四、主要设备选择及性能指标
4.1无线控制器WX3010
货物名称 技术参数及性能要求
H3CWX3010无线控制器 1. 整机交换容量>=20G，包转发率>=14Mpps
2. 接口要求,8个10/100/1000M端口，2个千兆SFP光口
3. 支持802.3af POE供电标准，可选支持POE+供电
4. 管理12个AP，可通过软件license扩展支持管理24个AP
5. 支持集中式转发
6. 射频管理,自动调整功率和信道，故障AP覆盖黑洞补偿，检测覆盖黑洞
7. 支持2K MAC地址
8. 支持4K VLAN，Guest VLAN，支持Voice VLAN，基于协议的VLAN，基于SSID的VLAN，基于MAC的VLAN
9. 支持STP/RSTP/MSTP，支持LACP
10. 支持静态路由、RIPv1/v2
11. 支持单向链路检查协议，监控光纤或铜质双绞线的链路状态，支持SMART LINK
12. 支持扩展ACL，支持L2 ACL,根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则，支持时间段ACL，支持VLAN ACL ，支持8个优先级队列/端口，支持动态ACL规则下发
13. 支持高级加密标准(AES)、临时密钥交换协议（TKIP）以及有线对等加密（WEP）、支持WPA及WPA2加密算法*
14. 防止ARP 欺骗攻击
15. 支持Portal认证、802.1x认证、MAC地址认证、PPPoE认证
16. 支持无线客户端安全端点准入，实现桌面安全，可以根据无线客户端的桌面系统补丁信息及病毒检测信息保证无线终端接入安全
17. 支持本地认证服务器
18. 支持内置PORTAL SERVER
19. 支持DHCP Server
支持WEB管理，支持SSH管理，支持CLI、SNMP V1/V2/V3
4.2  无线接入点EWP-WA2110-AG
货物名称 技术参数及性能要求
H3C WA2110-AG无线AP 1. 支持最高速率为54Mbps
2. 支持双频多模：可以工作于WLAN的2.4GHz频段或5GHz频段之上，支持802.11b/g或802.11a协议。
3. 支持内置信道数：802.11a： (中国)5个信道,802.11b/g： (中国)13个信道
4. 自带天线支持以下室内覆盖范围：802.11a 大于60M；802.11b 大于125M；802.11g 大于 95M
5. 支持虚拟AP，单个AP可支持不小于16个可广播SSID。
6. 支持虚拟专用组，通过相同SSID的子网或VLAN单独实施加密和隔离。
7. 支持802.1x认证。
8. 支持WEP，Dynamic WEP，TKIP，CCMP，AES等数据加密技术。
9. 支持PSK，PSK＋MAC authentication，802.1x＋11Key handshake，WPA等密钥技术。
10. 支持射频扫描，能发现非法接入点、Ad-Hoc用户或其他射频干扰，并上报相应的告警。
11. 支持IPV6。
12. 支持CAPWAP标准。
13. 支持直连或通过L2/L3方式连接到无线局域网控制器。
14. 支持零配置。无需准备预设置，从无线局域网交换机或控制器获取配置信息。
15. 支持自动设置发射功率和分配射频信道。
16. 支持版本自动升级。
17. 支持防盗防入侵，本地不保存任何配置信息。
18. 支持低功耗，单个AP功耗小于8W。
19. 支持本地供电和PoE供电。
支持 -40℃~70℃(不结露)
五、系统架构
5.1 接入部分
无线网络的建设是在公司有线企业网络之上，进行无线网络扩充。网络通过网关提供的网络出口接入Internet。无线网络的主要覆盖大楼一到四层，让公司内的使用者可以随时随地、无拘束的连接到网络。该企业内具有完善的有线网络结构，新的无线网络建设要求在网络互联、安全防御等方面与有线网络进行良好的兼容和互补，并在无线网络认证方面无缝融合。
在整体无线网络的规划中，始终以高效、稳定、安全为总体设计目标，同时保证易于使用、用户界面统一、标准，表现力强；易于安装和维护，网络运行质量高；开放性好，便于移植、扩展和推广；具备较好的性能价格比，并在几年内保持解决方案与技术上的领先，为用户提供一个灵活的移动教学和办公的“平台”, 对用户和无线网络进行有效的管理，构建了一个稳定的、可拓展的无线企业网环境。
5.2 安全控制机制选择
