东北师范附属中学网络解决方案报告

东北师范附属中学网络解决方案TIME\@"yyyy-M-d"2013-1-5 第116页,共SECTIONPAGES116页东北师范附属中学网络解决方案

目录第1章概况 41.1校园网建设背景 41.2东北师范附属中学校园网建网需求分析 51.2.1一般建网需求 51.2.2东北师范附属中学建网需求 61.3整体建网原则 6第2章总体网络设计 82.1整体网络改造描述 82.2网络层次介绍： 11第3章网络业务设计 133.1认证方式的选择 133.2S5800汇聚层交换机万兆的支持 143.3H3C东北师范附属中学解决方案特点： 143.3.1完全的分布式的处理方式 143.3.2良好的互通性 143.3.3核心交换机先进的体系架构设计 153.3.4基于流攻击的防止。 153.4网管解决方案 153.5无线AP部署方案 173.5东北师范附属中学IPv6网络设计 203.5.1IPv6的优势 203.5.2整体设计 213.5.3IPv6运行模式设计 22第4章东北师范附属中学用户管理及安全方案 244.1园区网用户认证管理需求分析 244.2校园网用户管理认证方案概述 254.3业务认证、授权管理描述 254.3.1认证选择设计－802.1X 254.4IMC用户管理系统对用户上网认证的管理 294.4.1用户需求分析 294.4.2IMC用户管理系统解决方案 294.4.3业务认证流程 414.5管理方案的坚定执行者：E126A智能交换机 424.5.1端口＋IP＋MAC地址的绑定： 42第5章无线网的构建 435.1为什么要选用FIPAP模式的组网 435.2为什么要采用POE供电 435.3为什么要采用吸顶天线 445.4无线管理有线无线一体化拓扑 445.5802.11N的优势 455.6零配置无线网构建解决方案 455.7理解AP零配置 475.7.1无线控制器和FITAP之间的网络拓扑 475.7.2获取IP地址 485.7.3发现相同二层网络内的无线控制器 485.7.4发现跨三层网络的无线控制器 495.7.5部署于IPv6双栈网络 515.7.6AP软件下载 515.7.7配置下发 525.8零配置提供的便利 52第6章产品介绍 526.1H3CS9500E系列路由交换机 526.2H3CS5800系列路由交换机 616.3H3CSR6600系列路由器 656.4H3CSecPathF5000-A5系列防火墙 726.5H3CACG应用控制网关 856.6H3CE126A教育网交换机 886.7H3C板卡系列无线控制器模块 946.8H3CWA2600系列无线接入点 996.9iMC智能管理平台 1006.10iMCWSM无线运营管理组件 109

概况校园网建设背景2004年7月20日，中国互联网络信息中心(CNNIC)在京发布“第十四次中国互联网络发展状况统计报告”。报告显示，截止到2004年6月30日，我国上网用户总数为8700万，比去年同期增长27.9%，上网计算机达到3630万台。网络国际出口带宽增长飞速，总数达到53.9G，比去年同期增长190.3%。CN下注册的域名数、网站数分别达到38万和62.7万。8700万网民当中，教育的用户占有12.5%，教育用户当中绝大部分的网民主体是来自于学生用户，报告中主要数据说明，前十年的发展取得丰硕成果，我国互联网事业正在持续快速的发展，并在普及应用上进入崭新的多元化应用阶段！互联网的影响正逐步渗透到人们生产、生活、工作、学习的各个角落。1、校园网能促进教师和学生尽快提高应用信息技术的水平；信息技术学科的内容是发展的，它是一门应用型学科，因此，为了让学生学到实用的知识，必须给他们提供一个实践的环境，这个环境离不开校园网。2、校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库，所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。3、校园网是学校现代化管理的基础，深入、全面的学校信息管理系统必须建立在校园网上。4、校园网提供了学校与外界交流的窗口，学校应将校园网与互联网联接，这也是学校信息化的要求，做到了这一步，通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。教育即未来，作为国家最重要的战略工程，如何应用信息技术改造我们传统的教学和管理手段；如何加深学生对于信息化和信息技术的理解与了解；如何造就同时具备传统和信息双重文化的一代新人，已成为教育界当前最为紧迫的任务之一。信息技术的应用，势必极大地推进教育手段和教育内容的革命性变革。我们对此深信不疑，并将全身心地为之努力。东北师范附属中学校园网建网需求分析一般建网需求东北师范附属中学的网络的建设主要是对校园网的网络进行部署。在实际的建设过程当中，应当充分考虑到学校内部的校园网多业务以及特色业务等扩展性，如：校园网内部的服务器的访问，由于学生的访问的内容多样化决定，涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。此处主要分析东北师范附属中学网络基础设施建设和网络运营方面相关的内容。东北师范附属中学校园网络建设从网络流量模型上看和企业网的流量模型相似，用户集中而网络流量大，但实际应用上还存在许多和企业网不同的地方。主要特点如下：多出口的需求：典型的组网有中国教育和科研网（CERNET）出口和运营商网络出口同时为内部网络提供网络接入服务。考虑到用户的以上的需求，需要在学校的内部提供不同的路由策略，即用户访问教育网的相关站点，通过CERNET的线路，而访问其他的网站如：新浪网、163等网站则选择运营商的线路作为出口路由，这要求核心的交换机或出口路由器能够提供策略路由以支持该特性。2、用户管理的需求：使用方便，存在客户端认证需求。要求能做到基于客户端的身份认证、多ISP选择、用户费率查询等。需要解决账号和端口绑定问题。通过此种方式限制账号的使用区域。能够实现全网的安全管理，包括：IP、MAC的盗用问题、防止接入用户的非法DHCPServer、Proxy等用户。对于用户的上网行为能够实现实时的跟踪以及时候的追查。3、多种教学方式并行的需求：随着校园网的信息化的发展，越来越的多教学方式依托于网络给学生提供多种的特色教学模式多媒体教学。为了更好的为学生提供全方面的教学资料，越来越的多学校在自己的内部局域网上面为学生提供多种教学资料，如：多媒体教学课件、典型的考试资料等等提供给学生上网下载使用。VOD点播业务实现，通过建立VOD视频服务器平台，利用交换机提供的组播功能，为东北师范附属中学的用户提供优质的视频效果，同时节省用户带宽。