无线覆盖解决方案

鼎新国际会展广场

无线网络

技术方案

设计单位：成都三零凯天通信实业有限公司（盖单位章） 地址：成都市高新区云华路333号1栋5单元4至8层 日期： 2016__年 5 月 13 日

目 录

1. 项目需求 ........................................................................................................................ 2 2. 方案设计 ........................................................................................................................ 2 2.1. 设计原则 ................................................................................................................. 2 2.2. 设计依据 ................................................................................................................. 3 2.3. 系统总体设计 ......................................................................................................... 4 2.4. 各楼层点位部署设计 ............................................................................................. 5 2.4.1. 2.4.2. 2.4.3. 2.4.4. 2.4.5. 2.4.6. 2.4.7. 2.5.1. 2.5.2. 2.5.3. 2.6.1. 2.6.2. 2.6.3. 2.6.4. 2.6.5. 2.6.6. 2.6.7. 2.6.8. 2.7.1. 2.7.2. 2.7.3. 2.7.4. 2.7.5.

1

负一层无线覆盖 .............................................................................................. 5 一层和广场无线覆盖 ...................................................................................... 6 二层无线覆盖 .................................................................................................. 7 三层无线覆盖 .................................................................................................. 8 四层无线覆盖 .................................................................................................. 8 五层无线覆盖 .................................................................................................. 9 中心机房设计 ................................................................................................ 10 支持精细的无线用户接入控制和管理 ........................................................ 10 设备安全管理 ................................................................................................ 11 全面支持智能型有线无线一体化管理 ........................................................ 11 多SSID，员工、用户网络逻辑隔离 .......................................................... 11 隧道加密，防止信息泄漏 ............................................................................ 12 动态黑名单，自动封堵攻击源 .................................................................... 12 2.6.4精细化角色授权管理 ........................................................................... 13 危险应用和URL的识别和管控 .................................................................. 14 安全审计，符合要求 ........................................................................ 14 防钓鱼WIFI保护游客上网安全 ................................................................. 15 射频控制策略，自动关闭无线射频信号 .................................................... 15 路由器 ............................................................................................................ 15 汇聚交换机 .................................................................................................... 19 楼层接入交换机 ............................................................................................ 22 室内无线接入设备 ........................................................................................ 25 无线控制器 .................................................................................................... 29

2.5. 网络管理设计 ....................................................................................................... 10

2.6. 无线端安全性及审计设计 ................................................................................... 11

2.7. 主要设备技术指标 ............................................................................................... 15

1. 项目需求

鼎新国际会展广场建筑面积为42554.15平方米，为全面感知和高速传输提供“无线” 可能，按照“整体规划、分期实施，以点代面，科学布网、企业应用、兼顾民用等原则，构建全覆盖无线网络，建立物联网无线感知基础网络，并且利用无线网络架构的方便、快捷、灵活、覆盖广等特点，推动办公的自动化、数字化、信息化的融合，实现日益增强的移动办公、多业务、多平台资源共享的需求，同时利用无线网络技术满足来宾随时随地、方便高效地体验无线上网，本次拟在鼎新国际会展广场负一楼、1至5层以及广场建设一套全覆盖无线网络系统，具体需求如下：

 无线上网：用户只要使用支持WIFI接入的笔记本、PDA、手机等智能终端

接入到WLAN中，就能高速访问INTENET，实现企业和用户随时随地上网、查询资料等工作。

 无线办公：只要是已授权用户，可以访问局域网，通过局域网进行浏览、审

批、收发邮件等移动办公应用；使人摆脱有线线缆的束缚，让网络为人服务，提高生产、办公效率。

 统一认证：有线用户和无线用户使用同一个账户时进行统一认证，简化网络

管理。

 稳定可靠：采用无线AC+AP设备，确保设备的可靠性；即使AC或者个别

AP故障，最大限度的减少对网络的影响，增强网络可靠性。

 安全、认证和管理：为了阻止非授权用户访问无线网络，以及防止对无线局

域网数据流的非法侦听，无线网络要具有相应的安全手段，保证网络访问的安全性，支持802.1x安全认证方式及中国国家标准WAPI认证；

2. 方案设计

2.1. 设计原则

 前瞻性

此次设计的无线网络具备一定的前瞻性，采用先进的设备和技术手段，保证在一段时间内不会随着技术的发展而变更网络的核心架构和关键技术，并能满足后期新技术扩展的应用。

2

 实用性

网络的设计充分考虑了项目的实际情况和用户的实际需求，以免技术过于超前而造成投资的浪费。  可靠性

WLAN网络保证网络的信号质量、设备的稳定运行、避免单点故障，为用户提供可靠的WLAN无线接入业务。  开放性

在设计过程中，考虑了所运用的技术标准和通信协议是否符合国际规范或工业标准，以确保新设计的网络系统有良好的兼容性和扩展性，无线局域网（WLAN）技术目前所遵循的就是IEEE 802.11系列国际标准。  无线辐射

根据中国国家无线电管理委员会的规定，在室内部署无线网络，其信号辐射不得超过100mW，以避免2.4GHz和5GHz对人体的影响。在通常情况下，终端使用5mW左右的发射功率，以避免大功率长期辐射对人体的影响。  避免干扰

无线网使用2.4GHz和5GHz频段均为开放频段，无须注册即可使用，无线信号易受外界环境和其他信号的干扰，因此充分考虑了微波炉、其他大楼的无线系统设备、2.4GHz的无绳电话等可能造成的干扰。  安全性

无线网络支持多种安全特性，采用集中认证方式，对每个数据包进行加密。  扩展性

通过一个集中的无线管理控制器实现对所有的AP功能的配置和管理；同时整个系统可以根据用户的需要进行规模上的扩展，扩展后所有功能和管理的模式保持不变。 2.2. 设计依据

 智能建筑设计标准 GB/T 50314-2006  综合布线工程设计规范GB 50311-2007  综合布线工程验收规范GB 50312-2007  商用建筑布线标准EIA/TIA-568

3

 商务楼通信通道和空间标准EIA/TIA-569  大楼通信综合布线YD/T926-2001

 非屏蔽双绞线布线系统测试传输性能规范EIA/TIA/TSB67  信息技术综合布线系统EN 50173-2001

 《无线局域网工程设计规范》（YD 5214-201X）  遵循IEEE 802.11x系列标准

 GB15629.11-2003《无线局域网媒体访问控制和物理层规范》 2.3. 系统总体设计

本次无线网络系统我公司设计采用H3C公司自主研发的集成无线控制器（AC）以及新一代基于终端感知型硬件智能天线覆盖技术的超百兆高速无线接入设备（AP），采用以楼层分布式AP部署进行组网，中心机房部署汇聚交换机、路由器以及无线控制器，同时在各楼层部署24口POE交换机，实现前端AP供电和数据交换，一体化无线网络解决方案（AC+AP）能有效实现有线和无线网络的融合，通过统一的硬件平台、统一的网络管理、统一的用户管理、统一的应用安全，为鼎新国际会展广场用户提供安全的无线接入，组网方面网络拓扑图如下：

1) 接入单元：采用H3C MSR30, 该设备支持多样化的VPN技术，包括

4

IPsec、L2TP、GRE、ADVPN、MPLS VPN，以及多种VPN技术的叠加使用支持路由器协议的安全防护，支持OSPF/RIP/IS-IS/BGP动态路由协议认证、支持OSPFv3/RIPng/IS-ISv6/BGP 的IPSec加密、 支持丰富的路由策略控制功能。

2) 网络管理单元：采用H3C WX3024E，接入管理终端数量个，该设备支持

纯千兆以太网有线接入口，支持PoE+供电，同时兼容802.11a/b/g/n协议。 3) 数据承载网络:分别采用LS-S5110-28P-PWR和LS-S3110-26TP-PWR交换机，

