河海大學(xué)校區(qū)網(wǎng)絡(luò)方案

河海大學(xué)常州校區(qū)網(wǎng)絡(luò)建設(shè)

解決方案

目錄

第一章網(wǎng)絡(luò)建設(shè)需求1

第二章網(wǎng)絡(luò)平臺設(shè)計2

2.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計2

2.2設(shè)備選型3

2.2.7核心交換機(jī)3

2.2.2匯聚交換機(jī)6

2.2.3接入交換機(jī)7

2.3實(shí)驗(yàn)樓接入控制改造7

2.4網(wǎng)絡(luò)拓?fù)浼罢f明8

第三章網(wǎng)絡(luò)接入認(rèn)證方案設(shè)計10

3.1802.IX認(rèn)證技術(shù)10

3.1.1802.IX的體系結(jié)構(gòu)10

3.1.2IEEE802.IX的工作機(jī)制11

3.1.3IEEE802.IX的認(rèn)證流程11

3.1.4華為3com公司VRP系統(tǒng)對802.IX技術(shù)12

3.2802.IX接入認(rèn)證系統(tǒng)實(shí)現(xiàn)13

3.2.1系統(tǒng)角色13

3.2.2認(rèn)證過程13

3.2.3認(rèn)證系統(tǒng)對LDAP的支持14

第四章網(wǎng)絡(luò)計費(fèi)方案設(shè)計16

4.1CAMS系統(tǒng)對計費(fèi)類型的支持16

4.1.1包月計費(fèi)16

4.1.2時長計費(fèi)17

4.1.3流量計費(fèi)17

4.1.4靈活的先或后付費(fèi)方式18

4.2計費(fèi)方案的選擇20

4.3針對高校用戶群的特色功能20

第五章網(wǎng)絡(luò)運(yùn)營方案設(shè)計21

5.1用戶管理21

5.1.1自定義用戶管理信息21

5.1.2用戶自助管理21

5.1.3防止用戶逃避收費(fèi)22

5.1.4防止1P地址盜用22

5.1.5用戶上網(wǎng)時間限制23

5.1.6用戶流量限速23

5.1.7用戶日志管理23

5.2帳務(wù)管理24

第六章網(wǎng)絡(luò)系統(tǒng)安全設(shè)計26

6.1網(wǎng)絡(luò)平臺安全26

6.1.1網(wǎng)絡(luò)互聯(lián)互通分析及安全控制26

6.1.2設(shè)備安全防護(hù)26

6.1.3設(shè)備提供動態(tài)訪問控制29

6.2認(rèn)證系統(tǒng)安全29

6.3網(wǎng)絡(luò)用戶安全30

6.3.1用戶信息加密傳輸30

6.3.2黑名單功能31

第七章網(wǎng)絡(luò)管理方案設(shè)計32

7.1網(wǎng)絡(luò)集中監(jiān)視32

7.2故障管理32

7.3集群管理33

7.4流量性能監(jiān)控33

7.5故障定位與地址反查34

7.6WEB特性34

第八章整體解決方案特點(diǎn)35

8.1完善的網(wǎng)絡(luò)接入控制及運(yùn)營方案35

8.2完全的分布式的處理方式35

8.3對于新特性的業(yè)務(wù)支持力度IPv636

8.4量身定做的校園網(wǎng)內(nèi)部服務(wù)器的負(fù)載均衡36

8.5基于復(fù)雜流的檢測和控制37

8.6QOS功能37

8.7組播業(yè)務(wù)38

附錄39

1華為&華為3COM公司介紹39

1.1華為技術(shù)有限公司概況39

1.2華為3com有限公司概況41

1.3華為3com公司數(shù)據(jù)通信產(chǎn)品概況42

2組網(wǎng)產(chǎn)品介紹44

2.1Quidway?S8500系列萬兆核心多業(yè)務(wù)路由交換機(jī)44

2.2Quidway@S3500系列安全智能三層交換機(jī)48

2.4Quidway@S2000系列邊緣接入交換機(jī)54

2.5用戶綜合訪問管理系統(tǒng)CAMS57

2.6網(wǎng)管系統(tǒng)QuidView59

3部分教育行業(yè)用戶名單66

華為3C，

—河海大學(xué)常州校區(qū)網(wǎng)絡(luò)建設(shè)解決方案

第一章網(wǎng)絡(luò)建設(shè)需求

河海大學(xué)常州校區(qū)經(jīng)過多年建設(shè)，已經(jīng)建成了一套覆蓋校園大多數(shù)樓宇的計

算機(jī)網(wǎng)絡(luò)系統(tǒng)，為校園的教學(xué)和科研工作起到良好的信息支撐作用。但隨著校區(qū)

規(guī)模的不斷發(fā)展，在校師生不斷增加，上網(wǎng)的人數(shù)也在飛速遞增，使得校園網(wǎng)無

論是在為師生提供接入上還是在網(wǎng)絡(luò)的安全管理方面都無法滿足學(xué)校的發(fā)展要

求。因此，校方考慮啟動河海大學(xué)常州校區(qū)校園網(wǎng)絡(luò)的新建和改造工程。這次工

程建設(shè)的目標(biāo)是：

1、滿足新建成的三棟學(xué)生宿舍樓和校行政樓的信息點(diǎn)接入及網(wǎng)絡(luò)接入管

理；

2、對實(shí)驗(yàn)樓的接入加以改造，實(shí)現(xiàn)對計算機(jī)房接入的認(rèn)證控制。

本次新建的信息點(diǎn)分布如下：

建筑名信息點(diǎn)

新建宿舍一120

新建宿舍120

新建宿舍120

行政樓250

華為3com公司基于對河海大學(xué)常州校區(qū)校園網(wǎng)建設(shè)需求的初步了解，提交

這份建議方案初稿，供各位領(lǐng)導(dǎo)和老師審閱。未來可根據(jù)領(lǐng)導(dǎo)和老師的意見進(jìn)--

步優(yōu)化方案，提供最符合校方需求的客戶化定制解決方案。

華為3C，

河海大學(xué)常州校區(qū)網(wǎng)絡(luò)建設(shè)解決方案

第二章網(wǎng)絡(luò)平臺設(shè)計

網(wǎng)絡(luò)的設(shè)計需求各不相同，下面根據(jù)校方的建設(shè)需求對網(wǎng)絡(luò)設(shè)計中的重要問

題加以考慮。

2.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計

依據(jù)網(wǎng)絡(luò)分層設(shè)計的原則，網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)可以分為三級架構(gòu)和二級架構(gòu)兩

種。

二級架構(gòu)即：核心交換機(jī)一一接入交換機(jī)，核心交換機(jī)同接入交換機(jī)不經(jīng)匯

聚設(shè)備直接互連，這種拓?fù)涞膬?yōu)勢在于：

1、網(wǎng)絡(luò)傳輸效率更高：在兩層的網(wǎng)絡(luò)拓樸結(jié)構(gòu)中，有效減少了像三層網(wǎng)絡(luò)

中出現(xiàn)的復(fù)雜的包轉(zhuǎn)發(fā)情況，減少轉(zhuǎn)發(fā)步驟，同時提高網(wǎng)絡(luò)效率。

2、網(wǎng)絡(luò)傳輸時延更小：在兩層結(jié)構(gòu)中可以采用千兆到桌面的方式，更大的

增加了網(wǎng)絡(luò)帶寬，提高了網(wǎng)絡(luò)傳輸速度。

3、省去匯聚交換設(shè)備，成本更低。

三級架構(gòu)即：核心交換機(jī)一一匯聚交換機(jī)一一接入交換機(jī)，其中匯聚交換機(jī)

