校園無線網絡建設與運維服務方案投標文件（技術方案）投標方案投標人名稱：****有限責任公司地址：****號二樓聯系人：****投標日期：****報告說明聲明：本文內容信息來源于公開渠道，對文中內容的準確性、完整性、及時性或可靠性不作任何保證。本文內容僅供參考與學習交流使用，不構成相關領域的建議和依據.《一份好的投標文件，至少讓你成功了一半。》 8校園網運營服務介紹 8運營服務優勢 9 1二、校園無線網絡設計方案 1.1項目背景 1.2現狀分析 2.1無線校園網需求分析 2.2核心骨干網需求分析 202.3互聯網出口需求分析 212.4運維需求分析 24 3.1建設原則 3.1.1安全性 3.1.2先進性 253.1.3開放性 3.1.4擴展性 3.1.5高性能 263.1.6可運營管理 3.1.7規范化和標準化 3.2網絡架構拓撲 273.3網絡設計概述 第四章基礎承載網絡設計 4.1投入設備清單 294.2網絡拓撲 314.3網絡設備部署規劃 314.4極簡網絡設計 4.4.1核心區規劃 4.4.2匯聚區規劃 4.4.3接入區規劃 394.5IP地址規劃 404.5.1IP地址的分類 4.5.2IP地址規劃目標 414.5.3IP地址規劃原則 4.5.4IP地址規劃 4.7路由規劃 43 44.9.1設備級安全功能 44.9.2防ARP攻擊設計 454.9.3交換機IP防掃描設計 464.9.4防DOS/DDOS攻擊 4.9.5路由安全設計 4.9.6設備管理安全設計 484.9.7匯聚嵌入式安全 4.9.8接入安全控制 第五章無線網絡規劃設計 5.1無線地勘情況 5.2用戶終端類型分析 5.3方案設計原則 5.4網絡拓撲 5.5無線規劃設計 5.5.1分布式加集中式的無線部署方式 5.5.2集中式的身份認證系統 5.5.3無線供電設計 5.6無線熱點部署設計 5.6.1無線覆蓋指標要求 59 625.7無線設備部署規劃 65 5.9無線漫游設計 5.10無線多SSID設計 5.11.1802.1X無線認證方式 5.11.2WebPortal無線認證方式 5.12無線安全設計 5.13無線審計設計 5.15.1X-sense,會思考的靈動天線 78 5.15.6逐級深入的安全防護 6.1出口優化設計 6.2外網連接層設計 6.2.3用戶路由技術 6.3日志管理層規劃 6.3.1傳統的出口日志系統的問題 6.3.2我司日志系統部署方案 9還原真實的網絡 路由拓撲 鏈路信息 網絡應用分析 7.2.1網絡資源的實時關注 TOPN的分析呈現 關鍵性能參數的實時監控 7.2.2任務式的管理機制 定期執行端口開關 批量下發設備軟件 出口網關設備管理(EG設備) 7.2.4報表呈現 7.2.5豐富的拓展 7.3系統運維 7.3.1運維現狀及改進建議 7.3.2運維規劃 7.3.3運維建設重點 7.3.4流程模擬 7.4效益分析 8.3方案價值 8.4網絡架構設計 8.6“校內免費、校外收費” 8.7業務效果 8.7.2繳費 8.7.3認證 8.7.5接入控制 8.7.6賬務 8.7.7安全 第十章我司智慧校園應用解決方案 10.1智慧校園建設背景 10.4智慧校園產品對基礎環境的要求 第一章服務實施方案 1.3.1項目范圍管理 1.3.2項目階段規劃 1.3.3人力資源管理 1.3.4項目組織模式 1.3.5項目相關人員職能 1.3.6項目進度管理 1.3.9項目溝通管理 1.3.10項目風險管理 1.3.11項目問題管理 1.4網絡建設實施方法及工藝 1.4.2線纜布放 1.4.3柜式設備上架安裝規范 1.4.3盒式設備上架安裝規范 2061.4.4室內放裝AP安裝規范 2091.4.6室外大功率AP安裝規范 2121.4.7綜合布線系統 2281.4.8公共調試規范 263 2741.5安全防護及文明施工措施和方案 284 2962.1校園網服務運維方案 2962.1.1服務運維體系 2962.1.2服務運維流程 2972.1.3運維服務質量保障 我司網絡依據多年高校信息化建設經驗，創新服務模式，推出校園網運營服務——我司網絡與高校合作，由我司持續提供校園網建設、使用、運維與優化服務，提供高質量的校園網使用服務，高校用戶無需自建即可享受隨時隨地的移動校園網服務體驗。服務內容：我司同合作高校共同制定校園網建設及服務質量標準，在服務期及合作區域內，依照建設及服務質量標準為客戶持續提供校園網建設、使用、運維與優化服務，對客戶校園網的使用質量負責。服務區域：同校方約定的合作校區。服務范圍：合作區域內辦公、教學、公共活動區域、室外活動場所、宿舍等區域有線無線網絡建設，提供配套認證計費系統、運維管理系統、及日常運維服務。服務周期：10年。服務收益：校方契約授予我司10年校園網經營權，在服務期內，我司通過聯合運營商共同運營校園網，獲取網絡服務費收益，收回投資并賺取利潤。服務費標準：參照周邊高校及市場情況，聯合運營商及校方共同制訂。我司經營合作模式：校方契約授予我司10年校園網經營權，在服務期內，我司通過聯合運營商運營，獲取網絡服務費分賬，收回投資并賺取利潤。校方經營合作模式：校方聯合運營商運營獲取收益分帳，依據校園網用戶數，按月向我司支付校園網使用服務費。2)合作方式我司提供出口帶寬1、合作期：10年，校方提供10年校園網建設經營權益給我司網絡，校方擁有校園網的管理權。2、合作期內，我司作為全校有線和無線網絡唯一建設和服務商，原有屬地內的校園網和運營商網絡統一整合為一張校園網，進行統一管理和運營(3G、4G不在此范圍內);4、建設中所使用的網絡設備為廠商的自有產品；5、校方免費提供設備安裝場地，地下管網，機房環境和供電電源，辦公場所等，并對我司所投建設1)建高質量的校園基礎承載網我司技術團隊全部來自原廠，擁有多年對高校業務應用、網絡建設、大數據的研究經驗，為高校打造一張一次性完成有線無線建設，提供校園網無處不在的便利接入一次性完成有線無線建設，提供校園網無處不在的便利接入建設內容多策略應用的出口方案，滿足對網絡復雜的管理需求高性能的萬兆骨干設備，滿足未來5~10年的業務承載安全準入，統一身份驗證合作期限內，基礎網絡依據服務質量及校方信息化發展需求動態投入，持續建設。2)統一標準化的運營平臺我司為高校搭建統一的運營管理平臺，平臺可實現與三家運營商BOSS系統對接(在全國已經實現15家省市運營商，7家AAA廠商的完美兼容)。通過統一運營平臺的搭建，解決原有網絡有線、無線分離，各家運營商網絡與校園網分離的情況，同時可以實現三家運營商的統一管理，為師生用戶提供便利的選擇。統統一標準化的運營平臺互聯網訪問校園網業務3)便捷高效的用戶服務我司網絡擁有原廠完整的服務支撐資源，通過統一呼叫中心以及現場運維人員為用戶提供最便利、高效的服務，通過產品及網絡優化的閉環體系不斷來提升用戶使用網絡的體驗。用戶全國呼叫中心4008-099-099戶提供便利的選擇較小投入進入校園網市場戶提供了便利及實惠·校園網融合套餐運營收益分賬·校園網網絡基礎平臺投資建設·合作十年內，持續的產品更新·零投入一次性完成校園網建設·持續獲得高質量的運維保障·合作十年內，網絡持續的更新卓智聯合校方持續豐富智慧校園的業務系統合作共贏為了深入貫徹實施《國家中長期教育改革和發展規劃綱要(2010-2020年)》和《教育信息化十年發展規劃(2011-2020)》,建立協同創新長效機制，充分發揮社會各方在推進教育信息化工作中的作用，把市場配置資源的優勢充分發揮出來，把企業等機構專業化服務的優勢發揮出來，使大家能夠在推進教育信息化事業中共同發展。