音乐学院弱电设计方案(经典).doc

音乐学院弱电设计方案某某音乐学院新校区作为现代化、信息化的新型校区，计算机网络信息系统集成智能化的设计将以先进、实用、可靠为前提，以高度集成、高效运转、高新实用为目标，以计算机信息化为主线，针对校区的特殊要求，完成技术选型、集成思路和产品选择。建成后的校区将成为国内一流大学园区。根据某某音乐学院新校区计算机网络信息系统集成工程要求及有关的建筑智能化规范要求，结合我司相关工程的成功经验，我们设计以下的系统。1. 计算机通信网2. 校园广播系统3. 安保监控系统4. 校园一卡通系统5. LED电子信息显示系统下面对各系统的特点和设计要点进行概要综述。计算机通信网第一章、校园网络设计思想1.1、系统概述 校园网络系统工程是以现代化的教育思想为指导，在行政办公，教育管理和教育教学领域，积极开发、广泛运用现代信息技术和信息资源，培养跨世纪创新人才，加速教育信息化进程的系统工程；是实施科教兴粤、兴国战略，实现教育现代化的基础工程；是迎接知识经济和信息时代挑战的战略选择和制高点。它对于推动素质教育，提高全体人员适应信息社会的能力，对于转变教育思想和观念，促进教学内容、教学方法、教学体系和教学模式的改革，加速教育手段和管理手段的现代化，提高师资队伍的素质，对于深化基础教育改革，落实教育的“三个面向”，全面提高教育质量得效益，促进学生素质的全面发展。网络系统规划时，本着以最少的资金，获得最有效的应用。用科学的方法总体规划，满足当前的各种应用，同时应考虑将来若干年可能的应用需求和网络规模的发展。校园网设计时，充分解决系统先进性、可用性与节省投资的关系，把投资控制到最合理的范围内，保证投资的有效性和时效性。建成后的网络能满足瑶湖校区接入校园网，实现网络资源共享，信息互动，在线学习，网上娱乐等，并为系统计费、管理提供可靠的平台。1.2、系统设计原则校园网络负担着内部的所有通信，提供各个部门的通信连接，还要为中心服务器群、数据中心服务器提供高性能的连接，提供网络与基它网络(科网、公共数据网)、Internet之间的通信。因此，其带宽和性能的要求非常高,不仅要满足内部办公系统、数据信息服务的高速需求，还要为整个局域网的外部访问提供高带宽、高性能的网络通道。 1.2.1、校园网络规划的一般性原则 先进性：在技术上要采用最先进、成熟的网络技术来满足目前的网上应用需求,并考虑未来的发展。 易管理和易维护性：需要网络系统具有良好的可管理性,网管系统具有监测、故障诊断、故障隔离、过滤设置、灵活实现用户级别的设置等功能。 实用性：网络系统选用的硬件设备和软件系统应当具有良好的性能价格比，经济实用，网络拓扑结构和技术符合多媒体应用对主干网络的要求，科学地统一建设。 安全性及可管理性：局域网应注意保证整个系统的可管理性、安全性和可靠性。 IP Multicast支持：局域网必须支持IP Multicast。1.2.2、可靠性和自愈能力包括链路冗余、模块冗余、设备冗余、路由冗余等要求。 链路冗余：在主干连接具备可靠的线路冗余方式。网络自愈特性应可以保证不会引起IP路由的重新计算，不会引起业务的瞬间质量恶化，更不会引起业务的中断。 模块冗余：骨干设备的所有模块和环境部件应具备1+1或1：N热备份的功能，所有模块具备热插拔的功能，系统具备99.999%以上的可用性。 路由冗余：网络的结构设计应提供足够的路由冗余功能，在上述冗余特性仍不能解决问题时，数据流应能寻找其他路径到达目的地址。1.2.3、拥塞控制与服务质量保障拥塞控制和服务质量保障(QoS)是公众服务网的重要品质。由于接入方式、接入速率、应用方式、数据性质的丰富多样，网络的数据流量突发是不可避免的，因此，网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。 业务分类：网络设备应支持业务分类。 接入速率控制：接入本网络的业务应遵守其接入速率承诺。超过承诺速率的数据将被丢弃或标以最低的优先级。 队列机制：具有先进的队列机制进行拥塞控制，对不同等级的业务进行不同的处理，包括时延的不同和丢包率的不同。 先期拥塞控制：当网络出现真正的拥塞时，瞬间大量的丢包会引起大量TCP数据同时重发，加剧网络拥塞的程度并引起网络的不稳定。网络设备应具备先进的技术，在网路出现拥塞前就自动采取适当的措施，进行先期拥塞控制，避免瞬间大量的丢包现象。 资源预留：对非常重要的特殊应用，应可以采用保留带宽资源的方式保证其QoS。1.2.4、网络的扩展能力网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展，以及网络规模的扩展能力。 交换容量扩展：交换容量应具备在现有应用要求基础上继续扩充2-3倍容量的能力，以适应IP类业务急速膨胀的现实。 端口扩展：设备的端口应能满足网络扩容时设备间互联的需要。 主干带宽扩展：主干带宽具备带宽扩展能力，以适应IP类业务急速膨胀的现实。 网络规模扩展：网络体系、路由协议的规划和设备的CPU路由处理能力，应能满足本网络超过100个节点规模的要求。