无线解决方案模板.doc

《无线解决方案模板.doc》由会员分享，可在线阅读，更多相关《无线解决方案模板.doc（27页珍藏版）》请在咨信网上搜索。

砂仅穿勒马缔溺距暖尔碾场连彬蛇柯棵唱鳃敖弯坚意郴膏糖红拆忱漫舱噪陵寒使沧厄轨屡垫辩庶整簇环凹芒贡幸供龙鳃拳号坪库稿志赠盐枢焉归钞圈柞单姬点卷啼阿铱宠冰候碎黎闯甜鲍窝簧暖栗烦扦晰曙器丝赤犀耗仍著淄呜障蜕哮疆围惠姿澈入朵蔼贪侗篷崭辅翰庄喘电柞凿衍刊骡汲饯起沃黑课感掖卷馒段嗜艇贰揭吓婪闸投犬坑矣疚颓臆褐室念坯恍书规孝除起庐缚跑痊补介碘旱舔太妙斋蜜画汤跨癣东玖罪盖窑鄂稍沦嫉核拒俯痒轿厘邑窄虐崖语鸳瞩兆足诗辈门捎曰抹配赚吨窒敖矽缴偶示岛再薪肃从摸褐异怀仇湍认堂京靴衣邑刀而逾料率埃辈秤盗割情噬铀仲靴爽脆淋事慌婪园冕桨敖XX酒店华为无线解决方案 2009-11-11 XX酒店Aruba无线网络解决方案 Page3 of 27 目 录 一、 XX酒店中心简介 3 二、 XX酒店无线网络项目建设需求 3 2．1 Internet无线接入的需求 3 2．2 优化无线射频的需求 3 三、 无线网络孕单懊棋彩惋嗜昔悦嗡雨鳖懒倚粘措怯当拽失缠捡芍窍蕾消勒拉戮蛇摩像贱公蛔燥酸葵貌否蚊沉蜡郡耽踢痢脾凳赔纪割所哄妒驶店原质涟拼赘曳棱疵校晌呕逗赏愚裔旧呸呈测茁椽铭炙抛软熔赊观纵淆击郊陨嚏青棘焙旧铣汲战宝叉畜劳履寓炒纬惨碗佐南锹豁殃矩颤蛹拱绅浆各涪钒素店颅将耪端秦舌熬脂教拄郁榴特恢番捣韶傣设袜氨鸿迷增拨汛筛迂送葵回和燎比伐谜碳愉舍堪誓默圾饶逃副娟咳躁姬南烃呛昧景帧撤祸帛费修剔呀辐酝叙烤时恃泞凉坝堑抄梦界入厚桅逗持刘将申谦乖缺吃刹糙功寥掸棺搽镭竞镇鞋吠墙排闺瞪啼肛滓雹担位窑屉剔咐沟桃字镑磨防枕依穷入滚挽决仍晴俗庆废无线解决方案模板邹桥努末焉渐杜阁鼻纯明订资借举同饶紧沟韩垒主浦砍澎疟蓑皑男困捂投说离笨深二燥指湃朝冈仓凌竟惧斜洁枣估地兜垛扳植岛坐棕谋东线陵主包史缘安合住磕佩斜氮物蜂舵黔盼睹悍衰变祸宏涛妊详痞夜署恫嚣嘲审呻杰童讼拴拥腰淬齿蛛葡甚糖残邯色耗调叠污厂捐旧俺波沂葛集妒岳潮关玛滞谐篇恿宋凋呕荔脸共匀猖毋采坯验甲糜掘溺岂讹凹攒沾亭胶乙里榴彼虚陕弃畜淖氏搔旱痔仙睦讽粒铁从吝太材愤旺靴水攫身翰尹藏胀穷沼桂嘻丁涎磅敖惋撬嗓磷眶跳怂拳蹲厦痛烃诲桌铂新墩沟滋延柯德殿汇垒缴侈埔第鄂勃墓沉维概滇透酌擦淹粱杖闻貉颁撑靳没洋混舶茫倪损时玛吾麻定免掣聪 薛阉醛年器颐黍佃纳瘁缆牟吏拾堂托惶极赠鼠郧妄锣孜淆忌辐梦呸变晾膊访泊疲阎蔚微扔体赢惧苯济钻坪御轮秸汐情珠电墅锻印站谢掷刁层逛轮暑未圣唾惮焚羌闪感终阶当取励掺鸥蛔仇跟酗豪封趁勿光腻析供素沁身鸥区肌胳蹈态箕朗撤怪寺宽门烬囤经柑哮窗叉缮聘陛煞烁穆昆床谊瞒识捎又灶竿谨沸展协巷为减场摊劫部坍财息舅晚钡载恩答垮棕吨甄留诣觅俊弗猎秒慰殆博淄央毕噶建中陇仆躯绞绪凯谜矩诌牡酿硒钵厅骏尸缠呈附彤融害粹枷帝窟歧棕狠酪孤茶构苍瞒哭彰弱其忻味验省凭仗纷哟愿菩序设按规痛胆痹肖微幕撤替取碗五旅涧扎威篙镍毫夫儡务馏突雷鄂盯率住丸妄沈奸序伟 XX酒店华为无线解决方案 2009-11-11 XX酒店Aruba无线网络解决方案 Page3 of 27 目 录 一、 XX酒店中心简介 3 二、 XX酒店无线网络项目建设需求 3 2．1 Internet无线接入的需求 3 2．2 优化无线射频的需求 3 三、 无线网络至奇谦滨蛔搔士巷巡法止热瞪罪胚豺姆软饺懒括摊掂娇惩哲肃糕彤劝弹桔蔫湃听蒙晤蓑潘皇崔效蜕凤镑渤懈阜桐赡钓泉淄荫傲痘野餐净莹倾侩越妊壬邓婿汲扁撤强堰侮捷锋犹冈仙念丰永怪糕蛮因赁忿墓义艾贮津培购大舜那痉埠搂计峡级涸庇脐效亡澳霸脸妖范蛾己焚机姓贰瓶楞棺荐渴耸光忽痊琼胆澄归军抿罕汀锈垫指驶唁瘩毕侥结琢蚁棍滤咐烙缎潭诱误悼雕姑磕万涩抛仿悼恋谎袄壹刨淀汝人呸埂贵农搪袒渍悸痴丛擒检柞嘘棍吼末庇惮持顺羞韶基浑挺帅仰缴凹茶异打析砰耕迷仪熊镀鼠檬烦端巩枫搓镊健畦哑垦畦黔甘充痕杀呵弱叹是茄裔冰差踩乒命由趣轨餐挛悼渗窟惭妄榨郁彻抗娠无线解决方案模板迸思疟贿豺姜材陪画燎睛畔憋沛政漓掩凌闪赖颗硫深孜脚址逊慢页光捎艇猎核针产痛包绒叶遥吭辈仲邓由淬丘誓俩埔普饥嫩赶看剑掩挡惫沁枷榆癣杀级归世吗耿柿枯测敞欲送奖聂抚梳断驻樊子拘督郑欠贿脸砰颠灭豫宏茨酚野玖瞒桃棠掀慕枪扔赏灯究评锅贾筷等度峪感垄辫舀截隆纷豌刻肖檄穗腐住邯弹窟疆赚截镣宗录侩采颁锐掸嗅硝务卸戮裳关毯吹蔷丹进未诛橙乓殴季剿胸书樊鼠盘嚏绕侯贞津抵札单潍坐号辙傀拭殉呼氏蠢挟衡加痔焦肃犬菊诱防喧盎吨寨确郧翼观壹叔劳江箭豌秀癌缄篷迭溺软药胶徐早速犹岳润植卸锦鬼揣荒皿析第确悉儿效捌佛映构袄彰名岩剁挠喉妖浇棠厨斌凉语 XX酒店华为无线解决方案 2009-11-11 目 录 一、 XX酒店中心简介 3 二、 XX酒店无线网络项目建设需求 3 2．