景区智慧系统方案 某智慧景区无线接入网络解决方案

4. 产品选型

根据本项目实际景点的分布，某景区景点均位于室外环境，因此，本项目主要采用室外专用无线AP接入设备。因此，需要室外设备具备并达到防雷、防电、防风、防火，防水，防潮，防尘，防虫，防盗、防爆、防破坏以及耐高温，耐严寒，抗腐蚀等室外防护的国际标准。

· 室外无线接入点AP

室外定向AP选用锐捷的RG-AP630(IDA)，室外全向AP选用锐捷RG-AP630(IODA)，有关产品的详细介绍如下：

RG-AP630(IDA)/(IODA)

RG-AP630系列是锐捷网络推出的面向下一代高速无线网络的无线接入点产品，采用了最新标准的802.11ac协议，目前RG-AP630系列包含三款产品，分别为RG-AP630(IDA)，RG-AP630(IODA)，RG-AP630(CD)。

RG-AP630(IDA)/(IODA)可以提供高达1.75Gbps的接入速率。RG-AP630(CD) 可以提供高达1.167Gbps的接入速率。RG-AP630系列产品充分考虑了无线网络安全、射频控制、移动访问、服务质量保证、无缝漫游等重要因素，配合锐捷网络RG-WS系列无线控制器或云AC产品，完成无线用户数据转发、安全和访问控制。

室外安装示意图

RG-AP630系列采用了IP67防护等级的外壳设计，适合在极端的室外环境中使用，可有效避免室外恶劣天气和环境影响，可高度适应中国北方寒冷天气与南方潮湿天气环境对设备的苛刻要求，大大降低了安装和维护难度。同时，RG-AP630(IDA)/(IODA)内置定向/全向天线，并支持内外置天线切换；RG-AP630(CD)仅支持内置定向天线，可以满足几乎所有环境要求下的室外无线Wi-Fi网络覆盖。RG-AP630产品可支持远程以太网供电模式，特别适合部署在大型校园、企业、医院、景区、商贸广场等运营热点场景中。此外，RG-AP630(IDA)/(IODA)独有的支持802.3at标准的PoE OUT接口对外供电功能，可以极为方便的搭配监控设备，并进行实时的监控视频数据回传。RG-AP630系列还支持多跳及点对多点网桥功能，极大的丰富了室外组网的可行方案。

• 高性能高可靠

· 802.11ac高速无线接入

RG-AP630系列支持802.11n@2.4GHZ、802.11ac@5GHZ协议，RG-AP630(IDA)/(IODA)设备最高可以提供高达1.75G的接入速率，RG-AP630(CD) 设备最高可以提供高达1.167G的接入速率。超强的无线性能极大的优化了无线用户的网络体验，并发用户数量、覆盖范围也显著提高。

· RG-AP630(IDA)/(IODA)内置X-Sense智能天线系统

RG-AP630系列内置天线，能够根据接入设备的位置，进行实时天线波束切换，保证接入终端始终可以获得最佳的网络体验。除了配置内置天线外，RG-AP630系列还支持内外置天线切换功能，可以根据用户的不同需求灵活的选择不同天线。

· 业界最灵活的千兆上联

RG-AP630系列可提供一个10/100/1000Base-T以太网端口上联，使有线口不再成为无线接入的速率瓶颈，同时提供一个千兆SFP端口复用，可适应不同客户现场的有线网络链路形态，支持SFP光口承担数据传输，以太网上联口用来PoE适配器的取电的应用场景，组网更加灵活方便。

· RG-AP630(IDA)/(IODA) PoE OUT端口对外供电功能（可选）

RG-AP630(IDA)/(IODA) PoE OUT端口支持对外供电，可以在部署位置直接连接视频监控设备，并将视频监控数据，通过有线或者无线网络实时传递到监控室，不仅减小了安装监控设备的施工难度，同时也减少了布线成本。在选配60W的PoE电源适配器时，RG-AP630(IDA)/(IODA)的ETH2/PoE Out口可以对支持802.3at/af标准的其它PD设备供电，并将其数据直接回传到RG-AP630(IDA)/(IODA)的上联口。

