校园网无线覆盖项目解决方案

/校园网无线覆盖解决方案怀教网络技术服务有限公司20014年1月目录一.概述4二.无线局域网的特点及应用环境51.有线局域网已成为移动办公的束缚52.无线局域网的特点53.无线局域网应用的环境6三.无线局域网技术介绍71.无线网络标准72.IEEE802.11b标准81>802.11b传输技术92>802.11b技术特点103>802.11b网络安全机制114>802.11b网络协议11标准11标准11标准121>802.11n技术的先进性122>802.11n的优越性126.常见的无线局域网拓扑结构131>Ad-Hoc模式132>Infrastructure模式137.无线局域网的漫游14四.校园无线局域网组网设计151.设计目标151>建设目的152>在校园网有线网络上构建WLAN系统153>建设范围152.无线局域网设计原则163.校园无线局域网设计整体架构171>一体化有线/无线解决方案特点182>校园网室内无线覆盖网络拓朴及说明214.室外无线局域网设计221>AP220-H室外专用无线产品特点222>室外无线覆盖网络拓朴及说明223>信道的规划23五.无线局域网的安全251.无线局域网安全概述252.无线网络需要解决的三个安全问题253.无线网络的安全措施251>SSID服务识别码252>有线等价加密<WEP>263>IEEE802.1X264>WPA<Wi-FiProtectedAccess>285>MAC地址过滤296>无线客户端隔离功能29六.常见无线局域网问题解答30七.产品简介311.RG-S2924&AP220-E/AP220-H&AC5302&SMP311>RG-S2924352>AP220-E383>AP220-H422.AC530247概述在"科教兴国"的政策的指引下.教育信息化建设得到了迅猛的发展。在近两年.各学校、教育机关和相关机构的网络建设进入新一轮发展高潮.各大中小学校陆续建设起符合当今教学要求的校园网络。在相对发达地区.不少学校甚至对已建立校园网络进行改造升级。随着发展.新的应用需求也层出不穷.对网络建设、改造有了更高的需求：个人数据通信的发展.功能强大的便携式数据终端以及多媒体终端得到了广泛的应用。为了实现使用户能够在任何时间、任何地点均能实现数据通信的目标.要求传统的计算机网络由有线向无线、由固定向移动、由单一业务向多媒体发展。无线时代正在来临.这意味着可以在任何便于工作的地方.在教室、实验室、图书馆、办公室、餐厅、会议室以及在室外.都能享受工作和学习的自由和灵活性。无线局域网具有的高灵活性和可靠性正在成为每个学校根本的、必备的合作工具。无线局域网是计算机网络与无线通信技术相结合的产物.它提供了使用无线多址信道的一种有效方法来支持计算机之间的通信.并为通信的移动化、个人化和多媒体化应用提供了潜在的手段。在互联网高速发展的今天.无线局域网将是未来发展的趋势.必将最终代替传统的有线网络。随着社会对计算机依赖性的迅速增加.用户要求互连的计算机数量更多.类型也更为复杂。现代电子技术的发展.使人们可以根据不同的要求选择不同的网络方案.但传统有线网络由于受设计或环境条件的制约.在物理、逻辑和资金方面普遍存在着一系列问题.特别是当涉及到网络移动和重新布局时。所以发展一种可行的无线通信网络技术作为现有数据连接的扩充已成为一种需要。进入90年代以来.随着个人数据通信的发展.功能强大的便携式数据终端以及多媒体终端得到了广泛的应用。为了实现使用户能够在任何时间、任何地点均能实现数据通信的目标.要求传统的计算机网络由有线向无线、由固定向移动、由单一业务向多媒体发展.因此更进一步的推动了无线局域网〔WirelessLAN.简称WLAN的发展。无线局域网有了突破性的进展是在IEEE802.11标准颁布以后.它的制定是无线网络技术发展的一个里程碑。802.11标准除了体现了无线局域网的优点和各种不同的性能以外.还使得各种不同厂商的无线产品得以兼容.从而促进了无线局域网的全面发展.结束了多种标准共存的混乱局面。目前.802.11b标准已是最成熟的无线应用的标准.并且也是无线局域网当中应用最多协议标准.已经得到了无线移动环境的广泛接受.在未来的无线技术发展的过程中802.11g和802.11a标准将以更高的性能推动无线局域网WLAN的发展。伴随着校园信息化水平的提高.学校的老师和学生对随时随地接入网络进行教学和科研的需求越来越普遍；与此同时.无线技术迅速发展.WLAN已经由最初只支持11Mbps速率的802.11b标准发展到支持54Mbps速率的802.11a和802.11g标准.目前支持300Mbps速率的802.11n产品也正在逐步标准化；无线终端日渐普及.伴随着笔记本电脑的普及.无线网卡成为笔记本电脑的标准配置之一；WLAN技术和学校需求相结合.推动了无线校园网技术的发展.根据权威机构调查.目前国内超过75%的985高校已经规模建设无线校园网.超过30%普通高校也已经完成无线校园网的规模部署。无线局域网的特点及应用环境有线局域网已成为移动办公的束缚随着Internet的高速发展.局域网也越来越普及.不仅公司、企业、事业单位建立了局域网.许多办公室、家庭里面的小型局域网也纷纷的出现。这种局域网一般都是需要综合布线的有线网络.它的出现解决了人们网络联通的问题.大大提高了办公效率.并且数据传输速率也日趋加快.但同时也存在着许多问题。有线局域网大多将基础布线和设备隐蔽在墙壁之内或者埋在地下.因此综合布线将是非常令人头痛的事情。设计线路的走向、开挖布线槽、敷设线路、调试……等等.既耗费人力财力又浪费大量时间。不但如此.布线之后的线路维护、线路监测等事情更是费时费力。而且.这种传统的有线网络不能摆脱线路的束缚.不能根据实际情况随意的改变网络的结构.更不能实现现代化移动办公的需要.也就不能进一步提高网络办公的工作效率。无线局域网的特点无线局域网的出现使有线网络所遇到的问题迎刃而解.它可以使用户任意对有线网络进行扩展和延伸。只是在有线网络的基础上通过无线接入器、无线交换机、无线网卡、无线控制器等无线设备使无线通信得以实现。在不进行传统的布线的同时.提供有线局域网的所有功能.并能够随着用户的需要随意的更改扩展网络.实现移动应用。在园区无线局域网内可以使用一个或几个无线交换机来管理大量的AP或者用于混合有线/无线局域网。当AP的增加时.就可增加无线交换机而形成一个大型的集中管理系统。由于扩展简便.支持下一代高速AP的千兆速率和支持企业范围内网间漫游的三层路由.无线交换机提供一个架构.简化并且一体化了一个特别复杂的WLAN环境.轻松的为将来的技术升级准备了一个现有的网络。无线局域网具有传统有线网络无法比拟的特点：灵活性.不受线缆的限制.可以随意增加和配置工作站；低成本.无线局域网不再需要大量的工程布线.同时节省了线路维护的费用；移动性.不受时间、空间的限制.用户可在网络中漫游；易安装.对于有线网络来说.无线局域网的组建、配置和维护更为容易。而且.通信范围不受环境条件的限制.网络传输覆盖范围大大的拓展.室外可以传输几百米、室内可以传输数十、几百米。在网络数据传输方面也有与有线网络等效的安全加密措施。