騰沖縣第八中學網(wǎng)絡(luò)信息化建設(shè)方案.doc

騰沖縣第八中學校園網(wǎng)騰沖縣第八中學校園網(wǎng) 建設(shè)項目技術(shù)建議書建設(shè)項目技術(shù)建議書 目 錄 1項目概述項目概述 4 1 1項目背景 4 1 2現(xiàn)狀分析 4 1 3建設(shè)目標 5 1 4設(shè)計原則 6 2網(wǎng)絡(luò)建設(shè)方案網(wǎng)絡(luò)建設(shè)方案 7 2 1概述 7 2 1 1項目技術(shù)要求 7 2 2有線網(wǎng)絡(luò)方案設(shè)計 8 2 2 1有線網(wǎng)絡(luò)組網(wǎng)方案 8 2 2 2核心層設(shè)計方案 9 2 2 3接入層設(shè)計方案 10 2 2 4接入層網(wǎng)絡(luò)隔離 12 2 2 5出口設(shè)計 13 2 3無線網(wǎng)絡(luò)的設(shè)計方案 14 2 3 1概述 14 2 3 2無線基本概念 15 2 3 3覆蓋區(qū)域描述 21 2 3 4無線局域網(wǎng)拓撲 22 2 3 5無線 VLAN 規(guī)劃 23 3統(tǒng)一身份認證平臺統(tǒng)一身份認證平臺 24 4網(wǎng)絡(luò)管理規(guī)劃網(wǎng)絡(luò)管理規(guī)劃 30 4 1 網(wǎng)管需求分析 30 4 2 網(wǎng)絡(luò)設(shè)備的管理 31 5可靠性設(shè)計可靠性設(shè)計 32 5 1 網(wǎng)絡(luò)可靠性設(shè)計 32 5 2 設(shè)備高可靠性設(shè)計 34 5 2 1重要部件冗余 34 5 2 2設(shè)備自身安全 34 5 2 3接入交換機的堆疊 iStack 35 6方案總結(jié)方案總結(jié) 36 6 1 方案特色 36 7設(shè)備介紹設(shè)備介紹 37 7 1 核心交換機 S7706 37 7 1 1產(chǎn)品規(guī)格 40 7 1 2解決方案應(yīng)用 43 7 2 接入交換機 S5700 LI 44 7 2 1產(chǎn)品規(guī)格 47 7 3 無線 POE 交換機 S5700 SI 50 7 4 無線控制器 AC6605 56 7 5 室內(nèi)放裝型 AP6010SN 57 7 6 室內(nèi)分布式 AP6310SN 61 7 7 出口安全網(wǎng)關(guān) USG5120HSR 65 USG5120BSR HSRUSG5120BSR HSR 65 USG5150BSR HSRUSG5150BSR HSR 65 7 8 統(tǒng)一身份認證平臺 TSM 69 校園網(wǎng)信息建設(shè)項目技術(shù)建議書 1 項目概述項目概述 1 1項目背景 21世紀人類全面進入信息化時代 教育正在走向數(shù)字化 信息化 計算機 網(wǎng)絡(luò) 多 媒體技術(shù)已被越來越多的學校采用 成為教育教學的支撐技術(shù) 教育技術(shù)的現(xiàn)代化正在改 變著教學手段 教學方法 必將帶來教學內(nèi)容 教學觀念的更新 教育教學改革勢在必行 因此 越來越多的學校對校園網(wǎng)建設(shè)躍躍欲試 希望藉此一步跨入數(shù)字時代 1 2現(xiàn)狀分析 學校目前主要硬件設(shè)備使用多年 隨著辦公自動化 網(wǎng)絡(luò)多媒體教學 學生自主學習 電子圖書館 電子郵件 遠程教育 校園一卡通工程等系統(tǒng)的逐步建設(shè) 目前園區(qū)網(wǎng)絡(luò)的 帶寬已遠遠不能滿足應(yīng)用的需求 而且設(shè)備老舊 故障率不斷上升 給老師辦公教學和學 生學習實驗帶來極大的不便 主要有以下問題 1 硬件基礎(chǔ)設(shè)施老化 現(xiàn)有設(shè)備大部分運行時間長 老化嚴重 故障率高 性能難以滿足現(xiàn)有網(wǎng)絡(luò)應(yīng)用的需 求 2 應(yīng)用系統(tǒng)缺乏 目前學校某些部門缺乏信息化 數(shù)字化校園的新思維模式 很多的工作仍然未能擺脫 煩瑣的手工操作和信息傳遞 某些信息的傳遞不及時甚至是失真 為學校的管理和領(lǐng)導(dǎo)的 決策帶來了一定困難 3 已建應(yīng)用系統(tǒng)相互獨立 已建信息系統(tǒng)數(shù)據(jù) 編碼不統(tǒng)一 造成各應(yīng)用系統(tǒng)間相互獨立 形成信息孤島 資源 不能共享 花巨資建立的應(yīng)用系統(tǒng)不能發(fā)揮其效用 形成資源浪費 1 3建設(shè)目標 本次校園網(wǎng)改造工程建設(shè)目標是 采用1000Mbps光纖交換網(wǎng)絡(luò)實現(xiàn)新老校區(qū)內(nèi)部高速 互聯(lián) 光纜連接全校樓宇 辦公樓 教學區(qū) 綜合樓 實驗樓 核心機房設(shè)置配置兩臺 核心交換機 各樓宇根據(jù)點位配置接入交換機 通過千兆光纖雙上行到兩臺核心交換機上 通過接入交換機將學校的各種PC機 服務(wù)器 終端設(shè)備和局域網(wǎng)連接起來 整合現(xiàn)有的網(wǎng) 絡(luò)資源 改善與Internet Cernet相連的網(wǎng)絡(luò)性能 構(gòu)建一個以計算機多層交換網(wǎng)絡(luò)為框架 以網(wǎng)絡(luò)基本應(yīng)用 計算機多媒體輔助教學 電子化圖書館 教學管理辦公自動化為平臺的 校園網(wǎng) 并逐步形成數(shù)字化校園網(wǎng)絡(luò) 網(wǎng)絡(luò)改造后實現(xiàn)以下功能 1 辦公自動化 基于Web綜合管理信息系統(tǒng) 提供行政 人事 學籍 教學 后勤 財務(wù)管理 公文收 發(fā)管理 教師檔案管理 學生檔案管理 科技檔案管理等 使學校日常辦公無紙化 減少 辦公開支 提高辦公效率 2 網(wǎng)絡(luò)多媒體教學 將計算機多媒體視聽引入課堂教學 使聲音 圖像 動畫的普遍采用可以大大提高教 學效果 使每一節(jié)課都能夠得到有效的作用 3 學生自主學習 針對不同的學生 提供不同的教學內(nèi)容 采取不同的教學手段 主要采用基于 VOD WEB及FTP的課件 光盤軟件 Internet資源 學生可以根據(jù)自己的需要自由選擇所需 內(nèi)容 4 電子圖書館 基于Web的圖書音像資料供學生隨時閱讀 并與Internet連接 使圖書館得到進一步拓 展 使學生能夠得到近乎無限的網(wǎng)上資源 5 電子郵件 電子郵件是Internet上的一個最重要的應(yīng)用 將為每一位教師和學生開設(shè)一個電子郵 件賬號 利用電子郵件學生可以和老師 同學及家長進行交流 同時也可以和國內(nèi)外等地 學校的學生進行交流 6 遠程教育 實現(xiàn)校內(nèi)外連通 師生在線 交互式學習 輔導(dǎo) 測驗等功能 7 校園移動計算 采用有線和無線網(wǎng)絡(luò)混合建構(gòu) 方便學生 老師移動上網(wǎng)學習和辦公 1 4設(shè)計原則 針對IT平臺建設(shè)的基本要求和投入建設(shè)使用之后的用戶實際問題 主要從如下幾個方 面重點考慮 構(gòu)建一個可靠 安全 穩(wěn)定 靈活的IT平臺 助力IT資源可以真正的為企業(yè) 服務(wù) 可靠性 利用電信級產(chǎn)品構(gòu)建一個高可靠的網(wǎng)絡(luò)環(huán)境 