信息創造價值溝通帶來雙贏

第1頁福建省臺資企業信息化建設公益培訓項目福州班

主題：結構安全、易管理企業無線網絡主講人：江章平（產品經理）主講單位：杭州華三通信技術有限企業福建省海峽經濟技術信息中心四月二十二日第2頁

無線局域網發展趨勢及技術概述3331企業級無線網絡布署方案32企業構建WLAN面臨挑戰34H3C與WLAN網絡第3頁適于特殊地理環境下網絡架設；終端與設備之間不方便經過線纜連接地理環境不適合布設有線網絡WLAN帶來好處-無線讓網絡建設更經濟第4頁WLAN帶來好處-無線讓工作更高效不受限于時間和地點接入網絡，滿足各行各業對于網絡應用需求；體育場館新聞中心展館與證券大廳制造車間物流運輸馬斯洛需求層次2：追求高效率第5頁凡是自由空間均可連接網絡，不受限于線纜和端口位置辦公大樓候機大廳渡假山莊商務酒店WLAN帶來好處-無線讓網絡使用更自由第6頁布署和維護困難？對新業務能支持嗎？跟有線網絡怎樣融合？接入安全怎樣保障？企業構建WLAN網面臨挑戰第7頁

無線局域網發展趨勢及技術概述3331企業級無線網絡布署方案32企業構建WLAN面臨挑戰34H3C與WLAN網絡第8頁IEEE802.11無管理MAC認證、WEP加密無漫游低速無線接入IEEE802.11a/b簡單配置管理WPA認證TKIP加密L2漫游無線數據接入IEEE802.11g集中管理、射頻環境管理WPA認證802.11i加密L2、L3漫游語音、數據、視頻無線接入IEEE802.11n更強全網管理動態認證安全接入任意位置接入綜合業務無線承載作為有線簡單補充，實現無線基本接入功效1998年未來2M速率54/11M速率54M速率300M速率主要接入層技術之一，擴展豐富增值業務功效規模應用無線局域網發展歷程第9頁無線設備影響匯報

第10頁AC（AccessController）無線控制器AP管理非法無線入侵檢測位置檢測網絡自愈每用戶安全策略RF管理“胖”AP“瘦”AP無線局域網組網模式：FATAP&FITAP802.11a/b/g天線加密移動IP,VPN802.1x,TKIP,Qos,802.11h權限控制策略控制L2/L3層漫游802.11a/b/g天線加密移動IP,VPN802.1x,TKIP,Qos,802.11h權限控制策略控制二層漫游“胖”AP組網方案“瘦”AP組網方案第11頁“胖AP”組網方案企業無線網絡組網模式：……FATAP1APnSTAs企業有線網絡1208E1208E1208E以太交換機三、新業務支持難不能滿足語音業務需求（不支持三層漫游）二、安全隱患AP設備丟失引發系統配置泄露；非法AP接入無法檢測等一、難管理大規模組網布署和維護工作量量大；不能自動調整工作信道和功率，不適用復雜RF環境大規模無線組網存在問題：第12頁“瘦AP”+AC組網方案企業無線網絡組網模式：……FATAP1APnSTAs企業有線網絡1208E1208E1208E以太交換機三、新業務支持支持三層漫游，對上層應用透明切換二、安全隱患配置集中管理，不怕AP設備丟失引發系統配置泄露；可檢測非法AP接入無法等一、易布署管理大規模組網布署輕易，AP零配置；集中管理，升級維護簡單；自動調整工作信道和功率，適用復雜RF環境尤其適合大規模無線組網：AC無線控制器第13頁

