一期无线网络建设建设方案.docx
《一期无线网络建设建设方案.docx》由会员分享,可在线阅读,更多相关《一期无线网络建设建设方案.docx(28页珍藏版)》请在冰豆网上搜索。
一期无线网络建设建设方案
建设方案
一、建设内容
一期无线网络建设优先考虑在学生公寓楼、主要教学楼、图书馆等重要地域的无线覆盖。
本次项目建设方案同时考虑了数据中心安全及安全检测设备等需求。
二、技术要求
1.无线接入设计
本次无线网络建设要求采用有线无线一体化设计,无线AP将通过已建成的有线网络就地接入交换机,然后上行到统一汇聚交换机。
为了保证用户的接入速率,主要的无线接入AP都采用802.11ac技术;同时,为了保证网络高性能,本次无线网络建设采用双频双流以上的无线AP,保证无线用户视频运用流畅,提升用户体验。
2.无线AP管理
要求采用先进和智能的“瘦AP+无线控制器”解决方案,其中瘦AP不负责执行用户认证、数据加密等安全工作,而是由无线控制器执行。
AP具备胖瘦切换功能,AP默认工作在瘦AP模式。
当无线控制器出现故障,或者掉线,AP又将切换成自主模式,保障用户永不掉线。
为了充分利用资源以及后续建设的扩展能力,本次无线校园网建设中要求采用无线控制器板卡,可利用目前已有的无线核心交换机,实现对所有AP的管理和控制。
如不能匹配现有交换机,则须另外配置至少支持8个扩展业务板槽的宿主交换机,交换容量≥7Tbps。
配置无线系统管理平台,管理能力≥5000个设备。
实现用户认证与校园网统一身份认证系统集成。
3.无线AP供电设计
要求采用全千兆POE交换机供电,采用802.3af标准。
4.网络统一管理
本次无线网络建设要求符合现有网络管理模式,实现一体化网管。
网络出现故障,能在最短时间内恢复,提升网络管理效率,进而提升用户体验。
5.用户接入管理
目前学校采用802.1x对入网用户进行认证,考虑到无线接入安全以及后续的计费,要求实现对无线接入用户进行webPortal认证,实现有线无线网络统一身份认证和计费。
WebPortal页面智能推送:
Portal页面可深度自主定制,可以与各种系统(平板、笔记本、手机)终端屏幕自动匹配。
访客无线接入:
要求在特定区域实现基于手机短信获取密码的临时访客无线接入功能,并发访客用户数≥500。
6.无线AP技术参数要求
(1)室内型无线AP(数量1740个)
功能及技术指标
详细技术参数
★工作模式
可支持胖/瘦AP两种工作模式,支持802.11ac协议
★协议支持
同时支持802.11a/n/ac和802.11b/g/n工作
802.11ac/n/a:
5.725GHz-5.850GHz;5.15~5.35GHz(中国)
802.11b/g/n:
2.4GHz-2.483GHz(中国),2.4GHz/5GHz双频同时工作
以上工作频段要求与无线型号核准证上一致
★接口
≥2个10/100/1000Mbps(RJ45),可实现两个千兆端口聚合功能,保证上行链路的可靠性和高带宽。
天线
内置终端感知型硬件智能天线
功耗
为保证绿色节能环保,整机最大功耗小于13W
供电方式
支持PoE或本地电源适配器,保证部署的灵活性
IPv6支持
支持IPv4/IPv6双协议栈、Native原生,特别支持IPv6Portal、IPv6SAVI
加密
支持64、128位WEP加密,WPA,802.11i和WAPI。
用户隔离
支持AP上二层转发抑制
支持虚拟AP(多SSID)之间的隔离
认证
配合AC支持:
PORTAL认证(远程,外挂服务器)、基于SSID的Portal页面推送、基于AP的Portal页面推送、Portal支持代理功能、Portal双机热备、[EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-MD5、EAP-SIM、LEAP、EAP-FAST、EAPoffload(仅支持TLS,PEAP)]、SSID防假冒(用户名与SSID绑定)、LDAP
1.支持802.1X与Portal接入
2.802.1X接入时,支持EAP-GTC和EAP-TLS两种)
QoS策略映射
支持不同SSID/VLAN映射不同的QoS策略
负载均衡
支持用户数负载均衡
支持流量负载均衡
智能带宽限速
1、基于带宽均分算法
2、基于每用户指定带宽的算法
3、在流量未拥塞时,确保不同优先级SSID下的报文都可以自由通过;在流量拥塞时,确保每个SSID可以保持各自约定的最小带宽
其他功能
支持终端智能感知准入
支持广播抑制
