中學(xué)校園網(wǎng)絡(luò)建設(shè)方案

1、數(shù)字化校園網(wǎng)絡(luò)建設(shè)方案目錄1 普教數(shù)字化校園建設(shè)與應(yīng)用概述 31.1 數(shù)字化校園概述 31.2 數(shù)字化校園的應(yīng)用現(xiàn)狀 31.3 數(shù)字化校園的發(fā)展階段及趨勢 42 xxx中學(xué)網(wǎng)絡(luò)需求分析 42.1 XXXXX中學(xué)網(wǎng)絡(luò)現(xiàn)狀 42.3.1 需求不間斷的基礎(chǔ)網(wǎng)絡(luò)平臺 52.3.2 需求易管理的網(wǎng)絡(luò)運維 52.3.3 需求安全報障 62.3.4 需求統(tǒng)一身份認證 62.3.5 需求單點登錄、統(tǒng)一信息門戶 63 XXXXX學(xué)數(shù)字校園建設(shè)設(shè)計 63.1 數(shù)字校園整體架構(gòu) 63.2 XXXXX中學(xué)改造網(wǎng)絡(luò)拓撲 74 XXXXX學(xué)數(shù)字校園網(wǎng)絡(luò)解決方案 84.1 核心網(wǎng)絡(luò)設(shè)計 84.1.1 核心網(wǎng)建設(shè) 84.2

2、接入設(shè)計 124.3 學(xué)校網(wǎng)絡(luò)出口設(shè)計 134.3.1 出口智能流控審計 134.4 無線網(wǎng)設(shè)計 144.4.1 無線規(guī)劃 144.4.2 無線信息統(tǒng)計 174.5 安全設(shè)計 184.5.1數(shù)字化校園的安全設(shè)計思想 181 普教數(shù)字化校園建設(shè)與應(yīng)用概述1.1 數(shù)字化校園概述目前，什么是數(shù)字化校園尚沒有一個明確的定義，但相對使用較多的一個定義是：以網(wǎng)絡(luò)為基礎(chǔ)，利用先進的信息手段和工具，將學(xué)校的各個方面，從環(huán)境（包括網(wǎng)絡(luò)、設(shè)備、教室等）、 資源（如圖書、講義、課件等）、到活動（包括教、學(xué)、管理、服務(wù)、辦公等）數(shù)字化，逐步形 成一個數(shù)字空間，從而使校園在時間和空間上獲得延伸，在現(xiàn)實校園基礎(chǔ)上形成一個

3、虛擬校園。數(shù)字化校園旨在用層次化、整體性的觀點來實施校園信息化建設(shè)，利用校園網(wǎng)把教學(xué)資源和管理信息更好地組織分類，為教學(xué)工作提供基于網(wǎng)絡(luò)環(huán)境的信息化教學(xué)平臺，為管理、科研工作提供基于網(wǎng)絡(luò)環(huán)境的信息化管理平臺。1.2 數(shù)字化校園的應(yīng)用現(xiàn)狀XXXX在全國做了近2萬個中小學(xué)項目，同時，進行大量的現(xiàn)場調(diào)研工作，根據(jù)目前學(xué)校業(yè)務(wù)應(yīng)用的使用情況，大體上把業(yè)務(wù)系統(tǒng)分為三類，教學(xué)管理、行政管理及特色應(yīng)用等。教學(xué)管理*數(shù)芋廣播*務(wù)媒體救學(xué)*備課系竦教學(xué)話嫌庫*遠程教有參媒飾錄時系垃* VOD學(xué)控苗亙便應(yīng)用特色應(yīng)用電子遛考*網(wǎng)上聞卷*平安校園*他字圖書館*康?；ヂ?lián)平臺*網(wǎng)上懈論與*同步諫舉*網(wǎng)絡(luò)尊胃電按臺行政管理

4、電子政翳平臺門戶網(wǎng)站 通資產(chǎn)伐理財務(wù)管理人爭豈理觀頻會諫學(xué)生綜合素質(zhì)平臺行政管理中的業(yè)務(wù)系統(tǒng)的服務(wù)端大部分在信息中心，學(xué)校作為客戶端使用，主要是為了提高行政管理的效率，包括 0A辦公、一卡通、人事管理、財務(wù)管理等；教學(xué)管理中的大部分業(yè)務(wù)系統(tǒng)各個學(xué)校都會獨立建設(shè)，主要是為了提高教學(xué)管理的質(zhì)量，包括數(shù)字廣播、備課系統(tǒng)、多媒體錄播系統(tǒng)等，實際上，目前行政管理和教學(xué)管理的業(yè)務(wù)系統(tǒng)基本上各地都已經(jīng)建設(shè)了，差別在于,特色應(yīng)用中的業(yè)務(wù)系統(tǒng)各個學(xué)校根據(jù)自己的情況建設(shè)的側(cè)重點不一樣，如各地目前關(guān)注度比較高的特色業(yè)務(wù)系統(tǒng)包括網(wǎng)上閱卷系統(tǒng)、多媒體錄播系統(tǒng)、同步課堂等。1.3 數(shù)字化校園的發(fā)展階段及趨勢校園數(shù)字化建設(shè)