保證整個網(wǎng)絡(luò)的可靠運行 可靠性設(shè)計可以達到99 999 可以滿足實際的辦公 業(yè)務(wù)等的要求 安全性 網(wǎng)絡(luò)設(shè)計的各個環(huán)節(jié) 融合了網(wǎng)絡(luò)安全 應(yīng)用安全 接入安全 終端安 全 數(shù)據(jù)安全等各個方面 可以很好的滿足網(wǎng)絡(luò)高安全的要求 管理性 網(wǎng)絡(luò)設(shè)計考慮了日后的網(wǎng)絡(luò)管理 每個環(huán)節(jié)的設(shè)計都考慮了業(yè)務(wù)開展的 便利性 使得網(wǎng)絡(luò)可以真正的為企業(yè)服務(wù) 為后續(xù)業(yè)務(wù)的開展奠定了良好的基礎(chǔ) 集成性 從用戶的實際需要考慮對IT資源的每個環(huán)節(jié)進行設(shè)計 保證了網(wǎng)絡(luò)在日 后交付使用的時候 可以更好的滿足業(yè)務(wù)變化的要求 充分考慮了業(yè)務(wù)變化性的 特點 進行了網(wǎng)絡(luò)彈性設(shè)計 使得IT技術(shù)貼近用戶 本次校園網(wǎng)改造將從校園網(wǎng)建設(shè)的需求出發(fā) 以學校的教學 試驗 辦公管理體系本次校園網(wǎng)改造將從校園網(wǎng)建設(shè)的需求出發(fā) 以學校的教學 試驗 辦公管理體系 為主導(dǎo) 建設(shè)安全 可靠 可管理 可控制的校園信息化網(wǎng)絡(luò)為主導(dǎo) 建設(shè)安全 可靠 可管理 可控制的校園信息化網(wǎng)絡(luò) 根據(jù)學校的現(xiàn)狀和進一步的需求目標 特點及實現(xiàn)的功能與技術(shù)要求 對總體方案 的設(shè)計 網(wǎng)絡(luò)設(shè)備選型 采用的技術(shù)路線及工程實施的過程 均充分考慮項目方案的實用 性 經(jīng)濟性 先進性及可擴展性 保護現(xiàn)有投資 可平滑升級 尤其注重了網(wǎng)絡(luò)設(shè)備的 安全可靠 易維護 易操作 突出了計算機 網(wǎng)絡(luò)及多媒體技術(shù)對教育過程的實用與好用 綜合考慮了項目中各子系統(tǒng)相對獨立性與關(guān)聯(lián)性 方案設(shè)計能夠體現(xiàn)出其1 1 2的效果 具 體的實施原則如下 1 好的開放性和可擴展性 校園網(wǎng)絡(luò)應(yīng)具有的開放性 這種開放性依靠標準化實現(xiàn) 使符合標準的計算機系統(tǒng) 很容易進行網(wǎng)絡(luò)的互連 因此在網(wǎng)絡(luò)建設(shè)中 網(wǎng)絡(luò)體系結(jié)構(gòu)和通信協(xié)議應(yīng)選擇廣泛使用的 國際標準 使得校園網(wǎng)成為一個完全開放式的網(wǎng)絡(luò)環(huán)境 在校園網(wǎng)絡(luò)平臺建設(shè)中 盡量采 取成熟先進的網(wǎng)絡(luò)技術(shù) 統(tǒng)一的網(wǎng)絡(luò)標準和主流的網(wǎng)絡(luò)設(shè)備 使得網(wǎng)絡(luò)結(jié)構(gòu)更易于擴展 升級和維護 2 校園網(wǎng)軟件平臺的針對性 校園網(wǎng)的應(yīng)用和服務(wù)的對象是學校的教師 學生 這就要求校園網(wǎng)軟件平臺的建設(shè) 應(yīng)以教學為核心 建立起一個在技術(shù)上具有先進性 在教學過程的各階段應(yīng)用上具有靈活 性 多樣性和針對性的數(shù)字化校園網(wǎng) 3 高度的安全性和可靠性 對于網(wǎng)絡(luò)系統(tǒng) 應(yīng)確保系統(tǒng)運行可靠 對關(guān)鍵部位提供容錯能力 同時建立完善的 安全管理體系 4 經(jīng)濟實用性 盲目地追求技術(shù) 會建成一個不穩(wěn)定 不成熟產(chǎn)品的實驗臺 單純高性能 只會帶來 難以承受的高額投資 所以 網(wǎng)絡(luò)系統(tǒng)建設(shè)應(yīng)采用成熟 適用 實用 好用的技術(shù) 力爭 以最小的投資得到最大的滿足 2 網(wǎng)絡(luò)建設(shè)方案網(wǎng)絡(luò)建設(shè)方案 2 1概述 現(xiàn)代教育過程的四要素為 教師 學生 教學內(nèi)容及教育技術(shù) 以計算機 網(wǎng)絡(luò) 多 媒體集成的現(xiàn)代教育技術(shù) 對教育過程的支持 隨著教育信息化的發(fā)展 顯得越來越重要 因此 項目建設(shè)的指導(dǎo)方針為 1 以應(yīng)用為主 為校領(lǐng)導(dǎo)決策 業(yè)務(wù)管理 教學保障和管理提供服務(wù) 2 采用成熟先進的技術(shù) 實用 夠用 又留有發(fā)展余地 3 統(tǒng)一標準 逐步建設(shè) 充分考慮四期工程規(guī)劃及網(wǎng)絡(luò)的擴展性 4 充分重視網(wǎng)絡(luò)系統(tǒng)和信息的安全 5 在限定的時間和要求內(nèi) 降低費用的支出 提高系統(tǒng)的性能價格比 6 組織各方面的力量 網(wǎng)絡(luò)通信系統(tǒng) 網(wǎng)絡(luò)資源系統(tǒng)同步建設(shè) 2 1 1項目技術(shù)要求 1 采用先進成熟的網(wǎng)絡(luò)技術(shù) 2 統(tǒng)一技術(shù)規(guī)范 標準和方案 統(tǒng)一設(shè)備選性 統(tǒng)一組織實施 3 網(wǎng)絡(luò)系統(tǒng)采用三層架構(gòu) 采用TCP IP協(xié)議棧 采用統(tǒng)一的客戶端應(yīng)用軟件 4 網(wǎng)絡(luò)系統(tǒng)采用全交換網(wǎng)絡(luò) 主干1000Mbps 核心層 接入層采用冗余連接 千 兆到桌面 5 網(wǎng)絡(luò)系統(tǒng)按部門 業(yè)務(wù)劃分VLAN 網(wǎng)絡(luò)多層交換采用802 1Q虛擬干道協(xié)議 802 1D生成樹協(xié)議 802 1X認證協(xié)議和802 1P優(yōu)先隊列排序 6 采用接入認證綜合管理系統(tǒng)對接入用戶進行認證及計費 7 網(wǎng)絡(luò)系統(tǒng)必須滿足標準化的要求 以實現(xiàn)開放性 可擴展性 8 重要部件 文擋要有備份 保證系統(tǒng)365天 24小時運轉(zhuǎn) 9 重視數(shù)據(jù)的安全與保密 建立完善的網(wǎng)絡(luò)安全管理系統(tǒng) 2 2有線網(wǎng)絡(luò)方案設(shè)計 校園網(wǎng)是各種應(yīng)用的統(tǒng)一通信平臺 平均無故障時間以及故障恢復(fù)時間 要保持在一 個可容忍的許可范圍之內(nèi) 在這種前提下 主干設(shè)備應(yīng)有一定的冗余度 這種冗余度不單 只是設(shè)備級的 也應(yīng)該考慮物理線路 數(shù)據(jù)鏈路層 網(wǎng)絡(luò)層以及應(yīng)用層的容錯能力 該主干網(wǎng)在方案上有二個重點 主干網(wǎng)技術(shù)策略 主干交換機的基本要求 主干網(wǎng)技術(shù)的基本要求可概括為 千兆傳輸距離550m以內(nèi)采用50 125多模光纜 千兆傳輸 距離大于550m 小于5000m采用9 125單模光纜 百兆傳輸距離2000m以內(nèi)采用50 