4、安全管理的需求：校园用户接受新鲜事务的能力非常强，因此校园也成为黑客最多的场所之一，如何保障校园网络的安全成为建网时不得不考虑的问题，目前主要攻击手段有DOS，DDOS等上网日志的需求，主要是配合公安机关保证社会的稳定和校园的安全6、组播业务的需求，特别是可控组播的需求将随着校园信息化的深入而体现出来。7、双核心的高保障需求：东北师范附属中学的网络组建投入使用以后是办公和教学的平台的环境，是院系专业教学和办公的集合体，对网络的稳定性要求相当的高，如果万一出现网络中断的想象，有可能就会对学院的工作和教学造成损失，所以为保证网络的稳定、可靠、高效都是才用双核心东北师范附属中学建网需求东北师范附属中学为提高网络覆盖范围率，使计算机终端的上网率可以达到95％以上，各园区网络设备进行升级，实现各院系的互连互通，把核心到汇聚层的千兆连接升级为万兆互连，满足数据、音视频等信息的实时传输，满足各类网上应用需求对网络带宽的需求，同时要有该网络是一套自上而下的一套安全的网络体系，在未来建设的校园网的数据中心为全校的各级用户提供，集中统一的数据存储服务。整体建网原则早期的高校校园网主要是共用内部教育系统主机资源，共享简单数据库，多以二层交换为主，很少有三层应用，存在安全、可管理性较差、无业务增值能力等方面的问题。现在东北师范附属中学校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障服务，使网络安全可靠，从而实现教育管理、多媒体教学、图书馆管理自动化，而且还要通过Internet实现远程教学，提供可增值可管理的业务，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。基于对东北师范附属中学校园网业务需求的深入理解，结合自身产品和技术特点，H3C公司推出了了完善的东北师范附属中学校园网解决方案，为东北师范附属中学提供“高扩展、多业务、高安全”的精品网络。东北师范附属中学网络建设遵循以下基本原则：高带宽东北师范附属中学网络是一个庞大而且复杂的网络，为了保障全网的高速转发，校园网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽的特，整网的核心交换要求能够提供无瓶颈的数据交换。可增值性东北师范附属中学校园网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的增值业务，使网络具有自我造血机制，实现以网养网。可扩充性考虑到东北师范附属中学用户数量和业务种类发展的不确定性，要求对于核心交换机与汇聚交换机具有强大的扩展功能，东北师范附属中学校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。对原有投资的充分保护东北师范附属中学已经建成自己早期的校园网，对早期投资购买的设备和原有的网络构造要充分的利用，发挥原有网络设备的作用，服务于新改建和拓扑模式之中。总体网络设计整体网络改造描述为满足东北师范附属中学三至五年的建设需求，本次方案主要采用分期建设的模式来实现整个校园网数字化建设。具体分期如下：一期建设主要通过部署关键节点设备解决目前校园网出口带宽有效利用问题、用户行为时候审计问题、出口设备性能瓶颈问题等。二期建设主要实现现有网络核心、汇聚、接入及网管系统替换与可靠性加固，宿舍网新建等内容。提高全网可靠性与智能化管理，实现全网统一管理。三期建设主要实现校园特色建设，随着信息化基础建设不断完善，无线终端日渐普及，无线校园网建设也成为各高校必不可少的基础设施建设，无线校园的建设可以给老师与学生带来更大的自用空间，有效的拟补了有线网络的不足。一期建设规划如下图所示：考虑到一期投入资金有限，而根据对全网设备利用率及负载情况的评估以及目前终端用户反映情况了解到目前网络存在两大问题。第一，外网出口带宽不够导致用户访问外网速度明显下降，无法满足用户正常需求。第二，根据2005年12月中华人民共和国公安部第82号令要求所有提供互联网服务的企事业单位具有内网行为审计能力，有效保障互联网信息安全。通过以上两点作出以下改造。出口部署，根据目前校园网双出口特性，路由器主要具备两大应用。第一，出口NAT转换功能。第二，出口设备策略部署实现路由匹配，根据目的地址选择不同出口功能。而根据现在校园网同时在线人数一千至两千人的实际需求已经远远超出了现有在线设备AR46的负载能力，建议在网络的出口部署H3C最新的SR6602路由器，SR6602路由器是一款系统带宽48G，最大并发连接数400万的万兆出口网关，完全满足用户网络的需求。出口安全部署，根据目前现有出口防火墙性能显示CPU占用率与内存占用率一直处于满负荷状态，给内外网数据交互带来的风险和传输瓶颈也是不容置疑的，一旦出口遭到攻击防火墙将会因负载过大造成数据堵塞。从而建议在出口防火墙处通过部署一台F5000万兆防火墙实现内外网的安全隔离。出口应用控制部署，经过对内网及外网综合评估了解到目前外网出口分别为教育网百兆出口与联通运营商百兆出口，而由于内网P2P、IM、流媒体数据对带宽的抢占导致正常应用缓慢，为保障正常应用的流畅性、带宽分配的合理性、管理智能化等功能建议在出口网处部署一台ACG应用控制网关。ACG应用控制网关在出口部署主要具备两大功能。第一，ACG应用控制网关将通过实时监控记录内外网访问源地址与目的地址，实现用户行为审计功能。第二，ACG应用控制网关将通过自动更新数字育苗更新应用程序特征库对出口数据应用进行监管与控制，通过应用控制合理分配某种应用对带宽的实际占用情况等。二期建设规划如下图所示：核心层解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。如图所示，东北师范附属中学的网络建设是要建成一个高效、安全的网络，网络整体分为三个层次：核心层、汇聚层、接入层。为实现网络内的高速互联，核心层分别由两台核心节点组成，采用2台S9512E万兆核心交换机，承担着核心节点下所接入的数据信息，考虑到可靠性因素两台核心交换机通过IRF2虚拟化技术将两台核心交换机虚拟成一台核心设备，实现两台核心负载均衡与统一管理，并可得到成倍的性能提升，避免了传统设计中双机热备只能有一台核心工作的方式，有效保护用户投资并且充分利用现有资源。服务器群相对接入信息点数量较多，服务器区域可以设置有防病毒服务器、补丁服务器、web服务器、邮件服务器等。汇聚层交换机分别在每栋教学楼、宿舍楼均部署一台S5800汇聚交换机，在现有环境S5800汇聚交换机采用双千兆光纤上连到两台核心交换机，而在日后应用环境复杂与负载的增加等情况出现时，S5800汇聚交换机可以平滑升级过渡到万兆干路连接并通过多业务扩展槽实现安全插卡或无线控制器插卡，充分满足目前无线校园建设的需求，从而有效保障用户投资，简单轻松的实现有线无线一体化。接入层采用E126智能接入交换机，E126智能接入交换机具有端口限速、防ARP攻击、扩展访问控制列表、IP+MAC+设备管理IP等多种适合于接入层所设计的接入层功能，完全满足校园网建设接入层控制，为用户提供百兆到桌面的接入能力，并且提供千兆光路上联。