卫辉市第一中学

无线校园网解决方案

2014年8月

目录

一、         卫辉市第一中学无线网络需求... 4

1.1、室内及南大门广场无线网络全覆盖... 4

1.2、用户无线接入速率、上网体验要有保证... 5

1.3、无线系统要支持多SSID.. 5

1.4、无线系统要实现集中管控... 5

1.5、新建无线覆盖系统不能抛弃原有的有线系统... 5

1.6、AP等设备供电采用POE集中供电模式... 6

1.7、无线系统集中认证... 6

二、卫辉市第一中学无线校园网解决方案简介... 6

2.1、方案实现目标... 6

2.1.1、无线有线一体化... 6

1.1.2、原有有线网络充分利用，达到投资上的巨大节约... 6

2.1.3、终端管理智能化... 7

2.2、无线多场景部署模式... 7

2.2.1、办公、教学等终端高密度区域---灵动的面板式AP入室部署模式... 7

2.2.2、大办公室、会议室等公共区域---放装式AP入室部署模式... 9

2.2.3、南大门广场等室外开放式公共区域... 9

2.2.4、无线系统架构示意图... 10

2.2.5、各区域无线设备分布情况... 10

2.3、方案优势... 11

2.3.1、支持802.11N，全网高性能... 11

2.2.2、优秀的扩展性... 11

2.2.3、美观、易用、节省投资... 11

2.2.4、信号稳定、永不掉线... 11

2.2.5、低辐射，绿色环保... 12

2.2.6、采用无线承载网架构，轻松实现跨三层无缝漫游... 12

2.2.7、整个系统具有超强的稳定性... 12

2.2.8、免费提供Open API接口，方便学校做无线应用拓展... 13

2.2.9、强大的无线准入和行为管理... 13

三、方案及产品详述... 13

3.1、无线网络规划概述... 13

3.2、各区域无线网络规划详述... 14

3.2.1、教学办公区域室内无线覆盖设计... 14

3.2.2、科技楼无线覆盖传输承载设计... 16

3.2.3、其他楼宇无线覆盖传输承载设计... 19

3.3、各核心功能模块规划详述... 20

3.3.1、无线有线设备管理... 20

3.3.2、万兆核心交换机... 24

3.3.3、下一代综合安全网关... 25

3.4设备清单... 29

四、傲天动联公司介绍... 30

A、公司介绍... 30

B、认证与荣誉... 31

一、卫辉市第一中学无线网络需求

随着教育信息化的发展、互联网时代的到来，传统的有线校园网络越来越“力不从心”。特别是移动终端的爆炸式增长，带来无线wlan网络访问的巨大需求。

目前校园网发展已经走到了一个关键的十字节点，学校的管理者必须重新审视校园网发展的方向，近两年教育信息化的发展非常迅速，以电子书包为代表的新的课堂教学方法在迅速普及，因此校园网络不再仅仅服务于教师处理办公、备课等工作，还越来越多的参与到课堂教学中，这就要求我们的校园网络从传统的有线时代快速过渡到无线校园网时代。

做为一所有着112年历史的百年名校---卫辉市第一中学（河南省首批示范性普通高中），迫切需要尽快完成一张接入体验良好、稳定、高效的无线校园网络，以应对教育信息化发展带来的挑战和机遇，促进教育教学质量提高，为国家、社会、高等院校培育更多的优秀人才。

1.1、室内及南大门广场无线网络全覆盖

室内部分包括校区内综合楼、实验楼、科技楼、知桧楼、2号教学楼、3号教学楼、东餐厅、西餐厅等共8栋建筑物，以及南校门广场区域内要做到无线wlan信号的无缝覆盖。

1.2、用户无线接入速率、上网体验要有保证

所有无线接入点（AP）都要支持802.11n标准，要对不同覆盖区域可能出现的用户峰值有预见性，避免出现用户集中的时候出现网络无法连接、网页打不开、频繁掉线等现象。最低要满足用户4M的网络访问带宽。

在一些会议室等场所部署的无线接入点（AP）要支持2.4G和5G双频技术，满足大量用户同时接入网络的需要。

1.3、无线系统要支持多SSID

无线系统需要支持多SSID功能，即AP能同时放出不少于8个SSID信号，方便学校组建不同用途的多个无线虚拟专网。

1.4、无线系统要实现集中管控

为了达到无线wlan网络在整个校园进行无缝覆盖，无线AP的部署密度就要增大，而2.4G完全不重合的信道只有3个（1、6、11），因此实际部署的时候需要将相邻AP的信道划开，同时对AP的功率也要做出调整，采用这些手段来避免同频干扰的现象发生。

如果对前端AP进行逐一信道和功率调整，那工作量将是巨大的，也不便于后期后期维护，因此需要采用集中式管控架构，通过一台无线控制器对前端AP进行集中管控，通过计算对AP的信道和功率进行自动调整，避免同频干扰现象的出现。

