无线方案

1.xxx办公区域无线网络建设需求

1.1需求分析

为了满足办公区域网络的灵活、方便。xxx想在办公区域实现有线和无线网络的全部接入。其中包括大型视频会议室、小型会议洽谈室、经理办公室和多个部门的办公室。要求在办公区域内无线网络不间断传输。

1.2建设原则

xxx办公区域无线网络设计必须适应当前英利整体信息化各项应用，又可面向未来信息化发展的需要，因此必须是高质量的。在设计网络时，需要遵循以下原则：

（一） 实用性和先进性

采用先进成熟的技术满足英利办公区域大规模数据业务需求，兼顾其他相关的管理需求，尽可能采用先进的网络技术以适应更高的数据、语音、视频（多媒体）的传输需要，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息化的发展的需要。

（二） 安全可靠性

为保证各项业务应用，网络必须具有高可靠性，尽量避免系统的单点故障。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上，在网络设计方案中要应用网络管理手段，保证接入网络用户身份的合法性；采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。

（三） 灵活性和可扩展性

英利办公区域网络系统是一个不断发展的系统，所以它必须具有良好的灵

1

活性和可扩展性，能够根据英利信息化不断深入发展的需要，方便灵活的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力，提供技术升级、设备更新的灵活性。

（四） 开放性和互连性

英利办公区域网络应具备与多种协议计算机通信网络互连互通的特性，确保网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准，包括各种局域网、广域网、计算机等，坚持统一规范的原则，从而为未来的发展奠定基础。IP地址设计须遵循计算机网络TCP/IP地址编码规范；设备及端口模块、光网卡的选型必须满足国内外相关的技术标准，并保证与业界主流的网络设备厂家的设备互联、互通。

（五） 经济性和投资保护

应以较高的性能价格比构建本计算机网络系统，使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转，提供高效能与高效益。尽可能保留延长已有系统的投资，充分利用以往在资金与技术方面的投入。

（六） 可管理性

由于英利信息网络系统本身具有一定复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重。所以在网络设计中，必须建立一套全面的网络管理解决方案。网络设备必须采用智能化、可管理的设备，同时采用先进的网络管理软件，实现先进的分布式管理。最终能够实现监控、监测整个网络的运行情况，合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护工作，从而为办公、管理提供最有力的保障。

2

2.xxx办公区无线网络系统设计

2.1网络设计方案

我们建议本次英利无线网络建设项目，选用先进的、超前的、满足现在及今后几年网络发展需求。解决办公区域无线网络多协议接入和办公区域无线网络不间断传输。

2.1.1英利办公区域无线网络设计及网络组网说明

在xxx办公区无线网络建设中，采用可同时支持802.11a/b/g/n协议的WA2620-AGN AP,考虑到施工环境的去本地取电的困难情况，我们都采用POE供电，所以我们选千兆POE供电交换机。同时还考虑到该项目的AP数目较多，在管理控制AP的同时还对所有数据的处理。我们采取华三5800交换机插无线控制模块的方式。再由s5800 到现有英利核心交换机，最后通过路由器出去访问internet。

英利无线网络拓扑图：

3

三、网络组网说明：

图1. 根据用户需求客户端的AP都采用可同时支持802.11a/b/g/n协议的

WA2620-AGN。同时客户要求施工环境的美观。我们只能把AP放在天花板上。又考虑到取电问题，我们全部用支持POE供电的交换机S5120-28C-PWR-EI。所以无线AP都是通过六类线连接到带POE的交换机。咱们的接入交换机都是在分机房。分机房到核心机房的光缆已经都布置好。所以我们从分机房的接入交换机到核心交换机都是通过单模模块光缆连接。核心交换机采用S5800-60C-PWR。插无线功能模块办卡，可以默认支持64个AP。S5800通过千兆电口连接到英利现

有的核心。

4

在核心交换机上开启一个接口，用于S5800-60C-PWR的上行链路，S5800-60C-PWR下行连接H3C WA26200-AGN，用户可以使用笔记本或其他WiFi终端通过WA26200-AGN 连接到项目的WLAN网络中。S5800-60C-PWR在网络中起到如下几个作用：

 作为48口POE+交换机使用。

 作为无线控制器，对FIT AP进行统一的智能管理。  作为Portal Server，为项目用户提供接入认证。

FIT AP组网最大的优点在于AP本身零配置，AP上电后会自动从无线控制器下载软件版本和配置文件，同时无线控制器会自动调节AP的工作信道以及发射功率。另外，通过无线控制器的RF扫描探测热点地区Rouge AP，可以及时排除其他AP存在的干扰，保障AP的稳定运行。在网络管理方面，网管可以只通过管理无线控制器设备就可以达到控制AP的效果，极大的减少了无线网络后期维护和管理的工作量。

使用无线控制器+FIT AP时，AP在启动后会自动通过DHCP方式获取IP地址，并自动搜寻可关联的无线控制器，在和无线控制器建立CAPWAP隧道之后会自动从无线控制器下载配置文件和更新软件版本。

在AP的接入方面，H3C拥有智能射频管理，当某一个AP出现故障时，周围的其他AP会自动调整功率，对该部分区域进行重新的信号覆盖，保证信号的良好覆盖。而当有非法AP进入无线网络造成信号干扰时，H3C只能射频管理系统可以定位出该AP的位置，以便及时加以排除。

图2. FIT AP自动射频调整功能示意图（可用Visio打开）

无线控制器可以设定AP间对接入用户进行负载分担，当无线控制器发现

5

AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP。如图所示。

图3. H3C WLAN智能负载分担

H3C公司创新性地支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误均衡的出现。

图4. H3C WLAN智能负载分担

H3C FIT AP方案还支持无线入侵检测。当有第三方的AP仿冒SSID时，无线控制器会通过AP的反馈，迅速得到相应的信息，并上报网管，采取相应的信息。管理员还可以对该设备发起攻击，使该第三方设备无法连接上相应的用户。

6

图5. H3C无线入侵检测示意图

四、 用户接入认证方案

xxx办公区域无线网络建设需求项目项目对安全有着一定的要求，必须能够防止系统外部成员的非法侵入以及操作人员的越级操作，尽量避免计算机犯罪问题的发生。由于WLAN网络与有线网络不同，用户可以随时随地的接入网络，故不能像有线网络那样通过网口限制用户的身份，必须使用一定的认证手段。H3C 无线控制器支持多种认证方式，如MAC地址认证、802.1x认证和Portal认证等。本项目推荐使用Portal认证方式。

使用Portal方式的优点是无需客户端，用户做好WLAN连接后，只需打开Web页面就能够进入Portal认证页面。此时除了能够方便的认证外，还可以推送Web页面，发布最新的项目信息，并可以向用户推送相应的广告，给XX项目带来额外的利润。 4.1 H3C方案的优点

 有线无线一体化的WLAN产品线，简化维护工作，节约运行成本

H3C WLAN提供有线无线一体化解决方案，一体化的特点主要体现在以下几点：

1、 H3C在S7500,S7500E,S9500核心交换机上支持无线控制器模块，

直接把无线控制器融入核心交换机，目前H3C S7500,S7500E,S9500，华为S6500，S8500核心交换机都可以支

7

持无线控制器业务模块，从而实现真正的有线无线一体化； 2、 H3C 所有的WLAN产品和现网上数量众多的有线产品使用相同的

软件平台，同样的特性，在不同的产品具有相同的命令行，这样用户维护有线产品和无线产品时，不需要熟悉两套完全不相同的操作方式，大大提高的工作效率，减少了技术人员的工作量。 3、 管理特性上，H3C iMC智能管理中心能够使用同一套管理软件同时

