您的当前位置：首页园区无线WLAN方案技术建议书

园区无线WLAN方案技术建议书

来源：爱go旅游网

ONE NET Campus 园区WLAN方案

技术建议书

文档版本发布日期

2012-07-30

华为技术有限公司

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司

地址：网址：

客户服务邮箱：客户服务电话：

深圳市龙岗区坂田华为总部办公楼邮编：518129 http://enterprise.huawei.com ****************************** 400-822-9999

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

1 WLAN方案概述 ............................................................................................................................. 1

1.1 方案背景 ......................................................................................................................................................... 1 1.1.1 技术背景 ............................................................................................................................................... 1 1.1.2 企业无线园区网的发展及设计需求 .................................................................................................... 2 1.2 WLAN基本概念 ............................................................................................................................................. 2 1.2.1 网络架构模型 ........................................................................................................................................ 2 1.2.2 集中式AC与分布式AC ...................................................................................................................... 4 1.2.3 AC旁挂与AC直路 ............................................................................................................................... 6 1.2.4 集成AC与独立AC.............................................................................................................................. 7 1.2.5 本地转发与集中转发 ............................................................................................................................ 7

2 WLAN基础网络规划 ................................................................................................................... 10

2.1 IP地址规划 ................................................................................................................................................... 10 2.2 SSID规划 ...................................................................................................................................................... 11 2.3 漫游规划 ....................................................................................................................................................... 12 2.4 AP发现并选择AC方式规划 ...................................................................................................................... 13 2.5 射频管理规划 ............................................................................................................................................... 15 2.6 无线网络安全规划 ....................................................................................................................................... 17 2.7 QoS规划 ........................................................................................................................................................ 18 2.8 可靠性规划 ................................................................................................................................................... 19

3 WLAN接入认证计费方案 ........................................................................................................... 21

3.1 无线安全协议标准 ....................................................................................................................................... 21 3.2 WLAN终端认证技术 ................................................................................................................................... 22 3.3 无线用户身份认证技术 ............................................................................................................................... 23 3.4 认证、安全、计费功能与部署 ................................................................................................................... 26 3.4.1 认证、安全、计费系统功能组件 ...................................................................................................... 27 3.4.2 认证、安全、计费集成方案 .............................................................................................................. 28 3.4.3 园区出口计费网关部署 ...................................................................................................................... 34

4 WDS网桥无线数据回传典型方案 .............................................................................................. 36

4.1 WDS组网模式 .............................................................................................................................................. 37 4.2 WDS组网性能指标 ...................................................................................................................................... 38 文档版本01 (2012-07-30)

华为专有和保密信息

ONE NET Campus 园区WLAN方案技术建议书

5 WLAN网络管理方案 ................................................................................................................... 40

5.1 网管方案概述 ............................................................................................................................................... 40 5.2 eSight WLAN网络管理流程 ........................................................................................................................ 41 5.3 企业WLAN网络管理规划 ......................................................................................................................... 42

6 WLAN网络组网推荐方案 ........................................................................................................... 43

6.1 大中型园区网WLAN组网推荐方案 ......................................................................................................... 43 6.2 小型园区网WLAN部署方案 ..................................................................................................................... 45 6.3 SOHO型园区网络WLAN部署方案 .......................................................................................................... 48

7 WLAN主要产品介绍 ................................................................................................................... 50

7.1 AP6010SN-GN美观标准室内型单频AP ....................................................................... 错误!未定义书签。 7.2 AP6010DN-AGN美观标准室内型双频AP ................................................................... 错误!未定义书签。 7.3 AP6310SN-GN经济型室分单频AP ............................................................................... 错误!未定义书签。 7.4 AP6510DN-AGN标准室外双频AP ............................................................................... 错误!未定义书签。 7.5 AP6610DN-AGN全规格室外双频AP ........................................................................... 错误!未定义书签。 7.6 AP7110SN-GN增强型室内单频AP ............................................................................... 错误!未定义书签。 7.7 AP7110DN-AGN增强型室内双频AP ........................................................................... 错误!未定义书签。 7.8 AP5010SN-GN美观标准室内单频AP ........................................................................... 错误!未定义书签。 7.9 AP5010DN-AGN美观标准室内单频AP ....................................................................... 错误!未定义书签。 7.10 AC6605-26-PWR ......................................................................................................................................... 65 7.11 S9700/S7700 SPU插卡 ............................................................................................................................... 66

文档版本01 (2012-07-30)

华为专有和保密信息

iii

ONE NET Campus 园区WLAN方案技术建议书

1 WLAN方案概述

1 1.1 方案背景

1.1.1 技术背景

WLAN方案概述

WLAN（Wireless Local Area Network）是指利用高频射频信号（例如2.4GHz或5GHz）作为传输信道的无线局域网。

802.11是IEEE在1997年为WLAN定义的一个无线网络通信的工业标准。此后这一标准又不断得到补充和完善，形成802.11的标准系列。例如比较重要的802.11、802.11a、802.11b、802.11e、802.11g、802.11i、802.11n等。其中基于802.11b标准的有时也被称为Wi-Fi标准。而802.11n标准兼容802.11a/b/g，带宽优势明显，已经成为当前的主流技术。而随着802.11ac技术的出现，必将引领无线业务进入千兆时代，为用户带来千兆级别的接入速度。表1-1 802.11标准简介标准名称 802.11b 802.11a 802.11g 802.11n 802.11ac 802.11ad 发布时间 1999 1999 2003 2009 2012 发展中工作频率 2.4GHz 5.0GHz 2.4GHz 2.4/5.0GHz 5.0GHz 60GHz 理论速率 11Mbps 54Mbps 54Mbps 150Mbps 1Gbps 7Gbps 实际速率 6Mbps 22Mbps 22Mbps 75Mbps 400～500Mbps 发展中备注早期标准应用很少早期标准结合MIMO技术，理论速率600Mbps 802.11n下一代标准面向家庭高清娱乐设备

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

1 WLAN方案概述

1.1.2 企业无线园区网的发展及设计需求

随着技术的发展和大量移动终端的出现，企业园区也从最初的有线覆盖网络形式历经有线无线覆盖网络到现在的无线泛在覆盖网络形式。图1-1 企业园区网的无线化发展示意

由于无线网络覆盖场所的多样性、用户上网行为的复杂性、企业对于网络安全和网络质量的需求，需要在进行WLAN规划时除了WLAN组网以外，还需考虑到WLAN网络的通信质量、网络安全、可靠性、统一管理以及部分行业对无线用户接入认证、授权、计费的需求。

1.2 WLAN基本概念

1.2.1 网络架构模型

WLAN网络在部署过程中，根据不同的需求有多种实现形式，根据网络架构分为：

 

自治式架构（即FAT AP或胖AP）集中式架构（即FIT AP或瘦AP）

自治式架构和集中式架构两种网络结构比较如表1-2所示。表1-2 自治式架构和集中式架构比较表项目适用场景安全性网络管理自治式架构微型企业、个人传统加密、认证方式，普通安全性每AP需要单独下发配置文件集中式架构新生方式，增强管理基于用户位置的安全策略，高安全性 AC上统一配置，AP本身零配置，维护简单文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

1 WLAN方案概述

项目用户管理 WLAN组网规模增值业务能力

自治式架构类似有线，根据AP接入的有线端口区分权限 L2漫游，适合小规模组网实现简单数据接入集中式架构虚拟专用组方式，根据用户名区分权限，使用灵活 L2、L3漫游，拓扑无关性，适合大规模组网可扩展丰富业务自治式架构

该架构下AP实现所有无线接入功能，不需要AC设备形态，如图1-2所示。图1-2 WLAN自治式架构图 DHCP/DNS服务器FAT AP园区网认证服务器FAT APeSight网管

WLAN早期广泛采用自治式架构，随着企业大量部署AP后，对这些AP进行配置、升级软件等管理工作将给用户带来很高的操作成本，管理成本提高，自治式架构应用逐步减少。

集中式架构

该架构通过无线控制器（AC）集中管理、控制多个AP，如图1-3所示。所有无线接入功能由AP和AC共同完成：



AC完成网络具有重要意义的功能，例如移动管理、身份验证、VLAN划分、射频资源管理、无线IDS（Intrusion Detection Systems）和数据包转发等。

AP完成无线空口的控制，例如无线信号发射与探测响应、数据加密解密、数据传输确认、空口数据优先级管理等等。



文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

1 WLAN方案概述

图1-3 WLAN集中式架构图 DHCP/DNS服务器FIT APAC园区网认证服务器FIT APeSight网管

AP和AC间采用CAPWAP隧道协议进行通讯，AC与AP间可以是直连或者穿越Layer 2、Layer 3网络。

CAPWAP协议是基于UDP传输层的应用层协议，协议传递的信息分为两类：控制信息和数据信息。



控制信息负责AC与AP之间的管理的交互操作，包括AP自动发现AC、AC对AP进行安全认证、AP从AC获取软件版本、AP从AC获取配置等等。数据信息是封装后转发的无线数据。



两类信息分别使用不同的UDP端口号。CAPWAP信息在AP与AC间交互时可以使用DTLS加密机制，保证通信的安全性。

所有无线接入功能由AP和AC间共同完成。集中式架构是企业网、运营商等WLAN方案的主要架构，便于集中管理、集中认证和实施安全策略。此种方案为目前企业网通用方案。

在FIT AP网络架构下，又有如下划分：

   

