校园网络建设方案2.doc 86页

'校园网络建设方案一、项目建设背景天水农业学校目前位于清水县城东关，是1969年由兰州下迁成立的，2000年被甘肃省政府确认为"省部级重点普通中专学校"。校园占地面积10.8万m2，建筑面积5.24万m2，有教学实习场所3处，占地1468亩。建有现代化多功能厅、多媒体语音室、电子阅览室、闭路电视教学系统，拥有微机480余台，建立了校园网，采用FTTX-LNA宽带接入Internet，设有20个专业实验室，实验、实习设备齐全。图书馆藏书17.6万册，有专职教师103人，其中高级职称29人，中级职称46人，博士1人，硕士5人，现开设14个专业，在校学生人数3363人。学校以市场需求为导向，确立了“以学生为主体、以教师为指导、以能力为本位”的教学指导思想，坚持“实用、适用、够用、先进”的原则，改革教学内容，以实训教学为重点，改革教学方法。不断优化专业结构，拓展专业面向，已由最初的农学、园艺两个专业扩大到现在的计算机应用、电子技术应用、农学、园艺、现代园林、多媒体与网络技术、药用动植物生产、草业工程、农产品加工与市场营销、土地规划与管理、环境与生态、汽车拖拉机应用与维修等14专业。建立校外实习基87 地30多处，组建学生科研兴趣小组20多个，组织学生积极参与青少年生物多样性探索活动，先后有5项获省级奖励，1项获全国青少年“英特尔英才奖”，2001年被国家教育部等四部委评为第六届全国生物和环境实践活动优秀项目一等奖。同年参加甘肃省首届中等职业学校英语竞赛获"集体三等奖"，2002年参加天水市中等职业学校技能竞赛获英语“团体一等奖”计算机“团体二等奖”。国内校园网经历的三个阶段数字校园是以校园网为基础，利用先进的信息化手段和工具，实现从环境（包括实验室、教室、设备等）、资源（如公文、图书、讲义、课件等）、到活动（包括教学、科研、管理、服务、办公等）的全部数字化。在传统校园的基础上构建一个数字空间，以拓展现实校园的时间和空间维度，从而提升传统校园的效率，扩展传统校园的功能，最终实现教育过程的全面信息化，达到提高教育质量和效率的目的。高校校园网从1994年的启动建立到现在的15年间，无论是高校校园网的网络技术，还是高校校园网的关注要点，大致可以分为三个阶段。87 第一阶段是基础设施建设时期，时间大约从1994年到2000年。这期间各种网络技术在高校同时都有应用：以太网技术，FDDI，ATM网络技术。在这个阶段，由于校园网应用的技术比较繁杂，而且业务相对单一，因此，这一阶段，主要关注网络的连通性和兼容性，即如何保证校园网的连通，和各种不同网络技术的兼容和融合。第二阶段是应用平台建设时期，时间大约是从2000年到2005年。这期间随着网络技术的发展，各种应用也开始出现并发展迅速，包括BBS、WWW、FTP、E-mail，以及近两年流行的BT下载、视音频业务等等，这些应用都对带宽提出了挑战。另一个在此阶段发展迅速的校园网应用就是IPTV，更是被成为带宽的杀手级应用。与此同时，网络技术--特别是以太网技术迅猛发展，1000M以太网已经步入校园，万兆标准也已经公布。结合实际应用和网络技术来看，这个阶段主要关注：带宽和应用。第三阶段87 是信息资源建设时期。时间从2006年至今，乃至今后几年时间内。近几年，万兆以太网已经开始在高校校园网中规模化应用，下一代以太网标准也已经确立为10万兆标准。同时，随着Cernet2的启动，IPV6技术也已经在校园网中实验并逐步应用。当基础设施、应用平台建设之后，信息资源的丰富与否决定了校园网络的真正价值。当信息资源充分丰富后，人们的工作、学习、生活、娱乐完全离不开网络，网络的稳定、可靠、高效、安全与可信成为头等重要的问题。国内校园网信息化建设现状目前国内校园信息化建设不断开展中，但其建设过程中还遇到了不少问题，其中诸多典型的问题如：1)数据孤岛：数据分散管理，不准确、不规范、不一致，难以共享；2)应用孤岛：各部门独立建设，技术不统一、用户不统一，应用间难以相互衔接；造成这些现象的原因是：1)技术方面——缺乏顶层设计、缺乏技术规范与信息标准；2)管理方面——各自为政、缺乏组织与协调。3)不重视信息化：认为信息化是锦上添花的事，没认识到信息化是现代化学校的必然选择；4)重硬轻软忽视服务：如在企业ERP实施中，硬:软:服务经费比通常为2:3:5；而在学校信息化建设中，硬:软:服务经费比常约为6:3:1。5)重建设轻应用：忽视推广应用，信息化建设成效差。87 不同的阶段对可持续发展的关注点不同；当前阶段影响可持续发展的关键问题——业务上“入主流”：直接支持教学与科研，提高学校核心竞争力；核心是信息化要促进学校核心竞争力的提高，并成为学校核心竞争力的重要组成部分；管理上“完善体制”：科学的建设模式、合理的运行机制、有力的管理体制；关键是权威的管理机构、强有力技术支撑和队伍建设；技术上“走标准开放之路”：开放的系统框架与技术体系，规范的信息标准；重点是解决“信息孤岛”、“应用孤岛”问题。国内校园网信息化可持续发展的有利形势2007年1月，教育部、财政部联合启动“高等学校本科教学质量与教学改革工程”；1)六大举措：l一是专业结构调整与专业认证；l二是课程、教材建设与资源共享；l三是实践教学与人才培养模式改革创新；l四是教学团队和高水平教师队伍建设；l五是教学评估与教学状态基本数据公布；l六是对口支援西部地区高等学校。2)七大系统：l专业设置预测系统；87 l教学基本状态数据库系统；l大学英语与网络教育网上考试系统；l网络教育资源管理和质量监管系统；l精品课程共享系统；l立体化教材数字资源系统，终身学习服务系统。1)九大目标：l信息化手段与技术在人才培养中广泛应用，改变现有人才培养模式，l实现课程、图书、实验设备等优质资源的全国共享；l初步实现专业设置和社会需求的互动，建立专业设置预测系统；l通过开展自主学习、研究性学习和对实践教学改革，提高学生的学习和研究兴趣，培养学生动手能力和创新精神；l用信息技术实施英语教学，4年后使60％以上的大学本科毕业生解决英语听说问题；l推进各种科技和有益健康的体育协会、俱乐部活动，建设和谐校园，培养学生的社会主义人文精神和创新精神；l建设一批教学团队，完善教授上讲台的政策机制；l初步建立用于网络教育的公共服务体系，打通普通本科教育和网络教育的课程体系；l不断完善高校教学质量定期评估制度，改进评估手段和方法；87 2007年2月，教育部《关于进一步深化本科教学改革全面提高教学质量的若干意见》明确指出——把信息技术作为提高教学质量的重要手段。信息技术正在改变高等教育的人才培养模式。高等学校要在教学活动中广泛采用信息技术，不断推进教学资源的共建共享，逐步实现教学及管理的网络化和数字化。要进一步培养和提高教师制作和使用多媒体课件、运用信息技术开展教学活动的能力，培养和提高本科生通过计算机和多媒体课件学习的能力，以及利用网络资源进行学习的能力。1)指导思想以科学发展观为指导，以构建学习型社会、促进和谐社会建设、实现全面小康的巨大需求为动力，以开拓创新的精神推进教育信息化，以务求实效的实践建设教育信息化。坚持“体制创新、统筹规划、重点突破、分步推进、资源共享、深化应用”的原则。以网络建设为基础，标准建设为保障，资源共享与应用为核心，信息技术研究开发为支撑，管理体制、运行机制、技术水平和应用能力的不断创新为增长点。积极推进信息技术在教育中的普及应用，切实提高教育信息化支持教育现代化发展的能力。87 一、校园网建设背景2.1遵循开放、标准、可持续扩展原则网络技术能够得以高速发展主要得益于网络技术规范的标准和开放性，任何系统只有具备足够的开放性才能支持业务的持续发展，在天水农业学校大规模的网络互联环境中，在网络架构的技术选择和业务的部署上也应当遵循这一原则。2.2技术和产品使用的先进性和实用性信息系统和网络建设必须具有一定的先进性，选用较新的技术路线，将使系统具有较长的生命周期。同时系统建设还必须兼顾实用性，选用具有实用价值的技术和产品。2.3网络架构平台建设标准87 根据锐捷网络10年的各大高校校园网建设经验，新一代校园网建设的方向的已经明朗，就是建设基于IPv4/IPv6双协议栈的城域网。运营级的校园网应该具备如下特征：²网络骨干区域万兆技术的支持在万兆技术成熟的今天，万兆核心已经成为部署便捷、高速率、高性价比的下一代校园网的基础；基于万兆技术的核心路由交换平台成为现阶段校园网核心应用的典型特征。核心和汇聚交换机都需支持万兆接口，以保证整个网络的高带宽、高性能，满足校园网大流量、多业务的实际需求。²网络具有冗余和负载均衡设计设备级：骨干设备需支持冗余管理引擎、冗余电源，同时所配置板卡支持带电热插拔，以保证网络运行过程中，任何一个管理引擎，任何一块电源出现故障，整个设备通讯不会中断，业务通讯不会受到任何影响。链路级：核心层到汇聚层采用多条（两条以上）链路连接，通过OSPF和ECMP/WCMP等的合理路由设计，提高了链路带宽也实现链路冗余，且在网任何一条链路出现故障，校园网络不会出现中断而受到影响。²网络的高可靠性87 设备应具有良好的安全性考虑，通过各种网络安全措施，确保对网络资源的访问实现有效的安全策略，由于网络系统需要为广大用户提供互联并将支持多种业务,网络系统应支持多种安全控制，如核心设备要能具备缺省的安全性、路由验证、线速的访问控制列表以及对拒绝访问攻击（DoS）的防护等。当恶意用户对网络发起攻击时，设备能自动进行防御,从而保证系统的安全性。²基础网络对IPv6的硬件支持现阶段IPv6技术的核心标准已经完善，作为高校，对于IPv6技术的研究和使用要走在前头，所以对于校园网的骨干设备必须支持IPv6技术。同时，为了保证骨干网络对IPv6数据和应用的有效承载，也要求设备必须ASIC硬件支持IPv6技术，并且设备采用分布式线卡ASIC实现，这样才能保证IPV4和IPV6转发和应用都能实现高可用性。第一章87 第三章校园网建设的需求天水农业学校由两个校区合并而成，主校区为陇西师范，其他两个相距1KM以上，各分校区与主校区之间需要进行网络对接。两个个校区总共在校人数2000余人，主要接入区域为办公区、教师、6个计算机机房，主校区包含3栋宿舍楼及4栋教学办公楼。主校区原有网络简单老旧，建设于2002年，包含一台核心交换机、若干百兆交换机（分布于艺术楼、综合楼、实训楼）、一台出口路由器及一台行为审计设备，DNS、Ftp、mail服务器直连核心交换机。两个分校区目前网络建设情况不明，几乎没有什么网络设备。随着国家教育信息化建设的不断开展，天水农业学校也从办学及自身信息化建设需要出发，不断对校园信息化网络进行建设。同时，天水农业学校作为第一批国家级中职示范校，需要对现有信息化系统进行建设，其中包含教学系统、一卡通、数字图书馆等内容的建设。其中骨干网建设主要包含：对两个分校区的核心汇聚设备通过运营商专线上联到核心；未来出口带宽至少不会低于100M，因此互联网出口建设需要考虑网络安全网关设备、并实现对出口进行流控、实名日志记录、安全防护等功能；数据网管中心建设，部署一台汇聚交换机用来汇聚服务器，并考虑部署实名认证及上网审计系统、以及上网计费等，同时需要建设校园网应用系统统一登录、网络管理系统；同时要考虑校园内部分教研室及特殊区域的无线接入需求。87 学校信息化建设是一项庞大的系统工程。从宏观角度看，涉及学校的教学、科研、管理和社会服务等诸领域；从微观来说，则包括信息基础设施建设、信息资源建设、技术队伍建设、应用系统建设和教师技能培训等。这些方面相互影响、相互联系，共同构成了一个多维度和多层面的学校信息化蓝图。从技术层面讲，学校信息化建设是以校园网为基础、由一系列硬件设备和数据库、软件系统所组成的一个大型系统。校园网作为校园信息化建设的基础平台，从功能、性能、可靠性及安全性等，以具体的应用和环境应当满足以下的需求：3.1高性能高可靠网络基础架构需求如今校园网内业务数据逐步从文字类信息转变教学视频、多业务应用、高效数据中心等数据应用，同时在Web2.0网络时代，从传统应用的网页访问，收发邮件等，到现在的网络中越来越多的多媒体应用，主要包括VoIP、IPTV、视频会议和视频点播。这些应用的最大特征就是对于带宽要求高并且对时延非常敏感，这些需求，对于现有的千兆核心网络已经完全不能很好响应和满足。因此建立高可靠高性能的双万兆核心尤其对于信息点较多的天水农业学校校园网使用效率来说，尤为迫切。