1   项目概述

1.1   项目背景

学校在2011年左右部署了基于万兆骨干的有线校园网。校园网建成以来，得益于稳定的骨干结构、高性能的核心架构、平顺的网络体验，网络中心在校领导和全校师生中获得了不错的口碑。

近年来移动互联网发展迅速，很多网络应用的入口已经由PC端逐渐转移到移动端，而APP***的用户体验和终端的硬件发展也慢慢影响着学生们的用网习惯。网络购物、在线视频、社交互动这些传统的PC应用流量已经大规模转移到移动端。这个移动网络潮流发展的趋势下，学校率先在XX乃至广东高校行业中率先引进了“掌上校园”和“易班教学”这些极具互联网基因的APP。通过“掌上校园”，学生可以在同一个界面实现认证、续费、校内公告、校内活动信息、帐号自助管理等功能。而“易班教学”则为广大师生提供了在线教学视频的浏览、下载、互动等一站式的教学资源共享平台。极大丰富了学生的知识面，也可以引导学生合理利用在校时间去完成更高校的学习内容。

因此，在当今移动互联网潮流的影响和启发下，学校无线校园网的建设显得日益重要。它将承载起全校一万多师生移动互联网入口的重任，成为学校信息化建设以及日后打造一个真正意义上的移动互联网数字校园的一个重要基石。

1.2   建设目标

XX学院的建设要满足“高起点、面向未来、充分考虑教学、科研、管理”的内在需求，兼顾生活环境等配套因素，***限度地实现资源共享，***终建成高起点、高质量、高水平、高度信息化、智能化的信息化校园。

在这个纲领下，建设一个简单运维、***运营、高速体验的无线校园网。

运维方面，要具备有线无线一体化运维的集中入口，实现自动网优、无线体验评估、自动巡检一体化的运维平台。

运营方面，需要灵活对接各大运营商的AAA系统，在确保学校拥有***管控权的前提下帮助运营商实现固移融合、无需二次认证等功能，还要确保学校和运营商之间实现透明对账，维护双方利益。

体验方面，根据办公室、宿舍、广场这三大场景制定不同的覆盖方式，确保无论哪种环境中都能提供***的无线速率。

2   网络设计原则

2.1 认证上收、扁平组网

认证、网关上收核心层，扁平化组网。采用高性能核心设备，单台***支持9万终端 IPv4 IPv6双栈同时在线，全网可平滑迁移支持 IPv6 网络。

认证、网关上收至核心层，简化网络架构，简单网络管理。减少了网络中三层设备数量（即网络中***庞大的汇聚、接入设备），无需设计复杂的路由等协议，网络故障排查中只需要在核心层排查，极大降低管理难度。

2.2 虚拟集群、稳定可靠

数字化无线校园网必须能24小时运行，可用性达到99.999%，本次无线校园网建设采用采用冗余设计，核心交换区要求采用双设备、双链路，无单点故障——某一台设备、或者某一条链路发生故障时，系统能提供自动快速恢复的能力，业务无间断。同时，核心交换区设备支持虚拟化，逻辑上只需要管理一台核心交换机，且核心设备间高 可靠高冗余，实现毫秒级切换。

2.3 有线无线、统一认证

构建一个真正可用的无线网络，满足日益增长的移动终端如笔记本电脑、PDA、手机、平板电脑对业务系统、互联网访问的需求。通过扁平化组网，实现有线/无线一体化认证， 无需维护多套认证系统，并满足校方的无线精细化管理要求。

用户上线后，认证计费系统动态分配给用户固定的 IP 地址，提高师生用户体验，减少终端运维工作量。同时认证计费系统 记录用户详细信息及所在位置，实现快速故障定位、***实名制管理。

2.4 网络安全，集中管理

构建网络安全防护体系，建设一套行之有效的安全管理机制和技术手段，***保证主机安全、网络安全。从局部安全、全局安全到智能安全，主动发现、及时防御、迅速解决安全问题，并采用各种技术有效防止网络病毒的传播，将安全理念渗透到整个数字化无线校园网。

2.5 灵活扩展，面向未来

网络设计构架具有可扩展性，满足未来5-10年的应用需求，为日后业务的发展及扩展和打下良好基础。业务的发展及扩展对网络的需求是不断变化的，网络应用系统为了满足这些需求也会随之变化。面对不断变化的情况和需求，网络应当能够做出快速和有效的反应。因此，网络必须具备良好的可扩展性，应支持核心业务系统的不断扩展，适应未来学校信息化业务的发展和变化。同时，网络结构应当能够变化，具有灵活的伸缩能力，网络设备可以扩充和升级。

2.6   设计依据及引用标准

n  GB/T 50311-2007《建筑与建筑群结构化综合布线系统工程设计规范》

n  GB/T50314--2006《智能建筑设计标准》

n  GB/T 50312-2007《建筑与建筑群结构化综合布线系统工程验收规范》

n  GB50303-2004 《建筑物电子信息系统防雷规范》

n  GBJ/T16-92《民用建筑电气设计规范》

n  ISO/IEC 11801《信息技术-布线标准》

n  EIA 568A/TIA 568B《商业建筑电信布线标准》

n  EIA/TIA586《民用建筑线缆标准》

n  EIA/TIA TSB67《非屏蔽双绞线布线测试标准》

n  YD/T 926-1997《大楼通信结构化综合布线系统》

n  《工业企业通讯设计规范》

n  EMC            欧洲电磁兼容性标准

n  ITU-T          国际电信联盟标准

n  ANSI FDDI      美国***标准：分布式光纤数据接口

n  IEEE 802.3ae   国际电子电气工程师协会  

n  IEEE 802.5     国际电子电气工程师协会

3   校园网总体网络规划设计

XX学院数字化校园网由教学楼、综合楼、培训楼、实验楼、图书馆、行政楼、活动中心、饭堂、教师宿舍、学生宿舍等组成。

根据模块化、分层设计的理念，建议对XX学院新校区校园网分为：核心交换区、楼栋汇聚区、楼层接入区、互联网出口区、业务系统服务器区。

3.1   核心层设计（扁平化组网）

在网络的中心节点，核心层的设备传统上会使用高性能的交换机和高速路由器来进行第二层交换和第三层路由。在网络核心层，网络核心设备不仅要能保证第二层的交换和第三层的路由，还要提供完善的虚拟网划分，多协议路由，QoS处理，以及多媒体的通信支持。

网络核心设备一定有可靠性。例如电源供应双备份，主处理器模块双备份，网络端口模块支持热插拔，以及能做到双机备份。这样万一设备出现单点故障，也不影响整个网络的正常运行。

针对XX学院特点和用户需求，核心层设计为数据中心交换机：

1.   认证、网关上收核心层，扁平化组网：采用超大表项容量，能并发实现XX学院2.4万用户数同时在线，具有丰富的接口线卡类型，这些线卡的交换芯片均采用UFT（Unified Forwarding Table）技术实现。通过该技术，可以灵活配比MAC、ARP、ND表项的容量，解决了传统交换芯片表项容量固定，无法按照用户需求提供灵活的容量定制。

