无线网络建设项目详细内容

目录11项目概述11.1项目名称11.2项目现状11.3项目建设背景21.4项目建设必要性考量41.5项目建设目标41.6项目建设要求41.6.1主要覆盖场所51.6.2主要应用需求72整体设计方案82.1无线校园网覆盖规划82.1.1无线覆盖原则92.1.2射频规划102.1.3SSID和漫游规划122.2行政楼无线网络覆盖规划122.3图书馆无线网络覆盖规划132.4大学城各教学楼和昌岗校区行政办公楼无线网络覆盖规划132.5教学区美术馆、生活区食堂和体育馆无线网络覆盖规划142.6广场、田径场室外区域无线网络覆盖规划143可靠性规划153.1AC1+1备份153.2AP可靠性153.3自动调优163.4负载均衡174安全性规划184.1空口安全184.1.1流氓（Rogue）设备194.1.2恶意攻击204.1.3空口窃听204.2用户安全214.2.1非法访问214.2.2非法用户225网络管理建设方案225.1无线网络管理概况225.2无线网管系统资源分组管理225.3无线网管系统拓扑管理225.4无线网管系统AC设备管理235.5无线网管系统FatAP设备管理235.6无线网管系统FitAP设备管理235.7无线网管系统移动终端管理235.8无线网管系统策略配置235.9无线网管系统RF覆盖拓扑245.10无线网管系统WIDS管理245.11无线网管系统无线报表管理245.12上网用户管理256方案特点256.1智能射频管理256.2智能负载均衡266.3业务QOS支持276.4支持无线入侵检测系统(WIDS)276.5Portal认证支持296.6多业务的安全性306.7IPV6317设备清单和项目预算317.1AP布点详情327.2项目预算358设备技术参数368.1无线控制器368.2高密度三频AP378.3分布式AP本体378.4分布式AP分体378.5放装型双频AP388.6室外型AP388.7面板式AP398.88口PoE交换机408.924口PoE交换机408.10汇聚交换机418.11计费服务器及网络计费管理平台系统448.12临时用户无线接入控制服务器及控制系统468.13网络运维管理平台488.14无线业务管理平台508.15DHCP智能管理平台519结构化综合布线的设计及设计原则519.1设计标准529.2设计原则539.3系统设计方案539.3.1整体布线要求539.3.2布线材料、设备的具体要求与实施规范559.3.3综合布线的保用1项目概述1.1项目名称广州美术学院现代化教学无线网络环境建设项目1.2项目现状广州美术学院现有昌岗和大学城两个校区，总占地面积564亩，总建筑面积36.25万平方米，两校区均已布了有线网络，校区通过光纤互连，具体的网络拓扑图如图1所示：（图1）1.3项目建设背景在信息化、网络化迅速发展，尤其是珠三角地区经济社会转型的新时期，设计学科的发展又面临着新的机遇与挑战。学校审时度势，对设计学科的发展进行了新的规划与调整。在治理结构上，将原有的设计学院一分为三，根据学群特点成立了工业设计学院、建筑艺术设计学院、视觉艺术设计学院；在人才培养模式与教学方式上，借鉴国内外经验，进一步深化了以产学研相结合的教学特色，由原有的课题制向工作室制转变；在设备与教学条件上，秉着“适度超前，以共享为主”的原则进行了优化整合和重点建设。进一步培养和提高教师制作和使用多媒体课件、运用信息技术开展教学活动的能力，培养和提高学生通过计算机和多媒体课件学习的能力，以及利用网络资源进行学习的能力。以艺术学科的网络基础建设项目为契机，建立起一个面向全校师生员工的教学、行政办公管理及信息服务的体系，重点实现艺术院校特色教学手段的改革。它的建立和推广有利于实现学校信息资源的整合与共享，有助于丰富我校多种教学手段，有利于提高各行政部门的工作效率，有益于改善学校领导决策。推动我校数字化校园建设，以数据整合、共享、实时互动与综合信息服务为核心内容，努力实现教学、科研、管理和生活的数字化。为我校“数字校园”的后续建设奠定坚实的基础。1.4项目建设必要性考量构建校园无线网络的主要目的是为了丰富校园网接入的途径，从而更快捷地接入网络，以便随时了解相关的信息和更好地实现资源共享。局域网内部的信息能迅速、有效地传输，通过网络可以非常方便的共享内部的信息资源。校内的办公OA、邮件、财务等应用系统都要在校园网上传输，网络是对各项业务正常稳定进行通信的保证，由于现在移动设备的不断丰富，增加了对网络接入的需求，现有网络在地域位置的局限性，以及不能够快速接入网络，造成实时性的滞后。然而借助无线网络的优势，可以丰富校内用户随时接入网络，进而能够及时访问和处理信息。(1)实用性无线局域网的网络速度与以太网相当，一个高性能AP最多可支持多达上五、六十个用户的接入，具有高移动性，通信范围不受环境条件的限制，拓宽了网络的传输范围。在有线网络中，网络设备的安放位置受网络信息点位置的限制。而一旦WLAN建成后，在无线网络的信号覆盖区域内，任何一个位置都可以接入网络。(2)先进性设计立足先进技术，采用成熟科技，以适应业务数据流传输以及多媒体信息的传输，并具有长足的发展能力，以适应未来网络技术的发展。使用主流网络产品保证用户的使用。WLAN有多种配置方式，能够根据需要灵活选择。这样，WLAN就能胜任从只有几个用户的小型局域网到上千用户的大型网络，并且能够提供像“漫游(Roaming)”等有线网络无法提供的特性，可以保证业务的高效，移动过程中的不间断。(3)可靠性本网络方案选用高可靠性的网络设备，并在设计上从物理层、链路层到网络层均采用备份冗余式的设计，保证了基础网络的可靠性的同时，也保证了无线网络系统的可靠性。(4)无线网络接入的安全性无线网络具有抗干扰性强、保密性好的特点。对于有线局域网中的诸多安全问题，在无线局域网中基本上可以避免。与此同时，无线产品将提供WEP/WPA/WPA2数据加密，具有MAC地址存取控制功能，从而为数据的稳定传输提供了安全的信息通道。同时可以在原有的有线基础网络中，通过使用适当的安全技术实现从应用到底层系统整体安全,使系统达到端到端的安全，保证各系统之间的安全访问。(5)易于管理和维护一般在网络建设中，施工周期最长、对周边环境影响最大的，就是网络布线施工工程。在施工过程中，往往需要破墙掘地、穿线架管。而WLAN最大的优势就是免去或减少了网络布线的工作量，一般只要安装一个或多个接入点(AccessPoint)设备，就可建立覆盖整个建筑或地区的局域网络。在配备有控制器系统的无线网络中，对于每个接入点（AccessPoint）的配置是透明的，不需要进行维护的。在整个维护过程中，只需要对无线控制器进行维护，即可完成对整个无线网络的维护，在某种意义上，这将会减轻很多网络维护的工作量，同时避免了复杂性。(6)可管理性系统以控制台方式方便实现对系统各资源的监控。可实现资产管理及对各种相应服务器、性能的监控。目前，无线网络在国内已经被越来越多的用户接受，无论是内部信息点的分布设计、建筑物间的网络连接，无线网络技术都能发挥作用。此外，无线网络环境的引入，也为崭新的无线多媒体提供了应用平台，将信息化建设引入新的天地。据调查，在大学城中其他高校都已建设了无线网络并投入使用。虽然在办公室内加装小路由器也能实现无线的覆盖，但这种方法很不利于网络的管理，而且稳定性较差。1.5项目建设目标广州美术学院现代化教学无线网络环境建设目标为根据自身的业务应用需求与科研计划，把无线校园定位于一个多业务承载的服务型网络、新技术科研的平台，希望借助无线网络促进教学和科研发展，进一步拓展研究空间、提升校园网络环境，提高管理水平和效率，推动学校信息化建设、并通过基于无线技术的新应用使校园业务能够更大程度得以拓展。构建一个智能、易用、好用的无线校园网。1.6项目建设要求无线网络建设要充分利用现有资源，与有线网络实现统一认证计费、统一资源共享；覆盖学校教学楼、办公楼、图书馆和广场等场所；实现本、智能手机、平板电脑等多种无线终端的灵活接入。无线网络主要的覆盖场所和应用需求如下。1.6.1主要覆盖场所主要覆盖场所中，笔记本、台式计算机、智能手机、平板电脑等多种类型无线终端，802.11a、802.11b、802.11g、802.11n等多种标准的终端均可便捷接入，满足我校师生对无线网络接入的需求。大学城行政楼办公区重点覆盖区，满足100%用户并发上网需求，办公人员同时上网，并发时每个用户接入速率不低于2Mbps；双频覆盖，2.4GHz和5GHz边缘场强均大于-65dBm图书馆重点覆盖区，满足40%并发上网需求，并发时每个用户接入速率不低于1Mbps；三频覆盖，2.4GHz和5GHz边缘场强均大于-65dBm大学城教学楼A、B、C、D、E、J栋和昌岗校区办公楼重点覆盖区，满足40%并发上网需求，并发时每个用户接入速率不低于1Mbps；双频或高密度三频覆盖，2.4GHz和5GHz边缘场强均大于-70dBm生活区食堂、体育馆、教学区美术馆一般覆盖区域，满足同时师生15%并发上网需求，并发时每个用户接入速率不低于1Mbps；高密度三频覆盖，2.4GHz和5GHz边缘场强均大于-70dBm广场、田径场室外区域一般覆盖区域，双频覆盖，2.4GHz，边缘场强均大于-75dBm。1.6.2主要应用需求服务质量QoS无线漫游：覆盖区域内无线漫游，用户终端从一个AP覆盖范围移动到另一个AP覆盖范围，无需重新登录和认证；精细化控制：老师、学生、访客不同的角色拥护不同的权限，教师和学生用户之间做好安全访问控制策略；多用户调度：AP能感知接入用户数量，灵活调整物理信道竞争参数，降低碰撞几率，避免过多的用户接入同一AP，保障服务质量和体验。安全防护无线安全加密：无线信号是开放的，任何人都可以接受到，存在数据被窃听，篡改等安全隐患，无线网络需要支持WEP、WPA/WPA2、WAPI等加密认证方式，充分保证学校师生重要信息的私密性，数据传输的安全性。无线入侵防护：为了更好的保证网络的安全性和可靠性，无线网需要支持泛洪攻击、Spoof攻击、暴力PSK破解、WeakIV等WIDS/WIPS安全防护。稳定可靠·AP设备：室外AP设备的防尘、防水的防护等级达到IP67要求，同时AP自身内置5kV防雷器，减少工程施工和网络运维的困难。AC设备：AC支持1+1热备份，解决AC单点故障问题。网络链路：本地转发模式下，若遇到CAPWAP隧道中断、AC故障、控制链路错误等问题时，AP可进入半自治状态，继续对终端业务数据进行转发，业务不中断，保障用户体验。认证计费认证方式：认证系统需要支持Portal、MAC、IP等多种认证方式，以满足不同场景下，不同群体（老师，学生，访客）的接入认证需求。计费方式：需要针对不同的群体实现差异化的灵活计费方式，如基于时长（包月、包年）与有线网络兼容新建WLAN网络必须考虑与原有有线网络之间的兼容，实现与现有系统使用同一个账号、密码进行认证，并获取相同的访问权限，与有线网络使用同一个账号、密码进行计费。运行维护网络监控：通过网管软件查看当前设备物理拓扑，直接显示设备间连接关系，监控设备及链路状态。通过WLAN业务拓扑监控无线设备告警、状态、网络设备逻辑结构，包括AC、AP、终端用户、非法AP的逻辑连接关系及其详细信息，并在拓扑提供一定故障诊断处理能力。故障恢复：通过网管软件远程批量重启AP，恢复AP配置。通过网管软件快速完成AP替换，替换后业务不变。2整体设计方案不同高校现有有线网络架构的差异，使得各高校的无线网络建设存在一定的差异。我校无线网络建设是对有线网络的有益补充，整体选择不改变有线网络，单独将无线网络通过光纤直接连接到核心网络叠加上去。本次无线网络建设项目的方案如图2所示：（图2）无线校园建设项目依托现有校园有线网络，在接入部分增加POE交换机给AP供电和接入网络。行政楼、A栋楼、D栋楼、E栋东边和E栋西边楼各增加一台汇聚，每个楼层POE交换机通过千兆光纤与汇聚交换机连接，汇聚交换机通过千兆光纤链路与核心交换机连接。B栋东西楼、C栋东西楼、J栋楼、美术馆和图书馆各接入交换机级联后通过千兆光纤与核心交换机连接，核心部分采用现有资源，大学城校区采用2台无线控制器，无线控制器之间采用千兆链路做热备，保证无线网络的稳定可靠，整体的网络架构采用FitAP+POE+AC方式。在认证方面，校内用户认证，为校内已有账号的有线用户提供webPortal或者客户端认证，提供个性化页面的设计及自助管理平台，原有校园公共区域认证的用户平滑迁移到基于ORACEL版本的B/S平台，数据迁移完后取消基于MSSQL的C/S平台。新增一台无线认证网关，串接方式，可用光口也可用电口互联，做无线接入认证，为临时用户或WIFI用户（无校内账号）提供微信认证和短信认证功能，临时用户或WIFI用户需要关注广美的微信公众服务号，然后对接完成微信关注一键认证功能，方便用户使用WIFI网络；无校内账号用户也是同样道理，没安装微信的用户可以通过输入手机号码+动态密码验证，通过短信网关平台进行对接；另外新网关启用本地用户认证优先，用户提交账号密码时如果是校内用户则启用RADIUS认证指向到认证服务器进行账号认证，如果是手机或微信用户则指向到私有云平台进行认证。新增一套DHCP智能管理系统，对IP地址进行智能化、可视化管理；在行政楼办公区域实行无感知认证方式。行政办公楼的用户相对固定当采用Portal认证时，用户每次接入WLAN网络时都需要在Portal页面中输入用户账号/密码信息，操作较为不便。