根据AC部署方式，分为集中式和分布式根据AC部署位置，分为旁挂和直路

根据AC硬件体现形式，分为集成AC和独立AC 根据业务转发形式，分为本地转发和集中转发

1.2.2 集中式AC与分布式AC

根据AC的部署方式，网络可分为集中式AC部署和分布式AC部署。

集中式AC部署

集中式AC部署是指整个网络中集中部署AC设备（一般是独立的AC设备），来控制和管理整网的AP设备。AC的部署可以采用直路（直接部署在AP和汇聚/核心交换机之间）或旁挂方式（旁挂在汇聚/核心交换机旁侧）。

文档版本01 (2012-07-30)

华为专有和保密信息

ONE NET Campus 园区WLAN方案技术建议书

1 WLAN方案概述

图1-4 集中式AC部署示意图

分布式AC部署

分布式AC部署是指网络中分区域采用多个AC设备，分别对本区域的AP设备进行管理。分布式AC方案一般不采用独立的AC设备，而是采用在汇聚交换机上集成AC功能，来实现对本交换机下挂的所有AP进行管理。图1-5 分布式AC部署示意图

AC的两种部署方式的优劣势对比如表1-3所示。

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

1 WLAN方案概述

表1-3 集中式AC与分布式AC优缺点对比表 AC部署方式集中式优点      缺点节省投资 AC与AP之间的网络结构网络规划部署相对复容量管理更简单有效，成本效益高复杂，杂无线业务终结点少，便于管理漫游部署简单、高效无线网络运维管理更简单，可集中管理且配置灵活   分布式 AC与AP之间网络结构简单，网络部署相对简单投资成本高需要部署AC间漫游（除非各AC所在的区域间不考虑漫游）运维成本高 

1.2.3 AC旁挂与AC直路

根据AC在网络上所处位置，可分为AC旁挂和AC直路。

旁挂

旁挂方式是指将AC部署在用户网关设备（汇聚或核心交换机）一侧，实现对用户网关设备下所有AP的管理。

旁挂方式主要用于原有网络汇聚/核心设备非华为设备的场景，目前主要用于网络改造、或者新建大、中型园区网络场景。图1-6 AC旁挂示意图

直路

直路方式是指将AC部署在AP与用户网关设备（汇聚或核心交换机）之间，实现对下辖所有AP的管理。

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

1 WLAN方案概述

直路方式主要用于新建中、小型园区网络或原有网络汇聚/核心设备为华为设备的场景。图1-7 AC直路示意图

1.2.4 集成AC与独立AC

根据AC硬件体现形式，可分为集成AC与独立AC。

集成AC

集成AC方案指不采用单独的AC硬件设备，而是采用在交换机中集成的AC硬件插卡，来实现对交换机下所有AP的管理。

在集成AC方案中，采用集中式架构（FIT AP架构），使用FIT AP来负责无线终端的接入。使用集成的SPU板卡作为AC，负责完成对AP设备的管理。

独立AC

独立AC方案是指采用单独的AC硬件设备，通过直路或者旁挂方式实现对于所有AP的管理。

在独立AC方案中，采用集中式架构（FIT AP架构），使用FIT AP来负责无线终端的接入。使用独立的AC设备完成对AP设备的管理。集成AC和独立AC优缺点比较如表1-4所示。表1-4 集成AC和独立AC优缺点比较表 AC硬件形式集成AC 独立AC 优点部署简便；价格较低。可以实现大容量、高性能的WLAN网络部署。缺点在接入用户数方面略差价格较高，成本高。

1.2.5 本地转发与集中转发

转发模式主要是AP针对用户数据可以有不同的转发处理方式。

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

1 WLAN方案概述

本地转发

又称直接转发，是指AP上对用户数据由本地转发到网络上层，不经过AC处理，AC只对AP进行管理。而AP管理流封装在CAPWAP隧道中，到达AC终止。图1-8 本地转发示意图

集中转发

也称作隧道转发。业务数据报文由AP统一封装后到达AC实现转发，AC不但进行对AP管理，还作为AP流量的转发中枢。即AP管理流与数据流都封装在CAPWAP隧道中到达AC。图1-9 隧道转发示意图

本地转发与集中转发优缺点对比如表1-5所示。表1-5 本地转发与集中转发优缺点对比表转发方式本地转发优点设备署简单，数据流量不经过AC，AC负担小。缺点 - 文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

1 WLAN方案概述

转发方式集中转发优点缺点数据流量和管理流量全部经过AC，AC设备数据压力较大，对AC可以按用户需求规划安全监管策略。设备本身处理能力要求较高。

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

2 WLAN基础网络规划

2 2.1 IP地址规划

AC的IP地址 AP的IP地址

WLAN基础网络规划

AC用于管理AP，IP地址一般通过静态手工配置。

AP的IP地址分配如果采用静态分配，由于一般AP数量较多，配置工作量大，且容易冲突、不易于控制，所以不建议使用，建议使用DHCP动态分配。 DHCP动态分配AP的IP地址时，可以有以下几种方式：



指定地址池分配

−

根据DHCP Option 60表明AP身份而分配指定地址池的IP：

AP的DHCP Discover报文携带Option 60，例如内容为“Huawei AP”，表示请求分配IP地址的设备是华为AP，而不是WLAN用户。DHCP Server可以通过匹配或部分匹配Option 60字符串，来为AP从指定地址池中分配地址。如果网络中部署多个DHCP Server且只有部分支持Option 60，交换机等设备充当DHCP Relay时需要支持识别DHCP option 60并将DHCP报文转发到相应的DHCP Server上。

−

根据VLAN分配指定地址池的IP：

AP相连交换机端口以Trunk方式加入VLAN，允许通过的VLAN对应的地址池即为AP分配IP地址。

−

根据AP的MAC地址指定分配：

在DHCP Server上配置AP的MAC以及对应的IP地址。



统一分配

AP的IP地址分配同WLAN用户一样，由DHCP Server统一分配，不再区别。

DHCP动态分配AP的IP地址各种方式优劣势对比如表2-1所示。

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

2 WLAN基础网络规划

表2-1 DHCP动态分配AP的IP地址各种方式优劣势表 IP地址分配方式指定地址池分配 DHCP Option 60 优势 AP设备与无线用户的IP地址分离 AP设备与无线用户的IP地址分离劣势需要交换机配套支持网络配置工作量较大，不利于AP即插即用适用场景对设备IP地址管理与用户IP地址管理要求隔离的对设备IP地址管理与用户IP地址管理要求隔离的对少量AP设备管理有特殊要求的对AP IP管理没有要求根据VLAN 根据MAC AP设备与无线配置工作量较用户的IP地址大，IP地址管分离理难度加大网络配置简单 - 统一分配

无线终端/用户的IP地址

移动用户通过DHCP动态分配IP地址，不建议静态配置；对于基本不移动的无线终端

（比如：无线打印机）可以静态配置。

2.2 SSID规划

企业园区无线网络一般按照业务类型划分不同的SSID（Service Set Identification）。

SSID映射以太网中的VLAN

通常，以太网中管理VLAN和业务VLAN分离。业务VLAN主要用于区分不同的业务类型或用户群体。

在WLAN网络中SSID也同样可以承担相应的工作。因此，在业务VLAN的规划中必须综合考虑VLAN与SSID的映射关系。业务VLAN应根据实际业务需要与SSID匹配映射关系，映射关系有1:1、1:N、N:1、N:N四种，AC设备终结VLAN部署。

VAP构建

AP可以配置多个SSID，华为单频AP可支持16个SSID，双频AP可支持32个SSID。通过配置多个SSID，可以将一个AP划分为多个VAP（Virtual Access Point），每一个SSID对应一个VAP，AC针对VAP进行策略下发，VAP根据策略进行终端与业务管理。

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

2 WLAN基础网络规划

2.3 漫游规划

漫游是指用户在部署了WLAN网络的场所移动时，用户终端可以从一个AP的覆盖范围移动到另一个AP的覆盖范围，用户无需重新登录和认证。图2-1 用户漫游切换示意图

如上图所示，假设终端与AP1已经建立关联信息，随着用户位置的移动，终端切换到AP2，具体切换流程如下：

1. 客户端在各种信道中发送802.11请求帧。AP2在信道6（AP2使用的信道）中收到

请求后，通过在信道6中发送应答来进行响应。客户端收到应答后，对其进行评估，确定同哪个AP关联最合适。 2. 如图中的标号1所示，删除用户与AP1现有的关联。客户端通过信道1（AP1使用

的信道）向AP1发送802.11解除关联信息，解除用户与AP1间的关联。 3. 如图中的标号2所示，客户端通过信道6向AP2发送关联请求，AP2使用关联响

应做出应答，建立用户与AP2间的关联。 WLAN网络漫游中需注意以下两点：

 

漫游切换需要保证SSID相同，即两台AP切换区域需要配置相同的SSID。漫游切换AP必须是同一个AC管理。

华为WLAN解决方案通过支持下述两种快速漫游技术，实现业务的平滑过渡。



PMK caching：PMK caching技术是对于802.1X用户而言的，是指802.1X用户与旧AP进行802.1X认证时，STA和AC都会缓存PMK和PMK-ID；当漫游到新AP

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

2 WLAN基础网络规划

时， STA会把这些PMK-ID携带过去，无线控制器根据STA携带的PMK-ID查找自己缓存的PMK信息，如果查到，就认为STA已经经过802.1X认证，直接跳过802.1X认证过程，利用缓存的PMK进行四次握手协商出加密KEY, 从而縮短了802.1X用户的漫游延时。如果没有查到，则需要重新进行802.1X认证过程。



密钥协商下移技术：密钥协商下移主要是针对数据加密用户包括WPA/WPA2 PSK和802.1X用户。在没有启用这个功能之前，STA主要与AC进行单播和组播密钥的协商；启用这个功能后，STA直接与关联上的AP进行单播和组播密钥的协商，这样在漫游到新AP时，减少了密钥协商所用的时间，从而縮短用户漫游延时。

