无线(wlan)网络建设方案

******办公楼无线（WLAN）网络建设 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 电子信息有限公司2014年7月1目录一、公司简介3二、需求分析42.1、技术背景42.2、设计需求5三、方案优势6四、方案介绍74.1、网络架构模型74.2、集中式AC与分布式AC104.3、AC旁挂与AC直路124.4、集成AC与独立AC134.5、本地转发与集中转发14五、方案规划165.1、IP地址规划165.2、SSID规划185.3、漫游规划185.4、AP发现并选择AC方式规划205.5、射频管理规划235.6、无线网络安全规划255.7、QoS规划275.8、可靠性规划30六、部署方案32七、方案中主要产品介绍35八、设备明细表（成本）462一、公司简介3二、需求分析2.1、技术背景WLAN（WirelessLocalAreaNetwork）是指利用高频射频信号（例如2.4GHz或5GHz）作为传输信道的无线局域网。802.11是IEEE在1997年为WLAN定义的一个无线网络通信的工业标准。此后这一标准又不断得到补充和完善，形成802.11的标准系列。例如比较重要的802.11、802.11a、802.11b、802.11e、802.11g、802.11i、802.11n等。其中基于802.11b标准的有时也被称为Wi-Fi标准。而802.11n标准兼容802.11a/b/g，带宽优势明显，已经成为当前的主流技术。而随着802.11ac技术的出现，必将引领无线业务进入千兆时代，为用户带来千兆级别的接入速度。标准名称发布时间工作频率理论速率实际速率备注802.11b19992.4GHz11Mbps6Mbps早期标准802.11a19995.0GHz54Mbps22Mbps应用很少802.11g20032.4GHz54Mbps22Mbps早期标准802.11n20092.4/5.0G150Mbps75Mbps结合MIMO技术，理Hz论速率600Mbps802.11ac20125.0GHz1Gbps40～802.11n下一代标500Mbps准802.11ad发展中60GHz7Gbps发展中面向家庭高清娱乐设备42.2、设计需求随着无线网络传输速率的不断提高，抗干扰能力的不断增强，设备价格的不断下降，实现楼宇及办公室之间的设备互连与通讯，已经具有切实的可行性。利用多个无线AP可以搭建无线漫游网络，实现用户在整个办公区域内的无线漫游。当用户从一个位置移动到另一个位置时，以及一个无线访问点的信号变弱或访问点由于通讯量太大而拥塞时，可以连接到新的访问点，而不中断与网络的连接，这一点与日常使用的移动电话非常相似。若欲实现无线漫游，须将多个AP形成的各自的无线信号覆盖区域进行交叉覆盖，各覆盖区域之间无缝连接。所有AP通过双绞线与有线骨干网络相连，形成以固定有线网络为基础，无线覆盖为延伸的大面积服务区域。所有无线终端通过就近的AP接入网络，访问整个网络资源。无线漫游覆盖大大扩展了单个AP的覆盖范围，从而突破了无线网络覆盖半径的限制，用户可以在AP群覆盖的范围内漫游，而不会和网络失去联系，通信不会中断。增加覆盖范围，实现全场覆盖；使众多终端用户的负载平衡；可以动态扩展，系统可伸缩性大；对用户完全透明，保证覆盖场内服务不间断。5三、方案优势1，可移动性：由于没有线缆的限制，用户可以在不同的地方移动工作，网络用户不管在任何地方都可以实时地访问信息。2，布线容易：由于不需要布线，消除了穿墙或过天花板布线的繁琐工作，因此安装容易，建网时间可大大缩短。3，组网灵活：由于摆脱了网线的束缚，使用无线网络可以轻松的解决由于办公室内位置变化或者增加电脑而带来的网线不够用的困境。无线局域网可以组成多种拓扑结构，可以十分容易地从少数用户的点对点模式扩展到上千用户的基础架构网络。4，安全优势：在现有的环境中，由于办公室增加电脑或是出于移动设备上网的需求要增加路由器，但加路由器势必会增加网络风险，造成网路阻塞、网关冲突、ARP伪报等问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 ，影响网络的速度甚至会导致网络的瘫痪。而使用无线网络则可以很简单的解决这一问题。5，成本优势：这种优势体现在用户网络需要租用大量的电信专线进行通信的时候，自行组建的WLAN会为用户节约大量的租用费用。在需要频繁移动和变化的动态环境中，无线局域网的投资更有回报。6四、方案介绍现行的AP组网方案有FatAP（胖AP）和FitAP（瘦AP）两种模式，根据网络规划的需要，可以灵活地在FatAP和FitAP两种工作模式中切换。当客户的无线网络初始规模较小时，客户只需采购AP设备，并设置其工作模式为FatAP模式。随着客户网络规模的不断扩容，当网络中应用的AP设备达到几十台以上时，为降低网络管理的复杂度，建议客户采购无线控制器设备，便于集中管理网络中的所有的AP设备，此时需要将其AP工作模式切换到FitAP（瘦AP）模式。4.1、网络架构模型WLAN网络在部署过程中，根据不同的需求有多种实现形式，根据网络架构分为：自治式架构（即FATAP或胖AP）集中式架构（即FITAP或瘦AP）自治式架构和集中式架构两种网络结构比较如0所示。