高校無線智能網(wǎng)絡平臺建設方案

1、PAGE 21PAGE 1高校無線智能網(wǎng)絡平臺建設方案PAGE 21PAGE 47目 錄 TOC o 1-3 h z u HYPERLINK l _Toc39475845 1技術(shù)建設方案 PAGEREF _Toc39475845 h 3 HYPERLINK l _Toc39475846 1.1校園網(wǎng)總體架構(gòu)設計 PAGEREF _Toc39475846 h 3 HYPERLINK l _Toc39475849 1.1.1建設原則 PAGEREF _Toc39475849 h 3 HYPERLINK l _Toc39475852 1.1.2校園網(wǎng)建設內(nèi)容框架 PAGEREF _Toc394758

2、52 h 4 HYPERLINK l _Toc39475869 1.1.3網(wǎng)絡架構(gòu)拓撲圖 PAGEREF _Toc39475869 h 6 HYPERLINK l _Toc39475870 1.1.4網(wǎng)絡設計概述 PAGEREF _Toc39475870 h 6 HYPERLINK l _Toc39475871 1.1.5骨干網(wǎng)絡方案先進性與可行性 PAGEREF _Toc39475871 h 7 HYPERLINK l _Toc39475877 1.1.6運營管理平臺建設內(nèi)容 PAGEREF _Toc39475877 h 14 HYPERLINK l _Toc39475878 1.2無線網(wǎng)絡

3、建設方案 PAGEREF _Toc39475878 h 16 HYPERLINK l _Toc39475885 1.2.1無線網(wǎng)絡先進性設計 PAGEREF _Toc39475885 h 16 HYPERLINK l _Toc39475894 1.2.2無線覆蓋方案 PAGEREF _Toc39475894 h 17 HYPERLINK l _Toc39475897 1.2.3無線多SSID設計 PAGEREF _Toc39475897 h 23 HYPERLINK l _Toc39475898 1.2.4無線接入認證設計 PAGEREF _Toc39475898 h 23 HYPERLINK

4、 l _Toc39475900 1.2.5無線安全技術(shù)設計 PAGEREF _Toc39475900 h 25 HYPERLINK l _Toc39475901 1.2.6無線QOS設計 PAGEREF _Toc39475901 h 26 HYPERLINK l _Toc39475902 1.2.7無線覆蓋指標要求 PAGEREF _Toc39475902 h 28 HYPERLINK l _Toc39475907 1.2.8無線方案特色 PAGEREF _Toc39475907 h 30 HYPERLINK l _Toc39475909 1.3網(wǎng)絡安全設計 PAGEREF _Toc39475

5、909 h 39 HYPERLINK l _Toc39475912 1.3.1設備級安全功能 PAGEREF _Toc39475912 h 39 HYPERLINK l _Toc39475913 1.3.2防ARP攻擊設計 PAGEREF _Toc39475913 h 39 HYPERLINK l _Toc39475914 1.3.3交換機IP防掃描設計 PAGEREF _Toc39475914 h 40 HYPERLINK l _Toc39475915 1.3.4防DOS/DDOS攻擊 PAGEREF _Toc39475915 h 40 HYPERLINK l _Toc39475916 1.

6、3.5路由安全設計 PAGEREF _Toc39475916 h 41 HYPERLINK l _Toc39475917 1.3.6設備管理安全設計 PAGEREF _Toc39475917 h 42 HYPERLINK l _Toc39475918 1.3.7匯聚嵌入式安全 PAGEREF _Toc39475918 h 43 HYPERLINK l _Toc39475919 1.3.8接入安全控制 PAGEREF _Toc39475919 h 43 HYPERLINK l _Toc39475920 1.3.9IP+MAC+端口綁定 PAGEREF _Toc39475920 h 44 HYPE

7、RLINK l _Toc39475921 1.3.10防止病毒廣播泛洪 PAGEREF _Toc39475921 h 44 HYPERLINK l _Toc39475922 1.3.11入網(wǎng)用戶身份認證 PAGEREF _Toc39475922 h 44 HYPERLINK l _Toc39475923 1.3.12防止對DHCP服務器攻擊 PAGEREF _Toc39475923 h 44 HYPERLINK l _Toc39475924 1.3.13多元素綁定技術(shù)構(gòu)筑高安全校園網(wǎng) PAGEREF _Toc39475924 h 45 HYPERLINK l _Toc39475925 1.3.

8、14防止用戶私設代理服務器 PAGEREF _Toc39475925 h 46 HYPERLINK l _Toc39475926 1.3.15惡意用戶追查 PAGEREF _Toc39475926 h 46技術(shù)建設方案校園網(wǎng)總體架構(gòu)設計建設原則安全性網(wǎng)絡必須具有良好的安全防范措施和密碼保護技術(shù)，靈活方便的權(quán)限設定和控制機制，使系統(tǒng)具有多種有效手段，防范各種形式對網(wǎng)絡的非法入侵和內(nèi)部攻擊，以保證網(wǎng)絡的實體安全、網(wǎng)絡安全、系統(tǒng)安全和信息安全，有效地保障正常的業(yè)務活動和防止內(nèi)部信息數(shù)據(jù)不被非法竊取、篡改或泄漏。因此系統(tǒng)應分別針對不同的應用和不同的網(wǎng)絡通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機制、數(shù)據(jù)存

9、取的權(quán)限控制等，充分考慮安全性，針對教育行業(yè)網(wǎng)絡的各種應用，有多種的保護機制，如劃分VLAN、IP/MAC地址綁定、802.1x用戶訪問控制、802.1d、802.1w、802.1s冗余鏈路保護等，另外還具有良好的防病毒能力，提高整個網(wǎng)絡的安全性，保證內(nèi)外網(wǎng)安全。先進性系統(tǒng)設計既要采用先進的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設備、工具的相對先進成熟，整個系統(tǒng)的生命周期應有比較長的時間，可以在信息技術(shù)不斷發(fā)展的今天，在系統(tǒng)建成以后比較長的一段時間內(nèi)能滿足用戶需求增長的需要；不但能反映當今的先進水平，而且具有發(fā)展?jié)摿?，能保證在未來若干年內(nèi)占主導地位，保證網(wǎng)絡建設的領(lǐng)先地位，采用萬/千兆以太網(wǎng)技術(shù)構(gòu)建

10、網(wǎng)絡主干、支干線路。 開放性采用開放的軟硬件平臺和數(shù)據(jù)庫管理系統(tǒng)，遵循國際標準化組織提出的開放系統(tǒng)互聯(lián)的標準，應用軟件必須獨立于軟硬件平臺，能集成任何第三方的應用，具有良好的可擴展性、可移植性和互操作性。擴展性系統(tǒng)必須具有良好的可擴充性，在系統(tǒng)結(jié)構(gòu)、系統(tǒng)容量與技術(shù)方案等方面必須具有升級換代的可能，核心設備必須采用模塊化的結(jié)構(gòu)，跟蹤網(wǎng)絡發(fā)展的前沿方向，符合網(wǎng)絡的發(fā)展趨勢并具有充分的擴展性。系統(tǒng)建設必須盡量保護現(xiàn)有的軟、硬件資源，保證各部門現(xiàn)有的計算機系統(tǒng)的使用，逐步過渡，有效保護用戶投資，最終形成一個統(tǒng)一的、一體化的綜合網(wǎng)絡系統(tǒng)。高性能網(wǎng)絡鏈路和設備具備足夠高的數(shù)據(jù)轉(zhuǎn)發(fā)能力，保證各種信息的高質(zhì)量

