XXX智慧校园基础网络平台建设与运维服务项目

PAGE21目录12350第一章技术方案 3200511.无线网络建设方案 3113971.1无线网络先进性设计 3318211.1.1.无线网络设计原则 3212001.1.2.无线AP漫游设计 4120061.1.3.无线AP供电设计 4102901.2无线覆盖方案 5200501.3无线多SSID设计 10137851.4无线接入认证设计 104491.5无线安全技术设计 1397291.6无线QOS设计 14130641.7无线覆盖指标要求 16106392.网络安全设计 1831532.1设备级安全功能 18295612.2防ARP攻击设计 19103432.3交换机IP防扫描设计 19164782.4防DOS/DDOS攻击 19129002.5路由安全设计 20215062.6设备管理安全设计 21224712.7汇聚嵌入式安全 22254832.8接入安全控制 22184912.9IP+MAC+端口绑定 23232082.10防止病毒广播泛洪 2362952.11入网用户身份认证 2369352.12防止对DHCP服务器攻击 23191682.13多元素绑定技术构筑高安全校园网 2443802.14防止用户私设代理服务器 2528972.15恶意用户追查 2533023.设备清单 25293704.技术参数 2640914.1出口路由器技术参数 31247494.2核心交换机技术参数 32304964.3无线控制器技术参数 35215984.4认证计费系统技术参数 38277314.5Portal认证系统技术参数 4384704.6eLog日志分析系统技术参数 43107124.7服务器接入交换机技术参数 449364.8汇聚交换机技术参数 4777804.9无线接入点24口PoE交换机技术参数 5021384.10无线接入点12口PoE交换机技术参数 52173874.1111ac室内无线接入点技术参数 55279154.1211ac室外无线接入点技术参数 5717827第二章施工方案 60188531.项目管理方案 60141231.1项目实施管理 60228211.2人力资源管理 64281651.3项目进度管理 68204001.4项目沟通管理 75224611.5项目风险管理 79201181.6项目问题管理 84149691.7项目变更管理 85197661.8项目质量管理 85314241.9工程文档管理 98179391.10工程施工管理 9963262工程详细设计 142127122.1东合校区学一女生宿舍楼 142266713软件调试规范 210257823.1公共调试规范 210251443.2路由产品调试规范 215220493.3交换产品调试规范 22492253.4无线产品 231124403.5实施范围 23537174无线网优方案 235303644.1网优内容和方法 235211674.2常用部署优化方法 236296024.3常用配置优化方法 236232214.4网优目标 238193014.5网络测试 240155014.6实施阶段详细规划 247165444.7安全防护及文明施工措施和方案 2472609第三章移交方案 257222211卓智智慧校园网项目竣工文档 257135641.1工程施工验收确认单 257201191.2项目转维确认单 25894031.3锐捷设备调试服务完成确认函 26115138第四章运维及运营方案 263267271运维服务体系 26377691.1统一呼叫中心 263219351.2服务系统支撑平台 264114861.3驻场工程师 265219331.4智能机器人 26777661.5校趣多APP 267206161.6备件支撑体系 268217911.7遍布全国的办事处 270304071.8设备原厂商服务保障体系 270165651.9运营商服务保障体系 272242291.10运维服务范围及内容 273144232运营方案 287237232.1投资与收益评估 287142442.2校方、卓智、运营商合作策略 288313102.3运营系统设计 290300212.4运营服务流程 291170082.5运营服务指标 291

第一章技术方案无线网络建设方案无线网络先进性设计无线网络设计原则XXX无线网络的建设目标是实现全校区主要场所的无线网络全面覆盖，为满足智能终端用户无线上网、无线业务开展构建一个真正可用的无线网络。总体要求：高信号质量：保证用户环境下房间内各个角落的无线信号强度>-70dBm，注重满足应用及终端使用需求；高数据传输性能：支持的802.11AC标准并满足高密度用户的无线接入需求，提供高数据传输速率；低干扰：确保同一房间内同频干扰信号强度<-75dBm，提高整网吞吐性能，构建真正可用的无线网络；多WLAN并存：合理的信道规划部署，实现多WLAN网络在同一用户场景的共存。；美观易管理：无线网络结构简单，需要管理的设备数量少，管理维护简单方便，整个无线部署不影响用户环境的美观度；针对高安全性的数据建议采用集中式的转发，此外，无线AC的部署方式，也需要在实施前认真规划：AC与校园网核心交换机互连，无线用户的网关在AC上，由AC与核心交换机通过路由，转发无线数据。本次无线校园网建设，建议采用多SSID分别覆盖的方式，老师和学生可以选择接入不同的SSID无线AP漫游设计无线校园网需要支持未来的高速漫游、智能漫游的需要，可以满足低延迟的视频、语音等业务的需要，也可以满足随时定制接入用户的应用范围等管理上的需要。无线校园网高速漫游解决方案支持同一AC下AP之间快速漫游，保证无线客户端在一个子网内部，从一个AP的覆盖范围移动到另一个AP的覆盖范围时，通信不中断，用户无需重新登录和认证。无线校园网智能漫游解决方案支持系统灵活定义用户的漫游范围，可以根据用户的身份和级别划定其可以漫游，连接无线网络的区域，为访客、或学生、老师等定义不同的无线接入区域，例如，可以定义学生不能在主楼办公区接入无线，可以在教学区接入无线，可以在宿舍区接入无线等。访客只能在主楼的会议室接入无线等等灵活的管理策略。无线AP供电设计由于本次无线网中AP设备数量较多，无线AP供电的面临巨大的挑战。对于无线AP的供电一般采用三种方式：1）本地电源供电:采用AP自带的直流适配器供电，对于高校无线校园网的环境，AP布放位置根据实际覆盖效果而调整，AP供电在已建设完成的建筑物上较难进行本地供电。不能保障AP附近都会有电源，同时对电源的管理也是一个严重的问题；由于电源在吊顶内，工作环境恶劣，由于温度过高引起的电源短路等严重的安全隐患。所以本地电源供电适合于AP数量不多，只适合局部无线部署使用，而且以室内部署为主，电源供给方便的环境。2）POE交换机供电:传统的802.11a、b/g的AP采用802.3af标准，15W，802.11ac的AP需要提供802.3at标准，24W。采用兼容802.2af供电方式的802.11ac的AP既可采用原有的POE交换机等设备，也能够采用POE+交换机。在高密度的无线AP的覆盖场景下，建议采用POE交换机供电方式，选用支持802.3af兼容AP。采用低功耗的802.11acAP，兼容802.2af，节省投资；低碳、节能、绿色环保；3）POE供电适配器的方式:在AP数量不多场景下，如果采用POE交换机供电，会有浪费，增加了用户的成本，同时，无线和有线一般是同时部署的。在有线接入交换机的接口有剩余的情况下，采用外接POE供电适配器的方式，将能充分利用现有的有线交换机，不用再增加专用的POE交换机，而极大地节省了用户的投资。POE供电适配器，适合于无线AP节点数量不多的场所。