中小學無線覆蓋技術服務方案

一、無線局域網建設方案 41.1.需求分析 41.2.改造目標 1.3.傳統(tǒng)有線無線園區(qū)網絡現狀 1.3.1.有線無線網絡組網部署 121.3.2.有線無線不能共用設備能力，造成資源浪費 121.3.3.有線無線深度融合方案 131.4.網絡改造方案整體概要 1.4.1.無線校園網改造整體結構 141.4.2.無線校園網與周邊系統(tǒng)的依賴關系 1.4.3.無線校園網改造整體效果 151.5.無線局域網改造詳細設計 1.5.1.房山區(qū)無線局域網基礎架構 16 1.5.2.房山區(qū)無線局域網WLAN覆蓋規(guī)劃 23 30.認證計費規(guī)劃 351.5.3.無線校園網有線側部署設計 38 39 401.5.4.房山區(qū)無線局域網細分場景規(guī)劃與建議 42 1.6.上網行為審計方案 1.6.1.上網行為審計的意義 1.6.2.上網行為審計方案設計 451.6.3.上網行為審計方案效果 471.6.4.上網行為審計日志及審計報表 471.7.網絡統(tǒng)一認證計費管理系統(tǒng)設計 1.7.1.網絡認證管理系統(tǒng)挑戰(zhàn)分析 521.7.2.網絡統(tǒng)一認證管理方案建設目標 531.7.3.網絡統(tǒng)一認證系統(tǒng)方案 54 55 58 591.8.網絡運維管理改造設計 601.8.1.教育城域網運維管理面臨挑戰(zhàn)分析 601.8.2.網絡運維管理系統(tǒng)改造目標 611.8.3.統(tǒng)一網絡運維管理系統(tǒng)建設方案 611.8.4.統(tǒng)一網絡運維管理方案效果 62 70 72二、項目實施方案、售后服務、培訓及供貨方案 2.1.施工工期安排 2.2.施工進度具體保證措施 2.2.1.確保工期的管理措施 752.2.2.確保工期的主要技術措施 762.2.3.人員保證措施 2.2.4.設備保證措施 782.2.5.設備及材料供應保證措施 782.2.6.影響工期因素的應急回補措施 782.3.協調管理措施 792.3.1.建立協調管理小組 792.3.2.與用戶的配合協調 792.3.3.與用戶聯系與協調 2.3.4.與監(jiān)理的配合協調 802.3.5.與主管單位的配合與協調 802.4.項目質量目標及保證措施 2.4.1.質量方針和質量目標 802.4.2.質量管理體系 81 2.4.3.施工過程質量控制 82 83 2.5.項目實施人員構成 2.5.1.項目管理機構配備情況表 842.5.2.項目管理人員證書 842.5.3.項目負責人簡歷表 2.6.項目實施過程的文檔記錄 2.7.詳細的售后服務 2.7.1.針對性服務 892.7.2.技術支持響應時間 2.7.3.備品備件供應及易損件優(yōu)惠價格 902.7.4.投標人提供的其他優(yōu)惠服務條款 2.7.5.質保期外的年維護方案 912.7.6.客戶項目各個階段的服務 912.7.7.技術支持與售后響應服務 922.7.8.服務承諾 952.7.9.現場專人服務 952.7.10.“一站式”售后服務體系 2.7.11.系統(tǒng)運行維護內容 2.7.12.針對本項目特別承諾和服務細則 2.7.13.三包服務細則 2.7.14.售后服務網點 2.8.培訓計劃 2.8.1.培訓需求分析 992.8.2.培訓內容 2.8.3.培訓方案的高適用性 根據《教育信息化十年發(fā)展規(guī)劃(2011-2020年)》重要文件的指示，提出了三大任務和兩個平臺的建設任務，簡稱“三通兩平臺”,是教育信息化“十二五”大家說的資源云服務平臺。我們概括為“三通工程”,即寬帶網絡校校通、優(yōu)質"人人通"的基本條件就是要打破時間和空間的界限，讓廣大師生能夠隨33題合AC獨立AC交換機>有線、無線合一接入>交換機扁平承載>精細的用戶管理>按場景選擇集成AC或獨>無線接入>交換機扁平承載>精細的用戶管理>移動辦公(BYOD)>有線接入>交換機級聯承載>簡單的用戶管理2號的覆蓋能力與傳輸速率不再是無線網絡的瓶頸，無線視頻、移動會議、無線IP語音通話、互動多媒體教學、電子書包、等應用都已通能通過無線的包括教學樓、實驗室、湖邊、草地、公園、體育館、操場絡平臺，同時需要建設無線校園網對房山區(qū)所有100所普教進行建設，從而實現要求每個教室采用的無線接入點所能連入的最大終端數不低于50。行BT下載等大量占用帶寬的行為；如何查詢用戶的接入日志；如何對分散在各有線網有線網流量轉發(fā)有線無線一體化有線天線分離1.3.2.有線無線不能共用設備能力，造成資源浪費無線插卡式AC多繞一個回路，獨立AC設備或者插卡式AC都會給網絡增加不必傳統(tǒng)園區(qū)有線無線分離有線無線一體化w敏捷園區(qū)如圖所示，在敏捷交換機插入ENP單板，即可實現AC功能。