11、無阻塞傳輸；交換系統(tǒng)具有很高的交換容量與多服務支持的能力，保證網(wǎng)絡服務的質(zhì)量?？蛇\營管理為了讓校園網(wǎng)能夠良性、穩(wěn)定、持續(xù)、健康的發(fā)展，對校園網(wǎng)用戶進行嚴格的管理和控制，學校需要對校園網(wǎng)進行用戶接入管理管理，通過對上網(wǎng)的用戶進行認證，記錄上網(wǎng)用戶的行為，為學校的網(wǎng)絡管理提供便利的工具。同時可進行計費擴展，通過對用戶收取一定的費用來達到“以網(wǎng)養(yǎng)網(wǎng)”的目的，并要求運營系統(tǒng)能夠貼近校園用戶的應用模式，方便維護和管理。規(guī)范化和標準化網(wǎng)絡體系結(jié)構(gòu)、通信協(xié)議及軟件的設計和開發(fā)必須按照國家或行業(yè)標準進行，要模塊化、結(jié)構(gòu)化、數(shù)據(jù)要代碼化，以便于信息共享和交流及將來的維護。在系統(tǒng)設計和軟件開發(fā)時，應用程序必須規(guī)范

12、化、模塊化和可復用。校園網(wǎng)建設內(nèi)容框架校園骨干網(wǎng)絡設計本次山西工程技術(shù)學院網(wǎng)絡改造，需要建成一個高帶寬（萬兆）、高冗余（設備冗余、線路冗余）達到99.999%的穩(wěn)定是校園骨干網(wǎng)絡的最終目的，建設可擴展的新一代校園網(wǎng)絡架構(gòu)，骨干網(wǎng)絡采用兩臺核心組成虛擬化連接到各樓宇匯聚。校園出口網(wǎng)絡設計新增專用網(wǎng)絡出口設備，承載出口NAT、鏈路負載均衡，智能選路功能。有線無線統(tǒng)一認證方式：結(jié)合智慧校園統(tǒng)一身份認證系統(tǒng)，采用一體化認證方式為校園各類用戶提供上網(wǎng)認證服務，減輕使用和維護復雜度。上網(wǎng)行為管理：要求實現(xiàn)對互聯(lián)網(wǎng)訪問行為的全面管理，包括網(wǎng)頁過濾、行為控制、流量管理、防范法規(guī)風險、互聯(lián)網(wǎng)訪問行為記錄、上網(wǎng)安

13、全等多個方面。分類存儲所有訪問的源IP、目的IP、源端口號、目的端口號、應用類型、數(shù)據(jù)包大小、數(shù)據(jù)包數(shù)量。結(jié)合認證統(tǒng)，通過源IP/時間，找到對應的帳號，將安全事件度應到人甚至對應到發(fā)生安全事件的地點。網(wǎng)絡信息安全防護：通過實名認證，防火墻策略來保障校園網(wǎng)的網(wǎng)絡信息安全，對來自外部的網(wǎng)絡攻擊和滲透進行有效防護，提高網(wǎng)絡信息安全。校園無線網(wǎng)絡設計全面建設學校的WLAN無線校園網(wǎng)，實現(xiàn)校內(nèi)隨時隨地的通過WI-FI訪問校園網(wǎng)。WLAN信號覆蓋教學、辦公樓宇的室內(nèi)區(qū)域，滿足每個辦公室、教室、實驗室和門廳區(qū)域的信號接收強度-75dBm。室外覆蓋區(qū)域包括廣場、運動場、籃球場，室外AP覆蓋區(qū)域終端連接速率最高

14、可達到1.75Gbps，滿足80%以上區(qū)域接收信號強度-75dBm，每個場所支持并發(fā)用戶100個以上。無線全部采用基于802.11ac協(xié)議的室內(nèi)室外高性能AP產(chǎn)品，所有AP均支持2.4GHz和5.8GHz頻段的雙路接入，要求每個AP至少支持1.167Gbps速率。無線用戶通過統(tǒng)一的訪問登錄系統(tǒng)可實現(xiàn)多種基于用戶或用戶群的訪問控制：包括基于不同的用戶或用戶群可實施不同的認證方式；基于不同的用戶或用戶群可實施不同的資源訪問權(quán)限控制；基于不同的用戶或用戶群可實施不同的接入上、下行帶寬控制；基于不同的用戶或用戶群可實施基于時間的接入控制；上述多種接入控制策略實施、操作過程要方便、易用，即時生效。網(wǎng)絡架

15、構(gòu)拓撲圖網(wǎng)絡設計概述如上圖所示：山西工程技術(shù)學院網(wǎng)絡可以分為2大部分，第一部分為學校有線辦公網(wǎng)，包括辦公網(wǎng)有線接入?yún)^(qū)，網(wǎng)絡管理服務器區(qū)，核心區(qū)，互聯(lián)網(wǎng)出口區(qū)等，主要承載的業(yè)務外全校的有線接入業(yè)務及全校的校內(nèi)應用承載。另外一部分網(wǎng)第三方投資建設的無線運營網(wǎng)。該網(wǎng)絡主要為全校師生提供校內(nèi)無線的全面覆蓋，包括宿舍區(qū)的無線接入，教學辦公區(qū)的無線接入等。有線辦公網(wǎng)與無線運營網(wǎng)絡互相融合，共用一套接入認證系統(tǒng)，師生可以方便的通過有線，無線網(wǎng)絡訪問到校園網(wǎng)數(shù)據(jù)中心的各種應用。在訪問互聯(lián)網(wǎng)時，認證計費系統(tǒng)可以智能的把老師的互聯(lián)網(wǎng)流量導向到辦公網(wǎng)出口鏈路上，學生的互聯(lián)網(wǎng)流量導向到對應的運營網(wǎng)出口鏈路上。本網(wǎng)絡主

16、要以校園網(wǎng)的原有有線網(wǎng)絡為基礎，主要作用是為學校各職能單位提供安全穩(wěn)定的有線網(wǎng)絡接入服務，以及為校園網(wǎng)應用提供安全穩(wěn)定的運行環(huán)境。全網(wǎng)分為辦公網(wǎng)有線接入?yún)^(qū)，網(wǎng)絡管理服務器區(qū)，核心區(qū)，互聯(lián)網(wǎng)出口區(qū)四大區(qū)域。辦公網(wǎng)核心區(qū)：提供全校辦公網(wǎng)各個區(qū)域的數(shù)據(jù)安全交換，保證全校師生可以通過無線運營網(wǎng)訪問到學校的數(shù)據(jù)中心的各種校內(nèi)應用。網(wǎng)絡管理服務器區(qū)：承載全校的各種校內(nèi)應用，包括教務系統(tǒng)，教學資源系統(tǒng)，學校的各種智慧化應用。為這些應用提供安全穩(wěn)定的運行環(huán)境。以及運行認證系統(tǒng)，網(wǎng)管系統(tǒng)等?；ヂ?lián)網(wǎng)出口區(qū)：主要為全校教職工提供安全穩(wěn)定出口互聯(lián)網(wǎng)上網(wǎng)服務。部署B(yǎng)RAS，與認證計費系統(tǒng)聯(lián)動實現(xiàn)校園網(wǎng)用戶準出認證。BR

