抚顺职业技术学院无线网络建设方案.PDF 39页

抚顺职业技术学院无线网络建设方案 1.1 项目概述 1.1.1 项目背景 抚顺职业技术学院无线项目作为抚顺职业技术学院“数字化校园”建设的组成部分，将覆 盖办公区、教学区及图书馆、体育场、寝室区及公共室外环境。通过搭建校园无线网络， 实现在校师生随时随地访问校内及互联网资源，改善网络接入体验。 1.1.2 项目建设目标 抚顺职业技术学院项目无线解决方案根据不断整合和优化校园网的工作思路，依照 2012 年 教育部颁发的《教育信息化十年发展规划（2011-2020 年）》中对“基本实现宽带网络完 全覆盖”和“高校数字校园建设”发展规划，结合抚顺职业技术学院的实际情况，编制本 设计方案。 本方案的总体目标是设计符合抚顺职业技术学院实际楼体结构的无线信号无盲区覆盖，实 现安全而便捷的校园网无线接入，提升居在校师生的网络使用体验，促进学校信息化管理 和服务的发展。 1.1.3 方案设计思路 根据抚顺职业技术学院项目无线覆盖的要求，方案通过对抚顺职业技术学院进行实地无线 地勘，结合用户使用网络的习惯，将无线网络延伸至学校的每个角落。 图21 无线方案设计思路 1.1.3.1 稳定的无线覆盖 无线信号由于会受到天气、周边环境及已经部署在学校场景的其他无线信号源的干扰，确 保新建无线信号的稳定是本次建设的首要解决的问题。通过实际环境地勘，测试无线信号 等方法，确定影响本次无线建设的各种因素，进行综合分析，确保新建无线网络在信号稳 定、无盲区的覆盖。 1.1.3.2 安全的无线覆盖 无线网络通过广播 SSID 的方式，为信号覆盖范围内的终端提供无线接入的信息点，由于无 线信号的开放性，如何有效阻止未授权用户接入无线网络是确保无线网络稳定的前提。在 无线网络覆盖安全方面，将采用强制接入认证、非法 AP 抑制等技术手段，确保接入无线网 络用户的合法性和唯一性。 1.1.3.3 可控的无线覆盖 本次项目建设具备范围广、用户多和新增设备多等特点，做到对网络所涉及到的设备资源 的可控，使得该网络中的所有设备运行在最佳状态，整体提升无线网络的健壮性。 1.1.4 方案价值点 根据抚顺职业技术学院建设无线网络的需求，同时结合抚顺职业技术学院实际部署环境， 锐捷网络提出了 “抚顺职业技术学院项目无线部署解决方案”，整体方案在满足无线网络 建设底层需求的同时，着力于改善抚顺职业技术学院在校师生使用无线网络的体验，最终 为数据传输、业务系统服务及运维管理提供夯实的无线网络基础平台。 1.1.4.1 无线覆盖无盲区、高性能 通过适应不同场景的不同部署方式，尤其采用“灵动天线”解决复杂环境的覆盖问题，以 及采用锐捷创新的业界标准 “高性能 面 AP”解决用户密集房间部署难的问题，确保在各 种环境下，各个目标空间的任意角落无线信号强度-60dBm ，对于寝室区域采用锐捷创新 的智分方式进行部署，将天线延时至每个房间内，提供高密度房间厂家的信号良好覆盖。 通过 801.11n 、801.11ac 高速无线技术，在提供适合场景需要的的高无线性能，满足应用及 终端使用需求。 1.1.4.2 认证系统更安全、更便捷 融合 Web 认证和 801.1x ，既安全又便捷。同时采用锐捷特有的“一次认证、终身免认证 的无感知认证方式和二维码授权认证方式，让学校师生以及访客使用无线网络更加便捷， 免除反复输入密码的麻烦。 1.1.4.3 网络管理更全面、更简单 通过有线无线一体化管理，以及无线独有的热图、定位、频谱分析、无线探针等功能，以 及可视化的良好展示，让网管非常高效易用。 1.1.5 无线场景情况 无线覆盖区域包括行寝室区、办公楼、生活区、体育场、食堂、图书馆、交流中心。 实际环境情况如下： 寝室区： 共 7 个寝室楼，走廊房间较多，部分为铁门，并且房间内柜子、床、电脑座均为金属材质， 并且摆放较为紧密。 办公楼： 每层楼会有很多小办公室及一个大办公室，房间较为紧密，并且 体较厚。 生活区： 室外区域，活动面积较为空旷。 体育场： 室外区域，活动面积较为空旷。 食堂： 面积非常的大及空旷，并且容纳人数非常的多，在高峰时间室内人数过千。 图书馆： 每层楼会有空旷的阅读区及有6 个小办公室及 2 个大办公室及两个图书室，图书馆正门区 域为无线覆盖区域。 交流中心： 交流中心分左右侧，左侧办公区较多，房间较为紧密，1F 有 12 个房间、2F-5F 有 13 个房间。 右侧3F 以上为宾馆区，房间较为紧密，每层楼有 20 个房间。 大开间、高密度的环境主要分布在图书馆、阶梯教室及报告厅等，该类场景具备空间大， 用户相对集中的情况，针对该类情况，可以采用放装的方式，确保该场景无线信号的覆盖 同时根据单位区域内接入的用户数，可以分布无线 AP 的部署位置，确保该区域内的信号覆 盖及接入性能。 图22 房间密集型 该场景主要集中在办公区，通过地勘发现， 体结构比较牢固，为了实现信号覆盖的无盲 区，可以采用 面 AP 形式进行部署，通过 面 AP 实现AP 在房间内，提供优秀的无线网络 覆盖效果。 图22 宿舍走廊区域 （此图片明显是医院） 狭长走廊：无线信号在狭长的空间中被来回的反射，形成“多径干扰” 信号覆盖：墙壁厚、独立卫生间、信号穿不透。 性能要求：宿舍网人数多，传递图片多，对无线的性能要求高。 图22 宿舍内部区域 可以采用智分的方式，将天线送达到房间内，提供每个房间良好的信号覆盖效果，并且通 过智分 AP 的特性，射频芯片部署在天线内，提供每个房间并行的传输效果，从而改变无线 的先进先出的传输协议，提供每个房间公平的信号传输体验。 1.1.6 用户终端类型分析 随着信息化的迅速发展，移动终端的类型也越来越多，如笔记本、PAD、手机等对终端的 性能要求越来越高，终端网卡类型由单流单频网卡、双流单频网卡到现在主流的双流双频 网卡，如 IPAD 4、Iphone 5、三星GALAXY 等都支持5G ，为更好的分流，将尽可能支持5G 的终端自动连接到 5G 射频卡上，来减轻1.4G 的压力，即在学校部署无线网络时，当1 台 AP 上连接人数较多时，最好使用双流双频的设备。 1.1.7 现网问题 无线网络设备较为分散，并且接入设备较为复杂，无法有效管理及维护，带来较大的维护 压力。 食堂区域属于对外开放区域，需要精细化的运营，提供提高运营的认证方式，但现网无法 满足。 无线网络终端较为复杂切较为开放，现网暂无防代理设备，无法实现全网实名制的安全保 护及影响了运营策略。 无线网络上线之后，在线的终端会大量增加，出口压力较大。 图23 现网问题 1.1.8 需求分析 1. 保证学校每一个无线区域，保证优质的无线覆盖效果，提升用户的使用体验。 1. 优化出口带宽，提高网络访问体验，通过快速的网络使用体验，提升用户的使用感受。 3. 要求无线网络提供安全的准入方式，保证网络的安全，避免病毒、攻击通过无线网络带 来网络的安全风险，并且对无线用户实现客观可控，实现分区域的网络使用权限划分。 