东北师范附属中学网络解决方案报告.doc

东北师范附属中学网络解决方案 东北师范附属中学网络解决方案 目录 第1章 概况 4 1.1 校园网建设背景 4 1.2 东北师范附属中学校园网建网需求分析 5 1.2.1 一般建网需求 5 1.2.2 东北师范附属中学建网需求 6 1.3 整体建网原则 6 第2章 总体网络设计 8 2.1 整体网络改造描述 8 2.2 网络层次介绍： 11 第3章 网络业务设计 13 3.1 认证方式的选择 13 3.2 S5800汇聚层交换机万兆的支持 14 3.3 H3C东北师范附属中学解决方案特点： 14 3.3.1 完全的分布式的处理方式 14 3.3.2 良好的互通性 14 3.3.3 核心交换机先进的体系架构设计 15 3.3.4 基于流攻击的防止。 15 3.4 网管解决方案 15 3.5无线AP部署方案 17 3.5 东北师范附属中学IPv6网络设计 20 3.5.1 IPv6的优势 20 3.5.2 整体设计 21 3.5.3 IPv6运行模式设计 22 第4章 东北师范附属中学用户管理及安全方案 24 4.1 园区网用户认证管理需求分析 24 4.2 校园网用户管理认证方案概述 25 4.3 业务认证、授权管理描述 25 4.3.1 认证选择设计－802.1X 25 4.4 IMC用户管理系统对用户上网认证的管理 29 4.4.1 用户需求分析 29 4.4.2 IMC用户管理系统解决方案 29 4.4.3 业务认证流程 41 4.5 管理方案的坚定执行者：E126A智能交换机 42 4.5.1 端口＋IP＋MAC地址的绑定： 42 第5章 无线网的构建 43 5.1 为什么要选用FIP AP模式的组网 43 5.2 为什么要采用POE供电 43 5.3 为什么要采用吸顶天线 44 5.4 无线管理有线无线一体化拓扑 44 5.5 802.11N的优势 45 5.6 零配置无线网构建解决方案 45 5.7 理解AP零配置 47 5.7.1 无线控制器和FIT AP之间的网络拓扑 47 5.7.2 获取IP地址 48 5.7.3 发现相同二层网络内的无线控制器 48 5.7.4 发现跨三层网络的无线控制器 49 5.7.5 部署于IPv6双栈网络 51 5.7.6 AP软件下载 51 5.7.7 配置下发 52 5.8 零配置提供的便利 52 第6章 产品介绍 52 6.1 H3C S9500E 系列路由交换机 52 6.2 H3C S5800 系列路由交换机 61 6.3 H3C SR6600 系列路由器 65 6.4 H3C SecPath F5000-A5系列防火墙 72 6.5 H3C ACG 应用控制网关 85 6.6 H3C E126A教育网交换机 88 6.7 H3C 板卡系列无线控制器模块 94 6.8 H3C WA2600系列无线接入点 99 6.9 iMC智能管理平台 100 6.10 iMC WSM无线运营管理组件 109 第1章 概况 1.1 校园网建设背景 2004年7月20日，中国互联网络信息中心(CNNIC)在京发布“第十四次中国互联网络发展状况统计报告”。报告显示，截止到2004年6月30日，我国上网用户总数为8700万，比去年同期增长27.9%，上网计算机达到3630万台。网络国际出口带宽增长飞速，总数达到53.9G，比去年同期增长190.3%。CN下注册的域名数、网站数分别达到38万和62.7万。8700万网民当中，教育的用户占有12.5%，教育用户当中绝大部分的网民主体是来自于学生用户，报告中主要数据说明，前十年的发展取得丰硕成果，我国互联网事业正在持续快速的发展，并在普及应用上进入崭新的多元化应用阶段！互联网的影响正逐步渗透到人们生产、生活、工作、学习的各个角落。 同时，随着国家信息化工作的深入开展，提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教育系统信息化建设的关键，尤其是高校校园网建设。在信息化的建设过程中，它的作用体现在如下几个方面： 1、校园网能促进教师和学生尽快提高应用信息技术的水平；信息技术学科的内容是发展的，它是一门应用型学科，因此，为了让学生学到实用的知识，必须给他们提供一个实践的环境，这个环境离不开校园网。 