华为WS60364无线覆盖方案.docx

华为WS60364无线覆盖方案.docx

《华为WS60364无线覆盖方案.docx》由会员分享，可在线阅读，更多相关《华为WS60364无线覆盖方案.docx（23页珍藏版）》请在冰豆网上搜索。

华为WS60364无线覆盖方案

华为WS6603-无线方案

1全方位管理的解决方案

具有统一无线网络设备管理、统一无线网用户认/管理和统一安全应用策略的企业级WLAN解决方案。

华为系列无线控制器采用了目前最先进的并行多核多业务处理器及高速ASIC作为业务和数据处理平台，并基于业界领先的网管分布式WLAN交换架构进行开发。

具有强大灵活的无线用户及FitAP管理特性，最高规格的单台无线控制器可达1280个FITAP和32K无线用户管理能力，无线控制器都可提供全网802.11n部署和IPv6的支持，可满足不同规模校园网络无线网络部署的需求。

业界领先的一体化融合设计理念进行开发，具备全特性的有线和无线协议的业务支持。

华为系列无线控制器可提供全面的以太网高速处理能力，还可提供丰富的无线网络接入和管理特性,无线射频管理和优化、网络故障定位与排查、网络性能监测与优化、网络安全策略和管理在内的全方位网络管理解决方案。

2运营商级设备的性能设计

第一代无线控制器引擎设计为单颗通用CPU,有CPU来完成控制,转发和业务处理;整体业务性能很低;

第二代无线控制器引擎设计将硬件ASIC处理业务转发,转发性能较高,而控制和业务处理由CPU来处理,所以复杂业务的处理性能相对偏低;

第三代无线控制器引擎设计引入了网络处理器平台（NP）,认证,MPLS等业务由NP平台来处理,降低了CPU的负载,但NP平台的可扩展性不如CPU,所以不易扩展功能;

华为网管无线控制器的主控引擎采用了目前业界最为先进的第四代专用的多核CPU处理器;专用的ASIC芯片保证了特殊业务的高速处理和报文的并行处理能力,L2-L7层安全策略实现,所有这些加密/安全/DPI/转发等都由CPU的专用核心处理,性能高,功能易扩展,;而控制和其它业务由CPU通用核心负责;可兼容和支持10Gbps高速接口,802.11nWLAN和支持三层漫游（数据/语音/视频）,自动Qos业务流分类等实时业务的高速转发;

3轻松管理和维护

作为一个设计良好的网络，其应该是易于管理和维护，由此把网络管理者从繁重的管理维护工作中解放出来，并提高网络管理者的工作效率。

本次网络设计中所采用的华为无线解决方案及其设备，具有丰富的管理特性，可以极大减轻网络管理者对网络管理和维护的工作量。

包括了图形化的配置界面,AP自动发现和集中配置,集中状态监控和事件告警,集中配置下发和固件升级等等,将无线网络的管理和维护任务难度最小化;

3.1集中式管理

华为无线控制器和AP间采用业界标准的CAPWAP协议进行通讯，并由此实现对AP的集中管理和自动配置。

通过使用该功能，无线控制器可将其所管理AP的软件版本及配置文件自动下载到AP上。

这样，当在网络中增加新的AP、更换坏的AP或给网络中所有的AP软件版本升级时，网络管理者只需在无线控制器上进行统一操作即可轻松完成相应工作。

这将极大的减轻网络维护人员的管理工作量。

通过CAPWAP隧道实现AP零配置

3.2全中文网管软件

NETGAER无线控制器内置图形化中文版的WEB界面网络管理软件，该网管软件界面友好、功能丰富、操作简单，使网络管理者能在最短的时间内掌握无线网络的基本配置和管理。

另外，该网管软件还可以提供众多强大的管理功能，其中包括AP的自动拓扑发现、自动升级、批量配置、分级管理、分级告警等，并可实现针对无线覆盖空间内的射频扫描、非法接入点监听等安全功能。