17、AS可以根據(jù)用戶的賬戶屬性選擇對應的運營商鏈路訪問互聯(lián)網(wǎng)，同時該設備可以模擬PPPOE撥號，實現(xiàn)和運營商寬帶網(wǎng)絡的無縫對接。部署出口防火墻，保證校園網(wǎng)內(nèi)網(wǎng)的安全運行。部署上網(wǎng)行為管理系統(tǒng)，通過與認證計費系統(tǒng)聯(lián)動，實現(xiàn)互聯(lián)網(wǎng)上網(wǎng)行為的實名制審計。辦公網(wǎng)有線接入?yún)^(qū)：覆蓋全校各個教學區(qū)域，辦公區(qū)域，圖書館、自習室等公共區(qū)域，提供有線網(wǎng)絡接入服務。教學區(qū)無線接入：包括全校辦公區(qū)，教學區(qū)，圖書館，報告廳，餐廳等各個公共區(qū)域的無線接入覆蓋。宿舍區(qū)無線接入：包括全校所有宿舍的有線無線統(tǒng)一接入。網(wǎng)絡管理服務器區(qū)：部署認證計費系統(tǒng)，實現(xiàn)全校有線無線的統(tǒng)一接入認證計費。部署防代理系統(tǒng)，防止學生無線用戶共享接入互聯(lián)

18、網(wǎng)，保證投資商的投資收益。骨干網(wǎng)絡方案先進性與可行性校園骨干網(wǎng)絡本方案采用高性能數(shù)據(jù)中心交換機銳捷S8610E，采用虛擬化技術(shù)實現(xiàn)虛擬化管理，核心設備通過一體化板卡的擴充實現(xiàn)統(tǒng)一的數(shù)據(jù)表項、統(tǒng)一的管理地址、統(tǒng)一的設備配置等單臺邏輯設備的對外特征。核心層一直被認為是所有流量的最終承受者和匯聚者，承擔校園網(wǎng)骨干的高速數(shù)據(jù)交換。所以對核心層的設計以及網(wǎng)絡設備的要求十分嚴格，要求核心交換機擁有較高的性能及可靠性。否則隨著信息化建設的進一步深化，特別是隨著學校內(nèi)部資源平臺的不斷完善和豐富，核心交換機將無法滿足這些建設需求。山西工程技術(shù)學院中心機房作為園區(qū)核心層的中心，將承擔學校骨干的高速數(shù)據(jù)交換，同時為

19、未來我校構(gòu)建基于云服務架構(gòu)的智慧校園提供支撐，所以核心交換機一方面要滿足高性能的要求，另一方面要求支持云計算特性；通過比較在此方案核心層的設計中，采用兩臺高性能的核心交換機作為核心設備，構(gòu)成雙核心結(jié)構(gòu)，實現(xiàn)雙機熱備,負載均衡，設備支持OSPF協(xié)議以及虛擬化協(xié)議（將兩臺設備虛擬層一臺設備）以達到核心任意一臺設備發(fā)生故障都能保證網(wǎng)絡正常運行的目的，這一切對用戶都是透明的，因此為用戶網(wǎng)絡的正常運用提供的有利的保障。同時核心交換機支持數(shù)據(jù)中心虛擬化功能的特性：FCoE、CEE、TRILL等技術(shù)。各個匯聚節(jié)點采用雙線路方式連接到核心設備上，保證可靠性。核心區(qū)域架構(gòu)設計改造總體來講本方案設計的核心交換機需

20、要滿足一下幾個要求：高性能高端交換機性能和端口密度的提升會受到其硬件的限制，而虛擬化技術(shù)系統(tǒng)的性能和端口密度是虛擬化技術(shù)內(nèi)部所有設備性能和端口數(shù)量的總和。因此，虛擬化技術(shù)能夠輕易的將設備的核心交換能力、用戶端口的密度擴大數(shù)倍，從而大幅度提高單臺設備的性能。 此外傳統(tǒng)的生成樹等技術(shù)為了避免環(huán)路的發(fā)生，會采用阻斷一條鏈路的方式，而虛擬化技術(shù)可以通過跨設備鏈路聚合等特性，讓原本“Active-standby”的工作模式，轉(zhuǎn)變成為負載分擔的模式，從而提高整網(wǎng)的運行效率。高可靠鏈路級：虛擬化技術(shù)設備之間的物理端口支持鏈路聚合，虛擬化技術(shù)系統(tǒng)和上、下層設備之間的物理連接也支持聚合功能，這樣，通過多鏈路備份

21、提高了鏈路的可靠性。協(xié)議級：虛擬化技術(shù)提供實時的協(xié)議熱備份功能，負責將協(xié)議的配置信息備份到其他所有的成員設備，從而實現(xiàn)協(xié)議可靠。設備級：虛擬化技術(shù)系統(tǒng)由多臺成員設備組成，Master設備負責系統(tǒng)的運行、管理和維護，Slave設備在作為備份的同時也可以處理業(yè)務。一旦Master設備故障，系統(tǒng)會迅速自動選舉新的Master，以保證通過系統(tǒng)的業(yè)務不中斷，從而實現(xiàn)了設備級的備份。相比傳統(tǒng)的二層生成樹技術(shù)和三層的VRRP技術(shù)，其收斂時間從N秒級縮短到毫秒級。 高性能硬件模塊采用高性能硬件模塊實現(xiàn)，進行設備機箱見得快速檢測和設備間數(shù)據(jù)高度轉(zhuǎn)發(fā)，不依賴交換機CPU和內(nèi)存資源，適用于大規(guī)模的網(wǎng)絡，無軟件升級方

22、式帶來的弊端。超過10公里的虛擬化技術(shù)虛擬交換引擎板卡配置光接口，最遠可實現(xiàn)超過10（可以支持到10-100公里）公里的虛擬化，實現(xiàn)7*24小時的不間斷網(wǎng)絡服務。為云計算數(shù)據(jù)中心提供基礎支持未來山西工程技術(shù)學院如果需要建立基于云服務的校園網(wǎng)，核心設備支持云計算對網(wǎng)絡設備的技術(shù)要求。實施云計算第一步是對服務器進行虛擬化，虛擬化后個虛擬機之間的數(shù)據(jù)交互管理需要VEPA技術(shù)進行支持；同時存儲和網(wǎng)絡融合后需要交換機支持FCoE技術(shù)；跨區(qū)的虛擬機遷移，需要設備支持TRILL技術(shù)。核心交換機虛擬化示意圖在傳統(tǒng)網(wǎng)絡中，為了增強網(wǎng)絡的可靠性，在核心層部署兩臺交換機，所有匯聚層交換機都有兩條鏈路分別連接到兩臺核

23、心層交換機。為了消除環(huán)路，在匯聚層交換機和核心層交換機上配置MSTP協(xié)議阻塞一部分鏈路；為了提供冗余網(wǎng)關(guān)，在核心層交換機上配置VRRP協(xié)議。傳統(tǒng)網(wǎng)絡拓撲傳統(tǒng)網(wǎng)絡存在的缺陷如下所示：網(wǎng)絡拓撲復雜，管理困難。為了增加可靠性，設計了一些冗余鏈路，使得網(wǎng)絡中出現(xiàn)環(huán)路，不得不配置MSTP協(xié)議消除環(huán)路，實際應用中可能由于鏈路流量比較大導致BPDU報文丟失，MSTP拓撲振蕩，影響網(wǎng)絡的正常運行。故障恢復時間一般在秒級。如VRRP協(xié)議，狀態(tài)為master的交換機發(fā)生故障，處于backup狀態(tài)的交換機至少要等3秒鐘才會切換成master。生成樹協(xié)議為了消除環(huán)路，需要把一些鏈路阻塞，沒有利用這些鏈路的帶寬，造成資