4. 为保证有效的实名制管控、实现全面的安全审计、保证网络运营效益，提升网络安全性 实现防代理功能。 5. 对于食堂等对外性的区域，实现微信的认证方式，增加学校公众账号价值。 6. 对于无线网络进行集中管理、配置集中上收，实现极简无线的网络环境，减轻维护压力 并且通过运维管理系统实现集中整合的数据收集及运维审计管理。 1.1.9 总体目标 1、通过基于场景的无线部署方式，提供学校不同场景的信号良好覆盖，保证用户的使用体 验。 2、通过网络加速设备，将外网资源内网化，并且提供热点资源的门户系统，建立学校自己 的资源库，从而进一层度的提升用户使用体验，减轻出口带宽压力。 3、通过现网认证系统与无线设备进行配合，实现分区域的认证方式，提供每个场景、区域 的用户使用体验，并且规划安全策略，管控用户的上网行为及准入策略。 4 、通过专业的防代理设备，对用户接入信息进行集中管控，杜绝代理情况，实现一机一号 的使用效果，提升网络安全性，保证学校网络运营。 5、通过行为管理设备与认证系统进行配合，实现对于公共对外区域的认证方式提供微信认 证的方式，进一步提升学校的运营策略。 6、通过现网的高性能核心设备将无线的用户网关上收，实现全网有线、无线统一架构，扁 平化网络，实现真正的极简网络。 1.1.10 方案设计原则 1.1.10.1 无缝覆盖 本次无线校园网建设采取标准的801.11ac 网络协议标准，提供不低于 1.3Gbps 的单个 AP 的 无线带宽接入能力，提供高性能的无线覆盖。 无线信号覆盖整个抚顺职业技术学院园区用户办公区所有房间，保证被覆盖需求的网络访 问流畅。提供数据接入业务，让用户能够快捷的访问丰富的校内资源。同时，必须利用现 在的院校有线资源，做到有线、无线混合组网，避免用户投资的浪费。 1.1.10.2 多种服务支持 基于校园级网络的未来可持续发展，无线网络规划应为未来发展多媒体、高带宽的无线宽 带应用（如，无线语音应用、无线视频会议应用、无线监控、无线多媒体通信应用等）打 下基础，并提供低成本的无缝升级和先后兼容。无线系统需要具有 IPv6 协议和流量的分类 转发和管理能力。 1.1.10.3 安全性 网络必须具有良好的安全防范措施和密码保护技术，灵活方便的权限设定和控制机制，使 系统具有多种有效手段，防范各种形式对网络的非法入侵和内部攻击，以保证网络的实体 安全、网络安全、系统安全和信息安全，有效地保障正常的业务活动和防止内部信息数据 不被非法窃取、篡改或泄漏。因此系统应分别针对不同的应用和不同的网络通信环境，采 取不同的措施，包括系统安全机制、数据存取的权限控制等。 1.1.10.4 兼容性 本次建设的无线网络能够很好的与现有的抚顺职业技术学院校园网兼容，对于无线用户接 入校园网的用户，采用统一身份准入系统，该准入将与目前学校采用的认证系统进行无缝 对接，实现对用户访问资源的统一管理和认证。 1.1.10.5 扩展性 在网络规模不断发展的情况下，无线网络应满足在不改变主体架构与大部分设备的前提下 平滑实现升级和扩充，降低原有网络的硬件投资，并保证扩展后的系统可用性与稳定性。 预留AC 、AP 可升级的能力，为未来无线校园网建设提供基础，无线网络要支持AC 冗余扩 展 N+1 的冗余备份能力。 建设必须尽量保护现有的软、硬件资源，保证各部门现有的计算机系统的使用，逐步过渡 有效保护学校投资，最终形成一个统一的、一体化的综合网络系统。 1.1.10.6 高性能 网络链路和设备具备足够高的数据转发能力，保证各种信息的高质量无阻塞传输；交换系 统具有很高的交换容量与多服务支持的能力，保证网络服务的质量。 1.1.10.7 可管理 为了让校园网能够良性、稳定、持续、健康的发展，对校园网用户进行严格的管理和控制 学校需要对校园网进行用户接入管理管理，通过对上网的用户进行认证，记录上网用户的 行为，为学校的网络管理提供便利的工具。 于此同时，对于本次网络中所涉及的无线 AP 、AC 、交换机等设备能够实现无线、有线统一 的管理，确保各设备运行在最佳状态，为校园的用户提供可靠的网络接入服务。 1.1.10.8 规范化和标准化 网络体系结构、通信协议及软件的设计和开发必须按照国家或行业标准进行，要模块化、 结构化、数据要代码化，以便于信息共享和交流及将来的维护。在系统设计和软件开发时 应用程序必须规范化、模块化和可复用。 1.2 校园网网络改造设计 1.1.1 拓扑结构设计 此次信息化网络根据需求目的是建立一个稳定、安全、可靠、易用、易管的无线校园信息 化网络，为信息化建设提供一个优秀的网络基础平台及无线环境。整个无线网络分为核心 层、汇聚层、接入层、无线设备、网络管理及认证系统构成。核心万兆链路下联汇聚交换 机，接入 POE 交换机均采用全千兆速率，从而实现万兆骨干链路，千兆到桌面的高速网络， 无线部分通过 POE 进行供电及数据转发。根据网络的层次模型，网络拓扑图如下： 图24 网络拓扑图 本方案采用万兆骨干、千兆到桌面的网络进行部署，采用树形结构，形成一个分布式、层 次式整体网络，构建高速、稳定、成熟的网络平台。整个网络分为核心层、汇聚层、接入 层、无线设备、网络管理及认证系统。 核心区域利用现网高性能核心交换机将所有无线设备的安全、认证配置上收，由核心的高 性能处理能力进行承载，简化网络部署，减轻维护压力，并且通过核心的集中管理，扁平 化的结构可以有效的提高设备的兼容性，尽可能的保护投资，核心区域主备冗余，使用虚 拟化方式建立主备关系，毫秒级切换，在主备发生切换时用户无感知，并且通过大的ARP 表项，高效承载全网有线、无线用户访问转发。 无线区域接入交换机开启POE 功能，由网线进行供电及数据传输，有效简化部署方式。 接入交换机开启RLDP 防止下联环路的发生，避免环路导致的广播风暴。 无线采用瘦AP 形式部署，区域包括寝室区、办公楼、生活区、体育场、食堂、图书馆、交 流中心，采用集中配置、集中转发数据，实现无线全网用户无缝漫游，全网AP 集中管理， 提高用户使用无线网络的体验，集中管理发生故障及问题方便快速定位，结合实际场景， 在开放区域及房间较大的区域部署放装型AP 进行信号覆盖，办公区房间较为密集的区域使 用 面 AP 进行覆盖，寝室区用户使用要求较高的区域使用高性能的智分 AP 进行部署，通 过 801.11ac 的高性能提供最优的无线使用效果。 利用现网认证系统针对于不 同场景及应用方式开启相应的认证功能如二维码、无感知、 web 、801.1X 等认证方式，保证安全的同时提供便捷的认证效果，提供全网有线、无线统 一账号、统一审计、统一管理、统一管控的综合管理效果，并且针对于学校不同区域开启 不同的安全策略，实现用户接入可管可控，保证网络安全，规划用户上网行为策略。 通过网络加速设备对于网络的热点信息进行缓冲，提供内网访问，提高用户的体验，并且 通过资源共享，实现资源互通共享，保证将优质教学资源推送至用户，实现资源分发共享 提高资源的完整性及资源访问的体验，并且通过将热点资源缓冲内网，提供用户访问的特 性减轻出口对于重复性流量的压力，一定程度上实现了放大出口带宽的效果。 