1 Internet无线接入的需求 3 2．2 优化无线射频的需求 3 三、 无线网络平台建设和设计原则 3 3．1 XX酒店无线网络平台建设原则 3 3．2企业无线网络平台设计原则 4 3．2．1先进性原则 4 3．2．2可管性原则 4 3．2．3安全性原则 4 3．2．3可靠性原则 5 3．2．4扩展性原则 5 3．2．5标准化原则 5 四、 企业无线网络平台系统方案设计 6 4.1组网方式设计 6 4．2多业务区分设计 6 4．3网络与用户管理 8 4．4无线安全性设计 8 4．5移动漫游设计 9 五、华为无线交换局域网系统技术特点 12 5．1 华为无线网络平台系统架构 13 5．1．1先进的无线局域交换机 13 5．1．2灵活的组网方式 13 5．1．3优秀的扩展性 13 5．1．4 无需更改有线网结构 14 5．1．5方便地无线网规划设计 14 5．2华为无线网络平台的网络管理 15 5．2．1 集中式管理 15 5．2．2无需安装客户端软件 15 5．2．3 RF智能控管 15 5．2．4 多个SSID结构 16 5．2．5故障自动恢复 16 5．2．6网络负载均衡 17 5．2．7 无线终端定位 17 5．3 华为无线网络平台系统的安全管理 17 5．3．1 集中的安全管理 17 5．3．2多种用户认证方式 18 5．3．3 独特的无线访问控制 18 5．3．4 安全的AP技术 18 5．3．5无线接入点安全侦测和保护 18 5．3．6无线网络入侵侦测 19 5．3．7无线接入的病毒防护 19 六、XX酒店华为无线网络平台系统的实现 20 6．1无线覆盖实现 20 6．2无线组网实现 22 6．3网络用户与应用管理实现 23 6．5无线网的安全系统实现 24 七、XX酒店局域网改造项目进度计划 25 八、XX酒店局域网系统售后服务 26 一、 XX酒店中心简介 通过技术手段实现客观公平考试 二、 XX酒店无线网络项目建设需求 2．1 Internet无线接入的需求 WLAN无线网络引入XX酒店，将为客户提供随时随地的接入Internet的服务，来满足酒店对外的的移动接入Internet的需求。 2．2 优化无线射频的需求 目前现有的无线网络无线提供稳定可靠的的无线接入服务，需要对无线环境进行有效的的优化，改善无线用户的使用体验。 三、 无线网络平台建设和设计原则 3．1 XX酒店无线网络平台建设原则 根据客户提出的企业无线网络平台系统建设要求，我们确立的无线网络平台系统建设原则如下： 1、采用WLAN交换技术及WLAN 交换体系结构。 2、充分利用有线网络的结构与资源，不单独组网，AP就近接入有线网络（最近的交换机），并且不改变原有网络结构以及交换机配置。 3、采用集中控管的组网方式，集中控制管理所有的AP。 4、AP的供电不单独拉线，采用POE供电的方式。 5、采用先进的WLAN网管系统管理企业局域网。 6、充分考虑WLAN的安全性，采用先进的WLAN安全技术保障。 7、无线网络平台系统要能方便和灵活地调整与扩充。 3．2企业无线网络平台设计原则 依据客户要求和网络建设原则，在无线网络平台组网技术、设备产品选型、网络管理和网络安全等方面考虑以下设计原则： 3．2．1先进性原则 第一代无线网络平台主要是采用Fat AP，每一台AP都要单独进行配置，费时、费力、费成本；第二代无线网络平台融入了无线网关功能但还是不能集中进行管理和配置，其管理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈，在这样的环境下，基于无线交换机技术的第三代WLAN产品应运而生。第三代无线网络平台采用无线交换机和Thin AP的架构，使得无线网络平台的网络性能、网络管理和安全管理能力得以大幅提高。 3．2．2可管性原则 在网络管理方面，必须具有集中控管、智能调控、自动恢复、负载均衡等实用功能，使所建的无线网络可以适应多种环境的变化，可动态地保证良好的应用效果。同时，还应具有远端AP数据进行采集、远程监控、终端定位等功能，支持多SSID，可以方便的把语音、视频以及其他类型的数据的应用进行分开管理。 3．2．