华为整体网络解决方案
WLAN技术的发展日新月异,新技术、新标准层出不穷,除了呼之欲出的802.11n,在教育行业一个重要的门槛技术是IPv6。所有的无线产品和解决方案都要为未来的升级和应用做好准备。
应用问题:
随着WLAN技术的逐步成熟,市场上各种各样的WLAN终端如笔记本电脑、PDA、双模手机、支持Wi-Fi的游戏机、即拍即传的数码相机如雨后春笋般涌现出来,同时价格越来越低,普及程度越来越高,使得无线新业务在园区网中的丰富应用成为可能。如何在无线网络这个开放的平台上开展丰富的业务是建设者必须要考虑的问题。例如VoWiFi、无线监控等业务,解决了园区内部和各园区之间通讯费用高、无线监控和无线多媒体教学的问题,让无线接入变得更有价值。
3.1.4.2 无线网络解决方案
管理中心 室内型热点无线覆盖 无线交换机 无线管理中心 运营管理中心 室外型热点无线覆盖
园区有线骨干网 PoE供电接入 办公楼 无线业务应用 职工公寓 移动数据业务 Wi-Fi语音漫游
华为无线网络解决方案有效实现了有线和无线网络的融合,通过统一的硬件平台、统一的网络管理、统一的用户管理、统一的应用安全,为园区用户提供安全的无线接入。根据用户需求,通过在华为系列交换机中加入无线控制器插卡或
____________________________________________________________________________________________ 神州数码(中国)有限公司 47 - 11
华为整体网络解决方案
者使用单独的无线控制器,就可为原有的有线网络提供无线支持,还可以像扩展和管理传统有线网络一样,对无线网络进行扩展和管理。
可以收到无线信号的地方立即访问各种网络服务。 ? 安全性、高QoS保障
华为园区网络WLAN解决方案从用户接入安全、网络安全、设备安全等多个方面保障无线网络的安全,使园区用户安全可靠的使用WLAN网络。
用户接入安全:华为园区WLAN解决方案提供了多样化的用户接入认证以及加密解决方案。无线接入认证主要支持基于MAC地址认证、802.1x认证、Portal认证等保证用户安全合法的接入,支持WEP/TRIP/CCMP等加密措施防范无线接入用户数据被盗。同时可以通过部署VLAN隔离、端口隔离等业务隔离技术避免用户间相互影响。
网络安全:通过接入点对RF 环境的不间断扫描和监控,防止企业受到未经授权的不安全的WLAN 接入点或恶意接入点的影响。
设备安全:无线接入点AP提供“零配置”功能,无需在设备保存业务配置,仅启动的时候自动从无线控制器加载业务配置,这样可以避免设备丢失造成配置泄漏而形成对无线网络的安全威胁。
园区WLAN解决方案可以通过虚拟AP&VLAN构建一个单独的访客网络为客户、供应商等访客人士提供互联网服务访问权限。
对于不同SSID承载的用户业务,由于无线空口资源有限,若某个SSID流量过大,比如访客访问Internet,则可能造成园区用户的不能正常访问无线网络开展业务。因此基于SSID的限速,可以避免其中一种业务流量过大对其他业务造成影响。
另外,基于快速漫游技术可以实现园区无线用户一次认证移动接入。用户移动到新的接入点时,如果用户之前已经认证过,则用户此时无需再次通过安全认证,直接接入,保证用户业务的连续性。
? 部署方便、扩展灵活
WLAN网络部署简化,安装便捷。WLAN的安装工作简单,它无需施工许可证,不需要布线或开沟挖槽。设备的零配置部署功能可以在无线改造现有网络的基础上轻松部署WLAN。
____________________________________________________________________________________________ 神州数码(中国)有限公司 47 - 12
华为整体网络解决方案
无线控制器能轻松的管理数个到数十个甚至上千个的无线接入点。随着无线网络的扩展,新添加的无线接入点能自动检测到无线控制器,并下载相应的配置信息以及策略信息,无需任何手动操作。
? 统一的网络管理、智能运维
统一的网络管理设备可以实现有线无线网络的统一化管理,简易网络管理操作,结合智能化的网络运维提升了网络管理效率。
无线接入点能够监控环境温度变化,当环境温度低于零下10℃时,启动加热板,确保低温时的正常工作。而且无线接入点检测到电压将要无法供应的情况下(复位或故障),上报该告警,描述最后的工作状态,方便故障定位。