自治式架构和集中式架构比较表项目自治式架构集中式架构适用场景微型企业、个人新生方式，增强管理7安全性传统加密、认证方式，普通安全基于用户位置的安全策略，高性安全性网络管理每AP需要单独下发配置文件AC上统一配置，AP本身零配置，维护简单用户管理类似有线，根据AP接入的有线虚拟专用组方式，根据用户名端口区分权限区分权限，使用灵活WLAN组网规模L2漫游，适合小规模组网L2、L3漫游，拓扑无关性，适合大规模组网增值业务能力实现简单数据接入可扩展丰富业务自治式架构该架构下AP实现所有无线接入功能，不需要AC设备形态，如下0所示。WLAN自治式架构图DHCP/DNS服务器FATAP园区网认证服务器FATAPeSight网管WLAN早期广泛采用自治式架构，随着企业大量部署AP后，对这些AP进行配置、升级软件等管理工作将给用户带来很高的操作成本，管理成本提高，自治式架构应用逐步减少。集中式架构该架构通过无线接入控制器（AC）集中管理、控制多个AP，如下0所示。所有无线接入功能由AP和AC共同完成：8无线接入控制器（AC）完成网络具有重要意义的功能，例如移动管理、身份验证、VLAN划分、射频资源管理、无线IDS（IntrusionDetectionSystems）和数据包转发等。AP完成无线空口的控制，例如无线信号发射与探测响应、数据加密解密、数据传输确认、空口数据优先级管理等等。WLAN集中式架构图DHCP/DNS服务器FITAPAC园区网认证服务器FITAPeSight网管AP和AC间采用CAPWAP隧道协议进行通讯，AC与AP间可以是直连或者穿越Layer2、Layer3网络。CAPWAP协议是基于UDP传输层的应用层协议，协议传递的信息分为两类：控制信息和数据信息。控制信息负责AC与AP之间的管理的交互操作，包括AP自动发现AC、AC对AP进行安全认证、AP从AC获取软件版本、AP从AC获取配置等等。数据信息是封装后转发的无线数据。两类信息分别使用不同的UDP端口号。CAPWAP信息在AP与AC间交互时可以使用DTLS加密机制，保证通信的安全性。9所有无线接入功能由AP和AC间共同完成。集中式架构是企业网、运营商等WLAN方案的主要架构，便于集中管理、集中认证和实施安全策略。此种方案为目前企业网通用方案。在FITAP网络架构下，又有如下划分：根据AC部署方式，分为集中式和分布式根据AC部署位置，分为旁挂和直路根据AC硬件体现形式，分为集成AC和独立AC根据业务转发形式，分为本地转发和集中转发4.2、集中式AC与分布式AC根据AC的部署方式，网络可分为集中式AC部署和分布式AC部署。集中式AC部署集中式AC部署是指整个网络中集中部署AC设备（一般是独立的AC设备），来控制和管理整网的AP设备。AC的部署可以采用直路（直接部署在AP和汇聚/核心交换机之间）或旁挂方式（旁挂在汇聚核心交换机旁侧）。集中式AC部署示意图10分布式AC部署分布式AC部署是指网络中分区域采用多个AC设备，分别对本区域的AP设备进行管理。分布式AC方案一般不采用独立的AC设备，而是采用在汇聚交换机上集成AC功能，来实现对本交换机下挂的所有AP进行管理。分布式AC部署示意图AC的两种部署方式的优劣势对比如下错误！未找到引用源。所示。11AC部署方式优点集中式节省投资容量管理更简单有效，成本效益高无线业务终结点少，便于管理漫游部署简单、高效无线网络运维管理更简单，可集中管理且配置灵活分布式AC与AP之间网络结构简单，网络部署相对简单缺点AC与AP之间的网络结构复杂，网络规划部署相对复杂投资成本高需要部署AC间漫游（除非各AC所在的区域间不考虑漫游）运维成本高4.3、AC旁挂与AC直路根据AC在网络上所处位置，可分为AC旁挂和AC直路。旁挂旁挂方式是指将AC部署在用户网关设备（汇聚或核心交换机）一侧，实现对用户网关设备下所有AP的管理。旁挂方式主要用于原有网络汇聚/核心设备非华为设备的场景，目前主要用于网络改造、或者新建大、中型园区网络场景。AC旁挂示意图直路12直路方式是指将AC部署在AP与用户网关设备（汇聚或核心交换机）之间，实现对下辖所有AP的管理。直路方式主要用于新建中、小型园区网络或原有网络汇聚/核心设备为华为设备的场景。AC直路示意图4.4、集成AC与独立AC根据AC硬件体现形式，可分为集成AC与独立AC。集成AC集成AC方案指不采用单独的AC硬件设备，而是采用在交换机中集成的AC硬件插卡，来实现对交换机下所有AP的管理。在集成AC方案中，采用集中式架构（FITAP架构），使用FITAP来负责无线终端的接入。使用集成的SPU板卡作为AC，负责完成对AP设备的管理。独立AC独立AC方案是指采用单独的AC硬件设备，通过直路或者旁挂方式实现对于所有AP的管理。在独立AC方案中，采用集中式架构（FITAP架构），使用FITAP13来负责无线终端的接入。使用独立的AC设备完成对AP设备的管理。集成AC和独立AC优缺点比较如下错误！未找到引用源。所示。AC硬件形式优点缺点集成AC部署简便；价格较低。在接入用户数方面略差独立AC可以实现大容量、高性能的价格较高，成本高。WLAN网络部署。4.5、本地转发与集中转发转发模式主要是AP针对用户数据可以有不同的转发处理方式。本地转发又称直接转发，是指AP上对用户数据由本地转发到网络上层，不经过AC处理，AC只对AP进行管理。而AP管理流封装在CAPWAP隧道中，到达AC终止。