华为校园网建设技术建议书(模板)

X XX X 大大学学校校园园网网 技技术术建建议议书书 华为技术有限公司华为技术有限公司 20022002 年年 X X 月月 . . 1 1、概述、概述.2 1.1 校园网建设背景.2 1.2 校园网建网需求.2 1.2.1 一般建网需求.2 1.2.2 XX学校建网需求.4 1.3 建网原则.4 2 2、总体网络设计、总体网络设计.5 2.1 组网描述.5 2.2 详细网络设计.7 2.3 组网用核心设备介绍.7 2.3.1高可靠性的高端路由器.7 2.3.2功能强大的核心三层交换机.7 2.3.3性能卓越的汇聚交换机.9 2.3.4业务丰富的智能IP接入设备.11 2.4 组网特点.12 3 3、详细网络设计、详细网络设计.13 3.1 IP 地址规划和路由策略.13 3.2 VLAN 划分.14 3.3 认证计费.15 3.3.1用户认证.15 3.3.2计费管理.17 3.3.3综合访问管理服务器CAMS.18 4 4、业务解决方案、业务解决方案.19 4.1 PORTAL.19 4.2 远程教育.20 4.3 宽带上网卡.21 4.4 组播业务.23 5 5、网管解决方案、网管解决方案.23 5.1 IMANAGER N2000 综合网管解决方案.23 5.2 QUIDVIEW网管解决方案.29 6 6、安全解决方案、安全解决方案.31 6.1、用户严格隔离.31 6.2、用户唯一标识.31 6.3、防止对 DHCP 服务器的攻击.31 6.4、恶意用户追查.32 6.5、防止用户 PROXY代理.32 7 7、附件、附件.32 . . 1 1、概述、概述 1.11.1 校园网建设背景校园网建设背景 根据 CNNIC 2002 年的最新调查结果来看，我国目前的上网总人口已达 4580 万，其中学生 用户占了 26%，是最大的用户群。 另据华为公司市场部提供的资料，中国网民的普及率是 1.2%， 但在大学生群体中的普及率是 93%。目前 87%学生在网吧上网，97%的学生用 201 校园卡打电话。 同时，随着国家信息化工作的深入开展，提高教育系统信息化水平成为当前工作的重点。而校 园网建设则是教育系统信息化建设的关键，尤其是高校校园网建设。在信息化的建设过程中， 它的作用体现在如下几个方面： 1、校园网能促进教师和学生尽快提高应用信息技术的水平；信息技术学科的内容是发展 的，它是一门应用型学科，因此，为了让学生学到实用的知识，必须给他们提供一个 实践的环境，这个环境离不开校园网。 2、校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库，所以校园网是 学校进行教学改革、推行素质教育的一种必不可少的工具。 3、校园网是学校现代化管理的基础，深入、全面的学校信息管理系统必须建立在校园网 上。 4、校园网提供了学校与外界交流的窗口，学校应将校园网与互联网联接，这也是学校信 息化的要求，做到了这一步，通过校园网去了解世界、在互联网上树立学校的形象都 是很容易的。 教育即未来。作为国家最重要的战略工程，如何应用信息技术改造我们传统的教学和管理手段； 如何加深学生对于信息化和信息技术的理解与了解；如何造就同时具备传统和信息双重文化的 一代新人，已成为教育界当前最为紧迫的任务之一。信息技术的应用，势必极大地推进教育手 段和教育内容的革命性变革。我们对此深信不疑，并将全身心地为之努力。 1.21.2 校园网建网需求校园网建网需求 .1 一般建网需求一般建网需求 . . 校园网的建设涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。此处主要 分析网络基础设施建设和网络运营方面相关的内容。校园网络建设从网络流量模型上看和企业 网的流量模型相似，用户集中而网络流量大，但实际应用上还存在许多和企业网不同的地方。 主要特点如下： 1、 多出口的需求： 典型的组网有中国教育和科研网（CERNET）出口和运营商网络出口。多出口带来了以 下两个需求： 1) 多权限 ISP 需求。