在敏捷交換機融合轉發(fā)獨給AC合認證同敏捷交換機的ENP單板可以識別無線報文，并對無線報文進行CAPWAP隧道機處理，解決了無線流量集中轉發(fā)情況下還要經過AC再繞回有線交換機轉發(fā)的卡，只需要一臺敏捷交換機，即可融合實現AC能力，轉發(fā)、控制、管理層面都務表象能力和豐富的業(yè)務特性(MPLS、IPv6等),為后續(xù)校園網內部更豐富的業(yè)接入無線接入點采用主流產品。保證無線高速接入。主要無線應用場景主要無線應用場景四區(qū)出口統(tǒng)一網管平臺匯聚交換機(按需)PoE接入交換機教室、辦公室、禮堂等室內區(qū)域校園操場等室外區(qū)域原有有線網絡核心力，以及整網的N無線控制器方案，保證無線的整網安全。充分發(fā)揮無線簡易運維特性，將無線統(tǒng)一管理的特性復制到校園有線網絡1.5.1.房山區(qū)無線局域網基礎架構.房山區(qū)無線局域網設計InternetPo建入交換機APAP教室、辦公室、禮堂等室內區(qū)域校園操場等室外區(qū)域128臺，可以覆蓋人數：4000人由于現有學校較多，需要部署100臺無線控制器，如果份需要324臺無線控制器設備，性價比低。每臺學?？梢詫Ρ緦W校網絡進行獨立管理，制定獨立策略、學校內部的有線無線核心節(jié)點重合，結構清晰。有線無線融合設計，用戶接入不區(qū)分接入方式，統(tǒng)一接入、一致體驗。且網方案二：無線控制署在房山區(qū)教委信息中心器部署于骨干網絡匯聚節(jié)點無線控制器部署在房山區(qū)教委信息中心統(tǒng)一管理全區(qū)所有AP線無線一體化功能，城域交換機及作為無線控制器使用子方案3.1學校核心交換機有線無線一體化功能，核心交換機及作為無線控制器使用子方案3.2機線接入點無線控制器至少可管暫無業(yè)界成熟應用可管理用無線控制器至少可管理400K用戶(按8000無線接入點，每無線接入點50用戶計算)暫無業(yè)界成熟應用性能業(yè)界無成熟無線控制至少需要400G帶寬(按每用戶1M帶寬計暫無業(yè)界成熟應用需要額外部署的設備式AC控制器2臺否每學校格外設備是否現網改造否否是是有線無線認證點分離需要所有廠商完全配合，后期運維和溝通成本極大有線無線認證點統(tǒng)一有線無線認證點統(tǒng)一有線無線認證點分離用戶分開管理基于以上分析，無線控制器設備部署位置在學校出口：由于學校節(jié)點過多(當前學校數量為教育城域網教育城域網有8個，分別為36、40、44、48、52、56、60、64;在5.725GHz～5.85GHz頻段有4個，分別為149、153、157、161,可以根據實際部署情況，選擇相應的4436WLAN鏈路預算一般經過邊緣場強確認，空間損耗到達用戶終端的電平不低于-75dBm。這樣可以保障用戶與無線接入點的協商速方便計算常忽略接收天線增益，而采用如下公式：到達接入點發(fā)射功率+無線接入點天線增益一路徑損耗。路徑損耗主要指WLAN信號空間傳輸距離2.4GHz信號的空間衰減(dBm)5.8GHz信號的空間衰減(dBm)為便于理解鏈路估算的過程，這里給出一個室外場景覆蓋和室內場景覆蓋的快速計算仿真效果圖快速計算仿真效果圖75dBm,500mW無線接入點的輸出電平27dBm,天線增益11dBi,距離無線接入點500m處信號的衰減量94dBm,由于27+11-94=-56dBm,大于-75dBm,因此在通常情況下，無線接入點的覆蓋范圍為500m。由于數據通信是雙向的，終端的信根據WLAN覆蓋邊緣場強的要求，到達終端用戶的信號電平不低于-75dBm,100mW無線接入點的輸出電平20dBm,天線增益4dBi,距離無線接入點60m處信號的衰減量90dBm,由于20+4-90=-66dBm,大于-75dBm,因此在正常情況下，室內無線接入點的理論覆蓋范圍為60m。考慮到室內環(huán)境復雜，無線信號需要穿揮WLAN的性能，并且也給后期維護優(yōu)化帶來更多的工作量，增加后期成AP計算器華為WLAN規(guī)不同顏色代表不同場強值不同顏色代表不同場強值蓋.SSID和漫游規(guī)劃與設計SSID規(guī)劃無線接入點可以配置多個SSID,單頻無線接入點可支持16個SSID,雙頻無線接入點可支持32個SSID。通過配置多個SSID,無線控制器針對不同的SSID下發(fā)不同的策略，SSID根據策略進行終端與業(yè)務管理。無線網絡可按照用戶群體劃分不同的SSID,如下圖所示，針對三種不同的用戶群體，在無線接入點上設置了3個SSID:SSID1用于學生、SSID2用于訪客和SSID3用于教師。通常，以太網中管理VLAN和業(yè)務VLAN是分離的。