中小學(xué)無線校園平臺技術(shù)建議書

1、 中小學(xué)無線校園平臺技術(shù)建議書目 錄 TOC o 1-3 h z u HYPERLINK l _Toc3323103 1.項(xiàng)目背景 PAGEREF _Toc3323103 h 2 HYPERLINK l _Toc3323104 2.總體要求 PAGEREF _Toc3323104 h 2 HYPERLINK l _Toc3323105 3.技術(shù)要求 PAGEREF _Toc3323105 h 2 HYPERLINK l _Toc3323106 4.方案設(shè)計(jì) PAGEREF _Toc3323106 h 4 HYPERLINK l _Toc3323107 4.1.總體設(shè)計(jì) PAGEREF _Toc

2、3323107 h 4 HYPERLINK l _Toc3323108 4.2.無線方案設(shè)計(jì) PAGEREF _Toc3323108 h 4 HYPERLINK l _Toc3323109 4.2.1.AP饋線入室部署- PAGEREF _Toc3323109 h 4 HYPERLINK l _Toc3323110 4.2.2.面板AP入室安裝部署 PAGEREF _Toc3323110 h 5 HYPERLINK l _Toc3323111 4.3.無線產(chǎn)品亮點(diǎn)介紹 PAGEREF _Toc3323111 h 6 HYPERLINK l _Toc3323112 4.3.1.智能天線技術(shù) PA

3、GEREF _Toc3323112 h 6 HYPERLINK l _Toc3323113 4.3.2.面板AP PAGEREF _Toc3323113 h 7 HYPERLINK l _Toc3323114 4.3.3.VLAN Pool PAGEREF _Toc3323114 h 9 HYPERLINK l _Toc3323115 4.3.4.BYOD技術(shù)介紹 PAGEREF _Toc3323115 h 10 HYPERLINK l _Toc3323116 4.3.5.EMO移動辦公方案 PAGEREF _Toc3323116 h 15 HYPERLINK l _Toc3323117 4.

4、3.6.頻譜導(dǎo)航技術(shù) PAGEREF _Toc3323117 h 16 HYPERLINK l _Toc3323118 4.4.無線安全設(shè)計(jì) PAGEREF _Toc3323118 h 16 HYPERLINK l _Toc3323119 4.4.1.頻譜防護(hù)技術(shù) PAGEREF _Toc3323119 h 16 HYPERLINK l _Toc3323120 4.4.2.抗干擾技術(shù) PAGEREF _Toc3323120 h 17 HYPERLINK l _Toc3323121 4.4.3.IPv6環(huán)境下安全-無線SAVI技術(shù) PAGEREF _Toc3323121 h 18 HYPERLI

5、NK l _Toc3323122 4.4.4.無線應(yīng)用控制 PAGEREF _Toc3323122 h 18 HYPERLINK l _Toc3323123 4.5.無線可靠性設(shè)計(jì) PAGEREF _Toc3323123 h 19 HYPERLINK l _Toc3323124 4.5.1.IRF2技術(shù) PAGEREF _Toc3323124 h 19 HYPERLINK l _Toc3323125 4.5.2.AC1+1熱備份技術(shù) PAGEREF _Toc3323125 h 20項(xiàng)目背景科技的發(fā)展日新月異，隨著智能終端的大量普及，越來越多的學(xué)生以及老師已經(jīng)擁有大量的智能終端設(shè)備如：IPAD、

6、智能手機(jī)、筆記本電腦等等，而目前高速發(fā)展的移動APP也大大改變了我們的生活，所以無線網(wǎng)絡(luò)建設(shè)也隨之成為了每一個學(xué)校關(guān)注的熱點(diǎn)，為了滿足校園網(wǎng)內(nèi)辦公上網(wǎng)終端的多樣性，同時也為了順應(yīng)學(xué)校網(wǎng)絡(luò)信息發(fā)展的需要。建設(shè)一套信號覆蓋全面，且高速率的無線網(wǎng)絡(luò)也是目前中小學(xué)網(wǎng)絡(luò)建設(shè)的目標(biāo)?？傮w要求無線網(wǎng)工程的總體原則如下：側(cè)重實(shí)際應(yīng)用，全面覆蓋校園內(nèi)區(qū)域，為教學(xué)、科研、辦公及學(xué)習(xí)、生活、交流提供切實(shí)可用的、穩(wěn)定的無線網(wǎng)絡(luò)環(huán)境，做到主樓的無縫覆蓋。實(shí)現(xiàn)室內(nèi)無線網(wǎng)絡(luò)的合理分布，考慮室內(nèi)實(shí)現(xiàn)無線網(wǎng)絡(luò)的不同情況和特點(diǎn)以及目前學(xué)生教室手提電腦用戶數(shù)量日益增多的情況，應(yīng)采取合理的布網(wǎng)方式滿足現(xiàn)在以及未來發(fā)展的需要。辦公樓宇