5、不可能一蹴而就，它的實現(xiàn)是一個長期努力的過程，從全國數(shù)字化校園的現(xiàn)狀和發(fā)展趨勢分析，數(shù)字化校園建設(shè)經(jīng)歷了四個階段，包括網(wǎng)絡(luò)集成、系統(tǒng)集成、應(yīng)用集成、數(shù) 據(jù)集成共四個階段。有線網(wǎng)堵、無線網(wǎng)蠟、款據(jù)中心、網(wǎng)蠟出口第三階段: 應(yīng)用卑威績一島盼認證、應(yīng).用門戶，學(xué)轄晉理、財務(wù)爸理. 電于毆務(wù)的應(yīng)用集成繪霸，夙陰司層認訃.到網(wǎng)誥及廬帀的遺一認w電子郵件、OA辦公.一卡通禾読、數(shù)字圖書 多喘體隸丙乘統(tǒng)、網(wǎng)曲和信宸安全.運淮笛理發(fā)匿階我第二階圧；:乩行股昔理到農(nóng)寧爸埋-從.單Y統(tǒng)到婦眾貌統(tǒng)第一酚段； 屈路東咸第一階段網(wǎng)絡(luò)集成，主要以基礎(chǔ)網(wǎng)絡(luò)建設(shè)為主，大部分普通中小學(xué)處于網(wǎng)絡(luò)集成這一階段， 考慮的是基礎(chǔ)網(wǎng)絡(luò)如

6、何建設(shè)，如怎么建設(shè)有線校園網(wǎng)、無線校園網(wǎng)、校園網(wǎng)安全加固等。第二階段系統(tǒng)集成， 以業(yè)務(wù)系統(tǒng)建設(shè)為主，大部分重點中小學(xué)處于這一階段，考慮業(yè)務(wù)系統(tǒng)如何建設(shè)，如一卡通系統(tǒng)，是作為刷卡消費，還是門禁控制、電梯控制，課程管理、多媒體錄播 系統(tǒng)怎么建設(shè)，如何監(jiān)控這些業(yè)務(wù)系統(tǒng)的運行，業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全保證等。第三階段應(yīng)用集成，主要是做統(tǒng)一身份認證平臺、單點登陸系統(tǒng)等，信息化做的比較好的重點中小學(xué)在規(guī)劃應(yīng)用集成，如何把有線、無線、遠程VPN等各種不同接入方式統(tǒng)一納入一個平臺進行管理，多媒體錄播、0A系統(tǒng)、視頻監(jiān)控等一系列業(yè)務(wù)系統(tǒng)，如何實現(xiàn)單點登陸，方便師生的使用。第四階段：數(shù)據(jù)集成，主要實現(xiàn)數(shù)據(jù)開發(fā)標準、數(shù)據(jù)

7、結(jié)構(gòu)的統(tǒng)一，實現(xiàn)各個業(yè)務(wù)系統(tǒng)間的數(shù)據(jù)實時共享，由于數(shù)據(jù)集成涉及到應(yīng)用系統(tǒng)的大量開發(fā)工作，周期長，投入大，目前，普教學(xué)校 涉及應(yīng)用集成方面的比較少。2 xxx中學(xué)網(wǎng)絡(luò)需求分析2.1 XXXXX中學(xué)網(wǎng)絡(luò)現(xiàn)狀網(wǎng)絡(luò)部分采用二層架構(gòu)，學(xué)校網(wǎng)絡(luò)機房交換機全部采用旁掛的傻瓜接入交換機，目前網(wǎng)絡(luò)無可視化網(wǎng)絡(luò)管理能力。核心機房交換機和辦公機房交換機通過光貓收發(fā)設(shè)備連接?，F(xiàn)場勘察了解到，核心設(shè)備由于接口受限制，無法進行擴容。學(xué)校的無線為電信建設(shè)，采用室分部署模式，信號覆蓋強，但并發(fā)用戶多的時候體驗差。且不能進行實名認證，不能滿足學(xué)?，F(xiàn)今網(wǎng)絡(luò)需求。由于帶寬岀口有限，網(wǎng)絡(luò)岀口設(shè)備沒有進行流量控制和審計，校園內(nèi)老師網(wǎng)絡(luò)

