職教園區服務管理學校智慧校園解決方案匯報目錄1項目背景 3TOC\o"1-5"\h\z\o"CurrentDocument"智慧校園設計概述 3\o"CurrentDocument"項目需求 3\o"CurrentDocument"系統設計原則 4\o"CurrentDocument"智慧校園集中管理系統設計 5\o"CurrentDocument"云平臺教學系統 6校園―通系統 7\o"CurrentDocument"可視化安保管理系統設計 8\o"CurrentDocument"系統架構設計 9\o"CurrentDocument"一般場環境下攝像機的選型原則 9\o"CurrentDocument"傳輸交換系統 9\o"CurrentDocument"管理控制系統 10\o"CurrentDocument"視頻音頻存儲系統 10\o"CurrentDocument"6.2 系統組網拓撲 10\o"CurrentDocument"校園車輛管理系統設計 11\o"CurrentDocument"校園車輛管理概述 11\o"CurrentDocument"校園出入口控制收費系統 12\o"CurrentDocument"校園道路卡口測速系統 13\o"CurrentDocument"校園道路違章停車管理系統 13\o"CurrentDocument"承載網絡設計 14\o"CurrentDocument"三層架構 14\o"CurrentDocument"扁平化組網 14\o"CurrentDocument"虛擬化設計 14\o"CurrentDocument"安全系統設計 16\o"CurrentDocument"安全設計與網絡設計同步 16\o"CurrentDocument"防火墻隔離安全分區 16\o"CurrentDocument"行為審計與流量控制 16Web應用防護 17\o"CurrentDocument"漏洞掃描 17\o"CurrentDocument"應用交付及加速 17\o"CurrentDocument"高速緩存加速系統 18\o"CurrentDocument"安全業務擴展方案 18\o"CurrentDocument"10無線網絡設計 18\o"CurrentDocument"無線AP部署設計 19\o"CurrentDocument"認證方式設計 19\o"CurrentDocument"頻率規劃與負載均衡設計 19SSID規劃設計 19\o"CurrentDocument"角色登錄及日志記錄方式 21\o"CurrentDocument"無線用戶流量控制設計 22\o"CurrentDocument"無線網絡安全設計 22\o"CurrentDocument"11校園指揮中心設計 2312智慧校園建設投資匯總 錯誤!未定義書簽。1項目背景包頭市職業教育園區位于城郊結合部，九原區丹拉高速公路以南、210國道以西、202鐵路專用線以北、西至三道沙河。一期建設基地內有1所高等職業技術學院、5所規模較大的中等職業教育學校進駐。隨著教育信息化工作的不斷深入，智慧校園的建設也得到了各級教育主管機構越來越多的重視，從以優化教學流程、強化教學質量為目的的智慧校園，智慧校園正在延伸到教學管理、教務管理、安全防范、管理等各個層面。智慧校園應用必然與其他行業存在眾多通性，但也有一些自身的特點和要求。但智慧校園的業務需求并不能靠簡單的系統建設或擴容來解決，所以本次的建設一套整體管理平臺，將校園的教學系統、后勤業務系統、宿管系統、網絡管理系統、應用安全系統、校園安防系統等有機整合。2智慧校園設計概述2.1項目需求本次智慧校園建設根據校園實際管理需求，采用現代化的技術手段，建設一套數字化、網絡化、高清化、集成化、智能化的智慧校園管理系統。