青少年科普网网站建设策划方案.doc 40页

'青少年科普网网站建设策划方案项目概述青少年科普网定位于立于宁波，面向全国性的青少年数字科技馆，并逐步将其打造成为全市各科普场馆的主要的网上科普基地,以达到为公众特别是青少年开展科普宣传教育、提供共享服务的目的。集成全国数字化科普产品和信息资源，为宁波基层科普组织及相关机构开展科普资源交流和共享服务；由于受众人群主要为青少年，因此建馆在整体表现形式上将在固有特性的基础上，充分发挥他的趣味性，互动性，娱乐性等更为人性化的特点。通过网络传播科普知识，普及科学方法，弘扬科学思想和科学精神，激发青少年对科学技术知识的兴趣，增强青少年的探索和传新能力，提高青少年科学文化素质，打造宁波科教强市，从而推动创新型国家的建设。宁波市青少年科普网将建成一个集现实虚拟技术和虚拟现实技术综合运用的数字科技馆。以三维建模技术引入数字科技馆建设，实现实体馆际的宏观导览和信息的交互式体验，并以富媒体技术（指运用包括Flash、360全景、VR等多种技术将场景、视频、音频、图片、文献资料等多种信息集成的合成技术)实现实体馆际微观导览和科普知识信息获取。“宁波市青少年科普网”的建设将遵循SOA技术架构的思想和PORTAL技术表现方式，使用CA数字证书安全体系，完成数据资源聚合，形成统一的科普资源知识库，并且系统将具备高可扩展性和信息获取效率。40/40 为贯彻《全民科学素质行动计划纲要》，加强宁波科普教育基础设施建设，搭建数字科普教育活动基地，进一步创新科普手段,增加青少年热爱科学，学科学的兴趣，增强青少年动手能力和创新能力，并青少年发明创新、申请专利提供扶持，培养新一代小院士，提升科普工作水平，树立文明城市、文化大市形象。我们计划建设宁波市青少年科普网。建设科普网的重要意义和必要性宁波市青少年科普网是一项长期的公益性事业，他是实施将探索出一条科普新路，并使有限的资金发挥更大的作用，从而对青少年和社会产生几级而深远的影响，具有重要的社会意义。其建设的意义和必要性：（1）是贯彻落实《全民科学素质行动计划纲要》的重要举措，有利于科普教育的开展，有力地促进文明城市和文化大市的建设。（2）是整合社会和科研院校、各界科研人员、教师、专家学者的一个互动网络资源服务平台，真正做到人人为我，我为人人。（3）是网络普及的必然产物，也是倡导绿色上网和网络文明的有力手段。由于网络的普及，互联网已成为人们学习和娱乐的不可或缺的方式。但当前的互联网信息良莠不齐。而针对青少年的科普教育、娱乐网站较为匮乏。数字科技馆通过丰富、生动、直观、互动、便捷的只是传播，弥补书本教育的不足，提高人们的兴趣，引导青少年学习科普知识的热情，减少青少年受互联网不良内容的影响。努力成为新一代青少年上网的绿色通道！40/40 （1）突破了实体科技馆在时间和空间上的限制，可随时随地访问参观，是实体科技馆生动的补充和延续，是科普工作的新手段。（2）可有效结合实体科技馆的资源，相互依存，互为补充。数字科技馆可介绍、演示实体科技馆的各类展品，成为实体科技馆宣传和服务的有效工具。同时，也可借助虚拟现实设备，进行实体科技馆漫游、展品虚拟操作和控制等，使偏远地区的青少年也能享受实体科技馆的资源。（3）使科技馆进校园、科技馆进社区、科技馆进农村、科技馆进家庭成为现实。（4）以参与者的沉浸式体验、利用最新的Flash技术三维立体交互的变现方式等，让抽象的科学原理变得形象直观、生动有趣，更容易被青少年理解与接收，使用户可以打破常规的思维模式，以最真实、最细致的感觉体验抽象的科学。（5）搭建了网络科普教育活动的基础。数字科技馆可通过网上社区的方式，建立网上科普活动基地，也可进行“网上竞赛”等不受场地、人员、时间等现实的新的教育活动，为青少年提供与专家交流的机会。（6）与宁波市的电子科普画廊等现有的科普资源形成相互促进、资源共享、共同发展的局面，合理推进宁波市的科普工作。（7）通过网上提供青少年专利申请服务支持，为青少年申请专利提供方便，更为青少年专利的市场化、商业化提供牵线搭桥的作用。（8）通过虚拟3D技术充份提高青少年的想象力创造力以及动手能力，开展线上线下发明创新大赛，为宁波培养小院士打下基础。（9）40/40 协助热爱科技的青年少申报专利，并通过网络平台促使发明专利进行市场化转化。青少年科普网整体定位1.充分展示科学技术的美妙、神奇与趣味，以激发公众对科技的兴趣；特别是利用生动、趣味的互动式游戏方式吸引少年儿童对网上科技馆的兴趣，能过成绩排名、名人樘、等栏目提升青少年玩科教游戏的成就感！2. 通过相关领域的科学发现、技术发明历程和科技人物，展示大自然的进化过程和人类探索认识自然、利用改造自然的过程，揭示科技改变生活、科技推动社会进步、科技创造未来的巨大作用；3. 不仅要传播科技知识，还要展示科学家们在科学探索和技术发明过程中体现的科学精神、科学思想和科学方法，明确科学与伪科学的界限；4. 展示人类在探索自然规律过程中的认识局限性和不合理运用技术所产生的负面效应，展示各个领域里未解的重大科学之谜和技术难题；5．贴近百姓生活，跟踪重大科技事件和社会关注热点，关注科学技术的新突破、新进展和知识的更新。40/40 网站主要面向青少年、以及相关学校的教育工作者为主，为他们提供一个健康的、阳光的、有趣的、科学的数字网络平台（绿色上网通道）。通过这个平台，可以增加青少年对科学的兴趣、提高科学知识，并以互动游戏的方式让青少年以最喜爱的方式学会很多日常科学技能，增进知识，普及科学知识。