【正文】 能夠與內(nèi)網(wǎng)的WSUS服務(wù)器進(jìn)行聯(lián)動，引導(dǎo)用戶使用WSUS的服務(wù)進(jìn)行Windows補丁自動更新，幫助內(nèi)網(wǎng)的用戶主機(jī)及時更新操作系統(tǒng)補丁，避免因為操作系統(tǒng)漏洞帶來的安全隱患威脅。產(chǎn)品主要配合銳捷設(shè)備使用，提供圖形化的配置界面，實現(xiàn)對設(shè)備配置修改,從而大大降低管理員的維護(hù)強(qiáng)度和難度。協(xié)議允許應(yīng)用逐漸從IPv4過渡到IPv6。由于無線局域網(wǎng)接入點設(shè)備，需要上聯(lián)到有線網(wǎng)絡(luò)的交換機(jī)上，以實現(xiàn)無線網(wǎng)絡(luò)用戶融入有線網(wǎng)絡(luò)的目的。支持NFPP技術(shù)。豐富的組播特性支持IGMP源端口檢查功能，有效地杜絕非法的組播源，提高網(wǎng)絡(luò)的安全性；支持和識別IGMPv1/v2和IGMPv3全部版本的組播報文，適應(yīng)不同組播環(huán)境，避免非法的組播數(shù)據(jù)流占用網(wǎng)絡(luò)帶寬，滿足組播安全應(yīng)用的需要。高性能PBR根據(jù)用戶制訂的策略路由，基于源接口更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機(jī)制。符合公安部82號令的NPE日志包括：Flow流日志：源IP、目的IP、源端口、目的端口、流起始時間、結(jié)束時間、接受字節(jié)數(shù)，發(fā)送字節(jié)數(shù)等關(guān)鍵信息出口NAT日志：經(jīng)過NAT轉(zhuǎn)換前的源IP地址、源端口，經(jīng)過NAT轉(zhuǎn)換后的源IP地址、源端口，所訪問的目的IP、目的端口、協(xié)議、開始時間、結(jié)束時間等關(guān)鍵信息URL日志：可以記錄網(wǎng)絡(luò)內(nèi)部用戶對Internet訪問的URL日志記錄設(shè)備日志：設(shè)備狀態(tài)，系統(tǒng)事件日志攻擊日志：設(shè)備網(wǎng)絡(luò)受到攻擊的日志信息和銳捷認(rèn)證系統(tǒng)（SAM、GSN）無縫對接，將用戶認(rèn)證上網(wǎng)信息和出口日志結(jié)合起來，實現(xiàn)快速的用戶上網(wǎng)信息統(tǒng)計和違規(guī)用戶定位。但是，對于2條以上鏈路，以及同一運營商有多根相同鏈路情況下（如2根電信），是無法區(qū)分目的地址的。根據(jù)泰爾實驗室測試，顯示RGNPE60：每秒高達(dá)30萬條的NAT新建連接會話。RGS2900E交換機(jī)在提供智能的流分類、完善的服務(wù)質(zhì)量（QoS）和組播應(yīng)用管理特性同時，并可以根據(jù)網(wǎng)絡(luò)實際使用環(huán)境，實施靈活多樣的安全控制策略，可有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊，控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理使用網(wǎng)絡(luò)資源，充分保障網(wǎng)絡(luò)安全和網(wǎng)絡(luò)合理化使用和運營。