中學(xué)校園網(wǎng)絡(luò)建設(shè)方案設(shè)計(jì)

./XX學(xué)校校園信息化網(wǎng)絡(luò)建設(shè)規(guī)劃建議方案數(shù)字化校園網(wǎng)絡(luò)建設(shè)方案目錄1普教數(shù)字化校園建設(shè)與應(yīng)用概述31.1數(shù)字化校園概述31.2數(shù)字化校園的應(yīng)用現(xiàn)狀31.3數(shù)字化校園的發(fā)展階段及趨勢(shì)42xxx中學(xué)網(wǎng)絡(luò)需求分析52.1XXXXX中學(xué)網(wǎng)絡(luò)現(xiàn)狀5需求不間斷的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)5需求易管理的網(wǎng)絡(luò)運(yùn)維5需求安全報(bào)障6需求統(tǒng)一身份認(rèn)證6需求單點(diǎn)登錄、統(tǒng)一信息門戶63XXXXX中學(xué)數(shù)字校園建設(shè)設(shè)計(jì)63.1數(shù)字校園整體架構(gòu)63.2XXXXX中學(xué)改造網(wǎng)絡(luò)拓?fù)?4XXXXX中學(xué)數(shù)字校園網(wǎng)絡(luò)解決方案84.1核心網(wǎng)絡(luò)設(shè)計(jì)8核心網(wǎng)建設(shè)84.2接入設(shè)計(jì)124.3學(xué)校網(wǎng)絡(luò)出口設(shè)計(jì)13出口智能流控審計(jì)134.4無線網(wǎng)設(shè)計(jì)14無線規(guī)劃14無線信息統(tǒng)計(jì)174.5安全設(shè)計(jì)18數(shù)字化校園的安全設(shè)計(jì)思想18普教數(shù)字化校園建設(shè)與應(yīng)用概述數(shù)字化校園概述目前,什么是數(shù)字化校園尚沒有一個(gè)明確的定義,但相對(duì)使用較多的一個(gè)定義是：以網(wǎng)絡(luò)為基礎(chǔ),利用先進(jìn)的信息手段和工具,將學(xué)校的各個(gè)方面,從環(huán)境〔包括網(wǎng)絡(luò)、設(shè)備、教室等、資源〔如圖書、講義、課件等、到活動(dòng)〔包括教、學(xué)、管理、服務(wù)、辦公等數(shù)字化,逐步形成一個(gè)數(shù)字空間,從而使校園在時(shí)間和空間上獲得延伸,在現(xiàn)實(shí)校園基礎(chǔ)上形成一個(gè)虛擬校園。數(shù)字化校園旨在用層次化、整體性的觀點(diǎn)來實(shí)施校園信息化建設(shè),利用校園網(wǎng)把教學(xué)資源和管理信息更好地組織分類,為教學(xué)工作提供基于網(wǎng)絡(luò)環(huán)境的信息化教學(xué)平臺(tái),為管理、科研工作提供基于網(wǎng)絡(luò)環(huán)境的信息化管理平臺(tái)。數(shù)字化校園的應(yīng)用現(xiàn)狀XXXX在全國做了近2萬個(gè)中小學(xué)項(xiàng)目,同時(shí),進(jìn)行大量的現(xiàn)場(chǎng)調(diào)研工作,根據(jù)目前學(xué)校業(yè)務(wù)應(yīng)用的使用情況,大體上把業(yè)務(wù)系統(tǒng)分為三類,教學(xué)管理、行政管理及特色應(yīng)用等。行政管理中的業(yè)務(wù)系統(tǒng)的服務(wù)端大部分在信息中心,學(xué)校作為客戶端使用,主要是為了提高行政管理的效率,包括OA辦公、一卡通、人事管理、財(cái)務(wù)管理等；教學(xué)管理中的大部分業(yè)務(wù)系統(tǒng)各個(gè)學(xué)校都會(huì)獨(dú)立建設(shè),主要是為了提高教學(xué)管理的質(zhì)量,包括數(shù)字廣播、備課系統(tǒng)、多媒體錄播系統(tǒng)等,實(shí)際上,目前行政管理和教學(xué)管理的業(yè)務(wù)系統(tǒng)基本上各地都已經(jīng)建設(shè)了,差別在于,特色應(yīng)用中的業(yè)務(wù)系統(tǒng)各個(gè)學(xué)校根據(jù)自己的情況建設(shè)的側(cè)重點(diǎn)不一樣,如各地目前關(guān)注度比較高的特色業(yè)務(wù)系統(tǒng)包括網(wǎng)上閱卷系統(tǒng)、多媒體錄播系統(tǒng)、同步課堂等。