1、安徽涉外经济学院一体化项目解决方案2012年8月目 录第1章项目需求分析21.1涉外经济学院一体化网络无线接入21.2涉外经济管理学院一体化网络有线网接入31.3涉外经济管理学院上网认证计费31.4涉外经济管理学院上网安全(防火墙+行为管理+入侵防御)3第2章总体设计原则4第3章智能管理中心53.1智能网络管理中心系统53.2认证计费系统63.3上网行为管理7第4章网络规划及总体设计104.1网络结构 设计104.2设备选型11第1章 项目需求分析涉外经济学院有线无线一体化网络建成后,将满足学生、教职工以及校方有关部门不同要求,以不同带宽、接入方式接入到互联网;本规划总体本着先进性、现实性和经
2、济性相统一的原则进行网络设计,使网络具有高性能、高可靠性、高安全性、高可扩展性、标准化和易管理的特点,能灵活地根据用户的需求提供不同网络业务的服务保证。方案整体采用有线无线一体化方式进行建设,新校区:核心侧部署高端运营级交换机,负责连接本校区内汇聚交换机和出口BRAS,同时该核心交换机上部署无线控制器插卡,对校内所有AP进行统一管理和配置下发;出口侧部署BRAS,实现所有校园用户的PPPOE等互联网连接,部署行为审计插卡实现审计功能,后台部署认证计费等管理软件。1.1 涉外经济学院一体化网络无线接入随着移动互联网趋势加快以及智能终端的快速普及,WLAN应用需求在全球保持高速增长态势。H3C作为
3、业界领先的一体化移动网络解决方案提供商,自产品推出以来,稳步增长。现涉外经济学院建设有线无线一体化网络覆盖校区内所有学生宿舍楼、教学楼、图书馆、行政楼等公共活动区域。打造无线校园,使校园达到有线无线双覆盖。无线网络和有线网络一样是教育信息化建设的基础,为师生提供了更灵活、更便捷的接入方式,随着无线网络的建设和发展,无线正在融入到学校的信息化、多业务的各个方面,为师生提供精彩的无线校园生活体验。无线网络的建设需要满足未来学校多种信息化的应用,无线校园网解决方案,深刻理解校园信息化的业务发展,其解决方案以其先进性、前瞻性为学校教育信息化建设的未来提供了坚实的发展平台。无线校园网采用了802.11n
4、高带宽技术,为学校的教学、科研、管理、服务等各项应用提供了基础无线平台:无线多媒体教室、无线科研数据传输、无线视频监控、无线访问视频课程、无线语音、无线网络运营商租赁。1.2 涉外经济学院一体化网络有线网接入针对原有校园中宽带用户的接入,校区内所有学生宿舍楼,新增接入交换机,接入到新建有线无线一体化核心设备上实现有线无线一体化。针对校园网,为方便学生阅览校园网共享资源以及教职工办公,把原有有线网OA办公系统等接入该网中。这样校园中通过新建有线和无线网也可以访问原有校园网。1.3 涉外经济学院上网认证计费针对无线网用户,需要认证计费来实现用户的认证与计费,使用IMC平台的UAM和CAMS组件来实
5、现。用户有线无线想访问互联网则通过PPPOE或PORTAL方式进行拨号,报文通过核心路由器终结,将用户名等RADUIS信息上传给我们UAM、CAMS服务器,正确后通过核心路由器公网出口访问外网。1.4 涉外经济学院上网安全(防火墙+行为管理+入侵防御)随着网络的发展,互联网应用已经渗透到社会生活的每一个角落,成为人们学习、工作、生活不可或缺的工具,成为企业运营的基础平台。互联网的开放性、交互性、延伸性为人们快速获取知识、即时沟通以及跨地域交流提供了极大的便利;与此同时,互联网的便利性与虚拟性也成为各种不和谐行为滋生的温床,诽谤中伤、网络恶搞、人肉搜索、工作时间“偷菜”、BT下载、色情网站等问题
6、,就像打开了潘多拉盒子,越来越对国家安定、社会和谐、企业效率、青少年成长等提出了严峻的挑战。校园网络互联出口有一个电信出口到Internet,为保障网络安全,在网络互联出口的BRAS核心路由器SR6616上部署RT-SPE-FWM-H3高性能多业务综合防火墙板卡和LS-LSQM1IPSSC0+1Y千兆入侵防御系统通过以太网接口上行互联网。下行通过ACG跟核心交换机互联,H3C SecBlade ACG(Application Control Gateway,应用控制网关)是业界第一款千兆高性能应用控制模块,可应用于H3C S7500E/S9500E/S10500/S12500系列交换机和SR6
