華為校園網建設技術建議書模板_第1頁
華為校園網建設技術建議書模板_第2頁
華為校園網建設技術建議書模板_第3頁
華為校園網建設技術建議書模板_第4頁
華為校園網建設技術建議書模板_第5頁
已閱讀5頁,還剩31頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

XX大學校園網技術建議書華為技術有限公司2002年X月華為商業(yè)機密校園網建設技術建議書華為商業(yè)機密TOC\o"1-5"\h\z1、概述 2\o"CurrentDocument"校園網建設背景 2校園網建網需求 2一般建網需求 2\o"CurrentDocument"XX學校建網需求 4\o"CurrentDocument"建網原則 42、總體網絡設計 5\o"CurrentDocument"組網描述 5\o"CurrentDocument"詳細網絡設計 7組網用核心設備介紹 7高可靠性的高端路由器 7\o"CurrentDocument"功能強大的核心三層交換機 7\o"CurrentDocument"性能卓越的匯聚交換機 9\o"CurrentDocument"業(yè)務豐富的智能尸接入設備 11\o"CurrentDocument"組網特點 123、詳細網絡設計 13\o"CurrentDocument"IP地址規(guī)劃和路由策略 13\o"CurrentDocument"VLAN劃分 14認證計費 15用戶認證 15\o"CurrentDocument"計費管理 17\o"CurrentDocument"綜合訪問管理服務器AMS 184、業(yè)務解決方案 19\o"CurrentDocument"PORTAL 19\o"CurrentDocument"遠程教育 20\o"CurrentDocument"寬帶上網卡 21\o"CurrentDocument"組播業(yè)務 23\o"CurrentDocument"5、網管解決方案 23\o"CurrentDocument"iManagerN2000綜合網管解決方案 23\o"CurrentDocument"QuIDVIEW網管解決方案 296、安全解決方案 31用戶嚴格隔離 31用戶唯一標識 31防止對DHCP服務器的攻擊 31\o"CurrentDocument"惡意用戶追查 32\o"CurrentDocument"防止用戶Proxy代理 32\o"CurrentDocument"7、附件 32華為商業(yè)機密校園網建設技術建議書華為商業(yè)機密1、概述校園網建設背景根據CNNIC2002年的最新調查結果來看,我國目前的上網總人口已達4580萬,其中學生用戶占了26%,是最大的用戶群。另據華為公司市場部提供的資料,中國網民的普及率是1.2%,但在大學生群體中的普及率是93%。目前87%學生在網吧上網,97%的學生用201校園卡打電話。同時,隨著國家信息化工作的深入開展,提高教育系統(tǒng)信息化水平成為當前工作的重點。而校園網建設則是教育系統(tǒng)信息化建設的關鍵,尤其是高校校園網建設。在信息化的建設過程中,它的作用體現在如下幾個方面:1、校園網能促進教師和學生盡快提高應用信息技術的水平;信息技術學科的內容是發(fā)展的,它是一門應用型學科,因此,為了讓學生學到實用的知識,必須給他們提供一個實踐的環(huán)境,這個環(huán)境離不開校園網。2、校園網為教師提供了一種先進的輔助教學工具、提供了豐富的資源庫,所以校園網是學校進行教學改革、推行素質教育的一種必不可少的工具。3、校園網是學?,F代化管理的基礎,深入、全面的學校信息管理系統(tǒng)必須建立在校園網上。4、校園網提供了學校與外界交流的窗口,學校應將校園網與互聯網聯接,這也是學校信息化的要求,做到了這一步,通過校園網去了解世界、在互聯網上樹立學校的形象都是很容易的。教育即未來。作為國家最重要的戰(zhàn)略工程,如何應用信息技術改造我們傳統(tǒng)的教學和管理手段;如何加深學生對于信息化和信息技術的理解與了解;如何造就同時具備傳統(tǒng)和信息雙重文化的一代新人,已成為教育界當前最為緊迫的任務之一。信息技術的應用,勢必極大地推進教育手段和教育內容的革命性變革。我們對此深信不疑,并將全身心地為之努力。校園網建網需求.1一般建網需求校園網的建設涉及到基礎網絡設施的建設和業(yè)務應用平臺建設兩個不同的層面。此處主要華為商業(yè)機密校園網建設技術建議書華為商業(yè)機密分析網絡基礎設施建設和網絡運營方面相關的內容。校園網絡建設從網絡流量模型上看和企業(yè)網的流量模型相似,用戶集中而網絡流量大,但實際應用上還存在許多和企業(yè)網不同的地方。主要特點如下:1、多出口的需求:典型的組網有中國教育和科研網(CERNET)出口和運營商網絡出口。多出口帶來了以下兩個需求:1)多權限ISP需求。用戶可通過不同的賬號名或采用相同的賬號,不同的域名認證,獲得不同的上網權限。譬如做到用戶不認證前能自由訪問校園內部分服務器,采用“user@163”登錄,可實現Internet和校園網絡自由訪問,采用“user@crenet”登錄,可訪問CERNET和校園網。用戶域名選擇可通過WEB認證時用戶通過選擇WEB認證上的相應選擇項進行選擇。2)多ISP分別計費的需求,對應不同的ISP,計費策略不一致。2、用戶管理的需求:1)使用方便,存在WEB認證需求。要求能做到基于WEB的身份認證、多ISP選擇、W用戶費率查詢、帶寬動態(tài)調整(隱性需求)、多WEB界面(隱性需求)等。2)需要解決賬號和端口綁定問題。通過此種方式限制賬號的使用區(qū)域。3)對用戶帶寬進行控制的需求,要求設備能對用戶的帶寬進行控制,譬如限制為256K、512K、1M、2M、5M、10M等等級。3、以網養(yǎng)網的需求:如何使現有網絡具有自我造血機制成為高校普遍關心的問題,而只有具有自我造血機制才能使校園網絡更好的發(fā)展,不斷的完善。目前主要的措施有兩個:1)發(fā)行寬帶上網卡,改變以前單一,高成本的收費模式??ㄌ栴愋椭饕邪驴?、包月限時長、時長卡三種類型,包月限流量卡作為一種備選解決方案(不推薦)同時配合靈活的折扣方式,引導學生上網(如上課時間單價比夜晚高些)。2)開展服務收費。高校擁有豐富的教育資源,并且是公眾教育的主要支撐力量?;诰W絡開展有償的資源提供正成為目前公眾教育的主要形式。這樣不僅盤活了現有資源,更適應了教育產業(yè)化發(fā)展的趨勢,通過有償服務推動公益教育的發(fā)展。4、安全管理的需求:1)學生接受新鮮事務的能力非常強,因此校園也成為黑客最多的場所之一,如何保障校園網絡的安全成為建網時不得不考慮的問題,目前主要攻擊手段有DOS,DDOS等華為商業(yè)機密校園網建設技術建議書華為商業(yè)機密2)上網日志的需求,主要是配合公安機關保證社會的穩(wěn)定和校園的安全5、NAT的需求:部分學校沒有公網IP地址或地址不夠,另外,因為教育網地址用戶報文在通過運營商網絡邊界路由器時不被信任或運營商地址用戶報文在通過教育網邊界路由器時不被邊界路由器信任,會造成部分Internet網站不可訪問。解決此問題的措施需要在運營商或教育網其中一個出口做NAT,對此出口屏蔽內部路由。6、組播業(yè)務的需求,特別是可控組播的需求將隨著校園信息化的深入而體現出來。.2XX學校建網需求增加當地學校實際上網需求,如:現網規(guī)模,建網目標等1.3建網原則早期的高校校園網主要是共用內部教育系統(tǒng)主機資源,共享簡單數據庫,多以二層交換為主,很少有三層應用,存在安全、可管理性較差、無業(yè)務增值能力等方面的問題?,F在高校校園網建設要實現內部全方位的數據共享,應用三層交換,提供全面的QoS保障服務,使網絡安全可靠,從而實現教育管理、多媒體教學、圖書館管理自動化,而且還要通過Internet實現遠程教學,提供可增值可管理的業(yè)務,必須具備高性能、高安全性、高可靠性,可管理、可增值特性以及開放性、兼容性、可擴展性。基于對高校校園網業(yè)務需求的深入理解,結合自身產品和技術特點,華為公司推出了了完善的高校校園網解決方案,為高等院校提供“可管理、可增值、可持續(xù)發(fā)展”的精品網絡。高校網絡建設遵循以下基本原則:可管理性高校網絡是一個龐大而且復雜的網絡,為了保障網絡的正常使用以及設備的良好維護需要一個功能強大,具有分級、分權管理能力的網管系統(tǒng),實現統(tǒng)一的網絡業(yè)務調度和管理,降低網絡運營成本。同時由于高校網絡的使用者數量巨大,網上開展的業(yè)務眾多,因此需要能夠提供用戶的高效管理,以確保用戶和學校的利益不受損失??稍鲋敌孕@網絡的建設、使用和維護需要投入大量的人力、物力,因此網絡的增值性是網絡持續(xù)發(fā)展基礎。所以在建設時要充分考慮業(yè)務的擴展能力,能針對不同的用戶需求提供豐富的寬帶華為商業(yè)機密校園網建設技術建議書華為商業(yè)機密增值業(yè)務,使網絡具有自我造血機制,實現以網養(yǎng)網。可擴充性考慮到用戶數量和業(yè)務種類發(fā)展的不確定性,校園網絡要建設成完整統(tǒng)一、組網靈活、易擴充的彈性網絡平臺,能夠隨著需求變化,充分留有擴充余地。開放性技術選擇必須符合相關國際標準及國內標準,避免個別廠家的私有標準或內部協議,確保網絡的開放性和互連互通,滿足信息準確、安全、可靠、優(yōu)良交換傳送的需要;開放的接口,支持良好的維護、測量和管理手段,提供網絡統(tǒng)一實時監(jiān)控的遙測、遙控的信息處理功能,實現網絡設備的統(tǒng)一管理。