2、校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库，所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。 3、校园网是学校现代化管理的基础，深入、全面的学校信息管理系统必须建立在校园网上。 4、校园网提供了学校与外界交流的窗口，学校应将校园网与互联网联接，这也是学校信息化的要求，做到了这一步，通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。 教育即未来，作为国家最重要的战略工程，如何应用信息技术改造我们传统的教学和管理手段；如何加深学生对于信息化和信息技术的理解与了解；如何造就同时具备传统和信息双重文化的一代新人，已成为教育界当前最为紧迫的任务之一。信息技术的应用，势必极大地推进教育手段和教育内容的革命性变革。我们对此深信不疑，并将全身心地为之努力。 1.2 东北师范附属中学校园网建网需求分析 1.2.1 一般建网需求 东北师范附属中学的网络的建设主要是对校园网的网络进行部署。在实际的建设过程当中，应当充分考虑到学校内部的校园网多业务以及特色业务等扩展性，如：校园网内部的服务器的访问，由于学生的访问的内容多样化决定，涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。此处主要分析东北师范附属中学网络基础设施建设和网络运营方面相关的内容。东北师范附属中学校园网络建设从网络流量模型上看和企业网的流量模型相似，用户集中而网络流量大，但实际应用上还存在许多和企业网不同的地方。主要特点如下： 1、 多出口的需求： 典型的组网有中国教育和科研网（CERNET）出口和运营商网络出口同时为内部网络提供网络接入服务。 考虑到用户的以上的需求，需要在学校的内部提供不同的路由策略，即用户访问教育网的相关站点，通过CERNET的线路，而访问其他的网站如：新浪网、163等网站则选择运营商的线路作为出口路由，这要求核心的交换机或出口路由器能够提供策略路由以支持该特性。 2、用户管理的需求： 1) 使用方便，存在客户端认证需求。要求能做到基于客户端的身份认证、多ISP选择、用户费率查询等。 2) 需要解决账号和端口绑定问题。通过此种方式限制账号的使用区域。 3) 能够实现全网的安全管理，包括：IP、MAC的盗用问题、防止接入用户的非法DHCP Server、Proxy等用户。 4) 对于用户的上网行为能够实现实时的跟踪以及时候的追查。 3、多种教学方式并行的需求： 随着校园网的信息化的发展，越来越的多教学方式依托于网络给学生提供多种的特色教学模式 1) 多媒体教学。为了更好的为学生提供全方面的教学资料，越来越的多学校在自己的内部局域网上面为学生提供多种教学资料，如：多媒体教学课件、典型的考试资料等等提供给学生上网下载使用。 2) VOD 点播业务实现，通过建立VOD视频服务器平台，利用交换机提供的组播功能，为东北师范附属中学的用户提供优质的视频效果，同时节省用户带宽。 4、安全管理的需求： 1) 校园用户接受新鲜事务的能力非常强，因此校园也成为黑客最多的场所之一，如何保障校园网络的安全成为建网时不得不考虑的问题，目前主要攻击手段有DOS，DDOS等 2) 上网日志的需求，主要是配合公安机关保证社会的稳定和校园的安全 6、组播业务的需求，特别是可控组播的需求将随着校园信息化的深入而体现出来。 7、双核心的高保障需求： 东北师范附属中学的网络组建投入使用以后是办公和教学的平台的环境，是院系专业教学和办公的集合体，对网络的稳定性要求相当的高，如果万一出现网络中断的想象，有可能就会对学院的工作和教学造成损失，所以为保证网络的稳定、可靠、高效都是才用双核心 1.2.2 东北师范附属中学建网需求 东北师范附属中学为提高网络覆盖范围率，使计算机终端的上网率可以达到95％以上，各园区网络设备进行升级，实现各院系的互连互通，把核心到汇聚层的千兆连接升级为万兆互连，满足数据、音视频等信息的实时传输，满足各类网上应用需求对网络带宽的需求，同时要有该网络是一套自上而下的一套安全的网络体系，在未来建设的校园网的数据中心为全校的各级用户提供，集中统一的数据存储服务。 1.3 整体建网原则 早期的高校校园网主要是共用内部教育系统主机资源，共享简单数据库，多以二层交换为主，很少有三层应用，存在 安全、可管理性较差、无业务增值能力 等方面的问题。 