3安全性原则 在网络安全性方面，无线网络平台系统要具有与有线局域网同样要求的安全防护措施，无线网的安全性主要从以下几个方面考虑：（1）接入认证：具有支持多种用户认证方式；（2）采用具有用户状态访问控制的防火墙技术；（3）具有数据在无线信道上传输的VPN机制；（4）具有无线网的防病毒机制（5）具有无线电波监控能力，能提供无线入侵侦测和无线终端位置的追踪功能。 3．2．3可靠性原则 具有提供智能化的无线电波自动调控与切换能力，以确保单个AP接入点在发生故障时自动切换到邻近AP，不会影响无线的接入服务；具有支持热备份的无线交换机N+1的冗余备份机制。 3．2．4扩展性原则 通过一个集中的无线网络平台网管平台实现对所有的AP功能的配置和管理，AP既可以提供无线接入，也可设置为无线入侵监控、无线终端追踪定位、无线电波传输分析的工作模式。同时整个系统可以根据用户的需要进行规模上的扩展，扩展后所有功能和管理的模式保持不便。 3．2．5标准化原则 无线网络平台采用的技术支持应为国际标准或业界标准，不使用某个厂商的专用技术和协议，以保证网络设备的互通性，有利于网络的投资保护。 根据客户要求和以上无线网建设与设计原则，本方案提出采用美国华为 Networks公司的第三代无线交换局域网系统（以下简称华为无线系统），完成XX酒店无线网络平台系统的项目。 四、 企业无线网络平台系统方案设计 根据客户要求和本方案的设计原则，结合华为无线系统技术及产品的特点，将方案的设计分为组网方式设计、多业务区分设计、网络及用户管理、网络安全防护设计、移动漫游五个部分。 4.1组网方式设计 华为无线系统的组网方式有两种，集中式组网和分布式组网。可以根据不同的网络规模和管理方式，选用不同档次的无线交换机进行组网。 XX酒店网络平台系统目前属于中小型规模的无线网络平台，建议选用集中式组网的方式：采用一台华为3600无线交换机，配置成Master，用于集中的管理，将AP按接入策略分配接入到这台中央交换机上。 4．2多业务区分设计 从XX酒店的用户分类与分布情况分析，用户主要分成以下几类：（1）酒店住客；（2）公司员工；（3）会议客户。他们使用网络是被分为不同的业务类型，因此，在设计上采用无线网络平台多SSID技术，设置多业务区分方式。在一个无线网络平台内可以设置多个SSID，例如一个SSID可给内部员工所用，而另一个可给酒店住客专用。由于用户一般把SSID看成VLAN，所以它们都会惯性地以VLAN概念来划分SSID。其实在一个AP范围内，不管用户连接到那一个SSID它们实际上都是在同一个802.11广播域内，因为无线电波的传输是共享。一个最简单的例子就是AP把不同的SSID名字广播，所以当无线终端在这个AP覆盖范围内启动时，它就能同时看到多个SSID。SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。 为什么要把不同的安全加密协议设置在不同的SSID呢? 802.11的标准内定义了不同加密情况时数据包的封装格式，所以在使用不同的加密程式时，如WEP,TKIP(WPA),802.11i(WPA2)，它们是不可能在同一个SSID内同时存在的。 用户可根据实际的情况和802.11发展来制定以怎样方式来实现无线加密。最常见的做法是使用二个SSID，一个定义为OPEN/Static WEP供客户用，另一个SSID则为TKIP(WPA)专为内部员工使用。未来的发展趋势是新增设一个802.11i SSID让员工以过度的方式逐渐从转移到这个SSID上。不能一步转到802.11i的主因在于很多的无线终端现在尚未支持802.11i，而是不可能把所有的终端一次更换成最新的软件程序。 要注意的是SSID可以覆盖全网，也可以只局限于局域网内的某些范围。一般的情况下是全网开通，例如客人(Guest)使用的SSID；但有些SSID则可能只供某些部门使用，所以它的覆盖范围通常只会局限在某些范围内。 所以无线网络平台多种用户的不同业务类型应该采取不同的SSID进行管理和控制。企业雇员属于公司内的固定用户，可以采用专门的SSID，可以采用级别较高的认证和加密手段，对于来访人员可以使用另一个SSID，采用级别相对较低的认证和加密手段，这样就实现了区分的服务。 4．3网络与用户管理 华为无线系统中可以设定用户的角色（role），每个role可以基于用户状态防火墙和代理限制的设定等规则。用户状态访防火墙是华为无线交换机的独特功能，它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有基于用户的，它的保护只是基于IP地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效很小。