7、600/SR8800路由器,创新性的将应用监控、审计与网络进行无缝融合。SecBlade ACG能对网络中的P2P/IM/VoIP带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制;同时,根据对网络流量、用户上网行为进行深入分析与全面的事后审计,并具有强大的URL过滤功能,进而全面了解网络应用模型和流量趋势,大大提升网络的业务控制能力,帮助用户优化其网络资源,为用户打造一个和谐、有序的网络环境。第2章 总体设计原则根据涉外经济学院网络现状、需求及网络技术发展的趋势,我们按以下原则设计网络方案:l 高可靠性:具有很高的容错能力,具有抵御外界环境影响和人为操作失误的能力,
8、保证单点故障不影响整个网络的正常运行。l 高性能:具有较高的传输带宽,并在高负荷情况下仍然具有较高的吞吐能力和效率,延迟低。l 支持QoS:能根据业务的要求提供不同等级的服务并保证服务质量,提供拥塞控制,报文分类,流量整形等强大的IP QoS和MPLSQoS功能。l 安全性:具有保证系统安全,防止系统被人为破坏的能力。支持AAA认证、ACL、VPN、NAT、路由验证、CHAP、PAP、CA、MD5、DES、3DES、日志等安全功能。l 扩展性:易于增加新设备、新用户,易于和各种公用网络连接,随系统应用的逐步成熟不断延伸和扩充,充分保护现有投资。l 开放性:符合开放性规范,方便接入不同厂商的设备
9、和网络产品。l 标准化:各种协议和接口符合国际标准(IEEE、IETF等)。l 实用性:具有良好的性能价格比,经济实用,设计方案和设备选型应符合骨干网络信息量大、信息流集中的特点。l 易管理:一个好的网络系统必须是一个易管理的网络系统,本方案中通过配置网管系统软件对整个网络实施高效的管理。第3章 智能管理中心3.1 智能网络管理中心系统在设计网络管理系统时,应全面考虑网络管理的内容,建设网络管理平台、网络设备管理软件模块、网络故障管理模块、网络流量模块、网络故障告警模块。通过网络管理系统多种模块的组合,实现对整网设备和安全性等各个方面进行全面的管理,有效地提高网络的安全可靠性。H3C公司的网络
10、智能管理中心(iMC)产品,基于SOA开放式框架,将网络用户、网络设备和网络业务有机的整合起来,可以有效地解决上述问题的同时实现网络的运营和管理从“网络资源运营”向“信息服务和流程服务”、从“粗放的规模运营和管理”向“精确管理和精益运营”转变。 针对校园网的部署现状,iMC主要功能亮点如下:1、全面的基础网络资源管理iMC可以对全网资源进行统一部署、管理和调配,除了能够有效的对H3C等各种主流厂商的路由器、交换机、安全、无线、语音等传统网络资源进行管理之外,还可以对存储、服务器、PC、UPS等设备类型进行管理,实现了故障、性能、拓扑、配置等管理内容,成为业务融合联动的基础。2、网络资源和用户的
11、统一管理iMC在对网络设备进行管理的基础上,将网络用户一同纳入管理范畴,从网络拓扑图上即可以了解到有哪些用户通过哪些网络设备接入网络,每个用户的上网行为和安全状态都可以实时得到监控和审计。iMC可以支持LAN、WAN、WLAN、VPN等方式的用户认证接入,实现接入业务的统一、集中管理;同时支持智能卡、证书等强认证功能,支持多种方式的端点准入控制和基于身份的网络服务,实现用户与资源和业务的融合管理。3、无线网管理近几年来,网络已经融入到人类生活的方方面面,生产办公、交通运输、医疗卫生、休闲娱乐无一不在使用网络,随着网络的快速发展,网络业务层出不穷,人们越来越多地需要时时刻刻地能够接入网络,于是笔
12、记本电脑用户日渐增多,手机、PDA不断普及,更多的便携式网络接入设备进入人们的视线,而无线网络以其施工简单、接入方便逐渐被人们所喜爱。这种情况下,传统的有线网络连接形式已经无法应付新的生活方式所带来的挑战。作为接入层网络,无线网络维护工作量较大,加之无线网络的灵活性和不可见性,对无线网络的管理需求也较有线网络更加强烈。无线网络直接面对最终用户,对管理系统稳定性、实时性、有效性要求都较高。WSM无线运营管理组件依托iMC智能管理平台,实现有线无线一体化的管理,在iMC系统全面的有线网络管理的基础上,为管理员提供无线网络管理能力。管理员无需重新搭建IT管理平台,即可在原有的有线网络管理系统中增加无
