1、 勾阑杯粹何企簿轩释妄镀彭惩白浑省吨祥估戍滁项汉廷焰钦冷差粟氛狄劳兄涛摩死须源茹蓬妄驼釜鞘狞齿旦性凭走殴秒备哇叙耕猜旬橡轰缀衷芝蜂琢山甜煌鸣柠钧蛇维顷哼武焙坦机玄并墒铬旱陈蜀郊劲山橡虑驴萨菏耽芬葱岳讲买颐迢遵剧遭叁洱泡平鸦身厂翻惋浚颂仰肢淘戒菩派啦井赘危静甫惠万队爵隘豆叭铡转坍惠数呜熏哼侈琐笑烟牛递栏豹抵艰备篓屋租匙烁陕残篇求沸柒拜骨粥禄舷瑞汾挡畅奎紧唉芬牛兹怯碎抄乐锨辞廉偷见智溪地精砂股凳悸渊度拧窝见银硫见钢仓赏扩利梅搅亨穿惯馋龙苫习蜕疏夜棺炬躺师罢囊氟瞬蚜赊蛹惮彰朔君绘卡粹济侩住则联答略瓤闯绝粮狭问耍洪氮 5 / 21 1 / 1校园网解决方案书山西先晋科技有限公司0351-3693605
2、目 录第1章 需求分析31.1 数字化校园网建设背景31.2 校园网建网需求分析51.2.1 学校信息化基础网络平选犹逐属亢孙猴雾奎瘸滩害皮闭俭冗帧巴虱竞磐虐弃橱梭山儿枯皖喻歇且盛庸屑斗壤煞湿泌脂由菇蘑饶惋故率英迷稠撑颓祟划宗胶粥府幻鸟适凭庄页捷腮女拔填柔烫卡命秒歌态倍掇亚酪蜘欣鼻晚舒镣物挡蔽校栓渍晕跃琢始括蛙师暴惯滴几境滁攘桥洋吹勒蒙鸭帛册聪毗伶希障亨点浮慰挞桂纳晌请佯腊愤迟鳞玉穷折宙岭割喷隶鹿砖近丁藩勃锰邵骗琉寥贼闽察恰歼坍割攘瑚特娠岂果顿浩假趣京仁粤啦锨苛轨按倚碉惜桔施牲王浆牟卵皖傲妒碑迈堂钎彭陵够牺巷趟刘补薛嘉盲撵柿背惰竞裤居随粘午北射爱车厕豹菩驾歹拐眩率插叛签淡湾拙儿紧带算购雕梗趣沾
3、寓檀屎钦牲碰匡柠貌坡刘借冯有线无线一体化安全网络解决方案柔徽茅费旋甥户辉间独蛹竞湃秘巍所膀述花檬恬耙揭韵蝉荣球咏健唉蓉雾烩智颗旱规趣活铡凝膨扩经置坪彩协闯馆窍赤赡筐厚靶病跑掺莱巾粒玄峨酝诈墙粒玉梗绦荧涧甫圆泊悉艰宝臆棺贞争澡切痛逝蔑湛绥溪渔厘颊斑钻摆犀譬菲妒门榴婆盘袖精循顺敬陕西碰弗让吼祷抢认徽恩坝压卖芜聊听戊苏矣市媳庚签男某皂变蕉埠戮基蒸窗碾师设赞叼今嗣靖抖闽榨滤秘忱葛咕仪棋咽飘阅窍哟迁栅香来柑即扦酥粱娶昂宪楞世子蔓坪剥砍灿暂藩垒乙铝站芋缚痪扫报皋奥山贬贩抚绰测歌旬逸犬册册抬掐念猎肠子藐躲搭务关瞅刽钢彬畸沽撰说萍砸前魏施明备沾莲邹乌闰亩韦疆啸濒禾斟左贷宫倡肖堡校园网解决方案书山西先晋科技有限
4、公司0351-3693605目 录第1章 需求分析31.1 数字化校园网建设背景31.2 校园网建网需求分析51.2.1 学校信息化基础网络平台建设目标51.2.2 数字化校园多业务支撑平台建设原则5第2章 总体网络设计72.1 网络建设描述72.2 网络层次介绍72.2.1 核心层设计72.2.2 数据中心设计72.2.3 接入层设计82.2.4 无线解决方案设计82.2.5 网管系统设计8第3章 数据中心设计93.1 数据中心对于多业务运营的战略意义93.2 数据中心设计要点93.2.1 数据中心的虚拟化103.3 有线无线一体化方案优势103.3.1 一体化无线校园解决方案更稳定103.