125多模光 纜 百兆傳輸距離大于2000m采用9 125單模光纜 2 2 1有線網(wǎng)絡(luò)組網(wǎng)方案 按照網(wǎng)絡(luò)分層設(shè)計的原則 整個網(wǎng)絡(luò)采用扁平化設(shè)計理念 分成核心層 接入層 出口區(qū)域幾個部分 整個網(wǎng)絡(luò) 的建設(shè)方案如圖1所示 出口區(qū)域 部署一臺綜合安全網(wǎng)關(guān) 按照同時在線1200人的規(guī)模設(shè)計 考慮到校園網(wǎng)用戶對帶寬 超級利用性 整個網(wǎng)絡(luò)的出口采用千兆設(shè)計 千兆出口網(wǎng)關(guān) 千兆流控 滿足整個學校未 來10年內(nèi)的發(fā)展需要 另外 出口區(qū)域結(jié)合整個網(wǎng)絡(luò)的安全認證系統(tǒng) 可實現(xiàn)基于用戶實名的準出控制 滿 足大規(guī)模用戶使用 實現(xiàn)基于實名的NAT日志 URL日志 上網(wǎng)時間等 滿足公安部82號 令的要求 實現(xiàn)基于用戶實名的帶寬控制 另外 網(wǎng)絡(luò)出口區(qū)域部署VPN 讓校領(lǐng)導(dǎo) 老師出差不在學校 通過在互聯(lián)網(wǎng)上建立 VPN隧道 訪問校園網(wǎng)絡(luò)應(yīng)用系統(tǒng) 完成審批流程等 核心層 核心層采用模塊化萬兆交換機 支持40G 100G端口擴展 滿足未來網(wǎng)絡(luò)發(fā)展需求 啟 用三層轉(zhuǎn)發(fā)功能 和接入層設(shè)備提供冗余鏈路 使得整個網(wǎng)絡(luò)的路由交換運行無阻 同時 內(nèi)外業(yè)務(wù)資源 如服務(wù)器區(qū)和一些重要的終端可以直接接入到核心層 滿足高性能的要求 同時支持主控和業(yè)務(wù)口CSS集群技術(shù) 將多臺設(shè)備虛擬化為一臺邏輯設(shè)備 在可靠性 交 換效率 靈活性和易管理性方面提高性能 接入層 接入層由千兆交換機和無線接入交換機等接入設(shè)備構(gòu)成 可以滿足不同終端的接入要 求 接入交換機通過千兆光纖直接連接到核心交換機上 實現(xiàn)和核心層的互訪 設(shè)備選型 上要實現(xiàn)方便靈活接入的同時保障網(wǎng)絡(luò)帶寬 提供的QinQ技術(shù)保證了每端口每VLAN的設(shè) 計 在終端管理上提供了良好的技術(shù)保證 按照網(wǎng)絡(luò)高可靠的設(shè)計原則 核心網(wǎng)絡(luò)采用雙平面組網(wǎng) 可以最大程度上保證網(wǎng)絡(luò)的100 可靠 核心設(shè)備采用雙引擎設(shè)計 接入層采用雙歸屬主備鏈路 網(wǎng)絡(luò)設(shè)備秉承電信級可靠性設(shè)計理念 單板熱插拔 電源冗余 風扇熱插拔等 高可靠的模型是根據(jù)組網(wǎng)方案來統(tǒng)一考慮的 主要的高可靠的手段有 A B雙平面 雙機模式 主備模式 鏈路冗余 設(shè)備結(jié)構(gòu)冗余等 為了保障校園網(wǎng)絡(luò)的高可靠性 采用 雙平面和主備等冗余結(jié)構(gòu) 核心設(shè)備采用2臺核心交換機設(shè)備 設(shè)備間采用2條線路連接 實現(xiàn)雙機熱備和負荷分擔 提高設(shè)備的利用率和網(wǎng)絡(luò)的安全 接入交換機分別采用雙鏈路 接入核心交換機 保障鏈路冗余和鏈路帶寬 2 2 2核心層設(shè)計方案 設(shè)計要點 提供高速的三層交換骨干 核心層不進行終端系統(tǒng)的連接 核心層不設(shè)計要點 提供高速的三層交換骨干 核心層不進行終端系統(tǒng)的連接 核心層不 實施影響高速交換性能的實施影響高速交換性能的ACL等功能等功能 網(wǎng)絡(luò)核心區(qū)作為整個校園網(wǎng)的數(shù)據(jù)交換核心 是教育應(yīng)用系統(tǒng)可靠和高效率運行的基 礎(chǔ) 在核心區(qū)配置華為高吞吐量核心萬兆全分布式線速路由交換機S7706 接入各個功能區(qū) 域 下行千兆光纖連接接入交換機 形成千兆無阻塞線速轉(zhuǎn)發(fā)骨干網(wǎng) 核心設(shè)備采用分布 式交換架構(gòu) 通過獨立的控制引擎 檢測引擎 維護引擎為系統(tǒng)提供強大的控制能力和高 可靠保障 為了簡化網(wǎng)絡(luò)部署 簡化網(wǎng)絡(luò)管理 并提高故障恢復(fù)的速度 核心層需支持采用虛擬交 換架構(gòu)技術(shù) 通過跨設(shè)備鏈路聚合與匯聚層設(shè)備互聯(lián) 1 設(shè)備需支持運營級 滿足學校業(yè)務(wù)不間斷的需求 2 核心設(shè)備支持引擎冗余 電源冗余 業(yè)務(wù)線卡熱插拔 支持虛擬交換技術(shù) 保證 核心的高融合和高可靠性 3 核心設(shè)備支持模塊化軟件操作系統(tǒng)平臺 便于多業(yè)務(wù)擴展支持 支持操作系統(tǒng)的 免費升級 全面支持 IPv6 4 核心設(shè)備具有較強的自我防御機制 為此 本次建設(shè)選用華為S7700作為騰沖第一職業(yè)高級中學的的核心交換機 S7700系 列是華為公司面向下一代企業(yè)網(wǎng)絡(luò)架構(gòu)而推出的新一代高端智能路由交換機 該產(chǎn)品基于 華為公司智能多層交換的技術(shù)理念 在提供穩(wěn)定 可靠 安全的高性能L2 L4層交換服務(wù) 基礎(chǔ)上 進一步提供MPLS VPN 業(yè)務(wù)流分析 完善的QOS策略 可控組播 資源負載均 衡 一體化安全等智能業(yè)務(wù)優(yōu)化手段 同時具備超強擴展性和可靠性 S7700系列廣泛適用于園區(qū)網(wǎng)絡(luò)和數(shù)據(jù)中心網(wǎng)絡(luò) 可對無線 話音 視頻和數(shù)據(jù)融合網(wǎng) 絡(luò)進行先進的控制 幫助企業(yè)構(gòu)建交換路由一體化的端到端融合網(wǎng)絡(luò) 128G槽位帶寬 100GE Ready 480個萬兆端口 24個40GE端口 創(chuàng)新的CSS交換網(wǎng)集群 硬件級以太OAM BFD 左后風道 高密布線 S7700系列提供S7703 S7706 S7712三種產(chǎn)品形態(tài) 2 2 3接入層設(shè)計方案 千兆到桌面接入 根據(jù)接入密度選擇型號 24口接入或48口接入 校園網(wǎng)目前的業(yè)務(wù)應(yīng)用主要為桌面辦公系統(tǒng) 教學課件系統(tǒng) 互聯(lián)網(wǎng)業(yè)務(wù) 網(wǎng)絡(luò)間要 在接入層必須對必要的業(yè)務(wù)劃分VLAN VLAN劃分的方法可以基于端口 基于用戶的業(yè)務(wù) 等 為了滿足VLAN的靈活劃分及對終端安全的控制 接入交換機應(yīng)具備強2層特性 支持 防止DOS ARP攻擊功能 ICMP防攻擊 支持IP MAC 端口 VLAN的組合綁定 同時 只能智能節(jié)能功能 通過匹配端口Link Down Up 光模塊在位 不在位 配置Shut Down Undo Shut Down 空閑時段 繁忙時段等應(yīng)用場景 達到應(yīng)用中大幅度提高動態(tài)節(jié) 能技術(shù)應(yīng)用比例 節(jié)省設(shè)備耗電量的目的 