江苏时时彩组三的几率
 
商務咨詢: 點擊這里給商務咨詢發消息  人事咨詢: 點擊這里給人事咨詢發消息  其它咨詢: 點擊這里給其它咨詢發消息 
當前位置:江苏时时彩组三的几率 > 解決方案 > 數字化校園解決方案
園區網絡解決方案
主機存儲解決方案
IT外包服務解決方案
云平臺解決方案
建筑智能化解決方案
信息安全解決方案
數字化校園解決方案

瀏覽:4392  發表時間:2015-10-16

江苏时时彩:1.   需求分析

1.1.  建設背景

江苏时时彩组三的几率 www.kcmcjd.com.cn 當前,以數字化校園為特征的教育信息化發展更為迅速,各種信息化應用正改變著老師和學生們的工作、學習、生活以及思維方式,引發了教育行業一場新的革命。學?;鏡慕萄Ы濤窆芾?、科研管理、后勤管理、數字圖書館、視頻服務系統、辦公自動化系統和校園社區服務等應用系統的建設有了初步的規模,“一卡通”業務在很多學校也開始應用。在校師生的認識水平和技術水平上了一個臺階,對于信息化工具的使用已變成為一種自覺和自愿的行為,為“十一五”數字化校園的進一步發展打下堅實的基礎。

數字校園是以IP通信平臺為基礎,實現環境(特別是重點、敏感區域的視頻監控)、資源(網絡資源、存儲資源、計算資源)、到活動(網絡的開放架構對定制業務的支持)的全部數字化,利用標準的ITOIP解決方案,以IP技術為標準技術,利用SOA開放架構實現對整體IT平臺的統一集成支撐。

建設安全可靠的校園網絡平臺

n  具備網絡結構優化能力——校園網的整體架構具備更有效的容災能力,以應對故障節點、故障鏈路、路由震蕩所帶來對業務的影響;而隨著萬兆校園核心網的普及,應用對帶寬新的要求,校園網需要具備萬兆到匯聚的升級能力、以及關鍵業務千兆到桌面的能力;

n  具備網絡業務拓展能力——校園業務可平滑向下一代網絡遷移,向IPv6遷移兼容現有校園組網環境,IPv6完全由分布式硬件完成,?;ね蹲?;校園業務可以隨時隨地使用,校園業務可以基于移動漫游環境,移動漫游環境無需管理者手工干預

n  具備安全滲透防御能力——校園網出口具備攻擊、非法業務的隔離、控制,具備在線主動抵御的能力;校園核心網絡自身集成安全防御能力,縮小攻擊、病毒在校園影響范圍;用戶接入網絡屏蔽用戶非法操作,隔離網絡攻擊

建立數據服務中心優化整合現有數據信息資源

n  解決教學、科研、辦公業務數據海量增長,數據無法整合管理的問題

n  解決數據爆炸性增長,成本要求不斷降低的問題

n  解決各種災難對信息系統影響的問題

n  解決分校區跨廣域的數據訪問的問題

n  解決跨系統數據遷移和災難備份困難的問題

n  解決借助廠家提供專業的存儲咨詢和服務的問題

建立媒體服務中心實現視頻、語音多媒體服務資源

n  利用現有校園網絡資源,整合語音業務,降低校內語音通信成本;

n  利用現有校園網絡資源,整合視訊業務,提供豐富的網絡辦公、教學IT服務;

n  利用現有校園網絡資源,整合校園監控業務,實現平安校園的統一管理;

實現整個校園網絡的集中統一智能化管理

數字化校園是建立在一系列IT資源的基礎上,諸如校園網帶寬資源、教學辦公數據的資源、計算資源、網絡多媒體通信資源等,針對這些資源需要關聯化的管理,資源的整合,才能將利用IT系統服務校園信息化的價值最大化。

結合高等職業院校的信息化發展現狀與其在“十一五”期間的趨勢,IToIP數字化校園解決方案從整體來看致力于兩個層面促進學校信息化的發展。

 

 

其一是硬件平臺的建設,即基于IP技術的校園網絡平臺建設。方案針對現有校園網的網絡架構提出優化方案,利用核心網優化與接入網優化的技術使其能夠更好支撐數字化校園的上層業務;隨著數字化校園橫向業務不斷發展,尤其是在國家CNGI項目在高校落地的背景下,在高校用戶移動終端的普及與移動業務的出現背景下,方案提出兩個重點業務拓展方案,即IPv6校園網與無線校園網,來適應數字化校園的這一轉型;關于校園網的安全防護長期以來都是校園CIO高度關注的工作,而校園網絡的安全問題也在變化,方案緊密圍繞校園網絡安全防御的三個重點環節(出口、核心、接入)與最新的安全問題,提出了安全滲透防御的架構,攜手高等院校共同迎接安全防護的挑戰。

其二是應用平臺的建設,主要是三個中心的建設。校園數據中心:目前在校園網中,存儲資源依附于應用和服務器,分散在校園網絡不同的地方,由于各種原因,一些信息無法共享,導致了資源的浪費,同時也導致了依附于其上的數據無法共享,所以在校園中建設統一的數據服務中心,是校園網信息實現統一共享的重要手段。校園媒體中心:是利用三網合一技術,通過多媒體的方式服務于數字化校園用戶的系統。高等院校具有環境開放性和人員流動性的特點,需要對校園進行安全監控實現和諧校園的目標;多校區的建設往往導致領導、師生溝通不方便,而通過IP語音、IP視訊技術的視頻會議、遠程教學、IP電話、招生熱線等方案將有效解決這些問題,并促進整體數字化校園的發展。智能管理中心:狹義上的校園網絡管理就是通過SNMP技術對校園網絡的硬件單元進行有效控制,而校園智能管理則強調是全面性與聯動性,協同處理網絡設備、網絡用戶、網絡應用、數據信息之間的關聯問題,例如一個用戶是否有權限使用哪些網絡、這個用戶使用的應用對整個數字化的影響有多大……,對于整體數字化校園的管理應當提供分析數據與報告,支撐校園CIO的決策并降低校園管理的整體擁有成本。

兩個層次的建設并不是割裂的,聯系的樞紐就是智能管理中心,它把硬件系統與應用系統緊密結合在一起,針對硬件資源、應用資源動態調配與控制,實現對數字化校園整體業務的有效支撐,滿足“十一五”對高校信息化發展的需要。

高等職業院校的校園網在“十五”期間實現了高帶寬、廣覆蓋、可運營、可管理的數字化校園平臺;實現了學?;鏡慕萄?、科研、管理和服務系統的信息化。通過這一平臺實現了網絡教學系統、數字化圖書館系統、網絡實驗室系統、管理信息系統、辦公自動化系統、社區服務系統、一卡通系統等上層應用。從網絡建設的特征來看,主要聚焦于:萬兆校園網改造、升級,學生宿舍區、新校區網絡建設,認證、計費、管理及網絡安全的建設。

但是隨著國家對教育的重視,高等職業院校信息化的發展日新月異,更多的應用系統不斷推出,對網絡的可用性、可控性、安全性以及業務支撐能力要求也變得越來越高。那么校園網建設工作也需要作出針對性的調整。

       H3C設計全新的基于純IP技術的網絡平臺來滿足高校校園網的需求變化。

面向網絡資源的有效、高效利用,從網絡架構方面提供優化方案,使得校園核心網、接入網具有更高的可靠性和可控性,同時使得網絡結構與布局在結合實際業務分布的前提下更加合理。

數字校園業務的發展必然離不開兩個方向,其一是IPv6,其二是移動性。這既是IP通信技術發展的方向,也是數字校園應用的發展方向。滿足這個發展,首要前提就是讓校園網絡平臺能夠具備相關技術支撐能力,即構建IPv6校園網與無線校園網。

不論是對校園網的優化還是對校園網業務的橫向拓展,都是基于校園網是安全有序的。需要從縱向三個維度對所有影響校園安全的隱患、非法行為進行滲透防御與控制。

校園網管理是隨著校園網絡的發展歷程而變遷的。校園網的發展經歷了最初的計算機房、萬兆校園網、數字化校園網等幾個階段,校園網絡的管理也從最初的設備管理時代、發展到網絡管理時代,再到用戶和業務管理時代。

       今天的數字化校園已經不再是網絡建設,實際上已經朝著資源建設進行轉型。那么數字化校園的管理如何針對網絡平臺資源、用戶資源、數據資源、媒體資源進行統一、有機配置與控制?

       建立數字化校園的智能管理中心將是答案!

       智能管理中心主要面向四個類別的資源進行統籌管理。由于過去的校園網并不復雜,能夠對網元單位進行配置、發現拓撲結構、觸發管理事件、收集日志就夠了。但是今天和未來的數字化校園應用與資源是復雜的,是關聯的,一個不能根據資源變化而智能調整的管理系統是無法滿足發展需要的。這種聯動要從動態的網絡中發現變化、分析應用在網絡中運行效果如何、用戶在網絡中都做了哪些事情……,再根據這些動態信息進行統一資源調配。

1.2.  建設需求(以下內容請根據用戶實際情況描述

2.   設計原則

早期的高等職業院校校園網主要是共用內部教育系統主機資源,共享簡單數據庫,多以二層交換為主,很少有三層應用,存在 安全、可管理性較差、無業務增值能力 等方面的問題。

現在XXX學院校園網建設要實現內部全方位的數據共享,應用三層交換,提供全面的QoS保障服務,使網絡安全可靠,從而實現教育管理、多媒體教學自動化,而且還要通過Internet實現遠程教學,提供可增值可管理的業務,必須具備高性能、高安全性、高可靠性,可管理、可增值特性以及開放性、兼容性、可擴展性。

基于對XXX學院校園網業務需求的深入理解,結合自身產品和技術特點,H3C公司推出了完善的XXX學院校園網解決方案,為XXX學院提供“高擴展、多業務、高安全”的精品網絡。

XXX學院網絡建設遵循以下基本原則:

高帶寬

XXX學院網絡是一個龐大而且復雜的網絡,為了保障全網的高速轉發,校園網全網的組網設計的無瓶頸性,要求方案設計的階段就要充分考慮到,同時要求核心交換機具有高性能、高帶寬的特,整網的核心交換要求能夠提供無瓶頸的數據交換。

可增值性

XXX學院網絡的建設、使用和維護需要投入大量的人力、物力,因此網絡的增值性是網絡持續發展基礎。所以在建設時要充分考慮業務的擴展能力,能針對不同的用戶需求提供豐富的寬帶增值業務,使網絡具有自我造血機制,實現以網養網。

可擴充性

考慮到XXX學院用戶數量和業務種類發展的不確定性,要求對于核心交換機與匯聚交換機具有強大的擴展功能,XXX學院網絡要建設成完整統一、組網靈活、易擴充的彈性網絡平臺,能夠隨著需求變化,充分留有擴充余地。

開放性

技術選擇必須符合相關國際標準及國內標準,避免個別廠家的私有標準或內部協議,確保網絡的開放性和互連互通,滿足信息準確、安全、可靠、優良交換傳送的需要;開放的接口,支持良好的維護、測量和管理手段,提供網絡統一實時監控的遙測、??氐男畔⒋砉δ?,實現網絡設備的統一管理。

安全可靠性

設計應充分考慮整個網絡的穩定性,支持網絡節點的備份和線路?;?,提供網絡安全防范措施。

3.   整體設計

3.1.  總體設計概述


XXX學院網絡解決方案總體設計以高性能、高可靠性、高安全性、良好的可擴展性、可管理性和統一的網管系統及可靠組播為原則,以及考慮到技術的先進性、成熟性,并采用??榛納杓品椒?。組網圖如下所示:

 

XXX學院網絡主要目的是將網絡的性能、帶寬、主要網絡業務進行全網的建設。網絡設計主要包含高品質IP核心網???、智能彈性接入網???、安全滲透網絡???、網絡系統綜合管理、自適應無線網、IPv4/v6地址與路由???、組播與QoS優化??櫚戎饕糠?。

3.1.1.  IP 校園網絡平臺

H3C設計全新的基于純IP技術的網絡平臺來滿足高等職業院校校園網的需求變化。面向網絡資源的有效、高效利用,從網絡架構方面提供優化方案,使得校園核心網、接入網具有更高的可靠性和可控性,同時使得網絡結構與布局在結合實際業務分布的前提下更加合理。數字校園業務的發展必然離不開兩個方向,其一是IPv6,其二是移動性。這既是IP通信技術發展的方向,也是數字校園應用的發展方向。滿足這個發展,首要前提就是讓校園網絡平臺能夠具備相關技術支撐能力,即構建IPv6校園網與無線校園網。不論是對校園網的優化還是對校園網業務的橫向拓展,都是基于校園網是安全有序的。需要從縱向三個維度對所有影響校園安全的隱患、非法行為進行滲透防御與控制。


H3C IP 校園網絡平臺方案特點

3.1.2.  校園數據服務中心

伴隨著信息化建設的深入,包括圖書館、教務、校園門戶、郵件等業務系統在內的校園信息系統建設日趨完善。為了滿足信息系統對于存儲容量和數據?;さ男棖?,校園信息部門都會采用存儲區域網絡、備份平臺,災難備份和恢復等數據存儲和?;ぜ際?。

我們建議采用標準的IP SAN架構的存儲設備來搭建存儲平臺,實現海量的存儲容量,并且為以后的容量擴展預留空間。利用IP SAN標準化和易于管理的特性,避免兼容性問題,降低整體擁有成本(TCO)。在存儲平臺上提供備份、連續數據?;?、災難備份等不同級別的數據?;な侄?,滿足所有應用系統的要求。



H3C校園數據服務中心方案特點

3.1.3.  校園媒體服務中心

語音是基于傳統PBX建設;視頻會議是基于IP建設的;視頻監控是基于模擬電纜進行建設,各系統基于不同網絡承載,造成各自系統之間存在障礙,相互之間需要不同的人員熟悉、維護管理,成本加大,對人員的要求提高,尤其在維護人員不多情況下。校園信息化日益完善,建立了語音、視頻會議、監控等系統,滿足交流溝通、遠程教學、安防監控等需求。目前各自系統是采用不同技術組成。

針對以上問題,H3C校園媒體服務中心業務融合解決方案,將語音、視頻監控、視頻會議、數據等合一。對于目前校園網中的語音、視頻會議、視頻監控可以分階段進行逐步改造、遷移,逐步走向統一,建議統一的校園多媒體中心,統一對IP語音、視頻會議、IP監控進行管理。校園媒體服務將會從校園應急中心向社會集成化演進,最終與社會應急系統的聯動。

H3C校園媒體服務中心方案特點

3.1.4.  校園智能管理中心

校園網管理是隨著校園網絡的發展歷程而變遷的。校園網的發展經歷了最初的計算機房、萬兆校園網、數字化校園網等幾個階段,校園網絡的管理也從最初的設備管理時代、發展到網絡管理時代,再到用戶和業務管理時代。

H3C數字化校園的管理針對網絡平臺資源、用戶資源、數據資源、媒體資源進行統一配置與控制。智能管理中心主要面向四個類別的資源進行統籌管理。

H3C校園智能管理中心方案特點

IToIP數字化校園解決方案的整體優勢

1)  實現校園統一系統標準——利用統一信息標準、統一應用標準、統一集成標準,解決重建設輕標準、缺乏IT系統的標準化和集成整和的問題,解決異構IT資源難以整合的問題;

1)  實現校園數字業務定制——建設統一數據中心、建立統一業務中心、構見隨需而動的智能系統,解決數字化校園重網絡輕應用路多車少的問題

1) 實現統一校園IT資源管理——建設智能管理中心、整合IT資源統一管理,建立靈活完善的數據管理能力、建立完整網絡資源管理、建立統一媒體管理。

1) 實現統一信息安全管理——建立統一安全管理中心,完成網絡層、業務層、數據層、用戶層安全管理,解決重建設輕維護和缺乏整體安全部署方法的問題

3.2.  接入交換機分配情況

樓宇

機房位置

交換機端口數量

48口(10/100M)交換機數量

堆疊套件數量

千兆多模??槭?span lang="EN-US">

剩余千兆擴展端口數量

 

 

 

 

 

 

 

 

 

 

 

 

 

 

合計

 

 

 

 

 

 

樓宇

機房位置

負責覆蓋需區域

AP數量

48PoE交換機數量

24PoE

交換機數量

 

 

 

 

 

 

 

 

 

 

 

 

合計

 

 

 

4.   IP 校園網絡平臺

一般,校園園區網絡規模比較大,接入節點數目比較多,各院系的數據在網絡上的傳輸也必須保證端到端的安全,各院系、各部門間的業務隔離需求就顯得比較迫切,隨著各校園業務的快速增長,校園網絡的擴展性也應該比較強。針對校園園區網絡建設的這些特點,H3C公司提出了校園園區的IP智能安全滲透網絡方案,該方案包括層次化設計、高可靠性設計。校園IP網絡平臺還包括網絡安全性設計、無線網絡設計、IPv6網絡設計,我們將在后續章節重點闡述。

4.1.  層次化設計

在校園園區網絡整體設計中,采用層次化、??榛耐縞杓平峁?,并嚴格定義各層功能模型,不同層次關注不同的特性配置。典型的校園園區網絡結構可以分成三層:接入層、匯聚層、核心層。

1) 接入層:提供網絡的第一級接入功能,完成簡單的二、三層交換,安全、QosPOE功能都位于這一層。對于校園園區網的接入層設備,建議采用千兆三層接入的方式,應該具有線速三層交換、IRF智能彈性堆疊技術以及高級QoS策略等功能。

2) 匯聚層:匯聚來自配線間的流量和執行策略,當路由協議應用于這一層時,具有負載均衡、快速收斂和易于擴展等特點,這一層還可作為接入設備的第一跳網關;對于校園園區網的匯聚層設備,應該能夠承載校園園區的多種融合業務,能夠融合了MPLS、IPv6、網絡安全、無線、無源光網絡等多種業務,提供不間斷轉發、優雅重啟、環網?;さ榷嘀指嚦煽考際?,能夠承載校園園區融合業務的需求。

3) 核心層:網絡的骨干,必須能夠提供高速數據交換和路由快速收斂,要求具有較高的可靠性、穩定性和易擴展性等。對于校園園區網核心層,必須提供高性能、高可靠的網絡結構,推薦采用高可靠的RRPP/RPR環網結構或多設備冗余的星型結構。對于校園園區網核心層設備,應該在提供大容量、高性能L2/L3交換服務基礎上,能夠進一步融合了硬件IPv6、網絡安全、網絡業務分析等智能特性,可為校園園區構建融合業務的基礎網絡平臺,進而幫助用戶實現IT資源整合的需求。

4.2.  高可靠性

小型校園園區高可靠網絡設計方案

對于小型校園園區網絡,接入端口數量不多、但可靠性要求較高;對交換容量、帶寬要求較高。我們推薦高速、無阻塞交換千兆兩層扁平組網模型。為用戶提供千兆接入、支持語音和POE、網絡可以運行OSPF協議,兩層扁平網絡結構,易于配置和管理,并能適應用戶未來幾年網絡應用的需要,提供預留容量。



 

兩層簡化扁平網絡結構,匯聚、核心合為一層,減少了網絡設備數量,易于配置和管理,為用戶提供千兆桌面接入、支持語音和POE功能。接入、核心層設備都為機架式,可用多種不同端口類型的單板組合,使用靈活、可擴充性強,節省網絡投資。整網帶寬較高、穩定可靠、可滿足多種業務的無阻塞交換。

中型校園園區高可靠網絡設計方案

對于中型校園園區網絡,推薦采用千兆接入組網模型。為用戶提供三層千兆到桌面的接入服務,整網配置OSPF協議,網絡故障收斂速度快、易于管理和維護。VLAN終結在接入端口,限制廣播域范圍,較少廣播報文對網絡帶寬的消耗。從接入層開始即可進行快速三層交換,利用網絡中存在的等價多路徑實現業務流量的負載分擔。

 