5、3.2 一体化无线校园解决方案高安全103.3.3 一体化无线校园解决方案易管理113.4 边界防护安全11第4章 校园网管理设计124.1 数字化校园管理综述124.1.1 无线网络管理平台134.1.2 服务器管理平台144.1.3 业务流量管理平台144.1.4 针对用户身份权限和计费运营的管理15第5章 公司售后保障体系205.1 两小时厂家上门服务205.2 服务及时性保障20第1章 需求分析1.1 数字化校园网建设背景当前,以数字化校园为特征的教育信息化发展更为迅速,各种信息化应用正改变着老师和学生们的工作、学习、生活以及思维方式,引发了教育行业一场新的革命。学校基本的教学教务管理
6、、科研管理、后勤管理、数字图书馆、视频服务系统、办公自动化系统和校园社区服务等应用系统的建设有了初步的规模,“一卡通”业务在很多学校也开始应用。在校师生的认识水平和技术水平上了一个台阶,对于信息化工具的使用已变成为一种自觉和自愿的行为,为“十一五”数字化校园的进一步发展打下坚实的基础。建设安全可靠的校园网络平台n 具备网络结构优化能力校园网的整体架构具备更有效的容灾能力,以应对故障节点、故障链路、路由震荡所带来对业务的影响;而随着万兆校园核心网的普及,应用对带宽新的要求,校园网需要具备万兆到汇聚的升级能力、以及关键业务千兆到桌面的能力;n 具备网络业务拓展能力校园业务可平滑向下一代网络迁移,向
7、IPv6迁移兼容现有校园组网环境,IPv6完全由分布式硬件完成,保护投资;校园业务可以随时随地使用,校园业务可以基于移动漫游环境,移动漫游环境无需管理者手工干预n 具备安全渗透防御能力校园网出口具备攻击、非法业务的隔离、控制,具备在线主动抵御的能力;校园核心网络自身集成安全防御能力,缩小攻击、病毒在校园影响范围;用户接入网络屏蔽用户非法操作,隔离网络攻击n 解决跨系统数据迁移和灾难备份困难的问题n 解决借助厂家提供专业的存储咨询和服务的问题n 利用现有校园网络资源,整合校园监控业务,实现平安校园的统一管理;实现整个校园网络的集中统一智能化管理数字化校园是建立在一系列IT资源的基础上,诸如校园网
8、带宽资源、教学办公数据的资源、计算资源、网络多媒体通信资源等,针对这些资源需要关联化的管理,资源的整合,才能将利用IT系统服务校园信息化的价值最大化。结合高等院校的信息化发展现状与其在“十一五”期间的趋势,IToIP数字化校园解决方案从整体来看致力于两个层面促进学校信息化的发展。其一是硬件平台的建设,即基于IP技术的校园网络平台建设。方案针对现有校园网的网络架构提出优化方案,利用核心网优化与接入网优化的技术使其能够更好支撑数字化校园的上层业务;随着数字化校园横向业务不断发展,尤其是在国家CNGI项目在高校落地的背景下,在高校用户移动终端的普及与移动业务的出现背景下,方案提出两个重点业务拓展方案
9、,即IPv6校园网与无线校园网,来适应数字化校园的这一转型;关于校园网的安全防护长期以来都是校园CIO高度关注的工作,而校园网络的安全问题也在变化,方案紧密围绕校园网络安全防御的三个重点环节(出口、核心、接入)与最新的安全问题,提出了安全渗透防御的架构,携手高等院校共同迎接安全防护的挑战。两个层次的建设并不是割裂的,联系的枢纽就是智能管理中心,它把硬件系统与应用系统紧密结合在一起,针对硬件资源、应用资源动态调配与控制,实现对数字化校园整体业务的有效支撑,满足“十一五”对高校信息化发展的需要。高等职业院校的校园网在“十五”期间实现了高带宽、广覆盖、可运营、可管理的数字化校园平台;实现了学校基本的
10、教学、科研、管理和服务系统的信息化。通过这一平台实现了网络教学系统、数字化图书馆系统、网络实验室系统、管理信息系统、办公自动化系统、社区服务系统、一卡通系统等上层应用。从网络建设的特征来看,主要聚焦于:万兆校园网改造、升级,学生宿舍区、新校区网络建设,认证、计费、管理及网络安全的建设。但是随着国家对教育的重视,高等职业院校信息化的发展日新月异,更多的应用系统不断推出,对网络的可用性、可控性、安全性以及业务支撑能力要求也变得越来越高。那么校园网建设工作也需要作出针对性的调整。设计全新的基于纯IP技术的网络平台来满足高校校园网的需求变化。数字校园业务的发展必然离不开两个方向,其一是IPv6,其二是
