wx供重浩：创享日记
获取完整无水印高清Word版

---

第1章 项目背景

1.1“无线城市”的定义

自从美国费城于2004年提出建设“无线城市”以来，“无线城市”的概念得到了普遍的认同和广泛的引用。
通常意义上无线城市是指宽带无线城域网，即使用高速宽带无线技术覆盖城市行政区域，向公众提供利用无线终端或无线技术获取信息的服务。无线城市重点是借助无线宽带通信技术，为公众提供政务、商务、生活等各个领域广泛应用，使公众得到随时随地、个性化的无线信息服务，从而提高公众的信息生活水平和城市的综合竞争力。
但是，无线城市不仅仅是一个技术层面的概念，即不能简单的将无线城市理解为一个覆盖全城的城域无线宽带网络系统，而应该清楚的认识到，无线城市是一个基于城市无线宽带网络，包含了从产业政策、投融资关系到建设、运维再到业务模式、盈利模式的，涉及了政府政务、企业商务、公众生活等领域的新兴“经济生态系统”。

1.2 国内外“无线城市”发展概况

作为城市范围内的无线网络通信手段，无线宽带技术可以提供多种切实可行的应用。 很多发达国家的城市在考虑部署全城范围的宽带无线接入的议题，而采用Wi-Fi 网络覆盖整个城市，正在成为最引人注目并且引发强烈反响的基础设施建设项目。

目前全球范围内，已有数百个已经建设好或者正在建设的无线城市，并且越来越多地大中型城市或区域开始考虑部署无线网络，进行整个城市或部分区域的无线覆盖，提供随时随地接入的无线网络。而新加坡更是要将全国变成“无线国家”。

世界无线城市浪潮势不可挡
在世界各地的无线城市建设中，美国是无线城市推广力度比较大的国家。在美国，如果实现光纤到路边，大约需要15年，而在大部分城市覆盖无线城域网大约只需要5年时间，后者费用也比前者便宜近30%，无线网络的优势可见一斑。目前已经有将近100个开始运营的城市无线网络。

美国无线城市建设概况

目前国外的无线城市主要采用两种投资建设方式：

1. 政府直接投资建设
2. 政府与无线运营商、企业合作投资建设
   部分无线城市的投资来源于市政府，如伦敦和纽约无线城市。这反映出政府对政策发布、城市安全、火警和急救等的关注，希望为市政管理和大众提供更多更有效的服务。
   在其他一部分的无线城市中，政府和无线运营商的合作模式也受到了一定的认可。运营商通过与政府合作进行全城无线建设来构建网络基础设施，即可以作为运营商为商户和市民提供全城漫游移动网络的平台，也可以作为市政用途的公共安全、应急通信和市政管理办公的使用，如所谓的“M台湾计划”，它以“移动台湾、应用无线、跃进新视界”为发展远景，政府将结合民间资源，共同推动移动生活、移动服务、移动学习等无线宽带应用服务。
   从全球的无线城市建设总体来看，政府专用网络与公共运营网络的显著区别也决定了政府主导投资的格局。

1.3 典型案例分析

作为“M台湾计划”的重要一环，“无线台北”（WiFly）建设初告段落，通过无线网络城市的建立，台北将成为沟通互动近乎零成本、实时反应、网络免费但内容增值，以及扩大参与、决策透明的公共城市。
台北从1999年起即着手网络城市计划，在“推动网络新都续阶纲要计划”下拟定了“台北无线宽带网络建设执行计划”，推动市民无线上网及便民配套应用服务，以期达到“无线台北，台北无限”目标。2004年9月与统一集团下的安源信息公司签订公共无线宽带网络合作计划。由安源负责无线网络城市的建设与营运，惠普担当技术服务顾问角色。历经近两年三阶段的建设，安源信息于2006年7月完成三阶段建设并通过测试验证，至此“无线台北”正式完成基础建设。三个阶段建设历程如下：
第一期：2004年9月–2005年1月，建设范围为30个地铁站、地铁附近五个地下街、北投机厂及地铁站体外围商圈半径150米（含以上），人口覆盖率为20%。
第二期：2005年1月–2005年12月，范围为63个地铁站（包含第一期30个）及其延伸重点商圈，市内81个Starbucks咖啡店，人口覆盖率为50%，覆盖面积达28.2平方公里。
第三阶段：2006年1月–2006年7月，范围为台北各行政区内的人口密集区，包括9大市立医院院区、53个市立图书馆分馆、12个台北市行政区大楼等地，以及台北市内超过六百家的7-ELEVEN便利店，人口覆盖率为90%，覆盖面积高达133平方公里。
在无线基础建设已臻完善之际，建设部门为更好地推广无线网络，积极整合公共资源特别提供了一个“台北无线入口”网站，除了使用方式、费率说明之外，也有无线网络建置的区域说明“台北市上网区域查询”，更有“台北网络新都市民生活网”(http://www.taipei-elife.net)，提供最新的都市生活信息与各种热门活动。

1.4 建设无线城市的必要性

康巴什建设无线城市，是适应新的历史发展阶段，实践“科学发展观”，构建和谐社会和品质之城，推动城市文化产业建设和提升信息化发展水平的需要。
（一）是适应新的历史发展阶段的需要
国家明确将积极推进无线城市建设，对我国的信息化建设提出了更高的要求，康巴什“无线城市”积极响应国家无线城市建设要求，在进一步巩固原有有线宽带城域网建设发展和各项城市信息化建设的基础上，前瞻性、创造性地进行城市未来信息化建设的布局。无线信息化建设是世界发达国家正在大力推进的未来城市信息化基础项目，通过无线宽带城域网的建设，积极推动城市信息化建设水平，形成“无线城市”，是适应我国进一步提升信息化水平的新的历史发展阶段的需要。
（二）是实践科学发展观，建设和谐社会的需要
科学发展观的核心要求是创新，康巴什“无线城市”以创新、发展为核心，与时俱进，构建“无线城市”，进一步推动信息化建设的未来发展，从而积极实践科学发展观，推动、促进和谐社会的构建。
（三）是建设品质之城的需要
建设“生活品质之城”的一项重要内容，就是提高老百姓群众文化生活品质，满足老百姓群众多样化精神文化需求。建设宽带无线接入城域网，形成“无线城市”，能进一步拓展老百姓群众精神文化生活的新领域、新内容。
同时，康巴什“无线城市”的建设，将为所有在康巴什“无线城市”的人员构建形成一张充分保障信息享用平等权利的网络，为市民、企业、商务、旅游者以及政府机关构建随时随地沟通交流的互动平台，缩小数字鸿沟，提升现代城市管理水平，实现“信息惠民”，改进公共服务，实现信息强政，创造和谐创业环境，促进“精致、和谐、大气、开放”的城市内涵，为城市综合品质的提升提供保障。
（四）是推动文化产业发展的需要
“互联网+城市”是一项市场潜力巨大的文化产业，建设宽带无线接入城域网对于繁荣康巴什“无线城市”文化产业具有重大意义。通过建设无线宽带城域网，形成“无线城市”，实现强势媒体地位的强化与固化的有机结合，将传统的文化产业与信息化建设有机融合，将把康巴什“无线城市”的文化产业建设提升到一个新的发展水平，并极大地增强文化产业发展的原动力，推动康巴什“无线城市”文化产业的发展，并将对康巴什推动文化产业发展、打造数字康巴什“无线城市”产生积极的影响。

1.5 无线城市能为政府带来的价值

1.5.1 无线政务
“无线城市”在无线政务以满足城市管理、市政交通、治安管理等方面对无线通信的需求为主，降低电子政务建设成本，推动政府通过移动办公、公益性通道建设、无线城市管理等，实现“监督型政府”向“服务型政府”的转变。主要举措包括：
（1）实现政策传达与内部资讯传递的快速即时。政府官员和具有社会管理性质机构（人大/政协/行业协会/志愿者组织/共青团/妇联等）可以随时随地了解和掌握政策信息、政务公告，随时随地参加相关会议，听取上级指示要求。利用无线技术，交流通畅的综合平台、部门平台与协作平台迅速搭建，信息流动更加及时。
（2）随时随地展开行政管理与服务。利用无线技术，政府官员都可以随时随地办理其权限范围内的公务、监督或被监督相关单位、人员的工作情况和合法性，而不再受出差、开会、度假等事务影响，大幅度提高工作效率，提高社会大众的服务水平。
（3）提高行政执法能力。政府各个专业职能部门的实际工作流程与无线信息技术相结合，在施政、执法、管理、服务等方面为政府提供全面的信息化支撑。
（4）加强社会应急反应速度和危机处理能力。无线的科技应用，无论什么样的紧急事务，地方党政机关可以在几分钟内调集数以万计的社会人力、装备设备和相关资源，有组织地应对紧急事务和快速处理危机。
1.5.2 无线生活
“无线城市”将无线应用渗透到老百姓生活的方方面面，改变人们生活方式，丰富人们的生活。无线生活的具体举措：
（1）享受无线生活。通过移动电视、视频点播、移动搜索……人们可以随时随地，享受到融合图像、声音、动画、文字、视频、音乐的多媒体新闻、财经、文艺、电影、电视等丰富多彩生活服务。吃喝玩乐、衣食住行都可以通过“无线生活”获得；百万家庭，可以方便地通过无线宽带与家庭成员互动，无线控制家用电器，无线监控家庭活动……人们可以大幅度提高生活效率，降低生活成本，享受高品质的美好生活。
（2）创造无线生活。互联网在我国高速发展10年，已经极大地改变了人们的工作方式与生活习惯。伴随着“无线城市”的推进，将彻底打破原有的工作方式局限，形成新的工作方式与生活习惯，从而改变社会形态。例如创意产业繁荣，创新型企业成批涌现，流动办公和流动工作成为时尚，许多人的工作场所不再受办公室局限，信息传递速度空前快捷，电子商务盛行，离线交易频繁，支付方式便捷化，各种互动性平台层出不穷……可以预计，无线城市也将彻底改变人们的生活。

---

第2章 项目需求分析

2.1 无线城市的现状分析

中国的互联网和信息网络在最近十余年获得了飞速发展，互联网应用已经深入各行各业和寻常百姓家庭。随着技术发展和产业升级，康巴什作为鄂尔多斯政治中心，近几年政府部门、三大运营商、及各行各业企事业单位均非常重视无线WIFI建设，具体建设现状如下：
1． 政府投资为民众提供的WIFI服务：2016年初，政府已经开始对市区大型公园、大型广场。
2． 运营商为最终用户提供的WIFI服务：近些年三大运营商将WIFI覆盖作为3G/4G业务的有益补充，将WIFI业务与现有固定及移动互联网业务绑定，在某些特定公共区域也已完成WIFI覆盖，如：火车站、高校、写字楼、商场等，主要的建设位置在学校等人流密集区域，其他区域未部署。运营商为最终用户提供的WIFI为收费服务。
3． 企事业自建：随着近几年无线WIFI技术的迅速发展，省内绝大部分大型企事业单位已经完成自建WIFI网络，为企业内部提供移动化办公网络，如：医院已根据需求建设无线网络，实现无线医疗、无线挂号、无线就诊等服务；大型购物中心、大型超市为提高用户购物体验，提供免费WIFI上网服务；大企业为满足内部员工移动办公、访客临时无线办公等需求，也已经完成企业内部WIFI覆盖；飞机场、咖啡厅、酒店餐厅等热点区域也都实现了商家自建的WIFI覆盖。

2.2 无线城市的总体需求

1. 无线WIFI全覆盖：目前全省还未建设统一的WIFI城域网，要求到2017年，基本实现全省县城及县级以上城市的公共服务场所和公共区域WIFI的广泛覆盖和免费开放，在全省基本建立布局合理、智能高效、安全可靠、公众感知良好的全省WIFI网络：
2. 全面的管理、运营平台：无线城市搭建完成后，需要对无线WIFI网络前端（即无线接入区域）的无线AP设备、交换机、安全产品，及无线WIFI网络后端（即数据中心区域）的服务器、存储、应用平台等，实现安全可靠、智能高效的统一运维、统一管理。
3. 商业模式：建设运营模式将是无线城市不能避开的瓶颈，也将是影响其未来健康发展的主要因素，无线城市的建设是一个巨大、长期、持续的投入，更考验后期运营能力。无线城市建设不能仅依靠政府和市场，而应充分发挥政府的主导和示范效应。基于各城市特征的差异化，无线城市建设模式也需因地制宜，基本形成运营服务企业可持续发展的商业模式。
4. 第三方测评：为达到稳定、可靠、运转良好的WIFI网络，要求引入第三方检测评估的机制。

2.3 组网需求分析

2.3.1 功能需求
无线城市的无线宽带网络可以提供的业务主要体现在政府、企业和公众服务三个领域。
对政府来说，遍布城市的无线宽带网络可以为市政府、公共安全部门、交通等城市职能部门提供电子政务、公共安全、智能交通、抢险救灾、教育、医疗、社区服务等宽带网络接入服务，从而高效快捷地为市民服务。在重大突发事件的快速反应和处理能力方面，以及在特殊需求方面，无线宽带网络更能体现不可替代的优势。比如公共安全领域，可以在整个市区内安装监控设备，视频信息通过无线网络传回监控中心，它比有线回传方式成本低，效率高。
对企业来说，无线宽带网络能够提供给企业高效、低成本、便利的移动商务解决方案的服务，推动企业信息化与电子商务，全方位提高企业形象。目前，企业的无线通信系统大都采用传统的蜂窝电话式无线链路，为用户提供点到点和点到多点传输。无线宽带网络则不同，它允许网络用户共享带宽，消除了目前单跳网络的瓶颈，并且能够实现网络负载的动态平衡。另外，在无线网络中增加或调整AP更容易，配置更灵活，安装和使用成本更低。对于那些需要经常移动接入点的企业，无线宽带网络的多跳结构和配置灵活将非常有利于网络拓扑结构的调整和升级。
对于公众，无线宽带网络的应用为人们之间的沟通提供多元化的渠道和方式，人们可以在家里、娱乐场所、酒店、机场、绿地、会议中心等地，随时随地的享受无处不在的网络接入服务，真正实现数字化生活。
另外，无线宽带网络还能够提供无线定位服务等。随着无线城市的建设和运营，无线宽带网络在商务、旅游、家庭、学校和医院等诸多领域，都具有广阔的应用前景，无线业务融合。

2.3.2 性能需求
信号质量：

1. 目标覆盖区域内95％以上的位置，公共服务标识的信号强度不低于-75dBm；
2. 目标覆盖区域内95%以上位置，用户终端接收到公共服务标识下行信号信噪比大于20dB。
   接入速率：
3. 初期设定单用户可使用带宽上限不超过1Mbps；
4. 在闲时情况下(并发接入用户数少于5个)，单用户下行速率不低于300kbps。
   接入用户：
   每AP公共服务标识可同时接入的最大用户数不少于15个，单频AP最多可达24个，双频AP最多可达48个。

系统性能指标：
为了实现网络的可控可管，同时满足公安部82号文件及GA/WA3011-2015号令要求的提供互联网接入功能的网络需要提供接入用户信息及其操作记录等信息，在用户接入网络时需要进行身份认证。
无线城市WiFi基础设施的另一项主要业务功能为宏观数据采集，无论无线终端设备是否连接到无线网络上，无线接入AP都需要将其信息实时发回到数据中心进行分析、处理。