用户可通过不同的账号名或采用相同的账号，不同的域名认证， 获得不同的上网权限。譬如做到用户不认证前能自由访问校园内部分服务器，采 用“user163”登录，可实现 Internet 和校园网络自由访问，采用 “usercrenet”登录，可访问 CERNET 和校园网。用户域名选择可通过 WEB 认证 时用户通过选择 WEB 认证上的相应选择项进行选择。 2) 多 ISP 分别计费的需求，对应不同的 ISP，计费策略不一致。 2、用户管理的需求： 1) 使用方便，存在 WEB 认证需求。要求能做到基于 WEB 的身份认证、多 ISP 选择、W 用户费率查询、带宽动态调整（隐性需求） 、多 WEB 界面（隐性需求）等。 2) 需要解决账号和端口绑定问题。通过此种方式限制账号的使用区域。 3) 对用户带宽进行控制的需求，要求设备能对用户的带宽进行控制，譬如限制为 256K、512K、1M、2M、5M、10M 等等级。 3、以网养网的需求： 如何使现有网络具有自我造血机制成为高校普遍关心的问题，而只有具有自我造血机 制才能使校园网络更好的发展，不断的完善。目前主要的措施有两个： 1) 发行宽带上网卡，改变以前单一，高成本的收费模式。卡号类型主要有包月卡、包 月限时长、时长卡三种类型，包月限流量卡作为一种备选解决方案（不推荐） 。同 时配合灵活的折扣方式，引导学生上网（如上课时间单价比夜晚高些） 。 2) 开展服务收费。高校拥有丰富的教育资源，并且是公众教育的主要支撑力量。基于 网络开展有偿的资源提供正成为目前公众教育的主要形式。这样不仅盘活了现有资 源，更适应了教育产业化发展的趋势，通过有偿服务推动公益教育的发展。 4、安全管理的需求： 1) 学生接受新鲜事务的能力非常强，因此校园也成为黑客最多的场所之一，如何保障 校园网络的安全成为建网时不得不考虑的问题，目前主要攻击手段有 DOS，DDOS 等 . . 2) 上网日志的需求，主要是配合公安机关保证社会的稳定和校园的安全 5、NAT 的需求： 部分学校没有公网 IP 地址或地址不够，另外，因为教育网地址用户报文在通过运营商 网络边界路由器时不被信任或运营商地址用户报文在通过教育网边界路由器时不被边 界路由器信任，会造成部分 Internet 网站不可访问。解决此问题的措施需要在运营商 或教育网其中一个出口做 NAT，对此出口屏蔽内部路由。 6、组播业务的需求，特别是可控组播的需求将随着校园信息化的深入而体现出来。 .2 XXXX学校建网需求学校建网需求 增加当地学校实际上网需求，如：现网规模，建网目标等 1.31.3 建网原则建网原则 早期的高校校园网主要是共用内部教育系统主机资源，共享简单数据库，多以二层交换为 主，很少有三层应用，存在 安全、可管理性较差、无业务增值能力安全、可管理性较差、无业务增值能力 等方面的问题。 现在高校校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的 QoS 保 障服务，使网络安全可靠，从而实现教育管理、多媒体教学、图书馆管理自动化，而且还要通 过 Internet 实现远程教学，提供可增值可管理的业务，必须具备高性能、高安全性、高可靠 性，可管理、可增值特性以及开放性、兼容性、可扩展性。 基于对高校校园网业务需求的深入理解，结合自身产品和技术特点，华为公司推出了了完 善的高校校园网解决方案，为高等院校提供“可管理、可增值、可持续发展可管理、可增值、可持续发展”的精品网络。 高校网络建设遵循以下基本原则： 可管理性可管理性 高校网络是一个庞大而且复杂的网络，为了保障网络的正常使用以及设备的良好维护需 要一个功能强大，具有分级、分权管理能力的网管系统，实现统一的网络业务调度和管理，降 低网络运营成本。同时由于高校网络的使用者数量巨大，网上开展的业务众多，因此需要能够 提供用户的高效管理，以确保用户和学校的利益不受损失。 可增值性可增值性 校园网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持 续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽 . . 带增值业务，使网络具有自我造血机制，实现以网养网。 可扩充性可扩充性 考虑到用户数量和业务种类发展的不确定性，校园网络要建设成完整统一、组网灵活、 易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。 开放性开放性 技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确 保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口， 支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实 现网络设备的统一管理。 安全可靠性安全可靠性 设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。 2 2、总体网络设计、总体网络设计 2.12.1 组网描述组网描述 XX 大学校园解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管 理性和统一的网管系统及灵活计费为原则，以及考虑到技术的先进性、成熟性，并采用模块化 的设计方法。其组网图如下： . . 本解决方案网络分为三个层次，核心层、汇聚层、接入层。为实现校区内的高速互联， 校园网核心层采用两台华为公司核心路由交换机 Quidway S8016，并基于 S8016 构建了校园网 络中心，成为校园网应用的核心。S8016 最大支持 64 个 GE 端口，支持全光口模块，方便实施 远程千兆汇聚；提供全线速的二三四层交换及第四层业务服务，可作为网络的核心交换、业务 控制和冗余控制平台。 在汇聚层采用华为公司Quidway S5516，S3526千兆路由交换机以及MA5200E智能IP接入设 备，通过GE口连接S8016构成了高带宽的校园网骨干。Quidway S5516/3526是全线速三层交换 机，可以实现二三四层线速转发、三层互通，同时实现线速的多层策略过滤，用以实现极为复 杂的VLAN业务隔离、互通控制以及流分类等。 在校园网接入层，分为教学区与宿舍区。在教学区采用S3026和S2403H作为用户的接入设 备，实现GE到大楼，10、100M到桌面。在宿舍区，采用MA5200、S3026、S2000实现用户的接入、 认证、计费。MA5200E实现对用户的接入认证、用户管理和业务质量保证，为用户提供高速上 网、视频点播、门户业务等多种业务，能对用户进行有效管理，保证网络安全可靠，并提供多 种计费方式，为校园网络的建设和管理提供新的方式。 考虑到网络的先进性和完整性，在校园网内的热点地区，如图书馆、会议室采用华为公司 . . 的WLAN无线局域网产品构建了安全、可靠的无线局域网。 广域网互连设备采用华为公司Quidway NE16E/08E/05电信级骨干路由器。Quidway NE16E/08E系列路由器使用华为公司拥有完全自主知识产权的网络操作系统VRP平台，采用全分 布式体系结构，遵循电信设备标准，具有电信级可靠性。由图可见，XX大学校园网网络主要有 两个出口，分别是INTERNET出口（可以是某运营商提供的城域网出口）和中国教育科研网 （CERNET）出口。 华为 Quidway 系列产品支持统一的网管平台，通过华为 Quidview 网管软件或者 iManager N2000 综合网管平台，可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的 管理。同时采用 CAMS 综合访问管理服务器完成了网络用户的认证，计费和管理。 2.22.2 详细网络设计详细网络设计 可以加入以下内容： 1、 各校区的组网图 2、 各校区组网描述 3、 信息点和相应设备清单 2.32.3 组网用核心设备介绍组网用核心设备介绍 .1高可靠性的高端路由器高可靠性的高端路由器 高高总线带宽：总线带宽： 系统提供两条2G的总线作为单板内部的控制和数据通信，板件交换有足够的带宽。 