2.   核心设备虚拟化，逻辑上只需要管理一台核心交换机：支持VSU虚拟化技术作为核心的冗余备份。VSU(Virtual Switching Unit)是一种网络系统虚拟化技术，支持将多台设备组合成单一的虚拟设备。和传统的组网方式相比，这种组网可以简化网络拓扑，降低网络的管理维护成本，缩短应用恢复的时间和业务中断的时间，提高网络资源的利用率。

3.   更高规格、更***的校园网安全防护能力。校园网用户在认证前通过VLAN隔离，认证后将安全策略绑定在核心设备上。通过核心设备更丰富的安全策略，更强的安全性能，远高于原传统三层网络中接入设备的简单安全功能。能防止未认证终端的ARP欺骗、防止IP地址冲突、防止终端的报文洪水攻击、防止终端的DHCP扫描攻击等功能，确保网络的安全性。

4.   简化网络结构，简单网络管理。将网关、认证上收至核心层，减少了网络中的三层设备数量（即网络中***庞大的汇聚、接入设备），无需设计复杂的路由等协议。并且网络故障排查中只需要在核心层排查三层协议，汇聚、接入层只需排查VLAN配置，极大降低管理难度。

5.   设备利旧，节省用户投资。由于汇聚和接入设备只需要支持标准的VLAN协议即可，无复杂功能要求，在未来的校园网升级或设备更换时，无品牌、功能绑定和限制，校方更具有议价权，可选择高性价比产品，节省学校投资。

6.   有线&无线融合，统一管理。通过扁平化组网，实现有线/无线一体化认证，无需维护多套认证系统，并满足校方的无线精细化管理要求。

7.   DHCP管理 快速故障定位，网络实名管理。用户上线后，认证计费系统动态分配给用户固定的IP地址，取代学校现有的手工填写IP地址的方式，提高师生用户体验，减少终端运维工作量。同时认证计费系统记录用户详细信息及所在位置，实现快速故障定位、***实名制管理。

8.   轻松与运营商达成合作。通过SAM运营商实现在保留校方管理权的基础上，与多个运营商轻松实现联调对接。学生有更好的网络体验和更自由的选择权，运营商在校园网和平竞争，以服务取胜， 惠及师生用户。

3.2 汇聚区设计

汇聚设备只是一个数据流通的线路，不开启任何功能；和核心相连的上链口配置成属于trunk口，而下联接入的端口也配置成Trunk口，并根据接入设备所分配的VLAN范围进行裁剪。所有汇聚交换机（有线+无线新建部分）采用全光口交换机，千兆光纤互联接入交换机，双万兆上联至核心交换机，保证链路冗余可靠。原有有线网络核心交换机可以作为汇聚层交换机双万兆互联至新增无线网络的核心交换机。

3.3 接入区设计

有线部分全部升级为千兆可网管交换机，增加终端用户接入带宽。无线接入交换机采用全千兆POE交换机给AP供电，不开启认证功能，简化接入交换机的配置。

每个AP或者同一区域的多个AP都属于一个VLAN。AP内要求STA之间通信隔离。AC上配置不允许同一个VLAN的AP之间通信。

3.4 出口区设计

 校园网出口区做为校园网的边界，主要负责承担边界网络的数据转发、流量控制、安全防护、安全审计、远程VPN接入等功能。本方案中采用锐捷网络RSR77系列路由器作为出口网关。边界网主要功能框架设计如下图所示：

3.4.1                                                             边界连接设计

边界连接层处于边界网的***外端，是边界网中的数据交换基础平台，此平台主要由边界网中的路由器来。边界连接层需要考虑以下四个方面：

3.4.1.1    路由转发性能

NAT性能考核指标主要为NAT并发连接数及NAT每秒新建连接数。

NAT并发连接数指标要求=用户总数x用户并发在线率x每用户会话数=30000x100=300万

NAT每秒新建连接数指标要求=用户总数x用户并发在线率x每用户每秒新建连接数=30000x10=30万

3.4.1.2    智能路由选路

校园网用户在访问属于不同ISP提供的信息资源时，边界连接层需要智能的根据用户访问的信息资源，选择不同的ISP（不同的广域网链路）来进行访问。从而避免访问路径跨越了不同ISP网络，确保资源访问效率***化。

3.4.1.3    多链路负载与备份功能

XX学院新校区将通过ISP线路、教育网线路分别连接至Internet、Cernet。为了提高出口带宽的整体利用率，同时提供链路冗余备份，边界连接层必须提供多链路负载均衡与备份功能。在任意一条广域网链路发生故障时，能够自动将流量自动切换到其他广域网链路。

3.4.1.4    智能DNS解析

为了让校园网对外开放的资源能够更快捷的让外部网络用户所访问，则需要合理引导外部网络用户所访问的路径。例如，通过智能DNS解析功能，在电信网用户访问校园门户网站域名时，自动解析成电信网IP，从而引导电信网络用户从我校的电信网链路访问我校校园门户服务，当教育网用户访问时，则解析成教育网IP，引导教育网用户从XX学院的教育网链路进行访问。由此为外部网络用户提供一个动态***的访问路径。

3.4.2                                                           安全防护设计

安全防护，是边界网络设计中必不可少的内容。针对出口网络中所部署的安全防护，主要有以下四个方面：

3.4.2.1    报文过滤

通过访问控制列表（ACL）实现了灵活的各种粒度的报文过滤 ,包括：标准ACL 、扩展ACL。

3.4.2.2    状态检测

基于六元组来识别网络流量，并针对每条网络流量建立从二层至七层的状态信息。并基于这些状态信息进行各种丰富的安全控制和更深粒度的报文过滤，包括：报头检查 、IP分片支持、特殊应用协议支持等。

3.4.2.3    攻击防御

基于状态检测可以防御的各种网络攻击包括：IP畸形包攻击、IP假冒、TCP劫持入侵、SYN flood、Smurf、Ping of Death、Teardrop、Land、ping flood、UDP Flood等等。

3.4.2.4    内容过滤

支持URL过滤，它能够针对URL地址进行灵活地分类，并应用到各种策略上，实现基于用户策略的URL访问过滤。

支持内容过滤，实时将带有病毒、木马的数据流进行过滤阻断。

3.4.3  流量控制设计

随着Internet应用的日益丰富，P2P应用的广泛推广，出口带宽的瓶颈效应越来越明显。

由于出口带宽有限，业务应用之间存在带宽竞争关系。目前，出口应用的带宽被P2P大量占用，直接影响了办公、教学、科研类应用的带宽保障。

出口带宽有限、带宽的分配不合理是校园边界网的***主要矛盾之一。因此，边界网中必须设置流量控制设备，对出口各种应用进行智能识别，实时监控出口各应用的带宽占用情况，并以此制定动态的带宽分配策略，实施动态带宽分配，控制P2P应用对出口带宽的过量占用，保障关键业务应用的带宽分配。

3.4.4 远程接入设计

为满足在校外居住或出差的校领导、专家、学者能够既方便又安全的通过Internet连接到校园网内部进行远程会议、科研及办公，因此需要在出口网络中提供VPN接入服务。