2.3.3 安全需求
网络出口是整个无线城域网对外的唯一通道，也是病毒和网络攻击的入口，需要使用安全设备进行区域的划分和访问控制。
传统的安全解决方案中，防火墙和入侵检测系统 (IDS，Intrusion Detection System) 已经被普遍接受，防火墙是最主流也是最重要的安全产品，是边界安全解决方案的核心。它可以对整个网络进行区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击，如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护。但仅仅有防火墙和IDS还不足以完全保护网络不受攻击。防火墙作为一个网络层的安全设备，不能充分地分析应用层协议数据中的攻击信号，以入侵防御系统 (IPS, Intrusion Prevention System ) 为代表的应用层安全设备，作为防火墙的重要补充，很好的解决了应用层防御的问题，并且变革了管理员构建网络防御的方式。通过在线部署，IPS可以检测并直接阻断恶意流量。

2.3.4 无线网络需求

1. 网页浏览：用户终端通过认证接入网络；打开浏览器登录网站；确保访问网页能够正常开启完毕；
2. 应用软件使用：用户通过认证接入网络，开启QQ、MSN等相关应用软件，能够正常使用；
3. 上网时延及丢包率要求：笔记本通过认证接入网络后，ping AP的网关IP地址，ping包大小为1500字节，ping包次数为50次；记录响应时间、丢包率等参数；要求平均时延不大于50ms；ping包的丢包率不大于3%。

2.3.5 高冗余的可靠数据中心需求
康巴什“无线城市”项目中重要的核心应该是满足一个集中化管理，整个城市采用千个左右免费WIFI发射点，设备分布密度广、接入用户基数庞大，其中无线控制器及安全资源池将成为整个康巴什“无线城市”设计时就应考虑到的重要问题，未来对业务及服务的支持，面对数量众多的终端设备，为了更好提供优质的网络服务，康巴什“无线城市”网络数据中心就应该成为一个可靠地、高效的、快速的网络，以满足各种场景都能够适用。

2.3.6 服务支持
康巴什“无线城市”的核心网络，必须能够提供一个安全性高的，转发速率快的网络架构，以满足未来全部城市后续设备的增加，为整个城市提供一个“骨干”核心系统，为未来的后续设计及扩展计划提供支持的保障。

2.3.7 接入方式多样
康巴什“无线城市”中的无线网络建立之初就应考虑到建设过程中面对的复杂地形和环境，为了克服并战胜这些制约条件，康巴什“无线城市”无线网络推广和接入方式就应该满足多样化，以达到各种场景都能够适用为准，以达到全部城市范围内的无线覆盖。

2.3.8 设备维护简便
康巴什“无线城市”无线系统在建设结束后，将面临一个重要的维护问题，由于城市面积大，室外的无线AP设备比较多，设备间隔远，离地较高，若设备属于独立管理维护，工作人员工作量将大大增加，维护成本消耗过大，因此，在设计过程中，应考虑集中式管理，以达到管理便捷，维护容易的原则。

---

第3章 康巴什“无线城市”整体规划设计

康巴什“无线城市”解决方案，是从用户亲身体验的角度，采用新一代无线网络产品，为康巴什市民提供快速、稳定、安全的无线网络服务，并推送广告及新闻内容直达公众号受众。

3.1 建设意义

 满足用户上网需求，同时提升用户上网体验；
 多种登陆方式（短信或微信认证），无需密码，减少询问的人力成本，提升用户体验；
 记录用户上网记录，提供精确数据分析，指导经营；
 提升康巴什“无线城市”的形象，提升服务水平和服务质量，满足用户需求，有效提高生命力。

3.2 平台拓扑

康巴什“无线城市”无线城市的总体设计思想即无线网络下的用户实际的应用需求，为康巴什“无线城市”网络提供一个安全、先进、灵活，高带宽、高可靠性的无线网络平台，使得能够基于这个平台，实现不同区域之间安全高速的数据共享，为今后新的业务发展，迅速推出相应的新业务打好良好的基础。为保证多种服务和新型IP技术服务，本方案将从多种业务服务的角度出发，建立多层次的网络业务平台，利于城市网信息系统高效的数据通信和业务发展。
如拓扑图所示，整个康巴什“无线城市”设计包含无线接入网和无线数据中心两个大的部分。其中每个部分又包含细化的结构，下面将分别加以介绍。
无线运营中心：无线运营中心负责整个无线城市的运营、维护，以及安全性需求，其中无线管理区主要负责相关无线WiFi设备、交换设备、安全设备等的网管功能；无线认证管理区则负责对接入无线城市WiFi网络的用户进行短信或微信认证，并向用户展示信息/广告宣传页面；漏洞扫描区和管理审计区则为无线运营中心提供安全性的保障，包括相关的漏洞扫描功能、运维操作及数据库操作审计功能等，提高无线运营中心的安全性。另外部署一台内网安全防护设备，负责对无线运营中心整体安全进行防护；部署一台负载均衡设备，可在大容量高负载的情况下，将业务均衡的分流到相关服务器上，避免单台服务器负载过高引起设备故障。

无线数据中心的核心设备，包括无线核心网络（采用两台核心交换机做可靠性保障）、WLAN资源池、出口安全区、用户上网行为审计、内容缓存Cache等。
两台核心交换机作为无线数据中心的整个网络的核心转发设备，并向下汇集所有汇聚端局转发过来的流量。
WLAN资源池采用机架式结构，与核心交换机融合合一，具备良好的扩展性，后期扩容可采用只增加AC板卡的形式即可扩容，而不需要增加主机框设备。
出口安全区是整个无线城市的出口，因此出口安全十分关键。出口安全区负责整网的网络安全性，可支持防火墙+IPS+AV防病毒合一，支持五元组的安全防护之外，还可支持三~七层的安全防护，以及病毒防护。
用户上网审计可对用户上网行为进行审计，包括用户浏览记录等详细信息，可满足公安部GA/WA 3011-2015号令对于公共场所无线WiFi上网的安全审计的要求。
Cache可以从互联网上抓取热点信息存放在本地，用户访问互联网时将优先从本地Cache上缓存的资源中读取内容。由于将内容存放在了本地，将大大提升用户的体验度。

绿洲平台：绿洲平台作为华三提出的无线WiFi大生态圈的实现平台，除了可以实现云端的简易运维外，还可以支持第三方各种增值服务的纳入，包括智慧景点、信息推送/广告推广等，面向具体民生/生产需要，真正将无线城市向智慧城市演进提供支撑。

无线接入网：无线分为三个部分，分别是接入层、运营商城域网、端局汇聚。
接入层主要是AP设备，包括室内AP和室外AP两种类型，分别适用室内环境和室外防水防尘环境。另外视具体情况，AP需要上联POE交换机或POE供电模块用于给AP供电。
运营商城域网：可采用PON（OLT+ONU）或交换机等多种组网方式，将AP产生的数据通过城域网传输回端局汇聚设备。
端局汇聚：根据行政区划或光纤链路情况，形成多个汇聚端局，每个汇聚端局负责本区域内所有AP的数据流量的汇聚，并向上与无线数据中心的两台核心交换机直连。

3.3 建设需求及质量

WLAN行业初期建设，以集中部署为主，投入部署成本较低，且平台架构简单，方便集中管理。随着用户量的增长，根据认证及推送业务流量对骨干网带宽的占用程度、业务响应时长、平台承载压力等情况的综合评估，也可以考虑逐步进行分布式部署的扩容，在业务量较大的地市，部署地市端平台系统，将业务流量大部分在地市本地处理，提升地市用户业务使用感知，减轻平台承载压力。
根据康巴什“无线城市”解决方案目前的需求，以及综合对网络结构及问题的分析，本次项目需要实现以下功能：
 建立无线管理中心，统一维护及安全管理；
 安全加固，建设综合安全网元，实时阻断安全攻击，实现控制中心的攻击防护；
 保障“无线城市”WIFI网内终端设备使用的可靠性；
 无线控制器及综合安全网关部署虚拟化架构，简化业务配置和管理，提升系统可靠性，实现故障状态下的快速倒换；
为把康巴什打造为国际性城市，在信息基础设施、互联网服务、城市形象与宣传上，实现全面硬件提升，因此必须将“无线城市”的建设质量进行更进一步的详细描述：
《一》 信号质量
1、 目标覆盖区域内95%以上的位置，公共服务标识的信号强度不低于-75dBm。
2、 目标覆盖区域内95%以上位置，用户终端接收到无线城市下行信号信噪比大于20 dB。
《二》 接入速率
1、 初期设定单用户可使用带宽上限不超过1Mbps。
2、 在闲时情况下（并发接入用户数少于5个），单用户下行速率不低于300Kbps。
《三》 接入用户数
每AP可同时接入的最大用户数不少于15个，单频AP最多可达24个，双频AP最多可达48个。
《四》 登陆认证
1、 在覆盖范围内，能够正确弹出统一门户页面。
2、 推送统一门户页面的成功率不低于95%。
3、 平均登陆认证时延不超过5秒。
4、 用户认证成功率不低于98%。

3.4 应用场景无线覆盖分析

无线城市覆盖环境非常复杂，涉及室外街道、广场、休闲区域、体育馆、学校、写字楼、商铺、购物中心、居民区等场景，通过单一的室外无线覆盖肯定达不到很好的覆盖效果，建议分场景进行无线覆盖，根据不同的无线覆盖需求及接入人数，灵活安排不同的AP来覆盖，主要分为以下几种。
3.4.1 室内普通覆盖
涉及普通的办公区以及小型会议室，并发人数不是特别多的室内空旷区域覆盖，建议采用放装型802.11ac系列AP进行覆盖，基于2-Streams 11ac MIMO技术的千兆高速无线接入设备，可提供相当于传统802.11n网络3倍以上的无线接入速率，能够覆盖更大的范围。
3.4.2室内高密覆盖
涉及火车站、机场、体育场馆等应用场景，对接入数、可靠性的要求较高，传统的无线接入AP通常采用双频方案,分别在2.4GHz和5GHz两个频段上提供无线信号接。三频段AP，在保留原有双射频的同时，增加了一个灵活可变的第三个射频。当实际接入的终端类型支持5GHz的数量较多时，可将该射频配置成5GHz频段，从而提高5GHz的接入用户数量和带宽能力，反之，2.4GHz终端较多时则可以配置成2.4GHz，组网形式非常灵活。因此接入速率最高可达2Gbps，非常适合在火车站、机场、体育场馆等高密度接入场景使用。
3.4.2 室内多房间覆盖（20左右）
针对多房间结构建筑，如宿舍、小型办公室这样的场景做无线覆盖时，传统的方案是采用独立放装AP或者天线入室AP，在信号或者性能方面存在不足。需要无线方案针对这类场景采用全新的组网架构，解决了该类覆盖的信号和性能问题，实现了每房间的无线千兆接入速率，让人们的无线生活更加自由，自在。一般这种方案由无线控制器+本体AP本体+分体AP分体组成。其中分体AP部署在房间内，本体AP可以部署在楼层配线间或者竖井。

相比传统的瘦AP架构，增加了“本体AP”这个角色，每个房间仍然有一个分体AP覆盖，分体AP通过网线连接到本体AP，每个本体AP可以承接最多20个分体AP，为这些分体AP进行PoE供电的同时，也能够进行管理和维护。终结者AP具备上行接口，在部署过程当中可以发挥接入交换机的作用，与上行汇聚或者核心连接。当分体AP失去关联或者故障的时候可以再本体AP上发现。

3.4.3 室内多房间覆盖（8个左右）
针对走廊两边低于8个左右的办公室无线覆盖，还有一种比较好的覆盖方式，即通过AP扩展天线、天线入室的方式来提升覆盖效果，并同时节省投资等。

通过超柔馈线和美化天线，可虚拟为8台虚拟AP，每台覆盖一个房间，实现最大范围的覆盖效果。如果需要提供最高的性能，也可以只虚拟为4台miniAP，每个miniAP具备两根天线，形成866Mbps的极速MIMO通道。对于一些需要漫游的场景，建议在走廊也部署1-2根天线，此时走廊和房间内将形成连续均匀的WiFi覆盖，移动用户的使用感受达到最佳。

3.4.4 室内面板AP覆盖
对于部分现有老的建筑进行覆盖，不允许重新布线或者不具备重新布线条件的，可以采用基于802.11ac的面板式AP，安装方式简单，可在86mm面板的暗盒上安装，不破坏原有装修，可管理能力强。适用于学校宿舍、医院病房、酒店房间等各种密集房间场所，解决了在这些场景，传统AP布放方式信号质量不佳的问题，并极大的减少了安装成本以及实施时所带来的运营成本。

3.4.5 室外智能型大功率AP
室外智能型大功率AP在本次设计中，安装的环境是复杂的室外环境，设备长年累月工作在苛刻的环境中，必须对设备的工作温度及工作湿度进行要求，还需要权威的防护等级测评，应用场景比如成熟城区街道、广场、景区室外部分、特色城镇，对接入数、可靠性、覆盖面积的要求较高，因此对此类设备的基本要求如下：

1. 支持802.11b/g/n/ac；
2. 接入速率≥1160Mbps；
3. 支持双频共用；
4. 可支持独立工作或接受无线控制器统一管理模式；
5. 支持频谱分析、防护功能；
6. 支持多SSID绑定多个VLAN功能，实现在同一个AP下不同用户组分配到不同的网段或访问权力；
7. 支持IPv4/IPv6；
8. 提供1个非复用千兆电口、1个非复用千兆光口，支持POE受电；
9. 具备IP67防水防尘等级，满足极端环境要求；
10. 工作温度/存贮温度：-40ºC～65ºC(-15ºC时加热部件开启工作)/ -40ºC～85ºC
11. 工作湿度/存贮湿度：0%~100%(非冷凝)

3.4.6 室外大功率CPE网桥
室外大功率CPE网桥在本次设计中，主要是要求在无线WIFI覆盖后的状态下，对周边的区域居民用户进行最后的“一公里”信号覆盖，安装的环境是复杂的室外环境，设备长年累月工作在苛刻的环境中，必须对设备的工作温度及工作湿度进行要求，还需要权威的防护等级测评，应用场景比如成熟城区街道、广场、景区室外部分、特色城镇，对接入数、可靠性、覆盖面积的要求较高，因此对此类设备的基本要求如下：

1. 支持802.11b/g/n；
2. 接入速率≥300；
3. 可支持独立工作或接受无线控制器统一管理模式；
4. 支持频谱分析、防护功能；
5. 支持多SSID绑定多个VLAN功能，实现在同一个AP下不同用户组分配到不同的网段或访问权力；
6. 千兆以太网口≥1，支持POE受电；
7. 具备IP67防水防尘等级，满足极端环境要求；
8. 工作温度/存贮温度：-20ºC～55ºC/-40ºC～70ºC
9. 工作湿度/存贮湿度：5%~95%(非冷凝)

