华为园区WLAN方案技术建议书

《华为园区WLAN方案技术建议书》由会员分享，可在线阅读，更多相关《华为园区WLAN方案技术建议书（46页珍藏版）》请在装配图网上搜索。

1、华润新能源风电厂方案 技术建议书华为技术有限公司i / 43版权所有华为技术有限公司。保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全 部，并不得以任何形式传播。商标声明晶晶和其他华为商标均为华为技术有限公司的商标。本文档提与的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述 的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有 约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本 文档仅

2、作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的 担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编:网址：客户服务邮箱：客户服务电话：i / 43ii / 43方案概述错误味指定书签。方案背景错误味指定书签。技术背景错误味指定书签。基本概念错误!未指定书签。网络架构模型错误味指定书签。直路设计错误味指定书签.独立错误!未指定书签.本地转发与集中转发错误味指定书签.基釉网络规划错误!未指定书签。地址规划错误味指定书签。规划错误味指定书签。漫游规划错误味指定书签。发现并选择方式规划错误味指定书签。射频管理规划错误味指定书签.无线网络安全规划错误味指定书签.规划错误味

3、指定书签。可靠性规划错误味指定书签。接入认证方案错误!未指定书签。无线安全协议标准错误味指定书签.终端认证技术错误味指定书签.无线用户身份认证技术错误味指定书签.认证、安全集成方案错误味指定书签.华润新能源网桥无线数据回传与覆盖方案错误!未指定书签。组网模式错误!未指定书签。组网性能指标错误味指定书签.网络管理方案错误!未指定书签。网管方案概述错误味指定书签。网络管理流程错误味指定书签。企业网络管理规划错误!未指定书签。主要应用产品介绍错误!未指定书签。标准室外双频错误!未指定书签。全规格室外双频错误味指定书签.错误味指定书签.iv / 431入方案概述1.1 方案背景1.1.1 技术背景()

4、是指利用高频射频信号(例如或)作为传输信道的无线局域网。是在年为定义的一个无线网络通信的工业标准。此后这一标准又不断得 到补充和完善，形成的标准系列。例如比较重要的、等。其中基 于标准的有时也被称为标准。而标准兼容，带宽优势明显，已经成为当 前的主流技术。而随着技术的出现，必将引领无线业务进入千兆时代, 为用户带来千兆级别的接入速度。表1-1标准简介标准名 称发布时间工作频率理论速 率实际速率备注早期标准应用很少早期标准结合技术，理论 速率下一代标准发展中发展中面向家庭高清 娱乐设备1.2 基本概念1.2.1 网络架构模型网络在部署过程中，根据其需求，可以把网络架构设为:集中式架构（即或瘦）表

5、1-2集中式架构特性表项目集中式架构适用场景新生方式，增强管理安全性基于用户位置的安全策略，高安全性网络管理上统一配置，本身零配置，维护简单用户管理虚拟专用组方式，根据用户名区分权 限，使用灵活组网规模、漫游，拓扑无关性，适合大规模组 网增值业务能力可扩展丰富业务集中式架构该架构通过无线控制器0集中管理、控制多个，如错误!未找到引用源。 所示。所有无线接入功能由和共同完成： 完成网络具有重要意义的功能，例如移动管理、身份验证、划分、 射频资源管理、无线（）和数据包转发等。 完成无线空口的控制，例如无线信号发射与探测响应、数据加密解 密、数据传输确认、空口数据优先级管理等等。图1-1集中式架构图

6、DHCP/DNS 至1eSightMH和间采用隧道协议进行通讯，与间可以是直连或者穿越、网络。协议是基于传输层的应用层协议，协议传递的信息分为两类：控制信息 和数据信息。 控制信息负责与之间的管理的交互操作，包括自动发现、对进行安 全认证、从获取软件版本、从获取配置等等。 数据信息是封装后转发的无线数据。两类信息分别使用不同的端口号。信息在与间交互时可以使用加密机 制，保证通信的安全性。所有无线接入功能由和间共同完成。集中式架构是企业网、运营商等方 案的主要架构，便于集中管理、集中认证和实施安全策略。此种方案为 目前企业网通用方案。在网络架构下，又有如下划分： 根据部署方式，分为集中式和分布式