通过防代理设备，对网络接入用户进行实施检查，通过高效的策略杜绝代理现象发生，保 证一机一号的管理效果，提升网络安全性，提供全面的实名制审计及提升网络运营效果 利用现网运维管理设备，对校园中所有有线、无线网进行实时监控、呈现，WEB 的管理方 式，对于无线实现详细的集中管控，满足用户对于网络的维护、监控的方便性，并提供故 障快速定位，减轻维护压力。 1.1.2 方案内容及功能详情 1.1.1.1 核心结构设计 无线网络通过现有核心设备提供全网有线、无线的全网融合，统一架构、统一管理，尽可 能的简化网络架构的复杂性，提升管理效率，核心通过万兆链路连接无线网络汇聚交换机 提供万兆骨干的网络结构，提升整体无线网络的性能，通过高性能的核心设备承担无线用 户的网关，提供稳定可靠的转发效率。 核心层设备是整个网络的关键设备，并且承担网内各接入设备与服务器之间的高速数据转 发，为保证设备的稳定性，网络的稳定性，锐捷交换机采用模块化设计，系统内核通过 POSIX 连接各功能模块。各功能模块独立，故障隔离，提升系统稳定性。 图2-5 模块化设计 锐捷的高性能核心交换机采用 CLOS 交换架构，交换网板有独立插槽且与主控引擎、线卡 件分离，交换网板与线卡成垂直90°正交对接。使其引擎出现故障的同时，保证数据正常 流通；关键部件的冗余配置更使得核心层安全可靠，真正实现了数据、运行两独立的设计 理念。交换网板达到业界最小设计，降低由于交换网板过多产生的核心设备动荡等问题的 出现,升级和扩容更灵活，转发数据不丢包。 正交背板设计 1、背板无走线,提升信号质量及抗干扰能力 2、正交连接器可让交换容量的扩展和升级更容易 图2-6 正交背板设计 具有强大整机性能，交换容量不低于 32T ，包转发性能不低于 11000Mpps，单线卡最大转 发性能≥960G(单向)，要求在纯64 字节小包测试环境下该线卡也能实现线速转发，单跳报 文最小转发时延＜4μs ，整机ARP 表项≥162K ，扩展性更达到业界领先水平，单板支持 10G/40G 扩展且密度为业界最高，单槽2T 线速，业界第一；4 虚1、1 虚12 技术业界遥遥 领先，模块化操作系统，可不中断升级。 VSU 虚拟交换单元，锐捷高端特色技术。 利用 VSU 技术，可将部署在网络核心的多台锐捷万兆交换设备虚完全拟成 1 台设备。 1、单管理点，包括单一配置、单一网关IP 地址、单一路由实例 （无需VRRP ） 2、最可靠的跨机箱链路聚合，创建无环路拓扑 （无需STP ） 3 、一个虚拟交换机成员发生故障整网不进行 L2/L3 重收敛，一秒内实现虚拟交换单元恢复， 优化不间断通信。 图2-7 虚拟交换单元 在传统的二层 “扁平式”网络架构及上层 “分布式”网络架构基础上，以满足数据中心应 用及结合数据中心特性等需求考虑。锐捷推出了创新的“大二层”建网方式，基于数据中 心级核心交换机嵌入数据中心特性功能搭建其网络。通过 TRILL 多链接透明互联．连接层 （L2）网络标准 ，可弥补STP 协议的不足，为数据中心提供更加灵活的组网方案。必须具 备数据中心特性如下几点： 1）虚拟交换单元VSU 支持业界领先的VSU （Virtual Switch Unit ，虚拟交换单元）虚拟化技术，将多台物理设备虚 拟化为一台逻辑设备，统一运行管理，大幅减少网络节点，降低网络运维管理人员工作量 增加网络可靠性，实现 50~200ms 链路故障快速切换，保障关键业务不中断传输。支持跨 设备链路聚合，方便接入服务器/交换机实现双活链路上联，网络有效连接带宽成本增长。 2 ）虚拟交换设备VSD 通过 VSD （Virtual Switch Device ，虚拟交换设备）技术可以提供业界最高的 1:12 设备虚拟 化，可将一台设备虚拟化为多台虚拟设备，每台虚拟设备具有独立的配置管理界面、独立 硬件资源分配( 比如内存、TCAM 、硬件转发表)，可以独立重启而不影响其它的虚拟交换机。 最大程度上为您实现网络资源的按需分配，可让核心交换机资源同时共享给多个区域或用 户使用。 3 ）多链路透明互联TRILL 支持IETF 制定的 TRILL （Transparent Interconnection of Lots of Links ，多链接透明互联）标准 协议，可在数据中心场景中实现超大规模二层组网，提升用户业务部署灵活性，并扩大虚 拟机迁移范围。同时由于锐捷网络数据中心产品从接入到核心均支持TRILL 技术，可为数据 中心有效简化网络设计，提高网络可扩展性和弹性，并为构建一个大型的虚拟化云计算网 络奠定基础。 4 ）虚拟以太网端口聚合 VEPA 支持IEEE801.1qbg 标准定义的VEPA （Virtual Ethernet Port Aggregator ，虚拟以太网端口聚 合），能将服务器虚拟机产生的数据流牵引到物理网络设备上进行“ 交换”，解决了虚 拟机流量无法监管、访问控制策略无法统一部署等问题，又消除传统 “软交换”对服务器 资源的占用，使下一代数据中心网络解决方案更好适应虚拟化计算环境。 5 ）虚拟机感知与安全策略自动迁移 支持虚拟机感知及安全策略自动迁移，有效实现大规模服务器虚拟化应用环境中虚拟机流 量的安全控制策略统一部署，并通过数据中心网络管理平台配合数据中心交换机、虚拟机 管理控制平台，实现虚拟主机全网范围内 自由迁移时对应安全控制策略的同步迁移，消除 服务器虚拟化环境中网络安全漏洞，减少网络维护工作量。 6 ）统一交换，融合存储与以太网 面向下一代数据中心与云计算的交换机产品线可为服务器提供 FCoE （Fibre Channel over Ethernet 以太网光纤通道）接入和以太网接入服务，从而帮助用户轻松整合异构的存储网 和数据网，减少网络中的设备数量，真正实现数据中心网络架构的融合。同时 RG-N18000 系列与锐捷网络全万兆数据中心TOR 设备 RG-S6220 系列可组建 FC/FCoE 数据中心融合网络 方案，将 FC SAN、IP SAN、FCoE SAN 与面向业务的 IP 网络融合在一起统一组网和管理，最 大程度上简化网络部署成本和布线成本，同时还能保护用户既有投资。 具备了吻合数据中心应用的特性及功能，锐捷的高性能数据中心级核心交换机还有高可靠 性与绿色节能的设计。各关键部件均为冗余设计：主控引擎1+1 冗余，交换网板N+1 冗余， 风扇框N+M 冗余，电源模块N+M 冗余，同时各冗余组件均支持热插拔，最大程度上提高 整机的可靠性和可用性。支持热补丁和 ISSU 技术，可实现设备在线进行补丁升级。支持 GR for OSPF/IS-IS/BGP 等，支持BFD for VRRP/OSPF/BGP4/ISIS/ISISv6/MPLS/静态路由等，实现 各协议的快速故障检测机制，故障检测时间小于 50ms 。