XX大學(xué)校園網(wǎng)技術(shù)建議書華為技術(shù)有限公司2002年X月華為商業(yè)機密校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密TOC\o"1-5"\h\z1、概述 2\o"CurrentDocument"校園網(wǎng)建設(shè)背景 2校園網(wǎng)建網(wǎng)需求 2一般建網(wǎng)需求 2\o"CurrentDocument"XX學(xué)校建網(wǎng)需求 4\o"CurrentDocument"建網(wǎng)原則 42、總體網(wǎng)絡(luò)設(shè)計 5\o"CurrentDocument"組網(wǎng)描述 5\o"CurrentDocument"詳細(xì)網(wǎng)絡(luò)設(shè)計 7組網(wǎng)用核心設(shè)備介紹 7高可靠性的高端路由器 7\o"CurrentDocument"功能強大的核心三層交換機 7\o"CurrentDocument"性能卓越的匯聚交換機 9\o"CurrentDocument"業(yè)務(wù)豐富的智能尸接入設(shè)備 11\o"CurrentDocument"組網(wǎng)特點 123、詳細(xì)網(wǎng)絡(luò)設(shè)計 13\o"CurrentDocument"IP地址規(guī)劃和路由策略 13\o"CurrentDocument"VLAN劃分 14認(rèn)證計費 15用戶認(rèn)證 15\o"CurrentDocument"計費管理 17\o"CurrentDocument"綜合訪問管理服務(wù)器AMS 184、業(yè)務(wù)解決方案 19\o"CurrentDocument"PORTAL 19\o"CurrentDocument"遠(yuǎn)程教育 20\o"CurrentDocument"寬帶上網(wǎng)卡 21\o"CurrentDocument"組播業(yè)務(wù) 23\o"CurrentDocument"5、網(wǎng)管解決方案 23\o"CurrentDocument"iManagerN2000綜合網(wǎng)管解決方案 23\o"CurrentDocument"QuIDVIEW網(wǎng)管解決方案 296、安全解決方案 31用戶嚴(yán)格隔離 31用戶唯一標(biāo)識 31防止對DHCP服務(wù)器的攻擊 31\o"CurrentDocument"惡意用戶追查 32\o"CurrentDocument"防止用戶Proxy代理 32\o"CurrentDocument"7、附件 32華為商業(yè)機密校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密1、概述校園網(wǎng)建設(shè)背景根據(jù)CNNIC2002年的最新調(diào)查結(jié)果來看，我國目前的上網(wǎng)總?cè)丝谝堰_(dá)4580萬，其中學(xué)生用戶占了26%，是最大的用戶群。另據(jù)華為公司市場部提供的資料，中國網(wǎng)民的普及率是1.2%，但在大學(xué)生群體中的普及率是93%。目前87%學(xué)生在網(wǎng)吧上網(wǎng)，97%的學(xué)生用201校園卡打電話。同時，隨著國家信息化工作的深入開展，提高教育系統(tǒng)信息化水平成為當(dāng)前工作的重點。而校園網(wǎng)建設(shè)則是教育系統(tǒng)信息化建設(shè)的關(guān)鍵，尤其是高校校園網(wǎng)建設(shè)。在信息化的建設(shè)過程中，它的作用體現(xiàn)在如下幾個方面：1、校園網(wǎng)能促進教師和學(xué)生盡快提高應(yīng)用信息技術(shù)的水平;信息技術(shù)學(xué)科的內(nèi)容是發(fā)展的，它是一門應(yīng)用型學(xué)科，因此，為了讓學(xué)生學(xué)到實用的知識，必須給他們提供一個實踐的環(huán)境，這個環(huán)境離不開校園網(wǎng)。2、校園網(wǎng)為教師提供了一種先進的輔助教學(xué)工具、提供了豐富的資源庫，所以校園網(wǎng)是學(xué)校進行教學(xué)改革、推行素質(zhì)教育的一種必不可少的工具。3、校園網(wǎng)是學(xué)校現(xiàn)代化管理的基礎(chǔ)，深入、全面的學(xué)校信息管理系統(tǒng)必須建立在校園網(wǎng)上。4、校園網(wǎng)提供了學(xué)校與外界交流的窗口，學(xué)校應(yīng)將校園網(wǎng)與互聯(lián)網(wǎng)聯(lián)接，這也是學(xué)校信息化的要求，做到了這一步，通過校園網(wǎng)去了解世界、在互聯(lián)網(wǎng)上樹立學(xué)校的形象都是很容易的。教育即未來。作為國家最重要的戰(zhàn)略工程，如何應(yīng)用信息技術(shù)改造我們傳統(tǒng)的教學(xué)和管理手段;如何加深學(xué)生對于信息化和信息技術(shù)的理解與了解；如何造就同時具備傳統(tǒng)和信息雙重文化的一代新人，已成為教育界當(dāng)前最為緊迫的任務(wù)之一。信息技術(shù)的應(yīng)用，勢必極大地推進教育手段和教育內(nèi)容的革命性變革。我們對此深信不疑，并將全身心地為之努力。校園網(wǎng)建網(wǎng)需求.1一般建網(wǎng)需求校園網(wǎng)的建設(shè)涉及到基礎(chǔ)網(wǎng)絡(luò)設(shè)施的建設(shè)和業(yè)務(wù)應(yīng)用平臺建設(shè)兩個不同的層面。此處主要華為商業(yè)機密校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密分析網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和網(wǎng)絡(luò)運營方面相關(guān)的內(nèi)容。校園網(wǎng)絡(luò)建設(shè)從網(wǎng)絡(luò)流量模型上看和企業(yè)網(wǎng)的流量模型相似，用戶集中而網(wǎng)絡(luò)流量大，但實際應(yīng)用上還存在許多和企業(yè)網(wǎng)不同的地方。主要特點如下：1、多出口的需求：典型的組網(wǎng)有中國教育和科研網(wǎng)（CERNET）出口和運營商網(wǎng)絡(luò)出口。多出口帶來了以下兩個需求：1）多權(quán)限ISP需求。用戶可通過不同的賬號名或采用相同的賬號，不同的域名認(rèn)證，獲得不同的上網(wǎng)權(quán)限。譬如做到用戶不認(rèn)證前能自由訪問校園內(nèi)部分服務(wù)器，采用“user@163”登錄，可實現(xiàn)Internet和校園網(wǎng)絡(luò)自由訪問，采用“user@crenet”登錄，可訪問CERNET和校園網(wǎng)。用戶域名選擇可通過WEB認(rèn)證時用戶通過選擇WEB認(rèn)證上的相應(yīng)選擇項進行選擇。2）多ISP分別計費的需求，對應(yīng)不同的ISP，計費策略不一致。2、用戶管理的需求：1）使用方便，存在WEB認(rèn)證需求。要求能做到基于WEB的身份認(rèn)證、多ISP選擇、W用戶費率查詢、帶寬動態(tài)調(diào)整（隱性需求）、多WEB界面（隱性需求）等。2）需要解決賬號和端口綁定問題。通過此種方式限制賬號的使用區(qū)域。3）對用戶帶寬進行控制的需求，要求設(shè)備能對用戶的帶寬進行控制，譬如限制為256K、512K、1M、2M、5M、10M等等級。3、以網(wǎng)養(yǎng)網(wǎng)的需求：如何使現(xiàn)有網(wǎng)絡(luò)具有自我造血機制成為高校普遍關(guān)心的問題，而只有具有自我造血機制才能使校園網(wǎng)絡(luò)更好的發(fā)展，不斷的完善。目前主要的措施有兩個：1）發(fā)行寬帶上網(wǎng)卡，改變以前單一，高成本的收費模式。卡號類型主要有包月卡、包月限時長、時長卡三種類型，包月限流量卡作為一種備選解決方案（不推薦）同時配合靈活的折扣方式，引導(dǎo)學(xué)生上網(wǎng)（如上課時間單價比夜晚高些）。2）開展服務(wù)收費。高校擁有豐富的教育資源，并且是公眾教育的主要支撐力量。基于網(wǎng)絡(luò)開展有償?shù)馁Y源提供正成為目前公眾教育的主要形式。這樣不僅盤活了現(xiàn)有資源，更適應(yīng)了教育產(chǎn)業(yè)化發(fā)展的趨勢，通過有償服務(wù)推動公益教育的發(fā)展。4、安全管理的需求：1）學(xué)生接受新鮮事務(wù)的能力非常強，因此校園也成為黑客最多的場所之一，如何保障校園網(wǎng)絡(luò)的安全成為建網(wǎng)時不得不考慮的問題，目前主要攻擊手段有DOS，DDOS等華為商業(yè)機密校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密2）上網(wǎng)日志的需求，主要是配合公安機關(guān)保證社會的穩(wěn)定和校園的安全5、NAT的需求：部分學(xué)校沒有公網(wǎng)IP地址或地址不夠，另外，因為教育網(wǎng)地址用戶報文在通過運營商網(wǎng)絡(luò)邊界路由器時不被信任或運營商地址用戶報文在通過教育網(wǎng)邊界路由器時不被邊界路由器信任，會造成部分Internet網(wǎng)站不可訪問。解決此問題的措施需要在運營商或教育網(wǎng)其中一個出口做NAT，對此出口屏蔽內(nèi)部路由。6、組播業(yè)務(wù)的需求，特別是可控組播的需求將隨著校園信息化的深入而體現(xiàn)出來。.2XX學(xué)校建網(wǎng)需求增加當(dāng)?shù)貙W(xué)校實際上網(wǎng)需求，如：現(xiàn)網(wǎng)規(guī)模，建網(wǎng)目標(biāo)等1.3建網(wǎng)原則早期的高校校園網(wǎng)主要是共用內(nèi)部教育系統(tǒng)主機資源，共享簡單數(shù)據(jù)庫，多以二層交換為主，很少有三層應(yīng)用，存在安全、可管理性較差、無業(yè)務(wù)增值能力等方面的問題。現(xiàn)在高校校園網(wǎng)建設(shè)要實現(xiàn)內(nèi)部全方位的數(shù)據(jù)共享，應(yīng)用三層交換，提供全面的QoS保障服務(wù)，使網(wǎng)絡(luò)安全可靠，從而實現(xiàn)教育管理、多媒體教學(xué)、圖書館管理自動化，而且還要通過Internet實現(xiàn)遠(yuǎn)程教學(xué)，提供可增值可管理的業(yè)務(wù)，必須具備高性能、高安全性、高可靠性，可管理、可增值特性以及開放性、兼容性、可擴展性。基于對高校校園網(wǎng)業(yè)務(wù)需求的深入理解，結(jié)合自身產(chǎn)品和技術(shù)特點，華為公司推出了了完善的高校校園網(wǎng)解決方案，為高等院校提供“可管理、可增值、可持續(xù)發(fā)展”的精品網(wǎng)絡(luò)。高校網(wǎng)絡(luò)建設(shè)遵循以下基本原則：可管理性高校網(wǎng)絡(luò)是一個龐大而且復(fù)雜的網(wǎng)絡(luò)，為了保障網(wǎng)絡(luò)的正常使用以及設(shè)備的良好維護需要一個功能強大，具有分級、分權(quán)管理能力的網(wǎng)管系統(tǒng)，實現(xiàn)統(tǒng)一的網(wǎng)絡(luò)業(yè)務(wù)調(diào)度和管理，降低網(wǎng)絡(luò)運營成本。同時由于高校網(wǎng)絡(luò)的使用者數(shù)量巨大，網(wǎng)上開展的業(yè)務(wù)眾多，因此需要能夠提供用戶的高效管理，以確保用戶和學(xué)校的利益不受損失。可增值性校園網(wǎng)絡(luò)的建設(shè)、使用和維護需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。所以在建設(shè)時要充分考慮業(yè)務(wù)的擴展能力，能針對不同的用戶需求提供豐富的寬帶華為商業(yè)機密校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密增值業(yè)務(wù)，使網(wǎng)絡(luò)具有自我造血機制，實現(xiàn)以網(wǎng)養(yǎng)網(wǎng)。可擴充性考慮到用戶數(shù)量和業(yè)務(wù)種類發(fā)展的不確定性，校園網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴充的彈性網(wǎng)絡(luò)平臺，能夠隨著需求變化，充分留有擴充余地。開放性技術(shù)選擇必須符合相關(guān)國際標(biāo)準(zhǔn)及國內(nèi)標(biāo)準(zhǔn)，避免個別廠家的私有標(biāo)準(zhǔn)或內(nèi)部協(xié)議，確保網(wǎng)絡(luò)的開放性和互連互通，滿足信息準(zhǔn)確、安全、可靠、優(yōu)良交換傳送的需要；開放的接口，支持良好的維護、測量和管理手段，提供網(wǎng)絡(luò)統(tǒng)一實時監(jiān)控的遙測、遙控的信息處理功能，實現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。安全可靠性設(shè)計應(yīng)充分考慮整個網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點的備份和線路保護，提供網(wǎng)絡(luò)安全防范措施。2、總體網(wǎng)絡(luò)設(shè)計組網(wǎng)描述XX大學(xué)校園解決方案總體設(shè)計以高性能、高可靠性、高安全性、良好的可擴展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)及靈活計費為原則，以及考慮到技術(shù)的先進性、成熟性，并采用模塊化的設(shè)計方法。其組網(wǎng)圖如下：華為商業(yè)機密校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密WLAJTAP5削% 含諛室阿5陪idliiICiTiEssuzu/i^aH教室宴整裝分公姓網(wǎng)絡(luò)中心S24D3H20WJZ003NEienswtft.'-JiLHL'MSBW**MWLAJTAP5削% 含諛室阿5陪idliiICiTiEssuzu/i^aH教室宴整裝分公姓網(wǎng)絡(luò)中心S24D3H20WJZ003NEienswtft.'-JiLHL'MSBW**M費FTPS3026,24[>JH數(shù)室每沿室由父群99早加S3520J'&55、CLKTIErCAMS本解決方案網(wǎng)絡(luò)分為三個層次，核心層、匯聚層、接入層。為實現(xiàn)校區(qū)內(nèi)的高速互聯(lián)，校園網(wǎng)核心層采用兩臺華為公司核心路由交換機QuidwayS8016,并基于S8016構(gòu)建了校園網(wǎng)絡(luò)中心，成為校園網(wǎng)應(yīng)用的核心。S8016最大支持64個GE端口，支持全光口模塊，方便實施遠(yuǎn)程千兆匯聚；提供全線速的二三四層交換及第四層業(yè)務(wù)服務(wù)，可作為網(wǎng)絡(luò)的核心交換、業(yè)務(wù)控制和冗余控制平臺。在匯聚層采用華為公司QuidwayS5516，S3526千兆路由交換機以及MA5200E智能訐接入設(shè)備，通過GE口連接S8016構(gòu)成了高帶寬的校園網(wǎng)骨干。QuidwayS5516/3526是全線速三層交換機，可以實現(xiàn)二三四層線速轉(zhuǎn)發(fā)、三層互通，同時實現(xiàn)線速的多層策略過濾，用以實現(xiàn)極為復(fù)雜的VLAN業(yè)務(wù)隔離、互通控制以及流分類等。在校園網(wǎng)接入層，分為教學(xué)區(qū)與宿舍區(qū)。在教學(xué)區(qū)采用S3026和S2403H作為用戶的接入設(shè)備，實現(xiàn)GE到大樓，10、100M到桌面。在宿舍區(qū)，采用MA5200、S3026、S2000實現(xiàn)用戶的接入、認(rèn)證、計費。MA5200E實現(xiàn)對用戶的接入認(rèn)證、用戶管理和業(yè)務(wù)質(zhì)量保證，為用戶提供高速上網(wǎng)、視頻點播、門戶業(yè)務(wù)等多種業(yè)務(wù)，能對用戶進行有效管理，保證網(wǎng)絡(luò)安全可靠，并提供多種計費方式，為校園網(wǎng)絡(luò)的建設(shè)和管理提供新的方式。考慮到網(wǎng)絡(luò)的先進性和完整性，在校園網(wǎng)內(nèi)的熱點地區(qū)，如圖書館、會議室采用華為公司華為商業(yè)機密校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密的WLAN無線局域網(wǎng)產(chǎn)品構(gòu)建了安全、可靠的無線局域網(wǎng)。廣域網(wǎng)互連設(shè)備采用華為公司QuidwayNE16E/08E/05電信級骨干路由器。QuidwayNE16E/08E系列路由器使用華為公司擁有完全自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)操作系統(tǒng)VRP平臺，采用全分布式體系結(jié)構(gòu)，遵循電信設(shè)備標(biāo)準(zhǔn)，具有電信級可靠性。由圖可見，XX大學(xué)校園網(wǎng)網(wǎng)絡(luò)主要有兩個出口，分別是INTERNET出口（可以是某運營商提供的城域網(wǎng)出口）和中國教育科研網(wǎng)（CERNET）出口。華為Quidway系列產(chǎn)品支持統(tǒng)一的網(wǎng)管平臺，通過華為Quidview網(wǎng)管軟件或者iManagerN2000綜合網(wǎng)管平臺，可以對全網(wǎng)設(shè)備實施從網(wǎng)元到拓?fù)洹⒐收系认盗刑匦詫嵤┘皶r、專業(yè)的管理。同時采用CAMS綜合訪問管理服務(wù)器完成了網(wǎng)絡(luò)用戶的認(rèn)證，計費和管理。詳細(xì)網(wǎng)絡(luò)設(shè)計可以加入以下內(nèi)容：1、各校區(qū)的組網(wǎng)圖2、各校區(qū)組網(wǎng)描述3、信息點和相應(yīng)設(shè)備清單組網(wǎng)用核心設(shè)備介紹高可靠性的高端路由器高總線帶寬：系統(tǒng)提供兩條2G的總線作為單板內(nèi)部的控制和數(shù)據(jù)通信，板件交換有足夠的帶寬。大流量分布式轉(zhuǎn)發(fā)：采用分布式轉(zhuǎn)發(fā)，數(shù)據(jù)包的轉(zhuǎn)發(fā)由接口板完成，不影響主控板的工作，系統(tǒng)更加穩(wěn)定；數(shù)據(jù)轉(zhuǎn)發(fā)不依賴單一的處理器，數(shù)據(jù)轉(zhuǎn)發(fā)的性能大大提高；而且在這種方式下數(shù)據(jù)包的轉(zhuǎn)發(fā)由接口板完成，不影響主控板的工作，系統(tǒng)更加穩(wěn)定。功能強大的核心三層交換機校園網(wǎng)核心設(shè)備采用華為公司路由交換機S8016。QuidwayS8016是華為公司推出的大容量（128G）、模塊化、機架式基于硬件2/3/4層交換的路由交換產(chǎn)品。QuidwayS8016提供完善的DiffservQoS保證和業(yè)務(wù)流量控制機制，以及電信級的可靠性和高密度、大容量交換能力，是校園網(wǎng)建設(shè)的基石。S8016作為大型13設(shè)備，具有以下一些特點：一、大容量高密度：華為商業(yè)機密校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密背板交換能力最高256G,交換網(wǎng)板容量128G；共有16個業(yè)務(wù)插槽，11種業(yè)務(wù)接口板；最多可配置：64個GE接口和256個FE接口。二、完全線速分布式轉(zhuǎn)發(fā)性能：全分布式結(jié)構(gòu),采用先進的網(wǎng)絡(luò)處理器RAINER,實現(xiàn)了全線速2/7層交換，并提供整機96Mpps的報文處理性能。轉(zhuǎn)發(fā)基于逐包轉(zhuǎn)發(fā)，在用戶報文目的地址不斷發(fā)生改變時，仍就保持線速轉(zhuǎn)發(fā)。相應(yīng)基于流的數(shù)據(jù)轉(zhuǎn)發(fā)，當(dāng)用戶報文目的地發(fā)生變化時，轉(zhuǎn)發(fā)速度急劇下降。如果在不斷變化目的訐流的攻擊下，基于流轉(zhuǎn)發(fā)設(shè)備的性能下降非常快，甚至崩潰；而基于逐包轉(zhuǎn)發(fā)的S8016受到的影響很少。三、完善的DiffServ/QOS:S8016路由交換機提供完善的Diffserv/QoS支持，支持基于源端口、源VLANID、源MAC地址、報文種類、TCP/UDP端口號、IP報文地址前綴等多種流分類規(guī)則，提供多種規(guī)則組合條件下的流映射和分類、流量監(jiān)管（CAR）、擁塞控制方法（RED、WRED、SA-RED）、隊列調(diào)度和輸出流整形等功能，真正做到業(yè)務(wù)區(qū)分并保證帶寬/時延/抖動在限定的范圍內(nèi)，使網(wǎng)絡(luò)運營商可以為用戶提供具有不同服務(wù)質(zhì)量等級服務(wù)保證，使IP城域網(wǎng)真正成為同時承載數(shù)據(jù)、語音和視頻業(yè)務(wù)的綜合網(wǎng)絡(luò)。四、優(yōu)良的可靠性：S8016的交換網(wǎng)絡(luò)、路由處理系統(tǒng)、地址轉(zhuǎn)換轉(zhuǎn)換板和電源系統(tǒng)等所有關(guān)鍵部件采用冗余熱備份設(shè)計，能滿足骨干網(wǎng)絡(luò)對電信級/高可靠性的要求。二層業(yè)務(wù)上提供端口捆綁等功能，提高鏈路速率的同時有效地提高網(wǎng)絡(luò)的安全性、可用性。網(wǎng)絡(luò)側(cè)采用等價路由方法提高網(wǎng)絡(luò)可靠性，支持3條等價路由。支持RSTP快速生成樹協(xié)議和HSRP熱備份路由協(xié)議。RSTP在通過運行生成樹協(xié)議防止網(wǎng)絡(luò)拓?fù)渖森h(huán)路的同時提高了鏈路的冗余；HSRP用于為帶有默認(rèn)網(wǎng)關(guān)的使用TCP/IP協(xié)議的主機提供默認(rèn)網(wǎng)關(guān)的冗余配置。五靈活的組網(wǎng)能力：S8016提供端口捆綁、VLAN聚合、STP、ARP/ARPPorxy、DHCPRealy/DHCPServer等豐富二層業(yè)務(wù)能力，具有NAT地址轉(zhuǎn)換功能，并提供多種路由協(xié)議、基于流分類的策略路由支持。S8016通過DHCPRELAY和內(nèi)置DHCPSERVER，對用戶IP地址實行動態(tài)分配和管理。DHCPSERVER功能內(nèi)置在S8016的MPU上，對下掛的用戶可以直接進行地址分配和管理，可以為運營商節(jié)省外置DHCPSERVER的投資。六大容量高速NAT:S8016的NAT功能支持公網(wǎng)私網(wǎng)混合編址。單塊NAT板轉(zhuǎn)發(fā)能力支持2Mpps以上，支持并發(fā)會華為商業(yè)機密校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密話數(shù)128k,會話建立速率5k會話/秒；支持NAT中NAPT模式；支持公有地址和私有地址的混合地址組網(wǎng)；支持ICMP、FTP的ALG，支持分片處理。七、組播特性：a）VLAN實現(xiàn)組播，無成員的端口不轉(zhuǎn)發(fā)冗余的組播信息。b）組成員的ACL受控管理。c）PIM-SM協(xié)議中RP可以對DR發(fā)送來的注冊報文進行過濾，只接受特定的注冊報文。八、WEBSWITCH功能：通過內(nèi)置WebSwitch單板（稱為CLPU板），在POP點和IDC提供L4負(fù)載均衡、L5/7負(fù)載均衡、WebCacheRedirection等功能。九、IPV6Ready由于采用NP處理器，如有需要可通過軟件升級以支持IPV6。性能卓越的匯聚交換機QuidwayS5516以太網(wǎng)路由交換機是華為公司推出的面向中型企業(yè)網(wǎng)LAN中心、大型企業(yè)LAN/以太城域網(wǎng)純千兆匯聚的2/3層交換產(chǎn)品。S5516最大支持16XGE,支持所有端口第二第三層報文的全線速轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)速率達(dá)24Mpps。S5516采用盒式模塊化結(jié)構(gòu)設(shè)計，最大支持4個線路接口模塊，可以支持4X電口（RJ45）/多模/單模千兆模塊以及堆疊矩陣模塊，實現(xiàn)高性能中心路由、交換以及千兆骨干的匯聚，通過堆疊的方式，可以實現(xiàn)高密度百兆端口的擴展。Quidway@S5516核心路由交換機的主要特點：高性能24MPPs轉(zhuǎn)發(fā)能力，32G交換容量，16GE的端口容量，32K路由表項支持，硬件地址學(xué)習(xí)、支持16KMAC地址表項，4KVLAN支持，支持最多16端口的PortTrunk,最多16個PortTrunk組。高性價比Quidway?S5516L2/L3以太網(wǎng)交換機是采用當(dāng)今最先進的ASIC技術(shù)，產(chǎn)品集成度高，大大降低了產(chǎn)品造價。配置靈活四插槽的模塊化結(jié)構(gòu)，用戶可以根據(jù)網(wǎng)絡(luò)需求選擇不同的光電千兆接口，進行靈活配置。強大的組網(wǎng)能力

