中學(xué)網(wǎng)絡(luò)信息化建設(shè)方案

年4月19日中學(xué)網(wǎng)絡(luò)信息化建設(shè)方案文檔僅供參考騰沖縣第八中學(xué)校園網(wǎng)建設(shè)項(xiàng)目技術(shù)建議書

目錄1 項(xiàng)目概述 41.1 項(xiàng)目背景 41.2 現(xiàn)狀分析 41.3 建設(shè)目標(biāo) 51.4 設(shè)計(jì)原則 62 網(wǎng)絡(luò)建設(shè)方案 72.1 概述 72.1.1 項(xiàng)目技術(shù)要求 72.2 有線網(wǎng)絡(luò)方案設(shè)計(jì) 82.2.1 有線網(wǎng)絡(luò)組網(wǎng)方案 82.2.2 核心層設(shè)計(jì)方案 92.2.3 接入層設(shè)計(jì)方案 102.2.4 接入層網(wǎng)絡(luò)隔離 122.2.5 出口設(shè)計(jì) 132.3 無(wú)線網(wǎng)絡(luò)的設(shè)計(jì)方案 142.3.1 概述 142.3.2 無(wú)線基本概念 152.3.3 覆蓋區(qū)域描述 212.3.4 無(wú)線局域網(wǎng)拓?fù)?222.3.5 無(wú)線VLAN規(guī)劃 233 統(tǒng)一身份認(rèn)證平臺(tái) 244 網(wǎng)絡(luò)管理規(guī)劃 304.1 網(wǎng)管需求分析 304.2 網(wǎng)絡(luò)設(shè)備的管理 315 可靠性設(shè)計(jì) 325.1 網(wǎng)絡(luò)可靠性設(shè)計(jì) 325.2 設(shè)備高可靠性設(shè)計(jì) 345.2.1 重要部件冗余 345.2.2 設(shè)備自身安全 345.2.3 接入交換機(jī)的堆疊iStack 356 方案總結(jié) 366.1 方案特色 367 設(shè)備介紹 377.1 核心交換機(jī)S7706 377.1.1 產(chǎn)品規(guī)格 407.1.2 解決方案應(yīng)用 437.2 接入交換機(jī)S5700-LI 447.2.1 產(chǎn)品規(guī)格 477.3 無(wú)線POE交換機(jī)S5700-SI 507.4 無(wú)線控制器AC6605 567.5 室內(nèi)放裝型AP6010SN 577.6 室內(nèi)分布式AP6310SN 617.7 出口安全網(wǎng)關(guān)USG5120HSR 65USG5120BSR/HSR 65USG5150BSR/HSR 657.8 統(tǒng)一身份認(rèn)證平臺(tái)TSM 69

校園網(wǎng)信息建設(shè)項(xiàng)目技術(shù)建議書項(xiàng)目概述項(xiàng)目背景21世紀(jì)人類全面進(jìn)入信息化時(shí)代,教育正在走向數(shù)字化、信息化。計(jì)算機(jī)、網(wǎng)絡(luò)、多媒體技術(shù)已被越來(lái)越多的學(xué)校采用,成為教育教學(xué)的支撐技術(shù)。教育技術(shù)的現(xiàn)代化正在改變著教學(xué)手段、教學(xué)方法,必將帶來(lái)教學(xué)內(nèi)容、教學(xué)觀念的更新,教育教學(xué)改革勢(shì)在必行。因此,越來(lái)越多的學(xué)校對(duì)校園網(wǎng)建設(shè)躍躍欲試,希望藉此一步跨入數(shù)字時(shí)代?，F(xiàn)狀分析學(xué)校當(dāng)前主要硬件設(shè)備使用多年,隨著辦公自動(dòng)化、網(wǎng)絡(luò)多媒體教學(xué)、學(xué)生自主學(xué)習(xí)、電子圖書館、電子郵件、遠(yuǎn)程教育、校園一卡通工程等系統(tǒng)的逐步建設(shè),當(dāng)前園區(qū)網(wǎng)絡(luò)的帶寬已遠(yuǎn)遠(yuǎn)不能滿足應(yīng)用的需求,而且設(shè)備老舊,故障率不斷上升,給老師辦公教學(xué)和學(xué)生學(xué)習(xí)實(shí)驗(yàn)帶來(lái)極大的不便。主要有以下問(wèn)題:硬件基礎(chǔ)設(shè)施老化現(xiàn)有設(shè)備大部分運(yùn)行時(shí)間長(zhǎng),老化嚴(yán)重,故障率高,性能難以滿足現(xiàn)有網(wǎng)絡(luò)應(yīng)用的需求。應(yīng)用系統(tǒng)缺乏當(dāng)前學(xué)校某些部門缺乏信息化、數(shù)字化校園的新思維模式,很多的工作依然未能擺脫煩瑣的手工操作和信息傳遞,某些信息的傳遞不及時(shí)甚至是失真,為學(xué)校的管理和領(lǐng)導(dǎo)的決策帶來(lái)了一定困難。3) 已建應(yīng)用系統(tǒng)相互獨(dú)立已建信息系統(tǒng)數(shù)據(jù)、編碼不統(tǒng)一,造成各應(yīng)用系統(tǒng)間相互獨(dú)立,形成信息孤島,資源不能共享,花巨資建立的應(yīng)用系統(tǒng)不能發(fā)揮其效用,形成資源浪費(fèi)。建設(shè)目標(biāo)本次校園網(wǎng)改造工程建設(shè)目標(biāo)是:采用1000Mbps光纖交換網(wǎng)絡(luò)實(shí)現(xiàn)新老校區(qū)內(nèi)部高速互聯(lián),光纜連接全校樓宇(辦公樓,教學(xué)區(qū)、綜合樓,實(shí)驗(yàn)樓)。核心機(jī)房設(shè)置配置兩臺(tái)核心交換機(jī),各樓宇根據(jù)點(diǎn)位配置接入交換機(jī),經(jīng)過(guò)千兆光纖雙上行到兩臺(tái)核心交換機(jī)上,經(jīng)過(guò)接入交換機(jī)將學(xué)校的各種PC機(jī)、服務(wù)器、終端設(shè)備和局域網(wǎng)連接起來(lái),整合現(xiàn)有的網(wǎng)絡(luò)資源,改進(jìn)與Internet/Cernet相連的網(wǎng)絡(luò)性能。構(gòu)建一個(gè)以計(jì)算機(jī)多層交換網(wǎng)絡(luò)為框架,以網(wǎng)絡(luò)基本應(yīng)用、計(jì)算機(jī)多媒體輔助教學(xué)、電子化圖書館、教學(xué)管理辦公自動(dòng)化為平臺(tái)的校園網(wǎng),并逐步形成數(shù)字化校園網(wǎng)絡(luò)。網(wǎng)絡(luò)改造后實(shí)現(xiàn)以下功能(1)辦公自動(dòng)化

基于Web綜合管理信息系統(tǒng),提供行政、人事、學(xué)籍、教學(xué)、后勤、財(cái)務(wù)管理、公文收發(fā)管理、教師檔案管理、學(xué)生檔案管理、科技檔案管理等,使學(xué)校日常辦公無(wú)紙化,減少辦公開支,提高辦公效率。(2)網(wǎng)絡(luò)多媒體教學(xué)將計(jì)算機(jī)多媒體視聽引入課堂教學(xué),使聲音、圖像、動(dòng)畫的普遍采用能夠大大提高教學(xué)效果,使每一節(jié)課都能夠得到有效的作用。(3)學(xué)生自主學(xué)習(xí)針對(duì)不同的學(xué)生,提供不同的教學(xué)內(nèi)容,采取不同的教學(xué)手段。主要采用基于VOD、WEB及FTP的課件、光盤軟件、Internet資源,學(xué)生能夠根據(jù)自己的需要自由選擇所需內(nèi)容。

(4)電子圖書館基于Web的圖書音像資料供學(xué)生隨時(shí)閱讀,并與Internet連接,使圖書館得到進(jìn)一步拓展,使學(xué)生能夠得到近乎無(wú)限的網(wǎng)上資源。(5)電子郵件電子郵件是Internet上的一個(gè)最重要的應(yīng)用,將為每一位教師和學(xué)生開設(shè)一個(gè)電子郵件賬號(hào),利用電子郵件學(xué)生能夠和老師、同學(xué)及家長(zhǎng)進(jìn)行交流,同時(shí)也能夠和國(guó)內(nèi)外等地學(xué)校的學(xué)生進(jìn)行交流。(6)遠(yuǎn)程教育實(shí)現(xiàn)校內(nèi)外連通,師生在線、交互式學(xué)習(xí)、輔導(dǎo)、測(cè)驗(yàn)等功能。(7)校園移動(dòng)計(jì)算采用有線和無(wú)線網(wǎng)絡(luò)混合建構(gòu),方便學(xué)生、老師移動(dòng)上網(wǎng)學(xué)習(xí)和辦公。設(shè)計(jì)原則針對(duì)IT平臺(tái)建設(shè)的基本要求和投入建設(shè)使用之后的用戶實(shí)際問(wèn)題,主要從如下幾個(gè)方面重點(diǎn)考慮,構(gòu)建一個(gè)可靠、安全、穩(wěn)定、靈活的IT平臺(tái),助力IT資源能夠真正的為企業(yè)服務(wù)?？煽啃?利用電信級(jí)產(chǎn)品構(gòu)建一個(gè)高可靠的網(wǎng)絡(luò)環(huán)境,保證整個(gè)網(wǎng)絡(luò)的可靠運(yùn)行,可靠性設(shè)計(jì)能夠達(dá)到99.999％,能夠滿足實(shí)際的辦公、業(yè)務(wù)等的要求。安全性,網(wǎng)絡(luò)設(shè)計(jì)的各個(gè)環(huán)節(jié),融合了網(wǎng)絡(luò)安全、應(yīng)用安全、接入安全、終端安全、數(shù)據(jù)安全等各個(gè)方面,能夠很好的滿足網(wǎng)絡(luò)高安全的要求。管理性,網(wǎng)絡(luò)設(shè)計(jì)考慮了日后的網(wǎng)絡(luò)管理,每個(gè)環(huán)節(jié)的設(shè)計(jì)都考慮了業(yè)務(wù)開展的便利性,使得網(wǎng)絡(luò)能夠真正的為企業(yè)服務(wù),為后續(xù)業(yè)務(wù)的開展奠定了良好的基礎(chǔ)。集成性,從用戶的實(shí)際需要考慮對(duì)IT資源的每個(gè)環(huán)節(jié)進(jìn)行設(shè)計(jì),保證了網(wǎng)絡(luò)在日后交付使用的時(shí)候,能夠更好的滿足業(yè)務(wù)變化的要求,充分考慮了業(yè)務(wù)變化性的特點(diǎn),進(jìn)行了網(wǎng)絡(luò)彈性設(shè)計(jì),使得IT技術(shù)貼近用戶。本次校園網(wǎng)改造將從校園網(wǎng)建設(shè)的需求出發(fā),以學(xué)校的教學(xué)、試驗(yàn)、辦公管理體系為主導(dǎo),建設(shè)安全－可靠－可管理－可控制的校園信息化網(wǎng)絡(luò)!根據(jù)學(xué)校的現(xiàn)狀和進(jìn)一步的需求目標(biāo)、特點(diǎn)及實(shí)現(xiàn)的功能與技術(shù)要求,對(duì)總體方案的設(shè)計(jì)、網(wǎng)絡(luò)設(shè)備選型、采用的技術(shù)路線及工程實(shí)施的過(guò)程,均充分考慮項(xiàng)目方案的實(shí)用性、經(jīng)濟(jì)性、先進(jìn)性及可擴(kuò)展性(保護(hù)現(xiàn)有投資,可平滑升級(jí))。特別注重了網(wǎng)絡(luò)設(shè)備的安全可靠、易維護(hù)、易操作。突出了計(jì)算機(jī)、網(wǎng)絡(luò)及多媒體技術(shù)對(duì)教育過(guò)程的實(shí)用與好用,綜合考慮了項(xiàng)目中各子系統(tǒng)相對(duì)獨(dú)立性與關(guān)聯(lián)性,方案設(shè)計(jì)能夠體現(xiàn)出其1+1>2的效果。具體的實(shí)施原則如下:1)好的開放性和可擴(kuò)展性校園網(wǎng)絡(luò)應(yīng)具有的開放性,這種開放性依靠標(biāo)準(zhǔn)化實(shí)現(xiàn),使符合標(biāo)準(zhǔn)的計(jì)算機(jī)系統(tǒng)很容易進(jìn)行網(wǎng)絡(luò)的互連。因此在網(wǎng)絡(luò)建設(shè)中,網(wǎng)絡(luò)體系結(jié)構(gòu)和通信協(xié)議應(yīng)選擇廣泛使用的國(guó)際標(biāo)準(zhǔn),使得校園網(wǎng)成為一個(gè)完全開放式的網(wǎng)絡(luò)環(huán)境。在校園網(wǎng)絡(luò)平臺(tái)建設(shè)中,盡量采取成熟先進(jìn)的網(wǎng)絡(luò)技術(shù),統(tǒng)一的網(wǎng)絡(luò)標(biāo)準(zhǔn)和主流的網(wǎng)絡(luò)設(shè)備,使得網(wǎng)絡(luò)結(jié)構(gòu)更易于擴(kuò)展、升級(jí)和維護(hù)。2)校園網(wǎng)軟件平臺(tái)的針對(duì)性校園網(wǎng)的應(yīng)用和服務(wù)的對(duì)象是學(xué)校的教師、學(xué)生。這就要求校園網(wǎng)軟件平臺(tái)的建設(shè)應(yīng)以教學(xué)為核心,建立起一個(gè)在技術(shù)上具有先進(jìn)性,在教學(xué)過(guò)程的各階段應(yīng)用上具有靈活性、多樣性和針對(duì)性的數(shù)字化校園網(wǎng)。3)高度的安全性和可靠性對(duì)于網(wǎng)絡(luò)系統(tǒng),應(yīng)確保系統(tǒng)運(yùn)行可靠,對(duì)關(guān)鍵部位提供容錯(cuò)能力,同時(shí)建立完善的安全管理體系。4)經(jīng)濟(jì)實(shí)用性盲目地追求技術(shù),會(huì)建成一個(gè)不穩(wěn)定、不成熟產(chǎn)品的實(shí)驗(yàn)臺(tái)。單純高性能,只會(huì)帶來(lái)難以承受的高額投資。因此,網(wǎng)絡(luò)系統(tǒng)建設(shè)應(yīng)采用成熟、適用、實(shí)用、好用的技術(shù),力爭(zhēng)以最小的投資得到最大的滿足。網(wǎng)絡(luò)建設(shè)方案概述現(xiàn)代教育過(guò)程的四要素為:教師、學(xué)生、教學(xué)內(nèi)容及教育技術(shù)。以計(jì)算機(jī)、網(wǎng)絡(luò)、多媒體集成的現(xiàn)代教育技術(shù),對(duì)教育過(guò)程的支持,隨著教育信息化的發(fā)展,顯得越來(lái)越重要。因此,項(xiàng)目建設(shè)的指導(dǎo)方針為:(1)以應(yīng)用為主,為校領(lǐng)導(dǎo)決策、業(yè)務(wù)管理、教學(xué)保障和管理提供服務(wù);(2)采用成熟先進(jìn)的技術(shù),實(shí)用、夠用,又留有發(fā)展余地;(3)統(tǒng)一標(biāo)準(zhǔn),逐步建設(shè),充分考慮四期工程規(guī)劃及網(wǎng)絡(luò)的擴(kuò)展性;(4)充分重視網(wǎng)絡(luò)系統(tǒng)和信息的安全;(5)在限定的時(shí)間和要求內(nèi),降低費(fèi)用的支出,提高系統(tǒng)的性能價(jià)格比;(6)組織各方面的力量,網(wǎng)絡(luò)通信系統(tǒng)、網(wǎng)絡(luò)資源系統(tǒng)同步建設(shè);項(xiàng)目技術(shù)要求(1)采用先進(jìn)成熟的網(wǎng)絡(luò)技術(shù);(2)統(tǒng)一技術(shù)規(guī)范、標(biāo)準(zhǔn)和方案,統(tǒng)一設(shè)備選性,統(tǒng)一組織實(shí)施;(3)網(wǎng)絡(luò)系統(tǒng)采用三層架構(gòu),采用TCP/IP協(xié)議棧,采用統(tǒng)一的客戶端應(yīng)用軟件;(4)網(wǎng)絡(luò)系統(tǒng)采用全交換網(wǎng)絡(luò),主干1000Mbps,核心層、接入層采用冗余連接,千兆到桌面;(5)網(wǎng)絡(luò)系統(tǒng)按部門、業(yè)務(wù)劃分VLAN,網(wǎng)絡(luò)多層交換采用802.1Q虛擬干道協(xié)議、802.1D生成樹協(xié)議、802.1X認(rèn)證協(xié)議和802.1P優(yōu)先隊(duì)列排序;(6)采用接入認(rèn)證綜合管理系統(tǒng)對(duì)接入用戶進(jìn)行認(rèn)證及計(jì)費(fèi);(7)網(wǎng)絡(luò)系統(tǒng)必須滿足標(biāo)準(zhǔn)化的要求,以實(shí)現(xiàn)開放性、可擴(kuò)展性;(8)重要部件、文擋要有備份,保證系統(tǒng)365天×24小時(shí)運(yùn)轉(zhuǎn);(9)重視數(shù)據(jù)的安全與保密,建立完善的網(wǎng)絡(luò)安全管理系統(tǒng)。有線網(wǎng)絡(luò)方案設(shè)計(jì)校園網(wǎng)是各種應(yīng)用的統(tǒng)一通信平臺(tái),平均無(wú)故障時(shí)間以及故障恢復(fù)時(shí)間,要保持在一個(gè)可容忍的許可范圍之內(nèi)。在這種前提下,主干設(shè)備應(yīng)有一定的冗余度,這種冗余度不單只是設(shè)備級(jí)的,也應(yīng)該考慮物理線路,數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層以及應(yīng)用層的容錯(cuò)能力。

