江門廣雅學(xué)校智慧校園小學(xué)網(wǎng)絡(luò)建設(shè)項(xiàng)目技術(shù)實(shí)施方案

江門廣雅學(xué)校智慧校園小學(xué)網(wǎng)絡(luò)建設(shè)項(xiàng)目技術(shù)實(shí)施方案第PAGE第58頁目錄一、項(xiàng)目背景 2二、 網(wǎng)網(wǎng)絡(luò)方案概述 31.1.1 校園網(wǎng)設(shè)計(jì)原則 51.2 校園網(wǎng)總體結(jié)構(gòu)設(shè)計(jì) 61.2.1 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)原則 61.2.2 網(wǎng)絡(luò)邏輯架構(gòu)設(shè)計(jì) 71.2.3 網(wǎng)絡(luò)實(shí)體架構(gòu)設(shè)計(jì) 81.3 校園敏捷網(wǎng)絡(luò)方案設(shè)計(jì) 101.3.1 校園網(wǎng)基礎(chǔ)區(qū)域網(wǎng)絡(luò)規(guī)劃 101.4 敏捷網(wǎng)絡(luò)安全解決方案 141.4.1 校園網(wǎng)出口安全 151.4.2 遠(yuǎn)程訪問互聯(lián)安全 251.4.3 用戶上網(wǎng)行為安全審計(jì) 271.5 校園網(wǎng)WLAN覆蓋方案 281.5.1 校園網(wǎng)WLAN覆蓋需求分析 281.5.2 有線無線網(wǎng)絡(luò)深度融合方案 311.5.3 敏捷分布式AP 321.5.4 射頻規(guī)劃 321.5.5 SSID和漫游規(guī)劃 361.5.6 電子書包場景覆蓋 381.5.7 圖書館場景覆蓋 391.5.8 宿舍場景覆蓋 411.5.9 校園室外覆蓋 431.5.10 WLAN業(yè)務(wù)QoS規(guī)劃 441.5.11 WLAN帶寬管理 461.5.12 WLAN可靠性規(guī)劃 481.5.13 WLAN安全性規(guī)劃 511.5.14 WLAN用戶安全 541.6 運(yùn)維及售后服務(wù) 561.7 設(shè)備性能要求 58一、項(xiàng)目背景江門廣雅學(xué)校地處江門市新會(huì)區(qū)樞紐新城，位于啟超大道與南車路交匯處，由廣雅小學(xué)、廣雅中學(xué)、廣雅學(xué)校國際部構(gòu)成，總投資人民幣6.5億元。廣雅小學(xué)占地面積62803平方米，總建筑面積86797平方米；廣雅中學(xué)占地面積62803平方米，總建筑面積86797平方米；廣雅學(xué)校國際部位于廣雅小學(xué)校園內(nèi)。小學(xué)建設(shè)300米塑膠跑道；中學(xué)建設(shè)400米標(biāo)準(zhǔn)跑道；計(jì)劃開設(shè)小學(xué)60個(gè)教學(xué)班，初中36個(gè)教學(xué)班，高中24個(gè)教學(xué)班。項(xiàng)目于2016年6月動(dòng)工，計(jì)劃2018年6月竣工，2018年9月正式開學(xué)。1.1廣雅小學(xué)發(fā)展規(guī)劃廣雅小學(xué)總體發(fā)展規(guī)劃開設(shè)班級60個(gè)，小學(xué)1年級至小學(xué)6年級各10個(gè)班級，每個(gè)班級35-45人，未來招生計(jì)劃在2700人左右；計(jì)劃配備專職教職工180余名、生活輔導(dǎo)教師72名、后勤服務(wù)人員54名。1.2招生計(jì)劃廣雅小學(xué)招生計(jì)劃分三個(gè)階段，每階段周期為3年。第一階段第一年計(jì)劃招生小學(xué)1年級6個(gè)班級，小學(xué)2年級至小學(xué)6年級各2個(gè)班級；預(yù)計(jì)招生規(guī)模500-600人；配備專職教職工48人，生活輔導(dǎo)教師19人，后勤服務(wù)人員12人。網(wǎng)網(wǎng)絡(luò)方案概述1.1方案理念概述針對校園網(wǎng)面臨的新挑戰(zhàn)，華為提出了敏捷校園網(wǎng)解決方案來支持校園網(wǎng)的高速發(fā)展。敏捷校園的設(shè)計(jì)理念包括：精準(zhǔn)管理，精細(xì)運(yùn)營管控一用戶接入認(rèn)證及精細(xì)化管控華為的校園網(wǎng)解決方案中，用戶接入到核心交換機(jī)上進(jìn)行認(rèn)證。線終端還是無線終端，華為都提供了形式多樣的接入認(rèn)證技術(shù)。比如廣泛適用于校園網(wǎng)的Portal認(rèn)證、802.1X認(rèn)證，適用于啞終端的MAC認(rèn)證等。華為的認(rèn)證方案可適用于各種場景各種用戶，為網(wǎng)絡(luò)的智慧運(yùn)營打下堅(jiān)實(shí)基礎(chǔ)。業(yè)務(wù)隨行，體驗(yàn)隨身，資源隨動(dòng)無論是本校區(qū)用戶，還是分校區(qū)用戶和遠(yuǎn)程接入的用戶，華為都提供了各種融合接入的方案，穩(wěn)定高效的訪問遠(yuǎn)程資源和校園網(wǎng)的資源，用戶所使用的業(yè)務(wù)和可和用戶綁定，在任何地點(diǎn)都可以按照策略使用相應(yīng)業(yè)務(wù)。精準(zhǔn)管理，確保有序使用網(wǎng)絡(luò)資源eSight是華為推出的新一代面向企業(yè)園區(qū)和分支網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)對企業(yè)資源、業(yè)務(wù)、用戶的統(tǒng)一管理以及智能聯(lián)動(dòng)。eSight支持對IT&IP，以及非華為設(shè)備的統(tǒng)一管理，同時(shí)對網(wǎng)絡(luò)流量、接入認(rèn)證角色等進(jìn)行智能分析，自動(dòng)調(diào)整網(wǎng)絡(luò)控制策略，全方位保證企業(yè)網(wǎng)絡(luò)安全。同時(shí)，eSight提供靈活的開放平臺(tái)，為企業(yè)量身打造自己的智能管理系統(tǒng)提供基礎(chǔ)。融合開放，與運(yùn)營計(jì)費(fèi)平臺(tái)無縫對接華為的S7710核心交換機(jī)和Controller方案實(shí)現(xiàn)了強(qiáng)大靈活的認(rèn)證計(jì)費(fèi)功能。兼容現(xiàn)網(wǎng)的眾多業(yè)務(wù)和流量模型的管理。滿足網(wǎng)絡(luò)Portal、802.1X等多種接入認(rèn)證的功能。認(rèn)證通過后，滿足對不同用戶分配不同訪問權(quán)限的功能。滿足現(xiàn)網(wǎng)有線無線統(tǒng)一化認(rèn)證與計(jì)費(fèi)的要求，滿足基于時(shí)間、基于區(qū)域、基于用戶、基于訪問目的地址等多種精細(xì)化計(jì)費(fèi)要求。極致體驗(yàn)，有線無線融合有線無線深度融合，一致化體驗(yàn)華為設(shè)計(jì)的解決方案中，可最大限度重用用戶已有的有線網(wǎng)絡(luò)，將無線網(wǎng)絡(luò)融入其中。運(yùn)維管理非常方便，并且支持統(tǒng)一認(rèn)證，全校園網(wǎng)漫游，同時(shí)可靠性極高，給用戶最好的上網(wǎng)體驗(yàn)全場景無線接入，無死角覆蓋綜合考慮教室、圖書館、禮堂、室外等多種場景，確保在多種場景下都能夠使用無線接入，做到整個(gè)校園的無線無縫覆蓋。無縫漫游，切換無感知覆蓋區(qū)域內(nèi)無線漫游，用戶終端從一個(gè)AP覆蓋范圍移動(dòng)到另一個(gè)AP覆蓋范圍，無需重新登錄和認(rèn)證；專業(yè)網(wǎng)規(guī)，高密能力提供專業(yè)化的網(wǎng)規(guī)工具和網(wǎng)絡(luò)規(guī)劃服務(wù)，支持禮堂、教室等高密度無線用戶接入能力。高效運(yùn)維，精簡網(wǎng)絡(luò)配置扁平化網(wǎng)絡(luò)，邊緣零配置采用扁平化的大二層網(wǎng)絡(luò)，簡化網(wǎng)絡(luò)結(jié)構(gòu)，降低網(wǎng)絡(luò)運(yùn)維難度。同時(shí)采用堆疊、網(wǎng)絡(luò)縱向虛擬化等技術(shù)，既增強(qiáng)了網(wǎng)絡(luò)的可靠性，又成功消除了網(wǎng)絡(luò)環(huán)路。邊緣的接入交換機(jī)可由中心統(tǒng)一配置，避免大量的接入交換機(jī)配置工作。安全穩(wěn)固，綠色校園華為可提供安全管控的全系列產(chǎn)品，實(shí)現(xiàn)對網(wǎng)絡(luò)和服務(wù)器資源的全面防護(hù)。通過對上網(wǎng)行為進(jìn)行管理，保證校園網(wǎng)絡(luò)的安全綠色。智慧檢測，質(zhì)量實(shí)時(shí)感知iPCA可以直接對業(yè)務(wù)報(bào)文進(jìn)行測量，在線監(jiān)控IP網(wǎng)絡(luò)承載的業(yè)務(wù)的變化，真實(shí)準(zhǔn)確地反映出業(yè)務(wù)的運(yùn)行情況，對于網(wǎng)絡(luò)的故障診斷、業(yè)務(wù)統(tǒng)計(jì)有重大意義。縱深防御，安全態(tài)勢感知出口邊界防護(hù)，精細(xì)化管控校園出口部署高性能下一代防火墻網(wǎng)關(guān)，一體化檢測機(jī)制不僅提供了強(qiáng)大的內(nèi)容安全功能，還使得即使在內(nèi)容安全功能全開的情況下，也可以保持較高性能功能。一體化檢測機(jī)制是指設(shè)備僅對報(bào)文進(jìn)行一次檢測，就可以獲取到后續(xù)所有內(nèi)容安全功能所需的數(shù)據(jù)，從而大幅提升設(shè)備處理。應(yīng)用入侵防御，策略自動(dòng)優(yōu)化隨著高校網(wǎng)絡(luò)承載著單位越來越具有價(jià)值的信息資產(chǎn)，增強(qiáng)網(wǎng)絡(luò)應(yīng)用的安全性，防止被惡意入侵，是建設(shè)校園網(wǎng)的重要一環(huán)。華為憑借全球布點(diǎn)的漏洞跟蹤的能力，最早發(fā)現(xiàn)攻擊，提供及時(shí)的簽名升級，漏洞攻擊防護(hù)、Web應(yīng)用防護(hù)、惡意軟件防護(hù)等功能。自動(dòng)學(xué)習(xí)業(yè)務(wù)流量基線，避免閾值配置錯(cuò)誤，默認(rèn)情況對中高風(fēng)險(xiǎn)攻擊自動(dòng)阻斷，無需專家進(jìn)行簽名調(diào)優(yōu)。應(yīng)用安全感知，攻擊威脅溯源上網(wǎng)行為管控功能，運(yùn)用了內(nèi)容過濾技術(shù)，內(nèi)容過濾結(jié)合預(yù)分類技術(shù)和實(shí)時(shí)分析技術(shù)，對于網(wǎng)絡(luò)訪問進(jìn)行控制。顧名思義，預(yù)先分類就是事先對網(wǎng)站進(jìn)行分類，在過濾時(shí)直接查詢網(wǎng)站所屬的分類即可，響應(yīng)速度快，性能高，預(yù)分類庫內(nèi)容支持實(shí)時(shí)動(dòng)態(tài)更新。預(yù)分類技術(shù)可以解決大部分的web訪問安全問題。同時(shí)，對于web及其他網(wǎng)絡(luò)協(xié)議（如FTP、SMTP、POP3等）進(jìn)行深度解析，實(shí)時(shí)分析用戶的行為以及傳輸?shù)膬?nèi)容，根據(jù)組織的需要，對于無用的、有信息安全風(fēng)險(xiǎn)的行為進(jìn)行控制，阻止對于組織有害的網(wǎng)絡(luò)訪問行為的發(fā)生。兩種技術(shù)的完美結(jié)合，極大提升了內(nèi)容檢測的檢測效率和準(zhǔn)確率。校園網(wǎng)設(shè)計(jì)原則校園網(wǎng)是校園的教學(xué)信息共享平臺(tái)，應(yīng)本著以下原則進(jìn)行建設(shè)：超前性與實(shí)用性結(jié)合網(wǎng)絡(luò)技術(shù)發(fā)展迅猛，如果設(shè)備缺乏先進(jìn)性，設(shè)備可能很快落后甚至被淘汰，但也不能過分超前，以避免造成投資的浪費(fèi)。為此，在網(wǎng)絡(luò)建設(shè)中，需注意超前性與實(shí)用性結(jié)合，確保投資有效，使之能真正發(fā)揮出相應(yīng)的作用。安全性與可靠性在校園網(wǎng)建設(shè)中，安全性是整個(gè)網(wǎng)絡(luò)建設(shè)中的重中之重，要通過各種技術(shù)確保系統(tǒng)應(yīng)用的安全性以及內(nèi)容的安全性。