1 東莞市XX中學(xué)設(shè)計(jì)方案-111204

1東莞市XX中學(xué)設(shè)計(jì)方案-111204東莞市XX中學(xué)智能化系統(tǒng)-初步設(shè)計(jì)方案PAGE第9頁，共255頁東莞市XX中學(xué)弱電智能化系統(tǒng)初步設(shè)計(jì)方案2024年04月

目錄第1章設(shè)計(jì)概述 71.1工程需求分析 71.2系統(tǒng)設(shè)計(jì)原那么 81.3系統(tǒng)設(shè)計(jì)依據(jù) 9第2章綜合布線系統(tǒng)設(shè)計(jì) 132.1設(shè)計(jì)標(biāo)準(zhǔn)和標(biāo)準(zhǔn) 132.2設(shè)計(jì)原那么 142.3信息點(diǎn)統(tǒng)計(jì)表 182.5各子系統(tǒng)設(shè)計(jì) 192.5.1設(shè)計(jì)說明 192.5.2工作區(qū)子系統(tǒng) 202.5.3水平布線子系統(tǒng) 232.5.4垂直干線子系統(tǒng) 252.5.5管理間子系統(tǒng) 252.5.6設(shè)備間子系統(tǒng) 29第3章網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì) 293.1系統(tǒng)概述 293.2工程需求 303.2.1需求分析 303.2.2工程建設(shè)目標(biāo) 313.3工程方案 313.3.1總體設(shè)計(jì)原那么 313.3.2整體設(shè)計(jì) 343.4網(wǎng)絡(luò)平臺(tái) 393.4.1層次化設(shè)計(jì) 393.4.2IP地址規(guī)劃設(shè)計(jì) 403.5局域網(wǎng)平安設(shè)計(jì) 453.5.1網(wǎng)絡(luò)攻擊 453.5.2網(wǎng)絡(luò)病毒 483.5.3ARP欺騙攻擊原理和防范 513.5.4防IP/MAC地址盜用和ARP中間人攻擊 533.5.5防IP/MAC地址掃描攻擊 553.5.6播送/組播報(bào)文抑制 573.5.7DHCP欺騙攻擊的防范 583.6有線無線一體化網(wǎng)絡(luò)設(shè)計(jì) 603.6.1無線校園網(wǎng)建設(shè)需求 623.6.2一體化無線校園網(wǎng)解決方案 653.6.3VLAN規(guī)劃 723.6.4無線平安性設(shè)計(jì) 723.6.5移動(dòng)漫游設(shè)計(jì) 773.7華為網(wǎng)絡(luò)產(chǎn)品的優(yōu)勢(shì) 783.7.1高可靠性和可維護(hù)性 783.7.2綠色節(jié)能設(shè)計(jì) 793.7.3靈巧的擴(kuò)展能力 803.7.4強(qiáng)大的轉(zhuǎn)發(fā)能力 813.7.5豐富的業(yè)務(wù)能力 813.7.6周密的平安設(shè)計(jì) 823.8華為WLAN解決方案的優(yōu)勢(shì) 82第4章集團(tuán)電話系統(tǒng) 864.1系統(tǒng)概述 864.2系統(tǒng)結(jié)構(gòu)設(shè)計(jì) 884.3程控交換機(jī)選型及功能介紹 884.3.1DK1208-M152型交換機(jī)特點(diǎn) 894.3.2SLP-30數(shù)字專用話機(jī)功能介紹 103第5章數(shù)字高清視頻監(jiān)控系統(tǒng) 1055.1綜述 1055.2視頻監(jiān)控?cái)?shù)字化高清的趨勢(shì) 1055.3數(shù)字化高清介紹 1065.4校園視頻監(jiān)控需求分析 1085.5建設(shè)要求 1105.6視頻監(jiān)控系統(tǒng)整體設(shè)計(jì)方案 1105.6.1方案優(yōu)勢(shì) 1105.6.2設(shè)計(jì)目標(biāo) 1115.6.3設(shè)計(jì)原那么 1125.6.4設(shè)計(jì)依據(jù) 1155.6.5系統(tǒng)結(jié)構(gòu)及組成 1175.6.6系統(tǒng)主要功能 1225.7系統(tǒng)業(yè)務(wù)優(yōu)勢(shì) 1265.8存儲(chǔ)系統(tǒng) 1275.8.1系統(tǒng)設(shè)計(jì)總要求 1275.8.2設(shè)計(jì)原那么 1285.8.3存儲(chǔ)需求計(jì)算 1305.9管理平臺(tái)設(shè)計(jì) 1325.9.1總體設(shè)計(jì) 1325.9.2平臺(tái)架構(gòu)設(shè)計(jì) 1325.10監(jiān)控中心建設(shè) 1335.10.1UPS技術(shù)參數(shù) 1345.11主要設(shè)備選型及技術(shù)參數(shù) 139第6章公共播送系統(tǒng) 1626.1校園播送系統(tǒng)設(shè)計(jì)依據(jù) 1626.1校園播送系統(tǒng)設(shè)計(jì)思想 1636.3校園播送系統(tǒng)設(shè)計(jì)方案 1666.3.1用戶需求 1666.3.2校園播送示意圖 1686.3.3校園播送系統(tǒng)功能說明 1686.3.4校園播送系統(tǒng)設(shè)備說明 175第7章有線電視系統(tǒng) 2057.1系統(tǒng)概述 2057.2有線電視點(diǎn)布置 2067.3有線電視結(jié)構(gòu)設(shè)計(jì) 2067.4有線電視系統(tǒng)設(shè)備 206第8章多媒體教室系統(tǒng) 2118.1多媒體教室系統(tǒng)設(shè)計(jì)需求 2118.1.1多媒體教室系統(tǒng) 2118.1.2電教平臺(tái)功能設(shè)計(jì) 2128.1.3系統(tǒng)運(yùn)行目標(biāo) 2138.2錄播系統(tǒng) 2158.2.1概述 2158.2.2設(shè)計(jì)目標(biāo) 2158.2.3錄播系統(tǒng)需求 2188.2.4錄播系統(tǒng)解決的問題 2228.2.5平臺(tái)特點(diǎn) 2238.2.6錄播設(shè)備說明 227第9章電腦教室系統(tǒng) 2329.1概述 2329.2設(shè)計(jì)簡(jiǎn)要 2329.3建設(shè)內(nèi)容 2339.4系統(tǒng)設(shè)備說明 233第10章機(jī)房系統(tǒng)設(shè)計(jì) 23410.1概述 23410.2機(jī)房系統(tǒng) 23510.2.1氣體〔配電〕間及辦公區(qū)隔斷 23610.2.2設(shè)備間彩鋼板屏蔽 23610.2.3地面工程 23710.2.4天花及照明工程 23810.2.5防火門工程〔設(shè)備間、配電間〕 23910.2.6機(jī)房門禁 24010.2.7機(jī)房空調(diào) 24010.2.8機(jī)房設(shè)備間新風(fēng)系統(tǒng) 24510.2.9設(shè)備間氣體消防 24610.2.10機(jī)房防雷工程 24710.2.11機(jī)房配電 24810.2.12機(jī)房UPS不間斷電源 24910.2.13機(jī)房環(huán)境監(jiān)控系統(tǒng) 250第1章設(shè)計(jì)概述1.1工程需求分析隨著我國(guó)教育系統(tǒng)的不斷改革，對(duì)提高教學(xué)、管理水平的要求日益迫切，學(xué)校教育必須走向信息化、數(shù)字化、網(wǎng)絡(luò)化，因此校園智能化設(shè)計(jì)非常重要。作為學(xué)校這樣一個(gè)特殊的單位，他的智能化設(shè)計(jì)不同于一般的辦公樓及居民樓建筑，而是有著其特殊的需求及設(shè)計(jì)特點(diǎn)。具體如下：提供先進(jìn)的數(shù)字化系統(tǒng)及工具。如：計(jì)算機(jī)多媒體教學(xué)、網(wǎng)絡(luò)教學(xué)、播送系統(tǒng)、電子閱覽室等。提供先進(jìn)的教學(xué)管理方式。如：學(xué)校辦公網(wǎng)絡(luò)、多媒體教學(xué)課室、電腦課室等。提供先進(jìn)的校園平安保障。如：數(shù)字化監(jiān)控系統(tǒng)。根據(jù)東莞中學(xué)XX中學(xué)的要求，本次校園智能化系統(tǒng)考慮9個(gè)系統(tǒng)的建設(shè)：綜合布線系統(tǒng)；計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)；電話程控交換機(jī)系統(tǒng)；視頻監(jiān)控系統(tǒng)；公共播送系統(tǒng)有線電視系統(tǒng)；多媒體教室；電腦教學(xué)教室；機(jī)房系統(tǒng)。1.2系統(tǒng)設(shè)計(jì)原那么本工程所采用的系統(tǒng)以及系統(tǒng)的構(gòu)成應(yīng)符合以下原那么：可靠性：系統(tǒng)具備在正常條件下實(shí)現(xiàn)系統(tǒng)設(shè)計(jì)的所有功能和性能的能力。具備24小時(shí)不間斷工作的能力。實(shí)用性：系統(tǒng)應(yīng)符合國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)與規(guī)定，便于管理，易于操作和維護(hù)。先進(jìn)性：在滿足可靠性和實(shí)用性前提下，系統(tǒng)是目前信息化建設(shè)中最先進(jìn)的系統(tǒng)，符合計(jì)算機(jī)和網(wǎng)絡(luò)通信技術(shù)的最新開展潮流，并且是應(yīng)用成熟、先進(jìn)的技術(shù)，為石龍鎮(zhèn)勞動(dòng)就業(yè)效勞中心的良好運(yùn)作創(chuàng)造穩(wěn)定、先進(jìn)的條件。協(xié)調(diào)性：本智能化系統(tǒng)工程涉及多個(gè)子系統(tǒng)，各子系統(tǒng)設(shè)備功能有交叉，系統(tǒng)是各子系統(tǒng)的有機(jī)統(tǒng)一，各功能模塊之間的配合應(yīng)該實(shí)現(xiàn)整個(gè)智能化系統(tǒng)的技術(shù)協(xié)調(diào)。開放性：系統(tǒng)遵循開放性原那么。系統(tǒng)提供符合國(guó)際標(biāo)準(zhǔn)的軟件、硬件、通信、網(wǎng)絡(luò)操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)等諸方面的接口與工具，使系統(tǒng)具備良好的兼容性、擴(kuò)展性和可移植性。經(jīng)濟(jì)性：系統(tǒng)應(yīng)滿足性能價(jià)格比在國(guó)內(nèi)同類系統(tǒng)和條件下為最優(yōu)，其經(jīng)濟(jì)性應(yīng)包括系統(tǒng)集成所需的有關(guān)軟硬件等開發(fā)費(fèi)用、技術(shù)效勞、培訓(xùn)以及系統(tǒng)投入使用后的低能耗運(yùn)行，減少物業(yè)管理人員，節(jié)約管理費(fèi)用。1.3系統(tǒng)設(shè)計(jì)依據(jù)在XX中學(xué)智能化系統(tǒng)設(shè)計(jì)中，遵循以下標(biāo)準(zhǔn)和標(biāo)準(zhǔn)：?智能建筑設(shè)計(jì)標(biāo)準(zhǔn)?〔GB/T50314-2024〕；?建筑設(shè)計(jì)防火標(biāo)準(zhǔn)?(GB50016-2024)；?自動(dòng)噴水滅火系統(tǒng)設(shè)計(jì)標(biāo)準(zhǔn)?(GB50084-2001)(2024年版)；〔GBJ63-90〕；?電力裝置的繼電保護(hù)和自動(dòng)裝置設(shè)計(jì)標(biāo)準(zhǔn)?〔GB50062-92〕；?建筑物電子信息系統(tǒng)防雷技術(shù)標(biāo)準(zhǔn)?〔GB50343-2024〕；?低壓配電設(shè)計(jì)標(biāo)準(zhǔn)?〔GB50054－95〕；?建筑物防雷設(shè)計(jì)標(biāo)準(zhǔn)〔GBJ50057-94〕?(2000年版)；?電子計(jì)算機(jī)機(jī)房設(shè)計(jì)標(biāo)準(zhǔn)?〔GB50174-93〕；?電子計(jì)算機(jī)場(chǎng)地通用標(biāo)準(zhǔn)?