江門廣雅學(xué)校智慧校園中學(xué)網(wǎng)絡(luò)建設(shè)項(xiàng)目應(yīng)答文件

江門廣雅學(xué)校智慧校園中學(xué)網(wǎng)絡(luò)建設(shè)項(xiàng)目應(yīng)答文件技術(shù)方案應(yīng)答人：浪潮軟件集團(tuán)有限公司（蓋單位章）法定代表人或其委托代理人：（簽字）2018年7月19日技術(shù)方案技術(shù)方案第21頁(yè)第21頁(yè)浪潮軟件集團(tuán)有限公司目錄第1章 應(yīng)答函 3第2章 法定代表人/負(fù)責(zé)人授權(quán)委托書 4第3章 點(diǎn)對(duì)點(diǎn)應(yīng)答承諾書 5第4章 技術(shù)方案 64.1 項(xiàng)目背景 64.1.1 廣雅中學(xué)發(fā)展規(guī)劃 64.1.2 招生計(jì)劃 64.2 網(wǎng)網(wǎng)絡(luò)方案概述 74.2.1 方案理念概述 74.2.2 校園網(wǎng)總體結(jié)構(gòu)設(shè)計(jì) 104.2.3 校園敏捷網(wǎng)絡(luò)方案設(shè)計(jì) 134.2.4 敏捷網(wǎng)絡(luò)安全解決方案 184.2.5 校園網(wǎng)WLAN覆蓋方案 324.3 服務(wù)工作 584.3.1 供貨服務(wù) 584.3.2 安裝調(diào)試 594.3.3 完工期、交貨地點(diǎn)、驗(yàn)收 594.3.4 運(yùn)維及售后服務(wù) 604.3.5 標(biāo)準(zhǔn)保修承諾以外的其他服務(wù)項(xiàng)目 614.4 設(shè)備性能要求 63第5章 框架免責(zé)承諾書 68第6章 廉潔誠(chéng)信承諾書 69應(yīng)答函致：中國(guó)移動(dòng)廣東公司江門分公司根據(jù)采購(gòu)人為（江門廣雅學(xué)校智慧校園中學(xué)網(wǎng)絡(luò)建設(shè)項(xiàng)目）比價(jià)需求的邀請(qǐng)(ICT-XINHUI-2018-07-006），應(yīng)答人(應(yīng)答人名稱、地址)提交下述文件正本一份：1） 法定代表人/負(fù)責(zé)人授權(quán)委托書（若法定代表人或負(fù)責(zé)人授權(quán)情況與原框架合同有差異的，須提供）2） 點(diǎn)對(duì)點(diǎn)應(yīng)答承諾書3） 服務(wù)分項(xiàng)明細(xì)表（若有）4） 服務(wù)方案5） 按采購(gòu)文件應(yīng)答人須知和技術(shù)規(guī)格要求提供的有關(guān)文件6） 經(jīng)濟(jì)分冊(cè)（獨(dú)立封裝）據(jù)此，應(yīng)答人同意如下內(nèi)容：1、所附應(yīng)答價(jià)格表中規(guī)定的應(yīng)提供的服務(wù)應(yīng)答總價(jià)為詳見(jiàn)應(yīng)答一覽表。2、應(yīng)答人將按框架合同與本項(xiàng)目比價(jià)需求的規(guī)定履行合同責(zé)任和義務(wù)。3、應(yīng)答人已詳細(xì)解讀全部比價(jià)需求書文件（包括澄清文件、補(bǔ)充文件等）（可選）。4、應(yīng)答人已理解并同意評(píng)審標(biāo)準(zhǔn)和方法。5、我方同意提供按照貴方要求的與其應(yīng)答有關(guān)的一切數(shù)據(jù)或資料。6、我方承諾：我方不得將本次采購(gòu)或合同的有關(guān)資料向第三方透露。7、與本應(yīng)答有關(guān)的一切正式往來(lái)信函請(qǐng)寄：地址濟(jì)南市高新區(qū)科航路2877號(hào)郵編250101傳子郵箱liminglc@應(yīng)答人名稱：浪潮軟件集團(tuán)有限公司（蓋單位章）法定代表人/負(fù)責(zé)人或其委托代理人：（簽字）2018年7月19日法定代表人/負(fù)責(zé)人授權(quán)委托書本人王柏華（姓名）系浪潮軟件集團(tuán)有限公司（應(yīng)答方名稱）的法定代表人，現(xiàn)委托楊雙帆（姓名）為我方代理人。代理人根據(jù)授權(quán)，以我方名義簽署、澄清、說(shuō)明、補(bǔ)正、遞交、撤回、修改江門廣雅學(xué)校智慧校園中學(xué)網(wǎng)絡(luò)建設(shè)項(xiàng)目應(yīng)答文件、簽訂合同和處理有關(guān)事宜，其法律后果由我方承擔(dān)。委托期限：自提交應(yīng)答文件之日起至投標(biāo)有效期結(jié)束后30個(gè)日歷日。代理人無(wú)轉(zhuǎn)委托權(quán)。受托人身份證正、反兩面復(fù)印件應(yīng)答方名稱：浪潮軟件集團(tuán)有限公司（蓋公章）法定代表人：（簽字）委托代理人：（簽字）2018年7月19日點(diǎn)對(duì)點(diǎn)應(yīng)答承諾書點(diǎn)對(duì)點(diǎn)應(yīng)答指【第一章項(xiàng)目概況】、【第二章應(yīng)答人須知】、【第三章技術(shù)規(guī)范書】、【第四章服務(wù)條款約定】、【經(jīng)濟(jì)分冊(cè)】、《比選澄清文件》（如有）和《比選修訂文件》（如有）中的所有應(yīng)答人須滿足的條款視為點(diǎn)對(duì)點(diǎn)應(yīng)答條款。視應(yīng)答人滿足程度分兩種情況：（1）應(yīng)答人對(duì)本比價(jià)需求文件的所有點(diǎn)對(duì)點(diǎn)應(yīng)答條款都同意、滿足或者接受的，請(qǐng)按以下模板提供點(diǎn)對(duì)點(diǎn)應(yīng)答承諾書：點(diǎn)對(duì)點(diǎn)應(yīng)答承諾書（無(wú)偏離）致：中國(guó)移動(dòng)通信集團(tuán)廣東有限公司江門分公司我方已完全明白江門廣雅學(xué)校智慧校園中學(xué)網(wǎng)絡(luò)建設(shè)項(xiàng)目《比價(jià)需求書》所有條款要求，經(jīng)認(rèn)真考慮，在此承諾以下幾點(diǎn)：一、我方已仔細(xì)閱讀了應(yīng)答人須知前表，并同意其中所列的每一項(xiàng)條款；二、我方已仔細(xì)閱讀了比選文件的各部分，包括【第一章項(xiàng)目概況】、【第二章應(yīng)答人須知】、【第三章技術(shù)規(guī)范書】、【第四章服務(wù)條款約定】、【經(jīng)濟(jì)分冊(cè)】、《比選澄清文件》（如有）和《比選修訂文件》（如有），承諾滿足所列的每一項(xiàng)條款；三、我方完全同意并認(rèn)可貴公司的評(píng)審辦法；四、若我單位中選，則按比選文件的規(guī)定簽署合同，若在工作中出現(xiàn)錯(cuò)、漏等問(wèn)題而導(dǎo)致采購(gòu)人遭受損失的，除按相關(guān)考核辦法進(jìn)行考核外，一切責(zé)任由我公司負(fù)責(zé)；五、若我單位中選，我方將保證根據(jù)《比價(jià)需求書》、《比價(jià)答疑文件》和《比價(jià)修訂文件》中的要求，以及《應(yīng)答文件》和《應(yīng)答澄清文件》中的承諾，按《中選通知書》要求簽訂合同，并嚴(yán)格按合約履行責(zé)任。應(yīng)答人（公章）： 浪潮軟件集團(tuán)有限公司法人代表或委托代理人（簽字）：日期：2018年7月19日技術(shù)方案項(xiàng)目背景江門廣雅學(xué)校地處江門市新會(huì)區(qū)樞紐新城，位于啟超大道與南車路交匯處，由廣雅小學(xué)、廣雅中學(xué)、廣雅學(xué)校國(guó)際部構(gòu)成，總投資人民幣6.5億元。廣雅小學(xué)占地面積62803平方米，總建筑面積86797平方米；廣雅中學(xué)占地面積62803平方米，總建筑面積86797平方米；廣雅學(xué)校國(guó)際部位于廣雅小學(xué)校園內(nèi)。小學(xué)建設(shè)300米塑膠跑道；中學(xué)建設(shè)400米標(biāo)準(zhǔn)跑道；計(jì)劃開(kāi)設(shè)小學(xué)60個(gè)教學(xué)班，初中36個(gè)教學(xué)班，高中24個(gè)教學(xué)班。項(xiàng)目于2016年6月動(dòng)工，計(jì)劃2018年6月竣工，2018年9月正式開(kāi)學(xué)。廣雅中學(xué)發(fā)展規(guī)劃廣雅中學(xué)總體發(fā)展規(guī)劃開(kāi)設(shè)班級(jí)60個(gè)；其中初中部36個(gè)班級(jí)，初一、初二、初三每個(gè)年級(jí)12個(gè)班；高中部24個(gè)班級(jí)，高一、高二、高三每個(gè)年級(jí)8個(gè)班；每個(gè)班級(jí)35-45人，未來(lái)招生計(jì)劃在2700人左右；計(jì)劃配備專職教職工210余名、生活輔導(dǎo)教師45名、后勤服務(wù)人員54名。招生計(jì)劃廣雅中學(xué)招生計(jì)劃分三個(gè)階段，每階段周期為3年。第一階段第一年，初中部計(jì)劃招生初一年級(jí)6個(gè)班，初二、初三無(wú)招生計(jì)劃；高中部計(jì)劃招生高一年級(jí)4個(gè)班，高二、高三無(wú)招生計(jì)劃；預(yù)計(jì)總體招生規(guī)模400人；配備專職教職工35人，生活輔導(dǎo)教師7人，后勤服務(wù)人員8人。網(wǎng)網(wǎng)絡(luò)方案概述方案理念概述針對(duì)校園網(wǎng)面臨的新挑戰(zhàn)，華為提出了敏捷校園網(wǎng)解決方案來(lái)支持校園網(wǎng)的高速發(fā)展。敏捷校園的設(shè)計(jì)理念包括：精準(zhǔn)管理，精細(xì)運(yùn)營(yíng)管控一用戶接入認(rèn)證及精細(xì)化管控華為的校園網(wǎng)解決方案中，用戶接入到核心交換機(jī)上進(jìn)行認(rèn)證。線終端還是無(wú)線終端，華為都提供了形式多樣的接入認(rèn)證技術(shù)。比如廣泛適用于校園網(wǎng)的Portal認(rèn)證、802.1X認(rèn)證，適用于啞終端的MAC認(rèn)證等。華為的認(rèn)證方案可適用于各種場(chǎng)景各種用戶，為網(wǎng)絡(luò)的智慧運(yùn)營(yíng)打下堅(jiān)實(shí)基礎(chǔ)。業(yè)務(wù)隨行，體驗(yàn)隨身，資源隨動(dòng)無(wú)論是本校區(qū)用戶，還是分校區(qū)用戶和遠(yuǎn)程接入的用戶，華為都提供了各種融合接入的方案，穩(wěn)定高效的訪問(wèn)遠(yuǎn)程資源和校園網(wǎng)的資源，用戶所使用的業(yè)務(wù)和可和用戶綁定，在任何地點(diǎn)都可以按照策略使用相應(yīng)業(yè)務(wù)。精準(zhǔn)管理，確保有序使用網(wǎng)絡(luò)資源eSight是華為推出的新一代面向企業(yè)園區(qū)和分支網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)對(duì)企業(yè)資源、業(yè)務(wù)、用戶的統(tǒng)一管理以及智能聯(lián)動(dòng)。eSight支持對(duì)IT&IP，以及非華為設(shè)備的統(tǒng)一管理，同時(shí)對(duì)網(wǎng)絡(luò)流量、接入認(rèn)證角色等進(jìn)行智能分析，自動(dòng)調(diào)整網(wǎng)絡(luò)控制策略，全方位保證企業(yè)網(wǎng)絡(luò)安全。同時(shí)，eSight提供靈活的開(kāi)放平臺(tái)，為企業(yè)量身打造自己的智能管理系統(tǒng)提供基礎(chǔ)。融合開(kāi)放，與運(yùn)營(yíng)計(jì)費(fèi)平臺(tái)無(wú)縫對(duì)接華為的S7710核心交換機(jī)和Controller方案實(shí)現(xiàn)了強(qiáng)大靈活的認(rèn)證計(jì)費(fèi)功能。兼容現(xiàn)網(wǎng)的眾多業(yè)務(wù)和流量模型的管理。滿足網(wǎng)絡(luò)Portal、802.1X等多種接入認(rèn)證的功能。認(rèn)證通過(guò)后，滿足對(duì)不同用戶分配不同訪問(wèn)權(quán)限的功能。滿足現(xiàn)網(wǎng)有線無(wú)線統(tǒng)一化認(rèn)證與計(jì)費(fèi)的要求，滿足基于時(shí)間、基于區(qū)域、基于用戶、基于訪問(wèn)目的地址等多種精細(xì)化計(jì)費(fèi)要求。極致體驗(yàn)，有線無(wú)線融合有線無(wú)線深度融合，一致化體驗(yàn)華為設(shè)計(jì)的解決方案中，可最大限度重用用戶已有的有線網(wǎng)絡(luò)，將無(wú)線網(wǎng)絡(luò)融入其中。運(yùn)維管理非常方便，并且支持統(tǒng)一認(rèn)證，全校園網(wǎng)漫游，同時(shí)可靠性極高，給用戶最好的上網(wǎng)體驗(yàn)全場(chǎng)景無(wú)線接入，無(wú)死角覆蓋綜合考慮教室、圖書館、禮堂、室外等多種場(chǎng)景，確保在多種場(chǎng)景下都能夠使用無(wú)線接入，做到整個(gè)校園的無(wú)線無(wú)縫覆蓋。