1.2.5、与其他网络的互联 保证与INTERNET、CERNET的无缝连接。1.2.6、通信协议的支持 以支持TCP/IP协议为主，兼支持IPX等协议。 支持RIP、RIPv2、OSPF、BGP4等多种国际标准的路由协议，必须采取合理的区域划分和路由规划来保证网络的稳定性；应提供适当的路由规划的后备方案。1.2.7、网络管理与安全体系 支持整个网络系统各种网络设备的统一网络管理。 支持故障管理、记帐管理、配置管理、性能管理和安全管理五大功能。 支持系统级的管理，包括系统分析、系统规划等；支持基于策略的管理，对策略的修改能够立即反应到所有相关设备中。 网络设备支持多级管理权限，支持RADIUS、TACACS+等认证机制。 支持安全监控和控制机制，当发现存在安全漏洞和遭到攻击时，应及时通知网络管理人员，并应自动采取适当的措施予以保护。 要防止黑客对网络系统攻击，还必须防止内部工作人员误操作而导致的网络故障。第二章、校园网络设计2.1、网络交换设备选型经过对校园网网络应用的分析，网络设备选择时，充分考虑满足网络的先进性，与原有的网络设备充分兼容，又不造成资源的浪费。经过对国内外不同网络设备的比较，根据多年组建网络的经验，为满足校园网网络的应用需求，网络核心交换机选用ALCATEL公司的电信级线速路由交换机OmniSwitch8800，汇集层采用ALCATEL公司电信级线速路由交换机OmniSwitch7000系列交换机。 Alcatel网络设备技术成熟，性能优良，具有全系列的网络产品（从低端到高端，从语音到数据，从ATM到以太，从局域网接入到城域网、到广域网等全系列网络产品），组网灵活、网络功能扩展方便。ALCATEL公司具有良好的信誉，所选设备具有组建许多成功的大型网络、城域网，INTERNET 网核心的案例，大楼网络采用的阿尔卡特公司的交换产品具有良好的性能价格比，完全能够满足将来网络应用的需求。方案中所选产品完全满足规定要求,具体如下：2.1.1、核心交换机OmniSwitch8800技术特性1. 网络核心交换机OmniSwitch8800性能： OmniSwitch8800交换机采用全分布式智能交换体系结构； OmniSwitch8800交换机具有18个插槽； OmniSwitch8800交换机交换容量最大为1024GB；具有L2/3/4线速包交换，交换机按全分布式硬件L2/3/4层交换配置；第二层、第三层转发吞吐能力最大为768Mpps2. 网络核心交换机OmniSwitch8800可靠性特性： 在单管理模块中，支持冗余双系统（即同一管理模块有两套操作系统和配置文件，用于当一个系统软件失败时，备用系统能够主动接管交换机；备份配置文件可自动恢复）； 主备交换引擎及交换矩阵切换时，L2、L3、L4交换不中断，丢包为“0” 交换机支持802.1w、VRRP协议； 交换机全冗余配置，具有运营商级别的可靠性，达到99999%标准；3. 协议支持： 支持路由协议：RIP V1/V2，OSPF V1/V2、OSPF，BGP4，支持分布式基于硬件的线速路由功能； 支持IPV6 支持线速策略路由；支持服务重定向 支持多播路由协议：DVMRP，PIM-SM，IGMP V1/V2/V3 ；4. 安全性特性： 交换机支持基于硬件的访问控制列表(ACL)；1) 源Slot/Port、目的 Slot/Port、源端口组、目的端口组、 源接口类型、目的接口类型2) Layer-2： MAC-SA、MAC-SA 组、MAC-DA、 MAC-DA 组、源VLAN、目的VLAN、IEEE 802.1p3) Layer-3：IP-SA, IP-SA 网络组、 IP-DA、IP-DA 网络组、IP-Protocol 4) Layer-4:：TCP/UDP协议、 TCP/UDP 源端口、 TCP/UDP目的端口 支持DOS攻击保护； 支持认证服务，支持基于RADIUS或LDAP验证； 支持NAT/PAT功能；5. VLAN支持： 支持4096个 802.1Q VLAN； 支持基于端口、MAC地址、第三层地址和协议类型、用户验证、绑定规则的VLAN； 支持802.1X认证；6. QOS支持 支持多种QoS映射方式: 802.1p到TOS和Diffserv，TOS到802.1p和Diffserv，Diffserv到802.1p和TOS； 每端口4个硬件优先级队列，支持以57K为单位的带宽控制； 支持第2、3和4层分类、优先级划分和队列机制，分类支持包括802.1Q/p、TOS、DiffServ在内的业界标准； 支持多媒体广播，及组播IGMP v1/v2/v3和组播路由协议DVMRP、PIM-SM等； 支持端到端的QOS功能；交换机支持服务器负载均衡。7. 网络管理要求： 支持多种管理手段：支持多种管理手段，包括命令行(CLI)、SNMP、完全可编辑文本的配置文件、标准Web浏览器界面等。提供了基于服务水平和策略的配置； 支持对交换机管理的安全性，集成了多种安全措施，包括：认证用户访问、SNMPv3和面向加密的SSL，SSH、面向多层访问的网络分权管理。