高校智慧校园无线网络建设整体解决方案

高校无线校园网建设整体解决方案 （含有线、安全、计费）
信锐网科技术有限公司
版权声明
本文档版权归深圳市信锐网科技术有限公司所有，并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其它相关权利均属于深圳市信锐网科技术有限公司。

未经深圳市信锐网科技术有限公司书面同意，任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。

免责条款
本文档仅用于为最终用户提供信息，其内容如有更改或撤回，恕不另行通知。

信锐网科技术有限公司已尽最大努力确保本文档内容准确可靠，但不提供任何形式的担保，任何情况下，信锐网科技术有限公司均不对（包括但不限于）最终用户或任何第三方因使用本文档而造成的直接或间接的损失或损害负责。

信息反馈
如果您有任何宝贵意见，请反馈至：
地址：深圳市南山区学苑大道1001号南山智园A1栋6楼
邮编：518055
您也可以访问信锐技术网站： 获得最新技术和产品信息。

目录
1概述 (6)
2整体网络建设方案 (6)
2.1网络整体架构 (6)
2.2核心骨干网 (7)
2.2.1核心层设计 (7)
2.2.2汇聚层设计 (7)
2.2.3接入层设计 (8)
2.3无线校园网 (9)
2.3.1场景化覆盖 (9)
2.3.2智能负载均衡 (13)
2.3.3无线网络优化 (14)
2.3.4可靠性设计 (16)
2.4校园网计费 (18)
2.4.1计费方案设计 (18)
2.4.2BRAS部署方案 (18)
2.4.3校园网计费方案 (20)
2.5校园网防代理 (26)
2.5.1防共享原理 (26)
2.5.2防共享实现效果 (28)
2.5.3技术优势 (31)
2.6校园网安全防护 (32)
2.6.1安全域划分 (32)
2.6.2上网行为管理 (33)
2.6.3实时漏洞分析 (34)
2.6.4异常流量检测 (36)
2.6.5文件上传检测 (37)
2.6.6僵尸网络检测 (38)
2.6.7分析攻击类型 (39)
2.6.8安全日志汇总 (40)
2.6.9敏感页面保护 (41)
2.6.10服务器底层漏洞防护 (43)
2.6.11网站防篡改 (44)
3方案价值 (47)
3.1构架极安全的校园无线网 (47)
3.1.1接入安全 (47)
3.1.2上网安全 (48)
3.1.3内网安全 (49)
3.2体验极佳的无线网络 (49)
3.2.1全校无缝漫游 (49)
3.2.2高速上网体验 (50)
3.2.3网络缓存加速 (50)
3.3全光敏捷极简扁平化网络 (51)
3.3.1超级高可靠性网络 (51)
3.3.2极简运维管理 (51)
3.3.3随心所欲的运维管理 (51)
4设备简介 (53)
4.1华为核心交换机S12700 (53)
4.2华为BRAS网关ME60-X8 (55)
4.3华为大容量OLT MA5800T (56)
4.4华为远端MDU MA5626 (58)
4.5桌面终端MA5871 (58)
4.6深信服上网行为管理 (59)
4.7深信服下一代应用防火墙 (59)
4.8信锐无线控制器NAC-7600 (59)
4.9信锐面板AP NAP-3600-P (60)
4.10信锐吸顶AP NAP-3600 (61)
4.11信锐室外AP NAP-7800 (62)
1概述
本次方案建设包括XX大学、XX大学、XX大学三所高校的校园网，通过建设一套完整的无线网络、有线网络一体化的现代化网络，不仅为广大师生提供高吞吐、高并发的校园网络，同时也打造高安全、高可靠性、管理极简的下一代校园网。

本次校园网建设包括原有线网络升级改造、新建有线网络和无线网络，既要考虑兼容性，又要考虑部署、维护的便利性，以及控制最佳建设成本。

2整体网络建设方案
2.1网络整体架构
本次校园无线网络建设采用AC集群+ FIT AP模式进行组网，采用“3+1”的部署模式，学校AC对全校各区域所有各类型的AP进行统一集中管理，再通过中心AC对三所学校的AC进行统一集中管理和冗余备份，实现无线网的简易维护。