無(wú)縫漫游，切換無(wú)感知覆蓋區(qū)域內(nèi)無(wú)線漫游，用戶終端從一個(gè)AP覆蓋范圍移動(dòng)到另一個(gè)AP覆蓋范圍，無(wú)需重新登錄和認(rèn)證；專業(yè)網(wǎng)規(guī)，高密能力提供專業(yè)化的網(wǎng)規(guī)工具和網(wǎng)絡(luò)規(guī)劃服務(wù)，支持禮堂、教室等高密度無(wú)線用戶接入能力。高效運(yùn)維，精簡(jiǎn)網(wǎng)絡(luò)配置扁平化網(wǎng)絡(luò)，邊緣零配置采用扁平化的大二層網(wǎng)絡(luò)，簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)，降低網(wǎng)絡(luò)運(yùn)維難度。同時(shí)采用堆疊、網(wǎng)絡(luò)縱向虛擬化等技術(shù)，既增強(qiáng)了網(wǎng)絡(luò)的可靠性，又成功消除了網(wǎng)絡(luò)環(huán)路。邊緣的接入交換機(jī)可由中心統(tǒng)一配置，避免大量的接入交換機(jī)配置工作。安全穩(wěn)固，綠色校園華為可提供安全管控的全系列產(chǎn)品，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)和服務(wù)器資源的全面防護(hù)。通過(guò)對(duì)上網(wǎng)行為進(jìn)行管理，保證校園網(wǎng)絡(luò)的安全綠色。智慧檢測(cè)，質(zhì)量實(shí)時(shí)感知iPCA可以直接對(duì)業(yè)務(wù)報(bào)文進(jìn)行測(cè)量，在線監(jiān)控IP網(wǎng)絡(luò)承載的業(yè)務(wù)的變化，真實(shí)準(zhǔn)確地反映出業(yè)務(wù)的運(yùn)行情況，對(duì)于網(wǎng)絡(luò)的故障診斷、業(yè)務(wù)統(tǒng)計(jì)有重大意義?？v深防御，安全態(tài)勢(shì)感知出口邊界防護(hù)，精細(xì)化管控校園出口部署高性能下一代防火墻網(wǎng)關(guān)，一體化檢測(cè)機(jī)制不僅提供了強(qiáng)大的內(nèi)容安全功能，還使得即使在內(nèi)容安全功能全開(kāi)的情況下，也可以保持較高性能功能。一體化檢測(cè)機(jī)制是指設(shè)備僅對(duì)報(bào)文進(jìn)行一次檢測(cè)，就可以獲取到后續(xù)所有內(nèi)容安全功能所需的數(shù)據(jù)，從而大幅提升設(shè)備處理。應(yīng)用入侵防御，策略自動(dòng)優(yōu)化隨著高校網(wǎng)絡(luò)承載著單位越來(lái)越具有價(jià)值的信息資產(chǎn)，增強(qiáng)網(wǎng)絡(luò)應(yīng)用的安全性，防止被惡意入侵，是建設(shè)校園網(wǎng)的重要一環(huán)。華為憑借全球布點(diǎn)的漏洞跟蹤的能力，最早發(fā)現(xiàn)攻擊，提供及時(shí)的簽名升級(jí)，漏洞攻擊防護(hù)、Web應(yīng)用防護(hù)、惡意軟件防護(hù)等功能。自動(dòng)學(xué)習(xí)業(yè)務(wù)流量基線，避免閾值配置錯(cuò)誤，默認(rèn)情況對(duì)中高風(fēng)險(xiǎn)攻擊自動(dòng)阻斷，無(wú)需專家進(jìn)行簽名調(diào)優(yōu)。應(yīng)用安全感知，攻擊威脅溯源上網(wǎng)行為管控功能，運(yùn)用了內(nèi)容過(guò)濾技術(shù)，內(nèi)容過(guò)濾結(jié)合預(yù)分類技術(shù)和實(shí)時(shí)分析技術(shù)，對(duì)于網(wǎng)絡(luò)訪問(wèn)進(jìn)行控制。顧名思義，預(yù)先分類就是事先對(duì)網(wǎng)站進(jìn)行分類，在過(guò)濾時(shí)直接查詢網(wǎng)站所屬的分類即可，響應(yīng)速度快，性能高，預(yù)分類庫(kù)內(nèi)容支持實(shí)時(shí)動(dòng)態(tài)更新。預(yù)分類技術(shù)可以解決大部分的web訪問(wèn)安全問(wèn)題。同時(shí)，對(duì)于web及其他網(wǎng)絡(luò)協(xié)議（如FTP、SMTP、POP3等）進(jìn)行深度解析，實(shí)時(shí)分析用戶的行為以及傳輸?shù)膬?nèi)容，根據(jù)組織的需要，對(duì)于無(wú)用的、有信息安全風(fēng)險(xiǎn)的行為進(jìn)行控制，阻止對(duì)于組織有害的網(wǎng)絡(luò)訪問(wèn)行為的發(fā)生。兩種技術(shù)的完美結(jié)合，極大提升了內(nèi)容檢測(cè)的檢測(cè)效率和準(zhǔn)確率。校園網(wǎng)設(shè)計(jì)原則校園網(wǎng)是校園的教學(xué)信息共享平臺(tái)，應(yīng)本著以下原則進(jìn)行建設(shè)：超前性與實(shí)用性結(jié)合網(wǎng)絡(luò)技術(shù)發(fā)展迅猛，如果設(shè)備缺乏先進(jìn)性，設(shè)備可能很快落后甚至被淘汰，但也不能過(guò)分超前，以避免造成投資的浪費(fèi)。為此，在網(wǎng)絡(luò)建設(shè)中，需注意超前性與實(shí)用性結(jié)合，確保投資有效，使之能真正發(fā)揮出相應(yīng)的作用。安全性與可靠性在校園網(wǎng)建設(shè)中，安全性是整個(gè)網(wǎng)絡(luò)建設(shè)中的重中之重，要通過(guò)各種技術(shù)確保系統(tǒng)應(yīng)用的安全性以及內(nèi)容的安全性。同時(shí)，要求系統(tǒng)本身具有高度的可靠性，這樣才能保證網(wǎng)絡(luò)客戶的應(yīng)用可管理性網(wǎng)絡(luò)管理是一個(gè)長(zhǎng)期的投資，在網(wǎng)絡(luò)建設(shè)中對(duì)網(wǎng)絡(luò)可管理是一項(xiàng)重要的應(yīng)用原則，通過(guò)選擇全網(wǎng)的可管理性軟件，減少日常維護(hù)費(fèi)用?？蓴U(kuò)展性校園網(wǎng)絡(luò)不但需要能夠滿足當(dāng)前需要，隨著后續(xù)教學(xué)方式的改變、技術(shù)的發(fā)展，未來(lái)網(wǎng)絡(luò)需要承載更多的業(yè)務(wù)及提供更多的優(yōu)質(zhì)服務(wù)。所以，網(wǎng)絡(luò)的可擴(kuò)展性是網(wǎng)絡(luò)建設(shè)中必須提前規(guī)劃的重點(diǎn)。校園網(wǎng)總體結(jié)構(gòu)設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)原則校園網(wǎng)絡(luò)是高密度用戶網(wǎng)絡(luò)，在有限的空間內(nèi)聚集了大量的終端和用戶。校園網(wǎng)注重的是網(wǎng)絡(luò)的精準(zhǔn)管理、極致體驗(yàn)、高效運(yùn)維。江門廣雅的校園網(wǎng)改造以扁平化星型結(jié)構(gòu)為主，遵循如下原則：扁平化將校園網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層。每層功能清晰，架構(gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)，同時(shí)從接入到核心邏輯上采用扁平化的大二層結(jié)構(gòu)，網(wǎng)絡(luò)結(jié)構(gòu)上簡(jiǎn)潔清晰。清晰化將校園網(wǎng)絡(luò)中的每個(gè)區(qū)域或者每個(gè)功能區(qū)劃分為一個(gè)模塊，模塊內(nèi)部的調(diào)整涉及范圍小，易于進(jìn)行問(wèn)題定位。安全性校園網(wǎng)絡(luò)應(yīng)具備有效的安全控制。接入網(wǎng)絡(luò)的設(shè)備要進(jìn)行統(tǒng)一認(rèn)證，同時(shí)按接入用戶身份、按權(quán)限進(jìn)行分區(qū)邏輯隔離。對(duì)特別重要的業(yè)務(wù)采取物理隔離。對(duì)進(jìn)出校園網(wǎng)的流量要進(jìn)行識(shí)別、過(guò)濾，確保網(wǎng)絡(luò)安全?？晒芾硇院涂删S護(hù)性為了易于管理，可選擇適用于全網(wǎng)的網(wǎng)管軟件來(lái)管理網(wǎng)絡(luò)。為了便于維護(hù)，應(yīng)盡可能選取集成度高、模塊可通用的產(chǎn)品。網(wǎng)絡(luò)邏輯架構(gòu)設(shè)計(jì)校園網(wǎng)的邏輯架構(gòu)分為以下幾個(gè)部分。校園網(wǎng)邏輯架構(gòu)校園出口校園出口區(qū)域既負(fù)責(zé)對(duì)校園網(wǎng)用戶的統(tǒng)一接入，也負(fù)責(zé)將內(nèi)部的終端用戶接入到公網(wǎng)、將外部用戶接入到內(nèi)網(wǎng)。出口除了要保證校園內(nèi)外的數(shù)據(jù)傳輸，還需要保證邊界安全。核心層負(fù)責(zé)整個(gè)園區(qū)網(wǎng)的高速互聯(lián)，一般不部署具體的業(yè)務(wù)。核心網(wǎng)絡(luò)需要數(shù)據(jù)中心部署服務(wù)器和應(yīng)用系統(tǒng)的區(qū)域。為校園網(wǎng)內(nèi)部和外部用戶提供數(shù)據(jù)和應(yīng)用服務(wù)。網(wǎng)絡(luò)管理區(qū)聯(lián)合S7710交換機(jī)對(duì)接入用戶進(jìn)行認(rèn)證，對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器等進(jìn)行管理的區(qū)域。包括告警管理、性能管理、故障管理、配置管理、安全管理等。核心層實(shí)現(xiàn)帶寬的高利用率和網(wǎng)絡(luò)故障的快速收斂。匯聚層匯聚層將眾多的接入設(shè)備和大量用戶經(jīng)過(guò)一次匯聚后再接入到核心層，擴(kuò)展核心層接入用戶的數(shù)量。接入層負(fù)責(zé)將各種終端接入到校園網(wǎng)絡(luò)，通常由以太網(wǎng)交換機(jī)組成。對(duì)于某些終端，可能還要增加特定的接入設(shè)備，例如無(wú)線接入的AP設(shè)備。終端應(yīng)用層包含校園網(wǎng)內(nèi)的各種終端設(shè)備，例如PC、筆記本電腦、打印機(jī)、傳真、手機(jī)、攝像頭等等。網(wǎng)絡(luò)實(shí)體架構(gòu)設(shè)計(jì)對(duì)應(yīng)邏輯架構(gòu)，校園網(wǎng)的物理架構(gòu)如下圖所示。網(wǎng)絡(luò)組網(wǎng)結(jié)構(gòu)說(shuō)明：校園出口部署高性能出口防火墻網(wǎng)關(guān)設(shè)備，具備全面的網(wǎng)絡(luò)安全防御能力，并且具有高性能的NAT功能；針對(duì)校園出口多線路實(shí)現(xiàn)多線路負(fù)載，以提高校園網(wǎng)絡(luò)多線路資源的利用率。核心層核心層由核心交換機(jī)組成。核心交換機(jī)承載全網(wǎng)所有的流量，利用虛擬化技術(shù)，建立邏輯隔離的網(wǎng)絡(luò)通道，實(shí)現(xiàn)不同業(yè)務(wù)之間無(wú)干擾地穩(wěn)定運(yùn)行。核心層設(shè)備采用多機(jī)集群模式來(lái)增加穩(wěn)定性。數(shù)據(jù)中心部署服務(wù)器和應(yīng)用系統(tǒng)的區(qū)域。為校園網(wǎng)內(nèi)部和外部用戶提供數(shù)據(jù)和應(yīng)用服務(wù)。網(wǎng)絡(luò)管理區(qū)包含計(jì)費(fèi)服務(wù)器，DHCP服務(wù)器，Portal服務(wù)器等，聯(lián)合核心交換機(jī)對(duì)內(nèi)網(wǎng)用戶進(jìn)行認(rèn)證和管理。同時(shí)部署網(wǎng)絡(luò)管理系統(tǒng)，對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器等進(jìn)行管理，功能包括告警管理、性能管理、故障管理、配置管理、安全管理等。DMZ區(qū)DMZ區(qū)主要提供外網(wǎng)的合法訪問(wèn)。包括提供公共用戶訪問(wèn)的公開(kāi)網(wǎng)站，以及對(duì)應(yīng)的APP服務(wù)。對(duì)出差的內(nèi)部員工的訪問(wèn)，部署SVN設(shè)備，提供SSLVPN的安全訪問(wèn)。分校區(qū)和總部之間的互聯(lián)，可以使用IPSecVPN建立互聯(lián)隧道。匯聚層匯聚層將眾多的接入設(shè)備和大量用戶經(jīng)過(guò)一次匯聚后再接入到核心層，擴(kuò)展核心層接入用戶的數(shù)量。接入層由接入交換機(jī)和AP組成，提供校園用戶有線和無(wú)線的各類終端實(shí)現(xiàn)網(wǎng)絡(luò)接入。該組網(wǎng)具有以下特點(diǎn)：網(wǎng)絡(luò)架構(gòu)各個(gè)區(qū)域模塊化，基礎(chǔ)網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)、新校區(qū)網(wǎng)絡(luò)均可獨(dú)立維護(hù)。