智能平台部署包括网管平台部署与CAMS认证组件，考虑长春金融专科学校的网络设备众多，包括网络、安全、用户接入认证、计费管理等，网络管理工具是保证网络正常运转，业务正常运行的必备的工具。通过网络管理软件不但能够及时发现网络的问题，对网络的变化做出迅速的响应，而且可以通过网络管理软件对整个网络进行优化，远程监控、网络设备管理、调解网络流量、达到充分利用网络资源、减少管理技术人员和节省管理成本的目的。网控平台应实现分级管理功能。网络层次介绍：在核心层，核心层主要采用2个骨干节点，选配2台S9500E交换机，网络中心核心交换机同时提供服务器接入区域，重要的服务器例如日志服务器、防病毒服务器和补丁服务器，同时提供网络的审计、网管等功能区域。，同时H3CS9500E万兆交换机其交换容量3.84Tbps，包转发率1440Mpps，12个业务插槽，进一步满足大型节点高数据量转发的特点完全满足骨干节点的需求，S9500E万兆核心交换机采用先进的全分布式体系结构设计，通过主引擎和分布式高速业务接口板上内置的Crossbar交换网芯片实现板内、板间二、三层流量的线速分布式转发，通过分布式高速业务接口板上内置的高性能CPU与位于主控引擎上的CPU协同工作，实现ACL、流分类、QOS、组播等业务的全分布式处理。汇聚层，根据具体的需求每500个节点左右选用1台S5800作为汇聚，根据网络设计的原则，汇聚层交换机应是性能相对比较高的小核心，汇聚层是部署网络中的各种策略的部分，S5800万兆交换机交换容量360G，包转发率156Mpps，具有1个插槽。在汇聚层，由于网络的二级区域存在密集度高的大量用户，为了保证数据传输和交换的效率，现在每一个大型的接入点的上端配置汇聚层设备。汇聚层设备不但分担了核心设备的部分压力，在同时提高了网络的安全性和稳定性。建议采用H3C的S5800，S5800系列全千兆智能弹性交换机支持H3C创新的IRF（IntelligentResilientFramework）技术，能够实现用户网络的高度弹性智能扩展。利用IRF技术，用户可以将多台设备通过堆叠接口连接起来组成一个联合设备（Fabric），并将这些设备看作单一设备进行管理和使用，降低了管理成本，同时实现按需购买、平滑扩容，在网络升级时最大限度地保护已有投资。同时S7500E支持万兆上联最大程度的提高了汇聚层与核心交换机之间的带宽扩展需求。在接入层，接入层是直接与用户相连的设备，因此，在实际的应用的过程当中我们建议采用H3CE126A产品，建议通过在E126A上配置千兆电接口与汇聚交换机S5800进行链接，这样将会进一步扩大带宽。H3CE126A系列安全智能三层交换机19.2Gbps的总线带宽为交换机所有的端口提供三层线速交换能力，系统能够提供2/4个SFP接口，有效解决了在单台设备上多个千兆链路上行，同时接入千兆服务器的需求，极大的节省了用户对设备投资。无线网络的应用在校区内进行无线的覆盖，现阶段校园网的无线覆盖已经成为一种趋势和必然，对于无线的覆盖以后，使得学校教学和办公的得到的极大便利，无线的覆盖可以分为室内的无线覆盖和室外的无线覆盖，采取通行的网络协议标准：目前无线局域网普遍采用802.11系列标准，因此无线局域网将主要支持802.11g（54M带宽）标准以提供可供实际应用的相对稳定的网络通讯服务；全面的无线网络支撑系统（包括无线网管、无线安全等），以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题；保证网络访问的安全性，支持802.1x安全认证方式；采用非独立型的无线网络结构选型；采用H3C的FITWLAN的模式。在S9512上配置无线控制器，终端接入的无线设备的方式非常的方便，配置都集中在S9512的无线控制器上，所有的无线接入设备可以实施即插即用，配置管理简便易行。安全、认证、管理要求:为了阻止非授权用户访问无线网络，以及防止对无线局域网数据流的非法侦听，无线网络要具有相应的安全手段，主要包括：物理地址（MAC）过滤、服务区标识符(SSID)匹配、有线等效保密（WEP）、二层隔离、WPA支持等；本无线局域网的用户认证支持集中认证（WEBPORTAL认证方式）和802.1X安全认证方式（支持受保护的PEAP(ProtectedEAP)），AP、访问控制系统及认证计费系统必须为要配合要通过验证，便于使用用户的使用及维护。在连续覆盖区域的认证和覆盖应充分考虑移动用户的易用性，达到一次认证，移动使用的目的；用户认证、计费管理：本网络建议采用H3C的IMC软件系统进行计费和认证，IMC具有强大的认证功能，可以实现按流量计费、支持多种计费策略，同时其旁挂式的方式大大提高了网络的安全性，避免了在出口产生流量瓶颈的问题，本次组网采用IMC综合管理软件实行全网的用户认证和计费管理。详细介绍参加第三章。网管平台：为提高网络管理的效率，减轻网络维护的压力，本次组网采用IMC网管系统进行全网设备的统一管理。IMC网络管理软件是H3C公司对数据通信设备如路由器、交换机等进行统一管理和维护的网管产品，位于网络解决方案的管理层，能够实现网元管理和网络管理的功能。IMC网络管理软件基于灵活的组件化结构，包括网元管理平台、广域网管理系统、局域网管理系统、资源管理系统等，用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件，真正实现“按需建构”。网络业务设计认证方式的选择IMC的认证可以配合H3C接入交换机或BAS设备，结合802.1x认证方式实现对接入用户的端点准入控制。这种组网方案对不符合安全策略的用户隔离严格，可以有效防止来自网络内部的安全威胁。同时IMC用户认证系统可以对网络的接入用户进行很好的甄别，确认用户权限，同时实现计费。同时也可以配合路由器、高端交换机等设备，结合Porta认证方式在汇聚层实现对网络用户的端点准入控制。这种组网方案具有适应性广的特点，可以应用与东北师范附属中学网络出口、分支机构入口、关键区域保护等多种应用场景。根据东北师范附属中学的用户特点，考虑到网络中心的维护工作量，这里我们建议采用802.1x认证方式。S5800汇聚层交换机万兆的支持 从网络的整体结构上我们可以看出整个网络的设计是汇聚与接入之间均采用千兆的方式，接入与最终用户之间采用百兆的方式进行互通，由于百兆接入用户的众多，整个网络的瓶颈在核心与汇聚之间的连接存在瓶颈，随着网络接入用户的不断扩大，汇聚与接入之间可以采用万兆的方式进行互联。H3CS5800汇聚层交换机，可支持1～2个万兆接口上行，用户无需任何投资，可以直接购买10GE模块，可直接插到汇聚层交换机上就可以实现万兆带宽的升级，GE接口可以作为下联接口用。 核心与汇聚层之间直接采用万兆的带宽将汇聚层存在的带宽瓶颈问题彻底解决。