支持特有的ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”。支持IP Source Guard特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及DoS攻击。另外，利用DHCP Snooping的信任端口特性还可以有效杜绝私设DHCP服务器，保证DHCP环境的真实性和一致性。

4) 终端接入侧：AP采用H3C WA2610i，覆盖范围约1200平方米，该AP遵从

802.11n协议标准，采用专业模块化设计，单射频能提供高达300Mbps的无线接入速度，是相同环境下802.11a/b/g产品的6倍左右。通过内置集成终端感知型硬件智能天线覆盖技术，可以有效地从覆盖范围、接入密*度、运行稳定等方面提供更高性能的移动云接入服务并协助用户实现最佳无线网络TCO(总拥有成本/Total Cost of Ownership)。 5) 总体点位表：

部署位置 负一层 广场 一层 二层 三层 四层 五层 AP部署点位数量 8台 4台 8台 8台 8台 8台 8台 接入交换机部署数量 1台 1台 1台 1台 1台 1台 2.4. 各楼层点位部署设计 2.4.1. 负一层无线覆盖

负一层总面积为8365.79平方米，根据无线AP WA2610i的覆盖范围，我公司设计8台采用模块化设计，单射频能提供高达300Mbps的，支持Fat/Fit两种模式、支持IPv4/IPv6双协议栈(Native IPv6)、支持RealTime Spectrum Guard(实时频谱保护)、

5

支持远程探针分析、支持智能负载均衡、支持智能型有线无线一体化管理无线接入设备。

由于该楼层设计了1台24个10/100Base-TX以太网端口（PoE+）、支持特有的ARP入侵检测功能、支持IEEE 802.3x流控（全双工）、支持基于端口带宽百分比的广播风暴抑制等功能的LS-S3110-26TP-PWR接入层交换机，AP供电方面将采用远程POE供电方式，这样既节约了成本，又简化了系统设备管理；通信方面，楼层接入交换机将通过网络与机房汇聚交换机LS-S5110-28P-PWR直接互联，实现该楼层网络信息的传输，具体点位部署如下（图上点位仅作参考，后期可根据现场实际情况进行调整）。

该楼层所有有关无线系统的设备将统一安装在楼层壁装机内，系统建成后将实现企业和用户随时随地上网、查询资料等工作。

2.4.2. 一层和广场无线覆盖

一层总面积为69.31平方米，外广场3000平方米，根据无线AP WA2610i的覆盖范围，我公司设计12台采用模块化设计，单射频能提供高达300Mbps的，支持Fat/Fit两种模式、支持IPv4/IPv6双协议栈(Native IPv6)、支持RealTime Spectrum Guard(实时频谱保护)、支持远程探针分析、支持智能负载均衡、支持智能型有线无线一体化管理无线接入设备，其中一层部署8台负责室内无线覆盖；4台部署在外墙负责广场区域无线覆盖。

由于该楼层设计了1台24个10/100Base-TX以太网端口（PoE+）、支持特有的ARP入侵检测功能、支持IEEE 802.3x流控（全双工）、支持基于端口带宽百分比的广播风暴抑制等功能的LS-S3110-26TP-PWR接入层交换机，12台AP供电方面将采用远程POE统一供电方式，这样既节约了成本，又简化了系统设备管理；通信方面，

6

楼层接入交换机将通过网络与机房汇聚交换机LS-S5110-28P-PWR直接互联，实现该楼层网络信息的传输，具体点位部署如下（图上点位仅作参考，后期可根据现场实际情况进行调整）。

该楼层所有有关无线系统的设备将统一安装在楼层壁装机内，系统建成后将实现企业和用户随时随地上网、查询资料等工作。

2.4.3. 二层无线覆盖

二层总面积为7273.42平方米，根据无线AP WA2610i的覆盖范围，我公司设计8台采用模块化设计，单射频能提供高达300Mbps的，支持Fat/Fit两种模式、支持IPv4/IPv6双协议栈(Native IPv6)、支持RealTime Spectrum Guard(实时频谱保护)、支持远程探针分析、支持智能负载均衡、支持智能型有线无线一体化管理无线接入设备。

由于该楼层设计了1台24个10/100Base-TX以太网端口（PoE+）、支持特有的ARP入侵检测功能、支持IEEE 802.3x流控（全双工）、支持基于端口带宽百分比的广播风暴抑制等功能的LS-S3110-26TP-PWR接入层交换机，AP供电方面将采用远程POE供电方式，这样既节约了成本，又简化了系统设备管理；通信方面，楼层接入交换机将通过网络与机房汇聚交换机LS-S5110-28P-PWR直接互联，实现该楼层网络信息的传输，具体点位部署如下（图上点位仅作参考，后期可根据现场实际情况进行调整）。

该楼层所有有关无线系统的设备将统一安装在楼层壁装机内，系统建成后将实现企业和用户随时随地上网、查询资料等工作。

7

2.4.4. 三层无线覆盖

三层总面积为7272.54平方米，根据无线AP WA2610i的覆盖范围，我公司设计8台采用模块化设计，单射频能提供高达300Mbps的，支持Fat/Fit两种模式、支持IPv4/IPv6双协议栈(Native IPv6)、支持RealTime Spectrum Guard(实时频谱保护)、支持远程探针分析、支持智能负载均衡、支持智能型有线无线一体化管理无线接入设备。

由于该楼层设计了1台24个10/100Base-TX以太网端口（PoE+）、支持特有的ARP入侵检测功能、支持IEEE 802.3x流控（全双工）、支持基于端口带宽百分比的广播风暴抑制等功能的LS-S3110-26TP-PWR接入层交换机，AP供电方面将采用远程POE供电方式，这样既节约了成本，又简化了系统设备管理；通信方面，楼层接入交换机将通过网络与机房汇聚交换机LS-S5110-28P-PWR直接互联，实现该楼层网络信息的传输，具体点位部署如下（图上点位仅作参考，后期可根据现场实际情况进行调整）。

该楼层所有有关无线系统的设备将统一安装在楼层壁装机内，系统建成后将实现企业和用户随时随地上网、查询资料等工作。

2.4.5. 四层无线覆盖

四层总面积为7272.54平方米，根据无线AP WA2610i的覆盖范围，我公司设计8台采用模块化设计，单射频能提供高达300Mbps的，支持Fat/Fit两种模式、支持

8

IPv4/IPv6双协议栈(Native IPv6)、支持RealTime Spectrum Guard(实时频谱保护)、支持远程探针分析、支持智能负载均衡、支持智能型有线无线一体化管理无线接入设备。

由于该楼层设计了1台24个10/100Base-TX以太网端口（PoE+）、支持特有的ARP入侵检测功能、支持IEEE 802.3x流控（全双工）、支持基于端口带宽百分比的广播风暴抑制等功能的LS-S3110-26TP-PWR接入层交换机，AP供电方面将采用远程POE供电方式，这样既节约了成本，又简化了系统设备管理；通信方面，楼层接入交换机将通过网络与机房汇聚交换机LS-S5110-28P-PWR直接互联，实现该楼层网络信息的传输，具体点位部署如下（图上点位仅作参考，后期可根据现场实际情况进行调整）。

该楼层所有有关无线系统的设备将统一安装在楼层壁装机内，系统建成后将实现企业和用户随时随地上网、查询资料等工作。

2.4.6. 五层无线覆盖

五层总面积为5380.55平方米，根据无线AP WA2610i的覆盖范围，我公司设计8台采用模块化设计，单射频能提供高达300Mbps的，支持Fat/Fit两种模式、支持IPv4/IPv6双协议栈(Native IPv6)、支持RealTime Spectrum Guard(实时频谱保护)、支持远程探针分析、支持智能负载均衡、支持智能型有线无线一体化管理无线接入设备。