多為路由交換機(jī)，因此這種方案實(shí)現(xiàn)了全網(wǎng)的分布式路由交換處理，其優(yōu)勢體現(xiàn)

在：

1、細(xì)分網(wǎng)絡(luò)。將網(wǎng)絡(luò)在更小的范圍內(nèi)細(xì)分，實(shí)現(xiàn)更強(qiáng)和更安全的管理；

2、減小了以太網(wǎng)網(wǎng)絡(luò)的沖突區(qū)域，提高了數(shù)據(jù)的傳輸質(zhì)量。

3、增強(qiáng)了全網(wǎng)的路由處理能力，在同一匯聚交換機(jī)下的三層數(shù)據(jù)交換在本

地完成，提高了效率，降低了核心三層交換機(jī)的負(fù)擔(dān)。

4、有利于全網(wǎng)數(shù)據(jù)流量的合理分配，本地的數(shù)據(jù)流不再需要到核心交換機(jī)

交換數(shù)據(jù)，提高了效率，優(yōu)化了全網(wǎng)流量。

綜合上面兩種拓?fù)浣Y(jié)構(gòu)，兩種拓?fù)浞绞降倪m用情況各不相同。二級架構(gòu)適用

于信息點(diǎn)較少，本地三層數(shù)據(jù)交換較少的情況；三級架構(gòu)則適用于信息點(diǎn)較多，

數(shù)據(jù)在本地交換較多的情況。

根據(jù)前述的分析，河海大學(xué)常州校區(qū)本次網(wǎng)絡(luò)建設(shè)的主要是學(xué)生宿舍區(qū)，信

華為3C，

—河海大學(xué)常州校區(qū)網(wǎng)絡(luò)建設(shè)解決方案

息點(diǎn)相對較為集中，本地的三層數(shù)據(jù)交換較多，故建議采用三級架構(gòu)網(wǎng)絡(luò)拓?fù)洹?/p>

以卜.為從網(wǎng)絡(luò)結(jié)構(gòu)的每個層面對常州河海網(wǎng)絡(luò)設(shè)備的選型進(jìn)行分析。

針對網(wǎng)絡(luò)的分層體系結(jié)構(gòu)，需要根據(jù)需求對每個層次的設(shè)備加以選擇。

2.2設(shè)備選型

2.2.1核心交換機(jī)

雖然本次校園網(wǎng)建設(shè)主要是新建樓宇的接入，但考慮到校園網(wǎng)的信息點(diǎn)數(shù)越

來越多，核心交換機(jī)的負(fù)擔(dān)必將越來越重，對其可靠性的要求必然越來越高。而

在現(xiàn)有的校園中，核心為思科公司的三層交換機(jī)C5000系列交換機(jī)，由于無法

滿足目前網(wǎng)絡(luò)發(fā)展的要求，目前思科公司已不再銷售此類產(chǎn)品。作為工作了三年

多的產(chǎn)品，這臺核心交換機(jī)已進(jìn)入了事故和故障的頻發(fā)期。在目前全校校園網(wǎng)單

核心的情況下，校園網(wǎng)絡(luò)的連續(xù)運(yùn)行存在著巨大的威脅，一旦這臺核心交換機(jī)故

障，沒有備用的核心交換機(jī)設(shè)備，全校網(wǎng)絡(luò)必定陷入癱瘓。

為提高校園網(wǎng)的可靠和穩(wěn)定性，考慮增購一臺三層核心路由交換機(jī)，同現(xiàn)有

的設(shè)備負(fù)載分擔(dān)，相互備份。

對于本網(wǎng)絡(luò)的核心層的設(shè)備建議采用大容量且具備智能的多層交換功能特

性，根據(jù)網(wǎng)絡(luò)技術(shù)的發(fā)展與產(chǎn)品應(yīng)用的定位，建議校園網(wǎng)核心設(shè)備擁有超過190G

的高容量，充分滿足一萬個使用用戶的網(wǎng)絡(luò)需求，同時提供快速的智能處理過程。

考慮將來可能會開展的視頻會議、視頻點(diǎn)播等業(yè)務(wù)，網(wǎng)絡(luò)需具有多種寬帶實(shí)時業(yè)

務(wù)的能力，這就要具有智能多層交換機(jī)，在第4層是傳輸層，基于TCP端口號進(jìn)

行大量精確的流處理能力。

在設(shè)備的處理結(jié)構(gòu)上，要采用結(jié)構(gòu)化的設(shè)計，在高速大容量的總線帶寬下，

還要提供分布式的處理與結(jié)構(gòu)化的設(shè)計，對于核心的每個模塊要支持熱插拔，并

且根據(jù)將來的擴(kuò)展要預(yù)留擴(kuò)展槽位。為了保證核心網(wǎng)絡(luò)的高可用性不允許滿配置

的核心設(shè)備對網(wǎng)絡(luò)的負(fù)載進(jìn)行單一的規(guī)?；?，在網(wǎng)絡(luò)的擴(kuò)展時，核心設(shè)備應(yīng)支持

分擔(dān)負(fù)載的能力，這樣才能使整個核心網(wǎng)絡(luò)大大提升工作效率。

針對校園網(wǎng)對核心交換機(jī)的要求，建議配置華為3com萬兆核心多業(yè)務(wù)路由

交換機(jī)Quidway?S8505。Quidway?S8500基于10G平臺設(shè)計，并支持新一代高

華為3C，

—河海大學(xué)常州校區(qū)網(wǎng)絡(luò)建設(shè)解決方案

性能萬兆接口，能夠?yàn)樾@網(wǎng)提供超高速鏈路，構(gòu)建端到端以太網(wǎng)絡(luò)，打造低成

本、高性能、具有豐富業(yè)務(wù)支持能力的高性能網(wǎng)絡(luò)。S8505提供大容量、高密度、

模塊化的二、三層線速轉(zhuǎn)發(fā)性能，而且支持分布式線速轉(zhuǎn)發(fā)，同時具有豐富的業(yè)

