1 東莞市XX中學設計方案-111204

1東莞市XX中學設計方案-111204東莞市XX中學智能化系統(tǒng)-初步設計方案PAGE第9頁，共255頁東莞市XX中學弱電智能化系統(tǒng)初步設計方案2024年04月

目錄第1章設計概述 71.1工程需求分析 71.2系統(tǒng)設計原那么 81.3系統(tǒng)設計依據(jù) 9第2章綜合布線系統(tǒng)設計 132.1設計標準和標準 132.2設計原那么 142.3信息點統(tǒng)計表 182.5各子系統(tǒng)設計 192.5.1設計說明 192.5.2工作區(qū)子系統(tǒng) 202.5.3水平布線子系統(tǒng) 232.5.4垂直干線子系統(tǒng) 252.5.5管理間子系統(tǒng) 252.5.6設備間子系統(tǒng) 29第3章網(wǎng)絡系統(tǒng)設計 293.1系統(tǒng)概述 293.2工程需求 303.2.1需求分析 303.2.2工程建設目標 313.3工程方案 313.3.1總體設計原那么 313.3.2整體設計 343.4網(wǎng)絡平臺 393.4.1層次化設計 393.4.2IP地址規(guī)劃設計 403.5局域網(wǎng)平安設計 453.5.1網(wǎng)絡攻擊 453.5.2網(wǎng)絡病毒 483.5.3ARP欺騙攻擊原理和防范 513.5.4防IP/MAC地址盜用和ARP中間人攻擊 533.5.5防IP/MAC地址掃描攻擊 553.5.6播送/組播報文抑制 573.5.7DHCP欺騙攻擊的防范 583.6有線無線一體化網(wǎng)絡設計 603.6.1無線校園網(wǎng)建設需求 623.6.2一體化無線校園網(wǎng)解決方案 653.6.3VLAN規(guī)劃 723.6.4無線平安性設計 723.6.5移動漫游設計 773.7華為網(wǎng)絡產(chǎn)品的優(yōu)勢 783.7.1高可靠性和可維護性 783.7.2綠色節(jié)能設計 793.7.3靈巧的擴展能力 803.7.4強大的轉發(fā)能力 813.7.5豐富的業(yè)務能力 813.7.6周密的平安設計 823.8華為WLAN解決方案的優(yōu)勢 82第4章集團電話系統(tǒng) 864.1系統(tǒng)概述 864.2系統(tǒng)結構設計 884.3程控交換機選型及功能介紹 884.3.1DK1208-M152型交換機特點 894.3.2SLP-30數(shù)字專用話機功能介紹 103第5章數(shù)字高清視頻監(jiān)控系統(tǒng) 1055.1綜述 1055.2視頻監(jiān)控數(shù)字化高清的趨勢 1055.3數(shù)字化高清介紹 1065.4校園視頻監(jiān)控需求分析 1085.5建設要求 1105.6視頻監(jiān)控系統(tǒng)整體設計方案 1105.6.1方案優(yōu)勢 1105.6.2設計目標 1115.6.3設計原那么 1125.6.4設計依據(jù) 1155.6.5系統(tǒng)結構及組成 1175.6.6系統(tǒng)主要功能 1225.7系統(tǒng)業(yè)務優(yōu)勢 1265.8存儲系統(tǒng) 1275.8.1系統(tǒng)設計總要求 1275.8.2設計原那么 1285.8.3存儲需求計算 1305.9管理平臺設計 1325.9.1總體設計 1325.9.2平臺架構設計 1325.10監(jiān)控中心建設 1335.10.1UPS技術參數(shù) 1345.11主要設備選型及技術參數(shù) 139第6章公共播送系統(tǒng) 1626.1校園播送系統(tǒng)設計依據(jù) 1626.1校園播送系統(tǒng)設計思想 1636.3校園播送系統(tǒng)設計方案 1666.3.1用戶需求 1666.3.2校園播送示意圖 1686.3.3校園播送系統(tǒng)功能說明 1686.3.4校園播送系統(tǒng)設備說明 175第7章有線電視系統(tǒng) 2057.1系統(tǒng)概述 2057.2有線電視點布置 2067.3有線電視結構設計 2067.4有線電視系統(tǒng)設備 206第8章多媒體教室系統(tǒng) 2118.1多媒體教室系統(tǒng)設計需求 2118.1.1多媒體教室系統(tǒng) 2118.1.2電教平臺功能設計 2128.1.3系統(tǒng)運行目標 2138.2錄播系統(tǒng) 2158.2.1概述 2158.2.2設計目標 2158.2.3錄播系統(tǒng)需求 2188.2.4錄播系統(tǒng)解決的問題 2228.2.5平臺特點 2238.2.6錄播設備說明 227第9章電腦教室系統(tǒng) 2329.1概述 2329.2設計簡要 2329.3建設內(nèi)容 2339.4系統(tǒng)設備說明 233第10章機房系統(tǒng)設計 23410.1概述 23410.2機房系統(tǒng) 23510.2.1氣體〔配電〕間及辦公區(qū)隔斷 23610.2.2設備間彩鋼板屏蔽 23610.2.3地面工程 23710.2.4天花及照明工程 23810.2.5防火門工程〔設備間、配電間〕 23910.2.6機房門禁 24010.2.7機房空調 24010.2.8機房設備間新風系統(tǒng) 24510.2.9設備間氣體消防 24610.2.10機房防雷工程 24710.2.11機房配電 24810.2.12機房UPS不間斷電源 24910.2.13機房環(huán)境監(jiān)控系統(tǒng) 250第1章設計概述1.1工程需求分析隨著我國教育系統(tǒng)的不斷改革，對提高教學、管理水平的要求日益迫切，學校教育必須走向信息化、數(shù)字化、網(wǎng)絡化，因此校園智能化設計非常重要。作為學校這樣一個特殊的單位，他的智能化設計不同于一般的辦公樓及居民樓建筑，而是有著其特殊的需求及設計特點。具體如下：提供先進的數(shù)字化系統(tǒng)及工具。如：計算機多媒體教學、網(wǎng)絡教學、播送系統(tǒng)、電子閱覽室等。提供先進的教學管理方式。如：學校辦公網(wǎng)絡、多媒體教學課室、電腦課室等。提供先進的校園平安保障。如：數(shù)字化監(jiān)控系統(tǒng)。根據(jù)東莞中學XX中學的要求，本次校園智能化系統(tǒng)考慮9個系統(tǒng)的建設：綜合布線系統(tǒng)；計算機網(wǎng)絡系統(tǒng)；電話程控交換機系統(tǒng)；視頻監(jiān)控系統(tǒng)；公共播送系統(tǒng)有線電視系統(tǒng)；多媒體教室；電腦教學教室；機房系統(tǒng)。1.2系統(tǒng)設計原那么本工程所采用的系統(tǒng)以及系統(tǒng)的構成應符合以下原那么：可靠性：系統(tǒng)具備在正常條件下實現(xiàn)系統(tǒng)設計的所有功能和性能的能力。具備24小時不間斷工作的能力。實用性：系統(tǒng)應符合國內(nèi)外相關標準與規(guī)定，便于管理，易于操作和維護。先進性：在滿足可靠性和實用性前提下，系統(tǒng)是目前信息化建設中最先進的系統(tǒng)，符合計算機和網(wǎng)絡通信技術的最新開展潮流，并且是應用成熟、先進的技術，為石龍鎮(zhèn)勞動就業(yè)效勞中心的良好運作創(chuàng)造穩(wěn)定、先進的條件。協(xié)調性：本智能化系統(tǒng)工程涉及多個子系統(tǒng)，各子系統(tǒng)設備功能有交叉，系統(tǒng)是各子系統(tǒng)的有機統(tǒng)一，各功能模塊之間的配合應該實現(xiàn)整個智能化系統(tǒng)的技術協(xié)調。開放性：系統(tǒng)遵循開放性原那么。系統(tǒng)提供符合國際標準的軟件、硬件、通信、網(wǎng)絡操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)等諸方面的接口與工具，使系統(tǒng)具備良好的兼容性、擴展性和可移植性。經(jīng)濟性：系統(tǒng)應滿足性能價格比在國內(nèi)同類系統(tǒng)和條件下為最優(yōu)，其經(jīng)濟性應包括系統(tǒng)集成所需的有關軟硬件等開發(fā)費用、技術效勞、培訓以及系統(tǒng)投入使用后的低能耗運行，減少物業(yè)管理人員，節(jié)約管理費用。1.3系統(tǒng)設計依據(jù)在XX中學智能化系統(tǒng)設計中，遵循以下標準和標準：?智能建筑設計標準?〔GB/T50314-2024〕；?建筑設計防火標準?(GB50016-2024)；?自動噴水滅火系統(tǒng)設計標準?(GB50084-2001)(2024年版)；〔GBJ63-90〕；?電力裝置的繼電保護和自動裝置設計標準?〔GB50062-92〕；?建筑物電子信息系統(tǒng)防雷技術標準?〔GB50343-2024〕；?低壓配電設計標準?〔GB50054－95〕；?建筑物防雷設計標準〔GBJ50057-94〕?(2000年版)；?電子計算機機房設計標準?〔GB50174-93〕；?電子計算機場地通用標準?〔GB/T2887-2000〕；?計算機場地平安要求?〔GB9361-88〕；?計算機軟件可靠性和可維護性管理?〔GB/T14394-93〕；?計算機機房用活動地板技術條件?〔GB6650-86〕；?防靜電活動地板通用標準?〔SJ/T10796-2001〕；?