7、 根据部署位置，分为旁挂和直路 根据硬件体现形式，分为集成和独立 根据业务转发形式，分为本地转发和集中转发1.2.2 直路设计直路直路方式是指将部署在与用户网关设备（汇聚或核心交换机）之间，实 现对下辖所有的管理。直路方式主要用于新建中、小型园区网络或原有网络汇聚核心设备为华 为设备的场景。图1-2直路示意图1.2.3 独立独立独立方案是指采用单独的硬件设备,通过直路或者旁挂方式实现对于所 有的管理。在独立方案中，采用集中式架构（架构），使用来负责无线终端的接 入。使用独立的设备完成对设备的管理。1.2.4 本地转发与集中转发转发模式主要是针对用户数据可以有不同的转发处理方式。本地转发又称直接

8、转发，是指上对用户数据由本地转发到网络上层,不经过处理, 只对进行管理。而管理流封装在隧道中，到达终止。11 / 43图1-3本地转发示意图管理流数据流1CAPWAP隧道集中转发也称作隧道转发。业务数据报文由统一封装后到达实现转发，不但进行 对管理，还作为流量的转发中枢。即管理流与数据流都封装在隧道中到 达。图M隧道转发示意图本地转发与集中转发优缺点对比如错误味找到引用源。所示。表1-3本地转发与集中转发优缺点对比表转发方式优点缺点本地转发设备署简单，数据流量不经 过，负担小。转发方式优点缺点集中转发数据流量和管理流量全部经 过，可以按用户需求规划安全 监管策略。设备数据压力较大，对设 备本身

9、处理能力要求较 高。22.1地址规划的地址的地址I痴HI网络规划用于管理，地址一般通过静态手工配置。的地址分配如果采用静态分配，由于一般数量较多，配置工作量大，且 容易冲突、不易于控制，所以不建议使用，建议使用动态分配。动态分配的地址时，可以有以下几种方式：指定地址池分配- 根据表明身份而分配指定地址池的：的报文携带，例如内容为“ 表示请求分配地址的设备是华 为，而不是用户。可以通过匹配或部分匹配 字符串，来为从指 定地址池中分配地址。如果网络中部署多个且只有部分支持，交换机等设备充当时 需要支持识别并将报文转发到相应的上。- 根据分配指定地址池的：相连交换机端口以方式加入，允许通过的对应的地

10、址池即为分配 地址。- 根据的地址指定分配：在上配置的以与对应的地址。统一分配的地址分配同用户一样，由统一分配，不再区别。动态分配的地址各种方式优劣势对比如错误味找到引用源。所示。表2-1动态分配的地址各种方式优劣势表地址分配方式优势劣势适用场景指定地址池 分配设备与无线 用户的地址 分离需要交换机 配套支持对设备地址管 理与用户地址 管理要求隔离 的根据设备与无线 用户的地址 分离网络配置工 作量较大， 不利于即插 即用对设备地址管 理与用户地址 管理要求隔离 的根据设备与无线 用户的地址 分离配置工作量 较大，地址 管理难度加 大对少量设备管 理有特殊要求 的统一分配网络配置简 单对管理没

11、有 要求无线终端用户的地址移动用户通过动态分配地址，不建议静态配置；对于基本不移动的无线 终端（比如：无线打印机）可以静态配置。2.2 规划企业园区无线网络一般按照业务类型划分不同的（）o映射以太网中的通常，以太网中管理和业务分离。业务主要用于区分不同的业务类型或 用户群体。在网络中也同样可以承担相应的工作。因此，在业务的规划中必须综合 考虑与的映射关系。业务应根据实际业务需要与匹配映射关系，映射关 系有、四种，设备终结部署。构建可以配置多个，华为单频可支持个，双频可支持个。通过配置多个，可 以将一个划分为多个（）,每一个对应一个，针对进行策略下发，根 据策略进行终端与业务管理。2.3 漫游规

12、划漫游是指用户在部署了网络的场所移动时，用户终端可以从一个的覆盖 范围移动到另一个的覆盖范围，用户无需重新登录和认证。图2-1用户漫游切换示意图SSID: HUAW日1 SSID: HUAWEI漫游切换解除用户和API间的关联 （2）建立用户和AP2间的关联如上图所示，假设终端与巳经建立关联信息，随着用户位置的移动，终 端切换到，具体切换流程如下：1 .客户端在各种信道中发送请求帧。在信道（使用的信道）中收到请 求后，通过在信道中发送应答来进行响应。客户端收到应答后，对 其进行评估，确定同哪个关联最合适。2 .如图中的标号所示，删除用户与现有的关联。客户端通过信道（使 用的信道）向发送解除关联

