XXX無(wú)線項(xiàng)目方案建議書

TITLEXXXX項(xiàng)目方案建議書用戶場(chǎng)景分析原則：具體、全面，深入了解客戶應(yīng)用場(chǎng)景內(nèi)容：針對(duì)項(xiàng)目所部署的無(wú)線場(chǎng)景，進(jìn)行詳細(xì)的描述，體現(xiàn)出項(xiàng)目過(guò)程中無(wú)線地勘的全面性及專業(yè)性，用相關(guān)的圖片及測(cè)試數(shù)據(jù)作為佐證，說(shuō)明無(wú)線部署的方式。以下為范例（不可直接使用）項(xiàng)目總體情況此次網(wǎng)絡(luò)建設(shè)是在XX大學(xué)校園原有的有線網(wǎng)絡(luò)上，進(jìn)行無(wú)線網(wǎng)絡(luò)擴(kuò)充。XX大學(xué)分為A主校區(qū)和B校區(qū)（涉外學(xué)院/國(guó)際學(xué)院），本次無(wú)線網(wǎng)絡(luò)覆蓋需求為A主校區(qū)的綜合科技樓（主辦公樓）、所有教學(xué)樓、圖書館、主廣場(chǎng)、體育場(chǎng)和橙子酒店國(guó)際會(huì)議中心區(qū)域，和B校區(qū)的教學(xué)樓、辦公教學(xué)樓會(huì)議廳區(qū)域。要求完成全方位立體式無(wú)線覆蓋，讓師生們可以在這些區(qū)域隨時(shí)隨地、無(wú)拘束的連接到網(wǎng)絡(luò)，教職工可以依托無(wú)線完成各項(xiàng)教學(xué)辦公事務(wù)，外來(lái)來(lái)賓可以順暢的訪問(wèn)校內(nèi)和校外網(wǎng)絡(luò)資源。無(wú)線信號(hào)覆蓋整個(gè)校園的重點(diǎn)區(qū)域，主要包括A主校區(qū)的綜合科技樓（主辦公樓）、所有教學(xué)樓、圖書館、主廣場(chǎng)、體育場(chǎng)和橙子酒店國(guó)際會(huì)議中心區(qū)域，和B校區(qū)的教學(xué)樓、辦公教學(xué)樓會(huì)議廳區(qū)域。保證被覆蓋需求的網(wǎng)絡(luò)訪問(wèn)流暢。提供數(shù)據(jù)接入業(yè)務(wù)，讓學(xué)校師生體會(huì)到無(wú)線局域網(wǎng)給教師的教學(xué)和學(xué)生的學(xué)習(xí)帶來(lái)的好處。同時(shí)，必須利用現(xiàn)在的院校有線資源，做到有線、無(wú)線混合組網(wǎng)，不要獨(dú)立建網(wǎng)，避免用戶投資的浪費(fèi)。無(wú)線地勘概況整理無(wú)線地勘的相關(guān)資料（照片、測(cè)試數(shù)據(jù)等），將無(wú)線地勘的一些測(cè)試結(jié)果進(jìn)行總結(jié)。根據(jù)對(duì)本次項(xiàng)目的實(shí)際場(chǎng)景進(jìn)行地勘，本次無(wú)線項(xiàng)目具有部署范圍廣、環(huán)境復(fù)雜等特點(diǎn)，針對(duì)相關(guān)環(huán)境，銳捷網(wǎng)絡(luò)進(jìn)行了詳細(xì)的地勘，相關(guān)情況如下：無(wú)線環(huán)境比較惡劣由于目前學(xué)生公寓內(nèi)，運(yùn)營(yíng)商已經(jīng)將相關(guān)的無(wú)線信號(hào)進(jìn)行了先期部署，照成目前公寓內(nèi)2.4G頻段幾乎全部被占用，信號(hào)干擾嚴(yán)重。圖STYLEREF1\s2SEQ圖示：\*ARABIC\s11目前公寓內(nèi)存在的無(wú)線信號(hào)建設(shè)結(jié)構(gòu)不規(guī)則本次部署中涉及到的樓宇幾乎都是比較老的建筑，樓層與房間之間存在很多不規(guī)則的情況，對(duì)無(wú)線信號(hào)的覆蓋帶來(lái)較大的挑戰(zhàn)，基本可以分為以下集中情況：大開(kāi)間、高密度大開(kāi)間、高密度的環(huán)境主要分布在圖書館、階梯教室及報(bào)告廳等，該類場(chǎng)景具備空間大，學(xué)生相對(duì)集中的情況，針對(duì)該類情況，可以采用放裝的方式，確保該場(chǎng)景無(wú)線信號(hào)的覆蓋，同時(shí)根據(jù)單位區(qū)域內(nèi)接入的用戶數(shù)，可以分布無(wú)線AP的部署位置，確保該區(qū)域內(nèi)的信號(hào)覆蓋及接入性能。房間密集型該場(chǎng)景主要集中在宿舍樓，通過(guò)地勘發(fā)現(xiàn)，墻體結(jié)構(gòu)比較牢固，房間內(nèi)還有衛(wèi)生間，為了實(shí)現(xiàn)信號(hào)覆蓋的無(wú)盲區(qū)，需要將無(wú)線AP的天線延長(zhǎng)到各房間，信號(hào)到達(dá)房間內(nèi)。現(xiàn)有無(wú)線信號(hào)測(cè)試目前學(xué)生宿舍樓中已經(jīng)分布了聯(lián)通的無(wú)線信號(hào)，聯(lián)通采用放裝的方式，將無(wú)線AP天線分布在宿舍的走廊中，通過(guò)在宿舍內(nèi)對(duì)信號(hào)進(jìn)行實(shí)地測(cè)試，發(fā)現(xiàn)在房屋內(nèi)部，聯(lián)通的無(wú)線信號(hào)幾乎處于不可用的狀態(tài)，信號(hào)強(qiáng)度在-85dBm。圖STYLEREF1\s2SEQ圖示：\*ARABIC\s12聯(lián)通信號(hào)測(cè)試數(shù)據(jù)地勘無(wú)線測(cè)試數(shù)據(jù)無(wú)線地勘測(cè)試在10號(hào)的304房間進(jìn)行，304房間為套間，在地勘的無(wú)線AP上建立了一個(gè)名為“connected”的SSID，無(wú)線AP測(cè)試點(diǎn)分別放置在門廳、其中一間房間、房間隔板處三個(gè)位置進(jìn)行了測(cè)試，測(cè)試數(shù)據(jù)如下：圖STYLEREF1\s2SEQ圖示：\*ARABIC\s13房間測(cè)試數(shù)據(jù)通過(guò)實(shí)地的測(cè)試，為了確保無(wú)線信號(hào)穩(wěn)定，達(dá)到快速接入校園網(wǎng)的要求，必須將無(wú)線信號(hào)分別引入房間內(nèi)。辦公室、酒店區(qū)域該場(chǎng)景對(duì)信號(hào)的覆蓋要求無(wú)盲區(qū)，房間內(nèi)比較美觀，辦公室主要是學(xué)校重要領(lǐng)導(dǎo)，酒店主要提供給外賓，相對(duì)人員比較少。公共區(qū)域由于室外條件相對(duì)惡劣，該區(qū)域?qū)π盘?hào)覆蓋的面積將會(huì)有更高的要求，還必須具備抗雷擊、防雨、防潮、抗高低溫、阻燃等多項(xiàng)指標(biāo)，同時(shí)還需根據(jù)實(shí)際地勘情況，區(qū)分哪些是密集人群區(qū)，哪些是稀疏的區(qū)域，針對(duì)不同區(qū)域進(jìn)行針對(duì)性的部署，更加符合學(xué)校的實(shí)際情況。用戶終端類型分析隨著信息化的迅速發(fā)展，移動(dòng)終端的類型也越來(lái)越多，如筆記本、PAD、手機(jī)等對(duì)終端的性能要求越來(lái)越高，終端網(wǎng)卡類型由單流單頻網(wǎng)卡、雙流單頻網(wǎng)卡到現(xiàn)在主流的雙流雙頻網(wǎng)卡，如IPAD4、Ipone5、三星GALAXY等都支持5G，為更好的分流，將盡可能支持5G的終端自動(dòng)連接到5G射頻卡上，來(lái)減輕2.4G的壓力，即在學(xué)校部署無(wú)線網(wǎng)絡(luò)時(shí)，當(dāng)1臺(tái)AP上連接人數(shù)較多時(shí)，最好使用雙流雙頻的設(shè)備本次項(xiàng)目建設(shè)關(guān)鍵點(diǎn)結(jié)合項(xiàng)目的總體情況及實(shí)地環(huán)境的無(wú)線地勘，將無(wú)線項(xiàng)目建設(shè)的一些關(guān)鍵點(diǎn)（難點(diǎn)）進(jìn)行歸納總結(jié)，該部分的順序應(yīng)該與文檔后面的解決方案中的解決點(diǎn)進(jìn)行呼應(yīng)，包括第5章方案設(shè)計(jì)和第6章建設(shè)關(guān)鍵點(diǎn)。通過(guò)對(duì)本次項(xiàng)目無(wú)線覆蓋場(chǎng)地實(shí)地地勘的情況，為了確保本次無(wú)線覆蓋達(dá)到無(wú)盲區(qū)，同時(shí)為無(wú)線接入用戶帶來(lái)比較好的網(wǎng)絡(luò)體驗(yàn)，在項(xiàng)目設(shè)計(jì)及實(shí)施過(guò)程中存在以下幾個(gè)方面的難點(diǎn)。這些難點(diǎn)的解決方案將在第6章中予以闡述。1、在覆蓋環(huán)境下，如何確保無(wú)線信號(hào)的全覆蓋項(xiàng)目覆蓋范圍廣，由于很多樓層建筑不規(guī)則，對(duì)無(wú)線AP的部署帶來(lái)了一定程度的調(diào)整，在無(wú)線AP點(diǎn)位設(shè)計(jì)過(guò)程中，需要考慮不同建筑對(duì)信號(hào)衰減的干擾，合理分配無(wú)線接入點(diǎn)的部署位置。2、如何滿足學(xué)生對(duì)無(wú)線網(wǎng)絡(luò)質(zhì)量的訴求學(xué)校搭建無(wú)線校園網(wǎng)，是為了更好的為在校師生提供快速、便捷的無(wú)線網(wǎng)絡(luò)環(huán)境，無(wú)線網(wǎng)絡(luò)傳輸?shù)馁|(zhì)量直接影響到師生使用相關(guān)應(yīng)用的關(guān)鍵，為了給學(xué)生提供高性能的無(wú)線網(wǎng)絡(luò)環(huán)境，在方案設(shè)計(jì)及產(chǎn)品選型方面，將綜合考慮單位區(qū)域內(nèi)學(xué)生的分布情況、學(xué)生使用網(wǎng)絡(luò)的情況。3、……項(xiàng)目需求分析原則：反復(fù)溝通，了解客戶的真實(shí)需求；業(yè)務(wù)邏輯結(jié)構(gòu)清晰內(nèi)容：需求分析立足于本次無(wú)線項(xiàng)目建設(shè)，通過(guò)與客戶進(jìn)行面對(duì)面溝通，或者從客戶該項(xiàng)目的任務(wù)書中獲得，需求部分應(yīng)該與文檔第1章中的“方案設(shè)計(jì)思路”和第2章中的“無(wú)線項(xiàng)目建設(shè)關(guān)鍵點(diǎn)”有所呼應(yīng)。以下為范例（不可直接使用）業(yè)務(wù)架構(gòu)與需求分析XXX大學(xué)的信息化業(yè)務(wù)主要包括教學(xué)、科研、管理和服務(wù)四個(gè)方面，通過(guò)校園統(tǒng)一信息門戶融合平臺(tái)進(jìn)性支撐。因此，統(tǒng)一的有線、無(wú)線網(wǎng)絡(luò)支撐平臺(tái)就非常重要，具體包括：需要支持基于用戶信息、基于用戶所在區(qū)域的信息主動(dòng)推送；全校統(tǒng)一的身份認(rèn)證平臺(tái)，包括統(tǒng)一運(yùn)營(yíng)、系統(tǒng)對(duì)接與身份數(shù)據(jù)同步等；通過(guò)各種技術(shù)實(shí)現(xiàn)高安全、高性能的先進(jìn)平臺(tái)；統(tǒng)一的網(wǎng)管平臺(tái)。學(xué)校的信息化業(yè)務(wù)架構(gòu)如下圖所示：圖STYLEREF1\s3SEQ圖示：\*ARABIC\s11業(yè)務(wù)架構(gòu)圖基礎(chǔ)網(wǎng)絡(luò)建設(shè)需求原則：實(shí)事求是，簡(jiǎn)潔內(nèi)容：結(jié)合3.1節(jié)的內(nèi)容，說(shuō)明網(wǎng)絡(luò)基礎(chǔ)平臺(tái)，主要是有線部分，也包括結(jié)合本次項(xiàng)目網(wǎng)絡(luò)出口等需要進(jìn)行升級(jí)、擴(kuò)容、改造、或新建的需求。 無(wú)線建設(shè)需求原則：系統(tǒng)化、有高度有具體要求內(nèi)容：來(lái)自客戶的實(shí)際要求，進(jìn)行系統(tǒng)化地提煉。以下為范例（不可直接使用）無(wú)線信號(hào)覆蓋要求設(shè)一個(gè)高可用、高安全、高穩(wěn)定、易使用、易管理、易擴(kuò)展的無(wú)線校園網(wǎng)絡(luò)與基礎(chǔ)設(shè)施平臺(tái)，通過(guò)支持最新一代的802.11N標(biāo)準(zhǔn)，實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的無(wú)縫、高速覆蓋，為網(wǎng)絡(luò)資源的充分利用和共享提供強(qiáng)有力的保障，為學(xué)校的全面信息化奠定堅(jiān)實(shí)的基礎(chǔ)。具體要求：……..無(wú)線接入性能要求結(jié)合業(yè)務(wù)、終端、用戶密度等方面的實(shí)際情況，完善基礎(chǔ)設(shè)施，基本形成覆蓋全校的高速無(wú)線網(wǎng)絡(luò)。具體要求：……..無(wú)線接入認(rèn)證要求全面整合校園內(nèi)各網(wǎng)絡(luò)層認(rèn)證平臺(tái)的賬號(hào)信息與認(rèn)證方式；全面建立網(wǎng)絡(luò)安全管理體系，包括全網(wǎng)安全與身份準(zhǔn)入認(rèn)證、WEB應(yīng)用安全防護(hù)、并支持使用更為人性化的WEB認(rèn)證。要求支持基于用戶的帶寬保障與控制，無(wú)論用戶在何處認(rèn)證上網(wǎng)都可以根據(jù)其身份進(jìn)行網(wǎng)絡(luò)應(yīng)用帶寬的管理。具體要求：……..