3.4.7 室外LTE-FI无线覆盖
针对部分运营商固网没有管线资源或者不容易具备管线资源的地方，建议通过LTE-FI是实现无线覆盖。LTE-FI是4G与WIFI融合的产品，通过把4G-LTE技术和WiFi技术有机地结合在一起，将4G网络作为透明通道回传WiFi业务，从而既能提高4G网络的利用率，又可以降低WLAN网络部署的难度和成本费用。
相比于传统WIFI，LTE-FI集成WIFI网络AP与LTE网络CPE的功能，利用无线网络回传，可实现低成本WIFI覆盖。相比于MIFI和CPE产品，LTE-FI属于运营级设备，采用WIFI网络标准的瘦AP架构，由运营商部署并可按现有WIFI网络的架构对用户进行认证和计费。

---

第4章 详细技术方案

4.1 方案设计原则

4.1.1信息安全管控原则
建设、运营的WLAN网络完全符合网络安全相关部门对有关公共场所免费上网服务的安全要求，确保本次各场点的网络服务符合信息安全管控要求。
4.1.2集约化建设原则
本方案组网采用的WLAN设备及网络容量除满足本次项目覆盖区域和牵头运营商的业务需求外，还可支持未来多家通信运营商共享WLAN网络的要求。
4.1.3功率控制原则
室内天线口功率满足国家无线网络辐射功能控制标准。
WLAN所采用的设备和器件符合国家、行业的相关规定要求。
4.1.4经济性原则
在必须保证系统质量前提下，合理使用各类器件以降低工程造价成本。
WLAN将做到结构简单，工程实施容易，不影响目标建筑物原有的结构和装修。

4.2 关键技术介绍

4.2.1 802.11ac技术
本方案AP采用的是支持802.11ac协议的设备。IEEE 802.11ac是一个802.11无线局域网通信标准，是802.11n的继承者。它采用并扩展了源自802.11n的空中接口概念，包括：更宽的RF带宽（提升至160MHz），更多的MIMO空间流（增加到8），多用户的MIMO，以及更高阶的调制（达到256QAM）。
从核心技术来看，802.11ac是在802.11n标准之上建立起来的。802.11ac 是专门为5GHz频段设计，特有的新射频特点，能够将现有的无线局域网的性能吞吐提高到可以与有线千兆级网络相媲美的程度。802.11ac作为IEEE 无线技术的新标准，它借鉴了802.11n的各种优点并进一步优化，除了最明显的高吞吐特点外，同时还提升了多项技术。
802.11ac做了大量的技术改进，主要包括如下：
（1）更宽的通道带宽
802.11ac支持80MHz的频宽，可选择使用连续的160MHz频带，或者不连续的80+80MHz频带，其信道分布如图1所示。

频宽的提升带来了可用数据子载波的增加。80MHZ可用的子载波数量达到234个，而40MHZ只有108个，这样80MHZ就可以带来2.16倍的增速。小小的副作用就是，需要将相同的传输的功率分隔到多出来的子载波上，从而造成信号的覆盖范围会稍稍减小，但是总的来说还是好的。
（2）更高阶的调制
802.11ac 使用了正交频分复用(OFDM)技术来调制数据比特在无线介质上传输。802.11ac 可视情况选用256 QAM ，256 QAM使每个子载波的数据比特数从6增加到了8个，从而使吞吐量增加了33%，但是256 QAM只适用于高信噪比的环境，换句话说即在良好的信道条件下。
（3）更多的空分流及MU-MIMO
802.11ac最多支持8路空间流,支持多个空间流是可选的，但空间流数量的增加与802.11ac 多用户多进多出（MU-MIMO）的新功能结合最为有效。802.11ac技术在单用户和多用户MIMO模式下，支持最多8路空间流；最多4个用户；并且在多用户模式下，每个无线终端不超过4路空间流。

凭借802.11ac标准关键技术的改进，如更高的带宽、更多的空间流、更高阶次调制类型、MIMO技术以及RTS/CTS机制，使其速率与802.11n相比有了很大的提升，802.11ac制定的理论上的最高频率为6.9Gbps。下表是802.11a，802.11n，802.11ac标准的理论速率和产品速率，从此表可知，第一波80MHZ的802.11ac产品在物理层能提供433 Mbps（低端），867 Mbps（中间层），或1300 Mbps（高端）的速率。第二波160MHZ的产品采用更多的信道绑定和空间流，运行频率高达3.47 Gbps。

4.2.2 AC备份技术
一、产生背景
在AC+Fit AP的分布式网络中，AP的数量已经不仅仅是几百台，而是几千甚至几万台。在大规模的网络中，如何保障无线接入的可靠性变得至关重要。
现有的AC+Fit AP组网模式中，AP要靠CAPWAP协议机制来发现AC，在AC上注册关联成功后才可以提供服务，而AP靠CAPWAP保活报文检测AC故障的过程更加耗时。如果一台AC故障，所有AP去另一台AC重新注册，这个过程导致的网络瘫痪时间对一个网络来说影响是巨大的。如何缩短切换时间，减少对网络的影响，是一个亟待解决的问题。
二、 AC备份基本功能
2.1 特性介绍
AC备份方案的实现是：一台AC主用处理各种业务，另一台AC备用，只负责与AP间CAPWAP保活报文的处理，在Master AC故障时改变自身角色，成为新的Master AC处理各种业务。
AC建立主从关系后，AC间不断的发送保活报文，检测主用AC是否正常。保活报文的交互是基于毫秒（ms）级的。
通过AC上AP优先级值的配置，可以人为选择AC对AP的控制范围。AP与AC关联时，会选择与优先级值高的AC关联为主用。优先级值范围是0～7。当AC优先级值设置为0～6时，AC发生热备切换，原主AC恢复后，AP不会再次切换回原AC；当AC优先级值设置为7时，原主AC恢复后，AP会再次切换回原AC。
AC热备主从切换过程是快速的，给AP下接入station的通信服务带来的影响非常小。
2.2 实现原理
网络中的AP通过CAPWAP协议与两台AC关联。AP从主用AC上获得所有的服务，Slave AC不提供服务，只负责发送Master AC down的信息。对端AC故障事件发生后，Slave AC会转变为Master AC，同时AP转到新Master AC上获得服务。AP下接入station的通信服务不会受到任何影响。
AC间热备关系的保活机制是靠类型为0x8918的帧交互实现的。当Slave AC检测不到Master AC的心跳报文时，就认为Master AC故障。Slave AC将自己的角色转换为Master，通过configuration update request message报文将“peer down event”告诉AP，并开始为AP提供服务。
AP通过CAPWAP收到configuration update request message报文，知道“peer down event”后，将Slave AC切换为Master AC,并向新Master AC发送数据。同时AP重新开启CAPWAP discovery进程，根据新Master AC提供的IP地址，与新的Slave AC关联。
4.2.3 内容缓存Cache技术
随着各种互联网应用和发展，特别是在线视频服务的快速成长，各种互联网创新应用的日益普及，对宽带资源的消耗越来越大。如何对网络进行优化从而提升用户体验，也应成为无线城市建设中需要重点考虑的问题之一。
BlueValley网络内容缓存系统，采用最新的缓存技术，不仅能够针对互联网视频进行缓存优化，还能对网页的http下载和网页图片等进行智能缓存。它能够智能判断无线城市本网络中的热点资源，实现热点资源本地化读取，不仅为用户提供极速体验，还因为削减重复数据流和低价值流量，节省出口带宽资源。
提升用户体验：对于加速系统命中的视频、http内容，用户可以直接使用本地网络获取，而不是从远程服务器获取，从而获得更大的带宽，减小了传输延迟，减少缓冲，从而为用户提供更加优秀的网络体验。

节省互联网出口带宽：在互联网出口部署该系统，通过强大的缓存功能，将用户访问的HTTP静态内容以及多媒体内容缓存到本地，后续用户访问热点内容时，无需消耗出口带宽，实现带宽放大效果。

4.2.4 绿洲运维运营平台
绿洲平台是H3C公司推出的业界领先的新IT在线运营平台，该平台服务于Wi-Fi运营类公司、互联网+转型的O2O企业以及广大的中小企业三大类型群体，最终为客户带来更好的Wi-Fi服务。
绿洲平台具备“运维服务，场景化运维”、“增值服务，绿洲生态”两大基本功能。

一方面，绿洲平台可以使得无线城市管理者可以在手机端查看网络状况、健康度、健康趋势，能够做到随时、随地、更加简单的管理网络。H3C公司通过将无线城市中的主要指标（如AP数量、用户数量、使用带宽、流量监控等）抽取出来，形成更加直观、简洁的界面展示给无线城市管理者；同时绿洲支持手机APP形式，管理者即使不在网管机房，也可以通过手机随时随地查看无线城市的运行状况。
华三绿洲平台提供了10s巡检、健康度、雷达报告、健康趋势、流量监控等运维模式，极大减轻IT运维难度。

另外，H3C绿洲平台也是一个在线运营平台，叠加营销推广功能，通过各种用户定位等数据统计分析功能，实现了端到端的联接，规避设备间一个个孤岛，使得用户与用户产生更大价值。同时，H3C绿洲平台支持第三方增值业务的接入，未来可支持广告精准定向投放、消费行为分析、旅游信息发布、商圈信息推广等，真正实现在无线城市基础上的可运营。

4.3 统一集中管理平台功能

4.3.1 无线设备统一管理平台
无线设备管理
作为接入层网络，无线网络需要较多的AP，维护工作量较大，加之无线网络的灵活性和不可见性，如果对每个AP进行单独管理则会造成较高的维护开销，也给管理人员带来了一定的难度。而且无线网络直接面对最终用户，对管理系统稳定性、实时性、有效性要求都较高。
H3C无线运营管理组件（WSM）作为iMC智能管理中心的无线业务管理核心，对于网络中的AC、FAT AP、FIT AP、移动终端等无线设备与有线设备进行一体化集中管理，全网设备信息和状态一目了然。网络资源通过多种视图进行查看，视图内分组管理，将规模巨大的无线接入设备有效组织，便于管理员维护。
WSM中的无线业务逻辑拓扑帮助管理员直观了解网络部署情况及设备/链路当前状态。系统可根据不同的方式组织资源，有效进行拓扑分组、真实组织全网资源。物理位置视图中管理员可根据需要创建多纬度、多层次的物理位置结构，并在指定建筑物底图上根据真实情况摆放设备，逼近真实网络环境。

WSM可以直接在拓扑图中对移动终端的信息进行查看，包括MAC地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在AC设备、所在AP设备等，并能查看各移动终端的全部漫游记录，使管理员随时了解最终接入用户的情况，并对其接入轨迹进行审计。

在实际无线环境的部署和维护中，需要关注无线设备的RF范围、覆盖管理以及无线网络规划扩容问题。H3C无线运营管理组件（WSM）可以用很直观的拓扑图表示出无线网络中的RF状况。通过障碍物的设置，用户可以更加精确的查看由于遮挡对信号衰减的情况。查询RF覆盖可以分别按照信号强度、速率、信道进行，满足用户分析信号覆盖情况的需要。

另外，除了WLAN AP及AC设备外，网络管理平台还应能对相关基础资源进行统一的维护和管理，包括网络设备、安全设备、服务器等，针对网络故障形成告警信息，并最终实现可视化管理。
网络设备管理及自动发现
网络设备管理及自动发现功能主要包含可管理的网络设备范围，设备管理及配置能力，支持的设备访问协议及自动发现机制等。
（1） 支持多种设备类型
支持各类支持SNMP协议的网络设备，包含路由器、交换机、服务器、安全网关、无线、语音、视频、监控、打印机、其他SNMP设备。
（2） 网元配置管理
提供基于设备面板的设备、单板、端口配置功能，包括环境监控、设备基本信息、IGMP Snooping协议配置、VLAN接口管理、增加接口到VLAN、环回测试、硬件信息浏览、设备IPv6信息浏览、地址绑定、端口聚合管理、端口镜像管理、MSTP协议管理、设备监视、端口监视、OSPF信息浏览、BGP信息浏览、RIP信息浏览、L2/L3接口类型转换等功能。

提供直观的设备的面板视图：支持设备面板的显示、定时刷新、面板缩放功能，通过面板管理，网络管理人员可以直观地看到设备、板卡、端口的工作状态；

（3） 支持多种设备访问协议
支持SNMP v1、v2c、v3协议访问设备，用于使用mib进行管理的功能。
支持Telnet、SSH协议访问设备，用于设备配置管理、ACL管理等使用命令行的功能；SSH协议（基于Telnet的安全远程登录协议）支持密码和RSA\DSA密钥认证，保证数据传输的安全性。
支持TFTP、FTP、SFTP协议访问设备，用于设备配置管理等使用文件传输的功能。
（4） 支持设备自动发现
网管系统自动发现网络中的设备，包括简易模式和高级模式：
在简易模式下，系统将根据管理员配置的网段参数，通过网段方式自动搜索网络中的设备；可以启用定时发现，用于根据所设间隔时间周期性的进行自动发现；
在高级模式，管理员可选择按路由方式发现、ARP方式发现、IPSec VPN方式、网段方式等方式进行自动发现；
可以启用定时发现，用于根据所设间隔时间周期性的进行自动发现；
可以使用多个SNMP参数、Telnet参数、SSH参数进行发现；
可以设置过滤条件用于在发现过程中屏蔽一些不想管理的设备和子网；
可以设置是否网段内逐个扫描，以全面发现设备（适用于路由和网段发现）；
可以设置发现后的设备自动加入的设备分组。

网络拓扑管理
网络拓扑管理功能主要包含拓扑自动发现、拓扑编辑及自定义、拓扑操作等。
（1） 网络拓扑自动发现
系统可根据子网中的二层设备自动绘制的拓扑图，在二层拓扑中显示出了各个设备之间的链路层连接关系（包括聚合链路）、链路状态、设备状态等网络结构和状态信息。

可从IP层协议的角度，对系统所管理的网络进行认识和分析形成拓扑，显示了三层设备之间的逻辑连接关系。在IP拓扑中，展示网络中的三层设备与三层设备，三层设备与子网的连接关系，反映出网络中的路由和子网划分情况。
支持qBridge协议、NDP协议、CDP协议、MSTP、STP、LLDP协议等构建二层拓扑。
（2） 拓扑编辑及自定义
系统可提供全网络的拓扑视图和自定义拓扑视图，使用户可以根据自己的组织结构、地域情况、甚至楼层情况清晰灵活地绘制出客户化的网络拓扑。在全网络拓扑视图中，用户可以随意组织和定制子图。
管理员使用系统的自定义拓扑编辑功能可以很方便地绘制网络的结构，添加网络中的设备以及设备之间的连接，支持自动网络连接。自定义视图中的每一个节点都有各自对应的自定义拓扑图。
拓扑管理支持分层管理、子图缩略管理。
可对拓扑中设备图标、拓扑背景颜色、图片等进行自定义。
（3） 拓扑浏览及操作
可点击拓扑对象查看设备、链路信息；拓扑上浮动显示设备、链路的基本信息和CPU等性能信息。
可切换编辑\浏览状态；支持1:1比例或缩放拓扑；支持拓扑节点的[等长链路布局]、[树形布局]、[星形布局]、[环形布局]和[网格布局]自动方式；修改设备标签、链路名；修改拓扑背景；显示\不显示网格。
可设置设备、链路标签显示方式。
提供鸟瞰图，方便用户快速选择操作区域。
提供快速定位拓扑节点的方法，可在当前拓扑查找定位设备。
提供任意两个节点（IP地址）之间的路径分析和查看。
查看STP拓扑 提供STP拓扑，展示网络的STP生成树信息。
在拓扑上提供Ping、Telnet和Traceroute工具的入口。若设备支持Web网管，则可以直接进入到其管理界面进行管理。

