PAGE21目錄12350第一章技術方案 3200511.無線網絡建設方案 3113971.1無線網絡先進性設計 3318211.1.1.無線網絡設計原則 3212001.1.2.無線AP漫游設計 4120061.1.3.無線AP供電設計 4102901.2無線覆蓋方案 5200501.3無線多SSID設計 10137851.4無線接入認證設計 104491.5無線安全技術設計 1397291.6無線QOS設計 14130641.7無線覆蓋指標要求 16106392.網絡安全設計 1831532.1設備級安全功能 18295612.2防ARP攻擊設計 19103432.3交換機IP防掃描設計 19164782.4防DOS/DDOS攻擊 19129002.5路由安全設計 20215062.6設備管理安全設計 21224712.7匯聚嵌入式安全 22254832.8接入安全控制 22184912.9IP+MAC+端口綁定 23232082.10防止病毒廣播泛洪 2362952.11入網用戶身份認證 2369352.12防止對DHCP服務器攻擊 23191682.13多元素綁定技術構筑高安全校園網 2443802.14防止用戶私設代理服務器 2528972.15惡意用戶追查 2533023.設備清單 25293704.技術參數 2640914.1出口路由器技術參數 31247494.2核心交換機技術參數 32304964.3無線控制器技術參數 35215984.4認證計費系統技術參數 38277314.5Portal認證系統技術參數 4384704.6eLog日志分析系統技術參數 43107124.7服務器接入交換機技術參數 449364.8匯聚交換機技術參數 4777804.9無線接入點24口PoE交換機技術參數 5021384.10無線接入點12口PoE交換機技術參數 52173874.1111ac室內無線接入點技術參數 55279154.1211ac室外無線接入點技術參數 5717827第二章施工方案 60188531.項目管理方案 60141231.1項目實施管理 60228211.2人力資源管理 64281651.3項目進度管理 68204001.4項目溝通管理 75224611.5項目風險管理 79201181.6項目問題管理 84149691.7項目變更管理 85197661.8項目質量管理 85314241.9工程文檔管理 98179391.10工程施工管理 9963262工程詳細設計 142127122.1東合校區學一女生宿舍樓 142266713軟件調試規范 210257823.1公共調試規范 210251443.2路由產品調試規范 215220493.3交換產品調試規范 22492253.4無線產品 231124403.5實施范圍 23537174無線網優方案 235303644.1網優內容和方法 235211674.2常用部署優化方法 236296024.3常用配置優化方法 236232214.4網優目標 238193014.5網絡測試 240155014.6實施階段詳細規劃 247165444.7安全防護及文明施工措施和方案 2472609第三章移交方案 257222211卓智智慧校園網項目竣工文檔 257135641.1工程施工驗收確認單 257201191.2項目轉維確認單 25894031.3銳捷設備調試服務完成確認函 26115138第四章運維及運營方案 263267271運維服務體系 26377691.1統一呼叫中心 263219351.2服務系統支撐平臺 264114861.3駐場工程師 265219331.4智能機器人 26777661.5校趣多APP 267206161.6備件支撐體系 268217911.7遍布全國的辦事處 270304071.8設備原廠商服務保障體系 270165651.9運營商服務保障體系 272242291.10運維服務范圍及內容 273144232運營方案 287237232.1投資與收益評估 287142442.2校方、卓智、運營商合作策略 288313102.3運營系統設計 290300212.4運營服務流程 291170082.5運營服務指標 291

第一章技術方案無線網絡建設方案無線網絡先進性設計無線網絡設計原則XXX無線網絡的建設目標是實現全校區主要場所的無線網絡全面覆蓋，為滿足智能終端用戶無線上網、無線業務開展構建一個真正可用的無線網絡。總體要求：高信號質量：保證用戶環境下房間內各個角落的無線信號強度>-70dBm，注重滿足應用及終端使用需求；高數據傳輸性能：支持的802.11AC標準并滿足高密度用戶的無線接入需求，提供高數據傳輸速率；低干擾：確保同一房間內同頻干擾信號強度<-75dBm，提高整網吞吐性能，構建真正可用的無線網絡；多WLAN并存：合理的信道規劃部署，實現多WLAN網絡在同一用戶場景的共存。；美觀易管理：無線網絡結構簡單，需要管理的設備數量少，管理維護簡單方便，整個無線部署不影響用戶環境的美觀度；針對高安全性的數據建議采用集中式的轉發，此外，無線AC的部署方式，也需要在實施前認真規劃：AC與校園網核心交換機互連，無線用戶的網關在AC上，由AC與核心交換機通過路由，轉發無線數據。本次無線校園網建設，建議采用多SSID分別覆蓋的方式，老師和學生可以選擇接入不同的SSID無線AP漫游設計無線校園網需要支持未來的高速漫游、智能漫游的需要，可以滿足低延遲的視頻、語音等業務的需要，也可以滿足隨時定制接入用戶的應用范圍等管理上的需要。無線校園網高速漫游解決方案支持同一AC下AP之間快速漫游，保證無線客戶端在一個子網內部，從一個AP的覆蓋范圍移動到另一個AP的覆蓋范圍時，通信不中斷，用戶無需重新登錄和認證。無線校園網智能漫游解決方案支持系統靈活定義用戶的漫游范圍，可以根據用戶的身份和級別劃定其可以漫游，連接無線網絡的區域，為訪客、或學生、老師等定義不同的無線接入區域，例如，可以定義學生不能在主樓辦公區接入無線，可以在教學區接入無線，可以在宿舍區接入無線等。訪客只能在主樓的會議室接入無線等等靈活的管理策略。無線AP供電設計由于本次無線網中AP設備數量較多，無線AP供電的面臨巨大的挑戰。對于無線AP的供電一般采用三種方式：1）本地電源供電:采用AP自帶的直流適配器供電，對于高校無線校園網的環境，AP布放位置根據實際覆蓋效果而調整，AP供電在已建設完成的建筑物上較難進行本地供電。不能保障AP附近都會有電源，同時對電源的管理也是一個嚴重的問題；由于電源在吊頂內，工作環境惡劣，由于溫度過高引起的電源短路等嚴重的安全隱患。所以本地電源供電適合于AP數量不多，只適合局部無線部署使用，而且以室內部署為主，電源供給方便的環境。2）POE交換機供電:傳統的802.11a、b/g的AP采用802.3af標準，15W，802.11ac的AP需要提供802.3at標準，24W。采用兼容802.2af供電方式的802.11ac的AP既可采用原有的POE交換機等設備，也能夠采用POE+交換機。在高密度的無線AP的覆蓋場景下，建議采用POE交換機供電方式，選用支持802.3af兼容AP。采用低功耗的802.11acAP，兼容802.2af，節省投資；低碳、節能、綠色環保；3）POE供電適配器的方式:在AP數量不多場景下，如果采用POE交換機供電，會有浪費，增加了用戶的成本，同時，無線和有線一般是同時部署的。在有線接入交換機的接口有剩余的情況下，采用外接POE供電適配器的方式，將能充分利用現有的有線交換機，不用再增加專用的POE交換機，而極大地節省了用戶的投資。POE供電適配器，適合于無線AP節點數量不多的場所。