同時(shí)，要求系統(tǒng)本身具有高度的可靠性，這樣才能保證網(wǎng)絡(luò)客戶的應(yīng)用可管理性網(wǎng)絡(luò)管理是一個(gè)長期的投資，在網(wǎng)絡(luò)建設(shè)中對網(wǎng)絡(luò)可管理是一項(xiàng)重要的應(yīng)用原則，通過選擇全網(wǎng)的可管理性軟件，減少日常維護(hù)費(fèi)用。可擴(kuò)展性校園網(wǎng)絡(luò)不但需要能夠滿足當(dāng)前需要，隨著后續(xù)教學(xué)方式的改變、技術(shù)的發(fā)展，未來網(wǎng)絡(luò)需要承載更多的業(yè)務(wù)及提供更多的優(yōu)質(zhì)服務(wù)。所以，網(wǎng)絡(luò)的可擴(kuò)展性是網(wǎng)絡(luò)建設(shè)中必須提前規(guī)劃的重點(diǎn)。校園網(wǎng)總體結(jié)構(gòu)設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)原則校園網(wǎng)絡(luò)是高密度用戶網(wǎng)絡(luò)，在有限的空間內(nèi)聚集了大量的終端和用戶。校園網(wǎng)注重的是網(wǎng)絡(luò)的精準(zhǔn)管理、極致體驗(yàn)、高效運(yùn)維。江門廣雅的校園網(wǎng)改造以扁平化星型結(jié)構(gòu)為主，遵循如下原則：扁平化將校園網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層。每層功能清晰，架構(gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)，同時(shí)從接入到核心邏輯上采用扁平化的大二層結(jié)構(gòu)，網(wǎng)絡(luò)結(jié)構(gòu)上簡潔清晰。清晰化將校園網(wǎng)絡(luò)中的每個(gè)區(qū)域或者每個(gè)功能區(qū)劃分為一個(gè)模塊，模塊內(nèi)部的調(diào)整涉及范圍小，易于進(jìn)行問題定位。安全性校園網(wǎng)絡(luò)應(yīng)具備有效的安全控制。接入網(wǎng)絡(luò)的設(shè)備要進(jìn)行統(tǒng)一認(rèn)證，同時(shí)按接入用戶身份、按權(quán)限進(jìn)行分區(qū)邏輯隔離。對特別重要的業(yè)務(wù)采取物理隔離。對進(jìn)出校園網(wǎng)的流量要進(jìn)行識別、過濾，確保網(wǎng)絡(luò)安全?？晒芾硇院涂删S護(hù)性為了易于管理，可選擇適用于全網(wǎng)的網(wǎng)管軟件來管理網(wǎng)絡(luò)。為了便于維護(hù)，應(yīng)盡可能選取集成度高、模塊可通用的產(chǎn)品。網(wǎng)絡(luò)邏輯架構(gòu)設(shè)計(jì)如REF_Ref458784502\n\h圖3-1所示，校園網(wǎng)的邏輯架構(gòu)分為以下幾個(gè)部分。校園網(wǎng)邏輯架構(gòu)校園出口校園出口區(qū)域既負(fù)責(zé)對校園網(wǎng)用戶的統(tǒng)一接入，也負(fù)責(zé)將內(nèi)部的終端用戶接入到公網(wǎng)、將外部用戶接入到內(nèi)網(wǎng)。出口除了要保證校園內(nèi)外的數(shù)據(jù)傳輸，還需要保證邊界安全。核心層負(fù)責(zé)整個(gè)園區(qū)網(wǎng)的高速互聯(lián)，一般不部署具體的業(yè)務(wù)。核心網(wǎng)絡(luò)需要數(shù)據(jù)中心部署服務(wù)器和應(yīng)用系統(tǒng)的區(qū)域。為校園網(wǎng)內(nèi)部和外部用戶提供數(shù)據(jù)和應(yīng)用服務(wù)。網(wǎng)絡(luò)管理區(qū)聯(lián)合S7710交換機(jī)對接入用戶進(jìn)行認(rèn)證，對網(wǎng)絡(luò)設(shè)備、服務(wù)器等進(jìn)行管理的區(qū)域。包括告警管理、性能管理、故障管理、配置管理、安全管理等。核心層實(shí)現(xiàn)帶寬的高利用率和網(wǎng)絡(luò)故障的快速收斂。匯聚層匯聚層將眾多的接入設(shè)備和大量用戶經(jīng)過一次匯聚后再接入到核心層，擴(kuò)展核心層接入用戶的數(shù)量。接入層負(fù)責(zé)將各種終端接入到校園網(wǎng)絡(luò)，通常由以太網(wǎng)交換機(jī)組成。對于某些終端，可能還要增加特定的接入設(shè)備，例如無線接入的AP設(shè)備。終端應(yīng)用層包含校園網(wǎng)內(nèi)的各種終端設(shè)備，例如PC、筆記本電腦、打印機(jī)、傳真、手機(jī)、攝像頭等等。網(wǎng)絡(luò)實(shí)體架構(gòu)設(shè)計(jì)對應(yīng)邏輯架構(gòu)，校園網(wǎng)的物理架構(gòu)如REF_Ref458784515\n\h圖3-2所示。校園網(wǎng)物理架構(gòu)網(wǎng)絡(luò)組網(wǎng)結(jié)構(gòu)說明：校園出口部署高性能出口防火墻網(wǎng)關(guān)設(shè)備，具備全面的網(wǎng)絡(luò)安全防御能力，并且具有高性能的NAT功能；針對校園出口多線路實(shí)現(xiàn)多線路負(fù)載，以提高校園網(wǎng)絡(luò)多線路資源的利用率。核心層核心層由核心交換機(jī)組成。核心交換機(jī)承載全網(wǎng)所有的流量，利用虛擬化技術(shù)，建立邏輯隔離的網(wǎng)絡(luò)通道，實(shí)現(xiàn)不同業(yè)務(wù)之間無干擾地穩(wěn)定運(yùn)行。核心層設(shè)備采用多機(jī)集群模式來增加穩(wěn)定性。數(shù)據(jù)中心部署服務(wù)器和應(yīng)用系統(tǒng)的區(qū)域。為校園網(wǎng)內(nèi)部和外部用戶提供數(shù)據(jù)和應(yīng)用服務(wù)。網(wǎng)絡(luò)管理區(qū)包含計(jì)費(fèi)服務(wù)器，DHCP服務(wù)器，Portal服務(wù)器等，聯(lián)合核心交換機(jī)對內(nèi)網(wǎng)用戶進(jìn)行認(rèn)證和管理。同時(shí)部署網(wǎng)絡(luò)管理系統(tǒng)，對網(wǎng)絡(luò)設(shè)備、服務(wù)器等進(jìn)行管理，功能包括告警管理、性能管理、故障管理、配置管理、安全管理等。DMZ區(qū)DMZ區(qū)主要提供外網(wǎng)的合法訪問。包括提供公共用戶訪問的公開網(wǎng)站，以及對應(yīng)的APP服務(wù)。對出差的內(nèi)部員工的訪問，部署SVN設(shè)備，提供SSLVPN的安全訪問。分校區(qū)和總部之間的互聯(lián)，可以使用IPSecVPN建立互聯(lián)隧道。匯聚層匯聚層將眾多的接入設(shè)備和大量用戶經(jīng)過一次匯聚后再接入到核心層，擴(kuò)展核心層接入用戶的數(shù)量。接入層由接入交換機(jī)和AP組成，提供校園用戶有線和無線的各類終端實(shí)現(xiàn)網(wǎng)絡(luò)接入。該組網(wǎng)具有以下特點(diǎn)：網(wǎng)絡(luò)架構(gòu)各個(gè)區(qū)域模塊化，基礎(chǔ)網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)、新校區(qū)網(wǎng)絡(luò)均可獨(dú)立維護(hù)。以核心節(jié)點(diǎn)為“根”的星型分層拓?fù)?，架?gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)。各部門和功能分區(qū)模塊清晰，模塊內(nèi)部調(diào)整涉及范圍小，易于進(jìn)行問題定位。匯聚層和接入層冗余設(shè)計(jì)，關(guān)鍵鏈路均采用Trunk鏈路，保證網(wǎng)絡(luò)的可靠性。支持各種終端接入，統(tǒng)一認(rèn)證，一張IP網(wǎng)絡(luò)承載所有業(yè)務(wù)。出口部署邊界防御，保證網(wǎng)絡(luò)安全。支持分支接入、遠(yuǎn)程接入、外部用戶訪問等各種外聯(lián)場景。校園敏捷網(wǎng)絡(luò)方案設(shè)計(jì)校園網(wǎng)基礎(chǔ)區(qū)域網(wǎng)絡(luò)規(guī)劃校園基礎(chǔ)區(qū)域網(wǎng)絡(luò)是整個(gè)校園網(wǎng)絡(luò)的樞紐，覆蓋整個(gè)校區(qū)，連接著校園網(wǎng)的各個(gè)區(qū)域。承擔(dān)了內(nèi)部數(shù)據(jù)流量和對外數(shù)據(jù)流量，在邏輯上成為可靠性、安全設(shè)計(jì)的中心。校園基礎(chǔ)網(wǎng)絡(luò)整體規(guī)劃如下圖所示，校園基礎(chǔ)網(wǎng)絡(luò)區(qū)域采用核心層、匯聚層和接入層的架構(gòu)模型，具有如下的優(yōu)勢：邏輯大二層設(shè)計(jì)基礎(chǔ)網(wǎng)絡(luò)部分邏輯上采用了扁平化的大二層結(jié)構(gòu)，接入用戶都在核心交換機(jī)上接入，邏輯上簡化了匯聚層，不需要維護(hù)復(fù)雜的網(wǎng)絡(luò)架構(gòu)與協(xié)議。層次化設(shè)計(jì)有核心層、匯聚層、接入層，每層功能清晰，架構(gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)。模塊化設(shè)計(jì)每一個(gè)模塊為一個(gè)學(xué)院樓、教學(xué)樓或一個(gè)學(xué)生宿舍，模塊內(nèi)部調(diào)整涉及范圍小，定位問題也容易。冗余性設(shè)計(jì)雙節(jié)點(diǎn)冗余性設(shè)計(jì)，適當(dāng)?shù)娜哂嘈蕴岣呖煽啃?，過度的冗余不便于運(yùn)行維護(hù)。對稱性設(shè)計(jì)網(wǎng)絡(luò)的對稱性便于業(yè)務(wù)部署，拓?fù)渲庇^，便于設(shè)計(jì)和分析。江門廣雅校園網(wǎng)基礎(chǔ)區(qū)物理架構(gòu)拓?fù)鋱D為：校園網(wǎng)基礎(chǔ)區(qū)物理架構(gòu)核心層設(shè)計(jì)規(guī)劃核心層部署校園的核心設(shè)備，連接所有的匯聚交換機(jī)，轉(zhuǎn)發(fā)各個(gè)教學(xué)樓或?qū)W生宿舍之間的流量。核心層需要采用全連接結(jié)構(gòu)，保持核心層設(shè)備的配置盡量簡單，并且和校園網(wǎng)的具體業(yè)務(wù)無關(guān)。核心層設(shè)備需要具有高帶寬、高轉(zhuǎn)發(fā)性能，否則將無法支撐企業(yè)內(nèi)外部的業(yè)務(wù)流量。敏捷交換機(jī)的業(yè)務(wù)板卡直接融合AC功能,可以對網(wǎng)絡(luò)中的AP進(jìn)行管控，實(shí)現(xiàn)有線無線深度融合接入、轉(zhuǎn)發(fā)、管理。S7710負(fù)責(zé)對校園網(wǎng)用戶的統(tǒng)一接入，并與認(rèn)證服務(wù)器協(xié)同工作，對接入用戶進(jìn)行認(rèn)證，可以很方便的對校園網(wǎng)的所有用戶流量做統(tǒng)一管理監(jiān)控。有強(qiáng)大的認(rèn)證計(jì)費(fèi)功能，才能滿足校園網(wǎng)的大用戶量、高并發(fā)連接數(shù)、多樣化計(jì)費(fèi)的需求。匯聚層設(shè)計(jì)規(guī)劃匯聚層是一個(gè)學(xué)院、一幢教學(xué)樓或一幢學(xué)生宿舍的匯聚點(diǎn)，匯聚層的設(shè)備用來轉(zhuǎn)發(fā)本區(qū)域用戶到其他區(qū)域用戶的橫向流量，同時(shí)發(fā)送本區(qū)域用戶流量到核心層。匯聚層將大量用戶接入到互聯(lián)的網(wǎng)絡(luò)中，模塊化擴(kuò)展接入核心層設(shè)備的用戶數(shù)量。匯聚層具有高帶寬、高端口密度、高轉(zhuǎn)發(fā)性能等特點(diǎn)，用于支撐該匯聚層下各業(yè)務(wù)部門之間的流量。接入層設(shè)計(jì)規(guī)劃接入層是最靠近終端用戶的網(wǎng)絡(luò)，為用戶提供各種接入方式，一般部署二層設(shè)備，雙歸屬到匯聚層兩個(gè)不同的交換機(jī)。接入層除了需要部署豐富的二層特性外，還需要部署安全、可靠性等相關(guān)功能。