并对设备提供实时性能数据的查看功能，使用户了解当前网络运行的基本情况和性能状态，从而预防网络事故的发生，预测网络运行状态，有助于用户对网络的管理运营进行合理的规划。

形化WLAN信息监控图

3.3实时射频管理

NETGAER无线控制器还将具有丰富的实时射频管理特性。

届时，可通过射频功率和无线信道自动调整功能有效解决无线网络中存在的射频盲区覆盖问题和无线信道干扰问题。

依赖这些功能，所部署的无线网络将具备更高的抗灾和自愈能力。

另外实时的RF管理还具有自动调协射频干扰功能,以调整到最佳的频道和最小干扰的连接环境;实时的RF管理运用其网管的RF的功能并在其控制下，当侦测到如下任何一种非最佳环境状态时，能调整无线电频道和功率的设置,包括:

Ø普通的阻碍或干扰

Ø邻居AP造成的频道信号阻碍

Ø薄弱的无线客户端（低RSSI，重复失败或再试等）

Ø用户/流量负载过大

Ø故障AP备份

射频功率自动调整以覆盖射频盲区（正常情况）

射频功率自动调整以覆盖射频盲区（发生故障）

射频功率自动调整以覆盖射频盲区（调整后）

♦适时监测和有效定位

如果选择使用RF探测器的话,当非法的AP连接到无线网覆盖区域内的其他空闲的以太网端口时，或有非法的无线客户端尝试连接无线网络或恶意攻击无线网络时,我们的无线系统就可把无线覆盖区域周边无线环境在网管中心显示出来，包括所有AP,如隔壁公司的AP和设置错误的AP和未经认可而连接到局域网的AP。

3.4集中转发和本地转发

灵动WIFI无线交换技术是由华为独创的WLAN交换技术，它通过改进传统WLAN交换技术中不合理的数据转发模式并结合先进的软硬件设计理念实现。

在传统的WLAN交换技术中，所有的数据流量都要集中到WLAN交换机或控制器处做统一的数据交换，因此，当网络中业务数据流量很大时，传统WLAN交换机或控制器的压力会急剧增大，并成为无线网络数据交换的瓶颈，极端情况下将使WLAN交换机或控制器无法正常工作，导致整个网络瘫痪。

现在,灵活的认证和业务数据流分离的设计方案和功能实现（见下图）,保证了符合安全策略的数据业务流直接流向校园网和异地校园的本地网络;实现管理数据与用户转发数据分离，控制数据与业务数据转发分离，网络管理数据与网络业务数据分离。

针对不同的用户、不同的数据、不同的业务采取不同的控制策略;将业务的数据流量采用本地转发的方式直接转发,这样大大减小了WLAN交换设备的负荷，避免了WLAN交换设备成为网络中的瓶颈。

另外,将传统的WLAN交换机或控制器的集中安全策略和业务流量转发进行了前置到无线AP侧;最大化的有利于校园网络WLAN业务的优化和实施;

网管WIFI业务流程

事实证明，华为灵动的WIFI的技术理念的核心思想和解决方案，可以保证网络未来业务及规模的扩展。

并且华为WLAN解决方案也为下一代无线网络（802.11n）提供了轻松升级的接口。

这将极大的保护了网络建设者的投资，减小了投资风险。

3.5网络负载均衡

在WLAN网络中一个AP的覆盖范围内，无线连接的带宽是共享，即无线终端数目越多，每个终端所能分享的带宽就越小。

采用NETGAER灵动WIFI　WLAN解决方案的无线网络系统可在一个AP的覆盖范围内把无线用户或终端分散连接到附近的AP上。

由此可以避免某个AP由于用户接入数过多，而产生性能瓶颈，并显著改善网络的性能，提高网络的可靠性。

华为无线控制器可提供基于用户终端和基于流量负载两种机制的网络负载均衡的模式;以提供最为有效的设备性能和网络带宽资源的合理优化;

