騰沖縣第八中學(xué)網(wǎng)絡(luò)信息化建設(shè)方案.doc

騰沖縣第八中學(xué)校園網(wǎng)騰沖縣第八中學(xué)校園網(wǎng) 建設(shè)項(xiàng)目技術(shù)建議書建設(shè)項(xiàng)目技術(shù)建議書 目 錄 1項(xiàng)目概述項(xiàng)目概述 4 1 1項(xiàng)目背景 4 1 2現(xiàn)狀分析 4 1 3建設(shè)目標(biāo) 5 1 4設(shè)計(jì)原則 6 2網(wǎng)絡(luò)建設(shè)方案網(wǎng)絡(luò)建設(shè)方案 7 2 1概述 7 2 1 1項(xiàng)目技術(shù)要求 7 2 2有線網(wǎng)絡(luò)方案設(shè)計(jì) 8 2 2 1有線網(wǎng)絡(luò)組網(wǎng)方案 8 2 2 2核心層設(shè)計(jì)方案 9 2 2 3接入層設(shè)計(jì)方案 10 2 2 4接入層網(wǎng)絡(luò)隔離 12 2 2 5出口設(shè)計(jì) 13 2 3無線網(wǎng)絡(luò)的設(shè)計(jì)方案 14 2 3 1概述 14 2 3 2無線基本概念 15 2 3 3覆蓋區(qū)域描述 21 2 3 4無線局域網(wǎng)拓?fù)?22 2 3 5無線 VLAN 規(guī)劃 23 3統(tǒng)一身份認(rèn)證平臺(tái)統(tǒng)一身份認(rèn)證平臺(tái) 24 4網(wǎng)絡(luò)管理規(guī)劃網(wǎng)絡(luò)管理規(guī)劃 30 4 1 網(wǎng)管需求分析 30 4 2 網(wǎng)絡(luò)設(shè)備的管理 31 5可靠性設(shè)計(jì)可靠性設(shè)計(jì) 32 5 1 網(wǎng)絡(luò)可靠性設(shè)計(jì) 32 5 2 設(shè)備高可靠性設(shè)計(jì) 34 5 2 1重要部件冗余 34 5 2 2設(shè)備自身安全 34 5 2 3接入交換機(jī)的堆疊 iStack 35 6方案總結(jié)方案總結(jié) 36 6 1 方案特色 36 7設(shè)備介紹設(shè)備介紹 37 7 1 核心交換機(jī) S7706 37 7 1 1產(chǎn)品規(guī)格 40 7 1 2解決方案應(yīng)用 43 7 2 接入交換機(jī) S5700 LI 44 7 2 1產(chǎn)品規(guī)格 47 7 3 無線 POE 交換機(jī) S5700 SI 50 7 4 無線控制器 AC6605 56 7 5 室內(nèi)放裝型 AP6010SN 57 7 6 室內(nèi)分布式 AP6310SN 61 7 7 出口安全網(wǎng)關(guān) USG5120HSR 65 USG5120BSR HSRUSG5120BSR HSR 65 USG5150BSR HSRUSG5150BSR HSR 65 7 8 統(tǒng)一身份認(rèn)證平臺(tái) TSM 69 校園網(wǎng)信息建設(shè)項(xiàng)目技術(shù)建議書 1 項(xiàng)目概述項(xiàng)目概述 1 1項(xiàng)目背景 21世紀(jì)人類全面進(jìn)入信息化時(shí)代 教育正在走向數(shù)字化 信息化 計(jì)算機(jī) 網(wǎng)絡(luò) 多 媒體技術(shù)已被越來越多的學(xué)校采用 成為教育教學(xué)的支撐技術(shù) 教育技術(shù)的現(xiàn)代化正在改 變著教學(xué)手段 教學(xué)方法 必將帶來教學(xué)內(nèi)容 教學(xué)觀念的更新 教育教學(xué)改革勢(shì)在必行 因此 越來越多的學(xué)校對(duì)校園網(wǎng)建設(shè)躍躍欲試 希望藉此一步跨入數(shù)字時(shí)代 1 2現(xiàn)狀分析 學(xué)校目前主要硬件設(shè)備使用多年 隨著辦公自動(dòng)化 網(wǎng)絡(luò)多媒體教學(xué) 學(xué)生自主學(xué)習(xí) 電子圖書館 電子郵件 遠(yuǎn)程教育 校園一卡通工程等系統(tǒng)的逐步建設(shè) 目前園區(qū)網(wǎng)絡(luò)的 帶寬已遠(yuǎn)遠(yuǎn)不能滿足應(yīng)用的需求 而且設(shè)備老舊 故障率不斷上升 給老師辦公教學(xué)和學(xué) 生學(xué)習(xí)實(shí)驗(yàn)帶來極大的不便 主要有以下問題 1 硬件基礎(chǔ)設(shè)施老化 現(xiàn)有設(shè)備大部分運(yùn)行時(shí)間長(zhǎng) 老化嚴(yán)重 故障率高 性能難以滿足現(xiàn)有網(wǎng)絡(luò)應(yīng)用的需 求 2 應(yīng)用系統(tǒng)缺乏 目前學(xué)校某些部門缺乏信息化 數(shù)字化校園的新思維模式 很多的工作仍然未能擺脫 煩瑣的手工操作和信息傳遞 某些信息的傳遞不及時(shí)甚至是失真 為學(xué)校的管理和領(lǐng)導(dǎo)的 決策帶來了一定困難 3 已建應(yīng)用系統(tǒng)相互獨(dú)立 已建信息系統(tǒng)數(shù)據(jù) 編碼不統(tǒng)一 造成各應(yīng)用系統(tǒng)間相互獨(dú)立 形成信息孤島 資源 不能共享 花巨資建立的應(yīng)用系統(tǒng)不能發(fā)揮其效用 形成資源浪費(fèi) 1 3建設(shè)目標(biāo) 本次校園網(wǎng)改造工程建設(shè)目標(biāo)是 采用1000Mbps光纖交換網(wǎng)絡(luò)實(shí)現(xiàn)新老校區(qū)內(nèi)部高速 互聯(lián) 光纜連接全校樓宇 辦公樓 教學(xué)區(qū) 綜合樓 實(shí)驗(yàn)樓 核心機(jī)房設(shè)置配置兩臺(tái) 核心交換機(jī) 各樓宇根據(jù)點(diǎn)位配置接入交換機(jī) 通過千兆光纖雙上行到兩臺(tái)核心交換機(jī)上 通過接入交換機(jī)將學(xué)校的各種PC機(jī) 服務(wù)器 終端設(shè)備和局域網(wǎng)連接起來 整合現(xiàn)有的網(wǎng) 絡(luò)資源 改善與Internet Cernet相連的網(wǎng)絡(luò)性能 構(gòu)建一個(gè)以計(jì)算機(jī)多層交換網(wǎng)絡(luò)為框架 以網(wǎng)絡(luò)基本應(yīng)用 計(jì)算機(jī)多媒體輔助教學(xué) 電子化圖書館 教學(xué)管理辦公自動(dòng)化為平臺(tái)的 校園網(wǎng) 并逐步形成數(shù)字化校園網(wǎng)絡(luò) 網(wǎng)絡(luò)改造后實(shí)現(xiàn)以下功能 1 辦公自動(dòng)化 基于Web綜合管理信息系統(tǒng) 提供行政 人事 學(xué)籍 教學(xué) 后勤 財(cái)務(wù)管理 公文收 發(fā)管理 教師檔案管理 學(xué)生檔案管理 科技檔案管理等 使學(xué)校日常辦公無紙化 減少 辦公開支 提高辦公效率 2 網(wǎng)絡(luò)多媒體教學(xué) 將計(jì)算機(jī)多媒體視聽引入課堂教學(xué) 使聲音 圖像 動(dòng)畫的普遍采用可以大大提高教 學(xué)效果 使每一節(jié)課都能夠得到有效的作用 3 學(xué)生自主學(xué)習(xí) 針對(duì)不同的學(xué)生 提供不同的教學(xué)內(nèi)容 采取不同的教學(xué)手段 主要采用基于 VOD WEB及FTP的課件 光盤軟件 Internet資源 學(xué)生可以根據(jù)自己的需要自由選擇所需 內(nèi)容 4 電子圖書館 基于Web的圖書音像資料供學(xué)生隨時(shí)閱讀 并與Internet連接 使圖書館得到進(jìn)一步拓 展 使學(xué)生能夠得到近乎無限的網(wǎng)上資源 5 電子郵件 電子郵件是Internet上的一個(gè)最重要的應(yīng)用 將為每一位教師和學(xué)生開設(shè)一個(gè)電子郵 件賬號(hào) 利用電子郵件學(xué)生可以和老師 同學(xué)及家長(zhǎng)進(jìn)行交流 同時(shí)也可以和國(guó)內(nèi)外等地 學(xué)校的學(xué)生進(jìn)行交流 6 遠(yuǎn)程教育 實(shí)現(xiàn)校內(nèi)外連通 師生在線 交互式學(xué)習(xí) 輔導(dǎo) 測(cè)驗(yàn)等功能 7 校園移動(dòng)計(jì)算 采用有線和無線網(wǎng)絡(luò)混合建構(gòu) 方便學(xué)生 老師移動(dòng)上網(wǎng)學(xué)習(xí)和辦公 1 4設(shè)計(jì)原則 針對(duì)IT平臺(tái)建設(shè)的基本要求和投入建設(shè)使用之后的用戶實(shí)際問題 