該主干網(wǎng)在方案上有二個(gè)重點(diǎn):主干網(wǎng)技術(shù)策略;主干交換機(jī)的基本要求。

主干網(wǎng)技術(shù)的基本要求可概括為:千兆傳輸距離550m以內(nèi)采用50/125多模光纜;千兆傳輸距離大于550m、小于5000m采用9/125單模光纜;百兆傳輸距離m以內(nèi)采用50/125多模光纜;百兆傳輸距離大于m采用9/125單模光纜。有線網(wǎng)絡(luò)組網(wǎng)方案按照網(wǎng)絡(luò)分層設(shè)計(jì)的原則:整個(gè)網(wǎng)絡(luò)采用扁平化設(shè)計(jì)理念,分成核心層、接入層、出口區(qū)域幾個(gè)部分。整個(gè)網(wǎng)絡(luò)的建設(shè)方案如圖1所示:出口區(qū)域部署一臺(tái)綜合安全網(wǎng)關(guān),按照同時(shí)在線1200人的規(guī)模設(shè)計(jì),考慮到校園網(wǎng)用戶對(duì)帶寬超級(jí)利用性,整個(gè)網(wǎng)絡(luò)的出口采用千兆設(shè)計(jì),千兆出口網(wǎng)關(guān)、千兆流控,滿足整個(gè)學(xué)校未來(lái)內(nèi)的發(fā)展需要。另外,出口區(qū)域結(jié)合整個(gè)網(wǎng)絡(luò)的安全認(rèn)證系統(tǒng),可實(shí)現(xiàn)基于用戶實(shí)名的準(zhǔn)出控制,滿足大規(guī)模用戶使用。實(shí)現(xiàn)基于實(shí)名的NAT日志、URL日志、上網(wǎng)時(shí)間等,滿足公安部82號(hào)令的要求;實(shí)現(xiàn)基于用戶實(shí)名的帶寬控制;另外,網(wǎng)絡(luò)出口區(qū)域部署VPN,讓校領(lǐng)導(dǎo)、老師出差不在學(xué)校,經(jīng)過(guò)在互聯(lián)網(wǎng)上建立VPN隧道,訪問(wèn)校園網(wǎng)絡(luò)應(yīng)用系統(tǒng),完成審批流程等。核心層:核心層采用模塊化萬(wàn)兆交換機(jī),支持40G/100G端口擴(kuò)展,滿足未來(lái)網(wǎng)絡(luò)發(fā)展需求,啟用三層轉(zhuǎn)發(fā)功能,和接入層設(shè)備提供冗余鏈路,使得整個(gè)網(wǎng)絡(luò)的路由交換運(yùn)行無(wú)阻。同時(shí)內(nèi)外業(yè)務(wù)資源、如服務(wù)器區(qū)和一些重要的終端能夠直接接入到核心層,滿足高性能的要求,同時(shí)支持主控和業(yè)務(wù)口CSS集群技術(shù),將多臺(tái)設(shè)備虛擬化為一臺(tái)邏輯設(shè)備,在可靠性、交換效率、靈活性和易管理性方面提高性能。接入層:接入層由千兆交換機(jī)和無(wú)線接入交換機(jī)等接入設(shè)備構(gòu)成,能夠滿足不同終端的接入要求,接入交換機(jī)經(jīng)過(guò)千兆光纖直接連接到核心交換機(jī)上,實(shí)現(xiàn)和核心層的互訪。設(shè)備選型上要實(shí)現(xiàn)方便靈活接入的同時(shí)保障網(wǎng)絡(luò)帶寬。提供的QinQ技術(shù)保證了每端口每VLAN的設(shè)計(jì),在終端管理上提供了良好的技術(shù)保證。按照網(wǎng)絡(luò)高可靠的設(shè)計(jì)原則:核心網(wǎng)絡(luò)采用雙平面組網(wǎng),能夠最大程度上保證網(wǎng)絡(luò)的100％可靠。核心設(shè)備采用雙引擎設(shè)計(jì),接入層采用雙歸屬主備鏈路。網(wǎng)絡(luò)設(shè)備秉承電信級(jí)可靠性設(shè)計(jì)理念:單板熱插拔、電源冗余、風(fēng)扇熱插拔等。高可靠的模型是根據(jù)組網(wǎng)方案來(lái)統(tǒng)一考慮的,主要的高可靠的手段有:A/B雙平面、雙機(jī)模式、主備模式、鏈路冗余、設(shè)備結(jié)構(gòu)冗余等。為了保障校園網(wǎng)絡(luò)的高可靠性,采用雙平面和主備等冗余結(jié)構(gòu),核心設(shè)備采用2臺(tái)核心交換機(jī)設(shè)備,設(shè)備間采用2條線路連接,實(shí)現(xiàn)雙機(jī)熱備和負(fù)荷分擔(dān),提高設(shè)備的利用率和網(wǎng)絡(luò)的安全。接入交換機(jī)分別采用雙鏈路接入核心交換機(jī)。保障鏈路冗余和鏈路帶寬。核心層設(shè)計(jì)方案設(shè)計(jì)要點(diǎn):提供高速的三層交換骨干。核心層不進(jìn)行終端系統(tǒng)的連接。核心層不實(shí)施影響高速交換性能的ACL等功能網(wǎng)絡(luò)核心區(qū)作為整個(gè)校園網(wǎng)的數(shù)據(jù)交換核心,是教育應(yīng)用系統(tǒng)可靠和高效率運(yùn)行的基礎(chǔ),在核心區(qū)配置華為高吞吐量核心萬(wàn)兆全分布式線速路由交換機(jī)S7706,接入各個(gè)功能區(qū)域,下行千兆光纖連接接入交換機(jī),形成千兆無(wú)阻塞線速轉(zhuǎn)發(fā)骨干網(wǎng)。核心設(shè)備采用分布式交換架構(gòu),經(jīng)過(guò)獨(dú)立的控制引擎、檢測(cè)引擎、維護(hù)引擎為系統(tǒng)提供強(qiáng)大的控制能力和高可靠保障為了簡(jiǎn)化網(wǎng)絡(luò)部署,簡(jiǎn)化網(wǎng)絡(luò)管理,并提高故障恢復(fù)的速度,核心層需支持采用虛擬交換架構(gòu)技術(shù),經(jīng)過(guò)跨設(shè)備鏈路聚合與匯聚層設(shè)備互聯(lián)。設(shè)備需支持運(yùn)營(yíng)級(jí),滿足學(xué)校業(yè)務(wù)不間斷的需求;核心設(shè)備支持引擎冗余、電源冗余、業(yè)務(wù)線卡熱插拔;支持虛擬交換技術(shù),保證核心的高融合和高可靠性;核心設(shè)備支持模塊化軟件操作系統(tǒng)平臺(tái),便于多業(yè)務(wù)擴(kuò)展支持,支持操作系統(tǒng)的免費(fèi)升級(jí),全面支持IPv6;4)核心設(shè)備具有較強(qiáng)的自我防御機(jī)制為此,本次建設(shè)選用華為S7700作為騰沖第一職業(yè)高級(jí)中學(xué)的的核心交換機(jī),S7700系列是華為公司面向下一代企業(yè)網(wǎng)絡(luò)架構(gòu)而推出的新一代高端智能路由交換機(jī)。該產(chǎn)品基于華為公司智能多層交換的技術(shù)理念,在提供穩(wěn)定、可靠、安全的高性能L2~L4層交換服務(wù)基礎(chǔ)上,進(jìn)一步提供MPLSVPN、業(yè)務(wù)流分析、完善的QOS策略、可控組播、資源負(fù)載均衡、一體化安全等智能業(yè)務(wù)優(yōu)化手段,同時(shí)具備超強(qiáng)擴(kuò)展性和可靠性。S7700系列廣泛適用于園區(qū)網(wǎng)絡(luò)和數(shù)據(jù)中心網(wǎng)絡(luò),可對(duì)無(wú)線、話音、視頻和數(shù)據(jù)融合網(wǎng)絡(luò)進(jìn)行先進(jìn)的控制,幫助企業(yè)構(gòu)建交換路由一體化的端到端融合網(wǎng)絡(luò)。128G槽位帶寬,100GEReady480個(gè)萬(wàn)兆端口,24個(gè)40GE端口創(chuàng)新的CSS交換網(wǎng)集群硬件級(jí)以太OAM/BFD左后風(fēng)道,高密布線S7700系列提供S7703、S7706、S7712三種產(chǎn)品形態(tài)。接入層設(shè)計(jì)方案千兆到桌面接入,根據(jù)接入密度選擇型號(hào)。24口接入或48口接入。校園網(wǎng)當(dāng)前的業(yè)務(wù)應(yīng)用主要為桌面辦公系統(tǒng),教學(xué)課件系統(tǒng);互聯(lián)網(wǎng)業(yè)務(wù),網(wǎng)絡(luò)間要在接入層必須對(duì)必要的業(yè)務(wù)劃分VLAN,VLAN劃分的方法能夠基于端口、基于用戶的業(yè)務(wù)等。為了滿足VLAN的靈活劃分及對(duì)終端安全的控制,接入交換機(jī)應(yīng)具備強(qiáng)2層特性,支持防止DOS、ARP攻擊功能、ICMP防攻擊,支持IP、MAC、端口、VLAN的組合綁定。同時(shí)只能智能節(jié)能功能,經(jīng)過(guò)匹配端口LinkDown/Up、光模塊在位/不在位、配置ShutDown/UndoShutDown、空閑時(shí)段、繁忙時(shí)段等應(yīng)用場(chǎng)景,達(dá)到應(yīng)用中大幅度提高動(dòng)態(tài)節(jié)能技術(shù)應(yīng)用比例,節(jié)省設(shè)備耗電量的目的。應(yīng)具備能效以太網(wǎng)(EEE)、端口能量檢測(cè)、CPU動(dòng)態(tài)調(diào)頻、設(shè)備休眠等技術(shù)已實(shí)現(xiàn)設(shè)備智能低功耗設(shè)計(jì)。點(diǎn)位設(shè)計(jì)如下:建筑樓層房間數(shù)點(diǎn)位數(shù)合計(jì)24口交換機(jī)數(shù)量48口交換機(jī)數(shù)量實(shí)驗(yàn)樓18166011271438164714實(shí)驗(yàn)樓1102066112132631020綜合樓151058112714371441020教學(xué)樓(白色)1612441128163816教學(xué)樓(粉色)16124811261236124612合計(jì)55共部署48口接入交換機(jī)5臺(tái),24口交換機(jī)5臺(tái),匯聚交換機(jī)46臺(tái),覆蓋全校約300個(gè)信息點(diǎn)。為保證接入網(wǎng)絡(luò)的安全可靠,本次配置建議使用華為S5700-LI系列交換機(jī),S5700-LI系列企業(yè)交換機(jī)(以下簡(jiǎn)稱S5700-LI),是華為公司自主研發(fā)的新一代綠色節(jié)能的二層全千兆以太網(wǎng)交換機(jī),提供靈活的全千兆以太網(wǎng)接入端口、豐富的業(yè)務(wù)特性,支持EEE節(jié)能特性,支持整機(jī)休眠功能,能夠?yàn)橛脩籼峁┚G色、易管理、易擴(kuò)展、低成本的千兆到桌面的解決方案。S5700-LI能基于五元組、IP優(yōu)先級(jí)、TOS、DSCP、IP協(xié)議類型、ICMP類型、TCP源端口、VLAN、以太網(wǎng)幀協(xié)議類型、CoS等信息,實(shí)現(xiàn)復(fù)雜流分類功能。S5700-LI支持基于流的雙速三色限速功能,每端口支持8個(gè)優(yōu)先級(jí)隊(duì)列,支持WRR、DRR、PQ、WRR＋PQ、DRR+PQ多種隊(duì)列調(diào)度算法,有效地保證話音、視頻和數(shù)據(jù)業(yè)務(wù)質(zhì)量。S5700-LI提供多種安全保護(hù)功能。支持DoS(DenialofService)類防攻擊、網(wǎng)絡(luò)的防攻擊、用戶的防攻擊等功能。其中DoS類防攻擊主要包括SYNFlood、Land、Smurf、ICMPFlood。網(wǎng)絡(luò)的防攻擊主要是指STP的BPDU/Root攻擊。用戶的防攻擊涉及DHCP仿冒攻擊、中間人攻擊、IP/MACSpoofing攻擊、DHCPrequestflood、改變CHADDR值的DoS攻擊等等。S5700-LI支持經(jīng)過(guò)建立和維護(hù)DHCPSnooping綁定表,偵聽接入用戶的MAC/IP地址、租用期、VLAN-ID、接口等信息,解決DHCP用戶的IP和端口跟蹤定位問(wèn)題。同時(shí),對(duì)不符合綁定表項(xiàng)的非法報(bào)文(ARP欺騙報(bào)文、擅自修改IP地址等)直接丟棄,有效防止黑客或攻擊者經(jīng)過(guò)ARP報(bào)文實(shí)施園區(qū)網(wǎng)常見的”中間人”攻擊。利用DHCPSnooping的信任端口特性還能夠保證DHCPServer的合法性。S5700-LI支持ARP表項(xiàng)嚴(yán)格學(xué)習(xí)功能,能夠防止因ARP欺騙攻擊將交換機(jī)ARP表項(xiàng)占滿,導(dǎo)致正常見戶無(wú)法上網(wǎng)。同時(shí),支持IPSourceCheck特性,防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒帶來(lái)的DOS攻擊。S5700-LI支持集中式MAC地址認(rèn)證和802.1x認(rèn)證,支持用戶賬號(hào)、IP、MAC、VLAN、端口、客戶端是否安裝病毒防范等用戶標(biāo)識(shí)元素的動(dòng)態(tài)或靜態(tài)綁定,同時(shí)實(shí)現(xiàn)用戶策略(VLAN、QoS、ACL)的動(dòng)態(tài)下發(fā)。S5700-LI支持基于端口的源MAC地址學(xué)習(xí)限制功能,有效防止用戶源MAC欺騙沖擊設(shè)備MAC表項(xiàng),導(dǎo)致正常見戶無(wú)法學(xué)到MAC表而泛洪的問(wèn)題等。接入層網(wǎng)絡(luò)隔離在接入層必須對(duì)必要的業(yè)務(wù)劃分VLAN,VLAN劃分的方法能夠基于端口、基于用戶的業(yè)務(wù)等。接入層VLAN劃分組網(wǎng)示意圖所提供接入交換機(jī)具有靈活的VLAN劃分方法;能夠有效的防止ARP等二層攻擊;同時(shí)支持QinQ技術(shù),能夠突破4K個(gè)VLAN的限制,為將來(lái)網(wǎng)絡(luò)的合理改造以及擴(kuò)容打下堅(jiān)實(shí)的基礎(chǔ)。采用QinQ技術(shù)能夠提供每用戶每VLAN的組網(wǎng)方式,將VLAN終結(jié)在核心層上。采用QinQ技術(shù)隔離終端QinQ技術(shù)采用嵌套VLAN技術(shù),突破了4KVLAN的限制,無(wú)論何種接入設(shè)備都能夠滿足整個(gè)網(wǎng)絡(luò)可靠性、安全的設(shè)計(jì),同時(shí)每個(gè)終端一個(gè)VLAN的設(shè)計(jì)方式保證了二層方式的終端是隔離的,防止了廣播風(fēng)波、ARP病毒等對(duì)局域網(wǎng)危害很大的不安全因素的蔓延。采用這種方式的組網(wǎng)能夠大大提高整網(wǎng)的可靠性和安全性,使得網(wǎng)絡(luò)對(duì)二層設(shè)備的依賴降低,而且有助于降低建設(shè)成本,因?yàn)樗械慕K端訪問(wèn)都必須經(jīng)過(guò)匯聚交換,這樣的網(wǎng)絡(luò)設(shè)計(jì)非常方便網(wǎng)絡(luò)的管理、控制,避免因?yàn)榱髁康倪^(guò)渡分散造成的安全失控。出口設(shè)計(jì)考慮到外網(wǎng)攻擊很多,在出口部署安全網(wǎng)關(guān),對(duì)內(nèi)外網(wǎng)進(jìn)行安全隔離,進(jìn)行NAT轉(zhuǎn)換和路由,同時(shí)防火墻提供攻擊防范和url過(guò)濾等功能,對(duì)外網(wǎng)來(lái)的攻擊進(jìn)行防御。安全網(wǎng)關(guān)設(shè)備實(shí)現(xiàn)如下功能:安全隔離:安全網(wǎng)關(guān)的安全隔離是基于安全區(qū)域,這樣的設(shè)計(jì)模型為用戶在實(shí)際使用統(tǒng)一安全網(wǎng)關(guān)的時(shí)候提供了十分良好的管理模型。華為統(tǒng)一安全網(wǎng)關(guān)提供了基于安全區(qū)域的隔離模型,每個(gè)安全區(qū)域能夠按照網(wǎng)絡(luò)的實(shí)際組網(wǎng)加入任意的接口,因此統(tǒng)一安全網(wǎng)關(guān)的安全管理模型是不會(huì)受到網(wǎng)絡(luò)拓?fù)涞挠绊憽７繢DOS:安全網(wǎng)關(guān)產(chǎn)品根據(jù)數(shù)據(jù)報(bào)文的特征,以及Dos攻擊的不同手段,能夠針對(duì)ICMPFlood、SYNFlood、UDPFlood等各種Dos攻擊手段進(jìn)行Dos攻擊的防御。URL過(guò)濾功能:能提供URL黑、白名單功能;支持前綴匹配,后綴匹配,關(guān)鍵字匹配等;支持用戶自定義URL功能,可自定義分類以及自定義URL;URL過(guò)濾響應(yīng)方式能夠設(shè)置為禁止或允許,禁止方式下支持返回頁(yè)面通知,頁(yè)面內(nèi)容可自定義;支持URL訪問(wèn)日志記錄,支持日志歸并;URL分類大類43個(gè),小類127個(gè),URL特征庫(kù)數(shù)量≥6500萬(wàn)條;支持URL熱點(diǎn)庫(kù)功能,且熱點(diǎn)庫(kù)支持升級(jí)。防火墻NAT轉(zhuǎn)換:在IPV4,由于公網(wǎng)IP少,需要防火墻提供NAT地址轉(zhuǎn)換,實(shí)現(xiàn)對(duì)公網(wǎng)的業(yè)務(wù)訪問(wèn)需求。需要支持包括源IP地址轉(zhuǎn)換、目的IP地址轉(zhuǎn)換、端口地址轉(zhuǎn)換、靜態(tài)IP地址轉(zhuǎn)換、IP地址池轉(zhuǎn)換等;支持?jǐn)U展NAT功能,可實(shí)現(xiàn)單個(gè)公網(wǎng)IP的無(wú)限地址轉(zhuǎn)換;考慮到FTP、H.323、SIP等它們報(bào)文的數(shù)據(jù)部分可能包含IP地址或端口信息,需要支持FTP、H.323、SIP等各種應(yīng)用協(xié)議。路由:支持靜態(tài)路由、路由策略、策略路由、RIP、OSPF、BGP、MPLS、ISIS等路由協(xié)議高可靠性:支持HRP(HuaweiRedundancyProtocol)協(xié)議實(shí)現(xiàn)雙機(jī)熱備份功能,包括主備備份(Active/Standby)和負(fù)載分擔(dān)(Active/Active)兩種方式。HRP負(fù)責(zé)在主/備設(shè)備之間備份關(guān)鍵配置命令和會(huì)話表狀態(tài)信息,從而確保主用設(shè)備出現(xiàn)故障時(shí)能由備份設(shè)備平滑地接替工作。無(wú)線網(wǎng)絡(luò)的設(shè)計(jì)方案概述有線網(wǎng)絡(luò)建設(shè)經(jīng)過(guò)改造后,已初具規(guī)模,1000Mbps光纜敷設(shè)到全校大部分的樓宇。如何將網(wǎng)絡(luò)延伸到校園的每一個(gè)角落,為學(xué)生和教師提供一個(gè)隨時(shí)、隨地使用網(wǎng)絡(luò)的環(huán)境,是擺在我們面前的重要任務(wù)。無(wú)線接入技術(shù)與光纖接入、ADSL接入、以太網(wǎng)接入等技術(shù)相比,具有投資少,建網(wǎng)周期短、提供業(yè)務(wù)快等優(yōu)勢(shì)。在無(wú)線接入領(lǐng)域中,固定無(wú)線接入正走向成熟,其應(yīng)用步伐不斷加快。而其中無(wú)線局域網(wǎng)技術(shù)又以其提供方便、快捷的組網(wǎng)方式等優(yōu)勢(shì),倍受矚目。

