某學校網(wǎng)絡(luò)解決方案

某學校網(wǎng)絡(luò)解決方案杭州華三通信技術(shù)有限公司

目錄\""\\\\""某學校網(wǎng)絡(luò)解決方案 \\""第章概況 \\""校園網(wǎng)建設(shè)背景 \\""某學校校園網(wǎng)建網(wǎng)需求分析 \\""一般建網(wǎng)需求 \\""某學校建網(wǎng)需求 \\""整體建網(wǎng)原則 \\""第章總體網(wǎng)絡(luò)設(shè)計 \\""整體網(wǎng)絡(luò)改造描述 \\""網(wǎng)絡(luò)層次介紹： \\""第章網(wǎng)絡(luò)業(yè)務(wù)設(shè)計 \\""認證方式的選擇 \\""網(wǎng)管解決方案 \\""無線部署方案 \\""第章某學校用戶管理及安全方案 \\""園區(qū)網(wǎng)用戶認證管理需求分析 \\""校園網(wǎng)用戶管理認證方案概述 \\""業(yè)務(wù)認證、授權(quán)管理描述 \\""認證選擇設(shè)計－ \\""用戶管理系統(tǒng)對用戶上網(wǎng)認證的管理 \\""用戶需求分析 \\""用戶管理系統(tǒng)解決方案 \\""業(yè)務(wù)認證流程 \\""管理方案的堅定執(zhí)行者：智能交換機 \\""端口＋＋地址的綁定： \\""第章無線網(wǎng)的構(gòu)建 \\""為什么要選用模式的組網(wǎng) \\""為什么要采用供電 \\""為什么要采用吸頂天線 \\""無線管理有線無線一體化拓撲 \\""的優(yōu)勢 \\""零配置無線網(wǎng)構(gòu)建解決方案 \\""理解零配置 \\""無線控制器和之間的網(wǎng)絡(luò)拓撲 \\""獲取地址 \\""發(fā)現(xiàn)相同二層網(wǎng)絡(luò)內(nèi)的無線控制器 \\""發(fā)現(xiàn)跨三層網(wǎng)絡(luò)的無線控制器 \\""部署于雙棧網(wǎng)絡(luò) \\""軟件下載 \\""配置下發(fā) \\""零配置提供的便利 \