2.1.2、接入交换机OS-6100技术特性产品型号OS-6124/6148结构 固定式（可堆叠）交换背板 8.8Gbps/13.2Gbps包交换机能力 6.6Mpps/10.2Mpps可堆叠台数 4台最小/最大10/100BASE-TX端口数 24 / 172100BASE-FX端口数 最多8个、多模光纤、SC接口（上连模块）1000BASE-SX端口数 最多4 个、多模光纤。SC接口（上连模块）1000BASE-LX端口数 最多4个、单模光纤。SC接口（上连模块）最大MAC地址表大小 8K可靠性 冗余电源(RPS)、分布式交换结构、冗余堆叠模块、冗余管理模块LEEE标准支持 802.3U 100BASE-TX 100BASE-FX、802.3Z1000BASE-FX、802.3X流量控制、802.1D/W生成树、802.1Q VLAN,IGMP支持的协议 IP、IPX ，AppleTalk支持缓存 每10/100M端口为128K，每1000M端口为2 M支持VLAN 支持256个基于端口、MAC和802.1Q 的VLAN 网管 SNMP、RMON支持和基于WEB的管理QOS 支持基于802.1p 和 DSCP1的 CoS服务等级 支持IP multicast 交换 (IGMP snooping)以支持多媒体和实时应用； 拥塞控制：流控 (back pressure 802.3x)端口捆绑 4组10/100M链路可以在一个OS-6024上定义、一组包括2组或4组。安全性 支持基于端口802.1X认证； 交换机支持端口隔离； 交换机支持端口+MAC绑定；管理 能提供广泛的管理：支持SNMP、 Web、console 和 Telnet管理；2.2、网络系统设计2.2.1、网络核心节点设计某某音乐学院校园网新校区，作为校园网的一个核心节点，设计如下：方案一：使用1台全冗余配置的ALCATEL OminiSwitch8800交换机；与校区核心节点采用千兆连接,提供1000M通信带宽；与各接入节点，采用千兆/单模与核心节点连接，以1000M速率通信。服务器采用光纤或双绞线，与核心交换机连接，以1000M速率通信。2.2.2、接入节点设计在分配线间建立接入节点，每个接入节点,根据实际用户数量,根据用户的需要，接入层交换机采用千兆/光纤，分别接入到各核心层交换机上。2.2.4、网络可扩展设计 本方案从各方面考虑，建成后的网络，其技术保持当前的先进性，能在几年内不会落后，将来网络规模和网络的技术发展了，本方案也充分给予考虑。在方案中，核心层交换机，汇集层交换机，只用了部分插槽，还有部分的插槽可供将来网络扩展使用，将来只要增加相应的通信模块，即可达到扩展网络规模的目的，接入交换机只需要增加千兆模块，即可达到扩充接入主干的能力，为将来的网络升级改造和管理带来很大的灵活性。2.3、网络可靠性设计2.3.1、核心节点的高可靠性主要从硬件和软件两个方面加以考虑，以提高网络可靠性。 全冗余设计: 管理模块、电源、交换矩阵、风冷系统冗余 软件和配置的双冗余备份及恢复机制：交换机单管理模块中，具有双操作系统，一个系统不能正常工作，交换机会自动切换到另一个操作系统，不会使交换机中断工作。交换机的配置，具有自备份机制，可向前恢复交换机配置。 管理模块故障切换时间缩短小于10秒，管理模块切换期间L2/L3数据交换保持连续，不会丢失一个数据包。 可配置多个AC电源 ，电源失败自切换，冗余恢复不会影响交换机工作。 通信模块相互独立/模块化，可实现模块冗余备份，所有的模块均支持热插拔2.3.2、网络可靠性设计根据网络系统失败的影响范围判断，网络系统可靠性要求最高是网络的主干。在方案设计时，从系统上可采用多种措施来提高整个网络的可靠性，主要包括： 二层冗余备份：802.3ad 端口绑定、802.1w FSTP（网络自愈时间 1s） 三层冗余备份： OSPF ECMP（等价多路径协议）、VRRP路由冗余协议 链路聚合：跨模块实现端口聚合，聚合支持流量负载均衡和自动备份可根据具体的需要，在网络的方案实施过程中，根据以上提供的方法，提供网络可靠性策略。2.5、校园网网络拓朴图第三章、网络的QoS设计多媒体应用信息的增多，给校园网络带来的另一个影响，是传统以太网上带宽的争用/共享模式面临挑战。视频、话音、数据信息之间争抢信道的现象将会十分突出，这就需要有完善的QoS（网络服务质量）管理机制。描述QoS的方法不止一种，通常情况下，QoS是一个网络部件提供的一些保证稳定传输网络数据的质量级别，能实现数据、语音、图象、视频通信。本方案利用ALCATEL路由交换机能够根据广泛的管理策略路由交通，使完成这项工作操作简便。基于IPTOS的路由和优先分配，优先级标记，交换机硬件支持在每一端口的应用标准的4种优先级队列，并通过权衡公平排队来管理它们，通过在第2层、第3层和第4层基于应用的交通分级，路由，QoS信息映射，可以帮助网络传输最理想的信息。本方案主要从以下方面完善QOS服务。