福建我司網絡科技有限公司為甲方在高教信息基礎設施建設與運維方面，共同探索“政府政策支持、企業投資建設、學校持續使用”的模式，使學校能夠從基礎設施建設、運維等工作中解放出來，專心聚焦于信息技術在教育教學中的應用這一教育信息化的核心任務，并通過應用驅動，推動信息技作為在全國首推校企之間進行整體校園網建設和運維服務的福建我司網絡科技有限公司，直接引入和實施國內在教育行業第一市場占有率的福建星網有公司的校園網解決方案、網絡產品和售后服務體系。讓我司是一家由福建國資委控股的國有上市企業，主要進行自主研發和生產網絡行業產品，在國內排名前三的網絡設備供應商，現有3100名員工，5個研發基地，38個分支機構和服務中心，連續8年成為“中●續8年位居教育行業市場占有率第一在211高校市場覆蓋率達100%●服務全國85%以上高校，90%以上職教類院校●服務全國230個教育城域網、300余個校校通，20000多所中小學●近2000所院校使用供應商的實驗室開展教學對于甲方來說，在以往的校園網建設中也使用了產品，雙方合作后，不僅可以做到新老校園網的無縫的互補，為全校師生創造了更加良好的網絡1)承諾當有新技術、新需求出現時，福建我司網絡科技有限公司免費按照指標要求進行技術升級，自行2)承諾學校享有網絡新產品、新技術的優先測試及使用權，同時測試期間不妨礙原有網絡的正常運行和3)承諾學校具有網絡的使用和管理權。建設完成后，學校可對網絡設備和相關的系統系統進行管理，如4)在整體服務指標不能滿足甲方校園基礎網絡建設與運維功能需求與技術指標時，我方承諾自行免費增第一章項目概述甲方自建校以來，服務于教務教學的校園網絡設施，有力地支持了學院的高速發展。但隨著學院業務系統的增多和新型教學方式的轉變，對學生的學習、實驗探究和實踐的要求明顯提高，因而對整個學院的校園網性能承載和功能要求也隨之發生了很大變化，現有的校園網絡已難以滿足這種需要；另外，由于原有的網絡設備使用年限和技術更新等因素，現有校園網設施也已很難隨著無線應用及移動終端的普及，為了更好的服務于師生，加快教育信息化建設的步伐，促進校園信息化建設成為學校育人的有機組成部分，大力發展校園無線網絡，建設高速、穩定、可靠、可運營、可管理的無線網絡對于塑造甲方新一代智慧校園來說，具有重要的戰略意義。現在無線網絡產品和技術都已成《國家中長期教育改革和發展規劃綱要(2010-2020年)》中明確指出“信息技術對教育發展具有革命高課程建設質量”等系列工作。這些工作的開展需要利用各類信息化技術手段，形成以移動互聯網絡接入環境、知識云、學習云支撐的課堂教育模式，以在線教育支撐的聯合培養模式、以虛擬課堂支撐的學生自學模式、以網上社團支撐的通識培養模式、以仿真實驗環境支撐的實踐教學模式、以網絡評議支撐的科學評估模式，以綜合數據分析支撐課程建設質量。全面推進學生自主性、互動性和探究式學習，實現人才培了“支撐專業建設、提升教學水平、增強創新能力、服務地方發展”學科建設目標，這些工作的推進需要建立以泛在快速的網絡環境和基于云架構的資源共享環境為核心的學科建設的公共支撐平臺，融合學校數字圖書、教學影像視頻等各類知識資源，為各學科提供按需、主動推送服務。構建跨學科的網絡信息平臺，為各科學交叉提供在線的信息交流環境，開展學科相關資源的共享，促進學術交流合作，推進學科交叉融合。(三)加快學校信息化建設，是支撐“跨學科研究平臺”、“學科聯合攻關”科研發展戰略的需要。《高等學校中長期科學和技術發展規劃綱要》中指出“要抓住信息化建設的發展機遇，構建信息化公共服務體系，以信息化帶動科研工作現代化，實現高校科研工作的跨越式發展”。我校的科學研究的定位是以加強科研平臺建設和科研創新團隊建設為基礎，以爭取高水平科研項目和科研成果為突破口，在這新形勢下，為適應我校新一輪科研發展的需要，開展學術網絡建設、面向學術團隊建立機構知識庫等形式的創新知識資源服務、網上學術交流服務、大型儀器設備共享服務、網上科技成果轉化等服務是十分必要的，營造具有學院特色、支撐學科建設、結合區域發展的科研環境。(四)加快學校信息化建設，是推動管理科學化、智能化、效能化發展，構建智慧校園的需要。大學校園離不開科學的管理，科學的管理必須借助于信息化的支撐。近年來，學校高度重視管理體制機制的改革，強調機關工作的效能建設，強調提升管理服務水平。這些工作的落實需要利用先進的信息化技術手段，部署自動化、智能化的管理服務系統，科學全面地采集、整合、挖掘學校各類相關信息與數據，為學校整體管理效能的提高和量化決策提供支撐。同時，通過現有的信息化技術手段，結合基建改造工作，實現安全監控、節能減排、有效控制等目標，為全力打造智慧校園提供保障。1.2現狀分析甲方現有三個校區，由校本部、相城校區和東山校區組成，總占地面積1000余畝。設有園藝科技學院、園林工程學院、經濟管理學院、信息與機電工程系、食品系、生態環境系、人文科學系、基礎部、繼續教育學院等教學單位，共有35個專業，面向全國15個省招生，現有各類在校生近萬人，教職員工近450余人。現有學生宿舍網絡服務由電信和移動運營商提供小區寬帶網絡接入，并未統一納入到校園網中，這給校園網的統一入口管理帶來了阻礙，同時現有校園網僅覆蓋教學辦公區有線網絡，隨著信息技術應用發展，隨時隨地使用無線網絡已是趨勢，另外網絡應用系統均是針對各部門、各單位的具體工作進行建設的，并未遵循統一的技術標準來設計、開發以及購置，難免存在信息建設局限性、片面性，致使各系統數據結構差異較大，難以進行跨系統的數據管理和調用，使得資源難以整合。GG相或科技園卡酒第一教學樓2F鏈路負就均衡深信服相或校區行政樓哪動當前甲方已經形成完善的教學辦公網有線網。但是全校無線網絡基礎網，學生宿舍網仍未納入在校園網中，在網絡架構方面不盡合理，此次建設需要考慮與有線網絡以及身份認證運維管理系統進行有機的結總體上，通過分階段分層次的建設，甲方將形成全校三個校區統一的有線網絡和無線網絡，有線校園線校園網通過高速的802.11n以及802.11ac等技術與有線網絡相輔相成，協同創新，實現校內隨時隨地的互聯網訪問，同時通過有線無線的一體化集中運維管理，形成一套高速、可靠、安全可運營的基礎承載網絡，并通過互聯網網關優化實現出口的高性能NAT,并與身份認證系統聯動實現智能流控和帶寬管理以及智能用戶路由實現基于不同運營商的路由選路。實現校園網的“以網園網建設，并且通過構建校園應用場景的信息溝通平臺推動校內整體智慧校園的建設與發展，打造一個讓第二章智慧校園網需求分析本次無線校園網建設采取業界性能最強的802.11AC,802.11N無線標準為主，提供不低于600Mbps的無線信號覆蓋整個校園的重點區域，主要包括校本部、相城校區和東山校區所有教學樓、圖書館、主廣場、體育場和各個院系樓以及學生宿舍區域，保證被覆蓋需求的網絡訪問流暢。提供數據接入業務，讓學校師生體會到無線局域網給教師的教學和學生的學習帶來的好處。