〔GB/T2887-2000〕；?計(jì)算機(jī)場(chǎng)地平安要求?〔GB9361-88〕；?計(jì)算機(jī)軟件可靠性和可維護(hù)性管理?〔GB/T14394-93〕；?計(jì)算機(jī)機(jī)房用活動(dòng)地板技術(shù)條件?〔GB6650-86〕；?防靜電活動(dòng)地板通用標(biāo)準(zhǔn)?〔SJ/T10796-2001〕；?電子計(jì)算機(jī)機(jī)房施工及驗(yàn)收標(biāo)準(zhǔn)?(SJ/T30003-93)；?綜合布線系統(tǒng)工程設(shè)計(jì)標(biāo)準(zhǔn)?〔GB50311-2024〕；?綜合交換機(jī)技術(shù)標(biāo)準(zhǔn)?〔YD/T1123-2001〕；?以太網(wǎng)交換機(jī)技術(shù)要求?〔YD/T1099-2024〕；?具有路由功能的以太網(wǎng)交換機(jī)技術(shù)要求?(YD/T1255-2024)；?以太網(wǎng)交換機(jī)設(shè)備平安技術(shù)要求?(YD/T1627-2024)；?具有路由功能的以太網(wǎng)交換機(jī)設(shè)備平安技術(shù)要求?(YD/T1629-2024)；?計(jì)算機(jī)軟件配置管理方案規(guī)劃?〔GB/T12504-90〕；?入侵報(bào)警系統(tǒng)工程設(shè)計(jì)標(biāo)準(zhǔn)?〔GB50394-2024〕；?會(huì)議電視系統(tǒng)工程設(shè)計(jì)標(biāo)準(zhǔn)?〔YD/T5032-2024〕；甲方提供的建筑設(shè)計(jì)圖紙。以下各章節(jié)，具體介紹各個(gè)子系統(tǒng)的詳細(xì)設(shè)計(jì)：第2章綜合布線系統(tǒng)設(shè)計(jì)2.1設(shè)計(jì)標(biāo)準(zhǔn)和標(biāo)準(zhǔn)本次設(shè)計(jì)滿足以下標(biāo)準(zhǔn)和標(biāo)準(zhǔn)：－ISO11801國(guó)際建筑通用布線標(biāo)準(zhǔn)－ANSI/TIA/EIA568B北美商用建筑電信布線標(biāo)準(zhǔn)－ANSI/EIA/TIA-569北美電信走道和空間的商用建筑標(biāo)準(zhǔn)－ANSI/EIA/TIA－606北美商用建筑物電信設(shè)備的管理標(biāo)準(zhǔn)－ANSI/EIA/TIATSB－75北美商用建筑物電信設(shè)備的管理標(biāo)準(zhǔn)－ANSIFDDI100Mbps北美光纖數(shù)據(jù)接口高速局域網(wǎng)標(biāo)準(zhǔn)－ATM155Mbps/622.5Mbps異步傳輸模式標(biāo)準(zhǔn)－RS232、X.21、RS422異步、同時(shí)傳輸標(biāo)準(zhǔn)－YD/T926-2001中華人民共和國(guó)通信行業(yè)標(biāo)準(zhǔn)－GB/T50314-2000智能建筑設(shè)計(jì)標(biāo)準(zhǔn)－GB/T50311-2000建筑與建筑群綜合布線系統(tǒng)工程設(shè)計(jì)標(biāo)準(zhǔn)－GB/T50312-20002.2設(shè)計(jì)原那么綜合布線同傳統(tǒng)的布線相比擬，有著許多優(yōu)越性，是傳統(tǒng)布線所無法比及的。其特點(diǎn)主要表現(xiàn)為它的兼容性、開放性、靈巧性、可靠性、先進(jìn)性和經(jīng)濟(jì)性。而且在設(shè)計(jì)、施工和維護(hù)方面也給人們帶來了許多方便。兼容性：綜合布線的首要特點(diǎn)是它的兼容性。所謂兼容性，是指它自身是完全獨(dú)立的而與應(yīng)用系統(tǒng)相對(duì)無關(guān)，可以適用于多種應(yīng)用系統(tǒng)。綜合布線將語音、數(shù)據(jù)與監(jiān)控設(shè)備的信號(hào)線經(jīng)過統(tǒng)一規(guī)劃和設(shè)計(jì)，采用相同的傳輸介質(zhì)、信息插座、交連設(shè)備、適配器等，把這些不同信號(hào)綜合到一套標(biāo)準(zhǔn)的布線中。由此可見，這個(gè)布線比傳統(tǒng)布線大為簡(jiǎn)化，節(jié)省大量的物資、時(shí)間和空間。開放性：該系統(tǒng)采用開放式體系結(jié)構(gòu)，符合多種國(guó)際上現(xiàn)行的標(biāo)準(zhǔn)，它幾乎對(duì)所有著名廠商的產(chǎn)品都是開放的，并支持所有通信協(xié)議。靈巧性：該系統(tǒng)采用標(biāo)準(zhǔn)的傳輸線纜和相關(guān)連接硬件，模塊化設(shè)計(jì)，所有通道都是通用的，而且每條通道可支持終端、以太網(wǎng)工作站。所有設(shè)備的開通及更改均不需改變布線線路，組網(wǎng)也可靈巧多變?？煽啃裕涸撓到y(tǒng)采用高品質(zhì)的材料和組合壓接的方式構(gòu)成一套高標(biāo)準(zhǔn)的信息傳輸通道，所有線纜和相關(guān)連接件均通過ISO認(rèn)證，每條通道都要采用專用儀器測(cè)試鏈路阻抗及衰減率，以保證其電氣性能。應(yīng)用系統(tǒng)全部采用點(diǎn)到點(diǎn)端接，任何一條鏈路故障均不影響其它鏈路的運(yùn)行，從而保證了整體系統(tǒng)的可靠運(yùn)行。先進(jìn)性：該系統(tǒng)采用光纖和雙絞線混合布線方式，極為合理地構(gòu)成一套完整的布線。所有布線均采用世界上最新通信標(biāo)準(zhǔn)，鏈路均按8芯雙絞線配置。數(shù)據(jù)及語音從配電間到桌面均采用六類非屏蔽雙絞線，數(shù)據(jù)傳輸率可到達(dá)1Gbps。干線語音局部采用電纜，數(shù)據(jù)局部采用光纜，為同時(shí)傳輸多路實(shí)時(shí)多媒體信息等傳輸提供足夠的裕量。經(jīng)濟(jì)性：雖然綜合布線初期投資比擬高，但由于綜合布線將原來相互獨(dú)立、互不兼容的假設(shè)干種布線集中成為一套完整的布線體系，統(tǒng)一設(shè)計(jì)，統(tǒng)一施工，統(tǒng)一管理。這樣可省去大量的重復(fù)勞動(dòng)和設(shè)備占用，使布線周期大大縮短。另外，綜合布線系統(tǒng)使用簡(jiǎn)單、方便，維護(hù)費(fèi)用低，可以滿足三維多媒體的傳輸和用戶對(duì)ISDN、ATM的需求?？梢娋C合布線系統(tǒng)具有很高的性能價(jià)格比。

2.3總體布線結(jié)構(gòu)設(shè)計(jì)綜合布線結(jié)構(gòu)如以下圖：設(shè)計(jì)說明：整個(gè)綜合布線系統(tǒng)按照六類非屏蔽系統(tǒng)設(shè)計(jì)，采用TIA568-B連線標(biāo)準(zhǔn)；整個(gè)系統(tǒng)分為五個(gè)子系統(tǒng)：工作區(qū)子系統(tǒng)、水平子系統(tǒng)、設(shè)備間子系統(tǒng)、管理子系統(tǒng)、垂直主干子系統(tǒng)；主設(shè)備間設(shè)在中心計(jì)算機(jī)房，從各主設(shè)備間各敷設(shè)光纖和大對(duì)樓電纜作為級(jí)聯(lián)主干連接至其管理的各層樓的通訊間配線架；各配線間配置標(biāo)準(zhǔn)19〞通信機(jī)柜，網(wǎng)絡(luò)主交換設(shè)備安裝于機(jī)柜中，配線系統(tǒng)也安裝于機(jī)柜中；數(shù)據(jù)信息點(diǎn)采用模塊化的RJ45插座組成，語音采用RJ11的插座組成；數(shù)據(jù)信息點(diǎn)采用六類布線標(biāo)準(zhǔn)的六類四對(duì)非屏蔽雙絞線〔UTP〕作為水平干線子系統(tǒng)的布線連接到各辦公區(qū)域的信息點(diǎn)，語音采用六類四對(duì)非屏蔽雙絞線〔UTP〕的布線標(biāo)準(zhǔn)。2.3信息點(diǎn)統(tǒng)計(jì)表整個(gè)校區(qū)的綜合布線系統(tǒng)包括，教學(xué)樓、綜合樓、體藝樓、教師宿舍、學(xué)生宿舍的綜合布線系統(tǒng)。包括辦公室、課室、宿舍的信息點(diǎn)接入，信息點(diǎn)的具體分布與數(shù)量情況如下表：序樓號(hào)樓層網(wǎng)絡(luò)數(shù)據(jù)點(diǎn)語音數(shù)據(jù)點(diǎn)11/2#教學(xué)樓一層202二層282三層282四層282五層302小計(jì)：1341023/4#教學(xué)樓一層222二層221三層282四層282五層282小計(jì)：12893綜合樓一層142二層3312三層3014四層4918五層71小計(jì)：133474體藝館一層21二層226三層226四層226五層11小計(jì)：69205教師宿舍一層00二層180三層180四層180五層180六層180小計(jì)：9006學(xué)生宿舍一層00二層00三層00四層00五層00六層00小計(jì)：007室外008合計(jì)：554862.5各子系統(tǒng)設(shè)計(jì)2.5.1設(shè)計(jì)說明數(shù)據(jù)骨干采用光纖，語音主干采用三類大對(duì)數(shù)線；數(shù)據(jù)水平布線采用六類非屏蔽線纜布線，滿足中心傳輸網(wǎng)絡(luò)的需求；語音水平布線采用六類非屏蔽線纜敷設(shè)。系統(tǒng)可滿足骨干萬兆、終端千兆速率、語音端口可靈巧互換配置的需求。本方案分為五大子系統(tǒng)，分別為工作區(qū)子系統(tǒng)、水平子系統(tǒng)、垂直干線子系統(tǒng)、管理間子系統(tǒng)、以及設(shè)備間子系統(tǒng)，為四級(jí)星型拓?fù)浣Y(jié)構(gòu)。具體分述如下：2.5.2工作區(qū)子系統(tǒng)工作區(qū)子系統(tǒng)是指信息端口以外的空間，但通常習(xí)慣將電信插座列入工作區(qū)子系統(tǒng)。本次布線網(wǎng)絡(luò)信息系統(tǒng)采用D-Link六類非屏蔽系統(tǒng)設(shè)備，示意圖如下。面板本工程的面板全部采用高強(qiáng)度防火型材料，符合UL94V-0標(biāo)準(zhǔn)要求，國(guó)際規(guī)格86mm*86mm,面板正面配有防塵彈簧門用以保護(hù)模塊、遮蔽灰塵污特進(jìn)入。

RJ45模塊(1)簡(jiǎn)要說明：六類RJ45插座模塊是依據(jù)國(guó)際標(biāo)準(zhǔn)ISO/IEC11801、TIA/EIA568設(shè)計(jì)制造的性能優(yōu)異的UTP電纜用8線式插座模塊。專利設(shè)計(jì)的全金屬化簧片結(jié)構(gòu)，無印制板，確保長(zhǎng)期使用的可靠性。模塊化設(shè)計(jì)，免接線工具，使用靈巧方便。(2)技術(shù)說明：●IDC：簧片接觸針部位鍍金50μ(inch)，連接線徑0.5mm，卡接可重復(fù)次數(shù)>200次●接觸電阻(不包括體電阻)：正常大氣壓條件下接觸電阻≤2.5mΩ●絕緣電阻：正常大氣壓條件下絕緣電阻≥1000MΩ●抗電強(qiáng)度：DC1000V(AV700V)1分鐘無擊穿和飛弧現(xiàn)象●壽命：插頭插座可重復(fù)插拔次數(shù)≥750次●材料：PC●顏色：白色●技術(shù)質(zhì)量標(biāo)準(zhǔn)：ISO/IEC11801本工程6數(shù)據(jù)模塊：554，J11語音模塊：86個(gè)；信息點(diǎn)的安裝方式分為墻面安裝和地面安裝2種方式，墻面安裝采用“86〞標(biāo)準(zhǔn)底盒，地面安裝采購彈簧式地插安裝。2.5.3水平布線子系統(tǒng)水平布線子系統(tǒng)分配線間水平配線架至工作區(qū)端口〔插座〕的連接線纜。本工程信息點(diǎn)連接電纜選擇D-Link六類4對(duì)非屏蔽雙絞線。六類4對(duì)UTP電纜性能D-Link六類非屏蔽4對(duì)線纜是滿足綜合布線系統(tǒng)設(shè)計(jì)要求的高速、高性能電纜。外皮采用低煙無鹵PVC材料，使用平安。符合并超過國(guó)際ISO/IEC11801和美國(guó)ANSI/TIA/EIA-568A/B、歐洲CENELECEN50173的相關(guān)標(biāo)準(zhǔn)，符合UL認(rèn)證要求。具有優(yōu)異的傳輸性能，全面支持所有話音通訊系統(tǒng)、10Base-T、16Mbps、100Base-T、155Mbps和622MbpsATM、1000Mbps、多媒體等方面的高速應(yīng)用。六類非屏蔽雙絞線相比傳統(tǒng)的優(yōu)點(diǎn)：與五類的非屏蔽線纜相比，六類非屏蔽雙絞線的各項(xiàng)參數(shù)都有大幅提高，帶寬也擴(kuò)展更高。六類雙絞線在外形上和結(jié)構(gòu)上與五類或超五類雙絞線都有一定的差異，不僅增加了絕緣的十字骨架，將雙絞線的四對(duì)線分別置于十字骨架的四個(gè)凹槽內(nèi)，而且電纜的直徑也更粗。編輯本段電纜中的使用。電纜中央的十字骨架隨長(zhǎng)度的變化而旋轉(zhuǎn)角度，將四對(duì)雙絞線卡在骨架的凹槽內(nèi)，保持四對(duì)雙絞線的相對(duì)位置，提高電纜的平衡特性和串?dāng)_衰減。另外，保證在安裝過程中電纜的平衡結(jié)構(gòu)不遭到破壞。

