一、概述

1、項目背景

//根據客戶實際情況填寫

 2、項目需求分析

//根據項目實際需求填寫

 3、網絡建設目標

通過本次項目，建立一個設計規范、功能完備、性能優良、安全可靠、有良好的擴展性與可用性并且具備可管理易維護的網絡及系統平臺，以高效率，高速度，低成本的方式提高工作效率與執行效率。本項目中終端接入方式存在有線和無線；同時為了簡化出口的部署，將安全審計、運維管理提供融合的基礎設施滿足需求。所以信息化建設中園區網絡的核心建設目標主要有以下幾個方面：

? 網絡高速穩定

? 有線無線融合

? 安全防護全面

? 運維管理智能

二、設計方案

1、網絡總體設計

1.1總體建設原則

園區網是企業、政府、學校、醫療等機構各業常見的內部網絡，組網上需要和廣域網、數據中心網絡相連接，核心是用戶、訪客、合作伙伴等網絡接入、數據交換和安全隔離等需求的實現。一般對于園區網而言，注重的是網絡的簡單可靠、易部署、易維護。因此在園區網中，拓撲結構通常以星型結構為主，主要的建設原則有：

實用性原則：實用性原則主要體現在以下方面：以現行需求為基礎，適當考慮發展的需要為依據來確定系統規模。選擇成熟、先進、維護量小、使用方便的技術設備和措施。創造一個開放的網絡平臺。

安全性原則：網絡系統提供多種有效的安全控制機制，以防止機密泄露和影響正常工作。有線無線網絡系統應提供一套完整的安全防范措施，能夠有效地防止系統外部人員的非法侵入。

可靠性原則：系統設計能有效的避免單點失敗，在設備的選擇和關鍵設備的互聯時，應提供充分的冗余備份，一方面最大限度地減少故障的可能性，另一方面要保證網絡能在最短時間內修復。

成熟和先進性原則：根據網絡應用及重要性，設計時將必需使用成熟商用和領先的先進技術，保證網絡與業務的可靠性。

規范性原則：系統設計所采用的技術和設備應符合國際通用標準，為系統的擴展升級、與其他系統的互聯提供良好的基礎。

開放性和標準化原則：在設計時，要求提供開放性好、標準化程度高的技術方案；設備的各種接口滿足開放和標準化原則。

可擴充和擴展化原則：所有系統設備不但滿足當前需要，并在擴充模塊后滿足可預見將來需求，如帶寬和設備的擴展，應用的擴展等。保證建設完成后的系統在向新的技術升級時，能保護現有的投資。

可管理性原則：整個系統的設備應易于管理，易于維護，操作簡單，易學，易用，便于進行系統配置，在設備、安全性、數據流量、性能等方面得到很好的監視和控制，并可以進行遠程管理和故障診斷。

1.2園區網建設邏輯結構

園區網是業務承載網，滿足用戶、終端與業務系統之間的互聯，根據模塊化設計的園區，園區網分為園區內部網絡和園區外部網絡，外部網絡主要提供廣域網互聯、Internet互聯、合作伙伴、移動辦公、分支互聯以及訪客的接入。園區內部網絡根據邏輯功能主要分為五個模塊和兩個區域。參見下圖：

圖2-1 園區網絡邏輯結構示意圖

園區內部網絡根據邏輯結構從上往下分為五個層次：

? 園區出口層：

園區出口是園區網絡到外部公網的邊界，園區網的內部用戶通過園區出口設備接入到互聯網、分支機構以及企業外部用戶（包括客戶、合作伙伴、遠程用戶、VPN用戶等）也通過園區出口設備接入到內部網絡。

? 核心層：

核心層負責整個園區網絡的高速互聯。核心層設計一般要兼顧網絡利用率和網絡可靠性；需要對網絡故障具備快速收斂的能力。

? 匯聚層

匯聚層將眾多的接入設備和大量用戶經過匯聚后再接入到核心層。匯聚層目的是擴展核心層接入用戶的數量。匯聚層通常還作為用戶三層網關，承擔L2/L3邊緣設備的角色，提供用戶管理、安全管理等各項跟用戶和業務相關的處理。在網絡規模較小的情況下，接入和匯聚可以合并，提供兩層架構。

? 接入層

負責將各種終端接入到園區網絡，通常由以太網交換機組成。當前隨著移動終端的普及，無線接入的需求逐漸旺盛。所以園區接入層目前需要考慮有線無線的融合，需要無線AP、AC甚至物聯網模塊。