3.4.4.1    VPN接入技术选择

针对目前VPN的接入方式，主要有IPSEC VPN、L2TP/PPTP VPN以及SSL VPN。三种VPN技术均有各自的。

通过比较分析，对于校园网远程用户接入可根据用户需求选择SSL VPN及IPSEC VPN技术。

3.4.4.2    VPN系统性能及管理性要求

VPN并发在线用户要求=校园网用户总数x10%=2000。

VPN用户认证管理要求：与接入网采用相同的接入认证系统，实现统一认证管理。

3.4.5 日志审计设计

根据公安部的82号令要求，需要对校园网用户访问Internet进行记录。记录内容包括访问时的校内IP、NAT后的IP、访问目的IP、访问目的URL、访问时间、对应校内的用户等。因此，日志审计层需要从边界连接、安全防护、流量控制这个三个部分进行日志收集，并通过联动处理，实现基于用户实名制的Internet访问日志记录。同时，提供基于WEB GUI的查询检索界面，方便日志审计翻查。

3.4.6 内容加速设计

随着网络的飞速发展，从2000年至今，网络的流量模型及应用模型均发生了较大的改变。根据权威统计，2011年，互联网每月产生的流量为280亿GB，这个数字在2015年将翻4倍！其中，视频流量将占据61%！在流量飞涨的背后，实质上是应用模型和用户行为的变化——从早期的聊天、浏览网页，到后来的各种应用软件、各种业务系统。未来，互联网会逐步由基础设施向服务转变，用户更多的会考虑网络的体验：智能终端、云计算、高清视频等无一不对网络出口提出巨大考验。

为了提高***终用户的体验，锐捷网络基于“疏堵结合”的理念，推出了RG-PowerCache内容加速系统。PowerCache可以分析用户访问资源的热度，将热点资源缓存在本地。后续用户访问该资源时，直接从本地读取即可，既提高了用户的访问速度，又节省了宝贵的出口带宽。

创新硬件集成模式

ü  首创硬件集成模式缓存系统，将众多的服务器模块化。一台硬件，方便配置和维护，同时也消除了兼容性的隐患。

ü  采用SSD、SAS、SATA三种硬盘分级存储的方式。

ü  秉承锐捷网络万兆出口的理念，支持万兆扩展。

独特的流媒体缓存技术

ü  支持国内所有主流视频网站：优酷网、土豆网、奇艺网、新浪视频、搜狐视频、网易视频、腾讯视频、酷6网、56网、中国网络电视台、激动网、PPTV、迅雷看看、乐视网等，并时刻关注新兴视频网站，***时间识别和支持。

ü  支持视频切片智能缓存：能够识别并缓存同一视频中的所有碎片。

ü  支持视频预缓存技术，可以主动缓存选定网站的Top N视频

智能文件缓存

ü  针对热门下载、热点文件、软件更新等热点资源进行缓存

ü  可以设置缓存文件大小、类型、关键字、黑白名单等，控制可缓存的文件。

ü  支持对于网盘、智能终端（IOS/Android）的下载缓存。

在一个万人高校，Softup、Adberdr等更新25天消耗了超过1T的出口流量

WEB页面缓存

ü  只缓存WEB页面的静态内容，如图片、Flash、JAVA脚本等

ü  拥有灵活的更新机制，保证缓存内容的实时性。

ü  能够对缓存对象进行黑白名单控制。

ü  支持TCP连接代理、数据压缩等功能，优化WEB传输。

锐捷特色功能算法

n  双向P2P缓存

ü  针对P2P协议，PowerCache能够同时从外网及内网用户处下载资源。

ü  对于未下载完成的P2P资源，PowerCache也可以为用户提供缓存服务，提高设备利用率。

n  ***磁盘清理机制

ü  支持硬盘阀值设置，自动清理非热点资源。

ü  自动检测算法，确保缓存文件在外网仍然存在。

n  支持基于IPv6的资源缓存

n  内嵌基于ClamAV的杀毒引擎，病毒库每天更新

CRP：云资源推送

ü  RG-PowerCache接入网络后，可以选择是否加入锐捷PowerCache联盟。

ü  锐捷PowerCache云基地会主动向成员推送全国热点资源链接，供PowerCache提前下载。

易管理

ü 支持下载时段控制，解决网络高峰期PowerCache与用户争抢出口带宽的难题。

分时下载，错开网络高峰期

ü  提供丰富的日志及报表，包括命中率、吞吐量（含上载及下载）、并发用户及缓存用户、并发连接数、服务器使用情况等。可以查看实时及历史数据，支持一键导出功能。

3.4.7 防代理（共享上网）设计

网络使用费用是学校网络中心的主要收入来源，因此如何确保网费的缴纳是网络中心重点关注的内容。无线网络建成后，需要部署一套防代理系统，该系统可以在802.1X、WEB、PPPOE等认证环境中对学生的互联网访问行为做分析检查，一旦检测到学生有代理上网的行为，可以与认证计费系统联动，对该学生帐号进行警告、断网、拉黑等方式进行处理。确保校方和运营商合理收益。

锐捷网络RG-ASME接入共享管理引擎是一款基于DPI应用层检测的防代理产品。RG-ASME采用高性能的MIPS多核硬件体系架构，以及创新的基于应用层代理行为特征库，无需依托客户端软件、无需改变原有网络拓扑，即可准确检测出网络中存在的代理上网用户行为并同步给锐捷网络RG-SAM等认证计费系统，进而实现警告、下线、黑名单等多种处置策略。

RG-ASME基于应用层的行为特征库检测机制确保了与用户的网络接入方式、认证方式无关，可在更广泛的网络应用场景中杜绝用户代理行为，保护网络正常计费收入，保护实名制网络中账户与IP的有效对应关系。

l    可彻底杜绝各类互联网代理及破解工具，确保ASME防代理系统的长期有效性。

n  ASME无需部署客户端，传统针对用户端的破解方式无效

n  采用纯嗅探的检测方案，ASME系统无外出报文，防止漏洞被恶意利用

n  可实时更新特征库，确保快速封杀***的破解、代理工具

l    目前业界***“聪明”识别算法，实测误判率＜1%

n  基于DPI技术，采用创新的多维度、应用层交叉匹配检测，使ASME系统像人一样思考，解决多网卡、VPN等常见误判

n  已经过10万级用户规模验证。且特征库持续更新，可进一步提升准确率

l    部署方便，适用场景广泛

n  支持旁路部署，即插即用，不改变用户原有拓扑

n  支持有线、无线、web、802.1x、PPPoE等各种认证方案

n  未来还将兼容其他厂商radius，杜绝厂商捆绑（通过兼容组件）

l    关注用户体验

n  提供警告、重定向、下线、黑/白名单等多种策略，柔性控制

n  实时展示代理用户统计，效果直观可见

n  升级期间不断流，不影响现有业务

3.5 认证计费系统设计

锐捷网RG-SAM+ 是一套基于标准的RADIUS协议开发的认证计费管理系统。RG-SAM+ 几乎融合了现在网络身份认证所有的方式，例如：有线无线的802.1X认证、有线无线的WEB认证、有线PPPoE认证、无线IPoE认证、远程VPN的接入认证方式，支持准入、网关、准入准出一体化和扁平化认证模式。客户完全可以根据自己的需求自由选择自由组合。