務(wù)功能、強(qiáng)大的QoS保障、完善的安全管理機(jī)制和電信級的高可靠設(shè)計，完全

滿足高端用戶對多業(yè)務(wù)、高可靠、大容量、高帶寬的需求。S8505具有如下產(chǎn)品

特點(diǎn)來滿足核心交換機(jī)的要求：

?先進(jìn)的體系結(jié)構(gòu)：

S8505采用全分布式體系結(jié)構(gòu)設(shè)計，采用功能強(qiáng)大的ASIC芯片進(jìn)行高速路

由查找，并通過Crossbar技術(shù)進(jìn)行高速報文交換，從而大大提升了路由交換機(jī)的

轉(zhuǎn)發(fā)性能和擴(kuò)充能力。Crossbar交換網(wǎng)芯片內(nèi)置于主控板，不再單獨(dú)占用設(shè)備槽

位，可提供高達(dá)720Gbps的交換容量，并可以通過軟件設(shè)置工作在主備或負(fù)荷

分擔(dān)方式。接口板通過多個10G總線分別連到兩塊主控板上的Crossbar交換網(wǎng)，

從而實(shí)現(xiàn)真正的雙主控、雙交換網(wǎng)的熱備份，極大的提高了系統(tǒng)的可靠性。

S8505采用了新一代高性能的ASIC芯片設(shè)計，采用最長匹配、逐包轉(zhuǎn)發(fā)的

方式。隨著設(shè)計水平的不斷提高，以及工藝、集成度的不斷增加，ASIC芯片在

保持現(xiàn)有低成本的基礎(chǔ)上，已經(jīng)能夠完成線速最長匹配，克服了以前AS1C芯片

只能處理精確匹配表以及處理最長匹配表只能用軟件實(shí)現(xiàn)的缺陷，從而在保持線

速性能和低成本的基礎(chǔ)上，革命性的解決了傳統(tǒng)交換機(jī)的缺陷，能夠有效的抗擊

網(wǎng)絡(luò)“紅色代碼”、“沖擊波”等病毒的攻擊，更加適合大規(guī)模、多業(yè)務(wù)，復(fù)雜流

量訪問的網(wǎng)絡(luò)，更加適合以太網(wǎng)的城域化發(fā)展。

?大容量、高密度線速交換

S8505可以提供高達(dá)1.8T背板帶寬、720Gbps交換容量、432Mpps轉(zhuǎn)發(fā)能力。

并可提供高密度接口板，支持線速轉(zhuǎn)發(fā)。此外在保持線速轉(zhuǎn)發(fā)性能的基礎(chǔ)上，支

持各種高密度接口板和組合接口板，滿足核心層設(shè)備高密度、高吞吐量的要求。

S8505還具有強(qiáng)大的硬件平臺升級能力。在背板上預(yù)留大量的總線接口用于

以后擴(kuò)容，系統(tǒng)交換容量可以平滑擴(kuò)容到幾個T比特級，滿足用戶日益增長的

帶寬需求，并極大的保護(hù)和節(jié)約用戶投資。

?新一代萬兆接口支持

新一代萬兆以太網(wǎng)接口提供了更豐富的帶寬和強(qiáng)大的處理能力、保持了以太

華為3C，

—河海大學(xué)常州校區(qū)網(wǎng)絡(luò)建設(shè)解決方案

網(wǎng)一貫的兼容性和簡單易用，升級便利。同時萬兆以太網(wǎng)為城域和廣域的應(yīng)用提

供了針對性的解決措施，可以簡化網(wǎng)絡(luò)結(jié)構(gòu)、降低網(wǎng)絡(luò)建設(shè)成本。

S8505提供的新一代萬兆以太網(wǎng)克服了早期萬兆以太網(wǎng)的諸多局限，在線速

轉(zhuǎn)發(fā)的基礎(chǔ)上能夠提供強(qiáng)大的QoS保障，并支持豐富的ACL、策略路由、安全

等特性。新一代萬兆以太網(wǎng)可以支持線速的MPLS轉(zhuǎn)發(fā)，可以提供更好的IPVPN

業(yè)務(wù)和透明的LAN服務(wù)，更可以通過MPLSTE來提供流量工程功能。

S8505除了提供標(biāo)準(zhǔn)的LAN接口，還可以提供使用波分復(fù)用技術(shù)的

10GBASE-LX4接I」，從而大大提高了用戶組網(wǎng)的靈活性。

?MPLS/IPv6分布式線速支持

S8505遵循業(yè)務(wù)與性能并重的設(shè)計理念。一方面帶寬和網(wǎng)絡(luò)規(guī)模的增長推動

核心路由交換機(jī)的性能容量不斷提升，另一方面業(yè)務(wù)的發(fā)展要求核心交換機(jī)更加

智能化并具備更強(qiáng)的業(yè)務(wù)提供能力。S8505采用功能強(qiáng)大的ASIC芯片實(shí)現(xiàn)

MPLS、IPv6的分布式線速轉(zhuǎn)發(fā)，并以10GNP實(shí)現(xiàn)線速NAT、Webswitch等高

性能業(yè)務(wù)，在為用戶提供全面業(yè)務(wù)的同時一，也可根據(jù)實(shí)際需求對業(yè)務(wù)進(jìn)行靈活裁

減。

?電信級可靠性設(shè)計

S8505采用分布式結(jié)構(gòu)，支持雙主控交換板，無源背板設(shè)計，所有單板支持

熱插拔；電源系統(tǒng)采用1+1冗余熱備份，并支持雙路電源輸入；支持

STP/RSTP/MSTP協(xié)議和VRRP協(xié)議，能夠滿足苛刻的電信級網(wǎng)絡(luò)可靠性要求，

系統(tǒng)可靠性達(dá)到：99.999%。

?完善的安全機(jī)制：

S8505支持OSPF、RIPv2及BGPv4報文的明文及MD5密文認(rèn)證；采用

802.1X方式對接入用戶進(jìn)行認(rèn)證，支持安全的SNMPv3的網(wǎng)管協(xié)議、支持配置

安全，對登錄用戶進(jìn)行認(rèn)證，不同級別的用戶有不同的配置權(quán)限，并提供兩種用

戶認(rèn)證方式：本地認(rèn)證和RADIUS認(rèn)證。

S8505還支持標(biāo)準(zhǔn)Radius協(xié)議，同時提供Radius+功能；以及HCBM?

為可控組播管理協(xié)議）功能支持。

總之，S8505作為校園網(wǎng)的核心交換機(jī)，可同原有的思科設(shè)備共同雙機(jī)備份,

為校園網(wǎng)提供高性能、高安全的數(shù)據(jù)交換。

華為3C，

—河海大學(xué)常州校區(qū)網(wǎng)絡(luò)建設(shè)解決方案

2.2.2匯聚交換機(jī)

從網(wǎng)絡(luò)實(shí)際應(yīng)用的角度看匯聚交換機(jī)主要用于信息點(diǎn)的接入層交換機(jī)的集

中并根據(jù)業(yè)務(wù)網(wǎng)絡(luò)需求快速的送往核心網(wǎng)絡(luò)交換機(jī)。根據(jù)合理的設(shè)計原則，滿足

實(shí)際的網(wǎng)絡(luò)應(yīng)用需求，需要有一個擁有一個智能交換機(jī)來充當(dāng)匯聚層的網(wǎng)絡(luò)設(shè)

備。也就是采用的多層交換設(shè)備，同時提供可與核心配合實(shí)現(xiàn)整體的智能功能包

括2至7層的訪問控制，可以有策略的透傳二層的業(yè)務(wù)信息。

針對要求，建議配置華為3com安全智能三層交換機(jī)Quidway?S3528Po

S3528P是具有24個固定100M以太網(wǎng)端口和4個SFP千兆擴(kuò)展端口的交換機(jī)，

具有如下特點(diǎn)：

?大容量全線速的多層交換

32Gbps的總線帶寬為交換機(jī)所有的端口提供三層線速交換能力，系統(tǒng)能夠

提供4個GE,有效解決了在單臺設(shè)備上多個千兆鏈路上行的需求，極大的節(jié)省

了用戶對設(shè)備投資。設(shè)備硬件支持層線速交換，能夠識別、處理四到七層的應(yīng)用

業(yè)務(wù)流，所有端口都具有單獨(dú)的數(shù)據(jù)包過濾、區(qū)分不同應(yīng)用流，并根據(jù)不同的流

進(jìn)行不同的管理和控制。

?完備的安全控制策略

S3528P安全智能三層交換機(jī)基于最長匹配的路由策略，系統(tǒng)采用逐包轉(zhuǎn)發(fā)