7、采用廊道部署AP為主，部分辦公室按照結(jié)構(gòu)需室內(nèi)布點(diǎn)（工會），新的大教室采用室內(nèi)布點(diǎn)。 新建網(wǎng)絡(luò)需要實(shí)現(xiàn)與現(xiàn)有的無線網(wǎng)和有線網(wǎng)的網(wǎng)絡(luò)融合與統(tǒng)一管理。在實(shí)施無線覆蓋工程時，如無特別說明，以考慮信號覆蓋范圍為主，單個AP的并發(fā)用戶數(shù)及每用戶無線上網(wǎng)帶寬不作為工程的重要因素予以考慮。技術(shù)要求室內(nèi)無線AP輸出點(diǎn)信號強(qiáng)度-65dbm無線接入點(diǎn)供電方式需采用IEEE802.3af POE交換機(jī)遠(yuǎn)程供電，為了減少能源和交換機(jī)的消耗，要求所有室內(nèi)AP都能采用POE供電為了滿足室內(nèi)美觀和覆蓋要求，室內(nèi)放裝無線AP必須采用吸頂天線方式，天線要求工作在2.4GHz和5.8GHz頻段范圍。無線接入點(diǎn)（AP）盡量采用80

8、2.11ac無線傳輸協(xié)議 無線AP必須支持通過802.3 af兼容的POE交換機(jī)供電無線AP必須支持無線用戶的隔離功能，以防止在公共區(qū)域無線用戶間的信息泄露無線AP必須支持Multi SSID功能，AP自身具備為不同SSID無線用戶接入有線網(wǎng)絡(luò)或互聯(lián)網(wǎng)絡(luò)提供不同身份認(rèn)證策略的功能無線AP自身具備智能的、無需要輔助設(shè)備就可根據(jù)周圍電磁波環(huán)境的變化，自動進(jìn)行頻道最優(yōu)化設(shè)置，以達(dá)到最優(yōu)化覆蓋的目的無線AP之間可根據(jù)相互通告來獲取對方連接的用戶數(shù)量及流量，從而實(shí)現(xiàn)AP的負(fù)載均衡，并支持用戶在不同AP間平滑漫游無線AP支持射頻(RF)信號加密特性，支持802.11i安全標(biāo)準(zhǔn)，提供WPA2認(rèn)證機(jī)制可同時提

9、供TKIP以及AES加密方式，且AP具有自動識別客戶端兩種加密請求方式無線AP支持SNMP Vi/Vii管理及支持Watchdog功能無線系統(tǒng)的用戶認(rèn)證頁面需要能夠支持個性化定制，并完成與校園網(wǎng)當(dāng)前使用的認(rèn)證系統(tǒng)對接，從而實(shí)現(xiàn)無線用戶上網(wǎng)時的接入認(rèn)證，以達(dá)到對校園網(wǎng)上網(wǎng)用戶進(jìn)行統(tǒng)一認(rèn)證及管理的目的無線系統(tǒng)須支持WPA以及WPA2認(rèn)證，支持WPA/WPA2安全規(guī)范，支持標(biāo)準(zhǔn)的802.1x認(rèn)證流程，內(nèi)嵌Radius Server，支持EAP-MD5，EAP-TLS，EAP-TTLS，PEAP等多種認(rèn)證協(xié)議方案設(shè)計(jì)總體設(shè)計(jì)基于網(wǎng)絡(luò)的先進(jìn)性考慮,本次校園網(wǎng)項(xiàng)目采用目前主流的無線控制器+瘦AP的架構(gòu),在

10、實(shí)現(xiàn)對校園進(jìn)行無縫覆蓋的同時,又能夠?qū)崿F(xiàn)對無線網(wǎng)絡(luò)的靈活管理配置,提高網(wǎng)絡(luò)維護(hù)效率本次項(xiàng)目單套AP總數(shù)接近30臺，所以在本次無線校園網(wǎng)解決方案采用H3C WX3510E旁掛與無線網(wǎng)的核心，實(shí)現(xiàn)對于本期無線校園網(wǎng)中所有AP的統(tǒng)一管理。H3C WX3510E無線控制器最大可管理128個AP，完全能夠管理本次項(xiàng)目所需的AP；室內(nèi)型AP主要采用WA2620i系列的AP，以及WA2620H面板式AP。WA2620i系列AP提供整機(jī)千兆接入能力，通過內(nèi)置集成終端感知型硬件智能天線覆蓋技術(shù)，可以有效地從覆蓋范圍、接入密度、運(yùn)行穩(wěn)定等方面提供更高性能的移動云接入服務(wù)并協(xié)助用戶實(shí)現(xiàn)最佳無線網(wǎng)絡(luò)覆蓋，普通的POE

