XX学院智慧校园基础网络平台建设与运维服务项目

PAGE21正本XXX投标文件（技术部分）项目名称：XXX学院智慧校园基础网络平台建设与运维服务项目项目编号：XXX采购代理机构：XXX竞标单位名称：XXX（盖公章）地址：联系人：XXX联系电话：XXX目录28296第一章技术方案 6323141.项目背景概述 6204621.1项目背景 6241691.2现状分析 7221171.3建设目标 8147412.智慧校园网建设需求分析 10200422.1智慧校园网建设必要性 10139042.2智慧校园网优化分析 10104943.总体架构设计 12146283.1建设原则 12222213.2校园网建设内容框架 13162453.3网络架构拓扑图 15319453.4网络设计概述 15272233.5骨干网络方案先进性与可行性 16201553.6运营管理平台建设内容 193433.7集中认证 20218483.8有线无线集中统一认证 22133824.无线网络建设方案 23274814.1无线网络先进性设计 23236764.2无线覆盖方案 25205264.3无线多SSID设计 31166984.4无线接入认证设计 31259494.5无线安全技术设计 34164004.6无线QOS设计 3550734.7无线覆盖指标要求 383674.8无线方案特色 391635.网络安全设计 46252965.1设备级安全功能 46136015.2防ARP攻击设计 47192245.3交换机IP防扫描设计 47153935.4防DOS/DDOS攻击 488065.5路由安全设计 4817675.6设备管理安全设计 49152685.7汇聚嵌入式安全 50159015.8接入安全控制 50293335.9IP+MAC+端口绑定 5119695.10防止病毒广播泛洪 51159365.11入网用户身份认证 51206375.12防止对DHCP服务器攻击 51287605.13多元素绑定技术构筑高安全校园网 52250545.14防止用户私设代理服务器 53234535.15恶意用户追查 535446.技术参数 5459586.1出口路由器技术参数 54127896.2核心交换机技术参数 56140676.3无线控制器技术参数 59160116.4认证计费系统技术参数 62253376.5Portal认证系统技术参数 6718516.6eLog日志分析系统技术参数 67236226.7服务器接入交换机技术参数 68297986.8汇聚交换机技术参数 7141436.9宿舍区面板式AP 74211246.10宿舍无线接入点PoE交换机 76173846.11无线接入点24口PoE交换机技术参数 7967286.12无线接入点12口PoE交换机技术参数 82236646.1311ac室内无线接入点技术参数 84141536.1411ac室外无线接入点技术参数 87120957.投标产品介绍 89103847.1出口路由器RG-EG2000XE 89268667.2核心交换机RG-N18000 92294357.3无线控制器RG-M18000-WS-ED 96170967.4校园网认证计费系统RG-SAMV3.X+RG-ePortal 101233827.5上网日志系统RG-eLog 106175937.5.1产品图片 106201197.5.2产品概述 1063487.5.3产品特性 107206427.6汇聚交换机（服务器接入交换机）RG-S2910XS-E产品介绍 108250907.7POE交换机RG-S2900G-12/24P产品介绍 111200917.8宿舍用面板AP及POE交换机产品介绍 11732507.9RG-AP520双路双频80211ac无线接入点产品介绍 122222357.10RG-AP630室外增强型80211ac无线接入点产品介绍 125314588.综合布线厂商授权函和产品质量保证书 13052408.1授权函 130202628.2产品质量保证书 131326428.3质量保证体系及售后服务 13210539第二章施工方案 134102801.项目管理方案 134293681.1项目实施管理 134189761.2项目范围管理 134137111.3项目阶段规划 13465291.4人力资源管理 138187761.5项目进度管理 142316121.6项目沟通管理 149250961.7项目风险管理 153127151.8项目问题管理 15826571.9项目变更管理 159299701.10项目质量管理 160131751.11工程文档管理 17297431.12工程施工管理 17324031.13软件调试规范 21283851.14无线网优方案 239323951.15网络测试 2444331.16实施阶段详细规划 251189811.17安全防护及文明施工措施和方案 251176041.17.1安全施工目标 251153321.17.2安全守则 251145271.17.3安全组织措施 25256101.17.4安全组织保证体系 252214751.17.5项目各级管理人员安全责任 252264881.17.6安全保障制度 2546762第三章运维方案 261301961运维服务体系 26135621.1统一呼叫中心 262284701.2服务系统支撑平台 26253641.3驻场工程师 263141511.4智能机器人 26511151.5校趣多APP 265299301.6备件支撑体系 266101.7遍布全国的办事处 269234711.8设备原厂商服务保障体系 269223681.9运营商服务保障体系 272264651.10运维服务范围及内容 272249171.10.1网络配置变更 27371721.10.2网络监控服务 276161311.10.3设备故障处理 277140291.10.4设备健康检查 280243961.10.5机房环境监控 283244932运营方案 287134732.1投资与收益评估 287103462.2校方、XXX、运营商合作策略 288220922.2.1运营资费制定规则 288198112.2.2资费套餐设计 288206362.2.3校方、XXX、运营商合作方案 28934262.2.4XXX、运营商合作策略 289173862.3运营系统设计 290228392.4运营服务流程 290123692.5运营服务指标 291第一章技术方案项目背景概述项目背景本次项目拟对XXX学院校园网络基础设施建设与运维服务方面，投资建成一个安全、稳定、便利、全覆盖、有线无线一体化统一运营与运维管理的网络系统，为建设安全、节能、高效的XXX学院智慧校园打下良好的基础。XXX学院自建校以来，服务于教务教学的校园网络设施，有力地支持了学校的高速发展。但随着学校业务系统的增多和新型教学方式的转变，对学生的学习、实验探究和实践的要求明显提高，因而对整个学校的校园网性能承载和功能要求也随之发生了很大变化，现有的校园网络已难以满足这种需要；另外，由于原有的网络设备使用年限和技术更新，现有校园网设施也已很难满足新课程对现代教育技术的需求。随着无线应用及移动终端的普及，为了更好的服务于师生，加快教育信息化建设的步伐，促进校园信息化建设成为学校育人的有机组成部分，大力发展校园无线网络，建设高速、稳定、可靠、可运营、可管理的无线网络对于塑造学院新一代智慧校园来说，具有重要的战略意义。现在无线网络产品和技术都已成熟，无线11ac技术相比传统11g的技术在性能和覆盖上都有了质的飞跃，加上学校无线应用越来越多，如笔记本、pad、手机等终端广泛应用，学校全校无线校园网建设成为学校信息化发展的必然趋势。