方式，保證了所有報文均獲得相同的轉(zhuǎn)發(fā)性能，對“紅碼病毒”和“沖擊波病毒”

的攻擊具有天生的防御能力，有效保證了設(shè)備安全。

?高可靠性

S3528P全智能三層交換機(jī)不僅支持STP/RSTP生成樹協(xié)議，還提供了基于

多VLAN的生成樹MSTP,極大提高了鏈路的冗余備份，提高容錯能力，保證

網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。

?豐富的Q0S策略

S3528P安全智能三層交換機(jī)支持基于源MAC地址、目的MAC地址、源IP

地址、目的IP地址、端口、協(xié)議的L2~L7復(fù)雜流分類；支持1K個流規(guī)則。提

供了靈活的隊列調(diào)度算法，可以同時基于端口和隊列進(jìn)行設(shè)置，支持SP(Strict

Priority)、WRR(WeightedRoundRobin)>SP+WRR三種模式；支持8個優(yōu)先級

隊列，3個丟棄優(yōu)先級；支持WRED擁塞避免算法和端口流量整形。支持CAR

華為3C，

—河海大學(xué)常州校區(qū)網(wǎng)絡(luò)建設(shè)解決方案

(CommittedAccessRate)功能，流量限速的粒度為8Kbit/s。

S3528P可為網(wǎng)絡(luò)提供高性能的流量聚集及硬件轉(zhuǎn)發(fā)，可提供良好的QoS,

保障校園網(wǎng)絡(luò)的多業(yè)務(wù)運(yùn)行。

2.2.3接入交換機(jī)

接入交換機(jī)的責(zé)任并不只作簡單的數(shù)據(jù)接入交換，而且還要具備劃分VLAN

的功能，以實(shí)現(xiàn)廣播抑制，同時還需要實(shí)現(xiàn)QOS,端口、擁塞管理、流控、整

體安全等智能功能完全。

針對要求，建議配置華為3Com接入交換機(jī)Quidway?S2403H。S2403H是

為要求具備高性能且易于安裝的網(wǎng)絡(luò)環(huán)境而度身定做的新一代可網(wǎng)管的交換機(jī)。

使用專用的ASIC芯片實(shí)現(xiàn)線速的L2層交換，并提供豐富的管理手段，提供高速

Ethernet接入服務(wù)。S2403H除滿足一般的接入要求外，還具有如下特點(diǎn)：

?支持802.1X,可提供安全的接入平臺；

?支持HGMP,實(shí)現(xiàn)群組管理，便于同時對大量接入設(shè)備的管理；

?支持二層組播，可實(shí)現(xiàn)可控組播，便于校園網(wǎng)開展多媒體應(yīng)用服務(wù)；

?獨(dú)特的isolate-user-vlan技術(shù)，既可以隔離用戶，又可以節(jié)省VLAN資

源，提高全網(wǎng)安全性；

?多樣的終端用戶控制手段，支持MAC+PORT的捆綁，支持防止雙網(wǎng)卡

代理上網(wǎng)，有效地防止非法用戶的產(chǎn)生。

2.3實(shí)驗(yàn)樓接入控制改造

實(shí)驗(yàn)樓為校方已完成建設(shè)的樓宇，過去沒有采用任何接入認(rèn)證控制手段，任

何一個用戶無需經(jīng)過驗(yàn)證既可接入校園網(wǎng)絡(luò)，加之實(shí)驗(yàn)樓接入用戶較為復(fù)雜，包

含學(xué)生用戶、教工用戶及校公共計算機(jī)房，為網(wǎng)絡(luò)安全留下隱患。

為加強(qiáng)管理，建議在原有的實(shí)驗(yàn)樓匯聚設(shè)備上增加一臺華為寬帶接入認(rèn)證服

務(wù)器MA5200F,可實(shí)現(xiàn)對用戶的區(qū)分分別進(jìn)行接入控制，如教工用戶不用認(rèn)證，

機(jī)房則需認(rèn)證計費(fèi)使用。同時一，認(rèn)證方式采用WEB+Portal方式進(jìn)行，用戶無

需升級或下載任何軟件，只要有網(wǎng)絡(luò)瀏覽器(如IE)既可。

華為3C，

河海大學(xué)常州校區(qū)網(wǎng)絡(luò)建設(shè)解決方案

2.4網(wǎng)絡(luò)拓?fù)浼罢f明

基于前面的拓?fù)浼皩?shí)際情況，河海大學(xué)常州校區(qū)的網(wǎng)絡(luò)拓?fù)涫疽鈭D如下:

河海大學(xué)常州校區(qū)網(wǎng)絡(luò)拓?fù)涫疽鈭D華為3cgy

合力田痂夫91

：千兆粉千兆雙紋線百光魂嫩

圖2-1校園網(wǎng)拓?fù)涫疽鈭D

本次網(wǎng)絡(luò)建設(shè)增購一臺核心設(shè)備S8505放置校中心機(jī)房，同原先的思科5000

系列交換機(jī)通過兩條鏈路做聚合后互連，互相備份，提高網(wǎng)絡(luò)的可靠性。S8505

配置雙電源，提高了核心設(shè)備的可靠性。匯聚層S3528P和接入層S2403H皆位

于各樓宇的配線間內(nèi)，各配線間接入層交換機(jī)通過百兆電口上聯(lián)本配線間內(nèi)的匯

聚交換機(jī)后通過光纖上聯(lián)到核心交換機(jī)S8505上，同時連接一條鏈路到核心交換

機(jī)思科5000系列，這樣新建單位的信息點(diǎn)數(shù)據(jù)轉(zhuǎn)發(fā)由S8005完成，原有設(shè)備作

為備份。這要的配置可在宿舍區(qū)形成了分布式的三層轉(zhuǎn)發(fā)網(wǎng)絡(luò)，優(yōu)化了全網(wǎng)的流

量。

考慮到實(shí)驗(yàn)樓內(nèi)的信息點(diǎn)數(shù)較多，有校機(jī)房，且用戶復(fù)雜，有教職工，也有

學(xué)生，為加強(qiáng)校園網(wǎng)管理，在原有的樓道三層交換機(jī)上旁掛一臺MA5200F,完

成對接入用戶的管理改造。改造后，用戶在機(jī)房上網(wǎng)需經(jīng)校園網(wǎng)CAMS系統(tǒng)統(tǒng)

一認(rèn)證和計費(fèi)，并保存上網(wǎng)日志。這種改造可最大限度減少對原有網(wǎng)絡(luò)的調(diào)整，

華為3C，

—河海大學(xué)常州校區(qū)網(wǎng)絡(luò)建設(shè)解決方案

僅需增加一臺設(shè)備既可。

全網(wǎng)配置華為3Com公司的CAMS系統(tǒng)完成全網(wǎng)的同一認(rèn)證和計費(fèi)，使用

QuidView完成網(wǎng)絡(luò)的圖形化管理。

華為3C，

河海大學(xué)常州校區(qū)網(wǎng)絡(luò)建設(shè)解決方案

第三章網(wǎng)絡(luò)接入認(rèn)證方案設(shè)計

目前，主流的接入認(rèn)證技術(shù)有三種分別式：PPPoE、WEBPortal.802.1X。

作為高校，其用戶具有一定的特點(diǎn)，表現(xiàn)為：

1.用戶集中；

2.流量集中；

3.上網(wǎng)時段集中；

4.應(yīng)用復(fù)雜。

因此，采用分布式認(rèn)證方式的802.1X技術(shù)在高校被廣為使用。

3.1802.1X認(rèn)證技術(shù)