2.5.4垂直干線子系統(tǒng)垂直主干子系統(tǒng)是用來實(shí)現(xiàn)計(jì)算機(jī)設(shè)備、控制中心與各管理子系統(tǒng)間的連接，常用介質(zhì)是光纜。管理子系統(tǒng)涉及各樓層的信息點(diǎn)的配線管理，設(shè)計(jì)中充分考慮到本大樓今后綜合業(yè)務(wù)的開展，因此在管理子系統(tǒng)設(shè)有垂直主干的光纖配線箱、機(jī)架式跳線架。根據(jù)系統(tǒng)的需要，將敷設(shè)12芯多模光纖與設(shè)備間連接作為數(shù)據(jù)主干。語音主干用三類50/25對(duì)大對(duì)數(shù)線纜。信息中心設(shè)立在綜合樓四層網(wǎng)絡(luò)中心機(jī)房，作為通訊的總出入口，通過光纖與大對(duì)數(shù)線纜連接到各樓層進(jìn)行匯總，并實(shí)現(xiàn)統(tǒng)一的控制與管理。2.5.5管理間子系統(tǒng)管理子系統(tǒng)由交連、互連配線架組成。管理點(diǎn)為連接其它子系統(tǒng)提供連接手段。交連和互連允許將通訊線路定位或重定位到建筑物的不同局部，以便能更容易地管理通信線路。使在移動(dòng)終端設(shè)備時(shí)能方便地進(jìn)行插拔。跳線式管理方式是綜合布線系統(tǒng)產(chǎn)品的結(jié)構(gòu)化、模塊化和使用的靈巧性、可調(diào)整性的充分表達(dá)。當(dāng)設(shè)備布置出現(xiàn)變化時(shí)，不必大動(dòng)干戈，僅需將相關(guān)跳線作出改動(dòng)即可。也能對(duì)其它系統(tǒng)的構(gòu)成、連接進(jìn)行任意的調(diào)整和分配。光纜采用光纖配線架進(jìn)行管理，選用體積小、安裝簡(jiǎn)便、便于維護(hù)的機(jī)架式配線架。同時(shí)考慮到綜合布線系統(tǒng)建成后的通用性和靈巧性。配線架的配線管理采用表格對(duì)應(yīng)方式，根據(jù)大樓各信息點(diǎn)的層次、單元/區(qū)域，記錄下布線的通路、線纜終結(jié)的位置、所用部件或材料的說明，并對(duì)布線通路、信息插座、接地電纜加上永久性標(biāo)志，以方便維護(hù)人員識(shí)別和管理。本工程在相應(yīng)位置設(shè)置配線間，配線間設(shè)置19英寸標(biāo)準(zhǔn)的機(jī)柜,用于終接線纜及放置設(shè)備。六類24口配線架綜合布線系統(tǒng)設(shè)計(jì)要求的高速，高性能配線架。鞏固的和易于安裝的設(shè)計(jì)，減少安裝和操作的費(fèi)用。彩色色序標(biāo)記，便于導(dǎo)線的插入，減少錯(cuò)誤。跳線RJ45-110鴨嘴跳線是滿足綜合布線系統(tǒng)設(shè)計(jì)要求的高速、高性能、阻燃室內(nèi)跳線。線纜由多股銅導(dǎo)線構(gòu)成，外皮采用高密度阻燃聚氯乙烯材料，使用平安。110-110鴨嘴跳線符合國(guó)際ISO/IEC11801和美國(guó)ANSI/TIA/EIA-568A/B、歐洲CENELECEN50173的相關(guān)標(biāo)準(zhǔn)，符合UL認(rèn)證要求。六類網(wǎng)絡(luò)跳線由標(biāo)準(zhǔn)的軟跳線電纜〔多股線〕和連接硬件制成，所有的跳線符合T568A和T568B線序，具有高抗電磁干擾性，使傳輸信號(hào)的誤碼率降至最低。滿足六類傳輸標(biāo)準(zhǔn)，用于設(shè)備間或水平子系統(tǒng)的端接，為通訊設(shè)備，配線架實(shí)現(xiàn)快速互聯(lián)。注：跳線的計(jì)算方法根本上根據(jù)信息點(diǎn)數(shù)計(jì)算，每個(gè)信息點(diǎn)包括機(jī)柜端1條，用戶端1條。110型100對(duì)語音配線架110型高頻接線模塊是依據(jù)國(guó)際標(biāo)準(zhǔn)ISO/IEC11801、TIA/EIA-TSB-40設(shè)計(jì)制造的UTP電纜用高頻接線模塊，每個(gè)容量100、200、300回線不等。2.5.6設(shè)備間子系統(tǒng)設(shè)備間子系統(tǒng)主要指計(jì)算機(jī)系統(tǒng)，網(wǎng)絡(luò)互聯(lián)設(shè)備，弱電控制設(shè)備等，即主要指系統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)中為各類信息提供信息管理傳輸效勞的各種設(shè)備及設(shè)備的連接線所組成。設(shè)備間子系統(tǒng)由主配線架以及跳線組成，它將中心計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備或弱電主控制設(shè)備的輸出線與干線子系統(tǒng)相連接，構(gòu)成系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)的重要環(huán)節(jié)；同時(shí)通過配線架的跳線控制所有總配線架的路由。第3章網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)3.1系統(tǒng)概述信息技術(shù)是當(dāng)今最活潑，開展最迅速，影響最廣泛，滲透力最強(qiáng)的科學(xué)技術(shù)領(lǐng)域之一。信息化是一場(chǎng)深刻的革命，在社會(huì)許多領(lǐng)域?qū)鹘y(tǒng)的生產(chǎn)、生活和思維方式產(chǎn)生著巨大沖擊，并促進(jìn)著經(jīng)濟(jì)和社會(huì)的快速和均衡開展。隨著全球經(jīng)濟(jì)一體化步伐的加快，信息化水平已成為衡量一個(gè)國(guó)家和地區(qū)的國(guó)際競(jìng)爭(zhēng)力、現(xiàn)代化程度、綜合國(guó)力和經(jīng)濟(jì)成長(zhǎng)能力的重要標(biāo)志，是促進(jìn)社會(huì)生產(chǎn)力開展的重要因素。世界各國(guó)對(duì)信息化的開展已給予了前所未有的關(guān)注。

教育信息化的開展，帶來了教育形式和學(xué)習(xí)方式的重大變革，對(duì)傳統(tǒng)的教育思想、觀念、模式、內(nèi)容和方法產(chǎn)生了巨大沖擊。教育信息化是國(guó)家信息化的重要組成局部，對(duì)于轉(zhuǎn)變教育思想和觀念，深化教育改革，提高教育質(zhì)量和效益，培養(yǎng)創(chuàng)新人才具有深遠(yuǎn)意義，是實(shí)現(xiàn)教育跨越式開展的必然選擇。3.2工程需求3.2.1需求分析本次XX中學(xué)網(wǎng)絡(luò)建設(shè)包括該中學(xué)的綜合樓、教學(xué)樓、體藝館、教師宿舍、食堂、體育場(chǎng)主席臺(tái)，學(xué)校有近600個(gè)信息點(diǎn)，要求實(shí)現(xiàn)有線、無線一體化的網(wǎng)絡(luò)系統(tǒng)，并且要求保障有線、無線接入的平安。3.2.2工程建設(shè)目標(biāo)通過本次建設(shè)，實(shí)現(xiàn)XX中學(xué)網(wǎng)絡(luò)統(tǒng)一，實(shí)現(xiàn)近600個(gè)信息點(diǎn)接入的能力，到達(dá)教育信息化的程度。3.3工程方案3.3.1總體設(shè)計(jì)原那么早期的高校校園網(wǎng)主要是共用內(nèi)部教育系統(tǒng)主機(jī)資源，共享簡(jiǎn)單數(shù)據(jù)庫，多以二層交換為主，很少有三層應(yīng)用，存在平安、可管理性較差、無業(yè)務(wù)增值能力等方面的問題?，F(xiàn)在XX中學(xué)網(wǎng)絡(luò)建設(shè)要實(shí)現(xiàn)內(nèi)部全方位的數(shù)據(jù)共享，應(yīng)用三層交換，提供全面的QoS保障效勞，使網(wǎng)絡(luò)平安可靠，從而實(shí)現(xiàn)教育管理、多媒體教學(xué)自動(dòng)化，而且還要通過Internet實(shí)現(xiàn)遠(yuǎn)程教學(xué)，提供可增值可管理的業(yè)務(wù)，必須具備高性能、高平安性、高可靠性，可管理、可增值特性以及開放性、兼容性、可擴(kuò)展性?；趯?duì)XX中學(xué)業(yè)務(wù)需求的深入理解，結(jié)合自身產(chǎn)品和技術(shù)特點(diǎn)，華為公司推出了了完善的校園教育網(wǎng)絡(luò)建設(shè)的解決方案，為XX中學(xué)提供“高擴(kuò)展、多業(yè)務(wù)、高平安〞的精品網(wǎng)絡(luò)。結(jié)合學(xué)校校園網(wǎng)的實(shí)際應(yīng)用和開展要求，在進(jìn)行網(wǎng)絡(luò)系統(tǒng)建設(shè)時(shí)，應(yīng)遵循以下原那么：〔1〕實(shí)用性原那么對(duì)學(xué)校校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)建設(shè)將以滿足現(xiàn)行需求為根底，在節(jié)省投資的同時(shí)，充分考慮開展的需要來確定系統(tǒng)規(guī)模?！?〕平安性原那么學(xué)校校園網(wǎng)網(wǎng)絡(luò)平臺(tái)效勞于教育系統(tǒng)的運(yùn)行需要，對(duì)平安級(jí)別要求很高。由于連接學(xué)校內(nèi)所有用戶，平安管理十分重要。系統(tǒng)應(yīng)能提供網(wǎng)絡(luò)層的平安手段防止系統(tǒng)外部成員的非法侵入以及操作人員的越級(jí)操作?！?〕穩(wěn)定可靠性原那么只有運(yùn)行穩(wěn)定的網(wǎng)絡(luò)才是可靠的網(wǎng)絡(luò)，而網(wǎng)絡(luò)設(shè)備的穩(wěn)定可靠運(yùn)行取決于諸多因素，如網(wǎng)絡(luò)的設(shè)計(jì)、產(chǎn)品的可靠性等。因此系統(tǒng)設(shè)計(jì)能有效的防止單點(diǎn)失敗，在設(shè)備的選擇和關(guān)鍵設(shè)備的互聯(lián)時(shí)，應(yīng)提供充分的冗余備份，一方面最大限度地減少故障的可能性，另一方面要保證網(wǎng)絡(luò)能在最短時(shí)間內(nèi)修復(fù)?！?〕成熟和先進(jìn)性原那么學(xué)校校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)設(shè)計(jì)、系統(tǒng)配置、系統(tǒng)管理方式等方面應(yīng)采用國(guó)際上先進(jìn)的同時(shí)又是成熟、實(shí)用的技術(shù)。〔5〕標(biāo)準(zhǔn)性原那么系統(tǒng)設(shè)計(jì)所采用的技術(shù)和設(shè)備應(yīng)符合國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)和業(yè)界標(biāo)準(zhǔn)，為系統(tǒng)的擴(kuò)展升級(jí)、與其他系統(tǒng)的互聯(lián)提供良好的根底?！?〕系統(tǒng)兼容性好為了保證與原有系統(tǒng)和設(shè)備的互聯(lián)互通和正常的運(yùn)行，設(shè)備應(yīng)具有很好的兼容性，采用標(biāo)準(zhǔn)技術(shù)進(jìn)行組網(wǎng)，可以保證工程組網(wǎng)的無縫兼容，包括物理連接、生成樹協(xié)議、路由互通以及用戶認(rèn)證系統(tǒng)等?！?