具體需求如下：1） 智慧校園集中管理系統，該系統將校園內所有數字化系統并入到集中管理平臺之下，實現統一管理、統一部署、統一規劃、統一運維為一體；2） 云平臺教學系統，該系統將校園內所有教學應用通過刀片服務器系統虛擬化集成在高性能主機系統下，提供靈活、高效、易用的教學平臺；3） —卡通系統，該系統將校園內所有非教學應用也通過刀片服務器系統虛擬化集成在高性能主機系統下，提供靈活、高效、易用的教學平臺；4） 可視化視頻監控系統，該系統建設一整套的校園安防管理系統，涉及到校園辦公區、公共區域、教學區、宿舍區出入口控制、校園道路車輛管控等系統，同時能夠實現可視化報警功能，統一界面呈現在智慧校園集中管理系統中，最大程度加強校園工作人員對車的管控力度；5）校園指揮網絡系統，該系統保障校園業務數據平臺之間通信的穩定性，為學校信息化業務的連續性提供網絡保障，在該系統內通過統一部署一套無線網絡解決方案，實現對學校應用系統、專業學術數據庫、電子圖書館等的的高效使用無線網絡支撐；6）校園指揮中心，該中心可以將教學、一卡通、安保、網絡、應用等系統進行可視化的管理。2.2系統設計原則為了達到國內領先的目標，該系統設計應該充分考慮系統的合理性、先進性、實用性、可靠性、穩定性和可擴展性的原則。合理性原則為了保證整個系統從設備配置到系統構成的合理性，系統設計根據實際狀況和建設治安防控系統的具體要求，充分滿足用戶在使用中的各項功能要求。為了保證系統的順利使用以及與已建成系統集成的順利進行，本系統的建設需要提供開放的軟件接口，提供底層的API，從而為將來開發出實用而簡易的集成軟件，完成系統集成打好基礎。先進性原則當前，計算機及通信技術高速發展，使得系統的設計不但要考慮充分利用當前的最新技術，而且還必須考慮隨著技術的進一步發展，能在系統中不斷溶入新技術，使系統始終充滿活力，始終保持一定的先進性。實用性原則系統的建設應以實用性為基本原則。系統功能必須滿足監、控、存、查、管、用的基本要求，硬件和軟件平臺界面友好、易學易用、使用方便、圖像清晰；采用統一的系統標準和通信協議，使整個系統中各個子系統間能互聯互控，充分發揮整個系統的功能。可靠性原則保證智慧校園系統安全、正確地完成相應功能，保證系統的完整性、正確性和可恢復性，系統的不穩定因素要從硬件、軟件系統協同運行中給予充分的防止。如有發生也應做到可即時地恢復，所有產品均具有正式的出廠合格證明和權威機構的質量認證。本系統的規模無論在網絡、系統平臺，還是在系統應用方面都具有相當的規模，系統的運行可靠性是主要性能之一。保證對系統提供24小時不間斷服務。可擴展性原則可擴展性原則主要體現在系統橫向和縱向的擴展能力上。在系統橫向擴展方面，智慧校園系統在滿足當前業務需求的基礎上，應該非常方便

的擴展容量，可方便實現更多業務接入的模塊化系統。在縱向擴展方面，系統具有良好的兼容性和通用的軟硬件接口，用戶可在其基礎上進行二次功能開發安全保密性原則整個信息系統安全的問題，是系統建設中一個優先考慮的關鍵，所以整個系統數據要充分安全，要嚴格實行操作按級管理，對關鍵數據實施特殊保護，各種操作要做好記錄，便于查找。軟件系統的安全性操作系統級的安全規范必須滿足國際C2級標準，可以保證不被身份不明的黑客所攻擊。數據庫的超級用戶帳號即密碼由服務器的系統管理員設定，數據庫的一般用戶帳號和權限由數據庫超級用戶（數據庫管理員）設定。系統維護人員可隨時方便地對數據進行備份和恢復。應用程序級的安全性所有的操作人員進入系統前均應登錄自己的帳號和密碼，并通過權限管理服務器認證，核對準確后方可進入系統。所有的操作人員均應規定相應的級別及權限，任何越權的操作必須被拒絕。所有的操作、錯誤均應有日志記錄，并可以根據工號或操作查詢。除了用戶管理的基本資料外，工作人員不得對用戶的其它資料和數據進行更改和操作，除非有用戶指定授權人的授權。