重庆某高校校园网建设整体解决方案(含安全、计费)

重庆某高校校园网建设整体解决方案 目录1 概述 概述本次方案建设包括重庆人文科技学院、重庆工商大学派斯学院、重庆民生职业技术学院三所高校的校园网，通过建设一套完整的无线网络、有线网络一体化的现代化网络，不仅为广大师生提供高吞吐、高并发的校园网络，同时也打造高安全、高可靠性、管理极简的下一代校园网。本次校园网建设包括原有线网络升级改造、新建有线网络和无线网络，既要考虑兼容性，又要考虑部署、维护的便利性，以及控制最佳建设成本。整体网络建设方案网络整体架构本次校园无线网络建设采用AC集群+FITAP模式进行组网，采用“3+1”的部署模式，学校AC对全校各区域所有各类型的AP进行统一集中管理，再通过中心AC对三所学校的AC进行统一集中管理和冗余备份，实现无线网的简易维护。核心骨干网核心层设计核心层部署校园的核心设备，连接所有的汇聚交换机，转发各个教学楼或学生宿舍之间的流量。核心层需要采用全连接结构，保持核心层设备的配置尽量简单，并且和校园网的具体业务无关。核心层设备需要具有高带宽、高转发性能，否则将无法支撑企业内外部的业务流量。本次建设核心层建议采用华为敏捷交换机S12700，并使用CSS2（ClusterSwitchSystem）集群技术，将两台交换机从逻辑上整合成一台交换机。CSS2技术支持主控1＋N备份，集群系统中只要保证任意一框的一个主控板运行正常，多框业务即可稳定运行。相对于传统业务口集群系统，每个框至少要有一块主控单元运行正常的限制。通过集群+堆叠的无环网络方案保障网络可靠，再通过设备本身99.999%的电信级可靠综合保障校园网应用的稳定运行。华为S12700敏捷交换机负责对校园网用户的统一接入，业务板卡直接融合BRAS功能，与认证服务器协同工作，对接入用户进行认证，可以很方便的对校园网的所有用户流量做统一管理监控。有强大的认证计费功能，才能满足校园网的大用户量、高并发连接数、多样化计费的需求。汇聚层设计对于宿舍区网络：汇聚层是一幢学生宿舍的汇聚点，汇聚层的设备用来转发本区域用户到其他区域用户的横向流量，同时发送本区域用户流量到核心层。汇聚层将大量用户接入到互联的网络中，模块化扩展接入核心层设备的用户数量。汇聚层具有高带宽、高端口密度、高转发性能等特点，用于支撑该汇聚层下各业务部门之间的流量。本次建设可直接利旧现有有线网络，宿舍区新建有线部分，可通过华为敏捷分布式AP直接进行有线无线覆盖。对于办公区网络：采用全光网络（GPON）部署方式，中心机房部署OLT设备作为大容量汇聚点，每个办公楼楼层不再部署汇聚交换机，而用无源分光器代替。OLT设备用来转发教师办公的横向流量，并将纵向流量转发到核心交换机。采用大容量OLT汇聚和无源分光的方式，可以有效的节省汇聚机房空间，减少电源、空调等配套设施的成本；还能提高业务配置和故障处理速度，从而降低运维成本。接入层设计教室和办公楼接入层设计规划：本项目根据学校对教室和办公楼区域有线、无线网络独立组网的诉求，在教室和办公楼采用GPON全光接入方案，实现光纤到桌面。办公楼/教室的有线网络采用10G-GPON方式，下行有效带宽为8.8G，桌面终端（ONU）采用MA6871，提供4个千兆网口。分光比按1:8设计，每个ONU端口平均可提供的带宽为：8800/8/4=275M，并行度为用户上网并行度和占空比的综合，行业内参考值0.3，实际每端口可提供的带宽为275/0.3=916M办公楼/教室的无线AP接入采用GPON方式，下行有效带宽为2300G，ONU采用带POE功能的MA5626，提供8/24个FE口。分光比按1:4设计，每个AP可提供的带宽为：2300/4/8(24)≈24-72M。在阶梯教室、音乐厅、图书馆等高密场景可部署8端口ONU，带宽可达72M，以保障用户体验。宿舍楼接入层设计规划：接入层是最靠近终端用户的网络，为用户提供各种接入方式，一般部署二层设备，双归属到汇聚层两个不同的交换机。接入层除了需要部署丰富的二层特性外，还需要部署安全、可靠性等相关功能。接入层需要具有高密度、高速率的端口，以支持更多的终端接入校园网络。接入层交换机通常使用iStack（IntelligentStack）技术，将多台交换机从逻辑上整合成一台交换机。这样既简化了配置和管理，又提高了网络的可靠性和扩展能力。无线接入AP设备建议如下：图书馆、小型会议室、教室、实验室等区域采用新一代高性能11ac，3x3MIMO，双频无线接入点NAP-4600，可以很好的满足不同场景下的覆盖要求。大礼堂、体育馆大型高密覆盖区域，采用11AC定向AP，外置高密窄角度、高增益定向天线的设备AP，满足特殊活动时期高并发的诉求。办公室、宿舍等区域采用新一代集结号方案，一栋宿舍部署一台AC，通过POE交换机连接远端面板式AP，每个面板式AP覆盖一间宿舍或者办公室。操场、草坪等区域采用新一代室外11acAP，防护等级IP67，以太网接口6KA与天馈口5KA设备内置增强防雷设计，满足室外恶劣环境的要求。PoE供电接入交换机：接入层采用千兆POE接入交换机，满足AP供电以及WLAN11n/11ac对接入带宽的需求。无线校园网场景化覆盖学生宿舍及教师宿舍覆盖学校宿舍楼、公寓楼这类场景有一个典型特点就是：房间结构统一，墙体分布密集，无线信号衰减严重。若采用传统的走廊放装部署，将AP部署在走廊里，信号穿透墙体进入房间内，使得覆盖效果大好折扣。为了保证覆盖效果，针对宿舍区采用支持802.11ac协议标准的86型面板AP进行无线部署，将AP直接部署在房间内面板暗盒，并提供千兆上行带宽至POE交换机，满足高并发、高吞吐的无线上网需求，采用面板AP可快速完成宿舍区的无线网络部署，保证每个宿舍都是满格信号，大大减少施工，同时还不破坏房间环境设计。面板AP由上游的POE交换机通过网线进行供电，无需单独部署本地电源适配器，满足宿舍区有线及无线网络的接入需求。