2.2核心骨干网
2.2.1核心层设计
核心层部署校园的核心设备，连接所有的汇聚交换机，转发各个教学楼或
学生宿舍之间的流量。

核心层需要采用全连接结构，保持核心层设备的配置尽量简单，并且和校
园网的具体业务无关。

核心层设备需要具有高带宽、高转发性能，否则将无法支撑企业内外部的业务流量。

本次建设核心层建议采用华为敏捷交换机S12700，并使用CSS2（Cluster Switch System）集群技术，将两台交换机从逻辑上整合成一台交换机。

CSS2技术支持主控1＋N备份，集群系统中只要保证任意一框的一个主控板运行正常，多框业务即可稳定运行。

相对于传统业务口集群系统，每个框至少要有一块主控单元运行正常的限制。

通过集群+堆叠的无环网络方案保障网络可靠，再通过设备本身99.999%的电信级可靠综合保障校园网应用的稳定运行。

华为S12700敏捷交换机负责对校园网用户的统一接入，业务板卡直接融合BRAS功能，与认证服务器协同工作，对接入用户进行认证，可以很方便的对校园网的所有用户流量做统一管理监控。

有强大的认证计费功能，才能满足校园网的大用户量、高并发连接数、多样化计费的需求。

2.2.2汇聚层设计
对于宿舍区网络：
汇聚层是一幢学生宿舍的汇聚点，汇聚层的设备用来转发本区域用户到其
他区域用户的横向流量，同时发送本区域用户流量到核心层。

汇聚层将大量用户接入到互联的网络中，模块化扩展接入核心层设备的用户数量。

汇聚层具有高带宽、高端口密度、高转发性能等特点，用于支撑该汇聚层
下各业务部门之间的流量。

本次建设可直接利旧现有有线网络，宿舍区新建有线部分，可通过信锐分布式AP直接进行有线无线覆盖。

对于办公区网络：
采用全光网络（GPON）部署方式，中心机房部署OLT设备作为大容量汇聚点，每个办公楼楼层不再部署汇聚交换机，而用无源分光器代替。

OLT设备用来转发教师办公的横向流量，并将纵向流量转发到核心交换机。

采用大容量OLT汇聚和无源分光的方式，可以有效的节省汇聚机房空间，减少电源、空调等配套设施的成本；还能提高业务配置和故障处理速度，从而降低运维成本。

2.2.3接入层设计
教室和办公楼接入层设计规划：
本项目根据学校对教室和办公楼区域有线、无线网络独立组网的诉求，在教室和办公楼采用GPON全光接入方案，实现光纤到桌面。

办公楼/教室的有线网络采用10G-GPON方式，下行有效带宽为8.8G，桌面终端（ONU）采用MA6871，提供4个千兆网口。

分光比按1:8设计，每个ONU端口平均可提供的带宽为：8800/8/4=275M，并行度为用户上网并行度和占空比的综合，行业内参考值0.3，实际每端口可提供的带宽为275/0.3=916M 办公楼/教室的无线AP接入采用GPON方式，下行有效带宽为2300G，ONU采用带POE功能的MA5626，提供8/24个FE口。

分光比按1:4设计，每个AP可提供的带宽为：2300/4/8(24)≈24-72M。

在阶梯教室、音乐厅、图书馆等高密场景可部署8端口ONU，带宽可达72M，以保障用户体验。

宿舍楼接入层设计规划：
接入层是最靠近终端用户的网络，为用户提供各种接入方式，一般部署二层设备，双归属到汇聚层两个不同的交换机。

接入层除了需要部署丰富的二层特性外，还需要部署安全、可靠性等相关功能。

接入层需要具有高密度、高速率的端口，以支持更多的终端接入校园网络。

接入层交换机通常使用iStack（Intelligent Stack）技术，将多台交换机从逻辑上整合成一台交换机。

这样既简化了配置和管理，又提高了网络的可靠性和扩展能力。

无线接入AP设备建议如下：
图书馆、小型会议室、教室、实验室等区域采用新一代高性能11ac，
3x3MIMO，双频无线接入点NAP-4600，可以很好的满足不同场景下的覆盖要求。