校園3校園3智慧校園集中管理系統設計智慧校園發展背景隨著高校信息化建設的不斷推進，信息服務在學校教學，科研與管理中的作用越來越大。由于IT治理的重要性和迫切性各個學校已經或正在開始建設基于部門的應用系統，基本解決了面向業務主題的管理。但在高校信息化建設中，仍然存在著一些共性的不足，如網絡基礎設施的的接入手段單一，安全保障體系尚不完善；數字資源建設的投入較少，整體應用水平還有待提高；特別是不同部門之間的信息共享與交流自動化程度低，缺乏統一的信息編碼標準;信息化保障機制還不夠健全。學校的教學資源信息主要來源于三類：基于人的數據，基于流程管理的數據，面向設施環境的數據。現有的信息管理系統在一定程度上解決了這些數據的采集，但仍然無法滿足全方位實施教育信息化及提供智能的綜合信息服務的要求。這就要求了基于先進技術的系統的智慧校園管理系統的出現。該系統將校園內所有數字化系統并入到集中管理平臺之下，實現統一管理、統一部署、統一規劃、統一運維為一體，系統采用模塊化設計，并且支持無縫擴容和平滑對接等靈活業務功能，現設計管理模塊主要包括以下內容：?云平臺教學系統?一卡通系統?可視化安保管理系統?校園車輛管理系統?承載網絡管理系統?無線網絡管理系統下面我們就來詳細介紹以下系統模塊的功能。4云平臺教學系統通過學生的學籍、成績等信息建立學生的基礎庫，通過收集整理教師的基本信息，綜合教師日常教學、科研等各種方式，建立起教師的基礎信息庫。依托基礎庫數據，應用科學的分析統計方法和理念，準確分析出學生學習的進步狀況，幫助學生及時發現學習的薄弱環節。同時能掌握教師的教學、科研等情況，促進教師提高專業水平。此外，平臺還提供了滿足學校排課、選課、考務、新高考3+3等教務管理、辦公事務管理、診斷與輔助、備課管理、資源管理、電子文檔、科研管理、教師研修、考勤管理、收費管理、校產管理、宿舍管理、實驗室管理、體衛管理、招生管理、流程管理、德育管理、圖書管理等需要的功能強大的應用模塊，為學校建立一個覆蓋范圍廣、實用性強的教育管理平臺；為教育精細化管理提供有效的評測依據；是數字化校園和智慧校園的基礎應用，也是三通兩平臺的重要組成部分。

新一代信息技術的發展為智慧校園的實現創造了可能，它能夠更透徹的感知和度量，更全面的互聯互通，更深入的智能化。通過智慧校園，我們可以轉變個人與組織機構，自然系統和人造系統的交互方式，使其更加智慧，即更加清晰、效率更高、響應更靈活更及時，這將為校園的發展帶來新的機會。云計算服務平臺使量化、科學的決策成為可能。作為一種信息服務模式，云計算可以把大量的高度虛擬化的計算和存儲資源管理起來，組成一個大的資源池，用來統一提供服務。5校園一卡通系統5校園一卡通系統校園隨著計算機技術和網絡技術的迅速發展，科學正進入信息時代，信息技術本身正對教育的改革產生深遠的影響。現代化的學校少不了現代化的教學設施、設備的武裝。建設校園一卡通，為學校的教師、學生和教學管理人員提供具有開放性、靈活性、面向學校應用服務的管理平臺，是教學管理科學化的必要前提和基本途徑，所以，校園一卡通的建設勢在必行。校園一卡通是數字化校園的基礎工程，它為數字化校園提供全面的數據采集網絡，結合學校的管理信息系統和校園網絡在教學，科研，生活方面的各種應用系統，全校范圍的數字空間和共享環境。在校園網上建成“校園一卡通系統”的數據平臺，卡片平臺，財務結算平臺，校園卡應用的商務管理、銀行轉賬、身份識別管理的各子系統都建立在該平臺下，以后隨學校規模的擴大和卡片功能的增加只需隨時增加子系統，不需再對平臺進行擴充。數字化校園建設中的其他MIS系統、0A系統，可以通過平臺預留的擴展接口實現與“校園卡系統”的數據共享。持卡人的基本信息資料和電子錢包都作為統一的公用數據在全網上實時共享，做到一人一卡，一人一戶，所有數據的變更都有做到全網立即生效。在學校各校區內，凡涉及到現金使用的任何一個消費網點，校園卡的電子錢包都能通用，所有商戶單位不論其性質與規模都可以授權代理收款、結算、商戶資金可以實時到賬。