構(gòu)建IToIP數(shù)字圖書館

1、瑞安市數(shù)字圖書館網(wǎng)絡建設方案瑞安市數(shù)字圖書館網(wǎng)絡建設方案日期：浙江仁杰科技信息有限公司2010.7.5目錄目錄n 瑞安市數(shù)字圖書館概述瑞安市數(shù)字圖書館概述n H3CH3C高校圖書館解決方案高校圖書館解決方案n H3CH3C高校圖書館案例介紹高校圖書館案例介紹2數(shù)字圖書館概述數(shù)字圖書館概述數(shù)字圖書的主要功能：數(shù)字圖書的主要功能： 各種載體數(shù)字化 數(shù)據(jù)的存儲和管理 組織對數(shù)據(jù)的有效訪問和查詢 數(shù)字化資源在網(wǎng)上發(fā)布和傳送 系統(tǒng)管理和版權(quán)保護數(shù)字圖書館的優(yōu)勢：數(shù)字圖書館的優(yōu)勢： 信息存儲空間小，不易損壞 信息查閱檢索方便 圖書資源網(wǎng)絡化共享可以擴大館藏 遠程迅速傳遞信息 同一信息可多人同時使用數(shù)字化圖

2、書館是一個開放的硬件和軟件的集成平臺，通過對技術(shù)和產(chǎn)品的集成，把當前的各種文獻載體數(shù)字化，組織起來在提供網(wǎng)上服務。3數(shù)字圖書館數(shù)字圖書館IT架構(gòu)架構(gòu)期刊信息系統(tǒng)統(tǒng)一門戶和信息服務平臺數(shù)據(jù)存儲存儲平臺建設虛擬化管理數(shù)據(jù)安全數(shù)據(jù)保護備份恢復數(shù)據(jù)管理定制融合應用層 數(shù)據(jù)管理層結(jié)構(gòu)化數(shù)據(jù) 基礎設施層服務器（計算）存儲（存儲）高可靠高性能安全滲透易擴展易管理高性價比IP網(wǎng)絡（傳送）數(shù)據(jù)傳送高可靠傳送傳送優(yōu)化統(tǒng)一安全防護體系半結(jié)構(gòu)化數(shù)據(jù)非結(jié)構(gòu)化數(shù)據(jù)計費信息系統(tǒng)外購資源管理資源數(shù)字化系統(tǒng)資源共享系統(tǒng)辦公自動化系統(tǒng)應用服務資源服務統(tǒng)一編碼和接口標準4數(shù)字圖書館的建設的四個階段數(shù)字圖書館的建設的四個階段 部署圖

3、書館管理系部署圖書館管理系統(tǒng)統(tǒng) 建設圖書館局域網(wǎng)。建設圖書館局域網(wǎng)。 電子閱覽室電子閱覽室 網(wǎng)絡建設，圖書館網(wǎng)網(wǎng)絡建設，圖書館網(wǎng)絡與絡與IntelnetIntelnet網(wǎng)聯(lián)通，網(wǎng)聯(lián)通，資源可共享。資源可共享。 信息資源庫及設備的信息資源庫及設備的建設、電子文獻資源建設、電子文獻資源庫的建設。庫的建設。 網(wǎng)站的建設網(wǎng)站的建設 統(tǒng)一網(wǎng)絡數(shù)字圖書統(tǒng)一網(wǎng)絡數(shù)字圖書館管理平臺軟件館管理平臺軟件 全面開展數(shù)字化信全面開展數(shù)字化信息資源加工息資源加工 建設數(shù)據(jù)中心建設數(shù)據(jù)中心 實現(xiàn)網(wǎng)絡用戶上網(wǎng)使實現(xiàn)網(wǎng)絡用戶上網(wǎng)使用的交互化，提供個用的交互化，提供個性化使用的平臺。性化使用的平臺。 圖書館利用網(wǎng)絡進行圖書館利

4、用網(wǎng)絡進行館內(nèi)工作管理館內(nèi)工作管理. . 利用自身在信息與資利用自身在信息與資源的優(yōu)勢條件，開展源的優(yōu)勢條件，開展為師生用戶進行教學為師生用戶進行教學和科研的咨詢服務和和科研的咨詢服務和內(nèi)容服務。內(nèi)容服務。第一階段圖書管理自動化第二階段網(wǎng)絡共享化第三階段統(tǒng)一管理平臺第四階段網(wǎng)絡使用成熟標準化多數(shù)單位已實現(xiàn)多數(shù)單位已實現(xiàn)當前建設重點當前建設重點圖書自動化圖書自動化網(wǎng)絡共享化網(wǎng)絡共享化加工數(shù)字化加工數(shù)字化使用個性化、管理信使用個性化、管理信息化、信息服務化息化、信息服務化5數(shù)字圖書館網(wǎng)絡應用需求數(shù)字圖書館網(wǎng)絡應用需求高速、可靠網(wǎng)絡傳輸需求高速、可靠網(wǎng)絡傳輸需求：數(shù)字化圖書資源的高速傳輸需要高性能、