網絡按照分層、??榛乃悸方猩杓坪凸婊?,根據業務、區域等規劃因素進行??榛蚧?,每個區域有自己的匯聚核心與網絡核心相連。網絡各層設備都為三層設備,支持OSPF。在接入層設備上提供千兆端口接入,支持語音和POE。 接入層千兆雙歸屬到匯聚層設備,提供鏈路冗余備份,利用存在的ECMP實現流量負載分擔。區域匯聚核心間提供千兆鏈路連接,雙機備份和加速路由收斂?;憔鄄闈д姿槭艫酵綰誦?,根據實際帶寬需要也可千兆鏈路捆綁雙上行到核心,會聚層可采用堆疊設備,它提供的分布式路由和分布式設備管理使整個堆疊設備當成一臺交換機進行路由轉發和管理,而且支持熱插拔,不會因為堆疊組單臺設備故障引起整個接入業務中斷。兩臺核心設備間通過千兆捆綁鏈路連接,完成高速數據交換和雙機熱備份。

大型校園園區高可靠網絡設計方案(可選RRPPRPR)

對于大型園區網絡,推薦采用環網組網模型,核心層可考慮用多臺設備搭建RPR環替代雙機熱備份。這樣可以實現10ms的故障檢測時間以及50ms的業務倒換時間,可以做到故障切換時完全不影響正在進行的音頻業務,完全滿足電信級可靠性的要求。


RPRSDH拓撲結構類似,RPR為互逆雙環拓撲結構,環上的每段光路工作在同一速率上。建成后的核心層主要負責核心業務處理、跨區域業務量疏通、及與其它網絡互聯互通,同時可作為P設備,配合匯聚層PE設備,完成MPLS VPN業務的部署,將校園園區內不同業務進行隔離,保證各個業務在同一網絡平臺上運行、互不影響。

H3C公司RPR技術采用雙環逆向拓樸結構,外環和內環同時可傳送數據和控制信息,具有完全分布式的訪問控制方法,實現電信級故障自動?;さ夠?/span>IPS功能,業務倒換時間小于50ms;拓樸收集自動完成,能自動選擇業務最優路徑;利用RPR-Fa公平算法,環網帶寬動態調整,實現帶寬全局公平和局部最優利用;實現流量等級保證QOS,支持帶寬預留的業務;繼承傳統Ethernet概念,支持所有Ethernet上層協議和業務。帶寬可平滑擴展,1G-10G,甚至40G。且具有完善的操作和維護平臺,具有可運營、可管理的能力。

4.3.  IP地址及路由規劃

4.3.1.  IPv4地址規劃

IP地址的合理規劃是網絡設計中的重要一環,大型計算機網絡必須對IP地址進行統一規劃并得到實施。IP地址規劃的好壞,影響到網絡路由協議算法的效率,影響到網絡的性能,影響到網絡的擴展,影響到網絡的管理,也必將直接影響到網絡應用的進一步發展。IP地址規劃必須考慮到今后和其他院系互聯后的地址沖突問題,建議參考全校的統一地址規劃。

IP地址分配原則

IP地址空間分配,要與網絡拓撲層次結構相適應,既要有效地利用地址空間,又要體現出網絡的可擴展性和靈活性,同時能滿足路由協議的要求,以便于網絡中的路由聚類,減少路由器中路由表的長度,減少對路由器CPU、內存的消耗,提高路由算法的效率,加快路由變化的收斂速度,同時還要考慮到網絡地址的可管理性。具體分配時要遵循以下原則:

ü  唯一性:一個IP網絡中不能有兩個主機采用相同的IP地址;

ü  簡單性:地址分配應簡單易于管理,降低網絡擴展的復雜性,簡化路由表項

ü  連續性:連續地址在層次結構網絡中易于進行路徑疊合,大大縮減路由表,提高路由算法的效率

ü  可擴展性:地址分配在每一層次上都要留有余量,在網絡規模擴展時能保證地址疊合所需的連續性

ü  靈活性:地址分配應具有靈活性,以滿足多種路由策略的優化,充分利用地址空間。

主流的IP地址規劃方案分為純公網地址、純私網地址和混合網絡地址三種。

當校園網以私網地址分配或采用混合網絡地址接入時,要求校園網提供地址變換功能,過濾掉私網地址。

IP地址規劃方案

地址編碼規范

建議校園網的IP地址進行嚴格的編碼,每位代表不同的含義。其編碼規則(舉例如下)為:

通過地址標識可以清楚地區分出IP地址地來源,便于路由匯聚和訪問控制。從上表中我們也可以看出,通過我們的規劃,我們能從IP地址分析出IP地址的來源、用途等,這將為網絡的維護帶來方便。

具體的IP地址定義將結合實際情況確定。

中心交換機支持靜態或動態的IP地址分配,并支持動態 IP 地址分配方式下DHCP-Relay功能,DHCP SERVER可安放在園區內部。

對于固定IP地址用戶,需要針對標識符(MAC地址)設定保留IP地址。

4.3.2.  IPv6地址規劃

IP地址規劃主要涉及到網絡資源的利用的方便有效的管理網絡的問題,IPv6地址有128位,其中可供分配為網絡前綴的空間有64bit。按照最新的IPv6 RFC3513,IPv6地址分為全球可路由前綴和子網ID兩部分,協議并沒有明確的規定全球可路由前綴和子網ID各自占的bit數,目前APNIC能夠申請到的IPv6地址空間為/32的地址。

IPv6的地址使用方式有兩類,一類是普通網絡申請使用的IP地址,這類地址完全遵從前綴+接口標識符的IP地址表示方法;另外一類就是取消接口標識符的方法,只使用前綴來表示IP地址。

IP地址的分配和網絡組織、路由策略以及網絡管理等都有密切的關系,IPv6地址規劃目前尚沒有主流的規則,具體的IP地址分配通常在工程實施時統一規劃實施,可以遵循一些分配原則:

l  地址資源應全網統一分配

l  地址劃分應有層次性,便于網絡互聯,簡化路由表

l  IP地址的規劃與劃分應該考慮到網絡的發展要求

l  充分合理利用已申請的地址空間,提高地址的利用效率。

IP地址規劃應該是網絡整體規劃的一部分,即IP地址規劃要和網絡層次規劃、路由協議規劃、流量規劃等結合起來考慮。IP地址的規劃應盡可能和網絡層次相對應,應該是自頂向下的一種規劃。

CERNET2分配給各個駐地網用戶的IPv6地址空間會是一個或幾個/48IPv6地址前綴。

我們知道全球可聚集IPv6地址的前綴為64位,后64位為主機的interface id.所以各個駐地網用戶用于可分配的IPv6地址前綴空間的范圍為/48/64之間。

IPv6的地址分配原則同IPv4一樣遵循CIDR原則。

IPv6的地址規劃時考慮三大類地址:

1、公共服務器地址,如DNS,EMAIL,FTP等。

2、網絡設備互聯地址和網絡設備的LOOPBACK地址。

根據IETF IPv6工作組的建議IPv6網絡設備互聯地址采用/64的地址塊。IPv6網絡設備的LOOPBACK地址采用/128的地址。

3、用戶終端的業務地址。

此外由于目前網絡設備的IPv6 MIB信息的獲取和OSPFv3ROUTER ID等均要求即使是一個純IPv6網絡也必須要求每個網絡設備擁有IPv4地址。

所以一個純IPv6網絡也必須規劃IPv4地址(僅需要網絡設備互聯地址和網絡設備的LOOPBACK地址)。

 

4.3.3.  IPv4路由規劃

路由協議的規劃:

1) 整個骨干網絡采用OSPF路由協議,OSPF協議在整個骨干網中不會引起路由回環,利于校園網骨干網的健壯性。

2) 在匯聚與核心交換機之間采用OSPF路由的方式,OSPF路由的方式可以建設網絡中心人員對于校園網的維護量。

3) OSPF在校園網中只在核心骨干中進行運行這樣大大減少了骨干節點之間OSPF協議的收斂周期,在實際的應用的過程當中可以提高校園網的高穩定性。

4) 內置DHCP Server實現全網的DHCP Server的分散,避免單點故障。

5)核心交換機可以支持防私設DHCP Server、與IDS聯動實現全網的安全無阻塞設計。

4.3.4.  IPv6網絡規劃

IPv6的優勢

 IPv6的發展是從1992年開始的,經過了12年的發展時間,IPv6的標準體系已經基本完善,在這個過程中,IPv6逐步優化了協議體系結構,為業務發展創造機會,歸納起來IPv6的優勢包括如下幾個特點:

地址充足:IPv6產生的初衷主要是針對IPv4地址短缺問題,,即從IPv432bit地址,擴展到了IPv6128bit地址,充分解決地址匱乏問題。同時IPv6地址是有范圍的,包括鏈路本地地址、站點本地地址和任意播地址,這也進一步增加地址應用的擴展性。

簡單是美:簡化固定的基本報頭,采用64比特邊界定位,取消IP頭的校驗和域等措施,以提高網絡設備對IP報文的處理效率。

擴展為先:引入靈活的擴展報頭,按照不同協議要求增加擴展頭種類,按照處理順序合理安排擴展頭的順序,其中網絡設備需要處理的擴展頭在報文頭的前部,而需要宿端處理的擴展頭在報文頭的尾部。

層次區劃:IPv6極大的地址空間使層次性的地址規劃成為可能,同時國際標準中已經規定了各個類型地址的層次結構,這樣既便于路由快速查找址格式更具層次性,也有利于路由聚合,縮減IPv6路由表大小,降低網絡地址規劃的難度。

即插即用:IPv6引入自動配置以及重配置技術,對于IP地址等信息實現自動增刪更新配置,提高IPv6的易管理性。

貼身安全:IPv6集成了IPSec,用于網絡層的認證與加密,為用戶提供端到端安全,使用起來比IPv4簡單、方便,可以在遷移到IPv6時同步發展IPSec。

Qos 考慮:新增流標記域,為源宿端快速處理實時業務提供可能,有利于低性能的業務終端支持IPv6的語音、視頻等應用。

移動便捷:Mobile IPv6增強了移動終端的移動特性、安全特性、路由特性,降低了網絡部署的難度和投資,為用戶提供了永久在線的服務。

IPv6的上述特點充分迎合了未來網絡向IP融合統一的發展方向,并提升IP網絡的可運營可管理性。

整體設計

新建IPv6網絡相對前一種組網模式簡單,選取支持雙棧的交換機設備,按照現有的園區網建設模式組建網絡即可。

核心層和匯聚層可選用雙棧交換機,接入層可使用現有的二層接入交換機組網。根據用戶帶寬的需要,分別選用“百兆到桌面”或“千兆到桌面”的模式。

為提高網絡的可靠性,匯聚層與核心層之間、接入層與匯聚層之間采用雙歸鏈路上聯實現鏈路冗余;匯聚設備作為用戶接入點網關設備,通過運行VRRP協議實現網關冗余;核心節點采用雙核心部署保證節點冗余。

對于三層到桌面的需求,也可根據實際網絡需求提供相應的IPv6三層接入交換機,同時根據端口匯聚的需要提供合適的匯聚交換機(如下圖)。

4.3.5.  IPv6路由規劃

路由協議分為域內路由協議和域間路由協議,目前主要的路由協議都增加了對IPv6的支持功能。從路由協議的應用范圍來看,OSPFv3、RIPngIS-ISv6適用于自治域內部路由,為內部網關協議;BGP4+用來在自治域之間交換網絡可達信息,是外部網關協議。

1.     域內路由協議選擇

支持IPv6的內部網關協議有:RIPng、OSPFv3、IS-ISv6協議。從路由協議標準化進程看,RIPngOSPFv3協議已較為成熟,支持IPv6IS-IS協議標準草案也已經過多次討論修改,標準正在形成之中,而且IS-ISv6已經在主流廠家的相關設備得到支持。從協議的應用范圍的角度,RIPng協議適用于小規模的網絡,而OSPFIS-IS協議可用于較大規模的網絡。

對于大規模的IP網絡,為了保證網絡的可靠性和可擴展性,內部路由協議(IGP)必須使用鏈路狀態路由協議,只能在OSPFIS-IS之間進行選擇,下面對兩種路由協議進行簡單的對比。

目前在IPv4網絡中大量使用的OSPF路由協議版本號為OSPFv2,能夠支持IPv6路由信息的OSPF版本稱為OSPFv3,能夠支持IPv6路由信息交換的ISIS路由協議稱為IS-ISv6。

OSPFv3

OSPFv3OSPFv2相比,雖然在機制和選路算法并沒有本質的改變,但新增了一些OSPFv2不具備的功能。OSPFv3只能用來交換IPv6路由信息,ISISv6可以同時交換IPv4路由信息和IPv6路由信息。

OSPF是基于IP層的協議,OSPF v3是為IPv6開發的一套鏈路狀態路由協議。大體與支持IPv4OSPF v2版本相似。

對比OSPF v2,在OSPF v3中有以下區別:

雖然OSPFv3是為IPv6設計的,但是OSPFRouter ID、Area IDLSA Link State ID依然保持IPv432位的格式,而不是指定一個IPv6的地址。所以即使運行OSPF v3也需要為路由器分配IPv4地址。

協議的運行是按照每一條鏈路(Per-link)進行的,而不是按照每個子網進行的(per-subnet);

把地址域從OSPF包和一些LSA數據包中去除掉,使得成為網絡層協議獨立的路由協議:

OSPFv2不同,IPv6的地址不再出現在OSPF包中,而是會在鏈路狀態更新數據包中作為LSA的負載出現;

Router-LSANetwork-LSA也不再包含網絡地址,而只是簡單的表示拓撲信息;

鄰居路由器的識別將一直使用Router ID,而不是像OSPFv2一樣在某些使用端口會將端口地址作為標識。

Link-Local地址可以作為OSPF的轉發地址。除了Virtual link必須使用Global unicast地址或者使用Site-local地址。

去掉了認證信息。在OSPF v3中不再有認證方面的信息。如果需要加密,可以使用IPv6中定義的IP Authentication Header來實現。

OSPF數據包格式發生了一些變化:

1)   OSPF的版本號由2變成了3;

2)   Hello包和Database description包的選項域增加到24位;

3)   認證域去掉了;

4)   Hello信息中不再包含地址信息;

5)   引入了兩個新的選項:R位和V6位;

6)   為實現單鏈路上多OSPF進程的實現,在OSPF包頭中加入了Instance ID域;

7)   類型LSA 3名字改為:Inter-Area-Prefix-LSA,類型LSA 4名字改為:Inter-Area-Router-LSA

OSPF v2OSPF v3都使用最短路經優先算法,在Area劃分、鏈路類型、LSA傳播等方面基本一致。

總的來說,由于OSPF發展成熟,廠商支持廣泛,已經成為世界上使用最廣泛的IGP,尤其在企業級網絡,也是IETF推薦的唯一的IGP。其他路由協議所能適應的網絡和具備的主要優點,OSPF都能適應。

IPv4IPv6的混合計算:

ISIS對于IPv6的支持是新增加了2TLV以便攜帶IPv6前綴,但是必須要求IPv4IPv6ISIS拓撲必須保持一致,為了增加靈活性又增加了新的TLV以支持多拓撲環境,即使用2SPF去分別計算IPv4IPv6ISIS拓撲關系。

由于IPv4前綴、IPv6前綴、CSPF以及未來所有的擴展TLV均在同一個LSP中進行擴散,所以導致的問題:

1、增加了網絡中LSP的溢流程度。

2、因為現在LSP的分段最多到256個,從而這種混合計算方式更加限制了LSP中所能夠承載IP PREFIX數量。

3、在IPv4、IPv6以及IPv4流量工程(IPv6的流量工程目前還沒有定義)混在的生產環境目前沒有得到證實。它們之間的相互影響現在還沒有確定。

OSPF定義了新的版本OSPFV3,采用新的LSA類型承載IPv6 PREFIX。

所以OSPFV3OSPFV2是兩個獨立的路由進程進行獨立的SPF計算。

OSPFV3的拓撲關系是基于鏈路而不是基于子網的,允許每鏈路上多個OSPFv3進程。

IPv4、IPv4的流量工程相對IPv6、及未來的IPv6的流量工程從原理上是互不影響,拓撲結構也可以完全不一致。

盡管ISIS被國內外大型運營商骨干所采用,但是CERNET2為了驗證OSPFv3的新的特性,所以CERNET2骨干網和城域網的IGP協議采用了OSPFv3.

2.     域間路由協議選擇

域間路由協議采用BGP4+,從而實現不同ISP核心網絡之間的互通,而且目前大多數典型的路由器設備都支持這個協議。BGP4+處理各ISP間的路由傳遞,是一種域間路由協議。其特點是有豐富的路由策略,這是RIPng、OSPFv3等協議無法做到的,因為它們需要全局的信息計算路由表。BGP4+通過在ISP邊界路由器上增加一定的策略,選擇過濾路由,把RIPng、OSPFv3、BGP4+等路由發送到對方。

隨著IPv6網絡的大量組建,BGP4+將得到越來越多的應用。

3.     IPv6路由規劃建議

相比CERNET2核心網和城域網來講,駐地網(校園網)內部的IPv6網絡的路由規劃較為簡單。IGP可以選擇ISISv6或者OSPFv3,但是考慮到使用者的習慣、大多數三層交換機不支持ISISv6路由,以及必要性。部署OSPFv3可能更為實際。OSPFv3域的設計可以沿用OSPFv2的思路。

新建校園網全網部署雙協議棧,IPv4部分和原有校園網平滑對接。三層設備上同時運行OSPFv2OSPFv3兩套協議,盡管運行在同一個設備上,這兩套協議是互相獨立的。OSPFv3的邏輯拓撲圖(AREA規劃)和OSPFv2可以完全不同。

駐地網(校園網) IPv6出口的路由規劃:

通常來講,按照國際上IPv6地址的分配規則,CERNET2城域網會分配一塊或幾塊 IPv6 PREFIX ::/48的地址給駐地網(校園網)。

對于單出口的情況,可能較為簡單。CERNET2城域網接入路由器將指向駐地網(校園網的靜態路由引入到IBGP4+中宣告出去。

4.4.  組播與QoS規劃

4.4.1.  組播業務

H3C S9500通過標準的組播協議完成用戶的組播管理,S9505均可以支持豐富的組播協議,包括ICMP、PIMSM、PIMDM、MSDP等組播協議,可支持豐富的業務,包括視頻點播、流媒體點播,可支持各種流媒體終端以及組播源的種類。并可以并通過HGMP協議將各樓道交換機也納入到組播實現中。通過這種機制,使得整個網絡的流量做到最優,有效的保證了視頻點播、網絡電視、會議電視、視頻游戲等視頻業務的開展,通過組播實現的視頻業務有:

會議電視:利用網絡和數字視像技術實現異地會議的交互傳輸和控制。

付費視頻:按節目收費的視訊節目。

視頻點播:交互式電視的一部分,它使用戶可以隨意選擇所需的視訊節目,并可隨意地控制節目播出(如快進、快倒、暫停等)。

網絡教學:使用視頻和通訊設備實現一點對多點或點對點的交互式異地遠端教學,實現學生和教師的實時交流,學生還可隨時進行學習點播和查詢。

對于IPv6的業務開展,對于IPv6流媒體的訪問同樣可以采用IPv6組播協議進行IPv6業務的開展,通過核心、匯聚IPv6協議的支持,可以在全網開展IPv6業務,確保IPv6組播業務能夠很好的開展,便于IPv6業務的豐富、提高。

4.4.2.  QoS優化

校園網絡的發展日新月異,IP融合是大勢所趨,校園網上語音、視訊等新應用的不斷出現,對校園網絡的服務質量也提出了新的要求,例如VoIP等實時業務就對報文的傳輸延遲有較高要求,如果報文傳送延時太長,將是用戶所不能接受的(相對而言,E-MailFTP業務對時間延遲并不敏感)。為了支持具有不同服務需求的語音、視頻以及數據等業務,要求網絡能夠區分出不同的通信,進而為之提供相應的服務,QoSQuality of Service,服務質量)技術的出現便致力于解決這個問題。現實情況是,大家都認為QoS非常重要,卻極少在校園網中實施QoS,QoS已經成為校園網中IP融合的技術瓶頸,一方面是以往校園網應用遠遠沒有像今天這樣豐富,QoS部署的急迫性并沒有被大家所重視,另一方面是在傳統組網模式下,特別是在校園網這種復雜的網絡環境下,QoS整網部署并不那么容易。本文依據DiffServ模型,分析了在各類已建成的校園網中部署QoS的典型方案。