H3C东北师范附属中学解决方案特点：H3C东北师范附属中学教育网组网解决方案的优点有以下几点：完全的分布式的处理方式S9500E为用户提供完全的分布式的处理方式，东北师范附属中学的校园网内部的数据量是非常大的，因此主交换机是否能够做到线速关系到整个网络的是否会发生拥塞。H3CS9500E背板交换容量3.8T够做到所有GE接口的双向的线速，H3C公司的S9500E的性能指标是经过完整的测试，而业界厂家在指标宣称上面往往与给最终提供给用户的不一致。而用户又由于测试仪器的限制无法确认实际配置的性能，这一点在H3C公司是绝对不会出现的。再次,分布式的转发，对于S9500E路由查找是非常有益的补充。因为S9500E的路由查找模式为最长匹配。这样就可以避免校园网内外的非法用户利用专门的攻击软件来攻击中心交换机，因为这种攻击是通过不断变换自己的本网断内的IP地址，来不断消耗主控处理板的CPU处理能力，直到彻底使主控处理板的CPU丧失处理能力，整个机器瘫掉。但是S9500E是根据最长匹配来查找路由的，是针对网断进行路由的。所以当攻击者进行攻击时，S9500E只能造成该接口板的业务能力处理下降，但是对于整机没有多大影响。这是我们选则S9500E的作为核心交换的非常重要的原因。良好的互通性S9500E具有良好的互通性，S9500E支持标准的路由协议，包括OSPF、BGP4、ISIS、RIP等路由协议，在实际的开局中与Foundry、思科、Exreme等多种厂家均能够实现互通，在华南理工大学、山东大学等用户都得到实际的应用验证。核心交换机先进的体系架构设计网络的背板技术经历了共享式、缓存式等发展，Crossbar技术被公认为最为完美的一种设计方式，H3C公司S9500E交换机采用背板采用分布式Crossbar的技术，整机的转发不存在任何的瓶颈问题，同时，S9500E可实现背板容量的平滑升级，除背板采用Crossbar的方式，在接口板上，H3C公司S9500E万兆核心交换机采用分布式Crossbar的技术，即在每个业务单板上面也同样采用Crossbar的技术，端口与端口之间的转发均有可直达的端到端转发通道，使得端口之间的转发不存在在任何瓶颈，大大提高了核心交换机的整机转发性能。基于流攻击的防止。H3C所采用产品S9500E等三层转发模式均为最长路由匹配技术。这样就可以避免园区网内外的非法用户利用专门的攻击软件进行的一些基于流的共计，因为这种攻击是通过不断变换自己的本网断内的IP地址，来不断消耗主控处理板的CPU处理能力，直到彻底使主控处理板的CPU丧失处理能力，整个机器瘫掉。S9500E是根据最长匹配来查找路由的，是针对网断进行路由的。所以当攻击者进行攻击时，不会造成S9500E业务能力处理下降，对于整机没有影响。这是我们选则S9500E的作为核心交换的非常重要的原因。网管解决方案根据网络实际情况可采用H3CIMC网管系统。特性该系统采用开放式结构设计，严格遵守标准的SNMP协议（RFC1157），主要使用RFC1213定义的MIB信息，具有投资省、使用灵活、易于移植等特点：使用灵活H3CIMC系统的使用方式非常灵活，既可以作为设备级的应用程序集成到已有的网管平台（如：HPOpenView、RadiumsNMS、SNMPC、NetManager）中进行网络级管理，又可以作为独立的应用程序执行进行设备级管理。同时可以根据用户需求进行接口的开放。支持WEB方式基于WEB的管理是网管方式的一次革命，其主要优势在于：基于WEB的管理允许网络管理人员使用任一种浏览器在网络的任何节点上方便迅速地配置、控制及监视网络。在WebServer上安装了网管软件后，其它网管机器不用预装网管软件，只须安装了WEB浏览器并且设备能上网，就能使用H3CIMC系统管理。成本低H3CIMC不像大型网管系统那样系统庞大，它将网管人员最为关心的网络信息直观而浓缩地呈现于网管人员面前，使其方便地了解设备各端口的运行情况以及主要的设备性能指标。支持多种操作系统平台纯Java的实现，保证H3CIMC无须修改便能运行于当前主流的各种平台之上。除此以外，H3CIMC系统使用全新的JFC类库，所有控件均支持LookandFeel特性，该特性使得H3CIMC既可以在不同平台上呈现出统一的显示风格，也能够使控件的风格与操作系统相一致。功能功能描述路由器设备视图设备端口的配置情况：端口个数、端口种类、端口当前状态等故障管理对全网设备的告警信息和运行信息进行实时监控，查询和统计设备的告警信息。主要功能包括：支持告警相关性分析；能按照用户设置的条件对告警信息进行统计和查询；提供告警拓扑定位；支持告警Trap规则定义等。路由器设备整体配置信息支持拓扑自动发现功能，系统信息（系统描述、系统标识、重启时间、所在地、设备名、联络方式）、地址转换表、接口表、IP表、IP路由表、TCP联接表。性能管理提供对设备实时性能数据的查看功能，使用户了解当前网络运行的基本情况和性能状态，从而预防网络事故的发生，预测网络运行状态，帮助用户对网络的管理运营进行合理的规划。同时可以支持对于网络节点设备利用率、CPU利用率、故障率、线路流量统计、网络时延统计、历史告警信息等进行统计记录，并可以实现网络流量配置。设备日志和告警管理在系统独立运行时，设备日志管理完成接收设备发送到网管的Syslog日志报文，直接保存到文件中；设备告警管理完成接收设备发送到网管的告警报文，将该Trap进行解析并保存到文件中。路由器设备整体运行状态CPU负载、系统温度、风扇状态、VOS内存空闲率、Non-Volatile空闲率、内存分布错误次数、内存分配不足引起的分配错误输入IP报文、表头错误的输入IP报文、地址错误IP报文、未知协议数据报、缓冲溢出输入IP报文、缓冲溢出的输出IP报文、转发的IP报文、无路由的输出IP报文、成功重组的IP报文安全日志管理安全管理功能主要有以下几个方面：操作日志管理，用户管理，用户组管理，设备集管理，操作集管理，权限管理，用户登录管理。路由器设备端口配置信息接口描述、接口类型、最大传输单元、接口速率、物理地址、管理状态、操作状态、持续运行时间、本地描述路由器设备端口运行状态接口使用率、输入包误码率、输出包误码率、输入包丢弃率、输出包丢弃率、输入包未知协议率下图是该产品的界面示例：3.5无线AP部署方案目前考虑在校园园区内部署FITAP,在核心的S9500E上部署H3C板卡系列无线控制器模块，S9500E无线控制器能提供了丰富的有线数据和无线数据的处理功能，集精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS及IPv4&IPv6等多功能于一体的功能。H3C公司更有众多的无线有线一体化的交换机可供选择，使得无线配置灵活，部署方面。H3C公司使用创新的基于认证的组网来提供网络服务，这种方法基于用户身份而非端口或设备，以便跨越整个网络实现移动性和安全性。当用户漫游网络时，通过WLAN网络范围内的无线控制器的信息交换，以实现在整个网络范围内执行一致的访问和安全策略。