中小學(xué)無(wú)線覆蓋技術(shù)服務(wù)方案

一、無(wú)線局域網(wǎng)建設(shè)方案 41.1.需求分析 41.2.改造目標(biāo) 1.3.傳統(tǒng)有線無(wú)線園區(qū)網(wǎng)絡(luò)現(xiàn)狀 1.3.1.有線無(wú)線網(wǎng)絡(luò)組網(wǎng)部署 121.3.2.有線無(wú)線不能共用設(shè)備能力，造成資源浪費(fèi) 121.3.3.有線無(wú)線深度融合方案 131.4.網(wǎng)絡(luò)改造方案整體概要 1.4.1.無(wú)線校園網(wǎng)改造整體結(jié)構(gòu) 141.4.2.無(wú)線校園網(wǎng)與周邊系統(tǒng)的依賴關(guān)系 1.4.3.無(wú)線校園網(wǎng)改造整體效果 151.5.無(wú)線局域網(wǎng)改造詳細(xì)設(shè)計(jì) 1.5.1.房山區(qū)無(wú)線局域網(wǎng)基礎(chǔ)架構(gòu) 16 1.5.2.房山區(qū)無(wú)線局域網(wǎng)WLAN覆蓋規(guī)劃 23 30.認(rèn)證計(jì)費(fèi)規(guī)劃 351.5.3.無(wú)線校園網(wǎng)有線側(cè)部署設(shè)計(jì) 38 39 401.5.4.房山區(qū)無(wú)線局域網(wǎng)細(xì)分場(chǎng)景規(guī)劃與建議 42 1.6.上網(wǎng)行為審計(jì)方案 1.6.1.上網(wǎng)行為審計(jì)的意義 1.6.2.上網(wǎng)行為審計(jì)方案設(shè)計(jì) 451.6.3.上網(wǎng)行為審計(jì)方案效果 471.6.4.上網(wǎng)行為審計(jì)日志及審計(jì)報(bào)表 471.7.網(wǎng)絡(luò)統(tǒng)一認(rèn)證計(jì)費(fèi)管理系統(tǒng)設(shè)計(jì) 1.7.1.網(wǎng)絡(luò)認(rèn)證管理系統(tǒng)挑戰(zhàn)分析 521.7.2.網(wǎng)絡(luò)統(tǒng)一認(rèn)證管理方案建設(shè)目標(biāo) 531.7.3.網(wǎng)絡(luò)統(tǒng)一認(rèn)證系統(tǒng)方案 54 55 58 591.8.網(wǎng)絡(luò)運(yùn)維管理改造設(shè)計(jì) 601.8.1.教育城域網(wǎng)運(yùn)維管理面臨挑戰(zhàn)分析 601.8.2.網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)改造目標(biāo) 611.8.3.統(tǒng)一網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)建設(shè)方案 611.8.4.統(tǒng)一網(wǎng)絡(luò)運(yùn)維管理方案效果 62 70 72二、項(xiàng)目實(shí)施方案、售后服務(wù)、培訓(xùn)及供貨方案 2.1.施工工期安排 2.2.施工進(jìn)度具體保證措施 2.2.1.確保工期的管理措施 752.2.2.確保工期的主要技術(shù)措施 762.2.3.人員保證措施 2.2.4.設(shè)備保證措施 782.2.5.設(shè)備及材料供應(yīng)保證措施 782.2.6.影響工期因素的應(yīng)急回補(bǔ)措施 782.3.協(xié)調(diào)管理措施 792.3.1.建立協(xié)調(diào)管理小組 792.3.2.與用戶的配合協(xié)調(diào) 792.3.3.與用戶聯(lián)系與協(xié)調(diào) 2.3.4.與監(jiān)理的配合協(xié)調(diào) 802.3.5.與主管單位的配合與協(xié)調(diào) 802.4.項(xiàng)目質(zhì)量目標(biāo)及保證措施 2.4.1.質(zhì)量方針和質(zhì)量目標(biāo) 802.4.2.質(zhì)量管理體系 81 2.4.3.施工過(guò)程質(zhì)量控制 82 83 2.5.項(xiàng)目實(shí)施人員構(gòu)成 2.5.1.項(xiàng)目管理機(jī)構(gòu)配備情況表 842.5.2.項(xiàng)目管理人員證書(shū) 842.5.3.項(xiàng)目負(fù)責(zé)人簡(jiǎn)歷表 2.6.項(xiàng)目實(shí)施過(guò)程的文檔記錄 2.7.詳細(xì)的售后服務(wù) 2.7.1.針對(duì)性服務(wù) 892.7.2.技術(shù)支持響應(yīng)時(shí)間 2.7.3.備品備件供應(yīng)及易損件優(yōu)惠價(jià)格 902.7.4.投標(biāo)人提供的其他優(yōu)惠服務(wù)條款 2.7.5.質(zhì)保期外的年維護(hù)方案 912.7.6.客戶項(xiàng)目各個(gè)階段的服務(wù) 912.7.7.技術(shù)支持與售后響應(yīng)服務(wù) 922.7.8.服務(wù)承諾 952.7.9.現(xiàn)場(chǎng)專人服務(wù) 952.7.10.“一站式”售后服務(wù)體系 2.7.11.系統(tǒng)運(yùn)行維護(hù)內(nèi)容 2.7.12.針對(duì)本項(xiàng)目特別承諾和服務(wù)細(xì)則 2.7.13.三包服務(wù)細(xì)則 2.7.14.售后服務(wù)網(wǎng)點(diǎn) 2.8.培訓(xùn)計(jì)劃 2.8.1.培訓(xùn)需求分析 992.8.2.培訓(xùn)內(nèi)容 2.8.3.培訓(xùn)方案的高適用性 根據(jù)《教育信息化十年發(fā)展規(guī)劃(2011-2020年)》重要文件的指示，提出了三大任務(wù)和兩個(gè)平臺(tái)的建設(shè)任務(wù)，簡(jiǎn)稱“三通兩平臺(tái)”,是教育信息化“十二五”大家說(shuō)的資源云服務(wù)平臺(tái)。我們概括為“三通工程”,即寬帶網(wǎng)絡(luò)校校通、優(yōu)質(zhì)"人人通"的基本條件就是要打破時(shí)間和空間的界限，讓廣大師生能夠隨33題合AC獨(dú)立AC交換機(jī)>有線、無(wú)線合一接入>交換機(jī)扁平承載>精細(xì)的用戶管理>按場(chǎng)景選擇集成AC或獨(dú)>無(wú)線接入>交換機(jī)扁平承載>精細(xì)的用戶管理>移動(dòng)辦公(BYOD)>有線接入>交換機(jī)級(jí)聯(lián)承載>簡(jiǎn)單的用戶管理2號(hào)的覆蓋能力與傳輸速率不再是無(wú)線網(wǎng)絡(luò)的瓶頸，無(wú)線視頻、移動(dòng)會(huì)議、無(wú)線IP語(yǔ)音通話、互動(dòng)多媒體教學(xué)、電子書(shū)包、等應(yīng)用都已通能通過(guò)無(wú)線的包括教學(xué)樓、實(shí)驗(yàn)室、湖邊、草地、公園、體育館、操場(chǎng)絡(luò)平臺(tái)，同時(shí)需要建設(shè)無(wú)線校園網(wǎng)對(duì)房山區(qū)所有100所普教進(jìn)行建設(shè)，從而實(shí)現(xiàn)要求每個(gè)教室采用的無(wú)線接入點(diǎn)所能連入的最大終端數(shù)不低于50。行BT下載等大量占用帶寬的行為；如何查詢用戶的接入日志；如何對(duì)分散在各有線網(wǎng)有線網(wǎng)流量轉(zhuǎn)發(fā)有線無(wú)線一體化有線天線分離1.3.2.有線無(wú)線不能共用設(shè)備能力，造成資源浪費(fèi)無(wú)線插卡式AC多繞一個(gè)回路，獨(dú)立AC設(shè)備或者插卡式AC都會(huì)給網(wǎng)絡(luò)增加不必傳統(tǒng)園區(qū)有線無(wú)線分離有線無(wú)線一體化w敏捷園區(qū)如圖所示，在敏捷交換機(jī)插入ENP單板，即可實(shí)現(xiàn)AC功能。