【正文】 N 網(wǎng)關認證和 SAM 進行聯(lián)動，使 VPN 用戶認證和訪問網(wǎng)絡的信息都可以實時記錄。認證方式，該類型用戶在企業(yè)內可以使用 ，企業(yè)外選擇無客戶端的SSL VPN 的 WEB 登陸認證方式。用戶訪問企業(yè)內資源通過 VPN 隧道，也最大程度上保障了用戶信息和數(shù)據(jù)信息的安全。通過園區(qū)網(wǎng)身份認證和主機防護來實現(xiàn)園區(qū)網(wǎng)的主機安全目標；1) 園區(qū)網(wǎng)統(tǒng)一身份認證系統(tǒng)：實現(xiàn)了辦公網(wǎng)、生產網(wǎng)統(tǒng)一認證；有線、無線的統(tǒng)一認證；企業(yè)內、企業(yè)外的 VPN 統(tǒng)一認證；同時針對各種接入方式的用戶認證，實現(xiàn)了多種信息元素的校驗，例如有線 1X 認證中的用戶 IP、MAC、NAS IP 等；無線 1X 接入的 AP MAC等信息。主機接入網(wǎng)絡前就要進行健康檢查，只有符合規(guī)定的健康的主機才可以接入網(wǎng)絡。通過后臺服務器、網(wǎng)關設備、接入設備與客戶端的多重聯(lián)動而實現(xiàn)的 ARP 欺騙三重立體防御功能。該防御體系通過在用戶的主機、接入交換機、三層網(wǎng)關，三個部分，綁定的策略有 SMP 服務器進行對客戶端進行綁定網(wǎng)關地址，接入交換機上為自動綁定用戶 IP 和 ARP 表項。 業(yè)務數(shù)據(jù)安全數(shù)據(jù)，已經(jīng)成為企業(yè)信息化建設中最寶貴的資源，其重要性已經(jīng)越來越得到重視。數(shù)據(jù)的遺失或損壞對于 XX 企業(yè)而言，其后果不可想象。數(shù)據(jù)安全方案支持零時間故障自動恢復，體現(xiàn)高性能、高穩(wěn)定性、高擴展性，特別為 SAM 系統(tǒng)的財務和賬務數(shù)據(jù)提供可靠的數(shù)據(jù)安全保障。通過網(wǎng)絡流量分析系統(tǒng)，有助于網(wǎng)絡優(yōu)化、網(wǎng)絡規(guī)劃、異常流量檢測。通過出口日志審計系統(tǒng)，可以詳細記錄五元組流日志、NAT 轉換日志、URL日志、用戶身份：姓名、帳號，上網(wǎng)位置、上網(wǎng)主機（MAC） 、上網(wǎng)時間，當發(fā)生安全時間的時候，可以準確定位追溯到人。提供詳細的用戶訪問外網(wǎng)的 URL 日志園區(qū)網(wǎng)安全日志審計方案實現(xiàn)了網(wǎng)絡流量的透明化；全面地實現(xiàn)了基于用戶身份的安全行為記錄、審計；做到了事前認證、事中記錄、事后審計。遵循了標準協(xié)議，才能滿足良好的互操作性和兼容協(xié)調工作。3) 完善的安全措施對于 XX 企業(yè)在選擇組網(wǎng)規(guī)劃時，就要仔細地考慮任何有可能造成網(wǎng)絡安全危機的隱患。25 / 375) 基于用戶的訪問策略不同的用戶可能有不同的上網(wǎng)行為，包括 HTTP、FTP、語音等，針對不同的應用，應加以配置不同的行為控制權限，既滿足針對不同用戶的網(wǎng)絡互訪的安全性，又可以針對特殊需求（如安全級別較高的領導等）賦予單獨的隔離訪問，不會受到非法用戶的入侵。7) 對射頻環(huán)境的監(jiān)控無線網(wǎng)絡依靠空中的無線頻譜載頻工作，正常、合理的無線信道，可以支撐無線設備穩(wěn)定的工作，滿足數(shù)據(jù)的正常發(fā)送。