1.5、新建无线覆盖系统不能抛弃原有的有线系统

目前校园内的有线网络已经非常全面，因此新建无线覆盖系统只需在原有有线系统上进行无线延伸即可，不能将原有有线系统全部推倒重来，那样将会造成巨大的投资浪费。

1.6、AP等设备供电采用POE集中供电模式

   AP的安装位置都十分分散，就进取电面临着电源插座不足，同时电路走向分散，无法对设备的稳定供电提供保证。为了解决AP等设备的取电问题，可以采用POE功能，即通过以太网线给前端AP提供供电，这样只要改造已有的交换设备，保证弱电间电源的稳定，就能使前端AP的电力系统得到持续的保障。

1.7、无线系统集中认证

学校目前没有认证软件，新建无线网络需要对终端用户采用WEBportal方式的用户名+密码登陆，实现对全网无线用户的集中认证，并能实现灵活的上网行为管控策略。

二、卫辉市第一中学无线校园网解决方案简介

2.1、方案实现目标

根据卫辉市第一中学无线校园网的需求，本方案需要实现如下目标：

2.1.1、无线有线一体化

无线和有线系统不再割裂成两个部分，要融合在一起进行设计，具体体现为房间内原有有线信息面板替换为无线有线一体化面板式AP，为房间内带来无线信号覆盖的同时，该设备还有两个有线内网口，可以继续为房间内提供有线方式的接入，从而达到不但不占用原有有线系统资源，还能起到对有线系统的扩容目的。

最终实现无线、有线两种接入方式，由用户灵活选择。

1.1.2、原有有线网络充分利用，达到投资上的巨大节约

整个行政办公区域已有完备的有线网络，可以保证在两栋行政办公楼宇内的每个房间都能找到有线接入点，可以在这些接入点上进行无线网络延伸，只需安装上无线面板式AP就能实现，这样无须复杂的重新布线，也不会影响现有的装修，考虑到为前端无线AP的POE供电，只需将已有的网络接入交换机更换为POE交换机，汇聚交换机依然保留。因此可以实现对前期有线网投资的巨大保值，最终实现新建无线网络的巨大节约。

2.1.3、终端管理智能化

对于不同的无线和有线用户应用不同的认证管理策略，进行有效的访问控制，避免非法用户以及非法无线设备对正常用户的干扰和威胁。

2.2、无线多场景部署模式

无线网络区别于有线网络，最大的特点就是要根据部署场景选择合适的方案，因为现有的WIFI无线技术在提供高带宽无线信号的同时，又会受到工作频段、噪声干扰、传输路径阻碍造成的衰减、终端的密集程度等因素的影响，导致不同的方案带来不同的用户体验，而没有一种标准化的部署模式，这样就需要我们根据部署场景的不同选用特定的产品和部署模式。

本方案以用户体验为设计核心思想，即在保证单用户最少4M上网带宽的前提下，对用户可能出现的聚集、分散进行科学的预测，从而得出最佳的部署方案。

2.2.1、办公、教学等终端高密度区域---灵动的面板式AP入室部署模式

办公、教学区域无线网络的现状是：

区域内终端用户数激增，尤其以智能手机、平板电脑等只支持WIFI无线技术的终端数量为主，然而行政办公区域的无线校园网覆盖在大多数学校本身还是空白，无法满足这些终端的无线上网要求。

传统的走廊放装或天线入室部署方式都是“头痛医头、脚痛医脚”，不能从根本上应对终端用户的激增。

灵动面板式无线有线一体化部署模式

配置说明：室内面板式AP覆盖系统，每个办公室部署一个面板式AP，可以直接部署在办公室信息点的86底盒上。

成本：在办公室现有的有线信息点上叠加一个面板式AP，无需单独布线，面板式AP采用贴片式天线，由于只需覆盖办公室内有限面积，也不需要配置大功率元器件，因此设备本身的成本也优于传统AP。

信号效果：非常好。

性能：非常好

原因：每个房间部署一个面板式AP，由此AP完成房间内终端的无线接入，这样即使8人办公室，每个用户两个终端，也能满足接入需要。同时该AP支持802.11n技术，满足终端