5、高可靠的網(wǎng)絡，并且網(wǎng)絡基礎架構(gòu)可以適應數(shù)字圖書館的發(fā)展要求。網(wǎng)絡安全需求網(wǎng)絡安全需求：保證館內(nèi)網(wǎng)絡免受病毒侵害、黑客攻擊，保證館內(nèi)各種網(wǎng)絡接入的身份認證。各種電子期刊、文摘等數(shù)據(jù)庫可為館外（校外）的教師、學生和提供安全、高速的訪問。數(shù)據(jù)中心建設需求數(shù)據(jù)中心建設需求：內(nèi)容管理，海量信息存儲、數(shù)據(jù)加工，以及重要數(shù)字資源的備份容災等，要求數(shù)據(jù)中心提供可靠、安全的服務器接入網(wǎng)絡，以及高性能的存儲網(wǎng)絡和多樣備份容災方案。無線接入需求無線接入需求：無線網(wǎng)絡覆蓋，讀者使用自己的移動PC接入圖書館網(wǎng)絡進行檢索資料、查閱書目，解決圖書館閱讀位和檢索終端機數(shù)量的限制。管理人員移動接入，便于庫存清點、新書查詢等。安

6、全滲透、端到端安安全滲透、端到端安全架構(gòu)，全架構(gòu)，VPNVPN遠程接遠程接入入千兆接入、萬兆骨干、千兆接入、萬兆骨干、高可用架構(gòu)、模塊化設高可用架構(gòu)、模塊化設計計多業(yè)務、可擴展、應多業(yè)務、可擴展、應用優(yōu)化、高性能萬兆用優(yōu)化、高性能萬兆存儲、虛擬化整合、存儲、虛擬化整合、有線無線一體化、易有線無線一體化、易管理、高可擴展、智管理、高可擴展、智能負載分擔能負載分擔目錄目錄n 數(shù)字圖書館概述數(shù)字圖書館概述n H3CH3C圖書館解決方案圖書館解決方案 數(shù)字圖書館基礎網(wǎng)絡架構(gòu)數(shù)字圖書館基礎網(wǎng)絡架構(gòu) 數(shù)字圖書館數(shù)據(jù)中心解決方案數(shù)字圖書館數(shù)據(jù)中心解決方案 數(shù)字圖書館網(wǎng)絡安全解決方案數(shù)字圖書館網(wǎng)絡安全解決方案

7、 數(shù)字圖書館無線接入解決方案數(shù)字圖書館無線接入解決方案n H3CH3C高校圖書館案例介紹高校圖書館案例介紹7數(shù)字圖書館網(wǎng)絡基礎架構(gòu)數(shù)字圖書館網(wǎng)絡基礎架構(gòu) 模塊化設計模塊化設計圖圖書書館館數(shù)數(shù)據(jù)據(jù)中中心心圖書館網(wǎng)絡核心區(qū)圖書館網(wǎng)絡核心區(qū)分館、災備中心分館、災備中心電子閱覽室電子閱覽室存儲網(wǎng)絡存儲網(wǎng)絡SWAPAP多媒體閱覽室多媒體閱覽室圖書館辦公區(qū)圖書館辦公區(qū)FWSWAPSWSWInternet校園網(wǎng)校園網(wǎng)多業(yè)務交換機外部業(yè)務服務器群多業(yè)務交換機內(nèi)部業(yè)務服務器群FWACGIPSLB出口出口和外和外部接部接入?yún)^(qū)入?yún)^(qū)FWACGIPSLBFWSSL VPN8數(shù)字圖書館網(wǎng)絡基礎架構(gòu)數(shù)字圖書館網(wǎng)絡基礎架構(gòu)