网络设备性能管理
性能管理功能主要面向各类网络设备的性能综合监测和分析，应具有性能监测管理、性能数据管理、性能阈值门限管理、性能分析及展示等功能。
（1） 性能监控指标
可设置设备资源的CPU监视、内存监视、设备可用性、设备流量、接口流量指标是否监控；支持单个指标、具体实例的启动停止。
（2） 性能阈值设置
可以对各项监控指标的两级阈值，当监控值超出定义阈值后，生成性能阈值告警。
（3） 性能数据展示
可以以折线图、表格、仪表盘等多种样式展示监控数据，支持TOPN性能数据展示和历史趋势性能数据展示。
（4） 实时性能监视及诊断
支持设备和端口等流量信息的实时监视。性能数据不入库，结束监控后即丢弃。便于诊断实时网络问题。
网络设备告警管理
设备告警来源包含多种途径，可接收网络设备snmp trap、syslog、其他网管以及iMC本身产生的告警，可解析主流网络设备发送的snmp trap和syslog告警，包含CISCO、H3C、HUAWEI等。

网络设备配置备份管理
（1） 支持设备配置集中管理
配置库包括配置文件和配置片断，配置内容可带有参数，在部署时根据设备的差异设置不同的值；配置文件可部署到设备的启动配置或者运行配置；配置片断只能部署到设备的运行配置；
（2） 支持批量的设备配置备份和恢复
支持向导方式或者任务方式（周期性任务、一次性任务或立即任务）批量的备份、恢复完整的配置文件，也可以批量的下发配置片断。
（3） 基线化的设备配置变更审计
提供设备运行配置和启动配置的基线化版本管理，将每个设备相关的配置文件划分为三种版本：基线、普通、草稿。便于管理员识别、管理。通过备份、恢复手段，以及备份历史、升级历史管理，使配置文件管理和软件升级管理具有了可回溯性
（4） 支持设备软件智能升级
支持网络运行设备的软件版本查询功能，支持先备份后升级，保证一旦升级失败后可以恢复到原有设备软件版本，支持对整个升级过程的可靠性检查，如设备软件版本和设备是否配套，flash空间是否足够等，确保用户的整个升级操作万无一失。

4.3.2 用户认证平台
1、短信认证
无线网络项目对安全有着严格的要求，必须能够对外来人员进行身份认证，一方面对wifi网络安全有一定程度的保护，另一方面，保证网络的正常使用，提高网络的使用效率和用户的使用体验。根据无线城市的特点，本次方案建议采用portal短信认证的方案，客户通过短信自助获取登录密码，登录账号即用户手机号。这种认证方式可以在减少网管人员工作量的同时，对无线接入用户进行登录信息记录，便于以后审查。
针对用户流动性较大，顾客众多且不固定的特点，无线访客接入管理组件（EIA）在顾客通过手机接入之后，后台服务器会快速为新顾客开户，发送登陆密码到顾客手机，访客身份验证成功后，根据访客策略通过ACL、VLAN控制访问范围，访客可以手动注销或者超时自动注销；服务器也会定期自动删除失效访客账号，保障后续客户的顺利接入。如果检测到接入用户手机长期处于“无流量”状态，EIA服务器可以将此用户作下线处理，用户再次接入的时候，无需再次输入手机号和密码，可以“快速无感知”接入继续上网。
认证完成之后页面会转到无线城市营销页面（H3C支持按照模板自定义界面，可以提供现成的模板对企业营销界面进行自主设计），同时，H3C EIA组件也会对外提供接口，支持与第三方对接，方便企业或第三方厂商读取EIA每天新的注册用户信息，导入企业数据库；同时支持将企业普通会员或VIP客户信息从企业数据库导入EIA。
认证流程及营销页面图：




2、微信认证
营销策略对于众多商家企业来说并不陌生，常用的营销方式如电视广告、报纸杂志、网络宣传甚至上门服务等等途径也为众多商家和企业带来了更广泛的客户群体和更巨大的利益回馈。而随着移动互联网的快速发展，一种新型的营销方案—基于WIFI的微信营销模式应运而生。它的出现不仅让众多企业或普通消费者认识到了WIFI营销方式的巨大魅力，也让众多企业得到了大量客源和巨大利益。
H3C无线微信认证解决方案，可以让消费者更快速详细地了解消费信息，让企业更精准及时地推出营销策略，让企业营销方案更加贴近消费者的实际生活。通过企业WIFI接入与众多消费者青睐的微信应用服务相结合，不仅可以让消费者更轻松便捷地认证登录到企业提供的WIFI网络，而且也可以为企业提供一种新型的营销平台。
可以说企业通过H3C无线微信认证解决方案，相当于拥有了一个100%精准广告投放的营销平台，在这个平台上，既可以展示企业的品牌页面、优惠及特色活动，也可以通过此种方式获得大量微信粉丝。微信认证方案技术如下：

第1步访客先通过3G或者企业WIFI接入（将微信服务器地址作为Free IP），通过扫描二维码或查找企业公众号进行订阅；
第2步 微信客户端将订阅信息发送到腾讯微信服务器，微信服务器将访客的订阅动作以及微信OpenID等信息发送给企业微信服务器。企业微信服务器通过OpenID可以查询该用户的昵称，头像，性别等信息；
第3步 企业微信服务器调用iMC EIA 二次开发接口，用微信OpenID作为账号名进行开户，密码动态生成，昵称为用户姓名，头像，性别等相应保存。iMC EIA 二次开发接口为Restful接口，详细使用参见《Rest.rar》；
第4步. 企业微信服务器通知访客订阅成功并且推出含H3C 无线Web Portal认证的链接(该链接会通过调用H3C iMC EIA的认证单点登录接口)，且提示用户必须先启用某个SSID的WIFI。H3C iMC EIA的认证单点登录接口参见《iMC 接入单点登陆.chm》。给访客推出H3C 无线Web Portal认证链接，可以直接附加在订阅动作中，也可以单独通过菜单动作(例如接入WIFI)，或者命令行触发；注意：iMC EIA服务器账号每3个月自动注销，需要重新点击“接入WIFI”菜单动作重新开户，即防止用户量大导致iMC性能，也可以强制访客常访问公众号。取消订阅可以自动注销iMC EIA账号；
第5步 访客看到第4步的提示后接入企业实际WIFI，点击微信公众平台发出的上网链接，通过单点登录自动完成身份认证，即可成功上网。

4.4 无线城市前端建设方案

4.4.1“无线城市”设计目标
侧重实际应用，覆盖城市内各个设计区域，为宣传和学习、娱乐、生活提供切实可用的无线城市网络环境。
本次设计采取通行的网络协议TCP/IP协议，并支持未来的IPV6标准，通过无线AC资源池+分层AC控制器的设计架构，在整个“无线城市”一、二、三阶段无线规划建设中部署无线控制器AC实现无线局域网普遍采用的802.11系列标准，康巴什“无线城市”项目将主要支持业界最先进的802.11ac标准，以提供可供实际应用稳定的、高速的移动网络通讯服务，同时兼顾多种类型应用和将来的投资保护，需要同时支持801.11a，801.11b，802.11g，802.11n。
全面的无线网络支撑系统（包括无线网管、无线安全，无线计费，IPv6等），以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题。
保证网络访问的安全性。
采用非独立的、可与有线网络无缝对接的无线网络结构。
◆覆盖范围设计：
（1）有线网络使用不便或受限的室内空间。城市内一些室内场所空间较大，会产生许多人同时接入网络的需求，采用有线的方式只能提供少量接口，不能满足要求。用无线网络覆盖来解决相当数量的移动设备同时访问网络的问题。主要覆盖中心城区“三线、两站、三圈”等重点区域；
（2）有线网络无法接入的室外场所。城市内一些场所很难实现网络有线接入，采用无线方式可以实现覆盖大范围室外空间的无线网络接入。本次建设建议考虑室内高密度覆盖的人口基数，其次考虑室外信号覆盖的地理区域面积进行规划。
◆安全、认证、计费和管理要求：
要与认证系统对接，实现针对用户认证、管理、控制功能。
4.4.1.1 802.11ac覆盖解决方案
（1）部署方案
本次“无线城市”设计方案中AC资源池+分层无线控制器＋802.11ac“瘦”AP的组建方案，无线控制器作为无线数据控制转发中心，部署于康巴什各地区区域的网络中心机房中，无线接入点则部署在前端用户受众公共区域。
无线接入点AP建议采用802.11ac千兆无线传输协议类型的设备，AP需要支持2.4Ghz、5Ghz双频同时组网，以适应逐步普及的5G终端设备，同时5G频段提供更好的抗干扰能力，可以为用户提供更优质的无线网络接入。室外区域采用大功率进行无线覆盖，并且支持IP67防护等级的室外形AP。
对于室内AP，要求主机发射功率达到20dBm，该功率是符合国家相关规定的最大发射功率，既可以最大区域的实现无线覆盖，也不会对人体造成伤害。
设计AP主机支持胖瘦一体化设计，对于某些特殊点，可以将AP切换为胖AP模式，作为传统的无线路由器为用户提供接入。
11ac FitAP和无线控制器之间既可以在同一个网段，也可以不在同一个网段，它们之间通过CAPWAP协议自动建立隧道（该隧道基于UDP，可以穿越三层网络），这样就非常容易部署数量较大的无线终端接入方案。
（2）方案特点
本方案的特点如下：
1)IEEE802.11ac技术主要依靠物理层和MAC层的技术改进来实现速率的提升。主要应用到的技术包含如下：
MIMO，多入多出，在链路的发送端和接收端都采用多副天线，是将多径传播变为有利因素，从而在不增加带宽的情况下，成倍地提高通信系统的容量和频谱利用率，以达到WLAN系统速率的提升。
双频带(支持20/40M带宽)，通过将两个20MHz的带宽绑定在一起组成一个40MHz通讯带宽，在实际工作时可以作为两个20MHz的带宽使用，收发数据时既可以以40MHz的带宽工作，也可以以单个20MHz带宽工作，从而将速率提高一倍。
ShortGuardInterval(GI)，短保护间隔，射频芯片在使用OFDM调制方式发送数据时，整个帧是被划分成不同的数据块进行发送的，为了数据传输的可靠性，数据块之间会有GI，用以保证接收侧能够正确的解析出各个数据块。无线信号在空间传输会因多径等因素在接收侧形成时延，如果后面的数据块发送的过快的话，会和前一个数据块的形成干扰，而GI就是用来规避这个干扰的。11a/g的GI时长为800us，而ShortGI时长为400us，在使用ShortGI的情况下，可提高10%的速率。
FrameAggregation，帧聚合，通过把多个待发送的载荷聚合到一起，一次性发送，减小了多次报文发送所需的额外协议负荷，从而提高吞吐。
SMPowerSave，主要考虑在MIMO中如何通过关闭天线来节约电源。
2）全系无线产品支持IPv4和IPv6双栈，为用户提供和有线网近乎同等的应用承载：
无线交换机支持MLDSnooping，配合现有IPv6有线网络，实现IPv6组播业务；
AP和无线控制器之间可以建立基于IPv6地址的隧道，多个无线控制器之间可以建立基于IPv6地址的隧道；
支持IPv6管理特性。
3）智能射频管理：每个AP上电时，无线控制器会根据AP的邻居关系动态调整AP工作的信道和发射功率，在保证覆盖的前提下保证AP间的干扰最小。

当AP覆盖区域受到外界强信号干扰时，无线控制器会控制AP自动切换到合适的工作信道以规避干扰信号。
当覆盖区域内的某个AP发生故障而造成覆盖黑洞时，无线控制器会自动调整相邻的AP的发射功率以消除黑洞区域，当故障AP恢复工作后无线控制器可以自动调整邻居AP的发射功率恢复原始工作状态。
4）智能负载均衡：无线控制器可以设定AP间对接入用户进行负载分担，负载分担的策略可以是基于AP接入的用户数量，AP流量负载情况；当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP；只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误均衡的出现。
5)无线入侵检测：非法设备是未经网络管理者许可部署的无线设备或者是发起无线攻击的设备，无线控制器可以指定AP工作在两种工作模式：模式一、AP负责监听空口所有信道的信息，但不负责用户报文的转发。模式二、AP在为用户转发数据的同时定期切换到其他信道监听信息；
AP设备负责把监听到的无线设备和有攻击行为的无线设备上报给无线控制器；
无线控制器根据AP上报的设备信息识别合法设备，排除非法设备；
无线控制器可以控制AP将非法设备列入黑名单或者对其发起攻击。

