技術(shù)方案建議書-(長(zhǎng)沙衛(wèi)生職業(yè)學(xué)院)

智慧校園網(wǎng)絡(luò)建方案建議書上海寰創(chuàng)網(wǎng)絡(luò)科技有限公司2016年4月23日

目錄第一章 移動(dòng)智慧校園需求分析 71.1 先進(jìn)架構(gòu)網(wǎng)絡(luò) 71.2 “三高”網(wǎng)絡(luò)基礎(chǔ)要求 71.3 安全、健康、綠色網(wǎng)絡(luò) 91.4 健全運(yùn)維體系網(wǎng)絡(luò) 101.5 實(shí)用型“教育大數(shù)據(jù)”平臺(tái) 111.6 可擴(kuò)展“智慧物聯(lián)網(wǎng)”平臺(tái) 11第二章 基礎(chǔ)網(wǎng)絡(luò)設(shè)計(jì) 122.1 現(xiàn)狀分析 122.2 建設(shè)目標(biāo) 122.3 方案概述 132.3.1 理念概述 132.3.2 設(shè)計(jì)原則 142.3.3 總體設(shè)計(jì) 152.4 骨干網(wǎng)絡(luò)方案設(shè)計(jì) 182.4.1 基礎(chǔ)區(qū)域網(wǎng)絡(luò)規(guī)劃 182.5 無(wú)線網(wǎng)絡(luò)方案設(shè)計(jì) 202.5.1 無(wú)線網(wǎng)絡(luò)設(shè)計(jì)原則 202.5.2 無(wú)線傳播特性 212.5.3 無(wú)線覆蓋典型場(chǎng)景方案 222.5.4 無(wú)感知漫游切換 252.5.5 WLANQOS機(jī)制設(shè)計(jì) 272.5.6 無(wú)線安全設(shè)計(jì) 292.6 網(wǎng)絡(luò)管理平臺(tái)設(shè)計(jì) 322.6.1 網(wǎng)絡(luò)管理子系統(tǒng)設(shè)計(jì) 322.6.2 網(wǎng)絡(luò)運(yùn)營(yíng)子系統(tǒng)設(shè)計(jì) 332.7 認(rèn)證系統(tǒng)設(shè)計(jì) 352.7.1 目前主流的認(rèn)證方式 352.7.2 對(duì)接現(xiàn)有網(wǎng)絡(luò)認(rèn)證平臺(tái) 362.7.3 用戶接入設(shè)計(jì) 362.7.4 無(wú)感知認(rèn)證 362.8 校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) 372.8.1 網(wǎng)絡(luò)安全方案設(shè)計(jì) 372.8.2 遠(yuǎn)程訪問互聯(lián)安全 442.8.3 上網(wǎng)行為安全審計(jì) 462.8.4 應(yīng)用入侵防御方案 472.9 寰創(chuàng)移動(dòng)智慧校園網(wǎng)服務(wù)特點(diǎn) 472.9.1 WiFi無(wú)線網(wǎng)絡(luò)創(chuàng)新定制能力 472.9.2 全局無(wú)線資源管理 482.9.3 完善的Qos保證體系 482.9.4 專為宿舍環(huán)境定制的綠色環(huán)保AP 49第三章 機(jī)房設(shè)計(jì)方案 503.1 機(jī)房建設(shè)系統(tǒng)概述 503.2 設(shè)計(jì)依據(jù) 513.3 系統(tǒng)設(shè)計(jì)方案 513.3.1 機(jī)房裝飾 513.3.2 頂棚 513.3.3 供配電系統(tǒng) 553.3.4 接地及防雷系統(tǒng) 583.3.5 氣體消防系統(tǒng) 603.3.6 場(chǎng)地集中監(jiān)控 623.3.7 UPS不間斷電源系統(tǒng) 663.3.8 機(jī)房精密空調(diào)系統(tǒng) 67第四章 數(shù)據(jù)中心設(shè)計(jì)方案 734.1 概述 734.1.1 建設(shè)目標(biāo) 734.1.2 建設(shè)原則 734.1.3 建設(shè)需求 744.2 方案總體設(shè)計(jì) 754.2.1 總體邏輯架構(gòu) 754.2.2 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì) 754.2.3 技術(shù)選型概要設(shè)計(jì) 774.3 計(jì)算資源池設(shè)計(jì) 794.3.1 設(shè)計(jì)思路 794.3.2 構(gòu)建高效利用的池化資源 794.3.3 通過云提供基礎(chǔ)架構(gòu)資源 804.3.4 自助方式訪問虛擬資源 804.3.5 資源池規(guī)劃 804.4 存儲(chǔ)資源池設(shè)計(jì) 834.4.1 寶德云分布式存儲(chǔ)PLStor 834.4.2 高效的尋址方式 834.4.3 動(dòng)態(tài)分布式元數(shù)據(jù) 844.5 寶德云分布式存儲(chǔ)特點(diǎn) 844.5.1 多元化存儲(chǔ)接口 844.5.2 存儲(chǔ)監(jiān)控功能 854.5.3 無(wú)縫對(duì)接寶德云平臺(tái) 86第五章 綜合布線子系統(tǒng)設(shè)計(jì) 885.1 系統(tǒng)概述 885.2 產(chǎn)品選型 885.3 設(shè)計(jì)原則 885.4 項(xiàng)目需求分析 895.5 系統(tǒng)設(shè)計(jì)依據(jù) 905.6 系統(tǒng)設(shè)計(jì)說明 915.6.1 布線系統(tǒng)結(jié)構(gòu)說明 915.6.2 工作區(qū)子系統(tǒng)設(shè)計(jì)說明 925.6.3 水平子系統(tǒng)設(shè)計(jì)說明 925.6.4 垂直干線子系統(tǒng)設(shè)計(jì)說明 935.6.5 管理間子系統(tǒng)設(shè)計(jì)說明 945.6.6 設(shè)備間子系統(tǒng)設(shè)計(jì)說明 955.6.7 建筑群子系統(tǒng)設(shè)計(jì)說明 955.6.8 系統(tǒng)冗余 955.7 綜合布線標(biāo)簽規(guī)范 953.7.1 設(shè)備標(biāo)簽規(guī)范 953.7.2 信息點(diǎn)標(biāo)簽規(guī)范 963.7.3 線纜標(biāo)簽 96第六章 項(xiàng)目施工方案 986.1 施工依據(jù) 986.2 施工條件 996.3 項(xiàng)目主要目標(biāo) 996.4 施工組織能力 1016.4.1 組織結(jié)構(gòu)圖 1016.4.2 項(xiàng)目人員組織計(jì)劃和分組 1016.4.3 工程項(xiàng)目管理 1036.5 施工進(jìn)度及控制措施 1076.5.1 工程進(jìn)度計(jì)劃 1076.5.2 工程前期準(zhǔn)備計(jì)劃表 1106.5.3 影響工期的因素 1126.6 進(jìn)度保證措施 1126.7 施工質(zhì)量控制措施和技術(shù)措施 1146.7.1 工程項(xiàng)目施工質(zhì)量的組織保證和質(zhì)量承諾 1146.7.2 工程項(xiàng)目施工前期質(zhì)量準(zhǔn)備工作 1146.7.3 施工過程質(zhì)量控制 1156.7.4 施工項(xiàng)目驗(yàn)收及交付 1166.7.5 施工項(xiàng)目質(zhì)量監(jiān)督管理 1166.7.6 關(guān)鍵過程的質(zhì)量控制 1176.7.7 質(zhì)量控制點(diǎn) 1176.7.8 質(zhì)量事故處理 1186.7.9 施工質(zhì)量事故的防范 1186.7.10 項(xiàng)目部強(qiáng)調(diào)并要求達(dá)到的技術(shù)標(biāo)準(zhǔn) 1186.8 安全生產(chǎn)的保障措施及技術(shù)措施 1196.9 文明施工措施 120第七章 項(xiàng)目驗(yàn)收 1217.1 工程驗(yàn)收原則及范圍 1217.1.1 驗(yàn)收原則和依據(jù) 1217.1.2 驗(yàn)收內(nèi)容和范圍 1217.2 工程驗(yàn)收前檢查 1217.2.1 環(huán)境檢查 1217.2.2 設(shè)備及器材開箱檢查 1227.2.3 設(shè)備安裝 1227.2.4 安裝電纜走道（或槽道） 1237.3 線纜布放驗(yàn)收 1247.3.1 網(wǎng)線的敷設(shè) 1247.3.2 電源線的敷設(shè) 1257.3.3 接地線的敷設(shè) 1257.3.4 尾纖的敷設(shè) 1257.4 有源器件安裝驗(yàn)收 1267.5 無(wú)源器件安裝驗(yàn)收 1267.6 天線安裝驗(yàn)收 1267.7 電源檢查驗(yàn)收 1277.8 防雷接地驗(yàn)收 1287.9 標(biāo)簽驗(yàn)收 1287.9.1 信號(hào)覆蓋電平 1287.9.2 信噪比測(cè)試 1287.9.3 Ping包測(cè)試 1297.9.4 同AP下用戶隔離測(cè)試 1297.9.5 WEB認(rèn)證時(shí)間及成功率 1297.9.6 系統(tǒng)吞吐量與接入帶寬測(cè)試 1297.10 技術(shù)文件和備件的移交 129第八章 移動(dòng)智慧校園應(yīng)用規(guī)劃 1308.1 從信息化到移動(dòng)智慧的躍遷 1308.2 移動(dòng)一站式學(xué)工服務(wù)平臺(tái) 1318.2.1 平臺(tái)建設(shè)目標(biāo) 1318.2.2 平臺(tái)建設(shè)內(nèi)容 1328.2.3 平臺(tái)使用效果 1408.3 教育大數(shù)據(jù)教輔服務(wù)平臺(tái) 1418.3.1 平臺(tái)建設(shè)目標(biāo) 1418.3.2 平臺(tái)建設(shè)方案 1438.3.3 平臺(tái)使用效果 1528.4 智慧物聯(lián)網(wǎng)綜合服務(wù)平臺(tái) 1528.4.1 平臺(tái)建設(shè)目標(biāo) 1528.4.2 平臺(tái)建設(shè)內(nèi)容 1538.4.3 平臺(tái)使用效果 1568.5 教育云服務(wù)平臺(tái) 1568.5.1 平臺(tái)建設(shè)目標(biāo) 1578.5.2 平臺(tái)建設(shè)內(nèi)容 1578.6 學(xué)校管理綜合服務(wù)平臺(tái) 1608.6.1 平臺(tái)建設(shè)目標(biāo) 1608.6.2 平臺(tái)建設(shè)內(nèi)容 1608.7 家長(zhǎng)校友綜合服務(wù)平臺(tái) 1648.7.1 平臺(tái)建設(shè)目標(biāo) 1648.7.2 平臺(tái)建設(shè)內(nèi)容 164第九章 智慧校園綜合運(yùn)營(yíng)方案 1689.1 “綜合運(yùn)營(yíng)”模式保障 1689.2 項(xiàng)目建設(shè)期的運(yùn)營(yíng)介入 1699.3 試運(yùn)營(yíng)的全員推廣 1709.4 正式運(yùn)營(yíng)業(yè)務(wù)和內(nèi)容的雙層滲透 170第十章 運(yùn)維設(shè)計(jì)方案 17210.1 運(yùn)維服務(wù)體系 17210.1.1 總部運(yùn)維服務(wù)機(jī)構(gòu) 17210.1.2 運(yùn)維服務(wù)組織架構(gòu) 17210.1.3 辦事處組織架構(gòu) 17310.2 運(yùn)維設(shè)計(jì)方案 17410.2.1 運(yùn)維服務(wù)流程 17410.2.2 產(chǎn)品備件服務(wù) 17510.2.3 重大事件保障 17610.2.4 駐地服務(wù) 17610.2.5 網(wǎng)絡(luò)管理子系統(tǒng)監(jiān)控 17610.2.6 網(wǎng)絡(luò)定期巡檢 17610.2.7 運(yùn)維服務(wù)總結(jié) 17710.2.8 運(yùn)維文檔更新 17710.2.9 運(yùn)維技術(shù)培訓(xùn) 177第十一章 公司介紹 17911.1 公司簡(jiǎn)介 17911.2 寰創(chuàng)榮譽(yù) 18011.3 移動(dòng)智慧校園網(wǎng)運(yùn)營(yíng)資質(zhì) 18111.4 移動(dòng)智慧校園服務(wù)案例 183附錄一：投資方案 1851.1 投資測(cè)算 1851.2 網(wǎng)絡(luò)設(shè)備配置清單 1861.3 建設(shè)周期 1891.4 投資模式 1891.5 投資資金保障 1891.6 雙方責(zé)任及義務(wù) 189附錄二：產(chǎn)品介紹 1911.1 無(wú)線接入控制器ENAX-BC3000 1911.2 POE接入交換機(jī)S5100-24GT2GS-PW 1951.3 11ac面板式AP（雙頻）N3000-WA6125 1981.4 11ac吸頂式AP（雙頻）N3000-TA2025ac 2011.5 11ac室外一體化AP（雙頻）N3000-OA5025 206移動(dòng)智慧校園需求分析先進(jìn)架構(gòu)網(wǎng)絡(luò)智慧校園的建設(shè)過程是個(gè)長(zhǎng)周期的系統(tǒng)工程，所以在方案的先進(jìn)性和高擴(kuò)展性就成了非常重要的。需要實(shí)現(xiàn)諸如無(wú)線有線一體化、校區(qū)宿舍一體化、認(rèn)證統(tǒng)一、平臺(tái)統(tǒng)一、不同子系統(tǒng)間數(shù)據(jù)共享、移動(dòng)端業(yè)務(wù)和PC端業(yè)務(wù)融合；采用的平臺(tái)要具備對(duì)未來(lái)業(yè)務(wù)的擴(kuò)展承載能力、對(duì)物聯(lián)網(wǎng)的支持能力。