8、高性能網(wǎng)絡高性能網(wǎng)絡接入層接入層核心核心/匯聚匯聚徹底消除瓶頸，解決效率問題GE10GE千兆接入：千兆接入：萬兆骨干：萬兆骨干：協(xié)同辦公協(xié)同辦公多媒體課件教學多媒體課件教學視頻點播視頻點播電子圖書閱覽室電子圖書閱覽室高性能網(wǎng)絡架構(gòu)高性能網(wǎng)絡架構(gòu)視頻監(jiān)控視頻監(jiān)控9高校數(shù)字圖書館網(wǎng)絡基礎架構(gòu)高校數(shù)字圖書館網(wǎng)絡基礎架構(gòu) 高可用性設計高可用性設計網(wǎng)絡高可用技術(shù)網(wǎng)絡高可用技術(shù)物理鏈路冗余，以太網(wǎng)鏈路聚合物理鏈路冗余，以太網(wǎng)鏈路聚合環(huán)網(wǎng)技術(shù)，環(huán)網(wǎng)技術(shù)，RPRRPR、RRPPRRPP二層路徑冗余，二層路徑冗余，MSTPMSTP、SmartLinkSmartLink三層路徑冗余，三層路徑冗余，VRRPVRRP

9、、ECMPECMP、動、動態(tài)路由快速收斂態(tài)路由快速收斂快速故障檢測技術(shù)，快速故障檢測技術(shù)，BFDBFD不間斷轉(zhuǎn)發(fā)技術(shù)，不間斷轉(zhuǎn)發(fā)技術(shù)，GRGR路徑可用檢查，路徑可用檢查，L3 MonitorL3 Monitor設備高可用技術(shù)設備高可用技術(shù)硬件設備冗余，雙主控、單板熱插硬件設備冗余，雙主控、單板熱插拔、冗余電源、冗余風扇拔、冗余電源、冗余風扇設備之間狀態(tài)熱備份設備之間狀態(tài)熱備份目錄目錄n 高校數(shù)字圖書館概述高校數(shù)字圖書館概述n H3CH3C高校圖書館解決方案高校圖書館解決方案 高校圖書館基礎網(wǎng)絡架構(gòu)高校圖書館基礎網(wǎng)絡架構(gòu) 高校圖書館數(shù)據(jù)中心解決方案高校圖書館數(shù)據(jù)中心解決方案 高校圖書館網(wǎng)絡安全解

10、決方案高校圖書館網(wǎng)絡安全解決方案 高校圖書館無線接入解決方案高校圖書館無線接入解決方案n H3CH3C高校圖書館案例介紹高校圖書館案例介紹11網(wǎng)絡網(wǎng)絡計算計算存儲存儲災備災備數(shù)據(jù)中心基礎架構(gòu)層次數(shù)據(jù)中心基礎架構(gòu)層次12高校圖書館數(shù)據(jù)中心網(wǎng)絡構(gòu)架高校圖書館數(shù)據(jù)中心網(wǎng)絡構(gòu)架服務器集群服務器集群服務器服務器刀片服務器刀片服務器（直聯(lián)）（直聯(lián)）主機主機核心層核心層匯聚層匯聚層接入層接入層S9500S9500/S7500ES5500-EI刀片服務器刀片服務器（集成交換機）（集成交換機）S5500-EIS13數(shù)據(jù)中心多業(yè)務板卡集成部署方案數(shù)據(jù)中心多業(yè)務板卡集成部署方案獨立設備互聯(lián)組網(wǎng)獨立設備互聯(lián)組網(wǎng)網(wǎng)絡集

11、成業(yè)務網(wǎng)絡集成業(yè)務14數(shù)據(jù)中心存儲技術(shù)變遷數(shù)據(jù)中心存儲技術(shù)變遷2003-iSCSI2003-iSCSI協(xié)議協(xié)議IP SANIP SAN同樣采用同樣采用SANSAN架構(gòu)架構(gòu)1986-SCSI1986-SCSI協(xié)議協(xié)議DASDAS1997-FC1997-FC協(xié)議協(xié)議FC SANFC SAN 服務器與存儲死死綁定服務器與存儲死死綁定 無法共享，擴展、維護無法共享，擴展、維護困難困難SANSAN架構(gòu)分離服務器與存儲架構(gòu)分離服務器與存儲相對復雜、成本高昂相對復雜、成本高昂15IP SANIP SAN的優(yōu)勢的優(yōu)勢2003-iSCSI2003-iSCSI協(xié)議協(xié)議IP SANIP SANIPIP接入接入IPI

