锐捷高校学生宿舍网解决方案.doc

锐捷网络高校学生宿舍网解决方案高校学生宿舍网网络解决方案锐捷高校学生宿舍网解决方案目 录第1章.高校学生宿舍网建设现状4第2章.高校学生宿舍网应用特点及需求分析52.1.高校学生宿舍网应用特点52.2.高校学生宿舍网面临的挑战52.3.高校学生宿舍网应用需求分析72.3.1.接入控制需求72.3.2.网络安全需求72.3.3.网络高性能需求72.3.4.计费需求72.3.5.网络管理需求72.3.6.资源可控管理需求82.3.7.其他需求8第3章.锐捷网络高校学生宿舍网解决方案83.1.网络结构设计83.2.网络设备选型93.3.认证计费技术选择103.4.认证计费管理系统设计123.4.1.系统的合理规划与设计123.4.2.RG-SAM系统关键功能说明143.4.3.RG-SAM与RG-NTD的结合313.4.4.无线部署333.4.5.IPv6环境下的身份认证363.5.网络设备管理平台设计363.5.1.稳定的可扩展的软件体系结构363.5.2.强劲的网络拓朴发现能力373.5.3.增强的设备管理能力383.5.4.智能化的事件管理机制383.5.5.高效的性能监视和预警功能393.5.6.基于数据库的灵活的网络应用403.5.7.友好的用户界面41第4章.合理的选择相关运营管理策略414.1.选择合理的计费策略414.2.选择快捷的开户方式424.3.选择便利的缴费方式434.4.其它选择444.4.1.帐号的命名规则444.4.2.用户分组的规则454.4.3.IP地址的分配方式454.4.4.如何试运行464.4.5.客户端的发放方式474.4.6.故障处理方式48第5章.学生宿舍网投资回报分析49第6章.完善的售后服务516.1.“6S服务”坚持服务质量和满意至上的6个标准526.2.全程服务 首问责任制526.3.定期回访 “关怀卡”服务526.4.遍布全国的客户支援中心、售后服务站点53第7章.大规模成功应用案例分析537.1.华中科技大学学生宿舍网537.2.中国人民大学学生宿舍网案例607.3.东北财经大学校园网核心骨干改造案例647.4.哈尔滨工业大学研究生宿舍楼网络建设介绍697.5.武汉大学学生宿舍网方案介绍73第1章. 高校学生宿舍网建设现状2002年后，国内高校的校园网建设开始从办公区、图书馆区延伸到教学楼、学生宿舍以及教师家属区。尤其在2003-2004年间，宿舍网的建设达到了一个顶峰。目前，大约有65%-75%的高校都已经完成了对宿舍网的建设。CNNIC在2007年1月的第19次中国互联网络发展状况统计报告中指出，中国网民总数已经达到1.37亿，而上网用户中的学生比例占到了32.3%，这些用户都集中在校园网内部或者学校外面的网吧。由于学校上网用户密度大，已经越来越成为学校或者运营商关注的一个热点。目前，包括中国电信、中国网通等在内的运营商都已经开展了学生宿舍区的上网业务。可见，一方面，宿舍区的上网需求很大；另一方面，投资宿舍网收益很高。我们从下面的图表也可以看出，投资在1-3年的时限内将会全部收回。之后的收益除部分上教学校外，节余的部分资金能够进一步改善我们的网络环境，提高网络中心的人才培养水平。而对于已经完成建设的宿舍区网络，由于种种的原因，从实际运营管理情况来看，效果并不是很理想。所以，如何建设一个高度可运营、易管理的宿舍网，来提供高质量的网络服务；并通过合理的运营计费策略，实现以网养网的目的，对于高校来说仍然是一个很重要的课题。第2章. 高校学生宿舍网应用特点及需求分析2.1. 高校学生宿舍网应用特点l 用户数多，扩展速度快高等学校一般在校学生都比较多，且随着高校的扩招和合并，学生用户数越来越大；另外一个导致学生用户数增加的原因是随着社会经济的发展，拥有电脑的学生越来越多。（权威调查显示这个比例平均已达三成，某些学校更是高达七成多）。l 网络应用复杂，流量大高校宿舍网面向的接入用户是在校学生和教工，上网的时间相对比较集中（主要集中在晚间和节假日），所以在此时段网络访问流量会较大，在一些特殊时候可能会出现大量的网络突发流量。学生使用网络主要进行FTP文件传输、在线音乐、在线影视、网络游戏等大流量的网络应用；更为严重的是，目前P2P的广泛应用，尤其是BT的使用大量消耗出口带宽，很容易造成网络的堵塞，以及管理的困难。l 安全隐患大学生是一个易接受新事物、喜欢尝试探索、好成就、好攻击的“危险群体”；而且正是由于网络的便利性，各种各样的攻击工具可以随手拾来。l 不易管理学生用户中经常发生IP地址盗用、IP地址冲突、帐号盗用、设置代理服务器等令网络管理及维护人员非常头疼的问题。l 逃避收费学生群体经济条件相对较差，使得高校学生用户千方百计地逃避收费，给运营收益带来了极大的压力；2.2. 高校学生宿舍网面临的挑战l 接入要可控必须做到认证入网，以及保证接入的公平性（只有申请开户的合法用户才可接入）l 系统要安全做到准确有效的身份认证、快速的审计定位（尤其在病毒泛滥，发生网络攻击的情况下，要能定位到个人）。