業(yè)務VLAN主要用于區(qū)分不同的業(yè)務類型或用戶群體。在WLAN網絡中SSID也同樣可以承擔相應的工作。因此，在SSID的規(guī)劃中必須綜合考慮VLAN與SSID的映射關系。業(yè)務VLAN應根據實際業(yè)務需要與SSID匹配映射關系，映射關系有1:1、1:N、N:1、N:N四種。漫游是指用戶在部署了WLAN網絡的場所移動時，用戶終端可以從一個無線接入點的覆蓋范圍移動到另一個無線接入點的覆蓋范圍，用戶無需重新登錄和認證，如下圖所示。WLAN網絡漫游中需要了解以下兩點：1、漫游過程中SSID必須一致，且使用相同的安全設置。2、漫游中選擇連接哪個無線接入點是無線客戶端的動作，這個切換的時機和快慢受無線客戶端的芯片或設置的影響，所以在漫游切換過程中會出現不同的終端切換性能有差異。使用信道1.服務質量Qos規(guī)劃與設計WLANQoS保證不同質量的無線接入服務之間的互通，滿足實際應用的需求。如下圖所示，在校園網中，常采用無線空口做WMM調度，有線側進行優(yōu)先級映射，校園網做DiffServ調度的方式，最大程度優(yōu)化網絡發(fā)生擁塞時的核心業(yè)務和VIP用戶服務質量。校園中的QOS部署一方面需要從業(yè)務的角度實現端到端的QOS保障，另一方面出于管理的需要能夠對用戶或者單無線接入點的帶寬進行管理，比如要求校園外的訪客用戶的帶寬不超過300kbps,某個無線接入點上SSID-Guest的總流量限速20Mbps等。業(yè)務Q0S報文在WLAN網絡中傳輸時需要經過有線網絡和無線網絡兩個部分，Q0S的設計要保障端到端的性能。Native無線控制器需要具備5級Qos調度，滿足業(yè)務服務質量要求。以視頻流為例，端到到的方案流程如下圖所示：3210VideoIP6543210一65432102視頻服務器通過IP網絡將廣播報文發(fā)送給無線控制器，并打上優(yōu)先無線控制器通過C無線接入點W無線接入點隧道將報文發(fā)送給無線接入點。無線控制器需要將Earthnet優(yōu)先級映射到隧道的優(yōu)先級?！裨诒ＷC效率的同時，為了提升穩(wěn)定性，無線接入點上先將組播報文轉為單播報文，然后將報文從有線的優(yōu)先級映射到無線的優(yōu)先級。不同的業(yè)務進入不同的空口隊列，并且獲取到不同的空口EDCA參數，從而對不同優(yōu)先級的業(yè)務實現差異性調度，保障Q0S性能。出于管理的需要，運維的老師往往需要系統(tǒng)地對用戶或者單無線接入點的帶寬進行管理，比如要求校園外的訪客用戶的帶寬不超過512kbps,教工這類用戶上網獲得的帶寬不超過1Mbps,WLAN解決方案需要能夠提供基于用戶，基于無線接入點(V無線接入點)或者基于某SSID的帶寬管理?！窕谟脩舻膸捁芾砘谟脩舻膸捁芾戆谀硞€特定用戶的帶寬管理以及基于用戶組(角色)的帶寬管理?；谟脩舻膸捁芾硇枰猂adius服務器參與，在認證后Radius下發(fā)用戶帶寬或者用戶組給無線控制器，無線控制器通知無線接入點進行相應的帶寬控制，如下圖1和圖2所示。圖1WLAN基于用戶組帶寬管理APAP賬號20120436115用戶賬號(學號)20420415●基于無線接入點的帶寬管理出于管理的目的，有時需要對某個具體的無線接入點進行帶寬管理，如限制某個辦公室里的無線接入點帶寬為30Mbps,可以通過配置Trafficprofile里的V無線接入點LimitRate實現帶寬管理，如下圖所示。WLAN基于無線接入點的帶寬管理基于SSID的帶寬管理為來自校園外的訪客提供上網服務不是高校建設WLAN的主要目的，一般需要對訪客SSID的容量做限制，以保障內部用戶的帶寬和業(yè)務體驗。如下圖所示，對訪客限制了20M的訪問帶寬。WLAN基于無線接入點的帶寬管理.無線可靠性規(guī)劃與設計>自動調優(yōu)當無線接入點射頻環(huán)境出現惡化，某個無線接入點故障或新增擴容無線接入補盲后補盲后覆蓋空沮補盲前28M總帶寬流量30M總帶寬流量如上圖所示。用戶模式：無線接入點1和無線接入點2屬于同一個負載均衡組，無線接入點1已接入4個STA,無線接入點2已接入2個STA。無線接入點1與無線接入點2接入STA個數的差值為2,當閾值設置為1時，新接入的STA7被均衡到接入用戶數量較少的無線接入點2上。流量模式：無線接入點1和無線接入點2屬于同一個負載均衡組，無線接入點1已接入4個STA,無線接入點2已接入2個STA。但無線接入點2上的STA5/STA6承載高帶寬業(yè)務，總帶寬流量30M超過無線接入點1的總帶寬8M,當設定閾值為12M,新接入的STA7被均衡到流量負荷較小的無線接入點1上。鏈情況下，無線接入點自動保持現有用戶的流量和權限，使現有用戶仍可以進行本地無線流量的轉發(fā)?？