有线无线一体化交换机产品技术方案.docx

有线无线一体化交换机产品技术方案1.技术目标：采用Freescale必威体育精装版的微处理器 ，以及Linux操作系统，完成有线无线一体化交换机产品技术方案。本产品要求提供纯千兆以太网有线接入口，支持PoE+供电，每端口最大提供25W的功率，同时兼容802.11a/b/g/n协议。后面板提供两个10GE接口插槽，以解决WLAN网络核心的传输瓶颈。本产品要求提供一体化的有线无线接入控制功能，定位于中小型企业网和大型企业分支机构的一体化接入，以作为中、小企业，大企业分支机构实现有线无线一体化接入最理想的一体化交换机。本产品系列要求包含产品型号1、产品型号2和产品型号3三款型号，来满足中、小型企业和大型企业一体化移动网解决方案等无线场景的典型应用。2.技术内容2.1对802.11n AP的管理本系列产品要求在支持对传统802.11a/b/g AP管理的同时，还可以与基于802.11n协议的AP配合组网，来提供相当于传统802.11a/b/g网络6倍左右的无线接入速率，覆盖更大的范围，使无线多媒体应用成为现实。2.2灵活的数据转发方式本产品要求支持集中式转发和分布式转发。单一的集中式转发，US虽然能对报文进行全面控制，但所有的无线业务流都要到US进行统一处理，使得US的转发能力很容易成为瓶颈。特别是当通过广域网方式转发时，AP作为数据接入设备部署在分支机构，而US部署在总部，所有用户数据由AP发送到US，再由US进行集中转发，导致转发效率低下。甚至当802.11n出现时，一个AP的业务报文流量高达300M之多，US的处理性能更加成为无线系统的瓶颈。当采用分布式转发时，报文在AP上直接转化为有线格式的报文，并不经过US，能够实现无线报文的宽带接入。本产品要求支持两种转发方式，这样用户可以根据需要给SSID设置转发的类型。2.3基于AP位置的用户接入控制出于安全性或计费等的考虑，系统管理员可能希望控制无线用户接入到网络中的位置。本产品要求支持基于AP位置的用户接入控制。当无线用户接入网络时，可以通过认证服务器向US下发允许用户接入的AP列表，在US上进行接入控制，从而达到限制无线用户只能接入到指定位置的AP的目的。2.4精细的无线用户管理基于MAC的认证接入控制方式，不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改，同时支持对具体用户的权限的配置，这种精细的用户权限控制大大增强了无线网络的可用度，网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。本产品要求在控制策略上，管理员可以把相同性质的用户(MAC)划分到同一个VLAN，同时在US上基于VLAN配置安全策略，这样做既可以简化系统配置，又可以做到用户级粒度的精细管理。2.5内置802.1x认证服务和内置Portal认证服务本系列产品要求内置802.1x认证服务，同时支持TLS、PEAP、MD5等多种802.1x的认证方式。在中小型企业用户不需要计费功能，而只需接入控制和数据加密要求时，可利用内置的Radius服务直接在设备上完成802.1x认证功能，免去了复杂的AAA服务器部署过程，既经济又省事。本系列产品还要求提供内置的Portal服务器，用来解决不便于安装客户端用户的安全认证问题。2.6User Profile在基于用户授权方式的网络管理中，用户通过认证，即获得访问网络的权限。授权包括控制用户可访问的网络范围，以及用户可获得的网络服务质量，如访问带宽、访问优先级。在用户移动的网络或大型网络中，为了方便网管人员开展日常的管理工作，User Profile特性提供了一种更模块化、更简单的管理方式。管理人员将一组基于用户群或特殊用户定制的策略配置在各个用户的profile中，并且为每个用户群或特殊用户预先分配各自的profile，用户认证上线时，在用户上线的端口动态下发profile配置，使该用户能动态获得其可以访问的网络范围，访问带宽以及访问优先级；在用户下线时，取消该用户在这个端口上的配置，自动关闭该端口的特殊访问权限。User Profile中要求可以下发的配置包括ACL、QoS(优先级、带宽限速、802.1p和DSCP标记)、VLAN。2.7信道智能切换无线局域网中，相邻无线AP需要尽可能工作在不同信道中，以减少相邻信道干扰。对于无线局域网，信道是非常稀缺的资源，每个AP只能够工作在非常有限的非重叠信道上，比如对于2.4G网络，只有３个非重叠信道，所以如何智能地为AP分配信道是无线应用的关键。同时，无线局域网工作的频段存在大量可能的干扰源，如雷达、微波炉，它们在网络中的出现将干扰AP的正常工作。通过信道智能切换功能，可以保证每个AP能够分配到最优的信道，尽可能地减少和避免相邻信道干扰，而且通过实时信道干扰检测，可以让AP实时避开雷达，微波炉等干扰源。2.8智能AP