为青少年提供科技创新的商化技术转化平台，使青少年的科技支持创新能尽快的转化为生产力，以最新的互联网技术进行互动式教育；同时开放相关科学的教育课件，为广大教育工作者提供最快捷方便的科学教育手段。平台受众分析1.广大青少年儿童2.热爱科学的爱好者3.青少年的教育工作者4.青少年家长、专家、学者如何吸引青少年1.通过最新的展示方式，如3D、Flash、互动等生动趣味的展示方式最大限度的吸引青少年的好奇心理。2.通过接近于游戏的型式让青少年更容易喜欢和接受。3.通过多人团队参与方式加强参与性。4.通过各类游戏的排行榜、名人樘等方式吸引青少年不断学习不断提升。5.通过积分、级别方式提升成长性空间。40/40 1.通过线上和线下活动宣传让青少年更加认知网站。2.通过对家长的宣传引导使家长更容易接受孩子上这个网站。3.通过与各大学校合作，共同引导孩子热爱上科技网。4.通过在网站上经常举办各种活动、大赛使青少年更喜欢、更关注科技网。5.通过在线学习平台，使青少年学习科技知识更方便、更快捷，满足了青少年求知欲望。6.通过科技网公平、开放的展示平台，可以让更多优秀的青少年获得更多的关注、展示机会！平台结构与栏目设计会员系统一站通会员系统：只要在网站任何地方注册的会员，即可享受宁波市青少年科普网整站服务！会员属性：会员姓名、性别、生日、电话、地址、Email、单位（学校）、QQ/msn会员类别：学生、家长、教师、专家、学者、嘉宾会员级别：1-20级会员积分：会员币：用来在网上消费，可以在线充值;40/40 在线充值消费系统提供CA数字证书以及个人认证系统确认系统的安全可靠。可提供手机充值、充值卡充值、网银充值、支付宝充值、财富通充值、服务点充值、邮政汇款等多种手段。真正做到安全方便快捷！线在投稿作品上传（二期工程主要是视频发布，定价。）手机订阅（二期工程）RSS输出订阅（二期工程）会员功能资料修改密码修改头像上传安全问题/答案手机/邮箱绑定密码找回积分/级别/虚拟币查看在线投搞：可针对多个栏目作品上传：专利/课件/动画等二期在线充值40/40 手机充值、充值卡充值、网银充值、支付宝充值、财富通充值、服务点充值、邮政汇款等多种手段。消费记录查看二期（保留6个月记录）网络硬盘空间管理可升级购买空间我的博客一站通行集成博客所有管理功能我的论坛一站通行集成论坛所有管理功能在线消费（集成于具体应用之中）电子钱包管理我的收藏站内短信管理在线教学二期（集成于具体应用之中）在线作业二期（集成于具体应用之中）五大馆：宇宙馆天文知识：望远镜、天文器具、各类天文现象、专用术语解释等航天知识：飞行器各种知识、火箭知识、中国发射的各种火箭星球知识40/40 ：太阳系九大行星、卫星、星座、银河系、太空旅行地球馆地理知识：气象知识：灾害知识：环境保护：生物馆人体知识：动物知识：植物知识：微生物世界：急救常识：历史馆历史人物：历史事件：历史文物：科学馆物理：身边的物理现象化学：身边的化学现象40/40 电子：电脑知识：信息技术：网上科技馆选择一些具有代表性的科技馆，利用三维技术让广大青少年浏览参观。网上博物馆动物馆、海洋馆、生态农庄、植物园等介绍。科学资源库1.科技图片2.专题展览3.动漫作品（可选有偿下载）4.音像作品（可选有偿下载）5.科普报告（可选有偿下载）6.研究报告（可选有偿下载）7.科普基地8.科技馆展品9.博物馆展品10.科普活动11.教学课件（可选有偿下载）12.其它资源（可选有偿下载）40/40 1.专利技术（可选有偿购买）2.。。。趣味学苑趣味学苑主要以动画型式、或是互交式教育、乃至于以游戏的方式提供青少年学习科学知识的一种方式，全面应用3D技术、Flash动画、互动游戏等方式来实现教育的目的，让青少年在玩的同时学习撑握知识点。此栏目将不少于200件教程课件、500个动画、1000张图片在线教育系统/视频教育（二期工程）在线考试系统（二期工程）在线作业系统（二期工程）学前智力发开专栏（二期有偿服务项目）科技信息科技动态、科技政策、科技知识、科技创新、高新产品、高新技术、本站动态校园科技博客与宁波各大学校共建频道。主要面向师生，让各大学校、师生在这里分享，交流学科学、用科学的心得、体会！有专家博客、教师博客、家长博客、学生博客、爱好者博客等等。l博客功能40/40 l像册功能（50M免费存储空间，可有偿扩容）l评论功能l模块功能（可选有偿模板）l网络硬盘（二期，有偿购买）科技论坛（可选）略科技B2C商城（二期工程）科技图书、音像制品、科技模型科技玩具、教育用品等功能列表产品分类、产品例表、产品浏览、产品搜索、多条件排序产品收藏、产品购买、产品评价、用户登录、用户支付、购买记录、购买评价后台功能：产品分类管理产品管理支付管理40/40 交易管理评价管理搜索分析销售分析报表手机版（二期工程）主要是非视频信息平台的运营模式1、通过与各大小学、初中、高中、大学学校进行合作运营模式，要求每位学生教师都去注册帐号。将来有可能实在网上科学教育、远程科学教育，提升现在的教育手段和效果。并为广大青少年提供一站是健康向上休闲娱乐网站。2、发行实体充值卡，与各书报厅、学校合作代销。同时可以要求学校为学生集体代购一定额度的充值卡，充值卡一律在网上数字馆消费。3、网站将不定期在平台上与各学校共同举办各种青少年科技活动、比赛，例如倡导低碳的“节能在我身边”中小学生创意设计大赛、航模竞赛、夏冬令营科普活动。4、40/40 与宁波科普电子画廊、电视、报纸等其它媒体形成湖动，共同开展各类市民感兴趣并且积极参与的科普活动，如定期的科普打擂台等。1、结合科普日、科技活动周等科技活动，追踪社会科技热点，组织大型的科普知识竞赛等。