校園無線一體化方案 -黑龍江大學(xué)全光校園網(wǎng)絡(luò)建設(shè)方案

黑龍江大學(xué)全光校園網(wǎng)絡(luò)建設(shè)方案黑龍江大學(xué)全光校園網(wǎng)絡(luò)建設(shè)方案2024.11

目錄一、 全光校園網(wǎng)概述 3二、 項目背景及建設(shè)目標 4三、 設(shè)計原則 4四、 方案設(shè)計 54.1. 方案設(shè)計概述 54.2. 方案特點 64.3. 校園骨干網(wǎng)絡(luò)設(shè)計 74.3.1. 網(wǎng)絡(luò)安全規(guī)劃設(shè)計 74.3.2. BRAS認證設(shè)備設(shè)計 124.3.3. 核心層設(shè)計 144.3.4. 園區(qū)網(wǎng)絡(luò)管理設(shè)計 164.4. 校園園區(qū)網(wǎng)絡(luò)設(shè)計 194.4.1. 園區(qū)綜合布線設(shè)計 194.4.2. 匯聚層設(shè)計 214.4.3. 接入層設(shè)計 244.4.4. 校園園區(qū)無線網(wǎng)絡(luò)設(shè)計 254.4.5. 無線覆蓋區(qū)設(shè)計 344.5. 方案亮點總結(jié) 514.5.1. 方案先進性 514.5.2. 方案性能高 514.5.3. 經(jīng)濟性與實用性結(jié)合 514.5.4. 無線漫游覆蓋 514.5.5. 融合OLT設(shè)備具備超強能力 514.5.6. 統(tǒng)一管理的PON和無線設(shè)備 514.5.7. BRAS可靠性架構(gòu)和一體化認證 514.5.8. 同一品牌的全光無線網(wǎng)設(shè)備 52五、 方案預(yù)算 52

全光校園網(wǎng)概述光纖通信是利用光波在光導(dǎo)纖維中傳輸信息的通信方式。由于激光具有高方向性、高相干性、高單色性等顯著優(yōu)點，光纖通信中的光波主要是激光，所以又叫做激光-光纖通信。光纖通信的原理是：在發(fā)送端首先要把傳送的信息（如話音）變成電信號，然后調(diào)制到激光器發(fā)出的激光束上，使光的強度隨電信號的幅度（頻率）變化而變化，并通過光纖發(fā)送出去；在接收端，檢測器收到光信號后把它變換成電信號，經(jīng)解調(diào)后恢復(fù)原信息。學(xué)校校園網(wǎng)的網(wǎng)絡(luò)建設(shè)與網(wǎng)絡(luò)技術(shù)發(fā)展幾乎是同步進行的。學(xué)校不僅承擔著教書育人的工作，而且承擔著一些教研任務(wù)，同時考慮未來幾年網(wǎng)絡(luò)平臺的發(fā)展趨勢,為了充分滿足學(xué)校骨干網(wǎng)對高速，智能，安全，認證計費等的需求，可以利用全光網(wǎng)絡(luò)技術(shù)構(gòu)建教學(xué)辦公區(qū)域校園網(wǎng)絡(luò)。全光網(wǎng)是通過光纖/光電混合纜入室將全光AP部署在每個房間里，房間內(nèi)的全光設(shè)備與樓宇接入層設(shè)備之間的鏈路均使用光纖/光電混合纜進行互聯(lián)。通過將光口設(shè)備下沉至房間，采用一室一纖、獨享帶寬模式，滿足高帶寬、低時延業(yè)務(wù)需求。在終端擴展或者帶寬升級時，只需更換設(shè)備、無需調(diào)整鏈路，已實現(xiàn)高速率、低成本的要求。全光網(wǎng)絡(luò)的興起的背景可概括為以下六點：1. 產(chǎn)業(yè)驅(qū)動：光纖網(wǎng)絡(luò)相關(guān)元器件成本下降，“光進銅退”影響網(wǎng)絡(luò)升級。光器件在光設(shè)備中占比逐年攀升。在光通信行業(yè)的市場產(chǎn)值中，光器件一般占比20%，光設(shè)備占比40%，光纖光纜占比40%。我國目前已經(jīng)成為了國際上光電子器件主要生產(chǎn)基地。隨著研發(fā)能力、生產(chǎn)工藝水平的提高，再加上產(chǎn)品的成本優(yōu)勢，國內(nèi)光電子器件廠商綜合競爭力日益提高。另外，受產(chǎn)業(yè)政策鼓勵和人力成本因素影響，國外光電子器件廠商通過多種方式，如直接投資、購并國內(nèi)企業(yè)、OEM等，將產(chǎn)業(yè)轉(zhuǎn)移到我國；再者，國內(nèi)通信設(shè)備制造商在全球范圍內(nèi)的綜合實力不斷加強、市場份額不斷擴大，同樣有利于增加國內(nèi)光電子器件廠商的市場需求。因此，國內(nèi)外光電子器件廠商參與全球化競爭的程度越來越高，相互之間的競爭也更為直接。如在PLC光分路器領(lǐng)域，無錫愛沃富、波若威、韓國Wooriro等國內(nèi)外企業(yè)均已經(jīng)參與到市場競爭中來，成為公司的競爭對手。在AWG、VMUX產(chǎn)品領(lǐng)域，光迅科技和美國Neophotonics公司則是公司在市場上的直接競爭者。2. 運營商影響：宿舍區(qū)運營越來越多運營商參與，引入PON等光網(wǎng)絡(luò)技術(shù)。3. 設(shè)計院牽引：光網(wǎng)絡(luò)設(shè)計圖紙更加簡單，只需一根光纖入戶進入，大大減低設(shè)計院工作量。4. 廠商引導(dǎo)：各大廠商均推出全光網(wǎng)絡(luò)建設(shè)方案，作為校園網(wǎng)絡(luò)改造的新選擇。5. 光線優(yōu)勢：光纖帶寬擴展方便、壽命長、輕巧耐用、省空間、傳輸距離遠等。6. 教育行業(yè)需求：智慧教室升級端口靈活擴展，辦公室、宿舍一次布線半永久使用等場景催生光纖入室新需求。項目背景及建設(shè)目標黑龍江大學(xué)校園有線網(wǎng)目前已基本覆蓋教學(xué)及辦公區(qū)，校園網(wǎng)已成為學(xué)校辦公、教學(xué)、科研、生活、交流的重要組成部分，是教職員工和學(xué)生獲取資源和信息的重要途徑之一，校園網(wǎng)對學(xué)校辦公、教學(xué)、科研起著重要的支撐作用。隨著國家“互聯(lián)網(wǎng)+”戰(zhàn)略及移動互聯(lián)的興起，高校WLAN無線網(wǎng)絡(luò)已成為助力建設(shè)高水平大學(xué)的重要組成部分。截止目前，超過1000所高校已規(guī)模部署WLAN無線網(wǎng)絡(luò)。全國39所985高校中有90%的學(xué)校已規(guī)模部署WLAN無線網(wǎng)絡(luò)。為響應(yīng)國家信息化發(fā)展戰(zhàn)略，滿足廣大師生移動互聯(lián)需求及吸引優(yōu)質(zhì)生源，建設(shè)一張高品質(zhì)的全校無線校園網(wǎng)已成為校園信息化建設(shè)必須。為了滿足未來5-7年學(xué)校教學(xué)、科研、管理以及其他的各項網(wǎng)絡(luò)實際需求，應(yīng)用最新的、穩(wěn)定的網(wǎng)絡(luò)技術(shù)建設(shè)，此次項目主要為黑龍江大學(xué)校園網(wǎng)絡(luò)有線無線一體化的建設(shè)，同時對于校園網(wǎng)絡(luò)安全、管理等方面進行升級改造。實現(xiàn)全校師生及外來人員接入網(wǎng)絡(luò)有認證機制，對于網(wǎng)絡(luò)中的終端能夠做到精細化管控，信息化安全能夠做到等保三級標準。設(shè)計原則本次黑龍江大學(xué)校園網(wǎng)絡(luò)建設(shè)項目將遵循以下整體原則進行規(guī)劃與設(shè)計：實用性原則：主要體現(xiàn)在以下方面：以現(xiàn)行需求為基礎(chǔ)，適當考慮發(fā)展的需要為依據(jù)來確定系統(tǒng)規(guī)模；選擇成熟、先進、維護量小、使用方便的技術(shù)設(shè)備和措施；創(chuàng)造一個開放的網(wǎng)絡(luò)平臺。安全性原則：網(wǎng)絡(luò)系統(tǒng)提供多種有效的安全控制機制，以防止機密泄露和影響正常工作。有線無線網(wǎng)絡(luò)系統(tǒng)應(yīng)提供一套完整的安全防范措施，能夠有效地防止系統(tǒng)外部人員的非法侵入?？煽啃栽瓌t：系統(tǒng)設(shè)計能有效的避免單點失敗，在設(shè)備的選擇和關(guān)鍵設(shè)備的互聯(lián)時，應(yīng)提供充分的冗余備份，一方面最大限度地減少故障的可能性，另一方面要保證網(wǎng)絡(luò)能在最短時間內(nèi)修復(fù)。成熟和先進性原則：根據(jù)網(wǎng)絡(luò)應(yīng)用及重要性，設(shè)計時將必需使用成熟商用和領(lǐng)先的先進技術(shù)，保證網(wǎng)絡(luò)與業(yè)務(wù)的可靠性。規(guī)范性原則：系統(tǒng)設(shè)計所采用的技術(shù)和設(shè)備應(yīng)符合國際通用標準，為系統(tǒng)的擴展升級、與其他系統(tǒng)的互聯(lián)提供良好的基礎(chǔ)。開放性和標準化原則：在設(shè)計時，要求提供開放性好、標準化程度高的技術(shù)方案；設(shè)備的各種接口滿足開放和標準化原則。可擴充和擴展化原則：所有系統(tǒng)設(shè)備不但滿足當前需要，并在擴充模塊后滿足可預(yù)見將來需求，如帶寬和設(shè)備的擴展，應(yīng)用的擴展等。保證建設(shè)完成后的系統(tǒng)在向新的技術(shù)升級時，能保護現(xiàn)有的投資?？晒芾硇栽瓌t：整個系統(tǒng)的設(shè)備應(yīng)易于管理，易于維護，操作簡單，易學(xué)，易用，便于進行系統(tǒng)配置，在設(shè)備、安全性、數(shù)據(jù)流量、性能等方面得到很好的監(jiān)視和控制，并可以進行遠程管理和故障診斷。方案設(shè)計方案設(shè)計概述如何交付一張真正可用的WLAN網(wǎng)絡(luò)，從規(guī)劃設(shè)計、部署應(yīng)用、網(wǎng)絡(luò)優(yōu)化、到最后的管理運維四個方面環(huán)環(huán)相扣、缺一不可。下面從典型應(yīng)用對網(wǎng)絡(luò)的需求來重點說明WLAN網(wǎng)絡(luò)規(guī)劃的原則：典型應(yīng)用速率需求用戶體驗高質(zhì)量體驗標準網(wǎng)頁Web瀏覽180~360Kbps網(wǎng)頁大?。?00KB延遲：2~5秒網(wǎng)頁Web教學(xué)用512~1Mbps網(wǎng)頁大小：300KB延遲：1~2秒微信等實時通信20~50kbps消息大?。?KB延遲：0.5~1秒微博等社交應(yīng)用100~200kbps消息大小：50KB延遲：1~2秒郵件Email300Kbps網(wǎng)頁大小：150KB延遲：3~7秒視頻通話VOIP256~512kbps每分鐘：2~3MB通話不卡頓視頻教學(xué)1~4Mbps視頻清晰度480p~720p視頻不丟幀，不卡頓王者榮耀等游戲300~500kbps消息大?。?0KB延遲：1~2秒視頻點播200~600kbps文件總大?。?00~1GB通話不卡頓從業(yè)務(wù)數(shù)據(jù)來看，保證每用戶擁有4Mbps帶寬，可以利用無線網(wǎng)絡(luò)進行網(wǎng)絡(luò)課程教學(xué)；如果每用戶能分配到512Kbps的帶寬，可以基本滿足休閑娛樂視頻相關(guān)的應(yīng)用，每用戶的帶寬在300kbps左右，能夠滿足普通網(wǎng)絡(luò)使用的需求。