安全可靠性設計應充分考慮整個網絡的穩(wěn)定性,支持網絡節(jié)點的備份和線路保護,提供網絡安全防范措施。2、總體網絡設計組網描述XX大學校園解決方案總體設計以高性能、高可靠性、高安全性、良好的可擴展性、可管理性和統(tǒng)一的網管系統(tǒng)及靈活計費為原則,以及考慮到技術的先進性、成熟性,并采用模塊化的設計方法。其組網圖如下:華為商業(yè)機密校園網建設技術建議書華為商業(yè)機密WLAJTAP5削% 含諛室阿5陪idliiICiTiEssuzu/i^aH教室宴整裝分公姓網絡中心S24D3H20WJZ003NEienswtft.'-JiLHL'MSBW**MWLAJTAP5削% 含諛室阿5陪idliiICiTiEssuzu/i^aH教室宴整裝分公姓網絡中心S24D3H20WJZ003NEienswtft.'-JiLHL'MSBW**M費FTPS3026,24[>JH數室每沿室由父群99早加S3520J'&55、CLKTIErCAMS本解決方案網絡分為三個層次,核心層、匯聚層、接入層。為實現校區(qū)內的高速互聯,校園網核心層采用兩臺華為公司核心路由交換機QuidwayS8016,并基于S8016構建了校園網絡中心,成為校園網應用的核心。S8016最大支持64個GE端口,支持全光口模塊,方便實施遠程千兆匯聚;提供全線速的二三四層交換及第四層業(yè)務服務,可作為網絡的核心交換、業(yè)務控制和冗余控制平臺。在匯聚層采用華為公司QuidwayS5516,S3526千兆路由交換機以及MA5200E智能訐接入設備,通過GE口連接S8016構成了高帶寬的校園網骨干。QuidwayS5516/3526是全線速三層交換機,可以實現二三四層線速轉發(fā)、三層互通,同時實現線速的多層策略過濾,用以實現極為復雜的VLAN業(yè)務隔離、互通控制以及流分類等。在校園網接入層,分為教學區(qū)與宿舍區(qū)。在教學區(qū)采用S3026和S2403H作為用戶的接入設備,實現GE到大樓,10、100M到桌面。在宿舍區(qū),采用MA5200、S3026、S2000實現用戶的接入、認證、計費。MA5200E實現對用戶的接入認證、用戶管理和業(yè)務質量保證,為用戶提供高速上網、視頻點播、門戶業(yè)務等多種業(yè)務,能對用戶進行有效管理,保證網絡安全可靠,并提供多種計費方式,為校園網絡的建設和管理提供新的方式。考慮到網絡的先進性和完整性,在校園網內的熱點地區(qū),如圖書館、會議室采用華為公司華為商業(yè)機密校園網建設技術建議書華為商業(yè)機密的WLAN無線局域網產品構建了安全、可靠的無線局域網。廣域網互連設備采用華為公司QuidwayNE16E/08E/05電信級骨干路由器。QuidwayNE16E/08E系列路由器使用華為公司擁有完全自主知識產權的網絡操作系統(tǒng)VRP平臺,采用全分布式體系結構,遵循電信設備標準,具有電信級可靠性。由圖可見,XX大學校園網網絡主要有兩個出口,分別是INTERNET出口(可以是某運營商提供的城域網出口)和中國教育科研網(CERNET)出口。華為Quidway系列產品支持統(tǒng)一的網管平臺,通過華為Quidview網管軟件或者iManagerN2000綜合網管平臺,可以對全網設備實施從網元到拓撲、故障等系列特性實施及時、專業(yè)的管理。同時采用CAMS綜合訪問管理服務器完成了網絡用戶的認證,計費和管理。詳細網絡設計可以加入以下內容:1、各校區(qū)的組網圖2、各校區(qū)組網描述3、信息點和相應設備清單組網用核心設備介紹高可靠性的高端路由器高總線帶寬:系統(tǒng)提供兩條2G的總線作為單板內部的控制和數據通信,板件交換有足夠的帶寬。大流量分布式轉發(fā):采用分布式轉發(fā),數據包的轉發(fā)由接口板完成,不影響主控板的工作,系統(tǒng)更加穩(wěn)定;數據轉發(fā)不依賴單一的處理器,數據轉發(fā)的性能大大提高;而且在這種方式下數據包的轉發(fā)由接口板完成,不影響主控板的工作,系統(tǒng)更加穩(wěn)定。功能強大的核心三層交換機校園網核心設備采用華為公司路由交換機S8016。QuidwayS8016是華為公司推出的大容量(128G)、模塊化、機架式基于硬件2/3/4層交換的路由交換產品。QuidwayS8016提供完善的DiffservQoS保證和業(yè)務流量控制機制,以及電信級的可靠性和高密度、大容量交換能力,是校園網建設的基石。S8016作為大型13設備,具有以下一些特點:一、大容量高密度:華為商業(yè)機密校園網建設技術建議書華為商業(yè)機密背板交換能力最高256G,交換網板容量128G;共有16個業(yè)務插槽,11種業(yè)務接口板;最多可配置:64個GE接口和256個FE接口。二、完全線速分布式轉發(fā)性能:全分布式結構,采用先進的網絡處理器RAINER,實現了全線速2/7層交換,并提供整機96Mpps的報文處理性能。轉發(fā)基于逐包轉發(fā),在用戶報文目的地址不斷發(fā)生改變時,仍就保持線速轉發(fā)。相應基于流的數據轉發(fā),當用戶報文目的地發(fā)生變化時,轉發(fā)速度急劇下降。如果在不斷變化目的訐流的攻擊下,基于流轉發(fā)設備的性能下降非常快,甚至崩潰;而基于逐包轉發(fā)的S8016受到的影響很少。三、完善的DiffServ/QOS:S8016路由交換機提供完善的Diffserv/QoS支持,支持基于源端口、源VLANID、源MAC地址、報文種類、TCP/UDP端口號、IP報文地址前綴等多種流分類規(guī)則,提供多種規(guī)則組合條件下的流映射和分類、流量監(jiān)管(CAR)、擁塞控制方法(RED、WRED、SA-RED)、隊列調度和輸出流整形等功能,真正做到業(yè)務區(qū)分并保證帶寬/時延/抖動在限定的范圍內,使網絡運營商可以為用戶提供具有不同服務質量等級服務保證,使IP城域網真正成為同時承載數據、語音和視頻業(yè)務的綜合網絡。四、優(yōu)良的可靠性:S8016的交換網絡、路由處理系統(tǒng)、地址轉換轉換板和電源系統(tǒng)等所有關鍵部件采用冗余熱備份設計,能滿足骨干網絡對電信級/高可靠性的要求。二層業(yè)務上提供端口捆綁等功能,提高鏈路速率的同時有效地提高網絡的安全性、可用性。網絡側采用等價路由方法提高網絡可靠性,支持3條等價路由。支持RSTP快速生成樹協議和HSRP熱備份路由協議。RSTP在通過運行生成樹協議防止網絡拓撲生成環(huán)路的同時提高了鏈路的冗余;HSRP用于為帶有默認網關的使用TCP/IP協議的主機提供默認網關的冗余配置。五靈活的組網能力:S8016提供端口捆綁、VLAN聚合、STP、ARP/ARPPorxy、DHCPRealy/DHCPServer等豐富二層業(yè)務能力,具有NAT地址轉換功能,并提供多種路由協議、基于流分類的策略路由支持。S8016通過DHCPRELAY和內置DHCPSERVER,對用戶IP地址實行動態(tài)分配和管理。DHCPSERVER功能內置在S8016的MPU上,對下掛的用戶可以直接進行地址分配和管理,可以為運營商節(jié)省外置DHCPSERVER的投資。六大容量高速NAT:S8016的NAT功能支持公網私網混合編址。單塊NAT板轉發(fā)能力支持2Mpps以上,支持并發(fā)會華為商業(yè)機密校園網建設技術建議書華為商業(yè)機密話數128k,會話建立速率5k會話/秒;支持NAT中NAPT模式;支持公有地址和私有地址的混合地址組網;支持ICMP、FTP的ALG,支持分片處理。七、組播特性:a)VLAN實現組播,無成員的端口不轉發(fā)冗余的組播信息。b)組成員的ACL受控管理。c)PIM-SM協議中RP可以對DR發(fā)送來的注冊報文進行過濾,只接受特定的注冊報文。八、WEBSWITCH功能:通過內置WebSwitch單板(稱為CLPU板),在POP點和IDC提供L4負載均衡、L5/7負載均衡、WebCacheRedirection等功能。九、IPV6Ready由于采用NP處理器,如有需要可通過軟件升級以支持IPV6。性能卓越的匯聚交換機QuidwayS5516以太網路由交換機是華為公司推出的面向中型企業(yè)網LAN中心、大型企業(yè)LAN/以太城域網純千兆匯聚的2/3層交換產品。S5516最大支持16XGE,支持所有端口第二第三層報文的全線速轉發(fā),轉發(fā)速率達24Mpps。S5516采用盒式模塊化結構設計,最大支持4個線路接口模塊,可以支持4X電口(RJ45)/多模/單模千兆模塊以及堆疊矩陣模塊,實現高性能中心路由、交換以及千兆骨干的匯聚,通過堆疊的方式,可以實現高密度百兆端口的擴展。Quidway@S5516核心路由交換機的主要特點:高性能24MPPs轉發(fā)能力,32G交換容量,16GE的端口容量,32K路由表項支持,硬件地址學習、支持16KMAC地址表項,4KVLAN支持,支持最多16端口的PortTrunk,最多16個PortTrunk組。高性價比Quidway?S5516L2/L3以太網交換機是采用當今最先進的ASIC技術,產品集成度高,大大降低了產品造價。配置靈活四插槽的模塊化結構,用戶可以根據網絡需求選擇不同的光電千兆接口,進行靈活配置。強大的組網能力