在天文奇观日（例如月全食）日，对天文奇观进行全程专题跟踪报道，做到最全面、专业。2、与本地各大门户网站进行合作，资源交换，频道共建等方式加大宣传量。并与各大学校、机构、科研组织、专业论坛进行友情链接，有效提升网站的权重PR值。3、通过SEO（搜索引擎优化）技术优化科技类关键词的各大搜索引擎上的排名，提升网站访问量和知名度。4、网站适当在各生活小区进行广告投放，同时也在本地一些科教类报刊杂志上进行一些广告投放。5、印制各种宣传单给学校，向学生、家长宣传。6、发行线下期刊或报刊，向学生、家长、教师收费订阅服务。7、为专家、教师、科学爱好者提供科技作品上传发布权限，可由网站进行有偿下载，利益共享方针。8、通过网上商务对科技类产品进行B2C网上销购，赠加网站收入。9、通过规划出适量的广告位进行招商来增加网站收入。10、通过多渠道会员在线充值，并在线消费来增加网站收入。运营阶段规划为：第一年平台开发建设第二年宣传推广、提升网站知名度和访问量40/40 （所有服务免费开放）。第三年全面营收（来自于会员充值、广告、期刊定阅、商城）市场营收计划自网站正式运营开始，按保守算宁波总计30万学生量，与学校深度合作后30%（10万）消费人群。项目人均/年营收额会员点卡充值50元500万元订阅期刊、手机报30元300万元广告/赞助-50万元课件收入（二期）10元100万网上购物（二期）20200万在线学习教育（二期）20200万广告/赞助（二期类）-80万在上线后第二年将达到800多万营业额，第三年（二期完工）后将达到1400多万元收入，具体良好的社会效益和经济效益。平台的架构40/40 数据库UserDataAPPData底层数据访问应用罗辑/业务罗辑WebServer用户界面层UI网络拓扑架构40/40 网络应用图例平台的建设成本第一期系统建设成本590万2010-6到2011-9平台负载：支持200-500人同时在线视频或是互动，3000人同时在线，每月支持150万人次访问量。分项目名称预算（万元人民币）备注总体方案策划、设计完善5系统标准化10平台软件成本10WindowsServer操作系统MSSQL数据库平台硬件成本30包括四台IBM网络服务器、HP存储系统、思可网络40/40 路由器、网络安全系统、机房以及系统软件等用户安全认证系统15/三年用户CA数字认证系统，安全系统。平台系统（SCMS）开发成本120会员系统、积份系统、实体卡充值系统、在线支付充值系统、信息发布平台、视频发布系统、博客像册系统、论坛系统、视频点播系统、有偿下载系统内容制作成本2105大馆不少于300件互动式Flash作品，不少于1000个知识点制作。科学资源库不小于500件作品趣味学苑不少于200件互动课件及科教游，500个动画及视频，1000张图片。网络接入成本20-50/年100M光缆（双线路可选）活动推广宣传成本60小区、报刊亭、以及户外广告35万、宣专单、宣传册、报刊杂志15万、网络广告、其它等10万。平台系统维护成本80/年系统完善、内容更新、硬件维护合计590项目实施计划第一期：2010-6至2011-9（15个月）后面是运营至2012-9时间项目2010-3至2010-5项目策化/需求分析2010-5至2010-8资料收集/汇总2010-6至2010-7系统标准化数据库架构设计40/40 2010-7至2010-9系统分析架构设计2010-9至2011-85大馆、1学苑、1资料库3D建模、VR、Flash交互设计、内容制作2010-9至2011-7系统平台开发2011-5至2011-8系统测试、负载测试、罗辑测试2011-8至2011-9系统集成、上线发布2011-9至2011-10信息的发布、内容补充、完善2011-10至2011-11组办新闻发布会以及相关报道2011-11至2012-2户外广告投放、相关媒体广告投放、学校合作洽谈、相关宣传资料的印制等2012-2至2012-5联合学校开通学生帐号，并举办第一次线上线下科教法动。2011-10至2012-9执行所有的线上宣传，主要有SEO优化、网站合作、EDM宣传、线上广告投放、建设QQ群、各大网站软文宣传、活动的线上推广等。2012-2至2012-5实体充值卡设计、制作、和发行2012-5至2012-9与各报刊亭合作、发展各类代理汇道2011-9至2012-9各类功能的完善、并按运营需求开放各类线上活动配套程序、以及代理汇道管理平台的开发建设2012-5至2012-9网站相关的活动、竞赛的举办。40/40 第二期系统建设成本640万+？？2012-6到6-2013-6目标达到支持1000-2000人在线视频或是互动，1万人同时在线，每月支持1500万人次访问量。总体方案策划、设计完善5万元系统标准化数据架构升级5万元软件版本升级10万系统硬件升级扩容80万（12-20台服务器以及配套硬件）平系统优化升级50万功能开发200万（支持在线教育/远程教育/线上作业/视频上传发布/手机订阅/数字宁波馆手机版/在线商城）内容扩充200万（140万互动内容制作+60万在线教育视频版权）平台接入带宽升级至1000Mb（或是租用电信VIP机房）价格未知系统升级后维护成本升为100万/年40/40 组织架构董事会总栽CEO副总栽运营部研发部设计制作部网络系统部外联组推广组副总栽公关部商务部渠道部常务副总产品部行政部人事部财务部客服部技术总监培训部会计出纳策化部编辑部期刊组测试部副总栽校务部法务部动画制作部40/40 需要的运营证有：营业执照ICP备案ICP经营许可性（电信增值服务经营许可）网络视听节目许可证互联网出版许可证网络文化经营许可证40/40 附录名词解释：SOA：企业服务架构（ServiceOrientedArchitecture，简称SOA）SOA是一种软件系统架构。