当前学校在信息化建设方面的背景和需求，可以总结概括为以下几点：（一）加快学校信息化建设，是落实“创新人才培养体系”、“改革人才培养模式”人才培养战略的需要。《国家中长期教育改革和发展规划纲要（2010-2020年）》中明确指出“信息技术对教育发展具有革命性影响，必须予以高度重视”，提出了“创新人才培养体系”、“改革人才培养模式”、“加强实践教学”、“提高课程建设质量”等系列工作。这些工作的开展需要利用各类信息化技术手段，形成以移动互联网络接入环境、知识云、学习云支撑的课堂教育模式，以在线教育支撑的联合培养模式、以虚拟课堂支撑的学生自学模式、以网上社团支撑的通识培养模式、以仿真实验环境支撑的实践教学模式、以网络评议支撑的科学评估模式，以综合数据分析支撑课程建设质量。全面推进学生自主性、互动性和探究式学习，实现人才培养战略的总体目标。（二）加快学校信息化建设，是推进“学科建设梯度推进战略”、“学科交叉与融合创新”学科建设战略的需要。学科建设是高校能力建设的核心内容，信息化是加快学科建设的重要手段。“十二五”期间，我校确立了“支撑专业建设、提升教学水平、增强创新能力、服务地方发展”学科建设目标，这些工作的推进需要建立以泛在快速的网络环境和基于云架构的资源共享环境为核心的学科建设的公共支撑平台，融合学校数字图书、教学影像视频等各类知识资源，为各学科提供按需、主动推送服务。构建跨学科的网络信息平台，为各科学交叉提供在线的信息交流环境，开展学科相关资源的共享，促进学术交流合作，推进学科交叉融合。（三）加快学校信息化建设，是支撑“跨学科研究平台”、“学科联合攻关”科研发展战略的需要。《高等学校中长期科学和技术发展规划纲要》中指出“要抓住信息化建设的发展机遇，构建信息化公共服务体系，以信息化带动科研工作现代化，实现高校科研工作的跨越式发展”。我校的科学研究的定位是以加强科研平台建设和科研创新团队建设为基础，以争取高水平科研项目和科研成果为突破口，在这新形势下，为适应我校新一轮科研发展的需要，开展学术网络建设、面向学术团队建立机构知识库等形式的创新知识资源服务、网上学术交流服务、大型仪器设备共享服务、网上科技成果转化等服务是十分必要的，营造具有学院特色、支撑学科建设、结合区域发展的科研环境。（四）加快学校信息化建设，是推动管理科学化、智能化、效能化发展，构建智慧校园的需要。大学校园离不开科学的管理，科学的管理必须借助于信息化的支撑。近年来，学校高度重视管理体制机制的改革，强调机关工作的效能建设，强调提升管理服务水平。这些工作的落实需要利用先进的信息化技术手段，部署自动化、智能化的管理服务系统，科学全面地采集、整合、挖掘学校各类相关信息与数据，为学校整体管理效能的提高和量化决策提供支撑。同时，通过现有的信息化技术手段，结合基建改造工作，实现安全监控、节能减排、有效控制等目标，为全力打造智慧校园提供保障。现状分析随着信息技术应用发展，随时随地使用无线网络已是趋势，另外网络应用系统均是针对各部门、各单位的具体工作进行建设的，并未遵循统一的技术标准来设计、开发以及购置，难免存在信息建设局限性、片面性，致使各系统数据结构差异较大，难以进行跨系统的数据管理和调用，使得资源难以整合。校园网网络设施一直以来为学校智慧教学管理平台提供坚实的基础，但随着业务规模的扩大和新的教学方式转变，原有的网络设备将无法满足现在以及未来的校园网发展需要。另外为了更好的提升学院日常教学办公管理的效率，改造学院网络平台也是非常有必要的，随着未来我校智慧校园建设的不断发展和深入，校园网中承载的业务也将会越来越丰富、越来越复杂，今天的学院信息化体系架构内，已经包括了学院各个部门的业务系统，各业务部门的系统已经由最初的只是实现部分简单的OA自动化到今天逐渐将业务部门的所有流程都整合其中，已经发生了巨大的变化，系统变得日益完善、日益复杂、日益强壮，不同业务部门的系统面向不同的业务体系和业务流程已经有了明显的差异化。例如未来将会逐步完善的智慧教学平台、智慧图书馆、办公信息系统、教学管理系统、科研管理系统、学生管理系统、一卡通、校园广播、校园监控、无线教学等，这些系统构成了未来学院的核心业务平台，是学院的经脉，渗透在学院运转的各个方面，在学院的发展中起着极其重要的作用。场景变化：使用场景由传统的办公室、宿舍延伸至校园内的所有场所；习惯变化：学生使用习惯由传统PC转向各种智能终端，应用复杂化；技术发展：互联网技术快速发展，各种WIFI设备出现，传统的有线网络无法应对；设备及架构变化：现有设备在网时间长且现有网络架构为传统的三层架构，故障节点增加及网络维护方面临压力；管理变化：传统有线网络运维管理转向为无线网络运维管理，IT建设规模逐渐扩大，IT基础设施运维工作量增加，工作量与绩效考核难；教育信息化需要：校园网建设和使用，除了给师生提供一张便利，极致体验的网络外，最终的目的是推动教学，校园网大数据系统平台及所能支撑的基础网络需要建设。建设目标通过此次全校有线无线网络的一体化建设，改变XXX学院现有网络无法满足信息化建设步伐的现状，为广大师生提供更加快速、稳定、便利的校园网接入方式，让学生和老师随时随地都可以访问校园网，更好的为学生的学习、生活，老师的教学、办公等提供优质的信息化服务，同时实现学校自主分区域、分时段、分权限的可控可管。项目建设具体目标如下：统一平台。包括综合布线、有线网络、无线网络统一为一个基础网络平台。统一账号。对于师生用户，只需要一个继承我校LDAP认证服务器的账号即可轻松实现我校有线、无线等网络的接入。账号归学校统一管理，统一以学生学号（教师工号）为登录帐号，同时需与相应运营商帐号进行关联绑定才可访问相应运营商的网络。若未关联运营商帐号，则不能访问互联网，但可自由访问校内网资源；用户需能够自由地在各宽带服务提供商之间进行任意切换，且各师生用户在通过无线上网时在校园范围内应做到无感知漫游。统一监管与服务。坚持校方主导，对统一平台进行管控及服务监管。统一安全审计。应能满足公安部82号令以及信息安全等级保护的相关要求。XXX学院校园网络基础设施的建设范围为:XXX学院东校区(广西壮族自治区XXX市西约街169号)和西校区(广西壮族自治区XXX市西环路18号)范围内，包含办公教学区、教师宿舍区和学生宿舍区的各栋楼宇，以及食堂、图书馆、教学楼、实验楼、体育场馆等公共教学活动区域，实现全校范围内有线网络和无线网络无缝对接，师生在校园内可随时随地方便、快捷、安全地接入网络。通过本次校园网基础设施的投资建设，要求实现以下基本目标：建设基于云计算、数据中心、认证中心的强壮核心，对核心机房的设备新增建设；从而提升网络的性能；对原有的网络逻辑架构进行重新梳理，改变传统的三层网络管理模式，采用全网集中网关、集中认证设计的扁平化网络架构，统一接入层交换机配置，简化汇聚层交换机配置，将所有用户接入认证、访问权限授予、外网计费功能交由核心设备统一实现，使网络管理更加高效；整个校园网核心采用扁平化设备，与用户精细化管理平台相配合，实现校园网扁平化架构和用户精细化管理。建设基于有线、无线一体化的统一用户平台，满足全校师生的有线无线高速上网的需求。同时采取灵活、高效的策略管理，让不同用户合理有效地使用网络资源；建设更为开放、透明的校园网运营商选择、收费机制，确保用户在有线、无线一体化的基础上，能够灵活自主地选择电信、移动、联通等运营商。形成良好的校园网运营商市场氛围，并帮助学校信息化管理部门对校园网的运营进行监督管理。智慧校园网建设需求分析智慧校园网建设必要性校园网网络设施一直以来为学校的智慧教学管理平台提供坚实的基础，但随着业务规模的扩大和新的教学方式转变，原有的网络设备将无法满足现在以及未来的校园网发展需要。