12、P交換交換IPIP存儲存儲NIC/TOENIC/TOEiSCSI HBAiSCSI HBA同樣采用同樣采用SAN架構(gòu)架構(gòu)IPIP交換機交換機iSCSIiSCSI磁盤陣列磁盤陣列標準開放標準開放技術(shù)成熟技術(shù)成熟組網(wǎng)簡單組網(wǎng)簡單成本較低成本較低16IP SAN vs FC SANIP SAN vs FC SAN管理維護復雜度管理維護復雜度安裝維護時間安裝維護時間IT IT管理人員管理人員培訓成本培訓成本電費支出電費支出傳統(tǒng)存儲建設方式傳統(tǒng)存儲建設方式IP SANIP SAN建設方式建設方式設備占用空間設備占用空間總體運維成本總體運維成本可持續(xù)發(fā)展可持續(xù)發(fā)展17IX3000圖書館數(shù)據(jù)中心圖書館數(shù)據(jù)中

13、心 多服務器集中存儲方案多服務器集中存儲方案IX1000NAS & SANNAS & SANSAN SAN 數(shù)據(jù)庫系數(shù)據(jù)庫系統(tǒng)服務器統(tǒng)服務器文件共享文件共享服務器服務器1 1、接入方式、接入方式: :服務器通過普通千兆網(wǎng)卡iSCSI驅(qū)動程序（免費）接入。服務器通過專用的iSCSI HBA卡接入IPSAN。2 2、IP SAN IP SAN 交換機交換機普通的以太網(wǎng)交換機，配置兩個保證高可用。對于IX1000可單獨配置2個S55作為IP SAN 交換機。對于IX3000萬兆存儲，可采用S95萬兆核心交換機。3 3、 存儲設備存儲設備采用H3C IX1000作為SAN系統(tǒng)實現(xiàn)數(shù)據(jù)集

14、中。也可以直接連入用戶的LAN網(wǎng)絡，做為NAS使用。采用H3C IX3000萬兆存儲做為SAN，應用在高性能、高吞吐量的業(yè)務系統(tǒng)。18IV5000IV5000業(yè)務系統(tǒng)業(yè)務系統(tǒng)服務器服務器DiskSafe快照快照快照快照快照快照備份卷C備份卷B備份卷A快照快照快照快照快照快照IX1000IX1000EX1000EX1000EX800EX800本本地地備備份份存存儲儲快照快照快照快照快照快照快照快照快照快照快照快照備份卷A備份卷D快照快照快照快照快照快照生產(chǎn)卷AIX3000FC磁盤陣列生產(chǎn)卷B本本地地在在線線存存儲儲IX1000生產(chǎn)卷D備份過程不影響生產(chǎn)系統(tǒng)工作；備份過程不影響生產(chǎn)系統(tǒng)工作；基于基

15、于IPIP網(wǎng)絡進行連續(xù)數(shù)據(jù)保護，可適應網(wǎng)絡進行連續(xù)數(shù)據(jù)保護，可適應不同的網(wǎng)絡環(huán)境；不同的網(wǎng)絡環(huán)境；提供全面的數(shù)據(jù)保護，可有效應對軟提供全面的數(shù)據(jù)保護，可有效應對軟錯誤（比如人為故障、病毒）所帶來錯誤（比如人為故障、病毒）所帶來的故障難題。的故障難題。 圖書館數(shù)據(jù)中心圖書館數(shù)據(jù)中心 連續(xù)數(shù)據(jù)保護方案連續(xù)數(shù)據(jù)保護方案19圖書館數(shù)據(jù)中心圖書館數(shù)據(jù)中心 遠程容災方案遠程容災方案IV5000IV5000生產(chǎn)卷IX3000FCFC磁盤陣列磁盤陣列生產(chǎn)卷本本地地在在線線存存儲儲IX1000生產(chǎn)卷IX3000復制卷異異地地災災備備存存儲儲IX1000復制卷142351 1復制數(shù)據(jù)到遠端2 2本地故障3 3設置

16、反向同步4 4恢復數(shù)據(jù)到本地5 5反向同步完成后，把本地卷提升為生產(chǎn)卷并分配給本地服務器20圖書館數(shù)據(jù)中心圖書館數(shù)據(jù)中心 虛擬磁帶庫方案虛擬磁帶庫方案業(yè)務系統(tǒng)業(yè)務系統(tǒng)服務器服務器可替代物理磁帶庫可替代物理磁帶庫也可導入導出到也可導入導出到 FC/iSCSI FC/iSCSI 物理磁帶庫物理磁帶庫備份管理備份管理服務器服務器DL1000DL1000DL1000DL1000遠程復制遠程復制Neocean DL1000Neocean DL1000系列系列 是是H3CH3C公公司推出的司推出的VTLVTL產(chǎn)品，將磁盤仿產(chǎn)品，將磁盤仿真為標準磁帶庫和磁帶：真為標準磁帶庫和磁帶： 解決傳統(tǒng)磁帶備份速度慢、