SOA不是一种语言，也不是一种具体的技术，更不是一种产品，它给出在特定环境下推荐采用的一种架构，是一种理念架构，是人们面向应用服务的解决方案框架。 服务（service）是整个SOA实现的核心。SOA架构的基本元素是服务，SOA指定一组实体（服务提供者、服务消费者、服务注册表、服务条款、服务代理和服务契约），这些实体详细说明了如何提供和消费服务。遵循SOA观点的系统必须要有服务，这些服务是可互操作的、独立的、模块化的、位置明确的、松耦合的并且可以通过网络（UDDI）查找其地址。 SOA的灵活性将给企业带来巨大的好处。如果把企业的IT架构抽象出来，将其功能以粗粒度的服务形式表示出来，每种服务都清晰地表示其业务价值，那么这些服务的顾客（可能在公司内部，也可能是公司的某个业务伙伴）就可以选用这些服务，而不必考虑其后台实现的具体技术。IDC在2005年进一步明确了SOA的参考模型，提出了实现SOA所需要的基本元素以及它们之间应该具备的逻辑关系，指引着SOA的良性发展。 40/40 Portal技术：Portal在英语中是入口的意思。Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。用户可以主动访问已知的Portal认证网站，输入用户名和密码进行认证，这种开始Portal认证的方式称作主动认证。反之，如果用户试图通过HTTP访问其他外网，将被强制访问Portal认证网站，从而开始Portal认证过程，这种方式称作强制认证。Portal业务可以为运营商提供方便的管理功能，门户网站可以开展广告、社区服务、个性化的业务等，使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。Portal扩展功能Portal的扩展功能主要是指通过强制接入终端实施补丁和防病毒策略，加强网络终端对病毒攻击的主动防御能力。具体扩展功能如下：l             在Portal身份认证的基础上增加了安全认证机制，可以检测接入终端上是否安装了防病毒软件、是否更新了病毒库、是否安装了非法软件、是否更新了操作系统补丁等；l             用户通过身份认证后仅仅获得访问部分互联网资源（受限资源）的权限，如病毒服务器、操作系统补丁更新服务器等；当用户通过安全认证后便可以访问更多的互联网资源（非受限资源）。Portal的系统组成Portal的典型组网方式如图1所示，它由五个基本要素组成：认证客户端、接入设备、Portal服务器、认证/计费服务器和安全策略服务器。40/40 由于Portal服务器可以是接入设备之外的独立实体，也可以是存在于接入设备之内的内嵌实体，本文称之为“本地Portal服务器”，因此下文中除对本地支持的Portal服务器做特殊说明之外，其它所有Portal服务器均指独立的Portal服务器，请勿混淆。 图1Portal系统组成示意图 1.认证客户端安装于用户终端的客户端系统，为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。2.接入设备交换机、路由器等宽带接入设备的统称，主要有三方面的作用：l             在认证之前，将认证网段内用户的所有HTTP请求都重定向到Portal服务器。l             在认证过程中，与Portal服务器、安全策略服务器、认证/计费服务器交互，完成身份认证/安全认证/计费的功能。l             在认证通过后，允许用户访问被管理员授权的互联网资源。3.Portal服务器接收Portal客户端认证请求的服务器端系统，提供免费门户服务和基于Web40/40 认证的界面，与接入设备交互认证客户端的认证信息。4.认证/计费服务器与接入设备进行交互，完成对用户的认证和计费。5.安全策略服务器与Portal客户端、接入设备进行交互，完成对用户的安全认证，并对用户进行授权操作。以上五个基本要素的交互过程为：(1)       未认证用户访问网络时，在IE地址栏中输入一个互联网的地址，那么此HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主页上；若需要使用Portal的扩展认证功能，则用户必须使用Portal客户端。(2)       用户在认证主页/认证对话框中输入认证信息后提交，Portal服务器会将用户的认证信息传递给接入设备；(3)       然后接入设备再与认证/计费服务器通信进行认证和计费；(4)       认证通过后，如果未对用户采用安全策略，则接入设备会打开用户与互联网的通路，允许用户访问互联网；如果对用户采用了安全策略，则客户端、接入设备与安全策略服务器交互，对用户的安全检测通过之后，安全策略服务器根据用户的安全性授权用户访问非受限资源。使用本地Portal服务器的Portal认证系统1.系统组成本地Portal服务器功能是指，Portal认证系统中不采用外部独立的Portal服务器，而由接入设备实现Portal服务器功能。这种情况下，Portal认证系统仅包括三个基本要素：认证客户端、接入设备和认证/计费服务器，如图2所示。由于设备支持Web用户直接认证，因此就不需要部署额外的Portal服务器，增强了Portal认证的通用性。