华为园区WLAN方案技术建议书
华为整体网络解决方案设计
实用标准项目编号: 华为网络整体解决方案目录1 概述 (4)2 企业网络建设设计原则 (5)3 华为产品解决方案 (7)3.1 整体架构设计 (7)3.1.1 总体网络架构 (7)3.1.2 有线网络解决方案 (8)3.1.2.1 核心层网络设计 (9)3.1.2.2 汇聚层网络设计 (9)3.1.2.3 接入层网络设计 (10)3.1.3 数据中心解决方案 (10)3.1.4 无线网络解决方案 (11)3.1.4.1 无线网络的建设需求 (11)3.1.4.2 无线网络解决方案 (14)3.2 高可靠性设计 (18)3.2.1 网络高可靠性设计 (18)3.2.2 设备高可靠性设计 (18)3.2.2.1 重要部件冗余 (18)3.2.2.2 设备自身安全 (19)3.3 安全方案设计 (21)3.3.1 园区网安全方案总体设计 (21)3.3.2 园区内网安全设计 (21)3.3.2.1 防IP/MAC地址盗用和ARP中间人攻击 (21)3.3.2.2 防IP/MAC地址扫描攻击 (23)3.3.2.3 广播/组播报文抑制 (25)3.3.3 园区网边界防御 (26)3.3.4 园区网出口安全 (27)3.3.5 无线安全设计 (28)3.3.5.1 无线局域网的安全威胁 (29)3.3.5.2 华为无线网络的安全策略 (30)4 设备介绍........................................................................................................ 错误!未定义书签。
4.1 Quidway® S9300系列交换机............................................... 错误!未定义书签。
4.2 Quidway® S7700系列交换机............................................... 错误!未定义书签。
智简园区WLAN二层GRE技术白皮书
华为智简园区 WLAN 二层 GRE技术白皮书目录摘要 (ii)1概述 (1)1.1产生背景 (1)1.2技术实现 (1)1.3客户价值 (3)2实现原理 (4)2.1二层GRE 的相关原理 (4)2.2二层GRE 下的报文转发 (9)2.3二层GRE 下的用户认证 (10)2.4二层GRE 下的用户漫游 (10)2.4.1SoftGRE 方式下的漫游 (11)2.4.2EoGRE+隧道转发方式下的漫游 (11)3典型组网应用 (13)3.1宽带+WIFI 业务 (13)3.2Wholesale 业务 (14)3.3访客接入 (14)1 概述1.1产生背景未来是一个智能终端无线连接、移动化的时代,无论是在家庭还是在户外,固定还是移动使用场景,终端基本都会通过无线方式接入网络。
而目前固网运营商有线接入网络不直接和用户的连接发生关系,这些将会让固网运营商沦为管道,被边缘化。
同时,对正在到来的M2M 物联网失去参与的机会。
在这样的大背景下,越来越多的没有移动运营牌照的固网运营商将目光投向了WIFI。
通过在现网上新增Wi-Fi 承载,整合现网FBB 资源,充分利用丰富的接入和城域资源。
同时利用WIFI 无线接入占领用户行为、网络流量管理的制高点,灵活开展更多商业模式,在全联接时代获取更多商业利益。
华为面向没有移动运营牌照,想通过基于现有FBB(客户群、业务、网络)拓展Wi-Fi新市场的固网运营商推出了运营级WIFI 解决方案。
为了集中简化管理,用户的流量策略统一在现有的BRAS 设备上进行,而AC 只负责AP 和无线用户的接入控制。
这种方案可以最大限度地减少对现网的改动,同时可以减少新增设备和运维成本。
华为提供了两种利用二层GRE 实现该功能的方法,下文将详细介绍。
1.2技术实现WLAN 有两种通过二层GRE 实现将无线和有线流量统一汇聚到同一个网关的方式。
隧道转发+EoGRE 方式:AP 采用隧道转发的方式,这种方式下用户的流量会汇聚到AC 设备,AC 设备再通过二层GRE 隧道将流量转发到网关。
07.华为园区WLAN方案技术建议书
1 WLAN方案概述 (1)1.1 方案背景 (1)1.1.1 技术背景 (1)1.1.2 企业无线园区网的发展及设计需求 (2)1.2 WLAN基本概念 (2)1.2.1 网络架构模型 (2)1.2.2 集中式AC与分布式AC (4)1.2.3 AC旁挂与AC直路 (6)1.2.4 集成AC与独立AC (7)1.2.5 本地转发与集中转发 (7)2 WLAN基础网络规划 (10)2.1 IP地址规划 (10)2.2 SSID规划 (11)2.3 漫游规划 (12)2.4 AP发现并选择AC方式规划 (13)2.5 射频管理规划 (15)2.6 无线网络安全规划 (17)2.7 QoS规划 (18)2.8 可靠性规划 (19)3 WLAN接入认证计费方案 (21)3.1 无线安全协议标准 (21)3.2 WLAN终端认证技术 (22)3.3 无线用户身份认证技术 (23)3.4 认证、安全、计费功能与部署 (26)3.4.1 认证、安全、计费系统功能组件 (27)3.4.2 认证、安全、计费集成方案 (28)3.4.3 园区出口计费网关部署 (34)4 WDS网桥无线数据回传典型方案 (36)4.1 WDS组网模式 (37)4.2 