11、交換機(jī)便能為其進(jìn)行供電； 無線方案設(shè)計(jì)一般建筑樓群內(nèi)部的結(jié)構(gòu)比較復(fù)雜，不同的樓層建筑結(jié)構(gòu)有著不同的特點(diǎn)，而同時對于無線覆蓋也有不同的部署模式，此次設(shè)計(jì)方案以全面覆蓋并保證用戶體驗(yàn)效果為基礎(chǔ)，除了我們熟悉的放裝式部署以外對于不同場景我們將采用以下幾種不同的方案：AP饋線入室部署- 室分部署：一些墻體非常厚，如果無線采用一般的走廊部署無線信號很難入室，所以可以采用室分方式直接將天線引入室內(nèi)進(jìn)行部署，使得每一個房間都能收到優(yōu)良的無線信號，H3C的室分方案采用AP一分四房間的方案，即一個AP引出4根天線進(jìn)入四個房間對4個房間進(jìn)行覆蓋，這種覆蓋方式不僅使得房間內(nèi)部有良好的信號，同時每層樓AP可分配幾根天

12、線進(jìn)行樓道的部署，真正實(shí)現(xiàn)完全的無縫覆蓋 ；而針對于美觀的問題，可利用目前大多數(shù)樓層總的吊頂，將AP及天線藏于吊頂內(nèi)部（如圖）部署示意圖：面板AP入室安裝部署面板AP是H3C入室部署方案中的另一種，面板AP的大小為普通面板插座86mm*86mm的大小，直接安裝即可使用，不需要額外的布線可直接利用現(xiàn)有的有線網(wǎng)絡(luò)就能完成無線部署，同時面板AP自帶兩個RJ45口可對外提供有線網(wǎng)絡(luò)連接的服務(wù)，它美麗的外觀，簡便的部署方式使得它成為無線部署的利器。 面板AP部署圖：無線產(chǎn)品亮點(diǎn)介紹智能天線技術(shù)終端在哪里，信號就在哪里。H3C采用了新一代終端感知型智能天線陣列技術(shù)，它結(jié)合了“On-Chip”和“On-An

13、tenna”的優(yōu)勢特點(diǎn)，對于WA2600系列AP，其天線陣列由數(shù)個天線振子構(gòu)成，最高可形成多達(dá)4000個以上的天線輻射圖型。每一個天線振子都精心調(diào)配，協(xié)同工作，使可能產(chǎn)生的輻射圖達(dá)到接近于完美的覆蓋（如圖5所示）。同時AP會運(yùn)行H3C專利的天線選擇算法，針對不同位置的終端，從若干天線振子中選擇出不同的振子來進(jìn)行報文的發(fā)送或接收，在選擇的同時，會加入相位和延時的整體考量，進(jìn)一步加強(qiáng)了對終端行為的探測感知和天線陣列的快速收斂。圖5天線陣列中的不同天線具有不同的定向性整個系統(tǒng)具有如下特征：1.逐包選擇發(fā)送天線，對于每個發(fā)送的報文都能使用不同的發(fā)送天線；2.保證選擇的天線最優(yōu)，對于每個移動終端維持一個

14、數(shù)據(jù)庫，數(shù)據(jù)庫中記錄著各天線的歷史信息，從而能從數(shù)據(jù)庫中選擇最優(yōu)天線；3.數(shù)據(jù)庫收斂速度快，天線選擇算法根據(jù)天線的輻射圖及歷史信息，定時選擇特定的天線進(jìn)行探測，從而能快速適應(yīng)環(huán)境變化，選擇出新的天線；4.與速率、相位、延時及功率等發(fā)送參數(shù)進(jìn)行結(jié)合，實(shí)現(xiàn)發(fā)送參數(shù)的非線性變化；5.相對于傳統(tǒng)Beamforming來說，不需要終端過多參與，不需要協(xié)議報文交互以獲取信道參數(shù)，對于數(shù)據(jù)流數(shù)和發(fā)送天線數(shù)相等的情況也可以獲得多天線的增益面板AP產(chǎn)品特點(diǎn)標(biāo)準(zhǔn)的86mm 面板尺寸WA2610H-GN 采用標(biāo)準(zhǔn)的86*86mm 面板尺寸，可以完全復(fù)用用戶既有的86mm 網(wǎng)口面板暗盒，安裝實(shí)施時，無需專業(yè)人員，即可