〕可擴(kuò)充和擴(kuò)展化原那么系統(tǒng)要有可擴(kuò)展性和可升級(jí)性，隨著業(yè)務(wù)的增長(zhǎng)和應(yīng)用水平的提高，網(wǎng)絡(luò)中的數(shù)據(jù)和信息流將按指數(shù)增長(zhǎng)，本次網(wǎng)絡(luò)建議采用層次化的結(jié)構(gòu)設(shè)計(jì)，采用的會(huì)聚需要網(wǎng)絡(luò)有很好的可擴(kuò)展性，并能隨著技術(shù)的開展不斷升級(jí)，保證建設(shè)完成后的系統(tǒng)在向新的技術(shù)升級(jí)時(shí)，能保護(hù)現(xiàn)有的投資。〔8〕可管理性原那么考慮到當(dāng)前學(xué)校的信息技術(shù)專業(yè)人才數(shù)量很少，網(wǎng)絡(luò)建設(shè)維護(hù)、信息資源開發(fā)能力相對(duì)較弱，因此整個(gè)系統(tǒng)的設(shè)備應(yīng)易于管理，易于維護(hù)，易學(xué)，易用，便于進(jìn)行系統(tǒng)配置，在設(shè)備、平安性、數(shù)據(jù)流量、性能等方面很好的監(jiān)視和控制，遠(yuǎn)程管理和故障診斷。3.3.2整體設(shè)計(jì)1)拓樸結(jié)構(gòu)XX中學(xué)教育信息化解決方案總體設(shè)計(jì)以高性能、高可靠性、高平安性、有線無線一體化和統(tǒng)一的網(wǎng)管系統(tǒng)為原那么，以及考慮到技術(shù)的先進(jìn)性、成熟性，并采用模塊化的設(shè)計(jì)方法，組網(wǎng)圖如下所示：2)拓樸說明如下圖，整個(gè)校園網(wǎng)設(shè)計(jì)包含互聯(lián)網(wǎng)出口區(qū)域、局域網(wǎng)交換區(qū)域、數(shù)據(jù)中心區(qū)域和智能管理中心等主要局部，下面將分別加以介紹。1、互聯(lián)網(wǎng)出口區(qū)域互聯(lián)網(wǎng)出口區(qū)域除了要將學(xué)校局域網(wǎng)和互聯(lián)網(wǎng)、教育網(wǎng)進(jìn)行連接的根本功能之外，還要肩負(fù)起防御網(wǎng)絡(luò)攻擊、過濾掉網(wǎng)絡(luò)有害數(shù)據(jù)、有害網(wǎng)站等任務(wù)。因此，在互聯(lián)網(wǎng)出口我們部署了以下設(shè)備：高性能防火墻〔支持IPS等功能〕、上網(wǎng)行為管理設(shè)備出口防火墻我們采用天融信NGFW4000-UFTG-41406防火墻，部署在出口，完成信息網(wǎng)絡(luò)的第一道平安防線，可以有效實(shí)現(xiàn)對(duì)DoS/DDoS攻擊、ARP欺騙攻擊、TCP報(bào)文標(biāo)志位不合法攻擊、超大ICMP報(bào)文攻擊、地址/端口掃描、ICMP重定向或不可達(dá)攻擊、Tracert攻擊、帶路由記錄選項(xiàng)IP報(bào)文、Java/ActiveXBlocking和SQL注入攻擊等威脅的防范。并采用天融信上網(wǎng)行為管理網(wǎng)關(guān)，以到達(dá)對(duì)校園網(wǎng)絡(luò)出口數(shù)據(jù)及上網(wǎng)行為的管理。2、局域網(wǎng)交換區(qū)域考慮到XX中學(xué)有線網(wǎng)絡(luò)將要承載的實(shí)時(shí)視頻教案以及同時(shí)課堂等應(yīng)用，我們把局域網(wǎng)交換模塊分為核心層、會(huì)聚層和接入層，接入層千兆到會(huì)聚，會(huì)聚層萬兆到核心，各個(gè)層功能清楚：核心層是整個(gè)網(wǎng)絡(luò)關(guān)鍵所在所在，它直接決定了整個(gè)網(wǎng)絡(luò)的性能、網(wǎng)絡(luò)可靠性以及所能承載的業(yè)務(wù)；會(huì)聚層是接入層的會(huì)聚，實(shí)現(xiàn)會(huì)聚區(qū)域內(nèi)的三層數(shù)據(jù)交換，緩解核心設(shè)備的壓力；接入層完成千兆到桌面的用戶接入。XX中學(xué)信息化網(wǎng)絡(luò)系統(tǒng)的核心交換機(jī)將承當(dāng)起整個(gè)信息化網(wǎng)絡(luò)的數(shù)據(jù)交換，完成學(xué)校幾百用戶所產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)流量，所以核心設(shè)備必須具有先進(jìn)性，能夠在今后很長(zhǎng)的一段時(shí)間內(nèi)對(duì)新技術(shù)、新應(yīng)用提供支撐能力。因此，我們選用2臺(tái)華為公司的S7706數(shù)據(jù)中心級(jí)核心交換機(jī)作為XX中學(xué)信息化網(wǎng)絡(luò)的核心交換機(jī)。2臺(tái)S7706通過高速堆疊模塊互為冗余，增強(qiáng)了核心交換機(jī)的可靠性和穩(wěn)定性。學(xué)校下面的教學(xué)樓和綜合樓的數(shù)據(jù)中心及網(wǎng)管中心采用華為S5700-28X-LI-AC智能萬兆交換機(jī)做為各樓的會(huì)聚交換機(jī)，核心交換機(jī)與會(huì)聚交換機(jī)之間采用萬兆光纖連接，保障了網(wǎng)絡(luò)的高帶寬；S5700-28X-LI-AC是華為公司自主開發(fā)的全萬兆三層以太網(wǎng)交換機(jī)，廣泛應(yīng)用于企業(yè)網(wǎng)、園區(qū)網(wǎng)和校園網(wǎng)的會(huì)聚層。提供靈巧的全萬兆以太網(wǎng)端口的接入密度、豐富的業(yè)務(wù)特性、統(tǒng)一的集群配置，為用戶提供高性能、低本錢、可網(wǎng)管的解決方案，是萬兆會(huì)聚的理想選擇。接入層交換機(jī)我們采用華為S5700-28P-LI-AC主機(jī)，該主機(jī)是華為公司推出的新一代綠色節(jié)能的以太網(wǎng)智能千兆接入交換機(jī)。它基于新一代交換技術(shù)和華為VRP?〔VersatileRoutingPlatform〕軟件平臺(tái)，針對(duì)客戶的各種應(yīng)用場(chǎng)景，提供簡(jiǎn)單便利的安裝維護(hù)手段，同時(shí)融合了靈巧的VLAN部署、完備的平安和QoS控制策略、綠色環(huán)保等先進(jìn)技術(shù)，可滿足以太網(wǎng)多業(yè)務(wù)承載和接入需要，助力用戶搭建面向未來的IT網(wǎng)絡(luò)。為了實(shí)現(xiàn)無線系統(tǒng)解決方案，我們采用華為的無線AC6605-26-PWR和AP6010DN-AGN對(duì)學(xué)校進(jìn)行無線覆蓋。華為無線AC可以像擴(kuò)展和管理傳統(tǒng)有線網(wǎng)絡(luò)一樣，對(duì)無線網(wǎng)絡(luò)進(jìn)行擴(kuò)展和管理，無線控制器最多可以接入640個(gè)AP，支持2萬個(gè)無線客戶端設(shè)備。在AP上啟用802.1x的平安認(rèn)證功能。通過用戶名和密碼認(rèn)證后，方可接入網(wǎng)絡(luò)系統(tǒng)。3、智能管理中心一個(gè)好的網(wǎng)絡(luò)不僅有好的網(wǎng)絡(luò)設(shè)備，也要求要有好的網(wǎng)絡(luò)管理軟件，就XX中學(xué)的網(wǎng)絡(luò)情況來看，網(wǎng)絡(luò)管理軟件不僅要求能夠?qū)τ芯€和無線網(wǎng)絡(luò)設(shè)備進(jìn)行一體化管理、對(duì)網(wǎng)絡(luò)資源進(jìn)行管理、能夠?qū)W(wǎng)絡(luò)流量進(jìn)行分析和優(yōu)化、能夠有詳細(xì)的報(bào)表分析報(bào)告。因此我們選用華為公司的E-sight智能管理中心做為整個(gè)校園網(wǎng)的管理平臺(tái)，該平臺(tái)不僅可以對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行WEB管理，還可以通過增加組件的形式對(duì)無線資源管理等多種全方位的資源管理，并部署一套認(rèn)證效勞器，如RADIUS認(rèn)證系統(tǒng)等，對(duì)無線接入用戶要求用戶名和密碼的認(rèn)證接入。3.4網(wǎng)絡(luò)平臺(tái)3.4.1層次化設(shè)計(jì)在XX中學(xué)校園網(wǎng)絡(luò)整體設(shè)計(jì)中，我們采用層次化、模塊化的網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu)，并嚴(yán)格定義各層功能模型，不同層次關(guān)注不同的特性配置。典型的校園園區(qū)網(wǎng)絡(luò)結(jié)構(gòu)可以分成三層：接入層、會(huì)聚層、核心層。1)接入層：提供網(wǎng)絡(luò)的第一級(jí)接入功能，完成簡(jiǎn)單的交換，平安、Qos都位于這一層。對(duì)于校園園區(qū)網(wǎng)的接入層設(shè)備，建議采用千兆接入的方式，應(yīng)該具有線速交換、高級(jí)QoS策略等功能。2)會(huì)聚層：會(huì)聚來自配線間的流量和執(zhí)行策略，當(dāng)路由協(xié)議應(yīng)用于這一層時(shí)，具有負(fù)載均衡、快速收斂和易于擴(kuò)展等特點(diǎn)，這一層還可作為接入設(shè)備的第一跳網(wǎng)關(guān)，能夠承載校園網(wǎng)絡(luò)融合業(yè)務(wù)的需求。3)核心層：網(wǎng)絡(luò)的骨干，必須能夠提供高速數(shù)據(jù)交換和路由快速收斂，要求具有較高的可靠性、穩(wěn)定性和易擴(kuò)展性等。對(duì)于XX中學(xué)校園網(wǎng)核心層，應(yīng)該在提供大容量、高性能L2/L3交換效勞根底上，能夠進(jìn)一步融合了硬件IPv6，可為校園園區(qū)構(gòu)建融合業(yè)務(wù)的根底網(wǎng)絡(luò)平臺(tái)，進(jìn)而幫助用戶實(shí)現(xiàn)IT資源整合的需求。3.4.2IP地址規(guī)劃設(shè)計(jì)IPv4地址規(guī)劃IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，大型計(jì)算機(jī)網(wǎng)絡(luò)必須對(duì)ＩＰ地址進(jìn)行統(tǒng)一規(guī)劃并得到實(shí)施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步開展。IP地址規(guī)劃必須考慮到XX中學(xué)今后學(xué)校接入的分配和規(guī)劃問題。IP地址分配原那么IP地址空間分配，要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要表達(dá)出網(wǎng)絡(luò)的可擴(kuò)展性和靈巧性，同時(shí)能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由聚類，減少路由器中路由表的長(zhǎng)度，減少對(duì)路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時(shí)還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時(shí)要遵循以下原那么：唯一性：一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址；簡(jiǎn)單性：地址分配應(yīng)簡(jiǎn)單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡(jiǎn)化路由表項(xiàng)；連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率；可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址疊合所需的連續(xù)性；靈巧性：地址分配應(yīng)具有靈巧性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。