XXX智慧校園基礎(chǔ)網(wǎng)絡(luò)平臺(tái)建設(shè)與運(yùn)維服務(wù)項(xiàng)目

PAGE21目錄12350第一章技術(shù)方案 3200511.無(wú)線網(wǎng)絡(luò)建設(shè)方案 3113971.1無(wú)線網(wǎng)絡(luò)先進(jìn)性設(shè)計(jì) 3318211.1.1.無(wú)線網(wǎng)絡(luò)設(shè)計(jì)原則 3212001.1.2.無(wú)線AP漫游設(shè)計(jì) 4120061.1.3.無(wú)線AP供電設(shè)計(jì) 4102901.2無(wú)線覆蓋方案 5200501.3無(wú)線多SSID設(shè)計(jì) 10137851.4無(wú)線接入認(rèn)證設(shè)計(jì) 104491.5無(wú)線安全技術(shù)設(shè)計(jì) 1397291.6無(wú)線QOS設(shè)計(jì) 14130641.7無(wú)線覆蓋指標(biāo)要求 16106392.網(wǎng)絡(luò)安全設(shè)計(jì) 1831532.1設(shè)備級(jí)安全功能 18295612.2防ARP攻擊設(shè)計(jì) 19103432.3交換機(jī)IP防掃描設(shè)計(jì) 19164782.4防DOS/DDOS攻擊 19129002.5路由安全設(shè)計(jì) 20215062.6設(shè)備管理安全設(shè)計(jì) 21224712.7匯聚嵌入式安全 22254832.8接入安全控制 22184912.9IP+MAC+端口綁定 23232082.10防止病毒廣播泛洪 2362952.11入網(wǎng)用戶身份認(rèn)證 2369352.12防止對(duì)DHCP服務(wù)器攻擊 23191682.13多元素綁定技術(shù)構(gòu)筑高安全校園網(wǎng) 2443802.14防止用戶私設(shè)代理服務(wù)器 2528972.15惡意用戶追查 2533023.設(shè)備清單 25293704.技術(shù)參數(shù) 2640914.1出口路由器技術(shù)參數(shù) 31247494.2核心交換機(jī)技術(shù)參數(shù) 32304964.3無(wú)線控制器技術(shù)參數(shù) 35215984.4認(rèn)證計(jì)費(fèi)系統(tǒng)技術(shù)參數(shù) 38277314.5Portal認(rèn)證系統(tǒng)技術(shù)參數(shù) 4384704.6eLog日志分析系統(tǒng)技術(shù)參數(shù) 43107124.7服務(wù)器接入交換機(jī)技術(shù)參數(shù) 449364.8匯聚交換機(jī)技術(shù)參數(shù) 4777804.9無(wú)線接入點(diǎn)24口PoE交換機(jī)技術(shù)參數(shù) 5021384.10無(wú)線接入點(diǎn)12口PoE交換機(jī)技術(shù)參數(shù) 52173874.1111ac室內(nèi)無(wú)線接入點(diǎn)技術(shù)參數(shù) 55279154.1211ac室外無(wú)線接入點(diǎn)技術(shù)參數(shù) 5717827第二章施工方案 60188531.項(xiàng)目管理方案 60141231.1項(xiàng)目實(shí)施管理 60228211.2人力資源管理 64281651.3項(xiàng)目進(jìn)度管理 68204001.4項(xiàng)目溝通管理 75224611.5項(xiàng)目風(fēng)險(xiǎn)管理 79201181.6項(xiàng)目問(wèn)題管理 84149691.7項(xiàng)目變更管理 85197661.8項(xiàng)目質(zhì)量管理 85314241.9工程文檔管理 98179391.10工程施工管理 9963262工程詳細(xì)設(shè)計(jì) 142127122.1東合校區(qū)學(xué)一女生宿舍樓 142266713軟件調(diào)試規(guī)范 210257823.1公共調(diào)試規(guī)范 210251443.2路由產(chǎn)品調(diào)試規(guī)范 215220493.3交換產(chǎn)品調(diào)試規(guī)范 22492253.4無(wú)線產(chǎn)品 231124403.5實(shí)施范圍 23537174無(wú)線網(wǎng)優(yōu)方案 235303644.1網(wǎng)優(yōu)內(nèi)容和方法 235211674.2常用部署優(yōu)化方法 236296024.3常用配置優(yōu)化方法 236232214.4網(wǎng)優(yōu)目標(biāo) 238193014.5網(wǎng)絡(luò)測(cè)試 240155014.6實(shí)施階段詳細(xì)規(guī)劃 247165444.7安全防護(hù)及文明施工措施和方案 2472609第三章移交方案 257222211卓智智慧校園網(wǎng)項(xiàng)目竣工文檔 257135641.1工程施工驗(yàn)收確認(rèn)單 257201191.2項(xiàng)目轉(zhuǎn)維確認(rèn)單 25894031.3銳捷設(shè)備調(diào)試服務(wù)完成確認(rèn)函 26115138第四章運(yùn)維及運(yùn)營(yíng)方案 263267271運(yùn)維服務(wù)體系 26377691.1統(tǒng)一呼叫中心 263219351.2服務(wù)系統(tǒng)支撐平臺(tái) 264114861.3駐場(chǎng)工程師 265219331.4智能機(jī)器人 26777661.5校趣多APP 267206161.6備件支撐體系 268217911.7遍布全國(guó)的辦事處 270304071.8設(shè)備原廠商服務(wù)保障體系 270165651.9運(yùn)營(yíng)商服務(wù)保障體系 272242291.10運(yùn)維服務(wù)范圍及內(nèi)容 273144232運(yùn)營(yíng)方案 287237232.1投資與收益評(píng)估 287142442.2校方、卓智、運(yùn)營(yíng)商合作策略 288313102.3運(yùn)營(yíng)系統(tǒng)設(shè)計(jì) 290300212.4運(yùn)營(yíng)服務(wù)流程 291170082.5運(yùn)營(yíng)服務(wù)指標(biāo) 291

第一章技術(shù)方案無(wú)線網(wǎng)絡(luò)建設(shè)方案無(wú)線網(wǎng)絡(luò)先進(jìn)性設(shè)計(jì)無(wú)線網(wǎng)絡(luò)設(shè)計(jì)原則XXX無(wú)線網(wǎng)絡(luò)的建設(shè)目標(biāo)是實(shí)現(xiàn)全校區(qū)主要場(chǎng)所的無(wú)線網(wǎng)絡(luò)全面覆蓋，為滿足智能終端用戶無(wú)線上網(wǎng)、無(wú)線業(yè)務(wù)開(kāi)展構(gòu)建一個(gè)真正可用的無(wú)線網(wǎng)絡(luò)?？傮w要求：高信號(hào)質(zhì)量：保證用戶環(huán)境下房間內(nèi)各個(gè)角落的無(wú)線信號(hào)強(qiáng)度>-70dBm，注重滿足應(yīng)用及終端使用需求；高數(shù)據(jù)傳輸性能：支持的802.11AC標(biāo)準(zhǔn)并滿足高密度用戶的無(wú)線接入需求，提供高數(shù)據(jù)傳輸速率；低干擾：確保同一房間內(nèi)同頻干擾信號(hào)強(qiáng)度<-75dBm，提高整網(wǎng)吞吐性能，構(gòu)建真正可用的無(wú)線網(wǎng)絡(luò)；多WLAN并存：合理的信道規(guī)劃部署，實(shí)現(xiàn)多WLAN網(wǎng)絡(luò)在同一用戶場(chǎng)景的共存。；美觀易管理：無(wú)線網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單，需要管理的設(shè)備數(shù)量少，管理維護(hù)簡(jiǎn)單方便，整個(gè)無(wú)線部署不影響用戶環(huán)境的美觀度；針對(duì)高安全性的數(shù)據(jù)建議采用集中式的轉(zhuǎn)發(fā)，此外，無(wú)線AC的部署方式，也需要在實(shí)施前認(rèn)真規(guī)劃：AC與校園網(wǎng)核心交換機(jī)互連，無(wú)線用戶的網(wǎng)關(guān)在AC上，由AC與核心交換機(jī)通過(guò)路由，轉(zhuǎn)發(fā)無(wú)線數(shù)據(jù)。本次無(wú)線校園網(wǎng)建設(shè)，建議采用多SSID分別覆蓋的方式，老師和學(xué)生可以選擇接入不同的SSID無(wú)線AP漫游設(shè)計(jì)無(wú)線校園網(wǎng)需要支持未來(lái)的高速漫游、智能漫游的需要，可以滿足低延遲的視頻、語(yǔ)音等業(yè)務(wù)的需要，也可以滿足隨時(shí)定制接入用戶的應(yīng)用范圍等管理上的需要。無(wú)線校園網(wǎng)高速漫游解決方案支持同一AC下AP之間快速漫游，保證無(wú)線客戶端在一個(gè)子網(wǎng)內(nèi)部，從一個(gè)AP的覆蓋范圍移動(dòng)到另一個(gè)AP的覆蓋范圍時(shí)，通信不中斷，用戶無(wú)需重新登錄和認(rèn)證。無(wú)線校園網(wǎng)智能漫游解決方案支持系統(tǒng)靈活定義用戶的漫游范圍，可以根據(jù)用戶的身份和級(jí)別劃定其可以漫游，連接無(wú)線網(wǎng)絡(luò)的區(qū)域，為訪客、或?qū)W生、老師等定義不同的無(wú)線接入?yún)^(qū)域，例如，可以定義學(xué)生不能在主樓辦公區(qū)接入無(wú)線，可以在教學(xué)區(qū)接入無(wú)線，可以在宿舍區(qū)接入無(wú)線等。訪客只能在主樓的會(huì)議室接入無(wú)線等等靈活的管理策略。無(wú)線AP供電設(shè)計(jì)由于本次無(wú)線網(wǎng)中AP設(shè)備數(shù)量較多，無(wú)線AP供電的面臨巨大的挑戰(zhàn)。對(duì)于無(wú)線AP的供電一般采用三種方式：1）本地電源供電:采用AP自帶的直流適配器供電，對(duì)于高校無(wú)線校園網(wǎng)的環(huán)境，AP布放位置根據(jù)實(shí)際覆蓋效果而調(diào)整，AP供電在已建設(shè)完成的建筑物上較難進(jìn)行本地供電。不能保障AP附近都會(huì)有電源，同時(shí)對(duì)電源的管理也是一個(gè)嚴(yán)重的問(wèn)題；由于電源在吊頂內(nèi)，工作環(huán)境惡劣，由于溫度過(guò)高引起的電源短路等嚴(yán)重的安全隱患。所以本地電源供電適合于AP數(shù)量不多，只適合局部無(wú)線部署使用，而且以室內(nèi)部署為主，電源供給方便的環(huán)境。2）POE交換機(jī)供電:傳統(tǒng)的802.11a、b/g的AP采用802.3af標(biāo)準(zhǔn)，15W，802.11ac的AP需要提供802.3at標(biāo)準(zhǔn)，24W。采用兼容802.2af供電方式的802.11ac的AP既可采用原有的POE交換機(jī)等設(shè)備，也能夠采用POE+交換機(jī)。在高密度的無(wú)線AP的覆蓋場(chǎng)景下，建議采用POE交換機(jī)供電方式，選用支持802.3af兼容AP。采用低功耗的802.11acAP，兼容802.2af，節(jié)省投資；低碳、節(jié)能、綠色環(huán)保；3）POE供電適配器的方式:在AP數(shù)量不多場(chǎng)景下，如果采用POE交換機(jī)供電，會(huì)有浪費(fèi)，增加了用戶的成本，同時(shí)，無(wú)線和有線一般是同時(shí)部署的。在有線接入交換機(jī)的接口有剩余的情況下，采用外接POE供電適配器的方式，將能充分利用現(xiàn)有的有線交換機(jī)，不用再增加專(zhuān)用的POE交換機(jī)，而極大地節(jié)省了用戶的投資。POE供電適配器，適合于無(wú)線AP節(jié)點(diǎn)數(shù)量不多的場(chǎng)所。