【正文】 線網(wǎng)絡(luò)融為一體，方便了用戶對(duì)整個(gè)網(wǎng)絡(luò)的配置管理，同時(shí)升級(jí)后的無線校園網(wǎng)還可方便地與其他應(yīng)用集成，為各種業(yè)務(wù)的開展打下了良好基礎(chǔ)，還可支持IPv4/IPv6雙協(xié)議棧，有效降低了無線校園網(wǎng)的總體擁有成本（TCO）。除此之外，該一體化無線校園網(wǎng)方案更采取了無線控制器1+1冗余備份的方式，主備倒換僅需100ms，大大提高了香港大學(xué)無線校園網(wǎng)的可靠性。通過采用H3C提供的有線無線一體化校園網(wǎng)絡(luò)解決方案，香港大學(xué)實(shí)現(xiàn)了校園整網(wǎng)全面升級(jí)，構(gòu)建出統(tǒng)一管理、并與有線網(wǎng)絡(luò)互為一體，為全校師生提供了更為便捷的網(wǎng)絡(luò)服務(wù)。 AP，再次體現(xiàn)出H3C 在WLAN領(lǐng)域旗艦廠商的地位。2. 系統(tǒng)概述BBB大學(xué)是我省唯一一所“211”工程大學(xué)，是我省高等教育的領(lǐng)頭羊、排頭兵。隨著BBB大學(xué)YYY新校區(qū)的建設(shè)，學(xué)校逐步將把教學(xué)、辦公、學(xué)生宿舍等搬遷至YYY新校區(qū)，洋浦校區(qū)將移交給XXX學(xué)院。為了保障YYY新校區(qū)能夠如期滿足YYY校區(qū)搬遷老生遷入、新生接待、實(shí)現(xiàn)正常辦公和教學(xué)，需要在學(xué)校整體搬遷之前實(shí)現(xiàn)YYY新校區(qū)的網(wǎng)絡(luò)覆蓋，新老校區(qū)網(wǎng)絡(luò)的連通，及老校區(qū)網(wǎng)絡(luò)的升級(jí)改造工作。BBB大學(xué)YYY校區(qū)位于XXX市YYY新城，校區(qū)總建設(shè)規(guī)模約為100萬平方米，分二期建設(shè)，第一期建設(shè)投資17億元。按照規(guī)劃目標(biāo)，BBB大學(xué)YYY校區(qū)建成后，將成為強(qiáng)調(diào)歷史文化厚重感和傳承感的“人文校園”，體現(xiàn)充分利用自然地形、因地制宜規(guī)劃建設(shè)的“山水校園”以及適應(yīng)現(xiàn)代化需要的信息化、網(wǎng)絡(luò)化、功能化的“數(shù)字化校園”。數(shù)字化校園是以IP通信平臺(tái)為基礎(chǔ)，實(shí)現(xiàn)環(huán)境(特別是重點(diǎn)、敏感區(qū)域的視頻監(jiān)控)、資源（網(wǎng)絡(luò)資源、存儲(chǔ)資源、計(jì)算資源）、到活動(dòng)（網(wǎng)絡(luò)的開放架構(gòu)對(duì)定制業(yè)務(wù)的支持）的全部數(shù)字化。H3C的ITOIP解決方案，以IP技術(shù)為標(biāo)準(zhǔn)技術(shù)，利用SOA開放架構(gòu)實(shí)現(xiàn)對(duì)整體IT平臺(tái)的統(tǒng)一集成支撐。