由于该楼层设计了1台24个10/100Base-TX以太网端口（PoE+）、支持特有的ARP入侵检测功能、支持IEEE 802.3x流控（全双工）、支持基于端口带宽百分比的广播风暴抑制等功能的LS-S3110-26TP-PWR接入层交换机，AP供电方面将采用远程POE供电方式，这样既节约了成本，又简化了系统设备管理；通信方面，楼层接入交换机将通过网络与机房汇聚交换机LS-S5110-28P-PWR直接互联，实现该楼层网络信息的传输，具体点位部署如下（图上点位仅作参考，后期可根据现场实际情况进行调整）。

该楼层所有有关无线系统的设备将统一安装在楼层壁装机内，系统建成后将实现

9

企业和用户随时随地上网、查询资料等工作。

2.4.7. 中心机房设计

根据前端AP点位数量，同时考虑网络安全，我公司在中心机房设计采用1台安全路由器MSR30作为网络接入和安全防护，该设备支持多样化的VPN技术，包括IPsec、L2TP、GRE、ADVPN、MPLS VPN，以及多种VPN技术的叠加使用支持路由器协议的安全防护，支持OSPF/RIP/IS-IS/BGP动态路由协议认证、支持OSPFv3/RIPng/IS-ISv6/BGP 的IPSec加密、 支持丰富的路由策略控制功能；同时配备1台24个10/100/1000Base-T以太网端口，交换容量256Gbps；包转发率42/96Mpps；支持PoE+供电的汇聚交换机作为整个网络的信息汇聚。

另外，为达到基于硬件平台统一的网络管理、统一的用户管理、统一的应用安全，管理，我公司设计采用1台无线控制器WX3024E进行统一管理，该设备支持精细的无线用户接入控制和管理、支持802.1x认证，MAC地址认证，Portal认证等、支持信道智能切换、支持智能AP负载分担、支持RealTime Spectrum Guard(实时频谱保护)模式、支持远程探针分析、支持多种分支机构远程接入场景等。 2.5. 网络管理设计

2.5.1. 支持精细的无线用户接入控制和管理

本次设计的无线控制器WX3024E是基于MAC的认证接入控制方式，不但可以使得客户在服务器上对用户组进行权限的配置和修改，同时支持对具体用户的权限的配置，这种精细的用户权限控制大大增强了无线网络的可用度，网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。

基于MAC的VLAN同样也是WX3000系列一体化交换机的一大特色，在控制策略上，管理员可以把相同性质的用户(MAC)划分到同一个VLAN，同时在AC上基于

10

VLAN配置安全策略，这样做既可以简化系统配置，又可以做到用户级粒度的精细管理。

出于安全性或计费等考虑，系统管理员可能希望控制无线用户接入到网络中的位置。WX3000系列一体化交换机支持基于AP位置的用户接入控制。当无线用户接入网络时，可以通过认证服务器向AC下发允许用户接入的AP列表，在AC上进行接入控制，从而达到无线用户只能接入到指定位置的AP的目的。 2.5.2. 设备安全管理

本次设计的路由器MSR30支持基于角色权限管理，能够基于角色进行资源分配、用户与角色的对应、权限二维分配方式支持控制平面流量，支持基于协议类型、不同队列、已知协议报文、指定协议报文等进行流量控制和过滤远程安全管理，支持SNMPv3、支持SSH、HTTPS远程管理等管理行为控制审计，支持AAA服务器集中验证、执行命令行授权、操作记录实时上报等。 2.5.3. 全面支持智能型有线无线一体化管理

此次设计的H3C全系列无线产品都可以通过开放的网络管理协议实现基于WSM的有线无线一体化管理。

WSM是H3C在下一代业务软件平台iMC(intelligence Management Center/智能管理中心)的基础上开发的无线运营管理组件，不仅为管理员提供了灵活的组件选择，同时符合业界主流的SOA架构，具备良好的扩展性，能够满足客户网络管理不断发展的需求。基于Web的管理系统，为无线业务管理者提供了简便、友好的管理平台。与iMC智能管理平台及其它组件配合，还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理等功能，并可对网络中的其它设备进行统一管理，真正实现智能型有线无线一体化管理。 2.6. 无线端安全性及审计设计

在鼎新国际会展广场无线系统中，可以在多个层面对系统构筑安全防护，其安全性设计如下：

2.6.1. 多SSID，员工、用户网络逻辑隔离

根据用户的种类、应用的种类可设置多个SSID，例如：用户和员工网络分别设置

11

不同的SSID。不同的SSID采用不同的安全策略，这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式，该SSID不广播，用户无法看到，防止非法用户的接入。SSID还可以选择在某些AP上出现，某些AP上不出现，SSID出现的范围也是实现安全性的一种手段。

2.6.2. 隧道加密，防止信息泄漏

本无线系统支持国际标准的多种数据加密方式，保护数据不被窃取，鼎新国际会展广场可根据实际需要自行选择。

2.6.3. 动态黑名单，自动封堵攻击源

无线控制器AC会实时监控鼎新国际会展广场无线网络安全情况，如果网络中出现攻击终端，无线控制器会将其自动列入动态黑名单，在一段时间内禁止其接入。一

12

段时间后检测如果该终端还存在攻击，则继续列入黑名单。如果恢复正常则允许其接入。

鼎新国际会展广场AP布点分散，结合本技术AC无线统一集中管理平台，安装前无需对设备进行任何配置，部署完成后由无线控制器统一下发配置，极大的减少实施和维护的工作量及成本。后期维护中，通过AC内置的图形化热点分析界面，可有效查找到问题点，轻松完成维护工作。

2.6.4. 2.6.4精细化角色授权管理

针对鼎新国际会展广场不同角色对象，可对用户进行多级的角色授权，根据不同角色分配不同的访问和流控策略。根据鼎新国际会展广场的不同接入位置（不同楼层或不同商户），不同的终端（手机或电脑）、不同的用户（内部员工或游客）划分不同的角色，并配以不同的权限，这样便能充分保证各自的安全，防止越权。

13

2.6.5. 危险应用和URL的识别和管控

为了解决用户随意访问恶意应用或URL造成的网络安全风险，本无线控制器内置全国最大的应用识别库和URL库，能自动识别危险应用和URL，我们可针对这些危险应用和URL进行封堵和控制，从而提高鼎新国际会展广场网络的安全性。

2.6.6. 安全审计，符合要求

用户接入鼎新国际会展广场的公共无线网络，不仅需要完成用户的接入、认证，同时还需要对用户的网络行为和内容进行审计，包括但不限于HTTP外发内容、访问的网站和下载、邮件、FTP、TELNET、其它网络应用、网页内容、ACL拒绝行为、以及上网流量与时长控制。

通过配置审计策略，在角色中引用相应用审计策略，并给用户分配相应的角色，即可实现对游客上网行为的审计。

14

以此满足对公共场所上网的审计要求。

通过配置审计策略，在角色中引用相应用审计策略，并给用户分配相应的角色，即可实现对用户的审计。

2.6.7. 防钓鱼WIFI保护游客上网安全

无线网络的无线信号具有开放性，钓鱼AP和AD-Hoc等非法AP极容易隐藏在无线网络中引诱游客接入，盗取游客的银行帐号或传播病毒。

本技术采用全面的防御体系，为您构建最安全的无线接入网络，抵制钓鱼AP和AD-Hoc、用户发起的泛洪或欺骗攻击等无线攻击行为，还你一个干净且安全的无线网络环境。

2.6.8. 射频控制策略，自动关闭无线射频信号

鼎新国际会展广场可以根据营业时间，进行设置无线网络时间计划，来定时自动关闭无线网络的射频信号，一方面能节省电，另一方面又能防止非法用户利用深夜时间入侵无线网络，做一些非法或者损害鼎新国际会展广场利益的操作。另外为了更加人性化，还增加了设置基于SSID的例外无线网络，可以选择性的关闭SSID。 2.7. 主要设备技术指标 2.7.1. 路由器 (1) 产品特点  先进的技术支撑