完成全方位立體式無線覆蓋，讓師生們可以在這些區域隨時隨地、無拘束的連接到網絡，教職工可以依托無線完成各項教學辦公事務，外來來無線接入點AP通過校園網的接入層POE交換機設備接入到校園網中，在新建的POE接入層，提供相應無線區域需要獨立組網，無線網關設置在獨立的網絡設備上；無線核心和有線核心采用雙萬兆互聯的方式；以保證在802.11AC,802.11N的高帶寬、大數據量的處理能力。在必要的時候無線網絡能夠作為有由于校園有線網絡已經建成，統一的網絡管理已經投入使用，因此對于增加的無線網絡，要求融合進針對校內不同的應用場景，能夠實現無線信號的穩定覆蓋，并提供高速的訪問速率，針對教學辦公區能夠提供外形美觀、性能良好的無線放裝覆蓋。針對密集宿舍能夠避免同頻干擾，隱藏節點等問題，提供需要充分考慮網絡的安全性，原有有線網絡系統已經具備多種安全防御能力，建成的無線網絡首先必須融合進原有網絡安全解決方案體系中，并根據無線網絡的安全技術特征，補充為具有多層次的安全保護為了阻止非授權用戶訪問無線網絡，以及防止對無線局域網數據流的非法偵聽，無線網絡要具有相應的安全手段，主要包括：物理地址(MAC)過濾、服務區標識符(SSID)匹配、有線等效保密(WEP)、二層隔在網絡規模不斷發展的情況下，無線網絡應滿足在不改變主體架構與大部分設備的前提下，平滑實現為未來無線校園網建設提供基礎，無線網絡要支持AC冗余擴展N+1的冗余備份能力。無線網絡的認證方式和形式要和有線網絡統一，不能重大改變用戶的使用網絡認證使用習慣。無線計費的策略可以和有線統一融合，可以將用戶的有線、無線區分計費，但在同一個賬戶下繳費，既能為師生無線語音應用、無線視頻會議應用、無線監控、無線多媒體通信應用等)打下基礎，并提供低成本的無縫升級和先后兼容。無線系統需要具有IPv6協議和流量的為了滿足未來多家運營商接入需求，避免多運營商單獨建網導致的無線信道沖突、用戶無線有效帶寬降低等情況，在校園無線承載網上采用多接入設計思路，通過多接需求分別通過不同的SSID接入不同的網絡。AC根據SSID的不同，將用戶劃分入不同的VLAN,最終實現室內部分：部署在較為開闊位置，將網線和電源線走暗線敷設到位；部署在墻上或天花板上，可利用設備本身自帶的安裝附件進行安裝；如果是掛在天花板上，則根據天花板的情況而定，若天花板是非金屬結構，可以固定在天花板內。安裝過程中應充分考慮防盜問題。室外部分：根據設備位置有兩種布線方式。如果AP設備放置在樓頂，則需要走網線和電源線；如果AP設備放置在室內，天線放置在室外，則需要走天線饋線。這兩種方式饋線都需走鐵管，貼防水膠方式處理，安裝過程中應充分考慮防盜。供電部分：AP的供電可采用POE方式由接入的網絡設備進行供電。根據特殊需要也可采用POE電源注入器的方式供電。需要為全校規劃性能合理的網絡骨干架構，根據學校信息點和業務分布情況，選擇合理的核心設備、匯聚設備；選擇合理的鏈路及連接方式，實現全網核心骨干層的高效、穩定和可擴展。由于三個校區以及無線網絡都是通過統一的互聯網出口進行互聯網訪問，要求現有核心交換機升級到性能達到10G/40G線速轉發，同時面向100G擴展。大學生接受新鮮事物的能力非常強，計算機網絡技術水平也不斷提高，因此高校校園也成為黑客最多的場所之一，如何保障校園網絡的安全成為建網時不得不考慮的問題，目前主要攻擊手段有ARP攻擊、SYNFL0OD、DOS、DDOS等，同時校園網必須具備上網日志的功能，主要是配合公安機關保證社會的穩定和校園的安全。●用戶運維管理的需求校園網的一個重要特點就是用戶群體的計算機網絡水平較高導致網絡黑客攻擊頻繁發生，經常出現地址盜用和用戶名仿冒的問題；校園網訪問流量龐大，如FTP文件傳輸、在線音樂、在線影視、視頻點播、網絡游戲等應用和特定時間(如晚上)對網絡設備都產生巨大壓力。因此要求支持用戶認證，需要解決賬號和端口綁定問題，要求提供各種接入方式，如有線、無線；準入、準出；802.1x、Web等各種接入方式的認證及管理。校園網絡建設不但要求對于管理系統的支持，而且要求對業務系統的支撐，網絡現狀是否能夠支撐未要求能根據系統的授權，實現數字化校園應用擴展。針對多業務系統特性甲方目前互聯網出口包含中國電信，中國移動，教育科研網出口。隨著學生宿舍校園網用戶納入到校園網，無線校園網建成，無線用戶驟增，同時有線無線統一出口，整體應用數據流量增大，互聯網出口壓大規模的校園網具有用戶規模大，內網并發上網人數都在1.5萬-2萬人以上，由于地址資源枯竭和安全問題，出口處都采用了NAT的技術來解決。然而當用戶數量到達一定規模，對NA出口設備要支持NAT(地址轉換)是共識的。NAT(地址轉換)等于給出口設備增加了一項很重要的任按1.5萬人并發，每用戶至少200的新建連接要求設備至少要支持300萬的并發連接數。為了避免單條線路單點故障的風險，在出口處部署多條上網線路，同時也解決了單運營商資源瓶頸問題。然而隨之而來的是用戶訪問不同網絡資源時面臨跨運營商的問題，如何確保用戶訪問電信網資源時能夠做電信線路，而在高峰時期又能夠充分利用帶寬資源，提升整體帶寬的利用率，成為網絡管理的一大難目前高校校園網的網絡系統均是以傳統的交換機、路由器、防火墻等為主，而交換機、路由器、防火墻等網絡設備無進行有效識別。網絡管理員無法知道網絡系統的運行狀況、帶寬的使用情況以及網絡中的應用開展情況。網絡管理人員無法準確了解自己的網絡里存在哪些應用；哪些是關鍵應用；哪些是普通應校園網中的主要應用有教育教學、辦公自動化、網上招生、網絡教學、網上選課、網上學習，包含各類的網絡應用，如網上課件交流、辦公軟件、email、FTP、在線點播等。現有的網絡系統對主要應用(如帶寬資源嚴重的搶占使用，而校園內校園辦公0隨著網絡的飛速發展，從2000年至今，網絡的流量模型及應用模型均發生了較大的改變。根據權威統計，2011年，互聯網每月產生的流量為280億GB,這個數字在2015年將翻4倍!其中，視頻流量將占據61%!在流量飛漲的背后，實質上是應用模型和用戶行為的變化——從早期的聊天、瀏覽網頁，到后來的各智能終端、云計算、高清視頻等無一不對網絡出口提出巨大考驗。然而由于出口帶寬有限，為了確保有限的帶寬預留給關鍵業務必須上架流控設備，而上架流控設備對P2P的應用進行限速后，導致用戶上網有限的出口帶寬《互聯網安全保護技術措施規定》在2005年11月23日公安部部長辦公會議通過，并自2006年3月1日起已經施行。(該規定簡稱“82號令”)規定對用戶信息、用戶上網記錄、地址轉換記錄、設備狀態記錄由于用戶規模龐大，因此對網絡出口帶寬的要求也相對教大，而國內目前高昂的互聯網接入成本導致用戶不可能在互聯網接入方面提供無限的帶寬資源來滿足用戶上網的各種需求。管理員面臨成本與經費的2.4運維需求分析面對當前現狀和今后持續發展的目標，為保障信息化的能力和水平必須要得到進一步完善和提高，需提高知識儲備及運維人員能力，使信息化建設能夠提供更有效的業務運營支撐，增強業務運營健康度，可搭建綜合監控、業務監控、運維流程管理的基本平臺，面向學校數據中心重要設備監控，全校區無線日常運行管理條塊分割，網絡、應用、IT控平臺，既浪費了人力資源，也難以做到快速發現故障；當網絡設備發生變化時，無法迅速的適應。