在敏捷交換機(jī)融合轉(zhuǎn)發(fā)獨(dú)給AC合認(rèn)證同敏捷交換機(jī)的ENP單板可以識(shí)別無(wú)線報(bào)文，并對(duì)無(wú)線報(bào)文進(jìn)行CAPWAP隧道機(jī)處理，解決了無(wú)線流量集中轉(zhuǎn)發(fā)情況下還要經(jīng)過(guò)AC再繞回有線交換機(jī)轉(zhuǎn)發(fā)的卡，只需要一臺(tái)敏捷交換機(jī)，即可融合實(shí)現(xiàn)AC能力，轉(zhuǎn)發(fā)、控制、管理層面都務(wù)表象能力和豐富的業(yè)務(wù)特性(MPLS、IPv6等),為后續(xù)校園網(wǎng)內(nèi)部更豐富的業(yè)接入無(wú)線接入點(diǎn)采用主流產(chǎn)品。保證無(wú)線高速接入。主要無(wú)線應(yīng)用場(chǎng)景主要無(wú)線應(yīng)用場(chǎng)景四區(qū)出口統(tǒng)一網(wǎng)管平臺(tái)匯聚交換機(jī)(按需)PoE接入交換機(jī)教室、辦公室、禮堂等室內(nèi)區(qū)域校園操場(chǎng)等室外區(qū)域原有有線網(wǎng)絡(luò)核心力，以及整網(wǎng)的N無(wú)線控制器方案，保證無(wú)線的整網(wǎng)安全。充分發(fā)揮無(wú)線簡(jiǎn)易運(yùn)維特性，將無(wú)線統(tǒng)一管理的特性復(fù)制到校園有線網(wǎng)絡(luò)1.5.1.房山區(qū)無(wú)線局域網(wǎng)基礎(chǔ)架構(gòu).房山區(qū)無(wú)線局域網(wǎng)設(shè)計(jì)InternetPo建入交換機(jī)APAP教室、辦公室、禮堂等室內(nèi)區(qū)域校園操場(chǎng)等室外區(qū)域128臺(tái)，可以覆蓋人數(shù)：4000人由于現(xiàn)有學(xué)校較多，需要部署100臺(tái)無(wú)線控制器，如果份需要324臺(tái)無(wú)線控制器設(shè)備，性價(jià)比低。每臺(tái)學(xué)?？梢詫?duì)本學(xué)校網(wǎng)絡(luò)進(jìn)行獨(dú)立管理，制定獨(dú)立策略、學(xué)校內(nèi)部的有線無(wú)線核心節(jié)點(diǎn)重合，結(jié)構(gòu)清晰。有線無(wú)線融合設(shè)計(jì)，用戶接入不區(qū)分接入方式，統(tǒng)一接入、一致體驗(yàn)。且網(wǎng)方案二：無(wú)線控制署在房山區(qū)教委信息中心器部署于骨干網(wǎng)絡(luò)匯聚節(jié)點(diǎn)無(wú)線控制器部署在房山區(qū)教委信息中心統(tǒng)一管理全區(qū)所有AP線無(wú)線一體化功能，城域交換機(jī)及作為無(wú)線控制器使用子方案3.1學(xué)校核心交換機(jī)有線無(wú)線一體化功能，核心交換機(jī)及作為無(wú)線控制器使用子方案3.2機(jī)線接入點(diǎn)無(wú)線控制器至少可管暫無(wú)業(yè)界成熟應(yīng)用可管理用無(wú)線控制器至少可管理400K用戶(按8000無(wú)線接入點(diǎn)，每無(wú)線接入點(diǎn)50用戶計(jì)算)暫無(wú)業(yè)界成熟應(yīng)用性能業(yè)界無(wú)成熟無(wú)線控制至少需要400G帶寬(按每用戶1M帶寬計(jì)暫無(wú)業(yè)界成熟應(yīng)用需要額外部署的設(shè)備式AC控制器2臺(tái)否每學(xué)校格外設(shè)備是否現(xiàn)網(wǎng)改造否否是是有線無(wú)線認(rèn)證點(diǎn)分離需要所有廠商完全配合，后期運(yùn)維和溝通成本極大有線無(wú)線認(rèn)證點(diǎn)統(tǒng)一有線無(wú)線認(rèn)證點(diǎn)統(tǒng)一有線無(wú)線認(rèn)證點(diǎn)分離用戶分開(kāi)管理基于以上分析，無(wú)線控制器設(shè)備部署位置在學(xué)校出口：由于學(xué)校節(jié)點(diǎn)過(guò)多(當(dāng)前學(xué)校數(shù)量為教育城域網(wǎng)教育城域網(wǎng)有8個(gè)，分別為36、40、44、48、52、56、60、64;在5.725GHz～5.85GHz頻段有4個(gè)，分別為149、153、157、161,可以根據(jù)實(shí)際部署情況，選擇相應(yīng)的4436WLAN鏈路預(yù)算一般經(jīng)過(guò)邊緣場(chǎng)強(qiáng)確認(rèn)，空間損耗到達(dá)用戶終端的電平不低于-75dBm。這樣可以保障用戶與無(wú)線接入點(diǎn)的協(xié)商速方便計(jì)算常忽略接收天線增益，而采用如下公式：到達(dá)接入點(diǎn)發(fā)射功率+無(wú)線接入點(diǎn)天線增益一路徑損耗。路徑損耗主要指WLAN信號(hào)空間傳輸距離2.4GHz信號(hào)的空間衰減(dBm)5.8GHz信號(hào)的空間衰減(dBm)為便于理解鏈路估算的過(guò)程，這里給出一個(gè)室外場(chǎng)景覆蓋和室內(nèi)場(chǎng)景覆蓋的快速計(jì)算仿真效果圖快速計(jì)算仿真效果圖75dBm,500mW無(wú)線接入點(diǎn)的輸出電平27dBm,天線增益11dBi,距離無(wú)線接入點(diǎn)500m處信號(hào)的衰減量94dBm,由于27+11-94=-56dBm,大于-75dBm,因此在通常情況下，無(wú)線接入點(diǎn)的覆蓋范圍為500m。由于數(shù)據(jù)通信是雙向的，終端的信根據(jù)WLAN覆蓋邊緣場(chǎng)強(qiáng)的要求，到達(dá)終端用戶的信號(hào)電平不低于-75dBm,100mW無(wú)線接入點(diǎn)的輸出電平20dBm,天線增益4dBi,距離無(wú)線接入點(diǎn)60m處信號(hào)的衰減量90dBm,由于20+4-90=-66dBm,大于-75dBm,因此在正常情況下，室內(nèi)無(wú)線接入點(diǎn)的理論覆蓋范圍為60m?？紤]到室內(nèi)環(huán)境復(fù)雜，無(wú)線信號(hào)需要穿揮WLAN的性能，并且也給后期維護(hù)優(yōu)化帶來(lái)更多的工作量，增加后期成AP計(jì)算器華為WLAN規(guī)不同顏色代表不同場(chǎng)強(qiáng)值不同顏色代表不同場(chǎng)強(qiáng)值蓋.SSID和漫游規(guī)劃與設(shè)計(jì)SSID規(guī)劃無(wú)線接入點(diǎn)可以配置多個(gè)SSID,單頻無(wú)線接入點(diǎn)可支持16個(gè)SSID,雙頻無(wú)線接入點(diǎn)可支持32個(gè)SSID。通過(guò)配置多個(gè)SSID,無(wú)線控制器針對(duì)不同的SSID下發(fā)不同的策略，SSID根據(jù)策略進(jìn)行終端與業(yè)務(wù)管理。無(wú)線網(wǎng)絡(luò)可按照用戶群體劃分不同的SSID,如下圖所示，針對(duì)三種不同的用戶群體，在無(wú)線接入點(diǎn)上設(shè)置了3個(gè)SSID:SSID1用于學(xué)生、SSID2用于訪客和SSID3用于教師。通常，以太網(wǎng)中管理VLAN和業(yè)務(wù)VLAN是分離的。業(yè)務(wù)VLAN主要用于區(qū)分不同的業(yè)務(wù)類型或用戶群體。在WLAN網(wǎng)絡(luò)中SSID也同樣可以承擔(dān)相應(yīng)的工作。因此，在SSID的規(guī)劃中必須綜合考慮VLAN與SSID的映射關(guān)系。業(yè)務(wù)VLAN應(yīng)根據(jù)實(shí)際業(yè)務(wù)需要與SSID匹配映射關(guān)系，映射關(guān)系有1:1、1:N、N:1、N:N四種。