· 灵活的挂架设计

RG-AP630系列采用了可调式挂架设计，水平方向支持-60°~60°、垂直方向支持-60°~90°调整，优化无线网络覆盖更为简便。

· 灵活的WDS组网模式

RG-AP630系列产品支持WDS（无线分布式系统）技术，可提供AP覆盖或无线网桥。网桥可满足5跳及5跳以下WDS桥接功能，即使在非常远的距离下，也可以完成无线桥接。同时还支持点对多点（CPE应用场景）的网桥功能，使无线组网更加灵活。满足了室外大范围无线覆盖、远距离高速无线互联的网络需求，灵活解决了室外无线部署的难题。

· 智能识别功能

支持终端智能识别，能够识别出Apple、Android等智能移动终端和PC机。

· 业界领先的本地转发

RG-AP630系列继承了锐捷网络一贯领先的智能本地化转发技术，彻底突破了无线控制器产品的流量瓶颈的限制。通过锐捷网络RG-WS系列无线控制器产品的配合，可灵活预配置RG-AP630系列产品的数据转发模式，根据数据的分类以决定是否需要经过无线控制器转发，或直接进入有线网络进行数据交换。智能化本地转发技术将延迟敏感、传输要求实时性高的数据分类通过有线网络转发，而不是毫不区分地全部送进加密隧道传输至无线控制器处理，可以大大缓解无线控制器的流量压力，更好的适应802.11ac网络高流量传输的要求。

· 完美实现用户漫游访问

通过与RG-WS系列无线控制器产品的配合，无线用户在RG-AP630系列之间移动访问时，可以保证二层网络和三层网络的无缝漫游，用户在过程中不会感觉到数据访问的中断。

· 丰富的服务质量保证（QoS）

RG-AP630系列支持丰富的服务质量保证（QoS），如支持WLAN/AP/STA多种模式的带宽限制，可针对重要关键的数据传输应用，提供优先的带宽保证。

· 出色的环境适应能力

RG-AP630系列产品外壳体采用完全密封式防水、防尘、防潮、阻燃设计，满足IP67防护等级要求，可长期放置在户外工作，对于风蚀、雨水、潮湿等恶劣环境下仍然可以正常工作。在保障正常的工作基础上，大大提高了设备的使用寿命，同时可以有效降低用户的后期维护成本。

· 宽松的工作温度范围

RG-AP630系列产品所选用元器件及壳体均采用宽温型产品，工作温度在-40～85℃超大范围内仍可以正常工作而不会影响稳定性和寿命，金属构件可以保障设备在极端酷热环境下的可靠散热，内置智能加热模块可以保障极端寒冷环境下设备的可靠工作，非常适合中国北方寒冷天气与南方潮湿天气环境对设备的苛刻要求。

• 灵活完备的安全策略

· 用户数据加密安全

RG-AP630系列产品支持完整的数据安全保障机制，可支持WEP、TKIP和AES加密技术，彻底保证无线网络的数据传输安全。

· 支持虚拟无线分组技术

通过虚拟无线接入点（Virtual AP）技术，整机可最大提供14个ESSID，支持14个802.1QVLAN，网管人员可以对使用相同SSID的子网或VLAN单独实施加密和隔离，并可针对每个SSID配置单独的认证方式、加密机制等。

· 标准CAPWAP加密隧道确保传输安全

RG-AP630系列产品与锐捷网络RG-WS系列无线控制器产品以国际标准的CAPWAP加密隧道模式通信，确保了数据传输过程中的内容安全。

· 射频安全

在锐捷网络一体化网管系统RG-SNC、RG-WS系列无线控制器产品的配合下，RG-AP630系列产品可启用射频探针扫描机制，实时发现非法接入点或其它射频干扰源，并提供相应的告警，使网管人员可随时监控各个无线环境中的潜在威胁和使用状况。

· 用户安全准入

RG-AP630系列支持WEB、802.1X、MAC地址、本地认证等多种用户准入认证方式供客户选择。不仅如此，RG-AP630系列全面支持我司GSN（Global Security Network）全局安全网络解决方案。遵从标准的网络访问控制体系，从用户的接入、授权、主机的合规到网络行为监控、网络攻击防治等多个层面，对网络准入进行了严格的定义，并通过这种控制，实现了"入网即认证、入网即安全"的建设理念。

· 全面的无线安全防护

配合锐捷网络一体化网管系统RG-SNC以及RG-WS系列无线控制器，RG-AP630系列具备WIDS(无线入侵检测)、射频干扰定位、流氓AP的反制、防ARP欺骗、DHCP安全保护等一系列无线安全防护功能，从根本上为用户构建真正安全可靠的无线网络。