现在东北师范附属中学校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障服务，使网络安全可靠，从而实现教育管理、多媒体教学、图书馆管理自动化，而且还要通过Internet实现远程教学，提供可增值可管理的业务，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。 基于对东北师范附属中学校园网业务需求的深入理解，结合自身产品和技术特点，H3C公司推出了了完善的东北师范附属中学校园网解决方案，为东北师范附属中学提供“高扩展、多业务、高安全”的精品网络。 东北师范附属中学网络建设遵循以下基本原则： 高带宽 东北师范附属中学网络是一个庞大而且复杂的网络，为了保障全网的高速转发，校园网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽的特，整网的核心交换要求能够提供无瓶颈的数据交换。 可增值性 东北师范附属中学校园网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的增值业务，使网络具有自我造血机制，实现以网养网。 可扩充性 考虑到东北师范附属中学用户数量和业务种类发展的不确定性，要求对于核心交换机与汇聚交换机具有强大的扩展功能，东北师范附属中学校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。 开放性 技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。 安全可靠性 设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。 对原有投资的充分保护 东北师范附属中学已经建成自己早期的校园网，对早期投资购买的设备和原有的网络构造要充分的利用，发挥原有网络设备的作用，服务于新改建和拓扑模式之中。 第2章 总体网络设计 2.1 整体网络改造描述 为满足东北师范附属中学三至五年的建设需求，本次方案主要采用分期建设的模式来实现整个校园网数字化建设。具体分期如下： 一期建设主要通过部署关键节点设备解决目前校园网出口带宽有效利用问题、用户行为时候审计问题、出口设备性能瓶颈问题等。 二期建设主要实现现有网络核心、汇聚、接入及网管系统替换与可靠性加固，宿舍网新建等内容。提高全网可靠性与智能化管理，实现全网统一管理。 三期建设主要实现校园特色建设，随着信息化基础建设不断完善，无线终端日渐普及，无线校园网建设也成为各高校必不可少的基础设施建设，无线校园的建设可以给老师与学生带来更大的自用空间，有效的拟补了有线网络的不足。 一期建设规划如下图所示： 考虑到一期投入资金有限，而根据对全网设备利用率及负载情况的评估以及目前终端用户反映情况了解到目前网络存在两大问题。第一，外网出口带宽不够导致用户访问外网速度明显下降，无法满足用户正常需求。第二，根据2005年12月中华人民共和国公安部第82号令要求所有提供互联网服务的企事业单位具有内网行为审计能力，有效保障互联网信息安全。通过以上两点作出以下改造。 出口部署，根据目前校园网双出口特性，路由器主要具备两大应用。第一，出口NAT转换功能。第二，出口设备策略部署实现路由匹配，根据目的地址选择不同出口功能。而根据现在校园网同时在线人数一千至两千人的实际需求已经远远超出了现有在线设备AR46的负载能力，建议在网络的出口部署H3C最新的SR6602路由器，SR6602路由器是一款系统带宽48G，最大并发连接数400万的万兆出口网关，完全满足用户网络的需求。 出口安全部署，根据目前现有出口防火墙性能显示CPU占用率与内存占用率一直处于满负荷状态，给内外网数据交互带来的风险和传输瓶颈也是不容置疑的，一旦出口遭到攻击防火墙将会因负载过大造成数据堵塞。从而建议在出口防火墙处通过部署一台F5000万兆防火墙实现内外网的安全隔离。 出口应用控制部署，经过对内网及外网综合评估了解到目前外网出口分别为教育网百兆出口与联通运营商百兆出口，而由于内网P2P、IM、流媒体数据对带宽的抢占导致正常应用缓慢，为保障正常应用的流畅性、带宽分配的合理性、管理智能化等功能建议在出口网处部署一台ACG应用控制网关。