13、信息，解除用户与间的关联。3 .如图中的标号所示，客户端通过信道向发送关联请求，使用关联响 应做出应答，建立用户与间的关联。网络漫游中需注意以下两点： 漫游切换需要保证相同，即两台切换区域需要配置相同的。 漫游切换必须是同一个管理。华为解决方案通过支持下述两种快速漫游技术，实现业务的平滑过渡。 ：技术是对于用户而言的，是指用户与旧进行认证时，和都会缓 存和；当漫游到新时，会把这些携带过去，无线控制器根据携带 的查找自己缓存的信息，如果查到，就认为已经经过认证，直接跳 过认证过程，利用缓存的进行四次握手协商出加密，从而缩短了用 户的漫游延时。如果没有查到，则需要重新进行认证过程。 密钥协商下移技

14、术：密钥协商下移主要是针对数据加密用户包括 和用户。在没有启用这个功能之前，主要与进行单播和组播密钥的 协商；启用这个功能后，直接与关联上的进行单播和组播密钥的协 商，这样在漫游到新时，减少了密钥协商所用的时间，从而缩短用 户漫游延时。2.4 发现并选择方式规划架构下的网络中，为零配置，当部署到网络的时候，需要去找到相 应的，并从上下载其配置。发现的机制有如下几种：二层广播发现当和同在一个二层的网络中时，可以通过二层广播方式直接发现。通过发现是协议的一个属性，在华为网络里，用它识别的地址。当配置了后, 它给分配时，在报文中同时会将此属性告知。图2-2通过发现的报文交互图DHCP Discove

15、rDHCP OfferDHCP RequestDHCP AckDHCP Server7DHCP Server rDHCP ServerDiscwery Request通过发现当网络中部署了时，还可以通过方式让来发现。需要在 上配置 地址 以与的域名。当通过服务器获取地址时，会在 报文中将服务器地址（） 和域名（）告知，在获取到地址后，则通过服务器解析到的，从而实 现对的发现和关联。12/43图2-3通过发现的报文交互图DHCP DiscoverDHCP。的DHCP ServerDH CP RequestDHCP ServerDHCP AckDHCP ServerStandard QueryDN

16、S Server上预配置列表APStandard Query ResponseAPDisccwery RequestJDNS ServerAC41 / 43可以预配置的地址列表。当预配置好列表时，将不再启动正常的或的发 现过程，故列表里的地址不可达时，将永远连接不上。上述几种方式优劣势对比如下表所示。表2一2发现并选择方式优劣势对比表方式部署要求优势劣势适用网络启动属性适用于任何 组网中对网络有部 署要求大中型网 络，二层或 三层组网部署；支持 属性方式部署要求优势劣势适用网络二层广播发 现无对已有网络 没有额外要 求仅能用于二 层组网中小型网络， 二层组网上预配置静 态列表预配置对已有网络

17、没有额外要 求需要对逐一 进行配置， 工作量大； 若的地址发 生变化，则 需要重新修 改的配置小型网络若无线网络部署了多个无线控制器，通过上述某种方式发现了多个时, 根据根据负载动态选择接入到负载轻的。2.5 射频管理规划与地址规划一样，信道是网络设计中的重要一环，大型无线园区网网络 必须对信道进行统一规划。信道规划的好坏，影响到无线网络的带宽、无线网络的性能、无线网络 的扩展以与无线网络的抗干扰能力，也必将直接影响到无线网络的用户 体验。射频信道划分信道规划是网络设计中的重要一环，为保证信道之间不相互干扰，大型 无线园区网网络必须对信道进行统一规划并实施。系统主要应用于两个 频段：和。频段信

