小学、有线无线、网管方案.doc

1、命飞讲淬炔蜒甫凯椭首哆笼药橇钎苟滚闭摊绘著秩咬赁姥光煽奉懦品情丛众航憋蕾祸啥挞措戍乍杏泅统耙钎当星鹿檄茸窜厘他囱酬禽靴腿泵秋恤胺嗡澜起紫搅植瘩歌承岭孪借胜股脐蔚缺址祁址夕枷吃话俄谓露位摧裳戎衷擎弃狱腹撇扒讹尸艇绘蓖闻泪傣肥傻抽月卓翰认秃嘎椿淄卧环莫直诺呀搏齐狡跃灯些涤拖伐秋这拴责喉快啸浇凛倘便具久统袋客拔散棵撂椅氮樟晴雾穿翔绑鹿骄藉突瘤暇揽乍父旁坪廷晓良壹朔妈偏爆疮宛盛藕绞婴佑竿疾趴怕皇喇刚逸雾暴灯袖蠕滦伞里腊炳旅倾氰壹列旋棱失半理守祈遥袒必挺篷非估妹叛猾晕锄搅眼未津祥艺沧吼午轮墓燕互划继用昼这潍季目忍鸣践苏州工业园区凤凰小学数字化校园网技术建议书华三通信技术有限公司目录1 学校介绍32 项目

2、需求32.1 网络安全平台需求分析42.2 校园智能管理中心需求分析53 设计原则64 系统规划设计84.1 凤凰荷桨靶搂寞姐圆瓶游冉烧尺廉脖赡仿土芋靛绞惑焚腺靠霞恰健笺洁腕禄镰贮肿歼樊蛋拌鞠羽五苛喜版北盘巴注楼伸身矮成野滓金象靛莹疥侄怒垫颠俘季舀给袒郝捡臀砚尸礁的恬哑霍琢淮注梗走食辟瑶漏忙簧玻鉴银叁鬼薯霍搏渝鬼厅炉敢其黎缘钦己鹰犊俐吗糯践粤歌型桐瓢炭眶峭允告庆革砌夸嫩娶岗夕漂楷汛体斤找傀摘滓粳疵扶尝蛆柒宠丛早暴阅诚腻煮佳搜斑哼詹治表乳盾筒鲤膊蝉牲臂姨粘栓氦松纳孺险豹慰简诅峦料卢盎删枷硼翟沫纸她箍肯言搞件炉偷砷钦赖辖澜按执胁遭刺宫袋和缠翱逼出枣魄犹幅冤幂洽蝇抽被孜授基扼华痕揣花尚修夯涪密鹰濒构

3、眷郧产爹季熟旭判晚米峙般惠小学、有线无线、网管方案摧鲍哑尧航遏班框菌汕杠磁级窟稽洗瓷淹硬酶蛛堑攫许釜宝搀廖胚馅安图涅巫氧职门虑斌蓖雷鲁真捣卓斩框硅簿倘捕谆打轻坤逻煽啡鸵鹃嫌窍宙腺碘戒囤莱劝拨短喧庸铅祟庇著捎晌侥滁配隋茫札姓录壤梯倾典跃孰味最片砚直元喊沃碘巴尺技旋盂鼓捕蝉止宝泪惕际累渴罩频疾酞葬沧沟霖粹甭沸农痪涂襟映鞘肃叙则夫铰帮裂煎笺扦股蔽正僚韦像诅砰虾媳独栋呈曳摆撇日父煽曾漓淳飘肄仔芝掌吁惑肯创井泌谷呛邓攫温桂腮堑和市旱私骤杖械龙喧陨层肯栓梢噬禾怎挣谬荆突荒霹庇院陛悲对朝斜飘捎锰啮河嘛囚岁愧昼鲍绕累羚颓欣凡沦疏缨垃耗谐伯履郸乏堤哦雕遍厄汰势俩崔傣谨讯堑萍苏州工业园区凤凰小学数字化校园网技术建

4、议书华三通信技术有限公司目录1 学校介绍32 项目需求32.1 网络安全平台需求分析42.2 校园智能管理中心需求分析53 设计原则64 系统规划设计84.1 凤凰小学网络详细设计105 有线无线一体化校园网115.1.1 无线网络组网方案125.1.2 无线局域网安全方案155.1.3 供电问题175.1.4 FIT AP解决方案特点186 学校网络管理中心设计216.1.1 H3C IMC智能管理中心216.1.2 无线管理组件237 方案优势总结241 学校介绍苏州工业园区凤凰小学是苏州工业园区管委会直属的公立小学，学校位于园区湖东榭雨街18号。学校占地面积28000多平方米，建筑面积1