? 終端層

包含園區內的各種終端設備，例如PC、筆記本電腦、打印機、傳真、POTS話機、手機、攝像頭等等。

園區網還有兩個重要的管理區域，一個是運維管理區，另一個是DMZ區。

運維管理區：提供對網絡、服務器、應用系統進行管理的區域。一般滿足FCAPS模型的網絡管理，主要包括故障管理、配置管理、性能管理、安全管理等。

DMZ區：通常公用服務器部署于該區域，為外部訪客（非企業員工）或者遠程辦公用戶提供相應的訪問業務（比如Email、Ftp服務器、DNS等），其安全性受到嚴格控制。

除了以上模塊外，園區網絡還承擔和數據中心互聯的功能，滿足終端到應用之間的訪問權限控制和業務的隔離。

1.3園區網建設物理拓撲

根據上述園區網絡設計的邏輯結構，一般園區網絡設計的物理拓撲如下圖2-2所示。

該物理拓撲的主要特點有：

? 核心層采用雙機部署，具備高可靠性，滿足園區業務的高速穩定互聯。

? 網絡采用分層設計，包括核心層、匯聚層、接入層（匯聚接入根據規模可以合并）。

? 有線無線一體化設計，實現一體化管理、一體化供電。

? 采用網絡管理軟件管理全網所有網絡設備。

? 智能平臺同時可以提供用戶、終端的接入管理，實現人、設備、業務的智能運維。

圖2-2 園區網絡物理拓撲結構圖

1.4本次方案設計拓撲

// 本小節需要根據客戶具體需求設計描述和拓撲圖

// 以下為示例部分，請跟進實際情況修改

 本次網絡建設，用戶主要需求有：

1、 本次全部新建網絡（網絡改造）；有線接入用戶數200人；終端接入（打印機、攝像頭）等100個，需要信息點500；

2、 考慮到本次網絡規模和部署情況，本次采用兩層架構模型；

3、 無線網絡需要提供300的接入終端；

4、 無線部分區域采用高密接入，全部放裝；

5、 出口有安全審計需求；

6、 有線無線網絡以及認證系統需要提供統一管理平臺，簡化運維。

根據以上需求，本次規劃拓撲圖如下所示：

圖2-3 本次網絡建設物理拓撲設計圖

2、園區有線網絡設計

2.1 總體設計原則

園區網絡的核心層交換機承載著整網的內部數據交換，主要任務是把大量來自接入層的數據進行匯聚和集中，承擔路由聚合和訪問控制的任務。作為整個園區的核心，除了需要考慮性能外，也需要考慮穩定性及可靠性。總體來講，核心區域設計需要滿足以下幾個原則：

? 層次化原則：核心層、匯聚層、接入層，每層功能清晰，架構穩定，易于擴展和維護。

? 模塊化原則：每一個部門一個模塊，部門內部調整涉及范圍小，定位問題也容易。

? 可靠性原則：雙節點冗余性設計，適當的冗余性提高可靠性。

核心層需要采用全連接結構，保持核心層設備的配置盡量簡單，并且和業務部門無關。核心層設備需要具有高帶寬、高轉發性能。核心設備雙機互聯，核心匯聚之間建議采用萬兆/千兆光纖連接。在兩臺核心設備之間我們采用H3C特有的IRF2（多虛一）彈性智能堆疊技術，使2臺設備從邏輯上虛擬成一套設備。通過堆疊后不僅提高了設備的整體性能，也提高了鏈路的高可靠性、增加鏈路帶寬、保證設備了數據的可靠性傳輸。

 2.2 層次化設計

整個網絡為了便于運維，將網絡按照經典的三層結構（接入層、匯聚層、核心層）進行部署。通過分層部署可以使網絡具有很好的擴展性（無需干擾其它區域就能根據需要增加容量），可以提升網絡的可用性（隔離故障域降低故障對網絡的影響），可以簡化網絡的管理（拓撲結構結構更清晰）。