4.4.1.2 无线安全
康巴什“无线城市”无线网络主要服务于康巴什人民及关注公众号的受众，同时由于使用者的复杂程度，其中部分可能出于技术的研究兴趣，会对网络发起各种各样的攻击行为，此时网络安全问题在建网时必须考虑问题，“无线城市” 分层AC控制器及AC资源池的安全方式主要侧重几个方面：用户安全、网络安全，而在“无线城市”网络中主要依附于用户实体的属性主要包括用户使用的信息终端二层属性（诸如：MAC地址）及用户私人的各种门户、银行的帐号和密码，而对于“无线城市”用户来说，帐号信息都是通过一个实体介质传输的，与网络的使用过程紧密关联的，这样无线网络中着重考虑使用无线网络的空口信息的安全机制，同时也要考虑与无线相关的有线网络的安全问题。
无线网络安全
无线网络安全部分主要包括以下方面的内容：
（1）MAC地址过滤：目前支持基于MAC地址的过滤，限制具有某种类型的MAC地址特征的终端才能进入网络中；
（2）SSID管理：是一种网络标识的方案，将网络进行一个逻辑化标识，对终端上发的报文都要求进行上带SSID，如果没有SSID标识则不能进入网络；
（3）WEP加密：WEP加密是一种静态加密的机制，通信双方具有一个共同的密钥，终端发送的空口信息报文必须使用共同的密钥进行加密；
（4）支持AES加密，AES安全机制是一种动态密钥管理机制，同时密钥生成也基于不对称密钥机制来实现的，同时密钥的管理也定期更新，具有体的时间由系统可以设定，一般情况都
（5）设定为5分钟左右，这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来，从无线空口的流理来看，基本上是不可能的；
（6）本无线方案中可根据用户名来划分权限，即相同用户在不同地点接入无线网络其权限保持一致；密钥设置可能根据SSID信息与用户信息进行组合，即不同的SSID下不同的用户的密钥生成可以不一样，这样一定程度上保证用户之间串号问题产生，从而保护投资，以达到营维平衡。
4.4.1.3 供电问题
由于本次无线网中主要覆盖大面积的室内公共区域，AP设备分步较分散，而且AP布放位置根据实际覆盖效果而调整，在已建设完成的建筑物上较难进行本地供电，可采用基于标准的802.3af/802.3at实现对AP的供电，通过部署带有POE供电功能的POE供电盒或POE交换机，经过以太网线在传输数据同时给AP供电，供电距离达100米，满足实际组网的要求。
4.4.2 应用场景无线覆盖分析
无线城市覆盖环境非常复杂，涉及室外街道、广场、休闲区域、体育馆、学校、写字楼、商铺、购物中心、居民区等场景，通过单一的室外无线覆盖肯定达不到很好的覆盖效果，建议分场景进行无线覆盖，根据不同的无线覆盖需求及接入人数，灵活安排不同的AP来覆盖，主要分为以下几种。
4.4.2.1 室内普通覆盖
涉及普通的室内环境，并发人数不是特别多的室内空旷区域覆盖，建议采用放装型802.11ac系列AP进行覆盖，基于2-Streams 11ac MIMO技术的千兆高速无线接入设备，可提供相当于传统802.11n网络3倍以上的无线接入速率，能够覆盖更大的范围。
4.4.2.2 室内高密覆盖
涉及火车站、机场、体育场馆、高密会议场所等应用场景，对接入数、可靠性的要求较高，传统的无线接入AP通常采用双频方案,分别在2.4GHz和5GHz两个频段上提供无线信号接。三频段AP，在保留原有双射频的同时，增加了一个灵活可变的第三个射频。当实际接入的终端类型支持5GHz的数量较多时，可将该射频配置成5GHz频段，从而提高5GHz的接入用户数量和带宽能力，反之，2.4GHz终端较多时则可以配置成2.4GHz，组网形式非常灵活。因此接入速率最高可达2Gbps，非常适合在火车站、机场、体育场馆等高密度接入场景使用。
4.4.2.3 室外智能型大功率AP
室外智能型大功率AP在本次设计中，安装的环境是复杂的室外环境，设备长年累月工作在苛刻的环境中，必须对设备的工作温度及工作湿度进行要求，还需要权威的防护等级测评，应用场景比如成熟城区街道、广场、景区室外部分、特色城镇，对接入数、可靠性、覆盖面积的要求较高，因此对此类设备的基本要求如下：
12. 支持802.11b/g/n/ac；
13. 接入速率≥1160Mbps；
14. 支持双频共用；
15. 可支持独立工作或接受无线控制器统一管理模式；
16. 支持频谱分析、防护功能；
17. 支持多SSID绑定多个VLAN功能，实现在同一个AP下不同用户组分配到不同的网段或访问权力；
18. 支持IPv4/IPv6；
19. 提供1个非复用千兆电口、1个非复用千兆光口，支持POE受电；
20. 具备IP67防水防尘等级，满足极端环境要求；
21. 工作温度/存贮温度：-40ºC～65ºC(-15ºC时加热部件开启工作)/ -40ºC～85ºC
22. 工作湿度/存贮湿度：0%~100%(非冷凝)
4.4.2.4 室外场点选择原则

1. AP典型安装方式

1. 室外蜂窝覆盖
   对于中小规模室外覆盖，如公共广场、公园园区、室外人口较为聚集的空旷地带等场合，宜选用室外放装型AP 设备，该类型设备可组成蜂窝状网络结构实现对室外的覆盖。
   
2. 大功率 AP 室外覆盖
   对于布局简单的街道如商业步行街、无有线资源的商务楼等场景宜选用大功率室外AP 设备，该类型设备可在街道两头或街道中段的楼顶、或商务楼对面的楼宇上安装，并配外置天线来实现对街道或商务楼的覆盖。

2. 站点选择原则

1. 室外空旷区域总体宜按照蜂窝网状布局执行，尽量提高频率复用效率，将信号均匀分布，控制每个AP 覆盖区域的重叠区域。
2. AP（或天线）宜布放在高处，减少人员走动等环境变化对信号传播的影响，改善AP 的接收性能；
3. 根据覆盖区业务需求和地貌，选择合适的天线类型（全向/定向）；
4. 天线安装位置需远离大功率电子设备,如: 如微波炉、监视器、电机等；
5. 在选择天线布放位置时应注意规避可能影响无线射频信号传播的障碍物，如金属架、金属屏风等物体；
6. 确定天线位置时应对要求覆盖的每一片区域的特点必须有清楚的了解。
7. 了解在此区域的可能的用户的特点以及覆盖区域的建筑结构特点，根据现场模拟测试结果确定AP（或天线）的安装位置。

4.4.3 无线干扰控制措施
AP 部署时需对覆盖区域进行频率清查，掌握频率干扰及占用情况，进行频点选择和干扰规避。无线干扰控制措施：

1. 在一个 AP 覆盖区内直序扩频技术最多可以提供3 个不重叠的信道同时工作。考虑到制式的兼容性，相邻区域频点配置时宜选用1，6，11 信道。
2. 频点配置时首先应对目标区域现场进行频率检测，对于覆盖区域内已有 AP 采用的信道，应尽量避免采用。
3. 对于室外区域干扰宜采用调整(定向)天线方向角，避免天线主瓣对准干扰源的方式或调整功率。
4. 室外 AP 覆盖区频点配置时，为了实现AP 的有效覆盖，避免信道间的相互干扰，在信道分配时宜引入移动通信系统的蜂窝覆盖原理。对1，6，11 信道进行复用，见下图：
   
5. 系统设计时应注意避免干扰源的影响。
6. WLAN 规划设计时结合现场勘察和测试之后，应指定覆盖区域的每个AP 的工作频率，不宜考虑AP 自动频率调整功能，以防止频率的频繁调整而导致用户无法接入。
7. 部署802.11ac设备时，在2.4GHz 频段存在干扰的环境中，不应使用2.4GHz 部署40MHz 信道。
8. 频率干扰严重区域，可根据用户终端情况开启5.8GHz 频段，双频设备，建议开启双频模式。

4.4.4 网络优化
WiFi网络优化的目标使无线接入设备覆盖所有期望覆盖的区域，并且具有足够承担预期负载的能力。优化需关注用户认证成功率、网络吞吐量等各类与用户体验相关的KPI指标。对于无线网，接入网各类运维指标进行优化，同时必要时对组网方案提供优化思路。
WiFi网络质量提升优化服务主要从射频部分优化和整体网络优化两部分着手。
[1] 射频部分优化
射频部分优化包括(1) 覆盖测试 (2) 功率调整优化 (3) 信道划分优化 (4) 负载均衡优化 (5) 过滤干扰优化 (6) 速率保优 (7) 降低个别用户影响

1. 覆盖测试
   WiFi测试按照WiFi测试规范进行测试，对每个WiFi覆盖点或可能需要的WiFi覆盖点进行测试，记录测试结果，复测优化调整后效果。
   在进行WiFi覆盖测试时，对可能存在的其他WiFi覆盖进行对比测试，找出现网不足，对WiFi网络进行改进优化。
2. 功率调整优化
   传统的射频功率控制一般缺省将发射功率设置为最大值，单纯地追求信号覆盖范围。但功率过大可能导致对其他无线设备造成不必要的干扰。因此，需要选择一个能平衡覆盖范围和系统容量的最佳功率。在最佳功率设置的同时，需要优先考虑优化部署方式。
3. 信道划分优化
   对于无线局域网，信道是非常稀缺的资源。合理选择AP信道，从而达到规避干扰的目的。根据建筑特点，选择部署方式，并根据情况进一步功率优化。
4. 负载均衡优化
   在不同场所，合理实现无线用户的负载均衡，保证用户的快速接入。除了AP间的负载均衡，同时进行信道、频段之间的用户分担。
5. 过滤干扰优化
   在高密场所，AP设备和用户非常多，合理调整设备的高密工作模式，过滤干扰信号，减少干扰信号对本设备通讯性能的影响。
6. 速率保优
   无线与有线通讯最大的区别是空口稳定性差，容易受到各种因素的影响，这注定了AP与用户之间的速率是动态调整的。合理对WiFi进行优化，保证设备处于最佳发送速率状态。
7. 降低个别用户影响
   因用户所使用网卡的差异（或者所处位置等其他差异），同一AP下各个用户的表现往往也有差异，常会出现个别用户的速率非常低的情况。合理优化，抑制低速率用户大量占用空口时间，从而降低其对空口性能的影响，保证整体空口性能的最优。

[2] 整体网络优化
整体网络优化包括（1）网络结构优化（2）路由、交换设置优化（3）流量监控及安全优化

1. 网络结构优化
   网络的设计决定了整个网络的速度。一个好的网络整体规划设计不但能够满足性能的要求，同时还应该便于支持日后对于网络的扩大处理。从多环节对网络设计或结构进行优化。
2. 路由、交换设置优化
   对路由及交换设置进行优化，提高设备的性能。
3. 流量监控及安全优化
   外界网络对内部的DDOS攻击，端口扫描对于局域网影响非常大，更危险的行为往往来自于局域网内部用户本身，其次，由于基于P2P协议的流媒体协议使用越来越普遍，对流量进行监控，并及时考虑对安全性能进行优化。

4.5 无线城市网络建设方案

根据无线城市整体架构可看出，整个拓扑分为两大部分，一无线中心区、二无线部署区，无线中心区包括：网络核心交换机、无线控制资源池、和服务器资源池；无线部署区包括：网络接入交换机、无线AP主机。
4.5.1 核心层网络规划
1）核心层网络规划
核心层网络设备包括无线控制器AC、核心交换机、网络出口路由器、防火墙等设备。
从安全性考虑，本项目初期设置2台无线控制器AC，实现1+1备份，采用虚拟化方式，主/备AC配置相同，通过心跳互连。一旦监控到无心跳报文或者所监控的端口出现异常，主备关系发生改变。备用AC启用时与主用AC完全一致（配置/MAC地址/IP地址），上联/下联设备均未感知发生切换，仍保持原来的工作状态，从而实现备份目的。根据前端AP设备厂家情况，本项目共设置2台AC设备，通过万兆端口与核心交换机互联。单台硬件至少支持2000个无线AP的控制和管理能力以方便后期扩容，当未来无线网络AP数量增加时，可通过增加AP license授权的方式平滑扩容。
设置2台核心交换机，用于连接各区域汇聚交换机及业务、管理平台相关设备。每台核心交换机配置双主控，本期每台配置72个千兆电口，20个千兆光口，4个万兆光口。作为整个网络的核心，要求核心交换区设备具有高可靠性，优先选用采用交换引擎与路由引擎物理分离设计的设备，从而在硬件的体系结构上达到数据中心级的高可靠性。
本次方案中通过部署虚拟化技术实现两台或多台同一层物理交换机虚拟成一台逻辑设备，通过跨设备链路捆绑实现核心和接入的点对点互联，消除二层网络的环路，这样就直接避免了在网络中部暑STP，同时对于核心的两台设备虚拟化为一台逻辑设备之后，网关也将变成一个，无需部署传统的VRRP协议。 在管理层面，通IRF2多虚一之后，管理的设备数量减少一半以上，对于本项目，管理点只有核心和接入两台设备，网络管理大幅度简化。如下图所示：

2）无线控制器AC后期演进策略
现阶段的无线控制器均采用了集中式部署，即所有无线城市均隶属于核心的两台无线控制器上。当无线城市规模十分庞大，且纳入越来越多的包括校园网、商业广场WiFi等场景的AP后，会带来一些问题。
传统AC+AP架构缺陷
传统AC+AP架构中，AC与AP联系很紧密，由于AP定位为“瘦AP”，所以AC负担了大部分无线相关的功能。因此，对于这种架构，天然要求AC和AP间的链路带宽应该越大越好，时延越低越好。如果AC与AP间往往跨越Internet，于是这种单层AC、AP架构就会带来各种诸如用户认证慢、漫游性能低下等问题。
分层AC架构应运而生
为了解决AC和AP之间的高速链接需求，提出分层AC架构。整个WLAN架构由Central AC、Local AC和AP组成。Central AC为高性能AC，而Local AC可以由标准AC、All-in-one AC（具备路由、DPI功能）或有线无线一体化交换机组成。Central AC和Local AC之间运行改造后的CAPWAP协议，但只有在必须传输数据时才激活，而大部分802.11 MAC、AP管理和STA管理功能则在Local AC上实现，既保留了传统AC、AP架构的特点，也适应了当前新Wi-Fi的需求。
分层AC架构虽然新增了Local AC网元，但该网元在用户现有网络中也是存在的（用户肯定需要出口路由器或交换机）。因此，分层AC架构在不增加用户投入的情况下，提升了用户WLAN体验。
[1] 分层AC组网形态简介
分层AC由多种技术组合而来，主要支持两种形态。在这些形态中，分别有Central AC、Local AC等角色。
由Central AC和Local AC组成的分层AC形态适用于总部和分支机构场景或大型网络。在这种情况下，Central AC和Local AC之间可能存在Internet广域网，也可能处于网络的不同层次（例如Central AC位于核心层，Local AC处于接入层）。建议Central AC负责无线配置和用户认证控制，Local AC负责AP接入与数据转发。
分层形态

[2] 分层AC技术特点
分层AC功能提供了一种集中管理与分布式控制相结合的机制，在保证性能的基础上提高了无线网络的可维护性和可扩展性。分层AC技术具有如下优点：
• 集中管理：无线AP的版本文件和配置均由Central AC集中下发，无线客户端可在Central AC集中认证；
• 可维护性：整网无线AP及客户端状态均可在Central AC集中查看；
• 可扩展性：支持动态AP负载均衡，通过增加Central AC或Local AC即可对网络进行扩容；
• 高性能：由Local AC终结AP的CAPWAP隧道，通过分布式操作分担Central AC性能压力，提高整网性能；
• 灵活性：可根据用户需要选择不同的认证位置和转发位置，组网灵活；
• 高可靠性：Local AC异常时可由Central AC独立提供功能，提高网络可靠性。
[3] 基本概念
[1.1] Central AC
分层AC中的Central AC负责其它Local AC和AP的无线相关配置，收集整网无线相关指标信息，对用户呈现统一管理界面。根据用户配置，Central AC可以只负责管理方面的工作（如配置无线参数或网管接口），也可以负担无线客户端的认证相关功能（如Portal认证）。由于Central AC通常层次较高，所以一般不负担无线客户端的数据转发。
[1.2] Local AC
Local AC位于云端可以与Central AC组成AC池；也可以作为独立AC位于接入层或用户侧。此时的Local AC一般会同时集成多种业务功能（All In One），例如支持路由、VPN、DPI甚至是交换机的功能。因此，Local AC的形态多种多样，根据实际应用场景不同，可以选择不同款型不同功能的Local AC。
[4] 配置同步
将成千上万个AP的信息重复配置到所有Central AC或Local AC上是一件繁重且冗余的工作，如何对这些设备进行统一配置显示尤为重要。在分层AC架构中，Central AC与Local AC和AP建立控制隧道连接，可以将相关配置信息自动同步至其它AC或AP上，简化了网络配置。另外，在Central AC上会保存当前整网AC、AP及STA的信息，因此管理员能集中的查看整网无线情况。
配置自动同步