18、道划分：- 频段具体频率范围为的连续频谱，信道编号。- 信道划分：信道带宽为，在该模式下，一般选取、三个不重叠 信道，频率规划可用频点只有个。- 信道划分：信道带宽为，受频率限制，只支持一个不重叠信道。频段信道划分：- 频段分配的频谱并不连续，主要有两段：、。- 信道划分：不重叠信道在频段有个，分别为、；在频 段有个，分别为、。- 信道划分：在该模式下，这两段频谱的可用信道分别为个和个。支持手动和自动两种方式设置工作信道。设置为自动方式后，一旦检测 到信道冲突具有信道自动调整功能，建议采用自动设置工作信道方式, 避免手动设置后一旦信道冲突将导致无法切换信道的问题。信道自动扫描功能：采用信道自动

19、扫描功能，自动探测周边的、使用的 信道与干扰，结果上报，触发信道调整。射频信道覆盖信道规划需遵循两个原则：蜂窝覆盖、信道间隔。根据覆盖密度、干扰 情况、选择单频或双频覆盖。交替使用的、信道与的、信道，避免信 号相互干扰；一般情况单独使用或的频段，对于会议室等高密度用户接 入的场所，可以启用双频进行覆盖，以便提供更好的接入能力。图2K单频信道规划示意图图2-5双频信道规划示意图2.6无线网络安全规划无线设备安全 防盗安装时安装防盗锁即可。 零配置传统的组网模式要求在上配置大量的业务参数，同时需要在本地 保存这些业务配置信息，一旦设备丢失，的业务配置信息就可能被 泄漏，形成网络的安全漏洞。在设备上

20、不保存业务配置，而是每 次启动的时候从无线控制器动态加载业务配置，这样可以有效避免 设备丢失造成配置泄漏。当前均能做到零配置。无线 非法检测非法主要指未经网络许可而非法部署的设备或者是对网络发起无 线攻击的设备。对于非法部署的设备，可以通过控制接入（基于地址；基于设备名 称等）来防止非法接入网络。对于对网络发起无线攻击的设备，网络中合法部署的监听设备负责 把监听到有攻击行为的无线设备上报给无线控制器，继而上报给网 管。部署建议：-对于非法部署的设备，由网络设备检测，启动相应功能即可。-这里主要给出对发起无线攻击的的监听部署方案以与对比情况， 如错误!未找到引用源。所示。可以根据实际网络要求进行

21、取舍。表2-3对发起无线攻击的的监听部署方案优劣势对比表部署方式优点劣势部署专职监 听实时监听网络，与时检测 出非法网络部署成本高业务兼职监 听网络部署成本相对小不能实时监听网络，无法与 时检测到非法黑白名单用户白名单功能：无线控制器支持静态配置白名单功能，该功能一 旦启用，只有白名单上的无线用户才被认为是合法用户，其他非法 用户的报文全部在上被丢弃，从而减少非法报文对无线网络的冲 击。用户黑名单功能：无线控制器通过配置方式或者实时检测侦听的方 式来确定设备是否被加入黑名单，被加入到黑名单中的设备发过来 的报文全部在上丢弃，从而减少攻击报文对无线网络的冲击。部署建议：大中型园区网不建议部署，通

22、过认证进行用户的合法检 测即可。2.7规划保证不同质量的无线接入服务之间的互通，满足实际应用的需求。图2-6规划如错误!未找到引用源。所示，在企业园区中，常采用无线空口做调度，有 线侧进行优先级映射，园区网做调度的方式，最大程度优化网络发生拥 塞时的核心业务和用户服务质量。在这里仅介绍协议技术、优先级映射 和流量管理技术。流量管理 基于用户的流量管理防止业务占用带宽导致其他用户无法正常使用无线网络，比如校园 网。 基于的流量管理防止某些用户流量过大影响其他用户的正常业务，比如访客的流量 控制。无线空口做调度多媒体标准（）是一种无线协议，无线空口上，将数据报文通过个优 先级队列发送，每个优先级队

23、列占用信道的机会不一样，从而保证语音、 视频等应用在无线网络中有更好的质量。按照优先级从高到低的顺序分为（）（语音流）、（视频流）、（尽力而为 流）、（背景流）四个优先级队列，保证越高优先级队列中的报文，抢占 信道的能力越高。表2,队列优先级队列用户优先级（）或或或或优先级的映射优先级映射包括：无线优先级到有线优先级的映射、无线优先级到隧道 优先级的映射。 上行无线到有线报文优先级映射接收到无线客户端发送的（无线）数据报文后，将其转换为（以太 网）报文，然后向网络侧继续转发。对于本地转发，完成用户优先 级到优先级映射；对于集中转发，再实现隧道优先级、的映射。 下行有线报文到无线报文优先级映射接