宿舍区覆盖示意图NAP-3600-P双频11AC面板办公楼、教学楼放装覆盖办公楼、教学楼等室内场景具有接入用户数多，覆盖范围大的特点，通过部署支持802.11ac协议的高性能室内吸顶AP（支持吸顶、壁挂、桌面放装三种安装方式），其高吞吐量、高用户并发等优异的性能均能很好的满足无线接入。考虑到用户容量的需求，同时按照每个AP60人并发、120人接入的规划，还需要对AP信道和功率进行实际调整：(1)根据AP的部署密度情况进行合理信道规划，AP可采用160M/80M/40M频宽接入，满足用户的高并发快速上网。(2)通过合理无线网优，调整每AP发射功率，合理化避免信道冲突及空口干扰。同时具有一定交叉区域，保证无线终端的顺利切换。高密场景覆盖对于学术报告厅、体育馆、学生食堂、会议室、演播厅等用户高密场景，传统的无线部署方案往往同频干扰严重，从而导致设备多用户处理能力和传输带宽大大降低，信号满格却总是连不上，网络变得“华而不实”。本次采用802.11ac高密覆盖解决方案，单台AP提供更高吞吐、更快接入的无线网络，无线信号覆盖以5G为主，2.4G为辅，充分利用5G频谱资源，同一空间内可以实现多个互不干扰、不重叠的信道，另外，合理规划2.4G网络频谱，减少同频干扰。同时，通过AP智能负载均衡、终端公平调度、高密优化、禁止低速终端接入等无线优化技术，提高信道利用率，满足高密场景的大量用户终端快速接入上网。音乐厅、学术报告厅及阶梯教室覆盖示意室外区域覆盖室外校园环境恶劣，部署的设备经常被风吹雨晒，要求室外设备必须防护能力高、防水防雷、安装维护简单等，利用11AC室外专用AP对校园室外区域进行无线覆盖，IP67专业级防护能力，支持全封闭防水、防潮、防尘以及防火、防晒等，在极端恶劣的室外环境中仍可正常使用，可有效避免室外恶劣天气和环境影响，不管是在潮湿的南方还是寒冷的北方都适用。另外，利用WDS组网，可扩大无线覆盖、回传距离。学校室外区部署方式主要有：安装在已有路灯杆或新立杆、安装就近建筑物楼顶，通过外接室外高增益天线（根据实际情况选择定向或者全向）进行室外覆盖。对于部分室外区域，考虑采用室外美化天线进行覆盖，避免对周围环境的影响；室外AP+定向天线室外AP+全向天线室外AP+美化天线NAP-7800智能负载均衡本次无线网络通过AP智能负载均衡，包括接入点间负载均衡以及2.4G/5G双频负载均衡。接入点间负载均衡基于无线接入点的负载情况进行接入用户的负载均衡，比如接入用户数、流量负载、信道利用率、终端信号强度。由AC统一平均分配每一个用户，确保每个无线用户都能获得畅快的上网体验，从此道路不在拥塞。2.4G/5G双频负载均衡，提升网络吞吐量，5G终端优先接入5G频段，结合接入点间负载均衡，平均分布每一个用户，保证每个接入点2.G/5G频段的用户均能享受良好的上网体验。负载均衡采用引导式负载，通过802.11k、802.11r和802.11v进行的Wi-Fi网络漫游（非强制下线进行负载）。无线网络优化终端公平调度由于所有终端抢到的空口机会差不多相等，高速率终端每次快速发完自己的数据后都要等待低速终端慢腾腾的发完它的数据，所以，高速率终端的性能基本上与低速率终端的性能是一样的，显然，整体的性能也被大幅拉了下来。所以，用户终端的连接速率过低时，会严重影响连接速率高的用户的上网速度，导致所有的接入用户上网体验差。通过终端公平调度算法（时间公平算法，也叫用户间平均分配带宽），有效的解决了某些终端接入速率过低导致整个网络性能下降的问题，让每个终端占用相等的无线信道时间，有效提高无线网络总吞吐率。高密场景优化所谓的高密度场景是指在一定空间内的无线用户数量与网络流量都远超过普通无线网络覆盖的预期。在学术报告厅、食堂、立礼堂、会议室，经常会遇到在一个有限的空间内，有分布密集的终端上网体验，单台AP接入用户有限，然而在这有限的空间里部署多台AP的话，由于在一定的空间内信道的资源是有限的。当AP的数量超过信道数量时，因为信道之间的冲突，不能起到良好的效果，反而会带来更多的干扰漫游问题。针对终端高密场景，信锐技术对局部空间终端分布密集场景进行网络优化，一键开启高密优化，可降低AP性能消耗，减少无关信息的传输，对无线网络进行性能优化，从而提升高密度场景用户的无线上网体验。无线侧质量指标无线覆盖信号强度设计目标覆盖区域内95%以上位置，接收信号强度大于等于-65dBm。用户认证测试对主要的WEB认证进行测试，不同AP重复进行20次接入测试，WEB认证通过率>=95%网站访问成功率、首页响应时延测试要求访问国内热点网站成功率不低于99％；访问国内网站显示时延不大于3秒；访问国际网站显示时延不大于5秒信噪比（SNR）设计目标覆盖区域内95%以上位置，用户终端无线网卡接收到的信噪比（SNR）大于25dB。同频干扰测试对于有多个AP覆盖区域内查看是否有同频干扰，同频干扰小于-80dBm，邻频干扰小于-70dBm。信号外泄室内无线信号泄漏到室外区域，10m处的信号强度不高于-75dBm。PING包测试PING无线控制器IP地址时延不大于50ms；Ping包的丢包率不大于3%。可靠性设计AC部署方案大容量无线控制器本次部署的无线控制器为信锐万兆系列NAC-7600，单台最大可配置管理12288个AP，并且支持多台AC集群管理，可轻松实现网络弹性升级，能够满足未来无线网络扩容的需要，方便未来学院无线网络的扩容和改造。同时，信锐万兆系列NAC-7600可实现80G的流量转发，可以实现整个校园无线网络的低延迟、无丢包的快速转发，真正实现高带宽、大容量的校园网络。AC冗余部署为了保证网络可靠性和考虑建设方案，实现校园无线网络的冗余灾备，增加网络可靠性，避免单点故障。本次方案采用AC垂直冗余方案，中心AC除对三所学校的AC进行集中管理外，还对学校AC实现垂直冗余备份，一旦当学校AC运出现故障时，所管理的所有AP自动切换到中心AC上运行，实现毫秒级的快速切换，保证用户业务不中断；当学校AC恢复后，AP切换回学校AC。