接入層需要具有高密度、高速率的端口，以支持更多的終端接入校園網(wǎng)絡(luò)。VLAN規(guī)劃VLAN概述VLAN（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是將一個(gè)物理的LAN在邏輯上劃分成多個(gè)廣播域的通信技術(shù)。VLAN內(nèi)的主機(jī)間可以直接通信，而VLAN間不能直接互通，從而將廣播報(bào)文限制在一個(gè)VLAN內(nèi)?；谛@網(wǎng)內(nèi)擁有比較多不同的業(yè)務(wù)類型，并且不同類型網(wǎng)絡(luò)使用者也有很大差別，因此進(jìn)行VLAN的合理規(guī)劃將可以幫助建設(shè)一個(gè)穩(wěn)定運(yùn)作的教學(xué)合一的網(wǎng)絡(luò)。按功能劃分VLAN在校園網(wǎng)絡(luò)中，可以按功能將VLAN劃分為以下幾種：辦公網(wǎng)絡(luò)無線網(wǎng)絡(luò)音視頻網(wǎng)絡(luò)監(jiān)控網(wǎng)絡(luò)高考監(jiān)控一卡通網(wǎng)絡(luò)設(shè)備管理管理VLAN網(wǎng)絡(luò)中的交換機(jī)需要?jiǎng)澐止芾鞻LAN，在管理VLAN中配置IP地址，以便日常維護(hù)。管理VLAN要與用戶VLAN嚴(yán)格區(qū)分。業(yè)務(wù)VLAN業(yè)務(wù)VLAN指為終端接入用戶劃分的VLAN，針對校園網(wǎng)中不同區(qū)域，VLAN劃分方法不同。每一接入交換機(jī)劃分一個(gè)VLAN，并設(shè)置端口隔離，實(shí)現(xiàn)配置的簡化和用戶間的隔離。VLAN規(guī)劃原則華為敏捷校園網(wǎng)采用策略聯(lián)動(dòng)的方式對接入交換機(jī)進(jìn)行管理，在校園網(wǎng)中，接入層設(shè)備數(shù)量眾多且位置分布廣，若在每個(gè)接入層設(shè)備上部署NAC認(rèn)證和用戶訪問策略，工作量巨大且策略調(diào)整不靈活。通過策略聯(lián)動(dòng)，核心S7710作為控制設(shè)備對用戶進(jìn)行統(tǒng)一認(rèn)證和管理用戶的訪問策略，并聯(lián)動(dòng)接入交換機(jī)，使其僅執(zhí)行用戶的訪問策略，從而既實(shí)現(xiàn)了對用戶訪問網(wǎng)絡(luò)的控制，又簡化了接入設(shè)備的配置和管理。、在這種方式下，VLAN劃分的基本原則如下：要嚴(yán)格區(qū)分業(yè)務(wù)VLAN和管理VLAN。接入交換機(jī)可采用統(tǒng)一的VLAN配置，接入交換機(jī)的端口設(shè)置為隔離端口。預(yù)留一定數(shù)目VLAN方便后續(xù)擴(kuò)展。IP地址規(guī)劃劃分IP地址在校園網(wǎng)絡(luò)中，根據(jù)業(yè)務(wù)使用情況，分為辦公網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、音視頻網(wǎng)絡(luò)、監(jiān)控網(wǎng)路、一卡通、設(shè)備管理、高考監(jiān)控。IP地址規(guī)劃原則IP地址規(guī)劃的基本原則如下：唯一性一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址。連續(xù)性連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率。擴(kuò)展性地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址疊合所需的連續(xù)性。實(shí)意性好的IP地址規(guī)劃使每個(gè)地址具有實(shí)際含義，看到一個(gè)地址就可以大致判斷出該地址所屬的設(shè)備由于校園網(wǎng)內(nèi)部用戶的IP地址均由核心交換機(jī)統(tǒng)一分配，地址規(guī)劃非常方便。校園網(wǎng)IP地址分類業(yè)務(wù)地址業(yè)務(wù)名vlan號IP地址數(shù)量辦公網(wǎng)絡(luò)2-50-/2449個(gè)C類地址無線網(wǎng)絡(luò)51-99-/2450個(gè)C類地址音視頻網(wǎng)絡(luò)100-150-/2451個(gè)C類地址監(jiān)控網(wǎng)絡(luò)151-199-/2452個(gè)C類地址一卡通網(wǎng)絡(luò)200/161個(gè)B類地址設(shè)備管理1000/241個(gè)C類高考網(wǎng)絡(luò)/161個(gè)B類地址校園內(nèi)網(wǎng)用戶的地址由核心交換機(jī)統(tǒng)一分配。可以通過在核心交換機(jī)上配置地址池來按用戶所在區(qū)域分配IP地址。NAT規(guī)劃在出口防火墻上需要提供NAT地址轉(zhuǎn)換功能，供使用私網(wǎng)IP地址的校園網(wǎng)用戶訪問公網(wǎng)。管理地址為了方便管理，會(huì)為每一臺(tái)設(shè)備創(chuàng)建一個(gè)管理VLAN，并在該接口上單獨(dú)指定一個(gè)IP地址作為管理地址?；ヂ?lián)地址互聯(lián)地址是指兩臺(tái)網(wǎng)絡(luò)設(shè)備相互連接的接口所需要的地址，設(shè)備互聯(lián)的網(wǎng)段一般聚合后發(fā)布，而且沒有必要發(fā)布給終端用戶。敏捷網(wǎng)絡(luò)安全解決方案在校園網(wǎng)網(wǎng)絡(luò)出口邊界區(qū)域中，使用USG防火墻作為網(wǎng)關(guān)模式部署。使用防火墻作為出口網(wǎng)關(guān)，一方面USG防火墻有著極其優(yōu)越的出口路由功能和NAT能力；另外一方面是具有綜合的安全防御能力，能有效防御來自互聯(lián)網(wǎng)的各種入侵和惡意訪問，保障校園網(wǎng)絡(luò)的資源安全和使用穩(wěn)定。在防火墻部署策略上，主要是使用防火墻將校園網(wǎng)劃分成內(nèi)網(wǎng)、外網(wǎng)、DMZ等不同區(qū)域，為不同區(qū)域劃分不同的優(yōu)先級，同時(shí)設(shè)置不同區(qū)域間的互訪策略，以避免越權(quán)訪問。校園網(wǎng)出口安全使用USG統(tǒng)一防火墻來防御網(wǎng)絡(luò)的大多數(shù)的攻擊行為，以保證網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性，并且可以對網(wǎng)絡(luò)內(nèi)流量進(jìn)行多維度的監(jiān)測和管理。網(wǎng)絡(luò)NAT設(shè)計(jì)學(xué)校互聯(lián)網(wǎng)出口有多個(gè)連接，不同的接入的NAT要求不一致，并且校內(nèi)的大量用戶對出口的NAT提出了更高要求。華為USG網(wǎng)關(guān)采用基于連接的方式提供地址轉(zhuǎn)換特性，針對每條連接維護(hù)一個(gè)Session表項(xiàng)，并且在處理的過程中采用優(yōu)化的算法，保證了地址轉(zhuǎn)換特性的優(yōu)異性能。在啟用NAT的時(shí)候，性能下降的非常少，這樣就保證了在通過USG安全網(wǎng)關(guān)提供NAT業(yè)務(wù)的時(shí)候不會(huì)成為網(wǎng)絡(luò)的瓶頸。USG安全網(wǎng)關(guān)提供了基于安全區(qū)域的管理功能，利用“安全區(qū)域”的概念把統(tǒng)一安全網(wǎng)關(guān)管理的網(wǎng)絡(luò)按照功能區(qū)域、安全要求等因素從邏輯上劃分為幾個(gè)邏輯子網(wǎng)，每個(gè)邏輯子網(wǎng)稱為一個(gè)“安全區(qū)域”。默認(rèn)情況，統(tǒng)一安全網(wǎng)關(guān)提供了4個(gè)默認(rèn)的安全區(qū)域：trust、untrust、DMZ、local，一般情況下，untrust區(qū)域是連接Internet的，trust區(qū)域是連接內(nèi)部局域網(wǎng)的，DMZ區(qū)域是連接一些內(nèi)部服務(wù)器的，例如放置郵件服務(wù)器、FTP服務(wù)器等。統(tǒng)一安全網(wǎng)關(guān)的地址轉(zhuǎn)換功能是按照安全區(qū)域之間的訪問進(jìn)行配置的，這樣就可以非常方便的進(jìn)行網(wǎng)絡(luò)管理。例如，對于內(nèi)部服務(wù)器的網(wǎng)絡(luò)如果有足夠的IP地址，可以直接使用公網(wǎng)IP地址，在DMZ->untrust區(qū)域間不使用地址轉(zhuǎn)換，而內(nèi)部局域網(wǎng)使用私網(wǎng)地址，在trust->untrust區(qū)域間使用地址轉(zhuǎn)換。同時(shí)地址轉(zhuǎn)換可以和ACL配合使用，利用ACL來控制地址轉(zhuǎn)換的范圍，因此即使在同一個(gè)網(wǎng)絡(luò)區(qū)域，有公網(wǎng)、私網(wǎng)混合組網(wǎng)的情況，USG安全網(wǎng)關(guān)依然可以方便的設(shè)定地址轉(zhuǎn)換的規(guī)則。USG安全網(wǎng)關(guān)的地址轉(zhuǎn)換功能可以對內(nèi)部服務(wù)器的支持到達(dá)端口級。允許用戶按照自己的需要配置內(nèi)部服務(wù)器的端口、協(xié)議、提供給外部的端口、協(xié)議。對于上面的例子使用的地址轉(zhuǎn)換，不僅可以保證做為WEB服務(wù)器的地址，同時(shí)可以做為FTP服務(wù)器的地址，同時(shí)可以使用:8080提供第二臺(tái)WEB服務(wù)器，還可以滿足內(nèi)部用戶同時(shí)使用的地址進(jìn)行訪問Internet。USG安全網(wǎng)關(guān)提供了基于端口的內(nèi)部服務(wù)器映射，可以使用端口來提供服務(wù)，同時(shí)也可以提供地址的一對一映射。同時(shí)，每臺(tái)統(tǒng)一安全網(wǎng)關(guān)可以提供多達(dá)256個(gè)內(nèi)部服務(wù)器映射，而且不會(huì)影響訪問的效率。業(yè)務(wù)支撐能力要求地址轉(zhuǎn)換比較難處理的情況是報(bào)文載荷中含有地址信息的情況，這種情況的代表協(xié)議是FTP。USG安全網(wǎng)關(guān)的地址轉(zhuǎn)換現(xiàn)在已經(jīng)非常完善的支持了ICMP重定向、不可達(dá)、FTP（支持被動(dòng)主動(dòng)兩種模式）、H323、NetMeeting、PPTP、L2tp、DNS、NetBIOS、SIP、QQ、MSN等特殊協(xié)議。依靠現(xiàn)在支持的各種業(yè)務(wù)，統(tǒng)一安全網(wǎng)關(guān)已經(jīng)可以提供非常好的業(yè)務(wù)支撐，可以滿足絕大部分的Internet業(yè)務(wù)，使得地址轉(zhuǎn)換不會(huì)成為網(wǎng)絡(luò)業(yè)務(wù)的瓶頸。為了更好的適應(yīng)網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展，USG安全網(wǎng)關(guān)還提供了一種“用戶自定義”的ALG功能，對于某些特殊業(yè)務(wù)應(yīng)用，通過命令行進(jìn)行配置就可以支持這種業(yè)務(wù)的ALG，通過這樣的方式更可以保證USG安全網(wǎng)關(guān)對業(yè)務(wù)的支撐，達(dá)到快速響應(yīng)的效果。另外USG安全網(wǎng)關(guān)在結(jié)構(gòu)上面，充分考慮了地址轉(zhuǎn)換需要支持特殊協(xié)議的問題。從結(jié)構(gòu)上保證可以非?？焖俚闹С指鞣N特殊協(xié)議，并且對報(bào)文加密的情況也做了考慮。因此在應(yīng)用程序網(wǎng)關(guān)方面，統(tǒng)一安全網(wǎng)關(guān)在程序設(shè)計(jì)、結(jié)構(gòu)方面做了很大的努力和考慮，在針對新出現(xiàn)的各種特殊協(xié)議的開發(fā)方面上，USG安全網(wǎng)關(guān)可以保證會(huì)比其他設(shè)備提供更快、更好的反應(yīng)，可以快速的響應(yīng)支持用戶的需求，支持多變的網(wǎng)絡(luò)業(yè)務(wù)。