主要從如下幾個(gè)方 面重點(diǎn)考慮 構(gòu)建一個(gè)可靠 安全 穩(wěn)定 靈活的IT平臺(tái) 助力IT資源可以真正的為企業(yè) 服務(wù) 可靠性 利用電信級(jí)產(chǎn)品構(gòu)建一個(gè)高可靠的網(wǎng)絡(luò)環(huán)境 保證整個(gè)網(wǎng)絡(luò)的可靠運(yùn)行 可靠性設(shè)計(jì)可以達(dá)到99 999 可以滿足實(shí)際的辦公 業(yè)務(wù)等的要求 安全性 網(wǎng)絡(luò)設(shè)計(jì)的各個(gè)環(huán)節(jié) 融合了網(wǎng)絡(luò)安全 應(yīng)用安全 接入安全 終端安 全 數(shù)據(jù)安全等各個(gè)方面 可以很好的滿足網(wǎng)絡(luò)高安全的要求 管理性 網(wǎng)絡(luò)設(shè)計(jì)考慮了日后的網(wǎng)絡(luò)管理 每個(gè)環(huán)節(jié)的設(shè)計(jì)都考慮了業(yè)務(wù)開展的 便利性 使得網(wǎng)絡(luò)可以真正的為企業(yè)服務(wù) 為后續(xù)業(yè)務(wù)的開展奠定了良好的基礎(chǔ) 集成性 從用戶的實(shí)際需要考慮對(duì)IT資源的每個(gè)環(huán)節(jié)進(jìn)行設(shè)計(jì) 保證了網(wǎng)絡(luò)在日 后交付使用的時(shí)候 可以更好的滿足業(yè)務(wù)變化的要求 充分考慮了業(yè)務(wù)變化性的 特點(diǎn) 進(jìn)行了網(wǎng)絡(luò)彈性設(shè)計(jì) 使得IT技術(shù)貼近用戶 本次校園網(wǎng)改造將從校園網(wǎng)建設(shè)的需求出發(fā) 以學(xué)校的教學(xué) 試驗(yàn) 辦公管理體系本次校園網(wǎng)改造將從校園網(wǎng)建設(shè)的需求出發(fā) 以學(xué)校的教學(xué) 試驗(yàn) 辦公管理體系 為主導(dǎo) 建設(shè)安全 可靠 可管理 可控制的校園信息化網(wǎng)絡(luò)為主導(dǎo) 建設(shè)安全 可靠 可管理 可控制的校園信息化網(wǎng)絡(luò) 根據(jù)學(xué)校的現(xiàn)狀和進(jìn)一步的需求目標(biāo) 特點(diǎn)及實(shí)現(xiàn)的功能與技術(shù)要求 對(duì)總體方案 的設(shè)計(jì) 網(wǎng)絡(luò)設(shè)備選型 采用的技術(shù)路線及工程實(shí)施的過程 均充分考慮項(xiàng)目方案的實(shí)用 性 經(jīng)濟(jì)性 先進(jìn)性及可擴(kuò)展性 保護(hù)現(xiàn)有投資 可平滑升級(jí) 尤其注重了網(wǎng)絡(luò)設(shè)備的 安全可靠 易維護(hù) 易操作 突出了計(jì)算機(jī) 網(wǎng)絡(luò)及多媒體技術(shù)對(duì)教育過程的實(shí)用與好用 綜合考慮了項(xiàng)目中各子系統(tǒng)相對(duì)獨(dú)立性與關(guān)聯(lián)性 方案設(shè)計(jì)能夠體現(xiàn)出其1 1 2的效果 具 體的實(shí)施原則如下 1 好的開放性和可擴(kuò)展性 校園網(wǎng)絡(luò)應(yīng)具有的開放性 這種開放性依靠標(biāo)準(zhǔn)化實(shí)現(xiàn) 使符合標(biāo)準(zhǔn)的計(jì)算機(jī)系統(tǒng) 很容易進(jìn)行網(wǎng)絡(luò)的互連 因此在網(wǎng)絡(luò)建設(shè)中 網(wǎng)絡(luò)體系結(jié)構(gòu)和通信協(xié)議應(yīng)選擇廣泛使用的 國(guó)際標(biāo)準(zhǔn) 使得校園網(wǎng)成為一個(gè)完全開放式的網(wǎng)絡(luò)環(huán)境 在校園網(wǎng)絡(luò)平臺(tái)建設(shè)中 盡量采 取成熟先進(jìn)的網(wǎng)絡(luò)技術(shù) 統(tǒng)一的網(wǎng)絡(luò)標(biāo)準(zhǔn)和主流的網(wǎng)絡(luò)設(shè)備 使得網(wǎng)絡(luò)結(jié)構(gòu)更易于擴(kuò)展 升級(jí)和維護(hù) 2 校園網(wǎng)軟件平臺(tái)的針對(duì)性 校園網(wǎng)的應(yīng)用和服務(wù)的對(duì)象是學(xué)校的教師 學(xué)生 這就要求校園網(wǎng)軟件平臺(tái)的建設(shè) 應(yīng)以教學(xué)為核心 建立起一個(gè)在技術(shù)上具有先進(jìn)性 在教學(xué)過程的各階段應(yīng)用上具有靈活 性 多樣性和針對(duì)性的數(shù)字化校園網(wǎng) 3 高度的安全性和可靠性 對(duì)于網(wǎng)絡(luò)系統(tǒng) 應(yīng)確保系統(tǒng)運(yùn)行可靠 對(duì)關(guān)鍵部位提供容錯(cuò)能力 同時(shí)建立完善的 安全管理體系 4 經(jīng)濟(jì)實(shí)用性 盲目地追求技術(shù) 會(huì)建成一個(gè)不穩(wěn)定 不成熟產(chǎn)品的實(shí)驗(yàn)臺(tái) 單純高性能 只會(huì)帶來 難以承受的高額投資 所以 網(wǎng)絡(luò)系統(tǒng)建設(shè)應(yīng)采用成熟 適用 實(shí)用 好用的技術(shù) 力爭(zhēng) 以最小的投資得到最大的滿足 2 網(wǎng)絡(luò)建設(shè)方案網(wǎng)絡(luò)建設(shè)方案 2 1概述 現(xiàn)代教育過程的四要素為 教師 學(xué)生 教學(xué)內(nèi)容及教育技術(shù) 以計(jì)算機(jī) 網(wǎng)絡(luò) 多 媒體集成的現(xiàn)代教育技術(shù) 對(duì)教育過程的支持 隨著教育信息化的發(fā)展 顯得越來越重要 因此 項(xiàng)目建設(shè)的指導(dǎo)方針為 1 以應(yīng)用為主 為校領(lǐng)導(dǎo)決策 業(yè)務(wù)管理 教學(xué)保障和管理提供服務(wù) 2 采用成熟先進(jìn)的技術(shù) 實(shí)用 夠用 又留有發(fā)展余地 3 統(tǒng)一標(biāo)準(zhǔn) 逐步建設(shè) 充分考慮四期工程規(guī)劃及網(wǎng)絡(luò)的擴(kuò)展性 4 充分重視網(wǎng)絡(luò)系統(tǒng)和信息的安全 5 在限定的時(shí)間和要求內(nèi) 降低費(fèi)用的支出 提高系統(tǒng)的性能價(jià)格比 6 組織各方面的力量 網(wǎng)絡(luò)通信系統(tǒng) 網(wǎng)絡(luò)資源系統(tǒng)同步建設(shè) 2 1 1項(xiàng)目技術(shù)要求 1 采用先進(jìn)成熟的網(wǎng)絡(luò)技術(shù) 2 統(tǒng)一技術(shù)規(guī)范 標(biāo)準(zhǔn)和方案 統(tǒng)一設(shè)備選性 統(tǒng)一組織實(shí)施 3 網(wǎng)絡(luò)系統(tǒng)采用三層架構(gòu) 采用TCP IP協(xié)議棧 采用統(tǒng)一的客戶端應(yīng)用軟件 4 網(wǎng)絡(luò)系統(tǒng)采用全交換網(wǎng)絡(luò) 主干1000Mbps 核心層 接入層采用冗余連接 千 兆到桌面 5 網(wǎng)絡(luò)系統(tǒng)按部門 業(yè)務(wù)劃分VLAN 網(wǎng)絡(luò)多層交換采用802 1Q虛擬干道協(xié)議 802 1D生成樹協(xié)議 802 1X認(rèn)證協(xié)議和802 1P優(yōu)先隊(duì)列排序 6 采用接入認(rèn)證綜合管理系統(tǒng)對(duì)接入用戶進(jìn)行認(rèn)證及計(jì)費(fèi) 7 網(wǎng)絡(luò)系統(tǒng)必須滿足標(biāo)準(zhǔn)化的要求 以實(shí)現(xiàn)開放性 可擴(kuò)展性 8 重要部件 文擋要有備份 保證系統(tǒng)365天 24小時(shí)運(yùn)轉(zhuǎn) 9 重視數(shù)據(jù)的安全與保密 建立完善的網(wǎng)絡(luò)安全管理系統(tǒng) 2 2有線網(wǎng)絡(luò)方案設(shè)計(jì) 校園網(wǎng)是各種應(yīng)用的統(tǒng)一通信平臺(tái) 平均無故障時(shí)間以及故障恢復(fù)時(shí)間 要保持在一 個(gè)可容忍的許可范圍之內(nèi) 在這種前提下 主干設(shè)備應(yīng)有一定的冗余度 這種冗余度不單 只是設(shè)備級(jí)的 也應(yīng)該考慮物理線路 