2.4 AP发现并选择AC方式规划

FIT AP架构下的WLAN网络中，FIT AP为零配置，当FIT AP部署到网络的时候，AP需要去找到相应的AC，并从AC上下载其配置。 AP发现AC的机制有如下几种：

二层广播发现AC

当AC和AP同在一个二层的网络中时，可以通过二层广播方式直接发现AC。

通过DHCP Option 43发现AC

Option 43是DHCP协议的一个属性，在华为WLAN网络里，AP用它识别AC的IP地址。当DHCP Server配置了Option 43后，它给AP分配IP时，在DHCP Offer报文中同时会将此属性告知AP。

图2-2 通过DHCP Option 43发现AC的报文交互图

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

2 WLAN基础网络规划

通过DNS发现AC

当网络中部署了DNS Server时，还可以通过DNS方式让AP来发现AC。需要在DHCP Server上配置DNS Server IP地址以及AC的域名。当AP通过DHCP服务器获取IP地址时，DHCP Server会在DHCP Offer报文中将DNS服务器IP地址（Option 6）和AC域名（Option 15）告知AP，在AP获取到IP地址后，则通过DNS服务器解析到AC的IP，从而实现对AC的发现和关联。图2-3 通过DNS发现AC的报文交互图

AP上预配置AC列表

AP可以预配置AC的IP地址列表。当预配置好AC列表时，AP将不再启动正常的L2或L3的发现过程，故AC列表里的地址不可达时，AP将永远连接不上AC。上述几种方式优劣势对比如下表所示。表2-2 AP发现并选择AC方式优劣势对比表方式 DHCP Option 43 部署要求优势劣势对网络有部署要求适用网络大中型WLAN网络，DHCP Server启适用于AP/AC动Option 43属性任何组网中文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

2 WLAN基础网络规划

方式 DNS 部署要求优势劣势适用网络 AP/AC二层或三层组网部署DNS Server； DHCP Server支持Option 15属性无对已有网络没有额外要求对已有网络没有额外要求二层广播发现仅能用于AP/AC二层组网中需要对AP逐一进行配置，工作量大；若AC的IP地址发生变化，则需要重新修改AP的配置小型WLAN网络，AP/AC二层组网小型WLAN网络 AP上预配置静态AC列表 AP预配置

若无线网络部署了多个无线控制器，AP通过上述某种方式发现了多个AC时，AP根据根据AC负载动态选择接入到负载轻的AC。

2.5 射频管理规划

与IP地址规划一样，WLAN信道是WLAN网络设计中的重要一环，大型无线园区网网络必须对WLAN信道进行统一规划。

WLAN信道规划的好坏，影响到无线网络的带宽、无线网络的性能、无线网络的扩展以及无线网络的抗干扰能力，也必将直接影响到无线网络的用户体验。

射频信道划分

WLAN信道规划是WLAN网络设计中的重要一环，为保证信道之间不相互干扰，大型无线园区网网络必须对WLAN信道进行统一规划并实施。WLAN系统主要应用于两个频段：2.4GHz和5.0GHz。



2.4GHz频段信道划分：

− −

2.4G频段具体频率范围为2.4～2.4835GHz的连续频谱，信道编号1～14。 HT20信道划分：信道带宽为20M，在该模式下，一般选取1、6、11三个不重叠信道，频率规划可用频点只有3个。

HT40信道划分：信道带宽为40M，受频率限制，只支持一个不重叠信道。 5.0G频段分配的频谱并不连续，主要有两段：5.15～5.35GHz、5.725GHz～5.85GHz。

HT20信道划分：不重叠信道在5.15～5.35GHz频段有8个，分别为36、40、44、48、52、56、60、64；在5.725GHz～5.85GHz频段有4个，分别为149、153、157、161。

− 

5.0GHz频段信道划分：

−

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

−

2 WLAN基础网络规划

HT40信道划分：在该模式下，这两段频谱的可用信道分别为4个和2个。

AP支持手动和自动两种方式设置工作信道。设置为自动方式后，一旦检测到信道冲突AP具有信道自动调整功能，建议AP采用自动设置工作信道方式，避免手动设置后一旦信道冲突将导致无法切换信道的问题。

信道自动扫描功能：采用信道自动扫描功能，自动探测周边的AP、使用的信道及干扰，结果上报AC，触发信道调整。

射频信道覆盖

WLAN信道规划需遵循两个原则：蜂窝覆盖、信道间隔。根据覆盖密度、干扰情况、选择2.4G/5G单频或双频覆盖。AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道，避免信号相互干扰；一般情况单独使用2.4G或5.0G的频段，对于会议室等高密度用户接入的场所，可以启用双频进行覆盖，以便提供更好的接入能力。图2-4 单频信道规划示意图

图2-5 双频信道规划示意图

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

2 WLAN基础网络规划

2.6 无线网络安全规划

无线设备安全



AP防盗

安装AP时安装防盗锁即可。 AP零配置

传统的FAT AP组网模式要求在AP上配置大量的业务参数，同时需要在AP本地保存这些业务配置信息，一旦设备丢失，AP的业务配置信息就可能被泄漏，形成网络的安全漏洞。FIT AP在设备上不保存业务配置，而是每次启动的时候从无线控制器动态加载业务配置，这样可以有效避免设备丢失造成配置泄漏。当前FIT AP均能做到零配置。



无线IDS/IPS



IDS——非法AP检测

非法AP主要指未经网络许可而非法部署的AP设备或者是对网络发起无线攻击的AP设备。

对于非法部署的AP设备，可以通过控制AP接入（基于MAC地址；基于设备名称SN等）来防止非法AP接入网络。

对于对网络发起无线攻击的AP设备，网络中合法部署的AP监听设备负责把监听到有攻击行为的无线设备上报给无线控制器，继而上报给网管。部署建议：

− −

对于非法部署的AP设备，由网络设备AC检测，启动相应功能即可。这里主要给出对发起无线攻击的AP的监听部署方案以及对比情况，如表2-3所示。可以根据实际网络要求进行取舍。

表2-3 对发起无线攻击的AP的监听部署方案优劣势对比表部署方式部署专职监听AP 业务AP兼职监听AP



优点实时监听网络，及时检测出非法AP 网络部署成本相对小劣势网络部署成本高不能实时监听网络，无法及时检测到非法AP IPS----黑白名单

用户白名单功能：无线控制器支持静态配置白名单功能，该功能一旦启用，只有白名单上的无线用户才被认为是合法用户，其他非法用户的报文全部在AC上被丢弃，从而减少非法报文对无线网络的冲击。

用户黑名单功能：无线控制器通过配置方式或者实时检测侦听的方式来确定设备是否被加入黑名单，被加入到黑名单中的设备发过来的报文全部在AC上丢弃，从而减少攻击报文对无线网络的冲击。

部署建议：大中型园区网不建议部署，通过认证进行用户的合法检测即可。

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

2 WLAN基础网络规划

2.7 QoS规划 WLAN QoS保证不同质量的无线接入服务之间的互通，满足实际应用的需求。图2-6 WLAN QoS规划 AC设备园区网PoE千兆交换机PoE千兆交换机VoIPVideo Data业务调度GoldSilver Copper用户调度

如图2-6所示，在企业园区中，常采用无线空口做WMM调度，有线侧进行优先级映射，园区网做DiffServ调度的方式，最大程度优化网络发生拥塞时的核心业务和VIP用户服务质量。在这里仅介绍WMM协议技术、优先级映射和流量管理技术。

流量管理



基于用户的流量管理

防止P2P业务占用带宽导致其他用户无法正常使用无线网络，比如校园网。基于SSID的流量管理

防止某些SSID用户流量过大影响其他SSID用户的正常业务，比如访客SSID的流量控制。



文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

2 WLAN基础网络规划

无线空口做WMM调度

Wi-Fi多媒体标准WMM（Wi-Fi Multimedia）是一种无线QoS协议，无线空口上，WMM将数据报文通过4个优先级队列发送，每个优先级队列占用信道的机会不一样，从而保证语音、视频等应用在无线网络中有更好的质量。

WMM按照优先级从高到低的顺序分为AC（Access Category）-VO（语音流）、AC-VI（视频流）、AC-BE（尽力而为流）、AC-BK（背景流）四个优先级队列，保证越高优先级队列中的报文，抢占信道的能力越高。表2-4 WMM队列优先级 WMM队列 Voice Video Best Effort Background

用户优先级（UP） 6或7 4或5 2或3 0或1 优先级的映射

优先级映射包括：无线优先级到有线优先级的映射、无线优先级到CAPWAP隧道优先级的映射。



上行无线到有线报文优先级映射

AP接收到无线客户端发送的802.11（无线）数据报文后，将其转换为802.3（以太网）报文，然后向网络侧继续转发。对于本地转发，完成用户优先级UP到802.1P优先级映射；对于集中转发，再实现隧道优先级Tunnel-802.1P、Tunnel-TOS的映射。



下行有线报文到无线报文优先级映射

AP接收到802.3以太报文后，将其转换为802.11报文，并在空口上依据报文中的UP优先级选择不同的WMM队列发送给用户终端。对于本地转发，需要完成802.1P到UP优先级映射；对于集中转发，在AC上可实现TOS优先级到Tunnel-TOS映射，802.1P优先级到Tunnel-802.1P优先级映射。

2.8 可靠性规划

WLAN网络可靠性主要是网络的负载分担，分为AP负载分担和AC的负载分担。



AP负载分担

无线客户端一般会根据AP信号强度（RSSI）选择AP，这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于这些客户端共享无线媒