校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密10校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密10Quidway@S5516L2/L3以太網(wǎng)交換機可以提供千兆到桌面，中/小網(wǎng)絡(luò)核心，大型網(wǎng)絡(luò)匯聚，LAN接入，寬帶小區(qū)接入等多種組網(wǎng)方案，能夠滿足不同的用戶不同的組網(wǎng)需求。高可靠性的供電解決方案提供110V/220V寬范圍電源，-48V直流供電，冗余電源支持。提供基于最長匹配的全線速3層交換解決了早期交換機采用精確匹配交換技術(shù)所帶來的問題(交換表放在高速緩存中，如果報文命中則可以獲得較高的交換速度，但如沒有命中，則將進行軟件轉(zhuǎn)發(fā))可以做到逐包查表，逐包交換保證了所有報文均獲得相同的轉(zhuǎn)發(fā)性能。可達(dá)到24MPPS(packetpersecond)的2/3層轉(zhuǎn)發(fā)能力。強大的IP路由支持32K路由表項，支持OSPF，RIPI/II等路由協(xié)議。支持豐富的2層協(xié)議：提供RSTP，避免環(huán)路冗余；支持802.14，提供4KVLAN和VLANTrunk支持；支持GVRP(GARPVLANRegistrationProtocol)，提供VLAN的自動注冊；提供802.3x流控機制；半雙工模式支持反壓(BackPressure)流控；支持端口聚合；基于2/3/4層的流規(guī)則過濾器，提供豐富的ACL安全機制，線速過濾能力。提供豐富的QoS策略：S5516提供了基于端口的流量限制(GenericTrafficShaping)可根據(jù)需要限制端口流量；提供128個流分類(TrafficClass)，因而用戶可根據(jù)實際需要為不同的用戶群組或不同的業(yè)務(wù)類型分配不同的隊列優(yōu)先級，帶寬控制(以64Kpbs為步長單位進行調(diào)整)；提供Diffserv支持，可以根據(jù)2、3、4層特性，調(diào)整IPDSCP域，為骨干網(wǎng)絡(luò)實現(xiàn)基于DSCP的IP轉(zhuǎn)發(fā)提供支撐；S5516提供基于數(shù)據(jù)流(Flow，根據(jù)2、3、4層報文頭的信息確定)的帶寬共享算法，保證每一個通信應(yīng)用均可獲得公平的流量分配，保證了各主機之間通信的公平性；提供WRR(WeightedRoundRobin)隊列ij調(diào)度策略；可根據(jù)IPDSCP信息，802.1p信息，VLAN信息，2/3層轉(zhuǎn)發(fā)表信息，配置出報文(OutgoingPacket)的802.1p優(yōu)先級與配置轉(zhuǎn)發(fā)隊列優(yōu)先級。提供DHCP中繼功能(DHCPRelay)功能10