數(shù)字化校園的發(fā)展階段及趨勢(shì)校園數(shù)字化建設(shè)不可能一蹴而就,它的實(shí)現(xiàn)是一個(gè)長期努力的過程,從全國數(shù)字化校園的現(xiàn)狀和發(fā)展趨勢(shì)分析,數(shù)字化校園建設(shè)經(jīng)歷了四個(gè)階段,包括網(wǎng)絡(luò)集成、系統(tǒng)集成、應(yīng)用集成、數(shù)據(jù)集成共四個(gè)階段。第一階段網(wǎng)絡(luò)集成,主要以基礎(chǔ)網(wǎng)絡(luò)建設(shè)為主,大部分普通中小學(xué)處于網(wǎng)絡(luò)集成這一階段,考慮的是基礎(chǔ)網(wǎng)絡(luò)如何建設(shè),如怎么建設(shè)有線校園網(wǎng)、無線校園網(wǎng)、校園網(wǎng)安全加固等。第二階段系統(tǒng)集成,以業(yè)務(wù)系統(tǒng)建設(shè)為主,大部分重點(diǎn)中小學(xué)處于這一階段,考慮業(yè)務(wù)系統(tǒng)如何建設(shè),如一卡通系統(tǒng),是作為刷卡消費(fèi),還是門禁控制、電梯控制,課程管理、多媒體錄播系統(tǒng)怎么建設(shè),如何監(jiān)控這些業(yè)務(wù)系統(tǒng)的運(yùn)行,業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全保證等。第三階段應(yīng)用集成,主要是做統(tǒng)一身份認(rèn)證平臺(tái)、單點(diǎn)登陸系統(tǒng)等,信息化做的比較好的重點(diǎn)中小學(xué)在規(guī)劃應(yīng)用集成,如何把有線、無線、遠(yuǎn)程VPN等各種不同接入方式統(tǒng)一納入一個(gè)平臺(tái)進(jìn)行管理,多媒體錄播、OA系統(tǒng)、視頻監(jiān)控等一系列業(yè)務(wù)系統(tǒng),如何實(shí)現(xiàn)單點(diǎn)登陸,方便師生的使用。第四階段：數(shù)據(jù)集成,主要實(shí)現(xiàn)數(shù)據(jù)開發(fā)標(biāo)準(zhǔn)、數(shù)據(jù)結(jié)構(gòu)的統(tǒng)一,實(shí)現(xiàn)各個(gè)業(yè)務(wù)系統(tǒng)間的數(shù)據(jù)實(shí)時(shí)共享,由于數(shù)據(jù)集成涉及到應(yīng)用系統(tǒng)的大量開發(fā)工作,周期長,投入大,目前,普教學(xué)校涉及應(yīng)用集成方面的比較少。xxx中學(xué)網(wǎng)絡(luò)需求分析XXXXX中學(xué)網(wǎng)絡(luò)現(xiàn)狀網(wǎng)絡(luò)部分采用二層架構(gòu),學(xué)校網(wǎng)絡(luò)機(jī)房交換機(jī)全部采用旁掛的傻瓜接入交換機(jī),目前網(wǎng)絡(luò)無可視化網(wǎng)絡(luò)管理能力。核心機(jī)房交換機(jī)和辦公機(jī)房交換機(jī)通過光貓收發(fā)設(shè)備連接?，F(xiàn)場(chǎng)勘察了解到,核心設(shè)備由于接口受限制,無法進(jìn)行擴(kuò)容。學(xué)校的無線為電信建設(shè),采用室分部署模式,信號(hào)覆蓋強(qiáng),但并發(fā)用戶多的時(shí)候體驗(yàn)差。且不能進(jìn)行實(shí)名認(rèn)證,不能滿足學(xué)校現(xiàn)今網(wǎng)絡(luò)需求。由于帶寬出口有限,網(wǎng)絡(luò)出口設(shè)備沒有進(jìn)行流量控制和審計(jì),校園內(nèi)老師網(wǎng)絡(luò)體驗(yàn)差。