梢岳^續(xù)訪問本地校園網的原有資源，對于新建連接用戶，無線接入點可以代理與新連接終端的管理和認證能力，使新用戶戶的認證權限不受控。所以當無線接入點與無線控制器網絡正常，重新建立鏈接時，無線控制器將重新對全部用戶進行重新認證，需要所有用戶重新登業(yè)務續(xù)航-本地轉發(fā)業(yè)務續(xù)航-本地轉發(fā)CAPWAP斷鏈業(yè)務保持交換機浙戶對于沒有AC備份的小型無線網絡，業(yè)務續(xù)航模式可保證用戶數據轉發(fā)不中斷，提升業(yè)務可靠性。RogueRogue設備惡意攻擊3空口竊聽●偵聽周邊設備接入模式只提供覆蓋功能，不提供非法設備監(jiān)AssociationResponse協議Rogue制的模式，監(jiān)測模式無線接入點從無線控制器下載攻Rogue對RogueClient、Adhoc設備的反制：監(jiān)測無線接入點通過使用RogueClient、Adhoc設備的BSSID、M無線控制器地址發(fā)送假的單播解除認證幀，對指定非法Client的進行反制。Rogue設備管理可以與定位功能集合，如在地圖上可以查詢或者實時顯示Rogue設備的位置，為網管人員對網絡監(jiān)管和排障定位提供便捷。當"惡意用戶"發(fā)送大量的"連接請求報文"至無線接入點時，這些報文會被無線接入點轉發(fā)到無線控制器設備上進行處理，這樣會對內部網絡造成沖擊。啟動Floodatt無線控制器k檢測，無線控制器會檢測到來自于該惡意用戶的Flood攻擊，無線接入點會將來自于該用戶的報文將全部被丟棄，從而實現了對于網絡的安全防御。對于Client的數據報文，如果該報文使用了WEP加密算法，需要啟動IV檢測；無線控制器根據IV的安全性策略判斷是否存在WeakIV攻擊。這種攻擊的潛在攻擊者將以其他設備的名義發(fā)送攻擊報文。惡意無線接入點或者惡意用戶發(fā)送一個欺騙的解除認證報文會導致無線客戶端下線。無線控制器接受到這種報文時將立刻被定義為欺騙攻擊，并阻止該對空口數據進行加密。常用的空口加密方式有WEP,WPA/WPA2,W無線接入等。在最新的實現中，不管是WPA1還是WPA2都可以使用802.1X,使用802.1X時稱為WPA企業(yè)版，不使用802.1X時稱為WPA個人版，或者叫WPA-PSK版。在實際網絡部署中，空口加密通常和用戶認證一起考慮，在高校中推薦使用用戶安全可以分為合法用戶非法地訪問其范圍以外的資源和非法用戶的接在校園中根據需要，往往劃分了不同的SSID供不用的用戶群當外部訪客用戶和內部用戶都采用集中轉發(fā)時，外部訪客用戶使SSIDGuestSSIDxxUniversiWLAN解決方案需要支持多種接入認證技術，對接認證和PPPoE認證。從對比表中可以看到，這幾種無線認證在技術實現上各有特色，覆蓋了不同用戶的接入認證需求。教育Portal數據認證統(tǒng)一IP地址不需要(瀏覽器)不需要(操作系統(tǒng)有自帶客戶端)不需要(操作系統(tǒng)有自帶客戶端)無低中高中啞終端內部員工(如核心辦公區(qū))園區(qū)網不建議認證+安全+計費部署方案適合有計費要求并且客戶對于內網安全也有較認證+安全+計費方案組網圖ntemet)如上圖所示，要實現認證+安全+計費功能，認證組件、安全組件、計費組件、Portal組件、客戶端、計費網關均為必選組件。功能實現流程：無線用戶認證報文到無線控制器后，通過RADIUS協議到認證服務器完成內網準入認證。認證服務器的Portal組件主動向計費網關發(fā)起Portal認證，完成外網準出認證。計費網關繼而通過RADIUS協議向計費服務器請求用戶信息。計費服務器作為RADIUSProxy,從認證服務器獲取用戶信息，完成準出認證，同時同步用戶信息到本地。用戶訪問外網，則計費網關開始計費，并向計費服務器通告計費信息。.無線管理運維規(guī)劃與設計校園新建WLAN,大量新增加的網元(無線接入點，交換機和無線控制器)給建設、運維帶來巨大工作量，需要有一個專業(yè)的網管系統(tǒng)能夠幫助教育網用戶從部署到性能監(jiān)控，到維護排障全流程的提升運維效率。因此針對WLAN無線網絡對的管理有以下幾方面的訴求：●便捷設備配置和向導式業(yè)務部署管理●可視化的WLAN網絡統(tǒng)一視圖全方位的故障監(jiān)控支持在線確認(未授權無線接入點上線)、離線部署、自動上線(符合白名單的無線接入點自動上線)三種形式，從而方便、快捷w式、轉發(fā)類7AC的基本49信息、管理網絡設備等?！裉峁┛梢暬W絡監(jiān)控，以拓撲圖方式顯示無線控制器、無線接入點、終端的業(yè)務邏輯關系?！裰С终故緹o線設備故障狀態(tài)，同時提供告警查看的操作快捷入口?！