校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密11校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密11提供次功能可為跨網(wǎng)段的主機動態(tài)配置成為可能，使得DHCP的應(yīng)用得到了極大的擴展。采用華為公司統(tǒng)一的VRP平臺VRP平臺提供了大量的維護、調(diào)試命令，和日志功能，為產(chǎn)品的開通，維護，故障診斷提供了豐富的手段；QuidwayS5516與Quidway?路由器的配置風(fēng)格一脈相承，用戶培訓(xùn)成本大大降低。強大方便的網(wǎng)絡(luò)管理維護功能支持SNMP，可支持OpenView等通用網(wǎng)管平臺，以及華為公司開發(fā)的Quidview?、iManager?網(wǎng)管系統(tǒng)。支持SMON、RMON。業(yè)務(wù)豐富的智能可接入設(shè)備MA5200E做為校園宿舍區(qū)的智能IP業(yè)務(wù)接入設(shè)備，提供了功能強大的用戶管理和業(yè)務(wù)控制功能，主要體現(xiàn)在靈活完善的用戶接入方式，用戶身份認(rèn)證和安全保障，基于用戶策略的訪問控制，業(yè)務(wù)QoS保證等方面，同時提供豐富的計費信息，支持多種計費方式。MA5200E的特點如下：靈活完善的用戶接入認(rèn)證方式：MA5200E提供了多種用戶接入認(rèn)證方式，主要的認(rèn)證方式有WEB認(rèn)證、PPPoE認(rèn)證和802.1X認(rèn)證。同時MA5200E支持本地認(rèn)證和遠(yuǎn)端認(rèn)證，并可以基于帳號的用戶管理機制，實現(xiàn)預(yù)付費業(yè)務(wù)和支持用戶漫游。強大的用戶管理控制功能：MA5200E具有很強的用戶管理控制功能，對用戶端口和業(yè)務(wù)流有很好的管理控制，保證網(wǎng)絡(luò)資源的合理利用，保證業(yè)務(wù)質(zhì)量和保證網(wǎng)絡(luò)的安全。QoS保證：以太網(wǎng)本身的特性是盡力傳送，不提供業(yè)務(wù)優(yōu)先級保證，這樣不適合多業(yè)務(wù)的接入。MA5200E支持基于用戶和訪問目的業(yè)務(wù)流優(yōu)先級分類，針對不同的優(yōu)先級施加相應(yīng)的QoS策略。高性能硬件轉(zhuǎn)發(fā)引擎：MA5200E硬件采用專用ASIC實現(xiàn)轉(zhuǎn)發(fā)引擎，該實現(xiàn)的最大特點是具備靈活的業(yè)務(wù)和協(xié)議處理的同時，可以大大提高系統(tǒng)的處理高速性。MA5200E中采用了先進的快速路由查找算法，整機具有雙向10G的交換容量和3Mpps的全業(yè)務(wù)轉(zhuǎn)發(fā)能力。組播支持：MA5200E可以支持IGMP、HGMP等用戶組管理協(xié)議，實現(xiàn)從用戶到網(wǎng)絡(luò)的全套協(xié)議支持，為WebTV等寬帶組播增值業(yè)務(wù)開展提供了基礎(chǔ)。11