因此在對于黑龍江大學(xué)未來信息化發(fā)展規(guī)劃中，提高校園網(wǎng)總出口帶寬是提高全校師生網(wǎng)絡(luò)使用感受的重要環(huán)節(jié)。本次黑龍江大學(xué)采用新一代校園網(wǎng)架構(gòu)，即全光校園網(wǎng)架構(gòu)。整體校園網(wǎng)采用全光網(wǎng)絡(luò)設(shè)計，光纖覆蓋到每個房間，保證高帶寬體驗。光纖入室這種綜合布線方式相較于傳統(tǒng)的雙絞線方式具有更加利于施工，節(jié)省開支，便于升級等優(yōu)點。光纖易于維護。在利用雙絞線的場景中，如果升級改造網(wǎng)絡(luò)帶寬，雙絞線的種類會對帶寬有所限制。而光纖在這方面具有一定的優(yōu)勢，除非發(fā)生大規(guī)模破壞情況，一般來說光纖的綜合布線在幾年內(nèi)不會變動。本次擬建設(shè)的黑龍江大學(xué)全光校園網(wǎng)絡(luò)包含宿舍及辦公的室內(nèi)室外區(qū)域。宿舍區(qū)、辦公區(qū)的室內(nèi)場景采用萬兆EPON光網(wǎng)絡(luò)技術(shù)架構(gòu)，減少網(wǎng)絡(luò)層級，減少樓宇、樓層弱電間，便于設(shè)備維護。無源的PON網(wǎng)絡(luò)故障率和成本低，適合南北向流量及無線場景，是全光校園網(wǎng)絡(luò)建設(shè)不錯的選擇。室外場景由于學(xué)校地處我國東北區(qū)域，冬天室外溫度低，所以采用專業(yè)的以太光室外設(shè)備，保障設(shè)備高可靠，工作穩(wěn)定性。無線設(shè)備方面采用行業(yè)最新的WiFi6技術(shù)產(chǎn)品，通過靠物理層和鏈路層的優(yōu)化實現(xiàn)了更多用戶并發(fā)效率的改進，對于實際網(wǎng)絡(luò)環(huán)境多用戶使用體驗改善很大。其關(guān)鍵特性，UL/DLMU-MIMO、OFDMA、1024QAM、BSScolor和空間復(fù)用等，對無線網(wǎng)絡(luò)的帶寬和大并發(fā)又有了進一步的提升。為了應(yīng)對未來校園網(wǎng)絡(luò)出口帶寬升級需求，本次擬新建出口防火墻、流量控制行為審計、配套網(wǎng)管系統(tǒng)和日志審計系統(tǒng)。支持擴容需求，符合未來發(fā)展趨勢。網(wǎng)絡(luò)管理方面通過基于通用網(wǎng)絡(luò)管理協(xié)議減少配置維護的麻煩。同時有線無線一體化的設(shè)計更加便于維護。方便為以后的物聯(lián)校園、智慧校園奠定基礎(chǔ)。方案特點實用性：校園全光網(wǎng)絡(luò)綜合布線成本低，施工方便，利于維護。安全性：主動安全維護系統(tǒng)結(jié)合多種網(wǎng)絡(luò)安全設(shè)備可以做到即時抓取分析網(wǎng)絡(luò)安全流量，網(wǎng)絡(luò)安全態(tài)勢可知。可靠性：架構(gòu)關(guān)鍵位置做到鏈路、設(shè)備冗余設(shè)置。配合橫向或縱向虛擬化技術(shù)可提高校園網(wǎng)絡(luò)可靠性。成熟和先進性：本次將采用業(yè)界主流的技術(shù)、產(chǎn)品共同搭建校園網(wǎng)，保證成熟先進。規(guī)范性原則：系統(tǒng)設(shè)計所采用的技術(shù)和設(shè)備符合國際通用標準，便于與其他系統(tǒng)對接互聯(lián)?？蓴U充和擴展性：本次的全光網(wǎng)絡(luò)具備優(yōu)秀的擴展性，支持未來5-7年設(shè)備、鏈路升級需求，避免重復(fù)建設(shè)。可管理性：設(shè)備易于管理，易于維護，操作簡單，易學(xué)，易用，便于進行系統(tǒng)配置。有線無線一體化設(shè)計，結(jié)合網(wǎng)絡(luò)管理系統(tǒng)方案大大降低運維人員的日常工作復(fù)雜程度。校園骨干網(wǎng)絡(luò)設(shè)計網(wǎng)絡(luò)安全規(guī)劃設(shè)計設(shè)計說明結(jié)合當前黑龍江大學(xué)信息網(wǎng)絡(luò)安全需求，學(xué)校以滿足三級等級保護需求為目標，同時結(jié)合安全管理方法及運營平臺幫助學(xué)校更好的實現(xiàn)風險主動發(fā)現(xiàn)及風險處理機制閉環(huán)，提升學(xué)校安全環(huán)境。結(jié)合黑龍江大學(xué)管理信息系統(tǒng)業(yè)務(wù)應(yīng)用流程、網(wǎng)絡(luò)現(xiàn)狀、等級保護要求及實際的安全需求進行設(shè)計，在設(shè)計過程中主要遵循以下原則：綜合防范、整體安全原則堅持管理與技術(shù)并重，從人員、管理、安全技術(shù)手段等多方面著手，建立綜合防范機制，實現(xiàn)整體安全；分域保護、務(wù)求實效原則將信息資源劃分為計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三個方面進行安全防護設(shè)計，以體現(xiàn)層層遞進，逐級深入的安全防護理念；同步建設(shè)原則安全保障體系規(guī)劃與系統(tǒng)建設(shè)同步，協(xié)調(diào)發(fā)展，將安全保障體系建設(shè)融入到信息化建設(shè)的規(guī)劃、建設(shè)、運行和維護的全過程中；縱深防御，集中管理原則可構(gòu)建一個從外到內(nèi)、功能互補的縱深防御體系，對資產(chǎn)、安全事件、風險、訪問行為等進行集中統(tǒng)一分析與監(jiān)管；等級保護策略安全保障體系設(shè)計以實現(xiàn)等級保護為基本出發(fā)點進行安全防護體系建設(shè)，并遵照國家《信息系統(tǒng)安全等級保護基本要求》進行安全防護措施設(shè)計。設(shè)計方案作為全方位的、整體的網(wǎng)絡(luò)安全防范體系也是分層次的，不同層次反映了不同的安全問題，根據(jù)網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀情況和網(wǎng)絡(luò)的結(jié)構(gòu)，我們將安全防范體系的層次劃分為物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全和安全管理。網(wǎng)絡(luò)的安全性（網(wǎng)絡(luò)層安全）該層次的安全問題主要體現(xiàn)在網(wǎng)絡(luò)方面的安全性，包括網(wǎng)絡(luò)層身份認證，網(wǎng)絡(luò)資源的訪問控制，數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性，遠程接入的安全，域名系統(tǒng)的安全，路由系統(tǒng)的安全，入侵檢測的手段，網(wǎng)絡(luò)設(shè)施防病毒等。數(shù)據(jù)安全數(shù)據(jù)安全指保證數(shù)字化校園中數(shù)據(jù)的機密性、完整性、可用性、真實性、抗否認性和可控性。在數(shù)字化校園中對數(shù)據(jù)安全的包括兩個方面:數(shù)據(jù)傳輸?shù)陌踩蛿?shù)據(jù)存儲的安全。（1）數(shù)據(jù)傳輸?shù)陌踩?為了保障數(shù)據(jù)傳輸?shù)陌踩?要求采用數(shù)據(jù)傳輸加密技術(shù)、數(shù)據(jù)完整性鑒別技術(shù)及防抵賴技術(shù)等。在數(shù)字化校園建設(shè)中,可以根據(jù)實際需求以及安全強度的不同而采用不同的技術(shù)或者使用多種技術(shù)相結(jié)合。（2）數(shù)據(jù)存儲的安全:在數(shù)字化校園中存儲的數(shù)據(jù)主要包括純粹的數(shù)據(jù)信息和各種功能信息兩大類。對純粹數(shù)據(jù)信息的安全保護,以數(shù)據(jù)庫信息的保護最為典型,一方面可以從系統(tǒng)的設(shè)計、實現(xiàn)、使用和管理等各個階段都必須遵循一套完整的系統(tǒng)安全策略,另一方面可以利用現(xiàn)有數(shù)據(jù)庫系統(tǒng)所提供的功能為基礎(chǔ)構(gòu)造安全模塊。而對各種功能文件的保護,必有確保終端的安全。為確保這些數(shù)據(jù)的安全,要求做好以下的工作:數(shù)據(jù)的備份和恢復(fù)、部署數(shù)據(jù)訪問控制措施、進行使用人員的身份鑒別與權(quán)限控制、實施數(shù)據(jù)機密性保護措施和數(shù)據(jù)完整性保護措施、防止非法軟盤拷貝和硬盤啟動、防病毒、備份數(shù)據(jù)的安全保護等。應(yīng)用的安全性（應(yīng)用層安全）該層次的安全問題主要由提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性產(chǎn)生，包括Web服務(wù)、電子郵件系統(tǒng)、DNS等。此外，還包括病毒對系統(tǒng)的威脅。除了信息網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施外，目前信息安全還延伸到以下部分。內(nèi)容安全性隨著數(shù)字化校園建設(shè)的不斷深入,辦公自動化、電子校務(wù)等應(yīng)用逐漸展開并將取代傳統(tǒng)的學(xué)校管理模式。學(xué)校和師生員工的敏感信息越來越依賴校園網(wǎng)進行傳輸。然而,由于垃圾郵件、病毒、惡意軟件、版權(quán)問題以及惡意信息傳播等引起的內(nèi)容安全問題日益嚴重?；谏鲜鲈?在數(shù)字化校園建設(shè)中必須加強內(nèi)容安全方面的管理。在實施數(shù)字化校園項目時,應(yīng)以校區(qū)實際情況為主，多種內(nèi)容安全管理的技術(shù)組合使用,形成立體的內(nèi)容安全管理體系,從而防止惡意信息(包括反動言論、不健康內(nèi)容、保密信息、隱私信息等)進入或流出校園網(wǎng)。目前主流的內(nèi)容安全技術(shù)有垃圾郵件過濾、信息內(nèi)容審計技術(shù)、信息內(nèi)容識別/控制技術(shù)、信息內(nèi)容過濾技術(shù)等。建設(shè)內(nèi)容學(xué)校現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備充分利用，同時考慮到未來學(xué)校信息化發(fā)展趨勢，校園出口帶寬勢必會增加上限。本次建設(shè)計劃新增支持大帶寬的出口防火墻、上網(wǎng)行為管理（流量控制設(shè)備）。同時在園區(qū)部署日志審計系統(tǒng)。以新建設(shè)備配合利舊設(shè)備共同保障全校師生上網(wǎng)信息安全。出口防火墻出口防火墻設(shè)備應(yīng)具備高帶寬、高轉(zhuǎn)發(fā)性能。同時為了避免重復(fù)建設(shè)，應(yīng)具備多業(yè)務(wù)平臺功能，支持防火墻、入侵防御、防病毒以及負載均衡等多種功能。