本地转发示意图集中转发14也称作隧道转发。业务数据报文由AP统一封装后到达AC实现转发，AC不但进行对AP管理，还作为AP流量的转发中枢。即AP管理流与数据流都封装在CAPWAP隧道中到达AC。隧道转发示意图本地转发与集中转发优缺点对比如下错误！未找到引用源。所示。转发方式优点缺点本地转发设备署简单，数据流量不经过AC，-AC负担小。集中转发数据流量和管理流量全部经过AC，AC设备数据压力较大，对AC可以按用户需求规划安全监管策略。设备本身处理能力要求较高。15五、方案规划5.1、IP地址规划5.11AC的IP地址AC用于管理AP，IP地址一般通过静态手工配置。AP的IP地址AP的IP地址分配如果采用静态分配，由于一般AP数量较多，配置工作量大，且容易冲突、不易于控制，所以不建议使用，建议使用DHCP动态分配。DHCP动态分配AP的IP地址时，可以有以下几种方式：1,指定地址池分配根据DHCPOption60表明AP身份而分配指定地址池的IP：AP的DHCPDiscover报文携带Option60，例如内容为“HuaweiAP”，表示请求分配IP地址的设备是华为AP，而不是WLAN用户。DHCPServer可以通过匹配或部分匹配Option60字符串，来为AP从指定地址池中分配地址。如果网络中部署多个DHCPServer且只有部分支持Option60，交换机等设备充当DHCPRelay时需要支持识别DHCPoption60并将DHCP报文转发到相应的DHCPServer上。2,根据VLAN分配指定地址池的IP：16AP相连交换机端口以Trunk方式加入VLAN，允许通过的VLAN对应的地址池即为AP分配IP地址。3,根据AP的MAC地址指定分配：在DHCPServer上配置AP的MAC以及对应的IP地址。4,统一分配AP的IP地址分配同WLAN用户一样，由DHCPServer统一分配，不再区别。DHCP动态分配AP的IP地址各种方式优劣势对比如下错误！未找到引用源。所示。IP地址分 配方 学校职工宿舍分配方案某公司股权分配方案中药治疗痤疮学校教师宿舍分配方案医生绩效二次分配方案 式指定地址池分DHCP配Option60根据VLAN优势劣势适用场景AP设备与无线需要交换机配对设备IP地址管用户的IP地址套支持理与用户IP地址分离管理要求隔离的AP设备与无网络配置工作对设备IP地址管线用户的IP地量较大，不利理与用户IP地址址分离于AP即插即管理要求隔离的用根据MACAP设备与无线用户的IP地址分离配置工作量较对少量AP设备管大，IP地址管理有特殊要求的理难度加大统一分配网络配置简单-对APIP管理没有要求5.12、无线终端/用户的IP地址移动用户通过DHCP动态分配IP地址，不建议静态配置；对于基本不移动的无线终端（比如：无线打印机）可以静态配置。175.2、SSID规划企业园区无线网络一般按照业务类型划分不同的SSID（ServiceSetIdentification）。SSID映射以太网中的VLAN通常，以太网中管理VLAN和业务VLAN分离。业务VLAN主要用于区分不同的业务类型或用户群体。在WLAN网络中SSID也同样可以承担相应的工作。因此，在业务VLAN的规划中必须综合考虑VLAN与SSID的映射关系。业务VLAN应根据实际业务需要与SSID匹配映射关系，映射关系有1:1、1:N、N:1、N:N四种，AC设备终结VLAN部署。VAP构建AP可以配置多个SSID，华为单频AP可支持16个SSID，双频AP可支持32个SSID。通过配置多个SSID，可以将一个AP划分为多个VAP（VirtualAccessPoint），每一个SSID对应一个VAP，AC针对VAP进行策略下发，VAP根据策略进行终端与业务管理。5.3、漫游规划漫游是指用户在部署了WLAN网络的场所移动时，用户终端可以从一个AP的覆盖范围移动到另一个AP的覆盖范围，用户无需重新登录和认证。用户漫游切换示意图18如上图所示，假设终端与AP1已经建立关联信息，随着用户位置的移动，终端切换到AP2，具体切换流程如下：客户端在各种信道中发送802.11请求帧。AP2在信道6（AP2使用的信道）中收到请求后，通过在信道6中发送应答来进行响应。客户端收到应答后，对其进行评估，确定同哪个AP关联最合适。如图中的标号1所示，删除用户与AP1现有的关联。客户端通过信道1（AP1使用的信道）向AP1发送802.11解除关联信息，解除用户与AP1间的关联。如图中的标号2所示，客户端通过信道6向AP2发送关联请求，AP2使用关联响应做出应答，建立用户与AP2间的关联。WLAN网络漫游中需注意以下两点：漫游切换需要保证SSID相同，即两台AP切换区域需要配置相同的SSID。19漫游切换AP必须是同一个AC管理。华为WLAN解决方案通过支持下述两种快速漫游技术，实现业务的平滑过渡。PMKcaching：PMKcaching技术是对于802.1X用户而言的，是指802.1X用户与旧AP进行802.1X认证时，STA和AC都会缓存PMK和PMK-ID；当漫游到新AP时，STA会把这些PMK-ID携带过去，无线控制器根据STA携带的PMK-ID查找自己缓存的PMK信息，如果查到，就认为STA已经经过802.1X认证，直接跳过802.1X认证过程，利用缓存的PMK进行四次握手协商出加密KEY,从而縮短了802.1X用户的漫游延时。