在有线以太网技术的发展历程中，越来越多的面向访问端和服务端的安全技术被开发出来并得到了成熟运用。而对于无线网络而言，由于其利用空中载波信道作为传输载体，其物理层与数据链路层工作原理与有线网络有所不同，其所遵循的安全策略也与有线网络截然不同。在校园级无线网络的规划中，由于信号的覆盖将会带来众多的未知访问者试图进行的访问连接，无线网络如何从中识别出合法的用户，避免非法用户利用无线网络的安全隐患入侵整个网络，往往成为了无线网络规划者需要解决的难点。
在目前面向行业级的WLAN产品的安全技术中，越来越强调单机安全策略的强化，以及与有线网络安全互补的核心思想。其中，SSID禁止广播、WEP机密、WPA认证、802.1X认证、EAP-TLS扩展认证、VLAN划分等一系列技术的运用，将有效的提高无线网络的安全防御能力。本此规划中，将按照层次化的设计理念，完成公司的无线网络安全需求。智达康的室内型和室外型网络设备均支持SSID禁止广播、WEP机密、WPA认证、802.1X认证、EAP-TLS扩展认证、VLAN划分技术，可提供完备的安全防御能力。
SSID（无线标识符）是用于无线终端与接入点匹配以获得通信的明文密码，对于初级安全防范有一定作用，且配置快速简单，非常适合室外无线覆盖使用。尤其是启用了目前先进的SSID广播禁止功能之后，由于空中不再广播明文的SSID号码，使得那些拥有截获SSID密码的无线终端非法访问网络。
另外，WEP（有线等效密钥）和WPA/WPA2（接入保护）技术的出现，可以通过大量的密文加密位和动态的密钥协议（TKIP/AES），为非法访问者制造难以攻破的障碍，从而避免网络安全事件的发生。在校园无线网络规划中，由于目前校园有线网络已具备一定规模，因此，在无线网络融合进有线网络进行数据交换之前，通过WEP和WPA加密技术可以增加一层保护手段，可以极大的提升安全防御的能力。
另外，对于室内/室外型AP产品，由于其分别开放于室内高密度访问和室外环境，面对的是所有用户群体，对不同的用户群体的权限和身份识别则成为必须的功能。因此，AP产品应选择具备多BSS的划分和802.1Q VLAN功能的无线产品，协助接入层无线用户与接入层交换机用户同样接受全网统一管理和VLAN的划分，这样可以彻底解决无线用户无法管、不方便管的疑难问题。
5.3 认证方式（WX3010控制器内置认证系统）
   提供基于AP位置的用户接入控制
出于安全性或计费等的考虑，系统管理员可能希望控制无线用户接入到网络中的位置。H3C WX3010无线控制器支持基于AP位置的用户接入控制。当无线用户接入网络时，可以通过认证服务器向US下发允许用户接入的AP列表，在US上进行接入控制，从而达到限制无线用户只能接入到指定位置的AP的目的。
提供精细的无线用户管理
基于MAC的认证接入控制方式，不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改，同时支持对具体用户的权限的配置，这种精细的用户权限控制大大增强了无线网络的可用度，网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。
基于MAC的VLAN同样也是WX3010无线控制器的一大特色，在控制策略上，管理员可以把相同性质的用户（MAC）划分到同一个VLAN，同时在US上基于VLAN配置安全策略，这样做既可以简化系统配置，又可以做到用户级粒度的精细管理。
提供内置802.1x认证服务和内置Portal认证服务
H3C WX3010无线控制器内置802.1x认证服务，支持TLS、PEAP、MD5等多种802.1x的认证方式。在中小型企业用户不需要计费功能，而只需接入控制和数据加密要求时，可利用内置的Radius服务直接在设备上完成802.1x认证功能，免去了复杂的AAA服务器部署过程，既经济又省事。H3C WX3010无线控制器还提供内置的Portal服务器，解决了不便于安装客户端用户的安全认证问题。

5.4覆盖部分整体规划
主控机房核心交换机旁，挂H3C WX3010进行无线AP控制和管理。
室内方式覆盖，采用H3C采用H3C WA2110-AG进行覆盖，具体定点见草图。AP供电视实际状况，尽量就近取电和网络向，少量通过POE方式供电。
5.5 负载均衡功能的重点应用
无线网络中的各个AP具有负载均衡功能，可根据系统的用户数或是流量这两种方式均衡各个AP上的负载，避免某个AP上的负载过大，而使某个区域的无线网络性能下降，造成链路不稳定，通过负载均衡调节后的无线网络，具有更好的网络性能，能够为更多的无线终端提供良好的无线性能，保障无线网络的性能。
5.6 无线网络的拓扑图

七、设备清单