AC逃生方案通过AC垂直冗余方案可以很大程度上提高网络的稳定性，避免发生单点故障，为了进一步提高无线网络的健壮性，信锐还进一步提供AC逃生方案，当AP与无线控制器因外界因素（如AC宕机、控制器与核心交换机链接线断开）造成的通信连接断开后，自动启用应急策略或应急SSID，新接入的用户会划分到指定的应急VLAN以及分配相应的应急角色，仍然能保证用户正常上网以及新用户的认证接入，当网络恢复正常时，这些用户会从灾备角色中剔除，提高网络的稳定性和可靠性。认证服务器部署方案认证服务器冗余无线校园网、有线网络共用一套认证计费系统，实现有线、无线统一认证，无线网络可关联多个Radius认证服务器，实现认证服务器的冗余备份，当一台Radius服务器宕机后，另一台Radius服务器继续提供服务，为用户提供可靠的接入服务，如城市热点Dr.COM、安朗、深澜等专业服务器。无线上网计费属于无线校园中重要的一环节，通过RADIUS与学校认证计费系统进行对接，实现认证与计费全业务接口无缝衔接，使无线校园网与认证计费系统（或网关）实现统一身份认证平台；通过认证计费系统，实现刷卡开户、收费、扣费、定期圈存和自然月结算策略（运营商通用计费策略）以及缴费自动触发开户等个性化功能，让高校师生在校园无线上的使用更加便利，缴费更加方便，计费更加准确合理，极大促进数字化校园与认证计费系统整合的步伐。认证服务器逃生方案除了认证服务器的1+1、N+1部署，信锐还进一步提供认证服务器逃生机制，通过认证服务器逃生功能，即使当无线网络关联的全部认证服务器都宕机后，依然能保证用户正常上网以及新用户的认证接入，提高网络的稳定性和可靠性。校园网计费计费方案设计安朗公司提出的多运营商方案，适用于现网是一次认证的网络环境，也适用于现网已经运营商共同接入，学生自助选择任意运营商套餐；IPV4/IPV6双栈接入，满足学校未来的网络改造需求；实现同一账号的抢占模式，类似QQ后面的终端上线后，前面的终端自动下线；灵活丰富的运营商统计管理功能，历史帐单随时可查；学号与运营商帐号自动绑定，学生采用同一套账号完成校园网和运营商网络的认证；运营商可推行手机+宽带融合套餐。BRAS部署方案双机部署在校园网的核心出口推荐部署两台专业设备ME60作为既作为用户接入认证和计费网关又作为校园网核心出口路由器，两台ME60间采用万兆口互联，两台设备间启用VRRP+，BFDforFRR等冗余保障及链路故障倒换协议，使得两台ME60互为热备，在用户接人会话数和流量上进行1:1负载分担。宿舍用户接入设计（1）接入交换机配置用户VLAN。汇聚交换机添加外层VLAN。由ME60终结QINQ报文。（2）ME60作为用户网关，IPOE用户上线到ME60转DHCP服务器给用户分配IP地址，在通过认证之前用户只能访问认证前域的服务器，用户的第一个HTTP报文进行重定向到Portal服务器，实现WEB认证，认证通过后允许用户访问认证后域。（3）ME60作为用户网关，PPPOE用户直接到认证AAA服务器进行用户名和密码认证。用户认证规划学生宿舍区用户集中，可以使用PPPoE方式认证，ME60将用户的账号/密码发送到认证计费服务器进行认证，认证通过后分配IP地址。实验室教室等公开接入点，可设置成IPoE快速认证访问内网资源，访问外网资源时做WEB认证。教学楼的打印机、IP电话等哑终端没有PPPoE的客户端，也无法接收web页面，使用IPOE的方式接入ME60，为防止非法接入，可以配合MAC认证。公共场所可使用Portal认证，用户首先获取BRAS分配的一个IP地址，通过认证前只能访问有限的服务器。BRAS将Portal服务器的web页面推送给用户，由用户填写用户名、密码进行认证。BRAS支持对一种接入场景配置多种认证方式，满足用户灵活认证的需求DAA根据目的地址计费DAA是destinationaddressaccounting的简称，在ME60上部署DAA功能实现了对用户接入业务访问目的地址的差别进行管理，根据不同目的地址定义不同的费率级别进行收费和不同的网速控制。在校园网内，用户上线后一般访问教育网内不收费或者收很低的费用，而且是不限速的，而如果访问教育网外的Internet，需要收取较高的费用，同时限制一定的带宽，通过此功能可以实现访问校内资源不计费，访问外网或是教育网采用不同的计费策略。校园网计费方案安朗公司结合多年的行业经验，在设计时充分考虑电信运营商、社区运营、校园计费需求，预设计了以计时长、计流量、包月、包天、包年、分层计费、免费为模板的7种计费策略类型，在这7种模板下，可以配合更多的组合计费策略以满足各种个性化的计费需求计时长支持按时长的费率扣费支持包月限时长，超过所包时长按费率计费支持以自然月包月和从上网激活日包整月支持包年限时长功能，即一年X元包Y小时，超过时长以费率计费自然月支持首月计费方式有：免费、正常收取、计时长、计流量、按天收取自然月支持复通的计费方式有：正常收取、按天收取、计流量、计时长封顶金额：当达到封底金额时，再使用网络不再收取费用支持用户使用时长超过所包时长，并且当月使用金额小于封顶金额的时候系统将按此费率对用户的使用时长进行计算费用。计流量支持按流量的费率扣费支持包月限流量，超过所包流量按费率计费支持以自然月包月和从上网激活日包整月自然月支持首月计费方式有：免费、正常收取、按天收取、计时长、计流量自然月支持复通的计费方式有：正常收取、按天收取封顶金额：当达到封顶金额时，使用网络不再收取费用支持用户使用流量超过所包流量，并且当月使用金额小于封顶金额的时候系统将按此费率对用户的使用流量进行计算费用包天支持X元包Y天的普通包天，每次扣X元，到了Y天后自动失效支持X元包共Y天的动态包天，每次扣X元，在一天内不限使用次数，如果使用一次，也算一天。未使用不计算支持一次充值全转换为天数或一次只扣取X元包月支持包月限流量，超过所包流量不能使用支持包月限流量，超过所包流量限制使用支持包月限流量，流量平均到每天使用支持包月限时长，超过所包时长不能使用支持包月限时长，超过所包时长限制使用支持包月限时长，时长平均到每天使用支持以自然月包月和从上网激活日包整月支持自定义天数包天自然月支持首月计费方式有：免费、正常收取、按天收取、计时长、计流量。