無(wú)線網(wǎng)絡(luò)安全要求網(wǎng)絡(luò)建設(shè)中充分考慮無(wú)線安全的特殊性，減少或避免信息泄露、干擾用戶使用的各種問(wèn)題風(fēng)險(xiǎn)。具體要求：……..無(wú)線網(wǎng)絡(luò)管理為保障全校信息平臺(tái)的穩(wěn)定運(yùn)行，通過(guò)功能齊全、管理科學(xué)的信息系統(tǒng)運(yùn)維解決方案，以實(shí)現(xiàn)對(duì)全校的網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全產(chǎn)品等多種IT資源的狀態(tài)和性能、關(guān)鍵業(yè)務(wù)系統(tǒng)的運(yùn)行以及中心機(jī)房的動(dòng)力、空調(diào)等的統(tǒng)一監(jiān)控，能實(shí)現(xiàn)各IT資源的相互影響分析管理、統(tǒng)一的監(jiān)控策略、統(tǒng)一告警策略、統(tǒng)一視圖管理等功能，能提供完善的知識(shí)庫(kù)，以支撐學(xué)校運(yùn)維體系的建設(shè)。遵循ITIL、ISO20000標(biāo)準(zhǔn)，支持未來(lái)基于IT運(yùn)維管理系統(tǒng)中的事件管理、配置管理、計(jì)劃任務(wù)管理三大功能的擴(kuò)展，形成統(tǒng)一的IT運(yùn)維管理系統(tǒng)。具體要求：…….總體設(shè)計(jì)要求原則：貼近實(shí)際需求，契合問(wèn)題的本質(zhì)內(nèi)容：認(rèn)真分析3.3節(jié)的需求內(nèi)容，總結(jié)出需求的特點(diǎn)，根據(jù)這些特點(diǎn)，提出設(shè)計(jì)網(wǎng)絡(luò)的基本原則。以下為范例（不可直接使用）需求特點(diǎn)總結(jié)XXX大學(xué)XXX園區(qū)學(xué)生公寓無(wú)線網(wǎng)的建設(shè)目標(biāo)是實(shí)現(xiàn)類宿舍網(wǎng)環(huán)境下的無(wú)線網(wǎng)絡(luò)全面覆蓋，為滿足學(xué)生訪問(wèn)校內(nèi)資源、互聯(lián)網(wǎng)資源構(gòu)建一個(gè)真正可用的無(wú)線網(wǎng)絡(luò)。1、高信號(hào)質(zhì)量、高性能保證學(xué)生公寓環(huán)境下下房間內(nèi)各個(gè)角落的無(wú)線信號(hào)強(qiáng)度有較高要求，注重滿足應(yīng)用及終端使用需求。支持最新的802.11n標(biāo)準(zhǔn)并滿足高密度學(xué)生的無(wú)線接入需求，提供高數(shù)據(jù)傳輸速率。確保同一房間內(nèi)同頻干擾信號(hào)強(qiáng)度<-70dBm，提高整網(wǎng)吞吐性能，構(gòu)建真正可用的無(wú)線網(wǎng)絡(luò)。2、安全與易用性并重需要加強(qiáng)安全認(rèn)證，確保安全和策略實(shí)施。使用簡(jiǎn)單，強(qiáng)調(diào)用戶的體驗(yàn)。同時(shí)也強(qiáng)調(diào)管理的接單。無(wú)線網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單，需要管理的設(shè)備數(shù)量少，管理維護(hù)簡(jiǎn)單方便，整個(gè)無(wú)線部署不影響學(xué)生環(huán)境的美觀度。方案設(shè)計(jì)原則根據(jù)上述的需求分析和部署環(huán)境的實(shí)際特點(diǎn)，XXX大學(xué)XXX園區(qū)學(xué)生公寓的無(wú)線網(wǎng)絡(luò)整體規(guī)劃，需要本著以下原則進(jìn)行規(guī)劃與設(shè)計(jì)：無(wú)縫覆蓋本次無(wú)線校園網(wǎng)建設(shè)采取標(biāo)準(zhǔn)的802.11n網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)，提供不低于600Mbps的單個(gè)AP的無(wú)線帶寬接入能力，提供高性能的無(wú)線覆蓋；無(wú)線信號(hào)覆蓋整個(gè)XXX園區(qū)學(xué)生公寓所有房間，保證被覆蓋需求的網(wǎng)絡(luò)訪問(wèn)流暢。提供數(shù)據(jù)接入業(yè)務(wù)，讓在此居住的學(xué)生能夠快捷的訪問(wèn)豐富的校內(nèi)資源。同時(shí)，必須利用現(xiàn)在的院校有線資源，做到有線、無(wú)線混合組網(wǎng)，避免學(xué)生投資的浪費(fèi)。多種服務(wù)支持基于校園級(jí)網(wǎng)絡(luò)的未來(lái)可持續(xù)發(fā)展，無(wú)線網(wǎng)絡(luò)規(guī)劃應(yīng)為未來(lái)發(fā)展多媒體、高帶寬的無(wú)線寬帶應(yīng)用（如，無(wú)線語(yǔ)音應(yīng)用、無(wú)線視頻會(huì)議應(yīng)用、無(wú)線監(jiān)控、無(wú)線多媒體通信應(yīng)用等）打下基礎(chǔ)，并提供低成本的無(wú)縫升級(jí)和先后兼容。無(wú)線系統(tǒng)需要具有IPv6協(xié)議和流量的分類轉(zhuǎn)發(fā)和管理能力。安全性網(wǎng)絡(luò)必須具有良好的安全防范措施和密碼保護(hù)技術(shù)，靈活方便的權(quán)限設(shè)定和控制機(jī)制，使系統(tǒng)具有多種有效手段，防范各種形式對(duì)網(wǎng)絡(luò)的非法入侵和內(nèi)部攻擊，以保證網(wǎng)絡(luò)的實(shí)體安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和信息安全，有效地保障正常的業(yè)務(wù)活動(dòng)和防止內(nèi)部信息數(shù)據(jù)不被非法竊取、篡改或泄漏。因此系統(tǒng)應(yīng)分別針對(duì)不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等。兼容性本次建設(shè)的無(wú)線網(wǎng)絡(luò)能夠很好的與現(xiàn)有的XXX大學(xué)校園網(wǎng)兼容，對(duì)于在學(xué)生公寓接入校園網(wǎng)的學(xué)生，采用統(tǒng)一身份準(zhǔn)入系統(tǒng)，該準(zhǔn)入將與目前學(xué)校采用的深瀾認(rèn)證系統(tǒng)進(jìn)行無(wú)縫對(duì)接，實(shí)現(xiàn)對(duì)學(xué)生訪問(wèn)資源的統(tǒng)一管理和認(rèn)證。擴(kuò)展性在網(wǎng)絡(luò)規(guī)模不斷發(fā)展的情況下，無(wú)線網(wǎng)絡(luò)應(yīng)滿足在不改變主體架構(gòu)與大部分設(shè)備的前提下，平滑實(shí)現(xiàn)升級(jí)和擴(kuò)充，降低原有網(wǎng)絡(luò)的硬件投資，并保證擴(kuò)展后的系統(tǒng)可用性與穩(wěn)定性。預(yù)留AC、AP可升級(jí)的能力，為未來(lái)無(wú)線校園網(wǎng)建設(shè)提供基礎(chǔ)，無(wú)線網(wǎng)絡(luò)要支持AC冗余擴(kuò)展N+1的冗余備份能力；統(tǒng)建設(shè)必須盡量保護(hù)現(xiàn)有的軟、硬件資源，保證各部門現(xiàn)有的計(jì)算機(jī)系統(tǒng)的使用，逐步過(guò)渡，有效保護(hù)學(xué)校投資，最終形成一個(gè)統(tǒng)一的、一體化的綜合網(wǎng)絡(luò)系統(tǒng)。高性能網(wǎng)絡(luò)鏈路和設(shè)備具備足夠高的數(shù)據(jù)轉(zhuǎn)發(fā)能力，保證各種信息的高質(zhì)量無(wú)阻塞傳輸；交換系統(tǒng)具有很高的交換容量與多服務(wù)支持的能力，保證網(wǎng)絡(luò)服務(wù)的質(zhì)量?？晒芾頌榱俗屝@網(wǎng)能夠良性、穩(wěn)定、持續(xù)、健康的發(fā)展，對(duì)校園網(wǎng)學(xué)生進(jìn)行嚴(yán)格的管理和控制，學(xué)校需要對(duì)校園網(wǎng)進(jìn)行學(xué)生接入管理管理，通過(guò)對(duì)上網(wǎng)的學(xué)生進(jìn)行認(rèn)證，記錄上網(wǎng)學(xué)生的行為，為學(xué)校的網(wǎng)絡(luò)管理提供便利的工具。于此同時(shí)，對(duì)于本次網(wǎng)絡(luò)中所涉及的無(wú)線AP、AC、交換機(jī)等設(shè)備能夠?qū)崿F(xiàn)無(wú)線、有線統(tǒng)一的管理，確保各設(shè)備運(yùn)行在最佳狀態(tài)，為XXX園區(qū)學(xué)生公寓內(nèi)的學(xué)生提供可靠的網(wǎng)絡(luò)接入服務(wù)。規(guī)范化和標(biāo)準(zhǔn)化網(wǎng)絡(luò)體系結(jié)構(gòu)、通信協(xié)議及軟件的設(shè)計(jì)和開(kāi)發(fā)必須按照國(guó)家或行業(yè)標(biāo)準(zhǔn)進(jìn)行，要模塊化、結(jié)構(gòu)化、數(shù)據(jù)要代碼化，以便于信息共享和交流及將來(lái)的維護(hù)。在系統(tǒng)設(shè)計(jì)和軟件開(kāi)發(fā)時(shí)，應(yīng)用程序必須規(guī)范化、模塊化和可復(fù)用。網(wǎng)絡(luò)總體架構(gòu)設(shè)計(jì)原則：全局觀，提綱挈領(lǐng)內(nèi)容：將本次項(xiàng)目建設(shè)的需求與下一個(gè)章節(jié)的內(nèi)容進(jìn)行銜接，總體框架能夠?qū)o(wú)線建設(shè)內(nèi)容中的相關(guān)事宜進(jìn)行有效的落地，同時(shí)總體框架也是指導(dǎo)下一章節(jié)編制的依據(jù)。以下為范例（不可直接使用）XXX項(xiàng)目無(wú)線網(wǎng)建設(shè)的總體框架采用“結(jié)構(gòu)化”的分析和控制方案，分為基礎(chǔ)網(wǎng)絡(luò)架構(gòu)、無(wú)線網(wǎng)絡(luò)建設(shè)、無(wú)線安全保障體系、統(tǒng)一運(yùn)維管理和統(tǒng)一認(rèn)證計(jì)費(fèi)五個(gè)層面，建立滿足XXX項(xiàng)目總體設(shè)計(jì)要求的無(wú)線網(wǎng)絡(luò)系統(tǒng)。圖STYLEREF1\s4SEQ圖示：\*ARABIC\s11業(yè)務(wù)架構(gòu)圖基礎(chǔ)網(wǎng)絡(luò)總體架構(gòu)基礎(chǔ)網(wǎng)絡(luò)架構(gòu)作為XXX園區(qū)學(xué)生公寓無(wú)線網(wǎng)絡(luò)覆蓋的基礎(chǔ)，同時(shí)也是連接X(jué)XX園區(qū)園區(qū)網(wǎng)和校園網(wǎng)的橋梁，其數(shù)據(jù)傳輸能力和穩(wěn)定性將直接影響到無(wú)線網(wǎng)絡(luò)的接入，基礎(chǔ)網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)將從網(wǎng)路本身的健壯性方面出發(fā)，將底層結(jié)構(gòu)夯實(shí)。圖STYLEREF1\s4SEQ圖示：\*ARABIC\s12業(yè)務(wù)架構(gòu)圖全網(wǎng)包括核心層、接入層、出口、服務(wù)器區(qū)、網(wǎng)絡(luò)管理等若干模塊。各模塊主要功能如下：核心層：首先全網(wǎng)的高速轉(zhuǎn)發(fā)。無(wú)線控制器位于核心層位置。接入層（含匯聚層）：根據(jù)地理位置分布，包括無(wú)線AP的需要，提供以太網(wǎng)端口接入，以及必要的POE供電。出口層：……無(wú)線網(wǎng)絡(luò)總體架構(gòu)在基礎(chǔ)網(wǎng)路架構(gòu)的基礎(chǔ)上，通過(guò)對(duì)XXX園區(qū)學(xué)生公寓的實(shí)地勘測(cè)，規(guī)劃每個(gè)AP接入點(diǎn)的放置位置，依托于穩(wěn)定的基礎(chǔ)網(wǎng)路架構(gòu)，通過(guò)無(wú)線AP接入點(diǎn)，在XXX園區(qū)學(xué)生公寓內(nèi)形成特定的無(wú)線網(wǎng)絡(luò)覆蓋，實(shí)現(xiàn)將XXX大學(xué)校園網(wǎng)通過(guò)無(wú)線電磁波的方式覆蓋XXX園區(qū)學(xué)生公寓的每個(gè)宿舍，考慮到新建宿舍樓體墻體比較厚，在無(wú)線架構(gòu)設(shè)計(jì)層面，需要將無(wú)線信號(hào)引入單個(gè)房間，以滿足學(xué)生接入校園網(wǎng)的要求，為學(xué)生提供信號(hào)覆蓋無(wú)盲區(qū)、穩(wěn)定的無(wú)線網(wǎng)絡(luò)環(huán)境。圖STYLEREF1\s4SEQ圖示：\*ARABIC\s13業(yè)務(wù)架構(gòu)圖分布式加集中式的無(wú)線部署方式由于整個(gè)XXX項(xiàng)目無(wú)線網(wǎng)絡(luò)規(guī)模較大，采用集中式部署的方式容易造成性能瓶頸及管理權(quán)限集中，因此本次采用分布式加集中式的部署模式。