【正文】 流合理調配，均勻分配在 A 與Ｂ上，同時用戶還可以根據不同的應用來接入到不同的服務器上面，如：下載視頻業(yè)務的用戶讓其訪問服務器 A，而下載圖片或是學習資料的用戶讓其訪問服務器 B，這種靈活的策略讓整個網絡的速度提高，不會出現(xiàn)服務器的高負荷，提高用戶訪問速度。所以此項功能又是非常必要的。 NE05 策略路由具有如下特點： NE05 支持多層策略路由，支持基于 MAC 地址、端口、 VLAN ID、源 IP 地址（組）、目的 IP 地址（組）、源 TCP 端口（組）、目的 TCP 端口（組）、源 UDP端口（組）、目的 UDP 端口（組）、協(xié)議類型、 TCP 報文類型和 ICMP 報文類型等以及它們之間的組合的策略路由。 如圖 1 所示： NE05 的多 ISP 解決方案組網圖 在上面的組網中，校園網內的用戶通過教育網訪問教育網站，通過運營商網絡訪問國外和國內收費網站。 出口路由器的 ACL 的功能 考慮的學校出口路由器需要提供策略路由的功能，因此要求能夠提供很高的性能，如：硬件的 ACL 功能，出口路由器上必須要做硬件的 ACL， ACL 策略的執(zhí)行不影響路由器的性能。這樣學校便攜機使用者能夠方便的使用學校的網絡資源，同時學校有能夠對移動用戶進行管理監(jiān)控。 QOS 功能 Qos 對于網絡的應用來說是非常重要的，考慮到學校未來要增加多種的業(yè)務，如：流媒體點播、視頻點播等，這要求全網能夠提供強大的 Qos 的功能，華為 3 的 S851 S650 NE05 全網產品可以為用戶提供豐富的 Qos 保證，華為3 公司支持 QoS 技術中的 PQ/CQ/WFQ/LLQ/CBWFQ 等轉發(fā)隊列優(yōu)先保 證機制，所攜帶的 IP 地址段、 TOS 值、源端口號等均可實現(xiàn)業(yè)務的保證，同時可以針對不同的接入層交換機端口或是不同業(yè)務進行端口的限速，以提高全網的 Qos 業(yè)務的保證。由 S6503 完成對其下掛的匯聚交換機以及樓道交換機的組播用戶進行報文復制和發(fā)送。 網絡教學：使用視頻和通訊設備實現(xiàn)一點對多點或點對點的交互式異地遠端教學，實現(xiàn)學生和教師的實時交流，學生還可隨時進行學習點播和查詢。要與網絡拓撲層次結構相適應，既要有效地利用地址空間，又要體現(xiàn)出網絡的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，以便于網絡中的路由聚類，減少路由器 中路由表的長度，減少對路由器CPU、內存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮到網絡地址的可管理性。 北京科技大學校園網 IP 地址規(guī)劃方案 1） IP 地址的設計 內部地址的分配原則是按建筑物進行的，視用戶的數(shù)量， 1/ 1/整個私網的劃分。 3）對于固定 IP 地址用戶，需要針對標識符（ MAC 地址）設定保留 IP 地址。 不同 VLAN 間的互訪，必須經過三層交換機進行轉發(fā)。在 Web Server 上安裝了網管軟件后，其它網管機器不用預裝網管軟件，只須安裝了 WEB 瀏覽器并且設備能上網 ，就能使用 QuidView 系統(tǒng)管理 。 功能 功能 描述 路由器設備視圖 設備端口的配置情況：端口個數(shù)、端口種類、端口當前狀態(tài)等 路由器設備整體配置信息 系統(tǒng)信息（系統(tǒng)描述、系統(tǒng)標識、重啟時間、所在地、設備名、聯(lián)絡方式）、地址轉換表、接口表、IP 表、 IP 路由表、 TCP 聯(lián)接表。 、用戶嚴格隔離 方法一：用 Vlan 隔離。 方法三：使用以太網 MUX 設備。對于靜態(tài) IP 地址分配方案，接入層交換機可在操作界面中實現(xiàn)用戶的 VLAN ID+IP+MAC 綁定關系的指定；對于動態(tài) IP 地址分配方案，在 IP 地址動態(tài)分 配后，接入層交換機可實現(xiàn)用戶的 VLAN ID+IP+MAC 的綁定。為解決 DHCP Smurf，在以太網接入時，對用戶劃分 Vlan，由匯聚層交換機控制一個 Vlan 下申請的最大 IP 地址數(shù)，當該 Vlan 的 IP 地址數(shù)目達到限制值后，拒絕新的 DHCP 申請。