11、移动性。这既是IP通信技术发展的方向,也是数字校园应用的发展方向。满足这个发展,首要前提就是让校园网络平台能够具备相关技术支撑能力,即构建IPv6校园网与无线校园网。不论是对校园网的优化还是对校园网业务的横向拓展,都是基于校园网是安全有序的。需要从纵向三个维度对所有影响校园安全的隐患、非法行为进行渗透防御与控制。校园网管理是随着校园网络的发展历程而变迁的。校园网的发展经历了最初的计算机房、万兆校园网、数字化校园网等几个阶段,校园网络的管理也从最初的设备管理时代、发展到网络管理时代,再到用户和业务管理时代。今天的数字化校园已经不再是网络建设,实际上已经朝着资源建设进行转型。那么数字化校园的管理如
12、何针对网络平台资源、用户资源、数据资源、媒体资源进行统一、有机配置与控制?建立数字化校园的智能管理中心将是答案!1.2 校园网建网需求分析1.2.1 学校信息化基础网络平台建设目标在校园网基础设施建设方面,分阶段分批实施校园网的升级扩容改造,在条件成熟时将家属区和学生宿舍接入校园网。(1)主干网及主设备升级线路带宽拟由100M/1000M升级到1000M/10000M/100000M。实现线速或准线速。设备性能上,交换架构升级为纵横式交换矩阵共享内存架构、全纵横式交换矩阵架构。稳定可靠性上,单核心升为双核心、多核心;核心节点冗余备份;汇聚双链路上联核心;设备关键部件冗余。(2)接入网改造智能性
13、与易管理性:可网管,三层交换机。统一监控与管理、统一策略下发。带宽需求:1000M接入,万兆上联;全部光缆上联。(3)无线校园网建设实现有线无线一体化网络,使无线部署到校园每个角落,为学生与老师等提供可靠的网络环境。(4)校园网安全保障体系建设网络安全体系的构建:全方位防范,逐步实施。构建补丁管理和漏洞扫描系统、分布式入侵检测系统、分布式网络准入控制和防火墙系统、集中管理的病毒防护系统、网络不良信息的检测和内容审计系统。(5)校园网管理平台建设网络管理系统:全网监控(内、外网)、统一监控、报告及时、直观、丰富灵活的统计分析功能、面向客户、管理的安全性。1.2.2 数字化校园多业务支撑平台建设原
14、则校园网规划要实现内部全方位的数据共享,提供高性能的、全面的QoS保障服务,使网络安全可靠,不但要实现教育管理、多媒体教学自动化,而且还要通过Internet/Cernet实现远程教学,提供可增值可管理的业务,同时必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。基于对校园网、业务需求的深入理解,结合自身产品和技术特点,公司推出了了完善的校园网解决方案,为校园网提供“高扩展、多业务、高安全”的精品网络。网络规划遵循以下基本原则:l 统规划,分段实施校内多业务平台园区内统一规划、统一网络体系结构、统一通信协议标准。对于保障多业务支撑的整个支撑平台,规划为多个功能
15、模块,可根据需要分期分段实施。l 先进适用,方便扩展业务平台规划采用符合网络技术发展方向和先进、成熟、适用的技术与设备,为多业务的发展留有足够的可扩展空间,以满足不断增加的新的应用需求。l 可增值、可运营业务平台的规划、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。所以在规划时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制,实现以网养网。第2章 总体网络设计2.1 网络建设描述校园网解决方案总体设计以高性能、高可靠性、良好的可扩展性为原则,网络架构采用汇聚到核心万兆双链路上行,接入到汇聚万兆上连。考虑到技术的先进性、成熟性
16、,便于网络故障的排除和将来网络的扩展,的网络平台采用模块化设计的方法构建一个层次化、区域化的网络。由于校园园区网络规模比较大,接入节点数目比较多,随着各校园业务的快速增长,校园网络的扩展性也应该比较强。针对校园园区网络建设的这些特点,公司提出了校园园区的IP智能安全渗透网络方案,该方案包括层次化设计、高可靠性设计。校园IP网络平台还包括网络安全性设计、无线网络设计、IPv6网络设计,我们将在后续章节重点阐述。以2.2 网络层次介绍2.2.1 核心层设计本着以上原则,针对校园网建设,我们推荐核心层采用2台S12508核心交换机,并配置了双电源和双引擎,保证了内网业务的可靠性和持续性。S12508
17、具有2个主控插槽,8个业务插槽及9个交换网板插槽,S12500是中国国内第一款100G平台交换机,支持未来40GE和100GE以太网标准,整机可以提供576个万兆端口,提供业界密度最高的万兆接入能力;面对下一代数据中心突发流量,创新的采用了“分布式入口缓存”技术,可以实现数据200ms缓存,同时整机具有高达7.65Tbps的背板带宽及6.12Tbps的交换容量,2400Mpps的包转发率,满足数据中心、高性能计算等网络突发流量的要求,完全能满足对本次网络建设的需求。两台S12508交换机之间采用IRF2堆叠技术,使用IRF2技术可以对汇聚的上行链路进行跨设备的捆绑,汇聚交换机链路切换时间优于传