自然月支持复通的计费方式有：正常收取、按天收取、计时长、计流量封顶金额：当达到此金额时，再使用网络不再收费支持超过所包业务量以后，可自动选择进入下一周期（余额充足）包年支持X元包Y月，每次扣X元，到了Y月后自动失效分层计费支持区分内外网计费支持区分国内外计费区分内外网时：内网支持计时长，计流量，包月，免费策略区分内外网时：外网支持计时长，计流量，包月，区分流量、周期限制流量策略国内外流量支持包自然月和从激活日整月包月周期限制流量策略支持包自然月，从激活日整月包月、自定义周期外网包月支持限时长，限流量或不限制外网计流量支持最低流量消费，最小流量单位，费率等外网计时长支持最低时长消费，费率等区分流量（国内流量）策略支持国内流量按流量，包月，免费区分流量（国外流量）策略支持按流量免费不收费策略，给特殊用户使用用户自助功能支持用户信息查看支持密码修改支持自助停用支持故障报修支持卡充值支持预约变更支持密码保护支持修改最大消费额度支持查看上网清单支持查看缴费清单支持回答问题找回密码功能支持在线记录查询支持用户自助注册帐号，需要管理员激活监控管理功能支持卡用户专门针对卡用户设计的产品组，必须是预付费的计费策略，计费方式同预付费，但是为了发行卡，单独设计卡的产品组，方便管理使用。支持卡使用可自定地批量生成上网卡和充值卡上网卡可以直接当帐号用来上网充值卡只可以给帐号充值支持卡销售的管理，卡可以打折批量销售支持卡查询卡使用报表：对卡的生成、使用、销售情况做统计报表支持到期提醒帐号到期了，系统会自动提醒用户缴费的，提醒方式目前有：邮件、短信。管理员可以自定义提醒的文字。支持上线绑定和开户自绑定可以定义用户的上网策略，在策略中可以定义需要绑定的规则，可以定义上线绑定的规则，也可以定义开户时自动绑定的规则支持时段认证当然是和RADIUS配合使用的，即在指定的时间段内才可以认证，支持下面三种类型的时段定义：日常：最平常的时间段星期：周一到周日的一个段，包含开始时间和结束时间节假日：任意两个正常日期的段，包含开始时间和结束时间支持时段速率在指定的时段使用特殊的速率，一般是高峰使用更低的速率，以让大家都可以体验到带宽的感觉。时段的定义也可以分为以下几种：日常：最平常的时间段星期：周一到周日的一个段，包含开始时间和结束时间节假日：任意两个正常日期的段，包含开始时间和结束时间支持产品预约用户选择不同的产品是最正常不过的了，但是在本周期已扣费的情况下直接变更，对双方都不好，因此预约变更再合适不过。预约就是在本周期结束以后采用新的计费方式，并且以最新的策略扣费帐号的多功能管理支持批量开户的，并且效率很高开户时密码可以为固定的，或者选择为随机的开户时绑定的规则可以是单个帐号的，或者相关网点的用户的批量变更，可以变更指定的字段密码修改用户帐号变更：例如学生的学号发生变化时，可以直接变更帐号销户：可对直接对用户进行销户变更策略：可直接变更，适合已经到期的帐号使用可任意组合的查询条件，并且快速的自定义导出费用管理支持自定义充值以及自主充值服务支持冲帐：当缴错或是不想缴费的时候，冲帐可以把帐号还原到缴费时的状态上网清单有详细的上网清单记录，包括帐号、IP、MAC、上线时间、下线时间、时长、流量、费用、BASIP、端口、NASID等，并且有详细的统计和导出丰富的报表统计收费记录：支持详细清单和统计报表营业：汇总给出帐户情况、收费情况、卡使用情况的报表扣费：对所有扣费的记录统计并导出流量分析：有历史流量、当前流量、流量使用人数、下行流量统计与导出、可自定义流量段时长分析：自定义时长段，对各时长段使用人数的统计与导出用户登录：自定义登录次数，对各登录次数段的帐号进行统计与导出用户总数报表：对帐号人数的分布，以及充值金额数、次数的人数统计与导出用户工作：对每个帐号每月的一个详细统计，包括帐号、用户名、使用时长、使用流量、使用次数、消费金额、剩余金额等一系列统计与导出运营状态：对每台接入设备的各个时段的在线人数进行的统计与报表运营商：对各运营商占总使用比例的统计浏览器：对各种浏览器在各时段使用情况做详细统计用户终端：对各种终端在各时段使用情况做详细统计在线查看认证日志在管理网页上查看认证错误日志，方便管理员查看用户所遇故障情况在线重启RADIUS进程在管理网页上重启RADIUS服务，适用于网络接入的时候自定义接入设备的速率，流量单位由于各厂家定义的速率，流量单位不一样，有些可以在BAS中配置这个单位，如华为的BAS。因此安朗也设计了可以自定义单位的接入设备配置支持在线表记录支持清单记录丰富的在线管理功能即是有在线用户时的操作，在线的用户可以进行下面管理：查看客户信息即时消息强制下线，支持DM协议在线绑定同步BAS在线表，当然只支持安朗BAS在线查看用户登录数量以及次数在管理系统中可以直接看到用户登录数量以及次数实时K线图，就像看股票一样。备份管理随时备份数据库数据系统定时备份数据库数据随时恢复数据库数据，这个只有超级管理员能操作批量操作批量删除过期的数据定义条件删除数据，到达指定的条件时，系统自动删除数据对接接口标准的WEBService接口服务，支持BOSS、CRM、一卡通、单点登录系统、审计、流控、防代理等系统对接校园网防代理采用互联网出口设备深信服上网行为管理进行防代理、防共享，具有效果佳、节省资源，这里主要针对防共享进行原理阐述。防共享原理发现共享上网的用户当用户通过路由器、代理软件共享上网时，深信服上网行为管理将通过先进的检测技术发现共享上网的IP、用户名、接入的终端数，并在防共享上网的状态界面显示出来。核心技术：基于应用特征的方法+基于flashcookie的方法基于应用特征的方法深信服上网行为管理设备内置防代理软件规则库，对最新热门软件唯一特征库进行识别，比如QQ、360安全卫士、搜狗拼音、迅雷、英雄联盟、穿越火线、快播、PPS、PPTV、风行、迅雷看看、暴风影音、爱奇艺影音、搜狐影音等PC、移动终端安装这些热门软件后，在使用该软件或者该软件进行更新时，我们的深信服上网行为管理设备在网络出口处都能检测到来自于该IP的应用特征。若发现有同一个用户账号下有2个或超过2个的IP接入，则判断为共享上网的行为，并自动检测到有2个或超过2个终端在接入。 