8、體驗差。2.3.1 需求不間斷的基礎(chǔ)網(wǎng)絡(luò)平臺穩(wěn)固的硬件平臺是整個學(xué)校信息化建設(shè)的基礎(chǔ)，猶其大數(shù)建設(shè)的地基，決定了學(xué)校未來信息化建設(shè)的檔次。XXXX）中學(xué)屬于XX市重點師范小學(xué)，必須具備5-10年的前瞻先進性硬件支撐平臺需要實現(xiàn)7x24x365持續(xù)不間斷運行。232需求易管理的網(wǎng)絡(luò)運維許多中小學(xué)數(shù)字化校園網(wǎng)絡(luò)的現(xiàn)狀是，學(xué)校的設(shè)備多，系統(tǒng)多，問題多，人員少；設(shè)備多， 包括交換機，防火墻，路由器等；系統(tǒng)多，包括0A系統(tǒng)、郵件、課程管理系統(tǒng)、多媒體錄播系統(tǒng)等。一般只有1-2個信息技術(shù)老師進行相關(guān)的管理維護工作，如何保障學(xué)校信息化的應(yīng)用穩(wěn)定運行呢？實際上，業(yè)務(wù)支撐平臺的運維和管理需要解決三個方面的問題。

9、當(dāng)領(lǐng)導(dǎo)或兄弟單位進行參觀時，能可視化的展示學(xué)校信息化的成果。實時了解信息化建設(shè)的現(xiàn)狀，為學(xué)校升級改造提供支撐幫忙快速定位故障，解決日常管理維護問題。IT信息系統(tǒng)發(fā)揮的價值很大程度上取決到日常運維。但IT系統(tǒng)是涉及硬件、 業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫、中間件、機房等眾多因素，眾多品牌的信息系統(tǒng)，極為復(fù)雜。同時實驗學(xué)校管理老師人員 較少，配套采取服務(wù)外包模式，然而外包人員的服務(wù)水平參差不齊，服務(wù)質(zhì)量難以保障，面向未 來，學(xué)校在信息化運維方面將面臨較大壓力。因此，學(xué)校需要建設(shè)良好的網(wǎng)絡(luò)系統(tǒng)綜合管理平臺，實現(xiàn)IT運維信息化，使IT系統(tǒng)穩(wěn)定、可靠、安全的運行，運維工作步入一個有序的、規(guī)范的層次，使IT系統(tǒng)更好的為業(yè)

10、務(wù)系統(tǒng)提供服務(wù)，從而提高整體運行效率，提升運行服務(wù)水平和檔次。233 需求安全報障如何滿足公安、上級部門的安全檢查要求？學(xué)校的門戶網(wǎng)站、資源系統(tǒng)被掛馬或被篡改？接入不可控，安全隱患怎么解決？安全不是孤立的，如何形成整體安全體系？業(yè)務(wù)支撐平臺的安全部分主要是打造“全方位的立體安全保障體系”，為學(xué)校信息化保駕護航！2.3.4 需求統(tǒng)一身份認證有線、無線、VPN等網(wǎng)絡(luò)設(shè)備的接入用戶分散，公共認證平臺主要提供統(tǒng)一的身份認證平臺。2.3.5 需求單點登錄、統(tǒng)一信息門戶隨著學(xué)校信息化建設(shè)不斷完善，學(xué)校將會擁有各種各樣的應(yīng)用系統(tǒng)，各類業(yè)務(wù)還會不斷建設(shè)和規(guī)劃。用戶必須記住多個用戶的用戶名和密碼，以及不同業(yè)務(wù)系

11、統(tǒng)的URL鏈接，造成了諸多不便。因此，建議學(xué)校建立統(tǒng)一門戶平臺，同時提供了一站式單點登錄功能，即通過用戶的一次性鑒別登錄，可獲得需訪問系統(tǒng)和應(yīng)用軟件的授權(quán)，實現(xiàn)“一次登錄、隨處訪問/全網(wǎng)漫游”；從而提高用戶的工作效率，提升用戶滿意度。3 XXXX）中學(xué)數(shù)字校園建設(shè)設(shè)計3.1 數(shù)字校園整體架構(gòu)結(jié)合XXXX校園網(wǎng)建設(shè)經(jīng)驗和教育信息化的專家分析，通過大量的調(diào)研，提岀數(shù)字化校園3+N+1整體架構(gòu)，3表示3個平臺，基礎(chǔ)設(shè)施平臺、應(yīng)用支撐平臺、公共認證平臺，1指的是通過單點登錄實現(xiàn)1個統(tǒng)一門戶，N指的是重點中小學(xué)的 N個業(yè)務(wù)系統(tǒng)。如下圖：應(yīng)閆.喉更mN個業(yè)爵s介基礎(chǔ)數(shù)宅化枚園安全保陰怵系蜩中心11和1行為