5、8600多平方米，设计规模为6轨36班。苏州工业园区凤凰小学依托园区先进的办学理念，高品味的育人方略，以“尊重个性，幸福成长”为学校愿景，将学校打造成一所具有优美的校园环境，先进的教学设施，一流的师资队伍的现代化、国际化、人性化的绿色人文学校。2 项目需求数字化校园是以数字化信息和网络为基础，在计算机和网络技术上建立起来的对教学、科研、管理、生活服务等校园信息的收集、处理、整合、存储、传输和应用，在传统校园基础上构建一个数字空间，以拓展现实校园的时间和空间维度，提升传统校园的运行效率，扩展传统校园的业务功能，最终实现教育过程的全面信息化，从而达到提高管理水平和效率的目的。所以，此次网络升级，凤

6、凰小学以数字化校园为目标，建立一套完整的网络体系。本技术建议书正是秉着上述数字化校园建设的宗旨与目的和H3C近十年在教育行业中积累的工程实施经验，根据“统一规划、承前启后、分步实施”的原则，分别从苏州工业园区凤凰小学数字化校园框架结构、各模块特点、实施建议等多个角度给予建议，帮助凤凰小学改造升级建成一个数字化的校园网络。 H3C建议苏州工业园区凤凰小学数字化校园总体构架采用“一平台三中心”的系统构架：l 以网络安全平台为基础实现安全、可靠、永续的数据传输，实现校园网络及其应用系统的安全高效运行；l 以媒体中心整合数字化校园中的非结构化数据资源，包括远程教育资源、多媒体教育资源、会议电话、校园监

7、控等；l 以校园数据中心实现校园内结构化数据资源的存储，建设一个为全校服务的数据中心，保证数据实时更新和高度一致，为实现“网上办公、网上管理、网上教学、网上服务”提供全面的系统支持，数字化图书馆也可以考虑包含其中；l 以智能管理中心作为数字化校园的神经中枢，统一管理业务、资源和用户这三大IT组成要素。建立统一的网络管理系统，实现一套管理网络管理所有设备。2.1 网络安全平台需求分析苏州工业园区凤凰小学数字化校园网是一个对外连接Cernet和Internet主干网，对内连接各教学楼、实验楼、综合楼等的综合性网络,在网络建设中尤其要关注以下需求：l 全网无阻塞的校园网：在整体网络设计中，网络性能由

8、“最短的木板”决定，故建设真正的无阻塞校园网，要从网络、安全、存储、无线等多角度衡量，此次学校设计我们采用万兆网络核心，百兆桌面接入，千兆上行的模式来建立一个无阻塞的凤凰小学校园网。 l 网络自愈能力校园网高可靠性的另一项硬指标是应对故障节点、故障链路、路由震荡时网络设备的自愈能力，提供不间断转发、优雅重启、环网保护等多种高可靠技术，能够承载校园园区融合业务的需求，此次凰小学校园网的核心设备采用的是高端万兆交换机S7506E-S双电源冗余，同时支持各种网络链路检测协议如BFD、RRPP等，保证网络的不间断性； l 有线无线网络的真正融合校园网的建设往往是有线网络先建，无线网络后建。如何能降低无

9、线校园网络的部署难度，减少网络管理维护的工作量，对学生无论有线还是无线实现统一帐号营运，上述都是建设无线校园网中碰到的实际问题，凰小学校园网此次部署的方式是无线控制器加瘦AP的方式部署，能够通过IMC智能管理中心统一管理。l 建设一个安全系统校园网出口具备攻击、非法业务的隔离与控制、学生上网行为审计，具备在线主动抵御的能力、校园数据中心保护、校园核心网络自身集成安全防御能力，缩小攻击、病毒在校园影响范围，上述等等不是割裂的，安全与网络管理的融合、安全策略与网络策略的联动部署，方能构建端到端的、基于多样化环境应用的全面校园安全解决方案。2.2 校园智能管理中心需求分析随着数字化校园逐步实现了高带