15、方便的將原有的網(wǎng)口面板替換為H3C 的面板式APWA2610H-GN。由于WA2610H-GN 采用86*86mm 標(biāo)準(zhǔn)面板尺寸，所以在安裝之后，不會對原有周邊可能存在的其他插座面板或裝修事物造成影響，對客戶原有裝修的影響接近于零。5 步！安裝一個AP 只需35 分鐘WA2610H-GN 采用國際標(biāo)準(zhǔn)的插座安裝方法進(jìn)行設(shè)計(jì)，和其他開關(guān)面板一樣，更換一個面板式AP 只需要簡單的5 個步驟，總耗時不超過5 分鐘，可以極大的加快客戶部署無線網(wǎng)絡(luò)的速度。面板AP安裝方法：綠色低碳設(shè)計(jì)WA2610H-GN 采用專業(yè)綠色低碳設(shè)計(jì)，支持動態(tài)MIMO 省電模式(DMPS)與增強(qiáng)型自動省電傳送(E-APSD)，

16、智能辨識終端實(shí)際性能需求，合理化調(diào)配終端休眠隊(duì)列，動態(tài)調(diào)整MIMO 工作模式。WA2610H-GN 支持Green AP 模式，實(shí)現(xiàn)單天線待機(jī)，節(jié)能更精準(zhǔn)。WA2610H-GN 通過創(chuàng)新性的逐包功率控制(PPC)技術(shù)，在確保報文能成功傳輸?shù)那疤嵯聞討B(tài)調(diào)節(jié)AP 設(shè)備和客戶端直接的雙向功率，以達(dá)到減少設(shè)備能耗和延長移動終端待機(jī)時間的作用。提供本地轉(zhuǎn)發(fā)功能當(dāng)WA2610H-GN通過廣域網(wǎng)方式轉(zhuǎn)發(fā)時，無線接入設(shè)備部署在分支機(jī)構(gòu)，而無線控制器部署在總部，所有用戶數(shù)據(jù)由無線接入設(shè)備發(fā)送到無線控制器，再由無線控制器進(jìn)行集中轉(zhuǎn)發(fā)。WA2610H-GN可將數(shù)據(jù)報文在無線接入設(shè)備上直接轉(zhuǎn)化為有線格式的報文，使得數(shù)

17、據(jù)報文不經(jīng)過無線控制器，而是在本地進(jìn)行轉(zhuǎn)發(fā)，大大節(jié)約了有線帶寬。支持IPv4/IPv6雙協(xié)議棧(Native IPv6)WA2610H-GN全面支持IPv6特性，設(shè)備實(shí)現(xiàn)了IPv4/IPv6雙協(xié)議棧。無論原有有線網(wǎng)絡(luò)是IPv4還是IPv6，都可以自動地與WX系列控制器進(jìn)行注冊提供WLAN服務(wù)，不會成為網(wǎng)絡(luò)中的信息孤島。支持RealTime Spectrum Guard(實(shí)時頻譜保護(hù))模式RealTime Spectrum Guard(RTSG)是H3C創(chuàng)新提出的針對無線環(huán)境頻譜狀態(tài)的專業(yè)監(jiān)控方案。H3C WA2610H-GN支持內(nèi)置射頻采集模塊，實(shí)現(xiàn)深度融合的射頻監(jiān)控和實(shí)時頻譜防護(hù)。RTSG的

18、控制臺融合部署于H3C iMC智能管理中心，通過CAPWAP管理隧道，與Sensor AP進(jìn)行通信和數(shù)據(jù)采集，實(shí)現(xiàn)7X24小時的無線環(huán)境質(zhì)量監(jiān)控、無線網(wǎng)絡(luò)能力趨勢評估以及非許可干擾告警。通過圖形化方式，主動探測和識別所有2.4GHz/5GHz波段的射頻干擾源(Wi-Fi或非Wi-Fi)，可提供實(shí)時FFT圖，頻譜密度圖、光譜圖、占空比圖、事件光譜圖、頻道功率、干擾功率等；可自動識別干擾源，確定有問題的無線設(shè)備的位置，確保無線網(wǎng)絡(luò)發(fā)揮最佳的性能。結(jié)合H3C iAR智能報表組件，可實(shí)現(xiàn)全覆蓋區(qū)內(nèi)的射頻質(zhì)量歷史記錄的存儲、追溯、回放等，自動生成客戶化的趨勢、合規(guī)和審計(jì)報告。針對用戶無線環(huán)境監(jiān)管的不同層

19、次需求，RTSG方案的部署可以靈活采用Local mode或Monitor Mode。當(dāng)工作在Local Mode時，可以在獲得有效的頻譜防護(hù)前提下，保持正常的用戶接入和數(shù)據(jù)包轉(zhuǎn)發(fā)。VLAN Pool學(xué)校的無線網(wǎng)絡(luò)存在一定的定時性，如禮堂，平時當(dāng)沒有任何活動的時候可能需要比較少的IP地址，而當(dāng)校園有活動或者承辦了活動的時候，人數(shù)會激增，由于學(xué)校的樓宇分配為C類地址，一個網(wǎng)段只有256個IP地址，所以當(dāng)人數(shù)增多時，接入人數(shù)可能會超過1個C，導(dǎo)致大量用戶無法獲得地址而導(dǎo)致無法上網(wǎng)的情況，針對于這種情況，H3C在無線控制器上開啟了VLAN pool功能，并在各網(wǎng)段的網(wǎng)關(guān)上開啟DHCP Relay功能