24、源浪費。為了解決傳統(tǒng)網(wǎng)絡的這些問題，提出一種把兩臺物理交換機組合成一臺虛擬交換機的新技術(shù)，稱為VSU，全稱是Virtual Switch Unit，即虛擬交換單元。如圖 1.2所示，把傳統(tǒng)網(wǎng)絡中兩臺核心層交換機用VSU替換，VSU和匯聚層交換機通過聚合鏈路連接。在外圍設備看來，VSU相當于一臺交換機。VSU組網(wǎng)應用示意圖（物理視圖）VSU組網(wǎng)應用示意圖（邏輯視圖）極簡網(wǎng)絡核心認證設計先進性與可行性本方案通過核心采用雙NS8610E，實現(xiàn)大二層核心認證系統(tǒng)。通過這樣的集中認證+統(tǒng)一網(wǎng)關(guān)，改變整個無線網(wǎng)絡部署方式。有線、無線設備在網(wǎng)絡核心層集中認證后，部署方式更簡單，更靈活，更適合持續(xù)擴展，同時用

25、戶體驗到更快上網(wǎng)速率。統(tǒng)一網(wǎng)關(guān)部署在網(wǎng)絡核心層，網(wǎng)關(guān)性能大幅提升，無線網(wǎng)絡部署時，不再擔心性能瓶頸問題。統(tǒng)一認證、統(tǒng)一安全策略后，不存在與多套認證系統(tǒng)對接問題，方便管理。方案部署后，最大可承載90000雙棧終端同時在線，1000個/S終端快速上線，完全滿足未來10年的網(wǎng)絡演進,在網(wǎng)絡使用的高峰期，用戶上網(wǎng)仍不受影響，仍能獲得高速認證的超快體驗。原因是：交換機通過軟硬件處理機制，能夠屏蔽非法認證報文，保護認證服務器免受攻擊，保障用戶上網(wǎng)認證體驗。校園出口系統(tǒng)先進性與可行性校園網(wǎng)出口區(qū)作為校園網(wǎng)的邊界，主要負責承擔邊界網(wǎng)絡的數(shù)據(jù)轉(zhuǎn)發(fā)、流量控制、安全防護、安全審計等功能。校園網(wǎng)出口區(qū)分層功能如下圖所

26、示：出口區(qū)功能表邊界連接層處于邊界網(wǎng)的最外端，是邊界網(wǎng)中的數(shù)據(jù)交換基礎平臺，此平臺主要由邊界網(wǎng)中的路由器來。邊界連接層需要考慮以下三個方面。1. 邊界連接部署高性能的多功能網(wǎng)關(guān)來實現(xiàn)NAT轉(zhuǎn)發(fā)。2. 智能路由選路校園網(wǎng)用戶在訪問屬于不同ISP提供的信息資源時，邊界連接層需要智能的根據(jù)用戶訪問的信息資源，選擇不同的ISP（不同的廣域網(wǎng)鏈路）來進行訪問。從而避免訪問路徑跨越了不同ISP網(wǎng)絡，確保資源訪問效率最大化。3. 多鏈路負載通過ISP線路、教育網(wǎng)線路分別連接至Internet、Cernet。為了提高出口帶寬的整體利用率，同時提供鏈路冗余備份，邊界連接層必須提供多鏈路負載均衡與備份功能。出于對

27、網(wǎng)絡出口的性能和可靠性考慮，向多個運營商同時租用多條互聯(lián)網(wǎng)線路的情況在國內(nèi)是非常普遍的。但是，對于擁有兩條或兩條以上的互聯(lián)網(wǎng)鏈路的用戶，如何既保證多條鏈路帶寬被充分利用不被浪費，又保證對內(nèi)對外訪問所選擇的路徑是最快速的最優(yōu)的，安全網(wǎng)關(guān)必須支持多鏈路負載均衡技術(shù)，對多個ISP鏈路的可用性和性能進行監(jiān)督，對雙向數(shù)據(jù)流進行智能路徑選擇，從而保證用戶擁有最佳的互聯(lián)網(wǎng)接入體驗。安全防護安全防護，是出口網(wǎng)絡設計中必不可少的內(nèi)容。針對出口網(wǎng)絡中所部署的安全防護，主要有以下三個方面：報文過濾通過訪問控制列表（ACL）實現(xiàn)了靈活的各種粒度的報文過濾 ,包括：標準ACL 、擴展ACL。審計系統(tǒng)部署一套日志審計系統(tǒng)

28、，實現(xiàn)以下功能：Flow流日志：源IP、目的IP、源端口、目的端口、流起始時間、結(jié)束時間、接受字節(jié)數(shù)，發(fā)送字節(jié)數(shù)等關(guān)鍵信息出口NAT日志：經(jīng)過NAT轉(zhuǎn)換前的源IP地址、源端口，經(jīng)過NAT轉(zhuǎn)換后的源IP地址、源端和運營計費平臺無縫對接，將用戶認證上網(wǎng)信息和出口日志結(jié)合起來，實現(xiàn)快速的用戶上網(wǎng)信息統(tǒng)計和違規(guī)用戶定位。滿足公安部82號令要求。運營管理平臺建設內(nèi)容運營管理平臺建設，主要考慮建設統(tǒng)一的認證運營系統(tǒng)，實現(xiàn)有線無線統(tǒng)一認證，統(tǒng)一計費。安全運營管理系統(tǒng)設計基于標準的RADIUS協(xié)議開發(fā)的認證計費管理系統(tǒng)。要求支持現(xiàn)在網(wǎng)絡身份認證所有的方式，例如：有線802.1X的準入方式、無線802.1X的準

29、入方式、有線的web準入方式、無線的web準入方式，遠程vpn的接入方式。在同一個平臺上實現(xiàn)了所有接入方式的認證、接入控制、計費、日志管理，和對外統(tǒng)一接口等。降低用戶的投資成本，使得管理效率得到了很大的提升。高校的信息化建設首要滿足的是教學業(yè)務更好的開展，而不是以盈利為第一目標，因此業(yè)務的運營也主要集中在校內(nèi)資源和服務管理的層面。在滿足教學業(yè)務的基礎上要求校園網(wǎng)建設遵循高標準。打造信息化教育高校，實現(xiàn)全校師生能夠按照自己的意愿在任何時間、任何地點從事工作、學習和研究，學校需要有對校園網(wǎng)內(nèi)部管理的主動權(quán)。在校園網(wǎng)建設具體部署中，要求校園網(wǎng)實現(xiàn)統(tǒng)一平臺。建設智慧校園，實現(xiàn)全校“統(tǒng)一門戶、統(tǒng)一帳號、