管理有线产品和无线产品，而不是象其他WLAN厂商那样，有线和无线使用不同的网管系统；另外同一套网管系统意味着VLAN，QoS等都可以统一部署，减少了系统管理的复杂性。

4、 在用户管理方面，H3C CAMS可以统一管理有线用户和无线用户，

可以实现对用户的认证、鉴权、计费，达到有线业务和无线业务统一部署的目的。

 AP零配置

无线控制器＋FIT AP控制架构对设备的功能进行了重新划分，其中无线控制器负责无线网络的接入控制，转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制；FIT AP负责802.11报文的加解密、802.11的PHY功能、接受无线控制器的管理、RF空口的统计等简单功能。H3C公司在支持这种新的网络架构时将一些新的智能功能集成进FIT AP和无线控制器中，以便于给用户呈现统一的网络管理接口：

1、 FIT AP的配置保存在无线控制器中，FIT AP启动时会自动从无线控

制器下载合适的设备配置信息

2、 FIT AP需要能够自动获取IP地址，同时FIT AP需要能够自动发现可

接入的无线控制器，并对无线控制器和FIT AP之间的网络拓扑不敏感

3、 无线控制器支持FIT AP的配置代理和查询代理，能够将用户对FIT

AP的配置顺利传达到指定的FIT AP设备，同时可以实时察看FIT AP的状态和统计信息

4、 无线控制器保存FIT AP的最新软件，并负责FIT AP软件的自动更新 H3C公司通过这一全新的网络管理接口可以很好的解决目前型WLAN网络组网中存在的管理问题：

1、 用户只需要建立业务参数模板和设备参数模板，并设定指定的AP

8

引用这些模板，当FIT AP启动时无线控制器会根据预先的配置引用信息给FIT AP下发配置，用户的配置工作量大大减少。

2、 用户对FIT AP的管理是通过无线控制器来代理完成，网管不再关心

FIT AP的IP地址，FIT AP和无线控制器之间的关联是自动完成，不再需用户对AP进行的配置干预。

3、 无线用户的数据报文被FIT AP封装在AP和AC间的数据隧道中，接

入AP的边缘网络不需要再为无线用户的接入而更改VLAN和ACL等配置

4、 无线控制器保存了所管理的FIT AP的运行状况和在线用户统计信

息，维护人员只需登录到指定的无线控制器就可以完成信息察看。用户对FIT AP的管理是通过无线控制器来代理完成，因此在线更改服务策略设定和安全策略设定也不再需要逐一登录到AP设备，而只需要登录到指定的无线控制器就可以完成设置，无线控制器会自动把新的配置下发到指定的FIT AP。

5、 用户不再需要手动逐一对AP设备进行软件升级，AP在每次重新启

动时会自动比较当前运行的版本和无线控制器上保存的版本，如果无线控制器上保存的版本更新，FIT AP会自动更新本地的软件影像。

AP本地不再保存配置信息，即使设备丢失也不存在因配置丢失而出现的安全隐患。 4.2 无线网络规划 4.2 .1频率规划

目前针对WLAN来讲，2.4G具有3具不重叠的信道，针对5.8G具有5个不重叠信道，但由于网络用户具有一定的不确定性，故网络覆盖时所需要的WLAN网络空间都要进行2.4G与5.8G的频率覆盖，从网络规划的角度出发，主要考虑2.4G与5.8G二个频率的覆盖设计，针对2.4G的频率的信号衰减模型主要采用如下：PathLoss(dB) = 46 +10* n*Log D（m），而对于5.8G的信号衰减模型：PathLoss(dB) = 32.4+20*lg f[MHz]+ 20*lgd[KM] +a * d[KM]，以上二信号衰减模型进行网络的设计，到具体网络实施时要进行工勘与优化，而对于信道主要采用1、6、11三个信道交错使用，具体的面覆盖逻辑示意图如下：

9

图6. WLAN2.4G信道规划示意图

4.2.2 频率复用

图7. 无线覆盖示意图

针对频率复用的设计与实现主要侧重于重叠区域，考虑到802.11技术中目前业界主要采用DCF的仲裁，这样会导致从网络实施的角度出发，没有办法做到像GSM、3G网络的控制力度，从技术原理的角度出发，没有办法实现很好的频率复用，只能被动做些负载均衡的功能。每个AP具有54Mbps、48Mbps、36Mbps、18Mbps等的覆盖范围，对于54Mbps的覆盖范围不重叠，对于54Mbps与18Mbps就可能进行重叠，可以根据网络侧的负载功能进行实现一定程度的频率复用功能，从网络规划的角度出发，WLAN基本上、下行无线链

10

路复用的处理问题，因为目前都是DCF方式，而从只能结合业务目标实现网络覆盖效果，具体网络使用效果使用负载均衡功能进行实现。

负载均衡的功能实现具体原理如下：

1. 根据负载均衡的配置确定负载均衡的模式、SSID、其他参与负载均衡

的AP的标识、用户数或流量的阀值等进行一定的初始化； 2. 确定本AP的2个射频模块连接的STA用户数量和流量；

3. 通过UDP协议以私有方式定时进行AP间通讯。先进行握手，成功

后才进行数据的交换，获取参与负载均衡的AP的负载信息。 4. 当有STA要接入时，根据其工作频率，比较本AP上该射频下的负载

和其他AP的指定SSID下的用户数或流量，以及负载均衡的SSID绑定接口的速率集，决定STA能否接入。同时要注意到若用户数已达到AP某个SSID的最大用户数，则该AP的SSID不允许再接入STA；

4.2.3 AP容量规划

从业界实现的DCF方式来看，没有一个最大用户数的限制，但业界各个厂商进行实现时都基于一定理解的前提下进行默认限制，H3C目前每个AP最大的用户默认限制为64个用户，并可以根据实际情况更改每个AP限制接入的用户数。根据多年的WLAN部署经验，H3C建议，从网络规划的角度出发，按照每个AP覆盖25～30用户进行部署，可以保证用户的接入质量和正常需求下的网络吞吐量。

五、xxx办公区域无线网络设备 5.2.1核心交换机设备概述

产品概述

H3C S58系列交换机是H3C公司自主开发的下一代数据中心级万兆以太网交换产品。分为S5800、S5810和S5820X三个子系列，为数据中心提供丰富的服务器接入方案。也可以用于园区网的汇聚层或接入层以及中小企业核心。

11

S5800系列支持H3C创新的IRF2（Intelligent Resilient Framework 2，第二代智能弹性架构）技术，用户可以将多台S5800交换机连接，形成一个逻辑上的独立实体，从而构建具备高可靠性、易扩展性和易管理性的新型智能网络。包括以下型号：



l S5800-60C-PWR：48个10/100/1000Base-T以太网端口（中功率PoE），4个100/1000 M SFP端口，2个以太网端口扩展插槽，1个（Open Application Architecture，开放业务架构）OAA插槽；

5.2.2交换机设备特点：

灵活的端口扩展能力

随着用户端带宽不断提高，服务器万兆网卡的应用越来越广泛，交换机需要提供更高的转发性能和万兆端口扩展能力。H3C S58系列交换机支持业内最高的万兆端口密度，单台设备可以按需扩展至最多24个全线速转发的万兆端口。此外，该系列产品还可以提供灵活的千兆接入端口，可以提供16个千兆光接口