24、收到以太报文后，将其转换为报文，并在空口上依据报文中的优 先级选择不同的队列发送给用户终端。对于本地转发，需要完成到 优先级映射；对于集中转发，在上可实现优先级到映射，优先级到 优先级映射。2.8可靠性规划网络可靠性主要是网络的负载分担，分为负载分担和的负载分担。负载分担无线客户端一般会根据信号强度。选择，这很容易导致大量的客 户端仅仅因为某个信号较强而连接到同一个上。由于这些客户端共 享无线媒介，导致每个客户端的网络吞吐将大量减少。负载分担可 动态地确定在当前时刻和当前位置下哪些可以彼此分担负载，通过 控制无线客户端接入的，来实现这些间的负载分担。评估负载的方式有两种：-按照用户在线会话数-

25、按照用户流量当前负载分担策略是通过控制的接入实现负载均衡。当的负载情况 超过阈值后，该就会拒绝新的终端的接入，此时终端将寻找负载较 轻的进行连接，从而实现负载的均衡。负载分担负载分担即根据负载动态选择接入到负载轻的上去。在响应报文（）中携带该负载信息（比如允许接入的最大数、当 前接入的数、允许接入的最大数、当前接入的数），通过比较各的 负载情况选择一个负载轻的接入。通过隧道的心跳机制，可与时发现控制器，同时根据该方法重新选 择一个负载轻的接入。3J 接入认证方案3.1 无线安全协议标准如错误!未找到引用源。所示，无线安全协议标准主要有：（）、（）、（）、（ ）。表3-1无线安全协议标准介绍标准

26、简介适用场景开放系统认证是的缺省设置，不进行 认证。一般用于有众 多用户的运营 网络有线等效加密，即对于数据的加密和 解密都使用同样的密钥和算法，主要 用来保护空口信号的信息安全。应用于小规模 低安全需求的 网络（家庭热 点等）。 基于架构进行身份认证 基于（）、等协议进行身份认证 基于实现数据加密 基于次握手实现用户会话密钥的 动态协商 增加了预认证和加密，同时兼容广泛应用于各 种大、中型网 络和公共场 合，为目前主 推加密方案。标准简介适用场景系统包含鉴别与密钥管理和数据传输 保护：基于证书机制和自行设计的（）认 证协议完成身份鉴别和密钥管理， 而没有重用，等现有安全标准；基于自行设计的（

27、）协议实现数 据的加密保护；中国标准，一 般作为准入门 槛测试。华为均支持开放系统认证、加密、共享密钥认证、认证和加密、认证加 密等无线接入安全特性。3.2 终端认证技术标准要求终端在准备连接到网络时，必须进行“身份验证”。终端身份认证主要有两种方式：开放系统认证（）和共享密钥认证（）。开放系统认证是 标准要求必备的一种方法，是最简单的认证算法, 即不认证。如果认证类型设置为开放系统认证，则所有请求认证的 客户端都会通过认证。在这种方式下，接入点并未验证工作站的真 实身份，工作站以地址作为身份证明，这种验证方式可以让所有符 合标准的终端都可以接入到网络中来。开放系统身份验证比较适合 有众多用户

28、的电信运营网络。共享密钥式认证必需使用加密方式，要求每个终端都配置和完全一 致的密钥0。由于配置工作量较大，一般适用于企业网、校园网 与家庭网络等。二者对比如下：表3-2终端认证方式对比认证方 式优点缺点适用场景开放式 系统认 证部署简单，终端接 入速度快，有效带 宽高。安全性差，无法检验客户 端是否合法，任何知道无 线局域网的用户都可以 访问网络。电信运营 网络共享密 钥式认 证安全性较高，采用 加密方式对密钥进 行保护，空口密钥 数据不再明文传 输。配置复杂，可扩展性不 佳；每台终端和上都需要 静态配置一个很长的密 钥字符串。有效带宽较低，加密降低 了传输效率。企业网、校 园网与家 庭网络