然后通過華為的網絡管理系統(tǒng)Quidview 的 MAC 地址和 IP 地址的反向查找功能，就可以根據源 IP 或源 MAC 在Quidview 網管上查到該用戶所在的交換機以及在該交換機上所接的端口，通過這種方式可以立刻定位用戶，方便對于大型網絡的管理，能夠方便快捷的防止惡意用戶的攻擊。 ? 告 警實時監(jiān)視，提供告警聲光提示，支持外接告警箱 ? 支持告警轉到 Email、手機短信 ? 支持告警過濾，讓用戶關注重要的告警，查詢結果可生成報表 ? 支持告警基級別重新定義，支持告警轉存，保證系統(tǒng)的運行效率和穩(wěn)定性 ? 支持告警拓撲定位，將顯示的焦點定位到產生選定告警的拓撲對象 ? 支持告警相關性分析，包括屏蔽重復告警、屏蔽閃斷告警、屏蔽rootcause 告警等 集群管理 針對本次組網中大量二層交換機等低端設備的應用環(huán)境， Quidview 網絡管理軟件提供集群管理功能，通過一個指定公網 IP 的設備（稱作命令 交換機）對網絡進行管理。 針對用戶關注的業(yè)務性能， Quidview 網絡管理軟件提供了基于報文流七元組信息的流量工具―― NSCamp。 端口反查功能支持兩種方式的查找定位功能： MAC 地址端口反查和 IP 地址端口反查，使用時分別輸入終端用戶的 MAC 地址或 IP 地址，能夠定位該終端用戶連接的交換機及交換機的端口，幫助網絡管理員及早定位非法報文接入網絡的原始端口，及時關閉端口，防止一些違規(guī)用戶進行非法操 作比如濫發(fā)報文、訪問非法站點等，危害網絡安全。 ? 通過定期輪詢機制，幫助用戶及時了解網絡關鍵設備的在線情況。 提供統(tǒng)一的任務機制，使用戶對網絡運維管理能夠統(tǒng)一流程 組網安全性設計 網絡當中，線路的備份非常重要，北京科技大學的網絡的設計當中，我們在核心層采用環(huán)網的方式進行組網，這樣可以在采用擴大帶寬的同時實現(xiàn)線路上的備份，當其中一條線路出現(xiàn)故 障，可以通過環(huán)網實現(xiàn)線路的接替。Quidway? S850 。 出口運營商線路備份 北京科技大學的出口建議采用多 ISP 的方式，以確保校園網絡的可靠性，但是在實際的應用當中可能會產生 ISP 服務商線路終端的問題，因此學校可以在出口路由器上配置備份策略，當一個 ISP 服務商的線路出現(xiàn)問題的情況下，可以選擇有限級較低的策略從其他的 ISP 出口上網實現(xiàn) ISP 線路的備份。 ? 提供設備配置文件管理功能，幫助用戶建立配置文件版本管理機制，減少災難情況下網絡的恢復時間。 ? Web 日志追蹤查詢 提供 Web 特性，具有完善的安全機制，用戶可隨時隨地管理網絡，降低管理網絡的難度與強度，使網絡運維過程流程化，能夠靈活地組織設備集合，快捷地獲得設備各類信息。其中，網流收集器（ NSC， NetStream Collector）提供快速的網流設備數(shù)據收集工具，包含的功能： ? 收集多個網流設備輸出的網流統(tǒng)計數(shù)據； ? 通過配置過濾器過濾掉不必要的數(shù)據； ? 通過聚合減少統(tǒng)計數(shù)據的磁盤空間占用量； ? 分層次存儲數(shù)據（便于客戶端應用程序獲取數(shù)據 ）； 網流數(shù)據分析器（ NDA， NetStream Data Analyzer）可以分析由 NSC 生成的所有數(shù)據文件，對數(shù)據文件中的數(shù)據進行進一步的聚合、排序，并將分析的結果以各種圖形方式（如柱狀圖、餅圖和趨勢圖等）顯示出來，提供如下功能： ? 詳細自治域矩陣數(shù)據查詢功能 ? 網流分布的圖形化分析 ? 詳細自治域矩陣流量分析功能 故障定位與地址反查 針對最為常見的端口故障， Quidview 網絡管理軟件提供了便捷的定位檢測工具――路徑跟蹤和端口環(huán)回測試；當用戶報告網絡端口使用異常時，網絡管理員可以通過網管對指 定用戶端口做環(huán)回測試，直接定位端口故障。 Quidview 提出了層次化性能監(jiān)控的概念，針對不同的側重點，提供不同的性能監(jiān)控工具。 網絡集中監(jiān)視 Quidview 網絡管理軟件提供統(tǒng)一拓撲發(fā)現(xiàn)功能，實現(xiàn)全網監(jiān)控，可以實時監(jiān)控所有設備的運行狀況，并根據網絡運行環(huán)境變化提供合適的方式對網絡參數(shù)進行配置修改， 保證網絡以最優(yōu)性能正常運行。 、惡意用戶追查 對每個用戶分配一個賬戶，使用 CAMS 管理用戶。 