12

或者电接口扩展模块，单台设备可以按需扩展至最多84个全线速转发的千兆端口，满足大型网络汇聚或中小网络核心对于光电混合配置的要求。 智能弹性架构

H3C S5800/S5820X系列交换机支持IRF2（第二代智能弹性架构）技术，在扩展性、可靠性、整体架构和可用性方面具有强大的优势，主要体现在四个方面：



l 扩展性：IRF技术允许交换机利用互联电缆实现多台设备的扩展；具有即插即用、单一IP管理，同步升级的优点，同时大大降低系统扩展的成本。



l 可靠性：通过专利的路由热备份技术，在整个IRF组内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发，极大的增强了IRF组的可靠性和高性能，同时消除了单点故障，避免了业务中断。



l 分布性：通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率。



l 可用性：通过标准的万兆以太网接口实现智能弹性架构，可以根据需求分配业务带宽和系统连接带宽，合理分配本地流量与上行流量；不仅可以实现机架内、跨机架，甚至跨区域的远距离智能弹性架构。

强大的缓存能力

13

针对于数据中心大流量数据无阻塞传输的要求，H3C S58系列可以提供强大的缓存能力，并且支持先进的缓存调度机制可以保证设备缓存能力有效利用的最大化。

完善的安全控制策略

H3C S58交换机支持集中式MAC地址认证、802.1x认证、PORTAL认证、EAD快速部署，支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定，同时实现用户策略（VLAN、QoS、ACL）的动态下发；配合H3C公司的CAMS系统对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为。

H3C S58系列交换机提供增强的ACL控制逻辑，支持超大容量的入方向和出方向ACL，并且支持基于VLAN的ACL下发，在简化用户配置过程的同时，避免了ACL资源的浪费。另外，S58系列还将支持单播反向路径查找技术（uRPF），原理是当设备的一个接口上收到一个数据包时，会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由，即验证了其真实性，如果不存在就将数据包删除，这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。 多重可靠性保护

H3C S58系列交换机还具备设备级和链路级的多重可靠性保护。采用过流保护、过压保护和过热保护技术。所有机型支持电源冗余，其中部分机型支持内置冗余电源模块和模块化风扇组件，所有机型接口板，电源模块以及风扇模块均

14

可以热插拔而不影响设备的正常运行。此外整机还支持电源和风扇的故障检测及告警，可以根据温度的变化自动调节风扇的转速，这些设计使我们这款盒式交换机具备了机柜式交换机的高可靠性。

除了设备级可靠性以外，该系列还支持丰富的链路可靠性以外，还支持丰富的链路可靠性技术，比如华三通信独创的RRPP快速环网保护机制，VRRPE和Smart link。当网络上承载多业务、大流量的时候也不影响网络的收敛时间，保证业务的正常开展。 中功率PoE

H3C S5800系列交换机支持PoE（Power over Ethernet）技术，通过以太网对所连接的设备（如IP Phone, Wireless AP等）进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。不仅可以提供遵从IEEE 802.3af标准的每端口15.4W的功率，还支持中功率PoE技术，每端口可以提供最高30W的输出功率，满足包括无线802.11n AP以及部分可视IP电话等大功率PD设备的使用要求。 出色的管理性

H3C S58系列交换机支持丰富的管理接口，例如Console、带外网口、USB口，支持SNMPv1/v2/v3，支持Open View等通用网管平台以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，集群管理，使设备管理更方便，并且支持SSH2.0、SSL等加密方式，使得管理更加安全。

15

H3C S58系列交换机支持NetStream功能，以及SPAN/RSPAN/ERSPAN镜像和多个镜像观察端口，可以对网络流量进行分析以采取相应管理维护措施，使原本不可见的网络业务应用流量变得一目了然，可以为用户提供多种网流分析报表，帮助用户及时优化网络结构，调整资源部署。 开放业务架构

H3C S58系列交换机采用了H3C的开放业务架构（OAA），不仅可以提供传统交换机的二、三层报文转发的功能，而且可以集成包括防火墙，IPS，无线控制器等高性能多业务模块，使S58交换机成为一个多业务的承载平台。

5.2.3交换机设备规格：

项目 外形尺寸（长×宽位：mm） 重量 󰀀 18kg 440×465 ×高）（单×86.1 7 ×43.6 󰀀 6.5kg S5800-60C-PWR S5800-56C 440×36S5800-56C-PWR S5800-32C 440×427 ×43.6 󰀀 8.5kg 440×367 ×43.6 󰀀 6.0kg S5800-32C-PWR S5800-32F 440×427 ×43.6 󰀀 8kg 441×427 ×43.6 󰀀 8.5kg 1个管理端口 1个Console口 1个Console口 1个Console口 1个Console口 1个Console口 Console口 1个带外网管口 USB接口 1个 48个10/100/1000 固定业务端口 Base-T以太网端口（PoE），4个100/1000M SFP端口， 以太网端口扩展插槽 2个（前面板） 1个（后面板） 1个（后面板） 1个（后面板） 1个（后面板） 1个 48个10/100/1000 Base-T以太网端口，4个1/10G SFP+端口 1个 48个10/100/1000 Base-T以太网端口（PoE），4个1/10G SFP+端口 1个 24个10/100/1000 Base-T以太网端口，4个1/10G SFP+端口 1个 24个10/100/1000 Base-T以太网端口（PoE），4个1/10G SFP+端口 1个 24个100/1000M SFP端口，4个1/10G SFP+端口 1个（前面板） 16

4端口1G/10G SFP+接口模块 以太网端口扩展模块类型 2端口1G/10G SFP+接口模块 16端口10/100/1000MBase-T电口模块 16端口100/1000M SFP端口模块 无线控制业务板（小规格） 防火墙模块 OAA模块IPS模块 类型 无线控制业务板（大规格） 交流 额定电压范围：100V～240V AC，50/60Hz 最大电压范围：90V～264V AC，47/63Hz 额定电压范围： 300W DC：流 -48V～-60V DC 750W DC： -54V～-57V DC 功耗（空载） DC：94W AC：96W 102W DC：107W AC：131W 67W DC：64W AC：85W DC：58W AC：67W 额定电压范围(RPS)： 10.8V～13.2V DC 额定电压范围(RPS)： -52V～-55V DC 额定电压范围(RPS)： 10.8V～13.2V DC 额定电压范围(RPS)： -52V～-55V DC 额定电压范围： -48V～-60V DC 无 输入电压 直 17

单DC：1840W（其中1500W为PoE输出) 双DC：1840W（其中1500W为PoE功耗（满载） 输出) 单AC：714W（其中425W为PoE输出) 双AC：1147W（其中740W为PoE输出) 工作环境温度 工作环境相对湿度（非凝露） 交换容量 包转发率（整机） DC：973W（其中740W为PoE输163W 出) AC：673W（其中370W为PoE输出) 105W DC：870W（其中740W为PoE输出) DC：136W AC：598W（其中AC：146W 370W为PoE输出） 0℃～50℃ 10%～90% 360Gbps 198Mpps 192Mpps 192Mpps 156Mpps 156Mpps 156Mpps 支持特性 转发模式 S5800系列 store-forward模式 支持GE端口、10GE端口聚合 支持静态聚合、动态聚合 S5820X系列 store-forward模式，cut through模式 链路聚合 流量控制 Jumbo Frame 支持IEEE802.3x 流量控制，支持back pressure 支持 支持32K个MAC地址 MAC地址表 支持黑洞MAC地址 支持设置端口MAC地址学习最大个数 18

支持基于端口、协议、MAC、IP子网的VLAN（4094个） VLAN 支持QinQ和灵活QinQ 支持Voice VLAN 支持1:1 VLAN Mapping VLAN Mapping 支持N:1 VLAN Mapping 支持2:2 VLAN Mapping 支持DHCP Client 支持DHCP Snooping 支持 DHCP Relay 支持 DHCP Server 支持IRF2智能弹性架构 IRF2 智能弹性架构 支持分布式设备管理，分布式链路聚合，分布式弹性路由 支持通过标准以太网接口进行堆叠 支持本地堆叠和远程堆叠 IPv4路由 支持静态路由、RIP，OSPFv2，BGP，ISIS 支持等价路由，路由策略，VRRP，策略路由 支持静态路由、RIPng，OSPFv3，BGP4+ for IPV6，ISISv6 支持等价路由，路由策略，VRRP，策略路由 支持反向路由检查 支持 OSPF，BGP，IS-IS，Static Route 支持IPv6手动隧道，6to4隧道，ISATAP隧道，GRE隧道 DHCP IPv6路由 URPF MCE BFD IPv6 over IPv4 Tunnel 19