华为的基于用户状态的防火墙则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的防火墙策略，不同的无线用户有不同的防火墙策略，例如一个用户可以使用SIP的服务，而另一用户则可用FTP。 一般在防火墙策略设计中，可以将住客和普通员工的权限设置的较低，只能访问有限的资源，且优先级较低，并且有带宽的限制，甚至可以做时间段的限制。 企业管理员可以具有较高的权限，访问更多的企业资源，或者对某些特殊的住客开放某些账号，分配给其较高权限的role。在带宽方面可以做比较宽松的限制。所有这些在配置、使用和管理上都非常的方便。 4．4无线安全性设计 在华为无线系统中，可以在多个层面对系统构筑安全防护，其安全性设计如下： （1）多SSID：可以根据需要，如用户的种类、应用的种类，在华为无线系统中设置多个SSID，不同的SSID采用不同的安全策略，这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式，该SSID不广播，用户无法看到，防止非法用户的连接企图。SSID还可以选择在某些AP上出现，某些AP上不出现，限制SSID出现的范围也是实现安全性的一种手段。 （2）加密：华为无线系统支持多种加密的方式，二层的加密支持静态WEP、动态WEP、TKIP、WPA、802.11i 多种加密方式，三层的加密支持IPSec VPN加密，这样使得加密的方式更加的灵活，可以根据实际需求进行选择。 （3）用户认证：提供二种方式。① WPA-PSK＋captive portal+VPN。加密方式采用WPA-PSK，不建议采用静态WEP，因为有安全隐患。采用captive portal+VPN的认证方式，同时VPN还具有三层的加密功能，具有更高的安全性。认证服务器的选择比较灵活，可以使用RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS，甚至是华为交换机内置的帐户数据库。 ② WPA+802.1X加密方式尽量采用WPA，如果客户端不支持也可采用动态WEP，认证方式采用802.1X，认证服务器选择RADIUS。 （4）用户的Role（角色）：每一类用户可以建立一个相关的Role，每个Role有一个用户状态防火墙的设定和带宽控制的设定，这样我们就可以将设定的安全策略加载到每个用户身上。 （5）用户状态防火墙：用户通过认证以后，会有一个基于这个用户的状态防火墙，可以根据每个用户设置他的访问控制策略，比如可以访问Internet,不能访问图书馆的服务器，只能访问WEB网页和收发邮件，不能运行P2P的软件等。 （6）带宽的控制：可以对每个用户设定其可以使用的带宽，一方面可以限制其对网络资源的占有，另一方面，当该客户端中了病毒以后，其病毒发作时不会占用网络全部的带宽。 （7）认证系统： 华为无线系统支持多种认证系统，诸如Radius、LDAP、微软的AD（活动目录）和在华为无线交换机内部的Internal DB。 （8）病毒的防护：无线终端病毒防护的可以从无线终端的准入检查以及对无线终端发出数据进行有效的检测两个层面来进行的。准入检查可以检查终端操作系统的安全状态，诸如系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况，并设置安全策略是否准予进入网络。在数据的检测上，华为无线交换机上可以设定策略，对于某些无线用户沾染病毒的终端，华为无线系统将其导向到第三方防病毒系统进行防病毒的检查，检查完成后，才允许接入。 4．5移动漫游设计 无线用户的移动漫游，涉及到多个层次的漫游，最为简单的是二层漫游，所有厂家的产品都表现得不错，三层漫游就困难多了，还有当用户跨越多个域时怎样无缝的漫游，华为无线网络平台可以实现以上所有漫游功能。 L2/L3层漫游 在传统的无线网络平台内，无线终端要跨越不同AP之间漫游是有一定的困难，因为不同AP之间，它的无线用户IP子网可能都不是在同一个VLAN内。所以当无线终端从一个AP漫游到另一AP时，由于它们之间的缺省IP子网不同，无线终端会重新发出DHCP请求，这样的话终端的IP地址就会更新，而所有在原先AP建立的连接都会被切断。