20、。使得當(dāng)出現(xiàn)一個網(wǎng)段地址分完的情況下，可以為用戶分配別的C類地址，保證所有用戶可以獲取到IP地址，不會出現(xiàn)因?yàn)镮P地址缺乏而不能上網(wǎng)的情況。BYOD技術(shù)介紹BYOD不是簡單意義上老師、學(xué)生可以攜帶自己的設(shè)備在校園網(wǎng)絡(luò)環(huán)境中使用，其核心應(yīng)該是師生可以隨時隨地使用任何設(shè)備，不論是自己的還是學(xué)校提供的設(shè)備接入校園網(wǎng)絡(luò)。這必將帶給校園網(wǎng)絡(luò)“四多”的變化：更多的設(shè)備需要連接到校園網(wǎng)絡(luò)；多種網(wǎng)絡(luò)類型，包括有線、Wi-Fi、VPN等；多種設(shè)備類型；多種操作系統(tǒng)。以上這些不僅導(dǎo)致個人和校園之間的網(wǎng)絡(luò)界限變得模糊，同時由于語音、視頻、遠(yuǎn)程協(xié)作、多媒體文檔或頁面等應(yīng)用日益豐富，加上移動接入的需求，要求網(wǎng)絡(luò)資源的分

21、布能夠動態(tài)調(diào)整。但與之相比，網(wǎng)絡(luò)安全問題卻是校園的IT部門接受BYOD的最大障礙，IT部門希望能夠解決如下的問題：能夠掌控哪些用戶、使用何種設(shè)備、在什么地方允許接入網(wǎng)絡(luò)；能夠根據(jù)用戶、設(shè)備、地方、環(huán)境等因素實(shí)現(xiàn)不同的授權(quán)，其中環(huán)境是指用設(shè)備上硬件、反病毒、操作系統(tǒng)等因素；能夠基于應(yīng)用實(shí)現(xiàn)授權(quán),例如，只允許iPad訪問Internet，或者使用虛擬桌面；能夠保持網(wǎng)絡(luò)一致性，即整個網(wǎng)絡(luò)各個部分實(shí)施的安全策略是一致的、集中的，而不是獨(dú)自實(shí)施自己的安全策略，從而造成安全漏洞；能夠?yàn)閬G失的數(shù)據(jù)采取措施。例如，在自帶設(shè)備下載了校園具有保密性的文檔或數(shù)據(jù)后，一旦自帶設(shè)備丟失，需要及時發(fā)現(xiàn)丟失并擦除其上面的數(shù)

22、據(jù)。這些問題的解決關(guān)鍵在于必須能夠監(jiān)控到網(wǎng)絡(luò)中的每一個元素，而做到這點(diǎn)的前提就是對設(shè)備和應(yīng)用的識別。終端智能識別一個網(wǎng)絡(luò)完整地實(shí)施開放的BYOD，以下幾個功能必不可少：注冊：自帶設(shè)備的首次連接和自注冊；識別：自帶設(shè)備的識別；認(rèn)證：能夠針對不同用戶、設(shè)備類型采用不同的認(rèn)證方式；授權(quán)：基于用戶、設(shè)備類型、接入時間、接入地點(diǎn)、設(shè)備環(huán)境的授權(quán)；監(jiān)控：網(wǎng)絡(luò)中所有自帶設(shè)備的狀態(tài)、接入時長等要素的實(shí)時監(jiān)控。其中，對自帶設(shè)備的類型識別，是BYOD方案中實(shí)施差異化認(rèn)證方式和授權(quán)的基礎(chǔ)，也是BYOD方案實(shí)施的關(guān)鍵。目前，終端類型多種多樣，包括便攜式電腦、筆記型電腦、掌上電腦、智能手機(jī)、電子閱讀器、IP電子相機(jī)等等

23、，校園可以有選擇地允許其中部分類型甚至是一些品牌的設(shè)備進(jìn)入校園網(wǎng)絡(luò)。通過識別終端的設(shè)備類型，校園可以為不同的設(shè)備推送不同的終端軟件，設(shè)置不同的認(rèn)證方式，或者在Web認(rèn)證方式下推送適合某種終端類型的頁面，也可以限制其訪問網(wǎng)絡(luò)中的敏感數(shù)據(jù)，或者限制的應(yīng)用類型等等。對終端類型的識別，目前主要通過MAC地址的OUI、DHCP的選項(xiàng)、Web訪問請求中的User-agent字段等信息中提取特征字段來進(jìn)行。一般采取專門的設(shè)備或軟件系統(tǒng)，從而方便整個網(wǎng)絡(luò)實(shí)施一致的識別措施，根據(jù)終端類型采取相應(yīng)的安全策略，也允許管理員能夠根據(jù)終端的不斷發(fā)展，制定新的終端類型識別方法。H3C是通過iMC軟件系統(tǒng)，思科是通過ISE

