机场无线部署解决方案模板.doc

《机场无线部署解决方案模板.doc》由会员分享，可在线阅读，更多相关《机场无线部署解决方案模板.doc（36页珍藏版）》请在咨信网上搜索。

机场无线部署解决方案 35 2020年4月19日 文档仅供参考 机场无线覆盖解决方案 目录 1 项目概况 4 1.1 项目背景 4 1.2 项目目标 4 2 术语解释 4 3 总体设计方案 7 3.1 无线网络组网规划 7 3.2 网络高可靠性 9 3.2.1 AC 冗余备份 9 3.2.2 DHCP Server备份 9 3.3 无线安全设计 10 3.3.1 WIFI接入及认证过程 10 3.3.2 无线数据加密 11 3.3.3 AC与AP之间的安全认证 11 3.3.4 其它无线安全控制技术 12 3.4 无线网络管理 12 3.4.1 网络发现 13 3.4.2 拓扑管理 13 3.4.3 无线网络规划 13 3.4.4 无线网络监控 13 3.4.5 无线网络安全 13 3.4.6 AC性能管理 14 3.4.7 网络流量分析 14 3.4.8 告警管理 14 3.4.9 报表呈现 14 3.4.10 软件管理 14 3.4.11 配置管理 14 3.4.12 资产管理 15 3.4.13 任务和调度 15 3.4.14 日志管理 15 3.4.15 安全管理 15 3.5 QOS部署 15 3.5.1 QOS总体框架 15 3.5.2 QoS高优先级业务数据优先保证 16 3.5.3 管理报文高优先级处理 17 3.5.4 经过client QoS修改用户的优先级 17 3.5.5 基于用户的限速 17 3.6 POE供电方案 18 3.6.1 POE供电模块供电 18 3.6.2 POE交换机供电 19 3.7 网络设备要求 19 3.7.1 无线AP 19 3.7.2 AC控制器 20 3.7.3 AAS服务器 22 3.7.4 Portal服务器 25 3.7.5 NetManager网管 26 1 项目概况 1.1 项目背景 暂无 1.2 项目目标 暂无 2 术语解释 Ø WLAN：无线局域网络(Wireless Local Area Networks； WLAN)是相当便利的数据传输系统，它利用射频(Radio Frequency； RF)的技术，取代旧式碍手碍脚的双绞铜线(Coaxial)所构成的局域网络，使得无线局域网络能利用简单的存取架构让用户透过它，达到「信息随身化、便利走天下」的理想境界。 Ø 无线AP：AP是(Wireless) Access Point的缩写，即(无线)访问接入点。如果无线网卡可比作有线网络中的以太网卡，那么AP就是传统有线网络中的HUB，也是当前组建小型无线局域网时最常见的设备。 Ø 瘦AP: 无线接入点(AP，Access Point)也称无线网桥、无线网关，也就是所谓的“瘦”AP。此无线设备的传输机制相当于有线网络中的集线器，在无线局域网中不停地接收和传送数据;任何一台装有无线网卡的PC均可经过AP来分享有线局域网络甚至广域网络的资源。理论上，当网络中增加一个无线AP之后，即可成倍地扩展网络覆盖直径;还可使网络中容纳更多的网络设备。每个无线AP基本上都拥有一个以太网接口，用于实现无线与有线的连接。 Ø AC：无线接入控制服务器， 接入控制器(AC) 无线局域网接入控制设备，负责把来自不同AP的数据进行汇聚并接入Internet，同时完成AP设备的配置管理、无线用户的认证、管理及宽带访问、安全等控制功能。 Ø POE：POE (Power Over Ethernet)指的是在现有的以太网Cat.5布线基础架构不作任何改动的情况下，在为一些基于IP的终端（如IP电话机、无线局域网接入点AP、网络摄像机等）传输数据信号的同时，还能为此类设备提供直流供电的技术。POE技术能在确保现有结构化布线安全的同时保证现有网络的正常运作，最大限度地降低成本。 Ø 802.11g：在2.4GHz频段，是一种能支持较高数据传输速率（1～54Mbit/s），采用微蜂窝、微微蜂窝结构，自主管理的计算机局域网络。 Ø 802.11i：无线安全标准，wpa是其子集，规定使用802.1x认证和密钥管理方式，在数据加密方面，定义了TKIP、CCMP和WRAP三种加密机制。 