整個(gè)無(wú)線網(wǎng)絡(luò)采用FITAP的運(yùn)行模式，在各個(gè)規(guī)模較大校區(qū)（如XXX、XXX）分別部署一臺(tái)無(wú)線控制器（AC），管理維護(hù)各自校區(qū)的無(wú)線AP；在各個(gè)規(guī)模較小校區(qū)（如XXX）不布署無(wú)線控制器（AC），由中心無(wú)線控制器直接管理維護(hù)，避免中心機(jī)房核心端集中式控制帶來(lái)的管理、維護(hù)、后期擴(kuò)容的壓力，同時(shí)達(dá)到各校區(qū)無(wú)線控制器的災(zāi)備目的。銳捷網(wǎng)絡(luò)的無(wú)線網(wǎng)絡(luò)設(shè)備可以工作在NAT、路由應(yīng)用環(huán)境下，且可以實(shí)現(xiàn)本地轉(zhuǎn)發(fā)下的統(tǒng)一WEB認(rèn)證。集中式的身份認(rèn)證系統(tǒng)全網(wǎng)絡(luò)的統(tǒng)一的認(rèn)證方式和無(wú)縫漫游，對(duì)于XXX所有校園無(wú)線網(wǎng)接入用戶進(jìn)行統(tǒng)一認(rèn)證，對(duì)于跨校區(qū)的賬號(hào)能通過(guò)統(tǒng)一的SSID接入到網(wǎng)絡(luò)中，支持由中心機(jī)房的域服務(wù)器或支持通過(guò)LDAP協(xié)議接口做接入用戶認(rèn)證，通過(guò)系統(tǒng)管理軟件統(tǒng)一無(wú)線網(wǎng)管理和維護(hù)等工作，實(shí)現(xiàn)全網(wǎng)化跨AP和跨校區(qū)的統(tǒng)一認(rèn)證和無(wú)縫漫游。分級(jí)式的網(wǎng)絡(luò)設(shè)備管理考慮到后期的管理及維護(hù)，教育局對(duì)所有的無(wú)線網(wǎng)絡(luò)設(shè)備具有統(tǒng)一的管理權(quán)限，但對(duì)于每個(gè)學(xué)校來(lái)說(shuō)，應(yīng)該強(qiáng)化管理自己學(xué)校的網(wǎng)絡(luò)設(shè)備，平時(shí)的管理維護(hù)都在學(xué)校內(nèi)部消化解決，減輕教育局管理全市所有學(xué)校的壓力。在教育局統(tǒng)一部署無(wú)線網(wǎng)絡(luò)管理系統(tǒng)，對(duì)所有設(shè)備進(jìn)行管理，為每個(gè)學(xué)校分配不同的帳戶，管理自己學(xué)校所屬的網(wǎng)絡(luò)設(shè)備，方便管理與維護(hù)。方案詳述原則：滿足項(xiàng)目需求，設(shè)計(jì)合理可行的技術(shù)方案內(nèi)容：參照本次項(xiàng)目建設(shè)的需求，并依照上一章節(jié)所描述的總體框架，進(jìn)行解決方案的編制，該部分盡量不去采用產(chǎn)品白皮書中的內(nèi)容，從客戶實(shí)際的角度出發(fā)，完成產(chǎn)品性能、功能等方面的描述，最后再將銳捷網(wǎng)絡(luò)涉及到本項(xiàng)目中的產(chǎn)品進(jìn)行總結(jié)。以下為范例（不可直接使用）依照XXX大學(xué)XXX園區(qū)網(wǎng)絡(luò)總體框架，本次網(wǎng)絡(luò)建設(shè)是在原有的有線網(wǎng)絡(luò)上，進(jìn)行無(wú)線網(wǎng)絡(luò)擴(kuò)充。需要進(jìn)行建設(shè)的部分有基礎(chǔ)網(wǎng)絡(luò)搭建、無(wú)線信號(hào)覆蓋、無(wú)線網(wǎng)絡(luò)安全及無(wú)線網(wǎng)絡(luò)等。全網(wǎng)拓?fù)湓O(shè)計(jì)根據(jù)前述的網(wǎng)絡(luò)需求分析、網(wǎng)絡(luò)設(shè)計(jì)原則，以及總體架構(gòu)的要求，設(shè)計(jì)全網(wǎng)拓?fù)鋱D如下所示：圖STYLEREF1\s5SEQ圖示：\*ARABIC\s11XXX學(xué)院校園網(wǎng)絡(luò)拓?fù)鋱D校園網(wǎng)絡(luò)結(jié)構(gòu)擬采用十萬(wàn)兆雙核心分別部署在東、西校區(qū)的核心機(jī)房、萬(wàn)兆線路到區(qū)域匯聚；匯聚通過(guò)千兆到接入交換機(jī)；接入交換機(jī)千兆到桌面，教學(xué)樓、圖書行政樓、公共區(qū)域?qū)⑼瑫r(shí)實(shí)施無(wú)線覆蓋的設(shè)計(jì)架構(gòu)。系統(tǒng)架構(gòu)分為核心層、匯聚層、分布接入層。并根據(jù)信息系統(tǒng)的具體情況，部署防火墻、身份認(rèn)證與計(jì)費(fèi)系統(tǒng)、全網(wǎng)安全管理，行為審計(jì)，SSLVPN等系統(tǒng)，并實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源平臺(tái)的統(tǒng)一管理?；A(chǔ)網(wǎng)絡(luò)設(shè)計(jì)本次項(xiàng)目建設(shè)涉及全校的樓宇，信息接入點(diǎn)大概有14000個(gè)，針對(duì)XXX學(xué)校的實(shí)際情況，基礎(chǔ)網(wǎng)絡(luò)平臺(tái)建設(shè)如下圖：圖STYLEREF1\s5SEQ圖示：\*ARABIC\s12基礎(chǔ)網(wǎng)絡(luò)架構(gòu)核心層設(shè)計(jì)核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的數(shù)據(jù)高速傳輸，核心層設(shè)計(jì)任務(wù)的重點(diǎn)是提供高可靠性及高速數(shù)據(jù)傳輸?shù)哪芰?。網(wǎng)絡(luò)的控制功能應(yīng)盡量少在骨干層上實(shí)施，而是在匯聚層進(jìn)行策略的實(shí)施。核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，承擔(dān)校園網(wǎng)骨干的高速數(shù)據(jù)交換。所以對(duì)核心層的設(shè)計(jì)以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格，要求核心交換機(jī)擁有較高的性能及可靠性，按照同檔次學(xué)校的網(wǎng)絡(luò)設(shè)計(jì)方案，核心交換機(jī)的包轉(zhuǎn)發(fā)性能值至少要在5700Mpps以上，才能滿足校園網(wǎng)未來(lái)5~10年的發(fā)展需求。否則隨著信息化建設(shè)的進(jìn)一步深化，特別是隨著學(xué)校內(nèi)部資源平臺(tái)的不斷完善和豐富，核心交換機(jī)將無(wú)法滿足這些建設(shè)需求。XXX學(xué)校中心機(jī)房作為園區(qū)核心層的中心，將承擔(dān)整個(gè)校園網(wǎng)骨干的高速數(shù)據(jù)交換，同時(shí)為未來(lái)我校構(gòu)建基于云服務(wù)架構(gòu)的數(shù)字化校園提供支撐，所以核心交換機(jī)一方面要滿足高性能的要求，另一方面要求支持云計(jì)算特性；通過(guò)比較在此方案核心層的設(shè)計(jì)中，采用兩臺(tái)高性能的核心交換機(jī)作為核心設(shè)備，構(gòu)成雙核心結(jié)構(gòu)，實(shí)現(xiàn)雙機(jī)熱備,負(fù)載均衡，設(shè)備運(yùn)行OSPF協(xié)議，以及虛擬化協(xié)議（將兩臺(tái)設(shè)備虛擬層一臺(tái)設(shè)備）以達(dá)到核心任意一臺(tái)設(shè)備發(fā)生故障都能保證網(wǎng)絡(luò)正常運(yùn)行的目的，這一切對(duì)用戶都是透明的，因此為用戶網(wǎng)絡(luò)的正常運(yùn)用提供的有利的保障。同時(shí)核心交換機(jī)為了支持xxx學(xué)校后續(xù)的數(shù)據(jù)中心虛擬化功能，要求設(shè)備支持?jǐn)?shù)據(jù)中心的特性：FCoE、CEE、TRILL等技術(shù)。同時(shí)各個(gè)大匯聚節(jié)點(diǎn)采用雙歸方式連接到兩臺(tái)核心設(shè)備上，保證可靠性。核心區(qū)域架構(gòu)設(shè)計(jì)如下：圖STYLEREF1\s5SEQ圖示：\*ARABIC\s13核心交換機(jī)虛擬化示意圖核心交換機(jī)其中一臺(tái)部署在東區(qū)中心機(jī)房，兩臺(tái)設(shè)備相距約1.5公里，另一臺(tái)部署在西區(qū)辦公樓機(jī)房，兩臺(tái)設(shè)備采用兩條萬(wàn)兆光纖互聯(lián)，互聯(lián)帶寬可達(dá)20G；負(fù)責(zé)學(xué)校所有信息點(diǎn)的數(shù)據(jù)轉(zhuǎn)發(fā)功能。核心區(qū)兩臺(tái)設(shè)備通過(guò)兩個(gè)萬(wàn)兆口互聯(lián)，做虛擬化的數(shù)據(jù)同步和流量轉(zhuǎn)發(fā)，同時(shí)配置萬(wàn)兆板卡用來(lái)連接匯聚交換機(jī)的接口。并且能夠支持將兩臺(tái)核心交換機(jī)分別部署在我校的東西校區(qū)。學(xué)院目前共有15000多個(gè)信息點(diǎn)，高峰期按照80%的并發(fā)用戶，核心交換區(qū)帶寬按照平均每用戶2.5Mbps設(shè)計(jì)（內(nèi)網(wǎng)數(shù)據(jù)單向帶寬）。同時(shí)校園網(wǎng)走上運(yùn)營(yíng)道路后，要充分保證用戶的服務(wù)質(zhì)量問(wèn)題，以及考慮到未來(lái)至少5~10年網(wǎng)絡(luò)的發(fā)展（5年后校園網(wǎng)絡(luò)要保持可運(yùn)營(yíng)，8年后校園網(wǎng)絡(luò)基本可用，10年后校園網(wǎng)絡(luò)不被淘汰），按照這樣的設(shè)計(jì)原則，我們可以按照以下計(jì)算方法來(lái)計(jì)算核心交換機(jī)的交換容量：1、IT行業(yè)著名的摩爾定律計(jì)算，數(shù)據(jù)量每18個(gè)月翻一倍，那么按照5年可運(yùn)營(yíng)的原則，5年的數(shù)據(jù)流量將翻倍（5*12）/12=3次，那么未來(lái)的單個(gè)用戶流量將到2.5*8=20Mbps。2、可運(yùn)營(yíng)的網(wǎng)絡(luò)一定是有服務(wù)質(zhì)量保證的網(wǎng)絡(luò)，一定是一個(gè)低延時(shí)，低抖動(dòng)的網(wǎng)絡(luò)，丟包率要保持在0.1%以下。根據(jù)行業(yè)的網(wǎng)絡(luò)設(shè)計(jì)經(jīng)驗(yàn)，只有一套網(wǎng)絡(luò)系統(tǒng)是輕載網(wǎng)絡(luò)時(shí)，才可以不用考慮QOS，才是一套穩(wěn)定性可以保證的網(wǎng)絡(luò)；同時(shí)校園網(wǎng)絡(luò)開(kāi)始運(yùn)營(yíng)計(jì)費(fèi)后，一定要保證其可靠性，按照用戶體驗(yàn)原則，只有可靠性達(dá)到5個(gè)9的時(shí)候才能夠稱之為高可靠網(wǎng)絡(luò)。那么只有當(dāng)網(wǎng)絡(luò)負(fù)載低于10%時(shí)才是一個(gè)輕載網(wǎng)絡(luò)。那么按照以上原則和計(jì)算方法可以得出以下網(wǎng)絡(luò)容量計(jì)算公式：核心交換機(jī)交換容量>=[（校園網(wǎng)人數(shù)*最高在線用戶率*單用戶帶寬）/10%（輕載比）]*1.1（IP報(bào)文頭部開(kāi)銷比）*2（雙向流量）。按照以上公式5年后校園網(wǎng)人數(shù)按照20000人計(jì)算；最高在線率按照80%計(jì)算；單用戶帶寬按照摩爾定律計(jì)算2.5*8=20Mbps。計(jì)算結(jié)果：[（20000*80%*20）/10%]*1.1*2=7040000Mbps=7.04T所以本次核心交換機(jī)要求交換容量>=7.04T。同時(shí)隨著未來(lái)我校業(yè)務(wù)系統(tǒng)的逐漸增加，單臺(tái)防火墻配置的策略將會(huì)越來(lái)越復(fù)雜，所以要求本次核心交換機(jī)需要支持防火墻板卡，并且能夠通過(guò)虛擬化方式，將一臺(tái)防火墻虛擬成多臺(tái)設(shè)備。一臺(tái)設(shè)備可劃分多個(gè)邏輯防火墻，實(shí)現(xiàn)對(duì)學(xué)院多個(gè)業(yè)務(wù)獨(dú)立安全策略部署需求，進(jìn)一步簡(jiǎn)化網(wǎng)絡(luò)管理復(fù)雜度。這里之所以選擇核心交換機(jī)上部署防火墻板卡而不選擇獨(dú)立防火墻，一方面可以檢查師生到服務(wù)器的數(shù)據(jù)，一方可以檢查師生到互聯(lián)網(wǎng)的數(shù)據(jù)，一方面可以檢查互聯(lián)網(wǎng)到師生和到服務(wù)器的流量。如果按照傳統(tǒng)的方式需要在出口區(qū)域部署一臺(tái)防火墻、在服務(wù)器上方部署一臺(tái)防火墻，那么網(wǎng)絡(luò)中就可能出現(xiàn)更多的性能瓶頸和單點(diǎn)故障，同時(shí)性價(jià)比也比較低。在2臺(tái)核心交換機(jī)之間通過(guò)虛擬化引擎互聯(lián)，實(shí)現(xiàn)萬(wàn)兆虛擬化核心。總體來(lái)講本方案設(shè)計(jì)的核心交換機(jī)需要滿足一下幾個(gè)要求：高性能高端交換機(jī)性能和端口密度的提升會(huì)受到其硬件的限制，而虛擬化技術(shù)系統(tǒng)的性能和端口密度是虛擬化技術(shù)內(nèi)部所有設(shè)備性能和端口數(shù)量的總和。因此，虛擬化技術(shù)能夠輕易的將設(shè)備的核心交換能力、用戶端口的密度擴(kuò)大數(shù)倍，從而大幅度提高單臺(tái)設(shè)備的性能。