大礼堂、体育馆大型高密覆盖区域，采用11AC定向AP，外置高密窄角度、高增益定向天线的设备AP，满足特殊活动时期高并发的诉求。

办公室、宿舍等区域采用新一代集结号方案，一栋宿舍部署一台AC，通过POE交换机连接远端面板式AP，每个面板式AP覆盖一间宿舍或者办公室。

操场、草坪等区域采用新一代室外11ac AP，防护等级IP67，以太网接口
6KA与天馈口5KA设备内置增强防雷设计，满足室外恶劣环境的要求。

PoE供电接入交换机：
接入层采用千兆POE接入交换机，满足AP供电以及WLAN 11n/11ac对接入带宽的需求。

2.3无线校园网
2.3.1场景化覆盖
2.3.1.1学生宿舍及教师宿舍覆盖
学校宿舍楼、公寓楼这类场景有一个典型特点就是：房间结构统一，墙体分布密集，无线信号衰减严重。

若采用传统的走廊放装部署，将AP部署在走廊里，信号穿透墙体进入房间内，使得覆盖效果大好折扣。

为了保证覆盖效果，针对宿舍区采用支持802.11ac协议标准的86型面板AP进行无线部署，将AP直接部署在房间内面板暗盒，并提供千兆上行带宽至POE 交换机，满足高并发、高吞吐的无线上网需求，采用面板AP可快速完成宿舍区
的无线网络部署，保证每个宿舍都是满格信号，大大减少施工，同时还不破坏房间环境设计。

面板AP由上游的POE交换机通过网线进行供电，无需单独部署本地电源适配器，满足宿舍区有线及无线网络的接入需求。

宿舍区覆盖示意图
NAP-3600-P 双频11AC面板
2.3.1.2办公楼、教学楼放装覆盖
办公楼、教学楼等室内场景具有接入用户数多，覆盖范围大的特点，通过部署支持802.11ac协议的高性能室内吸顶AP（支持吸顶、壁挂、桌面放装三种安装方式），其高吞吐量、高用户并发等优异的性能均能很好的满足无线接入。

考虑到用户容量的需求，同时按照每个AP 60人并发、120人接入的规划，还需要对AP信道和功率进行实际调整：
(1)根据AP的部署密度情况进行合理信道规划，AP可采用160M/80M/40M频宽接入，满足用户的高并发快速上网。

(2)通过合理无线网优，调整每AP发射功率，合理化避免信道冲突及空口干扰。

同时具有一定交叉区域，保证无线终端的顺利切换。

2.3.1.3高密场景覆盖
对于学术报告厅、体育馆、学生食堂、会议室、演播厅等用户高密场景，传统的无线部署方案往往同频干扰严重，从而导致设备多用户处理能力和传输带宽大大降低，信号满格却总是连不上，网络变得“华而不实”。

本次采用802.11ac高密覆盖解决方案，单台AP提供更高吞吐、更快接入的无线网络，无线信号覆盖以5G为主，2.4G为辅，充分利用5G频谱资源，同一空间内可以实现多个互不干扰、不重叠的信道，另外，合理规划2.4G网络频谱，减少同频干扰。

同时，通过AP智能负载均衡、终端公平调度、高密优化、禁止低速终端接入等无线优化技术，提高信道利用率，满足高密场景的大量用户终端快速接入上网。

音乐厅、学术报告厅及阶梯教室覆盖示意
2.3.1.4室外区域覆盖
室外校园环境恶劣，部署的设备经常被风吹雨晒，要求室外设备必须防护能力高、防水防雷、安装维护简单等，利用11AC室外专用AP对校园室外区域进行无线覆盖，IP67专业级防护能力，支持全封闭防水、防潮、防尘以及防火、防晒等，在极端恶劣的室外环境中仍可正常使用，可有效避免室外恶劣天气和环境影响，不管是在潮湿的南方还是寒冷的北方都适用。

另外，利用WDS组网，可扩大无线覆盖、回传距离。

学校室外区部署方式主要有：安装在已有路灯杆或新立杆、安装就近建筑物楼顶，通过外接室外高增益天线（根据实际情况选择定向或者全向）进行室外覆盖。

对于部分室外区域，考虑采用室外美化天线进行覆盖，避免对周围环境的影响；
室外AP+定向天线 室外AP+全向天线 室外AP+美化天线
NAP-7800
2.3.2智能负载均衡
本次无线网络通过AP智能负载均衡，包括接入点间负载均衡以及2.4G/5G 双频负载均衡。