无线局域网应用的环境所有这些无线局域网的特点使其可以广泛使用在以下的领域：移动办公的环境：大型企业、医院等移动工作的人员应用的环境；难以布线的环境：历史建筑、校园、工厂车间、城市建筑群、大型的仓库等不能布线或者难于布线的环境；频繁变化的环境：活动的办公室、零售商店、售票点、医院、以及野外勘测、试验、军事、公安和银行金融等.以及流动办公、网络结构经常变化或者临时组建的局域网；特殊项目的局域网：航空公司、机场、货运公司、码头、展览和交易会等；小型网络用户：办公室、家庭办公室〔SOHO用户；无线局域网技术介绍无线网络标准IEEE802.11标准IEEE802.11标准是无线局域网的标准之一.是无线领域目前最为成熟的网络标准。该标准定义了OSI七层模型中的物理层〔PHY和媒体访问控制层〔MAC的协议规范.其中MAC层是重点。它的制定使得各厂商之间的无线产品在物理层上实现互操作.而逻辑链路层〔LLC是一致的.即MAC层以下对网络应用是透明的。在MAC层以下.802.11规定了三种发送及接收技术：扩频<SpreadSpectrum>技术；红外<Infared>技术；窄带<NarrowBand>技术。扩频技术又分为直接序列<DirectSequence,DS>扩频技术和跳频<FrequencyHopping,FH>扩频技术。20XX8月.802.11标准得到了进一步的修订和完善.并成为IEEE/ANSI和ISO/IEC的一个联合标准。此次修订的内容包括用一个基于SNMP的MIB来取代原来基于OSI协议的MIB。另外还增加了两项新的内容：802.11a——它扩充了802.11物理层.规定该层使用5GHz的频带.采用正交频分复用〔OFDM调制数据.传输速率范围为6Mbps～54Mbps.这样的速率既能满足室内的应用.也能满足室外的无线应用。802.11b——它是802.11标准的另一个补充.规定使用2.4GHz的频带.采用补偿码键控〔CCK的调制方法。传输速率可以在11Mbps、5.5Mbps、2Mbps、1Mbps之间自动的调整。它是目前应用最广泛的无线局域网协议.得到了世界各大无线产品厂商的广泛支持。HiperLAN2标准HiperLAN2是欧洲电信标准协会〔ETSI正在开发的无线网络标准.它跟802.11a标准物理层相似.同样工作在5Ghz的频带.采用正交频分复用〔OFDM调制方法。他支持高达54Mbps的传输速率。它的特点是：高速传输、面向连接、支持QoS、自动频率配置、支持小区切换、安全保密、网络与应用无关。HiperLAN标准定义了许多支持无线网络功能的信令和测量方法.包括动态频率选择、无线小区切换、链路适配、多波束天线和功率控制等。HiperLAN2标准是对目前无线接入系统的补充.与其它蜂窝系统比较.它的户外移动性虽然受到限制.但适用面广.可在典型的应用环境如办公室、家庭、展览厅、机场、火车站等热点地区.向终端用户提供高速数据传输。HomeRF标准HomeRF是由家庭无线联网业界团体制定的标准.是专门为家庭用户设计的。世界上有80多家公司支持HomeRF标准。HomeRF工作在2.4GHz的频带.采用跳频的扩频技术.通过家庭中的一台主机在移动设备之间实现通信.既可以通过时分复用支持语音通信.又能通过载波监听多路访问/冲突避免协议提供数据通信服务。同时.HomeRF提供了与TCP/IP良好的集成.支持广播、多播和48位IP地址。但目前HomeRF的传输速率仅为2Mbps。Bluetooth标准Bluetooth.蓝牙技术是1995年爱立信首先提出的概念。是由爱立信、IBM、英特尔、诺基亚、东芝等5家公司联合制定的近距离无线通讯的技术标准。它工作在2.4GHz频带.传输速率为1Mbps.是一种无线数据与语音通信的开放性标准。它以低成本的近距离无线连接为基础.为固定与移动设备通信环境建立一个特别连接.使得近距离内各种信息设备能够实现无缝的资源共享。它的主要优点是：可以随时随地用无线接口来代替有线电缆连接；具有很强的可移植性.可应用于多种通信场合.如WAP、GSM、DECT等.引入了身份识别以后可以灵活实现漫游；功耗低.对人体危害小；集成电路应用简单.成本低廉.实现容易.易于推广。将来肯定会广泛的应用到通信电器设备中。IEEE802.11b标准起先.无线局域网由于传输速率低、成本高、产品系列有限、不同厂家产品不兼容等问题.致使发展缓慢.802.11标准的出现推动了无线网络的发展.但是由于传输速率只有1~2Mbps.仍不能得到广泛的推广应用。802.11b标准的颁布给无线局域网带来了新的发展商机.它最高11Mbps的传输速率从根本上改变了无线局域网的设计和应用现状.满足了人们在一定区域内实现不间断移动办公的要求.逐渐成为全世界普遍接受的无线局域网标准.扩大了无线局域网的应用领域。802.l1b标准工作在2.4GHz的频带.采用补偿码键控〔CCK的调制技术,传输速率最高可达到11Mbps。802.l1b对无线局域网的最大贡献就是根据无线通信状况的变化支持物理层传输速率的动态速率的漂移.可以在11Mbps、5.5Mbps、2Mbps、1Mbps之间动态的速率调整。在MAC层.提供了CSMA/CA载波侦听多路访问/冲突避免技术.从而大大减小了网络上信号冲突发生的概率.大副的提高了网络效率。并且802.11b提供了访问控制和40bit/128bitWEP加密机制。802.11b传输技术直接序列扩频技术〔DSSS.DirectSequenceSpreadSpectrum直接序列扩频技术原理DSSS是扩频技术的一种.802.11b标准就采用这种传输技术.它工作在ISM2.4GHz频段内.是直接利用具有高码率的扩频码系列采用各种调制方式在发端与扩展信号的频谱.而在接收端.用相同的扩频码序去进行解码.把展宽的扩频信号还原成原始的信息。它是一种数字调制方法.具体说.就是将信源与一定的PN码〔伪噪声码进行摸二加。例如:代替.而将"0"用00110010110去代替.这个过程就实现了扩频；而在接收端、是00110010110就恢复成"0".这就是解扩。这样信源速率就被提高了11倍.同时也使处理增益达到10dB以上.从而有效地提高了整机信噪比。DSSS扩频通信技术特点：抗干扰性强抗干扰是扩频通信主要特性之一.因信号接收需要扩频编码进行相关解码处理才能得到.所以即使以同类型信号进行干扰.在不知道信号的扩频码的情况下.由于不同扩频编码之间的不同的相关性.干扰也不起作用。正因为扩频技术抗干扰性强.美国军方在海湾战争等处广泛采用扩频技术的无线网桥来连接分布在不同区域的计算机网络。隐蔽性和保密性好因为信号在很宽的频带上被扩展.单位带宽上的功率很小.即信号功率谱密度很低.信号淹没在白噪声之中.别人难以发现信号的存在.加之不知扩频编码.很难拾取有用信号.而极低的功率谱密度.也很少对于其它电信设备构成干扰。易于实现码分多址〔CDMA直接扩频通信占用宽带频谱资源通信.改善了抗干扰能力.提高了频带的利用率。充分利用不同码型的扩频编码之间的相关特性.分配给不同用户不同的扩频编码.可以区别不同的用户的信号.从而实现了频率复用。发送者可用不同的扩频编码.分别向不同的接收者发送数据；同样.接收者用不同的扩频编码.就可以收到不同的发送者送来的数据.实现了多址通信。抗多径干扰无线通信中由于电波反射、折射所形成的多径干扰一直是难以解决的问题.