ACG应用控制网关在出口部署主要具备两大功能。第一，ACG应用控制网关将通过实时监控记录内外网访问源地址与目的地址，实现用户行为审计功能。第二，ACG应用控制网关将通过自动更新数字育苗更新应用程序特征库对出口数据应用进行监管与控制，通过应用控制合理分配某种应用对带宽的实际占用情况等。 二期建设规划如下图所示： 核心层解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。 如图所示，东北师范附属中学的网络建设是要建成一个高效、安全的网络，网络整体分为三个层次：核心层、汇聚层、接入层。 为实现网络内的高速互联，核心层分别由两台核心节点组成，采用2台S9512 E万兆核心交换机，承担着核心节点下所接入的数据信息，考虑到可靠性因素两台核心交换机通过IRF 2虚拟化技术将两台核心交换机虚拟成一台核心设备，实现两台核心负载均衡与统一管理，并可得到成倍的性能提升，避免了传统设计中双机热备只能有一台核心工作的方式，有效保护用户投资并且充分利用现有资源。服务器群相对接入信息点数量较多，服务器区域可以设置有防病毒服务器、补丁服务器、web服务器、邮件服务器等。 汇聚层交换机分别在每栋教学楼、宿舍楼均部署一台S5800汇聚交换机，在现有环境S5800汇聚交换机采用双千兆光纤上连到两台核心交换机，而在日后应用环境复杂与负载的增加等情况出现时，S5800汇聚交换机可以平滑升级过渡到万兆干路连接并通过多业务扩展槽实现安全插卡或无线控制器插卡，充分满足目前无线校园建设的需求，从而有效保障用户投资，简单轻松的实现有线无线一体化。 接入层采用E126智能接入交换机，E126智能接入交换机具有端口限速、防ARP攻击、扩展访问控制列表、IP+MAC+设备管理IP等多种适合于接入层所设计的接入层功能，完全满足校园网建设接入层控制，为用户提供百兆到桌面的接入能力，并且提供千兆光路上联。 智能平台部署包括网管平台部署与CAMS认证组件，考虑长春金融专科学校的网络设备众多，包括网络、安全、用户接入认证、计费管理等，网络管理工具是保证网络正常运转，业务正常运行的必备的工具。通过网络管理软件不但能够及时发现网络的问题，对网络的变化做出迅速的响应，而且可以通过网络管理软件对整个网络进行优化，远程监控、网络设备管理、调解网络流量、达到充分利用网络资源、减少管理技术人员和节省管理成本的目的。网控平台应实现分级管理功能。 2.2 网络层次介绍： 在核心层，核心层主要采用2个骨干节点，选配2台S9500E交换机，网络中心核心交换机同时提供服务器接入区域，重要的服务器例如日志服务器、防病毒服务器和补丁服务器，同时提供网络的审计、网管等功能区域。，同时H3C S9500E万兆交换机其交换容量3.84Tbps，包转发率1440Mpps，12个业务插槽，进一步满足大型节点高数据量转发的特点完全满足骨干节点的需求，S9500E万兆核心交换机采用先进的全分布式体系结构设计，通过主引擎和分布式高速业务接口板上内置的Crossbar交换网芯片实现板内、板间二、三层流量的线速分布式转发，通过分布式高速业务接口板上内置的高性能CPU与位于主控引擎上的CPU协同工作，实现ACL、流分类、QOS、组播等业务的全分布式处理。 汇聚层，根据具体的需求每500个节点左右选用1台S5800作为汇聚，根据网络设计的原则，汇聚层交换机应是性能相对比较高的小核心，汇聚层是部署网络中的各种策略的部分，S5800万兆交换机交换容量360G，包转发率156Mpps，具有1个插槽。 在汇聚层，由于网络的二级区域存在密集度高的大量用户，为了保证数据传输和交换的效率，现在每一个大型的接入点的上端配置汇聚层设备。汇聚层设备不但分担了核心设备的部分压力，在同时提高了网络的安全性和稳定性。建议采用H3C的S5800，S5800系列全千兆智能弹性交换机支持H3C创新的IRF（Intelligent Resilient Framework）技术，能够实现用户网络的高度弹性智能扩展。利用IRF技术，用户可以将多台设备通过堆叠接口连接起来组成一个联合设备（Fabric），并将这些设备看作单一设备进行管理和使用，降低了管理成本，同时实现按需购买、平滑扩容，在网络升级时最大限度地保护已有投资。同时S7500E支持万兆上联最大程度的提高了汇聚层与核心交换机之间的带宽扩展需求。 