數(shù)據(jù)鏈路層 網(wǎng)絡(luò)層以及應(yīng)用層的容錯(cuò)能力 該主干網(wǎng)在方案上有二個(gè)重點(diǎn) 主干網(wǎng)技術(shù)策略 主干交換機(jī)的基本要求 主干網(wǎng)技術(shù)的基本要求可概括為 千兆傳輸距離550m以內(nèi)采用50 125多模光纜 千兆傳輸 距離大于550m 小于5000m采用9 125單模光纜 百兆傳輸距離2000m以內(nèi)采用50 125多模光 纜 百兆傳輸距離大于2000m采用9 125單模光纜 2 2 1有線網(wǎng)絡(luò)組網(wǎng)方案 按照網(wǎng)絡(luò)分層設(shè)計(jì)的原則 整個(gè)網(wǎng)絡(luò)采用扁平化設(shè)計(jì)理念 分成核心層 接入層 出口區(qū)域幾個(gè)部分 整個(gè)網(wǎng)絡(luò) 的建設(shè)方案如圖1所示 出口區(qū)域 部署一臺(tái)綜合安全網(wǎng)關(guān) 按照同時(shí)在線1200人的規(guī)模設(shè)計(jì) 考慮到校園網(wǎng)用戶對(duì)帶寬 超級(jí)利用性 整個(gè)網(wǎng)絡(luò)的出口采用千兆設(shè)計(jì) 千兆出口網(wǎng)關(guān) 千兆流控 滿足整個(gè)學(xué)校未 來10年內(nèi)的發(fā)展需要 另外 出口區(qū)域結(jié)合整個(gè)網(wǎng)絡(luò)的安全認(rèn)證系統(tǒng) 可實(shí)現(xiàn)基于用戶實(shí)名的準(zhǔn)出控制 滿 足大規(guī)模用戶使用 實(shí)現(xiàn)基于實(shí)名的NAT日志 URL日志 上網(wǎng)時(shí)間等 滿足公安部82號(hào) 令的要求 實(shí)現(xiàn)基于用戶實(shí)名的帶寬控制 另外 網(wǎng)絡(luò)出口區(qū)域部署VPN 讓校領(lǐng)導(dǎo) 老師出差不在學(xué)校 通過在互聯(lián)網(wǎng)上建立 VPN隧道 訪問校園網(wǎng)絡(luò)應(yīng)用系統(tǒng) 完成審批流程等 核心層 核心層采用模塊化萬兆交換機(jī) 支持40G 100G端口擴(kuò)展 滿足未來網(wǎng)絡(luò)發(fā)展需求 啟 用三層轉(zhuǎn)發(fā)功能 和接入層設(shè)備提供冗余鏈路 使得整個(gè)網(wǎng)絡(luò)的路由交換運(yùn)行無阻 同時(shí) 內(nèi)外業(yè)務(wù)資源 如服務(wù)器區(qū)和一些重要的終端可以直接接入到核心層 滿足高性能的要求 同時(shí)支持主控和業(yè)務(wù)口CSS集群技術(shù) 將多臺(tái)設(shè)備虛擬化為一臺(tái)邏輯設(shè)備 在可靠性 交 換效率 靈活性和易管理性方面提高性能 接入層 接入層由千兆交換機(jī)和無線接入交換機(jī)等接入設(shè)備構(gòu)成 可以滿足不同終端的接入要 求 接入交換機(jī)通過千兆光纖直接連接到核心交換機(jī)上 實(shí)現(xiàn)和核心層的互訪 設(shè)備選型 上要實(shí)現(xiàn)方便靈活接入的同時(shí)保障網(wǎng)絡(luò)帶寬 提供的QinQ技術(shù)保證了每端口每VLAN的設(shè) 計(jì) 在終端管理上提供了良好的技術(shù)保證 按照網(wǎng)絡(luò)高可靠的設(shè)計(jì)原則 核心網(wǎng)絡(luò)采用雙平面組網(wǎng) 可以最大程度上保證網(wǎng)絡(luò)的100 可靠 核心設(shè)備采用雙引擎設(shè)計(jì) 接入層采用雙歸屬主備鏈路 網(wǎng)絡(luò)設(shè)備秉承電信級(jí)可靠性設(shè)計(jì)理念 單板熱插拔 電源冗余 風(fēng)扇熱插拔等 高可靠的模型是根據(jù)組網(wǎng)方案來統(tǒng)一考慮的 主要的高可靠的手段有 A B雙平面 雙機(jī)模式 主備模式 鏈路冗余 設(shè)備結(jié)構(gòu)冗余等 為了保障校園網(wǎng)絡(luò)的高可靠性 采用 雙平面和主備等冗余結(jié)構(gòu) 核心設(shè)備采用2臺(tái)核心交換機(jī)設(shè)備 設(shè)備間采用2條線路連接 實(shí)現(xiàn)雙機(jī)熱備和負(fù)荷分擔(dān) 提高設(shè)備的利用率和網(wǎng)絡(luò)的安全 接入交換機(jī)分別采用雙鏈路 接入核心交換機(jī) 保障鏈路冗余和鏈路帶寬 2 2 2核心層設(shè)計(jì)方案 設(shè)計(jì)要點(diǎn) 提供高速的三層交換骨干 核心層不進(jìn)行終端系統(tǒng)的連接 核心層不設(shè)計(jì)要點(diǎn) 提供高速的三層交換骨干 核心層不進(jìn)行終端系統(tǒng)的連接 核心層不 實(shí)施影響高速交換性能的實(shí)施影響高速交換性能的ACL等功能等功能 網(wǎng)絡(luò)核心區(qū)作為整個(gè)校園網(wǎng)的數(shù)據(jù)交換核心 是教育應(yīng)用系統(tǒng)可靠和高效率運(yùn)行的基 礎(chǔ) 在核心區(qū)配置華為高吞吐量核心萬兆全分布式線速路由交換機(jī)S7706 接入各個(gè)功能區(qū) 域 下行千兆光纖連接接入交換機(jī) 形成千兆無阻塞線速轉(zhuǎn)發(fā)骨干網(wǎng) 核心設(shè)備采用分布 式交換架構(gòu) 通過獨(dú)立的控制引擎 檢測(cè)引擎 維護(hù)引擎為系統(tǒng)提供強(qiáng)大的控制能力和高 可靠保障 為了簡(jiǎn)化網(wǎng)絡(luò)部署 簡(jiǎn)化網(wǎng)絡(luò)管理 并提高故障恢復(fù)的速度 核心層需支持采用虛擬交 換架構(gòu)技術(shù) 通過跨設(shè)備鏈路聚合與匯聚層設(shè)備互聯(lián) 1 設(shè)備需支持運(yùn)營(yíng)級(jí) 滿足學(xué)校業(yè)務(wù)不間斷的需求 2 核心設(shè)備支持引擎冗余 電源冗余 業(yè)務(wù)線卡熱插拔 支持虛擬交換技術(shù) 保證 核心的高融合和高可靠性 3 核心設(shè)備支持模塊化軟件操作系統(tǒng)平臺(tái) 便于多業(yè)務(wù)擴(kuò)展支持 支持操作系統(tǒng)的 免費(fèi)升級(jí) 全面支持 IPv6 4 核心設(shè)備具有較強(qiáng)的自我防御機(jī)制 為此 本次建設(shè)選用華為S7700作為騰沖第一職業(yè)高級(jí)中學(xué)的的核心交換機(jī) S7700系 列是華為公司面向下一代企業(yè)網(wǎng)絡(luò)架構(gòu)而推出的新一代高端智能路由交換機(jī) 該產(chǎn)品基于 華為公司智能多層交換的技術(shù)理念 在提供穩(wěn)定 可靠 安全的高性能L2 L4層交換服務(wù) 基礎(chǔ)上 進(jìn)一步提供MPLS VPN 業(yè)務(wù)流分析 完善的QOS策略 可控組播 資源負(fù)載均 衡 一體化安全等智能業(yè)務(wù)優(yōu)化手段 同時(shí)具備超強(qiáng)擴(kuò)展性和可靠性 S7700系列廣泛適用于園區(qū)網(wǎng)絡(luò)和數(shù)據(jù)中心網(wǎng)絡(luò) 可對(duì)無線 話音 視頻和數(shù)據(jù)融合網(wǎng) 絡(luò)進(jìn)行先進(jìn)的控制 幫助企業(yè)構(gòu)建交換路由一體化的端到端融合網(wǎng)絡(luò) 128G槽位帶寬 100GE Ready 480個(gè)萬兆端口 24個(gè)40GE端口 創(chuàng)新的CSS交換網(wǎng)集群 硬件級(jí)以太OAM BFD 左后風(fēng)道 高密布線 S7700系列提供S7703 S7706 S7712三種產(chǎn)品形態(tài) 2 2 3接入層設(shè)計(jì)方案 千兆到桌面接入 根據(jù)接入密度選擇型號(hào) 24口接入或48口接入 校園網(wǎng)目前的業(yè)務(wù)應(yīng)用主要為桌面辦公系統(tǒng) 教學(xué)課件系統(tǒng) 互聯(lián)網(wǎng)業(yè)務(wù) 網(wǎng)絡(luò)間要 在接入層必須對(duì)必要的業(yè)務(wù)劃分VLAN VLAN劃分的方法可以基于端口 基于用戶的業(yè)務(wù) 等 為了滿足VLAN的靈活劃分及對(duì)終端安全的控制 接入交換機(jī)應(yīng)具備強(qiáng)2層特性 支持 防止DOS ARP攻擊功能 ICMP防攻擊 支持IP MAC 端口 VLAN的組合綁定 同時(shí) 只能智能節(jié)能功能 通過匹配端口Link Down Up 光模塊在位 不在位 配置Shut