主流的IP地址規(guī)劃方案分為純公網(wǎng)地址、純私網(wǎng)地址和混合網(wǎng)絡(luò)地址三種；當(dāng)校園網(wǎng)以私網(wǎng)地址分配或采用混合網(wǎng)絡(luò)地址接入時(shí)，要求校園網(wǎng)提供地址變換功能，過濾掉私網(wǎng)地址。IP地址規(guī)劃方案地址編碼標(biāo)準(zhǔn)建議校園網(wǎng)的IP地址進(jìn)行嚴(yán)格的編碼，每位代表不同的含義。其編碼規(guī)那么〔舉例如下〕為：通過地址標(biāo)識(shí)可以清楚地區(qū)分出IP地址地來源，便于路由會(huì)聚和訪問控制。從上表中我們也可以看出，通過我們的規(guī)劃，我們能從IP地址分析出IP地址的來源、用途等，這將為網(wǎng)絡(luò)的維護(hù)帶來方便。具體的IP地址定義將結(jié)合實(shí)際情況確定。中心交換機(jī)支持靜態(tài)或動(dòng)態(tài)的IP地址分配，并支持動(dòng)態(tài)IP地址分配方式下DHCP-Relay功能，DHCPSERVER可安放在園區(qū)內(nèi)部。對(duì)于固定IP地址用戶，需要針對(duì)標(biāo)識(shí)符〔MAC地址〕設(shè)定保存IP地址。IPv6地址規(guī)劃IP地址規(guī)劃主要涉及到網(wǎng)絡(luò)資源的利用的方便有效的管理網(wǎng)絡(luò)的問題，IPv6地址有128位，其中可供分配為網(wǎng)絡(luò)前綴的空間有64bit。按照最新的IPv6RFC3513，IPv6地址分為全球可路由前綴和子網(wǎng)ID兩局部，協(xié)議并沒有明確的規(guī)定全球可路由前綴和子網(wǎng)ID各自占的bit數(shù)，目前APNIC能夠申請(qǐng)到的IPv6地址空間為/32的地址。IPv6的地址使用方式有兩類，一類是普通網(wǎng)絡(luò)申請(qǐng)使用的IP地址，這類地址完全遵從前綴+接口標(biāo)識(shí)符的IP地址表示方法；另外一類就是取消接口標(biāo)識(shí)符的方法，只使用前綴來表示IP地址。IP地址的分配和網(wǎng)絡(luò)組織、路由策略以及網(wǎng)絡(luò)管理等都有密切的關(guān)系，IPv6地址規(guī)劃目前尚沒有主流的規(guī)那么，具體的IP地址分配通常在工程實(shí)施時(shí)統(tǒng)一規(guī)劃實(shí)施，可以遵循一些分配原那么：地址資源應(yīng)全網(wǎng)統(tǒng)一分配地址劃分應(yīng)有層次性，便于網(wǎng)絡(luò)互聯(lián)，簡(jiǎn)化路由表IP地址的規(guī)劃與劃分應(yīng)該考慮到網(wǎng)絡(luò)的開展要求充分合理利用已申請(qǐng)的地址空間，提高地址的利用效率。IP地址規(guī)劃應(yīng)該是網(wǎng)絡(luò)整體規(guī)劃的一局部，即IP地址規(guī)劃要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。IP地址的規(guī)劃應(yīng)盡可能和網(wǎng)絡(luò)層次相對(duì)應(yīng)，應(yīng)該是自頂向下的一種規(guī)劃。CERNET2分配給各個(gè)駐地網(wǎng)用戶的IPv6地址空間會(huì)是一個(gè)或幾個(gè)/48的IPv6地址前綴。我們知道全球可聚集IPv6地址的前綴為64位，后64位為主機(jī)的interfaceid.所以各個(gè)駐地網(wǎng)用戶用于可分配的IPv6地址前綴空間的范圍為/48至/64之間。IPv6的地址分配原那么同IPv4一樣遵循CIDR原那么。IPv6的地址規(guī)劃時(shí)考慮三大類地址：1、公共效勞器地址，如DNS，EMAIL，F(xiàn)TP等。2、網(wǎng)絡(luò)設(shè)備互聯(lián)地址和網(wǎng)絡(luò)設(shè)備的LOOPBACK地址。根據(jù)IETFIPv6工作組的建議IPv6網(wǎng)絡(luò)設(shè)備互聯(lián)地址采用/64的地址塊。IPv6網(wǎng)絡(luò)設(shè)備的LOOPBACK地址采用/128的地址。3、用戶終端的業(yè)務(wù)地址。此外由于目前網(wǎng)絡(luò)設(shè)備的IPv6MIB信息的獲取要求即使是一個(gè)純IPv6網(wǎng)絡(luò)也必須要求每個(gè)網(wǎng)絡(luò)設(shè)備擁有IPv4地址。所以一個(gè)純IPv6網(wǎng)絡(luò)也必須規(guī)劃IPv4地址〔僅需要網(wǎng)絡(luò)設(shè)備互聯(lián)地址和網(wǎng)絡(luò)設(shè)備的LOOPBACK地址〕。3.5局域網(wǎng)平安設(shè)計(jì)3.5.1網(wǎng)絡(luò)攻擊DoS攻擊－SynFloodingSynFlooding是目前常見的一種攻擊類型，它將大大消耗被攻擊設(shè)備的CPU、內(nèi)存資源，從而不能提供正常的效勞。針對(duì)這種攻擊的特點(diǎn)，從攻擊預(yù)防、攻擊定位和消除攻擊三個(gè)方面分析：1、攻擊預(yù)防上，SynFlooding攻擊一般采用源地址偽裝的攻擊方式，可以在網(wǎng)絡(luò)設(shè)備上開啟uRPF功能，在網(wǎng)絡(luò)邊緣將攻擊包過慮掉；2、攻擊定位，在被攻擊設(shè)備的前一跳設(shè)備開始，通過采用Netflow分析工具、ACLLOG或SourceTracker功能，逐跳查找攻擊源。如果攻擊源在本網(wǎng)絡(luò)范圍內(nèi)，那么關(guān)閉其網(wǎng)絡(luò)端口，消除攻擊。3、攻擊消除，在沒有找到攻擊源或無法找到攻擊源〔攻擊源不在本網(wǎng)絡(luò)范圍內(nèi)〕的情況下，可以在被攻擊設(shè)備前的設(shè)備上開啟TCPIntercept功能，由網(wǎng)絡(luò)設(shè)備承載一局部TCP的連接，減緩攻擊對(duì)被攻擊目標(biāo)的影響。根據(jù)上文對(duì)TCPSynFlooding攻擊防御的介紹，可以發(fā)現(xiàn)，攻擊預(yù)防和定位對(duì)TCPSynFlooding攻擊是最重要的。DoS攻擊－Smurf〔ICMPFlooding〕攻擊Smurf攻擊一般采用的是源地址欺騙的方式，偽裝的源地址為被攻擊目標(biāo)。1、攻擊預(yù)防上，Smurf攻擊一般采用源地址偽裝的攻擊方式，可以在網(wǎng)絡(luò)設(shè)備上開啟uRPF功能，在網(wǎng)絡(luò)邊緣將攻擊包過慮掉；2、攻擊定位，在被攻擊設(shè)備的前一跳設(shè)備開始，通過采用Netflow分析工具、ACLLOG或SourceTracker功能，逐跳查找攻擊源。如果攻擊源在本網(wǎng)絡(luò)范圍內(nèi)，那么關(guān)閉其網(wǎng)絡(luò)端口，消除攻擊。3、攻擊消除，在發(fā)生攻擊的網(wǎng)絡(luò)設(shè)備上限制ICMP的流量，減輕Smurf攻擊對(duì)攻擊設(shè)備的影響。由于ICMP是檢測(cè)網(wǎng)絡(luò)連通性的工具，對(duì)ICMP包的過濾不會(huì)對(duì)網(wǎng)絡(luò)應(yīng)用造成影響。DoS攻擊－UDPFlooding局部UDPFlooding攻擊也采用源地址偽裝的方式，因此在預(yù)防上與SynFlooding和Smurf攻擊類似。1、攻擊預(yù)防上，可以在網(wǎng)絡(luò)設(shè)備上開啟uRPF功能，在網(wǎng)絡(luò)邊緣將局部攻擊包過慮掉；2、攻擊定位，在被攻擊設(shè)備的前一跳設(shè)備開始，通過采用Netflow分析工具、ACLLOG或SourceTracker功能，逐跳查找攻擊源。如果攻擊源在本網(wǎng)絡(luò)范圍內(nèi)，那么關(guān)閉其網(wǎng)絡(luò)端口，消除攻擊。3、攻擊消除，在發(fā)生攻擊的網(wǎng)絡(luò)設(shè)備上限制UDP的流量，減輕UDPFlooding攻擊對(duì)攻擊設(shè)備的影響。其他的網(wǎng)絡(luò)攻擊一般只涉及到網(wǎng)絡(luò)信息平安，對(duì)網(wǎng)絡(luò)本身沒有影響，因此在這里不討論。3.5.2網(wǎng)絡(luò)病毒目前對(duì)網(wǎng)絡(luò)造成大規(guī)模影響的網(wǎng)絡(luò)病毒主要有：紅色代碼〔CodeRed〕、MicrosoftSQL病毒、NIMDA病毒、沖擊波病毒等。下面對(duì)這些常見網(wǎng)絡(luò)病毒的防御、消除方法進(jìn)行介紹。紅色代碼病毒紅色代碼病毒是利用了Microsoft中的堆棧漏洞，病毒發(fā)作時(shí)向網(wǎng)絡(luò)發(fā)送大量無用的數(shù)據(jù)包，造成網(wǎng)絡(luò)擁塞影響網(wǎng)絡(luò)性能。1、病毒預(yù)防方面，在網(wǎng)絡(luò)中架設(shè)IDS或Netflow分析工具，當(dāng)病毒發(fā)生時(shí)可以及時(shí)發(fā)現(xiàn)，采取行動(dòng)。2、病毒定位，與定位DoS攻擊類似，查找到病毒源可以有效的鏟除網(wǎng)絡(luò)病毒對(duì)網(wǎng)絡(luò)的影響。采取的方式也與定位DoS攻擊相似，采用Netflow分析工具、ACLLOG或SourceTracker等方法，查找到病毒源。3、消除病毒影響，除查找出病毒源的方法外，可以在網(wǎng)絡(luò)設(shè)備上開啟NBAR功能，判別病毒包，并將其過濾。在紅色代碼中，特征碼為default.ida、cmd.exe、root.exe等，通過NBAR可以將含有這些關(guān)鍵字的數(shù)據(jù)包丟棄，防止病毒繼續(xù)傳播，從而起到消除病毒影響的作用。但真正消除病毒影響需要在PC和主機(jī)端采用殺病毒軟件徹底去除病毒。NIMDA病毒NIMDA病毒是紅色代碼病毒的升級(jí)版，也是利用了Microsoft中的堆棧漏洞，病毒發(fā)作時(shí)向網(wǎng)絡(luò)發(fā)送大量無用的數(shù)據(jù)包，造成網(wǎng)絡(luò)擁塞影響網(wǎng)絡(luò)性能。其預(yù)防、消除方式與紅色代碼病毒相同。MicrosoftSQL病毒SQL病毒是利用SQL的漏洞，病毒發(fā)作時(shí)發(fā)出大量SQL的查詢包，并且很多包是組播類型，這將大大影響二層設(shè)備的性能。SQL病毒的防御比擬容易，只需要將SQL的查詢包過濾掉即可。其特征為UPD數(shù)據(jù)包端口號(hào)為1434。同時(shí)需要定位病毒源，其方法也是通過Netflow分析工具、ACLLOG和SourceTracker等方式。沖擊波病毒沖擊波病毒與以上幾種病毒相似，也是利用Microsoft的漏洞，病毒發(fā)作時(shí)產(chǎn)生大量的ICMP包，其現(xiàn)象類似ICMPFlooding的攻擊。1、病毒預(yù)防方面，在網(wǎng)絡(luò)中架設(shè)IDS或Netflow分析工具，當(dāng)病毒發(fā)生時(shí)可以及時(shí)發(fā)現(xiàn)，采取行動(dòng)。在網(wǎng)絡(luò)中設(shè)置ICMP的速率限制，及時(shí)當(dāng)網(wǎng)絡(luò)中有病毒時(shí)，也不會(huì)對(duì)網(wǎng)絡(luò)造成致命的影響。在網(wǎng)絡(luò)設(shè)備上，阻斷有沖擊波病毒傳播特征的數(shù)據(jù)包，預(yù)防病毒的傳播。其特征為：udp端口號(hào)69、tcp端口號(hào)135、udp端口號(hào)135、udp端口號(hào)137、udp端口號(hào)138、tcp端口號(hào)139、udp端口號(hào)139、tcp端口號(hào)445、tcp端口號(hào)593、tcp端口號(hào)4444。2、病毒定位，采用Netflow分析工具、ACLLOG或SourceTracker等方法，查找到病毒源。3、消除病毒影響，除查找出病毒源的方法外，需要阻斷但真正消除病毒影響需要在PC和主機(jī)端采用殺病毒軟件徹底去除病毒。網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)病毒的預(yù)防與消除需要在網(wǎng)絡(luò)設(shè)備上開啟一些根本功能來預(yù)防，當(dāng)一些病毒發(fā)作時(shí)，需要采用相應(yīng)的應(yīng)對(duì)方式。