無線局域網發展趨勢及技術概述3331企業級無線網絡布署方案32企業構建WLAN面臨挑戰34H3C與WLAN網絡第14頁小規模WLAN網絡建設關鍵網采取FATAP方式組網；從投資保護角度看，所選設備應能平滑升級到FIAAP+AC方案。第15頁大規模WLAN布署-山東日照鋼鐵企業使用WX5002和WA2110瘦AP方案進行組網，覆蓋產品庫存區和原材料庫存區，用于庫房管理。使用高增益全向天線，覆蓋半徑70m左右區域，極大提升了庫房管理效率。關鍵網AC無線控制器FITAP第16頁討論層次體系主要技術處理問題物理接入WEP64/128、TKIP、CCMP加密可升級支持WAPI加密預防無線報文被監聽和篡改SSID隱藏處理不明用戶訪問網絡邏輯鏈路802.1x/PSK/MAC/Portal各種認證方式混合接入802.1x支持PEAP/TLS/TTLS/SIM各種模式可升級支持WAPI認證用戶身份判別和安全準入動態下發用戶權限業務隔離Hotspot用戶隔離限制用戶互訪黑名單限制惡意用戶網絡無線入侵檢測系統非法設備檢測、無線攻擊告警和躲避安全策略在無線控制器統一布署防止在大量無線接入點布署策略AC和AP間CAPWAP隧道下行流量限速防范外界對AP數據流量攻擊IPSECVPN端到端安全加密資源綁寫（MAC、ESS、VLAN、Port）盡可能預防假冒設備AP當地不再保留配置信息防止設備丟失造成配置泄漏AP身份認證只有正當AP才能和無線控制器建立關聯AP支持多無線控制器冗余備份無線控制器down機不會造成無線網絡癱瘓網管無線安全策略配置無線安全策略統一布署非法設備監控和告警非法設備檢測、無線攻擊告警和躲避設備信道調整告警了解設備遭受干擾后信道調整情況WLAN安全接入問題-系統安全防御第17頁你是誰？動態授權合格用戶不一樣用戶享受不一樣網絡使用權限你安全嗎？你能夠做什么？你在做什么？企業網絡行為審計不合格進入隔離區強制加固安全認證正當用戶隔離區非法用戶拒絕入網身份認證接入請求更徹底處理安全問題-無線端點準入防御第18頁WLAN布署和維護問題–集中管理維護…熱點1熱點2熱點n經過SNMP協議下發AP配置和版本經過CAPWAP協議下發AP配置和版本更新經過SNMP協議上報AP統計信息和告警信息等經過CAPWAP協議上報AP統計信息和告警信息等ACAPAP網管工作站第19頁WLAN布署和維護問題-無線資源實時自動管理采集分析執行決議CABDAP實時搜集RF環境信息并定時上報給ACAC對AP搜集數據進行分析評定AP執行AC設置配置，進行射頻資源調優AC統籌安排每個Radio應該使用發送功率，信道等第20頁WLAN布署和維護問題-瘦AP信道自動選擇

BSS4BSS1

BSS2

BSS5

BSS3BSS3BSS5BSS1BSS2BSS4

CHANNEL1

CHANNEL6CHANNEL11調整前調整后網絡中關鍵AP優先取得最正確信道；當AP覆蓋區域受到信號干擾時，AP自動切換到適當工作信道以躲避干擾信號第21頁每個AP上電時，無線控制器會依據AP鄰居關系動態調整AP工作信道和發射功率，在確保覆蓋前提下確保AP間干擾最小當覆蓋區域內某個AP發生故障而造成覆蓋黑洞時，無線控制器會自動調整相鄰AP發射功率以消除黑洞區域，當故障AP恢復工作后無線控制器能夠自動調整鄰居AP發射功率恢復原始工作狀態APAPAPAPAPAPAPWLAN布署和維護問題-瘦AP發射功率自動調整第22頁無線控制器能夠設定AP間對接入用戶進行負載分擔負載分擔策略能夠是基于AP接入用戶數量，AP流量負載情況當無線控制器發覺AP負載超出設定門限值以后，對于新接入用戶無線控制器會自動計算此用戶周圍是否還有負載較輕AP可供用戶接入，假如有則AP會拒絕用戶關聯請求，用戶會轉而接入其它負載較輕AP只對處于AP覆蓋重合區無線用戶才開啟AP負載分擔功效，有效防止誤分擔出現AP1AP2拒絕關聯接收關聯負載均衡原理AP1AP2智能負載分擔技術開啟負載分擔重合覆蓋區不開啟負載分擔區域WLAN布署和維護問題-智能負載分擔第23頁WLAN布署和維護問題-FAT/FIT平滑切換組網關鍵/匯聚層交換機管理中心無線控制器接入層交換機FATAPFATAPFATAPFATAPFATAPFATAPFATAPFATAPFITAPFITAPFITAPFITAPFITAPFITAPFITAPFITAP購置FIT/FAT雙模AP來保護原有投資經過命令更改工作模式從而實現平滑升級網絡建設早期使AP工作于FAT模式，滿足小規模組網需求網絡建設后期使AP工作于FIT模式，并添加無線控制器，滿足大規模組網需求第24頁WLAN布署和維護問題-AP遠程供電設備無需額外鋪設電源線，實現快速布署；電源復位簡單，可遠程復位。數據線，直接供電PoE交換機第25頁有線無線融合管理-建設一體化無線網絡街區及廣場覆蓋室外MESH組網商務樓及酒店覆蓋與3G合路組網AC企業內部網園區覆蓋FIT/FAT雙模AP小區覆蓋無線網橋>100m熱點覆蓋家庭覆蓋光口上行IP關鍵網BASBAS路由、交換機企業網分支無線控制器系列統一網管、認證平臺快速漫游一體化硬件平臺：交換機內置無線控制器模塊一體化管理平臺一體化認證平臺智能負載均衡第26頁融合管理-用戶管理與網絡設備管理融合用戶與設備融合管理提供強大用戶接入管理功效支持用戶與設備關聯管理，經過拓撲直接定位威脅用戶，并可對其進行強制下線等操作提供黑名單機制，禁止威脅用戶接入第27頁藍色子網紅色子網BobAmy對新業務開展支持-三層快速漫游Amy無線控制器無線控制器APAPAPIP網絡支持無線第28頁對新業務開展支持-100ms業務熱切換支持APPoE交換機AAA認證平臺網管平臺APAP