無(wú)線覆蓋方案基于場(chǎng)景無(wú)線覆蓋規(guī)劃WLAN建設(shè)場(chǎng)景分為行政、教學(xué)、辦公區(qū)域、宿舍區(qū)域、室外覆蓋區(qū)域：此次無(wú)線網(wǎng)絡(luò)覆蓋場(chǎng)景主要分為以下類(lèi)型：教學(xué)樓、辦公樓及圖書(shū)館等大開(kāi)間環(huán)境下的無(wú)線部署針對(duì)教學(xué)樓，由于教室一般面積較大，內(nèi)部寬敞無(wú)阻擋，房間多采用木門(mén)，且在走廊側(cè)會(huì)有大型玻璃窗體。又由于該區(qū)域主要用戶為上課教師或部分自習(xí)的學(xué)生，主要業(yè)務(wù)就是瀏覽網(wǎng)頁(yè)查找資料，對(duì)網(wǎng)絡(luò)質(zhì)量要求相對(duì)不是很高。因此，可以在該區(qū)域采用稀疏的放裝式部署方案：將AP放在走廊里，覆蓋走廊兩側(cè)的房間，一個(gè)AP可覆蓋直徑20-30米。此次項(xiàng)目中無(wú)線采用的是RG-AP520銳捷網(wǎng)絡(luò)的新一代AP，搭載全新自主研發(fā)的X-sense靈動(dòng)天線。該天線也屬于智能天線的一種，它綜合了交換波束天線和自適應(yīng)陣列天線的優(yōu)點(diǎn)，在對(duì)于簡(jiǎn)單環(huán)境下的用戶接入，使用近似于交換波束的天線選擇方式去完成用戶快速高性能接入，而在復(fù)雜和干擾環(huán)境下，又能夠通過(guò)強(qiáng)大的軟件算法，控制多天線的組合來(lái)達(dá)到更好的效果，同時(shí)銳捷的智能天線技術(shù)還增加了對(duì)移動(dòng)終端無(wú)線接入的識(shí)別和優(yōu)化，這些都是銳捷網(wǎng)絡(luò)在AP智能天線技術(shù)上巨大創(chuàng)新，所以，銳捷網(wǎng)絡(luò)的X-sense也被稱(chēng)為會(huì)思考的的靈動(dòng)天線。RG-AP520產(chǎn)品外觀X-sense靈動(dòng)天線65536種天線路徑選擇，覆蓋無(wú)死角業(yè)界創(chuàng)新研發(fā)的X-sense靈動(dòng)天線矩陣架構(gòu)，能夠動(dòng)態(tài)選擇不同的天線組合，支持最高多達(dá)65536種組合方案，徹底解決傳統(tǒng)天線存在覆蓋盲區(qū)的弱點(diǎn)。無(wú)論在任何角落，X-sense都能定制出一條最適合移動(dòng)智能終端當(dāng)前位置的天線天線路徑，真正實(shí)現(xiàn)全面覆蓋，絕無(wú)死角。信號(hào)覆蓋對(duì)比全自動(dòng)調(diào)節(jié)，讓信號(hào)隨你而“動(dòng)”無(wú)論終端如何移動(dòng)，都有最佳的信號(hào)路徑跟隨，這是X-sense靈動(dòng)天線技術(shù)帶來(lái)的革命性改變。無(wú)需人工干預(yù)，X-sense憑借其強(qiáng)大的運(yùn)算性能，可以在1毫秒內(nèi)完成300次指向終端的信號(hào)路徑切換，即便在快速奔跑狀態(tài)下也能保證時(shí)刻都有最佳的信號(hào)與終端同“行”。X-sense信號(hào)追蹤示意圖功率不變，卻有3倍的信號(hào)提升X-sense能夠精確計(jì)算終端的位置，并通過(guò)動(dòng)態(tài)組合的天線模式，針對(duì)每個(gè)終端位置來(lái)提升不同的信號(hào)強(qiáng)度，最大可以提升到普通AP的3倍，這使得覆蓋范圍內(nèi)無(wú)論遠(yuǎn)近的各個(gè)點(diǎn)都能接收最佳信號(hào)。而且完全不用擔(dān)心由此帶來(lái)的輻射增加，因?yàn)樵鰪?qiáng)的信號(hào)強(qiáng)度都全部被用來(lái)抵消傳輸路徑和穿透墻壁的損耗，AP的發(fā)射功率都是完全符合國(guó)家標(biāo)準(zhǔn)。X-sense信號(hào)強(qiáng)度提升終端接入優(yōu)化設(shè)計(jì)，更適合手機(jī)和平板電腦用戶當(dāng)移動(dòng)智能終端接入無(wú)線網(wǎng)絡(luò)時(shí)，X-sense會(huì)快速、準(zhǔn)確的識(shí)別到終端的類(lèi)型，如果是使用功率較低的手機(jī)、平板電腦等移動(dòng)終端時(shí)，X-sense能夠通過(guò)動(dòng)態(tài)信號(hào)補(bǔ)償技術(shù)，針對(duì)移動(dòng)終端提升接收靈敏度、增加重傳，保證所有的終端都能獲得最優(yōu)的接入效果。X-sense針對(duì)不同終端的補(bǔ)償示意干擾降低30%，部署更輕松干擾是無(wú)線網(wǎng)絡(luò)的最大難題，特別是當(dāng)在狹小的空間部署大量AP時(shí)，干擾影響會(huì)尤為明顯，X-sense根據(jù)使用者位置自動(dòng)調(diào)整無(wú)線信號(hào)的輸出方向，當(dāng)受到干擾時(shí)，能夠自適應(yīng)選擇更優(yōu)的路徑避開(kāi)干擾，這項(xiàng)技術(shù)經(jīng)測(cè)試可以將干擾的影響有效降低30%以上！干擾對(duì)比圖宿舍樓等密集環(huán)境下的無(wú)線部署宿舍區(qū)域的房間比較密集墻壁較厚而且靠近走廊側(cè)沒(méi)有窗戶。對(duì)于無(wú)線信號(hào)的穿透有著一定的影響。因?yàn)閷?duì)于無(wú)線部署提出了較高的要求，不僅要同時(shí)滿足良好覆蓋和性能需求并解決干擾問(wèn)題。如果采用AP放裝部署在走廊，無(wú)線信號(hào)輻射進(jìn)宿舍對(duì)宿舍單邊分布的建筑結(jié)構(gòu)覆蓋3～4個(gè)房間的這種部署方式，容易產(chǎn)生無(wú)線覆蓋的盲區(qū)和AP的干擾問(wèn)題，最終導(dǎo)致無(wú)線使用效果極差。本次方案中對(duì)于學(xué)校的學(xué)生宿舍的無(wú)線部署采用了高密度部署方案，通過(guò)采用墻面式AP進(jìn)行無(wú)線信號(hào)覆蓋，同時(shí)為每個(gè)房間提供有線接口，用戶可以根據(jù)自己的需求自由選擇有線接入或者無(wú)線接入，從而保障用戶最佳的上網(wǎng)體驗(yàn)，由于每房間均部署了一臺(tái)AP，使得性能不再成為瓶頸。由于采用AP入室的部署方式，解決了傳統(tǒng)AP在室外放裝部署穿墻覆蓋室內(nèi)帶來(lái)的信號(hào)衰減嚴(yán)重、同頻干擾大的問(wèn)題，特別是有鐵門(mén)無(wú)窗戶的宿舍網(wǎng)環(huán)境。面板AP方案通過(guò)AP入室的部署方式，每AP負(fù)責(zé)一個(gè)房間的信號(hào)覆蓋，在實(shí)地部署和測(cè)試中，每個(gè)房間的信號(hào)可達(dá)到-65db以上，保證了房間內(nèi)無(wú)線信號(hào)滿格。重點(diǎn)辦公室無(wú)線部署部分辦公室較大，在走廊部署AP進(jìn)行覆蓋的話無(wú)線穿透效果很差，很難保證無(wú)線網(wǎng)絡(luò)的質(zhì)量。在這種環(huán)境下，采用的是墻面式AP進(jìn)行部署。墻面板式AP部署方式采用標(biāo)準(zhǔn)的86開(kāi)關(guān)面板盒規(guī)格，而且還集成了以太網(wǎng)口和IP電話接口，整個(gè)安裝過(guò)程只需要兩步就能快速實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)覆蓋。第一步、拆去房間內(nèi)原有的有線網(wǎng)絡(luò)的接口面板，第二步、將原有網(wǎng)線插在AP上并直接安裝就能即插即用。它打破了以往無(wú)線網(wǎng)絡(luò)建設(shè)的老舊方式，無(wú)需再拉新的網(wǎng)線，而是有效利用了既有的網(wǎng)絡(luò)，將網(wǎng)絡(luò)新建對(duì)環(huán)境的影響時(shí)間降到最低。校園室外公共區(qū)域無(wú)線部署考慮到校園室外公共區(qū)域空間較大并且存在一些障礙物，可以采用室外型接入點(diǎn)RG-AP630，雙路均具備500mW雙向功率放大能力，可根據(jù)不同的室外環(huán)境和覆蓋需求，配合相應(yīng)的外接天線，帶來(lái)飽滿的信號(hào)覆蓋體驗(yàn)，可完全保障信號(hào)在室內(nèi)和戶外的傳輸。室外區(qū)域分布有較高、密集的建筑群和植物群，這對(duì)于信號(hào)的阻擋將是較大的障礙。因此，應(yīng)當(dāng)選用專(zhuān)用的室外大功率無(wú)線AP產(chǎn)品，配置使用定向天線，可以保證無(wú)障礙下的300米半徑覆蓋以及近距離的多重障礙物的穿透能力，完全保證了室外區(qū)域的信號(hào)覆蓋品質(zhì)，同時(shí)設(shè)備本省具備抗雷擊、防雨、防潮、抗高低溫、阻燃等多項(xiàng)指標(biāo)，無(wú)線室外覆蓋，建議部署在小區(qū)內(nèi)的制高點(diǎn)上，同時(shí)采用定向天線向進(jìn)行無(wú)線覆蓋。室外AP無(wú)線多SSID設(shè)計(jì) 為了滿足多家運(yùn)營(yíng)商接入需求，避免多運(yùn)營(yíng)商單獨(dú)建網(wǎng)導(dǎo)致的無(wú)線信道沖突、用戶無(wú)線有效帶寬降低等情況，在校園無(wú)線承載網(wǎng)上采用多接入設(shè)計(jì)思路，通過(guò)多SSID設(shè)計(jì)來(lái)實(shí)現(xiàn)。無(wú)線用戶根據(jù)自身的連接需求分別通過(guò)不同的SSID接入不同的網(wǎng)絡(luò)。AC根據(jù)SSID的不同，將用戶劃分入不同的VLAN，最終實(shí)現(xiàn)不同的用戶通過(guò)不同的SSID接入校園網(wǎng)，不同VLAN之間互不干擾。不同SSID可根據(jù)需要采用集中轉(zhuǎn)發(fā)或者本地轉(zhuǎn)發(fā)模式，滿足業(yè)務(wù)開(kāi)展與認(rèn)證管理的需要。無(wú)線接入認(rèn)證設(shè)計(jì)終端智能識(shí)別的WEB認(rèn)證無(wú)線網(wǎng)絡(luò)在提供便捷網(wǎng)絡(luò)服務(wù)的同時(shí)，仍需確保只有合法的用戶才能使用無(wú)線網(wǎng)絡(luò)。WEB認(rèn)證就是一種對(duì)用戶訪問(wèn)網(wǎng)絡(luò)的權(quán)限進(jìn)行控制的身份認(rèn)證方法，這種認(rèn)證方法不需要用戶安裝專(zhuān)用的客戶端認(rèn)證軟件，使用普通的瀏覽器軟件就可以進(jìn)行身份認(rèn)證，是目前無(wú)線主流的認(rèn)證方式之一。而且隨著近年來(lái)iPhone、iPad、Android、WindowsPhone等各種智能能移動(dòng)終端的日益普及，網(wǎng)絡(luò)中不再是清一色的筆記本電腦終端。一個(gè)智能的無(wú)線網(wǎng)絡(luò)，必須能夠考慮到不同的終端類(lèi)型、屏幕尺寸對(duì)Portal認(rèn)證頁(yè)面的不同要求，實(shí)時(shí)地對(duì)各種終端類(lèi)型進(jìn)行識(shí)別，并推送符合終端屏幕尺寸的WEBPortal頁(yè)面，使用戶能夠更為便捷的輸入用戶名及密碼，提升無(wú)線用戶體驗(yàn)。銳捷網(wǎng)絡(luò)的無(wú)線控制器不僅支持終端自動(dòng)識(shí)別功能和WEBPortal頁(yè)面推送，而且推送的認(rèn)證頁(yè)面還可以根據(jù)用戶自定義放置一些廣告、通知、業(yè)務(wù)鏈接等，提供更多個(gè)性化服務(wù)。自適應(yīng)認(rèn)證頁(yè)面基于802.1X的無(wú)感知認(rèn)證IEEE802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議，主要目的是為了解決無(wú)線用戶的接入認(rèn)證問(wèn)題。對(duì)于基于802.11系列標(biāo)準(zhǔn)的無(wú)線局域網(wǎng)，通過(guò)對(duì)無(wú)線用戶的身份驗(yàn)證，無(wú)線網(wǎng)絡(luò)可以打開(kāi)或關(guān)閉無(wú)線終端接入的接口，同時(shí)還可以根據(jù)其身份屬性，為其分配動(dòng)態(tài)角色和VLAN，確保用戶終端接入的安全性。在安全性上，WEBPortal認(rèn)證不提供密鑰的生成和交換機(jī)制，因此所有的用戶流量都是以明文方式傳輸?shù)模菀妆唤孬@和偵聽(tīng)；802.1X（WPA2-AES）符合802.11i安全標(biāo)準(zhǔn)，在用戶認(rèn)證的基礎(chǔ)上，對(duì)每個(gè)報(bào)文采用不同的密鑰進(jìn)行逐包加密，具有更高的安全性。