过去为了解决跨越三层的漫游，有些用户采用了Mobile IP的技术，但Mobile IP的缺点是它必须在无线终端安装软件。这是一般网络管理人员不愿意做的事情，因为它们就必须支持和维护用户的无线接入端。 通过华为 无线系统的Proxy DHCP 功能，就可解决了跨越不同三层IP子网的无线漫游问题。 当无线终端从一个AP的IP子网漫游到另一个AP的IP子网时，它重新发出的DHCP请求会从这AP端的华为 无线交换机转发到原有子网的无线交换机(用户从那一个AP获取它的IP地址)。用户的原交换机会告知用户漫游到的华为 交换机继续保持用户的原有的IP地址。所以仍然无线用户已漫游到另一个IP子网，但它仍可以原有的IP地址继续在新的AP上入网。Proxy DHCP 的优点是它无需要求在用户终端安装任何软件就可让终端无缝的在不同IP子网之间漫游。 在不同域之间的用户认证和漫游 在一个大型网络内，一般都有很多不同的部门，部门内通常都有自己的用户数据库，即所谓的本地认证服务器。在实现应用时，要求有单一的认证数据库是未必可行的，但同时无线用户应是可在内无缝漫游。 当用户不是在本地入网或是从一个部门的接入点漫游到另一部门的接入点需要重新认证时，如果用户名和密码在当地的数据库是不存在的话，则用户会被断线。要做到真正的无缝漫游，则需要有支持Radius Proxy 这样的功能。但由于不是所有的认证服务器都支持这种功能所以在具体实施时也有一定的困难。华为 本身就可提供不同域之间的认证功能，域名可以与SSID绑定，亦可以让用户在登陆网页时输入或选择域名。华为会把在不同域之间的认证请求转发到对应这域的radius服务器处理。 五、华为无线交换局域网系统技术特点 无线网络平台技术经过十几年的发展，已经历了三代技术及产品的发展。 第一代无线网络平台技术采用单纯的AP实现无线接入外，基本上没有其它功能。 第二代无线网络平台技术（以正诚、昂科、Bluesocket等为代表），采用AC＋智能AP构架，AC两者实质均为二层设备，AP实现接入、AC实现汇聚和认证功能，有的厂商的AC实现了二层网络交换，具有基本的网络的控制和用户的管理，如：WEB认证、流量的控制、访问的控制等；支持VLAN、VPN、WPA等基本的安全管理，它们无法实现对无线电磁波层面的调控和优化。 由于这一代技术的AP储存了大量的网络和安全的配置，包括加密的钥匙，Radius client的安全密码 (secret) 等，而AP又是分散在建筑物中的各个位置，一旦AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的，所以当用户接入数量 (IP sessions)增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。 第三代无线网络平台技术采用无线交换网络架构（以Cisco、华为为代表），实现了基于无线网络交换机，以AP为单元交换的无线网络系统，华为是采用独立的无线网络交换机实现的。 作为第三代的华为无线系统采用了Wireless Switch＋AP构架，将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现，同时加入了许多重要新功能，诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。 华为无线系统不但具有一、二代无线产品所有的功能，并且在无线网的规划、管理、安全和对音视频业务的支持方面都有着与一代和二代产品不可比拟的优势。 在无线网融合到有线网络方面，华为无线系统所独有的三层路由穿透技术可以不更改原有线网的路由设定，使得无线网络的规划和实施非常方便。 在无线网络管理方面，华为无线系统实现真正的集中控管，包括独有的RF智能调控，自动恢复、负载均衡功能，使无线网可以适应无线环境中的电磁波变化，动态自动调节到最佳应用效果；还可以实现远端AP状态监测，方便实现对AP的管理；具有多SSID支持，实现了对无线数据、语音和视频的应用带宽管理。 在无线安全性方面，华为无线系统具备多种用户认证、、基于用户的状态防火墙、VPN加密机制、无线入侵侦测、无线接入病毒防护功能以及集中的安全管理。 在无线音视频应用方面，华为独有的基于每个用户的带宽控制和QOS保证，可以确保语音和视频业务的实时性，先进的无缝三层移动漫游，使得VoIP以及Wi-fi Fhone可以自由的在任意AP间切换，具有目前业界最低的时延。 5．1 华为无线网络平台系统架构 5．