如果没有查到，则需要重新进行802.1X认证过程。密钥协商下移技术：密钥协商下移主要是针对数据加密用户包括WPA/WPA2PSK和802.1X用户。在没有启用这个功能之前，STA主要与AC进行单播和组播密钥的协商；启用这个功能后，STA直接与关联上的AP进行单播和组播密钥的协商，这样在漫游到新AP时，减少了密钥协商所用的时间，从而縮短用户漫游延时。5.4、AP发现并选择AC方式规划FITAP架构下的WLAN网络中，FITAP为零配置，当FITAP部署到网络的时候，AP需要去找到相应的AC，并从AC上下载其配置。AP发现AC的机制有如下几种：二层广播发现AC20当AC和AP同在一个二层的网络中时，可以通过二层广播方式直接发现AC。通过DHCPOption43发现ACOption43是DHCP协议的一个属性，在华为WLAN网络里，AP用它识别AC的IP地址。当DHCPServer配置了Option43后，它给AP分配IP时，在DHCPOffer报文中同时会将此属性告知AP。通过DHCPOption43发现AC的报文交互图通过DNS发现AC当网络中部署了DNSServer时，还可以通过DNS方式让AP来发现AC。需要在DHCPServer上配置DNSServerIP地址以及AC的域名。当AP通过DHCP服务器获取IP地址时，DHCPServer会在DHCPOffer报文中将DNS服务器IP地址（Option6）和AC域名（Option15）告知AP，在AP获取到IP地址后，则通过DNS服务器解析到AC的IP，从而实现对AC的发现和关联。21通过DNS发现AC的报文交互图AP上预配置AC列表AP可以预配置AC的IP地址列表。当预配置好AC列表时，AP将不再启动正常的L2或L3的发现过程，故AC列表里的地址不可达时，AP将永远连接不上AC。上述几种方式优劣势对比如下表所示。AP发现并选择AC方式优劣势对比表方式部署要求优势劣势适用网络DHCPOptionDHCPServer启适用于AP/AC对网络有部署大中型43动Option43属性任何组网中要求WLAN网络，DNS部署DNSServer；AP/AC二层或三层组网DHCPServer支持Option15属性22方式部署要求优势劣势适用网络二层广播发现无对已有网络没仅能用于小型WLAN有额外要求AP/AC二层组网络，AP/AC网中二层组网AP上预配置静AP预配置对已有网络没需要对AP逐小型WLAN态AC列表有额外要求一进行配置，网络工作量大；若AC的IP地址发生变化，则需要重新修改AP的配置若无线网络部署了多个无线控制器，AP通过上述某种方式发现了多个AC时，AP根据根据AC负载动态选择接入到负载轻的AC。5.5、射频管理规划与IP地址规划一样，WLAN信道是WLAN网络设计中的重要一环，大型无线园区网网络必须对WLAN信道进行统一规划。WLAN信道规划的好坏，影响到无线网络的带宽、无线网络的性能、无线网络的扩展以及无线网络的抗干扰能力，也必将直接影响到无线网络的用户体验。射频信道划分WLAN信道规划是WLAN网络设计中的重要一环，为保证信道之间不相互干扰，大型无线园区网网络必须对WLAN信道进行统一规划并实施。WLAN系统主要应用于两个频段：2.4GHz和5.0GHz。2.4GHz频段信道划分：2.4G频段具体频率范围为2.4～2.4835GHz的连续频谱，信道编23号1～14。HT20信道划分：信道带宽为20M，在该模式下，一般选取1、6、11三个不重叠信道，频率规划可用频点只有3个。HT40信道划分：信道带宽为40M，受频率限制，只支持一个不重叠信道。5.0GHz频段信道划分：5.0G频段分配的频谱并不连续，主要有两段：5.15～5.35GHz、5.725GHz～5.85GHz。HT20信道划分：不重叠信道在5.15～5.35GHz频段有8个，分别为36、40、44、48、52、56、60、64；在5.725GHz～5.85GHz频段有4个，分别为149、153、157、161。HT40信道划分：在该模式下，这两段频谱的可用信道分别为4个和2个。AP支持手动和自动两种方式设置工作信道。设置为自动方式后，一旦检测到信道冲突AP具有信道自动调整功能，建议AP采用自动设置工作信道方式，避免手动设置后一旦信道冲突将导致无法切换信道的问题。信道自动扫描功能：采用信道自动扫描功能，自动探测周边的AP、使用的信道及干扰，结果上报AC，触发信道调整。射频信道覆盖WLAN信道规划需遵循两个原则：蜂窝覆盖、信道间隔。根据覆盖密度、干扰情况、选择2.4G/5G单频或双频覆盖。AP交替使用2.4G24的1、6、11信道及5.0G的36、40、44信道，避免信号相互干扰；一般情况单独使用2.4G或5.0G的频段，对于会议室等高密度用户接入的场所，可以启用双频进行覆盖，以便提供更好的接入能力。单频信道规划示意图双频信道规划示意图5.6、无线网络安全规划无线设备安全AP防盗：安装AP时安装防盗锁即可。AP零配置：传统的FATAP组网模式要求在AP上配置大量的业务参数，同时需要在AP本地保存这些业务配置信息，一旦设备丢失，25AP的业务配置信息就可能被泄漏，形成网络的安全漏洞。FITAP在设备上不保存业务配置，而是每次启动的时候从无线控制器动态加载业务配置，这样可以有效避免设备丢失造成配置泄漏。