在同一个平台上实现了所有接入方式的认证、接入控制、计费、日志管理，和对外统一接口等。大大降低了用户的投资成本，使得管理效率得到了很大的提升。

RG-SAM+ 在“***体验、简易运营”两个方面具有业内相类似产品无可比拟的优势。RG-SAM+ 通过以用户为中心的设计，为用户提供更简便、轻巧、有情的上网体验，同时提供开放和标准的协议以及丰富灵活的运营策略让高校运营更灵活更简便。

3.5.1  ***体验

以用户为中心的的设计

RG-SAM+ 按照互联网时代用户对简便、易用的使用习惯要求，进行了以用户为中心的设计，通过重新组织信息架构、提供大图标、大按钮的设计让用户更易懂、更易用。

 图3-1 管理界面

图3-2 Web认证成功界面

舒畅的认证

RG-SAM+ 支持基于802.1X和WEB的无感知认证，用户一次认证，后续免认证。不再需要进行繁琐的认证操作，且掉线自动重连，体验无缝的上网体验。此外，RG-SAM+ 支持全网Portal认证，无论你在哪里用什么终端上网，都不需要安装客户端，实名管控由专业的硬件设备来保障。

贴切使用习惯的自助

除RG-SAM+ 的自助服务平台外，RG-SAM+ 拥有丰富的自助服务接口，基于这些接口进行微信平台开发，即可实现基于微信公众账号的自助服务。通过微信自助服务平台可以实现充值、缴费等自助服务，也可以进行故障查询、网络报修等操作。

依托于微信的自助服务更贴切用户现在的使用习惯，能让用户进行随时随地的自助操作，方便易用。

RG-SAM+ 自助服务界面

微信自助服务

3.5.2  简易运营

开放和兼容

RG-SAM+ 根据标准化设计，业内标准无缝对接，提供标准化的协议和开放的接口与第三方厂商设备对接，网络设备不限品牌，易于后期网络建设设备采购选择范围。

l  交换机：设备支持RFC2865/2866/3576/中国移动Portal协议规范V2即可；

l  无线：设备支持RFC2865/2866/3576/中国移动Portal协议规范V2即可；

l  BRAS：设备支持RFC2516/RFC2865/RFC2866/RFC3576；支持RFC1541/RFC2865/RFC2866/RFC3576/中国移动Portal协议规范V2；

l  运营商AAA对接：支持标准的Radius/Radius-proxy即可；

l  LDAP：LDAP协议；

l  一卡通：Webservice接口；

l  第三方认证计费系统：支持标准的Radius/Radius-proxy即可。

扁平化方案

RG-SAM+ 支持与华为、中兴、Juniper等主流BRAS设备以及锐捷RG-N18000系列交换机实现扁平化。实现认证网关上收，接入设备无关性，简化运维。

支持主流BRAS设备的PPPoE认证：华为ME60，中兴M6000、T600，Juniper MX系列、E系列；

支持主流BRAS设备的IPoE认证：华为ME60，中兴M6000，T1200，Juniper E系列。

网关准出方案

RG-SAM+ 配合专业的网关设备（如：RG-RSR77系列路由器、RG-N18000系列交换机、RG-ACE系列流控设备）即可实现，专业的硬件和软件各司其职，可靠性更高。

网关模式下对基础网络设备无关，与基础网络设备品牌无关，客户可自由选择设计自己的基础网络的组网模式。

无需客户端

代理和共享行为只需要通过专业的硬件设备RG-ASME进行检测控制，在保障学校实名管控和运营收益的前提下，免除客户端的运维工作，免除客户端对用户使用体验的影响。

3.5.3 分区域精细化管理

RG-SAM+ 在分区管理和精细化管理方面具有一系列的独特解决方法，这些方法以独立的形式存在，同时彼此之间又具有相互关联的特性，这些关联的特性可以让这些方法自由组合，从而适用各大高校IT运营管理的要求。RG-SAM+ 无论在管理对象的多样性方面，还是接入方式的灵活性方面，甚至复杂的计费、服务策略组合都可以从容应对。

在分区域精细化运营方案支持下，高校未来的集成化运营模式均可通过统一的管理，按区域为不同的用户提供精细化管理服务，保证高校的网络接入用户能够充分享受个性化的服务。

l    区域管理分为：地区划分，服务定制，用户分组。

l    多种接入模式和灵活的计费模式是SAM3.X精细化管理核心内容。

l    多种接入模式包括：802.1x、Web、无线、VPN、PPPoE、IPoE。

l    多种计费模式包括：周期计费、流量计费、计时计费以及各种自定义计费运营的实现。

区域、接入方式和计费模式可以按照要求进行组合，根据业务的不同可以对不同的地区提供不同的接入方式，对特定的一个区域的一个接入方式可以实施一种计费策略，这样就形成了一组针对某一类用户的个性化服务。这就是RG-SAM+ 分区域精细化运营管理的***基本的内容。

3.5.4                                                                                                                                                                                          随需定制的计费策略

计费策略是定义如何对用户计费的实体，在RG-SAM+ 中***地决定了用户的上网花费。它包含了一系列对用户计费的方法，并成为计费方法的集合。对用户的计费方法有多种，比如包月、计天等，还可以根据特定的情况自定义一套计费方法。计费策略告诉我们，如何从用户的账户里扣去上网费用。

针对实际的应用情景，在RG-SAM+ 中预先定义了一些常用的计费策略，这些计费策略能够满足大多数情况下的使用需求，它们是“包月计费策略”、“计天计费策略”、“计时长计费策略”以及“流量计费策略”。管理员可设置更为详尽的计费规则，在RG-SAM+ 中提供了“自定义计费策略”，提供了众多的计费方法的定制，管理员可以随时按照自己的意图来组合这些计费方法，让RG-SAM+ 以更加贴近实现的方式对用户进行计费管理。

3.5.5      高可用集群

锐捷网络RGAC 1.2是使用两台服务器互相备份。当一台服务器出现故障时，可由另一台服务器承担服务任务，从而在不需要人工干预的情况下，自动保证系统能持续对外提供服务。为SAM系统提供数据的高可用性和业务的连续运转能力。

当主机发生故障时，与RG-SAM+ 所有业务都可以持续运行，保障业务的持续开展。使用户能够从容应对突发事故。可持续运行的业务有认证、计费、管理、自助业务、第三方接口业务（如一卡通）。

3.5.6     数字化校园

RG-SAM+ 支持和高校核心数据源的对接实现数字化校园身份统一，与校园网的一卡通进行对接，实现用户信息的同步与充值等业务。便于学校进行数字化校园的建设。

3.6 无线接入设计

3.6.1 无线网络拓扑图

3.6.2 无线覆盖信号

为能够提供优质的无线服务，所有房间（面板AP除外）内要求无线信号在室内任何空间信号强度2.4G、5G同时不低于-65dBm，丢包率小于1%。室外环境无线信号在无线蜂窝覆盖边缘信号强度2.4G、5G同时不低于-75dBm。同时为了达到信号稳定，同频率、同信道的干扰信号强度不得高于-75dBm。