各類業務應用系統缺乏針對性的管理平臺，單從獨立的網元和資源個體進行管理的角度無法解決業務系統的監控要求，因為業務系統是由多個關聯資源及其關聯關系組成，一旦業務系統出現運行過慢、無法登錄、應必要的報表數據可對信息化建設中各環節的運行進行數據層面的量化和考核，有助于對軟、硬件及應用服務的運行趨勢進行統計、分析、匯總工作。●建立知識共享平臺目前的技術知識比較分散，解決某一類專業問題時對專人的依賴性強，無法實現相關知識的積累和共享，不利于運維人員整體技術能力的提高和新人的快速成長。在解決相同類別的故障時，無法快速查找相關解決方案，影響故障解決的時效性，不利于快速恢復故障。統一，完善的知識共享平臺，也有助于未來地市運維人員的工作開展及信息化技術的提升。●建立標準化、制度化的IT運維流程管理工具應考慮統籌規范運維規章制度，以便更有效地利用現有的資源，建立高效、規范的一體化運行維護體系，完成自助服務臺、事件管理、知識管理、排程任務管理的搭建，提高IT運行維護服務水平，確保IT系統的穩定安全運行。學校的校園網的整體運營隨著規模的不斷擴展，終端用戶數不斷增多，未來的ICT進入校園網是必然的結果。這就要求學校的認證計費管理系統需要能夠與多家運營商的BOSS系統實現有效對接，保障運營收益，維持現有運營模式，實施方案簡單。其次，保障學校的訴求，幫助學校打造信息化教育提供合適的IT基礎平臺，支撐高校實現數字化校園。并且，運營商要為學校提供一套雙方互信的對賬信息查詢方案打消第三章總體架構設計3.1建設原則網絡必須具有良好的安全防范措施和密碼保護技術，靈活方便的權限設定和控制機制，使系統具有多種有效手段，防范各種形式對網絡的非法入侵和內部攻擊，以保證網絡的實體安全、網絡安全、系統安全和信息安全，有效地保障正常的業務活動和防止內部信息數據不被非法竊取、篡改或泄漏。因此系統應分系統設計既要采用先進的概念、技術和方法，又要注意結構、設備、工具的相對先進成熟，整個系統的生命周期應有比較長的時間，可以在信息技術不斷發展的今天，在系統建成以后比較長的一段時間內能滿足用戶需求增長的需要；不但能反映當今的先進水平，而且具有發展潛力，能保證在未來若干年內占主采用開放的軟硬件平臺和數據庫管理系統，遵循國際標準化組織提出的開放系統互聯的標準，應用軟系統必須具有良好的可擴充性，在系統結構、系統容量與技術方案等方面必須具有升級換代的可能，核心設備必須采用模塊化的結構，跟蹤網絡發展的前沿方向，符合網絡的發展趨勢并具有充分的擴展性。系統建設必須盡量保護現有的軟、硬件資源，保證各部門現有的計算機系統的使用，逐步過渡，有效保護用戶投資，最終形成一個統一的、一體化的綜合網絡系統。3.1.5高性能網絡鏈路和設備具備足夠高的數據轉發能力，保證各種信息的高質量無阻塞傳輸；交換系統具有很高的交換容量與多服務支持的能力，保證網絡服務的質量。3.1.6可運營管理為了讓校園網能夠良性、穩定、持續、健康的發展，對校園網用戶進行嚴格的管理和控制，學校需要對校園網進行用戶接入管理管理，通過對上網的用戶進行認證，記錄上網用戶的行為，為學校的網絡管理提供便利的工具。同時可進行計費擴展，通過對用戶收取一定的費用來達到“以網養網”的目的，并要求運營系統能夠貼近校園用戶的應用模式，方便維護和管理。3.1.7規范化和標準化網絡體系結構、通信協議及軟件的設計和開發必須按照國家或行業標準進行，要模塊化、結構化、數據要代碼化，以便于信息共享和交流及將來的維護。在系統設計和軟件開發時，應用程序必須規范化、模塊化和可復用。籮移動有線辦公網相城校區無線本部校區無線核心環網東山校區無線接入交換機互聯網區沙T3.3網絡設計概述整體邏輯上將校園網劃分為原有教學辦公有線網、新建全校無線網、學生宿舍有線無線一體網、網絡邊界以及IT運營運維管理。網絡，實現數據中心、核心網冗余可靠設計，具有高的可靠性、轉發性能、擴展能力和業務部署能力，實現數據信息的無阻塞高速交互運作，支持VEPA,TRILL,FCOE等數據中心特性，從基礎網絡架構平臺IAAS層支持云特性，滿足學校未來的云平臺建設。無線校園區：基于應用場景的無線設計，在教學辦公去等開闊復雜結構環境下部署供應商搭載X-Sense靈動天線的無線AP,提供更好的信號覆蓋和更加智能的無線信號，在學生密集且無線帶寬要求更高的區域采用供應商精細化802.11AC無線設備進行覆蓋，每間宿舍部署1臺，最高帶寬可達866M,提供給校內學生一個堪比有線的無線網絡，針對室外操場籃球場等區域，采用供應商802.11AC室外雙路雙頻覆蓋，滿足全避免數據在網絡出口處形成擁塞，導致數據不能正常轉發形成性能瓶頸；提供多鏈路智能選路，避免策略路由出現部分區域不能正常上網的情況出現，實現鏈路的自動備份，提升網絡整體穩定性；在提升用戶訪問互聯網速度的前提下提升帶寬的綜合利用率，帶寬合理分配，合理分配帶寬資源，對關鍵業務進行帶寬方便在日后進行查詢和定位；應用及流量可視化和性能評估，對互聯網出口和內網應用的流量進行L2~L7IT運營運維管理區：采用供應商RG-SAM實現對全校有線無線的一體化運營管理，同時結合供應商通過RG-SNC綜合監控管理平臺提供IT基礎設施管理及業務應用系統的監控管理，其中IT基礎設施管理提供對網絡、主機、操作系統、數據庫、中間件、應用軟件以及門戶網站等IT資源的全面管理；建立性能處理的基線，定期提出性能報表和趨勢表，可以根據趨勢分析，提出性能優化的建議；遵循ITIL、第四章基礎承載網絡設計產品說明1出口路由器RG-EG2000系列下一代網關是適用于多個類網關產品。設備配以高性能的MIPS多核硬件體系架構，擁有業務加速通道、精準流控、上網行為管理、可視化VPN、智能選路、防火墻、高性能的NAT、Web認證等多個功能。憑借著豐富的功能，RG-EG系列能夠極有效的優化用戶網絡，規體驗。在總分型網絡中更有網關的智能管理1萬兆LC接口模塊(62.5/125μm:33米；50/125μm:66米；模態帶寬為2000MHz/km時傳輸300米),口41000BASE-LXminiGBIC轉換模塊(1310nm)8210槽機箱，未配置電源，已配置風扇(要求配套機柜深度≥124N18010交換網版I(配合ED/DB線卡使用)4通用電源模塊(可以冗余，交流，1600W)42萬兆LC接口模塊(62.5/125μm:33米；50/125μm:66米；模態帶寬為2000MHz/km時傳輸300米),口824口10/100/1000M自適應電口，4個1G/10G固化單交流電源11000BASE-SXminiGBIC轉換模塊(850nm)43高性能無線控制業務模塊；適用于供應商高端核心RG-N18000系列交換機，起始支持128個無線接1WS系列無線控制器產品專用升級許可證License,每套84網絡身系統版和兩套License;如配合集群做passthrough方案，需要和11000用戶以上，超出部分每1000用戶5認證系統配合RG-SAM使用，用于web認證和計費；含1000用戶；可集群；最高支持并發用戶數4萬人1企業版配套License,每個License含1000Web用戶授權6上網日志系統軟件產品，提供對RG-WALL防火墻系列、RG-NPE系列RG-ACE系列、RG-RSR系列產品的NAT日志17聚交換機24口10/100/1000M自適應電口，4個1G/10G固化單交流電源1000BASE-LXminiGBIC轉換模塊(1310nm)8(學生公寓)24口10/100M自適應電口交換機(最多口PoE+遠程供電),2個SFP/GT光電復用口(SFP為千兆/百兆口),1個擴展槽，支持RPS,每端口最大PoE輸出功率1000BASE-GTminiGBIC轉換模塊912口學區)24口10/100/1000M自適應電口(最多6口PoE+遠程供電),4口SFP非復用端口，每端口最大PoE24口學區)24口10/100/1000M自適應電口(最多12口PoE+遠程供電),4口SFP非復用端口，每端口最大PoE宿舍用新一代基于802.11n協議的迷你型胖瘦一體化的無線接入點教學辦公區放持802.11a/b/g/n和802.11ac同時工作，胖/瘦模式切換、WAPI、雙電口上聯、PoE和本地供電，,預留USB接口。