RG-N18000 系列采用 40nm 芯片工 艺，相比传统90nm 和 65nm 工艺更节能。多核CPU 支持动态功耗管理，全部光口采用无 PHY 设计，降低光口功耗，全部以太网电口支持EEE 高效节能标准，低负载时可节约功耗。 内部系统低压供电设计，高效率模块化电源，供电系统效率更高。智能风扇支持256 级调 速，精密温控，节能降噪；高温下可长期工作，适应恶劣环境，为您大幅度节省空调能耗。 在网络环境中经常发现一些恶意的攻击，这些攻击会给交换机带来过重的负担；有时当这 些报文超过了交换机所能负荷的能力，就会造成交换机CPU 利用率过高的影响，衍生出无 法正常管理交换机、影响正常的网络通讯、影响交换机上协议状态的正常运行等问题。 图2-8 CSS 安全体系 为此锐捷交换机提供了硬件CPU 保护策略，即对送往交换机CPU 处理的各种报文进行优先 级处理和流量控制，用以减轻交换机CPU 负担，保护交换机的正常处理能力，当交换机受 到攻击时，交换机的CLI 管理界面仍可进行正常的管理操作，不会导致CPU 利用率过高的 现象，同时需要CPU 处理的报文如 IEEE 801.1x 报文、IGMP 报文仍能得到及时处理。 可以按照网络管理的需要，设定发往交换机CPU 、并需要 CPU 处理的各种协议控制报文和 管理报文等的优先级顺序和流量大小，粒度非常精细，达312Kbps 。 当安全事件爆发后，例如 ARP 攻击，我们通常是登陆网络， show 命令查看地址表，然后 手工解决。当网络中多个地方爆发攻击后，我们IT 部门的人手根本不够。这是一种典型的 基于安全事件的管理模式，也就是发现安全问题后再去解决安全问题，这个成本是非常高 的。包括网络人力资源成本，被投诉的风险等等。锐捷的基础安全保护策略，采用基于网 络威胁的处理模式。在安全事件即将到来的时候，系统本身自动的检测发现并解决安全攻 击。自动的下发策略隔离攻击 （不需要人工处理）。而且是基于设备本身实现，完全不需 要用户安装客户端。针对我们网络中一些不习惯安装客户端的用户同样可以实现安全攻击 的防护。 1.1.1.2 汇聚结构设计 汇聚层的主要功能是做为楼层接入交换机的汇聚节点，因为大部分楼栋接入交换机和汇聚 交换机位于同一个机房，所以接入和汇聚采用了双绞线互联的方式；通过与核心交换机配 合，将汇聚所有安全配置及策略配置上收核心，简化网络结构，减轻维护压力。 1.1.1.3 接入结构设计 POE 接入交换机，通过网线提供AP 的供电及数据的传输，并且接入交换机同样支持安全保 护协议，保证设备运行的稳定性，保证设备不会因为攻击或利用率过高导致宕机。 防环功能保护二层网络避免广播风暴的产生（严重的情况下会致使交换机宕机，而大面积 不能上网。） 接入区主要完成以下功能： 结合 web portal 认证系统，部署801.1.X 协议，实现“入网身份认证，也可升级实现主机健 康检查、网络安全事件监控与主动防御”。 通过 VLAN 定义实现业务划分。 实现 QoS，对数据包进行分类和标记。 接入网设备全部采用千兆链路上连汇聚设备，以保证接入网连接汇聚网的带宽要求。 接入网作为用户终端接入校园网的唯一接 口，在为用户终端提供高速、方便的网络接入服 务的同时，需要对用户终端进行入网认证、访问行为规范控制，从而拒绝非法用户使用网 络，保证合法用户合理使用网络资源，并有效防止和控制病毒传播和网络攻击。 当前的数据网安全正遭受严峻挑战，病毒、外部入侵 （黑客）、拒绝服务攻击、内部的误 用和滥用，以及各种灾难事故的发生，时刻威胁着网络的业务运转和信息安全。但与此同 时，大多数正在使用的网络安全系统都缺乏真正的全局防护能力。当网络受到来自各方面 的攻击时，整个网络系统的稳定性将无从谈起，可以看出，计算机网络的安全防护能力是 影响网络系统稳定可靠性的重要因素之一，网络设备作为网络系统的基础平台，其安全防 护能力显得尤为重要，尤其是接入层交换机。 图2-9 接入交换机 通过多种内在的安全机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户使用 网络，保证合法用户合理化使用网络，如端口静态和动态的安全绑定、端口隔离、多种类 型的硬件ACL 控制、基于数据流的带宽限速、用户接入控制的多元素绑定等，满足校园网 加强对访问者进行控制、限制非授权用户通信的需求； 该交换机支持WEB 认证模式，用户使用浏览器即可完成认证过程。而认证后仍然能实现 IP、MAC 交换机端口号等元素的绑定信息，保证只有合法的用户才能进入网络； 该交换机支持客户端的认证模式（801.1x ），在实现网络安全的同时，可通过客户端深入 用户主机实现主机安全，跟WEB 认证不同的是，801.1x 适用于严格控制网络安全的区域； 锐捷独有的“客户端自动分发 功能则可在此模式下轻松完成 801.1x 客户端的分发； ARP 检测功能有效遏制了网络中日益泛滥的 ARP 网关欺骗和 ARP 主机欺骗的现象，保障了 用户的正常上网。无论在动态分配IP 环境下，还是静态分配IP 环境下，均可实现自动绑定 工作，大大的节省了人力成本，降低了管理开销。而配合 ARP 速率监控控制端 口ARP 报文 发送的速率，防止恶意利用扫描工具进行 ARP 泛洪占据网络带宽，导致网络拥塞的攻击行 为； 该交换机支持的 DHCP snooping 协议只允许信任端口的 DHCP 响应，防止未经管理员许可私 自架设 DHCP Server，扰乱IP 地址的分配和管理，影响用户的正常上网的行为；并在 DHCP 监听的基础上，通过动态监测 ARP 和检查源 IP，有效防范 DHCP 动态分配IP 环境下的ARP 主机欺骗和源 IP 地址的欺骗。 1.1.1.4 无线部分设计 针对于校园场景，室内有很多门、玻璃窗、 体等遮挡信号，而且每层空间很大，用户数 较多且移动较为频繁，为满足次场景，需要无线设备性能高及覆盖性，由于校园无线区域 很多，AP 可能会部署较为分散，为满足维护性，要求 AP 可以集中管理，方便排查问题， 避免每个 AP 进行检查带来的维护压力。 锐捷的无线 AP 采用创新的大功率智能天线，拥有更好的信号覆盖面积及性能，是传统天线 2 倍信号覆盖性能。 图2-10 无线 AP 覆盖 图2-11 无线 AP24 面天线 并且锐捷灵动式天线拥有方向计算单元，可以根据用户终端位置，增强给予相应的信号强 度，保证终端拥有良好的信号强度，实现了让信号跟随终端的覆盖效果。 图2-12 无线 AP 方向计算 用户在校园使用无线网络时会频繁移动，需要无线无缝漫游功能，锐捷网络通过 AC 与AP 的集中部署形式，构建的 WLAN 支持快速漫游，用户在无线覆盖区域任意移动，业务不会 受任何影响，网络访问依旧正常。 