支持SSID隐藏
支持动态MIMO省电(DMPS)
入网证
必须持有国家工信部入网核准证
WiFi认证
为保证终端互操作性,必须获得WiFi联盟的802.11ac认证
建议品牌
Cisco、ARUBA、H3C
(2)室内高密度AP(数量20个)
功能及技术指标
详细技术参数
工作模式
可支持胖/瘦AP两种工作模式,支持802.11ac协议
协议支持
同时支持802.11a/n/ac和802.11b/g/n工作
入网核准证证明
802.11b/g/n:
2.4GHz-2.483GHz(中国)
802.11a/n:
5.150GHz-5.350GHz,5.725GHz-5.850GHz(中国)
基础接入模式
必须支持2.4GHz频段,在任何工作模式下必须开启,保证中低端终端的接入
高性能高密接入模式
针对高端终端为主的情况,5G频段接入用户数要大于248,2.4G频段接入用户大于124。
5G频段理论带宽要求大于等于1700Mbps,2.4G频段理论带宽要求大于等于300Mbps
要求提供产品彩页证明
一般性能高密接入模式
针对中低端终端为主的情况,2.4G频段接入用户数大于248,5G频段接入用户大于124。
5G频段理论带宽要求大于等于866Mbps,2.4G频段理论带宽要求大于等于600Mbps,要求提供产品彩页证明
接口
≥2个10/100/1000Mbps(RJ45)
功耗
为保证绿色节能环保,整机最大功耗小于16W
供电
PoE或本地电源适配器,保证部署的灵活性
IPv6支持
支持IPv4/IPv6双协议栈、Native原生,支持IPv6Portal、IPv6SAVI
加密
支持64、128位WEP加密,WPA,802.11i和WAPI。
用户隔离
支持AP上二层转发抑制
支持虚拟AP(多SSID)之间的隔离
认证
配合AC支持:
PORTAL认证(远程,外挂服务器)、基于SSID的Portal页面推送、基于AP的Portal页面推送、Portal支持代理功能、Portal双机热备、[EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-MD5、EAP-SIM、LEAP、EAP-FAST、EAPoffload(仅支持TLS,PEAP)]、SSID防假冒(用户名与SSID绑定)、LDAP
1.支持802.1X与Portal接入
2.802.1X接入时,支持EAP-GTC和EAP-TLS两种)
QoS策略映射
支持不同SSID/VLAN映射不同的QoS策略
负载均衡
支持用户数负载均衡
支持流量负载均衡
智能带宽限速
1、基于带宽均分算法
2、基于每用户指定带宽的算法
3、在流量未拥塞时,确保不同优先级SSID下的报文都可以自由通过;在流量拥塞时,确保每个SSID可以保持各自约定的最小带宽
其他功能
支持终端智能感知准入
支持广播抑制
支持SSID隐藏
支持动态MIMO省电(DMPS)
入网证
必须持有国家工信部入网核准证或核准报告
WiFi认证
为保证终端互操作性,必须获得WiFi联盟的802.11ac认证
建议品牌
Cisco、ARUBA、H3C
(3)室外AP(数量10个,含电源模块及全部天线,以及室外光模块)
功能及
技术指标
详细技术参数
工作模式
必须支持瘦AP工作模式或独立工作模式。
★设备保护等级
设备保护等级必须不低于IP67,并提供证书证明。
★协议标准
支持802.11a/b/g/n/ac,2.4GHz/5.8GHz双频段同时工作。
★天线
N型2×2.4G和2×5.8G天线,天线增益不小于15DBi。
★频道导引
在双频模式下,优先引导用户使用5Ghz频段。
★电源
支持PoE方式供电。
最大发射功率
≥27dbm
接口
≥1个10/100/1000Mbps(RJ45)。
IPv6支持
支持Ipv6的二层透传。
多SSID
≥16个SSID。
接入模式
支持2.4G用户接入,支持5.8G模块同时实现回传和用户接入,Mesh结点支持桥接功能。
★证书要求
提供国家工信部入网核准证及WiFi认证。
建议品牌
Cisco、ARUBA、H3C
(4)墙座式AP(数量30个)
功能及
技术指标
详细技术参数
工作模式
可支持胖/瘦AP两种工作模式,支持802.11ac协议
协议支持
支持2.4GHz和5GHz,支持802.11a/n/ac和802.11b/g/n同时工作
LAN接口
提供≥4个10/100/1000Mbps自适应电接口
WAN接口
≥2个10/100/1000Mbps(RJ45)
接口要求