信号质量：目标覆盖区域内95%以上位置，用户终端接收到的下行信号S/N值>10dB。

速率指标：在目标覆盖区内，单用户接入***下行业务速率≥AP上联中继带宽的90％。

信号外泄：室内WLAN信号泄露到室外10m处的强度不高于-75dBm。

1.   基本指标：主要STA的种类----手机的指标为-65dBm，笔记本为-70dBm，覆盖范围均100%。

2.   扩展指标（业务类型）：按重要度确认

Ø  办公应用，实时收费应用，或者其他客户要求必须满足的应用必须达到建议指标。

Ø  手机娱乐应用，非实时收费项目，可以在建议指标上降低5dBm。

3.   扩展指标（客户类型）：是否VIP，如果是，建议指标上应该增加5dBm。

3.6.3 工作频段与频点规划

依照WLAN的国际规范和国际无线电管理委员会的标准，WLAN无线设备的工作频段为2400-2483.5MHz，带宽83.5 MHz，划分为14个子信道，每个子频道带宽为22 MHz, ***多有13个信道可用。频道分配如图5-1所示：

图5-1

在多个频道同时工作的情况下，为保证频道之间不互相干扰，要求两个频道的中心频率间隔不能低于25 MHz。考虑参照北美标准设计的许多WLAN设备和终端（比如网卡）不能使用12、13信道做为学生信道，因此建议一般选用1/6/11信道。

部署双频点的无线接入点，802.11ac同时工作在2.4GHz和5GHz频点；

Ø   5GHz：

更多的频谱资源-数量较多的不冲突频点，更少的干扰（蓝牙、微波炉），从40MHz信道绑定获得***的性能，很多802.11ac的客户端只有在5GHz频段上支持40MHz；

Ø   2.4GHz：

采用2.4GHz频点，兼容原有的802.11a、b/g的客户端；不建议在2.4GHz频点使用40MHz信道绑定，大部分客户端不支持；避免了802.11a、b/g与802.11ac混用，降低性能。

3.6.4 无线网络覆盖场景分类

3.6.4.1    教学楼、图书馆、大教室应用场景

教学楼、图书馆、梯形大教室、行政办公楼等楼宇，用户密度大，对AP的性能要求较高，且建设环境空间大，比较空旷，这类场景采用覆盖能力强的放装式AP采用吸顶或者壁挂安装，优化AP的覆盖范围和用户接入性能，提供优质的无线上网体验。

3.6.4.2    行政办公楼、领导办公室应用场景

行政楼、领导办公室用户密度小，覆盖范围较小，要求施工简便布线少，这类场景建议采用标准86底盒安装的墙面AP，对原有的环境改动少，而且外形小巧，颜色美观大方，符合小密度的办公场景。

3.6.4.3    操场、生活广场应用场景

操场等室外空旷场景，室外环境恶劣，需面临严寒、酷热、雷雨、风沙等，覆盖面积要求较高，同时并发用户不多。这样的场景部署专用的室外大功率无线AP，室外AP要保证安装、维护方便，同时设备本身需具备抗雷击、防雨、防潮、抗高低温、阻燃等功能，保证室外空旷场景的良好覆盖。

3.6.4.4    宿舍楼应用场景

学生宿舍楼区域，建筑结构是一条狭长走廊，两边有多个小房间，有着墙壁厚、独立卫生间、信号穿不透特点，传统走廊无线AP覆盖无线信号在狭长的空间中被来回的反射，形成“多径干扰”，对无线的性能要求高。

这样的场景采用无线AP智分+解决方案，解决方案采用AP主机+内置射频模块的新型美化天线，每房间独立广播MIMO信号，可以做到24个房间在2.4GHz和5.8GHz双频段下的双流覆盖，单房间速率达到(300Mbps+867Mbps)/S，满足宿舍区域对性能、覆盖和美化效果的多方面需求，实现千兆独享式架构无线网络设计。

3.6.5 各场景解决方案设计

3.6.5.1    高密度区域方案设计

高密度覆盖区域通常地域比较空旷，终端数量多，并发数量大，无线AP之间的彼此信道重叠，同频干扰现象非常严重。往往造成终端数量在超过数百个之后，新用户无法关联AP，已经关联AP的用户访问网络速度极慢，整个网络服务处于不可用的状态。锐捷X-sense AP能很好解决高密度覆盖问题，能够***限度分配空间和频谱资源，使得数千人在同一场地的拥挤环境中，仍能获得很好的上网体验。

锐捷的X-sense系列AP采用24面天线，X型阵列，方向计算单元组成。在高密度场景下，天线自动调整信号方向和功率，避免同频干扰。X-sense灵动天线能实现支持***65536种组合方案，动态选择不同的天线组合，彻底解决传统天线存在覆盖盲区的弱点以及同频干扰等问题。在高密度无线用户的情况下，AP将结合锐捷无线控制器智能实时的根据用户数及数据流量调整分配到不同的AP上提供接入服务，平衡接入负载压力，提高用户的平均带宽和QoS，提高连接的高可用性，实现高密度的无线覆盖能力。

3.6.5.2    行政区域及办公室方案设计

分散的办公室采用面板式AP进行部署，面板式AP采用标准的86开关面板盒规格，而且还集成了以太网口和IP电话接口。部署简便，设备美观，整个部署过程只需要三步就能快速实现无线网络覆盖。***步、拆去房间内原有的有线网络的接口面板；第二步、更换原接入交换机为POE交换机；第三步、将原有网线插在迷你型AP130-W上并直接安装就能即插即用。它打破了以往无线网络建设的老旧方式，无需再拉新的网线，而是有效利用了既有的网络，将网络新建对房间环境的影响降到***，美观性很好。

墙面RG-AP130(W)

3.6.5.3    宿舍区域方案设计

宿舍区域采用智分+解决方案，一个智分主机可以带24个微AP，覆盖24个房间，并且每个房间都是802.11ac双频双流覆盖，智分+解决方案综合了放装解决方案和室分解决方案的优点，并加以改良。整体方案由无线控制器，智分+主AP，网线，智能天线4部分组成，无需外置功分器、耦合器等。部署简单，易于管理和维护，也节省了成本。同时由于天线内集成了两块射频卡，使得性能不再成为瓶颈。非常适合宿舍网这样的密集部署环境。智分方式为锐捷网络独有的部署方式。

3.6.5.4    室外区域方案设计

对于室外环境场所，为了满足更远更快速的无线效果，选择锐捷的室外AP，可根据不同的环境位置选择不同的覆盖方式，空旷区域的室外环境可选择全向天线作为覆盖，有阻碍区域可选择定向天线避开阻碍物。同时产品充分考虑了无线网络安全、射频控制、移动访问、服务质量保证、无缝漫游等重要因素，配合锐捷网络无线控制器产品，完成无线用户数据转发、安全和访问控制。

锐捷的室外采用了采用完全密封式防水、防尘、防潮、阻燃设计，满足IP67防护等级要求，可长期放置在户外工作，对于风蚀、雨水、潮湿等恶劣环境下仍然可以正常工作。在保障正常的工作基础上，大大提高了设备的使用寿命，同时可以有效降低用户的后期维护成本。可支持远程以太网供电模式，为室外环境无法直接提供强电情况得到保障。