另外为了更好的提升学院日常教学办公管理的效率，改造学校网络平台也是非常有必要的，随着未来我校智慧校园建设的不断发展和深入，校园网中承载的业务也将会越来越丰富、越来越复杂，今天的学院信息化体系架构内，已经包括了学院各个部门的业务系统，各业务部门的系统已经由最初的只是实现部分简单的OA自动化到今天逐渐将业务部门的所有流程都整合其中，已经发生了巨大的变化，系统变得日益完善、日益复杂、日益强壮，不同业务部门的系统面向不同的业务体系和业务流程已经有了明显的差异化。例如未来将会逐步完善的智慧教学平台、智慧图书馆、办公信息系统、教学管理系统、科研管理系统、学生管理系统、一卡通、校园广播、校园监控、无线教学等，这些系统构成了未来学院的核心业务平台，是学校的经脉，渗透在学院运转的各个方面，在学校的发展中起着极其重要的作用。本项目包含了校园核心骨干网建设、各校区核心汇聚建设、接入网络建设、校园出口网络及信息安全系统设计、全校无线网络建设项目。项目建成后，将使学校校园网形成高性能平台的核心骨干网、支持无线校园网络、支持统一网络认证、支持智能稳定的安全防护体系，使全校的信息化基础建设上到一个新的台阶。智慧校园网优化分析根据智慧校园的业务框架及业务系统对网络建设的要求，此次智慧校园建设和优化的主要需求有：基础网络平台建设和优化需求网络架构设计需求需要为全校规划性能合理的网络骨干架构，根据学校信息点和业务分布情况，选择合理的核心设备、接入设备；选择合理的链路及连接方式，实现全网核心骨干层的高效、稳定和可扩展，同时实现网络的互联，保证高稳定，高可靠。网络出口设计需求目前校园网建设的一个难点是校园网出口建设。随着校园网应用系统的增加，越来越多的应用构建在出口基础之上，网络出口的稳定性、性能、流控功能、安全性方面的设计直接影响整个校园网应用的效果。需要为整个网络出口规划一个合理的架构。安全管理的需求校园网必须具备上网日志的功能，主要是配合公安机关保证社会的稳定和校园的安全。全面满足公安部82号令要求留存各个类型日志，整合用户上网的数据进行留存审计追溯。无线应用的需求无线校园网应用是目前校园网建设的热点，随着智慧校园建设的发展，无线校园网的建设将给学院的信息化建设带来最直接、效果最明显的效益。此次智慧校园中无线的覆盖也是非常重要的一部分。运营支撑平台建设的需求校园网的一个重要特点就是用户群体的计算机网络水平较高导致网络黑客攻击频繁发生，经常出现地址盗用和用户名仿冒的问题；校园网访问流量庞大，如FTP文件传输、在线音乐、在线影视、视频点播、网络游戏等应用和特定时间（如晚上）对网络设备都产生巨大压力。因此要求支持用户认证，需要解决账号和端口绑定问题，要求提供各种接入方式，如有线、无线；准入、准出；802.1x、Web等各种接入方式的认证及管理。校园网络建设不但要求对于用户进行运营管理，而且要求对业务系统进行统一的运维管理支撑。IT资源现状能够支撑未来新业务的发展，或者是否可以通过平滑升级支持就成为关注焦点。学院的应用系统建设将会越来越复杂，要求能建设统一的IT资源运维体系。校园大数据平台未来需求伴随着高校教育信息化建设程度的不断深入和加强，比以往更多的海量数据被积累保存，这对于高校来说，是一笔宝贵的财富，如何利用大数据推进教学，合理利用。例如对无线用户从认证到使用进行大数据采集分析，结合智能的分析知识库来感知我们部署的无线网络到底怎么样，从以往的人为感知到数据感知，同时对于体验差的区域还会给出解决建议以及自动优化，分析用户的无线网络使用轨迹，可支撑学校未来对于学生的管理更智能化，更科学化，真正把无线网络数据变成学校教学管理，人员管理有用的数据，支撑学校的信息化发展，对用户的NAT转换信息，URL访问日志，上网帐号，上网区域，时间进行存储，同时结合这些数据，我们未来可以进行舆情分析，网络行为大数据分析，从另一维度帮助学校更好的了解学生。总体架构设计建设原则安全性网络必须具有良好的安全防范措施和密码保护技术，灵活方便的权限设定和控制机制，使系统具有多种有效手段，防范各种形式对网络的非法入侵和内部攻击，以保证网络的实体安全、网络安全、系统安全和信息安全，有效地保障正常的业务活动和防止内部信息数据不被非法窃取、篡改或泄漏。因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，XXX充分考虑安全性，针对教育行业网络的各种应用，有多种的保护机制，如划分VLAN、IP/MAC地址绑定、802.1x用户访问控制、802.1d、802.1w、802.1s冗余链路保护等。先进性系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对先进成熟，整个系统的生命周期应有比较长的时间，可以在信息技术不断发展的今天，在系统建成以后比较长的一段时间内能满足用户需求增长的需要；不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证网络建设的领先地位，采用万/千兆以太网技术构建网络主干、支干线路。开放性采用开放的软硬件平台和数据库管理系统，遵循国际标准化组织提出的开放系统互联的标准，应用软件必须独立于软硬件平台，能集成任何第三方的应用，具有良好的可扩展性、可移植性和互操作性。扩展性系统必须具有良好的可扩充性，在系统结构、系统容量与技术方案等方面必须具有升级换代的可能，核心设备必须采用模块化的结构，跟踪网络发展的前沿方向，符合网络的发展趋势并具有充分的扩展性。系统建设必须尽量保护现有的软、硬件资源，保证各部门现有的计算机系统的使用，逐步过渡，有效保护用户投资，最终形成一个统一的、一体化的综合网络系统。高性能网络链路和设备具备足够高的数据转发能力，保证各种信息的高质量无阻塞传输；交换系统具有很高的交换容量与多服务支持的能力，保证网络服务的质量。可运营管理为了让校园网能够良性、稳定、持续、健康的发展，对校园网用户进行严格的管理和控制，学校需要对校园网进行用户接入管理管理，通过对上网的用户进行认证，记录上网用户的行为，为学校的网络管理提供便利的工具。同时可进行计费扩展，通过对用户收取一定的费用来达到“以网养网”的目的，并要求运营系统能够贴近校园用户的应用模式，方便维护和管理。规范化和标准化网络体系结构、通信协议及软件的设计和开发必须按照国家或行业标准进行，要模块化、结构化、数据要代码化，以便于信息共享和交流及将来的维护。在系统设计和软件开发时，应用程序必须规范化、模块化和可复用。校园网建设内容框架校园骨干网络设计本次XXX学院网络建设项目，需要建成一个高带宽、高性能（云架构网络的核心交换机）校园骨干网络的最终目的，建设可扩展的新一代校园网络架构。校园出口网络设计新增专用网络出口设备，承载出口NAT、链路负载均衡，智能选路功能。有线无线统一认证方式：结合智慧校园统一身份认证系统，采用一体化认证方式为校园各类用户提供上网认证服务，减轻使用和维护复杂度。上网行为管理：要求实现对互联网访问行为的全面管理，包括网页过滤、行为控制、流量管理、防范法规风险、互联网访问行为记录、上网安全等多个方面。分类存储所有访问的源IP、目的IP、源端口号、目的端口号、应用类型、数据包大小、数据包数量。结合认证统，通过源IP/时间，找到对应的帐号，将安全事件度应到人甚至对应到发生安全事件的地点。校园无线网络设计全面建设学校的WLAN无线校园网，实现校内随时随地的通过WI-FI访问校园网。WLAN信号覆盖教学、办公楼宇的室内区域，满足每个办公室、教室、实验室和门厅区域的信号接收强度≥-75dBm。室外覆盖区域包括广场、运动场、篮球场，室外AP覆盖区域终端连接速率最高可达到1.75Gbps，满足80%以上区域接收信号强度≥-75dBm，每个场所支持并发用户100个以上。无线全部采用基于802.11ac协议的室内室外高性能AP产品，所有AP均支持2.4GHz和5.8GHz频段的双路接入，要求每个AP至少支持1.167Gbps速率。AP容量须满足每个办公室4个并发用户以上、每个教室和实验室20个并发用户以上，行政楼各会议室30个以上并发、图书馆会议室、学生事务中心会议室50个以上并发、学术报告厅100个以上。