無線覆蓋方案基于場景無線覆蓋規劃WLAN建設場景分為行政、教學、辦公區域、宿舍區域、室外覆蓋區域：此次無線網絡覆蓋場景主要分為以下類型：教學樓、辦公樓及圖書館等大開間環境下的無線部署針對教學樓，由于教室一般面積較大，內部寬敞無阻擋，房間多采用木門，且在走廊側會有大型玻璃窗體。又由于該區域主要用戶為上課教師或部分自習的學生，主要業務就是瀏覽網頁查找資料，對網絡質量要求相對不是很高。因此，可以在該區域采用稀疏的放裝式部署方案：將AP放在走廊里，覆蓋走廊兩側的房間，一個AP可覆蓋直徑20-30米。此次項目中無線采用的是RG-AP520銳捷網絡的新一代AP，搭載全新自主研發的X-sense靈動天線。該天線也屬于智能天線的一種，它綜合了交換波束天線和自適應陣列天線的優點，在對于簡單環境下的用戶接入，使用近似于交換波束的天線選擇方式去完成用戶快速高性能接入，而在復雜和干擾環境下，又能夠通過強大的軟件算法，控制多天線的組合來達到更好的效果，同時銳捷的智能天線技術還增加了對移動終端無線接入的識別和優化，這些都是銳捷網絡在AP智能天線技術上巨大創新，所以，銳捷網絡的X-sense也被稱為會思考的的靈動天線。RG-AP520產品外觀X-sense靈動天線65536種天線路徑選擇，覆蓋無死角業界創新研發的X-sense靈動天線矩陣架構，能夠動態選擇不同的天線組合，支持最高多達65536種組合方案，徹底解決傳統天線存在覆蓋盲區的弱點。無論在任何角落，X-sense都能定制出一條最適合移動智能終端當前位置的天線天線路徑，真正實現全面覆蓋，絕無死角。信號覆蓋對比全自動調節，讓信號隨你而“動”無論終端如何移動，都有最佳的信號路徑跟隨，這是X-sense靈動天線技術帶來的革命性改變。無需人工干預，X-sense憑借其強大的運算性能，可以在1毫秒內完成300次指向終端的信號路徑切換，即便在快速奔跑狀態下也能保證時刻都有最佳的信號與終端同“行”。X-sense信號追蹤示意圖功率不變，卻有3倍的信號提升X-sense能夠精確計算終端的位置，并通過動態組合的天線模式，針對每個終端位置來提升不同的信號強度，最大可以提升到普通AP的3倍，這使得覆蓋范圍內無論遠近的各個點都能接收最佳信號。而且完全不用擔心由此帶來的輻射增加，因為增強的信號強度都全部被用來抵消傳輸路徑和穿透墻壁的損耗，AP的發射功率都是完全符合國家標準。X-sense信號強度提升終端接入優化設計，更適合手機和平板電腦用戶當移動智能終端接入無線網絡時，X-sense會快速、準確的識別到終端的類型，如果是使用功率較低的手機、平板電腦等移動終端時，X-sense能夠通過動態信號補償技術，針對移動終端提升接收靈敏度、增加重傳，保證所有的終端都能獲得最優的接入效果。X-sense針對不同終端的補償示意干擾降低30%，部署更輕松干擾是無線網絡的最大難題，特別是當在狹小的空間部署大量AP時，干擾影響會尤為明顯，X-sense根據使用者位置自動調整無線信號的輸出方向，當受到干擾時，能夠自適應選擇更優的路徑避開干擾，這項技術經測試可以將干擾的影響有效降低30%以上！干擾對比圖宿舍樓等密集環境下的無線部署宿舍區域的房間比較密集墻壁較厚而且靠近走廊側沒有窗戶。對于無線信號的穿透有著一定的影響。因為對于無線部署提出了較高的要求，不僅要同時滿足良好覆蓋和性能需求并解決干擾問題。如果采用AP放裝部署在走廊，無線信號輻射進宿舍對宿舍單邊分布的建筑結構覆蓋3～4個房間的這種部署方式，容易產生無線覆蓋的盲區和AP的干擾問題，最終導致無線使用效果極差。本次方案中對于學校的學生宿舍的無線部署采用了高密度部署方案，通過采用墻面式AP進行無線信號覆蓋，同時為每個房間提供有線接口，用戶可以根據自己的需求自由選擇有線接入或者無線接入，從而保障用戶最佳的上網體驗，由于每房間均部署了一臺AP，使得性能不再成為瓶頸。由于采用AP入室的部署方式，解決了傳統AP在室外放裝部署穿墻覆蓋室內帶來的信號衰減嚴重、同頻干擾大的問題，特別是有鐵門無窗戶的宿舍網環境。面板AP方案通過AP入室的部署方式，每AP負責一個房間的信號覆蓋，在實地部署和測試中，每個房間的信號可達到-65db以上，保證了房間內無線信號滿格。重點辦公室無線部署部分辦公室較大，在走廊部署AP進行覆蓋的話無線穿透效果很差，很難保證無線網絡的質量。在這種環境下，采用的是墻面式AP進行部署。墻面板式AP部署方式采用標準的86開關面板盒規格，而且還集成了以太網口和IP電話接口，整個安裝過程只需要兩步就能快速實現無線網絡覆蓋。第一步、拆去房間內原有的有線網絡的接口面板，第二步、將原有網線插在AP上并直接安裝就能即插即用。它打破了以往無線網絡建設的老舊方式，無需再拉新的網線，而是有效利用了既有的網絡，將網絡新建對環境的影響時間降到最低。校園室外公共區域無線部署考慮到校園室外公共區域空間較大并且存在一些障礙物，可以采用室外型接入點RG-AP630，雙路均具備500mW雙向功率放大能力，可根據不同的室外環境和覆蓋需求，配合相應的外接天線，帶來飽滿的信號覆蓋體驗，可完全保障信號在室內和戶外的傳輸。室外區域分布有較高、密集的建筑群和植物群，這對于信號的阻擋將是較大的障礙。因此，應當選用專用的室外大功率無線AP產品，配置使用定向天線，可以保證無障礙下的300米半徑覆蓋以及近距離的多重障礙物的穿透能力，完全保證了室外區域的信號覆蓋品質，同時設備本省具備抗雷擊、防雨、防潮、抗高低溫、阻燃等多項指標，無線室外覆蓋，建議部署在小區內的制高點上，同時采用定向天線向進行無線覆蓋。室外AP無線多SSID設計 為了滿足多家運營商接入需求，避免多運營商單獨建網導致的無線信道沖突、用戶無線有效帶寬降低等情況，在校園無線承載網上采用多接入設計思路，通過多SSID設計來實現。無線用戶根據自身的連接需求分別通過不同的SSID接入不同的網絡。AC根據SSID的不同，將用戶劃分入不同的VLAN，最終實現不同的用戶通過不同的SSID接入校園網，不同VLAN之間互不干擾。不同SSID可根據需要采用集中轉發或者本地轉發模式，滿足業務開展與認證管理的需要。無線接入認證設計終端智能識別的WEB認證無線網絡在提供便捷網絡服務的同時，仍需確保只有合法的用戶才能使用無線網絡。WEB認證就是一種對用戶訪問網絡的權限進行控制的身份認證方法，這種認證方法不需要用戶安裝專用的客戶端認證軟件，使用普通的瀏覽器軟件就可以進行身份認證，是目前無線主流的認證方式之一。而且隨著近年來iPhone、iPad、Android、WindowsPhone等各種智能能移動終端的日益普及，網絡中不再是清一色的筆記本電腦終端。一個智能的無線網絡，必須能夠考慮到不同的終端類型、屏幕尺寸對Portal認證頁面的不同要求，實時地對各種終端類型進行識別，并推送符合終端屏幕尺寸的WEBPortal頁面，使用戶能夠更為便捷的輸入用戶名及密碼，提升無線用戶體驗。銳捷網絡的無線控制器不僅支持終端自動識別功能和WEBPortal頁面推送，而且推送的認證頁面還可以根據用戶自定義放置一些廣告、通知、業務鏈接等，提供更多個性化服務。自適應認證頁面基于802.1X的無感知認證IEEE802.1X協議是一種基于端口的網絡接入控制協議，主要目的是為了解決無線用戶的接入認證問題。對于基于802.11系列標準的無線局域網，通過對無線用戶的身份驗證，無線網絡可以打開或關閉無線終端接入的接口，同時還可以根據其身份屬性，為其分配動態角色和VLAN，確保用戶終端接入的安全性。在安全性上，WEBPortal認證不提供密鑰的生成和交換機制，因此所有的用戶流量都是以明文方式傳輸的，容易被截獲和偵聽；802.1X（WPA2-AES）符合802.11i安全標準，在用戶認證的基礎上，對每個報文采用不同的密鑰進行逐包加密，具有更高的安全性。