Down Undo Shut Down 空閑時(shí)段 繁忙時(shí)段等應(yīng)用場(chǎng)景 達(dá)到應(yīng)用中大幅度提高動(dòng)態(tài)節(jié) 能技術(shù)應(yīng)用比例 節(jié)省設(shè)備耗電量的目的 應(yīng)具備能效以太網(wǎng) EEE 端口能量檢測(cè) CPU動(dòng)態(tài)調(diào)頻 設(shè)備休眠等技術(shù)已實(shí)現(xiàn)設(shè)備智能低功耗設(shè)計(jì) 點(diǎn)位設(shè)計(jì)如下 建筑建筑樓層樓層房間數(shù)點(diǎn)位數(shù)合計(jì) 24 口交 換機(jī)數(shù) 量 48 口交 換機(jī)數(shù) 量 1816 2714 3816 實(shí)驗(yàn)樓 4714 6011 實(shí)驗(yàn)樓 110206611 21326 31020 1510 2714 3714 綜合樓 41020 5811 1612 2816 教學(xué)樓 白色 3816 4411 1612 2612 3612 教學(xué)樓 粉色 4612 4811 合計(jì)合計(jì) 55 共部署48口接入交換機(jī)5臺(tái) 24口交換機(jī)5臺(tái) 匯聚交換機(jī)46臺(tái) 覆蓋全校約300個(gè)信 息點(diǎn) 為保證接入網(wǎng)絡(luò)的安全可靠 本次配置建議使用華為S5700 LI系列交換機(jī) S5700 LI 系列企業(yè)交換機(jī) 以下簡(jiǎn)稱S5700 LI 是華為公司自主研發(fā)的新一代綠色節(jié)能的二層全 千兆以太網(wǎng)交換機(jī) 提供靈活的全千兆以太網(wǎng)接入端口 豐富的業(yè)務(wù)特性 支持EEE節(jié)能 特性 支持整機(jī)休眠功能 可以為用戶提供綠色 易管理 易擴(kuò)展 低成本的千兆到桌面 的解決方案 S5700 LI能基于五元組 IP優(yōu)先級(jí) TOS DSCP IP協(xié)議類型 ICMP類型 TCP源 端口 VLAN 以太網(wǎng)幀協(xié)議類型 CoS等信息 實(shí)現(xiàn)復(fù)雜流分類功能 S5700 LI支持基于流的雙速三色限速功能 每端口支持8個(gè)優(yōu)先級(jí)隊(duì)列 支持 WRR DRR PQ WRR PQ DRR PQ多種隊(duì)列調(diào)度算法 有效地保證話音 視頻和 數(shù)據(jù)業(yè)務(wù)質(zhì)量 S5700 LI提供多種安全保護(hù)功能 支持DoS Denial of Service 類防攻擊 網(wǎng)絡(luò)的防 攻擊 用戶的防攻擊等功能 其中DoS類防攻擊主要包括SYN Flood Land Smurf ICMP Flood 網(wǎng)絡(luò)的防攻擊主要是指STP的BPDU Root攻擊 用 戶的防攻擊涉及DHCP仿冒攻擊 中間人攻擊 IP MAC Spoofing 攻擊 DHCP request flood 改變 CHADDR 值的 DoS 攻擊等等 S5700 LI支持通過建立和維護(hù)DHCP Snooping 綁定表 偵聽接入用戶的MAC IP 地 址 租用期 VLAN ID 接口等信息 解決 DHCP 用戶的IP 和端口跟蹤定位問題 同時(shí) 對(duì)不符合綁定表項(xiàng)的非法報(bào)文 ARP欺騙報(bào)文 擅自修改IP地址等 直接丟棄 有效防止 黑客或攻擊者通過ARP報(bào)文實(shí)施園區(qū)網(wǎng)常見的 中間人 攻擊 利用DHCP Snooping 的 信任端口特性還可以保證DHCP Server 的合法性 S5700 LI支持ARP表項(xiàng)嚴(yán)格學(xué)習(xí)功能 可以防止因ARP欺騙攻擊將交換機(jī)ARP表項(xiàng)占 滿 導(dǎo)致正常用戶無法上網(wǎng) 同時(shí) 支持IP Source Check 特性 防止包括MAC 欺騙 IP欺騙 MAC IP欺騙在內(nèi)的非法地址仿冒帶來的DOS攻擊 S5700 LI支持集中式MAC地址認(rèn)證和802 1x 認(rèn)證 支持用戶賬號(hào) IP MAC VLAN 端口 客戶端是否安裝病毒防范等用戶標(biāo)識(shí)元素的動(dòng)態(tài)或靜態(tài)綁定 同時(shí)實(shí)現(xiàn)用戶策略 VLAN QoS ACL 的動(dòng)態(tài)下發(fā) S5700 LI支持基于端口的源MAC地址學(xué)習(xí)限制功能 有效防止用戶源MAC欺騙沖擊設(shè) 備MAC表項(xiàng) 導(dǎo)致正常用戶無法學(xué)到MAC表而泛洪的問題等 2 2 4接入層網(wǎng)絡(luò)隔離 在接入層必須對(duì)必要的業(yè)務(wù)劃分VLAN VLAN劃分的方法可以基于端口 基于用戶的 業(yè)務(wù)等 圖 1 接入層 VLAN 劃分組網(wǎng)示意圖 所提供接入交換機(jī)具有靈活的VLAN劃分方法 可以有效的防止ARP等二層攻擊 同時(shí)支持QinQ技術(shù) 可以突破4K個(gè)VLAN的限制 為將來網(wǎng)絡(luò)的合理改造以及擴(kuò) 容打下堅(jiān)實(shí)的基礎(chǔ) 采用QinQ技術(shù)可以提供每用戶每VLAN的組網(wǎng)方式 將VLAN終結(jié)在核心層上 圖 2 采用 QinQ 技術(shù)隔離終端 QinQ技術(shù)采用嵌套VLAN技術(shù) 突破了4K VLAN的限制 無論何種接入設(shè)備都可以滿 足整個(gè)網(wǎng)絡(luò)可靠性 安全的設(shè)計(jì) 同時(shí)每個(gè)終端一個(gè)VLAN的設(shè)計(jì)方式保證了二層方式的 終端是隔離的 防止了廣播風(fēng)波 ARP病毒等對(duì)局域網(wǎng)危害很大的不安全因素的蔓延 采用這種方式的組網(wǎng)可以大大提高整網(wǎng)的可靠性和安全性 使得網(wǎng)絡(luò)對(duì)二層設(shè)備的依 賴降低 并且有助于降低建設(shè)成本 因?yàn)樗械慕K端訪問都必須經(jīng)過匯聚交換 這樣的網(wǎng) 絡(luò)設(shè)計(jì)非常方便網(wǎng)絡(luò)的管理 控制 避免因?yàn)榱髁康倪^渡分散造成的安全失控 2 2 5出口設(shè)計(jì) 考慮到外網(wǎng)攻擊很多 在出口部署安全網(wǎng)關(guān) 對(duì)內(nèi)外網(wǎng)進(jìn)行安全隔離 進(jìn)行NAT轉(zhuǎn)換 和路由 同時(shí)防火墻提供攻擊防范和url過濾等功能 對(duì)外網(wǎng)來的攻擊進(jìn)行防御 安全網(wǎng)關(guān)設(shè)備實(shí)現(xiàn)如下功能 安全網(wǎng)關(guān)設(shè)備實(shí)現(xiàn)如下功能 1 安全隔離 安全網(wǎng)關(guān)的安全隔離是基于安全區(qū)域 這樣的設(shè)計(jì)模型為用戶在實(shí) 際使用統(tǒng)一安全網(wǎng)關(guān)的時(shí)候提供了十分良好的管理模型 華為統(tǒng)一安全網(wǎng)關(guān)提 供了基于安全區(qū)域的隔離模型 每個(gè)安全區(qū)域可以按照網(wǎng)絡(luò)的實(shí)際組網(wǎng)加入任 意的接口 因此統(tǒng)一安全網(wǎng)關(guān)的安全管理模型是不會(huì)受到網(wǎng)絡(luò)拓?fù)涞挠绊?2 防 DDOS 安全網(wǎng)關(guān)產(chǎn)品根據(jù)數(shù)據(jù)報(bào)文的特征 以及 Dos 攻擊的不同手段 可 以針對(duì) ICMP Flood SYN Flood UDP Flood 等各種 Dos 攻擊手段進(jìn)行 Dos 攻擊 的防御 3 URL 過濾功能 能提供 URL 黑 白名單功能 支持前綴匹配 后綴匹配 關(guān)鍵 字匹配等 支持用戶自定義 URL 功能 可自定義分類以及自定義 URL URL 過 濾響應(yīng)方式可以設(shè)置為禁止或允許 禁止方式下支持返回頁(yè)面通知 頁(yè)面內(nèi)容 可自定義 支持 URL 訪問日志記錄 支持日志歸并 URL 分類大類 43 個(gè) 小 類 127 個(gè) URL 特征庫(kù)數(shù)量 6500 萬條 支持 URL 熱點(diǎn)庫(kù)功能 且熱點(diǎn)庫(kù)支 持升級(jí) 4 防火墻 NAT 轉(zhuǎn)換 在 IPV4 由于公網(wǎng) IP 少 需要防火墻提供 NAT 地址轉(zhuǎn)換 實(shí)現(xiàn)對(duì)公網(wǎng)的業(yè)務(wù)訪問需求 