因此,我們采用有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)(802.11b、802.11g)融合的策略,將網(wǎng)絡(luò)應(yīng)用延伸到各個(gè)辦公室、多媒體教室、校園活動(dòng)場(chǎng)所等空間,提供教學(xué)視頻的無(wú)線上傳及下載,方便教學(xué)工作的開展。無(wú)線基本概念網(wǎng)絡(luò)架構(gòu)模型WLAN網(wǎng)絡(luò)在部署過(guò)程中,根據(jù)不同的需求有多種實(shí)現(xiàn)形式,根據(jù)網(wǎng)絡(luò)架構(gòu)分為:自治式架構(gòu)(即FATAP或胖AP)集中式架構(gòu)(即FITAP或瘦AP)自治式架構(gòu)和集中式架構(gòu)兩種網(wǎng)絡(luò)結(jié)構(gòu)比較如REF_Ref\r\h表1-2所示。自治式架構(gòu)和集中式架構(gòu)比較表項(xiàng)目自治式架構(gòu)集中式架構(gòu)適用場(chǎng)景微型企業(yè)、個(gè)人新生方式,增強(qiáng)管理安全性傳統(tǒng)加密、認(rèn)證方式,普通安全性基于用戶位置的安全策略,高安全性網(wǎng)絡(luò)管理每AP需要單獨(dú)下發(fā)配置文件AC上統(tǒng)一配置,AP本身零配置,維護(hù)簡(jiǎn)單用戶管理類似有線,根據(jù)AP接入的有線端口區(qū)分權(quán)限虛擬專用組方式,根據(jù)用戶名區(qū)分權(quán)限,使用靈活WLAN組網(wǎng)規(guī)模L2漫游,適合小規(guī)模組網(wǎng)L2、L3漫游,拓?fù)錈o(wú)關(guān)性,適合大規(guī)模組網(wǎng)增值業(yè)務(wù)能力實(shí)現(xiàn)簡(jiǎn)單數(shù)據(jù)接入可擴(kuò)展豐富業(yè)務(wù)自治式架構(gòu)該架構(gòu)下AP實(shí)現(xiàn)所有無(wú)線接入功能,不需要AC設(shè)備形態(tài),如REF_Ref\r\h圖1-2所示。WLAN早期廣泛采用自治式架構(gòu),隨著企業(yè)大量部署AP后,對(duì)這些AP進(jìn)行配置、升級(jí)軟件等管理工作將給用戶帶來(lái)很高的操作成本,管理成本提高,自治式架構(gòu)應(yīng)用逐步減少。集中式架構(gòu)該架構(gòu)經(jīng)過(guò)無(wú)線控制器(AC)集中管理、控制多個(gè)AP,如REF_Ref\r\h圖1-3所示。所有無(wú)線接入功能由AP和AC共同完成:AC完成網(wǎng)絡(luò)具有重要意義的功能,例如移動(dòng)管理、身份驗(yàn)證、VLAN劃分、射頻資源管理、無(wú)線IDS(IntrusionDetectionSystems)和數(shù)據(jù)包轉(zhuǎn)發(fā)等。AP完成無(wú)線空口的控制,例如無(wú)線信號(hào)發(fā)射與探測(cè)響應(yīng)、數(shù)據(jù)加密解密、數(shù)據(jù)傳輸確認(rèn)、空口數(shù)據(jù)優(yōu)先級(jí)管理等等。AP和AC間采用CAPWAP隧道協(xié)議進(jìn)行通訊,AC與AP間能夠是直連或者穿越Layer2、Layer3網(wǎng)絡(luò)。CAPWAP協(xié)議是基于UDP傳輸層的應(yīng)用層協(xié)議,協(xié)議傳遞的信息分為兩類:控制信息和數(shù)據(jù)信息?？刂菩畔⒇?fù)責(zé)AC與AP之間的管理的交互操作,包括AP自動(dòng)發(fā)現(xiàn)AC、AC對(duì)AP進(jìn)行安全認(rèn)證、AP從AC獲取軟件版本、AP從AC獲取配置等等。數(shù)據(jù)信息是封裝后轉(zhuǎn)發(fā)的無(wú)線數(shù)據(jù)。兩類信息分別使用不同的UDP端口號(hào)。CAPWAP信息在AP與AC間交互時(shí)能夠使用DTLS加密機(jī)制,保證通信的安全性。所有無(wú)線接入功能由AP和AC間共同完成。集中式架構(gòu)是企業(yè)網(wǎng)、運(yùn)營(yíng)商等WLAN方案的主要架構(gòu),便于集中管理、集中認(rèn)證和實(shí)施安全策略。此種方案為當(dāng)前企業(yè)網(wǎng)通用方案。在FITAP網(wǎng)絡(luò)架構(gòu)下,又有如下劃分:根據(jù)AC部署方式,分為集中式和分布式根據(jù)AC部署位置,分為旁掛和直路根據(jù)AC硬件體現(xiàn)形式,分為集成AC和獨(dú)立AC根據(jù)業(yè)務(wù)轉(zhuǎn)發(fā)形式,分為本地轉(zhuǎn)發(fā)和集中轉(zhuǎn)發(fā)集中式AC與分布式AC根據(jù)AC的部署方式,網(wǎng)絡(luò)可分為集中式AC部署和分布式AC部署。集中式AC部署集中式AC部署是指整個(gè)網(wǎng)絡(luò)中集中部署AC設(shè)備(一般是獨(dú)立的AC設(shè)備),來(lái)控制和管理整網(wǎng)的AP設(shè)備。AC的部署能夠采用直路(直接部署在AP和匯聚/核心交換機(jī)之間)或旁掛方式(旁掛在匯聚/核心交換機(jī)旁側(cè))。分布式AC部署分布式AC部署是指網(wǎng)絡(luò)中分區(qū)域采用多個(gè)AC設(shè)備,分別對(duì)本區(qū)域的AP設(shè)備進(jìn)行管理。分布式AC方案一般不采用獨(dú)立的AC設(shè)備,而是采用在匯聚交換機(jī)上集成AC功能,來(lái)實(shí)現(xiàn)對(duì)本交換機(jī)下掛的所有AP進(jìn)行管理。AC的兩種部署方式的優(yōu)劣勢(shì)對(duì)比如REF_Ref\r\h表1-3所示。集中式AC與分布式AC優(yōu)缺點(diǎn)對(duì)比表AC部署方式優(yōu)點(diǎn)缺點(diǎn)集中式節(jié)省投資容量管理更簡(jiǎn)單有效,成本效益高無(wú)線業(yè)務(wù)終結(jié)點(diǎn)少,便于管理漫游部署簡(jiǎn)單、高效無(wú)線網(wǎng)絡(luò)運(yùn)維管理更簡(jiǎn)單,可集中管理且配置靈活A(yù)C與AP之間的網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜,網(wǎng)絡(luò)規(guī)劃部署相對(duì)復(fù)雜分布式AC與AP之間網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單,網(wǎng)絡(luò)部署相對(duì)簡(jiǎn)單投資成本高需要部署AC間漫游(除非各AC所在的區(qū)域間不考慮漫游)運(yùn)維成本高AC旁掛與AC直路根據(jù)AC在網(wǎng)絡(luò)上所處位置,可分為AC旁掛和AC直路。旁掛旁掛方式是指將AC部署在用戶網(wǎng)關(guān)設(shè)備(匯聚或核心交換機(jī))一側(cè),實(shí)現(xiàn)對(duì)用戶網(wǎng)關(guān)設(shè)備下所有AP的管理。旁掛方式主要用于原有網(wǎng)絡(luò)匯聚/核心設(shè)備非華為設(shè)備的場(chǎng)景,當(dāng)前主要用于網(wǎng)絡(luò)改造、或者新建大、中型園區(qū)網(wǎng)絡(luò)場(chǎng)景。AC旁掛示意圖直路直路方式是指將AC部署在AP與用戶網(wǎng)關(guān)設(shè)備(匯聚或核心交換機(jī))之間,實(shí)現(xiàn)對(duì)下轄所有AP的管理。直路方式主要用于新建中、小型園區(qū)網(wǎng)絡(luò)或原有網(wǎng)絡(luò)匯聚/核心設(shè)備為華為設(shè)備的場(chǎng)景。AC直路示意圖本地轉(zhuǎn)發(fā)與集中轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)模式主要是AP針對(duì)用戶數(shù)據(jù)能夠有不同的轉(zhuǎn)發(fā)處理方式。本地轉(zhuǎn)發(fā)又稱直接轉(zhuǎn)發(fā),是指AP上對(duì)用戶數(shù)據(jù)由本地轉(zhuǎn)發(fā)到網(wǎng)絡(luò)上層,不經(jīng)過(guò)AC處理,AC只對(duì)AP進(jìn)行管理。而AP管理流封裝在CAPWAP隧道中,到達(dá)AC終止。本地轉(zhuǎn)發(fā)示意圖集中轉(zhuǎn)發(fā)也稱作隧道轉(zhuǎn)發(fā)。業(yè)務(wù)數(shù)據(jù)報(bào)文由AP統(tǒng)一封裝后到達(dá)AC實(shí)現(xiàn)轉(zhuǎn)發(fā),AC不但進(jìn)行對(duì)AP管理,還作為AP流量的轉(zhuǎn)發(fā)中樞。即AP管理流與數(shù)據(jù)流都封裝在CAPWAP隧道中到達(dá)AC。隧道轉(zhuǎn)發(fā)示意圖本地轉(zhuǎn)發(fā)與集中轉(zhuǎn)發(fā)優(yōu)缺點(diǎn)對(duì)比如REF_Ref\r\h表1-5所示。本地轉(zhuǎn)發(fā)與集中轉(zhuǎn)發(fā)優(yōu)缺點(diǎn)對(duì)比表轉(zhuǎn)發(fā)方式優(yōu)點(diǎn)缺點(diǎn)本地轉(zhuǎn)發(fā)設(shè)備署簡(jiǎn)單,數(shù)據(jù)流量不經(jīng)過(guò)AC,AC負(fù)擔(dān)小。-集中轉(zhuǎn)發(fā)數(shù)據(jù)流量和管理流量全部經(jīng)過(guò)AC,能夠按用戶需求規(guī)劃安全監(jiān)管策略。AC設(shè)備數(shù)據(jù)壓力較大,對(duì)AC設(shè)備本身處理能力要求較高。覆蓋區(qū)域描述網(wǎng)絡(luò)覆蓋范圍總共包含5棟樓:實(shí)訓(xùn)樓、實(shí)驗(yàn)樓、綜合樓、教學(xué)樓(白色)、教學(xué)樓(粉色),墻體統(tǒng)一為24磚墻,網(wǎng)絡(luò)點(diǎn)位統(tǒng)計(jì)如下:建筑樓層分布式AP數(shù)量放裝式AP1分4功分器數(shù)量天線數(shù)量備注實(shí)驗(yàn)樓1228實(shí)訓(xùn)樓長(zhǎng)約40m,建議每層部署2個(gè)AP,經(jīng)過(guò)饋線將天線部署到每個(gè)教室222732284227實(shí)驗(yàn)樓12127多媒體,閱覽室較大,單獨(dú)配置一臺(tái)放裝型AP2331032228綜合樓101213142樓70個(gè)用戶,配置4個(gè)AP31014431394樓70個(gè)用戶,PEIZHI4個(gè)AP教學(xué)樓(白色)1226教學(xué)樓面積較大,建議每層配置2個(gè)AP22263226教學(xué)樓(粉色)1226教學(xué)樓面積較大,建議每層配置2個(gè)AP222632264226數(shù)量合計(jì)34834114無(wú)線AP的部署分為室內(nèi)放裝型及室內(nèi)分布式兩種,室內(nèi)放裝型自帶天線,能夠部署在較大的房間內(nèi)或用戶比較密集的區(qū)域,提高無(wú)線接收效果,如多媒體室,閱覽室等。室內(nèi)分布式AP可配置功分器,提供多個(gè)天線分別接入到每個(gè)房間,提高覆蓋范圍,避免由于墻體過(guò)厚導(dǎo)致的無(wú)線衰減問(wèn)題。本次設(shè)計(jì)使用了8個(gè)放裝型AP,部署在多媒體室,閱覽室及綜合樓的人員密集區(qū)域。使用了34個(gè)分布式AP和114根天線,覆蓋到每一個(gè)教室及主要辦公室,提高完善的網(wǎng)絡(luò)覆蓋范圍。在注意覆蓋范圍的同時(shí)需考慮覆蓋的用戶總數(shù),,由于AP的處理能力有限,因此建議每個(gè)AP下下掛的用戶數(shù)量不超過(guò)25個(gè),在一些樓層用戶較多的區(qū)域,需考慮用戶數(shù)上限的問(wèn)題,如綜合樓的2樓和4樓,用戶數(shù)超過(guò)70,這些樓層建議配置4個(gè)AP進(jìn)行覆蓋,以達(dá)到較好的用戶體驗(yàn)無(wú)線局域網(wǎng)拓?fù)浔敬卧O(shè)計(jì)采用集中式構(gòu)架,經(jīng)過(guò)AC統(tǒng)一對(duì)下級(jí)的AP進(jìn)行管理和維護(hù),AC采用旁掛的方式進(jìn)行組網(wǎng),經(jīng)過(guò)本地轉(zhuǎn)發(fā)的方式進(jìn)行數(shù)據(jù)傳輸。本次無(wú)線的拓?fù)浣Y(jié)構(gòu)如下:本次方案采用瘦AP方式實(shí)現(xiàn)大樓的無(wú)線覆蓋,便于進(jìn)行集中配置和統(tǒng)一管理,在實(shí)際工作中,無(wú)線控制器AC連接到核心交換機(jī),與eSight網(wǎng)管系統(tǒng)的WLAN管理模塊協(xié)同工作,實(shí)現(xiàn)對(duì)全網(wǎng)AP的自動(dòng)配置下發(fā)、射頻管理、信道分配、安全接入控制等等無(wú)線網(wǎng)絡(luò)配置和運(yùn)維管理功能。