綜合來(lái)看，在認(rèn)證和業(yè)務(wù)中間平臺(tái)架構(gòu)應(yīng)該多采用混合云的模式，保證本地?cái)?shù)據(jù)的安全性，又可以保證同其他互聯(lián)網(wǎng)平臺(tái)的互通互融；網(wǎng)絡(luò)使用業(yè)務(wù)應(yīng)該借鑒SDN網(wǎng)絡(luò)的思想，實(shí)現(xiàn)網(wǎng)絡(luò)控制的軟件化（諸如根據(jù)時(shí)間和場(chǎng)景對(duì)網(wǎng)絡(luò)使用人進(jìn)行自定義）?；A(chǔ)網(wǎng)絡(luò)架構(gòu)中的交換層面要具備數(shù)據(jù)高擴(kuò)展性，方便數(shù)據(jù)沉淀和提取；網(wǎng)絡(luò)可視化方面要支持功能模組定義和所見即所得模塊化呈現(xiàn)。寰創(chuàng)針對(duì)長(zhǎng)沙衛(wèi)生職業(yè)學(xué)院推出的智慧校園建設(shè)方案充分考慮以上特點(diǎn)的要求，在無(wú)線接入網(wǎng)絡(luò)方案，數(shù)通產(chǎn)品選擇，平臺(tái)能力建設(shè)和移動(dòng)端分層級(jí)的功能設(shè)定方面都充分的體現(xiàn)了這一點(diǎn)。“三高”網(wǎng)絡(luò)基礎(chǔ)要求“三高”網(wǎng)絡(luò)基礎(chǔ)要求包括高質(zhì)品質(zhì)無(wú)線，高可靠網(wǎng)絡(luò)和高效率網(wǎng)絡(luò)。高品質(zhì)無(wú)線：需要根據(jù)場(chǎng)景化進(jìn)行無(wú)線設(shè)備選擇，技術(shù)上需要解決漫游切換控制，深度QoS等上提供核心問題。場(chǎng)景化的設(shè)備選擇是基礎(chǔ)組網(wǎng)要求，寰創(chuàng)在校園場(chǎng)景上可以提供如下方案：典型場(chǎng)所接入需求接入模式說明宿舍無(wú)線+有線融合接入無(wú)線接入為主，AP兼做有線接入（主要用于PC接入）教室無(wú)線+有線融合接入無(wú)線接入為主，AP兼做有線接口（教學(xué)電腦接入）辦公樓無(wú)線+有線平行接入有線接入為主，無(wú)線接入為輔圖書館無(wú)線+有線平行接入有線無(wú)線并重食堂無(wú)線+有線平行接入無(wú)線接入為主，有線接入用于一卡通等系統(tǒng)接入室外無(wú)線接入為保證普遍存在的校園無(wú)線網(wǎng)絡(luò)低速移動(dòng)的特性，寰創(chuàng)無(wú)線校園網(wǎng)在漫游切換控制上對(duì)所有覆蓋AP采用“HandoffAssist被動(dòng)漫游”和“AP導(dǎo)航漫游”；在底層協(xié)議支持上更是符合802.11k和802.11r協(xié)議族。對(duì)于筆記本無(wú)線用戶提供標(biāo)準(zhǔn)客戶端進(jìn)行輔助更優(yōu)質(zhì)信號(hào)的選擇；對(duì)于安卓類可以控制無(wú)線接入的移動(dòng)端采用APP主動(dòng)裁決的方式引導(dǎo)用戶優(yōu)質(zhì)信號(hào)的選擇切換。此外，寰創(chuàng)無(wú)線方案首創(chuàng)“全局RRM”的概念，將自動(dòng)信道規(guī)劃，基于AC/AP的業(yè)務(wù)負(fù)載均衡，5G優(yōu)先接入和動(dòng)態(tài)功率調(diào)整進(jìn)行打包，在進(jìn)行設(shè)備規(guī)劃階段就提供專用的部署工具，在運(yùn)行階段采用AP周期進(jìn)行測(cè)量報(bào)告，AC進(jìn)行全局RRM算法的方式確保無(wú)線網(wǎng)絡(luò)的接入體驗(yàn)。高可靠網(wǎng)絡(luò)：需要對(duì)核心設(shè)備做1+1備份，骨干鏈路做1+1備份；同時(shí)核心設(shè)備的選擇要采用主流華為高等級(jí)設(shè)備，骨干業(yè)務(wù)服務(wù)器需要采用虛擬化技術(shù)做到高可靠。寰創(chuàng)智慧校園網(wǎng)絡(luò)會(huì)對(duì)核心層的數(shù)據(jù)交換設(shè)備做徹底的備份，核心匯聚層面的關(guān)鍵設(shè)備也做依次處理；對(duì)于出口鏈路的選擇上一本用戶采用多鏈路備份；確保臨時(shí)的網(wǎng)絡(luò)故障不會(huì)導(dǎo)致大面積的斷網(wǎng)。對(duì)于無(wú)線網(wǎng)絡(luò)這提供AP自動(dòng)補(bǔ)盲和自主工作兩種技術(shù)確保接入順暢；自動(dòng)補(bǔ)盲是指AP會(huì)主動(dòng)掃描周圍設(shè)備的存活情況，如果發(fā)現(xiàn)有退服現(xiàn)象，及時(shí)進(jìn)行功率遞增進(jìn)行信號(hào)覆蓋補(bǔ)充；自主工作則是防止管理面出現(xiàn)問題（比如AC故障退服），此時(shí)AP會(huì)自動(dòng)退化成胖模式，進(jìn)行自主接入和VLAN轉(zhuǎn)發(fā)等工作。高效率的網(wǎng)絡(luò)：最大化的將網(wǎng)絡(luò)使用效率提高，靠CDN和高速緩存技術(shù)解決出口瓶頸，靠有線無(wú)線一體化技術(shù)解決“泛在接入”，充分將無(wú)效的碎片時(shí)間投入到場(chǎng)景化的學(xué)習(xí)工作中去。CDN和高速緩存網(wǎng)絡(luò)的使用，可以將本地網(wǎng)關(guān)存儲(chǔ)的廣域覆蓋的MOOC內(nèi)容，影視內(nèi)容進(jìn)行集中的更新，更新時(shí)間自動(dòng)選擇寬帶出口利用率低的時(shí)間段以及也會(huì)根據(jù)用戶的音視頻訪問熱度進(jìn)行自動(dòng)的本地緩存內(nèi)容下拉；可以最大化的利用互聯(lián)網(wǎng)出口的能力。寰創(chuàng)在網(wǎng)絡(luò)出口的核心設(shè)備“智能網(wǎng)關(guān)”具備深度DPI的能力，可以就業(yè)務(wù)形態(tài)進(jìn)行深度QoS從而實(shí)現(xiàn)將不對(duì)稱出口疊加對(duì)稱出口的最大性價(jià)比實(shí)現(xiàn)業(yè)務(wù)訪問的順暢性。同時(shí)網(wǎng)絡(luò)覆蓋的有線無(wú)線一體化，實(shí)現(xiàn)校園的無(wú)縫漫游，無(wú)論在何方何時(shí)接入都可以享用極速的網(wǎng)絡(luò)接入，實(shí)現(xiàn)的業(yè)務(wù)觸達(dá)的極大面扁平，APP等移動(dòng)端的業(yè)務(wù)開展以及各種上層業(yè)務(wù)的移動(dòng)化定制，提高了校園管理和教學(xué)生活的效率。從基礎(chǔ)網(wǎng)絡(luò)上保證了智慧教育的有效實(shí)施。安全、健康、綠色網(wǎng)絡(luò)校園網(wǎng)絡(luò)的使用人員龐雜，從學(xué)生到教工，從工作訪客到旅游訪客等不一而足，完善的安全防護(hù)體系是校園信息系統(tǒng)穩(wěn)定高效運(yùn)行的保證。寰創(chuàng)的解決方案滿足《國(guó)家信息安全等級(jí)第二級(jí)保護(hù)制度》；可以為校園網(wǎng)管理提供了一個(gè)全面、立體的防護(hù)和管理手段，校園網(wǎng)管理者借助這些操作簡(jiǎn)單，易學(xué)易用的工具，確保校園網(wǎng)信息系統(tǒng)安全，穩(wěn)定和健康的運(yùn)行，切實(shí)保障信息化建設(shè)投資發(fā)揮其應(yīng)有的作用。在認(rèn)證接入上采用學(xué)號(hào)或者工號(hào)認(rèn)證，同時(shí)支持手機(jī)號(hào)認(rèn)證（支持訪客網(wǎng)絡(luò)實(shí)名），最大化的滿足國(guó)家要求的網(wǎng)絡(luò)實(shí)名制。在無(wú)線前端AP設(shè)備上支持MAC嗅探，滿足文保相關(guān)領(lǐng)域的要求；在網(wǎng)絡(luò)訪問使用上滿足國(guó)家82號(hào)令的的要求，可以對(duì)所有網(wǎng)絡(luò)的日志，NAT轉(zhuǎn)換,URL訪問記錄進(jìn)行長(zhǎng)達(dá)6月以上的的留存；支持訪問使用者的虛擬身份的綜合采集和畫像脫敏輸出。寰創(chuàng)解決的網(wǎng)關(guān)提供關(guān)鍵詞過濾和阻斷，根據(jù)第三方的非法網(wǎng)站數(shù)據(jù)進(jìn)行黑白名單的控制，防止不良網(wǎng)站和內(nèi)容對(duì)教育教學(xué)工作的影響。通過對(duì)網(wǎng)關(guān)行為的數(shù)據(jù)監(jiān)控，及時(shí)的發(fā)現(xiàn)相對(duì)敏感的社會(huì)熱點(diǎn)在校園的出現(xiàn)從而保持學(xué)生工作的開展。也可以提供針對(duì)特定學(xué)生的敏感詞搜索和查看頻率，提前做好重點(diǎn)人群的思政教育工作。對(duì)于需要安裝在學(xué)生寢室的設(shè)備，具備綠色功率特性，各種電磁輻射指標(biāo)控制滿足CCC認(rèn)證；在關(guān)鍵指標(biāo)上諸如變壓器采用靜音變壓器，實(shí)現(xiàn)零噪音；在正常工作時(shí)選擇關(guān)閉LED，避免光污染；具備動(dòng)態(tài)功率控制實(shí)現(xiàn)軟關(guān)機(jī)等功能。健全運(yùn)維體系網(wǎng)絡(luò)智慧的校園網(wǎng)首先是一張運(yùn)維體系健全和智慧運(yùn)維的網(wǎng)絡(luò)。在寰創(chuàng)提供的運(yùn)維體系中，包括一套完備的網(wǎng)管中心軟件，一套完備的呼叫中心（包括智能客服機(jī)器人），一套問題跟蹤的工單系統(tǒng)和一個(gè)落地支撐團(tuán)隊(duì)；通過網(wǎng)管中心可以實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備可視化運(yùn)營(yíng)，問題故障一目了然；完備的呼叫中心則可以保證問題的上通下達(dá)，實(shí)現(xiàn)隨叫隨到的“都式”客服體系；疊加機(jī)器人客服功能，可以做到80%的常見問題無(wú)需人工干預(yù)，直接將最佳答案?jìng)鬟f給用戶。通過問題工單系統(tǒng)，可以做到所有故障的可跟蹤流轉(zhuǎn)；無(wú)論是人工客服還是機(jī)器人客服在接收到無(wú)法及時(shí)解決的問題后都會(huì)將問題提交到工單系統(tǒng)；然后工作通過郵件，短信，團(tuán)隊(duì)協(xié)作工作的方式秒級(jí)的效率發(fā)送給落地的支撐團(tuán)隊(duì)；問題解決完成后運(yùn)維人員將問題進(jìn)行關(guān)閉完成閉環(huán)處理。工單系統(tǒng)可以基于項(xiàng)目維度，問題類別維度，運(yùn)維人員的維度進(jìn)行數(shù)據(jù)統(tǒng)計(jì)，提高整體的運(yùn)作效率。實(shí)用型“教育大數(shù)據(jù)”平臺(tái)智慧校園最終實(shí)現(xiàn)一定是通過數(shù)據(jù)分析和呈現(xiàn)（無(wú)論是事后分析，還是事前預(yù)警）的方式展現(xiàn)的。通過建設(shè)一套完備的基礎(chǔ)網(wǎng)絡(luò)，然后充分的網(wǎng)絡(luò)內(nèi)數(shù)據(jù)的搜集和分析，并將這些數(shù)據(jù)反哺給校園內(nèi)開展的各種具體的業(yè)務(wù)，比如學(xué)生行為分析和干預(yù)，校園位置熱力圖等。在大數(shù)據(jù)平臺(tái)的設(shè)計(jì)架構(gòu)上要遵從開放，充分的業(yè)務(wù)結(jié)合，權(quán)限控制和脫敏，可視化呈現(xiàn)4個(gè)重要的邏輯，并根據(jù)實(shí)際的業(yè)務(wù)開展類型，進(jìn)行模塊化設(shè)計(jì)；目前的大數(shù)據(jù)平臺(tái)在結(jié)構(gòu)上分為：畫像類，位置類，統(tǒng)計(jì)類和預(yù)測(cè)類4個(gè)大的模塊；并可以實(shí)現(xiàn)根據(jù)數(shù)據(jù)來(lái)源的擴(kuò)充進(jìn)行自動(dòng)的數(shù)據(jù)歸類合并，在具體的業(yè)務(wù)合作方的配合下實(shí)現(xiàn)快速的數(shù)據(jù)融合和分析。除了提供基于基礎(chǔ)網(wǎng)絡(luò)的實(shí)用型大數(shù)據(jù)以外，寰創(chuàng)可以聯(lián)合易班等MOOC業(yè)務(wù)合作方，提供綜合的免費(fèi)的MOOC資源平臺(tái)，利用合作方在大數(shù)據(jù)方面的深厚研發(fā)和資源整合能力為學(xué)校提供整套的立即可用的大數(shù)據(jù)教育平臺(tái)?？蓴U(kuò)展“智慧物聯(lián)網(wǎng)”平臺(tái)物聯(lián)網(wǎng)主要解決物件到物件（thingtothing，T2T），人到物件（humantothing，H2T），人到人之間的互聯(lián)（humantohuman，H2H）。隨著物聯(lián)網(wǎng)技術(shù)的研究與應(yīng)用，利用物聯(lián)網(wǎng)可以解決傳統(tǒng)意義上互聯(lián)網(wǎng)沒有考慮的與物件互接的問題。