【正文】 8770xe056基于DiffServ的隊列調(diào)度AP在輸出接口支持多個隊列，按優(yōu)先級調(diào)度語音流和會議電視放入嚴格優(yōu)先級隊列PQ中，流媒體和關鍵數(shù)據(jù)業(yè)務放入CBWFQ。華三的WLAN系統(tǒng)在所有的層次保證了用戶數(shù)據(jù)的最高質(zhì)量的優(yōu)先級調(diào)度。而對于涉及到語音、視頻業(yè)務的無線系統(tǒng)系統(tǒng)，通信質(zhì)量尤為重要，是事關系統(tǒng)質(zhì)量的關鍵指標?？紤]到具有語音與視頻的潛在需求，可以通過設置專門的SSID作為語音/視頻業(yè)務使用，通過劃分VLAN方式實現(xiàn)語音終端僅僅與語音網(wǎng)關進行通信，保證語音業(yè)務與數(shù)據(jù)業(yè)務隔離開來。當無線終端發(fā)現(xiàn)需要進行切換時，會進行如下操作：與無線交換機進行連接的預建立；無線交換機與需要建立連接的AP交換通訊用PMK密鑰，并將PMK密鑰傳給無線終端；無線終端發(fā)布更新消息，更新無線交換機轉(zhuǎn)發(fā)表；原有的數(shù)據(jù)流轉(zhuǎn)換到新的AP上來；切斷原有的數(shù)據(jù)連接。首先無線終端會通過無線局域網(wǎng)服務器的CAMS軟件進行第一次的安全接入認證，無線交換機會介入該認證過程，并獲得PMK（Pairwise Master Key）。其中白名單只能通過手動進行配置；而黑名單同時支持手動配置方式和動態(tài)添加方式，入侵檢測系統(tǒng)和非法設備檢測模塊檢測到非法攻擊，可以動態(tài)地將該非法設備添加到黑名單中，后續(xù)所有從該設備接收到的報文會被直接丟棄，從而保護了WLAN網(wǎng)絡不再受到該非法設備的攻擊。接入控制根據(jù)特定的屬性實現(xiàn)了對無線客戶端接入WLAN網(wǎng)絡的權限控制。根據(jù)入侵檢測的結(jié)果，網(wǎng)絡管理者可以及時調(diào)整網(wǎng)絡的配置，去除WLAN網(wǎng)絡的不安全因素，保證WLAN網(wǎng)絡不再受到攻擊。非法設備檢測可以檢測并且分類WLAN網(wǎng)絡中的多種設備，例如非法AP，非法無線終端，非法無線網(wǎng)橋等等。非法設備檢測比較適合于大型的WLAN網(wǎng)絡。無線控制器根據(jù)AP上報的設備信息識別非法設備，排除合法設備。模式二、AP在為用戶轉(zhuǎn)發(fā)數(shù)據(jù)的同時定期切換到其他信道監(jiān)聽信息。 無線入侵檢測WIDS非法設備是未經(jīng)網(wǎng)絡管理者許可部署的無線設備或者是發(fā)起無線攻擊的設備?；谒蠥P上來的無線終端的數(shù)據(jù)都要通過AP與無線交換機之間的二層隧道進行通信，因此所有無線終端的流量均可通過無線網(wǎng)管進行統(tǒng)計，并且通過實時的統(tǒng)計報表呈現(xiàn)出所有用戶訪問網(wǎng)絡流量，并通過設定流量閾值，一旦某無線終端流量超過閾值即實現(xiàn)異常流量的報警功能。在部署了Portal認證方式之后，未認證用戶只能訪問特定的站點服務器，其它任何訪問都被無條件地重定向到Portal服務器，在輸入正確的用戶名和密碼后才能通過認證；只有在認證通過后，用戶才能訪問其他站點。無線方案中的密鑰設置可以根據(jù)SSID信息與用戶信息進行組合，即不同的SSID下不同的用戶的密鑰生成可以不一樣，這樣可以做不到不同的用戶不同的管理方式，同時具備不同的權限。WAPI除實現(xiàn)移動終端和AP之間的相互認證之外，還可以實現(xiàn)移動網(wǎng)絡對移動終端及AP的認證。WAPA加密：WAPI(WLAN Authenticationand Privacy Infrastructure)是我國自主研發(fā)并大力推行的WLAN安全標準，它通過了IEEE(注意，不是WiFi)認證和授權，是一種認證和私密性保護協(xié)議，但是能提供更加完善的安全保護。