30、統(tǒng)一運營、統(tǒng)一管理”。通過SAM認證計費系統(tǒng)方便智慧校園認證計費的統(tǒng)一管理，有線網(wǎng)絡和無線網(wǎng)絡采用同一賬號。要求校園網(wǎng)自主管控，配合規(guī)范化教學秩序，針對時間段、接入?yún)^(qū)域、用戶身份類型等方面信息對用戶進行精細化管理，在特殊時期（例如上課、熄燈、國慶、招生、兩會等）進行特殊管控。無線網(wǎng)絡建設方案無線網(wǎng)絡先進性設計無線網(wǎng)絡設計原則山西工程技術(shù)學院無線網(wǎng)絡的建設目標是實現(xiàn)全校區(qū)主要場所的無線網(wǎng)絡全面覆蓋，為滿足智能終端用戶無線上網(wǎng)、無線業(yè)務開展構(gòu)建一個真正可用的無線網(wǎng)絡。總體要求：高信號質(zhì)量：保證用戶環(huán)境下房間內(nèi)各個角落的無線信號強度-70dBm，注重滿足應用及終端使用需求；高數(shù)據(jù)傳輸性能：支持的80

31、2.11AC標準并滿足高密度用戶的無線接入需求，提供高數(shù)據(jù)傳輸速率；低干擾：確保同一房間內(nèi)同頻干擾信號強度-75dBm，提高整網(wǎng)吞吐性能，構(gòu)建真正可用的無線網(wǎng)絡；多WLAN并存：合理的信道規(guī)劃部署，實現(xiàn)多WLAN網(wǎng)絡在同一用戶場景的共存。；美觀易管理：無線網(wǎng)絡結(jié)構(gòu)簡單，需要管理的設備數(shù)量少，管理維護簡單方便，整個無線部署不影響用戶環(huán)境的美觀度；針對高安全性的數(shù)據(jù)建議采用集中式的轉(zhuǎn)發(fā)，此外，無線AC的部署方式，也需要在實施前認真規(guī)劃：AC與校園網(wǎng)核心交換機互連，無線用戶的網(wǎng)關(guān)在AC上，由AC與核心交換機通過路由，轉(zhuǎn)發(fā)無線數(shù)據(jù)。本次無線校園網(wǎng)建設，建議采用多SSID分別覆蓋的方式，老師和學生可以選

32、擇接入不同的SSID無線AP漫游設計無線校園網(wǎng)需要支持未來的高速漫游、智能漫游的需要，可以滿足低延遲的視頻、語音等業(yè)務的需要，也可以滿足隨時定制接入用戶的應用范圍等管理上的需要。無線校園網(wǎng)高速漫游解決方案支持同一AC下AP之間快速漫游，保證無線客戶端在一個子網(wǎng)內(nèi)部，從一個AP的覆蓋范圍移動到另一個AP的覆蓋范圍時，通信不中斷，用戶無需重新登錄和認證。無線校園網(wǎng)智能漫游解決方案支持系統(tǒng)靈活定義用戶的漫游范圍，可以根據(jù)用戶的身份和級別劃定其可以漫游，連接無線網(wǎng)絡的區(qū)域，為訪客、或?qū)W生、老師等定義不同的無線接入?yún)^(qū)域，例如，可以定義學生不能在主樓辦公區(qū)接入無線，可以在教學區(qū)接入無線，可以在宿舍區(qū)接入無

33、線等。訪客只能在主樓的會議室接入無線等等靈活的管理策略。無線AP供電設計由于本次無線網(wǎng)中AP設備數(shù)量較多，無線AP供電的面臨巨大的挑戰(zhàn)。對于無線AP的供電一般采用三種方式：1） 本地電源供電:采用AP自帶的直流適配器供電，對于高校無線校園網(wǎng)的環(huán)境，AP布放位置根據(jù)實際覆蓋效果而調(diào)整，AP供電在已建設完成的建筑物上較難進行本地供電。不能保障AP附近都會有電源，同時對電源的管理也是一個嚴重的問題；由于電源在吊頂內(nèi)，工作環(huán)境惡劣，由于溫度過高引起的電源短路等嚴重的安全隱患。所以本地電源供電適合于AP數(shù)量不多，只適合局部無線部署使用，而且以室內(nèi)部署為主，電源供給方便的環(huán)境。2）POE交換機供電:傳統(tǒng)的

34、802.11a、b/g的AP采用802.3af標準，15W，802.11ac的AP需要提供802.3at標準，24W。采用兼容802.2af供電方式的802.11ac的AP既可采用原有的POE交換機等設備，也能夠采用POE+交換機。在高密度的無線AP的覆蓋場景下，建議采用POE交換機供電方式，選用支持802.3af兼容AP。采用低功耗的802.11ac AP，兼容802.2af，節(jié)省投資；低碳、節(jié)能、綠色環(huán)保；3）POE供電適配器的方式:在AP數(shù)量不多場景下，如果采用POE交換機供電，會有浪費，增加了用戶的成本，同時，無線和有線一般是同時部署的。在有線接入交換機的接口有剩余的情況下，采用外接P

35、OE供電適配器的方式，將能充分利用現(xiàn)有的有線交換機，不用再增加專用的POE交換機，而極大地節(jié)省了用戶的投資。POE供電適配器，適合于無線AP節(jié)點數(shù)量不多的場所。無線覆蓋方案基于場景無線覆蓋規(guī)劃WLAN建設場景分為行政、教學、辦公區(qū)域、宿舍區(qū)域、室外覆蓋區(qū)域：此次無線網(wǎng)絡覆蓋場景主要分為以下類型：教學樓、辦公樓及圖書館等大開間環(huán)境下的無線部署針對教學樓，由于教室一般面積較大，內(nèi)部寬敞無阻擋，房間多采用木門，且在走廊側(cè)會有大型玻璃窗體。又由于該區(qū)域主要用戶為上課教師或部分自習的學生，主要業(yè)務就是瀏覽網(wǎng)頁查找資料，對網(wǎng)絡質(zhì)量要求相對不是很高。因此，可以在該區(qū)域采用稀疏的放裝式部署方案：將AP放在走廊

36、里，覆蓋走廊兩側(cè)的房間，一個AP可覆蓋直徑20-30米。此次項目中無線采用的是RG-AP520-I銳捷網(wǎng)絡的新一代AP，搭載全新自主研發(fā)的X-sense靈動天線。該天線也屬于智能天線的一種，它綜合了交換波束天線和自適應陣列天線的優(yōu)點，在對于簡單環(huán)境下的用戶接入，使用近似于交換波束的天線選擇方式去完成用戶快速高性能接入，而在復雜和干擾環(huán)境下，又能夠通過強大的軟件算法，控制多天線的組合來達到更好的效果，同時銳捷的智能天線技術(shù)還增加了對移動終端無線接入的識別和優(yōu)化，這些都是銳捷網(wǎng)絡在AP智能天線技術(shù)上巨大創(chuàng)新，所以，銳捷網(wǎng)絡的X-sense也被稱為會思考的的靈動天線。X-sense靈動天線65536

37、種天線路徑選擇，覆蓋無死角業(yè)界創(chuàng)新研發(fā)的X-sense靈動天線矩陣架構(gòu)，能夠動態(tài)選擇不同的天線組合，支持最高多達65536種組合方案，徹底解決傳統(tǒng)天線存在覆蓋盲區(qū)的弱點。無論在任何角落，X-sense都能定制出一條最適合移動智能終端當前位置的天線天線路徑，真正實現(xiàn)全面覆蓋，絕無死角。信號覆蓋對比全自動調(diào)節(jié)，讓信號隨你而“動”無論終端如何移動，都有最佳的信號路徑跟隨，這是X-sense靈動天線技術(shù)帶來的革命性改變。無需人工干預，X-sense憑借其強大的運算性能，可以在1毫秒內(nèi)完成300次指向終端的信號路徑切換，即便在快速奔跑狀態(tài)下也能保證時刻都有最佳的信號與終端同“行”。X-sense信號追蹤