在便捷性上，WEBPortal認(rèn)證直接通過(guò)瀏覽器輸入用戶名及密碼，整個(gè)操作過(guò)程較為簡(jiǎn)單快捷；普通的802.1X認(rèn)證一般需要安裝認(rèn)證客戶端或?qū)Σ僮飨到y(tǒng)原生認(rèn)證客戶端進(jìn)行配置等，操作過(guò)程較為復(fù)雜，用戶體驗(yàn)相對(duì)較差。為了保證無(wú)線用戶接入同時(shí)具有較高安全性和便捷性，銳捷網(wǎng)絡(luò)在BYOD（Bringyourowndevice）解決方案中提出了基于802.1X的無(wú)感知認(rèn)證技術(shù)，用戶只需要在第一次認(rèn)證中安裝一個(gè)快速1X配置助手，并完成首次用戶名及密碼的輸入，以后無(wú)線終端只要發(fā)現(xiàn)無(wú)線信號(hào)，就會(huì)自動(dòng)進(jìn)行802.1X的接入認(rèn)證并連接無(wú)線網(wǎng)絡(luò)，真正實(shí)現(xiàn)“一次登陸，三步操作，后續(xù)無(wú)憂”，帶給用戶最佳的使用體驗(yàn)。圖步驟1：連接無(wú)感知認(rèn)證的SSID后選擇1X快速配置助手圖步驟2：確認(rèn)運(yùn)行快速配置助手圖步驟3：輸入完后用戶名和密碼后，即可訪問(wèn)WLAN圖手機(jī)無(wú)感知認(rèn)證過(guò)程二維碼認(rèn)證對(duì)于校園內(nèi)的一些開(kāi)放區(qū)域在學(xué)校舉行一些活動(dòng)時(shí)需要對(duì)校外訪客進(jìn)行臨時(shí)無(wú)線網(wǎng)絡(luò)開(kāi)放，于是這些訪客人員的無(wú)線網(wǎng)絡(luò)使用時(shí)的認(rèn)證又該如何管理才能有確保接入的安全性和使用的便捷性，成為學(xué)校網(wǎng)絡(luò)管理人員需要解決的問(wèn)題。極簡(jiǎn)方案支持通過(guò)銳捷網(wǎng)絡(luò)無(wú)線與RG-SAM的訪客管理功能實(shí)現(xiàn)二維碼認(rèn)證和短信注冊(cè)認(rèn)證來(lái)解決以上問(wèn)題。讓訪客更安全，易用，給信息中心價(jià)值呈現(xiàn)帶來(lái)幫助。擔(dān)保人按照自己的臨時(shí)賬號(hào)開(kāi)通級(jí)別申請(qǐng)一個(gè)二維碼，然后可以提供給訪客使用。每個(gè)臨時(shí)賬號(hào)都會(huì)與擔(dān)保人關(guān)聯(lián)，以后可以提供相關(guān)統(tǒng)計(jì)或?qū)徲?jì)功能，管理員可以掌握每一個(gè)臨時(shí)賬號(hào)是由那個(gè)擔(dān)保人開(kāi)通。每一個(gè)二維碼都是有時(shí)效的，超過(guò)時(shí)效后對(duì)應(yīng)的在線用戶被強(qiáng)制下線，同時(shí)預(yù)銷(xiāo)戶對(duì)應(yīng)的所有臨時(shí)賬號(hào)。方便網(wǎng)絡(luò)管理人員對(duì)于臨時(shí)賬號(hào)的管理工作。高校訪客二維碼，訪客只需要拿出手機(jī)掃一下二維碼就可以體驗(yàn)上網(wǎng)了，提高訪客入網(wǎng)體驗(yàn)。之授權(quán)二維碼使用流程：a.管理員設(shè)置擔(dān)保人級(jí)別（可接待用戶數(shù)），b.擔(dān)保人自助生成二維碼，并將二維碼打印出來(lái)，c.訪客拿自己的手機(jī)掃描二維碼上網(wǎng)。訪客的上網(wǎng)行為和擔(dān)保人關(guān)聯(lián)，安全性高?？稍O(shè)置擔(dān)保人一對(duì)一接待/一對(duì)多接待方案。適用于小規(guī)模接待之公共二維碼使用流程：a.管理員設(shè)置公共賬號(hào)，生成二維碼，并打印出來(lái)，b.訪客拿自己的移動(dòng)終端上網(wǎng)掃描認(rèn)證上網(wǎng)。共享同一賬號(hào)，適合大規(guī)模方案來(lái)上網(wǎng)，且對(duì)安全可控要求不高的場(chǎng)景。另外還有一種方式就是采用短信注冊(cè)認(rèn)證的方式針對(duì)訪客用戶數(shù)量較大的場(chǎng)景，比如學(xué)校舉行大型的學(xué)術(shù)或慶典活動(dòng)。用戶在認(rèn)證頁(yè)面上通過(guò)手機(jī)號(hào)自主注冊(cè)網(wǎng)絡(luò)賬號(hào)進(jìn)行網(wǎng)絡(luò)認(rèn)證。以上訪客方案極簡(jiǎn)網(wǎng)絡(luò)均可以提供。無(wú)線安全技術(shù)設(shè)計(jì)通常情況下，安全認(rèn)證工作由網(wǎng)關(guān)類(lèi)設(shè)備完成，對(duì)于XXX部署的無(wú)線網(wǎng)絡(luò)，作為校園網(wǎng)的一部分，必須確保接入的網(wǎng)絡(luò)用戶的合法性。由于無(wú)線信號(hào)的公開(kāi)性，采取傳統(tǒng)的網(wǎng)關(guān)認(rèn)證的模式，將所有的認(rèn)證數(shù)據(jù)集中在網(wǎng)關(guān)設(shè)備進(jìn)行，只能限制學(xué)生訪問(wèn)數(shù)據(jù)經(jīng)過(guò)認(rèn)證網(wǎng)關(guān)的情況，而對(duì)于不經(jīng)過(guò)認(rèn)證網(wǎng)關(guān)的校內(nèi)網(wǎng)訪問(wèn)無(wú)法起到有效的阻止作用。學(xué)生數(shù)據(jù)加密安全AP通過(guò)WEP、TKIP和AES加密技術(shù)，為接入學(xué)生提供完整的數(shù)據(jù)安全保障機(jī)制，確保無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)傳輸安全。虛擬無(wú)線分組技術(shù)通過(guò)虛擬無(wú)線接入點(diǎn)（VirtualAP）技術(shù)，整機(jī)可最大提供16個(gè)ESSID，支持16個(gè)802.1QVLAN，網(wǎng)管人員可以對(duì)使用相同SSID的子網(wǎng)或VLAN單獨(dú)實(shí)施加密和隔離，并可針對(duì)每個(gè)SSID配置單獨(dú)的認(rèn)證方式、加密機(jī)制等。標(biāo)準(zhǔn)CAPWAP加密隧道確保傳輸安全無(wú)線AP接入點(diǎn)與無(wú)線控制器以國(guó)際標(biāo)準(zhǔn)的CAPWAP加密隧道模式通信，確保了數(shù)據(jù)傳輸過(guò)程中的內(nèi)容安全。射頻安全在一體化網(wǎng)管系統(tǒng)、RG-WS系列無(wú)線控制器產(chǎn)品的配合下，智分型AP可啟用射頻探針掃描機(jī)制，實(shí)時(shí)發(fā)現(xiàn)非法接入點(diǎn)、或其它射頻干擾源，并提供相應(yīng)的告警，使網(wǎng)管人員可隨時(shí)監(jiān)控各個(gè)無(wú)線環(huán)境中的潛在威脅和使用狀況。ARP欺騙的防護(hù)ARP檢測(cè)功能有效遏制了網(wǎng)絡(luò)中日益泛濫的ARP網(wǎng)關(guān)欺騙和ARP主機(jī)欺騙的現(xiàn)象，保障了學(xué)生的正常上網(wǎng)。無(wú)論在動(dòng)態(tài)分配IP環(huán)境下，還是靜態(tài)分配IP環(huán)境下，均可實(shí)現(xiàn)自動(dòng)綁定工作，大大的節(jié)省了人力成本，降低了管理開(kāi)銷(xiāo)。而配合ARP速率監(jiān)控控制ARP報(bào)文發(fā)送的速率，防止惡意利用掃描工具進(jìn)行ARP泛洪占據(jù)網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)擁塞的攻擊行為。DHCP安全支持DHCPsnooping，只允許信任端口的DHCP響應(yīng)，防止未經(jīng)管理員許可私自架設(shè)DHCPServer，擾亂IP地址的分配和管理，影響學(xué)生的正常上網(wǎng)的行為；并在DHCP監(jiān)聽(tīng)的基礎(chǔ)上，通過(guò)動(dòng)態(tài)監(jiān)測(cè)ARP和檢查源IP，有效防范DHCP動(dòng)態(tài)分配IP環(huán)境下的ARP主機(jī)欺騙和源IP地址的欺騙。無(wú)線QOS設(shè)計(jì)802.11的WLAN網(wǎng)絡(luò)為用戶提供了公平競(jìng)爭(zhēng)無(wú)線資源的無(wú)線接入服務(wù)，但不同的應(yīng)用需求對(duì)于網(wǎng)絡(luò)的要求是不同的，而原始802.11網(wǎng)絡(luò)并沒(méi)有提供區(qū)分業(yè)務(wù)優(yōu)先級(jí)的機(jī)制，不能為不同應(yīng)用提供不同質(zhì)量的接入服務(wù)。當(dāng)網(wǎng)絡(luò)發(fā)生流量擁塞時(shí)，需要優(yōu)先處理的業(yè)務(wù)報(bào)文（例如語(yǔ)音報(bào)文）和普通報(bào)文（例如瀏覽網(wǎng)頁(yè)的報(bào)文）會(huì)按相同的概率被丟棄。這和有線網(wǎng)絡(luò)相對(duì)完善的QOS機(jī)制無(wú)法很好的銜接，已經(jīng)不能滿足實(shí)際應(yīng)用的需要。WLANQOS能針對(duì)各種不同需求，提供不同的網(wǎng)絡(luò)服務(wù)質(zhì)量。對(duì)實(shí)時(shí)性及可靠性要求高的數(shù)據(jù)報(bào)文提供更好的服務(wù)質(zhì)量，并進(jìn)行優(yōu)先處理；而對(duì)于實(shí)時(shí)性不強(qiáng)的普通數(shù)據(jù)報(bào)文，則提供較低的處理優(yōu)先級(jí)。802.11e只實(shí)現(xiàn)了無(wú)線空口的業(yè)務(wù)優(yōu)先級(jí)區(qū)分、高優(yōu)先級(jí)業(yè)務(wù)優(yōu)先保障帶寬，沒(méi)能解決如何在全網(wǎng)實(shí)現(xiàn)端到端的QoS問(wèn)題。銳捷無(wú)線控制器（AC）+FITAP的端到端QoS解決方案不僅解決了無(wú)線接入點(diǎn)和無(wú)線用戶直接在無(wú)線介質(zhì)上的QoS，而且還通過(guò)將無(wú)線用戶的優(yōu)先級(jí)映射與無(wú)線控制器－FITAP間的CAPWAP隧道優(yōu)先級(jí)，結(jié)合有線網(wǎng)絡(luò)QoS機(jī)制進(jìn)而實(shí)現(xiàn)了全網(wǎng)的端到端QoS。IEEE802.11協(xié)議規(guī)定采用的DCF（DistributedCoordinationFunction，分布式協(xié)調(diào)功能）調(diào)度模式是基于CSMA/CA（CarrierSenseMultipleAccesswithCollisionAvoidance，載波監(jiān)聽(tīng)/沖突避免）原理，使得所有終端用戶獲取到信道的機(jī)會(huì)是均等的。IEEE802.11e為基于802.11協(xié)議的WLAN體系添加了QoS特性，這個(gè)協(xié)議的標(biāo)準(zhǔn)化時(shí)間很長(zhǎng)，在這個(gè)過(guò)程中，Wi-Fi組織為了保證不同WLAN廠商提供QoS的設(shè)備之間可以互通，定義了WMM（Wi-FiMultimedia，Wi-Fi多媒體）標(biāo)準(zhǔn)。WMM標(biāo)準(zhǔn)使WLAN網(wǎng)絡(luò)具備了提供QoS服務(wù)的能力。WMM通過(guò)將數(shù)據(jù)報(bào)文劃分為4個(gè)接入分類(lèi)（AC）隊(duì)列，高優(yōu)先級(jí)AC占用信道的機(jī)會(huì)高于低優(yōu)先級(jí)AC，從而能針對(duì)每類(lèi)報(bào)文提供不同級(jí)別的服務(wù)。無(wú)線數(shù)據(jù)流分隊(duì)列為了使有限的網(wǎng)絡(luò)資源能夠更好地發(fā)揮效用，更好地為更多的用戶服務(wù)，設(shè)備需要支持流量限速功能。當(dāng)數(shù)據(jù)流量符合承諾速率時(shí)，允許數(shù)據(jù)包通過(guò)；數(shù)據(jù)流量不符合承諾速率時(shí)，丟棄數(shù)據(jù)包。