【正文】 HCP 認(rèn)證技術(shù)、基于 WEB 認(rèn)證 技術(shù)、 認(rèn)證協(xié)議等等。在 出現(xiàn)之前，企業(yè)網(wǎng)上有線 LAN 應(yīng)用都沒有直接控制到端口的方法。但是隨著無線 LAN 的應(yīng)用以及 LAN 接入在電信網(wǎng)上大規(guī)模開展，有必要對端口加以控制，以實現(xiàn)用戶級的接入控制。 并不只是為了無線 LAN，而是計劃成為 LAN 端口的一個普遍的接入控制機制。RADIUS 是一個提供驗證服務(wù)的 IETF 標(biāo)準(zhǔn)的方法。例如，客戶機可以檢查服務(wù)器是否能夠使用某種類型的智能卡，以及不能使用時，是否同意使用競爭握手確認(rèn)協(xié)議（Challenge Handshake Authentication Protocol，CHAP ）等。 標(biāo)準(zhǔn)可以利用為 PPP 編寫的可擴展驗證協(xié)議，并將其與物理介質(zhì)聯(lián)系起來，如以太網(wǎng)、令牌網(wǎng)或無線局域網(wǎng)。 無線局域網(wǎng)驗證技術(shù)擁有三個主要的組件：包括三部分：Supplicant System，客戶端(PC/網(wǎng)絡(luò)設(shè)備 )；Authenticator System，認(rèn)證系統(tǒng)；Authentication Sever System，認(rèn)證服務(wù)器。目前 認(rèn)證技術(shù)已經(jīng)發(fā)展到可以基于邏輯端口的身份認(rèn)證，即基于主機 MAC 地址的認(rèn)證。下表是幾種常用認(rèn)證方式的比較：基于上述比較，可以得出結(jié)論：在對有線用戶進行身份認(rèn)證時推薦采用 認(rèn)證協(xié)議，在對無線用戶進行認(rèn)證時采用 WEB BASE 方式。計費子系統(tǒng)計費子系統(tǒng)讀取 Radius 服務(wù)器生成的用戶訪問記錄，對其進行處理，產(chǎn)生原始的用戶計費信息，提供給帳務(wù)系統(tǒng)做帳務(wù)處理和用戶查詢使用。帳務(wù)處理子系統(tǒng)帳務(wù)處理子系統(tǒng)根據(jù)預(yù)先設(shè)定進行帳務(wù)計算。并且提供出帳、核帳、銷帳的功能。對于包月制可以設(shè)定幾個檔次供用戶選擇，如 10，20，50，100 小時等。自指定付費方式計費方式有很多種：包月制、按時長計費、按流量計費等等。優(yōu)惠計費策略為了實現(xiàn)優(yōu)惠計費策略，可以在計費后臺數(shù)據(jù)庫平臺實行相應(yīng)的設(shè)置來達(dá)到目的。 安全需求分析安全問題從來就不是單一的問題，它涉及到許多方方面面。這些風(fēng)險點包括物理安全、邏輯安全和安全管理三個層面。邏輯安全涉及到訪問控制和數(shù)據(jù)完整性等方面。上述任何一個方面出問題，都可能引起安全事故。由于信息技術(shù)在不斷地變化，信息技術(shù)安全問題具有動態(tài)性。這種動態(tài)性導(dǎo)致不可能存在一勞永逸的解決方案。安全的多面性使僅僅采用安全產(chǎn)品來防范難以奏效。如果使用一個未經(jīng)認(rèn)證的調(diào)制解調(diào)器把內(nèi)部網(wǎng)連接到外部網(wǎng)，就可以繞開防火墻對系統(tǒng)安全構(gòu)成威脅。最后要說明的一點就是“沒有 100%的安全性”。其次即使找到這樣的方法，一般從資源和成本考慮也不易接受。綜上所述，系統(tǒng)安全問題不是僅僅涉及安全技術(shù)、產(chǎn)品等方面的片面問題，而是涵蓋了技術(shù)、人員、管理等多方面的系統(tǒng)問題，必須采取系統(tǒng)化的方法加以解決。 