如：食堂、超市、餐飲、小賣部、浴室、洗衣、校內大巴等。6可視化安保管理系統設計目前，整個安防監控行業已經進入了網絡監控的時代，各行業聯網監控需求的快速增長，對監控系統建設提出了全新的要求。普通監控廠商由于能力限制，很難涉足開發校園監控系統的各個方面，在實現網絡監控需求時其重點還是在各個子系統之上去考慮上層軟件的設計。當校園監控范圍不斷擴大，海量的視頻存儲需求不斷增加，業務需求越來越復雜和靈活時，由于普通監控廠商無法從網絡監控的整體架構角度對所有網絡監控的組件進行優化，只能依靠上層軟件被動的去整合異構非標的硬件、不同廠商存儲、網絡等，系統設計已經存在一些不可逾越的瓶頸。因此，才會出現依靠流媒體服務器、網絡轉存服務器、設備代理服務器等組件來實現不同異構設備之間的媒體處理和信令處理，當面對海量多媒體信息管理存儲的需求，這些設備的集群、負載均衡、故障倒換等可靠性設計以及其整體架構的性能瓶頸已經成為阻礙校園安防監控發展的重要因素。因此，本次校園安防監控系統設計采用基于聯網監控整個校園安防，監控系統的所有組件進行融合優化，滿足校園安防監控系統的全局看、控、存、管、用業務需求，它的出現能夠解決當前校園安防監控系統不可逾越的瓶頸，滿足多媒體融合應用的需求，同時更好的支持合作伙伴面對客戶提供個性化增值應用解決6.1系統架構設計系統采用模塊化設計思路，分為前端采集系統、傳輸交換系統、管理控制系統、視頻音頻存儲系統4大部件。6?1?1一般場環境下攝像機的選型原則前端采集系統通常包含數字視頻編解碼器和ip網絡攝像機。前端采集系統支持H.264、MPEG4等多種標準編碼格式，并可提供各種不同分辨率規格及接入能力，可支持實時流和存儲流雙流設計，碼流可以根據用戶需求任意調整。前端采集設備應采用電信級制造工藝，可以基于各種網絡環境高質量、可靠的滿足各類網絡監控前端編碼、存儲和解碼的需求。?在人員較多的出入口和樓梯口需要安裝高清的半球攝像機或者槍機。?在電梯安裝廣角半球型攝像機，并通過視頻編碼器進行編碼接入。?在停車場的出入口，車輛進出時，車燈光線很強，一般攝像機是無法正常獲取視頻圖像的。需要在強光下也可獲取到高清晰圖像的攝像機，安裝強光抑制槍機。?學校周邊外圍停車場空間較大，光線充足，監視范圍廣，要求攝像機有較大的視野，安裝高清網絡攝像機，和快球型網絡攝像機。高清網絡攝像機采用180°拼接的方式進行大畫面監控，比進行球機聯動，球機自動跟蹤進入監控區域的人員或者車輛。緊急情況下，可切換為手動模式進行PTZ操作。6.1.2傳輸交換系統采用網絡資源對前端視頻傳輸的數據進行接入、匯聚、交換，通過設備自身安全特性和防火墻等實現對邊界安全接入的控制，同時可通過網絡本身的設備、協議冗余實現整個監控網絡的穩定性。

6.1.3管理控制系統包括專用的視頻管理服務器、數據管理服務器、客戶端和流媒體服務器，視頻管理服務器是用于集中認證、注冊、配置、控制、報警轉發控制的專用信令服務器，可以實現完善的視頻編解碼設備網絡管理功能，支持多臺信令管理服務器相互協同工作組建多級多域的管理平臺。數據管理服務器主要功能為管理存儲設備、存儲資源和視頻數據，支持對系統所有存儲資源進行全方位的監控和管理，支持不間斷的視頻檢索、回放等業務。客戶端可以提供友好方便的人機界面功能，包括監控對象的實時監視監聽、查詢、云臺控制、接警處理。6.1.4視頻音頻存儲系統專業的ip存儲技術和強大的數據管理服務器構建完善的網絡存儲系統，存儲資源可以根據需求分布式部署并加以統一資源管理和調度，支持動態存儲資源管理、在線部署，可以基于統一平臺滿足不同存儲質量、容量和服務質量的需求，可以提供完善的備份和存儲生命周期管理功能，同時視頻圖像的NAS備份功能。62系統組網拓撲本方案設計拓撲如下:遠程訪問中心機房/數據中心ip安防監控專網應急指揮中心本方案設計拓撲如下:遠程訪問中心機房/數據中心ip安防監控專網應急指揮中心分控室值班點分校區Tff 冬1方案說明:如上圖所示，校園可視化報警管理平臺是整系統的視頻圖像系統的核心控制管理中心，通過該平臺完成整個系統內所有圖像資源的聯網圖像的調度、管理、