它保證了數(shù)據(jù)鏈路層的安全，同時保證了只有授權用戶才可以訪問WLAN網(wǎng)絡。它分為WPA和WPA2兩個版本，是WEP的升級版本，針對WEP的幾個缺點進行了彌補。接收程序接收此初始化向量，并將其與本地預置密鑰相結(jié)合，恢復出加密密鑰。通過預置在AP和無線網(wǎng)卡間共享密鑰。WEP加密：WEP(Wired Equivalent Privacy)，用于提供一種加密機制，保護數(shù)據(jù)鏈路層的安全，使WLAN的數(shù)據(jù)傳輸安全達到與有線LAN相同的級別。第5章 無線網(wǎng)絡安全 用戶安全數(shù)據(jù)安全部分主要包括以下方面的內(nèi)容：MAC地址過濾：目前支持基于MAC地址的過濾，限制具有某種類型的MAC地址特征的終端才能進入網(wǎng)絡中；對一些手持終端(例如：WiFi Phone、手持移動終端等)并不方便采取電腦上的認證方式，MAC地址認證卻可以輕松解決該問題，實現(xiàn)在控制器上配置好合法的MAC地址，這些MAC地址對應的終端就可以被允許被接入到網(wǎng)絡，而事先沒有被配置的非法終端則不能接入無線網(wǎng)絡，該功能極大地方便了例如無線醫(yī)療系統(tǒng)等應用，MAC地址認證可以確保只有醫(yī)院的PDA工作終端才能接入到無線網(wǎng)絡，而拒絕病人的無線PDA使用專用無線網(wǎng)絡。對所有AP設置基于流量的負載均衡功能，AP通過對接入用戶流量的統(tǒng)計，與設定AP上流量漏桶閥值上沿比較，達到閥值后，不允許新的用戶接入，少于閥值下沿，再允許新用戶接入。 負載均衡AP上支持標準的IAPP協(xié)議框架，通過負載均衡的部署，可實現(xiàn)在一個熱點內(nèi)用戶平均分配到所部署的所有AP上，達到在一個服務區(qū)AP接入用戶數(shù)何流量的平衡，為用戶提供更高的服務質(zhì)量。因此，建議每個AP接入用戶數(shù)按20個人來計算。AP的最大凈荷吞吐量為：23Mbps，用戶的增加總帶帶下降量不大， 100kbps/用戶，按128用戶進行規(guī)劃；300kbps/用戶按64用戶進行規(guī)劃；1Mbps/用戶按22用戶進行規(guī)劃；2Mbps/用戶按11用戶進行規(guī)劃； ，從系統(tǒng)能力的角度出發(fā)，可以支持64用戶接入。每個AP具有300Mbps、150Mbps、54Mbps、48Mbps、36Mbps、18Mbps等的覆蓋范圍，對于54Mbps的覆蓋范圍不重疊，對于54Mbps與18Mbps就可能進行重疊，可以根據(jù)網(wǎng)絡側(cè)的負載功能進行實現(xiàn)一定程度的頻率復用功能，從網(wǎng)絡規(guī)劃的角度出發(fā)，WLAN基本上、下行無線鏈路復用的處理問題，因為目前都是DCF方式，而從只能結(jié)合業(yè)務目標實現(xiàn)網(wǎng)絡覆蓋效果。 頻率規(guī)劃目前針對WLAN來講。二樓輸液廳，在布3個AP，分布如下圖所示：各個樓層根據(jù)工堪情況畫出點位圖,最好能有建設圖紙文件,其他樓層方法一樣………. XX大樓其他大樓方法一樣,盡量把用戶所有大樓、樓層描述清晰。共94臺AP。因此，基于XXXX實際業(yè)務需求和未來無線網(wǎng)絡發(fā)展的考慮，同時遵循技術先進性、網(wǎng)絡高能性和建設經(jīng)濟性的原則，采用IEEE ，構(gòu)建高速、穩(wěn)定、安全的無線網(wǎng)絡。第一次把WLAN的速度提升到百兆以上(實際文件傳輸速率高達150MHz以上，)，無線的帶寬不再是裝餃子的茶壺嘴，而MIMO技術的使用，也極大的提升了WLAN的抗干擾性、穿透力和覆蓋范圍，并取得了大量商用部署成果，在醫(yī)療行業(yè)進行了廣泛部署應用。 (以下對行業(yè)背景做簡單介紹,如下對無線醫(yī)療介紹:對無線醫(yī)療網(wǎng)而言。