支持IGMP Snooping 支持IGMP v1/v2/v3 IPv4组播 支持PIM-DM/SM/SSM 支持MSDP、MBGP 支持组播VLAN、组播VLAN+ 支持MLD Snooping v1/v2 支持MLD v1/v2 IPv6组播 支持PIM-DM/SM/SSM for IPV6 支持MBGP for IPv6 支持IPv6组播VLAN、IPv6组播 VLAN+ 支持基于端口速率百分比的风暴抑制 广播/组播/单播风暴抑制 支持基于PPS的风暴抑制 支持基于kbps的风暴抑制 MSTP RRPP Smart link和Monitor link 支持STP/RSTP/MSTP协议 支持STP Root Guard、BPDU Guard 支持RRPP协议及RRPP多实例 支持Smart link及Smart link多实例 支持Monitor link 20

支持L2（Layer 2）~L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP(IPv4/IPv6)地址、目的IP(IPv4/IPv6)地址、端口、协议、VLAN的流分类 支持时间段（Time Range）的包过滤 支持大容量双向ACL 支持对端口接收报文的速率和发送报文的速率进行限制 QoS/ACL 支持报文重定向 每个端口支持8个输出队列 支持灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP、WDRR、WFQ、SP+WDRR四种模式 支持报文的802.1p和DSCP优先级重新标记 支持WRED拥塞避免机制 支持N:1的端口镜像和流镜像 支持多个镜像观察口 支持端口的远程镜像（RSPAN） 支持增强型端口的远程镜像（ERSPAN） 镜像 21

支持用户分级管理和口令保护 支持AAA认证、RADIUS认证 支持MAC地址认证、802.1x认证、portal认证 支持HWTACACS 支持SSH 2.0 支持IP+MAC+端口绑 定 安全特性 支持IP Source Guard 支持HTTPs、SSL 支持PKI（Public Key Infrastructure，公钥基础设施） 支持EAD 支持ARP Detection功能（能够根据DHCP Snooping安全表项、802.1x表项，或IP/MAC静态绑定表项进行检查） 可支持DHCP Snooping，防止欺骗的DHCP服务器 支持BPDU guard， Root guard 支持OSPF、RIPv2报文的明文及MD5密文认证。 防火墙卡 OAA IPS卡 无线控制业务板 流量管理 加载与升级 支持NetStream（仅S5800系列支持） 支持XModem协议、FTP、TFTP实现加载升级 22

支持命令行接口（CLI）、Telnet、Console口进行配置 支持SNMPv1/v2/v3 支持RMON （Remote Monitoring）告警、事件、历史记录 支持Imc网管系统、支持WEB网管 支持系统日志、分级告警 支持集群管理HGMPv2 支持电源的告警功能 支持风扇、温度告警 支持Ping、Tracert、NQA、Track 支持虚拟电缆检测（Virtual Cable Test）、DLDP 支持802.1ag、支持802.3ah 支持USB进行文件上传和下载 管理 维护

5.2.4 S5800大容量多业务无线控制概述：

H3C WX5000系列无线产品是杭州华三通信技术有限公司(以下简称H3C公司)自主研发的系列多业务无线控制器(AC，Access Controller)。H3C WX5000系列多业务无线控制器具有容量适中、高可靠性、业务类型丰富等特点，提供了丰富的有线数据和无线数据的处理功能。H3C WX5000系列多业务无线控制器集精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS及IPv4&IPv6等多功能于一体，提供强大的WLAN接入控制功能。H3C WX5000系列多业务无线控制器定位在企业网，城域网WLAN接入，是大中型企业园区WLAN接入、无线城域网覆盖、热点覆盖等应用环境的最理想的接入控制器。

23

H3C WX5000系列多业务无线控制器包括H3C WX5002(-64)、WX5004无线控制器和LSWM1WCM10、LSWM1WCM20无线控制业务板，是H3C公司自主研发的无线控制器，配合H3C公司自主研发的Fit AP，可以方便的部署于任何现有的二层网络或三层网络之中，控制器和AP通过IETF制定的CAPWAP协议进行互联而无需针对现在有网络进行重新配置。

LSWM1WCM10为H3C S5800系列交换机大容量无线控制业务板卡，基础规格支持64个AP，通过license32升级(最多支持6个license32)，最多可以支持256个AP，4K个无线用户，可以满足大型无线网络的部署需求。

H3C公司使用创新的基于认证的组网来提供网络服务，这种方法基于用户身份而非端口或设备，以便跨越整个网络实现移动性和安全性。当用户漫游网络时，通过WLAN网络范围内的无线控制器的信息交换，以实现在整个网络范围内执行一致的访问和安全策略。同时采用WPA/WPA2和802.1X认证结合的AES、TKIP以及WEP加密等功能增强了网络安全。

图1 S5800大容量多业务无线控制业务板设备外观图

5.2.5 S5800大容量多业务无线控制特点：

 提供对802.11n AP的管理

H3C WX5000系列多业务无线控制器在支持对传统802.11a/b/g AP管理的同时，还可以与H3C基于802.11n协议的WA2600系列AP配合组网，从而提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围，使无线多媒体应用成为现实。

24

 提供灵活的数据转发方式

支持集中式转发和分布式转发。单一的集中式转发，AC虽然能对报文进行全面控制，但所有的无线业务流都要到AC进行统一处理，使得AC的转发能力很容易成为瓶颈。特别是当通过广域网方式转发时，AP作为数据接入设备部署在分支机构，而无线控制器部署在总部，所有用户数据由AP发送到无线控制器，再由无线控制器进行集中转发，导致转发效率低下。

WX5000系列多业务无线控制器支持两种转发方式，用户可以根据需要给SSID设置转发的类型。

 运营级的无线用户接入控制和管理

基于用户的接入控制是H3C WX5000系列多业务无线控制器产品的一大特色，User Profile(用户配置文件)提供一个配置模板，能够保存预设配置(一系列配置的集合)。用户可以根据不同的应用场景为User Profile配置不同的内容，比如CAR(Committed Access Rate，承诺访问速率)策略和QoS(Quality of Service，服务质量)策略等。

用户访问设备时，需要先进行身份认证。在认证过程中，认证服务器会将User Profile名称下发给设备，设备会立即启用User Profile里配置的具体内容。当用户通过认证访问设备时，设备将通过这些具体内容限制用户的访问行为。当用户下线时，系统会自动禁用User Profile下的配置项，从而取消User Profile对用户的限定。因此，User Profile适用于限制上线用户的访问行为，没有用户上线(可能是没有用户接入、或者用户没有通过认证、或者用户下线)时，User Profile是预设配置，并不生效。

另外，H3C WX5000系列多业务无线控制器还支持基于MAC的认证接入控制方式，这种方式不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改，同时支持对具体用户的权限的配置，这种精细的用户权限控制大大增强了无线网络的可用度，网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。

25

基于MAC的VLAN同样也是H3C WX5000系列多业务无线控制器的一大特色，在控制策略上，管理员可以把相同性质的用户(MAC)划分到同一个VLAN，同时在控制器上基于VLAN配置安全策略，这样做既可以简化系统配置，又可以做到用户级粒度的精细管理。