校園網建設技術建議書華為商業(yè)機密10校園網建設技術建議書華為商業(yè)機密10Quidway@S5516L2/L3以太網交換機可以提供千兆到桌面,中/小網絡核心,大型網絡匯聚,LAN接入,寬帶小區(qū)接入等多種組網方案,能夠滿足不同的用戶不同的組網需求。高可靠性的供電解決方案提供110V/220V寬范圍電源,-48V直流供電,冗余電源支持。提供基于最長匹配的全線速3層交換解決了早期交換機采用精確匹配交換技術所帶來的問題(交換表放在高速緩存中,如果報文命中則可以獲得較高的交換速度,但如沒有命中,則將進行軟件轉發(fā))可以做到逐包查表,逐包交換保證了所有報文均獲得相同的轉發(fā)性能??蛇_到24MPPS(packetpersecond)的2/3層轉發(fā)能力。強大的IP路由支持32K路由表項,支持OSPF,RIPI/II等路由協議。支持豐富的2層協議:提供RSTP,避免環(huán)路冗余;支持802.14,提供4KVLAN和VLANTrunk支持;支持GVRP(GARPVLANRegistrationProtocol),提供VLAN的自動注冊;提供802.3x流控機制;半雙工模式支持反壓(BackPressure)流控;支持端口聚合;基于2/3/4層的流規(guī)則過濾器,提供豐富的ACL安全機制,線速過濾能力。提供豐富的QoS策略:S5516提供了基于端口的流量限制(GenericTrafficShaping)可根據需要限制端口流量;提供128個流分類(TrafficClass),因而用戶可根據實際需要為不同的用戶群組或不同的業(yè)務類型分配不同的隊列優(yōu)先級,帶寬控制(以64Kpbs為步長單位進行調整);提供Diffserv支持,可以根據2、3、4層特性,調整IPDSCP域,為骨干網絡實現基于DSCP的IP轉發(fā)提供支撐;S5516提供基于數據流(Flow,根據2、3、4層報文頭的信息確定)的帶寬共享算法,保證每一個通信應用均可獲得公平的流量分配,保證了各主機之間通信的公平性;提供WRR(WeightedRoundRobin)隊列ij調度策略;可根據IPDSCP信息,802.1p信息,VLAN信息,2/3層轉發(fā)表信息,配置出報文(OutgoingPacket)的802.1p優(yōu)先級與配置轉發(fā)隊列優(yōu)先級。提供DHCP中繼功能(DHCPRelay)功能10

校園網建設技術建議書華為商業(yè)機密11校園網建設技術建議書華為商業(yè)機密11提供次功能可為跨網段的主機動態(tài)配置成為可能,使得DHCP的應用得到了極大的擴展。采用華為公司統(tǒng)一的VRP平臺VRP平臺提供了大量的維護、調試命令,和日志功能,為產品的開通,維護,故障診斷提供了豐富的手段;QuidwayS5516與Quidway?路由器的配置風格一脈相承,用戶培訓成本大大降低。強大方便的網絡管理維護功能支持SNMP,可支持OpenView等通用網管平臺,以及華為公司開發(fā)的Quidview?、iManager?網管系統(tǒng)。支持SMON、RMON。業(yè)務豐富的智能可接入設備MA5200E做為校園宿舍區(qū)的智能IP業(yè)務接入設備,提供了功能強大的用戶管理和業(yè)務控制功能,主要體現在靈活完善的用戶接入方式,用戶身份認證和安全保障,基于用戶策略的訪問控制,業(yè)務QoS保證等方面,同時提供豐富的計費信息,支持多種計費方式。MA5200E的特點如下:靈活完善的用戶接入認證方式:MA5200E提供了多種用戶接入認證方式,主要的認證方式有WEB認證、PPPoE認證和802.1X認證。同時MA5200E支持本地認證和遠端認證,并可以基于帳號的用戶管理機制,實現預付費業(yè)務和支持用戶漫游。強大的用戶管理控制功能:MA5200E具有很強的用戶管理控制功能,對用戶端口和業(yè)務流有很好的管理控制,保證網絡資源的合理利用,保證業(yè)務質量和保證網絡的安全。QoS保證:以太網本身的特性是盡力傳送,不提供業(yè)務優(yōu)先級保證,這樣不適合多業(yè)務的接入。MA5200E支持基于用戶和訪問目的業(yè)務流優(yōu)先級分類,針對不同的優(yōu)先級施加相應的QoS策略。高性能硬件轉發(fā)引擎:MA5200E硬件采用專用ASIC實現轉發(fā)引擎,該實現的最大特點是具備靈活的業(yè)務和協議處理的同時,可以大大提高系統(tǒng)的處理高速性。MA5200E中采用了先進的快速路由查找算法,整機具有雙向10G的交換容量和3Mpps的全業(yè)務轉發(fā)能力。組播支持:MA5200E可以支持IGMP、HGMP等用戶組管理協議,實現從用戶到網絡的全套協議支持,為WebTV等寬帶組播增值業(yè)務開展提供了基礎。11