利用扩频编码之间的相关特性.在接收端可以用相关技术从多径信号中提取分离出最强的有用信号.也可把多个路径来的同一码序列的波形相加使之得到加强.从而达到有效的抗多径干扰。直序扩频通信速率高直序扩频通信速率可达2Mbps.5.5Mbps.11Mbps.无须申请频率资源.建网简单.网络性能好。802.11b技术特点可靠的通信抗干扰和抗多径干扰能力强.能够高速的、高质量的传输数据。低成本节省了网络综合布线高额费用、节省租用线路月租费和线路的维护费用。灵活性无线缆限制.可任意增加和配置工作站。移动性允许用户在任何时间、任何地点访问网络数据.可在无线网络覆盖的范围内自动漫游。高吞吐量可以实现11Mbps的数据传输速率.并可以在5.5Mbps、2Mbps、1Mbps之间自动速率调整。802.11b网络安全机制802.11b提供了MAC层的访问控制和加密机制.就是指的WEP〔等效有线加密.为无线局域网提供了与有线网络相同级别的安全保护。802.11b标准提供了可选的RSA40及128位的共享密钥RC4PRNG算法。802.11b网络协议CSMA/CA载波侦听多路访问/冲突避免技术为了尽量减少数据的传输碰撞和重试发送.防止各站点无序地争用信道.无线局域网中采用了与以太网CSMA/CD相类似的CSMA/CA〔载波侦听多路访问/冲突避免协议。CSMA/CA通信方式将时间域的划分与帧格式紧密联系起来.保证某一时刻只有一个站点发送.实现了网络的集中管理。因传输介质不同.CSMA/CD和CSMA/CA的检测方式也不同。CSMA/CD通过电缆中电压的变化来检测.当数据发生碰撞时.电缆中的电压就会随着发生变化；而CSMA/CA采用能量检测〔ED、载波检测〔CS和能量载波混合检测三中检测信道空闲的方式。RCT/CTSRCT/CTS协议即请求发送/允许发送协议.相当于一种握手协议.主要用来解决"隐藏终端"问题。IEEE802.11a标准和802.11b相比.IEEE802.11a在整个覆盖范围内提供了更高的速度.其速率高达54Mbps。它工作在5GHz频段.与802.11b一样采用CSMA／CA协议。物理层采用正交频分复用OFDM代替802.11b的DSSS来传输数据。IEEE802.11g标准为了解决IEEE802.11a与802.11b的产品因为频段与物理层调制方式不同而无法互通的问题.IEEE又在20XX11月批准了新的802.11g标准。802.11g既适应传统的802.11b标准.在2.4GHz频率下提供每秒11Mbps的传输速率；也符合802.11a标准.在5GHz频率下提供54Mbps的传输速率。802.11g中规定的调制方式包括802.11a中采用的OFDM与802.11b中采用的CCK。通过规定两种调制方式.既达到了用2.4GHz频段实现802.11a54Mbps的数据传送速度.也确保了与802.11b产品的兼容。IEEE802.11n标准802.11n是最新一代的无线传输标准协议.无论是无线信号的传输距离和无线数据的传输速度对比802.11a.802.11b.802.11g协议802.11n都有一个很大幅度的提升。随着802.11n新技术的发展.目前越来越多的笔记本无线都进入了11n时代.802.11n将成为市场的主流已毋庸置疑。802.11n技术的先进性新兴的802.11n在吞吐量上有比较大的突破.是下一代的无线网络技术的标准.提供了对于带宽敏感应用所需的速率、范围和可靠性等方面的保障。802.11n的优越性传输速率大幅提升802.11n可以将WLAN的传输速率由目前802.11g提供的54Mbps/108Mbps提高到300Mbps。即在理想状况下.802.11n将可使WLAN传输速率达到目前传输速率的10倍左右.拷贝需要30分钟时间的视频文件.在最高数据传输率上.用802.11b拷贝文件需要耗时42分钟。覆盖范围更大802.11n采用智分天线技术.通过多组独立天线组成的天线阵列系统.动态地调整波束的方向.802.11n保证让用户接收到稳定的信号.并减少其它噪音信号的干扰.覆盖范围提供出众的全家覆盖.消除死角.这使得原来需要多台11g设备的地方.只需要一台11n产品就可以了.不仅方便了使用.还减少了原来多台11g产品互联通时可能出现的信号盲点.移动性大大增强。全面兼容各标准802.11n采用软件无线电技术解决了不同标准采用不同的工作频段、不同的调制方式造成系统间难以互通、移动性差的问题.这样.不但保障了与以往的802.11a、11b、11g标准的兼容.而且还可以实现与无线广域网络的结合.极大的保护了用户的投资。常见的无线局域网拓扑结构无线局域网由无线网卡、无线接入点<AP>、计算机和有关设备组成.利用天线发送信息.而无线接入点则接收与发送信息.通过以太网线连接用户计算机和公共网络。通常采用单元结构.将整个系统分成许多单元.每个单元称为一个基本服务组<BasicServiceSet,BSS>.BSS的组成通常有以下两种形式：一种是Ad-Hoc模式.点对点的直接连接方式；一种是Infrastructure模式.通过接入点相连接的方式。Ad-Hoc模式Ad-Hoc模式Ad-Hoc模式是一种分布对等模式.它没有中枢链路基础结构.至少包括两个无线站点.可以是点对点也可以是点对多点.这种模式基本满足控制一个较小的区域。Ad-Hoc模式.如下图所示：Ad-Hoc模式Infrastructure模式Infrastructure模式Infrastructure模式是WLAN最典型的工作模式.无线客户端可以通过无线接入器AP<AccessPoint>接入以太网共享网络资源.多个AP分布在相邻的区域可实现无线客户端的移动漫游。如下图所示：Infrastructure模式无线局域网的漫游由于无线局域网传输距离的限制.因此若脱离其无线服务覆盖范围时通信便会中断.为解决此一问题须构建无缝的漫游连接。如下所示以802.11b为例以三个不重迭信道1、6、11为基础向外扩充.如此当无线网卡由信道11之覆盖区漫游至信道6之覆盖区时.便能自动切换至信道6之服务区而不中断联机。同理可再由信道6之覆盖区漫游至信道1之覆盖区。校园无线局域网组网设计设计目标建设目的校园网WLAN项目是建设数字化校园的重要组成部分之一.数字化校园是利用计算机技术、网络技术、通讯技术对学校与教学、科研、管理和生活服务有关的所有信息资源进行全面的数字化；并用科学规范的管理对这些信息资源进行整合和集成.以构成统一的用户管理、统一的资源管理和统一的权限控制；把学校建设成面向校园内.也面向社会的一个超越时间、超越空间的虚拟校园。在校园网有线网络上构建WLAN系统WLAN系统的基本构成主要包括接入点AP和接入控制器AC。结合网络情况和骨干网.以及全网集中的认证.为最终用户提供移动数据网的接入服务和相关业务服务。现有网络建设范围校园无线局域网的建设覆盖范围的确定.依据以下三条准则：有线网络无法接入的范围主要是指室外场所.包括体育场餐厅楼道。这些场所是很难实现有线接入网络的.采用无线的方式就可以实现大范围室外空间的覆盖.实现无线接入网络。有线网络使用不便或受限的室内空间主要是指各会议室、大教室、办公室、图书馆阅览室、大厅、体育馆等。这些地点空间较大.