需要支持包括源 IP 地址轉(zhuǎn)換 目的 IP 地址轉(zhuǎn)換 端口地址轉(zhuǎn)換 靜態(tài) IP 地址轉(zhuǎn)換 IP 地址池轉(zhuǎn)換等 支持?jǐn)U展 NAT 功能 可 實(shí)現(xiàn)單個(gè)公網(wǎng) IP 的無限地址轉(zhuǎn)換 考慮到 FTP H 323 SIP 等它們報(bào)文的數(shù)據(jù) 部分可能包含 IP 地址或端口信息 需要支持 FTP H 323 SIP 等各種應(yīng)用協(xié)議 5 路由 支持靜態(tài)路由 路由策略 策略路由 RIP OSPF BGP MPLS ISIS 等 路由協(xié)議 6 高可靠性 支持 HRP Huawei Redundancy Protocol 協(xié)議實(shí)現(xiàn)雙機(jī)熱備份功 能 包括主備備份 Active Standby 和負(fù)載分擔(dān) Active Active 兩種方 式 HRP 負(fù)責(zé)在主 備設(shè)備之間備份關(guān)鍵配置命令和會(huì)話表狀態(tài)信息 從而確 保主用設(shè)備出現(xiàn)故障時(shí)能由備份設(shè)備平滑地接替工作 2 3無線網(wǎng)絡(luò)的設(shè)計(jì)方案 2 3 1 概述 有線網(wǎng)絡(luò)建設(shè)經(jīng)過改造后 已初具規(guī)模 1000Mbps 光纜敷設(shè)到全校大部分的樓宇 如何將網(wǎng)絡(luò)延伸到校園的每一個(gè)角落 為學(xué)生和教師提供一個(gè)隨時(shí) 隨地使用網(wǎng)絡(luò)的環(huán)境 是擺在我們面前的重要任務(wù) 無線接入技術(shù)與光纖接入 ADSL 接入 以太網(wǎng)接入等技術(shù)相比 具有投資少 建 網(wǎng)周期短 提供業(yè)務(wù)快等優(yōu)勢(shì) 在無線接入領(lǐng)域中 固定無線接入正走向成熟 其應(yīng)用步 伐不斷加快 而其中無線局域網(wǎng)技術(shù)又以其提供方便 快捷的組網(wǎng)方式等優(yōu)勢(shì) 倍受矚目 因此 我們采用有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò) 802 11b 802 11g 融合的策略 將網(wǎng)絡(luò)應(yīng) 用延伸到各個(gè)辦公室 多媒體教室 校園活動(dòng)場(chǎng)所等空間 提供教學(xué)視頻的無線上傳及下 載 方便教學(xué)工作的開展 2 3 2無線基本概念 2 3 3 1網(wǎng)絡(luò)架構(gòu)模型網(wǎng)絡(luò)架構(gòu)模型 WLAN網(wǎng)絡(luò)在部署過程中 根據(jù)不同的需求有多種實(shí)現(xiàn)形式 根據(jù)網(wǎng)絡(luò)架構(gòu)分為 自治式架構(gòu) 即 FAT AP 或胖 AP 集中式架構(gòu) 即 FIT AP 或瘦 AP 自治式架構(gòu)和集中式架構(gòu)兩種網(wǎng)絡(luò)結(jié)構(gòu)比較如表1 1所示 表 1 1 自治式架構(gòu)和集中式架構(gòu)比較表 項(xiàng)目自治式架構(gòu)集中式架構(gòu) 適用場(chǎng)景微型企業(yè) 個(gè)人新生方式 增強(qiáng)管理 安全性傳統(tǒng)加密 認(rèn)證方式 普通安 全性 基于用戶位置的安全策略 高安全性 網(wǎng)絡(luò)管理每 AP 需要單獨(dú)下發(fā)配置文件AC 上統(tǒng)一配置 AP 本身零 配置 維護(hù)簡(jiǎn)單 用戶管理類似有線 根據(jù) AP 接入的有 線端口區(qū)分權(quán)限 虛擬專用組方式 根據(jù)用戶 名區(qū)分權(quán)限 使用靈活 WLAN 組網(wǎng)規(guī)模L2 漫游 適合小規(guī)模組網(wǎng)L2 L3 漫游 拓?fù)錈o關(guān)性 適合大規(guī)模組網(wǎng) 增值業(yè)務(wù)能力實(shí)現(xiàn)簡(jiǎn)單數(shù)據(jù)接入可擴(kuò)展豐富業(yè)務(wù) 自治式架構(gòu) 該架構(gòu)下AP實(shí)現(xiàn)所有無線接入功能 不需要AC設(shè)備形態(tài) 如圖1 2所示 圖 1 2 WLAN 自治式架構(gòu)圖 認(rèn)證服務(wù)器 DHCP DNS 服務(wù)器 eSight網(wǎng)管 FAT AP FAT AP 園園區(qū)區(qū)網(wǎng)網(wǎng) WLAN早期廣泛采用自治式架構(gòu) 隨著企業(yè)大量部署AP后 對(duì)這些AP進(jìn)行配置 升級(jí)軟件 等管理工作將給用戶帶來很高的操作成本 管理成本提高 自治式架構(gòu)應(yīng)用逐步減少 集中式架構(gòu) 該架構(gòu)通過無線控制器 AC 集中管理 控制多個(gè)AP 如圖1 3所示 所有無線接入功能 由AP和AC共同完成 AC 完成網(wǎng)絡(luò)具有重要意義的功能 例如移動(dòng)管理 身份驗(yàn)證 VLAN 劃分 射頻 資源管理 無線 IDS Intrusion Detection Systems 和數(shù)據(jù)包轉(zhuǎn)發(fā)等 AP 完成無線空口的控制 例如無線信號(hào)發(fā)射與探測(cè)響應(yīng) 數(shù)據(jù)加密解密 數(shù)據(jù) 傳輸確認(rèn) 空口數(shù)據(jù)優(yōu)先級(jí)管理等等 圖 1 3 WLAN 集中式架構(gòu)圖 認(rèn)證服務(wù)器 DHCP DNS 服務(wù)器 eSight網(wǎng)管 FIT AP FIT AP AC 園園區(qū)區(qū)網(wǎng)網(wǎng) AP和AC間采用CAPWAP隧道協(xié)議進(jìn)行通訊 AC與AP間可以是直連或者穿越Layer 2 Layer 3網(wǎng)絡(luò) CAPWAP協(xié)議是基于UDP傳輸層的應(yīng)用層協(xié)議 協(xié)議傳遞的信息分為兩類 控制信息 和數(shù)據(jù)信息 控制信息負(fù)責(zé) AC 與 AP 之間的管理的交互操作 包括 AP 自動(dòng)發(fā)現(xiàn) AC AC 對(duì) AP 進(jìn)行安全認(rèn)證 AP 從 AC 獲取軟件版本 AP 從 AC 獲取配置等等 數(shù)據(jù)信息是封裝后轉(zhuǎn)發(fā)的無線數(shù)據(jù) 兩類信息分別使用不同的UDP端口號(hào) CAPWAP信息在AP與AC間交互時(shí)可以使用DTLS加 密機(jī)制 保證通信的安全性 所有無線接入功能由AP和AC間共同完成 集中式架構(gòu)是企業(yè)網(wǎng) 運(yùn)營(yíng)商等WLAN方案的 主要架構(gòu) 便于集中管理 集中認(rèn)證和實(shí)施安全策略 此種方案為目前企業(yè)網(wǎng)通用方案 在FIT AP網(wǎng)絡(luò)架構(gòu)下 又有如下劃分 根據(jù) AC 部署方式 分為集中式和分布式 根據(jù) AC 部署位置 分為旁掛和直路 根據(jù) AC 硬件體現(xiàn)形式 分為集成 AC 和獨(dú)立 AC 根據(jù)業(yè)務(wù)轉(zhuǎn)發(fā)形式 分為本地轉(zhuǎn)發(fā)和集中轉(zhuǎn)發(fā) 2 3 3 2集中式集中式AC與分布式與分布式AC 根據(jù)AC的部署方式 網(wǎng)絡(luò)可分為集中式AC部署和分布式AC部署 集中式AC部署 集中式AC部署是指整個(gè)網(wǎng)絡(luò)中集中部署AC設(shè)備 一般是獨(dú)立的AC設(shè)備 來控制和管理 整網(wǎng)的AP設(shè)備 AC的部署可以采用直路 直接部署在AP和匯聚 核心交換機(jī)之間 或旁掛 方式 旁掛在匯聚 核心交換機(jī)旁側(cè) 圖 1 4 集中式AC 部署示意圖 分布式AC部署 分布式AC部署是指網(wǎng)絡(luò)中分區(qū)域采用多個(gè)AC設(shè)備 分別對(duì)本區(qū)域的AP設(shè)備進(jìn)行管理 分 布式AC方案一般不采用獨(dú)立的AC設(shè)備 而是采用在匯聚交換機(jī)上集成AC功能 來實(shí)現(xiàn)對(duì) 本交換機(jī)下掛的所有AP進(jìn)行管理 圖 1 5 分布式AC 部署示意圖 AC的兩種部署方式的優(yōu)劣勢(shì)對(duì)比如表1 2所示 表 1 2 集中式 AC 與分布式 AC 優(yōu)缺點(diǎn)對(duì)比表 AC 部署方式優(yōu)點(diǎn)缺點(diǎn) 