XXXX学院图书馆无线网覆盖解决方案 102页

'学院图书馆无线网覆盖解决方案前言北京XXXX学院图书馆是一所以信息技术、IT行业为主要发展方向的国家级重点职业学校，。从80年开始创办职业高中以来，凭借中关村的独特优势，凭借信息人的不懈努力,学校规模不断扩大,教学质量不断提高，成为全国职业教育的名牌校。学校是教育部计算机等级考试培训点、考试点、劳动部计算机高新技术特许授权考试点，教育部信息中心“信息技术与应用远程培训点”，北京市职业高中计算机专业教师研修中心,教育部健康教育试点校。由此可见对于图书馆新馆网络建设的必然性,重要性,能否充分利用internet的信息资源,已为成为衡量现代教学实力和教学水平的一项重要指标,学校建设校园网可以帮助广大师生获取internet信息资源,宣传学校,进行国内和国际交流.充分利用校园网络提供的功能,为现代化教学,科研,学校管理和办公自动化等提供应用性的数字化平台,无疑将大大提高学校的综合教学水平,因此校园网的建设已成为信息管理学院与时俱进,开创现代教育模式的必然选择.另一方面,作为以信息技术、IT行业主要发展的学校,尤其是北京XXXX学院图书馆,作为国家级重点职业学校,知识,人才的资源十分丰富,比其他院校,更渴求信息.校园网已经成为校园生活的重要组成部分，成为教师和学生获取资源和信息的主要途径之一，它把学校中的学生、院系和社交、学术、业务活动的行政人员紧密地联系在一起，在高校教育中的作用与地位日益显著。102 第一章需求分析及设计原则2.1需求分析本项目北京XXXX学院图书馆由图书馆楼一层至五层无线互联。校园网内部千兆互联,共享教学资源,自动化办公,音视频,已满足日常的教学需求.网络采用三层网络结构，分为核心层、汇聚层和接入层。核心与核心，核心与汇聚及各校区之间采用万兆链路。汇聚与接入层之间采用千兆链路。有线与无线网络无缝覆盖。2.2设计原则l实用性：遵循面向应用，注重实效，急用先上，逐步完善的原则；充分保护已有投资，不设计成华而不实的无线网络，也不设计成利用率低下的网络，我们以实用性的原则要求为依据，建设具有最低的TCO（拥有的总成本最低），有最高的性价比的校园无线局域网络。l先进性：采用先进成熟的网络概念、技术、方法与设备，反映当今先进水平，又给未来的发展留有余地；充分采用目前国际、国内流行和成熟的技术，保证网络能适应技术的快速发展。l可靠性：系统必须可靠运行，主要的、关键的设备应有冗余，一旦系统某些部分出现故障，应能很快恢复工作，并且不能造成任何损失。l开放性：选择的产品应具有好的互操作性和可移植性，并符合相关的国际标准和工业标准；无论发生任何变化，均能够最大可能性的开放标准。l可扩充性：系统是一个逐步发展的应用环境，在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能，这种扩充不仅能充分保护原有资源，而且具有较高的性能价格比；l可维护性：系统具有良好的网络管理、网络监控、故障分析和处理能力，使系统具有极高的可维护性；l无线辐射:根据中国国家无线电管理委员会的规定，在室内部署无线网络，其信号辐射不得超过100mW，以避免2.4GHz和5GHz对人体的影响。在通常情况下，终端使用5mW左右的发射功率，以避免大功率长期辐射对人体的影响。l避免干扰:无线局域网使用2.4GHz和5GHz频段均为开放频段，无须注册即可使用，无线信号易受外界环境和其他信号的干扰，因此要考虑微波炉、其他大楼的无线系统设备、2.4GHz的无绳电话等可能造成的干扰。l安全性：必须具有高度的保密机制，灵活方便的权限设定和控制机制，以使系统具有多种手段来防备各种形式的非法侵入和机密信息的泄露.l无线安全性：无线网络支持多种安全特性，采用集中认证方式，对每个数据包进行加密。通过对射频的实时监测，发现并定位恶意的AP。对恶意AP的扫描配合采用安全无线认证协议，以解决AP和无线之认证协议间的相互信任问题。102 第一章技术方案总体设计目标由于北京XXXX学院图书馆网络建设系统的重要性和特殊性，使得在搭建网络信息化时，不能像传统系统集成或者安全集成那样，头痛医头，脚痛医脚，而应该系统地、有条理地进行全面规划，充分地、全方位地考虑建设需求和教学特性，从而达到各种教学产品、校园网络管理、整体安全策略的统一，发挥最大的效率。本公司在设计本次基础网络建议方案时，充分考虑并利用现有的国内和国际网络建设标准和成熟的安全体系，并结合校方的实际需求，利用已往实际工作经验，设计出一个有针对性的和完善的网络建设解决方案。在北京XXXX学院图书馆设计中，为了实现一个可管理的、可靠的、高性能网络，我们建议采用层次化的方法，将网络分为核心层、分布层和接入层三个层次进行设计。这种层次结构划分方法也是目前国内外网络建设中普遍采用的网络拓扑结构。在这种结构下，三个层次的网络设备各司其职又相互协同工作，从而有效保证了整个网络的高可靠性、高性能、高安全性和灵活的扩展性。对校园网络系统在设计采用三级交换体系，本次方案的设计的主要原则是：所有系统代表当今的先进水平，技术上成熟，并保证在若干年内不被淘汰，所有使用的产品和技术都必须在大型工程项目中经受过严格考验，具有良好的可靠性和实用性；核心交换机部分由校园网提供。汇聚层设备需采用RGS575024GT，可以万兆骨干、千兆汇聚的网络架设，提供无阻碍的第2/3/4层交换提供集成式弹性,各vlan间的路由和服务器区域的高速转发。在汇聚层设备上配置相应的访问策略和安全策略，增强网络的灵活性和高安全性。WANL设备采用了Cisco5508无线控制器和CiscoAironet1140无线接入点设备,可以满足IEEE802.11n传输速度300Mbps，最高可达600Mbps的需求，控制器便于网络管理员对整个无线网路进行有效的管理,提供对无线接入控制服务器(AC)和无线接入点(AP)的管理。对AC的管理包括对AC运行等参数的配置，各模块运行状况监控等；对无线接入点的管理包括扫描指定网段的所有AP，实时报告所有AP运行状态，以便对所有AP进行集中化的管理。无线接入点提供了,整个无线网络的覆盖,无缝隙网络连接。102 接入层交换机的选择上我们集合了网络的各项特点，同时现在网络设备技术非常成熟各品牌间设备不存在兼容问题，为了实现最佳联网环境采用RGS2949G有助于快速进行服务质量(QoS)、安全和组播设置，实现数据、视频、IP通信和无线局域网应用的透明集成。交换机中集成的智能特性可帮助您在设备和网络故障影响业务运营之前就发现它们。满足了本方案中万兆骨干、千兆汇聚的网络架设、管理及接入终端的线速数据转发。网络设计中所用的各种管理信令、接口规程、协议须符合国际标准，便于扩展和网络的互连互通。支持国际上各种通用标准的网络协议和标准等，支持大型的动态路由协议，支持策略路由功能。保证与其它网络（如互联网等）之间的平滑连接。实现整个网络环境需要RGS5750千兆汇聚交换机1台，实现骨干网络万兆、千兆汇聚网络构架的实现；RGS2924G接入层交换机10台，实现从汇聚层数据向接入层转发；Cisco5508无线控制器1台，实现在对5个楼层无线AP进行控制管理；CiscoAironet1142AP42个，实现各层楼无线覆盖；无线网络管理软件WCS一套；实现对整个无线网络合理性管理。102 第一章详细网络设计根据北京XXXX学院图书馆的需求,将对本校的IP地址,vlan规划,和路由协议的选择,和相应网络技术的使用,实现,详细的说明,并达成网络建设统一的目标.4.1IP地址和VLAN规划良好的网络拓扑结构和网络地址规划是网络稳定、安全、高速、高效运行的基础，合理、统一地规划和分配IP地址和子网，以利于网络路由的迭合，减少路由表的大小和复杂性，提高三层路由的效率以及网络的性能和稳定性。4.2.1IP地址规划背景IP地址是TCP/IP协议族中的网络层逻辑地址，它被用来唯一地标识网络中的一个节点，TCP/IP协议已经成为计算机网络的事实上的国际标准。为了保证全球的IP地址唯一性，所有想与Internet连接的企业需要向Internet的地址分配组织：IANA(InternetAssignedNumberAuthority)申请合法的IP地址或使用IANA分配的专有IP地址；Internet的地址分配组织：IANA在地址的分配中，保留了三个IP地址块作为企业的专有地址：·10.0.0.0-----10.255.255.255·172.16.0.0---172.31.255.255·192.168.0.0---192.168.255.2554.2.2IP地址分配原则IP地址的分配应遵循以下几个原则：·唯一性：一个IP网络中不能有两个主机采用相同的IP地址·简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项·连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率·可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性·灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间102 良好的IP网络地址规划主要有以下优点：·便于网络的统一管理、监控，提高网络的安全性和可靠性·便于网络的扩展，在网络的扩展过程中只需对网络拓扑进行局部的改动，不会对整个网络产生任何影响。·便于网络路由聚类，减少路由表的数量，提高网络的运行效率，减少对路由器CPU、内存的消耗。4.2.1IP地址规划的建议为了有效地利用地址空间，我们可以对IP地址进行子网划分，可采用变长子网掩码技术(VLSMVariableLengthSubnetMask)和路径叠合技术(RouteSummarization)，有效地利用地址空间，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。对于北京XXXX学院图书馆建设网络IP地址的规划也应遵循层次式分配原则，按照连续地址块划分。使用变长子网掩码(VLSM)技术，对地址块进行层层分割，然后逐层分配给各个楼层和业务区域。这样，一方面可以充分利用IP地址资源，满足各项业务的需要，另一方面也便于通过路由汇聚压缩路由表尺寸，提高交换机的效率，限制路由变化的影响范围，从而提高路由的稳定性。4.2.2VLAN规划建议采用VLAN的主要原因有几个：如控制广播域的范围，网络安全，第三层地址的管理，和网络资源的集中管理。控制广播域的范围当一个广播域内的设备增加时，在广播域内设备的广播频率便会相对增加。　　VLAN（VirtualLocalAreaNetwork）的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工程做的数据交换技术,通过vlan我们可以防止局域网产生的广播风暴,加强网段之间的管理和安全性102 在学校采用vlan技术,就是便于网络管理员隔离原本连接在同一台交换机不同端口上的多台计算机,让计算机无法ping通对方,无法互相访问,可以强化网络管理的网络安全,控制不必要的数据广播,特别是当某网络设备出现故障后,会不停地向网络发送广播,从而导致网络风暴,是网络通信陷于瘫痪,当校园网络内计算机数超过200台后,就必须采取措施将网络分割开来,将一个大的广播域划分成若干个小的广播域如下图VLAN的优点:　1.广播风暴防范：限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。　　2.安全：增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。　　3.成本降低：成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。　　4.性能提高：将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。　　5.提高IT员工效率：VLAN为网络管理带来了方便，因为有相似网络需求的用户将共享同一个VLAN。　　6.简化项目管理或应用管理：VLAN将用户和网络设备聚合到一起，以支持商业需求或地域上的需求。通过职能划分，项目管理或特殊应用的处理都变得十分方便，例如可以轻松管理教师的电子教学开发平台。此外，也很容易确定升级网络服务的影响范围.102 7.增加了网络连接的灵活性。借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。VLAN的定义及特点:虚拟局域网(VLAN)是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点：　　●网络设备的移动、添加和修改的管理开销减少;　　●可以控制广播活动;●可提高网络的安全性。通过VLAN划分方法提供基于策略的安全访问机制，提高了网络的安全性，并有效的抑制了广播风暴的产生。通过VLAN划分、高效的组播控制、流策略的管理及访问控制等功能有效保证网络资源的充分利用，切实保证满足各类用户的应用需求。以往，网络管理员将3/4的时间花费在维护网络的基础结构，确保通信流量的优化，并处理移动和变更等工作。通常情况下，当用户转移到网络中另一个物理位置时，需要重新配置网络，甚至还有用户的工作站需要进行大量的管理工作。针对于此，VLAN技术很好的解决了网络管理的问题。VLAN的部署将通过减少网络中移动与变更所需要的资源，达到实现为用户节约资源的目的，同时VLAN能实现网络监督与管理的自动化，从而更有效的进行网络监控。1)基于端口的VLAN2)基于协议的VLAN3)基于MAC的VLAN很多学校都需要一个简单的方法来找出当前自己VLAN的设定情况。确定使用VLAN的原因使用VLAN的4个可能原因在文档的开始已经大概做了描述：控制广播域的范围、网络安全、第3层地址管理、网络资源集中管理。当设计一个VLAN102 的时候，这些原因都需要仔细地研究。举例来说，如果在您的环境中，所有的用户都需要接入所有服务器和网络设备，安全性就不再是应用VLAN的原因。一个通常的设计是把所有服务器放在同一个VLAN。不幸的是，这要求所有的客户至少要经过一个路由器才能接入这些服务器。在把IP地址管理变的更容易的同时，引入了额外的延迟和潜在的性能瓶颈。一个交换机端口可以手工地配置到某个指定的VLAN。任何连接到这个端口的设备就和该VLAN中的所有其他的交换端口处于同一个广播域。基于端口的VLAN的挑战是每个VLAN中有哪些端口的文档备案。VLAN的成员信息并没有显示在交换机端口的外面。确定VLAN成员不能够仅仅通过查看交换机物理端口。只有通过查看配置信息才可以确定成员。基于协议的VLAN是通过区分承载数据所用的3层协议来确定VLAN的成员。然而这需要工作在一个多类型协议的环境下，在一个主要以IP为基础网络，这种方法不是特别实用。基于端口的VLAN的一个问题是，当一个设备从交换机某个端口移走后，该交换机端口又接入了一个新的设备，新设备会进入原来的那个VLAN。这将会限制对财务服务器的接入，不得不重新分配网络资源。基于MAC的VLAN可以解决上面的这个问题，VLAN的成员是基于设备的MAC地址，而不是交换机的物理端口。如果一个设备从交换机的一个端口移到另外一个，该设备属于哪一个VLAN，还是由设备来决定的，用MAC地址来确定VLAN比较安全但也比较耗费时间。根据实际情况我们来选择相应的VLAN技术，对于信息管理学校来讲基于端口的VLAN是比较适用的，因为我们用于教学的终端不会经常移动；对于VLAN的划分和数量我们可以参考上面对IP地址的划分来设计，实践经验来讲，一个IP地址网段是一个VLAN，所以根据地址来划分相应的VLAN。4.2.1IP地址和VLAN结合一个有效的IP地址规划或IP地址方案就是在地址资源的效率性和管理的方便性之间找到最佳的平衡点。按行政隶属划分是指按信息节点的行政隶属关系将用户按学校专业,院系,进行IP地址分配规划。由于学校的各专业,院系在地域位置上并不一定集中，但在业务上要求内部通信流量比较大，且需要统一管理，因此我们建议采用行政隶属的方式划分IP地址段。按部门规划在传统的网络平台上很难实现。主要是因为传统的网络平台局限于设备的地理位置，无法跨地域进行灵活规划。但现今的网络平台都支持虚拟网络—102 VLAN技术。该技术避开了物理位置的缺陷，可以在逻辑上灵活组网。因此，IP网段规划可以与VLAN的划分相一致。规划每个网段中的信息点数时，既要考虑到当前IP地址资源的充分利用性，又要预留出适当的扩展余地，同时考虑全局的路由汇聚。因此如果采用私网地址分配IP，建议每个网段采用255.255.255.0的掩码，即支持254个信息节点。从经验角度，通常一个IP网段也是一个独立的VLAN，也就是一个独立的广播域。一个网段内的信息节点数在100-200个时，性能和地址资源的最佳利用较理想，并且将来可扩充到254个。同时采用动态方式(DHCP)最为有效方便。应根据实际需求，在项目实施前和用户进行详细的沟通，撰写出《IP和VLAN规划实施方案》，该方案具有可操作性和可行性。4.1STP协议规划网络中的广播和环路将导致占用大量的网络带宽,导致用户访问internet速度下降,访问内部服务器无响应.降低教学质量.在本次项目为了更有效的避免网络产生环路和广播,将采用STP生成树协议.来管理网络中一些不必要的数据泛滥.4.2.1生成树介绍生成树协议（Spanning-TreeProtocol，以下简称STP）是一个用于在局域网中消除环路的协议。运行该协议的交换机通过彼此交互信息而发现网络中的环路，并适当对某些端口进行阻塞以消除环路。由于局域网规模的不断增长，STP已经成为了当前最重要的局域网协议之一。102 4.2.1STP出现的背景可能产生如下的两种情况：广播环路（BroadcastLoop）显然，当PCA发出一个DMAC为广播地址的数据帧时，该广播会被无休止的转发。MAC地址表震荡（BridgeTableFlapping）在图1中，即使是单播，也有可能导致异常。交换机SW1可以在端口B上学习到PCB的MAC地址，但是由于SW2会将PCB发出的数据帧向自己其它的端口转发，所以SW1也可能在端口A上学习到PCB的MAC地址。如此SW1会不停的修改自己的MAC地址表。这样就引起了MAC地址表的抖动（Flapping）。4.2.2生成树(STP)的作用:在实际的网络环境中，物理环路可以提高网络的可靠性，当一条物理线路断掉的时候，另外一条线路仍然可以传输数据。但是，在交换的网络中，当交换机接收到一个目的地址未知的数据帧时，交换机会将这个数据帧广播出去，这样，在存在物理环路的交换网络中，就会产生双向的广播环，甚至产生广播风暴，导致交换机资源耗尽而宕机。这样就产生了一个矛盾，需要物理环路来提高网络的可靠性，而环路又有可能产生广播风暴，怎样才能两全其美呢？STP（SpanningTreeProtocol，生成树协议），就是用来解决这个矛盾的。STP协议在逻辑上断开网络的环路，防止广播风暴产生，而一旦正在使用的线路出现故障，被逻辑上断开的线路又会恢复畅通，继续传输数据。4.2.3生成树度量依据：ID和路径开销（PC，PathCost）。ID又分为两种：BID和PID。102 BID即BridgeID，或称为桥ID。IEEE802.1D标准对这个值的规定是由16位的桥优先级（BridgePriority）与桥MAC地址构成。BID桥优先级占据高16位，其余的低48位是MAC地址。在STP网络中，桥ID最小的交换机会被选举为根桥。路径开销（PathCost）是一个端口量，反映了本端口所连接网络的开销。该值越低，表示这个端口连接的网络越好。在一个STP网络中，某端口到根桥累计的路径开销就是通过所经过的各个桥上的各端口的路径开销累加而成，这个值叫做根路径开销（RootPathCost）。带宽STP路径开销4Mbps25010Mbps10016Mbps6245Mbps39100Mbps19155Mbps14622Mbps61Gbps410Gbps2最低BID:用来选根桥。STP交换机之间根据上页表中所示根桥BID字段选择最低的BID:最小的累计根路径开销。用来在非根桥上选择根端口。在根桥上，每个端口到根桥的根路径开销都是0。在接收到BPDU后，端口会根据BPDU中携带的RPC加上自己的PC，计算出自己到根的累计根路径开销。102 最小发送者BID:如上图，假设SW2的BID小于SW3的BID，如果在SW4的A、B两个接收到的BPDU里面的根路径开销相等，那么端口B将成为根端口。