電子計算機機房施工及驗收標準?(SJ/T30003-93)；?綜合布線系統(tǒng)工程設計標準?〔GB50311-2024〕；?綜合交換機技術標準?〔YD/T1123-2001〕；?以太網(wǎng)交換機技術要求?〔YD/T1099-2024〕；?具有路由功能的以太網(wǎng)交換機技術要求?(YD/T1255-2024)；?以太網(wǎng)交換機設備平安技術要求?(YD/T1627-2024)；?具有路由功能的以太網(wǎng)交換機設備平安技術要求?(YD/T1629-2024)；?計算機軟件配置管理方案規(guī)劃?〔GB/T12504-90〕；?入侵報警系統(tǒng)工程設計標準?〔GB50394-2024〕；?會議電視系統(tǒng)工程設計標準?〔YD/T5032-2024〕；甲方提供的建筑設計圖紙。以下各章節(jié)，具體介紹各個子系統(tǒng)的詳細設計：第2章綜合布線系統(tǒng)設計2.1設計標準和標準本次設計滿足以下標準和標準：－ISO11801國際建筑通用布線標準－ANSI/TIA/EIA568B北美商用建筑電信布線標準－ANSI/EIA/TIA-569北美電信走道和空間的商用建筑標準－ANSI/EIA/TIA－606北美商用建筑物電信設備的管理標準－ANSI/EIA/TIATSB－75北美商用建筑物電信設備的管理標準－ANSIFDDI100Mbps北美光纖數(shù)據(jù)接口高速局域網(wǎng)標準－ATM155Mbps/622.5Mbps異步傳輸模式標準－RS232、X.21、RS422異步、同時傳輸標準－YD/T926-2001中華人民共和國通信行業(yè)標準－GB/T50314-2000智能建筑設計標準－GB/T50311-2000建筑與建筑群綜合布線系統(tǒng)工程設計標準－GB/T50312-20002.2設計原那么綜合布線同傳統(tǒng)的布線相比擬，有著許多優(yōu)越性，是傳統(tǒng)布線所無法比及的。其特點主要表現(xiàn)為它的兼容性、開放性、靈巧性、可靠性、先進性和經(jīng)濟性。而且在設計、施工和維護方面也給人們帶來了許多方便。兼容性：綜合布線的首要特點是它的兼容性。所謂兼容性，是指它自身是完全獨立的而與應用系統(tǒng)相對無關，可以適用于多種應用系統(tǒng)。綜合布線將語音、數(shù)據(jù)與監(jiān)控設備的信號線經(jīng)過統(tǒng)一規(guī)劃和設計，采用相同的傳輸介質、信息插座、交連設備、適配器等，把這些不同信號綜合到一套標準的布線中。由此可見，這個布線比傳統(tǒng)布線大為簡化，節(jié)省大量的物資、時間和空間。開放性：該系統(tǒng)采用開放式體系結構，符合多種國際上現(xiàn)行的標準，它幾乎對所有著名廠商的產(chǎn)品都是開放的，并支持所有通信協(xié)議。靈巧性：該系統(tǒng)采用標準的傳輸線纜和相關連接硬件，模塊化設計，所有通道都是通用的，而且每條通道可支持終端、以太網(wǎng)工作站。所有設備的開通及更改均不需改變布線線路，組網(wǎng)也可靈巧多變?？煽啃裕涸撓到y(tǒng)采用高品質的材料和組合壓接的方式構成一套高標準的信息傳輸通道，所有線纜和相關連接件均通過ISO認證，每條通道都要采用專用儀器測試鏈路阻抗及衰減率，以保證其電氣性能。應用系統(tǒng)全部采用點到點端接，任何一條鏈路故障均不影響其它鏈路的運行，從而保證了整體系統(tǒng)的可靠運行。先進性：該系統(tǒng)采用光纖和雙絞線混合布線方式，極為合理地構成一套完整的布線。所有布線均采用世界上最新通信標準，鏈路均按8芯雙絞線配置。數(shù)據(jù)及語音從配電間到桌面均采用六類非屏蔽雙絞線，數(shù)據(jù)傳輸率可到達1Gbps。干線語音局部采用電纜，數(shù)據(jù)局部采用光纜，為同時傳輸多路實時多媒體信息等傳輸提供足夠的裕量。經(jīng)濟性：雖然綜合布線初期投資比擬高，但由于綜合布線將原來相互獨立、互不兼容的假設干種布線集中成為一套完整的布線體系，統(tǒng)一設計，統(tǒng)一施工，統(tǒng)一管理。這樣可省去大量的重復勞動和設備占用，使布線周期大大縮短。另外，綜合布線系統(tǒng)使用簡單、方便，維護費用低，可以滿足三維多媒體的傳輸和用戶對ISDN、ATM的需求?？梢娋C合布線系統(tǒng)具有很高的性能價格比。

2.3總體布線結構設計綜合布線結構如以下圖：設計說明：整個綜合布線系統(tǒng)按照六類非屏蔽系統(tǒng)設計，采用TIA568-B連線標準；整個系統(tǒng)分為五個子系統(tǒng)：工作區(qū)子系統(tǒng)、水平子系統(tǒng)、設備間子系統(tǒng)、管理子系統(tǒng)、垂直主干子系統(tǒng)；主設備間設在中心計算機房，從各主設備間各敷設光纖和大對樓電纜作為級聯(lián)主干連接至其管理的各層樓的通訊間配線架；各配線間配置標準19〞通信機柜，網(wǎng)絡主交換設備安裝于機柜中，配線系統(tǒng)也安裝于機柜中；數(shù)據(jù)信息點采用模塊化的RJ45插座組成，語音采用RJ11的插座組成；數(shù)據(jù)信息點采用六類布線標準的六類四對非屏蔽雙絞線〔UTP〕作為水平干線子系統(tǒng)的布線連接到各辦公區(qū)域的信息點，語音采用六類四對非屏蔽雙絞線〔UTP〕的布線標準。2.3信息點統(tǒng)計表整個校區(qū)的綜合布線系統(tǒng)包括，教學樓、綜合樓、體藝樓、教師宿舍、學生宿舍的綜合布線系統(tǒng)。包括辦公室、課室、宿舍的信息點接入，信息點的具體分布與數(shù)量情況如下表：序樓號樓層網(wǎng)絡數(shù)據(jù)點語音數(shù)據(jù)點11/2#教學樓一層202二層282三層282四層282五層302小計：1341023/4#教學樓一層222二層221三層282四層282五層282小計：12893綜合樓一層142二層3312三層3014四層4918五層71小計：133474體藝館一層21二層226三層226四層226五層11小計：69205教師宿舍一層00二層180三層180四層180五層180六層180小計：9006學生宿舍一層00二層00三層00四層00五層00六層00小計：007室外008合計：554862.5各子系統(tǒng)設計2.5.1設計說明數(shù)據(jù)骨干采用光纖，語音主干采用三類大對數(shù)線；數(shù)據(jù)水平布線采用六類非屏蔽線纜布線，滿足中心傳輸網(wǎng)絡的需求；語音水平布線采用六類非屏蔽線纜敷設。系統(tǒng)可滿足骨干萬兆、終端千兆速率、語音端口可靈巧互換配置的需求。本方案分為五大子系統(tǒng)，分別為工作區(qū)子系統(tǒng)、水平子系統(tǒng)、垂直干線子系統(tǒng)、管理間子系統(tǒng)、以及設備間子系統(tǒng)，為四級星型拓撲結構。具體分述如下：2.5.2工作區(qū)子系統(tǒng)工作區(qū)子系統(tǒng)是指信息端口以外的空間，但通常習慣將電信插座列入工作區(qū)子系統(tǒng)。本次布線網(wǎng)絡信息系統(tǒng)采用D-Link六類非屏蔽系統(tǒng)設備，示意圖如下。面板本工程的面板全部采用高強度防火型材料，符合UL94V-0標準要求，國際規(guī)格86mm*86mm,面板正面配有防塵彈簧門用以保護模塊、遮蔽灰塵污特進入。

RJ45模塊(1)簡要說明：六類RJ45插座模塊是依據(jù)國際標準ISO/IEC11801、TIA/EIA568設計制造的性能優(yōu)異的UTP電纜用8線式插座模塊。專利設計的全金屬化簧片結構，無印制板，確保長期使用的可靠性。模塊化設計，免接線工具，使用靈巧方便。(2)技術說明：●IDC：簧片接觸針部位鍍金50μ(inch)，連接線徑0.5mm，卡接可重復次數(shù)>200次●接觸電阻(不包括體電阻)：正常大氣壓條件下接觸電阻≤2.5mΩ●絕緣電阻：正常大氣壓條件下絕緣電阻≥1000MΩ●抗電強度：DC1000V(AV700V)1分鐘無擊穿和飛弧現(xiàn)象●壽命：插頭插座可重復插拔次數(shù)≥750次●材料：PC●顏色：白色●技術質量標準：ISO/IEC11801本工程6數(shù)據(jù)模塊：554，J11語音模塊：86個；信息點的安裝方式分為墻面安裝和地面安裝2種方式，墻面安裝采用“86〞標準底盒，地面安裝采購彈簧式地插安裝。2.5.3水平布線子系統(tǒng)水平布線子系統(tǒng)分配線間水平配線架至工作區(qū)端口〔插座〕的連接線纜。本工程信息點連接電纜選擇D-Link六類4對非屏蔽雙絞線。六類4對UTP電纜性能D-Link六類非屏蔽4對線纜是滿足綜合布線系統(tǒng)設計要求的高速、高性能電纜。外皮采用低煙無鹵PVC材料，使用平安。符合并超過國際ISO/IEC11801和美國ANSI/TIA/EIA-568A/B、歐洲CENELECEN50173的相關標準，符合UL認證要求。具有優(yōu)異的傳輸性能，全面支持所有話音通訊系統(tǒng)、10Base-T、16Mbps、100Base-T、155Mbps和622MbpsATM、1000Mbps、多媒體等方面的高速應用。六類非屏蔽雙絞線相比傳統(tǒng)的優(yōu)點：與五類的非屏蔽線纜相比，六類非屏蔽雙絞線的各項參數(shù)都有大幅提高，帶寬也擴展更高。六類雙絞線在外形上和結構上與五類或超五類雙絞線都有一定的差異，不僅增加了絕緣的十字骨架，將雙絞線的四對線分別置于十字骨架的四個凹槽內(nèi)，而且電纜的直徑也更粗。編輯本段電纜中的使用。電纜中央的十字骨架隨長度的變化而旋轉角度，將四對雙絞線卡在骨架的凹槽內(nèi)，保持四對雙絞線的相對位置，提高電纜的平衡特性和串擾衰減。另外，保證在安裝過程中電纜的平衡結構不遭到破壞。