13、线管理功能,与有线管理平台统一部署,节省用户投入,节约维护成本。H3C无线运营管理组件(WSM)在下一代业务软件平台iMC的基础上进行开发,不仅为管理员提供了灵活的组件选择,同时符合业界主流的SOA架构,具备良好的扩展性,能够满足客户网络管理不断发展的需求。基于Web的管理系统,为无线业务管理者提供了简便、友好的管理平台。与iMC智能管理平台及其它组件配合,还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理等功能,并可对网络中的其它设备进行统一管理,真正实现有线无线一体化管理。无线有线一体化管理H3C无线运营管理组件(WSM)作为iMC智能管理中心的无线业
14、务管理核心,对于网络中的AC、FAT AP、FIT AP、移动终端等无线设备与有线设备进行一体化集中管理,全网设备信息和状态一目了然。网络资源通过多种视图进行查看,视图内分组管理,将规模巨大的无线接入设备有效组织,便于管理员维护。多样化的拓扑管理WSM中的无线业务逻辑拓扑帮助管理员直观了解网络部署情况及设备/链路当前状态。系统可根据不同的方式组织资源,有效进行拓扑分组、真实组织全网资源。物理位置视图中管理员可根据需要创建多纬度、多层次的物理位置结构,并在指定建筑物底图上根据真实情况摆放设备,逼近真实网络环境。无线终端查看和漫游记录审计WSM可以直接在拓扑图中对移动终端的信息进行查看,包括MAC
15、地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在AC设备、所在AP设备等,并能查看各移动终端的全部漫游记录,使管理员随时了解最终接入用户的情况,并对其接入轨迹进行审计。RF覆盖及无线网络规划在实际无线环境的部署和维护中,需要关注无线设备的RF范围、覆盖管理以及无线网络规划扩容问题。H3C无线运营管理组件(WSM)可以用很直观的拓扑图表示出无线网络中的RF状况。通过障碍物的设置,用户可以更加精确的查看由于遮挡对信号衰减的情况。查询RF覆盖可以分别按照信号强度、速率、信道进行,满足用户分析信号覆盖情况的需要。可根据用户的需求,将虚拟AP加入位置视图拓扑,并查看信号覆盖范围,帮助用户在
16、建设或扩容WLAN网络之前,通过评估具体位置中AP信号覆盖情况,对AP型号选择和布局进行详细的网络规划。无线定位与GIS管理功能对网络的管理有时需要无线定位功能,通过无线定位系统,可以实现对在线STA以及非法STA、非法AP的定位,同时可以实现对H3C iNode用户的定位,方便用户第一时间的了解无线用户和非法设备的物理位置,第一时间解决问题。通过GIS管理功能,可以实现对对AP的GIS信息管理功能,地理位置确定等等。基于物理位置的无线终端准入控制结合iNode客户端,WSM可以实现基于物理位置的无线终端准入控制。通过设置准入区域及其准入规则,用户可以将未经授权的iNode用户强制下线或向其发
17、送通知等方式进行控制,方便了用户实施基于物理位置的终端准入控制。无线网络质量评估WSM网络评估功能为用户提供了评估无线网络质量的途径,方便用户了解某区域内的AP工作情况及用户体验情况,根据评估结果及数据记录,用户可采取有效措施进行网络优化,改善网络质量。通过AP设备及移动终端的相关数据进行采集并汇总,根据任务阈值设置的AP及用户的评价标准对AP及用户进行评价,完成评估后可查看网络评估报告了解评估期间AP的工作情况及用户网络使用情况。WSM提供丰富的评估报告,显示各位置视图下AP设备的总评信息、评估期间AP及用户各项统计指标的历史及汇总记录、以及相应的评价结果,可通过总评信息了解某位置下AP的整
18、体工作情况,通过各查询条件迅速找到关心的AP及用户。PoE供电管理WSM可以实现对AP可能的上联设备进行查询的功能,并可以确定AP与上联设备是否直连。通过此功能,用户可以方便的查找AP的物理接入端口。如果AP是使用PoE供电的方式,还可以通过对PoE端口的操作实现对AP的断电、上电。绿色节能管理WSM可对整网的WLAN设备制定绿色节能策略,包括AP、Radio按计划启动和停止, Radio的功率按计划动态调整, Radio提供的SSID服务按计划启动和停止,以达到节约能源、减少辐射、改善环境的目的。主备AC管理WSM可以提供强大的主备AC管理功能。在界面中,可以看到各个AP的主备连接状态,并且