? 稳定性
华为 WLAN稳定性解决方案从无线控制器的可靠性,接入交换机供电的可靠性、无线信号的可靠性这几方面入手,极大的提高了WLAN网络的可靠性;在实际的使用情况来看,启用这些措施之后,WLAN的可靠性能够得到明显的提升。
? 全面的PoE解决方案
PoE设备的原理是通过非屏蔽双绞线中四对线中的两对线来传输电源,传输数据的同时传输直流电。因为AP往往要求使用不间断电源(UPS)供应电力,采用PoE设备,AP端仅仅通过一根RJ-45网线与网络连接即可以同时传输数据和电力,因此在使用PoE设备的情况下,所有的AP都使用一个UPS在PoE设备端进行保护。如果不使用PoE设备,就需要给每个AP配一个UPS,而且还需要在AP附近安装电源插座,增加了成本。因此使用PoE设备将大大降低设备成本和管理成本。
PoE具有非常明显的优势,具体如下:
简化安装,降低成本,不需为每个网络设备单独提供数据和电力线缆。 灵活性提高,网络装置可被安装在任何位置,而不需靠近一个已存在的电源输出口。
可靠性增强,有SNMP能力的PoE装置,可实施远程检测和控制,能有效地处理或修理装置的耗电量和(或)失效故障。
____________________________________________________________________________________________ 神州数码(中国)有限公司 47 - 13
华为整体网络解决方案
3.2 高可靠性设计
3.2.1 网络高可靠性设计
针对二层接入(接入交换机是二层交换机、汇聚交换机作为用户网关)典型园区网架构,从接入层、汇聚层、核心层来分层考虑网络可靠性设计。
接入层网络是二层网络,接入交换机与汇聚交换机之间通过Smart Link/STP/RSTP/MSTP/RRPP保证网络可靠性,同时解决二层网络环路问题;汇聚层交换机之间通过VRRP(BFD for VRRP)协议确定用户的主备网关,交换机互联通过TRUNK链路,保证链路级可靠性,汇聚交换机与接入交换机之间可通过DLDP协议检测光纤单向故障(单通故障)。
园区网接入/汇聚/核心交换机通过虚拟化技术进行集群(或堆叠),将两台/多台交换机虚拟化成一台交换机,降低网络拓扑复杂度的同时,提高网络可靠性,是未来高可靠性园区网的发展趋势。
3.2.2 设备高可靠性设计 3.2.2.1 重要部件冗余
设备本身要具有电信级5个9的可靠性,需要网络设备支持: ? 主控1:1备份
? 交换网1+1/1:1两种方式
? DC电源1+1备份;AC电源1+1/2+2备份 ? 模块化的风扇设计,高端配置支持单风扇失效 ? 无源背板,高可靠性
? 独立的设备监控单元,和主控解耦
____________________________________________________________________________________________ 神州数码(中国)有限公司 47 - 14
华为整体网络解决方案
? 所有模块热插拔 ? 完善的各种告警功能 ? 设备管理1:1备份
3.2.2.2 设备自身安全
如下图所示,随着黑客工具的泛滥和使用的方便,使的网络攻击的成本越来越来,但危害越来越大。
这就要求具有强大灵活的自身防护功能,以不变应万变的方法,才能抵挡日益泛滥的网络攻击。
华为公司全系列园区网交换机(S9300/S7700/S5700/S3700/S2700)提供攻击防范功能,能够检测出多种类型的网络攻击,并能采取相应的措施保护设备自身及其所连接的内部网络免受恶意攻击,保证内部网络及设备的正常运行。
华为全系列交换机支持的攻击防范功能包括防DDOS攻击、IP欺骗攻击、Land攻击、Ping of Death攻击、Teardrop攻击、ICMP Flood攻击、SYN FLOOD攻击等。
另外,以太网交换机的MAC地址表作为二层报文转发的核心,在受到攻击的时候,直接导致交换机无法正常工作。发生MAC地址攻击的时候,攻击者通过不停的发送MAC地址来刷新,填充交换机的MAC地址表,由于MAC地址
____________________________________________________________________________________________ 神州数码(中国)有限公司 47 - 15