3.2校园网络的安全需求信息化建设的不断推进，使得校园网络建设日趋完善；学校的教学、办公、科研已越来越依赖于网络平台。随着网络技术的不断发展，各种安全事件层出不穷，消除网络安全问题已成为我们信息化部门考虑的焦点。87 1)设备自身的安全需要稳定和保障目前在内网安全事件中，出现从攻击主机、服务器转为攻击网络设备的趋势，网络设备特别是网络核心设备遭受攻击将导致设备死机、重启、CPU利用率100%等严重问题，从而导致整个网络通信中断，造成灾难性后果，因此如何保障网络设备自身的安全性、稳定性成为学校在建设网络、选择网络设备时需首要考虑的问题。2)网络攻击的防护网络中各种攻击病毒泛滥，常见的如ARP攻击、DDOS攻击、IP地址盗用、DHCP服务器私设对日常网络访问造成严重影响，因此在网络建设时需要网络设备自身具备各种抵御攻击的安全防护能力，对常见攻击行为进行有效的防护。从而保障整个网络的稳定可靠运行。3)应用的安全访问随着网络应用的不断增加，对应用的访问控制需求也日益严格，如财务系统的数据属于学校的、机密数据，需要对校园网用户进行安全访问控制，确保只有授权用户可以访问，而其他用户应拒绝其访问，类似的应用安全访问需求很多，如何对网络访问行为进行有效的控制，确保数据的安全，也是需要有效解决的安全问题。4)设备的安全管理87 随着网络规模的不断增大，对网络设备的集中管理、远程管理已成为网络管理的常用方式。但传统管理技术中管理信息如用户名、密码等关键字段在网络上都是以明文进行传输，很容易被窃取，从而使黑客轻易的获得设备的控制权，更改设备配置，导致网络应用中断。因此网络设备管理的安全也是另一个需要重点考虑的问题。1)终端的主机安全要求70％以上威胁网络安全的攻击行为都是来自校园网内用户；内网防御能力弱，病毒、木马泛滥；“合法用户”的“非法行为”危害巨大；常规手段难以及时发现并阻断攻击行为；发生的安全事件不能审计到人，无法进行有效处理。同时、网络中大部分被攻击事件是由于Windows系统补丁未更新，系统存在致命漏洞；没有按规定安装杀毒软件及防火墙，成为病毒和木马的温床；用户随意安装违禁软件，不规范使用网络；上述问题造成了病毒和攻击在校园网内的泛滥，影响校内办公教学等正常应用的开展。因此做好网络防护，规范用户使用网络的行为，保证网络设备安全、应用安全、业务系统和数据的安全是本次网络建设非常重要的部分。3.3校内统一身份认证管理需求前几年是我国高校信息化发展的黄金时期，数字校园建设各方面都得到了长足的发展。但在高校信息化过程中，信息系统建设以局部建设为主，各高校的信息系统建设模式基本上都是一个部门一个系统，然后通过后台的数据库手段进行数据交换与共享，而很少从整个学校的高度根据业务逻辑设计跨部门的系统，忽略了解决数字空间内部关联问题以及与现实校园的衔接问题。在高校信息化建设中，过于重视信息系统及其基础设施，而对活动的主体——87 用户重视不够，考虑系统的运行效率多于用户的使用效率。此问题导致的后果是建设的信息系统越多，用户使用越麻烦，甚至让用户在数字校园中也开始由于面对纷繁复杂的信息资源与服务而不知所措，出现信息化时代新的低效率问题。在校内存在大量的应用系统，每一套系统都独立维护了用户的一套数据库，而当学生和教师入校时，系统管理员需要在每个有权限的系统中为其分配账号，系统管理员要在每一个系统中添加用户账号信息，这无疑增加了管理员的管理工作，而且由于管理员经常无暇顾及，常常会延误新员工的工作分配，大大影响了工作效率。另外，由于不能及时修改或删除离校和学生在每一系统中的账号信息，也存在很大的安全风险。因此校内统一账号实现集中式管理成为亟待解决的迫切需求。3.4IPV6应用和部署需求目前各高校的校园网主要以IPv4网络为主，但目前在校园网中IPv4网络存在如下问题：llIP地址资源短缺中国IP地址严重不足是众所周知的问题。在高校同样也存在严重的IP地址不足的问题，地址不足使得校园网内用户访问Internet只能通过NAT地址转换，使得高校师生难以直接和国外同行简立起直接的端到端的连接，为高校师生的学术研究和交流带来极大的不便。llNAT导致的严重问题87 确实，NAT技术很好地解决了现阶段地址资源不足的问题，但这样的解决方案也是有代价的。首先，NAT破坏了全球惟一地址的模型与地址的稳定性。其次，NAT破坏了对等网络的模型，直接导致了很多点对点的业务无法开展。第三，NAT的存在直接导致了许多网络安全协议无法执行，QoS更加无法保障；更重要的是，NAT的使用导致出口性能严重下降，使得出口成为瓶颈。llQoS的问题如何在IPv4的“尽力而为”的基础上实现可靠安全的传输一直是困扰互联网发展的一大难题。目前互联网所提供的服务是“尽力而为”的，得不到质量保证，这显然是不能令人满意的，尤其是对那些实时性要求较严的服务。这同样限制了国内外高校之间学术活动的开展和交流，对高校师生在Internet上的学术研究也有很大的窒碍。上述问题靠IPv4本身是难以解决的，要解决这些问题只有利用一种新的协议来替代IPv4，那就是IPv6。所以建立起IPv6校园网并逐渐取代IPv4已经是很实际的需求。同时，高校作为学术研究的基地，抢占IPv6技术制高点也同样是迫切的事情，建立起IPv6校园网以推动高校师生对IPv6技术的研究和实践，也是迫切需要的。lIPV6应用需求87 IPv6协议具有很多优点，学术研究基地的高校也正致力于将IPv6协议的诸多优势转换到高校的网络应用中去。依据下一代因特网特性以及未来高校可能的网络应用需求，可将IPv6在高校的应用开展分基础应用服务升级与高级应用服务开展两部分。基础网络服务旨在将现在已有的服务系统如何实现双栈并存和无缝转换以保障业务的连续性，涉及DNS、DHCPv6、WEB和FTP等服务。高级应用服务针对未来网络性能与需求解决如何在过渡期以及纯IPv6协议里得到更好地扩展，主要包含校园网门户系统、视频直播应用、高清视频会议应用、IPv6网格技术等应用服务。3.5校园宿舍网络建设需求目前学校的宿舍网络由电信运营商进行经营管理，学校自建宿舍网络的诸多需求和问题还待解决。1)宿舍网建设有助于学生的成长截至2008年12月31日，中国网民规模达到2.98亿人，普及率达到22.6%，超过全球平均水平；在中国网民的结构中，学生占比33.2%，越来越多的学生通过网络来进行学习、生活、娱乐，网络提高了学生学习的效率，丰富了学生的课外生活，为学生提供了更多的娱乐方式。宿舍网无疑为学生提供了一个很好的上网平台，一个很好的学习、生活、娱乐的平台，当然，如何管理好学生上网也是非常重要的。87 1)宿舍网建设有助于数字化校园的发展学生宿舍网建设后，学生能够非常快速、方便的访问教学支撑平台、电子校务平台、数字图书馆等，促进了数字化校园的发展。2)宿舍网建设实现学校社会满意度的提升l机房上网：公共机房的上网管理问题和效率问题，导致学生和老师都不满意l宿舍通过电信或者其他运营商上网：访问校内教学资源困难，尤其校内对学生宿舍上网监控和管理困难。使得校园网价值无法充分体现。3)宿舍网建设将用于校园网的以网养网为了实现统一的整体数字校园网，宿舍网络建设需求亟待解决。3.6校园网综合管理管理需求87 随着数字化校园网络建设的推进，为了让凝聚了巨大人力物力投入的信息基础设施发挥出其效益，保障整个信息系统的平稳可靠运行，需要有一个可从整体上对包括IP网络，存储，安全等组件在内的IT基础设施环境进行综合管理的平台，并能够提供业务系统运行异常的实时告警和进行图形化问题定位，性能趋势分析和预警，能够基于关键业务系统的角度，以业务重要性为导向进行事件处理和通知。由于信息系统是一个包括了众多软件，硬件技术，设计多厂家产品，从网络，安全，存储，计算到中间件和应用的复杂异构环境，而且随着数字校园信息建设的深入和持续优化和发展，这个复杂庞大的基础设施，还会随之不断进行演进，在产品，技术和网络结构，业务关系上不断发生变化，因此，要求针对该环境进行管理的系统具有良好的可扩展性，能够将下层网络和的复杂度有效的通过抽象屏蔽起来，并向上层应用和运维流程开放稳定的接口。因此，新一代大型的数字校园网需要通过面向关键业务的基础设施管理，让IT投入的效益的到最大化的体现，并能够在网络和信息团队运维资源有限的条件下，让校园的服务品质和管理水平得以提升。第一章87 第四章天水农业学校网络解决方案4.1全网拓扑设计及描述IneternetRG-WALL1600-EIComst计费网关RG-EG1000M服务器区域网络中心办公楼金工中心餐厅膳食科培训中心教师宿舍家属楼1家属楼2北校区教研组六楼媒体教室五楼实训机房三楼实训机房二楼实训机房一楼网络实训室HW-S9306千兆光纤千兆双绞线天水农校网络拓扑图四楼实训机房农机实验室H3C5500北校区web、文件服务器网络存储设备核心部分：本方案中在新校区的中心机房部署核心交换机，设备采用1台华为万兆核心交换机（已有），这款产品革命性的支持10万兆速率扩展，产品性能和扩展能力达到了业界的顶尖水平，正是凭借这样出色的设计，该产品荣膺“2006年十大创新产品”87 称号。网络核心多业务IPv6核心路由交换机虚拟为一台逻辑核心交换设备，作为天水农业学校整网的冗余数据交换和处理平台，核心设备支持双管理引擎和冗余电源，热拔插模块化设计，充分保障网络设备的稳定性。冗余备份的网络架构设计，全面提升网络系统的整体稳定性。区域汇聚部分：本方案中在各个大区域汇聚层都采用1台锐捷网络RG-S5750-E安全多业务高性能万兆交换机，分别部署于主教学楼、行政办公楼、图书馆、实训楼、实验楼、实训车间楼；每台设备通过双千兆单模光纤链路上联到核心交换机，这种双归属链路的设计，充分保障了网络不会因为链路或设备的故障而中断，并且增强了网络带宽，实现了流量的负载均衡。同时这款产品的产品性能、安全功能和扩展能力都达到了业界的领先水平，正是凭借这样出色的设计，该产品通过信产部的全面安全功能测试。RG-S5750-E安全多业务高性能万兆交换机作为天水农业学校各个区域数据交换和处理平台，设备支持多种软硬件高可靠性设计，充分保障区域网络的稳定性。接入部分：本方案中，根据楼宇网络需求的不同性质，网络接入层采用锐捷网络RG-S2900-E系列安全智能千兆交换机，通过RG-S5750-E和RG-S2900-E系列交换机更可完美配合RG-SAM的网络安全认证计费系统，提供网络的身份认证、准入控制和安全认证管理，有效提升天水农业学校网络的安全级别。出口部分：修改为一台EG1000M在出口部署一台多核NP的高性能出口引擎NPE50E87 ，该设备是防火墙和路由器的结合体，既可以提供高端路由器具有的高性能NAT、策略路由、Qos以及丰富的路由协议功能，还能提供防火墙具有的包过滤、状态检测、URL过滤、带宽管理等防火墙的功能。另一方面，还在网络出口部署一台RG-EG1000的流量控制及分析系统，用于实时检测网络中的流量并对于各种协议流量进行分析及限制，控制P2P，控制应用。该设备通过双桥（桥和桥之间不互访）连接双核心（每个桥都有BYPASS功能），因此等同于两台流控设备。特别是当任一或二根线路出现故障时，流量会直接通过BYPASS出去。不影响网络正常应用。同时，为了确保出口安全在出口部署一台高性能防火墙RG-WALL1600，该设备是面向大型园区网出口用户开发的新一代电信级高性能防火墙设备。RG-WALL1600E采用了最新的硬件平台和体系架构，实现防火墙性能的跨越式突破，可支持数十个GE接口，同时支持万兆扩展，方便用户的接入使用。网络安全认证计费管理部分ESS，只做认证不做计费：方案中从网络安全角度出发，部署安全认证管理系统，通过将用户入网强制安全、统一安全策略管理、动态网络带宽分配、嵌入式安全机制集成到一个网络安全解决方案中，达到对用户身份的统一认证识别，网络受损系统的自动修复，同时可针对网络环境的变化和新的网络行为自动学习，从而达到对未知网络安全事件的防范。该方案未来更可部署RG-IDS入侵检测设备，扩展安全系统，实现对网络安全威胁的自动检测和自动防御。另外，针对上网计费的需要部署安全认证计费系统，实现对上网用户身份的统一认证识别和计费。网络管理部分：方案中部署的网络管理系统，也可直接部署RILL-BMC，可以提高有线网络的可用性，减小网络故障对于天水农业学校87 正常工作的影响，同时能够利用网管工具最大限度地节省管理员的工作量，避免出现到处救火、疲于奔波的情况。