无线网络解决方案

精选优质文档-倾情为你奉上京信通信Juniper无线网络解决方案2022年3月目 录一. 项目背景1.1. 前言xxxxx1.2. 项目背景xxxxxxxxxxxxxxxxxxxxxxxxx1.3. 招标技术要求 - 删除此次网络建设是在京信通信原有的有线网络上进行改造，同时进行无线网络扩充。要求完成四个分馆公共阅览区全方位立体式无线覆盖，让读者们可以在这些区域随时随地、无拘束的连接到网络，馆内职工可以依托无线完成各项办公、管理事务，外来来宾可以顺畅的访问馆内和馆外网络资源。京信通信原本具有完善的有线网络结构，新的无线网络建设要求在网络互联、认证计费、安全防御等方面与有线网络进行良好的兼容和互补，图书馆有线网络各部分主体结构内部不需要改变任何项目，只需用原有的网管、认证、计费系统就可以对无线网络进行管理和统一认证，同时做到尽可能的简化网络结构，提高网络访问速度与效率。此次图书馆无线局域网具体的建设目标是：l 侧重实际应用，覆盖图书馆内四个分馆公共阅览区，为电子阅览、科研、办公及学习、生活、交流提供切实可用的、稳定的无线网络环境。l 采取先进通行的协议标准：目前无线局域网普遍采用802.11系列标准，无线局域网提供802.11abgn标准的联网支持，可以匹配802.11abgn无线设备，提供可供实际应用的稳定网络通讯服务。l 实现室内无线网络的合理布建：考虑室内实现无线网络的不同情况和特点以及目前读者移动终端用户数量日益增多的情况，应采取合理的布网方式满足现在以及未来发展的需要。l 保证覆盖区域最大用户并发数：考虑阅览室、报告厅、多媒体室等人员密集，用户并发数量较多的情况，保证比较充分的用户使用带宽。l 设计原则要求：各信号输出点信号强度-73dbm；单个AP用户并发数15-20个。l 施工要求：无线接入点需采用IEEE802.3af POE交换机远程供电。1.3.1. 无线部署及架构要求l 必须采用目前标准的无线局域网技术，符合标准IEEE802.11a/b/g/n传输协议，并且必须支持2x2 MIMO架构，能便于各种WiFi设备如笔记本电脑、PDA、WiFi电话等的连接。l 必须采用“无线控制器无线接入点”方式，能集中统一管理、配置和监控，具备高度安全性，稳定可靠。l 无线产品必须具备高安全性和可靠性。要求安全可靠，通过灵活的认证、加密和审计来确保网络和用户的安全性；通过冗余设计来确保网络的高可用性。l 系统具备扩展性和可升级性，部署的无线网络不能够影响有线网络的系统架构；必须支持通过软件升级的方式进行系统扩展。l 易管理易维护，部署和实施不得对现有网络拓扑结构进行变动，支持网络管理中的配置管理、安全管理、性能管理、故障管理。1.3.2. 无线产品具体技术要求：1、无线控制器（单台指标）l 建立互为备份的两套千兆无线控制器（控制AP数60台,并发接入用户数2000），集中管理无线AP。l 控制器配置10/100/1000M以太网口数量8；支持MESH AP的管理和监控，AP的配置下发，自动升级等功能；支持对所连AP发射功率的自动调整，对射频频道进行指定，并在AP 失效时启用冗余AP 覆盖；支持对非法未授权无线AP的侦测并拒绝接入无线网络；支持IPV4/IPV6双栈2、无线接入点AP（50台）l AP可以同时工作在802.11a/n或802.11b/g/n模式下 ；每个AP并发接入用户数30;采用22 MIMO天线架构；支持标准PoE(802.3af)供电，也可支持本地电源供电；支持胖瘦模式转换，且转换过程中无需重新启动 ；支持IPv6协议 ；支持web portal认证、802.1X认证、MAC地址认证、PPPoE认证。1.3.3. 项目安装实施要求1、投标商须提供全新的未使用过的原装正品产品。进口产品应符合我国相关业界产品标准，并在交货时提交产品的合法有效的文件，如产地证、出厂合格证、质保书、进口材料有关证明、中国商检部门出具的商检证书等；国产产品须有产品合格证和国家质检标志，并应提交国家相关部门的质量检测报告书。如包含软件产品还需提供该产品的正版光盘电子介质及授权许可证明，产品须为最新稳定版本。2、投标人应确保所投产品的指标与实际相符，招标单位、用户保留随时实地检验产品或要求投标人在实际环境下演示该产品的权利。3、所有产品均须由投标商送货到指定地点并负责组织、实施产品的安装、调试工作，用户不再支付任何额外的费用。4、投标商应实现本项目各产品同京信通信现有网络应用系统产品的整合与应用实施，并确保所投产品的安装与实施环境与京信通信现有的网络系统环境、应用系统环境相互兼容。在项目实施过程中须提供详细的整合方案和实施方案。5、产品到货后，京信通信将按照投标商提供的产品清单和项目到货验收报告，检验产品合格证、使用说明书和其它的技术资料，检查产品及附件是否完整无损，技术资料是否与京信通信的要求相符，如有遗漏或系统功能不完善等情况，投标商应负责进行优化和最终解决。6、投标商在产品到达目的地后的 10 天（日历天）内必须派人到现场负责安装和调试，并须提供全面的现场产品安装服务（包括软、硬件的安装和连接）、布线服务、调试服务(硬件、软件产品的测试、调试)等一系列工作直至正常运行，提供技术支持以及详细的文档材料，并须自觉接受项目工程监理单位的监理，积极配合系统集成商、最终用户进行相关工程的实施。7、投标人可按照招标文件要求进行现场踏勘以了解现场实际情况。