选用元器件及壳体均采用宽温型产品，工作温度在-40～85℃超大范围内仍可以正常工作而不会影响稳定性和寿命，金属构件可以保障设备在极端酷热环境下的可靠散热，内置智能加热模块可以保障极端寒冷环境下设备的可靠工作，非常适合中国北方寒冷天气与南方潮湿天气环境对设备的苛刻要求。

3.6.6 无线网络可靠性设计

AP信号冗余

基于无线网管系统实现AP间信号的冗余，当其中一台AP故障后，周边的其他AP自动调整发射功率，覆盖该AP的区域，确保该AP内的无线终端设备正常接入无线网络。该项技术设计针对食堂及图书馆区域的覆盖会有重要的使用意义。

胖瘦AP切换

AP支持胖瘦接入点切换功能，当AC（网络层）不可达时，瘦接入点可以切换到胖接入点的工作模式，继续提供无线网络接入。设项技术点设计可保障在无线控制器故障时不会影响无线网络的正常使用。

RIPT远端智能感知容灾技术

通常情况下，无线控制器与AP之间采用跨三层的连接方式，AP的数据要到达无线控制器需要经过接入交换机->楼层汇聚交换机->大汇聚交换机->核心交换机***终到达无线控制器，现有无线控制器的冗余备份技术和AP的双上联技术只能解决上述过程中两端节点的可靠性，而对于中间的2-3级交换机上联链路却无能为力。所以，一旦楼层汇聚、大汇聚交换机的上联链路出现问题，将直接导致一栋楼、一个校园的无线网络完全瘫痪，这对于一个运营级的无线网络来说是致命的。

在无线网络的稳定性方面，除了通过N+1的控制器冗余技术来保障核心层无线控制器的高可用性外，锐捷智能转发架构还提供了一种在无线控制器下联链路失效（或者AP的汇聚上联链路失效）情况下，依然能保障无线网络正常运行的解决方案。

如图所示，无线网络采用集中式的认证和分布式数据转发模式，当AP上联的交换机与无线控制器的链路出现中断时，AP会在超时时间隔内尝试与无线控制器重新建立连接，一旦超时AP不再发送beacon帧或者响应用户的probe request请求，此时AP进入“standalone”模式。在这种模式下，已经连接在AP上的用户仍然在线，并且可以访问本地网络的资源。直到中断的链路恢复，AP重新与无线控制器建立心跳连接，无线业务恢复正常，AP重新接受新用户的关联申请。

3.6.7 无线漫游技术设计

在本设计方案中，为了提高学院内部无线的更加安全和有效地转发数据，将采用集中转发模式进行部署。当无线使用终端在移动到两个AP覆盖的临界区域时，无线终端首先与新的AP进行关联，关联建立的同时断开原有AP的关联，并且此过程中可以有效的保证切换过程中保持不间断的网络连接。通过落地无线漫游技术为学院提供不间断、无缝的无线网络体验。

XX学院无线网高速漫游解决方案需支持同一AC下AP之间，不同AC下AP之间的无缝快速漫游，保证无线客户端在一个子网内部，从一个AP的覆盖范围移动到另一个AP的覆盖范围时，通信不中断，用户无需重新登录和认证。

XX学院无线网智能漫游解决方案需支持系统灵活定义用户的漫游范围，漫游组，可以根据用户的身份和级别划定其可以漫游，连接无线网络的区域，为访客、或学生、老师等定义不同的无线接入区域，例如，可以定义学生不能在主楼办公区接入无线，可以在教学区接入无线，可以在宿舍区接入无线等。访客只能在主楼的会议室接入无线等等灵活的管理策略。

1、同一AC下AP之间快速漫游：

AP1与AP2分别与AC建立CAPWAP隧道；无线用户与AP1进行关联，接入网络；AP会将用户的报文封装在隧道中送给AC处理；

当无线用户从AP1往AP2方向移动时，无线用户向AP2发起认证和重关联请求，AP2透传重认证请求报文到AC上；AC检查发现此无线用户已经在AP1上进行认证，且通过PMKID成功查询得到对应PMK，表明此无线用户为漫游用户；重关联成功后，AC直接通知无线用户使用原有的PMK进行四次握手（4-Way handshake）协商，得到实际数据加密使用的PTK。

无线用户与AP1解除关联，所有用户数据通过AP2进行转发。整个协商过程中，未和认证服务器进行交互，且用户无需重登录。

2、不同AC下AP之间的快速漫游：

不同AC下AP间漫游，采用隧道技术实现。它提供了无线控制器（AC）间的一种通用的封装和传输机制。采用漫游组的概念，漫游组是一个AC的集合，它定义了无线用户可进行快速漫游的AC区域。

预先配置的漫游域中包含AC1和AC2。AC1与AC2建立同步隧道；无线用户***次关联到一个漫游域中的任意一个AC ，如AC1，称此AC Home-AC（HA），AC1通过隧道把用户信息诸如PMK， PMKID等同步到预先配置的漫游域中所有AC中，此时为AC2。

当无线用户漫游到漫游域中的其它AC时（AC2，称此AC为Foreign-AC (FA)），无线用户向AC2下属的AP2发起认证和重关联请求（此时重关联请求中携带无线用户与AP1协商出的PMK对应的PMKID；

AP2透传重认证请求报文到AC2上，AC2通过AC1同步来的无线用户信息，检查发现此无线用户已经在AC1（AP1）上进行认证，且通过PMKID成功查询得到对应PMK，表明此无线用户为AC间漫游用户；无线用户与AP1解除关联，所有用户数据通过AC2（AP2）进行转发。AC2对用户数据进行隧道封装，通过隧道的数据通道转发到AC1。由于所有数据***终仍然通过AC1进行处理，因此保证了用户IP不改变，用户业务的不中断。

定义漫游集群，集群冗余域，无线控制器预先同步用户信息。50MS跨控制器自动漫游；定义漫游组，限定无线接入用户访问范围；在漫游集群内，快速漫游，不掉线，不丢包；提高对无线网络安全管理；

3.6.8 无线网络安全设计

无线网络由于使用空中的无线电射频信道工作，因此基于无线网络的入侵防护显得尤为重要。这其中包括非法无线接入点的防范与非法用户连接访问的防范。

非法无线接入点可能侵占合法无线接入点的正常信道工作，这样不但会对合法的无线接入点产生干扰，由于非法设备往往不具备安全功能，还会将非法用户之间带进有线网络中。

采用智能无线AP，能够支持两种模式来对非法电磁信号进行监测：一种方式为AP在做Data AP的同时，每隔一段时间主动进行ActiveScan；另一种方式可以将AP设为监听模式（称之为SentryScan），与前一种方式不同的是，此种方式为连续监控。

智能无线AP通过上述两种方式，采取按需的或预设定的射频扫描来监听周边环境的信号源的MAC地址， Channel类型及SSID等，自动识别并警告未授权的AP或Ad-Hoc网络，以避免潜在的干扰或与无线入侵者。另外，对于某些重点区域，还可以部署专用 AP不断地扫描空域，以便对要求更高安全性的环境提供全天候保护。

当系统发现非法AP或者非法信号后，可以根据管理策略，手动或自动将非法AP加入系统的黑名单中。当发现有无线客户端尝试链接该非法AP时，系统可以主动向该无线客户端发出IEEE 802.11 disassociation信号，强制将该终端与非法AP断开，从而让终端始终连接上合法的无线网络上，保证了用户的数据安全。