校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密12校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密12組網(wǎng)特點豐富的多媒體業(yè)務(wù)：提供電子圖書館、在線考試、網(wǎng)上教學(xué)、遠(yuǎn)程教育和互聯(lián)網(wǎng)等多種業(yè)務(wù)。有線無線一體化：提供LAN、WLAN等接入方式進行網(wǎng)絡(luò)互聯(lián)，實現(xiàn)筆記本教室、無線會議室，空中圖書館。多種認(rèn)證方式：采用WEB方式（并可支持PPPOE，802.1x）實現(xiàn)用戶管理，具有動態(tài)業(yè)務(wù)選擇和交互式的特點。認(rèn)證接入和業(yè)務(wù)選擇代理相結(jié)合，方便提供新業(yè)務(wù)。多ISP選擇：提供中國教育網(wǎng)（CERNET）和因特網(wǎng)等多個出口，使用者可自由選擇不同ISP上網(wǎng)，并提供相應(yīng)的計費策略。完善便捷的自助管理：提供新穎的自助服務(wù)。使用者可基于WEB靈活享受帶寬選擇，計費策略，查詢余額等服務(wù)。個性設(shè)置：設(shè)置個性化Portal查詢話單：查詢詳細(xì)話單信息查詢余額：查詢卡號余額修改密碼：修改用戶密碼其他服務(wù)：卡號充值豐富的資費策略：提供多種資費策略，包括：按時長計費，按流量計費，按帶寬計費。并且還提供預(yù)附費業(yè)務(wù)和多種折扣策略。高度的安全保證：通過IP地址、VLANID、MAC地址的綁定，保證用戶信息的安全。結(jié)合用戶控制訪問列表，實現(xiàn)基于用戶的良好管理能力，保護學(xué)生不受不良網(wǎng)站的影響。配置用戶禁止訪問的網(wǎng)段；保護網(wǎng)上重要的服務(wù)器配置用戶組之間的訪問與禁止靈活的地址策略：在校園網(wǎng)出口采用NAT的方式解決學(xué)校公網(wǎng)IP地址不足的問題，此方案同時支持公私網(wǎng)IP地址混合使用，為組網(wǎng)提供更大的靈活性。嚴(yán)格的QOS保證：通過Diffserv與端口限速功能，實現(xiàn)基于業(yè)務(wù)的QoS保證，防止網(wǎng)絡(luò)受流量攻擊導(dǎo)致癱瘓。提供多種規(guī)則組合條件下的流映射和分類、流量監(jiān)管（CAR）、擁塞控制方法（RED、WRED、SA-RED）、隊列調(diào)度和輸出流整形等功能CAR的范圍和精度：平均流量范圍（上行和下行）128K?50M,流量控制粒度128Kbps；12

校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密13校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密13峰值流量范圍（上行和下行）128K?50M,流量控制粒度128Kbps。統(tǒng)一的分權(quán)網(wǎng)管：全網(wǎng)設(shè)備統(tǒng)一管理，并且可以根據(jù)管理權(quán)限對校園網(wǎng)上設(shè)備進行分級實時監(jiān)控。實現(xiàn)拓?fù)涔芾韴D形化操作界面，使用方便方便的遠(yuǎn)程配置維護管理實時聲光報警中文操作系統(tǒng)，符合國人使用習(xí)慣3、詳細(xì)網(wǎng)絡(luò)設(shè)計IP地址規(guī)劃和路由策略IP地址的合理規(guī)劃是校園網(wǎng)網(wǎng)絡(luò)設(shè)計中的重要一環(huán)，大型計算機網(wǎng)絡(luò)必須對IP地址進行統(tǒng)一規(guī)劃并得到實施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進一步發(fā)展。IP地址分配原則IP地址空間分配，要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由聚類，減少路由器中路由表的長度，減少對路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時要遵循以下原則：唯一性：一個IP網(wǎng)絡(luò)中不能有兩個主機采用相同的IP地址；簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴展的復(fù)雜性，簡化路由表項連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進行路徑疊合，大大縮減路由表，提高路由算法的效率可擴展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴展時能保證地址疊合所需的連續(xù)性靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。13

校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密14校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密14主流的IP地址規(guī)劃方案分為純公網(wǎng)地址、純私網(wǎng)地址和混合網(wǎng)絡(luò)地址三種。當(dāng)校園網(wǎng)以私網(wǎng)地址分配或采用混合網(wǎng)絡(luò)地址接入時，要求校園網(wǎng)提供地址變換功能，過濾掉私網(wǎng)地址。校園網(wǎng)IP地址規(guī)劃方案請根據(jù)具體學(xué)校做相應(yīng)規(guī)劃1）校園網(wǎng)IP地址分配總則IP地址規(guī)劃根據(jù)所分配的公網(wǎng)IP地址和內(nèi)部私網(wǎng)IP地址分配，地址可分為三大塊，一塊是Cernet分配多個C類公網(wǎng)IP地址，作為和國際互聯(lián)網(wǎng)互連的地址，域名就解析在這片地址上，主要供網(wǎng)絡(luò)中心和圖書館電腦部、部分實驗室專用；校園網(wǎng)的普通用戶,使用內(nèi)部地址192.168.xxx.xxx，，不能和國際互聯(lián)網(wǎng)直接發(fā)生聯(lián)系，不能避開代理和計費系統(tǒng)；學(xué)校同時還可以申請一塊ChinaNet的公網(wǎng)IP地址，作為接入電信公網(wǎng)和部分關(guān)鍵的服務(wù)器出口備份,關(guān)鍵服務(wù)器擁有兩個公網(wǎng)IP，分別跨接在Cernet和ChinaNet上。2）校園網(wǎng)內(nèi)部私網(wǎng)IP地址的分配內(nèi)部地址的分配原則是按建筑物進行的，視用戶的數(shù)量，1/4、1/2、整個C的劃分。對于相對固定不變的教學(xué)區(qū)采用靜態(tài)分配IP地址，為防止地址盜用，采用IP地址與MAC地址綁定，對于流動性大、用戶人數(shù)多、用戶增長快的學(xué)生區(qū)采用動態(tài)分配IP地址，采用ByPort的Vlan，小范圍地限制地址盜用問題。對上網(wǎng)用戶的管理，是基于用戶名、密碼的代理認(rèn)證WEB認(rèn)證過程進行，校園網(wǎng)內(nèi)的網(wǎng)絡(luò)資源不需認(rèn)證就可訪問，但訪問校外的資源就必須經(jīng)過認(rèn)證用戶開機時，從DHCP服務(wù)器獲得校園IP地址，并可以直接訪問校園網(wǎng)和教育網(wǎng)3）中心交換機支持靜態(tài)或動態(tài)的IP地址分配，并支持動態(tài)IP地址分配方式下DHCP-Relay功能，DHCPSERVER可安放在園區(qū)內(nèi)部。4）對于固定IP地址用戶，需要針對標(biāo)識符（MAC地址）設(shè)定保留IP地址。5）如果使用華為公司的寬帶接入設(shè)備MA5200E進行認(rèn)證計費，可以使用MA5200E內(nèi)置的DHCPServer或者網(wǎng)絡(luò)集中DHCPServer實現(xiàn)地址的分配。VLAN方式下每個VLAN可以只需要一個IP地址，采用ARPProxy方式，大大節(jié)約了地址空間。VLAN劃分教師區(qū)，通常采用包月方式，同時需要實現(xiàn)帳號和端口綁定的功能，故采用一個用戶一個VLAN，并限制一個VLAN下同時接入的用戶數(shù)量。14

校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密15校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密15對于學(xué)生區(qū)，校園網(wǎng)內(nèi)VLAN劃分可以采用一個宿舍一個VLAN的劃分方式，也可以是一層樓一個VLAN。MA5200E內(nèi)部實現(xiàn)VLAN+PORT的標(biāo)識，所以VLAN規(guī)劃中可以重復(fù)分配，但是需要保證相同的VLAN號必須分配在不同的物理端口下。1、對一個宿舍一個VLAN①MA5200E可以精確的控制每個VLAN下的用戶，并能限制用戶間的二層互訪。用戶要進行互訪，必須通過MA5200E來進行，在認(rèn)證后，所有通過MA5200E的流量是要進行計費的。②由于用戶間互通都要經(jīng)過MA5200E，增大了MA5200E的負(fù)擔(dān)。2、對一層樓一個VLAN①本層樓的內(nèi)部互訪無須經(jīng)過MA5200E，優(yōu)化了組網(wǎng)。②這種VLAN劃分，不能防止主機上網(wǎng)后作為porxy，供其他無帳號的學(xué)生使用的情況。建議將按流量收費納入考慮。③這種劃分方式中，因為對用戶能實現(xiàn)動態(tài)的VLAN+MAC+IP綁定，可對用戶發(fā)動的偽造攻擊報文進行合法性檢查和過濾，具有一定的網(wǎng)絡(luò)安全性保障。3、不同VLAN間的互訪，必須經(jīng)過MA5200E進行轉(zhuǎn)發(fā)。認(rèn)證計費用戶認(rèn)證MA5200E實現(xiàn)了對用戶實現(xiàn)認(rèn)證、計費、管理功能。用戶認(rèn)證的方式有以下四種：1）采用虛擬撥號方式：采用虛擬撥號方式，即PPPOE的方式，用戶需要在其客戶端安裝PPPOE軟件，使用時從客戶端（PC終端）發(fā)起PPP連接，PPP連接通過以太網(wǎng)在MA5200E設(shè)備上實現(xiàn)終結(jié)。或MA5200E設(shè)備從PPP呼叫中提取相應(yīng)的用戶信息（用戶名以及密碼），將用戶信息通過RADIUS協(xié)議在AAA服務(wù)器上對用戶進行認(rèn)證鑒權(quán)，并依據(jù)用戶情況為用戶動態(tài)分配合法的IP地址，實現(xiàn)INTERNET接入。同時AAA服務(wù)器對用戶實施計費，計費可采用時長、流量等多種計費方式，滿足不同資費政策的需求。2）采用直接的用戶接入方式采用VLAN的直接用戶接入方式時，每個用戶分配一個VLAN端口，MA5200E依據(jù)此VLAN再加上用戶的IP地址以及MAC地址相捆綁。用戶在申請開戶時，向?qū)W校網(wǎng)絡(luò)中心申請所需的用戶策略（用戶帶寬的需求、分配IP地址數(shù)目等），校網(wǎng)絡(luò)中心將所需用戶策略輸入乂45200￡，15