此外傳統(tǒng)的生成樹(shù)等技術(shù)為了避免環(huán)路的發(fā)生，會(huì)采用阻斷一條鏈路的方式，而虛擬化技術(shù)可以通過(guò)跨設(shè)備鏈路聚合等特性，讓原本“Active-standby”的工作模式，轉(zhuǎn)變成為負(fù)載分擔(dān)的模式，從而提高整網(wǎng)的運(yùn)行效率。高可靠鏈路級(jí)：虛擬化技術(shù)設(shè)備之間的物理端口支持鏈路聚合，虛擬化技術(shù)系統(tǒng)和上、下層設(shè)備之間的物理連接也支持聚合功能，這樣，通過(guò)多鏈路備份提高了鏈路的可靠性。

協(xié)議級(jí)：虛擬化技術(shù)提供實(shí)時(shí)的協(xié)議熱備份功能，負(fù)責(zé)將協(xié)議的配置信息備份到其他所有的成員設(shè)備，從而實(shí)現(xiàn)協(xié)議可靠。

設(shè)備級(jí)：虛擬化技術(shù)系統(tǒng)由多臺(tái)成員設(shè)備組成，Master設(shè)備負(fù)責(zé)系統(tǒng)的運(yùn)行、管理和維護(hù)，Slave設(shè)備在作為備份的同時(shí)也可以處理業(yè)務(wù)。一旦Master設(shè)備故障，系統(tǒng)會(huì)迅速自動(dòng)選舉新的Master，以保證通過(guò)系統(tǒng)的業(yè)務(wù)不中斷，從而實(shí)現(xiàn)了設(shè)備級(jí)的備份。相比傳統(tǒng)的二層生成樹(shù)技術(shù)和三層的VRRP技術(shù)，其收斂時(shí)間從N秒級(jí)縮短到毫秒級(jí)。高性能硬件模塊采用高性能硬件模塊實(shí)現(xiàn)，進(jìn)行設(shè)備機(jī)箱見(jiàn)得快速檢測(cè)和設(shè)備間數(shù)據(jù)高度轉(zhuǎn)發(fā)，不依賴交換機(jī)CPU和內(nèi)存資源，適用于大規(guī)模的網(wǎng)絡(luò)，無(wú)軟件升級(jí)方式帶來(lái)的弊端。超過(guò)10公里的虛擬化技術(shù)虛擬交換引擎板卡配置光接口，最遠(yuǎn)可實(shí)現(xiàn)超過(guò)10（可以支持到10-100公里）公里的虛擬化，實(shí)現(xiàn)7*24小時(shí)的不間斷網(wǎng)絡(luò)服務(wù)。為云計(jì)算數(shù)據(jù)中心提供基礎(chǔ)支持未來(lái)xxxx學(xué)校將建立基于云服務(wù)的校園網(wǎng)，要求核心設(shè)備以及數(shù)據(jù)中心接入交換機(jī)支持云計(jì)算對(duì)網(wǎng)絡(luò)設(shè)備的技術(shù)要求。實(shí)施云計(jì)算第一步是對(duì)服務(wù)器進(jìn)行虛擬化，虛擬化后個(gè)虛擬機(jī)之間的數(shù)據(jù)交互管理需要VEPA技術(shù)進(jìn)行支持；同時(shí)實(shí)存儲(chǔ)和網(wǎng)絡(luò)融合后需要交換機(jī)支持FCoE技術(shù)；跨區(qū)的虛擬機(jī)遷移，需要設(shè)備支持TRILL技術(shù)。具體支持協(xié)議和技術(shù)為：FCoE、CEE、TRILL；以及高密度萬(wàn)兆接入。匯聚層設(shè)計(jì)匯聚層的主要功能是做為樓層接入交換機(jī)的匯聚節(jié)點(diǎn)，一方面是作為端口匯接，一方面是作為用戶二層廣播報(bào)文的終結(jié)，同時(shí)是OSPF路由區(qū)域的邊界設(shè)備。本次方案中在每樓棟設(shè)計(jì)1~2臺(tái)匯聚交換機(jī)（主要是根據(jù)接入交換機(jī)數(shù)量來(lái)進(jìn)行設(shè)計(jì)），然后通過(guò)萬(wàn)兆線路作為主干鏈路連接到核心交換機(jī)；千兆線路作為其備份線路連接到另一臺(tái)核心設(shè)備上。這樣一方面保證了傳輸?shù)膸?，一方面?shí)現(xiàn)了鏈路的冗余。匯聚交換機(jī)通過(guò)1條萬(wàn)兆單模光纖和一條千兆連接到核心設(shè)備上，一方面提供足夠的帶寬，一方面提供了線路的冗余備份。因?yàn)榇蟛糠謽菞澖尤虢粨Q機(jī)和匯聚交換機(jī)位于同一個(gè)機(jī)房，所以接入和匯聚采用了雙絞線互聯(lián)的方式；但是部分地區(qū)在不同機(jī)房同時(shí)距離超過(guò)100M所以需要同時(shí)配置光纖口；同時(shí)根據(jù)x.x.x中的需求分析本次方案設(shè)計(jì)要求采用至少5個(gè)光纖口的匯聚交換機(jī)。接入層設(shè)計(jì)接入層，作為用戶的終端接入設(shè)備，需要實(shí)現(xiàn)用戶的高速接入，能夠滿足突發(fā)流量對(duì)帶寬的要求。本次方案設(shè)計(jì)使用了千兆接入交換機(jī)，實(shí)現(xiàn)千兆到桌面的高標(biāo)準(zhǔn)要求。同時(shí)每臺(tái)設(shè)備通過(guò)千兆線路上聯(lián)到匯聚設(shè)備，并且接入設(shè)備上有足夠的端口冗余，一方面保證了臨時(shí)增加終端設(shè)備的需求，一方面可以用來(lái)將來(lái)對(duì)上行帶寬的擴(kuò)展。同時(shí)在接入層需要開(kāi)啟以下功能：對(duì)于接入交換機(jī)的要求首先是需要采用全千兆接入交換機(jī)，來(lái)滿足千兆到桌面的設(shè)計(jì)需求。然后，為了滿足用戶的靈活接入的方式，要求接入交換機(jī)同時(shí)支持802.1X和WEB認(rèn)證的需求；但是有些辦公室可能存在信息點(diǎn)擴(kuò)充的需求，所以要求一個(gè)端口下能夠同時(shí)開(kāi)啟802.1X和WEB認(rèn)證。同時(shí)在接入層需要開(kāi)啟以下功能：開(kāi)啟認(rèn)證為了創(chuàng)造良好和諧的上網(wǎng)氛圍，我們需要對(duì)校園網(wǎng)中的所有用戶進(jìn)行接入認(rèn)證，從而達(dá)到實(shí)名審計(jì)的要求。本方案中支持兩種認(rèn)證方式：802.1X認(rèn)證，Portal認(rèn)證?？梢愿鶕?jù)各個(gè)樓層辦公用戶的實(shí)際情況，靈活選擇接入方式，目前計(jì)劃在學(xué)生宿舍全部采用802.1X認(rèn)證，在非宿舍區(qū)采用WEB認(rèn)證。兩種認(rèn)證方式其中一種認(rèn)證需要安裝客戶端（802.1x），首次安裝稍顯麻煩；其中一種不需用客戶端（Portal），采用WEB認(rèn)證的方式。開(kāi)啟安全防護(hù)所有接入交換機(jī)開(kāi)啟ARP攻擊防御功能，有效阻斷網(wǎng)絡(luò)病毒對(duì)全網(wǎng)照成的影響。開(kāi)啟設(shè)備的CPU保護(hù)功能防止終端發(fā)起的對(duì)網(wǎng)絡(luò)設(shè)備的攻擊，對(duì)攻擊報(bào)文進(jìn)行限速和丟包處理。端口環(huán)路防護(hù)為了防止端口環(huán)路，在所有接入設(shè)備上開(kāi)啟端口環(huán)路防護(hù)功能，一旦下聯(lián)出現(xiàn)環(huán)路，設(shè)備將自動(dòng)關(guān)閉環(huán)路端口，解除環(huán)路造成的廣播風(fēng)暴。防止私接HUB通過(guò)設(shè)置每個(gè)端口僅允許一個(gè)認(rèn)證用戶，保證用戶私自使用HUB進(jìn)行端口擴(kuò)展和代理架設(shè)。開(kāi)啟網(wǎng)絡(luò)管理功能在接入設(shè)備上開(kāi)啟SNMP功能，要求能夠通過(guò)網(wǎng)絡(luò)管理軟件進(jìn)行遠(yuǎn)程管理和控制。根據(jù)xxx學(xué)校的實(shí)際建設(shè)和各信息點(diǎn)的分布，方案對(duì)接入交換機(jī)做了細(xì)致的規(guī)劃。詳細(xì)部署表如下：表STYLEREF1\s5SEQ表格：\*ARABIC\s11交換機(jī)分配表（1號(hào)樓、6至10號(hào)樓）樓號(hào)樓層配樓交換機(jī)放置樓層備注1號(hào)樓18層無(wú)配樓6臺(tái)2、6、10、14、171至16層為S2928G-24P；17至18層為S2928G-12P；24個(gè)有線信息點(diǎn)：RG-S2928G-E6號(hào)樓18層無(wú)配樓6臺(tái)1、3、7、11、15、181層為S2928G-12P（含16個(gè)有線信息點(diǎn)）；2層至17層為S2928G-24P；18層為S2928G-12P；7號(hào)樓13層無(wú)配樓3臺(tái)4、8、123層至13層為S2928G-24P；8號(hào)樓15層無(wú)配樓4臺(tái)4、8、12、153層至14層為S2928G-24P；15層為S2928G-12P；9號(hào)樓17層無(wú)配樓4臺(tái)4、8、12、163層至17層均為S2928G-24P（含地下2個(gè)有線信息點(diǎn)）10號(hào)樓19層無(wú)配樓5臺(tái)3、5、9、13、173層為S2928G-12P（含8個(gè)有線信息點(diǎn)）；4層至19層為S2928G-24P；2號(hào)樓和5號(hào)樓均配置有9層的配樓，每個(gè)配樓有12個(gè)房間，需要配置3個(gè)無(wú)線AP接入點(diǎn)完成無(wú)線的覆蓋，則每層需要的AP數(shù)量為6（主樓AP數(shù)）+3=9臺(tái)無(wú)線AP接入點(diǎn)，表STYLEREF1\s5SEQ表格：\*ARABIC\s12交換機(jī)分配表（2號(hào)樓至5號(hào)樓）樓號(hào)樓層配樓交換機(jī)放置樓層備注2號(hào)樓15層有配樓（9層）6臺(tái)2、6、10、132層和6層部署S2928G-12P和S2928G-24P；10層部署S2928G-24P；13層部署S2928G-24P；3號(hào)樓9層有配樓（9層）5臺(tái)2、6、92層和6層部署S2928G-12P和S2928G-24P；9層部署S2928G-12P；4號(hào)樓9層有配樓（9層）5臺(tái)2、6、92層和6層部署S2928G-12P和S2928G-24P；9層部署S2928G-12P；5號(hào)樓15層有配樓（9層）6臺(tái)2、6、10、132層和6層部署S2928G-12P和S2928G-24P；10層部署S2928G-24P；13層部署S2928G-24P；出口設(shè)計(jì)方案中的出口拓?fù)鋱D如下所示：出口區(qū)出口區(qū)核心匯聚區(qū)InternetCernet圖STYLEREF1\s5SEQ圖示：\*ARABIC\s14出口拓?fù)浼傲髁繄D設(shè)計(jì)校園網(wǎng)出口區(qū)作為校園網(wǎng)的邊界，主要負(fù)責(zé)承擔(dān)邊界網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)、流量控制、安全防護(hù)、安全審計(jì)等功能。校園網(wǎng)出口區(qū)分層功能如下圖所示：圖STYLEREF1\s5SEQ圖示：\*ARABIC\s15出口區(qū)功能表邊界連接層處于邊界網(wǎng)的最外端，是邊界網(wǎng)中的數(shù)據(jù)交換基礎(chǔ)平臺(tái)，此平臺(tái)主要由邊界網(wǎng)中的路由器來(lái)。邊界連接層需要考慮以下三個(gè)方面。邊界連接高性能NAT轉(zhuǎn)發(fā)、基于策略的路由選路PBR部署兩臺(tái)高性能的多功能網(wǎng)關(guān)來(lái)實(shí)現(xiàn)NAT轉(zhuǎn)發(fā)。設(shè)備NAT性能要求如下：每秒高達(dá)30萬(wàn)條的NAT新建連接會(huì)話，在啟用NAT功能并端口線速轉(zhuǎn)發(fā)的情況下，可提供每秒15萬(wàn)的UDP新建連接、14萬(wàn)條的TCP新建全連接。并發(fā)達(dá)到200萬(wàn)條的NAT會(huì)話數(shù)。如果按照每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)150條NAT會(huì)話，則可以同時(shí)支持將近14000臺(tái)的網(wǎng)絡(luò)節(jié)點(diǎn)同時(shí)在線。智能路由選路校園網(wǎng)用戶在訪問(wèn)屬于不同ISP提供的信息資源時(shí)，邊界連接層需要智能的根據(jù)用戶訪問(wèn)的信息資源，選擇不同的ISP（不同的廣域網(wǎng)鏈路）來(lái)進(jìn)行訪問(wèn)。從而避免訪問(wèn)路徑跨越了不同ISP網(wǎng)絡(luò)，確保資源訪問(wèn)效率最大化。多鏈路負(fù)載與備份功能、智能DNS解析我校將通過(guò)ISP線路、教育網(wǎng)線路分別連接至Internet、Cernet。為了提高出口帶寬的整體利用率，同時(shí)提供鏈路冗余備份，邊界連接層必須提供多鏈路負(fù)載均衡與備份功能。在任意一條廣域網(wǎng)鏈路發(fā)生故障時(shí)，能夠自動(dòng)將流量自動(dòng)切換到其他廣域網(wǎng)鏈路。出于對(duì)網(wǎng)絡(luò)出口的性能和可靠性考慮，向多個(gè)運(yùn)營(yíng)商同時(shí)租用多條互聯(lián)網(wǎng)線路的情況在國(guó)內(nèi)是非常普遍的。