无线覆盖方案基于场景无线覆盖规划WLAN建设场景分为行政、教学、办公区域、宿舍区域、室外覆盖区域：此次无线网络覆盖场景主要分为以下类型：教学楼、办公楼及图书馆等大开间环境下的无线部署针对教学楼，由于教室一般面积较大，内部宽敞无阻挡，房间多采用木门，且在走廊侧会有大型玻璃窗体。又由于该区域主要用户为上课教师或部分自习的学生，主要业务就是浏览网页查找资料，对网络质量要求相对不是很高。因此，可以在该区域采用稀疏的放装式部署方案：将AP放在走廊里，覆盖走廊两侧的房间，一个AP可覆盖直径20-30米。此次项目中无线采用的是RG-AP520锐捷网络的新一代AP，搭载全新自主研发的X-sense灵动天线。该天线也属于智能天线的一种，它综合了交换波束天线和自适应阵列天线的优点，在对于简单环境下的用户接入，使用近似于交换波束的天线选择方式去完成用户快速高性能接入，而在复杂和干扰环境下，又能够通过强大的软件算法，控制多天线的组合来达到更好的效果，同时锐捷的智能天线技术还增加了对移动终端无线接入的识别和优化，这些都是锐捷网络在AP智能天线技术上巨大创新，所以，锐捷网络的X-sense也被称为会思考的的灵动天线。RG-AP520产品外观X-sense灵动天线65536种天线路径选择，覆盖无死角业界创新研发的X-sense灵动天线矩阵架构，能够动态选择不同的天线组合，支持最高多达65536种组合方案，彻底解决传统天线存在覆盖盲区的弱点。无论在任何角落，X-sense都能定制出一条最适合移动智能终端当前位置的天线天线路径，真正实现全面覆盖，绝无死角。信号覆盖对比全自动调节，让信号随你而“动”无论终端如何移动，都有最佳的信号路径跟随，这是X-sense灵动天线技术带来的革命性改变。无需人工干预，X-sense凭借其强大的运算性能，可以在1毫秒内完成300次指向终端的信号路径切换，即便在快速奔跑状态下也能保证时刻都有最佳的信号与终端同“行”。X-sense信号追踪示意图功率不变，却有3倍的信号提升X-sense能够精确计算终端的位置，并通过动态组合的天线模式，针对每个终端位置来提升不同的信号强度，最大可以提升到普通AP的3倍，这使得覆盖范围内无论远近的各个点都能接收最佳信号。而且完全不用担心由此带来的辐射增加，因为增强的信号强度都全部被用来抵消传输路径和穿透墙壁的损耗，AP的发射功率都是完全符合国家标准。X-sense信号强度提升终端接入优化设计，更适合手机和平板电脑用户当移动智能终端接入无线网络时，X-sense会快速、准确的识别到终端的类型，如果是使用功率较低的手机、平板电脑等移动终端时，X-sense能够通过动态信号补偿技术，针对移动终端提升接收灵敏度、增加重传，保证所有的终端都能获得最优的接入效果。X-sense针对不同终端的补偿示意干扰降低30%，部署更轻松干扰是无线网络的最大难题，特别是当在狭小的空间部署大量AP时，干扰影响会尤为明显，X-sense根据使用者位置自动调整无线信号的输出方向，当受到干扰时，能够自适应选择更优的路径避开干扰，这项技术经测试可以将干扰的影响有效降低30%以上！干扰对比图宿舍楼等密集环境下的无线部署宿舍区域的房间比较密集墙壁较厚而且靠近走廊侧没有窗户。对于无线信号的穿透有着一定的影响。因为对于无线部署提出了较高的要求，不仅要同时满足良好覆盖和性能需求并解决干扰问题。如果采用AP放装部署在走廊，无线信号辐射进宿舍对宿舍单边分布的建筑结构覆盖3～4个房间的这种部署方式，容易产生无线覆盖的盲区和AP的干扰问题，最终导致无线使用效果极差。本次方案中对于学校的学生宿舍的无线部署采用了高密度部署方案，通过采用墙面式AP进行无线信号覆盖，同时为每个房间提供有线接口，用户可以根据自己的需求自由选择有线接入或者无线接入，从而保障用户最佳的上网体验，由于每房间均部署了一台AP，使得性能不再成为瓶颈。由于采用AP入室的部署方式，解决了传统AP在室外放装部署穿墙覆盖室内带来的信号衰减严重、同频干扰大的问题，特别是有铁门无窗户的宿舍网环境。面板AP方案通过AP入室的部署方式，每AP负责一个房间的信号覆盖，在实地部署和测试中，每个房间的信号可达到-65db以上，保证了房间内无线信号满格。重点办公室无线部署部分办公室较大，在走廊部署AP进行覆盖的话无线穿透效果很差，很难保证无线网络的质量。在这种环境下，采用的是墙面式AP进行部署。墙面板式AP部署方式采用标准的86开关面板盒规格，而且还集成了以太网口和IP电话接口，整个安装过程只需要两步就能快速实现无线网络覆盖。第一步、拆去房间内原有的有线网络的接口面板，第二步、将原有网线插在AP上并直接安装就能即插即用。它打破了以往无线网络建设的老旧方式，无需再拉新的网线，而是有效利用了既有的网络，将网络新建对环境的影响时间降到最低。校园室外公共区域无线部署考虑到校园室外公共区域空间较大并且存在一些障碍物，可以采用室外型接入点RG-AP630，双路均具备500mW双向功率放大能力，可根据不同的室外环境和覆盖需求，配合相应的外接天线，带来饱满的信号覆盖体验，可完全保障信号在室内和户外的传输。室外区域分布有较高、密集的建筑群和植物群，这对于信号的阻挡将是较大的障碍。因此，应当选用专用的室外大功率无线AP产品，配置使用定向天线，可以保证无障碍下的300米半径覆盖以及近距离的多重障碍物的穿透能力，完全保证了室外区域的信号覆盖品质，同时设备本省具备抗雷击、防雨、防潮、抗高低温、阻燃等多项指标，无线室外覆盖，建议部署在小区内的制高点上，同时采用定向天线向进行无线覆盖。室外AP无线多SSID设计 为了满足多家运营商接入需求，避免多运营商单独建网导致的无线信道冲突、用户无线有效带宽降低等情况，在校园无线承载网上采用多接入设计思路，通过多SSID设计来实现。无线用户根据自身的连接需求分别通过不同的SSID接入不同的网络。AC根据SSID的不同，将用户划分入不同的VLAN，最终实现不同的用户通过不同的SSID接入校园网，不同VLAN之间互不干扰。不同SSID可根据需要采用集中转发或者本地转发模式，满足业务开展与认证管理的需要。无线接入认证设计终端智能识别的WEB认证无线网络在提供便捷网络服务的同时，仍需确保只有合法的用户才能使用无线网络。WEB认证就是一种对用户访问网络的权限进行控制的身份认证方法，这种认证方法不需要用户安装专用的客户端认证软件，使用普通的浏览器软件就可以进行身份认证，是目前无线主流的认证方式之一。而且随着近年来iPhone、iPad、Android、WindowsPhone等各种智能能移动终端的日益普及，网络中不再是清一色的笔记本电脑终端。一个智能的无线网络，必须能够考虑到不同的终端类型、屏幕尺寸对Portal认证页面的不同要求，实时地对各种终端类型进行识别，并推送符合终端屏幕尺寸的WEBPortal页面，使用户能够更为便捷的输入用户名及密码，提升无线用户体验。锐捷网络的无线控制器不仅支持终端自动识别功能和WEBPortal页面推送，而且推送的认证页面还可以根据用户自定义放置一些广告、通知、业务链接等，提供更多个性化服务。自适应认证页面基于802.1X的无感知认证IEEE802.1X协议是一种基于端口的网络接入控制协议，主要目的是为了解决无线用户的接入认证问题。对于基于802.11系列标准的无线局域网，通过对无线用户的身份验证，无线网络可以打开或关闭无线终端接入的接口，同时还可以根据其身份属性，为其分配动态角色和VLAN，确保用户终端接入的安全性。在安全性上，WEBPortal认证不提供密钥的生成和交换机制，因此所有的用户流量都是以明文方式传输的，容易被截获和侦听；802.1X（WPA2-AES）符合802.11i安全标准，在用户认证的基础上，对每个报文采用不同的密钥进行逐包加密，具有更高的安全性。