在大型、多用户的场景下，为了提供 WLAN 服务，不得不在同一区域内部署多台AP ，甚至 多家运营商会部署多套无线设备，设备间的同频干扰加剧，无线数据竞争发送时冲突增多 而且部分低速用户大量占用无线链路进行数据传输，无线网络的实际吞吐性能大幅下降， 用户体验极差。 目前传统无线厂商的优化方法主要分为以下三种： 调整 AP 的发射功率，降低同频信号的重叠覆盖范围，在一定程度上减少数据冲突； 优化 AP 的部署位置，尽量利用环境中的阻挡物来减少干扰； 通过禁止低速率终端发送数据来提高无线链路利用率。 而锐捷网络在有效实现上述优化方法的前提下，又创新的推出了X-speed 加速技术，它主 要有两大功能特点： 1. 自适应优先级 开启X-speed 技术的 AP 能够迅速感知Radio 上下行流量的差别，实现自适应优先级控制， 自动调整 Radio 和 Client 的 EDCA 参数，在多厂商AP 的环境下，极大的提升了AP 的下行发 包能力和抗干扰能力，相比于环境下其他 AP 的无线用户，接入我司AP 的无线用户终端能 够获得更高的数据传输性能。 图213 自适应优先级 1.公平调度 X-speed 技术的另一大功能就是公平调度，它主要根据终端流量的实时信息，预测终端流量， 然后计算并调整 AP 和终端的空口带宽，然后利用令牌桶原理进行流量整线来实现无线空口 资源的公平占用。这就为 801.11g 、801.11n 等不同类型的终端提供相同的访问时间，极大 的解决了因终端无线网卡老旧或终端离AP 较远而导致用户无线上网延时大、速度 、AP 整机性能低下的问题，有效的提升了低速终端的性能，保证用户无论使用何种类型的终端 都将在相同的位置上获得同样良好的无线上网体验。 图214 公平调度原理图 开启带宽公平占用前 开启带宽公平占用后 802.11n 802.11n 11n 11g 11g 54 Mbps 300 Mbps 11a 11g 11g 11n 图215 公平调度效果图 学校会有报告厅等面积过大的场所，可能会部署多个 AP ，就有可能会出现用户多数都连接 在一个 AP 上进行上网，同层其他 AP 所带的用户量却很少，导致单个 AP 过载，但其他 AP 又处在空闲的状态，照成单个设备过载，其他设备性能浪费的情况，锐捷无线设备支持基 于用户的负载均衡，锐捷的无线设备会 自动监测 AP 所带用户情况，如检测发现单AP 过载 但附近AP 性能空闲的情况下，会自动将用户切换到空闲的AP 上，实现负载均衡，整体提 高 每 个 AP 设 备 的 利用 率 ， 提 高 用 户 体 验 ， 并且在 切换 时 用 户 无 感知 。 图216 AP 负载均衡 如果不采用AC 热备时，如何有效保证网络的可靠性？ 锐捷网络的 WLAN 设备采用创新性的 RIPT 技术，当AP 发现 AC 故障宕机后，会快速切换为 智能模式继续进行数据转发，不影响用户使用体验，真正保证无线网络永不中断。 图217 RIPT 技术 AP 通过 AC 进行集中转发，但是当AC 宕机时，AP 会 自动切换网关配置，直接进行转发， 保证无线网络的不间断运行。 锐捷的 AP 提供了最优质的绿色无线网络，并进一步的对功率进行优化，距离AP 5c 处 0.6μW ／cm² 。 图218 大型会场、报告厅、图书馆 普通 AP 部署存在的问题： 因用户数较多，普通 AP 的接入用户数在30 人左右，部署所需的普通 AP 数量也会较多，但 普通 AP 基本上均为全向天线型产品，超过 3 个 AP 密集覆盖时就会产生严重的同频干扰 （1.4GHz 频段下互不干扰的信道仅3 个），WLAN 的性能会大幅下降，无线用户体验得不 到保证。 锐捷网络建议在这类环境下使用支持X-sense 灵动天线的新一代高性能AP 产品进行覆盖， 原因如下： 单AP 的接入用户数大大提升，单AP 可接入 60 多个用户，所需的AP 总数减少，AP 间干扰 得到降低； 智能天线型AP 信号覆盖效果如右图，会根据终端的位置发射定向信号，不仅终端的信号质 量有保证，而且多AP 密集部署的干扰也会有效下降30% 以上。 房间较为密集，并且房间空间较小的用户场景特点：1、房间密集，房间数多；2、单个房 间2~3 个用户；3 、环境美观度要求高，WLAN 建设不得破坏装修；4 、部署要快速，不能 影响正常运营办公。 锐捷网络推荐在这类场景使用最新的墙装MiNi 型AP 进行无线覆盖，原因如下： 图219 面式 AP 部署效果图 墙装MiNi 型AP 采用国标 86 面板尺寸设计，符合办公室建筑施工的规范性要求； 施工安装快捷，直接替换掉原有房间内的有线面板即可，单个 AP 安装仅需 5 分钟，降低了 因施工给酒店带来的损失。 AP 在提供无线信号覆盖的同时，还能提供 4 个有线端口其中一个可兼容RJ11 的电话线端口 供使用，“一机多能”，减少综合布线施工的成本。 图220 寝室区域 寝室区域AP 智分方式综合了放装解决方案和室分解决方案的优点，并加以改良。整体方案 由无线控制器，智分 AP ，馈线，智能天线 4 部分组成，无需外置功分器、耦合器等。部署 简单，易于管理和维护，也节省了成本。同时由于集成了两块射频卡，使得性能不再成为 瓶颈。非常适合宿舍网这样的密集部署环境。 图221 智分系统 一套智分系统如上图所示，提供 1 分 8 的形式，承载8 个房间的无线信号覆盖及数据转发， 通过天线延伸至房间内，提供最优的信号覆盖及使用体验。 图222 智分天线 并且智分 AP 的每一个天线内都带有两块射频芯片，提供每个天线独立的数据转发，进一层 度的提升用户使用体验，并且智分天线支持801.11ac ，提供千兆级的传输效果，提供学生 高效的使用体验，提升用户的使用感受，提升网络的基础支撑，从而提升网络运营的时候 用效果。 图223 智分AP 正式因为智分 AP 的特性，每个天线内部署了独立的射频芯片，所以单AP 所承载的并发用 户数也成倍增加，进一层度的减少投入成本，满足高并发使用，保护投资。 1.1.1.5 无线接入认证设计 无线网络在提供便捷网络服务的同时，仍需确保只有合法的用户才能使用无线网络。WEB 认证就是一种对用户访问网络的权限进行控制的身份认证方法，这种认证方法不需要用户 安装专用的客户端认证软件，使用普通的浏览器软件就可以进行身份认证，是目前无线主 流的认证方式之一。 而且随着近年来iPhone、iPad、Android 、Windows Phone 等各种智能能移动终端的 日益普 及，网络中不再是清一色的笔记本电脑终端。一个智能的无线网络，必须能够考虑到不同 的终端类型、屏幕尺寸对 Portal 认证页面的不同要求，实时地对各种终端类型进行识别， 并推送符合终端屏幕尺寸的WEB Portal 页面，使用户能够更为便捷的输入用户名及密码， 提升无线用户体验。 锐捷网络的无线控制器不仅支持终端自动识别功能和 WEB Portal 页面推送，而且推送的认 证页面还可以根据用户 自定义放置一些广告、通知、业务链接等，提供更多个性化服务。 