在设备断电状态下,传输数据接口可切换为透传模式,保证有线网络正常工作。
协商速率
5GHz:
866Mbps
2.4GHz:
300Mbps
天线
内置低辐射全向天线
功耗
为保证绿色节能环保,整机最大功耗小于8W
供电
支持Poe供电,且支持本地电源适配器供电
IPv6支持
支持IPv4/IPv6双协议栈、Native原生,特别支持IPv6Portal、IPv6SAVI
加密
支持64、128位WEP加密,WPA,802.11i和WAPI。
用户隔离
支持AP上二层转发抑制
支持虚拟AP(多SSID)之间的隔离
认证
配合AC支持:
PORTAL认证(远程,外挂服务器)、基于SSID的Portal页面推送、基于AP的Portal页面推送、Portal支持代理功能、Portal双机热备、[EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-MD5、EAP-SIM、LEAP、EAP-FAST、EAPoffload(仅支持TLS,PEAP)]、SSID防假冒(用户名与SSID绑定)、LDAP
1.支持802.1X与Portal接入
2.802.1X接入时,支持EAP-GTC和EAP-TLS两种)
QoS策略映射
支持不同SSID/VLAN映射不同的QoS策略
负载均衡
支持用户数负载均衡
支持流量负载均衡
智能带宽限速
1、基于带宽均分算法
2、基于每用户指定带宽的算法
3、在流量未拥塞时,确保不同优先级SSID下的报文都可以自由通过;在流量拥塞时,确保每个SSID可以保持各自约定的最小带宽
其他功能
支持终端智能感知准入
支持广播抑制
支持SSID隐藏
支持动态MIMO省电(DMPS)
入网证
必须持有国家工信部入网核准证或核准报告
建议品牌
Cisco、ARUBA、H3C
7.POE接入交换机技术要求
(1)8口POE交换机(数量130台)
功能及
技术指标
参数要求
接口类型
8个10/100/1000Mbps电口+1个千兆光电复用端口,其中8个电口提供POE供电或4个POE+
建议品牌
Cisco、H3C、锐捷
(2)24口POE交换机(数量72台)
功能及
技术指标
参数要求
接口类型
24口千兆电口,4口SFP非复用端口,24口支持POE,最大可同时支持24口POE供电或12口POE+供电;每端口最大POE功率输出30W,整机输出最大PoE功率为370W
建议品牌
Cisco、H3C、锐捷
8.无线AC技术参数要求
指标
指标项
技术规范要求
无线AC要求
AC数量
2块
总许可证数量
2048个
单卡AP数量
单块控制器可以控制管理≥1024个AP
端口密度
每台控制器端口带宽≥40GARP表项≥32K
电源
支持负载均衡冗余电源,电源数量≥2,电源必须有独立开关
扩展性
支持控制器堆叠,支持1:
N冗余方式(N≥2)
无线AC功能
支持标准
支持802.11b、802.11g、802.11a、802.11n、802.1q、802.1x、802.3z、802.3ab、802.3d、802.11e支持
MPLS能力
同时支持MPLS和IPv6
用户认证
支持802.1x/EAP认证,支持EAP-TLS、EAP-PEAP、EAP-TTLS
支持WEB认证,并且可以自动推送页面
无线资源管理
支持自动无线资源管理功能,根据无线网络实际情况自动调节无线网络射频参数,下发至AP生效,并不影响AP正常接入性能
IPv6支持
支持IPv4、IPv6
VLAN组功能
支持在同一个SSID下,不需要任何额外认证设备配合,就可以实现一个SSID对应一个VLAN组,一个VLAN组具有》32个VLAN,控制器可以自动将接入该SSID的无线接入用户分配到该组中的不同VLAN中。
认证模式
支持LDAP通讯接口,与学校现有认证系统(SAM)实现对接
支持Radius通讯接口,支持标准RadiusRFC协议,与学校现有认证系统(SAM)实现对接
安全
3层VPN能力
支持L2TP、IPSec透传;支持防火墙穿越
加密功能
支持WEP、WPA、WPA2、AES-CCM
WIP功能
自动发现接入到有线网络的非法AP,自动围堵与校园网使用同一个SSID的非法AP
组播视频
控制器支持视频组播功能,可将视频组播流转发至AP,由AP进行视频组播至单播的转换,大大节省网络传输带宽
支持基于组播视频的准入控制能力,在AP接入视频流能力不足的情况下,拒绝新组播用户加入
支持对组播流进行Qos优化,保证高清组播视频流的图像质量完全和通过有线网传输一致