在便捷性上，WEBPortal認證直接通過瀏覽器輸入用戶名及密碼，整個操作過程較為簡單快捷；普通的802.1X認證一般需要安裝認證客戶端或對操作系統原生認證客戶端進行配置等，操作過程較為復雜，用戶體驗相對較差。為了保證無線用戶接入同時具有較高安全性和便捷性，銳捷網絡在BYOD（Bringyourowndevice）解決方案中提出了基于802.1X的無感知認證技術，用戶只需要在第一次認證中安裝一個快速1X配置助手，并完成首次用戶名及密碼的輸入，以后無線終端只要發現無線信號，就會自動進行802.1X的接入認證并連接無線網絡，真正實現“一次登陸，三步操作，后續無憂”，帶給用戶最佳的使用體驗。圖步驟1：連接無感知認證的SSID后選擇1X快速配置助手圖步驟2：確認運行快速配置助手圖步驟3：輸入完后用戶名和密碼后，即可訪問WLAN圖手機無感知認證過程二維碼認證對于校園內的一些開放區域在學校舉行一些活動時需要對校外訪客進行臨時無線網絡開放，于是這些訪客人員的無線網絡使用時的認證又該如何管理才能有確保接入的安全性和使用的便捷性，成為學校網絡管理人員需要解決的問題。極簡方案支持通過銳捷網絡無線與RG-SAM的訪客管理功能實現二維碼認證和短信注冊認證來解決以上問題。讓訪客更安全，易用，給信息中心價值呈現帶來幫助。擔保人按照自己的臨時賬號開通級別申請一個二維碼，然后可以提供給訪客使用。每個臨時賬號都會與擔保人關聯，以后可以提供相關統計或審計功能，管理員可以掌握每一個臨時賬號是由那個擔保人開通。每一個二維碼都是有時效的，超過時效后對應的在線用戶被強制下線，同時預銷戶對應的所有臨時賬號。方便網絡管理人員對于臨時賬號的管理工作。高校訪客二維碼，訪客只需要拿出手機掃一下二維碼就可以體驗上網了，提高訪客入網體驗。之授權二維碼使用流程：a.管理員設置擔保人級別（可接待用戶數），b.擔保人自助生成二維碼，并將二維碼打印出來，c.訪客拿自己的手機掃描二維碼上網。訪客的上網行為和擔保人關聯，安全性高?？稍O置擔保人一對一接待/一對多接待方案。適用于小規模接待之公共二維碼使用流程：a.管理員設置公共賬號，生成二維碼，并打印出來，b.訪客拿自己的移動終端上網掃描認證上網。共享同一賬號，適合大規模方案來上網，且對安全可控要求不高的場景。另外還有一種方式就是采用短信注冊認證的方式針對訪客用戶數量較大的場景，比如學校舉行大型的學術或慶典活動。用戶在認證頁面上通過手機號自主注冊網絡賬號進行網絡認證。以上訪客方案極簡網絡均可以提供。無線安全技術設計通常情況下，安全認證工作由網關類設備完成，對于XXX部署的無線網絡，作為校園網的一部分，必須確保接入的網絡用戶的合法性。由于無線信號的公開性，采取傳統的網關認證的模式，將所有的認證數據集中在網關設備進行，只能限制學生訪問數據經過認證網關的情況，而對于不經過認證網關的校內網訪問無法起到有效的阻止作用。學生數據加密安全AP通過WEP、TKIP和AES加密技術，為接入學生提供完整的數據安全保障機制，確保無線網絡的數據傳輸安全。虛擬無線分組技術通過虛擬無線接入點（VirtualAP）技術，整機可最大提供16個ESSID，支持16個802.1QVLAN，網管人員可以對使用相同SSID的子網或VLAN單獨實施加密和隔離，并可針對每個SSID配置單獨的認證方式、加密機制等。標準CAPWAP加密隧道確保傳輸安全無線AP接入點與無線控制器以國際標準的CAPWAP加密隧道模式通信，確保了數據傳輸過程中的內容安全。射頻安全在一體化網管系統、RG-WS系列無線控制器產品的配合下，智分型AP可啟用射頻探針掃描機制，實時發現非法接入點、或其它射頻干擾源，并提供相應的告警，使網管人員可隨時監控各個無線環境中的潛在威脅和使用狀況。ARP欺騙的防護ARP檢測功能有效遏制了網絡中日益泛濫的ARP網關欺騙和ARP主機欺騙的現象，保障了學生的正常上網。無論在動態分配IP環境下，還是靜態分配IP環境下，均可實現自動綁定工作，大大的節省了人力成本，降低了管理開銷。而配合ARP速率監控控制ARP報文發送的速率，防止惡意利用掃描工具進行ARP泛洪占據網絡帶寬，導致網絡擁塞的攻擊行為。DHCP安全支持DHCPsnooping，只允許信任端口的DHCP響應，防止未經管理員許可私自架設DHCPServer，擾亂IP地址的分配和管理，影響學生的正常上網的行為；并在DHCP監聽的基礎上，通過動態監測ARP和檢查源IP，有效防范DHCP動態分配IP環境下的ARP主機欺騙和源IP地址的欺騙。無線QOS設計802.11的WLAN網絡為用戶提供了公平競爭無線資源的無線接入服務，但不同的應用需求對于網絡的要求是不同的，而原始802.11網絡并沒有提供區分業務優先級的機制，不能為不同應用提供不同質量的接入服務。當網絡發生流量擁塞時，需要優先處理的業務報文（例如語音報文）和普通報文（例如瀏覽網頁的報文）會按相同的概率被丟棄。這和有線網絡相對完善的QOS機制無法很好的銜接，已經不能滿足實際應用的需要。WLANQOS能針對各種不同需求，提供不同的網絡服務質量。對實時性及可靠性要求高的數據報文提供更好的服務質量，并進行優先處理；而對于實時性不強的普通數據報文，則提供較低的處理優先級。802.11e只實現了無線空口的業務優先級區分、高優先級業務優先保障帶寬，沒能解決如何在全網實現端到端的QoS問題。銳捷無線控制器（AC）+FITAP的端到端QoS解決方案不僅解決了無線接入點和無線用戶直接在無線介質上的QoS，而且還通過將無線用戶的優先級映射與無線控制器－FITAP間的CAPWAP隧道優先級，結合有線網絡QoS機制進而實現了全網的端到端QoS。IEEE802.11協議規定采用的DCF（DistributedCoordinationFunction，分布式協調功能）調度模式是基于CSMA/CA（CarrierSenseMultipleAccesswithCollisionAvoidance，載波監聽/沖突避免）原理，使得所有終端用戶獲取到信道的機會是均等的。IEEE802.11e為基于802.11協議的WLAN體系添加了QoS特性，這個協議的標準化時間很長，在這個過程中，Wi-Fi組織為了保證不同WLAN廠商提供QoS的設備之間可以互通，定義了WMM（Wi-FiMultimedia，Wi-Fi多媒體）標準。WMM標準使WLAN網絡具備了提供QoS服務的能力。WMM通過將數據報文劃分為4個接入分類（AC）隊列，高優先級AC占用信道的機會高于低優先級AC，從而能針對每類報文提供不同級別的服務。無線數據流分隊列為了使有限的網絡資源能夠更好地發揮效用，更好地為更多的用戶服務，設備需要支持流量限速功能。當數據流量符合承諾速率時，允許數據包通過；數據流量不符合承諾速率時，丟棄數據包。評估流量的參數如下：平均速率（average-data-rate）即允許的流的平均速度，也叫承諾信息速率。突發速率（burst-data-rate）即每次突發所允許的最大的流量，也叫承諾突發尺寸。設置的突發尺寸必須大于最大報文長度。為了保證端到端的QOS，銳捷無線網絡提供了無線QOS到有線QOS以及有線QOS到無線QOS的映射關系，進而實現了全網的端到端QoS。銳捷網絡無線產品支持多種服務質量QOS，支持802.11e中的EDCF優先級，支持以太網口支持802.1p識別和標記。支持優先級隊列及映射、流量限制、流分類。并且能夠對QOS策略映射不同SSID/VLAN。無線QOS映射無線覆蓋指標要求無線覆蓋信號覆蓋區域信號強度不低于-75dBm，信噪比SNR≥20。業務使用較為集中區域的接入速率應不低于140Mbps。室內分布系統天線的等效全向輻射功率≥7dBm。室外分布系統天線、獨立WLAN天線的等效全向輻射功率≥22dBm。室外覆蓋方式時，WLAN無線信號一般按穿透一堵墻設計。