12、ar計基妣設(shè)施翠臺數(shù)字化校園建設(shè)的核心是教育信息化業(yè)務(wù)系統(tǒng)的建設(shè)，業(yè)務(wù)系統(tǒng)向下由三個平臺進行支撐保障，向上形成單點登錄、統(tǒng)一門戶，為學(xué)生、教師、領(lǐng)導(dǎo)、家長、公眾等提供服務(wù)?；A(chǔ)設(shè)施平臺，包括軟件、硬件、PC服務(wù)器、有線、無線等基礎(chǔ)設(shè)施平臺的建設(shè)。應(yīng)用支撐平臺包括數(shù)字化校園的整體安全考慮、整個信息化業(yè)務(wù)的運維管理等。公共平臺主要包括統(tǒng)一的身份認證平臺、權(quán)限管理系統(tǒng)等平臺的建設(shè)。統(tǒng)一門戶是整個數(shù)字校園的訪問入口點，給用戶提供個性化的使用界面，用戶進入門戶后，除了可以看到公共信息外，只能看到與其身份相關(guān)的各項服務(wù)，成為用戶的個性化網(wǎng)絡(luò)門戶。N個業(yè)務(wù)應(yīng)用系統(tǒng)，是指用于學(xué)校教學(xué)、科研、管理、服務(wù)的各種應(yīng)

13、用系統(tǒng)，用于解決各類用戶對信息管理和信息服務(wù)的需求，是信息化建設(shè)的主要內(nèi)容。數(shù)字化校園更好的支撐學(xué)校信息化的應(yīng)用，還需要做好“數(shù)據(jù)信息標準”及“運行管理保障體系”兩個方面，運行保障包括組織機構(gòu)、 人員培訓(xùn)、管理規(guī)范等，信息標準包括技術(shù)標準 （應(yīng) 用開發(fā)）、數(shù)據(jù)結(jié)構(gòu)標準、信息化評估體系等。3.2 XXXXX中學(xué)改造網(wǎng)絡(luò)拓撲十托光琬：百兆網(wǎng)線，認務(wù)身證雅則務(wù)學(xué)站旌 實驗樓時雨樓星耀教學(xué)樓尚徳樓數(shù)字化校園整體架構(gòu)中,XXXX涉及到基礎(chǔ)網(wǎng)絡(luò)平臺、公共認證平臺、運維支撐平臺及單點 登陸統(tǒng)一信息門戶的建設(shè)，具體如下:、基礎(chǔ)網(wǎng)絡(luò)平臺包括有線、無線、核心平臺、網(wǎng)絡(luò)出口等基礎(chǔ)網(wǎng)絡(luò)建設(shè)。二、公共認證平臺由兩個核心

14、組件支撐，SMP身份認證軟件，無線控制器自帶Portal認證頁面。通過有線、無線等各種不同方式的統(tǒng)一實名接入，實現(xiàn)網(wǎng)絡(luò)層的實名認證、實名訪問權(quán)限控制、實名流控和審計等?？紤]到實際應(yīng)用和學(xué)校自身網(wǎng)絡(luò)現(xiàn)狀，此次數(shù)字話校園網(wǎng)絡(luò)建設(shè)主要體現(xiàn)在主干網(wǎng)和計算機 教室的建設(shè)。4 XXXX）中學(xué)數(shù)字校園網(wǎng)絡(luò)解決方案4.1 核心網(wǎng)絡(luò)設(shè)計4.1.1 核心網(wǎng)建設(shè)核心交換平區(qū)部署兩臺基于十萬兆平臺設(shè)計的核心交換機，考慮到預(yù)算問題，此次只部署一臺核心，并配置有雙引擎和雙電源模塊，放置單點故障。設(shè)備本身支持業(yè)界先進的虛擬化技術(shù)VSU虛擬化技術(shù)，之后網(wǎng)絡(luò)規(guī)模擴大的時候可以實現(xiàn)雙機虛擬化熱備， 提高網(wǎng)絡(luò)高可用和高穩(wěn)定性。并且

15、設(shè)備本身支持擴展槽，支持校區(qū)擴建和網(wǎng)絡(luò)擴容。虛擬化采用VSU虛擬云交換技術(shù)，將兩臺物理核心交換機虛擬為一臺邏輯上統(tǒng)一的設(shè)備，使其能夠?qū)崿F(xiàn)統(tǒng)一的運行， 從而達到減小網(wǎng)絡(luò)規(guī)模，同時極大提高網(wǎng)絡(luò)穩(wěn)定健壯性，控制故障恢復(fù)時間VSU虛擬云交換特性磚統(tǒng)的期軸撲用示息圖鞘埋視同vsusras用示寒劇（邏箱趕妙使用VSU后，兩臺核心設(shè)備邏輯上變成一臺。從而簡化了網(wǎng)絡(luò)拓撲。網(wǎng)絡(luò)中不再需要生成樹、VRRP等復(fù)雜的協(xié)議，大大降低配置維護工作量。接入交換機上聯(lián)等同于雙鏈路連接到一臺核心上，實現(xiàn)跨設(shè)備鏈路聚合。即使一臺核心或上聯(lián)鏈路中斷，也可實現(xiàn)快速切換。切換時間控制在50ms以內(nèi)，相當(dāng)于普通數(shù)據(jù)包轉(zhuǎn)發(fā)的時延這，不會對