Ø 802.11n：Wi－Fi联盟为了实现高带宽、高质量的WLAN服务，使无线局域网达到以太网的性能水平，802.11任务组制定了N（TGn），将无线局域网的传输速率从802.11a和802.11g的54Mbps增加至300Mbps以上，最高速率可达600Mbps，采用OFDM技术、MIMO（多入多出）技术。 Ø WEP：WEP是Wired Equivalent Privacy的简称，有线等效保密（WEP）协议是对在两台设备间无线传输的数据进行加密的方式，用以防止非法用户窃听或侵入无线网络。 Ø WPA：英文缩写: WPA (Wi-Fi Protected Access) WPA是一种基于标准的可互操作的WLAN安全性增强解决方案，可大大增强现有以及未来无线局域网系统的数据保护和访问控制水平。WPA源于正在制定中的IEEE802.11i标准并将与之保持前向兼容。　 Ø WPA2：WPA2 是经由 Wi-Fi 联盟验证过的 IEEE 802.11i 标准的认证形式。WPA2 实现了 802.11i 的强制性元素 [1]，特别是 Michael 算法由公认彻底安全的 CCMP 讯息认证码所取代、而 RC4 也被 AES 取代。 Ø WPA/WPA2 企业版：Wi-Fi 联盟已经发布了在 WPA 及 WPA2 企业版的认证计划里增加 EAP（可扩充认证协定）的消息，这是为了确保经过 WPA 企业版认证的产品之间能够互通。先前只有 EAP-TLS（Transport Layer Security）经过 Wi-Fi 联盟的认证。 Ø SSID：SSID是Service Set Identifier的缩写，意思是：服务集标识。SSID技术能够将一个无线局域网分为几个需要不同身份验证的子网络，每一个子网络都需要独立的身份验证，只有经过身份验证的用户才能够进入相应的子网络，防止未被授权的用户进入本网络.。 Ø 无线漫游：当网络环境存在多个AP，且它们的微单元互相有一定范围的重合时，无线用户能够在整个WLAN覆盖区内移动，无线网卡能够自动发现附近信号强度最大的AP，并经过这个AP收发数据，保持不间断的网络连接，这就称为无线漫游。 Ø 数字证书：数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，它是由一个由权威机构-----CA机构，又称为证书授权（Certificate Authority）中心发行的，人们能够在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书是一种权威性的电子文档，由权威公正的第三方机构，即CA中心签发的证书。 3 总体设计方案 3.1 无线网络组网规划 n 组网说明 Ø 在机场核心交换机分别旁挂1台或多台AC无线控制器，经过1+1方式实现冗余备份，在机场无线热点区域部署多个瘦AP 。根据现有机场有线的网络的部署情况，无线AP与AC控制器间经过二层或三层实现互联互通，AC工作在集中转发模式，所有无线终端的业务数据经过AC进行集中转发。 Ø 机场无线AP手动配置自身IP地址，与AC 的IP地址实现隧道互联，无线终端的IP地址经过DHCP 动态获取，网关指向机场的核心交换机，建议部署两台DHCP服务器，在核心交换机上配置DHCP 中继，分别指向两台DHCP服务器，实现对DHCP服务器的冗余备份。 Ø 机场无线AP采取WPA2的无线加密认证方式。无线终端上行的802.11的数据报文经过AP重新封装到802.3格式以太报文中，直接发给AC，由AC进行过滤识别后进行转发，这个过程实现了WLAN无线的数据和现有业务的数据隔离。 J 注意事项：因无线的数据均采用集中转发方式，因此在无线终端间进行数据访问时，也需要数据经过AC集中转发而访问，增加了不必要的网络开销，我们建议禁止无线终端间的数据访问业务。 n 设备配置说明 设备名称 部署设备型号 数量 设备说明 无线控制器 WNC6000-1000-AC X台 AC控制器，支持1024个AP接入 室内AP WA -213W-PE X台 单频、单模，室内2.4G增强型室内AP。 802.11 （ b 、 g 、 n ） ，外置天线，100mw 放装型 ， POE 受电方式。