1）接入層：提供Layer2的網絡接入，通過VLAN劃分實現接入的隔離，接入層完成以下的功能：

? 實現PC、打印機等有線終端的高性能接入，本次網絡采用千兆帶寬接入；

? 各功能分區的接入層相對獨立，連接到對應功能區的匯聚層；

? 接入層下不能再掛接任何網絡設備，包括HUB、SOHO路由器等。

2）匯聚層：作為接入層和核心層的分界層，完成各功能分區IP地址或路由區域的匯聚，匯聚層完成以下的功能：

? 不同業務功能的匯聚；

? 本功能區VLAN 間的路由；

? 廣播域或組播域的邊界；

? 在匯聚層實施功能區內、功能區之間的安全訪問策略。

3）核心層：提供各區域間的高速三層交換，核心層完成以下的功能：

? 采用萬兆光纖與各區域匯聚設備形成互聯，形成萬兆骨干網絡；

? 核心層不進行終端、服務器系統的連接；

? 核心層不實施影響高速交換性能的ACL等功能。

2.3 安全性設計

園區網絡設計采用基于業務和部門進行模塊化設計，不同的部門是一個獨立的網絡模塊。模塊化設計時，盡量做到各模塊之間松耦合，這樣可以很好的保證統一平臺的業務擴展性，擴展新的業務系統或模塊時不需要對核心或其它模塊進行改動。同時模塊化設計也可以很好的分散風險，在某一模塊（除核心區外）出現故障時不會影響到其它模塊，將統一平臺的故障影響降到最小。

同時園區網絡安全設計需要考慮網絡內部的業務隔離、訪問控制以及園區出口的安全策略。本小節主要關注園區網絡內部之間的網絡訪問安全控制。不同部門通過VLAN進行隔離，在匯聚上通過ACL進行訪問權限的初步控制。出口安全設計參見園區出口設計章節。

2.4 虛擬化設計

整個有線網絡采用成熟的網絡架構和技術，包括設備橫向虛擬化技術高密萬兆骨干設備、千兆接入設備等，實現一張高可用園區網絡。

圖2-4 網絡虛擬化示意圖

整個網絡劃分為物理上的三層架構（即核心層、匯聚層和接入層），匯聚層和核心層通過縱向虛擬化技術虛擬化為一個層次，所以邏輯上的網絡架構是二層架構（即核心層、接入層）。

IRF2.0橫向虛擬化技術

通過網絡設備N:1虛擬化技術對同一層面的設備進行橫向整合，將兩臺或多臺設備虛擬為一臺設備，統一轉發、統一管理，并實現跨設備的鏈路捆綁。因此不會引入環路，無需部署STP和VRRP等協議，簡化網絡協議的部署，大大縮短設備和鏈路收斂時間（毫秒級），鏈路負載分擔方式工作，利用率大大提升。

實際組網中，在部署橫向虛擬化整合之后，對上、下層設備來說，它們就是一臺設備，網絡從服務器網卡接入至匯聚、核心交換機，二層鏈路可實現端到端捆綁。橫向虛擬化技術可以部署在核心層、匯聚層和接入層，如下圖所示：

圖2-5 IRF2.0和傳統方式對比

本次有線網絡設計方案中，采用橫向虛擬化技術連接，通過這種方式核心交換機具有以下優點：

1）提高可靠性。橫向虛擬化的高可靠性體現在多個方面：其一、橫向虛擬化由多臺成員設備組成，實現了設備的1:N備份；其二、橫向虛擬化虛擬化設備可實現跨設備的鏈路聚合，與上、下層設備之間的鏈路聚合功能，多條鏈路之間可以互為備份也可以進行負載分擔，從而進一步提高了橫向虛擬化的可靠性；其三、橫向虛擬化的成員設備切換和鏈路切換時間均為毫秒級，相比傳統的MSTP+VRRP協議的秒~十秒的收劍時間，網絡的故障自愈時間有了數量級的提升。

2）提高帶寬。通過跨設備鏈路捆綁技術，可以將傳統的主、備鏈路模式轉變成雙活模式，通過實現鏈路的負載分擔，避免備份鏈路閑置，從而實現鏈路帶寬的成倍增加。

3）簡化管理。橫向虛擬化形成之后，用戶通過任意成員設備的任意端口都可以登錄橫向虛擬化系統，對橫向虛擬化內所有成員設備進行統一管理。此外，由于多臺設備虛擬為一臺設備，此時的網絡邏輯拓撲簡化為點到點的直連，消除了傳統的組網環路，因此可大大簡化乃至消除MSTP協議的部署，橫向虛擬化設備對外表現為一個網關，也無需部署VRRP協議。同時，由于橫向虛擬化進行了N：1的橫向整合，網絡中設備的數量將大大減少，路由協議的鄰居關系、設備Loopback地址、網絡接口互連地址也會隨之減少，達到節省網絡IP資源并簡化了網絡運維的目的。

4）強大的網絡擴展能力。通過增加橫向虛擬化成員設備，可以輕松自如的擴展橫向虛擬化的端口數、帶寬。因為各成員設備都有CPU，能夠獨立處理協議報文、進行報文轉發，所以橫向虛擬化還能夠輕松自如的擴展處理能力。