基于flashcookie的方法同HttpCookie一样，FlashCookie也就是记录用户在访问Flash网页的时候保留的信息，鉴于Flash技术的普遍性，几乎所有的网站都采用，所以具有同HttpCookie一样的作用。但是相比起HttpCookie，FlashCookie更加强大：1、容量更大，FlashCookie可以容纳最多100千字节的数据，而一个标准的HTTPCookie只有4千字节；2、FlashCookie没有默认的过期时间；3、FlashCookie将被存储在不同的地点，这使得它们很难被找到。用IE浏览器（任意浏览器均可）进入百度MP3搜索，在不登录百度帐号的情况下打开百度音乐盒，随便试听几首歌曲，这时可以看到在百度音乐盒的试听历史中会出现之前试听的歌曲。接下来我们使用IE自带的删除功能来清除Cookie（也可以使用各种软件的清理Cookie功能），清理完之后再重新打开百度音乐盒，我们发现之前试听的歌曲信息居然还在，情况还不只如此，用任意一个浏览器打开百度音乐盒，都可以发现之前的试听历史，这就是FlashCookie在起作用。FlashCookie也就是记录用户在访问Flash网页的时候保留的信息，鉴于Flash技术的普遍性，几乎所有的网站都采用，所以具有同HttpCookie一样的作用，只要当用户打开浏览器去上网，那么就能被AC记录到fashcookie的特征值。由于flashcookie不容易被清除，而且具有针对每个用户具有唯一，并且支持跨浏览器，所以被用于做防共享检测，极大的减少了共享上网的漏判率和误判率，使得我们AC防共享方案成为了行业内技术领先、获得众多客户认可的解决方案。防共享实现效果做策略冻结共享上网的用户在发现该IP存在共享上网行为时，在上网权限策略中选择代理控制，开启防共享上网检测，设置单IP允许的最大终端数。这里的最大终端数默认最小为1，最大为5，超过5个的终端无法接入上网。此时，通过路由器或者其他代理软件上网的PC将无法打开新的网页或者应用，并会收到浏览器推送的提示页面：设置冻结时间针对已经被冻结的用户/IP，可设置冻结的时间1-720分钟。在过了冻结设置的时间后，该用户/IP可正常上网。该策略主要是从防共享在企业或高校中推广的便利性而设置，提醒该用户有共享上网的行为，在停止该行为之前，无法连续的正常上网。示例：2台PC通过路由器共享上网被拒绝两台PC通过一个路由器代理上网，PCA上登陆A用户的QQ，PCB上登陆B用户的QQ，这时候AC发现该路由器的IP有共享上网的行为。PCA配置的IP为：3，PCB配置的IP为：4两台PC同时通过路由器上网，在AC上被发现IP为24的用户有共享上网的行为，下面接的终端数为2在开启防共享上网检测功能，设置终端数为1时，这两台PC无法正常上网。而在防共享上网的状态显示中，该IP被显示冻结：由于设置的冻结时间为10分钟，在过十分钟后，该用户/IP可正常上网。技术优势漏判率低基于应用特征、flashcookie两种方法是经过实际项目测试、研发改进后，我们选择的效果最好的两种，任意一种方法检测到，深信服上网行为管理都将判断该用户账号/IP存在共享上网的行为。因此无论用户上网是在浏览网页，还是在打开应用，AC都能检测到。误判率低防代理应用特征规则针对每个用户具有唯一性，而flashcookie具有的唯一性、不易被清除性、支持跨浏览器的技术，都大大降低了误判的可能。校园网安全防护安全域划分区内安全重点针对计算环境安全域下面的三大服务器区域，相同区内的如内部的一卡通、财务、教务，由于分别属于经济类及教学类，因此区内应该进行隔离；而对外的门户网站及招考系统也应该只开放基础的端口和应用，其他端口应隔离；其他服务器区不同院校，不同部门的系统应该分开管理，避免出现大范围跳板攻击。当然区内安全应完全兼容后续的虚拟化环境部署。以重庆人文科技学院为例，对各个安全域进行了分区管理。计算环境安全域重点安全服务器区：存放跟财务、教务、一卡通等重点系统次级服务器区：存在招考、门户等重要但对外发布的系统其他服务器区：二级部门及二级院校托管的私有系统（此区可再度调整校园网安全域校园网接入区：主要为互联网出口核心安全域网络基础设施区：主要为路由交换等基础区域运维安全域安全运维管理区：主要为后期网管、漏扫、运维监控等平台区域终端安全区职能办公安全区：主要为老师办公区终端及教学区域终端学生安全区：主要为宿舍区域终端安全及生活功能区上网行为管理校园网出口的上网行为管理目前分为两类，一类pc端数据，一类是手机端数据：但其实对应的都是学生或教职工，因此从安全管理的角度来说应以人的行为为根据进行防护，因此需要实现统一的认证方式，即不论使用何种终端从校园网哪条链路出去都应该只审核到一个人或一个账号，而对应配套的流量控制、审计、认证、安全策略都可以基于此来实现。统一审计；通过部署万兆的审计设备对两类出口进行统一审计，部署统一的外置数据中心，进行集中查看。统一认证部署认证计费系统，同出口设备（审计、防火墙等）进行结合统一认证，保证出口设备日志审计到的用户为同一人。目前深信服的解决方案可针对安朗、城市热点、深澜、信锐无线控制器等设备实现三方联动，实现统一认证统一出口安全利用出口新增的下一代防火墙，可实现2-7层统一防护，同时可以防止内部pc被植入僵尸、木马、后门等主动外链，造成跳板攻击或对外发送垃圾流量造成出口拥塞。同时利用IPS针对pc终端提供漏洞防护。上网快慢分析深信服上网行为管理可针对学生访问外网的快慢进行分析，当有学生抱怨上网慢的时候设备可分析找到问题原因并给出解决建议。实时漏洞分析深信服下一代防火墙提供的实时漏洞分析功能，可以根据经过设备的业务流量主动分析其中存在的风险并实时展示出来，实时监控界面上可以根据服务器真实存在的漏洞多少进行排名，同时会给出各个业务系统风险情况的评估，并给出建议解决方案。