24、（Identity Services Engine）系統(tǒng)來實(shí)現(xiàn)。通常，這種專門設(shè)備或軟件系統(tǒng)還集成了認(rèn)證功能，從而為整個網(wǎng)絡(luò)提供集中、統(tǒng)一的認(rèn)證和授權(quán)。同時，由于網(wǎng)絡(luò)流量的復(fù)雜性，對終端指紋信息的獲取，需要在網(wǎng)絡(luò)邊緣的接入層設(shè)備上實(shí)施。因此，這種專門的設(shè)備或軟件系統(tǒng)往往需要與接入層設(shè)備進(jìn)行配合，由邊緣的接入層設(shè)備根據(jù)專門識別設(shè)備的控制指令，提取并反饋接入到網(wǎng)絡(luò)中的終端設(shè)備指紋信息，從而完成整個網(wǎng)絡(luò)對終端設(shè)備的類型識別。圖1是H3C iMC系統(tǒng)中已定義的智能終端識別模板。圖1 H3C iMC中配置終端識別的類型應(yīng)用識別智能終端的發(fā)展催生了其上的應(yīng)用層出不窮。校園不僅需要能夠控制用戶所訪問的目的網(wǎng)

25、絡(luò)，還需要進(jìn)一步限制終端所能使用的應(yīng)用類型。例如，校園要求老師如果使用自帶的iPad，則僅能訪問Internet。主要應(yīng)用類型包括：簡單文本或超文本消息因特網(wǎng)瀏覽即時消息Email語音呼叫視頻播放在線游戲語音視頻各種專門的網(wǎng)絡(luò)工具傳統(tǒng)網(wǎng)絡(luò)利用ACL五元組來實(shí)現(xiàn)對接入用戶訪問范圍的授權(quán)。然而，要實(shí)現(xiàn)基于應(yīng)用的授權(quán)，ACL這種方式在一些情況下不能更為細(xì)致的區(qū)分各種應(yīng)用，也不能跟蹤動態(tài)產(chǎn)生的連接。例如，F(xiàn)TP服務(wù)中數(shù)據(jù)通道的端口是由服務(wù)器動態(tài)分配的；H.323中的RTP數(shù)據(jù)通道是雙方動態(tài)協(xié)商的。對于這些應(yīng)用，必須跟蹤整個會話過程，才能跟蹤其動態(tài)產(chǎn)生的數(shù)據(jù)通道，采取相應(yīng)的策略。BYOD方案中對應(yīng)用的識

26、別也不同于一般的狀態(tài)防火墻，它需要配合授權(quán)產(chǎn)生效果。正如前文所寫，BYOD授權(quán)需要基于用戶、設(shè)備類型、接入時間、接入地點(diǎn)、設(shè)備環(huán)境等因素。因此，應(yīng)用識別也需要針對用戶、設(shè)備類型來進(jìn)行，即需要跟蹤每個用戶在每個設(shè)備上各種會話狀態(tài)。目前，H3C提供了基于用戶的狀態(tài)防火墻，能夠識別每個用戶在每個設(shè)備上各種會話狀態(tài)。應(yīng)用識別后采取的策略可以是允許或限制其數(shù)據(jù)流，也可以是限制該應(yīng)用的網(wǎng)絡(luò)帶寬，或是修改該應(yīng)用的QoS流標(biāo)識，使之滿足在整個網(wǎng)絡(luò)的QoS策略。例如，部分需要優(yōu)先保障VoIP服務(wù)，而另一部分老師則需要優(yōu)先使用RFID定位服務(wù)，那么可以將這兩種用戶的這些應(yīng)用識別出來，檢查并修改這些業(yè)務(wù)流的802.