支持wapi 。 室外AP WA -362W-PTE X台 WA -362W-PTE,无线,双频、双模，2.4G、5.8G增强型室外AP。 802.11 （ a、b 、 g 、 n ） ，外置天线，500mw +500mw放装型 ， PTE 受电方式。支持wapi AAS服务器 Access Authentication server 1 迈普设备接入认证服务器(基本型、含硬件)，2个以太口 AAS-L- X 个License认证用户数，单一系统支持多个License累加 Portal软件 Portal Authentication Server 1 Portal认证服务器中文版 短信网关 Maipu SMS-CN 1 MaipuSMS-CN、电信制式短信网关 无线网管软件 Maipu NetManager 1 多业务智能管理平台(专业版，中英文版，无最多可管理网络设备数量限制) NM-WlanManager 1 无线业务管理组件 NM-L-500 软件许可，每个许可可增加500个设备节点授权许可 3.2 网络高可靠性 3.2.1 AC 冗余备份 AC无线控制器采用，1+1冗余备份方式，在核心交换机分别旁挂1台或多台AC无线控制器，经过1+1方式实现冗余备份，保证了整个无线网络的高可靠性。根据无线AP的规模来确定AC的容量。在备机房放置同等数量和容量的AC，实现完备的1+1冗余备份。 1+1冗余备份方式，需要从两个层面来保证设备和网络的冗余可靠性。 首先， AC和备份AC之间的管理通道保持有快速心跳检测机制，心跳时间根据网络的质量能够配置，建议为200ms到5s之间。心跳报文在两端AC和整个通道的网络设备之间采用高优先级保证。同时，主AC和备份AC之间能定期和实时的同步AP，client的各种状态。这样，备份AC能实时监控主AC的活动状况。一旦主AC出现宕机等事件，备份AC收不到主AC的心跳报文，立即通知该主AC管理的原AP，实行切换。 其次，AC和所管理的AP之间的管理通道保持有心跳检测机制。这种机制中除了检测AC的状态之外，还能够检测整个网络通道是否可达。心跳时间根据网络的质量能够配置，建议为5s到20s之间。1+1的备份方式在部署时，AP需要配置主用AC和备用AC的地址列表，我们采用静态指定的方式，在AP上写入主备AC的IP地址，当主AC出现宕机或者主机房网络出现故障，访问不可达的情况下，AP主动发现并切换到备AC上。 3.2.2 DHCP Server备份 DHCP SERVER备份实现机制 ：在机场主机房搭建主 DHCP SERVER和备用DHCP SERVER；经过核心交换机做DHCP RELAY ，分别指向主、备DHCP SERVER，在正常情况下，用户端从主DHCP服务器获取地址，当主 DHCP SERVER宕机的情况下，用户从备 DHCP SERVER获取地址 。该功能的实现需要在核心交换机上配置两条DHCP RELAY命令 。 3.3 无线安全设计 由于无线接入的开放性，因此无线接入安全是部署无线网络的重中之重。当前兼容性最好、可实现性最高的无线安全接入方式就是结合数字证书的WPA2身份认证及数据加密技术。 3.3.1 WIFI接入及认证过程 为满足用户能够更方便快捷的使用WIFI热点，而且又能够对接入用户合法性进行确认，本方案设计采用AAS+Portal+短信方式认证。 n Web认证 机场WIFI用户使用手机或者pad自动搜索到机场WIFI热点，在连接的时候会自动重定向到本地Portal页面上，给用户推送一个Web认证界面。当用户再次经过HTTP协议上互联网时，会触发Portal认证，后端的Portal认证服务器会推送一个Web认证页面到用户终端上。用户在WEB认证界面填写自己的手机号，点击获取随机密码，则用户填写的手机号对应的手机会收到一条短信，获取到一个随机密码，用户经过该手机号码及短信收到的随机密码进行Web认证。认证经过后系统允许用户终端上网，而且返回一个认证经过的页面，再次根据用户所在的公交车位置信息判断推送不同的广告信息； n AAS服务器 AAS是基于AAA的认证系统，在本方案中主要功能为配合Portal服务器为用户提供身份认证。