評(píng)估流量的參數(shù)如下：平均速率（average-data-rate）即允許的流的平均速度，也叫承諾信息速率。突發(fā)速率（burst-data-rate）即每次突發(fā)所允許的最大的流量，也叫承諾突發(fā)尺寸。設(shè)置的突發(fā)尺寸必須大于最大報(bào)文長(zhǎng)度。為了保證端到端的QOS，銳捷無(wú)線網(wǎng)絡(luò)提供了無(wú)線QOS到有線QOS以及有線QOS到無(wú)線QOS的映射關(guān)系，進(jìn)而實(shí)現(xiàn)了全網(wǎng)的端到端QoS。銳捷網(wǎng)絡(luò)無(wú)線產(chǎn)品支持多種服務(wù)質(zhì)量QOS，支持802.11e中的EDCF優(yōu)先級(jí)，支持以太網(wǎng)口支持802.1p識(shí)別和標(biāo)記。支持優(yōu)先級(jí)隊(duì)列及映射、流量限制、流分類(lèi)。并且能夠?qū)OS策略映射不同SSID/VLAN。無(wú)線QOS映射無(wú)線覆蓋指標(biāo)要求無(wú)線覆蓋信號(hào)覆蓋區(qū)域信號(hào)強(qiáng)度不低于-75dBm，信噪比SNR≥20。業(yè)務(wù)使用較為集中區(qū)域的接入速率應(yīng)不低于140Mbps。室內(nèi)分布系統(tǒng)天線的等效全向輻射功率≥7dBm。室外分布系統(tǒng)天線、獨(dú)立WLAN天線的等效全向輻射功率≥22dBm。室外覆蓋方式時(shí)，WLAN無(wú)線信號(hào)一般按穿透一堵墻設(shè)計(jì)。工作頻段與頻點(diǎn)規(guī)劃依照WLAN的國(guó)際規(guī)范和國(guó)際無(wú)線電管理委員會(huì)的標(biāo)準(zhǔn)，WLAN無(wú)線設(shè)備的工作頻段為2400-2483.5MHz，帶寬83.5MHz，劃分為14個(gè)子信道，每個(gè)子頻道帶寬為22MHz,最多有13個(gè)信道可用。頻道分配如下圖所示：無(wú)線頻段在多個(gè)頻道同時(shí)工作的情況下，為保證頻道之間不互相干擾，要求兩個(gè)頻道的中心頻率間隔不能低于25MHz?？紤]參照北美標(biāo)準(zhǔn)設(shè)計(jì)的許多WLAN設(shè)備和終端（比如網(wǎng)卡）不能使用12、13信道做為學(xué)生信道，因此建議一般選用1/6/11信道。部署雙頻點(diǎn)的無(wú)線接入點(diǎn)，802.11n同時(shí)工作在2.4GHz和5GHz頻點(diǎn)；5GHz：更多的頻譜資源-數(shù)量較多的不沖突頻點(diǎn)，更少的干擾（藍(lán)牙、微波爐），從40MHz信道綁定獲得最高的性能，很多802.11n的客戶端只有在5GHz頻段上支持40MHz；2.4GHz：采用2.4GHz頻點(diǎn)，兼容原有的802.11a、b/g的客戶端；不建議在2.4GHz頻點(diǎn)使用40MHz信道綁定，大部分客戶端不支持；避免了802.11a、b/g與802.11n混用，降低性能。通過(guò)對(duì)XXX初步勘測(cè)，發(fā)現(xiàn)目前樓宇內(nèi)已經(jīng)部署運(yùn)營(yíng)商的無(wú)線信號(hào)，故在本次無(wú)線項(xiàng)目實(shí)施過(guò)程中，將根據(jù)目前發(fā)現(xiàn)樓宇內(nèi)存在的無(wú)線信號(hào)所使用的頻段，進(jìn)行靈活調(diào)配，將無(wú)線信號(hào)干擾降到最低。覆蓋效果計(jì)算AP的信號(hào)總強(qiáng)度公式：Gt－Gr＋AP天線增益＋終端天線增益＝L信號(hào)總強(qiáng)度（dB）。AP部署空曠區(qū)域，20-25米遠(yuǎn)，筆記本無(wú)線接入計(jì)算（基于dBm）無(wú)線AP發(fā)射功率100mW發(fā)射功率（高調(diào)制速率時(shí)發(fā)射功率會(huì)下降2－5db）20增項(xiàng)室內(nèi)定向發(fā)射天線增益12dBi12筆記本天線增益2dBi2減項(xiàng)參考平均3米7D饋線損耗；-10一般情況：由于天線不對(duì)正，不再主波瓣情況的調(diào)整-52.4G/5.8G空間傳播20米-66/-74（2.4G10米60dB，5.8G10米68dB，每1倍變化差6dB）各種衰落/波動(dòng)影響（室內(nèi)、市區(qū)<15dB)-15根據(jù)較壞情況接受電平RSSI＝發(fā)射功率＋增項(xiàng)＋減項(xiàng)－（－95dBm）33/25計(jì)算的RSSIRSSI為20以上可以實(shí)現(xiàn)滿速率，RSSI為16是較好，RSSI為13是可以連接的，RSSI在5－10連接很不穩(wěn)定信號(hào)質(zhì)量好可以達(dá)到滿速率網(wǎng)絡(luò)安全設(shè)計(jì)設(shè)備級(jí)安全功能設(shè)備級(jí)可靠性主要從設(shè)備自身可靠性，網(wǎng)絡(luò)中的核心層交換機(jī)需要具備關(guān)鍵的可靠性技術(shù)：可靠性指標(biāo)必須達(dá)到99.99%。所有關(guān)鍵器件，如主控板、電源等都采用冗余設(shè)計(jì)，業(yè)務(wù)模塊支持熱插拔。網(wǎng)絡(luò)核心設(shè)備無(wú)源背板，采用無(wú)源器件的背板，可靠性更高。網(wǎng)絡(luò)核心設(shè)備支持不間斷轉(zhuǎn)發(fā)，主控板熱備份。主備倒換過(guò)程不影響業(yè)務(wù)轉(zhuǎn)發(fā)，不丟包。為避免因病毒、蠕蟲(chóng)等引起的網(wǎng)絡(luò)泛洪對(duì)網(wǎng)絡(luò)設(shè)備造成CPU升高等影響網(wǎng)絡(luò)的情況出現(xiàn)，所有設(shè)備應(yīng)具備CPU保護(hù)技術(shù)來(lái)避免異常流量和攻擊流量對(duì)設(shè)備可靠性的威脅。安全策略部署透明，不影響設(shè)備和網(wǎng)絡(luò)性能，不影響業(yè)務(wù)和用戶體驗(yàn)基于上述要求，選擇的核心交換機(jī)支持多種硬件的安全防護(hù)技術(shù)，主要包括：引擎切換數(shù)據(jù)不間斷轉(zhuǎn)發(fā)、電源冗余、業(yè)務(wù)模塊熱插拔、防Dos攻擊、防掃描、防源IP地址欺騙、SPOH、CPP、LPM+HDR等。通過(guò)采用專(zhuān)門(mén)針對(duì)攻擊手段設(shè)計(jì)的ASIC芯片針對(duì)網(wǎng)絡(luò)中的各種攻擊進(jìn)行安全的防護(hù)，保證在處理安全問(wèn)題的同時(shí)依然不影響網(wǎng)絡(luò)正常數(shù)據(jù)的轉(zhuǎn)發(fā)。建議選擇的全系列交換機(jī)具備的硬件CPU保護(hù)功能（CPP）可實(shí)現(xiàn)對(duì)CPU的自動(dòng)硬件防護(hù)機(jī)制，保證設(shè)備不會(huì)因?yàn)閰f(xié)議攻擊而宕機(jī)。同時(shí)交換機(jī)上具備的SPOH技術(shù)（基于硬件的同步式處理），在線卡的每個(gè)端口上利用FFP硬件進(jìn)行安全防護(hù)和智能保障，各端口可以同步地、不影響整機(jī)性能地進(jìn)行硬件處理。最長(zhǎng)匹配（LPM）技術(shù)解決了“流精確匹配”的缺點(diǎn)，支持一個(gè)網(wǎng)段使用一個(gè)硬件轉(zhuǎn)發(fā)表項(xiàng)，杜絕了攻擊和病毒對(duì)硬件存儲(chǔ)空間的危害。HDR拋棄了傳統(tǒng)方式CPU參與“一次路由”的效率影響，在路由轉(zhuǎn)發(fā)前形成路由表項(xiàng)，避免了攻擊和病毒對(duì)CPU利用率的危害。LPM+HDR技術(shù)的結(jié)合不僅極大地提升了路由效率，而且保障設(shè)備在病毒和攻擊環(huán)境下的穩(wěn)定運(yùn)行。防ARP攻擊設(shè)計(jì)作為攻擊源的主機(jī)偽造一個(gè)ARP數(shù)據(jù)包，此ARP包中的IP與MAC地址對(duì)同真實(shí)的IP與MAC對(duì)應(yīng)關(guān)系不同，此偽造的ARP包發(fā)送出去后，網(wǎng)內(nèi)其它主機(jī)根據(jù)收到的ARP包中的SENDER’S字段，ARP緩存被更新，被欺騙主機(jī)或網(wǎng)絡(luò)設(shè)備的ARP緩存中特定IP被關(guān)聯(lián)到錯(cuò)誤的MAC地址，被欺騙主機(jī)或網(wǎng)絡(luò)設(shè)備訪問(wèn)特定IP的數(shù)據(jù)包將不能被發(fā)送到真實(shí)的目的主機(jī)或網(wǎng)關(guān)，目的主機(jī)或網(wǎng)關(guān)不能被正常訪問(wèn)。防ARP欺騙設(shè)計(jì)在宿舍區(qū)接入交換機(jī)上開(kāi)啟ARP-CHECK功能，提取ACE中的IP+MAC資源，形成新的ACE資源（ARP報(bào)文過(guò)濾），對(duì)經(jīng)過(guò)交換機(jī)的ARP報(bào)文進(jìn)行檢驗(yàn)，對(duì)交換機(jī)綁定表中存在的ARP表項(xiàng)進(jìn)行放行，對(duì)非法的ARP報(bào)文直接丟棄，從而實(shí)現(xiàn)防ARP欺騙功能。交換機(jī)IP防掃描設(shè)計(jì)眾所周知，許多黑客攻擊、網(wǎng)絡(luò)病毒入侵都是從掃描網(wǎng)絡(luò)內(nèi)活動(dòng)的主機(jī)開(kāi)始的，大量的掃描報(bào)文也急劇占用了網(wǎng)絡(luò)帶寬，導(dǎo)致正常的網(wǎng)絡(luò)通訊無(wú)法進(jìn)行。而且，互聯(lián)網(wǎng)上掃描的工具多如牛毛。為此，方案中的三層核心交換機(jī)提供了防掃描的功能，用以防止黑客掃描和類(lèi)似“沖擊波病毒”的攻擊，以減輕三層交換機(jī)的CPU負(fù)擔(dān)。目前發(fā)現(xiàn)的掃描攻擊有兩種：目的IP地址不斷變化的掃描，“scandestipattack”。這種掃描攻擊是最危害網(wǎng)絡(luò)的，不但消耗網(wǎng)絡(luò)帶寬，增加交換機(jī)的負(fù)擔(dān)，更是大部分黑客攻擊手段的起手工具。目的IP地址不存在的掃描，“samedestipattack”。這種攻擊主要是通過(guò)增加交換機(jī)CPU的負(fù)擔(dān)來(lái)實(shí)現(xiàn)的。對(duì)三層交換機(jī)來(lái)說(shuō)，如果目的IP地址存在，則報(bào)文的轉(zhuǎn)發(fā)會(huì)通過(guò)交換芯片直接轉(zhuǎn)發(fā)，不會(huì)占用交換機(jī)CPU的資源；而如果目的IP地址不存在，那么交換機(jī)CPU會(huì)定時(shí)去嘗試連接，如果存在大量的這種嘗試連接，也會(huì)消耗CPU資源。當(dāng)然，這種攻擊的危害比第一種小得多了。以上這兩種攻擊，核心交換機(jī)都可以通過(guò)在接口上調(diào)整相應(yīng)的攻擊閥值、攻擊主機(jī)隔離時(shí)間等參數(shù)，來(lái)減輕其對(duì)網(wǎng)絡(luò)的影響。另外，還可以根據(jù)網(wǎng)絡(luò)中可監(jiān)控的主機(jī)數(shù)，在全局模式下設(shè)置可監(jiān)控攻擊主機(jī)的最大值，以達(dá)到更好地保護(hù)系統(tǒng)的要求。防DOS/DDOS攻擊近年來(lái)，各種DoS攻擊（DenialofService，拒絕服務(wù)）報(bào)文在互聯(lián)網(wǎng)上傳播，給互聯(lián)網(wǎng)用戶帶來(lái)很大煩惱。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶無(wú)法得到服務(wù)的響應(yīng)。攻擊報(bào)文主要采用偽裝源IP以防暴露其蹤跡。針對(duì)這種情況，RFC2827提出在網(wǎng)絡(luò)接入處設(shè)置入口過(guò)濾（IngressFilting），來(lái)限制偽裝源IP的報(bào)文進(jìn)入網(wǎng)絡(luò)。這種方法更注重在攻擊的早期和從整體上防止DoS的發(fā)生，因而具有較好效果。使用這種過(guò)濾也能夠幫助ISP和網(wǎng)管來(lái)準(zhǔn)確定位使用真實(shí)有效的源IP的攻擊者。