19、可以对相同序列号的AP进行合并,从而实现了全网级别的AP管理。同时,在处理报表等性能数据时,自动对主备情况下的性能数据进行整合,极大提高了性能数据的可用性、移动性。同时,通过主备AC分组的配置,用户可以方便的将配置同时下发到主备AC上,方便了用户的使用。无线入侵检测和防护无线网络灵活多变,并且基础设施不可见,因此比有线网络更容易遭到越权使用。对于这类问题,WSM提供了Rogue设备检测功能,可对无线入侵进行检测,可明确显示非法接入设备,并对其进行信息查询、加入黑名单及发起攻击等动作。无线入侵检测和防护丰富的无线统计报表对网络进行运营管理需要对网络进行全方位的监控,从网络各种性能指标、告警指标中
20、进行智能的统计和分析,才能有效从整体对网络状况进行衡量。WSM提供了丰富的无线统计报表查询和定制功能,以帮助管理员对网络进行综合而全面的管理。通过配置分级报表系统,可以实现对大规模的无线网络的报表系统,从而可以满足运营商级别的报表统计需求。3.2 认证计费系统 UAM用户管理组件业界传统的网络管理、用户管理软件各自发展已经较为完善,网络管理系统关注于网络基础资源的管理,包括路由器、交换机、服务器等,而用户管理则关注于对当前正在使用网络基础资源的用户的管理,包括对用户身份的认证、对用户信息的组织管理等,但实际上网络和用户是有机融合的整体,需要统一集中管理。iMC智能管理中心的平台组件实现了完善的
21、网络设备管理功能,在此的基础上,iMC智能管理中心用户管理组件将管理的范畴从网络设备延展到了网络用户的管理,通过网络设备管理和用户管理的深度融合和联动,在统一的平台上实现了用户、网络的集中管理。iMC智能管理中心除了实现基础的用户管理和网络管理功能外,最大的特色在于实现了两者之间的有机融合,在统一的操作界面上同时完成网络、用户的管理。集中化的设备资源和用户资源管理除对网络设备的统一管理外,iMC也对用户基本信息进行集中维护,包括用户姓名、证件号码、通讯地址、电话、电子邮件、用户分组;并提供用户附加信息管理功能,管理员可根据网络运营的习惯进行用户信息定制,如学校可以定制学号、年级等信息,企业可以
22、定制部门、职务等信息。设备和用户的统一分组管理支持设备和用户分组功能,通过对设备资源和用户进行分组管理,系统管理员方便的分配其他管理员的管理权限,便于职责分离。接入业务服务和用户分组可灵活对应,使得特定分组用户才能配置对应的特定服务,便于管理员进行接入业务管理。用户管理与网络设备管理相融合,用户管理操作更简单接入设备列表中可以直接看到用户相关信息,提高了操作员日常维护的效率。设备选定后可直接对其进行用户操作,比如,针对某个接入设备,将其所挂的用户全部下线处理等。在线用户列表中提供接入设备查看入口,可查看当前在线用户所对应的接入设备的详细信息,比如,对应的基本信息、告警、性能状况等。网络设备管理
23、和用户管理的全面融和,使得操作更友好,全面提升操作员操作体验。支持多种接入及认证方式,适合多种接入组网场景及应用场景支持802.1x、Portal、VPN接入等多种认证接入方式。支持PAP、CHAP、EAP-MD5、EAP-PAP、EAP-TLS、PEAP等多种身份验证方式,适应不同安全要求的应用场景。既支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息绑定认证,也支持与计算机名、域用户、SSID等身份信息绑定认证,增强用户认证的安全性,防止帐号盗用和非法接入。支持与LDAP服务器、Windows域管理器、第三方邮件系统(必须支持LDAP协议)的统一认证,避免用户记
24、忆多个用户名和密码。支持哑终端(IP电话、打印机等)通过预置用户方式快捷接入网络,使用“MAC地址”作为用户账号进行网络认证。支持终端准入控制(EAD)解决方案,确保所有接入网络的用户终端符合企业的安全策略。严格的权限控制手段,强化用户接入控制管理基于用户的权限控制策略,可以为不同用户定制不同网络访问权限。可以控制用户的上网带宽(QoS)、限制用户同时在线数、禁止用户设置和使用代理服务器,有效防止个别用户对网络资源的过度占用。支持最大闲置时长限制。可以实现对用户ACL、VLAN的控制,限制用户对内部敏感服务器和外部非法网站的访问。可以限制用户IP地址分配策略,防止IP地址盗用和冲突。监控用户认