· 提供无线IPv6接入

RG-AP630系列全面支持IPv6特性，实现了无线网络的IPv6转发，让IPv4用户和IPv6用户都可以自动地与AC系列控制器进行隧道连接，让IPv6的应用承载在无线网络中。

· 多种易用性认证方式

支持无感知，短信和二维码访客等多种高效便捷的认证方式。

无线用户通过无感知认证方式接入网络，仅需首次输入账号和密码，避免了开机后再次输入账号密码的过程，让用户一次认证即可轻松上网。

通过短信认证方式的访客接入无线网络后会弹出认证页面，访客可以通过自己的手机号码进行注册，按照接收的短信中的账号密码进行上网操作。

二维码认证是另一种方便访客上网的方式，访客接入无线网络后，可获得二维码提示，通过被访者（员工）的授权后即可访问网络，访客行为与被访者直接关联，提供更佳安全性。

• 丰富全面的管理策略

· 业界最灵活的工作模式

RG-AP630系列产品可支持Fat（胖）和Fit（瘦）两种工作模式，可以根据不同行业客户的组网需要，随时灵活的进行切换。当客户的无线信息点较少时，RG-AP630系列可工作在Fat（胖）模式，可自行独立组网使用；当客户的无线信息点达到一定规模时，RG-AP630系列可工作在Fit（瘦）模式，并配合锐捷网络RG-WS系列无线控制器产品使用，受到无线控制器产品的集中控制，达到全网一体化的控管、安全、流量管理、QoS、IP管理等全面控制。通过两种模式的自然过渡，充分的保护客户的投资。

· 简易的零配置安装

RG-AP630系列产品工作在Fit（瘦）模式时，在安装前无需预设置，在现场安装实施和后期维护中，产品的更换无需重新配置，可随时从无线控制器继承配置信息自动完成配置，将实施和维护的工作量和成本大大降低。

· 完善的远程管理

处于网络任何位置的RG-AP630系列产品，其各项工作参数如信道号、功率等级、SSID设置、安全设置、VLAN划分等，均可以被远端的RG-WS系列无线控制器或云AC集中处理，既降低了本地的管理资源的消耗，也将管理权集中，提高了无线网络的安全性和管理效率。

· 方便部署与维护的以太网供电端口

RG-AP630(IDA)/(IODA)产品支持增强型以太网供电标准协议（802.3at），RG-AP630(CD)产品支持802.3af.其以太网端口可通过PoE供电交换机或PoE供电适配器设备，在以太网线缆上接受通信数据和电力提供。管理员可通过远程网络直接对设备进行操作，同时也避免了电源供电不方便的问题，大大降低了部署难度和安装成本。

• 技术规格参数

（略）

· 无线接入控制器AC

无线控制器选用锐捷的RG-WS6008控制器，有关产品的详细介绍如下：

RG-WS6008高性能无线控制器是锐捷网络推出的面向下一代高速无线网络的无线控制器产品。可突破三层网络保持与AP的通信，部署在任何2层或3层网络结构中，无需改动任何网络架构和硬件设备，从而提供无缝的安全无线网络控制。RG-WS6008起始支持32个无线接入点的管理，通过license 的升级，最大可支持224个AP的管理。

RG-WS6008可针对无线网络实施强大的集中式可视化的管理和控制，显著简化原本实施困难、部署复杂的无线网络。通过与锐捷网络有线无线统一集中管理平台RG-SNC以及无线接入点的配合，灵活地控制无线接入点的配置，优化射频覆盖效果和性能，同时还可实现集群化管理，将网络中的设备部署工作量将至最低。

RG-WS6008产品采用增强的安全和集群技术，通过基于身份的组网来提供网络服务。集群中的多台无线控制器可共享用户数据库，实现无线用户在跨越整个网络不同区域的过程中无缝的漫游，彻底满足移动漫游中的安全性和会话完整性，充分满足Wi-Fi语音通信的数据交互和语音流畅。

• 高智能的无线体验

· 终端智能识别

RG-WS6008内置Portal服务器，能根据终端特点，智能识别终端类型，自适应弹出不同大小、页面格局的Portal认证页面。终端智能识别技术免去了用户多次拖动，调整屏幕的操作，为用户提供更加智能的无线体验，并且全面支持苹果iOS、安卓和windows等主流智能终端操作系统。