 提供基于AP位置的用户接入控制

出于安全性或计费等的考虑，系统管理员可能希望控制无线用户接入到网络中的位置。H3C WX5000系列多业务无线控制器支持基于AP位置的用户接入控制。当无线用户接入网络时，可以通过认证服务器向AC下发允许用户接入的AP列表，在AC上进行接入控制，从而达到限制无线用户只能接入到指定位置的AP的目的。

 高可靠的备份功能 (1) 1+1快速备份

H3C WX5004无线控制器及S5800系列交换机大容量无线控制业务板卡支持300毫秒业务备份，AP会同时和两台无线控制器建立CAPWAP链路，一台作为主控制器，另外一台作为备份控制器，但只有和主控制器建立的CAPWAP链路处于工作状态。当主控制器异常down机时，备份控制器和主控制器之间的心跳检测机制可以保证在300毫秒之内检测到主设备的异常，并通知AP将主控制器CAPWAP链路切换，保证控制信号的不间断传送。

(2) N+1备份

当多台WX5000系列控制器部署时，N+1备份方案为可靠性和经济性折中的最好方案，其中N台WX5000各自独立工作，外加一台WX5000作为备份AC，N台AC中任何一台出现故障，都会切换到备份AC上。而当主AC恢复后，AP将自动回切到主AC上，可保障AP尽量同主AC连接。WX5000系列多业务无线控制器每台备份设备最多可以支持4台主设备，即4+1。

(3) N+N备份

26

当多台WX5000系列控制器部署时，N+N备份可以实现最灵活的备份方案。 当有N台WX5000无线控制器同时工作时，AP初次会选择一个最优的控制器进行接入，当链接出现问题的时候，AP会在网络中重新选择一个新的最优控制器重新进行注册接入，进而实现了AP的接入备份，以及AC间负载均担。AP对最优控制器的选择，可以根据控制器负载情况动态计算(AC间动态负载均担)或事先指定控制器优先级等多种方式，十分灵活。实现N+N备份，组网中总AP数量只要小于(总AC数量-1)台控制器能够管理的AP规格即可满足备份的要求。

 信道智能切换

无线局域网中，相邻无线AP需要尽可能工作在不同信道中，以减少相邻信道干扰。对于无线局域网，信道是非常稀缺的资源，每个AP只能够工作在非常有限的非重叠信道上，比如对于2.4G网络，只有３个非重叠信道，所以如何智能地为AP分配信道是无线应用的关键。同时，无线局域网工作的频段存在大量可能的干扰源，如雷达、微波炉，它们在网络中的出现将干扰AP的正常工作。通过信道智能切换功能，可以保证每个AP能够分配到最优的信道，尽可能地减少和避免相邻信道干扰，而且通过实时信道干扰检测，可以让AP实时避开雷达，微波炉等干扰源。

 智能AP负载分担

WLAN网络的IEEE标准802.11协议把无线漫游的决策交给了无线客户端，无线客户端一般会根据AP信号强度(RSSI)选择AP，这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于这些客户端共享无线媒介，导致每个客户端的网络吞吐将大量减少。

智能负载分担方法可以实时地分析无线客户端的位置，动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载，通过控制无线客户端接入的AP，来实现这些AP间的负载分担。系统不仅支持按照用户在线会话数的负载分担，而且支持按照用户流量负载的分担。

 无线入侵检测/防御(WIDS/WIPS)

27

(1) 非法AP检测

非法设备的告警和攻击防护功能使得H3C WX5000系列多业务无线控制器可以自动监测WLAN网络中的非法设备(例如Rouge AP，或者Ad Hoc 无线终端)，并实时上报网管中心，同时对非法设备的攻击可以进行自动防护，最大程度地保护无线网络。

(2) 白名单功能

H3C WX5000系列多业务无线控制器支持静态配置白名单功能，该功能一旦启用，只有白名单上的无线用户才被认为是合法用户，其他非法用户的报文全部在AP上被丢弃，从而减少非法报文对无线网络的冲击。

(3) 黑名单功能

H3C WX5000系列多业务无线控制器支持静态配置黑名单和动态黑名单功能，用户可以通过配置方式或者控制器实时检测侦听的方式来确定设备是否被加入黑名单，被加入到黑名单中的设备发过来的报文全部在AP上丢弃，从而减少攻击报文对无线网络的冲击。

(4) 无线协议攻击防御

H3C WX5000系列多业务无线控制器支持多种攻击的检测，例如DOS攻击，Flood攻击，去认证、去连接报文的仿冒检测，以及无线用户Weak IV检测。当控制器检测到上述的攻击后，会产生告警或者日志，提醒管理员进行相应的处理。特别无线协议攻击防御可以和动态黑名单配合使用，当控制器检测到攻击时，可以将发起攻击的无线客户端动态添加到动态黑名单中，从而保证WLAN系统不再被该设备攻击。

 支持802.1x认证，MAC地址认证，Portal认证，PPPoE和WAPI认证

H3C WX5000系列多业务无线控制器支持多种认证方式：

28

(1) 802.1x认证

H3C WX5000系列控制器，支持TLS、PEAP、TTLS、MD5、SIM卡等多种802.1x的认证方式，同时还支持802.1x本地认证方式，提供对MD5、TLS、PEAP这几种主流认证方式的支持，用户不再需要额外配置AAA服务器。 H3C WX5000系列多业务无线控制器还支持通过802.1x认证后动态授权VLAN和ACL功能，对用户的策略可以事先设定好，用户认证时，系统自动配置客户权限。

(2) MAC地址认证

H3C WX5000系列控制器还支持MAC地址认证，对一些手持终端(例如：WiFi Phone、手持移动终端等)并不方便采取电脑上的认证方式，MAC地址认证却可以轻松解决该问题，实现在控制器或者CAMS服务器上配置好合法的MAC地址，这些MAC地址对应的终端就可以被允许被接入到网络，而事先没有被配置的非法终端则不能接入无线网络，该功能极大地方便了例如无线医疗系统等应用，MAC地址认证可以确保只有医院的PDA工作终端才能接入到无线网络，而拒绝病人的无线PDA使用专用无线网络。

(3) Portal认证

H3C WX5000系列控制器还支持Portal认证，一些企业外部的客户希望使用无线网络，来访问Internet，很可能外部员工并没有安装例如802.1x客户端软件，这时，Portal认证提供了很好的认证方式。

(4) PPPoE认证

H3C WX5000系列控制器还支持PPPoE认证，通过PPPoE的成熟的认证，计费功能，可以方便做到按流量计费等高级的计费方式，可以满足一些客户的运营级需求。

WAPI认证，H3C WX5004无线控制器及S5800大容量无线控制业务板卡支持中国自主知识产权的WAPI认证。

29

 支持IPv6

H3C WX5000系列多业务无线控制器支持无线客户的IPV6接入，这时IPv6用户的网关不在无线控制器上，需要专门的IPv6网关，控制器对用户的IPv6报文感知，在隧道起点AP上，由于设备对IPv6感知，所以可以做到IPv6优先级到隧道优先级映射等，在AC侧，同样可以对IPv6报文进行ACL过滤等复杂的控制和过滤。

H3C WX5000系列多业务无线控制器同样可以部署在IPv6网络中，AC和AP之间自动协商成IPv6隧道。AC和AP完全工作在IPv6状态时，无线控制器仍能正确地感知IPv4，并能处理无线客户的IPv4报文。H3C WX5000系列多业务无线控制器IPv4/6灵活的适应能力，能满足客户在IPv4到IPv6网络迁移中的各种复杂的应用，既能在IPv6孤岛中给客户提供IPv4的服务，同时也能在IPv4孤岛中让用户轻松通过IPv6协议登录到网络。