采用H3C成熟的Comware网络操作系统，提供更智能的业务调度管理机制，支

15

持业务模块化的松耦合，并能实现进程和补丁的动态加载 卓越的高性能多核CPU处理器，采用无阻塞交换机构，极大提升多业务并发处理能力， 支持OAA开放式应用架构，支持云业务平台CVK、VMWARE、广域网优化（WAN）、Lync协同办公、客户第三方的业务等开放式应用 自主创新的智能链路引擎CUBE技术，不仅提升了SIC卡的总线带宽，还可以自动灵活分配接口资源。  强大的安全功能

➢ 业务安全

报文过滤功能，支持状态过滤、MAC地址过滤、IP和端口号过滤、时间段过滤等支持业务流量实时分析等。

➢ 网络安全

多样化的VPN技术，包括IPsec、L2TP、GRE、ADVPN、MPLS VPN，以及多种VPN技术的叠加使用支持路由器协议的安全防护，支持OSPF/RIP/IS-IS/BGP动态路由协议认证、支持OSPFv3/RIPng/IS-ISv6/BGP 的IPSec加密、 支持丰富的路由策略控制功能。

➢ 终端接入安全

一体化的终端接入绑定认证，包括EAD安全检查认证、802.1x认证、终端MAC地址认证、 基于WEB的Portal认证、终端接入静态绑定、MAC自动学习绑定 ARP攻击防范，支持源MAC地址固定、ARP报文攻击防范、地址冲突检测和保护、ARP端口限速、ARP Detection、ARP源MAC地址一致性检查、ARP源抑制、ARP主动确认机制等

➢ 设备管理安全

支持基于角色权限管理，能够基于角色进行资源分配、用户与角色的对应、权限二维分配方式支持控制平面流量，支持基于协议类型、不同队列、已知协议报文、指定协议报文等进行流量控制和过滤远程安全管理，支持SNMPv3、支持SSH、HTTPS远程管理等管理行为控制审计，支持AAA服务器集中验证、执行命令行授权、操作记录实时上报等。  精细化业务控制

➢ 通过精细化识别和精细化控制，实现对应用层业务的限速、带宽保障、过滤

等功能，并通过精细化统计指导网络优化。

➢ 支持等价链路负载分担（ECMP）和非等价链路负载分担（UCMP），UCMP

16

支持根据链路带宽比例进行负载分担；

➢ 业务智能选路通过非对称链路负载分担、流量智能负载分担和多拓扑动态路

由等技术，实现不同场景下充分利用网络链路，支持基于带宽比例的负载分担、基于用户和用户组的负载分担和基于业务和应用的负载分担。 ➢ 支持基于多种方式下网络带宽的弹性共享，包括基于业务的弹性共享、基于

用户和用户组的弹性共享、基于链路的弹性带宽共享和基于用户的带宽。

 智能化网管

➢ 完善的网络管理方式，支持命令行、SNMP等方式。

➢ 支持零配置部署，可实现零配置方式下的批量设备开局，通过无线短信实现

设备的零开局，并且在误配置时可自动实现设备配置的回退。

➢ Comware内置的EAA功能，对系统软硬件部件的内部事件、状态进行监控，

出现问题时收集现场信息并尝试自动修复,并能将现场信息发送到指定的Email邮箱。

➢ 支持U盘系统自动启动、U盘配置自动导入和USB Console接口。  高可靠性

➢ 硬件处理模块监控系统，可编程器件支持在线升级和自动加载，增强产

品的可靠性。

➢ 链路毫秒级快速故障侦测技术（BFD），可实现同静态路由、

RIP/OSPF/BGP/ISIS动态路由、VRRP和接口备份的联动。

➢ 网络业务质量智能检测技术（NQA），可实现同静态路由、VRRP和接口备

份的联动。

➢ 支持多设备的冗余备份和负载分担（VRRP/VRRPE）。 ➢ 支持快速重路由、GR/NSR等可靠性技术。  网络虚拟化

➢ 为降低用户组网的复杂性，提高管理效率，率先在广域网设备上支持IRF2（第

二代智能弹性架构）技术，将物理上两台设备虚拟化成一台逻辑设备，极大的降低了用户网络的运维成本，提升链路带宽利用率以及设备的使用率。 ➢ 支持跨设备以太网链路聚合技术，实现多条上行链路的负载分担和互为备份，

从而提高整个网络架构的可靠性和链路资源的利用率；

 云间互联

17

➢ 支持以太网虚拟化互联（EVI）技术来完成数据中心二层互联需求。EVI解决

方案组网简单，成本低廉，只需要在站点边缘部署一个或多个支持EVI功能的设备，且企业网络和服务提供商网络无需做任何变动；同时，EVI解决方案还提供了对数据进行加密IPsec技术的组合解决方案，来提高数据中心数据在公用网络上传输的安全性。

(2) 技术指标

属性 转发性能 内存(缺省/最大) FLASH CF卡(外置) USB2.0 CON/AUX CON(Mini-USB Type AB) 固定GE口 SIC插槽 DSIC HMIM插槽 DHMIM VPM 最大功耗 冗余电源 电源 MSR 36-40 9Mpps 2G/4G 256M 支持 2，支持3G Modem扩展 1 1 3(2Combo) 4 2 4 － 2 300W 内置(AC/DC/POE) AC/POE: 100V a.c.～240V a.c.；50Hz/60Hz DC: -48～-60V 2个机架高度（2RU） 440×480×88.1 MSR 36-60 15Mpps 2G/4G 256M 支持 2，支持3G Modem扩展 1 1 3(2Combo) 4 2 6 1 2 300W 内置(AC/DC/POE) AC/POE: 100V a.c.～240V a.c.；50Hz/60Hz DC: -48～-60V 3个机架高度（3RU） 440×480×130.5 机架高度（U高） 外形尺寸（W×D×H，mm） 18

环境温度 环境相对湿度 EMC 0～45℃ 5～95%（不结露） FCC Part 15 (CFR 47) CLASS A ICES-003 CLASS A VCCI-3 CLASS A VCCI-4 CLASS A CISPR 22 CLASS A EN 55022 CLASS A AS/NZS CISPR22 CLASS A CISPR 24 EN 55024 EN 61000-3-2 EN 61000-3-3 EN 61000-6-1 ETSI EN 300 386 EN 301 4-1 EN 301 4-17 UL 60950-1 CAN/CSA C22.2 No 60950-1 IEC 60950-1 EN 60950-1/A11 AS/NZS 60950 EN 60825-1 EN 60825-2 FDA 21 CFR Subchapter J GB 4943 安全 2.7.2. 汇聚交换机 (1) 产品特点

 高性能与灵活扩展能力

H3C S5110系列交换机支持所有端口线速转发，满足了用户对高带宽的需求。S5110系列交换机至少支持2或4端口千兆上行，并且SFP端口既可以支持百兆光模块，也可以支持千兆光模块，在降低用户成本的同时，更好的考虑了用户后续升级的实际需求。

H3C S5110系列交换机可支持32台设备的堆叠，最大扩展至16个100/1000M端口，支持不同端口设备的混合堆叠。具有即插即用、单一IP管理。同时大大降低系统扩展的成本，保护了用户投资。  丰富的安全策略

H3C S5110系列交换机支持特有的ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”。

19

支持IP Source Guard特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及DoS攻击。另外，利用DHCP Snooping的信任端口特性还可以有效杜绝私设DHCP服务器，保证DHCP环境的真实性和一致性。