· 终端公平访问

RG-WS6008协同锐捷无线接入点为802.11g、802.11n、802.11ac等不同类型的终端提供相同的访问时间，极大的解决了因终端无线网卡老旧或终端离AP较远而导致用户无线上网延时大、速度慢、AP整机性能低下的问题，有效的提升了低速终端的性能，保证用户无论使用何种类型的终端，都将在相同的位置上获得同样良好的无线上网体验。

· 智能负载均衡

在高密度无线用户的情况下，RG-WS6008智能实时的根据每个关联的AP上的用户数及数据流量调整分配到不同的AP上提供接入服务，平衡接入负载压力，提高用户的平均带宽和QoS，提高连接的高可用性。锐捷无线不仅能实现基于用户、流量的智能负载均衡，而且还能实现基于频段的负载均衡。大多数Wi-Fi设备缺省使用2.4GHz频段，而5GHz频段上（802.11a/n/ac）却能获得更大的吞吐性能。基于频段的负载均衡，使支持双频的用户终端优先接入5GHz频段，在不增加成本的前提下，能够增加大约30-40%的带宽利用率，保证了用户的无线上网高速体验。

• 高性能高可靠

· 集中/分布式一体化的智能交换

RG-WS6008可部署于二层或三层网络中，无需改动原有网络架构，与无线AP组成整体交换架构，方便控制和处理所有AP上的数据交换。

业界领先的本地转发技术，彻底突破了无线控制器的流量瓶颈限制。RG-WS6008通过本地转发技术，可灵活配置AP的数据转发模式。即根据网络的SSID和用户VLAN的规划，决定数据是否需要全部经过RG-WS6008转发，或直接进入有线网络进行本地交换。本地转发技术将延迟敏感、传输要求实时性高的数据通过有线网络转发，在802.11ac的大流量吞吐下，可以大大缓解RG-WS6008的流量压力，更好地适应未来无线网络更高流量传输的要求，诸如高清视频点播、VoWLAN传输等。

· 智能射频管理

RG-WS6008可控制AP对无线网络进行按需射频扫描，可扫描无线频段与信道，识别非法AP和非法无线网络，并向管理员发出警报，以便对高安全性的环境提供全天候保护。同时，RG-WS6008可实时控制AP的射频扫描功能，进行信号强度和干扰的测量，并根据软件工具动态调整流量负载、功率、射频覆盖区域和信道分配，以使覆盖范围和容量最大化。

· 全网无缝漫游

RG-WS6008支持先进的无线控制器集群技术，在多台RG-WS6008之间可实时同步所有用户在线连接信息和漫游记录。当无线用户漫游时，通过集群内对用户的信息和授权信息的共享，使得用户可以跨越整个无线网络，并保持良好的移动性和安全性，保持IP地址与认证状态不变，从而实现快速漫游和语音的支持。

· 丰富的服务质量保证（QoS）

RG-WS6008支持丰富的服务质量保证（QoS），如支持多种模式的带宽限制，可针对重要关键的数据传输应用，提供优先的带宽保证。

· 提供无线IPv6接入

RG-WS6008全面支持IPv6特性，实现了无线网络的IPv6转发，让IPv4用户和IPv6用户都可以自动地与AC系列控制器进行隧道连接，让IPv6的应用承载在无线网络中。

• 灵活完备的安全策略

· 本地认证

无线控制器内置本地用户数据库，可结合内置Portal服务器，通过WEB认证的方式，轻松实现无线用户的本地认证。本地认证从用户的实际需求出发，省去了外置Protal服务器和Radius服务器等设备，不仅简化了整个网络的架构，而且还大幅降低了网络建设成本，满足了中小型无线网络建设中用户安全接入的需求。

· 用户数据加密安全

支持完整的数据安全保障机制，可支持WEP、TKIP和AES加密技术，彻底保证无线网络的数据传输安全。

· 标准通信协议

RG-WS6008与AP之间采用国际标准协议CAPWAP进行加密通信，既实现了与有线网络的隔离，又保证了RG-WS6008与AP之间实时通信的保密性。同时，采用标准的CAPWAP协议未来可以支持对第三方厂商AP的控制，便于用户网络扩容，最大化保护用户投资。

· 支持虚拟无线分组技术

通过虚拟无线接入点（Virtual AP）技术，RG-WS6008产品可在全网划分多个SSID，网管人员可以对使用相同SSID的子网或VLAN单独实施加密和隔离，并可针对每个SSID配置单独的认证方式、加密机制等。