2.5.4垂直干線子系統(tǒng)垂直主干子系統(tǒng)是用來實現(xiàn)計算機設備、控制中心與各管理子系統(tǒng)間的連接，常用介質是光纜。管理子系統(tǒng)涉及各樓層的信息點的配線管理，設計中充分考慮到本大樓今后綜合業(yè)務的開展，因此在管理子系統(tǒng)設有垂直主干的光纖配線箱、機架式跳線架。根據(jù)系統(tǒng)的需要，將敷設12芯多模光纖與設備間連接作為數(shù)據(jù)主干。語音主干用三類50/25對大對數(shù)線纜。信息中心設立在綜合樓四層網(wǎng)絡中心機房，作為通訊的總出入口，通過光纖與大對數(shù)線纜連接到各樓層進行匯總，并實現(xiàn)統(tǒng)一的控制與管理。2.5.5管理間子系統(tǒng)管理子系統(tǒng)由交連、互連配線架組成。管理點為連接其它子系統(tǒng)提供連接手段。交連和互連允許將通訊線路定位或重定位到建筑物的不同局部，以便能更容易地管理通信線路。使在移動終端設備時能方便地進行插拔。跳線式管理方式是綜合布線系統(tǒng)產(chǎn)品的結構化、模塊化和使用的靈巧性、可調整性的充分表達。當設備布置出現(xiàn)變化時，不必大動干戈，僅需將相關跳線作出改動即可。也能對其它系統(tǒng)的構成、連接進行任意的調整和分配。光纜采用光纖配線架進行管理，選用體積小、安裝簡便、便于維護的機架式配線架。同時考慮到綜合布線系統(tǒng)建成后的通用性和靈巧性。配線架的配線管理采用表格對應方式，根據(jù)大樓各信息點的層次、單元/區(qū)域，記錄下布線的通路、線纜終結的位置、所用部件或材料的說明，并對布線通路、信息插座、接地電纜加上永久性標志，以方便維護人員識別和管理。本工程在相應位置設置配線間，配線間設置19英寸標準的機柜,用于終接線纜及放置設備。六類24口配線架綜合布線系統(tǒng)設計要求的高速，高性能配線架。鞏固的和易于安裝的設計，減少安裝和操作的費用。彩色色序標記，便于導線的插入，減少錯誤。跳線RJ45-110鴨嘴跳線是滿足綜合布線系統(tǒng)設計要求的高速、高性能、阻燃室內(nèi)跳線。線纜由多股銅導線構成，外皮采用高密度阻燃聚氯乙烯材料，使用平安。110-110鴨嘴跳線符合國際ISO/IEC11801和美國ANSI/TIA/EIA-568A/B、歐洲CENELECEN50173的相關標準，符合UL認證要求。六類網(wǎng)絡跳線由標準的軟跳線電纜〔多股線〕和連接硬件制成，所有的跳線符合T568A和T568B線序，具有高抗電磁干擾性，使傳輸信號的誤碼率降至最低。滿足六類傳輸標準，用于設備間或水平子系統(tǒng)的端接，為通訊設備，配線架實現(xiàn)快速互聯(lián)。注：跳線的計算方法根本上根據(jù)信息點數(shù)計算，每個信息點包括機柜端1條，用戶端1條。110型100對語音配線架110型高頻接線模塊是依據(jù)國際標準ISO/IEC11801、TIA/EIA-TSB-40設計制造的UTP電纜用高頻接線模塊，每個容量100、200、300回線不等。2.5.6設備間子系統(tǒng)設備間子系統(tǒng)主要指計算機系統(tǒng)，網(wǎng)絡互聯(lián)設備，弱電控制設備等，即主要指系統(tǒng)的計算機網(wǎng)絡中為各類信息提供信息管理傳輸效勞的各種設備及設備的連接線所組成。設備間子系統(tǒng)由主配線架以及跳線組成，它將中心計算機和網(wǎng)絡設備或弱電主控制設備的輸出線與干線子系統(tǒng)相連接，構成系統(tǒng)計算機網(wǎng)絡的重要環(huán)節(jié)；同時通過配線架的跳線控制所有總配線架的路由。第3章網(wǎng)絡系統(tǒng)設計3.1系統(tǒng)概述信息技術是當今最活潑，開展最迅速，影響最廣泛，滲透力最強的科學技術領域之一。信息化是一場深刻的革命，在社會許多領域對傳統(tǒng)的生產(chǎn)、生活和思維方式產(chǎn)生著巨大沖擊，并促進著經(jīng)濟和社會的快速和均衡開展。隨著全球經(jīng)濟一體化步伐的加快，信息化水平已成為衡量一個國家和地區(qū)的國際競爭力、現(xiàn)代化程度、綜合國力和經(jīng)濟成長能力的重要標志，是促進社會生產(chǎn)力開展的重要因素。世界各國對信息化的開展已給予了前所未有的關注。

教育信息化的開展，帶來了教育形式和學習方式的重大變革，對傳統(tǒng)的教育思想、觀念、模式、內(nèi)容和方法產(chǎn)生了巨大沖擊。教育信息化是國家信息化的重要組成局部，對于轉變教育思想和觀念，深化教育改革，提高教育質量和效益，培養(yǎng)創(chuàng)新人才具有深遠意義，是實現(xiàn)教育跨越式開展的必然選擇。3.2工程需求3.2.1需求分析本次XX中學網(wǎng)絡建設包括該中學的綜合樓、教學樓、體藝館、教師宿舍、食堂、體育場主席臺，學校有近600個信息點，要求實現(xiàn)有線、無線一體化的網(wǎng)絡系統(tǒng)，并且要求保障有線、無線接入的平安。3.2.2工程建設目標通過本次建設，實現(xiàn)XX中學網(wǎng)絡統(tǒng)一，實現(xiàn)近600個信息點接入的能力，到達教育信息化的程度。3.3工程方案3.3.1總體設計原那么早期的高校校園網(wǎng)主要是共用內(nèi)部教育系統(tǒng)主機資源，共享簡單數(shù)據(jù)庫，多以二層交換為主，很少有三層應用，存在平安、可管理性較差、無業(yè)務增值能力等方面的問題?，F(xiàn)在XX中學網(wǎng)絡建設要實現(xiàn)內(nèi)部全方位的數(shù)據(jù)共享，應用三層交換，提供全面的QoS保障效勞，使網(wǎng)絡平安可靠，從而實現(xiàn)教育管理、多媒體教學自動化，而且還要通過Internet實現(xiàn)遠程教學，提供可增值可管理的業(yè)務，必須具備高性能、高平安性、高可靠性，可管理、可增值特性以及開放性、兼容性、可擴展性?；趯X中學業(yè)務需求的深入理解，結合自身產(chǎn)品和技術特點，華為公司推出了了完善的校園教育網(wǎng)絡建設的解決方案，為XX中學提供“高擴展、多業(yè)務、高平安〞的精品網(wǎng)絡。結合學校校園網(wǎng)的實際應用和開展要求，在進行網(wǎng)絡系統(tǒng)建設時，應遵循以下原那么：〔1〕實用性原那么對學校校園網(wǎng)網(wǎng)絡系統(tǒng)建設將以滿足現(xiàn)行需求為根底，在節(jié)省投資的同時，充分考慮開展的需要來確定系統(tǒng)規(guī)模。〔2〕平安性原那么學校校園網(wǎng)網(wǎng)絡平臺效勞于教育系統(tǒng)的運行需要，對平安級別要求很高。由于連接學校內(nèi)所有用戶，平安管理十分重要。系統(tǒng)應能提供網(wǎng)絡層的平安手段防止系統(tǒng)外部成員的非法侵入以及操作人員的越級操作?！?〕穩(wěn)定可靠性原那么只有運行穩(wěn)定的網(wǎng)絡才是可靠的網(wǎng)絡，而網(wǎng)絡設備的穩(wěn)定可靠運行取決于諸多因素，如網(wǎng)絡的設計、產(chǎn)品的可靠性等。因此系統(tǒng)設計能有效的防止單點失敗，在設備的選擇和關鍵設備的互聯(lián)時，應提供充分的冗余備份，一方面最大限度地減少故障的可能性，另一方面要保證網(wǎng)絡能在最短時間內(nèi)修復?！?〕成熟和先進性原那么學校校園網(wǎng)網(wǎng)絡系統(tǒng)結構設計、系統(tǒng)配置、系統(tǒng)管理方式等方面應采用國際上先進的同時又是成熟、實用的技術?！?〕標準性原那么系統(tǒng)設計所采用的技術和設備應符合國際標準、國家標準和業(yè)界標準，為系統(tǒng)的擴展升級、與其他系統(tǒng)的互聯(lián)提供良好的根底。〔6〕系統(tǒng)兼容性好為了保證與原有系統(tǒng)和設備的互聯(lián)互通和正常的運行，設備應具有很好的兼容性，采用標準技術進行組網(wǎng)，可以保證工程組網(wǎng)的無縫兼容，包括物理連接、生成樹協(xié)議、路由互通以及用戶認證系統(tǒng)等?！?〕可擴充和擴展化原那么系統(tǒng)要有可擴展性和可升級性，隨著業(yè)務的增長和應用水平的提高，網(wǎng)絡中的數(shù)據(jù)和信息流將按指數(shù)增長，本次網(wǎng)絡建議采用層次化的結構設計，采用的會聚需要網(wǎng)絡有很好的可擴展性，并能隨著技術的開展不斷升級，保證建設完成后的系統(tǒng)在向新的技術升級時，能保護現(xiàn)有的投資。〔8〕可管理性原那么考慮到當前學校的信息技術專業(yè)人才數(shù)量很少，網(wǎng)絡建設維護、信息資源開發(fā)能力相對較弱，因此整個系統(tǒng)的設備應易于管理，易于維護，易學，易用，便于進行系統(tǒng)配置，在設備、平安性、數(shù)據(jù)流量、性能等方面很好的監(jiān)視和控制，遠程管理和故障診斷。