l 网络要高效保证在大用户数大流量情况下，网络仍然具备高效率，无性能瓶颈，无单点故障。l 如何运营收费 针对收费方（学校），缴费方（学生）是一对矛盾，如何进行合理、灵活的计费策略？以及如何避免由于通过架设代理服务器进行逃费而带来的收费盲点 面对用户各种各样的需求，需要建立一套完善的计费策略（比如按天计费，包月计费，按学期计费，甚至包月限流量等等）l 如何轻松管理 系统运营之初面临着大量的用户，各种不同类型的用户申请开户，如何解决管理员的低效率与用户希望快速方便开户之间的矛盾？ 每学期开学，甚至每个月的缴费高峰，如何解决用户缴费麻烦，等待开通周期漫长的矛盾？ 面对BT下载带来的带宽占用，面对某个集中时间段突发的大流量，如何进行有效的流量管理，保证高质量的网络服务？ 宿舍楼如此之多，设备如此之多，如何高校的管理设备？出现安全事件，病毒泛滥如何快速有效的解决问题、恢复网络？总的来说，我们面临着如何进行设备管理、用户管理、流量管理、如何保证资源不被滥用（包括IP地址盗用、MAC盗用、帐号盗用）的严峻的考验。l 如何应对新的应用 如何对目前P2P的广泛应用带来的流量进行有效管理？ 如何应用IPv6对认证计费系统提出了更高的要求？ 面对目前无线的越来越广泛的应用，以及无线带给用户的方便快捷的体验，那么如何对无线用户如何进行统一身份认证？。2.3. 高校学生宿舍网应用需求分析2.3.1. 接入控制需求l 需要有效地对学生进行接入控制，保证只有申请开通的合法用户才可以使用网络；l 能够对接入用户进行帐号与IP、MAC、端口等多元素绑定，以唯一确定用户身份，同时做到准确定位；l 能够灵活限定帐号漫游的范围；l 针对目前学生沉迷于网络，以至于影响学业的实际情况，需要能够对用户的接入上网时间段做灵活的控制；2.3.2. 网络安全需求l 结合交换机对病毒的传播蔓延有控制手段；l 防止对设备、对系统、对其它合法用户恶意攻击；l 丰富的日志记录，当出现安全事件时能协助审计快速定位；2.3.3. 网络高性能需求l 认证计费效率高，对用户的认证和计费不会对网络性能造成瓶颈；l 系统支持几万及以上用户（要求最高可达十万）同时在线并正常运行，用户不会感觉网络速度慢；l 大用户大流量情况下，系统依然保持高性能，提供可靠运行；l 为了能在系统故障或者维护期间提供不间断服务，需要支持系统群集部署；2.3.4. 计费需求l 系统支持计天、包月、计时长、按流量、卡业务等计费功能；l 支持灵活计费，比如计天当天不使用不扣费、一次缴费自助分段开通等；l 防止学生架设代理服务器，避免一个帐号多人同时使用；2.3.5. 网络管理需求l 需要方便的进行用户管理，包括开户、销户、资料修改和查询、缴费；l 需要能对用户进行分级管理，认证计费系统需要支持远程登录的方式进行管理；l 需要能够对网络设备进行集中的统一管理；l 能够对P2P应用进行可控操作（封锁、限速、限流量等）；2.3.6. 资源可控管理需求l 需要有效解决IP地址冲突问题；l 需要有效解决IP地址盗用问题；l 需要有效解决账号盗用问题；l 需要有效控制学生私自架设代理服务器；2.3.7. 其他需求l 为了保护既有投资，降低网络改造成本，需要兼容主流厂商的交换机；l 需要系统能够支持无线接入用户的认证计费；l 要求系统支持IPv6环境下的计费认证；第3章. 锐捷网络高校学生宿舍网解决方案3.1. 网络结构设计遵循网络的层次化、模块化的设计思想，我们采用核心、区域汇聚、楼栋汇聚、接入的四级网络架构，采用万兆核心、千兆到楼栋、百兆交换到桌面，为用户提供高速的数据交换。网络的发展趋势是“智能到边缘、安全到桌面”，结合学生宿舍子网应用复杂，安全隐患大，所以在网络结构设计上采用分布式三层交换、分布式ACL、分布式认证，最大程度的提高网络的性能、效率和安全性；在资金允许的情况下，最好在楼栋一级采用三层交换机，因为楼栋一级采用三层交换有如下好处：1. 分流区域汇聚/核心数据处理能力、降低核心路由交换压力。2. 更好抑制广播风暴、提升网络性能。3. 终结各VLAN信息、增强核心路由管理能力。4. 网络层次结构更加完善、可汇总路由，降低核心路由表项。5. 安全性更高，更强的预防和控制，对网络攻击、病毒和破坏尽量控制在边缘完成。6. 扩展性更强、快速定位故障点、更易于管理。7. 各接入层内部通讯量大，实现了本地三层交换。 3.2. 网络设备选型核心层/区域大汇聚交换机负责全网数据交换、全网安全控制，并负责路由管理、网络服务管理，所以需要核心交换机支持高背板、高带宽、高的二三层包转发速率以及具备高的端口密度以适用网络规模的扩展，并保证高可靠和高稳定。锐捷网络最新的86系列、96系列面向10万兆平台高密度核心交换机更是为超大型校园网/宿舍网的高可靠和高稳定性提供了保障。因为学生宿舍网是校园网的一部分，对于校园网的核心以及学生宿舍子网核心（区域大汇聚交换机）建议采用锐捷的最新RG-S8600系列。