在實(shí)際應(yīng)用上物聯(lián)網(wǎng)分為三個(gè)層次：第一是傳感系統(tǒng)（設(shè)備層），通過各種技術(shù)手段，來(lái)實(shí)現(xiàn)和物相關(guān)的信息識(shí)別和采集；第二是通信網(wǎng)絡(luò)（信號(hào)傳輸和獲取層），包括現(xiàn)在的互聯(lián)網(wǎng)、通信網(wǎng)、廣電網(wǎng)以及各種接入網(wǎng)和專用網(wǎng)，目的是對(duì)采集來(lái)的信息進(jìn)行可靠傳輸和處理；第三是應(yīng)用和業(yè)務(wù)（業(yè)務(wù)應(yīng)用層），即輸入輸出控制終端，可基于現(xiàn)有的手機(jī)、個(gè)人電腦等終端進(jìn)行。物聯(lián)網(wǎng)及環(huán)境感知技術(shù)是“數(shù)字化校園”的基礎(chǔ)技術(shù)，有助于實(shí)現(xiàn)對(duì)校園各種物理設(shè)備的實(shí)時(shí)動(dòng)態(tài)監(jiān)控與控制，采集教學(xué)過程等各種傳統(tǒng)數(shù)字化校園無(wú)法采集的數(shù)據(jù)。通過物聯(lián)網(wǎng)及環(huán)境感知技術(shù)，我們可以轉(zhuǎn)變個(gè)人與組織機(jī)構(gòu)，自然系統(tǒng)和人造系統(tǒng)的交互方式，使其更加智慧，即更加清晰、效率更高、響應(yīng)更靈活更及時(shí)，這將為學(xué)校的發(fā)展帶來(lái)新的機(jī)會(huì)。在傳感技術(shù)和通信技術(shù)這個(gè)兩個(gè)層次上，寰創(chuàng)創(chuàng)新的采用基于自有的核心WiFi無(wú)線局域網(wǎng)技術(shù)，疊加近年興起的iBeacon技術(shù)和和LoRA廣域物聯(lián)網(wǎng)等技術(shù)形成下一代的可擴(kuò)展的物聯(lián)網(wǎng)技術(shù)；這些技術(shù)在移動(dòng)端的快速發(fā)展（特別是低功耗芯片技術(shù)的出現(xiàn)），讓以軟件為主的第三層次的數(shù)據(jù)應(yīng)用及處理技術(shù)快速發(fā)展。利用寰創(chuàng)提供的無(wú)處不在的基礎(chǔ)有線無(wú)線網(wǎng)絡(luò)，結(jié)合專門開發(fā)的物聯(lián)網(wǎng)標(biāo)簽和基站系統(tǒng)；可以快速實(shí)現(xiàn)基于移動(dòng)端“GiWiFi手機(jī)助手”軟件的智能物聯(lián)網(wǎng)系統(tǒng)，對(duì)校園核心實(shí)驗(yàn)教學(xué)資產(chǎn)進(jìn)行使用率統(tǒng)計(jì)，以及定位防盜，也可以實(shí)現(xiàn)對(duì)全校水電等能源情況做數(shù)據(jù)統(tǒng)計(jì)和可視化呈現(xiàn)，真正做到智慧。

基礎(chǔ)網(wǎng)絡(luò)設(shè)計(jì)現(xiàn)狀分析網(wǎng)絡(luò)出口需要優(yōu)化目前學(xué)校出口使用普通的防火墻作為出口，出口沒有實(shí)施流量負(fù)載均衡和帶寬限制機(jī)制，不能很好地提高網(wǎng)絡(luò)資源利用率，一方面浪費(fèi)網(wǎng)絡(luò)資源，另一方面對(duì)用戶的使用體驗(yàn)也不佳。網(wǎng)絡(luò)結(jié)構(gòu)需要優(yōu)化現(xiàn)在網(wǎng)絡(luò)為早期三層組網(wǎng)架構(gòu)，網(wǎng)絡(luò)縱向?qū)蛹?jí)多處重復(fù)嵌套，管理型差。網(wǎng)絡(luò)橫向之間缺乏隔離和管控機(jī)制，容易造成廣播風(fēng)暴，引發(fā)ARP攻擊，對(duì)于病毒的的傳播擴(kuò)散缺乏有效隔離。網(wǎng)絡(luò)沒有一個(gè)清晰的架構(gòu)當(dāng)網(wǎng)絡(luò)發(fā)生故障時(shí)對(duì)故障的的快速定位、恢復(fù)使用造成一定得難度。故而整體網(wǎng)絡(luò)的可靠性、安全性、穩(wěn)定性、管理性都難以滿足現(xiàn)有信息化教學(xué)需求。設(shè)備老化嚴(yán)重校園內(nèi)的核心、匯聚、接入設(shè)備的使用年限都比較長(zhǎng)，有的設(shè)備甚至已經(jīng)超過正常的使用年限，隨著目前信息技術(shù)的迅猛發(fā)展，當(dāng)前已經(jīng)不能滿足業(yè)務(wù)承載的需要。需要到目前校園網(wǎng)中超時(shí)服役的網(wǎng)絡(luò)設(shè)備或者技術(shù)上滿足不了信息化需求的設(shè)備更換。網(wǎng)絡(luò)骨干需要提高現(xiàn)網(wǎng)中主要的干道還采用千兆線路，核心也是采用幾條千兆線路做并行傳輸。在信息化技術(shù)云計(jì)算和大數(shù)據(jù)技術(shù)迅猛發(fā)展的當(dāng)下，千兆的骨干網(wǎng)絡(luò)已經(jīng)完全不能適應(yīng)業(yè)務(wù)發(fā)展的要求。需要建設(shè)一張萬(wàn)兆到樓，千兆到桌面的骨干網(wǎng)。網(wǎng)絡(luò)健壯性性差目前網(wǎng)絡(luò)設(shè)備的核心節(jié)點(diǎn)一般都為單臺(tái)設(shè)備，包括認(rèn)證網(wǎng)關(guān)、網(wǎng)絡(luò)出口防火墻、核心交換機(jī)等。一旦核心設(shè)備出現(xiàn)故障，將給整網(wǎng)或者大片區(qū)域造成網(wǎng)絡(luò)無(wú)法使用的致命風(fēng)險(xiǎn)。網(wǎng)絡(luò)管理維護(hù)性差目前網(wǎng)絡(luò)中使用的網(wǎng)絡(luò)設(shè)備由不同廠商提供，網(wǎng)絡(luò)管理無(wú)法統(tǒng)一完善。認(rèn)證計(jì)費(fèi)、安全設(shè)計(jì)、路由交換系統(tǒng)之間無(wú)協(xié)同性，若設(shè)備更換或者配置更換將會(huì)涉及到很多工作。對(duì)于網(wǎng)絡(luò)管理和維護(hù)來(lái)說對(duì)于網(wǎng)絡(luò)管理和維護(hù)來(lái)說極其不方便，增加工作量之外還容易產(chǎn)生紕漏。宿舍、辦公網(wǎng)絡(luò)隔裂目前校園中宿舍部分的網(wǎng)絡(luò)由運(yùn)營(yíng)商布設(shè)并運(yùn)營(yíng)，教學(xué)辦公區(qū)域的網(wǎng)絡(luò)由學(xué)校管理維護(hù)，兩張網(wǎng)絡(luò)相互隔裂，無(wú)法互聯(lián)互通，滿足不了校園信息化統(tǒng)一張網(wǎng)絡(luò)需求。無(wú)線網(wǎng)絡(luò)覆蓋差校內(nèi)無(wú)線網(wǎng)絡(luò)還是運(yùn)營(yíng)商早期覆蓋的，采用的設(shè)備老舊，技術(shù)不支持最新802.11ac技術(shù)，設(shè)備性能差，另外覆蓋方案多采用室分方式布設(shè)，AP數(shù)量有限，滿足不了校園逐日增長(zhǎng)的用戶需求。另外無(wú)線為運(yùn)營(yíng)商運(yùn)營(yíng)，無(wú)法滿足智慧校園有線無(wú)線融合，統(tǒng)一認(rèn)證需求。建設(shè)目標(biāo)互聯(lián)網(wǎng)出口安全及優(yōu)化校園網(wǎng)絡(luò)出口租用不同運(yùn)營(yíng)商如聯(lián)通、電信、移動(dòng)、教育網(wǎng)多條不同運(yùn)營(yíng)商的線路資源，通過部署多功能的防火墻，可以達(dá)到對(duì)一方面對(duì)網(wǎng)絡(luò)資源的流量控制、多條鏈路負(fù)載均衡相互備份等方面做資源的管理和優(yōu)化，另一方面互聯(lián)網(wǎng)的網(wǎng)絡(luò)出口提供安全保障，增強(qiáng)校園內(nèi)部網(wǎng)里的穩(wěn)定性，從而整體提升內(nèi)部網(wǎng)絡(luò)用戶的上網(wǎng)體驗(yàn)。網(wǎng)絡(luò)行為審計(jì)和非法追溯校園網(wǎng)絡(luò)的用戶眾多，角色紛繁，為了更好的管理網(wǎng)絡(luò)，做好信息化教學(xué)輔助的工作，滿足公安部相關(guān)網(wǎng)絡(luò)安全的法律法規(guī)要求，校園網(wǎng)絡(luò)必須建立上網(wǎng)行為審計(jì)機(jī)制，要具備高效的非法追溯功能，做到網(wǎng)絡(luò)的穩(wěn)定、健康、安全。有線無(wú)線融合一張網(wǎng)絡(luò)為了更好的滿足當(dāng)下信息化智慧校園，達(dá)到學(xué)生、教師隨時(shí)隨地的上網(wǎng)辦公、學(xué)習(xí)需求，建立統(tǒng)一一張有線、無(wú)線融合的網(wǎng)絡(luò)，共享校園網(wǎng)絡(luò)教學(xué)等相關(guān)資源。網(wǎng)絡(luò)認(rèn)證管理的改造認(rèn)證安全在網(wǎng)絡(luò)管理中作為最為重要的部分之一，現(xiàn)有網(wǎng)絡(luò)的認(rèn)證平臺(tái)不夠全面，不能很好保障整體網(wǎng)絡(luò)的安全性、穩(wěn)定性。此次對(duì)整體網(wǎng)絡(luò)的認(rèn)證管理平臺(tái)進(jìn)行改造，實(shí)現(xiàn)全網(wǎng)有線、無(wú)線統(tǒng)一認(rèn)證管理平臺(tái)，建立扁平化網(wǎng)絡(luò)架構(gòu)，在校園內(nèi)通過學(xué)號(hào)、教工號(hào)、手機(jī)號(hào)等方式相關(guān)實(shí)現(xiàn)高效的實(shí)名制認(rèn)證，提升整體網(wǎng)絡(luò)的可靠性、使用性和管理性。網(wǎng)絡(luò)骨干網(wǎng)絡(luò)升級(jí)此次網(wǎng)絡(luò)改造需要對(duì)長(zhǎng)沙衛(wèi)生職業(yè)學(xué)院校園網(wǎng)的核心、匯聚等網(wǎng)絡(luò)設(shè)備進(jìn)行適當(dāng)?shù)纳?jí)改造，使得校園網(wǎng)拓?fù)浼軜?gòu)次清晰，可靠穩(wěn)定，使之具備良好的可擴(kuò)展性；增強(qiáng)對(duì)組播、網(wǎng)絡(luò)流控制等方面的支持，優(yōu)化網(wǎng)絡(luò)路由、增強(qiáng)網(wǎng)絡(luò)的安全性。接入層設(shè)備升級(jí)改造目前網(wǎng)絡(luò)中大部分接入設(shè)備還是百兆為主并且不支持POE供電，已經(jīng)無(wú)法滿足現(xiàn)有網(wǎng)絡(luò)高速傳輸千兆到桌面的需求。本次網(wǎng)絡(luò)改造將通過對(duì)校園網(wǎng)中老舊的接入設(shè)備更換、并新增POE接入交換機(jī)以便為無(wú)線AP統(tǒng)一供電，綠色安全可靠。全校WLAN覆蓋整個(gè)校園使用WALN覆蓋以支持智能移動(dòng)終端的接入是一個(gè)必要需求。此次校園網(wǎng)絡(luò)建設(shè)，要在校園的重要區(qū)域，包括辦公室，圖書館，教學(xué)區(qū)，操場(chǎng)，食堂，學(xué)生宿舍區(qū)等覆蓋Wi-Fi，實(shí)現(xiàn)無(wú)線的高速上網(wǎng)，并且在整個(gè)校園區(qū)域場(chǎng)達(dá)到用戶無(wú)感知的漫游切換。校區(qū)間高可靠VPN網(wǎng)絡(luò)互聯(lián)建設(shè)（可刪減）不同校區(qū)間需要租賃兩條不同運(yùn)營(yíng)商鏈路，同時(shí)采購(gòu)專業(yè)的VPN網(wǎng)關(guān)設(shè)備，通過在VPN網(wǎng)關(guān)設(shè)備上啟用動(dòng)態(tài)多點(diǎn)VPN機(jī)制，從而建設(shè)一套高安全、高可靠的多校區(qū)之間的VPN網(wǎng)絡(luò)，從而實(shí)現(xiàn)各校區(qū)之間的網(wǎng)絡(luò)安全互連互通，由于院部的VPN網(wǎng)關(guān)設(shè)備在整個(gè)VPN網(wǎng)絡(luò)中的全局位置和重要作用，所以可以考慮雙機(jī)高可靠部署方案概述理念概述針對(duì)校園網(wǎng)面臨的新挑戰(zhàn)，寰創(chuàng)提供的智慧校園基礎(chǔ)網(wǎng)絡(luò)解決方案來(lái)支持校園網(wǎng)的高速發(fā)展。智慧校園的設(shè)計(jì)理念包括：靈活的網(wǎng)絡(luò)方案萬(wàn)兆無(wú)阻塞架構(gòu)寰創(chuàng)校園網(wǎng)解決方案中，使用萬(wàn)兆到樓、千兆到桌面方案，來(lái)支撐未來(lái)信息化校園網(wǎng)流量的爆炸式增長(zhǎng)，使用無(wú)阻塞網(wǎng)絡(luò)架構(gòu)，確保校園網(wǎng)絡(luò)各種業(yè)務(wù)需求，滿足未來(lái)校園網(wǎng)虛擬化和云計(jì)算的帶寬要求。通過先進(jìn)邊的扁平化大二層架構(gòu)，支持網(wǎng)絡(luò)平滑升級(jí)，通過多重冗余備份，保證校園網(wǎng)關(guān)鍵業(yè)務(wù)持續(xù)運(yùn)行，實(shí)現(xiàn)99%可靠性設(shè)計(jì)。滿足校園網(wǎng)未來(lái)5-10年持續(xù)發(fā)展需求；大二層扁平化網(wǎng)絡(luò)寰創(chuàng)校園網(wǎng)解決方案中，采用大二層扁平化的網(wǎng)絡(luò)架構(gòu)，簡(jiǎn)化了網(wǎng)絡(luò)結(jié)構(gòu)，降低了網(wǎng)絡(luò)的運(yùn)維成本。采用SVF、CSS2、istack等技術(shù)，消除網(wǎng)絡(luò)環(huán)路問題并增強(qiáng)了網(wǎng)絡(luò)的可靠性，健壯性。