无线AP网络系统技术方案.docx

1、无线AP网络系统技术方案技术方案第1章.无线AP网络系统1.1.系统概述为了确保建设一套完全符合用户需求并具有良好拓展性的优秀网络系统，以保护网络拥有者的投资，在本网络设计上严格按照以下无线网络设计原则进行设计：实用性原则：以现行需求为基础，充分考虑发展的需要来确定系统规模。安全性原则：商场内无线为开放网络，无线网络可以随时随地接入，如果商场内员工和顾客使用内部无线网络时，必须有相应的加密和认证机制，才能保证网络的安全性。同时为了满足公安部82号令的要求，商场需要一套可以进行顾客身份认证及上网行为审计和管理的系统。可靠性原则：系统设计能有效的避免单点失败，在设备的选择和关键设备的互联时，应提供

2、充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。规范性原则：系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和联通WLAN企业标准，为系统的扩展升级、与其他系统的互联提供良好的基础。开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和地区的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，

3、便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。1.2.系统设计范围无线网络覆盖项目是要保证商场内公共区域的员工和顾客能够使用移动终端（手机、平板电脑等）经过简单快捷的认证之后，随时随地的接入网络，该无线网络必须具有一定的安全性、可管理性和可扩展性。本次无线建设包括以下几点需求：首层大堂及电梯厅采用壁挂式AP覆盖，共计4个无线AP信息点。2层及3层公共走道区域采用吸顶式无线AP信息点，共计10个无线AP信息点。人密度在20-30人左右, 无线AP信息点布置按照平均20米左右一个；无线网络：主要在1层三层公共走道区域、电梯厅、大堂设置无线

4、网络AP点。共计14个无线网络AP点。大堂4台为壁挂AP点，因楼层比较高，选择壁挂安装。其余为吸顶安装。大堂前台设置3个网络信息点，供接待人员使用，在预留三根JDG20管。1.3.系统架构无线网络系统设计采用骨干万兆、桌面100/1000M自适应接入的二层结构网络体系。核心与接入交换机之间采用冗余链路的方式，核心交换机和存储交换机通过万兆单模光纤连接。核心交换机采用双核心交换机，同时保证提供足够数量的千兆端口用于连接骨干网（主交换机与楼层交换机之间的链路）和连接各类服务器。1.4.系统功能1.无线覆盖本次无线建设重点为商业公共走道部分无线覆盖，包含商业店铺公共过道、首层大堂、首层电梯厅区域，从

5、AP的部署方式全面采用场景化覆盖方式，针对不同的场景采用不同的解决方案，采用不同的部署方式，让每位顾客在有WIFI地点都可以享受无线网络，不受写字楼格局等影响。所有场景均已进行现场详细勘测，以确保方案的准确性。2.无线供电为方便统一管理，提高设备的安全性，本次无线供电设计建议采用POE供电的方式对无线AP进行远程供电。采用POE方式即通过网线对AP进行供电，POE供电方式具备以下几点优势：首先，安全性更高，通过网线进行供电可以避免本地电源的使用，有效减少强电部署，提高大楼的用电安全。3.无线网络管理作为接入层网络，公共区域的无线网络需要较多的AP，维护工作量较大，加之无线网络的灵活性和不可见性

6、，如果对每个AP进行单独管理则会造成较高的维护开销，也给管理人员带来了一定的难度。而且无线网络直接面对最终用户，对管理系统稳定性、实时性、有效性要求都较高。4.短信认证无线网络项目对安全有着严格的要求，必须能够对外来人员进行身份认证，一方面对网络安全有一定程度的保护，另一方面，保证网络的正常使用，提高网络的使用效率和用户的使用体验。根据本项目的特点，本次方案建议采用短信认证的方案，客户通过短信自助获取登录密码，登录账号即用户手机号。这种认证方式可以在减少网管人员工作量的同时，对无线接入用户进行登录信息记录，便于以后审查。针对写字楼客户流动性较大，顾客众多且不固定的特点，无线访客接入管理组件（E