(PoE和本地電源適配器需單獨選購)RG-AP630(定向)智能天線系統，并支持天線內外置切換。802.11a/b/g/n/ac同時工作，胖/瘦模式切換、WAPI、PoE+供電(PoE+需單獨選購)單端口以太網供電適配器(千兆端口、支持802.3at,適用于802.11nAP的供電)網絡管智能網絡指揮官基礎組件，不含節點1智能網絡指揮官拓撲管理組件，可提供拓撲展示1SNC軟件License,每個License可增加5001智能網絡指揮官無線管理組件，需配合Base和Topo組件使用(含10個RG-SNC-Pro-License授權許可)1SNC-WLAN管理節點License,每個License可增加50節點授權許可，需配合WLAN組件使用(與RG-SNC-Pro-Li不共享)44.2網絡拓撲有線辦公網相城校區無線東山校區無線本部校區無線接入交換機POE交換機互聯網區電信4.3網絡設備部署規劃根據甲方三校區分布，在本部校區部署2臺核心網絡設備N18007,相城和東山校區采用萬兆匯聚交換機RG-S2910-24GT4XS-E與本部校區互聯。三地環網未來支持20G大容量帶寬互聯，同時向下每棟樓部署萬兆匯聚交換機RG-S2910-24GT4XS-E系列，實現該樓棟的流量匯聚，接入供電交換機采用千兆智能交換機RG-S2900E-P系列實現千兆全線速接入。4.4極簡網絡設計傳統的校園網中，用戶接入控制、安全防護、運營及服務管理的各種功能、策略一般都部署在校園網的接入、匯聚交換機上。這種部署方式導致整個接入網的整體擁有成本非常高，高校的信息部門曾今投入了大量的資金來搭建這張接入網，而未來一旦因為設備老舊、功能升級等原因，這張接入網還會繼續需要持續的資金投入，而隨著無線校園網的建設，這筆資金的數額更加巨大。供應商“極簡網絡”解決方案首先實現的是將原來分布在接入網的各項功能和策略上收至核心交換機，上收之后各項功能、策略的執行點全部在核心交換機上，接入網的接入、匯聚交換機只負責進行各種數據的轉發。供應商“極簡網絡”解決方案通過這種方式極大的增強了校園網核心交換機的資源利用率，弱化了整個網絡服務對接入、匯聚設備的依賴。其價值主要體現在如下幾個方面：節省資金：“極簡網絡”解決方案所進行的集中管理的改造，減輕了接入網設備的關鍵性，也弱化了對接入網設備的技術要求，這都使得改造后的校園網，在接入設備上可以選擇更加便宜、更加輕量級的產品，而資金的投入則主要集中在核心交換機上。由于校園網內接入網設備眾多，因此從全局上看大大降低了校園網的整體擁有成本。節省人力：“極簡網絡”解決方案所進行的集中管理的改造，同時也減輕了接入網對日常維護人員的數量要求，接入網設備僅需要配置和維護Vlan、STP、靜態路由等最基本的通用技術。單個學生網管能夠管理的設備數量將會大大增加。即使面對未來無線校園網的建設，高校信息部門只需要適量增加學生網管的數量，就完全可以承擔起接入網的日常維護工作。降低技術門檻：“極簡網絡”解決方案所進行的集中管理的改造，還使得負責維護接入網的學生網管再也不用去花費大量的時間、精力學習各種復雜的技術。高校信息部門耗費在學生網管身上的培訓、實習資源也會大大降低。降低新業務部署難度：新業務特別是業務專網的部署，在傳統的模式下只能采用端到端的部署方式，從核心、匯聚到接入都需要進行設備的配置和對接，而接入網設備數量會導致這種配置和對接的工作量巨大而且成功率很難保障。“極簡網絡”解決方案所進行的集中管理的改造，可以使新業務部署的大部分工作都在核心交換機上完成，接入網設備僅需要提供對應的Vlan通道即可。高校信息部門為新業務上線所投入的資源大大減少系列核心交換機具有全球最頂級的配置，具有最優秀的穩定性來適應高校校園網高密度的用戶并發，同時一虛多一卡一卡通財務組播單臺10萬以上用戶規模可靠性成指數上升●Newton18000系列核心交換機采用超大表項容量，承載10萬級用戶在線Newton18000具有豐富的接口線卡類型，這些線卡的交換芯片均采用UFT(UnifiedForwardingTable)戶配置，這些模式可以確保對應的應用容量容量最大，模式分別是缺省模式，網關單棧IPv4模式，網關雙個IPv4/IPv6雙棧用戶在線以及超過15萬IPv4用戶的同時在線。面向未來十年的超大容量：90000雙棧終端同時在線1000個/S的終端上線速度●Newton采用創新認證設計，保證用戶上下線暢通傳統架構的網絡認證方案中，接入或匯聚設備上是利用IP+MAC構造的安全表項來實現終端的認證，因此接入或匯聚設備上的安全表項容量一般就決定了最大可以支持的認證終端數量。而隨著網絡規模的持續擴大，應用場景的不斷增多，接入或匯聚設備已無法滿足發展需要，無法承載更多的終端用戶靈活、安全的接入網絡。而在“極簡網絡”解決方案中，作為認證NAS設備的Newton18000采用創新認證方案，在轉發面通過MAC地址表來實現終端的認證功能，即認證通過的終端會生成一條對應的“靜態”MAC表項；另外，同樣在轉發面通過ARP表項來實現終端的IP+MAC綁定避免欺騙，即認證通過的終端會生成一條對應的“靜態”ARP表項；而在控制面通過ARPCheck功能對送控制面的ARP報文進行檢查，可以過濾IP和MAC與綁定不符的表項；最后在網關認證通過無流量檢測來感知終端是否已經下線。通過無流量下線功能，可以讓設備主動感知終端下線。正是依托這些技術，Newton18000系列核心交換機能夠承載更多的終端用戶，不但滿足現在校園網的用戶規模，更能應對未來無線校園網建設完成后所帶來的一用戶N終端的局面，讓更多的終端能夠更加靈活、安全、便捷的接入網絡。●Newton的可靠性設計作為高校校園網的核心骨干，核心設備向校園網用戶源源不斷的提供安全的信息血液，保證整個教育網信息系統的可靠運行。作為整個網絡平臺的神經中樞，這些核心設備是全網數據傳輸的中心，不僅要保證7*24小時的穩定運行，各種應用服務器的數據能夠被穩定可靠的傳輸到終端系統，同時還要協調全網的數據流量和訪問策略，在提供信息服務的同時，保證網絡中心自身的安全。所以核心設備需要支持冗余方防止未認證終端的ARP欺騙。由于WEB認證，需要先讓設備學習到終端ARP,終端才能做WEB認證，而這期間仿冒未認證終端做ARP欺騙，就會導致終端無法完機當發生ARP沖突時，會為每個終端保留2分鐘的認證時間，確保防止IP地址沖突。