WLAN无线网络采用独立网络传输和天馈系统，不与手机2G/3G/4G天馈系统合路使用。无线用户通过统一的访问登录系统可实现多种基于用户或用户群的访问控制：包括基于不同的用户或用户群可实施不同的认证方式；基于不同的用户或用户群可实施不同的资源访问权限控制；基于不同的用户或用户群可实施不同的接入上、下行带宽控制；基于不同的用户或用户群可实施基于时间的接入控制；上述多种接入控制策略实施、操作过程要方便、易用，即时生效。学校教学办公区的无线AP（访问点）数量需要约680个左右，学生公寓区的无线AP数量需要约2500个左右。网络架构拓扑图网络设计概述整体逻辑上将校园网划分为原有教学办公有线网、新建全校无线网、学生宿舍有线无线一体网、网络边界以及IT运营运维管理。基础交换网络：采用2台锐捷RG-N18系列面向十万兆平台设计的高端核心交换机构建校园核心交换网络，具有高可靠性、转发性能、扩展能力和业务部署能力，实现数据信息的无阻塞高速交互运作，支持VEPA,TRILL,FCOE等数据中心特性，从基础网络架构平台IAAS层支持云特性，满足学校未来的云平台建设，公共区和宿舍区均采用锐捷网络的RG-S2910-24GT4XS-E作为汇聚交换机承担万兆骨干上联业务。无线校园区：基于应用场景的无线设计，在教学办公去等开阔复杂结构环境下部署锐捷搭载X-Sense灵动天线的无线AP，提供更好的信号覆盖和更加智能的无线信号，在学生密集且无线带宽要求更高的区域采用锐捷精细化802.11AC无线设备进行覆盖，每间宿舍部署1台，最高带宽可达1167M，提供给校内学生一个堪比有线的无线网络，针对室外操场篮球场等区域，采用锐捷802.11AC室外双路双频覆盖，满足全校90%以上区域的覆盖，提供校内师生随时随地接入无线校园网的便捷享受。同时整体的无线组网采用”瘦AP+AC”的组网方式，将整体校园网的无线通过无线控制器进行集中管控，便于后期的整体运维管理。网络边界区：提供高性能NAT数据转发，满足校园网具有对网络出口设备NAT性能转发要求高的特点，避免数据在网络出口处形成拥塞，导致数据不能正常转发形成性能瓶颈；提供多链路智能选路，避免策略路由出现部分区域不能正常上网的情况出现，实现链路的自动备份，提升网络整体稳定性；在提升用户访问互联网速度的前提下提升带宽的综合利用率，带宽合理分配，合理分配带宽资源，对关键业务进行带宽保障，对于下载类的应用基于时间段进行限制，灵活管理，与身份认证系统联动，基于用户记录URL日志、IM上下线日志、Seesion日志等信息满足网监要求；日志集中管理，网络出口处的各种日志需要集中管理，方便在日后进行查询和定位；应用及流量可视化和性能评估，对互联网出口和内网应用的流量进行L2~L7层的可视化分析，了解网络流量构成，对网络的性能进行评估，了解网络的性能瓶颈，提供优化决策依据，对应用的性能进行评估，了解关键业务系统的性能瓶颈，提供优化决策依据。IT运营运维管理区：采用锐捷RG-SAM实现对全校有线无线的一体化运营管理，提供更为开放、透明的校园网运营商选择、收费机制，确保用户在有线、无线一体化的基础上，能够灵活自主地选择电信、移动、联通等运营商。形成良好的校园网运营商市场氛围，并帮助学校信息化管理部门对校园网的运营进行监督管理，无需定制化开发即可轻松保障学校和运营商双方的利益，通过每月报表的对账，保障学校与运营商之间的收益分成，实现双方的互利共赢。骨干网络方案先进性与可行性校园骨干网络本方案高性能数据中心交换机锐捷N18系列，采用采用先进的CLOS多级多平面交换架构，正交设计，背板“零”走线，传输损耗最小，确保各端口间全线速无阻塞，提供持续的宽带升级能力和业务支撑能力；汇聚交换机与核心之间采用万兆互联。核心层一直被认为是所有流量的最终承受者和汇聚者，承担校园网骨干的高速数据交换。所以对核心层的设计以及网络设备的要求十分严格，要求核心交换机拥有较高的性能及可靠性。否则随着信息化建设的进一步深化，特别是随着学校内部资源平台的不断完善和丰富，核心交换机将无法满足这些建设需求。XXX学院核心机房作为核心层的中心，将承担学校骨干的高速数据交换，同时为未来我校构建基于云服务架构的智慧校园提供支撑，所以核心交换机一方面要满足高性能的要求，另一方面要求支持云计算特性；通过比较在此方案核心层的设计中，采用高性能的核心交换机作为核心设备，各个汇聚节点采用光纤线路方式连接到核心设备上，保证高带宽。极简网络核心认证设计先进性与可行性本方案通过核心N18010核心交换机，实现大二层核心认证系统。通过这样的集中认证+统一网关，改变整个无线网络部署方式。有线、无线设备在网络核心层集中认证后，部署方式更简单，更灵活，更适合持续扩展，同时用户体验到更快上网速率。统一网关部署在网络核心层，网关性能大幅提升，无线网络部署时，不再担心性能瓶颈问题。统一认证、统一安全策略后，不存在与多套认证系统对接问题，方便管理。方案部署后，最大可承载90000双栈终端同时在线，1000个/S终端快速上线，完全满足未来10年的网络演进,在网络使用的高峰期，用户上网仍不受影响，仍能获得高速认证的超快体验。原因是：Newton交换机通过软硬件处理机制，能够屏蔽非法认证报文，保护认证服务器免受攻击，保障用户上网认证体验。校园出口系统先进性与可行性校园网出口区作为校园网的边界，主要负责承担边界网络的数据转发、流量控制、安全防护、安全审计等功能。校园网出口区分层功能如下图所示：出口区功能表边界连接层处于边界网的最外端，是边界网中的数据交换基础平台，此平台主要由边界网中的路由器来。边界连接层需要考虑以下三个方面。1.边界连接部署高性能的多功能网关来实现NAT转发。2.智能路由选路校园网用户在访问属于不同ISP提供的信息资源时，边界连接层需要智能的根据用户访问的信息资源，选择不同的ISP（不同的广域网链路）来进行访问。从而避免访问路径跨越了不同ISP网络，确保资源访问效率最大化。3.多链路负载通过ISP线路、教育网线路分别连接至Internet、Cernet。为了提高出口带宽的整体利用率，同时提供链路冗余备份，边界连接层必须提供多链路负载均衡与备份功能。出于对网络出口的性能和可靠性考虑，向多个运营商同时租用多条互联网线路的情况在国内是非常普遍的。但是，对于拥有两条或两条以上的互联网链路的用户，如何既保证多条链路带宽被充分利用不被浪费，又保证对内对外访问所选择的路径是最快速的最优的，安全网关必须支持多链路负载均衡技术，对多个ISP链路的可用性和性能进行监督，对双向数据流进行智能路径选择，从而保证用户拥有最佳的互联网接入体验。安全防护安全防护，是出口网络设计中必不可少的内容。针对出口网络中所部署的安全防护，主要有以下三个方面：报文过滤通过访问控制列表（ACL）实现了灵活的各种粒度的报文过滤,包括：标准ACL、扩展ACL。审计系统部署一套日志审计系统，实现以下功能：Flow流日志：源IP、目的IP、源端口、目的端口、流起始时间、结束时间、接受字节数，发送字节数等关键信息出口NAT日志：经过NAT转换前的源IP地址、源端口，经过NAT转换后的源IP地址、源端和运营计费平台无缝对接，将用户认证上网信息和出口日志结合起来，实现快速的用户上网信息统计和违规用户定位。满足公安部82号令要求。运营管理平台建设内容运营管理平台建设，主要考虑建设统一的认证运营系统，实现有线无线统一认证，统一计费。安全运营管理系统设计基于标准的RADIUS协议开发的认证计费管理系统。要求支持现在网络身份认证所有的方式，例如：有线802.1X的准入方式、无线802.1X的准入方式、有线的web准入方式、无线的web准入方式，远程vpn的接入方式。在同一个平台上实现了所有接入方式的认证、接入控制、计费、日志管理，和对外统一接口等。