7、IA）单台服务器最大可以支持到1万人规模，顾客通过手机接入之后，后台服务器会快速为新顾客开户，发送登陆密码到顾客手机，访客身份验证成功后，根据访客策略通过ACL、VLAN控制访问范围，访客可以手动注销或者超时自动注销；服务器也会定期自动删除失效访客账号，保障后续客户的顺利接入。如果检测到接入用户手机长期处于“无流量”状态，EIA服务器可以将此用户作下线处理，用户再次接入的时候，无需再次输入手机号和密码，可以“快速无感知”接入继续上网。1.5.主要设备技术要求1.防火墙序号功能及技术指标参数要求1 硬件架构采用非X86 64位多核高性能处理器和高速存储器主控模块内存16G2U以下盒式设备4 基本

8、要求千兆光口4个，千兆电口8个整机最大可扩展接口数量4SPF+8GE；扩展槽位2个，可扩展4GE Bypass功能接口；7 产品性能最大并发连接数220万IPSec VPN并发连接数1000每秒新建连接数150K整机吞吐量10Gbps整机DPI深度防御吞吐量6G3DES加密6GAES256加密6G14 可靠性要求支持VRRP的链路备份支持双机集群式高可靠性技术，融合后可同一管理配置，对外单一节点，单IP并实现主备/主主方式转发支持IPSec VPN的IKE状态同步17 基本功能支持安全区域管理，可基于接口、VLAN划分安全区域支持基于CPU、内存等硬件划分资源的完全虚拟化技术,可分配吞吐量、新

9、建、并发，虚拟防火墙可独立重启、配置独立导出，虚拟防火墙数量64个基于病毒特征进行检测支持病毒库手动和自动升级报文流处理模式支持HTTP、FTP、SMTP、POP3协议支持的病毒类型：Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等支持病毒日志和报表支持应用层防护：应用流控支持链路负载均衡功能、服务器负载均衡功能支持静态路由、RIP v1/2、OSPF、ISIS、BGP、策略路由等支持防火墙NAT日志支持域间策略匹配日志支持攻击防范黑名单日志支持NAT444用户端口块溯源日志支持IPV6防火墙及防攻击日志IPV6 NAT64端口

10、块溯源及会话日志日志格式支持SYSLOG及二进制日志开启对设备新建性能影响小于10%支持一对一、地址池等NAT方式支持NAT444、Fullcone NAT、NAT hairpin、两次NAT、双向NAT必须支持多种应用协议，如FTP、H323、RAS、HWCC、SIP、ICMP、DNS、PPTP、NBT的NAT ALG功能支持一个公网IP地址NAT无限连接支持策略NAT ALG功能支持NAT二进制日志37 智能管理支持同一管理软件，可实现全网拓扑管理风险地图显示攻击溯源功能支持RBAC技术：基于功能、web菜单、命令界别的基于用户角色的授权41 部署模式支持路由模式、透明模式和混杂模式42

11、电源实配内置固化双交流电源43 配套管理支持SNMPv1、SNMPv2C、SNMPv3， 支持CONSOLE、TELNET、SSH V1.5管理方式支持NTP时间同步支持TR069协议，BIMS管理支持NETCONF接口10.资质证明具有中华人民共和国公安部的计算机信息系统安全专用产品销售许可证，能提供有效证书的复印件。提供中国国家信息安全漏洞共享平台技术组成员证书2.核心交换机序号功能及技术指标参数要求1整机架构性能双主控；业务插槽数6；交换容量19Tbps，包转发能力2800Mbps；2接口要求以太网支持千兆电口，千兆光口，10GE端口单槽位千兆端口密度24单槽位万兆端口密度24单槽位能够

