【正文】 近些年來隨著當(dāng)代信息技術(shù)向教育的快速擴(kuò)展，知識(shí)的獲得和傳授方式發(fā)生了革命性的變化，同時(shí)教育的功能和目標(biāo)、教學(xué)的方法和模式也跟著在發(fā)生深刻的變化。 在核心交換機(jī)做 進(jìn)行分布式構(gòu)架 ， 7 建議對匯聚層設(shè)備進(jìn)行冗余，來保證網(wǎng)絡(luò)數(shù)據(jù)傳輸時(shí)不中斷。 因?yàn)樗袕S商的網(wǎng)絡(luò)管理軟件對自己的產(chǎn)品都有一定的增強(qiáng)功能， Quidview 配合 H3C的網(wǎng)絡(luò)設(shè)備， 用戶可以 則 根據(jù)自己的管理需要和網(wǎng)絡(luò)情況靈活 部署和管理 ，真正實(shí)現(xiàn)“按需建構(gòu)” 。而這兩服務(wù)器放置了大量關(guān)于學(xué)院和教師、學(xué)生的個(gè)人信息，這些信息數(shù)據(jù)一旦被黑客或者惡意人員非法攻擊和入侵，就會(huì)造成很嚴(yán)重的后果。 在網(wǎng)絡(luò)設(shè)備層次，通過設(shè)備的 acl軟件防火墻對穿梭在網(wǎng)絡(luò)中的流量作人為的防范和定義。 4． 計(jì)費(fèi)記帳方面： 我們在此次網(wǎng)絡(luò)設(shè)計(jì)中布署一套 H3C CAMS 認(rèn)證 計(jì)費(fèi) 系統(tǒng)， CAMS 綜合訪問管理服務(wù)器從企業(yè)用戶的網(wǎng)絡(luò)接入控制入手，提供對多種接入方式的支持，通過嚴(yán) 格的身份認(rèn)證、安全狀態(tài)評估和終端準(zhǔn)入控制功能，簡單、靈活地解決 華中農(nóng)業(yè)大學(xué)校園網(wǎng) 接入控制的問題，可以大幅度提升企業(yè)網(wǎng)絡(luò)的安全性和可管理性。支持用戶與設(shè)備 IP地址、接入端口、 VLAN、用戶 IP地址和 MAC地址等硬件信息的綁 定認(rèn)證，增強(qiáng)用戶認(rèn)證的安全性，防止賬號盜用和非法接入等諸多功能 在用戶授權(quán)方面可以控制用戶的上網(wǎng)帶寬（ QoS）、限制用戶的同時(shí)在線數(shù)、禁止用戶設(shè)置和使用代理服務(wù)器，有效防止個(gè)別用戶對網(wǎng)絡(luò)資源的過度占用等 諸多功能。 在此次網(wǎng)絡(luò)的建 設(shè)中， CAMS 通過與匯聚層交換機(jī)配合組網(wǎng)完成認(rèn)證計(jì)費(fèi)和端點(diǎn)準(zhǔn)入防御解決方案的組網(wǎng)與部署。 網(wǎng)絡(luò)管理設(shè)計(jì)方案 在此方案中我們采用 H3C的 Quidview 網(wǎng)絡(luò)管理系統(tǒng) ， Quidview網(wǎng)絡(luò)管理軟件是 H3C公司對全線數(shù)據(jù)通信設(shè)備進(jìn)行統(tǒng)一管理和維護(hù)的網(wǎng)管產(chǎn)品，位于網(wǎng)絡(luò)解決方案的管理層，能夠 10 實(shí)現(xiàn)網(wǎng)元管理、網(wǎng)絡(luò)管理的功能。 用戶通過選擇安裝不同的業(yè)務(wù)組件，可以實(shí)現(xiàn)設(shè)備管理、拓?fù)涔芾怼⒏婢芾?、性能管理、軟件升級管理、配置文件管理?VPN監(jiān)視與部署等多種管理功能。 在終端防御層次， 極力推薦 H3C 公司的 EAD（端點(diǎn)準(zhǔn)入防御）體系， 配合校園網(wǎng) 3600 系列接入層交換機(jī)及已存在網(wǎng)絡(luò)版的殺毒軟件如賽門鐵克、趨勢等等即可實(shí)現(xiàn)方便部署，同時(shí)也可以對所有上線用戶實(shí)現(xiàn)權(quán)限控制和異常行為監(jiān)控。