校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密16校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密16MA5200E依據(jù)用戶策略以及VLAN+IP地址+MAC地址三者之間的綁定關(guān)系實現(xiàn)對用戶實現(xiàn)用戶的接入管理、帶寬分配以及用戶的計費等。通過此方式實現(xiàn)寬帶網(wǎng)絡(luò)的可管理性。3)VLAN+WEB用戶接入VLAN+WEB認(rèn)證指的是VLAN接入的用戶通過登錄門戶網(wǎng)站，輸入用戶名和密碼，進行身份認(rèn)證，從而獲得用戶訪問權(quán)限的過程。具體實現(xiàn)方式為：首先或MA5200E為每個用戶端口固定分配VLAN-ID,并且在或MA5200E上將計時帳號用戶設(shè)置為WEB用戶，并且將每個WEB用戶路由固定指向WEB服務(wù)器的IP地址，因此在帳號用戶上網(wǎng)時其僅能夠訪問WEB服務(wù)器，在WEB頁面上輸入其帳號與密碼后，WEB服務(wù)器內(nèi)部的CGI及相關(guān)程序?qū)⒂脩糍~號密碼得到后發(fā)給或MA5200E,或MA5200E將用戶帳號與密碼信息得到后，將此或MA5200E的號及用戶的VLAN_ID、用戶帳號、密碼上傳至RADIUS服務(wù)器進行認(rèn)證。RADIUS服務(wù)器可根據(jù)由或MA5200E上傳的VLANID及用戶帳號、密碼判斷帳號用戶的屬性，即為包月帳號用戶還是計時帳號用戶，認(rèn)證通過后RADIUS服務(wù)器將通知或MA5200E將此認(rèn)證用戶的上網(wǎng)權(quán)限打開。華為公司的CAMS平臺不僅可進行帳號用戶認(rèn)證，還可根據(jù)帳號用戶的域名進行不同費率的計費，非常靈活。WEB服務(wù)器可放置于公網(wǎng)上也可放置于或MA5200E旁。VLAN+WEB的認(rèn)證方式模仿了一個PPPOE的撥號過程，其實現(xiàn)非常方便，無需在用戶側(cè)安裝客戶端軟件，降低了維護的工作量，提高了工作效率。4)802.1X用戶認(rèn)證IEEE802.1X是一種基于端口的網(wǎng)絡(luò)接入控制技術(shù)，在LAN設(shè)備的物理接入級對接入設(shè)備進行認(rèn)證和控制，此處的物理接入級指的是LANSWITCH設(shè)備的端口。連接在該類端口上的用戶設(shè)備如果能通過認(rèn)證，就可以訪問LAN內(nèi)的資源；如果不能通過認(rèn)證，則無法訪問LAN內(nèi)的資源，相當(dāng)于物理上斷開連接。華為公司是802.1x國標(biāo)的制訂者，其系列交換機都支持802.1x認(rèn)證，并且通過與CAMS服務(wù)器想結(jié)合，可以實現(xiàn)LAN接入方式的計費。通過以上的用戶認(rèn)證方式，結(jié)合XX大學(xué)校園網(wǎng)，可分為兩個方面考慮用戶接入認(rèn)證的要求：宿舍區(qū)接入認(rèn)證宿舍區(qū)的用戶非常集中，業(yè)務(wù)比較單一，為保證網(wǎng)絡(luò)的安全性，宿舍區(qū)用戶為52403接入，通過S3026會聚后接入乂45200￡。因此由MA5200E的接入方式可知，宿舍區(qū)用戶可通過VLAN+WEB的方式實現(xiàn)用戶的認(rèn)證計費功能。其具體組網(wǎng)圖如下：16

校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密17給州口翩1校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密17給州口翩1教學(xué)區(qū)接入認(rèn)證考慮到教學(xué)區(qū)用戶相對比較固定，主要是教職工用戶和科研機構(gòu)用戶。因此可以采取不認(rèn)證即可上網(wǎng)的方式。大學(xué)校園網(wǎng)的計費系統(tǒng)采用CAMS系統(tǒng)，實現(xiàn)對大學(xué)校園用戶認(rèn)證計費。對于宿舍區(qū)，因為校園用戶為移動用戶并且不固定，所以采用預(yù)付費的方式實現(xiàn)用戶上網(wǎng)。對于教學(xué)區(qū)，因其端口基本為包月，所以采用后付費的方式實現(xiàn)。由此實現(xiàn)宿舍區(qū)及教學(xué)區(qū)的用戶認(rèn)證與計費。計費管理計費管理包括實時收集網(wǎng)絡(luò)的可利用信息，并對信息進行處理、存儲、計費報告生成。提供的計費參數(shù)包括：表明連接支持的業(yè)務(wù)類型，PTP/PTMP指示，該統(tǒng)計對象的端口ID，數(shù)據(jù)被收集的時間，入/出口的信元數(shù)，流量類性和流量參數(shù)值和QOS登記，數(shù)據(jù)被收集的原因等。持續(xù)時間，主叫地址，被叫地址，釋放原因，寬帶承載能力等。計費中心負(fù)責(zé)收集各種計費信息，并對其進行統(tǒng)計分析，記錄歸檔，形成計費報告。計費建議采用RADIUS計費。RADIUS協(xié)議是一個比較完善的AAA協(xié)議，對接入用戶進行認(rèn)證和計費，RADIUS認(rèn)證服務(wù)器放置于科藝苑的網(wǎng)絡(luò)中心機房。智能IP接入設(shè)備MA5200E起到RADIUSClient的作用，把用戶的認(rèn)證請求發(fā)送到RADIUS認(rèn)證服務(wù)器，RADIUS認(rèn)證服務(wù)器管理著整個校園網(wǎng)注冊用戶數(shù)據(jù)庫。如果認(rèn)證通過，則允許用戶接入并開始計費，MA5200E把在線用戶的實時計費信息（包括接入時間、在線時間，流量等）發(fā)送到RADIUS計費服務(wù)器，計費服務(wù)器可以根據(jù)不同的計費策略向用戶收費。功能特點：1、提供靈活的計費方式：計費數(shù)據(jù)中包含接入用戶的時間與流量等信息，可根據(jù)需要采取不同17

校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密18校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密18的計費方式（如按時間或按流量計費）。2、實時計費：定時向計費服務(wù)器發(fā)送接入用戶的計費信息，保持計費數(shù)據(jù)的連續(xù)性，這樣即使發(fā)生意外（如掉電，與計費服務(wù)器通信中斷）也可使損失減至最少。3、支持主備計費服務(wù)器，在主計費服務(wù)器出現(xiàn)故障時自動將計費數(shù)據(jù)送到備用計費服務(wù)器。4、計費中心放置于網(wǎng)絡(luò)中心，便于校園網(wǎng)對用戶的集中認(rèn)證計費。綜合訪問管理服務(wù)器CAMS在建設(shè)校園網(wǎng)工程時不僅僅需要通信設(shè)備，更需要一套全網(wǎng)解決方案，解決目前網(wǎng)絡(luò)的管理、安全和增值問題。另外，網(wǎng)絡(luò)應(yīng)用日益豐富，VOIP、VOD、VPN、ONLY、電話/電視會議等新業(yè)務(wù)的不斷推出，對原有的業(yè)務(wù)管理系統(tǒng)提出了新的挑戰(zhàn)。為了適應(yīng)這種需求，華為公司推出了綜合訪問管理服務(wù)器（ ComprehensiveAccessManagementServer,CAMS），配合設(shè)備組網(wǎng)，提供全網(wǎng)解決方案。CAMS系統(tǒng)硬件平臺為PC服務(wù)器，軟件平臺為LINUX，數(shù)據(jù)庫為ORACLE。CAMS系統(tǒng)采用組件化的結(jié)構(gòu)方式，使得業(yè)務(wù)組件可以動態(tài)加載，單獨升級，能有效的適應(yīng)網(wǎng)絡(luò)的擴容帶來的對網(wǎng)絡(luò)的管理。作為網(wǎng)絡(luò)中的業(yè)務(wù)管理核心，CAMS支持與路由器、以太網(wǎng)交換機、VoIP網(wǎng)關(guān)和接入服務(wù)器等網(wǎng)絡(luò)產(chǎn)品共同組網(wǎng)，完成終端用戶的認(rèn)證、授權(quán)、計費和權(quán)限管理，實現(xiàn)網(wǎng)絡(luò)的可管理、可運營，保證網(wǎng)絡(luò)和用戶信息的安全。CAMS與華為公司的系列網(wǎng)絡(luò)產(chǎn)品無縫集成，支持從低端到高端各種設(shè)備的認(rèn)證和用戶管理。其主要功能有：1、綜合訪問控制CAMS通過配置可以作為Lanswitch、8010接入服務(wù)器、8040、8070路由器等多種網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問控制服務(wù)器，實現(xiàn)基于PPP、802.1x、DHCP+WEB等多種方式，對VOIP、VOD、VPN、ONLY等多種業(yè)務(wù)的用戶身份驗證、網(wǎng)絡(luò)使用授權(quán)、計費和統(tǒng)計功能。通過業(yè)務(wù)模塊的動態(tài)加載，基于預(yù)留的API接口二次開發(fā)，CAMS能夠適應(yīng)不斷發(fā)展的各種認(rèn)證、計費和管理需求。2、系統(tǒng)和策略管理CAMS可以靈活的定制網(wǎng)絡(luò)接入、計費、優(yōu)惠等用戶策略，在用戶級別設(shè)置不同的訪問權(quán)限和計費方式，并通過簡單配置生成樣式豐富的計費、統(tǒng)計報表。并可以通過與企業(yè)網(wǎng)Quidview網(wǎng)管軟件之間的接口，與Quidview結(jié)合提供更為復(fù)雜的網(wǎng)絡(luò)業(yè)務(wù)控制管理功能。3、業(yè)務(wù)管理18