概況校園網(wǎng)建設(shè)背景2年月日，中國互聯(lián)網(wǎng)絡(luò)信息中心()在京發(fā)布“第十四次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告”。報告顯示，截止到年月日，我國上網(wǎng)用戶總數(shù)為萬，比去年同期增長，上網(wǎng)計算機達到萬臺。網(wǎng)絡(luò)國際出口帶寬增長飛速，總數(shù)達到53.9G，比去年同期增長。下注冊的域名數(shù)、網(wǎng)站數(shù)分別達到萬和萬。萬網(wǎng)民當中，教育的用戶占有，教育用戶當中絕大部分的網(wǎng)民主體是來自于學生用戶，報告中主要數(shù)據(jù)說明，前十年的發(fā)展取得豐碩成果，我國互聯(lián)網(wǎng)事業(yè)正在持續(xù)快速的發(fā)展，并在普及應(yīng)用上進入嶄新的多元化應(yīng)用階段！互聯(lián)網(wǎng)的影響正逐步滲透到人們生產(chǎn)、生活、工作、學習的各個角落。、校園網(wǎng)能促進教師和學生盡快提高應(yīng)用信息技術(shù)的水平；信息技術(shù)學科的內(nèi)容是發(fā)展的，它是一門應(yīng)用型學科，因此，為了讓學生學到實用的知識，必須給他們提供一個實踐的環(huán)境，這個環(huán)境離不開校園網(wǎng)。、校園網(wǎng)為教師提供了一種先進的輔助教學工具、提供了豐富的資源庫，所以校園網(wǎng)是學校進行教學改革、推行素質(zhì)教育的一種必不可少的工具。、校園網(wǎng)是學?，F(xiàn)代化管理的基礎(chǔ)，深入、全面的學校信息管理系統(tǒng)必須建立在校園網(wǎng)上。、校園網(wǎng)提供了學校與外界交流的窗口，學校應(yīng)將校園網(wǎng)與互聯(lián)網(wǎng)聯(lián)接，這也是學校信息化的要求，做到了這一步，通過校園網(wǎng)去了解世界、在互聯(lián)網(wǎng)上樹立學校的形象都是很容易的。教育即未來，作為國家最重要的戰(zhàn)略工程，如何應(yīng)用信息技術(shù)改造我們傳統(tǒng)的教學和管理手段；如何加深學生對于信息化和信息技術(shù)的理解與了解；如何造就同時具備傳統(tǒng)和信息雙重文化的一代新人，已成為教育界當前最為緊迫的任務(wù)之一。信息技術(shù)的應(yīng)用，勢必極大地推進教育手段和教育內(nèi)容的革命性變革。我們對此深信不疑，并將全身心地為之努力。某學校校園網(wǎng)建網(wǎng)需求分析一般建網(wǎng)需求某學校的網(wǎng)絡(luò)建設(shè)主要是對校園網(wǎng)的網(wǎng)絡(luò)進行部署。在實際的建設(shè)過程當中，應(yīng)當充分考慮到學校內(nèi)部的校園網(wǎng)多業(yè)務(wù)以及特色業(yè)務(wù)等擴展性，如：校園網(wǎng)內(nèi)部的服務(wù)器的訪問，由于學生的訪問的內(nèi)容多樣化決定，涉及到基礎(chǔ)網(wǎng)絡(luò)設(shè)施的建設(shè)和業(yè)務(wù)應(yīng)用平臺建設(shè)兩個不同的層面。此處主要分析某學校網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和網(wǎng)絡(luò)運營方面相關(guān)的內(nèi)容。某學校校園網(wǎng)絡(luò)建設(shè)從網(wǎng)絡(luò)流量模型上看和企業(yè)網(wǎng)的流量模型相似，用戶集中而網(wǎng)絡(luò)流量大，但實際應(yīng)用上還存在許多和企業(yè)網(wǎng)不同的地方。主要特點如下：多出口的需求：典型的組網(wǎng)有中國教育和科研網(wǎng)（）出口和運營商網(wǎng)絡(luò)出口同時為內(nèi)部網(wǎng)絡(luò)提供網(wǎng)絡(luò)接入服務(wù)。考慮到用戶的以上的需求，需要在學校的內(nèi)部提供不同的路由策略，即用戶訪問教育網(wǎng)的相關(guān)站點，通過的線路，而訪問其他的網(wǎng)站如：新浪網(wǎng)、等網(wǎng)站則選擇運營商的線路作為出口路由，這要求核心的交換機或出口路由器能夠提供策略路由以支持該特性。、用戶管理的需求：使用方便，存在客戶端認證需求。要求能做到基于客戶端的身份認證、多選擇、用戶費率查詢等。需要解決賬號和端口綁定問題。通過此種方式限制賬號的使用區(qū)域。能夠?qū)崿F(xiàn)全網(wǎng)的安全管理，包括：、的盜用問題、防止接入用戶的非法、等用戶。對于用戶的上網(wǎng)行為能夠?qū)崿F(xiàn)實時的跟蹤以及時候的追查。、多種教學方式并行的需求：隨著校園網(wǎng)的信息化的發(fā)展，越來越的多教學方式依托于網(wǎng)絡(luò)給學生提供多種的特色教學模式多媒體教學。為了更好的為學生提供全方面的教學資料，越來越的多學校在自己的內(nèi)部局域網(wǎng)上面為學生提供多種教學資料，如：多媒體教學課件、典型的考試資料等等提供給學生上網(wǎng)下載使用。點播業(yè)務(wù)實現(xiàn)，通過建立視頻服務(wù)器平臺，利用交換機提供的組播功能，為某學校的用戶提供優(yōu)質(zhì)的視頻效果，同時節(jié)省用戶帶寬。、安全管理的需求：校園用戶接受新鮮事務(wù)的能力非常強，因此校園也成為黑客最多的場所之一，如何保障校園網(wǎng)絡(luò)的安全成為建網(wǎng)時不得不考慮的問題，目前主要攻擊手段有，等上網(wǎng)日志的需求，主要是配合公安機關(guān)保證社會的穩(wěn)定和校園的安全、組播業(yè)務(wù)的需求，特別是可控組播的需求將隨著校園信息化的深入而體現(xiàn)出來。、雙核心的高保障需求：某學校的網(wǎng)絡(luò)組建投入使用以后是辦公和教學的平臺的環(huán)境，是院系專業(yè)教學和辦公的集合體，對網(wǎng)絡(luò)的穩(wěn)定性要求相當?shù)母?，如果萬一出現(xiàn)網(wǎng)絡(luò)中斷的想象，有可能就會對學院的工作和教學造成損失，所以為保證網(wǎng)絡(luò)的穩(wěn)定、可靠、高效都是才用雙核心某學校建網(wǎng)需求某學校為提高網(wǎng)絡(luò)覆蓋范圍率，使計算機終端的上網(wǎng)率可以達到％以上，各園區(qū)網(wǎng)絡(luò)設(shè)備進行升級，實現(xiàn)各院系的互連互通，把核心到匯聚層的千兆連接升級為萬兆互連，滿足數(shù)據(jù)、音視頻等信息的實時傳輸，滿足各類網(wǎng)上應(yīng)用需求對網(wǎng)絡(luò)帶寬的需求，同時要有該網(wǎng)絡(luò)是一套自上而下的一套安全的網(wǎng)絡(luò)體系，在未來建設(shè)的校園網(wǎng)的數(shù)據(jù)中心為全校的各級用戶提供，集中統(tǒng)一的數(shù)據(jù)存儲服務(wù)。整體建網(wǎng)原則早期的高校校園網(wǎng)主要是共用內(nèi)部教育系統(tǒng)主機資源，共享簡單數(shù)據(jù)庫，多以二層交換為主，很少有三層應(yīng)用，存在安全、可管理性較差、無業(yè)務(wù)增值能力等方面的問題?，F(xiàn)在某學校校園網(wǎng)建設(shè)要實現(xiàn)內(nèi)部全方位的數(shù)據(jù)共享，應(yīng)用三層交換，提供全面的保障服務(wù)，使網(wǎng)絡(luò)安全可靠，從而實現(xiàn)教育管理、多媒體教學、圖書館管理自動化，而且還要通過實現(xiàn)遠程教學，提供可增值可管理的業(yè)務(wù)，必須具備高性能、高安全性、高可靠性，可管理、可增值特性以及開放性、兼容性、可擴展性。基于對某學校校園網(wǎng)業(yè)務(wù)需求的深入理解，結(jié)合自身產(chǎn)品和技術(shù)特點，3C公司推出了了完善的某學校校園網(wǎng)解決方案，為某學校提供“高擴展、多業(yè)務(wù)、高安全”的精品網(wǎng)絡(luò)。某學校網(wǎng)絡(luò)建設(shè)遵循以下基本原則：高帶寬某學校網(wǎng)絡(luò)是一個龐大而且復(fù)雜的網(wǎng)絡(luò)，為了保障全網(wǎng)的高速轉(zhuǎn)發(fā)，校園網(wǎng)全網(wǎng)的組網(wǎng)設(shè)計的無瓶頸性，要求方案設(shè)計的階段就要充分考慮到，同時要求核心交換機具有高性能、高帶寬的特，整網(wǎng)的核心交換要求能夠提供無瓶頸的數(shù)據(jù)交換。可增值性某學校校園網(wǎng)絡(luò)的建設(shè)、使用和維護需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。所以在建設(shè)時要充分考慮業(yè)務(wù)的擴展能力，能針對不同的用戶需求提供豐富的增值業(yè)務(wù)，使網(wǎng)絡(luò)具有自我造血機制，實現(xiàn)以網(wǎng)養(yǎng)網(wǎng)?？蓴U充性考慮到某學校用戶數(shù)量和業(yè)務(wù)種類發(fā)展的不確定性，要求對于核心交換機與匯聚交換機具有強大的擴展功能，某學校校園網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴充的彈性網(wǎng)絡(luò)平臺，能夠隨著需求變化，充分留有擴充余地。