ISP應(yīng)該也必須采用此功能防止報(bào)文攻擊進(jìn)入Internet；企業(yè)（校園網(wǎng)）的網(wǎng)管應(yīng)該執(zhí)行過(guò)濾來(lái)確保企業(yè)網(wǎng)不會(huì)成為此類(lèi)攻擊的發(fā)源地。交換機(jī)采用基于RFC2827的入口過(guò)濾規(guī)則來(lái)防止DoS攻擊，這種過(guò)濾是通過(guò)自動(dòng)生成特定的ACL來(lái)實(shí)現(xiàn)，該過(guò)濾采用硬件實(shí)現(xiàn)而不會(huì)給網(wǎng)絡(luò)轉(zhuǎn)發(fā)增加負(fù)擔(dān)。路由安全設(shè)計(jì)（1）路由認(rèn)證和保護(hù)路由認(rèn)證（RoutingAuthentication），就是運(yùn)行于不同設(shè)備的相同的動(dòng)態(tài)路由協(xié)議之間，對(duì)相互傳遞的路由刷新報(bào)文進(jìn)行的確認(rèn)，以便使得設(shè)備能夠接受真正而安全的路由刷新報(bào)文。任何運(yùn)行一個(gè)不支持路由認(rèn)證的路由協(xié)議，都存在著巨大的安全隱患。某些惡意的攻擊者可以利用這些漏洞，向網(wǎng)絡(luò)發(fā)送不正確或者不一致的路由刷新，由于設(shè)備無(wú)法證實(shí)這些刷新，而使得設(shè)備被欺騙，最終導(dǎo)致網(wǎng)絡(luò)的癱瘓。目前，多數(shù)路由協(xié)議支持路由認(rèn)證，并且實(shí)現(xiàn)的方式大體相同。認(rèn)證過(guò)程有基于明文的，也有基于更安全的MD5校驗(yàn)。MD5認(rèn)證與明文認(rèn)證的過(guò)程類(lèi)似，只不過(guò)密鑰不在網(wǎng)絡(luò)上以明文方式直接傳送。路由器將使用MD5算法產(chǎn)生一個(gè)密鑰的“消息摘要”。這個(gè)消息摘要將代替密鑰本身發(fā)送出去。這樣可以保證沒(méi)有人可以在密鑰傳輸?shù)倪^(guò)程中竊取到密鑰信息。為了保證路由協(xié)議的安全，在路由協(xié)議配置時(shí)必須配置OSPF的認(rèn)證，建議采用MD5認(rèn)證。（2）關(guān)閉IP功能服務(wù)有些IP特性被惡意攻擊者利用，會(huì)增加網(wǎng)絡(luò)的危險(xiǎn)，因此，網(wǎng)絡(luò)設(shè)備應(yīng)具備關(guān)閉這些IP功能的能力。IP源路由選項(xiàng)開(kāi)關(guān)在IP路由技術(shù)中，通常一個(gè)IP報(bào)文總是沿著網(wǎng)絡(luò)中的每個(gè)路由器所選擇的路徑上轉(zhuǎn)發(fā)分組。IP協(xié)議中提供了源站和記錄路由選項(xiàng)，它的含義是允許源站明確指定一條到目的地的路由，覆蓋掉中間路由器的路由選擇。并且，在分組到達(dá)目的地的過(guò)程中，把該路由記錄下來(lái)。源路由選項(xiàng)通常用于指定網(wǎng)絡(luò)路徑的故障診斷和某種特殊業(yè)務(wù)的臨時(shí)傳送。因?yàn)镮P源路由選項(xiàng)忽略了報(bào)文傳輸路徑中的各個(gè)設(shè)備的中間轉(zhuǎn)發(fā)過(guò)程，而不管轉(zhuǎn)發(fā)接口的工作狀態(tài)，可能被惡意攻擊者利用，刺探網(wǎng)絡(luò)結(jié)構(gòu)。因此，設(shè)備應(yīng)能關(guān)閉IP源路由選項(xiàng)功能。重定向開(kāi)關(guān)網(wǎng)絡(luò)設(shè)備向同一個(gè)子網(wǎng)的主機(jī)發(fā)送ICMP重定向報(bào)文，請(qǐng)求主機(jī)改變路由。一般情況下，設(shè)備僅向主機(jī)而不向其它設(shè)備發(fā)送ICMP重定向報(bào)文。但一些惡意的攻擊可能跨越網(wǎng)段向另外一個(gè)網(wǎng)絡(luò)的主機(jī)發(fā)送虛假的重定向報(bào)文，以期改變主機(jī)的路由表，干擾主機(jī)正常的IP報(bào)文轉(zhuǎn)發(fā)。因此，設(shè)備應(yīng)能關(guān)閉ICMP重定向報(bào)文的轉(zhuǎn)發(fā)。定向廣播報(bào)文轉(zhuǎn)發(fā)開(kāi)關(guān)在接口上進(jìn)行配置，禁止目的地址為子網(wǎng)廣播地址的報(bào)文從該接口轉(zhuǎn)發(fā)，以防止smurf攻擊。因此，設(shè)備應(yīng)能關(guān)閉定向廣播報(bào)文的轉(zhuǎn)發(fā)。缺省應(yīng)為關(guān)閉狀態(tài)。ICMP協(xié)議的功能開(kāi)關(guān)很多常見(jiàn)的網(wǎng)絡(luò)攻擊利用了ICMP協(xié)議功能。ICMP協(xié)議允許網(wǎng)絡(luò)設(shè)備中間節(jié)點(diǎn)（路由器）向其它設(shè)備節(jié)點(diǎn)和主機(jī)發(fā)送差錯(cuò)或控制報(bào)文；主機(jī)也可用ICMP協(xié)議與網(wǎng)絡(luò)設(shè)備或另一臺(tái)主機(jī)通信。對(duì)ICMP的防護(hù)比較復(fù)雜，因?yàn)镮CMP中一些消息已經(jīng)作廢，而有一些消息在基本傳送中不使用，而另外一些則是常用的消息，因此ICMP協(xié)議處理中應(yīng)根據(jù)這三種差別對(duì)不同的ICMP消息處理，以減少I(mǎi)CMP對(duì)網(wǎng)絡(luò)安全的影響。設(shè)備管理安全設(shè)計(jì)（1）只開(kāi)放必要的網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)設(shè)備可以提供很多網(wǎng)絡(luò)服務(wù)，有些服務(wù)可能成為網(wǎng)絡(luò)攻擊的對(duì)象。為了提供網(wǎng)絡(luò)設(shè)備的安全級(jí)別，盡可能關(guān)閉不必要的服務(wù)，降低網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。（2）網(wǎng)絡(luò)管理認(rèn)證 管理員認(rèn)證應(yīng)采用集中認(rèn)證和本地認(rèn)證相結(jié)合的方式，集中認(rèn)證為主要認(rèn)證方式，本地認(rèn)證為備份認(rèn)證方式，在集中認(rèn)證服務(wù)器無(wú)法訪問(wèn)的情況下使用本地認(rèn)證。集中認(rèn)證采用Radius認(rèn)證協(xié)議，同時(shí)在設(shè)備上建立本地用戶數(shù)據(jù)庫(kù)，在Radius服務(wù)器不可用的情況下，使用本地?cái)?shù)據(jù)庫(kù)進(jìn)行驗(yàn)證。在VTY和Console接口上啟用管理認(rèn)證，認(rèn)證方式為集中認(rèn)證和本地認(rèn)證相結(jié)合。（3）Telnet接入安全TELNET是對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理的主要手段，可以對(duì)設(shè)備進(jìn)行最為有效的操作，為了確保TELNET訪問(wèn)的合法性和安全性，我們需要注意：1.設(shè)置最大會(huì)話連接數(shù)；2.設(shè)置訪問(wèn)控制列表，限制TELNET的連接請(qǐng)求來(lái)自指定的源IP網(wǎng)段；3.盡量用SSH代替TELNET，采用SSH的好處是所有信息以加密的形式在網(wǎng)絡(luò)中傳輸。（4）SNMP安全通過(guò)SNMP可以對(duì)設(shè)備進(jìn)行全面的日常管理，為了提高SNMP管理的安全性，需要應(yīng)注意以下幾點(diǎn)：1.避免使用缺省的snmpcommunity，設(shè)置高質(zhì)量的口令；2.不同區(qū)域的網(wǎng)絡(luò)設(shè)備采用不同的snmpcommunity；3.把只讀snmpcommunity和可讀寫(xiě)snmpcommunity區(qū)分開(kāi)來(lái)；4.配置ACL來(lái)限制能夠通過(guò)SNMP訪問(wèn)網(wǎng)絡(luò)設(shè)備的IP地址。匯聚嵌入式安全面對(duì)現(xiàn)在網(wǎng)絡(luò)環(huán)境越來(lái)越多的網(wǎng)絡(luò)病毒和攻擊威脅，要求操作系統(tǒng)提供強(qiáng)大的網(wǎng)絡(luò)病毒和攻擊防護(hù)能力，網(wǎng)絡(luò)硬件不僅提供了基于SPOH技術(shù)的ACL功能，而且還支持防源IP地址欺騙（SouceIPSpoofing）、防DOS/DDOS攻擊（Synflood，Smurf），防掃描（PingSweep）等能力，從設(shè)備本身的功能即可保證網(wǎng)絡(luò)安全。因此對(duì)于局域網(wǎng)中，建議如下部署：在核心匯聚部署支持防源IP地址欺騙（SouceIPSpoofing）、防DOS/DDOS攻擊（Synflood，Smurf），防掃描（PingSweep）等能力。接入安全控制在接入部署ACL，對(duì)沖擊波、蠕蟲(chóng)等病毒進(jìn)行防范已經(jīng)生成數(shù)BPDU攻擊、MAC攻擊等二層攻擊，使有害數(shù)據(jù)包在接入就被過(guò)濾。要求接入交換機(jī)具備完善的QoS以及強(qiáng)大的安全接入控制能力。具體要求如下：二至四層線速轉(zhuǎn)發(fā)，二至七層智能識(shí)別：硬件全線速實(shí)現(xiàn)路由、ACL、QOS、帶寬限制，全面提升用戶體驗(yàn)；硬件實(shí)現(xiàn)端口與MAC地址和用戶IP地址的綁定：不需要第三方設(shè)備或軟件，僅通過(guò)設(shè)定訪問(wèn)交換機(jī)上某個(gè)端口的用戶MAC地址和IP，就可硬件實(shí)現(xiàn)嚴(yán)格控制對(duì)該端口的用戶輸入，有效防止非法用戶的接入。有效杜絕非法組播源：支持IGMP源端口檢查功能，以及支持IGMP源IP檢查功能，有效地杜絕非法的組播源播放非法的組播信息，更好地提高了網(wǎng)絡(luò)的安全性。極靈活的基于流的帶寬控制能力：具備MAC流、IP流、應(yīng)用流等多層流分類(lèi)和流控制能力，實(shí)現(xiàn)靈活精細(xì)的帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級(jí)等多種流策略，帶寬限制粒度達(dá)64Kbps，支持網(wǎng)絡(luò)根據(jù)不同的業(yè)務(wù)、以及不同業(yè)務(wù)所需要的服務(wù)質(zhì)量特性，提供差異化服務(wù)完善的QoS：RG-S29E支持完善的QOS，以DiffServ標(biāo)準(zhǔn)為核心的QoS保障系統(tǒng)，支持802.1P、IPTOS、二到七層流過(guò)濾、SP、WRR等完整的QoS策略，實(shí)現(xiàn)基于全網(wǎng)系統(tǒng)多業(yè)務(wù)的QoS邏輯；強(qiáng)大的安全接入控制能力：硬件本身即可實(shí)現(xiàn)端口與MAC地址和用戶IP地址的綁定，另外和配合寬帶認(rèn)證計(jì)費(fèi)管理系統(tǒng)可實(shí)現(xiàn)用戶帳號(hào)與IP、MAC、交換機(jī)IP、端口、VlanID多元素的復(fù)合綁定。保證用戶身份的合法性和唯一性，可以有效的避免IP地址沖突、帳號(hào)盜用等問(wèn)題發(fā)生。通過(guò)PVLAN即可隔離用戶信息互通：采用保護(hù)端口（即將該端口設(shè)為保護(hù)端口）實(shí)現(xiàn)端口之間相互隔離，不必占用VLAN資源。采用保護(hù)端口即保證用戶信息安全，又節(jié)約VLAN資源，同時(shí)不必再修改VLAN配置，大大提高維護(hù)效率。多端口同步監(jiān)控MSPAN：通過(guò)一個(gè)端口可同時(shí)監(jiān)控多個(gè)端口的數(shù)據(jù)流，可以只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀，有效提高監(jiān)測(cè)效率。IP+MAC+端口綁定學(xué)生宿舍區(qū)的用戶上網(wǎng)的安全性非常重要，要求接入交換機(jī)可以實(shí)現(xiàn)端口IP+MAC地址的綁定關(guān)系，可以支持基于MAC地址的802.1X認(rèn)證。