無數(shù)目限制的PAT方式轉(zhuǎn)換USG安全網(wǎng)關(guān)可以提供PAT（PortAddressTranslation）方式的地址轉(zhuǎn)換，PAT方式的地址轉(zhuǎn)換使用了TCP/UDP的端口信息，這樣在進(jìn)行地址轉(zhuǎn)換的時(shí)候使用的是“地址＋端口”來區(qū)分內(nèi)部局域網(wǎng)的主機(jī)對外發(fā)起的不同連接。這樣使用PAT方式的地址轉(zhuǎn)換技術(shù)，內(nèi)部局域網(wǎng)的很多用戶可以共享一個(gè)IP地址上網(wǎng)了。因?yàn)門CP/UDP的端口范圍是1~65535，一般1～1024端口范圍是系統(tǒng)保留端口，因此從理論上計(jì)算，通過PAT方式的地址轉(zhuǎn)換一個(gè)合法的IP地址可以提供大約60000個(gè)并發(fā)連接。但是USG安全網(wǎng)關(guān)采用專利技術(shù)提供了一種“無限制端口”連接的算法，可以保證使用一個(gè)公網(wǎng)IP地址可以提供無限個(gè)并發(fā)連接，通過這種技術(shù)就突破了PAT方式上網(wǎng)的65535個(gè)端口的限制，更大的滿足了地址轉(zhuǎn)換方式的實(shí)際使用，更加節(jié)省了公網(wǎng)的IP地址。多種NATALGNAT采用“注冊”方式支持多種NATALG（ApplicationLevelGateway），包括：支持FTP協(xié)議的NATALG。支持NBT（NetBIOSoverTCP）協(xié)議的NATALG。支持ICMP(InternetControlMessageProtocol)協(xié)議的NATALG。支持H.323（包括T.120、RAS、Q.931和H.245等）協(xié)議的NATALG。支持SIP(SessionInitiationProtocol)協(xié)議的NATALG。支持RTSP(Real-TimeStreamingProtocol)協(xié)議的NATALG。支持HWCC(HuaweiConferenceControlProtocol)協(xié)議的NATALG。支持ILS(InternetLocatorService)協(xié)議的NATALG。支持PPTP（PointtoPointTunnelingProtocol）協(xié)議的NATALG。支持對騰訊公司的QQ聊天會(huì)話的NATALG。支持Microsoft公司提供的MSN聊天會(huì)話的NATALG。通過“注冊”方式支持特殊協(xié)議，使軟件有良好的擴(kuò)充性，無需更改軟件構(gòu)架，很容易支持新的協(xié)議。區(qū)域安全隔離設(shè)計(jì)基于安全區(qū)域的隔離管理在學(xué)校網(wǎng)絡(luò)中使用華為USG實(shí)現(xiàn)基于安全區(qū)域的安全隔離，這樣的設(shè)計(jì)模型為用戶在實(shí)際使用統(tǒng)一安全網(wǎng)關(guān)的時(shí)候提供了十分良好的管理模型。出口安全網(wǎng)關(guān)可以提供基于安全區(qū)域的隔離模型，每個(gè)安全區(qū)域可以按照網(wǎng)絡(luò)的實(shí)際組網(wǎng)加入任意的接口，因此統(tǒng)一安全網(wǎng)關(guān)的安全管理模型是不會(huì)受到網(wǎng)絡(luò)拓?fù)涞挠绊??？晒芾淼陌踩珔^(qū)域業(yè)界很多防火墻一般都提供受信安全區(qū)域（trust）、非受信安全區(qū)域（untrust）、非軍事化區(qū)域（DMZ）三個(gè)獨(dú)立的安全區(qū)域，這樣的保護(hù)模型可以適應(yīng)大部分的組網(wǎng)要求，但是在一些安全策略要求較高的場合，這樣的保護(hù)模型還是不能滿足要求。USG安全網(wǎng)關(guān)默認(rèn)提供四個(gè)安全區(qū)域：trust、untrust、DMZ、local，在提供三個(gè)最常用的安全邏輯區(qū)域的基礎(chǔ)上還新增加了本地邏輯安全區(qū)域，本地安全區(qū)域可以定義到統(tǒng)一安全網(wǎng)關(guān)本身的報(bào)文，保證了統(tǒng)一安全網(wǎng)關(guān)本身的安全防護(hù)。例如，通過對本地安全區(qū)域的報(bào)文控制，可以很容易的防止不安全區(qū)域?qū)y(tǒng)一安全網(wǎng)關(guān)本身的Telnet、ftp等訪問。除此之外，還可以提供自定義安全區(qū)域，可以最大定義16個(gè)安全區(qū)域，每個(gè)安全區(qū)域都可以加入獨(dú)立的接口?；诎踩珔^(qū)域的策略控制USG安全網(wǎng)關(guān)支持根據(jù)不同的安全區(qū)域之間的訪問設(shè)計(jì)不同的安全策略組（ACL訪問控制列表），每條安全策略組支持若干個(gè)獨(dú)立的規(guī)則。這樣的規(guī)則體系使得統(tǒng)一安全網(wǎng)關(guān)的策略十分容易管理，方便用戶對各種邏輯安全區(qū)域的獨(dú)立管理?；诎踩珔^(qū)域的策略控制模型，可以清晰的分別定義從trust到untrust、從DMZ到untrust之間的各種訪問，這樣的策略控制模型使得USG安全網(wǎng)關(guān)的網(wǎng)絡(luò)隔離功能具有很好的管理能力。網(wǎng)絡(luò)攻擊防御設(shè)計(jì)互聯(lián)網(wǎng)充滿各式各樣的威脅，包括惡意的網(wǎng)絡(luò)攻擊和入侵、病毒傳播、木馬注入等等，作為學(xué)校出口，必須具有極高的安全設(shè)計(jì)，以保證內(nèi)網(wǎng)安全和穩(wěn)定?；ヂ?lián)網(wǎng)的安全威脅主要集中在病毒、蠕蟲、惡意代碼，網(wǎng)頁篡改，垃圾郵件等方面，對外發(fā)布網(wǎng)站也常常成為攻擊目標(biāo)。USG采用先進(jìn)的一體化檢測機(jī)制，將入侵防御功能、反病毒功能、UTRL過濾、ASPF深度檢測等安全特性集成于一體，形成立體的威脅防御解決方案。（1）一體化檢測機(jī)制USG的一體化檢測機(jī)制不僅提供了強(qiáng)大的內(nèi)容安全功能，還使得即使在內(nèi)容安全功能全開的情況下，也可以保持較高性能功能。一體化檢測機(jī)制是指設(shè)備僅對報(bào)文進(jìn)行一次檢測，就可以獲取到后續(xù)所有內(nèi)容安全功能所需的數(shù)據(jù)，從而大幅提升設(shè)備處理。USG檢測機(jī)制（2）入侵防御功能入侵防御功能主要可以防護(hù)應(yīng)用層的攻擊或入侵，例如緩沖區(qū)溢出攻擊、木馬、后門攻擊、蠕蟲等。USG的入侵防御功能可以通過監(jiān)控或者分析系統(tǒng)事件，檢測應(yīng)用層攻擊和入侵，并通過一定的響應(yīng)方式，實(shí)時(shí)地中止入侵行為。NGFW入侵防御功能的特點(diǎn)如下：支持直路/旁路部署方式，支持針對不同流量配置不同的防護(hù)措施支持對應(yīng)用層報(bào)文進(jìn)行深度解析支持進(jìn)行報(bào)文分片重組和TCP流重組之后再進(jìn)行威脅檢測支持海量的簽名庫，支持自定義簽名超低的簽名誤報(bào)率（3）反病毒功能反病毒功能可以對網(wǎng)絡(luò)中傳輸?shù)奈募M(jìn)行掃描，識別出其中攜帶的病毒，并且予以記錄或清除。病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。病毒通常被攜帶在文件中，通過網(wǎng)頁、郵件、文件傳輸協(xié)議進(jìn)行傳播。內(nèi)網(wǎng)主機(jī)一旦感染病毒，就可能導(dǎo)致系統(tǒng)癱瘓、服務(wù)中止、數(shù)據(jù)泄露，令企業(yè)蒙受巨大損失。NGFW提供的反病毒功能對最容易傳播病毒的文件傳輸與共享協(xié)議以及郵件協(xié)議進(jìn)行檢測和掃描，可以防范多種躲避病毒檢測的機(jī)制，實(shí)現(xiàn)針對病毒的強(qiáng)大防護(hù)能力。下一代防火墻NGFW反病毒功能具備如下特點(diǎn)：支持豐富的應(yīng)用層協(xié)議和應(yīng)用程序支持對壓縮文件進(jìn)行病毒掃描支持海量的病毒特征庫支持針對不同流量配置不同的防護(hù)措施，支持添加應(yīng)用例外和病毒例外定制病毒防護(hù)策略（5）URL過濾Web安全問題中最為顯著的就是非法網(wǎng)站和惡意網(wǎng)站。非法網(wǎng)站是指暴力、色情等不被當(dāng)?shù)胤煞ㄒ?guī)或者企業(yè)管理制度所允許訪問的網(wǎng)絡(luò)資源。非法網(wǎng)站帶來的危害包括影響社會(huì)穩(wěn)定、降低員工工作效率、占用企業(yè)帶寬、浪費(fèi)企業(yè)網(wǎng)絡(luò)資源等；惡意網(wǎng)站是指掛馬網(wǎng)站、釣魚網(wǎng)站等試圖在用戶瀏覽過程中向用戶主機(jī)植入木馬、進(jìn)行SQL注入和跨站腳本攻擊、利用瀏覽器/系統(tǒng)漏洞獲取主機(jī)權(quán)限或數(shù)據(jù)、騙取用戶錢財(cái)?shù)却嬖趷阂庑袨榈木W(wǎng)站。惡意網(wǎng)站有可能帶來用戶或企業(yè)的大量經(jīng)濟(jì)損失。惡意網(wǎng)站的顯著特征就是在沒有安全機(jī)制保護(hù)的情況下，用戶對其惡意行為完全不知情，往往在無意中就造成了損失。URL過濾根據(jù)用戶訪問的URL地址對URL訪問行為進(jìn)行控制。管理員可以NGFW提供的海量URL分類數(shù)據(jù)庫，以及自己定義的URL地址及分類，對不同的URL地址設(shè)置不同的處理措施。同時(shí)，NGFW提供的URL分類數(shù)據(jù)包含了大量已知的掛馬網(wǎng)站、釣魚網(wǎng)站等惡意網(wǎng)站的網(wǎng)址。用戶在訪問URL時(shí)，設(shè)備可以自動(dòng)查詢這個(gè)URL是否屬于惡意網(wǎng)站，并作出相應(yīng)的處理措施。由于URL地址的數(shù)量極其龐大，而且每天都增加，作用也可能發(fā)生改變。海量URL分類數(shù)據(jù)庫可以及時(shí)跟蹤Internet上的URL地址變化，實(shí)時(shí)更新URL分類信息，保證了URL過濾功能的不斷增強(qiáng)。同時(shí)，管理員也可以在本地網(wǎng)絡(luò)搭建URL分類查詢服務(wù)器。由本地URL分類查詢服務(wù)器從查詢服務(wù)器上學(xué)習(xí)完整的URL分類信息，本地網(wǎng)絡(luò)中的多臺(tái)NGFW再向該服務(wù)器進(jìn)行查詢。這種部署方式節(jié)約了網(wǎng)絡(luò)帶寬，提高了查詢速度，還可以在內(nèi)網(wǎng)中的NGFW無法直接連接Internet時(shí)，仍能實(shí)現(xiàn)實(shí)時(shí)查詢。（6）ASPF深度檢測功能NGFW支持ASPF技術(shù)，ASPF是一種高級通信過濾技術(shù)，它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。NGFW依靠這種基于報(bào)文內(nèi)容的訪問控制，能夠?qū)?yīng)用層的一部分攻擊加以檢測和防范，包括對于FTP命令字、SMTP命令的檢測、HTTP的Java、ActiveX控件等的檢測。ASPF技術(shù)是在基于會(huì)話管理的技術(shù)基礎(chǔ)上提供深層檢測技術(shù)的，ASPF技術(shù)利用會(huì)話管理維護(hù)的信息來維護(hù)會(huì)話的訪問規(guī)則，通過ASPF技術(shù)在會(huì)話管理中保存著不能由靜態(tài)訪問列表規(guī)則保存的會(huì)話狀態(tài)信息。會(huì)話狀態(tài)信息可以用于智能的允許/禁止報(bào)文。當(dāng)一個(gè)會(huì)話終止時(shí)，會(huì)話管理會(huì)將該會(huì)話的相關(guān)信息刪除，NGFW中的會(huì)話也將被關(guān)閉。針對TCP連接，ASPF可以智能的檢測“TCP的三次握手的信息”和“拆除連接的握手信息”，通過檢測握手、拆連接的狀態(tài)檢測，保證一個(gè)正常的TCP訪問可以正常進(jìn)行，而對于非完整的TCP握手連接的報(bào)文會(huì)直接拒絕。在普通的場合，一般使用的是基于ACL的IP包過濾技術(shù)，這種技術(shù)比較簡單，但缺乏一定的靈活性，在很多復(fù)雜應(yīng)用的場合普通包過濾是無法完成對網(wǎng)絡(luò)的安全保護(hù)的。