H3C S5110系列交换机支持端口安全特性族，可以有效防范基于MAC地址的攻击，实现基于MAC地址允许/流量。

H3C S5110系列交换机提供802.1X和MAC认证方式对接入的用户进行认证，支持客户端软件版本检测、Guest VLAN等功能，和iMC配合还可以实现代理检测、双网卡检测等功能。通过这些功能的应用可以对用户的合法性进行充分的检查和控制，最大程度的减少非法用户对网络安全的危害。

多重可靠性保护H3C S5110系列交换机支持以太网OAM和CFD，可以有效提高对以太网的管理和维护能力，保障网络的稳定运行。

H3C S5110 系列交换机支持Smart Link和Monitor Link， 可以为双上行链路提供更高效，更可靠的链路备份。

H3C S5110 系列交换机支持RRPP，可为环形组网提供更快的拓扑收敛， 使数据传输更为稳定。  增强的多业务能力

H3C S5110系列交换机支持端口限速以及流限速功能，防止恶意侵占网络带宽，也为网络带宽的精细化管理提供了手段。

H3C S5110系列交换机支持丰富的队列调度算法，可以以不同的优先级将报文放入端口的输出队列。

H3C S5110系列交换机支持丰富的IPv6管理功能及支持丰富的IPv6业务特性等。  增强的以太网供电能力（PoE+）

H3C S5110系列交换机支持增强的以太网供电功能（PoE+），PoE供电款型可以提供每端口最大30W的输出功率，可以为802.11n的无线接入点，可视IP电话，大功率的监控摄像头以及更多的终端设备提供以太网供电能力。  专业的防雷功能

H3C S5110系列交换机采用专业的内置防雷技术，支持业界领先的7KV业务端口防雷能力，使其在比较恶劣的工作环境中也能极大的降低雷击对设备的损坏率 (2) 技术指标

主要参数 产品类型千兆以太网交换机、POE交换机 20

端口参数 功能特性 应用层级三层 传输速率10/100/1000Mbps 交换方式存储-转发 背板带宽256Gbps 包转发率42Mpps 端口结构非模块化 端口数量28个 端口描述24个10/100/1000Base-T PoE+以太网端口，4个1000Base-X以太网端口 控制端口1个Console口 堆叠功能可堆叠 VLAN持基于端口的VLAN（4K个） 支持基于MAC的VLAN 支持GVRP 支持QinQ、灵活QinQ 支持VLAN Mapping 支持GUEST VLAN QOS支持Diff-Serv QoS 每个端口支持8个输出队列 支持802.1p/DSCP优先级映射 支持队列调度机制 支持优先级标记Mark/Remark 支持基于流的包过滤 支持基于流的重定向 支持基于流的限速 组播管理支持IGMP Snooping、支持快速离开 支持MLD Snooping 支持组播VLAN 网络管理支持Console/AUX Modem/Telnet/SSH2.0命令行配置 支持FTP、TFTP、Xmodem、SFTP文件上下载管理 支持SNMP V1/V2c/V3 支持RMON 支持NTP时钟 支持系统工作日志 支持集群管理 支持H3C iMC智能管理中心 安全管理用户分级管理和口令保护 支持Guest VLAN 支持IEEE 802.1X认证/集中MAC地址认证 支持AAA&RADIUS&HWTACACS认证 支持MAC地址学习数目 支持MAC地址黑洞 支持SSH 2.0，为用户登录提供安全加密通道 支持SSL，保障数据传输安全 支持HABP 支持端口隔离 支持ARP报文限速功能 支持IP 源地址保护 支持ARP入侵检测功能 支持防Dos攻击 支持广播报文抑制 21

其它参数 支持主备数据备份机制 支持IP＋端口的绑定、IP+MAC的绑定、端口＋MAC的绑定、IP+MAC+端口的绑定、IP+MAC+端口+VLAN的绑定的功能 电源电压AC 100-240V，50/60Hz 电源功率30W；支持PoE+供电，AC最大370W，DC最大740W（RPS） 产品尺寸440×260×44mm 产品重量≤4kg 环境标准工作温度：0-45℃ 工作湿度：5%-95%（非凝结） 存储温度：-40-70℃ 存储湿度：5%-95%（非凝结） 2.7.3. 楼层接入交换机 (1) 产品特点

 高性能与灵活扩展能力

H3C S3110系列交换机支持所有端口线速转发，满足了用户对高带宽的需求。S3110系列交换机至少支持2或4端口千兆上行，并且SFP端口既可以支持百兆光模块，也可以支持千兆光模块，在降低用户成本的同时，更好的考虑了用户后续升级的实际需求。

H3C S3110系列交换机采用专利技术，允许交换机利用专用互联电缆实现多16台设备的堆叠，最大扩展至768个10/100M端口，支持不同端口设备的混合堆叠。具有即插即用、单一IP管理。同时大大降低系统扩展的成本，保护了用户投资。  全面的接入安全策略

H3C S3110系列交换机支持特有的ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”，对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IP Source Guard特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS攻击。另外，利用DHCP Snooping的信任端口特性还可以有效杜绝私设DHCP服务器，保证DHCP环境的真实性和一致性。

H3C S3110系列交换机支持端口安全特性族，可以有效防范基于MAC地址的攻击。可以实现基于MAC地址允许/流量，或者设定每个端口允许的MAC地址的最大数量，使得某个特定端口上的MAC地址可以由管理员静态配置，或者由交换机动态学习。

H3C S3110系列交换机有强大硬件ACL能力，能深度识别报文，支持L2～L4包

22

过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP协议类型、TCP/UDP端口、TCP/UDP端口范围、VLAN、VLAN范围等定义ACL，以便交换机进行后续的处理，实现灵活的安全接入控制。

H3C S3110系列交换机提供安全的管理方式，支持安全网管SNMPv3、SSHv2从管理上提高了设备的安全性。

H3C S3110系列交换机提供802.1X和MAC认证方式对接入的用户进行认证，允许合法用户通过，对于非法用户则拒绝其上网。同时还支持客户端软件版本检测、Guest VLAN等功能，和iMC配合还可以实现代理检测、双网卡检测等功能。通过这些功能的应用可以对用户的合法性进行充分的检查和控制，最大程度的减少非法用户对网络安全的危害。  多重可靠性保护

H3C S3110系列交换机支持以太网OAM和CFD，可以有效提高对以太网的管理和维护能力，保障网络的稳定运行。

H3C S3110 系列交换机支持Smart Link和Monitor Link， 可以为双上行链路提供更高效，更可靠的链路备份。

H3C S3110 系列交换机支持RRPP，可为环形组网提供更快的拓扑收敛， 使数据传输更为稳定。增强的网络管理和维护的易用。

H3C S3110系列交换机支持通过FTP、TFTP实现设备的远程升级，支持SNMP v1/v2/v3，可支持Open View等通用网管平台，以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，使设备管理更方便。并且支持SSH2.0等加密方式，使得管理更加安全。

H3C S3110系列交换机支持VCT（Virtual Cable Test）电缆检测功能，便于快速定位网络故障点。  丰富的业务支持能力

H3C S3110系列交换机支持端口限速以及流限速功能，防止恶意侵占网络带宽，也为网络带宽的精细化管理提供了手段。

H3C S3110系列交换机支持SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR三种队列调度算法，支持每个端口8个输出队列，可以以不同的优先级将报文放入端口的输出队列。

H3C S3110系列交换机支持丰富的IPv6管理功能，包括IPv6单播地址配置，

23

ICMPv6，IPv6邻居发现协议（ND），IPv6-TCP，IPv6-TFTP，IPv6-TRACERT管理特性。此外，S3110系列以太网交换机还支持丰富的IPV6业务特性，包括IPv6 ACL，QoS，组播等。