QoS部署策略

    從已建成的各種類型的校園網的組網來看,最為典型的是核心層,匯聚層,接入層的組網模式,往上行的流量會比較大,帶寬較高,接入層和匯聚層設備眾多。   

 在校園網中,結合DifferServ理論,我們針對業務的QOS功能有對應的設計方法,

l  報文的分類和標識:這是所有QOS的基礎,報文分類的清晰度,直接影響后續QOS實現的功能需求,這是先決條件,當然分類可根據基于IPACL五元組或是IP報文的TOS優先級,如IP Precendence或是DSCP值,基于MPLS標簽交換的還可使用MPLS EXP值來定義,或是通過以太網技術中的802.1p優先級。

l  CAR (Commited  Access Rate),它根據報文的ToSCoS值(對于IP報文是指IP優先級或者DSCP,對于MPLS報文是指EXP域等等)、IP報文的五元組等信息進行報文分類,完成報文的標記和流量監管。常用于對業務流進行限速。

l  流量整形(Traffic Shaping)是一種主動調整流量輸出速率的措施。流量整形與流量監管的主要區別在于,流量整形對流量監管中需要丟棄的報文進行緩存——通常是將它們放入緩沖區或隊列內,整形可能會增加延遲,而監管幾乎不引入額外的延遲。

l  隊列技術: PQ、CQ、WFQ、CBWFQ等隊列技術對擁塞的報文進行緩存和調度,實現擁塞管理。主要應用在轉發設備的出接口上,重點用于保證相應的業務流的帶寬或是減少時延。

l  擁塞避免(Congestion Avoidance),是指通過監視網絡資源(如隊列或內存緩沖區)的使用情況,在擁塞有加劇的趨勢時,主動丟棄報文,通過調整網絡的流量來解除網絡過載的一種流控機制。與端到端的流控相比,這里的流控有更廣泛的意義,它影響到路由器中更多的業務流的負載。當然,路由器在丟棄報文時,并不排斥與源端的流控動作比如TCP流控的配合,更好地調整網絡的流量到一個合理的負載狀態。好的丟包策略和源端流控機制的組合,總是追求網絡的吞吐量和利用效率最大化,并且使報文丟棄和延遲最小化。

核心層:核心層為S9512這樣的高速以太網交換機,在本地的交換接口為GE,這種情況下要求設備高速轉發,而在DifferServ模型體系中,對高優先級的IP報文,以太網交換機會實現優先轉發,高速接口上,對限速或是帶寬保證的意義已經不大,S9512實現的QOS功能,僅作為在核心基于控制的需要,可完成流量監管,流量整形,隊列調度等QOS。

    通過以上的設置和規劃,充分利用交換機硬件轉發的能力,對流分類時采用IP TOS值的定義,可有效地實現網絡中在需要部署QOS的設備或是線路上進行控制,不需要時不用消耗網絡設備的資源,不用信令交互,根據數據業務的流向,實現端到端的QOS。同時為減輕相應的業務流量,在校園網的應用中,多采用組播技術也能有效地節省線路帶寬資源。

5.   有線無線一體化網絡設計

無線局域網(WLAN)技術于20世紀90年代逐步成熟并投入商用,既可以作傳統有線網絡的延伸,在某些環境也可以替代傳統的有線網絡。無線局域網具有以下顯著特點:

1)  簡易性:WLAN網橋傳輸系統的安裝快速簡單,可極大的減少敷設管道及布線等繁瑣工作;

2)  靈活性:無線技術使得WLAN設備可以靈活的進行安裝并調整位置,使無線網絡達到有線網絡不易覆蓋的區域;

3)  綜合成本較低:一方面WLAN網絡減少了布線的費用,另一方面在需要頻繁移動和變化的動態環境中,無線局域網技術可以更好地?;ひ延型蹲?。同時,由于WLAN技術本身就是面向數據通信領域的IP傳輸技術,因此可直接通過百兆自適應網口和學校內部Intranet相連,從體系結構上節省了協議轉換器等相關設備;

4)  擴展能力強:WLAN網橋系統支持多種拓撲結構及平滑擴容,可以十分容易地從小容量傳輸系統平滑擴展為中等容量傳輸系統;

隨著WLAN技術的快速發展和不斷成熟,目前在國內外具有較多的中大規模應用,諸如荷蘭的阿姆斯特丹市的全城覆蓋,向客戶提供各種業務。

5.1. 無線工程具體的建設目標:

1)  側重實際應用,覆蓋校園內部分區域,為教學和學習生活提供切實可用的無線網絡環境;

2)  采取通行的網絡協議標準:目前無線局域網普遍采用802.11系列標準,因此校園無線局域網將主要支持802.11g54M帶寬)標準以提供可供實際應用的相對穩定的網絡通訊服務,同時兼顧多種類型應用和將來的投資?;?,需要同時支持801.11a,802.11b,實現雙頻三模技術;

3)  全面的無線網絡支撐系統(包括無線網管、無線安全,無線計費等),以避免無線設備及軟件之間的不兼容性或網絡管理的混亂而導致的問題;

4)  保證網絡訪問的安全性;

5)  采用非獨立型的無線網絡結構選型;

6)  覆蓋范圍要求

I.   有線網絡無法接入的室外場所:校園內一些場所很難實現網絡有線接入,采用無線方式可以實現覆蓋大范圍室外空間的無線網絡接入。本次建設主要包括各宿舍及教學樓附近空地等。

II.      有線網絡使用不便或受限的室內空間:校園內一些室內場所空間較大,會產生許多人同時接入網絡的需求,采用有線的方式只能提供少量接口,不能滿足要求。用無線網絡覆蓋來解決相當數量的移動設備同時訪問網絡的問題。主要包括圖書館、主樓、各教學樓等;

7)  安全、認證、計費和管理要求

要與現有的計費系統對接,實現針對用戶計費、管理、控制功能;

8)  校園無線網網絡結構要求:

無線接入所需布設的AP通過校園網的匯聚層設備接入到校園網中,在匯聚層都提供相應的接口給無線網線,在接入層設備要在方案中進行描述。

9)  工程布線和安裝要求:

I.      室內部分:定好較為開闊位置,將網線和電源線走暗線敷設到位;掛在墻上,可利用設備本身自帶的安裝附件進行安裝;如果需要遮蔽,則需要定制非金屬安裝盒;如果是掛在天花板上,則根據天花板的情況而定,若天花板是非金屬結構,可以固定在天花板內。安裝過程中應充分考慮防盜問題。

II.     室外部分:根據設備位置有兩種布線方式。如果AP設備放置在樓頂,則需要走網線和電源線;如果AP設備放置在室內,天線放置在室外,則需要走天線饋線。這兩種方式饋線都需走鐵管,貼防水膠方式處理,安裝過程中應充分考慮防盜。

III.   供電部分:AP的供電可采用POE方式由接入的網絡設備進行供電(無需本地供電)。

10)  產品能力要求要求:

I.      產品支持AES、WEP加密等安全標準;

II.      漫游切換;

III.    支撐QOS能力

5.2. 認證方式及認證點選擇

本方案主要采用802.1x認證,WA2110WX5002通過二層隧道協議通信,無線用戶的認證點都是放置于WX5002設備上,后臺的Windows 2000 Advanced Server自帶Raidus系統作為用戶鑒權點。

鑒于目前無線網絡規模較小,從網絡支撐能力的角度來看,目前需要1WX5002即可實現,當無線網絡規模擴大時,通過平滑擴展多臺WX系列無線控制器,可實現整個無線域的集中管理。

5.3. 無線安全

XXX學院無線局域網絡主要服務于學校的學生與教師,也是規模的公眾型網絡,同時由于學生出于技術的研究興趣,會對網絡發起各種各樣的攻擊行為,此時網絡安全問題在建網時必須考慮問題,安全方式主要側重幾個方面:用戶安全、網絡安全,而在校園網絡中主要依附于用戶實體的屬性主要包括用戶使用的信息終端二層屬性(諸如:MAC地址)及用戶的帳號、密碼,而對于學校學生用戶來,帳號信息都是一個實名原則,與學生的學藉進行關聯的,這樣本無線網絡中著重考慮使用無線網絡的空口信息的安全機制,同時也要考慮與無線相關的有線網絡的安全問題,對于原有有線網絡的安全問題,在本技術建議書中不作相應的考慮;

1)  無線網絡安全:

無線網絡安全部分主要包括以下方面的內容:

I.      MAC地址過濾:目前支持基于MAC地址的過濾,限制具有某種類型的MAC地址特征的終端才能進入網絡中;

II.     SSID管理:是一種網絡標識的方案,將網絡進行一個邏輯化標識,對終端上發的報文都要求進行上帶SSID,如果沒有SSID標識則不能進入網絡;

III.   WEP加密:WEP加密是一種靜態加密的機制,通信雙方具有一個共同的密鑰,終端發送的空口信息報文必須使用共同的密鑰進行加密;

IV.   支持AES加密,AES安全機制是一種動態密鑰管理機制,同時密鑰生成也基于不對稱密鑰機制來實現的,同時密鑰的管理也定期更新,具有體的時間由系統可以設定,一般情況都設定為5分鐘左右,這樣非法用戶要想在5分鐘之內進行獲取足夠數量的報文進行匹配出密鑰出來,從無線空口的流理來看,基本上是不可能的;

V.    華三通信的無線方案中可根據用戶名來劃分權限,即相同用戶在不同地點接入無線網絡其權限保持一致;密鑰設置可能根據SSID信息與用戶信息進行組合,即不同的SSID下不同的用戶的密鑰生成可以不一樣,這樣一定程度上保證用戶之間串號問題產生,從而?;ね蹲?,以達到營維平衡;

VI.   H3C公司的EAD方案實現流量異常、報文異常監管,從而?;ね緄慕徊槳踩?;

5.4. 頻率規劃與負載均衡:

1)  頻率規劃(支持雙頻三模,建議部署802.11g

802.11g使用開放的2.4GHz  ISM頻段,可工作的信道數為歐洲標準信道數13個。由于其支持直序擴頻技術造成相鄰頻點之間存在重疊。對于真正相互不重疊信道只有相隔5個信道的工作中心頻點。因此對于802.11g2.4GHz地工作頻段,理論上只能進行三信道的蜂窩規劃實現對需要規劃的熱點的無縫覆蓋。此外,由于功率模板是否能做到符合鄰道、隔道不干擾也非常影響頻率規劃的效果。

針對如何進行802.11g的頻率規劃作了大量的實驗,實驗證明3載頻也可以實現蜂窩對需要覆蓋的區域進行無縫覆蓋,并提供更高的服務帶寬提高服務質量,和高帶寬業務的開展。`

n 頻率規劃原理圖

頻率規劃需要配合使用的功能包括:

I.      AP支持13個信道設置

II.     AP支持100mW最大射頻功率以及多級功率控制

III.   AP支持外置天線以及定向天線

IV.   針對特殊應用還需要AP支持橋接功能、接入功能以及WDS功能

5.5. 供電問題:

由于本次無線網中AP設備數量較多,AP布放位置根據實際覆蓋效果而調整,在已建設完成的建筑物上較難進行本地供電,基于標準的802.3af實現對AP的供電。通過在匯集交換機處疊加一個供電電源或者內嵌交換機內,通過以太網線在傳輸數據同時給AP供電,供電距離達100米,滿足實際組網的要求。

5.6. 覆蓋解決方案:

從整體的統計看來,XXX學院此次的無線覆蓋設計基本上可以分為以下幾種類型:根據實際工勘的結果來看,可以歸納為兩大類:AP室內無障礙覆蓋、AP室內穿越障礙覆蓋,下面則對這兩類覆蓋分別進行描述:

1)  AP室內無障礙覆蓋

主要應用于空間較大的階梯教室等重點室內區域,此時主要信號進行此空間內覆蓋,無需要考慮到穿越墻壁、地板等障礙物對隔壁空間的覆蓋;此時又分二種情況,劃分原則主要要看是否要使用吸頂天線的問題,根據實現工程勘測情況來看,室內部分都可以采用吸頂天線的方式進行操作。

2)  AP室內穿越障礙覆蓋:

主要應用于各辦公樓、圖書館、各教學樓等中間走廊兩邊房間結構室內區域,因為無線信號穿越墻壁、地板等障礙物會存在衰減,但在走廊式結構的室內區域具備一定的穿越障礙的能力,一般是穿越一道墻壁之后信號效果較好。因此這樣的結構適合在走廊中布置AP,來覆蓋兩邊的房間區域;并且根據實現工程勘測情況來看,室內走廊部分都可以采用吸頂天線的方式進行操作。

根據本項目第一階段的需求與將業的業務發展需求,初步確定主要覆蓋以下空間:

樓宇

機房位置

負責覆蓋需區域

AP數量

48PoE交換機數量

24PoE

交換機數量

 

1層南配線間

負責15層的南樓布線

 

 

 

3層中配線間

負責15層的中樓布線

 

 

 

3層北配線間

負責15層的北樓布線

 

 

 

 

1層南配線間

負責12層的南樓布線

 

 

 

1層主配線間

負責1層大廳和辦公區布線

 

 

 

1層北配線間

負責12層的北樓布線

 

 

 

3層南配線間

負責3層南樓布線

 

 

 

3層北配線間

負責24層中樓和34層北樓布線

 

 

 

合計

 

 

 

5.7. 覆蓋區域詳細說明

 

簡單同軸分布式天線系統原理圖

本示意模型是業界采用WLAN頻率規劃技術對校園覆蓋的標準示意模型,首先說明采用WLAN技術可以按客戶的需求結合WLAN現場勘探與頻率規劃可以實現最終用戶的隨時隨地接入。(圖111g進行描述的,對于11g的模型一致)其次采用2.4G頻段的IEEE802.11g技術在國家無委規定的2.4~2.4835MHz頻段共計有13個載頻,互不干擾頻段有3個如1、6、11#(由于802.11g技術采用直序擴頻技術,1個中心頻點的載頻對前后臨頻、隔頻都有一定的干擾),也就是采用互不干擾頻段結合功率控制、覆蓋方向以及蜂窩規劃,可以實現用戶需要的帶寬以及覆蓋,單點可提供的接入帶寬有33Mbps。另外,針對學校WLAN覆蓋建議為教室、禮堂、圖書館、實驗室等需要帶寬較高的場所建議采用全向覆蓋,除解決覆蓋同時還要考慮接入帶寬,對于學校的室外休閑區域如操場、校內公園、生態走廊、草坪等主要解決覆蓋,采用定向天線做大范圍覆蓋,解決最終用戶的接入即可無需過多概率接入帶寬。

5.8. 蓋效果理論計

信號強度和傳輸距離的換算公式

AP加卡的信號總強度公式:

GtGrAP天線增益+終端天線增益=L信號總強度(dB

GtAP或終端功率,單位dB),Gr(終端或AP靈敏度,單位dB

距離產生的信號衰減公式:

4020lgdL1dB d(距離,單位m

工程中最大傳輸距離以45m計算,所以L172dB

障礙物的衰減:

物體

dB

地板

30

帶窗戶的磚墻

2

辦公室墻

6

辦公室墻的金屬門

6

磚墻的金屬門

12.4

靠近金屬門的磚墻

3

工程中實際的障礙物的最大衰減是臨窗墻的衰減3dB加上房間墻的衰減12dB等于15dB。

5.9. 無線實施方案(請代理商補充施工組織、計劃和工期) 

6.   校園數據服務中心建設

6.1.  概述

 

伴隨著信息化建設的深入,學校信息部門的工作重點也逐漸發生著變化,從最初滿足教學科研需要的計算中心,到為全校提供網絡服務的網絡中心,目前,正在向著豐富網上資源,更好地為教師、學生、以及校內的其他業務部門服務的數據中心轉變。

校園數據中心是數據大集中而形成的集成IT應用環境,它是各種IT業務和應用服務的提供中心,是數據運算/交換/存儲的中心,實現對用戶的數據、應用程序、物理構架的全面或部分進行整合和集中管理。數據中心的建設中,存儲系統的建設和完善貫穿始終,這和當前應用系統建設的重點是相一致的。不論是各種數字資源,還是需要備份保存的業務數據,其中心內容都是對于信息(數據)的管理和使用。在信息社會的今天,存儲系統作為數據的載體,其重要性也越來越大,甚至成為決定系統建設成敗的關鍵因素,所以,校園數據中心要詳細考慮存儲系統的規劃方案和建設思路。          

 

6.2.  需求分析

數據集中存儲

校園數據中心運維多套應用系統,為了提高存儲設備的應用效率降低整體擁有成本,需要建設集中的存儲系統,搭建性能優異、經濟高效、管理方便、擴展容易的存儲平臺。

實現數據和系統?;?/span>

對學校而言,一卡通、教務系統、圖書館、郵件系統的數據是至關重要的資產,是學校運行的基礎,需要建立數據備份機制,保障數據安全;

除了對數據進行備份以外,應用系統的?;ず涂燜倩指匆彩槍刈⒌鬧氐?,需要建設系統備份和快速恢復機制。

災難恢復

隨著校園信息化的深入,學校的日常運轉越來越依賴于信息系統。傳統的備份手段難以應對火災、地震、電力故障的災難事件,需要為數據中心建設災備中心,實現災難恢復。

6.3.  方案設計

6.3.1.  H3C多服務器集中存儲解決方案

校園數據中心包含郵件服務、門戶網站、FTP、VOD等多種應用,還需要為校園內其他部門提供服務器托管業務,滿足存儲空間的擴展需求。一個中等規模數據中心的數據需求如下:

業務類型

說明

數據量

郵件

為全校師生提供郵件和網絡硬盤服務

3-5TB

精品課程

校內精品課程保存

2-5TB

FTP

校內下載平臺

2-5TB

VOD

視頻點播等

5-10TB

校園門戶

門戶網站、論壇、搜索引擎等

2-3TB

備份平臺

滿足校內所有數據的備份需求

5-10TB

除海量數據以外,數據中心還擁有20-30臺服務器,屬于典型的多服務器集中,海量數據存儲的環境。

多服務器集中解決方案采用H3CEX800/EX1000/IX1000/IX3000作為存儲系統實現了數據的集中管理。該方案采用IP SAN交換機構建基于IP的存儲區域網絡(IP SAN)。

所有需要連接存儲設備的服務器,如數據庫服務器,只要安裝千兆網卡,并安裝軟件的iSCSI Initiator,就可以通過以太網獲得存儲設備,從而不需要購置價格昂貴的HBA卡。主流的操作系統AIX\Solaris\Linux\Windows都支持這種千兆網卡加軟件的iSCSI Initiator的實現方式。對于那些對于CPU負荷比較重的服務器,可以安裝通過iSCSIHBA卡的方式連接到系統,將部分存儲運算交給HBA卡完成,從而減輕主機CPU的負荷。

存儲設備能夠利用多種集群軟件實現雙機熱備。例如IBM集群軟件HACMP,ROSE等,保證Oracle數據庫等系統的高可用性。IX3040還可以通過DynaPath為應用主機提供多鏈路負載均衡和故障切換功能。為了實現多鏈路冗余,數據庫服務器需要在原有2塊網口的基礎上,增加新的網卡。

日后如果需要擴展應用服務器的存儲,可以隨時安裝操作系統所對應的iSCSI Initiator,配合以太網卡連接到存儲系統。IX3040通過劃分不同的卷,以保證各個應用系統互不干擾。