3.1.1802.1X的體系結(jié)構(gòu)

IEEE802.1X的體系結(jié)構(gòu)如卜.圖所示。802.1X系統(tǒng)共有三個實(shí)體：Supplicant

（客戶端）,AuthenticatorSystem（設(shè)備端），AuthenticationServerSystem（認(rèn)證

服務(wù)器）。

圖37IEEE802.1X認(rèn)證系統(tǒng)體系結(jié)構(gòu)

客戶端是位于點(diǎn)對點(diǎn)局域網(wǎng)段一端的一個實(shí)體，由連接到該鏈接另一端的設(shè)

備端對其進(jìn)行認(rèn)證?？蛻舳艘话銥橐粋€用戶終端設(shè)備，用戶通過啟動客戶端軟件

發(fā)起802.1X認(rèn)證?？蛻舳吮仨氈С諩APOL協(xié)議。

華為3C，

—河海大學(xué)常州校區(qū)網(wǎng)絡(luò)建設(shè)解決方案

設(shè)備端是位于點(diǎn)對點(diǎn)局域網(wǎng)段一端的一個實(shí)體，便于對連接到該鏈接另一端

的實(shí)體進(jìn)行認(rèn)證。設(shè)備端通常為支持802.1X協(xié)議的網(wǎng)絡(luò)設(shè)備，它為客戶端提供

接入局域網(wǎng)的端口，該端口可以是物理端口（如以太網(wǎng)交換機(jī)的一個以太網(wǎng)口或

者AP的接入信道），也可以是邏輯端口（如用戶的MAC地址、VLANID等）。

認(rèn)證服務(wù)器是為設(shè)備端提供認(rèn)證服務(wù)的實(shí)體。認(rèn)證服務(wù)器用于實(shí)現(xiàn)用戶的認(rèn)

證、授權(quán)和計費(fèi)。一般，認(rèn)證服務(wù)器均為RADIUS服務(wù)器。

3.1.2IEEE802.1X的工作機(jī)制

IEEE802.1X認(rèn)證系統(tǒng)利用EAP協(xié)議，作為在客戶端和認(rèn)證服務(wù)器之間交換

認(rèn)證信息的手段。

在客戶端PAE與設(shè)備端PAE之間，EAP協(xié)議報文使用EAPOL封裝格式，

直接承載于LAN環(huán)境中。

在設(shè)備端PAE與RADIUS服務(wù)器之間，EAP協(xié)議報文可以使用EAPOR封

裝格式（EAPoverRADIUS）,承鞅RADIUS協(xié)議中；也可以由設(shè)備端PAE進(jìn)

行終結(jié)，而在設(shè)備端PAE與RADIUS服務(wù)器之間傳送PAP協(xié)議報文或CHAP協(xié)

議報文（參見IETFRFC1994）。

設(shè)備端PAE和認(rèn)證功能相分離，RADIUS服務(wù)器可以使用多種不同的認(rèn)證

機(jī)制對客戶端PAE進(jìn)行認(rèn)證，包括MD5-challenge、TLS、PAP、智能卡、Kerberos、

PublicKeyEncryptionOneTimePasswords等等。在非共享網(wǎng)段的有線LAN中，

一般實(shí)現(xiàn)MD5-challenge認(rèn)證機(jī)制；在共享網(wǎng)段的有線LAN和WLAN中，通常

實(shí)現(xiàn)雙向認(rèn)證。

設(shè)備端PAE根據(jù)RADIUS服務(wù)器的指示（Accept或Reject）決定受控端口

的授權(quán)/非授權(quán)狀態(tài)。

RADIUS協(xié)議承載的

圖3-2IEEE802.1X認(rèn)證系統(tǒng)的工作機(jī)制

3.1.3IEEE802.1X的認(rèn)證流程

以設(shè)備端PAE對EAP報文進(jìn)行中繼轉(zhuǎn)發(fā)為例，IEEE802.IX認(rèn)證系統(tǒng)的基

華為3C，

河海大學(xué)常州校區(qū)網(wǎng)絡(luò)建設(shè)解決方案

本業(yè)務(wù)流程如圖所示。

客戶端PAEv_典把___?設(shè)備端PAEvEAPOR?RADIUS服務(wù)器

EAPOL-Start

EAP-Request/Identity

RADIUSAccess-Request

EAP-Response/Identity?(EAP-Response/Identity)?

RADIUSAccess-Challenge

EAP-Request/MD5Challenge.(EAP-Request/MD5Challenge)

RADIUSAccess-Request

EAP-Response/MD5Challenge?(EAP-Response/MD5Challenge),

RADIUSAccess-Accept

EAP-Success__________.(EAP-Success)

：輸口霰—

握手請求報文漫天盤及贊里町

[EAP-Request/Identity]

握手應(yīng)答報文

[EAP-Response/Identity]一

EAPOL-Logoff,

圖3-3IEEE802.1X認(rèn)證系統(tǒng)的EAP方式業(yè)務(wù)流程

3.1.4華為3com公司VRP系統(tǒng)對802.1X技術(shù)

華為3Com公司網(wǎng)絡(luò)設(shè)備采用統(tǒng)一的VRP網(wǎng)絡(luò)操作系統(tǒng)平臺，VRP平臺采

用模塊化的方式設(shè)計，其中802.1X認(rèn)證模塊根據(jù)國內(nèi)網(wǎng)絡(luò)實(shí)際運(yùn)營環(huán)境和特點(diǎn),

在符合標(biāo)準(zhǔn)的基礎(chǔ)上，根據(jù)多項發(fā)明專利，有效地擴(kuò)展了802.1X的業(yè)務(wù)支持能

力和組網(wǎng)能力。這些擴(kuò)展包括：

1.基于MAC的用戶特征識；

2.用戶特征綁定；

3.多種認(rèn)證觸發(fā)方式；

4.Trunk端口認(rèn)證；

5.用戶業(yè)務(wù)下發(fā)；

6.Proxy檢測；

華為3C，

—河海大學(xué)常州校區(qū)網(wǎng)絡(luò)建設(shè)解決方案

7.IP地址管理；

8.基于端口的用戶容量限制；

9.獨(dú)特的握手機(jī)制；

10.對認(rèn)證服務(wù)器的兼容；

11.內(nèi)置認(rèn)證服務(wù)器；

12.基于802.1X的受控組播。

具體可參見《華為802.1X認(rèn)證技術(shù)白皮書》。

3.2802.1X接入認(rèn)證系統(tǒng)實(shí)現(xiàn)