有線、無(wú)線一體化寰創(chuàng)設(shè)計(jì)的解決方案中，可最大限度重用現(xiàn)有有線網(wǎng)絡(luò)，增加無(wú)線網(wǎng)絡(luò)覆蓋。簡(jiǎn)化運(yùn)維管理，實(shí)現(xiàn)有線無(wú)線統(tǒng)一認(rèn)證，全校園網(wǎng)無(wú)感知漫游切換，提高網(wǎng)絡(luò)可靠性，提升用戶的上網(wǎng)體驗(yàn)。多種認(rèn)證方式統(tǒng)一管理寰創(chuàng)都提供了形式多樣的接入認(rèn)證技術(shù)。無(wú)論是有線PC還是無(wú)線移動(dòng)終端，都可以位置提供合理的認(rèn)證方案。如廣泛應(yīng)用于校園網(wǎng)的Portal認(rèn)證，802.1x認(rèn)證，智慧APP認(rèn)證。寰創(chuàng)的認(rèn)證方案可適用于各種場(chǎng)景各種用戶，為網(wǎng)絡(luò)的運(yùn)營(yíng)打下堅(jiān)實(shí)基礎(chǔ)。統(tǒng)一認(rèn)證計(jì)費(fèi)解決方案寰創(chuàng)使用認(rèn)證網(wǎng)關(guān)實(shí)現(xiàn)了強(qiáng)大靈活的認(rèn)證計(jì)費(fèi)功能。滿足用戶Portal、APP等多種接入認(rèn)證的功能。滿足現(xiàn)網(wǎng)有線無(wú)線一體化認(rèn)證與計(jì)費(fèi)的要求。認(rèn)證通過后，滿足對(duì)不同身份用戶分配不同訪問權(quán)限的功能?？煽康陌踩芸亟鉀Q方案寰創(chuàng)可提供安全管控的全系列產(chǎn)品，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)和服務(wù)器資源的全面防護(hù)。優(yōu)化運(yùn)維解決方案寰創(chuàng)提供針對(duì)鏈路和服務(wù)器的負(fù)載均衡方案，用戶流量控制，提升用戶體驗(yàn)。寰創(chuàng)網(wǎng)絡(luò)管理子系統(tǒng)網(wǎng)管，可實(shí)現(xiàn)對(duì)校園網(wǎng)整網(wǎng)的拓?fù)涔芾?、網(wǎng)絡(luò)資源管理、性能管理、故障管理和配置管理。寰創(chuàng)網(wǎng)絡(luò)管理子系統(tǒng)提供強(qiáng)大的報(bào)表功能，為判斷運(yùn)維趨勢(shì)、發(fā)現(xiàn)潛在問題提供了強(qiáng)有力的支持。IPv6平滑演進(jìn)方案全系列IPv6產(chǎn)品，支持雙棧過渡技術(shù)、隧道互聯(lián)技術(shù)和地址轉(zhuǎn)換技術(shù)保證IPv4到IPv6的平滑過渡。設(shè)計(jì)原則校園網(wǎng)是校園信息化教育建設(shè)的基礎(chǔ)，應(yīng)按照以下原則建設(shè)：先進(jìn)性與實(shí)用性結(jié)合，網(wǎng)絡(luò)技術(shù)發(fā)展迅猛，如果設(shè)備缺乏先進(jìn)性，設(shè)備可能很快落后甚至被淘汰，但也不能過分超前，以避免造成投資的浪費(fèi)。因此在網(wǎng)絡(luò)建設(shè)中，需把握好先進(jìn)性與實(shí)用性結(jié)合，使之能真正發(fā)揮出相應(yīng)的作用。安全性在智慧校園建設(shè)過程中，安全性是最為重要的課題之一，要通過各種手段保障校園網(wǎng)各系統(tǒng)的應(yīng)用和內(nèi)容安全?？煽啃砸笙到y(tǒng)本身具有高度的可靠性，這樣才能保證網(wǎng)絡(luò)客戶的應(yīng)用穩(wěn)定運(yùn)行。可擴(kuò)展性校園網(wǎng)絡(luò)建設(shè)之初，網(wǎng)絡(luò)的可擴(kuò)展性是網(wǎng)絡(luò)建設(shè)中必須提前規(guī)劃，不僅要滿足現(xiàn)有網(wǎng)絡(luò)的需求，還要能夠滿足未來(lái)5-10年的校園網(wǎng)絡(luò)需求?？晒芾硇跃W(wǎng)絡(luò)管理是一個(gè)長(zhǎng)期工作，在網(wǎng)絡(luò)建設(shè)中對(duì)網(wǎng)絡(luò)可管理是一項(xiàng)重要的應(yīng)用原則，通過選擇全網(wǎng)的可管理性軟件，減少運(yùn)維人員日常維護(hù)費(fèi)用。總體設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)原則校園網(wǎng)是一種用戶高密度的網(wǎng)絡(luò)，在有限的空間內(nèi)聚集了大量的終端和用戶。校園網(wǎng)注重的是網(wǎng)絡(luò)的簡(jiǎn)單安全、可靠、靈活、穩(wěn)定。長(zhǎng)沙衛(wèi)生職業(yè)學(xué)院的校園網(wǎng)改造以星型結(jié)構(gòu)為主，遵循如下原則：層次化將校園網(wǎng)絡(luò)劃分為認(rèn)證計(jì)費(fèi)、核心層、匯聚層、接入層。每層功能清晰，架構(gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)。模塊化將校園網(wǎng)絡(luò)中的每個(gè)區(qū)域或者每個(gè)功能區(qū)劃分為一個(gè)模塊，模塊內(nèi)部的調(diào)整涉及范圍小，易于進(jìn)行問題定位。冗余性關(guān)鍵設(shè)備采用雙節(jié)點(diǎn)冗余設(shè)計(jì)；關(guān)鍵鏈路采用Trunk方式冗余備份或者負(fù)載均衡；關(guān)鍵設(shè)備的電源、主控板等關(guān)鍵部件冗余備份。提高了整個(gè)網(wǎng)絡(luò)的可靠性。安全性校園網(wǎng)絡(luò)應(yīng)具備有效的安全控制。接入網(wǎng)絡(luò)的設(shè)備要進(jìn)行統(tǒng)一認(rèn)證，同時(shí)按接入用戶身份、按權(quán)限進(jìn)行分區(qū)邏輯隔離。對(duì)特別重要的業(yè)務(wù)采取物理隔離。對(duì)進(jìn)出校園網(wǎng)的流量要進(jìn)行識(shí)別、過濾，確保網(wǎng)絡(luò)安全。可管理性和可維護(hù)性為了易于管理，可選擇適用于全網(wǎng)的網(wǎng)管軟件來(lái)管理網(wǎng)絡(luò)。為了便于維護(hù)，應(yīng)盡可能選取集成度高、模塊可通用的產(chǎn)品。網(wǎng)絡(luò)邏輯架構(gòu)設(shè)計(jì)智慧校園基礎(chǔ)網(wǎng)絡(luò)邏輯架構(gòu)如下圖所示：校園出口校園出口區(qū)域既負(fù)責(zé)對(duì)校園網(wǎng)用戶的統(tǒng)一接入，也負(fù)責(zé)將內(nèi)部的終端用戶接入到公網(wǎng)、將外部用戶接入到內(nèi)網(wǎng)。出口除了要保證校園內(nèi)外的數(shù)據(jù)傳輸，還需要保證邊界安全。數(shù)據(jù)中心部署服務(wù)器和應(yīng)用系統(tǒng)的區(qū)域。為校園網(wǎng)內(nèi)部和外部用戶提供數(shù)據(jù)和應(yīng)用服務(wù)。網(wǎng)絡(luò)管理區(qū)結(jié)合認(rèn)證計(jì)費(fèi)服務(wù)器對(duì)接入用戶進(jìn)行認(rèn)證，對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器等進(jìn)行管理的區(qū)域。包括告警管理、性能管理、故障管理、配置管理、安全管理等。DMZ區(qū)域部署學(xué)校對(duì)外的網(wǎng)站、郵件等服務(wù)器，保證內(nèi)網(wǎng)數(shù)據(jù)安全的前提下提供外網(wǎng)訪問等服務(wù)。核心層核心層負(fù)責(zé)整個(gè)園區(qū)網(wǎng)的高速互聯(lián)，一般不部署具體的業(yè)務(wù)。核心網(wǎng)絡(luò)需要實(shí)現(xiàn)帶寬的高利用率和網(wǎng)絡(luò)故障的快速收斂。匯聚層匯聚層將眾多的接入設(shè)備和大量用戶經(jīng)過一次匯聚后再接入到核心層，擴(kuò)展核心層接入用戶的數(shù)量。接入層負(fù)責(zé)將各種終端接入到校園網(wǎng)絡(luò)，通常由千兆接入交換機(jī)、POE接入交換機(jī)、無(wú)線AP等組成。終端應(yīng)用層包含校園網(wǎng)內(nèi)的各種終端設(shè)備，例如PC、筆記本電腦、手機(jī)、打印機(jī)、傳真、監(jiān)控等等。網(wǎng)絡(luò)物理架構(gòu)設(shè)計(jì)智慧校園基礎(chǔ)網(wǎng)絡(luò)的物理架構(gòu)如下圖所示：網(wǎng)絡(luò)組網(wǎng)結(jié)構(gòu)說明：校園出口由下一代防火墻實(shí)現(xiàn)。具備全面的網(wǎng)絡(luò)安全防御能力，并且具有高性能的NAT功能；同時(shí)能針對(duì)校園出口多線路實(shí)現(xiàn)多線路負(fù)載，以提高校園網(wǎng)絡(luò)多線路資源的利用率。核心層核心層由核心交換機(jī)組成。認(rèn)證計(jì)費(fèi)向全網(wǎng)用戶下推各種認(rèn)證，實(shí)現(xiàn)統(tǒng)一實(shí)名制管理。核心交換機(jī)承載全網(wǎng)所有的流量，利用虛擬化技術(shù)，建立邏輯隔離的網(wǎng)絡(luò)通道，實(shí)現(xiàn)不同業(yè)務(wù)之間無(wú)干擾地穩(wěn)定運(yùn)行。核心層設(shè)備建議采用多機(jī)集群模式來(lái)增加穩(wěn)定性。數(shù)據(jù)中心部署服務(wù)器和應(yīng)用系統(tǒng)的區(qū)域。為校園網(wǎng)內(nèi)部和外部用戶提供數(shù)據(jù)和應(yīng)用服務(wù)。網(wǎng)絡(luò)管理區(qū)包含認(rèn)證計(jì)費(fèi)服務(wù)器，私有云平臺(tái)服務(wù)器等，聯(lián)合智能網(wǎng)關(guān)組對(duì)內(nèi)網(wǎng)用戶進(jìn)行認(rèn)證和管理。同時(shí)部署寰創(chuàng)網(wǎng)絡(luò)管理子系統(tǒng)網(wǎng)管系統(tǒng)，對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器等進(jìn)行管理，功能包括告警管理、性能管理、故障管理、配置管理、安全管理等。DMZ區(qū)DMZ區(qū)主要提供外網(wǎng)的合法訪問。包括提供公共用戶訪問的公開網(wǎng)站，以及對(duì)應(yīng)的APP服務(wù)。對(duì)出差的內(nèi)部員工的訪問，部署SVN設(shè)備，提供SSLVPN的安全訪問。分校區(qū)和總部之間的互聯(lián)，可以使用IPSecVPN建立互聯(lián)隧道。匯聚層匯聚層將眾多的接入設(shè)備和大量用戶經(jīng)過一次匯聚后再接入到核心層，擴(kuò)展核心層接入用戶的數(shù)量。接入層由接入交換機(jī)和AP組成，提供校園用戶有線和無(wú)線的各類終端實(shí)現(xiàn)網(wǎng)絡(luò)接入。該組網(wǎng)具有以下特點(diǎn)：網(wǎng)絡(luò)架構(gòu)各個(gè)區(qū)域模塊化，基礎(chǔ)網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)、新校區(qū)網(wǎng)絡(luò)均可獨(dú)立維護(hù)。以核心節(jié)點(diǎn)為“根”的星型分層拓?fù)洌軜?gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)。各部門和功能分區(qū)模塊清晰，模塊內(nèi)部調(diào)整涉及范圍小，易于進(jìn)行問題定位匯聚層和接入層冗余設(shè)計(jì)，關(guān)鍵鏈路均采用Trunk鏈路，保證網(wǎng)絡(luò)的可靠性。支持各種終端接入，統(tǒng)一認(rèn)證，一張IP網(wǎng)絡(luò)承載所有業(yè)務(wù)。出口部署邊界防御，保證網(wǎng)絡(luò)安全。支持分支接入、遠(yuǎn)程接入、外部用戶訪問等各種外聯(lián)場(chǎng)景。骨干網(wǎng)絡(luò)方案設(shè)計(jì)基礎(chǔ)區(qū)域網(wǎng)絡(luò)規(guī)劃校園基礎(chǔ)區(qū)域網(wǎng)絡(luò)是整個(gè)校園網(wǎng)絡(luò)的樞紐，覆蓋整個(gè)校區(qū)，連接著校園網(wǎng)的各個(gè)區(qū)域。承擔(dān)了內(nèi)部數(shù)據(jù)流量和對(duì)外數(shù)據(jù)流量，在邏輯上成為可靠性、安全設(shè)計(jì)的中心。整體規(guī)劃如下圖所示，校園基礎(chǔ)網(wǎng)絡(luò)區(qū)域建議采用認(rèn)證計(jì)費(fèi)、核心層、匯聚層和接入層的架構(gòu)模型，具有如下的優(yōu)勢(shì)：邏輯二層設(shè)計(jì)基礎(chǔ)網(wǎng)絡(luò)部分邏輯上采用了扁平化的大二層結(jié)構(gòu)，接入用戶都在核心交換機(jī)上接入，不需要維護(hù)復(fù)雜的網(wǎng)絡(luò)架構(gòu)與協(xié)議。層次化設(shè)計(jì)有認(rèn)證計(jì)費(fèi)服務(wù)器、核心層、匯聚層、接入層，每層功能清晰，架構(gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)。