网络行为审计及流量分析部分删除E-LOG：方案中考虑到公安部于2006年逐步开始实行了《网络计算机安全保护措施规定》。整个体系中，要求在接入单位的出口对数据流的基本属性进行记录。因此方案中特别部署有一套锐捷网络RG-ELOG安全日志管理系统，用于集中的分析和呈现NPE、RG-WALL、ACE的各种日志，帮助管理员建立一套可信赖的武威凉州区职业中等专业学校网络出口安全审计系统。这样就可以保证对网络用户的行为的事前定位、事中可查、事后可追踪。4.2解决方案详细阐述4.2.1网络架构设计整体的稳定可靠，首先要从大的网络架构上进行考虑。只有在整体架构稳定的情况下，单点的设备稳定才更有意义。一个合理稳定的整体架构，将会最小化每个单点设备的负载和风险，大大提升网络的整体性能。整个核心网络设计的基调采用双千兆、双核心，双电源，从大的架构上大大的提升了网络的整体性能和稳定性。从纵向角度可将网络分为核心、汇聚、接入三个层次结构。三层结构有如下好处：（1）分流核心数据处理能力、降低核心路由交换压力；（2）更好抑制广播风暴、提升网络性能；87 （1）终结各VLAN信息、增强核心路由管理能力；（2）网络层次结构更加完善、可汇总路由，降低核心路由表项；（3）安全性更高，更强的预防和控制，对网络攻击、病毒和破坏尽量控制在边缘完成；（4）扩展性更强、快速定位故障点、更易于管理；（5）各接入层内部通讯量大，无需通过核心处理时（内部网络游戏等），采用三层结构更加合理；从横向角度可将网络分为核心区块、汇聚区块这两个部分。1)核心区块类似上文所述核心层的概念。核心区块唯一的目的就是高性能，高稳定。这里主要的设计思路是，需要核心和汇聚、接入、服务器彻底分离。保证任何业务（任何PC机、服务器）都不直接连接在核心区块上，这样将大大保证核心网络的安全性。从另外一个角度看，其它任何区块发生问题，都将限制在该区块内，而不会波及核心。并且由于无业务设备直接连接在核心区块上，所以核心区块几乎可以不布置任何策略，唯一的工作就是快速交换、路由。2)汇聚区块主要包含了6个区块。汇聚各楼栋汇聚交换机，主要关注路由和其它相关策略部署。87 4.2.2网络核心设计4.2.2.1高性能的核心设计（暂有以下设备）选用的核心华为9306是华为网络推出的面向十万兆平台设计的下一代高密度多业务IPV6核心路由交换机，满足未来以太网络的应用需求，支持下一代的以太网100G速率接口，提供6插槽设计主机：HUAWEI9306。HUAWEI9306高密度多业务IPV6核心路由交换机提供6T背板带宽，并支持将来更高带宽的扩展能力，高达1152Mpps的二/三层包转发速率可为用户提供高密度端口的高速无阻塞数据交换。4.2.2.2高稳定的核心设计核心交换设备的稳定可靠需要以下四个方面共同保障：1)全分布式转发——华为9306多业务面向十万兆平台的核心交换机，均提供基于全分布式业务转发。每个业务板卡可基于硬件的独立处理数据流查询与转发。可较好的抵御网络扫描类的攻击。2)全分布式策略处理——由于华为9306交换机设计时将ACL处理引擎分布在了各个接口业务模块上，故部署ACL时完全不会影响CPU的性能。通过大量的实际案例可知，在大流量网络中，大量部署ACL，华为9306交换机的CPU利用率不会超过10％。保证大量策略部署后，网络设备仍然稳定可靠。技术特点：87 技术的具体实现机制是，在线卡分布式设计的基础上，为各个物理端口配备专用的FFP（FFP:fastfilterprocessor）处理模块，FFP模块可以实现硬件处理Qos与ACL功能，实现整机数据端口级同步处理ACL/QOS；同时，通过线卡芯片线速转发L2/L3/组播数据，实现了从线卡到端口的全面分布式硬件设计，有效分流、缓解线卡ASIC芯片的负载压力，极大地提升交换机的整体数据处理能力。如下图：华为9306面向万兆的多业务以太网交换机为例，交换机主管理模块执行路由管理、网络管理、网络服务等任务；采用Crossbar交换结构背板；用户接口模块则可以独立实现硬件路由、交换和组播功能；用户交换端口可以独立硬件实现ACL和QOS功能，不仅能在保证网络安全的同时，又可极大提高核心交换机的处理能力，保证应用的顺利进行。1)平面保护技术——87 华为9306交换机采用了平面保护技术，在网络设备的数据平面、控制平面之间配置有独立的硬件安全芯片，该芯片可以有效的控制从数据平面（ASIC芯片）发往控制平面（CPU）各种报文，进行识别、限速、阻断等。这样就保证了在异常攻击流量的情况下，交换机CPU的永不过载，控制平面的任务可以很好的执行，这样就高度保证了交换机系统的稳定性。平面保护技术特点：当然平面分离大大加强了设备的稳定性。但同时它的安全变得更加重要。因此我们推出了平面保护技术。路由协议认证、独立物理通道保证控制平面的安全；通过CPP保护、AAA、SSH、SNMPv3、独立物理通道保证管理平面安全；通过硬件防DOS与扫描、硬件防IP地址欺骗、传统安全技术防范、硬件支持的IPFIX册地保证数据平面安全。通过上述三个方面的共同保障，华为9306交换机无论处于何种情况的网络中，均可保证自身系统的高度稳定性。4.2.2.3易扩展的核心设计此次选用的核心华为9306是锐捷网络推出的面向万兆平台设计的下一代高密度多业务IPV6核心路由交换机，满足未来以太网络的应用需求，支持下一代的以太网100G速率接口，提供6插槽设计主机：华为9306。高密度线速万兆及十万兆的扩展支持华为9306是华为网络推出的面向十万兆平台设计的下一代高密度多业务IPV6核心路由交换机，具有很高的扩展能力。它支持下一代的以太网100G速率接口，同时也由于每线卡能提供200G的线卡带宽保证了未来扩展高密度万兆口的需求。再次万兆也获得了信息产业部的线速测试报告，既保证了端口密度又保证了性能。87 IPv6的全面支持核心华为是线卡ASIC硬件支持全面的IPv6功能，包括IPv6的各种动、静态路由；各种隧道技术等。保证了学校未来对于Cernet2的直接对接。同时华为9306系列的IPv6功能也获得了国际权威的IPv6Ready第二代认证。虚拟化交换单元技术支持为了保证网络的可靠性、故障自愈性，在方案设计中均需要考虑各种冗余设计，如网络冗余节点、冗余链路等。冗余的设计使网络结构中出现了环路以及环路有可能引起的广播风暴等风险，生成树技术（STP）应运而生。它虽然消除了环路，但却带来了链路性能利用不足的新的问题。随之MSTP技术利用通过多实例的划分来实现不同链路流量的负载分担，提高了链路可用性能，但与此同时却将网络的结构，管理维护工作量翻了几番。而管理维护量大会导致一旦配置出错会又回到起初环路产生所带来的广播风暴的问题。87 从根本上讲，网络结构、业务、管理维护的复杂度，：一方面是由于网络设备数量众多直接带来的；另一方面是由于网络设备数量众多衍生出的类似STP、VRRP这些特性间接带来的。但无论是直接还是间接引起，本质上都是网络设备数量的问题。所以，最根本的方法，就是要减少逻辑设备的数量。换句话讲，就是将多台物理设备虚拟为一台逻辑上统一的设备，使其能够实现统一的运行，从而达到减小网络规模的目的。为了解决传统网络的这些问题，锐捷网络提出一种把两台物理交换机组合成一台虚拟交换机的新技术，称为VSU，全称是VirtualSwitchUnit，即虚拟交换单元。把传统网络中两台核心层交换机用VSU替换，VSU和汇聚层交换机通过聚合链路连接。在外围设备看来，VSU相当于一台交换机。速度更快高端交换机性能和端口密度的提升会受到其硬件的限制，而VSU系统的性能和端口密度是VSU内部所有设备性能和端口数量的总和。因此，VSU技术能够轻易的将设备的核心交换能力、用户端口的密度扩大数倍，从而大幅度提高单台设备的性能。此外传统的生成树等技术为了避免环路的发生，会采用阻断一条链路的方式，而VSU可以通过跨设备链路聚合等特性，让原本“Active-standby”的工作模式，转变成为负载分担的模式，从而提高整网的运行效率。网络更加可靠链路级：设备之间的物理端口支持链路聚合，系统和上、下层设备之间的物理连接也支持聚合功能，这样，通过多链路备份提高了链路的可靠性。87 协议级：提供实时的协议热备份功能，负责将协议的配置信息备份到其他所有的成员设备，从而实现协议可靠。设备级：系统由多台成员设备组成，Master设备负责系统的运行、管理和维护，Slave设备在作为备份的同时也可以处理业务。一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的备份。相比传统的二层生成树技术和三层的VRRP技术，其收敛时间从N秒级缩短到毫秒级。无任何业务限制帮助用户在实现基本功二层、三层能的同时，提供包括防火墙模块、流量分析模块等更广的业务应用。此外还支持IPv6、组播、MPLS等多种业务。不仅可以提供机架内的高性价比连接方案，还可以通过标准光纤实现长达70km的跨区域远距系统连接方案，提高了智能弹性系统的可用性。高性能硬件模块采用高性能硬件模块实现，进行设备机箱见得快速检测和设备间数据高度转发。适用于大规模的网络，无软件升级方式带来的弊端。4.2.3网络出口设计4.2.3.1高性能的出口设计采用一台安全出口引擎台高性能防火墙RG-WALL1600M+一台应用层流量控制网关RG-EG1000组合，连接用于电信和教育网的Internet线路，实现高性能的NAT和策略路由功能。87 1．NPE在启用NAT、ACL、PBR（策略路由）的情况下，在通常情况报文流情况下（平均报文长度为500byte左右的混合报文），双向可以达到8Gbps的线速转发。相当于可以在4条千兆出口上双向线速转发。上网从此不慢！2．NPE每秒高达30万条的NAT新建连接会话。在出口中平均长度512Byte报文1Gbps的NAT线速转发下，每秒达到新建7万条NAT会话。可以同时1100个用户美妙新建100个链接网页打开从此不断！3．NPE并发达到200万条的NAT会话数。如果按照每个网络节点250条NAT会话，则可以支持将近8000台的网络节点同时在线。4.2.3.2可控的出口设计由于目前P2P应用已经发展飞速，给人们带来便捷的同时严重消耗了有限的网络带宽，降低上网质量。特别是在学校，随着学生用户的增加，此现象会日益严重，而学校又属于需要大力开放的地方，因此对于网络管理者来说必须在不影响开放原则的情况下大大减少P2P对出口带宽的影响：此次我们在武威凉州区职业中等专业学校的方案中完美的解决了P2P问题，首先采用ACE对整网的P2P协议进行控制，ACE可以有600多种特征库，可以非常快的识别流量。·P2P应用：Bittorrent、eMule、KAZAA、KURO、NAPSTER、EDONKEY、AUDIOGALAXY、EZPEER、KUGOO、GNUTELLA、VAGAA、SOULSEEK、POCO、PIGO等30多种P2P软件。87 ·及时通信：MSN、Yahoo、ICQ、AOL、QQ、YAHOO、WEBIM、IRC、XMPP等10多种主流的IM软件。·流媒体：新浪直播、搜狐直播、RTSP、SIP、PPSTREAM、PPLIVE、APPLEQTC、CCIPTV、QUICKTIME、REALPLAYER、MMS、QQlive等。·网络游戏：COUNTERSTRIKE、QUAKE1、DOOM3、QQGAME、CGA、SUBSPACE、XBOXLIVE、QUAKE-HALFLIFE、BATTLEFIELD1942、WOW、联众等网络游戏。·炒股软件：大智慧证劵信息平台、天一证劵网上交易系统、华泰网上交易分析系统、证券之星等炒股软件。·企业应用：HTTP、SMTP、POP3、IMAP、文件共享、FTP、SQLServer、Oracle、DB2、WebSphereMQ等企业的关键应用此次我们在武威凉州区职业中等专业学校的方案中还可以通过ACE为不同级别用户设定不同带宽，确保关键用户带宽得到保障。87 4.2.3.3冗余的出口设计流控设备的冗余性设计：·冗余电源系统、冗余风扇系统·ACE采用Tyco的外置光旁路单元和内置电口旁模块·采用硬件Watchdog监测HW/SW问题·ACE正常时流量将经过外部光旁路模块进入ACE·当GR-EG失效或掉电时,外部光旁路模块进入旁路工作模式4.2.4网络安全管理设计4.2.4.1校园网安全现状分析87 近年来，网络病毒泛滥、安全事件频频发生可以说是一个总趋势。