38、示意圖功率不變，卻有3倍的信號提升X-sense能夠精確計算終端的位置，并通過動態(tài)組合的天線模式，針對每個終端位置來提升不同的信號強度，最大可以提升到普通AP的3倍，這使得覆蓋范圍內(nèi)無論遠近的各個點都能接收最佳信號。而且完全不用擔心由此帶來的輻射增加，因為增強的信號強度都全部被用來抵消傳輸路徑和穿透墻壁的損耗，AP的發(fā)射功率都是完全符合國家標準。X-sense信號強度提升終端接入優(yōu)化設計，更適合手機和平板電腦用戶當移動智能終端接入無線網(wǎng)絡時，X-sense會快速、準確的識別到終端的類型，如果是使用功率較低的手機、平板電腦等移動終端時，X-sense能夠通過動態(tài)信號補償技術(shù)，針對移動終端提升接收

39、靈敏度、增加重傳，保證所有的終端都能獲得最優(yōu)的接入效果。X-sense針對不同終端的補償示意干擾降低30%，部署更輕松干擾是無線網(wǎng)絡的最大難題，特別是當在狹小的空間部署大量AP時，干擾影響會尤為明顯，X-sense根據(jù)使用者位置自動調(diào)整無線信號的輸出方向，當受到干擾時，能夠自適應選擇更優(yōu)的路徑避開干擾，這項技術(shù)經(jīng)測試可以將干擾的影響有效降低30%以上！干擾對比圖宿舍樓等密集環(huán)境下的無線部署宿舍區(qū)域的房間比較密集墻壁較厚而且靠近走廊側(cè)沒有窗戶。對于無線信號的穿透有著一定的影響。因為對于無線部署提出了較高的要求，不僅要同時滿足良好覆蓋和性能需求并解決干擾問題。如果采用AP放裝部署在走廊，無線信號輻

40、射進宿舍對宿舍單邊分布的建筑結(jié)構(gòu)覆蓋34個房間的這種部署方式，容易產(chǎn)生無線覆蓋的盲區(qū)和AP的干擾問題，最終導致無線使用效果極差。本次方案中對于學校的學生宿舍的無線部署采用了智分+部署方案，通過采用面板式的微AP進行無線信號覆蓋，同時為每個房間提供有線接口，用戶可以根據(jù)自己的需求自由選擇有線接入或者無線接入，從而保障用戶最佳的上網(wǎng)體驗，由于每房間均部署了一臺微AP，使得性能不再成為瓶頸。由于采用AP入室的部署方式，解決了傳統(tǒng)AP在室外放裝部署穿墻覆蓋室內(nèi)帶來的信號衰減嚴重、同頻干擾大的問題，特別是有鐵門無窗戶的宿舍網(wǎng)環(huán)境。智分+方案通過微AP入室的部署方式，每AP負責一個房間的信號覆蓋，在實地部

41、署和測試中，每個房間的信號可達到-65db以上，保證了房間內(nèi)無線信號滿格。校園室外公共區(qū)域無線部署考慮到校園室外公共區(qū)域空間較大并且存在一些障礙物，可以采用室外型接入點RG-AP630，雙路均具備500mW雙向功率放大能力，可根據(jù)不同的室外環(huán)境和覆蓋需求，配合相應的外接天線，帶來飽滿的信號覆蓋體驗，可完全保障信號在室內(nèi)和戶外的傳輸。室外區(qū)域分布有較高、密集的建筑群和植物群，這對于信號的阻擋將是較大的障礙。因此，應當選用專用的室外大功率無線AP產(chǎn)品，配置使用定向天線，可以保證無障礙下的300米半徑覆蓋以及近距離的多重障礙物的穿透能力，完全保證了室外區(qū)域的信號覆蓋品質(zhì)，同時設備本省具備抗雷擊、防雨

42、、防潮、抗高低溫、阻燃等多項指標，無線室外覆蓋，建議部署在小區(qū)內(nèi)的制高點上，同時采用定向天線向進行無線覆蓋。室外AP 無線多SSID設計為了滿足多家運營商接入需求，避免多運營商單獨建網(wǎng)導致的無線信道沖突、用戶無線有效帶寬降低等情況，在校園無線承載網(wǎng)上采用多接入設計思路，通過多SSID設計來實現(xiàn)。無線用戶根據(jù)自身的連接需求分別通過不同的SSID接入不同的網(wǎng)絡。AC根據(jù)SSID的不同，將用戶劃分入不同的VLAN，最終實現(xiàn)不同的用戶通過不同的SSID接入校園網(wǎng)，不同VLAN之間互不干擾。不同SSID可根據(jù)需要采用集中轉(zhuǎn)發(fā)或者本地轉(zhuǎn)發(fā)模式，滿足業(yè)務開展與認證管理的需要。無線接入認證設計終端智能識別的W

43、EB認證無線網(wǎng)絡在提供便捷網(wǎng)絡服務的同時，仍需確保只有合法的用戶才能使用無線網(wǎng)絡。WEB認證就是一種對用戶訪問網(wǎng)絡的權(quán)限進行控制的身份認證方法，這種認證方法不需要用戶安裝專用的客戶端認證軟件，使用普通的瀏覽器軟件就可以進行身份認證，是目前無線主流的認證方式之一。而且隨著近年來iPhone、iPad、Android、WindowsPhone等各種智能能移動終端的日益普及，網(wǎng)絡中不再是清一色的筆記本電腦終端。一個智能的無線網(wǎng)絡，必須能夠考慮到不同的終端類型、屏幕尺寸對Portal 認證頁面的不同要求，實時地對各種終端類型進行識別，并推送符合終端屏幕尺寸的WEB Portal 頁面，使用戶能夠更為便

44、捷的輸入用戶名及密碼，提升無線用戶體驗。銳捷網(wǎng)絡的無線控制器不僅支持終端自動識別功能和WEB Portal頁面推送，而且推送的認證頁面還可以根據(jù)用戶自定義放置一些廣告、通知、業(yè)務鏈接等，提供更多個性化服務。自適應認證頁面二維碼認證對于校園內(nèi)的一些開放區(qū)域在學校舉行一些活動時需要對校外訪客進行臨時無線網(wǎng)絡開放，于是這些訪客人員的無線網(wǎng)絡使用時的認證又該如何管理才能有確保接入的安全性和使用的便捷性，成為學校網(wǎng)絡管理人員需要解決的問題。極簡方案支持通過銳捷網(wǎng)絡無線與RG-SAM的訪客管理功能實現(xiàn)二維碼認證和短信注冊認證來解決以上問題。讓訪客更安全，易用，給信息中心價值呈現(xiàn)帶來幫助。擔保人按照自己的臨

45、時賬號開通級別申請一個二維碼，然后可以提供給訪客使用。每個臨時賬號都會與擔保人關(guān)聯(lián)，以后可以提供相關(guān)統(tǒng)計或?qū)徲嫻δ埽芾韱T可以掌握每一個臨時賬號是由那個擔保人開通。 每一個二維碼都是有時效的，超過時效后對應的在線用戶被強制下線，同時預銷戶對應的所有臨時賬號。方便網(wǎng)絡管理人員對于臨時賬號的管理工作。 高校訪客二維碼，訪客只需要拿出手機掃一下二維碼就可以體驗上網(wǎng)了，提高訪客入網(wǎng)體驗。之授權(quán)二維碼使用流程：a.管理員設置擔保人級別（可接待用戶數(shù)），b.擔保人自助生成二維碼，并將二維碼打印出來，c.訪客拿自己的手機掃描二維碼上網(wǎng)。訪客的上網(wǎng)行為和擔保人關(guān)聯(lián)，安全性高?？稍O置擔保人一對一接待/一對多接待