另一种重要威胁是非法无线用户对合法无线接入点的入侵。互联网上可以轻易地下载到很多无线入侵和攻击工具，而原先传统的无线接入点设备均都没有侦测无线入侵的功能，所以当受到像无线DOS攻击时，就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击将会导致用户的无线连接断线，但网管人员却无法在***时间得到报警。利用网络的智能无线网络架构技术，智能无线交换机本身内置无线入侵模式库，可以实时检测异常的无线数据包，当无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应和报警，并提醒网管人员注意并提示相应的解决措施。

无线网络由于使用空中的无线电射频信道工作，因此基于无线网络的入侵防护显得尤为重要。这其中包括非法无线接入点的防范与非法用户连接访问的防范。

非法无线接入点可能侵占合法无线接入点的正常信道工作，这样不但会对合法的无线接入点产生干扰，由于非法设备往往不具备安全功能，还会将非法用户之间带进有线网络中。

采用智能无线AP，能够支持两种模式来对非法电磁信号进行监测：一种方式为AP在做Data AP的同时，每隔一段时间主动进行ActiveScan；另一种方式可以将AP设为监听模式（称之为SentryScan），与前一种方式不同的是，此种方式为连续监控。

智能无线AP通过上述两种方式，采取按需的或预设定的射频扫描来监听周边环境的信号源的MAC地址， Channel类型及SSID等，自动识别并警告未授权的AP或Ad-Hoc网络，以避免潜在的干扰或与无线入侵者。另外，对于某些重点区域，还可以部署专用 AP不断地扫描空域，以便对要求更高安全性的环境提供全天候保护。

当系统发现非法AP或者非法信号后，可以根据管理策略，手动或自动将非法AP加入系统的黑名单中。当发现有无线客户端尝试链接该非法AP时，系统可以主动向该无线客户端发出IEEE 802.11 disassociation信号，强制将该终端与非法AP断开，从而让终端始终连接上合法的无线网络上，保证了用户的数据安全。

另一种重要威胁是非法无线用户对合法无线接入点的入侵。互联网上可以轻易地下载到很多无线入侵和攻击工具，而原先传统的无线接入点设备均都没有侦测无线入侵的功能，所以当受到像无线DOS攻击时，就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击将会导致用户的无线连接断线，但网管人员却无法在***时间得到报警。利用网络的智能无线网络架构技术，智能无线交换机本身内置无线入侵模式库，可以实时检测异常的无线数据包，当无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应和报警，并提醒网管人员注意并提示相应的解决措施。

3.6.8.1 无线校园网基础架构方案

3.6.8.1.1   无线网络转发架构规划

大规模建设无线校园网必然要考虑无线数据转发的问题。无线数据有两种转发方式：

1、    集中转发，无线AP与无线AC通过CAPWAP建立隧道，将无线数据在隧道中封装，将802.11的无线数据封装后，转发到AC上，AC经过802.11到802.3数据包转换，转换为可以在以太网中传输的数据帧格式。

2、    分布转发，无线AP根据数据包的SSID和VALN等信息，自动区分数据包，在AP本地进行802.11到802.3的数据包的转发，特定SSID的数据不再经过AC统一集中转发。

这两种转发方式有着不同的应用场景，针对视音频等需要低延迟转发的数据，可以采用分布式的转发，无线数据可以就近从接入交换机上转发，而不用必须经过AC集中转发，尤其是在802.11AC的大容量的接入数据应用上，分布式的转发具有更高的处理性能。

针对高安全性的数据建议采用集中式的转发，例如学校的办公系统，无线视频监控、无线一卡通、教职员工、特殊教师等数据，必须要上传到AC，有AC进行安全验证后，才可正常转发。

此外，无线AC的部署方式，也需要在实施前认真规划：

1、    AC与核心交换机互连，无线用户的网关在AC上，由AC与校园网的核心交换机通过路由，转发无线数据。此种方式，不需要改变现有的校园网络架构，无线网关单独设置，架构清晰，但是基于802.11AC的无线数据庞大，无线AC压力很大，适合于用户数量不多的情况。

2、    AC与核心交换机互连，无线用户的网关设置在核心交换机上，此种方案，更改网络的配置，与现有校园的规划有所不同，核心交换机上一般不会起用网关，而只负责路由的传递和高速度的数据转发。

3、    AC与特殊的汇聚交换机互连，该汇聚交换机是独立配置的，网关设置在该汇聚交换机上，与原有校园网的规划保持一致，只是在特殊的无线转发区设置网关。该方式配置简单，日后维护方便，对核心设备数据转发压力不大。

鉴于XX学院目前的设计模式，建议采用多SSID分别覆盖的方式，老师和学生接入不同的SSID，通过区分可以设置不同的转发策略，老师等数据要求安全级别较高，转发数据量不大采用集中转发的方式，学生对视音频、游戏等实时性要求较高，可以采用本地转发的方式。

无线交换机AC可以采用与核心交换机万兆互联的方式，针对802.11AC的大容量无线数据可以实现高速无阻塞的转发。

3.6.8.1.2   无线冗余备份架构设计

考虑到XX学院无线校园网为将覆盖全校区，为全校30000余师生提供高速无线网络访问服务。其无线网络的高可用性的规划不可避免。

无线网络设计采用RG-WS5708或RG-WS5302两台无线控制器，其支持主备工作方式，可以实现无线控制器AC1+1和N+1的备份：

1、 1+1备份

一台RG-WS5708作为为主控制器，另外一台RG-WS5708作为备份控制器，此时只有主控制器会接受AP的注册请求。当Fit AP和主控制器注册建立CAPWAP关联时，主控制器会将备份控制器的信息通告给无线 AP， AP会根据此信息和备份的控制器也建立CAPWAP链路，但只有和主控制器建立的CAPWAP链路处于工作状态。

当主控制器异常不工作机时，备份控制器和主控制器之间的心跳检测机制可以快速检测到主设备的DOWN机，并及时通知FIT AP进行主备用CAPWAP隧道的切换，保证用户的业务不中断。

2、 N+1业务备份

对于N+1备份方式，AP选择主AC的方式同负载分担方式描述，当AP连接的AC down机时，AP会在其配置文件策略中选择备份的AC，并且通过其预先设置的AC的IP地址与其建立起新的AP、AC的链接。在其配置策略中，其备份AC的优先级别可以预先制定。

3.6.8.1.3   无线AP智能高速漫游设计

无线校园网需要支持未来的高速漫游、智能漫游的需要，可以满足低延迟的视频、语音等业务的需要，也可以满足随时定制接入用户的应用范围等管理上的需要。

锐捷的无线校园网高速漫游解决方案支持同一AC下AP之间，不同AC下AP之间的无缝快速漫游，保证无线客户端在一个子网内部，从一个AP的覆盖范围移动到另一个AP的覆盖范围时，通信不中断，用户无需重新登录和认证。