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

2 WLAN基础网络规划

介，导致每个客户端的网络吞吐将大量减少。AP负载分担可动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载，通过控制无线客户端接入的AP，来实现这些AP间的负载分担。评估负载的方式有两种：

− −

按照用户在线会话数按照用户流量

当前AP负载分担策略是通过控制STA的接入实现负载均衡。当AP的负载情况超过阈值后，该AP就会拒绝新的终端的接入，此时终端将寻找负载较轻的AP进行连接，从而实现负载的均衡。



AC负载分担

AC负载分担即AP根据AC负载动态选择接入到负载轻的AC上去。

AC在响应报文（Discovery Response）中携带该AC负载信息（比如AC允许接入的最大AP数、当前接入的AP数、允许接入的最大STA数、当前接入的STA数），AP通过比较各AC的负载情况选择一个负载轻的AC接入。

通过CAPWAP隧道的心跳机制，AP可及时发现控制器Down，同时根据该方法重新选择一个负载轻的AC接入。

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

3 WLAN接入认证计费方案

3 3.1 无线安全协议标准

标准简介 WLAN接入认证计费方案

如表3-1所示，WLAN无线安全协议标准主要有：OPEN-SYSTEM（Open system authentication）、WEP（Wired Equivalent Privacy）、WPA/WPA2（Wi-Fi Protected Access）、WAPI（WLAN Authentication and Privacy Infrastructure）。表3-1 WLAN无线安全协议标准介绍

适用场景一般用于有众多用户的运营网络应用于小规模/低安全需求的WLAN网络（SOHO/家庭热点等）。广泛应用于各种大、中型WLAN网络和公共场合，为目前主推加密方案。 OPEN-SYSTEM 开放系统认证是802.11的缺省设置，不进行认证。 WEP 有线等效加密，即对于数据的加密和解密都使用同样的密钥和算法，主要用来保护WLAN空口信号的信息安全。   WPA/WPA2 基于802.1x架构进行身份认证基于PSK(Pre-Shared Key)、EAP等协议进行身份认证基于TKIP实现数据加密基于4次握手实现用户会话密钥的动态协商 WPA2增加了预认证和CCMP加密，同时兼容WPA    文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

3 WLAN接入认证计费方案

标准 WAPI 简介 WAPI系统包含WAI鉴别及密钥管理和WPI数据传输保护：  适用场景中国标准，一般作为准入门槛测试。基于证书机制和自行设计的WAI(WLAN Authentication Infrastructure)认证协议完成身份鉴别和密钥管理，而没有重用802.1x，Radius等现有安全标准；基于自行设计的WPI（WLAN privacy infrastructure）协议实现数据的加密保护； 

华为AC均支持开放系统认证、WEP加密、共享密钥认证、WPA/WPA2认证和加密、WAPI认证加密等无线接入安全特性。

3.2 WLAN终端认证技术

IEEE 802.11标准要求WLAN终端在准备连接到网络时，必须进行“身份验证”。 WLAN终端身份认证主要有两种方式：开放系统认证（Open-system Authentication）和共享密钥认证（Shared-Key Authentication）。



开放系统认证是IEEE 802.11标准要求必备的一种方法，是最简单的认证算法，即

不认证。如果认证类型设置为开放系统认证，则所有请求认证的客户端都会通过认证。在这种方式下，接入点并未验证工作站的真实身份，工作站以MAC地址作为身份证明，这种验证方式可以让所有符合802.11标准的终端都可以接入到WLAN网络中来。开放系统身份验证比较适合有众多用户的电信运营WLAN网络。共享密钥式认证必需使用加密方式，要求每个WLAN终端都配置和AP完全一致的密钥（key）。由于配置工作量较大，一般适用于企业网、校园网及家庭网络等。



二者对比如下：

表3-2 WLAN终端认证方式对比认证方式优点开放式系统认证共享密钥式认证部署简单，终端接入速度快，有效带宽高。安全性较高，采用加密方式对密钥进行保护，空口密钥数据不再明文传输。缺点适用场景安全性差，无法检验客户端是否电信运营网合法，任何知道无线局域网络 SSID的用户都可以访问网络。配置复杂，可扩展性不佳；每台终端和AP上都需要静态配置一个很长的密钥字符串。有效带宽较低，加密降低了传输效率。企业网、校园网及家庭网络等。

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

3 WLAN接入认证计费方案

3.3 无线用户身份认证技术

相对于简单的STA身份验证过滤机制，链路层用户身份验证的安全性大大提高。通过提供有限的访问权限来验证用户身份，只有确定用户身份后才给予完整的网络访问权限，可有效判别用户的合法性。链路层身份验证是透明的，能配合任何网络层协议使用。常用的WLAN的链路层身份验证主要有MAC认证、802.1x、Portal（DHCP+Web）、PPPoE等几种认证方式。

对于企业园区，无线哑终端一般通过MAC认证接入，办公区域通过802.1x或Portal认证接入，访客区域一般通过Portal认证接入。

多种认证技术保证WiFi终端安全接入，合法用户访问合规资源，从源头上消除安全威胁。

MAC认证

MAC认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何的客户端。由于无线终端的网卡都具备唯一的MAC地址，因此可以通过检查无线终端数据包的源MAC地址来识别无线终端的合法性。地址过滤控制方式要求预先在AP服务器中写入合法的MAC地址列表，只有当客户机的MAC地址和合法MAC地址表中的地址匹配，AP才允许客户机与之通信。在企业园区中MAC认证主要用于IP电话、打印机等哑终端设备的接入。

802.1x认证

802.1x是针对以太网而提出的基于端口进行网络访问控制的安全性标准草案。基于端口的网络访问控制利用物理层特性对连接到LAN端口的设备进行身份认证。如果认证失败，则禁止该设备访问LAN资源。

尽管802.1x标准最初是为有线以太网设计制定的，但它也适用于符合802.11标准的无线局域网，且被视为是WLAN的一种增强性网络安全解决方案。802.1x体系结构包括三个主要的组件：



请求方（Supplicant）：提出认证申请的用户接入设备，在无线网络中，通常指待接入网络的无线客户机STA。

认证方（Authenticator）：允许客户机进行网络访问的实体，在无线网络中，通常指访问接入点AP或控制器AC设备。

认证服务器（Authentication Sever）：为认证方提供认证服务的实体。认证服务器对请求方进行验证，然后告知认证方该请求者是否为授权用户。认证服务器可以是某个单独的服务器实体，也可以不是，后一种情况通常是将认证功能集成在认证方Authenticator中。



802.1x技术是一种增强型的网络安全解决方案。在采用802.1x的无线LAN中，无线用户端安装802.1x客户端软件作为请求方，无线设备AP/AC内嵌802.1x认证代理作为认证方，同时它还作为Radius认证服务器的客户端，负责用户与Radius服务器之间认证信息的转发。

802.1x体系本身不是一个完整的认证机制，而是一个通用架构。用来传输实际的认证协议。802.1x体系的好处就是当一个新的认证协议发展出来的时候，基础的802.1x体系机

文档版本01 (2012-07-30)

华为专有和保密信息

ONE NET Campus 园区WLAN方案技术建议书

3 WLAN接入认证计费方案

制不需要随着改变。802.1x体系使用EAP（Extensible Authentication Protocol）认证协议，目前有超过20种不同的EAP协议。802.1x认证常用的包括以下几种EAP认证模式：

     

EAP-MD5

EAP-TLS(Transport Layer Security)

EAP-TTLS(Tunneled Transport Layer Security) EAP-PEAP(Protected EAP) EAP-LEAP(Lightweight EAP) EAP-SIM

PPPoE认证

PPPoE是PPP协议应用到以太网进行的再一次封装，进行广播链路上点对点通讯的协商，包括服务器的发现和会话标识Session ID的确认。主要包括三个部分：

 

用户和接入设备在LCP阶段协商链路层参数。

将用户名和密码发送给接入设备进行CHAP/PAP认证，接入设备可以进行本地认证，也可以将用户名和密码发送给AAA服务器进行认证。

根据认证结果，是否进入到NCP（IPCP）协商阶段，接入设备给用户计算机分配网络层参数（例如IP地址等）。PPP的三个协商阶段通过后，用户就可以发送和接收数据报文。



PPPoE也是一种认证模式，PPPoE在WLAN使用时，和WLAN本身采用的认证加密没有关系。即不管采用WEP、WPA或者WAPI，都可以选择PPPoE作为用户业务的认证协议。

Portal认证

Portal认证也称Web认证或DHCP+Web认证。客户端使用标准Web浏览器（例如IE），填入用户名、密码信息，页面提交后，由Web服务器和设备配合完成用户的认证。接入设备将来自客户的HTTP请求重定向到Portal服务器，在Portal页面上输入用户名、密码进行认证。用户在Web认证之前，必须先通过DHCP、静态配置等获得IP地址。用户如果被配置成强制Web认证，则用户只需要输入自己喜欢的网页即可，系统自动下载认证网页。主要认证过程为： 1. 动态用户通过DHCP协议获取地址；

2. 用户访问Web认证服务器的认证页面，并在其中输入用户名、密码，Web认证服

务器将用户的信息通过内部协议，通知接入设备； 3. 接入服务器到相应的AAA服务器对该用户进行认证，将认证结果通知Web认证服

务器； 4. Web认证服务器通过HTTP页面将认证结果通知用户，如果认证成功用户即可正常

访问网络资源。 Portal认证通常需要多个服务器支持，DHCP服务器、AAA服务器等。

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

3 WLAN接入认证计费方案

无线接入认证和安全协议对应关系

表3-3 无线接入认证和安全协议对应关系表认证方法 MAC认证安全协议 Open System 安全性低封装开销小地址客户端分配软件认证后分配认证后分配认证前分配认证前分配认证后分配认证后分配认证后分配应用场景 IP电话等哑不需要 PDA、终端设备接入。不需要场景同上，需要维护PSK密码。不需要中小型园区网络。 WEP/WPA/WPA2+PSK Open System 低小 Portal认证中小 WEP/WPA/WPA2+PSK 802.1x认证 WEP/WPA/WPA2 中小需要维不需要场景同上，护PSK密码。需要大中型园区网络。高小 PPPoE认证 Open System 低大需要运营商市场 WEP/WPA/WPA2+PSK 低大需要场景同上，需要维护PSK密码。