最小PID:只有在如下图所示的情况下，PID才起到了作用。SW1的端口A的PID小于端口B的PID。由于两个端口上收到的BPDU中，根路径开销、发送交换机BID都相同，所以消除环路的依据就剩下PID了。4.1路由协议规划对一个大网络来说，选择一个合适的路由协议是非常重要的，不恰当的选择有时对网络是致命的，路由协议对网络的稳定高效运行、网络在拓扑变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展都有很重要的影响。目前存在的路由协议有：RIP(v1&v2)、OSPF、IGRP、EIGRP、IS-IS、BGP等，根据路由算法的性质，它们可分为两类：距离矢量(DistanceVector)协议(RIP/IGRP/EIGRP)和连接状态(LinkState)协议(OSPF/IS-IS)。OSPF和EIGRP都是近年来出现的比较好的动态路由协议，OSPF以协议标准化强，支持厂家多，受到广泛应用，而EIGRP协议由网络界公认的领先厂商Cisco公司发明，并靠其在业界的影响力和绝对的市场份额，也受到用户的普遍认同。4.3.1OSPF协议简介:OSPF是OpenShortestPathFirst（即“开放最短路由优先协议”）的缩写。它是IETF组织开发的一个基于链路状态的自治系统内部路由协议。在IP网络上，它通过收集和传递自治系统的链路状态来动态地发现并传播路由。102 每一台运行OSPF协议的路由器总是将本地网络的连接状态，（如可用接口信息、可达邻居信息等）用LSA（链路状态广播）描述，并广播到整个自治系统中去。这样，每台路由器都收到了自治系统中所有路由器生成的LSA，这些LSA的集合组成了LSDB（链路状态数据库）。由于每一条LSA是对一台路由器周边网络拓扑的描述，则整个LSDB就是对该自治系统网络拓扑的真实反映。根据LSDB，各路由器运行SPF(最短路径优先)算法。构建一棵以自己为根的最短路径树，这棵树给出了到自治系统中各节点的路由。在图论中，“树”是一种无环路的连接图。所以OSPF计算出的路由也是一种无环路的路由。OSPF协议为了减少自身的开销，提出了以下概念：DR:在各类可以多址访问的网络中，如果存在两台或两台以上的路由器，该网络上要选举出一个“指定路由器”(DR)。“指定路由器”负责与本网段内所有路由器进行LSDB的同步。这样，两台非DR路由器之间就不再进行LSDB的同步。大大节省了同一网段内的带宽开销。AREA：OSPF可以根据自治系统的拓扑结构划分成不同的区域（AREA），这样区域边界路由器（ABR）向其它区域发送路由信息时，以网段为单位生成摘要LSA。这样可以减少自治系统中的LSA的数量，以及路由计算的复杂度。OSPF协议主要优点OSPF是真正的LOOP-FREE（无路由自环）路由协议。源自其算法本身的优点。（链路状态及最短路径树算法）OSPF收敛速度快：能够在最短的时间内将路由变化传递到整个自治系统。提出区域（area）划分的概念，将自治系统划分为不同区域后，通过区域之间的对路由信息的摘要，大大减少了需传递的路由信息数量。也使得路由信息不会随网络规模的扩大而急剧膨胀。将协议自身的开销控制到最小：用于发现和维护邻居关系的是定期发送的是不含路由信息的hello报文，非常短小。包含路由信息的报文时是触发更新的机制。（有路由变化时才会发送）。但为了增强协议的健壮性，每1800秒全部重发一次。在广播网络中，使用组播地址（而非广播）发送报文，减少对其它不运行ospf的网络设备的干扰。在各类可以多址访问的网络中（广播，NBMA），通过选举DR，使同网段的路由器之间的路由交换（同步）次数由O（N*N）次减少为O（N）次。102 提出STUB区域的概念，使得STUB区域内不再传播引入的ASE路由。在ABR（区域边界路由器）上支持路由聚合，进一步减少区域间的路由信息传递。在点到点接口类型中，通过配置按需播号属性（OSPFoverOnDemandCircuits），使得ospf不再定时发送hello报文及定期更新路由信息。只在网络拓扑真正变化时才发送更新信息。通过严格划分路由的级别（共分四极），提供更可信的路由选择。良好的安全性，ospf支持基于接口的明文及md5验证。OSPF适应各种规模的网络，最多可达数千台。4.3.1EIGRP协议:EIGRP和早期的IGRP协议都是由Cisco发明，是基于距离向量算法的动态路由协议。EIGRP(EnhancedInteriorGatewayRoutingProtocol)是增强版的IGRP协议。它属于动态内部网关路由协议，仍然使用矢量－距离算法。但它的实现比IGRP已经有很大改进，其收敛特性和操作效率比IGRP有显著的提高。EIGRP的收敛特性是基于DUAL(DistributedUpdateAlgorithm)算法的。DUAL算法使得路径在路由计算中根本不可能形成环路。它的收敛时间可以与已存在的其他任何路由协议相匹敌。EIGRP协议主要具有如下特点:n精确的路由计算和多路由的支持EIGRP协议继承了IGRP协议的最大的优点：矢量路由权。EIGRP协议在路由计算中要对网络带宽，网络时延，信道占用率，信道可信度等因素作全面的综合考虑，所以EIGRP的路由计算更为准确，更能反映网络的实际情况。同时EIGRP协议支持多路由，使路由器可以按照不同的路径进行负载分担。u较少的带宽占用102 使用EIGRP协议的对等路由器之间周期性的发送很小的hello报文，以此来保证从前发送报文的有效性。路由的发送使用增量发送方法，即每次只发送发生变化的路由。发送的路由更新报文采用可靠传输，如果没有收到确认信息则重新发送，直至确认。EIGRP还可以对发送的EIGRP报文进行控制，减少EIGRP报文对接口带宽的占用率，从而避免连续大量发送路由报文而影响正常数据业务的事情发生。u无环路由和较快的收敛速度路由计算的无环路和路由的收敛速度是路由计算的重要指标。EIGRP协议由于使用了DUAL算法，使得EIGRP协议在路由计算中不可能有环路路由产生，同时路由计算的收敛时间也有很好的保证。因为，DUAL算法使得EIGRP在路由计算时，只会对发生变化的路由进行重新计算；对一条路由，也只有此路由影响的路由器才会介入路由的重新计算。uMD5认证为确保路由获得的正确性，运行EIGRP协议进程的路由器之间可以配置MD5认证，对不符合认证的报文丢弃不理，从而确保路由获得的安全。u任意掩码长度的路由聚合EIGRP协议可以通过配置，对所有的EIGRP路由进行任意掩码长度的路由聚合，从而减少路由信息传输，节省带宽。u同一目的但优先级的路由可实现负载分担去往同一目的的路由表项，可根据接口的速率、连接质量、可靠性等属性，自动生成路由优先级，报文发送时可根据这些信息自动匹配接口的流量，达到几个接口负载分担的目的。u协议配置简单使用EIGRP协议组建网络，路由器配置非常简单，它没有复杂的区域设置，也无需针对不同网络接口类型实施不同的配置方法。使用EIGRP协议只需使用routereigrp命令在路由器上启动EIGRP路由进程，然后再使用network命令使能网络范围内的接口即可。OSPF和EIGRP的比较参数环路收敛速度带宽占用安全性链路负载扩展性维护难度OSPF无环快少MD5中中高EIGRP无环较快较少MD5高高低综合考虑到产品对OSPF和EIGRP的支持的成熟性以及OSPF和EIGRP工程经验，建议采用EIGRP作为网络的主用动态路由协议。102 4.1QoS服务质量保障4.2.1QOS介绍服务质量(QoS)是指为某种选定的网络流量提供更好服务的能力。QoS的主要目标包括专用带宽、可控的抖动和时延(某些实时和交互式流量的需要)，以及改进了的信息丢失特性。概括而言，QoS基本工作流程是：首先要根据实际的需求对进入某端口的信息流进行分类，同时看是否需要对其中的某类信息按照一定的规则加以限制。在这两步的基础上，将其放入相应的队列中，最后，路由器按照某种特定的队列调度技术对这些队列进行调度，从输出端口上将这些信息发送出去。因此，QoS的实现技术主要包括：信息分类技术、队列处理技术和拥塞管理技术。企业网络上将传输MES、MES等关键业务数据以及OA业务数据，今后还将开展语音、视频等各种业务应用。这要求网络要有强大的ＱＯＳ功能，QoS可以让网络管理者控制网络带宽、延迟、抖动和数据丢失，从而保证各种业务的服务质量。思科路由器、交换机产品有统一的IOS软件，可执行统一的QOS策略，提供最完善的端到端QoS解决方案，利用CAR等技术做流量分类和限速，将语音和视频流量标记出来以区别对待。借助各种队列技术(WFQ、CBWFQ、LLQ)等保证语音和视频流的优先传递。利用WRED等技术在拥塞点有控制地丢弃不重要的其他数据包。这些技术统一构成了一个完整的IP网QOS解决框架。102 队列处理技术：QOS技术的框架：分类――入流量控制――排队――出流量控制。·IP优先级：102 使用IP包头的三位来标记数据包的级别(最多可获得6个级别)。这个操作是在边缘设备进行的，核心设备处得到加强，在网络中，不同的标签被用来表示不同的优先级。·加权随机早期检测(WRED)：在拥塞发生前，进行检测，通过减小数据传送速度防止网络拥塞。WRED有选择的丢掉数据包，它会警告TCP发送者减缓发送速度，权值会被分配给不同的服务类别，导致低优先级的数据会比高优先级的数据有明显的延迟。·低延时分类的加权公平排队(LLQ)：提供在边缘和核心设备重新对数据包排序和控制延迟的能力。通过给不同的服务类别分配不同的权值，路由器可以对每一个服务门类进行缓存和带宽管理。这个机制限制了对时间敏感的数据流,如语音和图像的时延。·基于策略的路由：基于策略的路由可以源地址、应用类型为依据进行优选路由选择。尤其是对于特殊的流量类型例如：对于语音的传输，策略路由可减少路由器hop的数量和延迟以保证语音高质量服务的要求。·资源预留协议（RSVP）：RSVP是Cisco制定单并被标准化组织接受并推广的一种网络协议。RSVP使网络用户根据自己对带宽，时延的要求动态地申请保留网络资源来满足它们特别的应用要求。通过proxy-RSVP功能，Cisco路由器可代替最终网络节点用户的应用申请资源。这样使更多通用应用能享使RSVP的优点。RSVP对于有实时需求的流量（例如：语音和多媒体）动态请求和预留网络资源以保证QoS的需求。通过RSVP代理的方式，Cisco的路由产品利用RSVP基于应用请求资源。4.2.1QoS设计实现参照QoS的有关标准RFC2474:DefinitionoftheDifferentiatedServicesFieldRFC2475:AnArchitectureforDifferentiatedServiceRFC2597:AssuredForwardingPHBGroupRFC2698:ATwoRateThreeColorMarkerRFC3246:AnExpeditedForwardingPHB(Per-HopBehavior)RFC3270:Multi-ProtocolLabelSwitching(MPLS)SupportofDifferentiatedServicesRFC4182:RemovingaRestrictionontheuseofMPLSExplicitNULL基于以上的业务分析，我们共设置四个队列：高、中、低、缺省。102 应用L3分类L2分类队列IP优先级PHB以太网COSMPLSEXP路由信令6CS666Reserved关键业务流、语音流、控制流5EF55High普通业务流、视频流4AF4144Medium其它业务数据3AF3133low网络管理2CS222low其它流量1AF1111defaultBE0000default4.2.1PHB每一跳行为：步骤102 4.2.1PHB每一跳行为：机制多个队列–输出属性4.2.2IP网络的QOS可管理性102 利用思科的IPSLA技术实现对于QoS的全面测量。可定量测量相应的延时及抖动等QoS指标，帮助网络管理者更高效的管理QoS服务和各类网络资源。4.2.1接入/汇聚/核心QoS实现方案一个完整的QoS保证应该是端到端实现的，同时，一个设计良好、效率高、能真正发挥作用的QoS体系应该是层次化的。即QoS的机制的实现应合理地分配到网络的不同层次。从网络的高效性来看，对数据包的分类、标记、整形等等策略化的操作应放在网络的边缘，这些操作往往需要对数据包进行深入的分析，可能要分析到数据包的上层协议，也可能会用到访问控制列表。而网络核心的作用是高速转发数据包，由大量的高速连接和数据流组成。核心节点不应该去监视所有的数据流，它只需要简单地执行PHBs，否则消耗大量的资源，影响交换效率，这可能和我们设计QoS的初衷相反。所以，最好的结构是在网络的入口边界对流量进行分类，我们建议上面所提到的对数据包的分类、标记、整形/策略等操作放在网络接入边缘，这里说的接入边缘指数据包进入IP网络的入口。例如在高性能的局域网三层交换机上。而在核心层路由交换机上，只执行拥塞管理－即CBWFQ/LLQ和拥塞避免－即WRED，保证整个网络的高效。·对于接入层102 在接入前端设备（PC、摄像机、读卡器、报警器）的以太网端口上，基于接口及业务类型（高、中、低优先级）分别打上以太网COS,IP优先级标记；在接入交换机的上连端口上，基于CoS及IPP标记，进行排队，高优先级的放在PQ中，并保证相应的带宽及延时，中、低优先级的放在CBWFQ中，并保证相应的带宽。·对于汇聚层将IP的优先级映射为MPLS的Exp,在汇聚交换机的上连端口上，基于Exp标记，进行排队，高优先级的放在PQ中，并保证相应的带宽及延时，中、低优先级的放在CBWFQ中，并保证相应的带宽。在汇聚交换机的下连端口上，基于IP优先级标记，进行排队，高优先级的放在PQ中，并保证相应的带宽及延时，中、低优先级的放在CBWFQ中，并保证相应的带宽。·对于核心层在连接到汇聚交换机的端口上，基于Exp标记，进行排队，高优先级的放在PQ中，并保证相应的带宽及延时，中、低优先级的放在CBWFQ中，并保证相应的带宽。在连接到服务器群的端口上，基于IP优先级标记，进行排队，高优先级的放在PQ中，并保证相应的带宽及延时，中、低优先级的放在CBWFQ中，并保证相应的带宽。4.1ACL访问控制列表在次北京XXXX学院图书馆网络建设项目中,保障数据的连续性,可靠性,和安全性,和校园网络稳定,和防止黑客攻击,病毒转播,对服务器,教学设备的破坏,进行对数据流的访问控制,采用ACL策略.综合考虑在网络建设完毕,对学校的数据流进行监听,对一些存在安全隐患的数据,端口,进行屏蔽。4.5.1ACL介绍访问控制列表（AccessControlList，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。102 信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，控制访问的一种网络技术手段。ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议（IP、AppleTalk以及IPX）的情况，那么，用户必须定义三种ACL来分别控制这三种协议的数据包。4.5.1ACL的作用　ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。4.5.2定义ACL时所应遵循的规范（1）ACL的列表号指出了是那种协议的ACL。各种协议有自己的ACL，而每个协议的ACL又分为标准ACL和扩展ACL。这些ACL是通过ACL列表号区别的。如果在使用一种访问ACL时用错了列表号，那么就会出错误。（2）一个ACL的配置是每协议、每接口、每方向的。路由器的一个接口上每一种协议可以配置进方向和出方向两个ACL。也就是说，如果路由器上启用了IP和IPX两种协议栈，那么路由器的一个接口上可以配置IP、IPX两种协议，每种协议进出两个方向，共四个ACL。（3）ACL的语句顺序决定了对数据包的控制顺序。在ACL中各描述语句的放置顺序是很重要的。当路由器决定某一数据包是被转发还是备阻塞时，会按照各描述语句在ACL重的顺序，根据各描述语句的判断条件，对数据报进行检查，一旦找到了某一匹配条件就结束比较过程，不再检查以后的其他条件判断语句（4）最有限制性的语句应该放在ACL语句的首行。把最有限制性的语句放在ACL语句的首行或者语句中靠近前面的位置上，把“全部允许”或者“全部拒绝”这样的语句放在末行或接近末行，可以防止出现诸如本该拒绝的数据包被放过的情况。102 （5）新的表项只能被添加到ACL的末尾，这意味着不可能改变已有访问控制列表的功能。如果必须改变，只有先删除已存在的ACL，然后创建一个新ACL，将新ACL应用到相应的接口上。（6）在将ACL应用到接口之前，一定要先建立ACL。首先在全局模式下建立ACL，然后把它应用在接口的出方向或进方向上。在接口上应用一个不存在的ACL是不可能的。（7）ACL语句不能被逐条的删除，只能一次性删除整个ACL。（8）在ACL的最后，有一条隐含的“全部拒绝”的命令，所以在ACL里一定至少有一条“允许”的语句。（9）ACL只能过滤穿过路由器的数据流量，不能过滤由本路由器上发出的数据包。（10）在路由器选择进行以前，应用在接口进入方向的ACL起作用。（11）在路由器选择决定以后，应用在接口离开方向的ACL起作用。102 第一章WLAN设计面对的北京XXXX学院图书馆用户需求、设计目标及众多的技术问题，结合WLA的设计原则，下面整理一下设计思路，为下一步的网络建设设计方案做好准备。1）现场勘查　　在WLAN工程中，需要通过对北京XXXX学院图书馆现场勘查的方式了解建筑物和周围各种物质的材质，从而来确定WLAN设备的安装位置。　　由于无线信号是在空气中直线传播的，无线电波传输、接收数据的能力及传输速度都受到周围环境中各种物体的影响。无线信号每遇到一个障碍物，就会被削弱一部分；尤其是像浇注的钢筋混凝土墙体、金属、纸张和陶瓷等，对无线信号的影响都非常大。　2）组网结构　　将采用目前最流行的无线局域网组建的方式，即“SplicMAC”架构，主要采用LWAPP协议，使用“瘦”AP与WLAN控制器组网的方式，适用于北京XXXX学院图书馆WLAN组网。因为AP数量较多，原始的“胖”AP组网方式，管理难度高，工作量大，并且无法保证移动性强的实时数据流通信。3）无线标准　　WLAN技术主要是遵循IEEE802.11x系列标准，但是考虑的前瞻性和无线网络使用,此次项目中无线网络设计和部署将主要采用支持IEEE802.11a/b/g标准的无线AP、控制器及无线终端等设备。符合IEEE802.11n标准（下一代高速无线局域网标准）4）连续性和时延性　　鉴于对无线网络中移动性和实时性较强数据流的传输连续性问题和时延性问题，可以采用无线漫游（WLANRoaming）技术，可以实现2层Roaming和3层Roaming，既可以在同一控制器域内部实现不同AP之间的无缝漫游，也可以实现跨越到不同控制器域之间AP的Roaming，这样就可以保证无线语音和数据网络的实时畅通。5）安全方面　　在WLAN安全方面，除了从网络结构、硬件设施、安全策略和RF检测等管理端的技术手段以外，还需要对无线网络的客户终端实施安全认证技术，通过安全认证系统对接入端的网络用户进行验证、监控、管理及日志记录等操作。5.1.思科集中化无线网络解决方案使用自主接入点的第一代无线局域网是一种方便的网络。从WLAN首次面世以来，技术需求发生了很多变化。现在，基本的网络连接已经不足以满足需要。校园网102 需要在他们的办公楼中提供无所不在的无线网络连接。他们的WLAN必须支持多种移动服务，例如语音、访客接入、定位和增强的无线入侵防御系统（WIPS），同时还应当提供简化的部署、管理和可扩展性。为了部署这些功能和消除这些限制，需要一个统一的WLAN――一个集中式的，基于连接到无线局域网控制器的轻型接入点的网络。因此，机构需要思科统一无线网络。5.1.WLAN集中化思科系统公司â率先提出了WLAN集中化的概念，并且为高级无线局域网服务提供了业界第一个统一平台。统一后的架构，我们称之为思科统一无线网络的关键，是将数据从轻型接入点经由网络发送到无线局域网控制器。思科提供了很多支持无线局域网集中化的无线局域网控制器，其中包括可以完全集成到网络之中的企业级独立无线局域网控制器,以及可以与有线网络结合的无线局域网控制器.