WDS组网性能指标 (38)5 WLAN网络管理方案 (40)5.1 网管方案概述 (40)5.2 eSight WLAN网络管理流程 (41)5.3 企业WLAN网络管理规划 (42)6 WLAN网络组网推荐方案 (43)6.1 大中型园区网WLAN组网推荐方案 (43)6.2 小型园区网WLAN部署方案 (45)6.3 SOHO型园区网络WLAN部署方案 (48)7 WLAN主要产品介绍 (50)7.1 AP6010SN-GN美观标准室内型单频AP (50)7.2 AP6010DN-AGN美观标准室内型双频AP (51)7.3 AP6310SN-GN经济型室分单频AP (52)7.4 AP6510DN-AGN标准室外双频AP (53)7.5 AP6610DN-AGN全规格室外双频AP (54)7.6 AP7110SN-GN增强型室内单频AP (55)7.7 AP7110DN-AGN增强型室内双频AP (56)7.8 AP5010SN-GN美观标准室内单频AP (57)7.9 AP5010DN-AGN美观标准室内单频AP (58)7.10 AC6605-26-PWR (59)7.11 S9700/S7700 SPU插卡 (59)1 WLAN方案概述1.1 方案背景1.1.1 技术背景WLAN(Wireless Local Area Network)是指利用高频射频信号(例如2.4GHz或5GHz)作为传输信道的无线局域网。
华为园区网解决方案设计指南
如果对网络安全要求比较高,比如需满足安全等级保护要求,则推 荐采用独立的安全设备;否则,可以采用集成安全设备如UTM或安全增 值业务插卡。
主要用于防止网络内部用户导致的安全事故,可以推荐采用上网行 为管理的软件或专用设备。
当机房或弱电间比较多时,通常可以将网络各层分布式部署到各个机房或弱 电间,即将核心或汇聚部署到各个机房或弱电间,通常可以在每个机房或弱电间 部署一个汇聚点;当采用多核心互联时,也可以将多核心分别部署在不同机房。 除此之外,还要考虑设备摆放布局及其间隔距离等问题。
HUAWEI TECHNOLOGIES CO., LTD.
3
设计总体目标
4
设计指导原则
5
设计参考标准
HUAWEI TECHNOLOGIES CO., LTD.
华为保密信息,未经授权禁止扩散
Page 8
园区网设计总体流程
需求调研 需求分析 方案设计
重点内容: 1. 客户网络环境 2. 客户网络业务 3. 现网的痛点(若有) 4. 客户的期望
根据调研结果进行分析,内容至少包括: 1. 终端接入模式 2. 业务流量模型 3. 网络带宽/容量
园区基础网络架构
分支机构
数据中心/ 服务器群
Servers APபைடு நூலகம்S DB
管理 中心
Internet 园区出口
核心层 汇聚层
WAN
PSTN
DMZ
接入层 应用层
部门A
部门…
部门X
出差员工
合作伙伴/ 访客
Web DNS Email APPS
园区外部 园区内部
华为企业园区网络建设技术方案建议书V
华为企业园区网络建设技术方案建议书目录1项目概述 (4)1.1项目背景 (4)1.2项目目标 (4)2园区总体系统规划设计 (5)2.1需求分析 (5)2.2设计原则 (6)3园区网络架构规划设计 (8)3.1园区网络总体网络架构规划设计 (8)3.1.1典型园区网网络架构 (8)3.1.2经济型园区网网络架构 (9)3.1.3虚拟交换园区网网络架构 (10)3.2园区网络分层网络规划设计 (11)3.2.1接入层 (11)3.2.2汇聚层 (12)3.2.3核心层 (12)3.2.4出口层 (13)4园区网络高可靠性规划设计 (15)4.1园区网络高可靠性规划设计 (15)4.2园区网络设备高可靠性规划设计 (20)4.2.1重要部件冗余 (20)4.2.2设备自身安全 (21)4.3园区网络交换机虚拟化规划设计 (22)4.3.1汇聚交换机的集群CSS(Cluster Switch Switching) (22)4.3.2接入交换机的堆叠iStack (25)5园区网络安全方案规划设计 (27)5.1园区网安全方案总体规划设计 (27)5.2园区接入安全规划设计 (28)5.3园区网络监管/监控规划设计 (34)5.3.1防IP/MAC地址盗用和ARP中间人攻击 (34)5.3.2防IP/MAC地址扫描攻击 (35)5.3.3广播/组播报文抑制 (37)5.4园区网边界防御规划设计 (37)5.4.1防火墙部署规划设计 (37)5.4.2防火墙功能规划设计 (38)5.4.3防火墙性能选择 (39)5.4.4虚拟防火墙规划设计 (40)5.4.5NAT规划设计 (41)5.5园区网出口安全规划设计 (42)6园区网络网管系统方案规划设计 (45)6.1网管系统概述 (45)6.2系统优势介绍 (46)6.2.1网络管理优势功能 (47)6.2.2网络流量分析器优势功能 (48)6.2.3认证计费优势功能 (50)6.3网管系统部署 (52)6.3.1集中式网管系统部署 (52)6.3.2分布式网管系统部署 (54)7园区网络设备介绍 (56)7.1园区汇聚/核心交换机 Q UIDWAY S9300 (56)7.2园区接入交换机 (58)7.2.1Quidway S5300系列交换机 (58)7.2.2Quidway S3300系列交换机 (61)1项目概述根据实际情况增加项目介绍1.1项目背景1.2项目目标2园区总体系统规划设计2.1需求分析随着企业信息化建设不断深入,企业的生产业务系统、经营管理系统、办公自动化系统均得到大力发展,对于企业园区网的建设要求越来越高。