應(yīng)具備能效以太網(wǎng) EEE 端口能量檢測 CPU動態(tài)調(diào)頻 設(shè)備休眠等技術(shù)已實現(xiàn)設(shè)備智能低功耗設(shè)計 點位設(shè)計如下 建筑建筑樓層樓層房間數(shù)點位數(shù)合計 24 口交 換機數(shù) 量 48 口交 換機數(shù) 量 1816 2714 3816 實驗樓 4714 6011 實驗樓 110206611 21326 31020 1510 2714 3714 綜合樓 41020 5811 1612 2816 教學樓 白色 3816 4411 1612 2612 3612 教學樓 粉色 4612 4811 合計合計 55 共部署48口接入交換機5臺 24口交換機5臺 匯聚交換機46臺 覆蓋全校約300個信 息點 為保證接入網(wǎng)絡(luò)的安全可靠 本次配置建議使用華為S5700 LI系列交換機 S5700 LI 系列企業(yè)交換機 以下簡稱S5700 LI 是華為公司自主研發(fā)的新一代綠色節(jié)能的二層全 千兆以太網(wǎng)交換機 提供靈活的全千兆以太網(wǎng)接入端口 豐富的業(yè)務(wù)特性 支持EEE節(jié)能 特性 支持整機休眠功能 可以為用戶提供綠色 易管理 易擴展 低成本的千兆到桌面 的解決方案 S5700 LI能基于五元組 IP優(yōu)先級 TOS DSCP IP協(xié)議類型 ICMP類型 TCP源 端口 VLAN 以太網(wǎng)幀協(xié)議類型 CoS等信息 實現(xiàn)復(fù)雜流分類功能 S5700 LI支持基于流的雙速三色限速功能 每端口支持8個優(yōu)先級隊列 支持 WRR DRR PQ WRR PQ DRR PQ多種隊列調(diào)度算法 有效地保證話音 視頻和 數(shù)據(jù)業(yè)務(wù)質(zhì)量 S5700 LI提供多種安全保護功能 支持DoS Denial of Service 類防攻擊 網(wǎng)絡(luò)的防 攻擊 用戶的防攻擊等功能 其中DoS類防攻擊主要包括SYN Flood Land Smurf ICMP Flood 網(wǎng)絡(luò)的防攻擊主要是指STP的BPDU Root攻擊 用 戶的防攻擊涉及DHCP仿冒攻擊 中間人攻擊 IP MAC Spoofing 攻擊 DHCP request flood 改變 CHADDR 值的 DoS 攻擊等等 S5700 LI支持通過建立和維護DHCP Snooping 綁定表 偵聽接入用戶的MAC IP 地 址 租用期 VLAN ID 接口等信息 解決 DHCP 用戶的IP 和端口跟蹤定位問題 同時 對不符合綁定表項的非法報文 ARP欺騙報文 擅自修改IP地址等 直接丟棄 有效防止 黑客或攻擊者通過ARP報文實施園區(qū)網(wǎng)常見的 中間人 攻擊 利用DHCP Snooping 的 信任端口特性還可以保證DHCP Server 的合法性 S5700 LI支持ARP表項嚴格學習功能 可以防止因ARP欺騙攻擊將交換機ARP表項占 滿 導(dǎo)致正常用戶無法上網(wǎng) 同時 支持IP Source Check 特性 防止包括MAC 欺騙 IP欺騙 MAC IP欺騙在內(nèi)的非法地址仿冒帶來的DOS攻擊 S5700 LI支持集中式MAC地址認證和802 1x 認證 支持用戶賬號 IP MAC VLAN 端口 客戶端是否安裝病毒防范等用戶標識元素的動態(tài)或靜態(tài)綁定 同時實現(xiàn)用戶策略 VLAN QoS ACL 的動態(tài)下發(fā) S5700 LI支持基于端口的源MAC地址學習限制功能 有效防止用戶源MAC欺騙沖擊設(shè) 備MAC表項 導(dǎo)致正常用戶無法學到MAC表而泛洪的問題等 2 2 4接入層網(wǎng)絡(luò)隔離 在接入層必須對必要的業(yè)務(wù)劃分VLAN VLAN劃分的方法可以基于端口 基于用戶的 業(yè)務(wù)等 圖 1 接入層 VLAN 劃分組網(wǎng)示意圖 所提供接入交換機具有靈活的VLAN劃分方法 可以有效的防止ARP等二層攻擊 同時支持QinQ技術(shù) 可以突破4K個VLAN的限制 為將來網(wǎng)絡(luò)的合理改造以及擴 容打下堅實的基礎(chǔ) 采用QinQ技術(shù)可以提供每用戶每VLAN的組網(wǎng)方式 將VLAN終結(jié)在核心層上 圖 2 采用 QinQ 技術(shù)隔離終端 QinQ技術(shù)采用嵌套VLAN技術(shù) 突破了4K VLAN的限制 無論何種接入設(shè)備都可以滿 足整個網(wǎng)絡(luò)可靠性 安全的設(shè)計 同時每個終端一個VLAN的設(shè)計方式保證了二層方式的 終端是隔離的 防止了廣播風波 ARP病毒等對局域網(wǎng)危害很大的不安全因素的蔓延 采用這種方式的組網(wǎng)可以大大提高整網(wǎng)的可靠性和安全性 使得網(wǎng)絡(luò)對二層設(shè)備的依 賴降低 并且有助于降低建設(shè)成本 因為所有的終端訪問都必須經(jīng)過匯聚交換 這樣的網(wǎng) 絡(luò)設(shè)計非常方便網(wǎng)絡(luò)的管理 控制 避免因為流量的過渡分散造成的安全失控 2 2 5出口設(shè)計 考慮到外網(wǎng)攻擊很多 在出口部署安全網(wǎng)關(guān) 對內(nèi)外網(wǎng)進行安全隔離 進行NAT轉(zhuǎn)換 和路由 同時防火墻提供攻擊防范和url過濾等功能 對外網(wǎng)來的攻擊進行防御 安全網(wǎng)關(guān)設(shè)備實現(xiàn)如下功能 安全網(wǎng)關(guān)設(shè)備實現(xiàn)如下功能 1 安全隔離 安全網(wǎng)關(guān)的安全隔離是基于安全區(qū)域 這樣的設(shè)計模型為用戶在實 際使用統(tǒng)一安全網(wǎng)關(guān)的時候提供了十分良好的管理模型 華為統(tǒng)一安全網(wǎng)關(guān)提 供了基于安全區(qū)域的隔離模型 每個安全區(qū)域可以按照網(wǎng)絡(luò)的實際組網(wǎng)加入任 意的接口 因此統(tǒng)一安全網(wǎng)關(guān)的安全管理模型是不會受到網(wǎng)絡(luò)拓撲的影響 2 防 DDOS 安全網(wǎng)關(guān)產(chǎn)品根據(jù)數(shù)據(jù)報文的特征 以及 Dos 攻擊的不同手段 可 以針對 ICMP Flood SYN Flood UDP Flood 等各種 Dos 攻擊手段進行 Dos 攻擊 的防御 3 URL 過濾功能 能提供 URL 黑 白名單功能 支持前綴匹配 后綴匹配 關(guān)鍵 字匹配等 支持用戶自定義 URL 功能 可自定義分類以及自定義 URL URL 過 濾響應(yīng)方式可以設(shè)置為禁止或允許 禁止方式下支持返回頁面通知 頁面內(nèi)容 可自定義 支持 URL 訪問日志記錄 支持日志歸并 URL 分類大類 43 個 小 類 127 個 URL 特征庫數(shù)量 6500 萬條 支持 URL 熱點庫功能 且熱點庫支 持升級 4 防火墻 NAT 轉(zhuǎn)換 在 IPV4 由于公網(wǎng) IP 少 需要防火墻提供 NAT 地址轉(zhuǎn)換 實現(xiàn)對公網(wǎng)的業(yè)務(wù)訪問需求 需要支持包括源 IP 地址轉(zhuǎn)換 目的 IP 地址轉(zhuǎn)換 端口地址轉(zhuǎn)換 靜態(tài) IP 