投标商应负责提供安装必备的线缆、配件、安装材料、辅助材料，包括铺设的网线、水晶头、供电交换口连接模块、光纤连接线缆、AP布设时所需的安装支架、天线等，用户不再承担中标金额外的任何费用。8、无线AP的布设及安装应依据京信通信的最终实际应用环境来实施。AP实现天花吊顶安装或靠墙体安装，网线铺设采用天花顶端走线。无线AP安装及网线铺设等辅助材料及施工工程，采用六类线缆及六类配线架构，并须保证无线AP与POE交换机之间的正常连接和工作。投标商在投标时应提供无线AP的布设的参考方案，并以京信通信的最终需求实现为准。AP布线施工、验收时，投标商需提供详细的走线图、布线图、信息点位图、测试报告等相关文档。无线AP的布设及施工工程要求达到以下标准：（1）用户建筑布线安装规范CENELECEN50174（2）建筑于建筑群综合布线系统工程施工及验收规范（3）智能建筑设计标准 GB/T 50314-2000二. 京信通信无线网络设计原则对于办公系统无线网络的规划，应着眼于高效、稳定、安全的总体设计目标，同时易于使用、用户界面统一、标准，表现力强；易于安装、维护和管理，网络运行质量高；开放性好，便于移植、扩展、升级和推广；要有较好的性能价格比，并在几年内保持解决方案与技术上的领先，为用户提供一个灵活的平台, 对用户和无线网络进行有效的管理，构建了一个稳定的、可拓展的无线网环境。2.1. 标准的成熟性原则对于京信通信而言，在多年的信息化建设过程中，整体网络系统之所以可以稳定工作，与其一直秉承标准化的建网思路息息相关。正是因为所有网络设备遵循了标准协议，才能满足良好的互操作性和兼容协调工作。本次京信通信无线网络的规划，同样必须遵循标准的统一性，所采用的各项技术必须与国际主流标准协议相一致。2.2. 解决方案技术成熟性原则无线网络技术已经发展多年，期间诞生了各种各样的解决方案技术，但是对于京信通信的网络现状和规模而言，必须采用成熟解决方案技术，才能将网络使用和维护风险降到最低。2.3. 完善的安全措施原则对于京信通信而言，无线网络的安全必须放在重要位置，可以从以下几个方面考虑： 用户接入认证的控制京信通信建成后的无线网络必须完全融合进有线网络的认证系统中，同时，还可以利用无线网络的认证安全功能，针对不同的用户开设不同的认证权限，既可以满足内部员工的认证权限和计费的区别，还可以对读者提供单独的认证权限，做到“入网即认证、认证后分配权限、按权限计费”等多种多样的用户策略功能； 基于用户的访问策略不同的用户可能有不同的上网行为，包括HTTP、FTP、语音等，针对不同的应用，应加以配置不同的行为控制权限，既满足针对不同用户的网络互访的安全性，又可以针对特殊需求（如安全级别较高的领导等）赋予单独的隔离访问，不会受到非法用户的入侵； 受保护的无线数据传输无线网络安全事件往往会发生在数据传输阶段，因此，针对建成的无线网络，必须能够同时满足合法的无线用户与无线接入点的数据传输的安全性，以及无线接入点与上行网络的数据传输的安全性； 对射频环境的监控无线网络依靠空中的无线频谱载频工作，正常、合理的无线信道，可以支撑无线设备稳定的工作，满足数据的正常发送。但是，非法用户与非法无线设备的存在，将会对整个网络的稳定运行构成极大的威胁。非法用户可能利用射频扫描工具探查合法无线设备的工作参数、用户数据，继而入侵网络；非法的无线设备则可能侵占合法的无线信道，从而导致对合法设备的信道利用产生干扰。因此，对于京信通信规划中的无线网络，必须具备无线射频监控能力，能针对非法用户的扫频行为和尝试连接进行定位，继而第一时间告警并将其剔除；对于非法无线设备也需要进行快速发现与告警。2.4. 网络可扩展性原则无线网络作为一项新兴网络技术，其普及速度越来越快，相应也带来了其解决方案技术的更新速度加快。对京信通信而言，性价比是用户必须要考虑的方面，这其中，网络系统面向未来的可扩充性和可升级性显得非常重要。因此，针对本次的无线网络设计原则中，要求无线网络能够实现对所有的无线接入点功能的配置和管理、无线入侵监控、无线终端追踪定位、无线电波传输分析的工作模式。同时整个系统可以根据用户的需要进行规模上的扩展，扩展后所有功能和管理的模式保持不便。即便是未来的802.11n无线技术的成熟之后，也只要增加相应的接入点产品和升级无线网络交换机软件版本即可，无需更换无线网络交换机，无需改变整个无线网络架构。2.5. 功能丰富的集中管理原则由于本次京信通信无线网络的无线接入点规模较大，且均分布于在办公室内，平时很难直接观察设备的工作状态，因此，必须采用集中管理的方式来实现对全网设备的集中控制和管理。因此，在网络管理方面，规划中的无线网络必须具有全网设备工作状态参数的集中监控、射频智能调控、射频环境的实时监控、网络链路状况的报警、无线用户及设备的定位、丰富的报表输出等实用功能。2.6. 可冗余的高可靠性原则京信通信本次规划的无线网络投入使用后，由于目前已经拥有了较多的支持无线上网的计算机，无线网络很快就会成为重要网络接入方式，因此，该网络的稳定性与可靠性必须经受住大规模长时间使用的考验，对于网络的冗余性设计也在考虑之列。本次规划所使用的设备，必须支持较好的冗余和故障热备能力，以提高网络的可靠性。2.7. 灵活的部署方式原则针对京信通信本次的无线网络部署，为了更好的实现任何地方的灵活部署，应当全部选用支持标准802.3af协议的PoE（以太网供电）技术，可以满足所有的无线接入点无需专门拉电源线，而是采用已经部署的以太网双绞线或新增加的六类线就可以满足AP的供电，从而保证无线接入点的灵活部署。