而且会有很多人同时接入网络的要求.这时采用有线的方式只能提供少量接口.不能满足该要求。在这种情况下.就非常适合用无线网络覆盖来解决.可以允许相当数量的移动设备同时访问网络。研究需要的范围由于该无线局域网同时要作为研究试验网.因此一定要覆盖到研究需要的范围。综上所述.校园网的无线应用范围如下：室内：利用室内型AP220-E为校园热点地区.如图书馆、餐厅等场所提供无线互联网接入；室内型AP应用于办公楼、教学楼、小型会议厅等场所提供无线办公网、互联网接入；室内型AP220-E还可应用于学生公寓.为学生提供无线校园网、互联网接入。室外：利用室外型无线AP220-H实现对校园分散的教学楼之间的操场等户外场所.为用户提供无线网络连接服务.利用室外型AP220-H对广场、操场以及室外休憩等场所的覆盖.提供校园网、互联网接入。无线局域网设计原则根据校园的实际情况.考虑用户需求、覆盖范围、用户密度、建筑结构、业务构成等各方面的需求.校园无线局域网建设的主要是作为校园有线网络的补充.利用无线网络技术进一步扩展对学校各个大楼和室外部分区域的覆盖范围.使全校师生在学校内部能够随时随地、方便高效地使用校园网络资源；促进教学和科研发展.进一步拓展研究空间；提升校园网络环境.提高管理水平和效率.推动学校信息化建设。因此.在设计网络方案时根据下列原则进行学校无线局域网的设计：侧重实际应用.覆盖范围要求覆盖学校内大部分区域.尤其是包括各会议室、办公室、图书资料室和大厅等教学楼、会议室和体育场场等有线网络不易覆盖的区域.为教学和学习生活提供切实可用的无线网络环境；采取通行的网络协议标准：目前无线局域网普遍采用802.11系列标准.因此校园无线局域网将主要支持802.11a/b/g/n标准以提供可供实际应用的相对稳定的网络通讯服务；全面的无线网络支撑系统.以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题；保证网络访问的安全性；安全、认证、管理要求。为了阻止非授权用户访问无线网络.以及防止对无线局域网数据流的非法侦听.无线网络要具有相应的安全手段.主要包括：物理地址〔MAC过滤、服务区标识符<SSID>匹配、有线等效保密〔WEP、二层隔离、WPA支持等。校园无线局域网设计整体架构校园无线局域网设计可以分为室内无线局域网及室外无线局域网二部分.室内室外无线网络都可以和校园的原有的有线网络组成一个整体.校园网原有的网络系统基本不需要改变.新增的无线局域网可以作为校园网络系统的一个补充.相辅相成。校园网络的无线接入层.我们建议室内覆盖使用星网锐捷公司的AP220-E的无线解决方案；室外覆盖采用室外专用有防雷防水设计的AP220-H作为校园网室外接入的补充。如上图示.包括无线局域网的校园网总体构包括三部分：原有校园有线网络：基本保持原状室外无线局域网：直接将室外专用AP连接校园有线网络室内无线局域网：采用瘦AP的部署方式便于管理维护和扩展室内无线局域网设计校园室内无线局域网通常无线接入场所和用户数较多.需要无线AP的数量也较多.对AP的管理、漫游、性能、可靠性要求较高.我们选择AP220-E一体化有线/无线解决方案.相应产品为无线交换机RG-S2924、无线瘦AP220-E。一体化有线/无线解决方案特点布署方式灵活AC5302集合了无线控制器功能.具有灵活的布署方式：POE交换机供电方式：集中采用AP连接到POE交换机统一供电.将有线网络和无线网络物理隔离.更有效的统一管理AP本地供电方式：利用现有的有线采用本地供电.好处是可以节约资源缺点是不便于维护和管理集中策略管理集中统一的AP配置管理、性能管理、安全管理、软件升级等；L2/L3快速漫游统一访问系统可以支持二层/三层漫游.用户在跨三层漫游时可以不用改变IP地址也不用重新做安全认证.可以IP通道的方式实现无缝的漫游.可以适用于要求非常苛刻的应用如VOIP等。三层漫游功能也是业界区分产品或解决方案级别的一个重要的标志。高性能统一访问系统具有业界领先的高性能.主要表现在以下几个方面：RG-2924全千兆接口.具有很高的交换性能；AP220-E/AP220-H支持IEEE802.11b/g标准.采用独特的硬件技术实现最高速率可达300MAP负载均衡：无线交换机会在所管辖的AP间实施负载均衡.以最好的提高无线性能；QOS：统一访问系统支持带宽控制等多种QOS措施以提高使用效能；RG2924使用全千兆接口.支持未来802.11n的更高速传输.可以更好地保护用户投资；支持POERG2924交换机支持802.3POE以太网供电功能.对无法在本地提供电源的AP布署点来说提供极大的方便；也可以对其它的设备如IP摄像头等进行供电.大大简化管理及安装工作。自动信道及功率调整自动信道调整功能：当有新的AP加入到网络或现有AP被移除时.能根据周围AP占用信道情况.自动选择非重叠信道.以提高无线传输效率；自动功率调整功能：使用独特的算法自动调整AP的发射功率.满足无线客户端的使用要求.而不会与其它AP互相干扰。无线网络自愈功能统一访问系统具有无线网络自愈功能.不仅能根据预先的设置周期性的检测周围相邻AP的信号状态实现AP的功率的自动调整.当AP断电或损坏时相邻的AP还可以自动增大发射功率以提高覆盖范围来替代出现故障的AP.尽可能减少对无线网络的影响。VAP支持AC5302支持802.1QVLAN功能.我们将不同的SSID与VLANVID进行映射.实现在同一个AP上将不同的SSID接入的PC自动划分到不同的VLAN功能.而不同的SSID可以使用不同的安全设置。无线AP可从独立管理型升级变为集中管理型无线AP可从独立管理型升级变为集中管理型这种方式可以节约用户重复投资成本.当网络规模小时可以采用AP220-E独立管理模式；当无线网络规模扩展到一定程度时.利用无线交换机对无线AP集中管理；当网络中的无线AP负载变大时.通过无线交换可以方便地增加无线AP。增强的安全功能非法AP管理功能：将搜索到不在交换机管理数据库的AP列为非法AP.通过了解非法AP的信息如MAC/SSID/Channel等让管理者更好的控制环境；无线的安全功能可管理的AP的MAC地址过滤无线客户端的MAC地址过滤WEP〔动态/静态WPA企业/个人WPA2企业/个人多SSID/802.1Q标记功能SSID广播关闭功能有线的安全功能ACL访问控制列表802.1XDOS控制功能基于端口安全校园网室内无线覆盖网络拓朴及说明无线交换机本地供电组网模式无线交换机本地供电组网模式适合于已有有线网络、无线AP布点较分散的校园网应用场所。本地供电组网模式的布署方式为将无线AP连接在已有的接入交换机上.将无线交换机置于机房或数据中心来执行中央控制功能实现远程对AP的控管.这种布署方式对原有有线网络可以做到网络结构的最少改动.保护用户原有网络的投资。无线交换机POE交换机供电组网模式无线交换机POE交换机供电组网模式适合于无线AP布点较多且较集中的校园网应用场所。POE交换机供电组网模式的布署方式为将无线AP直接连接在布放于网络机房的无线POE交换机.这种边缘接入的布署方式对无线AP的数量扩展具有很大容量扩展性.无线的运算效能也更高.且可以由无线交换机实现对AP的POE供电.