当前FITAP均能做到零配置。无线IDS/IPSIDS——非法AP检测非法AP主要指未经网络许可而非法部署的AP设备或者是对网络发起无线攻击的AP设备。对于非法部署的AP设备，可以通过控制AP接入（基于MAC地址；基于设备名称SN等）来防止非法AP接入网络。对于对网络发起无线攻击的AP设备，网络中合法部署的AP监听设备负责把监听到有攻击行为的无线设备上报给无线控制器，继而上报给网管。部署建议：对于非法部署的AP设备，由网络设备AC检测，启动相应功能即可。这里主要给出对发起无线攻击的AP的监听部署方案以及对比情况，如0所示。可以根据实际网络要求进行取舍。对发起无线攻击的AP的监听部署方案优劣势对比表部署方式优点劣势部署专职监听实时监听网络，及时检测出非网络部署成本高AP法AP业务AP兼职监网络部署成本相对小不能实时监听网络，无法及时检听AP测到非法AP26IPS----黑白名单用户白名单功能：无线控制器支持静态配置白名单功能，该功能一旦启用，只有白名单上的无线用户才被认为是合法用户，其他非法用户的报文全部在AC上被丢弃，从而减少非法报文对无线网络的冲击。用户黑名单功能：无线控制器通过配置方式或者实时检测侦听的方式来确定设备是否被加入黑名单，被加入到黑名单中的设备发过来的报文全部在AC上丢弃，从而减少攻击报文对无线网络的冲击。部署建议：大中型园区网不建议部署，通过认证进行用户的合法检测即可。5.7、QoS规划WLANQoS保证不同质量的无线接入服务之间的互通，满足实际应用的需求。WLANQoS规划图27AC设备园区网PoE千兆交换机PoE千兆交换机VoIPVideoDataGoldSilverCopper业务调度用户调度如0所示，在企业园区中，常采用无线空口做WMM调度，有线侧进行优先级映射，园区网做DiffServ调度的方式，最大程度优化网络发生拥塞时的核心业务和VIP用户服务质量。在这里仅介绍WMM协议技术、优先级映射和流量管理技术。流量管理基于用户的流量管理防止P2P业务占用带宽导致其他用户无法正常使用无线网络，比如校园网。基于SSID的流量管理防止某些SSID用户流量过大影响其他SSID用户的正常业务，比如访客SSID的流量控制。无线空口做WMM调度Wi-Fi多媒体标准WMM（Wi-FiMultimedia）是一种无线QoS协议，无线空口上，WMM将数据报文通过4个优先级队列发送，每个优28先级队列占用信道的机会不一样，从而保证语音、视频等应用在无线网络中有更好的质量。WMM按照优先级从高到低的顺序分为AC（AccessCategory）-VO（语音流）、AC-VI（视频流）、AC-BE（尽力而为流）、AC-BK（背景流）四个优先级队列，保证越高优先级队列中的报文，抢占信道的能力越高。WMM队列优先级WMM队列用户优先级（UP）Voice6或7Video4或5BestEffort2或3Background0或1优先级的映射优先级映射包括：无线优先级到有线优先级的映射、无线优先级到CAPWAP隧道优先级的映射。上行无线到有线报文优先级映射AP接收到无线客户端发送的802.11（无线）数据报文后，将其转换为802.3（以太网）报文，然后向网络侧继续转发。对于本地转发，完成用户优先级UP到802.1P优先级映射；对于集中转发，再实现隧道优先级Tunnel-802.1P、Tunnel-TOS的映射。下行有线报文到无线报文优先级映射AP接收到802.3以太报文后，将其转换为802.11报文，并在空口上依据报文中的UP优先级选择不同的WMM队列发送给用户终端。对于本地转发，需要完成802.1P到UP优先级映射；对于集中转发，29在AC上可实现TOS优先级到Tunnel-TOS映射，802.1P优先级到Tunnel-802.1P优先级映射。5.8、可靠性规划WLAN网络可靠性主要是网络的负载分担，分为AP负载分担和AC的负载分担。AP负载分担无线客户端一般会根据AP信号强度（RSSI）选择AP，这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于这些客户端共享无线媒介，导致每个客户端的网络吞吐将大量减少。AP负载分担可动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载，通过控制无线客户端接入的AP，来实现这些AP间的负载分担。评估负载的方式有两种：按照用户在线会话数按照用户流量当前AP负载分担策略是通过控制STA的接入实现负载均衡。当AP的负载情况超过阈值后，该AP就会拒绝新的终端的接入，此时终端将寻找负载较轻的AP进行连接，从而实现负载的均衡。AC负载分担AC负载分担即AP根据AC负载动态选择接入到负载轻的AC上去。AC在响应报文（DiscoveryResponse）中携带该AC负载信息（比30如AC允许接入的最大AP数、当前接入的AP数、允许接入的最大STA数、当前接入的STA数），AP通过比较各AC的负载情况选择一个负载轻的AC接入。通过CAPWAP隧道的心跳机制，AP可及时发现控制器Down，同时根据该 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 重新选择一个负载轻的AC接入。