当前WAPI在企业网和运营商中应用很少，一般作为准入门槛测试，园区网中，从安全性和易部署性等多方面考虑，推荐802.1x＋WPA2的机制。

无线用户AC集中认证方案

无线用户在AC上集中认证，可以保证无线用户集中管理，授权通过AC控制隧道下发到AP设备，精细化控制用户访问权限，并在用户漫游、安全控制等方面由AC做到灵活控制。

无线用户集中认证，需要保证相关认证协议能够上送AC处理。集中转发场景下，EAP、Portal报文作为数据报文通过CAPWAP数据隧道上送AC；在本地转发场景下，可通过配置让EAP、Portal报文进入CAPWAP控制隧道，从而上送到AC设备完成认证过程。

文档版本01 (2012-07-30)

华为专有和保密信息

ONE NET Campus 园区WLAN方案技术建议书 3 WLAN接入认证计费方案图3-1 无线用户AC集中认证示意图园区网服务器区域集中转发802.1X、Portal认证报文走CAPWAP数据隧道CAPWAP数据隧道本地转发802.1x、Portal认证报文走CAPWAP控制隧道CAPWAP控制隧道集中转发区域

本地转发区域 AC集中认证组网如图3-1所示，认证方式包括MAC、802.1x、Portal、PPPoE等方式。园区网中，从安全性、易部署等角度考虑，一般推荐802.1x+WPA2接入认证。

3.4 认证、安全、计费功能与部署

由于无线网络安全威胁日益严重，因此对于企业园区的无线接入用户存在认证、授权、安全检查等需求；对于某些行业，例如校园网、广电网、酒店等行业，除了认证授权以外还要求实现计费功能。

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书 3 WLAN接入认证计费方案图3-2 用户认证、安全、计费集成方案组网图计费网关准出计费点AC设备核心设备服务器区域准入认证点用户认证流程园区内部流量园区外部流量用户计费流程

如上图所示，无线用户在AC集中认证和授权，实现准入控制。园区出口部署计费服务器，实现园区出口流量统一计费。无线数据转发模型采用本地转发，数据流量不经过AC，提升网络性能。

采用此方式，实现无线园区用户集中认证，数据流量本地转发，安全管理和网络性能做到完美结合；并且实现各功能组件按需选择，提供认证、认证＋安全、认证＋计费、认证＋安全＋计费等多套方案。

3.4.1 认证、安全、计费系统功能组件

认证、安全、计费集成方案主要由服务器、客户端、计费网关三部分组成，其中服务器系统可分为认证、安全、计费、Portal等四个组件，各组件功能如下表：表3-4 认证、安全、计费系统各组件功能序号 1 组件名称用户认证组件功能描述支持MAC、802.1x、Portal、PPPoE等接入认证和相关统计报表。备注必选文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

3 WLAN接入认证计费方案

序号 2 3 组件名称安全管理组件用户计费组件功能描述通过和客户端联动，支持终端补丁、防病毒等安全检查和修复功能。备注可选支持基于时间和流量的计费，包括包月、包年、包可选半年、包学期、动态包天、动态包月、动态包年、包时长、包流量等主流计费方式。弹出用户定制的认证页面，提供方便的用户自助服务平台，实现用户Portal接入认证。通过和服务器联动，完成接入认证、安全检查、用户计费等功能。部署在园区网出口，实现出外网报文计费功能，包括基于时间和基于流量计费两种方式。可选可选可选 4 5 6 Portal组件客户端软件计费网关

表中，除了用户认证是必选组件外，其他组件可基于现网需求选择。例如，如果用户部署认证＋安全方案，并采用Portal认证，则可选取1、2、4、5组件。

注意

不同厂商对于功能组件的划分存在差异，另外用户需求也具有多样性，不能简单的和报价组件进行对应。

3.4.2 认证、安全、计费集成方案

集成方案之一：认证方案

认证方案适合中、小型企业用户，需要控制用户接入园区网络，同时由于企业员工较少，没有终端健康检查等安全需求。

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

3 WLAN接入认证计费方案

图3-3 认证方案组网图

如上图，用户可选择802.1x认证或者Portal认证部署，本方案以Portal认证为例，服务器组件采用华为TSM系统，认证服务器和Portal服务器可部署在同一台服务器上。功能实现流程：

1. 无线用户通过Web页面认证，认证报文到AC后，通过Portal协议向Portal服务器

发起认证。 2. Portal服务器把用户信息回传给AC设备。

3. AC设备和认证服务器通过Radius协议完成用户准入认证。

集成方案之二：认证＋安全方案

认证+安全部署方案适合政府、企业等对于安全要求较高的行业客户。通过准入控制＋安全检查，提升内网安全。并且服务器组件支持定制化选择，若用户只作准入认证，则可不选择安全组件。

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

3 WLAN接入认证计费方案

图3-4 认证＋安全方案组网图

如上图，认证组件、安全组件、客户端为必选组件。其中服务器组件采用华为TSM系统，认证服务器和安全服务器之间为内部通道，一般部署在同一台服务器上。功能实现流程：

1. 无线用户认证报文到AC后，通过Radius协议（Portal认证先到Portal服务器交互）

到认证服务器完成认证过程。 2. 安全服务器和客户端配合，完成终端病毒库、补丁等健康检查功能，并可和软件服

务器联动，进行终端修复操作。

集成方案之三：认证＋安全＋AD

认证＋安全＋AD方案适合已经使用LDAP服务器管理用户，同时对于内网安全要求较高的企业。通过部署准入控制＋安全检查，提升内网安全；并和现有AD对接，保护用户投资。

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

3 WLAN接入认证计费方案

图3-5 认证＋安全+AD方案组网图

如上图，要实现认证+安全+AD功能，认证组件、安全组件、客户端为必选组件；服务器组件采用华为TSM系统，认证服务器和安全服务器之间为内部通道，一般部署在同一台服务器上；LDAP服务器为微软AD域服务器。功能实现流程：

1. 无线用户认证报文到AC后，通过Radius协议向认证服务器发起准入认证。 2. 认证服务器和AD服务器通过LDAP协议获取用户信息，完成认证过程。 3. 安全服务器和客户端配合，完成终端病毒库、补丁等健康检查，并可和软件服务器

联动，进行终端修复操作。

集成方案之四：认证＋计费

认证＋计费适合教育、酒店等有计费要求的行业网，同时对于内网安全要求一般的客户。通过准入准出一次认证，提升用户体验。并且计费网关可按需选择，节省用户投资。

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

3 WLAN接入认证计费方案

图3-6 认证＋计费方案组网图

如上图，要实现认证+计费功能，认证组件、计费组件、Portal组件、客户端、计费网关为必选组件。其中服务器组件采用合作方产品；认证服务器和计费服务器之间为内部通道，一般部署在同一台服务器上；计费网关一般选择合作方产品，大型行业网可使用ME60设备。功能实现流程：

1. 无线用户认证报文到AC后，通过Radius协议到认证服务器完成内网准入认证。 2. 认证服务器通过Radius协议，主动通知计费网关进行准出认证，打开外网权限。 3. 用户访问外网，则计费网关开始计费，并向计费服务器通告计费信息。

集成方案之五：认证＋安全＋计费

认证＋安全＋计费部署方案适合有计费要求并且客户对于内网安全也有较高要求的行业，例如教育、能源等行业网。通过准入准出一次认证，提升用户体验；用户数据集中管理，方便系统维护。

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

3 WLAN接入认证计费方案

图3-7 认证＋安全+计费方案组网图

如上图，要实现认证+安全+计费功能，认证组件、安全组件、计费组件、Portal组件、客户端、计费网关均为必选组件。服务器组件主要采用华为TSM系统，计费服务器和计费网关采用第三方产品，大型园区可使用ME60。功能实现流程：

1. 无线用户认证报文到AC后，通过Radius协议到认证服务器完成内网准入认证。 2. 认证服务器的Portal组件主动向计费网关发起Portal认证，完成外网准出认证。 3. 计费网关继而通过Radius协议向计费服务器请求用户信息。

4. 计费服务器作为Radius Proxy，从认证服务器获取用户信息，完成准出认证，同时

同步用户信息到本地。 5. 用户访问外网，则计费网关开始计费，并向计费服务器通告计费信息。

集成方案小结

综上所述，WLAN认证、授权、计费功能可以根据企业园区实际需求有选择性部署。按照常用使用场景可分为认证、认证＋安全、认证＋安全+AD、认证＋计费、认证＋安全+计费这五种方案。部署方案以及相应场景如下表：

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

3 WLAN接入认证计费方案

表3-5 功能组件部署及对应场景列表编号方案名称服务器组件认证安全 Portal 计费 TSM - TSM - - 客户端计费网关应用场景 1 2 认证认证+安全认证+安全+AD 认证+计费 - TSM - - 中小型企业，对于终端安全没有要求政务、大中型企业等对内网安全较严格的场景 TSM TSM TSM 3 TSM TSM TSM - TSM 合作方LDAP服务器管理用同时内网安全要或ME60 户，求较严格合作方校园、广电、酒店等或ME60 需要计费的行业市场。 4 合作方 5 认证+安TSM TSM TSM 全+计费合作方 TSM 合作方教育、能源等需要计同时或ME60 费的行业市场，内网安全要求较严格。