漫游是指用戶在部署了WLAN網(wǎng)絡(luò)的場(chǎng)所移動(dòng)時(shí)，用戶終端可以從一個(gè)無(wú)線接入點(diǎn)的覆蓋范圍移動(dòng)到另一個(gè)無(wú)線接入點(diǎn)的覆蓋范圍，用戶無(wú)需重新登錄和認(rèn)證，如下圖所示。WLAN網(wǎng)絡(luò)漫游中需要了解以下兩點(diǎn)：1、漫游過(guò)程中SSID必須一致，且使用相同的安全設(shè)置。2、漫游中選擇連接哪個(gè)無(wú)線接入點(diǎn)是無(wú)線客戶端的動(dòng)作，這個(gè)切換的時(shí)機(jī)和快慢受無(wú)線客戶端的芯片或設(shè)置的影響，所以在漫游切換過(guò)程中會(huì)出現(xiàn)不同的終端切換性能有差異。使用信道1.服務(wù)質(zhì)量Qos規(guī)劃與設(shè)計(jì)WLANQoS保證不同質(zhì)量的無(wú)線接入服務(wù)之間的互通，滿足實(shí)際應(yīng)用的需求。如下圖所示，在校園網(wǎng)中，常采用無(wú)線空口做WMM調(diào)度，有線側(cè)進(jìn)行優(yōu)先級(jí)映射，校園網(wǎng)做DiffServ調(diào)度的方式，最大程度優(yōu)化網(wǎng)絡(luò)發(fā)生擁塞時(shí)的核心業(yè)務(wù)和VIP用戶服務(wù)質(zhì)量。校園中的QOS部署一方面需要從業(yè)務(wù)的角度實(shí)現(xiàn)端到端的QOS保障，另一方面出于管理的需要能夠?qū)τ脩艋蛘邌螣o(wú)線接入點(diǎn)的帶寬進(jìn)行管理，比如要求校園外的訪客用戶的帶寬不超過(guò)300kbps,某個(gè)無(wú)線接入點(diǎn)上SSID-Guest的總流量限速20Mbps等。業(yè)務(wù)Q0S報(bào)文在WLAN網(wǎng)絡(luò)中傳輸時(shí)需要經(jīng)過(guò)有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)兩個(gè)部分，Q0S的設(shè)計(jì)要保障端到端的性能。Native無(wú)線控制器需要具備5級(jí)Qos調(diào)度，滿足業(yè)務(wù)服務(wù)質(zhì)量要求。以視頻流為例，端到到的方案流程如下圖所示：3210VideoIP6543210一65432102視頻服務(wù)器通過(guò)IP網(wǎng)絡(luò)將廣播報(bào)文發(fā)送給無(wú)線控制器，并打上優(yōu)先無(wú)線控制器通過(guò)C無(wú)線接入點(diǎn)W無(wú)線接入點(diǎn)隧道將報(bào)文發(fā)送給無(wú)線接入點(diǎn)。無(wú)線控制器需要將Earthnet優(yōu)先級(jí)映射到隧道的優(yōu)先級(jí)。●在保證效率的同時(shí)，為了提升穩(wěn)定性，無(wú)線接入點(diǎn)上先將組播報(bào)文轉(zhuǎn)為單播報(bào)文，然后將報(bào)文從有線的優(yōu)先級(jí)映射到無(wú)線的優(yōu)先級(jí)。不同的業(yè)務(wù)進(jìn)入不同的空口隊(duì)列，并且獲取到不同的空口EDCA參數(shù)，從而對(duì)不同優(yōu)先級(jí)的業(yè)務(wù)實(shí)現(xiàn)差異性調(diào)度，保障Q0S性能。出于管理的需要，運(yùn)維的老師往往需要系統(tǒng)地對(duì)用戶或者單無(wú)線接入點(diǎn)的帶寬進(jìn)行管理，比如要求校園外的訪客用戶的帶寬不超過(guò)512kbps,教工這類用戶上網(wǎng)獲得的帶寬不超過(guò)1Mbps,WLAN解決方案需要能夠提供基于用戶，基于無(wú)線接入點(diǎn)(V無(wú)線接入點(diǎn))或者基于某SSID的帶寬管理?！窕谟脩舻膸捁芾砘谟脩舻膸捁芾戆谀硞€(gè)特定用戶的帶寬管理以及基于用戶組(角色)的帶寬管理?；谟脩舻膸捁芾硇枰猂adius服務(wù)器參與，在認(rèn)證后Radius下發(fā)用戶帶寬或者用戶組給無(wú)線控制器，無(wú)線控制器通知無(wú)線接入點(diǎn)進(jìn)行相應(yīng)的帶寬控制，如下圖1和圖2所示。圖1WLAN基于用戶組帶寬管理APAP賬號(hào)20120436115用戶賬號(hào)(學(xué)號(hào))20420415●基于無(wú)線接入點(diǎn)的帶寬管理出于管理的目的，有時(shí)需要對(duì)某個(gè)具體的無(wú)線接入點(diǎn)進(jìn)行帶寬管理，如限制某個(gè)辦公室里的無(wú)線接入點(diǎn)帶寬為30Mbps,可以通過(guò)配置Trafficprofile里的V無(wú)線接入點(diǎn)LimitRate實(shí)現(xiàn)帶寬管理，如下圖所示。WLAN基于無(wú)線接入點(diǎn)的帶寬管理基于SSID的帶寬管理為來(lái)自校園外的訪客提供上網(wǎng)服務(wù)不是高校建設(shè)WLAN的主要目的，一般需要對(duì)訪客SSID的容量做限制，以保障內(nèi)部用戶的帶寬和業(yè)務(wù)體驗(yàn)。如下圖所示，對(duì)訪客限制了20M的訪問(wèn)帶寬。WLAN基于無(wú)線接入點(diǎn)的帶寬管理.無(wú)線可靠性規(guī)劃與設(shè)計(jì)>自動(dòng)調(diào)優(yōu)當(dāng)無(wú)線接入點(diǎn)射頻環(huán)境出現(xiàn)惡化，某個(gè)無(wú)線接入點(diǎn)故障或新增擴(kuò)容無(wú)線接入補(bǔ)盲后補(bǔ)盲后覆蓋空沮補(bǔ)盲前28M總帶寬流量30M總帶寬流量如上圖所示。用戶模式：無(wú)線接入點(diǎn)1和無(wú)線接入點(diǎn)2屬于同一個(gè)負(fù)載均衡組，無(wú)線接入點(diǎn)1已接入4個(gè)STA,無(wú)線接入點(diǎn)2已接入2個(gè)STA。無(wú)線接入點(diǎn)1與無(wú)線接入點(diǎn)2接入STA個(gè)數(shù)的差值為2,當(dāng)閾值設(shè)置為1時(shí)，新接入的STA7被均衡到接入用戶數(shù)量較少的無(wú)線接入點(diǎn)2上。流量模式：無(wú)線接入點(diǎn)1和無(wú)線接入點(diǎn)2屬于同一個(gè)負(fù)載均衡組，無(wú)線接入點(diǎn)1已接入4個(gè)STA,無(wú)線接入點(diǎn)2已接入2個(gè)STA。但無(wú)線接入點(diǎn)2上的STA5/STA6承載高帶寬業(yè)務(wù)，總帶寬流量30M超過(guò)無(wú)線接入點(diǎn)1的總帶寬8M,當(dāng)設(shè)定閾值為12M,新接入的STA7被均衡到流量負(fù)荷較小的無(wú)線接入點(diǎn)1上。鏈情況下，無(wú)線接入點(diǎn)自動(dòng)保持現(xiàn)有用戶的流量和權(quán)限，使現(xiàn)有用戶仍可以進(jìn)行本地?zé)o線流量的轉(zhuǎn)發(fā)?？梢岳^續(xù)訪問(wèn)本地校園網(wǎng)的原有資源，對(duì)于新建連接用戶，無(wú)線接入點(diǎn)可以代理與新連接終端的管理和認(rèn)證能力，使新用戶戶的認(rèn)證權(quán)限不受控。所以當(dāng)無(wú)線接入點(diǎn)與無(wú)線控制器網(wǎng)絡(luò)正常，重新建立鏈接時(shí)，無(wú)線控制器將重新對(duì)全部用戶進(jìn)行重新認(rèn)證，需要所有用戶重新登業(yè)務(wù)續(xù)航-本地轉(zhuǎn)發(fā)業(yè)務(wù)續(xù)航-本地轉(zhuǎn)發(fā)CAPWAP斷鏈業(yè)務(wù)保持交換機(jī)浙戶對(duì)于沒(méi)有AC備份的小型無(wú)線網(wǎng)絡(luò)，業(yè)務(wù)續(xù)航模式可保證用戶數(shù)據(jù)轉(zhuǎn)發(fā)不中斷，提升業(yè)務(wù)可靠性。