在接入层，接入层是直接与用户相连的设备，因此，在实际的应用的过程当中我们建议采用H3C E126A产品，建议通过在E126A上配置千兆电接口与汇聚交换机S5800进行链接，这样将会进一步扩大带宽。H3C E126A系列安全智能三层交换机19 .2Gbps的总线带宽为交换机所有的端口提供三层线速交换能力，系统能够提供2/4个SFP接口，有效解决了在单台设备上多个千兆链路上行，同时接入千兆服务器的需求，极大的节省了用户对设备投资。 无线网络的应用 在校区内进行无线的覆盖，现阶段校园网的无线覆盖已经成为一种趋势和必然，对于无线的覆盖以后，使得学校教学和办公的得到的极大便利，无线的覆盖可以分为室内的无线覆盖和室外的无线覆盖，采取通行的网络协议标准：目前无线局域网普遍采用802.11系列标准，因此无线局域网将主要支持802.11g（54M带宽）标准以提供可供实际应用的相对稳定的网络通讯服务； 全面的无线网络支撑系统（包括无线网管、无线安全等），以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题； 保证网络访问的安全性，支持802.1x安全认证方式； 采用非独立型的无线网络结构选型；采用H3C的FIT WLAN的模式。在S9512上配置无线控制器，终端接入的无线设备的方式非常的方便，配置都集中在S9512的无线控制器上，所有的无线接入设备可以实施即插即用，配置管理简便易行。 安全、认证、管理要求: 为了阻止非授权用户访问无线网络，以及防止对无线局域网数据流的非法侦听，无线网络要具有相应的安全手段，主要包括：物理地址（MAC）过滤、服务区标识符(SSID)匹配、有线等效保密（WEP）、二层隔离、WPA支持等； 本无线局域网的用户认证支持集中认证（WEB PORTAL认证方式）和802.1X安全认证方式（支持受保护的 PEAP(Protected EAP)）， AP、访问控制系统及认证计费系统必须为要配合要通过验证，便于使用用户的使用及维护。在连续覆盖区域的认证和覆盖应充分考虑移动用户的易用性，达到一次认证，移动使用的目的； 用户认证、计费管理： 本网络建议采用H3C 的IMC软件系统进行计费和认证，IMC具有强大的认证功能，可以实现按流量计费、支持多种计费策略，同时其旁挂式的方式大大提高了网络的安全性，避免了在出口产生流量瓶颈的问题， 本次组网采用IMC综合管理软件实行全网的用户认证和计费管理。详细介绍参加第三章。 网管平台： 为提高网络管理的效率，减轻网络维护的压力，本次组网采用IMC网管系统进行全网设备的统一管理。IMC网络管理软件是H3C公司对数据通信设备如路由器、交换机等进行统一管理和维护的网管产品，位于网络解决方案的管理层，能够实现网元管理和网络管理的功能。IMC网络管理软件基于灵活的组件化结构，包括网元管理平台、广域网管理系统、局域网管理系统、资源管理系统等，用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件，真正实现“按需建构”。 第3章 网络业务设计 3.1 认证方式的选择 IMC的认证可以配合H3C接入交换机或BAS设备，结合802.1x认证方式实现对接入用户的端点准入控制。这种组网方案对不符合安全策略的用户隔离严格，可以有效防止来自网络内部的安全威胁。同时IMC用户认证系统可以对网络的接入用户进行很好的甄别，确认用户权限，同时实现计费。 同时也可以配合路由器、高端交换机等设备，结合Porta认证方式在汇聚层实现对网络用户的端点准入控制。这种组网方案具有适应性广的特点，可以应用与东北师范附属中学网络出口、分支机构入口、关键区域保护等多种应用场景。 根据东北师范附属中学的用户特点，考虑到网络中心的维护工作量，这里我们建议采用802.1x认证方式。 3.2 S5800汇聚层交换机万兆的支持 从网络的整体结构上我们可以看出整个网络的设计是汇聚与接入之间均采用千兆的方式，接入与最终用户之间采用百兆的方式进行互通，由于百兆接入用户的众多，整个网络的瓶颈在核心与汇聚之间的连接存在瓶颈，随着网络接入用户的不断扩大，汇聚与接入之间可以采用万兆的方式进行互联。H3C S5800汇聚层交换机，可支持1～2个万兆接口上行，用户无需任何投资，可以直接购买10GE模块，可直接插到汇聚层交换机上就可以实现万兆带宽的升级，GE接口可以作为下联接口用。 