接入点间负载均衡基于无线接入点的负载情况进行接入用户的负载均衡，比如接入用户数、流量负载、信道利用率、终端信号强度。

由AC统一平均分配每一个用户，确保每个无线用户都能获得畅快的上网体验，从此道路不在拥塞。

2.4G/5G双频负载均衡，提升网络吞吐量，5G终端优先接入5G频段，结合接入点间负载均衡，平均分布每一个用户，保证每个接入点2.G/5G频段的用户均能享受良好的上网体验。

负载均衡采用引导式负载，通过802.11k、802.11r和802.11v进行的 Wi-
Fi 网络漫游（非强制下线进行负载）。

2.3.3无线网络优化
2.3.3.1终端公平调度
由于所有终端抢到的空口机会差不多相等，高速率终端每次快速发完自己的数据后都要等待低速终端慢腾腾的发完它的数据，所以，高速率终端的性能基本上与低速率终端的性能是一样的，显然，整体的性能也被大幅拉了下来。

所以，用户终端的连接速率过低时，会严重影响连接速率高的用户的上网速度，导致所有的接入用户上网体验差。

通过终端公平调度算法（时间公平算法，也叫用户间平均分配带宽），有效的解决了某些终端接入速率过低导致整个网络性能下降的问题，让每个终端占用相等的无线信道时间，有效提高无线网络总吞吐率。

2.3.3.2高密场景优化
所谓的高密度场景是指在一定空间内的无线用户数量与网络流量都远超过普通无线网络覆盖的预期。

在学术报告厅、食堂、立礼堂、会议室，经常会遇到在一个有限的空间内，有分布密集的终端上网体验，单台AP接入用户有限，然而在这有限的空间里部署多台AP的话，由于在一定的空间内信道的资源是有限的。

当AP的数量超过信道数量时，因为信道之间的冲突，不能起到良好的效果，反而会带来更多的干扰漫游问题。

针对终端高密场景，信锐技术对局部空间终端分布密集场景进行网络优
化，一键开启高密优化，可降低AP性能消耗，减少无关信息的传输，对无线网络进行性能优化，从而提升高密度场景用户的无线上网体验。

2.3.3.3无线侧质量指标
无线覆盖信号强度
设计目标覆盖区域内95%以上位置，接收信号强度大于等于-65dBm。

用户认证测试
对主要的WEB认证进行测试，不同AP重复进行20次接入测试，WEB认证通过率>=95%
网站访问成功率、首页响应时延测试
要求访问国内热点网站成功率不低于99％；访问国内网站显示时延不大于3秒；访问国际网站显示时延不大于5秒
信噪比（SNR）
设计目标覆盖区域内95%以上位置，用户终端无线网卡接收到的信噪比（SNR）大于25dB。

同频干扰测试
对于有多个AP覆盖区域内查看是否有同频干扰，同频干扰小于-80dBm，邻频干扰小于-70dBm。

信号外泄
室内无线信号泄漏到室外区域，10m处的信号强度不高于-75dBm。

PING包测试
PING无线控制器IP地址时延不大于50ms；Ping包的丢包率不大于3%。

2.3.4可靠性设计
2.3.4.1AC部署方案
²大容量无线控制器
本次部署的无线控制器为信锐万兆系列NAC-7600，单台最大可配置管理12288个AP，并且支持多台AC集群管理，可轻松实现网络弹性升级，能够满足未来无线网络扩容的需要，方便未来学院无线网络的扩容和改造。

同时，信锐万兆系列NAC-7600可实现80G的流量转发，可以实现整个校园无线网络的低延迟、无丢包的快速转发，真正实现高带宽、大容量的校园网络。

²AC冗余部署
为了保证网络可靠性和考虑建设方案，实现校园无线网络的冗余灾备，增加网络可靠性，避免单点故障。

本次方案采用AC垂直冗余方案，中心AC除对三所学校的AC进行集中管理外，还对学校AC实现垂直冗余备份，一旦当学校AC运出现故障时，所管理的所有AP自动切换到中心AC上运行，实现毫秒级的快速切换，保证用户业务不中断；当学校AC恢复后，AP切换回学校AC。

