东北大学工商管理学院网络改造项目技术建议书（47页）.doc

1、东北大学工商管理学院网络改造项目技术建议书45目 录1概述32需求分析33网络建设方案53.1无线网络基础方案53.1.1方案逻辑组网图53.1.2认证方式及认证点选择53.1.3整网安全63.1.4频率规划与负载均衡：73.1.5网络管理83.1.6供电问题93.2覆盖解决方案93.2.1学院无线部署覆盖方案104产品配置方案114.1设备选型方案114.2设备配置清单115H3C设备介绍125.1H3C S7500E系列核心交换机125.1.1产品简介125.1.2产品特点135.2H3C S5100-EI系列全千兆交换机155.2.1产品简介155.2.2品特点175.3H3C WX30

2、00系列无线交换机185.3.1产品简介185.3.2产品特点195.4H3C WA2600系列无线接入点205.4.1产品简介205.4.2产品特点216H3C方案的特点与优势226.1H3C Fit AP方案的特点226.1.1智能射频管理226.1.2智能负载均衡226.1.3业务QOS支持236.1.4Portal认证支持246.1.5多业务的安全性256.1.6IPV6266.1.7AP间无线漫游276.2H3C解决方案的优势296.2.1产品系列丰富296.2.2电信级产品质量保证296.2.3强大的研发团队，自主知识产权，快速响应客户需求306.2.4完善的服务体系306.2.5

3、丰富的无线网络工程经验306.2.6完善的网管解决方案307H3C简介及应用案例317.1H3C公司总体描述317.2成功案例317.2.1国家大剧院317.2.2北京首都国际机场T3航站楼347.2.3北京航空航天大学无线校园网357.2.4北京交通大学无线校园网367.2.5华东理工大学无线校园网367.2.6中国电信集团办公大楼377.2.7国家电力监管委员会387.2.8中山医院397.2.9泰国APEC会议398H3C公司售后保障体系以及用户认证培训体系408.1厂家上门服务408.2服务组织结构408.3服务及时性保障428.48.4服务有效性保障438.4.1724小时热线技术支

4、持电话438.4.2区域技术支持平台438.4.3网上问题处理系统438.4.4完善的实验平台448.4.5高效快捷的备件系统448.4.6技术支持网站与技术支持论坛448.4.7完备的技术支持资料开发系统44东北大学工商管理学院网络改造项目技术建议书1 概述无线局域网（WLAN）技术于20世纪90年代逐步成熟并投入商用，既可以作传统有线网络的延伸，在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点： 简易性：WLAN网桥传输系统的安装快速简单，可极大的减少敷设管道及布线等繁琐工作； 灵活性：无线技术使得WLAN设备可以灵活的进行安装并调整位置，使无线网络达到有线网络不易覆盖的区域

5、； 综合成本较低：一方面WLAN网络减少了布线的费用，另一方面在需要频繁移动和变化的动态环境中，无线局域网技术可以更好地保护已有投资。同时，由于WLAN技术本身就是面向数据通信领域的IP传输技术，因此可直接通过百兆自适应网口和企业、学校内部Intranet相连，从体系结构上节省了协议转换器等相关设备； 扩展能力强：WLAN网桥系统支持多种拓扑结构及平滑扩容，可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统；随着WLAN技术的快速发展和不断成熟，目前在国内外具有较多的中大规模应用，诸如荷兰的阿姆斯特丹市的全城覆盖，向客户提供各种业务。2 需求分析目前学院有线接入点为400余个，交换机数量

6、为17台24口2层交换机，未来接入点在600左右主要来自于老师及学生的接入需求，在有线网络上增加接入点，对施工来讲难度很大，因此采用更加灵活的接入方式无线接入。东北大学管理学院的校园无线局域示范网建设的总体目标是： 利用无线网络技术进一步扩展校园网的覆盖范围，使全校师生能够随时随地、方便高效地使用校园网络； 促进教学和科研发展，进一步拓展研究空间； 提升校园网络环境，提高管理水平和效率，推动学校信息化建设；由于本工程是在校园有线网的基础上加以无线扩充（即采用AP将无线网络就近接入到有线网络）；本工程具体的建设目标是： 侧重实际应用，覆盖校园内部分区域，为教学和学习生活提供切实可用的无线网络环境

7、； 采取通行的网络协议标准：目前无线局域网普遍采用802.11系列标准，因此校园无线局域网将主要支持802.11agn标准以提供可供实际应用的相对稳定的网络通讯服务； 全面的无线网络支撑系统（包括无线网管、无线安全，无线计费等），以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题； 保证网络访问的安全性，支持802.1x安全认证方式； 采用非独立型的无线网络结构选型； 覆盖范围要求有线网络使用不便或受限的室内空间：校园内一些室内场所空间较大，会产生许多人同时接入网络的需求，采用有线的方式只能提供少量接口，不能满足要求。用无线网络覆盖来解决相当数量的移动设备同时访问网络的问题。 安全

8、、认证和管理要求为了阻止非授权用户访问无线网络，以及防止对无线局域网数据流的非法侦听，无线网络要具有相应的安全手段，主要包括：物理地址（MAC）过滤、服务区标识符(SSID)匹配、有线等效保密（WEP）、二层隔离、WPA支持等；本无线局域网的用户认证支持集中认证（WEB PORTAL认证方式）和802.1X安全认证方式（支持受保护的 PEAP(Protected EAP)）， AP、访问控制系统及认证计费系统必须为要配合要通过验证，便于使用用户的使用及维护。在连续覆盖区域的认证和覆盖应充分考虑移动用户的易用性，达到一次认证，移动使用的目的； 校园无线网网络结构要求：无线接入所需布设的AP通过校

9、园网的汇聚层设备接入到校园网中，在汇聚层都提供相应的接口给无线网线，在接入层设备要在方案中进行描述。 工程布线和安装要求：i. 室内部分：定好较为开阔位置，将网线和电源线走暗线敷设到位；挂在墙上，可利用设备本身自带的安装附件进行安装；如果需要遮蔽，则需要定制非金属安装盒；如果是挂在天花板上，则根据天花板的情况而定，若天花板是非金属结构，可以固定在天花板内。安装过程中应充分考虑防盗问题。ii. 供电部分：AP的供电可采用POE方式由接入的网络设备进行供电（无需本地供电）。 产品能力要求要求：i. 具有无委会核准证；ii. 产品支持AES、WEP加密等安全标准；iii. 漫游切换；iv. 支撑QO

10、S能力3 网络建设方案针对学校采用WLAN技术构架宽带网络服务，从技术上、工程上以及提供的服务质量上均能较好的满足校方的要求，具体组网构架如下： 3.1 无线网络基础方案3.1.1 方案逻辑组网图鉴于东北大学管理学院的有线网络已经较为完善，本次工程采用AP就近接入的原则，同时又由于现在每栋楼的有线网络为无线网络只能提供一个有线接口，此有线接口下接一台交换机完成网络接口的扩展，同时完成POE供电的功能；作为整个无线局域网络的中央管理控制器，在校园的核心交换机旁挂AC无线控制器WX3024接入网络。3.1.2 认证方式及认证点选择本方案主要采用Portal认证方案，WA2620系列与WX3024通

11、过二层隧道协议通信，无线用户的认证点都是放置于WX3024设备上。Portal认证又称为强制WEB认证或WEB+DHCP，以其新业务支撑能力强大、无需安装客户软件、与组网设备无关等特点，受到越来越多用户的欢迎。Portal认证业务可以为管理者提供方便的管理功能，如要求所有的用户都到门户网站去认证，门户网站可以开展广告、信息服务、个性化的业务等，为信息传播提供一个良好的载体。鉴于目前东北大学管理学院无线网络接入点较多，从网络支撑能力的角度来看，建议2台WX3024实现高可靠。针对无线用户，WX3024无线交换机作为Portal终结点。Portal认证具有以下优点： 不需要安装客户端软件相对于其他

12、的认证方式，Portal认证通过网页即可实现认证，无需安装客户端。不但减少了用户机器的负担，而且方便了上网用户的使用，同时管理者也不用逐一为每个上网用户安装和升级客户端软件，极大减轻管理难度。 可对在线用户进行实时检测用户认证通过后，Portal Server和用户之间采用心跳机制保持通信，当终端用户的机器出现异常时，比如：死机、网络断线、异常关闭浏览器等情况出现时，Portal Server就可以及时发现用户侧的问题，并通知设备将此终端用户下线并且停止计费；同时Portal Server支持开启或者关闭心跳，也可以设置心跳的间隔和心跳超时时长，这种功能使心跳检测更加灵活，大大提高了计费精度和

13、对复杂的网络的适应能力。 具有按用户接入端口分组的功能，可为不同组用户提供不同的配置Portal认证可以根据用户所在交换机的端口以及用户所在的IP地址池，将用户划分为不同的组，每个组都可以设置不同的认证主页、不同的认证方式，从而方便对不同的用户进行管理。同时PORTAL所有的认证页面都使用了JSP技术，管理员可以根据不同用户群的特点，定制特色认证页面，极大提高用户使用满意度。 支持二次地址分配和NAT功能为了减少公网IP地址资源的浪费，PORTAL通过与设备的配合，使用户在认证前使用的是私网IP，认证成功后再分配公网IP，从而保证了公网IP地址的更加合理的应用。如果用户的IP地址经过了NAT转