根據(jù)國家及教育部“十一五”規(guī)劃的總體目標(biāo)與要求，高校信息化“十一五”規(guī)劃的基本內(nèi)容如下：完善校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)，實(shí)現(xiàn)隨時(shí)隨地的上網(wǎng)，整體校園網(wǎng)絡(luò)高速暢通、安全可信、穩(wěn)定可靠；完善校園數(shù)據(jù)共享基礎(chǔ)平臺(tái)的建設(shè)，包括全校統(tǒng)一的信息資源庫、統(tǒng)一的電子身份認(rèn)證系統(tǒng)的建設(shè)；完善和創(chuàng)新網(wǎng)絡(luò)教學(xué)服務(wù)平臺(tái)，創(chuàng)建和創(chuàng)新網(wǎng)絡(luò)學(xué)術(shù)研究創(chuàng)新環(huán)境，完善電子校務(wù)系統(tǒng)與校園網(wǎng)絡(luò)文化建設(shè)，實(shí)現(xiàn)科研成果產(chǎn)業(yè)化，提高高校對(duì)區(qū)域行業(yè)的高科技輻射作用。應(yīng)該說，在“十一五”高校信息化發(fā)展戰(zhàn)略中，信息技術(shù)將成為校園的一項(xiàng)核心生產(chǎn)力，成為校園教學(xué)科研各項(xiàng)核心業(yè)務(wù)的最有力的支撐點(diǎn)。. 設(shè)計(jì)依據(jù)為了保證系統(tǒng)的既能適應(yīng)當(dāng)今網(wǎng)絡(luò)技術(shù)的發(fā)展，又具有極高的可靠性，本方案設(shè)計(jì)遵從以下標(biāo)準(zhǔn)：設(shè)計(jì)采用的主要法規(guī)和標(biāo)準(zhǔn)《高等學(xué)校管理信息標(biāo)準(zhǔn)》；《智能建筑設(shè)計(jì)標(biāo)準(zhǔn)》GB/T 503142000；《建筑與建設(shè)群綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)劃》GB/T 503122007《商業(yè)建筑通信基礎(chǔ)結(jié)構(gòu)管理規(guī)范》EIA／TIA 606《商業(yè)建筑通信接地要求》EIA／TIA 607《信息系統(tǒng)通用布線標(biāo)準(zhǔn)》EN 50173《信息系統(tǒng)布線安裝標(biāo)準(zhǔn)》EN 50174《中華人民共和國公共安全行業(yè)標(biāo)準(zhǔn)》 GA 308—2001《無線通信系統(tǒng)室內(nèi)覆蓋工程驗(yàn)收規(guī)范》YDT 51602007 《民用建筑電氣設(shè)計(jì)規(guī)范》JGJ/T1692《智能建筑設(shè)計(jì)標(biāo)準(zhǔn)》DBJ084795《建筑與建筑群綜合布線系統(tǒng)工程施工及驗(yàn)收規(guī)范》GB/T503122000《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》GB5017493《計(jì)算站場地技術(shù)要求》GB288789《計(jì)算站場地安全技術(shù)》GB936188《計(jì)算機(jī)機(jī)房用活動(dòng)地板的技術(shù)要求》GB665086《電子計(jì)算機(jī)機(jī)房施工及驗(yàn)收規(guī)范》SJ/T30003《低壓配電設(shè)計(jì)規(guī)范》GB5005495《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》GB5071493《計(jì)算站場地技術(shù)要求》GB288789《電氣裝置安裝工程接地裝置施工及驗(yàn)收規(guī)范》GB5016992《中華人民共和國公共安全行業(yè)標(biāo)準(zhǔn)》 GA/T7292《中華人民共和國公共安全行業(yè)標(biāo)準(zhǔn)》 GA/T7592《中華人民共和國公共安全行業(yè)標(biāo)準(zhǔn)》 GA/T7092 《中華人民共和國公共安全行業(yè)標(biāo)準(zhǔn)》 《建設(shè)工程勘察設(shè)計(jì)管理?xiàng)l例》《國家強(qiáng)制性標(biāo)準(zhǔn)條文》. 