· 射频安全

可灵活配置无线接入点产品启用射频探针扫描机制，实时发现非法接入点、或其它射频干扰源，并实时向网管系统提供相应的告警，使网管人员可随时监控各个无线环境中的潜在威胁和使用状况。

· 病毒与攻击防范

通过多种内在的安全机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户使用网络，保证合法用户合理化使用网络，如IP/MAC/WLAN多元素绑定、硬件ACL控制、基于数据流的带宽限速等，满足校园，医院，企业等加强对访问者进行控制、限制非授权用户通信的需求。

· 用户安全准入

支持WEB认证模式，用户使用浏览器即可完成认证过程。

支持客户端的认证模式（802.1x），在实现网络安全的同时，可通过客户端深入用户主机实现主机安全，跟WEB认证不同的是，802.1x适用于严格控制网络安全的区域；此外，认证后仍然能实现IP、MAC、WLAN等元素的绑定信息，保证只有合法的用户才能进入网络。

通过支持锐捷网络全局网络安全解决方案（GSN），灵活实现对进入网络的用户划分访问权限，并且通过用户完整性检查将对网络安全有威胁的用户隔离到安全区域，避免个别用户的行为导致整网断网，从而保护全网的安全。

· 多种易用性认证方式

RG-WS6008不仅支持传统意义上的WEB页面认证方式和802.1X客户端认证方式，来监控用户访问网络的行为，并针对用户的真实场景为客户提供方便快捷的无感知认证，短信和二维码访客认证。

无线用户通过无感知认证方式接入网络，仅需首次输入账号和密码，避免了开机后再次输入账号密码的过程，让用户一次认证即可轻松上网。

通过短信认证方式的访客接入无线网络后会弹出认证页面，访客可以通过自己的手机号码进行注册，按照接收的短信中的账号密码进行上网操作。

二维码认证是另一种方便访客上网的方式，访客接入无线网络后，可获得二维码提示，通过被访者（员工）的授权后即可访问网络，访客行为与被访者直接关联，提供更佳安全性。

· ARP欺骗的防护

ARP检测功能有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象，保障了用户的正常上网。无论在动态分配IP环境下，还是静态分配IP环境下，均可实现自动绑定工作，大大的节省了人力成本，降低了管理开销。而配合ARP速率监控控制ARP报文发送的速率，防止恶意利用扫描工具进行ARP泛洪占据网络带宽，导致网络拥塞的攻击行为。

· AP反制

AP反制功能有效的检测出无线网络环境中的非法AP，控制无线AP发送探测报文给周围的AP并等待合法的AP回应探测报文，以此检测出未给出应答报文的非法AP，从而有效的检测出无线网络中连入的非法AP，保证整个无线网络环境的安全性。

· DHCP安全

支持DHCP snooping，只允许信任端口的DHCP响应，防止未经管理员许可私自架设DHCP Server，扰乱IP地址的分配和管理，影响用户的正常上网的行为；并在DHCP监听的基础上，通过动态监测ARP和检查源IP，有效防范DHCP动态分配IP环境下的ARP主机欺骗和源IP地址的欺骗。

· 管理信息安全

SSH（Secure Shell）和SNMPv3技术通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备。基于源IP地址控制的Telnet访问控制，更加精细的提供了设备管理控制，保证只有管理员配置的IP地址才能登陆无线控制器，增强了设备网管的安全性。

• 丰富全面的管理策略

· 多种的管理方式和统一管理平台

RG-WS6008产品支持命令行等多种管理方式，还可对全网AP实施集中、有效、低成本的计划、部署、监视和管理，并且可与锐捷网络有线无线统一管理平台RG-SNC进行统一管理，完成包括拓扑生成、AP工作状态、在线用户状态、全网射频规划、用户定位、安全报警、链路负载、设备利用率、漫游记录、报表输出等丰富的无线网络管理功能，使得管理员可以在数据中心对整个网络运行状态进行监控和管理。

· Web界面管理

RG-WS6008提供AC的Web管理界面，不仅轻松搞定无线配置，更能够整体运营无线网络，通过AC的Web界面不仅能够管理AP还能管理AP下联的用户，可以对用户进行限速和限制用户连入网络等行为，方便运维人员对无线的规划和运维。

• 技术规格参数

（略）

,