但是，對(duì)于擁有兩條或兩條以上的互聯(lián)網(wǎng)鏈路的用戶，如何既保證多條鏈路帶寬被充分利用不被浪費(fèi)，又保證對(duì)內(nèi)對(duì)外訪問(wèn)所選擇的路徑是最快速的最優(yōu)的，安全網(wǎng)關(guān)必須支持多鏈路負(fù)載均衡技術(shù)，對(duì)多個(gè)ISP鏈路的可用性和性能進(jìn)行監(jiān)督，對(duì)雙向數(shù)據(jù)流進(jìn)行智能路徑選擇，從而保證用戶擁有最佳的互聯(lián)網(wǎng)接入體驗(yàn)。安全防護(hù)安全防護(hù)，是出口網(wǎng)絡(luò)設(shè)計(jì)中必不可少的內(nèi)容。針對(duì)出口網(wǎng)絡(luò)中所部署的安全防護(hù)，主要有以下三個(gè)方面：報(bào)文過(guò)濾通過(guò)訪問(wèn)控制列表（ACL）實(shí)現(xiàn)了靈活的各種粒度的報(bào)文過(guò)濾,包括：標(biāo)準(zhǔn)ACL、擴(kuò)展ACL。狀態(tài)檢測(cè)基于六元組來(lái)識(shí)別網(wǎng)絡(luò)流量，并針對(duì)每條網(wǎng)絡(luò)流量建立從二層至七層的狀態(tài)信息。并基于這些狀態(tài)信息進(jìn)行各種豐富的安全控制和更深粒度的報(bào)文過(guò)濾，包括：報(bào)頭檢查、IP分片支持、特殊應(yīng)用協(xié)議支持等。攻擊防御基于狀態(tài)檢測(cè)可以防御的各種網(wǎng)絡(luò)攻擊包括：IP畸形包攻擊、IP假冒、TCP劫持入侵、SYNflood、Smurf、PingofDeath、Teardrop、Land、pingflood、UDPFlood等等。審計(jì)系統(tǒng)部署一套日志審計(jì)系統(tǒng)，實(shí)現(xiàn)如下功能：Flow流日志：源IP、目的IP、源端口、目的端口、流起始時(shí)間、結(jié)束時(shí)間、接受字節(jié)數(shù)，發(fā)送字節(jié)數(shù)等關(guān)鍵信息出口NAT日志：經(jīng)過(guò)NAT轉(zhuǎn)換前的源IP地址、源端口，經(jīng)過(guò)NAT轉(zhuǎn)換后的源IP地址、源端口，所訪問(wèn)的目的IP、目的端口、協(xié)議、開(kāi)始時(shí)間、結(jié)束時(shí)間等關(guān)鍵信息設(shè)備日志：設(shè)備狀態(tài)，系統(tǒng)事件日志攻擊日志：設(shè)備網(wǎng)絡(luò)受到攻擊的日志信息和安全運(yùn)營(yíng)計(jì)費(fèi)平臺(tái)無(wú)縫對(duì)接，將用戶認(rèn)證上網(wǎng)信息和出口日志結(jié)合起來(lái)，實(shí)現(xiàn)快速的用戶上網(wǎng)信息統(tǒng)計(jì)和違規(guī)用戶定位。流量控制出口采用萬(wàn)兆流控設(shè)備，對(duì)校園網(wǎng)中的各種應(yīng)用進(jìn)行識(shí)別，要求能夠識(shí)別迅雷、BT、在線視頻、Email、HTTP等等關(guān)鍵應(yīng)用；能夠進(jìn)行分時(shí)段控制不同用戶不同應(yīng)用的帶寬和優(yōu)先級(jí)。主要性能和功能設(shè)計(jì)如下：要求能夠?qū)崿F(xiàn)網(wǎng)絡(luò)實(shí)名制實(shí)名接入：實(shí)現(xiàn)流控與認(rèn)證的融合，可以作為準(zhǔn)出網(wǎng)關(guān)，實(shí)現(xiàn)WebPortal認(rèn)證。與計(jì)費(fèi)系統(tǒng)對(duì)接，可以實(shí)現(xiàn)流量計(jì)費(fèi)、時(shí)長(zhǎng)計(jì)費(fèi)、以及按套餐區(qū)分服務(wù)質(zhì)量等精細(xì)化計(jì)費(fèi)策略。實(shí)名流控：超越普通流控設(shè)備，與身份認(rèn)證系統(tǒng)對(duì)接，能真正實(shí)現(xiàn)基于用戶身份的流控。無(wú)論關(guān)鍵用戶何時(shí)何地、有線無(wú)線接入網(wǎng)絡(luò)，均能實(shí)時(shí)下發(fā)流控策略。實(shí)名日志：與身份認(rèn)證系統(tǒng)結(jié)合，能實(shí)現(xiàn)實(shí)名日志；既能方便定位到人，又具備不可否認(rèn)性。要求能夠識(shí)別以下應(yīng)用協(xié)議：P2P應(yīng)用：Bittorrent、eMule、KAZAA、KURO、NAPSTER、EDONKEY、AUDIOGALAXY、EZPEER、KUGOO、GNUTELLA、VAGAA、SOULSEEK、POCO、PIGO等30多種P2P軟件。IM應(yīng)用：MSN、Yahoo、ICQ、AOL、QQ、YAHOO、WEBIM、IRC、XMPP等10多種主流的IM軟件。視頻/Streaming應(yīng)用：新浪直播、搜狐直播、RTSP、SIP、PPSTREAM、PPLIVE、APPLEQTC、CCIPTV、QUICKTIME、REALPLAYER、MMS、QQlive、H.323等主流的視頻和流媒體應(yīng)用。炒股軟件：大智慧證劵信息平臺(tái)、天一證劵網(wǎng)上交易系統(tǒng)、華泰網(wǎng)上交易分析系統(tǒng)、證券之星等炒股軟件。具有靈活的帶寬設(shè)置策略帶寬嵌套功能，提供自定義Pipe通道、自定義VC通道、最大帶寬限制、ShareRatePool帶寬控制、權(quán)重設(shè)置以及應(yīng)用優(yōu)先級(jí)等一系列的應(yīng)用優(yōu)化和帶寬管理控制功能。將網(wǎng)絡(luò)帶寬的管理從被動(dòng)的、消極的、無(wú)效的傳統(tǒng)模式提升到主動(dòng)的、有效的、智能化的帶寬管理服務(wù)。帶寬租借功能，允許給高優(yōu)先級(jí)用戶預(yù)留的帶寬，在用戶下線時(shí)分配給其它用戶使用；已經(jīng)給高優(yōu)先級(jí)應(yīng)用預(yù)留的帶寬，在流量較低時(shí)允許分配其它應(yīng)用，以此提高帶寬利用率。PerIP限速，不僅支持網(wǎng)段的帶寬控制，同時(shí)支持對(duì)網(wǎng)段內(nèi)每個(gè)用戶配置精細(xì)化管理策略。非對(duì)稱流量識(shí)別，橋接模式下，支持對(duì)不同橋接線路的虛擬化，實(shí)現(xiàn)非對(duì)稱環(huán)境下的應(yīng)用識(shí)別和流量控制。能夠?qū)W(wǎng)絡(luò)流量實(shí)時(shí)監(jiān)控、分析和控制網(wǎng)絡(luò)流量的實(shí)時(shí)采集、監(jiān)控和精細(xì)分析使得網(wǎng)絡(luò)運(yùn)行狀況、應(yīng)用情況、帶寬使用情況等狀況完全可視化基于協(xié)議和基于IP（IPv4、IPv6）地址（用戶）兩種類型的實(shí)時(shí)使用分析器，提供基于源/目的IP地址、服務(wù)端口、應(yīng)用協(xié)議、Session數(shù)以及流量大小等詳細(xì)信息。支持基于用戶時(shí)間、協(xié)議和應(yīng)用等為參數(shù)進(jìn)行靈活的阻斷與允許功能。包括：進(jìn)行上行與下行帶寬控制、進(jìn)行Session數(shù)量控制等。支持組對(duì)象的配置，如定義用戶組（IP組）、協(xié)議組（如P2P協(xié)議組、游戲組）對(duì)同一類型的應(yīng)用、相同級(jí)別的用戶進(jìn)行帶寬管理策略的控制。強(qiáng)大的日志記錄、完善的安全審計(jì)支持上網(wǎng)五元組、HTTP訪問(wèn)的詳細(xì)URL日志記錄功能。支持與日志系統(tǒng)、身份認(rèn)證系統(tǒng)的聯(lián)動(dòng)處理，直接進(jìn)行基于用戶身份的行為審計(jì)。能夠提供豐富的圖表報(bào)告分析和統(tǒng)計(jì)提供一年內(nèi)的應(yīng)用或協(xié)議流量紀(jì)錄，并可生成天、周、月、季度、年時(shí)間段內(nèi)的應(yīng)用及協(xié)議的帶寬使用統(tǒng)計(jì)報(bào)告。包括：總帶寬分析報(bào)表、應(yīng)用帶寬分析報(bào)表、基于協(xié)議的帶寬分析報(bào)表、基于協(xié)議和流量方向（進(jìn)入/出去）的帶寬分析報(bào)表、基于應(yīng)用和流量方向（進(jìn)入/出去）的帶寬分析報(bào)表、基于IP地址的帶寬分析報(bào)表、用戶自定義報(bào)表等等高安全、高可靠性應(yīng)用層防火墻能夠識(shí)別并阻斷黑客的端口掃描以及DoS攻擊行為，支持通過(guò)Session數(shù)控制、帶寬控制來(lái)提高網(wǎng)絡(luò)可用性和安全性。硬件BYPASS告別“串接設(shè)備單點(diǎn)故障”。采用外置光旁路單元和內(nèi)置電口旁路模塊，當(dāng)ACE掉電或發(fā)生故障，毫秒級(jí)的切換保證網(wǎng)絡(luò)隨時(shí)暢通。路由規(guī)劃選擇何種路由協(xié)議，對(duì)于最大程度的發(fā)揮網(wǎng)絡(luò)的效能具有重要意義，因此本次網(wǎng)絡(luò)建設(shè)的路由協(xié)議的選擇也就十分重要。路由協(xié)議選擇原則在大型網(wǎng)絡(luò)中，選擇適當(dāng)?shù)穆酚蓞f(xié)議是非常重要的。目前常用的路由協(xié)議有多種，如RIP、OSPF、IS-IS、BGP、DVMRP、PIM等等。不同的路由協(xié)議有各自的特點(diǎn)，分別適用于不同的條件之下。選擇適當(dāng)?shù)穆酚蓞f(xié)議需要考慮以下因素：路由協(xié)議的開(kāi)放性：開(kāi)放性的路由協(xié)議保證了不同廠商都能對(duì)本路由協(xié)議進(jìn)行支持，這不僅保證了目前網(wǎng)絡(luò)的互通性，而且保證了將來(lái)網(wǎng)絡(luò)發(fā)展的擴(kuò)充能力和選擇空間。網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)直接影響協(xié)議的選擇。例如RIP這樣比較簡(jiǎn)單的路由協(xié)議不支持分層次的路由信息計(jì)算，對(duì)復(fù)雜網(wǎng)絡(luò)的適應(yīng)能力較弱。路由協(xié)議還必須支持網(wǎng)絡(luò)拓?fù)涞淖兓?，在拓?fù)浒l(fā)生變化時(shí)，無(wú)論是對(duì)網(wǎng)絡(luò)中的路由本身，還是網(wǎng)絡(luò)設(shè)備的管理都要使影響最小。網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量：不同的協(xié)議對(duì)于網(wǎng)絡(luò)規(guī)模的支持能力有所不同，需要按需求適當(dāng)選擇，有時(shí)還需要采用一些特殊技術(shù)解決適應(yīng)網(wǎng)絡(luò)規(guī)模方面的擴(kuò)展性問(wèn)題。對(duì)于本網(wǎng)絡(luò)，在選擇路由協(xié)議時(shí)不能只看眼前，還要充分考慮今后的擴(kuò)展性與其他網(wǎng)絡(luò)的互連要求：通過(guò)劃分成相對(duì)獨(dú)立管理的網(wǎng)絡(luò)區(qū)域，可以減少網(wǎng)絡(luò)間的相關(guān)性，有利于網(wǎng)絡(luò)的擴(kuò)展，路由協(xié)議要能支持減少網(wǎng)絡(luò)間的相關(guān)性，是通常劃分為一個(gè)自治系統(tǒng)（AS），在AS之間需要采用適當(dāng)?shù)膮^(qū)域間路由協(xié)議。必要時(shí)還要考慮路由信息安全因素和對(duì)路由交換的限制管理。管理和安全上的要求：通常要求在可以滿足功能需求的情況下盡可能簡(jiǎn)化管理。但有時(shí)為了實(shí)現(xiàn)比較完善的管理功能或?yàn)榱藵M足安全的需要，例如對(duì)路由的傳播和選用提出一些人為的要求，就需要路由協(xié)議對(duì)策略的支持。路由協(xié)議選擇考慮到協(xié)議的通用性、標(biāo)準(zhǔn)性以信息網(wǎng)的網(wǎng)絡(luò)規(guī)模，建議在本次網(wǎng)絡(luò)建設(shè)中選擇OSPF作為未來(lái)網(wǎng)絡(luò)動(dòng)態(tài)路由協(xié)議，選擇OSPF主要有以下幾個(gè)原因：標(biāo)準(zhǔn)開(kāi)放性及成熟性

OSPF是開(kāi)放的標(biāo)準(zhǔn)協(xié)議，受到廣大廠家設(shè)備及組織的支持，也是目前網(wǎng)絡(luò)構(gòu)建中用得最多的協(xié)議，也是在企業(yè)網(wǎng)中應(yīng)用最廣泛的IGP協(xié)議；因此其性能是經(jīng)受過(guò)考驗(yàn)及驗(yàn)證的。擴(kuò)展能力分域功能非常適合網(wǎng)絡(luò)擴(kuò)展