模塊化設(shè)計(jì)每一個(gè)模塊為一個(gè)學(xué)院樓、教學(xué)樓或一個(gè)學(xué)生宿舍，模塊內(nèi)部調(diào)整涉及范圍小，便于問題快速定位冗余性設(shè)計(jì)節(jié)點(diǎn)冗余性設(shè)計(jì)，適當(dāng)?shù)娜哂嘈蕴岣呖煽啃?，過度的冗余不便于運(yùn)行維護(hù)。對(duì)稱性設(shè)計(jì)網(wǎng)絡(luò)的對(duì)稱性便于業(yè)務(wù)部署，拓?fù)渲庇^，便于設(shè)計(jì)和分析。長(zhǎng)沙衛(wèi)生職業(yè)學(xué)院校園網(wǎng)基礎(chǔ)區(qū)物理架構(gòu)拓?fù)鋱D為：核心層規(guī)劃核心層部署校園的核心設(shè)備，連接所有的匯聚交換機(jī)，轉(zhuǎn)發(fā)各個(gè)教學(xué)樓或?qū)W生宿舍之間的流量。核心層需要采用全連接結(jié)構(gòu)，保持核心層設(shè)備的配置盡量簡(jiǎn)單，并且和校園網(wǎng)的具體業(yè)務(wù)無(wú)關(guān)。核心層設(shè)備需要具有高帶寬、高轉(zhuǎn)發(fā)性能，否則將無(wú)法支撐企業(yè)內(nèi)外部的業(yè)務(wù)流量。核心層采用敏捷交換機(jī)使用CSS2（ClusterSwitchSystem）技術(shù)，將兩臺(tái)交換機(jī)從邏輯上整合成一臺(tái)交換機(jī)。這種技術(shù)支持主控1＋N備份，集群系統(tǒng)中只要保證任意一框的一個(gè)主控板運(yùn)行正常，多框業(yè)務(wù)即可穩(wěn)定運(yùn)行。相對(duì)于傳統(tǒng)業(yè)務(wù)口集群系統(tǒng)，每個(gè)框至少要有一塊主控單元運(yùn)行正常的限制。通過集群+堆疊的無(wú)環(huán)網(wǎng)絡(luò)方案保障網(wǎng)絡(luò)可靠，再通過設(shè)備本身99%的電信級(jí)可靠綜合保障校園網(wǎng)應(yīng)用的穩(wěn)定運(yùn)行。智能網(wǎng)關(guān)組塊負(fù)責(zé)對(duì)校園網(wǎng)用戶的統(tǒng)一接入，并與認(rèn)證服務(wù)器協(xié)同工作，對(duì)接入用戶進(jìn)行認(rèn)證，可以很方便的對(duì)校園網(wǎng)的所有用戶流量做統(tǒng)一管理監(jiān)控。同時(shí)智能網(wǎng)關(guān)組有強(qiáng)大的認(rèn)證計(jì)費(fèi)功能，才能滿足校園網(wǎng)的大用戶量、高并發(fā)連接數(shù)、多樣化計(jì)費(fèi)的需求。匯聚層規(guī)劃匯聚層是一個(gè)學(xué)院、一幢教學(xué)樓或一幢學(xué)生宿舍的匯聚點(diǎn)，匯聚層的設(shè)備用來(lái)轉(zhuǎn)發(fā)本區(qū)域用戶到其他區(qū)域用戶的橫向流量，同時(shí)發(fā)送本區(qū)域用戶流量到核心層。匯聚層將大量用戶接入到互聯(lián)的網(wǎng)絡(luò)中，模塊化擴(kuò)展接入核心層設(shè)備的用戶數(shù)量。匯聚層具有高帶寬、高端口密度、高轉(zhuǎn)發(fā)性能等特點(diǎn)，用于支撐該匯聚層下各業(yè)務(wù)部門之間的流量。匯聚層交換機(jī)通常使用CSS（ClusterSwitchSystem）技術(shù)，將多臺(tái)交換機(jī)從邏輯上整合成一臺(tái)交換機(jī)。然后將匯聚層的CSS系統(tǒng)和核心層的CSS系統(tǒng)之間的多條鏈路捆綁，用來(lái)傳輸數(shù)據(jù)。這樣既簡(jiǎn)化了配置和管理，又提高了網(wǎng)絡(luò)的可靠性和擴(kuò)展能力。接入層規(guī)劃接入層是最靠近終端用戶的網(wǎng)絡(luò)，為用戶提供各種接入方式，一般部署二層設(shè)備，雙歸屬到匯聚層兩個(gè)不同的交換機(jī)。接入層除了需要部署豐富的二層特性外，還需要部署安全、可靠性等相關(guān)功能。接入層需要具有高密度、高速率的端口，以支持更多的終端接入校園網(wǎng)絡(luò)。接入層交換機(jī)通常使用iStack（IntelligentStack）技術(shù)，將多臺(tái)交換機(jī)從邏輯上整合成一臺(tái)交換機(jī)。這樣既簡(jiǎn)化了配置和管理，又提高了網(wǎng)絡(luò)的可靠性和擴(kuò)展能力。無(wú)線網(wǎng)絡(luò)方案設(shè)計(jì)無(wú)線網(wǎng)絡(luò)設(shè)計(jì)原則全面化無(wú)線網(wǎng)絡(luò)覆蓋設(shè)計(jì)不僅要保證覆蓋區(qū)域無(wú)線網(wǎng)絡(luò)的全面化、穩(wěn)定性，還要能夠適應(yīng)今后高帶寬的要求，滿足日益增長(zhǎng)的業(yè)務(wù)量需求，及設(shè)備、服務(wù)的更新要求。無(wú)線信號(hào)覆蓋整個(gè)校區(qū)90%以上區(qū)域，保證被覆蓋需求的網(wǎng)絡(luò)訪問流暢。提供數(shù)據(jù)接入業(yè)務(wù)，讓在此居住學(xué)習(xí)的師生能夠快捷的訪問豐富的校內(nèi)資源?？晒芾硇钥梢詫?duì)網(wǎng)絡(luò)進(jìn)行在線監(jiān)控，隨時(shí)了解無(wú)線網(wǎng)絡(luò)的“健康狀態(tài)”，快速定位并排除故障，并能對(duì)網(wǎng)絡(luò)帶寬進(jìn)行資源優(yōu)化，實(shí)現(xiàn)流量負(fù)載均衡、合理分配，提高網(wǎng)絡(luò)的高利用率。安全性無(wú)線信號(hào)是開放的，任何人都可以接受到，存在數(shù)據(jù)被竊聽，篡改等安全隱患，無(wú)線網(wǎng)絡(luò)需要支持WEP、WPA/WPA2、WAPI等加密認(rèn)證方式，充分保證學(xué)校師生重要信息的私密性，數(shù)據(jù)傳輸?shù)陌踩??？蓴U(kuò)展性應(yīng)用的不斷發(fā)展要求網(wǎng)絡(luò)在性能、協(xié)議、網(wǎng)絡(luò)拓?fù)涞确矫婢邆浜芎玫目蓴U(kuò)展性。包含后期無(wú)線監(jiān)控部署、局域網(wǎng)絡(luò)擴(kuò)大、帶寬資源更新、設(shè)備服務(wù)的升級(jí)等等。開放性網(wǎng)絡(luò)及系統(tǒng)在系統(tǒng)構(gòu)架、采用技術(shù)等都必須要有較好的開放性。特別是在選擇產(chǎn)品上，要符合開放性要求，遵循國(guó)際標(biāo)準(zhǔn)化組織的技術(shù)標(biāo)準(zhǔn)，對(duì)選定的產(chǎn)品既有自己獨(dú)特優(yōu)勢(shì)，又能與第三方的產(chǎn)品進(jìn)行組合，共同構(gòu)成一個(gè)開放的、易擴(kuò)充的、穩(wěn)定的、統(tǒng)一的軟硬件系統(tǒng)。無(wú)線局域網(wǎng)系統(tǒng)滿足國(guó)際和國(guó)內(nèi)的無(wú)線標(biāo)準(zhǔn)，WLAN最大程度的兼容符合Wi-Fi標(biāo)準(zhǔn)的各種無(wú)線終端設(shè)備，對(duì)當(dāng)前及今后在市面上知名的品牌均可以兼容。經(jīng)濟(jì)性和實(shí)用性完全從現(xiàn)有的應(yīng)用需求出發(fā)，依場(chǎng)所環(huán)境做覆蓋方案實(shí)際部署，既保證方案可行性，還能最大程度的降低建設(shè)成本。無(wú)輻射性根據(jù)中國(guó)國(guó)家無(wú)線電管理委員會(huì)的規(guī)定，在辦公室內(nèi)部署無(wú)線網(wǎng)絡(luò)信號(hào)輻射不得超過100mw，以避免2.4GHz和5GHz對(duì)人體的影響；無(wú)線接入點(diǎn)AP隨著終端和AP之間的信號(hào)的強(qiáng)弱，AP和終端會(huì)根據(jù)信號(hào)的衰減程度，自動(dòng)降低傳輸速率和增大傳輸功率。兼容性無(wú)線網(wǎng)絡(luò)能夠很好的與現(xiàn)有校園網(wǎng)兼容，有線、無(wú)線接入統(tǒng)一身份認(rèn)證，實(shí)現(xiàn)對(duì)學(xué)生、教職工訪問校園網(wǎng)資源的統(tǒng)一管理和認(rèn)證。高性能骨干有線網(wǎng)絡(luò)采用萬(wàn)兆到樓，千兆到桌面。無(wú)線使用最新的802.11ac第二代技術(shù)，交換系統(tǒng)具有很高的交換容量與多服務(wù)支持的能力，提升網(wǎng)絡(luò)性能，保證各種信息的高質(zhì)量無(wú)阻塞傳輸；無(wú)線傳播特性無(wú)線在空間傳播的特性用戶要正常使用Wi-Fi信號(hào)和許多因素相關(guān)，主要包括AP的發(fā)射功率，天線的增益，用戶的距離，空間的干擾信號(hào)，接收靈敏度；手機(jī)的Wi-FI模塊的發(fā)射功率，接收靈敏度等多種因素的影響。無(wú)線自由空間傳播特性自由空間電波傳播是無(wú)線電波最基本、最簡(jiǎn)單的傳播方式。自由空間是一個(gè)理想化的概念，實(shí)際上電波是不可能在真空中傳播的，自由空間為人們研究電波傳播提供了一個(gè)簡(jiǎn)化的計(jì)算環(huán)境。自由空間傳播損耗Lp是傳播損耗中最基本的損耗，接收天線接收到的信號(hào)功率僅僅是發(fā)射天線輻射功率的一小部分，大部分能量都向其它方向擴(kuò)散了。工作距離越遠(yuǎn)，球面積越大，接收點(diǎn)截獲的功率越小，即傳播損耗加大。在自由空間傳播過程中，接收信號(hào)的功率為：其中PT為發(fā)射功率，GT為發(fā)射天線增益，GR為接收天線增益，Lp自由空間傳播損耗其中Lp的定義為：d為傳播距離,λ為工作波長(zhǎng),c為光速,f為工作電波頻率以分貝為單位表示為:自由空間傳輸損耗公式為L(zhǎng)p=32.44+20log(d/km)+20log(f/MHz)d是距離單位是千米，f是頻率單位是兆赫茲。我們以1個(gè)離AP100米遠(yuǎn)的用戶上網(wǎng)上網(wǎng)情況舉例計(jì)算無(wú)線信號(hào)在空間的損耗，現(xiàn)假設(shè)用戶上網(wǎng)位置距離AP為100m，使用CH1上網(wǎng)，即使用的頻率是2.412GHz=2412MHz無(wú)線信號(hào)空間的損耗為L(zhǎng)p=32.44+20log(100/1000)+20log(2412)=100dB假設(shè)AP設(shè)備的發(fā)射功率約為27dB（500mw設(shè)備）,天線的增益為3dB，所以理想情況下接收信號(hào)功率為：Pr=27+3-100=-70dBm目前環(huán)境噪聲一般為-95dBm，手機(jī)由于受手機(jī)Wi-Fi模塊發(fā)射功率的限制，如果能正常上網(wǎng)所需要的功率一般需要25dbm以上信號(hào)強(qiáng)度。所以在這個(gè)接收信號(hào)下手機(jī)終端接收到的信號(hào)強(qiáng)度為（-70）-（-95）=25dbm，所以手機(jī)Wi-Fi在100米遠(yuǎn)處勉強(qiáng)可以正常使用，如果遇到有中間阻擋則基本無(wú)法上網(wǎng)。Wi-Fi信號(hào)穿過障礙物后的損耗我們使用上面講到的無(wú)線空間損耗公式，計(jì)算用戶在室內(nèi)使用Wi-Fi時(shí)的信號(hào)強(qiáng)度，假設(shè)用戶平均距離AP為10m，無(wú)線信號(hào)空間的損耗Lp=32.44+20log(10/1000)+20log(2412)=80dB。以下是我們常見的一些阻擋物的Wi-Fi信號(hào)損耗值：阻擋物衰減（db）輕墻5-8中墻10-15重墻15-20超重墻20-25木板墻5-6玻璃窗（不含金屬氧化物）3-4玻璃窗（含金屬氧化物）5-10天花板（石膏）10-15天花板（金屬）20-30前面我們計(jì)算過500mw的AP，在正常的干擾環(huán)境下，要被用戶正常使用大概可以接受的空間損耗為100db。所以信號(hào)要被10m遠(yuǎn)處的用戶正常使用，大概能夠承受額外的20db左右的衰減，即最多穿一堵厚墻，和兩堵輕墻左右。無(wú)線覆蓋典型場(chǎng)景方案室內(nèi)無(wú)線覆蓋的目標(biāo)區(qū)域，是教學(xué)樓、實(shí)驗(yàn)樓1、實(shí)驗(yàn)樓2、實(shí)驗(yàn)樓3、圖書樓、藥學(xué)樓、后勤樓、會(huì)議廳與文體中心、宿舍區(qū)等，需要完成該區(qū)域的全覆蓋。宿舍典型覆蓋方案宿舍特點(diǎn)，房間小多，隔斷的墻體多，無(wú)線環(huán)境復(fù)雜，人員密集，上網(wǎng)人員集中，對(duì)網(wǎng)絡(luò)流量的需求很大。AP布放每個(gè)房間放置1臺(tái)面板式AP，以及每個(gè)AP不穿超過1堵墻為原則，使用面板式AP進(jìn)行覆蓋。并且每個(gè)AP出4個(gè)LAN口，供PC上網(wǎng)，滿足差異化上網(wǎng)需求。圖書館典型覆蓋方案 圖書館特點(diǎn)，樓層平面開闊，裝修結(jié)構(gòu)復(fù)復(fù)雜，閱讀區(qū)域人員較多，流量大，考慮到不破壞原有裝修結(jié)構(gòu)，走線等問題，人員集中，但是流量需求比較大。圖書館根據(jù)閱讀區(qū)域針對(duì)性的安裝雙頻吸頂AP。教室典型覆蓋方案教室一般按照每間教室100個(gè)人座位，采用雙頻吸頂AP覆蓋一個(gè)教室，既可以降低設(shè)備間干擾又可以很好的滿足覆蓋需求。針對(duì)大的階梯教室教，房間大，人員多，每個(gè)階梯教室根據(jù)實(shí)際情況布放2至4臺(tái)雙頻吸頂AP，如果天花板太高，不方便施工，則選用壁掛式AP進(jìn)行覆蓋。室外典型覆蓋方案室外無(wú)線覆蓋的目標(biāo)區(qū)域，操場(chǎng)，宿舍樓和教學(xué)樓的中間的路面等，需要完成該區(qū)域的90%覆蓋。