控制
统一管理
支持统一控制器配置管理室内AP、室外AP及Mesh接入点的能力
网络管理
支持远程HTTP、HTTPS配置管理
支持SNMPv1/v2/v3、Telnet、Console管理
零配置管理
室内AP、室外AP及Mesh设备完全零配置操作,完全由控制器进行统一配置
建议品牌
Cisco、ARUBA、H3C
9.安全设备技术参数
(1)数据中心接入控制防火墙(数量1台)
指标项
要求
性能参数
网络接口
千兆端口≥4
万兆端口≥8,配备万兆模块数≥8,端口全激活
CPU
4核CPU,支持多核CPU并行处理技术
内存
≥32GB
存储介质
硬盘≥1TB
绿色节能
电源通过80plus认证
冗余设计
关键部件冗余设计,支持热插拔冗余电源
吞吐量
≥30Gbps
最大并发连接
≥24,000,000
四层处理能力
≥350KCPS每秒新建连接数
七层处理能力
≥750KRPS每秒新建连接数
最大SSLTPS2KKey
≥10000
最大SSLTPS1KKey
≥10000
最大SSL加密吞吐量
≥12Gbps
最大SSLVPN用户数
≥20000,标配10个并发用户数
DNS请求处理能力
≥615Kqps
最大压缩性能
≥6Gbps
背板带宽
≥320Gbps
系统要求
独立管理子系统
提供独立于业务处理系统以外的管理子系统,配备独立的CPU、内存和存储介质,提供独立的管理网口,实现无人值守远程维护
多重引导
支持四个以上的多重引导,便于软件版本升级
在线升级
支持在线升级功能,并支持基于Web的升级方式
系统冗余
支持Active-Active及Active-Standby冗余方式;提供专用的硬件串口级心跳线和网络级冗余判断方式;
提供连接会话的镜像功能,实现无缝故障切换;
支持多台设备的N+M集群方式。
可编程流量管理
管理界面提供基于某种编程语言(如TCL语言)自定义的流量控制方法,可通过自编程方式实现灵活的流量处理手段。
支持负载均衡、DNS处理、用户认证、NAT、路由转发、会话保持等功能的可编程控制。
如支持,请详细描述提供的可编程语言、操作界面及在中国相同行业已使用的案例详细说明。
高级路由功能
标配RIP,OSPF等高级路由模块功能
SDN服务功能
标配vxlangateway和 NVGRE等SDN技术
API接口
支持工业标准的SOAPAPI接口,实现与第三方管理软件的无缝集成。
应用交付功能
服务器负载均衡
完善的第四/七层交换功能,支持可定制的基于应用层的健康检查方式,支持基于IP地址、Cookie等信息的会话保持,并可根据特定信息定制会话保持方式。
SSL卸载
内置SSL加速芯片,缺省提供2000TPS的SSL处理能力
多路连接复用
将一个用户的多个请求或者多个用户的请求合成一个连接发送到服务器,减小应用服务器的压力,提升用户响应速度。
智能压缩
使用工业标准的GZIP和Deflate压缩算法来压缩HTTP流量,缺省提供2.5G压缩处理能力
内存Cache
利用内存来缓存用户频繁使用的页面对象,从而减少服务器压力,提升用户相应速度
SPDY加速功能
标配支持SPDY网关
Web应用加速
标配支持WEB应用加速功能,支持多种Web加速技术,包括:
●动态浏览器缓存
●图片单端加速
●PDF线性化
设备之间的广域网加速通道
标配支持广域网优化功能,在两台设备之间可以保护并且加速广域网上传送的数据。
通过对称式部署,创建一个站点到站点的安全隧道,以提高传输速率,减少带宽使用量,并且卸载应用的负载,从而实现更高效的广域网通信,保证最高的应用性能。
链路及全局负载均衡
标配支持链路及全局负载均衡(GSLB),支持基于轮询、全局可用性、应用可用性、拓扑结构、带宽、RTT、动态比例等多种负载均衡算法
IPv6支持
标配IPV6功能,在IPv4和IPv6网络之间提供完整的IP转换和负载均衡能力可以支持用户迁移以及建立IPv4和IPv6混合主机资源。
DNS记录
标配支持A,AAAA,CNAME,DNAME,HINFO,MX,NS,TXT,SOA,SRV等记录类型
IPAnycast
标配支持IPAnycast集成
DNSSEC
标配支持DNSSEC功能防止DNS劫持
DNSDDoS防护
标配可以抵御大流量的DNSDDoS攻击
DNSCache
标配支持DNS缓存功能,加速DNS请求的响应
DNS服务模式
自带作为完整DNS服务器、指派DNS、代理DNS等多种模式
DNS日志
标配提供详细的DNS查询和GSLB决策日志
DNS部署方式
标配路由、桥接和节点模式功能