集中式 節(jié)省投資 容量管理更簡(jiǎn)單有效 成本 效益高 無線業(yè)務(wù)終結(jié)點(diǎn)少 便于管 理 漫游部署簡(jiǎn)單 高效 無線網(wǎng)絡(luò)運(yùn)維管理更簡(jiǎn)單 可集中管理且配置靈活 AC 與 AP 之間的網(wǎng)絡(luò)結(jié)構(gòu) 復(fù)雜 網(wǎng)絡(luò)規(guī)劃部署相對(duì) 復(fù)雜 分布式AC 與 AP 之間網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單 網(wǎng)絡(luò) 部署相對(duì)簡(jiǎn)單 投資成本高 需要部署 AC 間漫 游 除非各 AC 所 在的區(qū)域間不考慮 漫游 運(yùn)維成本高 2 3 3 3AC旁掛與旁掛與AC直路直路 根據(jù)AC在網(wǎng)絡(luò)上所處位置 可分為AC旁掛和AC直路 旁掛 旁掛方式是指將AC部署在用戶網(wǎng)關(guān)設(shè)備 匯聚或核心交換機(jī) 一側(cè) 實(shí)現(xiàn)對(duì)用戶網(wǎng)關(guān)設(shè)備 下所有AP的管理 旁掛方式主要用于原有網(wǎng)絡(luò)匯聚 核心設(shè)備非華為設(shè)備的場(chǎng)景 目前主要用于網(wǎng)絡(luò)改造 或 者新建大 中型園區(qū)網(wǎng)絡(luò)場(chǎng)景 AC旁掛示意圖 直路 直路方式是指將AC部署在AP與用戶網(wǎng)關(guān)設(shè)備 匯聚或核心交換機(jī) 之間 實(shí)現(xiàn)對(duì)下轄所 有AP的管理 直路方式主要用于新建中 小型園區(qū)網(wǎng)絡(luò)或原有網(wǎng)絡(luò)匯聚 核心設(shè)備為華為設(shè)備的場(chǎng)景 AC直路示意圖 2 3 3 4本地轉(zhuǎn)發(fā)與集中轉(zhuǎn)發(fā)本地轉(zhuǎn)發(fā)與集中轉(zhuǎn)發(fā) 轉(zhuǎn)發(fā)模式主要是AP針對(duì)用戶數(shù)據(jù)可以有不同的轉(zhuǎn)發(fā)處理方式 本地轉(zhuǎn)發(fā) 又稱直接轉(zhuǎn)發(fā) 是指AP上對(duì)用戶數(shù)據(jù)由本地轉(zhuǎn)發(fā)到網(wǎng)絡(luò)上層 不經(jīng)過AC處理 AC只對(duì)AP 進(jìn)行管理 而AP管理流封裝在CAPWAP隧道中 到達(dá)AC終止 本地轉(zhuǎn)發(fā)示意圖 集中轉(zhuǎn)發(fā) 也稱作隧道轉(zhuǎn)發(fā) 業(yè)務(wù)數(shù)據(jù)報(bào)文由AP統(tǒng)一封裝后到達(dá)AC實(shí)現(xiàn)轉(zhuǎn)發(fā) AC不但進(jìn)行對(duì)AP管理 還作為AP流量的轉(zhuǎn)發(fā)中樞 即AP管理流與數(shù)據(jù)流都封裝在CAPWAP隧道中到達(dá)AC 隧道轉(zhuǎn)發(fā)示意圖 本地轉(zhuǎn)發(fā)與集中轉(zhuǎn)發(fā)優(yōu)缺點(diǎn)對(duì)比如0所示 本地轉(zhuǎn)發(fā)與集中轉(zhuǎn)發(fā)優(yōu)缺點(diǎn)對(duì)比表 轉(zhuǎn)發(fā)方式優(yōu)點(diǎn)缺點(diǎn) 本地轉(zhuǎn)發(fā)設(shè)備署簡(jiǎn)單 數(shù)據(jù)流量不經(jīng)過 AC AC 負(fù)擔(dān)小 集中轉(zhuǎn)發(fā)數(shù)據(jù)流量和管理流量全部經(jīng)過 AC 可以按用戶需求規(guī)劃安全監(jiān) 管策略 AC 設(shè)備數(shù)據(jù)壓力較大 對(duì) AC 設(shè)備本身處理能力要求較高 2 3 3覆蓋區(qū)域描述 網(wǎng)絡(luò)覆蓋范圍總共包含5棟樓 實(shí)訓(xùn)樓 實(shí)驗(yàn)樓 綜合樓 教學(xué)樓 白色 教 學(xué)樓 粉色 墻體統(tǒng)一為24磚墻 網(wǎng)絡(luò)點(diǎn)位統(tǒng)計(jì)如下 建筑建筑樓層樓層 分布式分布式 APAP 數(shù)量數(shù)量 放裝放裝 式式 APAP 1 分 4 功分器 數(shù)量 天線數(shù) 量 備注備注 12 28 22 27 32 28 實(shí)驗(yàn)樓 42 27 實(shí)訓(xùn)樓長(zhǎng)約 40m 建議每層部 署 2 個(gè) AP 通過饋線將天線部 署到每個(gè)教室 12127 23 310 實(shí)驗(yàn)樓 32228 多媒體 閱覽室較大 單獨(dú) 配置一臺(tái)放裝型 AP 101 21314 2 樓 70 個(gè)用戶 配置 4 個(gè) AP 31014 綜合樓 43139 4 樓 70 個(gè)用戶 PEIZHI 4 個(gè) AP 12 26 22 26 教學(xué)樓 白色 32 26 教學(xué)樓面積較大 建議每層配 置 2 個(gè) AP 12 26 22 26 32 26 教學(xué)樓 粉色 42 26 教學(xué)樓面積較大 建議每層配 置 2 個(gè) AP 數(shù)量合計(jì)數(shù)量合計(jì) 34834114 無線AP的部署分為室內(nèi)放裝型及室內(nèi)分布式兩種 室內(nèi)放裝型自帶天線 可以部署在 較大的房間內(nèi)或用戶比較密集的區(qū)域 提高無線接收效果 如多媒體室 閱覽室等 室內(nèi) 分布式AP可配置功分器 提供多個(gè)天線分別接入到每個(gè)房間 提高覆蓋范圍 避免由于墻 體過厚導(dǎo)致的無線衰減問題 本次設(shè)計(jì)使用了8個(gè)放裝型AP 部署在多媒體室 閱覽室及 綜合樓的人員密集區(qū)域 使用了34個(gè)分布式AP和114根天線 覆蓋到每一個(gè)教室及主要 辦公室 提高完善的網(wǎng)絡(luò)覆蓋范圍 在注意覆蓋范圍的同時(shí)需考慮覆蓋的用戶總數(shù) 由于AP的處理能力有限 所以所以 建議每個(gè)建議每個(gè)APAP下下掛的用戶數(shù)量不超過下下掛的用戶數(shù)量不超過2525個(gè)個(gè) 在一些樓層用戶較多的區(qū)域 需考慮用戶 數(shù)上限的問題 如綜合樓的2樓和4樓 用戶數(shù)超過70 這些樓層建議配置4個(gè)AP進(jìn)行覆 蓋 以達(dá)到較好的用戶體驗(yàn) 2 3 4無線局域網(wǎng)拓?fù)?本次設(shè)計(jì)采用集中式構(gòu)架 通過AC統(tǒng)一對(duì)下級(jí)的AP進(jìn)行管理和維護(hù) AC采用旁掛的方 式進(jìn)行組網(wǎng) 通過本地轉(zhuǎn)發(fā)的方式進(jìn)行數(shù)據(jù)傳輸 本次無線的拓?fù)浣Y(jié)構(gòu)如下 本次方案采用瘦AP方式實(shí)現(xiàn)大樓的無線覆蓋 便于進(jìn)行集中配置和統(tǒng)一管理 在實(shí)際 工作中 無線控制器AC連接到核心交換機(jī) 與eSight網(wǎng)管系統(tǒng)的WLAN管理模塊協(xié)同工作 實(shí)現(xiàn)對(duì)全網(wǎng)AP的自動(dòng)配置下發(fā) 射頻管理 信道分配 安全接入控制等等無線網(wǎng)絡(luò)配置和 運(yùn)維管理功能 本次配置采用AC AP集中式管理的無線組網(wǎng)方案 各大樓根據(jù)工勘結(jié)果部署相應(yīng)AP 通過千兆電口連接到相應(yīng)樓層無線接入交換機(jī) 無線接入交換機(jī)提供POE功能 通過POE技 術(shù)對(duì)AP供電 簡(jiǎn)化布線 無線POE交換機(jī)通過兩條千兆鏈路連接到核心交換機(jī) 核心交換機(jī) 旁掛一臺(tái)無線控制器AC 通過千兆電口互聯(lián) 采用集中式組網(wǎng)方式對(duì)無線AP進(jìn)行統(tǒng)一管理和 控制 推薦配置如下 序號(hào)序號(hào)設(shè)備類別設(shè)備類別設(shè)備型號(hào)設(shè)備型號(hào)數(shù)量數(shù)量備注備注 1 盒式ACAC6605164個(gè)AP許可 2 室內(nèi)放裝型AP 11bgn AP6010SN8POE供電 3 室內(nèi)分布式APAP6310SN34 4 全向天線114 5 POE交換機(jī)S5700 28C PWR SI5每樓宇一臺(tái) 2 3 5無線 VLAN 規(guī)劃 VLAN規(guī)劃的原則 管理 VLAN 和業(yè)務(wù) VLAN 分離 業(yè)務(wù) VLAN 應(yīng)根據(jù)實(shí)際業(yè)務(wù)需要與 SSID 匹配映射關(guān)系 1 1 1 N N 1 N N 管理管理VLAN 對(duì)于瘦AP 管理VLAN是指AC與AP之間控制報(bào)文所帶VLAN 控制報(bào)文包括AP上線時(shí)的報(bào) 文 DHCP等 以及建立CAPWAP控制隧道后的控制隧道報(bào)文 由于在實(shí)際應(yīng)用中 AC需要按VLAN選擇DHCP SERVER 或RELAY還是透?jìng)?