以核心節(jié)點(diǎn)為“根”的星型分層拓?fù)?，架?gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)。各部門和功能分區(qū)模塊清晰，模塊內(nèi)部調(diào)整涉及范圍小，易于進(jìn)行問(wèn)題定位。匯聚層和接入層冗余設(shè)計(jì)，關(guān)鍵鏈路均采用Trunk鏈路，保證網(wǎng)絡(luò)的可靠性。支持各種終端接入，統(tǒng)一認(rèn)證，一張IP網(wǎng)絡(luò)承載所有業(yè)務(wù)。出口部署邊界防御，保證網(wǎng)絡(luò)安全。支持分支接入、遠(yuǎn)程接入、外部用戶訪問(wèn)等各種外聯(lián)場(chǎng)景。校園敏捷網(wǎng)絡(luò)方案設(shè)計(jì)校園網(wǎng)基礎(chǔ)區(qū)域網(wǎng)絡(luò)規(guī)劃校園基礎(chǔ)區(qū)域網(wǎng)絡(luò)是整個(gè)校園網(wǎng)絡(luò)的樞紐，覆蓋整個(gè)校區(qū)，連接著校園網(wǎng)的各個(gè)區(qū)域。承擔(dān)了內(nèi)部數(shù)據(jù)流量和對(duì)外數(shù)據(jù)流量，在邏輯上成為可靠性、安全設(shè)計(jì)的中心。校園基礎(chǔ)網(wǎng)絡(luò)整體規(guī)劃如下圖所示，校園基礎(chǔ)網(wǎng)絡(luò)區(qū)域采用核心層、匯聚層和接入層的架構(gòu)模型，具有如下的優(yōu)勢(shì)：邏輯大二層設(shè)計(jì)基礎(chǔ)網(wǎng)絡(luò)部分邏輯上采用了扁平化的大二層結(jié)構(gòu)，接入用戶都在核心交換機(jī)上接入，邏輯上簡(jiǎn)化了匯聚層，不需要維護(hù)復(fù)雜的網(wǎng)絡(luò)架構(gòu)與協(xié)議。層次化設(shè)計(jì)有核心層、匯聚層、接入層，每層功能清晰，架構(gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)。模塊化設(shè)計(jì)每一個(gè)模塊為一個(gè)學(xué)院樓、教學(xué)樓或一個(gè)學(xué)生宿舍，模塊內(nèi)部調(diào)整涉及范圍小，定位問(wèn)題也容易。冗余性設(shè)計(jì)雙節(jié)點(diǎn)冗余性設(shè)計(jì)，適當(dāng)?shù)娜哂嘈蕴岣呖煽啃?，過(guò)度的冗余不便于運(yùn)行維護(hù)。對(duì)稱性設(shè)計(jì)網(wǎng)絡(luò)的對(duì)稱性便于業(yè)務(wù)部署，拓?fù)渲庇^，便于設(shè)計(jì)和分析。江門廣雅校園網(wǎng)基礎(chǔ)區(qū)物理架構(gòu)拓?fù)鋱D為：校園網(wǎng)基礎(chǔ)區(qū)物理架構(gòu)核心層設(shè)計(jì)規(guī)劃核心層部署校園的核心設(shè)備，連接所有的匯聚交換機(jī)，轉(zhuǎn)發(fā)各個(gè)教學(xué)樓或?qū)W生宿舍之間的流量。核心層需要采用全連接結(jié)構(gòu)，保持核心層設(shè)備的配置盡量簡(jiǎn)單，并且和校園網(wǎng)的具體業(yè)務(wù)無(wú)關(guān)。核心層設(shè)備需要具有高帶寬、高轉(zhuǎn)發(fā)性能，否則將無(wú)法支撐企業(yè)內(nèi)外部的業(yè)務(wù)流量。敏捷交換機(jī)的業(yè)務(wù)板卡直接融合AC功能,可以對(duì)網(wǎng)絡(luò)中的AP進(jìn)行管控，實(shí)現(xiàn)有線無(wú)線深度融合接入、轉(zhuǎn)發(fā)、管理。S7710負(fù)責(zé)對(duì)校園網(wǎng)用戶的統(tǒng)一接入，并與認(rèn)證服務(wù)器協(xié)同工作，對(duì)接入用戶進(jìn)行認(rèn)證，可以很方便的對(duì)校園網(wǎng)的所有用戶流量做統(tǒng)一管理監(jiān)控。有強(qiáng)大的認(rèn)證計(jì)費(fèi)功能，才能滿足校園網(wǎng)的大用戶量、高并發(fā)連接數(shù)、多樣化計(jì)費(fèi)的需求。匯聚層設(shè)計(jì)規(guī)劃匯聚層是一個(gè)學(xué)院、一幢教學(xué)樓或一幢學(xué)生宿舍的匯聚點(diǎn)，匯聚層的設(shè)備用來(lái)轉(zhuǎn)發(fā)本區(qū)域用戶到其他區(qū)域用戶的橫向流量，同時(shí)發(fā)送本區(qū)域用戶流量到核心層。匯聚層將大量用戶接入到互聯(lián)的網(wǎng)絡(luò)中，模塊化擴(kuò)展接入核心層設(shè)備的用戶數(shù)量。匯聚層具有高帶寬、高端口密度、高轉(zhuǎn)發(fā)性能等特點(diǎn)，用于支撐該匯聚層下各業(yè)務(wù)部門之間的流量。接入層設(shè)計(jì)規(guī)劃接入層是最靠近終端用戶的網(wǎng)絡(luò)，為用戶提供各種接入方式，一般部署二層設(shè)備，雙歸屬到匯聚層兩個(gè)不同的交換機(jī)。接入層除了需要部署豐富的二層特性外，還需要部署安全、可靠性等相關(guān)功能。接入層需要具有高密度、高速率的端口，以支持更多的終端接入校園網(wǎng)絡(luò)。VLAN規(guī)劃VLAN概述VLAN（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是將一個(gè)物理的LAN在邏輯上劃分成多個(gè)廣播域的通信技術(shù)。VLAN內(nèi)的主機(jī)間可以直接通信，而VLAN間不能直接互通，從而將廣播報(bào)文限制在一個(gè)VLAN內(nèi)?；谛@網(wǎng)內(nèi)擁有比較多不同的業(yè)務(wù)類型，并且不同類型網(wǎng)絡(luò)使用者也有很大差別，因此進(jìn)行VLAN的合理規(guī)劃將可以幫助建設(shè)一個(gè)穩(wěn)定運(yùn)作的教學(xué)合一的網(wǎng)絡(luò)。按功能劃分VLAN在校園網(wǎng)絡(luò)中，可以按功能將VLAN劃分為以下幾種：辦公網(wǎng)絡(luò)無(wú)線網(wǎng)絡(luò)音視頻網(wǎng)絡(luò)監(jiān)控網(wǎng)絡(luò)高考監(jiān)控一卡通網(wǎng)絡(luò)設(shè)備管理管理VLAN網(wǎng)絡(luò)中的交換機(jī)需要?jiǎng)澐止芾鞻LAN，在管理VLAN中配置IP地址，以便日常維護(hù)。管理VLAN要與用戶VLAN嚴(yán)格區(qū)分。業(yè)務(wù)VLAN業(yè)務(wù)VLAN指為終端接入用戶劃分的VLAN，針對(duì)校園網(wǎng)中不同區(qū)域，VLAN劃分方法不同。每一接入交換機(jī)劃分一個(gè)VLAN，并設(shè)置端口隔離，實(shí)現(xiàn)配置的簡(jiǎn)化和用戶間的隔離。VLAN規(guī)劃原則華為敏捷校園網(wǎng)采用策略聯(lián)動(dòng)的方式對(duì)接入交換機(jī)進(jìn)行管理，在校園網(wǎng)中，接入層設(shè)備數(shù)量眾多且位置分布廣，若在每個(gè)接入層設(shè)備上部署NAC認(rèn)證和用戶訪問(wèn)策略，工作量巨大且策略調(diào)整不靈活。通過(guò)策略聯(lián)動(dòng)，核心S7710作為控制設(shè)備對(duì)用戶進(jìn)行統(tǒng)一認(rèn)證和管理用戶的訪問(wèn)策略，并聯(lián)動(dòng)接入交換機(jī)，使其僅執(zhí)行用戶的訪問(wèn)策略，從而既實(shí)現(xiàn)了對(duì)用戶訪問(wèn)網(wǎng)絡(luò)的控制，又簡(jiǎn)化了接入設(shè)備的配置和管理。、在這種方式下，VLAN劃分的基本原則如下：要嚴(yán)格區(qū)分業(yè)務(wù)VLAN和管理VLAN。接入交換機(jī)可采用統(tǒng)一的VLAN配置，接入交換機(jī)的端口設(shè)置為隔離端口。預(yù)留一定數(shù)目VLAN方便后續(xù)擴(kuò)展。IP地址規(guī)劃劃分IP地址在校園網(wǎng)絡(luò)中，根據(jù)業(yè)務(wù)使用情況，分為辦公網(wǎng)絡(luò)、無(wú)線網(wǎng)絡(luò)、音視頻網(wǎng)絡(luò)、監(jiān)控網(wǎng)路、一卡通、設(shè)備管理、高考監(jiān)控。IP地址規(guī)劃原則IP地址規(guī)劃的基本原則如下：唯一性一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址。連續(xù)性連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率。擴(kuò)展性地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址疊合所需的連續(xù)性。實(shí)意性好的IP地址規(guī)劃使每個(gè)地址具有實(shí)際含義，看到一個(gè)地址就可以大致判斷出該地址所屬的設(shè)備由于校園網(wǎng)內(nèi)部用戶的IP地址均由核心交換機(jī)統(tǒng)一分配，地址規(guī)劃非常方便。校園網(wǎng)IP地址分類業(yè)務(wù)地址業(yè)務(wù)名vlan號(hào)IP地址數(shù)量辦公網(wǎng)絡(luò)2-50-/2449個(gè)C類地址無(wú)線網(wǎng)絡(luò)51-99-/2450個(gè)C類地址音視頻網(wǎng)絡(luò)100-150-/2451個(gè)C類地址監(jiān)控網(wǎng)絡(luò)151-199-/2452個(gè)C類地址一卡通網(wǎng)絡(luò)200/161個(gè)B類地址設(shè)備管理1000/241個(gè)C類高考網(wǎng)絡(luò)/161個(gè)B類地址校園內(nèi)網(wǎng)用戶的地址由核心交換機(jī)統(tǒng)一分配?？梢酝ㄟ^(guò)在核心交換機(jī)上配置地址池來(lái)按用戶所在區(qū)域分配IP地址。NAT規(guī)劃在出口防火墻上需要提供NAT地址轉(zhuǎn)換功能，供使用私網(wǎng)IP地址的校園網(wǎng)用戶訪問(wèn)公網(wǎng)。管理地址為了方便管理，會(huì)為每一臺(tái)設(shè)備創(chuàng)建一個(gè)管理VLAN，并在該接口上單獨(dú)指定一個(gè)IP地址作為管理地址?；ヂ?lián)地址互聯(lián)地址是指兩臺(tái)網(wǎng)絡(luò)設(shè)備相互連接的接口所需要的地址，設(shè)備互聯(lián)的網(wǎng)段一般聚合后發(fā)布，而且沒(méi)有必要發(fā)布給終端用戶。敏捷網(wǎng)絡(luò)安全解決方案在校園網(wǎng)網(wǎng)絡(luò)出口邊界區(qū)域中，使用USG防火墻作為網(wǎng)關(guān)模式部署。使用防火墻作為出口網(wǎng)關(guān)，一方面USG防火墻有著極其優(yōu)越的出口路由功能和NAT能力；另外一方面是具有綜合的安全防御能力，能有效防御來(lái)自互聯(lián)網(wǎng)的各種入侵和惡意訪問(wèn)，保障校園網(wǎng)絡(luò)的資源安全和使用穩(wěn)定。在防火墻部署策略上，主要是使用防火墻將校園網(wǎng)劃分成內(nèi)網(wǎng)、外網(wǎng)、DMZ等不同區(qū)域，為不同區(qū)域劃分不同的優(yōu)先級(jí)，同時(shí)設(shè)置不同區(qū)域間的互訪策略，以避免越權(quán)訪問(wèn)。校園網(wǎng)出口安全使用USG統(tǒng)一防火墻來(lái)防御網(wǎng)絡(luò)的大多數(shù)的攻擊行為，以保證網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性，并且可以對(duì)網(wǎng)絡(luò)內(nèi)流量進(jìn)行多維度的監(jiān)測(cè)和管理。網(wǎng)絡(luò)NAT設(shè)計(jì)學(xué)?；ヂ?lián)網(wǎng)出口有多個(gè)連接，不同的接入的NAT要求不一致，并且校內(nèi)的大量用戶對(duì)出口的NAT提出了更高要求。華為USG網(wǎng)關(guān)采用基于連接的方式提供地址轉(zhuǎn)換特性，針對(duì)每條連接維護(hù)一個(gè)Session表項(xiàng)，并且在處理的過(guò)程中采用優(yōu)化的算法，保證了地址轉(zhuǎn)換特性的優(yōu)異性能。在啟用NAT的時(shí)候，性能下降的非常少，這樣就保證了在通過(guò)USG安全網(wǎng)關(guān)提供NAT業(yè)務(wù)的時(shí)候不會(huì)成為網(wǎng)絡(luò)的瓶頸。USG安全網(wǎng)關(guān)提供了基于安全區(qū)域的管理功能，利用“安全區(qū)域”的概念把統(tǒng)一安全網(wǎng)關(guān)管理的網(wǎng)絡(luò)按照功能區(qū)域、安全要求等因素從邏輯上劃分為幾個(gè)邏輯子網(wǎng)，每個(gè)邏輯子網(wǎng)稱為一個(gè)“安全區(qū)域”。