若配合锐捷认证服务器还可实现基于终端类型的角色、访问权限的划分等，帮助网络运维 人员实现更为精细化的无线用户管理。 图 224 自适应认证页面 1.基于 801.1X 的无感知认证 IEEE 801.1X 协议是一种基于端口的网络接入控制协议，主要目的是为了解决有线、无线用 户的接入认证问题。对于基于 801.11 系列标准的无线局域网，通过对无线用户的身份验证 ， 无线网络可以打开或关闭无线终端接入的接 口，同时还可以根据其身份属性，为其分配动 态角色和 VLAN ，确保用户终端接入的安全性，有线用户基于 801.1X 的认证方式，有线终 端安装认证客户端，通过客户端的身份认证方式，在通过认证的同时提供安全保护及权限 划分，认证成功后用户的认证客户端会 自动最小化，避免用户误操作导致认证失败问题， 提升用户的使用体验，提供多样化的认证方式，满足有线、无线网络的安全审计保护。 在安全性上，WEB Portal 认证不提供密钥的生成和交换机制，因此所有的用户流量都是以 明文方式传输的，容易被截获和侦听；801.1X （WPA2-AES ）符合801.11i 安全标准，在用户 认证的基础上，对每个报文采用不同的密钥进行逐包加密，具有更高的安全性。 在便捷性上，WEB Portal 认证直接通过浏览器输入用户名及密码，整个操作过程较为简单 快捷；普通的 801.1X 认证一般需要安装认证客户端或对操作系统原生认证客户端进行配置 等，操作过程较为复杂，用户体验相对较差。 为了保证无线用户接入同时具有较高安全性和便捷性，锐捷网络在 BYOD （Bring your own device ）解决方案中提出了基于 801.1X 的无感知认证技术，用户只需要在第一次认证中安 装一个快速1X 配置助手，并完成首次用户名及密码的输入，以后无线终端只要发现无线信 号，就会 自动进行 801.1X 的接入认证并连接无线网络，真正实现“一次登陆，三步操作， 后续无忧”，带给用户最佳的使用体验。 图225 步骤1：连接无感知认证的 SSID 后选择1X 快速配置助手 图226 步骤2：确认运行快速配置助手 图227 步骤3：输入完后用户名和密码后，即可访问 WLAN 图228 手机无感知认证过程 1.访客二维码认证 抚顺职业技术学院经常会举办大型的学术交流会议，接待来访的嘉宾，并需为其提供快捷 的无线上网服务。而传统的无线网络一般会在会议室、礼堂、大厅等访客接待区域启用一 个基于 PSK 认证的 WLAN ，并在可视区域贴放这个 WLAN 对应共享密码，访客的体验也是 较为麻烦，不友好等，而且这个密码极易扩散，网络安全得不到保证，网络运维人员需定 期的更换这个 WLAN 的密码和对应的标贴，极大的增加网络运维难度。 图229 传统WLAN 提供的密码标贴 锐捷网络提出了更为先进的访客接待解决方案——二维码认证。 访客使用移动智能终端访问无线网络后，锐捷网络的认证系统将生成专用的二维码推送到 访客的终端上，如图2-25 步骤1。 负责接待的员工使用 自己的已认证通过的合法终端对访客的二维码进行扫描并自动反馈到 认证系统，如图2-26 步骤2 。 认证系统记录下访客和对应接待者的身份信息并确认临时开户，访客和接待者收到反馈后 即可直接访问网络，如图 2-27 步骤3 。 仅需“扫一扫 就可便捷的为访客提供无线网络服务，这是无线认证技术为提供用户体验 的又一次创新。 图230 二维码认证过程 图231 不同场景应用 并且通过现网认证系统与安全设备进行配合实现基于不同场景的计费、准入、策略控制， 提升网络的安全性、规范性、可控性，规划准入安全策略，实现办公区域只有老师、领导 可以接入，学生无法接入，图书馆只有在规范的时间内才可以接入，精细化的管理网络的 接入策略，提升多维度的安全性。 1.1.1.6 防代理设计 图232 设计应用 随着用户终端的增多，每个用户都希望访问互联网络，但是私设代理共享多人上网的行为 也普遍发生，这样的代理情况存在严重的安全隐患及影响学校运营，安全层面问题，共享 人群中任何一个进行非法网络行为都将无法追溯，无法进行有效的实名制审计，并且对于 安全策略方面，也无法进行有效的策略下发，安全无法保证，运营层面问题，用户通过代 理方式共享多人上网，导致开户率无法提高，甚至会导致所有学生都在使用互联网络，但 是每个寝室仅开了一个账户，这样的逃费情况对于运营也是一个重大的损失。 图233 杜绝各类互联网代理及破解工具 可彻底杜绝各类互联网代理及破解工具，确保 ASME 防代理系统的长期有效性。 ASME 无需部署客户端，传统针对用户端的破解方式无效。 采用纯嗅探的检测方案，ASME 系统无外出报文，防止漏洞被恶意利用。 可实时更新特征库，确保快速封杀最新的破解、代理工具。 目前业界最“聪明 识别算法，实测误判率＜1% 。 基于 DPI 技术，采用创新的多维度、应用层交叉匹配检测，使 ASME 系统像人一样思考， 解决多网卡、VPN 等常见误判 。 已经过10 万级用户规模验证。且特征库持续更新，可进一步提升准确率 。 部署方便，适用场景广泛。 支持旁路部署，即插即用，不改变用户原有拓扑 。 支持有线、无线、web 、801.1x、PPPoE 等各种认证方案。 未来还将兼容其他厂商radius，杜绝厂商捆绑 （通过兼容组件）。 关注用户体验。 提供警告、重定向、下线、黑/ 白名单等多种策略，柔性控制。 实时展示代理用户统计，效果直观可见。 升级期间不断流，不影响现有业务。 1.1.1.7 网络加速结构设计 随着互联网发展 日新月异，用户使用网络的习惯已经发生了明显的改变。根据最新的统计 互联网 61% 的流量为视频流量，24% 的流量为文件下载。如果针对这两种文件进行网络优 化和用户体验提升，已经成为所有网管员最为关注的问题。 锐捷的网络加速设备对于 P2P 下载、网络流媒体（如在线视频）等热点资源进行有效的缓 冲，用户再次访问热点资源时，已内网形式进行访问，有效的减少了出口重复性流量的使 用，减少出口带宽的压力，并且提供用户最好的使用体验。 锐捷的网络加速设备使用旁挂式部署方式，保证不改动网络的结构，并且提供安全稳定的 服务。 图234 网络加速设备 通过旁路的形式部署，提供用户高速的资源访问体验，满足高效的资源共享平台，通过锐 捷的网络加速设备进行优化后，用户的访问体验提升数十倍的使用感受，在满足完整的资 源平台同时，提供最优的资源使用感受。并有效的节省了我们对于出口带宽的投入，提升 网络的价值。 图235 网络加速效果 图236 网络加速效果 为了提升出口带宽的有效利用，网络加速设备开启主动缓存功能，让加速设备在夜间网络 无人使用的时候进行资源的缓存，从而避免在出口使用率过高时进行缓冲，避免出口负担。 图237 网络加速效果 为了保证资源的最新性，和加速设备磁盘空间的有效利用，网络加速设备可以开启 盘保 护功能，当 盘容量达到既定阀值（如 85% ），网络加速设备会将热点最低、时间最久的 资源删除，保证 盘空间的有效利用。 