IRF3.1縱向虛擬化設計

H3C IRF3.1縱向虛擬化技術作為一種網絡設備虛擬化技術，具有很強的橫向整合作用，即在不改變網絡物理拓撲連接條件下，將網絡同一層的多臺設備橫向整合，從邏輯上簡化了網絡架構并提升了網絡整體效率。但是，在大規模的網絡要求大容量二層網絡且要求跨設備冗余的場景下，接入層為了實現冗余，需要兩層橫向虛擬化技術或者類似技術組網。雖然一個橫向虛擬化堆疊僅為一個管理點，但不同網絡層次，特別是接入層仍然有大量的小堆疊（如二臺設備組成），此時這個網絡系統的管理點數量仍相當可觀。

縱向虛擬化技術作為一種縱向堆疊管理技術，可把原來兩層橫向虛擬化組網中的接入設備融合進一個大的堆疊系統，成為一個邏輯上更大的單一管理系統。這一管理上移的思路帶來兩個明顯的優點：

（1）有效減少接入層管理設備數量，給簡化網路管理提供了技術支撐；

（2）可節省原接入設備橫向的堆疊線纜，降低系統TCO。

下圖是一個采用縱向虛擬化的例子。

圖2-5 縱向虛擬化示意圖

本次接入層交換機和匯聚層交換機之間部分通過縱向虛擬化技術連接，這樣連接的優點如下：

1） 縱向虛擬化部署中的多級冗余和高可靠性。

縱向虛擬化方案不僅支持虛擬接入層的冗余，而且也支持核心（匯聚）層的冗余，能更全面提升系統級的可靠性。

2）L2/L3流量線速轉發

縱向虛擬化中承擔CB角色的所有設備，包括框式設備和盒式設備均支持二層、三層流量的線速轉發。既不需要增加額外的板卡，而且L2/L3流量完全線速。

3）PE設備支持雙模式和保護用戶投資

PE設備支持兩種運行模式，即標準交換模式和PE模式。兩者模式可以通過命令行或者網管進行切換。設備出廠缺省設置為標準交換模式；當和支持縱向虛擬化縱向管理的設備互連且縱向特性開啟的情況下，設備可自動感知切換到PE模式，也就是支持即插即用。雙模式特性使得用戶可根據自身網絡系統建設組網的需要進行選擇，在不犧牲縱向設備“即插即用”等簡化管理功能的情況下，很好地保護了用戶投資。

4、園區無線網絡設計

4.1無線網絡架構設計

本次項目采用先進的集中式管理的瘦無線AP＋集中控制器架構，該無線架構具有簡單而強大的無線局域網集中式管理功能，AP本身并不存放任何的配置文件，AP的配置是從無線物聯網控制引擎上獲取的，通過無線控制引擎就可以統一管理整個無線網絡的AP與物聯網標簽。網管人員只需簡單地配置無線交換機，即可實現開通、管理和維護所有AP設備以及移動終端，包括無線電波頻譜、無線安全、接入認證、移動漫游以及接入用戶。

無線控制引擎+瘦無線AP的架構,在實現對園區網絡進行無縫覆蓋的同時,又能夠實現對無線網絡的靈活管理配置,提高網絡維護效率。

基于網絡規模，在管理AP數小于32時，為減輕網絡建設成本，無線控制器可以通過ICT網關集成的模式提供；對于規模較大的無線網絡，無線控制器仍采用獨立AC的架構。

4.2 無線性能設計

無線局域網是利用射頻技術實現無線通信的局域網絡。該技術產生于20世紀80年代,WLAN主要是作為傳統布線LAN的延展和替代,它能支持較高數據速率(1～300Mbit/s)、采用微蜂窩、微微蜂窩結構的,自主管理的計算機局部網絡。還可以采用無線電或紅外線作為傳輸媒質,采用擴展頻譜技術,移動的終端可通過無線接人點來實現對Internet的訪問。

無線局域網有以下常用標準:

1) IEEE802.11b

  802.11b(通常又稱Wireless Fidelity, WI-FI),是現在最普及的無線標準之一。設備工作在2.4GHz的范圍內,帶寬可以達到11Mbps。

2) IEEE802.11a

  802.11a標準是一個獲得正式批準的無線以太網標準。它工作在5GHz頻段上,使用正交頻分復用技術,將5GHz分為多個重疊的頻率,在每個子信道上進行窄帶調制和傳輸,以減少信道之間的相互干擾,使帶寬可以達到54Mbps。