工作頻段與頻點規劃依照WLAN的國際規范和國際無線電管理委員會的標準，WLAN無線設備的工作頻段為2400-2483.5MHz，帶寬83.5MHz，劃分為14個子信道，每個子頻道帶寬為22MHz,最多有13個信道可用。頻道分配如下圖所示：無線頻段在多個頻道同時工作的情況下，為保證頻道之間不互相干擾，要求兩個頻道的中心頻率間隔不能低于25MHz?？紤]參照北美標準設計的許多WLAN設備和終端（比如網卡）不能使用12、13信道做為學生信道，因此建議一般選用1/6/11信道。部署雙頻點的無線接入點，802.11n同時工作在2.4GHz和5GHz頻點；5GHz：更多的頻譜資源-數量較多的不沖突頻點，更少的干擾（藍牙、微波爐），從40MHz信道綁定獲得最高的性能，很多802.11n的客戶端只有在5GHz頻段上支持40MHz；2.4GHz：采用2.4GHz頻點，兼容原有的802.11a、b/g的客戶端；不建議在2.4GHz頻點使用40MHz信道綁定，大部分客戶端不支持；避免了802.11a、b/g與802.11n混用，降低性能。通過對XXX初步勘測，發現目前樓宇內已經部署運營商的無線信號，故在本次無線項目實施過程中，將根據目前發現樓宇內存在的無線信號所使用的頻段，進行靈活調配，將無線信號干擾降到最低。覆蓋效果計算AP的信號總強度公式：Gt－Gr＋AP天線增益＋終端天線增益＝L信號總強度（dB）。AP部署空曠區域，20-25米遠，筆記本無線接入計算（基于dBm）無線AP發射功率100mW發射功率（高調制速率時發射功率會下降2－5db）20增項室內定向發射天線增益12dBi12筆記本天線增益2dBi2減項參考平均3米7D饋線損耗；-10一般情況：由于天線不對正，不再主波瓣情況的調整-52.4G/5.8G空間傳播20米-66/-74（2.4G10米60dB，5.8G10米68dB，每1倍變化差6dB）各種衰落/波動影響（室內、市區<15dB)-15根據較壞情況接受電平RSSI＝發射功率＋增項＋減項－（－95dBm）33/25計算的RSSIRSSI為20以上可以實現滿速率，RSSI為16是較好，RSSI為13是可以連接的，RSSI在5－10連接很不穩定信號質量好可以達到滿速率網絡安全設計設備級安全功能設備級可靠性主要從設備自身可靠性，網絡中的核心層交換機需要具備關鍵的可靠性技術：可靠性指標必須達到99.99%。所有關鍵器件，如主控板、電源等都采用冗余設計，業務模塊支持熱插拔。網絡核心設備無源背板，采用無源器件的背板，可靠性更高。網絡核心設備支持不間斷轉發，主控板熱備份。主備倒換過程不影響業務轉發，不丟包。為避免因病毒、蠕蟲等引起的網絡泛洪對網絡設備造成CPU升高等影響網絡的情況出現，所有設備應具備CPU保護技術來避免異常流量和攻擊流量對設備可靠性的威脅。安全策略部署透明，不影響設備和網絡性能，不影響業務和用戶體驗基于上述要求，選擇的核心交換機支持多種硬件的安全防護技術，主要包括：引擎切換數據不間斷轉發、電源冗余、業務模塊熱插拔、防Dos攻擊、防掃描、防源IP地址欺騙、SPOH、CPP、LPM+HDR等。通過采用專門針對攻擊手段設計的ASIC芯片針對網絡中的各種攻擊進行安全的防護，保證在處理安全問題的同時依然不影響網絡正常數據的轉發。建議選擇的全系列交換機具備的硬件CPU保護功能（CPP）可實現對CPU的自動硬件防護機制，保證設備不會因為協議攻擊而宕機。同時交換機上具備的SPOH技術（基于硬件的同步式處理），在線卡的每個端口上利用FFP硬件進行安全防護和智能保障，各端口可以同步地、不影響整機性能地進行硬件處理。最長匹配（LPM）技術解決了“流精確匹配”的缺點，支持一個網段使用一個硬件轉發表項，杜絕了攻擊和病毒對硬件存儲空間的危害。HDR拋棄了傳統方式CPU參與“一次路由”的效率影響，在路由轉發前形成路由表項，避免了攻擊和病毒對CPU利用率的危害。LPM+HDR技術的結合不僅極大地提升了路由效率，而且保障設備在病毒和攻擊環境下的穩定運行。防ARP攻擊設計作為攻擊源的主機偽造一個ARP數據包，此ARP包中的IP與MAC地址對同真實的IP與MAC對應關系不同，此偽造的ARP包發送出去后，網內其它主機根據收到的ARP包中的SENDER’S字段，ARP緩存被更新，被欺騙主機或網絡設備的ARP緩存中特定IP被關聯到錯誤的MAC地址，被欺騙主機或網絡設備訪問特定IP的數據包將不能被發送到真實的目的主機或網關，目的主機或網關不能被正常訪問。防ARP欺騙設計在宿舍區接入交換機上開啟ARP-CHECK功能，提取ACE中的IP+MAC資源，形成新的ACE資源（ARP報文過濾），對經過交換機的ARP報文進行檢驗，對交換機綁定表中存在的ARP表項進行放行，對非法的ARP報文直接丟棄，從而實現防ARP欺騙功能。交換機IP防掃描設計眾所周知，許多黑客攻擊、網絡病毒入侵都是從掃描網絡內活動的主機開始的，大量的掃描報文也急劇占用了網絡帶寬，導致正常的網絡通訊無法進行。而且，互聯網上掃描的工具多如牛毛。為此，方案中的三層核心交換機提供了防掃描的功能，用以防止黑客掃描和類似“沖擊波病毒”的攻擊，以減輕三層交換機的CPU負擔。目前發現的掃描攻擊有兩種：目的IP地址不斷變化的掃描，“scandestipattack”。這種掃描攻擊是最危害網絡的，不但消耗網絡帶寬，增加交換機的負擔，更是大部分黑客攻擊手段的起手工具。目的IP地址不存在的掃描，“samedestipattack”。這種攻擊主要是通過增加交換機CPU的負擔來實現的。對三層交換機來說，如果目的IP地址存在，則報文的轉發會通過交換芯片直接轉發，不會占用交換機CPU的資源；而如果目的IP地址不存在，那么交換機CPU會定時去嘗試連接，如果存在大量的這種嘗試連接，也會消耗CPU資源。當然，這種攻擊的危害比第一種小得多了。以上這兩種攻擊，核心交換機都可以通過在接口上調整相應的攻擊閥值、攻擊主機隔離時間等參數，來減輕其對網絡的影響。另外，還可以根據網絡中可監控的主機數，在全局模式下設置可監控攻擊主機的最大值，以達到更好地保護系統的要求。防DOS/DDOS攻擊近年來，各種DoS攻擊（DenialofService，拒絕服務）報文在互聯網上傳播，給互聯網用戶帶來很大煩惱。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務的響應。攻擊報文主要采用偽裝源IP以防暴露其蹤跡。針對這種情況，RFC2827提出在網絡接入處設置入口過濾（IngressFilting），來限制偽裝源IP的報文進入網絡。這種方法更注重在攻擊的早期和從整體上防止DoS的發生，因而具有較好效果。使用這種過濾也能夠幫助ISP和網管來準確定位使用真實有效的源IP的攻擊者。ISP應該也必須采用此功能防止報文攻擊進入Internet；企業（校園網）的網管應該執行過濾來確保企業網不會成為此類攻擊的發源地。交換機采用基于RFC2827的入口過濾規則來防止DoS攻擊，這種過濾是通過自動生成特定的ACL來實現，該過濾采用硬件實現而不會給網絡轉發增加負擔。路由安全設計（1）路由認證和保護路由認證（RoutingAuthentication），就是運行于不同設備的相同的動態路由協議之間，對相互傳遞的路由刷新報文進行的確認，以便使得設備能夠接受真正而安全的路由刷新報文。任何運行一個不支持路由認證的路由協議，都存在著巨大的安全隱患。某些惡意的攻擊者可以利用這些漏洞，向網絡發送不正確或者不一致的路由刷新，由于設備無法證實這些刷新，而使得設備被欺騙，最終導致網絡的癱瘓。目前，多數路由協議支持路由認證，并且實現的方式大體相同。認證過程有基于明文的，也有基于更安全的MD5校驗。MD5認證與明文認證的過程類似，只不過密鑰不在網絡上以明文方式直接傳送。路由器將使用MD5算法產生一個密鑰的“消息摘要”。