 端到端的QoS

H3C WX5000系列多业务无线控制器基于Comware V5平台开发，不但对Diff-Serv标准的完善支持，同时增加了对IPv6协议的QoS支持。

QoS Diff-Serv 模型中主要包括流分类、流量监管(Policing)、队列管理、队列调度(Scheduling)等，完整实现了标准中定义的EF、AF1～AF4、BE等六组PHB及业务，使网络运营商可为用户提供具有不同服务质量等级的服务保证，使Internet真正成为同时承载数据、语音和视频业务的综合网络。

 高性能大容量MESH网关

WX5000系列多业务无线控制器支持IEEE 802.11s draft MESH网络标准；WLAN Mesh网络是一种新的无线局域网类型。与传统的WLAN不同的是，WLAN Mesh网络中的AP是无线连接的，而且AP间可以建立多跳的无线链路。因为只是骨干网进行了变动，对于终端用户来讲，传统的WLAN和WLAN Mesh网络没有任何区别。WLAN Mesh技术彻底解放了有线的束缚，除了可以应用于企业网、办公网、校园

30

网等传统WLAN网络常用场景外，广泛应用于大型仓库、港口码头、城域网、轨道交通、应急通信、制造等应用场景。

成本角度，传统的WLAN中，AP之间需要用电缆，交换机，电源等设备建立连接，成本较高，并且需要大量的时间完成部署。WLAN Mesh技术使得管理员可以轻松的部署质优价廉的无线局域网。

 快速的二、三层漫游

H3C公司的集中式无线架构不但能方便地实施二层漫游，而且非常有利于跨三层的漫游实现，用Fat AP部署的WLAN网络，由于AP之间传递的信息有限，导致垮三层的漫游实现及其麻烦，集中式架构非常容易解决跨三层漫游的问题，H3C WX5000系列多业务无线控制器支持二、三层漫游，漫游域不受子网的限制，这种优秀的漫游特性，可以让客户在规划无线网络时，根本不用考虑以前的有线网络的规划，完全只考虑无线信号的覆盖即可，这种方式大大简化了前期的网络规划，减少了网络规划成本。

传统的用户漫游，当无线用户终端使用802.1x作为802.11接入认证和密钥交互的手段时，无线用户终端和AP间的交互报文会非常的多。当无线用户终端在两个AP间漫游时，如果无线用户终端在新AP接入的过程完全遵从完整的802.1x的交互过程，势必造成漫游切换的时间过长，对于某些对漫游切换时间敏感的业务(例如语音业务)，这样的长切换时间是无法忍受的。H3C WX5000系列控制器采用Key caching技术完成漫游时用户的快速切换，Key caching技术在用户的安全接入和快速漫游间做了一个很好的平衡，可以使无线用户终端在两个AP间进行漫游时不必重新进行完整的802.1x认证交互过程，同时又能保证用户身份的识别和密钥使用的连续性；无线用户采用快速漫游方式，单AC内漫游时间不超过50ms，满足了语音业务的苛刻需求。

31

5.2.6 H3C S5120-EI系列交换机

产品概述

H3C S5120-EI系列交换机是H3C公司自主开发的全千兆三层以太网交换机产品，具备丰富的业务特性，提供IPv6转发功能以及最多4个10GE扩展接口。通过H3C特有的IRF（智能弹性架构）功能，用户能够简化对网络的管理。S5120-EI系列千兆以太网交换机定位为企业网千兆接入，同时还可以用于数据中心服务器群的连接。

S5120-28C-EI/S5120-28C-PWR-EI

S5120-28C-PWR-EI：24 个10/100/1000Base-T以太网端口（PoE），4 个复用的SFP 千兆端口（Combo），两个扩展槽位；



高扩展性保护投资

随着用户端速度不断提高，用户最终会使集群千兆链路达到饱和，而能够拥有多条10GE链路将是我们的未来发展方向。S5120-EI系列交换机支持两个扩展槽位，每个槽位支持单端口或双端口的10GE扩展模块，在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力，尽力保护用户投资。

S5120-EI系列支持IPv4和IPv6的三层路由功能，并可以实现基于硬件的IPv4和IPv6的全线速转发。同时支持IPv6的ACL、QoS、组播和网管，实现IPv4到IPv6的平滑升级。 智能弹性架构

H3C S5120-EI系列交换机支持IRF2（第二代智能弹性架构）技术，就是把

32

多台物理设备互相连接起来，使其虚拟为一台逻辑设备，也就是说，用户可以将这多台设备看成一台单一设备进行管理和使用。IRF可以为用户带来以下好处：  简化管理 IRF架构形成之后，可以连接到任何一台设备的任何一个端

口就以登录统一的逻辑设备，通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果，而不用物理连接到每台成员设备上分别对它们进行配置和管理。

 简化业务 IRF形成的逻辑设备中运行的各种控制协议也是作为单一

设备统一运行的，例如路由协议会作为单一设备统一计算，而随着跨设备链路聚合技术的应用，可以替代原有的生成树协议，这样就可以省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。  弹性扩展 可以按照用户需求实现弹性扩展，保证用户投资。并且新增

的设备加入或离开IRF架构时可以实现“热插拔”，不影响其他设备的正常运行。

 高可靠 IRF的高可靠性体现在链路，设备和协议三个方面。成员设备之

间物理端口支持聚合功能，IRF系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了链路的可靠性；IRF系统由多台成员设备组成，一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的1：N备份；IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备，从而实现1：N的协议可靠性。

 高性能 对于高端交换机来说，性能和端口密度的提升会受到硬件结构

的限制。而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此，IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。 完备的安全控制策略

H3C S5120-EI系列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、

33

修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。

H3C S5120-EI系列交换机支持对试图接入网络的用户进行802.1x认证。可以在交换机上对802.1x客户端的版本和有效性进行验证，防止非法用户登录网络。支持集中式MAC地址认证，可以基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件，而且可以同时运行802.1x认证和基于MAC地址认证。提供Guest Vlan功能，使得为被授权的访问端只能接入访问特定的资源，并且会采取相应的策略，例如可以获得802.1x客户端、升级客户端或者获得其他的升级程序等等。支持Secure Shell V2（SSH V2）特性可以提供安全的信息保障和强大的认证功能，以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。 丰富的QoS策略

H3C S5120-EI系列交换机支持支持L2（Layer 2）~L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法，可以同时基于端口和队列进行设置，支持SP、WRR、SP+WRR三种模式。支持CAR功能，粒度最小达64Kbps。支持出、入两个方向的端口镜像，用于对指定端口上的报文进行监控，将端口上的数据包复制到监控端口，以进行网络检测和故障排除。 出色的管理性

H3C S5120-EI系列交换机支持SNMPv1/v2/v3（Simple Network Management Protocol），可支持Open View等通用网管平台以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，HGMPv2集群管理，使设备管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全。

H3C S5120-EI系列交换机支持基于MAC地址划分VLAN，很好的解决了移动办公的智能灵活管理；结合特有的基于全局和VLAN下发ACL策略，在简化

34

用户配置的同时，也大幅节约了硬件资源。

产品规格

支持特性 交换容量 包转发率 外形尺寸（长×宽×高） （位单：4.4kg 4.7kg 4.4kg 4.7kg 6kg 6.5kg 440×300×43.6 440×300×43.6 440×300×43.6 440×300×43.6 440×420 ×43.6 440×420 ×43.6 S5120-24P-EI 192Gbps 36Mpps S5120-48P-EI S5120-28C-EI S5120-52C-EI S5120-28C-PWR-EI S5120-52C-PWR-EI 240Gbps 132Mpps 240Gbps 192Gbps 240Gbps 192Gbps 72Mpps 96Mpps 132Mpps 96Mpps mm） 重量 管理端口 1个Console口 4824个10/100/1000Base-T以太网端口 4个复用的1000Base-X千兆SFP端口 000 Base-T以太网端口 4个复用的1000Base-X千兆SFP端口 个24000 Base-T以太网端口 4个复用的1000Base-X千兆SFP端口 个48000 Base-T以太网端口 4个复用的1000Base-X千兆SFP端口 个24个48个10/100/110/100/110/100/110/100/1000 Base-T以太网端口（PoE） 4个复用的1000Base-X千兆SFP端口 10/100/1000 Base-T以太网端口（PoE） 4个复用的1000Base-X千兆SFP端口 固定端口 扩展插槽 不支持 2个扩展插槽 35