系統(tǒng)需求BBB大學(xué)本次整體建設(shè)將整合本部校區(qū)和YYY校區(qū)的信息化資源，實(shí)現(xiàn)整個(gè)BBB大學(xué)網(wǎng)絡(luò)的信息融合，使校園內(nèi)的各部門網(wǎng)絡(luò)互聯(lián)、滿足各種應(yīng)用業(yè)務(wù)、搭建一個(gè)資源共享傳輸平臺(tái)。本次網(wǎng)絡(luò)規(guī)劃對(duì)可靠性、穩(wěn)定性及安全性都提出了更高的要求，網(wǎng)絡(luò)設(shè)計(jì)要充分考慮先進(jìn)性、成熟性、可靠性、安全性、擴(kuò)展性；可控、可管、可運(yùn)營。 校本部網(wǎng)絡(luò)升級(jí)改造BBB大學(xué)校本部網(wǎng)絡(luò)經(jīng)過多年建設(shè)，目前以三臺(tái)思科C6509作為核心環(huán)網(wǎng)，接入了30余棟的樓宇，接入交換機(jī)以百兆接入為主，而且接入層特性已經(jīng)不能滿足目前層出不窮的ARP攻擊、DHCP攻擊等各類安全威脅，不能滿足IPv6網(wǎng)管特性，因此建議本部接入層設(shè)備應(yīng)改造為以千兆接入為主，徹底解決網(wǎng)絡(luò)接入安全，相應(yīng)的匯聚設(shè)備也需要升級(jí)，需要滿足大規(guī)模信息點(diǎn)匯聚流量轉(zhuǎn)發(fā)，支持萬兆上行擴(kuò)展，滿足未來5年的教學(xué)和辦公應(yīng)用；對(duì)于校本部的出口部分，未來整個(gè)BBB大學(xué)的CERNET、CERNET2出口（包括校本部和YYY校區(qū)）都在校本部；另外校本部和YYY校區(qū)分別有100M和500M的電信出口，需要做到兩個(gè)出口的負(fù)載分擔(dān)，充分利用現(xiàn)有的出口帶寬資源。因此對(duì)于校本部的出口部分，需要增加高性能出口路由器和萬兆防火墻，滿足高性能的NAT轉(zhuǎn)換、多出口的策略選錄、多出口互為備份、智能DNS解析的要求。 YYY新校區(qū)網(wǎng)絡(luò)建設(shè)YYY新校區(qū)要建設(shè)兩張大網(wǎng)，一張網(wǎng)是公用信息傳輸平臺(tái)的校園信息網(wǎng)，另一張網(wǎng)是對(duì)安全性要求高、與INTERNET隔離的數(shù)據(jù)傳輸專網(wǎng)，同時(shí)承載一卡通、安防、財(cái)務(wù)、醫(yī)保、園區(qū)廣播、園區(qū)智能控制等業(yè)務(wù)。因此，在設(shè)計(jì)網(wǎng)絡(luò)時(shí)要充分考慮高帶寬、高安全性和服務(wù)質(zhì)量（QOS）保證。 實(shí)現(xiàn)兩個(gè)校區(qū)用戶的統(tǒng)一身份認(rèn)證。 ，作為有線網(wǎng)絡(luò)的有效補(bǔ)充?？偨Y(jié)本次BBB大學(xué)網(wǎng)絡(luò)整體的建設(shè)需求如下：l 具備網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化能力——校園網(wǎng)的整體架構(gòu)具備更有效的容災(zāi)能力，以應(yīng)對(duì)故障節(jié)點(diǎn)、故障鏈路、路由震蕩所帶來對(duì)業(yè)務(wù)的影響；校園網(wǎng)需要具備萬兆到匯聚的能力、以及關(guān)鍵業(yè)務(wù)千兆到桌面的能力；l 