本次配置采用AC+AP集中式管理的無(wú)線組網(wǎng)方案,各大樓根據(jù)工勘結(jié)果部署相應(yīng)AP,經(jīng)過(guò)千兆電口連接到相應(yīng)樓層無(wú)線接入交換機(jī),無(wú)線接入交換機(jī)提供POE功能,經(jīng)過(guò)POE技術(shù)對(duì)AP供電,簡(jiǎn)化布線。無(wú)線POE交換機(jī)經(jīng)過(guò)兩條千兆鏈路連接到核心交換機(jī)。核心交換機(jī)旁掛一臺(tái)無(wú)線控制器AC,經(jīng)過(guò)千兆電口互聯(lián),采用集中式組網(wǎng)方式對(duì)無(wú)線AP進(jìn)行統(tǒng)一管理和控制,推薦配置如下:序號(hào)設(shè)備類別設(shè)備型號(hào)數(shù)量備注1盒式ACAC6605164個(gè)AP許可2室內(nèi)放裝型AP(11bgn)AP6010SN8POE供電3室內(nèi)分布式APAP6310SN344全向天線1145POE交換機(jī)S5700-28C-PWR-SI5每樓宇一臺(tái)無(wú)線VLAN規(guī)劃VLAN規(guī)劃的原則:管理VLAN和業(yè)務(wù)VLAN分離業(yè)務(wù)VLAN應(yīng)根據(jù)實(shí)際業(yè)務(wù)需要與SSID匹配映射關(guān)系(1:1/1:N/N:1/N:N)管理VLAN對(duì)于瘦AP,管理VLAN是指AC與AP之間控制報(bào)文所帶VLAN。控制報(bào)文包括AP上線時(shí)的報(bào)文(DHCP等)以及建立CAPWAP控制隧道后的控制隧道報(bào)文。由于在實(shí)際應(yīng)用中,AC需要按VLAN選擇DHCPSERVER,或RELAY還是透?jìng)?因此管理VLAN和業(yè)務(wù)VLAN必須分離,以便滿足不同DHCP應(yīng)用的需求。如果AC/AP間經(jīng)過(guò)三層轉(zhuǎn)發(fā),中間三層設(shè)備必須支持DHCPRELAY;同樣要注意區(qū)分管理VLAN和業(yè)務(wù)VLAN,使之采用不同的RELAY-GATEWAY,以便AC區(qū)別不同DHCP請(qǐng)求。業(yè)務(wù)VLAN業(yè)務(wù)VLAN主要用于區(qū)分不同的業(yè)務(wù)類型或用戶群體,在WLAN中SSID也同樣能夠承擔(dān)相應(yīng)的工作。因此,在業(yè)務(wù)VLAN的規(guī)劃中必須綜合考慮VLAN與SSID的映射關(guān)系。業(yè)務(wù)VLAN與SSID有如下四種映射關(guān)系:SSID:VLAN=1:1部署:例如對(duì)北京市西城區(qū)”金融大街”和”中央音樂學(xué)院”進(jìn)行WLAN覆蓋,都是北京聯(lián)通WLAN網(wǎng)絡(luò)的覆蓋區(qū)域,因此希望用戶搜索到的WLAN只有一個(gè)SSID,如”北京聯(lián)通”;VLAN也只需要規(guī)劃一個(gè),如1000;SSID:VLAN=1:N部署:雖然北京市西城區(qū)”金融大街”和”中央音樂學(xué)院”都是北京聯(lián)通WLAN網(wǎng)絡(luò)的覆蓋區(qū)域,用戶搜索到的WLAN只有一個(gè)SSID”北京聯(lián)通”,但希望規(guī)劃不同的VLAN標(biāo)識(shí)不同的場(chǎng)點(diǎn),如1000、1001,這個(gè)場(chǎng)景中,SSID:VLAN＝1:N;SSID:VLAN=N:1部署:雖然都是北京聯(lián)通的覆蓋區(qū)域,但希望用戶搜索到WLAN就知道自己在什么地方了,因此需要兩個(gè)SSID,如”金融大街”和”中央音樂學(xué)院”,由于都是北京聯(lián)通的場(chǎng)所,VLAN只想規(guī)劃一個(gè),如1000;SSID:VLAN=N:N部署:雖然都是北京聯(lián)通覆蓋區(qū)域,但希望用戶搜索到WLAN就知道自己在什么地方了,并希望經(jīng)過(guò)不同的VLAN精細(xì)控制流量,因此需要兩個(gè)SSID,如”金融大街”和”中央音樂學(xué)院”,同時(shí)VLAN也要規(guī)劃兩個(gè),如1000和10014.無(wú)線網(wǎng)絡(luò)應(yīng)用無(wú)線網(wǎng)擴(kuò)展了有線網(wǎng)的覆蓋范圍,將網(wǎng)絡(luò)應(yīng)用延伸到學(xué)生向往的空間。這意味著能夠在任何便于工作的地方,如在報(bào)告廳、自助餐廳、實(shí)驗(yàn)室、辦公室以及在校園休閑場(chǎng)地享受學(xué)習(xí)的自由和靈活性。學(xué)生在上述無(wú)線覆蓋的區(qū)域能夠收發(fā)電子郵件,點(diǎn)播流媒體節(jié)目,學(xué)習(xí)Web課程,利用WebQuest探討問(wèn)題,利用MSN或QICQ與她人(同學(xué)、老師或家人)協(xié)作交流思想和學(xué)習(xí)等。這要?dú)w功于能夠傳輸實(shí)時(shí)信息的各種手持終端和筆記本電腦。在其它行業(yè)中,無(wú)線局域網(wǎng)日益被看作是一種創(chuàng)新的、可負(fù)擔(dān)的工具,用以補(bǔ)充有線網(wǎng)絡(luò),而不是取代它。統(tǒng)一身份認(rèn)證平臺(tái)統(tǒng)一身份認(rèn)證平臺(tái)采用華為TSM實(shí)現(xiàn):背景隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,學(xué)校廣泛采用協(xié)同辦公或經(jīng)過(guò)遠(yuǎn)程、移動(dòng)和互聯(lián)網(wǎng)接入等方式辦公。上述工作方式的應(yīng)用在帶來(lái)更多資訊和更高生產(chǎn)效率的同時(shí),也給企業(yè)辦公網(wǎng)絡(luò)帶來(lái)更多的安全問(wèn)題。面臨如下風(fēng)險(xiǎn):遠(yuǎn)程接入或移動(dòng)辦公會(huì)導(dǎo)致網(wǎng)絡(luò)漏洞越來(lái)越多學(xué)校的終端用戶、遠(yuǎn)程辦公的終端用戶、合作伙伴、來(lái)訪客戶等多種終端用戶接入總局或其它學(xué)校網(wǎng)絡(luò),網(wǎng)絡(luò)接入點(diǎn)和接入方式增多,導(dǎo)致網(wǎng)絡(luò)漏洞成倍增加。非法終端用戶接入外來(lái)人員在未經(jīng)許可的情況下,能夠輕易接入并訪問(wèn)公司的網(wǎng)絡(luò)。合法終端用戶越權(quán)訪問(wèn)因未對(duì)企業(yè)中的網(wǎng)絡(luò)資源進(jìn)行嚴(yán)格的訪問(wèn)權(quán)限控制,導(dǎo)致合法終端用戶能夠隨意訪問(wèn)企業(yè)中的機(jī)密信息。終端用戶濫用資源在未經(jīng)許可的情況下,終端用戶隨意使用撥號(hào)上網(wǎng)設(shè)備連接Internet。MicrosoftWindows操作系統(tǒng)存在越來(lái)越多的安全漏洞因終端主機(jī)未及時(shí)安裝補(bǔ)丁,可能招致黑客和惡意用戶的攻擊。病毒泛濫因未安裝防病毒軟件,終端用戶在上網(wǎng)時(shí)容易感染病毒,而且容易在企業(yè)網(wǎng)中蔓延和傳播。黑客惡意破壞黑客會(huì)利用MicrosoftWindows的某些系統(tǒng)服務(wù)固有的缺陷或經(jīng)過(guò)暴力破解長(zhǎng)期未使用的賬號(hào)入侵終端主機(jī),再蓄意破壞企業(yè)中的IT系統(tǒng)。隨意共享目錄導(dǎo)致安全隱患和信息泄密因共享目錄的權(quán)限設(shè)置不當(dāng)導(dǎo)致機(jī)密文件泄密,并容易感染病毒。安全策略不能及時(shí)落實(shí)管理員缺乏監(jiān)督手段,不能敦促未安裝補(bǔ)丁的終端用戶安裝補(bǔ)丁或未更新病毒庫(kù)的終端用戶更新病毒庫(kù)。終端用戶的違規(guī)行為得不到監(jiān)控管理員無(wú)法檢查終端用戶是否在上班時(shí)間訪問(wèn)與工作無(wú)關(guān)的網(wǎng)站,最重要的是缺少取證手段。上網(wǎng)無(wú)法進(jìn)行計(jì)費(fèi)學(xué)校無(wú)法對(duì)學(xué)生的上網(wǎng)進(jìn)行計(jì)費(fèi)、計(jì)天、包月、流量計(jì)費(fèi)、時(shí)長(zhǎng)計(jì)費(fèi)、自定義周期計(jì)費(fèi)、自定義計(jì)費(fèi)策略、本周起不使用不扣費(fèi)、一次付費(fèi)分段開通、分地區(qū)計(jì)費(fèi)等接入控制方案在內(nèi)網(wǎng)中,基于交換機(jī)實(shí)現(xiàn)的IP的訪問(wèn)控制不但配置管理不夠靈活,而且還存在IP被仿冒等安全風(fēng)險(xiǎn),無(wú)法徹底解決非法接入和越權(quán)訪問(wèn)的問(wèn)題。TSM系統(tǒng)終端用戶的身份認(rèn)證,經(jīng)過(guò)基于用戶角色的網(wǎng)絡(luò)訪問(wèn)權(quán)限管理,加強(qiáng)內(nèi)網(wǎng)的網(wǎng)絡(luò)訪問(wèn)控制,防止非法接入和非授權(quán)訪問(wèn),保證企業(yè)內(nèi)網(wǎng)的安全。經(jīng)過(guò)硬件安全網(wǎng)關(guān)進(jìn)行準(zhǔn)入控制身份認(rèn)證方案TSM系統(tǒng)建立了完善的接入用戶身份認(rèn)證機(jī)制,支持系統(tǒng)內(nèi)置賬號(hào)和外部數(shù)據(jù)源方式。系統(tǒng)內(nèi)置賬號(hào)包括普通賬號(hào)、MAC賬號(hào),外部數(shù)據(jù)源賬號(hào)支持從AD賬號(hào)、LDAP賬號(hào)和CA賬號(hào)等第三方的用戶系統(tǒng)中同步賬號(hào),實(shí)現(xiàn)終端的網(wǎng)絡(luò)準(zhǔn)入前的身份認(rèn)證過(guò)程。TSM系統(tǒng)中,終端用戶是以終端角色來(lái)進(jìn)行安全策略和網(wǎng)絡(luò)訪問(wèn)權(quán)限管理的,終端只有完成身份認(rèn)證才能接入企業(yè)內(nèi)網(wǎng),因此本次實(shí)施方案需完成終端用戶的認(rèn)證賬號(hào)配置。TSM系統(tǒng)參考現(xiàn)有企業(yè)的組織和管理結(jié)構(gòu),采用樹狀結(jié)構(gòu)的多級(jí)管理方式,賬號(hào)數(shù)據(jù)源支持系統(tǒng)內(nèi)置賬號(hào)和外部數(shù)據(jù)源方式。系統(tǒng)內(nèi)置賬號(hào)包括普通賬號(hào)、MAC賬號(hào),外部數(shù)據(jù)源賬號(hào)支持從AD賬號(hào)、LDAP賬號(hào)和CA賬號(hào)等第三方用戶系統(tǒng)中同步賬號(hào),完成TSM系統(tǒng)的接入認(rèn)證。設(shè)備自發(fā)現(xiàn)現(xiàn)網(wǎng)網(wǎng)絡(luò)規(guī)模較大,接入內(nèi)網(wǎng)的設(shè)備較多,管理員很難及時(shí)動(dòng)態(tài)滴了解網(wǎng)絡(luò)設(shè)備的接入情況。建議啟用TSM系統(tǒng)的自動(dòng)網(wǎng)絡(luò)掃描功能,掃描并自動(dòng)分類網(wǎng)絡(luò)中的接入設(shè)備,如交換路由設(shè)備、PC設(shè)備、服務(wù)器、IP電話、網(wǎng)絡(luò)打印機(jī)等,同時(shí)保證能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的新設(shè)備,對(duì)未安裝TSM代理的外來(lái)終端的接入行為進(jìn)行告警,方便管理員了解網(wǎng)絡(luò)終端的接入情況。終端加固管理企業(yè)內(nèi)網(wǎng)終端眾多,員工的計(jì)算機(jī)水平和信息安全意思參差不齊,由于操作系統(tǒng)安全設(shè)置不當(dāng)而引起的安全風(fēng)險(xiǎn)越來(lái)越明顯,僅經(jīng)過(guò)當(dāng)前行政管理手段無(wú)法保證所有終端的安全性,建議加強(qiáng)對(duì)操作系統(tǒng)的安全加固管理,具體管理方案如下:防病毒軟件安全策略內(nèi)網(wǎng)的辦公終端絕大多數(shù)已經(jīng)安裝了防病毒軟件,但由于強(qiáng)制檢查,導(dǎo)致終端長(zhǎng)期不更新病毒庫(kù)和病毒引擎版本,使得防病毒軟件形同虛設(shè),沒有發(fā)揮其重要的終端保護(hù)能力。