14、换，再经过PORTAL服务进行认证，PORTAL服务器支持开启NAT功能，可以为用户下载一个APPLET，获取用户的实际IP地址，再通过设备进行认证。 支持认证窗口的最小化功能 用户在认证通过后，Portal支持在线窗口可以最小化到任务栏，以减少对用户上网的影响。 防止窗口过滤的功能 很多上网用户出于安全的考虑或者防止网上的垃圾广告，会安装个人防火墙或者窗口过滤工具，来防止IE 弹出窗口。如果用户的IE开启了窗口过滤的功能，Portal在弹出认证成功窗口时，会进行窗口过滤的检测，从而防止由于窗口过滤而无法认证成功的情况。3.1.3 整网安全东北大学工商管理学院无线局域网络主要服务于学校的学生与

15、教师，也是一种小规模的公众型网络，同时由于学生出于技术的研究兴趣，会对网络发起各种各样的攻击行为，此时网络安全问题在建网时必须考虑问题，安全方式主要侧重几个方面：用户安全、网络安全，而在校园网络中主要依附于用户实体的属性主要包括用户使用的信息终端二层属性（诸如：MAC地址）及用户的帐号、密码，而对于学校学生用户来，帐号信息都是一个实名原则，与学生的学藉进行关联的，这样本无线网络中着重考虑使用无线网络的空口信息的安全机制，同时也要考虑与无线相关的有线网络的安全问题，对于原有有线网络的安全问题，在本技术建议书中不作相应的考虑； 无线网络安全：无线网络安全部分主要包括以下方面的内容：i. MAC地址

16、过滤：目前支持基于MAC地址的过滤，限制具有某种类型的MAC地址特征的终端才能进入网络中；ii. SSID管理：是一种网络标识的方案，将网络进行一个逻辑化标识，对终端上发的报文都要求进行上带SSID，如果没有SSID标识则不能进入网络；iii. WEP加密：WEP加密是一种静态加密的机制，通信双方具有一个共同的密钥，终端发送的空口信息报文必须使用共同的密钥进行加密；iv. 支持AES加密，AES安全机制是一种动态密钥管理机制，同时密钥生成也基于不对称密钥机制来实现的，同时密钥的管理也定期更新，具有体的时间由系统可以设定，一般情况都设定为5分钟左右，这样非法用户要想在5分钟之内进行获取足够数量的

17、报文进行匹配出密钥出来，从无线空口的流量来看，基本上是不可能的；v. H3C的无线方案中可根据用户名来划分权限，即相同用户在不同地点接入无线网络其权限保持一致；密钥设置可能根据SSID信息与用户信息进行组合，即不同的SSID下不同的用户的密钥生成可以不一样，这样一定程度上保证用户之间串号问题产生，从而保护投资，以达到营维平衡；3.1.4 频率规划与负载均衡： 频率规划802.11a/g/n使用开放的2.4GHz ISM频段，可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5个信道的工作中心频点。因此对于802.11a/g/n在

18、2.4GHz地工作频段，理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。此外，由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。针对如何进行802.11a/g/n的频率规划作了大量的实验，实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖，并提供更高的服务带宽提高服务质量，和高带宽业务的开展。图1 频率规划原理图频率规划需要配合使用的功能包括：i. AP支持13个信道设置ii. AP支持100mW最大射频功率以及多级功率控制iii. AP支持外置天线以及定向天线iv. 针对特殊应用还需要AP支持桥接功能、接入功能以及WDS功能3.1.5 网络管理基于标准的

19、SNMP协议实现对设备的管理，网管工作站可以放在网上的任意位置，通过标准的SNMP即可实现对无线交换机的管理。无线交换机WX3024可以实现更为强大的管理包括AP的自动拓扑发现、自动升级、批量配置、分级管理、分级告警等，并可实现针对无线覆盖空间内的射频扫描、非法接入点监听等安全功能。其具备以下特点：1、零配置安装：接入点无需准备预设置，AP从无线控制器继承配置信息。可将无线控制器WX3024接入中心机房核心交换机中，WA2620系列无需事先进行任何配置，即通过接入层交换机接入有线网络，并自动注册到WX3024上，获得DHCP SERVER分配的IP地址，并自动下载配置文件正常工作，在大规模AP

20、的项目中大量节省安装维护成本。2、防盗防入侵：敏感配置信息不在本地保存，即使设备被入侵被盗也不会丢失安全信息。实际运营中很多AP是放置在公共场所，如果密钥、SSID等安全信息在本地保存的话，一旦失窃对全网安全性造成威胁，WA2620系列由于其零配置安装，一旦掉电不会保存任何信息，避免入侵。3、支持灵活的拓扑结构：AP允许多种部署，从而能够直接或间接连接到管理它的无线局域网控制器。WX3024与WA2620系列之间可以隔离任何路由器或交换机，只要共同连接进有线网络，WA2620系列就可以自动寻找到WX3024实现注册。4、自动设置发射功率和分配射频信道：自动设置发射功率和分配射频信道，用以优化射

21、频单元大小和满足各国对射频信道的要求。当有个别AP故障时，WX3024会自动调大相邻AP的功率弥补信号盲区。5、基于身份的组网：根据用户名对用户权限进行区分，不同于传统的WLAN网络通过接入的有线交换机端口对用户权限进行划分，并且可以对用户的位置、带宽以及漫游等历史数据进行记录跟踪。6、提供增强的安全性和无缝漫游：通过这项基于身份的组网功能，经过改进的用户组认证接入控制、始终强制的漫游策略以及对带宽使用的监视实现了无线局域网的增强的安全性，实现了无缝的用户移动性和自由性，从而可以进行安全连接和漫游，一次认证多次接入，免去在不同AP下切换的再次认证。7、安全管理：提供入侵检测功能，专用 AP 可

22、以不断地扫描空域，以便对要求更高安全性的环境提供全天候保护。一旦无线网络中有非法接入点接入，WA2620系列将上报相应的告警给WX3024，并通过网管软件显示。3.1.6 供电问题由于本次无线网中AP设备数量约12台，AP布放位置根据实际覆盖效果而调整，在已建设完成的建筑物上较难进行本地供电，对于学院室内覆盖主要采用AP放在室内，对AP的本地供电问题难度更大。基于标准的802.3af实现对AP的供电。通过在汇集交换机处叠加一个供电电源或者内嵌交换机内，通过以太网线在传输数据同时给AP供电，供电距离达100米，满足实际组网的要求。3.2 覆盖解决方案从整体的统计看来，东北大学管理学院此次的无线覆

23、盖设计基本上可以分为以下几种类型：根据本项目的需求与将来的业务发展需求，初步确定室内部分主要覆盖以下空间，主要包括图书馆所有的空间及办公楼所有的空间；根据实际工勘的结果来看，可以归纳为两大类：AP室内无障碍覆盖、AP室内穿越障碍覆盖下面则对这两类覆盖分别进行描述： AP室内无障碍覆盖：主要应用于空间较大的阶梯教室等重点室内区域，此时主要信号进行此空间内覆盖，无需要考虑到穿越墙壁、地板等障碍物对隔壁空间的覆盖；此时又分二种情况，划分原则主要要看是否要使用吸顶天线的问题，根据实现工程勘测情况来看，室内部分可以采用吸顶天线的方式进行操作。 AP室内穿越障碍覆盖：主要应用于各办公楼、图书馆、各教学楼等

24、中间走廊两边房间结构室内区域，因为无线信号穿越墙壁、地板等障碍物会存在衰减，但在走廊式结构的室内区域具备一定的穿越障碍的能力，一般是穿越一道墙壁之后信号效果较好。因此这样的结构适合在走廊中布置AP，来覆盖两边的房间区域；并且根据实现工程勘测情况来看，室内走廊部分都可以采用吸顶天线的方式进行操作。3.2.1 学院无线部署覆盖方案学院楼是进行各种授课的重要场所，需要实现普通无线信号覆盖。目前学院楼有较多的有线信息点，楼内有吊顶，可吸顶安装，无线AP放置比较方便，房间较大。学院楼有办公区及教室。从实际的勘测来看，一楼和六楼用户数较小可以分别放置一个AP，三楼由于有图书阅览室和一个大教室，用户数量较多

25、，故在阅览室放置2个AP，并在走廊中间放置2个AP，这样信号可以完全覆盖没有盲点。四楼有办公事及一个阶梯教室，可以在走廊中间放置2个AP达到完全覆盖，五楼除了办公室外还有2个EMBA教室，可以在走廊放置2个AP并在每个教室放置一个AP达到覆盖效果。这样整个学院楼用到12个AP并配置无线控制器WX3024。4 产品配置方案4.1 设备选型方案目前学院的有线网络设备已经使用很长时期，产品性能已经不能满足日益增长的接入需求，因此我司建议在核心层采用H3C S7503E交换机作为出口，S7503E主要应用在IP骨干网、IP城域网以及各种大型IP网络的核心和汇聚位置。S7503E核心交换机具有强大的转发

26、性能和丰富的业务特性全面满足用户各种组网应用的需求。背板容量可达到大于1Tbps，包转发率274Mpps。H3C的S7503E交换机，采用双主控加双电源冗余设计，该系列交换机集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。H3C S7500E采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性，充分的扩展性，保护用户的投资。接入层交换机上采用H3C 5100-24P-EI千