3.3.2整體設計1)拓樸結構XX中學教育信息化解決方案總體設計以高性能、高可靠性、高平安性、有線無線一體化和統(tǒng)一的網(wǎng)管系統(tǒng)為原那么，以及考慮到技術的先進性、成熟性，并采用模塊化的設計方法，組網(wǎng)圖如下所示：2)拓樸說明如下圖，整個校園網(wǎng)設計包含互聯(lián)網(wǎng)出口區(qū)域、局域網(wǎng)交換區(qū)域、數(shù)據(jù)中心區(qū)域和智能管理中心等主要局部，下面將分別加以介紹。1、互聯(lián)網(wǎng)出口區(qū)域互聯(lián)網(wǎng)出口區(qū)域除了要將學校局域網(wǎng)和互聯(lián)網(wǎng)、教育網(wǎng)進行連接的根本功能之外，還要肩負起防御網(wǎng)絡攻擊、過濾掉網(wǎng)絡有害數(shù)據(jù)、有害網(wǎng)站等任務。因此，在互聯(lián)網(wǎng)出口我們部署了以下設備：高性能防火墻〔支持IPS等功能〕、上網(wǎng)行為管理設備出口防火墻我們采用天融信NGFW4000-UFTG-41406防火墻，部署在出口，完成信息網(wǎng)絡的第一道平安防線，可以有效實現(xiàn)對DoS/DDoS攻擊、ARP欺騙攻擊、TCP報文標志位不合法攻擊、超大ICMP報文攻擊、地址/端口掃描、ICMP重定向或不可達攻擊、Tracert攻擊、帶路由記錄選項IP報文、Java/ActiveXBlocking和SQL注入攻擊等威脅的防范。并采用天融信上網(wǎng)行為管理網(wǎng)關，以到達對校園網(wǎng)絡出口數(shù)據(jù)及上網(wǎng)行為的管理。2、局域網(wǎng)交換區(qū)域考慮到XX中學有線網(wǎng)絡將要承載的實時視頻教案以及同時課堂等應用，我們把局域網(wǎng)交換模塊分為核心層、會聚層和接入層，接入層千兆到會聚，會聚層萬兆到核心，各個層功能清楚：核心層是整個網(wǎng)絡關鍵所在所在，它直接決定了整個網(wǎng)絡的性能、網(wǎng)絡可靠性以及所能承載的業(yè)務；會聚層是接入層的會聚，實現(xiàn)會聚區(qū)域內(nèi)的三層數(shù)據(jù)交換，緩解核心設備的壓力；接入層完成千兆到桌面的用戶接入。XX中學信息化網(wǎng)絡系統(tǒng)的核心交換機將承當起整個信息化網(wǎng)絡的數(shù)據(jù)交換，完成學校幾百用戶所產(chǎn)生的網(wǎng)絡數(shù)據(jù)流量，所以核心設備必須具有先進性，能夠在今后很長的一段時間內(nèi)對新技術、新應用提供支撐能力。因此，我們選用2臺華為公司的S7706數(shù)據(jù)中心級核心交換機作為XX中學信息化網(wǎng)絡的核心交換機。2臺S7706通過高速堆疊模塊互為冗余，增強了核心交換機的可靠性和穩(wěn)定性。學校下面的教學樓和綜合樓的數(shù)據(jù)中心及網(wǎng)管中心采用華為S5700-28X-LI-AC智能萬兆交換機做為各樓的會聚交換機，核心交換機與會聚交換機之間采用萬兆光纖連接，保障了網(wǎng)絡的高帶寬；S5700-28X-LI-AC是華為公司自主開發(fā)的全萬兆三層以太網(wǎng)交換機，廣泛應用于企業(yè)網(wǎng)、園區(qū)網(wǎng)和校園網(wǎng)的會聚層。提供靈巧的全萬兆以太網(wǎng)端口的接入密度、豐富的業(yè)務特性、統(tǒng)一的集群配置，為用戶提供高性能、低本錢、可網(wǎng)管的解決方案，是萬兆會聚的理想選擇。接入層交換機我們采用華為S5700-28P-LI-AC主機，該主機是華為公司推出的新一代綠色節(jié)能的以太網(wǎng)智能千兆接入交換機。它基于新一代交換技術和華為VRP?〔VersatileRoutingPlatform〕軟件平臺，針對客戶的各種應用場景，提供簡單便利的安裝維護手段，同時融合了靈巧的VLAN部署、完備的平安和QoS控制策略、綠色環(huán)保等先進技術，可滿足以太網(wǎng)多業(yè)務承載和接入需要，助力用戶搭建面向未來的IT網(wǎng)絡。為了實現(xiàn)無線系統(tǒng)解決方案，我們采用華為的無線AC6605-26-PWR和AP6010DN-AGN對學校進行無線覆蓋。華為無線AC可以像擴展和管理傳統(tǒng)有線網(wǎng)絡一樣，對無線網(wǎng)絡進行擴展和管理，無線控制器最多可以接入640個AP，支持2萬個無線客戶端設備。在AP上啟用802.1x的平安認證功能。通過用戶名和密碼認證后，方可接入網(wǎng)絡系統(tǒng)。3、智能管理中心一個好的網(wǎng)絡不僅有好的網(wǎng)絡設備，也要求要有好的網(wǎng)絡管理軟件，就XX中學的網(wǎng)絡情況來看，網(wǎng)絡管理軟件不僅要求能夠對有線和無線網(wǎng)絡設備進行一體化管理、對網(wǎng)絡資源進行管理、能夠對網(wǎng)絡流量進行分析和優(yōu)化、能夠有詳細的報表分析報告。因此我們選用華為公司的E-sight智能管理中心做為整個校園網(wǎng)的管理平臺，該平臺不僅可以對網(wǎng)絡設備進行WEB管理，還可以通過增加組件的形式對無線資源管理等多種全方位的資源管理，并部署一套認證效勞器，如RADIUS認證系統(tǒng)等，對無線接入用戶要求用戶名和密碼的認證接入。3.4網(wǎng)絡平臺3.4.1層次化設計在XX中學校園網(wǎng)絡整體設計中，我們采用層次化、模塊化的網(wǎng)絡設計結構，并嚴格定義各層功能模型，不同層次關注不同的特性配置。典型的校園園區(qū)網(wǎng)絡結構可以分成三層：接入層、會聚層、核心層。1)接入層：提供網(wǎng)絡的第一級接入功能，完成簡單的交換，平安、Qos都位于這一層。對于校園園區(qū)網(wǎng)的接入層設備，建議采用千兆接入的方式，應該具有線速交換、高級QoS策略等功能。2)會聚層：會聚來自配線間的流量和執(zhí)行策略，當路由協(xié)議應用于這一層時，具有負載均衡、快速收斂和易于擴展等特點，這一層還可作為接入設備的第一跳網(wǎng)關，能夠承載校園網(wǎng)絡融合業(yè)務的需求。3)核心層：網(wǎng)絡的骨干，必須能夠提供高速數(shù)據(jù)交換和路由快速收斂，要求具有較高的可靠性、穩(wěn)定性和易擴展性等。對于XX中學校園網(wǎng)核心層，應該在提供大容量、高性能L2/L3交換效勞根底上，能夠進一步融合了硬件IPv6，可為校園園區(qū)構建融合業(yè)務的根底網(wǎng)絡平臺，進而幫助用戶實現(xiàn)IT資源整合的需求。3.4.2IP地址規(guī)劃設計IPv4地址規(guī)劃IP地址的合理規(guī)劃是網(wǎng)絡設計中的重要一環(huán)，大型計算機網(wǎng)絡必須對ＩＰ地址進行統(tǒng)一規(guī)劃并得到實施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡路由協(xié)議算法的效率，影響到網(wǎng)絡的性能，影響到網(wǎng)絡的擴展，影響到網(wǎng)絡的管理，也必將直接影響到網(wǎng)絡應用的進一步開展。IP地址規(guī)劃必須考慮到XX中學今后學校接入的分配和規(guī)劃問題。IP地址分配原那么IP地址空間分配，要與網(wǎng)絡拓撲層次結構相適應，既要有效地利用地址空間，又要表達出網(wǎng)絡的可擴展性和靈巧性，同時能滿足路由協(xié)議的要求，以便于網(wǎng)絡中的路由聚類，減少路由器中路由表的長度，減少對路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮到網(wǎng)絡地址的可管理性。具體分配時要遵循以下原那么：唯一性：一個IP網(wǎng)絡中不能有兩個主機采用相同的IP地址；簡單性：地址分配應簡單易于管理，降低網(wǎng)絡擴展的復雜性，簡化路由表項；連續(xù)性：連續(xù)地址在層次結構網(wǎng)絡中易于進行路徑疊合，大大縮減路由表，提高路由算法的效率；可擴展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡規(guī)模擴展時能保證地址疊合所需的連續(xù)性；靈巧性：地址分配應具有靈巧性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。主流的IP地址規(guī)劃方案分為純公網(wǎng)地址、純私網(wǎng)地址和混合網(wǎng)絡地址三種；當校園網(wǎng)以私網(wǎng)地址分配或采用混合網(wǎng)絡地址接入時，要求校園網(wǎng)提供地址變換功能，過濾掉私網(wǎng)地址。IP地址規(guī)劃方案地址編碼標準建議校園網(wǎng)的IP地址進行嚴格的編碼，每位代表不同的含義。其編碼規(guī)那么〔舉例如下〕為：通過地址標識可以清楚地區(qū)分出IP地址地來源，便于路由會聚和訪問控制。從上表中我們也可以看出，通過我們的規(guī)劃，我們能從IP地址分析出IP地址的來源、用途等，這將為網(wǎng)絡的維護帶來方便。具體的IP地址定義將結合實際情況確定。中心交換機支持靜態(tài)或動態(tài)的IP地址分配，并支持動態(tài)IP地址分配方式下DHCP-Relay功能，DHCPSERVER可安放在園區(qū)內(nèi)部。對于固定IP地址用戶，需要針對標識符〔MAC地址〕設定保存IP地址。IPv6地址規(guī)劃IP地址規(guī)劃主要涉及到網(wǎng)絡資源的利用的方便有效的管理網(wǎng)絡的問題，IPv6地址有128位，其中可供分配為網(wǎng)絡前綴的空間有64bit。