事實(shí)上，多數(shù)企業(yè)、機(jī)構(gòu)都缺乏有效的制度和手段管理 網(wǎng)絡(luò)安全。但現(xiàn)有技術(shù)、產(chǎn)品對于網(wǎng)絡(luò)安全問題的解決，通常是 被動(dòng)防御 ， 事后補(bǔ)救 。 安全策略服務(wù)器是 EAD方案中的管理與控制中心 ， 是 EAD解決方案的 核心 組成部分， 實(shí)現(xiàn)用戶管理、安全策略管理、安全狀態(tài)評估、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能。 CAMS綜合接入管理平臺(tái)作為安全策略服務(wù)器，提供標(biāo)準(zhǔn)的協(xié)議接口，支持同交換機(jī)、路由器等各類網(wǎng)絡(luò)設(shè)備的安全聯(lián)動(dòng)。 無線接入網(wǎng)絡(luò)的安全防護(hù) WLAN接入的用戶終端具有漫游性，經(jīng)常脫離企業(yè)網(wǎng)絡(luò)管理員的監(jiān)控，容易感染病毒和木馬或出現(xiàn)長期不更新系 統(tǒng)補(bǔ)丁的現(xiàn)象，給網(wǎng)絡(luò)帶來安全隱患。對于沒有安裝 EAD安全客戶端的遠(yuǎn)程用戶，管理員可以選擇拒絕其訪問內(nèi)部網(wǎng)絡(luò)或限制其訪問權(quán)限。這種組網(wǎng)方式在開放型的商業(yè)企業(yè)中比較普遍，受到的安全威脅也更嚴(yán)重。通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，有效管理網(wǎng)絡(luò)安全，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理，讓網(wǎng)絡(luò)擁有“自動(dòng)免疫”的安全機(jī)能。對于關(guān)鍵的設(shè)備需要支持關(guān)鍵部件的冗余和熱插拔功能。網(wǎng)絡(luò)在硬件和軟件上考慮防止非法入侵和破壞的能力，主干網(wǎng)要能抑制廣播風(fēng)暴和地址過濾。 H3C Catalyst 系列交換機(jī)中 Remote SPAN 功能可以遠(yuǎn)程映射端口流量進(jìn)行分析，方便故障診斷。 對于二層協(xié)議： ，可以自定義一部分 VLAN 以鏈路 1 為主鏈路，鏈路 2為備份；對另一部分 VLAN 以鏈路 2 為主鏈路， 鏈路1 為備份。 建議采用 H3C SAFE（ Security Architecture for Enterprise 企業(yè)安全體系結(jié)構(gòu)）為宜昌供電公司網(wǎng)絡(luò)提供整體的、可擴(kuò)展的、高性能的、靈活的安全解決方案。 針對網(wǎng)絡(luò)存在各種安全隱患，安全路由器必須具有如下的安全特性：可靠性與線路安全、身份認(rèn)證、訪問控制、信息隱藏、數(shù)據(jù)加密、攻擊探測和防范、安全管理等方面的內(nèi)容。下 面是一些常規(guī)的網(wǎng)絡(luò)安全解決手段： ? 信息傳輸安全（動(dòng)態(tài)安全）：數(shù)據(jù)加密，數(shù)據(jù)完整性鑒別。 網(wǎng)絡(luò)系統(tǒng)的安全是一個(gè)涉及系統(tǒng)各個(gè)部件的問題，因此解決安全的手段也必須是一個(gè)系統(tǒng)的方案，一般來說網(wǎng)絡(luò)系統(tǒng)的安全需要從以下幾個(gè)方面來加以解決： ? 網(wǎng)絡(luò)本身 ? 主機(jī)與應(yīng)用系統(tǒng) ? 