图238 用户最热点的资源 网络加速设备内置门户系统，提供整合热点资源的门户网站，建立学校独立的资源库，并 且这个资源库永远是用户最热点的资源，提升用户使用体验的同时，用户更愿意使用学校 独立的资源库内容，进一层度的减轻出口带宽压力。 图239 用户认证 并且通过与认证系统进行配合，可以实现认证后自动弹出校内热点门户，进一层度的引导 用户使用校内的热点资源，并且这些热点资源也正是用户希望使用、访问的资源。 1.1.1.8 运维管理系统结构设计 通过本抚顺职业技术学院系统用户环境和项目需求的分析利用现网 RIIL IT 运维管理系统对 于网络中有线、无线、业务、中间件进行统一的运维管理。 随着无线网络的普及，各种移动终端进入到我们的生活和工作当中，BYOD 成为时下的热门 话题之一，无线网络已经是我们生活与工作中不可缺少的一部分，它也将成为支撑企业业 务正常运转的重要环节。正因为这样的应用需求，要求信息部门必须重视无线网络管理的 工作。然而传统的无线管理存在无线网络与有线网络分离、无线网络管理脱离于业务等弊 端，因此信息部门需要一种更好的无线管理工具。 无线管理模块 （WSMC ），为用户提供无线管理视图一览、无线网络拓扑管理、无线资源 管理、安全管理、统计分析等功能，并通过锐捷网络特有的信号衰减算法，可以在无线网 络拓扑中为用户呈现真实的无线网络热点覆盖范围，帮助用户做无线网络热点规划。同时 由于RIIL 是一个综合管理平台，很好地解决了无线网络与有线网络分离管理的问题，并且 可以通过业务建模，实现从业务视角对无线网络进行管理。安全方面，RIIL 的无线管理模 块也可以帮助用户发现非法 AP 接入和非法客户端接入。针对锐捷网络的无线设备，RIIL 的 无线模块进一步提供配置向导功能，用户可以通过 RIIL 提供的图形化 web 界面即可完成对 锐捷网络无线设备的配置，大大降低无线网络安装部署和维护的难度。 1.无线拓扑管理 在无线拓扑管理中，RIIL 提供两种不同的视图方式，一种是无线热图，通过无线热图，用 户可以直观清晰地了解 AP 所处的实际位置和 AP 所发射的信号覆盖范围，帮助用户做好AP 规划工作；另一种是无线拓扑，它显示AP 与AC 之间的连接关系，帮助用户梳理 AP 与AC 之间依赖关系。 无线热图 用于展现一个区域范围内的 AC 、AP 和楼宇的无线信号覆盖范围，用户可根据实际楼宇、 室内布局、AP 、AC 等自定义无线热图。在该视图下用户可以插入和实际环境一致的地形图， 通过设定比例尺、信号范围显示区间后，RIIL 可以为用户呈现在真实环境中 AP 的部署位置， 及其信号覆盖的实际范围，用户可以轻松、直观地了解到 AP 分布在哪些地方，AP 所发射 的信号范围覆盖了哪些区域。 对于实际环境中的障碍物，用户也可以在该视图中根据实际情况进行相应的障碍物设定， 根据不同的障碍物设定对 AP 不同的衰减规则，从而实现 AP 信号覆盖范围更加符合实际场 景。 视图支持数据挖掘，可显示管理地理位置的楼层信息，以及进入其相应的下级热图。 图240 无线热图 无线网络的用户使用情况可以通过运维管理系统集中展现出来，呈现星光图的暂时效果， 实时检测用户的使用情况，无线的热点区域及用户的详细信息，可以全局的掌握无线网络 的使用情况，分析网络中无线的热区，了解用户更倾向于在哪些区域使用无线网络，通过 数据的收集及分析，提供未来网络扩展、优化的方向提供数据的支撑，并且通过无线星图 的方式可以试试的了解每个 AP 的使用情况及用户的链接情况，实时分析每个设备或每个用 户对于无线网络的使用效果及使用感受。 图241 星光图 无线拓扑 无线拓扑中为用户呈现 AP 与AC 的互联关系，方便进行无线AC 、AP 的全局设置； 通过无线拓扑，用户可以了解 AC 下面挂接了多少个 AP ，再与无线热图匹配分析，即可知 道这些AP 的实际地理位置； 通过拓扑图，可以直观显示出无线 AC 之间的主备关系； 拓扑视图支持数据下钻功能，可直接点击AC 、AP 设备，查看无线 AC 、AP 的详细信息。 图242 无线拓扑 1.无线资源管理 鉴于无线网络的覆盖范围相对有线网络较广，同时无线设备也会随之部署在不同的地域内 为了方便 日常运维管理工作，RIIL 可以为用户提供不同地域范围内的资源管理视图，用户 首先可以选择相应的地域范围，从地域参数上圈定要管理维护的无线设备。通过对无线资 料的管理，支持频谱及干扰分析的无线 AP 的显示及分析功能。对于无线资源的管理，RIIL 可以实现AC 、FatAP、FitAP、在线用户、WLAN 服务、AP 接入端 口、AP 退服明细等管理。 通过对无线资源的管理，支持对无线资源的数据分析功能，可灵活定制资源的指标进行 TopN 排序。 AC 管理：可以直接查看AC 的状态、设备名称、IP 地址、厂商、型号、允许连接 AP 数、当 前连接数、在线用户数、当前健康度、繁忙度、CPU 利用率、内存利用率。同时我们提供 了操作按钮，用户可以通过操作按钮可以更深入地查看该资源的发现信息、未受理的事件 常用工具、维护信息和业务结构的位置。 FatAP 管理：直接查看FatAP 的可用状态、设备名称、IP 地址、厂商、型号、当前连接数、 当前健康度、繁忙度、CPU 利用率、内存利用率。在操作按钮的下拉菜单中，用户同样可 以更深入地查看资源的发现信息、未受理的事件、常用工具、维护信息和业务结构的位置。 FitAP 管理：查看FitAP 可用状态、设备名称、IP 地址、MAC 地址、所属AC 、厂商、型号、 位置信息、在线用户数、退服率。 在线用户：直接看到当前在线用户的 IP 地址、MAC 地址、SSID 、信道、所在AP 等信息。 并且用户可以根据自己的工作需要，进行相应的筛选导出。 WLAN 服务：从WLAN 的视角进行管理，可 以查看WLAN 的可用状态，WLAN ID 、所属 AC 、VLAN ID 、SSID 、是否广播、是否映射、当前用户数等信息。用户也可以对 WLAN 执行 发现、取消监控等操作，同时也可以对每个 WLAN 进行相应的AP 、AC 权重设置，用于在业 务结构图中计算WLAN 的健康度、可用性和繁忙度等指标。 AP 接入端口：用户可以查看AP 的可用状态、名称、所属AC 、IP 地址、MAC 地址、接入设 备的 IP 地址与端 口。并为用户提供可以开关该交换机接 口的操作，实现管理 AP 的上下线 状态。 AP 退服明细：用户可以查看有过退服记录的 AP 名称、位置、所属AC 、IP 地址、型号、退 服时间、恢复时间和退服时长信息。 图243 无线资源管理 3.安全管理 无线网络的安全问题同样是困扰运维管理人员的几大难题之一，在 RIIL 的无线管理模块中， RIIL 可以发现 RogueAP 和 Rogue 客户端，并且告诉用户这些非法设备连接于哪个 AC 上，同 时会为管理员提供非法接入设备的 MAC 地址、SSID 、厂商、最大RSSI 等信息，方便运维管 理人员进行相应的处理动作。 