在便捷性上，WEBPortal认证直接通过浏览器输入用户名及密码，整个操作过程较为简单快捷；普通的802.1X认证一般需要安装认证客户端或对操作系统原生认证客户端进行配置等，操作过程较为复杂，用户体验相对较差。为了保证无线用户接入同时具有较高安全性和便捷性，锐捷网络在BYOD（Bringyourowndevice）解决方案中提出了基于802.1X的无感知认证技术，用户只需要在第一次认证中安装一个快速1X配置助手，并完成首次用户名及密码的输入，以后无线终端只要发现无线信号，就会自动进行802.1X的接入认证并连接无线网络，真正实现“一次登陆，三步操作，后续无忧”，带给用户最佳的使用体验。图步骤1：连接无感知认证的SSID后选择1X快速配置助手图步骤2：确认运行快速配置助手图步骤3：输入完后用户名和密码后，即可访问WLAN图手机无感知认证过程二维码认证对于校园内的一些开放区域在学校举行一些活动时需要对校外访客进行临时无线网络开放，于是这些访客人员的无线网络使用时的认证又该如何管理才能有确保接入的安全性和使用的便捷性，成为学校网络管理人员需要解决的问题。极简方案支持通过锐捷网络无线与RG-SAM的访客管理功能实现二维码认证和短信注册认证来解决以上问题。让访客更安全，易用，给信息中心价值呈现带来帮助。担保人按照自己的临时账号开通级别申请一个二维码，然后可以提供给访客使用。每个临时账号都会与担保人关联，以后可以提供相关统计或审计功能，管理员可以掌握每一个临时账号是由那个担保人开通。每一个二维码都是有时效的，超过时效后对应的在线用户被强制下线，同时预销户对应的所有临时账号。方便网络管理人员对于临时账号的管理工作。高校访客二维码，访客只需要拿出手机扫一下二维码就可以体验上网了，提高访客入网体验。之授权二维码使用流程：a.管理员设置担保人级别（可接待用户数），b.担保人自助生成二维码，并将二维码打印出来，c.访客拿自己的手机扫描二维码上网。访客的上网行为和担保人关联，安全性高。可设置担保人一对一接待/一对多接待方案。适用于小规模接待之公共二维码使用流程：a.管理员设置公共账号，生成二维码，并打印出来，b.访客拿自己的移动终端上网扫描认证上网。共享同一账号，适合大规模方案来上网，且对安全可控要求不高的场景。另外还有一种方式就是采用短信注册认证的方式针对访客用户数量较大的场景，比如学校举行大型的学术或庆典活动。用户在认证页面上通过手机号自主注册网络账号进行网络认证。以上访客方案极简网络均可以提供。无线安全技术设计通常情况下，安全认证工作由网关类设备完成，对于XXX部署的无线网络，作为校园网的一部分，必须确保接入的网络用户的合法性。由于无线信号的公开性，采取传统的网关认证的模式，将所有的认证数据集中在网关设备进行，只能限制学生访问数据经过认证网关的情况，而对于不经过认证网关的校内网访问无法起到有效的阻止作用。学生数据加密安全AP通过WEP、TKIP和AES加密技术，为接入学生提供完整的数据安全保障机制，确保无线网络的数据传输安全。虚拟无线分组技术通过虚拟无线接入点（VirtualAP）技术，整机可最大提供16个ESSID，支持16个802.1QVLAN，网管人员可以对使用相同SSID的子网或VLAN单独实施加密和隔离，并可针对每个SSID配置单独的认证方式、加密机制等。标准CAPWAP加密隧道确保传输安全无线AP接入点与无线控制器以国际标准的CAPWAP加密隧道模式通信，确保了数据传输过程中的内容安全。射频安全在一体化网管系统、RG-WS系列无线控制器产品的配合下，智分型AP可启用射频探针扫描机制，实时发现非法接入点、或其它射频干扰源，并提供相应的告警，使网管人员可随时监控各个无线环境中的潜在威胁和使用状况。ARP欺骗的防护ARP检测功能有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象，保障了学生的正常上网。无论在动态分配IP环境下，还是静态分配IP环境下，均可实现自动绑定工作，大大的节省了人力成本，降低了管理开销。而配合ARP速率监控控制ARP报文发送的速率，防止恶意利用扫描工具进行ARP泛洪占据网络带宽，导致网络拥塞的攻击行为。DHCP安全支持DHCPsnooping，只允许信任端口的DHCP响应，防止未经管理员许可私自架设DHCPServer，扰乱IP地址的分配和管理，影响学生的正常上网的行为；并在DHCP监听的基础上，通过动态监测ARP和检查源IP，有效防范DHCP动态分配IP环境下的ARP主机欺骗和源IP地址的欺骗。无线QOS设计802.11的WLAN网络为用户提供了公平竞争无线资源的无线接入服务，但不同的应用需求对于网络的要求是不同的，而原始802.11网络并没有提供区分业务优先级的机制，不能为不同应用提供不同质量的接入服务。当网络发生流量拥塞时，需要优先处理的业务报文（例如语音报文）和普通报文（例如浏览网页的报文）会按相同的概率被丢弃。这和有线网络相对完善的QOS机制无法很好的衔接，已经不能满足实际应用的需要。WLANQOS能针对各种不同需求，提供不同的网络服务质量。对实时性及可靠性要求高的数据报文提供更好的服务质量，并进行优先处理；而对于实时性不强的普通数据报文，则提供较低的处理优先级。802.11e只实现了无线空口的业务优先级区分、高优先级业务优先保障带宽，没能解决如何在全网实现端到端的QoS问题。锐捷无线控制器（AC）+FITAP的端到端QoS解决方案不仅解决了无线接入点和无线用户直接在无线介质上的QoS，而且还通过将无线用户的优先级映射与无线控制器－FITAP间的CAPWAP隧道优先级，结合有线网络QoS机制进而实现了全网的端到端QoS。IEEE802.11协议规定采用的DCF（DistributedCoordinationFunction，分布式协调功能）调度模式是基于CSMA/CA（CarrierSenseMultipleAccesswithCollisionAvoidance，载波监听/冲突避免）原理，使得所有终端用户获取到信道的机会是均等的。IEEE802.11e为基于802.11协议的WLAN体系添加了QoS特性，这个协议的标准化时间很长，在这个过程中，Wi-Fi组织为了保证不同WLAN厂商提供QoS的设备之间可以互通，定义了WMM（Wi-FiMultimedia，Wi-Fi多媒体）标准。WMM标准使WLAN网络具备了提供QoS服务的能力。WMM通过将数据报文划分为4个接入分类（AC）队列，高优先级AC占用信道的机会高于低优先级AC，从而能针对每类报文提供不同级别的服务。无线数据流分队列为了使有限的网络资源能够更好地发挥效用，更好地为更多的用户服务，设备需要支持流量限速功能。当数据流量符合承诺速率时，允许数据包通过；数据流量不符合承诺速率时，丢弃数据包。评估流量的参数如下：平均速率（average-data-rate）即允许的流的平均速度，也叫承诺信息速率。突发速率（burst-data-rate）即每次突发所允许的最大的流量，也叫承诺突发尺寸。设置的突发尺寸必须大于最大报文长度。为了保证端到端的QOS，锐捷无线网络提供了无线QOS到有线QOS以及有线QOS到无线QOS的映射关系，进而实现了全网的端到端QoS。锐捷网络无线产品支持多种服务质量QOS，支持802.11e中的EDCF优先级，支持以太网口支持802.1p识别和标记。支持优先级队列及映射、流量限制、流分类。并且能够对QOS策略映射不同SSID/VLAN。无线QOS映射无线覆盖指标要求无线覆盖信号覆盖区域信号强度不低于-75dBm，信噪比SNR≥20。业务使用较为集中区域的接入速率应不低于140Mbps。室内分布系统天线的等效全向辐射功率≥7dBm。室外分布系统天线、独立WLAN天线的等效全向辐射功率≥22dBm。室外覆盖方式时，WLAN无线信号一般按穿透一堵墙设计。