 增强的以太网供电能力（PoE+）

H3C S3110系列交换机支持增强的以太网供电功能（PoE+），PoE供电款型可以提供每端口最大30W的输出功率，可以为802.11n的无线接入点，可视IP电话，大功率的监控摄像头以及更多的终端设备提供以太网供电能力。  专业的防雷功能

H3C S3110系列交换机采用专业的内置防雷技术，支持业界领先的6KV业务端口防雷能力，使其在比较恶劣的工作环境中也能极大的降低雷击对设备的损坏率。 (2) 技术指标

产品类型运营级接入交换机、POE交换机 应用层级三层 传输速率10/100Mbps 交换方式存储-转发 背板带宽Gbps 包转发率4.2Mpps 端口结构非模块化 端口数量28个 端口描述24个10/100Base-TX PoE+以太网端口，2个10/100/1000Base-T以太网端口，2个复用的100/1000Base-X SFP端口 控制端口1个Console口 传输模式全双工 VLAN支持基于端口的VLAN（4K个） 支持基于MAC的VLAN 支持GVRP 支持QinQ、灵活QinQ 支持VLAN Mapping QOS支持Diff-Serv QoS 每个端口支持8个输出队列 支持802.1p/DSCP优先级映射 支持队列调度机制（SP、WRR、SP+WRR） 支持优先级标记Mark/Remark 支持基于流的包过滤 支持基于流的重定向 支持基于流的限速 组播管理IGMP Snooping v1/v2/v3、支持快速离开 MLD Snooping v1/v2 组播VLAN 网络管理支持Console/AUX Modem/Telnet/SSH2.0命令行配置 支持FTP、TFTP、Xmodem、SFTP文件上下载管理 支持SNMP V1/V2c/V3 24

主要参数 端口参数 功能特性

其它参数 支持RMON 支持NTP时钟 支持系统工作日志 支持集群管理 支持H3C iMC智能管理中心 安全管理用户分级管理和口令保护 支持Guest VLAN 支持IEEE 802.1X认证/集中MAC地址认证 支持AAA&RADIUS&HWTACACS认证 支持MAC地址学习数目 支持MAC地址黑洞 支持SSH 2.0，为用户登录提供安全加密通道 支持SSL，保障数据传输安全 支持HABP 支持端口隔离 支持ARP报文限速功能 支持IP源地址保护 支持ARP入侵检测功能 支持防Dos攻击 支持广播报文抑制 支持主备数据备份机制 支持IP＋端口的绑定、IP+MAC的绑定、端口＋MAC的绑定、IP+MAC+端口的绑定功能 电源电压AC 100-240V，50/60Hz-2V；47Hz-63Hz 电源功率≤370W；支持PoE+，最大输出370W，支持RPS电源模块最大输出740W 产品尺寸440×260×44mm 产品重量≤4kg 环境标准工作温度：0-40℃ 工作湿度：5%-95%（非凝结） 存储温度：-40-70℃ 存储湿度：5%-95%（非凝结） 2.7.4. 室内无线接入设备 (1) 产品特点

 实现智能云接入和最佳无线网络TCO

WA2600 i系列AP遵从802.11n协议标准，采用专业模块化设计，单射频能提供高达300Mbps的无线接入速度，是相同环境下802.11a/b/g产品的6倍左右。通过内置集成终端感知型硬件智能天线覆盖技术，可以有效地从覆盖范围、接入密*度、运行稳定等方面提供更高性能的移动云接入服务并协助用户实现最佳无线网络TCO(总拥有成本/Total Cost of Ownership)。  提供千兆以太网接口有线连接

上行链路采用千兆以太网接口，突破了传统百兆速率的，使有线口不再成为

25

无线接入的速率瓶颈，为将来支持更高速率更多射频组合提供了平滑升级的平台。  支持Fat/Fit两种模式

WA2600 i系列AP支持Fat和Fit两种工作模式，根据网络规划的需要，可以灵活地在Fat和Fit两种工作模式中切换，同时用户可以根据应用需求，灵活选择所需的设备出厂版本(Fat模式版本或Fit模式版本)。

当客户的无线网络初始规模较小时，客户只需采购相应无线设备，并设置其工作模式为Fat模式。随着客户网络规模的不断扩容，当网络中应用的无线设备达到几十甚至上百台时，为降低网络管理的复杂度，建议客户采购H3C自主研发的WX系列无

线控制器设备，便于集中管理网络中的所有的WA2600 i系列无线设备，此时只需将其工作模式切换到Fit模式。

工作模式切换过程只需要简易命令行，且可以通过设备网管批量执行，有利于将客户的无线网络由小型网络平滑升级到大型网络，从而更好地保护用户的投资，非常适合运营级大规模无线网络的平滑扩容升级。  供本地转发功能

当WA2600 i系列AP (Fit模式)通过广域网方式转发时，无线接入设备部署在分支机构，而无线控制器部署在总部，所有用户数据由无线接入设备发送到无线控制器，再由无线控制器进行集中转发。WA2600 i系列AP可将数据报文在无线接入设备上直接转化为有线格式的报文，使得数据报文不经过无线控制器，而是在本地进行转发，大大节约了有线带宽。

 支持IPv4/IPv6双协议栈(Native IPv6)

WA2600 i系列AP全面支持IPv6特性，设备实现了IPv4/IPv6双协议栈。无论原有有线网络是IPv4还是IPv6，都可以自动地与WX系列控制器进行注册提供WLAN服务，不会成为网络中的信息孤岛。

 支持RealTime Spectrum Guard(实时频谱保护)模式

RealTime Spectrum Guard(RTSG)是H3C创新提出的针对无线环境频谱状态的专业监控方案。H3C WA2600 i系列AP支持内置射频采集模块，实现深度融合的射频监控和实时频谱防护。

RTSG的控制台融合部署于H3C iMC智能管理中心，通过CAPWAP管理隧道，与Sensor AP进行通信和数据采集，实现7X24小时的无线环境质量监控、无线网络

26

能力趋势评估以及非许可干扰告警。通过图形化方式，主动探测和识别所有2.4GHz/5GHz波段的射频干扰源(Wi-Fi或非Wi-Fi)，可提供实时FFT图，频谱密度图、光谱图、占空比图、事件光谱图、频道功率、干扰功率等；可自动识别干扰源，确定有问题的无线设备的位置，确保无线网络发挥最佳的性能。结合H3C iAR智能报表组件，可实现全覆盖区内的射频质量历史记录的存储、追溯、回放等，自动生成客户化的趋势、合规和审计报告。  提供EAD无线接入

终端准入控制(EAD，End user Admission Domination)解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，对接入网络的用户终端强制实施企业安全策略，通过与安全策略服务器的联动，可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理，只有无线客户端符合相应的安全策略之后才允许正常访问网络，从而提高了无线网络的整体安全性。

 支持远程探针分析

WA2600 i系列AP支持作为远程探针分析的Sensor设备，可以对覆盖区内的Wi-Fi报文进行侦听捕获并实时镜像到本地分析设备，供网络管理员进行故障排查、优化分析。远程探针分析功能既可以针对工作信道进行无收敛镜像，也可以对所有信道轮询采样，灵活满足无线网络监控运维要求。  内置射频优化引擎(ROE)

WA2600 i系列AP内置射频优化引擎(RF Optimizing Engine)，通过基于特征和协议的射频优化，有效提升无线部署中高密度接入、流媒体传输等场景中的应用加速能力和质量保障效果。其中包含：多用户公平调度、混合接入公平、过滤干扰、速率最优、频谱导航、组播增强(IPv4/IPv6)、逐包功率控制和智能带宽保障等。  支持智能负载均衡

WA2600 i系列AP支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现无线接入设备的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的无线接入设备可供用户接入，如果有则会拒绝用户的关联请求，用户会转而接入其他负载较轻的无线接入设备，但如果无线用户不在重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。H3C公司创新性的支持智能负载均衡技术，保证只对处于覆盖重叠区的无线用户才启动负