這個消息摘要將代替密鑰本身發送出去。這樣可以保證沒有人可以在密鑰傳輸的過程中竊取到密鑰信息。為了保證路由協議的安全，在路由協議配置時必須配置OSPF的認證，建議采用MD5認證。（2）關閉IP功能服務有些IP特性被惡意攻擊者利用，會增加網絡的危險，因此，網絡設備應具備關閉這些IP功能的能力。IP源路由選項開關在IP路由技術中，通常一個IP報文總是沿著網絡中的每個路由器所選擇的路徑上轉發分組。IP協議中提供了源站和記錄路由選項，它的含義是允許源站明確指定一條到目的地的路由，覆蓋掉中間路由器的路由選擇。并且，在分組到達目的地的過程中，把該路由記錄下來。源路由選項通常用于指定網絡路徑的故障診斷和某種特殊業務的臨時傳送。因為IP源路由選項忽略了報文傳輸路徑中的各個設備的中間轉發過程，而不管轉發接口的工作狀態，可能被惡意攻擊者利用，刺探網絡結構。因此，設備應能關閉IP源路由選項功能。重定向開關網絡設備向同一個子網的主機發送ICMP重定向報文，請求主機改變路由。一般情況下，設備僅向主機而不向其它設備發送ICMP重定向報文。但一些惡意的攻擊可能跨越網段向另外一個網絡的主機發送虛假的重定向報文，以期改變主機的路由表，干擾主機正常的IP報文轉發。因此，設備應能關閉ICMP重定向報文的轉發。定向廣播報文轉發開關在接口上進行配置，禁止目的地址為子網廣播地址的報文從該接口轉發，以防止smurf攻擊。因此，設備應能關閉定向廣播報文的轉發。缺省應為關閉狀態。ICMP協議的功能開關很多常見的網絡攻擊利用了ICMP協議功能。ICMP協議允許網絡設備中間節點（路由器）向其它設備節點和主機發送差錯或控制報文；主機也可用ICMP協議與網絡設備或另一臺主機通信。對ICMP的防護比較復雜，因為ICMP中一些消息已經作廢，而有一些消息在基本傳送中不使用，而另外一些則是常用的消息，因此ICMP協議處理中應根據這三種差別對不同的ICMP消息處理，以減少ICMP對網絡安全的影響。設備管理安全設計（1）只開放必要的網絡服務網絡設備可以提供很多網絡服務，有些服務可能成為網絡攻擊的對象。為了提供網絡設備的安全級別，盡可能關閉不必要的服務，降低網絡攻擊的風險。（2）網絡管理認證 管理員認證應采用集中認證和本地認證相結合的方式，集中認證為主要認證方式，本地認證為備份認證方式，在集中認證服務器無法訪問的情況下使用本地認證。集中認證采用Radius認證協議，同時在設備上建立本地用戶數據庫，在Radius服務器不可用的情況下，使用本地數據庫進行驗證。在VTY和Console接口上啟用管理認證，認證方式為集中認證和本地認證相結合。（3）Telnet接入安全TELNET是對網絡設備進行管理的主要手段，可以對設備進行最為有效的操作，為了確保TELNET訪問的合法性和安全性，我們需要注意：1.設置最大會話連接數；2.設置訪問控制列表，限制TELNET的連接請求來自指定的源IP網段；3.盡量用SSH代替TELNET，采用SSH的好處是所有信息以加密的形式在網絡中傳輸。（4）SNMP安全通過SNMP可以對設備進行全面的日常管理，為了提高SNMP管理的安全性，需要應注意以下幾點：1.避免使用缺省的snmpcommunity，設置高質量的口令；2.不同區域的網絡設備采用不同的snmpcommunity；3.把只讀snmpcommunity和可讀寫snmpcommunity區分開來；4.配置ACL來限制能夠通過SNMP訪問網絡設備的IP地址。匯聚嵌入式安全面對現在網絡環境越來越多的網絡病毒和攻擊威脅，要求操作系統提供強大的網絡病毒和攻擊防護能力，網絡硬件不僅提供了基于SPOH技術的ACL功能，而且還支持防源IP地址欺騙（SouceIPSpoofing）、防DOS/DDOS攻擊（Synflood，Smurf），防掃描（PingSweep）等能力，從設備本身的功能即可保證網絡安全。因此對于局域網中，建議如下部署：在核心匯聚部署支持防源IP地址欺騙（SouceIPSpoofing）、防DOS/DDOS攻擊（Synflood，Smurf），防掃描（PingSweep）等能力。接入安全控制在接入部署ACL，對沖擊波、蠕蟲等病毒進行防范已經生成數BPDU攻擊、MAC攻擊等二層攻擊，使有害數據包在接入就被過濾。要求接入交換機具備完善的QoS以及強大的安全接入控制能力。具體要求如下：二至四層線速轉發，二至七層智能識別：硬件全線速實現路由、ACL、QOS、帶寬限制，全面提升用戶體驗；硬件實現端口與MAC地址和用戶IP地址的綁定：不需要第三方設備或軟件，僅通過設定訪問交換機上某個端口的用戶MAC地址和IP，就可硬件實現嚴格控制對該端口的用戶輸入，有效防止非法用戶的接入。有效杜絕非法組播源：支持IGMP源端口檢查功能，以及支持IGMP源IP檢查功能，有效地杜絕非法的組播源播放非法的組播信息，更好地提高了網絡的安全性。極靈活的基于流的帶寬控制能力：具備MAC流、IP流、應用流等多層流分類和流控制能力，實現靈活精細的帶寬控制、轉發優先級等多種流策略，帶寬限制粒度達64Kbps，支持網絡根據不同的業務、以及不同業務所需要的服務質量特性，提供差異化服務完善的QoS：RG-S29E支持完善的QOS，以DiffServ標準為核心的QoS保障系統，支持802.1P、IPTOS、二到七層流過濾、SP、WRR等完整的QoS策略，實現基于全網系統多業務的QoS邏輯；強大的安全接入控制能力：硬件本身即可實現端口與MAC地址和用戶IP地址的綁定，另外和配合寬帶認證計費管理系統可實現用戶帳號與IP、MAC、交換機IP、端口、VlanID多元素的復合綁定。保證用戶身份的合法性和唯一性，可以有效的避免IP地址沖突、帳號盜用等問題發生。通過PVLAN即可隔離用戶信息互通：采用保護端口（即將該端口設為保護端口）實現端口之間相互隔離，不必占用VLAN資源。采用保護端口即保證用戶信息安全，又節約VLAN資源，同時不必再修改VLAN配置，大大提高維護效率。多端口同步監控MSPAN：通過一個端口可同時監控多個端口的數據流，可以只監控輸入幀或只監控輸出幀或雙向幀，有效提高監測效率。IP+MAC+端口綁定學生宿舍區的用戶上網的安全性非常重要，要求接入交換機可以實現端口IP+MAC地址的綁定關系，可以支持基于MAC地址的802.1X認證。MAC地址的綁定可以直接實現用戶對于邊緣用戶的管理，提高整個網絡的安全性、可維護性。防止病毒廣播泛洪要求接入交換機可實現廣播報文的計數累計功能，往往一臺主機受病毒時會發出大量的廣播報文，交換機可實現對與進入報文的計數累計，廣播病毒一般會在短時間內產生大量的廣播包，通過可設置廣播包的閥值，當達到一定的廣播保文的數量時端口可是直接關閉，確保網絡的安全、穩定。入網用戶身份認證基于802.1X的擴展的認證計費系統在用戶第一次上網就必須認證，保證了用戶上網的安全和合法性。防止對DHCP服務器攻擊使用DHCPServer動態分配IP地址會存在兩個問題：一是DHCPServer假冒，用戶將自己的計算機設置成DHCPServer后會分發非法地址給終端用戶，造成用戶無法使用網絡，；二是用戶DHCPSmurf，用戶使用軟件變換自己的MAC地址，大量申請IP地址，很快將DHCP的地址池耗光。對于第一種情況，使用接入交換機的訪問列表就可以實現防范：在安全接入交換機上定義一個訪問列表，該訪問列表允許目的IP地址為合法DHCP服務器（或這個網段的網關地址，部分三層交換機在DHCPrelay之后，DHCPsever的地址會替換成三層SVI的地址）、sourceport為67而destinationport為68的UDP報文通過。而其它sourceport為67而destinationport為68的UDP報文拒絕，之后把這個訪問列表應用到上聯物理端口上。