核心与汇聚层之间直接采用万兆的带宽将汇聚层存在的带宽瓶颈问题彻底解决。 3.3 H3C东北师范附属中学解决方案特点： H3C东北师范附属中学教育网组网解决方案的优点有以下几点： 3.3.1 完全的分布式的处理方式 S9500E为用户提供完全的分布式的处理方式，东北师范附属中学的校园网内部的数据量是非常大的，因此主交换机是否能够做到线速关系到整个网络的是否会发生拥塞。H3C S9500E背板交换容量3.8T够做到所有GE接口的双向的线速，H3C公司的S9500E的性能指标是经过完整的测试，而业界厂家在指标宣称上面往往与给最终提供给用户的不一致。而用户又由于测试仪器的限制无法确认实际配置的性能，这一点在H3C公司是绝对不会出现的。 再次,分布式的转发，对于S9500E路由查找是非常有益的补充。因为S9500E的路由查找模式为最长匹配。这样就可以避免校园网内外的非法用户利用专门的攻击软件来攻击中心交换机，因为这种攻击是通过不断变换自己的本网断内的IP地址，来不断消耗主控处理板的CPU处理能力，直到彻底使主控处理板的CPU丧失处理能力，整个机器瘫掉。但是S9500E是根据最长匹配来查找路由的，是针对网断进行路由的。所以当攻击者进行攻击时，S9500E只能造成该接口板的业务能力处理下降，但是对于整机没有多大影响。这是我们选则S9500E的作为核心交换的非常重要的原因。 3.3.2 良好的互通性 S9500E 具有良好的互通性，S9500E支持标准的路由协议，包括OSPF、BGP4、ISIS、RIP等路由协议，在实际的开局中与Foundry、思科、Exreme等多种厂家均能够实现互通，在华南理工大学、山东大学等用户都得到实际的应用验证。 3.3.3 核心交换机先进的体系架构设计 网络的背板技术经历了共享式、缓存式等发展，Crossbar技术被公认为最为完美的一种设计方式，H3C公司S9500E交换机采用背板采用分布式Crossbar的技术，整机的转发不存在任何的瓶颈问题，同时， S9500E可实现背板容量的平滑升级，除背板采用Crossbar的方式，在接口板上，H3C公司S9500E万兆核心交换机采用分布式Crossbar的技术，即在每个业务单板上面也同样采用Crossbar的技术，端口与端口之间的转发均有可直达的端到端转发通道，使得端口之间的转发不存在在任何瓶颈，大大提高了核心交换机的整机转发性能。 3.3.4 基于流攻击的防止。 H3C所采用产品S9500E等三层转发模式均为最长路由匹配技术。这样就可以避免园区网内外的非法用户利用专门的攻击软件进行的一些基于流的共计，因为这种攻击是通过不断变换自己的本网断内的IP地址，来不断消耗主控处理板的CPU处理能力，直到彻底使主控处理板的CPU丧失处理能力，整个机器瘫掉。S9500E是根据最长匹配来查找路由的，是针对网断进行路由的。所以当攻击者进行攻击时，不会造成S9500E业务能力处理下降，对于整机没有影响。这是我们选则S9500E的作为核心交换的非常重要的原因。 3.4 网管解决方案 根据网络实际情况可采用H3C IMC网管系统。 特性 该系统采用开放式结构设计，严格遵守标准的SNMP协议（RFC1157），主要使用RFC1213定义的MIB信息，具有投资省、使用灵活、易于移植等特点： 使用灵活 H3C IMC系统的使用方式非常灵活，既可以作为设备级的应用程序集成到已有的网管平台（如：HPOpenView、RadiumsNMS、SNMPC、NetManager）中进行网络级管理，又可以作为独立的应用程序执行进行设备级管理。同时可以根据用户需求进行接口的开放。 支持WEB方式 基于WEB的管理是网管方式的一次革命，其主要优势在于：基于WEB的管理允许网络管理人员使用任一种浏览器在网络的任何节点上方便迅速地配置、控制及监视网络。在Web Server上安装了网管软件后，其它网管机器不用预装网管软件，只须安装了WEB浏览器并且设备能上网，就能使用H3C IMC系统管理 。 成本低 H3C IMC不像大型网管系统那样系统庞大，它将网管人员最为关心的网络信息直观而浓缩地呈现于网管人员面前，使其方便地了解设备各端口的运行情况以及主要的设备性能指标。 支持多种操作系统平台 纯Java的实现，保证H3C IMC无须修改便能运行于当前主流 的各种平台之上。