室內(nèi)無線覆蓋將使用大量無線接入點（AP）提供無線網(wǎng)絡接入服務，必須有效實現(xiàn)多個AP的統(tǒng)一策略部署和可靠的安全認證機制，因此，采用FIT AP的解決方案，即采用無線控制器結(jié)合FIT AP與無線網(wǎng)絡管理系統(tǒng)的架構(gòu)。第三代無線局域網(wǎng)采用無線交換機和FIT AP（即“瘦”AP）的架構(gòu)，對傳統(tǒng)WLAN設備的功能做了重新劃分，將密集型的無線網(wǎng)絡和安全處理功能轉(zhuǎn)移到集中的 WLAN 交換機中實現(xiàn)，同時加入了許多重要新功能，諸如無線網(wǎng)管、AP間自適應、無線安管、RF監(jiān)測、無縫漫游以及Qos。另外由于AC或無線網(wǎng)關的硬件多數(shù)是基于Pentium架構(gòu)的，所以當用戶接入數(shù)量 (IP sessions)增多時，無線網(wǎng)的性能會急劇下降，時常會發(fā)生掉線或死機情況。 技術選型 無線網(wǎng)絡架構(gòu)無線局域網(wǎng)技術經(jīng)過十幾年的發(fā)展，已經(jīng)歷了三代技術及產(chǎn)品的發(fā)展。支持全端口線速轉(zhuǎn)發(fā)，實現(xiàn)無線業(yè)務數(shù)據(jù)的高轉(zhuǎn)發(fā)，提高網(wǎng)絡整體性能，滿足醫(yī)療多媒體應用需求。POE交換機采用H3C S512028CPWREI。 POE交換機(POE交換機可根所實際選型來定,以下以H3C S512028CPWREI為例)由于本次無線網(wǎng)中AP設備數(shù)量較多，AP布放位置根據(jù)實際覆蓋效果而調(diào)整，在已建設完成的建筑物上較難進行本地供電。因此在實際應用中，例如PDA、應用手持終端等。H3C WA2620IAGN支持IEEE ，傳輸速率最高可達300M，并且能夠覆蓋更大的范圍和更高的連接穩(wěn)定性。 無線AP(無線AP可根所實際選型來定,以下以H3C WA2620IAGN為例)..考慮到xx對無線網(wǎng)絡有高穩(wěn)定性和高安全性的需求，因此，在設計無線網(wǎng)絡的時候采用IEEE 。入侵防御功能—H3C WX5004支持無線入侵防御功能，當控制器檢測到攻擊后，會產(chǎn)生告警或者日志，提醒管理員進行相應的處理。智能AP負載分擔—H3C WX5004支持智能AP負載分擔功能，可以實時地分析無線客戶端的位置，動態(tài)地確定在當前時刻和當前位置下哪些AP可以彼此分擔負載，通過控制無線客戶端接入的AP，來實現(xiàn)這些AP間的負載分擔。當主控制器異常down機時，備份控制器和主控制器之間的心跳檢測機制可以保證在300毫秒之內(nèi)檢測到主設備的異常，并通知AP將主控制器CAPWAP鏈路切換，保證控制信號的不間斷傳送。雙機熱備—本次項目配置兩臺無線控制器，做1+1快速備份。因此，無線控制器選用H3C WX5004。同時，本次網(wǎng)絡建設包含網(wǎng)絡管理軟件，將進一步完善無線網(wǎng)絡管理方案，增強網(wǎng)絡的安全性和實用性。無線AP由POE交換機進行遠程供電，提高設備部署的靈活性。無線網(wǎng)絡建設以現(xiàn)有局域網(wǎng)絡為基礎，在中心機房部署兩臺無線控制器，互為冗余備份。根據(jù)XXXX實際情況，實現(xiàn)無線網(wǎng)絡覆蓋需部署的無線AP數(shù)量龐大，管理難度大。對惡意AP的掃描配合采用安全無線認證協(xié)議，能夠解決AP和無線之間的相互信任問題。 安全性性原則XXXX網(wǎng)絡主要服務于無線查房等無來的承載，此時網(wǎng)絡安全問題在建網(wǎng)時必須考慮問題，安全方式主要側(cè)重幾個方面：用戶安全、網(wǎng)絡安全，而在校園網(wǎng)絡中主要依附于用戶實體的屬性主要包括用戶使用的信息終端二層屬性（