校園網建設技術建議書華為商業(yè)機密12校園網建設技術建議書華為商業(yè)機密12組網特點豐富的多媒體業(yè)務:提供電子圖書館、在線考試、網上教學、遠程教育和互聯網等多種業(yè)務。有線無線一體化:提供LAN、WLAN等接入方式進行網絡互聯,實現筆記本教室、無線會議室,空中圖書館。多種認證方式:采用WEB方式(并可支持PPPOE,802.1x)實現用戶管理,具有動態(tài)業(yè)務選擇和交互式的特點。認證接入和業(yè)務選擇代理相結合,方便提供新業(yè)務。多ISP選擇:提供中國教育網(CERNET)和因特網等多個出口,使用者可自由選擇不同ISP上網,并提供相應的計費策略。完善便捷的自助管理:提供新穎的自助服務。使用者可基于WEB靈活享受帶寬選擇,計費策略,查詢余額等服務。個性設置:設置個性化Portal查詢話單:查詢詳細話單信息查詢余額:查詢卡號余額修改密碼:修改用戶密碼其他服務:卡號充值豐富的資費策略:提供多種資費策略,包括:按時長計費,按流量計費,按帶寬計費。并且還提供預附費業(yè)務和多種折扣策略。高度的安全保證:通過IP地址、VLANID、MAC地址的綁定,保證用戶信息的安全。結合用戶控制訪問列表,實現基于用戶的良好管理能力,保護學生不受不良網站的影響。配置用戶禁止訪問的網段;保護網上重要的服務器配置用戶組之間的訪問與禁止靈活的地址策略:在校園網出口采用NAT的方式解決學校公網IP地址不足的問題,此方案同時支持公私網IP地址混合使用,為組網提供更大的靈活性。嚴格的QOS保證:通過Diffserv與端口限速功能,實現基于業(yè)務的QoS保證,防止網絡受流量攻擊導致癱瘓。提供多種規(guī)則組合條件下的流映射和分類、流量監(jiān)管(CAR)、擁塞控制方法(RED、WRED、SA-RED)、隊列調度和輸出流整形等功能CAR的范圍和精度:平均流量范圍(上行和下行)128K?50M,流量控制粒度128Kbps;12

校園網建設技術建議書華為商業(yè)機密13校園網建設技術建議書華為商業(yè)機密13峰值流量范圍(上行和下行)128K?50M,流量控制粒度128Kbps。統(tǒng)一的分權網管:全網設備統(tǒng)一管理,并且可以根據管理權限對校園網上設備進行分級實時監(jiān)控。實現拓撲管理圖形化操作界面,使用方便方便的遠程配置維護管理實時聲光報警中文操作系統(tǒng),符合國人使用習慣3、詳細網絡設計IP地址規(guī)劃和路由策略IP地址的合理規(guī)劃是校園網網絡設計中的重要一環(huán),大型計算機網絡必須對IP地址進行統(tǒng)一規(guī)劃并得到實施。IP地址規(guī)劃的好壞,影響到網絡路由協議算法的效率,影響到網絡的性能,影響到網絡的擴展,影響到網絡的管理,也必將直接影響到網絡應用的進一步發(fā)展。IP地址分配原則IP地址空間分配,要與網絡拓撲層次結構相適應,既要有效地利用地址空間,又要體現出網絡的可擴展性和靈活性,同時能滿足路由協議的要求,以便于網絡中的路由聚類,減少路由器中路由表的長度,減少對路由器CPU、內存的消耗,提高路由算法的效率,加快路由變化的收斂速度,同時還要考慮到網絡地址的可管理性。具體分配時要遵循以下原則:唯一性:一個IP網絡中不能有兩個主機采用相同的IP地址;簡單性:地址分配應簡單易于管理,降低網絡擴展的復雜性,簡化路由表項連續(xù)性:連續(xù)地址在層次結構網絡中易于進行路徑疊合,大大縮減路由表,提高路由算法的效率可擴展性:地址分配在每一層次上都要留有余量,在網絡規(guī)模擴展時能保證地址疊合所需的連續(xù)性靈活性:地址分配應具有靈活性,以滿足多種路由策略的優(yōu)化,充分利用地址空間。13

校園網建設技術建議書華為商業(yè)機密14校園網建設技術建議書華為商業(yè)機密14主流的IP地址規(guī)劃方案分為純公網地址、純私網地址和混合網絡地址三種。當校園網以私網地址分配或采用混合網絡地址接入時,要求校園網提供地址變換功能,過濾掉私網地址。校園網IP地址規(guī)劃方案請根據具體學校做相應規(guī)劃1)校園網IP地址分配總則IP地址規(guī)劃根據所分配的公網IP地址和內部私網IP地址分配,地址可分為三大塊,一塊是Cernet分配多個C類公網IP地址,作為和國際互聯網互連的地址,域名就解析在這片地址上,主要供網絡中心和圖書館電腦部、部分實驗室專用;校園網的普通用戶,使用內部地址192.168.xxx.xxx,,不能和國際互聯網直接發(fā)生聯系,不能避開代理和計費系統(tǒng);學校同時還可以申請一塊ChinaNet的公網IP地址,作為接入電信公網和部分關鍵的服務器出口備份,關鍵服務器擁有兩個公網IP,分別跨接在Cernet和ChinaNet上。2)校園網內部私網IP地址的分配內部地址的分配原則是按建筑物進行的,視用戶的數量,1/4、1/2、整個C的劃分。對于相對固定不變的教學區(qū)采用靜態(tài)分配IP地址,為防止地址盜用,采用IP地址與MAC地址綁定,對于流動性大、用戶人數多、用戶增長快的學生區(qū)采用動態(tài)分配IP地址,采用ByPort的Vlan,小范圍地限制地址盜用問題。對上網用戶的管理,是基于用戶名、密碼的代理認證WEB認證過程進行,校園網內的網絡資源不需認證就可訪問,但訪問校外的資源就必須經過認證用戶開機時,從DHCP服務器獲得校園IP地址,并可以直接訪問校園網和教育網3)中心交換機支持靜態(tài)或動態(tài)的IP地址分配,并支持動態(tài)IP地址分配方式下DHCP-Relay功能,DHCPSERVER可安放在園區(qū)內部。4)對于固定IP地址用戶,需要針對標識符(MAC地址)設定保留IP地址。5)如果使用華為公司的寬帶接入設備MA5200E進行認證計費,可以使用MA5200E內置的DHCPServer或者網絡集中DHCPServer實現地址的分配。VLAN方式下每個VLAN可以只需要一個IP地址,采用ARPProxy方式,大大節(jié)約了地址空間。VLAN劃分教師區(qū),通常采用包月方式,同時需要實現帳號和端口綁定的功能,故采用一個用戶一個VLAN,并限制一個VLAN下同時接入的用戶數量。14

校園網建設技術建議書華為商業(yè)機密15校園網建設技術建議書華為商業(yè)機密15對于學生區(qū),校園網內VLAN劃分可以采用一個宿舍一個VLAN的劃分方式,也可以是一層樓一個VLAN。MA5200E內部實現VLAN+PORT的標識,所以VLAN規(guī)劃中可以重復分配,但是需要保證相同的VLAN號必須分配在不同的物理端口下。1、對一個宿舍一個VLAN①MA5200E可以精確的控制每個VLAN下的用戶,并能限制用戶間的二層互訪。用戶要進行互訪,必須通過MA5200E來進行,在認證后,所有通過MA5200E的流量是要進行計費的。②由于用戶間互通都要經過MA5200E,增大了MA5200E的負擔。2、對一層樓一個VLAN①本層樓的內部互訪無須經過MA5200E,優(yōu)化了組網。②這種VLAN劃分,不能防止主機上網后作為porxy,供其他無帳號的學生使用的情況。建議將按流量收費納入考慮。③這種劃分方式中,因為對用戶能實現動態(tài)的VLAN+MAC+IP綁定,可對用戶發(fā)動的偽造攻擊報文進行合法性檢查和過濾,具有一定的網絡安全性保障。3、不同VLAN間的互訪,必須經過MA5200E進行轉發(fā)。認證計費用戶認證MA5200E實現了對用戶實現認證、計費、管理功能。用戶認證的方式有以下四種:1)采用虛擬撥號方式:采用虛擬撥號方式,即PPPOE的方式,用戶需要在其客戶端安裝PPPOE軟件,使用時從客戶端(PC終端)發(fā)起PPP連接,PPP連接通過以太網在MA5200E設備上實現終結?;騇A5200E設備從PPP呼叫中提取相應的用戶信息(用戶名以及密碼),將用戶信息通過RADIUS協議在AAA服務器上對用戶進行認證鑒權,并依據用戶情況為用戶動態(tài)分配合法的IP地址,實現INTERNET接入。同時AAA服務器對用戶實施計費,計費可采用時長、流量等多種計費方式,滿足不同資費政策的需求。2)采用直接的用戶接入方式采用VLAN的直接用戶接入方式時,每個用戶分配一個VLAN端口,MA5200E依據此VLAN再加上用戶的IP地址以及MAC地址相捆綁。用戶在申請開戶時,向學校網絡中心申請所需的用戶策略(用戶帶寬的需求、分配IP地址數目等),校網絡中心將所需用戶策略輸入乂45200£,15