开发一种新的无线局域网集中化协议为了在轻型接入点和无线局域网控制器之间传输数据和实现通信，需要一种新的协议。该协议需要满足下列要求：l便于部署――该协议必须能够跨越子网边界，而不是仅仅将多个VLAN连接到集中控制器。l部署安全――将一个接入点加入网络并不意味着它应当具有完全的网络访问权限。该协议需要提供一种对所有连接网络的接入点进行身份验证的方法。l对接入点的实时控制――在部署、认证接入点和将其连接到控制器之后，该协议需要提供对接入点的实时控制，以便管理和部署移动服务。l协议扩展能力――该协议需要支持多种平台－－从大型以太网交换机中基于机箱的模块，到可堆叠交换机、路由器和其他任何网络组件。l传输扩展能力――尽管网络通常运行在以太网的基础上，但是该协议必须能够支持低速的WAN连接，甚至无线网络（对于无线网状网络等应用）。为了满足这些对于开发新型通信协议的要求，本公司考虑了很多方案。通用路由封装（GRE）协议是其中之一，但是GRE不支持对纯二层数据包的内部检测，而这是安全WLAN所必须具备的功能。SNMP也被列为考虑对象，因为该协议可以提供对接入点的命令和控制功能，但是它很庞大，不太符合实际需要。在考虑了其他协议之后，本公司决定开发一种新的协议――支持第二层和第三层数据包信息的轻型接入点协议（LWAPP）。5.2.集中化协议LWAPP简介LWAPP是什么？102 LWAPP是一项由思科系统公司拟定的互联网工程任务小组（IETF）标准草案，实现了轻型接入点和WLAN系统（例如控制器、交换机和路由器）之间的通信协议的标准化。它的目标包括：l减轻接入点中的处理量，让它们将计算资源集中用于无线接入，而不是过滤和策略实施l为整个WLAN系统进行集中的流量处理、验证、加密和策略实施l利用一个第二层基础设施或者IP路由网络，为多供应商接入点互操作性提供一个通用封装和传输机制LWAPP标准可以通过定义下列规范实现这些目标：l接入点设备发现、信息交换和配置l接入点认证和软件控制l数据包封装、分段和格式化l接入点和无线控制器之间的通信控制和管理LWAPP的工作原理LWAPP将轻型接入点的介质访问控制（MAC）功能交由无线局域网控制器和轻型接入点共同承担。对时间敏感的功能（例如次原子握手和发送给接入点的信标）都在接入点进行管理。其他对网络具有重要意义的功能（例如移动管理、身份验证、VLAN划分、RF管理、无线IDS和数据包转发）都在无线局域网控制器进行管理。（如图1所示）轻型接入点和无线局域网控制器之间存在多对一的关系――单个无线局域网控制器可以管理和操作大量的轻型接入点。另外，无线局域网控制器可以在一个大型无线网络中协调和比较信息――甚至跨越WAN。就像卫星拥有广阔空间的完整视图一样，控制器也拥有整个网络的整体视图。一旦将这项协议作为标准，并准备好用于统一的平台，WLAN集中化的真正优势将会变得显而易见。102 5.1.集中化和统一WLAN的好处5.4.1便于部署当在企业中部署自主接入点时，每个接入点都将单独进行配置。这种配置可以在每个接入点的基础上进行，也可以通过一个系统级应用或者设备完成。在完成对自主接入点的配置之后，每个接入点都将可以支持VLAN，以便划分不同的用户群组，为不同的用户和用户群组区分不同的LAN策略和服务（例如安全和服务质量[QoS]）。这些VLAN可以扩展到网络的接入层。根据部署的规模和范围，VLAN可以在多台交换机中进行中继和扩展。在向网络引入基于轻型接入点和无线局域网控制器的集中化时，并不需要在接入层重新划分子网和设置VLAN中继。相反，VLAN将以中继方式连接到一个集中式无线局域网控制器，而控制器则将把用户和WLAN划分到VLAN中。这可以简化WLAN的部署和管理。在使用集中化解决方案时，一个轻型接入点只需要找出无线局域网控制器的IP地址――当部署于第二层模式时。（在部署于一个远程子网中时，接入点需要IP地址、子网掩码和缺省网关信息）。轻型接入点还可以从一个标准的动态主机配置协议（DHCP）服务器接收无线局域网控制器的IP地址。在轻型接入点联系无线局域网控制器之后，控制器将会为轻型接入点设定所有RF策略和无线局域网策略。因为所有来自接入点的数据包都会被置入一个LWAPP隧道，进而发送到无线局域网控制器，所以不需要将特殊VLAN扩展到各个接入点。5.4.2动态RF管理过去，使用自主接入点的无线网络通常利用一个静态RF计划进行部署，而且每个接入点都以静态方式设置它们的信道和功率。这个计划是根据RF预测制定的，即利用计算机对RF环境的模拟，结合接入点的天线发射功率，估计接入点的覆盖范围。RF预测的目标是以最小的信道重叠，获得接入点的最优覆盖范围。但是，因为RF预测是在一个不考虑部署后RF环境实际发生情况的计算机上进行的，所以它们只是对实际RF环境的估计。例如，在使用RF预测时，很难准确地估计来自相邻网络、办公室改建、房门开启或关闭、微波炉或者其他干扰源的共用信道干扰。集中化可以提供动态RF无线局域网控制器可以自动获知同一个网络中不同轻型接入点之间的信号强度。控制器能利用这些信息，为网络创建一个动态优化RF拓扑。无线局域网控制器可以用一种独特的方式提供动态RF。102 在一个支持思科LWAPP的接入点启动时，它会立即搜寻网络中的无线局域网控制器。在其找到一个无线局域网控制器之后，支持LWAPP的接入点会发出加密的“neighbor”（邻居）消息。这些邻居消息包括MAC地址和任何相邻接入点的信号强度。在一个无线局域网控制器网络中，控制器可以利用这些邻居信息确定接入点在网络中的相对空间状态。控制器随后会调节每个接入点的信道和信号强度，以获得最佳的覆盖范围和网络容量。如果网络中有一个无线局域网控制器集群（例如在单个网络中部署多个控制器），那么会有一个控制器被选为缺省控制器，所有控制器都会向它们的轻型接入点发送缺省控制器信息。缺省控制器会关联网络中所有接入点的信息，再将最佳信道和功率设置发送给网络中的每个接入点。思科统一无线网络架构中内置的算法有助于确保网络不会“抖动”，即发生没有必要的变化。这样做的结果是，建立起一个能够实时地适应不断变化的RF环境的动态无线网络。5.4.1负载均衡优化性能802.11协议很难预测和保障用户的性能和吞吐。因为802.11为每个网络组件提供了相等的空间访问能力，所以每个客户端都可以决定它接下来将漫游到哪个接入点。当客户端设备进入一个覆盖区域时，它们可能会漫游到信号最强的接入点。同样，每个客户端设备对RF介质的访问权限与它们所关联的接入点一样。因此，所有客户端的RF吞吐都有可能降低――所有客户端都可以关联到同一个接入点。这通常被成为“会议室效应”。负载均衡可以通过不断地优化用户关联关系，为每个客户端提供最佳的，从而优化所有客户端的吞吐。这可以提高每个客户端的吞吐，动态地均衡网络的客户端负载。5.4.2集中化有助于均衡用户负载思科无线局域网控制器和模块拥有一个网络整体视图。通过加密的无线消息，这些控制器可以获知接入点之间的信号强度。另外，当某个客户端探测接入点（这是802.11标准的一部分，即客户端寻找任何广播它所寻找的WLAN名称的接入点）时，控制器会收到来自每个收到客户端探测信号的接入点所发出的信号。控制器随后将根据客户端的信号强度和信噪比，决定哪个接入点应当响应客户端的探测信号。例如，某个相邻接入点能够以较低的信号强度提供相同的服务。控制器将根据接入点的信号强度（RSSI），决定哪个接入点应当响应客户端的探测信号。（如图2所示）102 图2无线局域网控制器决定哪个接入点应当响应客户端的探测信号5.4.1访客联网访客联网已经从一种奢侈的功能发展成为了一项业务必需的功能。访客联网让机构可以在保证无线网络安全的同时，为客户、供应商和合作伙伴提供对他们的WLAN的受控访问权限。它让顾问和访客可以迅速开展合作，加快业务速度。今天，问题不再是一个机构是否应当提供访客联网功能，而是它打算怎样提供该功能？如果使用自主接入点部署方式，管理员可以通过将“访客”VLAN拓展到网络中，提供访客网络。这些VLAN具有不同于普通网络流量的安全策略。这些VLAN可能会成为错误配置的来源和潜在的安全漏洞。集中化有助于简化访客联网在思科统一无线网络中，每个无线局域网控制器都具有一个美观的Web门户，让机构可以根据自己的业务需要定制WLAN。例如，网络管理人员可以将控制器放入DMZ，充当访客接口。当在网络中部署一个访客无线局域网时，所有来自于访客WLAN的流量都会以隧道方式发送到访客控制器。与采用自主接入点的无线局域网不同，使用轻型接入点和无线局域网控制器的思科解决方案不需要对底层VLAN架构进行任何改动。5.4.2第三层漫游借助采用轻型接入点的思科统一无线网络，当第三层漫游被引入网络时，管理员不需要将VLAN拓展到网络中的所有接入点，就可以保持一个扁平式的无线子网。那些采用自主接入点的网络则有所不同――它们通过拓展VLAN来实现漫游，因而会产生大范围的、不便于扩展的广播域。通过像思科统一无线网络这样在不使用VLAN的情况下实现第三层漫游，可以简化网络，让网络可以方便地支持各种实时应用，例如基于无线网络的语音和视频。102 集中化有助于支持第三层漫游利用思科统一无线网络，轻型接入点可以被部署到网络的标准子网基础设施中，并获得一个隶属于它们所在子网的IP地址。所有来自于无线客户端的流量都将被放置到一个通过底层网络发送到无线局域网控制器的LWAPP数据包中。客户端设备可以从一个连接到控制器的子网获得它们的IP地址――而不是它们所在的楼宇的子网。底层子网基础设施对于客户端而言是透明的。控制器可以管理互相之间的所有漫游和隧道通信，以确保不需要移动IP等协议。5.4.1嵌入式无线IDS安全是网络管理人员的关注焦点，而无线安全则是安全人员最关注的问题。一个重要的顾虑是恶意接入点可能会在一个有线或者无线网络中制造漏洞。通过在网络中采用一个无线ID系统，可以为网络添加一条额外的防线。无线局域网IDS可以降低黑客或者恶意用户访问关键网络资源的风险。集中化有助于支持无线IDS思科轻型接入点和无线局域网控制器可以同时充当数据服务设备和IDS传感器。这可以通过LWAPP独有的分离MAC架构实现，即有些功能由接入点承担，另外一些由控制器承担。LWAPP分离MAC让轻型接入点可以在不中断数据服务的情况下扫描信道。接入点和控制器拥有一个强大的攻击签名库，它可用于检测无线威胁――包括恶意接入点，特殊网络，或者试图寻找无线网络漏洞的恶意人员。轻型接入点可以在它们在工作时使用的信道上检测攻击，以及检测那些工作信道与它们不同的威胁，例如恶意接入点和特殊网络。另外，因为思科统一无线网络轻型接入点和无线局域网控制器都配有X.509证书，它们可以检测到伪装成网络中某个可靠接入点（充当一个honeypot*）的未经授权的接入点。思科统一无线网络还可以利用其强大的隔离恶意功能，消除因为恶意接入点所导致的威胁。这种功能有助于确保客户端不会与恶意接入点建立关联。一种由网络管理员部署的，用于检测、制止未经授权的网络访问的授权接入点。5.4.2定位服务定位服务是下一代无线网络必须达到的一项要求。定位服务支持同时跟踪WLAN基础设施内部的数千个Wi-Fi设备。这些服务被用于一些关键的应用，例如高价值资产跟踪、IT管理、安全和业务策略的执行。其他应用包括：l基于无线局域网的e911和语音l客户端故障诊断和客户端位置与客户端连接问题的关联l资产跟踪和管理，以跟踪任何支持802.11的设备（包括配有802.11RFID标签的资产）l基于位置的安全无线局域网不仅可以获知轻型接入点之间的路径损耗和信号强度，还可以从网络中的支持LWAPP的接入点那里获得关于客户端信号强度的信息。102 思科无线局域网控制器会将收到的客户端信号强度信息转发到思科无线控制系统（WCS）和思科无线定位设备，它们将根据楼宇材料类型、多路径和反射等因素，进行高强度的RF指纹计算，确定802.11或者有源RFID设备的位置。这些信息将实时提供。LWAPP是支持定位服务的控制和传输协议。5.4.1降低总拥有成本较低的总拥有成本（TCO）让机构可以在不增加额外人手的情况下部署解决方案，从而降低网络部署和维护所造成的负担。这有助于改善机构的经营状况。对于自主接入点部署方式，时间主要被用于安装和初始化接入点，重新设置接入点，以及升级接入点。在一个包含100个接入点的自主接入点网络中，如果一年为每个自主接入点花费30分钟，就相当于一年花费3000个人·分钟，或者50个人·小时。在五年的折旧期中，就有超过一个月的时间被用于自主接入点的管理上――不包括诊断客户端和其他网络组件问题所用的时间。图3为配置每个接入点付出的人力成本预测集中化有助于降低TCO利用思科统一无线网络，用户不需要逐一配置100个网络组件，而是只需要配置无线局域网控制器。控制器进而再配置网络中的所有接入点。另外，管理员不需要升级网络中每个接入点的软件，而是只需要升级无线局域网控制器的软件，这样所有轻型接入点都会同时得到升级。102 因为无线局域网控制器能够搜索整个无线网络，所以它可以协调信息和使用高级功能（例如定位），为诊断客户端连接问题提供支持。这些功能可以降低大型无线网络的TCO，同时减少诊断和管理网络所需的成本。5.4.1有线和无线整合有线和无线网络的集成对于实现统一的网络控制、可扩展性、安全性和可靠性具有重要的意义。为了支持企业级的无线应用，必须提供覆盖整个系统的无线局域网功能（例如安全策略、入侵防御、RF管理、QoS和移动性）。使用轻型接入点和无线局域网控制器的WLAN可以方便地支持有线、无线局域网的整合，因为控制器功能可以被集成到思科交换和路由平台之中。整合可以保护投资和精简成本思科统一无线网络提供了一个统一、创新的端到端网络。它可以提供有力的投资保护，为有线和无线网络确保一个安全、移动、经济有效的交互式工作环境。这种使用轻型接入点和无线局域网控制器的统一网络基础设施，可以与集成到一系列思科交换、路由平台中的独立或者模块化局域网控制器配合使用。客户可以通过添加一个模块化无线局域网控制器，大幅度降低TCO、减少支持成本，以及缩短计划内和计划外断网时间。思科统一无线网络还支持网络准入控制（NAC）和思科兼容扩展客户端设备。用于WLAN的NAC可以通过在WLAN客户端试图进入网络时执行设备安全策略，提供威胁防御功能。思科兼容扩展计划有助于推动那些可以与思科WLAN基础设施进行互操作，并利用思科创新提高安全性、移动性、服务质量和网络管理水平的客户端设备的普及。5.4.2总结统一无线网络可以降低部署、管理无线网络的复杂性；支持多种高级服务，例如语音、定位和访客联网；并且有助于确保有线、无线网络的运营成本的可管理性。北京XXXX学院图书馆完全有必要去建设一个现代化的无线网络系统,来满足教学的需求.无线覆盖方案（部署）5.1.覆盖区域设计此次无线网络实现北京XXXX学院图书馆全校范围无线网络接入环境。5.5.1设计指标、原则及覆盖方式设计原则：无线覆盖设计将遵循按照信号范围最大化原则，在北京XXXX学院图书馆图书馆楼覆盖的前提下，重点选择部分区域进行更加细腻的覆盖。并且，保证无线网络稳定性并与绝大多数主流无线网卡兼容，同时兼顾考虑网络扩容，为今后网络扩容做好预留。102 设计指标：各信号输出点信号强度10－15dbm；将按照2.4G工作频段2.412～2.462GHz（FCC）分为channel1、channel6、channel11三个完全不干扰频段设计；目标覆盖区域信号强度>-80dbm。1、一般来讲室内容许最大覆盖距离为35~100米室外容许最大距离100~400米2、障碍物阻挡要观测无线覆盖周围的障碍物确定AP的数量和放置位置。2.4G电磁波对于各种建筑材质的穿透损耗的经验值如下：A.水泥墙(15~25cm):衰减10~12dBB.木板墙(5~10cm):衰减5~6dBC.玻璃窗(3~5cm):衰减5~7dB各种建筑材料对无线讯号的影响如下：·当AP与终端隔一座水泥墙时,AP的可传送覆盖距离约剩下<5米有效距离。·当AP与终端中间隔一座木板墙时,AP的传送距离约剩下<15米有效距离。·当AP与终端中间隔一座玻璃墙时,AP的传送距离约剩下<15米有效距离。所以在安装选点时，一定要注意以避开墙、柱子等覆盖方式：在覆盖区域内，选择图书馆楼一号楼,二号楼,和三号楼为主，其他区域为辅的覆盖方式.5.5.1建筑物内移动用户的连接：102 无线移动用户连接如上图所示，无线网络能够通过安装在建筑物内部的AP使得所有的用户都能够实现无线接入，便于用户移动式办公，解决了有线网络布线的麻烦。5.5.1楼内无线网络建设楼内无线网络如上图所示，楼内网络建设可以把AP（无线接入点）安装在能覆盖最大范围的位置点上，无线AP之间采用有线网络连接。5.5.2无线网络应用示例102 无线网络应用示例我们都知道，无线网络的部署必需要和有线网络共同来建设，所以上图给出了一个无线网络使用的示例。无线网络最大的好处就是学生和老师可以拿着notebook在厂区内任意的移动上网，比如在学校校区内，无论你在校区里的什么地方，只要无线信号覆盖的地方，你都可以任意的移动，而你的网络将一如既往的畅通。5.5.1与有线网络的比较102 第一章综合布线设计6.1设计特点基于北京XXXX学院图书馆网络建设要求的特点，其布线系统选用结构化开放性综合布线系统作为其数据系统的布线平台。实施后的布线系统可以满足：l保护投资结构化布线系统支持各种系统和设备的集成，如可将语音、数据、图象等设备设计在一起工作，从而在硬件，软件、培训方面具有投资保护性。l节省费用结构化布线系统有助于将分散的线缆系统合并到一组统一的标准的网络中去。l强化的控制管理结构化布线系统的设计使用户自己容易地，标准地排除网络的故障。保证了在管理和支配整个系统中的最高效率。l完整的产品结构化布线系统包括非屏蔽/屏蔽双绞线及光纤传输媒介，交叉连接，适配器连接器插座和插头，传输电器保护设备及工具。l模块化基于物理星型拓朴结构的布线系统提供一种模块化系统管理方法，于是需求即体现在每组结构化的科学管理点上。l灵活性用多种高性能的线缆来满足你的联网需求。在速度、距离、信息能力方面都是高性能的。并能与众多厂家产品兼容，于是来自各个厂家的设备都能插到这组通用的楼宇综合布线系统中去。l发展性结构化布线系统为了适应未来的发展，采用了积木块式结构。这种结构能将当前的和未来的语音及数据设备，互联设备，网络管理设备方便地扩展进去。总之,结构化布线系统为你提供：102 超凡的非屏蔽双绞线技术，高速及宽带的传输能力，灵活的，基于开放结构的子系统，具有发展性，以适应未来的需求，众多厂家产品的兼容性。6.1布线系统的组成及产品选择原则工作区子系统工作区子系统由终端设备连接到信息插座的连线和信息插座组成，通过插座既以引出连接数据终端或其它传感器及弱电设备。本项目工作区数据插座采用六类产品及50/125多模光纤。UTP6类4对非屏蔽电缆（单股）6.2.1室内多模光缆n纤芯直径：62.5±2.5um,包层直径：125±1.0um,支持骨干网建设和光纤到工作区应用n光纤的几何尺寸一致性好n支持1Gbps传输达550米n运行温度范围：-20至60℃，高、低温特性稳定n橙色外皮n符合YD/T1258.4-2005、IEC794等标准水平子系统水平子系统的作用是将干线子系统的线路延伸到工作区子系统。本项目工作区数据插座采用六类产品及50/125多模光纤。102 六类插座模块6.2.1信息面板n采用进口阻燃型PCn美观、坚固、耐用n自带标签条，方便管理n种类齐全，供用户选择n20年系统及产品保证n可单/双/四孔面板垂直干线子系统垂直干线子系统应由设备间的配线设备和跳线以及设备间至各楼层分配线间的连接电缆组成。在确定垂直子系统所需要的电缆总对数之前，必须确定电缆中数据信号的共享原则。本次项目设计中，不涉及到本系统。配线间子系统设备间是在每一幢大楼的适当地点设置进线设备，进行网络管理以及管理人员值班的场所。设备间子系统应由综合布线系统的建筑物进线设备、电话、数据、计算机等各种主机设备及其保安配线设备等组成。设备间内的所有进线终端设备应采用色标和线号区别各类用途的配线区。设备间位置及大小应根据设备的数量、规模、最佳网络中心等内容综合考虑确定。考虑到本项目的要求，只需要综合楼地下一层设立配线间子系统。并完成配线工作。