全千兆交换机端口也可以满足未来向802.11n瘦AP升级换代的高速无线交换。室外无线局域网设计校园网的室外无线覆盖的解决方案主要应用于校园需要室外无线覆盖的场合.如学校的操场以及室外休憩纳凉场所、道路等室外热点地区.通过使用大功率室外型AP为用户提供园区网的访问及互联网的接入。我们推荐采用AP220-H室外型大功率多用途AP。AP220-H室外专用无线产品特点符合802.11g54M无线标准.兼容802.11b.还支持802.11a支持64/128/152位WEP及WPATKIP/PSK最新无线安全标准支持802.1x用户认证安全标准自适应无线速率选择1,2,5.5,6,9,11,12,18,24,36,48,54,300Mbps输出功率可调支持无线AP、WDS、WDSwithAP等工作方式支持802.3PoE以太网供电标准专为户外环境设计.具有防水防尘防雷等功能.适于各种恶劣环境室外无线覆盖网络拓朴及说明如图示.室外的无线覆盖可以将室外专用无线产品AP220-H布放于建筑物的顶部或边缘、室外立杆等处与有线网络连接在一起。这样.室外的无线用户在相应的无线覆盖区域就可方便地连接到园区网或因特网.给用户提供极大的方便。室外覆盖组成：室外型大功率AP增益天线应用场景：通过室外信号覆盖室内.兼顾室外覆盖适用场景：室外信号覆盖需求的地方；无法建设WLAN信号室内覆盖的地方；需要快速实现WLAN信号覆盖的地方室外AP布署的频率规划信道的规划802.11b/g/a使用开放的2.4GHzISM频段.可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠.对于真正相互不重叠信道只有相隔5个信道的工作中心频点。因此对于802.11g在2.4GHz工作频段.理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。因此我们设计的室外无线AP的覆盖频率采用1、7、13这三个频道对无线网络覆盖区域提供无线信号.配合无线发射功率的调整等措施来减少同频干扰从而实现较理想的覆盖效果.各个无线信道分布范围如下图所示：无线局域网的安全无线局域网安全概述无线网络的架设与规划已为近来非常热门的话题.无线网络相关产品越来越成熟.而价格方面也非常地有吸引力.所以现在无线网络的应用.在大多数的学校、机关单位、企业都可以看到。但是.无线网络的方便性也带来了无线网络的安全问题："无线"网络.顾名思义就是利用"空气<空间>"取代"网络线"来传递数据.无线网络使用者只要在无线电波的涵盖范围内.就可以如同已往使用网络线来连上网络一样方便；换句话说."任何人"在"电波范围内<可能是不同层楼或停车场>"也一样可以使用"企业内部网络"了！而且"任何人"也可以很方便的"看到""其它人"在传输的数据。从另一个角度来看.会不会有人私自把AP接上现有的网络上.自己"创造"一个私人的无线网络环境呢？无线网络需要解决的三个安全问题为了安全地使用无线网络.我们需要解决以下与无线网络安全相关的三个问题：确定无线网络的使用者是被允许的<认证使用者>；数据传输时需要保密<加密>；防止非法无线网络基地台连上网络。无线网络的安全措施现在的无线网络在安全方面具有多种技术.我们可以根据具体需求灵活实施一种或多种安全技术来实现无线网络的安全要求.以下逐一介绍无线网络的各种安全技术：SSID服务识别码SSID<服务识别码>是一个可供设定的字符串.用来区分不同的无线网络区域.设定正确SSID的使用者才可以跟无线网络基地台<WirelessAccessPoint>通讯。锐捷网络所提供的AP/网桥产品均支持SSID广播的开启和关闭功能.若关闭SSID广播.无线客户端若不知道SSID<服务识别码>内容则无法联入无线网络.从而增加了网络的安全性。锐捷无线产品还支持多SSID功能.并且能把SSID与802.1QVLAN的VID进行捆绑.从而实现802.1QVLAN的安全性。有线等价加密<WEP>由于无线局域网的特性.保护对网络的物理访问比较困难。与需要物理连接的有线网络不同.无线AP范围内的任何人都可以为所欲为地发送和接收帧以及侦听发送的其他帧.这使得无线局域网帧很容易被窃听和远程探查。有线对等保密<WEP>由IEEE802.11标准定义.旨在提供与有线网络等效的数据机密性。WEP通过加密无线节点之间发送的数据来提供数据机密性服务。在802.11帧的MAC标头中设置WEP标志即表示对802.11帧进行了WEP加密。WEP通过在无线帧的加密部分包括完整性校验值<ICV>来提供随机错误的数据完整性。IEEE802.1XIEEE802.1X标准定义了基于端口的网络访问控制.用于为以太网提供经过身份验证的网络访问。这种基于端口的网络访问控制使用交换式局域网基础结构的物理特性对连接到局域网端口的设备进行身份验证。如果身份验证过程失败.则拒绝它们访问该端口。尽管此标准是为有线以太网设计的.不过它已经得到了修改.可以在802.11无线局域网上使用。IEEE802.1X定义了以下术语：端口访问实体、身份验证者、申请者、身份验证服务器等。下图显示了无线局域网的这些组件。端口访问实体局域网端口又称端口访问实体<PAE>.是支持与端口关联的IEEE802.1X协议的逻辑实体。PAE可以是身份验证者角色、申请者角色或者同时是这两种角色。身份验证者身份验证者是一个局域网端口.该端口在允许访问可通过此端口访问的服务前强制执行身份验证。对于无线连接.身份验证者是无线AP上的逻辑局域网端口.基础结构模式中的无线客户端通过此端口获得对其他无线客户端和有线网络的访问。申请者申请者也是一个局域网端口.此端口请求访问可通过身份验证者访问的服务。对于无线连接.申请者是无线局域网适配器上的逻辑局域网端口.该端口通过将自身与身份验证者关联并向身份验证者验证它自身来请求对其他无线客户端和有线网络的访问。无论对于无线连接还是有线以太网连接.申请者和身份验证者都通过逻辑或物理的点到点局域网段进行连接。身份验证服务器为验证申请者的凭据.身份验证者使用了身份验证服务器。身份验证服务器代表身份验证者检查申请者的凭据.然后对身份验证者做出响应.指示是否授权申请者访问身份验证者的服务。受控端口和非受控端口身份验证者基于端口的访问控制定义了以下不同类型的逻辑端口.这些端口通过单个物理局域网端口访问有线局域网：非受控端口非受控端口允许身份验证者〔无线AP与有线网络上的其他联网设备之间进行不受控制的交换.无论无线客户端的授权状态如何。无线客户端发送的帧从不使用非受控端口发送。受控端口只有在无线客户端得到802.1X的授权时.受控端口才允许在无线客户端和有线网络之间发送数据。在进行身份验证之前.交换机打开.并且无线客户端和有线网络之间不会转发任何帧。在使用IEEE802.1X成功验证无线客户端后.交换机关闭.并且可以在无线客户端和有线网络上的节点之间发送帧在执行身份验证的以太网交换机上.身份验证一旦完成.有线以太网客户端就可以将以太网帧发送到有线网络。交换机使用以太网客户端连接到的物理端口来识别特定有线以太网客户端的通信。通常.以太网交换机上的一个物理端口仅连接一个以太网客户端。由于多个无线客户端竞相访问同一信道并使用同一信道发送数据.因此需要扩展基本IEEE802.1X协议.