拿2005年上半年为例，据CNCERT/CC统计，从2005年1月1日到2005年6月30日，全球共新增蠕虫、木马、病毒等恶意代码11851种，是前一年同期增长数量的1.2倍。自2005年起，安全将会越来越成为我们网络稳定可靠运营的一个保障。根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过170亿美元。从IDC网络安全调查数据来看，网络的安全威胁主要来自三个方面：第一、网络的恶意破坏者，也就是我们所说的黑客，造成的正常网络服务的不可用、系统/数据的破坏；第二、无辜的内部人员造成的网络数据的破坏、网络病毒的蔓延扩散、木马的传播；第三、就是别有用心的间谍人员，通过窃取他人身份进行越权数据访问，以及偷取机密的或者他人的私密信息。其中，由于内部人员而造成的网络安全问题占到了70%。纵观校园网安全现状，我们会发现同样符合上面的规律，即安全主要来自这三方面。而其中，来自校园网内部的安全事件占到了绝大多数。这与校园网的用户是息息相关的。一方面，高校学生——这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心，他们有着探索的高智商和冲劲，却缺乏全面思考的责任感。同时网络也使得黑客工具等的获取更加的轻松。另一方面，校园网内却又存在着很多这样的用户，他们使用网络来获取资料，在网络上办公、娱乐，但是安全意识却明显薄弱，他们不愿意或者疏于安装防火墙、杀毒软件。此外，我们的网络管理者会发现，还面临这其他一些挑战，比如：1.用户可以在随意接入网络，出现安全问题后无法追查到用户身份；2.87 网络病毒泛滥，网络攻击成上升趋势。安全事件从发现到控制，基本采取手工方式，难以及时控制与防范；1.对于未知的安全事件和网络病毒，无法控制；2.用户普遍安全意识不足，校方单方面的安全控制管理，难度大；3.现有安全设备工作分散，无法协同管理、协同工作，只能形成单点防御。各种安全设备管理复杂，对于网络的整体安全性提升有限。4.某些安全设备采取网络内串行部署的方式，容易造成性能瓶颈和单点故障；5.无法对用户的网络行为进行记录，事后审计困难；4.2.4.2校园网安全设计的思考当前网络安全形势严峻已是不争的事实，所以在网络安全上，各位校园网的运营官们都是费劲了心思。看见哪里有漏洞就想方设法去堵上。具体来说：针对来自外网的攻击，在出口进行防火墙的部署；针对服务器区域的安全，在服务器群的出口添加防火墙；针对病毒肆虐，提供正版杀毒软件下载，并在及时网站发布通知，要求更新和杀毒：·发文请求用户安装个人防火墙软件，拦截一些常见的破坏行为；·安装网络版杀毒软件，及时防范病毒入侵；·强烈要求用户勤打操作系统和应用程序补丁，不给破坏者提供机会。但是，以上传统的网络安全措施实现的都只是单点或者局部的安全。防火墙，虽然能够有效保护出口安全或者受保护的服务器区域，阻止某些87 攻击行为，但无法分析深层的数据，尤其无法处理内部攻击行为；杀毒软件，一方面，用户是否安装以及安装后是否及时更新，管理员无从得知；另一方面，病毒种类多、变种快，杀毒软件往往“后发制人”，也就是说，只有在用户中毒以后，才会发现并查杀病毒，以及发出警告。尤其，病毒软件对攻击不能独立有效地确认发生源，并有效地阻断；由此可见，当网络受到来自各方面的攻击时，由防毒软件和防火墙等独立安全产品堆砌起来的措施不仅漏洞百出，还会处处被动挨打。也正是在这种情况下，新的网络安全思路，注重从“局部战争”到“纵深防御”的转变，将安全融合到网络基础架构中，同时期望多种安全组件能够联动实现多兵种协同作战。这也就是业界最领先、最成熟的全局安全解决方案的理念。4.2.4.3全局安全设计2004年，锐捷网络准确把握了网络安全的发展趋势，自主研发了GSN全局安全解决方案。GSN，即GlobalSecurityNetwork，中文名称“全局安全网络”。GSN通过将用户入网强制安全、主机信息收集和健康性检查、安全事件下的网络设备联动处理集成到一个网络安全解决方案中，达到对网络安全威胁的自动防御，网络受损系统的自动修复，同时针对网络环境的变化和新的网络行为进行学习，达到对未知安全事件的防范。本次方案采用的RG-ESS易安全系统是锐捷网络GSN全局安全网络解决方案的核心组成部分，GSN全局安全网络解决方案定位于网络访问控制NAC领域，从网络接入者的身份、接入主机的健康性以及网络通信的安全性等多方面为用户构建一个全局的安全网络。RG-ESS易安全系统软件作为GSN解决方案的核心，承载着以上三个方面的重要功能。87 实现用户身份管理GSN帮助天水农业学校建立成熟可靠的网络身份管理体系，确保入网用户身份的合法有效，将非法用户隔离在内网大门之外。该阶段主要涉及的产品为RG-ESS1000、RG-SA及RG-23/29/57系列安全接入/汇聚交换机。·入网用户身份验证GSN建立起一套统一的身份管理模式，对每一个试图对接入内网的用户，都要经过GSN系统的身份合法性验证，包括用户的账号、密码、IP等关键信息。只有当用户提供了合法有效的身份信息之后，才能允许正常接入并使用网络。·用户身份唯一性保障GSN通过对用户身份信息的六大元素：用户名、密码、用户IP、用户MAC、交换机IP、交换机端口进行灵活的绑定，实现用户身份←→用户PC←→物理位置的紧密关联，保障入网用户身份合法可靠。·Windows域身份管理系统兼容GSN支持LDAP协议，可以与Windows域管理系统、OpenLDAP或其它支持LDAP的身份认证系统实现无缝结合，对用户的身份信息进行统一管理。实现两套系统共用一套用户身份信息的效果，有效利用现有成熟的身份管理体系，大大减少系统整体管理与部署的成本。·一卡通系统的平滑对接87 未来高校发展的趋势就是一卡通系统在学校的全面部署，而当网络的用户身份认证系统不能与一卡通兼容时将给用户带来很多的不便，让一卡通也失去了它真正的意义。而锐捷此次为天水农业学校设计的GSN系统可以提供灵活的第三方接口与一卡通系统进行平滑对接，保证一卡通系统与网络系统完美融合。终端安全防护在确保入网用户身份的合法可靠之后，GSN通过建立用户终端安全防护体系，同时结合杀毒软件、微软WSUS自动更新服务等各种第三方安全系统，确保入网用户主机终端的安全。第三方杀毒软件联动经常出现这种问题：虽然网络管理部门已经作出了入网用户必须安装杀毒软件的规定，但缺乏强制手段保障规则的有效实施，用户往往视而不见。网络管理员需要耗费大量精力来处理各种因为病毒等事件造成的网络问题。GSN能够通过和第三方杀毒软件的联动，强制入网用户必须正常安装、运行指定的杀毒软件。对于常见的杀毒软件（瑞星、诺顿、卡巴斯基、McAfee、NOD32等十余种），还能够检测其病毒库是否已经更新到指定版本。对于杀毒软件检测未通过的用户，将被GSN视情况进行警告、隔离处理。利用自动修复的功能，还能对用户进行杀毒软件和补丁包的自动下发，帮助用户安装并更新杀毒软件。87 ·与微软WSUS联动进行Windows补丁更新WSUS是微软提供的免费Windows补丁自动更新系统，GSN能够与内网的WSUS服务器进行联动，引导用户使用WSUS的服务进行Windows补丁自动更新，帮助内网的用户主机及时更新操作系统补丁，避免因为操作系统漏洞带来的安全隐患威胁。·主机安全性规则验证GSN提供了丰富的主机安全性规则，可以对用户进行灵活的主机管理：l强制安装/禁止安装指定的应用程序；l强制运行/禁止运行指定的进程；87 l强制开启/禁止开启指定Windows系统服务；l用户系统注册表管理。·基于用户身份的访问权限控制87 GSN能够根据用户的身份为用户下发指定的访问权限。例如，一般职员禁止访问存放重要资料的数据服务器；财务人员能够访问财务管理系统，但访问外网受限，等等。能够充分而灵活的满足用户对访问权限管理的需求。·用户主机信息学习GSN部署范围内的用户主机信息，能够自动的通过RG-SA客户端学习上来，包括用户的操作系统信息、硬件环境信息、以及主机上安装的应用软件信息。并能根据主机信息生成详细的图形报表，以直观的方式为管理员进行呈现。87 ·外联接口控制财务等机构往往有严格的信息保密需求，需要能够对计算机的外联接口进行严格控制，限制信息泄密的可能渠道。GSN能够对U盘、光驱、软驱、打印机等常见的接口进行统一设置，限制外联接口的滥用，保护校园内部机密信息的安全。4.2.5网络系统管理设计锐捷网络根据多年的网络设计、实施和维护经验，设计了一套业界领先的RG-SNC管理系统，下面简单介绍下锐捷网络综合网络管理解决方案。RG-SNC智能网络指挥官是锐捷网络为精确进行网络管理而设计的网络管理系统。RG-SNC专注于网络变更与配置管理，采用友好的全中文Web浏览器界面，可以远程协同维护和管理，采用非代理模式，避免了传统的“Agent”模式的繁琐和重复性劳动，而且便于实施和后期维护，极大地节省了工作时间和工作繁杂度；主动式的网管，可定义管理任务，主动收集网络状况并及时备份，做到状态变更的及时响应，出现故障可及时恢复；提供美观的网络拓扑图，俯瞰整个网络现状，出现异常时，在拓扑图上及时呈现。产品主要配合锐捷设备使用，提供图形化的配置界面，实现对设备配置修改,从而大大降低管理员的维护强度和难度。87 SNC具有如下特点：1、减少手动错误SNC基于界面的向导式的配置方式帮助减少配置更改过程中的手动错误。2、提高效率SNC提供批量的任务式的管理方式，自动完成大多数配置任务。使管理员从多数重复性、非生产性工作中解放出来，提高工作的效率。3、快速灾难恢复配置块照定期收集配置信息，如果发生网络中断，则管理员可以方便地回滚到以前的已知好配置。这样可以大大减少网络停止时间。4、有效的报告SNC可定期/即时提供的连通性测试报告，使用户随时了解网络状况。4.2.6全网IPv6部署的实现高校向来是国家前沿技术的阵地，在下一代互联网的重大历史机遇面前，承担起IPv6的研究工作责无旁贷。而CERNET2也将成为真正意义上的“中国教育与科研计算机网”（目前的CERNET网实际上已经成为运营网），作为下一代网络的研究示范平台，供各高校接入，以便有效开展IPv6的技术与应用的研究之用。目前很多高校已经或开始建设校园内的IPv6网络（局部）或IPv6的城域网（覆盖城域范围内的若干高校），这些IPv6网络都将接入CERNET2。211高校和985高校园已经全面接入了CERNET2，使用着里面丰富的教学资源。而其它的本科高校最终都要接入CERNET2，因此我们此次为天水农业学校校园网的规划中也特别关注了这一点。87 当Cernet2需要接入时，我们的校园网可以平滑的接入IPv6。部署过程如下：首先把IPv6的CERNET2专线接到一台核心的RG-S8614上，在核心上开启Ipv6双栈及静态路由，保证与CERNET2的互通。IPV6双栈技术：设备升级到IPv6的同时保留IPv4支持;应用程序可以选择使用IPv6或IPv4;协议允许应用逐渐从IPv4过渡到IPv6。其次，把核心、区域汇聚的IPv6三层交换机（RG-S8614、RG-S8606、RG-S5750）开启双栈及IPv6的静态路由或OSPFv3。保证内部Ipv6的互通。再次，在RG-S8614、RG-S8606、RG-S5750上设置双栈、IPv6静态路由和ISATAP隧道，保证汇聚设备不支持IPv6的区域，可以实现跨三层支持IPv6功能，这样就保证了全网IPv6的实现。4.2.7网络流量分析及安全日志管理设计为了方便有效的对网络系统进行全面的管理和分析，方案中配置了相应的安全日志管理和流量分析系统，其中，RG-eLog锐捷日志系统（以下简称RG-eLog）是锐捷网络公司开发的网络日志系统。产品用于局域网出口日志NAT日志和URL访问日志采集，配合锐捷认证系统的日志信息进行分析，以提供网络用户行为的日志审计和出口流量的统计分析，提供上网日志信息统计和违规信息统计功能以及出口流量分析功能。RG-eLog部署和操作都很简捷，产品的设计理念就在于“易”——易部署、易操作。快速简单的部署方式，人性化的操作逻辑，致力于将用户的部署成本和操作成本降到最低。