開放性技術(shù)選擇必須符合相關(guān)國際標準及國內(nèi)標準，避免個別廠家的私有標準或內(nèi)部協(xié)議，確保網(wǎng)絡(luò)的開放性和互連互通，滿足信息準確、安全、可靠、優(yōu)良交換傳送的需要；開放的接口，支持良好的維護、測量和管理手段，提供網(wǎng)絡(luò)統(tǒng)一實時監(jiān)控的遙測、遙控的信息處理功能，實現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。安全可靠性設(shè)計應(yīng)充分考慮整個網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點的備份和線路保護，提供網(wǎng)絡(luò)安全防范措施。對原有投資的充分保護某學校已經(jīng)建成自己早期的校園網(wǎng)，對早期投資購買的設(shè)備和原有的網(wǎng)絡(luò)構(gòu)造要充分的利用，發(fā)揮原有網(wǎng)絡(luò)設(shè)備的作用，服務(wù)于新改建和拓撲模式之中。總體網(wǎng)絡(luò)設(shè)計整體網(wǎng)絡(luò)改造描述為滿足某學校三至五年的建設(shè)需求，本次方案主要采用分期建設(shè)的模式來實現(xiàn)整個校園網(wǎng)數(shù)字化建設(shè)。具體分期如下：建設(shè)主要通過部署關(guān)鍵節(jié)點設(shè)備解決目前校園網(wǎng)出口帶寬有效利用問題、用戶行為時候?qū)徲媶栴}、出口設(shè)備性能瓶頸問題等。建設(shè)規(guī)劃如下圖所示：考慮到一期投入資金有限，而根據(jù)對全網(wǎng)設(shè)備利用率及負載情況的評估以及目前終端用戶反映情況了解到目前網(wǎng)絡(luò)存在兩大問題。第一，外網(wǎng)出口帶寬不夠?qū)е掠脩粼L問外網(wǎng)速度明顯下降，無法滿足用戶正常需求。第二，根據(jù)年月中華人民共和國公安部第號令要求所有提供互聯(lián)網(wǎng)服務(wù)的企事業(yè)單位具有內(nèi)網(wǎng)行為審計能力，有效保障互聯(lián)網(wǎng)信息安全。通過以上兩點作出以下改造。出口部署，根據(jù)目前校園網(wǎng)雙出口特性，路由器主要具備兩大應(yīng)用。第一，出口轉(zhuǎn)換功能。第二，出口設(shè)備策略部署實現(xiàn)路由匹配，根據(jù)目的地址選擇不同出口功能。出口安全部署，根據(jù)目前現(xiàn)有出口防火墻性能顯示占用率與內(nèi)存占用率一直處于滿負荷狀態(tài)，給內(nèi)外網(wǎng)數(shù)據(jù)交互帶來的風險和傳輸瓶頸也是不容置疑的，一旦出口遭到攻擊防火墻將會因負載過大造成數(shù)據(jù)堵塞。從而建議在出口防火墻處通過部署一臺防火墻實現(xiàn)內(nèi)外網(wǎng)的安全隔離。網(wǎng)絡(luò)層次介紹：在核心層，核心層主要交換機，網(wǎng)絡(luò)中心核心交換機同時提供服務(wù)器接入?yún)^(qū)域，重要的服務(wù)器例如日志服務(wù)器、防病毒服務(wù)器和補丁服務(wù)器，同時提供網(wǎng)絡(luò)的審計、網(wǎng)管等功能區(qū)域。，同時3C交換機其交換容量，包轉(zhuǎn)發(fā)率，在接入層，接入層是直接與用戶相連的設(shè)備，因此，在實際的應(yīng)用的過程當中我們建議采用3C產(chǎn)品，建議通過在上配置千兆電接口與匯聚交換機進行鏈接，這樣將會進一步擴大帶寬。3C系列安全智能三層交換機的總線帶寬為交換機所有的端口提供三層線速交換能力，系統(tǒng)能夠提供個接口，有效解決了在單臺設(shè)備上多個千兆鏈路上行，同時接入千兆服務(wù)器的需求，極大的節(jié)省了用戶對設(shè)備投資。無線網(wǎng)絡(luò)的應(yīng)用在校區(qū)內(nèi)進行無線的覆蓋，現(xiàn)階段校園網(wǎng)的無線覆蓋已經(jīng)成為一種趨勢和必然，對于無線的覆蓋以后，使得學校教學和辦公的得到的極大便利，無線的覆蓋可以分為室內(nèi)的無線覆蓋和室外的無線覆蓋，采取通行的網(wǎng)絡(luò)協(xié)議標準：目前無線局域網(wǎng)普遍采用系列標準，因此無線局域網(wǎng)將主要支持802.11g（54M帶寬）標準以提供可供實際應(yīng)用的相對穩(wěn)定的網(wǎng)絡(luò)通訊服務(wù)；全面的無線網(wǎng)絡(luò)支撐系統(tǒng)（包括無線網(wǎng)管、無線安全等），以避免無線設(shè)備及軟件之間的不兼容性或網(wǎng)絡(luò)管理的混亂而導(dǎo)致的問題；保證網(wǎng)絡(luò)訪問的安全性，支持安全認證方式；采用非獨立型的無線網(wǎng)絡(luò)結(jié)構(gòu)選型；采用3C的的模式。在上配置無線控制器，終端接入的無線設(shè)備的方式非常的方便，配置都集中在的無線控制器上，所有的無線接入設(shè)備可以實施即插即用，配置管理簡便易行。安全、認證、管理要求:為了阻止非授權(quán)用戶訪問無線網(wǎng)絡(luò)，以及防止對無線局域網(wǎng)數(shù)據(jù)流的非法偵聽，無線網(wǎng)絡(luò)要具有相應(yīng)的安全手段，主要包括：物理地址（）過濾、服務(wù)區(qū)標識符()匹配、有線等效保密（）、二層隔離、支持等；本無線局域網(wǎng)的用戶認證支持集中認證（認證方式）和安全認證方式（支持受保護的()），、訪問控制系統(tǒng)及認證計費系統(tǒng)必須為要配合要通過驗證，便于使用用戶的使用及維護。在連續(xù)覆蓋區(qū)域的認證和覆蓋應(yīng)充分考慮移動用戶的易用性，達到一次認證，移動使用的目的；用戶認證、計費管理：本網(wǎng)絡(luò)建議采用3C的軟件系統(tǒng)進行計費和認證，具有強大的認證功能，可以實現(xiàn)按流量計費、支持多種計費策略，同時其旁掛式的方式大大提高了網(wǎng)絡(luò)的安全性，避免了在出口產(chǎn)生流量瓶頸的問題，本次組網(wǎng)采用綜合管理軟件實行全網(wǎng)的用戶認證和計費管理。詳細介紹參加第三章。網(wǎng)管平臺：為提高網(wǎng)絡(luò)管理的效率，減輕網(wǎng)絡(luò)維護的壓力，本次組網(wǎng)采用網(wǎng)管系統(tǒng)進行全網(wǎng)設(shè)備的統(tǒng)一管理。網(wǎng)絡(luò)管理軟件是3C公司對數(shù)據(jù)通信設(shè)備如路由器、交換機等進行統(tǒng)一管理和維護的網(wǎng)管產(chǎn)品，位于網(wǎng)絡(luò)解決方案的管理層，能夠?qū)崿F(xiàn)網(wǎng)元管理和網(wǎng)絡(luò)管理的功能。網(wǎng)絡(luò)管理軟件基于靈活的組件化結(jié)構(gòu)，包括網(wǎng)元管理平臺、廣域網(wǎng)管理系統(tǒng)、局域網(wǎng)管理系統(tǒng)、資源管理系統(tǒng)等，用戶可以根據(jù)自己的管理需要和網(wǎng)絡(luò)情況靈活選擇自己需要的組件，真正實現(xiàn)“按需建構(gòu)”。網(wǎng)絡(luò)業(yè)務(wù)設(shè)計認證方式的選擇的認證可以配合3C接入交換機或設(shè)備，結(jié)合認證方式實現(xiàn)對接入用戶的端點準入控制。這種組網(wǎng)方案對不符合安全策略的用戶隔離嚴格，可以有效防止來自網(wǎng)絡(luò)內(nèi)部的安全威脅。同時用戶認證系統(tǒng)可以對網(wǎng)絡(luò)的接入用戶進行很好的甄別，確認用戶權(quán)限，同時實現(xiàn)計費。同時也可以配合路由器、高端交換機等設(shè)備，結(jié)合認證方式在匯聚層實現(xiàn)對網(wǎng)絡(luò)用戶的端點準入控制。這種組網(wǎng)方案具有適應(yīng)性廣的特點，可以應(yīng)用與某學校網(wǎng)絡(luò)出口、分支機構(gòu)入口、關(guān)鍵區(qū)域保護等多種應(yīng)用場景。根據(jù)某學校的用戶特點，考慮到網(wǎng)絡(luò)中心的維護工作量，這里我們建議采用認證方式。網(wǎng)管解決方案根據(jù)網(wǎng)絡(luò)實際情況可采用3C網(wǎng)管系統(tǒng)。特性該系統(tǒng)采用開放式結(jié)構(gòu)設(shè)計，嚴格遵守標準的協(xié)議（），主要使用定義的信息，具有投資省、使用靈活、易于移植等特點：使用靈活3C系統(tǒng)的使用方式非常靈活，既可以作為設(shè)備級的應(yīng)用程序集成到已有的網(wǎng)管平臺（如：、、、）中進行網(wǎng)絡(luò)級管理，又可以作為獨立的應(yīng)用程序執(zhí)行進行設(shè)備級管理。同時可以根據(jù)用戶需求進行接口的開放。支持方式基于的管理是網(wǎng)管方式的一次革命，其主要優(yōu)勢在于：基于的管理允許網(wǎng)絡(luò)管理人員使用任一種瀏覽器在網(wǎng)絡(luò)的任何節(jié)點上方便迅速地配置、控制及監(jiān)視網(wǎng)絡(luò)。