12、同时提供千兆光口、千兆电口、万兆光口，且实际可用端口总数48，提高槽位利用率和业务可靠性支持POE+，满足新一代园区网以太网供电需求7QOS每端口支持8个优先级队列，3个丢弃优先级，支持SP、WRR、SP+WRR三种队列调度算法支持精细化的流量监管，粒度可达8K支持流量整形Shapping支持WRED拥塞避免支持802.1p、TOS、DSCP、EXP优先级映射12可靠性双引擎快速倒换，主备切换时候板内转发无丢包支持NSF/GR for OSFP/BGP/IS-IS支持热补丁功能，可在线进行补丁升级支持BFD，BFD for VRRP/BGP/IS-IS/OSPF/RSVP/LDP/RIP/静态

13、路由。BFD收敛时间50ms支持IP FRR，满足网络收敛50ms17虚拟化多虚一技术(N:1)，可以将4台物理设备逻辑上虚拟成一台一虚多技术（1:N），可以将一台物理设备逻辑上虚拟成多台虚拟设备支持多虚一技术和一虚多技术的配合使用支持远程端口扩展，作为控制设备实现对端口扩展模块的集中控制21数据中心特性支持FCoE功能；支持FCF模式转发，VSAN的创建及配置，支持FC地址的分配及WWN地址和FC地址的绑定等功能；支持OPENFLOW 1.3支持普通模式和Openflow 模式切换支持多控制器（EQUAL模式、主备模式）支持多表流水线支持Group table支持Meter支持主流的MAC

14、in IP技术，如EVI/EVN/OTV等，实现跨三层网络的二层互联支持VxLAN 网关25有线无线一体化支持融合AC功能，无需额外配置单独硬件，并且能在交换机上对所有上线的AP进行管理与配置CK26安全特性支持DHCP Snooping支持ARP防攻击支持广播风暴抑制支持端口隔离支持IP+MAC+VLAN+PORT的绑定支持报文过滤功能，黑洞路由、黑洞MAC支持IEEE 802.1ae介质访问控制安全技术33管理特性支持Console/AUX/Telnet/SSH2.0支持风扇管理支持电源管理支持在线诊断支持SNMPv1/v2/v3支持端口镜像、VLAN镜像、RSPAN、流镜像支持内置智能图

15、形化管理功能，能够实现通过图形化界面设置配置及命令一键下发和版本智能升级40资质证书提供工信部入网许可证产品生产厂商需通过ISO9001质量管理体系认证认证，提供证书复印件产品生产厂商需通过国际软件研发成熟度CMMI L5级认证认证，提供证书复印件43实际配置16端口万兆以太网光接口(SFP+,LC)+24端口千兆以太网电接口模块3.24口POE交换机序号功能及技术指标详细技术参数1整机性能交换容量330Gbps，包转发率90Mpps2接口类型10/100/1000Base-T自适应以太网端口24个，万兆SFP+口4个，支持PoE+供电，PoE供电总功率370W3VLAN特性支持基于端口的VL

16、AN，支持基于协议的VLAN；支持基于MAC的VLAN；最大VLAN数40944链路聚合支持最多8个端口聚合；支持LACP5堆叠支持通过标准以太端口进行堆叠，最大堆叠台数9台；堆叠链路冗余保护能够快速收敛，收敛时间50ms6镜像功能支持本地端口镜像和远程端口镜像；支持流镜像；支持N：M的端口镜像（M1）7组播协议支持IGMP Snooping支持MLD Snooping支持组播VLAN8路由协议支持IPv4静态路由、RIP V1/V2、OSPF，支持IPv6静态路由、RIPng9可靠性支持RRPP（快速环网保护协议），环网故障恢复时间不超过50ms支持Smartlink，收敛时间50ms支持R

17、STP功能：收敛时间50ms支持MSTP功能：收敛时间50ms支持PVST功能：收敛时间50ms支持ERPS功能，能够快速阻断环路，链路收敛时间50ms15安全控制支持802.1x认证支持MAC地址认证支持Portal认证支持端口同时开启802.1x，MAC地址认证及Portal认证支持CPU保护功能，能限制非法报文对CPU的攻击，保护交换机在各种环境下稳定工作20管理和维护支持SNMP V1/V2/V3、RMON支持命令行接口（CLI），Telnet，Console口支持OAM(802.1AG， 802.3AH)以太网运行、维护和管理标准23绿色节能符合IEEE 802.3az（EEE）节能