25、证成功后的IP地址,若有变更则强制要求下线。可以限制用户的接入时段和接入区域,用户只能在允许的时间和地点上网。可以限制终端用户使用多网卡和拨号网络,禁止修改终端MAC地址,防止内部信息泄露。可以限制用户必须使用专用安全客户端,并强制自动升级,防止安全客户端被破解,确保认证客户端的安全性。接入用户网关配置,提供接入用户网关IP、MAC地址配置信息。配合iNode客户端实现防止本地受到假冒网关方式的ARP欺骗功能详尽的用户监控,强化对终端用户的监视控制iMC用户接入管理组件提供强大的“黑名单”管理,可以将恶意猜测密码的用户加入黑名单,并可按MAC、IP地址跟踪非法行为的来源。管理员可以实时监控在线
26、用户,强制非法用户下线。支持消息下发,管理员可以向上网用户发布通知消息,如“系统升级,网络将在10分中后切断”、“您的密码遭恶意试探,请注意保护密码安全”等。iMC用户接入管理组件记录认证失败日志,便于方便定位用户无法认证通过的原因。提供接入明细日志,便于审计用户的接入网络记录。集中方便的接入业务用户管理,简化管理员维护操作基于服务的用户分类管理,用户的认证绑定策略、安全策略、访问权限均封装于服务中,简化管理员的操作,保证网络管理模式的统一。接入用户相关的管理动作集中化,界面对操作员来说更友好、更美观易用。接入用户可使用自助服务,帐号申请、查询、修改都通过自助服务页面完成,既提高效率,又减轻管
27、理员的工作量。提供针对企业访客等临时接入账号的访客管理功能,访客管理员可创建来宾账号并申请访客接入网络服务。企业访客通过批准的访客账号访问企业网络,该账号将在超过保留时长后失效。灵活的业务及运行环境参数调整,适应不同的运行及应用环境系统参数配置,提供业务相关的常用参数信息配置功能。运行参数配置,提供系统运行环境相关的路径、数据库属性等基本信息的能。证书文件配置,提供证书认证配置信息功能。用户提示信息配置,提供给用户的相关提示信息配置功能。客户端自动运行任务配置,提供配置客户端认证后自动运行相关程序的配能。用户密码控制策略配置,提供配置用户密码的控制策略配置功能。稳定可靠的保障机制,细化的管理系
28、统的双机热备、双机冷备,并提供可靠的逃生方案。管理中心支持Windows和Linux操作系统,支持集中式和分布式部署。支持对操作员权限的精细化控制,不仅可以指定操作员可访问的功能范畴,也提供对功能项目的增、删、改、查的操作控制,并支持对管理员的业务分权管理。提供多种统计报表:在线用户安全状态分类统计、休眠帐号统计、帐号数月统计、平均在线用户数统计、认证失败类型统计、下线原因分类统计、服务的用户数统计,满足日常运营维护的需要。提供二次开发接口,便于客户第三方系统与用户接入管理组件对接。提供报修管理功能。当终端用户网络出现故障时,可通过自助平台提交网络报修单。网络管理员则通过报修管理对用户报修单进
29、行集中处理,并可针对常见问题进行FAQ发布。融合的接入设备管理,操作简单、管理方便为接入设备提供查询设备明细信息的链接,可通过简单的鼠标点击看到接入设备的详细信息,比如对应的基本信息、告警、性能状况等。接入设备管理与拓扑管理的融合,拓扑中可以清晰的显示出接入设备,查看接入设备相关信息,并可通过鼠标点击方式,将此接入设备设置为非接入设备。拓扑中融合了接入设备和用户监视管理功能,可针对接入设备进行在线用户查询、强制用户下线、查看该设备所挂接的终端用户及其安全状态等多项操作。有线无线一体化,智能的广告推送,适应不同网络运营方需求iMC UAM组件可以配合iMC管理平台,针对不同用户身份/接入位置进行
30、不同的广告推送业务,协助接入用户最快获取最需要的信息,从而可与第三方广告平台配合,适应不同网络运营方需求,达成广告平台、网络运营方以及接入用户的三赢。对有线、无线接入用户可以提供统一的接入认证、授权功能,从而对有线、无线用户使用统一帐号进行管理。在对无线接入用户接入绑定限定的基础上,针对无线接入特性,提供了无线SSID绑定功能。CAMS计费管理组件网络早已融入到人们生活的方方面面,人们对网络的依赖性也日益增加。为了保护网络使用者的合法权益,降低网络的运营成本,也为了增加网络运营者的收益,需要对网络的使用进行收费。在实际生活中,需要进行计费管理的网络普遍存在,如:运营商布设的商用网络,学校、小区