图2使用本地Portal服务器的Portal系统组成示意图40/40  l   使用本地Portal服务器的Portal认证系统不支持Portal扩展功能，因此不需要部署安全策略服务器。l   内嵌本地Portal服务器的接入设备实现了简单的Portal服务器功能，仅能给用户提供通过Web方式登录、下线的基本功能，并不能完全替代独立的Portal服务器。 2.认证客户端和本地Portal服务器之间的交互协议认证客户端和内嵌本地Portal服务器的接入设备之间可以采用HTTP和HTTPS协议通信。若客户端和接入设备之间交互HTTP协议，则报文以明文形式传输，安全性无法保证；若客户端和接入设备之间交互HTTPS协议，则报文基于SSL提供的安全机制以密文的形式传输，数据的安全性有保障。3.本地Portal服务器支持用户自定义认证页面本地Portal服务器支持由用户自定义认证页面的内容，即允许用户编辑一套认证页面的HTML文件，并在压缩之后保存至设备的存储设备中。该套自定义页面中包括六个认证页面：登录页面、登录成功页面、在线页面、下线成功页面、登录失败页面和系统忙页面。本地Portal服务器根据不同的认证阶段向客户端推出对应的认证页面，若不自定义，则分别推出系统提供的缺省认证页面。Portal的认证方式不同的组网方式下，可采用的Portal认证方式不同。按照网络中实施Portal认证的网络层次来分，Portal的认证方式分为两种：二层认证方式和三层认证方式。二层认证方式的支持情况与设备的型号有关，请以设备的实际情况为准。 40/40 1.二层认证方式这种方式支持在接入设备连接用户的二层端口上开启Portal认证功能，只允许源MAC地址通过认证的用户才能访问外部网络资源。目前，该认证方式仅支持本地Portal认证，即接入设备作为本地Portal服务器向用户提供Web认证服务。另外，该方式还支持服务器下发授权VLAN和将认证失败用户加入认证失败VLAN功能（三层认证方式不支持）。2.三层认证方式这种方式支持在接入设备连接用户的三层接口上开启Portal认证功能。三层接口Portal认证又可分为三种不同的认证方式：直接认证方式、二次地址分配认证方式和三层认证方式。直接认证方式和二次地址分配认证方式下，认证客户端和接入设备之间没有三层转发；三层认证方式下，认证客户端和接入设备之间可以跨接三层转发设备。(1)       直接认证方式用户在认证前通过手工配置或DHCP直接获取一个IP地址，只能访问Portal服务器，以及设定的免费访问地址；认证通过后即可访问网络资源。认证流程相对二次地址较为简单。(2)       二次地址分配认证方式用户在认证前通过DHCP获取一个私网IP地址，只能访问Portal服务器，以及设定的免费访问地址；认证通过后，用户会申请到一个公网IP地址，即可访问网络资源。该认证方式解决了IP地址规划和分配问题，对未认证通过的用户不分配公网IP地址。例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网IP。使用本地Portal服务器的Portal认证不支持二次地址分配认证方式。 (3)       可跨三层认证方式和直接认证方式基本相同，但是这种认证方式允许认证用户和接入设备之间跨越三层转发设备。对于以上三种认证方式，IP地址都是用户的唯一标识。接入设备基于用户的IP地址下发ACL对接口上通过认证的用户报文转发进行控制。由于直接认证和二次地址分配认证下的接入设备与用户之间未跨越三层转发设备，因此接口可以学习到用户的MAC地址，接入设备可以利用学习到MAC地址增强对用户报文转发的控制粒度。40/40 二层Portal认证过程1.二层Portal认证流程目前，二层Portal认证只支持本地Portal认证，因此由接入设备作为本地Portal服务器向用户提供Web认证服务，具体认证过程如下。图3二层Portal认证流程图 (1)       Portal用户通过HTTP或HTTPS协议发起认证请求。HTTP报文经过配置了本地Portal服务器的接入设备的端口时会被重定向到本地Portal服务器，本地Portal服务器提供Web页面供用户输入用户名和密码来进行认证。该本地Portal服务器的监听IP地址为接入设备上一个与用户之间路由可达的三层接口IP地址（通常为Loopback接口IP）。(2)       接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。(3)       接入设备上的本地Portal服务器向客户端发送登录成功页面，通知客户端认证（上线）成功。2.支持下发授权VLAN二层Portal认证支持服务器下发授权VLAN。当用户通过Portal认证后，如果授权服务器上配置了下发VLAN功能，那么服务器会将授权VLAN信息下发给接入设备，由接入设备将认证成功的用户加入对应的授权VLAN中，若该VLAN不存在，则接入设备首先创建VLAN，而后将用户加入授权VLAN中。通过支持下发授权VLAN，可实现对已认证用户可访问网络资源的控制。3.支持Auth-FailVLANAuth-Fail功能允许用户在认证失败的情况下，可以访问某一特定VLAN40/40 中的资源，比如获取客户端软件，升级客户端或执行其他一些用户升级程序。这个VLAN称之为Auth-FailVLAN。