3.4.3 园区出口计费网关部署

如图3-8所示，园区网中计费网关一般作为准出设备，在用户报文出园区时进行计费。计费网关部署在园区出口，具有有单机和主备两种方式，为了提升园区网络可靠性，推荐采用主备方式。采用主备方式，网关可以做到用户数据实时同步。用户在任一设备上线后，在线信息会同步到另一台设备，保证两台计费网关信息一致。图3-8 计费网关主备方式部署及数据同步示意图

计费网关主备部署，用户信息在线实时同步计费网关准出计费点核心交换机（内置AC插卡）准入认证点

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

3 WLAN接入认证计费方案

为保证数据准确性，通过以下步骤实现计费网关和服务器数据同步：

1. 用户通过准入认证获得内网访问权限，服务器记录用户名、密码、状态等在线信息。 2. 服务器通过同步机制把用户信息同步到计费网关，同步开放用户访问外网权限。 3. 用户访问外网，则在计费点直接开始计费，无需再做二次认证。

文档版本01 (2012-07-30)

华为专有和保密信息

ONE NET Campus 园区WLAN方案技术建议书

4 WDS网桥无线数据回传典型方案

4 服务器系统WDS网桥无线数据回传典型方案

WDS（Wireless Distribution System），通过无线链路连接两个或者多个独立的有线局域网或者无线局域网，组建一个互通的网络，实现数据访问。

WDS技术适用于在大型仓库、港口码头、山川河流等不适合部署线缆的恶劣环境以及乡村、郊区或者野外等人员稀疏环境，通过无线链路连接两个或者多个独立的有线局域网或者无线局域网，并为他们之间提供数据交换功能。方便网络部署、安装，实现灵活组网。

图4-1 WLAN无线回传示意图园区网AC设备eSight网管系统5.0G桥接2.4G覆盖热点1热点2热点3

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

4 WDS网桥无线数据回传典型方案

如图4-1所示，在不适合部署线缆的恶劣环境下，无线网桥通过P2P/P2MP桥接功能，实现热点区域覆盖和数据回传；其中桥接使用5.0G频段，无线覆盖使用2.4G频段。

4.1 WDS组网模式

在实际组网中，WDS网桥组网模式可以分为点对点模式和点对多点模式。图4-2 点对点组网模式示意图 LAN Segment 1AP1AP2AP2LAN Segment 2

如图4-2所示，WDS通过两台设备实现了两个网络无线桥接，最终实现两个网络的互通。实际应用中，每一台设备可以通过配置对端设备的MAC地址，确定需要建立的桥接链路。

图4-3 点对多点组网模式示意图 LAN Segment 2AP2LAN Segment 3AP3LAN Segment 4AP4AP1LAN Segment 1

如图4-3所示，在点到多点的组网环境中，一台设备作为中心设备，其他所有的设备都只和中心设备建立无线桥接，实现多个网络的互联。但是多个分支网络的互通都要通过中心桥接设备进行数据转发。

在点对多点组网场景下，AP网桥链路之间、以及有线链路可能出现网络环路。为防止网络风暴、保证正确的二层转发，需要启用STP功能打开环路检测。STP功能对AP有线接口、和开启了WDS的网桥接口有效。网桥端口的每个无线虚链路作为一个独立逻辑端口参与STP协议交互和控制。

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

4 WDS网桥无线数据回传典型方案

4.2 WDS组网性能指标

由于无线技术较容易受到应用环境、传输距离、天线增益、频宽等因素影响，因此在进行无线回传规划时需要关注现场环境带来的影响，传输性能如下表所示：表4-1 无线网桥（WDS）P2P传输性能指标工作频段 2.4G覆盖/维护环境天线增益 11dBi 14dBi 典型距离下802.11n HT20/HT40吞吐量（Mbps） 500m 80 80 1km 80 80 80 80 80 80 30/45 60/95 80/160 80/160 80/135 80/160 80/160 80/160 2km 45 80 80 70 80 80 6/? 30/45 50/80 80/135 45/65 48/70 80/120 80/160 5km 15 36 60 32 55 80 / / 12/15 32/50 8/? 10/? 30/45 50/80 10km / 15 36 12 32 55 / / / 10/? / / 8/? 27/40 频宽 HT20 HT20 HT20 HT20 HT20 HT20 HT20/HT40 HT20/HT40 HT20/HT40 HT20/HT40 HT20/HT40 HT20/HT40 HT20/HT40 HT20/HT40 市区 17 dBi 80 郊区/农村 11dBi 14dBi 80 80 17 dBi 80 5.8G无线回传市区 11dBi 15dBi 18dBi 21dBi 郊区/农村 11dBi 15dBi 18dBi 21dBi

55/90 80/160 80/160 80/160 80/160 80/160 80/160 80/160 2.4G一般用于用户接入覆盖及设备维护，不建议回传使用，无线回传推荐5.8G频段，传输距离控制在5KM。

表4-2 无线网桥（WDS）P2MP传输性能指标 P2MP 影响因素隐藏终端 1 2 3 4 5 无 0.6 0.6 0.6 0.6 多用户竞争无 0.95 0.9 0.9 0.8 吞吐量影响因子 P 1 0.57 0.54 0.54 0.48 MP 1 0.285 0.18 0.135 0.096 文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

4 WDS网桥无线数据回传典型方案

P2MP 影响因素隐藏终端多用户竞争 0.8 吞吐量影响因子 P 0.48 MP 0.08 6

0.6 使用点对多点（P2MP）网桥时受隐藏终端和多用户竞争等因素影响，吞吐量将急剧下降；因此点对多点（P2MP）网桥吞吐量性能评估需在点对点（P2P）网桥数据基础上考虑吞吐量系数。

网络规划中，P2MP网桥推荐不超过4个，无线回传距离控制在5km内。

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

5 WLAN网络管理方案

5.1 网管方案概述

图5-1 eSight WLAN网络管理

WLAN网络管理方案

华为公司eSight管理平台根据企业网网络管理特点，采用B/S架构，瘦客户端，远程登录。eSight平台的WLAN功能模块组件化解耦，按需拆卸，便于在企业网不同场景下灵活组合，并能够提供二次开发和定制能力。

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

5 WLAN网络管理方案

5.2 eSight WLAN网络管理流程

WLAN网络管理帮助用户快速完成无线网络部署，提供网络设备、非法AP等物理资源监控，实现故障的快速感知、定位及解决，同时通过无线相关报表及多形式分类资源统计，为用户日常运维及网络调整提供了依据，极大提升网络管理效率。 Sight WLAN网络管理流程如图5-2所示。图5-2 eSight WLAN网络管理流程

网络部署

网络安装完毕后，用户通过简洁向导式部署页面，首先指定AC参数配置，其次创建网元级配置模板，通过规化表单批量导入FIT AP列表，最终批量完成FIT AP部署，快速完成WLAN网络的部署。

网络监控

用户可以通过网管物理拓扑，查看监控AC设备及链路状态；可以通过WLAN业务拓扑直观查看STA、FIT AP、AC接入关系；可以通过位置拓扑查看当前热点位置及射频信号覆盖范围并在视图上标识当前非法AP位置。

用户通过性能管理、告警管理及WLAN物理资源管理监控网络运行状况，并通过报表系统周期性给出WLAN相关报表，帮助用户实现轻松运维。

网络故障恢复

当网络中的AP出现异常或在WLAN网络的调试过程中，用户可以通过网管远程批量恢复AP的出厂设置；在WLAN网络中AP升级完成后或在WLAN网络的调试过程中，用户可以通过网管远程批量重启AP；当网络中的AP出现硬件故障需要替换时，用户

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

5 WLAN网络管理方案

可以通过网管快速完成AP替换，AC复制故障AP上原有的配置至替换新替换的AP，快速保证AP替换后业务不变。

用户可以可通过AP PING上行设备IP（包括网关或服务器IP），根据测试结果，判断AP上行业务线路的通断情况；或通过AP下行PING用户IP地址，从而确认用户报障原因是用户关联问题还是上行业务不通。AP Ping受AP状态正常约束，所以提供AC的诊断，AC下行Ping，可诊断AC至AP链路通断。

5.3 企业WLAN网络管理规划

大中型园区无线网络管理

对于大中型园区WLAN网络，推荐使用专门的网管平台（例如eSight）实现对WLAN网络的管理。它不仅可以实现对于WLAN业务的AC、AP、STA等节点和资源的监控，还可以实现对于AC、AP等节点和业务的配置，节省维护成本。

小型、微型园区无线网络管理

小型园区网络中可能不会部署专门的网管，此时可以通过AC上的本地管理对无线网络进行管理维护，包括相关配置、告警、软件版本管理等等。登录到AC的方式有Telnet，可以满足普通或安全的登录要求。

基于用户的帐号管理可以确保只有相关资格的人才能登录网络进行网络运维管理，保护网络的安全与可靠性。

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

6 WLAN网络组网推荐方案

WLAN网络组网推荐方案

6.1 大中型园区网WLAN组网推荐方案

大中型园区网定位为大中型企业总部、大型分部机构、高校、机场等；大型园区WLAN部署的AP数量较多，既有内部需求也有访客上网需求的场所；也适用于网络改造，增加园区无线覆盖的场景。图6-1 大中型园区网络拓扑示意图