在上安裝了網(wǎng)管軟件后，其它網(wǎng)管機器不用預(yù)裝網(wǎng)管軟件，只須安裝了瀏覽器并且設(shè)備能上網(wǎng)，就能使用3C系統(tǒng)管理。成本低3C不像大型網(wǎng)管系統(tǒng)那樣系統(tǒng)龐大，它將網(wǎng)管人員最為關(guān)心的網(wǎng)絡(luò)信息直觀而濃縮地呈現(xiàn)于網(wǎng)管人員面前，使其方便地了解設(shè)備各端口的運行情況以及主要的設(shè)備性能指標。支持多種操作系統(tǒng)平臺純的實現(xiàn)，保證3C無須修改便能運行于當前主流的各種平臺之上。除此以外，3C系統(tǒng)使用全新的類庫，所有控件均支持特性，該特性使得3C既可以在不同平臺上呈現(xiàn)出統(tǒng)一的顯示風格，也能夠使控件的風格與操作系統(tǒng)相一致。功能功能描述路由器設(shè)備視圖設(shè)備端口的配置情況：端口個數(shù)、端口種類、端口當前狀態(tài)等故障管理對全網(wǎng)設(shè)備的告警信息和運行信息進行實時監(jiān)控，查詢和統(tǒng)計設(shè)備的告警信息。主要功能包括：支持告警相關(guān)性分析；能按照用戶設(shè)置的條件對告警信息進行統(tǒng)計和查詢；提供告警拓撲定位；支持告警規(guī)則定義等。路由器設(shè)備整體配置信息支持拓撲自動發(fā)現(xiàn)功能，系統(tǒng)信息（系統(tǒng)描述、系統(tǒng)標識、重啟時間、所在地、設(shè)備名、聯(lián)絡(luò)方式）、地址轉(zhuǎn)換表、接口表、表、路由表、聯(lián)接表。性能管理提供對設(shè)備實時性能數(shù)據(jù)的查看功能，使用戶了解當前網(wǎng)絡(luò)運行的基本情況和性能狀態(tài)，從而預(yù)防網(wǎng)絡(luò)事故的發(fā)生，預(yù)測網(wǎng)絡(luò)運行狀態(tài)，幫助用戶對網(wǎng)絡(luò)的管理運營進行合理的規(guī)劃。同時可以支持對于網(wǎng)絡(luò)節(jié)點設(shè)備利用率、利用率、故障率、線路流量統(tǒng)計、網(wǎng)絡(luò)時延統(tǒng)計、歷史告警信息等進行統(tǒng)計記錄，并可以實現(xiàn)網(wǎng)絡(luò)流量配置。設(shè)備日志和告警管理在系統(tǒng)獨立運行時，設(shè)備日志管理完成接收設(shè)備發(fā)送到網(wǎng)管的日志報文，直接保存到文件中；設(shè)備告警管理完成接收設(shè)備發(fā)送到網(wǎng)管的告警報文，將該進行解析并保存到文件中。路由器設(shè)備整體運行狀態(tài)負載、系統(tǒng)溫度、風扇狀態(tài)、內(nèi)存空閑率、空閑率、內(nèi)存分布錯誤次數(shù)、內(nèi)存分配不足引起的分配錯誤輸入報文、表頭錯誤的輸入報文、地址錯誤報文、未知協(xié)議數(shù)據(jù)報、緩沖溢出輸入報文、緩沖溢出的輸出報文、轉(zhuǎn)發(fā)的報文、無路由的輸出報文、成功重組的報文安全日志管理安全管理功能主要有以下幾個方面：操作日志管理，用戶管理，用戶組管理，設(shè)備集管理，操作集管理，權(quán)限管理，用戶登錄管理。路由器設(shè)備端口配置信息接口描述、接口類型、最大傳輸單元、接口速率、物理地址、管理狀態(tài)、操作狀態(tài)、持續(xù)運行時間、本地描述路由器設(shè)備端口運行狀態(tài)接口使用率、輸入包誤碼率、輸出包誤碼率、輸入包丟棄率、輸出包丟棄率、輸入包未知協(xié)議率下圖是該產(chǎn)品的界面示例：無線部署方案目前考慮在校園園區(qū)內(nèi)部署,在核心的上部署3C板卡系列無線控制器模塊，無線控制器能提供了豐富的有線數(shù)據(jù)和無線數(shù)據(jù)的處理功能，集精細的用戶控制管理、完善的管理及安全機制、快速漫游、超強的及等多功能于一體的功能。3C公司更有眾多的無線有線一體化的交換機可供選擇，使得無線配置靈活，部署方面。3C公司使用創(chuàng)新的基于認證的組網(wǎng)來提供網(wǎng)絡(luò)服務(wù)，這種方法基于用戶身份而非端口或設(shè)備，以便跨越整個網(wǎng)絡(luò)實現(xiàn)移動性和安全性。當用戶漫游網(wǎng)絡(luò)時，通過網(wǎng)絡(luò)范圍內(nèi)的無線控制器的信息交換，以實現(xiàn)在整個網(wǎng)絡(luò)范圍內(nèi)執(zhí)行一致的訪問和安全策略。同時采用和認證結(jié)合的、以及加密等功能增強了網(wǎng)絡(luò)安全。無線板卡或無線有線一體化的交換機與3C配合組網(wǎng)，可以方便的部署于任何現(xiàn)有的二層網(wǎng)絡(luò)或三層網(wǎng)絡(luò)之中，控制器和通過制定的協(xié)議進行互聯(lián)而無需針對現(xiàn)有網(wǎng)絡(luò)進行重新配置。認證方式及認證點選擇本方案主要采用認證，交換機作為協(xié)議終結(jié)點，用戶管理系統(tǒng)系統(tǒng)為用戶鑒權(quán)點。認證是一種二層認認證機制，建議使用二層信息與帳號進行捆綁，此時的網(wǎng)絡(luò)是一種安全網(wǎng)絡(luò)。整網(wǎng)安全無線網(wǎng)絡(luò)安全部分主要包括以下方面的內(nèi)容：地址過濾：目前我司都支持基于地址的過濾，可以限制具有某種類型的地址特征的終端進入網(wǎng)絡(luò)中，對于大規(guī)模網(wǎng)絡(luò)，使用地址過濾時操作起來具有較大的難度，主要原因是：地址的規(guī)律性不大，所有的都要進行配置，存在缺點：維護工作量不大，故建議：不進行部署，但設(shè)備要具有這樣的能力，以備以后增加相應(yīng)設(shè)備進行配套使用，以增強安全性；管理：是一種網(wǎng)絡(luò)標識的方案，將網(wǎng)絡(luò)進行一個邏輯化標識，對終端上發(fā)的報文都要求進行上帶，如果沒有標識則不能進入網(wǎng)絡(luò)；\加密：加密是一種靜態(tài)加密的機制，通信雙方具有一個共同的密鑰，終端發(fā)送的空口信息報文必須使用共同的密鑰進行加密；屬于一種動態(tài)加密機制，密鑰進行定期的刷新；頻率規(guī)劃802.11g使用開放的頻段，可工作的信道數(shù)為歐洲標準信道數(shù)個。由于其支持直序擴頻技術(shù)造成相鄰頻點之間存在重疊。對于真正相互不重疊信道只有相隔個信道的工作中心頻點。因此對于802.11g在地工作頻段，理論上只能進行三信道的蜂窩規(guī)劃實現(xiàn)對需要規(guī)劃的熱點的無縫覆蓋。此外，由于功率模板是否能做到符合鄰道、隔道不干擾也非常影響頻率規(guī)劃的效果。針對如何進行802.11g的頻率規(guī)劃作了大量的實驗，實驗證明載頻也可以實現(xiàn)蜂窩對需要覆蓋的區(qū)域進行無縫覆蓋，并提供更高的服務(wù)帶寬提高服務(wù)質(zhì)量，和高帶寬業(yè)務(wù)的開展。`頻率規(guī)劃原理圖頻率規(guī)劃需要配合使用的功能包括：支持個信道設(shè)置支持～、～功率以及多級功率控制支持外置天線以及定向天線針對特殊應(yīng)用還需要支持橋接功能、接入功能以及功能網(wǎng)絡(luò)管理基于標準的協(xié)議實現(xiàn)對設(shè)備的管理，3C網(wǎng)管系統(tǒng)通過實現(xiàn)對所有網(wǎng)元的管理。網(wǎng)管工作站可以放在網(wǎng)上的任意位置，通過標準的即可實現(xiàn)對所有設(shè)備的管理。采用標準的可以實現(xiàn)更為強大的管理包括自動拓撲發(fā)現(xiàn)、自動升級、批量配置、分級管理、分級告警等。供電問題由于本次無線網(wǎng)中布放位置根據(jù)實際覆蓋效果而調(diào)整，在已建設(shè)完成的建筑物上較難進行本地供電，對的本地供電問題難度更大，可采用基于標準的實現(xiàn)對的供電。通過在匯集交換機處疊加一個供電電源或者內(nèi)嵌交換機內(nèi)，通過以太網(wǎng)線在傳輸數(shù)據(jù)同時給供電，供電距離達米，滿足實際組網(wǎng)的要求。某學校用戶管理及安全方案園區(qū)網(wǎng)用戶認證管理需求分析隨著網(wǎng)絡(luò)規(guī)模的擴大，用戶不斷的增加，網(wǎng)絡(luò)使用中出現(xiàn)了不少不和諧的聲音：賬戶盜用，惡意欠費，黑客攻擊，反動言論等。這些不和諧的行為影響了正常的網(wǎng)絡(luò)使用，造成了許多安全隱患。為了消除這些隱患，我們需要引入網(wǎng)絡(luò)認證管理技術(shù)，規(guī)范網(wǎng)絡(luò)使用，在提供體現(xiàn)公平、共享原則的同時保護絕大多數(shù)用戶的權(quán)利。在提出解決方案之前我們將相關(guān)需求做一簡單分析：準確的用戶身份確認園區(qū)網(wǎng)計費用戶分為兩類，一類是不計費，另一類是計費。但是無論是計費還是不計費我們都需要對其身份進行準確的識別。這是網(wǎng)絡(luò)安全的需要，同時也是做到準確計費的需要。但是如何進行用戶身份確認呢？這就需要通過認證技術(shù)來實現(xiàn)。目前認證技術(shù)有許多，如認證，認證，認證。這些認證技術(shù)各有千秋，技術(shù)被廣泛的應(yīng)用在寬帶小區(qū)，認證被應(yīng)用在一些信息系統(tǒng)內(nèi)，而認證被應(yīng)用在廣大的校園內(nèi)。