17、可解決傳統(tǒng)磁帶備份速度慢、可靠性差等固有問題靠性差等固有問題 無縫地接入傳統(tǒng)備份環(huán)境無縫地接入傳統(tǒng)備份環(huán)境 通過自動磁帶緩沖、遠程復制通過自動磁帶緩沖、遠程復制等豐富的存儲特性，提供靈活等豐富的存儲特性，提供靈活便捷的數(shù)據(jù)備份解決方案便捷的數(shù)據(jù)備份解決方案21圖書館數(shù)據(jù)中心圖書館數(shù)據(jù)中心 WindowsWindows系統(tǒng)保護系統(tǒng)保護/ /恢復方案恢復方案 DISKSafeDISKSafe09:0010:0011:00使用隨機提供的恢復使用隨機提供的恢復光盤重啟系統(tǒng)光盤重啟系統(tǒng)DiskSafe不僅可以提供數(shù)據(jù)保護，還可提供操作系統(tǒng)保護。不僅可以提供數(shù)據(jù)保護，還可提供操作系統(tǒng)保護?？深A防系統(tǒng)的漸變

18、式災難（病毒、誤刪除、軟件可預防系統(tǒng)的漸變式災難（病毒、誤刪除、軟件BUGBUG、黑客入侵等），恢復時間短（幾分鐘）。、黑客入侵等），恢復時間短（幾分鐘）。支持支持Microsoft SQL ServerMicrosoft SQL Server、Microsof Exchange ServerMicrosof Exchange Server、OracleOracle、InformixInformix、Lotus Domino Lotus Domino ServerServer、SybaseSybase、DB2DB2等數(shù)據(jù)庫保護等數(shù)據(jù)庫保護 。發(fā)生災難后，可發(fā)生災難后，可iSCSI HBAiSC

19、SI HBA卡遠程啟動，或通過卡遠程啟動，或通過Recover CD Recover CD 恢復操作系統(tǒng)?；謴筒僮飨到y(tǒng)。目錄目錄n 高校數(shù)字圖書館概述高校數(shù)字圖書館概述n H3CH3C高校圖書館解決方案高校圖書館解決方案 高校圖書館基礎網(wǎng)絡架構(gòu)高校圖書館基礎網(wǎng)絡架構(gòu) 高校圖書館數(shù)據(jù)中心解決方案高校圖書館數(shù)據(jù)中心解決方案 高校圖書館網(wǎng)絡安全解決方案高校圖書館網(wǎng)絡安全解決方案 高校圖書館無線接入解決方案高校圖書館無線接入解決方案n H3CH3C高校圖書館案例介紹高校圖書館案例介紹23高校圖書館網(wǎng)絡安全雙維度模型高校圖書館網(wǎng)絡安全雙維度模型安全安全管理管理“拒絕拒絕服務服務”(DOS)(DOS)反病

20、毒反病毒InternetInternetVPN/campus端點端點準入準入數(shù)據(jù)中心數(shù)據(jù)中心L2 交換機交換機 ：BPDU Guard、端口隔離、五元組綁定、端口隔離、五元組綁定、802.1X等實現(xiàn)二層安全保護等實現(xiàn)二層安全保護L2.5 MPLS：網(wǎng)絡隔離：網(wǎng)絡隔離L3 路由器路由器/防火墻防火墻/AFC/SSL ：訪問控制和隔離、加密：訪問控制和隔離、加密L4 NTA“網(wǎng)絡水表網(wǎng)絡水表”流量異常分析流量異常分析L57 IPS應用層威脅識別和抵御：蠕蟲、間諜軟件、應用層威脅識別和抵御：蠕蟲、間諜軟件、P2P、病毒、攻擊等、病毒、攻擊等IP存儲：數(shù)據(jù)安全（異地容災，數(shù)據(jù)備份）存儲：數(shù)據(jù)安全（異地

21、容災，數(shù)據(jù)備份）安全安全管理管理用戶用戶管理管理(iMC)端端到到端端安安全全模模型型L2層層到到 L7層層安安全全模模型型24圖書館數(shù)據(jù)中心集成安全部署方案圖書館數(shù)據(jù)中心集成安全部署方案 SSL VPN SSL VPNFWFW校園網(wǎng)校園網(wǎng)互聯(lián)網(wǎng)互聯(lián)網(wǎng) FW FW板卡板卡 ACG ACG 板卡板卡IPS IPS 板卡板卡SLB SLB 板卡板卡SWSW FW FW板卡板卡 ACG ACG 板卡板卡IPS IPS 板卡板卡SLB SLB 板卡板卡SWSW 對外業(yè)務服務器群對外業(yè)務服務器群內(nèi)部業(yè)務服務器群內(nèi)部業(yè)務服務器群核心交換機核心交換機圖書館數(shù)據(jù)中心圖書館數(shù)據(jù)中心 FW板卡 ACG ACG 板