具體建設(shè)內(nèi)容如下：高性能的軟硬件處理平臺采用控制、業(yè)務(wù)、數(shù)據(jù)相分離的全分布式架構(gòu)，控制引擎、交換引擎、業(yè)務(wù)引擎及接口單元硬件分離，解耦合系統(tǒng)關(guān)鍵部件，提高系統(tǒng)可靠性；獨立的硬件交換引擎，支撐高性能安全業(yè)務(wù)無阻塞處理及轉(zhuǎn)發(fā)。獨立的高性能控制引擎，實現(xiàn)系統(tǒng)統(tǒng)一配置管理和安全集群。安全業(yè)務(wù)引擎采用多核高性能處理器，單板卡高速處理安全業(yè)務(wù)性能業(yè)界較高；一塊硬件板卡上可同時提供L2～L7的全面安全防御，包括防火墻、NAT、LB、IPS、AV、VPN等；內(nèi)置專業(yè)硬件TCAM，保證大容量策略表項的高速檢索。內(nèi)置模塊化軟件系統(tǒng)，支持多進程的調(diào)度，進程間運行空間隔離，單個進程的異常不會影響系統(tǒng)其他部分，提高系統(tǒng)可靠性；支持權(quán)限管理功能，基于特性、命令行、系統(tǒng)資源、WEB管理等級別定義用戶讀寫權(quán)限，提高系統(tǒng)安全性；支持熱補丁、支持ISSU，不中斷業(yè)務(wù)的情況下實現(xiàn)系統(tǒng)升級，提高系統(tǒng)易用性電信級設(shè)備高可靠性支持狀態(tài)1:1熱備功能，支持Active/Active和Active/Passive兩種工作模式，實現(xiàn)負載分擔和業(yè)務(wù)備份。支持狀態(tài)N:N熱備功能，實現(xiàn)負載分擔和業(yè)務(wù)備份，大幅提高系統(tǒng)可靠性。支持SCF，支持多框集群和異構(gòu)集群，實現(xiàn)靈活管理和彈性擴展。強大的安全防護功能支持豐富的攻擊防范功能。包括：Land、Smurf、UDPSnorkattack、UDPChargenDoSattack(Fraggle)、LargeICMPTraffic、PingofDeath、TinyFragment、TearDrop、IPSpoofing、IP分片報文、ARP欺騙、ARP主動反向查詢、TCP報文標志位不合法、超大ICMP報文、地址掃描、端口掃描等攻擊防范，還包括針對SYNFlood、UPDFlood、ICMPFlood、DNSFlood、CC等常見DDoS攻擊的檢測防御。支持統(tǒng)一管理。主機+多業(yè)務(wù)引擎始終作為一個網(wǎng)元進行統(tǒng)一管理，無需對每塊插卡進行IP地址規(guī)劃，在節(jié)省用戶的IP地址的同時大量減少部署的復(fù)雜度，并且可以對設(shè)備實現(xiàn)全面的配置管理、性能監(jiān)控和日志審計。支持智能分流。部署多業(yè)務(wù)插卡后，流量自動在多個業(yè)務(wù)板卡內(nèi)負載分擔從而實現(xiàn)分布式處理。支持安全集群框架。全面突破機框的限制，在簡化管理和部署的基礎(chǔ)上同時實現(xiàn)了安全業(yè)務(wù)和安全性能的彈性擴展。支持異構(gòu)集群，集群系統(tǒng)更靈活和多樣化。上網(wǎng)行為管理及流量控制校園是一種人員比較聚集的場景，眾多學(xué)生中可能存在不當?shù)纳暇W(wǎng)行為及言論。為了保證對于校園信息安全的嚴格審查，需要對一定的上網(wǎng)行為進行監(jiān)管。本次擬建設(shè)新的上網(wǎng)行為管理及流量控制設(shè)備，提高設(shè)備支持帶寬選型，滿足學(xué)校未來5-7年鏈路升級需求。具體需求如下：網(wǎng)絡(luò)適應(yīng)性強產(chǎn)品可適應(yīng)用戶各種復(fù)雜網(wǎng)絡(luò)場景。在滿足路由、透明、旁路、混合等部署模式同時，配合IPv4/IPv6雙協(xié)議棧，結(jié)合靜態(tài)路由、動態(tài)路由、策略路由、ISP路由、鏈路負載均衡和服務(wù)器負載均衡等，可在802.1Q、GRE、RIP、OSPF、VRF、多出口等各種復(fù)雜的網(wǎng)絡(luò)環(huán)境中靈活組網(wǎng)。全面身份認證用戶需求為導(dǎo)向，實現(xiàn)豐富的身份認證手段：本地認證：Web認證、用戶名/密碼認證、IP/MAC/IP-MAC綁定；單點登錄：標準AD域，一次登錄，多次認證；第三方認證：RADIUS、LDAP等；微信認證：支持通過認證URL認證和小程序認證兩種方式，通過用戶授權(quán)小程序完成認證，獲取用戶手機號、OpenID；短信認證：傳統(tǒng)的認證方式，方便快捷；訪客二維碼認證：連接網(wǎng)絡(luò)的用戶通過審核人員掃描二維碼接入網(wǎng)絡(luò)；混合認證：界面配置選擇多種認證方式，用戶可根據(jù)需要更換認證方式；免認證：用戶免認證上線。細致行為管理產(chǎn)品控制層面不再局限對網(wǎng)絡(luò)應(yīng)用的阻斷，更能深入識別應(yīng)用的內(nèi)置動作。例如對QQ的控制力度不僅僅是登錄動作，更可識別到收文件、發(fā)文件、語音、視頻等動作，對微信也可識別控制多種行為動作。可快速識別“一拖N”的網(wǎng)絡(luò)私接行為，精準定位“N”即私接用戶數(shù)量，并進行有效精細的針對終端類型進行管控，及時發(fā)現(xiàn)非法熱點，預(yù)防個人用戶私接路由，通過對應(yīng)用的更精細化管理讓網(wǎng)絡(luò)更有序。SSL網(wǎng)站解密提供HTTPS審計功能，采用特有的加密流量識別技術(shù)，能夠?qū)χ髁鞯募用芫W(wǎng)站、加密網(wǎng)站搜索記錄、加密郵件等進行行為識別。管理員可以采用自定義的方式，定向?qū)徲嬘脩艉图用芫W(wǎng)站，保障網(wǎng)絡(luò)行為清晰的事后審計，有效的防止企業(yè)機密外泄。動態(tài)帶寬管理產(chǎn)品采用智能流控、智能阻斷、智能路由等技術(shù)，將網(wǎng)絡(luò)出口帶寬劃分為邏輯通道，并支持在通道中再劃分子通道，完美進行帶寬限制和帶寬保障。同時支持將類型復(fù)雜的網(wǎng)絡(luò)流量分布到不同的網(wǎng)絡(luò)出口轉(zhuǎn)發(fā)，是企業(yè)提升帶寬利用率、保護帶寬投資的利器。助力營銷推廣支持對用戶進行廣告推送的功能。廣告推送作為電子商務(wù)營銷階段的應(yīng)用，具有靈活性、互動性和目標受眾準確的特點，極大的降低了廣告投放的費用，廣告推送為大量的廣告主服務(wù)，把互聯(lián)網(wǎng)廣告以合適的方式推送給合適的消費者，廣告投放的精準性高，轉(zhuǎn)化率高。高級安全防護具備超過主流的4000種預(yù)定義攻擊特征的入侵防御功能和海量病毒特征獨特實時病毒攔截技術(shù)以及高效引擎的病毒防護功能，實時的對流量進行分析，從數(shù)據(jù)鏈路層到應(yīng)用層有效的阻斷網(wǎng)絡(luò)中的攻擊和病毒行為，實時與管理員進行郵件同步攻擊事件。還具備自定義攻擊規(guī)則的功能，從而可以防護網(wǎng)絡(luò)中特有的復(fù)雜的攻擊，全方位的立體保護用戶的關(guān)鍵數(shù)據(jù)，避免機密文件泄露和經(jīng)濟損失。行為軌跡分析通過對用戶網(wǎng)絡(luò)賬號、行為動作、上網(wǎng)設(shè)備及時間等多維度信息進行關(guān)聯(lián)數(shù)據(jù)分析，上網(wǎng)行為與管理產(chǎn)品實現(xiàn)基于用戶的上網(wǎng)行為管理與審計的可視化，將用戶的上網(wǎng)行為軌跡清晰直觀的加以呈現(xiàn)，有助于網(wǎng)絡(luò)管理人員制定更有針對性的網(wǎng)絡(luò)管理策略，保障網(wǎng)絡(luò)資源的合理有效利用和工作效率提升。清晰事后審計產(chǎn)品支持詳細、清晰、易用的日志特性，可以全面記錄審計用戶上網(wǎng)行為、使用流量、訪問網(wǎng)站、所用終端系統(tǒng)及設(shè)備類型平臺等信息；日志支持定制化過濾器，可根據(jù)IP地址、認證用戶、訪問應(yīng)用、訪問URL、發(fā)帖內(nèi)容等要素進行搜索，讓事后審計省時省力；可支持對HTTPS、郵箱類解密策略的配置。管理簡易安全產(chǎn)品除支持本地管理之外，可配合網(wǎng)管平臺進行快速上線、集中配置下發(fā)和日志收集，極大的釋放了運維壓力；支持拓展云管理，實現(xiàn)大數(shù)據(jù)分析；雙因子UKey認證提供雙重認證方式，極大的提高了設(shè)備的安全性；端口鏡像、端口漂移、鏈路服務(wù)質(zhì)量統(tǒng)計、界面抓包等運維工具，助力運維。產(chǎn)品具備多面、簡單化和安全的管理特性，簡化網(wǎng)絡(luò)運維，降低安全成本，適用于各種網(wǎng)絡(luò)場景。日志審計系統(tǒng)隨著數(shù)字化轉(zhuǎn)型的推進，校園對信息安全越來越重視，大量的各種類型的日志信息需要被保存下來，幫助用戶識別安全風險，快速查詢特定信息，向用戶輸出告警信息等等。特別是“網(wǎng)絡(luò)安全法”中明確規(guī)定了網(wǎng)絡(luò)日志留存時間不少于六個月，日志審計已成為滿足合規(guī)要求的必須功能。日志審計系統(tǒng)需要強大的分析功能，能夠?qū)Υ罅糠稚⒃O(shè)備的異構(gòu)日志進行統(tǒng)一管理、集中存儲、統(tǒng)計分析、快速查詢，透過事件的表象真實地還原事件背后的信息，為用戶提供真正可信賴的事件追責依據(jù)和業(yè)務(wù)運行的深度安全。為滿足全校信息化設(shè)備的安全管理，對于日志審計系統(tǒng)有如下需求：多類型數(shù)據(jù)采集支持多種網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、服務(wù)器、中間件、數(shù)據(jù)庫等采集和適配。支持SYSLOG協(xié)議、HTTP/HTTPS、SFlow、Netstream、SNMP等被動采集，F(xiàn)TP、SFTP、JDBC\ODBC、Agent終端采集、數(shù)據(jù)庫主動采集等多樣化日志接入。支持終端agent單獨管理。多維度日志審計支持預(yù)定義和自定義日志審計規(guī)則，觸發(fā)安全事件告警。實現(xiàn)海量日志分類檢索、全文檢索和規(guī)范化日志詳情查看。實現(xiàn)數(shù)據(jù)存儲、數(shù)據(jù)備份和全生命周期管理。多維度風險展示通過多維度進行數(shù)據(jù)關(guān)聯(lián)分析，發(fā)現(xiàn)潛在的安全問題。利用內(nèi)置的多種分析規(guī)則，對數(shù)據(jù)進行多維度關(guān)聯(lián)分析，有效發(fā)現(xiàn)攻擊行為和違規(guī)訪問。多樣化生態(tài)對接支持作為態(tài)勢感知分布式日志采集器，適配多場景部署需求。提供標準化接口，支持第三方廠商的安全日志接入?？勺鳛闃藴式M件與其他安全設(shè)備、安全分析系統(tǒng)、安全SaaS服務(wù)等平臺對接進行數(shù)據(jù)同步。