6.2.2类数据配线架n完全遵守TIA/EIA-568B六类标准n采用IDC端子，保证了快速端接n运用通用标签支持T568A和T568B端接线n50um镀金层，保证其多次插拔后的良好导通性6.2.3理线器n方便线缆整理n全金属设计，承载强度高n用于19"标准机柜，高度1Ｕ6.2.4光纤6.2.6.1光纤配线架n配线架用于光纤端接或结合102 n组件包括用于固定光缆的固定器n包括连接器前面板，用来固定连接耦合器n上盖板，保护光纤避免尘土和其它损害，便于管理n1U-19线槽实现与配线架连接的光纤跳线整理6.2.6.1光纤耦合器n适用于单模和多模n应配对使用并安装在光纤连接面板上n采用高精度氧化锆和高磨光磷青铜套管n高精度机械尺寸n低插入损耗n良好的接插能力n兼容性好n19"机柜式安装6.2.6.2光纤跳线n双芯光纤跳线ST-ST，产品符合IEC874-7标准n高质量的光缆和出厂前已经过精密处理的接头n卓越的传输特性n可将光纤设备与光纤互联，交叉连接以及信息插口相连接n长度可供选择：2m/3mn类型可供选择：单模/多模6.1布线方案综合布线系统本身具有很高的兼容性和高带宽性，根据用户高标准，高带宽及高性能的配置要求，本布线设计方案可靠地综合了话音，数据，图象，多媒体及光通信网络系统等多种应用系统。本方案满足根据布线标准TIA/EIA568-B2水平线独立应用的原则及标书具体要求。每类信息点采用不同颜色加以区分，数据等多种功能的灵活应用，可随时转换接插光纤、微机或数据终端，整个布线系统由工作区子系统，水平干线子系统，管理子系统，室内主干子系统及设备间子系统等五个子系统构成。102 多媒体系统采用光缆方案，数据水平线缆则采用六类铜缆。此种配置具有较高的性能价格比，同时系统应用也具有网络互换性，对于高速网络，多媒体及楼宇自动化等系统应用可灵活互换，互为备份，既考虑到系统投资的经济性又兼顾到将来的网络宽带化发展需求。多媒体系统FC系统采用光纤配线系统，配线架机柜安装，有高性能，高密度等特点，数据水平管理配线架则采用自带过线槽配线架系统，并配备一定光纤及铜缆快接式跳线。墙面或机柜式安装方式。数据光纤均采用光纤配线架，机柜式安装，所有光纤接头均采用尾纤熔接安装方式，此管理系统具有美观整洁，高密度，低衰耗，高性能等特点。6.1水平设计特点说明根据北京XXXX学院图书馆新馆需求分析，并结合国际布线标准的设计指南，经过计算，我们得出大概楼层及工作区信息点及光纤到桌面的分布及配置数量如下（具体实施现场再定）。点位分布表层数FCTD12345总计管理子系统水平部分设计如下：数据X类系统采用19寸机柜式快捷配线架；语音则采用具有密度高，可机柜安装及可靠，安全等多种功能。水平铜缆光纤长度计算方法如下：(该方法根据国际布线标准)水平线平均距离=(最远点距离+最近点距离)/2*1.1+7(米)线缆箱数=总点数/(305米/水平线平均距离)+16.2管线设计方案6.5.1水平子系统的管线设计在北京XXXX学院图书馆新馆的网络布线中，我们102 采用了轻型装配式槽形电缆桥架的方案，这种方式适用于大型建筑物，为水平系统提供机械保护和支持。装配式槽型电缆桥架是一种闭合式的金属托架，安装在吊顶内，从弱电竖井引向设有信息点的各房间，再由预埋在墙内不同的金属管，引至墙内的暗装铁盒内。但是考虑到北京XXXX学院图书馆新馆楼原已有桥架，并且空间狭小，无法重新铺设桥架，所以我们采取借用原桥架吊杆。根据实际使用的要求，预计水平子系统中，会有不同的三种信息出口类型。6.5.1墙面型信息出口在不太影响外观的情况下，采用明装线槽和线盒的方式增加墙面信息出口。以达到既满足增容需要又尽量减少对教学工作的影响。主要布置在1、2、3、4、5层各个机房作为预留点位。6.5.2地面型信息出口在本系统的信息出口可采用墙面线槽走线方式，这种方式适用于改造工程等，强电线路可同弱电线路平行铺设，但需分隔于不同的线槽中，两线槽间距应大于等于30mm。这样可向每一个用户提供一个包括千兆以太及光纤数据的集成面板，真正做到一个舒适、便利的办公环境。地插线缆线槽地面主要布置在1、2、3、4、5层机房。静电地板根据实地勘测，我们铺设20cm的全钢防静电地板，102 第一章产品介绍7.1Cisco5500系列无线控制器图1Cisco5500无线控制器5500系列针对高性能无线网络进行了专门优化，可以提供增强的移动性，帮助企业为下一波的移动设备和应用发展浪潮做好充分准备。5500系列支持更高的客户端密度，可提供更高效的漫游，吞吐量至少是现有802.11a/g网络的九倍。5500系列可以自动执行无线配置和管理功能，为网络管理人员提供必要的监控能力，从而经济高效地管理、保护并优化他们无线网络的性能。5500系列内置CleanAir技术，通过实时和历史射频干扰信息和跨网络接入来为快速故障排除提供解决方案，以保护802.11n性能。作为思科统一无线网络的组成部分，该控制器可在CiscoAironet®接入点、Cisco无线控制系统(WCS)和思科移动服务引擎之间实现实时通信，从而提供集中的安全策略、无线入侵防御系统(IPS)功能、以及屡获殊荣的射频管理和服务质量(QoS)。Cisco5500系列无线局域网控制器的特性特性优势可扩展性·可在各种规模的地点支持12、25、50、100、250或500个接入点，以提供关键业务的无线服务。高性能·为802.11n网络提供线速的、无阻塞性能。RF管理·通过系统级CleanAir集成，提供影响各控制器网络性能的射频干扰的实时信息和历史信息。OfficeExtend·为移动和远程办公人员支持企业无线服务，并可与CiscoAironet®1130或1140系列接入点建立安全的有线隧道。·将企业网络拓展到远程地点，最大限度地减少设置和维护要求（零接触部署）。·改进远程工作地点的工作效率和协作。·分离的SSID隧道允许同时进行企业接入和个人互联网接入。·通过减少通勤次数，降低二氧化碳排放量。·通过让员工可以在家工作，提高职业满意度。·102 通过在发生灾难、传染性疾病或者恶劣天气时提供不间断的安全网络连接，提高业务永续性。全面的端到端安全性·提供无线接入点控制和配置(CAPWAP)兼容DTLS加密，以确保在远程广域网/局域网链路上的接入点与控制器之间实现全线速加密。企业无线网状网·允许接入点动态建立无线连接，而无需与有线网络建立物理连接。·基于选择CiscoAironet接入点，企业无线网状网适用于仓库、制造厂房、购物中心和其他任何难以扩展有线连接或者会因有线连接影响美观的地点。高性能视频·集成视频就绪(VideoStream)技术作为CiscoMedianet框架的一部分，以优化WLAN内视频应用程序的发送。端到端语音·支持统一通信，可以通过消息传递、在网状态和会议等功能加强协作。·支持所有CiscoUnifiedCommunicationsWirelessIPPhones，提供经济高效的实时语音服务。高可用性·一个可选的冗余电源有助于确保最大可用性。支持环保·企业可以选择在非高峰时段关闭接入点无线电设备，以降低功耗。Cisco5500系列无线控制器的产品规格项规格无线IEEE802.11a、802.11b、802.11g、802.11d、WMM/802.11e、802.11h、802.11n有线/交换/路由IEEE802.310BASE-T、IEEE802.3u100BASE-TX规范、1000BASE-T。1000BASE-SX、1000-BASE-LH、IEEE802.1QVtagging和IEEE802.1AX链路聚合。数据请求注解(RFC)·RFC768UDP·RFC791IP·RFC2460IPv6（仅限直通桥接模式）·RFC792ICMP·RFC793TCP·RFC826ARP·RFC1122互联网主机要求·RFC1519CIDR·RFC1542BOOTP·RFC2131DHCP·RFC5415CAPWAP协议规范·RFC5416CAPWAPBindingfor802.11102 安全标准·WPA·IEEE802.11i(WPA2、RSN)·RFC1321MD5信息-摘要算法·RFC1851ESP三重DES转换·RFC2104HMAC：键散列法用于信息身份验证·RFC2246TLS协议1.0版本·RFC2401互联网协议安全架构·RFC2403HMAC-MD5-96withinESPandAH·RFC2404HMAC-SHA-1-96withinESPandAH·RFC2405ESPDES-CBCCipherAlgorithmwithExplicitIV·RFC2406IPsec·RFC2407InterpretationforISAKMP·RFC2408ISAKMP·RFC2409IKE·RFC2451ESPCBC模式加密算法·RFC3280互联网X.509PKI证书和CRL档案·RFC3602AES-CBC加密算法及其与IPSec的搭配使用·RFC3686使用AES计数器模式和IPSecESP·RFC4347数据报传输层安全·RFC4346TLS协议1.1版本加密·WEP和TKIP-MIC：RC440、104和128位（静态和共享密钥）·AES：CBC、CCM、CCMP·DES：DES-CBC、3DES·SSL和TLS：RC4128位、RSA1024位和2048位·DTLS：AES-CBC·IPSec：DES-CBC、3DES、AES-CBC身份验证、授权和记账(AAA)·IEEE802.1X·RFC2548MicrosoftVendor-SpecificRADIUSAttributes·RFC2716PPPEAP-TLS·RFC2865RADIUS身份验证·RFC2866RADIUS记账·RFC2867RADIUSTunnel记账·RFC2869RADIUS扩展·RFC3576到RADIUS的动态授权许可扩展·RFC3579RADIUS的EAP支持·RFC3580IEEE802.1XRADIUS准则·RFC3748可扩展身份验证协议·基于Web的身份验证·TACACS管理用户支持管理·SNMPv1、v2c、v3102 ·RFC854Telnet·RFC1155用于基于TCP/IP的互联网的管理信息·RFC1156MIB·RFC1157SNMP·RFC1213SNMPMIBII·RFC1350TFTP·RFC1643以太网MIB·RFC2030SNTP·RFC2616HTTP·RFC2665以太网式接口类型MIB·RFC2674桥接可管理对象定义，包括流量类型、组播过滤和虚拟扩展·RFC2819RMONMIB·RFC2863界面群组MIB·RFC3164Syslog·RFC3414针对SNMPv3的、基于用户的安全模型(USM)·RFC3418用于SNMP的MIB·RFC3636支持IEEE802.3MAU的可管理对象定义·思科专有MIB管理界面·基于Web：HTTP/HTTPS·命令行界面：Telnet、SecureShell(SSH)协议、串行端口·Cisco无线控制系统(WCS)接口和指示灯·上行链路：8个(5508)1000BaseT、1000Base-SX和1000Base-LH收发器插槽·小型可插拔(SFP)选件（仅支持思科SFP）：GLC-T、GLC-SX-MM、GLC-LH-SM·LED指示灯：链路·维修端口：10/100/1000Mbps以太网(RJ45)。·维修端口：10/100/1000Mbps以太网(RJ45)，用于确保高可用性，供未来使用·LED指示灯：链路·工具端口：10/100/1000Mbps以太网(RJ45)。·LED指示灯：链路·扩展插槽：1个(5508)·控制台端口：RS232（包含DB-9male/RJ-45连接器）、mini-USB·其他指示灯：Sys、ACT、电源1、电源2物理尺寸和环境参数·尺寸（宽×长×高）：17.30×21.20×1.75英寸（440x539x44.5毫米）·重量：20磅（9.1千克），带两个电源·温度：工作温度：32至104°F（0至40°C）；存储温度：–13至158°F（–25至70°C）102 ·湿度：工作湿度：10－95%，无冷凝；存储湿度：最高95%·输入功率：100至240VAC；50/60Hz；1.05A@110VAC；最高115W；0.523A@220VAC；最高115W；测试条件：冗余电源，40C，全流量。·散热量：最高392BTU/小时@110/220VAC合规性CEMark安全：·UL60950-1:2003·EN60950:2000·EMI和磁化系数（A类）·美国：FCC第15.107和15.109部分·加拿大：ICES-003·日本：VCCI·欧洲：EN55022、EN550247.1CiscoAironet1140系列接入点图1CiscoAironet1140接入点Cisco®Aironet®1140系列是一款符合802.11nDraft2.0标准的高性能的室内接入点。该产品配备集成天线，支持802.3af电源，并且易于部署。利用该接入点，用户能够对高带宽的数据、语音和视频应用进行移动式访问，总数据速率可达600Mbps产品规格表1列出了CiscoAironet1140系列接入点的产品规格。表1.CiscoAironet1140系列接入点的产品规格分类规格产品编号预安装无线模块的接入点平台：102 ·AIR-LAP1142N-x-K9802.11a/g/n-draft2.02.4/5-GHzUnifiedAP集成天线·AIR-LAP1141N-x-K9802.11g/n-draft2.02.4-GHzUnifiedAP集成天线·AIR-LAP1142N-xK9-10802.11g/n-draft2.02.4-GHzUnifiedAP集成天线，10个AP单个组件:·AIR-AP1140MNTGKIT=1140系列天花板、墙壁安装支架—备件 规定区域:(x=规定区域)·A=FCC·C=中国·E=ETSI·I=以色列·K=韩国·N=非FCC·P=日本2·S=新加坡·T=中国台湾客户负责查看在他们各自的国家是否允许使用该产品。如需查看许可情况和某个国家的所属规定区域，请访问：http://www.cisco.com/go/aironet/compliance。并非所有的规定区域都已获批准。在获得批准后，产品编号将出现在全球价格列表上。软件·CiscoUnifiedWirelessNetwork软件5.1版或更高版本。 Draft802.11n2.0版(和相关)功能·2x3MIMO，两个空间流·最大比合并(MRC)·20和40-MHz信道·PHY数据速率最高可达300Mbps·数据包汇聚:A-MPDU(Tx/Rx),A-MSDU(Tx/Rx)·802.11DFS(Bin5)·支持CyclicShiftDiversity(CSD)支持的数据速率802.11a:6、9、12、18、24、36、48和54Mbps802.11g:1、2、5.5、6、9、11、12、18、24、36、48和54Mbps 802.11n数据速率(2.4GHz和5GHz):MCS指标1GI2=800nsGI=400ns20-MHz(Mbps)40-MHz(Mbps)20-MHz(Mbps)40-MHz(Mbps)102 06.513.57.2151132714.430219.540.521.7453265428.9604398143.39055210857.8120658.5121.56513576513572.2157.58132714.4309265428.96010398143.390115210857.8120127816286.718013104216115.62401411724313027015130270144.4300频带和20-MHz工作信道-A(美洲(FCC)):·2.412到2.462GHz;11条信道·5.180到5.320GHz;8条信道·5.500到5.700GHz,8条信道(不包括5.600到5.640GHz)·5.745到5.825GHz;5条信道-C(中国):-N(非FCC):·2.412到2.462GHz;11条信道·5.180到5.320GHz;8条信道·5.745到5.825GHz;5条信道-P(日本2):·2.412到2.472GHz;13条信道·5.180到5.320GHz;8条信道-S(新加坡):·2.412到2.472GHz;13条信道102 ·2.412到2.472GHz;13条信道·5.745到5.825GHz;5条信道-E(ETSI):·2.412到2.472GHz;13条信道·5.180到5.320GHz;8条信道·5.500到5.700GHz,11条信道-I(以色列):·2.412到2.472GHz,13条信道·5.180到5.320GHz;8条信道-K(韩国):·2.412到2.472GHz;13条信道·5.180到5.320GHz;8条信道·5.500到5.620GHz,7条信道·5.745到5.805GHz,4条信道·5.180到5.320GHz;8条信道·5.745到5.825GHz;5条信道-T(中国台湾):·2.412到2.462GHz;11条信道·5.280到5.320GHz;3条信道·5.500到5.700GHz,11条信道·5.745到5.825GHz;5条信道注:各个规定区域有所不同——请参阅产品文档，查看每个规定区域的具体规定。非重叠信道的最大数量2.4GHz·802.11b/g: o20MHz:3·802.11n:o20MHz:3o40MHz:15GHz·802.11a:o20MHz:21·802.11n:o20MHz:21o40MHz:9注:各个规定区域有所不同——请参阅产品文档，查看每个规定区域的具体规定。接收敏感度802.11a802.11b802.11g102 –86dBm@6Mb/s–85dBm@9Mb/s–82dBm@12Mb/s–81dBm@18Mb/s–80dBm@24Mb/s–79dBm@36Mb/s–74dBm@48Mb/s–73dBm@54Mb/s–90dBm@1Mb/s–89dBm@2Mb/s–87dBm@5.5Mb/s–85dBm@11Mb/s–87dBm@6Mb/s–86dBm@9Mb/s–83dBm@12Mb/s–82dBm@18Mb/s–81dBm@24Mb/s–80dBm@36Mb/s–75dBm@48Mb/s–74dBm@54Mb/s5-GHz802.11n(HT20)–85dBm@MC0–84dBm@MC1–83dBm@MC2–82dBm@MC3–79dBm@MC4–74dBm@MC5–73dBm@MC6–72dBm@MC7–85dBm@MC8–84dBm@MC9–83dBm@MC10–82dBm@MC11–79dBm@MC12–74dBm5-GHz802.11n(HT40)–85dBm@MC0–84dBm@MC1–83dBm@MC2–79dBm@MC3–76dBm@MC4–71dBm@MC5–70dBm@MC6–69dBm@MC7–85dBm@MC8–84dBm@MC9–83dBm@MC10–79dBm@MC11–76dBm@MC12–71dBm@MC13–70dBm@MC14–69dBm@MC152.4-GHz802.11n(HT20)–86dBm@MC0–85dBm@MC1–84dBm@MC2–83dBm@MC3–80dBm@MC4–75dBm@MC5–74dBm@MC6–73dBm@MC7–86dBm@MC8–85dBm@MC9–84dBm@MC10–83dBm@MC11–80dBm@MC12–75dBm@MC13–74dBm@MC14–73dBm@MC152.4-GHz802.11n(HT40)–86dBm@MC0–85dBm@MC1–84dBm@MC2–80dBm@MC3–77dBm@MC4–72dBm@MC5–71dBm@MC6–70dBm@MC7–86dBm@MC8–85dBm@MC9–84dBm@MC10–80dBm@MC11–77dBm@MC12–72dBm@MC13–71dBm@MC14–70dBm@MC15102 @MC13–73dBm@MC14–72dBm@MC15最大传送功率 2.4GHz·802.11bo20dBm，1根天线·802.11go20dBm，2根天线·802.11n(HT20)o20dBm，2根天线·802.11n(HT40)o20dBm，2根天线5GHz·802.11ao20dBm，2根天线·802.11n非HT重复(802.11a复制)模式o17dBm，1根天线·802.11n(HT20)o20dBm，2根天线·802.11n(HT40)o20dBm，2根天线注:最大功率设置根据信道和各个国家规定的不同而有所不同。具体信息请参见产品文档。