裢ㄟ^位置拓撲查看當前熱點位置及射頻信號覆蓋范圍，并標識沖突●無線接入點預部署，查看模擬的射頻覆蓋范圍，無線接入點部署上線后切換真實無線接入點，顯示無線接入點的真實覆蓋范圍3、全方位的故障監(jiān)控提供全網物理資源、統(tǒng)計類、性能等相關信息，以便監(jiān)控和管理網絡。●網絡監(jiān)控●用戶可以通過網管物理拓撲，監(jiān)控無線控制器設備及鏈路狀態(tài)；可以通過WLAN業(yè)務拓撲直觀查看STA、FIT無線接入點、無線控制器接入關系；可以通過位置拓撲查看當前熱點位置及射頻信號覆蓋范圍并在視圖上標識當前非法無線接入點位置?！裼脩艨梢酝ㄟ^性能管理、告警管理及WLAN物理資源管理來監(jiān)控網絡運行狀況，并通過報表系統(tǒng)周期性地給出WLAN相關報表，進而幫助用戶實現輕松運維。●網絡故障恢復當網絡中的無線接入點出現異?；蛟赪LAN網絡的調試過程中，用戶可以通過網管遠程批量恢復無線接入點的出廠設置；在WLAN網絡中無線接入點升級完成后或在WLAN網絡的調試過程中，用戶可以通過網管遠程批量重啟無線接入點；當網絡中的無線接入點出現硬件故障需要替換時，用戶可以通過網管快速完成無線接入點替換，無線控制器復制故障無線接入點上原有的配置至替換新替換的無線接入點，快速保證無線接入點替換后業(yè)●用戶可通過無線接入點上行Ping設備IP(包括網關或服務器IP),判斷無線接入點上行業(yè)務線路的通斷情況，或通過無線接入點下行Ping用戶IP地址，進而確認用戶報障原因是用戶關聯問題還是上行業(yè)務不通。無線接入點Ping只能在無線接入點正常狀態(tài)下工作，可通過無線控制器下行Ping,來診斷無線控制器至無線接入點鏈路的通斷情況。.詳細設計文換機C網絡拓撲如上圖所示，無線接入點通過POE交換機和學校出口設備上聯至教育城域網的骨干匯聚節(jié)點?？梢愿鶕W校的物理距離、所需的接入點數量來進行設備的具體設備選型：24/48端口POE設備，光口/電口上行設備。.設備選型建議根據教育城域網目前的需求情況，并且考慮到未來的業(yè)務發(fā)展需要，建議部署于學校的POE交換機與出口交換機具備以下功能：●全區(qū)學校都有多媒體教室及視頻會議室，每個學校至少15個，在進行全區(qū)共享教學等場景時對核心出口設備的組播性能要求較高，出口設備要支持至少教育動域網教育動域網2000個組播源同時具備豐富的光、電下行接口，從而解除因鏈路類型而對接入POE交換機產生的物理限制(雙絞線有效傳輸距離不超過100米)。●出口交換機作為無線接入點和無線用戶的DHCPServer,通過無線接入點的身份認證或者預先部署的控制VLAN,使無線接入點與無線用戶的IP地址池進行區(qū)分。保證地址統(tǒng)一分配的情況下，進行合理的安全隔離，方便后續(xù)信息溯源●骨干設備、出口設備、接入交換機設備之間應該能夠有效聯動，比如實時鏈路檢測告警、POE交換機可虛擬化為出口交換機的端口方便骨干設備的管理●接入POE交換機應支持縱向虛擬化功能，可將無線接入點設備虛擬成為端口，虛擬化后，整個校園網可以對外呈現為一臺設備節(jié)點，進行統(tǒng)一的管理、簡化運維●接入交換機應支持簡易運維，提供新入網設備Zero-Touch安裝、故障設備更換免配置、USB開局、設備批量配置、批量遠程升級等功能，便于安裝、升級、業(yè)務發(fā)放和其他管理維護工作，大大降低了運維成本。.升級改造效果雖然此次設計部署的設備繁多，但通過簡化運維功能，可實現開局時接入交換機和無線接入點的"零配置",同時免除了海量接入交換機的繁瑣配置；另一方面，通過縱向虛擬化技術，使得原來“核心/匯聚+接入交換機+無線接入點"的網絡架構，虛擬化為一臺設備進行管理，最大程度簡化日常運維、配置和管理工作。虛擬化之前的校園網虛擬化之后的校園網.節(jié)能與降低TCO效果能耗40%。支持標準EEE技術，降低無線接入點和POE交換機之間的能耗30%。支持AHM專利技術，降低交換機有線網絡的能耗63%。達到端到端節(jié)能要求。無線接入點支持多種節(jié)能方式，最大程度的TCO支持WMM標準要求的U-APSD技術，使用喚醒和休眠機制達到AP和客戶端極降低端口能耗30%Q2*01L2.代人上電啟動時，端口會響應境醒，端口可用非映型端口：設備內與休麗央型無關的端口，當設備休服時設備不響應這類端口的任何動作瑩機休腸：設備檢測到映酬端口均進入休解狀態(tài)，則整機進入休矚，與非映醒味口的狀態(tài)無關非換醒講口空閑端口直接進入端口休眠(以太網的物理層進入低功耗模式)→端口無為12.6W)能耗能耗240*14*46.3+(365-240)*24*46.3=294468W(空閑流量功耗為46.3W)支持AHM特性交換機全年功耗為:6864休眠時間)=148776W業(yè)界標準交換機的全年功耗為：112320W(工作時間)+294468W(空閑時間)全年整體節(jié)能超過63%u+一年耗電量：148776W*小時一年樣電量：一年工作時段(30%流量)>覆蓋需求教室內的無線覆蓋主要是滿足學生(筆記本+PAD)和老師的上網需求。