因此管理 VLAN和業(yè)務(wù)VLAN必須分離 以便滿足不同DHCP應(yīng)用的需求 如果AC AP間經(jīng)過三層轉(zhuǎn)發(fā) 中間三層設(shè)備必須支持DHCP RELAY 同樣要注意區(qū)分管理VLAN和業(yè)務(wù)VLAN 使之采用不同 的RELAY GATEWAY 以便AC區(qū)別不同DHCP請(qǐng)求 業(yè)務(wù)業(yè)務(wù)VLAN 業(yè)務(wù)VLAN主要用于區(qū)分不同的業(yè)務(wù)類型或用戶群體 在WLAN中SSID也同樣可以承擔(dān)相 應(yīng)的工作 因此 在業(yè)務(wù)VLAN的規(guī)劃中必須綜合考慮VLAN與SSID的映射關(guān)系 業(yè)務(wù)VLAN與SSID有如下四種映射關(guān)系 SSID VLAN 1 1SSID VLAN 1 1 部署 部署 例如對(duì)北京市西城區(qū) 金融大街 和 中央音樂學(xué)院 進(jìn) 行 WLAN 覆蓋 都是北京聯(lián)通 WLAN 網(wǎng)絡(luò)的覆蓋區(qū)域 所以希望用戶搜索到的 WLAN 只有一個(gè) SSID 如 北京聯(lián)通 VLAN 也只需要規(guī)劃一個(gè) 如 1000 SSID VLAN 1 NSSID VLAN 1 N 部署 部署 雖然北京市西城區(qū) 金融大街 和 中央音樂學(xué)院 都是 北京聯(lián)通 WLAN 網(wǎng)絡(luò)的覆蓋區(qū)域 用戶搜索到的 WLAN 只有一個(gè) SSID 北京聯(lián)通 但希望規(guī)劃不同的 VLAN 標(biāo)識(shí)不同的場(chǎng)點(diǎn) 如 1000 1001 這個(gè)場(chǎng)景中 SSID VLAN 1 N SSID VLAN N 1SSID VLAN N 1 部署 部署 雖然都是北京聯(lián)通的覆蓋區(qū)域 但希望用戶搜索到 WLAN 就知道自己在什么地方了 因此需要兩個(gè) SSID 如 金融大街 和 中央音樂 學(xué)院 由于都是北京聯(lián)通的場(chǎng)所 VLAN 只想規(guī)劃一個(gè) 如 1000 SSID VLAN N NSSID VLAN N N部署 部署 雖然都是北京聯(lián)通覆蓋區(qū)域 但希望用戶搜索到WLAN就知道自己在 什么地方了 并希望通過不同的VLAN精細(xì)控制流量 因此需要兩個(gè)SSID 如 金融大街 和 中央音樂學(xué)院 同時(shí)VLAN也要規(guī)劃兩個(gè) 如1000和1001 4 無線網(wǎng)絡(luò)應(yīng)用 無線網(wǎng)擴(kuò)展了有線網(wǎng)的覆蓋范圍 將網(wǎng)絡(luò)應(yīng)用延伸到學(xué)生向往的空間 這意味著可以 在任何便于工作的地方 如在報(bào)告廳 自助餐廳 實(shí)驗(yàn)室 辦公室以及在校園休閑場(chǎng)地享 受學(xué)習(xí)的自由和靈活性 學(xué)生在上述無線覆蓋的區(qū)域可以收發(fā)電子郵件 點(diǎn)播流媒體節(jié)目 學(xué)習(xí)Web課程 利用 WebQuest探討問題 利用MSN或QICQ與他人 同學(xué) 老師或家人 協(xié)作交流思想和學(xué)習(xí)等 這要?dú)w功于可以傳輸實(shí)時(shí)信息的各種手持終端和筆記本電腦 在其他行業(yè)中 無線局域網(wǎng) 日益被看作是一種創(chuàng)新的 可負(fù)擔(dān)的工具 用以補(bǔ)充有線網(wǎng)絡(luò) 而不是取代它 3 統(tǒng)一身份認(rèn)證平臺(tái)統(tǒng)一身份認(rèn)證平臺(tái) 統(tǒng)一身份認(rèn)證平臺(tái)采用華為統(tǒng)一身份認(rèn)證平臺(tái)采用華為 TSM 實(shí)現(xiàn) 實(shí)現(xiàn) 1 背景 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展 學(xué)校廣泛采用協(xié)同辦公或通過遠(yuǎn)程 移動(dòng)和互聯(lián)網(wǎng)接入等 方式辦公 上述工作方式的應(yīng)用在帶來更多資訊和更高生產(chǎn)效率的同時(shí) 也給企 業(yè)辦公網(wǎng)絡(luò)帶來更多的安全問題 面臨如下風(fēng)險(xiǎn) 遠(yuǎn)程接入或移動(dòng)辦公會(huì)導(dǎo)致網(wǎng)絡(luò)漏洞越來越多 學(xué)校的終端用戶 遠(yuǎn)程辦公的終端用戶 合作伙伴 來訪客戶等多種終端用戶 接入總局或其他學(xué)校網(wǎng)絡(luò) 網(wǎng)絡(luò)接入點(diǎn)和接入方式增多 導(dǎo)致網(wǎng)絡(luò)漏洞成倍增加 非法終端用戶接入 外來人員在未經(jīng)許可的情況下 能夠輕易接入并訪問公司的網(wǎng)絡(luò) 合法終端用戶越權(quán)訪問 因未對(duì)企業(yè)中的網(wǎng)絡(luò)資源進(jìn)行嚴(yán)格的訪問權(quán)限控制 導(dǎo)致合法終端用戶能夠隨 意訪問企業(yè)中的機(jī)密信息 終端用戶濫用資源 在未經(jīng)許可的情況下 終端用戶隨意使用撥號(hào)上網(wǎng)設(shè)備連接 Internet Microsoft Windows 操作系統(tǒng)存在越來越多的安全漏洞 因終端主機(jī)未及時(shí)安裝補(bǔ)丁 可能招致黑客和惡意用戶的攻擊 病毒泛濫 因未安裝防病毒軟件 終端用戶在上網(wǎng)時(shí)容易感染病毒 并且容易在企業(yè)網(wǎng)中 蔓延和傳播 黑客惡意破壞 黑客會(huì)利用 Microsoft Windows 的某些系統(tǒng)服務(wù)固有的缺陷或通過暴力破解長(zhǎng) 期未使用的賬號(hào)入侵終端主機(jī) 再蓄意破壞企業(yè)中的 IT 系統(tǒng) 隨意共享目錄導(dǎo)致安全隱患和信息泄密 因共享目錄的權(quán)限設(shè)置不當(dāng)導(dǎo)致機(jī)密文件泄密 并容易感染病毒 安全策略不能及時(shí)落實(shí) 管理員缺乏監(jiān)督手段 不能敦促未安裝補(bǔ)丁的終端用戶安裝補(bǔ)丁或未更新病毒 庫(kù)的終端用戶更新病毒庫(kù) 終端用戶的違規(guī)行為得不到監(jiān)控 管理員無法檢查終端用戶是否在上班時(shí)間訪問與工作無關(guān)的網(wǎng)站 最重要的是 缺少取證手段 上網(wǎng)無法進(jìn)行計(jì)費(fèi) 學(xué)校無法對(duì)學(xué)生的上網(wǎng)進(jìn)行計(jì)費(fèi) 計(jì)天 包月 流量計(jì)費(fèi) 時(shí)長(zhǎng)計(jì)費(fèi) 自定義 周期計(jì)費(fèi) 自定義計(jì)費(fèi)策略 本周起不使用不扣費(fèi) 一次付費(fèi)分段開通 分地區(qū)計(jì) 費(fèi)等 2 接入控制方案 在內(nèi)網(wǎng)中 基于交換機(jī)實(shí)現(xiàn)的IP的訪問控制不僅配置管理不夠靈活 而且還存在IP被仿冒 等安全風(fēng)險(xiǎn) 無法徹底解決非法接入和越權(quán)訪問的問題 TSM系統(tǒng)終端用戶的身份認(rèn)證 通過基于用戶角色的網(wǎng)絡(luò)訪問權(quán)限管理 加強(qiáng)內(nèi)網(wǎng)的網(wǎng)絡(luò) 訪問控制 防止非法接入和非授權(quán)訪問 保證企業(yè)內(nèi)網(wǎng)的安全 通過硬件安全網(wǎng)關(guān)進(jìn)行準(zhǔn) 入控制 3 身份認(rèn)證方案 TSM系統(tǒng)建立了完善的接入用戶身份認(rèn)證機(jī)制 支持系統(tǒng)內(nèi)置賬號(hào)和外部數(shù)據(jù)源方式 系 統(tǒng)內(nèi)置賬號(hào)包括普通賬號(hào) MAC賬號(hào) 外部數(shù)據(jù)源賬號(hào)支持從AD賬號(hào) LDAP賬號(hào)和CA 賬號(hào)等第三方的用戶系統(tǒng)中同步賬號(hào) 實(shí)現(xiàn)終端的網(wǎng)絡(luò)準(zhǔn)入前的身份認(rèn)證過程 