ø 二是從AP到AC之間的有線QoS部署，該部分主要是對于以太網報文（802.3報文）進行各種QoS管理和配置。因為無線報文達到AP后，就接入了有線網絡，報文也就是從802.11格式轉為802.3格式，進行有線網絡轉發(fā)。3.5.2 QoS高優(yōu)先級業(yè)務數據優(yōu)先保證WMM QoS到802.3的CoS之間的映射：AP收到802.11報文后，AP將其中WMM QoS字段轉換為802.3的CoS字段的值，保證無線用戶的優(yōu)先級信息能夠保持不變，高優(yōu)先級數據優(yōu)先處理。內部優(yōu)先級到外部優(yōu)先級的映射（未來實現）

28、：數據被封裝到隧道后，內部的優(yōu)先級不能被其它網絡設備識別，因此必須將內部的優(yōu)先級映射到外部網絡。AP在封裝隧道數據時，會把內部優(yōu)先級映射到隧道數據的外部，保證其它網絡設備也能按照用戶數據的優(yōu)先級進行轉發(fā)。AC對于QoS優(yōu)先級的處理：AC收到隧道數據后，首先解封裝，根據內部CoS的優(yōu)先級進行數據調度，保證高優(yōu)先級的數據得到優(yōu)先轉發(fā)。802.3的CoS到WMM QoS之間的映射：AP收到來至有線網絡的802.3報文后，AP將其中802.3的CoS字段轉換為WMM QoS字段的值，對于高優(yōu)先級的數據優(yōu)先發(fā)送。3.5.3 管理報文高優(yōu)先級處理對AP和AC之間的管理報文,即端口號為57776的TCP報文

29、和端口號為57778/57779的UDP報文，設置高優(yōu)先級，可以保證管理報文的高優(yōu)先轉發(fā)。3.5.4 通過client QoS修改用戶的優(yōu)先級AP上的client CoS功能可以根據優(yōu)先級策略直接修改用戶的優(yōu)先級。AP收到802.11數據后，匹配用戶的IP地址，根據用戶的IP匹配對應的策略，根據策略設定的優(yōu)先級改寫原有的優(yōu)先級，保證特定用戶的數據得到特定的優(yōu)先級。配置方式如下： Ø 配置分類表（classmap）：建立一個分類規(guī)則，可以按照ACL、CoS、VLAN ID、IPV4 Precedent、DSCP、IPV6 FL來分類。之后，對于不同類別的數據流采取不同的策略。Ø

30、; 配置策略表（policymap）：對數據流進行分類之后，就可以建立一個策略表，之后就可以將其對應一個先前建立的class-map，進入策略分類表模式，然后就可以對于不同的數據流采取不同的策略，如帶寬限制、優(yōu)先級降低、分配新的DSCP值等等。也可以定義一個集合策略，這個策略可以在同一個策略表內部被多個策略分類表使用。Ø 將QoS應用到AP或者AC：如果需要在AP上啟動QoS，則在AP profile文件中增加配置的策略應用。如果需要在AC上啟動QoS，將策略綁定到AC的端口。3.5.5 基于用戶的限速基于用戶的限速，配置命令通過AC下發(fā)到AP上，用AP來實現每一個終端速度的限制。實

31、現原理是對用戶的數據流量進行精確的統計，按照令牌桶的原理，單位時間內，每個用戶都會分配到指定大小的令牌，用于流量允許通過。如果超過了用戶限制的帶寬，令牌就會用完，該用戶的數據報文將會丟棄。每個用戶都會有令牌桶，因此可以精確到每個用戶的限速。限速粒度為64Kbps。對于每個用戶的上行和下行報文，設計有單獨的令牌桶，可以分別控制和進行速率限制。限速的配置可以從兩個方面進行，如果對于所有用戶限速都相同的話，可以從AC上通過配置AP的client qos模塊中ratelimit參數，統一下發(fā)給AP。如果對每個用戶的限速不同的話，因為用戶數比較多，在AC上進行統一配置明顯不行，需要在Radius上對每個

32、用戶的速率進行單獨設置。在用戶進行統一認證的時候，將會把限速參數動態(tài)的下發(fā)給該用戶所在的AP。3.6 POE供電方案3.6.1 POE供電模塊供電若熱點區(qū)域的無線AP部署數量較少，建議采用獨立的POE供電模塊進行供電，無需單獨部署POE交換機。3.6.2 POE交換機供電若無線熱點區(qū)域的無線AP部署數量較多，為實現設備的集中供電管理，建議采用POE供電交換機進行供電。3.7 網絡設備要求3.7.1 無線AP產品型號無線特性接口類型物理特性WA2000-213W-PE100mW 802.11b/g/n1個10/100/ 1000 Mbps 電口、1個控制口250mm*222mm*58mmWA20