特别是当前使用WIFI网络的Pad、智能手机等终端设备越来越多，而此类终端受到屏幕、浏览器等资源限制，在Portal页面中输入用户名/密码等信息时极为不便，使得用户上网体验大打折扣。针对此问题，特提出Portal无感知认证解决方案，Portal用户首次接入，自动完成MAC绑定，大大简化Portal接入流程，提升用户的接入体验。如图3、图4所示：短信认证微信认证（图3）（图4）2.1无线校园网覆盖规划2.1.1无线覆盖原则使用AP布点覆盖，需考虑及遵循以下几个问题和原则：·需要有线缆资源（五类或六类线）。·如果在一条走廊里只安装一个AP，则尽量把AP安放在走廊的中央位置；如果同一空间安装两个AP，则可以放在两个对角上。·保持信号穿过墙壁和天花板的数量最小。2.4G信号能够穿透墙壁和天花板，然而，每一面墙壁和天花板都将使AP信号的覆盖范围减少1到30米。应放置AP于合适的位置，使墙壁和天花板阻碍信号的路径最短，损耗最小。·考虑AP和覆盖区域之间直线连接。注意AP的放置位置，要尽量使信号能够垂直的穿过（90度角）墙壁。·不同的建筑材料产生不同的传输效果。由金属的框架或门构成的建筑物会使WLAN无线信号的传输距离变小。放置AP的位置应使信号通过干燥的墙壁或敞开的门，避免放置在使信号必须通过金属材料的位置。·如果是室外型AP还需要考虑立柱的问题。·AP天线方向可调，安装AP的位置应确保天线主波束方向正对覆盖目标区域，保证良好的覆盖效果。AP安装位置需远离电子设备（起码1-2米），例如微波炉、监视器、电机等。2.1.2射频规划与IP地址规划一样，WLAN信道是WLAN网络设计中重要一环，无线校园网必须对WLAN信道进行统一规划。WLAN信道规划的好坏，影响到无线网络的带宽、无线网络的性能、无线网络的扩展以及无线网络的抗干扰能力，也必将直接影响到无线网络的用户体验。频点划分为保证信道之间不相互干扰，大型无线网络必须对WLAN信道进行统一规划并实施。WLAN系统主要应用两个频段：2.4GHz和5.0GHz。2.4G频段具体频率范围为2.4～2.4835GHz的连续频谱，信道编号1～14，非重叠信道共有三个，一般选取1、6、11这三个非重叠信道。5.0G频段分配的频谱并不连续，主要有两段：5.15～5.35GHz、5.725GHz～5.85GHz。不重叠信道在5.15～5.35GHz频段有8个，分别为36、40、44、48、52、56、60、64；在5.725GHz～5.85GHz频段有4个，分别为149、153、157、161，可以根据实际部署情况，选择相应的非重叠信道。信道覆盖WLAN信道规划需遵循两个原则：蜂窝覆盖、信道间隔。根据覆盖密度、干扰情况、选择2.4G/5G单频或双频覆盖。AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道，避免信号相互干扰；一般情况单独使用2.4G或5.0G的频段，对于高密度用户接入的场所，可以启用双频进行覆盖，以便提供更好的接入能力。单频覆盖和双频覆的示意图如图5所示。（图5）2.1.3SSID和漫游规划SSID规划AP可以配置多个SSID，单频AP可支持16个SSID，双频AP可支持32个SSID。通过配置多个SSID，AC针对不同的SSID下发不同的策略，SSID根据策略进行终端与业务管理。无线网络可按照用户群体划分不同的SSID，如图6所示，针对三种不同的用户群体，在AP上设置了3个SSID：SSID1用于学生、SSID2用于访客和SSID3用于教师。（图6）SSID和VLAN的映射通常，以太网中管理VLAN和业务VLAN是分离的。业务VLAN主要用于区分不同的业务类型或用户群体。在WLAN网络中SSID也同样可以承担相应的工作。因此，在SSID的规划中必须综合考虑VLAN与SSID的映射关系。业务VLAN应根据实际业务需要与SSID匹配映射关系，映射关系有1:1、1:N、N:1、N:N四种。漫游规划漫游是指用户在部署了WLAN网络的场所移动时，用户终端可以从一个AP的覆盖范围移动到另一个AP的覆盖范围，用户无需重新登录和认证，如图7所示，WLAN网络漫游中需要了解以下两点：1、漫游过程中SSID必须一致，且使用相同的安全设置。2、漫游中选择连接哪个AP是无线客户端的动作，这个切换的时机和快慢受无线客户端的芯片或设置的影响，所以在漫游切换过程中会出现不同的终端切换性能有差异。（图7）2.2行政楼无线网络覆盖规划覆盖需求行政楼的无线覆盖主要是满足笔记本+PAD+手机终端的上网需求。具体业务和覆盖需求如下：每层楼有大概30个办公室，每个办公室内要求全覆盖，但是用户同时业务的并发率低，用户密度低，主要满足学校各应用业务系统（OA、财务、人事等系统）的流畅运转，满足教工对教学办公的各种上网需求。设备选型终端主要为笔记本和手机终端，WIFI模式主要为11g/n，但终端多支持5.8G，考虑到以后的扩展，因此选择双频设备；综合以上两点，该场景下选用分布式AP本体+AP分体的部署文字，双频，双空间流。部署方案分布式AP本体安装在楼层的机柜，用AP分体替换每个办公室原有的网络接口，室内信号全覆盖，AP本体进行PoE供电的同时，也能够进行管理和维护。AP本体具备上行接口，在部署过程当中可以发挥接入交换机的作用，与上行汇聚或者核心连接。当分体AP失去关联或者故障的时候可以再本体AP上发现。2.3图书馆无线网络覆盖规划覆盖需求图书馆无线覆盖，主要是为了满足校内师生在图书馆内，登陆图书馆网站、学校网站和部分公共网站（学术新刊论文类网站）的业务需求。细化的业务和覆盖需要如下：提供稳定、流畅的网络速率，保证师生通过个人终端（笔记本电脑+PAD+手机终端）能正常登录图书管网站、学校网站和公共网站，且上网体验良好。图书馆大楼共有三层（第二至第四层）此区域人流量多室内将各放置2个高密度AP；设备选型终端主要为笔记本和手机终端，WIFI模式主要为11g/n，但终端多支持5.8G，考虑到以后的扩展，因此选择双频或三频设备；综合以上两点，该场景下选用放装型AP，三频，双空间流。部署方案放装型AP设备，每个AP大约可以同时满足40-60个用户，室内信号全覆盖。考虑该场景下用户并发率较高，因此将根据建筑的结构对室内安装放装型AP。2.4大学城各教学楼和昌岗校区行政办公楼无线网络覆盖规划覆盖需求教学楼的无线覆盖主要是满足笔记本+PAD+手机终端的上网需求，此区域进行重点覆盖。具体业务和覆盖需求如下：此区域主要满足师生对各种上网的需求，如查阅资料、文件下载、多媒体教学等。设备选型终端主要为笔记本和手机终端，WIFI模式主要为11g/n，但终端多支持5.8G，考虑到以后的扩展，因此选择双频设备；综合以上两点，该场景下选用放装型AP，双频或三频，双空间流。部署方案各个楼层的具体部署计划如下表所示。2.5教学区美术馆、生活区食堂和体育馆无线网络覆盖规划覆盖需求此区域的无线覆盖主要是满足手机终端的上网需求，此区域进行一般覆盖。具体业务和覆盖需求如下：该区域人流量密集，流动性大，无线网络主要满足区域内用户手机上网。设备选型终端主要为手机终端，WIFI模式主要为11g/n，但终端多支持5.8G，考虑到以后的扩展，因此选择双频设备；综合以上两点，该场景下选用放装型AP，双频和三频，双空间流。部署方案大学城美术馆：此区域共四层，每层楼放置9个AP，采用放装型AP+POE。生活区食堂：此区域共二层，每层楼放置4个AP，采用放装型AP+POE。生活区体育馆：此区域内办公室内放置面板式AP和室分AP，场馆区域放置4个高密度AP，走道区域放置1个双频AP，采用放装型AP+POE。2.6广场、田径场室外区域无线网络覆盖规划覆盖需求广场这类场所是高校校园室外覆盖的典型场景。相对于室内环境，室外环境要更加恶劣，部署的AP要面临严寒酷暑，风吹雨淋以及雷电灾害的挑战。无线网络建设的室外覆盖区域为教学区室外田径场、正门广场。细化覆盖需求如下：覆盖范围内，用户通过无线网络可以随时、随地、随意无线上网覆盖范围(室外田径场、广场)内90%的区域信号强度>-75dBm总结此类场景特点：覆盖区域为室外开发空间覆盖区域相对空旷，无密集建筑物遮挡用户的流动性强，上网带宽需求小设备选型此类校园网场景，室外重点覆盖的区域一般在300-500平方米，设备要有防尘，防雨，防雷的能力，应选用防护等级为IP67，内置防雷器，双空间流，11N设备。天线类型室外型AP一般选配室外型定向或全向天线。校园网场景中，单AP的覆盖距离一般为200m-400m。覆盖区域的周边有高层建筑物，将采用定向天线。3可靠性规划无线网络的稳定性被高校普遍关注。一方面是设备的稳定性，AC能够实现倒换后用户无感知的Session级的备份以及常年工作在室外的AP在恶劣环境下的适应能力等都是高校无线网络可靠性关注的重点。另一方面，AP的调优特性可以在个别AP故障或者性能恶化时自动调优，以提升WLAN网络的稳定性；在报告厅，阶梯教室等高密覆盖场所，AP间的负载均衡和5G优先特性对无线网络的稳定性也做出重要贡献。3.1AC1+1备份无线校园网通常规模较大，为了避免AC单点故障的问题，建设采取AC1+1热备份，增加网络的可靠性。本项目采用的无线控制器要求支持毫秒(ms)级业务备份，AP会同时和两台无线控制器建立CAPWAP链路，一台作为主控制器，另外一台作为备份控制器，但只有和主控制器建立的CAPWAP链路处于工作状态。当主控制器异常down机时，备份控制器和主控制器之间的心跳检测机制可以保证在100毫秒(ms)之内检测到主设备的异常，并通知AP将主控制器CAPWAP链路切换，保证控制信号的不间断传送。AC1+1热备如图8所示：（图8）3.2AP可靠性校园内常年工作在室外的AP面临严寒酷暑，风吹雨淋以及雷电灾害的恶劣环境，本次采用室外AP设备的防尘、防水的防护等级达到IP67要求，同时AP自身内置5kV防雷器，减少工程施工和网络运维的困难。3.3自动调优当AP射频环境出现恶化，某个AP故障或新增扩容AP时，需要启动射频自动调优，以增强系统的可靠性和稳定性。建议选择同时支持局部调优和全局调优的AP设备。局部调优可方便的应用于扩容新AP、单点AP故障等局部环境变化而引起的信道环境变化场景，如图9所示。全局调优更多的应用于新建WLAN网络或者大面积信道环境恶化场景。（图9）当AP3掉电或故障时，其邻近AP1和AP4自动感知，并调整发射功率，从而达到补盲的效果。AP3重新上线后，其邻居AP1和AP4的自动的调整发射功率，避免AP与邻居因覆盖区域重叠造成AP间相互干扰。3.4负载均衡无线客户端一般会根据AP信号强度（RSSI）选择AP，这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于WLAN是基于CSMA/CA机制，实现多用户接入，当单台AP接入用户数过多时，用户吞吐率性能会出现急剧下降且稳定性无法保证。负载均衡特性可以按照用户数量和用户流量，将用户分配到同一组但负载不同的AP上，从而实现不同AP之间的负载分担，避免出现某个AP负载过高而使其性能不稳的情况。无线网络负载均衡示例如图10所示：（图10）如图10所示，用户模式：AP1和AP2属于同一个负载均衡组，AP1已接入4个STA，AP2已接入2个STA。AP1与AP2接入STA个数的差值为2，当阈值设置为1时，新接入的STA7被均衡到接入用户数量较少的AP2上。流量模式：AP1和AP2属于同一个负载均衡组，AP1已接入4个STA，AP2已接入2个STA。但AP2上的STA5/STA6承载高带宽业务，总带宽流量30M超过AP1的总带宽8M，当设定阈值为12M，新接入的STA7被均衡到流量负荷较小的AP1上。4安全性规划在部署无线网络需要格外关注无线网络的安全，保障无线网络的安全运行。由于校园中存在大量具备较高技术背景和动手能力强的师生，需要考虑如何解决流氓（Rogue）AP等设备带来的安全隐患？如何防止非法的用户访问行为？怎么禁止非法用户接入网络？怎么防止空口窃听？如何保证AP接入AC的安全？这些安全隐患整体可以分为空口安全和用户安全两类。4.1空口安全空口安全主要来自非法流氓（Rogue）设备、恶意攻击和空口窃听三个方面。空口安全威胁如图11所示：（图11）4.1.1流氓（Rogue）设备高校中可能出现的Rogue设备包括RogueAP，RogueClient，Ad-hoc设备，这些设备对运维的WLAN网络会带来诸多的安全隐患，如干扰，用户和非法AP建立连接等。项目方案要求支持对网络中的Rogue设备（包括AP，Client，Ad-hoc）的进行检测、识别以及反制功能。下面分别从非法设备的监听、识别、判断以及反制四个方面详细阐述，WLAN对非法设备安全的防护。侦听周边设备AP有三种工作模式：接入模式，监听模式和混合模式。接入模式只提供覆盖功能，不提供非法设备监听功能；监听模式只监听，不能接入业务；而混合模式可以在接入业务的同时进行监听。推荐AP工作在混合模式，在接入业务的同时监听周边设备，低成本部署。设备类型识别AP通过监听Beacon，AssociatonRequest，AssociationResponse协议报文和数据报文报文来识别Rogue设备是哪种设备（AP/Adhoc/Client）。监控AP搜集到无线设备后，维护一个无线设备信息列表，并把这些信息上报给AC，在AC上根据一定的规则进行Rogue设备判断。