图244 安全管理 4.无线配置 无线配置可以完成 AC 发现、配置备份和无线热点配置功能，通过进行这些配置，即可实现 无线网络拓扑发现，无线设备信息的采集和读取，无线热图的后台配置。同时针对锐捷网 络的无线设备，在这个模块中，用户还可以通过 RIIL 实现对无线设备的配置，不需要再去 使用命令行的方式，仅通过 web 界面的图形化勾选即可完成。 AC 发现配置：配置AC 的发现方法和用户名、口令，同时可以进行设备名称设置、最大用 户数、最大连接数、VLAN 配置、路由配置、DHCP 配置等简单的AC 基本操作。 AC 其他配置：对 WLAN 进行配置、AP 组配置、Radio 配置、漫游配置、冗余配置、QoS 限 速规则、用户认证、Rogue 规则等进行配置。 配置备份：将所有的配置进行备份，并提供下载，这样帮助用户在网络出现问题时候，可 以做好及时的配置恢复，实现回滚，确保网络的正常使用。 热点配置：热点配置可以实现热点视图的分级管理，配置好每一级的热点设备信息，可以 让无线拓扑中的热点试图进行分级展现，更加符合用户的实际应用情况。 1.3 实际地勘信息 表2-1 地勘信息表 1.4 所需设备清单 表2-2 设备清单表 产品类型 型号 描述 数量 备注 核心机房 　 　 　 　 企业 版配套 License ，每个 5000 人 RG-ePortal V1.X 企 WEB 认证系统 License 含 1000 Web 用户授 5 WEB 认证 业版License 权 授权 3000 人 RG-SAM V3.X 企业 1000 用户以上，超出部分每 SAM 计费系统 3 SAM 计 费 版License 1000 用户 授权 接入防代理引擎，盒式硬件 设备，含5000 个在线用户授 防代理设备 RG-ASME1000 1 防代理 权（前 3 年 免费特征库升 级） 5000 人防 防代理用户管 RG-ASME License RG-ASME 配套 license ， 含 5 代理用户 理授权 授权 1000 个在线用户授权 授权 2U 机架式设备，支持下载、 流媒体、P2P 、智能终端加 速；内置 10TB 存储空间， 1+1 冗余电源，提供 3 年免 RG-PowerCache 费升级服务（包括数据库、 网络加速 网络加速设备 1 X5E 特征库、新版本），过期后 设备 需要购买升级服务 License 才 可升级( 不购买 License 可正 常使用，但不能升级版本和 特征库) 千兆高端统一上网行为管理 行为管理 和审计产品，默认接 口配置 RG-UAC 6000-EA 1 设备及微 4GE+8SFP ，1U，1T 容量 盘； 行为管理及微 信认证 不包含特征库升级授权 信认证 RG-UAC 6000EA- RG-UAC 6000-EA 一年特征库 特征库升 3 LIS-1Y 升级 级授权 无线控制器 　 　 　 　 无线控制器 RG-M18000-WS- 高性能无线控制业务模块； 2 无线控制 ED 适用于 锐捷高端 核心 RG- 器板卡 N18000 系列交换机，起始支 持128 个无线接入点的管理， 通过升级最大可支持2560 个 无线接入点的管理，支持 面式 AP 特性， 面式 AP 最 大可控数量翻倍(不支持RG- AP110-W 翻倍) ，有 面式 AP 接入场景下整机最大控制 4000 个 AP WS 系列无线控制器产品专 用升级许可证 License，每套 AP 管理授 LIC-WS-128 14 可支持增加128 个普通 AP 或 权 256 个 面式 AP 的控制权 行政办公楼 　 　 　 　 24 口千兆电口，4 口SFP 非 复 用 端 口， 24 口支持 POE+ ，最大可 同时支持 24 24 口POE POE 交换机 RG-S2928G-24P 口POE 供 电或12 口POE+供 5 供 电交换 电；每端 口最大POE 功率输 机 出30W ，整机输出最大PoE 功率为 370W 面式无线接入点，可安装 在 86 面板盒孔位，内置天线 支 持 801.11a/n/ac 和 801.11b/g/n 同 时 工 作 ， 1.4GHz 支持 300Mbps ， 5G 面 AP RG-AP130-W 支持866Mbps ，外壳颜色可 95 面 AP 换 （白、黑、银、金四种颜 色，默认发货白色彩壳）， 胖瘦模式切换，PoE 和本地 供 电 （PoE 和本地供 电设备 需单独选购） 室内灵动天线型无线接入点 内置X-sense 3 灵动天线，双 路双频，支持2 条空间流， 整 机 最 大 接 入 速 率 1167Mbps ， 可 支 持 放装AP RG-AP520-I 801.11a/b/g/n 和 801.11ac 同 5 放装AP 时工作，胖/ 瘦模式切换、 WAPI 、双电口上联、PoE 和 本地供电, ，预留USB 接口。 （PoE 和本地 电源适配器需 单独选购） 学生宿舍1# 　 　 　 　 24 口千兆电口，4 口SFP 非 复 用 端 口， 24 口支持 POE+ ，最大可 同时支持 24 24 口POE POE 交换机 RG-S2928G-24P 口POE 供 电或12 口POE+供 2 供 电交换 电；每端 口最大POE 功率输 机 出30W ，整机输出最大PoE 功率为 370W 智分三代 RG-AP5280 第三代智分方案专用型无线 18 智分AP 接入点，支持 801.11a/n/ac 和 801.11b/g/n 同时工作， 最大实现 1 分 8 模式下的双 频双流部署 第三代智分方案专用天线， 支 持 801.11a/n/ac 和 RG-IOA-5280-AC 128 智分天线 801.11b/g/n 同时工作，双频 双流 第三代智分方案专用馈线， RG-Cab-UPS-10m 128 10m 馈线 长度10m 学生宿舍2# 　 　 　 　 24 口千兆电口，4 口SFP 非 复 用 端 口， 24 口支持 POE+ ，最大可 同时支持 24 24 口POE POE 交换机 RG-S2928G-24P 口POE 供 电或12 口POE+供 2 供 电交换 电；每端 口最大POE 功率输 机 出30W ，整机输出最大PoE 功率为 370W 第三代智分方案专用型无线 接入点，支持 801.11a/n/ac RG-AP5280 和 801.11b/g/n 同时工作， 18 智分AP 最大实现 1 分 8 模式下的双 频双流部署 智分三代 第三代智分方案专用天线， 支 持 801.11a/n/ac 和 RG-IOA-5280-AC 128 智分天线 801.11b/g/n 同时工作，双频 双流 第三代智分方案专用馈线， RG-Cab-UPS-10m 128 10m 馈线 长度10m 学生宿舍3#