22、卡板卡IPS 板卡SLB 板卡FWACGIPSSLB交換機基于多核CPU架構(gòu)的安全業(yè)務插板比盒式設備具有更高的處理性能、更高的可靠性，可實現(xiàn)網(wǎng)絡設備、安全設備的一體化管理。25基于流量的分布趨勢基于流量的分布趨勢TOP NTOP N分析：全業(yè)務流量、單協(xié)議分析：全業(yè)務流量、單協(xié)議/ /協(xié)議組流量、上下行協(xié)議組流量、上下行/ /雙向流量、流量明細等雙向流量、流量明細等基于用戶的基于用戶的TOP NTOP N分析：用戶全業(yè)務流量、上下行分析：用戶全業(yè)務流量、上下行/ /雙向流量、會話數(shù)、流量分布、流量趨勢等雙向流量、會話數(shù)、流量分布、流量趨勢等通過通過ACGACG實現(xiàn)數(shù)據(jù)中心應用流量的分析實現(xiàn)數(shù)據(jù)

23、中心應用流量的分析對應用流量進行深入分析，對應用流量控制策略的制定和事后的審計對應用流量進行深入分析，對應用流量控制策略的制定和事后的審計 。 ACG ACG26服務器網(wǎng)關WEB VLANAPP VLANDB VLANLB單臂單臂+FW路由路由LB單臂單臂+FW透明透明LBLB單臂單臂+FW+FW路由路由 數(shù)據(jù)流：核心-匯聚-LB-FW； FW、LB都采用HA部署方式； LB采用單臂部署模式，可對需要的流量做應用優(yōu)化；LB上需要做Source_NAT; 服務器網(wǎng)關指向防火墻，依靠防火墻實現(xiàn)服務器之間的訪問控制關系 數(shù)據(jù)流：核心-匯聚-LB-FW； FW、LB都采用HA部署方式； LB采用單臂部

24、署模式，可對需要的流量做應用優(yōu)化；FW采用透明模式； 服務器網(wǎng)關指向LB，依靠防火墻實現(xiàn)服務器之間的訪問控制關系； 數(shù)據(jù)流：核心-匯聚-FW-LB； FW、LB都采用HA部署方式； LB采用單臂部署模式，可對需要的流量做應用優(yōu)化；FW采用路由模式； 服務器網(wǎng)關指向LB，也可指向FW；依靠交換機ACL實現(xiàn)服務器之間的訪問控制關系；圖書館數(shù)據(jù)中心集成安全部署最佳實踐圖書館數(shù)據(jù)中心集成安全部署最佳實踐27無線控制器S7500S7500S3600S3600S5600S5600S3100EIS3100EI隔離區(qū)隔離區(qū)不符合安全策略的用戶不符合安全策略的用戶u用戶集中管理，基于用戶身份的安全策略管理，避免

25、多系統(tǒng)互通帶來的部署復雜性；u認證控制基于用戶身份，使用ACL控制，可以限制到MAC，避免單端口單用戶限制；u與交換機、路由器和防火墻等網(wǎng)絡設備配合，支持多種接入認證方式；u客戶端可以實現(xiàn)定制安裝，支持靜默安裝，大大降低部署工作量和維護難度；u與微軟SMS（WSUS）無縫集成實現(xiàn)系統(tǒng)補丁自動檢測和升級；u支持黑白軟件檢查，可以廣泛的與第三方桌面軟件進行聯(lián)動配合；u與網(wǎng)絡設備管理平臺相融合，將用戶與網(wǎng)絡設備通過網(wǎng)絡拓撲等相關聯(lián)，提升了網(wǎng)絡管理的有效性和易管理性。u通過使用無線EAD，提升無線網(wǎng)絡的安全性，并且能夠同有線EAD用戶一樣限制不同類別用戶的訪問范圍。圖書館閱覽室、辦公區(qū)端點準入方案圖書