27、兆三层以太网交换机，广泛应用于企业网和园区网的汇聚层及接入层。提供灵活的千兆以太网端口的接入密度和万兆上行，增强的安全防御能力、丰富的业务特性、统一的集群配置，为用户提供高性能、低成本、可网管的千兆到桌面的解决方案，是千兆接入的理想选择。H3C 5100-24P-EI，具有24个10/100/1000Base-T以太网端口和4个复用的1000Base-X SFP千兆以太网端口（Combo）；实现千兆带宽到桌面，保证学院的教学工作流畅运行，无线控制器WX3024千兆上行接入交换机，实现整个网络千兆带宽链路。从设备管理和系统运维等多个方面考虑，建议采用Fit AP+无线控制器的方式组网，建议采用F

28、it AP + WX3024无线控制器的形式组网。建议在S7503E核心交换机旁挂2台WX3024高性能无线控制器，对无线Fit AP进行管理，能提供了丰富的有线数据和无线数据的处理功能，负载均衡集精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS及 IPv4&IPv6等多功能于一体。WA2600系列无线接入点是新一代兼容802.11n Draft2.0的千兆无线接入点（以下简称AP），可提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围。Fit AP建议采用WA2600系列。4.2 设备配置清单核心交换机H3C S7500E系列以太网交换机L

29、S-7503EH3C S7503E 以太网交换机主机，双电源，双引擎，24口千兆电接口1接入交换机H3C S5100-以太网交换机H3C S5100-24P-EI以太网交换机，24端口 10/100/1000M自适应端口，4个SFP combo接口20无线控制器H3C 无线控制器WX3024EWP-WX3024-POEP-H3H3C WX3024-PoEP-24端口千兆(4 SFP Combo+Slot插槽+PoE Plus)有线无线一体化交换机2无线APEWP-WA2620E-AGN-FITH3C WA2620E-AGN 802.11n无线局域网增强型2.4&5GHz双频双模接入点-FIT，

30、全向天线，PoE电源12网管软件H3C iMC智能管理中心H3C iMC-智能管理平台标准版(不含节点) For Windows-纯软件(DVD)中文版，管理50节点1H3C iMC-无线业务管理组件-纯软件(CD)中文版，管理50台Fit AP设备15 H3C设备介绍东北大学管理学院无线项目使用的AP设备不同于家庭或SOHO厂商的无线设备，必须采用电信级厂商的AP设备，以达到电信级的稳定性。AP的发射功率要符合国家信息产业部的相关规定，同时AP设备应具备比较宽的工作温度范围以适应辽宁沈阳地区的气候环境。5.1 H3C S7500E系列核心交换机5.1.1 产品简介H3C S7500E系列产品

31、是杭州华三通信技术有限公司（以下简称H3C公司）面向融合业务网络推出的新一代高端多业务路由交换机，该产品基于H3C自主知识产权的Comware V5操作系统，融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。H3C S7500E符合“限制电子设备有害物质标准（RoHS）”，是绿色环保的路由交换机。H3C S7500E系列包括S7510E（12槽）、S7506E（8槽）、S7506E-V（垂直8槽）、S7503E（5槽）、7503E-S（3

32、槽）和S7502E(4槽)6款产品，除了7503E-S所有产品均支持冗余主控。H3C S7500E可广泛应用于城域网汇聚和边缘、园区网核心和汇聚以及配线间等多种网络环境，为用户提供了有线无线一体化、有源无源一体化的行业解决方案。图1 H3C S7500E系列机箱 5.1.2 产品特点丰富的业务，适应融合业务网络发展趋势全面的MPLS业务能力H3C S7500E所有产品均支持Multi-VRF特性，可以作为MCE设备使用；支持三层的MPLS VPN和二层的MPLS VPN（Martini、Kompella），可扩展支持VPLS技术；支持MPLS OAM特性，方便用户的管理和维护；与H3C MPL

33、S VPN Manager配合，实现图形化的MPLS部署与维护。 线速的IPv4/IPv6业务能力H3C S7500E支持IPv4/IPv6双协议栈,支持多种隧道技术，支持IPv4/IPv6的组播技术，为用户提供完善的IPv4/IPv6解决方案；H3C S7500E采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；H3C S7500E已经通过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段金色认证，是成熟商用的IPv6产品。有线无线一体化，有源无源一体化H3C S7500E集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游

34、、超强的QoS和对IPv6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。H3C S7500E是业界最高密度的以太网无源光网络（EPON）设备，单台最大可接入10240个FTTH用户；H3C S7500E是高可靠的EPON系统，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。支持Portal认证H3C S7500E支持大容量的Portal认证功能，可以在数千用户的局域网中做为EAD网关设备，为全网用户提供EAD安全认证功能；可以在大中型的校园网中担任汇聚/核心设备的同时，为学生宿舍区的认

35、证计费提供Portal认证功能。二、灵活的配置，适应各种应用场景配线间融合业务网络的最佳选择H3C S7500E针对配线间的需求定制开发了SA板卡，单台设备可以提供480个千兆线速接口和4个万兆线速接口。H3C S7500E支持端点准入防御解决方案，解决终端安全问题；内置2800W电源直接提供PoE功能，对IP语音和无线接入提供良好的支持。政府电力城域网边缘和汇聚的最佳选择H3C S7500E支持Multi-VRF特性，为用户提供高可靠高性能的MCE设备；通过配置Salience VI-Turbo引擎，可以提供集中式MPLS业务功能，适合在城域网边缘作为高性价PE设备使用；通过配置EA类板卡，

36、可以提供分布式线速的MPLS业务功能，适合在城域网汇聚层作为高性能的PE使用。IPv6网络的最佳选择H3C S7500E所有Salience VI引擎都可以提供集中式IPv6功能，H3C S7500E针对IPv4/IPv6高性能的要求还开发了分布式IPv4/IPv6转发的SC板卡，在整机满配置状态下实现线速无收敛，为高校用户提供了高性能低成本的双栈汇聚核心设备，同时也满足其他行业用户IPv6 Ready的需求。三、全方位的安全保障，抵御多种网络安全威胁三平面安全保障机制H3C S7500E提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全：在控制平面，内置协议报文攻击识别模块

37、，防止TCN、ARP等协议报文攻击，OSPF/BGP/IS-IS路由协议采用MD5验证，防止非法路由更新报文导致的网络瘫痪；在管理平面，SNMPv3网管协议，SSH V2，基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性；在转发平面，支持IP、VLAN 、MAC和端口等多种组合精细绑定；支持uRPF单播反向路径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的攻击。H3C S7500E还支持内置的高性能防火墙、异常流量清洗等模块，将专业的安全融入到交换机之中。有线无线全面支持EADH3C S7500E是EAD端点准入防御解决方案

38、的重要组成部分，S7500E可以动态的接收来自安全策略服务器的控制策略，根据终端的安全状态给予下发相应的访问权限。H3C S7500E既支持有线终端用户的EAD，也支持无线终端用户的EAD，能够做到终端安全防范无漏洞。增强的ACL特性H3C S7500E系列产品支持强大的ACL能力：支持标准和扩展ACL；支持基于VLAN的ACL，方便用户配置，节省ACL资源；支持出方向和入方向的ACL，每板最大可支持9K条ACL，满足金融等行业访问权限严格控制的需求。四、电信级的高可靠性，保障用户业务长期稳定运行电信级高可靠性设计H3C S7500E采用无单点故障设计，所有关键部件，如主控板、交换网、电源和风

39、扇等采用冗余设计；无源背板避免了机箱出现单点故障；所有单板和电源模块支持热插拔功能；H3C S7500E系列可以在恶劣的环境下长时间稳定运行，达到99.999的电信级可靠性。多业务高可靠性运行H3C S7500E支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；支持RRPP快速环网保护协议，提供小于200ms的环网故障保护；支持Smart-Link协议，保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术，H3C S7500E可以在承载多业务的情况下不间断运行，实现业务的永续。支持热补丁技术H3C S7500E能够在不重启设

40、备的前提下，通过热补丁技术，在线修改软件BUG，增加新的业务特性。H3C S7500E提供控制补丁单元状态切换的用户命令，使用户能够方便的加载、激活、去激活、运行或删除补丁单元。通过热补丁技术，降低了设备需要重启的次数，为客户提供更长的网络正常工作时间。5.2 H3C S5100-EI系列全千兆交换机5.2.1 产品简介H3C S5100-EI系列以太网交换机是H3C技术有限公司自主开发的千兆三层以太网交换机，广泛应用于企业网和园区网的汇聚层及接入层。提供灵活的千兆以太网端口的接入密度和万兆上行、增强的安全防御能力、丰富的业务特性、统一的集群配置，为用户提供高性能、低成本、可网管的千兆到桌面的

41、解决方案，是千兆接入的理想选择。在过去的三年中，组播或视频点播、带大附件的电子邮件、文件传输器、按需备份和恢复、CRM/ERP以及Web和Java工具等多种应用都成为吞噬带宽的杀手，千兆位以太网逐渐延伸到桌面已经成为最迫切的需要之一。用户需要大容量带宽的语音、视频、多媒体等的应用，网络的价值正在快速显现。一些协作的应用开始在企业崭露头角，真正的提高企业的效率，例如在医疗行业的会诊、视频/广告制作、制造业的设计/加工、游戏领域、网格计算、科研协作等，诸如此类的应用在消耗大量带宽的同时，也在追求用户的满意度。人们对应用的要求已经不仅仅是有，而且要好。这都需要以消耗带宽资源作为代价。基于铜缆的千兆以