事前加強網(wǎng)絡(luò)基礎(chǔ)架構(gòu) “防范于未然” ，在安全事故發(fā)生以前就做到事先加強安全措施是非常有效的。在網(wǎng)絡(luò)出口處或者在網(wǎng)絡(luò)的每個安全域的邊界我們都可以部署防火墻。除了防火墻外，入侵檢測 IDS 的部署也是必不可少的。在網(wǎng)絡(luò)中合理地部署入侵檢測系統(tǒng)，就相當(dāng)于在各個交通十字路口安裝電子監(jiān)視眼和攝像頭一樣，可以捕獲系統(tǒng)中各種違反正常安全策略的異常行為。在網(wǎng)絡(luò)中心設(shè)置入侵檢測系統(tǒng)的管理中心，統(tǒng)一管理 大學(xué)校園網(wǎng)絡(luò)方案設(shè)計書 第 16 頁 共 96 頁部署在各個骨干子網(wǎng)中的入侵檢測系統(tǒng)代理，實現(xiàn)入侵檢測系統(tǒng)的集中管理、分布放置。訪問控制表（ACL）策略是一種由 Policy Director 使用的方法，它向安全域中的資源提供了細(xì)粒度保護, 是一組規(guī)則或許可權(quán)，指定對受保護對象執(zhí)行操作所需的條件。用戶可以按照源 MAC 地址和目標(biāo) MAC 地址、IP 地址或 TCP/UDP 端口拒絕包，因而根據(jù)需要控制網(wǎng)絡(luò)的敏感部分。所以線速 ACL 技術(shù)，具備以下關(guān)鍵特性：線速擴展訪問控制列表（ACL）—提供線速交換和路由功能的同時，線速控制數(shù)據(jù)轉(zhuǎn)發(fā)和限制對系統(tǒng)管理界面的訪問功能豐富的 ACL 實現(xiàn)方案—基于源或目的 MAC 地址、以太網(wǎng)幀結(jié)構(gòu)、IP 地址、IP 協(xié)議類型、TCP 或 UDP 端口、 IP 優(yōu)先級或 ToS 值對流量進行識別。安裝能夠預(yù)先發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患的評估系統(tǒng)也是非常重要的。同時，為了實時、準(zhǔn)確、快速的定位用戶位置，可以考慮采用多屬性綁定功能加強對用戶的管理。要保護這樣一個繁雜的網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全，必須有完善的管理保證。 事中快速反應(yīng)機制在新的安全形勢下的網(wǎng)絡(luò)建設(shè)，我們應(yīng)該考慮全防衛(wèi)的網(wǎng)絡(luò)安全是是從網(wǎng)絡(luò)的各個層面、各個產(chǎn)品類型的角度考慮，是一個全面的安全體系架構(gòu)。網(wǎng)絡(luò)入侵檢測系統(tǒng)一旦發(fā)現(xiàn)外部黑客對內(nèi)部網(wǎng)絡(luò)進行網(wǎng)絡(luò)入侵、非法訪問和越權(quán)資源使用等事件，可立即通過協(xié)議聯(lián)動到出口位置的防火墻系統(tǒng)或路由器系統(tǒng)，自動添加相應(yīng)策略，將入侵者 IP 地址進行封禁指定時間，使外部入侵者無法通過防火墻或路由器系統(tǒng)。訪客通過訪問控制網(wǎng)關(guān)使用內(nèi)部網(wǎng)絡(luò)后（有線或無線連接） ，訪客可能對內(nèi)部網(wǎng)絡(luò)進行非法訪問和網(wǎng)絡(luò)入侵；此時網(wǎng)絡(luò)入侵檢測系統(tǒng)可檢測到本事件；入侵檢測系統(tǒng)通過協(xié)議聯(lián)動相應(yīng)的訪問控制網(wǎng)關(guān)；訪問控制網(wǎng)關(guān)通過 ACL 禁止正在進行入侵的訪客使用內(nèi)部網(wǎng)絡(luò)。