方案特點

l  接入成本低,采用以太網卡和IP SAN交換機的接入成本遠低于FC的接入成本;

l  組網方式靈活:既可以采用專門的交換設備,組成存儲專用網絡,也可以把存儲設備、服務器直接連接在核心交換機上;既可以采用SAN連接方式,也可以采用NAS方式,滿足不同的業務需要。

l  高擴展性,由于采用了全交換的??榛逑到峁?,能夠按照需求的變化,逐步增加存儲容量和功能,從而降低初次投資金額??刂破?、磁盤柜、交換容量可以靈活擴充,滿足業務發展的需求,實現存儲設備的性能和容量的在線線性擴展

l  多模式應用,EX800/EX1000/IX1000支持SAN/NAS一體化功能;

l  支持遠程的安全接入方式,遠端的服務器設備可通過成熟、可靠的IP網絡和安全傳輸技術接入到集中存儲中;

l  采用iSCSI技術搭建的存儲平臺:管理和維護簡單方便,網管人員就能承擔存儲設備的日常維護工作,降低培訓費用,提高人員利用率。

6.3.2.  D2D備份解決方案

當前,校園的應用系統分散在網絡中心、圖書館、財務處、教務處等不同的地方,缺乏統一的數據?;せ?。H3C基于IP技術的存儲系統能夠和備份軟件緊密結合,充分利用現有的校園網絡,實現全校分散應用的集中備份。

只需將H3CEX800/EX1000/IX1000/IX3000存儲產品和備份軟件配合部署,在需要備份的服務器上安裝代理軟件,就能夠通過現有的校園網絡實現D2D(磁盤到磁盤)的備份。

如果在服務器上增加一塊網卡,還能夠在不增加軟件費用的情況下,實現LAN-FREE的備份方式。即備份數據流直接從應用服務器到備份存儲設備上,不再經過專門的備份服務器,從而繞開了備份服務器的性能瓶頸問題,提高了備份的效率。

方案特點

l  利用現有的校園網絡,實現全校分散應用的統一備份;

l  兼容性好:能夠和所有主流的備份軟件協同工作

l  除磁盤系統以外,H3C還提供虛擬磁帶庫DL1000,能夠和現有備份環境無縫銜接,如實現D2D2T(磁盤到磁盤再到磁帶)的備份;

l  配置靈活:通過增加一塊網卡,就能夠實現LANFree方式備份,不占用用戶業務網絡的帶寬,節約軟件費用;

l  擴容方便、管理簡單、維護成本低。

6.3.3.  應用系統?;?/span>/恢復解決方案

學校大量的應用都處在單機運行的狀態下,如WEB、VOD等,沒有應用系統的?;な侄?,一旦出現故障,就會導致服務器宕機,應用長時間停頓。

H3C的應用系統?;?/span>/恢復解決方案通過在每臺主機或者PC上安裝一套Disksafe數據復制軟件,將主機操作系統、應用軟件和環境設置等系統信息直接復制到EX1000/EX800存儲上,實現應用系統的備份。如果系統宕機,只要通過一張Recover CD(恢復光盤)就能夠迅速完成應用系統的恢復,而不需要人工逐一安裝恢復操作系統、應用軟件和環境設置。如果服務器上配置了iSCSI HBA卡,支持通過存儲設備,遠程啟動服務器,極大的提升恢復的速度。

Disksafe不僅可以?;し衿?,還能用于?;そ討霸憊さ母鋈說縋?,為他們提供快捷的系統恢復功能。

 

方案特點

l  全面?;びτ孟低常òú僮饗低?、應用軟件和環境設置);

l  操作簡便:通過一張光盤就能夠實現恢復整套應用系統

l  在系統宕機時,把應用恢復的時間從原來的0.5-2天縮短為30分鐘

l  如果配置了iSCSI HBA卡,就能夠實現遠程啟動,應用恢復的時間進一步縮短為5分鐘

6.3.4.  數據遠程容災備份

      

 

為保障校園數據中心的信息安全,數據遠程容災備份必不可少。數據中心往往利用分校區或圖書館的機房作為災備中心,利用現有校園IP網絡實現關鍵數據的異地存放。

H3C的遠程容災備份解決方案符合學校的要求和數據?;ぜ際醴⒄溝那魘?。采用基于IP標準化的塊增量復制技術實現在現有網絡上的數據異地存儲,利用TimeMark技術切實?;ばT笆蕕陌踩院涂燜倩指?。通過在數據中心與災備中心之間對關鍵業務數據進行策略性增量復制,實現數據的異地備份,并在發生意外災難時對數據進行快速恢復,確保數據中心的業務持續性。

H3CIV5000虛擬化管理平臺能夠整合異構的存儲設備,使得不同廠家、不同接口協議的存儲設備能夠在統一的平臺之上,實現異構存儲設備的統一管理和統一災備,從而降低容災備份的成本和實施的復雜程度。

方案特點

l  結合快照和遠程復制技術,實現連續的數據復制和快速的數據恢復,確保最少的數據損失和最快的恢復速度;

l  基于塊增量的遠程復制技術有效的利用廣域網線路帶寬;

l  結合快照技術,實現數據的連續?;?,避免各種軟錯誤導致的系統故障;

l  采用IV5000可兼容現有的存儲構架,實現異構存儲的統一災備。7.   校園多媒體服務中心設計

當前,以數字化校園為特征的教育信息化發展更為迅速,各種信息化應用正改變著老師和學生們的工作、學習、生活以及思維方式,引發了教育行業一場新的革命。學?;鏡慕萄Ы濤窆芾?、科研管理、后勤管理、數字圖書館、視頻服務系統、辦公自動化系統和校園社區服務等應用系統的建設有了初步的規模,“一卡通”業務在很多學校也開始應用。在校師生的認識水平和技術水平上了一個臺階,對于信息化工具的使用已變成為一種自覺和自愿的行為,為“十一五”數字化校園的進一步發展打下堅實的基礎。

為預防、震懾犯罪,減少財產損失,保障師生員工的人身安全,完善XX學院安全防范體系、提高校園整體防控能力,創建一個文明、安全、和諧、美麗的校園環境,建設XX學院園區視頻監控、防盜報警、可視報警、辦公自動化等安全防范綜合業務管理于一體的安防綜合業務管理系統?!?/span>XX學院校園監控系統”將建設成一套以打擊、預防違法犯罪為目的,在學院和宿舍等出入門口、重要路段、重要教學、科研、實驗室、管理等地點設立視頻監控點,將監控圖像實時傳輸到監控中心和其它相關部門,通過對圖像的瀏覽、記錄等方式,使各級機關和其它相關職能部門直觀地了解和掌握監控區域的治安動態,有效提高XX學院治安管理水平的視頻監控系統。

7.1.  建設需求(以下內容請根據用戶實際情況進行替換)

各監控場所與XX學院監控中心千兆以太網鏈接;所有監控場所都已經做到裸光纖到位,千兆位數據網絡交換能力。希望建設這個網絡環境,實現前端現場點監控圖像的全數字化(高清晰度、全實時),傳輸網絡化(TCP/IP,圖像數據存儲可做到集中或分布式存儲。在XX學院外網內各類用戶(用戶權限許可)可以對前端現場監控可實時圖像監控;對存儲圖像可實現XXX學院網內,保衛部門調閱播放和下載所有網點監控攝像機圖像和監聽麥克風的音頻信號(具有網絡VOD點播功能)。

建成后的全數字監控存儲系統以實時監控錄像為主,系統不僅在結構上具有擴展能力,而且在業務上也有綜合應用能力,包括圖像傳輸、遠程監控、數字圖像數據遠程集中存儲,遠程實時點播回放(儲存數據圖像)等等。

 

網絡設計:根據監控點和實際情況建立獨立的監控系統外網!

建成后的“XX學院校園監控系統”作為治安信息化管理的有效途徑之一,其建設的力度、程度、廣度將在一定程度上提高全區治安管理的統一指揮、快速反應、協同作戰水平。

 

7.2.  設計原則

本系統設計依據為:

l 《安全防范工程技術規范》 (GB 50348-2004

l 《安全防范工程程序與要求》 (GA/T75-94

l 《安全防范系統驗收規則》 (GA308-2001

l 《安全防范系統通用圖形符號》 (GA/T74-2000

l 《民用閉路電視監控系統工程技術規范》 (GB50198-94

l 《工業電視系統工程設計規范》 (GBJ115-87

l 《音頻、視頻及類似電子設備安全要求》 (GB8898-2001

l 《測量、控制和試驗室用電氣設備的安全要求》 (GB4793-2001)

l 《信息技術設備的安全》 (GB4943-2001

l 《郵電通信網光纖數據傳輸系統工程施工及驗收技術規范》

l EIA/TIA568A,EIA/TIA569A國際電子工業協會通信線纜、通訊路徑和空間標準

l ISO/ICE/IS11801結構化布線標準

l ISO TCP/IP協議標準

l ISO/IEC 13818 MPEG-2協議標準

l ISO IGMP/CGMP協議標準

l 10BASE-T,100BASE-TX標準 IEEE802.3,IEEE802.3U

l 《中華人民共和國通信行業標準》(YD/T926

l 《城市市政綜合監管信息系統技術規范》(CJJ/T 106-2055

7.3.  系統總體架構分析

7.3.1.  XX學院視頻監控總體架構圖

 


1) 數字視頻編解碼系統

數字視頻編解碼器支持H.264、MPEG2、MPEG4、MJPEG等多種標準編碼格式,提供從單路到16路各種密度的規格,可支持實時流和存儲流雙流設計,并能夠支持高至8Mbps的高清碼流或低至128Kbps的標清碼流并且可以根據用戶需求任意調整,數字編解碼設備應采用電信級制造工藝,可以基于各種網絡環境高質量、可靠的滿足各類網絡監控前端編碼、存儲和解碼的需求。

2) 網絡視頻存儲系統

專業的IP存儲技術和強大的數據管理服務器構建完善的網絡存儲系統,存儲資源可以根據需求分布式部屬并加以統一資源管理和調度,支持動態存儲資源管理、在線部屬,可以基于統一平臺滿足不同存儲質量、容量和服務質量的需求,可以提供完善的備份和存儲生命周期管理功能,同時視頻圖像的NAS備份功能。

3) 系統管理平臺

包括專用的視頻管理服務器、數據管理服務器、客戶端和流媒體服務器,視頻管理服務器是用于集中認證、注冊、配置、控制、報警轉發控制的專用信令服務器,可以實現完善的視頻編解碼設備網絡管理功能,支持多臺信令管理服務器相互協同工作組建多級多域的管理平臺。

數據管理服務器主要功能為管理存儲設備、存儲資源和視頻數據,支持對系統所有存儲資源進行全方位的監控和管理,支持不間斷的視頻檢索、回放等業務

客戶端可以提供友好方便的人機界面功能,包括監控對象的實時監視監聽、查詢、云臺控制、接警處理,并集成了基本的GIS功能方便用戶操作。

4) 承載網絡系統

采用現有廣域網資源對前端視頻編碼器傳輸的數據進行接入、匯聚、交換。通過設備自身安全特性和防火墻等實現對邊界安全接入的控制,同時可通過網絡本身的設備、協議冗余實現整個監控網絡的穩定性。

7.3.2.  系統設計邏輯框架圖

根據XX學院的具體情況,建立以主校區為指揮中心、通過指揮中心平臺完成對下屬院系、分校區監控系統的接入,同時在監控總指揮中心建立基于網絡的虛擬存儲系統,在各分中心可以根據廣域網帶寬情況而定是采用分布式存儲,對重要的圖像數據進行備份的功能,系統分為二級聯網,分別是:

1).  總中心:XX學院主校區;

2).  下屬院系、分校區。



各級監控中心結構如下圖所示:


7.3.3.   系統總體結構設計圖

 

從上圖可以看出,整個校園視頻監控系統在結構上分為主校區監控指揮中心、下屬院系/分校區的兩級結構組成,具體描述和說明如下:

主校區監控指揮中心一級平臺主要完成整個校園所有視頻監控系統的視頻圖像管理,主校區監控指揮中心通過部署中心管理服務器、流媒體管理服務器和存儲服務器分別完成對整個校園視頻監控系統的管理、視頻圖像的分發和重要視頻數字的存儲功能;主校區監控指揮中心通過IP網實現主校區指揮中心系統通過實時視頻圖像全面掌握各個校區的安全情況,保障校園師生的安全,保證教學、科研等順利進行。

7.4.  詳細設計方案

7.4.1.  主控中心建設方案

從上圖中可以看出,主校區監控的圖像信息平臺是整個系統的控制管理中心,通過該平臺完成整個校園視頻圖像資源的聯網圖像的調度、管理、分發和互通功能;通過視頻管理服務器VM8000完成下屬院系/分校區視頻圖像的接入、認證、權限分配,具體部署如下:

視頻管理系統

在總部指揮中心部署VM8000視頻及DM8000數據管理系統,VM8000視頻管理系統完成整個系統中所有設備的認證、注冊以及控制信令的下發功能;同時實現對電廠分控中心圖像的管理、授權、控制功能;同時VM8000視頻及數據管理系統支持分級分域部署,通過總部指揮中心的VM8000設備的部署完成各個電廠系統中設備的管理、認證以及權限分配功能。

圖像存儲系統

DM8000數據管理服務器完成數據的管理功能,可通過總部指揮中心的DM8000完成總部和各個電廠IPSAN存儲資源計劃、資源分配、以及存儲設備檢查和存儲數據的檢索功能,同時在安全事件發生時,可完成指揮中心對電廠事故現場重要視頻圖像的備份存儲功能。

圖像顯示系統

主校區應急指揮中心總控中心通過部署DC1001解碼器和VC8000軟件客戶端實現對整個系統中所有圖像資源的數字解碼功能,總部應急指揮中心顯示大屏可通過解碼器自帶的視頻輸出接口直接與監視墻進行連接;同時對于總部指揮中心工作人員或領導,在電腦上安裝一套軟件視頻客戶端VC8000實現實時瀏覽前端圖像、檢索歷史重要數據、以及對前端攝像頭進行PTZ控制以及編碼器的設置功能,從而實現在指揮中心對前端圖像源進行管理。

系統整體業務流程說明

本次XX學院視頻監控系統解決方案借鑒NGN(下一代通訊網絡)架構,采用視頻流控制和承載交換相分離的機制,可以高質量的實現各種監控業務,包括實時監控、視頻信息存儲及歷史視頻流回放等。其中VM視頻管理服務器是整個系統的信令控制和管理核心,所有監控的控制流都由VM視頻管理服務器處理。

DM數據管理服務器作為存儲系統的管理核心,可以對分布式部屬的IP SAN網絡存儲設備和ER編碼器中存儲資源進行統一的存儲資源管理,靈活實現各種應用;系統中的實時監視流則是通過IP網絡進行以分布式的交換和處理。

7.4.2.   下屬院系/分校區監控解決方案

1)院系保衛處,在本校區下屬院系的情況下,可以由中心集中進行存儲。

按需進行配置解碼器上電視墻,如果中心配置了XE語音服務器的情況下,可以進行IP接警電話的設置。

2)對于分校區的情況下,考慮到廣域網帶寬不夠情況下,可以在各個分校區進行分布式存儲。通過主校區的數據管理服務器進行統一管理。

 

 

 

3)對于大型分校區,可以進行二級視頻管理平臺建設,增加VM 5000視頻/數據管理服務器,與主校區的VM管理服務器形成兩級管理結構。

可部署VM5000管理平臺,VM5000管理平臺與總部VM8000構成分級管理平臺,完成整個校園內新建系統中所有設備的認證、注冊以及控制信令的下發功能;

VM5000同時完成數據的管理功能,完成IPSAN存儲資源計劃、資源分配、以及存儲設備檢查和存儲數據的檢索功能。

XX路攝像頭,分別采用單路編碼器(XX路)、四路編碼器(XX路)、八路編碼器(XX路)等編碼器接入。在分校區控中心,可以部署9路解碼器連接監視大屏,實現9路實時監控圖像同時顯示。 


本套系統基于單播網的業務流處理機制-實時監視流與存儲流分開處理,系統管理和業務流程如下所述:

1)實時視頻流

實時流具有偶發性,并具備大收斂比,可通過IP網絡組播和MS8000流媒體分發服務器的部署實現實時圖像流的分發功能支持大規模監控,減少傳統方案的瓶頸和圖像的延時。

2)、存儲視頻流

視頻存儲流采用文件方式直接寫入存儲中,充分發揮IP SAN存儲的高效、可靠和可擴展性,解決大容量存儲中間服務器的瓶頸問題。

3)點播回放流

視頻管理客戶端和解碼器通過UDP單播訪問EC編碼器,引入相應監控場景的音視頻流,從而實現實時查看不同監控場景的功能。

4)控制流

視頻監控系統包含的管理服務器和軟件有:數據管理服務器(DM)、視頻管理服務器(VM)和視頻管理客戶端(VC),它們之間以及與系統終端設備之間的交互信息通過控制流交換。

 

7.5.  XX學院校園監控系統功能實現

7.5.1.   監控中心實現功能

1).    可通過網絡獲取實時圖像資源和歷史圖像數據。

2).    可用辦公管理計算機通過客戶端應用軟件可實時播放本轄區實時圖象(有用戶權限管理)。

3).    可用辦公管理計算機通過客戶端應用軟件可點播播放存儲圖像,下載圖像數據文件。

4).    在用戶權限許可的情況下可以實時監控其他分控中心轄區圖像實況。

5).    在用戶權限許可的情況下可以可點播播放其他分控中心存儲圖像,下載圖像數據文件。

6).    在用戶權限許可的情況下可以控制云臺攝像機,高速快球攝像機等

7).    可以通過解碼器在電視墻上對所有圖像或者重要圖像——如校門口等進行輪切。

8).    對所有前端所有監控點的儲存監控信息進行回放,實現查詢、下載、復制,抓拍等功能。

9).    與監控點前端報警單元聯動,監控部位發生報警,中心管理平臺顯示器自動彈出相關地點實時視頻監控畫面功能;

10). 有矢量電子地圖(GIS)和報警視頻聯動功能;

11). 關聯輔助指揮軟件,同步在電子地圖上顯示監控點基本信息和相關處警預案;

 

7.5.2.   院系/分校區監控中心實現功能

1).    管理所有允許權限的網絡上視頻設備(圖像編碼器、圖像解碼器、分布式IP-SAN所有客戶端軟件登錄計算機用戶)

2).    管理系統內允許權限的視頻管理服務器VM服務器和存儲管理服務器DM,完成VM服務器和存儲管理服務器DM上數據同步。系統中心時鐘。

3).    通過配置IMC網管軟件對全網網絡設備和網絡存儲設備進行實時監控管理。

4).    實時監控所有允許權限的前端監控點聲音圖像。

5).    可檢索允許權限的IP SAN存儲圖像。

6).    可通過客戶端軟件控制解碼器,解碼前端編碼器圖像,只要權限允許可以所有編碼器圖像。實現網絡矩陣功能??陜智謝?,序切換,不限制解碼器數量

7).    負責向其他職能部門提供圖像監控接入服務。

8).    對允許權限的所有前端所有監控點的儲存監控圖像進行回放,實現查詢、下載、復制、抓拍等功能。

9).    與監控點前端報警單元聯動,監控部位發生報警,中心管理平臺顯示器自動彈出相關地點實時視頻監控畫面功能;

10). 有矢量電子地圖(GIS)和報警視頻聯動功能;

11). 關聯輔助指揮軟件,同步在電子地圖上顯示監控點基本信息和相關處警預案;

7.5.3.   與其他監控的結合

解決方案提供了開放的API接口,可以與三臺合一報警服務臺聯動。并可提供應急指揮系統、GIS地理信息系統等各種應用的結合。

在前端編碼器上,系統提供了開關告警接口,可以與紅外報警等其他周界?;は低辰岷?。當出現告警時可自動提醒管理員,并進行聲光告警。

7.5.4.   擴展——校園應急指揮中心建設

可以把應急電話會議、報警電話、平安校園監控集成在一起,形成校園應急指揮中心,在出現意外情況時,可以利用報警電話系統進行報警,視頻監控系統看到對應現場的視頻圖像,同時可以召開緊急視頻會議,把現場監控圖像與視頻會議系統結合起來,主管領導可以對現場情況進行實時分析、監控。

 

管理中心/信息中心:視頻監控管理服務、報警主機、語音服務器、視頻會議MCU、網 絡存儲(IP SAN)可集中部署在中心機房;

應急指揮中心:部署接警電話、電視會議終端等;