大流量分布式转发大流量分布式转发： 采用分布式转发，数据包的转发由接口板完成，不影响主控板的工作，系统更加稳定；数据转 发不依赖单一的处理器，数据转发的性能大大提高；而且在这种方式下数据包的转发由接口板 完成，不影响主控板的工作，系统更加稳定。 .2功能强大的核心三层交换机功能强大的核心三层交换机 校园网核心设备采用华为公司路由交换机 S8016。QuidwayS8016 是华为公司推出的大容量 （128G） 、模块化、机架式基于硬件 2/3/4 层交换的路由交换产品。Quidway S8016 提供完善 的 DiffservQoS 保证和业务流量控制机制，以及电信级的可靠性和高密度、大容量交换能力， 是校园网建设的基石。S8016 作为大型 L3 设备，具有以下一些特点： 一、大容量高密度一、大容量高密度: : . . 背板交换能力最高256G，交换网板容量128G；共有16个业务插槽，11种业务接口板；最多可配 置：64个GE接口和256个FE接口。 二、完全线速分布式转发性能二、完全线速分布式转发性能: : 全分布式结构,采用先进的网络处理器RAINER,实现了全线速2/7层交换，并提供整机96Mpps的 报文处理性能。转发基于逐包转发，在用户报文目的地址不断发生改变时，仍就保持线速转发。 相应基于流的数据转发，当用户报文目的地发生变化时，转发速度急剧下降。如果在不断变化 目的IP流的攻击下，基于流转发设备的性能下降非常快，甚至崩溃 ；而基于逐包转发的S8016 受到的影响很少。 三、完善的三、完善的 DiffServ/QOS:DiffServ/QOS: S8016 路由交换机提供完善的 Diffserv/QoS 支持，支持基于源端口、源 VLAN ID、源 MAC 地址、 报文种类、TCP/UDP 端口号、IP 报文地址前缀等多种流分类规则，提供多种规则组合条件下的 流映射和分类、流量监管（CAR） 、拥塞控制方法（RED、WRED、SA-RED） 、队列调度和输出流整 形等功能，真正做到业务区分并保证带宽/时延/抖动在限定的范围内，使网络运营商可以为用 户提供具有不同服务质量等级服务保证，使 IP 城域网真正成为同时承载数据、语音和视频业 务的综合网络。 四、优良的可靠性四、优良的可靠性: : S8016 的交换网络、路由处理系统、地址转换转换板和电源系统等所有关键部件采用冗余热备 份设计，能满足骨干网络对电信级/高可靠性的要求。 二层业务上提供端口捆绑等功能，提高链路速率的同时有效地提高网络的安全性、可用性。 网络侧采用等价路由方法提高网络可靠性，支持 3 条等价路由。 支持 RSTP 快速生成树协议和 HSRP 热备份路由协议。RSTP 在通过运行生成树协议防止网络拓 扑生成环路的同时提高了链路的冗余；HSRP 用于为带有默认网关的使用 TCP/IP 协议的主机提 供默认网关的冗余配置。 五五 灵活的组网能力灵活的组网能力: : S8016 提供端口捆绑、VLAN 聚合、STP、ARP/ARP Porxy、DHCP Realy/DHCP Server 等丰富二 层业务能力，具有 NAT 地址转换功能，并提供多种路由协议、基于流分类的策略路由支持。 S8016 通过 DHCP RELAY 和内置 DHCP SERVER，对用户 IP 地址实行动态分配和管理。 DHCP SERVER 功能内置在 S8016 的 MPU 上，对下挂的用户可以直接进行地址分配和管理，可以为运 营商节省外置 DHCP SERVER 的投资。 六六 大容量高速大容量高速 NAT:NAT: S8016 的 NAT 功能支持公网私网混合编址。单块 NAT 板转发能力支持 2Mpps 以上，支持并发会 . . 话数 128k，会话建立速率 5k 会话/秒；支持 NAT 中 NAPT 模式；支持公有地址和私有地址的混 合地址组网；支持 ICMP、FTP 的 ALG，支持分片处理。 七、组播特性：七、组播特性： a)VLAN实现组播，无成员的端口不转发冗余的组播信息。 b)组成员的ACL受控管理。 c)PIM-SM协议中RP可以对DR发送来的注册报文进行过滤，只接受特定的注册报文。 