背景：对于高校用户来说，目前事先发现自身业务漏洞的方式只能借助漏洞扫描设备，而漏扫设备存在两个不足，一是扫描时发出的攻击包可能影响正常业务开展；二是扫描都是阶段性、分批次的，无法实时监控所有业务系统的动态漏洞信息；一旦出现0day，响应还是不够及时；同时由于托管了很多二级学院及部门系统，需要分别分析分别处理，因此需要针对每个系统/部门生成单独的报表，包括系统存在哪些漏洞、外部如何攻击他的，哪些攻击真正有效等。价值：深信服可以提供一种更加高效的解决方案，通过对业务流的全流量分析，能够提供被动式［不主动发包，不影响业务］的7*24小时业务漏洞检测手段，帮助用户更好的对可能存在对风险进行预警。异常流量检测支持异常流量检测功能，能够区分正常业务流量和潜藏在其中的危险流量。能够有效识别RDP（3389）、SSH（22）、FTP（20，21）、DNS（53）、HTTP（80）、HTTS（443）、SMTP（25）、POP3（110）等常见应用，常用端口中的未知应用，可疑流量，能区分出占用这些正常应用的合法端口的危险行为。背景：目标对象被黑客控制后，会在后端被开放一些端口进行数据的通信，而为了绕过安全设备的检测，黑客往往会采用一些知名端口来进行数据通信，所以如何能够识别知名端口是否跑了未知应用，已知应用跑在非标准端口就成了事后防护的主要检测手段；价值：可检测知名端口是否跑了未知流量，已知应用是否运行在非标准端口，提供异常流量检测预警。文件上传检测支持ASP，JSP，PHP语言编写的Webshell文件上传检测，支持对已被上传Webshell服务器的检测（单独检测工具）。背景：Webshell是黑客进行Web入侵常用的脚本工具，通常情况下是一个ASP、PHP或者JSP程序页面，也叫作网站后门木马，在入侵一个网站后，常常将这些木马放置在服务器WEB目录中，与正常网页混在一起。通过Webshell长期操纵和控制受害者网站；价值：深信服可针对Webshell文件上传提供事前和事后全面的解决方案，内置独立的语义解析引擎结合常见Webshell后门特征规则，使得深信服的Webshell后门识别率达到99%以上。针对疑似被植入Webshell后门的服务器，深信服也具备事后检测工具，一键解决安全隐患。僵尸网络检测支持僵尸网络检测，僵尸主机识别特征在25万条以上。背景：高校是僵尸网络高发区，僵尸网络将攻击源从一个转化为多个，乃至一个庞大的网络体系，通过网络来控制受感染的系统，同时不断地造成网络危害，如更快地传播蠕虫、短时间内窃取大量敏感信息、抢占系统资源进行非法目的牟利、发起大范围的DDoS攻击等，受控网络的存在，给危害追踪和损失抑制带来巨大的麻烦；价值：通过僵尸网络行为分析和特征识别相结合，可识别并阻断内网安全域中疑似中了病毒木马的僵尸主机，内置云安全检测技术，针对未知可疑风险上报云端虚拟沙盒执行并下发分析结果报告，有效防止主机访问非法恶意链接导致中招。分析攻击类型能够区分有效攻击次数和总体遭受到的攻击次数。能够汇总遭受到的攻击类型，并能够针对攻击提供详情分析。背景：对于高校用户来讲，每天几十万条攻击日志是无法进行有效运维的，即便对日志进行了风险等级的区分，还是会存在高等级风险的日志数量过于庞大，安全运维人员无法进行有效分析的难题；价值：将攻击日志和业务系统自身存在的漏洞风险进行关联分析，从而找到真正的有效攻击的技术手段来提高安全运维效率。安全日志汇总支持统一外置数据中心功能，能够实时监控多台设备的安全日志信息，实现数据的统一汇总，统一分析和统一展现。背景：对于需要在多个节点进行设备分布式部署的用户而言，如何对这些安全设备所保护的业务的实时安全动态，安全日志进行统一监控和管理，是运维时首先需要考虑的一个问题；价值：分布部署，集中管控，安全状态、日志汇总，全网安全可视，可控，降低运维压力。敏感页面保护针对某些特定的敏感页面，如管理员登陆页面等，支持提供访问URL登录进行短信认证的方式，提高访问的安全性。背景：用户为了管理网站方便，可能会把网站的后台管理页面也提供互联网接入，后台管理页面入口可能被黑客猜解到路径并通过密码暴力破解或者监听目标主机的数据等方式容易获得Web应用的访问权限造成风险；价值：通过针对指定的敏感信息页面进行短信验证码加强认证可以避免该风险。服务器底层漏洞防护支持高校服务器底层漏洞防护，服务器端的漏洞防护应支持操作系统、中间件、数据库等。背景：服务器的底层漏洞对Web应用的安全同样存在较大威胁，如果缺乏对底层漏洞的防护机制，则设备还是存在被黑客轻松绕过的风险；价值：提供L2-L7层一体化安全防护能力，安全防护无短板。网站防篡改支持高校不同部门的网站维护及防篡改。背景：高校信息中心托管业务多为B/S架构，容易被篡改；同时由于各部门/二级学院分别管理自己的系统更新，因此需要给他们开通权限进行维护，通过客户端-服务端方式可给每个部门分配对应运维权限且不会遭受跳板攻击，可在实现业务更新维护的同时保障业务系统安全，防止被篡改。价值：提供虚拟防火墙功能，下发管理权限，减轻负担。方案价值构架极安全的校园无线网通过信锐无线控制器、深信服上网行为管理、深信服下一代防火墙、安朗认证服务器进行多方联动，实现极安全的校园无线网络。接入安全接入安全包括接入认证、终端准入、非法接入点检测及抑制、无线空口加密。接入认证校园网络师生采用PPPoE认证、802.1X、Portal认证，安全系数高，通过用户接入认证，不仅可以对接入网络的用户身份进行合法性认证，而且可以为不同的用户进行分组，不同的用户访问不同的资源。认证网关设置在核心BRASME60上，实现有线网络、无线网络的统一认证。同时，可以开放一个免费的WIFI提供给前来学校的交流学者、合作伙伴、流动人员，通过关注学校微信公众号或者下载学校APP即可获得一定访问时长的免费上网权限，提升学校服务水平。终端准入及管控通过MACOUI、DHCPOption、HTTPAgent自动识别终端类型，可实现基于终端类型的接入准入，即对安卓、苹果、Windows等智能移动终端以及笔记本和台式机，在接入无线网络时，根据配置的准入策略进行限制或放通，比如在实验室区域只运行笔记本接入，不允许移动终端接入。