27

载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。  提供only 11n接入功能

由于802.11n向下兼容802.11a/b/g协议，故通常情况下，802.11a/b/g用户也能接入到802.11n的无线接入设备上。但这种兼容能力的提供，会造成具备802.11n接入能力的用户实际使用性能产生一定程度的下降。H3C支持将无线接入设备的某一射频设置为only 11n接入模式，使得802.11n用户的带宽得到保证。对于部分可以提供同时双频接入能力的802.11n无线接入设备，在工作时建议设置5GHz射频为only 11n接入模式，保证802.11n接入用户的高速带宽和接入性能；而2.4GHz射频设置为兼容接入模式，保证原有802.11b/g用户可以正常接入。  支持中文SSID

WA2600 i系列AP支持使用中文SSID，可指定最长包含16个汉字的SSID，也可以使用中英文混合的SSID，为国内用户提供了更大的使用便利。  支持TR-069特性(CWMP)

WA2600 i系列AP支持TR-069特性，此特性方便网管人员从网络侧对位置分散的无线接入设备进行远程集中管理。TR-069是由DSL论坛(www.dslforum.org)所开发的系列技术规范之一，其全称为“CPE广域网管理协议”。  全面支持智能型有线无线一体化管理

H3C全系列无线产品都可以通过开放的网络管理协议实现基于WSM的有线无线一体化管理。

WSM是H3C在下一代业务软件平台iMC(intelligence Management Center/智能管理中心)的基础上开发的无线运营管理组件，不仅为管理员提供了灵活的组件选择，同时符合业界主流的SOA架构，具备良好的扩展性，能够满足客户网络管理不断发展的需求。基于Web的管理系统，为无线业务管理者提供了简便、友好的管理平台。与iMC智能管理平台及其它组件配合，还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理等功能，并可对网络中的其它设备进行统一管理，真正实现智能型有线无线一体化管理。 (2) 技术指标

属性 重量 WA2610 0.4Kg 28

尺寸(不包含天线接口和附件) 10/100/1000M以太网口 PoE 本地供电 Console口 内置天线 外置天线连接器 工作频段 160x160x50mm 1个 支持802.3af/802.3at兼容供电 支持48V DC 1个 内置硬件智能天线系统(工作频段：2.4G，基础增益4dBi) 2个RP-SMA型射频接口 802.11b/g/n : 2.4GHz-2.483GHz (中国) OFDM : BPSK@6/9Mbps、QPSK@12/18Mbps、16-QAM@24Mbps、-QAM@48/54Mbps DSSS : DBPSK@1Mbps、DQPSK@2Mbps、*******/11MbpsMIMO-OFDM : MCS 0-15 23dBm (部分组合) 1dBm 支持 Blink交替闪烁模式、红绿蓝不同工作状态闪烁模式、终端接入呼吸闪烁模式 -10ºC～55ºC/-40ºC～70ºC 5%~95%(非冷凝) IP31 <12.95W GB4943、EN60601-1-2(医疗)、UL/CSA 60950-1、EN/IEC 60950-1、EN/IEC 60950-22 GB9254-2008、EN301 4、EN55022、FCC Part 15、RSS-210 FCC Part 15、EN 300 328、EN 301 3、工信部无线电发射设备型号核准 FCC Bulletin OET-65C、EN 50385、IC Safety Code 6 >250000H 调制技术 发射功率(最大) 可调功率粒度 复位/恢复出厂配置 状态指示灯 工作温度/存贮温度 工作湿度/存贮湿度 防护等级 整机功耗 安全规范 EMC 射频认证 Health MTBF 2.7.5. 无线控制器 (1) 产品特点

 提供对802.11n AP的管理

WX3000系列一体化交换机在支持对传统802.11a/b/g AP管理的同时，还可以与

29

H3C基于802.11n协议的AP配合组网，从而提供相当于传统802.11a/b/g协议数倍的无线接入速率，能够覆盖更大的范围，使无线多媒体应用成为现实。  提供灵活的数据转发方式

传统的无线控制器部署一般采用集中式转发模式，AC可以对报文进行全面控制和安全监管，但所有的无线业务流量需要到AC进行统一处理，核心链路带宽和AC转发能力容易成为瓶颈。特别是AP和AC通过广域网方式进行连接时，AP作为数据接入设备部署在分支机构，而AC部署在总部，所有用户数据由AP发送到AC，再由AC进行集中转发，导致转发效率低下。

WX3000系列一体化交换机可以支持集中式转发和分布式转发，用户根据业务需要和网络实际情况可以灵活设置转发方式。  支持精细的无线用户接入控制和管理

基于MAC的认证接入控制方式，不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改，同时支持对具体用户的权限的配置，这种精细的用户权限控制大大增强了无线网络的可用度，网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。

基于MAC的VLAN同样也是WX3000系列一体化交换机的一大特色，在控制策略上，管理员可以把相同性质的用户(MAC)划分到同一个VLAN，同时在AC上基于VLAN配置安全策略，这样做既可以简化系统配置，又可以做到用户级粒度的精细管理。

出于安全性或计费等考虑，系统管理员可能希望控制无线用户接入到网络中的位置。WX3000系列一体化交换机支持基于AP位置的用户接入控制。当无线用户接入网络时，可以通过认证服务器向AC下发允许用户接入的AP列表，在AC上进行接入控制，从而达到无线用户只能接入到指定位置的AP的目的。  支持802.1x认证，MAC地址认证，Portal认证等

WX3000系列一体化交换机支持多种认证方式：

802.1x认证：WX3000系列一体化交换机支持TLS、PEAP、TTLS、MD5、SIM卡等多种802.1x的认证方式，同时还支持802.1x本地认证方式，提供对MD5、TLS、PEAP这几种主流认证方式的支持，用户不再需要额外配置AAA服务器。WX3000还支持通过802.1x认证后动态授权VLAN和ACL功能，对用户的策略可以事先设定好，用户认证时，系统自动配置客户权限。

30

MAC地址认证：WX3000支持MAC地址认证，对一些手持终端(例如：Wi-Fi Phone、手持移动终端等)并不方便采取电脑上的认证方式，MAC地址认证却可以轻松解决该问题，实现在控制器或者AAA服务器上配置好合法的MAC地址，这些MAC地址对应的终端就可以被允许被接入到网络，而事先没有被配置的非法终端则不能接入无线网络，该功能极大地方便了例如无线医疗系统等应用，MAC地址认证可以确保只有医院的PDA工作终端才能接入到无线网络，而拒绝病人的无线PDA使用专用无线网络。

Portal认证：WX3000提供内置的Portal认证服务器。该认证方式无需客户端配合，直接通过浏览器WEB Portal页面作为认证通道，当用户认证通过后，可以灵活跳转到指定访问首页并启动相应授权和计费。同时也可以根据策略要求，灵活推送定制Portal页面，达到广告宣传、信息传递的作用，广泛使用在无线校园、无线城市、访客接入等应用场景。  提供User Profile

在基于用户授权方式的网络管理中，用户通过认证，即获得访问网络的权限。授权包括控制用户可访问的网络范围，以及用户可获得的网络服务质量，如访问带宽、访问优先级。在用户移动的网络或大型网络中，为了方便网管人员开展日常的管理工作，User Profile特性提供了一种更模块化、更简单的管理方式。

管理人员将一组基于用户群或特殊用户定制的策略配置在各个用户的profile中，并且为每个用户群或特殊用户预先分配各自的profile，用户认证上线时，在用户上线的端口动态下发profile配置，使该用户能动态获得其可以访问的网络范围，访问带宽以及访问优先级；在用户下线时，取消该用户在这个端口上的配置，自动关闭该端口的特殊访问权限。