降低用户的投资成本，使得管理效率得到了很大的提升。高校的信息化建设首要满足的是教学业务更好的开展，而不是以盈利为第一目标，因此业务的运营也主要集中在校内资源和服务管理的层面。在满足教学业务的基础上要求校园网建设遵循高标准。打造信息化教育高校，实现全校师生能够按照自己的意愿在任何时间、任何地点从事工作、学习和研究，学校需要有对校园网内部管理的主动权。在校园网建设具体部署中，要求校园网实现统一平台。建设智慧校园，实现全校“统一门户、统一帐号、统一运营、统一管理”。通过SAM认证计费系统方便智慧校园认证计费的统一管理，有线网络和无线网络采用同一账号。要求校园网自主管控，配合规范化教学秩序，针对时间段、接入区域、用户身份类型等方面信息对用户进行精细化管理，在特殊时期（例如上课、熄灯、国庆、招生、两会等）进行特殊管控。集中认证传统的校园网中，用户接入控制、安全防护、运营及服务管理的各种功能、策略一般都部署在校园网的接入、汇聚交换机上。这种部署方式导致整个接入网的整体拥有成本非常高，高校的信息部门曾今投入了大量的资金来搭建这张接入网，而未来一旦因为设备老旧、功能升级等原因，这张接入网还会继续需要持续的资金投入，而随着无线校园网的建设，这笔资金的数额更加巨大。传统三层网络在扩展性不足的同时，还给用户带来了持续的部署、运维压力，因为巨量的接入设备因为复杂的安全、认证配置；汇聚设备的路由、网关配置相当耗费精力，而高校信息部门在人力资源的配置和储备上在当前现状下基本无法进一步扩充。综上所述，传统三层网络已经逐步不能满足大型校园网的发展了。扁平化组网的优势在于将接入弱化，将核心强化，将传统接入、汇聚上需要部署的认证、网关、路由等功能，全部集中到功能强大的核心，从而对接入、汇聚设备的要求大大降低，实现了网络设备的云化（强核心、轻接入）。XXX学院的极简网络设计，采用了扁平化组网方案。接入层设备推荐采用锐捷S29系列全千兆交换机或利旧现网其他品牌的接入，汇聚层设备推荐选用锐捷S2910-XS系列交换机，核心层设备推荐采用锐捷Newton18000系列交换机。锐捷“极简网络”解决方案通过这种方式极大的增强了校园网核心交换机的资源利用率，弱化了整个网络服务对接入、汇聚设备的依赖。其价值主要体现在如下几个方面：节省资金：“极简网络”解决方案所进行的集中管理的改造，减轻了接入网设备的关键性，也弱化了对接入网设备的技术要求，这都使得改造后的校园网，在接入设备上可以选择更加便宜、更加轻量级的产品，而资金的投入则主要集中在核心交换机上。由于校园网内接入网设备众多，因此从全局上看大大降低了校园网的整体拥有成本。节省人力：“极简网络”解决方案所进行的集中管理的改造，同时也减轻了接入网对日常维护人员的数量要求，接入网设备仅需要配置和维护Vlan、STP、静态路由等最基本的通用技术。单个学生网管能够管理的设备数量将会大大增加。即使面对未来无线校园网的建设，信息中心只需要适量增加学生网管的数量，就完全可以承担起接入网的日常维护工作。降低技术门槛：“极简网络”解决方案所进行的集中管理的改造，还使得负责维护接入网的学生网管再也不用去花费大量的时间、精力学习各种复杂的技术。信息中心耗费在学生网管身上的培训、实习资源也会大大降低。降低新业务部署难度：新业务特别是业务专网的部署，在传统的模式下只能采用端到端的部署方式，从核心、汇聚到接入都需要进行设备的配置和对接，而接入网设备数量会导致这种配置和对接的工作量巨大而且成功率很难保障。“极简网络”解决方案所进行的集中管理的改造，可以使新业务部署的大部分工作都在核心交换机上完成，接入网设备仅需要提供对应的Vlan通道即可。信息中心为新业务上线所投入的资源大大减少。有线无线集中统一认证锐捷网络的“极简网络“组网方案设计，使用Newton18000作为认证NAS，支持有线、无线网络的集中统一认证（如下图所示），得益于Newton18000的超大表项设计和强大的引擎性能，其能支持17W纯IPV4终端及9WIPV4/IPV6双栈终端同时在线的需求，完全满足XXX学院的全网统一认证及网关上收设计方案。Newton18000系列核心交换机支持高性能1X，Portal及PPPPOE认证，通过引擎32核CPU，线卡4核CPU的高性能硬件及独特软件优化设计，支持1000/S的用户认证性能，实现将传统认证上收至核心。当有线无线网络统一建设完成后，用户面临更丰富的入网选择，在用户终端越来越丰富的今天（PC、PAD、智能手机），用户希望入网能够变得更加简单，无论是无线接入还是有线接入均只需要一套账号、费用共享。且有线，无线终端均能顺利入网或同时在线，同时不同类型的终端用户还可能希望灵活选择使用最简单易用的认证方式，例如有线使用1X客户端方式或PPPOE，无线使用Portal页面认证或手机客户端方式，还有部分用户可能希望一次认证后，后续既不需要再次认证，而这些锐捷的统一认证方案均可以提供。无线网络建设方案无线网络先进性设计无线网络设计原则XXX学院无线网络的建设目标是实现全校区主要场所的无线网络全面覆盖，为满足智能终端用户无线上网、无线业务开展构建一个真正可用的无线网络。总体要求：高信号质量：保证用户环境下房间内各个角落的无线信号强度>-70dBm，注重满足应用及终端使用需求；高数据传输性能：支持的802.11AC标准并满足高密度用户的无线接入需求，提供高数据传输速率；低干扰：确保同一房间内同频干扰信号强度<-75dBm，提高整网吞吐性能，构建真正可用的无线网络；多WLAN并存：合理的信道规划部署，实现多WLAN网络在同一用户场景的共存。；美观易管理：无线网络结构简单，需要管理的设备数量少，管理维护简单方便，整个无线部署不影响用户环境的美观度；针对高安全性的数据建议采用集中式的转发，此外，无线AC的部署方式，也需要在实施前认真规划：AC与校园网核心交换机互连，无线用户的网关在AC上，由AC与核心交换机通过路由，转发无线数据。本次无线校园网建设，建议采用多SSID分别覆盖的方式，老师和学生可以选择接入不同的SSID无线AP漫游设计无线校园网需要支持未来的高速漫游、智能漫游的需要，可以满足低延迟的视频、语音等业务的需要，也可以满足随时定制接入用户的应用范围等管理上的需要。无线校园网高速漫游解决方案支持同一AC下AP之间快速漫游，保证无线客户端在一个子网内部，从一个AP的覆盖范围移动到另一个AP的覆盖范围时，通信不中断，用户无需重新登录和认证。无线校园网智能漫游解决方案支持系统灵活定义用户的漫游范围，可以根据用户的身份和级别划定其可以漫游，连接无线网络的区域，为访客、或学生、老师等定义不同的无线接入区域，例如，可以定义学生不能在主楼办公区接入无线，可以在教学区接入无线，可以在宿舍区接入无线等。访客只能在主楼的会议室接入无线等等灵活的管理策略。无线AP供电设计由于本次无线网中AP设备数量较多，无线AP供电的面临巨大的挑战。对于无线AP的供电一般采用三种方式：1）本地电源供电:采用AP自带的直流适配器供电，对于高校无线校园网的环境，AP布放位置根据实际覆盖效果而调整，AP供电在已建设完成的建筑物上较难进行本地供电。不能保障AP附近都会有电源，同时对电源的管理也是一个严重的问题；由于电源在吊顶内，工作环境恶劣，由于温度过高引起的电源短路等严重的安全隐患。所以本地电源供电适合于AP数量不多，只适合局部无线部署使用，而且以室内部署为主，电源供给方便的环境。2）POE交换机供电:传统的802.11a、b/g的AP采用802.3af标准，15W，802.11ac的AP需要提供802.3at标准，24W。采用兼容802.2af供电方式的802.11ac的AP既可采用原有的POE交换机等设备，也能够采用POE+交换机。在高密度的无线AP的覆盖场景下，建议采用POE交换机供电方式，选用支持802.3af兼容AP。