3.1、高带宽通信平台在网络主干使用先进的路由交换机，提供极高的吞吐量和IP路由能力，从而为诸如声音和图像等传输数据流的应用提供了一条高带宽、低延迟通信通道，骨干采用2X1000M链路，接入链路采用1000M接入到核心层。交换机具有高容量的交换背板，具有大量的通信冗余量，所有这些性能设计，可确保校园网络的所有现在和可预见的应用服务，提供高性的通信网络。3.2、基于策略的QOS服务路由交换机可以根据统一的策略对不同业务赋予不同的IP COS （IP 服务类别）,并且采用基于差分服务(DiffServ)进行流量标志和分类处理 所有路由交换机会根据这个流量标志对该流量进行相应服务质量类别的处理，从而保证极佳的IP服务，提供一个分类和网络聚合流的优先级 拥塞控制：拥塞控制时实现整个QOS策略的第一步，交换机具有拥塞避免技术。这些技术反馈网络拥塞信息给数据源，使得数据源降低其数据发送速率，最终消除网络拥塞。这一点非常重要，因为当拥塞连续发生较长的时间时，简单的拥塞控制就不那么有效了。一个有效的QOS战略应实现有效的拥塞回避机制从而避免长时间持续的拥塞。 队列管理：不同应用，实行队列管理，每个端口支持4个硬件队列优先级。 带宽管理：基于进入的溢出带宽限止，每个队列支持以57kbps单位的带宽增量，来控制通信的带宽，根据不同应用，充分合理利用网络带宽资源，实现带宽控制。3.3、支持端到端的QOS服务本方案网络汇聚层交换机层ALCATEL OmniSwitch 8800，支持多种QOS映射，可完成接入交换机到接入交换机的QOS映射，识别所有QOS服务，实现端到端的QOS服务。确保校园网络所有信息点均可得益于QOS服务，真正实现用户到用户的QOS。3.4、组播协议支持在网络中，涉及QoS的一个重要应用是多媒体组播，对于多媒体服务而言，MultiCast是一个重要的协议，它将多媒体组播占用的网络带宽降到最低，从而保证多媒体服务质量。网络支持IGMP和 DVMRPv2、PIM-SM等组播路由协议，可实现在校园网络中，不同IP网络间，实现良好的组播和视频点播应用。3.5、支持服务器负载均衡在局域网应用中，有时一台服务器是不能完全满足应用的要求，例如互动多媒体应用、视频、音频应用，对交换机和服务器提出了更高的要求，要同时达到成百上千个多媒体的请求，就需要服务器具有同时完成上千个（每个几百K）请求的能力。网络设计时，充分考虑到将来网络的应用、用户扩展。随着用户数量的增加，实际情况是，一台服务器往往不能完成这个任务，就需要增加多台服务器来完成这个工作。这要求交换机具有协调各个服务请求的智能性，用户只使用一个IP地址。为了确保网络的正常运行，不会因网络的并行用户的增加、服务器的单点故障、某些服务器的应用故障等难以预期的问题出现。本方案充分利用ALCATEL交换机的三层服务器负载均衡功能，保障应用服务器协调工作。三层服务器负载均衡，对所有访问服务器的服务应用请求，根据多种策略，动态分配到每一台服务器上，克服以上难以预期问题的出现。合理分配服务器响应，为用户提供最快捷的服务请求响应，使多台服务器，共同完成应用服务响应，消除单台服务器故障、单台服务器性能的不足而影响到局域网应用，实施负载流量控制，使每一台服务器的资源，能得到充分的利用，充分保障局域网数据中心的服务质量。如下图所示：3.6、校园网组播(IP Multicast)服务支持随着对视频、多媒体应用带宽需求的急剧增加，以及各种新兴应用的不断开展，传统的数据传送方式已经不能适应应用发展的需要。例如在一个网络上有2000个用户需要接收相同的信息时，传统的解决方案要么把这一信息分别发送2000次，以便确保需要数据的用户能够得到所需的数据；要么采用广播的方式，在整个网络范围内传送数据，需要这些数据的用户可直接在网络上获取。这些方式都浪费了大量宝贵的带宽资源，特别是网络上只有少数用户需要数据时，这种浪费更加明显。IP组播就是为了解决这个棘手问题而开发出来的。IP组播采用了组地址的概念，把需要数据的用户编入用户组，并利用一些高级的网络协议来确保最经济地利用带宽，把数据通过用户组传递给真正需要的用户。IP组播还能减轻服务器的负担，提高电子商务应用程序的效率，从而革命性地改变网络的性能，节省大量的经费，并能带来更多新的增值服务。 在局域网中，涉及QoS的一个重要应用是多媒体组播，对于多媒体服务而言，MultiCast是一个重要的协议，它将多媒体组播占用的网络带宽降到最低，从而保证多媒体服务质量。网络支持IGMP和 DVMRPv2、PIM-SM等组播路由协议，可实现在局域网中，不同IP网络间，实现良好的组播和视频点播应用。3.6.1、解决实际问题的可行方案 当信息（包括数据、语音和视频）传送的目的地址是网络中的少数用户时，可以采用多种传送方式，例如可以采用单播（Unicast）的方式，即为每个用户单独建立一条数据传送通路；或者采用广播（Broadcast）的方式，把信息传送给网络中的所有用户，不管他们是否需要，都会接收到广播来的信息。随着Internet上应用和技术的发展，以上2种方式由于浪费了大量宝贵的带宽资源而逐渐失去了光彩。