18、标准支持端口定时down功能（Schedule job）支持端口休眠，关闭没有应用的端口，节省能源提供中国节能产品认证证书27资质认证提供工信部进网许可证28兼容性为了保证网络系统稳定可靠，与核心交换机同一品牌4.无线控制器序号功能及技术指标详细技术参数1设备架构千兆电口8 个，千兆光口2个支持可插拔电源，1+1冗余备份，支持交流或直流3整机性能最大管理AP数2564虚拟化功能能够将多台物理无线控制器设备虚拟化成一台。多台物理设备虚拟化之后对外呈现一台虚拟控制器，提供同一的管理界面及IP地址，并自动同步配置接入虚拟化控制器的AP能够以负载均衡的方式，接入多台物理控制器设备6license池化功

19、能：虚拟化设备的license为多台物理设备的累加，接入AP能力和转发能力也能够相应累加多台物理控制器虚拟化之后，当物理控制出现故障时，其负载的AP能够自动迁移到其他控制器上并保持不掉线；能够实现备份功能，且该功能无需license8分层AC架构支持集中控制分级管理的分层AC构架，由一个总的核心层管理AC下挂多个本地接入层AC。支持分层架构核心层AC统一管理功能：核心层AC可以同一管理下属的所有接入层AC和AP，配置能够自动同步，并且在核心层AC上能够查看整个无线网络的信息支持分层架构license统一管理功能：license仅受控于核心层AC的license数量，而接入层AC无需licens

20、e支持分层架构核心层AC nas-ip同一和自由选择认证点功能：能够设置在核心层AC认证或接入层AC认证，如果在核心层AC上认证，则设置nas-ip地址为核心层AC地址，用户就可以正确上行12无线定位支持无线定位功能，定位精度能够达到2米以内参与定位的AP支持跨信道部署无需事先进行工程采样支持显示出终端热图及终端统计16带宽控制支持针对单一用户及用户群组进行上、下行带宽独立限制；支持AP根据业务，带宽限速及灵活的带宽调整能力。17无线链路层安全监控防御设备支持对钓鱼AP的检测和反制支持对不同区域设置不同安全级别支持对私接代理进行检测支持对未知攻击进行检测支持对中间人检测并反制22无线物理层安全

21、监测功能设备在正常提供无线服务的情况下可检测到无线摄像头、微波炉等非WIFI干扰设备，同时可以在网管平台上显示干扰设备和被干扰信道等相关信息，被干扰期间设备正常提供无线服务，终端通信无丢包23无感知认证传统认证在每次智能终端接入时都要输入一次用户名密码，此功能可以再用户首次认证成功接入后，以后不需要接入网络认证时再次输入用户名密码，系统会自动记录用户信息并且与设备绑定，主要满足智能终端每次输入口令比较繁琐24零漫游功能设备支持零漫游功能，终端在AP之间移动，终端反复漫游，在此过程中终端ping包不丢包25转发模式支持不同SSID采用不同转发模式(集中转发与本地转发)，灵活组网26可靠性支持1+

22、1热备功能，当主AC故障时，下属AP自动迁移到备份AC，迁移过程AP不掉线，客户业务不中断；27接入控制支持802.1X、Portal、MAC认证；远程Portal认证：支持远程独立服务器模式；远程Portal页面推送：支持基于SSID、AP的Portal页面推送；28管理功能采取BS结构，无需在客户端安装任何客户端采用浏览器即可访问网管平台。系统支持AC、AP的各种配置管理和软件升级。结合公有云平台可实现极简运维及业务增值29资质证书提供工信部进网许可证提供中国节能产品认证证书5.无线认证营销平台序号功能及技术指标参数要求1认证方式支持802.1x、Portal、MAC地址认证、CA证书认证