校園網建設技術建議書華為商業(yè)機密16校園網建設技術建議書華為商業(yè)機密16MA5200E依據用戶策略以及VLAN+IP地址+MAC地址三者之間的綁定關系實現對用戶實現用戶的接入管理、帶寬分配以及用戶的計費等。通過此方式實現寬帶網絡的可管理性。3)VLAN+WEB用戶接入VLAN+WEB認證指的是VLAN接入的用戶通過登錄門戶網站,輸入用戶名和密碼,進行身份認證,從而獲得用戶訪問權限的過程。具體實現方式為:首先或MA5200E為每個用戶端口固定分配VLAN-ID,并且在或MA5200E上將計時帳號用戶設置為WEB用戶,并且將每個WEB用戶路由固定指向WEB服務器的IP地址,因此在帳號用戶上網時其僅能夠訪問WEB服務器,在WEB頁面上輸入其帳號與密碼后,WEB服務器內部的CGI及相關程序將用戶賬號密碼得到后發(fā)給或MA5200E,或MA5200E將用戶帳號與密碼信息得到后,將此或MA5200E的號及用戶的VLAN_ID、用戶帳號、密碼上傳至RADIUS服務器進行認證。RADIUS服務器可根據由或MA5200E上傳的VLANID及用戶帳號、密碼判斷帳號用戶的屬性,即為包月帳號用戶還是計時帳號用戶,認證通過后RADIUS服務器將通知或MA5200E將此認證用戶的上網權限打開。華為公司的CAMS平臺不僅可進行帳號用戶認證,還可根據帳號用戶的域名進行不同費率的計費,非常靈活。WEB服務器可放置于公網上也可放置于或MA5200E旁。VLAN+WEB的認證方式模仿了一個PPPOE的撥號過程,其實現非常方便,無需在用戶側安裝客戶端軟件,降低了維護的工作量,提高了工作效率。4)802.1X用戶認證IEEE802.1X是一種基于端口的網絡接入控制技術,在LAN設備的物理接入級對接入設備進行認證和控制,此處的物理接入級指的是LANSWITCH設備的端口。連接在該類端口上的用戶設備如果能通過認證,就可以訪問LAN內的資源;如果不能通過認證,則無法訪問LAN內的資源,相當于物理上斷開連接。華為公司是802.1x國標的制訂者,其系列交換機都支持802.1x認證,并且通過與CAMS服務器想結合,可以實現LAN接入方式的計費。通過以上的用戶認證方式,結合XX大學校園網,可分為兩個方面考慮用戶接入認證的要求:宿舍區(qū)接入認證宿舍區(qū)的用戶非常集中,業(yè)務比較單一,為保證網絡的安全性,宿舍區(qū)用戶為52403接入,通過S3026會聚后接入乂45200£。因此由MA5200E的接入方式可知,宿舍區(qū)用戶可通過VLAN+WEB的方式實現用戶的認證計費功能。其具體組網圖如下:16

校園網建設技術建議書華為商業(yè)機密17給州口翩1校園網建設技術建議書華為商業(yè)機密17給州口翩1教學區(qū)接入認證考慮到教學區(qū)用戶相對比較固定,主要是教職工用戶和科研機構用戶。因此可以采取不認證即可上網的方式。大學校園網的計費系統(tǒng)采用CAMS系統(tǒng),實現對大學校園用戶認證計費。對于宿舍區(qū),因為校園用戶為移動用戶并且不固定,所以采用預付費的方式實現用戶上網。對于教學區(qū),因其端口基本為包月,所以采用后付費的方式實現。由此實現宿舍區(qū)及教學區(qū)的用戶認證與計費。計費管理計費管理包括實時收集網絡的可利用信息,并對信息進行處理、存儲、計費報告生成。提供的計費參數包括:表明連接支持的業(yè)務類型,PTP/PTMP指示,該統(tǒng)計對象的端口ID,數據被收集的時間,入/出口的信元數,流量類性和流量參數值和QOS登記,數據被收集的原因等。持續(xù)時間,主叫地址,被叫地址,釋放原因,寬帶承載能力等。計費中心負責收集各種計費信息,并對其進行統(tǒng)計分析,記錄歸檔,形成計費報告。計費建議采用RADIUS計費。RADIUS協議是一個比較完善的AAA協議,對接入用戶進行認證和計費,RADIUS認證服務器放置于科藝苑的網絡中心機房。智能IP接入設備MA5200E起到RADIUSClient的作用,把用戶的認證請求發(fā)送到RADIUS認證服務器,RADIUS認證服務器管理著整個校園網注冊用戶數據庫。如果認證通過,則允許用戶接入并開始計費,MA5200E把在線用戶的實時計費信息(包括接入時間、在線時間,流量等)發(fā)送到RADIUS計費服務器,計費服務器可以根據不同的計費策略向用戶收費。功能特點:1、提供靈活的計費方式:計費數據中包含接入用戶的時間與流量等信息,可根據需要采取不同17

校園網建設技術建議書華為商業(yè)機密18校園網建設技術建議書華為商業(yè)機密18的計費方式(如按時間或按流量計費)。2、實時計費:定時向計費服務器發(fā)送接入用戶的計費信息,保持計費數據的連續(xù)性,這樣即使發(fā)生意外(如掉電,與計費服務器通信中斷)也可使損失減至最少。3、支持主備計費服務器,在主計費服務器出現故障時自動將計費數據送到備用計費服務器。4、計費中心放置于網絡中心,便于校園網對用戶的集中認證計費。綜合訪問管理服務器CAMS在建設校園網工程時不僅僅需要通信設備,更需要一套全網解決方案,解決目前網絡的管理、安全和增值問題。另外,網絡應用日益豐富,VOIP、VOD、VPN、ONLY、電話/電視會議等新業(yè)務的不斷推出,對原有的業(yè)務管理系統(tǒng)提出了新的挑戰(zhàn)。為了適應這種需求,華為公司推出了綜合訪問管理服務器( ComprehensiveAccessManagementServer,CAMS),配合設備組網,提供全網解決方案。CAMS系統(tǒng)硬件平臺為PC服務器,軟件平臺為LINUX,數據庫為ORACLE。CAMS系統(tǒng)采用組件化的結構方式,使得業(yè)務組件可以動態(tài)加載,單獨升級,能有效的適應網絡的擴容帶來的對網絡的管理。作為網絡中的業(yè)務管理核心,CAMS支持與路由器、以太網交換機、VoIP網關和接入服務器等網絡產品共同組網,完成終端用戶的認證、授權、計費和權限管理,實現網絡的可管理、可運營,保證網絡和用戶信息的安全。CAMS與華為公司的系列網絡產品無縫集成,支持從低端到高端各種設備的認證和用戶管理。其主要功能有:1、綜合訪問控制CAMS通過配置可以作為Lanswitch、8010接入服務器、8040、8070路由器等多種網絡設備的網絡訪問控制服務器,實現基于PPP、802.1x、DHCP+WEB等多種方式,對VOIP、VOD、VPN、ONLY等多種業(yè)務的用戶身份驗證、網絡使用授權、計費和統(tǒng)計功能。通過業(yè)務模塊的動態(tài)加載,基于預留的API接口二次開發(fā),CAMS能夠適應不斷發(fā)展的各種認證、計費和管理需求。2、系統(tǒng)和策略管理CAMS可以靈活的定制網絡接入、計費、優(yōu)惠等用戶策略,在用戶級別設置不同的訪問權限和計費方式,并通過簡單配置生成樣式豐富的計費、統(tǒng)計報表。并可以通過與企業(yè)網Quidview網管軟件之間的接口,與Quidview結合提供更為復雜的網絡業(yè)務控制管理功能。3、業(yè)務管理18