默認(rèn)情況，統(tǒng)一安全網(wǎng)關(guān)提供了4個(gè)默認(rèn)的安全區(qū)域：trust、untrust、DMZ、local，一般情況下，untrust區(qū)域是連接Internet的，trust區(qū)域是連接內(nèi)部局域網(wǎng)的，DMZ區(qū)域是連接一些內(nèi)部服務(wù)器的，例如放置郵件服務(wù)器、FTP服務(wù)器等。統(tǒng)一安全網(wǎng)關(guān)的地址轉(zhuǎn)換功能是按照安全區(qū)域之間的訪問(wèn)進(jìn)行配置的，這樣就可以非常方便的進(jìn)行網(wǎng)絡(luò)管理。例如，對(duì)于內(nèi)部服務(wù)器的網(wǎng)絡(luò)如果有足夠的IP地址，可以直接使用公網(wǎng)IP地址，在DMZ->untrust區(qū)域間不使用地址轉(zhuǎn)換，而內(nèi)部局域網(wǎng)使用私網(wǎng)地址，在trust->untrust區(qū)域間使用地址轉(zhuǎn)換。同時(shí)地址轉(zhuǎn)換可以和ACL配合使用，利用ACL來(lái)控制地址轉(zhuǎn)換的范圍，因此即使在同一個(gè)網(wǎng)絡(luò)區(qū)域，有公網(wǎng)、私網(wǎng)混合組網(wǎng)的情況，USG安全網(wǎng)關(guān)依然可以方便的設(shè)定地址轉(zhuǎn)換的規(guī)則。USG安全網(wǎng)關(guān)的地址轉(zhuǎn)換功能可以對(duì)內(nèi)部服務(wù)器的支持到達(dá)端口級(jí)。允許用戶按照自己的需要配置內(nèi)部服務(wù)器的端口、協(xié)議、提供給外部的端口、協(xié)議。對(duì)于上面的例子使用的地址轉(zhuǎn)換，不僅可以保證做為WEB服務(wù)器的地址，同時(shí)可以做為FTP服務(wù)器的地址，同時(shí)可以使用:8080提供第二臺(tái)WEB服務(wù)器，還可以滿足內(nèi)部用戶同時(shí)使用的地址進(jìn)行訪問(wèn)Internet。USG安全網(wǎng)關(guān)提供了基于端口的內(nèi)部服務(wù)器映射，可以使用端口來(lái)提供服務(wù)，同時(shí)也可以提供地址的一對(duì)一映射。同時(shí)，每臺(tái)統(tǒng)一安全網(wǎng)關(guān)可以提供多達(dá)256個(gè)內(nèi)部服務(wù)器映射，而且不會(huì)影響訪問(wèn)的效率。業(yè)務(wù)支撐能力要求地址轉(zhuǎn)換比較難處理的情況是報(bào)文載荷中含有地址信息的情況，這種情況的代表協(xié)議是FTP。USG安全網(wǎng)關(guān)的地址轉(zhuǎn)換現(xiàn)在已經(jīng)非常完善的支持了ICMP重定向、不可達(dá)、FTP（支持被動(dòng)主動(dòng)兩種模式）、H323、NetMeeting、PPTP、L2tp、DNS、NetBIOS、SIP、QQ、MSN等特殊協(xié)議。依靠現(xiàn)在支持的各種業(yè)務(wù)，統(tǒng)一安全網(wǎng)關(guān)已經(jīng)可以提供非常好的業(yè)務(wù)支撐，可以滿足絕大部分的Internet業(yè)務(wù)，使得地址轉(zhuǎn)換不會(huì)成為網(wǎng)絡(luò)業(yè)務(wù)的瓶頸。為了更好的適應(yīng)網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展，USG安全網(wǎng)關(guān)還提供了一種“用戶自定義”的ALG功能，對(duì)于某些特殊業(yè)務(wù)應(yīng)用，通過(guò)命令行進(jìn)行配置就可以支持這種業(yè)務(wù)的ALG，通過(guò)這樣的方式更可以保證USG安全網(wǎng)關(guān)對(duì)業(yè)務(wù)的支撐，達(dá)到快速響應(yīng)的效果。另外USG安全網(wǎng)關(guān)在結(jié)構(gòu)上面，充分考慮了地址轉(zhuǎn)換需要支持特殊協(xié)議的問(wèn)題。從結(jié)構(gòu)上保證可以非常快速的支持各種特殊協(xié)議，并且對(duì)報(bào)文加密的情況也做了考慮。因此在應(yīng)用程序網(wǎng)關(guān)方面，統(tǒng)一安全網(wǎng)關(guān)在程序設(shè)計(jì)、結(jié)構(gòu)方面做了很大的努力和考慮，在針對(duì)新出現(xiàn)的各種特殊協(xié)議的開(kāi)發(fā)方面上，USG安全網(wǎng)關(guān)可以保證會(huì)比其他設(shè)備提供更快、更好的反應(yīng)，可以快速的響應(yīng)支持用戶的需求，支持多變的網(wǎng)絡(luò)業(yè)務(wù)。無(wú)數(shù)目限制的PAT方式轉(zhuǎn)換USG安全網(wǎng)關(guān)可以提供PAT（PortAddressTranslation）方式的地址轉(zhuǎn)換，PAT方式的地址轉(zhuǎn)換使用了TCP/UDP的端口信息，這樣在進(jìn)行地址轉(zhuǎn)換的時(shí)候使用的是“地址＋端口”來(lái)區(qū)分內(nèi)部局域網(wǎng)的主機(jī)對(duì)外發(fā)起的不同連接。這樣使用PAT方式的地址轉(zhuǎn)換技術(shù)，內(nèi)部局域網(wǎng)的很多用戶可以共享一個(gè)IP地址上網(wǎng)了。因?yàn)門CP/UDP的端口范圍是1~65535，一般1～1024端口范圍是系統(tǒng)保留端口，因此從理論上計(jì)算，通過(guò)PAT方式的地址轉(zhuǎn)換一個(gè)合法的IP地址可以提供大約60000個(gè)并發(fā)連接。但是USG安全網(wǎng)關(guān)采用專利技術(shù)提供了一種“無(wú)限制端口”連接的算法，可以保證使用一個(gè)公網(wǎng)IP地址可以提供無(wú)限個(gè)并發(fā)連接，通過(guò)這種技術(shù)就突破了PAT方式上網(wǎng)的65535個(gè)端口的限制，更大的滿足了地址轉(zhuǎn)換方式的實(shí)際使用，更加節(jié)省了公網(wǎng)的IP地址。多種NATALGNAT采用“注冊(cè)”方式支持多種NATALG（ApplicationLevelGateway），包括：支持FTP協(xié)議的NATALG。支持NBT（NetBIOSoverTCP）協(xié)議的NATALG。支持ICMP(InternetControlMessageProtocol)協(xié)議的NATALG。支持H.323（包括T.120、RAS、Q.931和H.245等）協(xié)議的NATALG。支持SIP(SessionInitiationProtocol)協(xié)議的NATALG。支持RTSP(Real-TimeStreamingProtocol)協(xié)議的NATALG。支持HWCC(HuaweiConferenceControlProtocol)協(xié)議的NATALG。支持ILS(InternetLocatorService)協(xié)議的NATALG。支持PPTP（PointtoPointTunnelingProtocol）協(xié)議的NATALG。支持對(duì)騰訊公司的QQ聊天會(huì)話的NATALG。支持Microsoft公司提供的MSN聊天會(huì)話的NATALG。通過(guò)“注冊(cè)”方式支持特殊協(xié)議，使軟件有良好的擴(kuò)充性，無(wú)需更改軟件構(gòu)架，很容易支持新的協(xié)議。區(qū)域安全隔離設(shè)計(jì)基于安全區(qū)域的隔離管理在學(xué)校網(wǎng)絡(luò)中使用華為USG實(shí)現(xiàn)基于安全區(qū)域的安全隔離，這樣的設(shè)計(jì)模型為用戶在實(shí)際使用統(tǒng)一安全網(wǎng)關(guān)的時(shí)候提供了十分良好的管理模型。出口安全網(wǎng)關(guān)可以提供基于安全區(qū)域的隔離模型，每個(gè)安全區(qū)域可以按照網(wǎng)絡(luò)的實(shí)際組網(wǎng)加入任意的接口，因此統(tǒng)一安全網(wǎng)關(guān)的安全管理模型是不會(huì)受到網(wǎng)絡(luò)拓?fù)涞挠绊??？晒芾淼陌踩珔^(qū)域業(yè)界很多防火墻一般都提供受信安全區(qū)域（trust）、非受信安全區(qū)域（untrust）、非軍事化區(qū)域（DMZ）三個(gè)獨(dú)立的安全區(qū)域，這樣的保護(hù)模型可以適應(yīng)大部分的組網(wǎng)要求，但是在一些安全策略要求較高的場(chǎng)合，這樣的保護(hù)模型還是不能滿足要求。USG安全網(wǎng)關(guān)默認(rèn)提供四個(gè)安全區(qū)域：trust、untrust、DMZ、local，在提供三個(gè)最常用的安全邏輯區(qū)域的基礎(chǔ)上還新增加了本地邏輯安全區(qū)域，本地安全區(qū)域可以定義到統(tǒng)一安全網(wǎng)關(guān)本身的報(bào)文，保證了統(tǒng)一安全網(wǎng)關(guān)本身的安全防護(hù)。例如，通過(guò)對(duì)本地安全區(qū)域的報(bào)文控制，可以很容易的防止不安全區(qū)域?qū)y(tǒng)一安全網(wǎng)關(guān)本身的Telnet、ftp等訪問(wèn)。除此之外，還可以提供自定義安全區(qū)域，可以最大定義16個(gè)安全區(qū)域，每個(gè)安全區(qū)域都可以加入獨(dú)立的接口?；诎踩珔^(qū)域的策略控制USG安全網(wǎng)關(guān)支持根據(jù)不同的安全區(qū)域之間的訪問(wèn)設(shè)計(jì)不同的安全策略組（ACL訪問(wèn)控制列表），每條安全策略組支持若干個(gè)獨(dú)立的規(guī)則。這樣的規(guī)則體系使得統(tǒng)一安全網(wǎng)關(guān)的策略十分容易管理，方便用戶對(duì)各種邏輯安全區(qū)域的獨(dú)立管理?；诎踩珔^(qū)域的策略控制模型，可以清晰的分別定義從trust到untrust、從DMZ到untrust之間的各種訪問(wèn)，這樣的策略控制模型使得USG安全網(wǎng)關(guān)的網(wǎng)絡(luò)隔離功能具有很好的管理能力。網(wǎng)絡(luò)攻擊防御設(shè)計(jì)互聯(lián)網(wǎng)充滿各式各樣的威脅，包括惡意的網(wǎng)絡(luò)攻擊和入侵、病毒傳播、木馬注入等等，作為學(xué)校出口，必須具有極高的安全設(shè)計(jì)，以保證內(nèi)網(wǎng)安全和穩(wěn)定。互聯(lián)網(wǎng)的安全威脅主要集中在病毒、蠕蟲(chóng)、惡意代碼，網(wǎng)頁(yè)篡改，垃圾郵件等方面，對(duì)外發(fā)布網(wǎng)站也常常成為攻擊目標(biāo)。USG采用先進(jìn)的一體化檢測(cè)機(jī)制，將入侵防御功能、反病毒功能、UTRL過(guò)濾、ASPF深度檢測(cè)等安全特性集成于一體，形成立體的威脅防御解決方案。（1）一體化檢測(cè)機(jī)制USG的一體化檢測(cè)機(jī)制不僅提供了強(qiáng)大的內(nèi)容安全功能，還使得即使在內(nèi)容安全功能全開(kāi)的情況下，也可以保持較高性能功能。一體化檢測(cè)機(jī)制是指設(shè)備僅對(duì)報(bào)文進(jìn)行一次檢測(cè)，就可以獲取到后續(xù)所有內(nèi)容安全功能所需的數(shù)據(jù)，從而大幅提升設(shè)備處理。USG檢測(cè)機(jī)制（2）入侵防御功能入侵防御功能主要可以防護(hù)應(yīng)用層的攻擊或入侵，例如緩沖區(qū)溢出攻擊、木馬、后門攻擊、蠕蟲(chóng)等。USG的入侵防御功能可以通過(guò)監(jiān)控或者分析系統(tǒng)事件，檢測(cè)應(yīng)用層攻擊和入侵，并通過(guò)一定的響應(yīng)方式，實(shí)時(shí)地中止入侵行為。NGFW入侵防御功能的特點(diǎn)如下：支持直路/旁路部署方式，支持針對(duì)不同流量配置不同的防護(hù)措施支持對(duì)應(yīng)用層報(bào)文進(jìn)行深度解析支持進(jìn)行報(bào)文分片重組和TCP流重組之后再進(jìn)行威脅檢測(cè)支持海量的簽名庫(kù)，支持自定義簽名超低的簽名誤報(bào)率（3）反病毒功能反病毒功能可以對(duì)網(wǎng)絡(luò)中傳輸?shù)奈募M(jìn)行掃描，識(shí)別出其中攜帶的病毒，并且予以記錄或清除。病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。病毒通常被攜帶在文件中，通過(guò)網(wǎng)頁(yè)、郵件、文件傳輸協(xié)議進(jìn)行傳播。內(nèi)網(wǎng)主機(jī)一旦感染病毒，就可能導(dǎo)致系統(tǒng)癱瘓、服務(wù)中止、數(shù)據(jù)泄露，令企業(yè)蒙受巨大損失。NGFW提供的反病毒功能對(duì)最容易傳播病毒的文件傳輸與共享協(xié)議以及郵件協(xié)議進(jìn)行檢測(cè)和掃描，可以防范多種躲避病毒檢測(cè)的機(jī)制，實(shí)現(xiàn)針對(duì)病毒的強(qiáng)大防護(hù)能力。