因此,建議經(jīng)過(guò)TSM系統(tǒng)的防病毒管理策略實(shí)現(xiàn)終端的安全防護(hù),TSM配合企業(yè)自身的防病毒軟件,經(jīng)過(guò)檢查終端是否安裝、運(yùn)行狀態(tài)以及防病毒軟件的更新狀態(tài),作為判斷終端當(dāng)前安全狀態(tài)的一個(gè)依據(jù),阻止或提示沒有部署殺毒軟件的終端或者殺毒軟件長(zhǎng)期不更新的終端接入網(wǎng)絡(luò)。保證企業(yè)內(nèi)網(wǎng)運(yùn)行的終端殺毒軟件能夠及時(shí)更新而且有效運(yùn)行,減少病毒感染和擴(kuò)散的風(fēng)險(xiǎn)。強(qiáng)化補(bǔ)丁安裝加強(qiáng)操作系統(tǒng)和應(yīng)用程序的安全漏洞檢查,把補(bǔ)丁的檢查作為一個(gè)重要的檢查項(xiàng),檢查操作系統(tǒng)補(bǔ)丁、IE的SP補(bǔ)丁、OFFICE的SP補(bǔ)丁等,當(dāng)檢查到終端沒有部署必須的補(bǔ)丁的時(shí)候,TSM系統(tǒng)能夠協(xié)助終端快速完成補(bǔ)丁的修復(fù)。超時(shí)自動(dòng)鎖屏經(jīng)過(guò)屏幕保護(hù)策略檢查終端的屏幕保護(hù)是否啟用,屏幕保護(hù)程序密碼是否設(shè)置以及屏幕保護(hù)啟動(dòng)時(shí)間是否符合企業(yè)安全要求的安全檢查,保證終端在空閑一定時(shí)間后屏幕保護(hù)程序自啟動(dòng)的安全要求,滿足企業(yè)終端桌面管理規(guī)范。當(dāng)終端屏幕保護(hù)設(shè)置不符合規(guī)范時(shí),進(jìn)行自修復(fù)。注冊(cè)表配置管理經(jīng)過(guò)對(duì)系統(tǒng)注冊(cè)表鍵值檢查,完成終端注冊(cè)表鍵值存在與否的安全性檢查。支持對(duì)終端的自動(dòng)修復(fù)功能,對(duì)于要求存在的鍵值,如果該鍵值不存在,則添加該鍵值;對(duì)于不允許存在的鍵值,如果該鍵值存在,則刪除該鍵值。冗余賬號(hào)檢查經(jīng)過(guò)檢查系統(tǒng)冗余賬號(hào),TSM系統(tǒng)能夠協(xié)助管理員發(fā)現(xiàn)終端長(zhǎng)期未使用的臨時(shí)賬號(hào),降低企業(yè)終端安全管理風(fēng)險(xiǎn)。檢查賬號(hào)安全經(jīng)過(guò)賬號(hào)的弱口令檢查、賬號(hào)群組檢查、本地密碼策略包括密碼長(zhǎng)度最小值,密碼最長(zhǎng)存留期屬性檢查等,保證終端操作系統(tǒng)賬號(hào)的安全;檢查端口策略經(jīng)過(guò)檢查終端口策略,有效保證對(duì)于接入網(wǎng)絡(luò)的終端,及時(shí)提醒個(gè)人用戶關(guān)掉無(wú)用端口,保證無(wú)用服務(wù)的最小化使用原則;網(wǎng)絡(luò)共享管理Window操作系統(tǒng)默認(rèn)情況下對(duì)共享文件夾和共享打印機(jī)設(shè)置為Everyone權(quán)限,如果終端用戶安全意識(shí)不高的情況下,就會(huì)帶來(lái)較大的安全隱患。一方面,網(wǎng)絡(luò)內(nèi)任意終端可能在未獲得授權(quán)的情況下直接竊取共享信息;另一方面,公開的共享目錄也給病毒的傳播提供了溫床。TSM的系統(tǒng)安全管理功能,能夠及時(shí)協(xié)助終端用戶發(fā)現(xiàn)而且清理不安全的共享賬號(hào)。監(jiān)控非法應(yīng)用和服務(wù)經(jīng)過(guò)檢查終端的軟件安裝情況和監(jiān)控終端軟件程序的運(yùn)行情況,阻止終端安裝和運(yùn)行非法應(yīng)用程序。如果發(fā)現(xiàn)安裝或使用了非法軟件、進(jìn)程和服務(wù),能夠經(jīng)過(guò)與準(zhǔn)入控制設(shè)備的聯(lián)動(dòng)提示或阻止該終端接入網(wǎng)絡(luò),也能夠攔截非法軟件、進(jìn)程和服務(wù)的使用,規(guī)范員工的行為。同時(shí),管理員可經(jīng)過(guò)審計(jì)軟件的安裝和使用情況,從而及時(shí)了解安全狀態(tài)。終端行為管理法律規(guī)定了很多網(wǎng)站是非法的,比如有色情、迷信和犯罪相關(guān)的等等。使用寬帶接入互聯(lián)網(wǎng)后,企業(yè)內(nèi)部網(wǎng)絡(luò)某種程度上成了一種”公共”上網(wǎng)場(chǎng)所,很多與法律相違背的行為都有可能發(fā)生在內(nèi)部網(wǎng)中。這些事情難以追查,給企業(yè)帶來(lái)的法律法規(guī)方面的風(fēng)險(xiǎn)。因此,建議對(duì)員工的網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行管理,具體管理方案如下:監(jiān)控網(wǎng)站訪問(wèn)經(jīng)過(guò)對(duì)WEB訪問(wèn)的監(jiān)控,記錄終端用戶的WEB網(wǎng)站訪問(wèn)信息,由管理員進(jìn)行統(tǒng)一管理和審計(jì)。經(jīng)過(guò)這樣的手段,一方面能夠管理員工的上網(wǎng)行為,上班時(shí)間屏蔽一些與工作無(wú)關(guān)的網(wǎng)站;另一方面,提供審計(jì)和責(zé)任追溯的途徑。軟件安裝標(biāo)準(zhǔn)化經(jīng)過(guò)軟件黑白名單檢查,檢查終端安裝軟件的列表,能夠定義軟件黑名單的違規(guī)軟件列表和軟件白名單的合法的軟件列表,也能夠經(jīng)過(guò)檢查軟件黑白名單規(guī)定只能安裝列表中的軟件或者必須安裝的軟件,加強(qiáng)企業(yè)桌面軟件統(tǒng)一安裝的標(biāo)準(zhǔn)性。IP訪問(wèn)和網(wǎng)絡(luò)應(yīng)用程序監(jiān)控經(jīng)過(guò)對(duì)終端的IP訪問(wèn)控制和網(wǎng)絡(luò)應(yīng)用程序訪問(wèn)控制功能,對(duì)于一些安全性要求比較高的業(yè)務(wù)系統(tǒng),允許定義基于時(shí)間段的IP訪問(wèn)規(guī)則,允許配置特定用戶群在下班時(shí)間后不能訪問(wèn)一些關(guān)鍵的業(yè)務(wù)系統(tǒng),防止對(duì)這些關(guān)鍵服務(wù)器可能造成的危害。允許定義網(wǎng)絡(luò)應(yīng)用程序訪問(wèn)規(guī)則,控制IM等聊天工具在上班時(shí)間的使用。另外,提供網(wǎng)絡(luò)流量監(jiān)控功能,能夠協(xié)助管理員發(fā)現(xiàn)流量異常的終端。終端入網(wǎng)審計(jì)提供終端登錄內(nèi)部網(wǎng)絡(luò)的日志上下線記錄,管理員能夠經(jīng)過(guò)日志及時(shí)查詢哪些用戶在什么時(shí)間登錄的企業(yè)內(nèi)網(wǎng)安全網(wǎng)絡(luò),同時(shí)對(duì)長(zhǎng)期沒有登錄的賬號(hào)也提供檢索查詢;信息防泄密管理當(dāng)前企業(yè)辦公終端數(shù)量較多,員工的辦公終端里存儲(chǔ)大量涉及企業(yè)機(jī)密的敏感信息,時(shí)常發(fā)生員工經(jīng)過(guò)終端外設(shè),如刻錄光盤、U盤拷貝、打印等方式將敏感信息外泄,當(dāng)前經(jīng)過(guò)人工管理方式不但耗時(shí)費(fèi)力,而且效果并不明顯。針對(duì)此種狀況,建議加強(qiáng)對(duì)終端外設(shè)接口的監(jiān)控,具體管理方案如下:外設(shè)接口管理關(guān)閉終端上不需要光驅(qū)、刻錄機(jī)、軟驅(qū)、打印機(jī)等外部設(shè)備以及串口、并口、紅外、藍(lán)牙、PCMCIA卡、1394、SD/MMC控制器等計(jì)算機(jī)外設(shè)接口,經(jīng)過(guò)關(guān)閉不必要的外設(shè)和接口,從而在一定程度上防范信息泄漏。監(jiān)控USB設(shè)備使用在不影響USB鼠標(biāo)/鍵盤的情況下,對(duì)USB設(shè)備的管理支持放行、監(jiān)控、禁用、只讀和寫加密四種狀態(tài)。USB監(jiān)控屬性:對(duì)USB存儲(chǔ)設(shè)備的文件操作進(jìn)行監(jiān)控,識(shí)別和記錄創(chuàng)立文件、拷入U(xiǎn)盤、拷出U盤、內(nèi)部復(fù)制、刪除文件等操作的審計(jì)記錄;USB禁用屬性:禁止終端使用USB設(shè)備;USB只讀屬性:對(duì)USB存儲(chǔ)設(shè)備進(jìn)行只讀控制,防止終端用戶將本地硬盤上的數(shù)據(jù)拷貝至USB存儲(chǔ)設(shè)備上;USB寫加密屬性:允許終端正常使用USB設(shè)備,當(dāng)終端用戶從本地硬盤將文件拷貝到USB設(shè)備時(shí),系統(tǒng)自動(dòng)對(duì)拷入文件進(jìn)行加密,從而保證拷入的文件只允許在企業(yè)終端機(jī)上使用;撥號(hào)連接管理經(jīng)過(guò)管理Modem、3G上網(wǎng)卡、ISDN、PPPOE撥號(hào)設(shè)備,管理員能夠經(jīng)過(guò)提供的安全策略監(jiān)控或阻斷終端的撥號(hào)行為,系統(tǒng)自動(dòng)記錄撥號(hào)的開始時(shí)間和結(jié)束時(shí)間或者禁止終端用戶使用撥號(hào)設(shè)備,有效阻止終端繞過(guò)企業(yè)的監(jiān)管連接互聯(lián)網(wǎng),避免企業(yè)內(nèi)網(wǎng)直接面對(duì)來(lái)自互聯(lián)網(wǎng)的攻擊。防止違規(guī)假設(shè)PROXY/路由器等外聯(lián)設(shè)備監(jiān)視內(nèi)網(wǎng)私自架設(shè)PROXY服務(wù)器的非法外聯(lián)行為,當(dāng)發(fā)現(xiàn)違規(guī)架設(shè)PROXY服務(wù)器,能夠記錄違規(guī)PROXY服務(wù)器的地址/端口信息,上報(bào)服務(wù)器,由管理人員進(jìn)行跟蹤和處理。確保企業(yè)的所有互聯(lián)網(wǎng)出口流量都經(jīng)過(guò)統(tǒng)一架設(shè)的出口網(wǎng)關(guān),經(jīng)過(guò)出口網(wǎng)關(guān)過(guò)濾不安全的網(wǎng)絡(luò)訪問(wèn),保障企業(yè)內(nèi)網(wǎng)安全。文件操作審計(jì)經(jīng)過(guò)文件名和通配符的方式自定義需要監(jiān)控的文件記錄,提供文件的新建、刪除、編輯、復(fù)制、重命名等操作日志記錄,方便安全事件的追溯。上網(wǎng)計(jì)費(fèi)及管理支持web認(rèn)證下的計(jì)費(fèi)、計(jì)天、包月、流量計(jì)費(fèi)、時(shí)長(zhǎng)計(jì)費(fèi)、自定義周期計(jì)費(fèi)、自定義計(jì)費(fèi)策略、本周起不使用不扣費(fèi)、一次付費(fèi)分段開通、分地區(qū)計(jì)費(fèi);支持賬單管理、賬務(wù)流水管理、手工登帳、營(yíng)帳報(bào)表管理;網(wǎng)絡(luò)管理規(guī)劃網(wǎng)管需求分析網(wǎng)絡(luò)承載的業(yè)務(wù)越來(lái)越多,應(yīng)用越來(lái)越廣泛,涉及業(yè)務(wù)管理系統(tǒng)、網(wǎng)管系統(tǒng)、KVM維護(hù)系統(tǒng)、郵件系統(tǒng)、防病毒系統(tǒng)等;而且數(shù)據(jù)中心內(nèi)存在大量的基于Windows、Unix、Linux的多種平臺(tái),如何將數(shù)據(jù)中心內(nèi)的各種應(yīng)用和平臺(tái)有效地進(jìn)行整合和管理,從而實(shí)現(xiàn)對(duì)數(shù)據(jù)中心的高效便捷的運(yùn)營(yíng)管理成為運(yùn)營(yíng)商迫切需要解決的問(wèn)題。復(fù)雜的數(shù)據(jù)中心的應(yīng)用由于網(wǎng)絡(luò)中涉及的設(shè)備眾多,包括了數(shù)據(jù)設(shè)備、安全設(shè)備、應(yīng)用軟件、數(shù)據(jù)庫(kù)、服務(wù)器、存儲(chǔ)等,因此需要有一個(gè)統(tǒng)一的管理平臺(tái)對(duì)數(shù)據(jù)中心的設(shè)備進(jìn)行管理,經(jīng)過(guò)良好的管理能夠有效的提升整個(gè)中心的運(yùn)營(yíng)管理水平,使得整個(gè)系統(tǒng)能夠更好的服務(wù),并防止很多意外的問(wèn)題發(fā)生。