采用低功耗的802.11acAP，兼容802.2af，节省投资；低碳、节能、绿色环保；3）POE供电适配器的方式:在AP数量不多场景下，如果采用POE交换机供电，会有浪费，增加了用户的成本，同时，无线和有线一般是同时部署的。在有线接入交换机的接口有剩余的情况下，采用外接POE供电适配器的方式，将能充分利用现有的有线交换机，不用再增加专用的POE交换机，而极大地节省了用户的投资。POE供电适配器，适合于无线AP节点数量不多的场所。无线覆盖方案基于场景无线覆盖规划WLAN建设场景分为行政、教学、办公区域、宿舍区域、室外覆盖区域：此次无线网络覆盖场景主要分为以下类型：教学楼、办公楼及图书馆等大开间环境下的无线部署针对教学楼，由于教室一般面积较大，内部宽敞无阻挡，房间多采用木门，且在走廊侧会有大型玻璃窗体。又由于该区域主要用户为上课教师或部分自习的学生，主要业务就是浏览网页查找资料，对网络质量要求相对不是很高。因此，可以在该区域采用稀疏的放装式部署方案：将AP放在走廊里，覆盖走廊两侧的房间，一个AP可覆盖直径20-30米。此次项目中无线采用的是RG-AP520锐捷网络的新一代AP，搭载全新自主研发的X-sense灵动天线。该天线也属于智能天线的一种，它综合了交换波束天线和自适应阵列天线的优点，在对于简单环境下的用户接入，使用近似于交换波束的天线选择方式去完成用户快速高性能接入，而在复杂和干扰环境下，又能够通过强大的软件算法，控制多天线的组合来达到更好的效果，同时锐捷的智能天线技术还增加了对移动终端无线接入的识别和优化，这些都是锐捷网络在AP智能天线技术上巨大创新，所以，锐捷网络的X-sense也被称为会思考的的灵动天线。RG-AP520产品外观X-sense灵动天线65536种天线路径选择，覆盖无死角业界创新研发的X-sense灵动天线矩阵架构，能够动态选择不同的天线组合，支持最高多达65536种组合方案，彻底解决传统天线存在覆盖盲区的弱点。无论在任何角落，X-sense都能定制出一条最适合移动智能终端当前位置的天线天线路径，真正实现全面覆盖，绝无死角。信号覆盖对比全自动调节，让信号随你而“动”无论终端如何移动，都有最佳的信号路径跟随，这是X-sense灵动天线技术带来的革命性改变。无需人工干预，X-sense凭借其强大的运算性能，可以在1毫秒内完成300次指向终端的信号路径切换，即便在快速奔跑状态下也能保证时刻都有最佳的信号与终端同“行”。X-sense信号追踪示意图功率不变，却有3倍的信号提升X-sense能够精确计算终端的位置，并通过动态组合的天线模式，针对每个终端位置来提升不同的信号强度，最大可以提升到普通AP的3倍，这使得覆盖范围内无论远近的各个点都能接收最佳信号。而且完全不用担心由此带来的辐射增加，因为增强的信号强度都全部被用来抵消传输路径和穿透墙壁的损耗，AP的发射功率都是完全符合国家标准。X-sense信号强度提升终端接入优化设计，更适合手机和平板电脑用户当移动智能终端接入无线网络时，X-sense会快速、准确的识别到终端的类型，如果是使用功率较低的手机、平板电脑等移动终端时，X-sense能够通过动态信号补偿技术，针对移动终端提升接收灵敏度、增加重传，保证所有的终端都能获得最优的接入效果。X-sense针对不同终端的补偿示意干扰降低30%，部署更轻松干扰是无线网络的最大难题，特别是当在狭小的空间部署大量AP时，干扰影响会尤为明显，X-sense根据使用者位置自动调整无线信号的输出方向，当受到干扰时，能够自适应选择更优的路径避开干扰，这项技术经测试可以将干扰的影响有效降低30%以上！干扰对比图宿舍楼等密集环境下的无线部署宿舍区域的房间比较密集墙壁较厚而且靠近走廊侧没有窗户。对于无线信号的穿透有着一定的影响。因为对于无线部署提出了较高的要求，不仅要同时满足良好覆盖和性能需求并解决干扰问题。如果采用AP放装部署在走廊，无线信号辐射进宿舍对宿舍单边分布的建筑结构覆盖3～4个房间的这种部署方式，容易产生无线覆盖的盲区和AP的干扰问题，最终导致无线使用效果极差。本次方案中对于学校的学生宿舍的无线部署采用了高密度部署方案，通过采用墙面式AP进行无线信号覆盖，同时为每个房间提供有线接口，用户可以根据自己的需求自由选择有线接入或者无线接入，从而保障用户最佳的上网体验，由于每房间均部署了一台AP，使得性能不再成为瓶颈。由于采用AP入室的部署方式，解决了传统AP在室外放装部署穿墙覆盖室内带来的信号衰减严重、同频干扰大的问题，特别是有铁门无窗户的宿舍网环境。面板AP方案通过AP入室的部署方式，每AP负责一个房间的信号覆盖，在实地部署和测试中，每个房间的信号可达到-65db以上，保证了房间内无线信号满格。重点办公室无线部署部分办公室较大，在走廊部署AP进行覆盖的话无线穿透效果很差，很难保证无线网络的质量。在这种环境下，采用的是墙面式AP进行部署。墙面板式AP部署方式采用标准的86开关面板盒规格，而且还集成了以太网口和IP电话接口，整个安装过程只需要两步就能快速实现无线网络覆盖。第一步、拆去房间内原有的有线网络的接口面板，第二步、将原有网线插在AP上并直接安装就能即插即用。它打破了以往无线网络建设的老旧方式，无需再拉新的网线，而是有效利用了既有的网络，将网络新建对环境的影响时间降到最低。校园室外公共区域无线部署考虑到校园室外公共区域空间较大并且存在一些障碍物，可以采用室外型接入点RG-AP630，双路均具备500mW双向功率放大能力，可根据不同的室外环境和覆盖需求，配合相应的外接天线，带来饱满的信号覆盖体验，可完全保障信号在室内和户外的传输。室外区域分布有较高、密集的建筑群和植物群，这对于信号的阻挡将是较大的障碍。因此，应当选用专用的室外大功率无线AP产品，配置使用定向天线，可以保证无障碍下的300米半径覆盖以及近距离的多重障碍物的穿透能力，完全保证了室外区域的信号覆盖品质，同时设备本省具备抗雷击、防雨、防潮、抗高低温、阻燃等多项指标，无线室外覆盖，建议部署在小区内的制高点上，同时采用定向天线向进行无线覆盖。室外AP无线多SSID设计 为了满足多家运营商接入需求，避免多运营商单独建网导致的无线信道冲突、用户无线有效带宽降低等情况，在校园无线承载网上采用多接入设计思路，通过多SSID设计来实现。无线用户根据自身的连接需求分别通过不同的SSID接入不同的网络。AC根据SSID的不同，将用户划分入不同的VLAN，最终实现不同的用户通过不同的SSID接入校园网，不同VLAN之间互不干扰。不同SSID可根据需要采用集中转发或者本地转发模式，满足业务开展与认证管理的需要。无线接入认证设计终端智能识别的WEB认证无线网络在提供便捷网络服务的同时，仍需确保只有合法的用户才能使用无线网络。WEB认证就是一种对用户访问网络的权限进行控制的身份认证方法，这种认证方法不需要用户安装专用的客户端认证软件，使用普通的浏览器软件就可以进行身份认证，是目前无线主流的认证方式之一。而且随着近年来iPhone、iPad、Android、WindowsPhone等各种智能能移动终端的日益普及，网络中不再是清一色的笔记本电脑终端。一个智能的无线网络，必须能够考虑到不同的终端类型、屏幕尺寸对Portal认证页面的不同要求，实时地对各种终端类型进行识别，并推送符合终端屏幕尺寸的WEBPortal页面，使用户能够更为便捷的输入用户名及密码，提升无线用户体验。锐捷网络的无线控制器不仅支持终端自动识别功能和WEBPortal页面推送，而且推送的认证页面还可以根据用户自定义放置一些广告、通知、业务链接等，提供更多个性化服务。自适应认证页面基于802.1X的无感知认证IEEE802.1X协议是一种基于端口的网络接入控制协议，主要目的是为了解决无线用户的接入认证问题。对于基于802.11系列标准的无线局域网，通过对无线用户的身份验证，无线网络可以打开或关闭无线终端接入的接口，同时还可以根据其身份属性，为其分配动态角色和VLAN，确保用户终端接入的安全性。