RG-S8600是锐捷网络推出的面向10万兆平台设计的下一代高密度多业务IPV6核心路由交换机，满足未来以太网络的应用需求，支持下一代的以太网100G速率接口，提供10竖插槽设计和6横插槽设计两种主机：RG-S8606和RG-S8610。RG-S8600系列高密度多业务IPV6核心路由交换机提供3.2T/1.6T背板带宽，并支持将来更高带宽的扩展能力，高达1190Mpps/595Mpps的二/三层包转发速率可为用户提供高密度端口的高速无阻塞数据交换。RG-S8600系列高密度多业务IPV6核心路由交换机提供全面的安全防护体系，提供分布式的业务融合平台，满足未来网络对安全和业务的更高需求。楼栋交换机必须提供全线速的数据交换，保证接入节点和核心节点数据交换的畅通无阻，同时当网络流量较大时，能够对关键业务的服务质量提供保障，并且最好能够提供本地的三层交换。同时，面对IPv6应用的越来越广泛，最好能支持IPv6业务，或者能为将来保护投资，避免更换设备带来的不必要的麻烦。 所以楼栋交换机建议采用锐捷的双协议栈多层交换机RG-S3760系列产品，该交换机是业界第一款硬件全面支持IPv6的机架式多层交换机系列产品，拥有特有的CPU带宽保护机制，以及为适合大型网络动态路由需要而设计的超大容量路由表和丰富路由协议。另外，支持丰富的组播协议，组播应用面广（教学观摩、教学监控、视频点播、教室安全监控），强大的QoS功能，基于数据流的带宽控制精细灵活，提供二到七层的智能的流分类和完善的服务质量（QoS）特性，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，可有效防止和控制病毒传播和网络攻击，控制非法用户使用网络，保证合法用户合理使用网络资源，充分保障网络安全和网络合理化使用和运营。接入交换机提供用户的直接接入，为了满足日益兴起的视频、音频应用，需要接入层设备支持良好的QoS，以达到与汇聚以及核心设备一起提供端到端的服务质量（QoS）保证；另外需要具备Vlan和ACL功能实现信息安全和对病毒的控制；最后，接入层交换机需要做到良好的接入控制能力，保证网络的接入可控和有效管理。所以接入交换机建议采用锐捷的智能安全交换机RG-S2126G/S2150G，RG-S2126G/S2150G是两款全线速可堆叠的安全智能交换机，在提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性同时，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，可有效防止和控制病毒传播和网络攻击，控制非法用户使用网络，保证合法用户合理使用网络资源，充分保障网络安全和网络合理化使用和运营。3.3. 认证计费技术选择目前认证计费领域比较常见的有三种技术：PPPoE、Web Portal、802.1X，为何目前802.1X总是成为众多高校的首选？下面我们就简单分析一下这三种技术。首先是PPPoE技术，它的应用模式和原有的电话拨号是一致的，接受起来比较容易。PPP是从窄带网引入到宽带以太网的。虽然其方式较灵活，在窄带网中有较丰富的应用经验，但PPP并不是为宽带以太网量身定做的认证技术，将其承载在宽带以太网中，即PPPoE，必然会有其局限性，尤其是PPP到Ethernet封装效率低，在认证发现阶段有大量的广播严重影响效率，同时组播开展困难。在PPPoE认证中，认证系统必须终结每个报文，才能判断和识别用户是否合法。这样大量的解包封包过程必须由一个功能强劲但价格昂贵的传统BRAS（宽带接入服务器）完成。对每个用户发出的每个数据报文，BRAS必须进行拆包识别和封装转发。一旦并发用户增多或数据包增大，封装速度必然会跟不上，从而BAS设备容易造成单点故障，形成宽带网络发展的瓶颈。缺点就是由于PPPoE的点到点特性，使得城域网的组播业务和基于流媒体的新型业务的开展受到极大的限制：比如视频点播是很难实现的。关于Web Portal。传统的WEB Portal认证是基于业务类型的认证，不需要安装其他客户端软件，只需要浏览器就能完成，对用户来说较为方便。但是由于WEB认证需要7层协议支持，从逻辑上来说在第7层上实现2层的连接和认证，是不太不符合网络逻辑的，这样对设备的要求就相对高，对用户控制弱或几乎是不可控制，还有一点是易用性差，任何应用都必须Web认证，认证前获取IP地址造成浪费。而且WEB认证服务器对用户而言是完全裸露的，容易造成被恶意攻击，并使得整个网络无法进行认证。另外，由于WEB Portal认证是基于7层的认证，4层以下的网络问题往往检测不到。如断电、突发故障等异常离线情况必须在2层做检测，而WEB Portal对此束手无策。因此WEB Portal认证的用户连接性差，不容易检测用户的离线，基于时间的记账较难实现。关于802.1X，它的优点是二层协议，认证效率高，有效降低组网成本，便于对用户做控制，对组播支持好，认证流和数据流实现完全分离。而它的缺点是需要客户端软件，还有就是不是技术本身的缺点，只能针对流经NAS设备的流量进行统计。