但網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)病毒種類不斷更新，會(huì)出現(xiàn)各種各樣的新病毒，這就需要韶關(guān)供電局與我們共同快速的響應(yīng)，以最快的速度采用有效的方法將攻擊與病毒的影響限制到最小。 3.5.3ARP欺騙攻擊原理和防范攻擊實(shí)例目前利用ARP原理編制的工具十分簡(jiǎn)單易用，這些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超過30種應(yīng)用的密碼和傳輸內(nèi)容。下面是測(cè)試時(shí)利用工具捕獲的TELNET過程，捕獲內(nèi)容包含了TELNET密碼和全部所傳的內(nèi)容：不僅僅是以上特定應(yīng)用的數(shù)據(jù)，利用中間人攻擊者可將監(jiān)控到數(shù)據(jù)直接發(fā)給SNIFFER等嗅探器，這樣就可以監(jiān)控所有被欺騙用戶的數(shù)據(jù)。還有些人利用ARP原理開發(fā)出網(wǎng)管工具，隨時(shí)可以切斷指定用戶的連接。這些工具極易使網(wǎng)絡(luò)變得不穩(wěn)定，通常這些故障很難排查。防范方法這些攻擊都可以通過動(dòng)態(tài)ARP檢查〔DAI，DynamicARPInspection〕來防止，它可以幫助保證接入交換機(jī)只傳遞“合法的〞的ARP請(qǐng)求和應(yīng)答信息。DHCPSnooping監(jiān)聽綁定表包括IP地址與MAC地址的綁定信息并將其與特定的交換機(jī)端口相關(guān)聯(lián)，動(dòng)態(tài)ARP檢測(cè)〔DAI－DynamicARPInspection〕可以用來檢查所有非信任端口的ARP請(qǐng)求和應(yīng)答(主動(dòng)式ARP和非主動(dòng)式ARP)，確保應(yīng)答來自真正的ARP所有者。Catalyst交換機(jī)通過檢查端口紀(jì)錄的DHCP綁定信息和ARP應(yīng)答的IP地址決定是否真正的ARP所有者，不合法的ARP包將被刪除。DAI配置針對(duì)VLAN，對(duì)于同一VLAN內(nèi)的接口可以開啟DAI也可以關(guān)閉，如果ARP包從一個(gè)可信任的接口接受到，就不需要做任何檢查，如果ARP包在一個(gè)不可信任的接口上接受到，該包就只能在綁定信息被證明合法的情況下才會(huì)被轉(zhuǎn)發(fā)出去。這樣，DHCPSnooping對(duì)于DAI來說也成為必不可少的，DAI是動(dòng)態(tài)使用的，相連的客戶端主機(jī)不需要進(jìn)行任何設(shè)置上的改變。對(duì)于沒有使用DHCP的效勞器個(gè)別機(jī)器可以采用靜態(tài)添加DHCP綁定表或ARPaccess-l3.5.4防IP/MAC地址盜用和ARP中間人攻擊防IP/MAC地址盜用DHCPSnooping技術(shù)是DHCP平安特性，通過建立和維護(hù)DHCPSnooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。DHCPSnooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLAN-ID接口等信息，DHCPSnooping綁定表可以基于DHCP過程動(dòng)態(tài)生成，也可以通過靜態(tài)配置生成，此時(shí)需預(yù)先準(zhǔn)備用戶的IP地址、MAC地址、用戶所屬VLANID、用戶所屬接口等信息。局域網(wǎng)交換機(jī)開啟DHCP-Snooping后，會(huì)對(duì)DHCP報(bào)文進(jìn)行偵聽，并可以從接收到的DHCPRequest或DHCPAck報(bào)文中提取并記錄IP地址和MAC地址信息。另外，DHCP-Snooping允許將某個(gè)物理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCPOffer報(bào)文，而不信任端口會(huì)將接收到的DHCPOffer報(bào)文丟棄。這樣，可以完成交換機(jī)對(duì)假冒DHCPServer的屏蔽作用，確保客戶端從合法的DHCPServer獲取IP地址。防ARP中間人攻擊DynamicARPInspection(DAI)在交換機(jī)上基于DHCPSnooping技術(shù)提供用戶網(wǎng)關(guān)IP地址和MAC地址、VLAN和接入端口的綁定，并動(dòng)態(tài)建立綁定關(guān)系。對(duì)于用戶終端沒有使用DHCP動(dòng)態(tài)獲取IP地址的場(chǎng)景，可采用靜態(tài)添加用戶網(wǎng)關(guān)相關(guān)信息的靜態(tài)綁定表。此時(shí)局域網(wǎng)交換機(jī)檢測(cè)過濾ARP請(qǐng)求響應(yīng)報(bào)文中的源MAC、源IP是否可以匹配上述綁定表，不能匹配那么認(rèn)為是仿冒網(wǎng)關(guān)回應(yīng)的ARP響應(yīng)報(bào)文，予以丟棄，從而可以有效實(shí)現(xiàn)防御ARP中間人/網(wǎng)關(guān)ARP仿冒欺騙攻擊行為。3.5.5防IP/MAC地址掃描攻擊防IP掃描攻擊地址掃描攻擊是攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的目的地址不斷變化的IP報(bào)文。當(dāng)攻擊者掃描網(wǎng)絡(luò)設(shè)備的直連網(wǎng)段時(shí)，觸發(fā)ARPmiss，使網(wǎng)絡(luò)設(shè)備給該網(wǎng)段下的每個(gè)地址發(fā)送ARP報(bào)文，地址不存在的話，還需要發(fā)送目的主機(jī)不可達(dá)報(bào)文。如果直連網(wǎng)段較大，攻擊流量足夠大時(shí)，會(huì)消耗網(wǎng)絡(luò)設(shè)備較多的CPU和內(nèi)存資源，可引起網(wǎng)絡(luò)中斷。局域網(wǎng)交換機(jī)應(yīng)支持IP地址掃描攻擊的防護(hù)能力，收到目的IP是直連網(wǎng)段的報(bào)文時(shí)，如果該目的地址的路由不存在，會(huì)發(fā)送一個(gè)ARP請(qǐng)求報(bào)文，并針對(duì)目的地址下一條丟棄表項(xiàng)〔棄后續(xù)所有目的地址為該直連網(wǎng)段的ARP報(bào)文〕，以防止后續(xù)報(bào)文持續(xù)沖擊CPU。如果有ARP應(yīng)答，那么立即刪除相應(yīng)的丟棄表項(xiàng)，并添加正常的路由表項(xiàng)；否那么，經(jīng)過一段時(shí)間后丟棄表項(xiàng)自動(dòng)老化。這樣，既防止直連網(wǎng)段掃描攻擊對(duì)交換機(jī)造成影響，又保證正常業(yè)務(wù)流程的暢通。在上述根底上，交換機(jī)還應(yīng)支持基于接口設(shè)置ARPmiss的速率。當(dāng)接口上觸發(fā)的ARPmiss超過設(shè)置的閾值時(shí)，接口上的ARPmiss不再處理，直接丟棄。如果用戶使用相同的源IP進(jìn)行地址掃描攻擊，交換機(jī)還可以基于源IP做ARPmiss統(tǒng)計(jì)。如果ARPmiss的速率超過設(shè)定的閾值，那么下發(fā)ACL將帶有此源IP的報(bào)文進(jìn)行丟棄，過一段時(shí)間后再允許通過。防MAC地址掃描攻擊以太網(wǎng)交換機(jī)的MAC地址轉(zhuǎn)發(fā)表作為二層報(bào)文轉(zhuǎn)發(fā)的核心，在受到攻擊的時(shí)候，直接導(dǎo)致交換機(jī)無法正常工作。發(fā)生MAC地址攻擊的時(shí)候，攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的源MAC地址不斷變化以太報(bào)文，局域網(wǎng)交換機(jī)收到以太報(bào)文會(huì)基于報(bào)文的源MAC學(xué)習(xí)填充二層MAC轉(zhuǎn)發(fā)表項(xiàng)，由于MAC地址轉(zhuǎn)發(fā)表的規(guī)格有限，會(huì)因?yàn)镸AC掃描攻擊而很快填充滿，無法再學(xué)習(xí)生成新的MAC轉(zhuǎn)發(fā)表，已學(xué)習(xí)的MAC表?xiàng)l目需通過老化方式刪除，這樣途徑局域網(wǎng)交換機(jī)大量的單播報(bào)文會(huì)因?yàn)榘凑漳康腗AC找不到轉(zhuǎn)發(fā)表項(xiàng)而不得不進(jìn)行播送發(fā)送，導(dǎo)致園區(qū)網(wǎng)絡(luò)中產(chǎn)生大量的二層播送報(bào)文，消耗網(wǎng)絡(luò)帶寬、引發(fā)網(wǎng)絡(luò)業(yè)務(wù)中斷異常。交換機(jī)二層MAC轉(zhuǎn)發(fā)表是全局共享資源，單板內(nèi)各端口/VLAN共享一份MAC轉(zhuǎn)發(fā)表，局域網(wǎng)交換機(jī)支持基于端口/VLAN的MAC學(xué)習(xí)數(shù)目限制，同時(shí)支持MAC表學(xué)習(xí)速率限制，有效防御MAC地址掃描攻擊行為。MAC學(xué)習(xí)數(shù)目到達(dá)端口/VLAN上設(shè)置的閾值時(shí)，會(huì)進(jìn)行丟棄/轉(zhuǎn)發(fā)/告警等動(dòng)作〔動(dòng)作策略可定制、可疊加〕。另外通過局域網(wǎng)交換機(jī)的MAC地址與端口綁定來限制跨端口的MAC掃描攻擊。3.5.6播送/組播報(bào)文抑制攻擊者不停地向局域網(wǎng)發(fā)送大量惡意的播送報(bào)文，惡意播送報(bào)文占據(jù)了大量的帶寬，傳統(tǒng)的播送風(fēng)暴抑制無法識(shí)別用戶VLAN，將導(dǎo)致正常的播送流量一并被交換機(jī)丟棄。局域網(wǎng)交換機(jī)需要識(shí)別惡意播送流量的VLANID，通過基于VLAN的播送風(fēng)暴抑制丟棄惡意播送報(bào)文而不影響正常播送報(bào)文流量轉(zhuǎn)發(fā)?？苫诙丝诨騐LAN限制播送報(bào)文流量百分比或速率閾值。同時(shí)局域網(wǎng)交換機(jī)應(yīng)支持組播報(bào)文抑制，可基于端口限制組播報(bào)文流量百分比或速率閾值。3.5.7DHCP欺騙攻擊的防范采用DHCP管理的常見問題采用DHCPserver可以自動(dòng)為用戶設(shè)置網(wǎng)絡(luò)IP地址、掩碼、網(wǎng)關(guān)、DNS、WINS等網(wǎng)絡(luò)參數(shù)，簡(jiǎn)化了用戶網(wǎng)絡(luò)設(shè)置，提高了管理效率。但在DHCP管理使用上也存在著一些另網(wǎng)管人員比擬問題，常見的有：DHCPserver的冒充。DHCPserver的DOS攻擊。有些用戶隨便指定地址，造成網(wǎng)絡(luò)地址沖突。由于DHCP的運(yùn)作機(jī)制，通常效勞器和客戶端沒有認(rèn)證機(jī)制，如果網(wǎng)絡(luò)上存在多臺(tái)DHCP效勞器將會(huì)給網(wǎng)絡(luò)照成混亂。由于不小心配置了DHCP效勞器引起的網(wǎng)絡(luò)混亂也非常常見。DHCPSnooping技術(shù)概述DHCPSnooping技術(shù)是DHCP平安特性，通過建立和維護(hù)DHCPSnooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。