RogueRogue設(shè)備惡意攻擊3空口竊聽(tīng)●偵聽(tīng)周邊設(shè)備接入模式只提供覆蓋功能，不提供非法設(shè)備監(jiān)AssociationResponse協(xié)議Rogue制的模式，監(jiān)測(cè)模式無(wú)線接入點(diǎn)從無(wú)線控制器下載攻Rogue對(duì)RogueClient、Adhoc設(shè)備的反制：監(jiān)測(cè)無(wú)線接入點(diǎn)通過(guò)使用RogueClient、Adhoc設(shè)備的BSSID、M無(wú)線控制器地址發(fā)送假的單播解除認(rèn)證幀，對(duì)指定非法Client的進(jìn)行反制。Rogue設(shè)備管理可以與定位功能集合，如在地圖上可以查詢或者實(shí)時(shí)顯示Rogue設(shè)備的位置，為網(wǎng)管人員對(duì)網(wǎng)絡(luò)監(jiān)管和排障定位提供便捷。當(dāng)"惡意用戶"發(fā)送大量的"連接請(qǐng)求報(bào)文"至無(wú)線接入點(diǎn)時(shí)，這些報(bào)文會(huì)被無(wú)線接入點(diǎn)轉(zhuǎn)發(fā)到無(wú)線控制器設(shè)備上進(jìn)行處理，這樣會(huì)對(duì)內(nèi)部網(wǎng)絡(luò)造成沖擊。啟動(dòng)Floodatt無(wú)線控制器k檢測(cè)，無(wú)線控制器會(huì)檢測(cè)到來(lái)自于該惡意用戶的Flood攻擊，無(wú)線接入點(diǎn)會(huì)將來(lái)自于該用戶的報(bào)文將全部被丟棄，從而實(shí)現(xiàn)了對(duì)于網(wǎng)絡(luò)的安全防御。對(duì)于Client的數(shù)據(jù)報(bào)文，如果該報(bào)文使用了WEP加密算法，需要啟動(dòng)IV檢測(cè)；無(wú)線控制器根據(jù)IV的安全性策略判斷是否存在WeakIV攻擊。這種攻擊的潛在攻擊者將以其他設(shè)備的名義發(fā)送攻擊報(bào)文。惡意無(wú)線接入點(diǎn)或者惡意用戶發(fā)送一個(gè)欺騙的解除認(rèn)證報(bào)文會(huì)導(dǎo)致無(wú)線客戶端下線。無(wú)線控制器接受到這種報(bào)文時(shí)將立刻被定義為欺騙攻擊，并阻止該對(duì)空口數(shù)據(jù)進(jìn)行加密。常用的空口加密方式有WEP,WPA/WPA2,W無(wú)線接入等。在最新的實(shí)現(xiàn)中，不管是WPA1還是WPA2都可以使用802.1X,使用802.1X時(shí)稱為WPA企業(yè)版，不使用802.1X時(shí)稱為WPA個(gè)人版，或者叫WPA-PSK版。在實(shí)際網(wǎng)絡(luò)部署中，空口加密通常和用戶認(rèn)證一起考慮，在高校中推薦使用用戶安全可以分為合法用戶非法地訪問(wèn)其范圍以外的資源和非法用戶的接在校園中根據(jù)需要，往往劃分了不同的SSID供不用的用戶群當(dāng)外部訪客用戶和內(nèi)部用戶都采用集中轉(zhuǎn)發(fā)時(shí)，外部訪客用戶使SSIDGuestSSIDxxUniversiWLAN解決方案需要支持多種接入認(rèn)證技術(shù)，對(duì)接認(rèn)證和PPPoE認(rèn)證。從對(duì)比表中可以看到，這幾種無(wú)線認(rèn)證在技術(shù)實(shí)現(xiàn)上各有特色，覆蓋了不同用戶的接入認(rèn)證需求。教育Portal數(shù)據(jù)認(rèn)證統(tǒng)一IP地址不需要(瀏覽器)不需要(操作系統(tǒng)有自帶客戶端)不需要(操作系統(tǒng)有自帶客戶端)無(wú)低中高中啞終端內(nèi)部員工(如核心辦公區(qū))園區(qū)網(wǎng)不建議認(rèn)證+安全+計(jì)費(fèi)部署方案適合有計(jì)費(fèi)要求并且客戶對(duì)于內(nèi)網(wǎng)安全也有較認(rèn)證+安全+計(jì)費(fèi)方案組網(wǎng)圖ntemet)如上圖所示，要實(shí)現(xiàn)認(rèn)證+安全+計(jì)費(fèi)功能，認(rèn)證組件、安全組件、計(jì)費(fèi)組件、Portal組件、客戶端、計(jì)費(fèi)網(wǎng)關(guān)均為必選組件。功能實(shí)現(xiàn)流程：無(wú)線用戶認(rèn)證報(bào)文到無(wú)線控制器后，通過(guò)RADIUS協(xié)議到認(rèn)證服務(wù)器完成內(nèi)網(wǎng)準(zhǔn)入認(rèn)證。認(rèn)證服務(wù)器的Portal組件主動(dòng)向計(jì)費(fèi)網(wǎng)關(guān)發(fā)起Portal認(rèn)證，完成外網(wǎng)準(zhǔn)出認(rèn)證。計(jì)費(fèi)網(wǎng)關(guān)繼而通過(guò)RADIUS協(xié)議向計(jì)費(fèi)服務(wù)器請(qǐng)求用戶信息。計(jì)費(fèi)服務(wù)器作為RADIUSProxy,從認(rèn)證服務(wù)器獲取用戶信息，完成準(zhǔn)出認(rèn)證，同時(shí)同步用戶信息到本地。用戶訪問(wèn)外網(wǎng)，則計(jì)費(fèi)網(wǎng)關(guān)開(kāi)始計(jì)費(fèi)，并向計(jì)費(fèi)服務(wù)器通告計(jì)費(fèi)信息。.無(wú)線管理運(yùn)維規(guī)劃與設(shè)計(jì)校園新建WLAN,大量新增加的網(wǎng)元(無(wú)線接入點(diǎn)，交換機(jī)和無(wú)線控制器)給建設(shè)、運(yùn)維帶來(lái)巨大工作量，需要有一個(gè)專業(yè)的網(wǎng)管系統(tǒng)能夠幫助教育網(wǎng)用戶從部署到性能監(jiān)控，到維護(hù)排障全流程的提升運(yùn)維效率。因此針對(duì)WLAN無(wú)線網(wǎng)絡(luò)對(duì)的管理有以下幾方面的訴求：●便捷設(shè)備配置和向?qū)綐I(yè)務(wù)部署管理●可視化的WLAN網(wǎng)絡(luò)統(tǒng)一視圖全方位的故障監(jiān)控支持在線確認(rèn)(未授權(quán)無(wú)線接入點(diǎn)上線)、離線部署、自動(dòng)上線(符合白名單的無(wú)線接入點(diǎn)自動(dòng)上線)三種形式，從而方便、快捷w式、轉(zhuǎn)發(fā)類7AC的基本49信息、管理網(wǎng)絡(luò)設(shè)備等?！裉峁┛梢暬W(wǎng)絡(luò)監(jiān)控，以拓?fù)鋱D方式顯示無(wú)線控制器、無(wú)線接入點(diǎn)、終端的業(yè)務(wù)邏輯關(guān)系?！裰С终故緹o(wú)線設(shè)備故障狀態(tài)，同時(shí)提供告警查看的操作快捷入口。●通過(guò)位置拓?fù)洳榭串?dāng)前熱點(diǎn)位置及射頻信號(hào)覆蓋范圍，并標(biāo)識(shí)沖突●無(wú)線接入點(diǎn)預(yù)部署，查看模擬的射頻覆蓋范圍，無(wú)線接入點(diǎn)部署上線后切換真實(shí)無(wú)線接入點(diǎn)，顯示無(wú)線接入點(diǎn)的真實(shí)覆蓋范圍3、全方位的故障監(jiān)控提供全網(wǎng)物理資源、統(tǒng)計(jì)類、性能等相關(guān)信息，以便監(jiān)控和管理網(wǎng)絡(luò)?！窬W(wǎng)絡(luò)監(jiān)控●用戶可以通過(guò)網(wǎng)管物理拓?fù)洌O(jiān)控?zé)o線控制器設(shè)備及鏈路狀態(tài)；可以通過(guò)WLAN業(yè)務(wù)拓?fù)渲庇^查看STA、FIT無(wú)線接入點(diǎn)、無(wú)線控制器接入關(guān)系；可以通過(guò)位置拓?fù)洳榭串?dāng)前熱點(diǎn)位置及射頻信號(hào)覆蓋范圍并在視圖上標(biāo)識(shí)當(dāng)前非法無(wú)線接入點(diǎn)位置?！