Newton18000交換機采用ARP和ND代理機制來解決既避免攻擊又能提醒終端存在地址的情況，即當終端發出的ARP請求與Newton18000交換機上的認證生成的靜態ARP地址或者ND地址終端環路的情況)時，Newton18000交換機的NFPP和CPP機制可以檢測和發現這些終端，并對這些終端實防止終端的DHCP掃描攻擊。當終端向Newton18000交換機發起大量的DHCP請求報文攻擊(包括終端單個終端)地址學習數量，從而確保地址資源不會被某些終端攻擊而耗盡。目前隨著校園網的數字化、智慧化，云化，各種應用系統的上線對于數據中心的要求越來越多，通過服務器虛擬化的進行，可極大優化基礎資源的分布與調度，下圖所示為理想的業務模型。對于使用云計算服務的終端或個人而言，能夠滿足IT業務的最佳方式為計算能力按需增長、應用部署快速實現、可動態調整、投入成本規劃可控；對于云計算服務供應商而言，為滿足大量校園的IT資源需求，其運營的IT基礎架構需要有一個大規模的資源池，可基于服務校園數據業務數量情況提供匹配的IT資源支持能力。客戶客戶A業務邏輯資源物理資源客戶B虛擬化計算技術已經逐步成為云計算服務的主要支撐技術，特別是在計算能力租賃、調度的云計算服務領域起著非常關鍵的作用。虛擬化技術不僅消除大規模異構服務器的差異化，其形成的計算池可以具有超級的計算能力(如下圖所示),一個云計算中心物理服務器達到數萬臺是一個很正常的規模。一臺物理服務器上運行的虛擬機數量是動態變化的，當前一般是4到20,某些高密度的虛擬機可以達到100:1的虛擬比(即一臺物理服務器上運行100個虛擬機),在CPU性能不斷增強(主頻提升、多核多路)、當前各種硬件虛擬化(CPU指令級虛擬化、內存虛擬化、橋片虛擬化、網卡虛擬化)的輔助下，物理服務器上運行的虛擬機數量會迅猛增加。一個大型IDC中運行數十萬個虛擬機是可預見的，當前的云服務IDC在業務規劃時，已經在考慮這些因素。因此針對虛擬化環境下如何監控虛擬機之間的交換流量以及對隨著虛擬機遷移過程中策略的漂移將成為數據中心建設的一個關鍵點。由于一個虛擬機上可能存在多個系統，系統之間通訊就需要通過網絡，但和普通的物理系統間通過實體網絡設備互聯不同，各個系統的網絡接口也是虛擬的，因此不能直接通過實體網絡設備互聯。目前參考虛擬機的實現方式，將網絡設備也虛擬化，并綁定在虛擬機(服務器中虛擬出交換機)中，這樣虛擬機上的網絡接口可以不需要經過實體網絡，直接在虛擬機內部通過虛擬交換機等虛擬的網絡設備進行互聯。物理主機(服務器)虛擬交換機，用于虛擬機互訪(本質上就是一種“軟”交換機的行為，軟件虛擬出來交換機):●性能低，特性少●模糊了主機和網絡管理界面帶來的問題：1、流量無法監控，存在安全隱患2、無法實施安全策略3、管理邊界不清(模糊了主機和網絡管理界面，服務器和網絡管理員的管理界面)4、影響服務器性能因此在云計算數據中心接入交換機上采用一種“硬”交換機的思路，將虛擬機的交換能力回歸到交換機，性能保證，特性豐富，管理界面清晰。AggrEG2000UEator(VEPA)的技術。通過VEPA,來自于VM的所有流量都會被轉發到鄰近的物理接入交換機，或者當目標VM也位于同一個服務器時被轉回到相同的物理服務器。“軟”“硬”wwwwVirhalBhemetPatAggngation(VEPA)BaskcVEPAMultidanr●提升性能、降低復雜性，實現：將高級復雜的網絡功能從VM轉移到外部網絡●保持NIC(網卡)的低成本電路，實現：將高級網絡功能調整到外部網絡●一致性控制策略實現，實現：將所有流量轉發到外部網絡，網絡實現更加完備的的強制控制策略●VM間流量可視性，實現：外部網絡提供完善的管理工具●清晰管理邊界，降低服務器管理人員的網絡配置要求，降低網絡管理人員的配置復雜性樓宇匯聚層是接入層和區域核心層的分界點，幫助定義邊界和區分核心層。并能實現復雜的、消耗資3)為了保障網絡的穩定，對網絡中的廣播報文進行處理，要求匯聚設備支持廣播風暴控制，保障網絡的穩定和安全，并提供簡單配置方式，可基于端口速率百分比、端口速率等多種方式4.4.3接入區規劃管管理安全組播性能接入網交換機證認證方面：接入網交換機要支持IEEE802.1x,與認證系統結合，可嚴格實現用戶份。將網絡中的虛擬用戶和生活中的真實用戶相對應，這樣，當出現網絡安全問題時，比如有人在網絡上發表了非法言論，結合日志可以將安全事件到人，做到有據可查。特別是在認證通過后，接入網交換機可以便進行非法攻擊或盜用網絡資源等行為，保護校園網絡的安全性。要支持Option82功能，即可根據用戶賬號權限，由DHCPServer分配不同上網范圍的IP地址，控制用戶上校內、校外、國際網，實施不同的訪證方式，不需要在用戶終端安裝任何應用程序甚至插件，只需憑借用戶終端上的瀏覽器即可完成整個網絡換機內，對用戶的報文做源地址檢查和過濾，對于不符合綁定規則的報文直接在端口級拒絕轉發，保證網安全方面：接入網交換機要支持內在的多種安全機制，有效防止和控制病毒傳播和網絡流量攻擊，控管理方面：接入網交換機要支持提供加密傳輸的SSH(Secure由于此次甲方涉及無線AP數量較多，基于管理便捷和設備整體安全考慮，建議采用無線POE交換機進行遠程供電。本次方案設計使用了千兆POE接入交換機RG-S2900G-P,實現無線千兆上聯的高標準要求的同時給全校4000多個無線AP進行供電。同時每臺設備通過千兆線路上聯到匯聚設備，并且接入設備上有足夠的端口冗余，一方面保證了臨時增加終端設備的需求，一方面可以用來將4.5IP地址規劃IP地址的合理規劃是網絡設計中的重要一環，尤其對于甲方公寓網網絡系統這樣大型網絡，必須對IP地址進行統一規劃和實施。網絡系統IP地址規劃的優劣，直接影響到網絡路由的效率、網絡的性能、網絡IP地址是TCP/IP協議族中的網絡層邏輯地址，它被用來唯一地標識網絡中的一個節點。IP地址主要意位劃分子網邊界，對一個主網絡號，可分出最小只有2個主機號的子網，亦可劃分出一個較大的子網，因此它很靈活，特別是在廣域網或路由交換機互連的應用中，只需2個主機號地址，VLSM非常有用，大大甲方未來的IP地址規劃需要基于甲方網絡拓撲結構和甲方網絡所承網絡的地址分配包括各類主機所用的地址、分配網絡設備的地址和分配給網絡用戶使用的地址。可以使用IP地址空間分配，要與網絡拓撲層次結構相適應，既要有效地利用地址空間，又要體現網絡的可擴展性和靈活性，同時能滿足路由協議的要求，以便于網絡中的路由聚類，減少路由器中路由表路由數量，減算法的效率，加快路由變化的收斂速度，同時還要考慮到網絡地址的可管理性。具體分配時要遵循以下原唯一性：一個IP網絡中不能有兩個主機采用相同的IP靈活性：地址分配應具有靈活性，以滿足多在該方案中，為了節省網絡地址空間，同時考慮網絡地址的統一管理和將來擴展的需要，甲方內部網●大部分用戶采用私有地址空間，為每個VLAN劃分一個C類地址段，網關地址為該網地址空間的第●為了減少路由表的大小和路由振蕩，在分配地址時盡量采用連續的IP地址，每臺匯聚層交換機上●對于用戶VLAN接口IP,子網掩碼統一采用。掩碼統一采用52。●對于交換機管理IP,所有設備統一采用一個C類IP地址段。校園網內部選用路由協議OSPF,核心交換機的互聯端口、匯接交換機的上聯端口、核心交換機與路由器的互連端口均配成路由模式，并組成OSPF的主干區域Area0。參與全校的核心路由收斂。