除此以外，H3C IMC系统使用全新的JFC类库，所有控件均支持Look and Feel特性，该特性使得H3C IMC既可以在不同平台上呈现出统一的显示风格，也能够使控件的风格与操作系统相一致。 功能 功能 描述 路由器设备视图 设备端口的配置情况：端口个数、端口种类、端口当前状态等 故障管理 对全网设备的告警信息和运行信息进行实时监控，查询和统计设备的告警信息。主要功能包括：支持告警相关性分析；能按照用户设置的条件对告警信息进行统计和查询；提供告警拓扑定位；支持告警Trap规则定义等。 路由器设备整体配置信息 支持拓扑自动发现功能，系统信息（系统描述、系统标识、重启时间、所在地、设备名、联络方式）、地址转换表、接口表、IP表、IP路由表、TCP联接表。 性能管理 提供对设备实时性能数据的查看功能，使用户了解当前网络运行的基本情况和性能状态，从而预防网络事故的发生，预测网络运行状态，帮助用户对网络的管理运营进行合理的规划。同时可以支持对于网络节点设备利用率、CPU利用率、故障率、线路流量统计、网络时延统计、历史告警信息等进行统计记录，并可以实现网络流量配置。 设备日志和告警管理 在系统独立运行时，设备日志管理完成接收设备发送到网管的Syslog日志报文，直接保存到文件中；设备告警管理完成接收设备发送到网管的告警报文，将该Trap进行解析并保存到文件中。 路由器设备整体运行状态 CPU负载、系统温度、风扇状态、VOS内存空闲率、Non-Volatile空闲率、内存分布错误次数、内存分配不足引起的分配错误 输入IP报文、表头错误的输入IP报文、地址错误IP报文、未知协议数据报、缓冲溢出输入IP报文、缓冲溢出的输出IP报文、转发的IP报文、无路由的输出IP报文、成功重组的IP报文 安全日志管理 安全管理功能主要有以下几个方面：操作日志管理，用户管理，用户组管理，设备集管理，操作集管理，权限管理，用户登录管理。 路由器设备端口配置信息 接口描述、接口类型、最大传输单元、接口速率、物理地址、管理状态、操作状态、持续运行时间、本地描述 路由器设备端口运行状态 接口使用率、输入包误码率、输出包误码率、输入包丢弃率、输出包丢弃率、输入包未知协议率 下图是该产品的界面示例： 3.5无线AP部署方案 目前考虑在校园园区内部署FIT AP,在核心的S9500E上部署H3C 板卡系列无线控制器模块，S9500E无线控制器能提供了丰富的有线数据和无线数据的处理功能，集精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS及IPv4&IPv6等多功能于一体的功能。H3C公司更有众多的无线有线一体化的交换机可供选择，使得无线配置灵活，部署方面。 H3C公司使用创新的基于认证的组网来提供网络服务，这种方法基于用户身份而非端口或设备，以便跨越整个网络实现移动性和安全性。当用户漫游网络时，通过WLAN网络范围内的无线控制器的信息交换，以实现在整个网络范围内执行一致的访问和安全策略。同时采用WPA/WPA2和802.1X认证结合的AES、TKIP以及WEP加密等功能增强了网络安全。 S95E无线板卡或无线有线一体化的交换机与H3C FIT AP配合组网，可以方便的部署于任何现有的二层网络或三层网络之中，控制器和AP通过IETF制定的CAPWAP协议进行互联而无需针对现有网络进行重新配置。 Ø 认证方式及认证点选择 本方案主要采用802.1X认证，交换机作为802.1X协议终结点，IMC用户管理系统系统为用户鉴权点。 802.1X认证是一种二层认认证机制，建议使用二层信息与帐号进行捆绑，此时的网络是一种安全网络。 Ø 整网安全 无线网络安全部分主要包括以下方面的内容： MAC地址过滤：目前我司AP都支持基于MAC地址的过滤，可以限制具有某种类型的MAC地址特征的终端进入网络中，对于大规模网络，使用MAC地址过滤时操作起来具有较大的难度，主要原因是：MAC地址的规律性不大，所有的AP都要进行配置，存在缺点：维护工作量不大，故建议：不进行部署，但设备要具有这样的能力，以备以后增加相应设备进行配套使用，以增强安全性； SSID管理：是一种网络标识的方案，将网络进行一个逻辑化标识，对终端上发的报文都要求进行上带SSID，如果没有SSID标识则不能进入网络； WEP\AES加密：WEP加密是一种静态加密的机制，通信双方具有一个共同的密钥，终端发送的空口信息报文必须使用共同的密钥进行加密；AES属于一种动态加密机制，密钥进行定期的刷新； Ø 频率规划 802.11g使用开放的2.4GHz ISM频段，可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5个信道的工作中心频点。