八、八、WEBWEB SWITCHSWITCH 功能功能: : 通过内置Web Switch 单板（称为 CLPU板），在POP点和IDC提供 L4 负载均衡、L5/7 负载均 衡、Web Cache Redirection 等功能。 九、九、IPIP V6V6 ReadyReady 由于采用 NP 处理器，如有需要可通过软件升级以支持 IP V6。 .3性能卓越的汇聚交换机性能卓越的汇聚交换机 Quidway S5516 以太网路由交换机是华为公司推出的面向中型企业网 LAN 中心、大型企 业 LAN/以太城域网纯千兆汇聚的 2/3 层交换产品。S5516 最大支持 16GE，支持所有端口第 二第三层报文的全线速转发，转发速率达 24Mpps。 S5516 采用盒式模块化结构设计，最大支持 4 个线路接口模块，可以支持 4电口 （RJ45）/多模/单模千兆模块以及堆叠矩阵模块，实现高性能中心路由、交换以及千兆骨干的 汇聚，通过堆叠的方式，可以实现高密度百兆端口的扩展。 Quidway S5516 核心路由交换机的主要特点： 高性能高性能 24MPPs 转发能力，32G 交换容量，16GE 的端口容量，32K 路由表项支持，硬件地址学习、 支持 16K MAC 地址表项，4K VLAN 支持，支持最多 16 端口的 Port Trunk，最多 16 个 Port Trunk 组。 高性价比高性价比 Quidway S5516 L2/L3 以太网交换机是采用当今最先进的 ASIC 技术，产品集成度高，大大 降低了产品造价。 配置灵活配置灵活 四插槽的模块化结构，用户可以根据网络需求选择不同的光电千兆接口，进行灵活配置。 强大的组网能力强大的组网能力 . . Quidway S5516 L2/L3 以太网交换机可以提供千兆到桌面，中/小网络核心，大型网络汇聚， LAN 接入，宽带小区接入等多种组网方案，能够满足不同的用户不同的组网需求。 高可靠性的供电解决方案高可靠性的供电解决方案 提供 110V/220V 宽范围电源，-48V 直流供电，冗余电源支持。 提供基于最长匹配的全线速提供基于最长匹配的全线速 3 层交换层交换 解决了早期交换机采用精确匹配交换技术所带来的问题（交换表放在高速缓存中，如果报文命 中则可以获得较高的交换速度，但如没有命中，则将进行软件转发） ，可以做到逐包查表，逐 包交换保证了所有报文均获得相同的转发性能。可达到 24MPPS（packet per second）的 2/3 层转发能力。 强大的强大的 IP 路由支持路由支持 32K 路由表项，支持 OSPF，RIP I/II 等路由协议。 支持丰富的支持丰富的 2 层协议：层协议： 提供 RSTP，避免环路冗余； 支持 802.1q，提供 4KVLAN 和 VLAN Trunk 支持； 支持 GVRP（GARP VLAN Registration Protocol） ，提供 VLAN 的自动注册； 提供 802.3x 流控机制； 半双工模式支持反压（Back Pressure）流控； 支持端口聚合； 基于 2/3/4 层的流规则过滤器，提供丰富的 ACL 安全机制，线速过滤能力。 提供丰富的提供丰富的 QoS 策略：策略： S5516 提供了基于端口的流量限制（Generic Traffic Shaping）可根据需要限制端口流量； 提供 128 个流分类（Traffic Class） ，因而用户可根据实际需要为不同的用户群组或不同的业 务类型分配不同的队列优先级，带宽控制（以 64Kpbs 为步长单位进行调整） ； 提供 Diffserv 支持，可以根据 2、3、4 层特性，调整 IP DSCP 域，为骨干网络实现基于 DSCP 的 IP 转发提供支撑； S5516 提供基于数据流（Flow，根据 2、3、4 层报文头的信息确定）的带宽共享算法，保证 每一个通信应用均可获得公平的流量分配，保证了各主机之间通信的公平性； 提供 WRR（Weighted Round Robin）队列调度策略； 可根据 IP DSCP 信息，802.1p 信息，VLAN 信息，2/3 层转发表信息，配置出报文 （Outgoing Packet）的 802.1p 优先级与配置转发队列优先级。 