87 RG-eLog与设备类型和认证系统的配合采用松耦合方式，设备可以是RG-WALL、NPE、ACE任意的一种，当然客户在出口也可以随意组合这些产品。如果让RG-eLog和锐捷用户认证系统（SAM或SMP）对接，可以提供详细的用户信息，如用户账号、用户名、地址、电话等。组合的组件越多，RG-eLog提供的统计和分析的功能就越强。RG-eLog可以结合锐捷出口引擎（RG-NPE）、应用控制引擎(RG-ACE)全系列产品、锐捷认证系统（SAM或SMP），实现对出口引擎提供的NAT五元组、ACE提供的URL访问日志的分析。能够提供网络内各用户的访问流量、连接数等信息的分析，同时提供对用户通过NAT访问内容日志存储和查询，以及其URL内容的查询。RG-eLog也可以与锐捷全系列防火墙和锐捷认证系统（SAM或SMP）配合，实现对防火墙提供的NAT五元组、URL访问日志的分析。能够提供网络内各用户的访问流量、连接数等信息的分析，同时提供对用户NAT访问内容、URL访问内容日志进行存储和的查询。该产品可以用于高校校园网、企业办公外网、政府机构办公网、医疗外网、普教城域网、普教校园网、金融外联网等网络出口设备的NAT日志和URL日志收集，作为用户行为审计的依据。由于无线局域网接入点设备，需要上联到有线网络的交换机上，以实现无线网络用户融入有线网络的目的。87 另一方面，针对网络的有效提高网络带宽利用效，需要对数据流量进行全面监控和分析，为此，特别配置了一套锐捷流量分析系统，它是专门用来监视网络活动，帮助用户了解流量构成、协议分布和用户活动的软件，广泛适用于各种行业网络的流量统计，它利用Flow技术来收集网络中有关流量的重要信息，并对收集的数据进行深入分析，为管理人员提供丰富有用的报表，以些用于监控网络系统内的带宽效用情况、进行流量与协议分析。4.3设备选型4.3.1汇聚交换机选型说明RG-S5750-E系列交换机是锐捷网络推出的融合了高性能、高安全、多业务的新一代三层交换机。RG-S5750-E系列交换机能够提供灵活的介质接口，满足网络建设中不同介质的连接需要。全千兆的端口形态，加上可扩展的高密度万兆端口，提供1:1全线速多层交换，特别适合高带宽、高性能和灵活扩展的大型网络汇聚层，中型网络核心，以及数据中心服务器群的接入使用，良好地支持各种服务器操作系统和厂商的服务器，以及NLB等服务器集群技术。87 硬件支持IPv4/IPv6双协议栈多层线速交换和功能特性，为IPv6网络之间的通信提供了丰富的Tunnel技术，可灵活应用于纯IPv4网络、纯IPv6网络、IPv4到IPv6共存的网络，能充分满足当前园区网从IPv4向IPv6过渡的需要。提供二到七层的智能的业务流分类、完善的服务质量（QoS）策略。根据不同应用对不同业务流分级处理，保证重要数据传输无延时。该系列交换机提供的接口形式和组合非常灵活，即可以提供24个或48个10/100/1000M自适应的千兆电口，又可以提供8个或者4个SFP百兆/千兆光口，满足网络建设中不同传输介质的连接需要。RG-S5750-E系列交换机以极高的性价比为大型网络汇聚、中型网络核心、数据中心服务器接入提供了高性能、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管，最大化满足高速、安全、智能的企业网需求。高性能万兆端口为“千兆汇聚，万兆核心”提供可能，适应了网络应用高速发展，网络带宽不断增加的需要。而万兆端口的可扩展性既方便用户现在使用万兆网络，也方便用户后续升级网络到万兆。IPv4/IPv6双协议栈多层交换硬件支持IPv4/IPv6双协议栈多层线速交换，硬件区分和处理IPv4、IPv6协议报文，可根据IPv6网络的需求规划网络或者维持网络现状，提供灵活的IPv6网络通信方案；支持丰富的IPv4路由协议，包括静态路由、RIP、OSPF、BGP4等，满足不同网络环境中用户选择合适的路由协议灵活组建网络；支持丰富的IPv6路由协议，包括静态路由、RIPng、OSPFv3、BGP4+等，不论是在升级现有网络至IPv6网络，还是新建IPv6网络，都可灵活选择合适的路由协议组建网络。87 虚拟化技术支持VSU（VirtualSwitchUnit）即虚拟交换单元技术。通过聚合链路连接，将多台物理设备虚拟为一台逻辑上统一的设备，使其能够实现统一的运行，从而达到减小网络规模、提升网络高可靠性的目的。灵活完备的安全策略具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防Dos攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略等，还网络一片绿色；支持基于硬件的IPv6ACL，即使在IPv4网络内有IPv6用户，也可轻松在网络边缘实现对IPv6用户的访问控制，既可允许网络内IPv4/IPv6用户并存，也可以对IPv6用户的访问权限进行控制，比如限制对网络敏感资源的访问等；业界领先的硬件CPU保护机制：特有的CPU保护策略（CPP技术），对发往CPU的数据流，进行流区分和优先级队列分级处理，并根据需要实施带宽限速，充分保护CPU不被非法流量占用、恶意攻击和资源消耗，保障了CPU安全，充分保护了交换机的安全；硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定，严格限定端口上的用户接入或交换机整机上的用户接入问题；支持DHCPsnooping，可只允许信任端口的DHCP响应，防止私设DHCPServer的欺骗；并在DHCP监听的基础上，通过动态监测ARP和检查用户的IP，直接丢弃不符合绑定表项的非法报文，有效防范ARP欺骗和用户源IP地址的欺骗问题；基于源IP地址控制的Telnet设备访问控制，避免非法人员和黑客恶意攻击和控制设备，增强了设备网管的安全性；SSH（Secure87 Shell）和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备；控制非法用户使用网络，保证合法用户合理化使用网络，如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。支持NFPP技术。NFPP(NetworkFoundationProtectionPolicy基础网络保护策略)是用来增强交换机安全的一种保护体系，通过对攻击源头采取隔离措施，可以使交换机的处理器和信道带宽资源得到保护，从而保证报文的正常转发以及协议状态的正常。强大的多业务支撑能力支持IPv4、IPv6组播功能，包含丰富的组播协议。比如IGMPSnooping、IGMP、MLD、PIM、PIMforIPv6、MSDP等协议族，为IPv4网络、IPv6网络、IPv4和IPv6共存的网络提供了组播服务支持；支持IGMP源端口和源IP检查功能，有效地杜绝非法的组播源，提高网络的安全性；支持等价路由（ECMP）、权重路由（WCMP）等丰富的三层特性和业务特性，满足不同网络链路规划下的通信需要。RG-S5750-E支持丰富的MPLSVPN功能。智能侦测MPLS断网，智能选择冗余线路保持MPLSVPN的连通性。完善的QoS策略具备MAC流、IP流、应用流等多层流分类和流控制能力，实现精细的流带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务；以DiffServ标准为核心的QoS保障系统，支持802.1P、IPTOS、二到七层流过滤、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑。高可靠性87 支持生成树协议802.1D、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率；支持VRRP虚拟路由器冗余协议，有效保障网络稳定；支持RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接Hub等设备形成的环路而导致网络故障的现象；支持RERP，专门为核心以太网设计的二层链路冗余备份协议，其环路阻断以及链路恢复都集中在主控设备上进行,非主控设备直接向主控设备汇报自己的链路情况,无需经过其他非主控设备的处理,因此环路中断以及恢复时间比STP快。基于以上区别,RERP在理想环境下的链路恢复能力能够达到百毫秒级；在不启用STP的情况下，可以通过REUP(RapidEthernetUplinkProtectionProtocol)提供一个快速上链保护功能，REUP使得用户在关闭STP的情况下，仍提供基本的链路冗余，同时提供比STP更快的毫秒级故障恢复。支持BFD，为各上层协议如路由协议，MPLS等提供一种快速检测两台路由设备之间转发路径连通状态的方法，大大减少了上层协议在链路状态变化时的收敛时间。方便易用易管理灵活复用的多种千兆接口形式，可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接，方便用户灵活选择线缆；网络时间协议保证交换机时间的准确性，并与网络中时间服务器时间统一化，方便日志信息和流量信息的分析、故障诊断等管理；Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理；87 多端口同步监控，通过一个端口即可同时监控多个端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，大大提高维护效率；CLI界面，方便高级用户配置和使用。4.3.2接入交换机选型说明RG-S2900-E系列交换机包括RG-S2928G-E、RG-S2952G-E二款产品，是锐捷网络基于网络安全和易用好管理的理念推出的新一代安全智能交换机，充分融合了网络发展需要的高性能、高安全、多业务、易用性特点，为用户提供全新的技术特性和解决方案。RG-S2900-E交换机在提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性同时，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，可有效防止和控制病毒传播和网络攻击，控制非法用户使用网络，保证合法用户合理使用网络资源，充分保障网络安全和网络合理化使用和运营。RG-S2900-E系列交换机提供了SNMP、Telnet、Web和Console口等多种配置方式方便网络管理和维护，并提供最为灵活和完善的端口组合形式，非常利于用户根据网络布线需要，选择所需的上行链路的接口形式。RG-S2900-E系列交换机可为各种类型网络接入提完善的端到端的QoS服务质量、灵活丰富的安全策略和基于策略的网络管理，是校园网、企业网、政务网、业务网、宽带小区、商务楼宇等应用的理想接入设备，为用户提供高速、高效、安全、智能的全新接入方案。87 全面的安全控制策略通过与锐捷网络全局安全解决方案GSN的结合，可在安全策略方面为用户提供全面的立体三维的技术特性和解决方案，完全解除安全威胁、攻击、病毒、ARP欺骗等侵害，还网络一片绿色，让用户更安心、省心上网；硬件实现端口与MAC地址和用户IP地址的灵活绑定，严格限定端口上的用户接入；通过将端口设为保护端口即可简单方便地隔离用户之间信息互通，保障了信息安全，同时不必占用VLAN资源；专用的硬件防范ARP网关和ARP主机欺骗功能，有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象，保障了用户的正常上网；支持DHCPsnooping，可只允许信任端口的DHCP响应，防止未经管理员许可私自架设DHCPServer，扰乱IP地址的分配和管理，影响用户的正常上网；并在DHCP监听的基础上，通过动态监测ARP和检查源IP，可有效防范DHCP动态分配IP环境下的ARP主机欺骗和源IP地址的欺骗；基于源IP地址控制的Telnet和Web设备访问控制，增强了设备网管的安全性，避免黑客恶意攻击和控制设备；SSH（SecureShell）和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备，保护网络免遭干扰和窃听；通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户使用网络，保证合法用户合理化使用网络，如端口静态和动态的安全绑定、端口隔离、多种类型的硬件ACL控制（如专家级ACL、时间ACL、用户自定义ACL）、基于数据流的带宽限速、用户安全接入控制的多元素绑定等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。