高速接入的需要。同时AP的功率还可自由调节，可根据具体环境调节到信号刚好覆盖办公内的空间，避免了相互间的干扰问题。

总结：在办公室等终端密集型无线覆盖场景，只有选用面板式AP的覆盖方案，才能在信道拥挤、终端密集等方面找到一个合适的平衡点，实现所有终端和谐连接无线网络的目的

2.2.2、大办公室、会议室等公共区域---放装式AP入室部署模式

采用双频室内放装型AP

组网优势：实现多蜂窝覆盖。以达到集中管理，高冗余、负载均衡，高速、较高终端密度，支持定位、漫游切换等应用

2.2.3、南大门广场等室外开放式公共区域

采用室外专用AP+双极化扇区天线实现对开放式区域的精准覆盖，避免无线信号的随意扩散而带来的相互干扰。

适应场景：室外环境100-200米半径覆盖（手机的最佳覆盖半径在100米内，笔记本活外置无线网卡在200米内）

组网优势：IP67，防潮防尘、防低温，集中管里、配置，支持安全、QoS策略，高速、较高终端密度，高冗余、负载均衡，支持定位、漫游切换应用

2.2.4、无线系统架构示意图

上图中着重体现无线系统中AP、无线控制器、无线有线一体化POE交换机和已有有线系统的融合。

2.2.5、各区域无线设备分布情况

2.3、方案优势

2.3.1、支持802.11N，全网高性能

本次部署的AP全部支持802.11N技术，理论带宽值达到300M。

在大型办公室及会议室等场所部署支持双频802.11N技术的AP，理论带宽可以达到600M

在大门南广场部署支持双频802.11N技术的室外型AP，理论带宽可以达到600M

2.2.2、优秀的扩展性

无线控制器考虑到今后校园无线网的发展，计划选用最高可支持512个智能无线有线接入点控制权的设备，可以按照“按需配置，渐进扩展”思路来不断增加智能无线接入点产品即可完成扩容，因此扩展无线接入点显得非常容易。

同时该控制器也对未来的无线技术提供支持，即学校在将来部署支持新标准或技术的无线热点及无线终端的时候，该控制器无需任何升级即可提供支持。

2.2.3、美观、易用、节省投资

本解决方案相比传统室分或走廊放装方案来说由于减少了耦合器、功分器、馈线、天线等设备，更加美观，施工简便，也减少了故障点，同时节省了投资。还能实现无线、有线的一体化融合。

安装一个面板式AP只需要花费最多3分钟的时间，该方案在部署和施工上比传统的室分或走廊放装方案更节省时间，可以大大缩短工期。

2.2.4、信号稳定、永不掉线

对于普通的无线覆盖网络环境中，室分或者智分部署方式可以提供良好的信号覆盖，但是对于办公室这种密集部署的环境，传统室分或者智分已经力不从心，因为这两种传统方案每个AP的覆盖范围都非常大，根本不可能应对如今移动互联网时代智能终端的爆炸式增长。因此，只有依靠傲天动联无线有线一体化AP入室方案，把面板式AP部署在办公室房间内部，增加了AP的密度，带来了可接入终端数的增长，同时还可以采用调整AP的发射功率来减少AP间的相互干扰，也使信号更加稳定，永不掉线。

2.2.5、低辐射，绿色环保

根据国家规定，室内AP的功率不能大于100mw，因此本方案所选用的室内发射功率都应该是100mw，相对于传统室分方案中500mw的AP，具有更低的辐射，绿色环保。为教师和学生的健康保驾护航。

2.2.6、采用无线承载网架构，轻松实现跨三层无缝漫游

无缝漫游是无线网络移动性的最佳体现。但是传统的无线接入点仅仅能够实现基于二层的漫游，一旦无线用户跨越网段，就会由于重新获取IP地址、重认证、重新验证加密等过程，而导致漫游的失败和通信的中断。这对于无线用户众多的学校而言，是无法接受的。

利用先进的智能无线有线一体化网络架构，由于所有用户信息并不保存在本地的无线接入点中，而是全部集中在无线控制器上，因此无论是单台无线控制器还是多台无线控制器的集群体，包括连接状态、认证状态、IP地址分配信息、加密验证状态等用户信息总是实时存在的，即便是无线用户跨网段移动，还是会延续原有的IP地址、认证与加密方式，不存在重新获取的必要，因此也不会中断连接。实现这一过程，并不需要有线网络的参与，对有线网络和无线用户而言都是透明的。这种无缝跨三层漫游尤其是对延迟敏感的语音业务有重大的意义。

2.2.7、整个系统具有超强的稳定性

该方案在科技楼AP的管理上采用了两级双活管理模式，即正常模式下所有的AP通过无线控制器进行集中管控，在突发状况的时候（即无线控制器异常时），该处使用的无线有线一体化POE交换机可以接替无线控制器对下连的AP进行管控，从而达到无线业务不出现中断的目的。这种独特的工作模式我们称之为---双活模式。该特点可使整个无线系统的稳定性大大增加。

2.2.8、免费提供OpenAPI接口，方便学校做无线应用拓展

利用强大的无线承载网架构，为校方提供深层次的应用开放接口，将来校方可以利用无线承载网提供的，丰富的终端类型信息、终端位置信息、无线相关信息等进行大数据挖掘，开发出丰富的无线应用。

例如实时查询上课时间学生的出勤状况，是否有学生终端还在宿舍、室外等区域出现。同时还能对学生遗失的智能终端进行无线定位，帮助失主查找。

更多的需求还需要校方发散思维，开放式的无线承载网一定能帮助校方实现多样的数字化校园管理。

2.2.9、强大的无线准入和行为管理

随着信息技术的发展，智能终端进入爆发式增长阶段，对无线网络的安全访问带来了巨大的挑战，因此需要对接入无线网络的移动终端进行准入审计，并对其访问网络的行为进行规范管理。