、防止對 DHCP 服務器的攻擊 使用 DHCP Server 動態(tài)分配 IP 地址會存在兩個問題：一是 DHCP Server 假冒，用戶將自己的計算機設置成 DHCP Server 后會與局方的 DHCP Server 沖突；二是用戶 DHCP Smurf，用戶使用軟件變換自己的 MAC 地址，大量申請 IP 地址，很快將 DHCP 的地址池耗光。用戶端口之間不能通信， Uplink 口可以和所有端口通信。 方法二：利用 PVlan 技術。 TCP/IP 網絡本身就存在很多安全漏洞，很容易被一些惡意用戶利用并實施攻擊，或非法占用網絡資源，侵犯其它用戶的合法利益，甚至導致整個網絡系統(tǒng)崩潰。 支持多種操作系統(tǒng)平臺 純 Java 的實現(xiàn)，保證 QuidView 無須修改便能運行于當前主流 的各種平臺之上。 特性 該系統(tǒng)采用開放式結構設計，嚴格遵守標準的 SNMP 協(xié)議（ RFC1157），主要使用 RFC1213 定義的 MIB 信息，具有投資省、使用靈活、易于移植等特點： 使用靈活 QuidView 系統(tǒng)的使用方式非常靈活，既可以作為設備級的應用程序集成到已有的網管平臺（如： HPOpenView、 RadiumsNMS、 SNMPC、 NetManager）中進行網絡級管理，又可以作為獨立的應用程序執(zhí)行進行設備級管理。 對一層 樓一個 VLAN ①本層樓的內部互訪無須經過三層交換機，優(yōu)化了組網。靜態(tài) IP 地址對于用戶來說可以實現(xiàn)對應物理位置的查詢，對全網的 IP 地址與物理位置的對應有全面、可靠的管理。 主流的 IP 地址規(guī)劃方案分為純公網地址、純私網地址和混合網絡地址三種。 IP 地址規(guī)劃的好壞，影響到網絡路由協(xié)議算法的效率，影響到網絡的性能，影響到網絡的擴展，影響到網絡的管理，也必將直接影響到網絡應用的進一步發(fā)展。 付費視頻：按節(jié)目收費的視訊節(jié)目。同時 NE05 支 持目前業(yè)界主流的 MPLS VPN 技術，包括 martini、Kampala、 CCC 等二層 MPLS VPN 技術，而且支持三層 MPLS VPN 功能。 接入層防 Proxy 的功能 考慮到大學學生的技術性較強，在實際的應用的過程當中應當充分考慮到學生的 Proxy 的使用，對于 Proxy 的防止，華為 3 公司 E050/E026 配合華為 3公司的 的客戶端，一旦檢測到用戶 PC 機上存在兩個活動的 IP 地址（不論是單網卡還是雙網卡）， E050/E026 將會下發(fā)指令將該用戶直接踢下線。 E 系列接入層交換機 端口＋ IP 地址的綁定： 對于學生宿舍區(qū)的用戶上網的安全性非常重要，華為 E050/E026 可以做到，端口＋ IP 地址的綁定關系，一般的 的認證的采用的是 MAC＋ IP 地址的綁定關系，但是由于學校學生畢業(yè) 流動的緣故， PC 機的 MAC 地址會不斷的發(fā)生變化，學生的 PC 機隨機的發(fā)生變化使得學校無法對整網進行維護，而且無法防止學生 IP 地址欺騙的攻擊，因此建議學校采用 IP 地址＋端口的綁定關系，如：每個宿舍分配一個 IP 地址，當用戶通過 客戶端認證通過以后用戶便可以實現(xiàn) IP 地址＋端口＋用戶 ID 的綁定，這種方式具有很強的安全特性：防 的攻擊，防止用戶的 IP 地址的欺騙，對于更改 IP 地址的用戶（ IP 地址欺騙的用戶）可以實現(xiàn)強制下線。使得在任何一個 ISP 網絡出現(xiàn)問題時，校園網內訪問外部網站的流量可以切換到另外一個 ISP 作為出口。 NE05 的策略路由通過硬件實現(xiàn)，在策略路由滿配置條件下通過策略路由轉發(fā)的報文可以達到線速，對通過普通路由的報文轉發(fā)沒有任何影響； NE05 的策略路由可以實現(xiàn)與普通路由的備份，如果策略路由下一跳失效，可以通過普通路由轉發(fā)； NE05 的策略路由可以實現(xiàn)與 NAT 配合，應用于多 ISP NAT，例如： NE05 配合 NAT 路由器多 ISP 解決方案，在校園網中， NE05 不僅可以作為校園網的核心交換機承擔校園網內線 速的二三層轉發(fā)，同時配合校園網的出口節(jié)點，可以根據源（或目的等） IP 地址策略指定不同的 ISP，選擇不同的上網通路，并同時通過 NE05 配合 NAT 路由器