具備網(wǎng)絡(luò)業(yè)務(wù)拓展能力——校園業(yè)務(wù)可平滑向下一代網(wǎng)絡(luò)遷移，向IPv6遷移兼容現(xiàn)有校園網(wǎng)環(huán)境，IPv6完全由分布式硬件完成，保護(hù)投資；校園業(yè)務(wù)可以隨時(shí)隨地使用，校園業(yè)務(wù)可以基于移動(dòng)漫游環(huán)境，移動(dòng)漫游環(huán)境無需管理者手工干預(yù)；l 具備安全滲透防御能力——校園網(wǎng)出口具備攻擊、非法業(yè)務(wù)的隔離、控制，具備在線主動(dòng)抵御的能力；校園核心網(wǎng)絡(luò)自身集成安全防御能力，縮小攻擊、病毒在校園影響范圍；用戶接入網(wǎng)絡(luò)屏蔽用戶非法操作，隔離網(wǎng)絡(luò)攻擊；l 利用現(xiàn)有校園網(wǎng)絡(luò)資源，整合視訊業(yè)務(wù)，提供豐富的網(wǎng)絡(luò)辦公、教學(xué)IT服務(wù)；l 利用現(xiàn)有校園網(wǎng)絡(luò)資源，整合校園監(jiān)控業(yè)務(wù)，實(shí)現(xiàn)平安校園的統(tǒng)一管理；l 實(shí)現(xiàn)整個(gè)校園網(wǎng)絡(luò)的集中統(tǒng)一智能化管理。. 系統(tǒng)設(shè)計(jì)原則及總體思路. 設(shè)計(jì)原則按照數(shù)字化校園建設(shè)理念，BBB大學(xué)將建設(shè)統(tǒng)一的校園數(shù)據(jù)中心（物理地點(diǎn)位于信息專業(yè)教學(xué)樓校園網(wǎng)絡(luò)管理中心內(nèi)），實(shí)現(xiàn)全部業(yè)務(wù)系統(tǒng)（財(cái)務(wù)系統(tǒng)外）統(tǒng)一的、基于IP方式的數(shù)據(jù)存儲(chǔ)。 BBB大學(xué)校園網(wǎng)應(yīng)該是高速、可控、相對(duì)開放、服務(wù)完善、資源豐富、交互特征明顯的網(wǎng)絡(luò)體系。為大容量的教學(xué)資源庫、課件資源庫、WEB、EMAIL、FTP、BBS、視頻服務(wù)器、數(shù)據(jù)庫服務(wù)器、各種流媒體和各種應(yīng)用平臺(tái)提供有力的支持。以及用于滿足日常教學(xué)、管理等工作，如電子校務(wù)系統(tǒng)、教學(xué)系統(tǒng)、學(xué)生管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)、數(shù)字圖書館、校園廣播、多媒體教學(xué)及音視頻點(diǎn)播、視頻會(huì)議及網(wǎng)上直播以及其他信息化業(yè)務(wù)應(yīng)用需求。1. 統(tǒng)一性原則。結(jié)合校園的整體建設(shè)情況，對(duì)包括建筑智能化在內(nèi)的數(shù)字化校園進(jìn)行整體規(guī)劃，應(yīng)用“統(tǒng)一平臺(tái)、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一網(wǎng)絡(luò)”的總體指導(dǎo)思想進(jìn)行設(shè)計(jì)、建設(shè)和實(shí)施。2. 先進(jìn)性原則。采用當(dāng)今國內(nèi)、國際上先進(jìn)和成熟的計(jì)算機(jī)軟硬件技術(shù)，使信息化系統(tǒng)能夠最大限度地適應(yīng)今后技術(shù)發(fā)展變化和業(yè)務(wù)發(fā)展變化的需要3. 實(shí)用性原則?？