工作频段与频点规划依照WLAN的国际规范和国际无线电管理委员会的标准，WLAN无线设备的工作频段为2400-2483.5MHz，带宽83.5MHz，划分为14个子信道，每个子频道带宽为22MHz,最多有13个信道可用。频道分配如下图所示：无线频段在多个频道同时工作的情况下，为保证频道之间不互相干扰，要求两个频道的中心频率间隔不能低于25MHz。考虑参照北美标准设计的许多WLAN设备和终端（比如网卡）不能使用12、13信道做为学生信道，因此建议一般选用1/6/11信道。部署双频点的无线接入点，802.11n同时工作在2.4GHz和5GHz频点；5GHz：更多的频谱资源-数量较多的不冲突频点，更少的干扰（蓝牙、微波炉），从40MHz信道绑定获得最高的性能，很多802.11n的客户端只有在5GHz频段上支持40MHz；2.4GHz：采用2.4GHz频点，兼容原有的802.11a、b/g的客户端；不建议在2.4GHz频点使用40MHz信道绑定，大部分客户端不支持；避免了802.11a、b/g与802.11n混用，降低性能。通过对XXX初步勘测，发现目前楼宇内已经部署运营商的无线信号，故在本次无线项目实施过程中，将根据目前发现楼宇内存在的无线信号所使用的频段，进行灵活调配，将无线信号干扰降到最低。覆盖效果计算AP的信号总强度公式：Gt－Gr＋AP天线增益＋终端天线增益＝L信号总强度（dB）。AP部署空旷区域，20-25米远，笔记本无线接入计算（基于dBm）无线AP发射功率100mW发射功率（高调制速率时发射功率会下降2－5db）20增项室内定向发射天线增益12dBi12笔记本天线增益2dBi2减项参考平均3米7D馈线损耗；-10一般情况：由于天线不对正，不再主波瓣情况的调整-52.4G/5.8G空间传播20米-66/-74（2.4G10米60dB，5.8G10米68dB，每1倍变化差6dB）各种衰落/波动影响（室内、市区<15dB)-15根据较坏情况接受电平RSSI＝发射功率＋增项＋减项－（－95dBm）33/25计算的RSSIRSSI为20以上可以实现满速率，RSSI为16是较好，RSSI为13是可以连接的，RSSI在5－10连接很不稳定信号质量好可以达到满速率网络安全设计设备级安全功能设备级可靠性主要从设备自身可靠性，网络中的核心层交换机需要具备关键的可靠性技术：可靠性指标必须达到99.99%。所有关键器件，如主控板、电源等都采用冗余设计，业务模块支持热插拔。网络核心设备无源背板，采用无源器件的背板，可靠性更高。网络核心设备支持不间断转发，主控板热备份。主备倒换过程不影响业务转发，不丢包。为避免因病毒、蠕虫等引起的网络泛洪对网络设备造成CPU升高等影响网络的情况出现，所有设备应具备CPU保护技术来避免异常流量和攻击流量对设备可靠性的威胁。安全策略部署透明，不影响设备和网络性能，不影响业务和用户体验基于上述要求，选择的核心交换机支持多种硬件的安全防护技术，主要包括：引擎切换数据不间断转发、电源冗余、业务模块热插拔、防Dos攻击、防扫描、防源IP地址欺骗、SPOH、CPP、LPM+HDR等。通过采用专门针对攻击手段设计的ASIC芯片针对网络中的各种攻击进行安全的防护，保证在处理安全问题的同时依然不影响网络正常数据的转发。建议选择的全系列交换机具备的硬件CPU保护功能（CPP）可实现对CPU的自动硬件防护机制，保证设备不会因为协议攻击而宕机。同时交换机上具备的SPOH技术（基于硬件的同步式处理），在线卡的每个端口上利用FFP硬件进行安全防护和智能保障，各端口可以同步地、不影响整机性能地进行硬件处理。最长匹配（LPM）技术解决了“流精确匹配”的缺点，支持一个网段使用一个硬件转发表项，杜绝了攻击和病毒对硬件存储空间的危害。HDR抛弃了传统方式CPU参与“一次路由”的效率影响，在路由转发前形成路由表项，避免了攻击和病毒对CPU利用率的危害。LPM+HDR技术的结合不仅极大地提升了路由效率，而且保障设备在病毒和攻击环境下的稳定运行。防ARP攻击设计作为攻击源的主机伪造一个ARP数据包，此ARP包中的IP与MAC地址对同真实的IP与MAC对应关系不同，此伪造的ARP包发送出去后，网内其它主机根据收到的ARP包中的SENDER’S字段，ARP缓存被更新，被欺骗主机或网络设备的ARP缓存中特定IP被关联到错误的MAC地址，被欺骗主机或网络设备访问特定IP的数据包将不能被发送到真实的目的主机或网关，目的主机或网关不能被正常访问。防ARP欺骗设计在宿舍区接入交换机上开启ARP-CHECK功能，提取ACE中的IP+MAC资源，形成新的ACE资源（ARP报文过滤），对经过交换机的ARP报文进行检验，对交换机绑定表中存在的ARP表项进行放行，对非法的ARP报文直接丢弃，从而实现防ARP欺骗功能。交换机IP防扫描设计众所周知，许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的，大量的扫描报文也急剧占用了网络带宽，导致正常的网络通讯无法进行。而且，互联网上扫描的工具多如牛毛。为此，方案中的三层核心交换机提供了防扫描的功能，用以防止黑客扫描和类似“冲击波病毒”的攻击，以减轻三层交换机的CPU负担。目前发现的扫描攻击有两种：目的IP地址不断变化的扫描，“scandestipattack”。这种扫描攻击是最危害网络的，不但消耗网络带宽，增加交换机的负担，更是大部分黑客攻击手段的起手工具。目的IP地址不存在的扫描，“samedestipattack”。这种攻击主要是通过增加交换机CPU的负担来实现的。对三层交换机来说，如果目的IP地址存在，则报文的转发会通过交换芯片直接转发，不会占用交换机CPU的资源；而如果目的IP地址不存在，那么交换机CPU会定时去尝试连接，如果存在大量的这种尝试连接，也会消耗CPU资源。当然，这种攻击的危害比第一种小得多了。以上这两种攻击，核心交换机都可以通过在接口上调整相应的攻击阀值、攻击主机隔离时间等参数，来减轻其对网络的影响。另外，还可以根据网络中可监控的主机数，在全局模式下设置可监控攻击主机的最大值，以达到更好地保护系统的要求。防DOS/DDOS攻击近年来，各种DoS攻击（DenialofService，拒绝服务）报文在互联网上传播，给互联网用户带来很大烦恼。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。攻击报文主要采用伪装源IP以防暴露其踪迹。针对这种情况，RFC2827提出在网络接入处设置入口过滤（IngressFilting），来限制伪装源IP的报文进入网络。这种方法更注重在攻击的早期和从整体上防止DoS的发生，因而具有较好效果。使用这种过滤也能够帮助ISP和网管来准确定位使用真实有效的源IP的攻击者。ISP应该也必须采用此功能防止报文攻击进入Internet；企业（校园网）的网管应该执行过滤来确保企业网不会成为此类攻击的发源地。交换机采用基于RFC2827的入口过滤规则来防止DoS攻击，这种过滤是通过自动生成特定的ACL来实现，该过滤采用硬件实现而不会给网络转发增加负担。路由安全设计（1）路由认证和保护路由认证（RoutingAuthentication），就是运行于不同设备的相同的动态路由协议之间，对相互传递的路由刷新报文进行的确认，以便使得设备能够接受真正而安全的路由刷新报文。任何运行一个不支持路由认证的路由协议，都存在着巨大的安全隐患。某些恶意的攻击者可以利用这些漏洞，向网络发送不正确或者不一致的路由刷新，由于设备无法证实这些刷新，而使得设备被欺骗，最终导致网络的瘫痪。目前，多数路由协议支持路由认证，并且实现的方式大体相同。认证过程有基于明文的，也有基于更安全的MD5校验。MD5认证与明文认证的过程类似，只不过密钥不在网络上以明文方式直接传送。