校園網建設技術建議書華為商業(yè)機密19校園網建設技術建議書華為商業(yè)機密19CAMS不僅支持傳統(tǒng)賬號、卡號、主叫用戶業(yè)務,還支持黑名單、用戶屬性綁定、VPN、VoIP、以太接入、DHCP+Web認證等業(yè)務。與設備配合,實現對用戶的QoS、優(yōu)先級、多播和VLAN管理。另外,CAMS還能將網絡流量與終端用戶信息相關聯,解決了目前的計費方式單一性問題,引入更公正、更易于被終端用戶接受的基于資源占用的細粒度計費、優(yōu)惠方法,并可為接入商、企業(yè)網、智能化小區(qū)提供更加靈活的資費策略和詳細的分析、決策信息,支持信息統(tǒng)計和詳細話單(CDR)統(tǒng)計功能和輸出及定制接口。4、最終用戶自助網絡的終端用戶可以通過Web隨時查詢對網絡的使用情況,如訪問時長、流量、費用等的綜合統(tǒng)計和明細信息,并完成對個人信息的管理,如密碼修改等。4、業(yè)務解決方案PORTALPortal業(yè)務是針對客戶化服務、內容發(fā)布管理、運營管理的需求而提出的門戶業(yè)務,是客戶化服務的門戶、內容發(fā)布的門戶、運營管理的門戶。.客戶化服務的門戶用戶端使用方便、簡單,即插即用。無需安裝任何客戶端軟件,只需用普通瀏覽器就可。無需IP地址設定,每次上網系統(tǒng)動態(tài)分配IP地址。用戶端只需通用網卡,無需額外設備或軟件。簡單統(tǒng)一的風格、個性化的用戶設置,使用標準瀏覽器上網,界面簡單統(tǒng)一。用戶可以定制MyPortal――個性化的上網門戶,收藏自己喜愛的網站,記錄自己定制的內容業(yè)務Portal業(yè)務負責存儲和管理用戶頁面設置信息。這樣,每當用戶上網時,就可調出自己的頁面,從而在熟悉的環(huán)境中上網沖浪。用戶自助管理、自助服務,用戶可以根據需要實時在線的選擇帶寬、服務等級、計費方式等,進行自助管理??赏ㄟ^預先設置帶寬選擇檔次(如2M、5M、10M...),并給出對應的資費和效果等的說明,幫助用戶在選擇前了解情況和作出決定。用戶根據所訪問的服務的不同可以在線選擇合適的帶寬,在不需要的時候可以恢復原來的帶寬。通常,為用戶提供缺省帶寬。用戶可以在按時長、按流量等一系列計費方式中動態(tài)選擇適合自己習慣的方式。完善的自助服務,提供修改用戶密碼、廣告閱讀充值、注冊和刪除業(yè)務、用戶的認證、用戶識別和業(yè)務選擇等功能。提供查詢話單、余額查詢、查詢廣告充值歷史、個性化方案設置和網址收藏功能。19

校園網建設技術建議書華為商業(yè)機密20校園網建設技術建議書華為商業(yè)機密20教育局可通過門戶網站實現網絡服務類的應用,如入網申請、用戶在線注冊、密碼修改、網絡使用費用查詢、網絡設置指南等等。.內容發(fā)布的門戶學校可通過門戶網站實現社會服務類的應用,如教育新聞的發(fā)布、公共信息的收集和發(fā)布、網上通知、考試成績公布和查詢及教育政策與法規(guī)的查詢等等。還可實現娛樂趣味類的內容發(fā)布,如娛樂新聞、時勢新聞等等。.運營管理的門戶強制Portal,保證用戶上網必須經過教育局的門戶進行認證。教育局可以有效地對上網用戶進行統(tǒng)一管理。遠程教育華為公司根據對遠程教育的理解,推出了一套完善的遠程教育網解決方案一ViewPointEduCenter遠程教育網解決方案。該解決方案將在網通寬帶城域網與校園網的配合下完成,貴州民族學院完全可通過遠程教育系統(tǒng)為社會教育信息化的發(fā)展貢獻一份力量。華為公司的ViewPointEduCentre遠程教育系統(tǒng)在一個平臺上實現了多媒體實時業(yè)務和非實時業(yè)務的提供,并實現了兩者之間的充分融合,使兩者成為一個有機的整體,并結合針對教育的教學平臺,可以提供完善的的遠程教育解決方案。只需辦好電子化教室即可開展遠程教學。華為ViewPointEduCentre遠程教育系統(tǒng)從系統(tǒng)功能層次上可以分為業(yè)務管理層、視訊交換層、視訊用戶層等三個部分:業(yè)務管理層主要完成網絡設備的管理、遠程教育用戶的管理、業(yè)務的受理功能。業(yè)務管理層負責整個遠程教育業(yè)務的受理和網絡資源的調度,提供主叫呼集和WEB預約的支持,使得用戶可以靈活的使用遠程教育業(yè)務。業(yè)務管理層包括ViewPoint8000業(yè)務管理中心、ViewPoint8000業(yè)務受理中心及ViewPoint8000網管中心等業(yè)務支撐軟件。視訊交換層是整個遠程教育系統(tǒng)的核心層,支持V35、IP、E1、ISDN等視訊終端的接入,完成遠程教育業(yè)務中圖象、語音、數據的交換,提供教學會場多點控制、媒體流的直播與點播功能,具備豐富的教學管理和課件管理功能,使教師教學和學生上課、自習完全實現電子化。視訊交換層主要包括ViewPoint8620視訊交換平臺、課件與用戶管理系統(tǒng)、數據服務器、GK、流媒體服務器。在視訊用戶層,華為公司提供多種終端產品,使得用戶可以根據需要,組建專業(yè)的電子化教室或是低成本的個人終端。同時,打破了傳統(tǒng)會議電視系統(tǒng)使用不方便的局限,提供主叫呼20

校園網建設技術建議書華為商業(yè)機密21校園網建設技術建議書華為商業(yè)機密21集和WEB預約的上課方式,使得用戶無須他人的干預,在終端上即時自主的召集各個遠程教室并按時上課,并且,在上課期間,教師可以通過終端控制各教室的多畫面廣播、點名發(fā)言、討論等功能,使得遠程教學的及時性和互動性的優(yōu)點得到了更進一步的加強,更貼近用戶的需求。視訊用戶層包括了華為公司ViewPoint系列終端產品(包括ViewPoint8020、ViewPoint8020plus、ViewPoint8021、ViewPointOpenEye、媒體流接收軟件)。整個組網入下圖所示:遽件和用戶管理強務器I業(yè)導管型疑雙訊交搦層銳機用戶薜■B數據服務器遠程敕學網?金行遽件和用戶管理強務器I業(yè)導管型疑雙訊交搦層銳機用戶薜■B數據服務器遠程敕學網?金行企業(yè)網.ISDN/PSTN5泰庭用戶集中上裸點寬帶上網卡為了使學校上網管理更便捷,學生、教師享受到更好的網絡服務,華為公司推出了校園寬帶上網卡業(yè)務。校園卡主要特點如下:1)多種寬帶計費卡,功能豐富;2)靈活計費、多種折扣;3)多種認證方式、方便用戶安全使用;4)費用告警、信用限額;5)川6匕式自助管理;21

校園網建設技術建議書華為商業(yè)機密22校園網建設技術建議書華為商業(yè)機密22校園卡支持后付費卡、可充值預付費卡、不可充值預付費卡三類卡,并可由這三類卡加上個性化的服務派生出多種實用性寬帶卡:1)學生卡 電話、上網一卡通(需運營商支持)支持后付費、可充值預付費、不可充值預付費三種方式。2)教師卡 教師卡可以有多個卡號和密碼,每張卡在上班的時間允許使用,下班后的時間,只有少部分優(yōu)先級高的用戶可以上網。不同類別的卡擁有不同的帶寬和費用權限。校園卡特色:1)靈活計費、多種折扣一支持按流量進行計費一支持按時長進行計費一支持同時按流量和時長計費一支持多種費率—支持按時間段折扣一支持按流量折扣一用戶可以同時享受時間段折扣和累計折扣一支持按帶寬、主叫、ISP制定計費策略2)多種認證方式、方便使用校園卡號系統(tǒng)的寬帶上網可以采用WEB認證或PPPOE的認證方式。對于WEB認證,寬帶上網的用戶無須配置特殊軟件,輸入卡號、密碼,通過認證后,用戶就可以高速上網?;赑PPOE認證,寬帶上網的用戶需要在終端上安裝專門的撥號軟件,在該軟件系統(tǒng)中輸入卡號、密碼通過認證以后,用戶才可以進行高速上網。系統(tǒng)和網絡設備配合可以進行端口綁定功能,即用戶不用每次輸入卡號和密碼,就可以進行高速上網,費用在與端口相對應的卡號上扣除。這種端口綁定的業(yè)務比較適用于教職工住宅區(qū)和學校教研室。3)費用告警、信用限額當用戶校園卡的余額低于某個設定值時,系統(tǒng)會對正在上網的用戶發(fā)出提示,使用戶可以有所準備。同時系統(tǒng)支持后付費卡的方式,用戶可以先上網后交費。根據用戶的信用等級,提供不同的信用限額。4)自助管理個性化業(yè)務設定校園卡用戶注冊登錄后,可以對個人上網信息進行查詢,包括在線時長、流量、費率、費用清單查詢、余額查詢與轉帳;也可以進行個性化的設置,如上網帶寬的設置、22