通過截取一個(gè)虛擬局域網(wǎng)內(nèi)的DHCP信息，交換機(jī)可以在用戶和DHCP效勞器之間擔(dān)任就像小型平安防火墻這樣的角色，“DHCP監(jiān)聽〞功能基于動(dòng)態(tài)地址分配建立了一個(gè)DHCP綁定表，并將該表存貯在交換機(jī)里。在沒有DHCP的環(huán)境中，如數(shù)據(jù)中心，綁定條目可能被靜態(tài)定義，每個(gè)DHCP綁定條目包含客戶端地址〔一個(gè)靜態(tài)地址或者一個(gè)從DHCP效勞器上獲取的地址〕、客戶端MAC地址、端口、VLANID、租借時(shí)間、綁定類型〔靜態(tài)的或者動(dòng)態(tài)的〕。根本防范為了防止這種類型的攻擊，DHCP偵聽〔DHCPSnooping〕功能可有效阻止此類攻擊，當(dāng)翻開此功能，所有用戶端口除非特別設(shè)置，被認(rèn)為不可信任端口，不應(yīng)該作出任何DHCP響應(yīng)，因此欺詐DHCP響應(yīng)包被交換機(jī)阻斷，合法的DHCP效勞器端口或上連端口應(yīng)被設(shè)置為信任端口。DHCP偵聽〔DHCPSnooping〕對(duì)于下邊介紹的其他阻止ARP欺騙和IP/MAC地址的欺騙是必需的。首先定義交換機(jī)上的信任端口和不信任端口，對(duì)于不信任端口的DHCP報(bào)文進(jìn)行截獲和嗅探，DROP掉來自這些端口的非正常DHCP響應(yīng)應(yīng)報(bào)文，如以下圖所示：3.6有線無線一體化網(wǎng)絡(luò)設(shè)計(jì)網(wǎng)絡(luò)的開展極大地推動(dòng)了教育系統(tǒng)的信息化進(jìn)程，各學(xué)校在大力建設(shè)有線網(wǎng)絡(luò)的同時(shí)，也日益關(guān)注無線網(wǎng)絡(luò)在校園的應(yīng)用。同時(shí)，隨著筆記本電腦的普以及無線局域網(wǎng)客戶端適配器產(chǎn)品的價(jià)格逐步降低，更多的老師有能力擁有無線網(wǎng)絡(luò)客戶端產(chǎn)品。校園用戶越來越要求盡可能方便、快速、移動(dòng)式的使用網(wǎng)絡(luò)，無線校園的建設(shè)正駛向快車道。設(shè)想一下，課堂上老師和學(xué)生可通過手持無線設(shè)備進(jìn)行自由溝通和交流；奧運(yùn)會(huì)比賽的時(shí)候，通過無線，全校所有師生可實(shí)時(shí)在校內(nèi)任何地方看到賽事直播。這樣一個(gè)美好的無線校園網(wǎng)的實(shí)現(xiàn)，需要一個(gè)強(qiáng)有力的無線網(wǎng)絡(luò)來支撐，當(dāng)前校園無線的規(guī)模越來越大，從覆蓋范圍看，無線從校園局部覆蓋擴(kuò)展到了整個(gè)校園內(nèi)的覆蓋，從無線AP的數(shù)量看，也從最初的幾個(gè)開展到幾十個(gè)甚至上百個(gè)AP。無線校園的建設(shè)對(duì)系統(tǒng)的平安性、穩(wěn)定性、擴(kuò)展性、管理性等各方面都提出了更高的要求。3.6.1無線校園網(wǎng)建設(shè)需求在無線校園網(wǎng)建設(shè)中，為了解決大規(guī)模部署情況下的統(tǒng)一配置、調(diào)整問題，以及射頻的智能管理問題，現(xiàn)在學(xué)校無線校園建設(shè)普遍都采用了瘦AP建網(wǎng)模式。瘦AP的另一個(gè)好處是實(shí)現(xiàn)了三層漫游環(huán)境下防止重新認(rèn)證，從而使漫游切換時(shí)間小于50ms。這對(duì)于校園移動(dòng)業(yè)務(wù)，尤其是對(duì)切換時(shí)間要求最苛刻的語音業(yè)務(wù)意義重大。然而，隨著無線校園網(wǎng)的開展，一些新的需求也逐漸變得越來越強(qiáng)烈。主要有以下幾個(gè)方面：穩(wěn)定問題：由于WLAN網(wǎng)絡(luò)的組網(wǎng)設(shè)計(jì)包含無線控制器、接入交換機(jī)、無線接入點(diǎn)等大量設(shè)備，在大局部情況下，還需要通過以太網(wǎng)解決供電問題，所有這些環(huán)節(jié)都會(huì)影響校園無線網(wǎng)絡(luò)的穩(wěn)定性；同時(shí)由于無線信號(hào)的傳播深受環(huán)境影響，多徑等問題導(dǎo)致無線信號(hào)在不同方向上存在非常復(fù)雜的衰減現(xiàn)象，實(shí)際的信號(hào)覆蓋和理想的信號(hào)衰減模型往往存在一定差異。所以如何實(shí)時(shí)根據(jù)環(huán)境動(dòng)態(tài)調(diào)整無線接入點(diǎn)的信道、發(fā)射功率等也是經(jīng)常困擾無線校園管理人員的難題。平安問題：由于無線網(wǎng)絡(luò)的特殊性，校園無線用戶的平安問題就更加突出。對(duì)無線校園網(wǎng)用戶來說，所有有線網(wǎng)絡(luò)存在的平安威脅和隱患都同樣存在。同時(shí)，任何不可信的無線設(shè)備可以在信號(hào)覆蓋范圍內(nèi)進(jìn)行網(wǎng)絡(luò)接入的嘗試，一定程度上也加劇了無線用戶所面臨的平安隱患。無線校園的平安問題已經(jīng)不再是單一的物理層平安，也包括了用戶接入平安、網(wǎng)絡(luò)層平安、設(shè)備平安、平安管理等多個(gè)層面上，如何能使校園無線用戶在使用網(wǎng)絡(luò)時(shí)能夠像使用有線網(wǎng)絡(luò)一樣平安、可靠，正逐漸成為無線校園建設(shè)所關(guān)注的核心。管理問題：相對(duì)于FATAP來說，雖然FITAP解決方案幫助校園網(wǎng)管理人員實(shí)現(xiàn)了無線校園的靈巧安裝與應(yīng)用，但管理無線網(wǎng)絡(luò)卻仍然是一項(xiàng)非常耗時(shí)且麻煩的事情。在無線校園環(huán)境中尤為如此。傳統(tǒng)的FITAP解決方案由無線控制器〔AC〕及無線接入點(diǎn)〔FITAP〕構(gòu)成，雖然整個(gè)無線網(wǎng)絡(luò)具有一些設(shè)備管理、平安管理功能和用戶管理功能，但是與有線網(wǎng)絡(luò)難于統(tǒng)一，無法在整個(gè)企業(yè)范圍內(nèi)實(shí)現(xiàn)用戶管理及認(rèn)證、效勞質(zhì)量控制和平安策略實(shí)施等。因此，通常引入無線網(wǎng)絡(luò)會(huì)降低平安性，整個(gè)網(wǎng)絡(luò)管理起來比擬復(fù)雜，并且維護(hù)本錢也比預(yù)期高。把校園網(wǎng)絡(luò)作為一個(gè)整體，整合有線和無線網(wǎng)絡(luò)，實(shí)現(xiàn)統(tǒng)一的網(wǎng)絡(luò)控制和管理，對(duì)于高校來說具有重要的意義。擴(kuò)展問題：WLAN技術(shù)的開展日新月異，新技術(shù)、新標(biāo)準(zhǔn)層出不窮，除了呼之欲出的802.11n，在教育行業(yè)一個(gè)重要的門檻技術(shù)是IPv6。所有的無線產(chǎn)品和解決方案都要為未來的升級(jí)和應(yīng)用做好準(zhǔn)備。應(yīng)用問題：隨著WLAN技術(shù)的逐步成熟，市場(chǎng)上各種各樣的WLAN終端如筆記本電腦、PDA、雙模手機(jī)、支持Wi-Fi的游戲機(jī)、即拍即傳的數(shù)碼相機(jī)如雨后春筍般涌現(xiàn)出來，同時(shí)價(jià)格越來越低，普及程度越來越高，使得無線新業(yè)務(wù)在校園網(wǎng)中的豐富應(yīng)用成為可能。如何在無線校園網(wǎng)絡(luò)這個(gè)開放的平臺(tái)上開展豐富的業(yè)務(wù)是建設(shè)者必須要考慮的問題。例如VoWiFi、無線監(jiān)控等業(yè)務(wù)，解決了校園內(nèi)部和校區(qū)之間通訊費(fèi)用高、無線監(jiān)控和無線多媒體教學(xué)的問題，讓無線接入變得更有價(jià)值。3.6.2一體化無線校園網(wǎng)解決方案無線管理中心無線管理中心智能策略管理中心無線交換機(jī)運(yùn)營(yíng)管理中心室內(nèi)型熱點(diǎn)無線覆蓋圖書館閱覽室教室、辦公室會(huì)議室/學(xué)術(shù)廳室外型熱點(diǎn)無線覆蓋運(yùn)動(dòng)場(chǎng)/操場(chǎng)迎新大道校園干道有線骨干網(wǎng)PoE供電接入無線業(yè)務(wù)應(yīng)用移動(dòng)數(shù)據(jù)業(yè)務(wù)Wi-Fi語音漫游一體化無線校園解決方案有效實(shí)現(xiàn)了有線和無線網(wǎng)絡(luò)的融合，通過統(tǒng)一的硬件平臺(tái)、統(tǒng)一的網(wǎng)絡(luò)管理、統(tǒng)一的用戶管理、統(tǒng)一的應(yīng)用平安，為學(xué)校用戶提供平安的無線接入。根據(jù)用戶需求，通過在華為交換機(jī)中參加無線控制器插卡，就可為原有的有線校園網(wǎng)絡(luò)提供無線支持，還可以像擴(kuò)展和管理傳統(tǒng)有線網(wǎng)絡(luò)一樣，對(duì)無線網(wǎng)絡(luò)進(jìn)行擴(kuò)展和管理。華為S7700交換機(jī)的無線控制器每個(gè)模塊可以接入640個(gè)FITAP，支持2萬個(gè)無線客戶端設(shè)備，并可以通過增加模塊，提升系統(tǒng)整體處理能力，最大可以支持7000個(gè)以上的FITAP及數(shù)十萬的無線客戶端。穩(wěn)定的一體化無線校園系統(tǒng)方案：穩(wěn)定性解決方案從無線控制器的可靠性，接入交換機(jī)供電的可靠性、無線信號(hào)的可靠性這幾方面入手，極大的提高了WLAN網(wǎng)絡(luò)的可靠性；在實(shí)際的使用情況來看，啟用這些措施之后，WLAN的可靠性能夠得到明顯的提升。無線控制器N+1冗余備份：無線控制器產(chǎn)品支持AC之間的N+1備份，以下通過介紹AP選擇接入的AC過程來說明AC間的備份；AP在發(fā)現(xiàn)AC的過程中，會(huì)向AC發(fā)送接入請(qǐng)求報(bào)文；AC在收到接入請(qǐng)求后，會(huì)向AP發(fā)接入回應(yīng)報(bào)文，其中包含了該AC上的負(fù)載信息〔AC允許接入的最大AP數(shù)，當(dāng)前接入的AP數(shù)，允許接入的最大STA數(shù)，當(dāng)前接入的STA數(shù)〕，和AP在此AC上的接入優(yōu)先級(jí)；AP在接收到AC的回應(yīng)報(bào)文后，會(huì)選擇接入優(yōu)先級(jí)高的AC接入。如果優(yōu)先級(jí)相同，那么根據(jù)AC的接入負(fù)載情況來判斷；AP通過比擬各AC上〔允許接入的最大AP數(shù)-當(dāng)前接入的AP數(shù)〕，并選取值最大的AC接入。如果此值相同，那么根據(jù)當(dāng)前接入AC的無線用戶數(shù)判斷；AP通過比擬各AC上〔允許接入的最大STA數(shù)-當(dāng)前接入的STA數(shù)〕，并選取值大的AC接入。如相等，那么隨機(jī)接入；通過CAPWAP隧道的心跳機(jī)制，AP可及時(shí)發(fā)現(xiàn)控制器DOWN，同時(shí)根據(jù)上述方法重新選擇一個(gè)負(fù)載輕的AC接入，從而實(shí)現(xiàn)AC的N+1備份。實(shí)時(shí)無線資源管理實(shí)時(shí)無線資源管理解決方案提供了實(shí)時(shí)閉環(huán)的無線資源管理，包括了如下步驟：掃描每個(gè)接入點(diǎn)啟動(dòng)后，通過CAPWAP協(xié)議與無線控制器建立隧道，并從無線控制器獲取根本的配置。無線控制器負(fù)責(zé)協(xié)調(diào)網(wǎng)絡(luò)中的無線接入點(diǎn)執(zhí)行掃描過程。通過定期的信道掃描，系統(tǒng)能夠分析和了解信道的質(zhì)量、干擾情況、鄰居接入點(diǎn)的分布等。分析無線控制器將對(duì)無線接入點(diǎn)定期上報(bào)的數(shù)據(jù)進(jìn)行聚合分析。這些數(shù)據(jù)包括：干擾：其他工作在802.11頻段的無線網(wǎng)絡(luò)對(duì)無線介質(zhì)的影響。噪音：非802.11信號(hào)，如雷達(dá)、藍(lán)牙、無繩電話、微波等等對(duì)信號(hào)的影響。丟包率：包過失率〔由于隱藏的節(jié)點(diǎn)或信號(hào)變形〕信道負(fù)載：用來衡量媒介的繁忙程度。有效信號(hào)強(qiáng)度：在一定時(shí)間內(nèi)觀察到的每個(gè)鄰居的信號(hào)強(qiáng)度和整個(gè)信道的平均信號(hào)強(qiáng)度。這些數(shù)據(jù)將幫助無線控制器構(gòu)建無線網(wǎng)絡(luò)的完整視圖，為管理控制提供決策數(shù)據(jù)。決策利用前期分析的數(shù)據(jù)，無線控制器將采用智能的算法對(duì)射頻資源進(jìn)行優(yōu)化和調(diào)整，以適應(yīng)無線環(huán)境的變化。系統(tǒng)使用了優(yōu)化的信道和功率選擇算法、加權(quán)判斷以及抑制限度，自動(dòng)評(píng)估資源調(diào)整的影響，能夠確保系統(tǒng)的控制是可靠的。