郵件安全系統(tǒng)一旦發(fā)現(xiàn)內(nèi)部有用戶通過郵件方式傳播病毒或發(fā)送垃圾郵件（也可能是本機器已經(jīng)感染過病毒，病毒本身通過郵件進行自動傳播） ；可立即通過互動協(xié)議聯(lián)動到內(nèi)部相應(yīng)的交換機或訪問控制網(wǎng)關(guān)；交換機或訪問控制網(wǎng)關(guān)根據(jù)聯(lián)動信息通過 ACL 禁止本用戶的郵件發(fā)送，從而有效的防范郵件病毒和垃圾郵件傳播。網(wǎng)絡(luò)防病毒系統(tǒng)可以解決病毒的傳播，同時也可以通過互動體系更全面防范病毒傳播。 事后安全審計安全審計系統(tǒng)必須實時監(jiān)測網(wǎng)絡(luò)上和用戶系統(tǒng)中發(fā)生的各類與安全有關(guān)的事件，如網(wǎng)絡(luò)入侵、垃圾郵件、內(nèi)部資料竊取、泄密行為、破壞行為、違規(guī)使用等，將這些情況真實記錄，并能對于嚴(yán)重的違規(guī)行為進行阻斷。 大學(xué)校園網(wǎng)絡(luò)方案設(shè)計書 第 18 頁 共 96 頁安全審計跟蹤機制的內(nèi)容是在安全審計跟蹤中記錄有關(guān)安全的信息，而安全審計管理的內(nèi)容是分析和報告從安全審計跟蹤中得來的信息。收集審計跟蹤的信息，通過列舉被記錄的安全事件的類別（例如對安全要求的明顯違反或成功操作的完成） ，能適應(yīng)各種不同的需要。所以在網(wǎng)絡(luò)設(shè)計之初，選擇防火墻、IDS、郵件過濾系統(tǒng)、防病毒軟件等設(shè)備時就必須考慮這些設(shè)備是否具備安全日志分析、流量報表分析等功能。確保技術(shù)的先進性和實用性，使網(wǎng)絡(luò)具有良好的可擴展性和靈活性，以適應(yīng)網(wǎng)絡(luò)的迅猛發(fā)展趨勢，既滿足當(dāng)前的需求，又照顧未來網(wǎng)絡(luò)建設(shè)發(fā)展的需要。因此，我們在網(wǎng)絡(luò)設(shè)計時必須堅持系統(tǒng)互通性原則。同時結(jié)合北京交大的實際情況，滿足未來的業(yè)務(wù)發(fā)展。最初的以太網(wǎng)都是 10M 速率和帶寬共享式，只能作一些低速的桌面接入，而現(xiàn)在的以太網(wǎng)不僅是全交換的網(wǎng)絡(luò)，而且提供 100M、1000M 的各種交換帶寬。由于現(xiàn)在絕大多數(shù)的工作站和服務(wù)器都是使用以 大學(xué)校園網(wǎng)絡(luò)方案設(shè)計書 第 19 頁 共 96 頁太網(wǎng)接口，所以 10M/100M 以太網(wǎng)技術(shù)在工作組內(nèi)占主導(dǎo)地位，并且千兆以太網(wǎng)技術(shù)以其簡單、高速和對上層 IP 協(xié)議的很好支持，在骨干網(wǎng)中扮演著重要角色。在網(wǎng)絡(luò)中采用千兆以太網(wǎng)技術(shù)將使企業(yè)的網(wǎng)絡(luò)系統(tǒng)平臺保持先進性和向后兼容性。對來自校園網(wǎng)內(nèi)部、外部的惡意攻擊具有很好的防衛(wèi)手段，對欺騙行為采取多種偵測和報警手段。能夠較好地承載主要網(wǎng)絡(luò)應(yīng)用，使其能夠有足夠的應(yīng)用滿意度。選擇的設(shè)備應(yīng)能提供系統(tǒng)級的、靈活的多種安全控制機制，以支持用戶建立完善的安全管理體系。因此系統(tǒng)無論從結(jié)構(gòu)上、產(chǎn)品性能上都必須具有非常高的可靠性，能夠保證系統(tǒng)可靠運行，盡量減少網(wǎng)絡(luò)設(shè)備故障、系統(tǒng)維護工作和意外事故對網(wǎng)絡(luò)性能的影響。 高性能總體設(shè)計要確保系統(tǒng)具有足夠的數(shù)據(jù)傳輸帶寬，并為可預(yù)計的業(yè)務(wù)提供足夠的系統(tǒng)容量和提供 QOS、COS 服務(wù)品質(zhì)。 。