地址轉(zhuǎn)換 IP 地址池轉(zhuǎn)換等 支持擴展 NAT 功能 可 實現(xiàn)單個公網(wǎng) IP 的無限地址轉(zhuǎn)換 考慮到 FTP H 323 SIP 等它們報文的數(shù)據(jù) 部分可能包含 IP 地址或端口信息 需要支持 FTP H 323 SIP 等各種應(yīng)用協(xié)議 5 路由 支持靜態(tài)路由 路由策略 策略路由 RIP OSPF BGP MPLS ISIS 等 路由協(xié)議 6 高可靠性 支持 HRP Huawei Redundancy Protocol 協(xié)議實現(xiàn)雙機熱備份功 能 包括主備備份 Active Standby 和負載分擔 Active Active 兩種方 式 HRP 負責在主 備設(shè)備之間備份關(guān)鍵配置命令和會話表狀態(tài)信息 從而確 保主用設(shè)備出現(xiàn)故障時能由備份設(shè)備平滑地接替工作 2 3無線網(wǎng)絡(luò)的設(shè)計方案 2 3 1 概述 有線網(wǎng)絡(luò)建設(shè)經(jīng)過改造后 已初具規(guī)模 1000Mbps 光纜敷設(shè)到全校大部分的樓宇 如何將網(wǎng)絡(luò)延伸到校園的每一個角落 為學生和教師提供一個隨時 隨地使用網(wǎng)絡(luò)的環(huán)境 是擺在我們面前的重要任務(wù) 無線接入技術(shù)與光纖接入 ADSL 接入 以太網(wǎng)接入等技術(shù)相比 具有投資少 建 網(wǎng)周期短 提供業(yè)務(wù)快等優(yōu)勢 在無線接入領(lǐng)域中 固定無線接入正走向成熟 其應(yīng)用步 伐不斷加快 而其中無線局域網(wǎng)技術(shù)又以其提供方便 快捷的組網(wǎng)方式等優(yōu)勢 倍受矚目 因此 我們采用有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò) 802 11b 802 11g 融合的策略 將網(wǎng)絡(luò)應(yīng) 用延伸到各個辦公室 多媒體教室 校園活動場所等空間 提供教學視頻的無線上傳及下 載 方便教學工作的開展 2 3 2無線基本概念 2 3 3 1網(wǎng)絡(luò)架構(gòu)模型網(wǎng)絡(luò)架構(gòu)模型 WLAN網(wǎng)絡(luò)在部署過程中 根據(jù)不同的需求有多種實現(xiàn)形式 根據(jù)網(wǎng)絡(luò)架構(gòu)分為 自治式架構(gòu) 即 FAT AP 或胖 AP 集中式架構(gòu) 即 FIT AP 或瘦 AP 自治式架構(gòu)和集中式架構(gòu)兩種網(wǎng)絡(luò)結(jié)構(gòu)比較如表1 1所示 表 1 1 自治式架構(gòu)和集中式架構(gòu)比較表 項目自治式架構(gòu)集中式架構(gòu) 適用場景微型企業(yè) 個人新生方式 增強管理 安全性傳統(tǒng)加密 認證方式 普通安 全性 基于用戶位置的安全策略 高安全性 網(wǎng)絡(luò)管理每 AP 需要單獨下發(fā)配置文件AC 上統(tǒng)一配置 AP 本身零 配置 維護簡單 用戶管理類似有線 根據(jù) AP 接入的有 線端口區(qū)分權(quán)限 虛擬專用組方式 根據(jù)用戶 名區(qū)分權(quán)限 使用靈活 WLAN 組網(wǎng)規(guī)模L2 漫游 適合小規(guī)模組網(wǎng)L2 L3 漫游 拓撲無關(guān)性 適合大規(guī)模組網(wǎng) 增值業(yè)務(wù)能力實現(xiàn)簡單數(shù)據(jù)接入可擴展豐富業(yè)務(wù) 自治式架構(gòu) 該架構(gòu)下AP實現(xiàn)所有無線接入功能 不需要AC設(shè)備形態(tài) 如圖1 2所示 圖 1 2 WLAN 自治式架構(gòu)圖 認證服務(wù)器 DHCP DNS 服務(wù)器 eSight網(wǎng)管 FAT AP FAT AP 園園區(qū)區(qū)網(wǎng)網(wǎng) WLAN早期廣泛采用自治式架構(gòu) 隨著企業(yè)大量部署AP后 對這些AP進行配置 升級軟件 等管理工作將給用戶帶來很高的操作成本 管理成本提高 自治式架構(gòu)應(yīng)用逐步減少 集中式架構(gòu) 該架構(gòu)通過無線控制器 AC 集中管理 控制多個AP 如圖1 3所示 所有無線接入功能 由AP和AC共同完成 AC 完成網(wǎng)絡(luò)具有重要意義的功能 例如移動管理 身份驗證 VLAN 劃分 射頻 資源管理 無線 IDS Intrusion Detection Systems 和數(shù)據(jù)包轉(zhuǎn)發(fā)等 AP 完成無線空口的控制 例如無線信號發(fā)射與探測響應(yīng) 數(shù)據(jù)加密解密 數(shù)據(jù) 傳輸確認 空口數(shù)據(jù)優(yōu)先級管理等等 圖 1 3 WLAN 集中式架構(gòu)圖 認證服務(wù)器 DHCP DNS 服務(wù)器 eSight網(wǎng)管 FIT AP FIT AP AC 園園區(qū)區(qū)網(wǎng)網(wǎng) AP和AC間采用CAPWAP隧道協(xié)議進行通訊 AC與AP間可以是直連或者穿越Layer 2 Layer 3網(wǎng)絡(luò) CAPWAP協(xié)議是基于UDP傳輸層的應(yīng)用層協(xié)議 協(xié)議傳遞的信息分為兩類 控制信息 和數(shù)據(jù)信息 控制信息負責 AC 與 AP 之間的管理的交互操作 包括 AP 自動發(fā)現(xiàn) AC AC 對 AP 進行安全認證 AP 從 AC 獲取軟件版本 AP 從 AC 獲取配置等等 數(shù)據(jù)信息是封裝后轉(zhuǎn)發(fā)的無線數(shù)據(jù) 兩類信息分別使用不同的UDP端口號 CAPWAP信息在AP與AC間交互時可以使用DTLS加 密機制 保證通信的安全性 所有無線接入功能由AP和AC間共同完成 集中式架構(gòu)是企業(yè)網(wǎng) 運營商等WLAN方案的 主要架構(gòu) 便于集中管理 集中認證和實施安全策略 此種方案為目前企業(yè)網(wǎng)通用方案 在FIT AP網(wǎng)絡(luò)架構(gòu)下 又有如下劃分 根據(jù) AC 部署方式 分為集中式和分布式 根據(jù) AC 部署位置 分為旁掛和直路 根據(jù) AC 硬件體現(xiàn)形式 分為集成 AC 和獨立 AC 根據(jù)業(yè)務(wù)轉(zhuǎn)發(fā)形式 分為本地轉(zhuǎn)發(fā)和集中轉(zhuǎn)發(fā) 2 3 3 2集中式集中式AC與分布式與分布式AC 根據(jù)AC的部署方式 網(wǎng)絡(luò)可分為集中式AC部署和分布式AC部署 集中式AC部署 集中式AC部署是指整個網(wǎng)絡(luò)中集中部署AC設(shè)備 一般是獨立的AC設(shè)備 來控制和管理 整網(wǎng)的AP設(shè)備 AC的部署可以采用直路 直接部署在AP和匯聚 核心交換機之間 或旁掛 方式 旁掛在匯聚 核心交換機旁側(cè) 圖 1 4 集中式AC 部署示意圖 分布式AC部署 分布式AC部署是指網(wǎng)絡(luò)中分區(qū)域采用多個AC設(shè)備 分別對本區(qū)域的AP設(shè)備進行管理 分 布式AC方案一般不采用獨立的AC設(shè)備 