16、業(yè)務(wù)流暢運行產(chǎn)生任何影響。硬件無單點故障XXXX核心骨干交換機 RG-S8600系列均在設(shè)備本身的重要部件上進行了無故障設(shè)計。0故障無源背板設(shè)訂雙路電源 負載呦衡供電雙引擎尅備悅?cè)哂郔 宀6風(fēng)扇冗余設(shè)計對機箱的左*右、中三 部分進行散拯同時上卜曲兩旦対備份主要體現(xiàn)在:雙管理引擎冗余熱備 雙路電源，負載均衡供電 6風(fēng)扇冗余設(shè)計，互為備份零故障無源背板設(shè)計操作系統(tǒng)模塊化通用操作系統(tǒng)RGOS自2000年開發(fā)至今，已成為XXXX全線交換路由產(chǎn)品統(tǒng)一的系統(tǒng)平臺理丟VOP平書叫軍皆業(yè)賢直用RGOS系統(tǒng)期絡(luò)功能松塊諂堆術(shù)15oSfi 丹佛燃轉(zhuǎn)引罩RGOS模塊化操作系統(tǒng)POUX 可MB脈尋航保n內(nèi)狠蹄1IP咄

17、姬技1| icpflbp皤由平臺MFL拜臺f組|平會| WAN協(xié)議word資料RGOS莫塊化操作系統(tǒng)設(shè)計原理圖這是一種模塊化軟件平臺（對軟件系統(tǒng)進行劃分之后，將不同的系統(tǒng)任務(wù)分割成一些很少交互的可管理子集）系統(tǒng)內(nèi)核通過 POSIX連接各功能模塊。各功能模塊獨立，故障隔離，提升新功能開發(fā) 測試效率和系統(tǒng)穩(wěn)定性。RGOS系統(tǒng)內(nèi)核通過POSIX接口連接硬件抽象層，擴展支持多種網(wǎng)絡(luò)產(chǎn)品，如交換機、 路由器、岀口設(shè)備等。通過RGOS的開放性設(shè)計，可以整合多種產(chǎn)品資源，加速產(chǎn)品與技術(shù)發(fā)展。利用多種網(wǎng)絡(luò)產(chǎn)品組網(wǎng)形成基于RGOS勺智能、融合的IP網(wǎng)絡(luò)。引擎切換無中斷RG-S7800系列交換機支持 UISS無中

18、斷引擎切換技術(shù)， 保證主從管理板的切換在1秒間實現(xiàn),同時在切換過程中，各主機線卡可以繼續(xù)轉(zhuǎn)發(fā)原有的數(shù)據(jù)流，不影響網(wǎng)絡(luò)業(yè)務(wù)的正常透明運行， 實現(xiàn)管理板的平滑切換，極大地保證了核心的可靠性和網(wǎng)絡(luò)可用性。*具體切換過程及實現(xiàn)F；俺:K您恬空I訶也1、切換前狀態(tài)信息同步CMEACZKUF2、主引擎出現(xiàn)故障時，數(shù)據(jù)不間斷轉(zhuǎn)發(fā)3、備份引擎啟動，故障引擎重啟動，備份引擎下發(fā)FIB表更新，待故障引擎重啟完畢后,新的主弓|擎將狀態(tài)信息同步到重啟后的引擎，此時完成切換。智能狀態(tài)信息同沿昔憐信息IPv4Zy6數(shù)據(jù)丕間斷轉(zhuǎn)發(fā)UISS熱備份設(shè)計可以保證 RG-S7800系列交換機主從管理板的切換在 1秒間實現(xiàn)，同時在切