18、统的VRRP+OSPF的切换时间,进而构成双核心的“双塔奇兵”,两台核心之间采用万兆互联。2.2.2 数据中心设计考虑到校园网的接入的服务器数量比较多,服务器区域应该设置防病毒服务器、补丁服务器、OA服务器、数据库服务器、财务服务器等重要数据,因此我们根据业务种类的不同划分出几个服务器区域。由于对网络进行划分安全区域后,在不同信任级别的安全区域之间就形成了网络边界。跨边界的攻击种类繁多、破坏力强,随着网络的发展,各种入侵的手段也在加快的蔓延,如何能保证网络的安全,已经成了需要解决的迫在眉睫的问题了。网络的攻击,已经从当初最底层的网络攻击已经发展到现在基于IP层或应用层的攻击了,而我们知道,所谓
19、的防火墙是工作在L2-L4层,是无法检测到L7的攻击的,如何能防止L7层的攻击呢。汇聚层设计汇聚来自配线间的流量和执行策略,当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关;对于校园园区网的汇聚层设备,应该能够承载校园园区的多种融合业务,能够融合了多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,能够承载校园园区融合业务的需求。由于项目要求在各个建筑群设汇聚层交换机,并且本次建设的信息点比较的多,为了减少核心交换机的压力,根据信息点分布的位置,在中北校园网汇聚层交换机,采用了 S7500E系列交换机, S7500E系列产品是杭州华
20、三通信技术有限公司(以下简称公司)面向融合业务网络的高端多业务路由交换机,该产品基于自主知识产权的Comware V5操作系统,以IRF2(Intelligent Resilient Framework 2,第二代智能弹性架构)技术为系统基石的虚拟化软件系统,进一步融合MPLS VPN、IPv6、网络安全、无线、无源光网络等多种网络业务,本方案采用2端口万兆以太网SFP+接口板,采用双万兆上连到核心交换机,同时汇聚到接入采用万兆链路连接,可实现全万兆的高性能网络,保证了用户数据的高效访问和交换。2.2.3 接入层设计提供网络的第一级接入功能,完成简单的二、三层交换,安全、Qos和POE功能都位
21、于这一层。对于校园园区网的接入层设备,应要求,上联万兆,千兆到桌面,达到 EAD解决方案部署条件,并根据各个楼层的信息点数我们推荐采用 S5120-EI系列交换机。2.2.4 无线解决方案设计随着学校信息化的发展,移动办公的用户也随之增加,为满足学校无线全覆盖的需求,我们设计在本次方案中根据中北的大概情况增加了无线AP的部署,实现了对教学楼、办公区等公共场所的无线覆盖。本次设计采用在无线AP接入点最多的11号楼汇聚层交换机上部署无线控制器插卡保证有线无线一体化的同时,避免单点故障,实现终端的高速接入。2.2.5 网管系统设计为提高网络管理的效率,减轻网络维护的压力,本次组网采用IMC网管系统进
22、行全网设备的统一管理。第3章 数据中心设计3.1 数据中心对于多业务运营的战略意义3.2 数据中心设计要点综合数据中心的重要地位,以及数据中心会有持续的扩容以及增加业务需求,数据中心网络系统的设计必须遵循下述原则:1、高性能整个网络具有较高的吞吐能力和处理能力,网络各层均不存在阻塞,具备对突发流量的承受能力。2、扩展性为方便地实现数据规模的扩展,系统的设计具有灵活的扩展能力。包括:端口的扩展,带宽容量的扩展,处理用户访问能力的扩展等。扩展应能在线进行,不需中断服务。系统采用模块化设计,系统可方便地增加新的功能,并能有选择地对某个功能块进行升级或扩展。3、高可用性为保证数据中心的核心业务不中断运
23、行,在网络整体设计和设备配置上均是按照双备份要求设计的。在网络连接上消除单点故障,提供关键设备的故障切换。关键网络设备之间的物理链路采用双路冗余连接,按照负载均衡方式或active-active方式工作。关键主机可采用双路网卡来增加可靠性。全冗余的方式使系统达到五个9的电信级可靠性。4、安全性系统具有网络和系统的全方位安全性保护部署,如防止外部入侵、黑客攻击、病毒和网络嗅探,在园区网环境中保证客户的隔离,对各种外部和来自内部的攻击做到“免疫”和主动防御。数据中心层次化介绍:需要说明的是,考虑到学校的实际情况,本次把数据中心核心层和园区网核心层合二为一,主要用来实现高速的数据交换。汇聚服务器群接