監控中心:校保衛處主要部署顯示部分、報警聯動,接警電話等。

7.6. 圖像業務系統流程詳細設計

7.6.1.  實時圖像點播

實時圖像點播業務包括視頻采集、傳輸交換、控制和顯示四個主要環節。

在管理員的控制下,將攝像頭的圖像實時在視頻監控客戶端和解碼器后的電視上播放出來的業務流程如下。

1). 控制環節:

首先管理員通過視頻監控客戶端的業務控制界面,選定編碼器下的攝像機為視頻源,視頻管理客戶端播放軟件和解碼器下的電視為顯示設備。

業務申請提交之后,視頻管理服務器通過SIP通信協議,向編碼器下發指令:按照指定格式編碼后將媒體流發送到某地址上;向視頻管理客戶端播放軟件和解碼器發送指令,接收媒體流,交換機上即刻建立轉發表,用于報文的轉發。

2). 視頻采集:

攝像頭采集圖像后,以模擬視頻信號方式傳送給編碼器;

編碼器進行A/D(模擬到數字)轉換,使用內部的專用芯片,編碼壓縮為視頻媒體流數據,使用IP報文的形式發送到網絡;

3). 傳輸環節:

經過解碼器的解碼,然后進行D/A轉換,就可以將現場圖像實時的還原到監視器上。如果不使用解碼器,也可以通過客戶端軟件,接收媒體流,通過計算機的軟解碼,直接顯示到計算機的顯示器上。

4). 顯示環節:

解碼器接受到流媒體報文,使用內部專用解碼芯片將壓縮過的視頻信息解碼,并進行D/A(數字到模擬)轉換,將高效還原后的模擬圖像實時送到監視器上顯示出來。

視頻監控客戶端軟件接收到流媒體報文后,調用高效的軟件解碼軟件,利用CPU的多媒體處理功能將壓縮后的視頻信息解碼,將模擬圖像通過顯卡的數字VGA接口輸出到顯示器上顯示出來。在實時播放的過程中,支持圖像的縮放、抓拍、錄像,并可以將本地抓拍和錄像上傳到存儲設備中。

7.6.2.  遠程控制

視頻監控客戶端軟件選擇一個具有控制功能的攝像頭后,可以進行遠程控制。首先系統會判斷用戶對攝像頭是否有控制權限,如果沒有,視頻管理服務器會拒絕用戶的控制請求,并在視頻監控客戶端上提示出來。

用戶對攝像頭控制有三種手段:通過串口接入PC的專業鍵盤,PC鍵盤快捷鍵(支持用戶自定義),或者用鼠標的點擊圖形化的控制面板。

監控客戶端將控制指令以PALCO-D的信令格式,以SIP協議的方式發送給視頻管理服務器,如果云臺使用PALCO-D協議,視頻管理服務器直接將控制報文轉發給編碼器;如果云臺使用非PALCO-D協議,視頻管理服務器根據ini文件的描述,進行協議轉換,再轉發給編碼器。編碼器收到云臺控制指令后,通過RS485總線將PALCO-D協議發送到云臺。

全部用戶對云臺的控制權限分為9個等級,高優先級的用戶可以搶占低優先級用戶的控制權限;如果一個用戶正在進行重要的操縱,可以選擇鎖定云臺,此時高優先級客戶也無法搶占,操縱完成后,用戶釋放云臺,其他用戶才可以進行操作和搶占。因為所有云臺控制都是通過IP網絡,經由視頻管理服務器進行中轉,因此可以實現全網的云臺控制權限的統一分配;云臺控制只有信令部分,數據量非常小,對視頻管理服務器的性能沒有影響。

云臺控制界面

7.6.3.  圖像檢索和回放

VM視頻管理服務器上的數據庫中記錄了設備、通道、時間、報警同圖像存儲物理位置的對應關系,通過設備、通道號和時間段(可?。?,或通過報警信息,用戶可以檢索到已經錄制的歷史圖像列表,雙擊即可播放。

在監控客戶端上可以用圖形化方式顯示存儲計劃執行情況,正常錄制、沒有錄制、無需錄制等各種信息通過不同的顏色以柱狀圖的方式顯示出來,對正常錄制的部分雙擊即可播放。

選取到要回放的歷史圖像之后,通過iSCSI協議,從IP-SAN讀取錄制的歷史圖像,解碼后播放出來。

在視頻監控客戶端上,可以對回放進行正常播放、快速播放、慢速播放、逐幀播放、暫停抓拍、錄像下載等操作??梢鑰刂仆枷竦乃醴畔允?,分屏顯示和全屏顯示。

歷史圖像除了可以在視頻監控客戶端上播放,也可以通過解碼器在電視等顯示設備上播放,當兩者同時播放時,可以實現兩者的視頻同步。

圖像回放的過程中,只對解碼器和客戶端授予“讀”的權限,防止重要的錄像信息被惡意或無意的篡改。

歷史圖像回放界面

 

 

7.6.4.  報警管理

當應急救援指揮系統啟動布防時,一旦編碼器檢測到告警檢測裝置的開關量輸入,系統將有如下的報警聯動:

1).  圖像輸出到指定解碼器或視頻監控客戶端;

2).  系統按照預定義的方式使用視頻和音頻方式提醒管理員進行報警復核;

3).  觸發攝像頭打到預制位;

4).  觸發存儲和客戶端上的錄像、抓拍功能,同時記錄報警的地址、級別、類型、時間,處警的組織、結果、時間等信息;

5).  將告警信號通過鳳凰箝位電路輸出到告警終端,觸發專業報警器的生光報警;

6).  GIS地圖上以醒目的圖標顯示報警的攝像頭位置;

7).  將告警信息通過高級業務接口輸出給網管或其他業務系統,觸發更高層面的告警聯動,例如三臺合一系統、應急指揮調度系統、OA辦公系統等;

7.6.5.  用戶與權限管理

系統支持域管理

1)   最多7層,呈樹型組網,對應某一級行政區劃

2)   各種設備都歸屬在一個域下

3)   每個域可以有自己的管理員和操作員

用戶管理

1)   支持多級用戶管理,每個用戶有用戶名和密碼,通過MD5加密的方式到服務器上進行驗證,保證可靠性

2)   整個系統有一或多個系統管理員,對全網的用戶有配置權限,可選的對設備有操作權限。

3)   域管理員用戶,可以對域內的編解碼器、圖像采集和顯示設備進行增、刪、改、查,為云臺設置預置位,新增域和子域的新用戶

4)   普通用戶對攝像頭和顯示器的權限包括:查看配置信息,看實時監控,遠遙,看回放,下載錄像,配置輪切計劃;管理員可以指定某用戶對于某攝像頭或顯示器具有某種權限;為配置方便,也可以指定某用戶對于某域內的所有攝像頭或顯示器具有某種權限(權限的批量配置)。

5)   當某用戶需要臨時訪問非管轄區域內的歷史或實時圖像時,可以向管理員申請授權。

云臺控制沖突

1)   用戶對云臺的控制可分為9個優先級;

2)   同級或高級用戶可以搶奪控制權;

3)   用戶獲得控制權后,可以選擇鎖定。鎖定后不能再被搶奪。

7.6.6.  日志管理

整個系統的日志管理分為三類:系統運行日志、操作日志和告警日志

1)   系統運行日志包括:設備啟動、?;釷О?、配置不同步、故障和故障恢復等信息(設備ID、狀態變化、時間)

2)   系統操作日志包括:某用戶的登入、退出、對系統配置的修改、控制等;

3)   告警日志包括:溫度過高、視頻丟失報警、遮擋報警、運動檢測告警、外部告警、設備離線等;

4)   系統支持針對各種告警信息提供統計報表,基于報表,提供基于告警類型和告警時間等的查詢功能。

7.6.7.  輪切業務

輪切業務基于實時監控,是對多路實況進行輪流查看的業務。

首先通過視頻監控客戶端配置輪切計劃,確定被顯示的攝像頭列表,以及每個攝像頭的圖像在播放中需要逗留的時間。確定了輪切方案,在執行之前還需要為方案選擇一個顯示設備。

輪切方案被提交到視頻管理服務器之后,服務器通過SIP信令周期性的控制編解碼器,從而在監視設備上周期性的循環顯示各個攝像頭的實時監控信息。

7.6.8.  多畫面業務

視頻監控客戶端上,可以實現多畫面的顯示,多個畫面之間的操作相互獨立,比如:可以顯示多路實況,可以顯示多路回放,也可以部分畫面顯示實況、部分畫面顯示回放。視頻監控客戶端根據所配置的計算機性能的不同,可以支持4畫面、6畫面、9畫面等顯示方式,最多支持25分屏。(采用D1分辨率顯示,由于PC機的性能瓶頸,一般處理4~6畫面)

視頻監控客戶端的業務控制與媒體播放

7.7. 平安校園整體解決方案的特點

7.7.1.  高清晰的圖像質量

本監控方案采用最新的專業圖像技術,可提供FULL D1(720×576)高清晰圖像分辨率,支持H.264 MainProfile標準,編碼帶寬最高可達4M,尤其是在高動態圖像監控場合,可以為用戶提供廣播級的高清圖像質量,滿足XX學院的視頻監控的要求,同時可以。

7.7.2.  專業可靠的海量存儲

高可靠的數據存儲設備:具備專業級的高可靠性,RAID 5技術(磁盤熱備技術)確保重要數據不丟失。

高效的數據檢索技術和數據管理:直接采用塊方式進行視頻數據的讀寫,保證寫入、查詢、讀取等各種操作的高效,同時具備最佳的系統穩定性。

存儲資源利用率高:可動態調解IP SAN存儲資源,提高資源利用率,可實現存儲空間的運營;存儲空間可無限擴展,確保海量視頻信息的真實還原。

數據存儲管理上的安全保障:

基與 IP-SAN技術的NVR (Network Video Recorder):可實現分布部署也可實現集中部署。同時可實現集中管理。

可以在監控系統中任意布置存儲設備:在以較低的代價實現異地存儲。實現內防內控。

通過專利技術提高安全性并且不損失性能――視頻編碼設備直接寫入存儲方案:

編碼設備支持iSCSI協議,裸數據方式直接寫入盤陣。

裸數據同時支持windows文件系統和LINUX文件系統讀取,具備很好的兼容性。

管理服務器(DM)可通過特殊技術手段在數據寫入過程中實施監控數據寫入過程,可完成視頻數據實施刷新,和存儲裝態實施監控。

優點:存儲設備可以任意布置。特別是系統擴展,視頻編碼設備碼率變化后對系統壓力影響小。裸數據寫入,系統資源開銷少。

 

7.7.3.  智能便利的管理維護

將IP網管及業務控制平臺的技術應用至IP監控系統,徹底改變傳統監控只能依靠人工進行系統管理和維護的局面,實現編解碼、存儲、網絡傳輸和業務軟件(服務器)四大平臺的統一管理。支持分級分域的管理、靈活的用戶權限管理、自動的設備批量配置、全網設備的統一拓撲視圖、拓撲自動發現管理、全網設備狀態管理、故障自動告警及定位管理和GIS地圖功能。

對大量前端編碼器管理:管理平臺批量下發設備的配置;定期對設備配置進行巡檢,必要時可自動糾正設備配置;新加入的設備自動通知管理平臺

對圖像存儲管理:實時監視所有網絡存儲IP SAN設備工作狀態;動態分配存儲空間;禁止非法篡改以保證數據安全;控制訪問權限,日志保留所有訪問記錄確保圖像隱私不被非法獲取。

故障管理:故障發現并告警(告警燈、聲音、Email、短信),故障識別、定位、并且自動修復。

7.7.4.  電信級的設備高可靠性

采用電信級器件和制造工藝,充分滿足高風險等級場所的高可靠性監控需求。編碼器產品針對室外惡劣環境使用設計,溫度范圍廣,長時間工作范圍-0~65 ℃。防雷等級達到了正負4KV,沖擊電流3KA的通流量要求,靜電達到了正負8KV的要求,平均無故障間隔時間(MTBF) > 500,000小時,指標遠遠高于一般廠商產品。支持醇酸樹脂絕緣涂覆?;ぜ際?,達到防潮、防霉、防鹽霧侵蝕的1級戶外防護等級要求,提高產品的可靠性

7.7.5.  國際標準的高契合

設備控制信令完全符合IETF SIP標準(會話初始協議),SIP協議是公安部《城市監控報警聯網系統通用技術要求》推薦信令,可以方便的和其它多媒體系統互通。圖像編碼完全符合國際標準,包括H.264 BaseLine Profile和H.264 MainProfile,圖像格式標準化完全通過國際通行的第三方公司Tektronix測試儀器的嚴格測試。存儲技術完全符合國際iSCSI標準,充分支持端到端的網絡視頻IP SAN存儲。通過開放的API,業務生成和支持方式標準化。各項標準技術的采用可以最大程度的?;び沒У耐蹲?/u>。

8.   校園安全滲透網絡設計

在規劃XX學院網絡安全系統時,我們將遵循以下原則,以這些原則為基礎,提供完善的體系化的整體網絡安全解決方案:

l  體系化設計原則

通過分析信息網絡的網絡層次關系、安全需求要素以及動態的實施過程,提出科學的安全體系和安全模型,并根據安全體系和安全模型分析網絡中可能存在的各種安全風險,針對這些風險以動態實施過程為基礎,提出整體網絡安全解決方案,從而最大限度地解決可能存在的安全問題。

l  全局性、均衡性原則

安全解決方案的設計從全局出發,綜合考慮信息資產的價值、所面臨的安全風險,平衡兩者之間的關系,根據信息資產價值的大小和面臨風險的大小,采取不同強度的安全措施,提供具有最優的性能價格比的安全解決方案。

l  可行性、可靠性原則

在采用全面的網絡安全措施之后,應該不會對XX學院原有的網絡,以及運行在此網絡上的應用系統有大的影響,實現在保證網絡和應用系統正常運轉的前提下,有效的提高網絡及應用的安全強度,保證整個信息資產的安全。

l  可動態演進的原則

方案應該針對XX學院制定統一技術和管理方案,采取相同的技術路線,實現統一安全策略的制定,并能實現整個網絡從基本防御的網絡,向深度防御的網絡以及智能防御的網絡演進,形成一個閉環的動態演進網絡安全系統。

8.1.  核心交換機強大內置安全特性

逐包轉發機制防止病毒沖擊

S9500路由交換機是采用了逐包轉發的機制,它和傳統的流轉發機制在安全性方面有著更本的差異。流轉發主要存在下面兩個問題:(1)、在網絡拓撲頻繁變化時,設備的適應性差,轉發性能下降嚴重;(2)存在一定安全隱患問題,尤其在網絡遭受到類似紅色代碼這類病毒攻擊時問題尤為嚴重。

流轉發為一次路由多次交換,它的特點是一旦查找一次路由后,就把查找結果存放在CACHE里,以后同樣目的地址的包就不用重新查找,直接采用類似二層交換的技術,直接轉發到目的端口去。如果路由表項幾乎不變化,則可通過上面所述的硬件精確匹配的方式能夠很快的速度進行查表轉發。但是如果應用的情況為路由表項經常出現變更的情況,就會導致無法通過硬件的精確匹配的方式查找到路由,這時三層以太網交換機的就會轉為通過CPU軟件進行路由查找,查表和轉發速度就會急劇下降。這是工作基本上是處于靠CPU軟件進行路由的多次慢路由的情況。也就是說三層交換機在進行數據報文轉發時主要根據數據報文的五元組特征進行精確命中數據轉發,對于紅色代碼病毒攻擊時由于其病毒報文的端口號是頻繁進行變換,其五元組信息始終處于一個不停變換階段,這樣導致三層交換機CPU不停進行路由查找,由于這類報文另外一個特征就是短時間內產生大量報文,從而最終導致三層交換機CPU在轉發過程中癱機,同時這臺交換機下掛的三層交換機同樣接收到大量病毒報文,基于上述原因其CPU轉發引擎也將癱機。與此同時當上層交換機從轉發報文中緩解過來時而下層交換機又處于癱機中,這樣網絡路由必然就會出現較大振蕩,交換機轉發性能急劇下降,最終導致所有交換機癱機,整個網絡不可用。

對于采用網絡拓撲驅動的路由交換機而言由于采用逐包轉發,進行的是最大匹配方式路由查找,當數據報文端口號進行變換的情況下,對路由器轉發不造成影響,所以一旦遭受紅色代碼病毒攻擊時沒有任何問題。

8.2.  基層網絡安全

8.2.1.  端口+IPMAC地址的綁定:

用戶上網的安全性非常重要,H3C E100系列可以做到,端口+IP+MAC地址的綁定關系,H3C E100系列交換機可以支持基于MAC地址的802.1X認證,整機最多支持1K個下掛用戶的認證。MAC地址的綁定可以直接實現用戶對于邊緣用戶的管理,提高整個網絡的安全性、可維護性。如:每個用戶分配一個端口,并與該用戶主機的MAC、IP、VLAN等進行綁定,當用戶通過802.1X 客戶端認證通過以后用戶便可以實現MAC地址+端口+IP+用戶ID的綁定,這種方式具有很強的安全特性:防D.O.S的攻擊,防止用戶的MAC地址的欺騙,對于更改MAC地址的用戶(MAC地址欺騙的用戶)可以實現強制下線。

8.2.2.   接入層防Proxy的功能

考慮到學院用戶的技術性較強,在實際的應用的過程當中應當充分考慮到Proxy的使用,對于Proxy的防止,H3C公司E100系列交換機配合H3C公司的802.1X的客戶端,一旦檢測到用戶PC機上存在兩個活動的IP地址(不論是單網卡還是雙網卡),E100系列交換機將會下發指令將該用戶直接踢下線。

8.2.3.   MAC地址盜用的防止

在校園網的應用當中IP地址的盜用是最為經常的一種非法手段,用戶在認證通過以后將自己的MAC地址進行修改,然后在進行一些非法操作,網絡設計當中我們針對該問題,在接入層交換機上提供防止MAC地址盜用的功能,用戶在更改MAC地址后,E100系列交換機對于與綁定MAC地址不相符的用戶直接將下線,其下線功能是由E100系列交換機來實現的。

8.2.4.   防止對DHCP服務器的攻擊

使用DHCP Server動態分配IP地址會存在兩個問題:一是DHCP Server假冒,用戶將自己的計算機設置成DHCP Server后會與局方的DHCP Server沖突;二是用戶DHCP Smurf,用戶使用軟件變換自己的MAC地址,大量申請IP地址,很快將DHCP的地址池耗光。

H3C E100系列交換機可以支持多種禁止私設DHCP Server的方法。

Private VLAN

解決這個問題的方法之一是在桌面交換機上啟用Private VLAN的功能。但在很多環境中這個功能的使用存在局限,或者不會為了私設DHCP服務器的緣故去改造網絡。

訪問控制列表

對于有三層功能的交換機,可以用訪問列表來實現。

就是定義一個訪問列表,該訪問列表禁止source port67destination port68UDP報文通過。之后把這個訪問列表應用到各個物理端口上。當然往端口一個個去添加訪問控制組比較麻煩,可以結合interface range命令來減少命令的輸入量。

新的命令

因為它的全局意義,也為了突出該安全功能,建議有如下單條命令的配置:

service dhcp-offer deny [exclude interface interface-type interface-number ][ interface interface-type interface-numbert | none]

如果輸入不帶選項的命令no dhcp-offer,那么整臺交換機上連接的DHCP服務器都不能提供DHCP服務。

exclude interface interface-type interface-number :是指合法DHCP服務器或者DHCP relay所在的物理端口。除了該指定的物理端口以外,交換機會丟棄其他物理端口的in方向的DHCP OFFER報文。

interface interface-type interface-numbert | none:當明確知道私設DHCP服務器是在哪個物理端口上的時候,就可以選用這個選項。當然如果該物理端口下面僅僅下聯該私設DHCP服務器,那么可以直接disable該端口。該選項用于私設DHCP服務器和其他的合法主機一起通過一臺不可網管的或不支持關閉DHCP Offer功能的交換機上聯的情況。選擇none就是放開對dhcp-offer的控制。