29、等。3.3无线用户身份认证技术相对于简单的身份验证过滤机制，链路层用户身份验证的安全性大大提 高。通过提供有限的访问权限来验证用户身份，只有确定用户身份后才 给予完整的网络访问权限，可有效判别用户的合法性。链路层身份验证 是透明的，能配合任何网络层协议使用。常用的的链路层身份验证主要有认证、（）、等几种认证方式。对于华润新能源风电厂而言，无线哑终端一般通过认证接入，办公区域 通过或认证接入，访客区域一般通过认证接入。多种认证技术保证终端安全接入，合法用户访问合规资源，从源头上消 除安全威胁。认证认证是一种基于端口和地址对用户的网络访问权限进行控制的认证方 法，它不需要用户安装任何的客户端。由于

30、无线终端的网卡都具备唯一 的地址，因此可以通过检查无线终端数据包的源地址来识别无线终端的 合法性。地址过滤控制方式要求预先在服务器中写入合法的地址列表, 只有当客户机的地址和合法地址表中的地址匹配，才允许客户机与之通 信。在企业园区中认证主要用于电话、打印机等哑终端设备的接入。认证是针对以太网而提出的基于端口进行网络访问控制的安全性标准草案。 基于端口的网络访问控制利用物理层特性对连接到端口的设备进行身 份认证。如果认证失败，则禁止该设备访问资源。尽管标准最初是为有线以太网设计制定的，但它也适用于符合标准的无 线局域网，且被视为是的一种增强性网络安全解决方案。体系结构包括 三个主要的组件： 请

31、求方。：提出认证申请的用户接入设备，在无线网络中，通常 指待接入网络的无线客户机。 认证方。：允许客户机进行网络访问的实体，在无线网络中，通 常指访问接入点或控制器设备。 认证服务器()：为认证方提供认证服务的实体。认证服务器对请 求方进行验证，然后告知认证方该请求者是否为授权用户。认证服 务器可以是某个单独的服务器实体，也可以不是，后一种情况通常 是将认证功能集成在认证方中。技术是一种增强型的网络安全解决方案。在采用的无线中，无线用户端 安装客户端软件作为请求方，无线设备内嵌认证代理作为认证方，同时 它还作为认证服务器的客户端，负责用户与服务器之间认证信息的转 发。体系本身不是一个完整的认证

32、机制，而是一个通用架构。用来传输实际 的认证协议。体系的好处就是当一个新的认证协议发展出来的时候，基 础的体系机制不需要随着改变。体系使用()认证协议，目前有超过 种不同的协议。认证常用的包括以下几种认证模式： () ()认证认证也称认证或认证。客户端使用标准浏览器（例如），填入用户名、 密码信息，页面提交后，由服务器和设备配合完成用户的认证。接入设备将来自客户的请求重定向到服务器，在页面上输入用户名、密 码进行认证。用户在认证之前，必须先通过、静态配置等获得地址。用 户如果被配置成强制认证，则用户只需要输入自己喜欢的网页即可，系 统自动下载认证网页。主要认证过程为：1 .动态用户通过协议获取

33、地址；2 .用户访问认证服务器的认证页面，并在其中输入用户名、密码，认 证服务器将用户的信息通过内部协议，通知接入设备；3 .接入服务器到相应的服务器对该用户进行认证，将认证结果通知认 证服务器；4 .认证服务器通过页面将认证结果通知用户，如果认证成功用户即可 正常访问网络资源。认证通常需要多个服务器支持，服务器、服务器等。无线接入认证和安全协议对应关系表3-3无线接入认证和安全协议对应关系表认证方法安全协议安 全 性封 装 开 销地 址 分 配客户 端软 件应用场景认证低小认不需、电话等哑终证要端设备接入。后分配认证方法安全协议安 全 性封 装 开 销地 址 分 配客户 端软 件应用场景低小

34、认 证 后 分 配不需 要场景同上，需 要维护密码。认证中小认 证 前 分 配不需 要中小型园区网 络。中小认 证 前 分 配不需 要场景同上，需 要维护密码。认证高小认 证 后 分 配需要大中型园区网 络。从安全性和易部署性等多方面考虑，推荐+的机制。无线用户集中认证方案无线用户在上集中认证，可以保证无线用户集中管理，授权通过控制隧 道下发到设备，精细化控制用户访问权限，并在用户漫游、安全控制等 方面由做到灵活控制。无线用户集中认证，需要保证相关认证协议能够上送处理。集中转发场 景下,、报文作为数据报文通过数据隧道上送；在本地转发场景下，可 通过配置让、报文进入控制隧道，从而上送到设备完成认