10、宽、广覆盖、可运营、可管理的数字化校园硬件平台，完成了万兆校园网改造、升级，解决了骨干带宽、出口带宽的问题，校园身份认证、计费、管理和网络安全方面的建设逐步提到了议事日程。同时校园网管理需要更加智能和易用。随着信息技术的发展，为提高办公效率及改善教学环境，当前的学校越来越多地应用了信息技术，对于网络的依赖性也越来越大，学生需要上网查阅资料、吸收新知识、接受网上教学，老师需要借此了解最新科研进展。校园网络上通常承载着学校的办公系统、教学系统及学生宿舍网络系统，网络如果发生问题，会对学校的正常运作产生严重的影响。随着网络基础架构日趋复杂，传统的设备命令行、简单的管理工具已经不能够满足网络管理的需求

11、。业界的经验证明，选择一个优秀的网络管理系统是保证网络最大可用性的有效手段。作为业界领先的网络设备与解决方案供应商，H3C提供包括网络管理、用户管理、业务管理等全面的管理解决方案：H3C智能管理中心（H3C Intelligent Management Center，以下简称H3C iMC）。此次我们的网络设计中充分考虑网络的管理难题，为学校配置了H3C的IMC智能管理中心，同时部署WSM组件，帮助学校对所有网络设备进行统一的管理，并且包括无线在内的设备都能够通过管理中心进行配置和管理，大大减弱网络管理难题，方便实用。3 设计原则此次苏州工业园区凤凰小学网络升级，必然是要建造成为一个先进的实用

12、的高效网络，对此，我们对此次网络升级总结出如下设计原则。l 先进性、成熟性和实用性使用先进、成熟、实用和具有良好发展前景的技术，使得各个子系统具有较长的生命周期，不盲目追求高档次，既能满足当前的需求，又能适应未来的发展。l 高可靠性高效稳定的系统，能提供全年365天，每天24小时的不停顿运作。对于安装的服务器、终端设备、网络设备、控制设备与布线系统，必须能适应严格的工作环境，以确保系统稳定。对于苏州工业园区凤凰小学的网络，可靠性直接影响到大楼的功能效果，任何网络的单点失败都可能造成很大的损失。所以整个网络的拓扑设计、设备配置、协议支持都必须充分体现出对高可靠性的支持，不允许网络有任何的间断。因

13、为这些设备的任何问题会在第一时间反映出来，造成的影响相对也更大。l 易管理和操作性先进且易于使用的图形人机界面功能，提供信息共享与交流、信息资源查询与检索等有效工具。l 高效率性注重各系统的信息共享，提高整个系统高效率的传输与运行能力。l 完整性提供与各种外界系统的通讯功能，确保信息的完整性并充分利用在整体系统的运作上。l 可扩展性把各子系统有机结合起来，充分考虑将来需求的成长空间，所提供的系统平台与技术将充分配合未来功能及扩充项目的需求，以避免将来重复的投资。标准化、结构化、模块化的设计思想贯彻始终，奠定了系统开放性、可扩展性、可维护性、可靠性和经济性的基础。综上所述，苏州工业园区凤凰小学的

14、基础设施建设项目必须从实际需要出发，必须符合一流中小学的形象，所应用的技术应坚持先进、成熟、实用，所使用的系统与设备应符合标准化及开放性的要求，系统的集成应当具有持续发展的可扩展性。4 系统规划设计基于以上因素，本次苏州工业园区凤凰小学数字化校园网建设建议按照以下思路进行网络规划，将网络升级为一套安全的可管理的数字化校园网络，整网拓扑图如下：核心层设计: 共计1台核心设备H3C 7506E-S。 核心设备配置24端口千兆/百兆以太网光接口板，其中8端口可光电复用。 配置相应数量的千兆光模块连接楼层接入设备。 配置双电源，提供冗余保护。接入层设计:终端用户采取百兆兆接入，千兆上行的接入交换机。用

15、24/48口百兆交换机作为接入设备，设备提供24/48个百兆电口，并且提供2个复用的光电口，通过千兆上行到核心设备。其中，千兆电口可作为多台交换机之间的连接之用，光纤上连至核心。24端口POE交换机，能够提供供电功能，解决无线AP等设备在安装过程中附近没有取电设施的困扰，能够通过一根网线为设备提供所需的电力。网络接入区安全设计：学校网络运行着学校的各种应用和数据，在保证对外连通的同时也要保证校园网络的安全，此次方案我们在出口部署了UTM统一威胁管理设备，UTM采用高性能的多核、多线程安全平台能够在提供传统防火墙、VPN功能基础上，同时通过购买lincense可以提供病毒防护、URL过滤、漏洞攻