31六、部署方案本方案适用于小型园区网终端规模在100以下，例如微型企业或者办事处等场景。园区网络拓扑示意图Internet/WAN3G出口路由器PoE交换机园区一般采用出口、核心、汇聚融合的网络架构。使用AR集成AC，如AR1200等接入路由器。微型园区网络部署推荐如下表所示：园区中WLAN网络部署规划推荐配置32网络配置点分类推荐备注网络架构FATAP--FITAP√-AC部署方式集中式√-分布式--AC部署位置旁挂--直路√-AC硬件形式集成AC√ARG3系列路由器集成AC独立AC--AP类型AP6010SN（室内型，支持802.11a/b/g/n）√均可，根据实际需AP6010DN（室内型，支持802.11a/b/g/n）√要AP6510DN（室外型，支持802.11a/b/g/n）√ACIP地址规静态分配√-划动态获取--APIP地址规静态分配--划动态获取√-用户IP地址规静态分配--划动态获取√-VLAN和SSID1:1-根据布网实际需要映射关系1:N-N:1-N:N-DHCPServer独立DHCPServer√-位置AC上--AP发现AC形Option43√均可，根据实际需式Option15√要业务转发模式独立转发√-33网络配置点分类推荐备注隧道转发--认证方式PSK认证√-802.1x认证--Portal认证--34七、方案中主要产品介绍7.1华为AP6010SN性能增强级室内无线接入点AP6010SN-GNAP6010DN-AGN美观化涉及，适用于企业级多业务场景，如教育、企业办公、机场、车站、以及零售业等大中型、中等密集场景；采用最新一代2×2MIMO的芯片涉及，绿色节能；每射频最大速率可达300Mbps,内置天线；设备外观规格简介WiFi标准：满足IEEE802.11b/g/nWiFi标准：满足IEEE802.11a/b/g/n工作频段：2.4GHz工作频段：2.4GHz和5.8GHz上行：1个10/100/1000M电口，上行：1个10/100/1000M电口，支持网络接口支持PoE供电PoE供电下行：遵循IEEE802.11b/g/n标准，下行：遵循IEEE802.11a/b/g/n标准，最大（物理）比特率为300Mbps最大（物理）比特率为600Mbps维护接口1、1个控制台端口：Console1、1个控制台端口：Console2、1个设备锁接口：Lock2、1个设备锁接口：Lock发射功率20dBm(100mw)20dBm(100mw)天线类型天线类型：内置天线天线类型：内置天线设备尺寸180mm×180mm×50mm180mm×180mm×50mm工作环境工作温度范围：－10℃～50℃工作温度范围：－10℃～50℃35工作湿度范围：10%～95%（非凝工作湿度范围：10%～95%（非凝结）结）工作气压范围：70kPa～106kPa工作气压范围：70kPa～106kPa防护标准：符合IP31要求防护标准：符合IP31要求支持外接电源适配器直流供电或支持外接电源适配器直流供电或POE供电两种供电方式：POE供电两种供电方式：1、当PoE供电和直流供电两种方1、当PoE供电和直流供电两种方式式同时存在时，以直流电源为主同时存在时，以直流电源为主供电电供电电源，PoE供电为后备电源。电源源，PoE供电为后备电源。2、直流供电的外接电源适配器规2、直流供电的外接电源适配器规格：格：输入：100V～240VAC；50Hz～输入：100V～240VAC；50Hz～60Hz60Hz输出：12VDC，2A输出：12VDC，2A7.2华为AC6005接入控制器交换转发功能属性说明以太网特Ethernet支持全双工、半双工、自动协商工作方式性以太网接口可支持10M、100M、1000M和自协商速率支持Jumbo报文支持链路聚合支持Trunk内各链路流量的负载分担支持接口隔离、接口转发限制支持广播风暴抑制VLAN支持Access、Trunk、Hybrid接入方式支持DefaultVLANMAC支持MAC地址自动学习和老化支持静态、动态、黑洞MAC表项支持源MAC地址过滤36ARPLLDP以太网环MSTP路保护IPv4转发IPv4特性单播路由特性组播路由特性IPv6转发IPv6特性单播路由特性支持接口MAC地址学习限制支持静态、动态ARP支持VLAN上应用ARP支持ARP表项老化支持LLDP支持STP支持RSTP支持MSTP提供BPDU保护、Root保护、环路保护提供局部STPARP/RARPARP代理支持自动侦测功能NAT支持Bonjour协议静态路由RIP-1/RIP-2OSPFBGPIS-IS路由策略、策略路由uRPF检查支持DHCPServer/Relay支持DHCPSnoopingIGMPv1/v2/v3PIM-SM组播路由策略RPFND协议静态路由RIPngOSPFv3BGP4+37设备可靠性二层组播特性以太网OAMQoS特性配置与维护IS-ISIPv6DHCPv6DHCPv6Snooping组播路由MLD特性MLDSnoopingBFDBFD二层组播支持IGMPSnooping功能特性支持用户快速离开机制支持组播流量控制支持跨VLAN组播复制EFMOAM支持对端发现支持链路监控支持故障通告支持远端环回流分类支持基于L2协议头、IP五元组、出接口、802.1p优先级的组合流分类流动作支持对分类后报文流的访问控制支持基于流分类的流量监管支