1.操場(chǎng)特點(diǎn)，范圍大，人員密集，網(wǎng)絡(luò)接入人多，但是上網(wǎng)流量需要不高。由于受到安裝位置的限制，一般選用室外定向AP進(jìn)行覆蓋。另外對(duì)于看臺(tái)的部分，仍然使用吸頂AP或者壁掛式AP進(jìn)行覆蓋。2.路面特點(diǎn)，區(qū)域長(zhǎng)度大，寬度小，上網(wǎng)人數(shù)較少，上網(wǎng)漫游情況多，一般選用室外定向AP，沿道路進(jìn)行覆蓋。高密度用戶場(chǎng)景典型覆蓋方案對(duì)于大型會(huì)議室、階梯教室、餐廳等用戶量密集場(chǎng)所，以會(huì)議室為例。會(huì)議室一般長(zhǎng)度在30M，寬度在24M左右，同時(shí)容納300~500人之間。常規(guī)覆蓋方案的問題普通AP的接入用戶數(shù)在30~40人同時(shí)接入，應(yīng)對(duì)300~500人的場(chǎng)所，只能夠增加AP數(shù)來(lái)滿足接入用戶的需求。但是在有限的空間內(nèi)，AP數(shù)的增加勢(shì)必會(huì)引入無(wú)線同鄰頻干擾問題，降低了整體設(shè)備性能，滿足不了高密度用戶同時(shí)接入的帶寬需求。GiWiFi優(yōu)化方案1）使用寰創(chuàng)自研高性能APTA4025，選擇11ac高密產(chǎn)品TA4025，20MHz頻寬下1.2Gbps，根據(jù)需求可使用40M/80M/160M頻寬，吞吐量分別增加2倍/4倍/8倍?？梢詽M足大于100個(gè)用戶同時(shí)接入使用（每用戶3Mbps）2）可自適應(yīng)功率縮小覆蓋范圍，同一空間頻點(diǎn)自動(dòng)規(guī)劃。做到相鄰AP間信道相互獨(dú)立不重疊，功率自適應(yīng)確保同信道工作AP項(xiàng)目之間無(wú)交集。保證單臺(tái)AP的性能最優(yōu)，多設(shè)備同時(shí)工作成倍增加容量，確保多用戶同時(shí)接入使用不擁堵。無(wú)感知漫游切換一個(gè)AP的無(wú)線覆蓋范圍畢竟有限，一個(gè)學(xué)校少則需要上百個(gè)AP，多則需要上千個(gè)AP，若每個(gè)AP配置不同的SSID名稱，用戶每路過一個(gè)房間，或經(jīng)過一個(gè)場(chǎng)所，都需要手動(dòng)重新連接，將導(dǎo)致極差的用戶體驗(yàn)。不像家里WiFi，一到家即可自動(dòng)連接。當(dāng)前有兩種組網(wǎng)結(jié)構(gòu)：組網(wǎng)方案一：兩個(gè)宿舍各布置了一臺(tái)無(wú)線路由器（具有網(wǎng)關(guān)功能，直連互聯(lián)網(wǎng)），名稱分別為：EDU-1及EDU-2，學(xué)生1到宿舍2必須手動(dòng)重新連接EDU-2并需要重新認(rèn)證才能上網(wǎng)，當(dāng)無(wú)線路由器到達(dá)上百臺(tái)時(shí)，這對(duì)用戶來(lái)說是不可接受的。優(yōu)點(diǎn)：節(jié)約專業(yè)的網(wǎng)關(guān)設(shè)備；缺點(diǎn)：無(wú)法組大網(wǎng)，無(wú)法與校園網(wǎng)對(duì)接；適用場(chǎng)景：商店、家等小場(chǎng)景；組網(wǎng)方案二：兩個(gè)宿舍各布置了一臺(tái)AP（通過獨(dú)立的高性能網(wǎng)關(guān)連接互聯(lián)網(wǎng)），名稱都為：EDU，學(xué)生1到宿舍2后，自動(dòng)連接并自動(dòng)認(rèn)證，對(duì)學(xué)生來(lái)說，無(wú)任何感知。優(yōu)點(diǎn)：用戶體驗(yàn)好，可與校園網(wǎng)輕松對(duì)接；缺點(diǎn)：需要投資專業(yè)網(wǎng)關(guān)設(shè)備；適合場(chǎng)景：學(xué)校、企業(yè)等大場(chǎng)景；所以，針對(duì)學(xué)校場(chǎng)景，我們采用組網(wǎng)方案二，方便師生在全校無(wú)感知漫游，做到學(xué)生一次關(guān)聯(lián)認(rèn)證，全校無(wú)縫漫游使用。對(duì)于無(wú)縫漫游主要技術(shù)要點(diǎn)：1.統(tǒng)一SSID，保證用戶終端關(guān)聯(lián)一次后可以自動(dòng)連接；2.雙向切換控制算法，本地AC根據(jù)鄰近幾臺(tái)AP測(cè)量到的終端信號(hào)強(qiáng)度發(fā)起切換流程。終端側(cè)APP控制切換算法。終端側(cè)APP根據(jù)終端測(cè)量到的鄰近幾臺(tái)本系統(tǒng)AP信號(hào)強(qiáng)度發(fā)起切換流程。3.云平臺(tái)記錄用戶認(rèn)證狀態(tài)，用戶終端數(shù)據(jù)經(jīng)過網(wǎng)關(guān)到云平臺(tái)后，云平臺(tái)上記錄用認(rèn)證狀態(tài)，做到在同一熱點(diǎn)組認(rèn)證一次，用戶在跨熱點(diǎn)后認(rèn)證狀態(tài)不變。確保用戶不需要重復(fù)認(rèn)證WLANQOS機(jī)制設(shè)計(jì)802.11網(wǎng)絡(luò)提供了基于競(jìng)爭(zhēng)的無(wú)線接入服務(wù)，但是不同的應(yīng)用需求對(duì)于網(wǎng)絡(luò)的要求是不同的，而原始的網(wǎng)絡(luò)不能為不同的應(yīng)用提供不同質(zhì)量的接入服務(wù)，所以已經(jīng)不能滿足實(shí)際應(yīng)用的需要。IEEE802.11e為基于802.11協(xié)議的WLAN體系添加了QoS特性，這個(gè)協(xié)議的標(biāo)準(zhǔn)化時(shí)間很長(zhǎng)，在這個(gè)過程中，Wi-Fi組織為了保證不同WLAN廠商提供QoS的設(shè)備之間可以互通，定義了WMM（Wi-FiMultimedia，Wi-Fi多媒體）標(biāo)準(zhǔn)。WMM標(biāo)準(zhǔn)使WLAN網(wǎng)絡(luò)具備了提供QoS服務(wù)的能力。WMM協(xié)議通過對(duì)802.11協(xié)議的增強(qiáng)，改變了整個(gè)網(wǎng)絡(luò)完全公平的競(jìng)爭(zhēng)方式，將BSS（BasicServiceSet，基本服務(wù)集）內(nèi)的數(shù)據(jù)報(bào)文分為4個(gè)AC，高優(yōu)先級(jí)的AC占用信道的機(jī)會(huì)大于低優(yōu)先級(jí)的AC，從而使不同的AC能獲得不同級(jí)別的服務(wù)。802.11e通過控制等待競(jìng)爭(zhēng)的時(shí)間窗口大小無(wú)線空口的業(yè)務(wù)優(yōu)先級(jí)區(qū)分、高優(yōu)先級(jí)業(yè)務(wù)優(yōu)先保障帶寬，但是沒有解決在全網(wǎng)實(shí)現(xiàn)端到端的QoS問題。寰創(chuàng)無(wú)線控制器（AC）+FITAP的端到端QoS解決方案通過無(wú)線QoS到CAPWAP隧道外層優(yōu)先級(jí)的映射，實(shí)現(xiàn)QoS端到端的保障為重要業(yè)務(wù)（如Wi-Fi語(yǔ)音、視頻監(jiān)控等）預(yù)留資源，次要業(yè)務(wù)擁塞不會(huì)影響重要業(yè)務(wù)進(jìn)行。無(wú)線安全設(shè)計(jì)多SSID，多應(yīng)用實(shí)現(xiàn)物理隔離用戶隔離，多SSID間通過VLAN綁定實(shí)現(xiàn)物理隔離；同SSID下終端隔離；避免影響網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)安全，杜絕黑客通過互聯(lián)互通攻擊網(wǎng)絡(luò)系統(tǒng)安全。無(wú)線隧道加密，防止信息泄露寰創(chuàng)無(wú)線系統(tǒng)支持國(guó)際標(biāo)準(zhǔn)的多種數(shù)據(jù)加密方式，支持WEP、WPA-Personal/Enterprise、WPA2-Personal/Enterprise、WEP64/128-bitEncryption、EAP-SIM/EAP-AKA/EAP-MD5/EAP-TLS/EAP-TTLS/PEAP等；杜絕非法終端接入，保護(hù)數(shù)據(jù)不被竊取。靜態(tài)/動(dòng)態(tài)黑白名單，自動(dòng)封堵攻擊源無(wú)線控制器會(huì)實(shí)時(shí)監(jiān)控?zé)o線網(wǎng)絡(luò)安全情況，如果網(wǎng)絡(luò)中出現(xiàn)攻擊終端，無(wú)線控制器會(huì)將其自動(dòng)列入動(dòng)態(tài)黑名單，在一段時(shí)間內(nèi)禁止其接入。一段時(shí)間后檢測(cè)如果該終端還存在攻擊，則繼續(xù)列入黑名單。如果恢復(fù)正常則允許其接入。同樣，也可支持靜態(tài)黑白名單，可針對(duì)SSID，設(shè)置MAC白名單，只允許需要接入的終端設(shè)備，接入WiFi系統(tǒng)。防釣魚WiFi，保護(hù)WiFi系統(tǒng)的安全無(wú)線網(wǎng)絡(luò)的無(wú)線信號(hào)具有開放性，釣魚AP和AD-Hoc等非法AP極容易隱藏在無(wú)線網(wǎng)絡(luò)中引誘用戶接入，盜取用戶的帳號(hào)信息或傳播病毒攻擊網(wǎng)絡(luò)。寰創(chuàng)技術(shù)采用全面的防御體系，為您構(gòu)建最安全的無(wú)線接入網(wǎng)絡(luò)，抵制釣魚AP和AD-Hoc、用戶發(fā)起的泛洪或欺騙攻擊等無(wú)線攻擊行為，還你一個(gè)干凈且安全的無(wú)線網(wǎng)絡(luò)環(huán)境。射頻控制策略，自動(dòng)關(guān)閉無(wú)線視頻信號(hào)可以根據(jù)商城的營(yíng)業(yè)時(shí)間，進(jìn)行設(shè)置無(wú)線網(wǎng)絡(luò)時(shí)間計(jì)劃，來(lái)定時(shí)自動(dòng)關(guān)閉無(wú)線網(wǎng)絡(luò)的射頻信號(hào)，一方面能節(jié)省電，另一方面又能防止非法用戶利用深夜時(shí)間入侵無(wú)線網(wǎng)絡(luò)，做一些非法或者損害利益的操作。另外為了更加人性化，還增加了設(shè)置基于SSID的例外無(wú)線網(wǎng)絡(luò)，可以選擇性的關(guān)閉SSID。入侵檢測(cè)，TRAP告警寰創(chuàng)的無(wú)線AP可以記錄非法入侵的終端，記錄不成功的接入嘗試及多次頻段接入嘗試請(qǐng)求，并上報(bào)到網(wǎng)絡(luò)控制器。網(wǎng)絡(luò)控制器對(duì)此類接入嘗試告警，通過SNMP協(xié)議，上報(bào)至第三方網(wǎng)管系統(tǒng)，以實(shí)現(xiàn)告警機(jī)制，從而提醒系統(tǒng)管理員可能存在的安全問題。網(wǎng)絡(luò)管理平臺(tái)設(shè)計(jì)網(wǎng)絡(luò)管理子系統(tǒng)設(shè)計(jì)針對(duì)校園網(wǎng)的復(fù)雜網(wǎng)絡(luò)管理需求，寰創(chuàng)網(wǎng)絡(luò)管理子系統(tǒng)網(wǎng)絡(luò)管理方案需要達(dá)成以下目標(biāo)：通過寰創(chuàng)網(wǎng)絡(luò)管理子系統(tǒng)實(shí)現(xiàn)集中管理網(wǎng)絡(luò)中的路由器、交換機(jī)、WLAN、防火墻設(shè)備等，同時(shí)可以對(duì)第三方設(shè)備進(jìn)行監(jiān)控，實(shí)現(xiàn)全網(wǎng)設(shè)備統(tǒng)一管理。寰創(chuàng)網(wǎng)絡(luò)管理子系統(tǒng)提供拓?fù)涔芾怼⒐收瞎芾?、性能管理功能、配置管理等基本功能，滿足網(wǎng)絡(luò)的基本運(yùn)維需求。寰創(chuàng)網(wǎng)絡(luò)管理子系統(tǒng)提供網(wǎng)絡(luò)流量分析功能，可以識(shí)別用戶或主機(jī)的流量信息，了解網(wǎng)絡(luò)流量的分配情況，實(shí)現(xiàn)網(wǎng)絡(luò)流量的精細(xì)化管理，保障網(wǎng)絡(luò)流量的合理高效利用。寰創(chuàng)網(wǎng)絡(luò)管理子系統(tǒng)提供WLAN無(wú)線網(wǎng)絡(luò)管理功能，實(shí)現(xiàn)有線無(wú)線統(tǒng)一管理和無(wú)線網(wǎng)絡(luò)可視化管理，支持無(wú)線網(wǎng)絡(luò)故障定位功能和終端定位功能，支持無(wú)線網(wǎng)絡(luò)入侵檢測(cè)和頻譜分析功能，實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)業(yè)務(wù)管理的同時(shí)，可以對(duì)無(wú)線網(wǎng)絡(luò)的環(huán)境和安全進(jìn)行監(jiān)控。寰創(chuàng)網(wǎng)絡(luò)管理子系統(tǒng)提供大量的報(bào)表模板，用戶可以根據(jù)需求實(shí)現(xiàn)各種資源統(tǒng)計(jì)，滿足運(yùn)維需求。寰創(chuàng)網(wǎng)絡(luò)管理子系統(tǒng)提供日志管理分析功能，可以收集設(shè)備的syslog等日志，并進(jìn)行系統(tǒng)分析，發(fā)現(xiàn)網(wǎng)絡(luò)的安全事件并直觀展現(xiàn)安全事件的發(fā)展趨勢(shì)。