42、太网可以将更多的应用从低速链路中解放出来，并且为业务创新提供了一个崭新的平台。对更高带宽的各种需求催生新一代千兆接入交换机，H3C公司的S5100产品的推出，正是为了满足这一需求。H3C S5100-EI系列以太网交换机目前包含如下型号：S5100-16P-EI：16个10/100/1000Base-T以太网端口和4个复用的1000Base-X SFP千兆以太网端口（Combo）；S5100-24P-EI：24个10/100/1000Base-T以太网端口和4个复用的1000Base-X SFP千兆以太网端口（Combo）；S5100-48P-EI：48个10/100/1000Base-T以太

43、网端口和4个复用的1000Base-X SFP千兆以太网端口（Combo）；S5100-26C-EI：24个10/100/1000Base-T以太网端口和4个复用的1000Base-X SFP千兆以太网端口（Combo），2个10G接口插槽；S5100-50C-EI ：48个10/100/1000Base-T以太网端口和4个复用的1000Base-X SFP千兆以太网端口（Combo），2个10G接口插槽；S5100-16P-EIS5100-24P-EI/S5100-26C-EIS5100-48P-EI/S5100-50C-EI5.2.2 产品特点灵活的千兆接入和集群管理H3C S5100-E

44、I系列千兆以太网交换机提供灵活的16/24/48个10/100/1000M自适应电口接入密度；并且支持复用的SFP插槽，充分考虑用户的带宽升级的实际情况，既可以支持千兆光模块，也可以支持百兆光模块，保护用户投资。其中S5100C-EI机型支持最多2个可扩展的万兆接口，并且支持40G带宽的堆叠。该系列硬件支持最大136Gbps交换容量，保证所有端口线速交换。H3C S5100-EI系列交换机采用专利技术允许交换机利用专用互联电缆实现多达16台设备的堆叠，支持不同端口设备的混合堆叠。具有即插即用、单一IP管理。同时大大降低系统扩展的成本，保护了用户投资。全面的接入安全策略H3C S5100-EI系

45、列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3C S5100-EI系列交换机支持特有的ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施网络中逐渐盛行的“中间人”攻击，对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IP Source

46、 Check特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS攻击。另外，利用DHCP Snooping的信任端口特性还可以有效杜绝私设DHCP服务器，保证DHCP环境的真实性和一致性。H3C S5100-EI系列交换机支持端口安全特性族可以有效防范基于MAC地址的攻击。可以实现基于MAC地址允许/限制流量，或者设定每个端口允许的MAC地址的最大数量，使得某个特定端口上的MAC地址可以由管理员静态配置，或者由交换机动态学习。H3C S5100-EI系列交换机有强大硬件ACL能力，能深度识别报文，支持L2L4包过滤功能，提供基于源MAC地址、目

47、的MAC、源IP地址、目的IP地址、IP协议类型、物理端口、VLAN、等定义ACL，并且支持基于硬件的IPv6报文过滤，以便交换机进行后续的处理。并且支持基于全局、VLAN、端口（组）的ACL下发，有效简化配置过程并节约硬件资源。H3C S5100-EI系列交换机提供802.1X和集中MAC认证方式对接入的用户进行认证，允许合法用户通过，对于非法用户则拒绝其上网。同时还支持客户端软件版本检测、Guest VLAN等功能，和CAMS服务器配合还可以实现代理检测、双网卡检测等功能。通过这些功能的应用可以对用户的合法性进行充分的检查和控制，最大程度的减少非法用户对网络安全的危害。完善的QoS保障H3

48、C S5100-EI系列以太网交换机提供基于Diffserv和802.1P的QoS特性，可以对报文的802.1P和DSCP域优先级进行修改等操作，并映射到每端口提供的8个COS队列，队列调度提供了三种各具特色的队列调度算法，严格优先级（SP）和整形加权轮循（SDWRR）调度算法以及SP+SDWRR组合调度算法。H3C S5100-EI系列以太网交换机支持基于IPv4和IPv6的流量监管和带宽粒度控制，流量限速的最小粒度为1Kbit/s，确保为进入交换机的特定业务提供带宽保证，即使在网络拥塞时，也能满足一定的丢包、时延及时延抖动等QoS需求。支持流量整形保证以太网交换机可以对输出报文速率进行控制

49、。支持基于流的报文重定向。增强的网络管理和维护的易用性H3C S5100-EI系列交换机支持通过FTP、TFTP实现设备的远程升级，支持SNMP v1/v2/v3，可支持Open View等通用网管平台，以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便。并且支持SSH2.0等加密方式，使得管理更加安全。传统交换机对端口的镜像功能都是基于本地实现，镜像数据流无法穿越网络在核心实现统一采集、监控和分析；H3C S5100-EI支持跨交换机的远程端口镜像功能（RSPAN），可以将接入端口的流量镜像到核心交换机上，在核心上启动网流分析（Netstr

50、eam）功能，对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。H3C S5100-EI系列交换机支持VCT（Virtual Cable Test）电缆检测功能，便于快速定位网络故障点；并支持DLDP（Device Link Detection Protocol）单向链路检测协议，可以有效的防止网络中单通故障的发生，大幅提高网络维护效率，切实将设备的易用性带给用户。H3C S5100-EI系列交换机支持IPv6 host功能族，包括IPv6单播地址配置，ICMPv6，IPv6邻居发现协议（ND），IPv6-Telnet，IPv6-Ping，IPv6-TCP，IPv6-TFTP，IPv6-

51、TRACERT管理特性，满足用户未来从IPv4向IPv6平滑升级的需求。5.3 H3C WX3000系列无线交换机5.3.1 产品简介H3C WX3000系列一体化交换机是杭州华三通信技术有限公司（以下简称H3C公司）自主研发的集成无线控制器和千兆以太网交换机功能的产品。H3C WX3000系列一体化交换机提供纯千兆以太网有线接入口，支持PoE+供电，每端口最大提供25W的功率，同时兼容802.11a/b/g/n协议。其中，WX3024后面板提供两个10GE接口插槽，解决了WLAN网络核心的传输瓶颈。WX3000系列一体化交换机提供一体化的有线无线接入控制功能，定位于中小型企业网和大型企业分支

52、机构的一体化接入，是中小企业，大企业分支机构有线无线一体化接入最理想的一体化交换机。H3C WX3000系列一体化交换机目前包含H3C WX3024一款型号，配合H3C公司自主研发的Fit AP （H3C WA2110/WA2620/WA2600）可以满足上述几种无线典型应用。产品视图如下：WX3024设备外观图5.3.2 产品特点提供对802.11n AP的管理WX3000系列一体化交换机在支持对传统802.11a/b/g AP管理的同时，还可以与H3C于802.11n协议的 WA2600系列AP配合组网，从而提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围

53、，使无线多媒体应用成为现实。提供灵活的数据转发方式支持集中式转发和分布式转发。单一的集中式转发，AC虽然能对报文进行全面控制，但所有的无线业务流都要到AC进行统一处理，使得AC的转发能力很容易成为瓶颈。特别是当通过广域网方式转发时，AP作为数据接入设备部署在分支机构，而无线控制器部署在总部，所有用户数据由AP发送到无线控制器，再由无线控制器进行集中转发，导致转发效率低下。甚至当802.11n出现时，一个AP的业务报文流量高达300M之多，AC的处理性能更加成为无线系统的瓶颈。当采用分布式转发时，报文在AP上直接转化为有线格式的报文，并不经过AC，能够实现无线报文的宽带接入。WX3000系列一体

54、化交换机，支持两种转发方式，用户可以根据需要，给SSID设置转发的类型。提供基于位置的用户接入控制出于安全性或计费等的考虑，系统管理员可能希望控制无线用户接入到网络中的位置。H3C WX3000系列一体化交换机支持基于AP的用户接入控制。当无线用户接入网络时，可以通过认证服务器向AC下发允许用户接入的AP列表，在AC上进行接入控制，从而达到限制无线用户只能接入到指定位置的AP的目的。提供精细的无线用户管理基于MAC的认证接入控制方式，不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改，同时支持对具体用户的权限的配置，这种精细的用户权限控制大大增强了无线网络的可用度，网管人员可以轻松通

55、过该方式对不同级别的人或人群进行接入权限分配。基于MAC的VLAN同样也是WX3000系列一体化交换机的一大特色，在控制策略上，管理员可以把相同性质的用户（MAC）划分到同一个VLAN，同时在控制器上基于VLAN配置安全策略，这样做既可以简化系统配置，又可以做到用户级粒度的精细管理。提供内置802.1x认证服务器和内置Portal认证服务器H3C WX3000系列一体化交换机内置802.1x认证服务器，支持TLS、PEAP、MD5等多种802.1x的认证方式。在中小型企业用户不需要计费功能，而只需接入控制和数据加密要求时，可利用内置的Radius服务器直接在设备上完成802.1x认证功能，免去