87 丰富的组播特性支持IGMP源端口检查功能，有效地杜绝非法的组播源，提高网络的安全性；支持和识别IGMPv1/v2和IGMPv3全部版本的组播报文，适应不同组播环境，避免非法的组播数据流占用网络带宽，满足组播安全应用的需要。完善的QoS策略以DiffServ标准为核心的QoS保障系统，支持802.1P、IPTOS、二到七层流过滤、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑；具备MAC流、IP流、应用流等多层流分类和流控制能力，实现灵活精细的带宽控制、转发优先级等多种流策略，带宽限制粒度达64Kbps，支持网络根据不同的业务、以及不同业务所需要的服务质量特性，提供差异化服务。高可靠性支持生成树协议802.1d、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率；支持RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接Hub等设备形成的环路而导致网络故障的现象。方便易用易管理采用灵活复用的千兆电接口和千兆SFP口组合的形式，可最灵活满足是否需要多个千兆链路上链或多个千兆服务器的连接，方便用户根据网络架构灵活选择连接形式；支持设备间的混合堆叠，通过堆叠不仅可以统一管理和使用设备，降低管理成本，同时可以灵活地组合和扩展端口，平滑扩容，保障了网络的高度灵活和可扩展，网络管理更加简单；87 提供图形化的安全策略管理平台，支持安全策略自动同步下发、升级和维护功能，安全策略智能化，可大幅度提高交换机管理和配置效率，提高网络安全；网络时间协议（NTP）保证交换机时间的准确性，并与网络中时间服务器时间统一化，方便日志信息和流量信息的分析、故障诊断等管理；Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理；多端口同步监控，通过一个端口即可同时监控多个端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，大大提高维护效率；CLI界面，方便高级用户配置和使用；Java-basedWeb管理方式，实现对交换机的可视化图形界面配置和管理，智能人性化的配置界面，实现快速和高效地配置设备。绿色节能设计S2928G-E交换机采用无风扇静音设计，功耗降低了40%以上，消除噪声；S2952G-E采用涡轮变速风扇设计，在低温情况下，风扇自动降低转速，降低功耗和噪声。4.3.3出口及安全设备选型说明4.3.3.1出口路由器RG-NPE（NetworkoutPut87 Engine，网络出口引擎）系列产品，是锐捷网络公司针对国内网络出口状况研发的专用设备。NPE基于多核处理器技术进行架构，具备转发高性能，内嵌状态防火墙、符合公安部82号令的日志记录等功能。此外，NPE针对国内普遍存在的NAT进行优化，并发会话和新建会话能力在业内首屈一指。NPE产品全新融入了智能DNS和多链路负载均衡技术，使得用户对内对外访问都能智能选择最优最快速路径；集成了DPI引擎，让网络管理者轻松应对P2P等应用的流量控制；重构了Web界面，让NPE网络出口引擎的专业在设备管理维护层面变得简化。先进的体系架构NPE系列网络出口引擎采用多核处理器体系架构，单个处理器内部基于锐捷自主知识产权的虚拟多处理器（vCPU）技术，从而在x-flow框架下构建起一个高性能、高稳定的转发平台全新的多核架构在满足高性能、低功耗、高灵活性、易升级的要求下，让NPE成功的向更深层次发展。如：更加完善的状态检测防火墙、对P2P等应用的流量控制等高性能NAT由于IPv4地址的匮乏，NAT成为网络出口设备必备功能，随着网络规模和出口带宽的扩大，需要更高速的NAT。锐捷NPE设备，采用NAT与REF（锐捷快速转发）高效配合，并充分利用x-flow技术，实现高速NAT，NPE成为网络出口的高性能推力引擎。根据泰尔实验室测试，显示RG-NPE60：每秒高达30万条的NAT新建连接会话。在启用NAT功能并端口线速转发的情况下，可提供每秒15万的UDP新建连接、14万条的TCP新建全连接。并发达到300万条的NAT会话数。如果按照每个网络节点150条NAT会话，则可以同时支持将近20000台的网络节点同时在线。高性能PBR87 根据用户制订的策略路由，基于源接口更加灵活的数据包路由转发机制。与功能强大的ACL配合使用，可以根据报文的源地址，目的地址,应用协议进行有效组合，实现策略路由。采用流表技术，在启用QOS、ACL、NAT、PBR等业务时，实现第一个报文逐条匹配，后续同一条流直接根据流表匹配，无需逐条查询，基于流的处理，使得在100条ACL、PBR的处理性能和300条的ACL、PBR的性能没有变化，有效的提高网络出口设备的数据包转发能力。有效的流量控制流量控制是防止某些用户或者应用（如BT、迅雷、网络电视等P2P应用）占用过多的网络资源，保证用户能够公平使用带宽。对于一些常见的DOS/DDOS攻击，在其他防御手段都无效的情况下，流量限制也是一个简单直接的方式。NPE嵌入了锐捷专业DPI引擎，具有丰富的流控功能：采用锐捷自主研发的新一代DPI引擎，能够准确识别包括P2P应用、IM、炒股软件、流媒体、企业办公、网络游戏等在内的总共600种协议；支持基于用户（源IP地址）、目标IP地址、时间、协议和应用等为参数进行灵活的阻断与允许功能。包括：进行上行与下行带宽控制、进行Session数量控制等；支持组对象的配置，如定义用户组（IP组）、协议组（如P2P协议组、游戏组）对同一类型的应用、相同级别的用户进行带宽管理策略的控制；多链路负载均衡，保证数据转发的最佳路径选择出于对网络出口的性能和可靠性考虑，向多个运营商同时租用多条互联网线路的情况在国内是非常普遍的。但是，对于拥有两条或两条以上的互联网链路的用户，如何既保证多条链路带宽被充分利用不被浪费，又保证对内对外访问所选择的路径是最快速的最优的？87 NPE全新融入多链路负载均衡技术，对多个ISP链路的可用性和性能进行监督，对双向数据流进行智能路径选择，从而保证用户拥有最佳的互联网接入体验。Inbound-智能DNS解析：针对Internet用户，对网络内部服务器的访问。（比如：政府的政务公开的服务器，高校的精品课程服务器等），NPE能够通过智能判断访问用户所在运营商，而将访问数据智能解析定位到对应的ISP链路上，以加速对服务器的访问。Outbound-锐捷智能选路：针对网络内部用户，对Internet资源的访问。简单的，可以通过所访问的目的地址进行区分，访问电信走电信线路，访问网通走网通线路。但是，对于2条以上链路，以及同一运营商有多根相同链路情况下（如2根电信），是无法区分目的地址的。此时，NPE能够通过线路带宽大小、线路带宽利用率、链路响应等因素综合分析判断，智能的为用户选择最快速最优的访问线路。完善的日志记录，基于用户身份的审计功能日志对于网络安全的分析和设备的安全管理非常重要，尤其在配合公安机关进行反向查询和定位安全事件的时候。NPE针对经过出口的数据流、设备和网络攻击进行相关日志信息的记录，为用户事后分析、审计提供重要信息（日志服务器支持远程web查看和检索）。符合公安部82号令的NPE日志包括：87 Flow流日志：源IP、目的IP、源端口、目的端口、流起始时间、结束时间、接受字节数，发送字节数等关键信息出口NAT日志：经过NAT转换前的源IP地址、源端口，经过NAT转换后的源IP地址、源端口，所访问的目的IP、目的端口、协议、开始时间、结束时间等关键信息URL日志：可以记录网络内部用户对Internet访问的URL日志记录设备日志：设备状态，系统事件日志攻击日志：设备网络受到攻击的日志信息和锐捷认证系统（SAM、GSN）无缝对接，将用户认证上网信息和出口日志结合起来，实现快速的用户上网信息统计和违规用户定位。WEB可视化管理，简单易用NPE重构了Web管理方式，让使用者能够轻松驾驭NPE网络出口引擎的强大功能。Web界面主要功能包括：全网出口流量统计概要视图：包括NPE流量视图、用户流量排名视图、应用流量排名视图（top排名可自定义显示）；全功能配置：NAT、路由、VPN配置；网络安全、用户管理、流量管理配置；中文系统帮助信息；87 内嵌高效状态防火墙NPE设备作为网络出口设备集成丰富的防火墙功能：快速包过滤：NPE提供性能卓越的ACL包过滤功能，支持标准和扩展的ACL访问控制列表。NPE采用先进的流表处理技术，利用源IP、目的IP、源端口、目的端口、协议号等5个元素来定义一条流。每秒可以处理和创建的流数量达到10万条报文过滤：报文过滤是防火墙最基本的功能，根据安全策略对数据流进行检查，让合法的流量通过，将非法的流量阻止，从而达到访问控制的目的。状态检测：对基于六元组来识别网络流量，并针对每条网络流量建立从二层至七层的状态信息。并基于这些状态信息进行各种丰富的安全控制和更深粒度的报文过滤。攻击防御:：基于状态检测，NPE可以防御的各种网络攻击包括：IP畸形包攻击、IP假冒、TCP劫持入侵、SYNflood、Smurf、PingofDeath、Teardorp、Land、pingflood、UDPFlood等.设备软、硬件高可靠性87 管理控制引擎和转发引擎完全分离：更好的稳定性、更稳定的性能、更容易实现可靠的服务特性关键装置的冗余：1+1电源冗余、双启动映像文件、双配置文件关键部件热拔插：电源热拔插、风扇热拔插、模块热拔插模块化软件设计：降低软件复杂度，同时将问题隔离在软件模块内；某个软件模块出错，不会让机器崩溃，并支持软件在线升级4.3.3.2出口流控随着信息技术的发展，网络应用的丰富，网络架构及流量变得异常复杂。作为内外交流的必经之地，网络出口的高度业务感知、可用性保障显得至关重要。简单来说就是，无论出口带宽高低，应用丰富与否，网络管理者都必须对有限的带宽资源进行合理的分配，保证关键业务的服务质量，从而为每个用户都提供最优最快的网络服务。RG-EG1000强大的日志记录、完善的安全审计支持URL过滤功能，且不影响设备性能。支持上网五元组、HTTP访问的详细URL日志记录功能。支持QQ/MSN的上下线日志记录。支持与锐捷eLog日志系统、SAM身份认证系统的联动处理，直接进行基于用户身份的行为审计。提供丰富的图表报告分析和统计87 提供一年内的应用或协议流量纪录，并可生成天、周、月、季度、年时间段内的应用及协议的带宽使用统计报告。包括：总带宽分析报表、应用带宽分析报表、基于协议的带宽分析报表、基于协议和流量方向（进入/出去）的带宽分析报表、基于应用和流量方向（进入/出去）的带宽分析报表、基于IP地址的带宽分析报表、用户自定义报表等等高安全、高可靠性应用层防火墙能够识别并阻断黑客的端口扫描以及DoS攻击行为，支持通过Session数控制、带宽控制来提高网络可用性和安全性。硬件BYPASS告别“串接设备单点故障”。采用外置光旁路单元和内置电口旁路模块，当ACE掉电或发生故障，毫秒级的切换保证网络随时畅通。支持HA高可用性解决方案，实现2台ACE相互冗余备份。4.3.3.4出口防火墙RG-WALL1600T/M是面向大中型园区网出口用户开发的新一代电信级高性能防火墙设备。RG-WALL1600T/M采用了最新的硬件平台和体系架构，实现防火墙性能的跨越式突破，可支持数十个GE接口。可以广泛应用于教育、政府、金融、医疗、军队、医疗等行业的千兆网络环境。配合锐捷网络的交换机、路由器产品，可以为用户提供完整的端到端解决方案，是大型网络出口和不同策略区域之间安全互联的理想选择。87 RG-WALL1600T/M防火墙采用锐捷网络自主开发的RG-SecOS和独创的分类算法使得它的高速性能不受策略数和会话数多少的影响，产品安装前后丝毫不会影响网络速度；同时，RG-WAL1600T/M在内核层处理所有数据包的接收、分类、转发工作，因此不会成为网络流量的瓶颈。