分發和互通功能；通過視頻管理服務器完成視頻圖像的接入、認證、權限分配;

通過組播技術完成實時圖像分發、實時圖像的調閱和分發功能。校園可視化報警管理系統解決方案更貼近高校用戶的特殊需求，對于大樓出入口的寬動態場景、狹長的走廊、低照度場所均能提供相應功能的產品。尤其針對大樓中常見的個別監控點位超長(超過100米)情況，優化后的半球和槍機均支持不增加任何附加設備即可傳輸至150米~200米；H.264HP編碼格式能夠在保證高清圖像質量的前提下將IPC的傳輸碼流降至2M(720P)、4M(1080P)，極大的降低存儲空間，解決了平安校園項目中采用全高清系統導致存儲成本過高的問題；方案全部采用低功耗半球及槍機、低功耗存儲設備，節能減排；對于校園周界和園區的長距離傳輸，提供多種解決方案一一光口攝像機、EPON組網，使得施工布線更加方便靈活；全IP的監控系統架構使系統具有良好的擴展性，有效保護業主的投資；在學校大門出入口和主干道建有卡口系統，能夠實現在校門空進行控制收費，在校園道路上進行測速提醒。同時在強順光和強逆光的壞境下，同樣可以保證圖像的清晰度；在學校主干道部署違停抓拍球，確保違章停車，第一時間發現，保障校園道路暢通；在周界等重要區域部署自動跟蹤球，夜晚光線不足的重要區域部署紅外激光球，確保在微光情況下圖像清晰；在停車場、學生運動場所等廣闊區域，部署3槍1球，實現全景拼接和槍球聯動；集成報警系統和消防報警等安防子系統，實現聯動顯示，解碼上墻。校園車輛管理系統設計校園校園車輛管理系統設計校園7.1校園車輛管理概述為維護校園良好的教學、工作和生活秩序，保障師生員工人身安全和校園財產安全，減少各類事故發生，營建良好的校園環境和停車秩序，本方案結合業界最先進的車輛管理技術，提供校園車輛管理整體解決方案。利用車牌識別技術、自動道閘系統、門崗客戶端、LED屏等設備做聯動整合，

除可以做出入口控制系統外，還可以支持靈活的校園停車收費方式。對于多個大門的校園來說，可以準確的統計出校園內停放車輛，停放時間，為校園車輛管理提供了有效的車輛相關的數據。校園車輛管理包括校園出入口控制收費、校園道路卡口測速和校園道路違章停車管理3個部分組成，解決方案拓撲圖如下：自動道閘閘機控制板音箱語音控制板校園出入口控制收費校園車輛管理系統校園園區卡口測速 校園道路違停抓拍自動道閘閘機控制板音箱語音控制板校園出入口控制收費校園車輛管理系統校園園區卡口測速 校園道路違停抓拍校園車輛管理整體解決方案解決了在校園大量機動車進出帶來管理上的問題，做到車過留痕，從車輛進入校園園區到駛出園區，車輛在校園園區內的所有行車軌跡都在車輛管理系統的監控之中，做到了真正意義上的校園車輛管理。7.2校園出入口控制收費系統國內各個大學園區普遍存在多個出入口的情況，而且存在收費管理的需求，從用戶的實際調研情況看來，目前大多數用戶使用的出入口控制收費系統，主要存在以下幾個問題：1） 卡丟失、被盜現象經常發生，發卡成本高；2） 進入園區要先停車、取卡，停車位置也要準確，否則距離太遠，還要下車取卡；駛出園區需要停車、繳費、找零等一系列動作；整個過程費時低效；3） 出入園區的車輛沒有留下記錄，如果要登記，則更加費時費力；4） 出入口控制收費系統相對獨立，車輛進出數據難于被系統綜合應用。5） 傳統出入口控制收費系統管理成本較高。