下一代防火墻NGFW反病毒功能具備如下特點(diǎn)：支持豐富的應(yīng)用層協(xié)議和應(yīng)用程序支持對(duì)壓縮文件進(jìn)行病毒掃描支持海量的病毒特征庫(kù)支持針對(duì)不同流量配置不同的防護(hù)措施，支持添加應(yīng)用例外和病毒例外定制病毒防護(hù)策略（5）URL過(guò)濾Web安全問(wèn)題中最為顯著的就是非法網(wǎng)站和惡意網(wǎng)站。非法網(wǎng)站是指暴力、色情等不被當(dāng)?shù)胤煞ㄒ?guī)或者企業(yè)管理制度所允許訪問(wèn)的網(wǎng)絡(luò)資源。非法網(wǎng)站帶來(lái)的危害包括影響社會(huì)穩(wěn)定、降低員工工作效率、占用企業(yè)帶寬、浪費(fèi)企業(yè)網(wǎng)絡(luò)資源等；惡意網(wǎng)站是指掛馬網(wǎng)站、釣魚網(wǎng)站等試圖在用戶瀏覽過(guò)程中向用戶主機(jī)植入木馬、進(jìn)行SQL注入和跨站腳本攻擊、利用瀏覽器/系統(tǒng)漏洞獲取主機(jī)權(quán)限或數(shù)據(jù)、騙取用戶錢財(cái)?shù)却嬖趷阂庑袨榈木W(wǎng)站。惡意網(wǎng)站有可能帶來(lái)用戶或企業(yè)的大量經(jīng)濟(jì)損失。惡意網(wǎng)站的顯著特征就是在沒(méi)有安全機(jī)制保護(hù)的情況下，用戶對(duì)其惡意行為完全不知情，往往在無(wú)意中就造成了損失。URL過(guò)濾根據(jù)用戶訪問(wèn)的URL地址對(duì)URL訪問(wèn)行為進(jìn)行控制。管理員可以NGFW提供的海量URL分類數(shù)據(jù)庫(kù)，以及自己定義的URL地址及分類，對(duì)不同的URL地址設(shè)置不同的處理措施。同時(shí)，NGFW提供的URL分類數(shù)據(jù)包含了大量已知的掛馬網(wǎng)站、釣魚網(wǎng)站等惡意網(wǎng)站的網(wǎng)址。用戶在訪問(wèn)URL時(shí)，設(shè)備可以自動(dòng)查詢這個(gè)URL是否屬于惡意網(wǎng)站，并作出相應(yīng)的處理措施。由于URL地址的數(shù)量極其龐大，而且每天都增加，作用也可能發(fā)生改變。海量URL分類數(shù)據(jù)庫(kù)可以及時(shí)跟蹤Internet上的URL地址變化，實(shí)時(shí)更新URL分類信息，保證了URL過(guò)濾功能的不斷增強(qiáng)。同時(shí)，管理員也可以在本地網(wǎng)絡(luò)搭建URL分類查詢服務(wù)器。由本地URL分類查詢服務(wù)器從查詢服務(wù)器上學(xué)習(xí)完整的URL分類信息，本地網(wǎng)絡(luò)中的多臺(tái)NGFW再向該服務(wù)器進(jìn)行查詢。這種部署方式節(jié)約了網(wǎng)絡(luò)帶寬，提高了查詢速度，還可以在內(nèi)網(wǎng)中的NGFW無(wú)法直接連接Internet時(shí)，仍能實(shí)現(xiàn)實(shí)時(shí)查詢。（6）ASPF深度檢測(cè)功能NGFW支持ASPF技術(shù)，ASPF是一種高級(jí)通信過(guò)濾技術(shù)，它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。NGFW依靠這種基于報(bào)文內(nèi)容的訪問(wèn)控制，能夠?qū)?yīng)用層的一部分攻擊加以檢測(cè)和防范，包括對(duì)于FTP命令字、SMTP命令的檢測(cè)、HTTP的Java、ActiveX控件等的檢測(cè)。ASPF技術(shù)是在基于會(huì)話管理的技術(shù)基礎(chǔ)上提供深層檢測(cè)技術(shù)的，ASPF技術(shù)利用會(huì)話管理維護(hù)的信息來(lái)維護(hù)會(huì)話的訪問(wèn)規(guī)則，通過(guò)ASPF技術(shù)在會(huì)話管理中保存著不能由靜態(tài)訪問(wèn)列表規(guī)則保存的會(huì)話狀態(tài)信息。會(huì)話狀態(tài)信息可以用于智能的允許/禁止報(bào)文。當(dāng)一個(gè)會(huì)話終止時(shí)，會(huì)話管理會(huì)將該會(huì)話的相關(guān)信息刪除，NGFW中的會(huì)話也將被關(guān)閉。針對(duì)TCP連接，ASPF可以智能的檢測(cè)“TCP的三次握手的信息”和“拆除連接的握手信息”，通過(guò)檢測(cè)握手、拆連接的狀態(tài)檢測(cè)，保證一個(gè)正常的TCP訪問(wèn)可以正常進(jìn)行，而對(duì)于非完整的TCP握手連接的報(bào)文會(huì)直接拒絕。在普通的場(chǎng)合，一般使用的是基于ACL的IP包過(guò)濾技術(shù)，這種技術(shù)比較簡(jiǎn)單，但缺乏一定的靈活性，在很多復(fù)雜應(yīng)用的場(chǎng)合普通包過(guò)濾是無(wú)法完成對(duì)網(wǎng)絡(luò)的安全保護(hù)的。例如對(duì)于類似于應(yīng)用FTP協(xié)議進(jìn)行通信的多通道協(xié)議來(lái)說(shuō)，利用ACL規(guī)則配置防火墻是非常困難的。FTP包含一個(gè)預(yù)知端口的TCP控制通道和一個(gè)動(dòng)態(tài)協(xié)商的TCP數(shù)據(jù)通道，對(duì)于一般的包過(guò)濾防火墻來(lái)說(shuō)，配置安全策略時(shí)無(wú)法預(yù)知數(shù)據(jù)通道的端口號(hào)，因此無(wú)法確定數(shù)據(jù)通道的入口。這樣就無(wú)法配置準(zhǔn)確的安全策略。ASPF技術(shù)則解決了這一問(wèn)題，它檢測(cè)IP層之上的應(yīng)用層報(bào)文信息，并動(dòng)態(tài)地根據(jù)報(bào)文的內(nèi)容創(chuàng)建和刪除臨時(shí)的規(guī)則，以允許相關(guān)的報(bào)文通過(guò)。ASPF使得NGFW能夠支持一個(gè)控制通道上存在多個(gè)數(shù)據(jù)連接的協(xié)議，同時(shí)還可以在應(yīng)用非常復(fù)雜的情況下方便的制訂各種安全的策略。許多應(yīng)用協(xié)議，如Telnet、SMTP使用標(biāo)準(zhǔn)的或已約定的端口地址來(lái)進(jìn)行通信，但大部分多媒體應(yīng)用協(xié)議（如H.323、SIP）及FTP、netmeeting等協(xié)議使用約定的端口來(lái)初始化一個(gè)控制連接，再動(dòng)態(tài)的選擇端口用于數(shù)據(jù)傳輸。端口的選擇是不可預(yù)測(cè)的，其中的某些應(yīng)用甚至可能要同時(shí)用到多個(gè)端口。ASPF監(jiān)聽(tīng)每一個(gè)應(yīng)用的每一個(gè)連接所使用的端口，打開(kāi)合適的通道讓會(huì)話中的數(shù)據(jù)能夠出入NGFW，在會(huì)話結(jié)束時(shí)關(guān)閉該通道，從而能夠?qū)κ褂脛?dòng)態(tài)端口的應(yīng)用實(shí)施有效的訪問(wèn)控制。當(dāng)報(bào)文通過(guò)NGFW時(shí)，ASPF將對(duì)報(bào)文與指定的訪問(wèn)規(guī)則進(jìn)行比較，如果規(guī)則允許，報(bào)文將接受檢查，否則報(bào)文直接被丟棄。如果該報(bào)文是用于打開(kāi)一個(gè)新的控制或數(shù)據(jù)連接，ASPF將動(dòng)態(tài)的修改規(guī)則，對(duì)于回來(lái)的報(bào)文只有屬于一個(gè)已經(jīng)存在對(duì)應(yīng)的有效規(guī)則，才會(huì)被允許通過(guò)。在處理回來(lái)的報(bào)文時(shí)，狀態(tài)表也會(huì)隨時(shí)更新。當(dāng)一個(gè)連接被關(guān)閉或超時(shí)后，該連接對(duì)應(yīng)的狀態(tài)表將被刪除，確保未經(jīng)授權(quán)的報(bào)文不能隨便通過(guò)?；谟脩舻纳暇W(wǎng)流量管控設(shè)計(jì)互聯(lián)網(wǎng)出口帶寬資源是有限的，而校內(nèi)存在大量的用戶，如果不進(jìn)行精細(xì)化的流量控制策略，那么在流量無(wú)止境搶占的情況下，所有人的上網(wǎng)體驗(yàn)都會(huì)變得非常糟糕。多種流量管控策略：支持基于IP地址（地址段）的流量控制：IP（段）的流量控制是指根據(jù)報(bào)文源地址、源端口、目的地址、目的端口、協(xié)議這五元組信息匹配限流策略，如果匹配上了則進(jìn)行相應(yīng)的限流，否則不做限流。策略里面可以配置地址或地址的集合，協(xié)議或協(xié)議的集合?；贒PI應(yīng)用的流量控制：DPI(DeepPacketInspection)作為一種較新的包檢測(cè)技術(shù)，除了能夠檢測(cè)P2P、IM，還可以識(shí)別包括VOIP（skype、H.323、SIP、RTP、Net2Phone、Vonage），Game（Diablo、Tantra），web_Video（PPlive、QQlive、SopCast），Stock，Attack等20多種大類，以及上千種應(yīng)用協(xié)議，該DPI庫(kù)支持在線升級(jí)，保證DPI庫(kù)的實(shí)時(shí)更新。用戶根據(jù)DPI應(yīng)用類型分別采取不同的限流策略，包括允許通過(guò)、禁止通過(guò)、帶寬限速、帶寬保證、閑時(shí)復(fù)用、連接數(shù)限制等?；谟脩簦ㄓ脩艚M）的流量控制：在流量識(shí)別對(duì)應(yīng)用戶身份的基礎(chǔ)上，防火墻只需要針對(duì)用戶（組）信息配置限流策略，而不再需要根據(jù)復(fù)雜多變的IP網(wǎng)段來(lái)進(jìn)行限流配置，這樣不同的用戶（組）身份可配置不同的流量控制策略，既簡(jiǎn)化了策略配置，又適應(yīng)了校園網(wǎng)復(fù)雜多變的網(wǎng)段規(guī)劃，方便管理員的管理。支持對(duì)流量進(jìn)行雙重控制：雙重控制是指可對(duì)流量同時(shí)進(jìn)行兩種方式的限流。包括基于每IP的限流和基于整體帶寬限流的兩級(jí)控制。支持對(duì)流量進(jìn)行保證帶寬控制：是指可以為每個(gè)IP地址設(shè)置最小保證能夠通過(guò)的流量，在保證了這些最小帶寬之余，當(dāng)總體帶寬有空余時(shí)，則每個(gè)IP地址能夠通過(guò)大于保證帶寬值，而小于最大帶寬值的流量。對(duì)于大于保證帶寬的報(bào)文，轉(zhuǎn)發(fā)還是丟棄是按照?qǐng)?bào)文到達(dá)時(shí)帶寬是否超過(guò)總體帶寬來(lái)決定，超過(guò)時(shí)則丟棄，否則轉(zhuǎn)發(fā)。支持對(duì)流量進(jìn)行連接數(shù)控制：連接數(shù)的限制是指對(duì)并發(fā)連接數(shù)進(jìn)行限制，現(xiàn)網(wǎng)應(yīng)用P2P等占用了很多連接資源，對(duì)連接數(shù)進(jìn)行限制，從而達(dá)到對(duì)流量進(jìn)行限制目的。包括基于每IP并發(fā)連接數(shù)限制，基于整體并發(fā)連接數(shù)限制等。支持對(duì)流量進(jìn)行選路控制：一些多出口的網(wǎng)絡(luò)部署當(dāng)中，需要對(duì)不同的流量進(jìn)行選路控制。比如：要求P2P識(shí)別的流量從A接口發(fā)送出去，VOIP的流量從B接口發(fā)送出去；或者一開(kāi)始所有流量都從主接口發(fā)送出去，當(dāng)主接口的流量超過(guò)配置的流量閾值時(shí)則啟動(dòng)備份鏈路，使得超過(guò)主接口閾值的流量能從B接口發(fā)送出去。基于用戶的上網(wǎng)行為管控設(shè)計(jì)互聯(lián)網(wǎng)上存在各種資源，網(wǎng)絡(luò)出口需要對(duì)互聯(lián)網(wǎng)資源進(jìn)行必要的過(guò)濾，將其中的非法內(nèi)容，特別是涉及到黃賭毒的內(nèi)容進(jìn)行過(guò)濾，以對(duì)學(xué)校學(xué)生成長(zhǎng)提供更完善的保障，同時(shí)也符合法律法規(guī)的要求。上網(wǎng)行為管控功能，運(yùn)用了內(nèi)容過(guò)濾技術(shù)，內(nèi)容過(guò)濾結(jié)合預(yù)分類技術(shù)和實(shí)時(shí)分析技術(shù)，對(duì)于網(wǎng)絡(luò)訪問(wèn)進(jìn)行控制。顧名思義，預(yù)先分類就是事先對(duì)網(wǎng)站進(jìn)行分類，在過(guò)濾時(shí)直接查詢網(wǎng)站所屬的分類即可，響應(yīng)速度快，性能高，預(yù)分類庫(kù)內(nèi)容支持實(shí)時(shí)動(dòng)態(tài)更新。預(yù)分類技術(shù)可以解決大部分的web訪問(wèn)安全問(wèn)題。