這是因為認證具最大的特點是簡單，無需特殊的設(shè)備支持，同時支持任何網(wǎng)絡(luò)應(yīng)用。正是這一點打動許多學校老師的心。本方案將以認證用戶身份確認技術(shù)。全方位的用戶管理方案用戶的管理隨著網(wǎng)絡(luò)的擴大逐步顯得更加的重要，從目前的校園網(wǎng)的建設(shè)來看，不同的學校有著不同的網(wǎng)絡(luò)的管理方式，如：綁定、地址的綁定、卡號密碼的綁定等，不同方式各有千秋。在某學校的網(wǎng)絡(luò)認證管理方面，其我們用戶建議采用地址＋端口的綁定技術(shù)來作為整個校園網(wǎng)管理的主要方式，3C126A接入層交換機支持多種綁定技術(shù)，同樣支持地址＋端口的綁定方式，這樣對于用戶可以直接做到端到端的綁定方式。校園網(wǎng)用戶管理認證方案概述認證管理方案是一個整體的方案在園區(qū)網(wǎng)內(nèi)實施相應(yīng)的管理措施。而且從校園網(wǎng)實際使用情況看，學生宿舍區(qū)的網(wǎng)絡(luò)建設(shè)中認證管理是最為突出的問題，考慮到學生的技術(shù)水平較高、學校內(nèi)喜歡攻擊網(wǎng)絡(luò)的學生較多，在實際的建網(wǎng)過程當中應(yīng)當充分考慮到這些因素可能會帶來的相關(guān)問題，在組網(wǎng)建設(shè)過程當中避免。綜合考慮，3C公司在實際的在建網(wǎng)的過程當中遵循了以下幾點要求：認證交換機。本次方案所采用的所有交換機都支持認證?？紤]認證的效率，本次認證主要由接入層126A交換機來完成。并能夠提供強大的業(yè)務(wù)功能：如：地址綁定等功能。網(wǎng)管平臺。網(wǎng)管軟件對于用戶來說是維護網(wǎng)絡(luò)的重要工具，3C公司網(wǎng)管平臺可以為用戶提供強大的維護功能，同時可以對所管理的接入層交換機進行批量配置，避免用戶繁瑣的工作，同時可以對端口流量進行設(shè)置閥值告警，發(fā)現(xiàn)用戶端口流量較大（如：病毒攻擊），可以通過網(wǎng)管將端口關(guān)閉避免大量垃圾報文，維護網(wǎng)絡(luò)安全。業(yè)務(wù)認證、授權(quán)管理描述考慮到某學校為大學院校，考慮到其的特殊性，有眾多的教師和學校管理層的辦公系統(tǒng)，在業(yè)務(wù)接入的前采用系統(tǒng)對用戶進行用戶名和密碼的認證，同時對客戶端進行控制，防止終端的軟件傳播病毒和對網(wǎng)絡(luò)產(chǎn)生危害，利用系統(tǒng)進行事件審計。認證選擇設(shè)計－認證管理是接入層交換機和認證軟件平臺重要的特性，本次我們建議采用的認證方式作為接入認證的方式。協(xié)議是在通過的正式標準，標準的起草者包括，，，等；定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議（），該協(xié)議適用于接入設(shè)備與接入端口間點到點的連接方式，其中端口既可以是物理端口，也可以是邏輯端口。3C公司的網(wǎng)絡(luò)設(shè)備對做了擴充，使其可以基于地址進行網(wǎng)絡(luò)接入控制。的體系結(jié)構(gòu)中包括三個部分：()用戶接入設(shè)備()接入控制單元()認證服務(wù)器接入層設(shè)備需要實現(xiàn)的認證系統(tǒng)部分；用戶接入設(shè)備()需要有的客戶端軟件；認證服務(wù)器可以是的服務(wù)器，也可以是傳統(tǒng)的服務(wù)器；傳輸介質(zhì)為點對點以太網(wǎng)（即直接通過網(wǎng)線連接到的端口），如果是共享式以太網(wǎng)，則需要采用加密的方式（）傳遞認證信息。概念解釋：，即之縮寫，意為端口接入實體：發(fā)起接入請求的，指一般：駐留在接入設(shè)備上的驗證模塊受控端口是系統(tǒng)的核心概念()內(nèi)部有受控端口（）和非受控端口（）。()非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞協(xié)議幀，可保證始終可以發(fā)出或接受認證。受控端口只有在認證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。()受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應(yīng)不同的應(yīng)用環(huán)境。輸入受控應(yīng)用在集中桌面管理的應(yīng)用場合,例如管理員即使在客戶端關(guān)機的情況下也能將通過受控端口向用戶計算機發(fā)送遠程開機命令。()3C公司的平臺的子系統(tǒng)擴展了多種受控端口類型,以支持復(fù)雜的應(yīng)用環(huán)境。的認證模式：端口認證模式：：常開模式。端口一直維持授權(quán)狀態(tài)，設(shè)備端不主動發(fā)起認證；：常關(guān)模式。端口一直維持非授權(quán)狀態(tài)，忽略所有客戶端發(fā)起的認證請求；：協(xié)議控制模式。設(shè)置端口初始狀態(tài)為非授權(quán)狀態(tài)，使端口僅允許報文收發(fā)，如果認證流程通過，端口切換到授權(quán)狀態(tài)；的子系統(tǒng)允許一個物理端口下有多個受控端口，在一個物理端口下的所有受控端口只能配置成相同的端口認證模式，這種限制是為了方便管理員配置。協(xié)議定義了一種基于的認證方法，在協(xié)議中允許允許一個物理端口下有多個受控端口，應(yīng)該是為了便于實現(xiàn)對的擴充，如在物理端口下開發(fā)基于地址的認證，每個地址將有一個動態(tài)的邏輯端口，邏輯端口的狀態(tài)是受控的。也可以開發(fā)基于的認證，等等。端口類型：()邏輯端口(默認)：一個邏輯端口對應(yīng)一個物理端口，對應(yīng)一個狀態(tài)機實體。這種端口類型的認證與和認證方式相比，有缺陷，無法靈活地應(yīng)用到運營商的寬帶城域網(wǎng)(可參考華為技術(shù)報上的<<認證技術(shù)>>一文)。()邏輯端口＋源：這種類型的受控端口為每一個客戶端創(chuàng)建一個狀態(tài)機實體。每個物理端口上受控端口的個數(shù)是有限制的(可配置)，當有客戶端發(fā)送請求認證報文時提取客戶端源地址，做為受控端口的標識。客戶端注銷時對應(yīng)的受控端口資源被釋放。()邏輯端口＋源：這種擴展的受控端口類型,主要是配合方式組網(wǎng)上實現(xiàn)的受控端口類型，邏輯端口可以定位到下層的物理和邏輯端口，源地址可以區(qū)分到客戶端。3C公司網(wǎng)絡(luò)產(chǎn)品支持以下的基本認證方式：本地認證：接入設(shè)備根據(jù)用戶名在本設(shè)備的數(shù)據(jù)庫查找，若存在相同的用戶名和密碼則驗證通過,否則驗證失敗。認證：接入設(shè)備通過報文與服務(wù)器交互報文，由服務(wù)器完成對用戶身份合法性的驗證。認證：，用戶以明文的形式把用戶名和他的密碼傳遞給接入設(shè)備的驗證方式。認證：，當用戶請求上網(wǎng)時，接入設(shè)備生成一個字節(jié)的隨機碼給用戶，同時還有一個號及接入設(shè)備的?？蛻舳说玫竭@個包后使用自己獨用的設(shè)備或軟件對傳來的各域進行加密，生成一個傳給接入設(shè)備，接入設(shè)備根據(jù)用戶名在本端或服務(wù)器查找，得到和用戶端進行加密所用的一樣的密碼，然后根據(jù)原來的字節(jié)的隨機碼進行加密，將其結(jié)果與作比較，若相同表明驗證通過，否則驗證失敗。認證時，密碼經(jīng)過了算法加密處理，防止報文被截獲。某學校的認證過程首先某學校的端口模式采用網(wǎng)關(guān)模式，首先上網(wǎng)終端通過的客戶端收入用戶名、密碼后客戶端發(fā)起報文至（126A），在126A上終結(jié)報文，然后從126A再次發(fā)起報文至認證服務(wù)器，由來驗證用戶名、密碼是否匹配，在認證通過以后由認證服務(wù)器下發(fā)報文至126的認證方式最為主要的三點是：.認證的的客戶端的功能。.認證的；.與認證服務(wù)器的配合。3C公司自主開發(fā)的客戶端以及認證服務(wù)器，在實際的應(yīng)用中配合華為的接入層交換機126A最終完成的認證。用戶管理系統(tǒng)對用戶上網(wǎng)認證的管理用戶需求分析某學校校園網(wǎng)的管理基本上分為以下幾個方面：用戶信息的搜集用戶信息的搜集是網(wǎng)絡(luò)開通前網(wǎng)管人員的首要任務(wù)，此時需要搜集的信息可能包含有：學生的學號、用戶主機的地址、用戶接入的端口、分給用戶的地址、用戶的性別、用戶的宿舍號、用戶的學院、或是我們需要用戶提供的相關(guān)特性。此過程可能是用戶工作量最大的一個過程。學生用戶的開戶開戶的過程是網(wǎng)絡(luò)人員的針對用戶的需求進行開戶，用戶把錢交給網(wǎng)絡(luò)中心為用戶提供開戶業(yè)務(wù)，提供給用戶網(wǎng)絡(luò)資源。網(wǎng)絡(luò)安全控制該過程是網(wǎng)管人員對上網(wǎng)用戶進行實時檢測的過程，網(wǎng)管人員要確保網(wǎng)絡(luò)的安全，要對用戶上網(wǎng)的動作進行監(jiān)控，并有效的防止網(wǎng)絡(luò)當中存在的各種非法操作用戶?！