三. 方案技术设计3.1. 覆盖区域设计3.1.1. 接入点数量统计本次规划主要覆盖区域如下：建筑楼层区域规划接入点数目B栋一楼会议室1B栋二楼会议室，高管办公室7B栋三楼全覆盖14B栋四楼会议室，高管办公室8B栋五楼全覆盖15F栋一楼招待厅，多媒体语音室4F栋二楼会议室，贵宾厅5F栋三楼会议室3合计573.1.2. 各楼层设计图下面为各楼层AP布置以及5GHz 11na 和2.4GHz 11ng的信号热敏图。3.1.2.1. B栋1楼3.1.2.2. B栋2楼3.1.2.3. B栋3楼3.1.2.4. B栋4楼3.1.2.5. B栋5楼3.1.2.6. F栋1楼3.1.2.7. F栋2楼3.1.2.8. F栋3楼3.2. Juniper无线网络产品与技术参数的性能根据京信通信无线网络的设计原则，Juniper建议采用先进的智能无线交换网络架构作为无线网络解决方案技术的核心思想，采用支持智能转发功能的无线局域网交换机，配合部署在各楼栋接入层的智能管理型无线接入点产品，以及无线网络集中管理平台，完成整个无线网络。一直以来，传统的无线局域网主要是采用自治型无线接入点架构，每个无线接入点都是一个独立的管理与工作单元，无线接入点之间无法进行任何沟通，如果需要对全网设备进行管理，需要逐台进行配置和管理，不仅费时、费力、维护成本高，而且缺乏所有的无线网络设备无法形成一个整体，也就无法具备整体协作的安全防御能力，整个网络的融合性差。后来，根据自治型无线接入点的这种缺乏全面管理的缺陷，一些厂商开始推出新的无线网络架构，即“无线局域网交换机远程轻型无线接入点”结构，可以满足所有的无线接入点全部受到无线局域网交换机的统一控管，这种组网架构和相应产品的出现，使得无线网络的整体管理能力、安全防御能力得到完全的改善，使得无线网络的组网变得轻松、易管理。到了这一阶段，可以说无线网络的解决方案已经上升到了一个新的台阶。虽然这种组网架构完全解决了对无线网络的管理和控制的问题，但是依然存在缺陷。这种缺陷在无线网络规模较小的时候并不会构成隐患，但是随着无线网络的逐渐普及，尤其是各行业内越来越多的组建大规模的无线网络时（100台无线接入点以上），在这种解决方案架构中，全部的无线接入点设备所吞吐的数据流量（用户数据、设备管理数据）都要通过加密隧道，集中的流经无线局域网交换机承载与处理，再通过其转发给相应的有线网络送达目的地，这必然会导致无线局域网交换机成为大流量数据汇聚的中心。而无线局域网交换机均采用“X86ASIC”的类服务器硬件架构，对外提供千兆端口连接，也就是说其最大的数据处理与吞吐能力不会超过2Gbps，按照每台无线接入点的真实包吞吐能力在1520Mbps计算，实际上每台无线局域网交换机2、300台甚至更多无线接入点的数据集中转发，如果超过这个规模，无线局域网交换机就会成为流量瓶颈，必须再增加无线局域网交换机设备才能扩充解决。特别是随着802.11n传输协议的即将到来，单个无线接入点的转发效率将提高到100Mbps以上，无线交换机架构将不再适合承担所有流量的集中处理，同时对于延迟敏感的语音传输等也无法适应。因此，针对这一现状，Juniper网络推出了先进的“智能无线交换网络”瘦AP(THIN AP)架构技术，通过智能无线局域网交换机MX系列产品的控制，智能无线接入点可具备根据不同用户、不同应用类型、不同VLAN等方式来决定数据流量是否需要全部集中流经无线交换机，这样不仅可以保持原有的无线交换机架构解决方案的优势，更可以根据网络的数据实际情况将时延敏感、流量较大的数据流分离到有线网络直接处理，将管理控制报文、安全控制要求高的报文送交智能无线交换机处理，避免成为无线交换机的转发瓶颈，这种解决方案将非常适合京信通信这样的大规模的无线网络环境使用。不仅如此，这种先进的架构，将使得京信通信的无线网络即使面对今后的VoWLAN（无线语音通话）和802.11n高速传输，都可以从容地升级和扩充，而无需淘汰现有设备，对用户的投资是极大的保护。3.2.1. 无线控制器WLC800RJuniper Mobility Exchange（MX）系列WLAN智能控制器是面向Juniper Smart Mobile无线网络系统的控制平台。Smart Mobile智能无线网是当今市场上唯一实现了智能交换技术的无线局域网（WLAN）架构，可以根据底层应用的要求，实现集中式和分布式数据转发。配合Juniper Mobility Point（MP）系列接入点设备和Mobility System Software（MSS）软件，MX控制器能够将策略执行和数据转发任务卸载至MP，从而优化业务流、大幅缩短延时、实现卓越的可扩展性。Juniper Smart Mobile无线网络系统可以支持多种苛刻的室内及户外无线应用，包括通过WLAN向数以千计的用户提供语音业务。此外，无需进行成本高昂的控制器升级，已可支持802.11n标准。Juniper可提供多种型号的MX控制器，致力于以最低的总成本全面满足企业WLAN的各种需求，不论是分公司的小型网络，还是大型数据中心。WLC800R WLAN控制器是为数据中心应用而设计的，该产品系列可以在任何现有的L2/L3网络上实现无缝、安全的企业级无线网部署，而无需中断当前网络的运行。它有八个千兆以太网端口，其中4个为1000Base TX的RJ-45接口，另4个是可承插适用于1000BASE-SX/LX光纤连通性或1000BASE-T非屏蔽双绞线（UTP）环境的SFP（小型插拔式）连接器。