Rogue设备判断当AP设备工作在混合模式或者监听模式时可以实现对整个网络的监控，监控设备包括AP、Client、Adhoc终端、无线网桥等。Rogue设备反制检测到Rogue设备后，可以使能防范、反制功能。反制功能，根据反制的模式，监测模式AP从无线控制器下载攻击列表，并对Rogue设备采取措施，阻止其工作。对RogueAP的反制：监测AP通过使用RogueAP设备的地址发送假的广播解除认证帧来对RogueAP设备进行反制，抑制无线用户和非法AP建立链接。对RogueClient、Adhoc设备的反制：监测AP通过使用RogueClient、Adhoc设备的BSSID、MAC地址发送假的单播解除认证帧，对指定非法Client的进行反制。Rogue设备管理可以与定位功能集合，如在地图上可以查询或者实时显示Rogue设备的位置，为网管人员对网络监管和排障定位提供便捷。示例如图12所示：（图12）4.1.2恶意攻击针对恶意攻击，WLAN拥有多种方式。下面针对高校场景中最常用的flood攻击，WeakIV攻击，Spoof攻击方式，方案中的防御规划和措施如下：Flood攻击检测：当“恶意用户”发送大量的“连接请求报文”至AP时，这些报文会被AP转发到AC设备上进行处理，这样会对内部网络造成冲击。启动Floodattack检测，AC会检测到来自于该恶意用户的Flood攻击，AP会将来自于该用户的报文将全部被丢弃，从而实现了对于网络的安全防御。WeakIV攻击检测：对于Client的数据报文，如果该报文使用了WEP加密算法，需要启动IV检测；AC根据IV的安全性策略判断是否存在WeakIV攻击。Spoof攻击检测：这种攻击的潜在攻击者将以其他设备的名义发送攻击报文。恶意AP或者恶意用户发送一个欺骗的解除认证报文会导致无线客户端下线。AC接受到这种报文时将立刻被定义为欺骗攻击，并阻止该用户。4.1.3空口窃听空口监听往往是高校中那些充满好奇心学生们经常尝试破解的点，需要考虑对空口数据进行加密。常用的空口加密方式有WEP，WPA/WPA2，WAPI等。在最新的实现中，不管是WPA1还是WPA2都可以使用802.1X，使用802.1X时称为WPA企业版，不使用802.1X时称为WPA个人版，或者叫WPA-PSK版。在实际网络部署中，空口加密通常和用户认证一起考虑，在高校中推荐使用Portal+PSK方式部署，加密方式推荐采用CCMP，在网络侧进行配置。4.2用户安全用户安全可以分为合法用户非法地访问其范围以外的资源和非法用户的接入网络两部分，如图13所示：（图13）4.2.1非法访问在高校中根据需要，往往划分了不同的SSID供不同的用户群使用，如外部用户SSID-Guest，内部用户SSID-Student。出于信息安全的需求，往往需要保证来访的访客不能访问高校内的资源。同时高校内的老师和学生之间，或者不同院系之间的学生也可能需要授予不同的访问权限。这些可以通过用户组的方式来实现。用户访问授权用户访问授权可以在本地网络设备授权，也可以通过AAA服务器进行远端授权。一般来说本地授权多用于SOHO或者小型园区的网络架构，并不适合高校这种网络规模较大的园区架构。高校多用远端授权的方式，即通过AAA服务器完成。WLAN用户认证成功后，Radius服务器下发用户分组，将用户进行分类，每个用户分组可以关联对应的ACL规则，通过用户分组和ACL规则的关联，实现对每类用户进行ACL授权信息控制，即同类用户获得相同的授权信息。Radius服务可以利用现有网络的AAA服务也可以新建。用户隔离高校的访客系统推荐使用集中转发的方式，可以增强对访客用户的控制。当外部访客用户和内部用户都采用集中转发时，外部访客用户使用的SSID-Guest与内部用户SSID-Student之间是天然隔离的。当外部访客用户使用集中转发，内部用户都采用本地转发时，外部访客用户使用的SSID-Guest与内部用户SSID-Student之间也是天然隔离。4.2.2非法用户无线解决方案可以支持多种接入认证技术，对接入用户身份进行认证，防止非法用户接入。其中比较典型的有MAC认证、Portal认证、802.1x认证和PPPoE认证。从下面的对比表中可以看到，这几种无线认证在技术实现上各有特色，覆盖了不同用户的接入认证需求。在高校无线网络中以使用Portal认证方式最为常见。5网络管理建设方案5.1无线网络管理概况根据广州美术学院无线网络规模和使用情况，将部署无线网络管理系统，无线网络管理可以提供无线网络监控和全网无线网络设备的配置管理功能，同时还拥有丰富的业务运营管理功能，用以满足无线网管从部署、监控到运营、优化的全过程综合管理功能。5.2无线网管系统资源分组管理无线业务管理组件作为无线业务管理核心，对于网络中的AC、FatAP、FitAP、移动终端等无线设备进行集中管理，全网设备信息和状态一目了然。网络资源通过物理位置、设备类型等多种视图进行查看，视图内分组管理，将规模巨大的无线接入设备有效组织，便于网管维护。5.3无线网管系统拓扑管理无线业务逻辑拓扑使网管直观了解网络部署情况及设备和链路当前状态。物理位置视图可根据不同的方式组织资源，分组拓扑从而有效、真实组织全网资源，使网管对设备提供的业务范围了如指掌，拓扑还可依据需要组织成漫游域-AC域-设备拓扑的多级层次，逐级下钻；物理位置视图中网管可根据需要创建多纬度、多层次的物理位置结构，并在指定户型底图上根据真实情况摆放设备，逼近真实网络环境。同时，无线管理组件还支持AC与FitAP之间的物理拓扑展示，它可以提供逼真的模拟现实物理拓扑，便于在AP无法注册时快速定位具体故障位置。5.4无线网管系统AC设备管理无线业务管理组件提供FatAP和AC+FitAP两种无线网络部署方案的管理能力。在AC+FitAP的部署方案中AC设备为网络组成的重要部分，负责无线通信的控制和调度。无线业务管理组件提供对AC设备MAC模式等基本无线业务参数的管理功能，配置Radio策略和服务策略，并能查看其关联的FitAP设备基本信息和详细列表，与其它组件配合，系统还能提供AC设备的故障、性能监控等基本管理功能和其它业务，实现设备有线特性和无线特性的融合管理。5.5无线网管系统FatAP设备管理在FatAP无线部署方案中，整个无线业务全部通过FatAP实现。无线业务管理组件提供对FatAP设备的国家代码、在线移动终端信息、终端时间间隔等基本无线业务参数的管理功能，并能够进行Radio信息的浏览和配置及服务策略的管理，查看与该设备各Radio连接的移动终端信息。与其它组件配合，系统还能提供AC设备的故障、性能监控等基本管理功能和其它业务，实现设备有线特性和无线特性的融合管理。5.6无线网管系统FitAP设备管理FitAP设备必须与AC设备配合组网，提供无线接入功能。对于FitAP设备无线业务管理组件提供AP在线状态、AP使用模板、所在AC设备、MAC模式等基本无线业务管理功能，并可查看与该设备各Radio连接的移动终端信息，在FitAP上可以进行Radio管理和BSS信息浏览。5.7无线网管系统移动终端管理无线业务管理组件可以对移动终端的信息进行查看，包括MAC地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在AC设备、所在AP设备等，并能查看各移动终端的全部漫游记录，使网管随时了解最终接入用户的情况，并对其接入轨迹进行审计。5.8无线网管系统策略配置无线业务管理组件提供服务策略和Radio策略的管理，通过模板的方式对设备进行批量管理，使网管快速完成网络配置。策略模板除手工添加外，还提供从文件导入和设备导入功能，网管可以从系统导出或自定义的策略文件导入模板，也可从某一标准配置设备上导入配置形成模板，下发到其它设备，完成策略的批量克隆功能，极大地减少网管的维护工作量，降低维护成本。5.9无线网管系统RF覆盖拓扑组件支持以楼层、房间为单位的位置拓扑，并支持在位置拓扑上按Radio类型显示无线信号覆盖范围。它可以真实显示设备的RF覆盖范围，帮助管理员进行部署规划，并可对不断变化的射频环境提供实时解析。通过无线网管，可以把射频管理工作变成简单的日常工作。5.10无线网管系统WIDS管理无线网管同时支持准许OUI设置、合法SSID设置、Ignore地址设置、攻击地址设置、信道扫描设置等检测策略设置，支持非法AP和非法STA的列表显示，并可以对这些非法设备进行攻击。5.11无线网管系统无线报表管理内置丰富的无线业务报表，并支持灵活的用户自定义报表功能。网管可以根据自己的需要，选取不同的展示内容和展示格式，从而保证报表满足管理日常工作的要求。5.12上网用户管理此方案中有三种不同身份的用户：教工用户、学生用户、临时用户，提供三个不同身份的SSID，根据不同的SSID把数据转向不同的出口。教工和临时用户走电信500M的线路，学生用户走电信翼起来线路，用户在校内可漫游。临时用户主要用于公用场所（美术馆、体育馆、饭堂、广场），可通过微信或者短信认证。教工和学生用户直接用正式账号登录认证。教学区公用教室在上课期间可限制用户上网。认证计费系统能与课表系统关联，实现独立的学生课程时间的上网控制策略，支持课表对接控制模块的总开关控制。在管理后台可查看用户在线情况并可对用户进行各种管理操作。用户管理如图14所示：（图14）6方案特点6.1智能射频管理每个AP上电时，无线控制器会根据AP的邻居关系动态调整AP工作的信道和发射功率，在保证覆盖的前提下保证AP间的干扰最小。当AP覆盖区域受到外界强信号干扰时，无线控制器会控制AP自动切换到合适的工作信道以规避干扰信号。当覆盖区域内的某个AP发生故障而造成覆盖黑洞时，无线控制器会自动调整相邻的AP的发射功率以消除黑洞区域，当故障AP恢复工作后无线控制器可以自动调整邻居AP的发射功率恢复原始工作状态。6.2智能负载均衡无线控制器可以设定AP间对接入用户进行负载分担，负载分担的策略可以是基于AP接入的用户数量，AP流量负载情况当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP。所选产品需创新性地支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误均衡的出现。示例如图15所示：（图15）6.3业务QOS支持无线产品支持多种服务质量Qos，支持802.11e中的EDCF优先级，支持以太网口支持802.1p识别和标记。支持优先级队列及映射、流量限制、流分类。并且能够对QOS策略映射不同SSID/VLAN。（图16）6.4支持无线入侵检测系统(WIDS)WLAN解决方案支持无线入侵检测系统(WIDS)，WIDS工作原理如下：·无线控制器可以指定AP工作在两种工作模式。模式一、AP负责监听空口所有信道的信息，但不负责用户报文的转发。模式二、AP在为用户转发数据的同时定期切换到其他信道监听信息，AP设备负责把监听到的无线设备和有攻击行为的无线设备上报给无线控制器。·无线控制器根据AP上报的设备信息识别非法设备。·无线控制器通过各种途径提供各种声、光、电的报警。·当有用户试图连接到非法的AP上时，用户会发起‘关联请求’，无线控制器通过AP收到这个请求时，指挥周边的AP发‘解除关联’的指令，确保用户不会连接到非法AP。（图17）6.5Portal认证支持Portal认证又称为强制WEB认证，以其新业务支撑能力强大、无需安装客户软件、与组网设备无关等特点，受到越来越多用户的欢迎。Portal认证业务可以为管理者提供方便的管理功能，如要求所有的用户都到门户网站去认证，门户网站可以开展广告、信息服务、个性化的业务等，为信息传播提供一个良好的载体。Portal功能特点:·不需要安装客户端软件相对于其他的认证方式，Portal认证通过网页即可实现认证，无需安装客户端。不但减少了用户机器的负担，而且方便了上网用户的使用，同时管理者也不用逐一为每个上网用户安装和升级客户端软件，极大减轻管理难度。·可对在线用户进行实时检测用户认证通过后，PortalServer和用户之间采用心跳机制保持通信，当终端用户的机器出现异常时，比如：死机、网络断线、异常关闭浏览器等情况出现时，PortalServer就可以及时发现用户侧的问题，并通知设备将此终端用户下线并且停止计费；同时PortalServer支持开启或者关闭心跳，也可以设置心跳的间隔和心跳超时时长，这种功能使心跳检测更加灵活，大大提高了计费精度和对复杂的网络的适应能力。·具有按用户接入端口分组的功能，可为不同组用户提供不同的配置Portal认证可以根据用户所在交换机的端口以及用户所在的IP地址池，将用户划分为不同的组，每个组都可以设置不同的认证主页、不同的认证方式，从而方便对不同的用户进行管理。同时Portal所有的认证页面都使用了动态页面技术，管理员可以根据不同用户群的特点，定制特色认证页面，极大提高用户使用满意度。·支持二次地址分配和NAT功能为了减少公网IP地址资源的浪费，Portal通过与设备的配合，使用户在认证前使用的是私网IP，认证成功后再分配公网IP，从而保证了公网IP地址的更加合理的应用。如果用户的IP地址经过了NAT转换，再经过Portal服务进行认证，Portal服务器支持开启NAT功能，可以为用户下载一个APPLET，获取用户的实际IP地址，再通过设备进行认证。·支持认证窗口的最小化功能用户在认证通过后，Portal支持在线窗口可以最小化到任务栏，以减少对用户上网的影响。