可用的传输功率设置2.4GHz20dBm(100mW)17dBm(50mW)14dBm(25mW)11dBm(12.5mW)8dBm(6.25mW)5dBm(3.13mW)2dBm(1.56mW)–1dBm(0.78mW)5GHz20dBm(100mW)17dBm(50mW)14dBm(25mW)11dBm(12.5mW)8dBm(6.25mW)5dBm(3.13mW)2dBm(1.56mW)–1dBm(0.78mW)注:最大功率设置根据信道和各个国家规定的不同而有所不同。具体信息请参见产品文档。集成天线 ·2.4GHz频段3根·增益4.0dBi·水平波瓣角度360°·5GHz频段3根 ·增益3dBi·水平波瓣角度360°接口·10/100/1000BASE-T自检测(RJ-45)·管理控制台端口(RJ45)102 指示灯·状态LED可显示引导加载程序状态、关联状态、工作状态、引导加载程序告警、引导加载程序错误、CiscoIOS错误。尺寸(W×L×H)·AP(无安装支架)：7.5×7.5×2.35in.(19.05×19.05×5.97cm)·AP(带安装支架)：8.12×9.52×2.75in.(20.62×24.18×6.99cm)重量·1.75lbs(0.79kg)环境非运行(存储)温度:–22到185°F(–30到85°C)运行温度:32到104°F(0到40°C)运行湿度:10到90%(非冷凝)系统内存·64MBDRAM·32MB闪存输入电源要求·AP1140:36到57VDC·电源和电源注入器：100到240VAC;50到60Hz供电选项·802.3af交换机·CiscoAP1140电源注入器(AIR-PWRINJ4)·CiscoAP1140本地电源(AIR-PWR-A=)功率·AP1140:12.95W保修90天法规遵从性标准·安全：oUL60950-1oCAN/CSA-C22.2No.60950-1oUL2043oIEC60950-1oEN60950-1·无线许可:oFCCPart15.247、15.407oRSS-210(加拿大)oEN300.328,EN301.893(欧洲)oARIB-STD33(日本)oARIB-STD66(日本)oARIB-STDT71(日本)oAS/NZS4268.2003(澳大利亚和新西兰)oEMIandsusceptibility(ClassB)oFCCPart15.107和15.109102 oICES-003(加拿大)oVCCI(日本)oEN301.489-1和-17(欧洲)oEN60601-1-2EMC医疗指令要求93/42/EEC·安全:o802.11i、WPA2、WPAo802.1XoAES、TKIP·其他:oFCCBulletinOET-65CoRSS-102无线网络标准与Wi-Fi认证IEEE标准·IEEE802.11a·IEEE802.11b·IEEE802.11g·IEEE802.11ndraft2.0·IEEE802.11h·IEEE802.11d安全:·WPA™:Enterprise、Personal·WPA2™:Enterprise、PersonalEAP类型:·EAP-传输层安全(TLS)·EAP-TunneledTLS(TTLS)/MicrosoftChallengeHandshakeAuthenticationProtocolVersion2(MSCHAPv2)·ProtectedEAP(PEAP)v0/EAP-MSCHAPv2·PEAPv1/EAP-通用令牌卡(GTC)·EAP-SIM多媒体:·WMM™102 1MCS指标：调制和编码方法(MCS)指标规定了空间流的数量、调制、编码速率和数据速率值。2GI：信号间的保护间隔(GI)能帮助接收端克服多路径延迟的影响。电源选项CiscoAironet1140系列接入点可由思科以太网交换机、电源注入器或本地电源供电。电源注入器CiscoAironet1140系列接入点的电源注入器(AIR-PWRINJ4)包含一个集成电源，可将100到240VAC电源转换为56VDC电源，然后将该电源注入第5类以太网电缆，为接入点供电（图1）。图1.CiscoAironet电源注入器：为CiscoAironet接入点提供馈送电源如表2所示，CiscoAironet电源注入器可配置为产品订单的一部分，也可单独订购。如果配置为接入点产品订单的一部分，注入器将随接入点产品包一起发售。如果作为备件订购，注入器将单独发售。表2.CiscoAironet1140系列电源注入器的产品编号产品编号产品说明AIR-PWRINJ4=用于1140系列的CiscoAironet电源注入器AIR-PWRINJ4=用于1140系列的CiscoAironet电源注入器（备件）电源注入器产品规格表3列出了Aironet1140系列接入点的CiscoAironet电源注入器的产品规格。表3.CiscoAironet1140的CiscoAironet电源注入器规格说明CiscoAironet1140系列的CiscoAironet电源注入器102 产品编号AIR-PWRINJ4局域网连接·第5类电缆的最大长度：从交换机到设备为100m·类型：RJ-45·标签：10/100/1000BASE-TXToSWITCH设备连接·第5类电缆的最大长度：从交换机到设备为100m·类型：RJ-45·标签：10/100/1000BASE-TXToAPLEDAC电源状态、接入点电源状态和错误 电力·集成电源·输入电压：100–240VAC、50/60Hz ·输入电流：0.95A·输出电压：56VDC·输出电流：0.550A尺寸6.54×3.15×1.73in.(16.6×8×4.4cm)重量13.8oz(390g)环境·非运行温度：–40到+176°F(–40到+85°C)·运行温度：–4到+131°F(–20到+55°C)法规遵从性标准·安全：oUL60950-1oCAN/CSA-C22.2No.60950-1oIEC60950-1oEN60950-17.1Cisco2960系列102 产品概述CiscoCatalyst2960系列交换机，是一系列采用以太网电 (Power Over Ethernet – PoE) 或非PoE配置，可提供桌面快速以太网和千兆以太网连接，并可为入门级企业、中间市场和分支机构网络实现高级局域网服务的固定配置独立式智能以太网设备。60 LAN Base系列提供的多种不同的安全性特性集，可帮助您保护重要信息、阻止非法人员进入网络、确保网络保密性并保持不间断运行。思科基于身份的网络服务(IBNS)解决方案，可提供身份验证、访问控制和安全性策略管理，确保网络连接和资源的安全性。Cisco Catalyst 2960 LAN Base系列中的Cisco IBNS，可防止非法访问并帮助确保用户只能使用规定权限。它能够控制动态管理网络访问的细化程度。利用802.1x标准和思科安全访问控制服务器(ACS），而无论用户从哪里连接到网络，在进行身份验证时用户即可被分配到一个 VLAN中。这种设置使 IT 部门，可在不影响用户移动性并保持最低管理负担的情况下，实现强有力的安全性策略。支持针对拒绝服务 (DoS) 和其他攻击的保护，可通过根据来源和目标MAC地址、IP地址或 TCP/用户数据报协议 (UDP) 端口拒绝数据包，利用ACL来限制对网络中敏感部分的访问。ACL 查找是在硬件中完成的，所以，当实现基于ACL的安全性时，转发性能不会受到影响。可使用端口安全性功能，根据目标连接设备的MAC地址，限制某个以太网端口上的访问。它还可用于限制插接到某个交换机端口的设备的总数，从而保护交换机免遭MAC泛洪攻击，并降低恶意无线接入点接入的风险。借助动态主机配置协议 (DHCP) 侦听功能，通过只允许来自面对不可信用户的端口的DHCP请求（而非响应），进而阻止DHCP欺骗。此外，DHCP Interface Tracker（选件82）特性，可利用交换机端口ID来增大主机IP地址请求，从而帮助用户实现对IP地址分配的粒度控制。可利用MAC地址通知特性，向管理站发送告警，以便网络管理员知道用户何时何地进入网络，从而监控网络并跟踪用户。SSH协议版本2 (SSHv2) 和简单网络管理协议版本3 (SNMPv3)可对管理信息和网络管理信息进行加密，从而保护网络免遭窜改或窃听。TACACS+或RADIUS身份验证可实现对交换机的集中访问控制，并禁止非法用户改动配置。另外，在交换机中还可配置一个本地用户名和密码数据库。交换机控制台上的十五级授权功能和基于 Web 的管理界面上的两级授权，能够向不同管理员授予不同级别的配置权限。可用性和可扩展性102 Cisco Catalyst 2960 LAN Base系列配备有很多可通过组播过滤实现网络可扩展性和更高可用性的特性，以及一整套旨在最大限度提高二层网络可用性的生成树协议增强功能。当检测到违规行为时，能识别语音的802.1x端口安全性将禁用违规数据VLAN，而不影响同一交换机端口上的语音VLAN。Per-VLAN Spanning Tree Plus (PVST+)、UplinkFast 和 PortFast 等对标准生成树协议的增强功能，有助于最大限度延长网络正常运行时间。PVST+ 可在冗余链路上实现二层负载共享，从而高效利用冗余设计中内在的额外容量。UplinkFast、PortFast和BackboneFast等，都能极大缩短生成树协议的标准30秒至60秒的收敛时间。Flexlink可实现少于100毫秒的双向快速收敛。环路保护 (Loopguard) 和网桥协议数据单元 (BPDU) 保护增强功能，可避免生成树协议环路。服务质量Cisco Catalyst 2960 LAN Base系列提供了卓越的多层QoS特性，有助于确保对网络数据流进行分类和优先级排序，并以尽可能最好的方式避免拥塞。通过能检测Cisco IP电话并针对相应类别和出口队列自动配置交换机的自动QoS (Auto QoS)特性，可极大简化QoS的配置。这样，无需进行复杂繁琐的配置，就能对数据流进行优先级排序和优化网络可用性。Cisco Catalyst 2960 LAN Base系列可对输入数据包进行分类、再分类、监管、标记、排队和调度，也可对出口数据包进行排队和调度。数据包分类使网络单元能区别不同的数据流，并根据二层和三层QoS字段强制执行策略。为实现QoS，Cisco Catalyst 2960 LAN Base系列交换机首先会识别数据流或数据包组，然后使用差分服务 (DSCP) 字段或802.1p服务类别 (CoS) 字段，对这些组进行分类或再分类。分类和再分类可以基于来源或目标IP地址、来源或目标MAC地址或四层TCP或UDP端口等具体准则。在入口处，Cisco Catalyst 2960 LAN Base系列还可通过监管确定一个数据包是否符合配置文件，标记并更改分类标签，允许配置文件数据包通过或进行丢弃，并根据分类对数据包进行排队。所有端口均支持控制平面和数据平面ACL，因此可确保基于每个数据包进行正确处理。Cisco Catalyst 2960 LAN Base系列对每个端口可支持四个出口队列，使网络管理员能更好地控制对局域网上不同应用分配优先级。在出口处，交换机可进行拥塞控制和调度，这种算法或进程可确定对队列进行处理的次序。Cisco Catalyst 2960 LAN Base系列交换机可支持整形循环 (SRR) 和严格优先级排队。SRR算法有助于确保进行优先级排序。102 这些QoS特性使网络管理员能确定，通过FTP或电子邮件等应用传输的企业资源规划 (ERP)、语音（IP电话业务）以及计算机辅助设计和制造 (CAD/CAM) 等关键任务和带宽密集型数据流的优先级。例如，为了减少至交换机的另一个端口的语音业务的延迟时间，以前的经验是最好不要将一份大文件下载到这台交换机的所连的一个端口。其实，只要确保语音业务在整个网络上进行正确分类和优先级排序，就能避免这种情况。Web浏览等其他应用，能够以较低优先级进行处理。通过对思科约定信息速率 (CIR) 功能的支持，Cisco Catalyst 2960 Series LAN Base即可进行速率限制。通过CIR，就能以小至1Mbps的步幅保证带宽。可根据MAC来源地址、MAC目标地址、IP源地址、IP目标地址和TCP或UDP端口号等几种准则来分配带宽。当网络环境需要服务级协议时，或当需要控制分配给特定用户的带宽时，带宽分配就是格外重要的。管理新增的快速安装 (Express Setup) 特性，简化了交换机的最初配置过程。现在，您可通过Web浏览器来设置交换机，而无需再运行终端仿真程序和命令行界面 (CLI)。快速安装 (Express Setup) 可帮助初级技能的人员快速、轻松地设置好交换机，从而降低部署成本。Cisco Network Assistant就是一个针对局域网进行过优化、可容纳多达250个用户的PC网络管理应用。Cisco Network Assistant可实现对思科交换机、路由器和WLAN接入点的集中管理。它可支持从 Cisco Catalyst 2960一直到Cisco Catalyst 4500等多种不同的Cisco Catalyst智能交换机。通过用户友好的GUI，用户能够配置和管理多种不同的交换机功能，并启动思科路由器和思科无线接入点的设备管理器。用户无需参阅详细的设计指南，只需轻点几下儿鼠标，就能启用思科推荐的安全性、可用性和QoS特性集。安全性 (Security) 向导可自动限制对装有敏感数据的服务器的非法访问。Smartports和向导可节省网络管理员的时间，减少人为错误，并有助于确保针对这些应用实现交换机配置的优化。免费提供的Cisco Network Assistant可从思科公司网站下载后使用。除了Cisco Network Assistant之外，Cisco Catalyst 2960 LAN Base系列交换机还可使用CiscoWorks LAN Management Solution（管理解决方案 – LMS）等SNMP网络管理平台，实现更广泛的管理功能。作为一整套强大的管理工具，CiscoWorks LMS可简化思科网络的配置、管理、监控和故障排除。它将这些功能集成到一套世界级的解决方案之中，可提高您的运行人员的准确性和效率，同时还能提高网络总体可用性。CiscoWorks LMS可支持400多种不同类型的设备，并提供： 网络发现、拓扑结构视图、终端站跟踪以及 VLAN 管理 采用易于部署的特定设备最佳实践模板进行实时网络故障分析 硬件和软件资产管理、集中配置工具和系统日志监控 网络响应时间和可用性监控与跟踪 实时设备、链路和端口流量管理、分析与报表 102 详细参数品牌Cisco思科型号WS-C2960S-24PS-L安装类型机架式网管功能YES参数应用类别二层网管扩展性固定配置传输标准产品类型：以太网交换机接口/端口端口数：24千兆以太网端口：是接口/端口：24个RJ-45个10/100/1000Base-TPoE的局域网媒体与性能转发/过滤率：41.7Mpps的开关吞吐量：176Gbps的I/O扩展扩展插槽数：5扩展插槽：（共1套）堆叠模块（4个）的SFP（迷你GBIC）的上行网络与通信层支持：2管理与协议管理：是的管理：DHCP的服务质量VLAN的支持SNMPv1，v2的，第三版系统日志CLI的远程监控CiscoWorksLAN管理解决方案内存标准内存：128MB内存技术：内存快闪记忆体：64MB的端口数目24口流量控制YES物理性质1.75"Heightx17.50"Widthx15.20"Depth系列交换机7.1RGS5750系列7.4.1产品概述RG-S5750-E系列交换机是锐捷网络推出的融合了高性能、高安全、多业务的新一代三层交换机。RG-S5750-E系列交换机能够提供灵活的介质接口，满足网络建设中不同介质的连接需要。全千兆的端口形态，加上可扩展的高密度万兆端口，提供1:1全线速多层交换，特别适合高带宽、高性能和灵活扩展的大型网络汇聚层，中型网络核心，以及数据中心服务器群的接入使用，良好地支持各种服务器操作系统和厂商的服务器，以及NLB等服务器集群技术。硬件支持IPv4/IPv6双协议栈多层线速交换和功能特性，为IPv6网络之间的通信提供了丰富的Tunnel技术，可灵活应用于纯IPv4网络、纯IPv6网络、IPv4到IPv6共存的网络，能充分满足当前园区网从IPv4向IPv6过渡的需要。提供二到七层的智能的业务流分类、完善的服务质量（QoS）策略。根据不同应用对不同业务流分级处理，保证重要数据传输无延时。该系列交换机提供的接口形式和组合非常灵活，即可以提供24个或48个10/100/1000M自适应的千兆电口，又可以提供8个或者4个SFP百兆/千兆光口，满足网络建设中不同传输介质的连接需要。102 RG-S5750-E系列交换机以极高的性价比为大型网络汇聚、中型网络核心、数据中心服务器接入提供了高性能、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管，最大化满足高速、安全、智能的企业网需求。7.4.1产品特性高性能l万兆端口为“千兆汇聚，万兆核心”提供可能，适应了网络应用高速发展，网络带宽不断增加的需要。而万兆端口的可扩展性既方便用户现在使用万兆网络，也方便用户后续升级网络到万兆。IPv4/IPv6双协议栈多层交换l硬件支持IPv4/IPv6双协议栈多层线速交换，硬件区分和处理IPv4、IPv6协议报文，可根据IPv6网络的需求规划网络或者维持网络现状，提供灵活的IPv6网络通信方案；l支持丰富的IPv4路由协议，包括静态路由、RIP、OSPF、BGP4等，满足不同网络环境中用户选择合适的路由协议灵活组建网络；l支持丰富的IPv6路由协议，包括静态路由、RIPng、OSPFv3、BGP4+等，不论是在升级现有网络至IPv6网络，还是新建IPv6网络，都可灵活选择合适的路由协议组建网络。虚拟化技术l支持VSU（VirtualSwitchUnit）即虚拟交换单元技术。通过聚合链路连接，将多台物理设备虚拟为一台逻辑上统一的设备，使其能够实现统一的运行，从而达到减小网络规模、提升网络高可靠性的目的。灵活完备的安全策略l具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防Dos攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略等，还网络一片绿色；l支持基于硬件的IPv6ACL，即使在IPv4网络内有IPv6用户，也可轻松在网络边缘实现对IPv6用户的访问控制，既可允许网络内IPv4/IPv6用户并存，也可以对IPv6用户的访问权限进行控制，比如限制对网络敏感资源的访问等；l业界领先的硬件CPU保护机制：特有的CPU保护策略（CPP技术），对发往CPU的数据流，进行流区分和优先级队列分级处理，并根据需要实施带宽限速，充分保护CPU不被非法流量占用、恶意攻击和资源消耗，保障了CPU安全，充分保护了交换机的安全；l硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定，严格限定端口上的用户接入或交换机整机上的用户接入问题；l支持DHCPsnooping，可只允许信任端口的DHCP响应，防止私设DHCPServer的欺骗；并在DHCP监听的基础上，通过动态监测ARP和检查用户的IP，直接丢弃不符合绑定表项的非法报文，有效防范ARP欺骗和用户源IP地址的欺骗问题；l基于源IP地址控制的Telnet设备访问控制，避免非法人员和黑客恶意攻击和控制设备，增强了设备网管的安全性；lSSH（SecureShell）和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备；102 l控制非法用户使用网络，保证合法用户合理化使用网络，如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。l支持NFPP技术。NFPP(NetworkFoundationProtectionPolicy基础网络保护策略)是用来增强交换机安全的一种保护体系，通过对攻击源头采取隔离措施，可以使交换机的处理器和信道带宽资源得到保护，从而保证报文的正常转发以及协议状态的正常。强大的多业务支撑能力l支持IPv4、IPv6组播功能，包含丰富的组播协议。比如IGMPSnooping、IGMP、MLD、PIM、PIMforIPv6、MSDP等协议族，为IPv4网络、IPv6网络、IPv4和IPv6共存的网络提供了组播服务支持；l支持IGMP源端口和源IP检查功能，有效地杜绝非法的组播源，提高网络的安全性；l支持等价路由（ECMP）等丰富的三层特性和业务特性，满足不同网络链路规划下的通信需要。