802.1X与传统认证方式最本质的区别就是控制与交换相分离。一旦认证通过，所有的业务流量就和认证系统分开，有效的解决了网络瓶颈问题。802.1x采取一种“认证后不管”的方式，在认证完成、参数设置后，交换机对网络流量不做过多的干预，易于实现一种合理成本下的“可运营、可管理”。综合比较来看，三种技术都有其各自的优点和缺点，见下表：认证方式PPPoEWEB Portal802.1X标准程度RFC 2516私有IEEE Standard封装开销较大小无接入控制用户VLAN-MAC-IP用户IP地址认证后分配认证前分配认证后分配组播支持差好好VLAN数量需求无多无客户端软件需要浏览器需要设备支持公开协议厂家私有公开协议用户连接性好差好设备性能要求较高（BAS）高（全程VLAN）低802.1X认证的突出特点是：实现简单、认证效率高、安全可靠，同时消除了网络认证计费的性能瓶颈和单点故障。另外，在二层上实现用户认证，大大降低了整个网络的建网成本。当然没有任何一种技术是十全十美的，但对于校园网络来讲，802.1X 认证是最合适的。基于802.1X的认证技术目前已经成为校园网络运营的主流技术，并将一直发展下去。谈到802.1X，锐捷网络的发展还是很早的。2001年6月802.1X 出现，IEEE在同年11月推出802.1X草案，应用于无线局域网络。2002年1月，802.1X技术开始应用于有线网络，也就是从这个时候起，锐捷网络开始研发支持802.1X的交换机。2002年10月，锐捷网络将802.1X与计费相结合，推出校园网运营的SAM解决方案，并率先大规模应用在教育行业。2003年11月，锐捷SAM解决方案服务的用户数量达到100家。2004年3月，锐捷网络在原有SAM解决方案的基础上，结合用户新需求，推出高安全、客运营、易管理的第二代校园网解决方案SAMII。目前应用SAM系列解决方案接入上网的用户有200万人。锐捷网络也在校园网运营的道路上不断探索，不断创新。锐捷网络一直以来专注教育行业市场，锐捷网络的RG-SAM来源于教育市场用户需求，锐捷网络是最早开始研究802.1X的厂商之一，锐捷网络是最早在校园网内大规模应用802.1X的厂商，锐捷网络有着众多的校园网用户（目前，每天有200万学生通过锐捷网络的SAM认证计费系统上网），占比达到71%（2004年底）。锐捷网络有4年多的服务于校园网运营管理的经验。可以说，锐捷网络的RG-SAM就是您校园网运营管理最好的助手。3.4. 认证计费管理系统设计3.4.1. 系统的合理规划与设计整个认证计费的网络系统，我们可以归结为四大角色，一是终端用户；二是802.1x的交换机设备；三是安全计费管理服务器和数据库；四是WEB自助服务器，为了保证整个认证计费系统的安全，我们需要在IP的划分以及安全规则上做合理的规划，如下图：从图中可以看出，终端用户只需要和802.1x交换机以MAC寻址的二层通讯，802.1x交换机再和RG-SAM安全计费管理系统通讯，即终端用户实际上无需直接和802.1x交换机的管理IP以及RG-SAM安全计费管理系统通信，所以出于安全的考虑，我们在IP层上需要将用户IP地址段和802.1x交换机管理IP段以及RG-SAM安全计费管理系统的IP段进行隔离；但是终端用户是需要访问WEB自助服务系统的，所以终端用户的IP段需要与WEB自助服务器的IP段通信；同时还有一点，当终端用户在进行自助服务时，实际上是由WEB自助服务器对RG-SAM后台的数据库进行读/写操作的，所以系统还必须保证WEB自助服务器与RG-SAM的后台数据库的双向通信。基于以上的分析，我们建议的IP地址划分模型如下（示例）：l 用户IP地址段WEB自助服务器IP地址网段：CERNET公有IPl 802.1x交换机及RG-SAM数据库服务器IP段：l WEB自助服务器与数据库相连IP段：IP地址划分规划说明：1) 用户与所有的锐捷安全接入交换机以及RG-SAM服务器、数据库服务器隔离，保证认证计费系统的绝对安全2) 用户能访问WEB自助服务器进行自助服务3) 锐捷安全交换机能与认证、计费服务器双向通信4) WEB自助服务器能与数据库服务器通信5) 锐捷安全交换机设置管理VLAN6) RG-SAM服务器、Web自助服务器与数据库服务器间走专门的通道，提高了效率，同时提高了数据的安全性。3.4.2. RG-SAM系统关键功能说明 RG-SAM系统组成元素RG-SAM系统由三个主要元素构成：1、客户端（Su）2、认证交换机（NAS）3、服务器（SAM）另外，根据实际情况，可能还包括RG-NTD流量管理设备。高安全1、 保证用户身份的唯一性RG-SAM具备多元素绑定，自动绑定， IP地址类型控制等多种接入控制功能，提供业界最严格的接入控制功能。当发生安全事件或者非法攻击时候，典型的六元素绑定结合完善的日志记录，可以准确审查定位到个人。2、 防代理、防拨号功能锐捷网络的SAM安全计费管理系统对用户架设的各种代理服务器（包括单网卡、双网卡、NAT等）具有自动探测并且自动屏蔽的功能，可以做到代理服务器的可控管理（即可以允许某些帐号能够使用代理，可以不允许某些帐号不能使用代理服务器）。 