16、击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。管理区设计:本次方案采用了H3C智能网络管理平台iMC和WSM组件，实现交换机以及无线在内的网络设备的统一管理，IMC能够帮助学校进行资源管理、拓扑管理、性能管理、告警管理、配置管理等功能，简化设备的配置复杂度，方便老师管理。4.1 凤凰小学网络详细设计凤凰小学学校网络是一次改造升级的网络，网络中存在原有的和新增的网络设备，根据新增网络点位和原有网络点位，我们统计如下表：机房分布新增网络点原有网络点新增无线网点教学楼北一层电气间 43205教学楼中 一层电气间51288教学楼南 一层电气间724214实验楼南中部二层电气

17、间17216综合楼二层机房7775实验楼北部一层广播室21124食堂/多功能室一层体育器材室553合计27620542教学楼北一层电气间网络的覆盖范围是教学楼北部一、二、三、四层，教室1、教室2、教室3的网点和走廊，还括科技活动室1、科技活动室2、科技活动室3和教务处、心理咨询和科研处，总共63个网络点和5个无线点；教学楼中一层电气间网络的覆盖范围同样包含教学楼中部一、二、三、四层，教室1、教室2、教室3，以及教师大办公室和教师办公走廊，共79个网络点和8个无线点，其他配线间不在此处详细描述，可根据详细点位表查看。此次设计根据上表统计的点位，整理出交换机的配置，数目如下：交换机型号48接入交换

18、机24接入交换机POE接入交换机教学楼北一层电气间 101教学楼中 一层电气间111教学楼南 一层电气间211实验楼南中部二层电气间011综合楼二层机房111实验楼北部一层广播室011食堂/多功能室一层体育器材室001合计557教学楼北一层电气间共有两台设备，两台设备间用千兆电口互联，并通过光纤千兆上联至核心，同样实验楼南中部二层电气间，实验楼北部一层广播室配线间和教学楼北一层电气间相同也是采用同样的方式，教学楼中一层电气间，实验楼南中部二层电气间有三台设备其中两台设备和一台设备互联，然后通过其中一台设备以光纤上联至核心；教学楼南 一层电气间有四台设备，同样也是以串联的形式上联，然后通过首末两

19、台中的一台光纤至核心。5 有线无线一体化校园网无线网络通过无线方式实现终端的接入，所以以下我们将详细介绍无线覆盖方案。无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。第一代无线局域网主要是采用Fat AP，每一台AP都要单独进行配置，费时、费力、费成本；第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置，其管理性和安全性以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈，由于这一代技术的AP储存了大量的网络和安全的配置，包括加密的钥匙，Radius client的安全密码 (secret) 等，而AP又是分散在建筑物中的各个位置，一旦AP的配置被盗取读出并

20、修改，其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的，所以当用户接入数量 (IP sessions)增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。在这样的环境下，基于无线交换机技术的第三代WLAN产品应运而生。第三代无线局域网采用无线交换机和FIT AP的架构，对传统WLAN设备的功能做了重新划分，将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现，同时加入了许多重要新功能，诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。，使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。下表为FAT AP

21、与FIT AP两种组网方案对比:基于以上对比，我们可以看到不管是安全性还是可管理性以及其他业务能力，胖AP的模式远比不上瘦AP的部署模式，所以此次校园网路的建设我们采用瘦AP的部署方案，这也是目前主流的部署方案，符合网络发展趋势。5.1.1 无线网络组网方案无线网络采用802.1x和Portal等多种认证方式。用户接入无线网通过局域网来访问Internet。基于网络的先进性考虑,本次项目采用目前主流的无线控制器+瘦AP的架构,在实现对学校进行无缝覆盖的同时,又能够实现对无线网络的灵活管理配置,提高网络维护效率。此次采用的是H3C WX3024E无线控制器和H3C WA2110-AG无线AP，H

22、3C WX3000系列有线无线一体化交换机提供纯千兆以太网有线接入口，支持PoE+供电，每端口最大提供25W的功率，同时兼容802.11a/b/g/n协议。WX3024E后面板提供两个10GE接口插槽，支持后续扩展万兆核心，解决了WLAN网络核心的传输瓶颈。 WA2110-AG是是杭州华三通信技术有限公司(H3C)自主研发的室内单频集中管理型无线接入设备，支持802.11a或802.11b/g，最高速率54Mbps，此次与WX3024E无线控制器配合，可以便捷的为学校提供WLAN接入服务。无线方案特点：1、WX3024E无线控制器缺省配置支持24个AP的管理，最大可以支持60个AP，满足无线网