8.2.5.   防止ARP的攻擊

隨著網絡規模的擴大和用戶數目的增多,網絡安全和管理越發顯出它的重要性。由于校園網用戶具有很強的專業背景,致使網絡黑客攻擊頻繁發生,地址盜用和用戶名仿冒等問題屢見不鮮。因此,ARP攻擊、地址仿冒、MAC地址攻擊、DHCP攻擊等問題不僅令網絡中心的老師頭痛不已,也對網絡的接入安全提出了新的挑戰。

ARP攻擊包括中間人攻擊(Man In The Middle)和仿冒網關兩種類型:

中間人攻擊:

按照 ARP 協議的原理,為了減少網絡上過多的 ARP 數據通信,一個主機,即使收到的 ARP 應答并非自己請求得到的,它也會將其插入到自己的 ARP 緩存表中,這樣,就造成了“ ARP 欺騙的可能。如果黑客想探聽同一網絡中兩臺主機之間的通信(即使是通過交換機相連),他會分別給這兩臺主機發送一個 ARP應答包,讓兩臺主機都認為對方的 MAC 地址是第三方的黑客所在的主機,這樣,雙方看似直接的通信連接,實際上都是通過黑客所在的主機間接進行的。黑客一方面得到了想要的通信內容,另一方面,只需要更改數據包中的一些信息,成功地做好轉發工作即可。在這種嗅探方式中,黑客所在主機是不需要設置網卡的混雜模式的,因為通信雙方的數據包在物理上都是發送給黑客所在的中轉主機的。

仿冒網關:

攻擊者冒充網關發送免費ARP,其它同一網絡內的用戶收到后,更新自己的ARP表項,后續,受攻擊用戶發往網關的流量都會發往攻擊者。此攻擊導致用戶無法正常和網關通信。而攻擊者可以憑借此攻擊而獨占上行帶寬。

DHCP的網絡環境中,使能DHCP Snooping功能,E100交換機會記錄用戶的IPMAC信息,形成IP+MAC+Port+VLAN的綁定記錄。E100交換機利用該綁定信息,可以判斷用戶發出的ARP報文是否合法。使能對指定VLAN內所有端口的ARP檢測功能,即對該VLAN內端口收到的ARP報文的源IP或源MAC進行檢測,只有符合綁定表項的ARP報文才允許轉發;如果端口接收的ARP報文的源IP或源MAC不在DHCP Snooping動態表項或DHCP Snooping靜態表項中,則ARP報文被丟棄。這樣就有效的防止了非法用戶的ARP攻擊。

8.3.  網絡層安全解決方案

8.3.1.      全面網絡基礎設施可靠性保證措施

首先,可取采取的措施為多種冗余備份能力,包括網絡線路的多層次冗余、網絡設備的多節點冗余、網絡設備自身組件的冗余,通過這些冗余能力,實現整個網絡全面的可靠性保證。網絡線路冗余主要包括如采用網狀或者盡量網狀連接來代替星形、樹形的連接結構,在XX學院的網絡改造建議方案中,我們設計了足夠的線路冗余能力。網絡設備多節點冗余主要是指在網絡中同一個設備節點部署雙機設備,通過雙機進行實現相互備份和負載均衡,在XX學院的網絡改造建議方案中,我們在關鍵的節點都進行了雙機配置。網絡設備可以采取的冗余配置措施主要包括冗余電源配置、冗余??榕渲?、冗余引擎配置等,基于H3C網絡設備豐富的冗余特性,可以有效的實現這些冗余配置模式。

其次,采取高安全性的網絡設備,網絡與安全的融合是未來網絡發展的必然趨勢,隨著網絡設備特性的不斷更新,H3C系列網絡設備自身具備的安全能力也在不斷加強。H3C系列網絡設備包括路由器、交換機,都統一采用H3C自主研發的Comware軟件平臺。

除了上述豐富的基本安全特性,H3C網絡設備具備非常豐富的動態安全特性,主要包括動態VLAN的下發和動態ACL的下發,H3C系列網絡設備不僅支持標準的802.1Q VLAN,而且提供端口隔離功能,只允許用戶端口與上行端口轉發報文,從而阻斷下掛各個用戶私有網絡之間的互相訪問,從鏈路層保障用戶轉發數據的安全;通過啟用802.1xWeb認證后下發動態VLANACL,實現用戶的動態隔離,保證用戶數據的隱私,杜絕內部攻擊,與其他安全防護設備進行聯動,構建全局的、立體的、動態安全防護體系。

最后,采取具備豐富的安全管理特性的網管系統,在網絡系統中,整個網絡的安全首先要確保網絡設備的安全:非授權用戶不能訪問任一臺服務器、路由器、交換機或防火墻等網絡設備,采用網絡管理系統是一種有效的解決方法,通過網絡管理管理系統提供的配置管理、性能管理、失效管理和安全管理功能,可以實現網絡設備安全有效的配置,為整個網絡系統提供安全運行的基石。

網關系統的基本功能描述如下:配置管理:主要包括設備監控、遠程控制、遠程維護、自動搜索等;性能管理:主要包括性能數據可視化、閾值設置和報警、性能分析和預測、性能策略支持等;失效管理:主要包括故障定位、故障報警、故障恢復等;安全管理:訪問認證和授權、網絡隔離、遠程訪問控制、應用訪問控制等。

8.3.2.      組合豐富的VLAN功能進行業務隔離

大部分網絡設備都可以提供對VLAN功能的完善的支持,通過VLAN的劃分,可以區分不同的業務,靈活的根據端口、MAC等進行VLAN的劃分,實現對各種業務的有效的隔離。

同時,通過各種特性VLAN的部署,可以更加靈活的實現網絡流量和業務的隔離,比如,通過PVLAN技術,可以實現同一個VLAN內部服務器之間相互訪問的隔離;通過動態VLAN的部署,可以實現用戶在任何位置接入網絡都能被隔離到自己所屬的VLAN中。

8.3.3.      配置防火墻和IPS進行網絡區域的隔離

防火墻是網絡層的核心防護措施,它可以對整個網絡進行網絡區域分割,提供基于IP地址和TCP/IP服務端口等的訪問控制;對常見的網絡攻擊方式,如拒絕服務攻擊(ping of death, land, syn flooding, ping flooding, tear drop, …)、端口掃描(port scanning)、IP欺騙(ip spoofing)、IP盜用等進行有效防護;并提供NAT地址轉換、流量限制、用戶認證、IPMAC綁定等安全增強措施。在XX學院中,可以在以下位置部署防火墻和IPS產品:

數據中心防火墻,IPS部署:

數據中心需要通過防火墻進行有效的隔離,網絡安全隔離一直是Internet技術發展的重要研究課題。以太網技術如何和安全隔離技術融合,提供給XXX學院用戶一個安全、可靠的網絡環境是以太網交換機在組網應用中一個常見的問題。為了能夠確保用戶的安全需求,并提供一體化的解決思路,在,可以根據用戶對于安全防護的考慮,將Secure VLAN技術融入到VLA技術中,可以實現對內網,DMZ多個區域的?;?,可以用于內網的VLAN跨區域?;?。

另外數據中心集中了大量的服務器,小型機和數據庫系統,他們是整個網絡的大腦,為網絡提供各種應用,對于數據中心服務器安全的保障方面H3C IPS提供的虛擬補丁功能可以提供用戶對各類操作系統的免安裝補丁服務,高性能的入侵防御系統能作為虛擬軟件補丁,?;ね韁猩形窗滄安茍?、具有漏洞的計算機免于遭受侵害。在惡意程序對預定目標進行攻擊時,虛擬補丁程序就會立即“現身”— 確定并阻擋發送來的惡意通訊。這種虛擬補丁程序之所以如此有效,是因為它采用了高精確的漏洞過濾器技術。這種專門設計的過濾器可應對最大范圍的攻擊和應對最大彈性的規避。

Cernet網絡接入防火墻部署:

如上圖所示,我們建議在縱網核心交換機與Cernet網路由器之間配置防火墻,防火墻與核心交換機以Cernet網路由器之間連接,保證系統的可靠性;

此防火墻的配置策略我們建議如下:

¨        配置防火墻防DOS/DDOS功能,對Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒絕服務攻擊進行防范,可以實現對各種拒絕服務攻擊的有效防范,保證網絡帶寬;

¨        配置防火墻全面攻擊防范能力,包括ARP欺騙攻擊的防范,提供ARP主動反向查詢、TCP報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能等,全面防范各種網絡層的攻擊行為;

¨        根據需要,配置IP/MAC綁定功能,對能夠識別MAC地址的主機進行鏈路層控制;

由上往下的訪問控制規則:

¨        建議在防火墻上設定嚴格的訪問控制規則,對實現XX學院網絡訪問下級網絡的嚴格控制,只有規則允許的IP地址或者用戶能夠訪問下級網絡中的指定的資源,以避免XX學院網絡可能會對下級網絡的攻擊、非授權訪問以及病毒的傳播;

由下往上的訪問控制規則:

¨        建議在防火墻上設定嚴格的訪問控制規則,對實現下級網絡訪問XX學院局域網的嚴格控制,只有規則允許的IP地址或者用戶能夠訪問XX學院局域網的指定的資源,以避免下級網絡中復雜的用戶可能會對XX學院網絡的攻擊、非授權訪問以及病毒的傳播;

l  其他可選策略:

¨        可以啟動防火墻身份認證功能,通過內置數據庫或者標準Radius屬性認證,實現對用戶身份認證后進行資源訪問的授權;

¨        根據需要,在兩臺防火墻上設置流量控制規則,實現對網絡流量的有效管理,有效的避免網絡帶寬的浪費和濫用,?;ね绱?;

¨        根據應用和管理的需要,設置有效工作時間段規則,實現基于時間的訪問控制,可以組合時間特性,實現更加靈活的訪問控制能力;

¨        在防火墻上進行設置告警策略,利用靈活多樣的告警響應手段(E-mail、日志、SNMP 陷阱等),實現攻擊行為的告警,有效監控網絡應用;

¨        啟動防火墻日志功能,利用防火墻的日志記錄能力,詳細完整的記錄日志和統計報表等資料,實現對網絡訪問行為的有效的記錄和統計分析;

Internet邊界防火墻部署:

 

XX學院網絡出口包括多個應用安全區域:基本可分為互連網出口區,對外服務區,內網區域,我們建議在核心交換機Internet路由器之間配置兩臺防火墻,兩臺防火墻與核心交換機以及Internet路由器之間采取全冗余連接,保證系統的可靠性,同時配置兩臺防火墻為雙機熱備方式,在實現安全控制的同時保證線路的可靠性;

此防火墻的配置策略我們建議如下:

1)   配置防火墻防DOS/DDOS功能,對Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒絕服務攻擊進行防范;

2)   配置防火墻全面安全防范能力,包括ARP欺騙攻擊的防范,提供ARP主動反向查詢、TCP報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能等;

3)   防火墻設置為默認拒絕工作方式,保證所有的數據包,如果沒有明確的規則允許通過,全部拒絕以保證安全;

由外往內的訪問控制規則:

4)   在防火墻上設置允許VPN協議數據包穿越防火墻,滿足移動用戶通過IPSec VPN和分支機構VPN網關訪問內網的需求;

5)   通過防火墻的訪問控制策略,拒絕任何來自Internet對內網的訪問數據,保證任何Internet數據都不能主動進入內部網,屏蔽所有來自Internet的攻擊行為;

由內往外的訪問控制規則:

6)   通過防火墻的訪問控制策略,對內部用戶訪問Internet進行基于IP地址的控制,初步實現控制內部用戶能否訪問Internet,能夠訪問什么樣的Inertnet資源;

7)   通過配置防火墻提供的IP/MAC地址綁定功能,以及身份認證功能,提供對內部用戶訪問Internet的更嚴格有效的控制能力,加強內部用戶訪問Internet控制能力;

8)   通過配置防火墻提供的SMTP郵件過濾功能和HTTP內容過濾,實現對用戶訪問Internet的細粒度的訪問控制能力,實現基本的用戶訪問Internet的行為管理;

防火墻是以網絡層為核心的防護措施,它可以對整個網絡進行網絡區域分割,提供基于IP地址和TCP/IP服務端口等的訪問控制;對常見的網絡攻擊方式,如拒絕服務攻擊(ping of death, land, syn flooding, ping flooding, tear drop, …)、端口掃描(port scanning)、IP欺騙(ip spoofing)、IP盜用等進行有效防護;并提供NAT地址轉換、流量限制、用戶認證、IPMAC綁定等安全增強措施。

IPS是一種主動式入侵防御系統,能夠及時阻止各種針對系統漏洞的攻擊,屏蔽蠕蟲、病毒和間諜軟件,防御DOSDDOS攻擊,阻斷或限制P2P應用,從而幫助IT部門完成應用系統、網絡基礎設施和系統性能?;さ墓丶撾?。IPS必須采用創新的硬件設計理念并結合先進的軟件特性,才能保證即使在打開成千上萬個攻擊過濾器時,仍然能夠支持線速的吞吐能力并保證微秒級的延時,不會成為網絡處理的瓶頸。IPS必須為客戶定制常見攻擊過濾器而且支持即插即用模式,用戶可以迅速將IPS部署在網絡中,大大降低了IT人員的工作量也為用戶爭取了防御攻擊的寶貴時間。針對零時差攻擊,IPS必須提供數字疫苗服務,能夠在攻擊發生之前,將新的疫苗快速部署在IPS中,這些新的攻擊過濾器實際起到了虛擬軟件補丁的作用,用戶不必為服務器打補丁就可以完成攻擊防御,從而實現了系統正常運行時間的最大化。

IPS是綜合性深層安全威脅防范系統,防火墻定位為網絡層隔離控制系統,因此在網絡邊界部署FWIPS,實現更完善的安全防御手段,FWIPS采用串聯網絡結構,FW隔離大量的非法數據流,然后通過IPS系統對細節報文以及隱藏在合法數據流內的非法報文進行篩選、隔離、過濾等操作。

8.3.4.      內網機密信息安全訪問解決方案

內網是一個完全獨立的網絡,因此數據在網絡平臺的傳輸過程相對比較安全,但是對于一些重要信息,尤其是一些機密信息,需要嚴格保證這些數據在傳輸過程中的安全。因此,雖然這些數據傳輸在一個相對獨立的內網,但是仍然存在被偵聽破解的可能,需要有合理有效的方式解決這個問題,我們建議采用基于VPN的解決方案,是一種非常安全而且靈活的解決方案。

移動業務VPN接入解決方案

方案拓撲圖:

使用產品:1.Inode VPN,2.USB-SecKEY,3.中心硬件VPN網關產品 SecPath1000F(同時支持IPSecSSL VPN,雙機熱備)。

適用環境:移動辦公SOHO,便攜筆記本。

方案實現:在便攜終端上安裝VPN軟件客戶端(SSL VPN方式可以免除軟件安裝)和USB KEY設備,便攜終端外接GPRS,CDMA-1X Modem通過移動撥號連接Internet與總部中心的VPN網關之間建立VPN隧道,完成移動辦公,使用SSL VPN方式可以免除客戶端軟件安裝。

方案優勢:

1)  SecPath安全網關可同時提供IPSecSSL兩種VPN接入方式,可以提供根據業務選擇不同的接入方式

2)  SSL VPN可以提供免安裝軟件接入,對于B/S模式的業務支持能力強,維護成本較低,但對于復雜業務的處理支持能力有限

3)  可以支持USB-SecKEY,RSA等多種硬件認證方法,保證移動終端接入的可靠性

4)  可通過H3C CAMS系統完成全網統一安全接入認證,可與用戶使用的LDAP,RADIUS,CA等認證方式兼容

5)  可以配合XLOG日志審計系統進行移動用戶VPN接入行為審計

6)  接入方式靈活,支持ADSL,GPRS,CDMA 1X,Modem等多種移動接入方案

8.4.  用戶層解決方案

8.4.1.      配置全面的網絡防病毒系統

網絡環境下的防病毒必須層層設防,逐層把關,堵住病毒傳播的各種可能途徑,為XX學院網絡系統提供一個穩定高效、技術一流、方便管理、服務周全的網絡病毒防護體系,網絡防病毒體系主要包括:

1)  網關防病毒:

Internet是現在病毒傳播的一個最主要的路徑,訪問Internet網站可能會感染蠕蟲病毒,從Internet下載軟件和數據可能會同時把病毒、黑客程序都帶進來,對外開放的WEB服務器也可能在接受來自Internet的訪問時被感染上病毒。因此需要在XX學院Internet接口處重點防范病毒的傳播。

2)  郵件防病毒:

郵件附件是當前網絡病毒傳播的一個重要途徑,因此要在郵件服務器上配置郵件防病毒軟件,檢查所有從郵件服務器發送和接收的郵件,特別是其郵件附件。另一方面,防范郵件病毒傳播要加強對用戶的安全教育,對于所有來源不明的郵件不要輕易打開,特別是其附帶的郵件附件。在打開郵件之前,最好打電話與發件人確認,因為很多郵件病毒是自動從通訊錄中查找收件人的。發送郵件時,最好不要使用復雜的格式,可以直接使用純文本格式,這樣郵件帶病毒傳播的機會就很小了。

3)  服務器防病毒:

對重要的服務器,配置服務器防病毒軟件,XX學院包含了大量復雜的應用系統,需要大量的不同平臺的服務器,我們建議對這些服務器分別安裝防病毒系統,加強這些重點服務器的病毒防范能力。

4)  主機防病毒:

網絡中的主要用戶使很多主機終端,因此必須為所有的單機,特別是一些處理關鍵業務的用戶機配置主機防病毒軟件。

5)  集中控管能力:

防病毒需要具有集中控管能力,對所有的防病毒產品??樘峁┮桓黽械墓芾砘?,監控各個防毒產品的防殺狀態,病毒碼及殺毒引擎的更新升級等,并在各個防毒產品上收集病毒防護情況的日志,并進行分析報告。

l  設備選型建議:

¨        我們建議選擇賽門鐵克或者趨勢的網絡防病毒解決方案;

8.4.2.      采取用戶端點準入防御解決方案

伴隨著信息化建設的快速發展,網絡系統已成為XX學院正常運行的基本保障系統,整個XX學院的運轉高度依賴著信息系統的運行。XX學院網絡作為XX學院信息系統運行的基礎平臺,其安全性、穩定性是XX學院信息系統正常運行的前提。但是,隨著XX學院網絡的日益復雜,XX學院網絡信息安全問題也日益突出。病毒泛濫、系統漏洞、黑客攻擊等諸多問題,已經直接影響XX學院網絡的穩定運行、威脅XX學院業務的正常運行。如何應對網絡安全威脅,確保XX學院信息系統的安全穩定運行,已經是必須關注的問題。

根據我們在前面進行的安全需求分析,我們認為較為完備的網絡系統端點安全解決方案應該滿足以下要求:

1、 實現基于用戶身份的網絡接入控制,保證網絡安全。在網絡層實現用戶接入控制,只有授權的用戶,才能接入網絡,有效阻斷非法接入網絡的用戶,保證網絡用戶身份的合法性。

2、 統一實現基于用戶身份的應用服務器接入控制,保證應用服務器安全。具體來說,就是對訪問XX學院網絡系統的用戶,由統一的訪問控制管理系統來管理訪問權限,而不僅僅依靠應用系統本身簡單的密碼控制來管理用戶的使用權限。

3、 實現服務器系統安全、用戶主機系統安全的強制管理,提供有效的技術手段,解決應用服務器、用戶主機補丁管理、病毒管理問題。對于未安裝系統補丁,未安裝防病毒軟件或病毒庫版本不合格的終端,嚴禁接入網絡;實現系統補丁的自動安裝、病毒庫的自動升級,保證網絡的清潔。

4、 實現網絡接入用戶的動態隔離能力。在用戶訪問網絡的過程中,一旦發現用戶處于不安全的狀態,可迅速隔離用戶終端,?;ふ鐾綺皇馨踩?。

H3C端點準入防御(EAD,Endpoint Admission Control)解決方案從網絡終端準入控制入手,整合網絡接入控制與終端安全產品,通過安全客戶端、安全策略服務器、網絡設備以及第三方軟件的聯動,對接入網絡的用戶終端強制實施安全策略,嚴格控制終端用戶的網絡使用行為,可以有效的滿足XX學院用戶接入安全控制的需求,保證XX學院網絡系統的安全運行。其基本原理如下圖所示:

方案功能特點

n  完備的安全狀態評估

用戶終端的安全狀態是指操作系統補丁、第三方軟件版本、病毒庫版本、是否感染病毒等反映終端防御能力的狀態信息。EAD通過對終端安全狀態進行評估,控制只有符合XXX學院安全標準的終端才能正常訪問網絡

n  實時的“危險”用戶隔離

系統補丁、病毒庫版本不及時更新或已感染病毒的用戶終端,如果不符合管理員設定的XXX學院安全策略,將被限制訪問權限,只能訪問病毒服務器、補丁服務器等用于系統修復的網絡資源。

n 基于角色的網絡服務

在用戶終端在通過病毒、補丁等安全信息檢查后,EAD可基于終端用戶的角色,向安全客戶端下發系統配置的安全策略,按照用戶角色權限規范用戶的網絡使用行為。終端用戶的ACL訪問策略、QoS策略、是否禁止使用代理、是否禁止使用雙網卡等安全措施設置均可由管理員統一管理,并實時應用實施。

n 可擴展的、開放的安全解決方案

EAD是一個可擴展的安全解決方案,對現有網絡設備和組網方式改造較小。在現有XXX學院網中,只需對網絡設備和第三方軟件進行簡單升級,即可實現接入控制和防病毒的聯動,達到端點準入控制的目的,有效?;び沒У耐繽蹲?。

EAD也是一個開放的解決方案。EAD系統中,安全策略服務器同網絡設備的交互、同第三方服務器的交互都基于開放的、標準的協議實現。在防病毒方面,目前EAD系統已金山、瑞星、江民等多家主流防病毒廠商的產品實現聯動。

n 靈活、方便的部署與維護

EAD方案部署靈活,維護方便,可以按照網絡管理員的要求區別對待不同身份的用戶,定制不同的安全檢查和隔離級別。EAD可以部署為監控模式(只記錄不合格的用戶終端,不進行修復提醒)、提醒模式(只做修復提醒,不進行網絡隔離)和隔離模式,以適應用戶對安全準入控制的不同要求。

方案四大組件

EAD系統由四部分組成,具體包括安全策略服務器、安全客戶端平臺、安全聯動設備和第三方服務器。

n  安全策略服務器

EAD方案中的管理與控制中心,是EAD解決方案的核心組成部分,實現用戶管理、安全策略管理、安全狀態評估、安全聯動控制以及安全事件審計等功能。H3C公司的CAMS產品實現了安全策略服務器的功能,該系統在全面管理網絡用戶信息的基礎上,支持多種網絡認證方式,支持針對用戶的安全策略設置,以標準協議與網絡設備聯動,實現對用戶接入行為的控制,同時,該系統可詳細記錄用戶上網信息和安全事件信息,審計用戶上網行為和安全事件。

n  安全客戶端平臺

是安裝在用戶終端系統上的軟件,該平臺可集成各種安全廠商的安全產品插件,對用戶終端進行身份認證、安全狀態評估以及實施網絡安全策略。

n  安全聯動設備

XXX學院網絡中安全策略的實施點,起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網絡服務的作用。CAMS綜合接入管理平臺作為安全策略服務器,提供標準的協議接口,支持同安全網關、交換機、路由器等各類網絡設備的安全聯動。

n  第三方服務器

為病毒服務器、補丁服務器等第三方網絡安全產品,通過安全策略的設置實施,第三方安全產品的功能集成至EAD解決方案中,實現安全產品功能的整合。

8.5.  業務層解決方案

8.5.1.     設備冗余及網絡存儲配置建議

業務系統的可靠性和可用性是網絡安全的一個很重要的特性,可靠性與可用性的重要基礎是各種設備的冗余配置,下面我們對業務系統的涉及到的設備(主要是服務器和存儲系統)進行分析,并給出建議性的配置方案,主要包括:

服務器可以采用的冗余配置主要包括冗余電源、冗余CPU、冗余網卡等重要的配件的冗余配置,對于核心服務器可以采用雙機熱備措施來保證服務的不間斷性,現在有很成熟的系統支持這種應用模式。

存儲系統的冗余配置是最重要的,因為數據安全才是整個安全系統的根本目的,數據的可靠性和可用性是數據安全的根本。存儲系統主要的冗余配置模式是磁盤陣列系統,現在磁盤陣列技術已經發展得很完善了,各種現有的存儲設備對磁盤陣列的技術的支持也已經完善了,另外在磁盤陣列的基礎上發展起來的網絡存儲系統(SAN、SNA),提供了更高的存儲性能和可靠性。

8.5.2.     漏洞掃描及安全評估系統的配置

為了事先發現網絡中各種操作系統和應用平臺的安全性,可以采用漏洞掃描系統對重要的服務器先進行掃描,以發現系統中可能存在的安全漏洞和安全薄弱環節,通過漏洞掃描系統可以解決我們前面分析的操作系統以及服務平臺的安全隱患。

漏洞掃描系統在網絡當中并不是一個實時啟動的系統,只需要定期掛接到網絡中,對當前網段上的重點服務器(如WEB服務器、郵件服務器、DNS服務器、主域服務器等)以及主機進行一次掃描,即可得到當前系統中存在的各種安全漏洞,并會針對性地提出補救措施。

8.5.3.      應用系統開發中加強安全機制

我們建議XX學院在應用系統開發時,要在應用程序中加強對程序代碼的控制,提高應用系統自身的安全性,在開發應用系統時,有以下幾個方面要特別注意:

1)  要加強對輸入的判斷,除了在瀏覽器端要進行簡單的判斷之外,更主要的是要在服務器端做相應的判斷:一要檢查輸入值的長度和大??;二要檢查輸入值中是否帶有非法字符,特別是在WEB應用中的單引號和一些控制字符。

2)  在調用數據庫資源時,要使用類似ODBC的接口,不要把數據庫對象、對數據庫具有操作權限的用戶名、帳號等信息泄漏在WEB CGI程序中。

3)  很多數據庫在安裝之后會有一個缺省的管理員帳號,且其口令一般為空或是通用口令,數據庫管理員要及時更改這些帳號,并且設置高強度的口令字。

4)  WEB服務器上,要檢查每一個目錄、文件上的權限是否合適,如是否可以列表、讀取、執行等,源程序或腳本是否可下載等。

8.6. 無線網絡安全

無線局域網(WLAN)具有安裝便捷、使用靈活、經濟節約、易于擴展等有線網絡無法比擬的優點,在有線網絡已經基本普及的校園,無線校園網無疑是下一個網絡建設周期的重點。但是由于無線局域網開放訪問的特點,使得攻擊者能夠很容易的進行竊聽,惡意修改并轉發,因此安全性成為阻礙無線局域網發展的最重要因素。校園用戶大多容易接受新鮮事物,雖然一方面對無線校園網的需求不斷增長,但同時也讓許多潛在的用戶對不能夠得到可靠的安全?;ざ宰鈧帳欠袷褂夢尷呔鐘蟯淘ゲ瘓?。

目前有很多種無線局域網的安全技術,包括物理地址(MAC)過濾、服務集標識符(SSID)匹配、有線對等保密(WEP)、端口訪問控制技術(IEEE802.1x)、WPA Wi-Fi Protected Access)、IEEE 802.11i等。面對如此多的安全技術,應該選擇哪些技術來解決無線局域網的安全問題,才能滿足用戶對安全性的要求。

1、無線局域網的安全威脅

利用WLAN進行通信必須具有較高的通信保密能力。對于現有的WLAN產品,它的安全隱患主要有以下幾點:

未經授權使用網絡服務

由于無線局域網的開放式訪問方式,非法用戶可以未經授權而擅自使用網絡資源,不僅會占用寶貴的無線信道資源,增加帶寬費用,還會降低合法用戶的服務質量。

地址欺騙和會話攔截

在無線環境中,非法用戶通過偵聽等手段獲得網絡中合法站點的MAC地址比有線環境中要容易得多,這些合法的MAC地址可以被用來進行惡意攻擊。

另外,由于IEEE802.11沒有對AP身份進行認證,攻擊者很容易裝扮成合法AP進入網絡,并進一步獲取合法用戶的鑒別身份信息,通過會話攔截實現網絡入侵。

高級入侵

一旦攻擊者侵入無線網絡,它將成為進一步入侵其他系統的起點。多數學校部署的WLAN都在防火墻之后,這樣WLAN的安全隱患就會成為整個安全系統的漏洞,只要攻破無線網絡,整個網絡就將暴露在非法用戶面前。

2、基本的無線局域網安全技術

通常網絡的安全性主要體現在訪問控制和數據加密兩個方面。訪問控制保證敏感數據只能由授權用戶進行訪問,而數據加密則保證發送的數據只能被所期望的用戶所接收和理解。

下面對在無線局域網中常用的安全技術進行簡介。

物理地址(MAC)過濾

每個無線客戶端網卡都由唯一的48位物理地址(MAC)標識,可在AP中手工維護一組允許訪問的MAC地址列表,實現物理地址過濾。這種方法的效率會隨著終端數目的增加而降低,而且非法用戶通過網絡偵聽就可獲得合法的MAC地址表,而MAC地址并不難修改,因而非法用戶完全可以盜用合法用戶的MAC地址來非法接入。

 

1 MAC地址過濾

 服務集標識符 ( SSID ) 匹配

無線客戶端必須設置與無線訪問點AP相同的SSID,才能訪問AP;如果出示的SSIDAPSSID不同,那么AP將拒絕它通過本服務集上網。利用SSID設置,可以很好地進行用戶群體分組,避免任意漫游帶來的安全和訪問性能的問題??梢醞ü柚靡亟尤氳悖?/span>AP)及SSID的權限控制來達到保密的目的,因此可以認為SSID是一個簡單的口令,通過提供口令認證機制,實現一定的安全。

 

服務集標識匹配

有線對等保密(WEP

 IEEE802.11中,定義了WEP來對無線傳送的數據進行加密,WEP的核心是采用的RC4算法。在標準中,加密密鑰長度有64位和128位兩種。其中有24BitIV是由系統產生的,需要在APStation上配置的密鑰就只有40位或104位。

WEP加密原理圖如下:

 

3 WEP加密原理圖

1、AP先產生一個IV,將其同密鑰串接(IV在前)作為WEP Seed,采用RC4算法生成和待加密數據等長(長度為MPDU長度加上ICV的長度)的密鑰序列;

2、計算待加密的MPDU數據校驗值ICV,將其串接在MPDU之后;

3、將上述兩步的結果按位異或生成加密數據;

4、加密數據前面有四個字節,存放IVKey ID,IV占前三個字節,Key ID在第四字節的高兩位,其余的位置0;如果使用Key-mapping Key,則Key ID0,如果使用Default Key,則Key ID為密鑰索引(03其中之一)。

端口訪問控制技術(IEEE802.1x)和可擴展認證協議(EAP

IEEE802.1x 并不是專為WLAN設計的。它是一種基于端口的訪問控制技術。  

該技術也是用于無線局域網的一種增強網絡安全解決方案。當無線工作站STA與無線訪問點AP關聯后,是否可以使用AP的服務要取決于802.1x的認證結果。如果認證通過,則APSTA打開這個邏輯端口,否則不允許用戶連接網絡。  

 

4 802.1x端口控制

 

在具有802.1x認證功能的無線網絡系統中,當一個WLAN用戶需要對網絡資源進行訪問之前必須先要完成以下的認證過程。

1.當用戶有網絡連接需求時打開802.1x客戶端程序,輸入已經申請、登記過的用戶名和口令,發起連接請求。此時,客戶端程序將發出請求認證的報文給AP,開始啟動一次認證過程。

2.AP收到請求認證的數據幀后,將發出一個請求幀要求用戶的客戶端程序將輸入的用戶名送上來。

3.客戶端程序響應AP發出的請求,將用戶名信息通過數據幀送給AP。AP將客戶端送上來的數據幀經過封包處理后送給認證服務器進行處理。

4.認證服務器收到AP轉發上來的用戶名信息后,將該信息與數據庫中的用戶名表相比對,找到該用戶名對應的口令信息,用隨機生成的一個加密字對它進行加密處理,同時也將此加密字傳送給AP,由AP傳給客戶端程序。

5.客戶端程序收到由AP傳來的加密字后,用該加密字對口令部分進行加密處理(此種加密算法通常是不可逆的),并通過AP傳給認證服務器。

6.認證服務器將送上來的加密后的口令信息和其自己經過加密運算后的口令信息進行對比,如果相同,則認為該用戶為合法用戶,反饋認證通過的消息,并向AP發出打開端口的指令,允許用戶的業務流通過端口訪問網絡。否則,反饋認證失敗的消息,并保持AP端口的關閉狀態,只允許認證信息數據通過而不允許業務數據通過。

WPA (Wi-Fi Protected Access)

WPA = 802.1x + EAP + TKIP + MIC

  IEEE 802.11i 標準最終確定前, WPA標準是代替WEP的無線安全標準協議,為 IEEE 802.11無線局域網提供更強大的安全性能。WPAIEEE802.11i的一個子集,其核心就是IEEE802.1xTKIP。

   802.11中幾乎形同虛設的認證階段,到了WPA中變得尤為重要起來,它要求用戶必須提供某種形式的證據來證明它是合法用戶,并擁有對某些網絡資源的訪問權,并且是強制性的。

WPA的認證分為兩種:第一種采用802.1x+EAP的方式,用戶提供認證所需的憑證,如用戶名密碼,通過特定的用戶認證服務器(一般是RADIUS服務器)來實現。在大型網絡中,通常采用這種方式。但是對于一些中小型的網絡或者個別用戶,架設一臺專用的認證服務器未免代價過于昂貴,維護也很復雜,因此WPA也提供一種簡化的模式,它不需要專門的認證服務器,這種模式叫做WPA預共享密鑰(WPA-PSK),僅要求在每個WLAN節點(AP、無線路由器、網卡等)預先輸入一個密鑰即可實現。只要密鑰吻合,客戶就可以獲得WLAN的訪問權。由于這個密鑰僅僅用于認證過程,而不用于加密過程,因此不會導致諸如使用WEP密鑰來進行802.11共享認證那樣嚴重的安全問題。

  WPA采用TKIP為加密引入了新的機制,它使用一種密鑰構架和管理方法,通過由認證服務器動態生成分發的密鑰來取代單個靜態密鑰、把密鑰首部長度從24位增加到48位等方法增強安全性。而且,TKIP利用了802.1x/EAP構架。認證服務器在接受了用戶身份后,使用802.1x產生一個唯一的主密鑰處理會話。然后,TKIP把這個密鑰通過安全通道分發到AP和客戶端,并建立起一個密鑰構架和管理系統,使用主密鑰為用戶會話動態產生一個唯一的數據加密密鑰,來加密每一個無線通信數據報文。TKIP的密鑰構架使WEP靜態單一的密鑰變成了500萬億可用密鑰。雖然WPA采用的還是和WEP一樣的RC4加密算法,但其動態密鑰的特性很難被攻破。

消息完整性校驗(MIC),是為了防止攻擊者從中間截獲數據報文、篡改后重發而設置的。除了和802.11一樣繼續保留對每個數據分段(MPDU)進行CRC校驗外,WPA802.11的每個數據分組(MSDU)都增加了一個8個字節的消息完整性校驗值,這和802.11對每個數據分段(MPDU)進行ICV校驗的目的不同。ICV的目的是為了保證數據在傳輸途中不會因為噪聲等物理因素導致報文出錯,因此采用相對簡單高效的CRC算法,但是黑客可以通過修改ICV值來使之和被篡改過的報文相吻合,可以說沒有任何安全的功能。而WPA中的MIC則是為了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性。當MIC發生錯誤的時候,數據很可能已經被篡改,系統很可能正在受到攻擊。此時,WPA還會采取一系列的對策,比如立刻更換組密鑰、暫?;疃?/span>60秒等,來阻止黑客的攻擊。

IEEE 802.11i

    為了進一步加強無線網絡的安全性和保證不同廠家之間無線安全技術的兼容, IEEE802.11工作組開發了作為新的安全標準的IEEE802.11i,并且致力于從長遠角度考慮解決IEEE 802.11無線局域網的安全問題。IEEE 802.11i 標準中主要包含加密技術:TKIP (Temporal Key Integrity Protocol) AESAdvanced Encryption Standard),以及認證協議:IEEE802.1x 。IEEE 802.11i標準已在2004624美國新澤西的IEEE標準會議上正式獲得批準。

       802.11i  WPA 相比增加了一些特性:

       AES: 更好的加密算法,但是無法與原有的802.11架構兼容,需要硬件升級。

       CCMP and WARP:  AES 為基礎。

       IBSS: 802.11i 解決IBSS (Independent Basic Service Set), WPA 主要處理ESS(Extended Service Set

       Preauthentication:用于用戶在不同的 BSSBasic Service Set)間漫游時,減少重新連接的時間延遲。

3、H3C無線校園網的安全策略

       針對目前無線校園網應用中的種種安全隱患,H3C的無線局域網產品體系能夠提供強有力的安全特性,除了傳統無線局域網中的安全策略之外,還能夠提供更加精細的管理措施:

可靠的加密和認證、設備管理

能夠支持目前802.11小組所提出的全部加密方式,包括高級WPA 256位加密(AES),40/64位、128位和152WEP共享密鑰加密,WPA TKIP,特有的128位動態安全鏈路加密,動態會話密鑰管理。

802.1x 認證使用802.1x RADIUS認證和MAC地址聯合認證,確保只有合法用戶和客戶端設備才可訪問網絡;WPA TKIP認證采用EAP-MD5,EAP-TLSPEAP協議,擴展的證書認證功能更加保證用戶身份的嚴格鑒定。

支持通過本地控制臺或通過SSLHTTPS集中管理Web瀏覽器;通過本地控制臺或通過SSH v2Telnet遠程管理的命令行界面;并可通過無線局域網管理系統進行集中管理。

用戶和組安全配置

和傳統的無線局域網安全措施一樣,H3C無線網絡可以依靠物理地址(MAC)過濾、服務集標識符(SSID)匹配、訪問控制列表(ACL)來提供對無線客戶端的初始過濾,只允許指定的無線終端可以連接AP。

同時,傳統無線網絡也存在它的不足之處。首先,它的安全策略依賴于連接到某個網絡位置的設備上的特定端口,對物理端口和設備的依賴是網絡工程的基礎。例如,子網、ACL 以及服務等級(CoS)在路由器和交換機的端口上定義,需要通過臺式機的MAC地址來管理用戶的連接。H3C采用基于身份的組網功能,可提供增強的用戶和組的安全策略,針對特殊要求創建虛擬專用組(Vertual Private Group),VLAN不再需要通過物理連接或端口來實施,而是根據用戶和組名來區分權限。

并且,H3C無線網絡可以對無線局域網進行前所未有的控制和觀察,監視工具甚至可以跟蹤深入到個人的信息(無論他的位置在哪里),網絡標識基于用戶而不是基于物理端口或位置。

其次,H3C無線網絡簡化了SSID支持,不再需要多個SSID來支持漫游和授權策略;單個SSID足以支持漫游、跨子網漫游或包括VLAN或子網成員資格的授權策略。

大量的可配置監視工具用于收集用戶數據(例如位置、訪問控制和安全設置)和識別用戶身份。此外,使用H3C虛擬專用組(Vertual Private Group)管理器功能,可以為用戶和組分配特定的安全和訪問策略,從而獲得最大的靈活性,同時增強網絡安全性并顯著縮短管理時間。用戶不僅可更改單個用戶設置,還可以只通過簡單的幾次擊鍵操作即可從中央管理控制臺方便地配置相似的用戶組、AP組,而不必逐個配置AP。