用戶認(rèn)證 ? 行政管理 要指出的是，網(wǎng)絡(luò)安全的解決是一個(gè)復(fù)雜的系統(tǒng)問題，需要從系統(tǒng)的各個(gè)層面加以解 17 決，我們在建議 采用的是一個(gè)循序漸進(jìn)的解決策略，即首先實(shí)現(xiàn)基本的安全策略，再考慮更深入的安全解決方案。 同樣，在 Novell IPX和 Apple AppleTalk協(xié)議中，也可相應(yīng)地設(shè)置各自的包過濾規(guī)則。并且這樣的時(shí)間段可以方便地提供給其他的功能模塊使用，如地址轉(zhuǎn)換、 IPSec等。 CAMS作為企業(yè)網(wǎng)的用戶管理中心，在基本的 AAA（ Authorization、 Authentication and Accounting）功能之上， 提供了多業(yè)務(wù)融合的管理、維護(hù)和安全控制平臺(tái)，可與企業(yè)現(xiàn)有系統(tǒng)平滑對接，構(gòu)建可管理、可運(yùn)營、高安全的企業(yè)網(wǎng)絡(luò)。 支持 自適應(yīng)包月：用戶使用包月計(jì)費(fèi)策略時(shí)，其包月費(fèi)用的收取根據(jù)用戶的實(shí)際使用情況而定。 支持時(shí)段優(yōu)惠：在正常費(fèi)率的基礎(chǔ)上對在某些時(shí)段的接入給予一定的折扣優(yōu)惠，如周末優(yōu)惠、假日優(yōu)惠等。 CAMS支持用戶信息、上網(wǎng)明細(xì)、用戶賬單和繳費(fèi)記錄的手工和自動(dòng)導(dǎo)出，方便與第三方賬務(wù)管理系統(tǒng)的對接。 基于 WEB的用戶預(yù)注冊，用戶可以先通過 WEB填寫用戶信息后，再到營業(yè)廳正式開通賬號，保證用戶信息的準(zhǔn)確性，減輕管理員的維護(hù)工作量。 統(tǒng)計(jì)每天（月）的上網(wǎng)流量和時(shí)長，掌握網(wǎng)絡(luò) 使用情況。 ? 簡單易用的用戶自助 CAMS提供基于 WEB的終端用戶自助服務(wù)。 第 三 章 華中農(nóng)業(yè)大學(xué)網(wǎng)絡(luò)設(shè)備選型 防火墻 吞吐量：防 火墻串接在網(wǎng)絡(luò)出入口處，對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行檢查，如防火墻缺乏足夠的吞吐量，則可能對網(wǎng)絡(luò)性能影響極大，因此防火墻產(chǎn)品必須具有一定的吞吐量保證。 平臺(tái)自身安全性：防火墻自身往往成為很多網(wǎng)絡(luò)攻擊的對象，因此其自身應(yīng)該有足夠的強(qiáng)度保證自身平臺(tái)的安全。 華中農(nóng)業(yè)大學(xué)用的是雙出口，所以需對 F1800A 配置個(gè) 4EF 的快速以太口模塊來滿足應(yīng)用。 H3C 22 S3600 以太網(wǎng)交換機(jī)交換容量為 32G， 為交換機(jī)所有的端口提供線速交換能力， H3C S3600系列交換機(jī)支持 EAD（端點(diǎn)準(zhǔn)入防御）功能，配合后臺(tái)系統(tǒng)可以將終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接 入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系，通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威脅的整體防御能力。本次網(wǎng)絡(luò)也面臨著同樣的問題，針對以上情況，我們選擇使用 H3C的 Quidview 網(wǎng)絡(luò)管理系統(tǒng)，方便用戶監(jiān)控、維護(hù)和管理各自的網(wǎng)絡(luò)。 