以使无线AP能够识别特定无线客户端的安全通信。这由无线客户端和无线AP通过相互确定每客户端单播会话密钥来完成。只有经过身份验证的无线客户端知道它们的每客户端单播会话密钥。如果成功的身份验证未能关联有效的单播会话密钥.无线AP将丢弃从无线客户端发送的通信。为了对IEEE802.1X提供一个标准的身份验证机制.我们选择了可扩展身份验证协议<EAP>。EAP是一个基于点对点协议<PPP>的身份验证机制.它已经得到了修改.可在点对点局域网段上使用。EAP消息通常作为PPP帧的有效负载发送。为了修改EAP消息使其能够通过以太网或无线局域网段发送.IEEE802.1X标准定义了EAPoverLAN<EAPOL>.这是封装EAP消息的一种标准方法。目前友讯网络所提供的全线WLAN产品均支持802.1X身份验证标准。WPA<Wi-FiProtectedAccess>WPA包含了认证、加密和数据完整性校验三个组成部分.是一个完整的安全性方案。WPA的认证分为两种。第一种采用802.1x+EAP的方式.用户提供认证所需的凭证.如用户名密码.通过特定的用户认证服务器〔一般是RADIUS服务器来实现。在大型企业网络中.通常采用这种方式。但是对于一些中小型的企业网络或者家庭用户.架设一台专用的认证服务器未免代价过于昂贵.维护也很复杂.因此WPA也提供一种简化的模式.它不需要专门的认证服务器。这种模式叫做WPA预共享密钥<WPA-PSK>.仅要求在每个WLAN节点<AP、无线路由器、网卡等>预先输入一个密钥即可实现。只要密钥吻合.客户就可以获得WLAN的访问权。WPA采用TKIP为加密引入了新的机制.它使用一种密钥构架和管理方法.通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24位增加到48位等方法增强安全性。而且.TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后.使用802.1x产生一个唯一的主密钥处理会话。然后.TKIP把这个密钥通过安全通道分发到AP和客户端.并建立起一个密钥构架和管理系统.使用主密钥为用户会话动态产生一个唯一的数据加密密钥.来加密每一个无线通讯数据报文。TKIP的密钥构架使WEP静态单一的密钥变成了500万亿个可用密钥。虽然WPA采用的还是和WEP一样的RC4加密算法.但其动态密钥的特性很难被攻破。消息完整性校验<MIC>.是为了防止攻击者从中间截获数据报文、篡改后重发而设置的。除了和802.11一样继续保留对每个数据分段<MPDU>进行CRC校验外.WPA为802.11的每个数据分组<MSDU>都增加了一个8个字节的消息完整性校验值.这和802.11对每个数据分段<MPDU>进行ICV校验的目的不同。ICV的目的是为了保证数据在传输途中不会因为噪声等物理因素导致报文出错.因此采用相对简单高效的CRC算法.但是黑客可以通过修改ICV值来使之和被篡改过的报文相吻合.可以说没有任何安全的功能。而WPA中的MIC则是为了防止黑客的篡改而定制的.它采用Michael算法.具有很高的安全特性。当MIC发生错误的时候.数据很可能已经被篡改.系统很可能正在受到攻击。此时.WPA还会采取一系列的对策.比如立刻更换组密钥、暂停活动60秒等.来阻止黑客的攻击。友讯网络所提供的主流WLAN产品均支持WPA.而其他产品也可以通过软件升级支持WPA。MAC地址过滤AP还可以通过设置MAC地址过滤功能允许或拒绝某些特定的无线网卡联入无线网络.从而增加网络的安全性。锐捷网络所提供的全线WLAN产品均支持MAC地址过滤功能。无线客户端隔离功能锐捷网络所提供的AP均支持无线客户端隔离功能.非常适合在校园网、企事业单位或热点地区布放.使无线用户在轻松上网的同时.最大限度的保证安全性。产品简介RG-S5750/RG-S2924GT&AP220-E/AP220-H&AC5302&SMPRG-S5750高性能万兆端口为"千兆汇聚.万兆核心"提供可能.适应了网络应用高速发展.网络带宽不断增加的需要。而万兆端口的可扩展性既方便用户现在使用万兆网路.也方便用户后续升级网络到万兆。IPv4/IPv6双栈协议多层交换硬件支持IPv4/IPv6双协议栈多层线速交换.硬件区分和处理IPv4、IPv6协议报文.支持多种Tunnel隧道技术〔如手工配置隧道、6to4隧道和ISATAP隧道等等.可根据IPv6网络的需求规划和网络现状.提供灵活的IPv6网络间通信方案；支持丰富的IPv4路由协议.包括静态路由、RIP、OSPF、BGP4等.满足不同网络环境中用户选择合适的路由协议灵活组建网络；支持丰富的IPv6路由协议.包括静态路由、RIPng、OSPFv3、BGP4+等.不论是在升级现有网络至IPv6网络.还是新建IPv6网络.都可灵活选择合适的路由协议组建网络；S5750V2.0硬件版本支持MCE功能.可以在BGP/MPLSVPN组网应用中承担多个VPN实例的CE功能.减少用户设备的投入。灵活完备的安全策略具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击.如预防Dos攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略等.还网络一片绿色；支持基于硬件的IPv6ACL.即使在IPv4网络内有IPv6用户.也可轻松在网络边缘实现对IPv6用户的访问控制.既可允许网络内IPv4/IPv6用户并存.也可以对IPv6用户的访问权限进行控制.比如限制对网络敏感资源的访问等。业界领先的硬件CPU保护机制：特有的CPU保护策略〔CPP技术.对发往CPU的数据流.进行流区分和优先级队列分级处理.并根据需要实施带宽限速.充分保护CPU不被非法流量占用、恶意攻击和资源消耗.保障了CPU安全.充分保护了交换机的安全；硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定.严格限定端口上的用户接入或交换机整机上的用户接入问题；支持DHCPsnooping.可只允许信任端口的DHCP响应.防止私设DHCPServer的欺骗；并在DHCP监听的基础上.通过动态监测ARP和检查用户的IP.直接丢弃不符合绑定表项的非法报文.有效防范ARP欺骗和用户源IP地址的欺骗问题；基于源IP地址控制的Telnet访问控制.避免非法人员和黑客恶意攻击和控制设备.增强了设备网管的安全性；SSH〔SecureShell和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息.保证管理设备信息的安全性.防止黑客攻击和控制设备控制非法用户使用网络.保证合法用户合理化使用网络.如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等.满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。强大的多业务支撑能力支持IPv4、IPv6组播功能.包含丰富的组播协议。比如IGMPSnooping、IGMP、MLD、PIM、PIMforIPv6等协议族.