非法接入点检测及抑制非法接入点，如私接无线接入点、共享热点、AD-Hoc等，其威胁主要是对校园无线网的干扰以及诱使用户接入从而盗取用户信息，通过wIPS，检测无线环境中存在的攻击和危险行为，实时告警并产生日志，并对指定类型的攻击对象执行反制。无线空口加密众所周知，无线网络是以空气为介质进行传播的，数据通常被暴露在空气中，高校中一些好奇的学生利用无线空口抓包工具进行破解账号密码、数据分析等，对无线校园网的造成安全隐患，通过对无线空口采用高安全性的802.1x、第二代Portal认证，对用户认证数据以及业务数据进行安全加密，可有效防止空口数据被窃听。上网安全学校教育资源众多，学生信息系统、教务系统等，加上学校师生人员众多，必须针对不同的用户、不同的接入位置、不同的时间段进行访问控制，通过基于应用层的访问控制，灵活控制师生的上网权限，师生只能访问已授权访问的系统，防止非法的、未经授权的越权访问，相比于传统的基于MAC、IP地址、端口的ACL访问控制策略更精准、更强大。深信服上网行为管理设备连续9年市场占有率第一，拥有全国最大的应用识别库，精准识别2300多种网络应用和千万级的URL地址，将违法、违规、暴力、黄色等不良网页过滤掉，净化网络环境；同时过滤钓鱼网站、恶意广告、垃圾博客，防止用户不慎访问不受信的网站带来的上当受骗。为了进一步保证学校的信息安全，对特定的系统资源以及网络舆论进行保护，对与学校的系统、BBS论坛、贴吧等相关的网络行为进行审计记录，当疑似出现安全问题时，能够做到有迹可循。深信服上网行为管理设备可对无线及有线用户进行上网行为审计，包括但不限于HTTP外发内容、访问的网站和下载、邮件、FTP、TELNET、其它网络应用、网页内容、ACL拒绝行为、以及上网流量与时长控制。内网安全通过对整个校园网进行安全域划分设计，结合深信服下一代防火墙进行实时漏洞分析、服务器底层漏洞防护、异常流量检测、文件上传检测、僵尸网络检测、敏感页面保护、网站防篡改等技术保障，并进行可视化报表呈现、安全日志汇总，全面保障校园网内网安全。通过在数据中心出口部署下一代防火墙实现计算环境安全域与外部区域的安全隔离，同时下一代防火墙具备网络层防火墙、入侵防护、web应用防护、服务器防护、数据库中间件防护、业务防护、代码防护、防篡改、防泄密等2-7层的一体化防护功能，可以在数据中心边界形成一体化防护。同时可满足信息安全等级保护三级、四级的网络及边界等安全要求。体验极佳的无线网络全校无缝漫游通过对学校宿舍、食堂、教室、室外等校园所有区域进行高质量的信号覆盖、合理的信道和功率规划，保证学校的各个场景中都得到充分、稳定的无线信号。校内的用户可以在校园内的任何一个地点，包括宿舍、图书馆、教室、操场等都能根据需要随时随地地接入网络。同时，采用新一代Portal+MAC无感知认证，并配合Portal认证有效期、断线重连不需要再次认证的时间阈值，可实现只需要第一次认证成功，即可在多个场景接入上网，无需重复输入密码，简化认证过程，实现真正的全校无缝漫游。（以下为可选方案）：本建设方案采用AC集结号组网，通过中心AC对三所学校的AC进行统一集中管理，可实现三所学校之间的认证漫游，即从人文科技学院到派斯学院可自动连上校园网络。高速上网体验本次无线建设全部采用支持802.11ac协议的高性能AP进行无线覆盖，为师生提供高并发、高吞吐的下一代无线网络，实现千兆级无线接入，帮助师生随时随地的接入互联网及校园内网。高带宽大容量的有线网络，保证学校室内每个区域的密集用户的流畅上网需求，有线无线统一出口，出口网络支持大用户容量，实现优化后的有线网络达到万兆骨干、出口，千兆到楼层、千兆到桌面的有线网络。网络缓存加速移动互联网时代互联网应用程序众多且庞大，小则几M大则几G，高校师生几万人，很好多共性的APP和应用程序，比如QQ、微信、支付宝、PPS等应用，传统的无线网络每个人每一次都需要消耗互联网出口带宽进行下载和更新，给学校出口带来了居然的压力。基于此，信锐无线网络充分发挥应用层技术优势，独创了APP缓存加速技术，自动把用户首次下载的APP程序缓存到本地（控制器或者AP插U盘），当第二个用户下载同样APP时，将直接从本地硬盘中提取下载，有效节省了出口带宽资源，缓解带宽压力，加快了网络下载速度和访问速度。全光敏捷极简扁平化网络超级高可靠性网络核心层敏捷交换机采用交换网集群CSS2（ClusterSwitchSystem2）技术，支持主控1＋N备份，集群系统中只要保证任意一框的一个主控板运行正常，多框业务即可稳定运行；汇聚层和接入层交换机分别使用CSS（ClusterSwitchSystem）和iStack技术，从逻辑上组合成一台交换机，通过集群+堆叠的无环网络方案保障网络可靠，再通过设备本身99.999%的电信级可靠综合保障校园网应用的稳定运行。无线网络层面采用控制器集群技术、AC冗余灾备及逃生技术、认证冗余灾备及逃生技术，AC对AP分层管理、AC之间垂直备份，全方位提高校园网可靠性。极简运维管理引入先进的敏捷网络设计理念，把WLAN领域中“AC管理AP”的优秀实践应用到“核心交换机管理接入交换机”上，实现开局时接入交换机和AP的“零配置”，同时免除了海量接入交换机的繁琐配置；进一步通过全网敏捷纵向虚拟化技术，使得原来“核心/汇聚+接入交换机”的网络架构，虚拟化为一台设备进行管理，最大程度简化信息中心老师的日常运维、配置和管理工作。随心所欲的运维管理校园无线网络日常运维核心关键是无线控制器和无线AP，因此采用可视化、易用性WEB管理+APP管理的方式双重结合，让运维管理人员能随心所欲的管理校园无线网络。运维管理人员可以利用手机APP即可实现AP状态查看、AP离线推送告警、账号审批等功能。采用SNMP网管平台对校园网核心交换机、上网行为管理、无线控制器等有线无线设备进行运维管理。设备简介华为核心交换机S12700S12700交换机功能简介如下：全可编程架构，SDNReady华为首创ENP芯片技术，针对以太网专属设计。天然支持大表项和大缓存：同时以领先传统NP芯片1倍的转发性能，更好地适应快速发展的以太网业务。