3.2.1系統(tǒng)角色

前述，在802.1X認(rèn)證協(xié)議中，存在三種認(rèn)證實(shí)體，在本方案中它們分別是：

Supplicant（客戶端）：華為802.IX客戶端軟件，可支持Windows98/2000/XP

及Linux等多種操作系統(tǒng)，給用戶已自由的選擇。

AuthenticatorSystem（設(shè)備端）：S2403H接入交換機(jī)。

AuthenticationServerSystem（認(rèn)證服務(wù)器）：華為綜合接入管理系統(tǒng)CAMS。

3.2.2認(rèn)證過程

接入交換機(jī)的端口模式采用常關(guān)模式，上網(wǎng)學(xué)生通過802.1X的客戶端收入

用戶名、密碼后客戶端發(fā)起EAP報文至802.1X認(rèn)證設(shè)備端，認(rèn)證設(shè)備端終結(jié)

EAP報文，然后從認(rèn)證設(shè)備端再次發(fā)起Raduis報文至認(rèn)證服務(wù)器CAMS,由

CAMS來驗(yàn)證用戶名、密碼是否匹配，在認(rèn)證通過以后由認(rèn)證服務(wù)器CAMS下

發(fā)Raduis報文至認(rèn)證設(shè)備端通知該用戶認(rèn)證通過，認(rèn)證設(shè)備端再將相對應(yīng)的端

口打開，允許用戶上網(wǎng)。

華為3C，

河海大學(xué)常州校區(qū)網(wǎng)絡(luò)建設(shè)解決方案

整個802.1X的認(rèn)證方式最為主要的三點(diǎn)是：1.認(rèn)證的802.1X的客戶端的功

能；2.認(rèn)證的802.1X認(rèn)證設(shè)備端；3.與認(rèn)證服務(wù)器CAMS的配合。華為3com

公司自主開發(fā)的802.IX客戶端以及CAMS認(rèn)證服務(wù)器，在實(shí)際的應(yīng)用中配合華

為的接入層交換機(jī)最終完成802.1X的認(rèn)證。

3.2.3認(rèn)證系統(tǒng)對LDAP的支持

在校園網(wǎng)中，往往已經(jīng)存在多套需要認(rèn)證接入的系統(tǒng)，如：Email系統(tǒng)，校

務(wù)管理系統(tǒng)等等。要求用戶為每個系統(tǒng)分別設(shè)置帳戶信息及帳號密碼等不但用戶

使用不便，也加重了校園網(wǎng)的管理負(fù)擔(dān)。

在校園網(wǎng)中可采用LDAP技術(shù)解決這一問題。LDAP的英文全稱是

LightweightDirectoryAccessProtocol（輕量目錄訪問協(xié)議），是一種可讓任何人

找到網(wǎng)絡(luò)中的組織，個人或檔案或裝置等其它資源的一種軟件協(xié)議。在校園網(wǎng)中

實(shí)施LDAP認(rèn)證系統(tǒng)，可改變原有各項服務(wù)中的分散式身份認(rèn)證，實(shí)現(xiàn)校園網(wǎng)

用戶身份的統(tǒng)一認(rèn)證，方便對用戶進(jìn)行集中管理，可以節(jié)約校園網(wǎng)系統(tǒng)資源，同

時也便于用戶使用校園網(wǎng)資源，不需要對每一項服務(wù)記一套用戶名和密碼。

華為3com公司基于對校園網(wǎng)建設(shè)管理的認(rèn)識，在CAMS系統(tǒng)中支持LDAP,

可大大方便校方運(yùn)維802.1X系統(tǒng)的工作。

華為3C，

河海大學(xué)常州校區(qū)網(wǎng)絡(luò)建設(shè)解決方案

CAMS與LDAPServer對接

AEMAIL、Prox、等系統(tǒng)的用戶密碼一般保存在企業(yè)的LDAPServer里；

ACAMS可以與LDAPServer對接，實(shí)現(xiàn)CAMS與EMAIL、Prox、等系統(tǒng)統(tǒng)一用戶

名和密碼，統(tǒng)一身份管理。方便用戶使用以及帳號管理；

A可提供的認(rèn)證方式有兩種：一種是CAMS將用戶提交的用戶名和密碼等認(rèn)證信息

發(fā)送到LDAP服務(wù)器上進(jìn)行認(rèn)證；一種是CAMS來認(rèn)證用戶提交的認(rèn)證信息。

圖3-5CAMS與LDAP對接

華為3C，

河海大學(xué)常州校區(qū)網(wǎng)絡(luò)建設(shè)解決方案

第四章網(wǎng)絡(luò)計費(fèi)方案設(shè)計

隨著高校后勤改革的深入，校園網(wǎng)的建設(shè)如何實(shí)現(xiàn)以網(wǎng)養(yǎng)網(wǎng)成了重要的議

題。而要實(shí)現(xiàn)以網(wǎng)養(yǎng)網(wǎng)計費(fèi)是首先需要考慮的問題。

4.1CAMS系統(tǒng)對計費(fèi)類型的支持

華為3Com公司基于其在運(yùn)營商多年經(jīng)驗(yàn)及對校園網(wǎng)特色的理解，在CAMS

支持多種計費(fèi)策略，包括包月計費(fèi)策略、時長計費(fèi)策略和流量計費(fèi)策略和。不論

使用那種計費(fèi)策略，CAMS都支持實(shí)時計費(fèi)。

4.1.1包月計費(fèi)

簡單包月

包月計費(fèi)方式實(shí)際上不是一種技術(shù)計費(fèi)方式。包月計費(fèi)方式最大的優(yōu)點(diǎn)是計

算簡單。對運(yùn)營商來說，用戶數(shù)量乘以每月的收費(fèi)即為本月收入。

為解決簡單包月帶來的問題，CAMS引入了限時包月和包月暫停。

限時包月

限時包月，就是在一個月內(nèi)允許用戶使用固定的時長，這樣既解決了部分用

戶“不用白不用”的問題，也解決了一些用戶感覺浪費(fèi)的問題。

包月暫停

包月暫停，就是包月用戶在使用期間由于“不可抗力”因素在一段時間內(nèi)無

法使用網(wǎng)絡(luò)，如果不能進(jìn)行暫停，將使用戶白白地?fù)p失費(fèi)用。CAMS提供了包月

暫停的功能，可以使用戶的包月截止日期順延。

這種功能適合于包月期間容易發(fā)生突發(fā)事件的人。如個人出差、學(xué)生放假等。

適用場合

雖然包月計費(fèi)存在這樣那樣的問題，但是包月計費(fèi)收費(fèi)簡單，計費(fèi)清晰，業(yè)

務(wù)開展方便，不易產(chǎn)生計費(fèi)糾紛，管理和運(yùn)營成本低。適合于對運(yùn)營網(wǎng)絡(luò)要求不

高的場合，采用粗放式的經(jīng)營方式，隨著網(wǎng)絡(luò)向精細(xì)化管理方向發(fā)展，必然被時

長或流量計費(fèi)取代。

華為3C，

河海大學(xué)常州校區(qū)網(wǎng)絡(luò)建設(shè)解決方案

4.1.2時長計費(fèi)

時長計費(fèi)是根據(jù)用戶在線的時間對用戶進(jìn)行計費(fèi)，可以使用戶自由地掌握網(wǎng)