锐捷的无线校园网智能漫游解决方案支持系统灵活定义用户的漫游范围，漫游组，可以根据用户的身份和级别划定其可以漫游，连接无线网络的区域，为访客、或学生、老师等定义不同的无线接入区域，例如，可以定义学生不能在主楼办公区接入无线，可以在教学区接入无线，可以在宿舍区接入无线等。访客只能在主楼的会议室接入无线等等灵活的管理策略。

1、同一AC下AP之间快速漫游：

AP1与AP2分别与AC建立CAPWAP隧道； 无线用户与AP1进行关联，接入网络；AP会将用户的报文封装在隧道中送给AC处理；

当无线用户从AP1往AP2方向移动时，无线用户向AP2发起认证和重关联请求，AP2透传重认证请求报文到AC上；AC检查发现此无线用户已经在AP1上进行认证，且通过PMKID成功查询得到对应PMK，表明此无线用户为漫游用户；重关联成功后，AC直接通知无线用户使用原有的PMK进行四次握手（4-Way handshake）协商，得到实际数据加密使用的PTK。

无线用户与AP1解除关联，所有用户数据通过AP2进行转发。整个协商过程中，未和认证服务器进行交互，且用户无需重登录。

2、不同AC下AP之间的快速漫游：

不同AC下AP间漫游，采用隧道技术实现。它提供了无线控制器（AC）间的一种通用的封装和传输机制。采用漫游组的概念，漫游组是一个AC的集合，它定义了无线用户可进行快速漫游的AC区域。

通过隧道提供控制通道用于快速漫游时AC间共享/交换信息，同时也提供了数据通道用于对数据报文进行AC间的传输。

预先配置的漫游域中包含AC1和AC2。AC1与AC2建立同步隧道；无线用户***次关联到一个漫游域中的任意一个AC ，如AC1，称此AC Home-AC（HA），AC1通过隧道把用户信息诸如PMK， PMKID等同步到预先配置的漫游域中所有AC中，此时为AC2。

当无线用户漫游到漫游域中的其它AC时（AC2，称此AC为Foreign-AC (FA)），无线用户向AC2下属的AP2发起认证和重关联请求（此时重关联请求中携带无线用户与AP1协商出的PMK对应的PMKID；

AP2透传重认证请求报文到AC2上，AC2通过AC1同步来的无线用户信息，检查发现此无线用户已经在AC1（AP1）上进行认证，且通过PMKID成功查询得到对应PMK，表明此无线用户为AC间漫游用户；无线用户与AP1解除关联，所有用户数据通过AC2（AP2）进行转发。AC2对用户数据进行隧道封装，通过隧道的数据通道转发到AC1。由于所有数据***终仍然通过AC1进行处理，因此保证了用户IP不改变，用户业务的不中断。

定义漫游集群，集群冗余域，无线控制器预先同步用户信息。50MS跨控制器自动漫游；定义漫游组，限定无线接入用户访问范围； 在漫游集群内，快速漫游，不掉线，不丢包；提高对无线网络安全管理； 可设置学生不能在办公楼，用无线； 来校访客，只能在会议室接入无线；

3.6.8.1.4   无线AP供电方案设计

由于本次无线网中AP设备数量较多，无线AP供电的面临巨大的挑战，原有POE供电设备的兼容问题，本地电源的部署问题等。

对于无线AP的供电一般采用三种方式：

1、    本地电源供电，采用AP自带的直流适配器供电，对于高校无线校园网的环境，AP布放位置根据实际覆盖效果而调整，AP供电在已建设完成的建筑物上较难进行本地供电。不可能保障AP附近都会有电源，同时对电源的管理也是一个严重的问题。本地电源供电适合于AP数量不多，局部无线部署使用，而且以室内部署为主，电源供给方便的环境。

2、    POE交换机供电，本次规划的无线校园网采用802.11AC的AP，需要充足电源。传统的802.11a、b/g的AP采用802.3af标准，15W，802.11AC的AP需要提供802.3at标准，24W。采用兼容802.2af供电方式的802.11AC的AP既充分利旧采用原有的POE交换机等设备，也能够在日后的维护成本又很大的降低，将极大地节省了无线网络的电源消耗。在高密度的无线AP的覆盖场景下，建议采用POE交换机供电方式，选用支持802.3af兼容AP。采用低功耗的802.11ACAP，兼容802.2af，利用原有设备，节省投资；低碳、节能、绿色环保；

3、    POE电源注入器的方式，在AP数量不多场景下，如果采用POE交换机供电，会有浪费，增加了用户的成本，同时，无线和有线一般是同时部署的。在有线接入交换机的接口有剩余的情况下，采用外接POE注入器的方式，将能充分利用现有的有线交换机，不用再增加专用的POE交换机，而极大地节省了用户的投资。POE电源注入器方式，该方式适合于无线AP节点数量不多的场所。

3.6.8.1.5   针对学生宿舍的智分方案设计

     学生宿舍是一个密集的、结构单一的环境。该环境下学生无线应用需求多样，学生终端密集，宿舍房门对无线信号的阻挡强度大。如果采取传统的走廊放装方案，部署过于密集，则同频干扰严重；反之，则会导致信号不易穿越厚实的宿舍房门结构，无法给学生提供良好的上网体验。

智分方案产品是锐捷网络推出的面向复杂应用环境（如无线宿舍网、无线病区、酒店等）下的专用型双路双频无线接入点，内置智能功分模块配合锐捷网络独有的“i-Share”技术，可实现AP智能的“一分多”多种部署模式，包括8个房间双频单流覆盖，8个房间2.4GHz的覆盖或4个房间的双频双流覆盖，结合自主研发的美化天线产品及超柔低损线缆，来满足多种场景中对性能、覆盖和美化效果的需求。

它针对学生宿舍提供了三种不同的部署模式：

“1分4双频双流”部署方式，实现了4个房间2*2MIMO 300Mbps高吞吐性能的无线覆盖，可同时提供2.4GHZ和5.8GHZ的终端用户接入网络，满足了视频点播，在线会议，极速下载等高吞吐的无线应用场景。

“1分8双频单流”部署方式，实现了8个房间2.4GHZ和5.8GHZ的150Mbps的信号覆盖，不仅满足8个房间同时存在2.4GHZ和5.8GHZ终端的部署方式而且在保证了无线体验的同时为用户节约了部署成本。

“1分8单频单流”部署方式，实现了8个房间2.4GHZ的150Mbps的信号覆盖，满足终端类型只存在2.4GHZ的8房间部署需求的同时保证了用户部署成本的节约。

3.6.8.2 无线校园网安全建设方案

3.6.8.2.1   无线校园网的安全概述

无线校园网具有使用便捷灵活、易于扩展等有线网络无法比拟的优点，因此无线校园网得到越来越广泛的发展和应用。但是由于无线网络的信道开放的特点，使得攻击者能够很容易的进行窃听，恶意修改并转发，因此安全性成为阻碍无线校园网发展的重要因素。虽然一方面对无线局域网需求不断增长，但同时也让许多高校用户对不能够得到可靠的安全保护而对***终是否采用无线局域网系统犹豫不决。利用WLAN接入校园网，对于现有的WLAN技术，它的安全隐患主要有以下几点：

3.6.8.2.2   无线校园网的安全威胁

3.6.8.2.2.1   ARP欺骗攻击