OSPF提供分域功能一方面保證路由轉(zhuǎn)發(fā)效率，另一方面要提供很好的網(wǎng)絡(luò)擴(kuò)展能力。骨干網(wǎng)詳細(xì)路由規(guī)劃全網(wǎng)采用OSPF多區(qū)域進(jìn)行部署，總共有5個(gè)區(qū)域，中心區(qū)域?yàn)閍rea0，周圍為area1-4連接到area0，通過(guò)area0相互互訪。為了減少路由的條目和路由收斂，area1-4采用NSSA特殊區(qū)域，并且在區(qū)域1-4的匯聚ABR設(shè)備上進(jìn)行路由匯總。area0核心交換機(jī)之間采用area0area1學(xué)生宿舍樓棟匯聚交換機(jī)為了減少路由條目和減輕路由震蕩，area1采用NSSA區(qū)域，每個(gè)場(chǎng)館重分布一條指向null0的匯總靜態(tài)路由。area2圖書館、實(shí)驗(yàn)樓、行政樓樓棟匯聚交換機(jī)為了減少路由條目和減輕路由震蕩，area2采用NSSA區(qū)域，每個(gè)場(chǎng)館重分布一條指向null0的匯總靜態(tài)路由。area3教學(xué)樓、培訓(xùn)樓、教師宿舍樓棟匯聚交換機(jī)為了減少路由條目和減輕路由震蕩，area3采用NSSA區(qū)域，每個(gè)場(chǎng)館重分布一條指向null0的匯總靜態(tài)路由。area4校園網(wǎng)出口區(qū)路由器area4的兩臺(tái)路由器為asbr路由器，把校園網(wǎng)外部的路由引入到as中。internet出口ISP互聯(lián)路由策略信息網(wǎng)網(wǎng)絡(luò)出口區(qū)通過(guò)2臺(tái)高性能路由器及防火墻分別連接Internet、Cernet，完成IPV4和IPV6的外網(wǎng)互通。部署策略路由：訪問(wèn)目的為internet的，優(yōu)先選擇電信鏈路；cernet鏈路做為備份鏈路；訪問(wèn)目的為教育網(wǎng)的，優(yōu)先選擇與cernet鏈路，電信鏈路做為備份鏈路；路由冗余規(guī)劃核心交換機(jī)—出口路由器2條冗余路徑核心交換機(jī)—樓棟匯聚交換機(jī)2條冗余路徑。無(wú)線熱點(diǎn)部署設(shè)計(jì)建設(shè)XXX大學(xué)校園無(wú)線校園網(wǎng)絡(luò)，除了要滿足學(xué)生容量的現(xiàn)狀與未來(lái)幾年內(nèi)的發(fā)展之外，還需要根據(jù)無(wú)線網(wǎng)絡(luò)自身的特點(diǎn)，為其設(shè)計(jì)規(guī)劃一個(gè)與“有線無(wú)線網(wǎng)絡(luò)融合、一體化管理、高帶寬、大范圍覆蓋、安全可信”的無(wú)線覆蓋網(wǎng)絡(luò)，無(wú)線網(wǎng)絡(luò)規(guī)劃將從無(wú)線信道帶寬保障、重點(diǎn)區(qū)域覆蓋、安全可信、認(rèn)證及網(wǎng)絡(luò)管理充分融合等多方面綜合考慮。無(wú)線覆蓋指標(biāo)要求無(wú)線覆蓋信號(hào)覆蓋區(qū)域信號(hào)強(qiáng)度不低于-75dBm，信噪比SNR≥20。業(yè)務(wù)使用較為集中區(qū)域的接入速率應(yīng)不低于140Mbps。室內(nèi)分布系統(tǒng)天線的等效全向輻射功率≥7dBm。室外分布系統(tǒng)天線、獨(dú)立WLAN天線的等效全向輻射功率≥22dBm。室外覆蓋方式時(shí)，WLAN無(wú)線信號(hào)一般按穿透一堵墻設(shè)計(jì)。容量計(jì)算當(dāng)無(wú)線覆蓋區(qū)域并發(fā)學(xué)生超過(guò)30個(gè)，需預(yù)先考慮每層分布系統(tǒng)按雙路設(shè)計(jì)，初期考慮單AP加功分器，增加覆蓋范圍。待業(yè)務(wù)量發(fā)展后，考慮增加AP部署密度。工作頻段與頻點(diǎn)規(guī)劃依照WLAN的國(guó)際規(guī)范和國(guó)際無(wú)線電管理委員會(huì)的標(biāo)準(zhǔn)，WLAN無(wú)線設(shè)備的工作頻段為2400-2483.5MHz，帶寬83.5MHz，劃分為14個(gè)子信道，每個(gè)子頻道帶寬為22MHz,最多有13個(gè)信道可用。頻道分配如下圖所示：圖STYLEREF1\s5SEQ圖示：\*ARABIC\s16無(wú)線頻段在多個(gè)頻道同時(shí)工作的情況下，為保證頻道之間不互相干擾，要求兩個(gè)頻道的中心頻率間隔不能低于25MHz?？紤]參照北美標(biāo)準(zhǔn)設(shè)計(jì)的許多WLAN設(shè)備和終端（比如網(wǎng)卡）不能使用12、13信道做為學(xué)生信道，因此建議一般選用1/6/11信道。802.11g使用開(kāi)放的2.4GHzISM頻段，可工作的信道數(shù)為歐洲標(biāo)準(zhǔn)信道數(shù)13個(gè)。由于其支持直序擴(kuò)頻技術(shù)造成相鄰頻點(diǎn)之間存在重疊。對(duì)于真正相互不重疊信道只有相隔5個(gè)信道的工作中心頻點(diǎn)。因此對(duì)于802.11g在2.4GHz地工作頻段，理論上只能進(jìn)行三信道的蜂窩規(guī)劃實(shí)現(xiàn)對(duì)需要規(guī)劃的熱點(diǎn)的無(wú)縫覆蓋。部署雙頻點(diǎn)的無(wú)線接入點(diǎn)，802.11n同時(shí)工作在2.4GHz和5GHz頻點(diǎn)；5GHz：更多的頻譜資源-數(shù)量較多的不沖突頻點(diǎn)，更少的干擾（藍(lán)牙、微波爐），從40MHz信道綁定獲得最高的性能，很多802.11n的客戶端只有在5GHz頻段上支持40MHz；2.4GHz：采用2.4GHz頻點(diǎn)，兼容原有的802.11a、b/g的客戶端；不建議在2.4GHz頻點(diǎn)使用40MHz信道綁定，大部分客戶端不支持；避免了802.11a、b/g與802.11n混用，降低性能。通過(guò)對(duì)XXX學(xué)校實(shí)地的無(wú)線地勘，發(fā)現(xiàn)目前樓宇內(nèi)已經(jīng)部署聯(lián)通的無(wú)線信號(hào)，故在本次無(wú)線項(xiàng)目實(shí)施過(guò)程中，將根據(jù)目前發(fā)現(xiàn)樓宇內(nèi)存在的無(wú)線信號(hào)所使用的頻段，進(jìn)行靈活調(diào)配，將無(wú)線信號(hào)干擾降到最低。覆蓋效果計(jì)算AP的信號(hào)總強(qiáng)度公式：Gt－Gr＋AP天線增益＋終端天線增益＝L信號(hào)總強(qiáng)度（dB）。表STYLEREF1\s5SEQ表格：\*ARABIC\s13無(wú)線信號(hào)強(qiáng)度計(jì)算參數(shù)AP部署空曠區(qū)域，20-25米遠(yuǎn)，筆記本無(wú)線接入計(jì)算（基于dBm）無(wú)線AP發(fā)射功率100mW發(fā)射功率（高調(diào)制速率時(shí)發(fā)射功率會(huì)下降2－5db）20增項(xiàng)室內(nèi)定向發(fā)射天線增益12dBi12筆記本天線增益2dBi2減項(xiàng)參考平均3米7D饋線損耗；-10一般情況：由于天線不對(duì)正，不再主波瓣情況的調(diào)整-52.4G/5.8G空間傳播20米-66/-74（2.4G10米60dB，5.8G10米68dB，每1倍變化差6dB）各種衰落/波動(dòng)影響（室內(nèi)、市區(qū)<15dB)-15根據(jù)較壞情況接受電平RSSI＝發(fā)射功率＋增項(xiàng)＋減項(xiàng)－（－95dBm）33/25計(jì)算的RSSIRSSI為20以上可以實(shí)現(xiàn)滿速率，RSSI為16是較好，RSSI為13是可以連接的，RSSI在5－10連接很不穩(wěn)定信號(hào)質(zhì)量好可以達(dá)到滿速率不同場(chǎng)景下的無(wú)線部署小開(kāi)間密集應(yīng)用場(chǎng)景——智分解決方案場(chǎng)景舉例：宿舍、醫(yī)院病房場(chǎng)景特點(diǎn)：狹長(zhǎng)走廊：無(wú)線信號(hào)在狹長(zhǎng)的空間中被來(lái)回的反射，形成“多徑干擾”信號(hào)覆蓋：墻壁厚、獨(dú)立衛(wèi)生間、信號(hào)穿不透。性能要求：宿舍網(wǎng)人數(shù)多，醫(yī)療傳遞圖片多，對(duì)無(wú)線的性能要求高。解決方案：AP智分方式綜合了放裝解決方案和室分解決方案的優(yōu)點(diǎn)，并加以改良。整體方案由無(wú)線控制器，智分AP，饋線，智能天線4部分組成，無(wú)需外置功分器、耦合器等。部署簡(jiǎn)單，易于管理和維護(hù)，也節(jié)省了成本。同時(shí)由于集成了兩塊射頻卡，使得性能不再成為瓶頸。非常適合宿舍網(wǎng)這樣的密集部署環(huán)境。智分方式為銳捷網(wǎng)絡(luò)獨(dú)有的部署方式，目前的智分部署可實(shí)現(xiàn)三種靈活的變化：圖STYLEREF1\s5SEQ圖示：\*ARABIC\s17智分部署的三種模式一套智分系統(tǒng)如上圖所示，支持三種部署方式，分別是1分4雙頻雙流，1分8雙頻單流和1分8單頻單流。用戶可根據(jù)自己的預(yù)算和實(shí)際情況進(jìn)行靈活部署?？紤]到一期經(jīng)費(fèi)有限，學(xué)校宿舍總數(shù)又較多，未來(lái)數(shù)字化校園建設(shè)起來(lái)后，無(wú)線用戶數(shù)將呈現(xiàn)爆發(fā)式增長(zhǎng)，我們建議可先部署1分8單頻單流，未來(lái)只需通過(guò)軟件進(jìn)行命令行配置就可直接升級(jí)到1分8雙頻單流模式，如果再擴(kuò)容1套饋線和AP，則可平滑切換到1分4雙頻雙流部署方式（天線不變），即有效的保護(hù)了投資，也滿足了學(xué)校的業(yè)務(wù)發(fā)展。最終實(shí)現(xiàn)的1分4部署可提供2.4GHz的144Mbps理論接入速率加上5.8GHz的300Mbps理論接入速率。4間宿舍的所有用戶共享這444Mbps的理論接入性能，適用于對(duì)無(wú)線性能有極高要求的場(chǎng)景。具體部署方式如下所示：圖STYLEREF1\s5SEQ圖示：\*ARABIC\s18智分部署示意圖無(wú)線AP數(shù)量：根據(jù)地勘的情況，宿舍樓適合使用智分部署模式，其AP分布要求如下表所示。地勘的詳細(xì)情況參見(jiàn)附錄二。表STYLEREF1\s5SEQ表格：\*ARABIC\s14宿舍樓AP數(shù)量分布樓體樓層部署AP的樓層AP的數(shù)量（臺(tái)）7號(hào)樓13層11層668號(hào)樓15層13層789號(hào)樓17層15層9010號(hào)樓19層17層102總計(jì)336大開(kāi)間密集應(yīng)用場(chǎng)景——靈動(dòng)天線解決方案場(chǎng)景舉例：會(huì)場(chǎng)、圖書館、梯形大教室場(chǎng)景特點(diǎn)：人數(shù)多：用戶密度高，對(duì)用戶性能要求高空間大：面積大，比較空曠便利性：終端種類多，移動(dòng)性強(qiáng)解決方案：辦公教學(xué)樓和圖書館區(qū)可采用高性能的802.11AC產(chǎn)品和會(huì)思考的的靈動(dòng)天線，11AC最大速度1300Mbps，靈動(dòng)天線徹底解決傳統(tǒng)天線存在覆蓋盲區(qū)的弱點(diǎn)；快速、準(zhǔn)確的識(shí)別到你的終端類型，如果是使用功率較低的手機(jī)、平板電腦等移動(dòng)終端時(shí)，X-sense能夠通過(guò)動(dòng)態(tài)信號(hào)補(bǔ)償技術(shù)辦公教學(xué)樓和圖書館采用放裝式吊頂部署，AP放置于天花板上，部分樓宇由于層高較高，為了保證覆蓋效果，可考慮放裝式壁掛部署。無(wú)線AP數(shù)量:根據(jù)地勘的情況，會(huì)場(chǎng)、圖書館樓適合使用智分部署模式，其AP分布要求如下表所示。地勘的詳細(xì)情況參見(jiàn)附錄二。表STYLEREF1\s5SEQ表格：\*ARABIC\s15會(huì)場(chǎng)、圖書館樓AP數(shù)量分布樓體樓層部署AP的樓層AP的數(shù)量（臺(tái)）XXX樓13層11層66XXX樓15層13層78XXX樓17層15層90XXX樓19層17層102總計(jì)336小開(kāi)間稀疏應(yīng)用場(chǎng)景——WALLAP解決方案場(chǎng)景舉例：辦公室、酒店場(chǎng)景特點(diǎn)：信號(hào)要求高：承重厚墻，筒子樓的格局，對(duì)無(wú)線覆蓋效果影響很大美觀性：不能破壞整體裝修、對(duì)美觀性要求非常高用戶少：智能樓宇、酒店用戶不多，性能要求沒(méi)那么高解決方案：辦公室、酒店采用面板式AP進(jìn)行部署，面板式AP采用標(biāo)準(zhǔn)的86開(kāi)關(guān)面板盒規(guī)格，而且還集成了以太網(wǎng)口和IP電話接口。部署簡(jiǎn)便，設(shè)備美觀，整個(gè)部署過(guò)程只需要三步就能快速實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)覆蓋。第一步、拆去房間內(nèi)原有的有線網(wǎng)絡(luò)的接口面板；第二步、更換原接入交換機(jī)為POE交換機(jī)；第三步、將原有網(wǎng)線插在迷你型AP110上并直接安裝就能即插即用。它打破了以往無(wú)線網(wǎng)絡(luò)建設(shè)的老舊方式，無(wú)需再拉新的網(wǎng)線，而是有效利用了既有的網(wǎng)絡(luò)，將網(wǎng)絡(luò)新建對(duì)房間環(huán)境的影響降到最低，美觀性很好。無(wú)線AP數(shù)量:根據(jù)地勘的情況，辦公室適合使用智分部署模式，其AP分布要求如下表所示。地勘的詳細(xì)情況參見(jiàn)附錄二。表STYLEREF1\s5SEQ表格：\*ARABIC\s16辦公室AP數(shù)量分布樓體樓層部署AP的樓層AP的數(shù)量（臺(tái)）XXX樓13層11層66XXX樓15層13層78XXX樓17層15層90XXX樓19層17層102總計(jì)336公共場(chǎng)所應(yīng)用——室外AP解決方案場(chǎng)景特點(diǎn)：條件惡劣：雷擊、雨水、高溫信號(hào)遠(yuǎn)：遠(yuǎn)距離覆蓋用戶少：室外人數(shù)不多，性能要求不是很高解決方案：室外區(qū)域分布有較高、密集的建筑群和植物群，這對(duì)于信號(hào)的阻擋將是較大的障礙。