傊?，整個網(wǎng)絡(luò)的開通、運行、維護是一個持續(xù)、巨大工作量的過程，網(wǎng)管人員是這些任務(wù)的承擔者。用戶管理系統(tǒng)解決方案下面我們再來看一下用戶管理系統(tǒng)是如何解決用戶的相關(guān)問題。用戶相關(guān)信息的搜集用戶管理系統(tǒng)的“用戶預(yù)注冊”解決網(wǎng)管人員搜集用戶信息中遇到的問題，傳統(tǒng)的方式是通過網(wǎng)管人員的信息錄入來搜集客戶的信息，這種方式使得網(wǎng)管人員的工作量劇增。舉例來說，一個用戶的開戶工作，我們假設(shè)個用戶的錄入工作需要分鐘（包括檢查用戶提供的信息是否正確）用戶需要的工作量就是×＝分鐘，共計小時，按照一天小時工作時間計算，共需要天，這樣的工作量對網(wǎng)管人員來說是不可忍受的，用戶管理系統(tǒng)支持用戶預(yù)注冊功能，所有的用戶名密碼等信息都由用戶自己輸入，而且用戶如果我們還需要部分信息還可以進行定制。用戶預(yù)注冊：用戶預(yù)注冊可以幫助用戶在開戶前的相關(guān)信息的搜集，用戶可以通過固定的網(wǎng)上申請用戶名、密碼等相關(guān)信息，而且網(wǎng)管人員需要搜集的信息可以在“用戶附加信息”中進行自行定義，定義的方式也是可選的，可以是下拉菜單方式的、也可以是輸入的，為了避免用戶輸錯，可規(guī)定輸入文檔的格式，詳見“用戶附加信息”。我們可以在用戶預(yù)注冊的時候要求用戶輸入我們要搜集的相關(guān)、工號、單位等信息。 用戶附加信息： 用戶附加信息是為了給網(wǎng)管人員自助定義用戶信息的工具，每個網(wǎng)管人員標識用戶的方法、種類可能各不相同，用戶附加信息如下所示： 網(wǎng)管人員可以在用戶附加信息選項中靈活定義需要用戶輸入的信息，同時可以選擇這些字段是否在用戶預(yù)注冊時必須輸入。這樣用戶信息的搜集就由網(wǎng)管人員主動搜集變?yōu)橛脩糁鲃由蠄螅W(wǎng)管人員需要作的更多的是用戶開戶時信息的確認。開戶過程我們剛才講了用戶通過預(yù)注冊的功能可以實現(xiàn)在網(wǎng)上進行預(yù)注冊，那接下來應(yīng)該做些什么呢？接下來網(wǎng)管人員要在用戶管理系統(tǒng)上先定義用戶群的服務(wù)（即：計費策略及管理策略），如：用戶群體，采用包月的方式；用戶群體采用按時長收費的方式；用戶群體……。服務(wù)策略的配置：服務(wù)的配置當中含有多種的策略，包括：計費策略、綁定策略、安全策略等等。如圖所示：在服務(wù)策略中，我們可以講用戶的、、交換機端口、、賬號等多種元素進行綁定，也可以選擇性的進行綁定；計費策略中我們可以規(guī)定按時長收費還是包月收費；同時用戶管理系統(tǒng)也是配置是否對客戶端的檢測啟用安全策略，對于的防止同樣也是多種方式的；同時用戶管理系統(tǒng)可以實現(xiàn)用戶的獲取地址方式的定義。 用戶繳費開戶（三“點”一“輸入”） 用戶繳費開戶對于用戶管理系統(tǒng)來說再簡單不過了，一個用戶的開戶只需要進行鼠標輕輕的點擊三下、輸入一次，就可以實現(xiàn)。具體的步驟如下：首先，在用戶預(yù)注冊清單中找到用戶提交的預(yù)注冊信息：我們在預(yù)注冊用戶管理中找到了剛才剛剛預(yù)注冊的用戶名為“”的用戶，下面我們來進行所謂的“三點一輸入”來進行開戶。 正式注冊：一點擊“正式注冊”一輸入用戶的繳費信息，二點擊用戶的服務(wù)（學生包月），三點擊確定。一個用戶的開戶過程就是如此簡單，加上用戶預(yù)注冊中的相關(guān)信息的檢查，一個用戶秒鐘就可以輕松的開戶，用戶的網(wǎng)絡(luò)幾個小時就可以完成開戶工作，大大減少了網(wǎng)管人員的額工作量。自定義開戶。用戶的開戶還可以通過用戶管理系統(tǒng)進行自定義的開戶，也就是每個賬號是由網(wǎng)管人員進行開戶的，所有的信息都時網(wǎng)管人員自己錄入，當然，網(wǎng)管人員可以通過用戶管理系統(tǒng)進行批量的用戶開戶，或是采用與原有的數(shù)據(jù)庫批量導(dǎo)入。這種方式與用戶預(yù)注冊的方式相比就顯得有些麻煩。網(wǎng)絡(luò)安全控制用戶管理系統(tǒng)除了可以大大減少用戶的工作量以外，還可以給用戶提供強大的安全管理措施。元素的綁定技術(shù)。用戶管理系統(tǒng)可以實現(xiàn)通過服務(wù)器的、、地址等綁定技術(shù)，在實際應(yīng)用的過程當中，用戶管理系統(tǒng)可以對接入用戶的各種元素進行綁定對于各種元素的靈活綁定可以實現(xiàn)各種接入方式，如：綁定與賬號，就可以實現(xiàn)賬號與主機的對應(yīng)；綁定、、端口、、賬號，就可規(guī)定用戶采用自己的主機、規(guī)定的、從規(guī)定的端口進行接入。元素的綁定技術(shù)對于網(wǎng)絡(luò)的管理安全起了重要的作用，通過元素的綁定技術(shù)可以大大提高網(wǎng)絡(luò)的安全性。訪問時間的控制。用戶管理系統(tǒng)可以實現(xiàn)對接入用戶的上網(wǎng)時間的規(guī)定，網(wǎng)管人員可以規(guī)定用戶允許接入的時間段，如：上午：—晚上：，在這段時間內(nèi)允許用戶接入網(wǎng)絡(luò)，其余時間，禁止接入。用戶的禁止。用戶管理系統(tǒng)可以對接入層用戶進行有效的控制，配合3C的客戶端可對各種用戶進行禁止。屏蔽非3c客戶端，可以實現(xiàn)對于非3c客戶端的用戶禁止接入；屏蔽代理，對于在中設(shè)置代理的用戶可以實時進行檢測，一旦發(fā)見，禁止用戶進行上網(wǎng)操作；屏蔽雙網(wǎng)卡，對于存在兩個活動網(wǎng)卡的用戶，用戶管理系統(tǒng)可以通知用戶存在兩個活動的網(wǎng)卡，用戶必須對其中的一個網(wǎng)卡進行禁用才能夠接入網(wǎng)絡(luò)；對于任何形式代理的禁止，用戶管理系統(tǒng)可以實現(xiàn)對任何形式的用戶的禁止，無論用戶采用何種的方式，如果不產(chǎn)生動作就不進行操作，當用戶一旦發(fā)生了的動作，用戶管理系統(tǒng)就下發(fā)下線通知，強制用戶下線，對于以上的禁止方式，是可以進行靈活選擇，滿足不同組網(wǎng)需要。黑名單。用戶管理系統(tǒng)支持對用戶的非法動作進行判斷，屏蔽的功能，當某用戶通過自己的主機驗證別人的用戶名、密碼時，當其三次認證不通過就將自動屏蔽該用戶在這臺主機的認證，只有第二天才能夠重新認證，認證的同時并將該用戶賬號以及對應(yīng)驗證主機的地址進行記錄，便于事后的追查。靈活、開放的計費策略用戶管理系統(tǒng)系統(tǒng)采用開放、抽象的計費模型，具有良好的適應(yīng)性和擴充性，能夠滿足不同應(yīng)用場合的計費需求，用戶可以根據(jù)運營的需要輕松定制計費方式和費率。支持純包月、包月限時、包月限流量等易于管理的包月型計費方式。支持包月暫停的功能，可以使用戶的包月截止日期順延，并支持用戶認證上網(wǎng)自動取消暫停。包月計費。用戶管理系統(tǒng)可以實現(xiàn)包月計費的策略，對于用戶來說可以實現(xiàn)包月計費策略，同時用戶管理系統(tǒng)可以支持包月暫停功能，用戶可以自助登陸到自助服務(wù)頁面，點擊“暫?！保憧梢詫崿F(xiàn)用戶的包月暫停，無需通過網(wǎng)管中心工作人員，大大減輕了工作人員的工作量。用戶管理系統(tǒng)可以實現(xiàn)按流量計費的策略，用戶管理系統(tǒng)與或配合可以實現(xiàn)用戶按流量收費的計費策略，同樣可以限制用戶的流量，即包月限流量，當用戶的流量達到包月數(shù)值時，用戶管理系統(tǒng)可強制用戶下線。支持按使用量分檔計費和獎勵：對不同的使用量設(shè)置不同的費率，用的越多越便宜。支持時段優(yōu)惠：在正常費率的基礎(chǔ)上對在某些時段的接入給予一定的折扣優(yōu)惠，如周末優(yōu)惠、假日優(yōu)惠等?；诓煌康牡刂返牧髁坑嬞M策略。用戶管理系統(tǒng)可以實現(xiàn)基于不同目的或源地址采用不同計費策略的方式，滿足用戶的不同需求。不同賬號不同網(wǎng)段訪問權(quán)的策略。用戶管理系統(tǒng)可以根據(jù)用戶需求，與配合實現(xiàn)對于不同賬號對應(yīng)不同目的訪問權(quán)的功能，用戶的賬號可以分為多種權(quán)限賬號進行設(shè)定。批量操作功能為了減少用戶的工作量，用戶管理系統(tǒng)可以支持賬號的批量配置，網(wǎng)管人員可以通過網(wǎng)絡(luò)對用戶進行批量的賬號續(xù)費、批量的賬號注冊、批量的時間補償、加入黑名單等工作，大大減少了用戶的工作量，提高了工作效率。完善的用戶行為監(jiān)控用戶管理系統(tǒng)提供強大的“黑名單”管理策略，可以將惡意猜測密碼的用戶加入黑名單，并可按、地址跟蹤非法行為的來源。管理員可以實時監(jiān)控在線用戶，強制非法用戶下線。支持消息下發(fā)，管理員可以通過用戶管理系統(tǒng)向上網(wǎng)用戶發(fā)布通知消息，如“系統(tǒng)升級，網(wǎng)絡(luò)將在分中后切斷”、“您的密碼遭惡意試探，請注意保護密碼安全”等。用戶管理系統(tǒng)記錄認證失敗日志、并可以全面跟蹤用戶上網(wǎng)流程，方便定位與解決用戶無法接入、異常斷線等問題。與硬件平臺無關(guān)。