在安全性上，WEBPortal认证不提供密钥的生成和交换机制，因此所有的用户流量都是以明文方式传输的，容易被截获和侦听；802.1X（WPA2-AES）符合802.11i安全标准，在用户认证的基础上，对每个报文采用不同的密钥进行逐包加密，具有更高的安全性。在便捷性上，WEBPortal认证直接通过浏览器输入用户名及密码，整个操作过程较为简单快捷；普通的802.1X认证一般需要安装认证客户端或对操作系统原生认证客户端进行配置等，操作过程较为复杂，用户体验相对较差。为了保证无线用户接入同时具有较高安全性和便捷性，锐捷网络在BYOD（Bringyourowndevice）解决方案中提出了基于802.1X的无感知认证技术，用户只需要在第一次认证中安装一个快速1X配置助手，并完成首次用户名及密码的输入，以后无线终端只要发现无线信号，就会自动进行802.1X的接入认证并连接无线网络，真正实现“一次登陆，三步操作，后续无忧”，带给用户最佳的使用体验。图步骤1：连接无感知认证的SSID后选择1X快速配置助手图步骤2：确认运行快速配置助手图步骤3：输入完后用户名和密码后，即可访问WLAN图手机无感知认证过程二维码认证对于校园内的一些开放区域在学校举行一些活动时需要对校外访客进行临时无线网络开放，于是这些访客人员的无线网络使用时的认证又该如何管理才能有确保接入的安全性和使用的便捷性，成为学校网络管理人员需要解决的问题。极简方案支持通过锐捷网络无线与RG-SAM的访客管理功能实现二维码认证和短信注册认证来解决以上问题。让访客更安全，易用，给信息中心价值呈现带来帮助。担保人按照自己的临时账号开通级别申请一个二维码，然后可以提供给访客使用。每个临时账号都会与担保人关联，以后可以提供相关统计或审计功能，管理员可以掌握每一个临时账号是由那个担保人开通。每一个二维码都是有时效的，超过时效后对应的在线用户被强制下线，同时预销户对应的所有临时账号。方便网络管理人员对于临时账号的管理工作。高校访客二维码，访客只需要拿出手机扫一下二维码就可以体验上网了，提高访客入网体验。之授权二维码使用流程：a.管理员设置担保人级别（可接待用户数），b.担保人自助生成二维码，并将二维码打印出来，c.访客拿自己的手机扫描二维码上网。访客的上网行为和担保人关联，安全性高。可设置担保人一对一接待/一对多接待方案。适用于小规模接待之公共二维码使用流程：a.管理员设置公共账号，生成二维码，并打印出来，b.访客拿自己的移动终端上网扫描认证上网。共享同一账号，适合大规模方案来上网，且对安全可控要求不高的场景。另外还有一种方式就是采用短信注册认证的方式针对访客用户数量较大的场景，比如学校举行大型的学术或庆典活动。用户在认证页面上通过手机号自主注册网络账号进行网络认证。以上访客方案极简网络均可以提供。无线安全技术设计通常情况下，安全认证工作由网关类设备完成，对于XXX学院部署的无线网络，作为校园网的一部分，必须确保接入的网络用户的合法性。由于无线信号的公开性，采取传统的网关认证的模式，将所有的认证数据集中在网关设备进行，只能限制学生访问数据经过认证网关的情况，而对于不经过认证网关的校内网访问无法起到有效的阻止作用。学生数据加密安全AP通过WEP、TKIP和AES加密技术，为接入学生提供完整的数据安全保障机制，确保无线网络的数据传输安全。虚拟无线分组技术通过虚拟无线接入点（VirtualAP）技术，整机可最大提供16个ESSID，支持16个802.1QVLAN，网管人员可以对使用相同SSID的子网或VLAN单独实施加密和隔离，并可针对每个SSID配置单独的认证方式、加密机制等。标准CAPWAP加密隧道确保传输安全无线AP接入点与无线控制器以国际标准的CAPWAP加密隧道模式通信，确保了数据传输过程中的内容安全。射频安全在一体化网管系统、RG-WS系列无线控制器产品的配合下，智分型AP可启用射频探针扫描机制，实时发现非法接入点、或其它射频干扰源，并提供相应的告警，使网管人员可随时监控各个无线环境中的潜在威胁和使用状况。ARP欺骗的防护ARP检测功能有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象，保障了学生的正常上网。无论在动态分配IP环境下，还是静态分配IP环境下，均可实现自动绑定工作，大大的节省了人力成本，降低了管理开销。而配合ARP速率监控控制ARP报文发送的速率，防止恶意利用扫描工具进行ARP泛洪占据网络带宽，导致网络拥塞的攻击行为。DHCP安全支持DHCPsnooping，只允许信任端口的DHCP响应，防止未经管理员许可私自架设DHCPServer，扰乱IP地址的分配和管理，影响学生的正常上网的行为；并在DHCP监听的基础上，通过动态监测ARP和检查源IP，有效防范DHCP动态分配IP环境下的ARP主机欺骗和源IP地址的欺骗。无线QOS设计802.11的WLAN网络为用户提供了公平竞争无线资源的无线接入服务，但不同的应用需求对于网络的要求是不同的，而原始802.11网络并没有提供区分业务优先级的机制，不能为不同应用提供不同质量的接入服务。当网络发生流量拥塞时，需要优先处理的业务报文（例如语音报文）和普通报文（例如浏览网页的报文）会按相同的概率被丢弃。这和有线网络相对完善的QOS机制无法很好的衔接，已经不能满足实际应用的需要。WLANQOS能针对各种不同需求，提供不同的网络服务质量。对实时性及可靠性要求高的数据报文提供更好的服务质量，并进行优先处理；而对于实时性不强的普通数据报文，则提供较低的处理优先级。802.11e只实现了无线空口的业务优先级区分、高优先级业务优先保障带宽，没能解决如何在全网实现端到端的QoS问题。锐捷无线控制器（AC）+FITAP的端到端QoS解决方案不仅解决了无线接入点和无线用户直接在无线介质上的QoS，而且还通过将无线用户的优先级映射与无线控制器－FITAP间的CAPWAP隧道优先级，结合有线网络QoS机制进而实现了全网的端到端QoS。IEEE802.11协议规定采用的DCF（DistributedCoordinationFunction，分布式协调功能）调度模式是基于CSMA/CA（CarrierSenseMultipleAccesswithCollisionAvoidance，载波监听/冲突避免）原理，使得所有终端用户获取到信道的机会是均等的。IEEE802.11e为基于802.11协议的WLAN体系添加了QoS特性，这个协议的标准化时间很长，在这个过程中，Wi-Fi组织为了保证不同WLAN厂商提供QoS的设备之间可以互通，定义了WMM（Wi-FiMultimedia，Wi-Fi多媒体）标准。WMM标准使WLAN网络具备了提供QoS服务的能力。WMM通过将数据报文划分为4个接入分类（AC）队列，高优先级AC占用信道的机会高于低优先级AC，从而能针对每类报文提供不同级别的服务。无线数据流分队列为了使有限的网络资源能够更好地发挥效用，更好地为更多的用户服务，设备需要支持流量限速功能。当数据流量符合承诺速率时，允许数据包通过；数据流量不符合承诺速率时，丢弃数据包。评估流量的参数如下：平均速率（average-data-rate）即允许的流的平均速度，也叫承诺信息速率。突发速率（burst-data-rate）即每次突发所允许的最大的流量，也叫承诺突发尺寸。设置的突发尺寸必须大于最大报文长度。为了保证端到端的QOS，锐捷无线网络提供了无线QOS到有线QOS以及有线QOS到无线QOS的映射关系，进而实现了全网的端到端QoS。锐捷网络无线产品支持多种服务质量QOS，支持802.11e中的EDCF优先级，支持以太网口支持802.1p识别和标记。支持优先级队列及映射、流量限制、流分类。