裼脩艨梢酝ㄟ^(guò)性能管理、告警管理及WLAN物理資源管理來(lái)監(jiān)控網(wǎng)絡(luò)運(yùn)行狀況，并通過(guò)報(bào)表系統(tǒng)周期性地給出WLAN相關(guān)報(bào)表，進(jìn)而幫助用戶實(shí)現(xiàn)輕松運(yùn)維?！窬W(wǎng)絡(luò)故障恢復(fù)當(dāng)網(wǎng)絡(luò)中的無(wú)線接入點(diǎn)出現(xiàn)異?；蛟赪LAN網(wǎng)絡(luò)的調(diào)試過(guò)程中，用戶可以通過(guò)網(wǎng)管遠(yuǎn)程批量恢復(fù)無(wú)線接入點(diǎn)的出廠設(shè)置；在WLAN網(wǎng)絡(luò)中無(wú)線接入點(diǎn)升級(jí)完成后或在WLAN網(wǎng)絡(luò)的調(diào)試過(guò)程中，用戶可以通過(guò)網(wǎng)管遠(yuǎn)程批量重啟無(wú)線接入點(diǎn)；當(dāng)網(wǎng)絡(luò)中的無(wú)線接入點(diǎn)出現(xiàn)硬件故障需要替換時(shí)，用戶可以通過(guò)網(wǎng)管快速完成無(wú)線接入點(diǎn)替換，無(wú)線控制器復(fù)制故障無(wú)線接入點(diǎn)上原有的配置至替換新替換的無(wú)線接入點(diǎn)，快速保證無(wú)線接入點(diǎn)替換后業(yè)●用戶可通過(guò)無(wú)線接入點(diǎn)上行Ping設(shè)備IP(包括網(wǎng)關(guān)或服務(wù)器IP),判斷無(wú)線接入點(diǎn)上行業(yè)務(wù)線路的通斷情況，或通過(guò)無(wú)線接入點(diǎn)下行Ping用戶IP地址，進(jìn)而確認(rèn)用戶報(bào)障原因是用戶關(guān)聯(lián)問(wèn)題還是上行業(yè)務(wù)不通。無(wú)線接入點(diǎn)Ping只能在無(wú)線接入點(diǎn)正常狀態(tài)下工作，可通過(guò)無(wú)線控制器下行Ping,來(lái)診斷無(wú)線控制器至無(wú)線接入點(diǎn)鏈路的通斷情況。.詳細(xì)設(shè)計(jì)文換機(jī)C網(wǎng)絡(luò)拓?fù)淙缟蠄D所示，無(wú)線接入點(diǎn)通過(guò)POE交換機(jī)和學(xué)校出口設(shè)備上聯(lián)至教育城域網(wǎng)的骨干匯聚節(jié)點(diǎn)?？梢愿鶕?jù)學(xué)校的物理距離、所需的接入點(diǎn)數(shù)量來(lái)進(jìn)行設(shè)備的具體設(shè)備選型：24/48端口POE設(shè)備，光口/電口上行設(shè)備。.設(shè)備選型建議根據(jù)教育城域網(wǎng)目前的需求情況，并且考慮到未來(lái)的業(yè)務(wù)發(fā)展需要，建議部署于學(xué)校的POE交換機(jī)與出口交換機(jī)具備以下功能：●全區(qū)學(xué)校都有多媒體教室及視頻會(huì)議室，每個(gè)學(xué)校至少15個(gè)，在進(jìn)行全區(qū)共享教學(xué)等場(chǎng)景時(shí)對(duì)核心出口設(shè)備的組播性能要求較高，出口設(shè)備要支持至少教育動(dòng)域網(wǎng)教育動(dòng)域網(wǎng)2000個(gè)組播源同時(shí)具備豐富的光、電下行接口，從而解除因鏈路類型而對(duì)接入POE交換機(jī)產(chǎn)生的物理限制(雙絞線有效傳輸距離不超過(guò)100米)?！癯隹诮粨Q機(jī)作為無(wú)線接入點(diǎn)和無(wú)線用戶的DHCPServer,通過(guò)無(wú)線接入點(diǎn)的身份認(rèn)證或者預(yù)先部署的控制VLAN,使無(wú)線接入點(diǎn)與無(wú)線用戶的IP地址池進(jìn)行區(qū)分。保證地址統(tǒng)一分配的情況下，進(jìn)行合理的安全隔離，方便后續(xù)信息溯源●骨干設(shè)備、出口設(shè)備、接入交換機(jī)設(shè)備之間應(yīng)該能夠有效聯(lián)動(dòng)，比如實(shí)時(shí)鏈路檢測(cè)告警、POE交換機(jī)可虛擬化為出口交換機(jī)的端口方便骨干設(shè)備的管理●接入POE交換機(jī)應(yīng)支持縱向虛擬化功能，可將無(wú)線接入點(diǎn)設(shè)備虛擬成為端口，虛擬化后，整個(gè)校園網(wǎng)可以對(duì)外呈現(xiàn)為一臺(tái)設(shè)備節(jié)點(diǎn)，進(jìn)行統(tǒng)一的管理、簡(jiǎn)化運(yùn)維●接入交換機(jī)應(yīng)支持簡(jiǎn)易運(yùn)維，提供新入網(wǎng)設(shè)備Zero-Touch安裝、故障設(shè)備更換免配置、USB開(kāi)局、設(shè)備批量配置、批量遠(yuǎn)程升級(jí)等功能，便于安裝、升級(jí)、業(yè)務(wù)發(fā)放和其他管理維護(hù)工作，大大降低了運(yùn)維成本。.升級(jí)改造效果雖然此次設(shè)計(jì)部署的設(shè)備繁多，但通過(guò)簡(jiǎn)化運(yùn)維功能，可實(shí)現(xiàn)開(kāi)局時(shí)接入交換機(jī)和無(wú)線接入點(diǎn)的"零配置",同時(shí)免除了海量接入交換機(jī)的繁瑣配置；另一方面，通過(guò)縱向虛擬化技術(shù)，使得原來(lái)“核心/匯聚+接入交換機(jī)+無(wú)線接入點(diǎn)"的網(wǎng)絡(luò)架構(gòu)，虛擬化為一臺(tái)設(shè)備進(jìn)行管理，最大程度簡(jiǎn)化日常運(yùn)維、配置和管理工作。虛擬化之前的校園網(wǎng)虛擬化之后的校園網(wǎng).節(jié)能與降低TCO效果能耗40%。支持標(biāo)準(zhǔn)EEE技術(shù)，降低無(wú)線接入點(diǎn)和POE交換機(jī)之間的能耗30%。支持AHM專利技術(shù)，降低交換機(jī)有線網(wǎng)絡(luò)的能耗63%。達(dá)到端到端節(jié)能要求。無(wú)線接入點(diǎn)支持多種節(jié)能方式，最大程度的TCO支持WMM標(biāo)準(zhǔn)要求的U-APSD技術(shù)，使用喚醒和休眠機(jī)制達(dá)到AP和客戶端極降低端口能耗30%Q2*01L2.代人上電啟動(dòng)時(shí)，端口會(huì)響應(yīng)境醒，端口可用非映型端口：設(shè)備內(nèi)與休麗央型無(wú)關(guān)的端口，當(dāng)設(shè)備休服時(shí)設(shè)備不響應(yīng)這類端口的任何動(dòng)作瑩機(jī)休腸：設(shè)備檢測(cè)到映酬端口均進(jìn)入休解狀態(tài)，則整機(jī)進(jìn)入休矚，與非映醒味口的狀態(tài)無(wú)關(guān)非換醒講口空閑端口直接進(jìn)入端口休眠(以太網(wǎng)的物理層進(jìn)入低功耗模式)→端口無(wú)為12.6W)能耗能耗240*14*46.3+(365-240)*24*46.3=294468W(空閑流量功耗為46.3W)支持AHM特性交換機(jī)全年功耗為:6864休眠時(shí)間)=148776W業(yè)界標(biāo)準(zhǔn)交換機(jī)的全年功耗為：112320W(工作時(shí)間)+294468W(空閑時(shí)間)全年整體節(jié)能超過(guò)63%u+一年耗電量：148776W*小時(shí)一年樣電量：一年工作時(shí)段(30%流量)>覆蓋需求教室內(nèi)的無(wú)線覆蓋主要是滿足學(xué)生(筆記本+PAD)和老師的上網(wǎng)需求。