傮w規(guī)劃要把滿足未來幾年實(shí)際應(yīng)用需求、逐步實(shí)現(xiàn)數(shù)字校園作為第一要素進(jìn)行考慮。4. 可擴(kuò)充、可維護(hù)性原則。根據(jù)發(fā)展的要求，信息化規(guī)劃必須具有一定的擴(kuò)展能力，留有升級(jí)的余地，對(duì)此將采用結(jié)構(gòu)化、開放的、易于擴(kuò)展的體系結(jié)構(gòu)，保證可擴(kuò)充性，適應(yīng)持續(xù)發(fā)展需要。5. 可靠性原則。信息化系統(tǒng)對(duì)采用的技術(shù)、產(chǎn)品等要求其具有很高的可靠性。6. 安全性原則。對(duì)于一個(gè)大型的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，安全性對(duì)于保證系統(tǒng)長期不間斷的穩(wěn)定運(yùn)行尤其重要。7. 經(jīng)濟(jì)性原則。規(guī)劃首先應(yīng)在減少重復(fù)建設(shè)、避免資源浪費(fèi)的前提下進(jìn)行；在滿足應(yīng)用需求的目標(biāo)下，盡量選用性能價(jià)格比優(yōu)的設(shè)備。8. 資源數(shù)字化原則：資源數(shù)字化的程度反映了各個(gè)系統(tǒng)的應(yīng)用水平，也代表了校園綜合信息平臺(tái)的建設(shè)程度。在數(shù)字化校園中，已有的非數(shù)字化資源需要數(shù)字化，新的資源經(jīng)過數(shù)字化加入數(shù)據(jù)平臺(tái)中，因此需要建立起長期的數(shù)字資源集成的體制和機(jī)制。9. 信息標(biāo)準(zhǔn)化原則：在數(shù)字化校園的建設(shè)中應(yīng)遵循一定的標(biāo)準(zhǔn)，特別是公共信息的標(biāo)準(zhǔn)。各部門在建設(shè)信息管理系統(tǒng)時(shí)，只有遵循統(tǒng)一的信息標(biāo)準(zhǔn)，才能使不同部門建設(shè)的應(yīng)用系統(tǒng)之間數(shù)據(jù)相互流通共享。此外，BBB大學(xué)數(shù)字化校園建設(shè)應(yīng)遵循“總體規(guī)劃、分步實(shí)施、立足現(xiàn)狀、適度超前”的總體設(shè)計(jì)原則，采取標(biāo)準(zhǔn)化、統(tǒng)一數(shù)據(jù)庫、面向全局的綜合應(yīng)用方式，以即“統(tǒng)一數(shù)據(jù)庫，統(tǒng)一標(biāo)準(zhǔn)，統(tǒng)一開發(fā)平臺(tái)，統(tǒng)一用戶管理，統(tǒng)一門戶”及“集中設(shè)備、集中管理、集中應(yīng)用”的指導(dǎo)思想進(jìn)行規(guī)劃、設(shè)計(jì)及實(shí)施。并應(yīng)緊密結(jié)合BBB大學(xué)教學(xué)特色，將教學(xué)、實(shí)踐和應(yīng)用有機(jī)整合。1. 數(shù)字化校園建設(shè)是本校建設(shè)的重要部分，是一項(xiàng)基礎(chǔ)性、長期性和經(jīng)常性的工作，其建設(shè)水平是本校整體辦學(xué)水平、學(xué)校形象和地位的重要標(biāo)志。2. 數(shù)字化校園以網(wǎng)絡(luò)和環(huán)境建設(shè)作為基礎(chǔ)。提供先進(jìn)、快速、暢通的網(wǎng)絡(luò)和計(jì)算機(jī)環(huán)境，需要保證未來510年信息化建設(shè)的不斷穩(wěn)定發(fā)展。3. 數(shù)字化校園以教學(xué)和實(shí)訓(xùn)應(yīng)用為目標(biāo)。