具√每層樓有三種教室，第一種教室面積為：長×寬=10×6;第二種教室面積為：長×寬=5×6;第三種教室面積為：長×寬=12×4。類多：高密度室內場景(自習室);低密度室內場景(閱覽室);流動性室內場景(圖書館大廳)室內產品最好能內置天線，以便無線接入點可以與圖書館的環(huán)境融合，減少對現有結構的施工。>部署方案圖書館大廳無線覆蓋規(guī)劃如下圖：閱覽室布放若干無線接入點，滿足閱覽室內的上網需求；大廳內的無線接入點壁掛放置在休息區(qū)沙發(fā)椅上方的墻壁，主要滿足大廳內師生的上網需求；在現代教育學習工作中，網絡是不可或缺的工作平臺和工具，但是因為互聯網上資源良莠不齊，有很多非法內容，也有部分人在網絡上進行非法行為，具體的行●部分用戶在網絡上故意傳播黃色、賭博、毒品、反動等相關信息；●部分用戶在工作時間內瀏覽與工作無關的網站網頁、下載音樂視頻等行為導致工作效率的下降和網絡資源的浪費?！裼捎趩T工在網絡上發(fā)表不符合當地法律法規(guī)或者企業(yè)管理制度的言論，對單位形象或利益造成損失。為了更好規(guī)范網絡行為，建設文明的教育網絡，非常有必要對網絡的使用行為進行審計。上網行為管理設備提供的上網行為審計功能，可以有效地監(jiān)控以上網絡行為，避免學校利益的損失，提升辦公效率。上網行為管理設備的處理流量模型房山區(qū)教委骨干網中，上網行為管理設備將被部署在各個匯聚和核心節(jié)點，通過對每個匯聚節(jié)點的上行流量鏡像分析的方式來完成行為審計。戶的上網行為，日志將和A用戶的用戶名相關聯。而對于B節(jié)點來說，由于A用從A節(jié)點和B節(jié)點的監(jiān)控效果來看，他們所有的數據報文SIP和DIP是相反的，A點的哪個IP,發(fā)起對哪里的，什么訪問";而B節(jié)點記錄的是“誰，什么時間，從哪個外部IP,對我的什么應用"發(fā)起的訪問，這是兩個不同的視角，也即兩上行(或包括下行)南北流量，并不對環(huán)路上過往的東西流量做監(jiān)控。而通常情1.6.3.上網行為審計方案效果URL訪問審計：審計域用戶所訪URLURL應用審計：審計應用的分類、應用名、使用該應用的用戶、用戶所在部門、>知名端口非標協議審計：審計常見端口(21、25、80、110和443端口)上1.6.4.上網行為審計日志及審計報表表基于對流量、時長、行為次數進行排行、趨勢、對比三維度分析。其中，行為是指"誰，從哪里，什么時間，對什么應用，訪問了什么內容。對于生成報表可以任意指定以上的排列組合進行展現。如下舉例：打量查6a*n日制業(yè)習型at面hmwa●上網流量審計日志們tna,R-atnna戶世池autaninatwa●上網時長審計日志tai要nu園P-P動i河電證如國國地量a共協曲品nnhtuunaasgntune55enenssiaa.*Tis+RE-*tuan型名過標四小加凝越重通●用戶上下線審計日志質m4a●郵件查詢審計日志a*s字量率海單NA每Dma●http外發(fā)排行報表工作無關應用用戶時長排名工作無關應用累計時長排名工作無關應用累計時長排名鐘cg4不分Wa7-VolPIWVideoCaneRebailP房山區(qū)教育城域網為全區(qū)師生提供教育資源服務，涉及164所學校、14萬通過部署基于802.1x協議的準入認證系統(tǒng)以實現“絕對的”安全。但這一準入了"管"而不“控”的管理方式，大大降低了網絡的整體安全性。法網站、散步不當言論的行為進行了管控。但傳統(tǒng)的教育城域網通過802.1x認證方案來對接入用戶進行身份認證管理，但802.1x客戶端的分發(fā)安裝繁瑣、與體驗，需要部署有線、無線一體化網絡準入控制系統(tǒng)，對全區(qū)14萬教育城域網式方便地進行網絡訪問策略管理，統(tǒng)一有線、無線的接入策略，真正做到"策略如影隨形”,徹底消除管理盲點，提升整網的接入安全性。聯動實現對接入用戶的集中管控，當用戶訪問教育城域網業(yè)務資源時自動推送Portal認證頁面方便用戶的接入認證；同時實現認證記憶功能，在一定時間內>補丁檢查軟件安裝檢查系統(tǒng)配置檢查(IE/Office)>組策略檢查非法外聯網絡隔離修復策略(提示、快速慘復)QoS策略無線有線VPN房山區(qū)教育城域網覆蓋全區(qū)164所學校、14萬師生，接入地點分散、用戶計對“唯一性”、"不可抵賴性"的要求，已經不適合新形勢下網絡智能化管理規(guī)則說明姓名學籍號/身份證號賬號方案二：自助申請方式，在實施準入控制系統(tǒng)WEB(ACL,VLAN,QoS等)應的認證頁面，用戶只需在認證頁面輸入帳號和密碼后提交即能完成認證。