·防止窗口过滤的功能很多上网用户出于安全的考虑或者防止网上的垃圾广告，会安装个人防火墙或者窗口过滤工具，来防止IE弹出窗口。如果用户的IE开启了窗口过滤的功能，Portal在弹出认证成功窗口时，会进行窗口过滤的检测，从而防止由于窗口过滤而无法认证成功的情况。6.6多业务的安全性FitAP解决方案提供多种业务不同网络层面的安全保障，体现在： 层次体系 主要技术 解决的问题 物理接入 WEP64/128、TKIP、CCMP加密可升级支持WAPI加密 防止无线报文被监听和篡改 SSID隐藏 解决不明用户访问网络 逻辑链路 802.1x/PSK/MAC/Portal多种认证方式的混合接入802.1x支持PEAP/TLS/TTLS/SIM多种模式可升级支持WAPI认证 用户身份鉴别和安全准入 动态下发用户的权限 业务隔离 Hotspot用户隔离 限制用户互访 黑名单 限制恶意用户 网络 无线入侵检测系统 非法设备的检测、无线攻击的告警和规避 安全策略在无线控制器统一部署 避免在大量的无线接入点部署策略 AC和AP间的CAPWAP隧道下行流量限速 防范外界对AP的数据流量攻击 IPSECVPN 端到端的安全加密 资源绑写（MAC、ESS、VLAN、Port） 尽可能防止假冒 设备 AP本地不再保存配置信息 避免设备丢失造成配置泄漏 AP身份认证 只有合法的AP才能和无线控制器建立关联 AP支持多无线控制器的冗余备份 无线控制器down机不会造成无线网络的瘫痪 网管 无线安全策略配置 无线安全策略的统一部署 非法设备监控和告警 非法设备的检测、无线攻击的告警和规避 设备信道调整告警 了解设备遭受干扰后的信道调整情况6.7IPV6为了适应下一代IP网络的部署要求，所选的FitAP能够同时满足IPv4和IPv6两种不同网络的组网要求（图18所示），为了简化用户配置这种适应能力不需要用户配置干预而是自适应调整。（图18）作为FitAP的缺省发现方式FitAP会首先作为IPv4节点发起无线控制器发现过程，当发现过程失败以后，FitAP会切换到IPv6节点方式继续无线控制器发现过程。FitAP会在以下两种情况下切换到IPv6模式：·FitAP无法从DHCPserver获取到IPv4网络地址·FitAP在IPv4网络没有无线控制器响应FitAP的发现请求·FitAP在IPv4网络中和所有的无线控制器建立连接失败7设备清单和项目预算7.1AP布点详情7.2项目预算 广州美术学院现代化教学无线网络环境建设项目预算清单 序号 产品名称 产品内容 数量 单价(RMB) 总价(RMB) 1 无线控制器 　 　 　 　 　 1.1 无线控制器(含license授权) 2 80,000.00 160,000.00 　 1.2 网络部署督导服务(300AP) 1 18,000.00 18,000.00 　 1.3 300WAC电源模块 4 1,000.00 4,000.00 　 1.4 SFP+万兆模块(850nm,300m,LC) 8 1,800.00 14,400.00 　 小计 无线控制器 　 　 196,400.00 2 高密AP 　 　 　 　 　 2.1 内置天线三频八流802.11ac/n802.11acwave2标准无线AP 127 5,400.00 685,800.00 　 小计 高密AP 　 　 685,800.00 3 分布式AP本体 　 　 　 　 　 3.1 分布式AP本体 6 7,500.00 45,000.00 　 小计 分布式AP本体 　 　 45,000.00 4 分布式AP分体 　 　 　 　 　 4.1 内置天线双频802.11ac/n面板型分布式AP分体 100 1,050.00 105,000.00 　 小计 分布式AP分体 　 　 105,000.00 5 放装型双频AP 　 　 　 　 　 5.1 内置天线双频四流802.11ac/n802.11acwave2标准无线AP 128 2,700.00 345,600.00 　 小计 放装型双频AP 　 　 345,600.00 6 室外AP 　 　 　 　 　 6.1 802.11ac无线局域网室外型双频大功率接入点 5 6,600.00 33,000.00 　 6.2 天馈避雷器 20 255.00 5,100.00 　 6.3 光纤连接器 5 190.00 950.00 　 6.4 单端口大功率POE注入单元 5 480.00 2,400.00 　 6.5 射频电缆 20 40.00 800.00 　 6.6 室外AP安装组件 5 600.00 3,000.00 　 6.7 智能型双频MIMO全向天线 5 690.00 3,450.00 　 小计 室外AP 　 　 48,700.00 7 面板AP 　 　 　 　 　 7.1 内置天线双频四流802.11ac/n802.11acwave2标准面板型AP 12 1,650.00 19,800.00 　 小计 面板AP 　 　 19,800.00 8 8口POE交换机 　 　 　 　 　 8.1 8口以太网POE交换机主机(8GE+2SFP+PoE,交流供电) 27 5,000.00 135,000.00 　 8.2 光模块-SFP-GE-单模模块-(1310nm,10km,LC) 56 990.00 55,440.00 　 小计 8口POE交换机 　 　 190,440.00 9 24口POE交换机 　 　 　 　 　 9.1 24口以太网POE交换机主机（支持24个10/100/1000BASE-T电口,支持2个10GBASE-XSFP+端口,支持2个10GBASE-T电口） 12 11,000.00 132,000.00 　 9.2 光模块-SFP-GE-单模模块-(1310nm,10km,LC) 24 990.00 23,760.00 　 小计 24口POE交换机 　 　 155,760.00 10 汇聚交换机 　 　 　 　 　 10.1 汇聚交换机主机(24SFP+8GECombo+4SFPPlus+1Slot) 6 15,000.00 90,000.00 　 10.2 150W资产管理交流电源模块 12 1,470.00 17,640.00 　 10.3 风扇模块(电源侧出风) 12 900.00 10,800.00 　 10.4 光模块-SFP-GE-单模模块-(1310nm,10km,LC) 12 990.00 11,880.00 　 小计 汇聚交换机 　 　 130,320.00 11 计费服务器 　 　 　 　 　 11.1 BRAS并发:20000,10GEX4、GEx8,Console口（RS232）x1（双电源）无感知认证，满配相应光纤模块 1 138,000.00 138,000.00 　 11.2 基于ORACLE10G或SQL数据库的宽带接入认证计费管理系统,注册账号数：100000 1 60,000.00 60,000.00 　 小计 计费服务器 　 　 198,000.00 12 临时用户无线接入控制服务器 　 　 　 　 　 12.1 2U万兆单向10G，2万并发，10GEX2、GEx4,Console口（RS232）x1，内置256GSSD硬盘，（双电源），无感知认证，，满配相应光纤模块 1 100,000.00 100,000.00 　 12.2 配套管理系统，支持2万并发，10万账号，支付短信或微信认证 1 80,000.00 80,000.00 　 小计 临时用户无线接入控制服务器 　 　 180,000.00 13 网络运维管理系统 　 　 　 　 　 13.1 智能管理平台标准版（含License） 1 15,000.00 15,000.00 　 小计 网络运维管理系统 　 　 15,000.00 14 无线业务管理平台 　 　 　 　 　 14.1 无线业务管理组件（含License） 1 6,000.00 6,000.00 　 小计 无线业务管理平台 　 　 6,000.00 15 智能DHCP管理平台 　 　 　 　 　 15.1 1个节点DHCP,可管理1个B类地址段。单台DHCP节点每秒支持1000个IP地址分配，支持识别用户终端操作系统类型(WindowsXP、Windows7、MacOSX、iOS、Android等） 1 90,000.00 90,000.00 　 小计 智能DHCP管理平台 　 　 90,000.00 16 安装材料部分 　 　 　 　 　 16.1 千兆网线 70 920.00 64,400.00 　 16.2 PVC线管 1 30,000.00 30,000.00 　 16.3 单模双芯LC-ST3米 100 80.00 8,000.00 　 16.4 单模双芯LC-LC8米 10 130.00 1,300.00 　 16.5 12U挂壁机柜 1 1,200.00 1,200.00 　 16.6 单模4芯光纤 150 6.00 900.00 　 16.7 1U机架式、包含耦合器、尾纤、融接等 1 1,000.00 1,000.00 　 16.8 螺丝、胶粒、扎带、光纤盒、水晶头等其它辅材 1 5,000.00 5,000.00 　 小计 安装材料部分 　 　 111,800.00 17 系统集成费 　 　 　 　 　 17.1 工程安装、调试、税金等 1 120,000.00 120,000.00 　 小计 工程安装、调试、税金等 　 　 120,000.00 　 项目预算合计 　 　 　 2,643,620.008设备技术参数标注有“★”号的条款必须实质性响应，负偏离（不满足要求）将导致无效；标注有“▲”号参数为重要需求，如不满足要求将影响评委评分。产品清单及总体参数指标要求 项号 设备名称 数量 总体要求 重要性 1 无线控制器（含原厂光模块） 2台 无线设备必须是同一品牌的产品，投标时提供原厂项目授权函、原厂五年服务承诺函（盖章原件），签订前须提供原厂合规供货确认函（盖章原件） 2 高密度三频AP 127台 3 分布式AP本体 6台 4 分布式AP分体 100台 5 双频AP 128台 6 室外AP 5台 ★ 7 面板式AP 10台 8 8口POE交换机（含原厂光模块） 28台 9 24口POE交换机（含原厂光模块） 12台 10 汇聚交换机（含原厂光模块） 6台 11 网络运维管理平台 1套 12 无线业务管理平台 1套 13 计费服务器及网络计费管理平台系统（含原厂光模块） 1套 认证设备必须是同一品牌的产品，投标时提供原厂项目授权函、原厂五年服务承诺函（盖章原件），签订合同前须提供原厂合规供货确认函（盖章原件） 14 临时用户无线接入控制服务器及控制系统（含原厂光模块） 1套 ★ 15 DHCP智能管理平台 1套 16 安装材料与集成 1批 8.1无线控制器 序号 设备性能参数 重要性 1 盒式设备，高度≤2U，可用千兆光接口数≥12；可用千兆电接口数≥12；可用万兆光接口数≥4；配置1+1可插拔内置模块化冗余电源 ★ 2 单台最大管理AP数≥2048；配置384个管理AP授权和项目所需要的分布式AP的授权，两台无线控制器热备冗余时无需额外增加管理AP授权数量；配置本次项目所需要的光模块； ★ 3 支持同一AC内,不同AP下二、三层漫游和不同AC间,不同AP下二、三层漫游； 4 支持Portal认证、Portal页面推送、802.1x认证、本地认证、LDAP认证、支持TACACS+； 5 支持优先级映射、L2-L4流分类、流量限速、基于用户角色(UserProfile)的接入控制、AP上行口限速； 6 支持将多台物理无线控制器虚拟化成一台。多台物理无线控制器虚拟化之后对外呈现一台虚拟控制器，提供统一的管理界面和IP地址，支持配置自动同步；提供第三方测试报告复印件； ▲ 7 支持IPV6SAVI功能，开启IPV6SAVI功能后，设备只放行通过DHCPV6和ND方式学习到的IPV6地址的终端报文。提供第三方检测报告复印件； ▲ 8 支持设备内置BYOD功能，本地能够对不同终端类型预设不同授权，通过终端信息识别终端类型，再根据终端的类型下发不同的授权信息，实现权限控制。提供第三方检测报告复印件； ▲ 9 支持Hotspot特性功能，客户端开启passpoint功能，在检测到支持Hotspot的服务后，终端能够主动从移动网络漫游到WIFI网络，用户无感知。提供第三方检测报告复印件； ▲ 10 支持WEB、SNMPv1/v2/v3、RMON等管理方式和支持WEB、CLI、TELNET、FTP等配置方式； 8.2高密度三频AP 序号 设备性能参数 重要性 1 支持802.11ac协议，支持802.11a/n/ac和802.11b/g/n工作。