地址库导入
支持外部IP地址库导入
四/七层带宽管理和流量整形(Qos)
通过优先级,队列,以及设定基于应用的带宽限制和带宽容许,确保关键应用能够按时交付。
安全功能
网络防火墙
标配通过ICSA认证的网络防火墙,对访问流量进行过滤
SSLVPN接入
具有通过ICSA认证的SSLVPN功能
支持Windows,MAC,Linux,IOS,Android等多种平台的接入
支持SSO单独登陆,支持SAML2.0
支持BYOD
支持VDI(Citrix,VMware)
DDOS防护
具有四层DDOS防护功能,具有SSLDDOS防护功能,标配支持DNSDDOS和httpDDOS防护功能。
IPSECVPN
通过ICSA认证的IPSECVPN设备,提供点到点的IPSECVPN通道
应用安全防护
标配支持通过ICSA认证以及集成XML的Web应用防火墙设备,提供http协议安全防护,可检测Webscraping、跨站脚本(XSS)和SQL注入等安全威胁,提供http请求、http响应和XML的安全防护,支持指定特征的数据保护,防止敏感信息泄漏。
支持ftp和smtp协议的安全检查。
智能IP黑白名单
自动更新的IP地址黑白名单,自动过滤恶意流量
管理功能
应用性能监控
管理界面可直接提供应用访问的网络延时和服务器延时、TOPURL、以及各虚拟服务器的CPU、内存等资源的占用比。
应用配置和管理模板
内置了对主流应用如Weblogic,IIS,SAP、OracleApplicationServer、SharePoint、VMwareView的配置模板,并可导入定制的应用模板
用户地域信息
在设备上可以根据访问业务的客户的源IP来提供客户的具体地域信息
抓包工具
无需利用端口镜向功能,系统自身提供的类似tcpdump的实时抓包工具,可以对通过自身设备的数据包进行抓包分析,或生产一个抓包文件。
LCD液晶管理面板
提供液晶面板进行简单管理,显示设备工作状态和报警,便于机房管理人员巡检。
服务要求
硬件故障诊断程序
内置硬件故障诊断程序,能够快速确定硬件故障情况。
RMA返修服务
要求提供三年原厂备件先行服务,在第二个工作日,同型号备机到达用户指定地点。
原厂服务
要求提供三年原厂软件升级,故障修复,5*8小时的400免费技术支持热线等服务。
建议品牌
F5、山石、H3C
(2)安全漏洞扫描设备(数量1台)
分类要求
详细描述
厂商资质及产品资质要求
产品要求取得中国人民共和国公安部的《计算机信息系统安全专用产品销售许可证》,中国国家信息安全产品测评认证中心的《国家信息安全认证产品型号证书(增强级)》。
建议品牌:
绿盟、F5、山石
产品
基本要求
产品要求界面友好,并有详尽的技术文档;所有的图形界面与文档资料要求均为中文。
产品应保证其数据安全性,系统配置文件和扫描结果文件保存在本地,加密保存,只有授权用户才可使用。
数据传输过程经过加密。
产品应支持多路扫描功能,可以同时对多个隔离网络进行漏洞扫描和配置核查工作。
提供备份恢复机制,能够对扫描结果、日志、扫描模板、参数集等配置文件进行导出和导入操作;能够对系统创建还原点对系统进行备份和还原。
资产与风险管理
能够采用多种不同的方式自动发现网络资产。
可以灵活配置资产发现所用技术手段
能够把资产管理和组织结构或者网络拓扑结构紧密结合,支持资产树等多种资产管理方式,支持通过资产树对指定主机展开漏洞扫描和配置核查任务,查看主机风险。
资产管理能够将资产的重要性量化,并且能够将资产节点和对应责任人相关联。
可提供资产树功能,通过资产树直观呈现网络资产的安全风险。
漏洞扫描
能够扫描主流虚拟机管理系统的安全漏洞,如:
VMWareESX/ESXi,要求能够扫描大于50条相关漏洞,并提供详细的漏洞列表。
能够扫描常见的网络安全产品的安全漏洞。
能够扫描常见的应用软件漏洞(如IE浏览器、MSN、MozillaFirefox、YahooMessenger、MSOffice、多媒体播放器和各种P2P下载软件)的安全漏洞。
漏洞知识库漏洞信息大于10000条,提供详细的漏洞描述和对应的解决方案描述;漏洞知识库与CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准兼容,并提供CVECompatible证书。
漏洞知识库和漏洞检测规则支持手动升级和自动升级,支持本地升级和在线升级,在线升级支持代理方式升级,至少每两周进行一次定期升级。
具备单独口令猜测扫描任务,支持多种口令猜测方式,包括利用SMB