用戶終端用戶終端準入設備Portal服務器AAA服務器2、網絡準入設備(骨干匯聚交換機)截獲用戶HTTP請求，如果請求報文目的地址不是Portal服務器，通過HTTP重定向命令推送Portal的Web認證頁面。3、用戶終端訪問Portal服務器Web認證頁面，輸入帳號/密碼，提交認證。5、網絡準入設備通過RADIUS協議，向認證服務器(RADIUS服務器)進行用戶8、Portal服務器向用戶終端通過HTTP通知認證9、用戶可選擇下載安裝無線控制器tiveX控件(或安裝了客戶端代理軟件),日2、用戶訪問WEB服務器時訪問頁面被重定向到指定的Portal認證頁面3、用戶在Portal認證頁面上輸入賬號密碼，提交后Portal服Radius通過認證，記錄終端M無線控制器地址和深瀾計費服務器聯動實現對用戶的計費功能。當用戶Portal認證通過后，策內網服務器Bras與計費服務器之間能夠最大程度地減少話單的誤差，最大程度地保證計費合作方B5S系統(tǒng)ERP親統(tǒng)夠助辦公用戶文熱機1)方便N無線控制器部署，授權用戶組取代傳統(tǒng)授權VLAN或者無線控制器L等模式，服務器只需下發(fā)用戶組名稱，方便N無線控制器部署。2)節(jié)省用戶資源，多用戶基于用戶組共享資源，在核心層交換機上，無線控制器L規(guī)格不會成為用戶管理瓶頸。3)實現真正任意地點漫游接入，授權名稱(用戶組)和授權內容分離，可房和南區(qū)機房，因此建議16臺策略系統(tǒng)服務器集中式部署在機房里(2個機房各部署8臺服務器),同時為了保證Portal認證的高可靠性，建議在策略系統(tǒng)服務器前各部署1臺負載均衡設備。策略系統(tǒng)r服務器部署示意圖如下：口如上圖所示，每個機房的負載均衡設備作為負載均衡器將后面策略系統(tǒng)的Portal服務器統(tǒng)一發(fā)布一個虛擬IP地址，用戶Portal認證時使用該虛擬IP地臺的Portal服務器。2個機房的Portal服務器互為備份，提高用戶接入認證的以覆蓋房山區(qū)14萬師生以及學生的網絡應用以及管理，在網絡改造以及建設的對園區(qū)無線網絡的無線資源(無線控制器/無線接入點)進室口1室口1◆設備在拓撲圖位置與展廳位置一致；TopN應用流量(餅圖，存量)TopN會話流量(餅圖，存量)TopNSLA指標(表格，存量)(餅圖，存量)(曲線圖，存量)TopN區(qū)域統(tǒng)計(表格，存量)內存利用率(%)-Top10TopN接口流量(表格，存量)全網無線資源統(tǒng)計(餅圖，存量)黑*s1-aegonLocalNMSvSwitchoWndowXTemgtFTP-sen,1NOXNewXP.594_統(tǒng)一Topo:全網自動發(fā)現，無線接入點至有線設備管理無中斷，狀態(tài)實時源1.零配置設備接入GE1/0/1-!aeMyseMehon25中t2**NMS-TMP2物理拓撲直觀顯示使能了IPCA的設備、鏈路丟包狀態(tài)等信息，從TIP信息ummw四01地口D算加該專警表明本次備份配置交件到服務器失數。如果該告警多次出現，可能是配置錯誤或者研路故障，請檢查配置和同絡情況。,服務器不可達?！っ艽a不正確。,用戶名不存在或者服務器路徑不存在。1.測試服務器是否可達，使用plng命令查看客戶端與服務器之間是否可以Pug。2使用設備做為客戶端，訪間服務器。3.如果服務器路徑配置錯誤，請重研配置相應參數。*T12456數量數量POE交換機AC設備1111網量1.計即2勝21m/2042鞋21m/204h業(yè)外管理無線網絡問題占日常故障的25%,這些問題多種多樣，難以定位，產品提供姓面交換機路由器統(tǒng)一存儲單存儲節(jié)點可以通過掛載磁盤柜的級聯支持PB級數據存儲統(tǒng)一采集版保存，方便后續(xù)查詢。查詢結果可導出為Excel、CSV、TXT類型文件，方便用日志類型攻擊防范日志開始結束時間、日志級別、攻擊類型、接口、攻擊源IP地址、攻擊目的IP地址、關鍵字查詢；包過濾日志開始結束時間、日志級別、策略包過濾、源IP/Port、目的IP/Port、VPN實例、策略ID、安全域間、域間方向(出/入方向)、過濾結果、關鍵字查詢；插件阻斷日志開始結束時間、日志級別、過濾類型(無線控制器tiveX/無線接入點plet)、源IP、目的IP、關鍵字查詢；入侵防御日志開始結束時間、告警級別(錯誤/關鍵/警告/通知/信息)、告警協議、動作(丟棄/警告/重置/阻塞)、源IP/目的IP、源VPN實例、目的VPN實例、關鍵字查詢；反病毒日志(HTTP/POP3/SMTP)、源IP/目的IP、關鍵字查詢；開始結束時間、源IP/目的IP、站點、URL、日志類型(分類過濾/黑名單過濾/訪問日志)、關鍵字查詢；郵件過濾日志開始結束時間、郵件審計類型(郵件連接/IP過濾/RBL)、關鍵字查黑名單日志IP地址地址綁定日志IP地址、M無線控制器地址操作命令日志防火墻登陸日志登錄類型(控制臺、FTP、Telnet、Http)、登錄用戶其它升級日志、協議識別日志、資源監(jiān)控日志采集和分析，獲取NAT信息(包括目的IP地址、目的端口、NAT前源IP地址和HTTP、MSN、QQ等業(yè)務),為公安部或SOX等審計提供有效的證據。