因此一個(gè)良好的數(shù)據(jù)中心必須具有一個(gè)良好的管理平臺(tái)。網(wǎng)絡(luò)設(shè)備的管理網(wǎng)管系統(tǒng)主要由網(wǎng)絡(luò)管理、流量管理、認(rèn)證計(jì)費(fèi)等幾個(gè)產(chǎn)品組成。 網(wǎng)絡(luò)管理:實(shí)現(xiàn)了對(duì)交換機(jī)、路由器、防火墻等設(shè)備的全方位管理,提供了豐富的拓?fù)?、配置、資產(chǎn)、故障、性能、事件、流量、報(bào)表等網(wǎng)絡(luò)管理功能。 流量管理:提供網(wǎng)絡(luò)流量監(jiān)測(cè)、流量門限、協(xié)議分析、Web上網(wǎng)行為審計(jì)等功能。結(jié)合NetFlow網(wǎng)絡(luò)流量分析器實(shí)現(xiàn)更為細(xì)化、便捷的全網(wǎng)流量分析功能。 認(rèn)證計(jì)費(fèi):提供靈活多樣的計(jì)費(fèi)策略,支持多種認(rèn)證方式,滿足組性化的用戶管理,實(shí)現(xiàn)多樣化的控制策略。經(jīng)過(guò)網(wǎng)管系統(tǒng)模塊能夠?qū)崿F(xiàn)對(duì)IT資源的全面、可視化、統(tǒng)一管理。針對(duì)本次項(xiàng)目,從易用性以及網(wǎng)絡(luò)可管理性出發(fā),網(wǎng)管軟件具有但不限于以下功能:其網(wǎng)管豐富的設(shè)備管理能力(含第三方設(shè)備):網(wǎng)絡(luò)topo,IP視圖等可視化管理,實(shí)時(shí)掌握網(wǎng)絡(luò)狀態(tài)智能告警分析,短信、郵件等多種通知方式豐富性能監(jiān)控指標(biāo),性能閾值告警,可視化性能報(bào)表常規(guī)報(bào)表+可定制化報(bào)表,滿足企業(yè)各種報(bào)表需求企業(yè)CPE即插即用:遠(yuǎn)程部署,降低企業(yè)部署成本有線無(wú)線統(tǒng)一管理:統(tǒng)一Topo,AP實(shí)景topo等多種topo視圖,實(shí)現(xiàn)有線無(wú)線統(tǒng)一可視化管理AP批量配置,批量升級(jí),遠(yuǎn)程維護(hù),簡(jiǎn)單,高效用戶信息、流量管理,拉近無(wú)線運(yùn)維距離可視化業(yè)務(wù)管理:多廠商MPLSVPN可視化管理,所見即所得,保護(hù)企業(yè)骨干網(wǎng)絡(luò)IPSecVPN可視化管理,提升企業(yè)安全性精細(xì)化網(wǎng)流分析:可視化流量管理,細(xì)致的流量分析以及分析報(bào)表,實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)精細(xì)化流量管理分級(jí)網(wǎng)絡(luò)管理:契合企業(yè)總部-分支架構(gòu),實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)分級(jí)管理開放的二次開發(fā)平臺(tái):支持與企業(yè)現(xiàn)有OSS、運(yùn)維工具無(wú)縫集成;提供開放API接口,支持企業(yè)和合作伙伴在現(xiàn)有平臺(tái)上的二次開發(fā),打造更符合企業(yè)的運(yùn)維工具。多版本滿足企業(yè)不同需求提供精簡(jiǎn)版、標(biāo)準(zhǔn)版、專業(yè)版滿足不同企業(yè)管理需求可靠性設(shè)計(jì)網(wǎng)絡(luò)可靠性設(shè)計(jì)局域網(wǎng)高可靠性設(shè)計(jì)總體方案如下圖所示:局域網(wǎng)高可靠性設(shè)計(jì)方案總覽針對(duì)二層接入(接入交換機(jī)是二層交換機(jī)、匯聚交換機(jī)作為用戶網(wǎng)關(guān))典型局域網(wǎng)架構(gòu),從接入層、匯聚層、核心層來(lái)分層考慮網(wǎng)絡(luò)可靠性設(shè)計(jì)。接入層網(wǎng)絡(luò)是二層網(wǎng)絡(luò),接入交換機(jī)與匯聚交換機(jī)之間經(jīng)過(guò)SmartLink/STP/RSTP/MSTP/RRPP保證網(wǎng)絡(luò)可靠性,同時(shí)解決二層網(wǎng)絡(luò)環(huán)路問(wèn)題;匯聚層交換機(jī)之間經(jīng)過(guò)VRRP(BFDforVRRP)協(xié)議確定用戶的主備網(wǎng)關(guān),交換機(jī)互聯(lián)經(jīng)過(guò)TRUNK鏈路,保證鏈路級(jí)可靠性,匯聚交換機(jī)與接入交換機(jī)之間可經(jīng)過(guò)DLDP協(xié)議檢測(cè)光纖單向故障(單通故障)。局域網(wǎng)接入/匯聚/核心交換機(jī)經(jīng)過(guò)虛擬化技術(shù)進(jìn)行集群(或堆疊),將兩臺(tái)/多臺(tái)交換機(jī)虛擬化成一臺(tái)交換機(jī),降低網(wǎng)絡(luò)拓?fù)鋸?fù)雜度的同時(shí),提高網(wǎng)絡(luò)可靠性,是未來(lái)高可靠性局域網(wǎng)的發(fā)展趨勢(shì)?？煽啃栽O(shè)計(jì)目標(biāo)方案(發(fā)展趨勢(shì)):局域網(wǎng)交換機(jī)虛擬化可靠性設(shè)計(jì)目標(biāo)方案組網(wǎng)局域網(wǎng)可靠性方案設(shè)計(jì)的目標(biāo)方案或發(fā)展趨勢(shì)是各層次局域網(wǎng)交換機(jī)都進(jìn)行虛擬化,經(jīng)過(guò)集群/堆疊技術(shù)將兩臺(tái)或多臺(tái)交換機(jī)虛擬成一臺(tái)交換機(jī)。能夠提高單節(jié)點(diǎn)設(shè)備可靠性,一臺(tái)交換機(jī)故障,另外一臺(tái)交換機(jī)自動(dòng)接管故障設(shè)備上的所有業(yè)務(wù),能夠做到業(yè)務(wù)無(wú)損切換。設(shè)備虛擬化經(jīng)過(guò)跨設(shè)備的TRUNK鏈路,提升鏈路級(jí)可靠性,而且流量能夠均勻分布在TRUNK成員鏈路上,提高鏈路帶寬利用率,條或多條鏈路故障后,流量自動(dòng)切換到其它正常的鏈路。該方案另外一個(gè)優(yōu)點(diǎn)網(wǎng)絡(luò)配置和維護(hù)簡(jiǎn)單,局域二層接入網(wǎng),不需要配置復(fù)雜的二層環(huán)網(wǎng)和保護(hù)倒換協(xié)議,二層鏈路故障直接感知快速切換,三層網(wǎng)絡(luò)中多個(gè)設(shè)備間共享路由表,網(wǎng)絡(luò)故障路由收斂速度快。網(wǎng)絡(luò)管理和維護(hù)難度大大降低,此方案適應(yīng)面廣,擴(kuò)展性強(qiáng),是未來(lái)局域網(wǎng)的發(fā)展趨勢(shì)。設(shè)備高可靠性設(shè)計(jì)重要部件冗余設(shè)備本身要具有電信級(jí)5個(gè)9的可靠性,需要網(wǎng)絡(luò)設(shè)備支持:主控1:1備份DC電源1+1備份;AC電源1+1/2+2備份模塊化的風(fēng)扇設(shè)計(jì),高端配置支持單風(fēng)扇失效無(wú)源背板,高可靠性獨(dú)立的設(shè)備監(jiān)控單元,和主控解耦所有模塊熱插拔完善的各種告警功能設(shè)備管理1:1備份設(shè)備自身安全如下圖所示,隨著黑客工具的泛濫和使用的方便,使的網(wǎng)絡(luò)攻擊的成本越來(lái)越來(lái),但危害越來(lái)越大.黑客工具的危害性這就要求具有強(qiáng)大靈活的自身防護(hù)功能,以不變應(yīng)萬(wàn)變的方法,才能抵擋日益泛濫的網(wǎng)絡(luò)攻擊。本次建設(shè)所選交換機(jī)能提供攻擊防范功能,能夠檢測(cè)出多種類型的網(wǎng)絡(luò)攻擊,并能采取相應(yīng)的措施保護(hù)設(shè)備自身及其所連接的內(nèi)部網(wǎng)絡(luò)免受惡意攻擊,保證內(nèi)部網(wǎng)絡(luò)及設(shè)備的正常運(yùn)行。全系列交換機(jī)支持的攻擊防范功能包括防DDOS攻擊、IP欺騙攻擊、Land攻擊、PingofDeath攻擊、Teardrop攻擊、ICMPFlood攻擊、SYNFLOOD攻擊等。另外,以太網(wǎng)交換機(jī)的MAC地址表作為二層報(bào)文轉(zhuǎn)發(fā)的核心,在受到攻擊的時(shí)候,直接導(dǎo)致交換機(jī)無(wú)法正常工作。發(fā)生MAC地址攻擊的時(shí)候,攻擊者經(jīng)過(guò)不停的發(fā)送MAC地址來(lái)刷新,填充交換機(jī)的MAC地址表,由于MAC地址表的規(guī)格有限,導(dǎo)致正常流量由于沒有正確的轉(zhuǎn)發(fā)表項(xiàng)而無(wú)法正常轉(zhuǎn)發(fā)。ARP攻擊與此類似,經(jīng)過(guò)攻擊報(bào)文來(lái)更改MAC與IP地址的綁定,從而重新定向流量。本次建設(shè)全系列交換機(jī)能夠經(jīng)過(guò)MAC地址與端口的綁定以及限制端口/VLAN/VSI下MAC地址的最大學(xué)習(xí)個(gè)數(shù)可防止MAC掃描,并經(jīng)過(guò)VLAN、IP、MAC之間的任意綁定可防范ARP攻擊(SAI/DAI功能)。交換機(jī)支持黑洞MAC功能,局域交換機(jī)收到報(bào)文時(shí)比較報(bào)文目的MAC地址,若與黑洞MAC表項(xiàng)相同則丟棄該報(bào)文。當(dāng)用戶察覺到某MAC地址的報(bào)文具有一定攻擊性,則能夠在局域交換機(jī)上配置黑洞MAC,從而將具有該MAC地址的報(bào)文過(guò)濾掉,避免遭受攻擊。接入交換機(jī)的堆疊iStackiStack堆疊就是將多臺(tái)設(shè)備經(jīng)過(guò)堆疊口連接起來(lái)形成一臺(tái)虛擬的邏輯設(shè)備。一個(gè)局域網(wǎng)用戶上行的2個(gè)網(wǎng)絡(luò)接口,對(duì)于堆疊后的設(shè)備,能夠看作Trunk接口。多臺(tái)設(shè)備堆疊成一臺(tái)設(shè)備后,從功能和管理方面,都能夠作為一臺(tái)設(shè)備來(lái)看待。iStack堆疊技術(shù)有如下的優(yōu)勢(shì):簡(jiǎn)化管理堆疊設(shè)備的角色分為Master和Slave;經(jīng)過(guò)對(duì)Master設(shè)備的配置達(dá)到管理整個(gè)iStack堆疊以及堆疊內(nèi)所有成員設(shè)備的效果,而不用物理連接到每臺(tái)成員設(shè)備上分別對(duì)它們進(jìn)行配置和管理。簡(jiǎn)化網(wǎng)絡(luò)運(yùn)行iStack形成的虛擬設(shè)備中運(yùn)行的各種控制協(xié)議也是作為單一設(shè)備統(tǒng)一運(yùn)行的,例如路由協(xié)議會(huì)作為單一設(shè)備統(tǒng)一計(jì)算。這樣省去了設(shè)備間大量協(xié)議報(bào)文的交互,簡(jiǎn)化了網(wǎng)絡(luò)運(yùn)行,縮短了網(wǎng)絡(luò)動(dòng)蕩時(shí)的收斂時(shí)間。強(qiáng)大的網(wǎng)絡(luò)擴(kuò)展能力經(jīng)過(guò)增加成員設(shè)備,能夠輕松自如的擴(kuò)展堆疊系統(tǒng)的端口數(shù)、帶寬和處理能力。高可靠性堆疊的高可靠性體現(xiàn)在多個(gè)方面,比如:成員設(shè)備之間堆疊物理端口支持聚合功能,堆疊系統(tǒng)和上、下層設(shè)備之間的物理連接也支持聚合功能,這樣經(jīng)過(guò)多鏈路備份提高了堆疊系統(tǒng)的可靠性;堆疊系統(tǒng)由多臺(tái)成員設(shè)備組成,Master設(shè)備負(fù)責(zé)堆疊的運(yùn)行、管理和維護(hù),Slave設(shè)備在作為備份的同時(shí)也能夠處理業(yè)務(wù),一旦Master設(shè)備故障,系統(tǒng)會(huì)迅速自動(dòng)選舉新的Master,以保證經(jīng)過(guò)堆疊的業(yè)務(wù)不中斷,從而實(shí)現(xiàn)了設(shè)備級(jí)的1:N備份。高性能由于iStack設(shè)備是由多個(gè)支持iStack特性的單機(jī)設(shè)備堆疊而成的,iStack設(shè)備的交換容量和端口數(shù)量就是iStack內(nèi)部所有單機(jī)設(shè)備交換容量和端口數(shù)量的總和。因此,iStack技術(shù)能夠經(jīng)過(guò)多個(gè)單機(jī)設(shè)備的堆疊,輕易的將設(shè)備的交換能力、用戶端口的密度擴(kuò)大數(shù)倍,從而大幅度提高了設(shè)備的性能。方案總結(jié)方案特色本方案具有以下特點(diǎn):