BRAS認證設(shè)備設(shè)計設(shè)計說明本次網(wǎng)絡(luò)采用的BRAS設(shè)備，可與計費系統(tǒng)相配合，實現(xiàn)全網(wǎng)統(tǒng)一號通。設(shè)備應(yīng)采用先進的硬件架構(gòu)，支持高密10GE/40GE/100GE擴展，采用模塊化設(shè)計，支持虛擬化架構(gòu)并且具備高可用性架構(gòu)和高開放性，滿足高校核心設(shè)備的發(fā)展需求。作為校園網(wǎng)接入的BRAS設(shè)備設(shè)備，對校園接入用戶提供網(wǎng)絡(luò)接入認證服務(wù)，在保障合法用戶接入的同時可以保障相應(yīng)的Qos策略實現(xiàn)有效的鏈路帶寬利用。并且可以部署細致的訪問控制策略實現(xiàn)用戶權(quán)限細化。本次配置BRAS設(shè)備可以旁路方式，不影響整個校園網(wǎng)架構(gòu)?；虼性诤诵墓?jié)點做認證網(wǎng)關(guān)，與核心層交換機構(gòu)建雙10G帶寬互聯(lián)，非認證業(yè)務(wù)直接在核心層交換機到出口防火墻進入專網(wǎng)。考慮到未來設(shè)備擴展，BRAS設(shè)備支持虛擬化架構(gòu)，可將兩臺設(shè)備虛擬為邏輯上的單臺設(shè)備以充分提升可靠性。此種架構(gòu)下，即便單臺設(shè)備故障由于已經(jīng)同步了用戶信息，不會發(fā)生用戶重新認證導(dǎo)致的浪涌流量，提升運營性網(wǎng)絡(luò)的可靠性和用戶體驗。設(shè)計方案校園網(wǎng)準入認證按照認證點和技術(shù)區(qū)分可以分為分布式認證和集中式認證，分布式認證主要基于802.1x技術(shù)；集中式認證基于WEBPortal認證技術(shù)、IPoE技術(shù)、PPPoE技術(shù)。針對黑龍江大學(xué)的實際情況，我們建議采用師生慣用的Portal認證，本項目采用產(chǎn)品需要實現(xiàn)校園使用人員的集中準入認證，而且可以和城市熱點、深瀾等主流準出認證計費系統(tǒng)配合，實現(xiàn)校園使用人員的準入準出系統(tǒng)聯(lián)動，從而達到單點登錄的目的，進而大大提升校園使用人員的上網(wǎng)體驗。WebPortal認證Portal認證又稱為強制WEB認證，以其新業(yè)務(wù)支撐能力強大、無需安裝客戶軟件、與組網(wǎng)設(shè)備無關(guān)等特點，受到越來越多使用人員的歡迎。Portal認證業(yè)務(wù)可以為管理者提供方便的管理功能，如要求所有的使用人員都到門戶網(wǎng)站去認證，門戶網(wǎng)站可以開展廣告、信息服務(wù)、個性化的業(yè)務(wù)等，為信息傳播提供一個良好的載體。Portal認證協(xié)議主要應(yīng)用于的基于WEB的寬帶接入認證系統(tǒng)中，完成使用人員的認證和授權(quán)，整個Portal認證過程涉及到了PortalServer，BAS和AAA服務(wù)器。Portal認證工作原理：未認證使用人員在訪問網(wǎng)絡(luò)時，可以直接訪問為使用人員免費開放的資源，當使用人員要使用網(wǎng)絡(luò)中的收費資源時，設(shè)備會將使用人員的http請求重定向到Portal門戶網(wǎng)站，使用人員必須在門戶網(wǎng)站進行認證，只有認證通過后才可以訪問這些資源。建設(shè)內(nèi)容作為認證系統(tǒng)關(guān)鍵設(shè)備，BRAS應(yīng)具備以下功能：支持虛擬化BRAS設(shè)備支持橫向虛擬化技術(shù)，可以通過虛擬化將2臺物理設(shè)備虛擬成一臺邏輯上的虛擬設(shè)備，極大的擴展了設(shè)備的容量實現(xiàn)多系統(tǒng)的統(tǒng)一管理和控制，簡化網(wǎng)絡(luò)拓撲，提高運營效率，大幅地降低維護成本；通過跨設(shè)備鏈路聚合技術(shù)，提高整個網(wǎng)絡(luò)架構(gòu)的可靠性，提升網(wǎng)絡(luò)的收斂速度；通過路由熱備份技術(shù)，在整個邏輯架構(gòu)內(nèi)實現(xiàn)控制平面和數(shù)據(jù)平面等信息的實時備份，可消除單點故障，避免了業(yè)務(wù)的中斷。強大的BRAS功能BRAS作為寬帶網(wǎng)絡(luò)應(yīng)用的接入網(wǎng)關(guān)，完成用戶的認證和管理。提高用戶網(wǎng)絡(luò)設(shè)備利用效率、降低投資。1.支持智能計費按目的地址區(qū)分不同的業(yè)務(wù)類型，實現(xiàn)用戶不同類型業(yè)務(wù)的計費、帶寬控制和QoS等，為用戶提供差異化的業(yè)務(wù)運營方案；2.支持有線無線統(tǒng)一認證，簡化用戶管理成本，通過大容量BRAS滿足海量用戶終端接入需求，同時滿足無線終端的移動性需求和無感知認證需求；3.支持BRAS熱備功能，避免設(shè)備單點故障的同時簡化運維管理工作量。新一代網(wǎng)絡(luò)操作系統(tǒng)控制平面采用多核及SMP對稱多處理技術(shù)，運行先進的操作系統(tǒng)，各軟件模塊有獨立的運行空間，可以動態(tài)加載、單獨升級。支持分布式計算,全局服務(wù)，如：MPLS、BGP等，可以運行于指定的主控CPU系統(tǒng)，將各全局服務(wù)的主程序分布到不同的主控系統(tǒng)，可以有效的分擔各CPU的壓力，提高系統(tǒng)的整體性能。一個全局服務(wù)可以通過進一步拆分子功能，將子功能分布到不同主控CPU系統(tǒng)運行，實現(xiàn)一個全局服務(wù)的分布式計算。開放業(yè)務(wù)構(gòu)架滿足定制化需求開放應(yīng)用架構(gòu)滿足后續(xù)業(yè)務(wù)定制和升級的要求，如：防火墻板卡、入侵檢測板卡、LB板卡等嵌入式的安全插卡，實現(xiàn)了高端路由器和業(yè)務(wù)應(yīng)用系統(tǒng)的無縫整合。核心層設(shè)計設(shè)計說明網(wǎng)絡(luò)核心區(qū)作為整個校園網(wǎng)的數(shù)據(jù)交換核心，是應(yīng)用系統(tǒng)可靠和高效率運行的基礎(chǔ)。結(jié)合未來發(fā)展需求，建議在園區(qū)核心區(qū)配置兩臺吞吐量高、核心萬兆全分布式線速路由交換機，接入各個功能區(qū)域，下行萬兆光纖連接每個樓宇匯聚設(shè)備，形成萬兆無阻塞線速轉(zhuǎn)發(fā)骨干網(wǎng)。核心設(shè)備采用多級交換架構(gòu)，即使用獨立的交換網(wǎng)板卡，可以為設(shè)備提供擴展的交換容量，多塊交換網(wǎng)板同時分擔業(yè)務(wù)流量；控制引擎和交換網(wǎng)板硬件相互獨立，并且配置冗余電源和冗余風扇，最大程度的保障設(shè)備可靠性。兩臺核心設(shè)備互為備份，之間采用雙10G連接，區(qū)域匯聚設(shè)備10G雙歸屬上聯(lián)，其中任何一臺核心交換機或核心交換機上的板卡出現(xiàn)故障后，正常工作的核心交換機能夠立即接管故障核心交換機所有交換工作。在兩臺核心交換機都正常工作時能夠?qū)@區(qū)匯聚交換機區(qū)域轉(zhuǎn)發(fā)過來的數(shù)據(jù)流量進行負載均衡，兩臺核心交換機同時承擔核心網(wǎng)絡(luò)數(shù)據(jù)交換工作。同時每臺核心交換機支持安裝多業(yè)務(wù)安全板卡，支持擴展防火墻、上網(wǎng)行為管理、流量控制等功能。為了簡化網(wǎng)絡(luò)部署，簡化網(wǎng)絡(luò)管理，并提高故障恢復(fù)的速度，核心和各個功能分區(qū)建議采用虛擬交換架構(gòu)技術(shù)。兩臺核心交換機虛擬成一臺邏輯交換機，通過跨設(shè)備鏈路聚合與匯聚層設(shè)備互聯(lián)。設(shè)計方案兩臺核心設(shè)備放置在核心機房，采用雙10G接口互聯(lián)，并且采用虛擬交換架構(gòu)技術(shù)虛擬成一臺邏輯設(shè)備。上行與Bras網(wǎng)關(guān)設(shè)備進行雙歸屬互聯(lián)，核心交換機與放置在不同樓宇匯聚機房的室外AP交換機、OLT設(shè)備采用單模萬兆互聯(lián)，與同一機房內(nèi)的交換機、行為審計流控、BRAS等設(shè)備采用多模萬兆互聯(lián)。2條下行萬兆鏈路采用跨設(shè)備聚合技術(shù)虛擬成一條邏輯鏈路，簡化網(wǎng)絡(luò)部署提高故障恢復(fù)速度。建設(shè)內(nèi)容核心設(shè)備選擇多級交換架構(gòu)的高可靠核心交換機。采用先進的正交CLOS多級多平面交換架構(gòu)，可以提供持續(xù)的帶寬升級能力，支持數(shù)據(jù)中心大二層技術(shù)TRILL、縱向虛擬化技術(shù)，支持EVB和FCOE，并完全兼容40GE和100GE以太網(wǎng)標準。支持虛擬化軟件系統(tǒng)，進一步融合MPLSVPN、IPv6、應(yīng)用安全、應(yīng)用優(yōu)化，無線，BRAS等多種網(wǎng)絡(luò)業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、不間斷升級、優(yōu)雅重啟、環(huán)網(wǎng)保護等多種高可靠技術(shù)，在提高生產(chǎn)效率的同時，保證了網(wǎng)絡(luò)最大正常運行時間，從而降低總擁有成本。先進的系統(tǒng)架構(gòu)采用先進的CLOS多級多平面交換架構(gòu)，提供持續(xù)的帶寬升級能力。正交網(wǎng)板設(shè)計：采用業(yè)務(wù)板卡與交換網(wǎng)板采用完全正交設(shè)計（90度），跨線卡業(yè)務(wù)流量通過正交連接器直接上交換網(wǎng)板，支持信元交換，背板走線降低為零（極大規(guī)避信號衰減），極大提升了系統(tǒng)帶寬和演進能力，整機容量可平滑擴展至百Tbps；支持40GE和100GE以太網(wǎng)標準，充分滿足無阻塞校園園區(qū)網(wǎng)的應(yīng)用及未來發(fā)展需求。獨立的交換網(wǎng)板卡，控制引擎和交換網(wǎng)板硬件相互獨立，采用多交換平面設(shè)計，并支持多獨立網(wǎng)板冗余，較大程度的提高設(shè)備可靠性，同時為后續(xù)產(chǎn)品帶寬的持續(xù)升級提供保證。風扇框和電源框冗余設(shè)計，可應(yīng)對突發(fā)狀況，大幅度提升設(shè)備整體可靠性。創(chuàng)新的分布式多引擎設(shè)計采用創(chuàng)新的硬件設(shè)計，通過全分布式的獨立控制引擎、檢測引擎、維護引擎為系統(tǒng)提供強大的控制能力和毫秒級的高可靠保障；分布式的控制引擎，所有業(yè)務(wù)板均提供強大的控制處理系統(tǒng)，輕松處理各種協(xié)議報文及控制報文，并支持協(xié)議報文精細控制，為系統(tǒng)提供完善的抗協(xié)議報文攻擊的能力；分布式的檢測引擎，所有業(yè)務(wù)板都可以分布式的BFD、OAM等快速故障檢測，并與控制平面的協(xié)議實行聯(lián)動，支持快速保護切換和快速收斂，可以實現(xiàn)毫秒級的故障檢測，保障業(yè)務(wù)不中斷；分布式的維護引擎，智能化CPU系統(tǒng)支持電源智能管理，可以支持單板順序上下電（降低單板同時上電帶來的電源沖擊，提高設(shè)備壽命，降低電磁輻射，降低系統(tǒng)功耗），設(shè)備在線狀態(tài)檢查。