华为园区WLAN方案技术建议书
园区WLAN方案技术建议书目录1 WLAN方案概述 (1)1.1 方案背景 (1)1.1.1 技术背景 (1)1.1.2 企业无线园区网的发展及设计需求 (2)1.2 WLAN基本概念 (2)1.2.1 网络架构模型 (2)1.2.2 集中式AC与分布式AC (4)1.2.3 AC旁挂与AC直路 (6)1.2.4 集成AC与独立AC (7)1.2.5 本地转发与集中转发 (7)2 WLAN基础网络规划 (10)2.1 IP地址规划 (10)2.2 SSID规划 (11)2.3 漫游规划 (12)2.4 AP发现并选择AC方式规划 (13)2.5 射频管理规划 (15)2.6 无线网络安全规划 (17)2.7 QoS规划 (18)2.8 可靠性规划 (19)3 WLAN接入认证计费方案 (21)3.1 无线安全协议标准 (21)3.2 WLAN终端认证技术 (22)3.3 无线用户身份认证技术 (23)3.4 认证、安全、计费功能与部署 (26)3.4.1 认证、安全、计费系统功能组件 (27)3.4.2 认证、安全、计费集成方案 (28)3.4.3 园区出口计费网关部署 (34)4 WDS网桥无线数据回传典型方案 (36)4.1 WDS组网模式 (37)4.2 WDS组网性能指标 (38)5 WLAN网络管理方案 (40)5.1 网管方案概述 (40)5.2 eSight WLAN网络管理流程 (41)5.3 企业WLAN网络管理规划 (42)6 WLAN网络组网推荐方案 (43)6.1 大中型园区网WLAN组网推荐方案 (43)6.2 小型园区网WLAN部署方案 (45)6.3 SOHO型园区网络WLAN部署方案 (48)7 WLAN主要产品介绍 (50)7.1 AP6010SN-GN美观标准室内型单频AP (50)7.2 AP6010DN-AGN美观标准室内型双频AP (51)7.3 AP6310SN-GN经济型室分单频AP (52)7.4 AP6510DN-AGN标准室外双频AP (53)7.5 AP6610DN-AGN全规格室外双频AP (54)7.6 AP7110SN-GN增强型室内单频AP (55)7.7 AP7110DN-AGN增强型室内双频AP (56)7.8 AP5010SN-GN美观标准室内单频AP (57)7.9 AP5010DN-AGN美观标准室内单频AP (58)7.10 AC6605-26-PWR (59)7.11 S9700/S7700 SPU插卡 (59)1 WLAN方案概述1.1 方案背景1.1.1 技术背景WLAN(Wireless Local Area Network)是指利用高频射频信号(例如2.4GHz或5GHz)作为传输信道的无线局域网。
园区WI-FI办公解决方案
园区WI-FI办公解决方案2018年10备注对目前无线覆盖做了全面检测,对整体网络测试问题如下:1、手机连接无线到处走动,发现手机很难切换到最近的AP点,此时测试网速很慢1.ping无线的网关IP存在丢包现象,延迟时高时慢,如图:2.ping DNS地址同样也存在丢包现象,延迟时高时慢,如图:3.ping baidu返回地址同样也存在丢包现象,延迟时高时慢,如图:从以上测试可以看出设备的性能的确存在一定的问题。
问题总结:终端漫游不过来,手机连上无线后移动到别的位置不能上网或者是上网很慢卡顿,手机需要断开重新连接,做不了微信认证。
主因判断为目前使用的无线AP设备性能不能满足办公需求,且部分点位尤其拐角处因位置原因,后期可能需要局部调整。
我们针对这次无线全覆盖的建设方案建议是:1.在电信原有的基础上建设在根据现场实际情况少量的修改,尽量使用原来布线,建成后根据效果布局调整,减少单位的开支,做到整栋大楼的无线全覆盖。
2.使用我们设备我们根据整体网络规划,对无线网络做网络优化,终端可以无缝漫游走到那个AP位置下连接那个无线AP。
使用我们设备可以做微信认证可设置登陆条件或者直接登陆均可。
3.详细的功能介绍设备清单和拓扑图搭建,下面的方案中有详细介绍,服务和承诺在方案最后一项有介绍。
目前经过三个月调试,三楼四楼无线网基本满足正常办公需求。
针对目前主办公楼无线覆盖做全面方案如下:目录一、概述 (1)1.1项目简介 (1)1.2面临挑战 (1)二、建设目标 (4)2.1建设目标 (4)2.2建设原则 (5)三、解决方案 (6)3.1整体网络建设框架 (6)3.2客户需求 (8)3.2.1现场分析 (8)3.2.2AP点位部署分布设计 (9)3.3无缝信号覆盖保障上网体验 (9)3.3.1智能射频优化干扰 (10)3.3.2重要应用优先传输 (12)3.3.3无线用户动态流控 (12)3.3.4高密场景高速上网 (13)3.4全面安全防护保障上网安全 (14)3.4.1无线网络安全框架 (14)3.4.2无线上网安全接入 (14)3.4.3上网行为审计 (15)3.4.4规范无线上网行为 (16)3.4.5杜绝私搭乱建热点 (17)3.5便民信息发布打造服务通路 (18)3.6削减中间环节简化无线运维 (18)3.6.1超扁平化减少运维 (18)四、设备清单 (20)五、售后服务 (21)5.1.1售后服务承诺 (21)一、概述1.1项目简介随着智能手机、平板电脑等移动智能设备迅速普及使用,移动智能终端逐渐成为了人们不可或缺的工具,如今很多机关单位人员更倾向于使用智能设备,快速便捷开展工作,这使得移动办公业务趋势进一步发展。