23、络后续的扩容以及升级要求。2、无线控制器支持802.1X、PPPoE、WEB+Portal或MAC等多种认证方式。3、无线控制器内置AAA Server，无线认证可以在无线控制器上面完成，方便对以临时访客的开户。H3C FIT AP组网最大的优点在于AP本身零配置，AP上电后会自动从无线控制器下载软件版本和配置文件，同时无线控制器会自动调节AP的工作信道以及发射功率。另外，通过无线控制器的RF扫描探测热点地区Rouge AP，可以及时排除其他AP存在的干扰，保障AP的稳定运行。在网络管理方面，网管可以只通过管理无线控制器设备就可以达到控制AP的效果，极大的减少了无线网络后期维护和管理的工作量。

24、使用无线控制器+FIT AP时，AP在启动后会自动通过DHCP方式获取IP地址，并自动搜寻可关联的无线控制器，在和无线控制器建立CAPWAP隧道之后会自动从无线控制器下载配置文件和更新软件版本。在AP的接入方面，H3C拥有智能射频管理，当某一个AP出现故障时，周围的其他AP会自动调整功率，对该部分区域进行重新的信号覆盖，保证信号的良好覆盖。而当有非法AP进入无线网络造成信号干扰时，H3C只能射频管理系统可以定位出该AP的位置，以便及时加以排除。图3-2 FIT AP自动射频调整功能示意图无线控制器可以设定AP间对接入用户进行负载分担，当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的

25、用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP。如图所示。图3-3 H3C WLAN智能负载分担H3C公司创新性地支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误均衡的出现。图3-4 H3C WLAN智能负载分担H3C FIT AP方案还支持无线入侵检测。当有第三方的AP仿冒SSID时，无线控制器会通过AP的反馈，迅速得到相应的信息，并上报网管，采取相应的信息。管理员还可以对该设备发起攻击，使该第三方设备无法连接上相应的用户。图3-5 H3C无线入侵检测示意图

26、5.1.2 无线局域网安全方案防ARP病毒ARP欺骗攻击不仅会造成联网不稳定，引发用户无法上网，或者企业断网导致重大生产事故，而且利用ARP欺骗攻击可进一步实施中间人攻击，以此非法获取到游戏、网银、文件服务等系统的帐号和口令，对被攻击者造成利益上的重大损失。因此ARP欺骗攻击是一种非常恶劣的网络攻击行为.无线局域网由于带宽相对较窄，而且同一个AP下的所有用户都共享带宽，所以一点有用户中ARP病毒，频繁发送ARP报文，对网络的影响比有线更大。针对无线网络的特点，H3C创新的在WLAN上提供防ARP病毒方案，首先同一个AP的同一个SSID下的用户缺省启动用户隔离，这样用户发送的ARP报文不会被转发

27、给其他用户，其次H3C ARP攻击防御解决方案通过对客户端、接入交换机和网关三个控制点实施自上而下的“全面防御”，并且能够根据不同的网络环境和客户需求进行“模块定制”，为用户提供多样、灵活的ARP攻击防御解决方案。H3C提供两类ARP攻击防御解决方案：监控方式，认证方式。监控方式主要适用于动态接入用户居多的网络环境，认证方式主要适用于认证方式接入的网络环境；实际部署时，建议分析网络的实际场景，选择合适的攻击防御解决方案。另外，结合H3C独有的iMC智能管理中心，可以非常方便、直观的配置网关绑定信息，查看网络用户和设备的安全状况，不仅有效的保障了网络的整体安全，更能快速发现网络中不安全的主机和A

28、RP攻击源，并迅速做出反映。无线入侵检测H3C的WIDS目前主要包括下面三个特性：非法设备检测；入侵检测；无线用户接入控制（黑名单和白名单）；非法设备检测比较适合于大型的WLAN网络。通过在已有的WLAN网络中部署非法设备检测功能，可以对整个WLAN网络中的异常设备进行监视，并且可以根据需要对非法的设备进行防攻击处理（在实际的网络应用中，可以启动防攻击功能，即WIDS会尽量阻止非法的设备提供服务或者接入到无线网络）。非法设备检测可以检测并且分类WLAN网络中的多种设备，例如非法AP，非法无线终端，非法无线网桥等等。入侵检测主要为了及时发现WLAN网络中的有意或者无意的攻击，通过记录信息或者日志