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

6 WLAN网络组网推荐方案

大型园区WLAN方案一般在园区网的核心层部署AC设备，并采用主备方式保证高可靠性，由AC统一管理AP设备和无线用户。AC设备推荐在核心交换机（如S97/77等）上直接配置插卡式AC，方便管理；另外，也可采用旁挂独立AC设备（如AC6605）。对客户而言，具有方便运维和高可靠性的特点，是园区网WLAN推荐组网方案。大中型园区中WLAN网络部署规划主要有如下配置推荐：表6-1 大中型园区中WLAN网络部署规划推荐配置网络配置点网络架构分类 FAT AP FIT AP AC部署方式集中式分布式 AC部署位置旁挂直路 AC硬件形式集成AC 独立AC AP类型推荐备注 - √ √ - √ - √ - - - - - - - - - 均可，根据实际需要 AP6010SN（室内型，支持802.11a/b/g/n） √ AP6010DN（室内型，支持802.11a/b/g/n） √ AP6510DN（室外型，支持802.11a/b/g/n） √ AC IP地址规划 AP IP地址规划用户IP地址规划 VLAN和SSID映射关系静态分配动态获取静态分配动态获取静态分配动态获取 1:1 1:N N:1 N:N √ - - √ - √ - - - - √ - √ - - - - - - 根据布网实际需要 DHCP Server位置 AP发现AC形独立DHCP Server AC上 Option 43 - - 均可，根据实际需文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

6 WLAN网络组网推荐方案

网络配置点式业务转发模式分类 Option 15 独立转发隧道转发推荐备注 √ √ - - √ √ √ √ √ √ √ 要 - - - - - - 根据实际需要认证方式 PSK认证 802.1x认证 Portal认证网管认证授权计费 eSight 华赛TSM服务器深澜服务器（国内计费）计费网关（ME60或Srun3000）第三方计费系统

6.2 小型园区网WLAN部署方案

小型园区网定位为中小型企业无线园区网，网终端规模在100～200之间，也包括只在分支机构部署WLAN的场景。

图6-2 小型园区网（万兆）网络拓扑示意图

出口路由器核心层内置AC插卡或者旁挂AC设备核心/汇聚交换机PoE交换机

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

6 WLAN网络组网推荐方案

图6-3 小型园区网（普通）网络拓扑示意图

出口路由器AC直连接入，兼具AC管理和交换功能核心/汇聚交换机PoE交换机

小型网络一般为核心/汇聚层合一的扁平化网络，可能由于成本因素较少考虑网络可靠性和网管系统。

对于小型万兆园区网，核心层采用框式交换机S7700，内置AC插卡；对于普通小型园区网，可采用独立AC设备部署，如AC6605等。

对客户而言，本方案设计采用扁平化网络，具有架构简单的特点，并可以按需裁减备用设备、网管系统和服务器等设备达到节省投资的目的。小型园区中WLAN网络部署规划主要配置推荐如下表所示：表6-2 小型园区中WLAN网络部署规划推荐配置网络配置点网络架构分类 FAT AP FIT AP AC部署方式集中式分布式 AC部署位置旁挂直路 AC硬件形式集成AC 推荐备注 - √ √ - √ √ √ - - - - 均可，根据实际需要小型万兆园区网络文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

6 WLAN网络组网推荐方案

网络配置点分类独立AC 推荐备注 √ 可以采用集成AC；小型普通园区网络采用独立AC。均可，根据实际需要 AP类型 AP6010SN（室内型，支持802.11a/b/g/n） √ AP6010DN（室内型，支持802.11a/b/g/n） √ AP6510DN（室外型，支持802.11a/b/g/n） √ AC IP地址规划 AP IP地址规划用户IP地址规划 VLAN和SSID映射关系静态分配动态获取静态分配动态获取静态分配动态获取 1:1 1:N N:1 N:N √ - - √ - √ - - - - √ - √ √ √ - √ - - - √ - - - - - - 根据布网实际需要 DHCP Server位置 AP发现AC形式业务转发模式独立DHCP Server AC上 Option 43 Option 15 独立转发隧道转发 - - 均可，根据实际需要 - - - - - 可以不用专门的网管设备。 - 认证方式 PSK认证 802.1x认证 Portal认证网管 eSight 单独维护

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

6 WLAN网络组网推荐方案

6.3 SOHO型园区网络WLAN部署方案

本方案适用于SOHO型网络，SOHO型（微小型）园区网终端规模在100以下，例如微型企业或者办事处等场景。图6-4 SOHO型园区网络拓扑示意图 Internet/WAN3G出口路由器PoE交换机

SOHO型园区一般采用出口、核心、汇聚融合的网络架构。使用AR集成AC，如AR1200等接入路由器。

微型园区网络部署推荐如下表所示：

表6-3 SOHO型园区中WLAN网络部署规划推荐配置网络配置点网络架构分类 FAT AP FIT AP AC部署方式集中式分布式推荐备注 - √ √ - - - - - 文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

6 WLAN网络组网推荐方案

网络配置点 AC部署位置分类旁挂直路推荐备注 - √ √ - - - AR G3系列路由器集成AC - 均可，根据实际需要 AC硬件形式集成AC 独立AC AP类型 AP6010SN（室内型，支持802.11a/b/g/n） √ AP6010DN（室内型，支持802.11a/b/g/n） √ AP6510DN（室外型，支持802.11a/b/g/n） √ AC IP地址规划 AP IP地址规划用户IP地址规划 VLAN和SSID映射关系静态分配动态获取静态分配动态获取静态分配动态获取 1:1 1:N N:1 N:N √ - - √ - √ - - - - √ - √ √ √ - √ - - - - - - - - 根据布网实际需要 DHCP Server位置 AP发现AC形式业务转发模式独立DHCP Server AC上 Option 43 Option 15 独立转发隧道转发 - - 均可，根据实际需要 - - - - - 认证方式 PSK认证 802.1x认证 Portal认证

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

7 WLAN主要产品介绍

7.1 室内分布型AP

WLAN主要产品介绍

WLAN系列产品主要包括AC6605盒式AC和S9700/7700 SPU插卡式AC，以及AP6010SN/DN，AP6310SN，AP6510DN，AP6610DN等多款AP。

性能增强级室分型无线接入点 AP6310SN-GN 适用于空间信号衰减较大和用户密度较低的室内广覆盖场景，例如酒店客房、医院等； AP6310SN-GN是室内大功率无线接入点，也可以与已有的2G/3G信号合路，共用2G/3G室分系统；单频11n,最大可到150Mbps; WiFi标准：满足IEEE 802.11b/g/n 文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

7 WLAN主要产品介绍

工作频段：2.4GHz 上行：1个10/100/1000M电口，支持PoE供电下行：遵循IEEE 802.11b/g/n标准，最大（物理）比特率为150Mbps 1、1个控制台端口：Console 2、1个设备锁接口：Lock 27dBm(500mw) 天线类型：外接室分系统天线接口类型： N接口连接室分系统 150mm×130mm×35mm 工作温度范围：－10℃～50℃ 工作湿度范围：5%～95%（非凝结）工作气压范围：70kPa～106kPa 防护标准：符合IP31要求支持外接电源适配器直流供电或POE供电两种供电方式：文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

7 WLAN主要产品介绍

1、当PoE供电和直流供电两种方式同时存在时，以直流电源为主供电电源，PoE供电为后备电源。 2、直流供电的外接电源适配器规格：输入：100V～240VAC；50Hz～60Hz 输出：12V DC，2A

7.2 室内放装型AP

技术引领级室内无线接入点 AP7110SN-GN AP7110DN-AGN 802.11n 3×3MIMO无线接入点，支持3条流，每射频450Mbps,整机最高900Mbps；室内工业级无线接入点，高等级防尘防水标准，可适用于恶劣环境；适用于会展中心、医疗领域、工业厂房、物流等大型或高密度场景；文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

7 WLAN主要产品介绍

WiFi标准：满足IEEE WiFi标准：满足IEEE 802.11a/b/g/n 工作频段：2.4GHz和5.8GHz 802.11b/g/n 工作频段：2.4GHz 上行：1个10/100/1000M电口，支持PoE供电下行：遵循IEEE 802.11b/g/n标准，最大（物理）比特率为450Mbps 1、1个控制台端口：Console 2、1个设备锁接口：Lock 上行：1个10/100/1000M电口，支持PoE供电下行：遵循IEEE 802.11a/b/g/n准，最大（物理）比特率为900Mbps 标1、1个控制台端口：Console 2、1个设备锁接口：Lock 20dBm(100mw) 20dBm(100mw) 天线类型：外置天线天线类型：外置天线文档版本01 (2012-07-30)

华为专有和保密信息

ONE NET Campus 园区WLAN方案技术建议书

7 WLAN主要产品介绍

200mm200mm50mm ××200mm×200mm×50mm 工作温度范围：－10℃～55℃ 工作湿度范围：10%～95%（非凝结）工作气压范围：70kPa～106kPa 防护标准：符合IP41要求工作温度范围：－10℃～55℃ 工作湿度范围：10%～95%（非凝结）工作气压范围：70kPa～106kPa 防护标准：符合IP41要求支持外接电源适配器直流供电或POE供电两种供电方式： 1、当PoE供电和直流供电两种方式同时存在时，以直流电源为主供电电源，PoE供电为后备电源。 2、直流供电的支持外接电源适配器直流供电或POE供电两种供电方式： 1、当PoE供电和直流供电两种方式同时存在时，以直流电源为主供电电源，PoE供电为后备电源。 2、直流供电的外接电源适配器规格：输入：100V～文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