絡(luò)使用時間，控制自己的上網(wǎng)費(fèi)用，吸引一些用戶使用網(wǎng)絡(luò)。

然而，對于一部分速度較慢的用戶其實(shí)還是不利的。對運(yùn)營商來說，時長計

費(fèi)對原始計費(fèi)數(shù)據(jù)的采集非常困難，采集的數(shù)據(jù)對業(yè)務(wù)開展的貢獻(xiàn)也不大。另外，

在網(wǎng)絡(luò)使用高峰時會造成大量擁擠現(xiàn)象,造成上網(wǎng)速率的下降，使用戶感覺不好。

為解決高峰擁擠的問題，可采用優(yōu)惠的杠桿進(jìn)行調(diào)節(jié)。CAMS支持按時段優(yōu)

惠，時段可以是固定時段，也可以是按年、月、周、日等周期的循環(huán)時段。這樣

就可以平衡網(wǎng)絡(luò)在一天各個時段的使用情況，使網(wǎng)絡(luò)帶寬得到充分的利用。

CAMS除了對時長計費(fèi)進(jìn)行時段優(yōu)惠外，也可以進(jìn)行累計優(yōu)惠。如時長達(dá)到

一定數(shù)量后，可以降低費(fèi)率或者獎勵一定的上網(wǎng)時長。

按時長計費(fèi)一般采取最小計費(fèi)單元的方式進(jìn)行計費(fèi)，若一次上網(wǎng)的時間零頭

不足計費(fèi)最小單元時按最小計費(fèi)單元計算。如設(shè)置的費(fèi)率為10分/6秒，用戶的

上網(wǎng)時間為57秒，則計費(fèi)數(shù)量為100分。CAMS的時長計費(fèi)適用于NAS、IPP、

LAN業(yè)務(wù)，每個業(yè)務(wù)都有自己的最小時長計費(fèi)單元，管理員可以按業(yè)務(wù)特色和

需要進(jìn)行設(shè)置。

4.1.3流量計費(fèi)

以數(shù)據(jù)流量進(jìn)行計費(fèi)，按用戶或端口進(jìn)行流量統(tǒng)計，對于用戶來說，下載了

多少內(nèi)容，就交多少錢，不再是為時間而付出上網(wǎng)費(fèi)。這樣，就可以悠然自得地

慢慢欣賞自己喜愛的網(wǎng)頁、仔細(xì)地搜索所需要的信息、甚至忘情地流連于所鐘愛

的聊天室，而不必再擔(dān)心“一寸光陰一寸金”了。另外它能夠有效地進(jìn)行數(shù)據(jù)采

集、處理、認(rèn)證與控制，為業(yè)務(wù)的開展提供強(qiáng)有力的決策支持。按流量計費(fèi)，比

“包月制”和按時長計費(fèi)要科學(xué)、準(zhǔn)確。

流量計費(fèi)現(xiàn)在一般應(yīng)用于寬帶業(yè)務(wù)，運(yùn)營商的主要業(yè)務(wù)是提供寬帶網(wǎng)絡(luò)的接

入服務(wù)以及增值服務(wù)。寬帶接入的質(zhì)量、服務(wù)和價格直接關(guān)系到運(yùn)營商能否獲得

更多的寬帶用戶、提高接入率及達(dá)到收支平衡點(diǎn)，因此根據(jù)網(wǎng)絡(luò)資源占用流量、

帶寬、Qos級別等合理計費(fèi)，并根據(jù)用戶需求，提供寬帶網(wǎng)絡(luò)的接入服務(wù)以及增

值服務(wù)，是寬帶運(yùn)營的關(guān)鍵。采用流量計費(fèi)方式，可以促進(jìn)網(wǎng)絡(luò)運(yùn)營者不斷改進(jìn)

網(wǎng)絡(luò)質(zhì)量，提高網(wǎng)絡(luò)帶寬，豐富網(wǎng)絡(luò)的內(nèi)容，吸引用戶盡多使用網(wǎng)絡(luò)，從另一個

華為3C，

—河海大學(xué)常州校區(qū)網(wǎng)絡(luò)建設(shè)解決方案

方面促進(jìn)了網(wǎng)絡(luò)建設(shè)的發(fā)展。

CAMS支持按流量計費(fèi)，并可按用戶的QoS級別、QoS帶寬進(jìn)行計費(fèi)策略

的定制。對于寬帶服務(wù)，CAMS支持多播業(yè)務(wù)的管理，和設(shè)備配合為用戶提供視

頻點(diǎn)播、音樂欣賞等服務(wù)，并進(jìn)行計費(fèi)處理。

CAMS不僅支持流量計費(fèi)的時段優(yōu)惠，還支持累計流量優(yōu)惠。優(yōu)惠時段可以

是固定時段，也可以是按年、月、周、日等周期的循環(huán)時段。累計優(yōu)惠則可對用

戶的寬帶流量進(jìn)行累計，當(dāng)使用量達(dá)到一定值時進(jìn)行一定的優(yōu)惠，以鼓勵用戶使

用寬帶網(wǎng)絡(luò)。

CAMS系統(tǒng)所有流量能夠根據(jù)國內(nèi)/國際數(shù)據(jù)分別計算。

解決方式1：用戶在宿舍區(qū)上網(wǎng)時首先在CAMS上認(rèn)證通過，這時用戶可以

訪問校內(nèi)的資源，計費(fèi)可以采用包月或免費(fèi)的方式，而用戶如果需要出校園網(wǎng)，

必須到校園網(wǎng)的出口處的網(wǎng)關(guān)上登陸重新認(rèn)證，認(rèn)證后用戶訪問不同的目的地址

可以收取不同的費(fèi)用。

解決方式2：用戶在CAMS上認(rèn)證通過后，CAMS向校園網(wǎng)的出口發(fā)消息,

通知網(wǎng)關(guān)處此用戶已經(jīng)認(rèn)證通過，用戶無需二次認(rèn)證即可出校園網(wǎng)，出校園的計

費(fèi)由網(wǎng)關(guān)處完成。

4.1.4靈活的先或后付費(fèi)方式

CAMS的用戶從類型上分為帳號和卡號兩種，從計費(fèi)的角度分為預(yù)付費(fèi)和后

付費(fèi)兩種。

預(yù)付費(fèi)用戶

進(jìn)行預(yù)付費(fèi)時長計費(fèi)時,CAMS支持用戶的一個或多個業(yè)務(wù)的多個連接同時

在線而不發(fā)生費(fèi)用的透支。

后付費(fèi)用戶

由于后付費(fèi)用戶是先使用后付費(fèi)，不存在透支的問題。

用戶在余額達(dá)到一定數(shù)量時，CAMS通知客戶端彈出一個窗口提醒用戶交

費(fèi)。

華為3C，

河海大學(xué)常州校區(qū)網(wǎng)絡(luò)建設(shè)解決方案

當(dāng)CAMS-MicrosoftInternetExplorer

文件9編輯⑥查看9收藏?工具（I）幫助出）

3幺金》

打印Messenger精彩網(wǎng)址

地址（B）|61http：〃localhost/cams/main.isp

1~73~轉(zhuǎn)到鏈接”

號員CAMS配置管理系統(tǒng)

elTechnologies'，

UJMIN整錄時間：200詐8月3日下午。弼09分3s秒

基本費(fèi)率管理

費(fèi)率名：-費(fèi)率類型：|所有類型~3

增加I刪除I全選I消除I重置I炳助I

共有8條記錄，|5二|條記錄/頁第1頁/共2頁?上一頁下一頁?