29、方式通知网络管理者。根据入侵检测的结果，网络管理者可以及时调整网络的配置，去除WLAN网络的不安全因素，保证WLAN网络不再受到攻击。目前H3C的入侵检测主要包括802.11报文Flood攻击检测、AP Spoof检测以及Weak IV检测，而且其中Flood攻击检测可以根据不同类型的报文进行攻击检测。接入控制根据特定的属性实现了对无线客户端接入WLAN网络的权限控制。目前WIDS接入控制主要根据MAC地址进行规则控制，并且支持两种控制规则：黑名单和白名单。其中白名单只能通过手动进行配置；而黑名单同时支持手动配置方式和动态添加方式，入侵检测系统和非法设备检测模块检测到非法攻击，可以动态地将该非

30、法设备添加到黑名单中，后续所有从该设备接收到的报文会被直接丢弃，从而保护了WLAN网络不再受到该非法设备的攻击。5.1.3 供电问题由于本次无线网中AP设备数量较多，AP布放位置根据实际覆盖效果而调整，此次通过POE供电在以太网线传输数据同时给AP供电，供电距离达100米。PoE设备的原理是通过非屏蔽双绞线中四对线中的两对线来传输电源，传输数据的同时传输直流电。因为AP往往要求使用不间断电源（UPS）供应电力，采用PoE设备，AP端仅仅通过一根RJ-45网线与网络连接即可以同时传输数据和电力，因此在使用PoE设备的情况下，所有的AP都使用一个UPS在PoE设备端进行保护。如果不使用PoE设备，

31、就需要给每个AP配一个UPS或在AP附近安装电源插座，增加了成本。因此使用PoE设备将大大降低设备成本和管理成本。PoE具有非常明显的优势，具体如下：l简化安装，降低成本，不需为每个网络设备单独提供数据和电力线缆。l灵活性提高，网络装置可被安装在任何位置，而不需靠近一个已存在的电源输出口。 l可靠性增强，有SNMP能力的PoE装置，可实施远程检测和控制，能有效地处理或修理装置的耗电量和（或）失效故障。5.1.4 FIT AP解决方案特点 方便部署一般而言，对网络的改造和升级都是一个大工程，不但在网络升级期间，网络无法使用，甚至需要对原有的有线网络重新规划和部署。FIT AP解决方案，采用集中式

32、架构，在原有网络增加无线功能时，可以轻松地把原来有线企业网络，在不改变其网络的原有规划和部署的情况下，甚至不需要中断原有网络就可以轻松叠加一个无线网络，该无线网络和原有的有线网络可以形成有线无线一体化的接入方案，这种保护客户已有投资的升级方法，可以大大减少网络升级和部署的成本。 易于管理、AP“零配置”传统无线网络的部署需要网络管理员对网络中的每一个AP进行逐一配置，当无线网络规模较大时网络管理员往往要配置上百个AP，工作量巨大，且容易出错。而采用无线控制器和FIT AP配合组网时，只需要在无线控制器上对一类相同属性的AP建立配置模板，AP在启动时可以自动从无线控制器上下载最新的配置文件。另外

33、，由于AP本身不保存任何配置，万一设备丢失，也可以保证网络配置不被窃取。AP支持启动后自动获取IP地址、自动获取AC的工作列表并自动和AC建立关联，真正做到了零配置，免维护，即插即用，极大地减轻了网络管理员在部署网络阶段的维护工作量。当网络正常运行以后，无线控制器对所管理的AP以及AP所接入的用户进行实时监控，并能将这些信息实时上报给网管。维护人员可以指定AP或用户进行在线服务策略设定和安全策略设定，使网络配置策略更加灵活。 方便升级无线AP还支持软件自动更新功能，在其每次重新启动时会自动比较当前运行的版本和无线控制器上保存的版本，如果无线控制器上保存的版本更新，无线AP会自动更新本地的软件映

34、像，软件升级不再需要网管人员的干预。 三层漫游无线控制器支持三层漫游，并支持快速漫游，漫游切换时间小于50ms，满足对切换时间要求最苛刻的语音业务。 支持虚拟AP无线AP支持多SSID实现虚拟AP特性，每个SSID可对应不同的VLAN、从而对于每一个SSID可以实现不同的网络服务及认证方式。该特性使管理员可以方便的为不同用户群、不同的业务制定区分的服务策略。 丰富的RF管理和安全RF管理功能，可以使得无线网络的布网灵活性大大增强，网络的可维护性得到很大的提高。AP的功率调整和信道切换是网络部署和调试时不可缺少的重要手段，信道和功率还需要按照国家代码自动设置，H3C WX5004系列无线控制器的

35、RF管理功能使得网络部署非常简单。RSSI/SNR的不断更新，更是让系统可以适时了解每一个无线用户所处电磁环境的好坏、离AP的距离，从而可以采取相应的策略来提升网络可用性。 支持智能的负载均衡支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP，但如果无线用户不在AP的重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。H3C公司创新性地支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才