无线用户负载均衡

3.6无线漫游功能

通过无线控制器AC以及FITAP模式工作，可实现无线漫游功能，确保无线客户端在移动中也能不中断网络服务。

在整个WLAN覆盖区域内，跨房间，跨楼层都能保证用户网络畅通，彻底消除了，在胖AP模式下，由于移动导致掉线后，还需要重新认证的烦恼，为用户无线网络接入提供二层/三层漫游所带来的更大的便利,保证了敏感性业务的连续性;

二/三层漫游特性可归纳为:

无线漫游过程对无线终端而言透明化

无线终端漫游过程中,IP地址和TCP连接保持不变

移动域隧道保证了漫游的快速性,小于50ms

已认证的无线终端无需重新认证

3.7网络安全设计

基于对网络特点的分析和对无线网络建设的经验，华为无线网络解决方案在用户安全、系统安全、数据安全等方面为校园网络提供多种无线接入的安全特性，充分满足校园网络的各种场所环境下的无线数据安全接入的需求。

●用户安全

华为WLAN设备支持目前各种用户认证的方式（802.1X、WEB认证、MAC、SSID、VPN等），网络管理者可以根据需求方便的选择不同认证方式向用户提供安全的无线接入,比如802.1x接入认证、PSK认证、MAC接入认证以及常用的portal认证等，并有效阻止非授权人员访问网络,通过AAA/Radius/LDAP/WindowsAD服务器与无线控制设备的有机结合，为用户提供基于用户角色的策略控制，这其中包括对用户的QOS特性、应用访问权限及无线漫游特性等参数的管理和控制。

另外，无线接入点（AP）上还提供无线用户数据隔离功能，防止恶意用户通过无线网络访问其它用户的电脑。

●系统安全

华为WLAN设备提供对非法及恶意AP接入的检测和隔离、针对无线网络的DOS攻击防护、对无线终端的异常流量进行检测及报警等功能。

完善的WIDS功能，帮助网络管理者及时发现并响应网络中存在的RogueAP,私接AP和ADHoc主机等不安全因素，并可有效防护发生在无线网络中的DOS攻击。

同时具备异常流量检测和告警的功能.由此提供更完善、更安全的WLAN网络应用环境。

并具有日志记录,分析,自动备份等功能

●数据安全

华为WLAN设备完全符合802.11i强健无线安全的要求，并提供包括WEP、WPA、WPA2、WAPI在内的全面安全特性，满足不同用户的安全需求。

●业务安全

华为WLAN设备提供了强有力的基于应用层的完全控管,可基于应用类别,用户权限,带宽大小,时间段等执行控制策略;对时下流行的应用软件做严格的控管,比如P2P下载软件（PPlive,eMule,BT等）,IM即时通信软件（QQ,MSN等）,VoIP,Skype在线通讯,流媒体业务,网络游戏等;保护和满足不同业务控管的用户的安全需要;

3.8Multi-SSID和802.1QVLAN

在一个AP范围内，不管用户连接到那一个SSID，它们实际上都是在同一个802.11广播域内，因为无线电波的传输是共享。

所以当无线终端在这个AP覆盖范围内启动时，它就能同时看到多个SSID。

Multi-SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网

在无线局域网上可使用多个SSID（16个），可在系列华为控制器上为用户连接的SSID分配到各自使用的缺省VLAN，而无线用户则可透过DHCP来获取相应的IP地址。

另外,通过系列无线控制器的Multi-SSID功能,可提供不同域的认证功能，域名可以与SSID绑定，亦可以让用户在登陆网页时输入或选择域名,控制器会把在不同域的认证请求转发到对应域的AAA/Radius服务器处理。

3.9网管业务流转发和QoS保障

802.11是一种共享频宽的技术，因此会随着使用者数及网络流量的增加而造成频宽分配不对等问题。

华为无线控制器让网络管理员可以依照每个帐号或VLAN进行频宽上限以及进出流量，藉此解决了这个问题。

例如，访客可以分配1Mbps的频宽上限，而老师则是2Mbps,每路语音传输32Kbps。

此外，增强的QoS功能让网管人员对流量优先性有完整的控制权，同时还有以帐号、协议，IP,MAC,VLAN或服务为基础的DiffServMarking（服务区别标记）业界标准。