智简园区WLAN无线网桥技术白皮书
华为智简园区WLAN无线网桥技术白皮书HUAWEI本文档针对华为无线接入设备的WDS/MESH技术进行说明。
通过WDS/MESH技术,可以实现不同网络之间的远距离无线连接,扩大网络覆盖范围,降低网络部署成本。
本文档提供了WDS/MESH的工作原理和WDS/MESH的几种组网场景和配置注意事项,另外提供了WDS/MESH的应用配置摘要................................................................................ iL1概述............................................................................... .1 1.1无线网桥技术介绍.. (1)1.1.1WDS (1)1.1.2 MESH 介绍 (1)1.2 WDS原理描述 (2)1.2.1 WDS 简介 (2)1.2.2 WDS建立过程 (4)1.3WDS组网模式 (6)1.3.1点对点组网 (6)1.3.2点对多点组网 (8)1.4 MESH原理描述 (9)1.4.1 MESH基本概念 (9)1.4.2 MESH 连接建立 (10)1.4.3 MP 配置上线 (12)1.4.4 MESH路由建立 (14)1.4.5 数据报文转发 (15)1.4.6 MESH网络破环 (16)1.5MESH组网模式 (16)1.5.1链状组网 (16)1.5.2星状组网 (16)1.5.3网状组网 (17)1.5.4 多MPP 组网 (17)2无线网桥应用...................................................................... 1.92.1 WDS组网场景 (19)2.1.2室内场景WDS组网 (20)2.1.3室外场景WDS组网 (20)2.2 WDS组网规划 (23)2.2.1传输距离规划 (23)2. ~ (26)2.3 MESH组网场景 (28)2.3.1区域无线覆盖场景 (28)2.3.2道路监控回传场景 (29)2.3.3长距广覆盖场景 (30)2.3.4双链路可靠回传场景 (31)2.4 MESH组网规划 (31)2.4.1 MESH回传层规划 (31)2.4.2 MESH传输距离规划 (33)3无线网桥典型配置举例.............................................................. .3.7 3.1WDS配置举例 .. (37)3.1.1组网需求 (37)3.1.2配置分析 (38)3.2 MESH配置举例 (39)3.2.1组网需求 (39)3.2.2配置分析 (40)A缩略语 (42)1.1无线网桥技术介绍1.1.1WDSWDS (Wireless Distribution System 无线分布式系统):通过无线链路连接两个或者多个独立的有线局域网或者无线局域网,组建一个互通的网络实现数据访问。
华为WLAN大学无线校园网总体解决方案
AP设备:室外AP设备的防尘、防水的防护等级达到IP67要求,同时AP自身内置5kV防雷器,减少工程施工和网络运维的困难。
AC设备:AC支持1+1热备份,解决AC单点故障问题。
网络链路:本地转发模式下,若遇到CAPWAP隧道中断、AC故障、控制链路错误等问题时,AP可进入半自治状态,继续对终端业务数据进行转发,业务不中断,保障用户体验。
早期少数高校采取与运营商合作的方式完成WLAN无线网络的建设,采用双SSID,一个SSID用于校园网,一个SSID用于运营商网络。由于运营商只关心网络出口流量,对学校内部的网络需求和运维响应迟钝。目前大部分高校都采取自己投资建设,自己运维。
1.2
随着高校信息化的发展、如下几点。
学生公寓区域
重点覆盖区,满足100%用户并发,接入速率不低于2Mbps;
双频覆盖,2.4GHz和5GHz边缘场强均大于-60dBm。
教室区域
一般覆盖区,满足30%用户并发,学生同时接入上网,并发接入速率不低于1Mbps;
双频覆盖,2.4GHz和5GHz边缘场强均大于75dBm。
会议室、学术交流厅、演播厅
任何一个网络,网络的运营和维护必不可少。如何限制用户使用无线网络进行BT下载等大量占用带宽的行为;如何查询用户的接入日志;如何对分散在各种覆盖目标的AP进行监控和管理;能否对单个AP的带宽进行监控和设置;能否对用户的带宽进行监控和设置等都是WLAN无线校园网络运维需要考虑的问题。
2
2.1
XX大学是一所“文理工医渗透、学研产用结合”的综合性大学,占地面积8000余亩,现有全日制本、专科生73400多人,各类研究生12400多人。XX大学1995年开始筹建校园计算机网络,历经几期建设后,目前已基本建成一个连接各校区的可靠、实用、融合、统一管理运营的网络环境和平台。
华为智慧园区解决方案(无线)
泛在学习
• 尤其以MooC为主导的视频教学模式的普及
互动教学
2
1
资源共享
3
智慧 课堂
慕课教学
4
5
翻转课堂
• 以学生为中心的学习理念,学ቤተ መጻሕፍቲ ባይዱ上课,自主 学习、创造性学习,寓教于乐
智慧无线校园网络架构
中心机房
楼层 楼道