針對現有出入口控制收費系統，無卡式出入口收費系統，針對學校用戶的特殊需求，主要有如下優勢：1） 成本低，不需要IC卡，只需在系統中添加一條校內教職工用戶車輛信息；2） 收費方式靈活，支持預付費、包月及人工等收費方式，實現園區車輛的無卡收費；3） 車輛按照10km/h的速度可自由進出，通過卡口對進出車輛進行抓拍，實現車輛無卡快速出入，針對上下學高峰期間，效率高；4） 無縫整合到校園車輛管理系統，支持對園區內的車輛進行統計和管理；5） 抓拍準確率98.6%，通過模糊匹配能將準確率提升到99%以上。7.3校園道路卡口測速系統校園道路卡口測速系統在高校園區內逐步得到推廣，卡口主要架設在校園主干道，主路口，對過往車輛進行記錄、車速測量、流量統計等。因為在校園內部對車輛行駛速度做了明確的限制，一般限制在20km/h，也有的地方會更低，針對高校用戶特殊的需求，低速卡口解決方案以先進的視頻檢測為檢測手段，同時采用業界最成熟，準確性最高的線圈測速，主要特點有晝夜模式適應性強，畫面流暢性高。7.4校園道路違章停車管理系統校園內違章停車現象一直是校園車輛管理中的頑疾，對校園道路的暢通以及校內人員安全均存在嚴重影響，如何規范駕駛員的停車行為，對違反校內車輛管理規定的行為進行及時準確的取證，及時聯系到駕駛員把車停放在正確區域，維持校園道路正常運行狀態，是校園交通管理的關鍵。校園道路違章停車管理系統，采用自主研發硬件設備及圖像分析技術，將違章停車抓拍過程實現自動化，系統實現違章停車檢測、自動球機控制、車輛全景抓拍、車牌特寫抓拍、車牌號碼識別、違章信息輸出等整體功能。系統支持大范圍、多視角、不間斷的自動違停抓拍。完全替代人工控制違章停車抓拍所需要的全過程。系統采用國際前沿的視頻動態跟蹤檢測技術為核心，同時集合機器視覺技術，通信技木及自動控制技術和數據庫技術。利用高清晰感光芯片器件作為檢測傳感器，通過對動態的交通視頻圖像實時處理，能克服天氣、環境變化等干擾，從而實現校園道路車輛行為檢側、路況圖像監控等多功能的智能違停抓拍系統。8承載網絡設計8.1三層架構網絡根據邏輯層次的不同，可分為核心-匯聚-接入的三層架構組網。三層架構是網絡設計中常見的網絡架構。其中核心層設備是校園流量的中心干道，主要承擔高速數據交換的任務，同時要為各匯聚節點提供最佳傳輸通道。核心層使用L3協議進行設計，應該被設計為能夠快速收斂，可靠性高并且穩定。匯聚層的主要任務是把大量來自接入層的訪問路徑進行匯聚和集中，承擔路由聚合和訪問控制的任務。這就要求匯聚層設備必須具備良好的可擴展性，必須使用模塊化的體系結構，以便匯接更多的接入層設備。接入層的主要任務是完成用戶的接入，它直接和用戶連接，可能遭受ARP風暴、MAC掃描、ICMP風暴、帶寬攻擊等等攻擊方式，對安全性的要求很高，另一方面必須提供靈活的用戶管理手段。8.2扁平化組網扁平化組網即將網絡可分為核心層和接入層。通過減少物理和邏輯級聯級數，壓縮掉匯聚節點，減少中間延遲環節，以提供更加快速的數據通道。使接入層設備直接面向核心，從而形成扁平化的網絡結構。采用扁平化的前提是核心設備需要高性能和大容量，并配置高密度以太網口（光、電）用以直接下掛大量的接入層設備。8.3虛擬化設計采用雙星形組網時，網絡的可靠性有所提高。VSM（VisualSwitchingMatrix,郵交換矩陣）■是一神控制平面虔擬化技術，可將多個機框虛擬成為一個機框■目前最名可更持將箏臺物理設備虛抵成為一臺謖輯設備VSM虛擬化技術主機一 主機二■正常情況下,雙機負載分擔工作■虛掀化組內主控瓶全局可用主機一 主機二■正常情況下,雙機負載分擔工作■虛掀化組內主控瓶全局可用■虛擬化組向向業努模塊振間冗金■虛掀化實現費源的靈i醐度,室現多虛1的靈活部署VSM虛挪化組虛擬交換矩陣，是將多臺物理設備虛擬化成一臺邏輯設備的技術。設備間的協同工作不再需要用戶關注，從而使組網和管理得到簡化、性能和效率得到提升。同時，通過VSM的在線擴容和在線升級技術，部署了VSM技術的網絡環境可以在不改變原有網絡拓撲的情況下向現有網絡增加VSM成員設備，使整個邏輯設備擁有更多硬件和軟件資源、更強大的處理能力。