路由器将使用MD5算法产生一个密钥的“消息摘要”。这个消息摘要将代替密钥本身发送出去。这样可以保证没有人可以在密钥传输的过程中窃取到密钥信息。为了保证路由协议的安全，在路由协议配置时必须配置OSPF的认证，建议采用MD5认证。（2）关闭IP功能服务有些IP特性被恶意攻击者利用，会增加网络的危险，因此，网络设备应具备关闭这些IP功能的能力。IP源路由选项开关在IP路由技术中，通常一个IP报文总是沿着网络中的每个路由器所选择的路径上转发分组。IP协议中提供了源站和记录路由选项，它的含义是允许源站明确指定一条到目的地的路由，覆盖掉中间路由器的路由选择。并且，在分组到达目的地的过程中，把该路由记录下来。源路由选项通常用于指定网络路径的故障诊断和某种特殊业务的临时传送。因为IP源路由选项忽略了报文传输路径中的各个设备的中间转发过程，而不管转发接口的工作状态，可能被恶意攻击者利用，刺探网络结构。因此，设备应能关闭IP源路由选项功能。重定向开关网络设备向同一个子网的主机发送ICMP重定向报文，请求主机改变路由。一般情况下，设备仅向主机而不向其它设备发送ICMP重定向报文。但一些恶意的攻击可能跨越网段向另外一个网络的主机发送虚假的重定向报文，以期改变主机的路由表，干扰主机正常的IP报文转发。因此，设备应能关闭ICMP重定向报文的转发。定向广播报文转发开关在接口上进行配置，禁止目的地址为子网广播地址的报文从该接口转发，以防止smurf攻击。因此，设备应能关闭定向广播报文的转发。缺省应为关闭状态。ICMP协议的功能开关很多常见的网络攻击利用了ICMP协议功能。ICMP协议允许网络设备中间节点（路由器）向其它设备节点和主机发送差错或控制报文；主机也可用ICMP协议与网络设备或另一台主机通信。对ICMP的防护比较复杂，因为ICMP中一些消息已经作废，而有一些消息在基本传送中不使用，而另外一些则是常用的消息，因此ICMP协议处理中应根据这三种差别对不同的ICMP消息处理，以减少ICMP对网络安全的影响。设备管理安全设计（1）只开放必要的网络服务网络设备可以提供很多网络服务，有些服务可能成为网络攻击的对象。为了提供网络设备的安全级别，尽可能关闭不必要的服务，降低网络攻击的风险。（2）网络管理认证 管理员认证应采用集中认证和本地认证相结合的方式，集中认证为主要认证方式，本地认证为备份认证方式，在集中认证服务器无法访问的情况下使用本地认证。集中认证采用Radius认证协议，同时在设备上建立本地用户数据库，在Radius服务器不可用的情况下，使用本地数据库进行验证。在VTY和Console接口上启用管理认证，认证方式为集中认证和本地认证相结合。（3）Telnet接入安全TELNET是对网络设备进行管理的主要手段，可以对设备进行最为有效的操作，为了确保TELNET访问的合法性和安全性，我们需要注意：1.设置最大会话连接数；2.设置访问控制列表，限制TELNET的连接请求来自指定的源IP网段；3.尽量用SSH代替TELNET，采用SSH的好处是所有信息以加密的形式在网络中传输。（4）SNMP安全通过SNMP可以对设备进行全面的日常管理，为了提高SNMP管理的安全性，需要应注意以下几点：1.避免使用缺省的snmpcommunity，设置高质量的口令；2.不同区域的网络设备采用不同的snmpcommunity；3.把只读snmpcommunity和可读写snmpcommunity区分开来；4.配置ACL来限制能够通过SNMP访问网络设备的IP地址。汇聚嵌入式安全面对现在网络环境越来越多的网络病毒和攻击威胁，要求操作系统提供强大的网络病毒和攻击防护能力，网络硬件不仅提供了基于SPOH技术的ACL功能，而且还支持防源IP地址欺骗（SouceIPSpoofing）、防DOS/DDOS攻击（Synflood，Smurf），防扫描（PingSweep）等能力，从设备本身的功能即可保证网络安全。因此对于局域网中，建议如下部署：在核心汇聚部署支持防源IP地址欺骗（SouceIPSpoofing）、防DOS/DDOS攻击（Synflood，Smurf），防扫描（PingSweep）等能力。接入安全控制在接入部署ACL，对冲击波、蠕虫等病毒进行防范已经生成数BPDU攻击、MAC攻击等二层攻击，使有害数据包在接入就被过滤。要求接入交换机具备完善的QoS以及强大的安全接入控制能力。具体要求如下：二至四层线速转发，二至七层智能识别：硬件全线速实现路由、ACL、QOS、带宽限制，全面提升用户体验；硬件实现端口与MAC地址和用户IP地址的绑定：不需要第三方设备或软件，仅通过设定访问交换机上某个端口的用户MAC地址和IP，就可硬件实现严格控制对该端口的用户输入，有效防止非法用户的接入。有效杜绝非法组播源：支持IGMP源端口检查功能，以及支持IGMP源IP检查功能，有效地杜绝非法的组播源播放非法的组播信息，更好地提高了网络的安全性。极灵活的基于流的带宽控制能力：具备MAC流、IP流、应用流等多层流分类和流控制能力，实现灵活精细的带宽控制、转发优先级等多种流策略，带宽限制粒度达64Kbps，支持网络根据不同的业务、以及不同业务所需要的服务质量特性，提供差异化服务完善的QoS：RG-S29E支持完善的QOS，以DiffServ标准为核心的QoS保障系统，支持802.1P、IPTOS、二到七层流过滤、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑；强大的安全接入控制能力：硬件本身即可实现端口与MAC地址和用户IP地址的绑定，另外和配合宽带认证计费管理系统可实现用户帐号与IP、MAC、交换机IP、端口、VlanID多元素的复合绑定。保证用户身份的合法性和唯一性，可以有效的避免IP地址冲突、帐号盗用等问题发生。通过PVLAN即可隔离用户信息互通：采用保护端口（即将该端口设为保护端口）实现端口之间相互隔离，不必占用VLAN资源。采用保护端口即保证用户信息安全，又节约VLAN资源，同时不必再修改VLAN配置，大大提高维护效率。多端口同步监控MSPAN：通过一个端口可同时监控多个端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，有效提高监测效率。IP+MAC+端口绑定学生宿舍区的用户上网的安全性非常重要，要求接入交换机可以实现端口IP+MAC地址的绑定关系，可以支持基于MAC地址的802.1X认证。MAC地址的绑定可以直接实现用户对于边缘用户的管理，提高整个网络的安全性、可维护性。防止病毒广播泛洪要求接入交换机可实现广播报文的计数累计功能，往往一台主机受病毒时会发出大量的广播报文，交换机可实现对与进入报文的计数累计，广播病毒一般会在短时间内产生大量的广播包，通过可设置广播包的阀值，当达到一定的广播保文的数量时端口可是直接关闭，确保网络的安全、稳定。入网用户身份认证基于802.1X的扩展的认证计费系统在用户第一次上网就必须认证，保证了用户上网的安全和合法性。防止对DHCP服务器攻击使用DHCPServer动态分配IP地址会存在两个问题：一是DHCPServer假冒，用户将自己的计算机设置成DHCPServer后会分发非法地址给终端用户，造成用户无法使用网络，；二是用户DHCPSmurf，用户使用软件变换自己的MAC地址，大量申请IP地址，很快将DHCP的地址池耗光。对于第一种情况，使用接入交换机的访问列表就可以实现防范：在安全接入交换机上定义一个访问列表，该访问列表允许目的IP地址为合法DHCP服务器（或这个网段的网关地址，部分三层交换机在DHCPrelay之后，DHCPsever的地址会替换成三层SVI的地址）、sourceport为67而destinationport为68的UDP报文通过。