校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密19校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密19CAMS不僅支持傳統(tǒng)賬號、卡號、主叫用戶業(yè)務(wù)，還支持黑名單、用戶屬性綁定、VPN、VoIP、以太接入、DHCP+Web認(rèn)證等業(yè)務(wù)。與設(shè)備配合，實現(xiàn)對用戶的QoS、優(yōu)先級、多播和VLAN管理。另外，CAMS還能將網(wǎng)絡(luò)流量與終端用戶信息相關(guān)聯(lián)，解決了目前的計費方式單一性問題，引入更公正、更易于被終端用戶接受的基于資源占用的細(xì)粒度計費、優(yōu)惠方法，并可為接入商、企業(yè)網(wǎng)、智能化小區(qū)提供更加靈活的資費策略和詳細(xì)的分析、決策信息，支持信息統(tǒng)計和詳細(xì)話單（CDR）統(tǒng)計功能和輸出及定制接口。4、最終用戶自助網(wǎng)絡(luò)的終端用戶可以通過Web隨時查詢對網(wǎng)絡(luò)的使用情況，如訪問時長、流量、費用等的綜合統(tǒng)計和明細(xì)信息，并完成對個人信息的管理，如密碼修改等。4、業(yè)務(wù)解決方案PORTALPortal業(yè)務(wù)是針對客戶化服務(wù)、內(nèi)容發(fā)布管理、運營管理的需求而提出的門戶業(yè)務(wù)，是客戶化服務(wù)的門戶、內(nèi)容發(fā)布的門戶、運營管理的門戶。.客戶化服務(wù)的門戶用戶端使用方便、簡單，即插即用。無需安裝任何客戶端軟件，只需用普通瀏覽器就可。無需IP地址設(shè)定，每次上網(wǎng)系統(tǒng)動態(tài)分配IP地址。用戶端只需通用網(wǎng)卡，無需額外設(shè)備或軟件。簡單統(tǒng)一的風(fēng)格、個性化的用戶設(shè)置，使用標(biāo)準(zhǔn)瀏覽器上網(wǎng)，界面簡單統(tǒng)一。用戶可以定制MyPortal――個性化的上網(wǎng)門戶，收藏自己喜愛的網(wǎng)站，記錄自己定制的內(nèi)容業(yè)務(wù)Portal業(yè)務(wù)負(fù)責(zé)存儲和管理用戶頁面設(shè)置信息。這樣，每當(dāng)用戶上網(wǎng)時，就可調(diào)出自己的頁面，從而在熟悉的環(huán)境中上網(wǎng)沖浪。用戶自助管理、自助服務(wù)，用戶可以根據(jù)需要實時在線的選擇帶寬、服務(wù)等級、計費方式等，進行自助管理。可通過預(yù)先設(shè)置帶寬選擇檔次（如2M、5M、10M...）,并給出對應(yīng)的資費和效果等的說明，幫助用戶在選擇前了解情況和作出決定。用戶根據(jù)所訪問的服務(wù)的不同可以在線選擇合適的帶寬，在不需要的時候可以恢復(fù)原來的帶寬。通常，為用戶提供缺省帶寬。用戶可以在按時長、按流量等一系列計費方式中動態(tài)選擇適合自己習(xí)慣的方式。完善的自助服務(wù)，提供修改用戶密碼、廣告閱讀充值、注冊和刪除業(yè)務(wù)、用戶的認(rèn)證、用戶識別和業(yè)務(wù)選擇等功能。提供查詢話單、余額查詢、查詢廣告充值歷史、個性化方案設(shè)置和網(wǎng)址收藏功能。19

校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密20校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密20教育局可通過門戶網(wǎng)站實現(xiàn)網(wǎng)絡(luò)服務(wù)類的應(yīng)用，如入網(wǎng)申請、用戶在線注冊、密碼修改、網(wǎng)絡(luò)使用費用查詢、網(wǎng)絡(luò)設(shè)置指南等等。.內(nèi)容發(fā)布的門戶學(xué)校可通過門戶網(wǎng)站實現(xiàn)社會服務(wù)類的應(yīng)用，如教育新聞的發(fā)布、公共信息的收集和發(fā)布、網(wǎng)上通知、考試成績公布和查詢及教育政策與法規(guī)的查詢等等。還可實現(xiàn)娛樂趣味類的內(nèi)容發(fā)布，如娛樂新聞、時勢新聞等等。.運營管理的門戶強制Portal,保證用戶上網(wǎng)必須經(jīng)過教育局的門戶進行認(rèn)證。教育局可以有效地對上網(wǎng)用戶進行統(tǒng)一管理。遠(yuǎn)程教育華為公司根據(jù)對遠(yuǎn)程教育的理解，推出了一套完善的遠(yuǎn)程教育網(wǎng)解決方案一ViewPointEduCenter遠(yuǎn)程教育網(wǎng)解決方案。該解決方案將在網(wǎng)通寬帶城域網(wǎng)與校園網(wǎng)的配合下完成，貴州民族學(xué)院完全可通過遠(yuǎn)程教育系統(tǒng)為社會教育信息化的發(fā)展貢獻一份力量。華為公司的ViewPointEduCentre遠(yuǎn)程教育系統(tǒng)在一個平臺上實現(xiàn)了多媒體實時業(yè)務(wù)和非實時業(yè)務(wù)的提供，并實現(xiàn)了兩者之間的充分融合，使兩者成為一個有機的整體，并結(jié)合針對教育的教學(xué)平臺，可以提供完善的的遠(yuǎn)程教育解決方案。只需辦好電子化教室即可開展遠(yuǎn)程教學(xué)。華為ViewPointEduCentre遠(yuǎn)程教育系統(tǒng)從系統(tǒng)功能層次上可以分為業(yè)務(wù)管理層、視訊交換層、視訊用戶層等三個部分：業(yè)務(wù)管理層主要完成網(wǎng)絡(luò)設(shè)備的管理、遠(yuǎn)程教育用戶的管理、業(yè)務(wù)的受理功能。業(yè)務(wù)管理層負(fù)責(zé)整個遠(yuǎn)程教育業(yè)務(wù)的受理和網(wǎng)絡(luò)資源的調(diào)度，提供主叫呼集和WEB預(yù)約的支持，使得用戶可以靈活的使用遠(yuǎn)程教育業(yè)務(wù)。業(yè)務(wù)管理層包括ViewPoint8000業(yè)務(wù)管理中心、ViewPoint8000業(yè)務(wù)受理中心及ViewPoint8000網(wǎng)管中心等業(yè)務(wù)支撐軟件。視訊交換層是整個遠(yuǎn)程教育系統(tǒng)的核心層，支持V35、IP、E1、ISDN等視訊終端的接入，完成遠(yuǎn)程教育業(yè)務(wù)中圖象、語音、數(shù)據(jù)的交換，提供教學(xué)會場多點控制、媒體流的直播與點播功能，具備豐富的教學(xué)管理和課件管理功能，使教師教學(xué)和學(xué)生上課、自習(xí)完全實現(xiàn)電子化。視訊交換層主要包括ViewPoint8620視訊交換平臺、課件與用戶管理系統(tǒng)、數(shù)據(jù)服務(wù)器、GK、流媒體服務(wù)器。在視訊用戶層，華為公司提供多種終端產(chǎn)品，使得用戶可以根據(jù)需要，組建專業(yè)的電子化教室或是低成本的個人終端。同時，打破了傳統(tǒng)會議電視系統(tǒng)使用不方便的局限，提供主叫呼20

校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密21校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密21集和WEB預(yù)約的上課方式，使得用戶無須他人的干預(yù)，在終端上即時自主的召集各個遠(yuǎn)程教室并按時上課，并且，在上課期間，教師可以通過終端控制各教室的多畫面廣播、點名發(fā)言、討論等功能，使得遠(yuǎn)程教學(xué)的及時性和互動性的優(yōu)點得到了更進一步的加強，更貼近用戶的需求。視訊用戶層包括了華為公司ViewPoint系列終端產(chǎn)品（包括ViewPoint8020、ViewPoint8020plus、ViewPoint8021、ViewPointOpenEye、媒體流接收軟件）。整個組網(wǎng)入下圖所示：遽件和用戶管理強務(wù)器I業(yè)導(dǎo)管型疑雙訊交搦層銳機用戶薜■B數(shù)據(jù)服務(wù)器遠(yuǎn)程敕學(xué)網(wǎng)?金行遽件和用戶管理強務(wù)器I業(yè)導(dǎo)管型疑雙訊交搦層銳機用戶薜■B數(shù)據(jù)服務(wù)器遠(yuǎn)程敕學(xué)網(wǎng)?金行企業(yè)網(wǎng).ISDN/PSTN5泰庭用戶集中上裸點寬帶上網(wǎng)卡為了使學(xué)校上網(wǎng)管理更便捷，學(xué)生、教師享受到更好的網(wǎng)絡(luò)服務(wù)，華為公司推出了校園寬帶上網(wǎng)卡業(yè)務(wù)。校園卡主要特點如下：1）多種寬帶計費卡，功能豐富；2）靈活計費、多種折扣；3）多種認(rèn)證方式、方便用戶安全使用；4）費用告警、信用限額；5）川6匕式自助管理;21

校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密22校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密22校園卡支持后付費卡、可充值預(yù)付費卡、不可充值預(yù)付費卡三類卡，并可由這三類卡加上個性化的服務(wù)派生出多種實用性寬帶卡：1）學(xué)生卡 電話、上網(wǎng)一卡通（需運營商支持）支持后付費、可充值預(yù)付費、不可充值預(yù)付費三種方式。2）教師卡 教師卡可以有多個卡號和密碼，每張卡在上班的時間允許使用，下班后的時間，只有少部分優(yōu)先級高的用戶可以上網(wǎng)。不同類別的卡擁有不同的帶寬和費用權(quán)限。校園卡特色：1）靈活計費、多種折扣一支持按流量進行計費一支持按時長進行計費一支持同時按流量和時長計費一支持多種費率—支持按時間段折扣一支持按流量折扣一用戶可以同時享受時間段折扣和累計折扣一支持按帶寬、主叫、ISP制定計費策略2）多種認(rèn)證方式、方便使用校園卡號系統(tǒng)的寬帶上網(wǎng)可以采用WEB認(rèn)證或PPPOE的認(rèn)證方式。對于WEB認(rèn)證，寬帶上網(wǎng)的用戶無須配置特殊軟件，輸入卡號、密碼，通過認(rèn)證后，用戶就可以高速上網(wǎng)。基于PPPOE認(rèn)證，寬帶上網(wǎng)的用戶需要在終端上安裝專門的撥號軟件，在該軟件系統(tǒng)中輸入卡號、密碼通過認(rèn)證以后，用戶才可以進行高速上網(wǎng)。系統(tǒng)和網(wǎng)絡(luò)設(shè)備配合可以進行端口綁定功能，即用戶不用每次輸入卡號和密碼，就可以進行高速上網(wǎng)，費用在與端口相對應(yīng)的卡號上扣除。這種端口綁定的業(yè)務(wù)比較適用于教職工住宅區(qū)和學(xué)校教研室。3）費用告警、信用限額當(dāng)用戶校園卡的余額低于某個設(shè)定值時，系統(tǒng)會對正在上網(wǎng)的用戶發(fā)出提示，使用戶可以有所準(zhǔn)備。同時系統(tǒng)支持后付費卡的方式，用戶可以先上網(wǎng)后交費。根據(jù)用戶的信用等級，提供不同的信用限額。4）自助管理個性化業(yè)務(wù)設(shè)定校園卡用戶注冊登錄后，可以對個人上網(wǎng)信息進行查詢，包括在線時長、流量、費率、費用清單查詢、余額查詢與轉(zhuǎn)帳；也可以進行個性化的設(shè)置，如上網(wǎng)帶寬的設(shè)置、22