9安全系統設計9.1安全設計與網絡設計同步對于網絡來說，光穩定、可靠是不夠的，還要保障安全，網絡才可用。有的校園在信息化建設中將網絡建設和網絡安全建設割裂，先建設網絡再建設網絡安全，這會帶來很多問題，比如應用層對權限進行限制后，網絡層可能是連通的。此外，網絡建設的重要內容是進行網絡策略規劃，這其中的核心就是安全分區的劃分，而安全分區的劃分屬于網絡安全建設范疇。因此，網絡安全的設計應與網絡設計同步，從一開始就進行網絡策略、安全策略的規劃。網絡安全體系并不是安全功能的簡單疊加，而是一個功能聯動、相互配合、覆蓋L2~7、從終端到核心的完整的安全體系。本項目的安全體系包括：訪問控制、安全隔離、入侵防御、病毒防范、流量控制、安全審計及接入控制等。9.2防火墻隔離安全分區在安全設計時，首先要將網絡劃分為不同的功能區域，用于部署不同的應用，使得整個集團網絡的架構具備可伸縮性、靈活性、和高可用性。服務器將會根據服務器上的應用的用戶訪問特性和應用的核心功能分成不同組部署在不同的區域中，但是由于整個數據中心的很多服務是統一提供的，例如數據備份和系統管理，所以為保持架構的統一性，避免資源不必要的重復浪費，一些功能相似的服務將統一部署在特定的功能區域內，例如與管理相關的服務器將被部署在管理區。實際部署中，建議通過防火墻實現安全區域的邊界隔離與訪問控制，防火墻定義為高級的安全訪問控制設備，通過位于不同網絡或網絡安全域之間信息的唯一連接處，根據組織的業務特點、行業背景、管理制度所制定的安全策略，運用包過濾、代理網關、NAT轉換、IP/MAC地址綁定等技術，實現對出入網絡的信息流進行全面的安區控制（允許通過、拒絕通過、過程監測）。9.3行為審計與流量控制在應用需求的不斷推動下，網絡技術得到了飛速發展；而網絡技術的進步則又反過來推動應用的發展，應用與網絡之間是相輔相成、相互促進的。而應用自身的多樣化、個性化特性，卻與網絡的IP化、標準化形成了天然難以逾越的矛盾。特別是隨著萬兆到核心/千兆到桌面、Web2.0、虛擬化、云計算、物聯網、P2P等新技術新應用的不斷增多，如何在標準化的網絡基礎設施上，使模型越來越復雜、流量越來越大的千變萬化應用更安全、更快速、更可用，最終使IT戰略與企業戰略保持一致，是所有IT廠商和用戶面臨的共同課題。9.4Web應用防護B/S架構應用系統相對于C/S架構系統具有訪問靈活、維護簡便等優勢，己成為各類業務系統的主流架構形式。大港職專校園網絡中的OA、門戶網站等重要業務系統都在不同程度上依賴Web站點對外提供服務。因此，重要業務系統的Web站點安全將關系到WEB業務能否正常開展，甚至是核心數據資產的安全。因此，對于包頭職教園區校園網絡來說，需要通過WEB防火墻實現對Web應用實時有效的安全防護，有效抵御包括SQL注入、跨站腳本攻擊、會話劫持、應用層DDoS、網頁篡改在內的各種高危害性Web攻擊；同時提供Web流量優化和負載均衡等功能，對服務器進行流量整形、Web加速、SSL卸載等功能，實現集Web攻擊防御、協議加固、流量優化于一體的全面Web網絡安全防護。9.5漏洞掃描針對網絡中大量設備存在的漏洞，方案設計部署漏洞掃描設備，采用“智能關聯掃描引擎”技術，通過多種掃描方法關聯校驗的方式對漏洞進行掃描，且對漏洞特征庫進行持續不斷的升級，從而確保漏洞判斷準確無誤。支持對終端、服務器、路由/交換設備、操作系統(Windows/Linux/Unix)、應用服務等進行漏洞管理，具有覆蓋2-7層漏洞檢測和自動修補等技術，尤其針對Web應用系統進行代碼級檢測，消除XSS跨站腳本、，。1注入、網頁掛馬等漏洞威脅，且支持對SSL加密應用的漏洞管理。