支持802.11acWave2最新技术标准，支持MU-MIMO多用户多入多出技术，同一时刻可向多个终端发送信息，提供官网截图证明并保留测试权利； ★ 2 为满足高密度覆盖要求，至少提供一个2.4GHz射频，二个5GHz射频，整机5G空间流数≥6，如不支持，可额外增加一台所投设备相同款型的双频AP满足3个射频高密度覆盖要求； ★ 3 固定接口≥2个10/100/1000Mbps(RJ45) ▲ 4 支持802.11b/g/n:2.4GHz-2.483GHz(中国)；802.11a/n:5.150GHz-5.350GHz，5.725GHz-5.850GHz(中国)工作协商速率5GHz支持867Mbps，2.4GHz支持300Mbps； 5 整机协商速率不低于3000Mbps，保留测试权利 ▲ 6 整机最大功耗小于25W(所有空间流满速率工作) 7 支持802.3af/802.3at兼容供电，两个以太网口都支持POE供电，保留测试权利 ▲ 8 支持IPv4/IPv6双协议栈、Native原生，特别支持IPv6Portal、IPv6SAVI 9 支持64/128位WEP、动态WEP、TKIP、CCMP加密 10 支持802.1X认证、MAC地址认证；支持MAC地址过滤；支持虚拟AP(多SSID)之间的隔离； 11 支持基于SSID+VLAN的本地转发；支持不同SSID/VLAN映射不同的QoS策略 12 支持SNMP（V1、V2、V3）、Trap、Telnet、TFTP、FTP、HTTP、Web等管理方式 13 提供国家工信部入网核准证复印件； 8.3分布式AP本体 序号 设备性能参数 重要性 1 采用RJ45接口普通5类以上网线+AP入室的方式部署，且保证双频覆盖，房间内5GHz信号强度大于-65dBm ★ 2 单个AP覆盖至少20个房间，每个本体AP可以通过网线连接分体AP进入房间覆盖，本体AP与分体AP之间连线距离可达到100米 ★ 3 同时提供两条流的802.11ac（867Mbps）和802.11n（300Mbps）接入性能 4 本体AP光电复用接口数量≥4，支持光纤连接；可用千兆电接口≥20，支持POE供电，供电端口不少于20个。 ★ 5 支持IPv4/IPv6双协议栈、Native原生，特别支持IPv6Portal、IPv6SAVI 6 采用专业绿色低碳设计，支持动态MIMO省电模式(DMPS)与增强型自动省电传送(E-APSD)，智能辨识终端实际性能需求，合理化调配终端休眠队列，动态调整MIMO工作模式。 7 支持64/128位WEP、动态WEP、TKIP、CCMP加密 8 支持802.1X认证、MAC地址认证；支持MAC地址过滤；支持虚拟AP(多SSID)之间的隔离； 9 支持分体AP失去关联或者故障的时候可以在本体AP上发现，提供官网截图证明并加盖设备生产厂商项目授权章。 ▲ 10 支持SNMP（V1、V2、V3）、Trap、Telnet、TFTP、FTP、HTTP、Web等管理方式 8.4分布式AP分体 序号 设备性能参数 重要性 1 面板式无线接入设备，可以安装在任意86mm面板的暗盒上； 　 　 下行口≥4个10/100Mbps自适应以太口，上行口≥1个10/100/1000Mbps自适应以太口； ★ 2 工作频段802.11ac/n/a:5.725GHz-5.850GHz;5.15~5.35GHz(中国)；802.11b/g/n:2.4GHz-2.483GHz(中国),工作协商速率5GHz支持867Mbps，2.4GHz支持300Mbps； ★ 3 11ac空间流数(Streams)不少于2条 4 支持11ac80MHz捆绑，支持40MHz捆绑； 5 支持将数据报文在分布式AP本体上直接转化为以太网格式的报文，使得数据报文不经过无线控制器，而是在本地进行转发 ▲ 6 支持55个终端进行1Mbps码流视频点播，视频播放流畅，无卡顿现象，提供第三方测试报告 ▲ 7 支持以太口供电和本地电源供电 8 单用户极限吞吐性能约为620Mbps,提供第三方测试报告； ▲ 9 提供国家工信部入网核准证复印件和Wifi联盟证书复印件； 8.5放装型双频AP 序号 设备性能参数 重要性 1 可进行FAT/FITAP的切换；支持IPv6； 2 至少提供1个100/1000M接口； 3 内置终端感知型硬件智能天线阵列；天线增益≥7dBi；空间流数≥2； ★ 4 支持802.11ac/n/a:5.725GHz-5.850GHz;5.47～5.725GHz;5.15~5.35GHz支持802.11b/g/n:2.4GHz-2.483GHz；工作协商速率5GHz支持867Mbps，2.4GHz支持300Mbps； ★ 5 支持70个终端同时点播视频，视频播放流畅，无卡顿现象出现；提供第三方检测证明复印件； ▲ 6 支持64、128位WEP加密，支持64/128位WEP、动态WEP、TKIP、CCMP(11n推荐)加密； 7 支持802.1X认证、MAC地址认证；支持MAC地址过滤；支持虚拟AP(多SSID)之间的隔离； 8 支持标准POE供电，整机功耗≤12.95W。 9 支持基于SSID+VLAN的本地转发；支持不同SSID/VLAN映射不同的QoS策略 10 支持SNMP（V1、V2、V3）、Trap、Telnet、TFTP、FTP、HTTP、Web 11 提供工信部型号核准证 8.6室外型AP 序号 设备性能参数 重要性 1 工作模式：支持胖/瘦两种AP工作模式，支持802.11AC协议 ★ 2 可同时支持工作频率：802.11ac/n/a:5.725GHz-5.850GHz;5.47～5.725GHz;5.15~5.35GHz(中国)802.11b/g/n:2.4GHz-2.483GHz(中国)；工作协商速率5GHz支持867Mbps，2.4GHz支持300Mbps； ★ 3 防护等级具有IP67防护等级，并具有相应证明文件，设备型号必须与证明文件相符 4 接口：≥1个10/100/1000Mbps(RJ45)；≥1个1000MSFP光接口；以太网口支持LRE（长距离以太网）功能；4个N型射频接口(2.4GHz×2，5GHz×2） ★ 5 每台设备配置一个双频定向天线和配套的安装套件； 6 虚拟AP：支持虚拟AP，单个AP可支持不小于32个可广播SSID。 7 支持虚拟专用组，通过相同SSID的子网或VLAN单独实施加密和隔离。 8 IPv6支持：支持IPv4/IPv6双协议栈 9 数据转发：支持数据包二层转发模式，即在AP本地转发，而不通过控制器 10 加密：支持64、128位WEP加密，WPA，802.11i和WAPI。 11 认证：支持802.1X认证、MAC地址认证、PPPoE认证 12 投标时提供国家工信部型号核准证复印件，型号必须与投标设备相同； 8.7面板式AP 序号 设备性能参数 重要性 1 面板式无线接入设备，可以安装在任意86mm面板的暗盒上；可进行FAT/FITAP的切换； 2 可支持胖/瘦AP两种工作模式，支持802.11ac协议 3 支持2.4GHz和5GHz，支持802.11a/n/ac和802.11b/g/n工作,支持802.11acWave2最新技术标准，支持MU-MIMO多用户多入多出技术，同一时刻可向多个终端发送信息，提供官网截图证明并保留测试权利； ★ 4 LAN接口≥4个10/100/1000Mbps(RJ45)；WAN接口≥2个10/100/1000Mbps(RJ45)；标准USB接口≥1个，MicroUSB接口≥1个；在设备断电状态下，可传输数据接口≥1个； ▲ 5 内置低辐射全向天线，空间流数≥2；工作协商速率5GHz支持867Mbps，2.4GHz支持300Mbps； ★ 6 整机最大功耗小于8W(所有空间流满速率工作) 7 支持Poe供电，且支持本地电源适配器供电 8 支持IPv4/IPv6双协议栈、Native原生，特别支持IPv6Portal、IPv6SAVI 9 支持64、128位WEP加密，WPA，802.11i和WAPI。 10 设备支持不少于50个终端同时点播视频，视频播放流畅，无卡顿现象出现。提供第三方检测报告复印件证明 ▲ 11 支持用户数负载均衡，支持流量负载均衡；支持动态MIMO省电；逐包功率控制；MAC地址过滤；终端感知准入；实时频谱防护 12 配合AC支持：PORTAL认证(远程,外挂服务器)、基于SSID的Portal页面推送、基于AP的Portal页面推送、Portal支持代理功能、Portal双机热备、、SSID防假冒(用户名与SSID绑定)、LDAP；本机支持802.1X与Portal接入，802.1X接入时,支持EAP-GTC和EAP-TLS两种) 13 支持不同SSID/VLAN映射不同的QoS策略 14 提供国家工信部无线核准证复印件 8.88口PoE交换机 序号 技术指标要求 重要性 1 交换容量≥256Gbps；包转发率≥42Mpps；可用千兆POE+电口数≥8；非复用千兆光口数≥2； ★ 2 支持LACP，支持手工聚合，每个聚合组最大支持8个端口 3 支持STP/RSTP/MSTP 4 支持基于端口的VLAN（4K个），支持基于MAC的VLAN，支持GVRP，支持QinQ、灵活QinQ，支持VLANMapping，支持GUESTVLAN 5 支持IPv4静态路由，RIP ★ 6 支持IPv4和IPv6双协议栈，支持IPv6静态路由，支持ND、PMTUD，支持Pingv6、Telnetv6、FTPv6、TFTPv6、ICMPv6 7 支持L2～L4包过滤功能，可以匹配报文前80个字节，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP协议类型、TCP/UDP端口、TCP/UDP端口范围、VLAN等定义ACL。支持基于端口、VLAN下发ACL，支持基于时间段（TimeRange）的ACL，支持基于硬件的IPv6ACL和QoS 8 支持Diff-ServQoS，每个端口支持8个输出队列，支持802.1p/DSCP优先级映射，支持队列调度机制，支持优先级标记Mark/Remark，支持基于流的包过滤，支持基于流的重定向，支持基于流的限速； 9 采用专业的内置防雷技术，支持6KV业务端口防雷能力，提供第三方检测报告复印件证明； 10 支持SSH2.0，为用户登录提供安全加密通道，支持SSL，保障数据传输安全，支持端口隔离，支持ARP报文限速功能，支持IP源地址保护，支持ARP入侵检测功能，支持防Dos攻击，支持广播报文抑制，支持主备数据备份机制，支持IP＋端口的绑定、IP+MAC的绑定、端口＋MAC的绑定、IP+MAC+端口的绑定功能 11 支持Console/AUXModem/Telnet/SSH2.0命令行配置，支持FTP、TFTP、Xmodem、SFTP文件上下载管理，支持SNMPV1/V2c/V3，支持RMON，支持NTP时钟，支持系统工作日志，支持集群管理 12 提供工信部产品入网证书复印件 8.924口PoE交换机 序号 技术指标要求 重要性 1 交换容量≥256Gbps；包转发率≥96Mpps；可用千兆POE+电口数≥24（POE输出功率≥370W）；非复用万兆千兆自适应光口数≥2，非复用万兆千兆自适应电口数≥2； ★ 2 支持LACP，支持手工聚合，每个聚合组最大支持8个端口 3 支持STP/RSTP/MSTP 4 支持基于端口的VLAN（4K个），支持基于MAC的VLAN，支持GVRP，支持QinQ、灵活QinQ，支持VLANMapping，支持GUESTVLAN 5 支持IPv4静态路由、RIPv1/v2、支持IPv6静态路由、RIPng、支持OSPFv1/v2，OSPFv3等动态路由协议； ★ 6 支持IPv4和IPv6双协议栈，支持IPv6静态路由，支持ND、PMTUD，支持Pingv6、Telnetv6、FTPv6、TFTPv6、ICMPv6 7 支持L2～L4包过滤功能，可以匹配报文前80个字节，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP协议类型、TCP/UDP端口、TCP/UDP端口范围、VLAN等定义ACL。支持基于端口、VLAN下发ACL，支持基于时间段（TimeRange）的ACL，支持基于硬件的IPv6ACL和QoS 8 支持Diff-ServQoS，每个端口支持8个输出队列，支持802.1p/DSCP优先级映射，支持队列调度机制，支持优先级标记Mark/Remark，支持基于流的包过滤，支持基于流的重定向，支持基于流的限速； 9 支持SSH2.0，为用户登录提供安全加密通道，支持SSL，保障数据传输安全，支持端口隔离，支持ARP报文限速功能，支持IP源地址保护，支持ARP入侵检测功能，支持防Dos攻击，支持广播报文抑制，支持主备数据备份机制，支持IP＋端口的绑定、IP+MAC的绑定、端口＋MAC的绑定、IP+MAC+端口的绑定功能 10 支持Console/AUXModem/Telnet/SSH2.0命令行配置，支持FTP、TFTP、Xmodem、SFTP文件上下载管理，支持SNMPV1/V2c/V3，支持RMON，支持NTP时钟，支持系统工作日志，支持集群管理 11 提供工信部产品入网证书复印件 8.10汇聚交换机 序号 设备性能参数 重要性 1 交换容量≥588Gbps；包转发率≥216Mpps；复用千兆电口数≥8，非复用千兆光口数≥24，可用万兆/千兆接口数≥4，所有端口均固化，万兆端口支持千兆自适应；业务扩展插槽数（非堆叠）≥1；支持内置模块化冗余电源；支持最大万兆光接口数≥12；支持最大万兆电接口数≥8；支持扩展40G端口；支持可插拔双风扇，风扇支持端口侧/电源侧出风； ★ 2 支持LACP、支持手工聚合、支持最多128个聚合组，每组支持最多8个GE或4个10GE端口； 3 支持IEEE802.3x流量控制（全双工）、支持基于端口速率百分比的风暴抑制、支持基于PPS的风暴抑制； 4 提供无线控制器功能，最大支持管理AP数量≥256个；保留测试权利。 ★ 5 支持多台设备虚拟化，可以将多台物理设备虚拟化为一台逻辑设备，逻辑设备实现一致的转发表项，统一的管理； 6 支持基于端口的VLAN（4K个）、支持基于MAC的VLAN、基于协议的VLAN、基于IP子网的VLAN、支持QinQ，灵活QinQ、支持VLANMapping、支持VoiceVLAN； 7 支持STP/RSTP/MSTP等二层生成树协议； 8 支持静态路由、支持RIPv1/v2，RIPng、支持OSPFv1/v2，OSPFv3、支持BGP4，BGP4+forIPv6、支持等价路由，策略路由、支持VRRP/VRRPv3； ★ 9 支持IGMPSnoopingv1/v2/v3，MLDSnoopingv1/v2、支持PIMSnooping、支持MLDProxy、支持组播VLAN、支持IGMPv1/v2/v3，MLDv1/v2、支持PIM-DM，PIM-SM，PIM-SSM、支持MSDP，MSDPforIPv6、支持MBGP，MBGPforIpv6； 10 支持SDN技术，支持OPENFLOW1.3标准、支持多控制器（EQUAL模式、主备模式）、支持多表流水线、支持Grouptable等，提供中国SDN与开放网络专业委员会会员证书复印件； ▲ 11 支持802.1aeMacsec安全加密，实现MAC层安全加密，包括用户数据加密、数据帧完整性检查及数据源真实性校验。无需软件授权 12 支持对端口接收报文的速率和发送报文的速率进行限制、支持报文重定向、支持CAR（CommittedAccessRate）功能、每个端口支持8个输出队列，CPU口支持48个队列、支持灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP（StrictPriority）、WRR（WeightedRoundRobin）、WFQ（WeightedFairQueuing）、SP+WRR、SP+WFQ五种模式、支持报文的802.1p和DSCP优先级重新标记 13 支持用户分级管理和口令保护、支持802.1X认证/集中式MAC地址认证、支持GuestVLAN、支持RADIUS认证、支持SSH2.0、支持端口隔离、支持端口安全、支持Portal认证 14 支持XModem/FTP/TFTP加载升级、支持命令行接口（CLI），Telnet，Console口进行配置、支持SNMPv1/v2/v3，WEB网管、支持RMON（RemoteMonitoring）告警、事件、历史记录、支持系统日志，分级告警，调试信息输出、支持HGMPv2、支持NTP支持以太网时间同步、支持电源的告警功能，风扇、温度告警、支持Ping、Tracert、支持VCT（VirtualCableTest）电缆检测功能、支持DLDP（DeviceLinkDetectionProtocol）单向链路检测协议、支持LLDP、支持Loopback-detection端口环回检测 15 提供工信部产品入网证书复印件 8.11计费服务器及网络计费管理平台系统 功能、性能指标 基本技术要求及配置 重要性 设备要求 计费网关支持串接，此次项目计费系统采用串接模式全套系统能支持完全软件部署方式，安装在甲方提供的PC服务器上运行。支持基于VM的虚拟化部署产品认证平台及数据库平台。此次配置最少2万并发，万兆光口≥4，千兆光口≥8,双电源，支持无感知计费设备需要集成校园BRAS功能，能够充当BRAS，如果系统不具备BRAS功能，则需要自行独立添加BRAS设备 ★ 认证方式和能力 要求支持国际标准认证方式（WEB、PPPoE、802.1x、pptP等）。要求兼容主流厂家设备的802.1.x接入认证。要求支持基于MAC地址的认证，支持基于IP地址的认证，基于VLANID认证。要求支持用户账号的唯一性认证；同时支持同一账户允许多人同时登陆。需支持基于账号特征选择出口路由功能，满足多运营商合营及多出口场景。需支持主流厂商AC的无感知认证协议。需支持无感知设备黑白名单、终端类型无感知策略、无感知有效期等无感知策略能对无感知用户进行独立的在线监控、统计分析管理 Portal认证 强制Portal认证：用户通过WEB浏览器发起Internet访问请求后，AC可以将该请求强制到Portal服务器，Portal服务器接收强制Portal请求，并向用户发送指定的WEB页面。个性化认证页面推送：支持针对不同的VLANID、IP地址段推送不同的用户认证页面，为不同区域商业用户定制个性化的登陆页面。 ▲ 客户端安全控制 防代理功能，要求可以对NAT、软件代理（单双网卡）、重复MAC和IP等情况进行灵活控制允许或不允许。防IP地址篡改，不仅在认证可绑定IP，用户上线后也必须使用指定的IP。客户端自动升级功能。 客户端增值业务平台（可扩展模块） 客户端支持接口功能扩展，能提供二次接口开发，允许院方添加功能应用并集成到客户端中，如邮件系统、课件系统、图书管理系统等。 在线信息发布（可扩展模块） 用户在在线信息发布平台覆盖范围区域内，用浏览器打开任意网站，在每一个网页上实时加插工具栏或飘窗，或替换原来网页内容，用于校内紧急信息通知及校内重要信息发布（不能被浏览器或其他防病毒防火墙软件拦截）；无遮挡的工具栏，不会对原来网页的功能有任何影响；插播内容包括：图片，文字的滚动播出 ▲ 性能 系统要求最大可支持10万注册用户Radius服务器需可支持满足3万同时在线用户数，在业界达到30000或以上用户同时并发在线的成功案例，需要提供截图。要求瞬时处理认证报文的速度达到8000个或者以上。 ▲ 用户管理、日志功能 管理平台需均支持B/S和C/S的方式要求用户上网的时段控制。要求基于不同时间段实现不同的控制策略。用户组的用户管理和方便的开户模板方式。要求不管是L2/L3层结构，都能控制每个用户的上下行带宽，粒度为16-48K。可记录用户上网的时间段、所使用的IP地址、MAC地址、VLANID等数据，并可统计上网时长流量。可记录用户每次上网的上下行IP流量。访问日志需满足国家82号文要求，能详细记录认证用户的详细的URL访问记录。包括用户电脑的MAC，源IP、源端口、目的IP、目的端口、用户名、目的地址、访问时间等，并提供截图。支持与主流厂家第三方安全审计系统对接。支持MAC黑名单和白名单功能。需支持根据网络位置提供不同的计费策略。需支持支付宝钱包、微信支付及Paypal支付接口。支持校端查询支付宝网费充值日志。支持支付宝服务窗查询个人充值日志。支持支付宝服务窗绑定学校、宽带账号，充值功能。 计费功能 需支持时间分段计费策略，使用不同的累计时间段，收取不同的费用需支持流量分段计费策略，使用不同的累计流量，收取不同的费用需支持国内国外网站上下行流量分开计费需支持用户欠费自动停机，用户在月结日后，过了“自动停机延迟天数”后仍然没有交费的话，系统自动将其停机；需支持信用额度，针对先用后付方式，用户可以透支的额度可批量生成充值账号用户可在登陆页点击链接进行账号充值。每月免费使用时间或流量，设置免费的使用时间和流量，没有超过则只收基本月租；可按用量分段折扣优惠，可根据时间或流量，设置分段折扣优惠使用时间和流量实时控制，对用户累计使用的时间和流量进行实时监控，用户使用超过预先设定的时间和流量显示，系统能自动切断用户连接用户账户余额为零时可实时停机，避免出现欠费现象；需支持根据IP或VLAN范围制定区域动态资费策略时段优惠，可对日期段、假日、星期和每天四个时段的费用优惠费率需支持充值有效期设置，可设置开户有效期、首次使用后有效期、充值后有效期开户赠送免费用量，当用户开户或增加储值，如果一次性增加储值超过某个数值，赠送一定量的免费使用期限用户赠送，可在操作员对单个期限用户进行赠送，也可以批量赠送需支持储值卡用户，即用即扣；需支持期限用户，先付后用，每月月租固定，到服务结束日时自动停机，可以续交费，计费开始日期重新按续费开始日期计算。流量计费最小颗粒度为1KB；月结时网关无需中断扎账，保持网络畅通；需支持计费流量当月不清零 系统管理功能 支持专用管理软件、TELNET、SMNP等网管功能操作员日志功能，将每个操作员的所有操作都记录在案，防止一些非常操作。操作员根据不同的组有不同的操作权限。要求不同级别系统管理员、操作人员能划分不同的权限。支持通过远程多名操作人员同时操作，并且管理模块跨平台。支持主、备服务器的数据自动同步功能。 组网功能 要求能提供DHCP服务功能，并能基于VLAN分配指定DHCP地址池功能。要求能和第3方标准RADIUS厂商的RADIUS服务器对接，本身也可以提供RADIUS服务。要求支持跳过RADIUS认证机制和RADIUS服务器在中断后而不影响用户接入的机制，保证用户的利益。 冗灾备份 要求网关设备有定时备份功能，使设备故障后的恢复工作方便快捷。要求前后台之间互为备份，当后台服务器宕机时不影响用户的正常认证及上网，服务器的数据要定时备份并在故障后可以迅速恢复。采用网关部署时需支持双机热备 其他要求 要求具有信息产业部颁发的入网许可证。需有Ipv6Ready认证要求提供权威第三方测试部门（如北京、广州、上海或信息产业部）等对产品测试的性能分析报告。要求提供权威第三方测试机构对贵公司万兆设备性能测试报告。要求具有公安部安全销售许可证。 ▲ 兼容性及稳定性要求 Radius厂家属性需支持主流厂家的产品。Radius对接需可通过配置界面选择支持的厂家与业界至少二个厂商以上有过合作对接，每个厂家至少需要提供五份以上成功案例说明，案例中必须详细说明组网结构（附拓扑图）、用户需求、实现方案及效果等内容。在广州至少做过一个以上高校万兆接入的案例，需要提供合同扫描件。国内至少10份以上万兆接口大容量设备部署案例，需要提供相关证明文件。 ▲ 定制要求 所提供的设备厂家必须满足二次开发要求（不可只提供接口），可以按照用户需求进行个性化相关定制。定制实现有账号的用户与现有翼起来计费系统出口统一认证。定制实现与校园一卡通系统对接。 ★8.12临时用户无线接入控制服务器及控制系统 功能、性能指标 基本技术要求及配置 重要性 设备形态 纯硬件模式，2万并发，万兆光口≥2，千兆光口≥4 ★ 设备要求 设备支持内置数据库系统，不需要再单独部署服务器安装软件 ▲ 冗余要求 设备支持冗余 部署方式 同时支持串接和旁路方式 认证服务器功能 集中验证并管理远程/VPN和802.1X(无线和有线)用户；支持各式802.1x安全认证协议，包括PAP,CHAP,MS-CHAPv2、PEAP等。支持移动智能终端的802.1x认证协议支持标准RADIUS协议，符合RFC2865、RFC2866、RFC3576协议可以与第三方RADIUS配合完成认证，计费，也可以根据RADIUSSERVER扩展RADIUS属性。支持主流网络设备厂家RADIUS属性集支持各种灵活的ProxyRADIUS功能，例如：认证请求转向其他RadiusServer，或接受其他RadiusServer的认证请求。支持根据ActiveDirectory、LDAP等后端验证数据库来验证网络登录；支持每秒1000个认证请求响应； ▲ Portal协议支持 支持CMCC2.0Portal协议及工作规范支持Portal协议及PPPoE/IPoE认证； Portal页面推送 支持认证首页重定向功能支持认证成功页重定向功能支持基于ip段的认证页面重定向功能支持基于vlan段的认证页面重定向功能基于终端类型自动推送屏幕尺寸的Portal页面模版 Portal页面管理 全部B/S界面配置方式页面编辑支持门户方案组功能，每个组包括PC页和手机页两个子组，每个子组又包括登陆页、登陆成功页、登陆失败页、注销页、注销成功页、注销失败页、无感知页、修改密码页等子页。支持5个门户方案组。门户方案模版组可添加，编辑，发布，预览操作。 认证方式 1、WEBPortal账号方式2、二维码认证方式：Portal首页推送二维码认证页面，指定第三方终端扫描二维码可授权该二维码终端登录上网，用于管理人员帮助访客快速认证上网。3、快速登陆方式：Portal页面上只有一个登陆按钮，无需输入账号密码，多个用户绑定一个公共账户登录。4、微信内快速认证方式：关注微信公众号后直接在获取登陆链接，点击即可登录成功5、微信内先手机短信验证码验证，后微信认证上网：用于获取用户手机号信息6、APP认证：提供APP认证客户端或SDK组件；7、无感知认证：用户第二次登陆无需输入账号密码，后台认证系统自动完成认证过程，可设置无感知时间周期；8、基于Cookie的WebPortal快速认证方式：自动记录账号密码，用户点击登陆 ▲ 账号获取方式 短信自注册：自注册成功后，通过短信方式将账号密码发送给用户，超过短信发送限额，将无法通过短信方式自注册成功微信自注册：自注册成功后，通过微信方式将账号密码发送给用户。 BAS/AC配置 支持128个BAS或AC配置支持配置BASE/AC名称、IP、端口、Portal协议和加密方式。