1費(fèi)率名?1類型|修改

rrewe流量0.32修改查詢

r每1K10分測試流量|o.i修改查詢

r*時長0.1修改查詢

r1小時so分時長0.01修改查詢

r1分每K流量0.01修改查詢

苞取本地Intranet

圖3-6費(fèi)率設(shè)置界面

暮CAMS-MicrosoftInternetExplorerBOE3

文件電）編輯更）查看9收藏⑥工具⑴幫助QP

4■>溪區(qū)靠

后退前進(jìn)aMessenger精彩網(wǎng)址

三］?轉(zhuǎn)到鏈接》

|二口、''.CAMSW置管理系統(tǒng)

華為技術(shù),限公司HuaweiTechnologies:H.I

操作員：ADMIN疊錄時間：2002年8月3日下午058to筠35秒

瞇務(wù)營理用戶費(fèi)用用戶繳費(fèi)

費(fèi)費(fèi)管理??

撥號接入業(yè)務(wù)預(yù)付費(fèi)用戶續(xù)費(fèi)

IP電話業(yè)務(wù)管理

LAN接入業(yè)務(wù)管

用戶姓名：testa交費(fèi)日期.2002-08-03

余額：0.62元

用戶組用戶

繳納金額：函元慷作員：ADMIM

多播組用戶

QoS優(yōu)先級|提交|返回|幫助|

LAN接入計

安全管理

系統(tǒng)管理

帳務(wù)管理

用戶帳單

司完成1q|本地Intranet

圖3-7用戶續(xù)費(fèi)界面

華為3C，

—河海大學(xué)常州校區(qū)網(wǎng)絡(luò)建設(shè)解決方案

4.2計費(fèi)方案的選擇

在高校的校園網(wǎng)，用戶群相對單一，具有共同的特征，因此建議選用包月預(yù)

繳費(fèi)方式來計費(fèi)。這樣可以做到：

避免收費(fèi)糾紛，無需記錄過于詳細(xì)的流量及時長信息；

充分利用網(wǎng)絡(luò)資源，鼓勵學(xué)生上網(wǎng)學(xué)習(xí)。

從各地高校的實(shí)際情況來看，也多采用包月預(yù)繳費(fèi)的方式。

4.3針對高校用戶群的特色功能

高校的校園網(wǎng)運(yùn)營必須考慮到其用戶群的特殊性，這些用戶每年都有兩個假

期或固定的外出實(shí)習(xí)的時間。作為用戶，從降低自身網(wǎng)絡(luò)費(fèi)用的角度出發(fā)，他們

可能在繳納包月費(fèi)用時往往只繳納到放假或外出實(shí)習(xí)前，甚至消戶，到返回學(xué)校

后重新開戶或繳費(fèi)。這種做法常常給校園網(wǎng)的運(yùn)維帶來巨大壓力，出現(xiàn)了開學(xué)初

排長龍繳費(fèi)等現(xiàn)象。

為降低校方的收費(fèi)壓力，華為3com公司針對高校的實(shí)際情況，推出包月暫

停的特色功能。用戶可在網(wǎng)上自由的選擇哪一天暫停收費(fèi)，直至下個月在自助重

新啟用帳號，整個過程不需要運(yùn)維人員干預(yù)。

華為3C，

河海大學(xué)常州校區(qū)網(wǎng)絡(luò)建設(shè)解決方案

第五章網(wǎng)絡(luò)運(yùn)營方案設(shè)計

校園網(wǎng)的用戶由于數(shù)量巨大（在校學(xué)生多），每年具有較大的用戶變動（畢

業(yè)生離校、新生入學(xué)），對校園網(wǎng)的運(yùn)營要求較高。華為3com公司基于多年對

電信運(yùn)營商服務(wù)的經(jīng)驗(yàn)，其系統(tǒng)具有極強(qiáng)的運(yùn)營能力，除具有一般運(yùn)營系統(tǒng)的功

能外，更從便于運(yùn)營的角度出發(fā)，設(shè)計了CAMS系統(tǒng)。

5.1用戶管理

5.1.1自定義用戶管理信息

校方為管理用戶往往需要登記帳號相對應(yīng)的用戶基本信息，而每所學(xué)校對學(xué)

生基本信息的定義和需求不同。一套系統(tǒng)不可能也沒有必要設(shè)計出所有的用戶信

息滿足所有的學(xué)校對用戶管理的需求，為此華為公司CAMS系統(tǒng)支持自定義用

戶信息管理，校方可自行定義那些是學(xué)校需要管理的用戶信息，自行設(shè)計，滿足

個性化需求，極大的方便了管理。

5.1.2用戶自助管理

學(xué)校用戶人群集中，數(shù)量巨大，而參與校園網(wǎng)維護(hù)工作的老師往往不多，

CAMS系統(tǒng)支持用戶的自助管理。用戶可自行登錄自助網(wǎng)站查詢更改用戶各項信

息，可通過在客戶端更改密碼和Email方式取回遺忘的密碼，將日常大量的工作

由用戶自己完成。

尤其是CAMS系統(tǒng)支持預(yù)注冊功能，學(xué)生在自助網(wǎng)站上填好各項開戶信息

后提交，由開戶人員評審，開戶人員評審后只需點(diǎn)擊鼠標(biāo)既可完成開戶過程。避

免了過去新用戶開戶時由開戶人員輸入開戶信息，將寶貴的人力資源由這種繁瑣

而易錯的工作中解脫出來。

華為3C，

河海大學(xué)常州校區(qū)網(wǎng)絡(luò)建設(shè)解決方案

*2次迎來無唬產(chǎn)自務(wù)平臺-iicrosoftInternetExplor?r

文件g?H9a）查尋9收藏?工具9陽助如

皿Q)|<]Mtp7/10.11044nVstlfK.rvict/frmtjsp

，■卬

現(xiàn)錄地址：7，錄的同：2OO3T-2O

業(yè)務(wù)明細(xì)查詢

業(yè)務(wù)尖型：LA啦人業(yè)務(wù)業(yè)務(wù)名彝：F

查退e理：I=JT二］川T印二k至J三|注|二h［二］日|二J町

it費(fèi)開蛤時間計費(fèi)紹梨時回i十費(fèi)時長鹿入字通出字管我實(shí)陽6E）

合計：00

注：使用查海功度時顯示結(jié)果為起購時間的“0000"至薇止時間的“5959”之間的使用記錄？

圖57用戶自助管理界面

5.1.3防止用戶逃避收費(fèi)

防止私設(shè)代理服務(wù)器

考慮到大學(xué)學(xué)生的技術(shù)性較強(qiáng)，在實(shí)際的應(yīng)用的過程當(dāng)中應(yīng)當(dāng)充分考慮到學(xué)

生的Proxy的使用，導(dǎo)致校方應(yīng)收費(fèi)用的流失。對于Proxy的防止，華為公司接

入交換機(jī)配合華為公司的802.1X的客戶端，一旦檢測到用戶PC機(jī)上存在兩個

活動的IP地址（不論是單網(wǎng)卡還是雙網(wǎng)卡），接入交換機(jī)將會下發(fā)指令將該用戶

直接踢下線。

防止一號多用

高校用戶往往交往較多，同居一個宿舍等，在同學(xué)和朋友間可能出現(xiàn)大量的

共享帳號的問題，從而使的一個帳號多人同時使用。華為公司CAMS可以配合

接入層交換機(jī)進(jìn)行認(rèn)證、綁定。