同时采用WPA/WPA2和802.1X认证结合的AES、TKIP以及WEP加密等功能增强了网络安全。S95E无线板卡或无线有线一体化的交换机与H3CFITAP配合组网，可以方便的部署于任何现有的二层网络或三层网络之中，控制器和AP通过IETF制定的CAPWAP协议进行互联而无需针对现有网络进行重新配置。认证方式及认证点选择本方案主要采用802.1X认证，交换机作为802.1X协议终结点，IMC用户管理系统系统为用户鉴权点。802.1X认证是一种二层认认证机制，建议使用二层信息与帐号进行捆绑，此时的网络是一种安全网络。整网安全无线网络安全部分主要包括以下方面的内容：MAC地址过滤：目前我司AP都支持基于MAC地址的过滤，可以限制具有某种类型的MAC地址特征的终端进入网络中，对于大规模网络，使用MAC地址过滤时操作起来具有较大的难度，主要原因是：MAC地址的规律性不大，所有的AP都要进行配置，存在缺点：维护工作量不大，故建议：不进行部署，但设备要具有这样的能力，以备以后增加相应设备进行配套使用，以增强安全性；SSID管理：是一种网络标识的方案，将网络进行一个逻辑化标识，对终端上发的报文都要求进行上带SSID，如果没有SSID标识则不能进入网络；WEP\AES加密：WEP加密是一种静态加密的机制，通信双方具有一个共同的密钥，终端发送的空口信息报文必须使用共同的密钥进行加密；AES属于一种动态加密机制，密钥进行定期的刷新；频率规划802.11g使用开放的2.4GHzISM频段，可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5个信道的工作中心频点。因此对于802.11g在2.4GHz地工作频段，理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。此外，由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。针对如何进行802.11g的频率规划作了大量的实验，实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖，并提供更高的服务带宽提高服务质量，和高带宽业务的开展。`频率规划原理图频率规划需要配合使用的功能包括：AP支持13个信道设置AP支持500～200mW、60～10mW功率以及多级功率控制AP支持外置天线以及定向天线针对特殊应用还需要AP支持桥接功能、接入功能以及WDS功能网络管理基于标准的SNMP协议实现对设备的管理，H3CIMC网管系统通过SNMP实现对WLAN所有网元的管理。网管工作站可以放在网上的任意位置，通过标准的SNMP即可实现对所有设备的管理。采用标准的SNMP可以实现更为强大的管理包括自动拓扑发现、自动升级、批量配置、分级管理、分级告警等。供电问题由于本次无线网中AP布放位置根据实际覆盖效果而调整，在已建设完成的建筑物上较难进行本地供电，对AP的本地供电问题难度更大，可采用基于标准的802.3af实现对AP的供电。通过在汇集交换机处叠加一个供电电源或者内嵌交换机内，通过以太网线在传输数据同时给AP供电，供电距离达100米，满足实际组网的要求。东北师范附属中学IPv6网络设计IPv6的优势IPv6的发展是从1992年开始的，经过了12年的发展时间，IPv6的标准体系已经基本完善，在这个过程中，IPv6逐步优化了协议体系结构，为业务发展创造机会，归纳起来IPv6的优势包括如下几个特点：地址充足：IPv6产生的初衷主要是针对IPv4地址短缺问题，，即从IPv4的32bit地址，扩展到了IPv6的128bit地址，充分解决地址匮乏问题。同时IPv6地址是有范围的，包括链路本地地址、站点本地地址和任意播地址，这也进一步增加地址应用的扩展性。简单是美：简化固定的基本报头，采用64比特边界定位，取消IP头的校验和域等措施，以提高网络设备对IP报文的处理效率。扩展为先：引入灵活的扩展报头，按照不同协议要求增加扩展头种类，按照处理顺序合理安排扩展头的顺序，其中网络设备需要处理的扩展头在报文头的前部，而需要宿端处理的扩展头在报文头的尾部。层次区划：IPv6极大的地址空间使层次性的地址规划成为可能，同时国际标准中已经规定了各个类型地址的层次结构，这样既便于路由快速查找址格式更具层次性，也有利于路由聚合，缩减IPv6路由表大小，降低网络地址规划的难度。即插即用：IPv6引入自动配置以及重配置技术，对于IP地址等信息实现自动增删更新配置，提高IPv6的易管理性。贴身安全：IPv6集成了IPSec，用于网络层的认证与加密，为用户提供端到端安全，使用起来比IPv4简单、方便，可以在迁移到IPv6时同步发展IPSec。Qos考虑：新增流标记域，为源宿端快速处理实时业务提供可能，有利于低性能的业务终端支持IPv6的语音、视频等应用。移动便捷：MobileIPv6增强了移动终端的移动特性、安全特性、路由特性，降低了网络部署的难度和投资，为用户提供了永久在线的服务。IPv6的上述特点充分迎合了未来网络向IP融合统一的发展方向，并提升IP网络的可运营可管理性。整体设计东北师范附属中学IPv6网络的建设主要是为了在目前的校园网内部建设IPv6环境，使得学生对IPv6网络进行访问，同时逐步在IPv6网络当中开展IPv6业务，如：组播、FTP、流媒体等业务，进而提高IPV6网络的用户数量，扩大IPv6应用。S9500E、S5800等三层交换机可实现IPv6的支持，可以支持静态IPv6路由、支持基于硬件的IPv6转发，可实现IPv6到IPv4以及IPv4到IPv6等隧道技术，其整体的IPv6升级方案如下图所示：Internet2Internet2Cernet2IPv6服务¡­¡­IPV4User¡­¡­IPV4UserS9512ES5800E126AE126AIPv6User核心汇聚接入IPV6User¡­¡­IPV6User双栈双栈双栈NAT-PT如图所示，在同一台接入层交换机下可能存在不同的用户有V6用户也有V4用户，对于V4与V4用户的互通，或是V6与V6用户的互通可以直接通过核心交换机来实现，而对于两个跨V4网的V6孤岛之间的互联可以通过隧道技术来实现，通过两个V6边界路由之间建立隧道的方式进行互访，边界路由交换机S9500以及汇聚层交换机S5800都采用双栈运行的模式，对于V6用户访问V4的资源方式，可以采用ALG或是NPAT-PT的方式来实现，将V6的和V4的报文头进行互译，从而实现V6与V4用户的互通。H3CS9500E支持6to4或4to6等方式完全可以满足用户的需求。