56、了复杂的AAA服务器部署过程，既经济又省事。H3C WX3000系列一体化交换机还提供内置的Portal服务器，解决了不便于安装客户端用户的安全认证问题。提供QoS Profile在基于用户授权方式的网络管理中，用户通过认证，即获得访问网络的权限。授权包括控制用户可访问的网络范围，以及用户可获得的网络服务质量，如访问带宽、访问优先级。在用户移动的网络中或大型网络中，为了方便网管人员开展日常的管理工作，QoS Profile特性提供了一种更模块化、更简单的管理方式。管理人员将一组基于用户群或特殊用户定制的策略配置在各个用户的profile中，并且为每个用户群或特殊用户预先分配各自的profile

57、，用户认证上线时，在用户上线的端口动态下发profile配置，使该用户能动态获得其可以访问的网络范围，访问带宽以及访问优先级；在用户下线时，取消该用户在这个端口上的配置，自动关闭该端口的特殊访问权限。QoS Profile中可以下发的配置包括ACL、QoS（优先级、带宽限速、802.1p和DSCP标记）、VLAN。5.4 H3C WA2600系列无线接入点5.4.1 产品简介H3C WA2600系列无线接入点是新一代兼容802.11n Draft2.0的千兆无线接入点（以下简称AP），可提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围。该系列AP上行接口采用千

58、兆以太网接口接入，突破了百兆以太网接口的限制，使无线多媒体应用成为现实。WA2600系列AP支持Fat和Fit两种工作模式，根据网络规划的需要，可以通过命令行灵活地在Fat和Fit两种工作模式中切换。WA2600系列产品作为瘦AP（Fit AP）时，需要与H3C自主研发的WX系列无线控制器系列产品配套使用；作为胖AP（Fat AP）时，可以独立进行组网。WA2600系列产品支持Fat/Fit两种工作模式的特性，有利于将客户的WLAN网络由小型网络平滑升级到大型网络，从而很好地保护用户的投资。WA2600系列AP包括增强型WA2610E-AGN（单频）和WA2620E-AGN（双频）两款无线接入

59、点设备，主要面向仓库、工厂车间等对温度、防尘环境要求较高的应用场景。WA2610E-AGN产品是一款单频多模无线接入点，可工作于WLAN的2.4GHz频段或5G频段，并支持IEEE802.11a、IEEE802.11b、IEEE802.11a/g/n和IEEE802.11n四种模式。WA2620E-AGN产品是一款双频多模无线接入点，可同时工作在WLAN的2.4GHz频段和5GHz频段，并支持IEEE802.11a、IEEE802.11b、IEEE802.11a/g/n和IEEE802.11n四种模式。产品视图如下： WA2600系列无线AP外观图5.4.2 产品特点提供宽带无线接入WA260

60、0系列无线AP兼容802.11n Draft2.0草案，采用模块化设计，保证未来802.11n标准正式批准后能及时升级以满足标准，保护客户投资。本系列无线接入点产品单射频能提供高达300Mbps的无线接入速度，是传统802.11a/b/g产品的六倍，覆盖距离更大，能提供更多用户、更大范围、更大流量的无线接入服务。提供千兆以太网接口有线连接上行接口采用千兆以太网接口接入，突破了传统百兆以太网接口的限制，使有线口不再成为无线接入的速率瓶颈，为将来支持更高速率更多射频组合提供了平滑升级的平台。提供本地转发功能当WA2600（FAT AP模式）系列无线AP通过广域网方式转发时，AP作为数据接入设备部署

61、在分支机构，而无线控制器部署在总部，所有用户数据由AP发送到无线控制器，再由无线控制器进行集中转发，导致转发效率低下。WA2600系列无线AP可将数据报文在AP上直接转化为有线格式的报文，使得数据报文不经过无线控制器，而是在AP本地进行转发，大大提高了转发效率。提供EAD无线接入端点准入防御（EAD，Endpoint Admission Defense）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，对接入网络的用户终端强制实施企业安全策略，通过与安全策略服务器的联动，可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理，只有

62、无线客户端符合相应的安全策略之后才允许正常访问网络，从而提高了无线网络的整体安全性。除以上特点，WA2600系列还提供以下功能：提供为无线客户端动态分配IPWA2600系列无线AP工作于Fat AP模式时，可以配置为DHCP server，为接入的无线客户端动态分配IP地址，此功能极大的省却了网络管理者规划静态地址的烦恼。提供PPPoE客户端WA2600系列无线AP工作于Fat AP模式时，可以配置工作为PPPoE client，能主动与远端的PPPoE server建立PPPoE连接。6 H3C方案的特点与优势6.1 H3C Fit AP方案的特点6.1.1 智能射频管理每个AP上电时，无线

63、控制器会根据AP的邻居关系动态调整AP工作的信道和发射功率，在保证覆盖的前提下保证AP间的干扰最小。当AP覆盖区域受到外界强信号干扰时，无线控制器会控制AP自动切换到合适的工作信道以规避干扰信号。当覆盖区域内的某个AP发生故障而造成覆盖黑洞时，无线控制器会自动调整相邻的AP的发射功率以消除黑洞区域，当故障AP恢复工作后无线控制器可以自动调整邻居AP的发射功率恢复原始工作状态。6.1.2 智能负载均衡无线控制器可以设定AP间对接入用户进行负载分担，负载分担的策略可以是基于AP接入的用户数量，AP流量负载情况当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户

64、周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP。H3C公司创新性地支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误均衡的出现。图2 智能负载示意图6.1.3 业务QOS支持H3C无线产品支持多种服务质量Qos，支持802.11e中的EDCF优先级，支持以太网口支持802.1p识别和标记。支持优先级队列及映射、流量限制、流分类。并且能够对QOS策略映射不同SSID/VLAN。图3 多媒体业务QOS示意6.1.4 Portal认证支持Portal认证又称为强制WEB认证，以其新业务支撑能力强大

65、、无需安装客户软件、与组网设备无关等特点，受到越来越多用户的欢迎。Portal认证业务可以为管理者提供方便的管理功能，如要求所有的用户都到门户网站去认证，门户网站可以开展广告、信息服务、个性化的业务等，为信息传播提供一个良好的载体。Portal认证原理Portal 认证协议主要应用于H3C公司提出的基于 WEB 的宽带接入认证系统中，完成用户的认证和授权。整个 Portal 认证过程涉及到了Portal 页面，WX3024 和 iMC 服务器。Portal认证工作原理：未认证用户在访问网络时，可以直接访问为用户免费开放的资源，当用户要使用网络中的收费资源时，设备会将用户的http请求重定向到P

66、ortal门户网站，用户必须在门户网站进行认证，只有认证通过后才可以访问这些资源。Portal认证的工作流程如下图所示：图4 Portal认证流程认证流程：用户通过IE访问需要授权的网络资源，设备发现用户还没有通过认证则强制到Portal，Portal Server将WEB页面强推给用户，提示用户需要进行认证。用户在WEB页面中输入用户名密码并提交认证，Portal Server将认证信息发送给设备，设备将用户信息转换为Radius报文发送到iMC服务器进行认证。iMC服务器对用户信息进行验证，确认无误后，下发认证通过报文以及相应的权限控制信息给设备，设备放开用户的上网权限，同时iMC服务器开

67、始进行计费。上网期间，用户PC和Portal Server定时发送心跳报文交互，以确保用户没有因异常原因下线。用户下线时，Portal Server收到用户下线请求并通知设备，iMC服务器终止计费并通知设备断开用户。6.1.5 多业务的安全性H3C FIT AP解决方案提供多种业务不同网络层面的安全保障，体现在：层次体系主要技术解决的问题物理接入WEP64/128、TKIP、CCMP加密可升级支持WAPI加密防止无线报文被监听和篡改SSID隐藏解决不明用户访问网络逻辑链路802.1x/PSK/MAC/Portal多种认证方式的混合接入802.1x支持PEAP/TLS/TTLS/SIM多种模式可

68、升级支持WAPI认证用户身份鉴别和安全准入动态下发用户的权限业务隔离Hotspot用户隔离限制用户互访黑名单限制恶意用户网络无线入侵检测系统非法设备的检测、无线攻击的告警和规避安全策略在无线控制器统一部署避免在大量的无线接入点部署策略AC和AP间的CAPWAP隧道下行流量限速防范外界对AP的数据流量攻击IPSEC VPN端到端的安全加密资源绑写（MAC、ESS、VLAN、Port）尽可能防止假冒设备AP本地不再保存配置信息避免设备丢失造成配置泄漏AP身份认证只有合法的AP才能和无线控制器建立关联AP支持多无线控制器的冗余备份无线控制器down机不会造成无线网络的瘫痪网管无线安全策略配置无线安全

69、策略的统一部署非法设备监控和告警非法设备的检测、无线攻击的告警和规避设备信道调整告警了解设备遭受干扰后的信道调整情况6.1.6 IPV6为了适应下一代IP网络的部署要求，H3C公司的FIT AP能够同时满足IPv4和IPv6两种不同网络的组网要求（图示），为了简化用户配置这种适应能力不需要用户配置干预而是自适应调整。作为FIT AP的缺省发现方式FIT AP会首先作为IPv4节点发起无线控制器发现过程，当发现过程失败以后，FIT AP会切换到IPv6节点方式继续无线控制器发现过程。 FIT AP会在以下两种情况下切换到IPv6模式： FIT AP无法从DHCP server获取到IPv4网络地