因此，對于規(guī)劃中的無線網(wǎng)絡，必須具備無線射頻監(jiān)控能力，能針對非法用戶的掃頻行為和嘗試連接進行定位，繼而第一時間告警并將其剔除；對于非法無線設備也需要進行快速發(fā)現(xiàn)與告警。網(wǎng)絡系統(tǒng)面向未來的可擴充性和可升級性顯得非常重要。同時整個系統(tǒng)可以根據(jù)用戶的需要進行規(guī)模上的擴展，擴展后所有功能和管理的模式保持不便。9) 功能豐富的集中管理XX 企業(yè)設計的無線網(wǎng)絡的無線接入點規(guī)模較大，且均分布于各個樓棟的天花板、墻壁和戶外樓頂?shù)任恢?，平時很難直接觀察設備的工作狀態(tài)，因此，必須采用集中管理的方式來實現(xiàn)對全網(wǎng)設備的集中控制和管理。10) 可冗余的高可靠性由于目前企業(yè)內已經(jīng)擁有了較多的支持無線上網(wǎng)的計算機，可以預料到該無線網(wǎng)絡很快就會成為該企業(yè)的重要網(wǎng)絡接入方式，因此，該網(wǎng)絡的穩(wěn)定性與可靠性必須經(jīng)受住大規(guī)模長時間使用的考驗，對于網(wǎng)絡的冗余性設計也在考慮之列。11) 靈活的部署方式針對 XX 企業(yè)的無線網(wǎng)絡部署，實現(xiàn)任何地方的靈活部署。 無線網(wǎng)絡部署介紹根據(jù)園區(qū)樓宇分布狀況、重要空曠地區(qū)的分布狀況，在詳細的地形勘測、信道檢驗、信息點分布等了解之后，提出了室內與室外的無線網(wǎng)絡的具體部署規(guī)劃、重點是園區(qū)室外覆蓋，達到全園區(qū)的無線覆蓋的目標。以下規(guī)劃中所展示的部署圖為邏輯圖，并不標注處具體的部署位置，在經(jīng)過對各個建筑物內部的部署點勘測之后，已經(jīng)可以肯定均具備良好的部署條件，無需擔心。無線園區(qū)建設需要信號覆蓋的區(qū)域：室內區(qū)域（需要設計圖或者地勘）? 演播大廳（X 個座位）? 會議室（X 個座位）? XX 企業(yè)領導辦公區(qū)會議室（X 座位）? 食堂（X 座位）? 教學樓（根據(jù)預算選擇性部署）室外區(qū)域（需要設計圖或者地勘）室外區(qū)域的覆蓋為本次無線網(wǎng)絡規(guī)劃與設計的重點，原則上是全園區(qū)的覆蓋，考慮到部分區(qū)域正在施工，或者為待建區(qū)域，所以也存在重點覆蓋區(qū)域，如下：? 辦公區(qū)全園重點覆蓋? 運動場完全覆蓋? 行政樓重點區(qū)域完全覆蓋? 宿舍區(qū)域? 重點區(qū)域完全覆蓋下面將根據(jù)室內室外區(qū)域分別進行無線網(wǎng)絡的規(guī)劃的介紹。全園區(qū)覆蓋的信號標準選擇無線局域網(wǎng)采用的技術支持應為國際標準或業(yè)界標準，不使用某個廠商的專用技術和協(xié)議，以保證網(wǎng)絡設備的互通性，有利于網(wǎng)絡的投資保護。全園區(qū)的漫游規(guī)劃全園區(qū)的無線漫游包括了二層漫游、三層漫游、以及跨無線控制器的漫游。實現(xiàn)這一過程，并不需要有線網(wǎng)絡的參與，對有線網(wǎng)絡和無線用戶而言都是透明的。身份認證規(guī)劃對于企業(yè)這樣的大規(guī)模部署無線網(wǎng)絡的環(huán)境，最合適的入網(wǎng)認證方式就是基于 Web 的認證與基于 的認證方式。通過身份認證的設計，可以充分地保護企業(yè)的無線網(wǎng)絡資源，防止非法入侵，同時可以做很好的安全審計。29 / 37無線安全規(guī)劃在目前面向行業(yè)級的 WLAN 產品的安全技術中，越來越強調單機安全策略的強化，以及與有線網(wǎng)絡安全互補的核心思想。