IPv4/IPv6雙協(xié)議棧多層交換硬件支持IPv4/IPv6雙協(xié)議棧多層線速交換，硬件區(qū)分和處理IPvIPv6協(xié)議報文，可根據(jù)IPv6網(wǎng)絡(luò)的需求規(guī)劃網(wǎng)絡(luò)或者維持網(wǎng)絡(luò)現(xiàn)狀，提供靈活的IPv6網(wǎng)絡(luò)通信方案；支持豐富的IPv4路由協(xié)議，包括靜態(tài)路由、RIP、OSPF、BGP4等，滿足不同網(wǎng)絡(luò)環(huán)境中用戶選擇合適的路由協(xié)議靈活組建網(wǎng)絡(luò)；支持豐富的IPv6路由協(xié)議，包括靜態(tài)路由、RIPng、OSPFvBGP4+等，不論是在升級現(xiàn)有網(wǎng)絡(luò)至IPv6網(wǎng)絡(luò)，還是新建IPv6網(wǎng)絡(luò)，都可靈活選擇合適的路由協(xié)議組建網(wǎng)絡(luò)。能夠提供網(wǎng)絡(luò)內(nèi)各用戶的訪問流量、連接數(shù)等信息的分析，同時提供對用戶通過NAT訪問內(nèi)容日志存儲和查詢，以及其URL內(nèi)容的查詢。 當(dāng)Cernet2需要接入時，我們的校園網(wǎng)可以平滑的接入IPv6。GSN能夠?qū)盤、光驅(qū)、軟驅(qū)、打印機(jī)等常見的接口進(jìn)行統(tǒng)一設(shè)置，限制外聯(lián)接口的濫用，保護(hù)校園內(nèi)部機(jī)密信息的安全。對于常見的殺毒軟件（瑞星、諾頓、卡巴斯基、McAfee、NOD32等十余種），還能夠檢測其病毒庫是否已經(jīng)更新到指定版本。該階段主要涉及的產(chǎn)品為RGESS 1000、RGSA及RG23/29/57系列安全接入/匯聚交換機(jī)?？匆娔睦镉新┒淳拖敕皆O(shè)法去堵上。 當(dāng) GREG失效或掉電時,外部光旁路模塊進(jìn)入旁路工作模式近年來，網(wǎng)絡(luò)病毒泛濫、安全事件頻頻發(fā)生可以說是一個總趨勢。 P2P應(yīng)用：Bittorrent、eMule、KAZAA、KURO、NAPSTER 、EDONKEY、AUDIOGALAXY、EZPEER、KUGOO、GNUTELLA、VAGAA、SOULSEEK、POCO、PIGO等30多種P2P軟件。相比傳統(tǒng)的二層生成樹技術(shù)和三層的VRRP技術(shù)，其收斂時間從N秒級縮短到毫秒級。隨之MSTP技術(shù)利用通過多實例的劃分來實現(xiàn)不同鏈路流量的負(fù)載分擔(dān)，提高了鏈路可用性能，但與此同時卻將網(wǎng)絡(luò)的結(jié)構(gòu)，管理維護(hù)工作量翻了幾番。這樣就保證了在異常攻擊流量的情況下，交換機(jī)CPU的永不過載，控制平面的任務(wù)可以很好的執(zhí)行，這樣就高度保證了交換機(jī)系統(tǒng)的穩(wěn)定性。保證任何業(yè)務(wù)（任何PC機(jī)、服務(wù)器）都不直接連接在核心區(qū)塊上，這樣將大大保證核心網(wǎng)絡(luò)的安全性。該方案未來更可部署RGIDS入侵檢測設(shè)備，擴(kuò)展安全系統(tǒng)，實現(xiàn)對網(wǎng)絡(luò)安全威脅的自動檢測和自動防御。因此，新一代大型的數(shù)字校園網(wǎng)需要通過面向關(guān)鍵業(yè)務(wù)的基礎(chǔ)設(shè)施管理，讓IT投入的效益的到最大化的體現(xiàn)，并能夠在網(wǎng)絡(luò)和信息團(tuán)隊運維資源有限的條件下，讓校園的服務(wù)品質(zhì)和管理水平得以提升。