70、址 FIT AP在IPv4网络没有无线控制器响应FIT AP的发现请求 FIT AP在IPv4网络中和所有的无线控制器建立连接失败6.1.7 AP间无线漫游H3C无线漫游解决方案支持同一AC下AP之间，不同AC下AP之间的无缝快速漫游，保证无线客户端在一个子网内部，从一个AP的覆盖范围移动到另一个AP的覆盖范围时，通信不中断，用户无需重新登录和认证。1、同一AC下AP之间快速漫游：AP1与AP2分别与AC建立CAPWAP隧道； 无线用户与AP1进行关联，接入网络；AP会将用户的报文封装在隧道中送给AC处理；当无线用户从AP1往AP2方向移动时，无线用户向AP2发起认证和重关联请求（此时重关联请

71、求中携带无线用户与AP1协商出的PMK对应的PMKID；AP2透传重认证请求报文到AC上；AC检查发现此无线用户已经在AP1上进行认证，且通过PMKID成功查询得到对应PMK，表明此无线用户为漫游用户；重关联成功后，AC直接通知无线用户使用原有的PMK进行四次握手（4-Way handshake）协商，得到实际数据加密使用的PTK。无线用户与AP1解除关联，所有用户数据通过AP2进行转发。整个协商过程中，未和认证服务器进行交互，且用户无需重登录。H3C的AC内快速漫游的最大延迟时间为50ms.2、不同AC下AP之间的快速漫游：不同AC下AP间漫游，采用IACTP技术实现。Inter Acces

72、s Controller Tunneling Protocol (IACTP) 是H3C自主创新的私有协议，它提供了无线控制器（AC）间的一种通用的封装和传输机制。IACTP使用标准TCP客户端/服务器模型。IACTP引入了漫游域的概念，漫游域是一个AC的集合，它定义了无线用户可进行快速漫游的AC集。IACTP提供控制通道用于快速漫游时AC间共享/交换信息，同时也提供了数据通道用于对数据报文进行AC间的传输。1) 预先配置的漫游域中包含AC1和AC2。AC1与AC2建立IACTP隧道；2) 无线用户第一次关联到一个漫游域中的任意一个AC （如AC1，称此AC为家乡Home-AC（HA），并进行

73、802.1X或MAC认证，和802.11Key协商。3) AC1通过IACTP把用户信息诸如PMK， PMKID等同步到预先配置的漫游域中所有AC中，此时为AC2。4) 当无线用户漫游到漫游域中的其它AC时（AC2，称此AC为Foreign-AC (FA)），无线用户向AC2下属的AP2发起认证和重关联请求（此时重关联请求中携带无线用户与AP1协商出的PMK对应的PMKID；5) AP2透传重认证请求报文到AC2上；6) AC2通过AC1同步来的无线用户信息，检查发现此无线用户已经在AC1（AP1）上进行认证，且通过PMKID成功查询得到对应PMK，表明此无线用户为AC间漫游用户；7) 重关联

74、成功后，AC2直接通知无线用户使用原有的PMK进行四次握手（4-Way handshake）协商，得到实际数据加密使用的PTK；8) 无线用户与AP1解除关联，所有用户数据通过AC2（AP2）进行转发。9) AC2对用户数据进行IACTP封装，通过IACTP数据通道转发到AC1。由于所有数据最终仍然通过AC1进行处理，因此保证了用户IP不改变，用户业务的不中断。H3C的不同AC下的AP间快速漫游的最大延迟时间为50ms。6.2 H3C解决方案的优势6.2.1 产品系列丰富H3C公司提供形态丰富的WLAN产品线，AP产品包括WA1208E系列，WA2110系列和WA2620系列FIT/FAT A

75、P，可适用于室内办公环境、复杂环境、室外等多种场合的应用。WB2300系列无线网桥，WH2520系列Mesh产品，WLAN控制器系列包括WX5002-64无线局域网控制器，WX5002-128无线局域网控制器，LS8M1WCM128A0 无线控制器业务板模块(S7500 Wireless Blade)， H3C WX3024 无线控制器，LSQM1WCMB0无线控制器业务板模块(S7500E Wireless Blade)，LSBM1WCM2A0无线控制器业务板模块(S9500 Wireless Blade)；另外iMC网管系统支持全面的无线网管功能。除了提供类型丰富的WLAN设备之外，H3C

76、公司还提供WLAN工程中所涉及到的天线、POE交换机、POE模块，天线馈线、避雷器、功分器等全套设备，从而充分保证了工程实施质量。6.2.2 电信级产品质量保证H3C自2003年公司成立以来就继承了业界领导厂商华为和3Com的WLAN产品。整个无线产品的规划都是按照电信级设计，从阻容到主处理器芯片，每一个元器件都经过严格质量认证和技术认证，严格选用一流供应商的元器件，保证元器件的性能和品质。在产品生产上，H3C公司采用业界先进的IPD CMM3.0集成产品开发流程，有严格的质量管理体系，从全流程的每一个环节控制产品质量。6.2.3 强大的研发团队，自主知识产权，快速响应客户需求H3C的研发团队

77、分布在北京、杭州、深圳和印度，海外研发中心紧跟前沿技术脚步，国内研发中心快速响应客户需求。H3C全系列WLAN产品采用完全自主研发的软件，并采用了业界最为严格的测试标准，由位于北京的独立的鉴定测试中心来最终鉴定产品能否达到质量标准。此外由于自主开发软件，完全掌握知识产权，很容易根据客户的要求定制特殊功能，以满足特定情况下的应用。6.2.4 完善的服务体系H3C公司在全国建立了30个区域服务中心和区域备件系统，承诺为客户提供专业、快捷、规范的服务，通过先进的通信技术与总部的技术服务平台连接，完成客户档案、维护经验案例、备件库存、产品发布等信息的共享，形成覆盖全国地市级城市，专职人员规模超过400

78、人的技术服务体系。H3C致力于通过高质量的服务提高用户网络的可用性，提升用户满意度。H3C成立了备件中心（SPC，Spare Parts Center）专门支撑H3C公司的售后服务和向客户的承诺，依托遍布全国主要城市的30个区域备件库和位于杭州、北京及深圳的3个分拨中心，建成了国际化、标准化、现代化的物流管理系统。H3C备件中心科学地进行备件仓储分析和管理，能够向客户提供高效的备件服务，最大限度地保障客户网络的平稳运行。6.2.5 丰富的无线网络工程经验无线网络的工程实施对整个项目的成败至关重要。H3C专门成立了无线工程督导团队来确保无线网络工程的顺利实施，目前H3C公司已经成功实施了第六届亚

79、洲冬季运动会、北京解放军总医院、国家知识产权局、新华社、北京航空航天大学、北京交通大学、华东理工大学、上海汤臣洲际大酒店等无线网络工程的部署，具备丰富的无线项目实施工程经验，保证项目进度，后顾无忧。6.2.6 完善的网管解决方案iMC网络管理软件是H3C公司对公司全线数据通信设备实现统一管理和维护的网管产品。产品采用灵活的组件化结构，支持与HP Openview、SNMPc等通用网管平台的集成，与H3C公司的数据通信设备产品一起为用户提供全网解决方案，帮助客户真正实现网络的按需构建。不但能管理H3C品牌的网络设备管理，同时还提供了对第三方网络设备管理能力。H3C公司全系列的无线设备均可以向第三

80、方提供原厂MIB库，为第三方网管平台管理H3C网络设备提供支持。7 H3C简介及应用案例7.1 H3C公司总体描述杭州华三通信技术有限公司（简称H3C）成立于2003年11月，运营总部设在杭州。H3C致力于IP技术的设备与应用的研究、开发、生产、销售及服务。2006年，H3C销售收入达7.12亿美元，连续三年保持70%左右的同比增长。目前公司有员工近5100人。作为全球领先的网络设备和解决方案供应商，H3C不但拥有全线路由器和以太网交换机产品，还在网络安全、IP存储、IP语音 、IP视频、IP监控、WLAN、SOHO及软件管理系统等领域稳健成长。H3C实现了IP网络建设从13层向47层的深度扩

81、展，致力于从网络设备供应商向全业务解决方案供应商的转变，目前已广泛服务于党政、公检法、财税、教育、金融、电力、运营商、能源、交通、水利、制造业、公共事业、中小企业等广大用户。H3C注重自主研发和知识产权体系的建设，每年将销售额的15%以上用于研发投入，并拥有基于全球化的技术、人才、经验和质量管理的研发平台，在中国的北京、杭州、深圳以及印度的班加罗尔设有研发机构，在北京和杭州设有产品鉴定测试中心，全面实施CMM和集成产品开发流程（IPD）管理。2006年，H3C用于研究与开发的投入达1.01亿美元。成立四年来，H3C已申请专利超过500件，其中80%是发明专利。H3C始终把以客户需求为核心作为企

82、业发展的源动力，构建起规范、统一、易获得的服务平台，建立了全球客户问题统一处理平台，超过400人的专职服务人员，全面保证为客户提供高品质的服务。2006年，H3C正式推出H3Care服务品牌，向用户提供更加规范、易得的支持服务和专业技术服务。H3C公司对WLAN进行了深入的研究分析，积极参与国际标准组织的相关交流，同时H3C公司也针对各个802.11工作组的输出与专家进行积极的沟通交流，提出自己的理解与建议，同时也联合业界的合作伙伴共同推动标准进程。7.2 成功案例7.2.1 国家大剧院国家大剧院是我国新时代的标志性建筑,是国家最高艺术表演中心,是具有世界一流水平的大型艺术殿堂。 国家大剧院位