接入交换机 1GE/2.5GE/10GE
NGFW
上网行为 审计ASG
核心交换机
随板AC
与智分AP优势对比 射频模块布放宿舍内部,信号覆盖效果强,美观,易安装 射频模块通过网线与中心AP互联,不存在智分馈线拉远信
号衰减的问题,拉远覆盖距离最大100m 射频模块独立覆盖一个房间,灵动智能天线,信号随用户而
动
无线覆盖场景二:教室公寓楼,宿舍楼覆盖—面板AP方案(备选)
面板AP覆盖方案
策略配置基于用户,与网 络拓扑、VLAN、IP规划 解耦。轻松实现用户权限
控制与用户隔离。
内网核心认证,出口防 火墙根据用户身份执行 策略,管控权限、带宽、
优先级、审计。
数量最多的汇聚、接入交 换机配置极简,转发透明 化,降低发生问题的概率
以及排查问题的难度。
园区控制器屏蔽设备命令行实 现,实现“少量人可以管大量 设备”。策略变更无需同步调
用户上网:基于5W1H场景智能感知实名制, 多种认证方式,用户接入认证、行为管理和审 计,策略自然语言下发,满足安全合规要求, 打造绿色网上环境
宿舍区
1GE/2.5GE/10GE
餐厅、图书馆 1GE/2.5GE/10GE体育馆、艺术馆
电子班牌 电子书包 电子时钟 PC
无线AP 教室监控
楼道监控 楼道AP 高考监控 校园广播
华为WLAN移动办公技术建议书
移动办公WLAN技术建议书目录1 项目背景和需求 (1)1.1 办公移动性的概述 (1)1.2 项目背景 (1)1.3 移动办公应用需求 (2)2 WLAN基础网络设计 (3)2.1 无线网络设计原则 (3)2.2 2网络总体架构 (3)2.3 WLAN覆盖规划 (5)2.3.1 容量规划 (5)2.3.2 覆盖规划 (6)2.3.3 信道规划 (7)2.3.4 规划工具 (8)2.3.5 SSID和漫游规划 (9)2.4 射频资源管理 (10)2.4.1 射频调优 (10)2.4.2 负载均衡 (11)2.4.3 5G优先接入 (11)2.4.4 限制弱信号或低速率用户接入 (12)2.4.5 强制弱信号或低速率用户下线 (12)2.4.6 高密功能 (12)2.4.7 频谱分析 (12)2.4.8 逐包功率调整 (12)2.5 QoS设计 (13)2.5.1 WMM和优先级映射 (14)2.6 可靠性设计 (15)2.6.1 AC 1+1备份 (15)2.6.2 CAPWAP断链业务保持 (15)2.6.3 信道切换业务不中断 (16)2.6.4 AP可靠性 (16)2.7 安全规划 (16)2.7.1 WIDS/WIPS (17)2.7.2 安全策略 (18)2.7.3 STA黑白名单 (18)2.7.4 用户隔离 (18)2.8 接入认证与访客管理 (18)2.8.1 用户接入认证 (18)2.8.2 认证方式选择 (19)2.8.3 访客管理 (22)3 WLAN网络管理方案 (24)3.1 网管方案概述 (24)3.2 eSight WLAN网络管理流程 (24)3.2.1 网络部署 (24)3.2.2 网络监控 (25)3.2.3 网络故障恢复 (25)4 解决方案设计亮点 (27)1 项目背景和需求1.1 办公移动性的概述企业办公经历从固定场所的办公方式,笔记本、手机为主的初级移动办公方式,发展到智能终端“3A (Anytime, Anywhere, Anything)”灵活接入的移动办公方式,这种办公方式可以摆脱时间和空间的局限,可以随时随地进行信息交流,沟通和管理更加高效。
华为智简园区WLAN Hotspot技术白皮书
华为智简园区 WLAN Hotspot技术白皮书摘要Wi-Fi 的使用已经非常普及,智能终端几乎全部安装,可是当前wifi 的易用性比较差,终端使用者要打开wifi、搜索信号、选择SSID、输入账号/密码,还未必能够成功接入和使用网络,如何推动Wi-Fi 提供类似蜂窝的易用性有很大的必要。
于是Wifi 联盟研究制定了hotspot2.0 规范。
华为公司WLAN 产品已经具备hotspot2.0 特性,本文阐述了hotspot2.0 技术原理与部署。
目录摘要 (ii)1概述 (5)1.1产生背景 (5)1.2802.11u、HS2.0 与Passpoint (6)1.3标准协议演进 (7)2实现原理 (8)2.1HS2.0 方案概述 (8)2.2HS2.0 基本原理 (9)2.2.1GAS(Generic advertisement service) (10)2.2.2ANQP(Access Network Query Protocol) (10)2.3网络发现与选择 (10)2.3.1协议及空口帧的扩展 (10)2.3.2归属网络发现与选择 (14)2.3.3漫游网络发现与选择 (16)2.4热点选择策略 (17)3Hotspot2.0 的网络部署 (18)3.1Hotspot2.0 部署架构 (18)3.1.1蜂窝网络认证部署架构 (18)3.1.2非蜂窝网络认证部署架构: (19)3.2网络发现与选择 (19)3.2.1SP 标识和认证方法 (19)3.2.2Hotspot 热点标识 (20)3.2.3网络参数 (21)3.2.4网络支持能力获取 (21)3.2.5其他Beacon 信元 (21)3.3安全特性 (22)华为智简园区WLAN Hotspot2.0 技术白皮书目录3.3.1WPA2-Enterprise (22)3.3.2 层2 过滤 (22)3.3.3 多播禁止 (22)3.4终端兼容性 (22)4 附录 (23)4.1Wi-Fi CERTIFIED Passpoint (23)4.2参考标准和协议 (23)A 缩略语 (24)1 概述1.1产生背景Wi-Fi 的易用性比蜂窝差很多,终端使用者要打开wifi、搜索信号、选择SSID、输入账号/密码,还未必能够成功接入和使用网络,如果异常,在可用的wifi 信号中再进行重新选择。