另外，RG-WALL具有入侵监测功能，可判断攻击并且提供解决措施，且入侵监测功能不会影响防火墙的性能。RG-WALL1600T/M支持深度状态检测、外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持PPTP、L2TP、IPSec和SSL等多种全面的VPN业务，可以构建多种形式的VPN；提供强大的路由能力，支持静态/RIP/OSPF/路由策略及策略路由；支持双机状态热备，支持Active/Active和Active/Standby两种工作模式以及丰富的QoS特性，充分满足客户对网络高可靠性的要求。独立的安全协议栈RG-WALL1600T/M防火墙采用独立的安全协议栈，可以自由处理通过协议栈的网络数据，基于网络行为检测的多流关联分析技术，支持对网络数据的深度状态检测。采用先进的硬件平台通过多内核系统实现对不同数据流量的调度，极大提高设备的处理性能，满足用户对高性能安全设备处理能力的需求。深度状态检测87 RG-WALL1600T/M防火墙基于网络行为检测的多流关联分析技术，支持对网络数据的病毒过滤、支持入侵检测（IPS），支持对P2P和即时通讯软件的限制、支持URL以及WEB内容过滤、支持邮件内容过滤，支持FTP内容过滤，还可以和多种IDS产品联动，为细粒度的网络安全管理提供了有利的技术保障。支持按照时间段进行过滤，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对FTP、HTTP、SMTP、RTSP、H.323等应用层协议的状态监控。强大的处理能力RG-WALL1600T/M防火墙采用快速流检测（FFD，FastFlowDetect）引擎，对网络报文处理流程进行了革命性的改造和优化，将关键处理过程下移，在硬件中断里实现流分类、流交换；产品采用分段直接寻址安全规则搜索算法（MSDAL，Multi-StageDirectAddressingLookupAlgorithm），减少因系统内部任务间切换、内存缓存管理以及安全规则匹配对性能的消耗，从而提升了整个系统的处理性能。支持一对一、多对一、多对多、静态网段、双向转换等多种形式的NAT，提供源的和基于目的策略路由支持，高速的处理性能基本不受策略条目和并发连接数目的影响。支持全面的网络攻击防护支持CC、SYNflood、DNSQueryFlood等DoS/DDoS攻击防护，支持MAC和IP绑定功能，支持智能防范蠕虫病毒技术、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范等等网络攻击防护；完善的日志管理与审计提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能，配合日志管理系统可以完成日志的记录、查询和分析。独立的VPN模块内置专用的硬件VPN模块，支持PPTP、L2TP、IPSec、SSLVPN等多种VPN业务模式。支持高可靠性87 支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份。设备关键部件均采用冗余设计。4.3.3.5WEB应用保护系统RG-WG系列锐捷WebGuard应用保护系统，是锐捷网络专门解决上述Web应用安全问题设计的网络设备。锐捷WebGuard基于对HTTP/HTTPS流量内容的双向检测分析，识别检测各类Web编码、交互技术、URL参数以及表单输入等，为Web应用提供实时、动态的主动性防护。RG-WG系列有三个型号：RG-WG1000、RG-WG2000和RG-WG3000，分别为不同规模的网络提供Web应用安全解决方案。锐捷WebGuard，通过对进出Web服务器的HTTP/HTTPS流量相关内容的实时分析检测、过滤，来精确判定并阻止各种Web应用入侵行为，阻断对Web服务器的恶意访问与非法操作，适应Web2.0时代的主动实时监测过滤风险技术，而不是被动的遭受攻击后的恢复，将恶意代码、非授权篡改、应用攻击等众多因素结合在一起进行综合防范，从而做到对Web服务器的多重保护，确保Web应用安全的最大化，防止网页内容被篡改，防止网站数据库内容泄露，防止口令被突破，防止系统管理员权限被窃取，防止网站被挂马和植入病毒、恶意代码、间谍软件等，防止用户输入信息的泄露，防止账号失窃，防SQL注入，防XSS攻击等。高性能产品平台RG-WG采用多核硬件架构，优化重写TCP协议栈且支持多核的RGOS，是锐捷WebGuard高性能的技术保障。87 并行多核控制器，根据五元组进行会话的识别与数据包的均衡分发，充分发挥多核性能，最高可以实现吞吐量万兆处理性能。优化重写的用户态TCPStack，TCPStack之间处于完全隔离的进程空间，打破了传统KernelTCPStack共享数据锁的限制。防御网页篡改RG-WG采用事前防御和事后恢复的双层策略。既能在事前防御防范与未然，又能在事后进行页面恢复。RG-WG基于DDSE（深度解码扫描引擎）解析Web交互信息，在进行解码的基础上，对攻击的形式逻辑进行判断过滤，实现HTTP深度识别。站点隐身使攻击者无法获取服务器信息，避免攻击前的渗透扫描，避免Web服务器出错信息暴露出系统架构，从而无法执行下一步攻击。虚拟补丁技术保护操作系统、数据库、Apache、IIS等Web应用服务平台，避免Web应用服务平台被攻击导致系统隐患。危险文件下载检测，阻断下载数据库等危险文件，避免攻击者下载用户密码等敏感内部信息。合规性检查满足网页防篡改合规性检查需求。既能对事后恢复，又能事前保护，防御合规性检查的探测攻击。防止网站挂马检测过滤ActiveX、JAVAApplet、iFrame等嵌入式程序，卡住攻击源头，对未挂马网站进行预防。网站挂马检测引擎，对网站页面进行监控诊断，及时发现解决WebGuard部署前已被挂马的网站。Web服务器保护87 保护IDC托管机房、各类商业、业务服务器，保护各类Web服务器如网银、精品课程服务器、游戏服务器、企业ERP系统等。内置防病毒网关内置多种Malware检测规则，实时拦截ASP或PHP后门病毒：阻止进而获取Web管理权限的行为。防止网站被挂马，防止Web站点成为Malware发布源头：避免遭受名誉损失和客户商业损失。防御包含病毒木马的自动化攻击。减轻管理员服务器例行杀毒工作量，有效防御网站攻击。网页事后保护功能设备能缓存网页静态内容、包括动态页面静态部分。当网站被篡改时，设备将缓存的正确页面返回给访问者，保证对外显示的始终是正确页面。图片、视频等静态内容缓存到设备，设备直接将文件应答给访问者，减轻服务器负担，起到服务器卸载、网站加速功能。Cookie保护校验Cookie内容防止Cookie篡改，校验Cookie内容和客户端IP防止Cookie劫持，加密Cookie内容能防止Cookie内容泄露防Cookie内容泄露、防Cookie篡改、防Cookie劫持，防止攻击者冒充合法用户。校验Cookie内容和客户端IP，加密Cookie。关键字过滤内容关键字过滤，避免网站被上传反动、暴力、色情等类型关键字内容，影响社会和谐。协议关键字过滤，允许用户自定义关键字内容，为个性化业务系统定制特色保护功能。丰富的访问报表87 RG-WG提供丰富的Web服务器访问日志与报表，提供病毒检测日志与报表，Web攻击检测防御日志与报表，还提供设备运行情况和负载的统计图表，不仅方便管理员对Web服务器的运维，还方便管理员对WebGuard本身的运维。通过WebGuard的访问报表，管理员可以掌握网站由谁访问，以及攻击来源，从而有针对性的对网站进行改进。完善的黑白名单功能RG-WG能将确认为攻击的源IP自动加入黑名单，并且提供自动解禁时间，不需要任何人工的操作，大大方便了管理员的维护与管理。RG-WG能定制网站管理页面的访问IP，杜绝非网站管理员访问网站管理页面，从而预防攻击者直接修改网站页面。易部署RG-WG支持免配置初次运行，如果用户并非安全专家，默认配置即可防范大多数攻击。内置多种攻击防御模型，根据Web交互内容识别匹配应用逻辑定位攻击，与服务器本身并无关联。轻松实现对web站点的默认防护，可根据不同的站点防护需求，制定不同的防护规则。4.3.4网络安全及系统管理软件4.3.4.1安全认证计费管理系统锐捷网络RG-SAM3.X系统是一套以实现网络运营为基础，增强全局安全为中心，提高管理效率为目的的第三代网络安全运营管理系统。87 RG-SAM3.X安全运营管理系统是一套基于标准的RADIUS协议开发的认证计费管理系统。RG-SAM3.X几乎融合了现在网络身份认证所有的方式，例如：有线802.1X的准入方式、无线802.1X的准入方式、有线的web的准入方式、无线的web准入方式，远程vpn的接入方式。在同一个平台上实现了所有接入方式的认证、接入控制、计费、日志管理，和外统一接口等。大大降低了用户的投资成本，是的管理的效率得到了很大的提升。RG-SAM3.X安全运营管理系统在“高安全、可运营、易管理”三个方面具有业内相类似产品无可比拟的优势。RG-SAM3.X的通过RG-AC集群部署方案，在硬件设备有限投入下提供最安全、最稳定的全面解决方案，同时以其基于身份管理为核心的多种计费组合模式为用户提供无限可能的运营管理方案，另外，以好用、易用为原则，Web访问形式的友好界面，为用户提供贴心的使用形式。RG-SAM3.X面世的使命就是为用户创造高稳定性、高性能的运营环境，实现用户入网及认证、帮助网络管理者以最小投入开辟“以网养网”的运营之路。支持高可用集群技术，可以有效地解决单服务器的性能限制，实现故障的快速转移，保证服务的高可用性以及灵活的扩展性。同时，高可用集群技术可实现多台服务器之间的信息同步，可以支持跨区域的帐号漫游、容灾及不间断的系统运营质量。从用户实践中抽取出若干专门适用于高校行业的大量丰富的统计报表，为运营管理提供可视化功能支持。支持多业务统一认证，通过配置可以实现802.1X、VPN接入、Web准入、网关准出、无线接入等多种接入方式，使同一个用户可以通过不同的服务接入，保证管理运营能基于服务类型的精细化管理。87 用户和账户互相独立，多个用户可以关联同一个账户，业务应用模式更为丰富。灵活的预开户和预销户管理，在预开户和预销户的用户不但能承载用户信息，实现统一开户和统一销户管理，而且不占用实际用户授权数，这可为运营管理者节省系统投资费用，更加有效的使用系统。用户能根据使用需要，在原本提供信息基础上，自助添加用户的基本信息字段和自助服务信息字段，从而实现个性化管理的要求。通过设置的预置邮件服务，实现系统自助服务功能，如用户密码找回、审核注册用户信息，可以节省系统管理员的大量日常维护工作。简单清晰的用户上网明细信息，用户可以通过自助网络服务查询个人上网明细信息和个人账务流水，实现明明白白消费，同时可大量减少系统管理员的服务工作量。支持账户透支以及信用额度设置，能让账户的管理日趋完整和正规化，账户金额可以在信用额度限制下透支，既保证了用户记账的方便灵活性，又为网络运营管理提供了新的账户管理形式。支持集团用户，方便对独立机房、院校的分级综合管理。强大的数据导出功能，所有报表均支持Excel格式导出，方便数据在系统外核对，可为其他系统和单位提供支持数据。通过自定义计费策略配置为用户提供灵活、强大的计费策略配置，能够满足用户不同的计费要求。例如：周期、流量、计时计费三种方式可以组合成一种或几种计费策略，为网络管理运营提供多种计费方式。87 支持分区域精细化管理，按照区域划分服务，不同的用户在不同的区域可以实现不同的服务，实现了精细化管理的理念。例如：在教学区和宿舍区，一个学生使用同一账户可以使用不同接入控制和相应的计费策略。强大而灵活的绑定设置，有线方面可以实现用户帐号、用户IP、用户MAC、NASIP、NASPort的绑定，无线方面可以实现帐号、用户MAC、NASIP、SSID、APMAC等绑定，最大程度上保证了用户入网身份唯一。支持屏蔽代理服务器功能，还可限制屏蔽二次拨号，保障内网安全。功能强大而灵活的接入时段控制，一天24小时独立控制，对节假日、周末、平常三个层次分别区分控制，可以通过一次设置保证全年的时段控制。