83、于人民大会堂西侧，主体建筑由外部围护结构和内部歌剧院、音乐厅、戏剧场和公共大厅及配套用房组成。国家大剧院作为一座现代化的剧场，建设了完备的智能楼宇系统和网络系统。其网络系统除了供部分弱电系统使用外，还需要在大剧院内部的办公室、化妆间、指挥休息间、演员休息厅、排练厅、音像制作中心、新闻发布厅等场所提供互联网接口，尤其是大剧院的票务系统也要依赖该网络平台，这就对整个网络平台提出了非常高的可靠性要求。大剧院建筑规模宏大，全部为精装修，很多区域无法布设有线网络。其地下建筑部分尤为复杂，且全部为混凝土浇铸而成，手机和小灵通信号很不好，极大的影响了大剧院工作人员之间的正常通信。同时，出于安全性的考虑，大剧

84、院需要在很多不方便布线的区域安装摄像头，针对大剧院特殊的需求，H3C提出了S9500无线控制器WA2110型AP的有线无线一体化的瘦AP解决方案。通过该方案的实施，能够同时在无线网络上提供Wi-Fi语音，无线定位，无线监控，无线多媒体播放等多种业务。此外，针对网络的高可靠性要求，H3C还提供了多层次的保障。该方案所采用的S9500无线控制器插卡在继承了S9500万兆核心交换机的所有高可靠性特性的基础上，还另外增加了网络可靠性设计：每个AP同时和两个无线控制器建立管理隧道，同时注册到两个无线控制器上，一旦AP和主用控制器的通信中断，则会立即注册到备用控制器上。在实际应用中，通过命令行设置两台S9

85、500交换机上的无线控制器插卡工作在负载分担状态，一旦其中一个插卡出现故障，则另外一个插卡立即接手管理所有AP的工作。针对大剧院Wi-Fi语音，无线监控，无线多媒体播放等业务的需求，H3C解决方案提供了以下特色功能：高达54Mbps的接入速率，同时支持108Mbps的接入速率，确保实时业务的稳定可靠；50ms快速切换，保证了漫游过程中语音和监控质量不受影响；支持WMM（Wi-Fi Multi-Media），能够提供端到端的QoS，确保网络带宽不足的时候实时业务不受影响；全面支持组播，减少了数据复制的次数和占用的带宽，为多媒体播放提供了良好的支撑。针对大剧院建筑结构复杂的特点，H3C解决方案提供

86、了先进的WLANRFID的无线定位功能。对于PC、PDA和Wi-Fi手机等移动终端，无需安装客户端，通过网络即可完成对设备的定位；对于其他需要定位的设备，增加一个RFID即可完成对设备的定位，整套定位系统还可以和地图结合，进行实时显示，单位精度可以达到2m，极大的提高了大剧院的维护效率。图5 国家大剧院组网图大剧院网络涉及核心交换机、汇聚交换机、接入交换机、防火墙、VPN网关、无线控制器、无线AP、语音网关，设备分布于大剧院各个区域，因此对管理性提出了很高的要求。H3C解决方案采用iMC智能网管软件，使用一套管理系统完成对设备、用户和业务的统一管理，真正的实现了有线无线一体化管理。此外，H3C

87、瘦AP解决方案通过功能强大的无线控制器实现智能射频管理，根据网络状况调整AP的工作信道和发射功率，极大的简化了网络的维护工作量。同时，AP本身零配置，既提高了网络安全性，避免因AP丢失而导致网络配置被窃取，又大大简化了AP故障时更换设备的工作量。大剧院的网络既承载内部OA、语音和监控等业务，又面向公众和媒体提供Internet接入服务，对网络的安全性也提出了很高的要求，H3C无线解决方案在提供非法AP检测，无线EAD端点准入功能的同时，还支持MAC地址过滤、802.1x认证、802.11i安全机制、WLAN国标 WAPI等安全认证标准,全方位的保证了网络安全。 H3C公司深刻领会国家大剧院对网

88、络系统的高标准要求，建设了一个高可靠、高安全、高性能、可扩展的有线无线一体化的计算机网络系统，有力的保证了国家大剧院日常业务的正常运转，极大的提升了国家大剧院的IT管理水平。7.2.2 北京首都国际机场T3航站楼北京首都国际机场是中国地理位置最重要、规模最大、设备最齐全、运输生产最繁忙的大型国际航空港。其不但是中国首都北京的空中门户和对外交往的窗口，而且是中国民用航空网络的辐射中心，是中国民航最重要的航空枢纽。北京首都机场自成立以来，一直在中国民航机场业保持着行业领先的地位。以航班起降架次和旅客吞吐量而言，首都机场在2002年即已跨入世界最繁忙机场之列。北京首都国际机场T3航站楼是奥运重点工程

89、之一，该航站楼总建筑面积90余万平方米，长近3公里，宽1.5公里，由T3A、T3B、T3C三部分组成，是国内目前最大的单体航站楼，其规模超过T1/T2的两倍，各项建设标准都达到世界级水准。机场信息化系统对于大型机场来说是至关重要的基础设施，从飞机进港后机位引导，到旅客下飞机，出港，从旅客进港，办理登机手续，候机，到离港全过程，从航班信息显示到广播，从应急指挥系统到办公系统，无不依赖信息化。一句话，大型机场没有信息化支撑，将无法运行。首都机场的WLAN项目是本次信息化项目的主要亮点之一。针对首都机场WLAN项目需求，H3C如何提供一个完美的解决方案，既能满足其内部员工的OA需求，又能满足候机旅客

90、的无线宽带上网需求？如何做到无线内外网的可靠隔离？如何做到无线网络的稳定运行？又如何对这样一个建筑结构复杂的被评为2007年十大建筑奇迹之一的重要场所进行工程覆盖？面对这样一个对设备质量要求极高的项目，H3C采用6台无线控制器和300多个AP对T3航站楼进行全面无线覆盖，将无线网络应用于航显、商业、离港、行李再确认、OA、安检、外场数据采集，旅客无线上网等系统。图6 首都国际机场T3航站楼WLAN组网图对于外网的接入，信息安全最为重要。H3C WLAN厚积薄发，结合其在IP领域的多年积累，通过EAD（端点准入防御系统）对用户进行认证和隔离；通过使用多种先进的加密协议（包括我国自主知识产权的WA

91、PI）对报文进行保护，防止第三方的窃听和篡改；通过无线入侵检测防止欺诈AP的潜入等，从而全方位的保护WLAN网络的安全。对于网络的可靠性设计，需要考虑如果有设备出现故障，造成网络中断的情况。如果在奥运会期间发生网络中断，将对国家的形象造成不利的影响。H3C WLAN具有网络自愈功能，出色的解决了这一问题。当某个AP出现故障，其周围的AP会自动的调整功率，保证对盲区的补充覆盖；当某个AC（无线控制器）出现故障，则使用双控制器备份的方式使得整个网络不会受到影响。在最后的项目实施阶段，H3C WLAN设计团队更是凭借深厚的工程实施经验，圆满的对T3航站楼进行了完美覆盖。7.2.3 北京航空航天大学无

92、线校园网北京航空航天大学无线校园网，通过460台AP对新主楼、办公楼、如心楼、逸夫馆等楼宇连续覆盖以及对全校主干道区域实施覆盖，而全网的无线接入点依靠5台高端无线交换机实施全网统一控制和管理。图7 北京航空航天大学WLAN组网图7.2.4 北京交通大学无线校园网北京交通大学无线校园网，通过305台WA型AP对思源楼、科学会堂、体育馆等楼宇连续覆盖以及对明湖、主席像等室外区域实施覆盖，全网的无线接入点通过3台高端无线交换机实施全网统一控制和管理,无线覆盖面广。图8 北京交通大学WLAN组网图7.2.5 华东理工大学无线校园网华东理工大学无线校园网，在奉贤新校区宿舍楼区、教学楼区、食堂以及操场等区

93、域，建立无线网络系统统一接入核心交换机并实现奉贤校区无线网络的统一管理。采用223台AP、2台无线控制器、无线网管1套、接入POE交换机LS-3600-28P-PWR-EI 20台以及汇聚交换机LS-S5600-26F 2台，认证系统1套。图9 华东理工大学WLAN组网图7.2.6 中国电信集团办公大楼 中国电信集团东四和天银大厦办公楼OA无线局域网工程全部采用H3C FIT AP方案组网，FIT AP是最近几年新生的组网方式，在安全、漫游、管理等方面远远高于FAT AP的传统组网方式；中国电信集团办公楼OA系统需要高安全性保障，在考察多家厂商的产品之后，最终选择了H3C的FIT AP解决方案

94、；H3C为中国电信集团量身定制了高可靠、高安全同时又能为以后提供增值服务的FIT AP解决方案，即满足了当前电信集团办公的需求又为后续扩容提供了平滑的升级方案。图10 中国电信WLAN组网图7.2.7 国家电力监管委员会国家电力监管委员会对原有西单网络进行改造，建设一套无线网络用于日常办公和浏览信息。在电监会西单的两层办公楼部署无线AP，实现对办公区域的信号覆盖，通过部署在楼层配线间的具有以太网供电功能的交换机为无线AP提供供电，楼层交换机上联到汇聚交换机实现网络的汇聚，汇聚交换机再连接防火墙实现访问internet。初期先实现网络的开通，部署安全策略确保无线网络安全，后期再部署用户终端安全防