31、宽带等园区网络,网吧等小型运营网络,都是网络计费运营的典型例子。依托iMC智能管理中心及UAM用户接入管理组件,iMC提供了功能强大的CAMS计费管理组件。它可以稳定、高效地完成对网络接入用户的帐务管理、计费管理等功能,满足各种网络可运营、可管理的需求。同时,它还提供丰富而开放的第三方接口,能帮助管理员快速有效地与第三方系统进行对接。在iMC平台可灵活扩展的基础上,CAMS计费管理组件还可以与EAD终端准入控制组件以及UBA用户行为审计组件进行很好的融合,为管理员提供从认证、计费到控制、审计全流程的具有强大竞争力的用户终端管理解决方案。基于UAM的CAMS与EAD、UBA融合提供全流程的用户终
32、端管理解决方案先进的设计理念基于“用户”、“服务”和“策略”三维关系进行设计,便于管理员理解和操作,解决了传统计费系统操作的复杂性问题。统一的接入业务管理模型支持对多样的RADIUS接入认证、授权和计费等业务进行统一管理。灵活多样的计费策略开放的计费模型,能够满足不同应用场景的计费需求,用户可以根据运营需要轻松定制计费方式和费率;内置支持纯包月、包天、包月限时、包月限流量等易于管理的包月型计费方式;支持包月暂停功能,可以使用户的包月截止日期顺延,并支持用户认证上网自动取消暂停;支持自适应包月,用户包月计费周期可从用户的实际使用包月服务的时间点开始;支持按时长和按流量计费、分档计费、奖励和时段优
33、惠,可以适应不同用户群体的不同需求。清晰准确的帐务处理支持实时预付费和后付费两种付费方式,满足不同用户群体的消费习惯;支持营业厅缴费、充值卡缴费以及批量缴费,简化管理员和用户的续费操作。支持通过二次开发接口进行缴费,方便与第三方帐务管理系统的对接。;提供详尽的用户上网明细、账单和缴费信息,支持查询与打印功能,有效避免帐务纠纷;支持欠费催缴,当用户欠费、余额不足或包月即将到期时,可以通过Email和客户端等多种方式进行费用催缴;支持用户信息、上网明细、用户账单和缴费记录的手工/自动导出,方便与第三方帐务管理系统的对接。对于后付费用户,系统按照设定的帐务周期定时自动出账,出账后可进行缴费。对于临时
34、性用户(比如酒店客户),系统也提供了管理员手工出账功能,从而进行及时的费用结算。强大的报表展示功能支持强大的自定义报表展示,可支持灵活定义报表中包含的字段、数据等内容,还可定制数据的展示方式(表格、饼图、曲线图、柱状图)。支持定义报表的生成时间、生成周期及生成格式(PDF、HTML、Excel、TXT)等。提供业务使用量、人均业务使用量、帐号数、消费金额、每小时平均在线用户数、操作员收费记录等统计报表,帮助管理员了解业务和网络的使用情况。高可靠的计费解决方案依托于iMC平台,可采用分布式、组件化的体系结构;支持双机冷备和热备,提供准确、稳定、高性能和高可靠的计费保障。方便的分权分域管理支持分权
35、分域管理,可最大程度满足不同管理员管理不同区域用户的接入认证计费要求;支持用户漫游,方便与第三方认证和计费系统的对接,也轻松实现移动用户的异地认证计费。全流程的用户终端管理可融合EAD终端准入控制组件和UBA用户行为审计组件为最终用户提供基于用户终端生命周期的管理。包含终端的接入认证、计费管理、终端准入控制、用户行为审计等囊括事前、事中、事后的全流程终端管理方案,便于管理员在一套系统上操作。灵活高效的开放接口支持提供标准、通用的基于Web Services二次开发接口,经过简单的二次开发工作,管理员可轻松将系统集成到现有运营管理系统中,从而真正实现多系统的统一管理;支持基于RADIUS Pro
36、xy技术的计费漫游和计费代理功能,便于与第三方运营管理系统进行对接。3.3 上网行为管理强大的P2P/IM业务监控能精确检测Thunder(迅雷)、BitTorrent、eMule(电骡)、eDonkey(电驴)、QQ、MSN、PPLive等近百种P2P/IM应用。同时,可基于时间、用户(组)、应用协议,对P2P/IM应用进行告警、限速或阻断。基于应用的QoS能精确识别各种常见的应用,如ERP应用、视频会议等,在识别业务的基础上,ACG可对关键业务进行带宽保证,对其他业务按优先级进行智能流量调度。完善的安全审计系统可对各种P2P/IM、网络游戏、网络多媒体、文件共享、邮件收发、数据传输等各种上