为IPv4网络、IPv6网络、IPv4和IPv6共存的网络提供了组播服务支持。支持IGMP源端口和源IP检查功能.有效地杜绝非法的组播源.提高网络的安全性；支持等价路由〔ECMP、权重路由〔WCMP等丰富的三层特性和业务特性.满足不同网络链路规划下的通信需要。完善的QoS策略具备MAC流、IP流、应用流等多层流分类和流控制能力.实现精细的流带宽控制、转发优先级等多种流策略.支持网络根据不同的应用、以及不同应用所需要的服务质量特性.提供服务。以DiffServ标准为核心的QoS保障系统.支持802.1P、IPTOS、二到七层流过滤、SP、WRR等完整的QoS策略.实现基于全网系统多业务的QoS逻辑；高可靠性支持生成树协议802.1d、802.1w、802.1s.完全保证快速收敛.提高容错能力.保证网络的稳定运行和链路的负载均衡.合理使用网络通道.提供冗余链路利用率；支持VRRP虚拟路由器冗余协议.有效保障网络稳定；支持RLDP.可快速检测链路的通断和光纤链路的单向性.并支持端口下的环路检测功能.防止端口下因私接Hub等设备形成的环路而导致网络故障的现象；支持BFD.为各上层协议如路由协议.MPLS等提供一种快速检测两台路由设备之间转发路径连通状态的方法.大大减少了上层协议在链路状态变化时的收敛时间。方便易用易管理灵活复用的多种千兆接口形式.可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接.方便用户灵活选择线缆；为方便安装地点或建筑物不适宜部署外部电源的环境.RG-S5750系列交换机特别提供支持PoE功能的产品型号.即通过双绞线就可以向远端下挂的PD设备供电.如无线AP、IPPhone、视频监控等设备.方便了任何符合IEEE802.3af标准的终端设备的接入.实现以太网集中供电.以满足金融、企业、学校、医院、工厂等用户实现VoIP、远程监控、无线AP等网络应用的需要；网络时间协议保证交换机时间的准确性.并与网络中时间服务器时间统一化.方便日志信息和流量信息的分析、故障诊断等管理；Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份.便于管理员网络维护和管理；多端口同步监控.通过一个端口即可同时监控多个端口的数据流.可以只监控输入帧或只监控输出帧或双向帧.大大提高维护效率；CLI界面.方便高级用户配置和使用。技术规格产品型号RG-S5750-24GT/12SFP固定端口24端口10/100/1000M自适应端口.12个复用的SFP接口.2个扩展槽交换容量240G包转发率L2：线速〔66MppsL3：线速〔66MppsVLAN支持4K个802.1QVLAN支持SuperVLAN支持ProtocolVLAN支持PrivateVLAN支持VoiceVLAN<*>支持基于MAC地址的VLAN<*>支持QinQ

基于时间ACL

IPv6ACLIP路由支持静态路由支持RIP.RIPng<*>支持OSPF.OSPFv3支持BGP.BGP4+<*>支持等价路由〔ECMP、权重路由〔WCMP支持VRRP、VRRPv6<*>支持MCE<仅RG-S5750V2.0及以后硬件版本支持>安全特性支持IP、MAC、端口三元素绑定支持IPv6、MAC、端口三元素绑定支持安全通道支持防网关欺骗限制端口学习MAC地址数量过滤非法的MAC地址支持802.1x<portbased、macbased、动态vlan下发、动态acl下发、guestvlan>支持各种<动态静态>地址分配策略下的ARP-Check支持DAI支持ARP报文限速支持防DHCP服务器私设支持广播风暴抑制管理员分级管理和口令保护设备登陆管理的AAA安全认证〔IPv4/IPv6支持SSH支持BPDUGuard支持TACAS+支持Radius<radius、EXEC授权、指定源IP>管理特性SNMPv1/v2c/v3、CLI<Telnet/Console>、RMON<1,2,3,9>、SSH、Syslog、NTP/SNTP、SNMPoverIPv6、IPv6MIBsupportforSNMP<*>、SSHv6<*>、Telnetv6<*>、FTP/TFTPv6<*>、DNSv6<*>、NTPforv6<*>、Traceroutev6<*>RG-S2924高性能高背板带宽为所有端口提供线速的交换能力.并提供万兆扩展和万兆堆叠.满足数据流量和多媒体业务日益增长的需要。灵活完备的安全控制策略通过多种内在的安全机制可有效防止和控制病毒传播和网络流量攻击.控制非法用户使用网络.保证合法用户合理化使用网络.如端口静态和动态的安全绑定、端口的带宽限速、用户接入控制的多元素绑定等.满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求；通过锐捷安全计费管理平台SAM.不仅可实现用户账号、密码、MAC地址、IP地址、交换机IP、交换机端口等六大元素之间的灵活任意绑定.有效确认用户身份的合法性和唯一性.更能通过交换机特色硬件动态绑定.保障用户身份始终一致性.避免了用户恶意篡改身份信息进行非法攻击等行为；ARP检测功能有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象.保障了用户的正常上网。无论在动态分配IP环境下.还是静态分配IP环境下.均可实现自动绑定工作.大大的节省了人力成本.降低了管理开销。而配合ARP速率监控控制端口ARP报文发送的速率.防止恶意利用扫描工具进行ARP泛洪占据网络带宽.导致网络拥塞的攻击行为；支持DHCPSnooping.只允许信任端口的DHCP响应.防止未经管理员许可私自架设DHCPServer.扰乱IP地址的分配和管理.影响用户的正常上网的行为；并在DHCP监听的基础上.通过动态监测ARP和检查源IP.有效防范DHCP动态分配IP环境下的ARP主机欺骗和源IP地址的欺骗；隔离、多种类型的硬件ACL控制、基于数据流基于源IP地址控制的Telnet和Web设备访问控制.避免非法人员和黑客恶意攻击和控制设备.增强了设备网管的安全性；面对日趋热烈的IPv6应用.交换机支持基于硬件的IPv6ACL.即使在IPv4网络内有IPv6用户.也可轻松在网络边缘实现对IPv6用户的访问控制.既可允许网络内IPv4/IPv6用户并存.也可以对IPv6用户的访问权限进行控制.比如限制对网络敏感资源的访问等；SSH〔SecureShell和SNMPv3技术通过在Telnet和SNMP进程中加密管理信息.保证管理设备信息的安全性.防止黑客攻击和控制设备。基于源IP地址控制的Telnet访问控制.更加精细的提供了设备管理控制.保证只有管理员配置的IP地址才能登陆交换机.增强了设备网管的安全性。高可靠性CPU安全屏障保护：特有的CPU保护策略〔CPP.对发往CPU的数据流.进行流区分和优先级队列分级处理.并实施带宽限速.充分保护CPU不被非法流量占用、恶意者攻击和资源消耗.保障了CPU安全.充分保护了交换机的安全；支持生成树协议802.1d、802.1w、802.1s.完全保证快速收敛.提高容错能力.保证网络的稳定运行和链路的负载均衡.合理使用网络通道.