寰創(chuàng)網(wǎng)絡(luò)管理子系統(tǒng)提供專業(yè)版+標(biāo)準(zhǔn)版分級(jí)網(wǎng)絡(luò)管理能力，實(shí)現(xiàn)運(yùn)維安全和大規(guī)模網(wǎng)絡(luò)管理的能力。寰創(chuàng)網(wǎng)絡(luò)管理子系統(tǒng)支持基于域的管理權(quán)限控制。給不同的用戶分配不同的管理權(quán)限，保障網(wǎng)絡(luò)的管理安全。寰創(chuàng)網(wǎng)絡(luò)管理子系統(tǒng)基于組件化的設(shè)計(jì)，網(wǎng)絡(luò)規(guī)?？梢云交瑪U(kuò)展，功能組件可以按照需求選擇，可以滿足網(wǎng)絡(luò)的擴(kuò)容和升級(jí)帶來(lái)的新的管理需求，保護(hù)現(xiàn)網(wǎng)投資網(wǎng)絡(luò)運(yùn)營(yíng)子系統(tǒng)設(shè)計(jì)寰創(chuàng)運(yùn)營(yíng)子系統(tǒng)可以滿足同時(shí)2000萬(wàn)用戶接入，通過計(jì)費(fèi)策略，安全控制策略，終端類型、用戶屬性等元素的靈活調(diào)用，可以為不同用戶的不同終端設(shè)置不同準(zhǔn)入策略，同時(shí)基于校園所在區(qū)域，時(shí)間，用戶身份，終端類型，上網(wǎng)方式五元素任意組合，規(guī)范學(xué)生使用網(wǎng)絡(luò)的習(xí)慣。為了是用戶能夠便利的使用網(wǎng)絡(luò)服務(wù)，為用戶提供多種付費(fèi)通道，用戶可以現(xiàn)場(chǎng)繳費(fèi)或者移動(dòng)APP線上繳費(fèi)，通過聯(lián)動(dòng)第三方支付平臺(tái)（支付寶，銀聯(lián)，微信支付，手機(jī)充值卡等），讓學(xué)生非常便捷的支付上網(wǎng)費(fèi)用。用戶接入網(wǎng)絡(luò)后，管理員比較關(guān)注用戶的在線情況、運(yùn)營(yíng)情況等數(shù)據(jù)，寰創(chuàng)運(yùn)營(yíng)管理子系統(tǒng)可以實(shí)時(shí)監(jiān)測(cè)到當(dāng)前校園網(wǎng)基于不同用戶組的上網(wǎng)在線信息。根據(jù)不同的校園需求選擇不同熱點(diǎn)配置模板，寰創(chuàng)運(yùn)營(yíng)管理子系統(tǒng)配備多種熱點(diǎn)模板、認(rèn)證策略、業(yè)務(wù)套餐、用戶管理功能；寰創(chuàng)運(yùn)營(yíng)管理子系統(tǒng)可以提供多種圖形化的用戶訪問統(tǒng)計(jì)、熱點(diǎn)流量信息等，也可生成各種運(yùn)營(yíng)報(bào)表，一目了然，便于大數(shù)據(jù)分析，支持運(yùn)營(yíng)賬單導(dǎo)出等。認(rèn)證系統(tǒng)設(shè)計(jì)目前主流的認(rèn)證方式PPPoE認(rèn)證PPPoE認(rèn)證，用戶輸入帳號(hào)及密碼即可上網(wǎng)，在當(dāng)前家庭有線網(wǎng)絡(luò)中大量采用。但根據(jù)PPPoE的下線機(jī)制定義，當(dāng)用戶斷開無(wú)線網(wǎng)絡(luò)時(shí)，將自動(dòng)下線，再次上網(wǎng)時(shí)，需要用戶重新?lián)芴?hào)。所以，用戶手機(jī)處于鎖屏狀態(tài)或在兩棟樓間漫游時(shí)，需要重新?lián)芴?hào)，導(dǎo)致手機(jī)上的應(yīng)用（微信、QQ、智慧校園APP等）由于能連接WiFi但上不了網(wǎng)，而收不到實(shí)時(shí)消息，故不適合用于手機(jī)等移動(dòng)場(chǎng)景。另外，由于PPPoE的點(diǎn)播特性，使寬帶網(wǎng)絡(luò)組播業(yè)務(wù)的開展受到極大的限制，可能會(huì)導(dǎo)致智慧教學(xué)的視頻應(yīng)用失效。優(yōu)點(diǎn)：簡(jiǎn)單、成熟，適用于家庭有線寬帶；缺點(diǎn)：不適合移動(dòng)場(chǎng)景，不適用組播業(yè)務(wù)。WPA/802.1x認(rèn)證WPA認(rèn)證，只要用戶首次接入成功，后續(xù)用戶再到同一區(qū)域，無(wú)線都會(huì)自動(dòng)連接。但由于認(rèn)證原理基于證書機(jī)制，導(dǎo)致用戶配置參數(shù)較多，對(duì)普通用戶來(lái)說極為復(fù)雜，故在實(shí)際應(yīng)用中也很少采用。另外，用戶連接認(rèn)證前，只允許認(rèn)證報(bào)文通過，連接認(rèn)證后，才可允許數(shù)據(jù)報(bào)文通過，故對(duì)每用戶控制數(shù)據(jù)流是否通過，可以適用于組播業(yè)務(wù)，但無(wú)法讓所有用戶在認(rèn)證前即能免費(fèi)訪問校園網(wǎng)，導(dǎo)致智慧校園應(yīng)用的覆蓋面變窄。優(yōu)點(diǎn)：自動(dòng)連接、適用組播業(yè)務(wù)；缺點(diǎn)：對(duì)用戶技術(shù)要求高，且無(wú)法讓所有覆蓋用戶免費(fèi)訪問校園網(wǎng)。WEB/Portal認(rèn)證由于終端種類（手機(jī)、PDA、PC）繁多，為了保持兼容性，用戶只需打開瀏覽器，輸入賬號(hào)密碼即能完成上網(wǎng)，簡(jiǎn)單方便。但也因此，造成用戶接入效率低，據(jù)統(tǒng)計(jì)，每用戶需要1分鐘才能接入網(wǎng)絡(luò)。由于WEB/Portal認(rèn)證，先連接后認(rèn)證分兩階段進(jìn)行，用戶即使沒有帳號(hào)，也可以在連接后認(rèn)證前，允許免費(fèi)訪問校園網(wǎng)。優(yōu)點(diǎn)：用戶使用簡(jiǎn)單方便、適用組播業(yè)務(wù)、允許所有覆蓋用戶免費(fèi)訪問校園網(wǎng)。缺點(diǎn)：用戶接入效率低。APP認(rèn)證基于上述認(rèn)證種種問題，我們基于WEB/Portal認(rèn)證提出APP認(rèn)證，手機(jī)APP自動(dòng)存儲(chǔ)賬號(hào)密碼，一次登錄、多次使用，大幅提高用戶接入效率，改善用戶體驗(yàn)。用戶只需首次填寫賬號(hào)、密碼登錄網(wǎng)絡(luò)，后續(xù)只需打開APP，即可自動(dòng)完成上網(wǎng)認(rèn)證過程。優(yōu)點(diǎn)：自動(dòng)連接、適用組播業(yè)務(wù)、允許所有覆蓋用戶免費(fèi)訪問校園網(wǎng)缺點(diǎn)：僅限于手機(jī)APP使用。綜上，校園布暑有線+無(wú)線統(tǒng)一網(wǎng)絡(luò)時(shí)，推薦采用認(rèn)證方案：手機(jī)（APP認(rèn)證）+PC（WEB/Portal認(rèn)證），用戶接入簡(jiǎn)單、方便，在校園內(nèi)隨時(shí)隨地接入，方便學(xué)校、老師、學(xué)生三者互動(dòng)，且手機(jī)與PC采用統(tǒng)一賬號(hào)，保障全局統(tǒng)一的授權(quán)訪問。附認(rèn)證方式比較支持特性PPPoE認(rèn)證WPA/802.1x認(rèn)證WEB/Portal認(rèn)證APP認(rèn)證手機(jī)移動(dòng)場(chǎng)景NYYY組播業(yè)務(wù)NYYY免費(fèi)訪問校園網(wǎng)YNYY用戶技術(shù)要求中高低低用戶接入效率中高低高支持PCYYYN對(duì)接現(xiàn)有網(wǎng)絡(luò)認(rèn)證平臺(tái)智慧校園旨在建立一張統(tǒng)一健全的有線、無(wú)線一體化網(wǎng)絡(luò)，用戶統(tǒng)一認(rèn)證則為本次網(wǎng)絡(luò)認(rèn)證平臺(tái)升級(jí)改造重中之重。寰創(chuàng)提供專業(yè)的認(rèn)證計(jì)費(fèi)服務(wù)器既可以做有線無(wú)線統(tǒng)一認(rèn)證，也可以根據(jù)校方需求和學(xué)?，F(xiàn)有網(wǎng)絡(luò)認(rèn)證平臺(tái)對(duì)接。用戶接入設(shè)計(jì)有線用戶接入認(rèn)證有線用戶如學(xué)生宿舍、家屬區(qū)等通過下載桌面客戶端進(jìn)行接入認(rèn)證，客戶端將用戶的賬號(hào)、密碼發(fā)送到認(rèn)證計(jì)費(fèi)服務(wù)器進(jìn)行認(rèn)證，認(rèn)證通過后用戶將可以進(jìn)行上網(wǎng)。寰創(chuàng)認(rèn)證計(jì)費(fèi)服務(wù)器通過部署防代理功能，有效的限制用戶私接路由器，網(wǎng)絡(luò)共享帶來(lái)的不必要網(wǎng)絡(luò)故障。無(wú)線用戶接入認(rèn)證移動(dòng)終端可以通過手機(jī)連接到相關(guān)SSID，自動(dòng)跳轉(zhuǎn)到APP下載頁(yè)面，下載wifi助手，通過學(xué)號(hào)、教工號(hào)等注冊(cè)實(shí)名認(rèn)證后上網(wǎng)?？梢愿鶕?jù)需求限定統(tǒng)一賬號(hào)允許同時(shí)在線的終端數(shù)。啞終端接入認(rèn)證對(duì)于教學(xué)樓的打印機(jī)、IP電話等啞終端沒有客戶端，也無(wú)法接收web頁(yè)面，或者下載APP，使用MAC認(rèn)證。將打印機(jī)視作一個(gè)接入用戶，認(rèn)證方式采用MAC地址認(rèn)證，在打印機(jī)上線發(fā)出DHCP請(qǐng)求時(shí)觸發(fā)認(rèn)證無(wú)感知認(rèn)證一般網(wǎng)絡(luò)中用戶終端在切換接入不同認(rèn)證點(diǎn)的時(shí)候需要重新認(rèn)證計(jì)費(fèi)，否則無(wú)法正常上網(wǎng)。針對(duì)此寰創(chuàng)認(rèn)證計(jì)費(fèi)服務(wù)器配合自主APP提供無(wú)感知認(rèn)證解決方案，用戶只需在首次下載APP注冊(cè)認(rèn)證后，在整個(gè)校園內(nèi)即便跨認(rèn)證點(diǎn)漫游切換也不需要重新認(rèn)證。校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)網(wǎng)絡(luò)安全方案設(shè)計(jì)在校園網(wǎng)網(wǎng)絡(luò)出口邊界區(qū)域中，使用下一代出口防火墻作為網(wǎng)關(guān)模式部署。使用防火墻作為出口網(wǎng)關(guān)，一方面下一代出口防火墻有著極其優(yōu)越的出口路由功能和NAT能力；另外一方面是具有綜合的安全防御能力，能有效防御來(lái)自互聯(lián)網(wǎng)的各種入侵和惡意訪問，保障校園網(wǎng)絡(luò)的資源安全和使用穩(wěn)定。在防火墻部署策略上，主要是使用防火墻將校園網(wǎng)劃分成內(nèi)網(wǎng)、外網(wǎng)、DMZ等不同區(qū)域，為不同區(qū)域劃分不同的優(yōu)先級(jí)，同時(shí)設(shè)置不同區(qū)域間的互訪策略，以避免越權(quán)訪問。根據(jù)不同的學(xué)校的業(yè)務(wù)需要，建議增加使用應(yīng)用的安全設(shè)備，以滿足校園教學(xué)業(yè)務(wù)的發(fā)展。此方案主要推薦增加遠(yuǎn)程安全訪問設(shè)備SVN和上網(wǎng)行為管理行為審計(jì)設(shè)備，另外針對(duì)數(shù)據(jù)中心可以增加IDS設(shè)備NIP，以增強(qiáng)數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)的保護(hù)網(wǎng)絡(luò)出口安全使用統(tǒng)一防火墻來(lái)防御網(wǎng)絡(luò)的大多數(shù)的攻擊行為，以保證網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性，并且可以對(duì)網(wǎng)絡(luò)內(nèi)流量進(jìn)行多維度的監(jiān)測(cè)和管理。網(wǎng)絡(luò)NAT設(shè)計(jì)學(xué)校互聯(lián)網(wǎng)出口有多個(gè)連接，不同的接入的NAT要求不一致，并且校內(nèi)的大量用戶對(duì)出口的NAT提出了更高要求。網(wǎng)關(guān)采用基于連接的方式提供地址轉(zhuǎn)換特性，針對(duì)每條連接維護(hù)一個(gè)Session表項(xiàng)，并且在處理的過程中采用優(yōu)化的算法，保證了地址轉(zhuǎn)換特性的優(yōu)異性能。在啟用NAT的時(shí)候，性能下降的非常少，這樣就保證了在通過安全網(wǎng)關(guān)提供NAT業(yè)務(wù)的時(shí)候不會(huì)成為網(wǎng)絡(luò)的瓶頸。安全網(wǎng)關(guān)提供了基于安全區(qū)域的管理功能，利用“安全區(qū)域”的概念把統(tǒng)一安全網(wǎng)關(guān)管理的網(wǎng)絡(luò)按照功能區(qū)域、安全要求等因素從邏輯上劃分為幾個(gè)邏輯子網(wǎng)，每個(gè)邏輯子網(wǎng)稱為一個(gè)“安全區(qū)域”。默認(rèn)情況，統(tǒng)一安全網(wǎng)關(guān)提供了4個(gè)默認(rèn)的安全區(qū)域：trust、untrust、DMZ、local，一般情況下，untrust區(qū)域是連接Internet的，trust區(qū)。域是連接內(nèi)部局域網(wǎng)的，DMZ區(qū)域是連接一些內(nèi)部服務(wù)器的，例如放置郵件服務(wù)器、FTP服務(wù)器等。統(tǒng)一安全網(wǎng)關(guān)的地址轉(zhuǎn)換功能是按照安全區(qū)域之間的訪問進(jìn)行配置的，這樣就可以非常方便的進(jìn)行網(wǎng)絡(luò)管理。