通过代理屏蔽技术，可以避免最终用户通过代理服务器上网。其一可以保障运营的受益，其二可以保障准确定位到个人。而且SAM可以禁止用户在认证后再次拨号登录外网，满足金融保险等行业对内网高安全性的要求。3、 网络攻击的防范与控制网络攻击呈上升趋势，攻击的手段越来越多样化，产生的影响越来越验证，据统计超过80%的攻击来自网络内部，最典型的比如DDoS分布式拒绝服务器攻击，对于锐捷网络的解决方案来说，无论网络采用静态IP地址分配，还是动态IP地址分配，本方案中的SAM系统可以绑定IP地址和MAC地址与端口，攻击主机一旦修改其源IP地址其报文就会被丢弃，不对网络造成影响，消除了DDOS对网络的攻击。锐捷接入认证交换机内建强大的ACL功能，支持标准、扩展以及专家级的访问控制列表，并独有ACL80功能进行基于应用的数据安全检测。可以进行基于接入交换机的ARP欺骗攻击防护。拿今年很多高校都遇到的非常头疼的ARP病毒、ARP欺骗事件来说。锐捷网络敏锐的注意到了这一事件的严重性，在第一时间快速的满足了客户对ARP病毒防范的需求。由于ARP攻击/ARP病毒在用户数巨大、应用环境复杂的宿舍网尤为猖獗。下面简单介绍一下锐捷网络防范ARP网关欺骗的措施：i. 利用交换机端口ARP 检查安全功能：打开ARP 报文检查ARP 报文中的源IP 和源MAC 是否和绑定的一致，可有效防止安全端口上欺骗ARP，防止非法信息点冒充网关设备的IP。ii. 针对目前ARP欺骗基本上是网关欺骗，锐捷网络进行了专门的研究，提出了Anti ARP-Spoofing。针对ARP欺骗的手段，我们可以通过这个命令设置交换机的防ARP欺骗功能来防止网关被欺骗。具体的做法就是，在用户端口上通过防ARP欺骗命令设置要防止欺骗的IP，阻止以该设置IP为源IP地址的ARP通过交换机，这样可以保证交换机下联端口的主机无法进行网关ARP欺骗。 iii. 同时，为了防止病毒主机模仿受害主机的地址，造成受害主机的ARP信息学习到错误的端口。建议通过配置静态ARP信息的方法解决该问题。也可以通过在端口上绑定MAC和IP地址信息（端口安全），同时打开ARP-Check功能的方法。总的来说，对于网络安全事件而言，RG-SAM认证计费系统能够提供如下功能：事前的准确认证和身份定位，即帐号IPMAC端口交换机绑定，以及对用户进行正确的认证和授权；事中的实时处理，即NAS可以有效的阻止攻击行为的发生，以及防止病毒的蔓延。另外，可以与防火墙、IDS联动，对事件进行实时处理。事后的完整审计，即可以根据保留的网络资源使用者的日志，提供快捷迅速审计，做到准确定位到个人。4、 配合GSN实施做到全网安全网络自动防御（自御）:当接入网络的用户终端发生安全攻击事件时，安全管理平台（RG-SMP）将针对这一安全事件进行判断，以确认选择调用何种安全策略来处理。安全管理平台（RG-SMP）将自动把安全策略下发到安全事件发生的网络区域，安全策略的执行者可以是锐捷网络联动设备或者客户端，根据安全事件的等级由安全管理平台（RG-SMP）判断是否需要将安全策略同步到网络的区域中，以实现全网安全。同时，安全管理平台会把针对这次安全事件的处理情况通知给用户终端，使用户能够及时了解到网络安全环境的变化。通过这个流程，网络可以对已发生的安全行为进行完全自动化的防御措施，从而保证用户网络在受到威胁时可以迅速做出连动反应。网络自动修复（自愈）:GSN系统可以制定针对用户的全局安全策略，当用户终端试图接入网络时，必须要接受GSN系统的安全检查，如必须安装操作系统补丁、必须运行杀毒软件等。一旦检测到用户系统存在安全漏洞，安全管理平台（RG-SMP）会通过网络自动将受损用户从网络正常区域中隔离开来，被隔离的用户将被自动置于系统修复区域。此时用户终端上的客户端会根据安全管理平台制定的安全策略自动进行系统修复，修复期间系统会把受到访问控制的情况通知用户。自动修复完成，锐捷安全客户端会重新对用户系统进行评估，当用户系统安全评估完成以后，安全管理平台（RG-SMP）将通过允许用户进入网络继续工作。网络自动学习（自育）:当网络中有新的网络访问行为时，该行为的相关信息会被客户端有效捕获，并通过E-MAIL、管理日志等方式通知管理员。同时GSN能及时的捕获到网络的环境变化，一旦检测到网络流量异常，客户端会自动截取网络流量报文进行分析，从而有效的阻断DDos或未知的网络安全事件。由这个网络访问行为产生的对应安全策略会自动匹配到系统当中。在今后发生同样的网络访问行为时，系统就能自动调用相应的安全策略来处理，从而达到不断根据网络安全形势强化系统安全性的安全策略自动学习功能。可运营1、 贴近用户的丰富计费模式结合校园网络的实际应用，支持普通包月、包月限时长、包月限流量、计天、计时长、计流量以及特有的根据是否上线按天计费（day cost）等多种计费策略。完全满足各种用户的需求，更好的提高学校网络服务的满意度。