執(zhí)行無線控制器將新的發(fā)射功率，信道分配等決策發(fā)送到接入點(diǎn)，接入點(diǎn)負(fù)責(zé)使能這些配置。系統(tǒng)提供了兩種控制模式：參考模式和立即模式，增加了系統(tǒng)使用的靈巧性。參考模式下，系統(tǒng)不進(jìn)行實(shí)際的控制策略執(zhí)行，只是給出建議的功率、信道的設(shè)定值，管理員可以決定是否執(zhí)行這些配置，確保了用戶控制的靈巧性。立即模式下，將根據(jù)系統(tǒng)計(jì)算出的信道等參數(shù)進(jìn)行立即的設(shè)置。上述過程是閉環(huán)過程，一旦配置下發(fā)以后，控制器將持續(xù)監(jiān)視網(wǎng)絡(luò)環(huán)境。任何無線環(huán)境的變化與波動(dòng)都會(huì)被定期記錄下來，為下一輪的優(yōu)化作準(zhǔn)備。全面的PoE解決方案PoE設(shè)備的原理是通過非屏蔽雙絞線中四對(duì)線中的兩對(duì)線來傳輸電源，傳輸數(shù)據(jù)的同時(shí)傳輸直流電。因?yàn)锳P往往要求使用不間斷電源〔UPS〕供給電力，采用PoE設(shè)備，AP端僅僅通過一根RJ-45網(wǎng)線與網(wǎng)絡(luò)連接即可以同時(shí)傳輸數(shù)據(jù)和電力，因此在使用PoE設(shè)備的情況下，所有的AP都使用一個(gè)UPS在PoE設(shè)備端進(jìn)行保護(hù)。如果不使用PoE設(shè)備，就需要給每個(gè)AP配一個(gè)UPS，而且還需要在AP附近安裝電源插座，增加了本錢。因此使用PoE設(shè)備將大大降低設(shè)備本錢和管理本錢。PoE具有非常明顯的優(yōu)勢(shì)，具體如下：簡(jiǎn)化安裝，降低本錢，不需為每個(gè)網(wǎng)絡(luò)設(shè)備單獨(dú)提供數(shù)據(jù)和電力線纜。靈巧性提高，網(wǎng)絡(luò)裝置可被安裝在任何位置，而不需靠近一個(gè)已存在的電源輸出口。可靠性增強(qiáng)，有SNMP能力的PoE裝置，可實(shí)施遠(yuǎn)程檢測(cè)和控制，能有效地處理或修理裝置的耗電量和〔或〕失效故障。平安的一體化無線校園系統(tǒng)方案：一體化無線解決方案在遵循IEEE802.11i協(xié)議和國(guó)家WAPI標(biāo)準(zhǔn)的根底上，創(chuàng)新性的提出了分層的平安體系架構(gòu)，將WLAN的平安從單一的物理層平安延伸到了物理層平安、用戶接入平安、網(wǎng)絡(luò)層平安、設(shè)備平安、平安管理多個(gè)層面上，使用戶在使用WLAN網(wǎng)絡(luò)時(shí)能夠像使用有線網(wǎng)絡(luò)一樣平安、可靠。無線產(chǎn)品的物理平安：所采用的無線產(chǎn)品支持以下的加密機(jī)制：WEP加密、TKIP加密、CCMP加密、WAPI加密。其中，WAPI采用國(guó)家密碼管理委員會(huì)辦公室批準(zhǔn)的公鑰密碼體制的橢圓曲線密碼算法和對(duì)稱密碼體制的分組密碼算法，分別用于WLAN設(shè)備的數(shù)字證書、證書鑒別、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密。在無線設(shè)備平安方面，華為的FITAP提供“零配置〞功能，在設(shè)備上不保存業(yè)務(wù)配置，而是每次啟動(dòng)的時(shí)候從無線控制器動(dòng)態(tài)加載業(yè)務(wù)配置，這樣可以有效防止設(shè)備喪失造成配置泄漏。無線用戶平安：通過用戶接入認(rèn)證實(shí)現(xiàn)了對(duì)校園無線接入用戶的身份認(rèn)證，為網(wǎng)絡(luò)效勞提供了平安保護(hù)。所采用的華為無線接入認(rèn)證主要有802.1x接入認(rèn)證、PSK認(rèn)證、MAC接入認(rèn)證以及在有線校園網(wǎng)中常用的portal認(rèn)證等。通過和認(rèn)證效勞器配合，華為的無線設(shè)備支持對(duì)認(rèn)證用戶動(dòng)態(tài)下發(fā)帶寬、VLAN、ACL、優(yōu)先級(jí)等參數(shù)，對(duì)于不同的用戶群和業(yè)務(wù)可以控制其訪問網(wǎng)絡(luò)的權(quán)限，限制網(wǎng)絡(luò)資源的使用，通過VLAN和優(yōu)先級(jí)來標(biāo)識(shí)用戶和業(yè)務(wù)，并做到業(yè)務(wù)隔離。3.6.3VLAN規(guī)劃管理vlan每個(gè)AP設(shè)置一個(gè)管理VLAN，管理VLAN應(yīng)與業(yè)務(wù)VLAN區(qū)分開來。用戶vlan從平安性的角度考慮，上網(wǎng)業(yè)務(wù)有必要通過每AP每VLAN進(jìn)行用戶間的平安隔離，因此建議每AP一VLAN的方式進(jìn)行規(guī)劃。3.6.4無線平安性設(shè)計(jì)WLAN終端認(rèn)證IEEE802.11標(biāo)準(zhǔn)要求WLAN終端在準(zhǔn)備連接到網(wǎng)絡(luò)時(shí)，必需進(jìn)行“身份驗(yàn)證〞。WLAN終端身份認(rèn)證主要有兩種方式：開放系統(tǒng)認(rèn)證〔Open-systemAuthentication〕和共享密鑰認(rèn)證〔Shared-KeyAuthentication〕。開放系統(tǒng)認(rèn)證是IEEE802.11標(biāo)準(zhǔn)要求必備的一種方法，是最簡(jiǎn)單的認(rèn)證算法，即不認(rèn)證。如果認(rèn)證類型設(shè)置為開放系統(tǒng)認(rèn)證，那么所有請(qǐng)求認(rèn)證的客戶端都會(huì)通過認(rèn)證。在這種方式下，接入點(diǎn)并未驗(yàn)證工作站的真實(shí)身份，工作站以MAC地址作為身份證明，這種驗(yàn)證方式可以讓所有符合802.11標(biāo)準(zhǔn)的終端都可以接入到WLAN網(wǎng)絡(luò)中來。開放系統(tǒng)身份驗(yàn)證比擬適合有眾多用戶的電信運(yùn)營(yíng)WLAN網(wǎng)絡(luò)。共享密鑰式認(rèn)證必需使用加密方式，要求每個(gè)WLAN終端都鏡頭配置和AP完全一致的密鑰〔key〕。由于配置工作量較大，一般適用于企業(yè)網(wǎng)、校園網(wǎng)及家庭網(wǎng)絡(luò)等。二者比照方下：認(rèn)證方式優(yōu)點(diǎn)劣勢(shì)適用場(chǎng)景開放式系統(tǒng)認(rèn)證部署簡(jiǎn)單，終端接入速度快，有效帶寬高平安性差：無法檢驗(yàn)客戶端是否合法，任何知道無線局域網(wǎng)SSID的用戶都可以訪問網(wǎng)絡(luò)電信運(yùn)營(yíng)網(wǎng)絡(luò)共享密鑰式認(rèn)證平安性較高：采用了加密方式對(duì)密鑰進(jìn)行保護(hù)，空口密鑰數(shù)據(jù)不再明文傳輸配置復(fù)雜，可擴(kuò)展性不佳：每臺(tái)終端和AP上都需要靜態(tài)配置一個(gè)很長(zhǎng)的密鑰字符串有效帶寬較低：加密降低了傳輸效率企業(yè)網(wǎng)、校園網(wǎng)及家庭網(wǎng)絡(luò)等用戶身份驗(yàn)證相對(duì)于簡(jiǎn)單的STA身份驗(yàn)證過濾機(jī)制，鏈路層用戶身份驗(yàn)證的平安性大大提高。通過提供有限的訪問權(quán)限來驗(yàn)證用戶身份，只有確定用戶身份后才給予完整的網(wǎng)絡(luò)訪問權(quán)限，可有效判別用戶的合法性。鏈路層身份驗(yàn)證時(shí)透明的，能配合任何網(wǎng)絡(luò)層協(xié)議使用。WLAN的鏈路層身份驗(yàn)證主要有Portal(DHCP+WEB)、802.1X、PPPoE、WAPI等幾種認(rèn)證方式。組網(wǎng)保護(hù)華為AC產(chǎn)品接口豐富，支持LACP〔LinkAggregationControlProtocol，以下簡(jiǎn)稱LACP〕和MSTP〔MultipleSpanningTreeProtocol，以下簡(jiǎn)稱MSTP〕等組網(wǎng)保護(hù)機(jī)制，可提供端口級(jí)冗余保護(hù)，及設(shè)備級(jí)1+1快速備份。接入平安方案華為AC均支持開放系統(tǒng)認(rèn)證、WEP加密、共享密鑰認(rèn)證、WPA/WPA2認(rèn)證合加密、WAPI認(rèn)證加密等無線接入平安特性。特性指標(biāo)WLAN平安模板管理支持通過WLAN平安模板管理認(rèn)證和加密方式。支持平安模板綁定到ESS模板。最多支持256個(gè)AP配置模板。OPEN-SYS方式認(rèn)證支持“OPEN-SYS認(rèn)證+無加密〞方式。WEP認(rèn)證加密支持WEP的認(rèn)證/加密方式。每個(gè)AP最多支持4個(gè)WEP加密方式的VAP。WEP認(rèn)證加密在AP實(shí)施，認(rèn)證結(jié)果通知AC。WPA/WPA2認(rèn)證加密支持AC集中認(rèn)證方式。支持“WPA/WPA2-PSK+TKIP〞的認(rèn)證/加密方式。支持“WPA/WPA2-PSK+CCMP〞的認(rèn)證/加密方式。支持“WPA/WPA2-802.1x+TKIP〞的認(rèn)證/加密方式。支持“WPA/WPA2-802.1x+CCMP〞的認(rèn)證/加密方式。WAPI認(rèn)證加密支持AC集中式WAPI認(rèn)證。支持WAPI多信任證書方式〔3證書〕，兼容傳統(tǒng)雙證書方式。支持證書和私鑰合一的發(fā)放方式。支持WAPI加密的啟用/禁用。3.6.5移動(dòng)漫游設(shè)計(jì)無線用戶移動(dòng)漫游，涉及到多個(gè)層次的漫游，最為簡(jiǎn)單的是二層漫游，其他廠家產(chǎn)品都表現(xiàn)不錯(cuò)，三層漫游就困難多了，還有當(dāng)用戶跨越多個(gè)域時(shí)怎樣無縫漫游，華為無線局域網(wǎng)可以實(shí)現(xiàn)快速無縫漫游功能。L2/L3層漫游在傳統(tǒng)的無線局域網(wǎng)內(nèi)，無線終端要跨越不同AP之間漫游是有一定的困難，因?yàn)椴煌珹P之間，它的無線用戶IP子網(wǎng)可能都不是在同一個(gè)VLAN內(nèi)。所以當(dāng)無線終端從一個(gè)AP漫游到另一AP時(shí)，由于它們之間的缺省IP子網(wǎng)不同，無線終端會(huì)重新發(fā)出DHCP請(qǐng)求，這樣的話終端的IP地址就會(huì)更新，所有在原先AP建立的連接都會(huì)被切斷。過去為了解決跨越三層的漫游，有些用戶采用了MobileIP的技術(shù)，但MobileIP的缺點(diǎn)是它必須在無線終端安裝軟件。這是一般網(wǎng)絡(luò)管理人員不愿意做的事情，因?yàn)樗鼈兙捅仨氈С趾途S護(hù)用戶的無線接入端。通過華為無線系統(tǒng)，可解決了跨越不同三層IP子網(wǎng)的無線漫游問題。在不同域之間的用戶認(rèn)證和漫游在大型網(wǎng)絡(luò)內(nèi)，一般都有很多不同的部門，部門內(nèi)通常都有自己的用戶數(shù)據(jù)庫，即所謂的本地認(rèn)證效勞器。在實(shí)現(xiàn)應(yīng)用時(shí)，要求有單一的認(rèn)證數(shù)據(jù)庫是未必可行的，但同時(shí)無線用戶應(yīng)是可在內(nèi)無縫漫游。當(dāng)用戶不是在本地入網(wǎng)或是從一個(gè)部門的接入點(diǎn)漫游到另一部門的接入點(diǎn)需要重新認(rèn)證時(shí)，如果用戶名和密碼在當(dāng)?shù)氐臄?shù)據(jù)庫是不存在的話，那么用戶會(huì)被斷線。要做到真正的無縫漫游，那么需要有支持Radius代理這樣的功能。但由于不是所有的認(rèn)證效勞器都支持這種功能所以在具體實(shí)施時(shí)也有一定的困難。華為本身就可提供不同域之間的認(rèn)證功能，域名可以與SSID綁定，亦可以讓用戶在登陸網(wǎng)頁時(shí)輸入或選擇域名。華為會(huì)把在不同域之間的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到對(duì)應(yīng)這域的radius效勞器處理。3.7華為網(wǎng)絡(luò)產(chǎn)品的優(yōu)勢(shì)3.7.1高可靠性和可維護(hù)性華為S7700系列交換機(jī)支持單板熱插拔