按照最新的IPv6RFC3513，IPv6地址分為全球可路由前綴和子網(wǎng)ID兩局部，協(xié)議并沒有明確的規(guī)定全球可路由前綴和子網(wǎng)ID各自占的bit數(shù)，目前APNIC能夠申請到的IPv6地址空間為/32的地址。IPv6的地址使用方式有兩類，一類是普通網(wǎng)絡申請使用的IP地址，這類地址完全遵從前綴+接口標識符的IP地址表示方法；另外一類就是取消接口標識符的方法，只使用前綴來表示IP地址。IP地址的分配和網(wǎng)絡組織、路由策略以及網(wǎng)絡管理等都有密切的關系，IPv6地址規(guī)劃目前尚沒有主流的規(guī)那么，具體的IP地址分配通常在工程實施時統(tǒng)一規(guī)劃實施，可以遵循一些分配原那么：地址資源應全網(wǎng)統(tǒng)一分配地址劃分應有層次性，便于網(wǎng)絡互聯(lián)，簡化路由表IP地址的規(guī)劃與劃分應該考慮到網(wǎng)絡的開展要求充分合理利用已申請的地址空間，提高地址的利用效率。IP地址規(guī)劃應該是網(wǎng)絡整體規(guī)劃的一局部，即IP地址規(guī)劃要和網(wǎng)絡層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結合起來考慮。IP地址的規(guī)劃應盡可能和網(wǎng)絡層次相對應，應該是自頂向下的一種規(guī)劃。CERNET2分配給各個駐地網(wǎng)用戶的IPv6地址空間會是一個或幾個/48的IPv6地址前綴。我們知道全球可聚集IPv6地址的前綴為64位，后64位為主機的interfaceid.所以各個駐地網(wǎng)用戶用于可分配的IPv6地址前綴空間的范圍為/48至/64之間。IPv6的地址分配原那么同IPv4一樣遵循CIDR原那么。IPv6的地址規(guī)劃時考慮三大類地址：1、公共效勞器地址，如DNS，EMAIL，F(xiàn)TP等。2、網(wǎng)絡設備互聯(lián)地址和網(wǎng)絡設備的LOOPBACK地址。根據(jù)IETFIPv6工作組的建議IPv6網(wǎng)絡設備互聯(lián)地址采用/64的地址塊。IPv6網(wǎng)絡設備的LOOPBACK地址采用/128的地址。3、用戶終端的業(yè)務地址。此外由于目前網(wǎng)絡設備的IPv6MIB信息的獲取要求即使是一個純IPv6網(wǎng)絡也必須要求每個網(wǎng)絡設備擁有IPv4地址。所以一個純IPv6網(wǎng)絡也必須規(guī)劃IPv4地址〔僅需要網(wǎng)絡設備互聯(lián)地址和網(wǎng)絡設備的LOOPBACK地址〕。3.5局域網(wǎng)平安設計3.5.1網(wǎng)絡攻擊DoS攻擊－SynFloodingSynFlooding是目前常見的一種攻擊類型，它將大大消耗被攻擊設備的CPU、內(nèi)存資源，從而不能提供正常的效勞。針對這種攻擊的特點，從攻擊預防、攻擊定位和消除攻擊三個方面分析：1、攻擊預防上，SynFlooding攻擊一般采用源地址偽裝的攻擊方式，可以在網(wǎng)絡設備上開啟uRPF功能，在網(wǎng)絡邊緣將攻擊包過慮掉；2、攻擊定位，在被攻擊設備的前一跳設備開始，通過采用Netflow分析工具、ACLLOG或SourceTracker功能，逐跳查找攻擊源。如果攻擊源在本網(wǎng)絡范圍內(nèi)，那么關閉其網(wǎng)絡端口，消除攻擊。3、攻擊消除，在沒有找到攻擊源或無法找到攻擊源〔攻擊源不在本網(wǎng)絡范圍內(nèi)〕的情況下，可以在被攻擊設備前的設備上開啟TCPIntercept功能，由網(wǎng)絡設備承載一局部TCP的連接，減緩攻擊對被攻擊目標的影響。根據(jù)上文對TCPSynFlooding攻擊防御的介紹，可以發(fā)現(xiàn)，攻擊預防和定位對TCPSynFlooding攻擊是最重要的。DoS攻擊－Smurf〔ICMPFlooding〕攻擊Smurf攻擊一般采用的是源地址欺騙的方式，偽裝的源地址為被攻擊目標。1、攻擊預防上，Smurf攻擊一般采用源地址偽裝的攻擊方式，可以在網(wǎng)絡設備上開啟uRPF功能，在網(wǎng)絡邊緣將攻擊包過慮掉；2、攻擊定位，在被攻擊設備的前一跳設備開始，通過采用Netflow分析工具、ACLLOG或SourceTracker功能，逐跳查找攻擊源。如果攻擊源在本網(wǎng)絡范圍內(nèi)，那么關閉其網(wǎng)絡端口，消除攻擊。3、攻擊消除，在發(fā)生攻擊的網(wǎng)絡設備上限制ICMP的流量，減輕Smurf攻擊對攻擊設備的影響。由于ICMP是檢測網(wǎng)絡連通性的工具，對ICMP包的過濾不會對網(wǎng)絡應用造成影響。DoS攻擊－UDPFlooding局部UDPFlooding攻擊也采用源地址偽裝的方式，因此在預防上與SynFlooding和Smurf攻擊類似。1、攻擊預防上，可以在網(wǎng)絡設備上開啟uRPF功能，在網(wǎng)絡邊緣將局部攻擊包過慮掉；2、攻擊定位，在被攻擊設備的前一跳設備開始，通過采用Netflow分析工具、ACLLOG或SourceTracker功能，逐跳查找攻擊源。如果攻擊源在本網(wǎng)絡范圍內(nèi)，那么關閉其網(wǎng)絡端口，消除攻擊。3、攻擊消除，在發(fā)生攻擊的網(wǎng)絡設備上限制UDP的流量，減輕UDPFlooding攻擊對攻擊設備的影響。其他的網(wǎng)絡攻擊一般只涉及到網(wǎng)絡信息平安，對網(wǎng)絡本身沒有影響，因此在這里不討論。3.5.2網(wǎng)絡病毒目前對網(wǎng)絡造成大規(guī)模影響的網(wǎng)絡病毒主要有：紅色代碼〔CodeRed〕、MicrosoftSQL病毒、NIMDA病毒、沖擊波病毒等。下面對這些常見網(wǎng)絡病毒的防御、消除方法進行介紹。紅色代碼病毒紅色代碼病毒是利用了Microsoft中的堆棧漏洞，病毒發(fā)作時向網(wǎng)絡發(fā)送大量無用的數(shù)據(jù)包，造成網(wǎng)絡擁塞影響網(wǎng)絡性能。1、病毒預防方面，在網(wǎng)絡中架設IDS或Netflow分析工具，當病毒發(fā)生時可以及時發(fā)現(xiàn)，采取行動。2、病毒定位，與定位DoS攻擊類似，查找到病毒源可以有效的鏟除網(wǎng)絡病毒對網(wǎng)絡的影響。采取的方式也與定位DoS攻擊相似，采用Netflow分析工具、ACLLOG或SourceTracker等方法，查找到病毒源。3、消除病毒影響，除查找出病毒源的方法外，可以在網(wǎng)絡設備上開啟NBAR功能，判別病毒包，并將其過濾。在紅色代碼中，特征碼為default.ida、cmd.exe、root.exe等，通過NBAR可以將含有這些關鍵字的數(shù)據(jù)包丟棄，防止病毒繼續(xù)傳播，從而起到消除病毒影響的作用。但真正消除病毒影響需要在PC和主機端采用殺病毒軟件徹底去除病毒。NIMDA病毒NIMDA病毒是紅色代碼病毒的升級版，也是利用了Microsoft中的堆棧漏洞，病毒發(fā)作時向網(wǎng)絡發(fā)送大量無用的數(shù)據(jù)包，造成網(wǎng)絡擁塞影響網(wǎng)絡性能。其預防、消除方式與紅色代碼病毒相同。MicrosoftSQL病毒SQL病毒是利用SQL的漏洞，病毒發(fā)作時發(fā)出大量SQL的查詢包，并且很多包是組播類型，這將大大影響二層設備的性能。SQL病毒的防御比擬容易，只需要將SQL的查詢包過濾掉即可。其特征為UPD數(shù)據(jù)包端口號為1434。同時需要定位病毒源，其方法也是通過Netflow分析工具、ACLLOG和SourceTracker等方式。沖擊波病毒沖擊波病毒與以上幾種病毒相似，也是利用Microsoft的漏洞，病毒發(fā)作時產(chǎn)生大量的ICMP包，其現(xiàn)象類似ICMPFlooding的攻擊。1、病毒預防方面，在網(wǎng)絡中架設IDS或Netflow分析工具，當病毒發(fā)生時可以及時發(fā)現(xiàn)，采取行動。在網(wǎng)絡中設置ICMP的速率限制，及時當網(wǎng)絡中有病毒時，也不會對網(wǎng)絡造成致命的影響。在網(wǎng)絡設備上，阻斷有沖擊波病毒傳播特征的數(shù)據(jù)包，預防病毒的傳播。其特征為：udp端口號69、tcp端口號135、udp端口號135、udp端口號137、udp端口號138、tcp端口號139、udp端口號139、tcp端口號445、tcp端口號593、tcp端口號4444。2、病毒定位，采用Netflow分析工具、ACLLOG或SourceTracker等方法，查找到病毒源。3、消除病毒影響，除查找出病毒源的方法外，需要阻斷但真正消除病毒影響需要在PC和主機端采用殺病毒軟件徹底去除病毒。網(wǎng)絡攻擊和網(wǎng)絡病毒的預防與消除需要在網(wǎng)絡設備上開啟一些根本功能來預防，當一些病毒發(fā)作時，需要采用相應的應對方式。但網(wǎng)絡攻擊和網(wǎng)絡病毒種類不斷更新，會出現(xiàn)各種各樣的新病毒，這就需要韶關供電局與我們共同快速的響應，以最快的速度采用有效的方法將攻擊與病毒的影響限制到最小。 3.5.3ARP欺騙攻擊原理和防范攻擊實例目前利用ARP原理編制的工具十分簡單易用，這些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超過30種應用的密碼和傳輸內(nèi)容。