广播方式也不利于信息的安全和保密。 IP组播技术的出现及时解决了这个问题，它仅仅给所有需要相同数据的用户发送一次信息，并且在传递的过程中在网络关键节点处不断地进行信息的复制和分发，因此信息能被准确高效地传送到每个需要它的用户。简单来说，IP组播是一种保存带宽的技术，它采用的方式是把一个单独的信息流同时传送到许多接收者那里，从而减少了网络的流量，IP组播技术对于像视频会议、视频点播、远程教育和实时训练等应用来说非常适合。如图所示： 3.6.2、IP组播中的组动态 IP组播依靠虚拟组地址（Virtual Group Address）的概念进行工作。在一般的TCP/IP路由中，一个数据包传输的路径是从源地址路由到目的地址，利用“一跳到下一跳”（hop-by-hop）的原理在IP网络中传输。然而在IP组播的环境中，数据包的目的地址不是一个而是一组，形成组地址。所有的信息接收者都加入到一个组内，并且一旦加入之后，流向组地址的数据立即开始向接收者传输。组中的所有成员都能接收到数据包，因此为了接收数据包，必须首先成为组的成员，而数据包的发送者并不需要是组中的成员。 组动态（Group Dynamics）的工作情况如图3所示。在这个环境中，数据传向组中的所有成员，不是组中成员的用户不会收到这些数据，正如图3中的黑色箭头指示的方向。然而，非组成员可以向组中发送数据，如图中黄色箭头指示的方向。 3.6.3、组播路由协议 因为组播中的组地址是虚拟的，所以不可能如同单播那样，直接从数据源一端路由到特定的目的地址。相反，一个组播应用程序发送一个数据包给一组希望接收数据的接收者（组播地址），而不是仅仅传送给一个接收者（单播地址）。组播依靠网络来发送数据包到那些需要数据的网络和主机，也就是说，组播能控制网络使用的总体带宽，并能大大减轻主机的处理过程。 组播路由建立了一个从数据源端到多个接收端的无环数据传输路径。组播路由协议的任务就是构建分发树结构。组播路由器不仅要知道数据将传往何处，而且知道数据是从何处传来的。组播路由器能采用多种方法来建立数据传输的路径，即分发树。 l 稠密模式组播 稠密模式组播把数据包用泛洪的方法传递给网络中每个路由器的所有网络接口，网络中的任何一个路由器都知道每个目前活动的发送者的组地址和每个数据源地址。数据会在路由器中缓存一段时间，然后要么路由器会报告超时（没有IGMP报文需要这个信息），要么因为发送者仍然处在活动的状态而重新把数据用泛洪的办法进行发送。那些没有活跃用户的路由器，例如没有IGMP报文产生的路由器，将从分发树中被修剪掉。 稠密模式组播其实并不是一种理想的组播实现方式，因为它在大型或具有冗余功能的网络中并不能很好地得到应用。例如，一个网络若有200个子网，而其中仅仅有5个用户希望用组播的方式进行视频会议，这时若通过稠密组播方式来传送2Mbps的视频数据时，将会在200个子网中的每个局域网段中产生2Mbps的数据，力图使那5个用户能准确接收到信息，在这种情形下，巨大的不必要数据流量将对局域网性能产生严重的负面影响。在200个子网中传递数据给5个用户的情形代表了网络使用的一种稀疏状态，这时如果采用稀疏模式的组播路由更加合适。 稠密模式下的典型路由协议是距离向量组播路由协议（Distance Vector Multicast Routing Protocol，DVMRP）以及开放最短路径路由协议的组播扩展（Extensions to Open Shortest Path First，MOSPF）。 l 稀疏模式组播 稀疏模式组播克服了网络中只有少数用户时的流量泛洪问题。网络界倾向于采用稀疏模式组播，因为它在用户数目稀少和众多的情况下都可以正常工作，并且针对少数用户的组播进行了优化。无论把数据传输给所有的用户或者少部分用户时，稀疏模式组播都能高效地进行数据传递。 目前最流行的稀疏模式组播协议是稀疏模式下的PIM协议（Protocol-Independent Multicast-Sparse Mode，PIM-SM），它认为网络中只有通过IGMP报文进行申请时才能得到所需要的数据包，数据集合点在网络中构建，这些集合点是一些虚拟的数据交换地点。集合点把自己向网络中的所有设备进行广播，并且管理数据源和接收者之间的通讯。 对于发送端来说，如果想要给特定的地址发送数据，那么要首先在集合点进行注册后直接把数据发向集合点。 对于接收端来说，如果希望接收数据，主机需要通过最近的路由器加入到集合点中来，建立从源到接收者的分发树。 当数据到达了集合点后，组播数据包被复制并沿着分发树路径把数据传给对其感兴趣的接收者。复制仅仅在分发树的分支处才发生，而且这个过程能自动重复直到数据包最终到达了目的地。例如当用户在PC上采用点击方式申请视频点播信息时，一个“报文”信息就会发送到离主机最近的路由器处，路由器将回复一个信息通知这个视频流点播的组地址，以及这个组的数据集合点地址。然后加入的申请就发往集合点路由器的所在地。一旦离主机最近的路由器把用户加入到已存在的分发树中后，或者再建立一个新的分发树，视频数据就开始流向需要它的用户。 - 稀疏模式组播具有在传输路径中的每个分支处复制数据的能力，消除了以前为了使用户能准确接收数据而在路由器的接口处采用泛洪不必要流量的缺陷，以及那种为每一个接收者单独复制一份相同数据的做法。由于具有上述这些优点，稀疏模式组播能在局域网中得到很好的运用。 3.6.4、在IP网络上配置组播的策略 为了能在校网和服务提供商网络上成功地配置IP组播，必须首先确认网络中的第二层交换机能够控制组播流量的泛洪传播。其次，网络必须支持稀疏模式组播路由协议PIM-SM，客户机上的IP协议栈需要支持Internet RFC 1112或2236所定义的组播标准，校园应用程序也必须支持IP组播。目前流行的操作系统都支持IGMP和IP组播协议。 在核心交换机、汇集交换机中，利用稀疏模式组播路由协议PIM-SM，设置组播路由。启用IGMP协议，在接入二层交换机上，利用IGMP snooping，支持IP组播应用，使局域网能够对视频、语音和数据多媒体等应用具体良好的支持，满足现在和可预知的应用。第四章、网络的安全设计安全性是教育、政府信息管理系统最重要的系统需求之一，它包括网络系统安全性和信息应用安全性。系统要采取多层保护和防范措施，既要防止局域网外非法用户的侵入，又要保证局域网内的工作人员分级按权限操作，同时要保证系统长期稳定地运行。 互联网络由于网络结构无常、复杂、地域广阔、拥护众多、主机品种繁多，安全问题更为突出，影响网络信息安全性的因素主要体现在：网络结构因素、网络协议因素 、地域因素 、主机因素 、攻击系统安全性的方法和类型等。 4.1、网络安全需求网络时代所构筑起的新的生存方式和生活方式，正影响着今天学生们的认知、情感、思想和心理。由于学生群体集中的特点，一旦某种网络生活方式在学生中形成，会使这一方式以巨大的力量和极快的速度在青年学生间相互影响并传播开去。通过对校园网的网络、应用和安全管理的现状分析，我们认为在校园网中，普遍存在以下安全需求： 要加强对校园网特别是对外服务器网段和内部服务器等重点网段的保护，校园网与外网之间的访问连接必须得到控制；办公、教研网络要和非办公、教研网络隔离。 加强对学生上网行为的管理，净化学生心灵，限制学生访问Internet上的反动、 色情、暴力等不健康网站和网页。 加强对学生上网时间的控制，防止学生无节制地上网，特别是通宵达旦地在网 络上聊天、游戏等。 加强对校园网的内部应用服务器和应用系统的安全保护，加强用户身份认证和 访问控制等安全管理功能，防范非授权访问，防范敏感信息泄密。 针对Web服务器，要加强防攻击和防主页篡改能力。 加强对网络病毒的防范，防止网络病毒在校园网泛滥。 对针校园网的攻击行为以及从校园网发出的攻击行为，必须能够实时检测并阻断。 加强校园网内部的安全管理，提高全体用户的安全意识。4.2、网络安全策略就如同现实的校园生活一样，纪律的约束和安全策略的制定是确保校园秩序稳定的前提条件。为此，根据校园网络的安全需求，我们建议采取以下安全措施，以为校园网络构架一个科学合理的网上学习、交流、休闲、娱乐环境，主要采用如下的策略：1) 在网络出口设置防火墙： 在校园网INTERNET出口，配置一台硬件防火墙，利用防火墙和交换机的NAT和PAT功能，提供IP地址的转换和隐藏。在防火墙中设置实时入侵检测（IDS），对各种针对校园网的攻击行为能够实时检测到并且阻断、报警。2) 存取权限限制：针对整个校园网和部分重要的网段（如校长办公、财务、人事、教研中心、重要实验室等），提供以下安全策略： 在交换机中设置访问控制列表； 利用交换机多样的VLAN策略（8种），各部门间可划分VLAN隔离； 利用交换机的用户验证功能，对公共数据的访问可采用用户验证； 利用交换机的端口隔离功能，使用户相互隔离。3) 信息过滤： 针对上网比较集中的网段（如学生机房、宿舍等），设置Internet访问控制管理系统，对学生的上网行为进行管理和监控，设置内容扫描和过滤，限制学生访问黄、赌、毒、暴等网站；利用经济手段，引导学生提高上网效率，把校园网的作用最大限度地发挥出来；4) 身份识别： 利用操作系统的存取控制、数据库的存取控制 利用交换机的用户验证功能，对公共数据的访问可采用用户验证5) 防病毒设计： 建立统一、集中的病毒防范体系，特别是针对重要的网段和服务器，要彻底堵截病毒的传播；对应用程序的存取控制和日常的病毒扫描体系等。 利用交换机的自身防攻击、防病毒功能，保证网络交换平台的正常运行。严格对网络系统、安全设备的管理，加强对校园网用户的安全意识教育和安全技术培训，提高整体安全防范能力。可以说，学生群体网络生活方式的质量高低、文明与否，不仅影响到我国学校园的网络文化建设，甚至会影响到整个社会乃至国家的未来。如何管理好学校的校园网，贯彻好关于信息网络化“积极发展，加强管理，趋利避害，为我所用”的十六字方针，是学校和教育部门必须面对的问题。 4.3、网络安全系统具体规划4.3.1、设置访问过滤规则（ACL）在核心层交换机上，可设置不同的过滤规则，使不同网段间、不同IP地址、端口、MAC、VLAN间，进行访问控制，对用户进行有效隔离， Alcatel公司OmniSwitch 8800交换机，开发了称为IP Filtering的高速包检测技术。