本此規(guī)劃中，將按照層次化的設計理念，完成北京師范大學的無線網(wǎng)絡安全需求。尤其是啟用了目前先進的 SSID 廣播禁止功能之后，由于空中不再廣播明文的SSID 號碼，使得那些擁有截獲 SSID 密碼的無線終端非法訪問網(wǎng)絡。在園區(qū)無線網(wǎng)絡規(guī)劃中，由于目前園區(qū)有線網(wǎng)絡咦具備一定規(guī)模，因此，在無線網(wǎng)絡融合進有線網(wǎng)絡進行數(shù)據(jù)交換之前，通過 WEP 和WPA 加密技術可以增加一層保護手段，可以極大的提升安全防御的能力。因此， AP產品應選擇具備 VLAN 功能的無線產品，協(xié)助接入層無線用戶與接入層交換機用戶同樣接受全網(wǎng)統(tǒng)一管理和 VLAN 的劃分，這樣可以徹底解決無線用戶無法管、不方便管的疑難問題?？梢詾橥粋€ AP 覆蓋范圍內的不同用戶實施不同的管理手段，強化了整個無線網(wǎng)絡的分布式安全防御能力。在整個智能無線園區(qū)網(wǎng)中，將采用高性能的無線交換機組建集群，一方面提供強大的無線 AP 的升級與擴展空間，另一方面可以起到良好的負載均衡，保障在大規(guī)模部署無線 AP 的環(huán)境下，起到網(wǎng)絡架構的穩(wěn)定性與健壯性。同時考慮到一個 AP 的覆蓋理論范圍為 100200 為半徑的圓，以及 60100 個人的并發(fā)上網(wǎng)，來選擇無線的 AP 數(shù)。同時考慮到一個 AP 的覆蓋理論范圍為 100200 為半徑的圓，以及 60100 個人的并發(fā)上網(wǎng)，來選擇無線的 AP 數(shù)。主要如下：無線辦公——提高辦公自動化效率考慮到 XX 企業(yè)教職工筆記本擁有的數(shù)量越來越多，且是一個趨勢。從而將辦公的效率與便利性大大提高。當無線園區(qū)網(wǎng)搭建完成之后，將成為企業(yè)的災難應急系統(tǒng)，以及其它正常的辦公系統(tǒng)正常運轉的保障。無線信息化——提升企業(yè)信息化建設水平通過無線園區(qū)網(wǎng)的建設，將大大提升企業(yè)園區(qū)的信息化、數(shù)字化水平，將對企業(yè)將來的教學評估、建設評估，以及提升企業(yè)在省內、國內的影響力都會有非常大的幫助。使得無線網(wǎng)絡有效地融合進有線網(wǎng)絡，從而充分利用園區(qū)網(wǎng)內現(xiàn)有的各種資源。從RF 射頻覆蓋狀態(tài)的監(jiān)測、無線鏈路的帶寬的監(jiān)測、用戶認證的異常報警、無線接入安全等都需要考慮。而且無線局域網(wǎng)是一個整體系統(tǒng)，無線接入點之間必須互協(xié)調工作，單獨改變一個無線接入點的參數(shù)和配置，可能會會引起無線接入點之間的無線電波干擾，用戶漫游重認證和授權也可能會產生問題，因此集中控制和管理顯得非常必要。 無線增值應用開展平臺企業(yè)無線園區(qū)網(wǎng)的建成將為企業(yè)的信息化發(fā)展提升一個臺階，可以為企業(yè)的業(yè)務應用搭建一個更方便的平臺。這些應用在有線網(wǎng)絡內都是很難開展的。在配置中，顯示為一個機架。34 / 37服務水平測量 SLA 支持對 HTTP、FTP 等多種應用測量連通性、延遲、亂序、抖動等參數(shù)。