²AC逃生方案
通过AC垂直冗余方案可以很大程度上提高网络的稳定性，避免发生单点故障，为了进一步提高无线网络的健壮性，信锐还进一步提供AC逃生方案，当
AP与无线控制器因外界因素（如AC宕机、控制器与核心交换机链接线断开）
造成的通信连接断开后，自动启用应急策略或应急SSID，新接入的用户会划分到指定的应急VLAN以及分配相应的应急角色，仍然能保证用户正常上网以及新用户的认证接入，当网络恢复正常时，这些用户会从灾备角色中剔除，提高网络的稳定性和可靠性。

2.3.4.2认证服务器部署方案
²认证服务器冗余
无线校园网、有线网络共用一套认证计费系统，实现有线、无线统一认证，无线网络可关联多个 Radius认证服务器，实现认证服务器的冗余备份，当一台Radius服务器宕机后，另一台Radius服务器继续提供服务，为用户提供可靠的接入服务，如城市热点、安朗、深澜等专业服务器。

无线上网计费属于无线校园中重要的一环节，通过RADIUS与学校认证计费系统进行对接，实现认证与计费全业务接口无缝衔接，使无线校园网与认证计费系统（或网关）实现统一身份认证平台；通过认证计费系统，实现刷卡开户、收费、扣费、定期圈存和自然月结算策略（运营商通用计费策略）以及缴费自动触发开户等个性化功能，让高校师生在校园无线上的使用更加便利，缴费更加方便，计费更加准确合理，极大促进数字化校园与认证计费系统整合的步伐。

²认证服务器逃生方案
除了认证服务器的1+1、N+1部署，信锐还进一步提供认证服务器逃生机制，通过认证服务器逃生功能，即使当无线网络关联的全部认证服务器都宕机后，依然能保证用户正常上网以及新用户的认证接入，提高网络的稳定性和可靠性。

2.4校园网计费
2.4.1计费方案设计
安朗公司提出的多运营商方案，适用于现网是一次认证的网络环境，也适用于现网已经运营商共同接入，学生自助选择任意运营商套餐；IPV4/IPV6双栈接入，满足学校未来的网络改造需求；实现同一账号的抢占模式，类似QQ后面的终端上线后，前面的终端自动下线；灵活丰富的运营商统计管理功能，历史帐单随时可查；学号与运营商帐号自动绑定，学生采用同一套账号完成校园网和运营商网络的认证；运营商可推行手机+宽带融合套餐。

2.4.2BRAS部署方案
双机部署
在校园网的核心出口推荐部署两台专业设备ME60作为既作为用户接入认证和计费网关又作为校园网核心出口路由器，两台ME60间采用万兆口互联，两台
设备间启用VRRP+，BFD for FRR等冗余保障及链路故障倒换协议，使得两台ME60互为热备，在用户接人会话数和流量上进行1:1负载分担。

宿舍用户接入设计
（1）接入交换机配置用户VLAN。

汇聚交换机添加外层VLAN。

由ME60终结QINQ报文。

（2）ME60作为用户网关，IPOE用户上线到ME60转DHCP服务器给用户分配IP 地址，在通过认证之前用户只能访问认证前域的服务器，用户的第一个HTTP报文进行重定向到Portal服务器，实现WEB认证，认证通过后允许用户访问认证后域。

（3）ME60作为用户网关，PPPOE用户直接到认证AAA服务器进行用户名和密码认证。

用户认证规划
l学生宿舍区用户集中，可以使用PPPoE方式认证，ME60将用户的账号/密码发送到认证计费服务器进行认证，认证通过后分配IP地址。

l实验室教室等公开接入点，可设置成IPoE快速认证访问内网资源，访问外网资源时做WEB认证。

l教学楼的打印机、IP电话等哑终端没有PPPoE的客户端，也无法接收web 页面，使用IPOE的方式接入ME60，为防止非法接入，可以配合MAC认证。

l公共场所可使用Portal认证，用户首先获取BRAS分配的一个IP地址，通过认证前只能访问有限的服务器。

BRAS将Portal服务器的web页面推送给用户，由用户填写用户名、密码进行认证。

BRAS支持对一种接入场景配置多种认证方式，满足用户灵活认证的需求 DAA根据目的地址计费
DAA是destination address accounting 的简称，在ME60上部署DAA功能实现了对用户接入业务访问目的地址的差别进行管理，根据不同目的地址定义不同的费率级别进行收费和不同的网速控制。