同時(shí)，對(duì)于web及其他網(wǎng)絡(luò)協(xié)議（如FTP、SMTP、POP3等）進(jìn)行深度解析，實(shí)時(shí)分析用戶的行為以及傳輸?shù)膬?nèi)容，根據(jù)組織的需要，對(duì)于無(wú)用的、有信息安全風(fēng)險(xiǎn)的行為進(jìn)行控制，阻止對(duì)于組織有害的網(wǎng)絡(luò)訪問(wèn)行為的發(fā)生。兩種技術(shù)的完美結(jié)合，極大提升了內(nèi)容檢測(cè)的檢測(cè)效率和準(zhǔn)確率。安全網(wǎng)關(guān)USG的內(nèi)容識(shí)別技術(shù)包括：支持URL分類技術(shù)：URL過(guò)濾業(yè)務(wù)通過(guò)識(shí)別并屏蔽對(duì)惡意網(wǎng)站的訪問(wèn)能夠在一定程度上減少木馬，以及各種各樣的惡意網(wǎng)頁(yè)的傳播，為用戶提供一個(gè)更安全的網(wǎng)絡(luò)環(huán)境。對(duì)于釣魚網(wǎng)站，URL過(guò)濾功能更是其先天的克星。。深度的協(xié)議分析、解碼，多層次、細(xì)粒度的行為控制：通過(guò)對(duì)HTTP、FTP、SMTP、POP3、webmail的分析，區(qū)分上傳、下載、收郵件、發(fā)送郵件等行為，以及發(fā)送文件的名稱、類型、大小等信息，為組織提供不同層次、不同粒度的控制。組織可以根據(jù)自身的需要，選擇網(wǎng)絡(luò)訪問(wèn)的完全禁止，或者是允許瀏覽、下載，不允許外發(fā)信息；或者進(jìn)一步允許外發(fā)少量普通文本信息，卻禁止發(fā)送word文檔、源代碼文件等可能涉及核心機(jī)密信息的文件；通過(guò)不同層次、粒度的訪問(wèn)控制，保障組織的網(wǎng)絡(luò)安全、信息安全。一體化內(nèi)容過(guò)濾：信息、文件是組織最終需要控制的內(nèi)容，網(wǎng)絡(luò)訪問(wèn)可以通過(guò)各種方法、各種協(xié)議來(lái)傳遞這些信息，通過(guò)對(duì)于關(guān)鍵字、文件名、文件類型等的抽象、公共化，方便用戶的配置。如，管理者希望禁止用戶外發(fā)任何office文檔、壓縮包類文件，則用戶只需要配置一個(gè)文件類型對(duì)象組，然后在HTTP、FTP、郵件等相關(guān)協(xié)議中引用即可，不需要為每個(gè)協(xié)議進(jìn)行重復(fù)配置。領(lǐng)先的webmail簽名：可根據(jù)用戶需求為指定的Webmail品牌定制簽名，使Webmail內(nèi)容過(guò)濾更具針對(duì)性；能精確識(shí)別Webmail服務(wù)，包括發(fā)送郵件、上傳附件、發(fā)送賀卡、發(fā)送明星片、設(shè)置自動(dòng)回復(fù)等，為郵件審計(jì)和事后追查提供有力依據(jù)；簽名文件和Webmail服務(wù)器保持同步，當(dāng)Webmail服務(wù)器軟件升級(jí)時(shí)，僅需升級(jí)Webmail簽名文件，就能對(duì)最新的Webmail品牌的做內(nèi)容過(guò)濾。上網(wǎng)行為管控功能，主要是對(duì)用戶進(jìn)行上網(wǎng)行為分析，根據(jù)企業(yè)管理員制定的規(guī)則，對(duì)于不符合規(guī)范的上網(wǎng)行為，進(jìn)行控制和審計(jì)。主要包括下述一些功能：URL過(guò)濾功能：包括URL自定義過(guò)濾功能、URL熱點(diǎn)庫(kù)過(guò)濾功能、URL遠(yuǎn)程查詢過(guò)濾功能、URL本地黑、白名單過(guò)濾功能以及所有這些針對(duì)URL的審計(jì)功能等。搜索引擎關(guān)鍵字過(guò)濾和審計(jì)功能：支持Google、百度、Bing、雅虎四大主流搜索引擎，可對(duì)其搜索的關(guān)鍵字進(jìn)行過(guò)濾和審計(jì)。WEB內(nèi)容過(guò)濾和審計(jì)功能：支持對(duì)訪問(wèn)的WEB網(wǎng)頁(yè)內(nèi)容進(jìn)行過(guò)濾；支持禁止上傳和發(fā)表內(nèi)容（論壇、微博等）；支持對(duì)上傳和下載文件進(jìn)行控制，包括文件名、文件類型、文件大小郵件內(nèi)容過(guò)濾和審計(jì)功能：支持對(duì)郵件主題、正文、附件名稱關(guān)鍵字過(guò)濾；支持對(duì)發(fā)送郵件和接收郵件的發(fā)件人及收件人分別進(jìn)行控制；支持對(duì)郵件附件做控制，包括是否允許發(fā)送和接收郵件、發(fā)送和接收郵件的個(gè)數(shù)及大小控制等；支持防垃圾郵件功能，包括自定義黑白名單，預(yù)定義Symantec提供的RBL服務(wù)器FTP內(nèi)容過(guò)濾和審計(jì)功能：支持不允許上傳、下載、刪除文件操作；支持對(duì)上傳和下載的文件進(jìn)行控制，包括文件大小、文件名稱、文件類型；支持FTP防躲避技術(shù)，避免用戶修改違規(guī)文件名和文件類型后再嘗試下載，或者在上傳文件后重新修改成違規(guī)文件名和文件類型的操作。USG網(wǎng)絡(luò)出口優(yōu)化USG針對(duì)網(wǎng)絡(luò)資源實(shí)現(xiàn)精細(xì)化的管理和優(yōu)化，從而讓網(wǎng)絡(luò)資源發(fā)揮出最大的利用率，以增加用戶上網(wǎng)體驗(yàn)。針對(duì)多校園的多ISP出口線路，USG有多種方式以提高線路出口的利用率。ISP選路針對(duì)不同的ISP地址實(shí)現(xiàn)針對(duì)性的出口選路，在多運(yùn)營(yíng)商出口場(chǎng)景中實(shí)現(xiàn)最短路由。整體思路是通過(guò)運(yùn)營(yíng)商或者組網(wǎng)人員提供的路由IP列表ISP文件導(dǎo)入設(shè)備中，通過(guò)給文件設(shè)置下一跳，或者出接口和下一跳以及IP-link參數(shù)的方式，拼接組合得到完整的路由命令，然后通過(guò)ISP文件的啟用，達(dá)到控制靜態(tài)路由下發(fā)的目的。智能出站負(fù)載均衡原理UCMP（UnequalCostMultiplePath非等值負(fù)載分擔(dān)），是指如果到達(dá)目的地有多條帶寬不同但優(yōu)先級(jí)相同的鏈路，則流量會(huì)根據(jù)帶寬按比例分擔(dān)到每條鏈路上。這樣所有鏈路可根據(jù)帶寬不同而分擔(dān)不同比例的流量，使流量轉(zhuǎn)發(fā)更合理。UCMP原有兩種工作模式：路由權(quán)重負(fù)載分擔(dān)模式和鏈路帶寬負(fù)載分擔(dān)模式。智能負(fù)載均衡功能就是在原有的UCMP功能基礎(chǔ)上進(jìn)行擴(kuò)展，增加了一種UCMP的智能工作模式。智能出站負(fù)載均衡功能基本原理如下：在這種UCMP智能工作模式下，當(dāng)防火墻接收的報(bào)文命中智能出站負(fù)載均衡策略后，防火墻分別在每條等價(jià)鏈路上對(duì)遠(yuǎn)端主機(jī)進(jìn)行健康檢查，此健康檢查是使用ICMP協(xié)議的ping功能進(jìn)行探測(cè)；根據(jù)針對(duì)遠(yuǎn)端主機(jī)健康檢查所得到的遠(yuǎn)端主機(jī)的網(wǎng)絡(luò)時(shí)延，選擇時(shí)延較小的鏈路生成靜態(tài)UNR路由，指導(dǎo)后續(xù)報(bào)文的轉(zhuǎn)發(fā)，以此來(lái)合理分配等價(jià)鏈路的帶寬；當(dāng)多個(gè)等價(jià)鏈路其中的某一條鏈路的帶寬占用率已經(jīng)到達(dá)用戶配置的閥值時(shí)，就不觸發(fā)針對(duì)遠(yuǎn)端主機(jī)的健康檢查了，直接將該報(bào)文負(fù)載均衡到別的鏈路發(fā)送出去。遠(yuǎn)程訪問(wèn)互聯(lián)安全遠(yuǎn)程訪問(wèn)在校園內(nèi)最重要的兩個(gè)場(chǎng)景，一個(gè)是分校區(qū)的整體網(wǎng)絡(luò)互聯(lián)互通，一個(gè)是個(gè)體用戶因?yàn)槌霾罨蛘咂渌?，需要在外網(wǎng)訪問(wèn)內(nèi)網(wǎng)的資源或者辦公系統(tǒng)。VPN設(shè)備是一個(gè)非常具有性價(jià)比的安全解決方案。其易用性，安全性在全球的各個(gè)行業(yè)環(huán)境中都得到了使用。在本方案中，部署SVN設(shè)備建設(shè)校區(qū)之間與提供外部用戶安全遠(yuǎn)程訪問(wèn)的平臺(tái)。SVN設(shè)備部署于DMZ區(qū)，經(jīng)過(guò)出口防火墻的防御之后，SVN可以提供對(duì)外的安全訪問(wèn)。利用互聯(lián)網(wǎng)的資源實(shí)現(xiàn)靈活VPN組網(wǎng)一般有IPSecVPN和SSLVPN兩種方式。IPSecVPNIPSec（IPSecurity）是一組開(kāi)放協(xié)議的總稱，特定的通信方之間在IP層通過(guò)加密與數(shù)據(jù)源驗(yàn)證，以保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時(shí)的私有性、完整性和真實(shí)性。IPSec協(xié)議有兩種工作模式：隧道模式和傳輸模式。在隧道模式下，IPSec將整個(gè)原始IP數(shù)據(jù)包放入一個(gè)新的IP數(shù)據(jù)包中，這樣每一個(gè)IP數(shù)據(jù)包都有兩個(gè)IP包頭：外部IP包頭和內(nèi)部IP包頭。外部IP包頭指定將對(duì)IP數(shù)據(jù)包進(jìn)行IPSec處理的目的地址，內(nèi)部IP包頭指定原始IP數(shù)據(jù)包最終的目的地址。IP包的源地址和目的地址都被隱藏起來(lái)，使IP包能安全地在網(wǎng)上傳送。其最大優(yōu)點(diǎn)在于終端系統(tǒng)不必為了適應(yīng)IP安全而作任何改動(dòng)。隧道模式既可以用于兩個(gè)主機(jī)之間的IP通信，又可以用于兩個(gè)安全網(wǎng)關(guān)之間或一個(gè)主機(jī)與一個(gè)安全網(wǎng)關(guān)之間的IP通信。在傳輸模式下，要保護(hù)的內(nèi)容是IP包的載荷，在IP包頭之后和傳輸層數(shù)據(jù)字段之前插入IPSec包頭（AH或ESP或二者同時(shí)），原始的IP包頭未作任何修改，只對(duì)包中的凈荷(數(shù)據(jù))部分進(jìn)行加密。由于傳輸模式的IP包頭暴露在外，因而容易遭到攻擊。傳輸模式常用于兩個(gè)終端節(jié)點(diǎn)間的連接，如客戶機(jī)和服務(wù)器之間。IPSec定義了一套用于認(rèn)證、保護(hù)私有性和完整性的標(biāo)準(zhǔn)協(xié)議。它支持一系列加密算法如DES、3DES；檢查傳輸數(shù)據(jù)包的完整性，以確保數(shù)據(jù)沒(méi)有被修改。IPSec可用來(lái)在多個(gè)防火墻和服務(wù)器之間提供安全性，確保運(yùn)行在TCP/IP協(xié)議上的VPN之間的互操作性。SSLVPNSSLVPN是以SSL/TLS協(xié)議為基礎(chǔ)，利用標(biāo)準(zhǔn)瀏覽器都內(nèi)置支持SSL/TLS的優(yōu)勢(shì)，對(duì)其應(yīng)用功能進(jìn)行擴(kuò)展的新型VPN。SSL協(xié)議最初是由Netscape公司開(kāi)發(fā)，用于保護(hù)web通信安全。到目前為止，SSLv3和TLS1.0（也被成為SSLv3.1）得到了廣泛的應(yīng)用，2006年IETF推出了TLS1.1協(xié)議（RFC4346），2006年IETF推出了TLS1.2(RFC5246)并在2011年對(duì)其進(jìn)行了修正（RFC6176）。隨著SSL協(xié)議的不斷完善，包括微軟IE在內(nèi)的愈來(lái)愈多的瀏覽器支持SSL，SSL協(xié)議成為應(yīng)用最廣泛的安全協(xié)議之一。SSL協(xié)議分為兩層，上層是握手協(xié)議，底層是記錄協(xié)議。SSL握手協(xié)議主要完成客戶端與服務(wù)器之間的相互認(rèn)證，協(xié)商加密算法與密鑰。在握手協(xié)議中，認(rèn)證可以是雙向的，協(xié)商密鑰的過(guò)程是可靠的，協(xié)商得到的密鑰是安全的。SSL記錄協(xié)議建立在可靠的傳輸協(xié)議之上，主要完成數(shù)據(jù)的加密和鑒別。通過(guò)對(duì)稱密碼算法確保了數(shù)據(jù)傳輸?shù)臋C(jī)密性，通過(guò)HMAC算法確保數(shù)據(jù)傳輸過(guò)程的完整性。由此可見(jiàn)，SSL協(xié)議從以下方面確保了數(shù)據(jù)通信的安全：認(rèn)證－在建立SSL連接之前，客戶端和服務(wù)器之間需要進(jìn)行認(rèn)證，認(rèn)證采用數(shù)字證書，可以是客戶端對(duì)服務(wù)器的認(rèn)證，也可以是雙方進(jìn)行雙向認(rèn)證。機(jī)密性－采用加密算法對(duì)需要傳輸?shù)臄?shù)據(jù)進(jìn)行加密。完整性－采用數(shù)據(jù)鑒別算法驗(yàn)證所接收的數(shù)據(jù)在傳輸過(guò)程中是否被修改。