網(wǎng)絡(luò)管理框架（ Network Management Framework， NMF）：提供 Quidview 網(wǎng)管的一些基礎(chǔ)功能，比如用戶管理、拓?fù)涔芾怼?shù)配置、日志管理、告警管理、性能管理、設(shè)備日志管理等基礎(chǔ)功能，是實(shí)現(xiàn)其他業(yè)務(wù)特性的基礎(chǔ)組件； 網(wǎng)絡(luò)管理框架中小企業(yè)版 (Network Management FrameworkSmall to Medium Business，NMFSMB）：提供了設(shè)備自動(dòng)發(fā)現(xiàn) 、拓?fù)涔芾?、告警管理、?shí)時(shí)監(jiān)視功能、網(wǎng)管用戶管理等基礎(chǔ)功能，是實(shí)現(xiàn)其他業(yè)務(wù)特性的基礎(chǔ)組件； 設(shè)備管理系統(tǒng)（ Device Manager， DM）：該組件既包含在管理框架中，又可以單獨(dú)安裝，可以提供對交換機(jī)設(shè)備和路由器設(shè)備的設(shè)備面板顯示、配置管理、實(shí)時(shí)監(jiān)控功能； 23 認(rèn)證計(jì)費(fèi)系統(tǒng) 隨著以 IP 網(wǎng)絡(luò)為傳輸平臺(tái)的業(yè)務(wù)應(yīng)用的不斷豐富，越來越多的企業(yè)開始意識(shí)到對網(wǎng)絡(luò)用戶進(jìn)行接入控制的必要性。 此外， CAMS 綜合管理服務(wù)器根據(jù)校園網(wǎng)、園區(qū)網(wǎng)等小型運(yùn)營網(wǎng)絡(luò)的管理經(jīng)驗(yàn)和發(fā)展趨勢，在以業(yè)務(wù)開通、運(yùn)營和保障為核心的電信級管理理念的引 導(dǎo)下，開發(fā)了許多提升網(wǎng)絡(luò)可運(yùn)營和可管理性的特色功能。由匯聚層交換機(jī)完成網(wǎng)絡(luò)訪問控制，管理上更為方便。保證服務(wù)質(zhì)量的另一種有效的手段是通過擁塞管理（ Congestion Management）、擁塞避免（ Congestion Avoidance）、交通整形 （ Traffic Shape）等策略對網(wǎng)絡(luò)上的流量進(jìn)行的管理，以解決網(wǎng)上不斷增長的流量需求帶來的問題。由于 IP 優(yōu)先級使用 IP報(bào)文頭標(biāo)識(shí)服務(wù)類型的字節(jié)中的三個(gè)比特位表示，分類的結(jié)果可以在 IP網(wǎng)絡(luò)中傳播。 ? CAR(Committed Access Rate) 朹允許訪問速率 CAR 是一種帶寬管理機(jī)制。對于超出分配帶寬的業(yè)務(wù)， CAR 利用擴(kuò)展 ACL（訪問列表）制定處理策略，包括修改分組的優(yōu)先級、丟棄分組等。 WRED 在檢測到網(wǎng)絡(luò)擁塞的情況下，按照一定的策 略對優(yōu)先級高的業(yè)務(wù)優(yōu)先處理，既保證了高優(yōu)先級業(yè)務(wù)處理的及時(shí)性，同時(shí)也不會(huì)加劇網(wǎng)絡(luò)的擁塞程度。管理員可以通過應(yīng)用不同的隊(duì)列機(jī)制，配置不同的擁塞策略，為不同的 業(yè)務(wù)提供不同的服務(wù)。當(dāng)擁塞發(fā)生時(shí)，分組依據(jù)預(yù)先配置的規(guī)則分成四類，按照先進(jìn)先出的策略分別進(jìn)入四個(gè)優(yōu)先級不同的隊(duì)列。