并且能够对QOS策略映射不同SSID/VLAN。无线QOS映射无线覆盖指标要求无线覆盖信号覆盖区域信号强度不低于-75dBm，信噪比SNR≥20。业务使用较为集中区域的接入速率应不低于140Mbps。室内分布系统天线的等效全向辐射功率≥7dBm。室外分布系统天线、独立WLAN天线的等效全向辐射功率≥22dBm。室外覆盖方式时，WLAN无线信号一般按穿透一堵墙设计。工作频段与频点规划依照WLAN的国际规范和国际无线电管理委员会的标准，WLAN无线设备的工作频段为2400-2483.5MHz，带宽83.5MHz，划分为14个子信道，每个子频道带宽为22MHz,最多有13个信道可用。频道分配如下图所示：无线频段在多个频道同时工作的情况下，为保证频道之间不互相干扰，要求两个频道的中心频率间隔不能低于25MHz。考虑参照北美标准设计的许多WLAN设备和终端（比如网卡）不能使用12、13信道做为学生信道，因此建议一般选用1/6/11信道。部署双频点的无线接入点，802.11n同时工作在2.4GHz和5GHz频点；5GHz：更多的频谱资源-数量较多的不冲突频点，更少的干扰（蓝牙、微波炉），从40MHz信道绑定获得最高的性能，很多802.11n的客户端只有在5GHz频段上支持40MHz；2.4GHz：采用2.4GHz频点，兼容原有的802.11a、b/g的客户端；不建议在2.4GHz频点使用40MHz信道绑定，大部分客户端不支持；避免了802.11a、b/g与802.11n混用，降低性能。通过对XXX学院初步勘测，发现目前楼宇内已经部署运营商的无线信号，故在本次无线项目实施过程中，将根据目前发现楼宇内存在的无线信号所使用的频段，进行灵活调配，将无线信号干扰降到最低。覆盖效果计算AP的信号总强度公式：Gt－Gr＋AP天线增益＋终端天线增益＝L信号总强度（dB）。AP部署空旷区域，20-25米远，笔记本无线接入计算（基于dBm）无线AP发射功率100mW发射功率（高调制速率时发射功率会下降2－5db）20增项室内定向发射天线增益12dBi12笔记本天线增益2dBi2减项参考平均3米7D馈线损耗；-10一般情况：由于天线不对正，不再主波瓣情况的调整-52.4G/5.8G空间传播20米-66/-74（2.4G10米60dB，5.8G10米68dB，每1倍变化差6dB）各种衰落/波动影响（室内、市区<15dB)-15根据较坏情况接受电平RSSI＝发射功率＋增项＋减项－（－95dBm）33/25计算的RSSIRSSI为20以上可以实现满速率，RSSI为16是较好，RSSI为13是可以连接的，RSSI在5－10连接很不稳定信号质量好可以达到满速率无线方案特色无线降噪技术带来的体验提升传统Web认证场景中,是由交换机将所有http报文全部重定向到服务器，很多无线终端搜索到无线信号号即会产生关联，根据经验这个比率大概有1/4用户规模。2.终端或PC上存在众多软件，例如迅雷/QQ等会持续发出HTTP连接，并可能不断重试。这样迅雷等下载软件，QQ等社交程序也会被重定向，并进行WEB认证跳转，大量非认证HTTP发送给NAS和Portal，导致NAS和Portal处理性能受到影响。当Portal的处理性能不足以处理大量并发HTTP连接（通常性能在百/S的处理级别），会导致Portal服务器崩溃或弹出WEB页面慢。这样就导致服务器大量的WEB认证处理资源被浪费，最终无法为正常的认证用户提供服务。N18K采用锐捷独有的HTTPWEB降噪功能+32核CPU的高性能主控处理，通过对迅雷/QQ等软件发送的HTTP报文进行识别，N18K特有抑制功能将不再发送给PORTAL服务器，保障Portal服务平稳运行。这里我们利用了非页面访问无法解析http脚本文件的特性，避免服务器收到非页面访问的http报文，实现对服务器的降噪功能。分布式过滤技术：Newton交换机提供采用32核CPU的管理板通过多核的并发处理，首先在控制面上使我们对这类噪声的处理能力大大加强。同时在转发面采用了分布式过滤技术，阶段放行的抗攻击手段，分布式过滤技术即在线卡上可以识别出哪些http报文是需要马上处理，哪些http报文可以暂时丢弃；阶段放行技术:记录来自同一个终端的http报文存在的时间，例如：对于已经存在30s以上的报文，并且有其他新终端来的http连接，且整体已经处于饱和状态，这时就会暂时丢弃已经长期存在的http报文，并将所有存活超过30s以上的报文采用FIFO方式排序，在系统无新终端的http报文需要处理，或者处于非饱和状态时，再继续处理这些长时间存在的报文；基于以上的独特优化设计，带来了无线用户的体验提升。（如下图为实例） 根据经验，无线AC的集中认证性能在6-7K左右比较合理，用户量增长后，由于CPU处理性能及迅雷、QQ等带来的WEB噪声问题，将会导致AC的CPU利用率增高，特别是在教育网用户由于学生使用规律（例如集中上线、停电恢复场景下）导致的大量并发，导致高峰期WEB弹出满、噪声攻击导致portal服务器性能不足的问题，N18K都可以解决。N18K采用32核高性能CPU及防噪声机制，1000/S的并发处理性能保证用户良好认证体验。以某高校的实际数据举例：无感知认证随着智能终端的普及程度越来越高，无线网络在使用传统认证时总是会带来一些使用的不便利。比如终端在锁屏或者一段时间内没有进行操作，再次使用时需要重新打开浏览器进行重新输入认证，日常的重复操作太多用户使用起来有些麻烦等等。极简方案支持通过WebPortal+MAB（MacByPass）无感知认证的方式来解决这些问题，提升无线用户的使用体验感。RG-SAM可以提供两种MacByPass模式认证体验：自动与手动。自动模式即用户设备首次web认证成功后，SAM会自动注册用户该设备为MAC快速认证方式，当下次用户再接入无线网络使时就可以直接认证，无需手动操作。手动模式即用户设备在web认证成功后，SAM不会自动注册用户该设备MAC快速认证方式，portal页面提供“注册为MAC快速认证”按钮，用户自行决定是否注册，取消可以在portal页面上或者自助端页面上进行。可采用这种认证方式来避免用户在日常使用中多次进行web认证的情况，提高效率，并且对用户的入网服务体验有很大提升。让用户使用无线感觉就像在家使用一样方便，只要进入无线覆盖的区域就可以自动连接并且自动完成认证，直接可以使用无线网络。启用了无感知的移动终端，每次都不需要做任何操作会自动连接上，但后台和认证一样有安全记录，特别适合XXX学院等类似高教的办公场景。精细化控制（终端类型及区域数量控制等）极简网络解决方案支持精细化的运营方案，提供多种丰富的计费策略的同时，提供精细化的用户控制。可以满足一个账号，同时在PC/笔记本、终端（手机，PAD），以及可能在不同区域，有线/无线同时在线的需求，特别是在XXX学院有线，无线统一融合网络建成后，同样会遇到此需求。老师期望能够控制同时在线的终端数量，以及终端类型。同时能防止用户间账号借用逃费的问题，在有线、无线一体化的场景中属于刚需，用户一定会遇到此需求及问题，而当前各友商没有提供完善的解决方案，极简网络解决方案当前已能够很好的满足。唯一整体交付方案锐捷网络是目前能够提供认证准入准出设备+认证计费系统的整体方案仅有的几个供应商之一！两个企业提供用户的是产品，而非方案，每次听厂商汇报应该能感知出来，硬件不懂软件，软件不懂硬件，再加上是两个企业，所以出问题是必然现象。选择的技术架构既要满足开放的要求，但也要有一个厂商能够持续的提供服务，不要因责任不明导致的推诿，扯皮而影响我的校园运营业务，核心组件软硬件一体化的设计，既能满足开放兼容的需求，也能更好的为客户提供持续的服务响应。多运营商联合运营校园网在高校校园网从运营向服务转型的过程中，网络中心自身的技术储备、资源支撑以及服务能力很难应对校园网用户越来越个性化、差异化的服务请求，目前