lRG-S5750-E支持丰富的MPLSVPN功能。智能侦测MPLS断网，智能选择冗余线路保持MPLSVPN的连通性。完善的QoS策略l具备MAC流、IP流、应用流等多层流分类和流控制能力，实现精细的流带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务；l以DiffServ标准为核心的QoS保障系统，支持802.1P、IPTOS、二到七层流过滤、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑。高可靠性l支持生成树协议802.1D、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率；l支持VRRP虚拟路由器冗余协议，有效保障网络稳定；l支持RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接Hub等设备形成的环路而导致网络故障的现象；l支持RERP，专门为核心以太网设计的二层链路冗余备份协议，其环路阻断以及链路恢复都集中在主控设备上进行,非主控设备直接向主控设备汇报自己的链路情况,无需经过其他非主控设备的处理,因此环路中断以及恢复时间比STP快。基于以上区别,RERP在理想环境下的链路恢复能力能够达到百毫秒级；l在不启用STP的情况下，可以通过REUP(RapidEthernetUplinkProtectionProtocol)提供一个快速上链保护功能，REUP使得用户在关闭STP的情况下，仍提供基本的链路冗余，同时提供比STP更快的毫秒级故障恢复。l支持BFD，为各上层协议如路由协议，MPLS等提供一种快速检测两台路由设备之间转发路径连通状态的方法，大大减少了上层协议在链路状态变化时的收敛时间。102 方便易用易管理l灵活复用的多种千兆接口形式，可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接，方便用户灵活选择线缆；l网络时间协议保证交换机时间的准确性，并与网络中时间服务器时间统一化，方便日志信息和流量信息的分析、故障诊断等管理；lSyslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理；l多端口同步监控，通过一个端口即可同时监控多个端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，大大提高维护效率；lCLI界面，方便高级用户配置和使用7.4.1技术参数技术参数参数描述产品型号RG-S5750-24GT/8SFP-ERG-S5750-48GT/4SFP-E基本特性固定端口24端口10/100/1000M自适应端口，8个复用的SFP接口，2个扩展槽48端口10/100/1000M自适应端口，4个复用的SFP接口，2个扩展槽可用模块万兆堆叠模块无线多业务卡1口万兆SFP+模块卡2口万兆SFP+模块卡4口万兆SFP+模块卡2口千兆SFP模块卡，2口均可复用为10/100/1000M电口交换容量208G256G包转发率L2：线速（155Mpps）L3：线速（155Mpps）L2：线速（191Mpps）L3：线速（191Mpps）产品特性VLAN支持4K个802.1QVLAN支持SuperVLAN支持ProtocolVLAN支持PrivateVLAN支持VoiceVLAN支持基于MAC地址的VLAN支持QinQ102 QinQ支持双重标签报文透传基于端口选择外层VLANID基于内层VLANID选择外层VLANID基于流特征选择外层VLANID根据内层标签优先级确定外层标签对于双重标签报文，支持基于外层VLANID修改外层VLANID信息对于双重标签报文，支持基于内层VLANID修改外层VLANID信息链路聚合支持LACP(802.3ad)端口镜像支持多对一镜像支持基于流的镜像生成树支持STP、RSTP、MSTPDHCPDHCP/BOOTPClientDHCPServerDHCPRelayDHCPSnoopingDHCPSnoopingTrustDHCPv6ServerDHCPv6SnoopingVSU虚拟化技术支持VSU虚拟化技术支持通过标准以太网接口等方式进行堆叠IPv6基础协议IPv6编址、邻居发现协议（ND）、ND-Snooping、ICMPv6、无状态自动配置、PathMTUDiscoveryIP路由支持静态路由支持RIP，RIPng支持OSPF，OSPFv3支持BGP，BGP4+支持等价路由（ECMP）支持基于包的负载均衡和基于流的负载均衡支持MPLS组播支持IGMPv1,v2,v3,IGMP代理支持IGMPv1,v2和v3Snooping支持IGMP过滤，IGMP快速离开支持PIM-DM,PIM-SM,PIM-SSM支持MLDSnooping，MLD支持PIMforIPv6支持MSDPIPv6隧道手工隧道、ISATAP、6to4隧道、IPv6overIPv4隧道、IPv4overIPv6隧道102 ACL&QoSACL支持灵活多样的硬件ACL：l标准IPACL（基于IP地址的硬件ACL）、l扩展IPACL（基于IP地址、TCP/UDP端口号的硬件ACL）、lMAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）、l专家级ACL（可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型等灵活组合的硬件ACL）l基于VLAN的ACLl支持输出aclQoS支持端口流量识别支持802.1p/DSCP/TOS流量分类每端口8个优先级队列支持优先级队列、轮询队列、优先级队列+轮询队列组合调度支持WRED,WRED+ECN拥塞控制支持流量整形支持流量限速支持层级QoS支持输出qos102 安全特性支持IP、MAC、端口三元素绑定支持IPv6、MAC、端口三元素绑定支持安全通道支持防网关欺骗限制端口学习MAC地址数量过滤非法的MAC地址支持各种(动态静态)地址分配策略下的ARP-Check支持DAI支持防DHCP服务器私设管理员分级管理和口令保护设备登陆管理的AAA安全认证（IPv4/IPv6）支持IP源警告支持控制平面保护支持802.1x(portbased、macbased、动态vlan下发、动态acl下发、guestvlan，旁路MAC认证，认证失败端口跳转指定vlan)支持各种(动态静态)地址分配策略下的ARP-Check支持DoS保护支持ARP报文限速支持广播风暴抑制，多播风暴抑制支持SSHv2.0支持TACAS+，指定源IP支持Radius(radius、EXEC授权、指定源IP)支持BPDUGuard支持GRE隧道支持NFPP技术管理特性SNMPv1/v2c/v3、CLI(Telnet/Console)、RMON(1,2,4,9)、SSH、Syslog、NTP/SNTP、SNMPoverIPv6、IPv6MIBsupportforSNMP、SSHv6、Telnetv6、FTP/TFTPv6、DNSv6、NTPforv6、Traceroutev6高可靠性加速重启过程BFD与OSPF联动BFD与LDP联动BFD与PBR联动MPLSL3VPN，支持PE，MCE功能其它协议FTP,TFTP，DNSClient、DNSstatic物理特性尺寸（长×宽×高）440×260×44mm440×300×44mm电源90VAC~264VAC，50Hz~60Hz功耗43W（不带扩展模块）60W（带扩展模块）72W（不带扩展模块）90W（带扩展模块）102 温度工作温度：0℃~50℃存储温度：-20℃~70℃湿度工作湿度：10%~90%RH存储湿度：5%~95%RH7.1RGS2900系列7.5.1产品概述RG-S2900系列交换机是锐捷网络推出的全千兆安全智能二层交换机，适用于园区网络的接入层，提供千兆到桌面的解决方案。凭借高性能、高安全、多业务、易用性的特点，融入IPv6的特性，使得RG-S2900系列可广泛应用于各行业的千兆网络。通过支持万兆扩展和万兆冗余堆叠，满足了网络流量成倍提高和多媒体业务的迅速增长的需要，特别适合需要高带宽的网络环境中使用。 在提供高性能、高带宽的同时，S2900交换机提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性，并可以根据网络的实际使用环境，实施灵活多样的安全控制策略，有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法的用户合理化地使用网络资源，充分保障了网络高效安全、网络合理化使用和运营。 RG-S2900系列交换机以极高的性价比为各类型网络提供高性能、完善的端到端的QoS服务质量、灵活丰富的安全策略管理，最大化满足企业网高速、高效、安全、智能的新需求。 7.5.2产品特性高性能l高背板带宽为所有端口提供线速的交换能力，并提供万兆扩展和万兆堆叠，满足数据流量和多媒体业务日益增长的需要。 灵活完备的安全控制策略l通过多种内在的安全机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户使用网络，保证合法用户合理化使用网络，如端口静态和动态的安全绑定、端口隔离、多种类型的硬件ACL控制、基于数据流的带宽限速、用户接入控制的多元素绑定等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求；l通过锐捷安全计费管理平台SAM，不仅可实现用户账号、密码、MAC地址、IP地址、交换机IP、交换机端口等六大元素之间的灵活任意绑定，有效确认用户身份的合法性和唯一性，更能通过交换机特色硬件动态绑定，保障用户身份始终一致性，避免了用户恶意篡改身份信息进行非法攻击等行为；lARP检测功能有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象，保障了用户的正常上网。无论在动态分配IP环境下，还是静态分配IP环境下，均可实现自动绑定工作，大大的节省了人力成本，降低了管理开销。而配合ARP速率监控控制端口ARP报文发送的速率，防止恶意利用扫描工具进行ARP泛洪占据网络带宽，导致网络拥塞的攻击行为；l102 支持DHCPsnooping，只允许信任端口的DHCP响应，防止未经管理员许可私自架设DHCPServer，扰乱IP地址的分配和管理，影响用户的正常上网的行为；并在DHCP监听的基础上，通过动态监测ARP和检查源IP，有效防范DHCP动态分配IP环境下的ARP主机欺骗和源IP地址的欺骗；l基于源IP地址控制的Telnet和Web设备访问控制，避免非法人员和黑客恶意攻击和控制设备，增强了设备网管的安全性；l面对日趋热烈的IPv6应用，S2900系列交换机支持基于硬件的IPv6ACL，即使在IPv4网络内有IPv6用户，也可轻松在网络边缘实现对IPv6用户的访问控制，既可允许网络内IPv4/IPv6用户并存，也可以对IPv6用户的访问权限进行控制，比如限制对网络敏感资源的访问等；lSSH（SecureShell）和SNMPv3技术通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备。基于源IP地址控制的Telnet访问控制，更加精细的提供了设备管理控制，保证只有管理员配置的IP地址才能登陆交换机，增强了设备网管的安全性。高可靠性lCPU安全屏障保护：特有的CPU保护策略（CPP），对发往CPU的数据流，进行流区分和优先级队列分级处理，并实施带宽限速，充分保护CPU不被非法流量占用、恶意者攻击和资源消耗，保障了CPU安全，充分保护了交换机的安全。l支持生成树协议802.1D、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率；PortFast大大缩减了标准的30-50秒的生成树协议收敛时间，而BPDUGuard功能则避免了生成树协议环路的出现；l支持RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接Hub等设备形成的环路而导致网络故障的现象。 多业务支持l当网络上服务的业务越来越多时，带宽保障就显得尤为必要。为了避免非紧急业务抢占紧急业务的带宽，RG-S2600通过完善的服务质量保证，来支持多业务的开展；l支持802.1P、DSCP、IPTOS、二到七层流过滤等QoS策略，具备MAC流、IP流、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量，提供服务；l每端口支持8个优先级输出队列，使网络管理员可更精细的为各种应用分配带宽，从而更好的保证业务正常开展。交换机支持SP，WRR，DRR等机制确定报文处理顺序，比如SP可确保某个队列中的业务总是优先传输，而WRR则可保证所有队列中的业务都有机会；l极灵活的带宽控制能力，基于交换机端口、MAC地址、IP地址、VLANID、协议、应用组合进行灵活的带宽限速，限速粒度达到64Kbps，可根据网络安全需求，设定不同业务应用的带宽流量，满足网络带宽按需所用；l能够探测IGMPv1/v2和IGMPv3全部版本的组播报文，适应不同组播环境，避免非法的组播数据流占用网络带宽，满足组播安全应用的需要。 灵活可靠的万兆混合堆叠lS2900系列交换机支持设备的混合堆叠，方便提供灵活的端口数量组合；l提供可靠的万兆冗余堆叠组合，在万兆冗余堆叠的基础上，能同时提供万兆上链，满足高性能、高带宽的需要，方便网络发展和规模扩大；l102 支持硬件堆叠QoS，保证在网络拥塞、网络攻击等网络环境恶劣的情况下，依然能正常管理堆叠组成员，保证堆叠设备的正常运营。方便易用易管理l采用灵活复用的千兆接口和扩展槽组合的形式，可最灵活满足是否需要多个千兆链路上链或多个千兆服务器的连接，方便用户根据网络架构灵活选择连接形式；l支持设备间的混合堆叠，通过堆叠不仅能统一管理和使用设备，降低管理成本，同时可灵活地组合和扩展端口，平滑扩容，保障了网络的高度灵活和可扩展，网络管理更加简单；l多端口同步监控，通过一个端口即可同时监控多个端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，大大提高维护效率；网络时间协议保证交换机时间的准确性，并与网络中时间服务器时间统一化，方便日志信息和流量信息的分析、故障诊断等管理Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理；CLI界面，方便高级用户配置和使用。7.5.1技术参数技术参数参数描述产品型号RG-S2924GRG-S2927XGRG-S2951XG固定端口24个10/100/1000M电口，4个复用的SFP千兆光纤接口24个10/100/1000M电口，4个复用的SFP千兆光纤接口，3个万兆扩展槽48个10/100/1000M电口，4个复用的SFP千兆光纤接口，3个万兆扩展槽可用SFP模块Mini-GBIC-SX：单口1000BASE-SXminiGBIC转换模块（LC接口）；Mini-GBIC-LX：单口1000BASE-LXminiGBIC转换模块（LC接口）；Mini-GBIC-LH：单口1000BASE-LXminiGBIC转换模块（LC接口），40Km；Mini-GBIC-ZX50：单口1000BASE-ZXminiGBIC转换模块（LC接口），50km；Mini-GBIC-ZX80：单口1000BASE-ZXminiGBIC转换模块（LC接口），80km1端口XFP接口万兆转接板万兆光纤SR接口模块（300米），需配合M5700-01XFP转接板使用万兆光纤LR接口模块（10公里），需配合M5700-01XFP转接板使用万兆光纤ER接口模块（40公里），需配合M5700-01XFP转接板使用交换容量48Gbps108G156G包转发速率36Mpps81Mpps117MppsMAC16K102 802.1qVLAN4KIPv4ACL支持多种硬件ACL：标准IPACL（基于IP地址的硬件ACL）扩展IPACL（基于IP地址、传输层端口号的硬件ACL）MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）基于时间ACL专家级ACL（可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间灵活组合的硬件ACL)IPv6ACL&QoS支持源/目的IPv6地址、源/目的端口、IPv6报文头的流量类型（Trafficclass）、时间选项的硬件IPv6ACL和IPv6QoSL2协议IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab、IEEE802.3ae、IEEE802.3ak、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IEEE802.1x、IGMPSnoopingv1/v2/v3、RLDPIPv6基础协议IPv6编址、邻居发现协议（ND）、ICMPv6、无状态自动配置、PMTU管理协议SNMPv1/v2C/v3、CLI(Telnet/Console)、RMON(1,2,3,9)、SSH、Syslog、NTP/SNTPSNMPv6、SSH/Telnetv6、FTP/TFTPv6、DNSv6、NTPforv6、设备登陆管理的AAA安全认证（IPv4/IPv6）其它协议DHCPRelay、DHCPSnoopingJumboFrame支持尺寸（长×宽×高）440×260×44mm440×350×44mm440×400×44mm电源176VAC~240VAC，50Hz~60Hz功耗40W70W125W温度工作温度：0℃到45℃存储温度：-40ºC到70ºC湿度工作湿度：10%到90%RH存储湿度：5%到90%RH102 7.1无线网络管理软件WCS图:思科无线控制系统(WCS)7.6.1产品概述思科无线控制系统(WCS)思科®无线控制系统(WCS)是业界进行无线局域网规划、配置和管理的领先平台。它提供了一个强大的基础，使IT管理员能从中央地点设计、控制和监控企业无线网络，简化运营并降低总拥有成本。思科WCS是思科统一无线网络的一个组件。凭借思科WCS，网络管理员可拥有单一解决方案，来进行RF预测、策略配置、网络优化、排障、用户跟踪、安全监控和无线局域网系统管理。强大的图形化界面使无线局域网的部署和运营简单且经济有效。详细的趋势和分析报告使思科WCS可为持续网络运营提供重要作用。思科WCS运行在服务器平台上，有一个内嵌数据库。它提供了可管理数百个思科无线局域网控制器的可扩展性，而这些控制器可管理数千CiscoAironetÒ轻型接入点。思科无线局域网控制器可位于思科WCS所在的LAN中、分布于多个独立路由子网或位于广域连接之上。所有型号的思科无线局域网控制器均可由思科WCS管理，包括4400和2000系列等企业级独立无线局域网控制器，以及Cisco5500系列无线服务模块（WiSM）和用于集成多业务路由器的思科无线局域网控制器模块。这使思科WCS成为适用于最大规模的企业环境和室外部署的理想无线局域网管理平台.7.6.2思科WCS在整个无线网络中支持以下功能：·无线局域网规划和设计思科WCS提供了集成化RF预测工具，它们可用于创建详细的无线局域网设计，包括轻型接入点的放置、配置和预计性能/覆盖范围。IT人员可将实际的地面布局输入思科WCS，并确定楼宇中各组件的RF特性，以提高设计准确性。热点图可帮助IT人员查看无线局域网的预计行为，以便更方便地进行规划和更快地实施部署.102 图:覆盖整个企业的RF智能图:规划工具102 7.6.1网络监控和排障思科WCS提供的工具可帮助IT管理员查看其无线网络的布局，并持续监控WLAN性能。这其中包括详细的热点图，显示了所输入的地面之上的RF覆盖范围。思科WCS还提供了一个门户，用户可通过它获得思科WLAN控制器所提供的实时RF管理功能，包括信道分配和接入点发射功率设置。