向下根據現有的OSPF區域劃分，將A區劃分到AREA11,B區劃分到AREA12等以此類推，同時將向下的匯聚劃分為Stub區域可以減少路由表的大小，減少查找路由表的時間，減少因為硬件支持IPv4/IPv6雙棧設備是目前選購網絡設備的基本條件。雙棧設備為IPv4向IPv6網絡過渡、現有的IPv4網絡間通信、以及IPv6網絡間的通信提供了最直接和最方便靈活的技術實現和方案保障。通則可以保證線速轉發速率，避免軟件支持時造成性能瓶頸。通過IPv6Ready認證標志著該設備是一款能夠和其他支持IPv6設備互通成熟的產品，所以IPv6Ready也必不可少。該設備也要支持多種Tunnel隧道技的IPv6網絡間通信方案。除了硬件支持IPv6外，該匯聚層設備本基于全網系統多業務的QoS邏輯則是基本的要求。包括但不限于以下應用：IPv6無線網絡、IPv6網絡電視、移動IPv6多媒體應點播電視直播電視錄據電視交互電視數據下載經權發理點播電視直播電視錄據電視交互電視數據下載經權發理服務路重務服務器服務器務i網絡電視示范系統拓撲(修16協漢線》電現機管日單發ei資IPv6網絡電視個人無線存儲個人無線存儲音樂&圖片和視頻移動IPv6多媒體網絡應用4.9網絡安全設計設備級可靠性主要從設備自身可靠性，網絡中的核心層交換機需要具備關鍵的可靠性技術：●可靠性指標必須達到99.99%。●為避免因病毒、蠕蟲等引起的網絡泛洪對網絡設備造成CPU升高等影響網絡的情況出現，所有設●安全策略部署透明，不影響設備和網絡性基于上述要求，選擇的核心交換機支持多種硬件的安全防護技術，主要包括：引擎切換數據不間斷轉采用專門針對攻擊手段設計的ASIC芯片針對網絡中的各種攻擊進行安全的防護，保證在處理安全問題同時交換機上具備的SPOH技術(基于硬件的同步式處理),在線卡的每個端口上利用FFP硬件進行安文過濾),對經過交換機的ARP報文進行檢驗，對交換機綁定表中存在的ARP表項進行放行，對非法的ARP眾所周知，許多黑客攻擊、網絡病毒入侵都是從掃描網絡內活動的主機開始的，大量的掃描報文也急劇占用了網絡帶寬，導致正常的網絡通訊無法進行。而為此，方案中的三層核心交換機提供了防掃描的功能，用以防止黑客掃描和類似“沖擊波病毒”的攻如果存在大量的這種嘗試連接，也會消耗CPU資以上這兩種攻擊，核心交換機都可以通過在接口上調整相應的攻擊閥值、攻擊主機隔離時間等參數，來減輕其對網絡的影響。另外，還可以根據網絡中可監控的主機數，在全局模式下設置可監控攻擊主機的近年來，各種DoS攻擊(DenialofService,拒絕服務)報文在互聯網上傳播，給互聯網用戶帶來很而使合法用戶無法得到服務的響應。攻擊報文主要采用針對這種情況，RFC2827提出在網絡接入處設置入口過濾(IngressFilting),來限制偽裝源IP的報文能夠幫助ISP和網管來準確定位使用真實有效的源IP的攻擊者。ISP應該也必須采用此功能防止報文攻擊進入Internet;企業(校園網)的網管應該執行過濾來確保企業網不會成為此類攻擊的發源地。(1)路由認證和保護路由認證(RoutingAuthentication),就是運行于不同設備的相同的動態路由協議之間，對相互傳遞任何運行一個不支持路由認證的路由協議，都存在著巨大的安全隱患。某些惡意的攻擊者可以利用這些漏洞，向網絡發送不正確或者不一致的路由刷新，由于設備無法證實這些刷新，而使得設備被欺騙，最目前，多數路由協議支持路由認證，并且實現的方式大體相同。認證過程有基于明文的，也有基于更產生一個密鑰的“消息摘要”。這個消息摘要將代替密鑰本身發送出去。這樣可以保證沒有人可以在密鑰(2)關閉IP功能服務在IP路由技術中，通常一個IP報文總是沿著網絡中的每個路由器所選擇的路徑上轉發分組。IP協議中提供了源站和記錄路由選項，它的含義是允許源站明確指定一條到目的地的路由，覆蓋掉中間路由器的路由選擇。并且，在分組到達目的地的過程中，把該路由記錄下來。源路由選項通常用于指定網絡路徑的因為IP源路由選項忽略了報文傳輸路徑中的各個設備的中間轉發過程，而不向其它設備發送ICMP重定向報文。但一些惡意ICMP協議允許網絡設備中間節點(路由器)向其它設備節點和主機發送差錯或控制報文；主機也可用(1)只開放必要的網絡服務(2)網絡管理認證管理員認證應采用集中認證和本地認證相結合的方式，集中認證為主要認證方式，本地認證為備份認證方式，在集中認證服務器無法訪問的情況下使用本地認證。集中認證采用Radius認證協議，同時在設備上建立本地用戶數據庫，在Radius服務器不可用的情況下，使用本地數據庫進行驗證。在VTY和Console(3)Telnet接入安全3.盡量用SSH代替TELNET,采用SSH的好處是所有信息以加密的形式在網絡中傳輸。2.不同區域的網絡設備采用不同的snmpcommunity;3.把只讀snmpcommunity和可讀寫snmpcommunity區分開來；面對現在網絡環境越來越多的網絡病毒和攻擊威脅，要求操作系統提供強大的網絡病毒和攻擊防護能力，網絡硬件不僅提供了基于SPOH技術的ACL功能，而且還支持防源IP地址欺騙(SouceIP硬件實現端口與MAC地址和用戶IP地址的綁定：不需要第三某個端口的用戶MAC地址和IP,就可硬件實現嚴格控制對該端口的用戶輸入，有精細的帶寬控制、轉發優先級等多種流策略，帶寬限制粒度達64Kbps,支持網絡根據不同的業務、以及不份的合法性和唯一性，可以有效的避免IP地址沖突、帳號盜用等問題發生。通過PVLAN即可隔離用戶信息互通：采用保護端口(即將該端口設為保護端口)實現端口之間相互隔要求接入交換機可實現廣播報文的計數累計功能，往往一臺主機受病毒時會發出大量的廣播報文，交換機可實現對與進入報文的計數累計，廣播病毒一般會在短時間內產生大量的廣播包，通過可設置廣播包port為67而destinationport為68的UDP報文通過。而其它sourceport為67而destinationport為port為67而destinationport為68的UDP報文通過，并運用在下聯端口。當端口學習的源MAC地址數量>N個，受到的數據幀丟棄/發送警告信息通知網管員/并關閉端口將合法的MAC地址修改成不存在的MAC地址或其他人的MAC地址，從而達到隱藏自己真實經被占滿了，所有的交換機的端口都在一個廣播域里了，因此交換機轉發數據包的機制變成了廣播了。因此交換機變成了一個Hub,因此別的端口可以收到所有的其他端口的數據，因此用戶的信息傳輸手工更改用戶自己的IP地址，這使得原本分到該IP地址的合法用戶無法正常上網，同時也將導致整個網絡的IP地址管理混亂。非法用戶向被攻擊的主機發出大量的攻擊包，同時將報文中的源IP地址進行修改因此根據以上安全的情況，我們建議采用認證系統的綁定功能，對宿舍網用戶進行管理。通過認證系系統服務器，認證系統會將所傳送的信息和數據庫做一一的匹配，如果有任一一元素不符合認證系統所定義，那么將視此用戶為非合法用戶，認證系統將不允許此用戶認證通過，并反饋通知用戶綁定錯誤相關信息。如果用戶認證通過后修改地址，那么客戶端也會檢測到并發送到認證系統服務器，同時認證系統服務為了管理方便，我們建議使用第一次登錄自動時綁定信息，當用戶第一次認證時將相關的元素信息自防止用戶私設代理服務器用戶自行架設代理服務器以及用戶認證后再自行撥號上網，這是網絡安全最大的兩個隱患。