其中根据是否上线按天计费（day cost）的计费策略是指用户付费的单位是一天，即每天多少钱。当用户在某天只要上线使用网络，即系统自动扣除当天的费用，如果用户当天没有使用网络即不扣费。在记天的计费策略中，可以使用一次缴费分段开通的功能。通过一次缴费分段开通的功能，可以较好的缓解用户缴费和管理员收费的矛盾。当采用了day cost之后，可以更好的解决这个问题。2、 用户欠费预提醒功能RG-SAM系统支持用户预缴费自助开通功能。具备人性化的用户账号到期自动提醒功能，可以自定义提醒条件。3、 便利的接口，支持信息系统的集成现在很多学校的EMAIL、一卡通等业务系统使用了基于LDAP的用户身份管理系统达到了多业务系统共享同一用户身份信息。SAM按照扁平树，明文密码，指定UserID和UserPassword的字段的方式来实现对基于LDAP的用户身份信息共享。达到降低系统集成部署成本，节省客户TCO（总拥有成本）的目的。另外，通过对LDAP协议的支持，可方便实现统一身份管理。通过提供易用多样的第三方接口，为与一卡通之类的统一结算平台的对接提供了便利。4、 集团用户简化运营集团用户是校园网实际运行中的特殊需求应运而生的。集团用户是指校园网内部的某些部门或者独立机构，比如公共机房，个别独立建立网络的院系等。对于这些部分，学校的网络中心往往无法管辖到。对这部分用户，通过在用户中增加一个集团用户类型，可单独进行添加、修改、删除、查询用户属性扩展一个“集团用户属性”字段，来存放用户的集团用户属性；也可以有自己的账号模板，但其上网不收取费用；另外，RG-NTD可以根据集团用户IP对照表，对相关流量信息进行记录，但可不计费5、 清晰的流程化故障处理SAM基于自助的报修和丰富的日志，形成了一套以自助报修、日志定位、故障排除为处理流程的全套故障解决流程。（如上图）通过自助报修简化了用户报修过程，提升了学校的专业形象；而SAM所具有的丰富的日志功能能够帮助支持人员更快捷更准确的定位用户故障；同时也提高了故障处理效率，方便了运营管理，尽可能的维护了最终用户的权益。6、 兼容业内主流厂商设备RG-SAM能够支持华为、港湾等厂商的接入认证交换机，可以实现基本的认证和计费功能。支持使用标准的RADIUS协议的VPN、路由器及无线接入设备。这样使得学校既有的投资能够得到很好保护，降低采用锐捷网络宿舍网方案的TCO（总体拥有成本）。易管理1、 为校园网独身打造的AGTS，方便管理维护用户账号RG-SAM系统采用AGTS的用户管理模式，通过完整的组策略，将系统中的服务、计费策略、接入控制、接入时段、帐号模板、用户组等功能进行全面系统组织，利于系统配置和管理； 上面所说的AGTS即帐号（Account）、组（Group）、Template（模版）、Setting（设置），它的使用让管理员可以在设置的时候使用最少量的对应关系，从而大大提高帐户管理的效率。2、 丰富而强大的IP地址管理功能锐捷网络SAM系统有多种IP管理模式：客户端IP地址强制自动获取、强制手动指定、服务器固定分配等。而且可以通过在服务器端设置IP段对用户IP地址进行分类管理，按照用户组对IP地址进行统一分配。可以有效管理资源有限的IP地址，杜绝用户之间抢占IP、地址冲突等混乱现状。其中，首次登录自动绑定用户账号、IP、MAC、交换机IP、PORT等的功能，极大程度减轻了用户管理维护的工作量。锐捷网络独有的DHCP Option82功能可以为不同等级权限的用户分配不同的类型的IP地址。结合ACL与策略路由功能，可以实现对不同权限的用户进行不同等级的网络访问控制，充分满足多层次的访问权限管理需求。Option82功能可以按事先设定的权限实现如下IP地址分配：a) 动态私有IPb) 动态公网IPc) 动态固定私有IP（即每次分配IP地址都一样）d) 动态固定公网IP（即每次分配IP地址都一样）3、 用户时段控制功能RG-SAM系统支持对用户上网实现每天24小时的任意时间段进行严格管理控制，同时支持对日常设置、周日设置、节日设计三种不同的自定义功能，实现灵活、方便、人性化的时段控制功能。而且最小可以小时为单位进行自由设置费用优惠时段。SAM全面满足了各种时段控制背景，特别对于校园网内学生上网行为控制非常有效。4、 丰富的消息提示，方便的与最终用户进行沟通消息提示包括全局通知信息、私有通知信息、认证失败原因信息、用户下线原因信息、自动欠费预通知信息、实时短消息信息。通过全局通知信息和私有通知信息可以让用户在认证时看到相关的通知信息。认证失败原因信息、用户下线原因信息可以让用户准确的知道自己为何认证失败或者为何下线，从而为下一步的处理提供依据。自动欠费预通知信息可以让用户在费用快到期时得到系统自动的提示，从而保障用户使用的连续性并减少管理员的管理工作。实时短消息是指用户在接入网络的过程中，管理员可以实时的向单一、部分或者全部用户发送消息。通过全局通知信息和私有通知信息可以让用户在认证时看到相关的通知信息。认证失败原因信息、用户下线原因信息可以让用户准确的知道自己为何认证失败或者为何下线，从而为下一步的处理提供依据。