在校园网内，用户上线后一般访问教育网内不收费或者收很低的费用，而且是不限速的，而如果访问教育网外的Internet，需要收取较高的费用，同时限制一定的带宽，通过此功能可以实现访问校内资源不计费，访问外网或是教育网采用不同的计费策略。

2.4.3校园网计费方案
安朗公司结合多年的行业经验，在设计时充分考虑电信运营商、社区运营、校园计费需求，预设计了以计时长、计流量、包月、包天、包年、分层计费、免费为模板的7种计费策略类型，在这7种模板下，可以配合更多的组合计费策略以满足各种个性化的计费需求
计时长
l支持按时长的费率扣费
l支持包月限时长，超过所包时长按费率计费
l支持以自然月包月和从上网激活日包整月
l支持包年限时长功能，即一年X元包Y小时，超过时长以费率计费
l自然月支持首月计费方式有：免费、正常收取、计时长、计流量、按天收取 l自然月支持复通的计费方式有：正常收取、按天收取、计流量、计时长
l封顶金额：当达到封底金额时，再使用网络不再收取费用
l支持用户使用时长超过所包时长，并且当月使用金额小于封顶金额的时候系统将按此费率对用户的使用时长进行计算费用。

计流量
l支持按流量的费率扣费
l支持包月限流量，超过所包流量按费率计费
l支持以自然月包月和从上网激活日包整月
l自然月支持首月计费方式有：免费、正常收取、按天收取、计时长、计流量 l自然月支持复通的计费方式有：正常收取、按天收取
l封顶金额：当达到封顶金额时，使用网络不再收取费用
l支持用户使用流量超过所包流量，并且当月使用金额小于封顶金额的时候系统将按此费率对用户的使用流量进行计算费用
包天
l支持X元包Y天的普通包天，每次扣X元，到了Y天后自动失效
l支持X元包共Y天的动态包天，每次扣X元，在一天内不限使用次数，如果使用一次，也算一天。

未使用不计算
l支持一次充值全转换为天数或一次只扣取X元
包月
l支持包月限流量，超过所包流量不能使用
l支持包月限流量，超过所包流量限制使用
l支持包月限流量，流量平均到每天使用
l支持包月限时长，超过所包时长不能使用
l支持包月限时长，超过所包时长限制使用
l支持包月限时长，时长平均到每天使用
l支持以自然月包月和从上网激活日包整月
l支持自定义天数包天
l自然月支持首月计费方式有：免费、正常收取、按天收取、计时长、计流量。

l自然月支持复通的计费方式有：正常收取、按天收取、计时长、计流量
l封顶金额：当达到此金额时，再使用网络不再收费
l支持超过所包业务量以后，可自动选择进入下一周期（余额充足）
包年
l支持X元包Y月，每次扣X元，到了Y月后自动失效
分层计费
l支持区分内外网计费
l支持区分国内外计费
l区分内外网时：内网支持计时长，计流量，包月，免费策略
l区分内外网时：外网支持计时长，计流量，包月，区分流量、周期限制流量策略 l国内外流量支持包自然月和从激活日整月包月
l周期限制流量策略支持包自然月，从激活日整月包月、自定义周期
l外网包月支持限时长，限流量或不限制
l外网计流量支持最低流量消费，最小流量单位，费率等
l外网计时长支持最低时长消费，费率等
l区分流量（国内流量）策略支持国内流量按流量，包月，免费
l区分流量（国外流量）策略支持按流量
免费
l不收费策略，给特殊用户使用
用户自助功能
l支持用户信息查看
l支持密码修改
l支持自助停用
l支持故障报修
l支持卡充值
l支持预约变更
l支持密码保护
l支持修改最大消费额度
l支持查看上网清单
l支持查看缴费清单。