采用簡單、清晰的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以方便發(fā)生網(wǎng)絡(luò)故障時對問題的定位與排查，同時盡量減少故障點。所以在LAN 范圍里使用新的堆疊技術(shù)是一種趨勢。網(wǎng)絡(luò)應(yīng)支持集中、統(tǒng)一的網(wǎng)絡(luò)管理視圖和圖形化管理界面，能夠?qū)崟r監(jiān)視被管理設(shè)備的工作狀況，分析、報告網(wǎng)上的流量、故障報警及可動態(tài)平衡網(wǎng)絡(luò)負(fù)載等。能對網(wǎng)絡(luò)使用情況進行跟蹤、分析和統(tǒng)計。 良好的性能價格比整個網(wǎng)絡(luò)系統(tǒng)應(yīng)能夠在先進性，開放性，高效性，實用性，可靠性和穩(wěn)定性方面進行綜合平衡，保證良好的系統(tǒng)性能價格比。而且可以采用 1000BaseT 模塊，在雙絞線上運行千兆。 10G 技術(shù)介紹隨著傳輸網(wǎng)絡(luò)的發(fā)展，10G 以太網(wǎng)技術(shù)漸漸引起了人們的注意，這種高速以太網(wǎng)技術(shù)適用于各種網(wǎng)絡(luò)結(jié)構(gòu)，能夠簡單、經(jīng)濟地構(gòu)建各種速率的網(wǎng)絡(luò)，可以滿足骨干網(wǎng)大容量傳輸?shù)男枨螅鉀Q了窄帶接入、寬帶傳輸?shù)钠款i問題，并與現(xiàn)行以太網(wǎng)技術(shù)兼容。在 MAN 和 WAN 中應(yīng)用 10G 以太網(wǎng)技術(shù)，比采用 ATM/SONET 技術(shù)構(gòu)建的類似 MAN 和 WAN 費用低 25%。10G 以太網(wǎng)的兩種物理層由于 10G 以太網(wǎng)既可以作 LAN 使用，也可以當(dāng)作 WAN 使用，而 LAN 和 WAN 之間由于工作環(huán)境不同，對于各項指標(biāo)的要求存在許多的差異，主要表現(xiàn)在時鐘抖動、BER（比特誤碼率） 、QoS、速率等的要求不同。這兩種物理層的共同點是：共用一個 MAC 層；僅支持全雙工操作方式；省略了 CSMA/CD；采用光纖作為物理介質(zhì)。10G 以太局域網(wǎng)可由現(xiàn)有的以太局域網(wǎng)以最小的代價升級，并與傳統(tǒng)以太網(wǎng)的 10/100/1000Mb/s 速率兼容，使局域網(wǎng)的傳輸范圍最高可達(dá) 40 公里。為了獲得 速率， 標(biāo)準(zhǔn)小組定義了一種機制來降低以太網(wǎng) MAC 幀的速率，使得 10G 以太網(wǎng)可以使用 OC192c 信道，通過 10GMII 接口提供 ，線路比特誤碼率為 1012。當(dāng)物理介質(zhì)采用單模光纖時，傳輸距離可達(dá) 300km；采用多模光纖時，傳輸距離可達(dá) 40km。在 PCS 層提供從 10GMII 到 PMA 的映射并進行 MAC 幀定界。而且使用擾碼器后，將降低傳輸中的信息數(shù)據(jù)出現(xiàn)長連“0”或長連“1”的概率，提高了接收端時鐘的恢復(fù)能力。為了使接收端能夠?qū)⑼粋€ OC192c 中不同的以太網(wǎng)幀正確區(qū)分開，采用 HEC(Header Error Control)的定界策略，PMA 層將 PCS 層送來的業(yè)務(wù)數(shù)據(jù)裝入OC192c 幀中，為了提高接收端線路時鐘的恢復(fù)能力，在 PMA 層對整個幀以7+6+1 多項式進行幀同步擾碼，最后將擾碼后的信號放在光纖介質(zhì)上傳輸。為了達(dá)到 10Gb/s 的高速率，并實現(xiàn)與骨干網(wǎng)的無縫連接，NORTEL 公司的建議中提出在線路上采用 OC192c 幀格式傳輸。