根据不同类型的业务自动区分和优先转发到相对应的业务VLAN内;这样就可以有保障的保证适时性高的业务系统的转发;

3.10远程节点AP的安全连接

RemoteAP,华为WLAN设备为一些基于互联网的远程节点或用户,提供了适合于众多远程移动办公,分支部门跨互联网络的集中安全认证,访问本地/总部校园局域网络的”移动WLAN”的解决方案;

无线控制器与AP之间的管理通道是基于VPN的安全加密,对远程的RemoteAP或VLAN网管/客户端软件进行端结,实施统一的认证策略和安全,集中的AP和用户管理;保证了总部以太网络的资源访问的安全性和整体性;

3.11容易扩展和适时冗余

随着WLAN网络规模的不断扩大，我们可以根据需要增加设备，为网络的扩展提供了基础，保护现有的投资。

华为系列无线控制器支持N+1模式的VRRP冗余适时备份功能;WNAC950-FIT支持7+1的VRRP备份;WNAC7324/WS6603-支持15+1的VRRP备份;既当一组中的某一台无线控制器损坏/故障时,在其下连接的所有AP将无缝的切换到备份的无线控制器中;被切换的无线控制器下连接的所有客户端将无中断的继续工作和访问;

华为网管无线控制器连接的FAT/FITAP,具有和其他厂商特色THINAP不同的是,处于VRRP状态下连接的无线AP,均同时支持两路管理隧道的上连,一路连接主控无线控制器,另一路连接备份无线控制器;这样当主/备无线控制器切换时,客户端的连接不受任何影响;

3.12IPv6支持

随着IPv6在全球越来越受重视，中国作为全球最需要IP地址的国家之一，积极参与IPv6标准制订以及推进IPv6产业化和商业化进程。

在中国的IPv6产业化进程中,CNGI是一个重要项目。

CNGI计划由中国政府牵头，包括8个部委：

发改委，信产部，科技部，教育部等。

2003年8月获得国家批复。

中国5大电信运营商和学术科研网CERNET2将构筑6个全国性的IPv6骨干网络（覆盖全国39个重要节点）和至少2个交换中心（IX）以实现各IPv6骨干网络的互连互通。

它的全部投资来自政府和电信供应商，到2005年，预算总额将达14亿元。

到2005年,CNGI网络规模将达到39GigaPOPs,300接入网,覆盖全国.

推荐:

作为核心层的华为无线控制器,是具有业界领先的IPv6平台的支持，提供基于硬件的IPv6服务和设备管理能力。

可满足校园网IPv6主干网络业务需要和结构的完整性;

网管无线控制器WS6603-

WS6603-是一款万兆级无线控制器，提供2个万兆接口扩展能力及12个固定千兆以太口和4个COMBO接口。

基于业界领先的网管分布式WLAN交换架构研制开发的WNAC7512无线控制器具有强大灵活的无线用户接入及FitAP管理能力。

整机提供256台FitAP及8192个无线用户的管理能力。

并提供无缝漫游、用户安全接入、WIDS、基于用户角色的自动策略控制、无线信道动态控制、射频功率自动调整、无线用户自动负载分担等多种应用及控制手段。

高效灵活的产品设计

WS6603-无线控制器提供10M到10G的多种速率端口支持，并提供RJ45、COMBO

等多种类型端口支持，极大适应各种现有网络的接入环境。

WNAC7512根据用户网络需求可采取串接或旁挂方式部署，最大限度减少无线网络部署对用户原有网络环境的改动，从而有效减少无线网络部署的时间和成本。

易于部署和管理

基于先进的集中网管管控技术设计理念，WS6603-可对其管控的FITAP（即使AP位于远程分支机构，并通过Internet相连）提供自动软件升级、自动配置下发和基于中心的管理特性。