設(shè)備橫向虛擬化面向園區(qū)網(wǎng)橫向業(yè)務(wù)整合的需求，支持橫向虛擬化技術(shù)，將多臺高端設(shè)備虛擬化為一臺邏輯設(shè)備，支持4框虛擬化的核心交換機產(chǎn)品，在可靠性、分布性和易管理性方面具有強大的優(yōu)勢，主要體現(xiàn)在三個方面：可靠性：通過路由熱備份技術(shù)，在整個虛擬架構(gòu)內(nèi)實現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份和無間斷的三層轉(zhuǎn)發(fā)，極大的增強了虛擬架構(gòu)的可靠性和高性能，同時消除了單點故障，避免了業(yè)務(wù)中斷；分布性：通過分布式跨設(shè)備鏈路聚合技術(shù)，實現(xiàn)多條上行鏈路的負載分擔和互為備份，從而提高整個網(wǎng)絡(luò)架構(gòu)的冗余性和鏈路資源的利用率；易管理性：整個彈性架構(gòu)共用一個IP管理，簡化網(wǎng)絡(luò)設(shè)備管理，簡化網(wǎng)絡(luò)拓撲管理，提高運營效率，降低維護成本。設(shè)備縱向虛擬化核心交換機可以在縱向維度上支持異構(gòu)虛擬化，將核心和接入設(shè)備通過縱向虛擬化技術(shù)形成一臺縱向邏輯虛擬設(shè)備，支持AC、AP統(tǒng)一管理、配置，相當于把一臺盒式設(shè)備作為一塊遠程接口板加入主設(shè)備系統(tǒng)，以達到擴展I/O端口能力和進行集中控制管理的目的?？v向虛擬化技術(shù)可以簡化管理，大幅度降低網(wǎng)絡(luò)管理節(jié)點；簡化布線，二層變?yōu)橐粚?，?jié)省橫向連接線纜；最終實現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)平面虛擬化，便與簡化業(yè)務(wù)部署和自動編排。園區(qū)網(wǎng)絡(luò)管理設(shè)計隨著網(wǎng)絡(luò)建設(shè)的不斷深入發(fā)展，除了單純的追求高帶寬、高速率外，安全的網(wǎng)絡(luò)、高效的網(wǎng)絡(luò)和可運營的網(wǎng)絡(luò)成為越來越多的用戶關(guān)注的焦點，網(wǎng)絡(luò)精細化管理也越來越深入人心，一套好的管理軟件無疑對網(wǎng)絡(luò)的精細化管理起到至關(guān)重要的作用。設(shè)備管理首頁及大屏顯示功能支持各業(yè)務(wù)在首頁發(fā)布，具有折疊、還原、最大化、拖拉、關(guān)閉、新窗口打開、自動異步刷新等功能。支持用戶在自己的權(quán)限范圍內(nèi)定制個性化主頁。基礎(chǔ)資源管理管理設(shè)備類型：除傳統(tǒng)的路由器、交換機外，更能對網(wǎng)絡(luò)中的無線、PON、安全等，支持擴展存儲、監(jiān)控、服務(wù)器、打印機、UPS、等設(shè)備進行管理，實現(xiàn)設(shè)備資源的集中化管理。多廠家設(shè)備的統(tǒng)一管理：支持對H3C、HP、3Com、華為、Cisco各廠家網(wǎng)絡(luò)設(shè)備的分類和識別。支持對設(shè)備訪問參數(shù)的批量配置和校驗，提供用戶的批量管理功能。拓撲功能增強的二層拓撲：支持二層拓撲，實現(xiàn)同一個VLAN或者網(wǎng)段內(nèi)部PC與網(wǎng)絡(luò)設(shè)備、二層網(wǎng)絡(luò)設(shè)備之間的互連關(guān)系，更方便直觀的體現(xiàn)網(wǎng)絡(luò)中設(shè)備的互聯(lián)關(guān)系。數(shù)據(jù)中心機房機架拓撲：支持按設(shè)備物理位置進行組織的數(shù)據(jù)中心機房和機架拓撲。通過此拓撲視圖，用戶可以很方便的找到設(shè)備在機房中所處位置，進而對設(shè)備物理實體進行管理維護。支持嵌入式拓撲：資源自定義視圖、IP視圖中實現(xiàn)設(shè)備的列表式管理和拓撲管理的融合，提升拓撲窗口切換的易用性。告警管理直觀的故障列表能自動匯總?cè)W(wǎng)中故障設(shè)備，形成故障設(shè)備列表，使管理員能快速、清晰的找到需要關(guān)注的故障設(shè)備。智能的告警關(guān)聯(lián)1) 告警根源分析和影響度分析2) 提供基于拓撲的區(qū)域告警根源分析，提供告警關(guān)聯(lián)分析，提供告警分組分析，有效屏蔽故障引起的海量表象告警，方便用戶快速定位、查找故障根源，確認故障影響的范圍。3) 豐富的告警轉(zhuǎn)發(fā)機制4) 除提供告警聲光提示、轉(zhuǎn)Email、轉(zhuǎn)短信等方式外，還可以針對不同的告警定義不同的提示內(nèi)容以及對應(yīng)維護參考，當再次出現(xiàn)同類告警后能直接對應(yīng)到相應(yīng)的維護參考。5) Syslog接收與分析6) 支持多廠商設(shè)備的Syslog原始報文接收，提供日志瀏覽、查詢、導(dǎo)出及自動轉(zhuǎn)儲功能。并且可以根據(jù)預(yù)定義及用戶自定義規(guī)則對Syslog報文進行分析，將關(guān)鍵事件升級為告警，有效地幫助用戶在海量Syslog報文中及時發(fā)現(xiàn)網(wǎng)絡(luò)關(guān)鍵事件。性能管理性能指標CPU利用率、內(nèi)存利用率、帶寬利用率、設(shè)備響應(yīng)性能、設(shè)備不可達等是網(wǎng)絡(luò)性能管理中用戶最關(guān)注的幾項，通過TopN列表，使用戶能一目了然當前網(wǎng)絡(luò)中的性能瓶頸問題。性能視圖用戶可靈活定制性能數(shù)據(jù)瀏覽視圖，分析網(wǎng)絡(luò)運行趨勢。性能視圖支持多指標多實例數(shù)據(jù)組合的展示，支持TopN明細表格、TopN柱圖、折線圖、柱狀圖、面積圖、匯總數(shù)據(jù)多種性能監(jiān)控數(shù)據(jù)展示方式。性能與告警結(jié)合支持對每一個性能指標設(shè)置兩級閾值，發(fā)送不同級別的告警。用戶可以根據(jù)告警信息直接了解到設(shè)備監(jiān)視指標的性能情況，有助于用戶隨時了解網(wǎng)絡(luò)的運行狀態(tài)，預(yù)測流量發(fā)展趨勢，合理優(yōu)化網(wǎng)絡(luò)。性能統(tǒng)計報表利用采集到的性能數(shù)據(jù)信息，對關(guān)鍵的性能監(jiān)控內(nèi)容形成實用、詳實的統(tǒng)計報表，用戶可以直接打印這些報表，也可以將報表導(dǎo)成Excel、Html、PDF、Word等形式的文件。拓撲性能指標實時展示：支持在的拓撲中展示設(shè)備和鏈路性能監(jiān)控數(shù)據(jù)，用戶可為不同設(shè)備和鏈路定制不同展示指標。配置管理資源化的配置和軟件管理：以資源管理的角度提供配置模板庫和設(shè)備軟件庫的管理。集中化的設(shè)備配置和軟件信息展示：提供全網(wǎng)設(shè)備的配置文件、軟件版本信息集中式展示，包括設(shè)備的當前軟件版本、最新可用于升級的軟件版本、最近備份時間、是否已加入自動備份計劃等信息；無線網(wǎng)絡(luò)管理對于WLAN網(wǎng)絡(luò)，使用專門的網(wǎng)管平臺實現(xiàn)對WLAN網(wǎng)絡(luò)的管理。不僅可以實現(xiàn)對于WLAN業(yè)務(wù)的AC、AP、STA等節(jié)點和資源的監(jiān)控，還可以實現(xiàn)對于AC、AP等節(jié)點和業(yè)務(wù)的配置，節(jié)省維護成本。無線業(yè)務(wù)管理基于Web的管理系統(tǒng)，為無線業(yè)務(wù)管理者提供簡便、友好的管理平臺。與網(wǎng)絡(luò)管理平臺或其它組件配合，還可實現(xiàn)無線設(shè)備的面板管理、故障管理、性能監(jiān)控、軟件版本管理、配置文件管理、接入用戶管理、用戶認證管理等功能，并可對網(wǎng)絡(luò)中的其它設(shè)備進行統(tǒng)一管理，真正實現(xiàn)有線無線一體化管理。無線有線一體化管理無線業(yè)務(wù)管理對于網(wǎng)絡(luò)中的AC、FATAP、FITAP、移動終端等無線設(shè)備與有線設(shè)備進行一體化集中管理，全網(wǎng)設(shè)備信息和狀態(tài)一目了然。網(wǎng)絡(luò)資源通過多種視圖進行查看，視圖內(nèi)分組管理，將規(guī)模巨大的無線接入設(shè)備有效組織，便于管理員維護。無線業(yè)務(wù)概覽（1）對整個有線無線網(wǎng)絡(luò)的全網(wǎng)設(shè)備進行告警和各項性能指標的監(jiān)控，并可查看網(wǎng)絡(luò)拓撲。（2）支持無線設(shè)備自動發(fā)現(xiàn)，提供無線業(yè)務(wù)拓撲視圖，將AC及同其相連的FitAP和移動終端在一張拓撲圖中顯示，并能與告警聯(lián)動，實時更新顯示FitAP和移動終端的在線狀態(tài)和告警狀態(tài)。（3）提供對FitAP名稱、所在AC、模板信息、IP/MAC地址、在線狀態(tài)、關(guān)聯(lián)移動用戶數(shù)統(tǒng)計信息等的瀏覽功能。全屏監(jiān)控界面無線管理平臺實現(xiàn)對有線無線設(shè)備一體化的管理，支持多樣的無線拓撲管理功能，可以直觀的查看全網(wǎng)的無線設(shè)備，提供無線性能監(jiān)視能力，提供豐富的報表，方便運維和巡檢，可以和短信與郵件系統(tǒng)進行對接，提供及時的告警功能。全屏監(jiān)控能夠更直觀的展現(xiàn)當前終端數(shù)量，AP數(shù)量，數(shù)據(jù)流量，終端廠商情況以及終端位置分布等信息。幫助管理員快速的監(jiān)控全網(wǎng)情況，對整個無線網(wǎng)絡(luò)概況有一個大體了解。多樣化的拓撲管理無線業(yè)務(wù)邏輯拓撲幫助管理員直觀了解網(wǎng)絡(luò)部署情況及設(shè)備/鏈路當前狀態(tài)，可以查看FitAP的在線情況及告警狀態(tài)。并且系統(tǒng)可根據(jù)不同的方式組織資源，有效進行拓撲分組、真實組織全網(wǎng)資源。物理位置視圖中管理員可根據(jù)需要創(chuàng)建多緯度、多層次的物理位置結(jié)構(gòu)，并在指定建筑物底圖上根據(jù)真實情況擺放設(shè)備，逼近真實網(wǎng)絡(luò)環(huán)境。無線終端查看和漫游記錄審計可以直接在拓撲圖中對移動終端的信息進行查看，包括MAC地址、信號強度、在線時長、流量、所在AC設(shè)備、所在AP設(shè)備等，并能查看各移動終端的全部漫游記錄，使管理員隨時了解最終接入用戶的情況，并對其接入軌跡進行審計。無線入侵檢測和防護無線網(wǎng)絡(luò)靈活多變，并且基礎(chǔ)設(shè)施不可見，因此比有線網(wǎng)絡(luò)更容易遭到越權(quán)使用，如何有效的保證無線網(wǎng)絡(luò)的安全，阻止威脅無線網(wǎng)絡(luò)安全的各種因素成為校園網(wǎng)絡(luò)必須要解決的問題。