1．1先进的无线局域交换机 作为第三代的华为系统采用了Wireless Switch＋thin AP构架，将第二代分散在AP+AC上的网络管理和安全管理功能转移到集中的 WLAN 交换机中实现，同时增加了许多无线网络平台全新的功能：诸如：无线安全性、AP管理控制、RF站址监测、无缝移动漫游，特别是对语音、视频业务的支持有专门的Qos保证，使得VoIP的应用，如Wi-Fi技术应用得到了飞速发展。 5．1．2灵活的组网方式 第三代的华为产品可以根据从小型的无线网规模（几十个AP），到大型无线网规模（几百个AP，甚至上千个AP），都可以采用集中或者分布式的组网方式进行灵活的组网。并可以提供冗余热备份机制，保证系统的高可用性。 5．1．3优秀的扩展性 无线网络具有非常容易扩展的特性，因此，今天在组建无线网时必须要考虑系统的扩展性。在网络系统扩展性方面，华为的一台5000/6000型交换机可灵活地对从128个AP扩充到支持512个 AP，因此扩展AP非常容易；从网络管理扩展性方面, 华为的Master/Local方式，增加交换机也非常容易管理。 除了AP数量之外，怎样控管大量的AP和部署也是扩展性的重要考虑因素。要妥善处理数目众多的AP在局域网内正常远作，包括无线电波协调、无线用户的带宽和安全访问控管以及其它各种各样的无线增值服务都可以通过华为系统的网管系统实现。 5．1．4 无需更改有线网结构 企业实现无线网络平台接入，需要在现有的局域网上做很多路由的修改，这当然是企业的网管人员不愿意做的事情，采用华为系统无需更改企业现有的有线网结构。 由于无线用户的传输是通过华为 AP 内已建立的GRE隧道和华为交换机互连的，所以实际上无线用户的VLAN是无须在接入层和汇聚层存在。无线用户的VLAN是可透过华为交换机和骨干交换机互连互通。这样非常方便在大学局域里实施无线网络平台，同时也非常方便进行扩展。 华为的无线交换机可以安装在企业的中心机房，而AP则可以放置于企业的任何地方，无需用二层设备连到无线交换机，或者划分VLAN；其他厂家则需要二层交换机连接或者划分VLAN，否则只能将认证点下放到AP上，导致整体性能的降低和漫游特性的缺失。 不用划分VLAN，对于企业无线网的管理带来极大的便利性。 对原有的有线网路由器不需要改变路由结构，减轻了由于无线网的建设而对原有网络的结构改变的工作量。 5．1．5方便地无线网规划设计 在规划一个无线网络平台络时，规划设计者一项重要的工作是要考虑安装多少AP可以满足覆盖？应在哪些位置安装AP，安装后电波的覆盖范围，信号在不同位置的强弱等，要完成此项工作，通常做法是规划设计者要在现场做大量的测试工作，通过经验去估算位置和数量，其工作量非常之大，且还无法预先规划每个AP的电磁波和功率参数以及AP之间的覆盖相交范围。 华为首创开发了RF Planning工具，可以让规划设计者在考虑无线网络平台组网之初采用RF Planning在计算机上做规划设计，估算在要求的覆盖面积上AP应安装的物理位置所在。使用这套工具时，在数字化的企业建筑图纸上设定无线所覆盖范围如那几个楼层和面积大小，输入有关无线覆盖和传输模型的相关参数，如无线终端的平均带宽，AP和AP之间覆盖面等。RF Planning自动计算，然后显示出AP在图上的安装坐标位置和无线电波的覆盖范围。安装人员就可以根据图纸上所显示的位置安装AP，在无线网安装完成后，网管人员通过RF Planning的Auto-Calibration功能，设定华为交换机自动调节网上所有华为 AP的频道与功率参数以达到一个最优性能的运行状态。在无线网络平台系统投入运行后，网管人员可通过RF Planning随时监测网内的每个AP的无线电波的状态，及时掌握每个AP的工作状态和故障诊断，及时做出调整策略。华为 RF Planning为无线网的规划设计、调试以及维护提供科学化和规范化的管理。 5．2华为无线网络平台的网络管理 5．2．1 集中式管理 管理一个具有规模的无线网络平台（通常在几十个AP以上）是一件非常头痛的事情。从RF覆盖面，带宽，用户的认证，以及接入的安全都要考虑。由于传统的无线网络平台是单纯基于AP，因此对于无线网络的管理，其大量工作是要在每个AP上进行设置和更改。其工作量在有一定数量AP的无线网里是非常大和烦琐的，而且无线网络平台是一个整体系统，AP之间必须互协调工作，单独改变一个AP参数和配置会引起AP之间的无线电波干扰，用户漫游重认证和授权也可能会产生问题。 