46、方案。適用于小規(guī)模接待之公共二維碼使用流程：a.管理員設置公共賬號，生成二維碼，并打印出來，b.訪客拿自己的移動終端上網(wǎng)掃描認證上網(wǎng)。共享同一賬號，適合大規(guī)模方案來上網(wǎng)，且對安全可控要求不高的場景。另外還有一種方式就是采用短信注冊認證的方式針對訪客用戶數(shù)量較大的場景，比如學校舉行大型的學術(shù)或慶典活動。用戶在認證頁面上通過手機號自主注冊網(wǎng)絡賬號進行網(wǎng)絡認證。以上訪客方案極簡網(wǎng)絡均可以提供。無線安全技術(shù)設計通常情況下，安全認證工作由網(wǎng)關(guān)類設備完成，對于山西工程技術(shù)學院部署的無線網(wǎng)絡，作為校園網(wǎng)的一部分，必須確保接入的網(wǎng)絡用戶的合法性。由于無線信號的公開性，采取傳統(tǒng)的網(wǎng)關(guān)認證的模式，將所有的認證數(shù)據(jù)

47、集中在網(wǎng)關(guān)設備進行，只能限制學生訪問數(shù)據(jù)經(jīng)過認證網(wǎng)關(guān)的情況，而對于不經(jīng)過認證網(wǎng)關(guān)的校內(nèi)網(wǎng)訪問無法起到有效的阻止作用。學生數(shù)據(jù)加密安全AP通過WEP、TKIP和AES加密技術(shù)，為接入學生提供完整的數(shù)據(jù)安全保障機制，確保無線網(wǎng)絡的數(shù)據(jù)傳輸安全。虛擬無線分組技術(shù)通過虛擬無線接入點（Virtual AP）技術(shù)，整機可最大提供16個ESSID，支持16個802.1QVLAN，網(wǎng)管人員可以對使用相同SSID的子網(wǎng)或VLAN單獨實施加密和隔離，并可針對每個SSID配置單獨的認證方式、加密機制等。標準CAPWAP加密隧道確保傳輸安全無線AP接入點與無線控制器以國際標準的CAPWAP加密隧道模式通信，確保了數(shù)據(jù)

48、傳輸過程中的內(nèi)容安全。射頻安全在一體化網(wǎng)管系統(tǒng)、RG-WS系列無線控制器產(chǎn)品的配合下，智分型AP可啟用射頻探針掃描機制，實時發(fā)現(xiàn)非法接入點、或其它射頻干擾源，并提供相應的告警，使網(wǎng)管人員可隨時監(jiān)控各個無線環(huán)境中的潛在威脅和使用狀況。ARP欺騙的防護ARP檢測功能有效遏制了網(wǎng)絡中日益泛濫的ARP網(wǎng)關(guān)欺騙和ARP主機欺騙的現(xiàn)象，保障了學生的正常上網(wǎng)。無論在動態(tài)分配IP環(huán)境下，還是靜態(tài)分配IP環(huán)境下，均可實現(xiàn)自動綁定工作，大大的節(jié)省了人力成本，降低了管理開銷。而配合ARP速率監(jiān)控控制ARP報文發(fā)送的速率，防止惡意利用掃描工具進行ARP泛洪占據(jù)網(wǎng)絡帶寬，導致網(wǎng)絡擁塞的攻擊行為。DHCP安全支持DHCP

49、 snooping，只允許信任端口的DHCP響應，防止未經(jīng)管理員許可私自架設DHCP Server，擾亂IP地址的分配和管理，影響學生的正常上網(wǎng)的行為；并在DHCP監(jiān)聽的基礎上，通過動態(tài)監(jiān)測ARP和檢查源IP，有效防范DHCP動態(tài)分配IP環(huán)境下的ARP主機欺騙和源IP地址的欺騙。無線QOS設計802.11的WLAN網(wǎng)絡為用戶提供了公平競爭無線資源的無線接入服務，但不同的應用需求對于網(wǎng)絡的要求是不同的，而原始802.11網(wǎng)絡并沒有提供區(qū)分業(yè)務優(yōu)先級的機制，不能為不同應用提供不同質(zhì)量的接入服務。當網(wǎng)絡發(fā)生流量擁塞時，需要優(yōu)先處理的業(yè)務報文（例如語音報文）和普通報文（例如瀏覽網(wǎng)頁的報文）會按相同的概

50、率被丟棄。這和有線網(wǎng)絡相對完善的QOS機制無法很好的銜接，已經(jīng)不能滿足實際應用的需要。WLAN QOS能針對各種不同需求，提供不同的網(wǎng)絡服務質(zhì)量。對實時性及可靠性要求高的數(shù)據(jù)報文提供更好的服務質(zhì)量，并進行優(yōu)先處理；而對于實時性不強的普通數(shù)據(jù)報文，則提供較低的處理優(yōu)先級。802.11e只實現(xiàn)了無線空口的業(yè)務優(yōu)先級區(qū)分、高優(yōu)先級業(yè)務優(yōu)先保障帶寬，沒能解決如何在全網(wǎng)實現(xiàn)端到端的QoS問題。銳捷無線控制器（AC）+ FIT AP的端到端QoS解決方案不僅解決了無線接入點和無線用戶直接在無線介質(zhì)上的QoS，而且還通過將無線用戶的優(yōu)先級映射與無線控制器FIT AP間的CAPWAP隧道優(yōu)先級，結(jié)合有線網(wǎng)絡Q

51、oS機制進而實現(xiàn)了全網(wǎng)的端到端QoS。IEEE 802.11協(xié)議規(guī)定采用的DCF（Distributed Coordination Function，分布式協(xié)調(diào)功能）調(diào)度模式是基于CSMA/CA（Carrier Sense Multiple Access with Collision Avoidance，載波監(jiān)聽/沖突避免）原理，使得所有終端用戶獲取到信道的機會是均等的。IEEE 802.11e為基于802.11協(xié)議的WLAN體系添加了QoS特性，這個協(xié)議的標準化時間很長，在這個過程中，Wi-Fi組織為了保證不同WLAN廠商提供QoS的設備之間可以互通，定義了WMM（Wi-Fi Multime

52、dia，Wi-Fi多媒體）標準。WMM標準使WLAN網(wǎng)絡具備了提供QoS服務的能力。WMM通過將數(shù)據(jù)報文劃分為4個接入分類（AC）隊列，高優(yōu)先級AC占用信道的機會高于低優(yōu)先級AC，從而能針對每類報文提供不同級別的服務。無線數(shù)據(jù)流分隊列為了使有限的網(wǎng)絡資源能夠更好地發(fā)揮效用，更好地為更多的用戶服務，設備需要支持流量限速功能。當數(shù)據(jù)流量符合承諾速率時，允許數(shù)據(jù)包通過；數(shù)據(jù)流量不符合承諾速率時，丟棄數(shù)據(jù)包。評估流量的參數(shù)如下：平均速率（average-data-rate）即允許的流的平均速度，也叫承諾信息速率。突發(fā)速率（burst-data-rate）即每次突發(fā)所允許的最大的流量，也叫承諾突發(fā)尺寸。