智简园区WLAN可靠性技术白皮书
华为智简园区 WLAN 可靠性技术白皮书目录ii 摘要.................................................................................................................................................1 1概述 .................................................................................................................................................1.1产生背景 (1)1.2技术实现 (1)1.2.1双机热备份 (1)1.2.2双链路冷备份 (1)1.2.3 N+1 备份 (2)1.2.4 CAPWAP 断链逃生技术 (2)1.3客户价值 (2)2实现原理 .........................................................................................................................................3 2.1双机热备份 (3)2.1.1基本概念 (3)2.1.2主备公共机制HSB (3)2.1.3基于VRRP 双机热备 (4)2.1.4双链路双机热备 (8)2.2双链路冷备份 (11)2.3 N+1 备份 (14)2.4CAPWAP 断链逃生技术 (20)2.4.1CAPWAP 断链后VAP 业务保持 (21)2.4.2广域认证逃生 (23)2.4.2.1广域认证逃生网络架构 (23)2.4.2.2STA 在离线分支AP 上线过程 (24)2.4.2.3广域认证逃生实现过程 (25)2.4.2.4离线分支AP 间漫游 (27)2.4.3逃生SSID (31)32 3典型组网应用 ...............................................................................................................................3.1通过双机热备份提高无线接入业务的可靠性 (32)3.1.1核心需求 (32)3.1.2解决方案 (32)3.2通过N+1 热备份提高无线接入业务的可靠性 (33)3.2.1核心需求 (33)3.2.2解决方案 (34)3.3通过广域认证逃生提高无线接入业务的可靠性 (35)3.3.1核心需求 (35)3.3.2解决方案 (35)36A 缩略语...........................................................................................................................................1 概述1.1产生背景随着网络的快速普及和应用的日益深入,各种增值业务(如IPTV、视频会议等)得到了广泛部署,网络中断可能影响大量业务、造成重大损失。
华为教育园区WLAN解决方案
AP3010DN-V2 (300Mbps x2)
AP5010SN AP5010DN
AP6010SN AP6010DN
AP7110SN AP7110DN
AP6510DN
AP6610DN
(450 Mbps) (450Mbps x2) (室外双频) PoE 供电 (室外双频)交流供电
室内高密环境
千兆光口上行
802.11ac 室内型AP
NEW
802.11ac 室外型AP
AP2030DN AP3030DN AP4030DN/4130DN AP4030DN-E
11ac室内面板式 11ac双频 AP, 11ac双频 AP, 11ac双频 AP,
1.167Gbps 1.167Gbps 1.167Gbps
1.6Gbps
2015年12月28日星期一
HCS-Solution-数通安全-教育园区WLAN 解决方案
课程负责人:魏伟 部门:中国企业业务网络解决方案销售部
内容简介:
主要向合作伙伴介绍华为教育园区WLAN方案
课程面向对象:
合作伙伴售前
课程目标:
合作伙伴可以了解基于不同场合选择不同AP,如何解决WLAN的安全、抗 干扰等,如何进行无线计费
自动逐包功率控制
低功率发送
5GHz终端 优先接入5GHz网络
高功率发送
26
场景特点
会议室、报告厅、演播厅、体育馆等; 高密覆盖,同频干扰严重,信号极不稳定,导致设备多用户处理能力
和传输带宽大大降低;
推荐产品
高密场景:11n: AP7110SN/DN,11ac: AP7030DE
解决方案
教室
隐蔽天线 外形美观 高速体验
华为小型园区网络配置个人总结
华为小型园区网络配置个人总结
华为小型园区网络配置需要根据具体需求来进行配置,以下是一个基本的网络配置方案:
1.选购核心交换机和接入交换机,核心交换机负责连接与互联网的接口,接入交换机负责连接各个终端设备;
2.设置VLAN(虚拟局域网),将网络分隔成不同的部分,提高网络管理效率;
3.配置静态路由和动态路由,实现网络的相互连接;
4.实现各个终端设备的IP地址分配,可以选择使用DHCP或手动配置;
5.设置防火墙规则,保障网络安全;
6.配置VPN(虚拟专用网络),实现远程访问和数据传输。
需要注意的是,在华为小型园区网络配置过程中,应该遵循网络的安全、可靠、稳定、高效的原则,保证网络的正常运行。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
华润新能源风电厂WLAN方案技术建议书华为技术有限公司版权所有© 华为技术有限公司2012。
保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼邮编:518129网址:客户服务邮箱:ChinaEnterprise_TAC@客户服务电话:400-822-9999目录1 WLAN方案概述 (1)1.1 方案背景 (1)1.1.1 技术背景 (1)1.2 WLAN基本概念 (2)1.2.1 网络架构模型 (2)1.2.2 AC直路设计 (3)1.2.3 独立AC (4)1.2.4 本地转发与集中转发 (4)2 WLAN基础网络规划 (6)2.1 IP地址规划 (6)2.2 SSID规划 (7)2.3 漫游规划 (8)2.4 AP发现并选择AC方式规划 (9)2.5 射频管理规划 (11)2.6 无线网络安全规划 (13)2.7 QoS规划 (14)2.8 可靠性规划 (15)3 WLAN接入认证方案 (17)3.1 无线安全协议标准 (17)3.2 WLAN终端认证技术 (18)3.3 无线用户身份认证技术 (19)3.3.2 认证、安全集成方案 (22)4 华润新能源WDS网桥无线数据回传与覆盖方案 (24)4.1 WDS组网模式 (25)4.2 WDS组网性能指标 (26)5 WLAN网络管理方案 (28)5.1 网管方案概述 (28)5.2 eSight WLAN网络管理流程 (29)5.3 企业WLAN网络管理规划 (30)6 主要应用产品介绍 (31)6.1 AP6510DN-AGN标准室外双频AP (31)6.2 AP6610DN-AGN全规格室外双频AP (32)6.3 AC6605-26-PWR (33)1 WLAN方案概述1.1 方案背景1.1.1 技术背景WLAN(Wireless Local Area Network)是指利用高频射频信号(例如2.4GHz或5GHz)作为传输信道的无线局域网。
802.11是IEEE在1997年为WLAN定义的一个无线网络通信的工业标准。
此后这一标准又不断得到补充和完善,形成802.11的标准系列。
例如比较重要的802.11、802.11a、802.11b、802.11e、802.11g、802.11i、802.11n等。
其中基于802.11b标准的有时也被称为Wi-Fi标准。
而802.11n标准兼容802.11a/b/g,带宽优势明显,已经成为当前的主流技术。
而随着802.11ac技术的出现,必将引领无线业务进入千兆时代,为用户带来千兆级别的接入速度。
表1-1802.11标准简介1.2 WLAN 基本概念1.2.1 网络架构模型WLAN 网络在部署过程中,根据其需求,可以把网络架构设为:●集中式架构(即FIT AP 或瘦AP )表1-2 集中式架构特性表集中式架构该架构通过无线控制器(AC )集中管理、控制多个AP ,如图1-1所示。
所有无线接入功能由AP 和AC 共同完成:●AC 完成网络具有重要意义的功能,例如移动管理、身份验证、VLAN 划分、射频资源管理、无线IDS (Intrusion Detection Systems )和数据包转发等。
●AP 完成无线空口的控制,例如无线信号发射与探测响应、数据加密解密、数据传输确认、空口数据优先级管理等等。
图1-1 WLAN网管AC园区网AP和AC间采用CAPWAP隧道协议进行通讯,AC与AP间可以是直连或者穿越Layer2、Layer 3网络。
CAPWAP协议是基于UDP传输层的应用层协议,协议传递的信息分为两类:控制信息和数据信息。
●控制信息负责AC与AP之间的管理的交互操作,包括AP自动发现AC、AC对AP进行安全认证、AP从AC获取软件版本、AP从AC获取配置等等。
●数据信息是封装后转发的无线数据。
两类信息分别使用不同的UDP端口号。
CAPWAP信息在AP与AC间交互时可以使用DTLS加密机制,保证通信的安全性。
所有无线接入功能由AP和AC间共同完成。
集中式架构是企业网、运营商等WLAN方案的主要架构,便于集中管理、集中认证和实施安全策略。
此种方案为目前企业网通用方案。
在FIT AP网络架构下,又有如下划分:●根据AC部署方式,分为集中式和分布式●根据AC部署位置,分为旁挂和直路●根据AC硬件体现形式,分为集成AC和独立AC●根据业务转发形式,分为本地转发和集中转发1.2.2 AC直路设计直路直路方式是指将AC部署在AP与用户网关设备(汇聚或核心交换机)之间,实现对下辖所有AP的管理。
直路方式主要用于新建中、小型园区网络或原有网络汇聚/核心设备为华为设备的场景。
图1-2AC直路示意图1.2.3 独立AC独立AC独立AC方案是指采用单独的AC硬件设备,通过直路或者旁挂方式实现对于所有AP的管理。