例如，對(duì)于內(nèi)部服務(wù)器的網(wǎng)絡(luò)如果有足夠的IP地址，可以直接使用公網(wǎng)IP地址，在DMZ->untrust區(qū)域間不使用地址轉(zhuǎn)換，而內(nèi)部局域網(wǎng)使用私網(wǎng)地址，在trust->untrust區(qū)域間使用地址轉(zhuǎn)換。同時(shí)地址轉(zhuǎn)換可以和ACL配合使用，利用ACL來(lái)控制地址轉(zhuǎn)換的范圍，因此即使在同一個(gè)網(wǎng)絡(luò)區(qū)域，有公網(wǎng)、私網(wǎng)混合組網(wǎng)的情況，安全網(wǎng)關(guān)依然可以方便的設(shè)定地址轉(zhuǎn)換的規(guī)則。安全網(wǎng)關(guān)的地址轉(zhuǎn)換功能可以對(duì)內(nèi)部服務(wù)器的支持到達(dá)端口級(jí)。允許用戶按照自己的需要配置內(nèi)部服務(wù)器的端口、協(xié)議、提供給外部的端口、協(xié)議。對(duì)于上面的例子使用的地址轉(zhuǎn)換，不僅可以保證做為WEB服務(wù)器的地址，同時(shí)可以做。FTP服務(wù)器的地址，同時(shí)可以使用:8080提供第二臺(tái)WEB服務(wù)器，還可以滿足內(nèi)部用戶同時(shí)使用的地址進(jìn)行訪問Internet。安全網(wǎng)關(guān)提供了基于端口的內(nèi)部服務(wù)器映射，可以使用端口來(lái)提供服務(wù)，同時(shí)也可以提供地址的一對(duì)一映射。同時(shí)，每臺(tái)統(tǒng)一安全網(wǎng)關(guān)可以提供多達(dá)256個(gè)內(nèi)部服務(wù)器映射，而且不會(huì)影響訪問的效率。業(yè)務(wù)支撐能力要求地址轉(zhuǎn)換比較難處理的情況是報(bào)文載荷中含有地址信息的情況，這種情況的代表協(xié)議是FTP。安全網(wǎng)關(guān)的地址轉(zhuǎn)換現(xiàn)在已經(jīng)非常完善的支持了ICMP重定向、不可達(dá)、FTP（支持被動(dòng)主動(dòng)兩種模式）、H323、NetMeeting、PPTP、L2tp、DNS、NetBIOS、SIP、QQ、MSN等特殊協(xié)議。依靠現(xiàn)在支持的各種業(yè)務(wù)，統(tǒng)一安全網(wǎng)關(guān)已經(jīng)可以提供非常好的業(yè)務(wù)支撐，可以滿足絕大部分的Internet業(yè)務(wù)，使得地址轉(zhuǎn)換不會(huì)成為網(wǎng)絡(luò)業(yè)務(wù)的瓶頸。為了更好的適應(yīng)網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展，安全網(wǎng)關(guān)還提供了一種“用戶自定義”的ALG功能，對(duì)于某些特殊業(yè)務(wù)應(yīng)用，通過命令行進(jìn)行配置就可以支持這種業(yè)務(wù)的ALG，通過這樣的方式更可以保證安全網(wǎng)關(guān)對(duì)業(yè)務(wù)的支撐，達(dá)到快速響應(yīng)的效果。另外安全網(wǎng)關(guān)在結(jié)構(gòu)上面，充分考慮了地址轉(zhuǎn)換需要支持特殊協(xié)議的問題。從結(jié)構(gòu)上保證可以非?？焖俚闹С指鞣N特殊協(xié)議，并且對(duì)報(bào)文加密的情況也做了考慮。因此在應(yīng)用程序網(wǎng)關(guān)方面，統(tǒng)一安全網(wǎng)關(guān)在程序設(shè)計(jì)、結(jié)構(gòu)方面做了很大的努力和考慮，在針對(duì)新出現(xiàn)的各種特殊協(xié)議的開發(fā)方面上，安全網(wǎng)關(guān)可以保證會(huì)比其他設(shè)備提供更快、更好的反應(yīng)，可以快速的響應(yīng)支持用戶的需求，支持多變的網(wǎng)絡(luò)業(yè)務(wù)。無(wú)數(shù)目限制的PAT方式轉(zhuǎn)換安全網(wǎng)關(guān)可以提供PAT（PortAddressTranslation）方式的地址轉(zhuǎn)換，PAT方式的地址轉(zhuǎn)換使用了TCP/UDP的端口信息，這樣在進(jìn)行地址轉(zhuǎn)換的時(shí)候使用的是“地址＋端口”來(lái)區(qū)分內(nèi)部局域網(wǎng)的主機(jī)對(duì)外發(fā)起的不同連接。這樣使用PAT方式的地址轉(zhuǎn)換技術(shù)，內(nèi)部局域網(wǎng)的很多用戶可以共享一個(gè)IP地址上網(wǎng)了。因?yàn)門CP/UDP的端口范圍是1~65535，一般1～1024端口范圍是系統(tǒng)保留端口，因此從理論上計(jì)算，通過PAT方式的地址轉(zhuǎn)換一個(gè)合法的IP地址可以提供大約60000個(gè)并發(fā)連接。但是安全網(wǎng)關(guān)采用專利技術(shù)提供了一種“無(wú)限制端口”連接的算法，可以保證使用一個(gè)公網(wǎng)IP地址可以提供無(wú)限個(gè)并發(fā)連接，通過這種技術(shù)就突破了PAT方式上網(wǎng)的65535個(gè)端口的限制，更大的滿足了地址轉(zhuǎn)換方式的實(shí)際使用，更加節(jié)省了公網(wǎng)的IP地址。安全網(wǎng)關(guān)支持根據(jù)不同的安全區(qū)域之間的訪問設(shè)計(jì)不同的安全策略組（ACL訪問控制列表），每條安全策略組支持若干個(gè)獨(dú)立的規(guī)則。這樣的規(guī)則體系使得統(tǒng)一安全網(wǎng)關(guān)的策略十分容易管理，方便用戶對(duì)各種邏輯安全區(qū)域的獨(dú)立管理。基于安全區(qū)域的策略控制模型，可以清晰的分別定義從trust到untrust、從DMZ到untrust之間的各種訪問，這樣的策略控制模型使得安全網(wǎng)關(guān)的網(wǎng)絡(luò)隔離功能具有很好的管理能力。網(wǎng)絡(luò)攻擊防御設(shè)計(jì)互聯(lián)網(wǎng)充滿各式各樣的威脅，包括惡意的網(wǎng)絡(luò)攻擊和入侵、病毒傳播、木馬注入等等，作為學(xué)校出口，必須具有極高的安全設(shè)計(jì)，以保證內(nèi)網(wǎng)安全和穩(wěn)定?；ヂ?lián)網(wǎng)的安全威脅主要集中在病毒、蠕蟲、惡意代碼，網(wǎng)頁(yè)篡改，垃圾郵件等方面，對(duì)外發(fā)布網(wǎng)站也常常成為攻擊目標(biāo)。采用先進(jìn)的一體化檢測(cè)機(jī)制，將入侵防御功能、反病毒功能、UTRL過濾、ASPF深度檢測(cè)等安全特性集成于一體，形成立體的威脅防御解決方案。（1）一體化檢測(cè)機(jī)制的一體化檢測(cè)機(jī)制不僅提供了強(qiáng)大的內(nèi)容安全功能，還使得即使在內(nèi)容安全功能全開的情況下，也可以保持較高性能功能。一體化檢測(cè)機(jī)制是指設(shè)備僅對(duì)報(bào)文進(jìn)行一次檢測(cè)，就可以獲取到后續(xù)所有內(nèi)容安全功能所需的數(shù)據(jù)，從而大幅提升設(shè)備處理。（2）入侵防御功能入侵防御功能主要可以防護(hù)應(yīng)用層的攻擊或入侵，例如緩沖區(qū)溢出攻擊、木馬、后門攻擊、蠕蟲等。的入侵防御功能可以通過監(jiān)控或者分析系統(tǒng)事件，檢測(cè)應(yīng)用層攻擊和入侵，并通過一定的響應(yīng)方式，實(shí)時(shí)地中止入侵行為。NGFW入侵防御功能的特點(diǎn)如下：支持直路/旁路部署方式，支持針對(duì)不同流量配置不同的防護(hù)措施支持對(duì)應(yīng)用層報(bào)文進(jìn)行深度解析支持進(jìn)行報(bào)文分片重組和TCP流重組之后再進(jìn)行威脅檢測(cè)支持海量的簽名庫(kù)，支持自定義簽名超低的簽名誤報(bào)率(3）反病毒功能反病毒功能可以對(duì)網(wǎng)絡(luò)中傳輸?shù)奈募M(jìn)行掃描，識(shí)別出其中攜帶的病毒，并且予以記錄或清除。病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。病毒通常被攜帶在文件中，通過網(wǎng)頁(yè)、郵件、文件傳輸協(xié)議進(jìn)行傳播。內(nèi)網(wǎng)主機(jī)一旦感染病毒，就可能導(dǎo)致系統(tǒng)癱瘓、服務(wù)中止、數(shù)據(jù)泄露，令企業(yè)蒙受巨大損失。NGFW提供的反病毒功能對(duì)最容易傳播病毒的文件傳輸與共享協(xié)議以及郵件協(xié)議進(jìn)行檢測(cè)和掃描，可以防范多種躲避病毒檢測(cè)的機(jī)制，實(shí)現(xiàn)針對(duì)病毒的強(qiáng)大防護(hù)能力。下一代防火墻NGFW反病毒功能具備如下特點(diǎn)：支持豐富的應(yīng)用層協(xié)議和應(yīng)用程序支持對(duì)壓縮文件進(jìn)行病毒掃描支持海量的病毒特征庫(kù)支持針對(duì)不同流量配置不同的防護(hù)措施，支持添加應(yīng)用例外和病毒例外定制病毒防護(hù)策略(4）URL過濾Web安全問題中最為顯著的就是非法網(wǎng)站和惡意網(wǎng)站。非法網(wǎng)站是指暴力、色情等不被當(dāng)?shù)胤煞ㄒ?guī)或者企業(yè)管理制度所允許訪問的網(wǎng)絡(luò)資源。非法網(wǎng)站帶來(lái)的危害包括影響社會(huì)穩(wěn)定、降低員工工作效率、占用企業(yè)帶寬、浪費(fèi)企業(yè)網(wǎng)絡(luò)資源等；惡意網(wǎng)站是指掛馬網(wǎng)站、釣魚網(wǎng)站等試圖在用戶瀏覽過程中向用戶主機(jī)植入木馬、進(jìn)行SQL注入和跨站腳本攻擊、利用瀏覽器/系統(tǒng)漏洞獲取主機(jī)權(quán)限或數(shù)據(jù)、騙取用戶錢財(cái)?shù)却嬖趷阂庑袨榈木W(wǎng)站。惡意網(wǎng)站有可能帶來(lái)用戶或企業(yè)的大量經(jīng)濟(jì)損失。惡意網(wǎng)站的顯著特征就是在沒有安全機(jī)制保護(hù)的情況下，用戶對(duì)其惡意行為完全不知情，往往在無(wú)意中就造成了損失。URL過濾根據(jù)用戶訪問的URL地址對(duì)URL訪問行為進(jìn)行控制。管理員可以NGFW提供的海量URL分類數(shù)據(jù)庫(kù)，以及自己定義的URL地址及分類，對(duì)不同的URL地址設(shè)置不同的處理措施。同時(shí)，NGFW提供的URL分類數(shù)據(jù)包含了大量已知的掛馬網(wǎng)站、釣魚網(wǎng)站等惡意網(wǎng)站的網(wǎng)址。用戶在訪問URL時(shí)，設(shè)備可以自動(dòng)查詢這個(gè)URL是否屬于惡意網(wǎng)站，并作出相應(yīng)的處理措施。由于URL地址的數(shù)量極其龐大，而且每天都增加，作用也可能發(fā)生改變。海量URL分類數(shù)據(jù)庫(kù)可以及時(shí)跟蹤Internet上的URL地址變化，實(shí)時(shí)更新URL分類信息，保證了URL過濾功能的不斷增強(qiáng)。同時(shí)，管理員也可以在本地網(wǎng)絡(luò)搭建URL分類查詢服務(wù)器。由本地URL分類查詢服務(wù)器從查詢服務(wù)器上學(xué)習(xí)完整的URL分類信息，本地網(wǎng)絡(luò)中的多臺(tái)NGFW再向該服務(wù)器進(jìn)行查詢。這種部署方式節(jié)約了網(wǎng)絡(luò)帶寬，提高了查詢速度，還可以在內(nèi)網(wǎng)中的NGFW無(wú)法直接連接Internet時(shí)，仍能實(shí)現(xiàn)實(shí)時(shí)查詢。（5）ASPF深度檢測(cè)功能NGFW支持ASPF技術(shù)，ASPF是一種高級(jí)通信過濾技術(shù)，它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。NGFW依靠這種基于報(bào)文內(nèi)容的訪問控制，能夠?qū)?yīng)用層的一部分攻擊加以檢測(cè)和防范，包括對(duì)于FTP命令字、SMTP命令的檢測(cè)、HTTP的Java、ActiveX控件等的檢測(cè)。ASPF技術(shù)是在基于會(huì)話管理的技術(shù)基礎(chǔ)上提供深層檢測(cè)技術(shù)的，ASPF技術(shù)利用會(huì)話管理維護(hù)的信息來(lái)維護(hù)會(huì)話的訪問規(guī)則，通過ASPF技術(shù)在會(huì)話管理中保存著不能由靜態(tài)訪問列表規(guī)則保存的會(huì)話狀態(tài)信息。會(huì)話狀態(tài)信息可以用于智能的允許/禁止報(bào)文。當(dāng)一個(gè)會(huì)話終止時(shí)，會(huì)話管理會(huì)將該會(huì)話的相關(guān)信息刪除，NGFW中的會(huì)話也將被關(guān)閉。針對(duì)TCP連接，ASPF可以智能的檢測(cè)“TCP的三次握手的信息”和“拆除連接的握手信息”，通過檢測(cè)握手、拆連接的狀態(tài)檢測(cè)，保證一個(gè)正常的TCP訪問可以正常進(jìn)行，而對(duì)于非完整的TCP握手連接的報(bào)文會(huì)直接拒絕。在普通的場(chǎng)合，一般使用的是基于ACL的IP包過濾技術(shù)，這種技術(shù)比較簡(jiǎn)單，但缺乏一定的靈活性，在很多復(fù)雜應(yīng)用的場(chǎng)合普通包過濾