此外，思科WCS可快速查看覆盖盲区、报警和关键的使用统计数据，实现了方便的WLAN监控和排障图:查看RF覆盖范围7.6.2室内位置跟踪思科提供了各种选项，来有效地跟踪无线设备，包括支持Wi-Fi的笔记本电脑、PDA、手机和配备了802.11收发器的移动设备。基本型思科WCS可确定一台无线设备与哪个接入点相关联，使IT管理员大致了解无线设备的位置。需更精确的定位服务的环境可部署思科WCS的一个可选版本，称为定位型思科WCS，它采用了即将荣获专利的“RF指纹”技术。该技术将实时客户端RSSI信息与已知RF楼宇特性相比较，使思科成为唯一能准确定位无线设备，结果可以准确到几米之内的WLAN基础设施（图5）。此外，定位型思科WCS能与思科无线定位设备一起部署，同时实时地跟踪数千个无线客户端。凭借这些先进的位置跟踪功能，思科统一无线网络成为了一个理想的平台，可支持具有无线移动性的关键业务应用，如资产跟踪、库存管理和增强911电话服务。通过将室内位置跟踪集成入无线局域网基础设施，思科降低了无线局域网部署的复杂性和总拥有成本。102 图:准确指出无线客户端的位置7.6.1无线保护思科WCS在一个思科无线基础设施中提供了管理和实施安全策略的全套工具。这其中包括：·RF攻击签名和无线入侵防御—思科WCS使IT人员可创建能定制的攻击签名文件，可用于迅速检测与RF相关的常见攻击，如拒绝服务(DoS)、Netstumbler和FakeAP。用户可对思科WCS编程，使其在发现攻击时自动生成报警。详细的趋势报告可帮助IT人员在威胁造成重大损失前发现反复出现的安全问题。102 图:无线安全问题总结·恶意设备检测、定位和控制—思科WCS平台使用即将荣获专利的技术，来持续监控无线空间，寻找非法接入点和临时网络。如果出现未授权设备，可使用思科WCS确定其位置并评估威胁级别。如认为是恶意设备，IT管理员可利用思科WCS来正确防御它们。详细的趋势报告有助于识别反复发生的潜在问题。·策略创建和实施—思科WCS包含一个服务策略引擎（图7），使网络管理员能方便地创建虚拟LAN（VLAN）、RF、服务质量（QoS）和安全策略。凭借思科WCS，IT人员可创建多个独特的服务集识别符（SSID），各自带独立的安全参数。例如，一个“访客”SSID可通过Web验证来进行保护；“语音”SSID可能需利用手机内置的有线等效保密(WEP)功能；而普通的数据流量则可用802.11i或IP安全(IPSec)来保护。思科WCS可在完整的思科无线网络、独立的思科无线局域网控制器，甚或独立的轻型接入点上实施安全策略。102 图:策略引擎·用户拒绝列表—IT人员可使用思科WCS来主动拒绝某些特定用户与无线网络建立连接。此外，如果发现异常活动，受到影响的设备会被标记，如果认为它们是恶意设备，会拒绝它们接入网络。这些设备就无法获得无线局域网服务，直至拒绝列表中规定的时间到期，或IT人员决定允许其访问无线局域网为止。7.6.1无线局域网系统管理思科WCS使无线局域网的配置、监控和管理就像有线系统管理一样简单高效。其中包括以下核心功能：排障—思科WCS整合了重要的网络信息，如噪音级别、信噪比、干扰、信号强度和网络拓扑等，使网络管理员能隔离和解决所有无线网络层次中的问题。软件升级—凭借思科WCS，只需点击一次鼠标，即可从单一中央位置执行对于思科无线局域网设备的升级。网络映射—思科WCS可自动发现无线网络中的各个设备。因此无需进行手动数据库配置和维护，且可提供准确信息，以用于容量规划和排障。定制报告—思科WCS可生成大量报告，以记录网络活动和系统信息。其中包括客户端统计数据、无线频谱利用数据、802.11计数器、RF管理配置历史和报警。102 图8.所发现的恶意接入点和客户端活动报告7.6.1灵活、安全的访问思科WCS使用SNMP版本3来提供最高水平的网络管理功能和安全性。该协议可用于在思科WCS服务器和各无线局域网控制器间通信。此软件也支持SNMP版本1和版本2，这使其他网络管理平台也能对其进行查询。网络管理员可通过任意运行HTTP或安全HTTP(HTTPS)的标准浏览器来访问思科WCS，确保能随时、随地使用思科的管理功能。7.6.2特性和优点表:思科无线控制系统的特性和优点特性优点直观的GUIIT人员只需极少的培训，即可方便地对其无线网络进行配置、监控和排障。层次化视图IT人员能快速访问不同的地区、园区、楼宇、楼层和区域，更好地查看和控制情况。无线局域网规划工具准确的RF预测工具提高了无线局域网规划和设计的有效性。高度准确的集成化位置跟踪（由定位型WCS思科提供或通过添加思科无线定位设备而实现）跟踪用户和设备，保护资产并增强无线局域网的安全程度。102 策略管理模板可在整个企业或室外部署（包括室外网状网络部署）中方便地创建和实施统一的QoS、安全和RF管理策略。全面的无线局域网入侵保护定制签名文件可防御未授权入侵和RF攻击；自动报警能使用户迅速响应，从而降低风险。便于操作无需手动干预，即可使思科无线局域网控制器和思科轻型接入点保持最新版本。它提供灵活的备份，可在非高峰时段自动安排备份，或在不影响WLAN性能的情况下，在正常工作时间进行备份。压缩的备份文件缩短了文件传输时间，减少了所需磁盘空间。它可作为一项服务，在Linux和Windows系统上方便地安装。强大的API此界面提供了与外部软件系统的集成，包括工作流程软件、故障管理系统和其他使用无线服务的应用。7.6.1产品规格表2列出了思科WCS的产品规格。表2.思科WCS的产品规格项目规格最低服务器要求·Windows2000SP4或更高版本，Windows2003SP1或更高版本，或RedhatEnterpriseLinuxESv3.0·最多500个AP：2.4GHzPentium，1GBRAM·超过500个AP：双处理器（每个至少2.4GHz），最低2GBRAM·20GB硬盘最低客户端要求InternetExplorer6.0/SP1或更高版本管理SNMPv1，v2c，v3所管理的设备Cisco2000、4100和4400系列无线局域网控制器；Cisco5500系列无线服务模块（WiSM），用于集成多业务路由器的思科无线局域网控制器模块；CiscoAironet轻型接入点数据库集成化SolidFlowEngineSQL7.6.2总结思科WCS适用于企业无线局域网部署和室外网状网络，简化了无线网络的部署和运营，有助于确保性能平稳、增强安全性并实现最高网络可用性。思科WCS102 可集中管理园区环境和分支机构中包括思科WiSM和思科无线局域网控制器模块在内的所有思科无线局域网控制器，以及思科轻型接入点，消除了复杂性，使网络管理员可查看和控制其无线局域网.102 附件七售后服务计划及项目管理我们提供的售后服务的目标是获得北京XXXX学院图书馆的最大满意。我们希望通过这个服务计划全力确保本次投标的用户可以成功地使用我们的产品进行工作，促进先进的现代化教学实验，提高教学及实验质量。这种帮助体现在我们将不断地为各用户提供各种专业知识，及所需的技术服务，如：技术咨询，介绍新产品、新技术等。我们始终认为，他们的成功将会逐渐转化为我们的成功。下面针对本项目分别给出厂家和我公司的售后服务承诺。1.我们负责将本投标项下设备运输至用户指定位置，并负责在运输过程中的损耗，同时由专业技术人员在现场负责安装技术指导。中标后，我公司将提供投标项下所有设备的安装使用、维护说明书，并负责对用户技术人员的使用、操作、维修、保养进行免费现场培训，直至能够独立操作和简单维护。2.我公司配备有十余名专业技术人员，可以及时为本项目选派工程师。合同签订后，我们将根据北京XXXX学院图书馆的时间安排，进行设备安装调试，以确保正常教学计划不受影响。3.我公司拥有专业的培训讲师，将配合调试工程师在安装调试所在地对日后的使用者进行现场培训，使其能够掌握使用方法及技巧，保证日后的操作和简单的故障排除。4.我公司郑重承诺：本投标项下所有设备均是原厂全新、未使用过的，并完全符合强制性的国家技术质量规范和合同规定的质量、规格、性能和技术规范等的要求；保证所提供的货物经正确安装、正常运转和保养，在其使用寿命期内具有符合质量要求和产品说明书的性能。在货物质保期内，我公司对由于设计、工艺或材料的缺陷以及因安装方法不当而发生的任何不足或故障负责，承担由此造成的一切损失。售后服务的组织架构北京XXXX公司具有完善的客户服务体系和服务流程，但是针对每一个系统项目的特点，我们要调整我们的服务组织构架，使之更加适应该系统对平台的稳定可靠性要求。通过切实可行的服务组织构架、服务网络和服务流程来把影响系统稳定运行的可能性降到最低，从而实现系统的效益目标。北京XXXX公司拥有北京技术支持中心，同时在石家庄、郑州、天津等分公司也有相应的技术服务队伍，这些客户服务人员有效的协调，共同为客户提供快捷有效的服务。北京技术支持中心协调公司的全部资源为客户提供令人满意的服务。102 XXXX项目管理组织架构图技术支持中心由XXXX公司的技术部经理管辖，依照服务职能和类别分为若干服务小组，分别由具备不同技术背景及现场经验的工程师担当技术工程师。组织架构各环节组成及职责：8.1项目总负责人负责整个项目进度的掌控；从整体上协调人力、物力的分配，监督指导各片区负责人开展工作。8.2技术负责人负责整个项目质量控制，负责工程验收工作，负责根据用户需求的项目培训工作；直接领导各组技术人员的安装调试工作。8.3项目经理负责整个项目实施管理与协调工作；指导实施组，设备组，测试组合理配合工作，完成项目的实施工作。8.4售后服务经理负责项目验收后随时协调售后服务人员对设备故障作出快速响应保障系统的稳定运行派遣技术员定时对运行中系统进行巡检等工作8.5项目质控经理负责整个项目实施质量监督；负责整个项目实施的施工管理指导；102 负责对实施组、设备组、测试组的指导；8.6客户经理定期向用户汇报项目实施进度，协调实施过程中用户的其他特殊要求及需要负责整个项目实施质量状况记录与汇总；负责整个项目实施质量监督记录与汇总；负责传达文件、通知；以上是北京技术支持中心的基本组成和组织结构，可以根据售后维护的工作量、工作内容和技术要求动态调整。这个动态调整既包括技术人员的充实、现有技术人员技术水平的再培训；也包括其它分支机构技术人员的支持。总之我们技术服务部门的宗旨就是保证客户系统安全、可靠、高效的运行，以取得最大效益。8.6.1客户服务中心的职能售后服务的支持方式：北京XXXX公司提供的技术服务是一个全方位的技术服务，包括针对用户规划、设计、技术咨询、实施服务、软件安装、系统诊断、设备维护、备件更换、例行巡检与故障排除等诸多环节的系统建设、系统设计、项目实施、技术支持等服务。1、北京XXXX公司承诺当客户服务中心热线电话接进一个用户的服务请求，立即为这个服务建立一个服务计划，并在一小时内通过电话或传真通知用户这个服务计划，并且技术工程师将在响应时间范围内为用户解决问题。2、北京XXXX公司的技术工程师不但可以帮助用户做有关项目立项、项目规划、项目咨询等方面的售前工作，同时可以完成项目实施、技术服务与支持。3、北京XXXX公司承诺当接到用户方的服务请求时，将根据分析情况准备所需的备件和设备，到达用户现场后立即开始工作，并在最短的时间内排除故障恢复系统。4、北京XXXX公司建立了“工程师责任管理控制系统”，不管用户的系统是否故障，我们都会在固定的时间巡检用户的系统，获得用户系统运行状况信息防范潜在故障的发生。5、北京XXXX公司建立了7×24小时热线服务电话，能够及时获得用户的服务请求，并确保提供最快的服务响应速度。--5×8服务热线：010-51652331--7×24小时值班工程师：13701241641102 针对本次招标项目，我们将参照我们技术服务的标准和执行流程，在第一时间为用户提供准确、快捷的技术支持服务。售后服务的工作范围和工作方法随着公司业务的不断发展，客户量的逐年递增，技术支持的工作变得日益繁忙和重要。因为在竞争激烈的市场上，售出优质的产品仅是一个企业获得生存的前提，而要长期发展则需经常站在用户立场考虑，提供更周到的服务。公司技术支持中心提供从产品咨询、产品安装、使用、维护、现场技术支持、远程支持系统等全线服务。保内售后服务XXXX公司为维护客户的利益，对于任何实施的项目和所销售的设备、软件都提供服务。根据客户系统平台业务应用的特点和《投标要求》中针对售后服务的条款要求，并针对本项目的软硬件系统，XXXX公司提供3年的免费售后服务，同时在系统建设结束到整体验收结束前的这段时间内我们提供同样规格的免费服务。维护周期的开始：对于本次投标产品售后维护期从设备的开箱验货、安装调试、并上线验收试运行开始，北京XXXX公司承诺在保修期内提供针对上述产品与设备全方位的技术支持服务，并每季度做一次预防性维护。维护工作内容及响应时间：1、北京XXXX公司将定期了解本套系统设备的使用情况，解答系统运行中所出现的问题。2、北京XXXX公司响应本套系统的要求，随时为其系统环境的设备和系统平台软件的运行提供技术咨询等支持，保证系统在最佳状态下运行。3、北京XXXX公司将为用户提供强有力的技术支持。其中包括：热线咨询，协助用户解决技术难题。指派专人协助用户从事应用软件的调试及数据的迁移。4、对客户提出的任何服务请求，XXXX公司技术人员在30分钟之内作出远程响应；协助客户解决问题。5、对于系统的宕机故障及服务请求属于一级故障，工程师不能在电话内解决问题且不能远程拨入解决问题的情况下，需在4小时内到达客户现场进行故障排除工作。6、对于主机平台运行性能的不正常变动故障属于二级故障，因为这个性能变化不会在短期内造成宕机从而影响系统的可用性，但是这个故障又不容忽视，针对这种情况，XXXX工程师会在8小时内到达客户现场，协助客户分析性能变化的原因，并及时解决问题。7、对于客户信息平台系统各类软件的配置，包括新增设备所引起的配置变更，XXXX工程师将在1个小时内做出响应，提供用户咨询与指导。102 8、保内维护的定期巡检，根据巡检工作计划进行，并提供每季度一次的故障预防性服务。以上是我们对于售后服务内容和响应时间的描述，我们力争在最短的时间内为客户提供准确有效的服务，同时根据我们在其它行业的服务经验（如金融、保险教育等），业务系统的维护不允许在业务处理时间内进行（设备瘫痪除外），所以对服务响应时间也会根据将来相应的管理制度和实际情况做些微小调整，例如为不影响日间生产业务的运行，可以在夜间或凌晨为客户进行系统的维护、备件的更换等。8.6.2售后服务的原则系统维护与售后服务对于客户系统的运行至关重要，直接关系到该项目的成功与客户业务的发展。XXXX公司作为一家专业的从事IT行业的系统集成公司，具有专业的售后维护技术队伍。同时也具有一整套售后服务的工作流程，能够使我们的客户在任何时间内得到我们的技术支援，以确保客户的应用系统能够很好的运行。XXXX公司根据多年来的项目实施经验和系统维护经验，总结出一些保障系统稳定、可靠运行的服务机制，我们把这些机制进行调整，使其更加符合客户项目特色及系统维护需求。具体体现在如下几点：1、设备选型和系统实施的严格性设备选型和系统实施的严格性有助于系统的安全运行，同时减少故障率和故障环节，会适当减轻系统维护的工作量，减少系统故障所带来的损失。2、科学合理的系统服务组织机构XXXX公司拥有一个核心级的售后服务中心，针对每一个客户的系统项目，我们将重新调整我们服务与支持中心的工作流程与工作模式，组织优秀的工程技术人员充实队伍，实施科学系统的管理机制，协调厂商一起担负起客户的相关IT系统和设备的全面服务。3、缜密的服务与维护处理流程北京XXXX公司的售后技术服务与设备维护具有缜密的处理流程，可以避免工作方式与工作流程的失误，同样带来快捷准确的技术服务与需求响应。4、详细的服务与维护记录北京XXXX公司的技术服务和维护具有严格的派工及报告制度，多年的积累形成设备维护处理方案库，使得工程师在出发前已经初步掌握维护的流程、故障定位及相应的设备故障排除方法。5、定期巡检制度北京XXXX公司除了响应应急服务请求外，还安排定时设备巡检，及时准确的了解设备运行情况及设备的运行压力，为客户的设备使用进行调整或对客户提出设备更换（升级）等的建议性方案。6、备品备件制度对于每一个客户所采购的硬件设备，我们协调厂商进行备品备件的准备。在系统设备出现故障时，确保低于8个小时到达现场，对于确认需要更换备件的设备在3个工作日内安排备件到场更换。102 我们对于厂商备件的协调能力、快速的服务响应时间以及优秀的工程师技术水平可以保证客户系统所支撑的业务应用系统的可用性、可靠性。1、保外售后服务做为与客户业务上的合作，我们愿意为客户的信息系统平台项目及其它IT项目和设备提供长期的维护支持服务，通过合理收取服务费来保证我们服务体系的正常运转、客户设备及系统的安全运行。保外服务的内容和响应时间同保内服务基本类似，具体内容根据双方的服务合同执行。我们力争在保外服务中也做出特色来，以获得最佳的用户满意度。保修期过后，我们公司愿意提供合约式保修服务，服务质量与保修期内相同，费用、责任、义务均由保修合约阐明。主要条款:§服务范围内容的确定，包括公司提供的系统软硬件设备和应用软件；§服务人员的确定，人员以现场服务的形式，按照客户的指示开展工作；§服务价格及付款方式的确定§双方的违约责任；在我们的保外技术支持服务中，除了完成保内服务中全部的服务内容外，更加体现系统运行故障的预防性服务。1、制定软件支持服务计划XXXX公司的技术人员制定软件支持服务计划，包括已经运行的软件系统的性能检测、运行流程检测，新的软件业务需求分析等。2、客户访问（每年访问不少于4次）根据客户业务应用特点和软硬件应用环节，制定客户访问计划并做定期访问。其访问内容包括：§了解系统运行情况§解决客户系统问题§系统健康检查§预防性软件安装§给予用户与系统相关的技术支持及咨询3、工程师到场维护公司工程师到客户现场进行故障诊断及维护，其过程与响应时间同保内维护支持服务。4、硬件设备及软件应用的升级通过一段时间的运行，不断检查设备的使用情况，做出设备运行状况和运行压力报告，根据客户的要求完成设备的升级工作。5、电子客户支持电子客户支持是指通过电话或电子邮件向客户提供协助以解决与网络系统有关的日常运作、安装和使用（怎样用）等简短问题的服务。其中包括：§通过电话、电子邮件或ECS（MODEM拨入）以解决有关系统故障的问题102 §通过电话解答一般服务器、存储系统、网络系统及平台软件在使用上的问题§通过电话解答一般服务器、存储系统、网络系统及平台软件的日常操作问题§通过电子客户支持服务做远程的培训§通过电子客户支持服务定期检查服务器系统8.6.3售后服务的工作流程XXXX公司技术支持中心经过7年的正式运行，在工作中总结出一些较为科学的客户服务工作流程。日常服务工作流程日常服务是指所有日常发生的软硬件服务，该服务需求是无预先通知和计划的，突发的服务请求。在服务中，技术支持中心接到客户电话，详细记录所需服务的客户部门、设备、服务内容，交由当班技术经理和相关技术人员初步诊断故障；可以同客户就故障现象进行进一步沟通，最后分配工程师实施客户服务。（具体工作流程如下）102 客户通过热线电话提出服务请求（或亲自提出服务请求）；技术支持中心工程师接听电话并记录服务请求内容；服务小组负责人（或当班经理）初步诊断故障并分配工作给客户工程师；工程师为客户提供电话服务，或及时赶赴客户现场提供现场技术支持和故障排除；现场服务的情况在故障排除后填写服务报告单交由客户签字、电话服务的情况填写电话服务记录；在不能马上解决故障或需要更换备件、或需由厂方解决的故障的情况发生時，向客户解释清楚并承诺修复时间；由全部客户服务工程师会诊不易解决的故障，并借助公司各分支机构技术资源协助解决故障；102 需更换备件的设备填写备件更换单，记录客户姓名、所属部门、设备名称、设备编号等信息；同时填写备件出库单客户服务中心经理批复。在最短的时间内为客户更换备件，填写服务记录交由客户签字。需要由设备提供厂家维修的设备，填写设备送修单据包括客户名字、所属部门、设备名称、设备编号、设备厂家名称、设备故障初诊等信息。及时联系厂商，送修设备。按照厂商所承诺的修复时间，积极跟踪，确保设备能够很快修复。在设备修复后填写客户服务记录交由客户签字。以上是日常服务的基本通用流程，我们是按照我公司ISO9001的客户服务标准流程所制定的。当然在实际处理時会有一定的灵活程度，但是核心要求是在第一时间内帮客户解决故障，同时要留下完备的客户服务记录及备件更换记录以备日后检查。计划服务流程计划服务是指那些相对大批量的设备升级、设备验收、软件安装、软件升级等工作。该类工作的性质决定着在相对的一个阶段内需要集中多名工程师一起工作，以完成工作任务。