而其它sourceport为67而destinationport为68的UDP报文拒绝，之后把这个访问列表应用到上联物理端口上。同时再定义一个访问列表，拒绝sourceport为67而destinationport为68的UDP报文通过，并运用在下联端口。对于第二种情况，开启接入交换机的端口安全功能就可以实现防范。在接入交换机设置端口安全，可以根据网络的实际情况设置，设置某个端口下学习源MAC的个数，一旦学习到的源MAC地址大于设置值，那么数据帧就会在端口丢弃，同时发送警告信息通知网管员，或是逻辑上关闭该端口。如下图：而对于用户手工设置静态IP地址，造成和已分发的动态IP地址冲突，可以通过认证系统指定用户只能采用DHCP获取IP。多元素绑定技术构筑高安全校园网IP地址、MAC地址、接入交换机端口、以及接入交换机IP、身份信息、是标识网络用户的基本元素，而单一的元素无法为管理员来标识一个用户，而网络安全被利用最多还是MAC、IP地址等。MAC地址欺骗将合法的MAC地址修改成不存在的MAC地址或其他人的MAC地址，从而达到隐藏自己真实的MAC，来达到一些不可告人的目的，这就是MAC地址欺骗。MAC地址泛洪攻击交换机由于交换机内部的MAC地址表空间是有限的，正常情况下，这些MAC地址表是足够用的，一般情况下，基本不会发生MAC地址表被占满的情况。但如果有人恶意对这台交换机进行MAC地址泛洪攻击的话，则会很快占满交换机内部MAC地址表，使得本来交换机本来是按单播进行转发数据包的，但由于MAC地址表已经被占满了，所有的交换机的端口都在一个广播域里了，因此交换机转发数据包的机制变成了广播了。因此交换机变成了一个Hub，因此别的端口可以收到所有的其他端口的数据，因此用户的信息传输也没有安全保障了。IP地址随意更改手工更改用户自己的IP地址，这使得原本分到该IP地址的合法用户无法正常上网，同时也将导致整个网络的IP地址管理混乱。非法用户向被攻击的主机发出大量的攻击包，同时将报文中的源IP地址进行修改以掩藏自己真实的IP，这样就可以逃避网管的追查，“堂而皇之”的攻击对方了。因此根据以上安全的情况，我们建议采用认证系统的绑定功能，对宿舍网用户进行管理。通过认证系统(AAA)服务器绑定每一个用户的元素信息，当用户认证时，802.1X客户端将所需要的元素信息传送到认证系统服务器，认证系统会将所传送的信息和数据库做一一的匹配，如果有任一一元素不符合认证系统所定义，那么将视此用户为非合法用户，认证系统将不允许此用户认证通过，并反馈通知用户绑定错误相关信息。如果用户认证通过后修改地址，那么客户端也会检测到并发送到认证系统服务器，同时认证系统服务器会将此用户剔除下线。为了管理方便，我们建议使用第一次登录自动时绑定信息，当用户第一次认证时将相关的元素信息自动的写入数据库，无需手工录入元素信息作静态绑定。防止用户私设代理服务器用户自行架设代理服务器以及用户认证后再自行拨号上网，这是网络安全最大的两个隐患。交换机提供代理服务器屏蔽和拨号屏蔽功能。实现该功能交换机端不需任何设置。只需在认证系统服务器端配置相应的属性。考虑到学生的技术性较强，在实际的应用的过程当中应当充分考虑到学生的代理服务器的使用，对于代理服务器的防止，交换机配合802.1X的客户端以及认证系统服务器，一旦检测到用户PC机产生代理流量，系统自动将用户剔除下线，并反馈信息。恶意用户追查对每个用户分配一个账户，使用认证系统管理用户。由认证系统记录用户每次上网的用户名，源IP地址，上网开始和结束时间。然后通过安全认证管理系统认证系统查找MAC地址和IP地址，就可以根据源IP或源MAC在系统上查到该用户所在的交换机以及在该交换机上所接的端口，通过这种方式可以立刻定位用户，方便对于大型网络的管理，能够方便快捷的防止恶意用户的攻击。同时，认证系统系统可以随机保存15～90天的用户上网记录（根据管理的需要，自行定义天数），并可以实现数据的备份。设备清单序号名称品牌产品型号数量产地1出口路由器锐捷网络RG-RSR7708-X1福建锐捷网络RSR7708-SCRMI-X2福建锐捷网络RSR7708-DSF-X2福建锐捷网络RG-PA600-RI2福建锐捷网络RSR77-SIP1-X2福建锐捷网络FNM-8GE2福建锐捷网络FNM-2XS2福建锐捷网络XG-SFP-LR-SM13108福建锐捷网络XG-SFP-SR-MM8504福建2核心交换机锐捷网络RG-N180101福建锐捷网络M18010-CMII2福建锐捷网络M18010-FE-DI2福建锐捷网络RG-PA1600I2福建锐捷网络M18000-44SFP4XS-ED1福建锐捷网络M18000-48XS-DB1福建3服务器接入交换机锐捷网络RG-S2910-24GT4XS-E1福建锐捷网络XG-SFP-SR-MM8504福建4认证计费系统锐捷网络RG-SAMV3.X企业版1福建锐捷网络RG-SAMV3.X企业版License15福建5Portal管理系统锐捷网络RG-ePortal企业版1福建锐捷网络RG-ePortal企业版License9福建6日志记录系统锐捷网络RG-eLog1福建7无线控制器锐捷网络RG-M18000-WS-ED2福建锐捷网络LIC-WS-12813福建8宿舍面板式AP锐捷网络RG-AP130-L2948福建911ac室内无线接入点锐捷网络RG-AP520776福建1011ac室外无线接入点锐捷网络RG-AP630(定向)30福建锐捷网络RG-E-13030福建11无线接入点24口PoE交换机锐捷网络RG-S2928G-24P154福建12无线接入点12口PoE交换机锐捷网络RG-S2928G-12P36福建13楼宇汇聚交换机锐捷网络RG-S2910-24GT4XS-E38福建锐捷网络XG-SFP-LR-SM131076福建14认证计费服务器联想ThinkServerRD4501北京15Portal管理系统服务器联想ThinkServerRD4501北京16日志记录服务器联想ThinkServerRD4501北京17综合布线普天根据实际情况进行投入实施1南京技术参数品目设备名称数量主要技术参数及性能（配置）1出口路由器1台1.采用全分布式转发处理架构，交换容量：16Tbps，包转发率：2880Mpps2.独立交换网板插槽：2个3.整机业务插槽数量:4个（不含路由引擎、交换网板、业务子卡插槽）4.支持路由引擎、业务载板/模块、电源/风扇等关键部件的高可用性热插拔设计5.支持并实配支持L2TP、IPSecVPN、GREVPN功能，如需配置独立硬件板卡或购买License才能支持该功能特性，则要求必须配置相应独立硬件板卡或License6.支持并配置静态路由、等价路由、策略路由；支持并可配置RIPv1/v2、BGPv4、BGP4+等路由协议7.支持并配置虚拟化功能，支持N：1的多虚一功能8.支持并配置Telnet、SSH管理模式；支持并配置CLI、SNMPv1/v2/v3、RMON1/2/3/9；9.支持并实配防火墙功能，可提供状态检测、URL过滤、SSLVPN等多种安全特性10.配置：配置双引擎、双电源、双交换网板;配置光口数量:16，配置电口数量：16，配置万兆光口数量:42核心交换机1台1.正交Clos交换架构，交换网板与主控板硬件槽位分离且为正交架构2.交换容量167.2Tbps，转发性能43,200Mpps，主机槽位数：103.为保障机框内各种业务板实现电信级抗压和散热性能，整机模块插槽必须采用竖形槽位设计，产品图片证明见附件4.配置支持FCoE协议，实现LAN和FCSAN网络融合一体化部署5.配置支持TRILL透明交换网络协议，简化大规模网络部署方式，第三方权威机构测试报告见附件6.配置支持一虚多技术，一台交换机可虚拟化为N台交换机，实现多业务之间隔离7.