95、护系统实现对用户的安全控制，同时部署网络系统，实现有线和无线网络统一管理。国家电力监管委员会西单无线局域网拓扑图如下：图11 国家电力监管委员会网图西单无线局域网采用H3C公司FIT AP解决方案，采用集中式架构，在部署H3C公司S7502E交换机做为无线局域网的核心设备，S7502E负责连接楼层为无线AP提供以太网供电的交换机，同时连接Internet出口的防火墙设备，另外S7502E还连接电监会白广路S8505。楼层交换机为H3C公司S3600-28P-PWR-EI，通过自身具有的以太网供电功能为部署在楼层的H3C 公司的FIT AP WA2110-AG提供以太网供电。为了便于控制和管理无

96、线AP，使无线网络管理变得更简单，部署H3C公司的无线控制器WX3024，对AP实现统一的管理，同时S7502E支持无线控制器插卡，在后期配置无线控制器插卡彻底实现有线网络与无线网络的融合。在网络开通初期通过隐藏无线局域网的SSID，使非本单位人员无法获取的网线网络，部署WEP加密，通过用户名和密码方式实现用户的安全接入，同时在无线控制器侧实现MAC用户名密码的绑定，进一步确保网络的安全。利用无线控制器具有的无线入侵检查功能，实现非法AP检测，黑/白名单设置和无线协议攻击防御等WIDS功能，有效的提高了无线网络的整体安全。7.2.8 中山医院中山医院由180个 FIT AP完成对住院楼的无缝覆

97、盖，通过两台无线控制器实现集中管理。通过认证系统，实现安全的无线查房业务可靠运行，极大提高了医疗效率。图12 中山医院WLAN组网图7.2.9 泰国APEC会议2003年4月成功与泰国AIS电信综合运营商合作为在泰国举办的APEC会议提供WLAN服务，其中包括全套设备与解决方案。设备部署了APEC主会场、分会场，新闻发布会场以及酒店大厅，室外泳池等公共场所，为参加会议的各国领导，记者提供全方位的无线上网服务，随时随地高质量的无线宽带接入服务受到与会记者的高度好价。以下为APEC会议期间一酒店具体的组网图如下：图13 泰国APEC会议组网图8 H3C公司售后保障体系以及用户认证培训体系8.1 厂

98、家上门服务 作为业界领先的企业网络设备与解决方案供应商，H3C公司坚持以客户为中心，提出了“应用创造价值，网络服务为先”的服务理念，建立了优秀的服务品牌。H3C公司售后服务保障体系由H3C技术支援部与H3C公司合作伙伴共同构成，拥有高素质的专职售后服务队伍并形成了完善的服务网络。目前，H3C的服务网络覆盖30个省市和200多个地区，通过技术支持中心、E-support和800免费电话等完善的服务网络，可以持续、高效、快捷地向客户提供服务。8.2 服务组织结构H3C公司技术支援部由总部（管理办、技术支持中心、合作管理部、备件中心）、区域技术支持部和区域备件中心等部门组成两级技术服务体系。技术支持

99、中心H3C公司技术支持中心TSC（Technical Support Center）拥有众多的经验丰富的服务专家，通过800电话、FAX、功能丰富的网站、专用E-MAIL帐号和必要的现场服务提供称为“E-Support”的服务。服务内容主要包括：集中客户问题管理、重大故障及时响应处理、产品疑难故障处理、丰富的产品资料和问题案例库、工程项目管理和质量管理、大型网络的规划和实施、重要客户设备故障档案管理和重要客户定制个性化服务。通过建立完善的面向全球的服务网络，持续、高效、快捷地向客户提供专业化、标准化、多元化的服务。H3C技术支持中心拥有一批高素质的服务队伍，所有服务人员都具有本科以上学历，且有

100、3年以上大型网络服务经验。备件中心H3C备件中心(Spare Parts Center，简称SPC)隶属于H3C技术支援部, 是一个支持H3C公司服务能力和承诺的重要基础组织，与其他服务组织（包括H3C公司技术支持中心和H3C公司合作伙伴）协同合作，提供AHR（Advance Hardware Replacement）支持，共同帮助最终客户保持网络的平稳运行。SPC在全球备件网络体系（包括H3C区域备件支持中心和国家/地区备件服务合作伙伴）的基础上，向最终用户提供以下快速的备件更换和维修服务：-保修期内产品的更换和维修服务-保修期外产品的更换和维修服务-签订服务合约的备件更换和维修服务合作管理

101、部技术支援合作管理部作为合作伙伴与H3C公司技术支援部的业务流程接口部门，在公平、互动、双赢的原则下，为合作伙伴和H3C公司技术支援部之间搭建信息传递和管理的高速公路。区域支持部办事处数据通信技术支持的主要工作是对合作伙伴和重要用户提供最直接的支持，以及对合作伙伴的客户化培训工作。同时办事处技术支持工程师作为合作伙伴服务管理的延伸，对合作伙伴的售后服务的能力和质量进行监控，上报的数据作为对合作伙伴考核的一个重要的依据。8.3 服务及时性保障为了对不同重要等级的服务要求提供不同的及时性保障，H3C公司技术支援部建立了一套科学的服务问题升级系统，保证最紧急的故障能够得到最快的处理。同时，根据对故障

102、的分级，也有利于对故障解决时间的监控，保证故障能在规定的时间内得到处理。以下为H3C公司对故障的分级参考标准和规定的响应时间：故障级别定义H3C合作伙伴故障响应时间和故障上报时间H3C合作伙伴无法解决问题时，H3C公司响应时间一级故障主要指设备在运行中出现系统瘫痪或服务中断，导致设备的基本功能不能实现或全面退化的故障。1小时内响应，乘坐当地最快的交通工具抵达现场。2小时内上报H3C1小时内响应，8小时内给出解决方案。如果需要，乘坐当地最快的交通工具抵达现场。二级故障主要指设备在运行中出现的故障具有潜在的系统瘫痪或服务中断的危险，并可能导致设备的基本功能不能实现或全面退化。2小时内响应。如需现场

103、解决，24小时内抵达现场。24小时内上报H3C1小时内响应，24小时内给出解决方案。如果需要，24小时内抵达现场三级故障主要指设备在运行中出现的直接影响服务，导致系统性能或服务部分退化的故障2小时内响应。 如需现场解决，48小时内抵达现场。 48小时内上报H3C2小时内响应，24小时内给出解决方案四级故障主要指设备在运行中出现的，断续或间接地影响系统功能和服务的故障2小时内响应。 如需现场解决，96小时内抵达现场。96小时内上报H3C2小时内响应，48小时内给出解决方案8.4 8.4服务有效性保障8.4.1 724小时热线技术支持电话H3C公司TSC中心设有724小时的RSC（远程支援中心），

104、提供全天候无间断的远程技术服务，可随时接收故障的反馈和申报，H3C公司将根据故障报告内容对问题进行分级，在规定的时间内对申报的问题进行响应及解决。对于非紧急问题H3C公司的合作伙伴以及最终用户可以在任何时间通过电子邮件向华为公司寻求技术支持，并最迟在24小时内得到响应。8.4.2 区域技术支持平台H3C公司数据通信技术支持部在其总部技术支持中心和全国各办事处都配备足够数量的技术支持工程师。可根据用户申报问题的具体情况对用户进行现场技术支持。在技术支持中心设有资深技术支持工程师，对重点项目进行技术支持。8.4.3 网上问题处理系统H3C公司技术支持部设有网上问题处理数据库，可由H3C公司的任何一

105、位工程师在接到问题反馈且自身无法直接解答时，将有关问题通报H3C公司网上问题处理中心，通过IT平台将问题提交到相应的研发项目组进行处理，确保问题的解决和便于问题的监控。8.4.4 完善的实验平台H3C公司TSC中心建有全系列产品的实验室，能够根据用户提供的故障现象、组网图、设备配置文件等信息，对用户的网络进行模拟，定位和解决问题。8.4.5 高效快捷的备件系统H3C公司技术支持部依托H3C公司遍布全国一级城市的28个备件库，能够提供高效的备件服务。一旦设备故障定位是硬件故障，故障模块或部件可以及时得到更换，使故障设备恢复正常运行。8.4.6 技术支持网站与技术支持论坛用户可以登录H3C公司的技术支持网站获取H3C公司销售的产品的技术资料和服务信息。同时所有H3C公司的渠道销售伙伴、增值服务代理商、H3C网络认证工程师以及用户都可以注册到H3C公司的专业技术论坛进行技术交流，并获取H3C公司技术专家的在线支持。8.4.7 完备的技术支持资料开发系统H3C公司设有专门的资料部门，从事产品用户手册、安装手册和其它技术资料的组织、编辑和出版。H3C公司技术支援部还负责常见故障处理、疑难问题处理、高级配置案例、工程项目和质量管理、网络规划等高级技术支持资料的开发和发布。具有相应权限的用户在网站上都可以下载使用相关资料。