该产品包括冗余电源选件。初始标准配置可支持16个MP接入点，最大可支持128个MP接入点，在无线LAN网络的整个扩展过程中，用户可以根据需要购买相应的16或者32个MP接入点许可包，实现最佳的性价比。WLC800R融合了L2以太网交换、针对用户和业务的LAN速度防火墙、无线入侵防御、802.1Q集群、每VLAN生成树（PVST+）、完备的有线无线融合业务服务质量（QoS）以及自动射频管理等功能。一系列MX控制器可形成一个移动域（Mobility Domains），能够在最大规模的单站点无线局域网上，实现无缝漫游、入侵防御和射频管理。网络域（Network Domains）可将移动域分配至广阔的地域并互连，从而实现安全、无缝的移动应用和服务。产品特性集中式无线交换 WLC800R可部署于二层或三层网络中，无需改动原有网络架构，与智能管理型无线接入点MP系列产品组成整体交换架构，方便地控制和处理所有MP产品上的数据交换。所有网络配置和软件更新均由WLC800R完成，无需无线接入点参与。 标准通信协议 WLC800R与MP系列无线接入点之间采用国际标准协议CAPWAP进行加密隧道通信，既有效实现了与有线网络的隔离，又保证了WLC800R与无线接入点的实时通信的保密性。采用标准的CAPWAP协议可以支持对任意第三方厂商无线接入点产品的控制，便于用户网络扩容，最大化保护用户投资。 先进的智能转发技术 领先业界的智能转发技术，彻底突破了无线交换机产品的流量瓶颈的限制。WLC800R通过智能转发技术，可灵活配置MP系列无线接入点的数据转发模式，根据数据的分类以决定是否需要经过WLC800R转发，或直接进入有线网络进行数据交换。 智能转发技术将延迟敏感、传输要求实时性高的数据分类通过有线网络转发，而不是毫不区分地全部送进加密隧道传输至WLC800R无线交换机处理，可以大大缓解WLC800R的流量压力，更好的适应未来无线网络更高流量传输的要求，诸如VoWLAN、802.11n传输等。 全网无缝漫游 WLC800R支持先进的集群移动域（Mobility Domains）技术，多台WLC800R之间可实时同步所有用户在线连接信息和漫游记录。当无线用户漫游时，通过移动域内对用户的信息和授权信息的共享，使得用户可以跨越整个无线网络，并保持良好的移动性和安全性，保持IP地址与认证状态不变，从而实现快速漫游和语音的支持。 灵活的网络扩展 WLC800R产品可最大支持128个MP系列智能管理型无线接入点产品的控制，初始标准配置可支持32个MP系列产品的控制，可根据用户网络的规模，通过增加相应的升级许可证Lisence产品，按照16、32、48、64、80、96、112、128个MP产品进行控制权扩展。当用户网络需要弹性扩容时，可通过最大增加至32台WLC800R形成集群移动域，满足大型网络扩容需要。 支持802.11n高速无线传输 WLC800R产品已经支持下一代无线传输协议IEEE802.11n，配合相应的802.11n无线接入点产品，可提供传输带宽高达600Mbps的无线网络。同时，利用先进的智能转发技术，避免了无线交换机的流量转发瓶颈，可快速实现802.11n无线网络部署与传输。支持无线网状网（Mesh）组网技术 WLC800R产品支持先进的无线网状网（Mesh）技术，可配合相应Mesh网关和Mesh接入点设备使用，支持对无线回程（点对点/点对多点）和无线网桥（点对点/点对多点）的控制，满足大型园区级无线组网的需求。 高级射频管理 WLC800R可控制无线接入点对无线网络进行按需射频扫描，可扫描无线频段与信道，识别非法AP和非法无线网络，并向管理员发出警报，以便对要求更高安全性的环境提供全天候保护。 同时，WLC800R可实时控制MP系列无线接入点产品的射频扫描功能，进行信号强度和使用量的测量，并根据软件工具动态调整流量负载、功率、射频覆盖区域和信道分配，以使覆盖范围和容量最大化。 丰富的服务质量保证（QoS） WLC800R支持基于分类的流量队列，以确保无线语音（VoWLAN）或其他时延敏感的应用能获得所需的服务等级和服务质量。WLC800R支持带宽限制，可针对重要关键的数据传输应用，提供优先的带宽保证。 WLC800R支持802.1p/Diffserv，可在无线和有线网络上有效区分数据流。 集中式的网络安全与用户身份策略 WLC800R产品可提供丰富的多层次无线安全来保护无线资源、数据、网络和用户。 射频监控技术，可以让管理员利用自动射频检测来定位非法用户、阻断非法无线接入点等方式来保护无线资源； 链路层安全技术，可以利用多种加密方式，通过智能管理型无线接入点MP系列产品执行高级加密标准 (AES)、临时密钥交换协议 (TKIP)和有线对等加密 (WEP) ，提供安全的通信连接。 用户身份安全策略，可通过支持802.1X协议，确保只有授权的用户才可访问网络，集中了所有网络用户的认证控制和管理，支持本地密钥生成和认证，减少WLAN中AAA数据流量，从而减轻中央RADIUS服务器的负担，提高其容量和效率。同时，可为用户、子网或设备组分配不同的AAA策略，并对每个用户或每组用户执行不同的安全策略，以便进行灵活、深入的安全控制和管理。WLC800R可提供基于用户身份的所有服务，以使用户在漫游时具有诸如虚拟私有组成员资格、访问控制列表 (ACLs)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容。