35、证过程。图3-1无线用户集中认证示意图园区网CAPWAP 控制!CAPWAP数据隆道本地转发802.1 X、 Portal认证报文走 CAPWAP控制隧道服务器区域集中转发802.1 X、Portal认证报文走g 5等集中转发区域本地转发区域集中认证组网如错误味找到引用源。所示，认证方式包括、等方式。园 区网中，从安全性、易部署等角度考虑，一般推荐接入认证。3.3.2认证、安全集成方案认证+安全方案：根据华润新能源的要求，对认证和安全要求较早，可通过准入控制+安 全检查，提升内网安全。并且服务器组件支持定制化选择，若用户只作 准入认证，则可不选择安全组件。图3-2认证+安全方案组网图安全服务器

36、如上图，认证组件、安全组件、客户端为必选组件。其中服务器组件采 用华为系统，认证服务器和安全服务器之间为内部通道，一般部署在同 一台服务器上。功能实现流程：1 .无线用户认证报文到后，通过协议（认证先到服务器交互）到认证 服务器完成认证过程。2 .安全服务器和客户端配合，完成终端病毒库、补丁等健康检查功能, 并可和软件服务器联动，进行终端修复操作。4华润新能源网桥无线数据回传与覆盖方案()，通过无线链路连接两个或者多个独立的有线局域网或者无线局域 网，组建一个互通的网络，实现数据访问。技术适用于在大型仓库、港口码头、山川河流等不适合部署线缆的恶劣 环境以与乡村、郊区或者野外等人员稀疏环境，通过

37、无线链路连接两个 或者多个独立的有线局域网或者无线局域网，并为他们之间提供数据交 换功能。方便网络部署、安装，实现灵活组网。图4-1无线回传示意图如错误味找到引用源。所示，在不适合部署线缆的恶劣环境下，无线网桥 通过桥接功能，实现热点区域覆盖和数据回传；其中桥接使用频段，无 线覆盖使用频段。4.1组网模式在实际组网中，网桥组网模式可以分为点对点模式和点对多点模式。图4-2点对点组网模式示意图LAN Segment 1LAN Segment 2如错误!未找到引用源,所示，通过两台设备实现了两个网络无线桥接，最 终实现两个网络的互通。实际应用中，每一台设备可以通过配置对端设 备的地址，确定需要建立

38、的桥接链路。图4-3点对多点组网模式示意图LAN Segment 2LAN Segment 3LAN SegmentLAN Segment 1如错误!未找到引用源。所示，在点到多点的组网环境中，一台设备作为中 心设备，其他所有的设备都只和中心设备建立无线桥接，实现多个网络 的互联。但是多个分支网络的互通都要通过中心桥接设备进行数据转 发。在点对多点组网场景下，网桥链路之间、以与有线链路可能出现网络环 路。为防止网络风暴、保证正确的二层转发，需要启用功能打开环路检 测。功能对有线接口、和开启了的网桥接口有效。网桥端口的每个无线 虚链路作为一个独立逻辑端口参与协议交互和控制。4.2组网性能指标由于

39、无线技术较容易受到应用环境、传输距离、天线增益、频宽等因素 影响，因此在进行无线回传规划时需要关注现场环境带来的影响，传输 性能如下表所示：表4一1无线网桥()传输性能指标工作 频段环 境天线 增益典型距离下吞吐量()频宽覆盖 维护市 区郊 区 农 村无线 回传市 区9 9 郊 区 农 村9 *一般用于用户接入覆盖与设备维护，不建议回传使用，无线回传推荐频 段，传输距离控制在。表4-2无线网桥（）传输性能指标影响因素吞吐量影响因子隐藏终端多用户竞争无无使用点对多点。网桥时受隐藏终端和多用户竞争等因素影响，吞吐量 将急剧下降；因此点对多点（）网桥吞吐量性能评估需在点对点0网 桥数据基础上考虑吞吐