校園網建設技術建議書華為商業(yè)機密23校園網建設技術建議書華為商業(yè)機密23選擇接入的ISP、信息愛好、頁面風格;還可以在線實時修改密碼等。通過Web自助管理,極大的方便了用戶,增加了業(yè)務的透明性。5)黑名單賬號保護持卡人利益在密碼連續(xù)輸錯n(n需要具體設定)次后,卡號將被鎖住。因黑名單原因鎖住的卡號,只能到局方指定的受理點解鎖,便于保護合法持卡人的經濟利益。6)廣告充值用戶瀏覽網站上的廣告信息后,回答幾個問題,如果回答正確,則為用戶的帳號充值。每一個廣告每天為用戶充值金額可以有一個限度;所有廣告每天為一張卡充的總值也可以有一定的限度。目前廣告收入是絕大多數網站的主要利潤來源之一,但是目前上網的用戶并不熱衷于點擊廣告。通過廣告充值業(yè)務可以大大地提高用戶點擊廣告的興趣,從而會吸引公司在網上作廣告,增加網站的收入,進而形成良性循環(huán),達到雙贏的目的。4.4組播業(yè)務QuidwayS8016、MA5200E通過標準的組播協議完成用戶的組播管理,并通過HGMP協議將各樓道交換機也納入到組播實現中。由MA5200E完成對其下掛的匯聚交換機以及樓道交換機的組播用戶進行報文復制和發(fā)送。通過這種機制,使得整個網絡的流量做到最優(yōu),有效的保證了視頻點播、網絡電視、會議電視、視頻游戲等視頻業(yè)務的開展,通過組播實現的視頻業(yè)務有:會議電視:利用網絡和數字視像技術實現異地會議的交互傳輸和控制。付費電視:按頻道收費的視訊節(jié)目。視頻點播:交互式電視的一部分,它使用戶可以隨意選擇所需的視訊節(jié)目,并可隨意地控制節(jié)目播出(如快進、快倒、暫停等)。網絡教學:使用視頻和通訊設備實現一點對多點或點對點的交互式異地遠端教學,實現學生和教師的實時交流,學生還可隨時進行學習點播和查詢。5、網管解決方案5.1iManagerN2000綜合網管解決方案隨著XX大學寬帶校園網建設的進一步展開,如何保證XX大學校園網網絡的維護和業(yè)務開23

校園網建設技術建議書華為商業(yè)機密24校園網建設技術建議書華為商業(yè)機密24展,不至于導致運營和維護的紊亂,造成網絡服務中不必要的損失,將顯得極其重要,因此建立一個統(tǒng)一的網管是十分必要的,它既大大降低了維護的工作量,同時對于業(yè)務的開展也提供了強大的功能。XX校園網采用華為技術有限公司產品和技術新建校園網絡,考慮到網絡維護的工作量及其服務對象,建議設立統(tǒng)一的網絡管理中心對整個校園網進行網絡管理,網管系統(tǒng)采用華為公司的iManagerN2000綜合網管系統(tǒng),實現網絡設備的集中管理:【根據實際情況自行加入網管組網圖】iManagerN2000是華為公司的IP城域網、綜合城域網和話音等固定網網管解決方案,在固定網領域向用戶提供集中、統(tǒng)一、分級、分權的網元管理、網絡管理功能,并實現部分業(yè)務供給功能。網元、網絡管理可以管理窄帶交換機、綜合業(yè)務交換機、ATM交換機、L3/L2系列設備、LANSwitch、多業(yè)務接入設備等,業(yè)務管理提供了端到端連接管理功能、VPN管理功能,客戶管理系統(tǒng)等業(yè)務。iManagerN2000除對通信網的設備維護和網絡管理提供支持外,并能夠提供對OSS運營系統(tǒng)的支撐和接口。對于復雜的網絡,由于采用了先進的組件化結構,利用iManagerN2000網管系統(tǒng)可以對全網設備集中管理,對于小規(guī)模的網絡,也可以只安裝必要的組件,節(jié)省投資。拓撲管理拓撲管理用于構造并管理整個通信網絡的網絡拓撲結構,通過自動上載網絡設備的拓撲數據形成與實際網絡拓撲結構相同的網絡拓撲視圖。運行中通過對網絡設備進行定時(根據用戶設定的每一設備的狀態(tài)與配置輪詢間隔時間)的輪循監(jiān)視與設備上報TRAP或告警處理,保證顯示網絡視圖與實際網絡拓撲一致,用戶可通過瀏覽網絡視圖實時了解整個網絡的運行情況。網管系統(tǒng)的拓撲視圖是采用分層結構的,其中拓撲頂層顯示的子圖稱為視圖,根據被管對象的種類和實際需求抽象出了幾種視圖顯示在拓撲的頂層,目前包含了三個邏輯視圖QP設備視圖、交換設備視圖和接入設備視圖)和一個物理視圖。在這些視圖下是子網,它是具有相同屬性的設備的集合,在子網下就是具體的網絡設備,子網也可以再包含子網。其中邏輯視圖中只包含了各自類型的網絡設備,它反映了網絡設備之間的邏輯關系,而物理視圖中的子圖和設備是用戶自己設定的,用戶可以根據地理位置去創(chuàng)建物理子圖并定義它們之間的連接關系。IP視圖用于IP層網絡拓撲的管理,描述整個基于IP路由器的IP網絡的網絡層拓撲結構,主要包括路由器、LAN5亞立而、接入服務器和計算機等IP設備?;贗P路由器的網絡拓撲結構分成兩層,上層由路由器和IP子網組成,IP子網表示某一傳輸類型的物理網絡,如以太網,FrameRelay網等,在同一IP子網下的所有設備具有同樣的IP子網地址設置;路由器和IP子24

校園網建設技術建議書華為商業(yè)機密25校園網建設技術建議書華為商業(yè)機密25網之間通過路由器端口連接,如以太網口,FrameRelay廣域網□等。路由器和路由器之間的連接有兩種:一是通過IP子網連接,如兩路由器通過以太網或FrameRelay網互連;二是直接的點到點連接,如PPP連接等。接入視圖用于各種接入設備的管理,目前包括口0研1接入設備和MA綜合業(yè)務接入設備。交換視圖用于交換設備的管理,目前包括ATM交換機和C&C08交換機,它們分別放在ATM子網和C&C08子網里。對于一個C&C08交換機,拓撲結構是整個作為一個子網,一個模塊作為該子網內的一個網元。物理視圖用于反映網絡設備之間的物理關系和連接,用戶可以自由創(chuàng)建物理子網,在物理子網中加入邏輯子網中已經存在的設備,建立它們之間的連接關系。拓撲管理主要操作有增刪設備或子網,查看節(jié)點、鏈路或子網的狀態(tài),通過定時輪詢或手動啟動對任一設備的狀態(tài)或配置數據輪詢,實時刷新拓撲顯示數據。拓撲管理還具有改變背景圖象、設置網絡對象屬性、保存拓撲視圖修改、查找網絡對象、顯示網絡對象信息、拓撲視圖顯示效果設置等功能。用戶可對每個子網設置背景圖象gif)格式,背景圖象的大小根據窗口大小自動調整。配置管理iManagerN2000提供全網瀏覽樹和設備面板圖對配置進行維護。全網瀏覽樹把網絡中的所有設備按不同的分組方式組織在一個樹形結構中,操作者可靈活切換要進行配置操作的設備。對所有設備和設備組件的操作都通過右鍵菜單來完成。用戶右鍵點中待管理的對象,系統(tǒng)將自動彈出該設備或設備組件所對應的管理菜單,所有設備和設備組件(如端口等)的配置、實時性能管理功能都可通過該右鍵菜單完成。本瀏覽樹可裝載并顯示所有路由器,以及其它支持SNMP協議的設備端口數據,在瀏覽樹中的端口顯示數據包括:端口狀態(tài),端口索引,端口類型,訐地址,掩碼設置(如設置有),用戶右鍵點中該端口即可彈出該端口所對應的配置菜單。通過在拓撲圖上雙擊拓撲設備節(jié)點啟動設備面板圖,在面板視圖上對設備進行配置;設備面板圖和全網瀏覽樹所提供的配置功能是完全一樣的。在面板上進行配置顯得更直觀,提供設備的機架視圖,實時顯示各單板的狀態(tài)和告警信息,對于面板中的每個單板節(jié)點,提供右鍵彈出菜單,該菜單是針對該單板的一系列的應用,包括配置,性能、維護管理等;而全網瀏覽樹則是提供了一種對全網設備進行管理的手段,在配置較多的設備時比較方便。故障管理25