IPv6运行模式设计在整个IPv6网当中可以运行多种IPv6相关业务，因此将会出现以下相关技术，如：6to4、4to6、双栈等多种方式，如图所示，全网的资源实验访问可分为以下几种：IPV4<——>IPV6：IPv4与IPv6之间的相互互通是非常重要的，在实际的应用的过程当中H3C采用NAT转换的方式进行互通，在IPv4用户访问IPv6的资源时，由于IPv6的IP地址丰富，可以采用一个IPV4对应一个IPv6的地址，进行转换；而IPv6用户访问IPv4的资源时，由于IPv4的地址资源相对有限，可以按照收敛比采取多对一动态的转换的方式进行互通，其基本的实现方式如下： IPv6用户在访问Pv4的用户时，在边界路由器上进行NAT转换，过程是将IP的报头取出，改为IPv4的报头，与IPv4的用户进行互通；同样IPV4用户访问IPV6的用户时，当经过边界路由器的时候，边界路由器会将IPv4的包取出，更改为IPv6的报文格式在IPv6的网络内部实现IPv6之间的互通。IPV6——IPV4——IPV6：同样在IPv6网络的建设过程当中将会存在IPv6的孤岛跨IPv4进行互访的情况。H3C可以支持跨IPv4网络的IPv6孤岛的互通，可支持在多个边界路由器上（必须以双栈的方式进行运行。）进行手工的配置隧道，该隧道对于最终的用户来说是不可见的，如图所示：当一个IPv6的包经过边界路由器的时候边界路由器会将IPv6的报文封装为IPv4的包在隧道种进行传送，当报文到达对防的时候，在边界路由器上进行解封装，还原出原IP6的包，从而实现互通。对于终端的PC机用户来说也可以实现网络的访问，PC机终端会携带IPV6请求包向IPv6接口发出请求，该报文通过IPv4网络时将会直接封装为IPv4包，当到达IPv6接口时，将还原为IPv6包，当接口得到IPv6请求时，会返回其请求的前缀，报文同样被封装为IPv4包，当到达终端IPv6主机时，会直接还原为IPv6包，并将前缀直接分给终端主机，终端主机结合自己的后缀，自动配置好IPv6地址，进而实现PC机终端与边界路由器之间的6to4隧道。双栈模式H3CSR66路由器支持双栈方式的运行，即一台路由器可实现同时处理IPv4以及IPv6两种方式，如下图所示：在由同一个物理网络当中同时存在两种模式的IP网络，即：IPv6网络与IPv4网络，IPV6用户之间可实现互通，同时IPv4用户亦可在同一张网络当中实现互通，这样每个点的用户即可以通过核心路由器之间进行IPv4的互通，也可以通过核心路由器SR66进行IPv6的互通，进行IPV6的相关实验。H3CSR66可完全实现双栈的运行方式，满足用户的各种需求。东北师范附属中学用户管理及安全方案园区网用户认证管理需求分析随着网络规模的扩大，用户不断的增加，网络使用中出现了不少不和谐的声音：账户盗用，恶意欠费，黑客攻击，反动言论等。这些不和谐的行为影响了正常的网络使用，造成了许多安全隐患。为了消除这些隐患，我们需要引入网络认证管理技术，规范网络使用，在提供体现公平、共享原则的同时保护绝大多数用户的权利。在提出解决方案之前我们将相关需求做一简单分析：准确的用户身份确认园区网计费用户分为两类，一类是不计费，另一类是计费。但是无论是计费还是不计费我们都需要对其身份进行准确的识别。这是网络安全的需要，同时也是做到准确计费的需要。但是如何进行用户身份确认呢？这就需要通过认证技术来实现。目前认证技术有许多，如WEB认证，802.1x认证，PPPOE认证。这些认证技术各有千秋，PPPOE技术被广泛的应用在宽带小区，WEB认证被应用在一些信息系统内，而802.1x认证被应用在广大的校园内。这是因为802.1x认证具最大的特点是简单，无需特殊的设备支持，同时支持任何网络应用。正是这一点打动许多学校老师的心。本方案将以802.1x认证用户身份确认技术。全方位的用户管理方案用户的管理随着网络的扩大逐步显得更加的重要，从目前的校园网的建设来看，不同的学校有着不同的网络的管理方式，如：MAC绑定、IP地址的绑定、卡号密码的绑定等，不同方式各有千秋。在东北师范附属中学的网络认证管理方面，其我们用户建议采用MAC地址＋端口的绑定技术来作为整个校园网管理的主要方式，H3CE126A/E152接入层交换机支持多种绑定技术，同样支持MAC地址＋端口的绑定方式，这样对于用户可以直接做到端到端的绑定方式。校园网用户管理认证方案概述认证管理方案是一个整体的方案在园区网内实施相应的管理措施。而且从校园网实际使用情况看，学生宿舍区的网络建设中认证管理是最为突出的问题，考虑到学生的技术水平较高、学校内喜欢攻击网络的学生较多，在实际的建网过程当中应当充分考虑到这些因素可能会带来的相关问题，在组网建设过程当中避免。综合考虑，H3C公司在实际的在建网的过程当中遵循了以下几点要求：认证交换机。本次方案所采用的所有交换机都支持802.1x认证。考虑认证的效率，本次认证主要由接入层E126A/E152交换机来完成。并能够提供强大的业务功能：如：MAC地址绑定等功能。网管平台。网管软件对于用户来说是维护网络的重要工具，H3C公司IMC网管平台可以为用户提供强大的维护功能，同时可以对所管理的接入层交换机进行批量配置，避免用户繁琐的工作，同时IMC可以对端口流量进行设置阀值告警，发现用户端口流量较大（如：病毒攻击），可以通过网管将端口关闭避免大量垃圾报文，维护网络安全。业务认证、授权管理描述考虑到东北师范附属中学为大学院校，考虑到其的特殊性，有众多的教师和学校管理层的办公系统，在业务接入的前采用EAD系统对用户进行用户名和密码的认证，同时对客户端进行控制，防止PC终端的软件传播病毒和对网络产生危害，利用Xlog系统进行事件审计。认证选择设计－802.1X认证管理是接入层交换机和认证软件平台重要的特性，本次我们建议采用802.1X的认证方式作为接入认证的方式。802.1X协议是IEEE在2001.6通过的正式标准，标准的起草者包括Microsoft，Cisco，Extreme，Nortel等；802.1X定义了基于端口的网络接入控制协议（portbasednetworkaccesscontrol），该协议适用于接入设备与接入端口间点到点的连接方式，其中端口既可以是物理端口，也可以是逻辑端口。H3C公司的网络设备对802.1x做了扩充，使其可以基于MAC地址进行网络接入控制。IEEE802.1X的体系结构中包括三个部分：(1)SupplicantSystem--用户接入设备(2)AuthenticatorSystem--接入控制单元(3)AuthenticationSeverSystem--认证服务器接入层LANSWITCH设备需要实现802.1X的认证系统部分Authenticator；用户接入设备(PC)需要有802.1x的客户端软件；认证服务器可以是802.1x的服务器，也可以是传统的Radius服务器；传输介质为点对点以太网（即PC直接通过网线连接到LSW的端口），如果是共享式以太网，则需要采用加密的方式（MD5）传递认证信息。