需求不間斷的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)穩(wěn)固的硬件平臺(tái)是整個(gè)學(xué)校信息化建設(shè)的基礎(chǔ),猶其大數(shù)建設(shè)的地基,決定了學(xué)校未來信息化建設(shè)的檔次。XXXXX中學(xué)屬于xx市重點(diǎn)師范小學(xué),必須具備5-10年的前瞻先進(jìn)性硬件支撐平臺(tái)需要實(shí)現(xiàn)7x24x365持續(xù)不間斷運(yùn)行。需求易管理的網(wǎng)絡(luò)運(yùn)維許多中小學(xué)數(shù)字化校園網(wǎng)絡(luò)的現(xiàn)狀是,學(xué)校的設(shè)備多,系統(tǒng)多,問題多,人員少；設(shè)備多,包括交換機(jī),防火墻,路由器等；系統(tǒng)多,包括OA系統(tǒng)、郵件、課程管理系統(tǒng)、多媒體錄播系統(tǒng)等。一般只有1-2個(gè)信息技術(shù)老師進(jìn)行相關(guān)的管理維護(hù)工作,如何保障學(xué)校信息化的應(yīng)用穩(wěn)定運(yùn)行呢？實(shí)際上,業(yè)務(wù)支撐平臺(tái)的運(yùn)維和管理需要解決三個(gè)方面的問題。當(dāng)領(lǐng)導(dǎo)或兄弟單位進(jìn)行參觀時(shí),能可視化的展示學(xué)校信息化的成果。實(shí)時(shí)了解信息化建設(shè)的現(xiàn)狀,為學(xué)校升級(jí)改造提供支撐幫忙快速定位故障,解決日常管理維護(hù)問題。IT信息系統(tǒng)發(fā)揮的價(jià)值很大程度上取決到日常運(yùn)維。但I(xiàn)T系統(tǒng)是涉及硬件、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫、中間件、機(jī)房等眾多因素,眾多品牌的信息系統(tǒng),極為復(fù)雜。同時(shí)實(shí)驗(yàn)學(xué)校管理老師人員較少,配套采取服務(wù)外包模式,然而外包人員的服務(wù)水平參差不齊,服務(wù)質(zhì)量難以保障,面向未來,學(xué)校在信息化運(yùn)維方面將面臨較大壓力。因此,學(xué)校需要建設(shè)良好的網(wǎng)絡(luò)系統(tǒng)綜合管理平臺(tái),實(shí)現(xiàn)IT運(yùn)維信息化,使IT系統(tǒng)穩(wěn)定、可靠、安全的運(yùn)行,運(yùn)維工作步入一個(gè)有序的、規(guī)范的層次,使IT系統(tǒng)更好的為業(yè)務(wù)系統(tǒng)提供服務(wù),從而提高整體運(yùn)行效率,提升運(yùn)行服務(wù)水平和檔次。需求安全報(bào)障如何滿足公安、上級(jí)部門的安全檢查要求？學(xué)校的門戶網(wǎng)站、資源系統(tǒng)被掛馬或被篡改？接入不可控,安全隱患怎么解決？安全不是孤立的,如何形成整體安全體系？業(yè)務(wù)支撐平臺(tái)的安全部分主要是打造"全方位的立體安全保障體系",為學(xué)校信息化保駕護(hù)航！需求統(tǒng)一身份認(rèn)證有線、無線、VPN等網(wǎng)絡(luò)設(shè)備的接入用戶分散,公共認(rèn)證平臺(tái)主要提供統(tǒng)一的身份認(rèn)證平臺(tái)。需求單點(diǎn)登錄、統(tǒng)一信息門戶隨著學(xué)校信息化建設(shè)不斷完善,學(xué)校將會(huì)擁有各種各樣的應(yīng)用系統(tǒng),各類業(yè)務(wù)還會(huì)不斷建設(shè)和規(guī)劃。用戶必須記住多個(gè)用戶的用戶名和密碼,以及不同業(yè)務(wù)系統(tǒng)的URL鏈接,造成了諸多不便。因此,建議學(xué)校建立統(tǒng)一門戶平臺(tái),同時(shí)提供了一站式單點(diǎn)登錄功能,即通過用戶的一次性鑒別登錄,可獲得需訪問系統(tǒng)和應(yīng)用軟件的授權(quán),實(shí)現(xiàn)"一次登錄、隨處訪問/全網(wǎng)漫游"；從而提高用戶的工作效率,提升用戶滿意度。