自动欠费预通知信息可以让用户在费用快到期时得到系统自动的提示，从而保障用户使用的连续性并减少管理员的管理工作。实时短消息是指用户在接入网络的过程中，管理员可以实时的向单一、部分或者全部在线用户发送消息，保障信息在最短的时间传递到在线用户。5、 BACL功能BACL是指绑定访问控制列表（Bind Access Control List）。管理员可以定义在不同区域的不同绑定策略，当用户在不同区域认证时，只要绑定策略符合即可以上网。从而实现绑定状态下的漫游。通过BACL的配置，用户可以实现绑定状态下的漫游。即在校园内部，每个用户在不同区域上网可以使用相同的帐号。比如教师在实验室、办公室以及自己的住所均可以使用相同的帐号上网。从而大大提升学校所提供网络服务的满意度。6、 完善的系统定制功能SAM提供丰富完善的系统定制功能，便于运营者根据运营策略和实际情况来选择定制相关功能。l 自助服务系统个性化定制，以适应各种不同的用户运营环境；l 在线用户等统计信息的定制有利于满足各种数据分析，以便更方便掌控网络。l 管理员权限的定制有利于系统管理的安全性，做到各司其职；另外，RG-SAM系统支持自定义多种服务类别，根据访问权限不同，收费标准也不同。7、 用户自助服务RG-SAM系统支持用户注册、开户、充值、修改资料、账号暂停及销户等操作全自助进行，并且可打印开户账单，为用户提供详细网络信息；以及方便灵活的用户自助转账功能，可以有效化解用户运营方矛盾，平衡双方利益，进一步增强SAM系统的可运营性。下图为用户通过登录web自助服务器方式，自助注册账号，然后由管理员审核激活功能。大大减少了学校开通账号的工作量。8、 公用服务功能，方便新开帐号用户的账号停用用户使用公用服务自助开通帐户RG-SAM系统具备公用服务功能，可以对新开账号、注册账号、停用账号、欠费暂停账号等提供正常网络访问服务。访问时间可以由网络管理员自定义为每天n次，每次n秒钟（n为自然数）。公用服务方便了试运行阶段的用户管理，让用户免费体验，真正做到先享受后消费；方便用户在未缴费或欠费暂停状态下进行自助充值、开通等操作。9、 支持各项统计功能（包含在线用户统计、用户分布统计、业务开通统计、欠费用户统计），帐务管理查询；RG-SAM系统具备丰富的统计功能，包括：在线用户统计、用户分布统计、业务开通统计、欠费用户统计、卡用户统计、管理员统计、计费类别分布统计等。同时RG-SAM系统还具备良好的帐务管理功能，包括：用户缴费查询、删除，上网明细查询、删除，用户余额查询等。3.4.3. RG-SAM与RG-NTD的结合RG-NTD简介RG-NTD是锐捷网络最新推出的面向校园网、行业用户的流量计费设备。该系列产品配合RG-SAM为现有解决代理、P2P新型应用带来的难于管理的大流量问题提供了最直接、最方便、最灵活的技术实现和方案保障。RG-NTD配合日志审计服务器还可以方便的实现基于用户身份的网络访问行为的日志、设备日志、应用日志的管理与分析，为安全事件的审计提供准确可信的数据支持。RG-NTD配合流量管理软件，同样可以实现流量工程方面的功能，方便用户从业务的层面根据系统分析的数据对现有网络做出长期科学的规划。RG-NTD与RG-SAM的结合1、只需一次认证，对已有的802.1x认证用户透明SAMII安全认证计费方案作为校园网等整体解决方案，其中涉及以太网交换机、RG-SAM安全计费管理软件以及局域网认证客户端软件Suplicant等。RG-NTD作为主要设备之一，它对通过802.1x 认证用户的以太网数据流进行分类、统计并将统计后的数据发送给RG-SAM。RG-NTD的计费功能必须配合使用RG-SAM安全计费管理软件。2、可控制国内国际的上行下行多种类型的流量，方便灵活RG-NTD支持将数据流进行分类的流量计费策略，向RG-SAM提供流量国际、国内、校内上下行分类计费的原始信息。3、可有效控制P2P应用对网络出口带宽的消耗通过RG-SAM对各种分类流量设定灵活的费率进行收费，例如设定包月限流量的计费策略，更加科学合理的规范用户的上网行为，遏制一些恶意用户采用P2P应用对网络带宽资源的抢占，保证关键业务的正常运行。4、在旁路模式时，无性能瓶颈、无单点故障RG-NTD支持旁路模式和穿透模式。5、无需改变现有网络结构，拥有最低的部署风险无论RG-NTD工作在旁路模式还是穿透模式，都不需要变更现有的网络拓扑结构。6、通过集团用户简化运营管理RG-NTD配合RG-SAM实现了集团用户的功能，为校园网内部的某些部门或者独立机构的运营提供了科学的解决方案。7、灵活的接口、方便的管理RG-NTD提供两个10/100/1000M自适应EM Gigabit Ethernet 吉比特以太网接口。两个10/100M自适应FE Fast Ethernet 快速以太网接口。RG-NTD提供两种管理方式：串口、WEB，SAM中提供一键登陆RG-NTD WEB方式的管理界面的便捷。