例如對于類似于應(yīng)用FTP協(xié)議進(jìn)行通信的多通道協(xié)議來說，利用ACL規(guī)則配置防火墻是非常困難的。FTP包含一個(gè)預(yù)知端口的TCP控制通道和一個(gè)動(dòng)態(tài)協(xié)商的TCP數(shù)據(jù)通道，對于一般的包過濾防火墻來說，配置安全策略時(shí)無法預(yù)知數(shù)據(jù)通道的端口號，因此無法確定數(shù)據(jù)通道的入口。這樣就無法配置準(zhǔn)確的安全策略。ASPF技術(shù)則解決了這一問題，它檢測IP層之上的應(yīng)用層報(bào)文信息，并動(dòng)態(tài)地根據(jù)報(bào)文的內(nèi)容創(chuàng)建和刪除臨時(shí)的規(guī)則，以允許相關(guān)的報(bào)文通過。ASPF使得NGFW能夠支持一個(gè)控制通道上存在多個(gè)數(shù)據(jù)連接的協(xié)議，同時(shí)還可以在應(yīng)用非常復(fù)雜的情況下方便的制訂各種安全的策略。許多應(yīng)用協(xié)議，如Telnet、SMTP使用標(biāo)準(zhǔn)的或已約定的端口地址來進(jìn)行通信，但大部分多媒體應(yīng)用協(xié)議（如H.323、SIP）及FTP、netmeeting等協(xié)議使用約定的端口來初始化一個(gè)控制連接，再動(dòng)態(tài)的選擇端口用于數(shù)據(jù)傳輸。端口的選擇是不可預(yù)測的，其中的某些應(yīng)用甚至可能要同時(shí)用到多個(gè)端口。ASPF監(jiān)聽每一個(gè)應(yīng)用的每一個(gè)連接所使用的端口，打開合適的通道讓會(huì)話中的數(shù)據(jù)能夠出入NGFW，在會(huì)話結(jié)束時(shí)關(guān)閉該通道，從而能夠?qū)κ褂脛?dòng)態(tài)端口的應(yīng)用實(shí)施有效的訪問控制。當(dāng)報(bào)文通過NGFW時(shí)，ASPF將對報(bào)文與指定的訪問規(guī)則進(jìn)行比較，如果規(guī)則允許，報(bào)文將接受檢查，否則報(bào)文直接被丟棄。如果該報(bào)文是用于打開一個(gè)新的控制或數(shù)據(jù)連接，ASPF將動(dòng)態(tài)的修改規(guī)則，對于回來的報(bào)文只有屬于一個(gè)已經(jīng)存在對應(yīng)的有效規(guī)則，才會(huì)被允許通過。在處理回來的報(bào)文時(shí)，狀態(tài)表也會(huì)隨時(shí)更新。當(dāng)一個(gè)連接被關(guān)閉或超時(shí)后，該連接對應(yīng)的狀態(tài)表將被刪除，確保未經(jīng)授權(quán)的報(bào)文不能隨便通過?；谟脩舻纳暇W(wǎng)流量管控設(shè)計(jì)互聯(lián)網(wǎng)出口帶寬資源是有限的，而校內(nèi)存在大量的用戶，如果不進(jìn)行精細(xì)化的流量控制策略，那么在流量無止境搶占的情況下，所有人的上網(wǎng)體驗(yàn)都會(huì)變得非常糟糕。多種流量管控策略：支持基于IP地址（地址段）的流量控制：IP（段）的流量控制是指根據(jù)報(bào)文源地址、源端口、目的地址、目的端口、協(xié)議這五元組信息匹配限流策略，如果匹配上了則進(jìn)行相應(yīng)的限流，否則不做限流。策略里面可以配置地址或地址的集合，協(xié)議或協(xié)議的集合。基于DPI應(yīng)用的流量控制：DPI(DeepPacketInspection)作為一種較新的包檢測技術(shù)，除了能夠檢測P2P、IM，還可以識別包括VOIP（skype、H.323、SIP、RTP、Net2Phone、Vonage），Game（Diablo、Tantra），web_Video（PPlive、QQlive、SopCast），Stock，Attack等20多種大類，以及上千種應(yīng)用協(xié)議，該DPI庫支持在線升級，保證DPI庫的實(shí)時(shí)更新。用戶根據(jù)DPI應(yīng)用類型分別采取不同的限流策略，包括允許通過、禁止通過、帶寬限速、帶寬保證、閑時(shí)復(fù)用、連接數(shù)限制等?；谟脩簦ㄓ脩艚M）的流量控制：在流量識別對應(yīng)用戶身份的基礎(chǔ)上，防火墻只需要針對用戶（組）信息配置限流策略，而不再需要根據(jù)復(fù)雜多變的IP網(wǎng)段來進(jìn)行限流配置，這樣不同的用戶（組）身份可配置不同的流量控制策略，既簡化了策略配置，又適應(yīng)了校園網(wǎng)復(fù)雜多變的網(wǎng)段規(guī)劃，方便管理員的管理。支持對流量進(jìn)行雙重控制：雙重控制是指可對流量同時(shí)進(jìn)行兩種方式的限流。包括基于每IP的限流和基于整體帶寬限流的兩級控制。支持對流量進(jìn)行保證帶寬控制：是指可以為每個(gè)IP地址設(shè)置最小保證能夠通過的流量，在保證了這些最小帶寬之余，當(dāng)總體帶寬有空余時(shí)，則每個(gè)IP地址能夠通過大于保證帶寬值，而小于最大帶寬值的流量。對于大于保證帶寬的報(bào)文，轉(zhuǎn)發(fā)還是丟棄是按照報(bào)文到達(dá)時(shí)帶寬是否超過總體帶寬來決定，超過時(shí)則丟棄，否則轉(zhuǎn)發(fā)。支持對流量進(jìn)行連接數(shù)控制：連接數(shù)的限制是指對并發(fā)連接數(shù)進(jìn)行限制，現(xiàn)網(wǎng)應(yīng)用P2P等占用了很多連接資源，對連接數(shù)進(jìn)行限制，從而達(dá)到對流量進(jìn)行限制目的。包括基于每IP并發(fā)連接數(shù)限制，基于整體并發(fā)連接數(shù)限制等。支持對流量進(jìn)行選路控制：一些多出口的網(wǎng)絡(luò)部署當(dāng)中，需要對不同的流量進(jìn)行選路控制。比如：要求P2P識別的流量從A接口發(fā)送出去，VOIP的流量從B接口發(fā)送出去；或者一開始所有流量都從主接口發(fā)送出去，當(dāng)主接口的流量超過配置的流量閾值時(shí)則啟動(dòng)備份鏈路，使得超過主接口閾值的流量能從B接口發(fā)送出去?；谟脩舻纳暇W(wǎng)行為管控設(shè)計(jì)互聯(lián)網(wǎng)上存在各種資源，網(wǎng)絡(luò)出口需要對互聯(lián)網(wǎng)資源進(jìn)行必要的過濾，將其中的非法內(nèi)容，特別是涉及到黃賭毒的內(nèi)容進(jìn)行過濾，以對學(xué)校學(xué)生成長提供更完善的保障，同時(shí)也符合法律法規(guī)的要求。上網(wǎng)行為管控功能，運(yùn)用了內(nèi)容過濾技術(shù)，內(nèi)容過濾結(jié)合預(yù)分類技術(shù)和實(shí)時(shí)分析技術(shù)，對于網(wǎng)絡(luò)訪問進(jìn)行控制。顧名思義，預(yù)先分類就是事先對網(wǎng)站進(jìn)行分類，在過濾時(shí)直接查詢網(wǎng)站所屬的分類即可，響應(yīng)速度快，性能高，預(yù)分類庫內(nèi)容支持實(shí)時(shí)動(dòng)態(tài)更新。預(yù)分類技術(shù)可以解決大部分的web訪問安全問題。同時(shí)，對于web及其他網(wǎng)絡(luò)協(xié)議（如FTP、SMTP、POP3等）進(jìn)行深度解析，實(shí)時(shí)分析用戶的行為以及傳輸?shù)膬?nèi)容，根據(jù)組織的需要，對于無用的、有信息安全風(fēng)險(xiǎn)的行為進(jìn)行控制，阻止對于組織有害的網(wǎng)絡(luò)訪問行為的發(fā)生。兩種技術(shù)的完美結(jié)合，極大提升了內(nèi)容檢測的檢測效率和準(zhǔn)確率。安全網(wǎng)關(guān)USG的內(nèi)容識別技術(shù)包括：支持URL分類技術(shù)：URL過濾業(yè)務(wù)通過識別并屏蔽對惡意網(wǎng)站的訪問能夠在一定程度上減少木馬，以及各種各樣的惡意網(wǎng)頁的傳播，為用戶提供一個(gè)更安全的網(wǎng)絡(luò)環(huán)境。對于釣魚網(wǎng)站，URL過濾功能更是其先天的克星。。深度的協(xié)議分析、解碼，多層次、細(xì)粒度的行為控制：通過對HTTP、FTP、SMTP、POP3、webmail的分析，區(qū)分上傳、下載、收郵件、發(fā)送郵件等行為，以及發(fā)送文件的名稱、類型、大小等信息，為組織提供不同層次、不同粒度的控制。組織可以根據(jù)自身的需要，選擇網(wǎng)絡(luò)訪問的完全禁止，或者是允許瀏覽、下載，不允許外發(fā)信息；或者進(jìn)一步允許外發(fā)少量普通文本信息，卻禁止發(fā)送word文檔、源代碼文件等可能涉及核心機(jī)密信息的文件；通過不同層次、粒度的訪問控制，保障組織的網(wǎng)絡(luò)安全、信息安全。一體化內(nèi)容過濾：信息、文件是組織最終需要控制的內(nèi)容，網(wǎng)絡(luò)訪問可以通過各種方法、各種協(xié)議來傳遞這些信息，通過對于關(guān)鍵字、文件名、文件類型等的抽象、公共化，方便用戶的配置。如，管理者希望禁止用戶外發(fā)任何office文檔、壓縮包類文件，則用戶只需要配置一個(gè)文件類型對象組，然后在HTTP、FTP、郵件等相關(guān)協(xié)議中引用即可，不需要為每個(gè)協(xié)議進(jìn)行重復(fù)配置。領(lǐng)先的webmail簽名：可根據(jù)用戶需求為指定的Webmail品牌定制簽名，使Webmail內(nèi)容過濾更具針對性；能精確識別Webmail服務(wù)，包括發(fā)送郵件、上傳附件、發(fā)送賀卡、發(fā)送明星片、設(shè)置自動(dòng)回復(fù)等，為郵件審計(jì)和事后追查提供有力依據(jù)；簽名文件和Webmail服務(wù)器保持同步，當(dāng)Webmail服務(wù)器軟件升級時(shí)，僅需升級Webmail簽名文件，就能對最新的Webmail品牌的做內(nèi)容過濾。上網(wǎng)行為管控功能，主要是對用戶進(jìn)行上網(wǎng)行為分析，根據(jù)企業(yè)管理員制定的規(guī)則，對于不符合規(guī)范的上網(wǎng)行為，進(jìn)行控制和審計(jì)。主要包括下述一些功能：URL過濾功能：包括URL自定義過濾功能、URL熱點(diǎn)庫過濾功能、URL遠(yuǎn)程查詢過濾功能、URL本地黑、白名單過濾功能以及所有這些針對URL的審計(jì)功能等。搜索引擎關(guān)鍵字過濾和審計(jì)功能：支持Google、百度、Bing、雅虎四大主流搜索引擎，可對其搜索的關(guān)鍵字進(jìn)行過濾和審計(jì)。WEB內(nèi)容過濾和審計(jì)功能：支持對訪問的WEB網(wǎng)頁內(nèi)容進(jìn)行過濾；支持禁止上傳和發(fā)表內(nèi)容（論壇、微博等）；支持對上傳和下載文件進(jìn)行控制，包括文件名、文件類型、文件大小郵件內(nèi)容過濾和審計(jì)功能：支持對郵件主題、正文、附件名稱關(guān)鍵字過濾；支持對發(fā)送郵件和接收郵件的發(fā)件人及收件人分別進(jìn)行控制；支持對郵件附件做控制，包括是否允許發(fā)送和接收郵件、發(fā)送和接收郵件的個(gè)數(shù)及大小控制等；支持防垃圾郵件功能，包括自定義黑白名單，預(yù)定義Symantec提供的RBL服務(wù)器FTP內(nèi)容過濾和審計(jì)功能：支持不允許上傳、下載、刪除文件操作；支持對上傳和下載的文件進(jìn)行控制，包括文件大小、文件名稱、文件類型；支持FTP防躲避技術(shù)，避免用戶修改違規(guī)文件名和文件類型后再嘗試下載，或者在上傳文件后重新修改成違規(guī)文件名和文件類型的操作。USG網(wǎng)絡(luò)出口優(yōu)化USG針對網(wǎng)絡(luò)資源實(shí)現(xiàn)精細(xì)化的管理和優(yōu)化，從而讓網(wǎng)絡(luò)資源發(fā)揮出最大的利用率，以增加用戶上網(wǎng)體驗(yàn)。針對多校園的多ISP出口線路，USG有多種方式以提高線路出口的利用率。ISP選路針對不同的ISP地址實(shí)現(xiàn)針對性的出口選路，在多運(yùn)營商出口場景中實(shí)現(xiàn)最短路由。整體思路是通過運(yùn)營商或者組網(wǎng)人員提供的路由IP列表ISP文件導(dǎo)入設(shè)備中，通過給文件設(shè)置下一跳，或者出接口和下一跳以及IP-link參數(shù)的方式，拼接組合得到完整的路由命令，然后通過ISP文件的啟用，達(dá)到控制靜態(tài)路由下發(fā)的目的。