IP Filtering是一种硬件路由ASIC，IP Filtering以线速控制网络、主机和硬件中的服务。只允许授权用户访问所跨越的区域。它能够按源和/或目标IP和TCP信息域发送包。可基于以下策略进行规划： 源/目的 槽位/端口、源MAC 源/目的 VLAN、源/目的 IP 地址 源/目的 TCP & UDP 端口 支持内部发起连接的Reflexive 端口 实现网络病毒的过滤阿尔卡特OmniSwitch 8800交换机可以根据信息包的第二层信息、第三层信息、第四层信息，还可以将所有以上信息综合在一起进行过滤。并且实施的过滤策略的数量与系统性能没有关系。这些策略直接加载在单个端口上，在每个端口上线速度执行。4.3.2、内部网络权限控制-设置VLAN本网络的基本通讯协议是TCP/IP、IPX协议。在内网络中可以通过在交换机上，基于一定的策略，把用户分为不同的“逻辑工作组”（VLAN），而不改变网络的物理连接。一个逻辑工作组就是一个虚拟网。同一个逻辑工作组中的用户，可以不受物理网段位置的限止，通过一定的策略，定义网络资源的访问权限。本方案中，核心层、接入层交换机支持最高达4,096个 802.1Q VLAN， VLAN的划分可基于以下策略： 基于端口、MAC地址、第三层地址、端口绑定、协议类型和用户自定义的 VLAN 身份验证和基于策略的VLANl 可通过以下VLAN规划，满足网络更多安全要求：通过基于端口、MAC、协议和端口绑定规则划分VLAN，网络不同的用户、系统和部门，根据实际的需要，划分成不同的逻辑子网。相互之间通过一定的访问策略来实现资源的访问控制。防止未经许可的用户非法进入访问网络，并读取、改写文件。如下图所示：4.3.3、防IP地址盗用网络中对IP地址的管理是一件非常麻烦的工作，经常出现重要的IP地址被盗用，影响网络的正常运行（如服务器地址等）。防止IP盗用和IP冲突，可采用端口绑定的策略，任何非成功尝试将导致SNMP trap，可完全消除IP地址冲突的问题。本方案充分利用Alcatel公司OmniSwitch 8800交换机绑定规则的VLAN策略，来灵活满足应用要求，具体如下：1) port + MAC + protocol2) port + MAC + IP address3) port + MAC 4) port + protocol5) port + IP address 6) MAC + Protocol4.3.4、内部网络权限控制和身份验证-交换机用户验证对重要数据的访问保护：在校园网络中，可利用交换机的用户验证功能，使用户无论位于网络的任一地点，均可通过验证授权访问重要的数据资源。只有通过验证的用户，他使用的电脑的MAC就自动加入到数据资源的VLAN中，即可访问资源，验证通过后，以线速通信。具有比传统验证更快的优点。没有通过验证的用户，是不能访问重要的资源的。支持如下的验证： LDAP RADIUS ALCATEL自已的验证服务器接受所有基于标准的RADIUS执行，可实现： 校验用户身份 管理用户到特权网络 支持与域服务器用户统一的密码系统 客户端支持： TELNET WEB AV-CLIENT工作如下图所示：4.3.5、用户在网络中移动和限止任意访问策略针对校园网络的用户，需要在全校园网络内灵活机动，无论其在网络的哪里接入，只要用合法的用户名和密码，就可访问相应的网络资源。可采用如下策略：l 1、DHCP+WEB的认证本方案可利用Alcatel公司OmniSwitch 8800交换机支持基于DHCP+WEB的认证功能。在校园网络中，基于LDAP和RADIUS的用户验证，使用户无论位于网络的任一地点，均可通过验证授权访问重要的数据资源。只有通过验证的用户，使用的电脑的MAC就自动加入到数据资源的VLAN中，即可访问资源，验证通过后，以线速通信。具有比传统验证更快的优点。没有通过验证的用户，是不能访问网络资源的。同时与校园网络目录服务或域用户名和密码集成，用户不需要记两套用户名和密码。l 2、802.1X的认证本方案可利用Alcatel公司OmniSwitch8800交换机支持基于802.1X的端口认证功能。在校园网络中，基于802.1X的用户验证，使用户无论位于网络的任一地，只要通过认证，所连接的交换机端口，即可允许电脑访问校园网络的资源4.3.6、防管理用户名和密码嗅探-交换机管理加密网络中存在大量的工具嗅探网络密码和地址，如果成功，就可直接控制交换机等网络设备，影响到校园网的通信和安全。Alcatel公司OmniSwitch8800交换机支持SSH、SNMPV3和SSL加密，确保校园网中交换机所有的管理数据进行加密，使网络管理十分安全。4.3.7、主机强制性免疫检测网络利用ALCATEL的主机强制性免疫检测功能,使用用户认证(Authenticator is workgroup switch)，利用交换机端口与安全免疫区服务器系统的联动，对主机强制进行安全免疫，每台主机安装有检测主机完整性的代理: 防病毒Virus, 防火墙代理, 入侵检测代理 系统检测代理只有主机检测代理检测系统安全的情况下,才能打开与交换机连接相应的通信端口。