加密方式可配置PAP或CHAP方式支持IPoE配置 硬件及网络特性 设备性能吞吐量≥2Gbps支持最大并发用户数64kNAT功能，即地址转换；支持端口地址映射VPN透传支持，支持并透传常见VPN协议基于TCP、UDP、源目标端口的访问过滤列表控制 在线信息发布特性 通过在用户用浏览器打开的每一个网页上实时加插工具栏或飘窗，或替换原来网页内容，向用户传播实时的信息，实现一个永远在线的信息发布；丰富的投放策略，可基于vlan/ip/ssid，可基于用户组做不同的策略投送无遮挡的工具栏，不会对原来网页的功能有任何影响；插播内容包括：图片，文字的滚动播出可自定义编辑插播的Web图文信息 用户管理 账号设置（开户，修改，停机，销户）批量开户、批量停机、批量开机、批量销户、批量变更强制离线：对所有的在线用户发出注销指令，只需点击“全选”然后注销即可； 在线列表 在线列表可以看到当前在线的用户，可以根据用户帐号、源MAC、用户名称和套餐组来查询相关用户，在线列表可以显示微信用户图像、用户帐号，用户名称、性别、上线时间、使用市场，客户端信息等信息； 日志详单 可通过串接或镜像方式采集用户的访问日志，日志满足公安部82号令信息安全要求 统计分析 使用统计：通过登录次数、登录终端数、使用时长和使用流量，直观反映昨天关键指标；并且能通过趋势图反映过去一个月的登录次数、终端总数、使用时长和使用流量的值。终端分析：通过图文等数据，直观反应和分析终端增长、终端时长和终端时段等用户各数据的变化位置分析：通过图文等数据，直观反应和分析终端在每个AP下的分别情况，及时段停留总时长。 微信统计 用户分析：通过用户增长，用户属性及关注时段等图文形式，直观反应和分析微信终端用户增长情况，用户属性及时段关注等状况。图文分析：通过关键指标详解、图文推送次数及图文推送人数等图文等数据，分析每天及每月对微信终端的推送次数及人数等情况。消息分析：通过昨日关键指标、关键指标详解、自注册请求次数集自注册请求人数等图文信息，直观反映微信终端消息关键指标、自注册请求次数及自注册请求人数等信息。 策略管理 套餐组即将资费组、地区组和带宽组打包成一个套餐，是为操作员开户时提供方便。图文推送规则，根据全局推送规则配置和不同的AP组的配置，来分时，分AP的推送设置的不同的图文信息可配置账号每次注册使用时间，设置帐号存活有效期间账号上下行带宽OQS配置（1M，2M，无限，可配置）账号绑定MAC、IP地址域名黑白名单 微信接口 提供微信接口定制升级及增值服务（可选） 短信接口 提供短信接口定制升级（可选） 定制 可按照学校要求提供定制，包括与学校现有接口多个接口及交换机进行对接。 ★8.13网络运维管理平台 序号 软件功能参数 重要性 1 分布式部署：要求资源拓扑、告警、性能等功能模块支持多服务器分布式虚拟化部署，可实现负载分担。 2 用户分权管理：可以为不同的管理员设置不同的用户名、密码，并限制管理员的管理权限和管理范围，实现用户分权管理。 ★ 3 多平台支持：支持Windows、Linux平台及MSSQL、Oracle数据库，支持B/S架构。 4 自动发现拓扑：自动发现网络中的所有网络设备，并在拓扑中显示出来，支持拓扑图自定义修改，包括设备、链路等。 5 支持IP拓扑、二层拓扑、邻居拓扑、自定义拓扑、网络拓扑视图（支持网络区域的任意划分、命名、拖拽、折叠和展开）、业务拓扑、STP拓扑、MSTP拓扑等多种拓扑类型； 6 支持数据中心拓扑，包括机房拓扑、机架拓扑等，二层拓扑支持多协议，包括Bridge、NDP、CDP、MSTP、STP、LLDP、DISMAN-PING等二层协议，支持聚合链路，支持第三方的设备；拓扑可融合链路状态、设备告警等多种信息。 7 支持设备与用户统一管理：支持网络管理与用户管理联动，如通过点击拓扑楼层接入交换机图标，可查看该设备所有接入用户帐户信息，查询在线用户列表、强制用户下线、下发消息、总在线用户数统计、不安全用户数统计等。 8 支持设备与流量分析统一管理：支持网络管理平台实现设备管理与流量分析联动，如通过点击拓扑某链路可查看该链路的关键应用流量分布、关键用户流量使用等。 9 故障管理：支持对全网设备告警的实时监控和统一浏览；支持多种提醒方式，如告警实时提醒（告警板）、告警音响提示；支持多种转发方式，比如转E-mail，转短信，转上级网管或其它网管等。支持告警分析，可以屏蔽重复告警、闪断告警，支持告警自动确认功能；支持告警智能分析，包括告警分类关联分析、告警多源关联分析、告警拓扑根源分析、告警网络影响度分析。 10 支持基于任务的性能监控，可定制监控任务，长期监控网络性能，可以形成日报、月报等报表。支持定制性能阈值，可以为监控的性能指标设置两级阈值，当性能指标超过阈值时根据不同的阈值发送不同级别的告警。 11 提供直观的设备的面板视图：支持设备面板的显示、定时刷新、面板缩放功能，通过面板管理，网络管理人员可以直观地看到设备、板卡、端口的工作状态；面板支持第三方设备。 12 虚拟化管理：支持Vmware虚拟化资源的拓扑、性能管理。 13 IPv6管理：支持IPv6环境下的资源、性能、告警、拓扑、面板管理，包括纯IPv6组网和双栈组网。 14 支持设备配置集中管理：配置库包括配置文件和配置片断，配置内容可带有参数，在部署时根据设备的差异设置不同的值；配置文件可部署到设备的启动配置或者运行配置；配置片断只能部署到设备的运行配置； 15 多厂商设备配置及软件管理：支持H3C/HUAWEI/3COM/CISCO/HP设备的批量配置和软件管理，包括的软件版本和软件库中最新可用的软件，更新设备的软件 ★ 16 基线化的设备配置变更审计：提供设备运行配置和启动配置的基线化版本管理，将每个设备相关的配置文件划分为三种版本：基线、普通、草稿。便于管理员识别、管理。通过备份、恢复手段，以及备份历史、升级历史管理，使配置文件管理和软件升级管理具有了可回溯性 17 Syslog分析：接收Syslog，完成基本格式的解析，并入库。提供Syslog特征分析及策略注册能力，支持基于统计规则进行聚合生成告警（Trap）； 18 业务联动控制：根据预定义的联动策略对匹配的事件（Trap）执行联动控制；支持各类安全威胁的分析和联动（支持防火墙、IPS、交换机、终端软件等上报信息的分析）；并支持在拓扑中显示攻击路径、攻击源等节点信息。 19 IP地址自动扫描：实现网络IP地址自动扫描、统计、分配和管理，同时允许用户手工分配和管理IP地址，以达到更加灵活的分配管理。结合IP地址段的管理功能，将整个网络的IP，划入各个不同的IP地址段，分别进行管理，并给出详细直观的IP分配情况统计图表，使管理员能清楚的了解和掌握整个网络的IP使用情况。 20 IP地址绑定、监控：对绑定的IP/MAC进行监控，如果该MAC地址对应的机器更换了IP地址，或者其它机器冒用了本IP地址，则系统会立即发送相关告警，通知管理员发生了IP使用违规现象，从而管理员能够及时采取措施应对。通过IP/MAC绑定，能有效的防治网络IP地址使用冲突或盗用的现象 21 非法接入设备监控：对接入设备MAC地址进行监控，如果其它MAC地址接入到该接口，或者该MAC从其它设备接口接入网络，系统会立即发送相关告警，通知管理员发生了MAC接入违规现象，从而管理员能够及时采取措施应对。通过MAC/接口绑定，能有效的防止网络中非法设备接入的现象 22 全网VLAN管理：全网VLAN管理功能可以在全网范围内增加、修改和删除VLAN，并能够方便地对VLAN内的设备进行管理，对access端口、trunk端口、hybrid端口和VLAN进行批量配部署。 23 VLAN拓扑：VLAN拓扑功能以可视的方式对网络中的VLAN资源进行管理，查看拓扑视图中所有设备节点和链路是否允许某个特定VLAN通过。 24 网络资产自动发现：在设备增加到网络资产管理的同时，系统还会自动发现该设备上可以管理的配件信息，并将这些配件加入到网络资产中进行管理，网管员可以根据不同的查询条件查询网络资产信息，对资产信息进行审计。 ★ 25 支持多种图表展示：提供多种报表样式，包括普通的行列报表、主/子报表、图形摘要报表、交叉表、TopN和BottomN报表。支持多种图形展示：包括条形图、饼图、曲线图、甘特图、面积图、圆环图、三维梯形图、三维曲面图、XY散点图、雷达图、气泡图、股票图、漏斗图等。 26 周期性报表机制：支持天报表、周报表、月报表、季度报表、半年报表、年报表。可以设定周期性报表的开始时间、失效时间。可以将自身的组织名称和Logo融入到发布的报表中，可以定时生成后Email到指定邮箱 27 报表导出：可以直接打印或传真报表，也可以选择将报表导出。导出的格式包括MicrosoftWord（RTF）、MicrosoftExcel、HTML、PDF、XML、CSV、TXT等 28 数据转储：提供对操作日志和告警信息自动转储功能，对于满足转储条件的操作日志和告警、事件信息会被系统备份成文件后存储到指定目录下，并把转储的数据从系统中删除。 29 双机热备：主备服务器共享存储，公用一个虚拟IP，实时备份，保障系统切换时无数据丢失。 30 双机冷备：备份主服务器数据库数据，并发送到备份服务器，同时备份服务器自动还原数据库；当主服务器异常，备机可随时替代主服务器工作。 31 单机数据库备份：支持手动或定时备份指定数据库数据。提供界面方式的可视化管理，并支持FTP等方式将备份文件上传。 32 单机数据库还原：支持在指定数据库上使用备份的数据库文件进行还原操作。提供界面方式的可视化管理。 33 投标产品供应商需具备标准化IT运维管理服务的能力,提供ISO20000信息技术服务管理体系证书复印件 ▲ 34 投标产品供应商需具备信息安全管理能力，提供ISO27001信息安全管理体系证书复印件 ▲ 35 配置要求：标准版平台软件，50个管理节点授权许可； ★ 36 软件成熟度：设备生产厂家获得CMMI4级或4级以上认证，提供证书复印件并加盖厂家项目授权印章； ▲8.14无线业务管理平台 序号 功能特性 重要性 1 服务器支持Windows及Linux操作系统，支持双机冷备或双击热备，提高系统可靠性 2 支持分级分权管理，支持将不同的设备绑定到不同的管理员，支持对多个下级网管的统一管理和业务监视可对30000台FitAP进行业务监视和配置下发，并提供统一界面；支持分级报表，分级管理中网管上级可以方便地管理到下级报表 3 支持有线无线一体化管理，可统一管理AC、Fat/FitAP、无线终端、PoE交换机等设备，支持在拓扑上支持展示设备告警、状态，可以十分逼真的展示全网的网络结构 ★ 4 无线设备拓扑，显示AC与FitAP间的逻辑连接关系，显示FitAP当前在线Client，AC拓扑中支持链路显示参数，包括仅显示在线AP、仅显示不在线AP和仅显示RogueAP 5 无线位置视图拓扑，按照设备所在区域，能够在位置视图中查看AP设备的物理位置 6 支持查看AC与AP之间真实物理链路连接，真实显示从AP到PoE交换机、三层交换机、路由器等物理链路，对于排查网络故障能提供很大帮助 ★ 7 支持无线参数802.11中a\b\g\n各种协议的统一配置，一套系统可以在统一界面解决多种配置需求；提供向导化的配置管理工具，帮助管理员轻松完成下面配置：Radio策略、服务策略、信噪比参数；支持批量进行AC软件版本显示、AC设备软件版本升级恢复、AC设备配置文件备份恢复、AC软件下载等操作；支持通过模板的方式对设备进行批量管理，使用户快速完成网络配置。策略模板除手工设置外，还提供从文件导入和从设备导入功能，用户可以将某个策略文件快速下发到其它设备 8 支持自定义视图并且在视图上显示设备告警和实时状态，可以导入背景图，方便管理员按需进行重点设备的重点管理；在拓扑上支持查看AP当前在线Station及详细信息，可以实现设备和用户的统一管理，支持进行Station上线历史记录浏览 9 显示AP的RF覆盖范围：支持按信号强度、速率和信道显示RF覆盖范围，支持频段及类型（11a/11b/11g/11an/11gn）的显示 10 支持带障碍物的RF覆盖显示：位置视图中可以添加障碍物，通过不同障碍物的衰减情况，绘制不规则的RF覆盖图形 11 无线用户信息管理：通过第三方Radius系统配合，能够关联移动用户MAC地址和账号的对应关系，并能够维护移动用户的账号信息，帮助管理员从账号的角度管理移动用户。 12 系统支持无线资源与用户的统一管理，可在拓扑上对终端进行强制用户下线、下发消息、安全检查、加入黑名单、查看用户详细信息等功能；能对接入无线网络用户安全状况进行审计，检查黑白软件，补丁，杀毒软件安装情况，防止内网外联，监控上网行为 13 支持对移动终端的信息进行查看，包括MAC地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在AC设备、所在AP设备等、所在Radio等等。同时可以查看终端的漫游轨迹动画，漫游记录报表。