AAS也能够经过代理方式与运营商或者上级AAA系统进行对接，能够直接与营运商的用户库（如手机号等信息）共享，避免用户信息多点维护。AAS认证的用户名基于运营商用户库，因此有效的避免了其它运营商的用户接入占用资源的问题。该系统允许所有运营商的用户能使用。 3.3.2 无线数据加密 WPA2使用加密性能更好、安全性更高的加密算法：AES-CCMP（Advanced Encryption Standard - Counter mode with Cipher-block chaining Message authentication code Protocol，高级加密标准－计数器模式密码区块链接消息身份验证代码协议），其主要有如下几点改进：使用128位AES加密算法实现机密性保护，数据完整性保护，自动重新生成密钥对以派生新的数据加密密钥，使用数据包编号字段实现防重播。AES-CCMP在802.1X身份验证过程动态创立一组主从密钥，并由该从主密钥对和其它值派生出数据加密所需的临时密钥，避免了WPA-PSK主密钥需事先定义而可能泄露的弊端。 3.3.3 AC与AP之间的安全认证 为了保证AC与AP之间的访问安全，特别是防止黑客或者攻击者从市场上购买同一品牌的AP，私自接入机场网络，进行各种高级攻击。因此需要加强AC和AP之间的安全认证。 最简单的认证是MAC地址认证，部署过程中能够将系统中的合法AP的MAC地址统一记录在Radius或者AC上。AP在跟AC关联进行集中管理时，都需要在AC上经过mac地址认证才能允许AP接入无线网络； 其次是密码认证，第一次部署过程中需要在AP上设置相关密码；AP在跟AC关联进行集中管理时，都需要在AC上经过密码认证才能允许AP接入无线网络； 注：前面两种方式都是单向认证，在AC上认证接入AP；还有一种更安全的方式是数字证书认证，我们采用的X.509数字证书认证方法。该认证方法是双向认证，除了AC上认证AP的证书，同时在AP上还需要验证AC的证书，充分保证网络设备的合法性。在首次部署的时候，需要将相关证书下发到设备上。AP运行过程中，跟AC关联进行集中管理时，就会启动该双向认证，成功后才能允许AP接入无线网络。 3.3.4 其它无线安全控制技术 其它无线安全技术主要体现如下几方面： Ø SSID隐藏：隐藏无线对外服务标识，类似在开放的环境中隐藏接入端口，保护无线接入。 Ø 无线用户接入时段控制：根据业务需要，限制终端用户经过无线接入的时间区间，能够实现在非工作时间外禁止接入网络。 Ø 无线用户访问权限控制：能够在无线接入控制器上实现ACL控制，放行移动终端业务的目标地址，阻断其它应用，经过ACL控制访问权限。 Ø 无线用户速率控制：经过限制每个无线终端的速率，防止各种恶意或无意的高速率访问，确保其它用户经过无线接入的接入速率、接入稳定性。 Ø 无线用户相互隔离：对经过无线接入的终端实现隔离，阻断相互之间的通信，不但实现安全管理，也可避免终端之间的相互影响。 3.4 无线网络管理 整个无线网络统一进行无线网络设备管理，无线网络的可管理性在整体项目中将起到非常重要的作用。根据机场的应用需求，我们提出实现无线网络的“云管理”方案。 简单来说，无线网络管理分成以下三层管理架构： Ø 网管软件对AC的管理：主要聚焦在网管软件对各个AC的状态监控，并对AC进行权限管理及监控。 Ø 网管软件对AP的管理：主要聚焦在网管软件对分布在全国任意网点的AP的追溯管理，包括每台AP下的终端接入数，终端流量，终端应用。 Ø 网管软件对无线终端的管理：主要聚焦在网管软件对接入到全国任意网点的所有无线终端的管理，包括终端流量等等。 经过以上三方面不同层次的网络管理，使得无线网络的管理更可控。 3.4.1 网络发现 基于IP范围发现AC，手动添加设备 基于AC发现无线网络，自动添加设备 3.4.2 拓扑管理 支持网络拓扑图的自动生成及拖拉缩放，支持网络拓扑分层分级导航和管理及自动更新 支持网络拓扑图的手动定制及定制连接 支持物理连接和逻辑连接，并在拓扑上显示连接属性，如端口、贷款及连接状态 3.4.3 无线网络规划 支持无线分级地图 3.4.4 无线网络监控 支持在各AC管辖下的无线AP列表 支持列出客户端列表:包括活动客户端列表、客户端列表历史、信噪比等 3.4.5 无线网络安全 支持统一安全策略：统一安全策略的创立及安全策略的下发和部署 支持无线安全防护：包括Rogue AP列表，Rogue Client列表，Rogue设备反制及无线入侵事件列表等 3.4.6 AC性能管理 支持AC性能监控，及性能数据的管理 3.4.7 网络流量分析 支持网络流量数据采集标准(Cisco NetFlow, sFlow等) 支持带宽使用统计 网络性能瓶颈发现 输出网络流量报告，支持基于图形化和数据表格方式的网络流量详细报告 3.4.8 告警管理 支持告警定义，告警呈现，告警管理及相应的告警操作。 