交換機提供代理服務器屏蔽和撥號屏蔽功能。實現該功能交換機端不需任何設置。只需在認證系統服務器端配置相應的屬性。考慮到學生的技術性較強，在實際的應用的過程當中應當充分考慮到學生的代理服務器的使用，對于代理服務器的防止，交換機配合802.1X的客戶端以及認證系統服務器，一旦檢測到用戶PC機產生代理流量，系統自動將用戶剔除下線，并反饋信息。惡意用戶追查對每個用戶分配一個賬戶，使用認證系統管理用戶。由認證系統記錄用戶每次上網的用戶名，源IP地址，上網開始和結束時間。然后通過安全認證管理系統認證系統查找MAC地址和IP地址，就可以根據源IP或源MAC在系統上查到該用戶所在的交換機以及在該交換機上所接的端口，通過這種方式可以立刻定位用戶，方便對于大型網絡的管理，能夠方便快捷的防止惡意用戶的攻擊。同時，認證系統系統可以隨機保存15~90天的用戶上網記錄(根據管理的需要，自行定義天數),并可以實現數據的備份。第五章無線網絡規劃設計根據對本次項目的實際場景進行地勘，本次無線項目具有部署范圍廣、環境復雜等特點，針對相關環境，我司進行了詳細的地勘，相關情況如下：1.無線環境比較惡劣由于目前學生公寓內，運營商已經將相關的無線信號進行了先期部署，同時學生自行架設的路由器比較多，信號干擾嚴重。EQ\*jc3\*hps24\o\al(\s\up8(9),g)EQ\*jc3\*hps24\o\al(\s\up8(F),k)2.建設結構不規則本次部署中涉及到的樓宇幾乎都是比較老的建筑，樓層與房間之間存在很多不規則的情況，對無線信號的覆蓋帶來較大的挑戰，基本可以分為以下集中情況：1)大開間、高密度大開間、高密度的環境主要分布在圖書館、階梯教室及報告廳等，該類場景具備空間大，學生相對集中的情況，針對該類情況，可以采用放裝的方式，確保該場景無線信號的覆蓋，同時根據單位區域內接入的用戶數，可以分布無線AP的部署位置，確保該區域內的信號覆蓋及2)房間密集型該場景主要集中在宿舍樓，通過地勘發現，墻體結構比較牢固，房間以6-8人間，開間大，傳統放裝部署在房間內信號幾乎不可用，為了實現信號覆蓋的無盲區，需要將無線AP直接部署到到各房間，信號到由于室外條件相對惡劣，該區域對信號覆蓋的面積將會有更高的要求，還必須具備抗雷擊、防雨、防潮、抗高低溫、阻燃等多項指標，同時還需根據實際地勘情況，區分哪些是密集人群區，哪些是稀疏的區5.2用戶終端類型分析壓力，即在學校部署無線網絡時，當1臺AP上連接人數較多時，最好使用雙流雙頻的設備，并且隨著移動互聯網應用越來越豐富，大流量密集區域一定要采用支持802.11AC的無線AP進行部署，可以滿足未來55.3方案設計原則根據上述的需求分析和部署環境的實際特點，甲方的無線網絡整體規劃，需要本著以下原則進行規劃無縫覆蓋本次無線校園網建設采取業界性能最強的802.11AC,802.11n網絡協議標準，提供不低于600Mbps的無線語音應用、無線視頻會議應用、無線監控、無線多媒體通信應用等)打下基礎，并提供低成本的無縫升級和先后兼容。無線系統需要具有IPv6協議和流量的分類轉發和管理能力。安全性網絡必須具有良好的安全防范措施和密碼保護技術，靈活方便的權限設定和控制機制，使系統具有多種有效手段，防范各種形式對網絡的非法入侵和內部攻擊，以保證網絡的實體安全、網絡安全、系統安全和信息安全，有效地保障正常的業務活動和防止內部信息數據不被非法竊取、篡改或泄漏。因此系統應分兼容性本次建設的無線網絡能夠很好的與現有校園網兼容，對于在學生公寓接入校園網的學生，采用統一身擴展性在網絡規模不斷發展的情況下，無線網絡應滿足在不改變主體架構與大部分設備的前提下，平滑實現為未來無線校園網建設提供基礎，無線網絡要支持AC冗余擴展N+1的冗余備份能力；統一建設必須盡量保護現有的軟、硬件資源，保證各部門現有的計算機系統的使用，逐步過渡，有效網絡鏈路和設備具備足夠高的數據轉發能力，保證各種信息的高質量無阻塞傳輸；交換系統具有很高可管理為了讓校園網能夠良性、穩定、持續、健康的發展，對校園網學生進行嚴格的管理和控制，學校需要對校園網進行學生接入管理管理，通過對上網的學生進行認證，記錄上網學生的行為，為學校的網絡管理提供便利的工具。5.4網絡拓撲沙沙核心交換機核心環網互聯網區聯通有線辦公網東山校區-$2910POE交換機POE交換機POE交換機POE交換機POE交換機POE交換機本部校區無線東山校區無線接入交換機POE交換機POE交換機5.5無線規劃設計此次網絡建設是在甲方校園原有的有線網絡上，采用無線單獨組網的方式進行無線網絡建設。甲方分為本部校區，相城校區和東山校區，本次無線網絡覆蓋需求為三校區的所有教學樓、圖書館、宿舍樓、體育場，宿舍樓，戶外等區域。要求完成全方位立體式無線覆蓋，讓師生們可以在這些區域隨時隨地、無拘束的連接到網絡，教職工可以依托無線完成各項教學辦公事務，外來來賓可以順暢的訪問校內和校外網絡在室內區域，由于大型會議廳、樓層辦公室、階梯教室內部需要多角度立體式覆蓋，因此必須選用高射頻能力和全向天線的配置，在前期的選點規劃中，需保證各角落采樣信號強度均達到無間斷Ping測試無丟包，避免信號的衰減和帶寬，保證了室內用戶的網絡訪問。同時，無線AP需支持IEEE802.3af標準的PoE以太網供電技術，可以支持設備在樓內距離電源100米的范圍內仍然可以隨意部署，在規劃中的全網無線接入點設備均支持無縫漫游802.11f協議，用戶在不同的AP之間移動時，將實現室內產品與室外產品必須具備不同的要求，其中，對于室內設備必須具備較強的抗同頻干擾能力、高接收靈敏度和很好的障礙物穿透能力；對于室外產品在發射功率和覆蓋面積方面有更高的要求，同時還必認證方式，因此需要認證系統也支持該認證模式。同時，還可以利用無線網絡的認證安全功能，針對不同的用戶開設不同的認證權限，既可以滿足校內學生、教職工的認證權限和計費的區別，還可以對校外來訪用戶提供單獨的認證權限，做到“入網即認證、認證后分配權限”等多種多樣的用戶策略功能；結合有線5.5.1分布式加集中式的無線部署方式由于整個甲方項目無線網絡規模較大，整個無線網絡采用FITAP的運行模式，在南校區核心N18007上配置一塊無線控制器板卡AC,各區域的無線POE交換機通過千兆單模光纖直連，實現無線數據的集中轉發。由網絡中心中心無線控制器直接管理維護，通過在網絡中心部署無線控制器捷無線，每臺可實現對最多4000個AP的集中管控。5.5.2集中式的身份認證系統全網絡的統一的認證方式和無縫漫游，對于甲方所有校園無線網接入用戶進行統一認證，對于跨校區戶認證，通過系統管理軟件統一無線網管理和維護等工作，實現全網化跨AP和跨校區POE交換機供電，本次規劃的無線校園網采用802.11n的AP,需要充足電源。傳統的802.1la、b/g的AP既充分利舊采用原有的POE交換機等設備，也能夠在日后的維護成本又很大的降低，將極大地節省了兼容AP。采用低功耗的802.11nAP,兼容802.2af,利用原有設備，節省投資；低碳、節能、綠色環保；因此從美觀、易部署、維護成本的角度上，采用POE交換機供電的方式對AP進行供電。5.6無線熱點部署設計般按穿透一堵墻設計。工作頻段與頻點規劃依照WLAN的國際規范和國際無線電管理委員會的標準，WLAN無線設備的工作頻段為2400-