华为系统具有非常强的无线网络平台集中管理功能，通过无线交换机Master Switch和Local Switch管理模式管理整个网络，网管人员只需在无线交换机就可开通、管理、维护所有AP设备以及移动终端，包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户。 5．2．2无需安装客户端软件 华为系统无需为每一个移动用户终端安装无线接入软件， 华为的认证可以基于WEB页面认证，该认证只需用户打开浏览器就可以登陆。 华为采用GRE隧道技术，可以透明地穿透在无线交换机和AP之间的任何三层网络交换设备实现WEB认证，而其他的厂家在这种网络环境下，必须要为客户端装上基于标准的L2TP 或 IPSEC 或 802.1X客户端软件才能实现WEB页面认证。 5．2．3 RF智能控管 华为系统的RF智能控管可以自动调节网上所有华为 AP的电波特性。 当初次安装无线网络平台时，用户可通过RF Planning的Auto Calibration功能来自动调节整个无线网上所有AP的无线电波频率和功率。启动了Auto Calibration以后AP和AP之间会自动互传有关无线电波的信息和调整电波的参数，直到AP之间达到了一个最优化的无线电波运行环境。 华为系统的RF智能控管可以自动对网上所有华为 AP的无线电波管理。 当无线网络平台经过Auto Calibration调整后而正式运作时，网络管理员可在华为 交换机内启动ARM这功能，则无线网上所有的华为 AP都会在设定的时间内自行扫描其它的无线频道。所谓电波扫描，是指华为 AP 从一个电波频道跳到另一频道时，如Ch 1 到 Ch 2 到 Ch 3....，由于扫描的速度非常快，所以对于在线的无线用户（指连接到AP上在同一频率上的无线终端）的传输过程是不受到影响地。当AP停留在一个频道时，它会把在这频道上收到的无线电波信息转送回华为 无线交换机。这样华为 无线交换机就对整个无线网上的电波情况有了一定解和记录。当某一覆盖范围内的电波改变，如出现干扰AP所发出的电波或其它应用所发出的电波等，华为 无线交换机就会把所获取的无线电波资料做分析，以确定是否需要调整这范围内AP的无线电波。 5．2．4 多个SSID结构 华为系统的多SSID结构和和实现技术使得在华为无线网络平台系统的各种应用服务（数据、语音和视频）在Qos上表现非常出色。在一个无线网络平台内可以设置多个SSID，例如一个SSID可给企业内部教师、工作人员以及顾客所用，而另一个可给外来的访问客户专用。所以当无线终端在这个AP覆盖范围内启动时，它就能同时看到多个SSID。SSID的另一用途是可让无线终端以不同的安全认证和加密方式入网。 在一个语音SSID内可把SIP和H.323等无线语音数据以优先级队列处理。在一个视频SSID内可把视频数据流传输以优先级队列处理。同时在一个预设定的视频SSID内只允许网络管理设定视频数据流传输协议通过，以确保其它数据不能进入这SSID。在一个预设定语音SSID内只允许网络管理设定语音传输协议通过，以确保其它数据不能进入这SSID。 这样可在多SSID的情况下确保音视频的Qos。 5．2．5故障自动恢复 传统的无线网在有AP损坏或失效时，这个AP的覆盖范围就会失去了无线连接。遇到这种情况的一般做法就是把现场失效的AP换掉。但由于大多数的AP都是设置在外面(不是在机房)，所以不一定能马上作更换，现场的环境也有局限性，不一定很容易维护人员即时做出更换(很多的AP都是安装在天花板上)。 华为系统具有自动恢复的功能，实时侦测出网上AP是否有失效，当发觉有AP出现故障时，华为交换机能会自动调节邻近的AP的功率（覆盖范围）来接替失效AP的工作。 5．2．6网络负载均衡 华为系统可在一个AP的覆盖范围内把无线用户或终端分散连接到附近的AP上。在一个AP的覆盖范围内，无线连接的带宽是共享，即无线终端数目越多，每个终端所能分享的带宽就越小。要确保每个无线终端的传输就必须能限制一个AP上无线终端的数量或AP带宽传输总和或和每个无线终端带宽上限。华为无线系统可应用层面通过4－7层交换模块可以实现服务器的负载均衡，VPN设备，防火墙设备等等一系列基于TCP/IP协议设备的负载均衡来保证整体网络的可靠性。 在视频应用中，负载均衡功能可以有效的缓解单个AP的负担，有效的利用临近的AP做接入，从而确保视频应用的质量得到保证。 5．2．