在独立AC方案中,采用集中式架构(FIT AP架构),使用FIT AP来负责无线终端的接入。
使用独立的AC设备完成对AP设备的管理。
1.2.4 本地转发与集中转发转发模式主要是AP针对用户数据可以有不同的转发处理方式。
本地转发又称直接转发,是指AP上对用户数据由本地转发到网络上层,不经过AC处理,AC只对AP进行管理。
而AP管理流封装在CAPWAP隧道中,到达AC终止。
图1-3本地转发示意图集中转发也称作隧道转发。
业务数据报文由AP统一封装后到达AC实现转发,AC不但进行对AP管理,还作为AP流量的转发中枢。
即AP管理流与数据流都封装在CAPWAP隧道中到达AC。
图1-4隧道转发示意图本地转发与集中转发优缺点对比如表1-3所示。
表1-3本地转发与集中转发优缺点对比表转发方式优点缺点本地转发设备署简单,数据流量不经过AC,AC负担小。
-集中转发数据流量和管理流量全部经过AC,可以按用户需求规划安全监管策略。
AC设备数据压力较大,对AC 设备本身处理能力要求较高。
技术建议书 2 WLAN基础网络规划2 WLAN基础网络规划2.1 IP地址规划AC的IP地址AC用于管理AP,IP地址一般通过静态手工配置。
AP的IP地址AP的IP地址分配如果采用静态分配,由于一般AP数量较多,配置工作量大,且容易冲突、不易于控制,所以不建议使用,建议使用DHCP动态分配。
DHCP动态分配AP的IP地址时,可以有以下几种方式:●指定地址池分配−根据DHCP Option 60表明AP身份而分配指定地址池的IP:AP的DHCP Discover报文携带Option 60,例如内容为“Huawei AP”,表示请求分配IP地址的设备是华为AP,而不是WLAN用户。
DHCP Server可以通过匹配或部分匹配Option 60字符串,来为AP从指定地址池中分配地址。
如果网络中部署多个DHCP Server且只有部分支持Option 60,交换机等设备充当DHCP Relay时需要支持识别DHCP option 60并将DHCP报文转发到相应的DHCP Server上。
−根据VLAN分配指定地址池的IP:AP相连交换机端口以Trunk方式加入VLAN,允许通过的VLAN对应的地址池即为AP分配IP地址。
−根据AP的MAC地址指定分配:在DHCP Server上配置AP的MAC以及对应的IP地址。
●统一分配AP的IP地址分配同WLAN用户一样,由DHCP Server统一分配,不再区别。
DHCP动态分配AP的IP地址各种方式优劣势对比如表2-1所示。
表2-1DHCP动态分配AP的IP地址各种方式优劣势表无线终端/用户的IP地址移动用户通过DHCP动态分配IP地址,不建议静态配置;对于基本不移动的无线终端(比如:无线打印机)可以静态配置。
2.2 SSID规划企业园区无线网络一般按照业务类型划分不同的SSID(Service Set Identification)。
SSID映射以太网中的VLAN通常,以太网中管理VLAN和业务VLAN分离。
业务VLAN主要用于区分不同的业务类型或用户群体。
在WLAN网络中SSID也同样可以承担相应的工作。
因此,在业务VLAN的规划中必须综合考虑VLAN与SSID的映射关系。
业务VLAN应根据实际业务需要与SSID匹配映射关系,映射关系有1:1、1:N、N:1、N:N四种,AC设备终结VLAN部署。
VAP构建AP可以配置多个SSID,华为单频AP可支持16个SSID,双频AP可支持32个SSID。
通过配置多个SSID,可以将一个AP划分为多个V AP(Virtual Access Point),每一个SSID对应一个V AP,AC针对V AP进行策略下发,V AP根据策略进行终端与业务管理。
2.3 漫游规划漫游是指用户在部署了WLAN网络的场所移动时,用户终端可以从一个AP的覆盖范围移动到另一个AP的覆盖范围,用户无需重新登录和认证。
图2-1用户漫游切换示意图如上图所示,假设终端与AP1已经建立关联信息,随着用户位置的移动,终端切换到AP2,具体切换流程如下:1.客户端在各种信道中发送802.11请求帧。
AP2在信道6(AP2使用的信道)中收到请求后,通过在信道6中发送应答来进行响应。
客户端收到应答后,对其进行评估,确定同哪个AP关联最合适。
2.如图中的标号1所示,删除用户与AP1现有的关联。
客户端通过信道1(AP1使用的信道)向AP1发送802.11解除关联信息,解除用户与AP1间的关联。
3.如图中的标号2所示,客户端通过信道6向AP2发送关联请求,AP2使用关联响应做出应答,建立用户与AP2间的关联。
WLAN网络漫游中需注意以下两点:●漫游切换需要保证SSID相同,即两台AP切换区域需要配置相同的SSID。
●漫游切换AP必须是同一个AC管理。
华为WLAN解决方案通过支持下述两种快速漫游技术,实现业务的平滑过渡。
●PMK caching:PMK caching技术是对于802.1X用户而言的,是指802.1X用户与旧AP进行802.1X认证时,STA和AC都会缓存PMK和PMK-ID;当漫游到新AP时,STA会把这些PMK-ID携带过去,无线控制器根据STA携带的PMK-ID查找自己缓存的PMK信息,如果查到,就认为STA已经经过802.1X认证,直接跳过802.1X认证过程,利用缓存的PMK进行四次握手协商出加密KEY, 从而縮短了802.1X用户的漫游延时。