本方案就通过一台下一代综合安全网关对全网终端进行准入控制。在终端访问无线网络的时候，需要通过webportal方式，使用固定的账号、密码才能接入网络，该网关上存储有所有已批准用户的数据库，通过该数据库进行对比核对，匹配的话会放行，否则拒绝之。

同时该网关还能记录所有用户的上网日志，并对所有用户的上网行为进行审计，依据国家的法律和我校的网络管理规章制度规范每一个使用者的行为。

三、方案及产品详述

3.1、无线网络规划概述

本次卫辉市第一中学无线校园要求覆盖区域如下：

l   办公室、教室等室内区域：办公室、教室等区域全覆盖，采用面板式AP入室无线部署方案

l   6个“电子书包”教室各部署1个双频802.11n放装式AP以满足业务承载需求

l   大型办公室、会议室、餐厅等室内区域：采用双频802.11n放装式AP部署方案

l   大门内南广场室外区域：采用双频802.11n室外型AP部署方案

l   认证方面使用webportal方式来完成

3.2、各区域无线网络规划详述

3.2.1、教学办公区域室内无线覆盖设计

在各办公室、教室部署面板式AP（AE5000-EN2W），为办公、教室室内的用户提供无线信号覆盖。

面板式AP：

该设备可以很方便的安装在办公室已有的86信息插座上，只需将原有的信息面板取下，将原有网线重新压接在面板式AP上即可，面板式AP在提供办公、教室室内无线信号覆盖的同时，还能提供2个有线扩展口，方便台式机等没有无线接入能力的终端继续使用有线网络。

在会议室环境部署双频吸顶式AP，该设备除了支持2.4G频段还可以支持5.8G频段，在2.4G频段拥挤的时候，为用户提供相对干净的5.8G频段。

双频放装AP（AE5000-E2AN2）：

产品特色

功能丰富

傲天动联室内型无线接入点领先的功能设计，为用户提供各种室内环境的无线接入应用。功能丰富的室内型无线接入点提供不同的接入模式（a/b/g/n）；支持ipv4/ipv6双协议栈；支持WAPI加密等功能，完全符合企业级无线解决方案的各种接入要求。

工作模式灵活

傲天动联室内型无线接入点支持Fat/Fit两种工作模式，用户可根据自身组网需要进行切换。当无线网络规模较小时，AP可采用Fat模式直接独立组网；当无线网络规模扩大，AP数量增多时，可以切换到Fit模式，和傲天动联无线控制器配合使用，实现AP的统一管理和控制，达到更好的无线覆盖效果。

管理便捷

室内型无线接入点在FIT模式下配合无线控制器工作，支持零配置和集中管理的云部署功能；室内型无线接入点还完全支持SNMP/TR069特性，符合企业级的网络管理需求，为企业建设高效、稳定、可靠的无线宽带网络提供有力保障。

性能卓越

室内型无线接入点采用基于多核架构的专用网络处理器，具有高呑吐量和高负载能力，室内型无线接入点还采用了业界最新的硬件加解密技术，大大提高了加解密处理能力。卓越的性能使室内型无线接入点满足用户对性能的要求。

高可靠性

室内型无线接入点支持基于用户、基于流量的负载均衡等功能，提高了无线接入的可用性和可靠性，还支持自动信道调整、自动功率调整等功能，为用户提供了更加可靠的无线接入体验。

节能环保

室内型无线接入点均采用低功耗、高性能设计，射频指标、辐射指标完全符合国家标准。

3.2.2、科技楼无线覆盖传输承载设计

科技楼放装型AP和面板式AP通过网线直接和无线有线一体化POE交换机，该交换机再和办公区的有线网络设备相连，接入现有的校园网络中。

双频放装式AP和面板式AP也都支持POE供电方式，本方案采用无线有线一体化POE交换机通过网线给这些AP提供持续、稳定的电力。

无线有线一体化POE汇聚交换机（AU4600-29XP）：

产品描述

AU4600系列是傲天动联面向大中型企业园区网接入层（配线间）推出的创新智能无线万兆交换机。AU4600系列业界创新,采用无线有线单一芯片、统一策略、合一管理，实现单台AU4600无线交换机加上傲天动联AE系列无线AP如单一设备，既可独立完成有线无线组网，更可配合AX系列无线控制器或开启AC功能的AS9600、AS6600系列交换机混合组网，并由AC（AX或AS9600、AS6600交换机）完成统一配置和管理，并协助完成无线用户在AU4600交换机之间进行无感知漫游，真正实现简单、便捷的有线无线一体化组网。

AU4600-29XP产品还支持24个端口的POE供电，可通过网线直接给设备供电，省去布电力线的麻烦；同时支持2个万兆端口，可作为上联用的万兆通道或作为连接服务器的高速转发通道。

AU4600系列产品可灵活部署作为小型企业、分支机构网络核心交换机或中大型网络接入交换机。

产品特色

单一芯片

AU系列交换机采用了单一芯片架构，融合有线无线数据处理能力，真正实现单台设备完成有线无线一体化组网，非常适合成长型企业用一台AU系列交换机加上几台AP就完成组网，并能实现无线数据集中到交换机进行处理和转发，从而实现统一策略和合一管理。