33、00-323W-PE500mW 802.11b/g/n500mW 802.11a/n209mm*125mm*25mm支持標準TCP/IP, IPX, NetBEUI 、IEEE 802.11b (WiFi Compatible), IEEE802.11g (WiFi Compatible) ,IEEE802.3/u 10/100Base-Tx RJ-45, IEEE802.3af (Power Over Ethernet) ,IEEE802.1p (QoS Priority), IEEE802.1q (VLAN) ,IEEE802.1x (Security Authentication) ,I

34、EEE802.11e (Wireless QoS), IEEE802.1d (Spanning Tree Protocol)、11NHT 保護模式、A-MPDU 聚合、A-MSDU 聚合、短 GI、擴展信道保護模式、信道模式20M/40M工作模式AP, Bridge無線特性頻率自動調節(jié)、自動功率調整、Smart WDS、輸出功率調節(jié)QOS負載均衡（流量、用戶數）、帶寬控制、鏈路檢、WMM、VoIP接入數量控制管理特性Web、SSH、CLI、SNMP、管理代理、capwap、TR069診斷功能用戶列表、臨近AP掃描、IP ping 測試、統計鏈路完整性支持路由支持安全特性Radio開關、WEP加

35、密（64 / 128 ）、TKIP、WAPI、802.1x、MAC控制、station隔離、防XDos攻擊、WPA(2)-PSK、WPA(2)、小包過濾、廣播風暴控制電源POE、220V環(huán)境特性工作溫度0+50工作濕度 5 to 95% RH儲存溫度 -10 +60存儲濕度5 to 95% RH3.7.2 AC控制器型 號WNC6000-1000-AC硬件接口12個10/100/1000M電口、8個千兆SFP接口（需配SFP千兆光模塊），2個萬兆SFP+(需配SFP+萬兆光模塊)。管理AP數1024轉發(fā)能力80G軟件特性支持協議TCP/IP、IPX、NetBEUI、IEEE802.3/u 10

36、/100Base-Tx RJ-45, IEEE 802.3z 1000BaseX 、802.1d、802.1p、802.1q、802.1x、802.11、802.11b、802.11a、802.11g、802.11h、802.11i、802.11e、802.11n、CAPWAP、DHCP Server、DHCP Client、DHCP Relay、DNS Cient、NTP（Server and Client）、VRRP等IP路由RIPv1/v2、OSPF、BGP、Static Routing、RIPng、OSPFv3等組播IGMP v1/v2/v3、PIM-SM、PIM-DM、PIM-SSM

37、IPv6TCPv6、UDPv6、ICMPv6、Pingv6、TraceRTv6、Telnetv6、DNSv6、IPv6 ND、IPv6 PMTU、IPv6 ACL、IPv6靜態(tài)路由MPLS支持LDP、支持mpls轉發(fā)、MPLS ping、MPLS tracerouteAP發(fā)現AC的方式靜態(tài)IP發(fā)現、DHCP發(fā)現、DNS發(fā)現等漫游支持AC內漫游、支持跨AC間漫游、支持二/三層漫游射頻管理Radio開關、無線模式選擇(802.11a/b/g/n)、手動或自動信道選擇、手動或自動功率調整、自動速率選擇、支持WMM、強制STA漫游、支持Multi BSSID安全特性WEP(WEP64/WEP128/W

38、EP152)、WPA-PSK、WPA2-PSK、WPA、WPA2、WAPI、802.1X認證、Web認證（支持內置Portal）、PPPoE認證、防DoS攻擊、ACL控制（支持基于MAC地址和IP地址的接入控制）、STATION二層隔離備份功能1+1、N+1、N+N設備管理Web、SNMP（v1/v2c/v3）、Telnet、SSH、SHELL物理指標電源AC 220V； RPS -48V尺寸440mm*254mm*66.6mm環(huán)境參數工作濕度（非凝露）5%90 %儲存溫度-4060儲存濕度（非凝露）5%90% 3.7.3 AAS服務器硬件規(guī)格處理器Intel /AMD 雙核3G內存

39、4G硬盤500G固定接口2個1000M接口長×寬×高尺寸660 x 430 x 88 (mm)輸入電壓600w電源雙電源互備軟件規(guī)格功能點子功能功能描述接入認證Non-EAP認證PAP認證CHAP認證EAP認證EAP-MD5認證EAP-PEAP + MSCHAP V2 認證EAP-TLS 認證AD代理認證PAP認證PEAP + MSCHAPv2 認證PEAP + GTCTTLS + PAPLDAP代理認證PAP認證PEAP + GTCTTLS + PAPRadius代理認證PEAP + GTC -> PAPTTLS + PAP -> PAPRadius中繼認證P

40、AP 認證CHAP 認證EAP-MD5 認證EAP-PEAP + MSCHAP V2 認證EAP-TLS 認證擴展認證MAC接入認證支持基于不同SSID的MAC地址黑白名單功能認證綁定用戶與wlan ssid綁定用戶與接入設備（AP、交換機）MAC地址綁定用戶名與證書名綁定用戶與終端MAC綁定用戶自動綁定前2次登錄的MAC地址認證控制錯誤登錄次數控制重復登錄次數控制接入授權終端授權支持IP地址下發(fā)授權支持一個用戶綁定多個IP地址支持ACL指令、VLAN配置下發(fā)支持QoS和優(yōu)先級授權設備操作授權支持enable 15級授權，支持$enable$賬號進行認證和授權，針對不同的用戶可以綁定$enab