而是采用在匯聚交換機上集成AC功能 來實現(xiàn)對 本交換機下掛的所有AP進行管理 圖 1 5 分布式AC 部署示意圖 AC的兩種部署方式的優(yōu)劣勢對比如表1 2所示 表 1 2 集中式 AC 與分布式 AC 優(yōu)缺點對比表 AC 部署方式優(yōu)點缺點 集中式 節(jié)省投資 容量管理更簡單有效 成本 效益高 無線業(yè)務(wù)終結(jié)點少 便于管 理 漫游部署簡單 高效 無線網(wǎng)絡(luò)運維管理更簡單 可集中管理且配置靈活 AC 與 AP 之間的網(wǎng)絡(luò)結(jié)構(gòu) 復(fù)雜 網(wǎng)絡(luò)規(guī)劃部署相對 復(fù)雜 分布式AC 與 AP 之間網(wǎng)絡(luò)結(jié)構(gòu)簡單 網(wǎng)絡(luò) 部署相對簡單 投資成本高 需要部署 AC 間漫 游 除非各 AC 所 在的區(qū)域間不考慮 漫游 運維成本高 2 3 3 3AC旁掛與旁掛與AC直路直路 根據(jù)AC在網(wǎng)絡(luò)上所處位置 可分為AC旁掛和AC直路 旁掛 旁掛方式是指將AC部署在用戶網(wǎng)關(guān)設(shè)備 匯聚或核心交換機 一側(cè) 實現(xiàn)對用戶網(wǎng)關(guān)設(shè)備 下所有AP的管理 旁掛方式主要用于原有網(wǎng)絡(luò)匯聚 核心設(shè)備非華為設(shè)備的場景 目前主要用于網(wǎng)絡(luò)改造 或 者新建大 中型園區(qū)網(wǎng)絡(luò)場景 AC旁掛示意圖 直路 直路方式是指將AC部署在AP與用戶網(wǎng)關(guān)設(shè)備 匯聚或核心交換機 之間 實現(xiàn)對下轄所 有AP的管理 直路方式主要用于新建中 小型園區(qū)網(wǎng)絡(luò)或原有網(wǎng)絡(luò)匯聚 核心設(shè)備為華為設(shè)備的場景 AC直路示意圖 2 3 3 4本地轉(zhuǎn)發(fā)與集中轉(zhuǎn)發(fā)本地轉(zhuǎn)發(fā)與集中轉(zhuǎn)發(fā) 轉(zhuǎn)發(fā)模式主要是AP針對用戶數(shù)據(jù)可以有不同的轉(zhuǎn)發(fā)處理方式 本地轉(zhuǎn)發(fā) 又稱直接轉(zhuǎn)發(fā) 是指AP上對用戶數(shù)據(jù)由本地轉(zhuǎn)發(fā)到網(wǎng)絡(luò)上層 不經(jīng)過AC處理 AC只對AP 進行管理 而AP管理流封裝在CAPWAP隧道中 到達AC終止 本地轉(zhuǎn)發(fā)示意圖 集中轉(zhuǎn)發(fā) 也稱作隧道轉(zhuǎn)發(fā) 業(yè)務(wù)數(shù)據(jù)報文由AP統(tǒng)一封裝后到達AC實現(xiàn)轉(zhuǎn)發(fā) AC不但進行對AP管理 還作為AP流量的轉(zhuǎn)發(fā)中樞 即AP管理流與數(shù)據(jù)流都封裝在CAPWAP隧道中到達AC 隧道轉(zhuǎn)發(fā)示意圖 本地轉(zhuǎn)發(fā)與集中轉(zhuǎn)發(fā)優(yōu)缺點對比如0所示 本地轉(zhuǎn)發(fā)與集中轉(zhuǎn)發(fā)優(yōu)缺點對比表 轉(zhuǎn)發(fā)方式優(yōu)點缺點 本地轉(zhuǎn)發(fā)設(shè)備署簡單 數(shù)據(jù)流量不經(jīng)過 AC AC 負擔小 集中轉(zhuǎn)發(fā)數(shù)據(jù)流量和管理流量全部經(jīng)過 AC 可以按用戶需求規(guī)劃安全監(jiān) 管策略 AC 設(shè)備數(shù)據(jù)壓力較大 對 AC 設(shè)備本身處理能力要求較高 2 3 3覆蓋區(qū)域描述 網(wǎng)絡(luò)覆蓋范圍總共包含5棟樓 實訓樓 實驗樓 綜合樓 教學樓 白色 教 學樓 粉色 墻體統(tǒng)一為24磚墻 網(wǎng)絡(luò)點位統(tǒng)計如下 建筑建筑樓層樓層 分布式分布式 APAP 數(shù)量數(shù)量 放裝放裝 式式 APAP 1 分 4 功分器 數(shù)量 天線數(shù) 量 備注備注 12 28 22 27 32 28 實驗樓 42 27 實訓樓長約 40m 建議每層部 署 2 個 AP 通過饋線將天線部 署到每個教室 12127 23 310 實驗樓 32228 多媒體 閱覽室較大 單獨 配置一臺放裝型 AP 101 21314 2 樓 70 個用戶 配置 4 個 AP 31014 綜合樓 43139 4 樓 70 個用戶 PEIZHI 4 個 AP 12 26 22 26 教學樓 白色 32 26 教學樓面積較大 建議每層配 置 2 個 AP 12 26 22 26 32 26 教學樓 粉色 42 26 教學樓面積較大 建議每層配 置 2 個 AP 數(shù)量合計數(shù)量合計 34834114 無線AP的部署分為室內(nèi)放裝型及室內(nèi)分布式兩種 室內(nèi)放裝型自帶天線 可以部署在 較大的房間內(nèi)或用戶比較密集的區(qū)域 提高無線接收效果 如多媒體室 閱覽室等 室內(nèi) 分布式AP可配置功分器 提供多個天線分別接入到每個房間 提高覆蓋范圍 避免由于墻 體過厚導(dǎo)致的無線衰減問題 本次設(shè)計使用了8個放裝型AP 部署在多媒體室 閱覽室及 綜合樓的人員密集區(qū)域 使用了34個分布式AP和114根天線 覆蓋到每一個教室及主要 辦公室 提高完善的網(wǎng)絡(luò)覆蓋范圍 在注意覆蓋范圍的同時需考慮覆蓋的用戶總數(shù) 由于AP的處理能力有限 所以所以 建議每個建議每個APAP下下掛的用戶數(shù)量不超過下下掛的用戶數(shù)量不超過2525個個 在一些樓層用戶較多的區(qū)域 需考慮用戶 數(shù)上限的問題 如綜合樓的2樓和4樓 用戶數(shù)超過70 這些樓層建議配置4個AP進行覆 蓋 以達到較好的用戶體驗 2 3 4無線局域網(wǎng)拓撲 本次設(shè)計采用集中式構(gòu)架 通過AC統(tǒng)一對下級的AP進行管理和維護 AC采用旁掛的方 式進行組網(wǎng) 通過本地轉(zhuǎn)發(fā)的方式進行數(shù)據(jù)傳輸 本次無線的拓撲結(jié)構(gòu)如下 本次方案采用瘦AP方式實現(xiàn)大樓的無線覆蓋 便于進行集中配置和統(tǒng)一管理 在實際 工作中 無線控制器AC連接到核心交換機 與eSight網(wǎng)管系統(tǒng)的WLAN管理模塊協(xié)同工作 實現(xiàn)對全網(wǎng)AP的自動配置下發(fā) 射頻管理 信道分配 安全接入控制等等無線網(wǎng)絡(luò)配置和 運維管理功能 本次配置采用AC AP集中式管理的無線組網(wǎng)方案 各大樓根據(jù)工勘結(jié)果部署相應(yīng)AP 通過千兆電口連接到相應(yīng)樓層無線接入交換機 無線接入交換機提供POE功能 通過POE技 術(shù)對AP供電 簡化布線 無線POE交換機通過兩條千兆鏈路連接到核心交換機 核心交換機 旁掛一臺無線控制器AC 通過千兆電口互聯(lián) 采用集中式組網(wǎng)方式對無線AP進行統(tǒng)一管理和 控制 推薦配置如下 序號序號設(shè)備類別設(shè)備類別設(shè)備型號設(shè)備型號數(shù)量數(shù)量備注備注 1 盒式ACAC6605164個AP許可 2 室內(nèi)放裝型AP 11bgn AP6010SN8POE供電 3 