User Profile中可以下发的配置包括ACL、QoS(优先级、带宽限速、802.1p和DSCP标记)、VLAN。  支持信道智能切换

无线局域网中，信道是非常稀缺的资源，每个AP只能够工作在非常有限的非重叠信道上，比如对于2.4G网络，只有３个非重叠信道，所以如何智能地为AP分配信道是无线应用的关键。

无线局域网工作的频段存在大量可能的干扰源，如雷达、微波炉，它们在网络中的出现将干扰AP的正常工作。通过信道智能切换功能，可以保证每个AP能够分配

31

到最优的信道，尽可能地减少和避免相邻信道干扰，而且通过实时信道干扰检测，可以让AP实时避开雷达，微波炉等干扰源。  支持智能AP负载分担

WLAN网络的IEEE标准802.11协议把无线漫游的决策交给了无线客户端，无线客户端一般会根据AP信号强度(RSSI)选择AP，这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于这些客户端共享无线媒介，导致每个客户端的网络吞吐将大量减少。

智能负载分担方法可以实时地分析无线客户端的位置，动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载，通过控制无线客户端接入的AP，来实现这些AP间的负载分担。系统不仅支持按照用户在线会话数的负载分担，而且支持按照用户流量负载的分担。

 支持RealTime Spectrum Guard(实时频谱保护)模式

RealTime Spectrum Guard(RTSG)是H3C创新提出的针对无线环境频谱状态的专业监控方案。WX3000系列一体化交换机可以和内置射频采集模块的Sensor AP，实现深度融合的射频监控和实时频谱防护。

RTSG的控制台融合部署于H3C iMC智能管理中心，通过CAPWAP管理隧道，与Sensor AP进行通信和数据采集，实现7X24小时的无线环境质量监控、无线网络能力趋势评估以及非许可干扰告警。通过图形化方式，主动探测和识别所有2.4GHz/5GHz波段的射频干扰源(Wi-Fi或非Wi-Fi)，可提供实时FFT图，频谱密度图、光谱图、占空比图、事件光谱图、频道功率、干扰功率等；

可自动识别干扰源，确定有问题的无线设备的位置，确保无线网络发挥最佳的性能。结合H3C iAR智能报表组件，可实现全覆盖区内的射频质量历史记录的存储、追溯、回放等，自动生成客户化的趋势、合规和审计报告。

针对用户无线环境监管的不同层次需求，RTSG方案的部署可以灵活采用Local mode或Monitor Mode。当工作在Local Mode时，可以在获得有效的频谱防护前提下，保持正常的用户接入和数据包转发。  支持智能无线业务感知(wIAA)

WX3000系列一体化交换机支持智能感知无线业务流量，实现基于无线用户状态的弹性策略识别与管理，优化语音及视频业务承载。  支持远程探针分析

32

WX3000系列一体化交换机支持针对AP的远程探针分析功能。可以对覆盖区内的Wi-Fi报文进行侦听捕获并实时镜像到本地分析设备供网络管理员进行故障排查、优化分析。远程探针分析功能既可以针对工作信道进行无收敛镜像，也可以对所有信道轮询采样，灵活满足无线网络监控运维要求。  内置射频优化引擎(ROE)

WX3000系列一体化交换机内置针对AP的射频优化引擎(RF Optimizing Engine)，通过基于特征和协议的射频优化，有效提升无线部署中高密度接入、流媒体传输等场景中的应用加速能力和质量保障效果。其中包含：多用户公平调度、混合接入公平、过滤干扰、速率最优、频谱导航、组播增强(IPv4/IPv6)、逐包功率控制和智能带宽保障等。

 提供端到端的QoS

WX3000系列一体化交换机基于Comware平台开发，对Diff-Serv标准可以完善支持。

QoS Diff-Serv 模型中主要包括流分类、流量监管(Policing)、队列管理、队列调度(Scheduling)等，完整实现了标准中定义的EF、AF1～AF4、BE等六组PHB及业务，使网络运营商可为用户提供具有不同服务质量等级的服务保证，使Internet真正成为同时承载数据、语音和视频业务的综合网络。  支持快速的二、三层漫游

H3C公司的集中式无线架构不但能方便地实施二层漫游，而且非常有利于跨三层的漫游实现，用Fat AP部署的WLAN网络，由于AP之间传递的信息有限，导致垮三层的漫游实现及其麻烦，集中式架构非常容易解决跨三层漫游的问题，WX3000系列一体化交换机支持二、三层漫游，漫游域不受子网的。这种优秀的漫游特性，可以让客户在规划无线网络时，无需过多考虑现有网络的规划，更多关注在无线信号的覆盖即可，这种方式大大简化了前期的网络规划，减少了网络规划成本。

传统模式下，当无线用户终端使用802.1x作为802.11接入认证和密钥交互的手段时，无线用户终端和AP间的交互报文会非常的多。当无线用户终端在两个AP间漫游时，如果无线用户终端在新AP接入的过程完全遵从完整的802.1x的交互过程，势必造成漫游切换的时间过长，对于某些对漫游切换时间敏感的业务(例如语音业务)，这样的长切换时间是无法忍受的。WX3000采用Key caching技术完成漫游时用户的快速切换，Key caching技术在用户的安全接入和快速漫游间做了一个很好的平

33

衡，可以使无线用户终端在两个AP间进行漫游时不必重新进行完整的802.1x认证交互过程，同时又能保证用户身份的识别和密钥使用的连续性；无线用户采用快速漫游方式，单AC内漫游时间不超过50ms，满足了语音业务的苛刻需求。  支持多种分支机构远程接入场景

当AC和AP通过广域网链路进行连接时，用户可以灵活选择集中转发或本地转发模式，提升分支机构局域网打印访问、终端互访等业务性能。

当广域网链路发生故障或AC发生故障时，在线用户不掉线，可以继续访问本地资源，并且可支持AC逃生功能。

当分支机构也部署了认证服务器时，AP可进行本地认证。例如，当AC与AP之间链路正常时，分支机构的用户认证由总部集中完成；当AC与AP间链接意外断开后，AP可以使用分支机构本地认证服务器为新上线的用户认证。 (2) 技术指标

产品类型无线交换机 应用层级三层 传输速率10Mbps/100Mbps/1000Mbps/10000Mbps 交换方式存储-转发 背板带宽88Gbps 包转发率65.47Mpps MAC地址表16K 端口结构非模块化 端口数量24个10/100/1000M电口、4个千兆SFP Combo口 扩展模块2 传输模式支持全双工 网络标准IEEE802.1p、IEEE802.1q、IEEE802.1x、IEEE802.11、IEEE802.11b、IEEE802.11a、IEEE802.11g、IEEE802.11d、IEEE802.11h、IEEE802.11i、IEEE802.11e、IEEE802.11n 网络协议CAPWAP、Ping、TraceRT、DHCP Server、DHCP Client、DHCP Relay、DHCP Snooping、DNS Client、NTP、Telnet、TFTP Client、FTP Client、FTP Server VLAN支持 QOS支持 网络管理SNMP V1/V2/V3，WEB管理，SYSLOG 安全管理支持 电源电压AC:额定电压范围:100V～240V AC;50/60Hz、最大电压范围:90V～2V AC;47/63Hz;DC:额定电压范围:-52V～-55V DC、最大电压范围:-36V～-72V DC 产品尺寸440×429×43.6 产品重量<7.2 环境标准工作温度:0℃-45℃,工作湿度(非凝露):10%-95%,存贮温度:-40℃-70℃,存贮湿度:5%-95%(非冷凝) 34

主要参数 端口参数 功能特性 其它参数

其它参数24口支持PoE+远端供电(每端口最大25W，整机最大提供370W功率，外接RPS电源可支持600W功率) 支持RPS电源 其它特点可管理AP数:48个

35