如图所示，Local AC在启动时，会自动发现Central AC并与之建立CAPWAP隧道连接，Central AC会通过该隧道将相关配置信息下发给Local AC；AP启动时，通过CAPWAP协议会自动发现Central AC或Local AC。如果首先发现Central AC，则Central AC会为该AP重新分配一个Local AC；如果首先发现的是Local AC，则AP直接与之建立CAPWAP连接。当AP最终与Local AC建立连接后，Local AC会将相关配置下发给AP，实现配置自动同步。
[5] 版本升级
在分层AC架构中，Central AC不仅支持自动更新AP的版本，还支持自动更新Local AC的版本。这种集中式的版本管理，极大简化了繁杂的设备版本升级工作。在实际应用中，只需要将Local AC和AP的版本文件存放在Central AC的文件系统中，当对应的Local AC或AP接入时，会自动更新版本。
[6] AP负载分担
AP负载分担是指Central AC可以根据Local AC的实时负载，将众多AP分担到不同的AC上的一种技术。在以往的技术或实现中，一般是AP寻找到多台AC，然后由AP主动选择某个AC连接。但分层AC的Central AC支持主动引导AP连接至不同的AC，使得这种负载分担技术的控制权掌握在AC上，更利于网络规划与稳定。Central AC可以根据用户配置分担策略，也可以自动根据Local AC的实时负载完成AP负载分担。
AP负载分担

[7] 认证点选择
在WLAN网络中，对无线用户认证是AC的主要功能之一。分层AC架构中，用户可以根据实际需要，使用Central AC或Local AC对无线用户进行认证。针对不同规模、不同场景的无线网络，需要选择不同的认证方式和认证点。
• Central AC做为认证点，无线用户的认证集中管控，便于与核心认证平台对接；
• Local AC做为认证点，Central AC仅作为配置管理用。这种分布式认证适用于各分支或场点已有认证平台或使用Local AC本地认证的场景。
在分层AC架构下，Central AC做认证点，Local AC做数据转发点是一种全新的认证方式。这种认证方式将认证（Portal认证或802.1X认证）集中在Central AC或AC池中，而Local AC仅负责用户数据转发，符合当前认证集中管控、数据分布式转发的思想。由于Local AC做数据转发，相比AP其业务处理能力更强，对业务支撑更好。因此，这种认证转发模型集合了传统集中转发与本地转发模型的优点。
分层AC架构下的Portal认证具备集中管控，分布式转发的特点。Central AC负责Portal协议的处理，并通知Local AC放行用户。而Local AC负责对用户的数据进行集中转发。在这种架构下，集中转发的特性优点，如漫游性能，RRM等得到了良好的继承。
分层AC Portal认证

[8] 垂直备份
分层AC架构支持垂直备份。当Local AC宕机后， Central AC可以让AP重新连接到其它可用的Local AC。

1. AP正常连接至Local AC1提供服务，一段时间后Local AC1宕机；
2. AP向Central AC请求新的AC；
3. Central AC为该AP分配新的Local AC2；
4. AP与Local AC2建立连接并提供无线服务。
   
   4.5.2 网络安全方案规划
   康巴什“i-kangbashi”资源池建设实际上是一个综合解决方案，而综合安全业务网关不仅仅是网络安全产品及特性的简单罗列。为了合理的解决网络安全问题，必须从网络的层次结构进行充分的分析，网络中不同部分的功能不同，所关注的安全问题也不同，如网络安全的主要功能是设备互联及数据传送，所以网络安全关注的重点是网络自身安全及数据传送安全。
   网络出口是整个无线城域网对外的唯一通道，也是病毒和网络攻击的入口，需要使用安全设备进行区域的划分和访问控制。因此建议在无线城市的互联网出口部署NGFW下一代防火墙，NGFW支持Firewall、IPS、AV防病毒等功能的融合，并且通过采用高性能高可靠性设备，能够达到对整个互联网出口的安全保障。互联网出口安全网关建议采用机架式全冗余性设备，包括电源、主控、交换网板冗余，一方面具备良好的可扩展性，另一方面则具备很高的可靠性。
   在无线城市运营中心，建议部署内网防火墙，以对内网的认证服务器等关键设施进行统一防护，防止非法用户对认证服务器上的用户信息进行非法访问。同时建议部署负载均衡设备，可达到大规模portal认证在多个服务器间的负载均衡，并实现冗余。
   网络虽部署有防火墙设备，但受制于设备性能因素，网络系统实用性能不足，更由于缺乏针对病毒、蠕虫、漏洞攻击等的入侵防御系统，网络的安全性将形同虚设。本次安全设计建议部署高性能防火墙、入侵防御系统、负载均衡等解决方案。
   1）部署入侵防御系统，提供应用层安全
   今天，各种蠕虫、间谍软件、网络钓鱼等应用层威胁和EMAIL、移动代码结合，形成复合型威胁，使威胁更加危险和难以抵御。这些威胁直接攻击IDC核心服务器和应用，给业务带来了重大损失；攻击终端用户计算机，给用户带来信息风险甚至财产损失；对网络基础设施进行DoS/DDoS攻击，造成基础设施的瘫痪；更有甚者，像电驴、BT等P2P应用和MSN、QQ等即时通信软件的普及，宝贵的带宽资源被业务无关流量浪费，形成巨大的资源损失。
   面对这些问题，传统解决方案最大的问题是，防火墙工作在TCP/IP 3～4层上，根本就“看”不到这些威胁的存在，而IDS作为一个旁路设备，对这些威胁又“看而不阻”，因此我们需要一个全新的安全解决方案。
   因此在关键路径上部署独立的具有深度检测防御的入侵防御系统就显得非常重要。深度检测防御是为了检测计算机网络中违反安全策略行为。一般认为违反安全策略的行为有：
    入侵——非法用户的违规行为；
    滥用——用户的违规行为；
   深度检测防御识别出任何不希望有的活动，从而限制这些活动，以保护系统的安全。深度检测防御的应用目的是在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。
   通过在综合安全业务网关上部署入侵防御系统插卡模块，为内网部分提供以下安全防护：
    强大的入侵抵御能力
   入侵防御系统是业界唯一集成漏洞库、专业病毒库、应用协议库的入侵防御模块。能精确识别并实时防范各种网络攻击和滥用行为。
    专业的病毒查杀
   IP应集成防病毒引擎和病毒库。采用第二代启发式代码分析、iChecker实时监控和独特的脚本病毒拦截等多种最尖端的反病毒技术，能实时查杀各种文件型、网络型和混合型病毒；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒。
    零时差的应用保护
   专业的安全团队密切跟踪全球知名安全组织和厂商发布的安全漏洞公告，通过准确的分析，快速生成保护操作系统、应用系统以及数据库漏洞的特征库；同时，通过部署于全球的蜜罐系统，实时掌握最新的攻击技术和趋势，以定期（每周）和紧急（当重大安全漏洞被发现）两种方式发布，并自动或手动地分发到入侵防御系统模块中，使用户的入侵防御系统模块快速具备防御零时差攻击的能力。
    网络基础设施保护
   入侵防御系统具有强大的攻击防护和流量模型自学习能力，当攻击发生、或者短时间内大规模爆发的病毒导致网络流量激增时，能自动发现并阻断攻击和异常流量，以保护路由器、交换机、VoIP系统、DNS服务器等网络基础设施免遭各种恶意攻击，保证关键业务的通畅。
   2）部署防火墙，提供网络层安全
   为了保证网络的安全性，我们建议在互联网出口部署综合安全业务网关。综合安全业务网关应最大可扩展至100Gbps的吞吐量，能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能，有效的保证网络的安全。同时，综合安全业务网关应采用CLOS架构，设备电源、主控、交换网板全冗余，可扩展性强；支持两台设备的虚拟化；支持单台设备的硬件一虚多。并采用NGFW架构，支持Firewall、IPS、AV防病毒等功能融合。，如下图所示：
   
   综合安全业务网关防火墙模块作为网络插卡无缝融入网络设备，其优势如下：

1. 安全渗透网络：
    防火墙与网络完美融合：防火墙单板支持虚拟防火墙技术，该技术可以为每个网段独立部署安全策略。
    变网络的安全为安全的网络：网络设备的所有接口都是安全接口，都能配置安全防护策略。解决了独立防火墙的接口和性能的限制性问题。
2. 可靠性高：
    不存在单点故障：防火墙单板和其他业务单板的地位完全相同的，主控单元实时监控防火墙状态，一旦防火墙板卡出现故障，业务将自动绕过防火墙模块，保证业务不中断。
    轻松实现双机HA：两台设备可以实现虚拟化，达到双机热备；
    充分利用网络可靠性：可充分享用网络设备双引擎、双电源、交换网板冗余带来的可靠性；支持热插拔，安装方便，网络设备上快速实现安全特性。
3. 高性能、可扩展、易部署：
    万兆平台硬件架构。
    部署多插卡实现性能倍增。
    与网络设备统一管理。
   防火墙模块应具备以下特点：
4. 高性能，不会成为网络瓶颈
   采用先进的多核硬件结构，提供吞吐量高达100Gbps的吞吐量，将网络安全防护提升到准万兆安全新阶段。
5. 全面的安全防护
   支持对DoS/DDoS攻击、ARP欺骗攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击、地址/端口扫描、ICMP重定向或不可达攻击、Tracert攻击、带路由记录选项IP报文、Java/ActiveX Blocking和SQL注入攻击等威胁的防范；可以有效的识别和控制网络中的各种P2P应用；支持静态和动态黑名单、MAC绑定、安全省域控制、系统统计等安全功能。
6. 丰富的VPN特性
   集成入侵防御系统ec、L2TP、GRE等多种成熟VPN接入技术，保证移动用户、合作伙伴和分支机构安全、便捷的远程接入。
7. 全面NAT应用支持
   提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等多种NAT应用方式。提供DNS、FTP、H.323、NBT等NAT ALG功能，支持多种应用协议正确穿越NAT。
8. 先进的虚拟防火墙
   支持先进的虚拟防火墙技术，可以通过划分CPU、内存等硬件资源划分独立的虚拟防火墙，通过在同一台物理设备上划分多个虚拟防火墙实例来实现对用户多个业务独立安全策略部署的需求。当用户业务划分发生变化或者产生新的业务部门时，可以通过添加或者减少防火墙实例的方式十分灵活的解决后续网络扩展问题，简化了网络管理的复杂度。
9. 高可靠性
   FW业务模块作为业务插卡嵌入综合安全业务网关中，降低了单点故障，保证了网络的高可靠性。
   3）部署漏洞扫描，网络自检机制
   网络扫描，是基于Internet的、探测远端网络或主机信息的一种技术，也是保证系统和网络安全必不可少的一种手段。
   主机扫描，是指对计算机主机或者其它网络设备进行安全性检测，以找出安全隐患和系统漏洞。
   总体而言，网络扫描和主机扫描都可归入漏洞扫描一类。漏洞扫描本质上是一把双刃剑：黑客利用它来寻找对网络或系统发起攻击的途径，而系统管理员则利用它来有效防范黑客入侵。通过漏洞扫描，扫描者能够发现远端网络或主机的配置信息、 TCP/UDP端口的分配、提供的网络服务、服务器的具体信息等。
   漏洞扫描能够模拟黑客的行为，对系统设置进行攻击测试，以帮助管理员在黑客攻击之前，找出网络中存在的漏洞。这样的工具可以远程评估你的网络的安全级别，并生成评估报告，提供相应的整改措施。那么，选择正确的隐患扫描工具，对于提高你的系统的安全性，非常重要。
   每个系统都有漏洞，不论你在系统安全性上投入多少财力，攻击者仍然可以发现一些可利用的特征和配置缺陷。这对于安全管理员来说，实在是个不利的消息。
   安全扫描技术是一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合，能够有效提高网络的安全性。通过对网络的扫描，网络管理员可以了解网络的安全配置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置，在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，可以有效避免黑客攻击行为，做到防患于未然。 漏洞扫描可以划分为ping扫描、端口扫描、OS探测、脆弱点探测、防火墙扫描五种主要技术，每种技术实现的目标和运用的原理各不相同。按照TCP／IP协议簇的结构，ping扫描工作在互联网络层：端口扫描、防火墙探测工作在传输层；0S探测、脆弱点探测工作在互联网络层、传输层、应用层。ping扫描确定目标主机的IP地址，端口扫描探测目标主机所开放的端口，然后基于端口扫描的结果，进行OS探测和脆弱点扫描。
   4）部署负载均衡，业务均衡负荷
   负载均衡产品部署在无线城市运营中心，可基于特定的负载均衡算法将用户对认证服务器的portal访问请求合理地分发到数据中心的各台服务器上，以保证数据中心的响应速度和业务连续性。
   负载均衡产品开创性地实现了应用优化、安全与网络的深度融合，具有强大的路由、交换、负载均衡、2-7层安全等功能。负载均衡产品具有高度的弹性伸缩功能，用户可以根据自己的需要灵活选择功能模块，保护用户投资，可以适应各种复杂的组网环境。
   负载均衡产品能够为资源池带来四大价值：
    提高数据中心的应用访问速度
    提高数据中心的业务连续性
    提高数据中心的应用访问总容量
    提高数据中心的安全性
   通过部署负载均衡产品，能够大大降低数据中心的采购成本和运维成本，同时增加了数据中心的灵活性和可扩展性。
   负载均衡设备应具有如下产品特点：
   强大的硬件平台
   负载均衡产品的负载均衡业务模块采用先进的多核多线程硬件平台，能够并行处理健康检测、负载均衡调度以及安全等功能。此外，一台负载均衡设备可以部署多个负载均衡业务模块，通过内部调度机制实现多个业务模块的并行处理，成倍提升处理性能。
   高效的健康检测算法
   负载均衡产品支持丰富的健康检测算法，可从网络层、应用层全方位的探测、检查服务器和链路的运行状态，以便选择最合适的服务器或出口链路，从而实现高效的负载均衡功能。
   丰富的负载均衡调度算法
   均衡产品支持全面的4~7层负载均衡和链路负载均衡功能。能够提供多达十余种种的负载均衡调度算法，包括：轮询、比重法、最小链接、最小响应时间、随机、源地址/目的地址/源端口HASH、就近性选择、基于带宽的调度以及基于HTTP内容的调度等算法。全面的功能和灵活的部署位置，能够适满足各种负载均衡应用需求。
   全面的安全防护
   负载均衡产品具备全面的安全防护能力，支持对各种DoS/DDoS攻击、ARP欺骗攻击、超大ICMP报文攻击、地址/端口扫描等各种攻击的防范，是业界安全功能最强大的负载均衡产品。
   高可靠性
   负载均衡产品中所有关键部件，包括主控引擎、电源、风扇和业务模块等，均支持冗余部署。当某块负载均衡业务模块发生故障时能通过Bypass方式使数据流绕过故障板，有效降低单点故障，同时每个业务模块均支持VRRP功能，保证了业务的高可靠性。
   5）部署应用控制网关，审计用户上网行为
   另外，当前网络应用层出不穷，通过智能移动终端中各种APP，就可直接进行web访问、在线视频观看、P2P下载等应用，为广大人民带来便捷的同时也带来一些负面影响，主要有以下难题困扰：
    通过P2P下载电影造成网络速度变慢，怎么解决？
    访问非法网站易感染病毒，如何控制？
    管理员无法了解网络应用状况，无法对用户行为进行审计？
    公安部82号令，要求记录上网记录，如何应对？
    在BBS、论坛、Blog发表非法言论，如何应对？
   在这种情形下迫切需要一种专业的应用控制网关产品，来解决以上问题，这种应用控制网关产品能够实现应用控制与行为审计网关，能对网络中的P2P/IM/VoIP带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，可对网络流量、用户上网行为进行深入分析与全面的事后审计（可满足公安部82号令，对网络使用审计的要求），如Web应用、FTP应用、Email应用、聊天应用等，并具有强大的URL过滤功能，进而帮助企业优化网络资源，全面了解网络应用模型和流量趋势。