统一策略

目前有线无线一体化组网方案，有线数据由交换机负责转发，无线数据会集中到AC进行统一转发，造成无线用户和有线用户的QoS和访问控制不能有一个统一的策略，从而增加企业IT策略的部署复杂性。AU系列交换机通过单芯片架构实现了无线有线用户管理策略统一化 ，管理员可根据业务需要灵活统一设置数据转发策略，让网络应用更高效可靠。

合一管理

在产品配置管理上，AU系列交换机提供了一个统一的管理界面，并创新性提出无线端口概念，把所管理的无线AP虚拟成了交换机的端口，在配置界面上，对无线AP的操作，和有线端口的操作方式完全一样，真正做到了管理上的合一。

快转Fabric

AU4600内置傲天动联独有创新的“快转”技术升级版本——“快转Fabric”。实现WLAN通信的数据和控制平面分离。在CAPWAP数据层面的智能策略化转发，采用包快速转发技术，在转发过程中无缝融合了有线和无线的相关处理。一次操作即完成数据转发，显著提升数据转发处理能力和降低数据转发延时。可配合傲天动联内置“快转”技术的高性能AX系列AC和内置AC功能的AS9600、AS6603组网，构建分布式的快转矩阵，提供完全兼容802.11ac千兆无线的线速交换能力，同时支持无感知漫游。

瘦交换机

AU4600是傲天动联秉承多年来在FitAP领域的积淀，率先推出的瘦交换机。AU4600与所连接组网的AE系列AP如同一体，AC或AS96/AS66交换机采用国际标准CAPWAP协议对网络中的无线设备进行统一配置。

产品优势

基于傲天动联AU4600创新单芯片的无线万兆交换机，傲天动联AE系列AP和傲天动联AX系列AC，AS9600、AS6603交换机，将园区网带入无线有线一体化园区网时代（详见傲天动联无线有线一体化园区网技术白皮书），可提供智能、灵活、安全、健壮的无线网络！

万兆无线到桌面

AU4600采用创新的单一芯片架构，内置快转Fabric技术，使每台接入交换机都具备万兆 CAPWAP处理引擎，处理性能比传统一体化交换机高二十倍以上，支持更高密度、802.11ac标准的千兆高性能AP部署，提供更合理的信道分配，支持AP所关联终端的负载均衡，提供畅快的无线通信体验。

无线感知防火墙

AU4600采用创新的单一芯片、统一策略、合一管理和快转Fabric技术，给无线有线园区网带来更高安全性，可以实现无线感知防火墙，

无线引擎动车化，卸载AC无线数据处理压力

采用普通接入交换机进行有线无线一体化组网时，所有无线数据需要集中到AC进行转发处理，而基于802.11ac标准的AP的普及，使得AC的处理能力面临巨大压力。采用AU4600交换机组网时，由于每台交换机都具有无线数据的处理能力，就像动车每节车厢都能提供动力一样，多台AU4600交换机提供强大的无线处理能力。

用户漫游无感知

AU4600内置的快转Fabric可以对无线用户数据进行智能转发，对漫游流程进行优化，提供更好的二三层漫游体验。当用户在同一交换机连接AP漫游时，漫游数据在交换机内部完成处理，在不同交换机AP之间漫游时，AU4600自动建立CAPWAP隧道，新机制支持无线用户的二、三层漫游在毫秒级完成，真正实现对视频会议、语音通话等高QoS要求业务的支持，达到“漫游不断网，用户无感知”的理想效果。

即插即用，仅配三步

AU4600采用统一软件和合一配置界面，无线配置就像配置有线交换端口，配置界面上只进行不超过三步的配置。AU4600与组网的AP采用瘦架构组网方式，AP近乎一根“智能天线”，AP与AU4600用网线连接后，AU4600自动完成对AP的配置，所有的无线用户和有线用户就可以接入网络。

当AU4600和AX系列AC或AS96系列、AS66系列交换机组网时，可被统一控制和管理。在整个有线无线一体化网络中，所有的配置策略和安全策略都可以在一台设备上完成配置，从而大大简化运维工作。

AP管理可视化

AU4600面板上有Wireless指示灯，可实时显示AP和无线用户的状态，无需进入设备的界面，就可以知道AP的当前状态、是否有无线用户接入等信息，一目了然。

节省能源，降低成本

AU4600产品的创新单一芯片解决方案，实现丰富功能同时，大大节省能耗，整机遵循IEEE 802.3az（Energy Efficient Ethernet 能效以太网），提供低耗电闲置模式，大幅度降低电量，远远低于业界同类产品。

3.2.3、其他楼宇无线覆盖传输承载设计

根据各个楼宇对无线网络稳定性的要求，其他几座楼宇采用普通8口或24口智能POE接入交换机

8口POE交换机---AS3200-9GS-PWR

24口POE交换机---AS3200-24GC-PWR

产品特点

·         灵活的组网及应用方式

     采用灵活的千兆电接口和千兆SFP口组合的形式，方便用户根据不同的网络应用环境灵活选择组网方式，支持不同的端口密度，均采用无阻塞设计，支持全线速转发，适用于不同的组网环境
支持802.3af/at，单端口最高支持30w功率输出，可广泛应用于WLAN、IP电话、IP监控等领域。