MAC地址的綁定可以直接實(shí)現(xiàn)用戶對(duì)于邊緣用戶的管理，提高整個(gè)網(wǎng)絡(luò)的安全性、可維護(hù)性。防止病毒廣播泛洪要求接入交換機(jī)可實(shí)現(xiàn)廣播報(bào)文的計(jì)數(shù)累計(jì)功能，往往一臺(tái)主機(jī)受病毒時(shí)會(huì)發(fā)出大量的廣播報(bào)文，交換機(jī)可實(shí)現(xiàn)對(duì)與進(jìn)入報(bào)文的計(jì)數(shù)累計(jì)，廣播病毒一般會(huì)在短時(shí)間內(nèi)產(chǎn)生大量的廣播包，通過(guò)可設(shè)置廣播包的閥值，當(dāng)達(dá)到一定的廣播保文的數(shù)量時(shí)端口可是直接關(guān)閉，確保網(wǎng)絡(luò)的安全、穩(wěn)定。入網(wǎng)用戶身份認(rèn)證基于802.1X的擴(kuò)展的認(rèn)證計(jì)費(fèi)系統(tǒng)在用戶第一次上網(wǎng)就必須認(rèn)證，保證了用戶上網(wǎng)的安全和合法性。防止對(duì)DHCP服務(wù)器攻擊使用DHCPServer動(dòng)態(tài)分配IP地址會(huì)存在兩個(gè)問(wèn)題：一是DHCPServer假冒，用戶將自己的計(jì)算機(jī)設(shè)置成DHCPServer后會(huì)分發(fā)非法地址給終端用戶，造成用戶無(wú)法使用網(wǎng)絡(luò)，；二是用戶DHCPSmurf，用戶使用軟件變換自己的MAC地址，大量申請(qǐng)IP地址，很快將DHCP的地址池耗光。對(duì)于第一種情況，使用接入交換機(jī)的訪問(wèn)列表就可以實(shí)現(xiàn)防范：在安全接入交換機(jī)上定義一個(gè)訪問(wèn)列表，該訪問(wèn)列表允許目的IP地址為合法DHCP服務(wù)器（或這個(gè)網(wǎng)段的網(wǎng)關(guān)地址，部分三層交換機(jī)在DHCPrelay之后，DHCPsever的地址會(huì)替換成三層SVI的地址）、sourceport為67而destinationport為68的UDP報(bào)文通過(guò)。而其它sourceport為67而destinationport為68的UDP報(bào)文拒絕，之后把這個(gè)訪問(wèn)列表應(yīng)用到上聯(lián)物理端口上。同時(shí)再定義一個(gè)訪問(wèn)列表，拒絕sourceport為67而destinationport為68的UDP報(bào)文通過(guò)，并運(yùn)用在下聯(lián)端口。對(duì)于第二種情況，開(kāi)啟接入交換機(jī)的端口安全功能就可以實(shí)現(xiàn)防范。在接入交換機(jī)設(shè)置端口安全，可以根據(jù)網(wǎng)絡(luò)的實(shí)際情況設(shè)置，設(shè)置某個(gè)端口下學(xué)習(xí)源MAC的個(gè)數(shù)，一旦學(xué)習(xí)到的源MAC地址大于設(shè)置值，那么數(shù)據(jù)幀就會(huì)在端口丟棄，同時(shí)發(fā)送警告信息通知網(wǎng)管員，或是邏輯上關(guān)閉該端口。如下圖：而對(duì)于用戶手工設(shè)置靜態(tài)IP地址，造成和已分發(fā)的動(dòng)態(tài)IP地址沖突，可以通過(guò)認(rèn)證系統(tǒng)指定用戶只能采用DHCP獲取IP。多元素綁定技術(shù)構(gòu)筑高安全校園網(wǎng)IP地址、MAC地址、接入交換機(jī)端口、以及接入交換機(jī)IP、身份信息、是標(biāo)識(shí)網(wǎng)絡(luò)用戶的基本元素，而單一的元素?zé)o法為管理員來(lái)標(biāo)識(shí)一個(gè)用戶，而網(wǎng)絡(luò)安全被利用最多還是MAC、IP地址等。MAC地址欺騙將合法的MAC地址修改成不存在的MAC地址或其他人的MAC地址，從而達(dá)到隱藏自己真實(shí)的MAC，來(lái)達(dá)到一些不可告人的目的，這就是MAC地址欺騙。MAC地址泛洪攻擊交換機(jī)由于交換機(jī)內(nèi)部的MAC地址表空間是有限的，正常情況下，這些MAC地址表是足夠用的，一般情況下，基本不會(huì)發(fā)生MAC地址表被占滿的情況。但如果有人惡意對(duì)這臺(tái)交換機(jī)進(jìn)行MAC地址泛洪攻擊的話，則會(huì)很快占滿交換機(jī)內(nèi)部MAC地址表，使得本來(lái)交換機(jī)本來(lái)是按單播進(jìn)行轉(zhuǎn)發(fā)數(shù)據(jù)包的，但由于MAC地址表已經(jīng)被占滿了，所有的交換機(jī)的端口都在一個(gè)廣播域里了，因此交換機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)包的機(jī)制變成了廣播了。因此交換機(jī)變成了一個(gè)Hub，因此別的端口可以收到所有的其他端口的數(shù)據(jù)，因此用戶的信息傳輸也沒(méi)有安全保障了。IP地址隨意更改手工更改用戶自己的IP地址，這使得原本分到該IP地址的合法用戶無(wú)法正常上網(wǎng)，同時(shí)也將導(dǎo)致整個(gè)網(wǎng)絡(luò)的IP地址管理混亂。非法用戶向被攻擊的主機(jī)發(fā)出大量的攻擊包，同時(shí)將報(bào)文中的源IP地址進(jìn)行修改以掩藏自己真實(shí)的IP，這樣就可以逃避網(wǎng)管的追查，“堂而皇之”的攻擊對(duì)方了。因此根據(jù)以上安全的情況，我們建議采用認(rèn)證系統(tǒng)的綁定功能，對(duì)宿舍網(wǎng)用戶進(jìn)行管理。通過(guò)認(rèn)證系統(tǒng)(AAA)服務(wù)器綁定每一個(gè)用戶的元素信息，當(dāng)用戶認(rèn)證時(shí)，802.1X客戶端將所需要的元素信息傳送到認(rèn)證系統(tǒng)服務(wù)器，認(rèn)證系統(tǒng)會(huì)將所傳送的信息和數(shù)據(jù)庫(kù)做一一的匹配，如果有任一一元素不符合認(rèn)證系統(tǒng)所定義，那么將視此用戶為非合法用戶，認(rèn)證系統(tǒng)將不允許此用戶認(rèn)證通過(guò)，并反饋通知用戶綁定錯(cuò)誤相關(guān)信息。如果用戶認(rèn)證通過(guò)后修改地址，那么客戶端也會(huì)檢測(cè)到并發(fā)送到認(rèn)證系統(tǒng)服務(wù)器，同時(shí)認(rèn)證系統(tǒng)服務(wù)器會(huì)將此用戶剔除下線。為了管理方便，我們建議使用第一次登錄自動(dòng)時(shí)綁定信息，當(dāng)用戶第一次認(rèn)證時(shí)將相關(guān)的元素信息自動(dòng)的寫(xiě)入數(shù)據(jù)庫(kù)，無(wú)需手工錄入元素信息作靜態(tài)綁定。防止用戶私設(shè)代理服務(wù)器用戶自行架設(shè)代理服務(wù)器以及用戶認(rèn)證后再自行撥號(hào)上網(wǎng)，這是網(wǎng)絡(luò)安全最大的兩個(gè)隱患。交換機(jī)提供代理服務(wù)器屏蔽和撥號(hào)屏蔽功能。實(shí)現(xiàn)該功能交換機(jī)端不需任何設(shè)置。只需在認(rèn)證系統(tǒng)服務(wù)器端配置相應(yīng)的屬性?？紤]到學(xué)生的技術(shù)性較強(qiáng)，在實(shí)際的應(yīng)用的過(guò)程當(dāng)中應(yīng)當(dāng)充分考慮到學(xué)生的代理服務(wù)器的使用，對(duì)于代理服務(wù)器的防止，交換機(jī)配合802.1X的客戶端以及認(rèn)證系統(tǒng)服務(wù)器，一旦檢測(cè)到用戶PC機(jī)產(chǎn)生代理流量，系統(tǒng)自動(dòng)將用戶剔除下線，并反饋信息。惡意用戶追查對(duì)每個(gè)用戶分配一個(gè)賬戶，使用認(rèn)證系統(tǒng)管理用戶。由認(rèn)證系統(tǒng)記錄用戶每次上網(wǎng)的用戶名，源IP地址，上網(wǎng)開(kāi)始和結(jié)束時(shí)間。然后通過(guò)安全認(rèn)證管理系統(tǒng)認(rèn)證系統(tǒng)查找MAC地址和IP地址，就可以根據(jù)源IP或源MAC在系統(tǒng)上查到該用戶所在的交換機(jī)以及在該交換機(jī)上所接的端口，通過(guò)這種方式可以立刻定位用戶，方便對(duì)于大型網(wǎng)絡(luò)的管理，能夠方便快捷的防止惡意用戶的攻擊。同時(shí)，認(rèn)證系統(tǒng)系統(tǒng)可以隨機(jī)保存15～90天的用戶上網(wǎng)記錄（根據(jù)管理的需要，自行定義天數(shù)），并可以實(shí)現(xiàn)數(shù)據(jù)的備份。設(shè)備清單序號(hào)名稱(chēng)品牌產(chǎn)品型號(hào)數(shù)量產(chǎn)地1出口路由器銳捷網(wǎng)絡(luò)RG-RSR7708-X1福建銳捷網(wǎng)絡(luò)RSR7708-SCRMI-X2福建銳捷網(wǎng)絡(luò)RSR7708-DSF-X2福建銳捷網(wǎng)絡(luò)RG-PA600-RI2福建銳捷網(wǎng)絡(luò)RSR77-SIP1-X2福建銳捷網(wǎng)絡(luò)FNM-8GE2福建銳捷網(wǎng)絡(luò)FNM-2XS2福建銳捷網(wǎng)絡(luò)XG-SFP-LR-SM13108福建銳捷網(wǎng)絡(luò)XG-SFP-SR-MM8504福建2核心交換機(jī)銳捷網(wǎng)絡(luò)RG-N180101福建銳捷網(wǎng)絡(luò)M18010-CMII2福建銳捷網(wǎng)絡(luò)M18010-FE-DI2福建銳捷網(wǎng)絡(luò)RG-PA1600I2福建銳捷網(wǎng)絡(luò)M18000-44SFP4XS-ED1福建銳捷網(wǎng)絡(luò)M18000-48XS-DB1福建3服務(wù)器接入交換機(jī)銳捷網(wǎng)絡(luò)RG-S2910-24GT4XS-E1福建銳捷網(wǎng)絡(luò)XG-SFP-SR-MM8504福建4認(rèn)證計(jì)費(fèi)系統(tǒng)銳捷網(wǎng)絡(luò)RG-SAMV3.X企業(yè)版1福建銳捷網(wǎng)絡(luò)RG-SAMV3.X企業(yè)版License15福建5Portal管理系統(tǒng)銳捷網(wǎng)絡(luò)RG-ePortal企業(yè)版1福建銳捷網(wǎng)絡(luò)RG-ePortal企業(yè)版License9福建6日志記錄系統(tǒng)銳捷網(wǎng)絡(luò)RG-eLog1福建7無(wú)線控制器銳捷網(wǎng)絡(luò)RG-M18000-WS-ED2福建銳捷網(wǎng)絡(luò)LIC-WS-12813福建8宿舍面板式AP銳捷網(wǎng)絡(luò)RG-AP130-L2948福建911ac室內(nèi)無(wú)線接入點(diǎn)銳捷網(wǎng)絡(luò)RG-AP520776福建1011ac室外無(wú)線接入點(diǎn)銳捷網(wǎng)絡(luò)RG-AP630(定向)30福建銳捷網(wǎng)絡(luò)RG-E-13030福建11無(wú)線接入點(diǎn)24口PoE交換機(jī)銳捷網(wǎng)絡(luò)RG-S2928G-24P154福建12無(wú)線接入點(diǎn)12口PoE交換機(jī)銳捷網(wǎng)絡(luò)RG-S2928G-12P36福建13樓宇匯聚交換機(jī)銳捷網(wǎng)絡(luò)RG-S2910-24GT4XS-E38福建銳捷網(wǎng)絡(luò)XG-SFP-LR-SM131076福建14認(rèn)證計(jì)費(fèi)服務(wù)器聯(lián)想ThinkServerRD4501北京15Portal管理系統(tǒng)服務(wù)器聯(lián)想ThinkServerRD4501北京16日志記錄服務(wù)器聯(lián)想ThinkServerRD4501北京17綜合布線普天根據(jù)實(shí)際情況進(jìn)行投入實(shí)施1南京技術(shù)參數(shù)品目設(shè)備名稱(chēng)數(shù)量主要技術(shù)參數(shù)及性能（配置）1出口路由器1臺(tái)1.