同時再定義一個訪問列表，拒絕sourceport為67而destinationport為68的UDP報文通過，并運用在下聯端口。對于第二種情況，開啟接入交換機的端口安全功能就可以實現防范。在接入交換機設置端口安全，可以根據網絡的實際情況設置，設置某個端口下學習源MAC的個數，一旦學習到的源MAC地址大于設置值，那么數據幀就會在端口丟棄，同時發送警告信息通知網管員，或是邏輯上關閉該端口。如下圖：而對于用戶手工設置靜態IP地址，造成和已分發的動態IP地址沖突，可以通過認證系統指定用戶只能采用DHCP獲取IP。多元素綁定技術構筑高安全校園網IP地址、MAC地址、接入交換機端口、以及接入交換機IP、身份信息、是標識網絡用戶的基本元素，而單一的元素無法為管理員來標識一個用戶，而網絡安全被利用最多還是MAC、IP地址等。MAC地址欺騙將合法的MAC地址修改成不存在的MAC地址或其他人的MAC地址，從而達到隱藏自己真實的MAC，來達到一些不可告人的目的，這就是MAC地址欺騙。MAC地址泛洪攻擊交換機由于交換機內部的MAC地址表空間是有限的，正常情況下，這些MAC地址表是足夠用的，一般情況下，基本不會發生MAC地址表被占滿的情況。但如果有人惡意對這臺交換機進行MAC地址泛洪攻擊的話，則會很快占滿交換機內部MAC地址表，使得本來交換機本來是按單播進行轉發數據包的，但由于MAC地址表已經被占滿了，所有的交換機的端口都在一個廣播域里了，因此交換機轉發數據包的機制變成了廣播了。因此交換機變成了一個Hub，因此別的端口可以收到所有的其他端口的數據，因此用戶的信息傳輸也沒有安全保障了。IP地址隨意更改手工更改用戶自己的IP地址，這使得原本分到該IP地址的合法用戶無法正常上網，同時也將導致整個網絡的IP地址管理混亂。非法用戶向被攻擊的主機發出大量的攻擊包，同時將報文中的源IP地址進行修改以掩藏自己真實的IP，這樣就可以逃避網管的追查，“堂而皇之”的攻擊對方了。因此根據以上安全的情況，我們建議采用認證系統的綁定功能，對宿舍網用戶進行管理。通過認證系統(AAA)服務器綁定每一個用戶的元素信息，當用戶認證時，802.1X客戶端將所需要的元素信息傳送到認證系統服務器，認證系統會將所傳送的信息和數據庫做一一的匹配，如果有任一一元素不符合認證系統所定義，那么將視此用戶為非合法用戶，認證系統將不允許此用戶認證通過，并反饋通知用戶綁定錯誤相關信息。如果用戶認證通過后修改地址，那么客戶端也會檢測到并發送到認證系統服務器，同時認證系統服務器會將此用戶剔除下線。為了管理方便，我們建議使用第一次登錄自動時綁定信息，當用戶第一次認證時將相關的元素信息自動的寫入數據庫，無需手工錄入元素信息作靜態綁定。防止用戶私設代理服務器用戶自行架設代理服務器以及用戶認證后再自行撥號上網，這是網絡安全最大的兩個隱患。交換機提供代理服務器屏蔽和撥號屏蔽功能。實現該功能交換機端不需任何設置。只需在認證系統服務器端配置相應的屬性。考慮到學生的技術性較強，在實際的應用的過程當中應當充分考慮到學生的代理服務器的使用，對于代理服務器的防止，交換機配合802.1X的客戶端以及認證系統服務器，一旦檢測到用戶PC機產生代理流量，系統自動將用戶剔除下線，并反饋信息。惡意用戶追查對每個用戶分配一個賬戶，使用認證系統管理用戶。由認證系統記錄用戶每次上網的用戶名，源IP地址，上網開始和結束時間。然后通過安全認證管理系統認證系統查找MAC地址和IP地址，就可以根據源IP或源MAC在系統上查到該用戶所在的交換機以及在該交換機上所接的端口，通過這種方式可以立刻定位用戶，方便對于大型網絡的管理，能夠方便快捷的防止惡意用戶的攻擊。同時，認證系統系統可以隨機保存15～90天的用戶上網記錄（根據管理的需要，自行定義天數），并可以實現數據的備份。設備清單序號名稱品牌產品型號數量產地1出口路由器銳捷網絡RG-RSR7708-X1福建銳捷網絡RSR7708-SCRMI-X2福建銳捷網絡RSR7708-DSF-X2福建銳捷網絡RG-PA600-RI2福建銳捷網絡RSR77-SIP1-X2福建銳捷網絡FNM-8GE2福建銳捷網絡FNM-2XS2福建銳捷網絡XG-SFP-LR-SM13108福建銳捷網絡XG-SFP-SR-MM8504福建2核心交換機銳捷網絡RG-N180101福建銳捷網絡M18010-CMII2福建銳捷網絡M18010-FE-DI2福建銳捷網絡RG-PA1600I2福建銳捷網絡M18000-44SFP4XS-ED1福建銳捷網絡M18000-48XS-DB1福建3服務器接入交換機銳捷網絡RG-S2910-24GT4XS-E1福建銳捷網絡XG-SFP-SR-MM8504福建4認證計費系統銳捷網絡RG-SAMV3.X企業版1福建銳捷網絡RG-SAMV3.X企業版License15福建5Portal管理系統銳捷網絡RG-ePortal企業版1福建銳捷網絡RG-ePortal企業版License9福建6日志記錄系統銳捷網絡RG-eLog1福建7無線控制器銳捷網絡RG-M18000-WS-ED2福建銳捷網絡LIC-WS-12813福建8宿舍面板式AP銳捷網絡RG-AP130-L2948福建911ac室內無線接入點銳捷網絡RG-AP520776福建1011ac室外無線接入點銳捷網絡RG-AP630(定向)30福建銳捷網絡RG-E-13030福建11無線接入點24口PoE交換機銳捷網絡RG-S2928G-24P154福建12無線接入點12口PoE交換機銳捷網絡RG-S2928G-12P36福建13樓宇匯聚交換機銳捷網絡RG-S2910-24GT4XS-E38福建銳捷網絡XG-SFP-LR-SM131076福建14認證計費服務器聯想ThinkServerRD4501北京15Portal管理系統服務器聯想ThinkServerRD4501北京16日志記錄服務器聯想ThinkServerRD4501北京17綜合布線普天根據實際情況進行投入實施1南京技術參數品目設備名稱數量主要技術參數及性能（配置）1出口路由器1臺1.采用全分布式轉發處理架構，交換容量：16Tbps，包轉發率：2880Mpps2.獨立交換網板插槽：2個3.整機業務插槽數量:4個（不含路由引擎、交換網板、業務子卡插槽）4.支持路由引擎、業務載板/模塊、電源/風扇等關鍵部件的高可用性熱插拔設計5.支持并實配支持L2TP、IPSecVPN、GREVPN功能，如需配置獨立硬件板卡或購買License才能支持該功能特性，則要求必須配置相應獨立硬件板卡或License6.支持并配置靜態路由、等價路由、策略路由；支持并可配置RIPv1/v2、BGPv4、BGP4+等路由協議7.支持并配置虛擬化功能，支持N：1的多虛一功能8.支持并配置Telnet、SSH管理模式；支持并配置CLI、SNMPv1/v2/v3、RMON1/2/3/9；9.支持并實配防火墻功能，可提供狀態檢測、URL過濾、SSLVPN等多種安全特性10.配置：配置雙引擎、雙電源、雙交換網板;配置光口數量:16，配置電口數量：16，配置萬兆光口數量:42核心交換機1臺1.正交Clos交換架構，交換網板與主控板硬件槽位分離且為正交架構2.交換容量167.2Tbps，轉發性能43,200Mpps，主機槽位數：103.為保障機框內各種業務板實現電信級抗壓和散熱性能，整機模塊插槽必須采用豎形槽位設計，產品圖片證明見附件4.配置支持FCoE協議，實現LAN和FCSAN網絡融合一體化部署5.配置支持TRILL透明交換網絡協議，簡化大規模網絡部署方式，第三方權威機構測試報告見附件6.配置支持一虛多技術，一臺交換機可虛擬化為N臺交換機，實現多業務之間隔離7.