使管理员随时了解最终接入用户的情况，并对其接入轨迹进行审计 14 支持对移动终端设备类型进行识别，根据时间，地点，终端类型，SSID，身份、状态给不同终端不同网络访问权限 15 支持显示和配置RogueAP、RougeStation、FriendAP等信息，并对非法设备监控，告警和反制；支持丰富的WIDS检测策略设置包括：准许OUI设置、合法SSID设置、Ignore地址设置、攻击地址设置、信道扫描设置等检测策略设置； 16 支持检测Adhoc网络、APMAC地址仿冒、无线客户端MAC地址仿冒、非法信道等威胁，并与消除措施相关联，根据安全事件的严重程度，人工或自动采取反制、忽略、禁用、信任等消除措施 17 提供实时安全状态查看，按事件类型统计，按检测AP统计，按虚拟安全域统计；实时安全事件查看，历史安全事件回放，事件关联分析；支持对非法设备与终端的定位 18 支持蓝牙、微波炉等干扰源的实时检测,支持丰富的频谱分析图表，包括实时FFT图，dutycycle图，信道利用率图以及信道质量图等,支持历史频谱数据的保存和回放,支持干扰源位置定位 19 支持AP接入端口管理，支持PoE功能的设备，可以通过禁止、使能PoE供电功能使AP重启 20 支持无线定位，支持对移动用户、Rogue移动用户及RogueAP进行定位；根据设定的规则，在位置拓扑上划分区域，并指定区域内允许或禁止接入的用户列表，如果进入禁止区域，可触发告警或阻断用户接入 21 支持GIS视图，用户可以自定义热点在地图上的显示位置，方便用户掌握热点位置的分布情况，快速定位所关心热点的位置 22 能查看各移动终端的全部漫游记录，位置视图可形象的通过动画查看用户漫游轨迹。使管理员随时了解最终接入用户的情况，并对其接入轨迹进行审计 23 绿色节能管理：按指定时间控制无线射频的开闭，节约能源，降低辐射；按指定时间控制AP、SSID、PoE的开闭，从而达到控制无线用户上网时间效果 24 定期采集功耗指标形成报表，分析能耗趋势及节能效果 25 无线网络质量评估：通过人性化的优化向导设置，建立网络评估任务对无线网络运行状况进行评估，了解WLAN网络运行状况；生成基于拓扑，AP，终端三个维度的网络优化报告，发现薄弱区域，确认需要补点的位置，通过专业报表给未来网络优化提供建议 26 支持Station流量统计、AP流量统计、AP在线数统计、Station在线数统计、Station关联情况统计等。可以在一套系统上完成设备性能管理和用户终端性能管理。 27 支持丰富的报表，包括移动用户Session统计报表、移动用户在线统计报表、移动用户在线趋势报表、AP在线用户数TopN报表、AP关联统计报表、FatAP流量明细报表、FatAP流量汇总报表、AP可用率明细报表、AP可用率汇总报表、AP退服明细报表、AP退服汇总报表、Radio速率统计报表、Radio流量统计报表、Radio错误统计报表、Radio资源利用率统计报表、RogueAP统计报表、Rogue移动用户统计报表 28 支持报表的自定义 29 系统内置丰富的无线业务告警，包括ACCAPWAP隧道建立告警、ACCAPWAP隧道关闭告警、AP工作模式变更告警、AP配置失败告警、APRadio操作状态DOWN告警、APRadio操作状态UP告警、APRadio信道变更告警、StationMIC错误告警、Station认证错误告警、Station认证失败告警、Station关联失败告警、Station去关联告警、Station认证成功告警、发现非法设备告警、发现ad-hoc设备告警、发现未授权的SSID告警、非法设备消失告警 30 支持SOAP、Restful等标准北向接口，便于向第三方系统提供设备网元、告警数据、性能数据等信息 31 配置500个AP管理授权许可； 32 软件成熟度：设备生产厂家获得CMMI4级或4级以上认证，提供证书复印件并加盖厂家项目授权印章； ▲8.15DHCP智能管理平台 功能、性能指标 基本技术要求及配置 重要性 整体架构 管理、工作节点分布式架构，管理节点可以管理多个工作节点、多个DHCP集群，此次配置1个节点DHCP,可管理1个B类地址段 使用HTML5技术、无需任何插架即可将所有功能在各种手机和平板电脑上使用 支持HTTPS安全传输方式 全中文界面、提供全中文的用户手册和相关资料 支持远程协助功能 基于成熟、稳定的企业级Linux深度优化才键安装部署 支持物理机、虚机化环境（VMWare、Xen、KVM等） 性能数据 单台DHCP节点每秒支持1000个IP地址分配，需要提供相关测试截图证明。 ★ 一套DHCP双机集群每秒支持2000个IP地址分配 可管理IP子网数量大于4096（单台/集群） 可管理IP地址数量大于16,777,216(单台/集群) DHCP协议标准 支持RFC协议标准：RFC2131、RFC2132、RFC3046、RFC3315 支持用户自定义DHCPOPTION DHCPFailover 支持DHCPFailover双机集群 ★ 支持DHCPFailover双活符合分担模式(Active/Active) 支持DHCPFailover主备模式(Active/Backup)，需要提供相关功能截图。 无线AP自动注册 支持通过DHCP下发无线控制器信息，引导无线AP自动寻找无线控制器并注册 内置支持Aruba、思科、华为、华三、神州数码无线AP 用户可通过自定义功能扩展支持其他厂家无线AP 支持不同类型、厂家无线AP在子网/VLAN内共存混合组网，智能引导各厂家无线AP自动注册 黑白名单 支持全局MAC地址黑、白名单 ★ 支持全局指纹黑、白名单 支持子网MAC地址黑、白名单 支持自定义条件设置黑、白名单，需要提供相关功能截图证明。 地址分配策略 支持按照MAC地址分类，从不同地址池分配IP地址及选项 支持按照指纹分类，从不同地址池分配IP地址及选项 支持按照Vendor字符串分类，从不同地址池分配IP地址及选项 支持静态IP地址分配 支持按照全局、子网、地址池、策略、单个终端调整DHCP选项 支持按照策略为不同的终端分配不通范围的IP地址、DHCP选项 子网缩放 支持子网缩放，动态扩大或者缩小子网地址范围 支持子网叠加，在原子网不变缩放时，叠加2个以上的子网同时为统一VLAN用户分配IP地址 终端识别 支持识别用户终端操作系统类型(WindowsXP、Windows7、MacOSX、iOS、Android等） 支持识别用户终端设备类型、厂家、型号 终端识别结果可用于黑白名单、地址分配策略 智能特性 支持对终端在子网间漫游的历史进行追踪 支持终端的DHCP地址请求分配历史交互信息完整展示 支持通过智能监测拟分配IP地址是否被占用，避免IP地址冲突 日志查询 支持按照IP查询DHCP日志 支持按照MAC查询DHCP日志 支持按照子网/网关查询DHCP日志 监控告警 支持对服务器CPU、内存、DHCP租约性能监控 监控数据无损精度绘图、任意精度放大缩小无失真 支持性能数据报表，可按天、周、月进行详细报表 支持设置CPU、内存、IP地址使用率、服务地址分配速率告警 支持WEB告警、邮件告警等多种告警发送方式 支持异常请求客户端告警 备份恢复 支持配置的备份、恢复 支持定期自动备份、支持系统升级自动备份 配置备份支持导入导出 计费联动 支持与外部计费系统联动，用户可在计费系统注册自己的各种终端，计费系统从DHCP系统取得终端的识别信息 支持无感知认证，DHCP系统在识别到用户上线时，立即通知计费系统开启计费并放行用户 支持离线联动，DHCP系统识别到用户释放IP是，立即同计费系统停止计费并结束网络访问授权 IPAM特性 支持对交换机、路由器的探测，检测MAC、IP地址使用情况，支持SNMPv1、v2c、v3 支持子网内的IP地址使用图形化展示，显示IP地址空闲、动态分配、固定分配、冲突（手工设置）等 支持对交换机、路由器的管理IP设置，增加IPAM探测能力 开发接口 提供黑、白名单同步接口API，允许第三方系统通过API进行集成 ▲ 提供计费联动接口API，允许第三方系统通过API进行集成 提供固定IP分配接口API，允许第三方系统通过API进行集成 9结构化综合布线的设计标准及设计原则9.1设计标准TIA/EIA568A商务建筑物电信布线标准TIA/EIA568B商务建筑物综合布线标准TIA/EIA569商务建筑物电信布线路由标准TIA/EIA570北美住宅和小型商用通讯布线标准TIA/EIA606商用建筑电信基础设施管理规范TIA/EIA607屏蔽与接地规范EIA/TIATSB-67商务建筑物电信布线测试标准EIA/TIATSB-72集中光纤布线指导原则ANSIFDDI美国国家标准：分布式光纤数据接口IEEE802.3国际电子电气工程师协会：CSMA/CD接口方法IEEE802.5国际电子电气工程师协会：令牌环接口方法NFPA70美国国家电力章程ISO\IEC11801：2002国际综合布线标准EN50173欧洲商务建筑物综合布线标准EMC欧洲电磁兼容性标准YD/T926.1-2000大楼通信综合布线系统标准（邮电部部颁行业标准）JGJ/T16-92民用建筑电气设计规范GBJ42-81工业企业通信设计规范GBJ79-85工业企业通讯接地设计规范GB/T50311-2000建筑和建筑群综合布线系统工程设计规范GB/T50312-2000建筑和建筑群综合布线系统工程施工及验收规范YD/T9261-2-1997大楼通信综合布线系统行业标准9.2设计原则1)全部采用符合综合布线标准的产品与网络相关建设采用的所有产品均符合国际EIA/TIA568及国内布线相关标准。2)水平和骨干电缆系统采用星形拓扑，水平电缆长度最大不能超过80米，如果考虑跳线、接插线和设备电缆，可再增加10米，超过10米的长度，应从水平配线系统的80米限额中减去。3)对于每个建筑物，所选择的骨干电缆媒介(铜缆/光纤)应满足业务和距离的要求。如使用光缆，每个配线间至少有16芯单模光纤，各配线间的话音和数据骨干电缆分开。4)符合布线标准的结构化设计，便于信息点的增加、扩展、变更、移动，易于系统维护管理。5)在每个主配线终端和通信配线间的话音和数据终端应分开。6)每个工作站或工作区域应有两条四对专用水平电缆，分别用于话音、数据。7)电信配线间的位置设置应满足80米的最长水平配线要求。超出80米时，采用多个配线间。9.3系统设计方案9.3.1整体布线要求1）外观。不管是模块式信息插座、组合式信息插座，还是大对数配线架及端子板，给用户的第一眼感觉就是结构紧凑轻巧、体积适中(占用空间小)、组装工艺简明而细致。2）灵活性。由于所有信息系统采用相同的传输介质、物理结构采用星形布线方式，因此所有信息通道是通用的，每条信息通道可支持电话、传真、多用户终端、100Base-T、1000Base-T、1000Base-TX应用。所有设备的开通及更改不需改变布线系统，只需增减相应的网络设备及做必要的跳线管理即可；系统组网也可灵活多样，甚至在同一房间内可以多用户终端、100Base-T工作站，各部门即可独立组网又可方便地互连，为合理组织信息流提供了必要的条件。3）可靠性。综合布线工程中采用高品质的标准材料，并采用组合压接方式构成一套高标准信息通道，所有器件均通过UL、CSR及ATM标准组织认证，信息通道都要采用专用测试仪器校核线路阻抗及衰减率以保证其电气性能，布线系统全部采用物理星形拓扑结构，点到点端接，任何一条线路故障均不影响其它线路的运行；同时为线路的运行维护及故障检修提供了极大的方便，从而保障了网络系统可靠运行。各系统采用相同传输介质，因而可互为备用，提高了备用冗余。9.3.2布线材料、设备的具体要求与实施规范1）网线要求六类网线。符合TIA/EIA568标准，支持快速以太网100BaseTx、千兆以太网1000Base-T应用。楼层交换机到端口的布线距离一般是不超过80米，跳线不超过10米。接线线序统一采用TIA/EIA-568B线序（568B：橙白-1，橙-2，绿白-3，蓝-4，蓝白-5，绿-6，棕白-7、棕-8）。2）端口模块要求六类模块，接口形式为RJ45，符合TIA/EIA568标准，支持快速以太网100BaseTx、千兆以太网1000Base-T应用，接线线序统一采用TIA/EIA-568B线序（568B：橙白-1，橙-2，绿白-3，蓝-4，蓝白-5，绿-6，棕白-7、棕-8）。3）面板RJ45标准插座面板，与模块配套使用。4）水晶头要求六类水晶头5）配线架要求六类24位/48位配线架，配线架以精巧的模块化设计，确保其性能可靠、兼容性及快捷简易的安装，更便于灵活跳接和管理，满足用户指定需求。接线线序统一采用TIA/EIA-568B线序（568B：橙白-1，橙-2，绿白-3，蓝-4，蓝白-5，绿-6，棕白-7、棕-8）。6）标签所有使用的标签皆为专用机器打印，标签都打印在永久性的标签上，并用永久性的防水薄膜覆盖。在穿线安装施工的过程中所有的线缆都单独标签，终端的配线架对应的给出标签，都使用标签给出标识，所有的插座端口也给出安全的固定的标签来标识，而且所有的插座面板符合招标文件的要求看标签就可以区分信息模块是数据、语音，还是光纤应用。所有的配线和跳线都给予标识并单独编号，使得最终用户的管理更为方便快捷。7）网线标签的规范网线标识规范：房间端口到弱电间的网线以几栋+房号+“-”+端口数量序号为标识名称，如A栋520房间端口到弱电间的网线、面板、跳线、配线架相应接口的标签应该为：A520-1，A520-2，A520-3……8）光纤标签规范水平子区间以几栋几楼+“-”+线芯数量序号为标识，如A栋5楼东西两边相连的光纤标识应该为：A5-01、A5-02、A5-03、A5-04……9）供电网络设备的供电必须是独立的，不能与其他非网络设备（如监控）同接在一个电闸开关上。9.3.3综合布线的保用计划保证是从施工验收之日起，保证系统十五年内达到国际布线标准的要求，包括ANSI、TIA、EIA、ISO、IEEE、ATMForum、FCC、CISPR、CSA及ITU-T等多个国际标准组织制定标准。在十五年的质保期内，将免费为用户修理或更换不良产品，并包括支付相关的劳务及人工费用。1