人性化的消息提示和记录功能，包括系统广告、个性信息、认证失败原因信息、用户下线原因记录与提示、自动欠费预通知等功能。限制用户认证客户端程序的类型和版本号，自动升级认证客户端程序，防客户端破解。支持卡充值模式，充值卡配合用户卡以及提供的公用服务功能可以实现用户的完全自助管理。精细安全的权限和组管理，保证管理员权限的同时，提供了灵活的权限定制方式，可实现分级管理，权限细化到第三级菜单。强大的日志功能，可记录和查询认证日志、系统日志、管理员操作日志、用户WEB自助服务日志、账单服务器日志等，实现事后的审计；并且其内网日志可以通过和RG-elog产品的对接实现基于用户的NAT日志、URL日志的统一分析和查询。集成了易用的设备管理功能，可对网络中的NAS设备和IP网段进行统一的管理。87 用户WEB自助服务功能，用户可通过WEB自助服务页面，进行个人资料的查询、密码修改、上网明细查询、缴费记录查询以及在线预注册和在线账号充值。配合RG-ACE支持针对基于用户身份的边界分类流量（国际国内上下行）计费，方便实施对P2P流量的管理；同时配合RG-ACE网关设备，还可以进行基于用户的应用访问控制，以及带宽管理。丰富的二次开发接口，方便与一卡通等业务系统的集成。支持LDAP协议，方便实施用户身份信息的统一集中管理。兼容华三、思科等主流厂商的802.1x接入交换机，保护用户投资。实时短消息功能，方便管理员与在线用户的沟通与信息发布。针对用户组、用户的BACL功能，在绑定策略下还可以实现不同区域的上网漫游。针对苹果公司Mac系统进行了兼容性支持，组件RG-SU得以在此系统下进行相关业务功能的实现。支持linux下RG-SU的所有相关功能。4.3.4.2网络安全日志管理系统RG-eLog锐捷日志系统（以下简称RG-eLog）是锐捷网络公司开发的网络日志系统。产品用于局域网出口日志NAT日志和URL访问日志采集，配合锐捷认证系统的日志信息进行分析，以提供网络用户行为的日志审计和出口流量的统计分析，提供上网日志信息统计和违规信息统计功能以及出口流量分析功能。87 RG-eLog部署和操作都很简捷，产品的设计理念就在于“易”——易部署、易操作。快速简单的部署方式，人性化的操作逻辑，致力于将用户的部署成本和操作成本降到最低。RG-eLog与设备类型和认证系统的配合采用松耦合方式，设备可以是RG-WALL、NPE、ACE任意的一种，当然客户在出口也可以随意组合这些产品。如果让RG-eLog和锐捷用户认证系统（SAM或SMP）对接，可以提供详细的用户信息，如用户账号、用户名、地址、电话等。组合的组件越多，RG-eLog提供的统计和分析的功能就越强。RG-eLog可以结合锐捷出口引擎（RG-NPE）、应用控制引擎(RG-ACE)全系列产品、锐捷认证系统（SAM或SMP），实现对出口引擎提供的NAT五元组、ACE提供的URL访问日志的分析。能够提供网络内各用户的访问流量、连接数等信息的分析，同时提供对用户通过NAT访问内容日志存储和查询，以及其URL内容的查询。RG-eLog也可以与锐捷全系列防火墙和锐捷认证系统（SAM或SMP）配合，实现对防火墙提供的NAT五元组、URL访问日志的分析。能够提供网络内各用户的访问流量、连接数等信息的分析，同时提供对用户NAT访问内容、URL访问内容日志进行存储和的查询。该产品可以用于高校校园网、企业办公外网、政府机构办公网、医疗外网、普教城域网、普教校园网、金融外联网等网络出口设备的NAT日志和URL日志收集，作为用户行为审计的依据。出口流量统计全网出口流量统计概要视图，包括出口设备流量视图、每用户连接数TOP87 10视图、用户流入流量TOP10排名视图、用户流出流量TOP10排名视图；流量概要视图出口设备流量统计列表，包括流经该设备的流入流出流量曲线、流量详表，能够统计RG-WALL和RG-NPE的流量；出口设备流量统计图流量、连接数排名，包括基于源IP、目的IP、用户、具体应用，对流入、流出流量及会话数进行排名；87 详细排名报表与认证系统对接RG-eLog能够和锐捷认证系统（SAM或SMP）无缝对接，将用户认证上网信息和出口日志结合起来，实现快速的用户上网信息统计和违规用户定位。用户显示定制列表NAT日志存储、查询RG-NPE87 的NAT日志查询，提供对NPE的NAT五元组信息至少90天的存储。同时可以基于源IP、源端口、NAT后源IP、NAT后源端口、目的IP和目的端口中任何一个条件，进行单一查询或者组合查询。如果配置了认证系统，能够显示每条记录的用户信息，便于用户定位。NPENAT日志信息查询RG-WALL的NAT日志查询，提供对NPE的NAT五元组信息至少90天的存储。同时可以基于源IP、源端口、NAT后源IP、NAT后源端口、目的IP和目的端口中任何一个条件，进行单一查询或者组合查询。如果配置了认证系统，能够显示每条记录的用户信息，便于用户定位。87 RG-WALLNAT日志信息查询收集并存储RG-WALL输出的URL访问日志，并保存至少90天。同时能够基于URL、源IP、目的IP、源端口、目的端口等信息对用户访问的URL记录进行查询。在配置了认证系统的情况下，可以同时显示记录的用户信息，包括用户账号、用户名字、用户联系方式等，快速定位责任人。87 RG-WALLURL日志信息查询系统告警流量、会话数告警。能够针对内网用户的流入、流出流量及建立的会话数设置告警条件，并实时监控日志数据，触发告警。告警条件告警通知。提供分级告警、首页告警汇总显示、告警邮件通知等功能，快速的通知维护人员网络异常，以便定位和解决网络故障。告警汇总4.3.4.3网络管理系统87 RG-SNC智能网络指挥官是锐捷网络为精确进行网络管理而设计的网络管理系统。RG-SNC专注于网络变更与配置管理，采用友好的全中文Web浏览器界面，可以远程协同维护和管理，采用非代理模式，避免了传统的“Agent”模式的繁琐和重复性劳动，而且便于实施和后期维护，极大地节省了工作时间和工作繁杂度；主动式的网管，可定义管理任务，主动收集网络状况并及时备份，做到状态变更的及时响应，出现故障可及时恢复；提供美观的网络拓扑图，俯瞰整个网络现状，出现异常时，在拓扑图上及时呈现。产品主要配合锐捷设备使用，提供图形化的配置界面，实现对设备配置修改,从而大大降低管理员的维护强度和难度。4.3.4.4拓扑管理拓扑管理展示了被管理网络的真实情况，直观的为网管人员提供了全网布局情况和设备运行情况，采用Flash技术动态的展现全网设备和连线状态，绚丽界面保证了客户的真实感体验，不同设备类型之间采用不同的图标进行区分，系统还可通过自动布局功能自动调整网络拓扑图，完善展现效果，也可以由用户手动添加或布局控制，并通过拓扑图上呈现的丰富的设备、告警、流量信息，实时的检视网络运行的全貌；可以直接在拓扑图上查找用户关注的设备和链路节点，进行点击获取更加详细的信息；用户还可以将拓扑图保存或者直接导出，为管理提供依据和便利；87 4.3.4.5网络资源的实时关注对网络设备关键参数采用进行TOPN的方式进行呈现，提升管理员对危险设备的关注度。在此直接给出CPU利用率、内存利用率、接口带宽利用率等几个重要指标的TOPN视图，在系统的首页给用户一个直接的呈现，可以根据该排序信息确定关注设备，进而对网络故障进行定位。87 4.3.4.5任务式的管理机制业务配置管理模块为管理员提供一个高级功能。管理员能将常用有用的系统配置，通过业务配置管理模块的配置指令和配置模板录入到系统中，并通过即时以及计划执行。配置指令是配置的基础，支持TELNET协议（包括SSH）以及SNMP协议。特别的，若采用TELNET协议则一条配置指令对应一个设备的CLI指令。配置模板代表一个完整的配置业务，由一条或者多条配置指令构成（最多30个指令），配置模板可以定义执行规则。管理员不必再繁琐的对每台设备频繁进行复杂操作；可定制配置任务，批量定期执行端口的开关操作，使得管理更具针对性。对于非常有规律的网络应用，任务式的管理方式更为有效的解决的管理员的重复性操作，针对下班时间禁止访问网络资源的端口，管理员可以设置管理任务，在指定的时间自动执行端口开/关操作，无需管理手动的多次操作。87 可创建软件下发任务，在指定的时间完成对指定设备执行升级到指定软件版本的操作。软件下发具有一定的风险性，所以在软件下发之前进行必要的保障性检查显得尤为重要，SNC提供的软件版本的可用性检查、设备环境的支持程度检查，从多个方面对该操作进行检测，并且通过下发重启时间、下发重启策略等多个参数的设置对设备软件的生效情况进行了限定，最大可能为软件下发提供保障。87 4.3.4.6设备的精细化管理可以真实的呈现网络设备面板，以不同颜色标记设备端口状态。提供了一个对EG设备集中管理的平台，出口网关模块包含出口网关设备管理、URL库上传、URL库配置计划和出口网关设备监视。并可通过该模块登陆到EG设备的Web管理端进行深入管理；87 4.3.4.7报表呈现系统内部预置了各种操作日志以及报表，能够对收集的数据进行相应的报表呈现，帮助管理人员分析网络状况，为做出对网络整理提供了数据依据；第一章87 第五章天水农业学校整体方案根据锐捷网络多年来对于教育行业的深入理解，通过对天水农业学校网络细致的网络建设需求了解，形成了贴切校园现状，满足3-5年使用的校园数字化的整体解决方案。天水农业学校数字化校园方案中基础网络架构采用了业界较为成熟的三层网络架构，使用双万兆核心路由交换机通过VSU技术构建全网的核心，在办公区域、行政区域、学生宿舍等区域，设计使用高性能和高可靠的IPV6且支持万兆扩展的高端交换机作为区域中心，从而构建成各个区域中心节点和整网核心节点的万兆骨干区域，骨干区域设备都为双万兆互联，保证了骨干区域的高性能和高可靠、高稳定的要求，在楼栋汇聚和接入层设备使用支持CPP和IPV6技术的交换设备，保证了设备的高稳定性和IPV6的应用基础。在出口以此实现天水农业学校高性能、高可靠、高稳定、易扩展的网络架构。在网络安全方面，本方案通过网络安全、主机安全、应用安全和数据安全四个大方面，从网络安全源头方面进行的控制和杜绝。方案中使用ARP防护体系和主机安全等保护措施，并通过技术和管理两种方式共同规范用户使用网络的行为，从而最大程度上从全局保障了新网络的整体安全。在各个学校都付出大量资源和人力处理各个业务系统的用户数据信息问题上，本方案设计采用统一身份认证数据平台，以保证数据在各个部门和业务系统中的完整和统一性。从而根本上解决数字空间内部关联问题以及与现实校园的衔接问题，也提高业务系统和数据维护效率。87 对于重点区域的无线方案，设计采用业界先进的瘦AP+无线控制交换机模式进行室内或室外部署。该设计考虑了兼容802.11A/B/G无线模式，同时方案的先进和前瞻性也兼容了即将形成标准的802.11N的超无线应用技术。无线方案的网络互联、认证计费、安全防御等方面设计与有线网络也形成良好的兼容和互补。通过构建面向关键业务的基础设施管理监控中心，让IT投入的效益的到最大化的体现，并能够在网络和信息团队运维资源有限的条件下，并能够在网络和信息团队运维资源有限的条件下，让校园的服务品质和管理水平得以提升。总体上，本方案实现了整体网络的技术先进性、高可用性、高安全稳定性、高扩展性、等网络建设的目标。从而实现了校园网络从百兆、千兆到万兆的三步跨越，实现了信息系统从单机版、网络版到全校信息系统集成统一的三级跃升，建成安全、稳定、高效的数字校园服务平台，将为天水农业学校的教学、科研、社会服务与管理信息化发挥更重要的支撑作用。第六章售后服务我公司本着客户至上的原则制订了完善的售后服务体系n凡由我公司提供的设备实行半年内出现质量问题包换，壹年内免费保修。保修期限满后，只收取元器件等直接成本费。u专门人员的定期和不定期的上门维护。u建立验收文档和维护文档，随时记录。包括线路安装管线图等。建立目录档案，了解科目运作情况。87 u对用户实行上门服务，24小时内不能修复的设备故障，由我公司免费提供备用机，保证系统正常运行，待故障设备修复后换回，保证用户系统不停止工作。u系统运行初期，使用本系统进行重大活动时，如果甲方需要，我公司可免费派员到现场做技术保障。u长期的技术支持和升级换代服务。u免费为用户培训操作人员，系统维护员。对今后使用耗材、今后扩建升级，都将给予最惠待遇。87'