·         高安全可靠性

     支持端口隔离、IP+MAC+Port绑定；支持命令行采用分级保护方式，防止未授权用户的非法侵入，为不同级别的用户分配不同的配置权限；支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN、时间等ACL策略下发；支持故障后报警及自恢复。

·         多种管理方式

     直通、交叉线缆自适应；可以通过Console口、Web、SNMP、Telnet、SSH等多种管理方式；可以通过FTP、TFTP进行软件升级。

·         全面的流量和广播管理功能

     支持全双工模式和半双工模式的流量控制；支持ARP限速；支持IP组播和QoS。

·         低碳静音设计

     采用静音风扇设计，有效降低功耗，减少对环境的噪声污染，适合部署于楼道等非机房环境。

3.3、各核心功能模块规划详述

3.3.1、无线有线设备管理

全网的无线AP（面板式、放装式），分别由校园网核心交换设备侧再旁挂一台无线控制设备（内置专业AC管理业务板）进行无线AP管理、统一软件参数设置和配置下发。

无线控制器（AX5000-512）：

傲天动联（AUTELAN）AX5000系列采用先进的并行多核多业务处理器及高速ASIC作为业务和数据处理平台，并采用傲天动联（AUTELAN）业界领先的CUBE网络架构，具备软网络、云部署、自感知三大功能，真正实现网络应需而变。借助于先进的软硬件产品设计，AX5000系列具有强大灵活的无线用户接入及Fit AP管理特性，并提供全网802.11n部署能力，支持WAPI标准。全系列产品在保持高性能无线业务处理能力的前提下，提供无缝二三层漫游、用户安全接入、WIDS、基于用户角色的策略控制、无线信道动态控制、射频功率自动调整、无线用户自动负载均衡等多种应用及控制手段。可应用于企业网的各种组网环境，是企业网用户部署无线网络的最佳选择。

无缝漫游：L2/L3无缝漫游，50ms内无感知切换。
高集成度：内置Radius与Portal sever。
云部署、集中管理：对所有AP进行统一管理、统一配置。
智能负载均衡：AP间、信道间基于终端数量和流量的智能负载均衡。
智能射频管理：信道自协商与功率动态调整。
灵活的转发策略：同时支持集中认证基础的本地和集中式转发。
高可靠：N+1设备间毫秒级用户无感知倒换。
产品特点

·         云部署，集中控制管理

     AX5000系列的云部署功能，可对管理范围内的所有AP实现统一管理、统一配置，实现了AP端的零配置，极大方便了大规模无线网络部署和管理，改变了现有无线网络信号差、管理维护繁杂的局面。智能控制业务流量转发方式，支持本地转发、集中转发、分布式转发，满足各种网络环境的部署要求，充分利用网络资源。

·         自动感知无线环境，智能射频管理

     AX5000的智能射频管理功能能够实时监测周边使用环境，自动配置所有无线 AP 射频参数，调整AP的发射功率、信道等，尽可能的规避相同或相近频道的干扰，保证了每个 AP 都能在最佳的无线信道上用最合适的发射功率提供服务。
智能射频管理功能可实现无线网络自愈功能。当发现某个AP出现故障，AX5000能实时感知到故障情况，并通过智能射频管理，自动地提高故障AP周围 AP 的发射功率，以减少或消除无线覆盖盲区。

·         全面的端到端安全

     AX5000具备强大的安全特性，为无线用户获得良好的无线应用体验提供保障。在无线用户接入方面可提供基于 MAC、802.1X、Portal 等多种接入认证方式及严格的用户准入控制策略；在数据加密方面可提供支持WAPI和 802.11i 标准；在应用安全方面可提供基于用户角色的应用权限控制。内置的 WIDS 可察觉并抑制网络环境中存在的 Rogue AP 及 AD Hoc 主机等潜在威胁。

·         提供内置Radius Server和内置Portal Server

     傲天动联智能AX5000不仅具有强大的安全特性，同时具备认证服务功能，可内置Radius Server与Portal Server，中小型企业用户可以省去AAA服务器与Portal服务器部署过程，方便了用户使用并减少资金投入。

·         高可靠性

     设备冗余：傲天动联AX5000支持1+1备份与N+1备份。当一组中的某一台AX5000故障时，在其下连接的所有 AP 将无缝地切换到备用AX5000中，被切换的AX5000下连接的所有客户端将无中断的继续工作和访问网络。
      傲天动联AX5000的N+1实时备份主要优势在于，处于VRRP 状态下连接的无线 AP，均同时支持两路管理隧道的上连，一路连接主用AX5000，另一路接备份AX5000，这样当主/备AX5000切换时，客户端的连接不受任何影响。