無線管理系統(tǒng)應(yīng)根據(jù)校園用戶自定義的無線安全策略對802.11無線網(wǎng)絡(luò)中存在的威脅網(wǎng)絡(luò)安全、干擾網(wǎng)絡(luò)服務(wù)、影響網(wǎng)絡(luò)性能的無線設(shè)備或客戶端的行為進行全面的檢測及防護，保證無線網(wǎng)絡(luò)的安全。提供設(shè)備配置管理、信息檢測、安全事件查看、虛擬安全域管理、攻擊檢測策略管理等功能。校園園區(qū)網(wǎng)絡(luò)設(shè)計園區(qū)綜合布線設(shè)計設(shè)計說明光網(wǎng)絡(luò)（OpticalNetwork）一般指使用光纖作為主要傳輸介質(zhì)的廣域網(wǎng)、城域網(wǎng)或者新建的大范圍的局域網(wǎng)。光網(wǎng)絡(luò)具有傳輸速度高、傳輸距離長等特點。光網(wǎng)絡(luò)使用光纖傳輸?shù)木W(wǎng)絡(luò)結(jié)構(gòu)，不只是以太網(wǎng)可以通過光纖傳輸，部分非以太網(wǎng)－像令牌環(huán)網(wǎng)、令牌總線網(wǎng)、FDDI、PON等也可以使用光纖傳輸數(shù)據(jù)。全光網(wǎng)絡(luò)具有以下技術(shù)優(yōu)勢：光纖傳輸帶寬高和覆蓋遠全光網(wǎng)絡(luò)使用光纖作為傳輸介質(zhì)，光纖有傳輸距離遠、速率高、衰減少等特點，是提高網(wǎng)速的理想材質(zhì)。光纖傳輸距離遠，可以輕松覆蓋較大的范圍。五類網(wǎng)線和六類網(wǎng)線的傳輸距離一般為100M以內(nèi)，而萬兆光模塊鋪設(shè)單模光纖可以達到20KM的傳輸距離。光纖的傳輸損耗非常低，被廣泛用于較長距離和遠程骨干網(wǎng)。例如，當距離為100M時，光纖信號損耗僅為原始信號強度的3%，而相同距離6A類銅纜網(wǎng)線的信號損耗大約為其原始信號強度的94%。銅纜的傳輸損耗也會隨著信號頻率的提高而迅速增加。光纖傳輸速率高，單波傳輸速率可達400Gbps以上，是六類網(wǎng)線（1Gbps）的400倍以上。網(wǎng)絡(luò)架構(gòu)簡單可維護性強傳統(tǒng)網(wǎng)絡(luò)架構(gòu)復(fù)雜，往往存在一個園區(qū)多張網(wǎng)并存的情況。普通的銅纜傳輸性能差，每百米就要增加網(wǎng)絡(luò)設(shè)備，同時還需要增加弱電機房、空調(diào)等，這使得網(wǎng)絡(luò)結(jié)構(gòu)更加復(fù)雜、后期更難管理。而全光網(wǎng)絡(luò)結(jié)構(gòu)相對簡單，光纖可以傳輸不同速率和協(xié)議的數(shù)據(jù)，輕松實現(xiàn)多網(wǎng)合一，同時承載視頻、數(shù)據(jù)、無線、語音等多種業(yè)務(wù)。光纖傳輸距離遠、覆蓋范圍大，可以減少中繼設(shè)備、弱電機房、空調(diào)的使用。在后期維護時，全光網(wǎng)絡(luò)支持統(tǒng)一管理和監(jiān)控，故障排查簡單，故障設(shè)備支持一鍵替換；支持光鏈路、光模塊故障診斷和光模塊生命周期預(yù)測，可及時預(yù)測和處理光模塊故障，方便后期管理和維護。網(wǎng)絡(luò)安全可靠全光纖傳輸，防探測，防電磁干擾，安全性更高；可靠性方面，對于PON網(wǎng)絡(luò)：如果光纖或者設(shè)備出現(xiàn)問題，TypeB或者TypeC會自動觸發(fā)網(wǎng)絡(luò)的保護，無需人工干預(yù)，實現(xiàn)鏈路保護。支持從OLT到ONU全鏈路，全設(shè)備，不同層級的保護，毫秒級快速倒換。對于以太全光網(wǎng)絡(luò)：核心、匯聚、接入交換機都可采用虛擬化方式保證可靠性，并實現(xiàn)擴展接入端口數(shù)量；上行通過鏈路捆綁的方式提升上行鏈路的可靠性和帶寬，保障網(wǎng)絡(luò)業(yè)務(wù)7*24小時不間斷運行。方便部署和升級擴展傳統(tǒng)網(wǎng)絡(luò)部署復(fù)雜、上線周期長。各種廠家、型號、有線和無線設(shè)備，以及不同粗細、重量、傳輸距離的線纜導(dǎo)致部署和維護的成本都很高。隨著網(wǎng)絡(luò)流量的增長，部分線纜可能會因為帶寬不足而需要頻繁升級換代。全光網(wǎng)絡(luò)部署簡單，所有設(shè)備即插即用，可以實現(xiàn)全自動化上線。光纖的傳輸帶寬大、價格低廉、單位體積僅為網(wǎng)線的五分之一，部署成本低。光纖的使用周期長，一次線路改造即可承載未來30年的網(wǎng)絡(luò)帶寬需求。未來網(wǎng)絡(luò)升級可以盡可能地減少線纜的更換，只需要更換更高接口速率的板卡，甚至只需要更換光模塊就可實現(xiàn)網(wǎng)絡(luò)升級，便于擴展。節(jié)省空間和綠色節(jié)能全光方案超強匯聚，一棟樓僅需一個弱電間，無需多個樓層機房，更節(jié)能。節(jié)省成本全光方案接入終端距離用戶更近，節(jié)約了大量銅纜資源，使得建設(shè)成本大幅降低。光纖壽命長，規(guī)避銅纜老化周期短導(dǎo)致的改造建設(shè)成本。設(shè)計方案光電混合纜是一種集光纖與電力傳輸于一體的綜合布線方案。它巧妙地將光纖的高速數(shù)據(jù)傳輸優(yōu)勢與電纜的穩(wěn)定電力供應(yīng)功能相結(jié)合，使得網(wǎng)絡(luò)和電力都能通過同一條纜線傳輸。具體來說，光纖部分負責高速率、高帶寬的數(shù)據(jù)傳輸，可以支持高清視頻、遠程學(xué)習(xí)、在線會議等高流量應(yīng)用，為學(xué)生提供流暢的互聯(lián)網(wǎng)體驗。與此同時，電力線部分則確保了設(shè)備的穩(wěn)定供電，從而減少了傳統(tǒng)布線過程中對電源插口的依賴和電力線路的繁雜布設(shè)。這種集成式的設(shè)計顯著降低了布線的復(fù)雜性，大大節(jié)省了建設(shè)成本，同時優(yōu)化了空間的使用，避免了傳統(tǒng)布線中線路繁雜、設(shè)備凌亂的問題。對于宿舍樓的內(nèi)部設(shè)計來說，光電混合纜使得整體環(huán)境更加整潔美觀，既提升了內(nèi)部的使用效率，也改善了外觀效果。通過采用光電混合纜，我校信息化真正實現(xiàn)了實用與技術(shù)的無縫結(jié)合，提升了全校師生的網(wǎng)絡(luò)使用體驗，也為將來更多智能化功能的實現(xiàn)打下了堅實的基礎(chǔ)。這一創(chuàng)新措施，體現(xiàn)了學(xué)校對學(xué)生校園生活的關(guān)注和對未來信息化辦學(xué)的高度重視，為整個校園的信息化發(fā)展注入了新的活力。除此之外光纖傳輸帶寬較傳統(tǒng)網(wǎng)線高，可持續(xù)為校園信息化建設(shè)服務(wù)。避免因設(shè)備升級而綜合布線不好變更的難點，一定程度上滿足了未來的發(fā)展需求并且保護了學(xué)校投資。建設(shè)內(nèi)容本次黑龍江大學(xué)全光校園網(wǎng)絡(luò)要求園區(qū)部分的綜合布線采用光電混合纜。外形上可采取室內(nèi)外通用的圓形混合纜。光纖部分為了可適配市面上通用的光模塊，可采用單芯/雙芯光纖的混合纜。供電部分可采用橫截面接不低于0.5mm^2的銅芯。為了環(huán)保阻燃安全性，可考慮低煙無鹵外皮的混合纜。匯聚層設(shè)計設(shè)計說明本次方案中包含室內(nèi)和室外兩部分覆蓋。對于室內(nèi)網(wǎng)絡(luò)計劃采用EPON路線，室外網(wǎng)絡(luò)計劃采用以太全光路線，由于EPON的廣泛兼容性，可以同時承擔以太網(wǎng)和EPON流量匯聚功能，因此匯聚中心采用EPONOLT融合設(shè)備進行流量匯聚，上行采用多條10G端口聚合上接園區(qū)核心層，下聯(lián)通過分光器到達每層宿舍樓或以太網(wǎng)交換機到達室外無線點。設(shè)計方案EPON對比GPON目前行業(yè)內(nèi)主流為EPON技術(shù)和GPON技術(shù)，以下是兩種技術(shù)的對比?？梢钥闯?，GPON及技術(shù)架構(gòu)較為復(fù)雜，適合家寬場景。面對企業(yè)級用戶的復(fù)雜業(yè)務(wù)需求難以完全滿足。而EPON技術(shù)目前比較成熟，具有組網(wǎng)靈活，兼容性強，便于管理等優(yōu)點。EPON與以太網(wǎng)技術(shù)的完美融合10GEPON方案價值提供端到端業(yè)務(wù)解決方案，滿足各種接入場景應(yīng)用。本方案提供PON系統(tǒng)從局端OLT、分光器、接入端ONU等全系列產(chǎn)品，提供完善的視頻、VOIP和網(wǎng)絡(luò)業(yè)務(wù)解決方案，以及FTTH組網(wǎng)建設(shè)中最復(fù)雜、分光設(shè)計工程建設(shè)的網(wǎng)絡(luò)規(guī)劃方案。PON解決方案可應(yīng)用于FTTH、FTTB、FTTC等組網(wǎng)模式的接入層建設(shè)，對帶寬有特殊要求的應(yīng)用場景視頻監(jiān)控中，都可以利用EPON系統(tǒng)提供高帶寬、長距離和廣覆蓋的組網(wǎng)接入。提供全系列PON光接入產(chǎn)品，滿足多種組網(wǎng)需求局端OLT設(shè)備，包括機架式設(shè)備和盒式設(shè)備，提供從大容量到中等容量、小容量的PON口接入，滿足不同組網(wǎng)規(guī)模的應(yīng)用。OLT設(shè)備具備需要采用業(yè)界領(lǐng)先的10T比特級背板交換能力，滿足大容量使用人員接入?？赏ㄟ^加配普通GE/10GE/40G/100G以太網(wǎng)業(yè)務(wù)板來實現(xiàn)以太和GEPON、10GEPON的同時接入，滿足使用人員混合組網(wǎng)需求，還可以通過加配安全、SDN等多業(yè)務(wù)插卡滿足使用人員對網(wǎng)絡(luò)安全、自動化運維等需求。另外，小容量、高性能、組網(wǎng)靈活的盒式OLT可滿足不同接入網(wǎng)絡(luò)需要。作為端到端業(yè)務(wù)解決方案的重要組成部分，提供接口豐富的系列化終端ONU設(shè)備，可以提供GE、FE、WIFI等多種業(yè)務(wù)接口。強大的QoS保證能力為多業(yè)務(wù)承載提供基礎(chǔ)EPON系統(tǒng)支持端到端的全網(wǎng)QoS解決方案。支持OLT和ONU兩級調(diào)度，基于ITU-TY.1291的QoS機制，包括業(yè)務(wù)流分類（Trafficclassification）、優(yōu)先級標記（Marking）、排隊及調(diào)度（Queuingandscheduling）、流量整形（Trafficshaping）和流量管制（Trafficpolicing）、擁塞避免（Congestionavoidance）、緩存管理（Buffermanagement）等，以保障在上行和下行方向均能根據(jù)SLA協(xié)議提供各種優(yōu)先級業(yè)務(wù)的QoS。