具√每層樓有三種教室，第一種教室面積為：長(zhǎng)×寬=10×6;第二種教室面積為：長(zhǎng)×寬=5×6;第三種教室面積為：長(zhǎng)×寬=12×4。類多：高密度室內(nèi)場(chǎng)景(自習(xí)室);低密度室內(nèi)場(chǎng)景(閱覽室);流動(dòng)性室內(nèi)場(chǎng)景(圖書(shū)館大廳)室內(nèi)產(chǎn)品最好能內(nèi)置天線，以便無(wú)線接入點(diǎn)可以與圖書(shū)館的環(huán)境融合，減少對(duì)現(xiàn)有結(jié)構(gòu)的施工。>部署方案圖書(shū)館大廳無(wú)線覆蓋規(guī)劃如下圖：閱覽室布放若干無(wú)線接入點(diǎn)，滿足閱覽室內(nèi)的上網(wǎng)需求；大廳內(nèi)的無(wú)線接入點(diǎn)壁掛放置在休息區(qū)沙發(fā)椅上方的墻壁，主要滿足大廳內(nèi)師生的上網(wǎng)需求；在現(xiàn)代教育學(xué)習(xí)工作中，網(wǎng)絡(luò)是不可或缺的工作平臺(tái)和工具，但是因?yàn)榛ヂ?lián)網(wǎng)上資源良莠不齊，有很多非法內(nèi)容，也有部分人在網(wǎng)絡(luò)上進(jìn)行非法行為，具體的行●部分用戶在網(wǎng)絡(luò)上故意傳播黃色、賭博、毒品、反動(dòng)等相關(guān)信息；●部分用戶在工作時(shí)間內(nèi)瀏覽與工作無(wú)關(guān)的網(wǎng)站網(wǎng)頁(yè)、下載音樂(lè)視頻等行為導(dǎo)致工作效率的下降和網(wǎng)絡(luò)資源的浪費(fèi)?！裼捎趩T工在網(wǎng)絡(luò)上發(fā)表不符合當(dāng)?shù)胤煞ㄒ?guī)或者企業(yè)管理制度的言論，對(duì)單位形象或利益造成損失。為了更好規(guī)范網(wǎng)絡(luò)行為，建設(shè)文明的教育網(wǎng)絡(luò)，非常有必要對(duì)網(wǎng)絡(luò)的使用行為進(jìn)行審計(jì)。上網(wǎng)行為管理設(shè)備提供的上網(wǎng)行為審計(jì)功能，可以有效地監(jiān)控以上網(wǎng)絡(luò)行為，避免學(xué)校利益的損失，提升辦公效率。上網(wǎng)行為管理設(shè)備的處理流量模型房山區(qū)教委骨干網(wǎng)中，上網(wǎng)行為管理設(shè)備將被部署在各個(gè)匯聚和核心節(jié)點(diǎn)，通過(guò)對(duì)每個(gè)匯聚節(jié)點(diǎn)的上行流量鏡像分析的方式來(lái)完成行為審計(jì)。戶的上網(wǎng)行為，日志將和A用戶的用戶名相關(guān)聯(lián)。而對(duì)于B節(jié)點(diǎn)來(lái)說(shuō)，由于A用從A節(jié)點(diǎn)和B節(jié)點(diǎn)的監(jiān)控效果來(lái)看，他們所有的數(shù)據(jù)報(bào)文SIP和DIP是相反的，A點(diǎn)的哪個(gè)IP,發(fā)起對(duì)哪里的，什么訪問(wèn)";而B(niǎo)節(jié)點(diǎn)記錄的是“誰(shuí)，什么時(shí)間，從哪個(gè)外部IP,對(duì)我的什么應(yīng)用"發(fā)起的訪問(wèn)，這是兩個(gè)不同的視角，也即兩上行(或包括下行)南北流量，并不對(duì)環(huán)路上過(guò)往的東西流量做監(jiān)控。而通常情1.6.3.上網(wǎng)行為審計(jì)方案效果URL訪問(wèn)審計(jì)：審計(jì)域用戶所訪URLURL應(yīng)用審計(jì)：審計(jì)應(yīng)用的分類、應(yīng)用名、使用該應(yīng)用的用戶、用戶所在部門(mén)、>知名端口非標(biāo)協(xié)議審計(jì)：審計(jì)常見(jiàn)端口(21、25、80、110和443端口)上1.6.4.上網(wǎng)行為審計(jì)日志及審計(jì)報(bào)表表基于對(duì)流量、時(shí)長(zhǎng)、行為次數(shù)進(jìn)行排行、趨勢(shì)、對(duì)比三維度分析。其中，行為是指"誰(shuí)，從哪里，什么時(shí)間，對(duì)什么應(yīng)用，訪問(wèn)了什么內(nèi)容。對(duì)于生成報(bào)表可以任意指定以上的排列組合進(jìn)行展現(xiàn)。如下舉例：打量查6a*n日制業(yè)習(xí)型at面hmwa●上網(wǎng)流量審計(jì)日志們tna,R-atnna戶世池autaninatwa●上網(wǎng)時(shí)長(zhǎng)審計(jì)日志tai要nu園P-P動(dòng)i河電證如國(guó)國(guó)地量a共協(xié)曲品nnhtuunaasgntune55enenssiaa.*Tis+RE-*tuan型名過(guò)標(biāo)四小加凝越重通●用戶上下線審計(jì)日志質(zhì)m4a●郵件查詢審計(jì)日志a*s字量率海單NA每Dma●http外發(fā)排行報(bào)表工作無(wú)關(guān)應(yīng)用用戶時(shí)長(zhǎng)排名工作無(wú)關(guān)應(yīng)用累計(jì)時(shí)長(zhǎng)排名工作無(wú)關(guān)應(yīng)用累計(jì)時(shí)長(zhǎng)排名鐘cg4不分Wa7-VolPIWVideoCaneRebailP房山區(qū)教育城域網(wǎng)為全區(qū)師生提供教育資源服務(wù)，涉及164所學(xué)校、14萬(wàn)通過(guò)部署基于802.1x協(xié)議的準(zhǔn)入認(rèn)證系統(tǒng)以實(shí)現(xiàn)“絕對(duì)的”安全。但這一準(zhǔn)入了"管"而不“控”的管理方式，大大降低了網(wǎng)絡(luò)的整體安全性。法網(wǎng)站、散步不當(dāng)言論的行為進(jìn)行了管控。但傳統(tǒng)的教育城域網(wǎng)通過(guò)802.1x認(rèn)證方案來(lái)對(duì)接入用戶進(jìn)行身份認(rèn)證管理，但802.1x客戶端的分發(fā)安裝繁瑣、與體驗(yàn)，需要部署有線、無(wú)線一體化網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，對(duì)全區(qū)14萬(wàn)教育城域網(wǎng)式方便地進(jìn)行網(wǎng)絡(luò)訪問(wèn)策略管理，統(tǒng)一有線、無(wú)線的接入策略，真正做到"策略如影隨形”,徹底消除管理盲點(diǎn)，提升整網(wǎng)的接入安全性。聯(lián)動(dòng)實(shí)現(xiàn)對(duì)接入用戶的集中管控，當(dāng)用戶訪問(wèn)教育城域網(wǎng)業(yè)務(wù)資源時(shí)自動(dòng)推送Portal認(rèn)證頁(yè)面方便用戶的接入認(rèn)證；同時(shí)實(shí)現(xiàn)認(rèn)證記憶功能，在一定時(shí)間內(nèi)>補(bǔ)丁檢查軟件安裝檢查系統(tǒng)配置檢查(IE/Office)>組策略檢查非法外聯(lián)網(wǎng)絡(luò)隔離修復(fù)策略(提示、快速慘復(fù))QoS策略無(wú)線有線VPN房山區(qū)教育城域網(wǎng)覆蓋全區(qū)164所學(xué)校、14萬(wàn)師生，接入地點(diǎn)分散、用戶計(jì)對(duì)“唯一性”、"不可抵賴性"的要求，已經(jīng)不適合新形勢(shì)下網(wǎng)絡(luò)智能化管理規(guī)則說(shuō)明姓名學(xué)籍號(hào)/身份證號(hào)賬號(hào)方案二：自助申請(qǐng)方式，在實(shí)施準(zhǔn)入控制系統(tǒng)WEB(ACL,VLAN,QoS等)應(yīng)的認(rèn)證頁(yè)面，用戶只需在認(rèn)證頁(yè)面輸入帳號(hào)和密碼后提交即能完成認(rèn)證。