支持特性 S5120-24P-EI S5120-48P-EI S5120-28C-EI S5120-52C-EI S5120-28C-PWR-EI S5120-52C-PWR-EI 单端口10GE XFP接口模块 可选接口模块 两端口10GE XFP接口模块 不支持 两端口10GE CX4接口模块 两端口10GE SFP+接口模块 端口聚合 支持LACP 支持IEEE802.3x 流量控制（全双工） 端口特性 支持基于端口速率百分比的风暴抑制 支持基于PPS的风暴抑制 IRF2 (S5120C-EI系列支持) 支持IRF2智能弹性架构 支持分布式设备管理，分布式链路聚合 支持通过标准以太网接口进行堆叠 支持本地堆叠和远程堆叠 支持基于端口的VLAN（4K） 支持基于MAC的VLAN 基于协议的VLAN VLAN 支持QinQ，灵活QinQ 支持VLAN Mapping 支持Voice VLAN 支持GVRP 36

支持特性 S5120-24P-EI S5120-48P-EI S5120-28C-EI S5120-52C-EI S5120-28C-PWR-EI S5120-52C-PWR-EI 支持L2（Layer 2）~L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口、协议类型、VLAN的流分类 ACL 支持时间段（Time Range）ACL 支持基于端口、VLAN下发ACL 支持对端口接收报文的速率和发送报文的速率进行限制 支持报文重定向 支持CAR（Committed Access Rate）功能 QoS 每个端口支持8个输出队列 支持端口队列调度（SP、WRR、SP+WRR） 支持报文的802.1p和DSCP优先级重新标记 支持DHCP Client DHCP 支持DHCP Snooping 支持DHCP Snooping option82 IP路由 支持IPv4和IPv6的三层路由功能 支持IGMP Snooping /MLD Snooping 组播 支持组播VLAN 二层环网协议 支持STP/RSTP/MSTP 支持RRPP 支持最大4组N:1的端口镜像 镜像 支持远程端口镜像RSPAN 支持流镜像 37

支持特性 S5120-24P-EI S5120-48P-EI S5120-28C-EI S5120-52C-EI S5120-28C-PWR-EI S5120-52C-PWR-EI 支持用户分级管理和口令保护 支持802.1X认证/集中式MAC地址认证 支持Guest VLAN 安全特性 支持RADIUS认证 支持SSH 2.0 支持端口隔离 支持端口安全 支持EAD 支持XModem/FTP/TFTP加载升级 支持命令行接口（CLI），Telnet，Console口进行配置 支持SNMPv1/v2/v3，WEB网管 支持RMON告警、事件、历史记录 支持iMC智能管理中心 支持系统日志，分级告警，调试信息输出 管理与维护 支持sFlow 支持HGMPv2 支持NTP 支持Ping、Tracert 支持VCT电缆检测功能 支持DLDP单向链路检测协议 支持Loopback-detection 端口环回检测 38

支持特性 交流输入电压 直流输入电压 S5120-24P-EI S5120-48P-EI S5120-28C-EI S5120-52C-EI S5120-28C-PWR-EI S5120-52C-PWR-EI 额定电压范围：100V～240V AC，50/60Hz 最大电压范围：90V～264V AC，47/63Hz 额定电压范围： 10.8V～13.2V DC(RPS专用) 额定电压范围： -52V～-55V DC(RPS专用) 不接功耗RPS为时，满负荷500W，其中系统功耗130W，POE455W，其中对外供电功率370W； 连接功能RPS为功率62W 110W 103W 145W 系统功耗85W，POE对外供电功率370W （满负荷） 时，满负荷870W，其中系统功耗130W，POE对外供电功率740W 工作环境温度 工作环境相对湿度0℃～45℃ 10%～90% （非凝露）

39

5.3 H3C WA2620无线系列产品 5.3.1产品概述

H3C WA2600系列无线接入点是新一代兼容802.11n Draft2.0的千兆无线接入点（以下简称AP），可提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围。该系列AP上行接口采用千兆以太网接口接入，突破了百兆以太网接口的限制，使无线多媒体应用成为现实。WA2600系列AP支持Fat和Fit两种工作模式，根据网络规划的需要，可以通过命令行灵活地在Fat和Fit两种工作模式中切换。WA2600系列产品作为瘦AP（Fit AP）时，需要与H3C自主研发的WX系列无线控制器系列产品配套使用；作为胖AP（Fat AP）时，可以独立进行组网。WA2600系列产品支持Fat/Fit两种工作模式的特性，有利于将客户的WLAN网络由小型网络平滑升级到大型网络，从而很好地保护用户的投资。室内型WA2620-AGN（双频）三款无线接入点设备，主要面向办公区，智能楼宇等室内环境。

l WA2620-AGN产品是一款双频多模无线接入点，内置6天线，安装方式非常灵活，适用于壁挂、桌面乃至吸顶安装，并可外接11n专用天线。WA2620-AGN可同时工作在WLAN的2.4GHz频段和5GHz频段，并支持IEEE802.11a、IEEE802.11b、IEEE802.11g和IEEE802.11n四种模式。

室内型产品外观图如下：

40

图2 WA2600系列室内型无线AP外观图

产品特点

提供宽带无线接入

WA2600系列无线AP兼容802.11n Draft2.0草案，采用模块化设计，保证未来802.11n标准正式批准后能及时升级以满足标准，保护客户投资。本系列无线接入点产品单射频能提供高达300Mbps的无线接入速度，是传统802.11a/b/g产品的六倍，覆盖距离更大，能提供更多用户、更大范围、更大流量的无线接入服务。

l 提供千兆以太网接口有线连接

上行接口采用千兆以太网接口接入，突破了传统百兆以太网接口的限制，使有线口不再成为无线接入的速率瓶颈，为将来支持更高速率更多射频组合提供了平滑升级的平台。 l 提供本地转发功能

当WA2600（FAT AP模式）系列无线AP通过广域网方式转发时，AP作为数据接入设备部署在分支机构，而无线控制器部署在总部，所有用户数据由

41

AP发送到无线控制器，再由无线控制器进行集中转发，导致转发效率低下。WA2600系列无线AP可将数据报文在AP上直接转化为有线格式的报文，使得数据报文不经过无线控制器，而是在AP本地进行转发，大大提高了转发效率。 l 提供EAD无线接入

端点准入防御（EAD，Endpoint Admission Defense）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，对接入网络的用户终端强制实施企业安全策略，通过与安全策略服务器的联动，可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理，只有无线客户端符合相应的安全策略之后才允许正常访问网络，从而提高了无线网络的整体安全性。

l 支持中国标准WAPI（无线局域网鉴别和保密基础结构）

WA2600系列无线AP除了支持802.11i和WPA等国际标准外，还支持中国无线局域网国家标准GB15629.11-2003 中提出的、安全等级更高的WAPI。 l 提供olnly 11n接入功能

由于802.11n向下兼容802.11a/b/g协议，故通常情况下，802.11a/b/g用户也能接入到11n的AP上，但这种情况下，原有11n用户的性能会造成大幅下降，11n所谓300Mbps的优势无法得到发挥。H3C支持将AP的某一射频设置为only 11n模式，使得11n用户的带宽得到保证。对于WA2620-AGN和WA2620E-AGN来说，由于该两款设备提供双频接入，在工作时建议设置