持按照分类结果重标记报文支持分类后报文进入指定调度队列中支持流分类、流行为的组合应用队列调度支持PQ调度支持DRR调度支持PQ+DRR调度支持WRR调度支持PQ+WRR调度拥塞避免支持SRED支持WRED终端服务支持命令行配置支持英文和中文的提示和帮助信息支持Console、Telnet终端服务38支持Send功能，终端用户之间进行信息互通文件系统支持文件系统支持目录和文件管理支持通过FTP、TFTP方式上传、下载文件调试和维支持日志、告警、调试信息统一管理护提供电子标签支持用户操作日志支持详尽的调试信息，帮助诊断网络故障提供网络测试工具，如Traceroute、Ping命令等提供接口镜像、流镜像版本升级支持整机软件加载、在线加载支持BootROM在线升级支持在线补丁安全和管系统安全命令行分级保护、未授权用户无法侵入设备理支持SSHv2.0支持RADIUS和HWTACACS用户登录认证支持ACL过滤支持DHCP报文过滤（插入Option82选项）支持预防控制报文攻击支持防范SourceAddressspoofing、LAND、SYNFlood(TCPSYN)、Smurf、PingFlood(ICMPEcho)、Teardrop、PingofDeath多种攻击支持IPSec网络管理支持ICMP实现Ping和Traceroute功能支持标准网管协议SNMPv1/v2/v3支持通用特性的标准MIB支持RMONAP设备管理特性AP设备的接入控制指标支持基于MAC或SN的AP白名单功能的设置和查询支持以单个和批量（MAC地址段或SN段）方式手动设置白名单支持半自动上线（手工确认）接入方式支持全自动（无需认证）AP接入39AP域管理AP配置模板管理AP设备类型特性管理网络拓扑管理支持设置AP域的布放类型：离散布放：AP布放非常独立，AP间无任何干扰，此时一个AP相当与一个域，工作在最大功率，不调优普通布放：AP之间分布比较稀疏，每个射频的发送功率要求小于其最大发送功率的50%密集布放：AP之间分布比较密集，每个射频的发送功率小于最大发送功率的25%支持指定域设置为默认域，用于配置AP自动上线支持指定某AP配置模板为默认模板，用于配置AP自动上线通过AP设备类型特性管理AP设备固有属性，包括：AP上的接口数量、类型，射频数量、类型，最大支持的VAP数，最大关联用户数，以及射频增益（针对部分室内放装式AP）内置已知类型的AP设备类型特性用户可自行扩展AP设备类型特性支持APLLDP拓扑感知射频管理特性指标射频模板通过模板可设置：管理射频的工作模式、速率自动或手动的信道、功率模式管理射频调优的检测间隔支持按射频设置802.11b、802.11bg、802.11bgn、802.11g、802.11n、802.11gn、802.11a、802.11an、802.11ac模式支持手动为单个射频绑定射频模板统一静态整网射频参数的集中配置与管理：经过网规部署，在AC上进行集中配置，将射频参数配置（工作信道、发射功率等）批量下发给各AP集中动态AP上线时自动选择信道和功率管理支持动态调优：在AP重叠区域，信号冲突时自动调整功率或信道局部调优：调整指定AP最优工作信道和功率全局调优：调整指定域所有AP的最优工作信道和功率支持补盲功能：支持删除AP或AP下线时调大周围邻居的功率补盲40基于域的集中控制式射频参数自动选择和调优业务增强多模式组合接入：a/b/g/n/ac独立部署及组合（an、bg、bgn、gn）部署优先接入5G终端：无线终端优先启用5G频段2.4G/5G频段负载均衡WLAN业务管理特性指标服务集（ESS）管理基于ESS可设置：使能广播SSID、最大接入用户数、用户老化时间支持基于ESS的AP二层隔离支持基于ESS的映射业务VLAN支持基于ESS关联安全、QoS等业务模板支持基于ESS控制AP组播开关基于VAP的业务管理支持VAP的批量创建及绑定射频ESS支持按多种方式查询VAP：单个查询、按ESS查询、批量查询支持业务离线配置AP全自动上线方式下，根据业务批量发放规则，自动创建VAP配置的自动发放管理支持基于“AP类型+射频ID”定义业务配置的自动发放规则支持自动上线AP加入缺省域（缺省域可事先制定）自动发放规则与域配合使用，实现针对某区域AP的批量上线组播业务管理支持APIGMPSnooping模式支持APIGMPProxy模式负载均衡支持通过负载均衡组对一组射频进行负载均衡支持两种负载均衡策略：基于STA数的负载均衡基于流量的负载均衡BYOD（BringYourOwn支持基于MACOUI识别设备类型Device）支持基于HTTPUser-Agent信息识别设备类型支持基于DHCPOption信息识别设备类型支持基于RADIUS认证/计费报文中携带设备类型，用于决策定位服务支持对AeroScout、Ekahau的tag定位支持对Wi-Fi终端的定位频谱分析对蓝牙、微波炉、无绳电话、Zigbee、GameController、2.4G/5G无线41影音、婴儿监护器等8种以上干扰源进行识别与eSight网管配合，对干扰源进行定位和频谱显示WLANQOS特性特性指标WMM模板管理（WMM-Profile）基于模板的WMM使能/禁用WMM模板可同时运用到多个AP的不同射频流量模板管理（Traffic-Profile）支持AP流量模板管理，基于模板管理流量、优先级映射等支持空口流量模板绑定到ESS，即每个ESS有独立的QoS策略AC流量控制支持AC的QoS模板管理支持通过ACL规则对业务流进行分类支持基于用户的上行/下行（上/下行CAR）业务流量控制支持基于ESS和基于VAP的流量限速AP流量控制支持多用户流量控制，共享带宽支持指定VAP的带宽限速报文优先级配置支持配置CAPWAP控制通道的QoS优先级（IPDSCP）支持配置CAPWAP数据通道的QoS优先级指定数据CAPWAP头优先级用户报文到隧道报文的优先级映射（802.1p和iptos）Airtime调度支持时间调度，使用户公平的占用信道时间，提高用户的上网体验。