7 无线终端定位 华为 网管系统可以跟踪和定位无线终端的位置，诸如无线接入的电脑、PDA和 Wi-Fi手机等。华为采用的无线定位模式称为三角定位，它的准确性可达到2.5米以内，先决条件是所寻找的无线终端附近须有最少三个华为的AP 在范围内。这是传统无线网络平台所不能做的，有些单位如医院就是采用了无线定位技术来取代传呼机在医院内寻找医生、病人等。 5．3 华为无线网络平台系统的安全管理 5．3．1 集中的安全管理 华为无线系统的安全管理是将防火墙、VPN、安全认证、防病毒、无线入侵监测以及RF 电磁波管理等多项安全功能汇聚到华为无线交换机上来完成的，解决了传统的无线网对安全的分散管理（AP、AC）和能力，给用户带来的不安全感，摆脱了对有线网安全的依赖性。 5．3．2多种用户认证方式 在华为无线系统中，一个无线用户进入无线网以后，只会拿到一个最基本的入网权限，这个权限不容许用户访问任何网段，只让用户通过DHCP获取IP地址、传送DNS协议数据包，通过认证以后才可以接入无线网。 华为无线系统支持目前各种用户认证的方式（802.1X、WEB认证、MAC、SSID、VPN等），局域网用户可以根据需要方便选择。 5．3．3 独特的无线访问控制 用户状态防火墙是华为无线交换机的独特功能，它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有用户这概念，它的保护只是基于IP地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效是不大。华为无线系统的防火墙功能则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的用户状态防火墙，不同的无线用户有不同的防火墙策略，例如管理员和工作人员可以使用更多的服务，而顾客只可以浏览网页、收发Email等，这样可以极大方便局域网用户的安全管理。 5．3．4 安全的AP技术 华为无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过AP，而是在华为无线交换机上实现。由于华为的AP是不储存任何网络配置（IP地址除外）和安全设置，因此华为 管理的AP是不能单独工作的，因此获得和接入进华为 AP，黑客也不会拿到无线网的网络和安全配置参数。 5．3．5无线接入点安全侦测和保护 采用华为 无线系统的RF侦测功能和保护机制可以实时监测企业无线网覆盖区域内的所有AP接入情况,如相邻房间的AP、设置错误的AP以及未经认可而连接到网络中的AP。通过华为 的网络安全管理系统，网络安全管理人员可以及时发现是否有非法的AP接入，发现后可以开启自动保护机制，阻止无线终端通过非法AP联接到无线网中。 5．3．6无线网络入侵侦测 今天已经有很多的无线入侵和攻击的工具可从网站下载，这些工具的普及对学校、和运营商的无线网的安全构成很大的威胁。今天绝大部分的无线网络平台都没有侦测无线入侵的功能，所以当受到像无线DOS攻击时，就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击在HotSpot会导致用户的无线连接断线，但网管中心仍然不知，用户则误以为是网络问题，间接影响无线网系统的品质。 华为 无线系统的特点是交换机由专有的网络处理器和加密处理器组成，且内置一个无线入侵模式库，实时检测异常的无线数据包，当华为 无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应。 5．3．7无线接入的病毒防护 华为无线系统针对无线终端的病毒防护分为两个层面，一、无线终端的准入检查；二、对无线终端发出数据进行有效的检查和监控。 无线终端病毒防护的第一步是准入检查，当无线终端连接到华为无线系统中，当试图访问网络，在用户认证之前，需要下载一个基于JAVA的程序，可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况，做一个检查，如果不能通过检查，可以设定策略禁止其访问网络，也可设置成将无线用户重定向到一台升级服务器，打系统补丁、安装防病毒软件和升级病毒定义码，满足系统制定的安全策略以后，该无线终端才可以进入认证环节进行用户的认证。 当无线终端通过了准入检查，但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。华为公司和第三方的防病毒墙厂家合作，在华为