智能出站負(fù)載均衡原理UCMP（UnequalCostMultiplePath非等值負(fù)載分擔(dān)），是指如果到達(dá)目的地有多條帶寬不同但優(yōu)先級相同的鏈路，則流量會(huì)根據(jù)帶寬按比例分擔(dān)到每條鏈路上。這樣所有鏈路可根據(jù)帶寬不同而分擔(dān)不同比例的流量，使流量轉(zhuǎn)發(fā)更合理。UCMP原有兩種工作模式：路由權(quán)重負(fù)載分擔(dān)模式和鏈路帶寬負(fù)載分擔(dān)模式。智能負(fù)載均衡功能就是在原有的UCMP功能基礎(chǔ)上進(jìn)行擴(kuò)展，增加了一種UCMP的智能工作模式。智能出站負(fù)載均衡功能基本原理如下：在這種UCMP智能工作模式下，當(dāng)防火墻接收的報(bào)文命中智能出站負(fù)載均衡策略后，防火墻分別在每條等價(jià)鏈路上對遠(yuǎn)端主機(jī)進(jìn)行健康檢查，此健康檢查是使用ICMP協(xié)議的ping功能進(jìn)行探測；根據(jù)針對遠(yuǎn)端主機(jī)健康檢查所得到的遠(yuǎn)端主機(jī)的網(wǎng)絡(luò)時(shí)延，選擇時(shí)延較小的鏈路生成靜態(tài)UNR路由，指導(dǎo)后續(xù)報(bào)文的轉(zhuǎn)發(fā)，以此來合理分配等價(jià)鏈路的帶寬；當(dāng)多個(gè)等價(jià)鏈路其中的某一條鏈路的帶寬占用率已經(jīng)到達(dá)用戶配置的閥值時(shí)，就不觸發(fā)針對遠(yuǎn)端主機(jī)的健康檢查了，直接將該報(bào)文負(fù)載均衡到別的鏈路發(fā)送出去。遠(yuǎn)程訪問互聯(lián)安全遠(yuǎn)程訪問在校園內(nèi)最重要的兩個(gè)場景，一個(gè)是分校區(qū)的整體網(wǎng)絡(luò)互聯(lián)互通，一個(gè)是個(gè)體用戶因?yàn)槌霾罨蛘咂渌?，需要在外網(wǎng)訪問內(nèi)網(wǎng)的資源或者辦公系統(tǒng)。VPN設(shè)備是一個(gè)非常具有性價(jià)比的安全解決方案。其易用性，安全性在全球的各個(gè)行業(yè)環(huán)境中都得到了使用。在本方案中，部署SVN設(shè)備建設(shè)校區(qū)之間與提供外部用戶安全遠(yuǎn)程訪問的平臺(tái)。SVN設(shè)備部署于DMZ區(qū)，經(jīng)過出口防火墻的防御之后，SVN可以提供對外的安全訪問。利用互聯(lián)網(wǎng)的資源實(shí)現(xiàn)靈活VPN組網(wǎng)一般有IPSecVPN和SSLVPN兩種方式。IPSecVPNIPSec（IPSecurity）是一組開放協(xié)議的總稱，特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗(yàn)證，以保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時(shí)的私有性、完整性和真實(shí)性。IPSec協(xié)議有兩種工作模式：隧道模式和傳輸模式。在隧道模式下，IPSec將整個(gè)原始IP數(shù)據(jù)包放入一個(gè)新的IP數(shù)據(jù)包中，這樣每一個(gè)IP數(shù)據(jù)包都有兩個(gè)IP包頭：外部IP包頭和內(nèi)部IP包頭。外部IP包頭指定將對IP數(shù)據(jù)包進(jìn)行IPSec處理的目的地址，內(nèi)部IP包頭指定原始IP數(shù)據(jù)包最終的目的地址。IP包的源地址和目的地址都被隱藏起來，使IP包能安全地在網(wǎng)上傳送。其最大優(yōu)點(diǎn)在于終端系統(tǒng)不必為了適應(yīng)IP安全而作任何改動(dòng)。隧道模式既可以用于兩個(gè)主機(jī)之間的IP通信，又可以用于兩個(gè)安全網(wǎng)關(guān)之間或一個(gè)主機(jī)與一個(gè)安全網(wǎng)關(guān)之間的IP通信。在傳輸模式下，要保護(hù)的內(nèi)容是IP包的載荷，在IP包頭之后和傳輸層數(shù)據(jù)字段之前插入IPSec包頭（AH或ESP或二者同時(shí)），原始的IP包頭未作任何修改，只對包中的凈荷(數(shù)據(jù))部分進(jìn)行加密。由于傳輸模式的IP包頭暴露在外，因而容易遭到攻擊。傳輸模式常用于兩個(gè)終端節(jié)點(diǎn)間的連接，如客戶機(jī)和服務(wù)器之間。IPSec定義了一套用于認(rèn)證、保護(hù)私有性和完整性的標(biāo)準(zhǔn)協(xié)議。它支持一系列加密算法如DES、3DES；檢查傳輸數(shù)據(jù)包的完整性，以確保數(shù)據(jù)沒有被修改。IPSec可用來在多個(gè)防火墻和服務(wù)器之間提供安全性，確保運(yùn)行在TCP/IP協(xié)議上的VPN之間的互操作性。SSLVPNSSLVPN是以SSL/TLS協(xié)議為基礎(chǔ)，利用標(biāo)準(zhǔn)瀏覽器都內(nèi)置支持SSL/TLS的優(yōu)勢，對其應(yīng)用功能進(jìn)行擴(kuò)展的新型VPN。SSL協(xié)議最初是由Netscape公司開發(fā)，用于保護(hù)web通信安全。到目前為止，SSLv3和TLS1.0（也被成為SSLv3.1）得到了廣泛的應(yīng)用，2006年IETF推出了TLS1.1協(xié)議（RFC4346），2006年IETF推出了TLS1.2(RFC5246)并在2011年對其進(jìn)行了修正（RFC6176）。隨著SSL協(xié)議的不斷完善，包括微軟IE在內(nèi)的愈來愈多的瀏覽器支持SSL，SSL協(xié)議成為應(yīng)用最廣泛的安全協(xié)議之一。SSL協(xié)議分為兩層，上層是握手協(xié)議，底層是記錄協(xié)議。SSL握手協(xié)議主要完成客戶端與服務(wù)器之間的相互認(rèn)證，協(xié)商加密算法與密鑰。在握手協(xié)議中，認(rèn)證可以是雙向的，協(xié)商密鑰的過程是可靠的，協(xié)商得到的密鑰是安全的。SSL記錄協(xié)議建立在可靠的傳輸協(xié)議之上，主要完成數(shù)據(jù)的加密和鑒別。通過對稱密碼算法確保了數(shù)據(jù)傳輸?shù)臋C(jī)密性，通過HMAC算法確保數(shù)據(jù)傳輸過程的完整性。由此可見，SSL協(xié)議從以下方面確保了數(shù)據(jù)通信的安全：認(rèn)證－在建立SSL連接之前，客戶端和服務(wù)器之間需要進(jìn)行認(rèn)證，認(rèn)證采用數(shù)字證書，可以是客戶端對服務(wù)器的認(rèn)證，也可以是雙方進(jìn)行雙向認(rèn)證。機(jī)密性－采用加密算法對需要傳輸?shù)臄?shù)據(jù)進(jìn)行加密。完整性－采用數(shù)據(jù)鑒別算法驗(yàn)證所接收的數(shù)據(jù)在傳輸過程中是否被修改。除了web訪問、TCP/UDP應(yīng)用之外，SSLVPN還能夠?qū)P通信進(jìn)行保護(hù)。在保證通信安全性的基礎(chǔ)上，SSLVPN實(shí)現(xiàn)了更加細(xì)致的訪問控制能力，大大增強(qiáng)了對內(nèi)網(wǎng)的安全保護(hù)。同時(shí)，SSLVPN通信基于標(biāo)準(zhǔn)TCP/IP，因而不受NAT限制，能夠穿越防火墻，使用戶在任何地方都能夠通過SSLVPN網(wǎng)關(guān)代理訪問內(nèi)網(wǎng)資源，使得遠(yuǎn)程安全接入更加靈活簡單。另外，使用SSLVPN訪問B/S應(yīng)用時(shí)不需要安裝任何客戶端軟件，只要用標(biāo)準(zhǔn)的瀏覽器就可以實(shí)現(xiàn)對內(nèi)網(wǎng)Web資源的訪問，省去了客戶端的繁瑣的維護(hù)和支持工作，不僅極大地解放了IT管理員的時(shí)間和精力，更提高了遠(yuǎn)程接入人員（如出差員工）的工作效率，節(jié)省了企業(yè)的培訓(xùn)和IT服務(wù)費(fèi)用；同時(shí)，也意味著遠(yuǎn)程用戶在進(jìn)行遠(yuǎn)程訪問時(shí)不會(huì)再受到地域的限制，不論是在公共網(wǎng)吧或是在商業(yè)合作伙伴那里，甚至是隨手借一臺(tái)筆記本，只要有網(wǎng)絡(luò)，遠(yuǎn)程訪問就沒問題。用戶上網(wǎng)行為安全審計(jì)網(wǎng)絡(luò)行為審計(jì)的意義互聯(lián)網(wǎng)行為牽涉到方方面面，如果缺乏監(jiān)管，將對正常的工作和學(xué)習(xí)帶來極大的安全隱患，并且根據(jù)國家公安部82號令的要求，各獨(dú)立網(wǎng)絡(luò)需要對上網(wǎng)行為日記進(jìn)行記錄，以配合違法追溯。為了實(shí)現(xiàn)對網(wǎng)絡(luò)行為的審計(jì)，滿足國家相關(guān)法律法規(guī)要求，在網(wǎng)絡(luò)骨干部署上網(wǎng)行為管理設(shè)備，對全網(wǎng)網(wǎng)絡(luò)行為進(jìn)行審計(jì)。上網(wǎng)行為管理采用旁掛模式部署，對整體的網(wǎng)絡(luò)結(jié)構(gòu)完全不造成任何影響。在核心交換機(jī)上接入，把全網(wǎng)上網(wǎng)流量進(jìn)行鏡像到上網(wǎng)行為管理接口，上網(wǎng)行為管理對流量進(jìn)行分析和記錄。并且核心交換機(jī)會(huì)把用戶認(rèn)證的信息，包括用戶賬號，動(dòng)態(tài)獲得的IP地址對應(yīng)關(guān)系也一并傳遞到上網(wǎng)行為管理，使上網(wǎng)行為管理能實(shí)現(xiàn)完整的行為記錄。網(wǎng)絡(luò)審計(jì)效果上網(wǎng)行為管理可以對絕大部分的網(wǎng)絡(luò)行為進(jìn)行審計(jì)，包括：應(yīng)用審計(jì)審計(jì)應(yīng)用的分類、應(yīng)用名、使用該應(yīng)用的用戶、用戶所在部門、目的地址、應(yīng)用流量、應(yīng)用使用時(shí)長等。知名端口非標(biāo)協(xié)議審計(jì)審計(jì)常見端口（21、25、80、110和443端口）上的非標(biāo)準(zhǔn)協(xié)議流量，以識別潛在風(fēng)險(xiǎn)。URL訪問審計(jì)審計(jì)域用戶所訪問的URL，支持審計(jì)所有URL和僅審計(jì)指定分類的URL。Web內(nèi)容上傳審計(jì)審計(jì)用戶通過HTTP協(xié)議POST的內(nèi)容，供事后追查在論壇/博客上發(fā)表的不良言論。Web文件外發(fā)審計(jì)審計(jì)用戶通過HTTP協(xié)議上傳的文件，有效追蹤泄密事件。Web文件下載行為審計(jì)審計(jì)用戶通過網(wǎng)站下載的文件名稱、類型和大小，了解用戶下載行為。郵件審計(jì)支持審計(jì)郵件標(biāo)題、郵件內(nèi)容、發(fā)件人、收件人、郵件附件等。IM聊天審計(jì)IM審計(jì)需要使用上網(wǎng)行為管理客戶端，可以審計(jì)的IM軟件包括QQ、阿里旺旺、飛信、MSN、雅虎通和Gtalk，可以審計(jì)聊天內(nèi)容和外發(fā)的附件。根據(jù)以上審計(jì)內(nèi)容，上網(wǎng)行為管理可以形成詳細(xì)的報(bào)告和相關(guān)數(shù)據(jù)趨勢分析，幫助實(shí)現(xiàn)精準(zhǔn)的違法溯和網(wǎng)絡(luò)行為趨勢分析。校園網(wǎng)WLAN覆蓋方案校園網(wǎng)WLAN覆蓋需求分析隨著智能終端的飛速發(fā)展和普及，園區(qū)覆蓋WLAN已經(jīng)是難以阻擋的趨勢。為了更好服務(wù)于校園內(nèi)的各類用戶，在校園內(nèi)的各個(gè)場景中建設(shè)具有較高用戶體驗(yàn)的WLAN覆蓋。根據(jù)不同的場景和不同的業(yè)務(wù)需求，對于WLAN覆蓋的要求也有差異，需要根據(jù)差異性選擇不同的WLAN設(shè)備進(jìn)行部署，以達(dá)到最好的使用效果。場景需求分析主要覆蓋場景中，筆記本、臺(tái)式計(jì)算機(jī)、智能手機(jī)、平板電腦等多種類型WIFI無線終端，802.11a、802.11b、802.11g、802.11n等多種標(biāo)準(zhǔn)的終端均可便捷接入，滿足我校網(wǎng)絡(luò)師生接入覆蓋需求。