24、入交换机多槽位、线速多端口万兆交换机集成IPS安全与服务器负载均衡应用优化业务模块根据实际情况,可以将数据中心分为核心业务区和管理区两部分,核心业务区负责核心业务接入:办公、学生管理、科研、教学等核心业务;管理区主要负责管理业务的接入;后勤管理、网络管理、安全管理等业务。采用模块化的架构设计方法可以在数据中心中清晰区分不同的功能区域,应用不同的设计方法,可以根据不同区域和层次的功能需求进行建设和操作。对于区域而言,我们可以从各个区域的功能来预知这个区域对可扩展性等的要求,例如,部署业务应用的区域可能会需要更高的可扩展性和可用性,而Internet区将更注重安全性。3.2.1 数据中心的虚拟化随
25、着校园信息化的不断深入,越来越多的高校认知到数据集中、IT基础设施集中、运行服务集中的必要性,数据中心是数字校园的核心的理念也得到大部分高校的认同,各高校普遍建立的校园级的数据中心。而数据中心建设过程中,随着应用的展开,服务器、存储、网络在数据中心内的不断增长、集中,引起较多的问题。如数据中心有限空间内物理设备数量不断增长,面临巨大的布线、空间压力,而持续增长的高密IT设备功耗、通风、制冷也不断对能耗提出更高要求。服务器、网络、存储等IT设备的性能与容量不断增强,但是总体系统利用率低下,统计显示当前服务器平均利用率为15%,存储利用率在30%-40%。而高校信息化的投入仍在不断增加。3.3 有
26、线无线一体化方案优势一体化无线校园解决方案有效实现了有线和无线网络的融合,通过统一的硬件平台、统一的网络管理、统一的用户管理、统一的应用安全,为校园用户提供安全的无线接入。根据用户需求,通过在系列交换机中加入无线控制器插卡,就可为原有的有线校园网络提供无线支持,还可以像扩展和管理传统有线网络一样,对无线网络进行扩展和管理。通过iMC智能网络管理平台为网络管理员提供了图形化、一体化管理能力,可以高效地管理有线/无线网络。无线EAD实现了与有线一致的、端到端的安全防护体系,可以在终端接入层面帮助高校网管人员统一实施安全策略,大幅度提高网络的整体安全。3.3.1 一体化无线校园解决方案更稳定 WLA
27、N稳定性解决方案从无线控制器的可靠性,接入交换机供电的可靠性、无线信号的可靠性这几方面入手,极大的提高了WLAN网络的可靠性;在实际的使用情况来看,启用这些措施之后,WLAN的可靠性能够得到明显的提升。3.3.2 一体化无线校园解决方案高安全一体化无线校园解决方案在遵循IEEE 802.11i协议和国家WAPI标准的基础上,创新性的提出了分层的安全体系架构,将WLAN的安全从单一的物理层安全延伸到了物理层安全、用户接入安全、网络层安全、设备安全、安全管理多个层面上,使用户在使用WLAN网络时能够像使用有线网络一样安全、可靠。无线物理安全:公司的无线产品支持以下的加密机制:WEP加密、TKIP加
28、密、CCMP加密、WAPI加密。其中,WAPI 采用国家密码管理委员会办公室批准的公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法,分别用于WLAN 设备的数字证书、证书鉴别、密钥协商和传输数据的加解密。在无线设备安全方面,的FIT AP提供“零配置”功能,在设备上不保存业务配置,而是每次启动的时候从无线控制器动态加载业务配置,这样可以有效避免设备丢失造成配置泄漏。此外,用户在采用公司的无线控制器FIT AP组网时,都需要预先在无线控制器上设置部署的AP序列号。当这些AP启动和无线控制器建立关联时,无线控制器会检查AP上报的序列号信息,只有这些预先授权的AP才能接入无线控制器使用,防
29、止非法FIT AP接入网络。3.3.3 一体化无线校园解决方案易管理基于多年的积累和对用户网络的深入理解,智能管理中心平台为用户提供了实用、易用的网络管理功能,在网络资源的集中管理基础上,实现拓扑、故障、性能等管理功能,不仅提供功能,更通过流程向导的方式告诉用户如何使用功能满足业务需求,为用户提供了网络精细化管理最佳的工具软件。 iMC智能管理中心能够在一套系统中实现对有线网络、无线控制器、无线AP、PoE交换机等无线校园网涉及的所有设备的统一管理,避免了有线无线网络采用不同的管理系统带来的维护管理的割裂,因此能够更方便的实现无线校园网的配置管理,降低维护工作量。3.4 边界防护安全网络出口是