9一6應用交付及加速隨著互聯網的飛速發展，業務種類的不斷豐富，如何提升用戶體驗，讓網絡訪問快速安全、服務器資源利用更合理、運維更便捷，成為包頭職教園區校園網絡系統建設者需迫切解決的問題，主要包括：服務器承載應用的穩定性和持續性，系統擴容、升級不會影響業務；多服務器的協同工作，且最大發揮每臺服務器性能；網絡適應性強。考慮到業務應用會對網絡信息系統進行集中、突發性大流量的訪問，對數據/應用服務系統的處理能力要求較高，為了保障和提高校園網絡信息系統應用服務的高可用性，需要部署集負載平衡、應用優化、安全防護于一體的綜合應用交付平臺，實現業務應用的服務加速和應用優化，以保證數據中心的響應速度和業務連續性，并大大提升服務器的使用效率和彈性伸縮能力。97高速緩存加速系統高速緩存，將去外網抓取網內用戶熱點資源，進行內網留存，在節省網絡帶寬占用的同時，大大提升了用戶的體驗。精細、可靠的緩存管理部署簡便平滑擴展智能緩存，充分利用閑置網絡資源信息安全管理全面，增強系統安全性98安全業務擴展方案模塊化交換機是配備了多個空閑的插槽式交換機，用戶可任意選擇不同數量、不同速率和不同接口類型的模塊，以適應千變萬化的網絡需求。但擁有更大的靈活性和可擴充性。像這樣模塊化交換機的端口數量就取決于模塊的數量和插槽的數量。10無線網絡設計本期無線網絡主要覆蓋教學樓和辦公樓，無線控制器部署在包頭職教園區校園核心機房內，無線控制器采用插卡式設備部署在核心交換機內，用以實現智能的實現樓內無線AP的虛擬蜂窩構建，對所有AP的統一集中管理，結合審計與流控模塊可為樓內無線網絡提供Portal認證接入，能夠結合域控、無線實現一次認證，提高安全性、穩定性和易用性。101無線AP部署設計無線AP采用瘦AP方式部署，支持802.11n,300Mbps以上帶寬，POE供電，具備遠程管理功能，方案設計采用迪普科技AP1000系列無線AP設備，該設備能提供傳統802.11a/b/g網絡6倍以上無線接入速率，支持300M速率，可通過ACS6000系列無線控制器實現對無線AP進行集中管理，提升網絡管理維護效率。102認證方式設計本方案主要采用802.1X認證，AP1000與ACS6000-Blade通過二層隧道協議通信，無線用戶的認證點都是放置于ACS6000-Blade設備上，后臺的認證服務器作為用戶鑒權點。10.3頻率規劃與負載均衡設計802.11g使用開放的2.4GHzISM頻段，可工作的信道數為歐洲標準信道數13個。由于其支持直序擴頻技術造成相鄰頻點之間存在重疊。對于真正相互不重疊信道只有相隔5個信道的工作中心頻點。因此對于802.11g在2.4GHz地工作頻段，理論上只能進行三信道的蜂窩規劃實現對需要規劃的熱點的無縫覆蓋。此外，由于功率模板是否能做到符合鄰道、隔道不干擾也非常影響頻率規劃的效果。針對如何進行802.11g的頻率規劃作了大量的實驗，實驗證明3載頻也可以實現蜂窩對需要覆蓋的區域進行無縫覆蓋，并提供更高的服務帶寬提高服務質量，和高帶寬業務的開展。104SSID規劃設計根據學校對WLAN網絡劃分為買教師組、學生組、公眾用戶組三個用戶組，不同用戶組可以配置不同的網管策略的要求，無線接入至少需要3個SSID來進行相關接入管理：Teacher_SSID（教師接入）、Student_SSID（學生接入）和Guest_SSID（公眾接入）。

Guest-SSIDTeacher-SSID^tudent-SSIDGuest-SSIDTeacher-SSID^tudent-SSID同時，為了保證內外網安全SSID需要與VLAN進行相關映射，確保邏輯上的安全隔離。AP部署區域SSIDVLAN教學區Teacher_SSIDVLAN10Student-SSIDVLAN100Guest_SSIDVLAN1000辦公區Teacher_SSIDVLAN10Guest_SSIDVLAN10校園Teacher_SSIDVLAN10Student-SSIDVLAN