學(xué)生公寓區(qū)域重點(diǎn)覆蓋區(qū)，滿足100%用戶并發(fā)，接入速率不低于2Mbps；雙頻覆蓋，2.4GHz和5GHz邊緣場強(qiáng)均大于-60dBm。教室區(qū)域一般覆蓋區(qū)，滿足30%用戶并發(fā)，學(xué)生同時(shí)接入上網(wǎng)，并發(fā)接入速率不低于1Mbps；雙頻覆蓋，2.4GHz和5GHz邊緣場強(qiáng)均大于75dBm。會(huì)議室、學(xué)術(shù)交流廳、演播廳重點(diǎn)覆蓋區(qū)，滿足40%師生同時(shí)上網(wǎng)；并發(fā)接入速率不低于1Mbps；雙頻覆蓋，2.4GHz和5GHz邊緣場強(qiáng)均大于-70dBm。辦公區(qū)重點(diǎn)覆蓋區(qū)，滿足100%用戶并發(fā)，辦公人員同時(shí)上網(wǎng)，并發(fā)接入速率不低于2Mbps；雙頻覆蓋，2.4GHz和5GHz邊緣場強(qiáng)均大于-70dBm圖書館閱覽室重點(diǎn)覆蓋區(qū)，滿足40%并發(fā)上網(wǎng)，同時(shí)接入速不低于1Mbps；雙頻覆蓋，2.4GHz和5GHz邊緣場強(qiáng)均大于-70dBm食堂區(qū)域重點(diǎn)覆蓋區(qū)域，滿足同時(shí)就餐師生15%并發(fā)上網(wǎng)，同時(shí)接入速率不低于1Mbp；雙頻覆蓋，2.4GHz和5GHz邊緣場強(qiáng)均大于-65dBm廣場，操場室外場景一般覆蓋區(qū)域，雙頻覆蓋，2.4GHz和5GHz邊緣場強(qiáng)均大于-75dBm。無線應(yīng)用需求分析服務(wù)質(zhì)量QoS無線漫游：覆蓋區(qū)域內(nèi)無線漫游，用戶終端從一個(gè)AP覆蓋范圍移動(dòng)到另一個(gè)AP覆蓋范圍，無需重新登錄和認(rèn)證；精細(xì)化控制：老師、學(xué)生、訪客不同的角色擁有不同的權(quán)限，且教師和學(xué)生之間要隔離，限制教師和學(xué)生互訪；多用戶調(diào)度：AP能感知接入用戶數(shù)量，靈活調(diào)整物理信道競爭參數(shù)，降低碰撞幾率，避免過多的用戶接入同一AP，保障服務(wù)質(zhì)量和體驗(yàn)。安全防護(hù)無線安全加密：無線信號是開放的，任何人都可以接受到，存在數(shù)據(jù)被竊聽，篡改等安全隱患，WLAN無線網(wǎng)絡(luò)需要支持WEP、WPA/WPA2、WAPI等加密認(rèn)證方式，充分保證學(xué)校師生重要信息的私密性，數(shù)據(jù)傳輸?shù)陌踩?。無線入侵防護(hù)：為了更好的保證網(wǎng)絡(luò)的安全性和可靠性，WLAN無線網(wǎng)需要支持泛洪攻擊、Spoof攻擊、暴力PSK破解、WeakIV等WIDS/WIPS安全防護(hù)。穩(wěn)定可靠AP設(shè)備：室外AP設(shè)備的防塵、防水的防護(hù)等級達(dá)到IP67要求，同時(shí)AP自身內(nèi)置5kV防雷器，減少工程施工和網(wǎng)絡(luò)運(yùn)維的困難。AC設(shè)備：AC支持1+1熱備份，解決AC單點(diǎn)故障問題。網(wǎng)絡(luò)鏈路：本地轉(zhuǎn)發(fā)模式下，若遇到CAPWAP隧道中斷、AC故障、控制鏈路錯(cuò)誤等問題時(shí)，AP可進(jìn)入半自治狀態(tài)，繼續(xù)對終端業(yè)務(wù)數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)，業(yè)務(wù)不中斷，保障用戶體驗(yàn)。認(rèn)證計(jì)費(fèi)認(rèn)證方式：認(rèn)證系統(tǒng)需要支持Portal、MAC、802.1x等多種認(rèn)證方式，以滿足不同場景下，不同群體（老師，學(xué)生，訪客）的接入認(rèn)證需求。計(jì)費(fèi)方式：需要針對不同的群體實(shí)現(xiàn)差異化的靈活計(jì)費(fèi)方式，如基于時(shí)長（包月、包年），基于流量、基于DAA（目的地址計(jì)費(fèi)）等。與有線網(wǎng)絡(luò)兼容新建WLAN網(wǎng)絡(luò)必須考慮與原有有線網(wǎng)絡(luò)之間的兼容，實(shí)現(xiàn)與現(xiàn)有系統(tǒng)使用同一個(gè)賬號、密碼進(jìn)行認(rèn)證，并獲取相同的訪問權(quán)限，與有線網(wǎng)絡(luò)使用同一個(gè)賬號、密碼進(jìn)行計(jì)費(fèi)，使用不同的計(jì)費(fèi)策略。運(yùn)行維護(hù)網(wǎng)絡(luò)監(jiān)控：通過網(wǎng)管軟件查看當(dāng)前設(shè)備物理拓?fù)洌苯语@示設(shè)備間連接關(guān)系，監(jiān)控設(shè)備及鏈路狀態(tài)。通過WLAN業(yè)務(wù)拓?fù)浔O(jiān)控?zé)o線設(shè)備告警、狀態(tài)、網(wǎng)絡(luò)設(shè)備邏輯結(jié)構(gòu)，包括AC、AP、終端用戶、非法AP的邏輯連接關(guān)系及其詳細(xì)信息，并在拓?fù)涮峁┮欢ü收显\斷處理能力。故障恢復(fù)：通過網(wǎng)管遠(yuǎn)程批量重啟AP，恢復(fù)AP配置。通過網(wǎng)管快速完成AP替換，替換后業(yè)務(wù)不變。無線方案產(chǎn)品結(jié)構(gòu)AP設(shè)備：選用室內(nèi)或者室外型AP11ac2*2MIMO設(shè)備就近接入接入交換機(jī)，對于報(bào)告廳，體育館等高密場景使用3*3MIMO設(shè)備或者11ac設(shè)備以提高單臺(tái)AP容量。接入交換機(jī)：接入層新增千兆POE接入交換機(jī)，滿足AP供電以及WLAN11n/11ac對接入帶寬的需求。接入交換機(jī)選擇華為S5700-24TP-PWR-SI和S5700-48TP-PWR-SI。AC設(shè)備：由于S771000隨板內(nèi)置AC功能，因此AC設(shè)備無需在單獨(dú)購買；有線無線網(wǎng)絡(luò)深度融合方案傳統(tǒng)校園網(wǎng)絡(luò)中常見的無線部署方式有獨(dú)立AC或插卡式AC，不管采用哪種，所有無線流量都要通過AC集中轉(zhuǎn)發(fā)，有線和無線網(wǎng)絡(luò)在轉(zhuǎn)發(fā)和控制層面上是分離的。隨著802.11ac時(shí)代的到來和智能終端設(shè)備的普及，校園中學(xué)生可能手持智能手機(jī)、Pad、便攜等多種設(shè)備高速上網(wǎng)，AC設(shè)備由于轉(zhuǎn)發(fā)能力、端口各方面的限制將逐漸成為流量瓶頸。因而有線和無線網(wǎng)絡(luò)如果想要獲得一致的使用和管理體驗(yàn)，不能僅僅依靠目前常見的AC插卡式整合部署的方式，還需要在此基礎(chǔ)之上向深度融合演進(jìn)。如圖在本部署方案中采用敏捷交換機(jī)7710的有線無線融合理念實(shí)現(xiàn)有線無線流量深度融合，具體包括：融合轉(zhuǎn)發(fā)：敏捷交換機(jī)支持隨板AC功能，有線無線流量都直接在交換機(jī)處理，報(bào)文轉(zhuǎn)發(fā)行為一致，不存在AC集中后再通過有線轉(zhuǎn)發(fā)的情況，消除無線流量瓶頸限制，整機(jī)轉(zhuǎn)發(fā)能力能達(dá)到Tbit，學(xué)校不需要單獨(dú)購買AC設(shè)備或者插卡，既解決了節(jié)省了投資又減少了故障點(diǎn)。融合管理：借鑒業(yè)界AC管理AP的成功經(jīng)驗(yàn)，讓敏捷交換機(jī)把接入層交換機(jī)也管理起來，有線無線采用一種協(xié)議，通過CAPWAP隧道實(shí)現(xiàn)一致的管理機(jī)制，實(shí)現(xiàn)接入交換機(jī)即插即用，降低信息中心老師日常工作中的管理復(fù)雜度。敏捷分布式AP華為敏捷分布式方案,華為敏捷分布式方案,是華為最新一代分布式Wi-Fi方案，包含AD9430DN-24中心AP和R240D遠(yuǎn)端接入單元兩個(gè)部分；一個(gè)中心AP可直連24個(gè)遠(yuǎn)端接入單元，并同時(shí)提供POE供電；遠(yuǎn)端接入單元內(nèi)置天線，美觀大方，支持吸頂、掛墻、面板式多種安裝方式。華為敏捷分布式方案，可靠性高，管理便捷，投資回報(bào)率高，非常適用于學(xué)校房間密度大、墻體環(huán)境復(fù)雜的場景。敏捷分布式方案射頻規(guī)劃與IP地址規(guī)劃一樣，WLAN信道是WLAN網(wǎng)絡(luò)設(shè)計(jì)中重要一環(huán)，大型無線校園網(wǎng)必須對WLAN信道進(jìn)行統(tǒng)一規(guī)劃。WLAN信道規(guī)劃的好壞，影響到無線網(wǎng)絡(luò)的帶寬、無線網(wǎng)絡(luò)的性能、無線網(wǎng)絡(luò)的擴(kuò)展以及無線網(wǎng)絡(luò)的抗干擾能力，也必將直接影響到無線網(wǎng)絡(luò)的用戶體驗(yàn)。頻點(diǎn)劃分為保證信道之間不相互干擾，大型無線校園網(wǎng)必須對WLAN信道進(jìn)行統(tǒng)一規(guī)劃并實(shí)施。WLAN系統(tǒng)主要應(yīng)用兩個(gè)頻段：2.4GHz和5.0GHz。2.4G頻段具體頻率范圍為2.4～2.4835GHz的連續(xù)頻譜，信道編號1～14，非重疊信道共有三個(gè)，一般選取1、6、11這三個(gè)非重疊信道。5.0G頻段分配的頻譜并不連續(xù)，主要有兩段：5.15～5.35GHz、5.725GHz～5.85GHz。不重疊信道在5.15～5.35GHz頻段有8個(gè)，分別為36、40、44、48、52、56、60、64；在5.725GHz～5.85GHz頻段有4個(gè)，分別為149、153、157、161，可以根據(jù)實(shí)際部署情況，選擇相應(yīng)的非重疊信道。信道覆蓋WLAN信道規(guī)劃需遵循兩個(gè)原則：蜂窩覆蓋、信道間隔。根據(jù)覆蓋密度、干擾情況、選擇2.4G/5G單頻或雙頻覆蓋。AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道，避免信號相互干擾；一般情況單獨(dú)使用2.4G或5.0G的頻段，對于會(huì)議室等高密度用戶接入的場所，可以啟用雙頻進(jìn)行覆蓋，以便提供更好的接入能力。單頻覆蓋和雙頻覆的示意圖如下圖所示。信道覆蓋示意圖鏈路預(yù)算WLAN鏈路預(yù)算一般經(jīng)過邊緣場強(qiáng)確認(rèn)，空間損耗計(jì)算，覆蓋距離計(jì)算等步驟。邊緣場強(qiáng)確認(rèn)是指：在WLAN工程部署中，要求重點(diǎn)覆蓋區(qū)域內(nèi)的WLAN信號到達(dá)用戶終端的電平不低于－75dBm。這樣可以保障用戶與AP的協(xié)商速率以及收發(fā)數(shù)據(jù)質(zhì)量?？臻g損耗計(jì)算通常采用如下公式：。其中：Pr[dB]為最小接收電平，即為AP在不同傳輸速率下的接收靈敏度；Pt[dB]為最大發(fā)射功率；Gt[dB]為發(fā)射天線增益；Gr[dB]為接收天線增益；Pl[dB]為路徑損耗（包括空間傳播損耗、饋線傳播損耗、墻體/玻璃阻擋損耗）。實(shí)際部署中終端天線增益不可知，為方便計(jì)算常忽略接收天線增益，而采用如下公式：到達(dá)用戶端的信號電平＝AP發(fā)射功率＋AP天線增益－路徑損耗。路徑損耗主要指WLAN信號的空間損耗，空間損耗＝92.4+20lgf+20lgd（f：GHz，d：km）。由公式推算可知：空間傳輸距離100m200m300m400m500m600m1000m100m2.4GHz信號的空間衰減(dBm)808689.5929495.5100805.8GHz信號的空間衰減(dBm)87.693.697.199.6101.6103.1107.687.6為便于理解鏈路估算的過程，這里給出一個(gè)室外場景覆蓋和室內(nèi)場景覆蓋的預(yù)算案例：根據(jù)WLAN覆蓋邊緣場強(qiáng)的要求，到達(dá)終端用戶的信號電平不低于－75dBm，500mWAP的輸出電平27dBm，天線增益11dBi，距離AP500m處信號的衰減量94dBm，由于27+11-94＝-56dBm，大于-75dBm，因此在通常情況下，AP的覆蓋范圍為500m。由于數(shù)據(jù)通信是雙向的，終端的信號發(fā)射功率相對AP較弱，綜合考慮，一般室外AP的覆蓋范圍為200m～300m。