19、 換過程中，各主機線卡可以繼續(xù)轉(zhuǎn)發(fā)原有的數(shù)據(jù)流，不影響網(wǎng)絡(luò)業(yè)務(wù)的正常透明運行， 實現(xiàn)管理板的平滑切換，極大地保證了 XXXX設(shè)備的可靠性和網(wǎng)絡(luò)可用性。硬件自動保護目前眾多的網(wǎng)絡(luò)病毒都是通過對網(wǎng)絡(luò)設(shè)備的CPU上進行特定協(xié)議的攻擊，利用偽造的數(shù)據(jù)包瞄準具體協(xié)議，向網(wǎng)絡(luò)設(shè)備發(fā)動攻擊。方案中的交換機通過硬件的方式對發(fā)往控制平面的數(shù)據(jù)進行分類，把不同的協(xié)議數(shù)據(jù)歸類到不同的隊列然后對不同的隊列進行限速，專門對路由弓I擎進行保護，阻擋外界的DOS攻擊。而且并不影響轉(zhuǎn)發(fā)速度，所以CPP能夠在不影響性能的前提下，靈活且有力的防止攻擊，而且保證了即使有大規(guī)模攻擊數(shù)據(jù)發(fā)往CPU的時候依然可以在交換機內(nèi)部對數(shù)據(jù)進行區(qū)

20、分對外。CPP提供三種保護方法，來保護 CPU的利用率。第一，可以配置 CPU接受數(shù)據(jù)流的總帶寬，從全局上保護CPU第二，可以設(shè)備 QOS隊列，為每種隊列設(shè)置帶寬。第三，為每種類型的報文設(shè)置最大速率。安全防御本方案全線交換機包括接入、匯聚、核心均可自動檢測常見攻擊行為，并自動下發(fā)相關(guān)策略，第二無需管理員手阻斷網(wǎng)絡(luò)攻擊，恢復(fù)網(wǎng)絡(luò)正常。第一可有效保護網(wǎng)絡(luò)穩(wěn)定性，阻絕各類攻擊，工參于，提高管理效率，降低管理運維難度。安全檢測攻擊交換 自 防御系統(tǒng)-智能安全策略下放NFPP, 基礎(chǔ)冏絡(luò)保護策& 基于屈緒威脅的安仝處白動扯規(guī)并解次妥士攻rfi白動下於策略隔離攻擊基于設(shè)備自身安全的技術(shù)必須基于CPU和端口

21、為主要岀發(fā)點。目前業(yè)界已開發(fā)了一些用于防攻擊的功能模塊(比如：ACL QOS URPF SysGuard、CPP等等)，通過這些功能模塊自行建立 攻擊檢測和保護的機制，并提供對外的管理接口。為了在這個日益重視安全性的環(huán)境中應(yīng)對日益復(fù)雜的攻擊，XXXX開發(fā)岀基礎(chǔ)網(wǎng)絡(luò)保護策略 (Network Foun dation Protection Policy)，簡稱NFPP NFPP技術(shù)能夠?qū)υO(shè)備本身實施保護，通過對報文流進行限制、隔離，以保證設(shè)備及網(wǎng)絡(luò)可靠、安全、有效地運行。NFPP通過接受報文的端口或者對送往CPU的報文進行攻擊檢測，采取相應(yīng)保護措施，從而達到對管理面、數(shù)據(jù)面和控制面的保護作用。4.

22、2 接入設(shè)計接入主要是負責(zé)本校區(qū)內(nèi)的信息點互聯(lián)起來，為各個信息點提供Iayer2層接入功能。特別是學(xué)校網(wǎng)絡(luò)教學(xué)機房和教室的有線信息點。使用千兆接入的全網(wǎng)管交換機，實現(xiàn)千兆用戶到桌面。接入主要完成以下功能：結(jié)合web portal認證系統(tǒng)，部署 802.1.X協(xié)議，實現(xiàn)入網(wǎng)身份認證，也可升級 實現(xiàn)主機健康檢查、網(wǎng)絡(luò)安全事件監(jiān)控與主動防御”。通過VLAN定義實現(xiàn)業(yè)務(wù)劃分。實現(xiàn)QoS對數(shù)據(jù)包進行分類和標記。接入網(wǎng)作為用戶終端接入校園網(wǎng)的唯一接口，在為用戶終端提供高速、方便的網(wǎng)絡(luò)接入服務(wù)的同時，需要對用戶終端進行入網(wǎng)認證、訪問行為規(guī)范控制， 從而拒絕非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理使用網(wǎng)絡(luò)資源，并有

23、效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊。當(dāng)前的數(shù)據(jù)網(wǎng)安全正遭受嚴峻挑戰(zhàn)，病毒、外部入侵（黑客）、拒絕服務(wù)攻擊、內(nèi)部的誤用和濫用，以及各種災(zāi)難事故的發(fā)生，時刻威脅著網(wǎng)絡(luò)的業(yè)務(wù)運轉(zhuǎn)和信息安 全。但與此同時，大多數(shù)正在使用的網(wǎng)絡(luò)安全系統(tǒng)都缺乏真正的全局防護能力。當(dāng)網(wǎng)絡(luò)受到來自各方面的攻擊時，整個網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性將無從談起，可以看出，計算機網(wǎng)絡(luò)的安全防護能力是影響網(wǎng)絡(luò)系統(tǒng)穩(wěn)定可靠性的重要因素之一，網(wǎng)絡(luò)設(shè)備作為網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)平臺，其安全防護能力顯得尤為重要，尤其是接入層交換機。4.3 學(xué)校網(wǎng)絡(luò)出口設(shè)計4.3.1 出口智能流控審計XXXXRG-EG200系列網(wǎng)關(guān)產(chǎn)品是適用于多個行業(yè)的業(yè)務(wù)加速類網(wǎng)關(guān)產(chǎn)品。設(shè)備配以高