校園網建設技術建議書華為商業(yè)機密26校園網建設技術建議書華為商業(yè)機密26故障管理主要包括對全網設備的告警信息和運行信息進行實時監(jiān)控,查詢設備的歷史告警信息和運行信息,定義發(fā)送過來的SNMPTrap,查詢和配置設備的告警表。故障管理系統(tǒng)收集和處理設備告警。設備告警包括SnmpTrap和MML格式的告警,前者告警來源為SNMP設備,大部分數據通信設備支持SNMP;后者的告警來源為窄帶設備包括HONET接入網設備和C&C08交換機。Trap和Alarm可以同屏顯示也可以分屏顯示。(以下敘述中“告警”如無特殊說明包括SnmpTrap和MMLAlarm)。故障管理系統(tǒng)包括故障管理后臺、實時告警顯示、歷史告警顯示、Trap規(guī)則定義工具,故障監(jiān)視面板和當前故障窗口。故障管理后臺接收設備告警、寫數據庫、發(fā)送給實時告警前臺顯示,如果有其他應用關心某些類型的告警,還要上報給該應用。實時告警顯示從故障后臺實時接收設備告警并顯示;歷史告警顯示從數據庫檢索告警并顯示;實時告警顯示和歷史告警顯示都支持過濾條件,可以檢索指定設備(一個或多個)的告警,也可以按類別檢索指定類型的告警。Trap規(guī)則定義工具主要是定義SnmpTrap的描述信息。因為SnmpTrap是二進制編碼,Trap規(guī)則定義了該二進制流中各字段的描述信息。故障管理后臺接收設備發(fā)送的Trap后根據當前的Trap規(guī)則定義對Trap進行解釋,將解釋后得到的告警數據寫入歷史告警庫,并發(fā)送給前臺程序。MMLAlarm本身是ASCII字符流,故障后臺經過適當的字段定位后直接入庫和發(fā)送給前臺進程。故障監(jiān)視面板為您提供了一個直觀的了解設備故障情況的工具,它可以提供單個設備或所有設備的告警狀態(tài)數據,實時刷新狀態(tài)數據,并可以通過激活當前告警窗口為您提供告警的詳細數據。它由六個代表不同級別故障的告警燈來顯示設備故障狀態(tài),當有未恢復且并未被確認的情況下告警燈轉亮,在沒有該級別告警或所有該級別告警已經被確認的情況下變?yōu)榛疑?。每個告警燈的下方分別列出該級別故障的總數和已經被確認的記錄數。當前故障窗口反映了設備的當前故障數據,缺省狀態(tài)進入時會顯示所有設備當前時刻所有未恢復的告警。并隨時實時刷新數據。在故障監(jiān)視面板中選取當前設備告警明細表功能也可以激活當前告警窗口。性能管理用戶可以獲得網絡的各種當前性能數據,并可以設置性能的門限值,當性能超過門限時,網絡以告警的方式通知網管系統(tǒng)。用戶也可以收集一定時間段內的性能數據,并保存在數據庫中,以做進一步的分析。該應用提供三種方式對采集來的數據進行顯示:折線圖方式、直方圖方式和餅圖方式。折線圖方式在一個窗口內可顯示一定時間范圍內的各個對象表達式的值;直方圖方式在一個窗口內只顯示某一采集時間點的各個對象表達式的值;餅圖方式顯示的是某一數據采集點各個對象表達式之間的比例值。用戶在此應用中還可以設置對性能數據輪循的間隔,采集數據的顯示比例和顯示顏色。安全管理26

校園網建設技術建議書華為商業(yè)機密27校園網建設技術建議書華為商業(yè)機密27安全管理完成網管系統(tǒng)本身的安全控制,包括下列內容:用戶管理、操作日志管理、用戶登錄/退出管理。系統(tǒng)安全主要通過網管用戶權限進行控制,用戶在啟動網管客戶端后,需用已經建立的網管用戶登錄,并且只能以用戶屬性中設定的讀寫權限執(zhí)行該用戶指定可以執(zhí)行的網管應用。網管系統(tǒng)各管理應用對用戶執(zhí)行的敏感操作進行記錄,管理員可通過瀏覽用戶操作日志來取得系統(tǒng)的所有管理操作信息。計費管理計費系統(tǒng)主要包括計費數據的采集和處理兩個方面。目前,計費數據采集包括從設備上采集的基于端口的流量數據和從Radius服務器上采集的接入用戶的認證數據,計費系統(tǒng)通過FTAM或FTP協議從設備上或Radius服務器上取得計費數據并進行相應的轉換,由帳務系統(tǒng)進行后處理工作。此外,計費系統(tǒng)還可以對城域網上的相應增值服務進行計費,如PPV,VOD,電視會議,內容服務等,例如按PPV影片的部數計費,按影片的類別進行計費等。網管系統(tǒng)一方面對計費系統(tǒng)的設備如計費系統(tǒng)的主機和Radius服務器設備進行監(jiān)控和管理,另外方面,對城域網設備進行配置,如配置要統(tǒng)計的基于流量的計費數據采集內容和計費數據文件的格式。一般,在設備通過FTAM/FTP協議向計費中心傳送計費數據時,設備一般作為客戶端,而計費中心的作為服務器,這樣,網管系統(tǒng)可以配置設備往那個計費中心發(fā)送計費數據。此外,計費系統(tǒng)通常和用戶的運維系統(tǒng)相聯,計費系統(tǒng)需要對設備進行操作(如某用戶欠費停機,計費系統(tǒng)需要對設備進行操作),此時,計費系統(tǒng)通過和網管系統(tǒng)接口,由網管系統(tǒng)下發(fā)對設備操作指令,將操作結果送給計費系統(tǒng)。分級網管功能說明:分級網管組成:分級網管目前實現告警和拓撲功能:告警:下級網管根據設置的過濾條件向上級網管轉發(fā)告警(包^rap和MML告警);拓撲:上級網管定時輪詢下級網管的拓撲表,更新本地的拓撲表和拓撲前臺的節(jié)點狀態(tài);分級網管主要由以下幾部分組成:1分級網管控制中心(ManageCenter)運行在上級網管.主要完成以下功能:1、添加下級網管;27校園網建設技術建議書華為商業(yè)機密282、添加或刪除下級網管的管理域;3、查看下級網管的網管Agent,用戶,數據庫和物理對象信息;4、設置下級網管上報告警的過濾條件;2網管Agent(NMAgent)運行在下級網管.主要完成以下功能:1、系統(tǒng)信息a.AGENT描述信息b.下級網管站數據庫信息2、安全管理a.管理域的配置與查詢b.用戶信息的查詢物理對象信息a.物理設備的查詢4、拓撲信息a.拓撲節(jié)點信息的查詢b.拓撲連接信息的查詢c.子圖信息的查詢5、故障管理TRAP轉發(fā)條件的配置與查詢(級別,企業(yè)ID,設備IP)。TRAP轉發(fā)3分級網管Agent拓撲管理后臺(HierTopoMd)運行在上級網管.主要完成以下功能:1、定時輪詢下級網管的節(jié)點,連接和子網。2、更新上級網管的節(jié)點,,連接和子網及拓撲前臺的拓撲狀態(tài)28校

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論