23、、WAPI、802.1X WEP等企业认证，以及二维码审核认证、微信认证、短信认证、APP认证、临时访客账号、Facebook等外来访客认证方式；2第三方认证支持关联RADIUS、微软AD域、LDAP、数据库（Oracle、MySQL、MS-SQL）、Portal2.0、AS等外置认证服务器，实现802.1x、Portal等第三方认证；3移动OA认证支持对接移动办公平台进行用户认证，包括阿里钉钉、微信企业号、等主流平台，支持同步组织架构实现不同部门人员分配不同的上网权限策略，同时用户端可以直接通过APP或轻应用即可自助管理账号密码，提供功能截图及加盖公章。4自注册认证支持账号自注册认证方式，通

24、过手机号码白名单来自助设置账号密码，并且支持通过手机号码找回密码5智能PSK认证支持智能PSK技术，不同的终端使用不同的专属密码，并支持移动终端的秘钥与MAC和SN进行绑定，其他终端即使拿到了该秘钥也无法上网，保证终端安全接入要求6认证中英切换支持Portal认证页面中英文切换；支持页面终端自适应，推送合适匹配终端的尺寸Portal页面；7系统语言支持根据移动终端系统语言推送自动推送匹配认证页面，比如系统语言为英文时8推送模板支持内置5种以上广告模板，支持实时预览模板效果，并支持倒计时的形式，强制用户观看一定时间的页面展示才允许认证上网，提供功能截图证明并加盖厂商公章；9个性推送提供个性化特色

25、营销推送，可以依据用户的性别(男/女)、归属地(哪里人)、爱好属性(购物/体育/理财/影视等达人)、手机运营商类型(联通/移动/电信)、终端类型（苹果/安卓/WP）等推送不同的Portal认证页面，提高营销展示效果，提供功能截图及加盖公章；10多对象页面推送支持根据用户/接入AP/终端类型设置不同的跳转页面或URL，同时将用户名、终端MAC、IP以及接入的AP/AP组等信息传递给网站，用于二次开发或统计分析11大数据分析支持用户画像，支持对用户的移动轨迹、来访偏好、高峰时段、来访频次、驻留时长、WiFi使用时长、移动终端类型、性别、归属地域、上网爱好标签等信息进行收集和分析6.上网行为管理及审

26、计平台序号功能及技术指标参数要求1设备架构6个千兆电口，4个千兆光口，1个RJ45串口、冗余电源2整机性能吞吐量2.5Gb、并发会话数700,000、用户规模9000人3网络应用识别支持应用识别，能识别不低于4700种的网络应用，能识别邮件、游戏、P2P流媒体、WEB流媒体、金融交易、办公OA、移动终端应用等主流应用，提供功能截图及加盖公章。4本地转发应用识别及审计支持本地转发模式下的应用识别和行为审计，能够在本地转发情况下支持用户画像、应用排行统计、用户上网行为审计等，提供功能截图及加盖公章。5上网行为审计支持上网行为审计，可审计用户访问的URL、网络应用类型、非加密的邮件正文及其附件内容、

27、Web BBS发帖内容、微博内容、FTP上传和下载的文件名、TELNET执行的命令等，提供功能截图及加盖公章。6对接网监平台支持与本地公安网监平台对接，将审计数据上传至公安的网监平台7ACL支持多元化基于应用识别的ACL，包括用户、接入位置、终端类型、终端MAC地址、时间段；8URL识别支持URL预分类，能识别新闻门户、网上购物、成人内容、求职招聘、教育、宗教等类别，识别URL不低于千万级；7.室内无线AP支持胖/瘦两种AP工作模式；1个千兆电口+1console口，支持802.11 b/g/n/ac，双频双流；无线速率600Mbps，内置2根不可拆卸7dbi增益全向天线；发射功率23dBm，支持多SSID；支持自动信道选择或手动信道选择、支持按百分比设置无线发射功率、支持无线接入客户列表显示，频段自动导航技术，自动引导终端选择最优频段，提升整个无线网络的接入数和性能，防护等级IP41，功耗12.95W；支持定位；支持本地48DC供电和POE供电；带机量30