通過多種機制的應(yīng)用，確保使用人員的QOS并為EPON系統(tǒng)提供多業(yè)務(wù)承載提供基礎(chǔ)。提供完善的安全保證機制和高可靠性設(shè)計PON系統(tǒng)系列產(chǎn)品適應(yīng)電信業(yè)務(wù)的安全性要求，支持跨OLT設(shè)備的TypeB和TypeC雙歸屬保護以及支持跨OLT單板的TypeB和TypeC單歸屬保護，對安全性方面的協(xié)議進行了深入研究和應(yīng)用，充分保障了系統(tǒng)安全和使用人員接入安全。建設(shè)內(nèi)容本次黑龍江大學(xué)OLT設(shè)備擬采用6臺10GEPONOLT融合以太設(shè)備，由于PON網(wǎng)絡(luò)屬于無源網(wǎng)絡(luò)，設(shè)備故障率相對較小，以滿足系統(tǒng)架構(gòu)高可靠。采用10G對稱EPON萬兆板卡，最大支持10GEEPON口數(shù)120個，用有源分光器進行1：16分光，下接PON端口AP，保證宿舍四人間里每人可有1個以太網(wǎng)接口，AP進行集中取電。為滿足10G對稱上下行帶寬需要，保障分批投資，最大化實現(xiàn)價值，建設(shè)需求如下：符合中國電信EPON互通標準產(chǎn)品采用兼容中國電信EPON互通標準設(shè)計，支持與傳統(tǒng)OLT、ONU對接，保護學(xué)校已有投資。接入?yún)R聚一體化，降低成本設(shè)備內(nèi)置了三層交換機，降低同時購買多套設(shè)備的成本，也能減少多臺設(shè)備間端口互聯(lián)的管理成本及故障率。電信級高可靠性O(shè)LT所有主件（引擎板，業(yè)務(wù)板，電源，風扇）支持熱插拔；雙主控模塊冗余備份；交換網(wǎng)冗余；雙電源模塊冗余備份；風扇冗余；無源背板設(shè)計，因此故障率大大降低，運營支出最大程度地降低。確保系統(tǒng)的穩(wěn)定可靠運行。豐富的業(yè)務(wù)、端口類型OLT設(shè)備要求支持豐富的2/3層協(xié)議，10GEPON支持10GEPON、萬兆等類型以太網(wǎng)端口，提供多種組合接口板，全面滿足需求。完善的安全保護機制內(nèi)置安全機制，可從控制、管理、轉(zhuǎn)發(fā)三平面全方位保障網(wǎng)絡(luò)設(shè)備的安全。內(nèi)置協(xié)議報文攻擊識別模塊，防止協(xié)議報文攻擊；安全的SNMPv3網(wǎng)管協(xié)議；IP、VLAN、MAC和端口等多種組合綁定；組播/廣播風暴抑制；uRPF單播反向路徑轉(zhuǎn)發(fā)，防止非法或者異常的流量進入網(wǎng)絡(luò)；抵御多種病毒攻擊，保證設(shè)備管理的安全。路由/MPLS功能全面支持各種IPV4、IPV6的單播、組播路由協(xié)議，支持優(yōu)雅重啟、等價路由、策略路由、路由策略；支持L3MPLSVPN、L2VPN等功能，OLT設(shè)備需要完全融合強大的三層路由交換機功能，可同時承擔EPON接入和核心/匯聚層路由交換機雙重角色，減少網(wǎng)絡(luò)層次，降低使用人員組網(wǎng)成本。接入層設(shè)計室內(nèi)PON光網(wǎng)絡(luò)設(shè)計設(shè)計說明考慮到未來網(wǎng)絡(luò)帶寬需求的增長，本次室內(nèi)采用10G對稱EPON組網(wǎng)方式，保證上行下行均為10G鏈路，通過全光網(wǎng)絡(luò)進行安裝建設(shè)并支持集中供電，簡化網(wǎng)絡(luò)結(jié)構(gòu)，降低整網(wǎng)運維難度，打造10G高速無阻塞網(wǎng)絡(luò)；依托于光纖無帶寬限制和壽命長的優(yōu)勢，支持未來平滑升級和未來5-7年以上發(fā)展需要。設(shè)計方案如前所述，室內(nèi)采用10GEPON對稱模式（上行10G，下行10G）組網(wǎng)建設(shè)，整個校園采用6臺OLT設(shè)備進行光纖連接和匯聚，通過分光器采用一級1：16分光下聯(lián)到宿舍區(qū)、辦公區(qū)各房間的PON-AP，每棟樓設(shè)置一個弱電匯聚間，各分光器在樓宇弱電間使用機柜，并引出光電混合纜連接房間的PON設(shè)備；PON設(shè)備全部是單芯收發(fā)，混合纜的光纖可一用一備；每棟樓的入戶光纜全部匯聚到同一個弱電間，便于后期管理維護和平滑升級，光傳輸系統(tǒng)能夠提供集中的運營管理與維護，支持對OLT、ONU的集中管理/遠處監(jiān)控/遠處調(diào)測/遠程維護/遠程在線升級等功能。分光器下行方向均有端口冗余，方便線路故障排查。同時為了防止宿舍夜間斷電導(dǎo)致網(wǎng)絡(luò)中斷現(xiàn)象，方案可采用宿舍區(qū)集中供電方式。入室PON設(shè)備通過光電混合纜在弱電間的有源分光器集中供電，實現(xiàn)網(wǎng)絡(luò)不中斷的需求。建設(shè)內(nèi)容室內(nèi)采用入室EPON設(shè)備，要求支持10G對稱上下行。其他需求如下：高度集中的運營維護10G-EPON用戶端口支持網(wǎng)管管理，支持自我故障檢測并復(fù)位功能，并且在掉電、重啟后原有配置能夠迅速恢復(fù)，同時也支持遠程批量軟件升級，支持升級失敗自動回退功能，進一步提高了網(wǎng)絡(luò)管理員的工作效率，減少運營商網(wǎng)絡(luò)的運營成本。內(nèi)置的安全保護機制內(nèi)置安全機制，可從控制、管理、轉(zhuǎn)發(fā)三平面全方位保障網(wǎng)絡(luò)設(shè)備的安全。CPU保護機制，非法協(xié)議報文過濾；雙向報文速率抑制。室外以太網(wǎng)絡(luò)設(shè)計設(shè)計說明本次室外無線網(wǎng)絡(luò)設(shè)計，計劃采用室外專用以太網(wǎng)AP。以太網(wǎng)交換機部署在附近樓宇弱電間內(nèi)，通過光纖與AP設(shè)備相連。光纖鏈路較傳統(tǒng)雙絞線鏈路具有部署距離長、部署簡單方便、對網(wǎng)絡(luò)帶寬限制低以及便于網(wǎng)絡(luò)架構(gòu)升級更新等優(yōu)點。設(shè)計方案室外AP通過光纖鏈路上聯(lián)至附近樓宇弱電間交換機相連。以太網(wǎng)交換機方便學(xué)校集中管理，可為未來的物聯(lián)校園奠定基礎(chǔ)。建設(shè)內(nèi)容對于東北高校的室外AP有如下需求:滿足嚴苛環(huán)境的堅固設(shè)計全金屬外殼設(shè)計，可在強電磁干擾環(huán)境下長期運行。選用工業(yè)級寬溫器件，可在-40oC～65oC的環(huán)境下長期穩(wěn)定運行。特殊的安裝配件滿足靈活安裝的要求，并方便拆卸更換設(shè)備。自動優(yōu)化無線網(wǎng)絡(luò)是一張變化的網(wǎng)絡(luò)，空口環(huán)境在變，業(yè)務(wù)在變，用戶規(guī)模在變，這就要求網(wǎng)絡(luò)需要有自動解決問題和網(wǎng)絡(luò)調(diào)優(yōu)的能力。需要主動發(fā)現(xiàn)問題、分析問題，并下發(fā)策略自動解決問題和優(yōu)化網(wǎng)絡(luò)的能力，讓網(wǎng)絡(luò)在時刻處于高性能、低干擾、用戶體驗最佳的的狀態(tài),整個過程無需人工參與。無線AP全面支持802.11r標準中所定義的FastBSSTransition功能，可加速無線用戶的漫游過程，降低連接中斷概率、提高漫游服務(wù)質(zhì)量。支持校園漫游優(yōu)化通過802.11k協(xié)議機制，AP與無線客戶端進行交互檢測，多維度互相感知網(wǎng)絡(luò)拓撲；AC全視角識別并綜合計算無線客戶端漫游時機以及漫游接入位置，通過802.11v和802.11r機制，與客戶端進行協(xié)商切換；同時切換期間，AC對下行業(yè)務(wù)流量進行流量保持保障，從而達到無縫切換，提升用戶的使用體驗。校園園區(qū)無線網(wǎng)絡(luò)設(shè)計本次無線建設(shè)重點主要為全校校園覆蓋，讓每位師生在任何地點都可以享受高品牌無線網(wǎng)絡(luò)，不受學(xué)校樓宇格局等影響。WiFi6技術(shù)2018年，Wi-Fi聯(lián)盟將Wi-Fi標準重新用數(shù)字進行命名，最新的802.11ax協(xié)議也正式被命名為Wi-Fi6，通過靠物理層和鏈路層的優(yōu)化實現(xiàn)了更多用戶并發(fā)效率的改進，對于實際網(wǎng)絡(luò)環(huán)境多用戶使用體驗改善很大。其關(guān)鍵特性，UL/DLMU-MIMO、OFDMA、1024QAM、BSScolor和空間復(fù)用等，對無線網(wǎng)絡(luò)的帶寬和大并發(fā)又有了進一步的提升。更高的速率802.11ax協(xié)議主要解決了多用戶并發(fā)性能的問題，同時在速率上也比802.11ac有了更進一步的提升，最大理論速率可達9.6Gbps，主要體現(xiàn)在以下兩個方面：1）調(diào)制方式的升級802.11ac協(xié)議采用最高256-QAM正交幅度調(diào)制，即每個符號可以傳輸8bit數(shù)據(jù)，而802.11ax協(xié)議采用最高1024-QAM正交幅度調(diào)制，即每個符號可以傳輸10bit數(shù)據(jù)，10bit/8bit=1.25，因此相對于802.11acwave2來說，802.11ax的速率會提升25%。802.11ac協(xié)議最大理論速率為6.9Gbps（160M帶寬8條空間流），6.9Gbpsx1.25=8.625Gbps，而802.11ax協(xié)議最大理論速率為9.6Gbps，那么額外的這1Gbps提升又來自于哪里呢，我們在下文中將給出詳細的分析。2）子載波劃分方式的變化在相同帶寬、流數(shù)及編碼方式的情況下，802.11ax比802.11acwave2的理論物理速率更高，下面以20MHz帶寬速率為例進行說明。數(shù)據(jù)子載波（即有效載波數(shù)）的個數(shù)由52增加到了234，雖然OFDMASymbol變長為4倍，但子載波有效數(shù)據(jù)利用率更高，因此在相同帶寬、流數(shù)及編碼方式的情況下，速率也有所提升。802.11ac20MHz帶寬1條流的速率表802.11ax20MHz帶寬1條流的速率表OFDMA技術(shù)OFDMA（OrthogonalFrequencyDivisionMultipleAccess，正交頻分多址接入）是以O(shè)FDM（OrthogonalFrequencyDivisionMultiplexing，正交頻分復(fù)用）為基礎(chǔ)，利用OFDM對信道進行父載波化后，再通過不同子載波同時為不同用戶傳輸數(shù)據(jù)的一種多路訪問技術(shù)。與OFDM技術(shù)不同的是，OFDMA將同一個帶寬下的所有子載波劃分成若干個子載波組，每一個組被稱作一個RU（ResouceUnit，資源單元），可以同時分配給不同的用戶使用，這樣就提高了用戶數(shù)據(jù)速率并減少了延遲，特別適用于大量具有短幀或低數(shù)據(jù)速率要求的設(shè)備，如物聯(lián)網(wǎng)設(shè)備。