采用全分布式轉(zhuǎn)發(fā)處理架構(gòu)，交換容量：16Tbps，包轉(zhuǎn)發(fā)率：2880Mpps2.獨(dú)立交換網(wǎng)板插槽：2個(gè)3.整機(jī)業(yè)務(wù)插槽數(shù)量:4個(gè)（不含路由引擎、交換網(wǎng)板、業(yè)務(wù)子卡插槽）4.支持路由引擎、業(yè)務(wù)載板/模塊、電源/風(fēng)扇等關(guān)鍵部件的高可用性熱插拔設(shè)計(jì)5.支持并實(shí)配支持L2TP、IPSecVPN、GREVPN功能，如需配置獨(dú)立硬件板卡或購(gòu)買(mǎi)License才能支持該功能特性，則要求必須配置相應(yīng)獨(dú)立硬件板卡或License6.支持并配置靜態(tài)路由、等價(jià)路由、策略路由；支持并可配置RIPv1/v2、BGPv4、BGP4+等路由協(xié)議7.支持并配置虛擬化功能，支持N：1的多虛一功能8.支持并配置Telnet、SSH管理模式；支持并配置CLI、SNMPv1/v2/v3、RMON1/2/3/9；9.支持并實(shí)配防火墻功能，可提供狀態(tài)檢測(cè)、URL過(guò)濾、SSLVPN等多種安全特性10.配置：配置雙引擎、雙電源、雙交換網(wǎng)板;配置光口數(shù)量:16，配置電口數(shù)量：16，配置萬(wàn)兆光口數(shù)量:42核心交換機(jī)1臺(tái)1.正交Clos交換架構(gòu)，交換網(wǎng)板與主控板硬件槽位分離且為正交架構(gòu)2.交換容量167.2Tbps，轉(zhuǎn)發(fā)性能43,200Mpps，主機(jī)槽位數(shù)：103.為保障機(jī)框內(nèi)各種業(yè)務(wù)板實(shí)現(xiàn)電信級(jí)抗壓和散熱性能，整機(jī)模塊插槽必須采用豎形槽位設(shè)計(jì)，產(chǎn)品圖片證明見(jiàn)附件4.配置支持FCoE協(xié)議，實(shí)現(xiàn)LAN和FCSAN網(wǎng)絡(luò)融合一體化部署5.配置支持TRILL透明交換網(wǎng)絡(luò)協(xié)議，簡(jiǎn)化大規(guī)模網(wǎng)絡(luò)部署方式，第三方權(quán)威機(jī)構(gòu)測(cè)試報(bào)告見(jiàn)附件6.配置支持一虛多技術(shù)，一臺(tái)交換機(jī)可虛擬化為N臺(tái)交換機(jī)，實(shí)現(xiàn)多業(yè)務(wù)之間隔離7.支持集中認(rèn)證解決方案實(shí)現(xiàn)扁平化組網(wǎng)，整機(jī)支持≥90K個(gè)的IPV4/IPV6雙棧終端集中認(rèn)證和并發(fā)在線，支持802.1X、PPPOE、Portal、MAC認(rèn)證、免認(rèn)證等多種靈活的認(rèn)證方式8.整機(jī)上線速度≥900個(gè)用戶/秒9.支持OpenFlowv1.3協(xié)議，支持協(xié)議無(wú)關(guān)轉(zhuǎn)發(fā)，可實(shí)現(xiàn)核心網(wǎng)絡(luò)向SDN平滑演進(jìn)，第三方權(quán)威機(jī)構(gòu)測(cè)試報(bào)告見(jiàn)附件10.配置：配置冗余電源，冗余網(wǎng)板,每臺(tái)配置萬(wàn)兆光口數(shù)≥52個(gè)；千兆光口數(shù)≥44個(gè)；3服務(wù)器接入交換機(jī)1臺(tái)1.固化千兆電接口≥24個(gè),SFP+萬(wàn)兆光接口≥4個(gè)(非復(fù)用);2.交換容量≥264Gbps,包轉(zhuǎn)發(fā)率≥96Mpps;3.支持VoiceVLAN,基于MAC/協(xié)議/IP子網(wǎng)/端口的VLAN,MAC地址自動(dòng)學(xué)習(xí)和老化,靜態(tài)、動(dòng)態(tài)、黑洞MAC表項(xiàng);4.支持IPv4、IPv6靜態(tài)路由、RIP、RIPng等三層路由和組播功能,支持RoutingPolic功能;7.支持DHCPServer、DHCPSnooping、DHCPSnoopingOption82;4認(rèn)證計(jì)費(fèi)系統(tǒng)1套1.支持web認(rèn)證下的包月、時(shí)長(zhǎng)、流量的計(jì)費(fèi)方式2.支持計(jì)天、包月、流量計(jì)費(fèi)、時(shí)長(zhǎng)計(jì)費(fèi)、自定義周期計(jì)費(fèi)、自定義計(jì)費(fèi)策略、本周起不使用不扣費(fèi)、一次付費(fèi)分段開(kāi)通、有線無(wú)線綜合計(jì)費(fèi)策略3.分地區(qū)計(jì)費(fèi)，不同地區(qū)不同計(jì)費(fèi)策略4.支持禁止已認(rèn)證用戶提供代理服務(wù)、禁止已認(rèn)證用戶啟用撥號(hào)服務(wù)，進(jìn)行非法外連5.賬單管理、賬務(wù)流水管理、手工登帳、營(yíng)帳報(bào)表管理6.支持在線用戶管理、在線人數(shù)分析、上網(wǎng)明細(xì)管理、網(wǎng)絡(luò)報(bào)修管理、日志管理、無(wú)線漫游管理，系統(tǒng)能夠自動(dòng)提供運(yùn)行報(bào)告7.支持與LDAP服務(wù)器聯(lián)動(dòng)，與第三方身份源系統(tǒng)對(duì)接，獲取用戶身份信息，實(shí)現(xiàn)統(tǒng)一身份認(rèn)證8.支持基于C和java的第三方接口(例如：與一卡通對(duì)接)10.支持在線保活功能，動(dòng)態(tài)檢測(cè)用戶在線情況11.支持認(rèn)證登錄頁(yè)面的LOGO定制化，支持最多導(dǎo)入多個(gè)背景圖片而且不限制定制頁(yè)面的大小12.支持主頁(yè)重定向功能，用戶認(rèn)證后除了可以彈出保活頁(yè)面，還可以重定向到學(xué)校的主頁(yè)上13.支持802.1X、VPN接入、Web準(zhǔn)入認(rèn)證、WEB網(wǎng)關(guān)準(zhǔn)出、無(wú)線接入等多種接入方式14.支持限制用戶認(rèn)證上網(wǎng)的時(shí)間段15.支持根據(jù)用戶的IP進(jìn)行區(qū)域的劃分，控制用戶的上網(wǎng)區(qū)域16.支持PC、手機(jī)和平板的智能識(shí)別17.針對(duì)不同類(lèi)別的終端類(lèi)別進(jìn)行實(shí)現(xiàn)不同的帶寬控制策略18.有線、無(wú)線的無(wú)感知認(rèn)證19.支持基于不同區(qū)域的無(wú)感知認(rèn)證配置要求：配置802.1x用戶許可16000人；配置web認(rèn)證用戶許可16000人5Portal管理系統(tǒng)1套1.部署方式:獨(dú)立portal服務(wù)器,可獨(dú)立的安裝在單獨(dú)的服務(wù)器中;雙機(jī)可實(shí)現(xiàn)負(fù)載均衡集群2.采用B/S架構(gòu),通過(guò)WEB的方式隨時(shí)隨地管理系統(tǒng)3.支持WEB準(zhǔn)入認(rèn)證,可以配合接入交換機(jī),實(shí)現(xiàn)接入WEB認(rèn)證4.支持WEB準(zhǔn)出認(rèn)證,可以配合出口網(wǎng)關(guān)進(jìn)行基于準(zhǔn)出的WEB認(rèn)證;5.WEB認(rèn)證:支持多種業(yè)界主流瀏覽器進(jìn)行web認(rèn)證6.具有?；罟δ?動(dòng)態(tài)檢測(cè)用戶在線情況7.具有計(jì)費(fèi)功能,配合計(jì)費(fèi)系統(tǒng)可以實(shí)現(xiàn)基于包月、時(shí)長(zhǎng)、流量的計(jì)費(fèi)8.用戶可以根據(jù)自己的需要定制認(rèn)證頁(yè)面,而且不限制定制頁(yè)面的大小9.系統(tǒng)監(jiān)控:可以監(jiān)控portal服務(wù)器的認(rèn)證請(qǐng)求數(shù)、處理請(qǐng)求數(shù)、?；钫?qǐng)求數(shù)等指標(biāo);可以控制只能登陸portal服務(wù)器管理端的IP地址;可以記錄攻擊portal服務(wù)器的ip地址和次數(shù)。10.單個(gè)用戶認(rèn)證時(shí)間<3.5秒;每秒鐘可成功認(rèn)證用戶數(shù)不低于20個(gè);單臺(tái)portal服務(wù)器支持用戶數(shù)不少于5000;11.在上網(wǎng)用戶認(rèn)證登錄頁(yè)面顯示認(rèn)證客戶端下載地址。在上網(wǎng)用戶認(rèn)證登錄頁(yè)面顯示認(rèn)12.配置并發(fā)在線用戶授權(quán)許可不少于10000個(gè);6上網(wǎng)日志系統(tǒng)1套1.支持URL日志、NAT日志并提供查詢接口，提供URL和模糊查詢功能2.支持對(duì)多個(gè)出口設(shè)備（NAT設(shè)備）的流量繪制流量曲線3.能基于用戶名實(shí)現(xiàn)流量統(tǒng)計(jì)和日志分析4.能夠?qū)⑼挥脩舨煌琁P的上網(wǎng)日志、流量信息歸并到一起5.支持兩種身份認(rèn)證系統(tǒng)6.支持常見(jiàn)應(yīng)用流量統(tǒng)計(jì)（基于端口區(qū)別應(yīng)用流量）7.支持基于用戶名或者IP來(lái)區(qū)分應(yīng)用流量8.支持基于設(shè)置流量閥值，異常時(shí)在首頁(yè)顯示報(bào)警，并支持郵件通知7無(wú)線控制器2套1．默認(rèn)可管理AP數(shù)128個(gè)，單卡最大可支持管理2560個(gè)AP以上，官網(wǎng)查詢鏈接及截圖見(jiàn)附件2.802.11轉(zhuǎn)發(fā)性能48G3.板卡固化10G光口數(shù)2個(gè)，無(wú)須額外線卡4.單臺(tái)設(shè)備最大支持的在線無(wú)線用戶數(shù)目：80K5.支持本地認(rèn)證功能，無(wú)需通過(guò)外置Protal服務(wù)器和Radius服務(wù)器認(rèn)證6.支持MAC認(rèn)證、WEB認(rèn)證、802.1X認(rèn)證、WAPI認(rèn)證7.支持對(duì)非法無(wú)線接入點(diǎn)進(jìn)行探測(cè)，并對(duì)非法AP進(jìn)行屏蔽8.支持根據(jù)用戶需求定制化設(shè)計(jì)認(rèn)證頁(yè)面及用戶自定義設(shè)計(jì)，保留測(cè)試權(quán)利9.支持實(shí)時(shí)頻譜防護(hù),可視化射頻干擾源對(duì)無(wú)線局域網(wǎng)的性能的影響10.無(wú)線控制器需要實(shí)現(xiàn)1:1冗余，每套控制器可管理所有無(wú)線AP，配置2176個(gè)AP管理授權(quán)8宿舍面板式AP2968臺(tái)1.采用雙頻雙流設(shè)計(jì),須實(shí)現(xiàn)胖/瘦AP兩種工作模式的切換,支持802.11a/n/ac和802.11b/g/n模式,2.4GHz支持300Mbps,5G支持866Mbps,對(duì)外提供四個(gè)千兆以太網(wǎng)電口、一組RJ45透?jìng)骺?支持電話接入2.支持本地電源供電和POE供電,提供1個(gè)MicroUSB管理接口,提供官網(wǎng)截圖及鏈接作為證明;3.設(shè)備可更換外殼且外殼顏色多樣,能滿足不同顏色的室內(nèi)裝修風(fēng)格,如土豪金、白、黑、銀等;4.設(shè)備與無(wú)線控制器配合,支持iOS、安卓和windows等主流智能終端操作系統(tǒng)自動(dòng)識(shí)別,提供適應(yīng)屏幕比例與尺寸的認(rèn)證頁(yè)面;5.為增強(qiáng)無(wú)線網(wǎng)絡(luò)可靠性,支持當(dāng)AC宕機(jī)時(shí),AP切換為智能轉(zhuǎn)發(fā)模式繼續(xù)傳輸數(shù)據(jù),保證無(wú)線用戶正常使用;6.由于設(shè)備并非部署在標(biāo)準(zhǔn)機(jī)房,為了保障設(shè)備安全穩(wěn)固的運(yùn)行,設(shè)備的外殼防護(hù)等級(jí)須達(dá)到IP417.支持無(wú)感知、短信和二維碼認(rèn)證等認(rèn)證方式。911ac室內(nèi)無(wú)線接入點(diǎn)785臺(tái)1.支持標(biāo)準(zhǔn)的802.11ac協(xié)議,采用雙路雙頻設(shè)計(jì)，可同時(shí)工作在802.11ac和802.11a/b/g/n模式2.支持無(wú)線頻譜分析,可視化射頻干擾源對(duì)無(wú)線局域網(wǎng)的性能的影響3.