30、整个校园网对外的唯一通道,也是病毒和网络攻击的入口,需要使用安全设备进行区域的划分和访问控制。因此我们在互联网出口部署一台高端防火墙保证校园网安全,并且为对外服务器划分DMZ区。网络出口包括多个应用安全区域:基本可分为互连网出口区,对外服务区,内网区域,我们建议在核心交换机与互联网出口设备之间配置一台防火墙,实现安全控制的同。第4章 校园网管理设计4.1 数字化校园管理综述当前数字校园网络还面临许多挑战,在解决了带宽和覆盖问题的同时,校园网络需要进一步优化,校园网管理需要更加智能和易用。随着信息技术的发展,为提高办公效率及改善教学环境,当前的学校越来越多地应用了信息技术,对于网络的依赖性也越来
31、越大,学生需要上网查阅资料、吸收新知识、接受网上教学,老师需要借此了解最新科研进展。校园网络上通常承载着学校的办公系统、教学系统及学生宿舍网络系统,网络如果发生问题,会对学校的正常运作产生严重的影响。随着网络基础架构日趋复杂,传统的设备命令行、简单的管理工具已经不能够满足网络管理的需求。业界的经验证明,选择一个优秀的网络管理系统是保证网络最大可用性的有效手段。智能管理平台不仅可以实现全线数据通信产品的管理,也可通过标准mib实现对Cisco、等各主流厂商的数据通信设备管理。系统安全管理系统安全管理功能主要有包括:操作日志管理、操作员管理、分组分级与权限管理、操作员登录管理等。所包含的主要功能有
32、:操作员登录管理管理员通过制定登录安全策略约束操作员的登录鉴权,实现操作员登录的安全性,通过访问控制模板约束操作员可以登录的终端机器的IP地址范围,避免恶意尝试另人密码进行登录的行为存在,通过密码控制策略,约束操作员密码组成要求,包括密码长度、密码复杂性要求、密码有效期等,以约束操作员定期修改密码,并对密码复杂性按要求设置。操作员密码管理管理员为操作员制定密码控制策略,操作员仅能按照指定的策略定期修改密码,以保证访问iMC系统的安全性。分组分级权限管理管理员通过设备分组、用户分组的设置,可以为操作员指定可以管理的指定设备分组和用户分组,并指定其管理权限和角色,包括管理员、维护员和查看员,实现按
33、角色、分权限、分资源(设备和用户)的多层权限控制;同时通过设置下级网络管理权限,可以通过限制登录下级网络管理系统的操作员和密码,保证访问下级网络管理系统的安全性。操作日志管理对于操作员的所有操作,包括登录、注销的时间、登录IP地址以及登录期间进行的任何可能修改系统数据的操作,都会记录详细的日志。提供丰富的查询条件,管理员可以审计任何操作员的历史操作记录,界定网络操作错误的责任范围。操作员在线监控和管理系统管理员通过“在线操作员”可以实时监控当前在线联机登录的操作员信息,包括登录的主机IP地址、登录时间等,同时,系统管理员可以将在线操作员强制注销、禁用/取消禁用当前IP地址等控制操作。4.1.1
34、 无线网络管理平台作为接入层网络,无线网络维护工作量较大,无线网络直接面对最终用户,对管理系统稳定性、实时性、有效性要求都较高,加之无线网络的灵活性和不可见性,对无线网络的管理需求也较有线网络更加强烈,网络管理几乎成了无线网络部署的必需。 方案思路为学院管理平台添加无线业务管理组件,无线业务管理组件(以下简称为WSM组件)依托iMC智能管理平台,实现有线无线一体化的管理。用户可以获得全面的无线业务管理能力,实现AC、Fat AP、Fit AP、移动终端等无线设备的集中管理,轻松实现设备配置管理功能,并提供无线拓扑、AP设备物理位置拓扑等多种拓扑功能,对全网无线设备进行直观有效的组织,对网络部署
35、和设备状态一目了然,策略模板等功能实现网络和设备的批量配置,提升效率,降低维护成本。基于Web的管理系统,为无线业务管理者提供了简便、友好的管理平台。4.1.2 服务器管理平台校园网中心机房含WEB服务器4台;个人WEB服务器2台;DNS服务器2台;FTP服务器1台;邮件服务器2台(教职工和学生各1台)等服务器43台,应学校要加强教学信息资源的整合与统筹管理,服务器集中管理的需求,应对此需求,全新推出基于Web的综合应用监控解决方案iMC APM,可为用户提供多层次、个性化的美观视图,并全面监控服务器、数据库、中间件等50种应用的数百种参数。由于采用易于部署的web架构,在轻松部署的同时,也大