24、性能的MIPS多核硬件體系架構(gòu)，擁有業(yè)務(wù)加速通道、精準流控、上網(wǎng)行為管理、可視化VPN、智能選路、防火墻、高性能的 NAT Web認證等多個功能。憑借著豐富的功能，RG-EG系列能夠極有效的優(yōu)化用戶網(wǎng)絡(luò)，規(guī)范上網(wǎng)行為，全方位的加速關(guān)鍵業(yè)務(wù)開展，提高業(yè)務(wù)系統(tǒng)使用體驗。RG-EG系列設(shè)備的產(chǎn)品特性和價值：業(yè)務(wù)加速通道一一成倍提高關(guān)鍵業(yè)務(wù)訪問速度，提升業(yè)務(wù)系統(tǒng)使用體驗RG-EG2000系列網(wǎng)關(guān)支持業(yè)務(wù)加速通道功能，可以通過傳輸數(shù)據(jù)壓縮、傳輸數(shù)據(jù)去重、低質(zhì) 線路優(yōu)化、TCP協(xié)議棧優(yōu)化、多線路捆綁等多個互聯(lián)網(wǎng)加速技術(shù)，有效解決遠程訪問總部業(yè)務(wù)系 統(tǒng)慢的問題，達到成倍提升業(yè)務(wù)系統(tǒng)訪問速度的效果，使得業(yè)務(wù)系

25、統(tǒng)可以真正的開展起來。精準流控保障關(guān)鍵業(yè)務(wù)帶寬，業(yè)務(wù)開展通順流暢RG-EG2000系列網(wǎng)關(guān)，可以實現(xiàn)對網(wǎng)絡(luò)帶寬資源的全面管控，讓帶寬空閑時隨意使用、帶寬緊張時按需分配， 保障關(guān)鍵業(yè)務(wù)的順暢開展。RG-EG2000系列網(wǎng)關(guān)能精準識別 P2P應(yīng)用、流媒體、企業(yè)辦公系統(tǒng)等 30大類、1500多種應(yīng)用特征，可實現(xiàn)更加精細合理的進行帶寬管理。上網(wǎng)行為管理一一規(guī)范上網(wǎng)行為，提高工作效率RG-EG2000系列網(wǎng)關(guān)對內(nèi)網(wǎng)用戶的上網(wǎng)行為進行精細化管理。屏蔽各種與工作無關(guān)的網(wǎng)站， 營造良好工作氛圍，提高工作效率；可對聊天工具、郵件、論壇、微博、搜索引擎等提供安全審 計功能，保護內(nèi)網(wǎng)信息安全。可視化VPVPN隧道內(nèi)

26、流量可視可控，業(yè)務(wù)保障無死角RG-EG2000系列網(wǎng)關(guān)將 VPN的配置簡化到了極致， 只需簡單的鼠標操作即可完成配置，無需VPN網(wǎng)絡(luò)，為通專業(yè)人員維護。還可以對VPN隧道內(nèi)的流量進行查看和控制，建立起可視化的 過VPN開展的關(guān)鍵業(yè)務(wù)提供保障。智能選路一一優(yōu)選數(shù)據(jù)傳輸路徑，合理利用多條帶寬資源當(dāng)網(wǎng)絡(luò)擁有多條出口線路時，選路規(guī)劃的不合理會造成上網(wǎng)慢、帶寬資源浪費等問題。RG-EG2000系列網(wǎng)關(guān)提供一整套完善的智能選路體系來解決這些難題。設(shè)備會自動分析多條線路的情況，選擇最優(yōu)線路，避免出現(xiàn)跨運營商訪問、鏈路使用率低等問題，提高上網(wǎng)速度。4.4 無線網(wǎng)設(shè)計4.4.1 無線規(guī)劃全校采用802.11 n