下面是測試時利用工具捕獲的TELNET過程，捕獲內(nèi)容包含了TELNET密碼和全部所傳的內(nèi)容：不僅僅是以上特定應用的數(shù)據(jù)，利用中間人攻擊者可將監(jiān)控到數(shù)據(jù)直接發(fā)給SNIFFER等嗅探器，這樣就可以監(jiān)控所有被欺騙用戶的數(shù)據(jù)。還有些人利用ARP原理開發(fā)出網(wǎng)管工具，隨時可以切斷指定用戶的連接。這些工具極易使網(wǎng)絡變得不穩(wěn)定，通常這些故障很難排查。防范方法這些攻擊都可以通過動態(tài)ARP檢查〔DAI，DynamicARPInspection〕來防止，它可以幫助保證接入交換機只傳遞“合法的〞的ARP請求和應答信息。DHCPSnooping監(jiān)聽綁定表包括IP地址與MAC地址的綁定信息并將其與特定的交換機端口相關聯(lián)，動態(tài)ARP檢測〔DAI－DynamicARPInspection〕可以用來檢查所有非信任端口的ARP請求和應答(主動式ARP和非主動式ARP)，確保應答來自真正的ARP所有者。Catalyst交換機通過檢查端口紀錄的DHCP綁定信息和ARP應答的IP地址決定是否真正的ARP所有者，不合法的ARP包將被刪除。DAI配置針對VLAN，對于同一VLAN內(nèi)的接口可以開啟DAI也可以關閉，如果ARP包從一個可信任的接口接受到，就不需要做任何檢查，如果ARP包在一個不可信任的接口上接受到，該包就只能在綁定信息被證明合法的情況下才會被轉發(fā)出去。這樣，DHCPSnooping對于DAI來說也成為必不可少的，DAI是動態(tài)使用的，相連的客戶端主機不需要進行任何設置上的改變。對于沒有使用DHCP的效勞器個別機器可以采用靜態(tài)添加DHCP綁定表或ARPaccess-l3.5.4防IP/MAC地址盜用和ARP中間人攻擊防IP/MAC地址盜用DHCPSnooping技術是DHCP平安特性，通過建立和維護DHCPSnooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。DHCPSnooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLAN-ID接口等信息，DHCPSnooping綁定表可以基于DHCP過程動態(tài)生成，也可以通過靜態(tài)配置生成，此時需預先準備用戶的IP地址、MAC地址、用戶所屬VLANID、用戶所屬接口等信息。局域網(wǎng)交換機開啟DHCP-Snooping后，會對DHCP報文進行偵聽，并可以從接收到的DHCPRequest或DHCPAck報文中提取并記錄IP地址和MAC地址信息。另外，DHCP-Snooping允許將某個物理端口設置為信任端口或不信任端口。信任端口可以正常接收并轉發(fā)DHCPOffer報文，而不信任端口會將接收到的DHCPOffer報文丟棄。這樣，可以完成交換機對假冒DHCPServer的屏蔽作用，確?？蛻舳藦暮戏ǖ腄HCPServer獲取IP地址。防ARP中間人攻擊DynamicARPInspection(DAI)在交換機上基于DHCPSnooping技術提供用戶網(wǎng)關IP地址和MAC地址、VLAN和接入端口的綁定，并動態(tài)建立綁定關系。對于用戶終端沒有使用DHCP動態(tài)獲取IP地址的場景，可采用靜態(tài)添加用戶網(wǎng)關相關信息的靜態(tài)綁定表。此時局域網(wǎng)交換機檢測過濾ARP請求響應報文中的源MAC、源IP是否可以匹配上述綁定表，不能匹配那么認為是仿冒網(wǎng)關回應的ARP響應報文，予以丟棄，從而可以有效實現(xiàn)防御ARP中間人/網(wǎng)關ARP仿冒欺騙攻擊行為。3.5.5防IP/MAC地址掃描攻擊防IP掃描攻擊地址掃描攻擊是攻擊者向攻擊目標網(wǎng)絡發(fā)送大量的目的地址不斷變化的IP報文。當攻擊者掃描網(wǎng)絡設備的直連網(wǎng)段時，觸發(fā)ARPmiss，使網(wǎng)絡設備給該網(wǎng)段下的每個地址發(fā)送ARP報文，地址不存在的話，還需要發(fā)送目的主機不可達報文。如果直連網(wǎng)段較大，攻擊流量足夠大時，會消耗網(wǎng)絡設備較多的CPU和內(nèi)存資源，可引起網(wǎng)絡中斷。局域網(wǎng)交換機應支持IP地址掃描攻擊的防護能力，收到目的IP是直連網(wǎng)段的報文時，如果該目的地址的路由不存在，會發(fā)送一個ARP請求報文，并針對目的地址下一條丟棄表項〔棄后續(xù)所有目的地址為該直連網(wǎng)段的ARP報文〕，以防止后續(xù)報文持續(xù)沖擊CPU。如果有ARP應答，那么立即刪除相應的丟棄表項，并添加正常的路由表項；否那么，經(jīng)過一段時間后丟棄表項自動老化。這樣，既防止直連網(wǎng)段掃描攻擊對交換機造成影響，又保證正常業(yè)務流程的暢通。在上述根底上，交換機還應支持基于接口設置ARPmiss的速率。當接口上觸發(fā)的ARPmiss超過設置的閾值時，接口上的ARPmiss不再處理，直接丟棄。如果用戶使用相同的源IP進行地址掃描攻擊，交換機還可以基于源IP做ARPmiss統(tǒng)計。如果ARPmiss的速率超過設定的閾值，那么下發(fā)ACL將帶有此源IP的報文進行丟棄，過一段時間后再允許通過。防MAC地址掃描攻擊以太網(wǎng)交換機的MAC地址轉發(fā)表作為二層報文轉發(fā)的核心，在受到攻擊的時候，直接導致交換機無法正常工作。發(fā)生MAC地址攻擊的時候，攻擊者向攻擊目標網(wǎng)絡發(fā)送大量的源MAC地址不斷變化以太報文，局域網(wǎng)交換機收到以太報文會基于報文的源MAC學習填充二層MAC轉發(fā)表項，由于MAC地址轉發(fā)表的規(guī)格有限，會因為MAC掃描攻擊而很快填充滿，無法再學習生成新的MAC轉發(fā)表，已學習的MAC表條目需通過老化方式刪除，這樣途徑局域網(wǎng)交換機大量的單播報文會因為按照目的MAC找不到轉發(fā)表項而不得不進行播送發(fā)送，導致園區(qū)網(wǎng)絡中產(chǎn)生大量的二層播送報文，消耗網(wǎng)絡帶寬、引發(fā)網(wǎng)絡業(yè)務中斷異常。交換機二層MAC轉發(fā)表是全局共享資源，單板內(nèi)各端口/VLAN共享一份MAC轉發(fā)表，局域網(wǎng)交換機支持基于端口/VLAN的MAC學習數(shù)目限制，同時支持MAC表學習速率限制，有效防御MAC地址掃描攻擊行為。MAC學習數(shù)目到達端口/VLAN上設置的閾值時，會進行丟棄/轉發(fā)/告警等動作〔動作策略可定制、可疊加〕。另外通過局域網(wǎng)交換機的MAC地址與端口綁定來限制跨端口的MAC掃描攻擊。3.5.6播送/組播報文抑制攻擊者不停地向局域網(wǎng)發(fā)送大量惡意的播送報文，惡意播送報文占據(jù)了大量的帶寬，傳統(tǒng)的播送風暴抑制無法識別用戶VLAN，將導致正常的播送流量一并被交換機丟棄。局域網(wǎng)交換機需要識別惡意播送流量的VLANID，通過基于VLAN的播送風暴抑制丟棄惡意播送報文而不影響正常播送報文流量轉發(fā)。可基于端口或VLAN限制播送報文流量百分比或速率閾值。同時局域網(wǎng)交換機應支持組播報文抑制，可基于端口限制組播報文流量百分比或速率閾值。3.5.7DHCP欺騙攻擊的防范采用DHCP管理的常見問題采用DHCPserver可以自動為用戶設置網(wǎng)絡IP地址、掩碼、網(wǎng)關、DNS、WINS等網(wǎng)絡參數(shù)，簡化了用戶網(wǎng)絡設置，提高了管理效率。但在DHCP管理使用上也存在著一些另網(wǎng)管人員比擬問題，常見的有：DHCPserver的冒充。DHCPserver的DOS攻擊。有些用戶隨便指定地址，造成網(wǎng)絡地址沖突。由于DHCP的運作機制，通常效勞器和客戶端沒有認證機制，如果網(wǎng)絡上存在多臺DHCP效勞器將會給網(wǎng)絡照成混亂。由于不小心配置了DHCP效勞器引起的網(wǎng)絡混亂也非常常見。DHCPSnooping技術概述DHCPSnooping技術是DHCP平安特性，通過建立和維護DHCPSnooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。