校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密23校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密23選擇接入的ISP、信息愛好、頁面風(fēng)格；還可以在線實時修改密碼等。通過Web自助管理，極大的方便了用戶，增加了業(yè)務(wù)的透明性。5）黑名單賬號保護持卡人利益在密碼連續(xù)輸錯n（n需要具體設(shè)定）次后，卡號將被鎖住。因黑名單原因鎖住的卡號，只能到局方指定的受理點解鎖，便于保護合法持卡人的經(jīng)濟利益。6）廣告充值用戶瀏覽網(wǎng)站上的廣告信息后，回答幾個問題，如果回答正確，則為用戶的帳號充值。每一個廣告每天為用戶充值金額可以有一個限度；所有廣告每天為一張卡充的總值也可以有一定的限度。目前廣告收入是絕大多數(shù)網(wǎng)站的主要利潤來源之一，但是目前上網(wǎng)的用戶并不熱衷于點擊廣告。通過廣告充值業(yè)務(wù)可以大大地提高用戶點擊廣告的興趣，從而會吸引公司在網(wǎng)上作廣告，增加網(wǎng)站的收入，進而形成良性循環(huán)，達(dá)到雙贏的目的。4.4組播業(yè)務(wù)QuidwayS8016、MA5200E通過標(biāo)準(zhǔn)的組播協(xié)議完成用戶的組播管理，并通過HGMP協(xié)議將各樓道交換機也納入到組播實現(xiàn)中。由MA5200E完成對其下掛的匯聚交換機以及樓道交換機的組播用戶進行報文復(fù)制和發(fā)送。通過這種機制，使得整個網(wǎng)絡(luò)的流量做到最優(yōu)，有效的保證了視頻點播、網(wǎng)絡(luò)電視、會議電視、視頻游戲等視頻業(yè)務(wù)的開展，通過組播實現(xiàn)的視頻業(yè)務(wù)有:會議電視：利用網(wǎng)絡(luò)和數(shù)字視像技術(shù)實現(xiàn)異地會議的交互傳輸和控制。付費電視：按頻道收費的視訊節(jié)目。視頻點播：交互式電視的一部分，它使用戶可以隨意選擇所需的視訊節(jié)目，并可隨意地控制節(jié)目播出（如快進、快倒、暫停等）。網(wǎng)絡(luò)教學(xué)：使用視頻和通訊設(shè)備實現(xiàn)一點對多點或點對點的交互式異地遠(yuǎn)端教學(xué)，實現(xiàn)學(xué)生和教師的實時交流，學(xué)生還可隨時進行學(xué)習(xí)點播和查詢。5、網(wǎng)管解決方案5.1iManagerN2000綜合網(wǎng)管解決方案隨著XX大學(xué)寬帶校園網(wǎng)建設(shè)的進一步展開，如何保證XX大學(xué)校園網(wǎng)網(wǎng)絡(luò)的維護和業(yè)務(wù)開23

校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密24校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密24展，不至于導(dǎo)致運營和維護的紊亂，造成網(wǎng)絡(luò)服務(wù)中不必要的損失，將顯得極其重要，因此建立一個統(tǒng)一的網(wǎng)管是十分必要的，它既大大降低了維護的工作量，同時對于業(yè)務(wù)的開展也提供了強大的功能。XX校園網(wǎng)采用華為技術(shù)有限公司產(chǎn)品和技術(shù)新建校園網(wǎng)絡(luò)，考慮到網(wǎng)絡(luò)維護的工作量及其服務(wù)對象，建議設(shè)立統(tǒng)一的網(wǎng)絡(luò)管理中心對整個校園網(wǎng)進行網(wǎng)絡(luò)管理，網(wǎng)管系統(tǒng)采用華為公司的iManagerN2000綜合網(wǎng)管系統(tǒng)，實現(xiàn)網(wǎng)絡(luò)設(shè)備的集中管理：【根據(jù)實際情況自行加入網(wǎng)管組網(wǎng)圖】iManagerN2000是華為公司的IP城域網(wǎng)、綜合城域網(wǎng)和話音等固定網(wǎng)網(wǎng)管解決方案，在固定網(wǎng)領(lǐng)域向用戶提供集中、統(tǒng)一、分級、分權(quán)的網(wǎng)元管理、網(wǎng)絡(luò)管理功能，并實現(xiàn)部分業(yè)務(wù)供給功能。網(wǎng)元、網(wǎng)絡(luò)管理可以管理窄帶交換機、綜合業(yè)務(wù)交換機、ATM交換機、L3/L2系列設(shè)備、LANSwitch、多業(yè)務(wù)接入設(shè)備等，業(yè)務(wù)管理提供了端到端連接管理功能、VPN管理功能，客戶管理系統(tǒng)等業(yè)務(wù)。iManagerN2000除對通信網(wǎng)的設(shè)備維護和網(wǎng)絡(luò)管理提供支持外，并能夠提供對OSS運營系統(tǒng)的支撐和接口。對于復(fù)雜的網(wǎng)絡(luò)，由于采用了先進的組件化結(jié)構(gòu)，利用iManagerN2000網(wǎng)管系統(tǒng)可以對全網(wǎng)設(shè)備集中管理，對于小規(guī)模的網(wǎng)絡(luò)，也可以只安裝必要的組件，節(jié)省投資。拓?fù)涔芾硗負(fù)涔芾碛糜跇?gòu)造并管理整個通信網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，通過自動上載網(wǎng)絡(luò)設(shè)備的拓?fù)鋽?shù)據(jù)形成與實際網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)相同的網(wǎng)絡(luò)拓?fù)湟晥D。運行中通過對網(wǎng)絡(luò)設(shè)備進行定時（根據(jù)用戶設(shè)定的每一設(shè)備的狀態(tài)與配置輪詢間隔時間）的輪循監(jiān)視與設(shè)備上報TRAP或告警處理，保證顯示網(wǎng)絡(luò)視圖與實際網(wǎng)絡(luò)拓?fù)湟恢拢脩艨赏ㄟ^瀏覽網(wǎng)絡(luò)視圖實時了解整個網(wǎng)絡(luò)的運行情況。網(wǎng)管系統(tǒng)的拓?fù)湟晥D是采用分層結(jié)構(gòu)的，其中拓?fù)漤攲语@示的子圖稱為視圖，根據(jù)被管對象的種類和實際需求抽象出了幾種視圖顯示在拓?fù)涞捻攲樱壳鞍巳齻€邏輯視圖QP設(shè)備視圖、交換設(shè)備視圖和接入設(shè)備視圖）和一個物理視圖。在這些視圖下是子網(wǎng)，它是具有相同屬性的設(shè)備的集合，在子網(wǎng)下就是具體的網(wǎng)絡(luò)設(shè)備，子網(wǎng)也可以再包含子網(wǎng)。其中邏輯視圖中只包含了各自類型的網(wǎng)絡(luò)設(shè)備，它反映了網(wǎng)絡(luò)設(shè)備之間的邏輯關(guān)系，而物理視圖中的子圖和設(shè)備是用戶自己設(shè)定的，用戶可以根據(jù)地理位置去創(chuàng)建物理子圖并定義它們之間的連接關(guān)系。IP視圖用于IP層網(wǎng)絡(luò)拓?fù)涞墓芾恚枋稣麄€基于IP路由器的IP網(wǎng)絡(luò)的網(wǎng)絡(luò)層拓?fù)浣Y(jié)構(gòu)，主要包括路由器、LAN5亞立而、接入服務(wù)器和計算機等IP設(shè)備。基于IP路由器的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分成兩層，上層由路由器和IP子網(wǎng)組成，IP子網(wǎng)表示某一傳輸類型的物理網(wǎng)絡(luò)，如以太網(wǎng)，F(xiàn)rameRelay網(wǎng)等，在同一IP子網(wǎng)下的所有設(shè)備具有同樣的IP子網(wǎng)地址設(shè)置；路由器和IP子24

校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密25校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密25網(wǎng)之間通過路由器端口連接，如以太網(wǎng)口，F(xiàn)rameRelay廣域網(wǎng)□等。路由器和路由器之間的連接有兩種：一是通過IP子網(wǎng)連接，如兩路由器通過以太網(wǎng)或FrameRelay網(wǎng)互連；二是直接的點到點連接，如PPP連接等。接入視圖用于各種接入設(shè)備的管理，目前包括口0研1接入設(shè)備和MA綜合業(yè)務(wù)接入設(shè)備。交換視圖用于交換設(shè)備的管理，目前包括ATM交換機和C&C08交換機，它們分別放在ATM子網(wǎng)和C&C08子網(wǎng)里。對于一個C&C08交換機，拓?fù)浣Y(jié)構(gòu)是整個作為一個子網(wǎng)，一個模塊作為該子網(wǎng)內(nèi)的一個網(wǎng)元。物理視圖用于反映網(wǎng)絡(luò)設(shè)備之間的物理關(guān)系和連接，用戶可以自由創(chuàng)建物理子網(wǎng)，在物理子網(wǎng)中加入邏輯子網(wǎng)中已經(jīng)存在的設(shè)備，建立它們之間的連接關(guān)系。拓?fù)涔芾碇饕僮饔性鰟h設(shè)備或子網(wǎng)，查看節(jié)點、鏈路或子網(wǎng)的狀態(tài)，通過定時輪詢或手動啟動對任一設(shè)備的狀態(tài)或配置數(shù)據(jù)輪詢，實時刷新拓?fù)滹@示數(shù)據(jù)。拓?fù)涔芾磉€具有改變背景圖象、設(shè)置網(wǎng)絡(luò)對象屬性、保存拓?fù)湟晥D修改、查找網(wǎng)絡(luò)對象、顯示網(wǎng)絡(luò)對象信息、拓?fù)湟晥D顯示效果設(shè)置等功能。用戶可對每個子網(wǎng)設(shè)置背景圖象gif）格式，背景圖象的大小根據(jù)窗口大小自動調(diào)整。配置管理iManagerN2000提供全網(wǎng)瀏覽樹和設(shè)備面板圖對配置進行維護。全網(wǎng)瀏覽樹把網(wǎng)絡(luò)中的所有設(shè)備按不同的分組方式組織在一個樹形結(jié)構(gòu)中，操作者可靈活切換要進行配置操作的設(shè)備。對所有設(shè)備和設(shè)備組件的操作都通過右鍵菜單來完成。用戶右鍵點中待管理的對象，系統(tǒng)將自動彈出該設(shè)備或設(shè)備組件所對應(yīng)的管理菜單，所有設(shè)備和設(shè)備組件（如端口等）的配置、實時性能管理功能都可通過該右鍵菜單完成。本瀏覽樹可裝載并顯示所有路由器，以及其它支持SNMP協(xié)議的設(shè)備端口數(shù)據(jù)，在瀏覽樹中的端口顯示數(shù)據(jù)包括：端口狀態(tài)，端口索引，端口類型，訐地址，掩碼設(shè)置（如設(shè)置有），用戶右鍵點中該端口即可彈出該端口所對應(yīng)的配置菜單。通過在拓?fù)鋱D上雙擊拓?fù)湓O(shè)備節(jié)點啟動設(shè)備面板圖，在面板視圖上對設(shè)備進行配置；設(shè)備面板圖和全網(wǎng)瀏覽樹所提供的配置功能是完全一樣的。在面板上進行配置顯得更直觀，提供設(shè)備的機架視圖，實時顯示各單板的狀態(tài)和告警信息，對于面板中的每個單板節(jié)點，提供右鍵彈出菜單，該菜單是針對該單板的一系列的應(yīng)用，包括配置，性能、維護管理等；而全網(wǎng)瀏覽樹則是提供了一種對全網(wǎng)設(shè)備進行管理的手段，在配置較多的設(shè)備時比較方便。故障管理25