IP局域網PoE交換機無線控制器無線控制器主備無線控制器實現100ms業務級,視頻/語音等敏感業務不中止.

第29頁對新業務開展支持-IPv6組網支持關鍵交換機GEGEGEGE關鍵層匯聚層接入層外網用戶端GEGEGEFEFEFEFEFEFEIPv4IPv6雙棧

IPv6雙棧

IPv4IPv6服務器IPv4服務器接入交換機匯聚交換機無線用戶能夠經過IPv6正常訪問IPv6網絡及IPv6業務.FITAP能夠經過IPv6網絡注冊到AC，并建立CAPWAP隧道.匯聚交換機接入交換機接入交換機關鍵交換機無線控制器第30頁對新業務開展支持–IEEE802.11n技術支持因為MIMO技術引入，大大提升了WLAN吞吐量、傳輸距離和可靠性；但802.11n即將標準化，最高可達300M傳輸速率，滿足高帶寬傳輸需要。第31頁

無線局域網發展趨勢及技術概述3331企業級無線網絡布署方案32企業構建WLAN面臨挑戰34H3C與WLAN網絡第32頁概述杭州華三通信技術有限企業（以下簡稱H3C），運行總部設在杭州，在中國34個省市設有分支機構。H3C致力于IP技術與產品研究、開發、生產、銷售及服務，為全球用戶提供全系列IP產品和全業務處理方案。企業全方面推行以客戶需求為關鍵質量文化，連續在產品研發、供給鏈、服務、網絡咨詢、培訓等方面開展流程變革與管理優化，意在為客戶提供高質量、高性價比產品與服務。第33頁華三（H3C）企業發展電信級IP通信設備企業級IP通信設備H3C整合了華為和3COM通信技術及產品，為客戶提供基于IP技術全系列產品和處理方案，其中包含無線產品和技術。第34頁業務自適應、彈性可靠數據管理用戶管理業務管理安全管理IP通信視頻產品系列語音產品系列IP自適應安全網絡交換機產品系列WLAN產品系列安全產品系列IP智能管理中心網絡管理H3CMSR系列多業務開放路由器H3CS9500路由器產品系列H3CSR8800系列高端關鍵路由器無線局域網控制器安全滲透網絡系列化APIP存放IP自適應網絡存放監控產品系列H3C產品和處理方案H3CS7500EH3CIPSV1000－A網關F1800－A防火墻多業務插卡H3CSR6600系列開放多核路由器第35頁H3C全系列WLAN無線產品FIT/FATAP無線應用MESH/網橋WH2520WA2110-AGWA2210-AGWA2220-AGWA1208E-G/GP無線控制器WX5002WX6103S7500插卡S7500E/9500插卡WB2320WA1208E-AG/DG/AGPWA2220E-AGWA2210X-G/AG/AGP無線客戶端無線IDS無線定位網絡管理軟件WX3024業界首款萬兆接口無線控制器業界首款萬兆多核無線控制卡WA2610E-AGN業界首款不需要外接機箱室外AP第36頁12月02日至08日，IETF70屆大會在加拿大溫哥華舉行。在CAPWAP工作組會議上作了專題匯報，完整地介紹了H3C企業在無線網絡管理創新理念。依據大會投票選舉結果，H3C草案取得了工作組全票經過：正式成為工作組草案。很快未來，該草案最終將成為IETFRFC標準并正式公布。大會LOGOH3C教授介紹CAPWAPMIBH3CWLAN在世界第37頁國家大劇院