二层Portal认证支持基于MAC的Auth-FailVLAN，如果接入用户的端口上配置了Auth-FailVLAN，则端口上会基于认证失败的MAC地址生成相应的MACVLAN表项，认证失败的用户将会被加入Auth-FailVLAN中。加入Auth-FailVLAN中的用户可以访问该VLAN中的非HTTP资源，但用户的所有HTTP访问请求会被重定向到接入设备上进行认证，若用户仍然没有通过认证，则将继续处于Auth-FailVLAN内；若认证成功，则回到加入Auth-FailVLAN之前端口所在的VLAN。处于Auth-FailVLAN中的用户，若长时间无流量通过接入端口，则将离开该VLAN。用户加入授权VLAN或Auth-FailVLAN后，需要自动或者手动更新客户端IP地址，以保证可以与授权VLAN或Auth-FailVLAN中的资源互通。 三层Portal认证过程直接认证和可跨三层Portal认证流程相同。二次地址分配认证流程因为有两次地址分配过程，所以其认证流程和另外两种认证方式有所不同。1.直接认证和可跨三层Portal认证的流程图4直接认证/可跨三层Portal认证流程图 40/40 2.直接认证/可跨三层Portal认证流程：(1)       Portal用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时，对于访问Portal服务器或设定的免费访问地址的HTTP报文，接入设备允许其通过；对于访问其它地址的HTTP报文，接入设备将其重定向到Portal服务器。Portal服务器提供Web页面供用户输入用户名和密码来进行认证。(2)       Portal服务器与接入设备之间进行CHAP（ChallengeHandshakeAuthenticationProtocol，质询握手验证协议）认证交互。若采用PAP（PasswordAuthenticationProtocol，密码验证协议）认证则直接进入下一步骤。(3)       Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备，同时开启定时器等待认证应答报文。(4)       接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。(5)       接入设备向Portal服务器发送认证应答报文。(6)       Portal服务器向客户端发送认证通过报文，通知客户端认证（上线）成功。(7)       Portal服务器向接入设备发送认证应答确认。(8)       客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格，包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。(9)       安全策略服务器根据用户的安全性授权用户访问非受限资源，授权信息保存到接入设备中，接入设备将使用该信息控制用户的访问。步骤(8)、(9)为Portal认证扩展功能的交互过程。3.二次地址分配认证方式的流程图5二次地址分配认证方式流程图40/40  二次地址分配认证流程：(1)～(6)同直接/可跨三层Portal认证中步骤（1）～（6）。(7)       客户端收到认证通过报文后，通过DHCP请求获得新的公网IP地址，并通知Portal服务器用户已获得新IP地址。(8)       Portal服务器通知接入设备客户端获得新公网IP地址。(9)       接入设备通过检测ARP协议报文发现了用户IP变化，并通告Portal服务器已检测到用户IP变化。(10)   Portal服务器通知客户端上线成功。(11)   Portal服务器向接入设备发送IP变化确认报文。(12)   客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格，包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。(13)   安全策略服务器根据用户的安全性授权用户访问非受限资源，授权信息保存到接入设备中，接入设备将使用该信息控制用户的访问。步骤(12)、(13)为Portal认证扩展功能的交互过程。40/40 4.使用本地Portal服务器的认证流程图6使用本地Portal服务器的认证流程图 直接/可跨三层本地Portal认证流程：(1)       Portal用户通过HTTP或HTTPS协议发起认证请求。HTTP报文经过配置了本地Portal服务器的接入设备的接口时会被重定向到本地Portal服务器，本地Portal服务器提供Web页面供用户输入用户名和密码来进行认证。该本地Portal服务器的监听IP地址为接入设备上一个与用户之间路由可达的三层接口IP地址。(2)       接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。(3)       接入设备中的本地Portal服务器向客户端发送登录成功页面，通知客户端认证（上线）成功。Portal支持双机热备1.概述在当前的组网应用中，用户对网络可靠性的要求越来越高，特别是在一些重点的业务入口或接入点上需要保证网络业务的不间断性。双机热备技术可以保证这些关键业务节点在单点故障的情况下，信息流仍然不中断。所谓双机热备，其实是双机业务备份。可以分别指定两台设备上的任意一个支持备份接口功能的以太网接口为备份接口，两个备份接口通过备份链路相连。