42

5GHz射频为only 11n接入，保证11n网卡用户的带宽；而2.4GHz射频设置为兼容接入方式，保证原有11g用户可以正常接入。 除以上特点，WA2600系列还提供以下功能： l 提供为无线客户端动态分配IP

WA2600系列无线AP工作于Fat AP模式时，可以配置为DHCP server，为接入的无线客户端动态分配IP地址，此功能极大的省却了网络管理者规划静态地址的烦恼。 l 提供PPPoE客户端

WA2600系列无线AP工作于Fat AP模式时，可以配置工作为PPPoE client，能主动与远端的PPPoE server建立PPPoE连接。

产品规格

型号 WA2610E-AGN WA2620E-AGN 项目 重量 尺寸（不包含天线接口和附件） 10/100/1000M以太网口 PoE 支持802.3af兼容供电 通过电源注入器供电 支持802.3af兼容供电 支持802.3af兼容供电 支持802.3af兼容供电 1个 1个 1个 1个 1个 1.2Kg 210mmx150mmx35mm 1.3Kg 210mmx150mmx35mm WA2610-AGN 1.0Kg 190x160x40mm WA2612-AGN 0.5Kg 圆形，直径高60mm 200x200x190mm，50mm WA2620-AGN 1.0Kg 43

型号 WA2610E-AGN WA2620E-AGN 项目 本地供电 Console口 支持48V DC 1个 支持48V DC 1个 WA2610-AGN 支持48V DC 1个 3个RSMA接口，3根自带双频天线 WA2612-AGN 无本地供电 1个 WA2620-AGN 支持12V DC 1个 内置6根双3个RSMA接口，6个RSMA接口，天线 3根自带双频天线 6根自带双频天线 内置3根双频天线 频天线，并有3个RSMA接口 802.11a/n ：5.725GHz-5.850GHz （中国） 工作频段 802.11b/g/n ：2.412GHz-2.472GHz （中国） OFDM：BPSK@6/9Mbps，QPSK@12/18Mbps，16-QAM@24Mbps，64-QAM@48/54Mbps 调制技术 DSSS：DBPSK@1Mbps，DQPSK@2Mbps，and CCK@5.5/11Mbps MIMO-OFDM：BPSK，QPSK，16QAM and 64QAM 11b：18dBm，11g：14dBm（54Mbps），11a：13dBm（54Mbps） 11n(HT20)：18dBm@MCS0，11dBm@MCS7，18dBm@MCS8，11dBm@MCS15 11n(HT40)：18dBm@MCS0，11dBm@MCS7，18dBm@MCS8，11dBm@MCS15 可调功率 1dBm 11b：-92dBm(1Mbps)，11g：-80dBm（54Mbps），11a：-78dBm（54Mbps） 11n(HT20)：-92dBm@MCS0，-72dBm@MCS7，-90dBm@MCS8，-71dBm@MCS15 11n(HT40)：-88Bm@MCS0，-70dBm@MCS7，-88dBm@MCS8，-68dBm@MCS15 复位/恢复出厂配置 支持 支持 支持 支持 支持 发射功率（最大） 接收灵敏度 44

型号 WA2610E-AGN WA2620E-AGN 项目 工作温度 -10～65ºC 5%~95%（非冷凝） -40ºC～70ºC 5%~95%（非冷凝） <13W -10～65ºC 5%~95%（非冷凝） -40ºC～70ºC 5%~95%（非冷凝） <16W WA2610-AGN -10～55ºC 5%~95%（非冷凝） -40ºC～70ºC 5%~95%（非冷凝） <10W WA2612-AGN -10～55ºC 5%~95%（非冷凝） -40ºC～70ºC 5%~95%（非冷凝） <10W WA2620-AGN -10～55ºC 5%~95%（非冷凝） -40ºC～70ºC 5%~95%（非冷凝） <13W 工作湿度 存贮温度 存贮湿度 整机功耗 安全规范 EMC 射频认证 MTBF 2. 软件规格 产品型号 产品定位 GB4943-2000，UL 60950-1， EN 60950-1，IEC60950-1, EN 50371 EN301 489，EN55022，CISPR22，EN61000， CFR Title 47，FCC Part 15, AS/NZS 4268 FCC Bulletin OET-65C，EN 300 328，EN 301 893，中国信息产业部无线设备型号核准 >250000H WA2610E-AGN WA2620E-AGN WA2610-AGN 支持WA2612-AGN 支持802.11a/n或802.11b/g/n WA2620-AGN 室内增强型Fit/Fat AP 支持802.11a/n或可同时支持802.11a/b/g室内型Fit/Fat AP 802.11a/n或802.11b/g/n 可同时支持802.11a/b/g/n IEEE802.11a/b/g/n 802.11b/g/n /n AP设备容802.11a（与IEEE802.11兼容）、802.11n（与802.11a兼容时）：（中国）AP支持的内置信道数量 802.11b、802.11g、802.11n（与802.11b/g兼容时）：（中国）13个信道 5个信道 45

产品型号 量 WA2610E-AGN WA2620E-AGN WA2610-AGN WA2612-AGN WA2620-AGN IEEE802.11a：54Mbs、48Mbps、36Mbps、24Mbps、18Mbps、12Mbps、9Mbps、6Mbps IEEE802.11g：54Mbs、48Mbps、36Mbps、24Mbps、18Mbps、12Mbps、11Mbps、9Mbps、6Mbps、5.5Mbps、2Mbps、1Mbps AP接入速率 IEEE802.11b：11Mbps、5.5Mbps、2Mbps、1Mbps IEEE802.11n： 20 MHz BW (Mbps): 6.5, 7.2, 13, 14.4, 19.5, 21.7, 26, 28.9, 39, 43.3, 52, 57.8,58.5, 65, 72.2, 78, 86.7, 104, 115.6, 117, 130, 144 40 MHz BW (Mbps): 13.5, 15, 27, 30, 40.5, 45, 54, 60, 81, 90, 108, 120,121.5, 135, 120, 150, 162, 180, 216, 240, 243, 270, 300 虚拟AP 加密 用户隔离 16个 32个 16个 16个 32个 支持64、128位WEP加密，WPA，802.11i和WAPI。 支持WPA、802.11i以及WAPI的多种密钥更新触发条件 支持AP上无线用户二层转发隔离 支持虚拟AP(多SSID)之间的隔离 报文过滤 支持 广播抑制 支持 安全策略 SSID隐藏 认证 MAC地址过滤 基于时间的计费 支持 支持802.1X认证、MAC地址认证 支持 支持 实时计费 支持 认证和计费分离 切换 AP间切换 支持 支持 切换依据 根据信号强度、误码率、邻近AP是否正常工作等 支持 支持静态IP地址、支持DHCP获取IP地址 上行链路完整性 三二

IP地址设置 46

产品型号 层功能 WA2610E-AGN 支持 支持 WA2620E-AGN WA2610-AGN WA2612-AGN WA2620-AGN 路由协议 支持静态路由 IPV6 ACL 802.11e 支持WMM 优先级 支持以太网口支持802.1p识别和标记 支持优先级队列及映射 支持 支持不同SSID/VLAN映射不同的QOS策略 支持 支持 支持 SNMP（V1、V2c、V3），Trap，基于Windows平台上的配置工具：Telnet、TFTP、FTP、HTTP 服务质量 流量限制 支持 流分类 QOS策略映射 用户数负载均衡 流量负载均衡 省电模式 网络管理 维护方式 支持本地维护、支持远端维护 管理维护 日志功能 支持本地日志、日志主机 告警功能 支持 故障检测 支持 统计信息 支持 Watch Dog 支持

47