为了避免非法流量大量占用互联网出口流量，对资源池网络流量进行精细化管理，建议部署应用控制网关系统。
应用控制网关系统可基于用户或IP地址实现每个终端的灵活访问控制，同时可对网络流量深入分析，实现针对于不同业务流量进行限制（包括网址/游戏/应用程序等），最后可通过行为审计功能对用户的上网行为进行详细审计，并提供详细报表。
行为监管解决方案能彻底解决以上问题，是业界应用识别最全面的解决方案，解决方案由应用控制网关，管理平台两部分功能组成。
应用控制网关可针对P2P/IM、网络游戏、炒股、非法网站访问等行为，进行精细化识别和控制，有效解决带宽滥用、访问非法网站感染病毒等问题。
安全管理平台由应用控制网关管理组件软件组成，可对应用控制网关检测出的网络安全事件进行深入分析并输出审计报告，同时收集防火墙发送的NAT日志，帮助管理员全面了解用户行为和流量趋势，为加强整网安全、满足合规性要求提供决策依据，并且能够与用户管理平台联动，准确获得用户信息。
通过在应用控制网关设置权限，可精确识别BT、电驴、迅雷、MSN、QQ、Yahoo Messenger、PPLive等近百种P2P/IM应用，可基于时间、用户、区域、应用协议，通过告警、限速、阻断等手段进行灵活控制，保证网速的正常和业务不被影响。
应用控制网关应具有如下产品特点：

1. 强大的硬件平台
   采用级硬件平台，通过精心设计的多核技术，实现核心用户对安全设备线性处理能力的需求。同时可实现多路业务的应用流量控制，良好的可扩展性充分的保护了用户的投资。
2. 业界领先的深度应用识别
   结合长期积累的检测技术，模型化技术进行智能决策，准确识别多种应用协议，包括P2P、 VoIP、IM、炒股应用软件、游戏以及其它如流媒体、WEB访问、FTP下载、网络管理等多种应用协议。同时，提供可扩展、可升级的应用识别和行为识别能力 。可动态升级新的应用及其行为实体的定义，并迅速提供新的应用协议的分析模块。
3. 全面细致的流量统计
   提供基于用户、应用、时间段、源/目的IP等丰富的业务流量统计信息。可以对业务组以及某个业务下的所有子业务的流量趋势、业务带宽占用趋势以及业务流量分布等各种流量信息进行统计分析。流量信息包括上下行双向流量。
4. 带宽管理
   提供限流、放行、阻断、干扰以及告警等丰富的带宽管理策略，可以基于用户、应用、时间段以及源/目的IP等五元组的随意组合进行精细的带宽控制。提供黑、白名单功能。
5. VoIP监控
   不但能够对使用标准协议如H.323、SIP或MGCP/H.248等VoIP网关，使用标准协议分析来轻松的检测，而且能够对非标准协议实现的网关，通过通用的VoIP模型来对其进行分析。此外，通过采用专门的识别技术，能有效地解决绝大多数VoIP应用所采用的多通道关联协议的识别问题，对多种主流语音业务类型如Skype、UUCALL、Konge(中桥语音)等进行识别。
   提供信令干扰、噪音干扰等控制手段，帮助运营商挽回非法VOIP语音业务损失，保护正常的话务业务。
6. P2P监控
   通过有状态的特征状态机可更精确的识别出多种P2P业务类型，如BitTorent、eMule（电骡）、eDonkey（电驴）、Kugoo（酷狗）、Thunder（迅雷）、Tencent Download、PPLive Stream、PPStream等。可以通过限流措施对P2P业务带宽进行限制。
7. 共享上网检测
   采用业界流行的ID轨迹检测技术、时钟偏移检测技术、结合多种应用层特征检测技术如应用特征检测、流量/连接数统计、TTL检测、MAC地址检测等，准确的识别出以NAT、Proxy方式进行共享接入的用户以及用户数目。专业的业务分析团队将长期跟踪分析流行代理软件与防代理检测软件，利用反汇编、解密等技术来发现代理软件实现中的漏洞特征，以此应对新的代理技术。
   提供告警、阻断等共享上网控制措施，可以根据需要对不同的共享接入用户采用不同的控制策略。
8. 用户行为分析
   根据对不同兴趣类型的网站访问统计，分析用户兴趣、划分用户类型。提供每一种应用的TOPN用户统计，发现某种业务的兴趣用户群；提供每个用户的业务使用趋势统计，掌握某个用户的上网习惯；提供TOPN网站统计，了解网站的受欢迎程度。

4.5.3 网络管理系统规划
“三分靠建设，七分靠运维”，随着网络建设的不断深入发展，除了单纯的追求高带宽、高速率外，安全的网络、高效的网络和可运营的网络成为越来越多的用户关注的焦点，网络精细化管理也越来越深入人心。如何对网络进行实时监管，在网络出现问题时及时找到故障原因并排除以确保良好的服务质量，一套好的运维管理平台无疑可以起到事半功倍的效果。本方案中推荐使用H3C IMC智能管理平台对网络进行综合管理，以减少运维工作量。H3C IMC智能管理平台具有如下特点：
首页个性化定制:支持各业务在首页发布widget（Web Widget,中文译名被称作是微件,是一小块可以在任意一个基于HTML的Web页面上执行的Web 子页面），每个widget具有折叠、还原、最大化、拖拉、关闭、新窗口打开、自动异步刷新等功能。

全面的基础资源管理:除了传统的路由器、交换机外，更能对网络中的无线、安全、语音、存储、监控、服务器、打印机、UPS等设备进行管理，实现设备资源的集中化管理。

灵活的拓扑功能:除传统的IP拓扑视图外，iMC平台还提供全网络的拓扑视图和自定义拓扑视图，使用户可以根据自己的组织结构、地域情况、甚至楼层情况清晰灵活地绘制出客户化的网络拓扑。在全网络拓扑视图中，用户可以随意组织和定制子图。

智能的告警管理:H3C智能管理中心能自动汇总全网中故障设备，形成故障设备列表，使管理员能快速、清晰的找到需要关注的故障设备。
强大的配置管理:iMC平台以资源管理的角度提供了配置模板库和设备软件库的管理。配置模板库维护网络设备配置模板文件、用户常用的配置模板片段两种资源；配置模板文件可部署为设备的启动配置或者运行配置；配置模板片断可部署为设备的运行配置，也可通过启用“下发命令后将设备运行配置保存为启动配置”选项部署为启动配置，并且配置内容可以带有参数，在部署时根据设备的差异设置不同的值。
丰富的报表管理:展示了当前操作员常用的报表，包括实时报表、快速自定义报表和周期报表。用户可根据自己的实际关注情况，在此视图中配置所关注的报表。
有线无线一体化管理：无线是构建于有线基础之上，无线和有线应该是彼此融合的，所以有线无线一体化拓扑、统一网管很重要，可以做到有线无线相互感知、减轻管理压力等特点；
为实现网络中有线、无线设备的一体化管理，推荐在iMC智能管理中心平台增加WSM无线运营管理组件即可实现对有线设备和无线设备的统一管理。
H3C无线运营管理组件（WSM）在下一代业务软件平台iMC的基础上进行开发，不仅为用户提供了灵活的组件选择，同时符合业界主流的SOA架构，具备良好的扩展性，能够满足客户网络管理不断发展的需求。基于Web的管理系统，为无线业务管理者提供了简便、友好的管理平台。与iMC智能管理平台及其它组件配合，还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理、用户认证管理等功能，并可对网络中的其它设备进行统一管理，真正实现有线无线一体化管理。
组件的主要功能和特点如下：

1. 无线有线一体化管理
   H3C无线运营管理组件（WSM）作为iMC智能管理中心的无线业务管理核心，对于网络中的AC、FAT AP、AC、FIT AP、移动终端等无线设备与有线设备进行一体化集中管理，全网设备信息和状态一目了然。网络资源通过多种视图进行查看，视图内分组管理，将规模巨大的无线接入设备有效组织，便于用户维护。
2. 多样化的拓扑管理
   H3C无线运营管理组件（WSM）中的无线业务逻辑拓扑帮助用户直观了解网络部署情况及设备/链路当前状态。系统可根据不同的方式组织资源，有效进行拓扑分组、真实组织全网资源。物理位置视图中用户可根据需要创建多纬度、多层次的物理位置结构，并在指定建筑物底图上根据真实情况摆放设备，逼近真实网络环境。
   
3. 无线终端定位和漫游记录审计
   H3C无线运营管理组件（WSM）可以直接在拓扑图中对移动终端的信息进行查看，包括MAC地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在AC设备、所在AP设备等，并能查看各移动终端的全部漫游记录，使用户随时了解最终接入用户的情况，并对其接入轨迹进行审计。
   
4. RF覆盖管理和无线网络规划
   在实际无线环境的部署和维护中，需要关注无线设备的RF范围、覆盖管理以及无线网络规划扩容问题。H3C无线运营管理组件（WSM）可以用很直观的拓扑图表示出无线网络中的RF状况。
   
5. 无线入侵检测和防护
   无线网络灵活多变，并且基础设施不可见，因此比有线网络更容易遭到越权使用。对于这类问题，H3C无线运营管理组件（WSM）提供了Rogue设备检测功能，可对无线入侵进行检测，可明确显示非法接入设备，并对其进行信息查询、加入黑名单及发起攻击等动作。
   
6. 丰富的无线统计报表
   对网络进行运营管理需要对网络进行全方位的监控，从网络各种性能指标、告警指标中进行智能的统计和分析，才能有效从整体对网络状况进行衡量。H3C无线运营管理组件（WSM）提供了丰富的无线统计报表查询和定制功能，以帮助管理员对网络进行综合而全面的管理。
   
   4.5.4 认证系统规划
   为满足公安部82号针对公共区域无线网络建设要求，同时要实现针对接入用户的认证、计费等需求，部署一套认证计费系统。同时为提高用户感知，简化认证过程，本项目采用无感知认证系统。用户第一次认证通过后，后续用户关联无线时AC自动触发进行MAC地址认证，无需用户干预。同时可设置无感知认证有效时长门限，超过该门限则需要重新注册终端，且可根据不同热点区域设置不同的有效时长。
   认证方式上可采用二维码认证、微信认证、短信认证等多种方式，第一次认证过程如下：
   二维码认证方式
   通过将认证信息存储在二维码中，用户只需扫描该二维码即可以获取认证信息，避免了用户手动输入认证信息，从而提高了认证效率，减化了用户的操作。第一次认证流程如下：
   无线终端扫描指定的存储有认证信息的二维码，获取二维码内存储的认证信息；
   无线终端向认证服务器发送认证请求消息，认证请求消息中携带有终端的MAC地址等相关信息；
   认证服务器接收并解析认证请求消息，判断认证信息是否为有效的认证信息，如果判断结果为是，则允许所述无线终端接入无线网络。
   微信等第三方认证方式
   用户在接入无线城市时首先要关注网络的微信公众号码；
   在无线城市覆盖区域接入WiFi后，根据微信公众号的提示点击获取验证码，认证页面调用认证平台开发接口创建临时用户，并可根据需要设置相应的有效期；
   用户点击注册按钮，终端注册成功后即可访问网络。
   认证系统同时绑定用户的微信号和MAC地址，以及终端型号等信息。
   微信认证方式特点是体验好，可推广公众账号，同时也可通过公众帐号推送广告、消息等。
   短信认证方式
   用户第一次访问网络，通过Portal服务器把认证的WEB界面推送给用户，用户输入用户名和密码，认证即通过。认证过程如下：
   用户首次访问网络，经过AC被重定向到Portal服务器；
   Portal服务器推送统一的终端注册页面；
   终端采用短信注册，用户点击“获取校验码”按钮，认证页面调用认证平台二次开发接口创建临时用户，并可根据需要设置相应的有效期；
   用户点击注册按钮，终端注册成功后即可访问网络。
   认证系统同时绑定用户的手机号和MAC地址，以及终端型号等信息。

无线上网认证：
本次方案建议提供短信认证、会员认证和微信认证三种认证方式供客户选择。客户使用短信认证时，通过短信自助获取验证码，验证登录；使用会员认证时，通过输入会员帐号进行认证；使用微信认证，客户关注商场的微信公共号，从而获取验证码，验证登录。这三种认证方式可以在减少商场网管人员工作量的同时，对无线接入用户进行登录信息记录，便于以后审查和分析。
无线上网认证Portal软件的系统架构图如下：

上网时长管理：
时长管理可以编辑用户上网的时长，可以根据用户是否属于商场会员来限制上网时间长度，还可以设置时间策略，在不同的时间段里，用户上网时长不同（如10~12点免费上网2小时，12点到18点可上网3小时等）。
广告投放：
可根据不同环境不同区域定制不同推送广告页面。
与无线城市APP对接：
可将我们的Portal认证模块嵌入到App客户端中用户WiFi环境下，登录他们的App就能自动、免费上网。

4.6 无线城市长期运维方案

无线城市的规模十分庞大，因此对网络设备运维管理的要求也越来越高，当前在网络运维管理方面面临几方面的挑战：
 基础网络的可靠性、性能、安全性管理方面要求严苛，不容有失。客户亟需专业运维工具提供自动化的设备运行健康状态检查，以期提前进行隐患问题排查。
 网络规模越来越大，资产分布防范，需要借助专业运维系统平台对资产进行统一管理。
 网络的配置需要统一管理，对在网运行的设备配置能够提供及时的备份手段。
对上述运维需求进行自动化的监控、智能化的分析、人性化的呈现，让运维人员对整个网络做到胸有成竹，进而掌控整个网络。

H3C从解决客户所面临的挑战出发，推出了智能巡检管家，这是一款综合的智能巡检工具。
智能巡检管家主要面向IP网络产品，在不影响客户现网业务的前提下，根据客户灵活定制的各种网络运行指标，对网络进行全面运行状态自动化检测分析，深度感知网络基础架构运行状态。同时，实时输出准确、详实的分析报告及改进建议，预防网络运行中可能出现的各种风险，发现网络潜在的性能瓶颈，为客户网络提供专业、深入、智能的管家式服务。
智能巡检管家能针对无线城市的总体运行情况进行定期的检测，并形成分析报告。其主要功能包括：
 灵活多样的信息采集
 支持以日、周、月周期性、单次、立即的方式采集设备信息
 支持以telnet/ssh/console口方式采集信息
 支持从其它网络设备/服务器代理登陆设备
 智能、详实的检查报告
 支持HTML/Word/PDF多种报告格式
 现场实时输出单台设备的运行明细、报告分类汇总报告和运行检查汇总报告
 对于检查报告结果，给出详实准确的问题改进建议
 高度灵活的自定义功能
 支持定制汇总报告内容，灵活进行增删
 支持定制报告中设备的告警阀值，包括CPU 、内存利用率、温度告警上下限等
 支持定制报告封面、版权声明以及客户Logo等
 强大的系统附加功能
 支持输出设备资产报告
 支持以日、周、月周期性、单次、立即的方式备份设备配置