支持集中认证解决方案实现扁平化组网，整机支持≥90K个的IPV4/IPV6双栈终端集中认证和并发在线，支持802.1X、PPPOE、Portal、MAC认证、免认证等多种灵活的认证方式8.整机上线速度≥900个用户/秒9.支持OpenFlowv1.3协议，支持协议无关转发，可实现核心网络向SDN平滑演进，第三方权威机构测试报告见附件10.配置：配置冗余电源，冗余网板,每台配置万兆光口数≥52个；千兆光口数≥44个；3服务器接入交换机1台1.固化千兆电接口≥24个,SFP+万兆光接口≥4个(非复用);2.交换容量≥264Gbps,包转发率≥96Mpps;3.支持VoiceVLAN,基于MAC/协议/IP子网/端口的VLAN,MAC地址自动学习和老化,静态、动态、黑洞MAC表项;4.支持IPv4、IPv6静态路由、RIP、RIPng等三层路由和组播功能,支持RoutingPolic功能;7.支持DHCPServer、DHCPSnooping、DHCPSnoopingOption82;4认证计费系统1套1.支持web认证下的包月、时长、流量的计费方式2.支持计天、包月、流量计费、时长计费、自定义周期计费、自定义计费策略、本周起不使用不扣费、一次付费分段开通、有线无线综合计费策略3.分地区计费，不同地区不同计费策略4.支持禁止已认证用户提供代理服务、禁止已认证用户启用拨号服务，进行非法外连5.账单管理、账务流水管理、手工登帐、营帐报表管理6.支持在线用户管理、在线人数分析、上网明细管理、网络报修管理、日志管理、无线漫游管理，系统能够自动提供运行报告7.支持与LDAP服务器联动，与第三方身份源系统对接，获取用户身份信息，实现统一身份认证8.支持基于C和java的第三方接口(例如：与一卡通对接)10.支持在线保活功能，动态检测用户在线情况11.支持认证登录页面的LOGO定制化，支持最多导入多个背景图片而且不限制定制页面的大小12.支持主页重定向功能，用户认证后除了可以弹出保活页面，还可以重定向到学校的主页上13.支持802.1X、VPN接入、Web准入认证、WEB网关准出、无线接入等多种接入方式14.支持限制用户认证上网的时间段15.支持根据用户的IP进行区域的划分，控制用户的上网区域16.支持PC、手机和平板的智能识别17.针对不同类别的终端类别进行实现不同的带宽控制策略18.有线、无线的无感知认证19.支持基于不同区域的无感知认证配置要求：配置802.1x用户许可16000人；配置web认证用户许可16000人5Portal管理系统1套1.部署方式:独立portal服务器,可独立的安装在单独的服务器中;双机可实现负载均衡集群2.采用B/S架构,通过WEB的方式随时随地管理系统3.支持WEB准入认证,可以配合接入交换机,实现接入WEB认证4.支持WEB准出认证,可以配合出口网关进行基于准出的WEB认证;5.WEB认证:支持多种业界主流浏览器进行web认证6.具有保活功能,动态检测用户在线情况7.具有计费功能,配合计费系统可以实现基于包月、时长、流量的计费8.用户可以根据自己的需要定制认证页面,而且不限制定制页面的大小9.系统监控:可以监控portal服务器的认证请求数、处理请求数、保活请求数等指标;可以控制只能登陆portal服务器管理端的IP地址;可以记录攻击portal服务器的ip地址和次数。10.单个用户认证时间<3.5秒;每秒钟可成功认证用户数不低于20个;单台portal服务器支持用户数不少于5000;11.在上网用户认证登录页面显示认证客户端下载地址。在上网用户认证登录页面显示认12.配置并发在线用户授权许可不少于10000个;6上网日志系统1套1.支持URL日志、NAT日志并提供查询接口，提供URL和模糊查询功能2.支持对多个出口设备（NAT设备）的流量绘制流量曲线3.能基于用户名实现流量统计和日志分析4.能够将同一用户不同IP的上网日志、流量信息归并到一起5.支持两种身份认证系统6.支持常见应用流量统计（基于端口区别应用流量）7.支持基于用户名或者IP来区分应用流量8.支持基于设置流量阀值，异常时在首页显示报警，并支持邮件通知7无线控制器2套1．默认可管理AP数128个，单卡最大可支持管理2560个AP以上，官网查询链接及截图见附件2.802.11转发性能48G3.板卡固化10G光口数2个，无须额外线卡4.单台设备最大支持的在线无线用户数目：80K5.支持本地认证功能，无需通过外置Protal服务器和Radius服务器认证6.支持MAC认证、WEB认证、802.1X认证、WAPI认证7.支持对非法无线接入点进行探测，并对非法AP进行屏蔽8.支持根据用户需求定制化设计认证页面及用户自定义设计，保留测试权利9.支持实时频谱防护,可视化射频干扰源对无线局域网的性能的影响10.无线控制器需要实现1:1冗余，每套控制器可管理所有无线AP，配置2176个AP管理授权8宿舍面板式AP2968台1.采用双频双流设计,须实现胖/瘦AP两种工作模式的切换,支持802.11a/n/ac和802.11b/g/n模式,2.4GHz支持300Mbps,5G支持866Mbps,对外提供四个千兆以太网电口、一组RJ45透传口,支持电话接入2.支持本地电源供电和POE供电,提供1个MicroUSB管理接口,提供官网截图及链接作为证明;3.设备可更换外壳且外壳颜色多样,能满足不同颜色的室内装修风格,如土豪金、白、黑、银等;4.设备与无线控制器配合,支持iOS、安卓和windows等主流智能终端操作系统自动识别,提供适应屏幕比例与尺寸的认证页面;5.为增强无线网络可靠性,支持当AC宕机时,AP切换为智能转发模式继续传输数据,保证无线用户正常使用;6.由于设备并非部署在标准机房,为了保障设备安全稳固的运行,设备的外壳防护等级须达到IP417.支持无感知、短信和二维码认证等认证方式。911ac室内无线接入点785台1.支持标准的802.11ac协议,采用双路双频设计，可同时工作在802.11ac和802.11a/b/g/n模式2.支持无线频谱分析,可视化射频干扰源对无线局域网的性能的影响3.支持2条空间流,单频最大接入速率867Mbps,整机最大接入速率1167Mbps4.单个AP可支持32个SSID，为便于后期的管理5.支持对无线终端的公平调度以实现公平占用；支持负载均衡；支持自动调整发射功率和分配射频信道6.设备与无线控制器配合，支持iOS、安卓和windows等主流智能终端操作系统自动识别，提供适应屏幕比例与尺寸的认证页面，实现轻松访问7.支持IPv6技术，包括IPv6报文透传,IPv6终端接入认证8.为增强无线网络可靠性，支持当AC宕机时，AP切换为智能转发模式继续传输数据，保证无线用户正常使用9.支持mac认证、Web认证、802.1X认证、WAPI认证配置：配置1个10/100/1000Base-T以太网口1011ac室外无线接入点35台1.支持标准的802.11ac协议,采用双路双频设计，可同时工作在802.11a/n/ac和802.11b/g/n模式2.射频卡工作模式：内置智能天线2.4G&5.8G3.支持3条空间流,2.4单频最大接入速率：450Mbps,5.8G单频最大接入速率：1300Mbps，整机最大接入速率:1750Mbps4.避雷方式：内置避雷5.提供1个console管理口,1个SFP上联光口，1个10/100/1000Base-T以太网上联接口6.提供1个10/100/1000Base-T下联PoEOUT对外供电接口7.支持胖/瘦AP两种工作模式的切换，在瘦AP工作模式时，AP与控制器之间采用国际标准的CAPWAP协议通信8.支持实时频谱防护,可视化射频干扰源对无线局域网的性能的影响9.为增强无线网络可靠性，支持当AC宕机时，AP切换为智能转发模式继续传输数据，保证无线用户正常使用10.