还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。 全网集中管理 WLC800R产品支持命令行、web等多种管理方式，可对全网智能管理型无线接入点产品实施集中、有效、低成本的计划、部署、监视和管理。 WLC800R产品可与Juniper网络智能无线交换集中管理平台系统软件RingMaster集成使用，完成包括拓扑生成、无线接入点工作状态、在线用户状态、全网射频规划、用户定位、安全报警、链路负载、设备利用率、漫游记录、报表输出等丰富的无线网络管理功能，使得管理员可以在数据中心对整个网络运行状态进行监控和管理。 即插即用的网络部署 WLC800R产品可以与无线接入点产品跨三层通信，因此WLC800R可被部署于数据中心，全网的MP系列无线接入点产品不必与无线交换机直连，当MP系列产品被连入网络中，将立即被WLC800R产品发现并配置，用户无须在现场进行任何配置，即插即用，随时部署随时开通。技术参数可扩展性和可靠性可管理的接入点数量取决于许可选项，可管理16到128个接入点。提供无缝移动业务的移动域跨64个MX控制器和最大超过32000个MP的移动服务。网络域（Network Domain）技术可将移动域（Mobility Domain）扩展至全球网络由1,024个移动域组成的集群跨65,536个MX控制器扩展移动性。可靠性 标准冗余电源模块 EtherChannel 负载分担技术，提供冗余链路 生成树和每VLAN生成树（PVST+） 通过任意MX端口实现自愈网络连接 MX采用N:1冗余配置安全认证 支持全面的本地AAA认证，包括以802.1X标准作为主用认证算法或集中式AAA服务器认证的备份。 支持多个AAA服务器组，可以在多台AAA服务器之间或一个AAA服务器组内部分担负载 生成和管理X.509数字证书； 指派和强制执行从AAA后端集中管理的每用户授权策略 权限包括虚拟专用组成员、个人防火墙过滤器、访问时间（TOD/DOW）限制、加密类型和针对特定位置的策略。 符合IEEE 802.1X标准，支持多种扩展认证协议（EAP）（TLS、PEAP/MSCHAP、TTLS） WebAAA技术、消息认证码（MAC）、开放式认证 经WiFi WPA2企业级认证密钥管理 密钥分布在MP中 MX可生成主密钥和会话密钥 为每一种加密方法提供密钥管理基于身份识别的网络连接 用户身份决定其接入权限和网络资源使用权限 权限和业务随用户一起漫游 根据用户的合法身份，在适当的虚拟专用组维持其成员资格 动态启用虚拟专用组，以支持跨路由漫游。 集中管理和控制。端点保证 集成了Symantec代理软件，按需提供端点保证 兼容微软网络接入保护（NAP）入侵检测和防御 ActiveScan解决方案可在执行流氓接入点和拒绝服务（DoS）攻击检测扫描所有频段、相关信道和VLAN的同时，向移动终端提供无线连接。 SentryScan解决方案可在两个频段及其相关信道上执行持续扫描，同时允许其他MP为无线LAN客户端提供服务；非法接入点检测 (Rogue AP Detection)、入侵检测系统（IDS）和电子被动防御解决方案； Juniper /AirDefense集成式入侵检测和防御解决方案-出类拔萃的入侵检测/防御系统（IDS/IPS）-适用于传感器模式和业务模式接入点（AP）的通用Juniper MP硬件-动态威胁管理按需将MP切换至传感器模式-威胁定位和消除策略移动服务数据业务 数据密集型应用 延时敏感型应用基于标准的长话级语音业务 支持VoIP协议 符合802.11e/WMM 支持业务排队和优先级（802.11e/WMM标准） 适用于整个网络的预留语音业务优先级（802.11i PMK高速缓存，WMM） 语音业务带宽控制（TSPEC） 最大限度延长手机终端电池工作时间（U-APSD标准） 以相邻接入点报告为辅助的漫游（802.11k）虚拟业务集 支持多个SSID（64/MP、32/频段） 每个SSID可实现加密和认证的任何组合 每个SSID可实现任何虚拟局域网（VLAN）拓扑 每个SSID都具备独一无二的入口网页 专用或共享认证算法高速数据业务（802.11n标准） 802.11n就绪； 智能交换技术允许Mobility Point在本地执行数据交换或者将数据上行或下行转发至Mobility Point。 借助MX控制器将MP配置为支持智能交换户外业务 无线回程（点对点/点对多点）和无线网桥（点对点/点对多点） 通过支持智能交换技术的网状网入口和网状网接入点业务，提供企业局域网网状网业务。 将控制和管理功能与智能无线网室内业务相集成实时定位业务 基于WiFi的主动式RFID定位技术（基于客户端和网络） 与定位应用相集成管理和控制管理接入 CLI命令行接口（SSH v2） WebView Web接入（https） SSL、XML（配合RingMaster软件） SNMP v1、v2、v3射频管理 MP功率/信道自动调节 动态频率选择（DFS）用户管理和统计 详细的每用户会话帐户统计数据管理 按用户名、会话、VLAN、用户组或IT团队选定的其他标准，跟踪定位信息、漫游历史记录、虚拟专用组、网络地址、状态、网络活动、错误、使用情况和其他属性 利用AAA服务器的帐务应用，提供每用户审计记录和计费功能MP管理和控制 配置和控制MP：控制第三方AP。 