通過截取一個虛擬局域網(wǎng)內(nèi)的DHCP信息，交換機可以在用戶和DHCP效勞器之間擔任就像小型平安防火墻這樣的角色，“DHCP監(jiān)聽〞功能基于動態(tài)地址分配建立了一個DHCP綁定表，并將該表存貯在交換機里。在沒有DHCP的環(huán)境中，如數(shù)據(jù)中心，綁定條目可能被靜態(tài)定義，每個DHCP綁定條目包含客戶端地址〔一個靜態(tài)地址或者一個從DHCP效勞器上獲取的地址〕、客戶端MAC地址、端口、VLANID、租借時間、綁定類型〔靜態(tài)的或者動態(tài)的〕。根本防范為了防止這種類型的攻擊，DHCP偵聽〔DHCPSnooping〕功能可有效阻止此類攻擊，當翻開此功能，所有用戶端口除非特別設置，被認為不可信任端口，不應該作出任何DHCP響應，因此欺詐DHCP響應包被交換機阻斷，合法的DHCP效勞器端口或上連端口應被設置為信任端口。DHCP偵聽〔DHCPSnooping〕對于下邊介紹的其他阻止ARP欺騙和IP/MAC地址的欺騙是必需的。首先定義交換機上的信任端口和不信任端口，對于不信任端口的DHCP報文進行截獲和嗅探，DROP掉來自這些端口的非正常DHCP響應應報文，如以下圖所示：3.6有線無線一體化網(wǎng)絡設計網(wǎng)絡的開展極大地推動了教育系統(tǒng)的信息化進程，各學校在大力建設有線網(wǎng)絡的同時，也日益關注無線網(wǎng)絡在校園的應用。同時，隨著筆記本電腦的普以及無線局域網(wǎng)客戶端適配器產(chǎn)品的價格逐步降低，更多的老師有能力擁有無線網(wǎng)絡客戶端產(chǎn)品。校園用戶越來越要求盡可能方便、快速、移動式的使用網(wǎng)絡，無線校園的建設正駛向快車道。設想一下，課堂上老師和學生可通過手持無線設備進行自由溝通和交流；奧運會比賽的時候，通過無線，全校所有師生可實時在校內(nèi)任何地方看到賽事直播。這樣一個美好的無線校園網(wǎng)的實現(xiàn)，需要一個強有力的無線網(wǎng)絡來支撐，當前校園無線的規(guī)模越來越大，從覆蓋范圍看，無線從校園局部覆蓋擴展到了整個校園內(nèi)的覆蓋，從無線AP的數(shù)量看，也從最初的幾個開展到幾十個甚至上百個AP。無線校園的建設對系統(tǒng)的平安性、穩(wěn)定性、擴展性、管理性等各方面都提出了更高的要求。3.6.1無線校園網(wǎng)建設需求在無線校園網(wǎng)建設中，為了解決大規(guī)模部署情況下的統(tǒng)一配置、調整問題，以及射頻的智能管理問題，現(xiàn)在學校無線校園建設普遍都采用了瘦AP建網(wǎng)模式。瘦AP的另一個好處是實現(xiàn)了三層漫游環(huán)境下防止重新認證，從而使漫游切換時間小于50ms。這對于校園移動業(yè)務，尤其是對切換時間要求最苛刻的語音業(yè)務意義重大。然而，隨著無線校園網(wǎng)的開展，一些新的需求也逐漸變得越來越強烈。主要有以下幾個方面：穩(wěn)定問題：由于WLAN網(wǎng)絡的組網(wǎng)設計包含無線控制器、接入交換機、無線接入點等大量設備，在大局部情況下，還需要通過以太網(wǎng)解決供電問題，所有這些環(huán)節(jié)都會影響校園無線網(wǎng)絡的穩(wěn)定性；同時由于無線信號的傳播深受環(huán)境影響，多徑等問題導致無線信號在不同方向上存在非常復雜的衰減現(xiàn)象，實際的信號覆蓋和理想的信號衰減模型往往存在一定差異。所以如何實時根據(jù)環(huán)境動態(tài)調整無線接入點的信道、發(fā)射功率等也是經(jīng)常困擾無線校園管理人員的難題。平安問題：由于無線網(wǎng)絡的特殊性，校園無線用戶的平安問題就更加突出。對無線校園網(wǎng)用戶來說，所有有線網(wǎng)絡存在的平安威脅和隱患都同樣存在。同時，任何不可信的無線設備可以在信號覆蓋范圍內(nèi)進行網(wǎng)絡接入的嘗試，一定程度上也加劇了無線用戶所面臨的平安隱患。無線校園的平安問題已經(jīng)不再是單一的物理層平安，也包括了用戶接入平安、網(wǎng)絡層平安、設備平安、平安管理等多個層面上，如何能使校園無線用戶在使用網(wǎng)絡時能夠像使用有線網(wǎng)絡一樣平安、可靠，正逐漸成為無線校園建設所關注的核心。管理問題：相對于FATAP來說，雖然FITAP解決方案幫助校園網(wǎng)管理人員實現(xiàn)了無線校園的靈巧安裝與應用，但管理無線網(wǎng)絡卻仍然是一項非常耗時且麻煩的事情。在無線校園環(huán)境中尤為如此。傳統(tǒng)的FITAP解決方案由無線控制器〔AC〕及無線接入點〔FITAP〕構成，雖然整個無線網(wǎng)絡具有一些設備管理、平安管理功能和用戶管理功能，但是與有線網(wǎng)絡難于統(tǒng)一，無法在整個企業(yè)范圍內(nèi)實現(xiàn)用戶管理及認證、效勞質量控制和平安策略實施等。因此，通常引入無線網(wǎng)絡會降低平安性，整個網(wǎng)絡管理起來比擬復雜，并且維護本錢也比預期高。把校園網(wǎng)絡作為一個整體，整合有線和無線網(wǎng)絡，實現(xiàn)統(tǒng)一的網(wǎng)絡控制和管理，對于高校來說具有重要的意義。擴展問題：WLAN技術的開展日新月異，新技術、新標準層出不窮，除了呼之欲出的802.11n，在教育行業(yè)一個重要的門檻技術是IPv6。所有的無線產(chǎn)品和解決方案都要為未來的升級和應用做好準備。應用問題：隨著WLAN技術的逐步成熟，市場上各種各樣的WLAN終端如筆記本電腦、PDA、雙模手機、支持Wi-Fi的游戲機、即拍即傳的數(shù)碼相機如雨后春筍般涌現(xiàn)出來，同時價格越來越低，普及程度越來越高，使得無線新業(yè)務在校園網(wǎng)中的豐富應用成為可能。如何在無線校園網(wǎng)絡這個開放的平臺上開展豐富的業(yè)務是建設者必須要考慮的問題。例如VoWiFi、無線監(jiān)控等業(yè)務，解決了校園內(nèi)部和校區(qū)之間通訊費用高、無線監(jiān)控和無線多媒體教學的問題，讓無線接入變得更有價值。3.6.2一體化無線校園網(wǎng)解決方案無線管理中心無線管理中心智能策略管理中心無線交換機運營管理中心室內(nèi)型熱點無線覆蓋圖書館閱覽室教室、辦公室會議室/學術廳室外型熱點無線覆蓋運動場/操場迎新大道校園干道有線骨干網(wǎng)PoE供電接入無線業(yè)務應用移動數(shù)據(jù)業(yè)務Wi-Fi語音漫游一體化無線校園解決方案有效實現(xiàn)了有線和無線網(wǎng)絡的融合，通過統(tǒng)一的硬件平臺、統(tǒng)一的網(wǎng)絡管理、統(tǒng)一的用戶管理、統(tǒng)一的應用平安，為學校用戶提供平安的無線接入。根據(jù)用戶需求，通過在華為交換機中參加無線控制器插卡，就可為原有的有線校園網(wǎng)絡提供無線支持，還可以像擴展和管理傳統(tǒng)有線網(wǎng)絡一樣，對無線網(wǎng)絡進行擴展和管理。華為S7700交換機的無線控制器每個模塊可以接入640個FITAP，支持2萬個無線客戶端設備，并可以通過增加模塊，提升系統(tǒng)整體處理能力，最大可以支持7000個以上的FITAP及數(shù)十萬的無線客戶端。穩(wěn)定的一體化無線校園系統(tǒng)方案：穩(wěn)定性解決方案從無線控制器的可靠性，接入交換機供電的可靠性、無線信號的可靠性這幾方面入手，極大的提高了WLAN網(wǎng)絡的可靠性；在實際的使用情況來看，啟用這些措施之后，WLAN的可靠性能夠得到明顯的提升。無線控制器N+1冗余備份：無線控制器產(chǎn)品支持AC之間的N+1備份，以下通過介紹AP選擇接入的AC過程來說明AC間的備份；AP在發(fā)現(xiàn)AC的過程中，會向AC發(fā)送接入請求報文；AC在收到接入請求后，會向AP發(fā)接入回應報文，其中包含了該AC上的負載信息〔AC允許接入的最大AP數(shù)，當前接入的AP數(shù)，允許接入的最大STA數(shù)，當前接入的STA數(shù)〕，和AP在此AC上的接入優(yōu)先級；AP在接收到AC的回應報文后，會選擇接入優(yōu)先級高的AC接入。如果優(yōu)先級相同，那么根據(jù)AC的接入負載情況來判斷；AP通過比擬各AC上〔允許接入的最大AP數(shù)-當前接入的AP數(shù)〕，并選取值最大的AC接入。如果此值相同，那么根據(jù)當前接入AC的無線用戶數(shù)判斷；AP通過比擬各AC上〔允許接入的最大STA數(shù)-當前接入的STA數(shù)〕，并選取值大的AC接入。如相等，那么隨機接入；通過CAPWAP隧道的心跳機制，AP可及時發(fā)現(xiàn)控制器DOWN，同時根據(jù)上述方法重新選擇一個負載輕的AC接入，從而實現(xiàn)AC的N+1備份。實時無線資源管理實時無線資源管理解決方案提供了實時閉環(huán)的無線資源管理，包括了如下步驟：掃描每個接入點啟動后，通過CAPWAP協(xié)議與無線控制器建立隧道，并從無線控制器獲取根本的配置。無線控制器負責協(xié)調網(wǎng)絡中的無線接入點執(zhí)行掃描過程。通過定期的信道掃描，系統(tǒng)能夠分析和了解信道的質量、干擾情況、鄰居接入點的分布等。分析無線控制器將對無線接入點定期上報的數(shù)據(jù)進行聚合分析。這些數(shù)據(jù)包括：干擾：其他工作在802.11頻段的無線網(wǎng)絡對無線介質的影響。噪音：非802.11信號，如雷達、藍牙、無繩電話、微波等等對信號的影響。丟包率：包過失率〔由于隱藏的節(jié)點或信號變形〕信道負載：用來衡量媒介的繁忙程度。有效信號強度：在一定時間內(nèi)觀察到的每個鄰居的信號強度和整個信道的平均信號強度。這些數(shù)據(jù)將幫助無線控制器構建無線網(wǎng)絡的完整視圖，為管理控制提供決策數(shù)據(jù)。決策利用前期分析的數(shù)據(jù)，無線控制器將采用智能的算法對射頻資源進行優(yōu)化和調整，以適應無線環(huán)境的變化。系統(tǒng)使用了優(yōu)化的信道和功率選擇算法、加權判斷以及抑制限度，自動評估資源調整的影響，能夠確保系統(tǒng)的控制是可靠的。執(zhí)行無線控制器將新的發(fā)射功率，信道分配等決策發(fā)送到接入點，接入點負責使能這些配置。系統(tǒng)提供了兩種控制模式：參考模式和立即模式，增加了系統(tǒng)使用的靈巧性。