因此对于802.11g在2.4GHz地工作频段，理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。此外，由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。 针对如何进行802.11g的频率规划作了大量的实验，实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖，并提供更高的服务带宽提高服务质量，和高带宽业务的开展。` 频率规划原理图 频率规划需要配合使用的功能包括： AP支持13个信道设置 AP支持500～200mW、60～10mW功率以及多级功率控制 AP支持外置天线以及定向天线 针对特殊应用还需要AP支持桥接功能、接入功能以及WDS功能 Ø 网络管理 基于标准的SNMP协议实现对设备的管理，H3C IMC网管系统通过SNMP实现对WLAN所有网元的管理。网管工作站可以放在网上的任意位置，通过标准的SNMP即可实现对所有设备的管理。采用标准的SNMP可以实现更为强大的管理包括自动拓扑发现、自动升级、批量配置、分级管理、分级告警等。 Ø 供电问题 由于本次无线网中AP布放位置根据实际覆盖效果而调整，在已建设完成的建筑物上较难进行本地供电，对AP的本地供电问题难度更大，可采用基于标准的802.3af实现对AP的供电。通过在汇集交换机处叠加一个供电电源或者内嵌交换机内，通过以太网线在传输数据同时给AP供电，供电距离达100米，满足实际组网的要求。 3.5 东北师范附属中学IPv6网络设计 3.5.1 IPv6的优势 IPv6的发展是从1992年开始的，经过了12年的发展时间，IPv6的标准体系已经基本完善，在这个过程中，IPv6逐步优化了协议体系结构，为业务发展创造机会，归纳起来IPv6的优势包括如下几个特点： 地址充足：IPv6产生的初衷主要是针对IPv4地址短缺问题，，即从IPv4的32bit地址，扩展到了IPv6的128bit地址，充分解决地址匮乏问题。同时IPv6地址是有范围的，包括链路本地地址、站点本地地址和任意播地址，这也进一步增加地址应用的扩展性。 简单是美：简化固定的基本报头，采用64比特边界定位，取消IP头的校验和域等措施，以提高网络设备对IP报文的处理效率。 扩展为先：引入灵活的扩展报头，按照不同协议要求增加扩展头种类，按照处理顺序合理安排扩展头的顺序，其中网络设备需要处理的扩展头在报文头的前部，而需要宿端处理的扩展头在报文头的尾部。 层次区划：IPv6极大的地址空间使层次性的地址规划成为可能，同时国际标准中已经规定了各个类型地址的层次结构，这样既便于路由快速查找址格式更具层次性，也有利于路由聚合，缩减IPv6路由表大小，降低网络地址规划的难度。 即插即用：IPv6引入自动配置以及重配置技术，对于IP地址等信息实现自动增删更新配置，提高IPv6的易管理性。 贴身安全：IPv6集成了IPSec，用于网络层的认证与加密，为用户提供端到端安全，使用起来比IPv4简单、方便，可以在迁移到IPv6时同步发展IPSec。 Qos 考虑：新增流标记域，为源宿端快速处理实时业务提供可能，有利于低性能的业务终端支持IPv6的语音、视频等应用。 移动便捷：Mobile IPv6增强了移动终端的移动特性、安全特性、路由特性，降低了网络部署的难度和投资，为用户提供了永久在线的服务。 IPv6的上述特点充分迎合了未来网络向IP融合统一的发展方向，并提升IP网络的可运营可管理性。 3.5.2 整体设计 东北师范附属中学IPv6网络的建设主要是为了在目前的校园网内部建设IPv6环境，使得学生对IPv6网络进行访问，同时逐步在IPv6网络当中开展IPv6业务，如：组播、FTP、流媒体等业务，进而提高IPV6网络的用户数量，扩大IPv6应用。S9500E、S5800等三层交换机可实现IPv6的支持，可以支持静态IPv6路由、支持基于硬件的IPv6转发，可实现IPv6到IPv4以及IPv4到IPv6等隧道技术，其整体的IPv6升级方案如下图