3.4.9 报表呈现 支持表格和图形混合展现的报表呈现方式 可手动、自动生成报表，并自动发送报表 3.4.10 软件管理 支持软件包管理及AC、AP软件自动升级 3.4.11 配置管理 支持批量配置管理，配置文件管理 3.4.12 资产管理 支持设备资产管理，设备资产信息收集和展示，并定期自动同步 3.4.13 任务和调度 支持任务的查询/修改/制定，从而实现按时批量任务实现 支持一次性任务调度、周期性任务调度，并输出任务执行日志，并回报任务执行结果通知 3.4.14 日志管理 可记录日志，包括网管日志，网元操作日志，安全日志及网元日志等 可操作日志，包括设置、转储、查询和打印等 并可对日志进行定期清理 3.4.15 安全管理 可对用户组进行安全管理，包括用户管理、管理域等 可实现第三方认证和授权，支持RADIUS，TACCS,LDAP 3.5 QOS部署 3.5.1 QOS总体框架 经过WMM协议，使802.11在链路层和MAC层提供支持QoS的无线网络接入服务，加上有线网络原有的应用层、IP层的QoS策略，提供了无线设备端到端的QoS支持能力，以无线终端Client1发送报文到Client2为例说明Qos总体框架。 总体框架中提供两大部分QoS部署： Ø 一是从client到AP之间的无线QoS部署，该部分主要是对于空中的无线报文（802.11报文）进行各种QoS管理和配置。对于语音和视频等高优先级流量进行调度； Ø 二是从AP到AC之间的有线QoS部署，该部分主要是对于以太网报文（802.3报文）进行各种QoS管理和配置。因为无线报文达到AP后，就接入了有线网络，报文也就是从802.11格式转为802.3格式，进行有线网络转发。 3.5.2 QoS高优先级业务数据优先保证 WMM QoS到802.3的CoS之间的映射：AP收到802.11报文后，AP将其中WMM QoS字段转换为802.3的CoS字段的值，保证无线用户的优先级信息能够保持不变，高优先级数据优先处理。 内部优先级到外部优先级的映射（未来实现）：数据被封装到隧道后，内部的优先级不能被其它网络设备识别，因此必须将内部的优先级映射到外部网络。AP在封装隧道数据时，会把内部优先级映射到隧道数据的外部，保证其它网络设备也能按照用户数据的优先级进行转发。 AC对于QoS优先级的处理：AC收到隧道数据后，首先解封装，根据内部CoS的优先级进行数据调度，保证高优先级的数据得到优先转发。 802.3的CoS到WMM QoS之间的映射：AP收到来至有线网络的802.3报文后，AP将其中802.3的CoS字段转换为WMM QoS字段的值，对于高优先级的数据优先发送。 3.5.3 管理报文高优先级处理 对AP和AC之间的管理报文,即端口号为57776的TCP报文和端口号为57778/57779的UDP报文，设置高优先级，能够保证管理报文的高优先转发。 3.5.4 经过client QoS修改用户的优先级 AP上的client CoS功能能够根据优先级策略直接修改用户的优先级。AP收到802.11数据后，匹配用户的IP地址，根据用户的IP匹配对应的策略，根据策略设定的优先级改写原有的优先级，保证特定用户的数据得到特定的优先级。 配置方式如下： Ø 配置分类表（classmap）： 建立一个分类规则，能够按照ACL、CoS、VLAN ID、IPV4 Precedent、DSCP、IPV6 FL来分类。之后，对于不同类别的数据流采取不同的策略。 Ø 配置策略表（policymap）： 对数据流进行分类之后，就能够建立一个策略表，之后就能够将其对应一个先前建立的class-map，进入策略分类表模式，然后就能够对于不同的数据流采取不同的策略，如带宽限制、优先级降低、分配新的DSCP值等等。