同時，由于以太網(wǎng)的原設(shè)計是面向局域網(wǎng)的，網(wǎng)絡(luò)管理功能較弱，傳輸距離短并且其物理線路沒有任何保護措施。因此，如果以太網(wǎng)幀要在廣域網(wǎng)中傳輸，需要對以太網(wǎng)幀格式進行修改。當(dāng) MAC 層有數(shù)據(jù)需要發(fā)送時，PCS 子層對這些數(shù)據(jù)進行 8B/10B 編碼，當(dāng)發(fā)現(xiàn)幀頭和幀尾時，自動添加特殊的碼組 SFD(幀起始定界符) 和 EFD（幀結(jié)束定界符） ；當(dāng) PCS 子層收到來自底層的 10B 編碼數(shù)據(jù)時，可很容易地根據(jù) SFD 和 EFD 找到幀的起始和結(jié)束從而完成幀定界。如果只利用千兆以太網(wǎng)的前導(dǎo)(Preamble)和幀起始定界符（SFD）進行幀定界，由于信息數(shù)據(jù)中出現(xiàn)與前導(dǎo)和幀起始定界符相同碼組的概率較大，采用這樣的幀定界策略可能會造成接收端始終無法進行正確的以太網(wǎng)幀定界。 HSSG 小組為此提出了修改千兆以太網(wǎng)幀格式的建議，在以太網(wǎng)幀中添加了長度域和 HEC 域。修改后的 MAC 幀的字節(jié)安排如圖 4 所示。10G WAN 物理層并不是簡單的將以太網(wǎng) MAC 幀用 OC192c 承載，雖然借鑒了 OC192c 的塊狀幀結(jié)構(gòu)、指針、映射以及分層的開銷。我們?nèi)匀豢梢圆捎?SDH作為底層傳輸以太網(wǎng)信息數(shù)據(jù)。減少了許多不必要的開銷，簡化了 SDH 幀結(jié)構(gòu)，與千兆以太網(wǎng)相比，增強了物理層的網(wǎng)絡(luò)管理和維護，在物理線路上實現(xiàn)保護倒換。10G 以太網(wǎng)和 SDH 的速率適配10G 以太局域網(wǎng)和 10G 以太廣域網(wǎng)（采用 OC192c）物理層的速率不同，10G 以太局域網(wǎng)的數(shù)據(jù)率為 10Gb/s,而 10G 以太廣域網(wǎng)的數(shù)據(jù)率為 （SDH OC192c，是PCS 層未編碼前的速率） ，但是兩種速率的物理層共用一個 MAC 層，MAC 層的工作速率為 10Gb/s。目前將 10Gb/s 速率 大學(xué)校園網(wǎng)絡(luò)方案設(shè)計書 第 24 頁 共 96 頁適配為 ：? 在 GMII 接口處發(fā)送 HOLD 信號，MAC 層在一個時鐘周期停止發(fā)送；? 利用“Busy idle”，物理層向 MAC 層在 IPG 期間發(fā)送“Busy idle”，MAC 層收到后，暫停發(fā)送數(shù)據(jù)。? 高校校園網(wǎng)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的需求包括不斷涌現(xiàn)的各種新應(yīng)用的數(shù)據(jù)傳輸，提供高速互聯(lián)網(wǎng)接入平臺，實現(xiàn)與 CERNET 的寬帶連接等等，都要求網(wǎng)絡(luò)系統(tǒng)提供高帶寬和高可靠性。本方案選用目前園區(qū)網(wǎng)和大樓局域網(wǎng)廣泛應(yīng)用的以太網(wǎng)技術(shù)，以太網(wǎng)具有維護方便、較好的兼容性、低廉的成本，是成熟、可靠和穩(wěn)定的技術(shù)。核心交換機需要支持萬兆接口，并支持 IPv6 技術(shù)，以便于網(wǎng)絡(luò)未來平滑地采用 IPv6 技術(shù)為了實現(xiàn)網(wǎng)絡(luò)的可擴展性、可靠性、靈活性，邏輯上本系統(tǒng)從生活區(qū)和辦公區(qū)兩部分考慮，在生活區(qū)采用傳統(tǒng)的三層結(jié)構(gòu)，即路由骨干層、匯聚層、接入層；在辦公區(qū)采用扁