53、設置的突發(fā)尺寸必須大于最大報文長度。為了保證端到端的QOS，銳捷無線網(wǎng)絡提供了無線QOS到有線QOS以及有線QOS到無線QOS的映射關(guān)系，進而實現(xiàn)了全網(wǎng)的端到端QoS。銳捷網(wǎng)絡無線產(chǎn)品支持多種服務質(zhì)量QOS，支持802.11e中的EDCF優(yōu)先級，支持以太網(wǎng)口支持802.1p識別和標記。支持優(yōu)先級隊列及映射、流量限制、流分類。并且能夠?qū)OS策略映射不同SSID/VLAN。無線QOS映射無線覆蓋指標要求無線覆蓋信號覆蓋區(qū)域信號強度不低于-75dBm，信噪比SNR20。業(yè)務使用較為集中區(qū)域的接入速率應不低于140Mbps。室內(nèi)分布系統(tǒng)天線的等效全向輻射功率7dBm。室外分布系統(tǒng)天線、獨立WLAN天

54、線的等效全向輻射功率22dBm。室外覆蓋方式時，WLAN無線信號一般按穿透一堵墻設計。工作頻段與頻點規(guī)劃依照WLAN的國際規(guī)范和國際無線電管理委員會的標準，WLAN無線設備的工作頻段為2400-2483.5MHz，帶寬83.5 MHz，劃分為14個子信道，每個子頻道帶寬為22 MHz, 最多有13個信道可用。頻道分配如下圖所示：無線頻段在多個頻道同時工作的情況下，為保證頻道之間不互相干擾，要求兩個頻道的中心頻率間隔不能低于25 MHz?？紤]參照北美標準設計的許多WLAN設備和終端（比如網(wǎng)卡）不能使用12、13信道做為學生信道，因此建議一般選用1/6/11信道。部署雙頻點的無線接入點，802.1

55、1n同時工作在2.4GHz和5GHz頻點；5GHz：更多的頻譜資源-數(shù)量較多的不沖突頻點，更少的干擾（藍牙、微波爐），從40MHz信道綁定獲得最高的性能，很多802.11n的客戶端只有在5GHz頻段上支持40MHz；2.4GHz：采用2.4GHz頻點，兼容原有的802.11a、b/g的客戶端；不建議在2.4GHz頻點使用40MHz信道綁定，大部分客戶端不支持；避免了802.11a、b/g與802.11n混用，降低性能。通過對山西工程技術(shù)學院初步勘測，發(fā)現(xiàn)目前樓宇內(nèi)已經(jīng)部署移動和電信的無線信號，故在本次無線項目實施過程中，將根據(jù)目前發(fā)現(xiàn)樓宇內(nèi)存在的無線信號所使用的頻段，進行靈活調(diào)配，將無線信號干

56、擾降到最低。覆蓋效果計算AP的信號總強度公式：GtGrAP天線增益終端天線增益L信號總強度（dB）。AP部署空曠區(qū)域，20-25米遠，筆記本無線接入計算（基于dBm）無線AP發(fā)射功率100mW發(fā)射功率（高調(diào)制速率時發(fā)射功率會下降25db）20增項室內(nèi)定向發(fā)射天線增益12dBi12筆記本天線增益2dBi2減項參考平均3米7D饋線損耗；-10一般情況：由于天線不對正，不再主波瓣情況的調(diào)整-52.4G/5.8G空間傳播20米-66/-74（2.4G 10米60dB，5.8G 10米68dB，每1倍變化差6dB）各種衰落/波動影響（室內(nèi)、市區(qū)15dB)-15根據(jù)較壞情況接受電平RSSI發(fā)射功率增項減項

57、（95dBm）33/25計算的RSSIRSSI為20以上可以實現(xiàn)滿速率，RSSI為16是較好，RSSI為13是可以連接的，RSSI在510連接很不穩(wěn)定信號質(zhì)量好 可以達到滿速率無線方案特色無線降噪技術(shù)帶來的體驗提升傳統(tǒng)Web認證場景中, 是由交換機將所有http報文全部重定向到服務器，很多無線終端搜索到無線信號號即會產(chǎn)生關(guān)聯(lián)，根據(jù)經(jīng)驗這個比率大概有1/4用戶規(guī)模。 2.終端或PC上存在眾多軟件，例如迅雷/QQ等會持續(xù)發(fā)出HTTP連接，并可能不斷重試。這樣迅雷等下載軟件，QQ等社交程序也會被重定向，并進行WEB認證跳轉(zhuǎn)，大量非認證HTTP發(fā)送給NAS和Portal，導致NAS和Portal處理性

58、能受到影響。當Portal的處理性能不足以處理大量并發(fā)HTTP連接（通常性能在百/S的處理級別），會導致Portal服務器崩潰或彈出WEB頁面慢。這樣就導致服務器大量的WEB認證處理資源被浪費，最終無法為正常的認證用戶提供服務。NS8610E采用銳捷獨有的HTTP WEB降噪功能+32核CPU的高性能主控處理，通過對迅雷/QQ等軟件發(fā)送的HTTP報文進行識別，NS8610E特有抑制功能將不再發(fā)送給PORTAL服務器，保障Portal服務平穩(wěn)運行。這里我們利用了非頁面訪問無法解析http腳本文件的特性，避免服務器收到非頁面訪問的http報文，實現(xiàn)對服務器的降噪功能。分布式過濾技術(shù)：Newton

59、交換機提供采用32核CPU的管理板通過多核的并發(fā)處理，首先在控制面上使我們對這類噪聲的處理能力大大加強。同時在轉(zhuǎn)發(fā)面采用了分布式過濾技術(shù)，階段放行的抗攻擊手段，分布式過濾技術(shù)即在線卡上可以識別出哪些http報文是需要馬上處理，哪些http報文可以暫時丟棄；階段放行技術(shù): 記錄來自同一個終端的http報文存在的時間，例如：對于已經(jīng)存在30s以上的報文，并且有其他新終端來的http連接，且整體已經(jīng)處于飽和狀態(tài)，這時就會暫時丟棄已經(jīng)長期存在的http報文，并將所有存活超過30s以上的報文采用FIFO方式排序，在系統(tǒng)無新終端的http報文需要處理，或者處于非飽和狀態(tài)時，再繼續(xù)處理這些長時間存在的報文；

60、基于以上的獨特優(yōu)化設計，帶來了無線用戶的體驗提升。（如下圖為實例）根據(jù)經(jīng)驗，無線AC的集中認證性能在6-7K左右比較合理，用戶量增長后，由于CPU處理性能及迅雷、QQ等帶來的WEB噪聲問題，將會導致AC的CPU利用率增高，特別是在教育網(wǎng)用戶由于學生使用規(guī)律（例如集中上線、停電恢復場景下）導致的大量并發(fā)，導致高峰期WEB彈出滿、噪聲攻擊導致portal服務器性能不足的問題，NS8610E都可以解決。NS8610E采用32核高性能CPU及防噪聲機制，1000/S的并發(fā)處理性能保證用戶良好認證體驗。以某高校的實際數(shù)據(jù)舉例：二維碼訪客認證對于校園內(nèi)的一些開放區(qū)域在學校舉行一些活動時需要對校外訪客進行臨