上述問題靠IPv4本身是難以解決的，要解決這些問題只有利用一種新的協(xié)議來替代IPv4，那就是IPv6。前幾年是我國高校信息化發(fā)展的黃金時期，數(shù)字校園建設(shè)各方面都得到了長足的發(fā)展。從技術(shù)層面講，學(xué)校信息化建設(shè)是以校園網(wǎng)為基礎(chǔ)、由一系列硬件設(shè)備和數(shù)據(jù)庫、軟件系統(tǒng)所組成的一個大型系統(tǒng)。178。高等學(xué)校要在教學(xué)活動中廣泛采用信息技術(shù)，不斷推進(jìn)教學(xué)資源的共建共享，逐步實現(xiàn)教學(xué)及管理的網(wǎng)絡(luò)化和數(shù)字化。與此同時，網(wǎng)絡(luò)技術(shù)特別是以太網(wǎng)技術(shù)迅猛發(fā)展，1000M以太網(wǎng)已經(jīng)步入校園，萬兆標(biāo)準(zhǔn)也已經(jīng)公布。有教學(xué)實習(xí)場所3處，占地1468畝。第二階段是應(yīng)用平臺建設(shè)時期，時間大約是從2000年到2005年。2) 七大系統(tǒng)：l 專業(yè)設(shè)置預(yù)測系統(tǒng)；l 教學(xué)基本狀態(tài)數(shù)據(jù)庫系統(tǒng)；l 大學(xué)英語與網(wǎng)絡(luò)教育網(wǎng)上考試系統(tǒng)；l 網(wǎng)絡(luò)教育資源管理和質(zhì)量監(jiān)管系統(tǒng)；l 精品課程共享系統(tǒng)；l 立體化教材數(shù)字資源系統(tǒng)，終身學(xué)習(xí)服務(wù)系統(tǒng)。178。學(xué)校信息化建設(shè)是一項龐大的系統(tǒng)工程。5) 終端的主機(jī)安全要求70％以上威脅網(wǎng)絡(luò)安全的攻擊行為都是來自校園網(wǎng)內(nèi)用戶；內(nèi)網(wǎng)防御能力弱，病毒、木馬泛濫；“合法用戶”的“非法行為”危害巨大；常規(guī)手段難以及時發(fā)現(xiàn)并阻斷攻擊行為；發(fā)生的安全事件不能審計到人，無法進(jìn)行有效處理。l l QoS的問題如何在IPv4 的“盡力而為”的基礎(chǔ)上實現(xiàn)可靠安全的傳輸一直是困擾互聯(lián)網(wǎng)發(fā)展的一大難題。4) 宿舍網(wǎng)建設(shè)將用于校園網(wǎng)的以網(wǎng)養(yǎng)網(wǎng)為了實現(xiàn)統(tǒng)一的整體數(shù)字校園網(wǎng)，宿舍網(wǎng)絡(luò)建設(shè)需求亟待解決。同時，為了確保出口安全在出口部署一臺高性能防火墻RGWALL1600，該設(shè)備是面向大型園區(qū)網(wǎng)出口用戶開發(fā)的新一代電信級高性能防火墻設(shè)備。1) 核心區(qū)塊類似上文所述核心層的概念。技術(shù)特點：技術(shù)的具體實現(xiàn)機(jī)制是，在線卡分布式設(shè)計的基礎(chǔ)上，為各個物理端口配備專用的FFP（FFP: fast filter processor）處理模塊，F(xiàn)FP模塊可以實現(xiàn)硬件處理Qos與ACL功能，實現(xiàn)整機(jī)數(shù)據(jù)端口級同步處理ACL/QOS；同時，通過線卡芯片線速轉(zhuǎn)發(fā)L2/L3/組播數(shù)據(jù)，實現(xiàn)了從線卡到端口的全面分布式硬件設(shè)計，有效分流、緩解線卡ASIC芯片的負(fù)載壓力，極大地提升交換機(jī)的整體數(shù)據(jù)處理能力。