RG-NTD在高校宿舍网的应用通过实施802.1x安全认证解决方案，解决了用户入网的身份识别问题，但是随着技术的发展，以BT为代表的新兴P2P应用产生的巨大流量占用了网络接入的大量带宽（统计数字表明，已经超过了50%），严重影响了用户正常的使用WEB、E-mail以及视频点播等关键业务。采取封堵的措施的确能够把P2P应用的流量降下来，但却与Internet开放共享的精神背道而驰。流量管理是解决这个问题的目前可行性最高的方案。通过实施流量管理，合理的引导用户有限制的使用P2P应用，在保证自己的需求的情况下，不会对他人造成恶劣的破坏。流量管理的第一步就是采用流量计费的策略，为了缓解运营方与用户之间的矛盾，采用包月限流量的策略是最优的手段。RG-NTD结合SAM正好实现了上述目标。下图为RG-SAM与RG-NTD配合工作拓扑图。其中SAM采用了服务器集群，NTD采用了分布式部署。3.4.4. 无线部署部署WLAN设备的时候，无需改动任何的有线网络架构，可以随时扩展AP来增加无线用户。WLAN用户接入认证可分为三种模式：1、使用AP作为认证者（Authenticator）进行802.1X认证；使用AP作为认证者（Authenticator）进行802.1X认证，无线用户接入网络时，首先向AP发送身份验证请求，AP将相关信息重新封装后发送到身份验证服务器（如RG-SAM）进行验证。2、使用AP上联交换机作为认证者进行802.1x认证；使用AP上联交换机作为认证者（Authenticator）时，用户首先接入无线网络，AP将用户的身份验证请求透传给上联的802.1x认证体交换机，再由认证体交换机将认证信息封装转发给身份验证服务器（如RG-SAM）进行验证。3、在“瘦AP+无线交换机”解决方案中，使用无线交换机作为认证者。在“瘦AP+无线交换机”解决方案中，瘦AP不负责执行用户认证、数据加密等安全工作，而是由无线交换机来执行。使用无线交换机作为认证者（Authenticator）时，用户接入无线网络，瘦AP将用户的身份验证请求发送给无线交换机，再由无线交换机将认证信息封装转发给身份验证服务器进行验证。三种模式均可以保证全网统一的802.1X认证，整体网络认证统一。一般来说，单路的AP支持802.11a/b/g协议的带机数是3050人。具体数量视环境而定，视频、BT等应用情况下带机数较低，普通上网应用可以满足最多的带机数，而我司的AP采用两套独立硬件架构，相当于2台AP的性能，这样在投资不变的前提下，可以提高至2倍的总物理带宽和带机数，采用了独有专利技术DCA（信道自动调整技术），可以让AP自动探测所在的环境中的信道使用情况，自动找到一个完全或者相对不干扰的信道来工作。3.4.5. IPv6环境下的身份认证如果是新建，可以将楼栋交换机全部选择支持IPv4/IPv6的双栈设备，同时因为终端用户的操作系统均可支持IPv4/IPv6双栈，而接入层的二层交换机对IPv6报文是透传的，所以可全网同时支持IPv4和IPv6，用户可同时访问IPv4资源和IPv6资源，改造的区域，只需要替换现有的IPv4楼栋交换机为支持IPv4/IPv6双栈和隧道的交换机，而锐捷的RG-SAM认证计费系统是支持IPv6的，所以无须做任何升级或者改动。从SAM系统对IPv6的迅速支持，可以看出锐捷网络做为国内高校网络建设的网络设备提供商和解决方案提供商，通过与广大高教用户的深入沟通、互动，真正做到以客户为中心，快捷相应客户需求。3.5. 网络设备管理平台设计认证计费管理系统的部署解决了宿舍网中用户的管理，设备的管理如何解决呢？为了提高管理员的工作效率，做到足不出户就能控制整个网络，并对接入的机器进行控制，锐捷网管软件平台StarView为用户提供了很好的解决方案。StarView管理系统能提供整个网络的拓扑结构，能对以太网络中的任何通用IP设备、SNMP管理型设备进行管理，结合管理设备所支持的SNMP管理、Telnet管理、Web管理、RMON管理等构成一个功能齐全的网络管理解决方案，实现从网络级到设备级的全方位的网络管理。StarView可以对整个网络上的网络设备进行集中式的配置、监视和控制，自动检测网络拓扑结构，监视和控制网段和端口，以及进行网络流量的统计和错误统计，网络设备事件的自动收集和管理等一系列综合而详尽的管理和监测。通过对网络的全面监控，网络管理员可以重构网络结构，使网络达到最佳效果。3.5.1. 稳定的可扩展的软件体系结构软件体系结构可以采用多进程挂靠的方式进行设计，保留丰富的可扩展接口，为系统进一步扩展和软件外联提供了稳定的平台基础。3.5.2. 强劲的网络拓朴发现能力StarView 集成了目前先进的三层拓朴发现算法可有效地对三层网络连接进行检测和描绘，自动检测和描绘网络拓扑结构，为管理员提供统一的拓扑视图和集中式管理视角。而且，自动检测网络活动后，通过采用不同的位图标识不同类型的设备，以及采用不同颜色的三色状态图标识设备的不同状态，可以更好的描绘网络设备节点的状态，为管理员提供快速准确的告警定位。最为突出的是，锐捷网络的S