或者在两台设备上分别指定相同的备份VLAN，专用于传输双机热备相关的报文。在设备正常工作时，对业务信息进行主备同步；在设备故障后，利用VRRP或动态路由（例如OSPF）机制实现业务流量切换到备份设备，由备份设备继续处理业务，从而保证了当前的业务不被中断。关于双机热备的详细介绍请参见“系统分册”中的“双机热备配置”。40/40 图7双机热备组网图 如图7所示，在一个典型的双机热备组网环境中，用户通过Portal认证接入网络，为避免接入设备单机故障的情况下造成的Portal业务中断，接入设备提供了Portal支持双机热备功能。该功能是指，接入设备GatewayA和GatewayB通过备份链路互相备份两台设备上的Portal在线用户信息，实现当其中一台设备发生故障时，另外一台设备可以对新的Portal用户进行接入认证，并能够保证所有已上线Portal用户的正常数据通信。2.基本概念(1)       设备的工作状态l             独立运行状态：设备未与其它设备建立备份连接时所处的一种稳定状态。l             同步运行状态：设备与对端设备之间成功建立备份连接，可以进行数据备份时所处的一种稳定状态。(2)       用户的工作模式40/40 l             Stand-alone：表示用户数据只在一台设备上存在。当前设备处于独立运行状态，或者当前设备处于同步运行状态但用户数据还未同步。l             Primary：表明用户是由本端设备上线，用户数据由本端设备生成。本端设备处于同步运行状态，可以处理并接收服务器发送的报文。l             Secondary：表明用户是由对端设备上线，用户数据是由对端设备同步到本端设备上的。本端设备处于同步运行状态，只接收并处理同步消息，不处理服务器发送的报文。Portal支持多实例实际组网应用中，某企业的各分支机构属于不同的VPN，且各VPN之间的业务相互隔离。如果各分支机构的Portal用户要通过位于总部VPN中的服务器进行统一认证，则需要Portal支持多实例。通过Portal支持多实例，可实现Portal认证报文通过MPLSVPN进行交互。如下图所示，连接客户端的PE设备作为NAS，通过MPLSVPN将私网客户端的Portal认证报文透传给网络另一端的私网服务器，并在AAA支持多实例的配合下，实现对私网VPN客户端的Portal接入认证，满足了私网VPN业务隔离情况下的客户端集中认证，且各私网的认证报文互不影响。图8Portal支持多实例典型组网图CA数字证书：40/40 　　CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。。　　CA也拥有一个证书（内含公钥）和私钥。网上的公众用户通过验证CA的签字从而信任CA，任何人都可以得到CA的证书（含公钥），用以验证它所签发的证书。　　如果用户想得到一份属于自己的证书，他应先向CA提出申请。在CA判明申请者的身份后，便为他分配一个公钥，并且CA将该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给申请者。　　如果一个用户想鉴别另一个证书的真伪，他就用CA的公钥对那个证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。　　证书　　[1]证书实际是由证书签证机关（CA）签发的对用户的公钥的认证。　　证书的内容包括：电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前，证书的格式和验证方法普遍遵循X.509国际标准。　　加密：　　我们将文字转换成不能直接阅读的形式（即密文）的过程称为加密。　　解密：　　我们将密文转换成能够直接阅读的文字（即明文）的过程称为解密。　　如何在电子文档上实现签名的目的呢？我们可以使用数字签名。RSA公钥体制可实现对数字信息的数字签名，方法如下：　　信息发送者用其私钥对从所传报文中提取出的特征数据（或称数字指纹）进行RSA算法操作，以保证发信人无法抵赖曾发过该信息（即不可抵赖性），同时也确保信息报文在传递过程中未被篡改（即完整性）。当信息接收者收到报文后，就可以用发送者的公钥对数字签名进行验证。　　在数字签名中有重要作用的数字指纹是通过一类特殊的散列函数(HASH函数)生成的。对这些HASH函数的特殊要求是：　　1．接受的输入报文数据没有长度限制；40/40 　　2．对任何输入报文数据生成固定长度的摘要(数字指纹)输出；　　3．从报文能方便地算出摘要；　　4．难以对指定的摘要生成一个报文，而由该报文可以算出该指定的摘要；　　5．难以生成两个不同的报文具有相同的摘要。　　验证：　　收方在收到信息后用如下的步骤验证您的签名：　　1．使用自己的私钥将信息转为明文；　　2．使用发信方的公钥从数字签名部分得到原摘要；　　3．收方对您所发送的源信息进行hash运算，也产生一个摘要；　　4．收方比较两个摘要，如果两者相同，则可以证明信息签名者的身份。　　如果两摘要内容不符，会说明什么原因呢？　　可能对摘要进行签名所用的私钥不是签名者的私钥，这就表明信息的签名者不可信；也可能收到的信息根本就不是签名者发送的信息，信息在传输过程中已经遭到破坏或篡改。　　数字证书：　　答:数字证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中，使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对（公钥和私钥）所有者的识别信息，通过验证识别信息的真伪实现对证书持有者身份的认证。　　