TSM系統(tǒng)中 終端用戶是以終端角色來進(jìn)行安全策略和網(wǎng)絡(luò)訪問權(quán)限管理的 終端只有完 成身份認(rèn)證才能接入企業(yè)內(nèi)網(wǎng) 因此本次實(shí)施方案需完成終端用戶的認(rèn)證賬號(hào)配置 TSM系統(tǒng)參考現(xiàn)有企業(yè)的組織和管理結(jié)構(gòu) 采用樹狀結(jié)構(gòu)的多級(jí)管理方式 賬號(hào)數(shù)據(jù)源支 持系統(tǒng)內(nèi)置賬號(hào)和外部數(shù)據(jù)源方式 系統(tǒng)內(nèi)置賬號(hào)包括普通賬號(hào) MAC賬號(hào) 外部數(shù)據(jù)源 賬號(hào)支持從AD賬號(hào) LDAP賬號(hào)和CA賬號(hào)等第三方用戶系統(tǒng)中同步賬號(hào) 完成TSM系統(tǒng)的 接入認(rèn)證 4 設(shè)備自發(fā)現(xiàn) 現(xiàn)網(wǎng)網(wǎng)絡(luò)規(guī)模較大 接入內(nèi)網(wǎng)的設(shè)備較多 管理員很難及時(shí)動(dòng)態(tài)滴了解網(wǎng)絡(luò)設(shè)備的接入情 況 建議啟用TSM系統(tǒng)的自動(dòng)網(wǎng)絡(luò)掃描功能 掃描并自動(dòng)分類網(wǎng)絡(luò)中的接入設(shè)備 如交換 路由設(shè)備 PC設(shè)備 服務(wù)器 IP電話 網(wǎng)絡(luò)打印機(jī)等 同時(shí)保證能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn) 的新設(shè)備 對(duì)未安裝TSM代理的外來終端的接入行為進(jìn)行告警 方便管理員了解網(wǎng)絡(luò)終端 的接入情況 5 終端加固管理 企業(yè)內(nèi)網(wǎng)終端眾多 員工的計(jì)算機(jī)水平和信息安全意思參差不齊 由于操作系統(tǒng)安全設(shè)置 不當(dāng)而引起的安全風(fēng)險(xiǎn)越來越明顯 僅通過目前行政管理手段無法保證所有終端的安全性 建議加強(qiáng)對(duì)操作系統(tǒng)的安全加固管理 具體管理方案如下 6 防病毒軟件安全策略 內(nèi)網(wǎng)的辦公終端絕大多數(shù)已經(jīng)安裝了防病毒軟件 但由于強(qiáng)制檢查 導(dǎo)致終端長(zhǎng)期不更新 病毒庫(kù)和病毒引擎版本 使得防病毒軟件形同虛設(shè) 沒有發(fā)揮其重要的終端保護(hù)能力 因此 建議通過TSM系統(tǒng)的防病毒管理策略實(shí)現(xiàn)終端的安全防護(hù) TSM配合企業(yè)自身的防 病毒軟件 通過檢查終端是否安裝 運(yùn)行狀態(tài)以及防病毒軟件的更新狀態(tài) 作為判斷終端 當(dāng)前安全狀態(tài)的一個(gè)依據(jù) 阻止或提示沒有部署殺毒軟件的終端或者殺毒軟件長(zhǎng)期不更新 的終端接入網(wǎng)絡(luò) 保證企業(yè)內(nèi)網(wǎng)運(yùn)行的終端殺毒軟件能夠及時(shí)更新并且有效運(yùn)行 減少病 毒感染和擴(kuò)散的風(fēng)險(xiǎn) 7 強(qiáng)化補(bǔ)丁安裝 加強(qiáng)操作系統(tǒng)和應(yīng)用程序的安全漏洞檢查 把補(bǔ)丁的檢查作為一個(gè)重要的檢查項(xiàng) 檢查操 作系統(tǒng)補(bǔ)丁 IE的SP補(bǔ)丁 OFFICE的SP補(bǔ)丁等 當(dāng)檢查到終端沒有部署必須的補(bǔ)丁的時(shí) 候 TSM系統(tǒng)能夠協(xié)助終端快速完成補(bǔ)丁的修復(fù) 8 超時(shí)自動(dòng)鎖屏 通過屏幕保護(hù)策略檢查終端的屏幕保護(hù)是否啟用 屏幕保護(hù)程序密碼是否設(shè)置以及屏幕保 護(hù)啟動(dòng)時(shí)間是否符合企業(yè)安全要求的安全檢查 保證終端在空閑一定時(shí)間后屏幕保護(hù)程序 自啟動(dòng)的安全要求 滿足企業(yè)終端桌面管理規(guī)范 當(dāng)終端屏幕保護(hù)設(shè)置不符合規(guī)范時(shí) 進(jìn) 行自修復(fù) 9 注冊(cè)表配置管理 通過對(duì)系統(tǒng)注冊(cè)表鍵值檢查 完成終端注冊(cè)表鍵值存在與否的安全性檢查 支持對(duì)終端的 自動(dòng)修復(fù)功能 對(duì)于要求存在的鍵值 如果該鍵值不存在 則添加該鍵值 對(duì)于不允許存 在的鍵值 如果該鍵值存在 則刪除該鍵值 10 冗余賬號(hào)檢查 通過檢查系統(tǒng)冗余賬號(hào) TSM系統(tǒng)能夠協(xié)助管理員發(fā)現(xiàn)終端長(zhǎng)期未使用的臨時(shí)賬號(hào) 降低 企業(yè)終端安全管理風(fēng)險(xiǎn) 11 檢查賬號(hào)安全 通過賬號(hào)的弱口令檢查 賬號(hào)群組檢查 本地密碼策略包括密碼長(zhǎng)度最小值 密碼最長(zhǎng)存 留期屬性檢查等 保證終端操作系統(tǒng)賬號(hào)的安全 12 檢查端口策略 通過檢查終端口策略 有效保證對(duì)于接入網(wǎng)絡(luò)的終端 及時(shí)提醒個(gè)人用戶關(guān)掉無用端口 保證無用服務(wù)的最小化使用原則 13 網(wǎng)絡(luò)共享管理 Window操作系統(tǒng)默認(rèn)情況下對(duì)共享文件夾和共享打印機(jī)設(shè)置為Everyone權(quán)限 如果終端用 戶安全意識(shí)不高的情況下 就會(huì)帶來較大的安全隱患 一方面 網(wǎng)絡(luò)內(nèi)任意終端可能在未 獲得授權(quán)的情況下直接竊取共享信息 另一方面 公開的共享目錄也給病毒的傳播提供了 溫床 TSM的系統(tǒng)安全管理功能 能夠及時(shí)協(xié)助終端用戶發(fā)現(xiàn)并且清理不安全的共享賬號(hào) 14 監(jiān)控非法應(yīng)用和服務(wù) 通過檢查終端的軟件安裝情況和監(jiān)控終端軟件程序的運(yùn)行情況 阻止終端安裝和運(yùn)行非法 應(yīng)用程序 如果發(fā)現(xiàn)安裝或使用了非法軟件 進(jìn)程和服務(wù) 可以通過與準(zhǔn)入控制設(shè)備的聯(lián) 動(dòng)提示或阻止該終端接入網(wǎng)絡(luò) 也可以攔截非法軟件 進(jìn)程和服務(wù)的使用 規(guī)范員工的行 為 同時(shí) 管理員可通過審計(jì)軟件的安裝和使用情況 從而及時(shí)了解安全狀態(tài) 15 終端行為管理 法律規(guī)定了很多網(wǎng)站是非法的 比如有色情 迷信和犯罪相關(guān)的等等 使用寬帶接入互聯(lián) 網(wǎng)后 企業(yè)內(nèi)部網(wǎng)絡(luò)某種程度上成了一種 公共 上網(wǎng)場(chǎng)所 很多與法律相違背的行為都 有可能發(fā)生在內(nèi)部網(wǎng)中 這些事情難以追查 給企業(yè)帶來的法律法規(guī)方面的風(fēng)險(xiǎn) 因此 建議對(duì)員工的網(wǎng)絡(luò)訪問行為進(jìn)行管理 具體管理方案如下 16 監(jiān)控網(wǎng)站訪問 通過對(duì)WEB訪問的監(jiān)控 記錄終端用戶的WEB網(wǎng)站訪問信息 由管理員進(jìn)行統(tǒng)一管理和審 計(jì) 通過這樣的手段 一方面可以管理員工的上網(wǎng)行為 上班時(shí)間屏蔽一些與工作無關(guān)的 網(wǎng)站 另一方面 提供審計(jì)和責(zé)任追溯的途徑 17 軟件安裝標(biāo)準(zhǔn)化 通過軟件黑白名單檢查 檢查終端安裝軟件的列表 可以定義軟件黑名單的違規(guī)軟件列表 和軟件白名單的合法的軟件列表 也可以通過檢查軟件黑白名單規(guī)定只能安裝列表中的軟 件或者必須安裝的軟件 加強(qiáng)企業(yè)桌面軟件統(tǒng)一安裝的標(biāo)準(zhǔn)性 18 IP 訪問和網(wǎng)絡(luò)應(yīng)用程序監(jiān)控 通過對(duì)終端的IP訪問控制和網(wǎng)絡(luò)應(yīng)用程序訪問控制功能 對(duì)于一些安全性要求比較高的業(yè) 務(wù)系統(tǒng) 允許定義基于時(shí)間段的IP訪問規(guī)則 允許配置特定用戶群在下班時(shí)間后不能訪問 一些關(guān)鍵的業(yè)務(wù)系統(tǒng) 防止對(duì)這些關(guān)鍵服務(wù)器可能造成的危害 允許定義網(wǎng)絡(luò)