27、1p、DSCP、WMM（Wi-Fi MultiMedia）優(yōu)先級，使之符合整個網(wǎng)絡(luò)的QoS策略，并形成端到端的部署。圖2顯示對Voice應(yīng)用的識別并調(diào)整其QoS策略的過程。圖2：Voice應(yīng)用調(diào)整QoS策略的過程應(yīng)用識別后采取的策略也包括日志記錄。校園在實(shí)施BYOD帶來效益提高的同時，也需要將網(wǎng)絡(luò)行為更加詳細(xì)地進(jìn)行記錄，以滿足網(wǎng)絡(luò)安全和審查需要。既能夠針對每用戶、每設(shè)備的應(yīng)用識別和跟蹤記錄，也可以監(jiān)控某些關(guān)鍵業(yè)務(wù)的性能。例如，對VoIP業(yè)務(wù)，需要監(jiān)控其流量大小、呼叫時長、異常失敗等情況使整個網(wǎng)絡(luò)更為可見。BYOD在校園中的應(yīng)用：目前校園中智能終端越來越多，智能手機(jī)在學(xué)生中的普及率已經(jīng)非常之高，

28、目前很多學(xué)生對于能用手機(jī)無線上網(wǎng)都非常興奮，而針對于大量無線終端上網(wǎng)所帶來的問題，BYOD的方案可以為其提供很好的解決辦法：上網(wǎng)方便：對于智能手機(jī)而言，由于屏幕較小，所以不方便輸入，而如果推送的頁面只能適應(yīng)電腦屏幕那么在手機(jī)上的顯示將使得用戶上網(wǎng)特別不方便。而我司的BYOD可通過終端識別技術(shù)，識別目前的終端，并推送適合該終端屏幕顯示的頁面。權(quán)限定制：雖然無線上網(wǎng)方便了學(xué)生和老師，但是對于上課期間，無線上網(wǎng)會使更多的學(xué)生上課分心。而BYOD可以根據(jù)終端類型、終端接入的時間、地點(diǎn)做相應(yīng)的權(quán)限限制，那么我們完全可以實(shí)現(xiàn)在上課期間屏蔽手機(jī)終端在教學(xué)區(qū)的上網(wǎng)使用。應(yīng)用策略：大量終端上網(wǎng)，對于校園有限的帶

29、寬一定是一個不小的挑戰(zhàn)，而BYOD可以針對于不同終端制定應(yīng)用的限制，例如對于手機(jī)終端，只能登陸網(wǎng)頁瀏覽，而不能用于下載，保證了網(wǎng)絡(luò)中的網(wǎng)絡(luò)帶寬。不同終端識別：校園中的終端多種多樣，對于物聯(lián)網(wǎng)、無線監(jiān)控等應(yīng)用都需要有一套自己的網(wǎng)絡(luò)策略，而BYOD不僅僅可以對于上網(wǎng)終端進(jìn)行識別，同時也可以對于其他無線終端識別，所以可以將各類型設(shè)備動態(tài)加入到不同VLAN，比如監(jiān)控設(shè)備、物聯(lián)網(wǎng)設(shè)備分別在不同的VLAN，方便了整個網(wǎng)絡(luò)的管理和同樣類型設(shè)備的策略一致性。終端管理：在BYOD方案中，真正通過MAC地址與賬號密碼綁定，實(shí)現(xiàn)了用戶與終端的綁定，對于安全問題可以非常好的進(jìn)行定位和查詢。EMO移動辦公方案H3C E

30、MO移動辦公解決方案，通過在企業(yè)部署終端應(yīng)用服務(wù)器和配套的網(wǎng)絡(luò)設(shè)備，將應(yīng)用程序?qū)崟r運(yùn)行的圖像，通過安全傳輸隧道，虛擬展現(xiàn)在IOS、Android、Windows各類終端上。同時，將用戶操作，如文字輸入、鼠標(biāo)點(diǎn)擊、手勢等傳輸?shù)竭h(yuǎn)端終端應(yīng)用服務(wù)器上，實(shí)現(xiàn)對應(yīng)用程序的操作控制。在方案部署中，無需對現(xiàn)網(wǎng)結(jié)構(gòu)、應(yīng)用程序做出任何改造，也不需要開發(fā)任何業(yè)務(wù)系統(tǒng)的APP客戶端，即可輕松實(shí)現(xiàn)跨平臺訪問。H3C EMO移動辦公解決方案的優(yōu)勢在于：虛擬化桌面鏡像技術(shù)：企業(yè)內(nèi)部所有應(yīng)用程序無需做手機(jī)適配，便可無縫發(fā)布到PC、手機(jī)和Pad上操作，節(jié)省開發(fā)成本。便捷的應(yīng)用發(fā)布：將服務(wù)器指定的應(yīng)用程序以虛擬圖像發(fā)布到各個終

31、端，數(shù)據(jù)不落地；跨平臺全面支持：支持PC、iOS、Android等智能手機(jī)和平板電腦等智能終端，完全支持3G、4G、WIFI等多種無線網(wǎng)絡(luò)環(huán)境高效的傳輸性能：H3C通過與微軟深度合作，采用優(yōu)化的RDP協(xié)議，傳輸效率更快，更節(jié)省服務(wù)器和帶寬資源。與終端準(zhǔn)入控制深度集成：通過與EAD終端準(zhǔn)入的深度集成，實(shí)現(xiàn)單點(diǎn)登錄，辦公、涉密雙網(wǎng)隔離，保障辦公和涉密應(yīng)用的安全和數(shù)據(jù)隔離?？煽康纳矸菡J(rèn)證：跨平臺發(fā)布應(yīng)用意味著更多非法用戶可能會接觸到企業(yè)內(nèi)部應(yīng)用，H3C EMO移動辦公方案支持包括短信認(rèn)證、數(shù)字證書、LDAP、Radius、RSA等多種認(rèn)證方式，保障了接入用戶身份安全。保證高安全性的同時，H3C還根據(jù)