（工作流程如下）接受客户所提出的服务计划要求；分析工作内容、技术性质与工作量；做出工作计划和人员调配方案；做出工作所需场地及相关配套设备需求计划并呈报公司批准，并提交该计划给客户备案，在计划中注明需客户方提供的协调工作及客户方资源；按照预定工作计划开展工作；在工作中做各种工作记录；在工作结束后作出工作总结和工作汇报；我们在处理计划服务工作（批量服务工作）的时候，要平衡日常服务工作的人员安排，确保至少有50％以上的技术工程师值班，保证紧急的日常服务请求能够在最短的时间内完成。避免由于批量工作影响对于客户日常服务请求的处理，这样就能保证客户工作不会有中断性影响。客户服务工作的例会制度客户服务工作是一项具体而又持久的工作，工作中会涉及方方面面的具体问题，有时需要公司内部协调，有时也要同客户方协调。在定期的例会上，我们可以总结上一阶段的工作内容，分析主要的客户服务工作，发现潜在的客户服务需求，并制定下一阶段的工作重点和工作方法。可以说通过例会制度能够不断的修正我们的客户服务，完善内部管理机制，为客户服务工作得到客户满意奠定良好的基础。我们的客户服务工作例会为每两周一次，由秘书记录详细的会议机要并存档，必要时，我们可以邀请客户参加我们的工作例会或将例会机要承交客户方，做到透明服务、真心服务与专业服务的统一。客户服务的监督机制102 客户服务是一项长期的、细致的工作，不但要求我们要具有专业的服务技能，同时要拥有最快的服务相应时间和优秀的服务工作方法及服务态度。我们根据目前为客户服务的经验引入客户服务监督机制。一方面可以考核我们的服务工程师的工作表现，同时也是对公司售后服务总体工作的综合评价。我们的每次服务都拥有详细的服务记录，包括服务派工记录、服务工作内容记录、故障排除记录，并且还具有客户评价记录。我们根据这些记录对于服务工程师做出奖惩，对于连续出现客户不满意的工程师采取相应的惩罚措施，直到对于该名员工最严厉的解聘惩罚。如果客户服务工作的全部客户评价满意度低于90％，我们则要与客户方进行详细的沟通研讨、找出服务过程中的缺陷，及时调整服务工作的方法和流程，以提高客户服务满意度。北京XXXX公司的客户服务工作一直得到客户的好评，众多的客户表扬信及我们获得的客户服务满意度奖就是有力的佐证。8.6.4服务体系介绍我公司拥有自己特色的三层客户服务体系，在北京总部设有客户服务中心，由通过原厂家认证的资深工程师对各办事处和分公司提供技术咨询和支持，在2多个主要省会城市和大型城市设当地服务中心，当地服务中心对所辖办事处提供技术支持，办事处工程师在各级服务中心工程师的协助下为本地用户提供服务。对于关键用户，由本公司客户服务中心为用户直接提供服务。客户服务中心的职能负责各地服务中心的组建和管理制订工程的实施规划及细则、实施详细进度、实施规范、验收标准、实施过程管理标准文档协调和监督各地服务中心的实施与服务支持，协调工程上级管理机关与我公司的合作关系、就涉及该工程的重大和紧急商务和技术及服务问题作出决定，保证对用户要求提供及时的响应负责该工程支持中心和北京地区系统的设备的安装调试、维护支持和服务指挥和协调各地服务中心的安装、调试、验收和服务工作做出工程实施报告和设备运行状况报告负责该工程支持中心和北京地区系统的日常维护和服务工作并协调对各地服务中心的日常的维护与服务工作为各地服务中心的技术支持服务提供咨询和监督。设立专门的联系人，提供及时的响应服务人员组成：项目经理，资深系统工程师地点：北京。服务模式我公司可以提供以下几类服务：全方位支持102 我公司的维护支持包括对软件、硬件和网络应用方面的支持。软件支持包括对我公司提供的设备的操作系统和应用软件，以及我公司自行开发的应用软件。硬件支持包括将系统恢复到正常状态所需的全部材料、零备件、劳务及差旅费用。网络支持包括网络应用和相互操作性支持。电话支持(7*24小时)用户使用我公司提供的产品时，如遇到软件、硬件或是网络问题，都可以从我公司得到电话支持与帮助。用户可以指定一名主要联系人及两名替补联系人与我公司客户服务中心中心联系。一旦接到用户的请求电话，我公司客户服务中心的专家将在规定时间内通过电话解决或回答用户所提出的问题。现场支持(7*24小时响应)对于通过电话无法解决的问题，我公司将派出系统工程师到现场为用户解决问题。必要的话，用户可以采用我公司的远程分析服务。通过适当的网关(Gateway)，我公司客户支持部的专家对用户的系统进行远程诊断，加速问题的解决。专人客户支持我公司客户服务中心针对用户的需求，成立项目组专门负责该项目的售后支持。项目组将由现场工程师，客户服务中心相关专家和一名项目经理组成。客户文档按合同约定，向客户提供系统安装手册、图纸、设备维护手册以及用户手册。客户的所有要求都将记录文档，以用户问题记录、用户问题跟踪、用户问题解决的形式登记备案，确保服务质量。针对本项目，我公司将提供如下服务：设立专门客户支持小组——针对工程建立专门的客户支持小组，做到专门项目，专人维护。小组人员由我公司全国客户服务中心的工程师、产品经理和用户联络人组成。主要职责是协调与客户的关系，指挥整个工程的顺利进行，制订合理的工程施工计划，参与并指导工程的实施。工程小组设立专门的联系人，负责对客户的要求作出及时的响应，并负责联络有关人员，解决用户问题。制订专门的客户支持计划——建立一套详细的支持档案，随时跟踪设备的运行情况及故障发生情况，并对其项目小组负责人定期进行该工程的设备运行情况调查报告。通过设备运行情况的分析，找出可能存在的潜在问题，预防故障的发生。定期的远程系统诊断——通过适当的网关(Gateway)，我公司客户服务中心的专家对用户的系统进行远程诊断，加速问题的解决。通过定期的远程系统诊断，消除事故存在的隐患。定期报告——指出错误并总结前期情况。用户报告制度指原厂商或我公司技术人员定期向用户报告对其设备的支持情况以及设备运行状况的综合信息，以加强我公司与用户的沟通。现场活动记录——对现场工作做详细的记录，对设备运行情况、施工中遇到的问题进行备案，以便以后对故障情况进行正确的分析。。7*24小时电话支持（工程小组技术人员手机7*24小时开机）7*24现场支持，响应时间要根据用户确定的优先级决定，最严重的问题在0.5小时以内。设立专门的联系人（不少于两人）——目的是使用户的问题得到及时的响应。利用丰富的通讯设备（如把联系人的手机号码提供给用户），可以为用户提供每周七天、每天24小时的响应服务。不少于两个联系人使得对用户响应的保障系数更高。102 远程系统监控——通过利用网络这一通讯工具，对用户系统进行远程监控，收集系统各种运行状态信息，为系统的故障分析、预测提供根据。远程故障预测——通过远程系统诊断收集的信息进行故障预测，做到防患于未然。非现场的维护可以通过电话、传真，e-mail等方法联系，我们有关部门将在知道问题后立即做出响应。对于现场维护，需取得客户的签字确认；对于远程维护，客户可以通过其它方式（电话、传真，e-mail等）进行确认。当系统需要修改时，包括系统功能增加、操作系统升级等问题可以由用户直接向我们提出需求，我们将在最短的时间做出回应，如遇重大问题（如变换数据库、改变数据库结构、操作系统升级等）由双方商议完成，人数根据需求大小来确定。系统升级为了保证系统能够满足用户不断增长的业务需求，紧跟时代发展，时刻关注最新技术发展，将最新技术应用到现实中去，我们可以在用户提出需求后按照用户的要求对系统硬件、系统软件、应用软件进行升级，确保应用系统的国际先进水平。升级的原则应保证升级后的系统硬件、系统软件平台不影响原应用系统的正常运行，如果升级后的平台有重大变动，必须经过双方协商，需另外协商费用。如果用户要求越级升板，我们有足够的技术力量做后盾，以确保系统的跨板升级，并要按上面升级原则处理。1、客户服务管理中心接到客户请求服务的电话，确定是否为合同客户。如果是合同客户，则认真填写《用户问题跟踪记录表》,并把问题交维护中心解决2、维护中心派工程师通过电话和客户交流,帮助客户初步分析问题,确定是硬件还是软件的问题，指导客户处理简单的问题，如果不能远程解决问题，则记录故障现象，并形成报告,提交技术支持部备案。由技术支持部和客户协调现场解决时间。3、如需要现场进行解决问题，确定故障地点是否有我公司的分支机构，如果有办事处，则直接从本地派工程师到现场确定故障原因，解决问题。如果没有办事处，则就近安排分支机构工程师到现场。4、如果问题得到解决，则认真记录问题原因，解决方式，处理结果。并且归档，关闭跟踪记录。如果现场实施失败，工程师上报技术支持部，协调进一步解决方案。5、没有解决的问题，确定是否对系统进行升级，并制定升级方案。技术文档及管理给用户可以提供如下的标准化的服务技术文档。系统评估报告系统每日检查报告系统维护工作日志系统每周运行报告系统月度运行报告系统季度维护总结报告系统年度维护总结报告102 Ø原厂售后服务函（附后）102 附件八项目实施方案实行里程碑式的目标管理项目是由一个一个的活动、工作、任务组成的。当这些活动、工作、任务一一最终完成后，项目也就完成。这些活动、工作、任务就是我们的一个一个目标。里程碑式的目标管理的好处在于：a.对于整个工程划分出各个子任务。任务的完成作为一个里程碑，以利于工程的进度量化控制。b.各个里程碑的完成面向不同的专业面，由我公司调配最专业的技术人员进行具体的实施。里程碑式的目标管理能够对每个子任务进行质量控制，从而在根本上为整个工程的质量奠定良好的基础。c.每个里程碑均包含该任务完成的缓冲时间，以保证进度计划的可行性。实现任务的并行性，加快工程的总进度。d.减少系统实施过程中的磨擦，避免对工程实施造成不良影响。有效的“群体项目”监控一个大型项目要划分成若干子项目，以及子子项目。为了实现分级管理，通常按工作分解结构进行分解。或是从上向下分解，先粗后细进行设计；或是从底向上，先制定各子项目计划，再逐级向上集成，最后形成整个大系统。无论采用哪种方式，都要求项目管理具有同时处理多个项目的能力，我们称之为处理“群体项目”能力。对项目风险进行有效管理本系统具有以下特点：a.技术难度较大，既要有大型集成项目管理方法，又要有先进性；b.工程项目投资较大、工期紧。这是一个典型的工期紧的重大工程项目。对重大工程项目进行风险管理就是设法降低风险发生的可能性并减少风险对项目产生的不良影响，它可分为五步：102 c.识别项目中潜在的风险源。d.分析各风险对项目的影响，并选出对项目有重大影响的那些风险以便进一步分析。e.综合评价这些重大风险对项目的总体影响。f.制定并实施控制风险的计划。g.确定降低风险发生的可能性并减少其不良影响的方法。在项目开始前，项目风险管理人员就应制订项目风险管理计划，并在项目进行的过程中，实行目标管理，进行有效的指挥和协调。项目风险管理实质上是整个组织全体成员的共同任务，没有大广大群众的参与，是无法实现目标的，因此，实行风险目标管理要求自上而下层层展开，又要求自下而上层层保证风险管理目标的实现。在管理实践过程中要积极发挥执行者的作用，开发他们的潜在积极性和能力。项目风险管理计划并没有固定的模式，风险管理应根据项目的具体情况自由构思这个计划。在为项目中，我们将与用户单位的各级领导和专家充分合作，从如下几方面来指导制订项目风险管理计划，预防项目过程中可能出现的风险，并对以出现的风险进行有效控制。a.项目提要。主要包括项目的目标、总要求、关键功能、应达到的使用特性、应达到的技术特性、总体进度、应遵守的有关业务规则等。b.项目风险管理途径。主要包括与项目有关的技术风险、经济风险、自然风险、社会风险等的确切定义、特性、判定方法以及对处在这些项目风险的合适方法的综述。c.项目风险管理实施的准备。包括对项目风险进行定性预测与识别、定量分析与评估的具体程序与过程，以及处置这些项目风险的具体措施，并做好项目风险预算的编制。d.对项目风险管理过程进行总结。并记录有关资料、信息的来源，以备查证。对周期很长的重大工程项目，在制订风险管理计划时，还应有短期与长期之分，短期计划主要是针对项目的现状而制订，而长期计划则具有战略性，是围绕风险回避、风险控制、风险转移、风险自留等而作的综合性行动预定。e.此外，在制定项目风险管理计划时，还应注意与其它相关计划的协调关系。如工程项目管理计划、综合后勤保障计划等。f.在制订了项目风险管理计划后，便要在项目运行过程中予以实施，具体实施过程中，应对实施情况进行跟踪监测，作好信息反馈。只有这样，才能及时调整风险管理计划，以适应不断变化的新情况，从而有效地管理项目风险。102 采用专业项目管理制度项目管理能处理需要跨领域、跨专业解决方案的复杂问题，并能实现更高的运营效率。来自不同职能部门、不同背景的成员因为这一项目而组成团队，这个团队因而具有广泛领域的知识—不仅仅是技术知识，而且对医疗、社保行业和计算机专业知识、预算、客户关系、合约以及后勤部门等都有深入了解。项目管理是一种弹性的规律方式，需要时将专家和技术人员召集到团队，任务完成后他们又回到各自的职能部门。与传统的管理模式不同，项目运作不是通过等级命令体系来实施的，而是通过“平面化”的结构。其最终的目的是使企业或机构能够按时地在预算范围内实现其目标。项目管理人员应具备的基本能力：a.范围管理：善于着眼于“大画面”的事物，例如项目的生命周期、工作分工结构的开发、管理流程变动的实施等。b.时间管理：要求有规划技巧。有效的项目管理人员应该知道当项目出现偏离规划时，如何让它重回规划。c.成本管理：项目管理人员具备经营技巧，处理诸如成本估计、计划预算、成本控制、资本预算以及基本财务结算等事务。d.人力资源管理：着重于对组内人员的管理能力，包括冲突的处理、对职员工作动力的促进、高效率的组织结构规划，团队工作和团队形成以及人际关系技巧。e.风险管理：管理人员在信息不完备的情况下灵活作决定的能力。风险管理模式通常由三个步骤组成：风险确定、风险冲击分析以及风险应对计划。f.质量管理：项目管理人员熟悉基本的质量管理技术，例如制作和说明质量控制图，尽力达到零缺陷等。g.合同管理：项目管理人员掌握较强的合同管理技巧。例如应能理解定价合同相对于“成本附加”合同所隐含的风险。他们应了解签约中关键的法律原则。h.交流管理：项目管理人员能与公司的经理、客户、厂商及项目组成员进行有效的交流。在项目管理之下，将根据软件系统、网络等技术方向进行分工，明确技术负责和技术分工，同时各个技术方向在统一的工程管理下，根据整个工程的进展情况进行密切协作和密切配合。项目经理负责制定阶段性目标，并定期总结工程情况，确保工程按质保量完成。我公司有专门的项目管理部，严格按照ISO9001标准要求，依据项目实施计划制订相应的质量保证计划，监督工程进度完成情况，负责在工程实施的各个环节进行有效的监督和质量管理。102 实行ISO9001质保体系ISO9001是ISO9000族标准中的一个很重要的质量保证标准，也是推行质量认证工作的一个基础标准。ISO9001共有20个质量要素，ISO9002和ISO9003为ISO9001的子集。ISO9001包括设计、开发、生产、安装和服务，ISO9002包括生产、安装和服务，ISO9003只包括最终检验和试验。ISO9000族标准具有以下的特点：a.国际性。现已被100多个国家和地区采用为国家标准，我国是其中之一。b.完整性和兼容性。整个标准是相互联系的统一的整体，其中ISO9001标准的内容最为全面。c.主动性。建立质量体系是出于自身提高机构内部质量管理水平的需要，或出于满足顾客的要求，是主动行为。d.可信性。质量认证是在全面、系统、公正的情况下进行的，由第三方认证，具有相当的说服力。质量手册（层次A）程序文件（层次B）第三层次文件（层次C）质量计划质量体系文件结构图e.实践性。标准文本不是空洞的条文，对于质量改进工作，均可借以指导具体的实践和操作，是与实际工作密切结合的；标准本身也是基于大量的质量管理实践而得来的。质量体系从公司的领导和管理职责开始，明确公司的质量方针和质量目标，规定与质量有关的各类人员职责，以及对各个开发环节建立起一套切实可生的管理规程。从公司的最高领导到第一线程序员都要无一例外地严格遵守执行，不仅如此，还要按规定作出相关的记录，随时准备接受审查和评审。这样就使我公司的管理活动作到了有章可循，有案（记录）可查。我们的质量体系文件包括：◆质量手册总体阐述公司质量方针，描述质量体系的原则性文件，是公司质量活动必须遵守的最高法规，由公司总经理批准发布。◆程序文件《质量手册》的支持性文件，规定某项质量体系要素或某类质量活动的实施和控制方法及所涉及的部门和人员。102 ◆质量手册总体阐述公司质量方针，描述质量体系的原则性文件，是公司质量活动必须遵守的最高法规，由公司总经理批准发布。◆程序文件《质量手册》的支持性文件，规定某项质量体系要素或某类质量活动的实施和控制方法及所涉及的部门和人员。在此项目工程中，我们将全面贯彻ISO9001质量体系。在项目的开始和工程中每个阶段与甲方的项目人员一起，讨论并确定工程的总体质量目标和各阶段（里程碑）的质量目标，依据ISO9001质量体系的要求制订详细的质量保证计划，由专业项目管理人员进行有效的监控管理，保证系统顺利建设，达到预期目标。文档管理贯穿全过程文档的规范管理是工程规范管理的基础也是ISO9001质量体系的要求。从工程的开始、实施到验收阶段的各个步骤，都形成相应的文档资料，做到每件事情都有书面依据，保证工作效率，更方便了系统维护。建立专门的组织对各类文档实施整理、编写和管理，既建立印刷文档，又建立专用的电子化工程文档。项目组织结构在工程目的和工程内容确定之后，工程如何组织、如何实施、如何管理，这都将对工程的顺利进行、工程的质量保证起到至关重要的作用。附件九培训计划产品运行好坏往往与用户具备的操作和维护能力紧密相关，凡是用户能熟练进行操作和维护的系统，往往能长期可靠运行而很少出现故障，反之则会隔三差五地出现问题。从这个意义来说，技术支持及培训做到位，无异于增加了产品的可靠性，这是使用者和供货者共同的心愿。XXXX公司深知对产品的使用人员进行培训的重要性，只有经过良好培训的用户才可以减少重复操作，提高使用率。因此，我们此次项目设计了一个专门的培训计划,并提供培训资料来培训不同层次的系统用户，使他们能够高效率低成本地完成工作。102 9.1.培训对象为保证本次项目的顺利实施和日后能被有效的使用，本次主要的培训对象为北京XXXX学院图书馆该项目设备使用老师。9.2.培训目的保证使用者掌握机房维护的基本方法,对机房各种设备有全面的了解学会设备的使用方法,熟悉日常维护工作，能对设备报警显示出的故障做出判断，有能力处理一般性问题，学会安装服务器操作系统,并消除系统因使用或操作不当而引起的故障，减少突发故障的发生。9.3.培训内容我公司将提供产品的全部详细技术资料，为用户安装调试后，根据用户的时间安排，组织设备的使用者及相关人员进行统一的专业培训，并提供成文的培训教材供用户参考。培训内容分为三部份：1）产品硬件认知A：产品的品牌型号配置B：主要设备功能介绍C：产品的安装方法和注意事项D：设备连接方式及连接原理E:设备的使用方法等2）产品软件操作A：操作系统的安装B：系统的操作步骤C：系统的操作规范D：系统的操作注意事项E：实际操作实习3）系统维护102 A：机房设备日常维护及注意事项B：机房设备报警故障诊断与处理C：维护重点、难点介绍D：设备报修方式9.4.培训方式9.4.1现场培训我们将委派专业培训讲师配合设备调试工程师在项目实施工所在地对使用者进行现场培训，此项培训进程依托验收进程，验收的同时进行现场培训。9.4.2集中培训在整个项目实施验收完毕后，我们将选择合适地点进行集中培训，对需要接受使用培训的使用者进行第二次培训，此次培训依旧完全免费。培训课程表课程介绍课程名称产品硬件认知培训软件操作培训系统维护培训培训内容1、设备型号配置2、设备功能介绍3、设备安装方法4、设备连接方式及连接原理5、设备的使用方法等1、软件的安装2、软件的操作步骤3、软件的操作规范4、软件操作的注意事项5、软件操作实习1、设备日常维护及注意事项2、设备报警故障诊断与处理3、维护重点、难点介绍4、系统报修方式介绍培训地点用户指定用户指定用户指定培训方式集中培训，现场讲解培训、操作培训相结合集中培训、现场讲解培训、操作培训相结合集中培训，现场讲解培训、操作培训相结合培训时间4课时2课时4课时培训费用免费免费免费102 6.培训资料的递交1）递交设备使用注意事项说明书2）递交培训文档3）递交常见情况处理意见书4）递交售后人员联系方式5）以上资料包含打印及电子文件各一份102 附件十相关业绩证明文件（业绩复印件附后）102'