除了web訪問(wèn)、TCP/UDP應(yīng)用之外，SSLVPN還能夠?qū)P通信進(jìn)行保護(hù)。在保證通信安全性的基礎(chǔ)上，SSLVPN實(shí)現(xiàn)了更加細(xì)致的訪問(wèn)控制能力，大大增強(qiáng)了對(duì)內(nèi)網(wǎng)的安全保護(hù)。同時(shí)，SSLVPN通信基于標(biāo)準(zhǔn)TCP/IP，因而不受NAT限制，能夠穿越防火墻，使用戶在任何地方都能夠通過(guò)SSLVPN網(wǎng)關(guān)代理訪問(wèn)內(nèi)網(wǎng)資源，使得遠(yuǎn)程安全接入更加靈活簡(jiǎn)單。另外，使用SSLVPN訪問(wèn)B/S應(yīng)用時(shí)不需要安裝任何客戶端軟件，只要用標(biāo)準(zhǔn)的瀏覽器就可以實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)Web資源的訪問(wèn)，省去了客戶端的繁瑣的維護(hù)和支持工作，不僅極大地解放了IT管理員的時(shí)間和精力，更提高了遠(yuǎn)程接入人員（如出差員工）的工作效率，節(jié)省了企業(yè)的培訓(xùn)和IT服務(wù)費(fèi)用；同時(shí)，也意味著遠(yuǎn)程用戶在進(jìn)行遠(yuǎn)程訪問(wèn)時(shí)不會(huì)再受到地域的限制，不論是在公共網(wǎng)吧或是在商業(yè)合作伙伴那里，甚至是隨手借一臺(tái)筆記本，只要有網(wǎng)絡(luò)，遠(yuǎn)程訪問(wèn)就沒(méi)問(wèn)題。用戶上網(wǎng)行為安全審計(jì)網(wǎng)絡(luò)行為審計(jì)的意義互聯(lián)網(wǎng)行為牽涉到方方面面，如果缺乏監(jiān)管，將對(duì)正常的工作和學(xué)習(xí)帶來(lái)極大的安全隱患，并且根據(jù)國(guó)家公安部82號(hào)令的要求，各獨(dú)立網(wǎng)絡(luò)需要對(duì)上網(wǎng)行為日記進(jìn)行記錄，以配合違法追溯。為了實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)行為的審計(jì)，滿足國(guó)家相關(guān)法律法規(guī)要求，在網(wǎng)絡(luò)骨干部署上網(wǎng)行為管理設(shè)備，對(duì)全網(wǎng)網(wǎng)絡(luò)行為進(jìn)行審計(jì)。上網(wǎng)行為管理采用旁掛模式部署，對(duì)整體的網(wǎng)絡(luò)結(jié)構(gòu)完全不造成任何影響。在核心交換機(jī)上接入，把全網(wǎng)上網(wǎng)流量進(jìn)行鏡像到上網(wǎng)行為管理接口，上網(wǎng)行為管理對(duì)流量進(jìn)行分析和記錄。并且核心交換機(jī)會(huì)把用戶認(rèn)證的信息，包括用戶賬號(hào)，動(dòng)態(tài)獲得的IP地址對(duì)應(yīng)關(guān)系也一并傳遞到上網(wǎng)行為管理，使上網(wǎng)行為管理能實(shí)現(xiàn)完整的行為記錄。網(wǎng)絡(luò)審計(jì)效果上網(wǎng)行為管理可以對(duì)絕大部分的網(wǎng)絡(luò)行為進(jìn)行審計(jì)，包括：應(yīng)用審計(jì)審計(jì)應(yīng)用的分類、應(yīng)用名、使用該應(yīng)用的用戶、用戶所在部門、目的地址、應(yīng)用流量、應(yīng)用使用時(shí)長(zhǎng)等。知名端口非標(biāo)協(xié)議審計(jì)審計(jì)常見(jiàn)端口（21、25、80、110和443端口）上的非標(biāo)準(zhǔn)協(xié)議流量，以識(shí)別潛在風(fēng)險(xiǎn)。URL訪問(wèn)審計(jì)審計(jì)域用戶所訪問(wèn)的URL，支持審計(jì)所有URL和僅審計(jì)指定分類的URL。Web內(nèi)容上傳審計(jì)審計(jì)用戶通過(guò)HTTP協(xié)議POST的內(nèi)容，供事后追查在論壇/博客上發(fā)表的不良言論。Web文件外發(fā)審計(jì)審計(jì)用戶通過(guò)HTTP協(xié)議上傳的文件，有效追蹤泄密事件。Web文件下載行為審計(jì)審計(jì)用戶通過(guò)網(wǎng)站下載的文件名稱、類型和大小，了解用戶下載行為。郵件審計(jì)支持審計(jì)郵件標(biāo)題、郵件內(nèi)容、發(fā)件人、收件人、郵件附件等。IM聊天審計(jì)IM審計(jì)需要使用上網(wǎng)行為管理客戶端，可以審計(jì)的IM軟件包括QQ、阿里旺旺、飛信、MSN、雅虎通和Gtalk，可以審計(jì)聊天內(nèi)容和外發(fā)的附件。根據(jù)以上審計(jì)內(nèi)容，上網(wǎng)行為管理可以形成詳細(xì)的報(bào)告和相關(guān)數(shù)據(jù)趨勢(shì)分析，幫助實(shí)現(xiàn)精準(zhǔn)的違法溯和網(wǎng)絡(luò)行為趨勢(shì)分析。校園網(wǎng)WLAN覆蓋方案校園網(wǎng)WLAN覆蓋需求分析隨著智能終端的飛速發(fā)展和普及，園區(qū)覆蓋WLAN已經(jīng)是難以阻擋的趨勢(shì)。為了更好服務(wù)于校園內(nèi)的各類用戶，在校園內(nèi)的各個(gè)場(chǎng)景中建設(shè)具有較高用戶體驗(yàn)的WLAN覆蓋。根據(jù)不同的場(chǎng)景和不同的業(yè)務(wù)需求，對(duì)于WLAN覆蓋的要求也有差異，需要根據(jù)差異性選擇不同的WLAN設(shè)備進(jìn)行部署，以達(dá)到最好的使用效果。場(chǎng)景需求分析主要覆蓋場(chǎng)景中，筆記本、臺(tái)式計(jì)算機(jī)、智能手機(jī)、平板電腦等多種類型WIFI無(wú)線終端，802.11a、802.11b、802.11g、802.11n等多種標(biāo)準(zhǔn)的終端均可便捷接入，滿足我校網(wǎng)絡(luò)師生接入覆蓋需求。學(xué)生公寓區(qū)域重點(diǎn)覆蓋區(qū)，滿足100%用戶并發(fā)，接入速率不低于2Mbps；雙頻覆蓋，2.4GHz和5GHz邊緣場(chǎng)強(qiáng)均大于-60dBm。教室區(qū)域一般覆蓋區(qū)，滿足30%用戶并發(fā)，學(xué)生同時(shí)接入上網(wǎng)，并發(fā)接入速率不低于1Mbps；雙頻覆蓋，2.4GHz和5GHz邊緣場(chǎng)強(qiáng)均大于75dBm。會(huì)議室、學(xué)術(shù)交流廳、演播廳重點(diǎn)覆蓋區(qū)，滿足40%師生同時(shí)上網(wǎng)；并發(fā)接入速率不低于1Mbps；雙頻覆蓋，2.4GHz和5GHz邊緣場(chǎng)強(qiáng)均大于-70dBm。辦公區(qū)重點(diǎn)覆蓋區(qū)，滿足100%用戶并發(fā)，辦公人員同時(shí)上網(wǎng)，并發(fā)接入速率不低于2Mbps；雙頻覆蓋，2.4GHz和5GHz邊緣場(chǎng)強(qiáng)均大于-70dBm圖書館閱覽室重點(diǎn)覆蓋區(qū)，滿足40%并發(fā)上網(wǎng)，同時(shí)接入速不低于1Mbps；雙頻覆蓋，2.4GHz和5GHz邊緣場(chǎng)強(qiáng)均大于-70dBm食堂區(qū)域重點(diǎn)覆蓋區(qū)域，滿足同時(shí)就餐師生15%并發(fā)上網(wǎng)，同時(shí)接入速率不低于1Mbp；雙頻覆蓋，2.4GHz和5GHz邊緣場(chǎng)強(qiáng)均大于-65dBm廣場(chǎng)，操場(chǎng)室外場(chǎng)景一般覆蓋區(qū)域，雙頻覆蓋，2.4GHz和5GHz邊緣場(chǎng)強(qiáng)均大于-75dBm。無(wú)線應(yīng)用需求分析服務(wù)質(zhì)量QoS無(wú)線漫游：覆蓋區(qū)域內(nèi)無(wú)線漫游，用戶終端從一個(gè)AP覆蓋范圍移動(dòng)到另一個(gè)AP覆蓋范圍，無(wú)需重新登錄和認(rèn)證；精細(xì)化控制：老師、學(xué)生、訪客不同的角色擁有不同的權(quán)限，且教師和學(xué)生之間要隔離，限制教師和學(xué)生互訪；多用戶調(diào)度：AP能感知接入用戶數(shù)量，靈活調(diào)整物理信道競(jìng)爭(zhēng)參數(shù)，降低碰撞幾率，避免過(guò)多的用戶接入同一AP，保障服務(wù)質(zhì)量和體驗(yàn)。安全防護(hù)無(wú)線安全加密：無(wú)線信號(hào)是開(kāi)放的，任何人都可以接受到，存在數(shù)據(jù)被竊聽(tīng)，篡改等安全隱患，WLAN無(wú)線網(wǎng)絡(luò)需要支持WEP、WPA/WPA2、WAPI等加密認(rèn)證方式，充分保證學(xué)校師生重要信息的私密性，數(shù)據(jù)傳輸?shù)陌踩浴o(wú)線入侵防護(hù)：為了更好的保證網(wǎng)絡(luò)的安全性和可靠性，WLAN無(wú)線網(wǎng)需要支持泛洪攻擊、Spoof攻擊、暴力PSK破解、WeakIV等WIDS/WIPS安全防護(hù)。穩(wěn)定可靠AP設(shè)備：室外AP設(shè)備的防塵、防水的防護(hù)等級(jí)達(dá)到IP67要求，同時(shí)AP自身內(nèi)置5kV防雷器，減少工程施工和網(wǎng)絡(luò)運(yùn)維的困難。AC設(shè)備：AC支持1+1熱備份，解決AC單點(diǎn)故障問(wèn)題。網(wǎng)絡(luò)鏈路：本地轉(zhuǎn)發(fā)模式下，若遇到CAPWAP隧道中斷、AC故障、控制鏈路錯(cuò)誤等問(wèn)題時(shí)，AP可進(jìn)入半自治狀態(tài)，繼續(xù)對(duì)終端業(yè)務(wù)數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)，業(yè)務(wù)不中斷，保障用戶體驗(yàn)。認(rèn)證計(jì)費(fèi)認(rèn)證方式：認(rèn)證系統(tǒng)需要支持Portal、MAC、802.1x等多種認(rèn)證方式，以滿足不同場(chǎng)景下，不同群體（老師，學(xué)生，訪客）的接入認(rèn)證需求。計(jì)費(fèi)方式：需要針對(duì)不同的群體實(shí)現(xiàn)差異化的靈活計(jì)費(fèi)方式，如基于時(shí)長(zhǎng)（包月、包年），基于流量、基于DAA（目的地址計(jì)費(fèi)）等。與有線網(wǎng)絡(luò)兼容新建WLAN網(wǎng)絡(luò)必須考慮與原有有線網(wǎng)絡(luò)之間的兼容，實(shí)現(xiàn)與現(xiàn)有系統(tǒng)使用同一個(gè)賬號(hào)、密碼進(jìn)行認(rèn)證，并獲取相同的訪問(wèn)權(quán)限，與有線網(wǎng)絡(luò)使用同一個(gè)賬號(hào)、密碼進(jìn)行計(jì)費(fèi)，使用不同的計(jì)費(fèi)策略。運(yùn)行維護(hù)網(wǎng)絡(luò)監(jiān)控：通過(guò)網(wǎng)管軟件查看當(dāng)前設(shè)備物理拓?fù)?，直接顯示設(shè)備間連接關(guān)系，監(jiān)控設(shè)備及鏈路狀態(tài)。通過(guò)WLAN業(yè)務(wù)拓?fù)浔O(jiān)控?zé)o線設(shè)備告警、狀態(tài)、網(wǎng)絡(luò)設(shè)備邏輯結(jié)構(gòu)，包括AC、AP、終端用戶、非法AP的邏輯連接關(guān)系及其詳細(xì)信息，并在拓?fù)涮峁┮欢ü收显\斷處理能力。故障恢復(fù)：通過(guò)網(wǎng)管遠(yuǎn)程批量重啟AP，恢復(fù)AP配置。通過(guò)網(wǎng)管快速完成AP替換，替換后業(yè)務(wù)不變。無(wú)線方案產(chǎn)品結(jié)構(gòu)AP設(shè)備：選用室內(nèi)或者室外型AP11ac2*2MIMO設(shè)備就近接入接入交換機(jī)，對(duì)于報(bào)告廳，體育館等高密場(chǎng)景使用3*3MIMO設(shè)備或者11ac設(shè)備以提高單臺(tái)AP容量。接入交換機(jī)：接入層新增千兆POE接入交換機(jī)，滿足AP供電以及WLAN11n/11ac對(duì)接入帶寬的需求。接入交換機(jī)選擇華為S5700-24TP-PWR-SI和S5700-48TP-PWR-SI。AC設(shè)備：由于S771000隨板內(nèi)置AC功能，因此AC設(shè)備無(wú)需在單獨(dú)購(gòu)買；有線無(wú)線網(wǎng)絡(luò)深度融合方案?jìng)鹘y(tǒng)校園網(wǎng)絡(luò)中常見(jiàn)的無(wú)線部署方式有獨(dú)立AC或插卡式AC，不管采用哪種，所有無(wú)線流量都要通過(guò)AC集中轉(zhuǎn)發(fā)，有線和無(wú)線網(wǎng)絡(luò)在轉(zhuǎn)發(fā)和控制層面上是分離的。隨著802.11ac時(shí)代的到來(lái)和智能終端設(shè)備的普及，校園中學(xué)生可能手持智能手機(jī)、Pad、便攜等多種設(shè)備高速上網(wǎng)，AC設(shè)備由于轉(zhuǎn)發(fā)能力、端口各方面的限制將逐漸成為流量瓶頸。