主机首先与安全策略服务器通信,进行主机系统安全性检测,安全检测通过后,先将认证信息转给RADIUS服务器,主机认证信息包括: 认证信息包括用户名和密码; 主机认证的安全性的完整信息。只有符合以上的条件的用户，才能获得RADIUS服务器认证，认证通过后，RADIUS送出组的相关信息，授权信息被送到交换机，用户被加入到特定的数据组中。如果主机没有通过主机完整性检测，安全策略服务器给交换机发出一个检测信息,用户电脑则被放进一个特定的隔离的虚网。4.3.8、应用层面的攻击检测和消除（与防火墙、INDS安全联动）防火墙只能保证外部网络对内部网络的入侵，但在校园网内部，有很多学生的模拟攻击，对网络的安全构成很大的威协，需要一个很好的内部安全策略，利用ALCATEL的AQE（自动入侵隔离引挚）/OmniVista ，可以与防火墙和NIDS、IDP联动，只要防火墙、NIDS检测到网络中有攻击行为时，就会发出一个LOG信息到AQE系统，顺利找到攻击点，然后，AQE分别向ALCATEL交换机发出指令，隔离相应的主机，或过滤相应的主机通信。例如中毒的机器攻击服务器（如端口扫描），IDP识别攻击和攻击的发起源，网管NMS监测到网络的异常，IDP通知 VQE/OmniVista 攻击的种类和攻击的发起源，网管软件通过检测到的信息，联动控制交换机的端口。当Trap 显示和采取管理员预先定义的回应措施，可产生如下结果：1. 中断报错的用户端口2. 生成过滤表 (on port / VLAN / Switch / Network)3. 将报错端口移入隔离的虚网这样就可将中毒的机器与应用网络隔离开来。4.4、网络设备的安全性管理4.4.1、防学生实验性攻击-交换机的防攻击网络方案除从网络应用的角度考虑安全问题，还从交换机自身的角度来考虑安全。支持DOS(拒绝服务)攻击保护 ，确保在受到攻击时交换机不会瘫痪，增强了系统和网络的可用性。防止恶意用户向网上发送大量信息，使网络处于高负荷运转。Alcatel公司OmniSwitch系列交换机支持DOS(拒绝服务)攻击保护，针对最常见的DoS攻击进行了防护，确保在受到攻击时交换机不会瘫痪，增强了系统和网络的可用性。防止恶意用户向网上发送大量信息，使网络处于高负荷运转。主要可以采用以下的方法，来保证交换机的安全，具体如下： 针对最常见的DoS攻击进行了测试 Port scan TCP SYN attack Ping of Death attack Smurf attack (ICMP) Pepsi attack (UDP) Land attack Teardrop attack Bonk attack Boink attack Fragmentation DoS 基于以下特征设置对交换机的管理和访问 基于Coronado ASIC芯片的 ACLs Layer 3 (IP 源地址/目的地址) Layer 4 (TCP/UDP 源端口/目的端口 基于用户ID定义对交换机的管理 AAA 服务 本地交换机数据库 远程数据库- RADIUS, LDAP, RSA 基于权限的 (分权管理) 端口 (通过远程数据库) 交换机 (通过远程数据库) 采用远程AAA 数据库时维护审计记录 用户名, MAC 地址, IP 地址, 交换机ID, 槽/端口, 登录事件, 退出事件, 发送字节数, 接受字节数, 断开原因等 网络管理员可以用来监控对网络设备的访问4.4.2、防管理用户名和密码嗅控-交换机管理加密在局域网中，存在大量的工具嗅控网络密码和地址，如果成功，就可直接控制交换机等网络设备，影响到局域网的通信和安全。Alcatel公司OmniSwitch系列交换机支持SSH、SNMPV3和SSL加密，确保局域网中交换机所有的管理数据进行加密，使网络管理十分安全。 保护客户端 (管理员/ 策略服务器)和交换机间的通信 Socket 层次的保护 采用客户机/服务器协议保护基于TCP的通信 保护 HTTP WebView 的通信 保护 HTTP A-VLAN 客户机登录的数据 保护LDAP 策略服务器的通信 基于 RSA B-SAFE 编码 基于加密和认证的安全性 SNMPv3 保护交换机和管理工作站间的通信 SNMPv3：通信加密 Secure Socket Layer (SSL) 加密的Client/Server通信进程 应用实例 : WebView网管4.5、应用防、杀病毒设计 1) 网络应用防、杀病毒设计（建议）网络应用的无限性，给网络的应用也带来潜在的威胁，网络病毒的传播就是其中的一种。对一个高性的网络来说，选择一种好的处理病毒机制是非常重要的。网络的建设成功，给用户打开新的广阔天地，而由此开始的频繁邮件来往、磁盘和光盘等存储介质的大量流动使用给网络的安全稳定健康运行带来极大的隐患。在做好信息过滤的同时加强网络病毒监控清除。在病毒