26、館閱覽室、辦公區(qū)端點準入方案閱覽室閱覽室閱覽室閱覽室辦公區(qū)辦公區(qū)28圖書館閱覽室、辦公區(qū)圖書館閱覽室、辦公區(qū)ARPARP攻擊防御方案攻擊防御方案網(wǎng)關接入交換機 認證服務器利用認證機制獲取合法用戶的IP-MAC關系認證設備將獲取到的IP-MAC對應關系就地綁定認證客戶端控制點2 2X X認證通過后，CAMS將網(wǎng)關的IP-MAC對應關系下發(fā)給客戶端進行靜態(tài)綁定關鍵點1 1攻擊者網(wǎng)關接入交換機DHCP服務器接入交換機解析客戶端和DHCP服務器之間的交互報文，獲得合法用戶的IP-MAC-port對應關系接入交換機將獲取到的合法用戶的IP-MAC-port綁定在入接口上控制點1 1X X想發(fā)送欺騙報文？

27、丟棄關鍵點DHCPDHCP監(jiān)控模式：監(jiān)控模式： 通過DHCP 監(jiān)控方式建立靜態(tài)綁定表項。 接入交換機啟用ARP Detection功能，根據(jù)建立的靜態(tài)綁定表項過濾非法ARP報文。 全網(wǎng)部署后，直接在接入端口丟棄ARP欺騙報文，有效防止所有類型的ARP攻擊。 支持根據(jù)客戶端IP地址的租約對DHCP Snooping表項進行老化，節(jié)省系統(tǒng)資源。認證模式：認證模式： 認證客戶端啟用“上傳IP地址”功能，交換機通過1x認證監(jiān)控方式建立靜態(tài)綁定表項。 接入交換機啟用ARP Detection功能，根據(jù)建立的靜態(tài)綁定表項過濾非法ARP報文。 認證服務器向認證客戶端下發(fā)網(wǎng)關IP-MAC對應關系并靜態(tài)綁定，在

28、接入終端防止網(wǎng)關仿冒。 支持根據(jù)客戶端認證情況對靜態(tài)綁定表項進行老化，節(jié)省系統(tǒng)資源。29圖書館圖書館SSL VPN SSL VPN 遠程接入方案遠程接入方案數(shù)據(jù)中心外部業(yè)務服務器群FWACGIPSLB接核心交換機SSL VPN板卡SSL VPN板卡圖書館出口/遠程接入?yún)^(qū)互聯(lián)網(wǎng)互聯(lián)網(wǎng)/校園網(wǎng)校園網(wǎng)來自校園網(wǎng)的訪問來自互聯(lián)網(wǎng)SSL VPN的訪問30圖書館圖書館SSL VPN SSL VPN 遠程接入方案遠程接入方案問題：問題： 圖書館購買的數(shù)據(jù)庫資源只能在通過校園網(wǎng)訪問，因為數(shù)據(jù)庫服務商按照源IP控制訪問報文 教師在校園網(wǎng)外，由運營商提供接入服務，所以無法在家訪問服務商的數(shù)據(jù)庫資源。解決方案：解決

29、方案： 教師在校園網(wǎng)外通過SSL VPN接入到校園圖書館網(wǎng)絡，通過SSL VPN網(wǎng)關訪問服務商的數(shù)據(jù)庫資源。方案優(yōu)勢：方案優(yōu)勢： 安全性好 易于使用 易于接入 易于集成互聯(lián)網(wǎng)互聯(lián)網(wǎng)/校園網(wǎng)校園網(wǎng)SSL VPN板卡SSL VPN板卡圖書館出口/遠程接入?yún)^(qū)？目錄目錄n 數(shù)字圖書館概述數(shù)字圖書館概述n H3CH3C高校圖書館解決方案高校圖書館解決方案 數(shù)字圖書館基礎網(wǎng)絡架構(gòu)數(shù)字圖書館基礎網(wǎng)絡架構(gòu) 數(shù)字圖書館數(shù)據(jù)中心解決方案數(shù)字圖書館數(shù)據(jù)中心解決方案 數(shù)字圖書館網(wǎng)絡安全解決方案數(shù)字圖書館網(wǎng)絡安全解決方案 數(shù)字圖書館無線接入解決方案數(shù)字圖書館無線接入解決方案n H3CH3C高校圖書館案例介紹高校圖書館案