XXXXX中學(xué)數(shù)字校園建設(shè)設(shè)計(jì)數(shù)字校園整體架構(gòu)結(jié)合XXXX校園網(wǎng)建設(shè)經(jīng)驗(yàn)和教育信息化的專家分析,通過大量的調(diào)研,提出數(shù)字化校園3+N+1整體架構(gòu),3表示3個(gè)平臺(tái),基礎(chǔ)設(shè)施平臺(tái)、應(yīng)用支撐平臺(tái)、公共認(rèn)證平臺(tái),1指的是通過單點(diǎn)登錄實(shí)現(xiàn)1個(gè)統(tǒng)一門戶,N指的是重點(diǎn)中小學(xué)的N個(gè)業(yè)務(wù)系統(tǒng)。如下圖：數(shù)字化校園建設(shè)的核心是教育信息化業(yè)務(wù)系統(tǒng)的建設(shè),業(yè)務(wù)系統(tǒng)向下由三個(gè)平臺(tái)進(jìn)行支撐保障,向上形成單點(diǎn)登錄、統(tǒng)一門戶,為學(xué)生、教師、領(lǐng)導(dǎo)、家長、公眾等提供服務(wù)?；A(chǔ)設(shè)施平臺(tái),包括軟件、硬件、PC、服務(wù)器、有線、無線等基礎(chǔ)設(shè)施平臺(tái)的建設(shè)。應(yīng)用支撐平臺(tái)包括數(shù)字化校園的整體安全考慮、整個(gè)信息化業(yè)務(wù)的運(yùn)維管理等。公共平臺(tái)主要包括統(tǒng)一的身份認(rèn)證平臺(tái)、權(quán)限管理系統(tǒng)等平臺(tái)的建設(shè)。統(tǒng)一門戶是整個(gè)數(shù)字校園的訪問入口點(diǎn),給用戶提供個(gè)性化的使用界面,用戶進(jìn)入門戶后,除了可以看到公共信息外,只能看到與其身份相關(guān)的各項(xiàng)服務(wù),成為用戶的個(gè)性化網(wǎng)絡(luò)門戶。N個(gè)業(yè)務(wù)應(yīng)用系統(tǒng),是指用于學(xué)校教學(xué)、科研、管理、服務(wù)的各種應(yīng)用系統(tǒng),用于解決各類用戶對(duì)信息管理和信息服務(wù)的需求,是信息化建設(shè)的主要內(nèi)容。數(shù)字化校園更好的支撐學(xué)校信息化的應(yīng)用,還需要做好"數(shù)據(jù)信息標(biāo)準(zhǔn)"及"運(yùn)行管理保障體系"兩個(gè)方面,運(yùn)行保障包括組織機(jī)構(gòu)、人員培訓(xùn)、管理規(guī)范等,信息標(biāo)準(zhǔn)包括技術(shù)標(biāo)準(zhǔn)〔應(yīng)用開發(fā)、數(shù)據(jù)結(jié)構(gòu)標(biāo)準(zhǔn)、信息化評(píng)估體系等。XXXXX中學(xué)改造網(wǎng)絡(luò)拓?fù)鋽?shù)字化校園整體架構(gòu)中,XXXX涉及到基礎(chǔ)網(wǎng)絡(luò)平臺(tái)、公共認(rèn)證平臺(tái)、運(yùn)維支撐平臺(tái)及單點(diǎn)登陸統(tǒng)一信息門戶的建設(shè),具體如下：一、基礎(chǔ)網(wǎng)絡(luò)平臺(tái)包括有線、無線、核心平臺(tái)、網(wǎng)絡(luò)出口等基礎(chǔ)網(wǎng)絡(luò)建設(shè)。二、公共認(rèn)證平臺(tái)由兩個(gè)核心組件支撐,SMP身份認(rèn)證軟件,無線控制器自帶Portal認(rèn)證頁面。通過有線、無線等各種不同方式的統(tǒng)一實(shí)名接入,實(shí)現(xiàn)網(wǎng)絡(luò)層的實(shí)名認(rèn)證、實(shí)名訪問權(quán)限控制、實(shí)名流控和審計(jì)等?？紤]到實(shí)際應(yīng)用和學(xué)校自身網(wǎng)絡(luò)現(xiàn)狀,此次數(shù)字話校園網(wǎng)絡(luò)建設(shè)主要體現(xiàn)在主干網(wǎng)和計(jì)算機(jī)教室的建設(shè)。