·         Portal 1+1备份

     傲天动联AX5000处于1+1备份时，可以实现Portal认证高可靠性。主用、备用AX5000相互同步用户的认证状态等数据。当主用AX5000故障时，用户直接切换到备用AX5000，因备用AX5000已经预同步了用户的认证数据，可以避免Portal重认证和用户业务中断。

·         DHCP Server热备

     傲天动联AX5000处于N+1备份时，可以实现DHCP Server热备，用户通过主用AX5000DHCP地址分配后，主备AX5000之间同步DHCP地址池信息。当主用AX5000 故障时，会切换到备用AX5000的DHCP Server, 因备份AX5000已经预同步了DHCP的地址池信息，可以避免用户重新申请IP地址和用户业务中断。

·         随时随地漫游

     基于傲天动联独特设计的无线漫游域技术及专门为无线漫游应用而优化的数据处理机制，即使在跨AX5000和跨网段的环境下，傲天动联AX5000仍可为无线漫游用户提供无缝的 L2/L3 漫游体验。其漫游切换时间小于50ms，完全满足无线语音通讯及移动视频监控等时延敏感型应用的严格需求。

·         智能负载均衡

     傲天动联AX5000可实现基于终端数与业务流量的负载均衡，在WLAN网络中，无线漫游接入决策权由无线用户决定，会导致单个AP接入终端过多和流量过大，其它AP接入终端与流量过小，造成无线网络利用不均衡，通过AX5000的智能负载均衡，可以从终端数与流量两方面均衡网络资源，从整体上提高网络资源的利用率。

3.3.2、万兆核心交换机

由于校园网原有核心已经使用了十多年，随着教育信息化的发展、互联网时代的到来，该设备已经越来越力不从心，同时原有设备的稳定性也越来越差，毕竟电子产品都有一定的使用寿命，“超期服役”会给校园网络的稳定性带来巨大的隐患。

因此推荐业界主流的高性能万兆核心AS6603对原有核心进行替换，以实现校园网络稳定性的巨大提升。

AS6603

产品描述

AS6600系列是傲天动联面向企业网市场推出的三槽位高密度千兆智能交换机。可以适用于中小型网络的核心层和大规模网络的接入层。配合无线控制器业务板，也可提供无线控制器功能，实现有线无线一体化组网。

产品特色

业界首款高密度机箱式千兆接入三层交换机

·         AS6603采用业界领先的三槽位机架式结构，工业化的设计，提供接口类型丰富的业务板卡

·         为中小企业量身定做：AS6603单机最高支持144个GE接口，相当于业界三台48口交换机堆叠使用，能提供更高的可靠性和转发性能，为用户提供高性价比

·         AS6603单机最高支持2个10GE接口，满足万兆接口上联的需求

支持原生AP管理

·         AS6603交换机出厂默认即可管理AP（支持集中转发需另外配AC业务板卡），可完成AP的集中配置、功率和信道的统一智能优化、集中显示AP工作状态、所关联无线用户的状态、转发数据流量统计等，并能完成AP的软件集中升级。业绩领先技术，帮助用户在无线数据不需要集中转发情况下，无需采购AC业务板即可完成无线组网。

更强大的安全特性

·         AS6603交换机支持ARP 入侵检测功能，可有效防止黑客或攻击者通过ARP 报文实施 “ARP 欺骗攻击”

·         AS6603交换机拥有强大硬件ACL能力，能深度识别报文，支持L2～L4包过滤功能，提供基于源/目的MAC地址、源/目的IP地址、IP 协议类型、TCP/UDP 端口、端口范围、VLAN、VLAN范围，时间等下发ACL策略

·         AS6603交换机采用命令行分级保护方式，为不同级别的用户配置不同权限，防止未授权用户的非法侵入，保障交换机的安全

操作系统支持分布式转发，增强网络可靠性

所有业务板卡为全分布式转发，当主控板失效时，单块业务板可独立完成数据转发，业绩独有技术，大大提高网络可靠性

主控板和业务板合一，实现高性价比

支持双主控冗余，但不需要专用主控板，在保证可靠性的同时，带来高密度，灵活性和成本优势

网络管理及维护的易用性

AS6603交换机支持通过FTP、TFTP 实现设备的远程升级，支持SNMP  v1/v2/v3，支持CLI命令行，Web 网管，Telnet，SSH等，使设备管理更加便利  