支持集中認證解決方案實現扁平化組網，整機支持≥90K個的IPV4/IPV6雙棧終端集中認證和并發在線，支持802.1X、PPPOE、Portal、MAC認證、免認證等多種靈活的認證方式8.整機上線速度≥900個用戶/秒9.支持OpenFlowv1.3協議，支持協議無關轉發，可實現核心網絡向SDN平滑演進，第三方權威機構測試報告見附件10.配置：配置冗余電源，冗余網板,每臺配置萬兆光口數≥52個；千兆光口數≥44個；3服務器接入交換機1臺1.固化千兆電接口≥24個,SFP+萬兆光接口≥4個(非復用);2.交換容量≥264Gbps,包轉發率≥96Mpps;3.支持VoiceVLAN,基于MAC/協議/IP子網/端口的VLAN,MAC地址自動學習和老化,靜態、動態、黑洞MAC表項;4.支持IPv4、IPv6靜態路由、RIP、RIPng等三層路由和組播功能,支持RoutingPolic功能;7.支持DHCPServer、DHCPSnooping、DHCPSnoopingOption82;4認證計費系統1套1.支持web認證下的包月、時長、流量的計費方式2.支持計天、包月、流量計費、時長計費、自定義周期計費、自定義計費策略、本周起不使用不扣費、一次付費分段開通、有線無線綜合計費策略3.分地區計費，不同地區不同計費策略4.支持禁止已認證用戶提供代理服務、禁止已認證用戶啟用撥號服務，進行非法外連5.賬單管理、賬務流水管理、手工登帳、營帳報表管理6.支持在線用戶管理、在線人數分析、上網明細管理、網絡報修管理、日志管理、無線漫游管理，系統能夠自動提供運行報告7.支持與LDAP服務器聯動，與第三方身份源系統對接，獲取用戶身份信息，實現統一身份認證8.支持基于C和java的第三方接口(例如：與一卡通對接)10.支持在線?；罟δ埽瑒討B檢測用戶在線情況11.支持認證登錄頁面的LOGO定制化，支持最多導入多個背景圖片而且不限制定制頁面的大小12.支持主頁重定向功能，用戶認證后除了可以彈出?；铐撁?，還可以重定向到學校的主頁上13.支持802.1X、VPN接入、Web準入認證、WEB網關準出、無線接入等多種接入方式14.支持限制用戶認證上網的時間段15.支持根據用戶的IP進行區域的劃分，控制用戶的上網區域16.支持PC、手機和平板的智能識別17.針對不同類別的終端類別進行實現不同的帶寬控制策略18.有線、無線的無感知認證19.支持基于不同區域的無感知認證配置要求：配置802.1x用戶許可16000人；配置web認證用戶許可16000人5Portal管理系統1套1.部署方式:獨立portal服務器,可獨立的安裝在單獨的服務器中;雙機可實現負載均衡集群2.采用B/S架構,通過WEB的方式隨時隨地管理系統3.支持WEB準入認證,可以配合接入交換機,實現接入WEB認證4.支持WEB準出認證,可以配合出口網關進行基于準出的WEB認證;5.WEB認證:支持多種業界主流瀏覽器進行web認證6.具有?；罟δ?動態檢測用戶在線情況7.具有計費功能,配合計費系統可以實現基于包月、時長、流量的計費8.用戶可以根據自己的需要定制認證頁面,而且不限制定制頁面的大小9.系統監控:可以監控portal服務器的認證請求數、處理請求數、?；钫埱髷档戎笜?可以控制只能登陸portal服務器管理端的IP地址;可以記錄攻擊portal服務器的ip地址和次數。10.單個用戶認證時間<3.5秒;每秒鐘可成功認證用戶數不低于20個;單臺portal服務器支持用戶數不少于5000;11.在上網用戶認證登錄頁面顯示認證客戶端下載地址。在上網用戶認證登錄頁面顯示認12.配置并發在線用戶授權許可不少于10000個;6上網日志系統1套1.支持URL日志、NAT日志并提供查詢接口，提供URL和模糊查詢功能2.支持對多個出口設備（NAT設備）的流量繪制流量曲線3.能基于用戶名實現流量統計和日志分析4.能夠將同一用戶不同IP的上網日志、流量信息歸并到一起5.支持兩種身份認證系統6.支持常見應用流量統計（基于端口區別應用流量）7.支持基于用戶名或者IP來區分應用流量8.支持基于設置流量閥值，異常時在首頁顯示報警，并支持郵件通知7無線控制器2套1．默認可管理AP數128個，單卡最大可支持管理2560個AP以上，官網查詢鏈接及截圖見附件2.802.11轉發性能48G3.板卡固化10G光口數2個，無須額外線卡4.單臺設備最大支持的在線無線用戶數目：80K5.支持本地認證功能，無需通過外置Protal服務器和Radius服務器認證6.支持MAC認證、WEB認證、802.1X認證、WAPI認證7.支持對非法無線接入點進行探測，并對非法AP進行屏蔽8.支持根據用戶需求定制化設計認證頁面及用戶自定義設計，保留測試權利9.支持實時頻譜防護,可視化射頻干擾源對無線局域網的性能的影響10.無線控制器需要實現1:1冗余，每套控制器可管理所有無線AP，配置2176個AP管理授權8宿舍面板式AP2968臺1.采用雙頻雙流設計,須實現胖/瘦AP兩種工作模式的切換,支持802.11a/n/ac和802.11b/g/n模式,2.4GHz支持300Mbps,5G支持866Mbps,對外提供四個千兆以太網電口、一組RJ45透傳口,支持電話接入2.支持本地電源供電和POE供電,提供1個MicroUSB管理接口,提供官網截圖及鏈接作為證明;3.設備可更換外殼且外殼顏色多樣,能滿足不同顏色的室內裝修風格,如土豪金、白、黑、銀等;4.設備與無線控制器配合,支持iOS、安卓和windows等主流智能終端操作系統自動識別,提供適應屏幕比例與尺寸的認證頁面;5.為增強無線網絡可靠性,支持當AC宕機時,AP切換為智能轉發模式繼續傳輸數據,保證無線用戶正常使用;6.由于設備并非部署在標準機房,為了保障設備安全穩固的運行,設備的外殼防護等級須達到IP417.支持無感知、短信和二維碼認證等認證方式。911ac室內無線接入點785臺1.支持標準的802.11ac協議,采用雙路雙頻設計，可同時工作在802.11ac和802.11a/b/g/n模式2.支持無線頻譜分析,可視化射頻干擾源對無線局域網的性能的影響3.支持2條空間流,單頻最大接入速率867Mbps,整機最大接入速率1167Mbps4.單個AP可支持32個SSID，為便于后期的管理5.支持對無線終端的公平調度以實現公平占用；支持負載均衡；支持自動調整發射功率和分配射頻信道6.設備與無線控制器配合，支持iOS、安卓和windows等主流智能終端操作系統自動識別，提供適應屏幕比例與尺寸的認證頁面，實現輕松訪問7.支持IPv6技術，包括IPv6報文透傳,IPv6終端接入認證8.為增強無線網絡可靠性，支持當AC宕機時，AP切換為智能轉發模式繼續傳輸數據，保證無線用戶正常使用9.支持mac認證、Web認證、802.1X認證、WAPI認證配置：配置1個10/100/1000Base-T以太網口1011ac室外無線接入點35臺1.支持標準的802.11ac協議,采用雙路雙頻設計，可同時工作在802.11a/n/ac和802.11b/g/n模式2.射頻卡工作模式：內置智能天線2.4G&5.8G3.支持3條空間流,2.4單頻最大接入速率：450Mbps,5.8G單頻最大接入速率：1300Mbps，整機最大接入速率:1750Mbps4.避雷方式：內置避雷5.提供1個console管理口,1個SFP上聯光口，1個10/100/1000Base-T以太網上聯接口6.提供1個10/100/1000Base-T下聯PoEOUT對外供電接口7.支持胖/瘦AP兩種工作模式的切換，在瘦AP工作模式時，AP與控制器之間采用國際標準的CAPWAP協議通信8.支持實時頻譜防護,可視化射頻干擾源對無線局域網的性能的影響9.為增強無線網絡可靠性，支持當AC宕機時，AP切換為智能轉發模式繼續傳輸數據，保證無線用戶正常使用10.