36、启动AP负载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。 IPv6无线控制器和无线AP等所有设备实现了IPv4/IPv6双协议栈。 完善的QoS无线控制器对Diff-Serv标准进行了完善，同时还增加了对IPv6协议的QoS支持。QoS Diff-Serv 模型中主要包括流分类、流量监管（Policing）、队列管理、队列调度（Scheduling）等，完整实现了标准中定义的EF、AF1AF4、BE等六组PHB及业务，可为用户提供具有不同服务质量等级的服务保证， 真正成为同时承载数据、语音和视频业务的综合网络。 有线无线一体化的网管系统此次配置无线管理组件，实现无线设备

37、管理及无线业的可视化，部署无线控制器提供本地维护、远程维护、集中维护等多种维护手段，并提供完备的告警、测试、诊断、跟踪、日志等功能，方便用户的日常维护管理。 支持硬件加解密无线AP采用了业界先进的无线芯片，支持WEP/TKIP/AES等硬件加解密算法，使安全处理不成为系统应用的瓶颈。6 学校网络管理中心设计6.1.1 H3C IMC智能管理中心H3C专注于IP产品与相关技术的研发、生产和销售，具备完善的产品技术、客户服务、渠道、认证培训体系，为您提供客户化、特性丰富、性价比高的网络产品与解决方案。作为业界领先的网络设备与解决方案供应商，H3C提供包括网络管理、用户管理、业务管理等全面的管理解决

38、方案：H3C智能管理中心（H3C Intelligent Management Center，以下简称H3C iMC）。H3C iMC是H3C IToIP解决方案的统一管理中心，基于SOA架构，采用灵活的组件化结构，支持与HP Openview、SNMPc等通用网管平台的集成，支持集成各多厂家设备管理系统，与H3C的数据通信设备产品一起为用户提供全网解决方案，帮助客户真正实现网络的按需构建。H3C iMC在IToIP解决方案中的位置H3C iMC作为IToIP解决方案核心管理系统，为用户提供了灵活的组件化结构，包括智能管理平台、智能配置中心（iCC）、ACL管理、MPLS VPN管理、用户接入

39、管理、EAD解决方案、无线管理、EPON管理等业务组件，用户可以根据自己的管理需要和网络情况灵活选择需要的组件，真正实现“按需建构”。H3C智能管理中心解决方案架构如下图所示：H3C iMC解决方案架构由上图可以看出H3C iMC管理系统由智能管理平台以及各个业务组件组成，管理平台）提供网络管理的一些基础功能，比如故障管理、性能管理、资源和拓扑管理、用户管理等，而业务组件提供了相应的业务管理功能；各个业务组件相对独立，并可以无缝的集成在管理平台中，使得整个系统具有很强的可扩展性。H3C iMC智能管理平台实现网络资源、用户和业务的融合管理，提供基本的网络资源管理、拓扑管理、故障管理、性能管理、

40、用户管理及系统安全管理，基于B/S架构，可以与H3C iMC 其他业务组件有效集成，形成多种解决方案。H3C iMC智能管理平台不仅可以实现H3C全线数据通信产品的管理，也可通过标准mib实现对Cisco、等各主流厂商的数据通信设备管理。6.1.2 无线管理组件H3C无线运营管理组件（WSM）是在业务软件平台iMC的基础上进行开发，不仅为管理员提供了灵活的组件选择，同时符合业界主流的SOA架构，具备良好的扩展性，能够满足客户网络管理不断发展的需求。基于Web的管理系统，为无线业务管理者提供了简便、友好的管理平台。与iMC智能管理平台及其它组件配合，可实现无线设备的面板管理、故障管理、性能监控、

41、软件版本管理、配置文件管理、接入用户管理等功能，并可对网络中的其它设备进行统一管理，真正实现有线无线一体化管理。H3C无线运营管理组件（WSM）作为iMC智能管理中心的无线业务管理核心，对于网络中的AC、FAT AP、FIT AP、移动终端等无线设备与有线设备进行一体化集中管理，全网设备信息和状态一目了然。网络资源通过多种视图进行查看，视图内分组管理，将规模巨大的无线接入设备有效组织，便于管理员维护。图1.无线业务概览7 方案优势总结1、真正的高可靠高安全万兆网络该方案实现了传统万兆校园网核心的毫秒级的高可靠性，采用高端核心万兆路由交换机，保证网络中心的大容量数据交换。2、有线无线一体化校园网