概念解释：PAE，即portaccessentity之缩写，意为端口接入实体SupplicantPAE：发起接入请求的PAE，指一般PCAuthenticatorPAE：驻留在接入设备上的验证模块PAE受控端口是802.1X系统的核心概念(1)Authenticator内部有受控端口（ControlledPort）和非受控端口（UncontrolledPort）。(2)非受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，可保证Supplicant始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。(3)受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。输入受控应用在集中桌面管理的应用场合,例如管理员即使在客户端关机的情况下也能将通过受控端口向用户计算机发送远程开机命令。(4)H3C公司的COMMWAER平台的802.1X子系统扩展了多种受控端口类型,以支持复杂的应用环境。802.1X的认证模式：端口认证模式：ForceAuthorized：常开模式。端口一直维持授权状态，设备端不主动发起认证；ForceUnauthorized：常关模式。端口一直维持非授权状态，忽略所有客户端发起的认证请求；Auto：协议控制模式。设置端口初始状态为非授权状态，使端口仅允许EAPOL报文收发，如果认证流程通过，端口切换到授权状态；COMMWAER的802.1X子系统允许一个物理端口下有多个受控端口，在一个物理端口下的所有受控端口只能配置成相同的端口认证模式，这种限制是为了方便管理员配置。802.1x协议定义了一种基于port的认证方法，在协议中允许允许一个物理端口下有多个受控端口，应该是为了便于实现对802.1x的扩充，如在物理端口下开发基于MAC地址的认证，每个MAC地址将有一个动态的逻辑端口，逻辑端口的状态是受控的。也可以开发基于VLAN的认证，等等。端口类型：(1)逻辑端口(默认)：一个逻辑端口对应一个物理端口，对应一个AuthenticatorPAE状态机实体。这种端口类型的802.1x认证与PPPoE和WEB认证方式相比，有缺陷，无法灵活地应用到运营商的宽带城域网(可参考华为技术报上的<<802.1x认证技术>>一文)。(2)逻辑端口＋源MAC：这种类型的受控端口为每一个客户端创建一个AuthenticatorPAE状态机实体。每个物理端口上受控端口的个数是有限制的(可配置)，当有客户端发送EAPOL-Start请求认证报文时提取客户端源MAC地址，做为受控端口的标识。客户端注销时对应的受控端口资源被释放。(3)逻辑端口＋VLANID+源MAC：这种扩展的受控端口类型,主要是配合S3000+LANSWITCH方式组网,SS3000上实现的802.1X受控端口类型，逻辑端口+VLANID可以定位到下层LANSWITCH的物理和逻辑端口，源MAC地址可以区分到客户端。H3C公司网络产品支持以下的基本认证方式：本地认证：接入设备根据用户名在本设备的数据库查找，若存在相同的用户名和密码则验证通过,否则验证失败。Radius认证：接入设备通过Radius报文与Radius服务器交互报文，由Radius服务器完成对用户身份合法性的验证。PAP认证：PasswordAuthenticationProtocol，用户以明文的形式把用户名和他的密码传递给接入设备的验证方式。CHAP认证：ChallengeHandshakeAuthenticationProtocol，当用户请求上网时，接入设备生成一个16字节的随机码给用户，同时还有一个ID号及接入设备的hostname。客户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密，生成一个response传给接入设备，接入设备根据用户名在本端或Radius服务器查找，得到和用户端进行加密所用的一样的密码，然后根据原来的16字节的随机码进行加密，将其结果与Response作比较，若相同表明验证通过，否则验证失败。CHAP认证时，密码经过了MD5算法加密处理，防止报文被截获。东北师范附属中学802.1X的认证过程首先东北师范附属中学的端口模式采用网关模式，首先上网终端通过802.1X的客户端收入用户名、密码后客户端发起EAP报文至802.1Xserver（E126A/E152），在E126A/E152上终结EAP报文，然后从E126A再次发起Raduis报文至认证服务器RaduisSver，由RaduisServer来验证用户名、密码是否匹配，在认证通过以后由认证服务器下发Raduis报文至E126A802.1X的认证方式最为主要的三点是：1.认证的802.1X的客户端的功能。2.认证的802.1XServer；3.与认证服务器的配合。H3C公司自主开发的802.1X客户端以及认证服务器，在实际的应用中配合华为的接入层交换机E126A最终完成802.1X的认证。IMC用户管理系统对用户上网认证的管理用户需求分析东北师范附属中学校园网的管理基本上分为以下几个方面：用户信息的搜集用户信息的搜集是网络开通前网管人员的首要任务，此时需要搜集的信息可能包含有：学生的学号、用户主机的MAC地址、用户接入的端口、分给用户的IP地址、用户的性别、用户的宿舍号、用户的学院、或是我们需要用户提供的相关特性。此过程可能是用户工作量最大的一个过程。学生用户的开户开户的过程是网络人员的针对用户的需求进行开户，用户把钱交给网络中心为用户提供开户业务，提供给用户网络资源。网络安全控制该过程是网管人员对上网用户进行实时检测的过程，网管人员要确保网络的安全，要对用户上网的动作进行监控，并有效的防止网络当中存在的各种非法操作用户。……总之，整个网络的开通、运行、维护是一个持续、巨大工作量的过程，网管人员是这些任务的承担者。IMC用户管理系统解决方案下面我们再来看一下IMC用户管理系统是如何解决用户的相关问题。用户相关信息的搜集IMC用户管理系统的“用户预注册”解决网管人员搜集用户信息中遇到的问题，传统的方式是通过网管人员的信息录入来搜集客户的信息，这种方式使得网管人员的工作量剧增。举例来说，一个5000用户的开户工作，我们假设1个用户的录入工作需要2分钟（包括检查用户提供的信息是否正确）,5000用户需要的工作量就是5000×2＝10000分钟，共计166小时，按照一天8小时工作时间计算，共需要21天，这样的工作量对网管人员来说是不可忍受的，IMC用户管理系统支持用户预注册功能，所有的用户名密码等信息都由用户自己输入，而且用户如果我们还需要部分信息还可以进行定制。用户预注册：用户预注册可以帮助用户在开户前的相关信息的搜集，用户可以通过固定的网上申请用户名、密码等相关信息，而且网管人员需要搜集的信息可以在“用户附加信息”中进行自行定义，定义的方式也是可选的，可以是下拉菜单方式的、也可以是输入的，为了避免用户输错，可规定输入文档的格式，详见“用户附加信息”。