提供提供 DHCP 中继功能（中继功能（DHCP Relay）功能）功能 提供次功能可为跨网段的主机动态配置成为可能，使得 DHCP 的应用得到了极大的扩展。 . . 采用华为公司统一的采用华为公司统一的 VRP 平台平台 VRP 平台提供了大量的维护、调试命令，和日志功能，为产品的开通，维护，故障诊断提供 了丰富的手段；Quidway S5516 与 Quidway路由器的配置风格一脉相承，用户培训成本大 大降低。 强大方便的网络管理维护功能强大方便的网络管理维护功能 支持 SNMP，可支持 Open View 等通用网管平台，以及华为公司开发的 Quidview、 iManager网管系统。支持 SMON、RMON。 .4业务丰富的智能业务丰富的智能IPIP接入设备接入设备 MA5200E 做为校园宿舍区的智能 IP 业务接入设备，提供了功能强大的用户管理和业务控制功 能，主要体现在灵活完善的用户接入方式，用户身份认证和安全保障，基于用户策略的访问控 制，业务 QoS 保证等方面，同时提供丰富的计费信息，支持多种计费方式。MA5200E 的特点如 下： 灵活完善的用户接入认证方式：灵活完善的用户接入认证方式： MA5200E 提供了多种用户接入认证方式，主要的认证方式有 WEB 认证、PPPoE 认证和 802.1X 认 证。同时 MA5200E 支持本地认证和远端认证，并可以基于帐号的用户管理机制，实现预付费业 务和支持用户漫游。 强大的用户管理控制功能：强大的用户管理控制功能： MA5200E 具有很强的用户管理控制功能，对用户端口和业务流有很好的管理控制，保证网络资 源的合理利用，保证业务质量和保证网络的安全。 Q QO OS S 保证：保证： 以太网本身的特性是尽力传送，不提供业务优先级保证，这样不适合多业务的接入。MA5200E 支持基于用户和访问目的业务流优先级分类，针对不同的优先级施加相应的 QoS 策略。 高性能硬件转发引擎：高性能硬件转发引擎： MA5200E 硬件采用专用 ASIC 实现转发引擎，该实现的最大特点是具备灵活的业务和协议处理 的同时，可以大大提高系统的处理高速性。MA5200E 中采用了先进的快速路由查找算法，整机 具有双向 10G 的交换容量和 3Mpps 的全业务转发能力。 组播支持：组播支持： MA5200E 可以支持 IGMP、HGMP 等用户组管理协议，实现从用户到网络的全套协议支持，为 Web TV 等宽带组播增值业务开展提供了基础。 . . 2.42.4 组网特点组网特点 丰富的多媒体业务：丰富的多媒体业务：提供电子图书馆、在线考试、网上教学、远程教育和互联网等多种业务。 有线无线一体化：有线无线一体化：提供 LAN、WLAN 等接入方式进行网络互联，实现笔记本教室、无线会议室， 空中图书馆。 多种认证方式：多种认证方式：采用 WEB 方式（并可支持 PPPOE，802.1x）实现用户管理，具有动态业务选择 和交互式的特点。认证接入和业务选择代理相结合，方便提供新业务。多多 ISPISP 选择：选择：提供中国 教育网（CERNET）和因特网等多个出口，使用者可自由选择不同 ISP 上网，并提供相应的计费 策略。完善便捷的自助管理：完善便捷的自助管理：提供新颖的自助服务。使用者可基于 WEB 灵活享受带宽选择，计 费策略，查询余额等服务。 个性设置：设置个性化 Portal 查询话单：查询详细话单信息 查询余额：查询卡号余额 修改密码：修改用户密码 其他服务：卡号充值 丰富的资费策略：丰富的资费策略：提供多种资费策略，包括：按时长计费，按流量计费，按带宽计费。并且还 提供预附费业务和多种折扣策略。 高度的安全保证：高度的安全保证：通过 IP 地址、VLAN ID、MAC 地址的绑定，保证用户信息的安全。结合用户 控制访问列表，实现基于用户的良好管理能力，保护学生不受不良网站的影响。 