有些場景需要利用無線AP設(shè)備做橋接，華為AP橋接可以按照3km～5km規(guī)劃。根據(jù)WLAN覆蓋邊緣場強(qiáng)的要求，到達(dá)終端用戶的信號電平不低于－75dBm，100mWAP的輸出電平20dBm，天線增益4dBi，距離AP60m處信號的衰減量90dBm，由于20+4-90＝-66dBm，大于-75dBm，因此在正常情況下，室內(nèi)AP的覆蓋范圍為60m?？紤]到室內(nèi)環(huán)境復(fù)雜，無線信號需要穿越墻體等障礙物，一般覆蓋半徑為20m左右。規(guī)劃工具無論是室內(nèi)還是室外，精細(xì)地覆蓋規(guī)劃都是一件非常有挑戰(zhàn)的工作。很多項(xiàng)目的無線網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)完全參照經(jīng)驗(yàn)進(jìn)行設(shè)計(jì)，與現(xiàn)網(wǎng)環(huán)境不能有機(jī)結(jié)合，不但缺乏科學(xué)的依據(jù)，準(zhǔn)確率也不高，且規(guī)劃效率低下。粗放的覆蓋規(guī)劃不能充分發(fā)揮WLAN的性能，并且也給后期維護(hù)優(yōu)化帶來更多的工作量，增加后期成本。華為提供專業(yè)的規(guī)劃服務(wù)工具，可以提供從規(guī)劃、建設(shè)和優(yōu)化全流程的工具支撐，大大提升高校這種場景覆蓋規(guī)劃的效率和準(zhǔn)確性。使用效果SSID和漫游規(guī)劃SSID規(guī)劃AP可以配置多個(gè)SSID，華為單頻AP可支持16個(gè)SSID，雙頻AP可支持32個(gè)SSID。通過配置多個(gè)SSID，AC針對不同的SSID下發(fā)不同的策略，SSID根據(jù)策略進(jìn)行終端與業(yè)務(wù)管理。無線網(wǎng)絡(luò)可按照用戶群體劃分不同的SSID，如下圖所示，針對三種不同的用戶群體，在AP上設(shè)置了3個(gè)SSID：SSID1用于學(xué)生、SSID2用于訪客和SSID3用于教師。SSID規(guī)劃業(yè)務(wù)類型SSID認(rèn)證方式密碼電子書包YJ-GYZX-DZSBMAC認(rèn)證無無線訪客YJ-GYZX-Guest二維碼認(rèn)證無線辦公YJ-GYZX-OFFICEPortal無線學(xué)生YJ-GYZX-StudentPortalSSID和VLAN的映射通常，以太網(wǎng)中管理VLAN和業(yè)務(wù)VLAN是分離的。業(yè)務(wù)VLAN主要用于區(qū)分不同的業(yè)務(wù)類型或用戶群體。在WLAN網(wǎng)絡(luò)中SSID也同樣可以承擔(dān)相應(yīng)的工作。因此，在SSID的規(guī)劃中必須綜合考慮VLAN與SSID的映射關(guān)系。業(yè)務(wù)VLAN應(yīng)根據(jù)實(shí)際業(yè)務(wù)需要與SSID匹配映射關(guān)系，映射關(guān)系有1:1、1:N、N:1、N:N四種。漫游規(guī)劃漫游是指用戶在部署了WLAN網(wǎng)絡(luò)的場所移動(dòng)時(shí)，用戶終端可以從一個(gè)AP的覆蓋范圍移動(dòng)到另一個(gè)AP的覆蓋范圍，用戶無需重新登錄和認(rèn)證，如下圖所示。WLAN網(wǎng)絡(luò)漫游中需要了解以下兩點(diǎn)：1、漫游過程中SSID必須一致，且使用相同的安全設(shè)置。2、漫游中選擇連接哪個(gè)AP是無線客戶端的動(dòng)作，這個(gè)切換的時(shí)機(jī)和快慢受無線客戶端的芯片或設(shè)置的影響，所以在漫游切換過程中會(huì)出現(xiàn)不同的終端切換性能有差異。漫游規(guī)劃電子書包場景覆蓋覆蓋需求教室內(nèi)的無線覆蓋主要是滿足學(xué)生PAD電子書包和老師的上網(wǎng)需求。具體業(yè)務(wù)和覆蓋需求如下：滿足學(xué)生單用戶的下行容量4M，上行容量2M滿足教師單用戶的下行容量4M,上行容量2M整體環(huán)境要求普遍覆蓋，各子空間要求全覆蓋，但是用戶同時(shí)業(yè)務(wù)的并發(fā)率高，用戶密度高?？偨Y(jié)此類場景的特點(diǎn)：半開放式室內(nèi)環(huán)境，教室之間緊密相連，教室的結(jié)構(gòu)不固定并發(fā)率高，主要用于學(xué)生課堂學(xué)習(xí)互動(dòng)，帶寬需求大于4M設(shè)備選型教室的教育終端主要為PAD，筆記本電腦等設(shè)備，wifi模式主要為11g/n。因此要選擇11N的設(shè)備。終端多支持5.8G，考慮到以后的擴(kuò)展，因此選擇三頻設(shè)備；綜合以上兩點(diǎn)，該場景下選用放裝型、三射頻頻、雙空間流、11N設(shè)備。天線選型室內(nèi)產(chǎn)品最好能內(nèi)置天線，以便AP可以與教室的環(huán)境融合，減少對現(xiàn)有結(jié)構(gòu)的施工。部署方案設(shè)備可同時(shí)滿足40～50個(gè)終端/每人4M的速率，覆蓋范圍通常大于友商30%左右。因此每個(gè)教室放置1個(gè)AP。教室部署方案圖書館場景覆蓋覆蓋需求江門廣雅圖書館無線覆蓋，主要是為了滿足校內(nèi)師生在圖書館內(nèi)，登陸圖書館網(wǎng)站、學(xué)校網(wǎng)站和部分公共網(wǎng)站（學(xué)術(shù)新刊論文類網(wǎng)站）的業(yè)務(wù)需求。細(xì)化的業(yè)務(wù)和覆蓋需要如下：提供穩(wěn)定、流暢的網(wǎng)絡(luò)速率，保證師生通過個(gè)人終端（筆記本電腦+PAD）能正常登錄圖書管網(wǎng)站、學(xué)校網(wǎng)站和公共網(wǎng)站，且上網(wǎng)體驗(yàn)良好江門廣雅圖書館內(nèi)設(shè)的電子閱覽室和辦公室已布置了有線網(wǎng)絡(luò)，無線網(wǎng)絡(luò)主要覆蓋期刊/書籍閱覽室，各層自習(xí)室，二層大廳和六層的咖啡廳圖書館大廳流動(dòng)性較強(qiáng)，主要上網(wǎng)需求為查詢書籍借閱信息，閱讀圖書館公告等，同時(shí)有上網(wǎng)需求圖書館自習(xí)室設(shè)置固定座位，主要上網(wǎng)需求為：1）登陸圖書館網(wǎng)站和外部公共期刊網(wǎng)站，查詢/下載論文；2）登陸學(xué)校網(wǎng)站，查看公共課程，下載課程輔助學(xué)習(xí)資料（主要是課件和歷年考題等）。上網(wǎng)并發(fā)率80%總結(jié)此類場景的特點(diǎn)：半開放式室內(nèi)環(huán)境，整體環(huán)境嵌套多個(gè)子空間環(huán)境，子空間環(huán)境種類多：高密度室內(nèi)場景（自習(xí)室、休息廳）；低密度室內(nèi)場景（閱覽室）；流動(dòng)性室內(nèi)場景（圖書館大廳）主要上網(wǎng)需求為網(wǎng)業(yè)瀏覽和網(wǎng)頁操作，帶寬需求小于2M設(shè)備選型終端類型：主要為筆記本，也會(huì)有少量PAD，wifi網(wǎng)卡模式主要為11g/n模式，雙空間流業(yè)務(wù)帶寬需求小于2M1）自習(xí)室、休息廳這類高密度室內(nèi)場景采用放裝設(shè)備；2）圖書館大廳流動(dòng)性場景，也存在突發(fā)大用戶量的可能，采用放裝設(shè)備。綜合上述，選用放裝型、雙頻、雙空間流、11N設(shè)備，且可同時(shí)滿足20-20個(gè)用戶，每用戶1-2M的穩(wěn)定帶寬。天線選型室內(nèi)產(chǎn)品最好能內(nèi)置天線，以便AP可以與圖書館的環(huán)境融合，減少對現(xiàn)有結(jié)構(gòu)的施工。部署方案二層圖書館大廳無線覆蓋規(guī)劃如下圖：舊刊閱覽室和現(xiàn)刊閱覽室內(nèi)分別布放一臺(tái)AP，滿足閱覽室內(nèi)的上網(wǎng)需求；大廳內(nèi)的AP壁掛放置在休息區(qū)沙發(fā)椅上方的墻壁，主要滿足大廳內(nèi)師生的上網(wǎng)需求；圖書館部署方案宿舍場景覆蓋覆蓋需求江門廣雅為了打造“無線校園”，計(jì)劃將無線網(wǎng)絡(luò)引入學(xué)生宿舍，實(shí)現(xiàn)無線入室，使100%的學(xué)生能夠通過無線網(wǎng)絡(luò)上網(wǎng)沖浪。細(xì)化覆蓋需求如下：無線網(wǎng)絡(luò)能夠滿足60%學(xué)生的同時(shí)上網(wǎng)需求。學(xué)生的上網(wǎng)業(yè)務(wù)主要有：瀏覽網(wǎng)頁，觀看視頻，下載學(xué)習(xí)/娛樂資料等。要求目標(biāo)覆蓋區(qū)域內(nèi)95％以上的位置，接收信號電平≥-75dBm，公寓樓內(nèi)學(xué)生宿舍均能搜索到無線網(wǎng)絡(luò)總結(jié)此類場景的特點(diǎn)：覆蓋區(qū)域聯(lián)片，宿舍間緊密相鄰用戶并發(fā)率60%設(shè)備選型江門廣雅一間宿舍有4人，每人帶寬1-2M學(xué)生使用的多為筆記本電腦或USB無線網(wǎng)卡，主要是11N模式覆蓋區(qū)域內(nèi)95%以上的位置要求信號強(qiáng)度≥-75dBm。學(xué)生宿舍網(wǎng)絡(luò)的高峰期相對集中，在晚上1-2個(gè)小時(shí)內(nèi)綜合考慮，選擇放裝型，雙頻，雙空間流，11N設(shè)備.天線選型室內(nèi)產(chǎn)品最好能內(nèi)置天線，以便AP可以與圖書館的環(huán)境融合，減少對現(xiàn)有結(jié)構(gòu)的施工。部署方案江門廣雅公寓樓為單/雙側(cè)聯(lián)排，無獨(dú)立衛(wèi)生間結(jié)構(gòu)。宿舍門為木門（厚度約5cm左右，普通板材），木門上方有玻璃窗，無吊頂。每間宿舍住4名學(xué)生。宿舍樓內(nèi)重點(diǎn)覆蓋學(xué)生宿舍，洗手間，洗浴室等不需覆蓋。可同時(shí)滿足20-30個(gè)用戶，1～2M的帶寬需求，考慮到墻體的衰減，設(shè)計(jì)4個(gè)宿舍共用一個(gè)AP。具體設(shè)計(jì)如下圖所示。宿舍部署方案校園室外覆蓋覆蓋需求湖邊，草地，廣場這類場所是高校校園室外覆蓋的典型場景。相對于室內(nèi)環(huán)境，室外環(huán)境要更加惡劣，部署的AP要面臨嚴(yán)寒酷暑，風(fēng)吹雨淋以及雷電災(zāi)害的挑戰(zhàn)。江門廣雅無線網(wǎng)絡(luò)建設(shè)的室外重點(diǎn)覆蓋區(qū)域?yàn)槭彝怏w育場、校內(nèi)綠化休息區(qū)和學(xué)校廣場。細(xì)化覆蓋需求如下：覆蓋范圍內(nèi)，用戶通過無線網(wǎng)絡(luò)可以隨時(shí)、隨地、隨意無線上網(wǎng)重點(diǎn)覆蓋范圍(室外體育場、校綠化草地和學(xué)校校廣場)內(nèi)90%的區(qū)域信號強(qiáng)度>-75dBm除重點(diǎn)覆蓋區(qū)域外，無線信號覆蓋校園內(nèi)70%的區(qū)域總結(jié)此類場景特點(diǎn)：覆蓋區(qū)域?yàn)槭彝忾_發(fā)空間覆蓋區(qū)域相對空曠，無密集建筑物遮擋用戶的流動(dòng)性強(qiáng)，上網(wǎng)帶寬需求小設(shè)備選型此類校園網(wǎng)場景，室外重點(diǎn)覆蓋的區(qū)域一般在300-500平方米，設(shè)備要有防塵，防雨，防雷的能力，應(yīng)選用防護(hù)等級為IP67，內(nèi)置防雷器，雙空間流，11N設(shè)備。天線選型室外型AP一般選配室外型定向或全向天線。校園網(wǎng)場景中，單AP的覆蓋距離一般為200m-400m。重點(diǎn)覆蓋區(qū)域的周邊有高層建筑物，2.4G使用室外定向11dBi雙極化天線，5G頻段使用11.5dBi定向天線。覆蓋方案考慮到操場的用戶并發(fā)數(shù)會(huì)相對較多，AP的實(shí)際安裝位置，需要借助周邊的建筑如，例如建筑物頂樓，具體覆蓋規(guī)劃及AP波束方向示意如下圖所示。室外部署方案WLAN業(yè)務(wù)QoS規(guī)劃WLANQoS保證不同質(zhì)量的無線接入服務(wù)之間的互通，滿足實(shí)際應(yīng)用的需求。如下圖所示，在校園網(wǎng)中，常采用無線空口做WMM調(diào)度，有線側(cè)進(jìn)行優(yōu)先級映射，校園網(wǎng)做DiffServ調(diào)度的方式，最大程度優(yōu)化網(wǎng)絡(luò)發(fā)生擁塞時(shí)的核心業(yè)務(wù)和VIP用戶服務(wù)質(zhì)量。高校中的QOS