3.3.3、下一代综合安全网关

ANGSG-2006

该设备具有多链路负载均衡、智能DNS、高性能防火墙及VPN、链路健康检查、用户准入、流量控制、用户上网行为管理及审计功能。

在用户准入方面，用户上网会自动弹出认证portal页面（可自定义页面），并为不同尺寸的终端进行页面自适应，方便不同屏幕大小的终端顺畅的接入网络。

同时该设备有非常完备的上网行为管理及审计功能：

支持网页关键字过滤；

支持网页URL过滤；

支持文件传输（HTTP/FTP）类型过滤；

支持邮件的“发件人/主题关键字/内容关键字/附件类型”过滤（POP3/SMTP/Web Mail）；

支持IM即时通讯的过滤（登录/聊天/文件传输/语音聊天）；

支持网页标题记录；

支持发贴记录、网页评论记录；

支持在搜索引擎上的搜索记录；

支持URL访问记录；

支持网页文件上传/下载记录；

支持邮件内容审计（POP3/SMTP/Web Mail）；

支持邮件附件审计（POP3/SMTP/Web Mail）；

支持IM即时通讯软件内容审计（登录/聊天记录/文件传输）

支持FTP的上传和下载记录，包括用户名和文件名；

支持所有访问的会话日志记录，包括: 源 IP、目的 IP、协议类型、七层应用名称、源端口、目的端口、是否进行 NAT 转换(可显示转换后的 IP 和端口)、会话产生的时间和会话持续时间.

系统能够支持Syslog等第三方日志服务器系统。

强大的7层应用协议识别：

以 DPI技术为核心，结合基于报文内容及基于行为特征的技术，实现网络中应用的自动识别和智能分类。应用的识别特征库可不断更新与升级。

支持MSN、QQ、飞信、Yahoo、WangWang、ET、UC、ICQ、AIM等国内外主流的聊天软件。

支持eDonkey/eMule、BT、迅雷、Gnutella、KazaA、kugoo、poco、maze、Fasttrack等国内外主流的P2P下载软件。

支持pplive、qqlive、ppstream、ppfilm、ppvod、tvkoo等国内外主流的网络流媒体软件。

支持六间房，土豆，新浪视频，腾讯宽频，我乐网，搜狐视频，酷六视频等国内外主流的Web视频。

支持HTTP代理，Web下载，HTTP多线程下载，伪IE下载、Facebook、QQ农场，欢乐斗地主，开心网(kaixin001)，开心网(kaixin)，人人网，搜狐•白，163邮箱、QQ邮箱、126邮箱、新浪邮箱等等HTTP应用。

支持Skype、ET263、UUCall、Netmeeting、阿里通网络电话、和悦网络电话、KC网络电话、RedVip、SIP等网络电话。

支持QQ游戏系列，盛大游戏系列，网易游戏系列，完美时空系列，九城游戏系列，搜狐畅游系列，天晴数码系列等网络游戏。

流量控制：

支持基于线路进行带宽控制和流量阻断；

支持基于内网的 IP地址/IP地址范围/IP子网/地址簿/用户组进行带宽控制和流量阻断；

支持基于外网的 IP地址/IP地址范围/IP子网/地址簿进行带宽控制和流量阻断；

支持基于四层服务和根据特征识别的七层服务进行带宽控制和流量阻断；

支持基于单个服务、服务组、多服务的任意组合进行带宽控制和流量阻断；

支持基于流量优先级的流量控制策略；

支持基于时间段的带宽控制和流量阻断策略；

根据策略对某些用户或特定应用的最大带宽进行控制；

通过策略或优先级，保证关键业务或者VIP客户应用的带宽；

支持对特定应用或重点客户进行预留一定带宽。

能够根据IP地址/IP地址范围/IP子网/地址簿/用户组的配置来控制网络中单个用户的上行会并发会话数、下行并发会话数；

能够根据IP地址/IP地址范围/IP子网/地址簿/用户组的配置来控制网络中单个用户的上行总带宽、下行总带宽，同时可以对每个用户的单/多个特定服务(组)的带宽再进行精细的控制；

针对流量异常的用户或者IP地址进行用户黑名单智能控制管理；

根据每用户的“每日/每周/每月”使用的流量(上行/下行/双向)总和超过预设阀值，则自动进入黑名单。

根据每用户在连续一段时间的“上行速率/下行速率”超过预设阀值，则自动进入黑名单。

根据每用户在连续一段时间的并发会话数(上行/下行)超过预设阀值，则自动进入黑名单。

根据每用户在连续一段时间的新建会话数(上行/下行)超过预设阀值，则自动进入黑名单。控制用户滥用P2P、防止病毒等。

对进入黑名单的用户可采取强制下线或修改“上行带宽/下行带宽/上行会话数/下行会话数”的方式对用户进行惩罚。惩罚时间到期，可正常上网。

在“一周内/一月内/一季度内”，连续进入黑名单多次（如5次，可配置），可对用户进行加倍惩罚，惩罚时间可以原来的N倍。

可根据时间段来对用户进行黑名单的控制。在生效时间段内才进行黑名单的控制. 在生效时间段外, 不对用户的速率和会话进行限制, 用户产生的流量也不记入黑名单的流量配额内.

可根据每日的上网时长来限制用户上网时间，并且在报表中可以详细统计用户的上网时长以及所用服务

可通过策略来配置对内网特定用户（IP地址/IP地址范围/IP子网/地址簿/用户组）访问某些外网IP地址（IP地址/IP地址范围/IP子网/地址簿/用户组）进行白名单的控制。符合白名单规则的访问，不受防火墙规则、流控规则、上网行为规则、黑名单规则的控制；上网的行为不做记录。

3.4设备清单