XXXXX中學(xué)數(shù)字校園網(wǎng)絡(luò)解決方案核心網(wǎng)絡(luò)設(shè)計(jì)核心網(wǎng)建設(shè)核心交換平區(qū)部署兩臺(tái)基于十萬兆平臺(tái)設(shè)計(jì)的核心交換機(jī),考慮到預(yù)算問題,此次只部署一臺(tái)核心,并配置有雙引擎和雙電源模塊,放置單點(diǎn)故障。設(shè)備本身支持業(yè)界先進(jìn)的虛擬化技術(shù)VSU虛擬化技術(shù),之后網(wǎng)絡(luò)規(guī)模擴(kuò)大的時(shí)候可以實(shí)現(xiàn)雙機(jī)虛擬化熱備,提高網(wǎng)絡(luò)高可用和高穩(wěn)定性。并且設(shè)備本身支持?jǐn)U展槽,支持校區(qū)擴(kuò)建和網(wǎng)絡(luò)擴(kuò)容。虛擬化采用VSU虛擬云交換技術(shù),將兩臺(tái)物理核心交換機(jī)虛擬為一臺(tái)邏輯上統(tǒng)一的設(shè)備,使其能夠?qū)崿F(xiàn)統(tǒng)一的運(yùn)行,從而達(dá)到減小網(wǎng)絡(luò)規(guī)模,同時(shí)極大提高網(wǎng)絡(luò)穩(wěn)定健壯性,控制故障恢復(fù)時(shí)間。VSU虛擬云交換特性使用VSU后,兩臺(tái)核心設(shè)備邏輯上變成一臺(tái)。從而簡化了網(wǎng)絡(luò)拓?fù)?。網(wǎng)絡(luò)中不再需要生成樹、VRRP等復(fù)雜的協(xié)議,大大降低配置維護(hù)工作量。接入交換機(jī)上聯(lián)等同于雙鏈路連接到一臺(tái)核心上,實(shí)現(xiàn)跨設(shè)備鏈路聚合。即使一臺(tái)核心或上聯(lián)鏈路中斷,也可實(shí)現(xiàn)快速切換。切換時(shí)間控制在50ms以內(nèi),相當(dāng)于普通數(shù)據(jù)包轉(zhuǎn)發(fā)的時(shí)延這,不會(huì)對(duì)業(yè)務(wù)流暢運(yùn)行產(chǎn)生任何影響。硬件無單點(diǎn)故障XXXX核心骨干交換機(jī)RG-S8600系列均在設(shè)備本身的重要部件上進(jìn)行了無故障設(shè)計(jì)。主要體現(xiàn)在：雙管理引擎冗余熱備雙路電源,負(fù)載均衡供電6風(fēng)扇冗余設(shè)計(jì),互為備份零故障無源背板設(shè)計(jì)操作系統(tǒng)模塊化通用操作系統(tǒng)RGOS自2000年開發(fā)至今,已成為XXXX全線交換路由產(chǎn)品統(tǒng)一的系統(tǒng)平臺(tái)。RGOS模塊化操作系統(tǒng)設(shè)計(jì)原理圖這是一種模塊化軟件平臺(tái)〔對(duì)軟件系統(tǒng)進(jìn)行劃分之后,將不同的系統(tǒng)任務(wù)分割成一些很少交互的可管理子集系統(tǒng)內(nèi)核通過POSIX連接各功能模塊。各功能模塊獨(dú)立,故障隔離,提升新功能開發(fā)測(cè)試效率和系統(tǒng)穩(wěn)定性。RGOS系統(tǒng)內(nèi)核通過POSIX接口連接硬件抽象層,擴(kuò)展支持多種網(wǎng)絡(luò)產(chǎn)品,如交換機(jī)、路由器、出口設(shè)備等。通過RGOS的開放性設(shè)計(jì),可以整合多種產(chǎn)品資源,加速產(chǎn)品與技術(shù)發(fā)展。利用多種網(wǎng)絡(luò)產(chǎn)品組網(wǎng)形成基于RGOS的智能、融合的IP網(wǎng)絡(luò)。引擎切換無中斷RG-S7800系列交換機(jī)支持UISS無中斷引擎切換技術(shù),保證主從管理板的切換在1秒間實(shí)現(xiàn),同時(shí)在切換過程中,各主機(jī)線卡可以繼續(xù)轉(zhuǎn)發(fā)原有的數(shù)據(jù)流,不影響網(wǎng)絡(luò)業(yè)務(wù)的正常透明運(yùn)行,實(shí)現(xiàn)管理板的平滑切換,極大地保證了核心的可靠性和網(wǎng)絡(luò)可用性。