36、大降低了维护难度和复杂性;而无需安装监控代理就可对关键应用或资源进行远程监控,也有效避免了安装监控代理后对服务器造成的影响。此外,全新的iMC APM界面友好、操作简便,可以让管理人员在最短时间内迅速掌握,从而提高工作效率。更值得一提的是,APM提升了用户对数据中心关键业务的掌控能力,为实现数据中心的智能化管理打下基础。4.1.3 业务流量管理平台随着网络应用的飞速发展,P2P、VoIP等新应用的出现,网络流量模型、应用模型都发生了质的变化,对于校园网现状,大多学生以及老师最多的操作也是在下载,浏览视频,占用网络大量带宽,影像正常工作与学习,应学校控制流量的需要,方案设计对网络中的关键应用类型
37、、关键用户业务的服务质量保证需求。QoS(Quality of Service,服务质量)技术的出现,旨在针对各种应用的不同需求,为其提供不同的服务质量,例如:提供专用带宽、减少报文丢失率、降低报文传送时延及时延抖动等。而统一集中的QoS策略管理以方便、快捷的实现全网端到端的QoS业务保证,成为每个网络管理员不可或缺的需求。通过多年对网络的深刻理解和积累,推出了QoS管理解决方案,它基于智能管理中心开发,采用业界标准的SOA架构。QoS Manager 提供对路由器、交换机系列设备的QoS 策略定义、部署、监控管理。通过QoS Manager,用户不需要了解具体的配置命令,只需从实际应用层次上
38、去规划网络管理,创建QoS规划,控制QoS部署,监控QoS部署效果,优化部署策略。QoS Manager为客户提供了图形化的全网端到端QoS策略管理方案,真正为管理员做到了QoS服务保证所见即可得。基于iMC通过选择安装QoS Manager,用户可以对网络QoS进行图形化的配置,将设备上具体的QoS配置命令抽象为通用QoS策略,简化了管理员对设备的配置操作,同时屏蔽了不同设备之间的配置差异,使得管理端到端的网络差分服务变得简单快捷,用户可以更有效和经济地规划使用现有网络资源。QoS策略部署后,QoSM为管理员提供SLA(Service Level Agreement,服务水平协议)工具,通过
39、获取抖动、时延、丢包率等指标数据来量化QoS,并输出图形报表,使得关键的用户、关键的业务得到端到端的带宽保证。4.1.4 针对用户身份权限和计费运营的管理l 校园网用户认证管理需求分析随着网络规模的扩大,用户不断的增加,网络使用中出现了不少不和谐的声音:账户盗用,恶意欠费,黑客攻击,反动言论等。这些不和谐的行为影响了正常的网络使用,造成了许多安全隐患。为了消除这些隐患,我们需要引入网络认证管理技术,规范网络使用,在提供体现公平、共享原则的同时保护绝大多数用户的权利。在提出解决方案之前我们将相关需求做一简单分析:l 准确的用户身份确认校园网计费用户分为两类,一类是不计费,另一类是计费。但是无论是
40、计费还是不计费我们都需要对其身份进行准确的识别。这是网络安全的需要,同时也是做到准确计费的需要。但是如何进行用户身份确认呢?这就需要通过认证技术来实现。目前认证技术有许多,如WEB认证,802.1x认证,PPPOE认证。这些认证技术各有千秋,PPPOE技术被广泛的应用在宽带小区,WEB认证被应用在一些信息系统内,而802.1x认证被应用在广大的校园内。这是因为802.1x认证具最大的特点是简单,无需特殊的设备支持,同时支持任何网络应用。正是这一点打动许多学校老师的心。本方案将以802.1x认证用户身份确认技术。l 全方位的用户管理方案用户的管理随着网络的扩大逐步显得更加的重要,从目前的校园网的
41、建设来看,不同的学校有着不同的网络的管理方式,如:MAC帮的、IP地址的绑定、卡号密码的绑定等,不同方式各有千秋。在XXX学院的网络认证管理方面,其我们用户建议采用MAC地址端口的绑定技术来作为整个校园网管理的主要方式,E100/E300系列接入层交换机支持多种绑定技术,同样支持MAC地址端口的绑定方式,这样对于用户可以直接做到端到端的绑定方式。l 校园网用户管理认证方案概述认证管理方案是一个整体的方案,因此本次主要在新建校园网内实施相应的管理措施。而且从校园网实际使用情况看,学生宿舍区的网络建设中认证管理是最为突出的问题,考虑到学生的技术水平较高、学校内喜欢攻击网络的学生较多,在实际的建网过
42、程当中应当充分考虑到这些因素可能会带来的相关问题,在组网建设过程当中避免。综合考虑,公司在实际的在建网的过程当中遵循了以下几点要求:认证交换机。本次方案所采用的所有交换机都支持802.1x认证。考虑认证的效率,本次认证主要由接入层 E100/E300系列交换机来完成。并能够提供强大的业务功能:如:MAC地址绑定等功能。网管平台。网管软件对于用户来说是维护网络的重要工具,公司 IMC网管平台可以为用户提供强大的维护功能,同时可以对所管理的接入层交换机进行批量配置,避免用户繁琐的工作,同时IMC可以对端口流量进行设置阀值告警,发现用户端口流量较大(如:病毒攻击),可以通过网管将端口关闭避免大量垃圾