7 WLAN主要产品介绍

外接电源适配器规格：输入：100V240VAC～；240VAC；50Hz～60Hz 输出：12V DC，2A 50Hz～60Hz 输出：12V DC，2A

性能增强级室内无线接入点 AP6010SN-GN AP6010DN-AGN 美观化涉及，适用于企业级多业务场景，如教育、企业办公、机场、车站、以及零售业等大中型、中等密集场景；采用最新一代2×2 MIMO的芯片涉及，绿色节能；每射频最大速率可达300Mbps,内置天线；

WiFi标准：满足IEEE WiFi标准：满足IEEE 文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

7 WLAN主要产品介绍

802.11b/g/n 工作频段：2.4GHz 上行：1个10/100/1000M电口，支持PoE供电下行：遵循IEEE 802.11b/g/n标准，最大（物理）比特率为300Mbps 1、1个控制台端口：Console 2、1个设备锁接口：Lock 802.11a/b/g/n 工作频段：2.4GHz和5.8GHz 上行：1个10/100/1000M电口，支持PoE供电下行：遵循IEEE 802.11a/b/g/n准，最大（物理）比特率为600Mbps 标1、1个控制台端口：Console 2、1个设备锁接口：Lock 20dBm(100mw) 20dBm(100mw) 天线类型：内置天线天线类型：内置天线 180mm180mm××180mm×180mm×50mm 文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

7 WLAN主要产品介绍

50mm 工作温度范围：－10℃～50℃ 工作湿度范围：10%～95%（非凝结）工作气压范围：70kPa～106kPa 防护标准：符合IP31要求支持外接电源适配器直流供电或POE供电两种供电方式： 1、当PoE供电和1、当PoE供电和直流供电两种方式同时存在时，以直流电源为主供电电源，PoE供电为后备电源。 2、直流供电的外接电源适配器规格：输入：输入：100V～240VAC；50Hz～60Hz 2、直流供电的外接电源适配器规格：直流供电两种方式同时存在时，以直流电源为主供电电源，PoE供电为后备电源。工作温度范围：－10℃～50℃ 工作湿度范围：10%～95%（非凝结）工作气压范围：70kPa～106kPa 防护标准：符合IP31要求支持外接电源适配器直流供电或POE供电两种供电方式：文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

7 WLAN主要产品介绍

100V240VAC～；输出：12V DC，2A 50Hz～60Hz 输出：12V DC，2A

经济适用级室内无线接入点 AP5010SN-GN AP5010DN-AGN 高性价比的11n产品，满足企业级员工移动办公、客户来访接入、酒店客房等低密度应用场景；采用最新一代2×2 MIMO的芯片涉及，绿色节能；每射频最大速率可达300Mbps,内置天线； WiFi标准：满足IEEE WiFi标准：满足IEEE 802.11a/b/g/n 工作频段：2.4GHz和5.8GHz 802.11b/g/n 工作频段：2.4GHz 文档版本01 (2012-07-30)

华为专有和保密信息

ONE NET Campus 园区WLAN方案技术建议书

7 WLAN主要产品介绍

上行：1个10/100/1000M电口，支持PoE供电下行：遵循IEEE 802.11b/g/n标准，最大（物理）比特率为300Mbps 1、1个控制台端口：Console 2、1个设备锁接口：Lock 1、1个控制台端口：Console 2、1个设备锁接口：Lock 上行：1个10/100/1000M电口，支持PoE供电下行：遵循IEEE 802.11a/b/g/n准，最大（物理）比特率为600Mbps 标17dBm(50mw) 17dBm(50mw) 天线类型：内置天线天线类型：内置天线 180mm180mm50mm ××180mm×180mm×50mm 工作温度范围：－10℃～工作温度范围：－10℃～50℃ 文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

7 WLAN主要产品介绍

50℃

工作湿度范围：10%～95%（非凝结）工作气压范围：70kPa～106kPa 防护标准：符合IP31要求支持外接电源适配器直流供电或POE供电两种供电方式：

1、当PoE供电和直流供电两种方式同时存在时，以直流电源为主供电电源，PoE供电为后备电源。

2、直流供电的外接电源适配器规格：输入：100V240VAC

～；

工作湿度范围：10%～95%（非凝结）

工作气压范围：70kPa～106kPa 防护标准：符合IP31要求

支持外接电源适配器直流供电或POE供电两种供电方式： 1、当PoE供电和直流供电两种方式同时存在时，以直流电源为主供电电源，PoE供电为后备电源。 2、直流供电的外接电源适配器规格：

输入：100V～240VAC；50Hz～60Hz

输出：12V DC，2A

50Hz～60Hz

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

7 WLAN主要产品介绍

输出：12V DC，2A

SMB分销级室内无线接入点 AP3010DN-AGN 高性价比的11n产品，满足企业级员工移动办公、客户来访接入、酒店客房等低密度应用场景；采用最新一代2×2 MIMO的芯片涉及，绿色节能；每射频最大速率可达300Mbps,内置天线； WiFi标准：满足IEEE 802.11a/b/g/n 工作频段：2.4GHz和5.8GHz 上行：1个10/100/1000M电口，支持PoE供电下行：遵循IEEE 802.11a/b/g/n标准，最大（物理）比特率为600Mbps 文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

7 WLAN主要产品介绍

1、1个控制台端口：Console 2、1个设备锁接口：Lock 17dBm(50mw) 天线类型：内置天线 180mm×180mm×50mm 工作温度范围：－10℃～50℃ 工作湿度范围：10%～95%（非凝结）工作气压范围：70kPa～106kPa 防护标准：符合IP31要求支持外接电源适配器直流供电或POE供电两种供电方式： 1、当PoE供电和直流供电两种方式同时存在时，以直流电源为主供电电源，PoE供电为后备电源。 2、直流供电的外接电源适配器规格：输入：100V～240VAC；50Hz～60Hz 输出：12V DC，2A

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

7 WLAN主要产品介绍

7.3 室外型AP

此处比较详细地介绍了我司目前所有的室外型产品，请根据项目实际情况取舍，仅保留应标产品即可。

性能增强级室外无线接入点 AP6510DN-AGN AP6610DN-AGN 室外工业级802.11n无线接入点，高等级防尘防水标准，可适用于广场、步行街、工厂甚至其他极端恶劣环境，可低温环境快速启动；内置防雷器，高度简化部署要求，减少部署成本；采用最新一代2×2 MIMO的芯片涉及，绿色节能；每射频最大速率可达300Mbps,内置天线； WiFi标准：遵循IEEE 802.11a/b/g/n 工作频段：2.4GHz/5GHz WiFi标准：遵循IEEE 802.11a/b/g/n 工作频段：2.4GHz/5GHz 上行：上行：文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

7 WLAN主要产品介绍

1个10/100/1000Base-T端口，支持PoE供电下行：遵循IEEE 802.11 a/b/g/n标准，最大（物理）比特率为300Mbps 1个10/100/1000Base-T端口下行：遵循IEEE 802.11b/g/n标准，最大（物理）比特率为300Mbps 1、1个设备锁接口：Lock 2、一个Default按钮 2.4G: 1、1个设备锁接口：Lock 2、一个Default按钮 2.4G: 27dBm(500mw) 5G :21dBm（125mw） 27dBm(500mw) 5G :23dBm（250mw）外接天线接口类型：天线接口类型： N型连接头，N50直凹（母）接口 N型连接头，N50直凹（母）接口 255mm×255mm×83mm 255mm x 255mm x 83mm 工作温度范围：－40℃～60℃ 工作温度范围：－40℃～60℃ 文档版本01 (2012-07-30)

华为专有和保密信息

ONE NET Campus 园区WLAN方案技术建议书

7 WLAN主要产品介绍

工作湿度范围： 0%～100%（非凝结）工作气压范围： 70kPa～106kPa 防护标准：符合IP67要求工作湿度范围： 0%～100%（非凝结）工作气压范围： 70kPa～106kPa 防护标准：符合IP67要求支持AC输入。支持POE+供电方式输入：100V~240V,50-60Hz

7.4 AC6605-26-PWR

图7-1 AC6605-26-PWR产品实物图

AC6605-26-PWR特点产品有如下：



高性能

− −

支持快速漫游（缓存PMK）高达512 APs管理能力 AC设备间1+1双链路备份上行链路LACP、MSTP 50ms保护



高可靠

− −

文档版本01 (2012-07-30)

ONE NET Campus 园区WLAN方案技术建议书

− − 

7 WLAN主要产品介绍

双电源接口，备份保护

风扇、电源热插拔，高温告警保护

丰富接口：2个10GE光接口，4个GE Combo接口，24个GE电口。业务强大：精细化QoS、丰富L2/L3功能、标准MIB接口。无缝适应WLAN 11b/g和11n

华为标准软件平台，和宽带城域设备无缝融合

强大的组网和业务能力

− −



保护投资

− −

7.5 S9700/S7700 SPU插卡

图7-2 S9700/S7700 SPU插卡实物图

S9700/S7700 SPU插卡支持如下功能：



AP管理与用户接入

− − − −

大容量：每块SPU插卡支持管理1024个AP，最大可支持管理11K个AP 支持按模板批量配置AP

灵活多样的用户认证模式：MAC、Portal和802.1x、Portal免认证支持全局调优、局部调优和射频捕盲

丰富灵活的用户权限控制，支持用户分组、隔离、ACL等。支持多种安全协议标准：WEP、WPA/WPA2(PSK/1X)、WAPI 支持密钥管理，支持AP黑名单

防STA IP地址仿冒、ARP攻击（DAI）、DHCP服务器仿冒支持CAPWAP隧道协议、线速转发

支持WMM、优先级映射、CAR、流级别定义，支持负载分担和AC备份灵活的组网模式（本地转发/集中转发/集中认证、本地转发，二三层组网）、WDS网络部署



安全及权限控制

− − − −



无线网络

− − −

文档版本01 (2012-07-30)

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文