37、网行为提供全方面的行为监控和记录;同时,通过综合分析、检测用户网络流量与流向趋势,事后对历史数据进行分析,为用户提供细粒度的网络行为审计管理系统。强大的过滤功能通过自定义IP地址、主机名、正则表达式等方式设置URL特征库,支持根据不同的URL策略设置不同的响应方式,支持根据时间表对不同的URL策略设置不同的响应动作,避免保密信息的外泄,免受非法信息干扰,确保网络的健康使用。丰富的报表提供业务流量趋势图、流量分布图、Top N用户列表、Top N应用协议列表等报表,并支持按照用户名/用户组、使用频度、使用时段、应用分类、应用协议、流量大小等进行多维度组合定制报表,使用户能全面掌握网络中的流量、应
38、用和业务分布,为合理规划网络、制定流量控制策略提供依据。及时的特征库更新H3C专业安全团队密切跟踪应用变化,并对应用协议特征库及时更新;支持在线自动/手动升级方式,升级过程无需重启系统,不影响系统业务运行。降低运营成本通过在H3C交换机/路由器中增加SecBlade ACG模块,即可扩展交换机/路由器的应用监控和审计功能。通过与交换机/路由器共用管理平台,降低了管理难度。并且交换机/路由器的任何端口都可以作为SecBlade ACG模块的端口使用,从而降低用户成本。高可靠性SecBlade ACG业务模块作为业务插卡嵌入H3C交换机/路由器中,降低了单点故障,保证了网络的高可靠性。第4章 网络
39、规划及总体设计4.1 网络结构设计及设备选型组网方式:1. 有线网,教学区、办公区以及宿舍等,使用全光口S5500汇聚交换机,万兆上联核心交换S7610E,千兆下联接入交换机2403TP,百兆网线到桌面;2. 无线网,是有室内室分和室外放装(天线加强)的方式对校园进行全覆盖,通过全千兆S5500的光口下联WP5024千兆POE交换机,使用千兆11N室内AP(WA2610E)和室外AP(WA2610X)接入用户;3. 核心使用S7610E使有线无线一张网承载,S7610E上使用AC、IPS、FW等插卡,实现无线控制器、入侵防御、防火墙等功能;4. BRAS使用SR6616,实现POTAL和PPP
40、OE等认证功能,使用ACG插卡,实现上网行为管理审计功能;5. 全网使用IPv6高性能产品,便于以后接入IPv6网络;6. IMC+WSMC实现有线、无线网络一体化管理,UAM+CAMS组成稳定的有线无线认证计费系统;7. 该网络融合原有校园网,实现校内访问涉外经济学院网站和OA等。组网优势:1. 有线无线一体化;2. 实现基于用户名账号的行为审计;3. 全网统一设备,便于管理、维护4. 核心交换设备先进架构,主控和交换分离,可靠性高,适合电信ICT校园网单台核心部署的场景;4.2 设备选型H3C SR6600 路由器4.2.1.1 产品概述H3C SR6600开放多核路由器(以下简称SR66
41、00)是H3C公司自主研发,面向运营商、政府、电力、金融、教育、企业等用户网络量身打造的高端多业务路由器,作为业界第一款基于多核多线程处理器技术架构的路由器产品,其全新的硬件平台和面向业务设计的理念诠释了数据通信业务的新型解决方案,充分满足用户未来业务扩展的多元化需求,符合运营商及各行业IT建设的现状与发展趋势。SR6600目前包含SR6602、SR6604、SR6608、SR6616四款主机。SR6602定位于高性能出口网关设备、运营商及行业网络的接入设备;SR6604、SR6608定位于运营商及各行业大中型网络的接入或汇聚设备;SR6616定位于运营商及各行业大型网络的核心或汇聚设备。H3
42、C SR6600路由器:SR6602 SR6604 SR6608 SR6616业界首款多核高端路由器SR6600是业界首款基于多核多线程技术架构的高端路由器,具备高性能、易编程、灵活的L4-L7层业务应用等特点。多核多线程处理器的应用,使网络设备的性能和灵活性得到极大提高,其良好的可编程性和易用性,使SR6600对未来的新业务具备快速响应能力和良好的适应能力,满足用户在路由器上实现多业务扩展的需求。SR6600路由器在系统架构设计上把链路层业务和安全业务利用硬件进行加速处理,从而使多核处理器核心资源更专注于关键的L4-7深度业务处理。先进的全分布式处理架构SR6604、SR6608、SR661