27、技術(shù)由于采用了多種無線技術(shù)，極大地提升了無線接入的帶寬和覆蓋范圍。同環(huán)境下比 802.11a、b/g模式的覆蓋范圍提高了20%。智能無線技術(shù)規(guī)劃：此次使用了業(yè)內(nèi)最領(lǐng)先的第二代智能轉(zhuǎn)發(fā)架構(gòu)，使用智能流分類前置設(shè)計，該架構(gòu)充分利用本地轉(zhuǎn)發(fā)與集中式轉(zhuǎn)發(fā)的優(yōu)勢，實現(xiàn)802.11 n環(huán)境下的高速低延時、高安全轉(zhuǎn)發(fā)：本地轉(zhuǎn)發(fā)類流：時延敏感類數(shù)據(jù)，快速轉(zhuǎn)發(fā)，延遲最低，更適合語音、視頻直播等校園網(wǎng)應(yīng)用；集中轉(zhuǎn)發(fā)類流：安全敏感類數(shù)據(jù)，集中加解密處理，適合學(xué)校OA選課、一卡通等校園網(wǎng)應(yīng)用；網(wǎng)絡(luò)不中斷設(shè)計:無線網(wǎng)絡(luò)中AC控制AP, 旦AC岀現(xiàn)故障AP,或者鏈路岀現(xiàn)問題，AP無法連接到 AC就無法工作，AC成為了整個

28、無線網(wǎng)絡(luò)中的單點故障。“AP智能轉(zhuǎn)換技術(shù)”徹底解決了這個憂慮，將無線網(wǎng)絡(luò)的可用性提升到一個新的高度?！癆P智能轉(zhuǎn)換技術(shù)”的工作模式如下：當(dāng)AC故障時，AP自動切換到“胖” AP的工作模式下，其配置信息為先前的AC下發(fā)的信息；AP按照，先前的配置策略信息繼續(xù)工作，對用戶的業(yè)務(wù)不影響；工作在此狀態(tài)下的 AP,繼續(xù)探測 AC的狀態(tài)，當(dāng)AC恢復(fù)正常，AP和AC恢復(fù)建立正 常連接；AP恢復(fù)到原有的智能瘦 AP的工作模式下。智能探測：AP定時、自動探測 AC的可用狀態(tài)，及時反饋網(wǎng)絡(luò)情況；智能轉(zhuǎn)換：AP自動根據(jù)AC的狀態(tài)，進行“胖”、“瘦”AP工作模式的轉(zhuǎn)換；有線無線統(tǒng)一管理無線校園網(wǎng)大規(guī)模部署， 需要無線

29、AP數(shù)量極大，眾多無線AP分布在校園的各個角落， 如何 管理、監(jiān)控這些無線設(shè)備，及時發(fā)現(xiàn)問題，定位故障。有效的無線管理方式，是建好無線校園必 不可少條件。無線管理系統(tǒng)實現(xiàn)了：無線、有線連接拓撲統(tǒng)一；無線、有線設(shè)備狀態(tài)統(tǒng)一；無線、有線報警信息統(tǒng)一；無線、有線審計信息統(tǒng)一；通過集中式的統(tǒng)一的有線、無線網(wǎng)管系統(tǒng)，可以實現(xiàn)網(wǎng)絡(luò)中有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的統(tǒng)一便捷配置，實現(xiàn)有線無線一體化高效管理。無線管理系統(tǒng)的統(tǒng)一拓撲展示了用戶網(wǎng)絡(luò)中的有線、無線 的設(shè)備鏈接方式和設(shè)備的工作狀態(tài)。有線、無線設(shè)備統(tǒng)一拓撲顯示管理人員可以直觀的查看到，用戶接入無線的狀態(tài)、無線信號覆蓋的情況等。包括信號強度、發(fā)射速率集、RSSI、S

30、SID、使用信道、所在AC設(shè)備、所在AP設(shè)備等，并能查看用戶的漫游情況， 可以隨時了解最終接入用戶的情況，并對其接入行為進行審計。有線無線一體化網(wǎng)管系統(tǒng)，可以極大地減輕無線管理的復(fù)雜程度，做到無線問題及時定位、及時處理。有線無線統(tǒng)一認證無線網(wǎng)絡(luò)是有線網(wǎng)絡(luò)的補充和延續(xù)，無線一定要和有線系統(tǒng)一樣進行認證：統(tǒng)一賬戶管理：有線、無線采用RG-ESS 一套數(shù)據(jù)庫統(tǒng)一認證方式：有線、無線均可使用802.1x、Web統(tǒng)一客戶端：師生使用一套客戶端系統(tǒng)，登錄有線、無線兩個網(wǎng)絡(luò)有線、無線統(tǒng)一認證數(shù)據(jù)庫，避免了用戶有線一套賬號，無線另一套賬號，不能統(tǒng)一認證管 理的問題。用戶采用統(tǒng)一身份，靈活登錄有線、無線兩個網(wǎng)絡(luò)。用戶可以在上選擇用無線網(wǎng)卡，靈活選擇用802.1x方式、Web方式進行無線認證，認證方式的靈活選擇，延續(xù)了用戶的使用習(xí)慣，極大地減少了維護成本；有