①先進(jìn)性:采用先進(jìn)成熟的多層交換網(wǎng)絡(luò)技術(shù)和方法,針對(duì)學(xué)校共享信息資源集中的特征,采用雙主節(jié)點(diǎn)設(shè)計(jì)網(wǎng)絡(luò)核心層、均衡負(fù)載設(shè)計(jì)、高安全接入與靈活計(jì)費(fèi)設(shè)計(jì)接入層,能支撐各種現(xiàn)在與未來(lái)一段時(shí)期的校園教學(xué)、科研、行政管理的網(wǎng)絡(luò)應(yīng)用。

②可行性:本設(shè)計(jì)方案能夠充分考慮高校網(wǎng)絡(luò)教育的特點(diǎn)和應(yīng)用對(duì)象的技術(shù)、資源、管理等方面的約束,并很好地結(jié)合現(xiàn)代網(wǎng)絡(luò)產(chǎn)品特點(diǎn)進(jìn)行方案的設(shè)計(jì)。比如住宅樓要求的靜音設(shè)計(jì)(采用自然散熱的交換機(jī)),支持網(wǎng)絡(luò)用戶賬號(hào)、MAC地址與端口的捆綁實(shí)現(xiàn)高效的用戶控制能力,支持高密度端口的堆疊模式,支持通信負(fù)載均衡、帶寬聚合、鏈路冗余的雙星型結(jié)構(gòu)。