43、6采用了全分布式处理架构,路由引擎和业务引擎硬件分离,所有引擎上控制平面和业务平面分离,确保系统全速运行时业务和控制互不干扰,主备倒换时业务不中断;各业务引擎可独立完成NAT、IPSec、Netstream等业务的分布式处理,在提高系统的整体处理能力的同时又保证了各业务的高可靠性。开放应用架构(OAA)的设计理念SR6600秉承H3C公司的开放架构设计理念开放应用架构(OAA),先后推出了专用的硬件防火墙板、SSL VPN业务板、IPS业务板、ACG业务板等多业务板卡,满足了用户对安全的多种业务需求。OAA架构良好的扩展性可以更好地满足用户后续L4-L7层业务定制和升级,实现高端路由器的业务增
44、值,加速IP网络向智能化方向发展。高密度的SDH及MSTP汇聚能力SR6600路由器可提供高密度的OC-3/STM-1的通道化POS 接口,并支持通道化到E1/T1或者DS0,提供业界领先的、高密度的E1、DS0线速汇聚能力,其窄带接入容量、密度以及性能均达到业界领先水准。SR6604、SR6608、SR6616支持高密度以太网接口模块,单业务槽位最大可以提供48个千兆接口的接入能力,能够充分满足各行业对高密度以太网(MSTP)链路汇聚能力的需求。SR6600的高密以太网接口模块的所有端口均支持完善的IP路由、转发、MPLS、安全、QOS、组播和IPv6等特性。硬件支持PPP多链路捆绑SR66
45、00提供的高速CPOS模块能够给用户提供硬件MP功能。SR6600作为广域网汇聚节点时,用户通过采用高性能CPOS模块对下行E1或者T1链路实现硬件PPP多链路捆绑;在保证数据线速转发的前提下实现MP报文重组、分片等功能。业界领先的加密性能SR6604、SR6608、SR6616全部的业务引擎(FIP-210、FIP-FIP-110、SAP-48GBE/SAP-24GBP)通过内置硬件加密,实现了高性能分布式IPSec加密。在不增加用户任何投资的前提下提供强大的数据加密能力,保证用户数据在广域网和内部网络的安全传输。SR6602业务网关路由器通过内置硬件加密,实现高性能的数据加密,保证用户数据
46、在广域网和内部网络的安全传输。丰富的业务特性强大的QoS能力是网络业务流畅运行的重要技术基础。SR6600支持完善的QoS解决方案,提供先进的队列调度、拥塞避免、拥塞管理、流量监管、流量整形、优先级标记等功能,可精确保证不同业务的带宽、时延、抖动和丢包率,满足不同用户、不同业务等级的“区分服务”的要求。SR6600支持高性能NAT、L2TP、GRE等业务特性,支持Firewall、ASPF、URPF等多种安全特性,提供NetStream报文统计功能,并针对不同的流信息进行独立的数据统计,为用户提供可视化的网络流量管理,方便开展网络规划、安全监控、流量计费等业务。SR6604、SR6608、SR
47、6616实现上述所有业务的分布式处理,有效提高了整机的业务处理能力和可靠性。强大的路由处理能力SR6600支持IPv4/IPV6的静态路由及动态路由协议,包括RIP/RIPng、OSPF/OSPF v3、IS-IS/IS-IS v6、BGP/BGP4+。SR6600同时支持丰富的策略路由和路由策略,可对网络流量进行灵活的控制和调度,满足企业网和运营商组网需求。强大的MPLS功能SR6600支持全面的MPLS协议,支持二层、三层的VPN业务,支持MPLS TE等功能。能够和H3C公司其他网络产品一起组成强大的MPLS网络,提供高性能、安全和多层次的MPLS VPN解决方案。电信级可靠性设计SR6600秉承了高端路由器分布式体系架构,将控制平面和业务平面分离,确保系统全速运行时业务转发和控制互不干扰。从而保障主备倒换时业务不中断。SR6600各关键部件如主控板、电源、管理总线全部为冗余热备份,实现基于状态的热切换。所有组件支持热插拔;提供热补丁技术,实现软件平滑升级。支持MPLS TE FRR(Fast ReRoute ,快速重路由),具备快速路由备份(FRB:Fast Routing Backup)特色功能,并结合BFD功能,实现故障链路的快速切换。支持IP FRR(Fa
浙ICP备2021020529号-1 | 浙B2-20240490 