我们可以在用户预注册的时候要求用户输入我们要搜集的相关MAC、工号、单位等信息。 用户附加信息： 用户附加信息是为了给网管人员自助定义用户信息的工具，每个网管人员标识用户的方法、种类可能各不相同，用户附加信息如下所示： 网管人员可以在用户附加信息选项中灵活定义需要用户输入的信息，同时可以选择这些字段是否在用户预注册时必须输入。这样用户信息的搜集就由网管人员主动搜集变为用户主动上报，网管人员需要作的更多的是用户开户时信息的确认。开户过程我们刚才讲了用户通过预注册的功能可以实现在网上进行预注册，那接下来应该做些什么呢？接下来网管人员要在IMC用户管理系统上先定义用户群的服务（即：计费策略及管理策略），如：用户群体A，采用包月的方式；用户群体B采用按时长收费的方式；用户群体C……。服务策略的配置：服务的配置当中含有多种的策略，包括：计费策略、绑定策略、安全策略等等。如图所示：在服务策略中，我们可以讲用户的IP、MAC、交换机端口、VALN、账号等多种元素进行绑定，也可以选择性的进行绑定；计费策略中我们可以规定按时长收费还是包月收费；同时IMC用户管理系统也是配置是否对客户端的Proxy检测启用安全策略，对于Proxy的防止同样也是多种方式的；同时IMC用户管理系统可以实现用户的获取IP地址方式的定义。 用户缴费开户（三“点”一“输入”） 用户缴费开户对于IMC用户管理系统来说再简单不过了，一个用户的开户只需要进行鼠标轻轻的点击三下、输入一次，就可以实现。具体的步骤如下：首先，在用户预注册清单中找到用户提交的预注册信息：我们在预注册用户管理中找到了刚才刚刚预注册的用户名为“xulixian”的用户，下面我们来进行所谓的“三点一输入”来进行开户。 正式注册：一点击“正式注册”一输入用户的缴费信息，二点击用户的服务（学生包月），三点击确定。一个用户的开户过程就是如此简单，加上用户预注册中的相关信息的检查，一个用户10秒钟就可以轻松的开户，5000用户的网络10几个小时就可以完成开户工作，大大减少了网管人员的额工作量。自定义开户。用户的开户还可以通过IMC用户管理系统进行自定义的开户，也就是每个账号是由网管人员进行开户的，所有的信息都时网管人员自己录入，当然，网管人员可以通过IMC用户管理系统进行批量的用户开户，或是采用与原有的数据库批量导入。这种方式与用户预注册的方式相比就显得有些麻烦。网络安全控制IMC用户管理系统除了可以大大减少用户的工作量以外，还可以给用户提供强大的安全管理措施。元素的绑定技术。IMC用户管理系统可以实现通过AAA服务器的IP、MAC、VLAN地址等绑定技术，在实际应用的过程当中，IMC用户管理系统可以对接入用户的各种元素进行绑定对于各种元素的灵活绑定可以实现各种接入方式，如：绑定MAC与账号，就可以实现账号与主机的对应；绑定IP、MAC、端口、VLAN、账号，就可规定用户采用自己的主机、规定的IP、从规定的端口进行接入。元素的绑定技术对于网络的管理安全起了重要的作用，通过元素的绑定技术可以大大提高网络的安全性。访问时间的控制。IMC用户管理系统可以实现对接入用户的上网时间的规定，网管人员可以规定用户允许接入的时间段，如：上午6：00—晚上12：00，在这段时间内允许用户接入网络，其余时间，禁止接入。Proxy用户的禁止。IMC用户管理系统可以对接入层用户进行有效的控制，配合H3C的802.1X客户端可对各种Proxy用户进行禁止。屏蔽非H3c客户端，可以实现对于非h3c客户端的用户禁止接入；屏蔽IE代理，对于在IE中设置代理的用户可以实时进行检测，一旦发见，禁止用户进行上网操作；屏蔽双网卡，对于存在两个活动网卡的用户，IMC用户管理系统可以通知用户存在两个活动的网卡，用户必须对其中的一个网卡进行禁用才能够接入网络；对于任何形式代理的禁止，IMC用户管理系统可以实现对任何形式的Proxy用户的禁止，无论用户采用何种Proxy的方式，如果不产生Proxy动作就不进行操作，当用户一旦发生了Proxy的动作，IMC用户管理系统就下发下线通知，强制用户下线，对于以上的Proxy禁止方式，是可以进行灵活选择，满足不同组网需要。黑名单。IMC用户管理系统支持对用户的非法动作进行判断，屏蔽的功能，当某用户通过自己的主机验证别人的用户名、密码时，当其三次认证不通过就将自动屏蔽该用户在这台主机的认证，只有第二天才能够重新认证，认证的同时并将该用户账号以及对应验证主机的MAC地址进行记录，便于事后的追查。灵活、开放的计费策略IMC用户管理系统系统采用开放、抽象的计费模型，具有良好的适应性和扩充性，能够满足不同应用场合的计费需求，用户可以根据运营的需要轻松定制计费方式和费率。支持纯包月、包月限时、包月限流量等易于管理的包月型计费方式。支持包月暂停的功能，可以使用户的包月截止日期顺延，并支持用户认证上网自动取消暂停。包月计费。IMC用户管理系统可以实现包月计费的策略，对于用户来说可以实现包月计费策略，同时IMC用户管理系统可以支持包月暂停功能，用户可以自助登陆到自助服务页面，点击“暂停”，便可以实现用户的包月暂停，无需通过网管中心工作人员，大大减轻了工作人员的工作量。IMC用户管理系统可以实现按流量计费的策略，IMC用户管理系统与MA5200或MA5200配合可以实现用户按流量收费的计费策略，同样可以限制用户的流量，即包月限流量，当用户的流量达到包月数值时，IMC用户管理系统可强制用户下线。支持按使用量分档计费和奖励：对不同的使用量设置不同的费率，用的越多越便宜。支持时段优惠：在正常费率的基础上对在某些时段的接入给予一定的折扣优惠，如周末优惠、假日优惠等。基于不同目的IP地址的流量计费策略。IMC用户管理系统可以实现基于不同目的IP或源IP地址采用不同计费策略的方式，满足用户的不同需求。不同账号不同网段访问权的策略。IMC用户管理系统可以根据用户需求，与BAS配合实现对于不同账号对应不同目的访问权的功能，用户的账号可以分为多种权限账号进行设定。批量操作功能为了减少用户的工作量，IMC用户管理系统可以支持账号的批量配置，网管人员可以通过网络对用户进行批量的账号续费、批量的账号注册、批量的时间补偿、加入黑名单等工作，大大减少了用户的工作量，提高了工作效率。完善的用户行为监控IMC用户管理系统提供强大的“黑名单”管理策略，可以将恶意猜测密码的用户加入黑名单，并可按MAC、IP地址跟踪非法行为的来源。管理员可以实时监控在线用户，强制非法用户下线。支持消息下发，管理员可以通过IMC用户管理系统向上网用户发布通知消息，如“系统升级，网络将在10分中后切断”、“您的密码遭恶意试探，请注意保护密码安全”等。IMC用户管理系统记录认证失败日志、并可以全面跟踪用户上网流程，方便定位与解决用户无法接入、异常断线等问题。与硬件平台无关。IMC用户管理系统基于linux操作系统，并可实现基于不同的硬件平台，Linux操作平台可以实现对各种基于Windows平台的病毒进行屏蔽，更大程度上满足了网络的高安全