WLAN安全特性特性指标WLAN安全模板支持通过WLAN安全模板管理认证和加密方式管理支持安全模板绑定到ESS模板支持多种认证支持“OPEN-SYS认证+无加密”方式支持WEP的认证/加密方式支持WPA/WPA2认证加密WPA/WPA2-PSK+TKIPWPA/WPA2-PSK+CCMP42WPA/WPA2-802.1x+TKIPWPA/WPA2-802.1x+CCMP支持WAPI认证加密支持AC集中式WAPI认证支持WAPI多信任证书方式（3证书），兼容传统双证书方式支持证书和私钥合一的发放方式支持MAC认证将用户MAC地址做账号，送认证服务器（RadiusServer）认证支持Portal认证支持AC做Portal网关，不支持AP做Portal网关仅支持L2Portal方式支持组合认证支持MAC组合认证PSK&MAC认证支持MAC与Portal组合认证先MAC认证，后Portal认证仅针对集中转发场景AAA支持本地认证、本地账户（MAC、账号）支持Radius认证支持多认证服务器支持备份认证服务器基于账号域指定认证服务器基于账号域配置认证服务器支持用户账号域与SSID绑定安全隔离支持基于端口的隔离支持基于用户组的隔离WIDS支持非法设备的监测、识别、防范、反制，包括非法AP和STA检测、攻击检测以及动态黑名单权限控制支持基于端口的ACL权限控制支持基于用户组的ACL权限控制支持基于用户的ACL权限控制其他安全防护支持SSID隐藏支持终端IPSourceGuard防护支持静态绑定终端IP地址支持动态绑定终端IP地址（DHCP）43WLAN用户管理特性指标无线用户地址分配集成DHCP服务器，为无线用户分配地址WLAN用户管理支持用户黑白名单支持用户接入数量限制：按AP限制用户接入数量按SSID限制用户接入数量支持多种方式强制用户下线：RadiusDM强制用户下线命令行强制用户下线支持多种查询方式：支持基于用户MAC、AP、射频、WLANID方式查询用户状态信息支持按ESS、AP、射频查询在线用户数支持基于用户的空口信息统计WLAN用户漫游支持AC内的二层漫游支持AC内的跨VLAN的三层漫游支持免完整802.1X认证的快速协商密钥支持重关联用户的合法检查，拒绝非法用户的重关联请求支持用户信息的延时清除，实现用户下线后的快速重新上线用户组管理支持基于用户组的ACL访问控制支持基于用户组的隔离支持组间隔离支持组内隔离系统维护管理特性分类特性维护在命令行方式下，支持通过Console口本地配置、Telnet/SSH远程登录和管理支持Web网管，使用本地图形化配置支持网管基于SNMP协议实现对设备的配置系统对硬件故障提供再次检测功能，避免瞬间的干扰导致检测结果错误44系统运行中自动检查版本配套性AC支持软件在线升级的功能。同时，还提供软件在线补丁的功能，可以只针对需要修改的特性进行升级AC升级过程由一条命令自动完成升级全过程，为客户节省了宝贵的时间。升级过程给出进度提示，并在升级结束后可以查看升级结果在升级系统过程中，新的系统软件无法启动时，系统可以使用上一次成功启动的系统软件进行启动AC支持热补丁功能，打补丁过程中业务不受影响。热补丁支持回退功能，并能 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 热补丁操作前后的设备信息跟踪在传统IP网络中，AC通过Ping和TraceRoute检查网络连接是否可达，在线记录数据包监测的传输路径，作为故障定位的参考AC提供黑匣子功能，记录各特性模块、任务和事件调用情况，并形成过程状态信息记录、函数调用轨迹，提高故障定位速度AC支持基于接口或基于报文流的镜像功能将被观察报文流原封不动地被复制到观察接口上。外部监测主机和AC的观察接口相连，网络管理员可以实时、便捷地观察到流经AC的各类报文信息，为流量检测、故障分析定位、数据分析提供了依据45八、设备明细表（成本）序号产品品牌参数单价数量合计华为1APAP6010胖瘦一体化性能增强级802.11n产品PoE或直流供电内置天线最大发射功率20dbm可同时在线的用户数量≤128（实际25）支持PoE供电。接入控华为2制器AC60054Gbit/s转发能力最多128接入点最大2K用户支持1+1热备8个10/100Base-TX以太网端口，1个华为POE交10/100/1000Base-T以太网端口，1个复用3S2700-9换机TP-PWR的千兆ComboSFP转发性能：2.7Mpps交换容量：32Gbp4网线同拓6类非屏蔽纯铜质线5网线网FastUsb无线网络接收器（根据PC卡机的数量选定）6施工费1-6楼线材铺设，设备调试4647