启动、配置和管理符合IETF CAPWAP架构的模型。MX充当接入控制器（AC），可实现直接、交换和路由连接。 支持MX或MP实现智能交换。 多个MX实现自愈控制智能交换 将MP配置为本地执行数据交换或者将数据上行或下行转发至MP 优化网络和MX容量和性能 由MX负责控制客户端负载平衡 在覆盖范围实质上相互重叠的无线网络之间，均衡客户端会话数量 当网络中添加新的AP或有MP从瞬时故障中恢复运行时，恢复会话数量平衡。 在移动域（Mobility Domain）中的多个MX控制器之间，实现AP组均衡。客户端操纵 在各个频段上实现客户端操纵，提高可用频谱资源的利用率，减少拥塞的802.11b/g频段上的网络业务。技术规格硬件技术规格尺寸44厘米37.54厘米4.42 厘米重量 5.2千克，双电源接口 4个千兆以太网SFP（小型插拔式）端口 4个10/100/1000M接口 1个控制接口环境 工作温度：040 贮存温度：-2070 相对湿度：1090（非冷凝）电源 100240VAC，5060Hz 2个电源 最大输入电流：0.77Arms120Vrms，0.4Arms230Vrms安全法规UL 1、CB IEC -1、EN 60950-1电磁干扰/电磁兼容性（EMI/EMC） FCC PART 15 第A类 ICES 003 VCCI EN 55022、EN 55024支持的标准安全性和AAA RFC标准 RFC 2246 传输层安全性 (TLS) RFC 2284 EAP RFC 2315 PKCS #7：加密报文语法第1.5版 RFC 2548 Microsoft RADIUS VSA RFC 2716 PPP EAPTLS 认证协议 RFC 2759 Microsoft PPP CHAP扩展，第2版 RFC 2865 RADIUS 认证 RFC 2866 RADIUS 计费 RFC 2869 RADIUS 扩展 RFC 2986 PKCS # 0：认证请求语法第1.7版 RFC 3580 IEEE 802.1X RADIUS 导则IEEE标准 802.1X；基于端口的网络接入控制 802.3i 10BASE-T 802.3u 100BASE-T 802.3ab 1000BASE-TX千兆以太网 802.3z 1000BASE-TX 千兆以太网 802.3af：以太网供电 802.11a/b/g、802.11d、802.11e、802.11h、802.11i一般标准 RFC 1122 主机要求 RFC 1393 追踪路由 RFC 1519 CIDR RFC 1591 DNS RFC 2030 SNTP RFC 768 UDP RFC 783 TFTP RFC 791 IP RFC 792 ICMP RFC 793 TCP RFC 826 ARP IEEE 802.1D 生成树 IEEE 802.1Q VLAN 标签 IEEE 802.3ad (静态配置)管理和控制标准 RFC 854远程登录（服务器和客户端） SSHv2 安全Shell（版本2） SNMP v1/ v2c/ v3 RFC 1213 MIB-II RFC 1866 HTML RFC 2068 HTTP RFC 3164系统日志 Juniper 专有MIB IETF CAPWAPIP多播 RFC 1112 IGMP v1 RFC 2236 IGMP v2服务质量（QoS） 基于以太网的802.1p QoS 802.11e、Wi-Fi 多媒体 (WMM) SpectraLink语音优先级（SVP）协议 RFC 2472 DiffServ优先级 RFC 2597 DiffServ保证转发 RFC 2598 DiffServ加速转发3.2.2. 无线接入点WLA522Juniper Mobility Point (MP)系列多功能接入点为Juniper Smart Mobile无线网络提供无线接入服务。Juniper Smart Mobile无线网络系统是当今市场上唯一实现了智能交换技术的无线局域网（WLAN）架构，可以根据底层应用的要求，提供集中式和分布式数据转发。借助Juniper Mobility Exchange（MX）控制器进行配置和控制，MP接入点可以根据应用需要，执行加密、业务政策和数据转发。无线接入系统可以支持众多要求苛刻的室内及户外无线应用，包括为数以千计的用户提供基于Wi-Fi的语音业务。此外，无需进行成本高昂的控制器升级，即可支持802.11n标准。Juniper推出的室内WLA522是新一代智能接入点，能够扩展无线网络的覆盖范围。这款双模WLA522（可同时支持802.11an标准和802.11b/gn标准）配备了分别在2.4 GHz和5 GHz频段上工作的分集天线，支持2x2 MIMO。WLA522具备10/100/1000千兆以太网端口，支持802.3af以太网供电（PoE）解决方案。WLA522的外壳经专门设计，看起来就像一个烟感探测器，其貌不扬的外观减少了被故意破坏的可能性，其内置Kensington安全锁也进一步增强了物理安全性。WLA522可以实现分布式数据转发，优化业务流、大幅缩短时延、提供超高性能和卓越的可扩展性。WLA522部署简便、易于管理，可以支持基于Wi-Fi的数据、语音和视频业务，并且可以自动计算无线信道的数据完整性和射频信号强度，持续地自动调节为最优射频信道和发射功率，以及优先传输时延敏感型语音业务和其他至关重要的应用的业务。