因此，應(yīng)當(dāng)選用專用的室外大功率無(wú)線AP產(chǎn)品，配置使用定向天線，可以保證無(wú)障礙下的300米半徑覆蓋以及近距離的多重障礙物的穿透能力，完全保證了室外區(qū)域的信號(hào)覆蓋品質(zhì)，同時(shí)設(shè)備本省具備抗雷擊、防雨、防潮、抗高低溫、阻燃等多項(xiàng)指標(biāo)，無(wú)線室外覆蓋，建議部署在校內(nèi)的制高點(diǎn)上，同時(shí)采用全向或定向天線向進(jìn)行無(wú)線覆蓋。無(wú)線AP數(shù)量:根據(jù)地勘的情況，會(huì)場(chǎng)、圖書館樓適合使用智分部署模式，其AP分布要求如下表所示。地勘的詳細(xì)情況參見(jiàn)附錄二。表STYLEREF1\s5SEQ表格：\*ARABIC\s17室外AP數(shù)量分布區(qū)域位置部署AP的樓層AP的數(shù)量（臺(tái)）XXX區(qū)XXX11層66XXX區(qū)XXX13層78XXX區(qū)XXX15層90XXX區(qū)XXX17層102總計(jì)336無(wú)線接入認(rèn)證設(shè)計(jì)終端智能識(shí)別的WEB認(rèn)證無(wú)線網(wǎng)絡(luò)在提供便捷網(wǎng)絡(luò)服務(wù)的同時(shí)，仍需確保只有合法的用戶才能使用無(wú)線網(wǎng)絡(luò)。WEB認(rèn)證就是一種對(duì)用戶訪問(wèn)網(wǎng)絡(luò)的權(quán)限進(jìn)行控制的身份認(rèn)證方法，這種認(rèn)證方法不需要用戶安裝專用的客戶端認(rèn)證軟件，使用普通的瀏覽器軟件就可以進(jìn)行身份認(rèn)證，是目前無(wú)線主流的認(rèn)證方式之一。而且隨著近年來(lái)iPhone、iPad、Android、WindowsPhone等各種智能能移動(dòng)終端的日益普及，網(wǎng)絡(luò)中不再是清一色的筆記本電腦終端。一個(gè)智能的無(wú)線網(wǎng)絡(luò)，必須能夠考慮到不同的終端類型、屏幕尺寸對(duì)Portal認(rèn)證頁(yè)面的不同要求，實(shí)時(shí)地對(duì)各種終端類型進(jìn)行識(shí)別，并推送符合終端屏幕尺寸的WEBPortal頁(yè)面，使用戶能夠更為便捷的輸入用戶名及密碼，提升無(wú)線用戶體驗(yàn)。銳捷網(wǎng)絡(luò)的無(wú)線控制器不僅支持終端自動(dòng)識(shí)別功能和WEBPortal頁(yè)面推送，而且推送的認(rèn)證頁(yè)面還可以根據(jù)用戶自定義放置一些廣告、通知、業(yè)務(wù)鏈接等，提供更多個(gè)性化服務(wù)。若配合銳捷SMP認(rèn)證服務(wù)器還可實(shí)現(xiàn)基于終端類型的角色、訪問(wèn)權(quán)限的劃分等，幫助網(wǎng)絡(luò)運(yùn)維人員實(shí)現(xiàn)更為精細(xì)化的無(wú)線用戶管理。圖STYLEREF1\s5SEQ圖示：\*ARABIC\s19自適應(yīng)認(rèn)證頁(yè)面基于802.1X的無(wú)感知認(rèn)證IEEE802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議，主要目的是為了解決無(wú)線用戶的接入認(rèn)證問(wèn)題。對(duì)于基于802.11系列標(biāo)準(zhǔn)的無(wú)線局域網(wǎng)，通過(guò)對(duì)無(wú)線用戶的身份驗(yàn)證，無(wú)線網(wǎng)絡(luò)可以打開(kāi)或關(guān)閉無(wú)線終端接入的接口，同時(shí)還可以根據(jù)其身份屬性，為其分配動(dòng)態(tài)角色和VLAN，確保用戶終端接入的安全性。在安全性上，WEBPortal認(rèn)證不提供密鑰的生成和交換機(jī)制，因此所有的用戶流量都是以明文方式傳輸?shù)模菀妆唤孬@和偵聽(tīng)；802.1X（WPA2-AES）符合802.11i安全標(biāo)準(zhǔn)，在用戶認(rèn)證的基礎(chǔ)上，對(duì)每個(gè)報(bào)文采用不同的密鑰進(jìn)行逐包加密，具有更高的安全性。在便捷性上，WEBPortal認(rèn)證直接通過(guò)瀏覽器輸入用戶名及密碼，整個(gè)操作過(guò)程較為簡(jiǎn)單快捷；普通的802.1X認(rèn)證一般需要安裝認(rèn)證客戶端或?qū)Σ僮飨到y(tǒng)原生認(rèn)證客戶端進(jìn)行配置等，操作過(guò)程較為復(fù)雜，用戶體驗(yàn)相對(duì)較差。為了保證無(wú)線用戶接入同時(shí)具有較高安全性和便捷性，銳捷網(wǎng)絡(luò)在BYOD（Bringyourowndevice）解決方案中提出了基于802.1X的無(wú)感知認(rèn)證技術(shù)，用戶只需要在第一次認(rèn)證中安裝一個(gè)快速1X配置助手，并完成首次用戶名及密碼的輸入，以后無(wú)線終端只要發(fā)現(xiàn)無(wú)線信號(hào)，就會(huì)自動(dòng)進(jìn)行802.1X的接入認(rèn)證并連接無(wú)線網(wǎng)絡(luò)，真正實(shí)現(xiàn)“一次登陸，三步操作，后續(xù)無(wú)憂”，帶給用戶最佳的使用體驗(yàn)。圖STYLEREF1\s5SEQ圖示：\*ARABIC\s110步驟1：連接無(wú)感知認(rèn)證的SSID后選擇1X快速配置助手圖STYLEREF1\s5SEQ圖示：\*ARABIC\s111步驟2：確認(rèn)運(yùn)行快速配置助手圖STYLEREF1\s5SEQ圖示：\*ARABIC\s112步驟3：輸入完后用戶名和密碼后，即可訪問(wèn)WLAN圖STYLEREF1\s5SEQ圖示：\*ARABIC\s113手機(jī)無(wú)感知認(rèn)證過(guò)程訪客二維碼認(rèn)證XXXX經(jīng)常會(huì)舉辦大型的學(xué)術(shù)交流會(huì)議，接待來(lái)訪的嘉賓，并需為其提供快捷的無(wú)線上網(wǎng)服務(wù)。而傳統(tǒng)的無(wú)線網(wǎng)絡(luò)一般會(huì)在會(huì)議室、禮堂、大廳等訪客接待區(qū)域啟用一個(gè)基于PSK認(rèn)證的WLAN，并在可視區(qū)域貼放這個(gè)WLAN對(duì)應(yīng)共享密碼，訪客的體驗(yàn)也是較為麻煩，不友好等，而且這個(gè)密碼極易擴(kuò)散，網(wǎng)絡(luò)安全得不到保證，網(wǎng)絡(luò)運(yùn)維人員需定期的更換這個(gè)WLAN的密碼和對(duì)應(yīng)的標(biāo)貼，極大的增加網(wǎng)絡(luò)運(yùn)維難度。圖STYLEREF1\s5SEQ圖示：\*ARABIC\s114傳統(tǒng)WLAN提供的密碼標(biāo)貼銳捷網(wǎng)絡(luò)提出了更為先進(jìn)的訪客接待解決方案——二維碼認(rèn)證。訪客使用移動(dòng)智能終端訪問(wèn)無(wú)線網(wǎng)絡(luò)后，銳捷網(wǎng)絡(luò)的認(rèn)證系統(tǒng)將生成專用的二維碼推送到訪客的終端上，如圖5-15步驟1。負(fù)責(zé)接待的員工使用自己的已認(rèn)證通過(guò)的合法終端對(duì)訪客的二維碼進(jìn)行掃描并自動(dòng)反饋到認(rèn)證系統(tǒng)，如圖5-15步驟2。認(rèn)證系統(tǒng)記錄下訪客和對(duì)應(yīng)接待者的身份信息并確認(rèn)臨時(shí)開(kāi)戶，訪客和接待者收到反饋后即可直接訪問(wèn)網(wǎng)絡(luò)，如圖5-15步驟3。僅需“掃一掃”就可便捷的為訪客提供無(wú)線網(wǎng)絡(luò)服務(wù)，這是無(wú)線認(rèn)證技術(shù)為提供用戶體驗(yàn)的又一次創(chuàng)新。圖STYLEREF1\s5SEQ圖示：\*ARABIC\s115二維碼認(rèn)證過(guò)程用戶短信自助注冊(cè)認(rèn)證在機(jī)場(chǎng)、車站、商場(chǎng)等開(kāi)放式公共區(qū)域經(jīng)常會(huì)提供免費(fèi)的WLAN，但這又需要考慮接入用戶及終端的安全，并實(shí)現(xiàn)可追溯。銳捷網(wǎng)絡(luò)專門為這種用戶場(chǎng)景推出了用戶短信自助注冊(cè)的認(rèn)證方式。用戶使用移動(dòng)智能終端連接公共區(qū)域開(kāi)啟用戶短信自助認(rèn)證功能的WLAN后，該WLAN會(huì)在用戶進(jìn)行HTTP訪問(wèn)后推送出一個(gè)WEBPortal頁(yè)面，頁(yè)面上會(huì)需要用戶輸入自己的手機(jī)號(hào)碼作為用戶名，認(rèn)證系統(tǒng)獲取到該信息后通過(guò)短信網(wǎng)關(guān)向該手機(jī)發(fā)送隨機(jī)登陸密碼并設(shè)上一定的失效時(shí)間，用戶最終在認(rèn)證頁(yè)面上輸入手機(jī)短信上的密碼即可完成接入認(rèn)證，并可進(jìn)行無(wú)線網(wǎng)絡(luò)訪問(wèn)。一個(gè)短信，即可便捷與安全的實(shí)現(xiàn)用戶自助注冊(cè)認(rèn)證。圖STYLEREF1\s5SEQ圖示：\*ARABIC\s116用戶短信自助注冊(cè)認(rèn)證過(guò)程計(jì)費(fèi)運(yùn)營(yíng)系統(tǒng)為了實(shí)現(xiàn)XXX高校網(wǎng)絡(luò)的有線無(wú)線一體化運(yùn)營(yíng)管理，確保網(wǎng)絡(luò)安全與數(shù)據(jù)安全。銳捷SAM認(rèn)證計(jì)費(fèi)系統(tǒng)可靈活采用準(zhǔn)入準(zhǔn)出認(rèn)證計(jì)費(fèi)，通過(guò)強(qiáng)大而靈活的綁定設(shè)置，有線方面可以實(shí)現(xiàn)用戶帳號(hào)、用戶IP、用戶MAC、NASIP、NASPort的綁定，無(wú)線方面可以實(shí)現(xiàn)帳號(hào)、用戶MAC、NASIP、SSID、APMAC等綁定，最大程度上保證了用戶入網(wǎng)身份唯一。圖STYLEREF1\s5SEQ圖示：\*ARABIC\s117多維度賬號(hào)信息捆綁不僅如此，SAM通過(guò)自定義計(jì)費(fèi)策略配置為用戶提供靈活、強(qiáng)大的計(jì)費(fèi)策略配置，滿足用戶不同的計(jì)費(fèi)要求；例如：周期、流量、計(jì)時(shí)計(jì)費(fèi)三種方式可以組合成一種或幾種計(jì)費(fèi)策略，還提供周期不使用不扣費(fèi)及復(fù)合分段計(jì)費(fèi)等配置，為網(wǎng)絡(luò)管理運(yùn)營(yíng)提供多種計(jì)費(fèi)方式

加上包月限無(wú)線流量，包月計(jì)無(wú)線流量部分。圖STYLEREF1\s5SEQ圖示：\*ARABIC\s118豐富的計(jì)費(fèi)策略而差異化的運(yùn)營(yíng)管理是SAM的有一大價(jià)值，分區(qū)域精細(xì)化管理，按照區(qū)域劃分服務(wù)，不同的用戶在不同的區(qū)域可以實(shí)現(xiàn)不同的服務(wù)，實(shí)現(xiàn)了精細(xì)化管理的理念。例如：在教學(xué)區(qū)、宿舍區(qū)和公共機(jī)房，分別是無(wú)線和有線接入，一個(gè)學(xué)生使用同一賬戶可以使用不同接入控制和相應(yīng)的計(jì)費(fèi)策略。圖STYLEREF1\s5SEQ圖示：\*ARABIC\s119用戶角色劃分與第三方認(rèn)證系統(tǒng)對(duì)接（標(biāo)準(zhǔn)RADIUS對(duì)接）注意：本小節(jié)與5.4.7、5.4.8小節(jié)一般只能三選一。XXXX學(xué)?，F(xiàn)有網(wǎng)絡(luò)中已經(jīng)使用了第三方認(rèn)證系統(tǒng)，而新建的無(wú)線網(wǎng)絡(luò)需要和它進(jìn)行對(duì)接，實(shí)現(xiàn)全網(wǎng)統(tǒng)一的認(rèn)證計(jì)費(fèi)。銳捷網(wǎng)絡(luò)的無(wú)線設(shè)備支持標(biāo)準(zhǔn)的RADIUS接口，能夠?qū)崿F(xiàn)和支持標(biāo)準(zhǔn)RADIUS的第三方認(rèn)證系統(tǒng)實(shí)現(xiàn)無(wú)縫對(duì)接。不僅如此，銳捷網(wǎng)絡(luò)的無(wú)線設(shè)備還支持WindowsAD域認(rèn)證、通過(guò)LDAP服務(wù)器認(rèn)證、遠(yuǎn)程數(shù)據(jù)庫(kù)聯(lián)動(dòng)、遠(yuǎn)程WEB服務(wù)器聯(lián)動(dòng)等多種認(rèn)證聯(lián)動(dòng)方式，保護(hù)XXXX學(xué)校的投資。與第三方認(rèn)證系統(tǒng)對(duì)接（運(yùn)營(yíng)商的對(duì)接）XXXX學(xué)校的無(wú)線網(wǎng)絡(luò)統(tǒng)一由運(yùn)營(yíng)商投資建設(shè)，不僅為學(xué)校提供WLAN覆蓋同時(shí)，也廣播運(yùn)營(yíng)商的SSID。而這就意味學(xué)?，F(xiàn)網(wǎng)的WLAN設(shè)備需要和運(yùn)營(yíng)商的計(jì)費(fèi)系統(tǒng)進(jìn)行對(duì)接；亦或是流將量直接透?jìng)髦吝\(yùn)營(yíng)商的網(wǎng)絡(luò)，由運(yùn)營(yíng)商的自行進(jìn)行認(rèn)證，如下圖所示。