30、例介紹32高校數(shù)字圖書館無線網(wǎng)絡接入的優(yōu)勢高校數(shù)字圖書館無線網(wǎng)絡接入的優(yōu)勢無線網(wǎng)絡技術(shù)的發(fā)展和筆記本電腦的普及使圖書館無線接入具備很多優(yōu)勢：無線網(wǎng)絡技術(shù)的發(fā)展和筆記本電腦的普及使圖書館無線接入具備很多優(yōu)勢： 圖書館電子資源日益豐富，讀者數(shù)量激增，閱讀位有限，無線網(wǎng)絡使讀者不進入圖書館電子資源日益豐富，讀者數(shù)量激增，閱讀位有限，無線網(wǎng)絡使讀者不進入閱覽室即可訪問數(shù)字資源。閱覽室即可訪問數(shù)字資源。 圖書館學術(shù)報告廳網(wǎng)絡接口有限，無線接入將為演講者圖書館學術(shù)報告廳網(wǎng)絡接口有限，無線接入將為演講者、聽眾、來訪嘉賓提供極、聽眾、來訪嘉賓提供極大方便，充分展示數(shù)據(jù)圖書館的專業(yè)性。大方便，充分展示數(shù)據(jù)圖書館

31、的專業(yè)性。 傳統(tǒng)目錄柜檢索逐漸被機讀數(shù)據(jù)檢索方式替代，但檢索終端資源頻率過高，無法傳統(tǒng)目錄柜檢索逐漸被機讀數(shù)據(jù)檢索方式替代，但檢索終端資源頻率過高，無法滿足所有讀者需求。無線網(wǎng)絡為攜帶筆記本電腦的讀者提供圖書館網(wǎng)絡接入，方滿足所有讀者需求。無線網(wǎng)絡為攜帶筆記本電腦的讀者提供圖書館網(wǎng)絡接入，方便數(shù)目查詢。便數(shù)目查詢。 圖書館書庫、辦公區(qū)樓層跨度大，一些舊館屬具有標志性的歷史建筑，不適合架圖書館書庫、辦公區(qū)樓層跨度大，一些舊館屬具有標志性的歷史建筑，不適合架設網(wǎng)絡，而無線網(wǎng)絡不受束縛，方便提供網(wǎng)絡接入。設網(wǎng)絡，而無線網(wǎng)絡不受束縛，方便提供網(wǎng)絡接入。 現(xiàn)代化的圖書館在庫存清點、新書查詢方面將大量裝備

32、手持終端設備，無線網(wǎng)絡現(xiàn)代化的圖書館在庫存清點、新書查詢方面將大量裝備手持終端設備，無線網(wǎng)絡可為各種手持設備提供無處不在的網(wǎng)絡接入?？蔀楦鞣N手持設備提供無處不在的網(wǎng)絡接入。 無線網(wǎng)絡可為圖書館工作人員提供移動接入，隨時隨處收發(fā)電子郵件等。無線網(wǎng)絡可為圖書館工作人員提供移動接入，隨時隨處收發(fā)電子郵件等。33H3CH3C校園無線網(wǎng)絡解決方案架構(gòu)校園無線網(wǎng)絡解決方案架構(gòu)34無線交換機無線交換機802.11 a/b/g天線加密移動 IP, IPSec, 認證802.1x, TKIP, Qos, 切換, 802.11h位置檢測位置檢測每用戶的安全策略每用戶的安全策略網(wǎng)絡自愈網(wǎng)絡自愈RF 管理管理非法無線

33、入侵檢測非法無線入侵檢測802.11a/b/g移動 IP, IPSec, 認證802.1x, TKIP, Qos, 切換, 802.11h天線加密更易管理、安全的更易管理、安全的無線解決方案無線解決方案 “胖胖”AP“瘦瘦”AP普通交換機普通交換機無線局域網(wǎng)組網(wǎng)模式：無線局域網(wǎng)組網(wǎng)模式：“胖胖” ” AP vs “AP vs “瘦瘦” ” APAP園區(qū)網(wǎng)絡園區(qū)網(wǎng)絡低成本低成本APAP園區(qū)網(wǎng)絡園區(qū)網(wǎng)絡35Mobility DomainS3600-PWRS3600-PWR1、增加Wireless Switch作為中央控制管理單元、認證終結(jié)點，適合大規(guī)模高等院校無線網(wǎng)、小型無線城域網(wǎng)；2、 Wireless Switch與AP之間跨越L2、L3、廣域網(wǎng)的靈活組網(wǎng)；3、快速漫游切換、基于用戶的權(quán)限管理、無線射頻環(huán)境監(jiān)控、語音視頻等增值業(yè)務的滿足；IPIP網(wǎng)絡網(wǎng)絡瘦瘦AP組網(wǎng)模式組網(wǎng)模式WA2110-AGS3600-PWR無線控制器無線控制器/ / ACAC36采用疊加方式在現(xiàn)有網(wǎng)絡上搭建無線網(wǎng)絡采用疊加方式在現(xiàn)有網(wǎng)絡上搭建