無需人員干預GRE 封裝 支持 GRE 封裝，以滿足跨路由環(huán)境的遠程端口鏡像交換機智能支持內嵌事件功能，交換機可以在觸發(fā)內置的時間或得到IP SLA 測量結果后，自動調用腳本程序，實現(xiàn)智能管理、智能響應帶寬控制 支持帶寬控制，控制粒度=8Kbps單臺設備配置要求主機引擎 2 個、10 個千兆電口、4 個 10G 光口、雙電源冗余匯聚層交換機參數(shù)要求：功能及技術指標 參數(shù)要求交換容量 =320Gbps每秒分組數(shù) =DRAM ≥128MBMAC 地址數(shù)量 ≥12022路由數(shù)量 ≥20220VLAN 特性 支持基于端口的 VLAN，支持基于 MAC 的 VLAN， Vlan 封裝，支持 GVRP、Voice VLANACL 支持硬件的 ACL設備發(fā)現(xiàn)協(xié)議 支持 LLDP 設備發(fā)現(xiàn)標準QOS 支持基于源 MAC 地址、目的 MAC（Medium Access Control）地址、源 IP 地址、目的 IP 地址、端口、協(xié)議、VLAN 等內容的L2（Layer 2）~L4（Layer 4）包過濾功能；優(yōu)先級隊列調度：支持擁塞避免，支持 ，DSCP/TOS 優(yōu)先級和新標記能力；支持基于時間段的流分類和 QoS 控制能力認證協(xié)議特性 支持 IEEE 35 / 37組播協(xié)議 支持 IGMP、IGMP Snoopingv3 協(xié)議；DHCP 功能 支持 DHCP CLIENT/ DHCP SNOOPING/DHCP SERVER設備管理 SNMP V1/V2/V3；RMON 189。TELNET；支持 WEB 網(wǎng)管，支持 NTP，圖形化管理；支持電纜檢測功能及單向鏈路檢測功能單臺設備配置要求主機引擎 2 個、24 個千兆電口、24 個千兆光口、5 個 10G 光口、雙電源冗余接入層交換機參數(shù)要求：功能及技術指標 參數(shù)要求類型 48 個千兆電口，4 個千兆光/電復用口；24 個千兆電口，2 個千兆光/電復用口；交換容量 48 端口交換機=136Gbps24 端口交換機=96Gbps轉發(fā)性能 48 端口交換機=100Mpps；24 端口交換機=65Mpps板載內存 ≥64MBMAC 地址 ≥8000VLAN 特性 支持基于端口的 VLAN，支持基于 MAC 的 VLAN， Vlan 封裝ACL 支持硬件的 ACLQOS 支持基于源 MAC 地址、目的 MAC（Medium Access Control）地址、源 IP 地址、目的 IP 地址、端口、協(xié)議、VLAN 等內容的L2（Layer 2）~L4（Layer 4）包過濾功能；DHCP 功能 支持 DHCP CLIENT/ DHCP SNOOPING/DHCP SERVER設備管理 SNMP V1/V2/V3；RMON 189。TELNET；支持 WEB 網(wǎng)管，支持 NTP，圖形化管理；防火墻36 / 37功能及技術指標 參數(shù)要求用戶數(shù) 無限制防火墻吞吐率 不小于 1250 Mbps并發(fā)連接 不小于 500,000 個虛擬防火墻 支持 2 個虛擬防火墻，可實現(xiàn)硬件資源（內存，CPU）的分配功能性 支持組播和 IPv6配置 4 個千兆電口，2 個虛擬防火墻許可? 相關指標環(huán)境范圍工作溫度 0 ℃～+60 ℃儲藏/運輸溫度 20 ℃ ～ +70 ℃相對濕度 (無凝結) 10% ～ 95%電源供應工作電壓 100AC～350AC。 80 1000 MHz)電磁瞬態(tài)試驗標準 EN 61000443級試驗(2 kV power line, 1 kV data line)電壓涌浪沖擊試驗標準 EN 6100045 兩線對稱涌浪沖擊: 2級試驗(1kV)兩線不對稱涌浪沖擊: 3級試驗(2kV)。 EN 6100049 4級試驗[ 10 V (150 kHz 80 MHz)