用戶終端用戶終端準(zhǔn)入設(shè)備Portal服務(wù)器AAA服務(wù)器2、網(wǎng)絡(luò)準(zhǔn)入設(shè)備(骨干匯聚交換機(jī))截獲用戶HTTP請(qǐng)求，如果請(qǐng)求報(bào)文目的地址不是Portal服務(wù)器，通過(guò)HTTP重定向命令推送Portal的Web認(rèn)證頁(yè)面。3、用戶終端訪問(wèn)Portal服務(wù)器Web認(rèn)證頁(yè)面，輸入帳號(hào)/密碼，提交認(rèn)證。5、網(wǎng)絡(luò)準(zhǔn)入設(shè)備通過(guò)RADIUS協(xié)議，向認(rèn)證服務(wù)器(RADIUS服務(wù)器)進(jìn)行用戶8、Portal服務(wù)器向用戶終端通過(guò)HTTP通知認(rèn)證9、用戶可選擇下載安裝無(wú)線控制器tiveX控件(或安裝了客戶端代理軟件),日2、用戶訪問(wèn)WEB服務(wù)器時(shí)訪問(wèn)頁(yè)面被重定向到指定的Portal認(rèn)證頁(yè)面3、用戶在Portal認(rèn)證頁(yè)面上輸入賬號(hào)密碼，提交后Portal服Radius通過(guò)認(rèn)證，記錄終端M無(wú)線控制器地址和深瀾計(jì)費(fèi)服務(wù)器聯(lián)動(dòng)實(shí)現(xiàn)對(duì)用戶的計(jì)費(fèi)功能。當(dāng)用戶Portal認(rèn)證通過(guò)后，策內(nèi)網(wǎng)服務(wù)器Bras與計(jì)費(fèi)服務(wù)器之間能夠最大程度地減少話單的誤差，最大程度地保證計(jì)費(fèi)合作方B5S系統(tǒng)ERP親統(tǒng)夠助辦公用戶文熱機(jī)1)方便N無(wú)線控制器部署，授權(quán)用戶組取代傳統(tǒng)授權(quán)VLAN或者無(wú)線控制器L等模式，服務(wù)器只需下發(fā)用戶組名稱，方便N無(wú)線控制器部署。2)節(jié)省用戶資源，多用戶基于用戶組共享資源，在核心層交換機(jī)上，無(wú)線控制器L規(guī)格不會(huì)成為用戶管理瓶頸。3)實(shí)現(xiàn)真正任意地點(diǎn)漫游接入，授權(quán)名稱(用戶組)和授權(quán)內(nèi)容分離，可房和南區(qū)機(jī)房，因此建議16臺(tái)策略系統(tǒng)服務(wù)器集中式部署在機(jī)房里(2個(gè)機(jī)房各部署8臺(tái)服務(wù)器),同時(shí)為了保證Portal認(rèn)證的高可靠性，建議在策略系統(tǒng)服務(wù)器前各部署1臺(tái)負(fù)載均衡設(shè)備。策略系統(tǒng)r服務(wù)器部署示意圖如下：口如上圖所示，每個(gè)機(jī)房的負(fù)載均衡設(shè)備作為負(fù)載均衡器將后面策略系統(tǒng)的Portal服務(wù)器統(tǒng)一發(fā)布一個(gè)虛擬IP地址，用戶Portal認(rèn)證時(shí)使用該虛擬IP地臺(tái)的Portal服務(wù)器。2個(gè)機(jī)房的Portal服務(wù)器互為備份，提高用戶接入認(rèn)證的以覆蓋房山區(qū)14萬(wàn)師生以及學(xué)生的網(wǎng)絡(luò)應(yīng)用以及管理，在網(wǎng)絡(luò)改造以及建設(shè)的對(duì)園區(qū)無(wú)線網(wǎng)絡(luò)的無(wú)線資源(無(wú)線控制器/無(wú)線接入點(diǎn))進(jìn)室口1室口1◆設(shè)備在拓?fù)鋱D位置與展廳位置一致；TopN應(yīng)用流量(餅圖，存量)TopN會(huì)話流量(餅圖，存量)TopNSLA指標(biāo)(表格，存量)(餅圖，存量)(曲線圖，存量)TopN區(qū)域統(tǒng)計(jì)(表格，存量)內(nèi)存利用率(%)-Top10TopN接口流量(表格，存量)全網(wǎng)無(wú)線資源統(tǒng)計(jì)(餅圖，存量)黑*s1-aegonLocalNMSvSwitchoWndowXTemgtFTP-sen,1NOXNewXP.594_統(tǒng)一Topo:全網(wǎng)自動(dòng)發(fā)現(xiàn)，無(wú)線接入點(diǎn)至有線設(shè)備管理無(wú)中斷，狀態(tài)實(shí)時(shí)源1.零配置設(shè)備接入GE1/0/1-!aeMyseMehon25中t2**NMS-TMP2物理拓?fù)渲庇^顯示使能了IPCA的設(shè)備、鏈路丟包狀態(tài)等信息，從TIP信息ummw四01地口D算加該專警表明本次備份配置交件到服務(wù)器失數(shù)。如果該告警多次出現(xiàn)，可能是配置錯(cuò)誤或者研路故障，請(qǐng)檢查配置和同絡(luò)情況。,服務(wù)器不可達(dá)?！っ艽a不正確。,用戶名不存在或者服務(wù)器路徑不存在。1.測(cè)試服務(wù)器是否可達(dá)，使用plng命令查看客戶端與服務(wù)器之間是否可以Pug。2使用設(shè)備做為客戶端，訪間服務(wù)器。3.如果服務(wù)器路徑配置錯(cuò)誤，請(qǐng)重研配置相應(yīng)參數(shù)。*T12456數(shù)量數(shù)量POE交換機(jī)AC設(shè)備1111網(wǎng)量1.計(jì)即2勝21m/2042鞋21m/204h業(yè)外管理無(wú)線網(wǎng)絡(luò)問(wèn)題占日常故障的25%,這些問(wèn)題多種多樣，難以定位，產(chǎn)品提供姓面交換機(jī)路由器統(tǒng)一存儲(chǔ)單存儲(chǔ)節(jié)點(diǎn)可以通過(guò)掛載磁盤(pán)柜的級(jí)聯(lián)支持PB級(jí)數(shù)據(jù)存儲(chǔ)統(tǒng)一采集版保存，方便后續(xù)查詢。查詢結(jié)果可導(dǎo)出為Excel、CSV、TXT類型文件，方便用日志類型攻擊防范日志開(kāi)始結(jié)束時(shí)間、日志級(jí)別、攻擊類型、接口、攻擊源IP地址、攻擊目的IP地址、關(guān)鍵字查詢；包過(guò)濾日志開(kāi)始結(jié)束時(shí)間、日志級(jí)別、策略包過(guò)濾、源IP/Port、目的IP/Port、VPN實(shí)例、策略ID、安全域間、域間方向(出/入方向)、過(guò)濾結(jié)果、關(guān)鍵字查詢；插件阻斷日志開(kāi)始結(jié)束時(shí)間、日志級(jí)別、過(guò)濾類型(無(wú)線控制器tiveX/無(wú)線接入點(diǎn)plet)、源IP、目的IP、關(guān)鍵字查詢；入侵防御日志開(kāi)始結(jié)束時(shí)間、告警級(jí)別(錯(cuò)誤/關(guān)鍵/警告/通知/信息)、告警協(xié)議、動(dòng)作(丟棄/警告/重置/阻塞)、源IP/目的IP、源VPN實(shí)例、目的VPN實(shí)例、關(guān)鍵字查詢；反病毒日志(HTTP/POP3/SMTP)、源IP/目的IP、關(guān)鍵字查詢；開(kāi)始結(jié)束時(shí)間、源IP/目的IP、站點(diǎn)、URL、日志類型(分類過(guò)濾/黑名單過(guò)濾/訪問(wèn)日志)、關(guān)鍵字查詢；郵件過(guò)濾日志開(kāi)始結(jié)束時(shí)間、郵件審計(jì)類型(郵件連接/IP過(guò)濾/RBL)、關(guān)鍵字查黑名單日志IP地址地址綁定日志IP地址、M無(wú)線控制器地址操作命令日志防火墻登陸日志登錄類型(控制臺(tái)、FTP、Telnet、Http)、登錄用戶其它升級(jí)日志、協(xié)議識(shí)別日志、資源監(jiān)控日志采集和分析，獲取NAT信息(包括目的IP地址、目的端口、NAT前源IP地址和HTTP、MSN、QQ等業(yè)務(wù)),為公安部或SOX等審計(jì)提供有效的證據(jù)。