支持IPv6技术，包括IPv6报文透传,IPv6终端接入认证，保留测试权利11.每台配置一块POE适配器11无线接入点24口PoE交换机160台1．24个千兆POE端口，可以支持最大24个AP的供电2．上行千兆电口2个，万兆SFP+光口2个3．支持基于端口的VLAN，支持基于协议的VLAN，802.1QVLAN封装，最大VLAN数40944．支持有线/无线逻辑隔离和基于不同vlan的数据转发5．支持IEEE802.1X认证模式和WEB认证模式6．支持基于标准、扩展、VLAN的ACL报文过滤7．支持组播，支持IGMPSnooping/MLDSnooping8．支持用户二层隔离9．支持IPv6技术，包括报文透传,IPv6终端接入认证10．支持SNMP,支持SYSLOG12无线接入点12口PoE交换机40台1．12个千兆POE端口，可以支持最大12个AP的供电2．上行千兆电口2个，万兆SFP+光口2个3．支持基于端口的VLAN，支持基于协议的VLAN，802.1QVLAN封装，最大VLAN数40944．支持有线/无线逻辑隔离和基于不同vlan的数据转发5．支持IEEE802.1X认证模式和WEB认证模式6．支持基于标准、扩展、VLAN的ACL报文过滤7．支持组播，支持IGMPSnooping/MLDSnooping8．支持用户二层隔离9．支持IPv6技术，包括报文透传,IPv6终端接入认证10．支持SNMP,支持SYSLOG13楼宇汇聚交换机43台1.固化千兆电接口≥24个,SFP+万兆光接口≥4个(非复用);2.交换容量≥264Gbps,包转发率≥96Mpps;3.支持VoiceVLAN,基于MAC/协议/IP子网/端口的VLAN,MAC地址自动学习和老化,静态、动态、黑洞MAC表项;4.支持IPv4、IPv6静态路由、RIP、RIPng等三层路由和组播功能,支持RoutingPolic功能;7.支持DHCPServer、DHCPSnooping、DHCPSnoopingOption82;14认证计费服务器1台1、2*E5-2620v3（2.4GHz/6c）2、2*16GDDR43、5*300G3.5"SAS15K4、RAID0/1/5（512M缓存）5、主板集成RJ45双口千兆网卡6、1+1冗余电源7、DVD-RW14Portal管理系统服务器1台1、2*E5-2620v3（2.4GHz/6c）2、2*16GDDR43、5*300G3.5"SAS15K4、RAID0/1/5（512M缓存）5、主板集成RJ45双口千兆网卡6、1+1冗余电源7、DVD-RW15日志记录服务器1台1、2*E5-2620v3（2.4GHz/6c）2、2*8GDDR43、5*TB3.5寸SAS7.2K4、RAID0/1/5（512M缓存）5、主板集成RJ45双口千兆网卡6、1+1冗余电源7、DVD-RW投标人（公章）：法定代表人或授权委托人：（签字或盖章）日期：年月日出口路由器技术参数参数项目技术参数说明投标产品型号RG-RSR7708-X模块插槽10个路由引擎插槽2个独立交换网板插槽2个业务载板插槽4个业务子卡插槽16个交换容量16Tbps转发性能2880Mpps路由引擎固化接口2个USB2.0接口，1个USB-Console口，1个MGMT管理口，1个Console口，1个AUX口，1个SD卡插槽可用模块OC-48c/STM-16cPOSOC-12c/STM-4cPOSOC-3/STM-1POSOC-3/STM-1CPOS通道化到E1/T1/64KOC-48/STM-16CPOS通道化到E1/T1OC-12/STM-4CPOS通道化到E1/T1OC-192c/STM-64cPOSOC-192/STM-64CPOS通道化到155MOC-192c/STM-64cRPR接口模块40GE/10GE/GE/FEE1/CE1OC-3/STM-1ATM和OC-12/STM-4ATM高速同步串口国密局商密算法硬件加密模块尺寸（W×D×H）mm440×460×355重量≤50KG电源100VAC~240VAC，50Hz~60Hz-36VDC~-72VDCMTBF>200,000hours温度工作温度：0℃到45℃存储温度：-40℃到70℃湿度工作湿度：10%到90%RH存储湿度：5%到95%RH核心交换机技术参数参数项目技术参数说明投标产品型号RG-N18010模块插槽2个引擎模块槽位，8个业务板卡槽位，4个交换网板槽位交换容量32Tbps/167.2Tbps包转发速率11,520Mpps/43,200Mpps数据中心融合网络特性支持增强以太网特性（DCB）：802.1Qbb:Priority-basedFlowControl(PFC)，基于优先级的流控。802.1Qaz:EnhancedTransmissionSelection(ETSandDCBX)，增强传输选择802.1Qau:CongestionNotification(CN/QCN)，拥塞通告支持统一交换特性：FCoE（FibreChanneloverEthernet）支持超大分布式缓存设计，每端口支持200ms缓存，确保突发流量不丢包设备虚拟化支持VSU3.0(VirtualSwitchUnit,虚拟交换单元)，支持虚拟化带宽≥2.56Tbps支持VSD(VirtualSwitchDevice,虚拟交换设备)网络虚拟化支持TRILL透明交换网络支持L2-GRE支持VXLAN边缘虚拟交换支持VEPA（虚拟以太网端口聚合）支持虚拟机策略自动迁移SDN支持OpenFlow1.3L2特性支持JumboFrame支持802.1Q支持STP、RSTP、MSTP支持SuperVLAN支持GVRP支持QinQ、灵活QinQ、QinQ终结支持LLDP支持ERPS（G.8032）行为管控支持URL审计；支持用户定位；集中认证支持9万IPv4和IPv6双栈用户同时在线，1200终端/S的上线速度；支持802.1x/Portal/Mac/IPoE等多种认证方式支持Portal认证、支持RADIUS和TACACS+用户登录认证支持二层Portal、三层Portal接入认证支持按流量计费、流量控制、精细化管理支持网关准出认证；IPv4特性支持静态路由、RIP、OSPF、IS-IS、BGP4支持VRRP支持等价路由支持策略路由支持GRE隧道IPv6特性支持静态路由OSPFv3、BGP4+、IS-ISv6、MLDv1/v2支持VRRPv3支持等价路由支持策略路由支持手工隧道、自动隧道、ISATAP隧道、支持GRE隧道等组播支持IGMPv1,v2,v3支持IGMPSnooping支持IGMPProxy支持PIM-DM、PIM-SM、PIM-SSM等组播路由协议支持MLD支持组播静态路由MPLS支持MPLS转发支持MPLSVPN/VPLS支持VPWSACL支持标准、扩展、专家级ACL支持ACL80支持IPv6ACLQOS支持802.1p支持SP、WRR、DRR、SP+WRR、SP+DRR等队列调度机制支持RED/WRED支持基于出端口/入端口的限速支持HQoS可靠性独立的交换网板与独立的主控板设计，实现转发与控制平面完全分离主控板支持1+1冗余备份交换网板支持N+1冗余备份电源、风扇支持N+M冗余备份背板无源设计，避免单点故障各组件支持热插拔支持热补丁功能，可在线进行补丁升级支持ISSU支持GRforOSPF/IS-IS/BGP/支持BFDforVRRP/OSPF/BGP4/ISIS/ISISv6/MPLS/静态路由等支持独立PoE电源槽供电，防止因POE供电而影响其他业务模块供电稳定性安全性支持NFPP（基础安全保护策略）支持CPP（CPU保护）支持DAI，端口安全，IPSourceGuard支持uRPF支持登录认证、口令安全支持支持未知