虛擬化交換單元技術(shù)支持為了保證網(wǎng)絡(luò)的可靠性、故障自愈性，在方案設(shè)計中均需要考慮各種冗余設(shè)計，如網(wǎng)絡(luò)冗余節(jié)點、冗余鏈路等。協(xié)議級：提供實時的協(xié)議熱備份功能，負(fù)責(zé)將協(xié)議的配置信息備份到其他所有的成員設(shè)備，從而實現(xiàn)協(xié)議可靠。由于目前P2P應(yīng)用已經(jīng)發(fā)展飛速，給人們帶來便捷的同時嚴(yán)重消耗了有限的網(wǎng)絡(luò)帶寬，降低上網(wǎng)質(zhì)量。 ACE采用Tyco的外置光旁路單元和內(nèi)置電口旁模塊安全事件從發(fā)現(xiàn)到控制，基本采取手工方式，難以及時控制與防范；3. 對于未知的安全事件和網(wǎng)絡(luò)病毒，無法控制；4. 用戶普遍安全意識不足，校方單方面的安全控制管理，難度大；5. 現(xiàn)有安全設(shè)備工作分散，無法協(xié)同管理、協(xié)同工作，只能形成單點防御。本次方案采用的RGESS易安全系統(tǒng)是銳捷網(wǎng)絡(luò)GSN全局安全網(wǎng)絡(luò)解決方案的核心組成部分，GSN全局安全網(wǎng)絡(luò)解決方案定位于網(wǎng)絡(luò)訪問控制NAC領(lǐng)域，從網(wǎng)絡(luò)接入者的身份、接入主機(jī)的健康性以及網(wǎng)絡(luò)通信的安全性等多方面為用戶構(gòu)建一個全局的安全網(wǎng)絡(luò)。第三方殺毒軟件聯(lián)動經(jīng)常出現(xiàn)這種問題：雖然網(wǎng)絡(luò)管理部門已經(jīng)作出了入網(wǎng)用戶必須安裝殺毒軟件的規(guī)定，但缺乏強(qiáng)制手段保障規(guī)則的有效實施，用戶往往視而不見。并能根據(jù)主機(jī)信息生成詳細(xì)的圖形報表，以直觀的方式為管理員進(jìn)行呈現(xiàn)。目前很多高校已經(jīng)或開始建設(shè)校園內(nèi)的IPv6網(wǎng)絡(luò)（局部）或IPv6的城域網(wǎng)（覆蓋城域范圍內(nèi)的若干高校），這些IPv6網(wǎng)絡(luò)都將接入CERNET2。如果讓RGeLog和銳捷用戶認(rèn)證系統(tǒng)（SAM或SMP）對接，可以提供詳細(xì)的用戶信息，如用戶賬號、用戶名、地址、電話等。RGS5750E系列交換機(jī)以極高的性價比為大型網(wǎng)絡(luò)匯聚、中型網(wǎng)絡(luò)核心、數(shù)據(jù)中心服務(wù)器接入提供了高性能、完善的端到端的服務(wù)質(zhì)量、靈活豐富的安全設(shè)置和基于策略的網(wǎng)管，最大化滿足高速、安全、智能的企業(yè)網(wǎng)需求。支持BFD，為各上層協(xié)議如路由協(xié)議，MPLS等提供一種快速檢測兩臺路由設(shè)備之間轉(zhuǎn)發(fā)路徑連通狀態(tài)的方法，大大減少了上層協(xié)議在鏈路狀態(tài)變化時的收斂時間。先進(jìn)的體系架構(gòu)NPE系列網(wǎng)絡(luò)出口引擎采用多核處理器體系架構(gòu)，單個處理器內(nèi)部基于銳捷自主知識產(chǎn)權(quán)的虛擬多處理器（vCPU）技術(shù)，從而在xflow框架下構(gòu)建起一個高性能、高穩(wěn)定的轉(zhuǎn)發(fā)平臺全新的多核架構(gòu)在滿足高性能、低功耗、高靈活性、易升級的要求下，讓NPE成功的向更深層次發(fā)展。