也能够定义一个集合策略，这个策略能够在同一个策略表内部被多个策略分类表使用。 Ø 将QoS应用到AP或者AC： 如果需要在AP上启动QoS，则在AP profile文件中增加配置的策略应用。 如果需要在AC上启动QoS，将策略绑定到AC的端口。 3.5.5 基于用户的限速 基于用户的限速，配置命令经过AC下发到AP上，用AP来实现每一个终端速度的限制。实现原理是对用户的数据流量进行精确的统计，按照令牌桶的原理，单位时间内，每个用户都会分配到指定大小的令牌，用于流量允许经过。如果超过了用户限制的带宽，令牌就会用完，该用户的数据报文将会丢弃。每个用户都会有令牌桶，因此能够精确到每个用户的限速。限速粒度为64Kbps。 对于每个用户的上行和下行报文，设计有单独的令牌桶，能够分别控制和进行速率限制。 限速的配置能够从两个方面进行，如果对于所有用户限速都相同的话，能够从AC上经过配置AP的client qos模块中ratelimit参数，统一下发给AP。如果对每个用户的限速不同的话，因为用户数比较多，在AC上进行统一配置明显不行，需要在Radius上对每个用户的速率进行单独设置。在用户进行统一认证的时候，将会把限速参数动态的下发给该用户所在的AP。 3.6 POE供电方案 3.6.1 POE供电模块供电 若热点区域的无线AP部署数量较少，建议采用独立的POE供电模块进行供电，无需单独部署POE交换机。 3.6.2 POE交换机供电 若无线热点区域的无线AP部署数量较多，为实现设备的集中供电管理，建议采用POE供电交换机进行供电。 3.7 网络设备要求 3.7.1 无线AP 产品型号 无线特性 接口类型 物理特性 WA -213W-PE 100mW 802.11b/g/n 1个10/100/ 1000 Mbps 电口、1个控制口 250mm*222mm*58mm WA -323W-PE 500mW 802.11b/g/n 500mW 802.11a/n 209mm*125mm*25mm 支持标准 TCP/IP, IPX, NetBEUI 、IEEE 802.11b (WiFi Compatible), IEEE802.11g (WiFi Compatible) ,IEEE802.3/u 10/100Base-Tx RJ-45, IEEE802.3af (Power Over Ethernet) ,IEEE802.1p (QoS Priority), IEEE802.1q (VLAN) ,IEEE802.1x (Security Authentication) ,IEEE802.11e (Wireless QoS), IEEE802.1d (Spanning Tree Protocol)、 11N HT 保护模式、A-MPDU 聚合、A-MSDU 聚合、短 GI、扩展信道保护模式、信道模式20M/40M 工作模式 AP, Bridge 无线特性 频率自动调节、自动功率调整、Smart WDS、输出功率调节 QOS 负载均衡（流量、用户数）、带宽控制、链路检、WMM、VoIP接入数量控制 管理特性 Web、SSH、CLI、SNMP、管理代理、capwap、TR069 诊断功能 用户列表、临近AP扫描、IP ping 测试、统计 链路完整性 支持 路由 支持 安全特性 Radio开关、WEP加密（64 / 128 ）、TKIP、WAPI、802.1x、MAC控制、station隔离、防XDos攻击、WPA(2)-PSK、WPA(2)、小包过滤、广播风暴控制 电源 POE、220V 环境特性 工作温度 0~+50℃ 工作湿度 5 to 95% RH 储存温度 -10 ~ +60℃ 存储湿度 5 to 95% RH 3.7.2 AC控制器 型 号 WNC6000-1000-AC 硬件接口 12个10/100/1000M电口、8个千兆SFP接口（需配SFP千兆光模块），2个万兆SFP+(需配SFP+万兆光模块)。 