③靈活性:網(wǎng)絡(luò)核心層采用模塊化交換機(jī),按照需求靈活配置各種模塊,做到既滿足需求,由留有余地。整個(gè)網(wǎng)絡(luò)架構(gòu)采用三層結(jié)構(gòu),使網(wǎng)絡(luò)具有較好的伸縮性、能夠根據(jù)網(wǎng)絡(luò)建設(shè)的不同階段靈活配置和擴(kuò)展,具有能不斷吸收新技術(shù)、新方法的功能。

④實(shí)用性:在接入交換機(jī)將用戶賬號(hào)、MAC地址與端口的捆綁實(shí)現(xiàn)高效的用戶控制;采用網(wǎng)絡(luò)管理系統(tǒng),使網(wǎng)絡(luò)易維護(hù)、易管理,可實(shí)施性好。

⑤可靠性:采用802.1Q實(shí)現(xiàn)網(wǎng)絡(luò)多層交換;采用802.1D實(shí)現(xiàn)鏈路冗余可靠連接;采用基于802.1X的高安全接入和靈活計(jì)費(fèi),利用產(chǎn)品在網(wǎng)絡(luò)邊緣認(rèn)證計(jì)費(fèi)的自身特色,保證了網(wǎng)絡(luò)系統(tǒng)運(yùn)行穩(wěn)定可靠、高效。

⑥可擴(kuò)展性:采用模塊化交換機(jī)、可堆疊交換機(jī),使系統(tǒng)具有良好的可擴(kuò)展性,又具有發(fā)展?jié)摿?。比如交換機(jī)增加模塊即可擴(kuò)展網(wǎng)絡(luò)的規(guī)?；蛲卣谷哂噫溌?。

綜上所述,本方案是一個(gè)依據(jù)用戶需求,充分利用現(xiàn)代網(wǎng)絡(luò)產(chǎn)品自身特色設(shè)計(jì)的校園網(wǎng)整體解決方案。該方案依據(jù)學(xué)校網(wǎng)絡(luò)應(yīng)用的特征,采用成熟、適用、實(shí)用、好用、夠用的產(chǎn)品與技術(shù),力爭(zhēng)以最小的投資得到最大的滿足。設(shè)備介紹核心交換機(jī)S7706S7700系列是華為公司面向融合多業(yè)務(wù)的網(wǎng)絡(luò)架構(gòu)而推出的新一代高端智能T比特核心路由交換機(jī)。該產(chǎn)品基于華為公司智能多層交換的技術(shù)理念,在提供穩(wěn)定、可靠、安全的高性能L2/L3層交換服務(wù)基礎(chǔ)上,實(shí)現(xiàn)高清視頻流承載、大容量無(wú)線網(wǎng)絡(luò)、彈性云計(jì)算、硬件IPv6、一體化安全等業(yè)務(wù)應(yīng)用,同時(shí)具備強(qiáng)大擴(kuò)展性和可靠性。S7700系列交換機(jī)廣泛適用于廣域網(wǎng)、城域網(wǎng)、園區(qū)網(wǎng)絡(luò)和數(shù)據(jù)中心,幫助企業(yè)構(gòu)建面向應(yīng)用的網(wǎng)絡(luò)平臺(tái),提供交換路由一體化的端到端融合網(wǎng)絡(luò)。S7700系列提供S7703、S7706、S7712三種產(chǎn)品形態(tài),支持不斷擴(kuò)展的交換能力和端口密度。整個(gè)系列秉承模塊通用化、部件歸一化的設(shè)計(jì)理念,最小化備件成本,在保證設(shè)備擴(kuò)展性的同時(shí)最大限度地保護(hù)用戶投資。另外,S7700作為新一代智能交換機(jī)采用了多種綠色節(jié)能創(chuàng)新技術(shù),在不斷提升性能及穩(wěn)定性的同時(shí),大幅降低設(shè)備能源消耗,減小噪聲污染,為網(wǎng)絡(luò)綠色可持續(xù)發(fā)展提供領(lǐng)先的解決方案。S7703S7706S7712產(chǎn)品特點(diǎn)先進(jìn)交換架構(gòu)提升網(wǎng)絡(luò)擴(kuò)展性背板具備良好的擴(kuò)展性,可平滑擴(kuò)展至更高帶寬,支持單端口速率40G、100G平滑升級(jí),同時(shí)完美兼容現(xiàn)網(wǎng)板卡,保護(hù)初始投資。超高萬(wàn)兆端口密度,單臺(tái)設(shè)備支持480個(gè)萬(wàn)兆端口,助力企業(yè)園區(qū)和數(shù)據(jù)中心迎來(lái)全萬(wàn)兆核心時(shí)代。運(yùn)營(yíng)級(jí)高可靠性設(shè)計(jì),保障企業(yè)應(yīng)用永續(xù)運(yùn)行7700具備超越5個(gè)9的運(yùn)營(yíng)級(jí)高可靠性,主控、電源、風(fēng)扇等關(guān)鍵部件冗余設(shè)計(jì),所有模塊均支持熱插拔。支持ISSU業(yè)務(wù)無(wú)損升級(jí),減少關(guān)鍵業(yè)務(wù)和服務(wù)中斷。CSS集群創(chuàng)新性采用交換網(wǎng)集群技術(shù),克服了業(yè)界普遍采用的線卡集群跨框多次交換,交換效率低下的架構(gòu)難題,提供業(yè)界主機(jī)間最大的256G集群帶寬,同時(shí)能夠經(jīng)過(guò)跨框鏈路聚合提高鏈路的利用率,并消除單點(diǎn)故障。支持完善的運(yùn)維檢測(cè)與性能管理802.3ah、802.1ag和ITU-Y.1731,能夠?qū)W(wǎng)絡(luò)傳輸中的時(shí)延、抖動(dòng)等參數(shù)進(jìn)行精確統(tǒng)計(jì),實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行情況,并在設(shè)備故障發(fā)生時(shí)快速定位。S7700CSS集群完善的QOS機(jī)制S7700提供高品質(zhì)的QOS(QualityofService)能力,支持Layer2~Layer7的流分類技術(shù),具備完善的隊(duì)列調(diào)度算法、擁塞控制算法,能夠?qū)?shù)據(jù)流實(shí)現(xiàn)多級(jí)的精確調(diào)度,從而滿足不同用戶、不同業(yè)務(wù)等級(jí)的服務(wù)質(zhì)量要求。S7700提供層次化QOS(H-QOS)調(diào)度機(jī)制,支持面向接入側(cè)的多級(jí)H-QOS調(diào)度機(jī)制,多樣化,差異化滿足大型企業(yè)園區(qū)不同層次用戶設(shè)備的業(yè)務(wù)需求。全業(yè)務(wù)以太交換平臺(tái)支持分布式L2/L3MPLSVPN功能,支持MPLS、VPLS、HVPLS、VLL,滿足企業(yè)VPN等用戶的接入需求。支持完善的二、三層組播協(xié)議,線卡硬件具備線速的跨VLAN組播復(fù)制能力,獨(dú)立的組播QOS隊(duì)列,優(yōu)先滿足視頻和音頻等低時(shí)延業(yè)務(wù)轉(zhuǎn)發(fā)。軟件平臺(tái)提供多種路由協(xié)議滿足企業(yè)建網(wǎng)要求,支持從中小企業(yè)到超大型跨國(guó)公司級(jí)大規(guī)模路由,支持IPv6,能夠?yàn)槠髽I(yè)網(wǎng)絡(luò)提供平滑升級(jí)能力。虛擬化數(shù)據(jù)中心交換平臺(tái)首創(chuàng)交換網(wǎng)CSS集群,分布式跨設(shè)備鏈路聚合技術(shù),有效利用數(shù)據(jù)中心內(nèi)部帶寬資源,實(shí)現(xiàn)數(shù)據(jù)中心內(nèi)部數(shù)據(jù)交換對(duì)物理鏈路無(wú)感知。針對(duì)大型分布式計(jì)算數(shù)據(jù)中心業(yè)務(wù)模型,專門設(shè)計(jì)大緩存線卡,支持單端口200ms數(shù)據(jù)流量緩存,解決分布式高性能計(jì)算網(wǎng)絡(luò)瞬間流量過(guò)大丟包問(wèn)題。每板最大64K硬件隊(duì)列,支持精細(xì)化QOS和流量管理,利用多種隊(duì)列組合調(diào)度算法、擁塞控制算法,保證客戶不同的帶寬、業(yè)務(wù)延遲和抖動(dòng)性能需求。高性能IPv6業(yè)務(wù)能力S7700軟硬件平臺(tái)均支持IPv6,取得工信部IPv6入網(wǎng)認(rèn)證和IPv6Ready第二階段金色認(rèn)證。支持IPv4/IPv6雙協(xié)議棧,支持多種隧道技術(shù),支持IPv6靜態(tài)路由、RIPng、OSPFv3、BGP+、IS-ISv6、IPv6組播,滿足IPv6獨(dú)立組網(wǎng)和IPv4/IPv6混合組網(wǎng)要求。高集成增值業(yè)務(wù)處理模塊節(jié)省建網(wǎng)投資S7700負(fù)載均衡器支持加權(quán)輪詢、基于連接數(shù)、加權(quán)IP地址Hash和基于HTTPURL的Hash等多種均衡調(diào)度算法,全面滿足客戶負(fù)載均衡要求。集中式網(wǎng)流業(yè)務(wù)分析模塊,支持NetstreamV5/V8/V9多種報(bào)文格式,支持聚合流量模板,實(shí)時(shí)流量采集、動(dòng)態(tài)報(bào)表生成、屬性分析、流量異常告警等功能。周密的安全設(shè)計(jì)內(nèi)嵌集中式防火墻板卡,支持虛擬防火墻與NAT多實(shí)例,滿足多VPN客戶共用防火墻組網(wǎng)環(huán)境。應(yīng)用層包過(guò)濾技術(shù)對(duì)應(yīng)用層報(bào)文內(nèi)容進(jìn)行復(fù)雜規(guī)則檢測(cè)和過(guò)濾。支持完善的AAA機(jī)制,根據(jù)策略對(duì)接入用戶進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)。支持802.1X、Portal、GuestVLAN,支持用戶動(dòng)態(tài)接入認(rèn)證,與其它主流廠商的NAC互通。提供2級(jí)CPU保護(hù)機(jī)制,支持1KCPU硬件保護(hù)隊(duì)列,可實(shí)現(xiàn)數(shù)據(jù)和控制的分離處理,防止拒絕服務(wù)攻擊、非法接入以及控制平面過(guò)載等安全威脅,提供業(yè)界領(lǐng)先的一體化安全解決方案。無(wú)線+無(wú)源一體化接入S7700EPONOLT板卡提供上下行對(duì)稱的1.25Gbps高帶寬,能夠更好地滿足用戶對(duì)帶寬的長(zhǎng)期增長(zhǎng)需求,支持不同的傳輸距離,適合各種網(wǎng)絡(luò)應(yīng)用環(huán)境,充分滿足接入網(wǎng)的復(fù)雜環(huán)境和各種要求。S7700無(wú)線AC板卡支持豐富的RF(射頻)管理。支持AP上線時(shí)自動(dòng)選擇信道和功率,在AP重疊區(qū)域,信號(hào)沖突時(shí)自動(dòng)調(diào)整功率或信道,RSSI(接收信號(hào)強(qiáng)度指示)/SNR(信噪比)的不斷更新,讓系統(tǒng)能夠?qū)崟r(shí)了解每一個(gè)無(wú)線用戶所處電磁環(huán)境,提升網(wǎng)絡(luò)可用性。S7700無(wú)線AC板卡支持二、三層漫游,終端設(shè)備跨AP漫游快速切換,AC間1+1、N+1多機(jī)冷備和AC間負(fù)載分擔(dān)提高網(wǎng)絡(luò)可靠性。創(chuàng)新節(jié)能打造低碳網(wǎng)絡(luò)主機(jī)”旋轉(zhuǎn)”風(fēng)道設(shè)計(jì),提高整機(jī)散熱效率,采用芯片”變流”技術(shù),實(shí)現(xiàn)按流量動(dòng)態(tài)調(diào)整功率,降低整機(jī)功耗11%。支持端口休眠,無(wú)流量不耗電。獨(dú)立風(fēng)扇分區(qū)控制,進(jìn)一步降低功耗和噪聲污染,智能風(fēng)扇調(diào)速策略,采用小區(qū)間控溫技術(shù),有效降低轉(zhuǎn)速,并延長(zhǎng)風(fēng)扇使用壽命。智能POE供電,能夠?qū)崿F(xiàn)基于PD設(shè)備角色啟動(dòng)不同的能源管理方案,保持設(shè)備能源管理彈性。支持IEEE802.3az能效以太網(wǎng)標(biāo)準(zhǔn),線卡收發(fā)器具備低功率閑置模式,支持正常工作與低功率狀態(tài)快速轉(zhuǎn)換,低流量低功耗。產(chǎn)品規(guī)格項(xiàng)目S7703S7706S7712背板容量3Tbps6Tbps12Tbps交換容量768Gbps/1.92Tbps2Tbps/5.12Tbps2Tbps/5.12Tbps包轉(zhuǎn)發(fā)率576Mpps/1440Mpps1152Mpps/2880Mpps1344Mpps/3360Mpps業(yè)務(wù)槽位3612VLAN支持Access、Trunk、Hybrid方式支持defaultVLAN支持VLAN交換支持QinQ、增強(qiáng)型靈活QinQ支持基于MAC的動(dòng)態(tài)VLAN分配MAC地址功能支持MAC地址自動(dòng)學(xué)習(xí)和老化支持靜態(tài)、動(dòng)態(tài)、黑洞MAC表項(xiàng)支持源MAC地址過(guò)濾支持基于端口和VLAN的MAC地址學(xué)習(xí)限制STP支持STP,RSTP和MSTP支持BPDU保護(hù)、Root保護(hù)、環(huán)路保護(hù)支持BDPUTunnelIP路由支持RIP、OSPF、ISIS、BGP等IPv4動(dòng)態(tài)路由協(xié)議支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6動(dòng)態(tài)路由協(xié)議組播支持IGMPv1/v2/v3、IGMPv1/v2/v3Snooping支持PIMDM、PIMSM、PIMSSM支持MSDP、MBGP支持用戶快速離開機(jī)制支持組播流量控制支持組播查詢器支持組播協(xié)議報(bào)文抑制功能支持組播CAC支持組播ACLMPLS支持MPLS基本功能支持MPLSOAM支持MPLSTE支持MPLSVPN/VLL/VPLS可靠性支持LACP、支持跨設(shè)備E-Trunk支持V