逐步實(shí)現(xiàn)學(xué)習(xí)、教學(xué)、實(shí)訓(xùn)、管理等各種業(yè)務(wù)應(yīng)用的數(shù)字化，創(chuàng)建高度信息化的校園教育環(huán)境。4. 數(shù)字化校園以信息資源建設(shè)作為核心。以豐富的信息資源保證活力和發(fā)展。5. 數(shù)字化校園以管理體制作為保證，建設(shè)并不斷完善信息化管理的各種規(guī)章制度及人才培養(yǎng)。. 設(shè)計(jì)思路校本部的網(wǎng)絡(luò)升級(jí)改造的大原則是不改變原有的星型網(wǎng)絡(luò)結(jié)構(gòu)，僅做設(shè)備的更新?lián)Q代。而YYY校區(qū)新校區(qū)項(xiàng)目，是一個(gè)網(wǎng)絡(luò)規(guī)模大，其應(yīng)用和復(fù)雜度也很高的園區(qū)網(wǎng)絡(luò)項(xiàng)目。對(duì)一個(gè)大型園區(qū)來說，通常會(huì)包括很多不同的部門或用戶群組在同時(shí)使用網(wǎng)絡(luò)，網(wǎng)絡(luò)上承載著各種不同的復(fù)雜教學(xué)應(yīng)用。分離學(xué)生上網(wǎng)、院系辦公、教學(xué)管理、外部科研院所業(yè)務(wù)，分布在不同大樓里的辦公室需要能夠共享資源，同時(shí)對(duì)Internet出口、郵件、公告等共享服務(wù)進(jìn)行集中控制管理。對(duì)于有業(yè)務(wù)和應(yīng)用隔離需求的用戶來說，傳統(tǒng)的物理網(wǎng)絡(luò)隔離方案已無法滿足需求：網(wǎng)絡(luò)重復(fù)建設(shè)、分散管理、安全策略難部署、無法提供統(tǒng)一的應(yīng)用服務(wù)等，都大大增加了用戶在網(wǎng)絡(luò)投資、建設(shè)和運(yùn)維、管理方面的負(fù)擔(dān)。傳統(tǒng)業(yè)務(wù)與承載關(guān)系圖l 網(wǎng)絡(luò)的安全復(fù)用問題，校園各個(gè)院系，各個(gè)業(yè)務(wù)之間有隔離需求，需要對(duì)物理網(wǎng)絡(luò)進(jìn)行安全的復(fù)用。l 動(dòng)態(tài)授權(quán)問題，各個(gè)信息接入點(diǎn)要求能夠根據(jù)接入者的身份進(jìn)行動(dòng)態(tài)的資源授權(quán)，實(shí)現(xiàn)動(dòng)態(tài)資源分配。l 資源共享問題，大型的數(shù)字園區(qū)建設(shè)要求數(shù)據(jù)大集中，以數(shù)據(jù)中心方式對(duì)各個(gè)院系、師生、公眾提高服務(wù)，需要解決資源的共享問題。由上可見校園網(wǎng)網(wǎng)絡(luò)的需求日益復(fù)雜，傳統(tǒng)網(wǎng)絡(luò)面臨很多問題無法解決。因此對(duì)于YYY新校區(qū)本方案將采用虛擬化設(shè)計(jì)，在同一張物理承載網(wǎng)上，邏輯劃分不同業(yè)務(wù)系統(tǒng)，界定其隔離與共享的關(guān)系；建立統(tǒng)一的的數(shù)據(jù)中心，實(shí)現(xiàn)業(yè)務(wù)的數(shù)據(jù)整合管理；利用網(wǎng)絡(luò)平臺(tái)對(duì)多業(yè)務(wù)的區(qū)分，實(shí)現(xiàn)不同業(yè)務(wù)端到端的、不同優(yōu)先等級(jí)的處理。