管理AP数 1024 转发能力 80G 软件特性 支持协议 TCP/IP、IPX、NetBEUI、IEEE802.3/u 10/100Base-Tx RJ-45, IEEE 802.3z 1000BaseX 、802.1d、802.1p、802.1q、802.1x、802.11、802.11b、802.11a、802.11g、802.11h、802.11i、802.11e、802.11n、CAPWAP、DHCP Server、DHCP Client、DHCP Relay、DNS Cient、NTP（Server and Client）、VRRP等 IP路由 RIPv1/v2、OSPF、BGP、Static Routing、RIPng、OSPFv3等 组播 IGMP v1/v2/v3、PIM-SM、PIM-DM、PIM-SSM IPv6 TCPv6、UDPv6、ICMPv6、Pingv6、TraceRTv6、Telnetv6、DNSv6、IPv6 ND、IPv6 PMTU、IPv6 ACL、IPv6静态路由 MPLS 支持LDP、支持mpls转发、MPLS ping、MPLS traceroute AP发现AC的方式 静态IP发现、DHCP发现、DNS发现等 漫游 支持AC内漫游、支持跨AC间漫游、支持二/三层漫游 射频管理 Radio开关、无线模式选择(802.11a/b/g/n)、手动或自动信道选择、手动或自动功率调整、自动速率选择、支持WMM、强制STA漫游、支持Multi BSSID 安全特性 WEP(WEP64/WEP128/WEP152)、WPA-PSK、WPA2-PSK、WPA、WPA2、WAPI、802.1X认证、Web认证（支持内置Portal）、PPPoE认证、防DoS攻击、ACL控制（支持基于MAC地址和IP地址的接入控制）、STATION二层隔离 备份功能 1+1、N+1、N+N 设备管理 Web、SNMP（v1/v2c/v3）、Telnet、SSH、SHELL 物理指标 电源 AC 220V； RPS -48V 尺寸 440mm*254mm*66.6mm 环境参数 工作湿度（非凝露） 5%～90 % 储存温度 -40℃～60℃ 储存湿度（非凝露） 5%～90%   3.7.3 AAS服务器 硬件规格 处理器 Intel /AMD 双核3G 内存 4G 硬盘 500G 固定接口 2个1000M接口 长×宽×高尺寸 660 x 430 x 88 (mm) 输入电压 600w 电源 双电源互备 软件规格 功能点 子功能 功能描述 接入认证 Non-EAP认证 PAP认证 CHAP认证 EAP认证 EAP-MD5认证 EAP-PEAP + MSCHAP V2 认证 EAP-TLS 认证 AD代理认证 PAP认证 PEAP + MSCHAPv2 认证 PEAP + GTC TTLS + PAP LDAP代理认证 PAP认证 PEAP + GTC TTLS + PAP Radius代理认证 PEAP + GTC -> PAP TTLS + PAP -> PAP Radius中继认证 PAP 认证 CHAP 认证 EAP-MD5 认证 EAP-PEAP + MSCHAP V2 认证 EAP-TLS 认证 扩展认证 MAC接入认证 支持基于不同SSID的MAC地址黑白名单功能 认证绑定 用户与wlan ssid绑定 用户与接入设备（AP、交换机）MAC地址绑定 用户名与证书名绑定 用户与终端MAC绑定 用户自动绑定前2次登录的MAC地址 认证控制 错误登录次数控制 重复登录次数控制 接入授权 终端授权 支持IP地址下发授权 支持一个用户绑定多个IP地址 支持ACL指令、VLAN配置下发 支持QoS和优先级授权 设备操作授权 支持enable 15级授权，支持$enable$账号进行认证和授权，针对不同的用户能够绑定$enable$进行认证（不同用户该密码不同）；授权支持0-15级授权 支持command授权，能够支持对管理设备的command 命名进行授权 授权策略 支持根据分组设置授权策略，能够支持分组方式制定AAA授权策略。如802.1x接入时间控制(时间规则保持当前AAS以实现的规则方式，基于有效期和周期日方式的策略，而且这两种策略能够叠加使用)、ip段的分配、对交换机的ACL和vlan配置下发。