支持2條空間流,單頻最大接入速率867Mbps,整機(jī)最大接入速率1167Mbps4.單個(gè)AP可支持32個(gè)SSID，為便于后期的管理5.支持對(duì)無(wú)線終端的公平調(diào)度以實(shí)現(xiàn)公平占用；支持負(fù)載均衡；支持自動(dòng)調(diào)整發(fā)射功率和分配射頻信道6.設(shè)備與無(wú)線控制器配合，支持iOS、安卓和windows等主流智能終端操作系統(tǒng)自動(dòng)識(shí)別，提供適應(yīng)屏幕比例與尺寸的認(rèn)證頁(yè)面，實(shí)現(xiàn)輕松訪問(wèn)7.支持IPv6技術(shù)，包括IPv6報(bào)文透?jìng)?IPv6終端接入認(rèn)證8.為增強(qiáng)無(wú)線網(wǎng)絡(luò)可靠性，支持當(dāng)AC宕機(jī)時(shí)，AP切換為智能轉(zhuǎn)發(fā)模式繼續(xù)傳輸數(shù)據(jù)，保證無(wú)線用戶正常使用9.支持mac認(rèn)證、Web認(rèn)證、802.1X認(rèn)證、WAPI認(rèn)證配置：配置1個(gè)10/100/1000Base-T以太網(wǎng)口1011ac室外無(wú)線接入點(diǎn)35臺(tái)1.支持標(biāo)準(zhǔn)的802.11ac協(xié)議,采用雙路雙頻設(shè)計(jì)，可同時(shí)工作在802.11a/n/ac和802.11b/g/n模式2.射頻卡工作模式：內(nèi)置智能天線2.4G&5.8G3.支持3條空間流,2.4單頻最大接入速率：450Mbps,5.8G單頻最大接入速率：1300Mbps，整機(jī)最大接入速率:1750Mbps4.避雷方式：內(nèi)置避雷5.提供1個(gè)console管理口,1個(gè)SFP上聯(lián)光口，1個(gè)10/100/1000Base-T以太網(wǎng)上聯(lián)接口6.提供1個(gè)10/100/1000Base-T下聯(lián)PoEOUT對(duì)外供電接口7.支持胖/瘦AP兩種工作模式的切換，在瘦AP工作模式時(shí)，AP與控制器之間采用國(guó)際標(biāo)準(zhǔn)的CAPWAP協(xié)議通信8.支持實(shí)時(shí)頻譜防護(hù),可視化射頻干擾源對(duì)無(wú)線局域網(wǎng)的性能的影響9.為增強(qiáng)無(wú)線網(wǎng)絡(luò)可靠性，支持當(dāng)AC宕機(jī)時(shí)，AP切換為智能轉(zhuǎn)發(fā)模式繼續(xù)傳輸數(shù)據(jù)，保證無(wú)線用戶正常使用10.支持IPv6技術(shù)，包括IPv6報(bào)文透?jìng)?IPv6終端接入認(rèn)證，保留測(cè)試權(quán)利11.每臺(tái)配置一塊POE適配器11無(wú)線接入點(diǎn)24口PoE交換機(jī)160臺(tái)1．24個(gè)千兆POE端口，可以支持最大24個(gè)AP的供電2．上行千兆電口2個(gè)，萬(wàn)兆SFP+光口2個(gè)3．支持基于端口的VLAN，支持基于協(xié)議的VLAN，802.1QVLAN封裝，最大VLAN數(shù)40944．支持有線/無(wú)線邏輯隔離和基于不同vlan的數(shù)據(jù)轉(zhuǎn)發(fā)5．支持IEEE802.1X認(rèn)證模式和WEB認(rèn)證模式6．支持基于標(biāo)準(zhǔn)、擴(kuò)展、VLAN的ACL報(bào)文過(guò)濾7．支持組播，支持IGMPSnooping/MLDSnooping8．支持用戶二層隔離9．支持IPv6技術(shù)，包括報(bào)文透?jìng)?IPv6終端接入認(rèn)證10．支持SNMP,支持SYSLOG12無(wú)線接入點(diǎn)12口PoE交換機(jī)40臺(tái)1．12個(gè)千兆POE端口，可以支持最大12個(gè)AP的供電2．上行千兆電口2個(gè)，萬(wàn)兆SFP+光口2個(gè)3．支持基于端口的VLAN，支持基于協(xié)議的VLAN，802.1QVLAN封裝，最大VLAN數(shù)40944．支持有線/無(wú)線邏輯隔離和基于不同vlan的數(shù)據(jù)轉(zhuǎn)發(fā)5．支持IEEE802.1X認(rèn)證模式和WEB認(rèn)證模式6．支持基于標(biāo)準(zhǔn)、擴(kuò)展、VLAN的ACL報(bào)文過(guò)濾7．支持組播，支持IGMPSnooping/MLDSnooping8．支持用戶二層隔離9．支持IPv6技術(shù)，包括報(bào)文透?jìng)?IPv6終端接入認(rèn)證10．支持SNMP,支持SYSLOG13樓宇匯聚交換機(jī)43臺(tái)1.固化千兆電接口≥24個(gè),SFP+萬(wàn)兆光接口≥4個(gè)(非復(fù)用);2.交換容量≥264Gbps,包轉(zhuǎn)發(fā)率≥96Mpps;3.支持VoiceVLAN,基于MAC/協(xié)議/IP子網(wǎng)/端口的VLAN,MAC地址自動(dòng)學(xué)習(xí)和老化,靜態(tài)、動(dòng)態(tài)、黑洞MAC表項(xiàng);4.支持IPv4、IPv6靜態(tài)路由、RIP、RIPng等三層路由和組播功能,支持RoutingPolic功能;7.支持DHCPServer、DHCPSnooping、DHCPSnoopingOption82;14認(rèn)證計(jì)費(fèi)服務(wù)器1臺(tái)1、2*E5-2620v3（2.4GHz/6c）2、2*16GDDR43、5*300G3.5"SAS15K4、RAID0/1/5（512M緩存）5、主板集成RJ45雙口千兆網(wǎng)卡6、1+1冗余電源7、DVD-RW14Portal管理系統(tǒng)服務(wù)器1臺(tái)1、2*E5-2620v3（2.4GHz/6c）2、2*16GDDR43、5*300G3.5"SAS15K4、RAID0/1/5（512M緩存）5、主板集成RJ45雙口千兆網(wǎng)卡6、1+1冗余電源7、DVD-RW15日志記錄服務(wù)器1臺(tái)1、2*E5-2620v3（2.4GHz/6c）2、2*8GDDR43、5*TB3.5寸SAS7.2K4、RAID0/1/5（512M緩存）5、主板集成RJ45雙口千兆網(wǎng)卡6、1+1冗余電源7、DVD-RW投標(biāo)人（公章）：法定代表人或授權(quán)委托人：（簽字或蓋章）日期：年月日出口路由器技術(shù)參數(shù)參數(shù)項(xiàng)目技術(shù)參數(shù)說(shuō)明投標(biāo)產(chǎn)品型號(hào)RG-RSR7708-X模塊插槽10個(gè)路由引擎插槽2個(gè)獨(dú)立交換網(wǎng)板插槽2個(gè)業(yè)務(wù)載板插槽4個(gè)業(yè)務(wù)子卡插槽16個(gè)交換容量16Tbps轉(zhuǎn)發(fā)性能2880Mpps路由引擎固化接口2個(gè)USB2.0接口，1個(gè)USB-Console口，1個(gè)MGMT管理口，1個(gè)Console口，1個(gè)AUX口，1個(gè)SD卡插槽可用模塊OC-48c/STM-16cPOSOC-12c/STM-4cPOSOC-3/STM-1POSOC-3/STM-1CPOS通道化到E1/T1/64KOC-48/STM-16CPOS通道化到E1/T1OC-12/STM-4CPOS通道化到E1/T1OC-192c/STM-64cPOSOC-192/STM-64CPOS通道化到155MOC-192c/STM-64cRPR接口模塊40GE/10GE/GE/FEE1/CE1OC-3/STM-1ATM和OC-12/STM-4ATM高速同步串口國(guó)密局商密算法硬件加密模塊尺寸（W×D×H）mm440×460×355重量≤50KG電源100VAC~240VAC，50Hz~60Hz-36VDC~-72VDCMTBF>200,000hours溫度工作溫度：0℃到45℃存儲(chǔ)溫度：-40℃到70℃濕度工作濕度：10%到90%RH存儲(chǔ)濕度：5%到95%RH核心交換機(jī)技術(shù)參數(shù)參數(shù)項(xiàng)目技術(shù)參數(shù)說(shuō)明投標(biāo)產(chǎn)品型號(hào)RG-N18010模塊插槽2個(gè)引擎模塊槽位，8個(gè)業(yè)務(wù)板卡槽位，4個(gè)交換網(wǎng)板槽位交換容量32Tbps/167.2Tbps包轉(zhuǎn)發(fā)速率11,520Mpps/43,200Mpps數(shù)據(jù)中心融合網(wǎng)絡(luò)特性支持增強(qiáng)以太網(wǎng)特性（DCB）：802.1Qbb:Priority-basedFlowControl(PFC)，基于優(yōu)先級(jí)的流控。802.1Qaz:EnhancedTransmissionSelection(ETSandDCBX)，增強(qiáng)傳輸選擇802.1Qau:CongestionNotification(CN/QCN)，擁塞通告支持統(tǒng)一交換特性：FCoE（FibreChanneloverEthernet）支持超大分布式緩存設(shè)計(jì)，每端口支持200ms緩存，確保突發(fā)流量不丟包設(shè)備虛擬化支持VSU3.0(VirtualSwitchUnit,虛擬交換單元)，支持虛擬化帶寬≥2.56Tbps支持VSD(VirtualSwitchDevice,虛擬交換設(shè)備)網(wǎng)絡(luò)虛擬化支持TRILL透明交換網(wǎng)絡(luò)支持L2-GRE支持VXLAN邊緣虛擬交換支持VEPA（虛擬以太網(wǎng)端口聚合）支持虛擬機(jī)策略自動(dòng)遷移SDN支持OpenFlow1.3L2特性支持JumboFrame支持802.1Q支持STP、RSTP、MSTP支持SuperVLAN支持GVRP支持QinQ、靈活QinQ、QinQ終結(jié)支持LLDP支持ERPS（G.8032）行為管控支持URL審計(jì)；支持用戶定位；集中認(rèn)證支持9萬(wàn)IPv4和IPv6雙棧用戶同時(shí)在線，1200終端/S的上線速度；支持802.1x/Portal/Mac/IPoE等多種認(rèn)證方式支持Portal認(rèn)證、支持RADIUS和TACACS+用戶登錄認(rèn)證支持二層Portal、三層Portal接入認(rèn)證支持按流量計(jì)費(fèi)、流量控制、精細(xì)化管理支持網(wǎng)關(guān)準(zhǔn)出認(rèn)證；IPv4特性支持靜態(tài)路由、RIP、OSPF、IS-IS、BGP4支持VRRP支持等價(jià)路由支持策略路由支持GRE隧道IPv6特性支持靜態(tài)路由OSPFv3、BGP4+、IS-ISv6、MLDv1/v2支持VRRPv3支持等價(jià)路由支持策略路由支持手工隧道、自動(dòng)隧道、ISATAP隧道、支持GRE隧道等組播支持IGMPv1,v2,v3支持IGMPSnooping支持IGMPProxy支持PIM-DM、PIM-SM、PIM-SSM等組播路由協(xié)議支持MLD支持組播靜態(tài)路由MPLS支持MPLS轉(zhuǎn)發(fā)支持MPLSVPN/VPLS支持VPWSACL支持標(biāo)準(zhǔn)、擴(kuò)展、專(zhuān)家級(jí)ACL支持ACL80支持IPv6ACLQOS支持802.1p支持SP、WRR、DRR、SP+WRR、SP+DRR等隊(duì)列調(diào)度機(jī)制支持RED/WRED支持基于出端口/入端口的限速支持HQoS可靠性獨(dú)立的交換網(wǎng)板與獨(dú)立的主控板設(shè)計(jì)，實(shí)現(xiàn)轉(zhuǎn)發(fā)與控制平面完全分離主控板支持1+1冗余備份交換網(wǎng)板支持N+1冗余備份電源、風(fēng)扇支持N+M冗余備份背板無(wú)源設(shè)計(jì)，避免單點(diǎn)故障各組件支持熱插拔支持熱補(bǔ)丁功能，可在線進(jìn)行補(bǔ)丁升級(jí)支持ISSU支持GRforOSPF/IS-IS/BGP/支持BFDforVRRP/OSPF/BGP4/ISIS/ISISv6/MPLS/靜態(tài)路由等支持獨(dú)立PoE電源槽供電，防止因POE供電而影響其他業(yè)務(wù)模塊供電穩(wěn)定性安全性支持NFPP（基礎(chǔ)安全保護(hù)策略）支持CPP（CPU保護(hù)）支持DAI，端口安全，IPSourceGuard支持uRPF支持登錄認(rèn)證、口令安全支持支持未知