3) IEEE802.11g

  802.11g是一種混合標準,能向下兼容傳統的802.11b標準。IEEE802.11g的54Mbps高數據吞吐量比802.11b快出5倍,將改善已有的應用性能,使高帶寬數據應用成為可能。802.11g產品可以在同一個網絡中與802.11b產品結合使用。

4) IEEE802.11n

  IEEE802.11n將WLAN的傳輸速率從802.11a和802.11g的54Mbps增加至108Mbps以上,最高速率可達320Mbps。與以往的802.11標準不同,802.11n協議為雙頻工作模式(包含2.4GHz和5GHz兩個工作頻段)。這樣11n保障了以往的802.11a、b、g標準兼容。另外,天線技術及傳輸技術使無線局域網的傳輸距離大大增加,可以達到幾公里。

5) IEEE802.11ac

IEEE 802.11ac，是一個802.11無線局域網（WLAN）通信標準，它通過5GHz頻帶進行通信。理論上，它能夠提供最少1Gbps帶寬進行多站式無線局域網通信。802.11ac是802.11n的繼承者。它采用并擴展了源自802.11n的空中接口（air interface）概念，包括：更寬的RF帶寬（提升至160MHz），更多的MIMO空間流（spatial streams）（增加到 8），多用戶的 MIMO，以及更高階的調制（modulation）（達到 256QAM）。

6）IEEE802.11ac WAVE2

802.11ac Wave 2的Wi-Fi規格由于支援多用戶多重輸入多重輸出(MU-MIMO)，不僅可讓無線存取點(AP)射頻頻譜運用得更有效率，也能使下行鏈路的訊框同時傳送到多個基地臺，進而提供比單用戶MIMO技術更高的容量。

本方案為了更好的承載園區網絡的無線業務，根據不同場景的應用特點，分別采用了不同的部署方案，并充分考慮了擴展性，采用802.11ac wave2的設備標準，詳細的設備選型參見第3章 設備選型。

4.3 無線控制引擎AC部署設計

本項目無線控制器作為整個院區無線網絡的管理設備，通過2個千兆鏈路連接到核心交換機。無線控制器最大可支持超過256個AP的管理，能夠很好的滿足本次全院的無線覆蓋的需求。控制器最大可支持2Gbps的數據處理能力，將保證整個無線網絡平臺的快速及高效性。

l 高性能備份

無線控制引擎支持業務熱備份，無線AP會同時和兩臺無線控制引擎建立VPN鏈路，當無線AP直接連接的控制發生異常時，備份控制器進行快速鏈路切換，保證業務的不間斷運行。

l 統一配置

醫院內所有無線控制引擎的配置需要進行統一，當為一臺主無線控制引擎對無線網絡系統進行配置后，其他所有從控制器都從主控制器進行同步配置，降低無線網絡的維護管理成本，提高效率。

l Portal 熱備

當多臺無線控制引擎工作在雙機模式時，可以實現Portal認證高可靠。用戶通過其中一臺控制引擎完成Portal認證。雙機將相互同步用戶的認證狀態等數據。任何一臺控制引擎 down時，由于另臺控制引擎已經預同步了用戶的認證數據，所以可以避免Portal重認證和用戶業務中斷，滿足了電信級可靠性需求。

l DHCP Server熱備

當2臺無線控制引擎工作在雙機模式時，用戶通過其中一臺控制引擎獲得DHCP地址分配后，控制引擎間將同步地址池信息。一臺控制引擎 down機后，當用戶IP地址租約到期時，將發起DHCP請求續約。另一臺控制引擎用預備份的地址池數據回應續約，避免了為用戶重新分配地址和用戶業務中斷。

本方案所選無線控制器可支持H3C最新開發的IRF模型，相比普通級聯的IRF模型，星型模型采用二層網絡（虛擬成一個中心點）連接多臺設備，組網更靈活方便。

4.4 無線接入設備AP部署設計（醫療場景可選）

本方案為了更好的承載醫院無線業務，根據醫院院區場景的應用特點，采用了先進的分布式無線部署方案，并充分考慮了擴展性，并支持醫療物聯網的擴展，采用了802.11ac WAVE2 的高性能的無線物聯網融合AP進行無線的覆蓋。