40、量系数。网络规划中，网桥推荐不超过个，无线回传距离控制在内。5网络管理方案5.1 网管方案概述华为公司管理平台根据企业网网络管理特点，采用架构，瘦客户端，远 程登录。平台的功能模块组件化解耦，按需拆卸，便于在企业网不同场 景下灵活组合，并能够提供二次开发和定制能力。图5-1网络管理5.2 网络管理流程网络管理帮助用户快速完成无线网络部署，提供网络设备、非法等物理 资源监控，实现故障的快速感知、定位与解决，同时通过无线相关报表 与多形式分类资源统计，为用户日常运维与网络调整提供了依据，极大 提升网络管理效率。网络管理流程如错误味找到引用源。所示。图5-2网络管理流程!工程规划需1: AC管理IP

41、. DHCP SERVER配置可阂,AP认证方式，转发美史.：域，业务VLAN、省旌VLAN,3而AC定疝正蔽 eSight_网管监控岗络状况.10 ft能、告警等8 ; AP广播救据：I网管配置打通AM 道9用户腰索网 :知，上线尚省加或AC及荀连的交换机，：及什安在人曷安装APAP 需嗨辎*瞿绫M嬴件2 ；打趣交换机省理通道网管配置；AC的基本5 ：配署，包括：:AP认证方：型等: AC7 ：网管通过AC下发业务7 iAP.包模板配笈、:射频配置；式、转发类网络部署网络安装完毕后，用户通过简洁向导式部署页面，首先指定参数配置, 其次创建网元级配置模板，通过规化表单批量导入列表，最终批量完

42、成部署，快速完成网络的部署。网络监控用户可以通过网管物理拓扑，查看监控设备与链路状态；可以通过业务 拓扑直观查看、接入关系；可以通过位置拓扑查看当前热点位置与 射频信号覆盖范围并在视图上标识当前非法位置。用户通过性能管理、告警管理与物理资源管理监控网络运行状况，并通 过报表系统周期性给出相关报表，帮助用户实现轻松运维。网络故障恢复当网络中的出现异常或在网络的调试过程中,用户可以通过网管远程批 量恢复的出厂设置；在网络中升级完成后或在网络的调试过程中，用户 可以通过网管远程批量重启；当网络中的出现硬件故障需要替换时，用 户可以通过网管快速完成替换，复制故障上原有的配置至替换新替换 的，快速保证替

43、换后业务不变。用户可以可通过 上行设备（包括网关或服务器），根据测试结果，判断 上行业务线路的通断情况；或通过下行用户地址，从而确认用户报障原 因是用户关联问题还是上行业务不通。受状态正常约束，所以提供的 诊断，下行，可诊断至链路通断。5.3 企业网络管理规划大中型园区无线网络管理对于大中型园区网络，推荐使用专门的网管平台（例如）实现对网络的 管理。它不仅可以实现对于业务的、等节点和资源的监控，还可以实 现对于、等节点和业务的配置，节省维护成本。小型、微型园区无线网络管理小型园区网络中可能不会部署专门的网管，此时可以通过上的本地管理 对无线网络进行管理维护，包括相关配置、告警、软件版本管理等等

44、。登录到的方式有，可以满足普通或安全的登录要求。基于用户的帐号管理可以确保只有相关资格的人才能登录网络进行网 络运维管理，保护网络的安全与可靠性。系列产品主要包括盒式或等多款。6.1标准室外双频产品规格6主耍应用产品介绍图6-1产品实物图项目规格标准标准，支持和频率尺寸X X重量功耗供电标准表6-1产品规格项目规格发射功率主要性能 多入多出0,条空间流 支持最大比合并() 支持和波束赋形 支持和信道，数据速率高达 数据包聚合：()；0 动态频率选择()6.2全规格室外双频图6-2产品实物图产品规格表6-2产品规格项目规格标准标准，支持和频率尺寸X X重量项目规格功耗供电非标准发射功率接口支持接口，支持交流本地供电主要性能 多入多出0,条空间流 支持最大比合并() 支持和波束赋形 支持和信道，数据速率高达 数据包聚合：()；0 动态频率选择()6.3图6-3产品实物图特点产品有如下： 高性能-支持快速漫游(缓存)-高达管理能力高可靠- 设备间双链路备份- 上行链路、保护- 双电源接口，备份保护- 风扇、电源热插拔，高温告警保护强大的组网和业务能力-丰富接口：个光接口，个接口，个电口。-业务强大：精细化、丰富功能、标准接口。保护投资-无缝适应和-华为标准软件平台，和宽带城域设备无缝融合