建立統(tǒng)一的數(shù)字化校園支撐平臺(tái)管控中心；實(shí)現(xiàn)對(duì)設(shè)備、用戶、業(yè)務(wù)、安全等多系統(tǒng)的集成化、關(guān)聯(lián)化管理；實(shí)現(xiàn)集中管理，智能化管理，從而降低綜合擁有成本；增加管理系統(tǒng)的開放性，以實(shí)現(xiàn)管理系統(tǒng)對(duì)數(shù)字化校園上層應(yīng)用的無縫集成。因此虛擬化解決方案可以有效的解決網(wǎng)絡(luò)資源的安全復(fù)用，解決校園中各個(gè)院系、師生的安全隔離。如下圖所示：虛擬化設(shè)計(jì)示意圖虛擬化數(shù)字校園網(wǎng)整體解決方案中，集中解決了下面三個(gè)重要問題：1) 網(wǎng)絡(luò)接入控制：確保接入用戶的合法性和安全性，并能夠控制用戶的訪問權(quán)限；可以通過部署端點(diǎn)準(zhǔn)入控制系統(tǒng)，整合孤立的單點(diǎn)防御系統(tǒng)，加強(qiáng)對(duì)用戶的集中管理，統(tǒng)一實(shí)施校園安全策略，提高網(wǎng)絡(luò)終端的主動(dòng)抵抗能力。未通過認(rèn)證的用戶，被禁止接入網(wǎng)絡(luò)資源；通過認(rèn)證而未通過安全健康檢查的用戶，被限制只能訪問“隔離區(qū)”資源，在這里升級(jí)病毒庫、打補(bǔ)丁、卸載非法軟件等。通過安全認(rèn)證的用戶，由統(tǒng)一的策略管理服務(wù)器根據(jù)用戶的身份授權(quán)其訪問相應(yīng)的網(wǎng)絡(luò)資源，并進(jìn)行實(shí)時(shí)的安全狀態(tài)監(jiān)測。訪問權(quán)限動(dòng)態(tài)下發(fā)其中VPN表示校園業(yè)務(wù)，將用戶屬于某個(gè)組，對(duì)這個(gè)組進(jìn)行VPN訪問的授權(quán)，也就是將特定的資源授權(quán)給特定的用戶。這樣，無論用戶從網(wǎng)絡(luò)何處接入，都要進(jìn)行安全性檢查和認(rèn)證，認(rèn)證通過后由策略服務(wù)器統(tǒng)一下發(fā)配置使用戶獲得同樣的網(wǎng)絡(luò)資源訪問權(quán)限，大大提高了網(wǎng)絡(luò)接入的安全性和靈活性。2) 業(yè)務(wù)邏輯隔離：確保用戶群組獲得正確的資源和網(wǎng)絡(luò)流量的安全隔離；對(duì)校園網(wǎng)內(nèi)共用一個(gè)物理網(wǎng)絡(luò)傳輸各種應(yīng)用數(shù)據(jù)的橫向邏輯隔離需求，業(yè)界提供了三個(gè)非常適合于典型園區(qū)網(wǎng)絡(luò)設(shè)計(jì)的解決方案：VLANVLAN是一種二層邏輯用戶分組技術(shù)，已廣泛應(yīng)用并為各廠商設(shè)備所支持，這種方案配置靈活、簡單、易用性好。但由于其擴(kuò)展性差、收斂速度慢、故障定位和管理復(fù)雜等缺點(diǎn)，使之只適用與非常小型的分支網(wǎng)絡(luò)或網(wǎng)絡(luò)邊緣的接入層。VRFVRFVRFVRF方案利用了設(shè)備的虛擬路由轉(zhuǎn)發(fā)功能，來進(jìn)行園區(qū)內(nèi)部用戶的邏輯分組。配置接口與VRF的對(duì)應(yīng)關(guān)系建立端到端的數(shù)據(jù)隔離通道，支持三層路由、不必?fù)?dān)心與其他封閉組的地址重疊、支持多點(diǎn)用戶接入。但這種方案在增加用戶或業(yè)務(wù)時(shí)需要手工調(diào)整配置、用戶和終端的可移動(dòng)性差，適用于業(yè)務(wù)、網(wǎng)絡(luò)都相對(duì)非常固定的中小