圖STYLEREF1\s5SEQ圖示：\*ARABIC\s120AC作為運(yùn)營(yíng)商認(rèn)證系統(tǒng)的NAS圖STYLEREF1\s5SEQ圖示：\*ARABIC\s121無(wú)線進(jìn)行透?jìng)麂J捷網(wǎng)絡(luò)的無(wú)線設(shè)備全面支持與移動(dòng)兩種對(duì)接方式，而且聯(lián)通和電信也可通過(guò)第二種方式實(shí)現(xiàn)認(rèn)證對(duì)接。與第三方認(rèn)證系統(tǒng)對(duì)接（深瀾認(rèn)證系統(tǒng)無(wú)縫對(duì)接）目前XXX大學(xué)校園網(wǎng)已經(jīng)部署了深瀾安全認(rèn)證網(wǎng)關(guān)，通過(guò)該套系統(tǒng)對(duì)校內(nèi)所有師生接入校園網(wǎng)之前進(jìn)行身份確認(rèn)的工作。由于深瀾安全認(rèn)證網(wǎng)關(guān)在對(duì)學(xué)生進(jìn)行認(rèn)證的時(shí)候，采用的是標(biāo)準(zhǔn)的radius協(xié)議，屬于業(yè)內(nèi)通用、標(biāo)準(zhǔn)的身份認(rèn)證協(xié)議，銳捷網(wǎng)絡(luò)的無(wú)線AP能夠無(wú)縫的與radius協(xié)議進(jìn)行對(duì)接，確保XXX大學(xué)XXX園區(qū)學(xué)生公寓內(nèi)的學(xué)生在接入到校園網(wǎng)的時(shí)候，采用XXX大學(xué)目前使用的統(tǒng)一的身份認(rèn)證系統(tǒng)。銳捷網(wǎng)絡(luò)成功的服務(wù)于高校行業(yè)10多年，協(xié)助各類高校完成了校園網(wǎng)的建設(shè)，同時(shí)深瀾也扎根與高校行業(yè)多年，在客戶層面上有重疊。銳捷網(wǎng)絡(luò)與深瀾產(chǎn)品對(duì)接方面，有很多案例，在河南科技大學(xué)就是采用這樣的模式，同時(shí)銳捷網(wǎng)絡(luò)產(chǎn)品研發(fā)中心就在北京，對(duì)于在產(chǎn)品對(duì)接過(guò)程中如果存在任何問(wèn)題，可以第一時(shí)間為學(xué)生提供解決方案，確保學(xué)生網(wǎng)絡(luò)正常、穩(wěn)定的運(yùn)行。無(wú)線安全技術(shù)設(shè)計(jì)通常情況下，安全認(rèn)證工作由網(wǎng)關(guān)類設(shè)備完成，對(duì)于XXX大學(xué)XXX園區(qū)部署的無(wú)線網(wǎng)絡(luò)，作為校園網(wǎng)的一部分，必須確保接入改網(wǎng)絡(luò)用戶的合法性。由于無(wú)線信號(hào)的公開(kāi)性，采取傳統(tǒng)的網(wǎng)關(guān)認(rèn)證的模式，將所有的認(rèn)證數(shù)據(jù)集中在網(wǎng)關(guān)設(shè)備進(jìn)行，只能限制學(xué)生訪問(wèn)數(shù)據(jù)經(jīng)過(guò)認(rèn)證網(wǎng)關(guān)的情況，而對(duì)于不經(jīng)過(guò)認(rèn)證網(wǎng)關(guān)的校內(nèi)網(wǎng)訪問(wèn)無(wú)法起到有效的阻止作用。銳捷網(wǎng)絡(luò)基于“接入安全”的理念，將XXX園區(qū)學(xué)生公寓無(wú)線網(wǎng)絡(luò)認(rèn)證過(guò)程下移到離學(xué)生客戶端最近的網(wǎng)絡(luò)邊界處，通過(guò)啟用WEB認(rèn)證模式，銳捷無(wú)線控制器和XXX大學(xué)目前采用的深瀾認(rèn)證網(wǎng)關(guān)的協(xié)同工作，當(dāng)學(xué)生在接入無(wú)線網(wǎng)絡(luò)的時(shí)候，銳捷網(wǎng)絡(luò)無(wú)線控制和深瀾認(rèn)證網(wǎng)關(guān)進(jìn)行對(duì)接，通過(guò)portal的方式將認(rèn)證頁(yè)面推送到客戶端，然后將學(xué)生認(rèn)證所需要的用戶名和密碼上傳到無(wú)線控制器，無(wú)線控制器通過(guò)與深瀾認(rèn)證網(wǎng)關(guān)的對(duì)接，獲取學(xué)生相關(guān)的認(rèn)證信息，如果認(rèn)證通過(guò)，則無(wú)線控制器將通知最遠(yuǎn)去的無(wú)線AP接入點(diǎn)，允許該學(xué)生訪問(wèn)相關(guān)的資源，學(xué)生使用瀏覽器即可完成認(rèn)證過(guò)程，不僅保證了接入學(xué)生的學(xué)生合法性，而且學(xué)生能快捷便利的使用無(wú)線網(wǎng)絡(luò)，極大的提高了學(xué)生的體驗(yàn)感。（配合AC）學(xué)生數(shù)據(jù)加密安全銳捷網(wǎng)絡(luò)智分型AP通過(guò)WEP、TKIP和AES加密技術(shù)，為接入學(xué)生提供完整的數(shù)據(jù)安全保障機(jī)制，確保無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)傳輸安全。虛擬無(wú)線分組技術(shù)通過(guò)虛擬無(wú)線接入點(diǎn)（VirtualAP）技術(shù)，整機(jī)可最大提供16個(gè)ESSID，支持16個(gè)802.1QVLAN，網(wǎng)管人員可以對(duì)使用相同SSID的子網(wǎng)或VLAN單獨(dú)實(shí)施加密和隔離，并可針對(duì)每個(gè)SSID配置單獨(dú)的認(rèn)證方式、加密機(jī)制等。標(biāo)準(zhǔn)CAPWAP加密隧道確保傳輸安全銳捷網(wǎng)絡(luò)無(wú)線AP接入點(diǎn)與銳捷網(wǎng)絡(luò)無(wú)線控制器以國(guó)際標(biāo)準(zhǔn)的CAPWAP加密隧道模式通信，確保了數(shù)據(jù)傳輸過(guò)程中的內(nèi)容安全。射頻安全在銳捷網(wǎng)絡(luò)一體化網(wǎng)管系統(tǒng)RG-SNC、RG-WS系列無(wú)線控制器產(chǎn)品的配合下，智分型AP可啟用射頻探針掃描機(jī)制，實(shí)時(shí)發(fā)現(xiàn)非法接入點(diǎn)、或其它射頻干擾源，并提供相應(yīng)的告警，使網(wǎng)管人員可隨時(shí)監(jiān)控各個(gè)無(wú)線環(huán)境中的潛在威脅和使用狀況。ARP欺騙的防護(hù)ARP檢測(cè)功能有效遏制了網(wǎng)絡(luò)中日益泛濫的ARP網(wǎng)關(guān)欺騙和ARP主機(jī)欺騙的現(xiàn)象，保障了學(xué)生的正常上網(wǎng)。無(wú)論在動(dòng)態(tài)分配IP環(huán)境下，還是靜態(tài)分配IP環(huán)境下，均可實(shí)現(xiàn)自動(dòng)綁定工作，大大的節(jié)省了人力成本，降低了管理開(kāi)銷。而配合ARP速率監(jiān)控控制ARP報(bào)文發(fā)送的速率，防止惡意利用掃描工具進(jìn)行ARP泛洪占據(jù)網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)擁塞的攻擊行為。DHCP安全支持DHCPsnooping，只允許信任端口的DHCP響應(yīng)，防止未經(jīng)管理員許可私自架設(shè)DHCPServer，擾亂IP地址的分配和管理，影響學(xué)生的正常上網(wǎng)的行為；并在DHCP監(jiān)聽(tīng)的基礎(chǔ)上，通過(guò)動(dòng)態(tài)監(jiān)測(cè)ARP和檢查源IP，有效防范DHCP動(dòng)態(tài)分配IP環(huán)境下的ARP主機(jī)欺騙和源IP地址的欺騙。有線無(wú)線一體化網(wǎng)絡(luò)管理考慮到本次無(wú)線網(wǎng)絡(luò)建設(shè)的受眾主體是學(xué)生，在XXX園區(qū)學(xué)生宿舍無(wú)線網(wǎng)絡(luò)管理方面將從如下幾個(gè)方面進(jìn)行建設(shè)。拓?fù)涔芾鞽XX大學(xué)XXX園區(qū)學(xué)生公寓無(wú)線校園網(wǎng)覆蓋，涉及到眾多無(wú)線AP、Poe供電交換機(jī)、樓層匯聚和園區(qū)匯聚，為了使得新建的網(wǎng)絡(luò)能夠穩(wěn)定的運(yùn)行，需要對(duì)該套網(wǎng)絡(luò)中運(yùn)行的所有設(shè)備進(jìn)行實(shí)時(shí)、統(tǒng)一監(jiān)控。銳捷網(wǎng)絡(luò)RG-SNC智能網(wǎng)絡(luò)指揮官的拓?fù)涔芾砉δ軐⒄故颈还芾砭W(wǎng)絡(luò)的真實(shí)情況，直觀的為網(wǎng)管人員提供了全網(wǎng)布局情況和設(shè)備運(yùn)行情況，采用Flash技術(shù)動(dòng)態(tài)的展現(xiàn)全網(wǎng)設(shè)備和連線狀態(tài)，絢麗界面保證了客戶的真實(shí)感體驗(yàn)，不同設(shè)備類型之間采用不同的圖標(biāo)進(jìn)行區(qū)分，系統(tǒng)還可通過(guò)自動(dòng)布局功能自動(dòng)調(diào)整網(wǎng)絡(luò)拓?fù)鋱D，完善展現(xiàn)效果，也可以由用戶手動(dòng)添加或布局控制，并通過(guò)拓?fù)鋱D上呈現(xiàn)的豐富的設(shè)備、告警、流量信息，實(shí)時(shí)的檢視網(wǎng)絡(luò)運(yùn)行的全貌；可以直接在拓?fù)鋱D上查找用戶關(guān)注的設(shè)備和鏈路節(jié)點(diǎn)，進(jìn)行點(diǎn)擊獲取更加詳細(xì)的信息；用戶還可以將拓?fù)鋱D保存或者直接導(dǎo)出，為管理提供依據(jù)和便利；圖STYLEREF1\s5SEQ圖示：\*ARABIC\s122有線無(wú)線一體化的多級(jí)拓?fù)涔芾碓O(shè)備及配置管理無(wú)線設(shè)備上線后，銳捷網(wǎng)絡(luò)的網(wǎng)管軟件SNC可實(shí)現(xiàn)對(duì)XXX全校所有熱點(diǎn)AP和AC進(jìn)行可視化的統(tǒng)計(jì)、管理，可實(shí)現(xiàn)查看全網(wǎng)、單個(gè)AP或某個(gè)熱點(diǎn)的AP退服率，即AP未正常工作的時(shí)間、數(shù)量占比，能夠極為清楚的發(fā)現(xiàn)AP的實(shí)際工作情況。目前還能進(jìn)行全網(wǎng)超閑AP、熱點(diǎn)區(qū)域流量、單個(gè)AP的流量、關(guān)聯(lián)用戶數(shù)等的統(tǒng)計(jì)查看，為優(yōu)化無(wú)線網(wǎng)絡(luò)的實(shí)際覆蓋提供實(shí)際依據(jù)。圖STYLEREF1\s5SEQ圖示：\*ARABIC\s123全面的設(shè)備信息查看在無(wú)線設(shè)備配置上，可創(chuàng)建軟件下發(fā)任務(wù)，在指定的時(shí)間完成對(duì)指定設(shè)備執(zhí)行升級(jí)到指定軟件版本的操作。軟件下發(fā)具有一定的風(fēng)險(xiǎn)性，所以在軟件下發(fā)之前進(jìn)行必要的保障性檢查顯得尤為重要，SNC提供的軟件版本的可用性檢查、設(shè)備環(huán)境的支持程度檢查，從多個(gè)方面對(duì)該操作進(jìn)行檢測(cè)，并且通過(guò)下發(fā)重啟時(shí)間、下發(fā)重啟策略等多個(gè)參數(shù)的設(shè)置對(duì)設(shè)備軟件的生效情況進(jìn)行了限定，最大可能為軟件下發(fā)提供保障，若是新建的無(wú)線網(wǎng)絡(luò)也僅需10分鐘即可完成WLAN的批量配置及修改，不超過(guò)半個(gè)小時(shí)即可實(shí)現(xiàn)全網(wǎng)無(wú)線設(shè)備的配置生效，達(dá)到高效的WLAN運(yùn)維管理的目標(biāo)。圖STYLEREF1\s5SEQ圖示：\*ARABIC\s124仿真面板的操作界面精細(xì)化的用戶管理XXXX學(xué)校全校師生人數(shù)達(dá)到近2萬(wàn)人，這樣就意味著全校覆蓋的無(wú)線網(wǎng)絡(luò)最大需承載的用戶數(shù)就高達(dá)2萬(wàn)人，但每個(gè)用戶的身份角色不一樣、使用移動(dòng)終端不一樣、使用的無(wú)線業(yè)務(wù)不一樣，為了能保證不同用戶都能有良好的無(wú)線上網(wǎng)體驗(yàn)，這就需要實(shí)現(xiàn)對(duì)每個(gè)用戶都能全面深入的用戶運(yùn)營(yíng)管理。銳捷網(wǎng)絡(luò)給出了精細(xì)化的用戶管理方案，能夠?qū)崿F(xiàn)自定義用戶角色，根據(jù)用戶角色進(jìn)行權(quán)限劃分，能夠?qū)崿F(xiàn)不同權(quán)限的用戶只能受限訪問(wèn)不同的資源、獲得不同無(wú)線帶寬、在不同地區(qū)允許訪問(wèn)不同業(yè)務(wù)等。不僅如此，銳捷的無(wú)線網(wǎng)絡(luò)還能自動(dòng)感知用戶的終端類型、業(yè)務(wù)應(yīng)用等，這些都可通過(guò)認(rèn)證管理軟件SMP或者SAM進(jìn)行可視化的呈現(xiàn)、管理。全面的用戶信息，精細(xì)化的用戶管理，2萬(wàn)師生的XXXX高校也能輕松進(jìn)行運(yùn)維管理。圖STYLEREF1\s5SEQ圖示：\*ARABIC\s125終端信息查看圖