參考模式下，系統(tǒng)不進行實際的控制策略執(zhí)行，只是給出建議的功率、信道的設定值，管理員可以決定是否執(zhí)行這些配置，確保了用戶控制的靈巧性。立即模式下，將根據(jù)系統(tǒng)計算出的信道等參數(shù)進行立即的設置。上述過程是閉環(huán)過程，一旦配置下發(fā)以后，控制器將持續(xù)監(jiān)視網(wǎng)絡環(huán)境。任何無線環(huán)境的變化與波動都會被定期記錄下來，為下一輪的優(yōu)化作準備。全面的PoE解決方案PoE設備的原理是通過非屏蔽雙絞線中四對線中的兩對線來傳輸電源，傳輸數(shù)據(jù)的同時傳輸直流電。因為AP往往要求使用不間斷電源〔UPS〕供給電力，采用PoE設備，AP端僅僅通過一根RJ-45網(wǎng)線與網(wǎng)絡連接即可以同時傳輸數(shù)據(jù)和電力，因此在使用PoE設備的情況下，所有的AP都使用一個UPS在PoE設備端進行保護。如果不使用PoE設備，就需要給每個AP配一個UPS，而且還需要在AP附近安裝電源插座，增加了本錢。因此使用PoE設備將大大降低設備本錢和管理本錢。PoE具有非常明顯的優(yōu)勢，具體如下：簡化安裝，降低本錢，不需為每個網(wǎng)絡設備單獨提供數(shù)據(jù)和電力線纜。靈巧性提高，網(wǎng)絡裝置可被安裝在任何位置，而不需靠近一個已存在的電源輸出口?？煽啃栽鰪姡蠸NMP能力的PoE裝置，可實施遠程檢測和控制，能有效地處理或修理裝置的耗電量和〔或〕失效故障。平安的一體化無線校園系統(tǒng)方案：一體化無線解決方案在遵循IEEE802.11i協(xié)議和國家WAPI標準的根底上，創(chuàng)新性的提出了分層的平安體系架構，將WLAN的平安從單一的物理層平安延伸到了物理層平安、用戶接入平安、網(wǎng)絡層平安、設備平安、平安管理多個層面上，使用戶在使用WLAN網(wǎng)絡時能夠像使用有線網(wǎng)絡一樣平安、可靠。無線產(chǎn)品的物理平安：所采用的無線產(chǎn)品支持以下的加密機制：WEP加密、TKIP加密、CCMP加密、WAPI加密。其中，WAPI采用國家密碼管理委員會辦公室批準的公鑰密碼體制的橢圓曲線密碼算法和對稱密碼體制的分組密碼算法，分別用于WLAN設備的數(shù)字證書、證書鑒別、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密。在無線設備平安方面，華為的FITAP提供“零配置〞功能，在設備上不保存業(yè)務配置，而是每次啟動的時候從無線控制器動態(tài)加載業(yè)務配置，這樣可以有效防止設備喪失造成配置泄漏。無線用戶平安：通過用戶接入認證實現(xiàn)了對校園無線接入用戶的身份認證，為網(wǎng)絡效勞提供了平安保護。所采用的華為無線接入認證主要有802.1x接入認證、PSK認證、MAC接入認證以及在有線校園網(wǎng)中常用的portal認證等。通過和認證效勞器配合，華為的無線設備支持對認證用戶動態(tài)下發(fā)帶寬、VLAN、ACL、優(yōu)先級等參數(shù)，對于不同的用戶群和業(yè)務可以控制其訪問網(wǎng)絡的權限，限制網(wǎng)絡資源的使用，通過VLAN和優(yōu)先級來標識用戶和業(yè)務，并做到業(yè)務隔離。3.6.3VLAN規(guī)劃管理vlan每個AP設置一個管理VLAN，管理VLAN應與業(yè)務VLAN區(qū)分開來。用戶vlan從平安性的角度考慮，上網(wǎng)業(yè)務有必要通過每AP每VLAN進行用戶間的平安隔離，因此建議每AP一VLAN的方式進行規(guī)劃。3.6.4無線平安性設計WLAN終端認證IEEE802.11標準要求WLAN終端在準備連接到網(wǎng)絡時，必需進行“身份驗證〞。WLAN終端身份認證主要有兩種方式：開放系統(tǒng)認證〔Open-systemAuthentication〕和共享密鑰認證〔Shared-KeyAuthentication〕。開放系統(tǒng)認證是IEEE802.11標準要求必備的一種方法，是最簡單的認證算法，即不認證。如果認證類型設置為開放系統(tǒng)認證，那么所有請求認證的客戶端都會通過認證。在這種方式下，接入點并未驗證工作站的真實身份，工作站以MAC地址作為身份證明，這種驗證方式可以讓所有符合802.11標準的終端都可以接入到WLAN網(wǎng)絡中來。開放系統(tǒng)身份驗證比擬適合有眾多用戶的電信運營WLAN網(wǎng)絡。共享密鑰式認證必需使用加密方式，要求每個WLAN終端都鏡頭配置和AP完全一致的密鑰〔key〕。由于配置工作量較大，一般適用于企業(yè)網(wǎng)、校園網(wǎng)及家庭網(wǎng)絡等。二者比照方下：認證方式優(yōu)點劣勢適用場景開放式系統(tǒng)認證部署簡單，終端接入速度快，有效帶寬高平安性差：無法檢驗客戶端是否合法，任何知道無線局域網(wǎng)SSID的用戶都可以訪問網(wǎng)絡電信運營網(wǎng)絡共享密鑰式認證平安性較高：采用了加密方式對密鑰進行保護，空口密鑰數(shù)據(jù)不再明文傳輸配置復雜，可擴展性不佳：每臺終端和AP上都需要靜態(tài)配置一個很長的密鑰字符串有效帶寬較低：加密降低了傳輸效率企業(yè)網(wǎng)、校園網(wǎng)及家庭網(wǎng)絡等用戶身份驗證相對于簡單的STA身份驗證過濾機制，鏈路層用戶身份驗證的平安性大大提高。通過提供有限的訪問權限來驗證用戶身份，只有確定用戶身份后才給予完整的網(wǎng)絡訪問權限，可有效判別用戶的合法性。鏈路層身份驗證時透明的，能配合任何網(wǎng)絡層協(xié)議使用。WLAN的鏈路層身份驗證主要有Portal(DHCP+WEB)、802.1X、PPPoE、WAPI等幾種認證方式。組網(wǎng)保護華為AC產(chǎn)品接口豐富，支持LACP〔LinkAggregationControlProtocol，以下簡稱LACP〕和MSTP〔MultipleSpanningTreeProtocol，以下簡稱MSTP〕等組網(wǎng)保護機制，可提供端口級冗余保護，及設備級1+1快速備份。接入平安方案華為AC均支持開放系統(tǒng)認證、WEP加密、共享密鑰認證、WPA/WPA2認證合加密、WAPI認證加密等無線接入平安特性。特性指標WLAN平安模板管理支持通過WLAN平安模板管理認證和加密方式。支持平安模板綁定到ESS模板。最多支持256個AP配置模板。OPEN-SYS方式認證支持“OPEN-SYS認證+無加密〞方式。WEP認證加密支持WEP的認證/加密方式。每個AP最多支持4個WEP加密方式的VAP。WEP認證加密在AP實施，認證結果通知AC。WPA/WPA2認證加密支持AC集中認證方式。支持“WPA/WPA2-PSK+TKIP〞的認證/加密方式。支持“WPA/WPA2-PSK+CCMP〞的認證/加密方式。支持“WPA/WPA2-802.1x+TKIP〞的認證/加密方式。支持“WPA/WPA2-802.1x+CCMP〞的認證/加密方式。WAPI認證加密支持AC集中式WAPI認證。支持WAPI多信任證書方式〔3證書〕，兼容傳統(tǒng)雙證書方式。支持證書和私鑰合一的發(fā)放方式。支持WAPI加密的啟用/禁用。3.6.5移動漫游設計無線用戶移動漫游，涉及到多個層次的漫游，最為簡單的是二層漫游，其他廠家產(chǎn)品都表現(xiàn)不錯，三層漫游就困難多了，還有當用戶跨越多個域時怎樣無縫漫游，華為無線局域網(wǎng)可以實現(xiàn)快速無縫漫游功能。L2/L3層漫游在傳統(tǒng)的無線局域網(wǎng)內(nèi)，無線終端要跨越不同AP之間漫游是有一定的困難，因為不同AP之間，它的無線用戶IP子網(wǎng)可能都不是在同一個VLAN內(nèi)。所以當無線終端從一個AP漫游到另一AP時，由于它們之間的缺省IP子網(wǎng)不同，無線終端會重新發(fā)出DHCP請求，這樣的話終端的IP地址就會更新，所有在原先AP建立的連接都會被切斷。過去為了解決跨越三層的漫游，有些用戶采用了MobileIP的技術，但MobileIP的缺點是它必須在無線終端安裝軟件。這是一般網(wǎng)絡管理人員不愿意做的事情，因為它們就必須支持和維護用戶的無線接入端。通過華為無線系統(tǒng)，可解決了跨越不同三層IP子網(wǎng)的無線漫游問題。在不同域之間的用戶認證和漫游在大型網(wǎng)絡內(nèi)，一般都有很多不同的部門，部門內(nèi)通常都有自己的用戶數(shù)據(jù)庫，即所謂的本地認證效勞器。在實現(xiàn)應用時，要求有單一的認證數(shù)據(jù)庫是未必可行的，但同時無線用戶應是可在內(nèi)無縫漫游。當用戶不是在本地入網(wǎng)或是從一個部門的接入點漫游到另一部門的接入點需要重新認證時，如果用戶名和密碼在當?shù)氐臄?shù)據(jù)庫是不存在的話，那么用戶會被斷線。要做到真正的無縫漫游，那么需要有支持Radius代理這樣的功能。但由于不是所有的認證效勞器都支持這種功能所以在具體實施時也有一定的困難。華為本身就可提供不同域之間的認證功能，域名可以與SSID綁定，亦可以讓用戶在登陸網(wǎng)頁時輸入或選擇域名。華為會把在不同域之間的認證請求轉發(fā)到對應這域的radius效勞器處理。3.7華為網(wǎng)絡產(chǎn)品的優(yōu)勢3.7.1高可靠性和可維護性華為S7700系列交換機支持單板熱插拔