針對醫院病區，包括病房、護士站、走廊、配藥室、隔離病房、會議室、大套間、醫生辦公室、雜物間等，功能區眾多，而且住院病房門口的衛生間成為了Wi-Fi信號最大的障礙。智能終端原本就已經不是很強的Wi-Fi信號，在穿越兩層墻體后，信號已經衰減了很多，很難支撐正常的智能終端對信號的要求。

考慮到病區的特殊場景，本方案采用AP入室的設計方式，使病房內的無線信號不受任何墻體的阻隔，使信號達到最優。

本方案無線AP采用H3C新一代融合物聯網AP進行病區無線信號的覆蓋。

H3C自主研發的終結者方案，支持802.11ac Wave2最新技術標準。終結者AP方案可廣泛應用在醫療、宿舍、公寓、酒店和小型辦公區等多房間場景，能夠實現每個房間部署一個無線接入點，實際信號效果好，有效避免穿墻等因素的影響，同時每房間獨立享用單個接入點千兆帶寬，讓用戶的體驗達到有線接入一般的高速效果。全部內置天線，安裝方式簡單靈活，支持86盒安裝、壁掛、吸頂等多種安裝方式。

針對公共空間和大型會議室、大型辦公室等場景，選用放裝型物聯網AP進行無線覆蓋，H3C新一代基于終端感知型硬件智能天線技術專用于室內精細化覆蓋并支持多種物聯網擴展方式的超千兆高速無線接入設備(以下簡稱AP)，支持最新802.11ac wave2協議，可提供相當于傳統802.11n網絡3倍以上的無線接入速率，能夠實現天線入室覆蓋，取得最佳的覆蓋效果。能夠在設備上采用通用外置模塊增加多種物聯網無線方式的接入。該系列無線產品上行鏈路采用雙千兆以太網接口，突破了千兆速率的限制，使無線多媒體應用成為現實，開啟萬物互聯新時代。通過外置模塊擴展的方式可支持RFID、ZigBee、Bluetooth、ANT等標準T300系列接口模塊的任意組合，T300系列模塊可通過RJ45的方式串接部署。T300為專用的物聯網系列模塊，可根據用戶實際業務需求擴展任意制式的物聯網業務，通過串接的模式解決業務多樣化及并發的需求。

為方便統一管理，提高設備的安全性，本次無線供電設計采用PoE供電的方式對無線AP進行遠程供電。采用PoE方式即通過網線對AP進行供電，PoE供電方式具備以下幾點優勢：首先，安全性更高，通過網線進行供電可以避免本地電源的使用，有效減少強電部署，提高全院的用電安全；另外，通過PoE供電可以實現對AP供電的管理，實現AP的定時開關，一方面提高無線網絡的安全性（不必要使用時可關閉無線網絡），另一方面，還可以日常費用（不必要使用時，關閉AP節省用電）。

方案采用終結者本體AP為病區的分體AP進行供電，并提供本體接入范圍內的AP的智能管理、無縫漫游等功能。擁有26個千兆PoE供電口，2個萬兆光口上行。

4.4 無線接入設備AP部署設計（政府、教育場景可選）

AP設備部署要求

本方案采用痩AP架構，采用針對學校各種場景的方案，所有無線AP設備均采用PoE交換機遠程供電。AP設計的關鍵特性如下：

? 全網采用支持802.11ac協議的無線產品

? 引入和逐步普及先進的802.11ac、802.11ac Wave2

? 用戶認證能與現有接入認證系統對接，利用其中的用戶組屬性及屬性組合進行用戶策略的下發與控制；

? 安全性高。支持無線IDS/IPS、用戶數據加密、能自動發現和防范多種針對無線網絡和終端的無線攻擊行為，能實現對非法無線設備的自動發現、分類和壓制功能，支持無線SAVI；

? 無線網絡系統兼容性好，可用性高，能支持多種主流硬件平臺和操作系統；

? 無線控制設備或無線交換機可支持冗余；

? 實現二三層無縫漫游；

? 支持頻譜檢測分析；

? 支持Native IPv6；

? 良好的管理性。比如可方便查詢用戶的使用情況，至少可根據時間和IP地址兩要素快速查詢是哪個賬號在什么地點使用的。

? 管理策略、用戶使用習慣的一致性；

? 充分考慮有線網的情況，實現有線無線一體化；

? 具備物聯網擴展能力，物聯網和WLAN網絡合二為一，統一管理；

? 網管產品支持開放的接口，廠商具有本地化的研發能力，能夠結合實際應用需求定制開發相關功能。

無線覆蓋范圍設計

根據目前的實際狀況，客戶要求本次建設全部覆蓋，無線建設及基于業務需求考慮如下：