配置用户禁止访问的网段； 保护网上重要的服务器 配置用户组之间的访问与禁止 灵活的地址策略：灵活的地址策略：在校园网出口采用 NAT 的方式解决学校公网 IP 地址不足的问题，此方案同 时支持公私网 IP 地址混合使用，为组网提供更大的灵活性。 严格的严格的 QOSQOS 保证：保证：通过 Diffserv 与端口限速功能，实现基于业务的 QoS 保证，防止网络受流 量攻击导致瘫痪。 提供多种规则组合条件下的流映射和分类、流量监管（CAR） 、拥塞控制方法 （RED、WRED、SA-RED） 、队列调度和输出流整形等功能 . . CAR 的范围和精度：平均流量范围（上行和下行） 128K50M ，流量控制粒度 128Kbps； 峰值流量范围（上行和下行）128K50M，流量控制粒度 128Kbps。 统一的分权网管：统一的分权网管：全网设备统一管理，并且可以根据管理权限对校园网上设备进行分级实时监 控。 实现拓扑管理 图形化操作界面，使用方便 方便的远程配置维护管理 实时声光报警 中文操作系统，符合国人使用习惯 3 3、详细网络设计、详细网络设计 3.13.1 IPIP 地址地址规划和路由策略规划和路由策略 IP 地址的合理规划是校园网网络设计中的重要一环，大型计算机网络必须对地址进 行统一规划并得到实施。IP 地址规划的好坏，影响到网络路由协议算法的效率，影响到网络 的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。 IPIP 地址分配原则地址分配原则 IP 地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现 出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路 由器中路由表的长度，减少对路由器 CPU、内存的消耗，提高路由算法的效率，加快路由变化 的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则： 唯一性：一个 IP 网络中不能有两个主机采用相同的 IP 地址； 简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项 连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法 的效率 可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需 的连续性 . . 灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。 主流的 IP 地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。 当校园网以私网地址分配或采用混合网络地址接入时，要求校园网提供地址变换功能，过 滤掉私网地址。 校园网校园网 IPIP 地址规划方案地址规划方案 请根据具体学校做相应规划 1）校园网 IP 地址分配总则 IP 地址规划根据所分配的公网 IP 地址和内部私网 IP 地址分配，地址可分为三大块，一 块是 Cernet 分配多个 C 类公网 IP 地址，作为和国际互联网互连的地址，域名 就 解析在这片地址上，主要供网络中心和图书馆电脑部、部分实验室专用；校园网的普通用户, 使用内部地址 192.168.xxx.xxx， ，不能和国际互联网直接发生联系，不能避开代理和计费系 统；学校同时还可以申请一块 ChinaNet 的公网 IP 地址，作为接入电信公网和部分关键的服务 器出口备份,关键服务器拥有两个公网 IP，分别跨接在 Cernet 和 ChinaNet 上。 2）校园网内部私网 IP 地址的分配 内部地址的分配原则是按建筑物进行的，视用户的数量，1/4、1/2、整个 C 的划分。对于 相对固定不变的教学区采用静态分配 IP 地址，为防止地址盗用，采用 IP 地址与 MAC 地址绑定， 对于流动性大、用户人数多、用户增长快的学生区采用动态分配 IP 地址，采用 By Port 的 Vlan，小范围地限制地址盗用问题。 