后源IP、NAT后源端口、NAT后目的IP、NAT后目的端口),下面的例子說明PAT如圖所示，內網用戶訪問外網的服務器0的HTTPNAT后源IP/NAT后源端口：1:57841NATServer方式IP地址轉換示例如圖所示，外網用戶0訪問出于內網的服務器的HTTP服務，NAT設備上已經將內部服務器的HTTP服務做了映射。這個會話的各NAT后目的IP/NAT后目的端口：階段1階段2階段3階段4階段5階段6階段7階段8項目籌備期貨物調配期現場安裝期設備調試期各功能初驗期初步培訓期細化培訓期終驗期細則》,項目進度計劃的實施是對項目部考核的一項重書”,項目部各級主要管理負責人，也要按其職責劃分，層層簽訂“責任書”,(1)項目開工前，必須嚴格根據施工招標書的工期要求，提出項目總進度(2)堅持施工班組抓工序計劃目標，各工區(qū)抓日計劃目標，項目部抓周計(3)堅持會議協調制度。堅持每日現場例會、每周生產調度會、每旬生產(4)加強現場調度施工組織、協調、檢查、反饋及快速反應的作用。(5)對各節(jié)點進度實行目標考核，建立進度目標獎勵基金，對進度目標的(6)積極參加建設單位、監(jiān)理組織的各種協調會，積極配合建設單位和監(jiān)(7)當由于在項目地質條件、自然災害等重大原因造成原目標項目不可能(8)堅持項目領導和技術人員現場24h值班制度，及時協調、處理、解決施工中出現的問題，項目經理和總項目師每月駐守工地不少于28d,且兩人不得(9)采取目標管理、網絡技術等現代化管理方法，使施工組織更加全面和2.2.2.確保工期的主要技術措施1、編制合理詳細的進度計劃：施工進度網絡計劃，動態(tài)管理，實際施工過2.2.3.人員保證措施2.2.4.設備保證措施2.2.5.設備及材料供應保證措施2.2.6.影響工期因素的應急回補措施本項目地理位置決定工期間不可避免受到交通的影響，為解決設備及材料進出場，應保證組織具有搶險救急的運輸公司來保證設備及材料進場。項目經理部成立以項目經理和技術負責人為首的接口協調管理小組，組織機構框圖見下圖：與本工程以外的外部工術施技部部合同”物資部室在施工過程中要及時與用戶溝通，通過用戶協調各方關系，具體做到：(1)成立以項目經理為組長的對外聯系小組，負責與用戶配合協調工作。(2)施工中發(fā)現的新問題、新情況由項目經理向用戶代表提出并通過用戶(3)在按圖施工、服從監(jiān)理的前提下組織施工，處處為用戶著想，始終把在設計會審和交底階段，是施工單位理解\熟悉設計意圖的重要階段，因此以人為本，遵法守規(guī)，科學管理，精心組織，確保產品讓用戶及政府滿意嚴格按照用戶要求標準施工，項目合格率達到100%,優(yōu)良率達到95%以上，項目經理部設質量安全環(huán)保部，配1名專職安全質量檢查項目師，在施工過檢、互檢、交接檢"的"三檢"制度的基礎上，認真接受建設單位質量監(jiān)督和監(jiān)項目經理總部項目經理總部項目總工程師2.4.3.施工過程質量控制質檢員質檢員質檢員質檢員質檢員試驗叫施工0.從施工進度計劃上保證質量根據施工條件綜合制定合理而經濟的施工總進度計劃和階段性或分項項目施工組織設計(施工方案)對項目概況、施工條件、施工總體布置、施工方施工過程從接到設計圖紙、制定施工方案時即開始，程序如下：設計交底、研究圖紙及說明書→編制工作程序及質量保證計劃→審查批準→施工準備→試團隊具有10多年從業(yè)經驗，積累了豐富的現場實施經驗和技術支持，設備項目管理機構配備情況表項目管理人員證書2.5.3.項目負責人簡歷表一、項目組全體成員開項目組成立會，會中明確本項目啟動、計劃、執(zhí)行、2、項目啟動安排表項目名稱業(yè)務員合同簽訂日期開工日期工程技術人員項目設計人預計執(zhí)行工期項目等級一級施工人員客戶協助人員項目描述準備情況部門經理簽字：財務簽字：工程部簽字：項目名稱中小學無線覆蓋項目施工人員項目啟動會時間地點參會人員工程師部門經理簽字：財務簽字：工程部簽字：備注：此表由項目經理填寫，同時按表內相關聯系人編制項目手冊。工作安排序號產品到貨時間負責人123456789填表人：序號設備名