可以配置Wi-Fi多媒体（WMM）或SpectraLink语音优先级（SVP）协议，以确保语音业务实现最优服务质量（QoS）。还可以针对用户、协议或业务级别（CoS），执行不同的政策。除了常规接入点功能，WLA522还支持802.11s网状网接入点（Mesh AP）、网状网点（Mesh Point）、网状网入口（Mesh Portal）或WDS网桥，扩展企业WLAN的覆盖范围。在网状网入口模式下，WLA522的作用就像连接至有线网的网关节点，负责将业务转发至网状网接入点，执行防火墙、接入控制和服务质量（QoS）政策，以及执行广播抑制，从而优化网状网络的频谱资源利用率。可以将WLA522配置为在一个频段上支持客户的自定义业务，在另一个频段上支持网状网络业务。不论在任何网状网模式下，WLA522均可支持Juniper Smart Mobile无线网络系统智能交换技术，使各个网状网节点与目的端之间，在经加密的安全的网状网链路上，实现最短、最畅通无阻的传输通道。WLA522也可用于专门的桥接模式，在建筑物之间实现无缝连接，而无需另外耗资敷设电缆。诸如网状网络、桥接和分布式转发等高级特性需要实现MSS 6.0协议或更高版本。在非法接入点和入侵监测以及拒绝服务（DoS）攻击监测方面，WLA522有着举足轻重的作用。 Active Scan允许MP身兼两职，既可扫描所有的802.11信道，同时又可为移动终端提供无线连接。利用Sentry Scan技术，多个或单个MP可以充当专门的“哨兵”，执行持续的扫描。WLA522也可支持利用Wi-Fi信号进行定位的位置服务应用，例如常见的资产追踪或客户端定位等应用。主要特性射频特性双模运行 同时在802.11an（5 GHz）和802.11 b/gn（2.4 GHz）频段上运行射频发射功率设置 功率调节技术，步长为1 dBm 可配置的功率设置，允许控制射频小区的规模射频自动调节 持续自动调节，以实现最优信道、数据率和传输功率 消除了动态及意外发生的覆盖漏洞内置天线 最优增益模式，最大限度地扩大无线网络的覆盖范围无线通信最优服务质量（QoS）语音业务 按用户和会话优先级，进行排队 Wi-Fi多媒体（WMM）QoS SpectraLink语音优先级（SVP）QoS 通过基于802.11i PMK高速缓存的漫游，语音业务可实现无缝越区切换 利用802.11e TSPEC CAC技术，实现基于会话的带宽预留 利用802.11k标准，通知相邻接入点报告 经WMM Power Save省电认证 利用802.11e U-APSD标准，实现自动省电模式 针对每个会话，实现接入点负载平衡和客户端操纵虚拟业务集 每个Mobility Point最多可支持64个SSID 每个SSID可实现加密和认证的任何组合 每个SSID可实现任何虚拟局域网（VLAN）拓扑 每个SSID都具备独一无二的网络接入入口（Web Access Portal） 专用或共享认证算法无线回程业务 点到点（P-P）和点到多点（P-MP）运行无线网桥 点到点（P-P）和点到多点（P-MP）运行企业局域网网状网业务 自配置、自愈和自优化网状网业务 网状网入口 网状网接入点安全性物理安全 其貌不扬的外观看起来就像一个烟感探测器 不在本地保存数据或安全证书 不具备控制器端口，不可实现本地接入 即使被盗，安全配置数据也不会随之泄露 被盗后的AP将列入“黑名单” 内置智能Kensington安全锁加密解决方案 基于硬件的无线通信专用加密解决方案，循环为每个会话提供密钥，以支持经认证的WPA（TKIP）、WPA2（AES）、40位WEP、128位WEP和动态WEP运行入侵检测和保护 ActiveScan解决方案在执行非法接入点和拒绝服务（DoS）攻击检测、报警和消除的同时，可确保MP正常运行 SentryScan解决方案配备了专用传感器，专门执行非法接入点和拒绝服务（DoS）攻击检测、报警和消除管理和控制可扩展性和弹性 Juniper Smart Mobile无线网络智能交换技术可通过Mobility Point实现分布式业务转发 利用RingMaster为射频自动调节功能进行故障弹性规划安装和配置 具备一个隐形卡扣，可以安装在天花板上 任何Juniper MX WLAN控制器、支持POE的交换机或中跨PoE电源解决方案，均可为其供电 真正的全向天线，可以安装在任何位置客户端负载平衡 在802.11 a/b/g/n频段上实现客户端操纵，最大限度地提高频谱资源利用率，在可用频段上保持负载平衡 在采用类似业务政策的Mobility Point组之间，均衡客户端会话 当网络中添加新的Mobility Point或有Mobility Point从瞬时故障中恢复运行时，在采用类似业务政策的Mobility Point组之间，恢复客户端会话负载平衡 在移动域（Mobility Domain）中的多个Mobility Exchange WLAN控制器之间，实现Mobility Point组均衡3.2.3. 无线系统安全管理软件Ring MasterRing Master是Juniper网络推出的针对智能无线交换网络的集中管理平台系统软件，可为用户提供局域网或跨越广域网环境下的无线网络部署规划、设备配置及管理监控服务，并分析输出详细的网络运行状态报告。Ring Master可与Juniper网络MX系列智能无线局域网交换机协同工作，对所有部署的MP系列智能管理型无线接入点产品进行集中管理和控制，以优化网络表现，并增强网络安全性。 