使用数字证书能做什么?　　数字证书在用户公钥后附加了用户信息及CA的签名。公钥是密钥对的一部分，另一部分是私钥。公钥公之于众，谁都可以使用。私钥只有自己知道。由公钥加密的信息只能由与之相对应的私钥解密。为确保只有某个人才能阅读自己的信件，发送者要用收件人的公钥加密信件；收件人便可用自己的私钥解密信件。同样，为证实发件人的身份，发送者要用自己的私钥对信件进行签名；收件人可使用发送者的公钥对签名进行验证，以确认发送者的身份。　　在线交易中您可使用数字证书验证对方身份。用数字证书加密信息，可以确保只有接收者才能解密、阅读原文，信息在传递过程中的保密性和完整性。有了数字证书网上安全才得以实现，电子邮件、在线交易和信用卡购物的安全才能得到保证。　　认证、数字证书和PKI解决的几个问题?　　保密性-只有收件人才能阅读信息。40/40 　　认证性-确认信息发送者的身份。　　完整性-信息在传递过程中不会被篡改。　　不可抵赖性-发送者不能否认已发送的信息。SEO：　　SEO（SearchEngineOptimization）搜索引擎优化的英文缩写，是指通过采用易于搜索引擎索引的合理手段，使网站各项基本要素适合搜索引擎的检索原则并且对用户更友好（SearchEngineFriendly），从而更容易被搜索引擎收录及优先排序。　　SEO还是英文SearchEngineOptimizer的缩写，中文意思是搜索引擎优化师。这些人利用工具或者其他的各种手法使目标网站符合搜索引擎规则，从而获得搜索引擎搜索排名至高点。　　SEO是一种搜索引擎营销指导思想，而不仅仅是对针对搜索引擎的排名情况。SEO工作应该贯穿网站策划、建设、维护全过程的每个细节，值得网站设计、开发和推广的每个参与人员了解其职责对于SEO效果的意义。　　SEO也是一种极为重要的宣传技巧，并非是为了单纯的引擎优化，往往也可以作用于B2C销售，例如京东商城，淘宝，拍拍，有啊，或者是热门的新闻消息传播，比如近几年我们流行的打酱油，躲猫猫，犀利哥，里面都含有了SEO的身影，感兴趣的朋友可以看以下的内容进行学习。软文：　　1．狭义的：指企业花钱在报纸或杂志等宣传载体上刊登的纯文字性的广告。这种定义是早期的一种定义，也就是所谓的付费文字广告。2．广义的：指企业通过策划在报纸、杂志、DM、网络、手机短信等宣传载体上刊登的可以提升企业品牌形象和知名度，或可以促进企业销售的一些宣传性、阐释性文章，包括特定的新闻报道、深度文章、付费短文广告、案列分析等。在大部分报刊、杂志都会提供登一块广告，付送一大块软文的地方。有的电视节目会以访谈、坐谈方式进行宣传，这也归软文。40/40 　　软文之所以备受推崇，第一个原因就是硬广告的效果下降、电视媒体的费用上涨，第二个原因就是媒体最初对软文的收费比硬广告要低好多，在资金不是很雄厚的情况下软文的投入产出比较科学合理。所以企业从各个角度出发愿意以软文试水，以便使市场快速启动。　　软文虽然千变万化，但是万变不离其宗，主要有以下几种方式：　　1、悬念式：也可以叫设问式。核心是提出一个问题，然后围绕这个问题自问自答。例如“人类可以长生不老？”、“什么使她重获新生？”、“牛皮癣，真的可以治愈吗？”等，通过设问引起话题和关注使这种方式的优势。但是必须掌握火候，首先提出的问题要有吸引力，答案要符合常识，不能作茧自缚漏洞百出。　　2、故事式：通过讲一个完整的故事带出产品，使产品的“光环效应”和“神秘性”给消费者心理造成强暗示，使销售成为必然。例如“1.2亿买不走的秘方”、“神奇的植物胰岛素”、“印第安人的秘密”等。讲故事不是目的，故事背后的产品线索是文章的关键。听故事是人类最古老的知识接受方式，所以故事的知识性、趣味性、合理性是软文成功的关键。　　3、情感式：情感一直是广告的一个重要媒介，软文的情感表达由于信息传达量大、针对性强，当然更可以叫人心灵相通。“老公，烟戒不了，洗洗肺吧”、“女人，你的名字是天使”、“写给那些战‘痘"的青春”等，情感最大的特色就是容易打动人，容易走进消费者的内心，所以“情感营销”一直是营销百试不爽的灵丹妙药。　　举例：无意中在网上看到一篇情感式软文，读完之后，非常感动，都没发现它是篇软文。大家可以参考一下。　　<19年的等待，一份让她泪流满面的礼物>　　这篇软文的成功之处在于，以情感为主，产品完全为情感服务，因此产生了好的反响。　　4、恐吓式：恐吓式软文属于反情感式诉求，情感诉说美好，恐吓直击软肋——“高血脂，瘫痪的前兆！”、“天啊，骨质增生害死人！”、“洗血洗出一桶油”。实际上恐吓形成的效果要比赞美和爱更具备记忆力，但是也往往会遭人诟病，所以一定要把握度，不要过火。　　5、促销式：促销式软文常常跟进在上述几种软文见效时——“北京人抢购***”、“***，在香港卖疯了”、“一天断货三次，西单某厂家告急”40/40 ......这样的软文或者是直接配合促销使用，或者就是使用"买托"造成产品的供不应求，通过“攀比心理”、“影响力效应”多种因素来促使你产生购买欲。　　6、新闻式：所谓事件新闻体，就是为宣传寻找一个由头，以新闻事件的手法去写，让读者认为就仿佛是昨天刚刚发生的事件。这样的文体有对企业本身技术力量的体现，但是，告诫文案要结合企业的自身条件，多与策划沟通，不要天马行空地写，否则，多数会造成负面影响。　　上述五类软文绝对不是孤立使用的，是企业根据战略整体推进过程的重要战役，如何使用就是布局的问题了。40/40'