（比如：政府的政務(wù)公開的服務(wù)器，高校的精品課程服務(wù)器等），NPE能夠通過智能判斷訪問用戶所在運營商，而將訪問數(shù)據(jù)智能解析定位到對應(yīng)的ISP鏈路上，以加速對服務(wù)器的訪問。NPE采用先進(jìn)的流表處理技術(shù)，利用源IP、目的IP、源端口、目的端口、協(xié)議號等5個元素來定義一條流。有效的流量控制流量控制是防止某些用戶或者應(yīng)用（如BT、迅雷、網(wǎng)絡(luò)電視等P2P應(yīng)用）占用過多的網(wǎng)絡(luò)資源，保證用戶能夠公平使用帶寬。方便易用易管理采用靈活復(fù)用的千兆電接口和千兆SFP口組合的形式，可最靈活滿足是否需要多個千兆鏈路上鏈或多個千兆服務(wù)器的連接，方便用戶根據(jù)網(wǎng)絡(luò)架構(gòu)靈活選擇連接形式；支持設(shè)備間的混合堆疊，通過堆疊不僅可以統(tǒng)一管理和使用設(shè)備，降低管理成本，同時可以靈活地組合和擴(kuò)展端口，平滑擴(kuò)容，保障了網(wǎng)絡(luò)的高度靈活和可擴(kuò)展，網(wǎng)絡(luò)管理更加簡單；提供圖形化的安全策略管理平臺，支持安全策略自動同步下發(fā)、升級和維護(hù)功能，安全策略智能化，可大幅度提高交換機(jī)管理和配置效率，提高網(wǎng)絡(luò)安全；網(wǎng)絡(luò)時間協(xié)議（NTP）保證交換機(jī)時間的準(zhǔn)確性，并與網(wǎng)絡(luò)中時間服務(wù)器時間統(tǒng)一化，方便日志信息和流量信息的分析、故障診斷等管理；Syslog方便各種日志信息的統(tǒng)一收集、維護(hù)、分析、故障定位、備份，便于管理員網(wǎng)絡(luò)維護(hù)和管理；多端口同步監(jiān)控，通過一個端口即可同時監(jiān)控多個端口的數(shù)據(jù)流，可以只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀，大大提高維護(hù)效率；CLI界面，方便高級用戶配置和使用；Javabased Web管理方式，實現(xiàn)對交換機(jī)的可視化圖形界面配置和管理，智能人性化的配置界面，實現(xiàn)快速和高效地配置設(shè)備。比如IGMP Snooping、IGMP、MLD、PIM、PIM for IPvMSDP等協(xié)議族，為IPv4網(wǎng)絡(luò)、IPv6網(wǎng)絡(luò)、IPv4和IPv6共存的網(wǎng)絡(luò)提供了組播服務(wù)支持；支持IGMP源端口和源IP檢查功能，有效地杜絕非法的組播源，提高網(wǎng)絡(luò)的安全性；支持等價路由（ECMP）、權(quán)重路由（WCMP）等豐富的三層特性和業(yè)務(wù)特性，滿足不同網(wǎng)絡(luò)鏈路規(guī)劃下的通信需要。RGS5750E系列交換機(jī)能夠提供靈活的介質(zhì)接口，滿足網(wǎng)絡(luò)建設(shè)中不同介質(zhì)的連接需要。再次，在RGS861RGS860RGS5750上設(shè)置雙棧、IPv6靜態(tài)路由和ISATAP隧道，保證匯聚設(shè)備不支持IPv6的區(qū)域，可以實現(xiàn)跨三層支持IPv6功能，這樣就保證了全網(wǎng)IPv6的實現(xiàn)。