另外，无线城市会对所有接入的设备，以及所有使用无线城市WiFi网络的用户进行IP地址分配，可以认为，用户=IP。由于无线城市接入用户数量巨大，用户网络IP地址数量多、变化频繁，使用情况监管困难，IP地址违规使用和分配冲突导致问题严重，因此就需要对于IP地址进行管理。
H3C IP地址管理系统不但可以自动分析现网IP子网和IP地址的相关信息，而且可以自动维护IP子网和IP地址的变化信息，从而实现IP地址管理的“帐实”相符，避免IP分配冲突，及时发现IP地址使用违规行为。H3C IP地址管理系统的图形化界面及智能计算引擎让IP地址管理和维护更加直观、智能和准确；自定义表和字段功能使得IP地址管理更加符合用户的使用习惯；导入导出功能结合Excel的运用，使得IP地址的批量维护和统计工作更加便捷与自由。
 通过EXCEL管理IP地址时，多个管理员由于IP状态信息不同步导致分配IP问题冲突；
 可自动采集设备IP地址及相关信息，自动分析出设备互联IP地址、终端IP地址，极大的减少了人工整理、录入和维护的工作量。
 通过自动审计功能可以实现IP的帐实相符，避免因重复分配IP地址导致的网络故障。
 通过基线管理功能可记录IP地址管理的历史信息，通过基线比较功能可以发现IP地址使用的变更情况。
 支持用户自定义IP地址管理表格字段，IP地址呈现更符合用户使用习惯。

此外，无线城市涉及到了海量设备，并涉及大量专业设备，环境复杂，后期维护亟需专业服务帮助运营方提供专业化的服务能力，解决无线城市建设完成后的大量问题定位解决、技术人员支撑等问题，使得无线城市建成后真正一直可用。
H3C智动远程运维服务是H3C公司基于客户运维模式推出的一款远程运维服务产品。具有远程运维模式需求的客户希望由厂商来远程管理网络设备、处理网络相关问题，处理日常运维事宜。此服务由华三后台专属专家工程师配合专业软件为客户提供7x24（或5x10）小时不间断的主动的、预防式的、自动化运维的远程服务。远程运维软件实时监控网络设备运行情况，完整记录网络运行事件及关联的故障信息；主动对设备进行软件缺陷和健康度检查，从而发现潜在问题；定期录制网络快照，可详细记录网络软硬件变更，并为快速恢复客户的网络提供依据；整理网络资产信息，提供详尽的资产报告。专家坐席定期输出运维报告，汇报网络运维情况和潜在的风险； H3C智动远程运维服务，可以极大节省客户维护和优化网络的时间与精力，通过专业自动化运维软件了解网络状态，从而确保更高的网络安全性、可用性和性能。
H3C向客户提供的智动远程运维服务具备以下特点和功能：
1）主动式问题处理
1.1 通过网络收集器，对网络设备故障信息进行实时收集与主动监控
1.2 极大缩短问题处理整体时间，保证业务恢复快速
1.3 发现问题后，会第一时间通知客户，并对问题进行处理
1.4 问题处理过程实时可查
2）强大的运维团队保障
2.1 北京、杭州设立了2个客户服务中心，120多个坐席
2.2 数十位资深产品专家和客户关怀工程师7×24小时受理来自客户问题
2.3 问题处理全面可靠，包括售后技术咨询、故障申报、设备硬件更换/维修、培训需求、服务产品咨询以及服务投诉与建议
2.4 建立统一的服务质量标准，通过服务质量监控系统对所有服务活动的交付质量进行统一监控，100%对客户回访
3）创新的远程运维模式
3.1 解决客户运维能力不足，新技术上线困难等问题
3.2 解决运维团队成本高，管理困难等问题
3.3 制定标准SLA，作为客户网络团队的延伸
3.4 为客户网络提供完全托管式服务
4）独有知识库分享
4.1 将华三积累的运维经验以知识库方式进行分享
4.2 各种专业类运维报告，提供更专业内容

4.7 面向智慧城市的虚拟化平台

从无线城市演进到智慧城市，会涉及到大量智慧城市应用的部署，都需要采用到云计算技术。对于服务器虚拟化云计算的建设，云计算是多种概念和技术并行发展，融合过程中逐渐形成的一个多层次，多模式，多维度的复合概念，不同的应用可以选择使用不同的云计算技术来构建。云计算不仅有助于提高资源利用率，节约成本，还能大幅度提高应用程序从设计开发到业务部署的速度，并有助于加快创新步伐，创造更大的业务成效。
H3C作为市场最大的国内虚拟化软件厂家，承接了十数个国家级云计算虚拟化平台，15个省级政务虚拟化云平台，以及上百个地市级虚拟化云平台，具备成熟的虚拟化技术，具备承接后期智慧城市云平台建设的能力。
基于集群的集中管理
H3C CAS CVM虚拟化管理系统将服务器主机和虚拟机都组织到集群中，提供了清晰的分层结构视图，直观地展示了数据中心、主机池、集群、主机和虚拟机之间的关系，大大简化了资源管理的工作量。
基于集群进行集中管理的好处在于：
利用集中化管理功能，管理员能够通过统一的界面对整个IT环境进行组织、监控和配置，从而降低管理成本。
由多台独立服务器主机聚合形成的一个具有共享资源池的集群不仅降低了管理的复杂度，而且具有内在的高可用性，通过监控集群下所有的主机，一旦某台主机发生故障，H3C CAS CVM虚拟化管理系统就会立即响应并在集群内另一台主机上重启受影响的虚拟机，从而为用户提供一个经济有效的高可用性解决方案。
完备的虚拟机生命周期管理
支持虚拟机的创建、修改、启动、暂停、恢复、休眠、重启、关闭、下电、克隆、迁移、快照等常用功能，同时支持通过管理界面的控制台远程连接到虚拟机。所有的操作全部基于图形化配置界面。

性能状态监测
物理服务器性能状态监测
提供物理服务器CPU和内存等计算资源的图形化报表及运行于其上的虚拟机利用率TOP 5报表，为管理员实施合理的资源规划提供详尽的数据资料。

虚拟机性能状态监测
提供虚拟机CPU、内存、磁盘I/O、网络I/O等关键资源进行全面的性能监测。

虚拟网卡性能状态监测
提供进出虚拟机虚端口的流量的图形化实时显示。

动态资源调度（Dynamic Resource Scheduler，DRS）
在虚拟化环境中，一旦客户将应用整合到资源较少的物理主机上，虚拟机的资源需求往往会成为瓶颈，全部资源需求很有可能超过主机的可用资源。H3C CAS CVM虚拟化管理系统提供的动态资源调度特性引入一个自动化机制，通过持续地平衡容量，将虚拟机迁移到有更多可用资源的主机上，确保每个虚拟机在任何节点都能及时地调用相应的资源。即便大量运行SQL Server的虚拟机，只要开启了动态资源调度功能，就不必再对CPU和内存的瓶颈进行一一监测。全自动化的资源分配和负载平衡功能，也可以显著地降低数据中心的成本与运营费用。
动态资源调度功能通过心跳机制，定时监测集群内主机的CPU和内存等计算资源的利用率，并根据用户自定义的规则来判断是否需要为该主机在集群内寻找有更多可用资源的主机，以将该主机上的虚拟机迁移到另外一台具有更多合适资源的服务器上，或者将该服务器上其它的虚拟机迁移出去，从而保证某个关键虚拟机的资源需求。

动态资源扩展（Dynamic Resource eXtension，DRX）
H3C CAS CVM虚拟化管理系统可以实现基于用户业务负载的资源动态扩展功能。即当用户某项正常运行的业务面临突发流量访问时，H3C CAS CVM虚拟化管理系统能够监测到业务所在虚拟机性能不足，并将虚拟机进行快速复制，配合负载均衡设备对外提供服务，当访问高峰过后，H3C CAS CVM虚拟化管理系统能够动态的收缩，删除过剩的虚拟机，从而实现计算资源随需而动。

HA集群设计
传统数据中心内的服务器高可靠性保障通常会选择依赖于集群技术的部署。而云计算平台将计算资源虚拟化以后，可以利用虚拟服务器自身虚拟化的特点实现传统物理服务器上无法实现的高可靠性。
为了提升云业务系统的可靠性，在云计算平台的计算资源池建设时，可以将多个物理主机合并为一个具有共享资源池的集群。CVM HA功能会监控该集群下所有的主机和物理主机内运行的虚拟主机。当物理主机发生故障，出现宕机时，HA功能组件会立即响应并在集群内另一台主机上重启该物理主机内运行的虚拟机。当某一虚拟服务器发生故障时，HA功能也会自动的将该虚拟机重新启动来恢复中断的业务。具体操作如下图所示：

除了对集群中的物理服务器节点进行持续检测之外，H3C CAS HA软件模块还对运行于物理服务器节点之上的虚拟机进行持续检测。
在每台服务器节点上都运行了一个LRMd（Local Resource Manager daemon，本地资源管理器守护进程），它是HA软件模块中直接操作所管理的各种资源的一个子模块，负责对本地的虚拟化资源进行状态检测，并通过shell脚本调用方式实现对资源的各种操作。
当LRMd守护进程检测到本机的某台虚拟机出现通信故障时，首先将事件通知给DC，由DC统一将该虚拟机状态告知集群内所有的物理服务器节点，并按照一定的策略算法，为该故障的虚拟机选择一个空闲的服务器节点，在该节点上重启该虚拟机。

H3C CAS HA技术有效的解决了目前其它高可用性解决方案面临的问题：
当物理服务器发生硬件故障时，所有运行于该服务器的虚拟机可以自动切换到其它的可用服务器上，相对传统的双机容错方案，H3C CAS HA可以最大程度减少因硬件故障造成的服务器故障和服务中断时间。
不同于其它HA的双机热备方式，所有参与HA的物理服务器都在运行生产系统，充分利用现有硬件资源。同时，对众多的操作系统和应用程序，H3C CAS提供统一的HA解决方案，避免了针对不同操作系统或者应用，采用不同的HA方案带来的额外开销和复杂性。
通过H3C CAS HA，IT部门可以：为没有容错功能的应用提供冗余保护。传统意义上HA实现很复杂并且价格昂贵，多用于关键性的服务或应用，而H3C CAS HA为所有的应用程序提供了高性价比的HA解决方案。为整个IT环境提供“第一条安全防线”不同于其它基于操作系统和应用的HA实现方式，H3C CAS HA为IT系统提供了更统一、更易于管理的高可用性解决方案。H3C CAS用最少的成本和最简单的管理方式为所用的应用提供了最基本的冗余保护功能。
综上所述，H3C CAS HA解决方案的技术特点总结如下：
1.自动侦测物理服务器和虚拟机失效
H3C CAS会自动的监测物理服务器和虚拟机的运行状态，如果发现服务器或虚拟机出现故障，会在其它的服务器上重新启动故障机上所有虚拟机，这个过程无需任何人为干预。
2.资源预留
H3C CAS永远会保证资源池里有足够的资源提供给虚拟机，当物理服务器宕机后，这部分资源可以保证虚拟机能够顺利的重新启动。
3.虚拟机自动重新启动
通过在其它的物理服务器上重新启动虚拟机， HA可以保护任何应用程序不会因为硬件失效而中断服务。
4.智能选择物理服务器
当与H3C CAS动态负载均衡功能共同使用时，H3C CAS HA可以根据资源的使用情况，为失效物理服务器上的虚拟机选择能获得最佳运行效果的物理服务器。
HA功能给企业云计算平台带来的价值如下：
简便的设置和启动：使用“新建集群”向导来进行初始设置，使用H3C CVM虚拟化管理平台添加主机和新的虚拟机。
降低硬件成本和设置：在传统集群解决方案中，必须有重复的软硬件，而且各个组件必须正确连接和配置。使用CVM集群时，只要保证有足够的资源容纳要确保其故障切换的主机的数量，就可以便捷自动地完成主机故障切换。
无论硬件和操作系统平台如何，CVM HA都通过为应用程序提供可用的、经济的高可靠性，而使其更“大众化”。
虚拟机备份
随着云平台对IT信息化系统的依赖加深，业务系统备份是必不可少的组件。相应的，在云计算平台中，针对计算资源池中虚拟机备份也至关重要。
H3Cloud Virtualization Manager实现了透明的定时备份和即时备份功能，会在暂停虚拟机中的应用程序之后，为正在运行的虚拟机创建快照，从而对备份工作进行集中处理，以确保文件系统的一致性。如下图所示：

H3Cloud Virtualization Manager的备份特性是一种高效而低成本的灾难恢复特性，它将给用户带来如下价值：
基于磁盘的备份功能，为虚拟机提供快速、简单的数据保护
无需额外代理的备份，简化了部署复杂度
支持全自动的定时备份和手工干预的即时备份，满足不同的应用要求。

4.8 华三无线城市解决方案特点

华三具有丰富的产品线，覆盖从网络、无线WiFi、安全、认证、服务器等多个层面，并具备十分丰富的无线城市建设经验。
（1） 丰富的无线城市建设经验：
石家庄、正定、上海（H3C 26万台AP）、杭州、宁波、哈尔滨、拉萨、APEC、承建连续两届乌镇世界互联网大会无线……产品经受了高低温、潮寒等恶劣环境的考验。
（2） 整体解决方案：
拥有从WLAN、交换路由、服务器、存储、云计算、安全防护、行为审计、漏洞扫描、认证、Cache、无线城市应用等建设无线城市必需的全套解决方案和产品，实现品质无线+可靠承载。
（3） 核心设备与AC的融合：
核心交换机采用CLOS架构，电源、主控、交换网板全冗余，可靠性高，并且可扩展性高。
核心交换机融合AC插卡，同时核心交换机和AC插卡均支持虚拟化功能，实现核心节点的双活。
AC支持后续扩展到分层AC架构，实现集中控制、分布转发、负载分担、垂直备份等功能。
（4） 出口安全网关高可靠性、可扩展性：
出口安全网关采用CLOS架构，设备电源、主控、交换网板全冗余，可扩展性强；支持两台设备的虚拟化；支持单台设备的硬件一虚多。并采用NGFW架构，支持Firewall、IPS、AV防病毒等功能融合。
（5） 融合认证网管：
一套平台，既可以实现有线/无线/安全的统一管理，也可实现用户的认证管理，设备管理和用户管理融合，策略统一下发。
（6） 开放的绿洲平台：
云端运维可以实现无线城市整体运行情况的监控，随时随地，支持手机端APP，更简单，更关注重点；生态建设引入包括广告推广、商贸营销、定位导航、餐饮等各种增值服务，为无线城市真正增加实际业务。
（7） 应急处置平台：
引入政府更加关注的实际需求，包括人流预警和敏感人群监控两大部分，将无线城市对政府的价值发挥到最大化。

---

第5章 室外远距离覆盖的利器-CPE解决方案（以下均详见Word版下载查看）

5.1 传统室外覆盖方式所面临的问题

5.2 室外覆盖CPE解决方案

5.3 基站AP与CPE部署方式

5.4 高密用户区域扩容解决方案

5.5 vCPE解决方案-无线网络室外远距离覆盖的利器

5.6 组网部署模式

5.7 vCPE管理平台功能

5.8 CPE安装检查表

第6章 无线城市应用-人流量监测预警平台