用戶管理系統(tǒng)基于操作系統(tǒng)，并可實現(xiàn)基于不同的硬件平臺，操作平臺可以實現(xiàn)對各種基于平臺的病毒進行屏蔽，更大程度上滿足了網(wǎng)絡(luò)的高安全性要求。同時用戶管理系統(tǒng)也有系統(tǒng)的版本。準確、實用的賬務(wù)處理用戶管理系統(tǒng)系統(tǒng)采用開放、抽象的計費模型，具有良好的適應(yīng)性和擴充性，能夠滿足不同應(yīng)用場合的計費需求，用戶可以根據(jù)運營的需要輕松定制計費方式和費率。支持實時預(yù)付費和后付費兩種付費方式，滿足不同用戶群的消費習慣支持營業(yè)廳繳費、充值卡繳費以及批量繳費，簡化管理員和用戶的續(xù)費操作。支持手工出賬及自動出賬，便于及時對臨時性用戶（比如酒店客戶）進行費用結(jié)算。用戶管理系統(tǒng)記錄詳盡的用戶上網(wǎng)明細、賬單和繳費信息，提供查詢與打印功能，有效避免賬務(wù)糾紛。用戶欠費、余額不足或包月即將到期時，用戶管理系統(tǒng)可以通過郵件和認證客戶端進行費用催繳。用戶管理系統(tǒng)支持用戶信息、上網(wǎng)明細、用戶賬單和繳費記錄的手工和自動導(dǎo)出，方便與第三方賬務(wù)管理系統(tǒng)的對接。簡單、易用的管理平臺用戶管理系統(tǒng)提供了基于的管理界面和幫助系統(tǒng)，管理員無需安裝任何客戶端軟件，就可以通過瀏覽器完成系統(tǒng)管理工作，為管理員提供了最大程度的方便性。集中、方便的用戶管理基于服務(wù)的用戶分組管理，用戶的認證綁定策略、訪問權(quán)限、計費策略均封裝于服務(wù)中，簡化管理員的操作，保證網(wǎng)絡(luò)管理模式的統(tǒng)。豐富的批量操作，提供批量開戶、批量續(xù)費、批量銷戶、批量修改等功能，便于用戶數(shù)據(jù)的集中維護。自定制的用戶信息管理，管理員可根據(jù)網(wǎng)絡(luò)運營的習慣進行用戶信息定制：如學校可以定制學號、年級等信息，企業(yè)可以定制部門、職務(wù)等信息?；诘挠脩纛A(yù)注冊，用戶可以先通過填寫用戶信息后，再到營業(yè)廳正式開通賬號，保證用戶信息的準確性，減輕管理員的維護工作量。提供卡號管理功能，與一般的上網(wǎng)卡類似，卡號可以批量生成和發(fā)布，降低管理成本。豐富、直觀的統(tǒng)計報表用戶管理系統(tǒng)提供了豐富的圖形和表格樣式的報表，可以方便的生成、導(dǎo)出和打印。統(tǒng)計報表的主要用途包括：統(tǒng)計每小時平均在線用戶數(shù)，發(fā)現(xiàn)繁忙時段統(tǒng)計每天（月）的上網(wǎng)流量和時長，掌握網(wǎng)絡(luò)使用情況。統(tǒng)計用戶每月的消費情況，發(fā)現(xiàn)重要客戶。統(tǒng)計系統(tǒng)注冊用戶和新注冊用戶數(shù)，掌握業(yè)務(wù)發(fā)展狀況。統(tǒng)計操作員收費情況，了解網(wǎng)絡(luò)的運營收益。完備的系統(tǒng)管理與監(jiān)控靈活的業(yè)務(wù)運行參數(shù)配置，管理員可根據(jù)組網(wǎng)和運營環(huán)境進行功能定制。操作級的管理員權(quán)限控制，可為不同管理員設(shè)置基于角色的操作權(quán)限，如系統(tǒng)管理員、賬務(wù)管理員、前臺營業(yè)員等；此外，系統(tǒng)提供詳細的操作員操作日志，便于對管理員的操作進行跟蹤。用戶管理系統(tǒng)能對自身運行狀況進行實時監(jiān)控，并且可以通過郵件將系統(tǒng)告警發(fā)給管理員，便于管理員及時了解系統(tǒng)運行狀況，采取響應(yīng)措施。內(nèi)置功能用戶管理系統(tǒng)內(nèi)置了服務(wù)器，可以為用戶指定分配策略，將用戶與地址或地址池的綁定，為用戶動態(tài)分配固定地址，實現(xiàn)基于用戶的地址統(tǒng)一管理，既減少了管理員的維護工作量，又可以有效防止地址沖突?；诘挠脩糇灾脩艄芾硐到y(tǒng)提供終端用戶自助服務(wù)，用戶登錄到指定的網(wǎng)站，即可查詢個人信息、上網(wǎng)明細、費用余額、繳費記錄，修改上網(wǎng)密碼和個人信息，自助充值，暫?；蚧謴?fù)包月。忘記密碼時，用戶還可以通過自助頁面取回密碼。此外，用戶還可以通過用戶管理系統(tǒng)認證客戶端修改上網(wǎng)密碼，方便用戶操作。用戶管理系統(tǒng)可直接實現(xiàn)制卡功能，用戶可以根據(jù)需要進行制卡，學生可以通過自助平臺輸入卡號密碼進行充值，進而完成上網(wǎng)充值。友好的開放性用戶管理系統(tǒng)可以根據(jù)用戶需求提供特性功能的開發(fā)，3C可以針對用戶需求為用戶進行用戶管理系統(tǒng)功能的開發(fā)，同時可以為用戶提供對接以及開發(fā)接口，用戶可以根據(jù)自己需求靈活開發(fā)，滿足自己的需求。業(yè)務(wù)認證流程在某學校網(wǎng)絡(luò)建設(shè)當中我們建議采用自動綁定地址＋＋端口的綁定技術(shù)來作為認證管理方式，將每個學生的計算機與交換機上的每個端口進行一一綁定，這樣對于學生來說只能夠在自己的計算機上，并接到自己的端口上才能夠?qū)崿F(xiàn)上網(wǎng)，同時，對于維護人員來說也可以做到到端口的管理。自動綁定技術(shù)可以大大減少用戶的工作量同時提高用戶的如圖所示3C公司126A交換機對于多種的用戶接入方式均可以靈活的實現(xiàn)控制，設(shè)計如下：防止用戶。對于接入層用戶采用（單雙、網(wǎng)卡）的方式進行接入的，126A交換機可以配合客戶端來了解用戶的目前狀態(tài)，當了解到用戶具有兩個活動的地址時，可以強制接入用戶下線。盜用的用戶限制。對于上網(wǎng)用戶更改自己的地址的方式，3C126A交換機可以實現(xiàn)端口＋地址的綁定，當用戶更改自己的地址的時候，交換機會自動檢測，發(fā)現(xiàn)與綁定地址不相符就可以直接強制用戶下線。地址自學習功能。對于學校的網(wǎng)絡(luò)管理中心來說，對于做地址綁定的方式要對全校的上網(wǎng)用戶進行地址統(tǒng)計，并對統(tǒng)計上來的地址進行核對，3C網(wǎng)管軟件可以實現(xiàn)地址的批量自學習的功能，用戶在第一次上網(wǎng)的時候126A交換機可以直接將用戶的地址上傳到網(wǎng)管軟件上，網(wǎng)管可以直接記錄用戶的地址，通過網(wǎng)管可批量下發(fā)綁定命令，直接實現(xiàn)接入層交換機的地址＋端口的綁定，可以大大節(jié)省維護人員的工作量。新增用戶的批量配置。對于新增用戶的管理，學校每個月將會有部分的新增用戶，對于新增用戶的地址綁定是一件工作量較大的工作，3C網(wǎng)管軟件可以直接實現(xiàn)對于用戶的批量配置工作，維護人員將新增用戶的地址、端口以及物理位置（交換機的端口）形成文件，通過可以直接進行批量的配置，進而減少用戶的工作量。地址更改的用戶限制。對于上網(wǎng)用戶更改自己的地址的方式，由于用戶在上網(wǎng)時已經(jīng)實現(xiàn)了地址＋端口的綁定，所以一旦用戶更改地址，126A將強制用戶下線管理。存在內(nèi)置的，對于接入用戶，可以實現(xiàn)接入用戶的動態(tài)的地址在匯聚層交換機上來實現(xiàn)，每個匯聚層交換機負責所轄用戶的動態(tài)地址的分配，從而減輕用戶的維護工作量。移動用戶的認證管理。學校存在著一定數(shù)量的移動用戶，對于移動用戶的認證管理對于學校來說也是至關(guān)重要的，3C126A交換機可以支持動態(tài)的技術(shù)，即與地址相對應(yīng)，對于用戶雖然在不同的物理位置只要其對應(yīng)的（地址）是綁定的即可以實現(xiàn)上網(wǎng)，這樣即方便了移動用戶，又實現(xiàn)了對移動用戶的管理。管理方案的堅定執(zhí)行者：126A智能交換機端口＋＋地址的綁定：學生宿舍區(qū)的用戶上網(wǎng)的安全性非常重要，3C可以做到，端口地址的綁定關(guān)系，3C交換機可以支持基于地址的認證，整機最多支持個下掛用戶的認證。地址的綁定可以直接實現(xiàn)用戶對于邊緣用戶的管理，提高整個網(wǎng)絡(luò)的安全性、可維護性。如：每個用戶分配一個端口，并與該用戶主機的、、等進行綁定，當用戶通過客戶端認證通過以后用戶便可以實現(xiàn)地址＋端口＋＋用戶的綁定，這種方式具有很強的安全特性：防的攻擊，防止用戶的地址的欺騙，對于更改地址的用戶（地址欺騙的用戶）可以實現(xiàn)強制下線。無線網(wǎng)的構(gòu)建為什么要選用模式的組網(wǎng)為現(xiàn)有無線網(wǎng)絡(luò)建設(shè)中廣泛采用的模式，集中式無線架構(gòu)不但能方便地實施二層漫游，而且非常有利于跨三層的漫游實現(xiàn)，用部署的網(wǎng)絡(luò)，由于之間傳遞的信息有限，導(dǎo)致垮三層的漫游實現(xiàn)及其麻煩，集中式架構(gòu)非常容易解決跨三層漫游的問題。同時無線的模式，還能解決模式無法解決的信道沖突、智能的負載分擔、無線入侵檢測和靈活的接入用戶控制等功能。802.11a是無線接入的主流，隨著的成熟，現(xiàn)有的網(wǎng)絡(luò)需要無縫集成，因此，應(yīng)用的解決方案既要能滿足802.11a的數(shù)據(jù)處理，又要能夠滿足的數(shù)據(jù)處理。部署的方式相對于部署方式的優(yōu)勢：