对上网用户的管理，是基于用户名、密码的代理认证 WEB 认证过程进行，校园网内的网络 资源不需认证就可访问，但访问校外的资源就必须经过认证, 用户开机时，从 DHCP 服务器获 得校园 IP 地址，并可以直接访问校园网和教育网 3）中心交换机支持静态或动态的 IP 地址分配，并支持动态 IP 地址分配方式下 DHCP-Relay 功能，DHCP SERVER 可安放在园区内部。 4）对于固定 IP 地址用户，需要针对标识符（MAC 地址）设定保留 IP 地址。 5）如果使用华为公司的宽带接入设备 MA5200E 进行认证计费，可以使用 MA5200E 内置的 DHCP Server 或者网络集中 DHCP Server 实现地址的分配。VLAN 方式下每个 VLAN 可以只需要一个 IP 地址，采用 ARP Proxy 方式，大大节约了地址空间。 . . 3.23.2 VLANVLAN 划分划分 教师区，通常采用包月方式，同时需要实现帐号和端口绑定的功能，故采用一个用户一个 VLAN，并限制一个 VLAN 下同时接入的用户数量。 对于学生区，校园网内 VLAN 划分可以采用一个宿舍一个 VLAN 的划分方式，也可以是一层 楼一个 VLAN。 MA5200E 内部实现 VLAN+PORT 的标识，所以 VLAN 规划中可以重复分配，但是需要保证相 同的 VLAN 号必须分配在不同的物理端口下。 1、对一个宿舍一个 VLAN MA5200E 可以精确的控制每个 VLAN 下的用户，并能限制用户间的二层互访。用户要进 行互访，必须通过 MA5200E 来进行，在认证后，所有通过 MA5200E 的流量是要进行计费的。 由于用户间互通都要经过 MA5200E，增大了 MA5200E 的负担。 2、对一层楼一个 VLAN 本层楼的内部互访无须经过 MA5200E，优化了组网。 这种 VLAN 划分，不能防止主机上网后作为 porxy，供其他无帐号的学生使用的情况。 建议将按流量收费纳入考虑。 这种划分方式中，因为对用户能实现动态的 VLAN+MAC+IP 绑定，可对用户发动的伪造攻 击报文进行合法性检查和过滤，具有一定的网络安全性保障。 3、不同 VLAN 间的互访，必须经过 MA5200E 进行转发。 3.33.3 认证计费认证计费 .1用户用户认证认证 MA5200E 实现了对用户实现认证、计费、管理功能。用户认证的方式有以下四种： 1) 采用虚拟拨号方式： 采用虚拟拨号方式，即 PPPOE 的方式，用户需要在其客户端安装 PPPOE 软件，使用时从 客户端（PC 终端）发起 PPP 连接，PPP 连接通过以太网在 MA5200E 设备上实现终结。或 MA5200E 设备从 PPP 呼叫中提取相应的用户信息（用户名以及密码），将用户信息通过 RADIUS 协议在 AAA 服务器上对用户进行认证鉴权，并依据用户情况为用户动态分配合法的 IP 地址， 实现 INTERNET 接入。同时 AAA 服务器对用户实施计费，计费可采用时长、流量等多种计费方 式，满足不同资费政策的需求。 . . 2) 采用直接的用户接入方式 采用 VLAN 的直接用户接入方式时，每个用户分配一个 VLAN 端口，MA5200E 依据此 VLAN 再加上用户的 IP 地址以及 MAC 地址相捆绑。用户在申请开户时，向学校网络中心申请所需的 用户策略（用户带宽的需求、分配 IP 地址数目等），校网络中心将所需用户策略输入 MA5200E，MA5200E 依据用户策略以及 VLANIP 地址MAC 地址三者之间的绑定关系实现对用 户实现用户的接入管理、带宽分配以及用户的计费等。通过此方式实现宽带网络的可管理性。 3）VLAN+WEB 用户接入 VLANWEB 认证指的是 VLAN 接入的用户通过登录门户网站，输入用户名和密码，进行身 份认证，从而获得用户访问权限的过程。具体实现方式为： 首先或 MA5200E 为每个用户端口固定分配 VLAN-ID，并且在或 MA5200E 上将计时帐号用户 设置为 WEB 用户，并且将每个 WEB 用户路由固定指向 WEB 服务器的 IP 地址，因此在帐号用户 上网时其仅能够访问