非法接入檢測和隔離

H3C無線網絡可自動執行的AP射頻掃描功能通過標識可去除非法AP,使管理員能更好地查看網絡狀況,提高對網絡的能見度。非法AP通過引入更多的流量來降低網絡性能,通過嘗試獲取數據或用戶名來危及網絡安全或者欺騙網絡以生成有害的垃圾郵件、病毒或蠕蟲。任何網絡中都可能存在非法AP,但是網絡規模越大就越容易受到攻擊。

為了消除這種威脅,可以指定某些AP充當射頻“衛士”,其方法是掃描無線局域網來查找非法AP位置,記錄這些位置信息并采取措施以及為這些位置重新分配信道以使網絡處于連接狀態并正常運行。AP射頻掃描程序還會檢測并調整引起射頻干擾的其他來源,例如微波爐和無繩電話。

并且,射頻監測配合基于用戶身份的組網,不但可使用戶在漫游時具有諸如虛擬專用組成員資格、訪問控制列表 (ACL)、認證、漫游策略和歷史、位置跟蹤、帶寬使用以及其他授權等內容,還可告知管理人員哪些用戶已連接、他們位于何處、他們曾經位于何處、他們正在使用哪些服務以及他們曾經使用過哪些服務。

監視和告警

H3C無線網絡體系提供了實時操作信息,可以快速檢測到問題,提高網絡的安全性并優化網絡,甚至還可以定位用戶。網絡管理應用程序針對當今的動態業務而設計,它提供了配置更改的自動告警功能。向導界面提供了即時提示,從而使得管理員能夠快速針對沖突做出更改。

通過使用軟件的移動配置文件功能,管理者可以在用戶或用戶組漫游整個無線局域網時控制其訪問資源的位置。此外,位置策略能夠根據用戶的位置來阻止或允許對特殊應用程序的訪問。

針對校園應用的安全解決方案

  從校園用戶角度而言,隨著無線網絡應用的推進,管理員需要更加注重無線網絡安全的問題,針對不同的用戶需求,H3C提出一系列不同級別的無線安全技術策略,從傳統的WEP加密到IEEE 802.11i,從MAC地址過濾到IEEE 802.1x安全認證技術,可分別滿足辦公室局部用戶、園區網絡、辦公網絡等不同級別的安全需求。

對于辦公室局部無線用戶而言,無線覆蓋范圍較小,接入用戶數量也比較少,沒有專業的管理人員,對網絡安全性的要求相對較低。通常情況下不會配備專用的認證服務器,這種情況下,可直接采用AP進行認證,WPA-PSK+AP隱藏可以保證基本的安全級別。

  在學校園區無線網絡環境中,考慮到網絡覆蓋范圍以及終端用戶數量,AP和無線網卡的數量必將大大增加,同時由于使用的用戶較多, 安全隱患也相應增加,此時簡單的WPA-PSK已經不能滿足此類用戶的需求。如表中所示的中級安全方案使用支持IEEE 802.1x認證技術的AP作為無線網絡的安全核心,使用H3C虛擬專用組(Vertual Private Group)管理器功能并通過后臺的Radius服務器進行用戶身份驗證,有效地阻止未經授權的用戶接入,并可對用戶權限進行區分。

  如果應用無線網絡構建校園的辦公網絡,此時無線網絡上承載的是工作業務信息,其安全保密性要求較高,因此用戶認證問題就顯得更加重要。如果不能準確可靠地進行用戶認證,就有可能造成帳號盜用、非法入侵的問題,對于無線業務網絡來說是不可以接受的。下表中的專業級解決方案可以較好地滿足用戶需求,通過H3C虛擬專用組(VPG)管理器功能、IEEE802.11i加密、Radius的用戶認證確保高安全性。

 

安全級別       典型場合       使用技術

初級安全       辦公室局部無線用戶    WPA-PSKAP隱藏

中級安全       學校園區無線網    IEEE802.1x認證+TKIP加密+VPG管理

專業級安全    無線校園辦公網    VPG管理+IEEE802.11iRadius認證


9.        方案特性總結

IToIP數字化校園解決方案核心特性

方案

方案???span lang="EN-US">

一級特性

二級特性

特性描述

IP校園網絡平臺

網絡結構優化

核心網絡優化

RRPP

核心網可靠性、可用性的保障,低成本,快速收斂。滿足教學、辦公、一卡通等關鍵業務高可用性要求

GR

核心網控制軟件重啟或者重新加載成功后,周邊設備由于鄰居關系的短暫中斷而觸發路由計算,GR防止由此造成網絡上的路由振蕩以及轉發中斷問題

10GE

針對學校復雜組網環境,提供全線速、高密度的萬兆解決方案

接入網優化

二層半接入

對用戶接入的有效控制,符合策略的終端才能接入網絡

千兆到桌面

低成本高速率桌面接入,適用教學科研部門、服務器群的接入

三層接入

降低核心設備壓力,優化廣播域分布

網絡業務拓展

IPv6業務拓展

WLAN IPv6

H3CAP解決方案支持IPv6

分布式IPv6

用戶需要高性能的雙棧核心設備,IPv6業務發展后不允許集中式IPv6方案

IPv6邊緣擴展

校園接入網絡存在用戶對IPv6網絡統一管理的趨勢,?;ね蹲?;

通過最權威的測試機構鑒定

信產部IPv6入網證(國家準入許可)、TOLLY測試等第三方認證(國際權威測評)、IPv6 Ready phase-2金色認證(被教育行業普遍接受的認證標準)

IPv6商用經驗

CNGI骨干網建設經驗、廣泛的中國IPv6校園網建設經驗

WLAN業務拓展

有線無線統一管理

統一認證計費管理:老師不希望用戶有線一套帳號,無線又一套帳號,不能統一計費管理

PoE管理:大規模無線高密度覆蓋,必須靠電信級PoE交換機完成供電,且通過PoE供電設備隨時可以完成故障AP的遠程重啟

有線無線統一QoS:滿足VoWLAN等跨越有線網、無線網需要實現端到端服務質量保障的應用需求。H3C可以良好支撐端到端統一QoS策略部署。

統一網管:老師不希望采用兩套管理系統,管理系統集成專業的無線管理部件

IPv6

支持IPv6環境(AP與無線交換機互聯基于IPv6的隧道):有線網IPv6已經是教育用戶必須技術,無線網IPv6是必然趨勢。如果不支持IPv6勢必造成將來改造成本再投入。

IPv6 ACL:無線網實現IPv6,訪問控制必須支持

IPv6組播:IPv6組播往往是校園IPv6業務的支撐技術

智能負載均衡

用戶級負載均衡:學校用戶數量多,密集,當一臺AP承載過多用戶時,需要均衡到其他AP,保證使用效果的最佳

AP級負載均衡:有多臺無線交換機時,AP均衡的向交換機進行注冊,有利于使用效果

自適應無線環境調整

信道自動調整:當AP變化時會導致信道重疊,自動調整信道將會大幅降低老師管理工作量

功率自動調整:當AP變化時會導致功率互相影響,自動調整信道將會大幅降低老師管理工作量

校園安全滲透防御

網絡出口防御

攻擊防護

全面病毒防御:通過報文深度檢查、識別應用層信息、協議命令入侵檢測和阻斷、蠕蟲病毒防護以及高級的數據包驗證機制機制,可以控制如各種蠕蟲網絡攻擊、各種木馬進程和各種垃圾郵件掃描,并且阻斷來自內部的數據攻擊以及垃圾數據流的泛濫

針對校園網中的重要服務器(WWW/FTP/DNS等)的DoS/DDoS攻擊

邊界訪問控制

支持多種VPN,包括IPSec,SSLVPN,方便遠程用戶接入

BT限流

P2P流量檢測和應用層過濾

核心網安全防御

數據傳送層面安全

URPF(單播反向路徑查找)檢查:單播反向路徑查找功能有效防止基于源地址欺騙的網絡攻擊行為

地址掃描攻擊防護:地址掃描攻擊會造成校園網絡核心設備較多的CPU和內存資源,可能引起網絡中斷。

DoS/DDoS攻擊防護:DoS與分布式DoS會造成學校關鍵服務器的無法訪問,使學校業務中斷

自反ACLRACL):通過動態ACL,有效防止來自校園網外部的攻擊。

控制信令層面的安全

ARP協議攻擊防護:通過核心設備對ARP攻擊的識別檢測,對攻擊源的自動屏蔽,防止ARP攻擊跨越骨干網造成全網范圍的影響。

TC/TCN攻擊防護:網絡中TC或者TCN報文很多,頻繁刪除MAC地址表和ARP表項,會導致二層轉發報文在VLAN內廣播,三層轉發報文出現丟包,也會影響業務正常運行。H3C核心設備可以抑制TC/TCN攻擊

路由協議攻擊防:路由協議攻擊是指向不進行路由認證的路由器發送錯誤的路由更新報文,使路由表中出現錯誤的路由,嚴重的情況可以造成網絡癱瘓,高明的攻擊者可以用來進行更深層次的攻擊實施。H3C核心設備路由協議認證技術可以杜絕此類攻擊在校園網發生。

設備管理層面的安全

管理用戶分級分權:對用戶密碼采用加密算法進行保存,并限制一次連接登錄不成功的次數來防止口令被窮舉得到,并在設備上設置警示性的登錄提示。多級用戶管理有助于分擔網管中心老師的工作壓力。

支持安全的遠程管理:通過使用SSH協議進行設備管理,可以保證遠程管理的安全性。老師亦可在家中、外地最高效率的解決網絡配置與故障處理的問題。

SFTP服務:使得網管老師可以從遠端安全的登入交換機設備進行文件管理,這樣使遠程系統升級等需要進行文件傳送的地方,增加了數據傳輸的安全性。

接入安全控制

ARP攻擊防御

ARP DETECTION:解決MITM(Man-In-The-Middle)攻擊和仿冒網關對校園網的影響

mac地址攻擊防御

Port Security:解決MAC地址攻擊對校園網的影響

dhcp攻擊防御

DHCP snooping :解決學生私設DHCP干擾合法用戶的上網影響

地址仿冒抑制

IP SOURCE CHECK:解決學生私自修改本機地址對校園網的影響

校園數據服務中心

多服務器集中存儲解決方案

支持iSCSI技術

基于IP技術構建集中存儲環境,管理和維護簡單方便

接入成本低廉

采用以太網卡和IP SAN交換機的接入成本遠遠低于FC SAN

高擴展性

由于采用了全交換的體系結構,所以控制器、磁盤柜、交換容量可以靈活擴充,滿足業務發展的需求。實現存儲設備的性能和容量的在線線性擴展

高可靠

硬盤順序上下電、斷路?;?、榮譽的電源和電信級的UPS確保設備穩定運行

認證

我司產品通過了FCC/CE/UL/TUV/3C的認證,確保產品設計和生產品質。

D2D備份解決方案

快速的備份和恢復

磁盤的備份性能是磁帶設備性能的5-10倍,滿足用戶縮短備份窗口,加快備份和恢復速度的需求

采用RAID技術

備份在磁盤上的數據受到RAID?;?,提高備份數據的可靠性和可用性

LANFREE方式備份

不占用用業務網絡的帶寬

采用ISCSI技術搭建存儲環境

擴容方便,管理簡便、維護成本低

CDP解決方案

基于磁盤的復制技術

不占用服務器的資源

連續的復制技術

數據?;さ募涓粑尷扌?,確保最小的數據損失量核數據的快速恢復

TIMEMARK/TIMEVIEW

實現一定間隔下的各個版本數據保存,解決各種人為誤操作等軟錯誤

近線存儲設備

當在線存儲設備出現硬件故障時,能夠快速恢復

虛擬化存儲

整合異構存儲,可以在用戶現有設備上完成部署,?;ね蹲?span lang="EN-US">

遠程災難備份/恢復解決方案

虛擬化存儲

整合異構存儲,可以在用戶現有設備上完成部署,?;ね蹲?,并且消除品牌鎖定

基于IP的傳輸方式

充分利用現有網絡資源,不需要額外的傳輸設備

提供加密壓縮功能

提高網絡利用率,加強傳輸數據的安全

TIMEMARK/TIMEVIEW

實現一定間隔下的各個版本數據保存,解決各種人為誤操作等軟錯誤

基于磁盤的復制技術

不占用服務器的資源

WINDWOS?;?span lang="EN-US">/恢復解決方案

實現操作系統、應用環境的備份

能夠一次操作,全面恢復操作系統和應用環境

提供iSCSI hba卡的遠程啟動

實現應用系統的快速恢復

校園媒體服務中心

平安校園

校園安全監控

先進的體系架構

采用NGN架構,清晰劃分網絡、存儲、視頻、信令四大層次,采用開放架構,允許不同子??槎懶⒀萁⒄?,同時可以?;ぱR延械募囁叵低懲蹲?。通過視頻/控制網關接入到IP監控系統來。

專業可靠存儲

1、不論前端存儲還是后端統一存儲,都支持RAID,保證高可靠存儲?;?span lang="EN-US">IP架構存儲,支持IP SANNAS滿足學校不同情況下需求。尤其是分校區情況,可以在各分校各自存儲,主校區可以進行遠程觀看,重要地方進行遠程備份。

2、海量存儲,可以進行堆疊升級,滿足學校越來越大規模的攝像頭存儲需求,

EPON接入

采用無源光網絡(EPON),支持單芯最大支持128個編碼器進行樹狀連接,節省光纖資源,布線簡單。

分級分域管理

可以滿足分校區的保衛處只管理本校區的攝像頭,同時主校區保衛處可以管理所有攝像頭圖像。

視頻服務

視頻會議

多校區辦公會議

不同校區之間進行遠程會議,節省時間、交通成本;

支持多組會議

支持多個遠程教學和學校辦公會議同時召開,滿足幾個不同課堂同時開課和辦公會議同時進行的需求

遠程教學

H.239雙流

可以利用雙流技術把老師講課畫面、課件(PPT等)同時傳送到遠端多媒體教室,做到圖文并舉、音容并茂的遠程教學

掉線重呼

遠端教室、會議室的IP視頻終端掉線重邀,掉線的終端可以自動加入課程,增強上課連續性,避免一個遠端教室掉線影響其他老師講課

簡體中文界面

簡體中文界面,方便多媒體教室管理員和老師維護、操作遠端教學

IP話音服務

跨校區IP電話

長途電話旁路

節省通話費

即時消息滿足老師和學生的溝通需要

即時消息業務,可為老師和學生之間在一系列的溝通中實時的信息內容交換,通常這些內容信息是文本方式,老師和學生之間可通過文本方式進行良好的溝通與交流。

一號通(FindMe/FollowMe業務)

統一的信息服務,提高老師、學生之間溝通的及時性

隨著通信業的不斷發展,人們的聯系方式也多種多樣:電話、郵件、傳真、短消息...我們已經可以非常方便地實現學校與外界的溝通。XE7000系統可以將各種通訊方式,如手機、辦公室座機等多種聯系方式進行捆綁,提高了老師、學生之間溝通的即時性。

協同辦公

協同的日常辦公,提高辦公效率。隨著高校規模的日益擴大,所轄校區越來越多,跨校區的通信以及協同辦公(如課題研究、文件共享、等)也已成為高校日常管理工作必須要考慮的部分。XE7000語音系統可實現即時消息、各種文件的傳送、電子白板、桌面共享等業務功能。

IP呼叫中心

友好的客戶界面——招生電話

招生查詢熱線有利于提高學校的對外形象和服務水平,通過在學校部署一套NBX網絡電話系統可實現學校招生和考試期間,學生可通過電話查詢學校的招生信息和招生政策,同時也可以通過在招生查詢熱線完成考試成績的查詢。

校園智能管理中心

網絡精細管理

SNMP網管( iMC

拓撲管理

能夠實時監視所有設備的運行狀況,通過可視化的網絡拓撲界面幫助用戶及時了解網絡的變化。

故障管理

為用戶及時發現問題、深入分析問題、快速解決問題提供了全流程的支持。

網絡監視

幫助用戶主動監視網絡的狀況,及時發現網絡潛在的隱患。同時,豐富的歷史性能統計數據為用戶升級擴容網絡提供了客觀準確的參考。

設備配置備份

定期備份配置文件,跟蹤設備配置變化,以保證一旦發生網絡故障時,能夠利用歷史配置備份將網絡立刻恢復正常。

設備軟件升級

支持對設備軟件的批量備份和恢復功能,極大提高了管理員的工作效率;

管理工具

針對設備端口故障, iMC網絡管理軟件提供了便捷的定位檢測工具——路徑跟蹤和端口環回測試工具。當用戶報告網絡接入存在問題時,網絡管理員不需要到達用戶現場,直接通過網管對指定用戶端口做環回測試,實現用戶側端口的遠程診斷。

多廠商設備統一管理

可管理所有支持標準SNMP網管協議的網絡設備,為多廠商設備共存的網絡提供了統一的管理方式。

服務器的集成管理

通過 iMC可以實現服務器與網絡設備的統一管理。

二層拓撲技術

為用戶展示網絡的二層拓撲(物理鏈路)結構。

web報表技術

 iMCWRS組件數據進行有效的分析、加工,并以Web方式進行呈現。

流量分析管理(NTA

豐富的應用識別

基于三層協議號、端口號,可識別上千種已知應用(比如:Notes應用、FTP應用、HTTP應用等等),并提供應用自定義功能,當網內出現新應用的時候,很容易進行新應用的識別。

貼近客戶的專家級分析報表

NTA網流分析系統提供了一些預先設置好的統計分析報表,用戶只需要安裝好NTA系統,并設置好提供NetStream數據的網絡設備的配置信息,就可瀏覽網絡常用情況的報表。

準實時的流量監控

NTA報表支持對流量進行及時的分析,當NetStream日志或者DIG日志產生之后,在很短的時間內即可得到分析結果,非常方便用戶使用報表進行網絡異常問題的定位;

更低的全網監控成本

通過增加板卡的方式就能夠實現網絡流量的統計,不用改變網絡的拓撲結構,支持DIG探針,是一種低成本、高性價比、部署靈活的解決方案。

用戶管理

運營與權限控制

強大的用戶身份認證

支持802.1x、PPPoE、WebPortal)等多種認證方式,且均是比較成熟的應用;

開放的計費策略

采用開放、抽象的計費模型,具有良好的適應性和擴充性,能夠滿足不同應用場景的計費需求,用戶可以根據運營的需要輕松定制計費方式和費率。

簡單易用的管理平臺

基于WEB的管理界面和幫助系統

二次開發接口

一卡通系統在CAMS提供的二次開發接口上進行二次開發,可以實現使用一卡通繳納校園網使用費的功能,完成兩大系統的對接,在教育行業具有廣闊的前景

用戶行為審計(UBAS

基于用戶的行為審計

結合CAMS強大的用戶身份、權限的管理和UBAS詳盡的用戶網絡行為日志,幫助管理分析用戶的上網行為,為管理員提供行之有效的網絡管理和用戶行為跟蹤審計策略。

用戶定位功能

CAMS服務器聯動,提供給定時間段內使用該IP地址上網帳戶名、MAC地址、上網時間等歷史信息

全面的日志采集

包括NAT1.0、FlOW1.0、NetStream V5

強大的日志審計功能

通過各種條件的組合對網絡日志進行快速分析

安全策略管理

集中安全策略管理中心SecCenter

設備集中管理

全網安全信息的集中監控和管理,提供基于拓撲和可視化威脅的網絡安全,透悉整網安全

安全事件分析

快捷的實時監控、關聯分析,減少甚至消除告警誤報,深入的安全審計分析,追蹤溯源

日志管理

強大的日志管理,集中收集、壓縮并存儲日志

數據管理

Neocean存儲系統管理軟件

和網絡產品統一管理

用戶需要方便、統一的管理方式,通過一套管理軟件,把物理上分布在校內各處的存儲設備實現邏輯上的統一管理

媒體管理

監控管理

分級分域管理

可以滿足分校區的保衛處只管理本校區的攝像頭,同時主校區保衛處可以管理所有攝像頭圖像。

視頻會議

Web版會議調度管理

MCU內置Web服務器,管理方便簡潔


 
©2002 - 2017 廣東惠群科技股份有限公司 江苏时时彩组三的几率
粵公網安備 44010602001283號