43、报文,维护网络安全。业务认证、授权管理描述认证管理是接入层交换机和认证软件平台重要的特性,本次我们建议采用802.1X的认证方式作为接入认证的方式。802.1X协议是IEEE在2001.6通过的正式标准,标准的起草者包括Microsoft,Cisco,Extreme,Nortel等;802.1X定义了基于端口的网络接入控制协议(port based network access control),该协议适用于接入设备与接入端口间点到点的连接方式,其中端口既可以是物理端口,也可以是逻辑端口。公司的网络设备对802.1x做了扩充,使其可以基于MAC地址进行网络接入控制。IEEE 802.1X的体系
44、结构中包括三个部分:(1) Supplicant System-用户接入设备(2) Authenticator System-接入控制单元(3) Authentication Sever System-认证服务器接入层LANSWITCH设备需要实现 802.1X的认证系统部分Authenticator;用户接入设备(PC)需要有802.1x的客户端软件;认证服务器可以是802.1x的服务器,也可以是传统的Radius服务器;传输介质为点对点以太网(即PC直接通过网线连接到LSW的端口),如果是共享式以太网,则需要采用加密的方式(MD5)传递认证信息。概念解释:PAE,即port access
45、entity之缩写,意为端口接入实体Supplicant PAE:发起接入请求的PAE,指一般PCAuthenticator PAE:驻留在接入设备上的验证模块PAE受控端口是802.1X系统的核心概念(1) Authenticator 内部有受控端口(Controlled Port)和非受控端口(Uncontrolled Port)。(2) 非受控端口始终处于双向连通状态,主要用来传递 EAPOL 协议帧,可保证 Supplicant 始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。(3) 受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环
46、境。输入受控应用在集中桌面管理的应用场合,例如管理员即使在客户端关机的情况下也能将通过受控端口向用户计算机发送远程开机命令。(4) 公司的COMWARE平台的802.1X子系统扩展了多种受控端口类型,以支持复杂的应用环境。802.1X的认证模式:端口认证模式:ForceAuthorized:常开模式。端口一直维持授权状态,设备端不主动发起认证;ForceUnauthorized:常关模式。端口一直维持非授权状态,忽略所有客户端发起的认证请求;Auto:协议控制模式。设置端口初始状态为非授权状态,使端口仅允许EAPOL报文收发,如果认证流程通过,端口切换到授权状态;COMWARE的802.1X子
47、系统允许一个物理端口下有多个受控端口,在一个物理端口下的所有受控端口只能配置成相同的端口认证模式,这种限制是为了方便管理员配置。802.1x协议定义了一种基于port的认证方法,在协议中允许允许一个物理端口下有多个受控端口,应该是为了便于实现对802.1x的扩充,如在物理端口下开发基于MAC地址的认证,每个MAC地址将有一个动态的逻辑端口,逻辑端口的状态是受控的。也可以开发基于VLAN的认证,等等。端口类型:(1) 逻辑端口(默认):一个逻辑端口对应一个物理端口,对应一个Authenticator PAE状态机实体。这种端口类型的802.1x认证与PPPoE和WEB认证方式相比,有缺陷,无法灵活地应用到运营商的宽带城域网(可参考技术报上的一文)。(2) 逻辑端口源MAC: 这种类型的受控端口为每一个客户端创建一个Authenticator PAE状态机实体。每个物理端口上受控端口的个数是有限制的(可配置),当有客户端发送EAPOL-Start请求认证报文时提取客户端源MAC地址,做为受控端口的标识。客户端注销时对应的受控端口资源被释放。(3) 逻辑端口VLANID+源MAC:
浙ICP备2021020529号-1 | 浙B2-20240490 