支持IPv6技術，包括IPv6報文透傳,IPv6終端接入認證，保留測試權利11.每臺配置一塊POE適配器11無線接入點24口PoE交換機160臺1．24個千兆POE端口，可以支持最大24個AP的供電2．上行千兆電口2個，萬兆SFP+光口2個3．支持基于端口的VLAN，支持基于協議的VLAN，802.1QVLAN封裝，最大VLAN數40944．支持有線/無線邏輯隔離和基于不同vlan的數據轉發5．支持IEEE802.1X認證模式和WEB認證模式6．支持基于標準、擴展、VLAN的ACL報文過濾7．支持組播，支持IGMPSnooping/MLDSnooping8．支持用戶二層隔離9．支持IPv6技術，包括報文透傳,IPv6終端接入認證10．支持SNMP,支持SYSLOG12無線接入點12口PoE交換機40臺1．12個千兆POE端口，可以支持最大12個AP的供電2．上行千兆電口2個，萬兆SFP+光口2個3．支持基于端口的VLAN，支持基于協議的VLAN，802.1QVLAN封裝，最大VLAN數40944．支持有線/無線邏輯隔離和基于不同vlan的數據轉發5．支持IEEE802.1X認證模式和WEB認證模式6．支持基于標準、擴展、VLAN的ACL報文過濾7．支持組播，支持IGMPSnooping/MLDSnooping8．支持用戶二層隔離9．支持IPv6技術，包括報文透傳,IPv6終端接入認證10．支持SNMP,支持SYSLOG13樓宇匯聚交換機43臺1.固化千兆電接口≥24個,SFP+萬兆光接口≥4個(非復用);2.交換容量≥264Gbps,包轉發率≥96Mpps;3.支持VoiceVLAN,基于MAC/協議/IP子網/端口的VLAN,MAC地址自動學習和老化,靜態、動態、黑洞MAC表項;4.支持IPv4、IPv6靜態路由、RIP、RIPng等三層路由和組播功能,支持RoutingPolic功能;7.支持DHCPServer、DHCPSnooping、DHCPSnoopingOption82;14認證計費服務器1臺1、2*E5-2620v3（2.4GHz/6c）2、2*16GDDR43、5*300G3.5"SAS15K4、RAID0/1/5（512M緩存）5、主板集成RJ45雙口千兆網卡6、1+1冗余電源7、DVD-RW14Portal管理系統服務器1臺1、2*E5-2620v3（2.4GHz/6c）2、2*16GDDR43、5*300G3.5"SAS15K4、RAID0/1/5（512M緩存）5、主板集成RJ45雙口千兆網卡6、1+1冗余電源7、DVD-RW15日志記錄服務器1臺1、2*E5-2620v3（2.4GHz/6c）2、2*8GDDR43、5*TB3.5寸SAS7.2K4、RAID0/1/5（512M緩存）5、主板集成RJ45雙口千兆網卡6、1+1冗余電源7、DVD-RW投標人（公章）：法定代表人或授權委托人：（簽字或蓋章）日期：年月日出口路由器技術參數參數項目技術參數說明投標產品型號RG-RSR7708-X模塊插槽10個路由引擎插槽2個獨立交換網板插槽2個業務載板插槽4個業務子卡插槽16個交換容量16Tbps轉發性能2880Mpps路由引擎固化接口2個USB2.0接口，1個USB-Console口，1個MGMT管理口，1個Console口，1個AUX口，1個SD卡插槽可用模塊OC-48c/STM-16cPOSOC-12c/STM-4cPOSOC-3/STM-1POSOC-3/STM-1CPOS通道化到E1/T1/64KOC-48/STM-16CPOS通道化到E1/T1OC-12/STM-4CPOS通道化到E1/T1OC-192c/STM-64cPOSOC-192/STM-64CPOS通道化到155MOC-192c/STM-64cRPR接口模塊40GE/10GE/GE/FEE1/CE1OC-3/STM-1ATM和OC-12/STM-4ATM高速同步串口國密局商密算法硬件加密模塊尺寸（W×D×H）mm440×460×355重量≤50KG電源100VAC~240VAC，50Hz~60Hz-36VDC~-72VDCMTBF>200,000hours溫度工作溫度：0℃到45℃存儲溫度：-40℃到70℃濕度工作濕度：10%到90%RH存儲濕度：5%到95%RH核心交換機技術參數參數項目技術參數說明投標產品型號RG-N18010模塊插槽2個引擎模塊槽位，8個業務板卡槽位，4個交換網板槽位交換容量32Tbps/167.2Tbps包轉發速率11,520Mpps/43,200Mpps數據中心融合網絡特性支持增強以太網特性（DCB）：802.1Qbb:Priority-basedFlowControl(PFC)，基于優先級的流控。802.1Qaz:EnhancedTransmissionSelection(ETSandDCBX)，增強傳輸選擇802.1Qau:CongestionNotification(CN/QCN)，擁塞通告支持統一交換特性：FCoE（FibreChanneloverEthernet）支持超大分布式緩存設計，每端口支持200ms緩存，確保突發流量不丟包設備虛擬化支持VSU3.0(VirtualSwitchUnit,虛擬交換單元)，支持虛擬化帶寬≥2.56Tbps支持VSD(VirtualSwitchDevice,虛擬交換設備)網絡虛擬化支持TRILL透明交換網絡支持L2-GRE支持VXLAN邊緣虛擬交換支持VEPA（虛擬以太網端口聚合）支持虛擬機策略自動遷移SDN支持OpenFlow1.3L2特性支持JumboFrame支持802.1Q支持STP、RSTP、MSTP支持SuperVLAN支持GVRP支持QinQ、靈活QinQ、QinQ終結支持LLDP支持ERPS（G.8032）行為管控支持URL審計；支持用戶定位；集中認證支持9萬IPv4和IPv6雙棧用戶同時在線，1200終端/S的上線速度；支持802.1x/Portal/Mac/IPoE等多種認證方式支持Portal認證、支持RADIUS和TACACS+用戶登錄認證支持二層Portal、三層Portal接入認證支持按流量計費、流量控制、精細化管理支持網關準出認證；IPv4特性支持靜態路由、RIP、OSPF、IS-IS、BGP4支持VRRP支持等價路由支持策略路由支持GRE隧道IPv6特性支持靜態路由OSPFv3、BGP4+、IS-ISv6、MLDv1/v2支持VRRPv3支持等價路由支持策略路由支持手工隧道、自動隧道、ISATAP隧道、支持GRE隧道等組播支持IGMPv1,v2,v3支持IGMPSnooping支持IGMPProxy支持PIM-DM、PIM-SM、PIM-SSM等組播路由協議支持MLD支持組播靜態路由MPLS支持MPLS轉發支持MPLSVPN/VPLS支持VPWSACL支持標準、擴展、專家級ACL支持ACL80支持IPv6ACLQOS支持802.1p支持SP、WRR、DRR、SP+WRR、SP+DRR等隊列調度機制支持RED/WRED支持基于出端口/入端口的限速支持HQoS可靠性獨立的交換網板與獨立的主控板設計，實現轉發與控制平面完全分離主控板支持1+1冗余備份交換網板支持N+1冗余備份電源、風扇支持N+M冗余備份背板無源設計，避免單點故障各組件支持熱插拔支持熱補丁功能，可在線進行補丁升級支持ISSU支持GRforOSPF/IS-IS/BGP/支持BFDforVRRP/OSPF/BGP4/ISIS/ISISv6/MPLS/靜態路由等支持獨立PoE電源槽供電，防止因POE供電而影響其他業務模塊供電穩定性安全性支持NFPP（基礎安全保護策略）支持CPP（CPU保護）支持DAI，端口安全，IPSourceGuard支持uRPF支持登錄認證、口令安全支持支持未知