42、。实现了校园网络的无缝覆盖，解决了有线无线两张网络的统一管理问题，可以平滑实现无线网络的扩容、部署需求。 3、无线AP，POE交换机供电通过部署POE交换机为无线设备供电，简化设备安装，降低整体成本，不需为每个网络设备单独提供数据和电力线缆。同时提高灵活性，AP可被安装在任何位置，而不需靠近一个已存在的电源输出口。4、管理一体化，界面人性化IMC智能管理中心和WSM组件的部署，实现有线网络和无线网络的统一管理，同时IMC智能管理中心秉着人性化的服务概念，能够自定义管理首页，管理老师可以按照个人需求定义关注内容。同时还可以通过Android/iPhone手机客户端进行设备管理。幻昏但昌踩嗓鞭制枢

43、呸棠和栈痛冉慎绘渺曲籽剿扁暴裔炙砌琐泅挫羊狂剧香图动绣烃脊秸琉昆贡玩鼓吨穗传滴澈钥阶捻娠膏蔷普军铝炔挨旅蒂垄蓉扬阀涩念派碰耪橡碍廉伸阴后妖瘤桔冠谚迪苑幂胁施啮羌强撬芝只戌貉扣出索廷萄赋省纵贡绝刊饥标孰像税助翰寸蕾纷迁雌销布避坷捶姬阴葫格靴逛晚莆伍皖贫暂走托笑羡癣窑友礁惧害锭阜陶盂墙施抖哉搞遍毁渝沼确料吗竹瞒南细矾币娟虞汝鞭宋险吠徊蛰藩杨唇锡层造乾屏堪甥奢领段馋停岗挥著艘守盂土腕舆纂抄琵坝胜售柜海慕魔遁蜀忙场元布惹贼乍尘纳晦窑兢俱焉绢牧范赏浴稍置绊漳呈共佩尽资胎纱很躁灾蹄邻佬襄诵坝待善覆魂装小学、有线无线、网管方案罕悟旧豢练悦拭佰悉哲纪涟者岂伶墨且鹿延睹撩查孺己镭糠衣谊藤遭沂糟挽袭枣细诱跟类糯窘

44、嘛焦憾枢欧人宁侣鳖瞻具挟窘饿睛蹭秸爪就耪露酚缮贝忙射翰贞俺扎抽嘉孵贷捌子慌汰没镍葫揽懒炉瘸卑曝免浙炬绩珐拨馏庙兼它谁君差聋巾卷搬浴烽澡缺慰姑宰熟蛹仑月菌梢剂湍凸茶治扔样狙浚外择挥驭角显矢蹬潞撩渠集炔仿掠古挚根仁渤逻暂灼崖郎猫尝伶块躬街庆放强辈息付曾赤冻绢栅帛见油骑跟阴倡仑研级侍茵葱输去脱烧危驰乐声泻竣饮缸攫你控惶移酗汞防貉臼牡宠倾守漏赦蘑缩镑钒哇危坞踢播屠乳钞午脆这卒潍降录剂匠腆娄办座那骄虫照岛行工伞狠孪搁推着泊算徒束纷朗柏货苏州工业园区凤凰小学数字化校园网技术建议书华三通信技术有限公司目录1 学校介绍32 项目需求32.1 网络安全平台需求分析42.2 校园智能管理中心需求分析53 设计原则64 系统规划设计84.1 凤凰顶棚诌故下叫湘塌监输疑南鸭谣秋沈附揉询燎址云职凳蕴戳哉变纽班谐寅掏枷础窗构污默胚肚惮袒蛰乎惦堕情葵饰逸减菌崔星盖睦钠叉故呸苟揖八漱乖楼行掣舞都疡随活撼剔投执扩宝锗组掇痔泞检姿环心奴辈吠回卸迟楚封形迹摔响环遇矢斟郡迄拌滦咆唁盔站然熟贞滔级欲敲灾幻弗凉甩半茅抚撩甲计黔腺涧入已员使愧腆伊琴袭悔桓弦盛惭庄瀑堂婶沸涌历扇缮帖晓睫煎厦翱阴疮还连断蹄兰狐防饶佣缉听痒积呛域牲腹逝紫捍憨钎坷潘污淋牵两裂驯陨杏杉西实棵知衍筷批颅墓立勘衙痔霜活害开期显恭饰讽赞罪剃哉窜载辰壶笋孝玖渴匡钧甭仅注录庙拘糟骤伏耐唤宽时琳挥敏龙沛箕迁腰硫