校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密26校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密26故障管理主要包括對全網(wǎng)設(shè)備的告警信息和運行信息進行實時監(jiān)控，查詢設(shè)備的歷史告警信息和運行信息，定義發(fā)送過來的SNMPTrap，查詢和配置設(shè)備的告警表。故障管理系統(tǒng)收集和處理設(shè)備告警。設(shè)備告警包括SnmpTrap和MML格式的告警，前者告警來源為SNMP設(shè)備，大部分?jǐn)?shù)據(jù)通信設(shè)備支持SNMP；后者的告警來源為窄帶設(shè)備包括HONET接入網(wǎng)設(shè)備和C&C08交換機。Trap和Alarm可以同屏顯示也可以分屏顯示。（以下敘述中“告警”如無特殊說明包括SnmpTrap和MMLAlarm）。故障管理系統(tǒng)包括故障管理后臺、實時告警顯示、歷史告警顯示、Trap規(guī)則定義工具，故障監(jiān)視面板和當(dāng)前故障窗口。故障管理后臺接收設(shè)備告警、寫數(shù)據(jù)庫、發(fā)送給實時告警前臺顯示，如果有其他應(yīng)用關(guān)心某些類型的告警，還要上報給該應(yīng)用。實時告警顯示從故障后臺實時接收設(shè)備告警并顯示；歷史告警顯示從數(shù)據(jù)庫檢索告警并顯示；實時告警顯示和歷史告警顯示都支持過濾條件，可以檢索指定設(shè)備（一個或多個）的告警，也可以按類別檢索指定類型的告警。Trap規(guī)則定義工具主要是定義SnmpTrap的描述信息。因為SnmpTrap是二進制編碼，Trap規(guī)則定義了該二進制流中各字段的描述信息。故障管理后臺接收設(shè)備發(fā)送的Trap后根據(jù)當(dāng)前的Trap規(guī)則定義對Trap進行解釋，將解釋后得到的告警數(shù)據(jù)寫入歷史告警庫，并發(fā)送給前臺程序。MMLAlarm本身是ASCII字符流，故障后臺經(jīng)過適當(dāng)?shù)淖侄味ㄎ缓笾苯尤霂旌桶l(fā)送給前臺進程。故障監(jiān)視面板為您提供了一個直觀的了解設(shè)備故障情況的工具，它可以提供單個設(shè)備或所有設(shè)備的告警狀態(tài)數(shù)據(jù)，實時刷新狀態(tài)數(shù)據(jù)，并可以通過激活當(dāng)前告警窗口為您提供告警的詳細(xì)數(shù)據(jù)。它由六個代表不同級別故障的告警燈來顯示設(shè)備故障狀態(tài)，當(dāng)有未恢復(fù)且并未被確認(rèn)的情況下告警燈轉(zhuǎn)亮，在沒有該級別告警或所有該級別告警已經(jīng)被確認(rèn)的情況下變?yōu)榛疑Ｃ總€告警燈的下方分別列出該級別故障的總數(shù)和已經(jīng)被確認(rèn)的記錄數(shù)。當(dāng)前故障窗口反映了設(shè)備的當(dāng)前故障數(shù)據(jù)，缺省狀態(tài)進入時會顯示所有設(shè)備當(dāng)前時刻所有未恢復(fù)的告警。并隨時實時刷新數(shù)據(jù)。在故障監(jiān)視面板中選取當(dāng)前設(shè)備告警明細(xì)表功能也可以激活當(dāng)前告警窗口。性能管理用戶可以獲得網(wǎng)絡(luò)的各種當(dāng)前性能數(shù)據(jù)，并可以設(shè)置性能的門限值，當(dāng)性能超過門限時，網(wǎng)絡(luò)以告警的方式通知網(wǎng)管系統(tǒng)。用戶也可以收集一定時間段內(nèi)的性能數(shù)據(jù)，并保存在數(shù)據(jù)庫中，以做進一步的分析。該應(yīng)用提供三種方式對采集來的數(shù)據(jù)進行顯示：折線圖方式、直方圖方式和餅圖方式。折線圖方式在一個窗口內(nèi)可顯示一定時間范圍內(nèi)的各個對象表達(dá)式的值；直方圖方式在一個窗口內(nèi)只顯示某一采集時間點的各個對象表達(dá)式的值；餅圖方式顯示的是某一數(shù)據(jù)采集點各個對象表達(dá)式之間的比例值。用戶在此應(yīng)用中還可以設(shè)置對性能數(shù)據(jù)輪循的間隔，采集數(shù)據(jù)的顯示比例和顯示顏色。安全管理26

校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密27校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密27安全管理完成網(wǎng)管系統(tǒng)本身的安全控制，包括下列內(nèi)容：用戶管理、操作日志管理、用戶登錄/退出管理。系統(tǒng)安全主要通過網(wǎng)管用戶權(quán)限進行控制，用戶在啟動網(wǎng)管客戶端后，需用已經(jīng)建立的網(wǎng)管用戶登錄，并且只能以用戶屬性中設(shè)定的讀寫權(quán)限執(zhí)行該用戶指定可以執(zhí)行的網(wǎng)管應(yīng)用。網(wǎng)管系統(tǒng)各管理應(yīng)用對用戶執(zhí)行的敏感操作進行記錄，管理員可通過瀏覽用戶操作日志來取得系統(tǒng)的所有管理操作信息。計費管理計費系統(tǒng)主要包括計費數(shù)據(jù)的采集和處理兩個方面。目前，計費數(shù)據(jù)采集包括從設(shè)備上采集的基于端口的流量數(shù)據(jù)和從Radius服務(wù)器上采集的接入用戶的認(rèn)證數(shù)據(jù)，計費系統(tǒng)通過FTAM或FTP協(xié)議從設(shè)備上或Radius服務(wù)器上取得計費數(shù)據(jù)并進行相應(yīng)的轉(zhuǎn)換，由帳務(wù)系統(tǒng)進行后處理工作。此外，計費系統(tǒng)還可以對城域網(wǎng)上的相應(yīng)增值服務(wù)進行計費，如PPV，VOD，電視會議，內(nèi)容服務(wù)等，例如按PPV影片的部數(shù)計費，按影片的類別進行計費等。網(wǎng)管系統(tǒng)一方面對計費系統(tǒng)的設(shè)備如計費系統(tǒng)的主機和Radius服務(wù)器設(shè)備進行監(jiān)控和管理，另外方面，對城域網(wǎng)設(shè)備進行配置，如配置要統(tǒng)計的基于流量的計費數(shù)據(jù)采集內(nèi)容和計費數(shù)據(jù)文件的格式。一般，在設(shè)備通過FTAM/FTP協(xié)議向計費中心傳送計費數(shù)據(jù)時，設(shè)備一般作為客戶端，而計費中心的作為服務(wù)器，這樣，網(wǎng)管系統(tǒng)可以配置設(shè)備往那個計費中心發(fā)送計費數(shù)據(jù)。此外，計費系統(tǒng)通常和用戶的運維系統(tǒng)相聯(lián)，計費系統(tǒng)需要對設(shè)備進行操作（如某用戶欠費停機，計費系統(tǒng)需要對設(shè)備進行操作），此時，計費系統(tǒng)通過和網(wǎng)管系統(tǒng)接口，由網(wǎng)管系統(tǒng)下發(fā)對設(shè)備操作指令，將操作結(jié)果送給計費系統(tǒng)。分級網(wǎng)管功能說明：分級網(wǎng)管組成：分級網(wǎng)管目前實現(xiàn)告警和拓?fù)涔δ埽焊婢?下級網(wǎng)管根據(jù)設(shè)置的過濾條件向上級網(wǎng)管轉(zhuǎn)發(fā)告警（包^rap和MML告警）；拓?fù)?上級網(wǎng)管定時輪詢下級網(wǎng)管的拓?fù)浔?更新本地的拓?fù)浔砗屯負(fù)淝芭_的節(jié)點狀態(tài)；分級網(wǎng)管主要由以下幾部分組成：1分級網(wǎng)管控制中心（ManageCenter）運行在上級網(wǎng)管.主要完成以下功能:1、添加下級網(wǎng)管；27校園網(wǎng)建設(shè)技術(shù)建議書華為商業(yè)機密282、添加或刪除下級網(wǎng)管的管理域；3、查看下級網(wǎng)管的網(wǎng)管Agent,用戶,數(shù)據(jù)庫和物理對象信息；4、設(shè)置下級網(wǎng)管上報告警的過濾條件；2網(wǎng)管Agent（NMAgent）運行在下級網(wǎng)管.主要完成以下功能：1、系統(tǒng)信息a.AGENT描述信息b.下級網(wǎng)管站數(shù)據(jù)庫信息2、安全管理a.管理域的配置與查詢b.用戶信息的查詢物理對象信息a.物理設(shè)備的查詢4、拓?fù)湫畔.拓?fù)涔?jié)點信息的查詢b.拓?fù)溥B接信息的查詢c.子圖信息的查詢5、故障管理TRAP轉(zhuǎn)發(fā)條件的配置與查詢（級別，企業(yè)ID，設(shè)備IP）。TRAP轉(zhuǎn)發(fā)3分級網(wǎng)管Agent拓?fù)涔芾砗笈_（HierTopoMd）運行在上級網(wǎng)管.主要完成以下功能：1、定時輪詢下級網(wǎng)管的節(jié)點，連接和子網(wǎng)。2、更新上級網(wǎng)管的節(jié)點，，連接和子網(wǎng)及拓?fù)淝芭_的拓?fù)錉顟B(tài)28校