在OFDMA中，一個OFDM信號是由多個子載波組成，這些子載波就組成了一個用戶自己的帶寬，每個用戶可分配的RU大小可以是不同的。子載波分為以下幾種類型：Data子載波：用來傳輸數(shù)據(jù)的；pilot子載波：用來傳輸相位和軌跡參數(shù)的；unused子載波：無用的載波，什么都不傳輸，一般用來做邊界保護。每一個RU里都會同時包含data子載波和pilot子載波，如最小的26-toneRU是由24個data子載波和2個子載波pilot組成，52-tone的RU則包含48個data和4個pilot子載波，其他詳細信息請參見協(xié)議的詳細介紹。如圖2-5所示，以20MHz帶寬為例可以看到，20MHz帶寬下共有6個26-toneRU，其中-69、-3~+3、+69這些子載波屬于空的不傳輸任何東西，同時在兩側(cè)還有11個邊緣保護。RULocationsina20MHzHEPPDU上下行傳輸都支持26-toneRU，52-toneRU，106-toneRU，242-toneRU，484-toneRU，996-toneRU和2x996-toneRU。下面以20MHz和40MHz帶寬為例，看一下RU是如何分布的。SubcarrierindicesSubcarrierindicesforRUsina40MHzHEPPDU通過上圖不難看出，不同帶寬下對RU邊界的劃分是不同的，20MHz帶寬下的26-tone和40MHz帶寬下的26-tone邊界并不是對齊的，所以如果兩種帶寬下混合使用會出現(xiàn)信號能量重疊的問題，為了改善這種情況，一些和其他帶寬下有沖突的20MHz帶寬下的RU在40、80、160和80+80下不可以使用，例如26-toneRU在40MHz帶寬下，RU5和RU14不可以使用。MU-MIMO技術(shù)在802.11ac協(xié)議中只支持下行MU-MIMO，實現(xiàn)了對多用戶下行并發(fā)場景性能的提升，而802.11ax協(xié)議在支持下行MU-MIMO的基礎(chǔ)上又新增支持了上行MU-MIMO，并且MU-MIMO與OFDMA技術(shù)一起使用，可以使多用戶并發(fā)性能進一步得到提升。黑龍江大學(xué)校園網(wǎng)絡(luò)建設(shè)方案空間復(fù)用（SpatialReuse）OBSS(OverlappingBasicServiceSets)_PD-basedspatialreuse，這是一個空間重用的技術(shù)，通過識別非關(guān)聯(lián)BSS報文同時控制調(diào)整發(fā)射功率，來解決同信道干擾問題，以達到空間重用的效果。802.11ax協(xié)議在物理頭HE-SIG-A中加入了一個BSSColor信息，取值范圍為1～63，BSScolor是用來協(xié)助STA辨別接收到PPDU的BSS信息。如果HESTA接收到的PPDU中的BSS_COLOR與關(guān)聯(lián)AP的BSSColor相同，對于STA來說該BSS是一個Intra-BSS，否則是Inter-BSS。當BSS_COLOR相同時，則以MACaddress判斷（此處可以看出BSSColor是要優(yōu)于MACaddress判斷的）。對于STA來說，實際上只需要接收intra-BSS的報文，而忽略inter-BSS的報文，通過調(diào)整OBSS_PDlevel以及發(fā)送功率可以提升當前信道的整體吞吐以及空間復(fù)用，如下圖所示。下面以20MHz帶寬為例，說明一下各參數(shù)的含義及其取值，更高的帶寬只是在數(shù)值上會有差異，原理是相同的。1)OBSS_PDlevel定義的是一個接收到報文所攜帶功率的一個級別，OBSS_PDmin_default=82dBm，OBSS_PDmax_default=62dBm.2)TX_PWR是STA發(fā)送時需要使用的功率值。TXPWRref=21dBm3)當STA選定一個OBSS_PDlevel之后，STA發(fā)送報文的功率需要調(diào)整到低于使用該OBSS_PDlevel算出來的TX_PWR。所以，對于STA來講，來自Inter-BSS的PPDU是并不需要去處理的，當接收到來自Inter-BSS的報文RSSI值低于OBSS_PDLevel的最大值，則STA可以完全忽略該報文，并且將自己的發(fā)送功率調(diào)整至合適的值，那么就可以達到空間復(fù)用了。在使用空間復(fù)用技術(shù)時的時候，每個報文都需要計算保留兩個NAV，分別是inter-bss與intra-bss的。BSS1BSS1BSS2STA1STA2實線圈表示各STA無線信號發(fā)射可以達到的范圍，STA2在BSS2上線，對于STA2來說來自BSS1的報文并不需要關(guān)心，但由于雙方信號有交集，在發(fā)報文的時候彼此之間都會產(chǎn)生退避行為，造成不必要的浪費。因此當STA2將功率調(diào)低至虛線圈的覆蓋范圍，兩個BSS彼此之間就不存在上述問題，同時也并不影響STA2與BSS2的正常數(shù)據(jù)交互，達到空間復(fù)用的效果。對于STA來講，來自其他BSS的報文是并不需要去處理的，當接收到來自其他BSS的報文RSSI值低于其正常報文交互所需的最低門限值時，STA可以完全忽略該報文，并且將自己的發(fā)送功率調(diào)整至合適的值，那么就可以完全達到信道重用了。無縫漫游設(shè)計無線漫游的總體目標是網(wǎng)絡(luò)不中斷，用戶不下線，業(yè)務(wù)無感知。為了達到這個目標，必須保障終端漫游過程中始終維持虛擬子網(wǎng)、IP地址、認證等關(guān)鍵信息。設(shè)備間提供漫游支持。通過IACTP協(xié)議完成互相連接的無線控制器構(gòu)成了漫游組。一個漫游組最多允許有8個虛擬化組。漫游組的建立和維護均由IACTP協(xié)議完成。終端接入AC1(HA),AC1向漫游組內(nèi)的其他AC同步終端信息，包括VLAN、認證、加密套件、PMK等。終端漫游到AC2(FA)，AC2根據(jù)預(yù)同步的終端信息，為漫游終端添加MAC-VLAN等表項，并在接入AP上動態(tài)添加相關(guān)VLAN。如果AC2有線接口屬于漫游終端的VLAN域，業(yè)務(wù)數(shù)據(jù)將直接通過AC2有線接口轉(zhuǎn)發(fā)。如果AC有線接口不屬于漫游終端所在的VLAN域，業(yè)務(wù)數(shù)據(jù)則通過IACTP隧道回傳到AC1進行轉(zhuǎn)發(fā)。認證基本流程：1）整網(wǎng)統(tǒng)一“Portal認證服務(wù)器”和“MAC認證服務(wù)器”；2）終端接入網(wǎng)絡(luò)，設(shè)備對終端通過MAC認證，獲取終端授權(quán)VLAN；3）終端首次上線，需通過Portal認證；4）Portal認證成功后，“Portal認證服務(wù)器”需要將終端MAC信息同步給“MAC認證服務(wù)器”；5）終端再次上線，“MAC認證服務(wù)器”判斷該終端已通過Portal認證，直接放通該終端；通過“MAC認證”和“Portal認證”協(xié)同，避免了終端漫游過程中二次認證，提高用戶在接入網(wǎng)絡(luò)過程中的使用感。無線用戶認證設(shè)計802.1x認證IEEE802.1X定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議（portbasednetworkaccesscontrol），其中端口可以是物理端口，也可以是邏輯端口。終端和設(shè)備間通過EAP幀承載認證信息進行認證，設(shè)備和認證服務(wù)器之間通過RADIUS報文進行通信。802.1X在無線接入前進行認證，控制點低，且有著完善的鑒權(quán)、密鑰交換機制，安全性遠高于Portal+PSK方式。由于802.1X同無線強結(jié)合，天然支持快速漫游，且在認證之后才進行授權(quán)VLAN，不需要預(yù)先獲取地址，在無縫漫游上有著天然優(yōu)勢。802.1X配置相對復(fù)雜，一定程度上限制了802.1X的應(yīng)用。但最近幾年，隨著，移動終端的普及，以及終端和操作系統(tǒng)廠家對安全性和易用性的重視，802.1X在移動終端上使用起來已經(jīng)越來越簡單。Portal認證Portal認證又稱為強制WEB認證，具有無需安裝客戶軟件、與組網(wǎng)設(shè)備無關(guān)等特點。同時，由于Portal認證在用戶接入網(wǎng)絡(luò)后進行，可以為信息傳播提供的載體，易于開展個性化業(yè)務(wù)，如基于位置推送定制頁面，結(jié)合第三方鑒權(quán)，還可以衍生出微信認證等變種。由于Portal認證無使用門檻，建議黑龍江大學(xué)使用Portal認證與802.1X認證互為補充，這樣可避免終端接入網(wǎng)絡(luò)中出現(xiàn)多次認證感知的現(xiàn)象。無線安全設(shè)計頻譜防護技術(shù)射頻工作在2.4GHz頻段時，容易受到干擾。日常環(huán)境微波爐距離AP或者客戶端25英尺會降低64％的數(shù)據(jù)吞吐量，而同樣位置放一個調(diào)頻電話，會降低19％，如果是模擬電話和攝像機，則可達100％。，而生活中的藍牙耳機、無線鼠標等都會對無線AP的信號產(chǎn)生干擾。通過無線頻譜防護技術(shù)可以識別出微波爐、藍牙設(shè)備等非WiFi干擾設(shè)備時，頻譜分析管理界面中可以在Real-TimeFFT、FFTDutyCycle和FFTSpectrogram等無線頻譜實時動態(tài)圖表直觀地顯示出干擾信號對信道質(zhì)量造成的影響，并且能夠在干擾設(shè)備列表中識別出干擾源的類型?？垢蓴_技術(shù)頻譜分析能夠及時、全面地檢測出來自周圍環(huán)境的非WLAN干擾。當頻譜分析檢測到新的干擾時，將會發(fā)出告警，并顯示干擾的類型、干擾的信道、干擾強度、占空比等信息，并可以進一步定位干擾所在位置，便于及時排除。頻譜分析還能監(jiān)控整個網(wǎng)絡(luò)的空口性能的情況，并適時發(fā)出告警。頻譜分析和RRM結(jié)合，能夠使得整個網(wǎng)絡(luò)在無需人工介入的情況下，及時規(guī)避干擾信道，從而保證網(wǎng)絡(luò)的可用性。RRM是WLAN網(wǎng)絡(luò)的頻譜資源管理模塊，負責空口噪聲、網(wǎng)絡(luò)外的WLAN干擾、空口利用率，以及AP和Client的流量交互等信息的監(jiān)控和分析，并根據(jù)這些信息動態(tài)調(diào)整AP的信道，選擇最佳信道進行傳輸。信道調(diào)整必須進行整網(wǎng)考慮，并需要考慮對Client的影響最小。如下圖所示，要覆蓋的目標辦公區(qū)外有兩個其他網(wǎng)絡(luò)的AP，分別工作在信道11和信道6上，則RRM能夠根據(jù)空口掃描結(jié)果，將和它們臨近的AP自動調(diào)整到其他非干擾信道上。無線入侵檢測技術(shù)無線入侵檢測目前主要包括下面三個特性：1. 非法設(shè)備檢測；2. 入侵檢測；3. 無線用戶接入控制（黑名單和白名單）；非法設(shè)備檢測比較適合于大型的WLAN網(wǎng)絡(luò)。通過在已有的WLAN網(wǎng)絡(luò)中部署非法設(shè)備檢