室內(nèi)分布式APAP6310SN34 4 全向天線114 5 POE交換機S5700 28C PWR SI5每樓宇一臺 2 3 5無線 VLAN 規(guī)劃 VLAN規(guī)劃的原則 管理 VLAN 和業(yè)務(wù) VLAN 分離 業(yè)務(wù) VLAN 應(yīng)根據(jù)實際業(yè)務(wù)需要與 SSID 匹配映射關(guān)系 1 1 1 N N 1 N N 管理管理VLAN 對于瘦AP 管理VLAN是指AC與AP之間控制報文所帶VLAN 控制報文包括AP上線時的報 文 DHCP等 以及建立CAPWAP控制隧道后的控制隧道報文 由于在實際應(yīng)用中 AC需要按VLAN選擇DHCP SERVER 或RELAY還是透傳 因此管理 VLAN和業(yè)務(wù)VLAN必須分離 以便滿足不同DHCP應(yīng)用的需求 如果AC AP間經(jīng)過三層轉(zhuǎn)發(fā) 中間三層設(shè)備必須支持DHCP RELAY 同樣要注意區(qū)分管理VLAN和業(yè)務(wù)VLAN 使之采用不同 的RELAY GATEWAY 以便AC區(qū)別不同DHCP請求 業(yè)務(wù)業(yè)務(wù)VLAN 業(yè)務(wù)VLAN主要用于區(qū)分不同的業(yè)務(wù)類型或用戶群體 在WLAN中SSID也同樣可以承擔相 應(yīng)的工作 因此 在業(yè)務(wù)VLAN的規(guī)劃中必須綜合考慮VLAN與SSID的映射關(guān)系 業(yè)務(wù)VLAN與SSID有如下四種映射關(guān)系 SSID VLAN 1 1SSID VLAN 1 1 部署 部署 例如對北京市西城區(qū) 金融大街 和 中央音樂學院 進 行 WLAN 覆蓋 都是北京聯(lián)通 WLAN 網(wǎng)絡(luò)的覆蓋區(qū)域 所以希望用戶搜索到的 WLAN 只有一個 SSID 如 北京聯(lián)通 VLAN 也只需要規(guī)劃一個 如 1000 SSID VLAN 1 NSSID VLAN 1 N 部署 部署 雖然北京市西城區(qū) 金融大街 和 中央音樂學院 都是 北京聯(lián)通 WLAN 網(wǎng)絡(luò)的覆蓋區(qū)域 用戶搜索到的 WLAN 只有一個 SSID 北京聯(lián)通 但希望規(guī)劃不同的 VLAN 標識不同的場點 如 1000 1001 這個場景中 SSID VLAN 1 N SSID VLAN N 1SSID VLAN N 1 部署 部署 雖然都是北京聯(lián)通的覆蓋區(qū)域 但希望用戶搜索到 WLAN 就知道自己在什么地方了 因此需要兩個 SSID 如 金融大街 和 中央音樂 學院 由于都是北京聯(lián)通的場所 VLAN 只想規(guī)劃一個 如 1000 SSID VLAN N NSSID VLAN N N部署 部署 雖然都是北京聯(lián)通覆蓋區(qū)域 但希望用戶搜索到WLAN就知道自己在 什么地方了 并希望通過不同的VLAN精細控制流量 因此需要兩個SSID 如 金融大街 和 中央音樂學院 同時VLAN也要規(guī)劃兩個 如1000和1001 4 無線網(wǎng)絡(luò)應(yīng)用 無線網(wǎng)擴展了有線網(wǎng)的覆蓋范圍 將網(wǎng)絡(luò)應(yīng)用延伸到學生向往的空間 這意味著可以 在任何便于工作的地方 如在報告廳 自助餐廳 實驗室 辦公室以及在校園休閑場地享 受學習的自由和靈活性 學生在上述無線覆蓋的區(qū)域可以收發(fā)電子郵件 點播流媒體節(jié)目 學習Web課程 利用 WebQuest探討問題 利用MSN或QICQ與他人 同學 老師或家人 協(xié)作交流思想和學習等 這要歸功于可以傳輸實時信息的各種手持終端和筆記本電腦 在其他行業(yè)中 無線局域網(wǎng) 日益被看作是一種創(chuàng)新的 可負擔的工具 用以補充有線網(wǎng)絡(luò) 而不是取代它 3 統(tǒng)一身份認證平臺統(tǒng)一身份認證平臺 統(tǒng)一身份認證平臺采用華為統(tǒng)一身份認證平臺采用華為 TSM 實現(xiàn) 實現(xiàn) 1 背景 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展 學校廣泛采用協(xié)同辦公或通過遠程 移動和互聯(lián)網(wǎng)接入等 方式辦公 上述工作方式的應(yīng)用在帶來更多資訊和更高生產(chǎn)效率的同時 也給企 業(yè)辦公網(wǎng)絡(luò)帶來更多的安全問題 面臨如下風險 遠程接入或移動辦公會導(dǎo)致網(wǎng)絡(luò)漏洞越來越多 學校的終端用戶 遠程辦公的終端用戶 合作伙伴 來訪客戶等多種終端用戶 接入總局或其他學校網(wǎng)絡(luò) 網(wǎng)絡(luò)接入點和接入方式增多 導(dǎo)致網(wǎng)絡(luò)漏洞成倍增加 非法終端用戶接入 外來人員在未經(jīng)許可的情況下 能夠輕易接入并訪問公司的網(wǎng)絡(luò) 合法終端用戶越權(quán)訪問 因未對企業(yè)中的網(wǎng)絡(luò)資源進行嚴格的訪問權(quán)限控制 導(dǎo)致合法終端用戶能夠隨 意訪問企業(yè)中的機密信息 終端用戶濫用資源 在未經(jīng)許可的情況下 終端用戶隨意使用撥號上網(wǎng)設(shè)備連接 Internet Microsoft Windows 操作系統(tǒng)存在越來越多的安全漏洞 因終端主機未及時安裝補丁 可能招致黑客和惡意用戶的攻擊 病毒泛濫 因未安裝防病毒軟件 終端用戶在上網(wǎng)時容易感染病毒 并且容易在企業(yè)網(wǎng)中 蔓延和傳播 黑客惡意破壞 黑客會利用 Microsoft Windows 的某些系統(tǒng)服務(wù)固有的缺陷或通過暴力破解長 期未使用的賬號入侵終端主機 再蓄意破壞企業(yè)中的 IT 系統(tǒng) 隨意共享目錄導(dǎo)致安全隱患和信息泄密 因共享目錄的權(quán)限設(shè)置不當導(dǎo)致機密文件泄密 并容易感染病毒 安全策略不能及時落實 管理員缺乏監(jiān)督手段 不能敦促未安裝補丁的終端用戶安裝補丁或未更新病毒 庫的終端用戶更新病毒庫 終端用戶的違規(guī)行為得不到監(jiān)控 管理員無法檢查終端用戶是否在上班時間訪問與工作無關(guān)的網(wǎng)站 最重要的是 缺少取證手段 上網(wǎng)無法進行計費 學校無法對學生的上網(wǎng)進行計費 計天 包月 流量計費 時長計費 自定義 周期計費 自定義計費策略 本周起不使用不扣費 一次付費分段開通 分地區(qū)計 費等 2 接入控制方案 在內(nèi)網(wǎng)中 基于交換機實現(xiàn)的IP的訪問控制不僅配置管理不夠靈活 而且還存在IP被仿冒 等安全風險 無法徹底解決非法接入和越權(quán)訪問的問題 TSM系統(tǒng)終端用戶的身份認證 通過基于用戶角色的網(wǎng)絡(luò)訪問權(quán)限管理 加強內(nèi)網(wǎng)的網(wǎng)絡(luò) 訪問控制 防止非法接入和非授權(quán)訪問 保證企業(yè)內(nèi)網(wǎng)的安全 通過硬件安全網(wǎng)關(guān)進行準 入控制 3 身份認證方案 TSM系統(tǒng)建立了完善的接入用戶身份認證機制 支持系統(tǒng)內(nèi)置賬號和外部數(shù)據(jù)源方式 系 統(tǒng)內(nèi)置賬號包括普通賬號 MAC賬號 