41、le$進行認證（不同用戶該密碼不同）；授權支持0-15級授權支持command授權，能夠支持對管理設備的command 命名進行授權授權策略支持根據分組設置授權策略，能夠支持分組方式制定AAA授權策略。如802.1x接入時間控制(時間規(guī)則保持當前AAS以實現的規(guī)則方式，基于有效期和周期日方式的策略，并且這兩種策略可以疊加使用)、ip段的分配、對交換機的ACL和vlan配置下發(fā)。以上策略可以在單獨的用戶上配置支持代理認證用戶授權，設置代理認證用戶的授權規(guī)則，讓不同的代理認證用戶在認證后擁有對應的權限，例如：ACL、VLAN等，需要考慮授權策略優(yōu)先支持基于時間授權，支持基于有效期和周期日方式的策略

42、，并且這兩種策略可以疊加使用用戶管理用戶組管理用戶組的IP地址段范圍設置、時間段有效規(guī)則配置用戶配置用戶數據過濾、用戶賬號、PAP密碼、CHAP密碼、分配IP地址、終端屬性綁定、用戶時間段有效規(guī)則等參數管理用戶安全帳號用戶密碼策略控制用戶監(jiān)控在線用戶的監(jiān)控與管理用戶統計管理統計有效用戶、無效用戶信息，支持Excel報表導出支持根據時間查詢出即將過期的用戶，并可以多選后批量重新設置有效期和密碼支持根據時間段統計用戶“活躍度”（登錄次數），并根據“活躍度“進行排序AD用戶同步從AD服務器同步用戶帳號用戶密碼修改提供web頁面，供用戶自助修改密碼證書管理生成證書生成服務器認證證書安裝證書安裝服務器證

43、書日志管理用戶登錄日志管理用戶登錄訪問日志管理管理員操作日志管理管理員操作日志管理主備服務器日志同步主備服務器日志同步數據管理數據導出數據備份導出備份數據數據導入導入數據文件數據同步主備服務器數據同步批量用戶導入導入批量用戶數據雙機備份支持雙機備份支持雙機備份，保證系統可靠性支持定時從主機同步用戶信息到備機，定時時間可配置;支持備機log可以實時同步到主機3.7.4 Portal服務器功能點子功能功能描述Portal接入用戶身份認證Portal可接受用戶認證請求，通過Portal協議與設備交互，完成認證過程，并通知用戶認證結果用戶主動下線用戶點擊web按鈕，可實現主動下線，退出網絡訪問支持穿越

44、NAT接入認證支持接入設備（例如：AC）在NAT后面的場景，實現NAT穿越支持動態(tài)驗證碼驗證登錄時支持動態(tài)隨機驗證碼，防止惡意密碼猜測支持通過短信獲取動態(tài)密碼用戶在Portal登錄頁面輸入自己的身份標識信息（身份證號或者銀行卡號）、手機號后，Portal網關將身份信息送到后臺服務器進行保存，然后通過短信方式下發(fā)密碼給來賓用戶手機，來賓用戶將該密碼填寫在Portal界面后就可以訪問無線網絡資源。終端無感知認證支持用戶在第一次登錄輸入用戶名、密碼登錄成功后，在后續(xù)登錄過程中，可直接進行登錄網絡，無需輸入用戶名和密碼頁面定制推送頁面定制支持Portal認證成功后，由Portal服務器推送定制頁面給終

45、端，定制內容包括快速鏈接、廣告背景頁面等Portal服務器客戶定制用戶可在Portal服務器定制登錄頁面Title、圖片，登陸后頁面左邊欄鏈接和主界面背景圖片；用戶管理查看所有在線用戶信息支持查看當前所有在線用戶信息，包括用戶名、登錄時間、使用時長；查看當前用戶信息支持用戶查看自己當前登錄時長、登錄時間信息可強制下線指定用戶管理員可強制下線指定用戶雙機備份支持雙機備份支持雙Portal服務器備份，當一個Portal服務器停機后，另外一臺Portal服務器可以在3秒內接替其工作3.7.5 NetManager網管軟件特性網絡發(fā)現基于IP范圍的發(fā)現根據IP地址范圍發(fā)現網絡手動添加設備手動添加單個設備基于AC發(fā)現無線網絡基于AC發(fā)現由AC控制的無線網絡基于種子文件的發(fā)現根據種子文件發(fā)現設備自動發(fā)現自動發(fā)現邁普無線設備拓撲管理拓撲圖支持分級背景地圖支持定制背景地圖支持拖拉移動、縮放、打印功能全屏拓撲顯示支持網絡拓撲分層分級導航和管理支持廣域網鏈路拓撲發(fā)現拓撲自動更新拓