使管理員從多數(shù)重復(fù)性、非生產(chǎn)性工作中解放出來，提高工作的效率。 Windows域身份管理系統(tǒng)兼容GSN支持LDAP協(xié)議，可以與Windows域管理系統(tǒng)、OpenLDAP或其它支持LDAP的身份認(rèn)證系統(tǒng)實現(xiàn)無縫結(jié)合，對用戶的身份信息進(jìn)行統(tǒng)一管理。尤其，病毒軟件對攻擊不能獨立有效地確認(rèn)發(fā)生源，并有效地阻斷；由此可見，當(dāng)網(wǎng)絡(luò)受到來自各方面的攻擊時，由防毒軟件和防火墻等獨立安全產(chǎn)品堆砌起來的措施不僅漏洞百出，還會處處被動挨打。而其中，來自校園網(wǎng)內(nèi)部的安全事件占到了絕大多數(shù)。1．NPE在啟用NAT、ACL、PBR（策略路由）的情況下，在通常情況報文流情況下（平均報文長度為500byte左右的混合報文），雙向可以達(dá)到8Gbps的線速轉(zhuǎn)發(fā)。把傳統(tǒng)網(wǎng)絡(luò)中兩臺核心層交換機(jī)用VSU替換，VSU和匯聚層交換機(jī)通過聚合鏈路連接。高密度線速萬兆及十萬兆的擴(kuò)展支持華為9306是華為網(wǎng)絡(luò)推出的面向十萬兆平臺設(shè)計的下一代高密度多業(yè)務(wù)IPV6核心路由交換機(jī)，具有很高的擴(kuò)展能力。核心交換設(shè)備的穩(wěn)定可靠需要以下四個方面共同保障：1) 全分布式轉(zhuǎn)發(fā)——華為9306多業(yè)務(wù)面向十萬兆平臺的核心交換機(jī)，均提供基于全分布式業(yè)務(wù)轉(zhuǎn)發(fā)。整體的穩(wěn)定可靠，首先要從大的網(wǎng)絡(luò)架構(gòu)上進(jìn)行考慮。接入部分：本方案中，根據(jù)樓宇網(wǎng)絡(luò)需求的不同性質(zhì)，網(wǎng)絡(luò)接入層采用銳捷網(wǎng)絡(luò)RGS2900E系列安全智能千兆交換機(jī)，通過RGS5750E和 RGS2900E系列交換機(jī)更可完美配合RGSAM的網(wǎng)絡(luò)安全認(rèn)證計費系統(tǒng)，提供網(wǎng)絡(luò)的身份認(rèn)證、準(zhǔn)入控制和安全認(rèn)證管理，有效提升天水農(nóng)業(yè)學(xué)校網(wǎng)絡(luò)的安全級別。目前學(xué)校的宿舍網(wǎng)絡(luò)由電信運營商進(jìn)行經(jīng)營管理，學(xué)校自建宿舍網(wǎng)絡(luò)的諸多需求和問題還待解決。目前各高校的校園網(wǎng)主要以IPv4網(wǎng)絡(luò)為主，但目前在校園網(wǎng)中IPv4網(wǎng)絡(luò)存在如下問題：l l IP地址資源短缺中國IP地址嚴(yán)重不足是眾所周知的問題。2) 網(wǎng)絡(luò)攻擊的防護(hù)網(wǎng)絡(luò)中各種攻擊病毒泛濫，常見的如ARP攻擊、DDOS攻擊、IP地址盜用、DHCP服務(wù)器私設(shè)對日常網(wǎng)絡(luò)訪問造成嚴(yán)重影響，因此在網(wǎng)絡(luò)建設(shè)時需要網(wǎng)絡(luò)設(shè)備自身具備各種抵御攻擊的安全防護(hù)能力，對常見攻擊行為進(jìn)行有效的防護(hù)。兩個個校區(qū)總共在校人數(shù)2000余人，主要接入?yún)^(qū)域為辦公區(qū)、教師、6個計算機(jī)機(jī)