當(dāng)擁塞發(fā)生是，分組依據(jù)預(yù)先配置的規(guī)則分成 17 類，按照先進(jìn)先出的策略分別進(jìn)入 1個(gè)系統(tǒng)隊(duì)列和 16個(gè)用戶隊(duì)列。 WFQ將分組按照不同的業(yè)務(wù)流、不同的 IP優(yōu)先級劃分成不同的隊(duì)列，在保證高優(yōu)先級業(yè)務(wù)的同時(shí)，將帶寬公平地分給低優(yōu)先級別的業(yè)務(wù)。 H3C 路由器支持 RSVP信令，支持為端用戶預(yù)留網(wǎng)絡(luò)資源，并采用 WFQ 隊(duì)列機(jī)制保證特定業(yè)務(wù)對帶寬和延遲的需求。 H3C產(chǎn)品提供了實(shí)現(xiàn) VPN所需要的下列功能： 提供了基于 IP/IP、 Generic Routing Encapsulation (GRE) tunnels、 Layer 2 Tunneling Protocol (L2TP)、 IPSec的各種 IP Tunnel技術(shù)來實(shí)現(xiàn) VPN 提供了基于 Multiprotocol Label Switching(MPLS)的 VPN實(shí)現(xiàn)方式 以端到端的 QOS來實(shí)現(xiàn)對不同需求的 VPN業(yè)務(wù)提供分類服務(wù) 實(shí)現(xiàn)網(wǎng)絡(luò)層加密和防火墻，保證數(shù)據(jù)安全 27 H3C產(chǎn)品 VPN組網(wǎng)圖 下面具體描述 VPN的構(gòu)建，其他 QOS保證請參照相關(guān)部分。 設(shè)計(jì)中的北京公眾網(wǎng)應(yīng)該能同時(shí)支持播號接入 VPN和專線 VPN。 PPP適合區(qū)分不同的用戶，比如撥號用戶、采取專線直連的對端路由器等等，因?yàn)镻PP可以得到對端的用戶名。 1）使用 IPSec：則國內(nèi)的加密產(chǎn)品與國外的加密產(chǎn)品不能互通。在這一點(diǎn)上，國內(nèi)的加密產(chǎn)品（不止路由器）與國外的加密產(chǎn)品應(yīng)該是不能進(jìn)行互通的。 如果要使用 IPSec組建 VPN，建議采用國內(nèi)提供 IPSec功能的路由器?？紤]到在實(shí)際運(yùn)營過程中，北京公眾網(wǎng)需要同時(shí)支持很多個(gè) VPN，為了簡化 IP 地址的規(guī)劃、分配、維護(hù)，我們推薦利用 MPLS來實(shí)現(xiàn) VPN。網(wǎng)絡(luò)接入設(shè)備PE 與用戶設(shè)備之間支持以 EBGP、 RIP和靜態(tài)配置等方式實(shí)現(xiàn)路由。 ? VPN的可擴(kuò)展性： H3C的接入設(shè)備支持 1000個(gè) VPN，在接入節(jié)點(diǎn)上，每個(gè) VPN都有獨(dú)占的路由表，公用一個(gè)標(biāo)簽轉(zhuǎn)發(fā)表。H3CNetEngine系列骨干路由器支持 BGP 反射器功能，把網(wǎng)絡(luò)中的 IBGP連接數(shù)目減少到 N。 在隧道協(xié)議中實(shí)現(xiàn)了自動(dòng)定時(shí)檢測的功能 可以直接在 IP Tunnel的基礎(chǔ)上配置動(dòng)態(tài)路由協(xié)議，由路由協(xié)議來保證連通性 H3CIP 多播解決方案 隨著網(wǎng)絡(luò)帶寬的不斷增加，使得網(wǎng)絡(luò)多媒體應(yīng)用成為可能， Mbone 上已經(jīng)出現(xiàn)了很多視頻點(diǎn)播和音頻點(diǎn)播服務(wù)。 PIM SM 協(xié)議適用于覆蓋范圍較大的網(wǎng)絡(luò)， PIM DM協(xié)議適用于范圍較小，