后源IP、NAT后源端口、NAT后目的IP、NAT后目的端口),下面的例子說(shuō)明PAT如圖所示，內(nèi)網(wǎng)用戶訪問(wèn)外網(wǎng)的服務(wù)器0的HTTPNAT后源IP/NAT后源端口：1:57841NATServer方式IP地址轉(zhuǎn)換示例如圖所示，外網(wǎng)用戶0訪問(wèn)出于內(nèi)網(wǎng)的服務(wù)器的HTTP服務(wù)，NAT設(shè)備上已經(jīng)將內(nèi)部服務(wù)器的HTTP服務(wù)做了映射。這個(gè)會(huì)話的各NAT后目的IP/NAT后目的端口：階段1階段2階段3階段4階段5階段6階段7階段8項(xiàng)目籌備期貨物調(diào)配期現(xiàn)場(chǎng)安裝期設(shè)備調(diào)試期各功能初驗(yàn)期初步培訓(xùn)期細(xì)化培訓(xùn)期終驗(yàn)期細(xì)則》,項(xiàng)目進(jìn)度計(jì)劃的實(shí)施是對(duì)項(xiàng)目部考核的一項(xiàng)重書(shū)”,項(xiàng)目部各級(jí)主要管理負(fù)責(zé)人，也要按其職責(zé)劃分，層層簽訂“責(zé)任書(shū)”,(1)項(xiàng)目開(kāi)工前，必須嚴(yán)格根據(jù)施工招標(biāo)書(shū)的工期要求，提出項(xiàng)目總進(jìn)度(2)堅(jiān)持施工班組抓工序計(jì)劃目標(biāo)，各工區(qū)抓日計(jì)劃目標(biāo)，項(xiàng)目部抓周計(jì)(3)堅(jiān)持會(huì)議協(xié)調(diào)制度。堅(jiān)持每日現(xiàn)場(chǎng)例會(huì)、每周生產(chǎn)調(diào)度會(huì)、每旬生產(chǎn)(4)加強(qiáng)現(xiàn)場(chǎng)調(diào)度施工組織、協(xié)調(diào)、檢查、反饋及快速反應(yīng)的作用。(5)對(duì)各節(jié)點(diǎn)進(jìn)度實(shí)行目標(biāo)考核，建立進(jìn)度目標(biāo)獎(jiǎng)勵(lì)基金，對(duì)進(jìn)度目標(biāo)的(6)積極參加建設(shè)單位、監(jiān)理組織的各種協(xié)調(diào)會(huì)，積極配合建設(shè)單位和監(jiān)(7)當(dāng)由于在項(xiàng)目地質(zhì)條件、自然災(zāi)害等重大原因造成原目標(biāo)項(xiàng)目不可能(8)堅(jiān)持項(xiàng)目領(lǐng)導(dǎo)和技術(shù)人員現(xiàn)場(chǎng)24h值班制度，及時(shí)協(xié)調(diào)、處理、解決施工中出現(xiàn)的問(wèn)題，項(xiàng)目經(jīng)理和總項(xiàng)目師每月駐守工地不少于28d,且兩人不得(9)采取目標(biāo)管理、網(wǎng)絡(luò)技術(shù)等現(xiàn)代化管理方法，使施工組織更加全面和2.2.2.確保工期的主要技術(shù)措施1、編制合理詳細(xì)的進(jìn)度計(jì)劃：施工進(jìn)度網(wǎng)絡(luò)計(jì)劃，動(dòng)態(tài)管理，實(shí)際施工過(guò)2.2.3.人員保證措施2.2.4.設(shè)備保證措施2.2.5.設(shè)備及材料供應(yīng)保證措施2.2.6.影響工期因素的應(yīng)急回補(bǔ)措施本項(xiàng)目地理位置決定工期間不可避免受到交通的影響，為解決設(shè)備及材料進(jìn)出場(chǎng)，應(yīng)保證組織具有搶險(xiǎn)救急的運(yùn)輸公司來(lái)保證設(shè)備及材料進(jìn)場(chǎng)。項(xiàng)目經(jīng)理部成立以項(xiàng)目經(jīng)理和技術(shù)負(fù)責(zé)人為首的接口協(xié)調(diào)管理小組，組織機(jī)構(gòu)框圖見(jiàn)下圖：與本工程以外的外部工術(shù)施技部部合同”物資部室在施工過(guò)程中要及時(shí)與用戶溝通，通過(guò)用戶協(xié)調(diào)各方關(guān)系，具體做到：(1)成立以項(xiàng)目經(jīng)理為組長(zhǎng)的對(duì)外聯(lián)系小組，負(fù)責(zé)與用戶配合協(xié)調(diào)工作。(2)施工中發(fā)現(xiàn)的新問(wèn)題、新情況由項(xiàng)目經(jīng)理向用戶代表提出并通過(guò)用戶(3)在按圖施工、服從監(jiān)理的前提下組織施工，處處為用戶著想，始終把在設(shè)計(jì)會(huì)審和交底階段，是施工單位理解\熟悉設(shè)計(jì)意圖的重要階段，因此以人為本，遵法守規(guī)，科學(xué)管理，精心組織，確保產(chǎn)品讓用戶及政府滿意嚴(yán)格按照用戶要求標(biāo)準(zhǔn)施工，項(xiàng)目合格率達(dá)到100%,優(yōu)良率達(dá)到95%以上，項(xiàng)目經(jīng)理部設(shè)質(zhì)量安全環(huán)保部，配1名專職安全質(zhì)量檢查項(xiàng)目師，在施工過(guò)檢、互檢、交接檢"的"三檢"制度的基礎(chǔ)上，認(rèn)真接受建設(shè)單位質(zhì)量監(jiān)督和監(jiān)項(xiàng)目經(jīng)理總部項(xiàng)目經(jīng)理總部項(xiàng)目總工程師2.4.3.施工過(guò)程質(zhì)量控制質(zhì)檢員質(zhì)檢員質(zhì)檢員質(zhì)檢員質(zhì)檢員試驗(yàn)叫施工0.從施工進(jìn)度計(jì)劃上保證質(zhì)量根據(jù)施工條件綜合制定合理而經(jīng)濟(jì)的施工總進(jìn)度計(jì)劃和階段性或分項(xiàng)項(xiàng)目施工組織設(shè)計(jì)(施工方案)對(duì)項(xiàng)目概況、施工條件、施工總體布置、施工方施工過(guò)程從接到設(shè)計(jì)圖紙、制定施工方案時(shí)即開(kāi)始，程序如下：設(shè)計(jì)交底、研究圖紙及說(shuō)明書(shū)→編制工作程序及質(zhì)量保證計(jì)劃→審查批準(zhǔn)→施工準(zhǔn)備→試團(tuán)隊(duì)具有10多年從業(yè)經(jīng)驗(yàn)，積累了豐富的現(xiàn)場(chǎng)實(shí)施經(jīng)驗(yàn)和技術(shù)支持，設(shè)備項(xiàng)目管理機(jī)構(gòu)配備情況表項(xiàng)目管理人員證書(shū)2.5.3.項(xiàng)目負(fù)責(zé)人簡(jiǎn)歷表一、項(xiàng)目組全體成員開(kāi)項(xiàng)目組成立會(huì)，會(huì)中明確本項(xiàng)目啟動(dòng)、計(jì)劃、執(zhí)行、2、項(xiàng)目啟動(dòng)安排表項(xiàng)目名稱業(yè)務(wù)員合同簽訂日期開(kāi)工日期工程技術(shù)人員項(xiàng)目設(shè)計(jì)人預(yù)計(jì)執(zhí)行工期項(xiàng)目等級(jí)一級(jí)施工人員客戶協(xié)助人員項(xiàng)目描述準(zhǔn)備情況部門(mén)經(jīng)理簽字：財(cái)務(wù)簽字：工程部簽字：項(xiàng)目名稱中小學(xué)無(wú)線覆蓋項(xiàng)目施工人員項(xiàng)目啟動(dòng)會(huì)時(shí)間地點(diǎn)參會(huì)人員工程師部門(mén)經(jīng)理簽字：財(cái)務(wù)簽字：工程部簽字：備注：此表由項(xiàng)目經(jīng)理填寫(xiě)，同時(shí)按表內(nèi)相關(guān)聯(lián)系人編制項(xiàng)目手冊(cè)。工作安排序號(hào)產(chǎn)品到貨時(shí)間負(fù)責(zé)人123456789填表人：序號(hào)設(shè)備名