使用Ring Master无线局域网交换机集中网管系统软件，可在无线局域网部署实施前，简便智能地进行规划和配置。该系统软件的规划部分能够支持导入需要部署的建筑平面图，计算各种常见障碍物（如门、墙壁、天花板等建筑障碍物）的信号屏蔽参数，自动配置每个无线接入点的容量和覆盖范围。Virtual Site Survey向导功能可自动将MP系列无线接入点产品布置于站点平面图中，以模拟和优化无线接入点发射功率并且自动分配射频信道，使得整个虚拟规划模型最大化的接近实际应用，并对项目实施提供完善的指导。 Ring Master可根据用户建筑物的射频环境、障碍物特性、用户访问带宽要求等因素，自动规划MP系列智能管理型无线接入点产品的部署位置及部署数量，同时也可以对任何支持OAPI的第三方厂商的无线接入点产品进行部署规划。 Ring Master系统软件不仅可以规划安装过程，还可以对部署结果进行验证。用户可以快速复制和验证配置模板，自动下发配置到多台无线网络交换机和MP系列无线接入点以建立无线网络。此外，该系统软件还可用于跟踪配置变化、进行全网无线设备的批量升级、管理全网设备版本，并从管理端保存设备历史配置。这样可以大大降低部署无线网络的人为错误，大量节约成本。 Ring Master系统软件可提供对射频环境的全面控制，可提供对整个无线局域网的简易而精确的操作。射频扫描可以按计划进行、连续进行或按需进行，使用户能够了解无线空间内发生的所有操作，监视探测并定位非法接入点、非法网络或其他射频干扰。此外，该系统软件还可以监测无线用户通信情况，并自动调整无线接入点的功率，以消除覆盖区域之间的盲区，优化射频性能。Ring Master系统软件可监视并记录无线网络实时运行情况，可精确地对无线局域网进行动态调整和平衡，并可输出长达30天的设备运行情况及用户记录，协助管理员进行周密而有计划的网络管理。 Ring Master系统软件支持AES、TKIP和WEP加密等丰富的无线数据安全特性，并结合了WPA/WPA2和802.1X验证，因此可以基于每用户或每用户组进行全面的管理和保护，跟踪无线网络上的所有业务。基于此项功能，可以实现针对用户组的认证接入控制、灵活可控的漫游策略、对带宽使用的监视，大大增强了无线局域网的安全性，并可以实现安全连接和漫游。 Ring Master系统软件对采集的用户数据和网络运行数据提供了强化分析能力，它可以通过监视连接对象、对象所处位置、原来的位置以及曾经使用过的业务来组建一个移动域（Mobility Domain），以确保无线局域网的安全，并可以随时监视用户漫游记录，协助管理员进行详细的漫游管理。 Ring Master系统软件已经率先支持对下一代无线通信协议IEEE 802.11n，可配合支持802.11n智能无线接入点，完成对高速用户数据的监控。同时，还支持Mesh（无线网状网）技术，可配合Mesh网关和Mesh无线接入点产品，完成城域级的大规模无线网状网的全面控制管理。 产品特性设备自动部署规划 Ring Master系统软件可根据用户特定的建筑3D布局图（AutoCAD或其他标准格式），进行覆盖效果仿真计算，参考各种常见障碍物（如门、墙壁、天花板等）的射频衰减因素，给出实现最优网络性能的无线接入点部署数量和部署位置，有效降低部署成本。同时，可支持优化应用程序和硬件性能的集成算法，可对设备部署方案进行模拟测试，对于为VoIP等特殊用户访问提供服务的无线接入点可提供有针对性的部署规划，无需用户具备专业的射频部署经验，无须手工配置设备，大大减少了安装出错的可能。全网统一配置、验证和部署 Ring Master系统软件可自动创建MP系列智能管理型无线接入点配置文件，统一远程配置MP系列无线接入点产品的射频功率、无线信道分配等参数，并可实时与设备保持配置信息的同步与更新。同时，也可以对任何支持OAPI的第三方厂商的无线接入点产品进行配置与管理。集中配置管理 Ring Master系统软件可支持对全网设备的历史配置进行归档备份。集中升级功能只需点击即可轻松完成，并能够按需验证并同步配置。支持灵活、可扩展的体系结构 Ring Master系统软件可根据需要利用分布式配置机制，用户可根据需要购买网元扩展许可证Lisence产品，随时添加支持标准的CAPWAP的智能管理型无线接入点或智能无线局域网交换机产品，平滑实现未来的无线网络扩容与管理。全面控制射频环境 Ring Master系统软件可按照连续、按计划或按需进行射频扫描，并根据需要运行扫描以探测和定位非法无线接入点、非法用户和非法网络，并及时向网管员告警并给出处理建议。利用集成的工具可验证当前射频范围和拓扑结构，按需调整各个无线接入点的信道及发射功率参数。先进的无线定位功能 在MX系列智能无线局域网交换机和MP系列智能管理型无线接入点的配合下，Ring Master系统软件可完成准确的用户物理定位，并可在地图上显示与告警，特别适合于对空间物体位置要求严格的用户，如贵重医疗设备的资产管理、智能写字楼的安保系统、图书馆的珍贵馆藏书籍的保存等。全面的系统数据统计与用户管理 Ring Master系统软件提供包括错误告警和流量模型的网络运行数据，其中包括无线流量统计、协议类型统计、用户会话统计及用户漫游记录等数据，并且可提供清晰明了的表格和图表，以便快速识别数据走向。同时，可针对每个用户的连接信息，制定详细的带宽管理策略，优化利用网络带宽使用效率。全网设