在完全覆盖传统交换机能力基础上，S12700可编程实现任意转发自定义，实现业务与硬件解耦。有线无线网络真正融合可编程单板内置无线AC功能（NatvieAC），有线无线统一转发、统一控制、统一管理，实现有线无线一体化真正融合。精准的用户管理和运维管理可编程单板随板实现BRAS功能（NativeBRAS），实现从以设备为中心的简单粗放管理到以用户为中心的精准管理的变革。支持802.1X/MAC/Portal等多种灵活认证方式。支持基于流量和时长的多样化计费方式。卓越的业务处理性能整机提供最大26.88T交换容量，未来可平滑扩展至64T，满足高密度的10GE/40GE/100GE端口线速转发。支持48*10GE，16*40GE，4*100G等高密线速线卡。整机最大支持576个10GE端口，192个40GE，48个100GE端口，充分满足多媒体视频会议、数据访问等大带宽应用需求，免去频繁升级设备的烦恼。持续创新的CSS2交换网硬件集群技术S12700创新支持CSS2交换网集群技术。CSS2交换网集群采用交换网硬件集群，消除软件故障风险，MTBF提高41%。CSS2交换网集群支持主控1＋N备份，集群系统中只要保证任意一框的一个主控板运行正常，多框业务即可稳定运行，解决了传统集群系统中如果一框无主，则集群分裂流量丢失问题。CSS2交换网集群采用控制平面与监控平面分离，即使主控板故障，监控板依然可以保障转发平面正常供电。华为BRAS网关ME60-X8IP网络正处于向智能化的电信级IP承载网转型的过程中，核心网边缘设备的智能化是实现网络转型的关键。核心网边缘设备必须从简单的IP转发设备转型为智能化的多业务控制网关，以支持3G、NGN和IPTV等电信业务的开展。ME60多业务控制网关（简称ME60）正是为满足这一转型需求而开发的智能化多业务控制网关设备，可充分保证各项电信业务的安全性、可靠性和QoS。基于ME60及相应的解决方案，运营商可以构建智能化的电信级IP承载网，实现IP网络的转型，将传统电信业务向新网络迁移。ME60将用户管理、安全控制、业务控制等各种功能有机地集成在一起，克服了传统路由器、防火墙等设备无法适应电信级运营需求的缺陷，实现了用户级的管理和控制，可大幅降低运营成本，为电信业务运营提供基础平台。ME60通过业务层与承载层的关联，实现对各类业务的用户鉴别、呼叫控制、策略控制、QoS保障、安全保障等功能。ME60包括五款产品类型：ME60-X16、ME60-X8、ME60-X3、ME60-16和ME60-8。产品特点ME60具有以下特点：大容量，支持海量并发用户−400G硬件平台，支持40GBRAS。−单框支持256K并发用户。完善的可靠性机制，降低运维压力−支持多机热备份：机框间全业务热备份，200ms快速倒换。−用户PPPoE上线速度快：1000用户/机箱/秒，一万用户可以秒级上线。全业务承载，为电信级业务运营保驾护航−提供完善的精细化运营能力。−完整的HQoS解决方案，HQoS、DS-TE和MPLSHQoS，保证多场景的QoS部署。−增强视频解决方案：实现FCC，RET等功能，增强用户视频体验；提供iRSM解决方案，快速实现故障定位。−集成WLANAC特性，实现WLAN用户和固网用户的统一接入认证，大大降低FMC网络TCO。华为大容量OLTMA5800TSmartAXMA5800多业务接入设备（以下简称MA5800）是业界首个分布式架构的智能OLT（OpticalLineTerminal，光线路终端）平台，定位为面向NGPON的下一代OLT平台，满足“更快、更广、更智能”的超宽网络发展需求，为用户打造更优的业务连接体验。产品亮点与应用超大带宽MA5800采用分布式转发架构，每个业务板均有独立的转发引擎，能独立完成FIB表查询和报文转发，相对于传统OLT，突破集中式架构交换容量瓶颈，具备大容量10G-PON、40G-PON及100G-PON无阻塞接入能力，极大提升了系统交换容量和性能。背板单槽位带宽为200Gbit/s。单槽位支持2000个用户使用100Mbit/s带宽。系统的用户数、带宽以及MAC地址可以按需扩容，减少初期建网投资。固定和移动网络融合MA5800支持全业务的PON和P2P接入，满足家庭接入、企业接入、移动承载和WiFi热点回传等各种业务场景需求。MA5800融合了OLT和汇聚交换机的功能，具备接入汇聚一体化能力，从而减少了设备类型、机房空间占用和能耗，简化了网络层次。由于网络故障点减少，网络质量和管理维护效率也得到很大提升。智能MA5800具备基于SDN（Software-definedNetworking，软件定义的网络）的智能业务能力，硬件采用可编程NP架构，保证新业务快速敏捷部署，提供更好的业务体验。高可靠性设备：支持主控板ISSU（In-ServiceSoftwareUpgrade）；支持双主控板、双电源板冗余备份；单板支持在线检测和修复；支持业务过载控制。网络侧：支持链路聚合和MSTP环网保护，保证业务不中断。接入侧：支持GPONTypeB和GPONTypeC保护。绿色节能MA5800遵从欧盟CoC（CodeofConduct）V4能效标准，充分考虑了绿色节能设计，保证产品最终能耗，噪声，散热的最优化，尽可能降低设备能耗，减少环境污染，降低运营成本。华为远端MDUMA5626SmartAXMA5626是业界领先的PON远端MDU产品。该系列产品可满足政府、学校及中小企业用户无线覆盖、视频监控和宽带上网等建设需求。设备适用于桌面、楼道、户外等多种安装环境，便于安装与维护，并具备宽温域、低功耗、无噪声、稳定可靠和绿色节能等多种特性。该产品上行通过GPON/EPON连接到OLT，下行通过FE连接摄像头或无线AP，提供视频监控和无线覆盖业务的回传通道，可满足园区、能源、交通等视频监控、无线覆盖等需求。MA5626支持POE技术，解决AP终端和视频摄像头的供电问题。桌面终端MA5871主要性能10GGPON:上行2.488Gbit/s，下行9.953Gbit/s基于以太口的VLANTag/Tag