以上策略能够在单独的用户上配置 支持代理认证用户授权，设置代理认证用户的授权规则，让不同的代理认证用户在认证后拥有对应的权限，例如：ACL、VLAN等，需要考虑授权策略优先 支持基于时间授权，支持基于有效期和周期日方式的策略，而且这两种策略能够叠加使用 用户管理 用户组管理 用户组的IP地址段范围设置、时间段有效规则配置 用户配置 用户数据过滤、用户账号、PAP密码、CHAP密码、分配IP地址、终端属性绑定、用户时间段有效规则等参数管理 用户安全 帐号用户密码策略控制 用户监控 在线用户的监控与管理 用户统计管理 统计有效用户、无效用户信息，支持Excel报表导出 支持根据时间查询出即将过期的用户，并能够多选后批量重新设置有效期和密码 支持根据时间段统计用户“活跃度”（登录次数），并根据“活跃度“进行排序 AD用户同步 从AD服务器同步用户帐号 用户密码修改 提供web页面，供用户自助修改密码 证书管理 生成证书 生成服务器认证证书 安装证书 安装服务器证书 日志管理 用户登录日志管理 用户登录访问日志管理 管理员操作日志管理 管理员操作日志管理 主备服务器日志同步 主备服务器日志同步 数据管理 数据导出 数据备份 导出备份数据 数据导入 导入数据文件 数据同步 主备服务器数据同步 批量用户导入 导入批量用户数据 双机备份 支持双机备份 支持双机备份，保证系统可靠性 支持定时从主机同步用户信息到备机，定时时间可配置; 支持备机log能够实时同步到主机 3.7.4 Portal服务器 功能点 子功能 功能描述 Portal接入 用户身份认证 Portal可接受用户认证请求，经过Portal协议与设备交互，完成认证过程，并通知用户认证结果 用户主动下线 用户点击web按钮，可实现主动下线，退出网络访问 支持穿越NAT接入认证 支持接入设备（例如：AC）在NAT后面的场景，实现NAT穿越 支持动态验证码验证 登录时支持动态随机验证码，防止恶意密码猜测 支持经过短信获取动态密码 用户在Portal登录页面输入自己的身份标识信息（身份证号或者银行卡号）、手机号后，Portal网关将身份信息送到后台服务器进行保存，然后经过短信方式下发密码给来宾用户手机，来宾用户将该密码填写在Portal界面后就能够访问无线网络资源。 终端无感知认证 支持用户在第一次登录输入用户名、密码登录成功后，在后续登录过程中，可直接进行登录网络，无需输入用户名和密码 页面定制 推送页面定制 支持Portal认证成功后，由Portal服务器推送定制页面给终端，定制内容包括快速链接、广告背景页面等 Portal服务器客户定制 用户可在Portal服务器定制登录页面Title、图片，登陆后页面左边栏链接和主界面背景图片； 用户管理 查看所有在线用户信息 支持查看当前所有在线用户信息，包括用户名、登录时间、使用时长； 查看当前用户信息 支持用户查看自己当前登录时长、登录时间信息 可强制下线指定用户 管理员可强制下线指定用户 双机备份 支持双机备份 支持双Portal服务器备份，当一个Portal服务器停机后，另外一台Portal服务器能够在3秒内接替其工作 3.7.5 NetManager网管 软件特性 网络发现 基于IP范围的发现 根据IP地址范围发现网络 手动添加设备 手动添加单个设备 基于AC发现无线网络 基于AC发现由AC控制的无线网络 基于种子文件的发现 根据种子文件发现设备 自动发现 自动发现迈普无线设备 拓扑管理 拓扑图 支持分级背景地图 支持定制背景地图 支持拖拉移动、缩放、打印功能 全屏拓扑显示 支持网络拓扑分层分级导航和管理 支持广域网链路拓扑发现 拓扑自动更新 拓扑编辑 手动定制拓扑结构 手动定制连接 资源状态 状态显示 告警概现 无线网络监控 无线网络热点地图 分层级地图支持 支持拖拉定位、缩放、打印功能 方便的选择在地图上显示各种类型的可管元素如AP, Rogue AP等 支持针对可管对象的显示过滤 方便的导航到管理对象的详细视图信息 支持地图网格参照 支持根据信号强度确定热图区域显示颜色 无线AP列表 列出AC控制下的无线AP 客户端列表 活动客户端列表 客户端列表历史 无线网络安全 无线安全防护 Rogue AP 列表 Rogue Client 列表 Ad Hoc Client 列表 无线入侵事件列表 支持CPU保护技术 设备管理 图形化设备显示 面板、线卡