这极大减少了设备部署及维护的成本和难度，并向用户提供即插即用的WLAN解决方案。

另外，WS6603-内置极具人性化的中英文WEB配置界面,帮助网络管理员以最高的效率完成设备的配置和维护工作。

硬件支持802.11n演进

基于业界领先的网管分布式WLAN交换特性，WS6603-可灵活决策无线用户数据的本地转发或集中转发，为网络中的WLAN数据提供基于硬件级别的优化转发流程，并可有效避免由完全集中式WLAN交换架构所带来的控制器性能瓶颈问题。

从而为全802.11n网络部署提供了最切实可行的解决方案。

强大的RF部署工具

强大的RF部署工具将为用户提供最具时间效益的可视化无线网络部署和规划手段。

通过向RF部署工具导入需要实施WLAN部署的建筑物各楼层平面图及其面积、预期的覆盖效果、阻碍物的材质等参数，RF部署工具将综合考虑整个覆盖区域内三维空间的射频特性，自动输出各楼层AP的最佳部署位置及预测的覆盖效果。

这将为WLAN网络的实际部署提供有力的参考，极大减少网络设计者现场工勘的时间和成本。

全面的端到端安全

WS6603-具备强大的安全特性，在无线用户接入方面可提供基于MAC、802.1X、Portal等多种接入认证方式及严格的用户准入控制策略；在数据加密方面可提供基于

802.11i的强健安全特性；在应用安全方面可提供基于用户角色的应用权限控制。

内置的WIDS可查觉并抑制用户网络环境中存在的RogueAp及ADHoc主机等潜在威胁。

基于WNAC7512强大安全特性的保护，无线用户可随时获得良好的无线安全应用体验。

随时随地的漫游

依托于华为特设计的无线漫游域技术及专门为无线漫游应用而优化的数据处理机制，即使在跨无线控制器和跨网段环境下，WS6603-仍可为无线漫游用户提供无缝的L2/L3漫游体验。

其漫游切换时间大大小于50ms，完全满足无线语音通讯及移动视频监控等时延敏感型应用的严格需求。

规格特性

物理规格

尺寸：

440mm×300mm×43.8mm

–重量：

5kg

–存储温度：

-25～70°C

–工作湿度：

10-90％无凝结

–工作温度：

0～40°C

电气特性

–工作电压：

100-240VAC（±10%）

–工作电流：

50Hz/60Hz（±3Hz）

–整机功耗：

55W

性能和容量

–集中控制AP数：

64个

–RemoteAP数量：

4096个

–无线用户数：

8192

–整机吞吐量：

64Gbps

–3DES加密性能：

2Gbps

–AES-CCM加密性能：

2Gbps

–二三层漫游切换时间：

<50ms

–802.11数据性能：

2Gbps

–主机IP表:

1K

–三层接口数：

4K

–静态路由：

1K

–RIP路由：

2K

–OSPF路由：

10K

–组播组：

128

认证和安全

-802.11i安全（WPA、WPA2）

–802.1x、MAC地址认证

–支持EAP-PEAP、EAP-TLS、EAP-TTLS

-同时支持内置Portal和外置Portal认证方式

–支持Radius认证、本地认证

–广播风暴抑制

–支持RadiusServer切换与备份

–支持计费与认证分离

–端口安全与隔离

–用户黑白名单

–IPSourceGuard

–基于状态防火墙

–无线用户二层隔离（单播和广播）

–深度包检测

–P2P、IM阻断；业务识别

–WirelessIDS

–ARP攻击/欺骗防护

–CPU攻击防护

–DOS攻击防护

用户行为控制:

-支持802.11e-WMM

–支持WMM省电模式

–支持WMM与802.1P/DSCP/TOS映射

–二三层快速切换漫游

–L2至L4报文的五元组ACL

–基于SSID的流分类与流策略

–基于角色/用户的流分类与权限控制

–语音准入控制

–支持WRR、SP、WRR+SP队列调度

–1K粒度的限速

–基于端口和基于流量的流量镜像

–基于802.11p、DSCP对报文进行着色、映射及remark）

无线集中控制

–基于CAPWAP协议的集中式管理

–基于SSID的网管转发模式选择

–接入点本地转发模式

–CAPWAP隧道转发模式

–GRE隧道转发模式

–SSID与VLAN绑定

–支持SuperG模式（108M）

–AP接入用户数限制

–基于MAC/IP用户限制

–SSID隐藏

–多SSID支持

–AP广播自动发现AC

–AP通过DNS发现AC

–AP通过DHCPoption43发现AC

–AP自动配置下载

–集中控制AP自动升级

网管射频控制;

-自动信道选择

–自动功率调整

–非法AP检测与干扰

–AD-HOC网络检测

–网管RF自愈合

–WiFi终端定位

–信道冲突检测与调整

–基于用户的负载均衡

–基于流量的负载均衡

–支持客户端省电模式

网络与高级应用

–L2/L3有线数据线速转发

–802.1qVLAN/PVLAN

–链路聚合

–802.1d/802.1w/802.1s

（STP/RSTP/MSTP）

–IGMPSnooping

–VRRPBasedN+1控制器冗余备份

–RIP/OSPF/静态路由

–策略路由/路由策略

–PPPoE/IPSEC/SSL透传

–支持SNAT、DNAT、NAPT

–内置DHCPSnooping

–内置DHCPServer

–内置DHCPRelay

–内置PortalServer/Proxy

管理与维护;

-可视化AP热点部署工具

–AP集中配置与自动升级

–详尽station统计信息

–基于用户角色的分级分权管理

–基于HTTP/HTTPS的WEB管理

–基于SSH/Telnet/Console的命令行管理

–支持SNMPv2和v3的远程管理

–标准MIBs和私有MIBs

–详细的Syslog日志文件

–支持NTPServer、Client

–License管理

–设备告警与邮件通知

电磁兼容及安全

–EMI特性：

符合EN55022ClassA、ETSIEN300386、CISPR22ClassA、GB9254ClassA、IEC61000-3-2、IEC61000-3-3FCCClassA、VCCIClassA

–EMS特性：

符合EN55024、

ETSIEN300386、CISPR24、GB/T17626、GB/T17618、IEC61000-4

–安全特性：

符合EN60950、UL60950、CAN/CSA-C22.2NO.60950、GB4943、IEC60950、AS/NZS60950

设备采购和规格描述

采购型号

模块描述

WS6603-64

WS6603-64-网管无线控制器-支持DPI特性内置管理64个APLicense

打包许可证

可选64规格的AP许可证

产品规格

PorSafe™802.11N 无线接入点 WA601 的主要技术规范如下表：

产品名

ProSafe™ 802.11不/g 无线接入点

订货号

WA601

工作模式

FIT模式：

●可以搭配WS6603网管无线控制器（功能参数见WC7520网管无线控制器）

FAT模式：

●可以独立使用：

功能特性详见上表

设备管理

命令行接口 Telnet 远程配置和管理

SNMP 管理，支持私有 MIBI、MIBII、802.11MIB 和私有配置 MIB

技术规范

标准

IEEE802.11g，IEEE802.11b，2.4GHz

WMM－Wi-Fi多媒体优先权

无线分布系统（WDS）

IEEE802.3af 以太网供电（PoE）

无线安全

Wi-Fi 保护访问协议（WPA、WPA2）

无线等效加密（WEP）64位、128位、152位加密

EAPTLS、TTLS、PEAP 方式下的 IEEE802.1xRADIUS 认证

MAC 地址认证

支持 VPN 穿透

安全 SSHTelnet

安全套接字层（SSL）远程管理登陆

非法 AP 检测

高级无线特性

点对点无线桥接模式（Point-to-PointBridge）

点对多点无线桥接模式（Point-to-MultipointBridge）

中继模式（Repeater）

华为无线client模式

无线分布系统（WDS）

可调整的输出功率控制（T