外部數(shù)據(jù)源賬號支持從AD賬號 LDAP賬號和CA 賬號等第三方的用戶系統(tǒng)中同步賬號 實現(xiàn)終端的網(wǎng)絡(luò)準入前的身份認證過程 TSM系統(tǒng)中 終端用戶是以終端角色來進行安全策略和網(wǎng)絡(luò)訪問權(quán)限管理的 終端只有完 成身份認證才能接入企業(yè)內(nèi)網(wǎng) 因此本次實施方案需完成終端用戶的認證賬號配置 TSM系統(tǒng)參考現(xiàn)有企業(yè)的組織和管理結(jié)構(gòu) 采用樹狀結(jié)構(gòu)的多級管理方式 賬號數(shù)據(jù)源支 持系統(tǒng)內(nèi)置賬號和外部數(shù)據(jù)源方式 系統(tǒng)內(nèi)置賬號包括普通賬號 MAC賬號 外部數(shù)據(jù)源 賬號支持從AD賬號 LDAP賬號和CA賬號等第三方用戶系統(tǒng)中同步賬號 完成TSM系統(tǒng)的 接入認證 4 設(shè)備自發(fā)現(xiàn) 現(xiàn)網(wǎng)網(wǎng)絡(luò)規(guī)模較大 接入內(nèi)網(wǎng)的設(shè)備較多 管理員很難及時動態(tài)滴了解網(wǎng)絡(luò)設(shè)備的接入情 況 建議啟用TSM系統(tǒng)的自動網(wǎng)絡(luò)掃描功能 掃描并自動分類網(wǎng)絡(luò)中的接入設(shè)備 如交換 路由設(shè)備 PC設(shè)備 服務(wù)器 IP電話 網(wǎng)絡(luò)打印機等 同時保證能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn) 的新設(shè)備 對未安裝TSM代理的外來終端的接入行為進行告警 方便管理員了解網(wǎng)絡(luò)終端 的接入情況 5 終端加固管理 企業(yè)內(nèi)網(wǎng)終端眾多 員工的計算機水平和信息安全意思參差不齊 由于操作系統(tǒng)安全設(shè)置 不當而引起的安全風險越來越明顯 僅通過目前行政管理手段無法保證所有終端的安全性 建議加強對操作系統(tǒng)的安全加固管理 具體管理方案如下 6 防病毒軟件安全策略 內(nèi)網(wǎng)的辦公終端絕大多數(shù)已經(jīng)安裝了防病毒軟件 但由于強制檢查 導(dǎo)致終端長期不更新 病毒庫和病毒引擎版本 使得防病毒軟件形同虛設(shè) 沒有發(fā)揮其重要的終端保護能力 因此 建議通過TSM系統(tǒng)的防病毒管理策略實現(xiàn)終端的安全防護 TSM配合企業(yè)自身的防 病毒軟件 通過檢查終端是否安裝 運行狀態(tài)以及防病毒軟件的更新狀態(tài) 作為判斷終端 當前安全狀態(tài)的一個依據(jù) 阻止或提示沒有部署殺毒軟件的終端或者殺毒軟件長期不更新 的終端接入網(wǎng)絡(luò) 保證企業(yè)內(nèi)網(wǎng)運行的終端殺毒軟件能夠及時更新并且有效運行 減少病 毒感染和擴散的風險 7 強化補丁安裝 加強操作系統(tǒng)和應(yīng)用程序的安全漏洞檢查 把補丁的檢查作為一個重要的檢查項 檢查操 作系統(tǒng)補丁 IE的SP補丁 OFFICE的SP補丁等 當檢查到終端沒有部署必須的補丁的時 候 TSM系統(tǒng)能夠協(xié)助終端快速完成補丁的修復(fù) 8 超時自動鎖屏 通過屏幕保護策略檢查終端的屏幕保護是否啟用 屏幕保護程序密碼是否設(shè)置以及屏幕保 護啟動時間是否符合企業(yè)安全要求的安全檢查 保證終端在空閑一定時間后屏幕保護程序 自啟動的安全要求 滿足企業(yè)終端桌面管理規(guī)范 當終端屏幕保護設(shè)置不符合規(guī)范時 進 行自修復(fù) 9 注冊表配置管理 通過對系統(tǒng)注冊表鍵值檢查 完成終端注冊表鍵值存在與否的安全性檢查 支持對終端的 自動修復(fù)功能 對于要求存在的鍵值 如果該鍵值不存在 則添加該鍵值 對于不允許存 在的鍵值 如果該鍵值存在 則刪除該鍵值 10 冗余賬號檢查 通過檢查系統(tǒng)冗余賬號 TSM系統(tǒng)能夠協(xié)助管理員發(fā)現(xiàn)終端長期未使用的臨時賬號 降低 企業(yè)終端安全管理風險 11 檢查賬號安全 通過賬號的弱口令檢查 賬號群組檢查 本地密碼策略包括密碼長度最小值 密碼最長存 留期屬性檢查等 保證終端操作系統(tǒng)賬號的安全 12 檢查端口策略 通過檢查終端口策略 有效保證對于接入網(wǎng)絡(luò)的終端 及時提醒個人用戶關(guān)掉無用端口 保證無用服務(wù)的最小化使用原則 13 網(wǎng)絡(luò)共享管理 Window操作系統(tǒng)默認情況下對共享文件夾和共享打印機設(shè)置為Everyone權(quán)限 如果終端用 戶安全意識不高的情況下 就會帶來較大的安全隱患 一方面 網(wǎng)絡(luò)內(nèi)任意終端可能在未 獲得授權(quán)的情況下直接竊取共享信息 另一方面 公開的共享目錄也給病毒的傳播提供了 溫床 TSM的系統(tǒng)安全管理功能 能夠及時協(xié)助終端用戶發(fā)現(xiàn)并且清理不安全的共享賬號 14 監(jiān)控非法應(yīng)用和服務(wù) 通過檢查終端的軟件安裝情況和監(jiān)控終端軟件程序的運行情況 阻止終端安裝和運行非法 應(yīng)用程序 如果發(fā)現(xiàn)安裝或使用了非法軟件 進程和服務(wù) 可以通過與準入控制設(shè)備的聯(lián) 動提示或阻止該終端接入網(wǎng)絡(luò) 也可以攔截非法軟件 進程和服務(wù)的使用 規(guī)范員工的行 為 同時 管理員可通過審計軟件的安裝和使用情況 從而及時了解安全狀態(tài) 15 終端行為管理 法律規(guī)定了很多網(wǎng)站是非法的 比如有色情 迷信和犯罪相關(guān)的等等 使用寬帶接入互聯(lián) 網(wǎng)后 企業(yè)內(nèi)部網(wǎng)絡(luò)某種程度上成了一種 公共 上網(wǎng)場所 很多與法律相違背的行為都 有可能發(fā)生在內(nèi)部網(wǎng)中 這些事情難以追查 給企業(yè)帶來的法律法規(guī)方面的風險 因此 建議對員工的網(wǎng)絡(luò)訪問行為進行管理 具體管理方案如下 16 監(jiān)控網(wǎng)站訪問 通過對WEB訪問的監(jiān)控 記錄終端用戶的WEB網(wǎng)站訪問信息 由管理員進行統(tǒng)一管理和審 計 通過這樣的手段 一方面可以管理員工的上網(wǎng)行為 上班時間屏蔽一些與工作無關(guān)的 網(wǎng)站 另一方面 提供審計和責任追溯的途徑 17 軟件安裝標準化 通過軟件黑白名單檢查 檢查終端安裝軟件的列表 可以定義軟件黑名單的違規(guī)軟件列表 和軟件白名單的合法的軟件列表 也可以通過檢查軟件黑白名單規(guī)定只能安裝列表中的軟 件或者必須安裝的軟件 加強企業(yè)桌面軟件統(tǒng)一安裝的標準性 18 IP 訪問和網(wǎng)絡(luò)應(yīng)用程序監(jiān)控 通過對終端的IP訪問控制和網(wǎng)絡(luò)應(yīng)用程序訪問控制功能 對于一些安全性要求比較高的業(yè) 務(wù)系統(tǒng) 允許定義基于時間段的IP訪問規(guī)則 允許配置特定用戶群在下班時間后不能訪問 一些關(guān)鍵的業(yè)務(wù)系統(tǒng) 防止對這些關(guān)鍵服務(wù)器可能造成的危害 允許定義網(wǎng)絡(luò)