國家大劇院是我國新時代標志性建筑，是國家最高藝術演出中心，是含有世界一流水平大型藝術殿堂采取有線無線一體化方案，進行OA網布署，實現無線網絡辦公采取94臺WA2110型AP覆蓋整個公共區域，并使用S9500系列無線控制器插卡對AP進行集中控制管理因為國家大劇院內部結構十分復雜，且鋼結構偏多，輕易形成信號干擾，H3C依靠產品本身高可靠自動調整能力進行了高精度無線覆蓋，并經過強大技術服務團體成功處理了工程實施難問題采取各種WLAN應用，包含無線語音、無線監控和無線定位，提供了豐富移動化應用，彰顯出國家大劇院先進信息化水準公共區域辦公區域復雜建筑結構豐富無線業務應用語音、監控等高可靠無線網絡第38頁北辰奧運酒店及國家會議中心無線網絡Fortigate800PIX520ServerCisco7401S3600-28TP-SIS3100-52PS3100-52PS3100-52P辦公信息點配套D座酒店客房信息點公共區域無線無線控制器WX6103S5600-26FS5600-26FS5510-24PSecPathF1000-SSecPathF1000-SS3100-52PS3600-28P-PWR-EI無線控制器WX50021臺WX6103無線控制器，3臺WX5002無線控制器，460臺WA2110瘦AP，iMC智能管理中心無線覆蓋國家會議中心主體、配套兩家五星級酒店和一家超五星級酒店以及周圍寫字樓，這些區域是奧運會期間新聞公布會，奧組委、各國奧運官員及國內外各大媒體住宿工作主要場所第39頁北京首都國際機場T3航站樓關鍵交換機匯聚交換機接入交換機AP無線控制器關鍵層航站樓T3A航站樓T3B機場關鍵骨干網服務器群AP接入層匯聚層無線控制器6臺無線控制器，346個AP對首都國際機場T3航站樓進行全方面無線覆蓋。主要無線應用：航顯、商業、離港、行李再確認系統、OA、安檢系統、外場數據采集，旅客無線上網等。高可靠性一體化移動網，為機場用戶提供全方位應用保障第40頁主要用戶名單（大陸）運行商：中國電信中國網通北京移動上海移動江蘇移動北京聯通濟南聯通廣東電信浙江電信云南電信河北電信黑龍江電信吉林電信甘肅電信寧夏電信廈門電信海南鐵通天津網通吉林網通教育：北京大學中科院中央美術學院北京航空航天大學南京航空航天大學北京外國語大學北京師范大學北京交通大學山東大學蘭州大學重慶大學湖南大學湖南師范大學湖南農業大學蘭州大學西安理工大學遼寧工學院南華大學哈爾濱工程大學鄭州大學東北師范大學酒店：青島香格里拉大飯店烏魯木齊喜來登大酒店重慶長安酒店金橋酒店政府：北京市發改委廣東省發改委湖北省建設廳杭州市委連云港市政府烏魯木齊中級人民法院長春市公安局濟南市信產局金融：中國人保中國人民銀行浙江省農民銀行浦東發展銀行烏魯木齊市商業銀行福建省郵政局醫療：北京醫院解放軍總醫院中山醫院制造業：三菱重工光明集團中國南方航空動力機械企業第41頁主要用戶名單（香港及海外）香港：特首辦公室香港機電工程署富邦銀行

嘉亨灣樓盤

聯合出版社TradeLink