配置簡單：零配置、所有的配置集中在無線交換機上完成，簡單便捷；

維護方便：管理、維護針對無線交換機來實現(xiàn)，不需要對每一臺進行操作；

易于升級：針對特性增加帶來的軟件版本升級需求，只需要對無線交換機進行操作即可，不需要對每一臺無線單獨升級；

安全可控：可以集中進行射頻及功率、信道調(diào)整，黑白名單、無線入侵檢測、安全訪問控制等功能；

更易擴展：根據(jù)需要，可以靈活增加補點，支持三層漫游，方便擴展支持無線監(jiān)控、話音應(yīng)用等業(yè)務(wù)。為什么要采用供電對于吉林省高法的無線網(wǎng)部署，為室內(nèi)無線應(yīng)用，多數(shù)的需要吸頂安裝，這樣如果采用交流電源供電，就為消防安全提出了挑戰(zhàn)，以后的防火和電源維修工作帶來了諸多問題，解決無線供電問題，是保障無線部署位置靈活性的重要前提。這就要求在具有本地供電能力的同時，可以通過實現(xiàn)遠程供電。目前有兩類解決方案，供電模塊和供電交換機。為了保證供電的可靠性，采用供電交換機為單路無線提供電源是首選，交換機采用一體化的設(shè)計，相對供電模塊減少了維護的環(huán)節(jié)，為將來網(wǎng)絡(luò)的維護和排查提供了便利。為什么要采用吸頂天線辦公室無線部署，可以采用壁掛，或吸頂方式，對于吸頂安裝部署，有如下建議，為了保證更好的覆蓋效果，一般建議在天花板安裝吸頂天線，尤其是在天花板吊頂是鋁合金扣板的情況下必須使用吸頂天線，否則覆蓋效果會很差。如果使用吸頂，在安裝時，可以將放在房間一角方便安裝維護和取電的地方，然后通過射頻電纜把吸頂天線引導(dǎo)房間中部區(qū)域即可。

對于鋼筋混凝土領(lǐng)導(dǎo)辦公區(qū)，如果隔墻是鋼筋混凝土材質(zhì)的厚墻，可以在每個房間部署一個，如果隔墻是輕鋼龍骨＋石膏板方式，建議在走廊部署，來覆蓋－個辦公室。無線設(shè)備的部署位置關(guān)系到后期使用中的效果，一般在無線部署中，有物體的遮擋就有對無線信號的干擾，在遮擋類型中，水的遮擋對于無線的損耗是最大的，為保證人體的行動對無線網(wǎng)絡(luò)使用環(huán)境的影響最小，建議采用吸頂安裝。無線管理有線無線一體化拓撲3C無線業(yè)務(wù)拓撲幫助管理員直觀了解網(wǎng)絡(luò)部署情況及設(shè)備鏈路當前狀態(tài)?？筛鶕?jù)不同的方式組織資源，有效進行拓撲分組、真實反映全網(wǎng)資源情況。支持物理位置視圖顯示，管理員可根據(jù)需要創(chuàng)建多緯度、多層次的物理位置結(jié)構(gòu)，并在指定建筑物底圖上根據(jù)真實情況擺放設(shè)備，逼近真實網(wǎng)絡(luò)環(huán)境。圖有線無線一體化管理拓撲3C可以實現(xiàn)有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)一體化的管理，多種視圖呈現(xiàn)網(wǎng)絡(luò)資源，網(wǎng)絡(luò)部署情況更加清晰；多緯度、多層次、自定義的資源分組管理，有效組織全網(wǎng)資源；從紛繁復(fù)雜的網(wǎng)絡(luò)中抽象出邏輯化的無線業(yè)務(wù)拓撲，使無線網(wǎng)絡(luò)展示更加清晰；強大的故障管理能力及設(shè)備狀態(tài)實時顯示功能，使管理員對網(wǎng)絡(luò)運行情況了如指掌。的優(yōu)勢可以將ＷＬＡＮ的傳輸速率由目前的及802.11g提供的54M提高到108M，甚至高達500M；同時，利用（多入多出）與（正交頻分復(fù)用）技術(shù)，不但使傳輸速率得到極大提升，還提高了無線傳輸質(zhì)量。在兼容性方面，采用了軟件無線電技術(shù)，使得的兼容性得到極大改善。不但可以實現(xiàn)前后兼容，而且可以實現(xiàn)與無線廣域網(wǎng)絡(luò)的結(jié)合，比如3G。零配置無線網(wǎng)構(gòu)建解決方案傳統(tǒng)的網(wǎng)絡(luò)都是為企業(yè)或家庭內(nèi)少量移動用戶的接入而組建的，這類網(wǎng)絡(luò)典型的組網(wǎng)方式是采用＋有線交換機的分布式組網(wǎng)模式，由來完成用戶的無線接入、用戶權(quán)限認證、用戶安全策略實施，對網(wǎng)絡(luò)設(shè)備的管理也是分布式的。隨著技術(shù)的成熟和應(yīng)用的普及，越來越多的企業(yè)開始大規(guī)模部署網(wǎng)絡(luò)，接入的用戶數(shù)和無線設(shè)備的規(guī)模都在成倍增長，網(wǎng)絡(luò)維護人員在建設(shè)和維護網(wǎng)絡(luò)時發(fā)現(xiàn)采用傳統(tǒng)的組網(wǎng)和管理模式已經(jīng)很難適應(yīng)現(xiàn)有的網(wǎng)絡(luò)規(guī)模。目前在中大型網(wǎng)絡(luò)的建設(shè)和維護中遇到的主要問題有：)

建網(wǎng)時需要對成百上千的進行逐一配置：網(wǎng)管地址、和加密認證方式等無線業(yè)務(wù)參數(shù)、信道和發(fā)射功率等射頻參數(shù)、和等服務(wù)策略，很容易因誤配置而造成配置不一致。)

為了管理，需要維護大量的地址和設(shè)備的映射關(guān)系，每新增加一批設(shè)備都需要進行地址關(guān)系維護。)

接入的邊緣網(wǎng)絡(luò)需要更改、等配置以適應(yīng)無線用戶的接入，為了能夠支持用戶的無縫漫游，需要在邊緣網(wǎng)絡(luò)上配置所有無線用戶可能使用的和。)

察看網(wǎng)絡(luò)運行狀況和用戶統(tǒng)計時需要逐一登錄到設(shè)備才能完成察看。在線更改服務(wù)策略和安全策略設(shè)定時也需要逐一登錄到設(shè)備才能完成設(shè)定。)

升級軟件無法自動完成，維護人員需要手動逐一對設(shè)備進行軟件升級，費時費力)

設(shè)備的丟失意味著網(wǎng)絡(luò)配置的丟失，在發(fā)現(xiàn)設(shè)備丟失前，網(wǎng)絡(luò)存在入侵隱患，在發(fā)現(xiàn)設(shè)備丟失后又需要全網(wǎng)重配置。隨著建網(wǎng)、組網(wǎng)問題的不斷出現(xiàn)，一種全新的網(wǎng)絡(luò)架構(gòu)－無線控制器＋集中式管理模式應(yīng)運而生。無線控制器＋控制架構(gòu)對設(shè)備的功能進行了重新劃分，其中無線控制器負責無線網(wǎng)絡(luò)的接入控制，轉(zhuǎn)發(fā)和統(tǒng)計、的配置監(jiān)控、漫游管理、的網(wǎng)管代理、安全控制；負責報文的加解密、的功能、接受無線控制器的管理、空口的統(tǒng)計等簡單功能。3C公司在支持這種新的網(wǎng)絡(luò)架構(gòu)時將一些新的智能功能集成進和無線控制器中，以便于給用戶呈現(xiàn)統(tǒng)一的網(wǎng)絡(luò)管理接口：、的配置保存在無線控制器中，啟動時會自動從無線控制器下載合適的設(shè)備配置信息。、需要能夠自動獲取地址，同時需要能夠自動發(fā)現(xiàn)可接入的無線控制器，并對無線控制器和之間的網(wǎng)絡(luò)拓撲不敏感。、無線控制器支持的配置代理和查詢代理，能夠?qū)⒂脩魧Φ呐渲庙樌麄鬟_到指定的設(shè)備，同時可以實時察看的狀態(tài)和統(tǒng)計信息。、無線控制器保存的最新軟件，并負責軟件的自動更新。

3C公司通過這一全新的網(wǎng)絡(luò)管理接口可以很好的解決目前中大型網(wǎng)絡(luò)組網(wǎng)中存在的管理問題：、用戶只需要建立業(yè)務(wù)參數(shù)模板和設(shè)備參數(shù)模板，并設(shè)定指定的引用這些模板，當啟動時無線控制器會根據(jù)預(yù)先的配置引用信息給下發(fā)配置，用戶的配置工作量大大減少。、用戶對的管理是通過無線控制器來代理完成，網(wǎng)管不再關(guān)心的地址，和無線控制器之間的關(guān)聯(lián)是自動完成，不再需用戶對進行的配置干預(yù)。、無線用戶的數(shù)據(jù)報文被封裝在和間的數(shù)據(jù)隧道中，接入的邊緣網(wǎng)絡(luò)不需要再為無線用戶的接入而更改和等配置。、無線控制器保存了所管理的的運行狀況和在線用戶統(tǒng)計信息，維護人員只需登錄到指定的無線控制器就可以完成信息察看。用戶對的管理是通過無線控制器來代理完成，因此在線更改服務(wù)策略