提供冗余链路利用率；PortFast大大缩减了标准的30-50秒的生成树协议收敛时间.而BPDUGuard功能则避免了生成树协议环路的出现；支持RLDP.可快速检测链路的通断和光纤链路的单向性.并支持端口下的环路检测功能.防止端口下因私接Hub等设备形成的环路而导致网络故障的现象；支持1+1冗余可插拔电源.提供系统可靠性.同时方便客户进行现场维护。多业务支持当网络上服务的业务越来越多时.带宽保障就显得尤为必要。为了避免非紧急业务抢占紧急业务的带宽.通过完善的服务质量保证.来支持多业务的开展；支持802.1P、DSCP、IPTOS、二到七层流过滤等QoS策略.具备MAC流、IP流、应用流等多层流分类和流控制能力.实现带宽控制、转发优先级等多种流策略.支持网络根据不同的应用、以及不同应用所需要的服务质量.提供服务；每端口支持8个优先级输出队列.使网络管理员可更精细的为各种应用分配带宽.从而更好的保证业务正常开展。交换机支持SP.WRR.DRR等机制确定报文处理顺序.比如SP可确保某个队列中的业务总是优先传输.而WRR则可保证所有队列中的业务都有机会；极灵活的带宽控制能力.基于交换机端口、MAC地址、IP地址、VLANID、协议、应用组合进行灵活的带宽限速.限速粒度达到64Kbps.可根据网络安全需求.设定不同业务应用的带宽流量.满足网络带宽按需所用；能够探测IGMPv1/v2和IGMPv3全部版本的组播报文.适应不同组播环境.避免非法的组播数据流占用网络带宽.满足组播安全应用的需要。灵活可靠的万兆混合堆叠提供可靠的万兆冗余堆叠组合.在万兆冗余堆叠的基础上.能同时提供万兆上链.满足高性能、高带宽的需要.方便网络发展和规模扩大；支持硬件堆叠QoS.保证在网络拥塞、网络攻击等网络环境恶劣的情况下.依然能正常管理堆叠组成员.保证堆叠设备的正常运营。方便易用易管理采用灵活复用的千兆接口和扩展槽组合的形式.可最灵活满足是否需要多个千兆链路上链或多个千兆服务器的连接.方便用户根据网络架构灵活选择连接形式；多端口同步监控.通过一个端口即可同时监控多个端口的数据流.可以只监控输入帧或只监控输出帧或双向帧.大大提高维护效率；网络时间协议保证交换机时间的准确性.并与网络中时间服务器时间统一化.方便日志信息和流量信息的分析、故障诊断等管理；

Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份.便于管理员网络维护和管理；CLI界面.方便高级用户配置和使用。技术规格产品型号RG-S2924GT/8SFP-XS-P固定端口24口10/100/1000M自适应端口〔支持PoE远程供电.其中8个SFP口为光电复用口.2个扩展槽.模块化电源.2个电源插槽交换容量360Gbps包转发率96MppsACL支持多种硬件ACL：

标准IPACL〔基于IP地址的硬件ACL

扩展IPACL〔基于IP地址、传输层端口号的硬件ACL

MAC扩展ACL〔基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL

专家级ACL〔可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型灵活组合的硬件ACL>

基于时间ACL

IPv6ACL安全特性支持IP、MAC、端口三元素绑定限制端口学习MAC地址数量过滤非法的MAC地址支持802.1x支持ARP-CheckI支持ARP报文限速支持广播风暴抑制管理员分级管理和口令保护设备登陆管理的AAA安全认证支持SSH支持BPDUGuard管理协议SNMPv1/v2c/v3、CLI<Telnet/Console>、RMON<1,2,3,9>、SSH、Syslog、NTP/SNTPSNMPoverIPv6、SSH/Telnetv6、FTP/TFTPv6、DNSv6、NTPforv6等协议功耗不带扩展模块.不接PD负载<35W带扩展模块.不带PD负载<60W带扩展模块.外接24口PD负载<800WAP220-E终端智能识别RG-AP220-E配合锐捷网络无线控制器.能根据终端特点.智能识别终端类型.自适应弹出不同大小、页面格局的Portal认证页面。终端智能识别技术免去了用户多次拖动.调整屏幕的操作.为用户提供更加智能的无线体验.并且全面支持苹果iOS、安卓和windows等主流智能终端操作系统。智能负载均衡在高密度无线用户的情况下.RG-AP220-E将结合锐捷网络无线控制器智能实时的根据用户数及数据流量调整分配到不同的AP上提供接入服务.平衡接入负载压力.提高用户的平均带宽和QoS.提高连接的高可用性。锐捷网络无线不仅能实现基于用户、流量的智能负载均衡.而且还能实现基于频段的负载均衡。大多数Wi-Fi设备缺省使用2.4GHz频段.而5GHz频段上〔802.11a/n却能获得更大的吞吐性能。基于频段的负载均衡.使支持双频的用户终端优先接入5GHz频段.在不增加成本的前提下.能够增加大约30-40%的带宽利用率.保证了用户的无线上网高速体验。高性能高可靠802.11n高速无线接入RG-AP220-E将为客户带来全新的高速无线网络体验。通过采用IEEE802.11n标准.其中单路射频即可为客户带来6倍于传统802.11a/b/g无线网络的接入带宽.并发用户数量、覆盖范围也显著提高。高性能千兆光电复用口上联RG-AP220-E可提供一个10/100/1000Base-T以太网端口上联.千兆级的上联为802.11n设计.使有线口不再成为无线接入的速率瓶颈.同时提供一个千兆SFP端口复用.可适应不同客户现场的有线网络链路形态.组网更加灵活方便。业界领先的本地转发RG-AP220-E继承了锐捷网络一贯领先的智能本地化转发技术.彻底突破了无线控制器的流量瓶颈的限制。通过锐捷网络RG-WS系列无线控制器的配合.可灵活预配置RG-AP220-E产品的数据转发模式.根据SSID名称或者用户VLAN以决定是否需要经过无线控制器转发.或直接进入有线网络进行数据交换。通过本地转发技术可以将延迟敏感、传输要求实时性高的数据分类通过有线网络转发.可以大大缓解无线控制器的流量压力.更好的适应802.11n网络高流量传输的要求。完美实现用户漫游访问通过与RG-WS系列无线控制器产品的配合.无线用户在RG-AP220-E之间移动访问时.可以保证二层网络和三层网络的无缝漫游.用户在过程中不会感觉到数据访问的中断。丰富的服务质量保证〔QoSRG-AP220-E支持丰富的服务质量保证〔QoS.如支持WLAN/AP/STA多种模式的带宽限制.可针对重要关键的数据传输应用.提供优先的带宽保证。标准CAPWAP加密隧道确保传输安全RG-AP220-E产品与锐捷网络RG-WS系列无线控制器以国际标准的CAPWAP加密隧道模式通信.确保了数据传输过程中的内容安全。射频安全在锐捷网络一体化网管系统RG-SNC、RG-WS系列无线控制器产品的配合下.RG-AP220-E产品可启用射频探针扫描机制.实时发现非法接入点、或其它射频干扰源.并提供相应的告警.使网管人员可随时监控各个无线环境中的潜在威胁和使用状况。用户安全准入支持WEB认证模式.通过和锐捷无线控制器的协同工作,用户使用浏览器即可完成认证过程.