因而有線和無(wú)線網(wǎng)絡(luò)如果想要獲得一致的使用和管理體驗(yàn)，不能僅僅依靠目前常見(jiàn)的AC插卡式整合部署的方式，還需要在此基礎(chǔ)之上向深度融合演進(jìn)。如圖在本部署方案中采用敏捷交換機(jī)7710的有線無(wú)線融合理念實(shí)現(xiàn)有線無(wú)線流量深度融合，具體包括：融合轉(zhuǎn)發(fā)：敏捷交換機(jī)支持隨板AC功能，有線無(wú)線流量都直接在交換機(jī)處理，報(bào)文轉(zhuǎn)發(fā)行為一致，不存在AC集中后再通過(guò)有線轉(zhuǎn)發(fā)的情況，消除無(wú)線流量瓶頸限制，整機(jī)轉(zhuǎn)發(fā)能力能達(dá)到Tbit，學(xué)校不需要單獨(dú)購(gòu)買AC設(shè)備或者插卡，既解決了節(jié)省了投資又減少了故障點(diǎn)。融合管理：借鑒業(yè)界AC管理AP的成功經(jīng)驗(yàn)，讓敏捷交換機(jī)把接入層交換機(jī)也管理起來(lái)，有線無(wú)線采用一種協(xié)議，通過(guò)CAPWAP隧道實(shí)現(xiàn)一致的管理機(jī)制，實(shí)現(xiàn)接入交換機(jī)即插即用，降低信息中心老師日常工作中的管理復(fù)雜度。敏捷分布式AP華為敏捷分布式方案,華為敏捷分布式方案,是華為最新一代分布式Wi-Fi方案，包含AD9430DN-24中心AP和R240D遠(yuǎn)端接入單元兩個(gè)部分；一個(gè)中心AP可直連24個(gè)遠(yuǎn)端接入單元，并同時(shí)提供POE供電；遠(yuǎn)端接入單元內(nèi)置天線，美觀大方，支持吸頂、掛墻、面板式多種安裝方式。華為敏捷分布式方案，可靠性高，管理便捷，投資回報(bào)率高，非常適用于學(xué)校房間密度大、墻體環(huán)境復(fù)雜的場(chǎng)景。敏捷分布式方案射頻規(guī)劃與IP地址規(guī)劃一樣，WLAN信道是WLAN網(wǎng)絡(luò)設(shè)計(jì)中重要一環(huán)，大型無(wú)線校園網(wǎng)必須對(duì)WLAN信道進(jìn)行統(tǒng)一規(guī)劃。WLAN信道規(guī)劃的好壞，影響到無(wú)線網(wǎng)絡(luò)的帶寬、無(wú)線網(wǎng)絡(luò)的性能、無(wú)線網(wǎng)絡(luò)的擴(kuò)展以及無(wú)線網(wǎng)絡(luò)的抗干擾能力，也必將直接影響到無(wú)線網(wǎng)絡(luò)的用戶體驗(yàn)。頻點(diǎn)劃分為保證信道之間不相互干擾，大型無(wú)線校園網(wǎng)必須對(duì)WLAN信道進(jìn)行統(tǒng)一規(guī)劃并實(shí)施。WLAN系統(tǒng)主要應(yīng)用兩個(gè)頻段：2.4GHz和5.0GHz。2.4G頻段具體頻率范圍為2.4～2.4835GHz的連續(xù)頻譜，信道編號(hào)1～14，非重疊信道共有三個(gè)，一般選取1、6、11這三個(gè)非重疊信道。5.0G頻段分配的頻譜并不連續(xù)，主要有兩段：5.15～5.35GHz、5.725GHz～5.85GHz。不重疊信道在5.15～5.35GHz頻段有8個(gè)，分別為36、40、44、48、52、56、60、64；在5.725GHz～5.85GHz頻段有4個(gè)，分別為149、153、157、161，可以根據(jù)實(shí)際部署情況，選擇相應(yīng)的非重疊信道。信道覆蓋WLAN信道規(guī)劃需遵循兩個(gè)原則：蜂窩覆蓋、信道間隔。根據(jù)覆蓋密度、干擾情況、選擇2.4G/5G單頻或雙頻覆蓋。AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道，避免信號(hào)相互干擾；一般情況單獨(dú)使用2.4G或5.0G的頻段，對(duì)于會(huì)議室等高密度用戶接入的場(chǎng)所，可以啟用雙頻進(jìn)行覆蓋，以便提供更好的接入能力。單頻覆蓋和雙頻覆的示意圖如下圖所示。信道覆蓋示意圖鏈路預(yù)算WLAN鏈路預(yù)算一般經(jīng)過(guò)邊緣場(chǎng)強(qiáng)確認(rèn)，空間損耗計(jì)算，覆蓋距離計(jì)算等步驟。邊緣場(chǎng)強(qiáng)確認(rèn)是指：在WLAN工程部署中，要求重點(diǎn)覆蓋區(qū)域內(nèi)的WLAN信號(hào)到達(dá)用戶終端的電平不低于－75dBm。這樣可以保障用戶與AP的協(xié)商速率以及收發(fā)數(shù)據(jù)質(zhì)量。空間損耗計(jì)算通常采用如下公式：。其中：Pr[dB]為最小接收電平，即為AP在不同傳輸速率下的接收靈敏度；Pt[dB]為最大發(fā)射功率；Gt[dB]為發(fā)射天線增益；Gr[dB]為接收天線增益；Pl[dB]為路徑損耗（包括空間傳播損耗、饋線傳播損耗、墻體/玻璃阻擋損耗）。實(shí)際部署中終端天線增益不可知，為方便計(jì)算常忽略接收天線增益，而采用如下公式：到達(dá)用戶端的信號(hào)電平＝AP發(fā)射功率＋AP天線增益－路徑損耗。路徑損耗主要指WLAN信號(hào)的空間損耗，空間損耗＝92.4+20lgf+20lgd（f：GHz，d：km）。由公式推算可知：空間傳輸距離100m200m300m400m500m600m1000m100m2.4GHz信號(hào)的空間衰減(dBm)808689.5929495.5100805.8GHz信號(hào)的空間衰減(dBm)87.693.697.199.6101.6103.1107.687.6為便于理解鏈路估算的過(guò)程，這里給出一個(gè)室外場(chǎng)景覆蓋和室內(nèi)場(chǎng)景覆蓋的預(yù)算案例：根據(jù)WLAN覆蓋邊緣場(chǎng)強(qiáng)的要求，到達(dá)終端用戶的信號(hào)電平不低于－75dBm，500mWAP的輸出電平27dBm，天線增益11dBi，距離AP500m處信號(hào)的衰減量94dBm，由于27+11-94＝-56dBm，大于-75dBm，因此在通常情況下，AP的覆蓋范圍為500m。由于數(shù)據(jù)通信是雙向的，終端的信號(hào)發(fā)射功率相對(duì)AP較弱，綜合考慮，一般室外AP的覆蓋范圍為200m～300m。有些場(chǎng)景需要利用無(wú)線AP設(shè)備做橋接，華為AP橋接可以按照3km～5km規(guī)劃。根據(jù)WLAN覆蓋邊緣場(chǎng)強(qiáng)的要求，到達(dá)終端用戶的信號(hào)電平不低于－75dBm，100mWAP的輸出電平20dBm，天線增益4dBi，距離AP60m處信號(hào)的衰減量90dBm，由于20+4-90＝-66dBm，大于-75dBm，因此在正常情況下，室內(nèi)AP的覆蓋范圍為60m。考慮到室內(nèi)環(huán)境復(fù)雜，無(wú)線信號(hào)需要穿越墻體等障礙物，一般覆蓋半徑為20m左右。規(guī)劃工具無(wú)論是室內(nèi)還是室外，精細(xì)地覆蓋規(guī)劃都是一件非常有挑戰(zhàn)的工作。很多項(xiàng)目的無(wú)線網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)完全參照經(jīng)驗(yàn)進(jìn)行設(shè)計(jì)，與現(xiàn)網(wǎng)環(huán)境不能有機(jī)結(jié)合，不但缺乏科學(xué)的依據(jù)，準(zhǔn)確率也不高，且規(guī)劃效率低下。粗放的覆蓋規(guī)劃不能充分發(fā)揮WLAN的性能，并且也給后期維護(hù)優(yōu)化帶來(lái)更多的工作量，增加后期成本。華為提供專業(yè)的規(guī)劃服務(wù)工具，可以提供從規(guī)劃、建設(shè)和優(yōu)化全流程的工具支撐，大大提升高校這種場(chǎng)景覆蓋規(guī)劃的效率和準(zhǔn)確性。SSID和漫游規(guī)劃SSID規(guī)劃AP可以配置多個(gè)SSID，華為單頻AP可支持16個(gè)SSID，雙頻AP可支持32個(gè)SSID。通過(guò)配置多個(gè)SSID，AC針對(duì)不同的SSID下發(fā)不同的策略，SSID根據(jù)策略進(jìn)行終端與業(yè)務(wù)管理。無(wú)線網(wǎng)絡(luò)可按照用戶群體劃分不同的SSID，如下圖所示，針對(duì)三種不同的用戶群體，在AP上設(shè)置了3個(gè)SSID：SSID1用于學(xué)生、SSID2用于訪客和SSID3用于教師。業(yè)務(wù)類型SSID認(rèn)證方式密碼電子書包YJ-GYZX-DZSBMAC認(rèn)證無(wú)無(wú)線訪客YJ-GYZX-Guest二維碼認(rèn)證無(wú)線辦公YJ-GYZX-OFFICEPortal無(wú)線學(xué)生YJ-GYZX-StudentPortalSSID規(guī)劃SSID和VLAN的映射通常，以太網(wǎng)中管理VLAN和業(yè)務(wù)VLAN是分離的。業(yè)務(wù)VLAN主要用于區(qū)分不同的業(yè)務(wù)類型或用戶群體。在WLAN網(wǎng)絡(luò)中SSID也同樣可以承擔(dān)相應(yīng)的工作。因此，在SSID的規(guī)劃中必須綜合考慮VLAN與SSID的映射關(guān)系。業(yè)務(wù)VLAN應(yīng)根據(jù)實(shí)際業(yè)務(wù)需要與SSID匹配映射關(guān)系，映射關(guān)系有1:1、1:N、N:1、N:N四種。漫游規(guī)劃漫游是指用戶在部署了WLAN網(wǎng)絡(luò)的場(chǎng)所移動(dòng)時(shí)，用戶終端可以從一個(gè)AP的覆蓋范圍移動(dòng)到另一個(gè)AP的覆蓋范圍，用戶無(wú)需重新登錄和認(rèn)證，如下圖所示。WLAN網(wǎng)絡(luò)漫游中需要了解以下兩點(diǎn)：1、漫游過(guò)程中SSID必須一致，且使用相同的安全設(shè)置。2、漫游中選擇連接哪個(gè)AP是無(wú)線客戶端的動(dòng)作，這個(gè)切換的時(shí)機(jī)和快慢受無(wú)線客戶端的芯片或設(shè)置的影響，所以在漫游切換過(guò)程中會(huì)出現(xiàn)不同的終端切換性能有差異。漫游規(guī)劃電子書包場(chǎng)景覆蓋覆蓋需求教室內(nèi)的無(wú)線覆蓋主要是滿足學(xué)生PAD電子書包和老師的上網(wǎng)需求。具體業(yè)務(wù)和覆蓋需求如下：滿足學(xué)生單用戶的下行容量4M，上行容量2M滿足教師單用戶的下行容量4M,上行容量2M整體環(huán)境要求普遍覆蓋，各子空間要求全覆蓋，但是用戶同時(shí)業(yè)務(wù)的并發(fā)率高，用戶密度高?？偨Y(jié)此類場(chǎng)景的特點(diǎn)：半開(kāi)放式室內(nèi)環(huán)境，教室之間緊密相連，教室的結(jié)構(gòu)不固定并發(fā)率高，主要用于學(xué)生課堂學(xué)習(xí)互動(dòng)，帶寬需求大于4M設(shè)備選型教室的教育終端主要為PAD，筆記本電腦等設(shè)備，wifi模式主要為11g/n。因此要選擇11N的設(shè)備。終端多支持5.8G，考慮到以后的擴(kuò)展，因此選擇三頻設(shè)備；綜合以上兩點(diǎn)，該場(chǎng)景下選用放裝型、三射頻頻、雙空間流、11N設(shè)備。天線選型室內(nèi)產(chǎn)品最好能內(nèi)置天線，以便AP可以與教室的環(huán)境融合，減少對(duì)現(xiàn)有結(jié)構(gòu)的施工。部署方案設(shè)備可同時(shí)滿足40～50個(gè)終端/每人4M的速率，覆蓋范圍通常大于友商30%左右。因此每個(gè)教室放置1個(gè)AP。教室部署方案圖書館場(chǎng)景覆蓋覆蓋需求江門廣雅圖書館無(wú)線覆蓋，主要是為了滿足校內(nèi)師生在圖書館內(nèi)，登陸圖書館網(wǎng)站、學(xué)校網(wǎng)站和部分公共網(wǎng)站（學(xué)術(shù)新刊論文類網(wǎng)站）的業(yè)務(wù)需求。細(xì)化的業(yè)務(wù)和覆蓋需要如下：提供穩(wěn)定、流暢的網(wǎng)絡(luò)速率，保證師生通過(guò)個(gè)人終端（筆記本電腦+PAD）能正常登錄圖書管網(wǎng)站、學(xué)校網(wǎng)站和公共網(wǎng)站，且上網(wǎng)體驗(yàn)良好江門廣雅圖書館內(nèi)設(shè)的電子閱覽室和辦公室已布置了有線網(wǎng)絡(luò)，無(wú)線網(wǎng)絡(luò)主要覆蓋期刊/書籍閱覽室，各層自習(xí)室，二層大廳和六層的咖啡廳圖書館大廳流動(dòng)性較強(qiáng)，主要上網(wǎng)需求為查詢書籍借閱信息，閱讀圖書館公告等，同時(shí)有上網(wǎng)需求圖書館自習(xí)室設(shè)置固定座位，主要上網(wǎng)需求為：1）登陸圖書館網(wǎng)站和外部公共期刊網(wǎng)站，查詢/下載論文；2）登陸學(xué)校網(wǎng)站，查看公共課程，下載課程輔助學(xué)習(xí)資料（主要是課件和歷年考題等）。上網(wǎng)并發(fā)率80%總結(jié)此類場(chǎng)景的特點(diǎn)：半開(kāi)放式室內(nèi)環(huán)境，整體環(huán)境嵌套多個(gè)子空間環(huán)境，