32、用戶需求，支持多臺應(yīng)用服務(wù)器智能負(fù)載均衡和會話保持，保障應(yīng)用服務(wù)器的穩(wěn)定高效。智能終端客戶端直接支持本地輸入法調(diào)用、支持windows快捷鍵、支持IOS手勢，支持滾屏、放大鏡等功能，極大地提升了用戶體驗(yàn)。用戶可以通過手機(jī)、PAD等智能移動終端隨時隨地開展您的業(yè)務(wù)，盡享移動業(yè)務(wù)帶來的便利與效率。頻譜導(dǎo)航技術(shù)5G有更豐富的頻譜資源。并且可以支持多個不重疊信道的20Mhz捆綁技術(shù)，能提供更高速率的方案。當(dāng)前5G終端已經(jīng)規(guī)模普及，而傳統(tǒng)模式下當(dāng)2.4和5G混合組網(wǎng)時，5G往往沒有承載足夠多的用戶，單個AP的規(guī)模帶機(jī)數(shù)有限。頻譜導(dǎo)航技術(shù)可以通過AP引導(dǎo)雙頻網(wǎng)卡優(yōu)先關(guān)聯(lián)5G頻段，將提高網(wǎng)絡(luò)的頻譜使用效率，

33、保證用戶高吞吐。無線安全設(shè)計(jì)頻譜防護(hù)技術(shù)日常環(huán)境微波爐距離AP或者客戶端25英尺會降低64的數(shù)據(jù)吞吐量，而同樣位置放一個調(diào)頻電話，會降低19，如果是模擬電話和攝像機(jī)，則可達(dá)100。，而生活中的藍(lán)牙耳機(jī)、無線鼠標(biāo)等都會對無線AP的信號產(chǎn)生干擾。無線頻譜防護(hù)技術(shù)可以識別出微波爐、藍(lán)牙設(shè)備等非WiFi干擾設(shè)備時，頻譜分析管理界面中可以在Real-Time FFT、FFT Duty Cycle和FFT Spectrogram等無線頻譜實(shí)時動態(tài)圖表直觀地顯示出干擾信號對信道質(zhì)量造成的影響，并且能夠在干擾設(shè)備列表中識別出干擾源的類型抗干擾技術(shù)頻譜分析能夠及時、全面地檢測出來自周圍環(huán)境的非WLAN干擾。當(dāng)頻

34、譜分析檢測到新的干擾時，將會發(fā)出告警，并顯示干擾的類型、干擾的信道、干擾強(qiáng)度、占空比等信息，并可以進(jìn)一步定位干擾所在位置，便于及時排除。頻譜分析還能監(jiān)控整個網(wǎng)絡(luò)的空口性能的情況，并適時發(fā)出告警。頻譜分析和RRM結(jié)合，能夠使得整個網(wǎng)絡(luò)在無需人工介入的情況下，及時規(guī)避干擾信道，從而保證網(wǎng)絡(luò)的可用性RRM是WLAN網(wǎng)絡(luò)的頻譜資源管理模塊，負(fù)責(zé)空口噪聲、網(wǎng)絡(luò)外的WLAN干擾、空口利用率，以及AP和Client的流量交互等信息的監(jiān)控和分析，并根據(jù)這些信息動態(tài)調(diào)整AP的信道，選擇最佳信道進(jìn)行傳輸。信道調(diào)整必須進(jìn)行整網(wǎng)考慮，并需要考慮對Client的影響最小。如圖6所示，要覆蓋的目標(biāo)辦公區(qū)外有兩個其他網(wǎng)絡(luò)的AP，分別工作在信道11和信道6上，則RRM能夠根據(jù)空口掃描結(jié)果，將和它們臨近的AP自動調(diào)整到其他非干擾信道上。圖6信道自動調(diào)整示意圖另一方面，RRM能夠監(jiān)控本網(wǎng)絡(luò)中各個AP的鄰居信息、Client的RF信息等，并根據(jù)這些信息動態(tài)調(diào)整每個AP的發(fā)送功率。當(dāng)發(fā)現(xiàn)覆蓋黑洞時，將加大發(fā)射功率；當(dāng)發(fā)現(xiàn)同信道的鄰居AP的信號強(qiáng)度高于一定程度