具體切換過程及實(shí)現(xiàn)1、切換前狀態(tài)信息同步2、主引擎出現(xiàn)故障時(shí),數(shù)據(jù)不間斷轉(zhuǎn)發(fā)3、備份引擎啟動(dòng),故障引擎重啟動(dòng),備份引擎下發(fā)FIB表更新,待故障引擎重啟完畢后,新的主引擎將狀態(tài)信息同步到重啟后的引擎,此時(shí)完成切換。UISS熱備份設(shè)計(jì)可以保證RG-S7800系列交換機(jī)主從管理板的切換在1秒間實(shí)現(xiàn),同時(shí)在切換過程中,各主機(jī)線卡可以繼續(xù)轉(zhuǎn)發(fā)原有的數(shù)據(jù)流,不影響網(wǎng)絡(luò)業(yè)務(wù)的正常透明運(yùn)行,實(shí)現(xiàn)管理板的平滑切換,極大地保證了XXXX設(shè)備的可靠性和網(wǎng)絡(luò)可用性。硬件自動(dòng)保護(hù)目前眾多的網(wǎng)絡(luò)病毒都是通過對(duì)網(wǎng)絡(luò)設(shè)備的CPU上進(jìn)行特定協(xié)議的攻擊,利用偽造的數(shù)據(jù)包瞄準(zhǔn)具體協(xié)議,向網(wǎng)絡(luò)設(shè)備發(fā)動(dòng)攻擊。方案中的交換機(jī)通過硬件的方式對(duì)發(fā)往控制平面的數(shù)據(jù)進(jìn)行分類,把不同的協(xié)議數(shù)據(jù)歸類到不同的隊(duì)列然后對(duì)不同的隊(duì)列進(jìn)行限速,專門對(duì)路由引擎進(jìn)行保護(hù),阻擋外界的DOS攻擊。而且并不影響轉(zhuǎn)發(fā)速度,所以CPP能夠在不影響性能的前提下,靈活且有力的防止攻擊,而且保證了即使有大規(guī)模攻擊數(shù)據(jù)發(fā)往CPU的時(shí)候依然可以在交換機(jī)內(nèi)部對(duì)數(shù)據(jù)進(jìn)行區(qū)分對(duì)外。CPP提供三種保護(hù)方法,來保護(hù)CPU的利用率。第一,可以配置CPU接受數(shù)據(jù)流的總帶寬,從全局上保護(hù)CPU。第二,可以設(shè)備QOS隊(duì)列,為每種隊(duì)列設(shè)置帶寬。第三,為每種類型的報(bào)文設(shè)置最大速率。安全防御本方案全線交換機(jī)包括接入、匯聚、核心均可自動(dòng)檢測(cè)常見攻擊行為,并自動(dòng)下發(fā)相關(guān)策略,阻斷網(wǎng)絡(luò)攻擊,恢復(fù)網(wǎng)絡(luò)正常。第一可有效保護(hù)網(wǎng)絡(luò)穩(wěn)定性,阻絕各類攻擊,第二無需管理員手工參于,提高管理效率,降低管理運(yùn)維難度?；谠O(shè)備自身安全的技術(shù)必須基于CPU和端口為主要出發(fā)點(diǎn)。目前業(yè)界已開發(fā)了一些用于防攻擊的功能模塊<比如：ACL、QOS、URPF、SysGuard、CPP等等>,通過這些功能模塊自行建立攻擊檢測(cè)和保護(hù)的機(jī)制,并提供對(duì)外的管理接口。為了在這個(gè)日益重視安全性的環(huán)境中應(yīng)對(duì)日益復(fù)雜的攻擊,XXXX開發(fā)出基礎(chǔ)網(wǎng)絡(luò)保護(hù)策略<NetworkFoundationProtectionPolicy>,簡稱NFPP。NFPP技術(shù)能夠?qū)υO(shè)備本身實(shí)施保護(hù),通過對(duì)報(bào)文流進(jìn)行限制、隔離,以保證設(shè)備及網(wǎng)絡(luò)可靠、安全、有效地運(yùn)行。NFPP通過接受報(bào)文的端口或者對(duì)送往CPU的報(bào)文進(jìn)行攻擊檢測(cè),采取相應(yīng)保護(hù)措施,從而達(dá)到對(duì)管理面、數(shù)據(jù)面和控制面的保護(hù)作用。接入設(shè)計(jì)接入主要是負(fù)責(zé)本校區(qū)內(nèi)的信息點(diǎn)互聯(lián)起來,為各個(gè)信息點(diǎn)提供layer2層接入功能。特別是學(xué)校網(wǎng)絡(luò)教學(xué)機(jī)房和教室的有線信息點(diǎn)。使用千兆接入的全網(wǎng)管交換機(jī),實(shí)現(xiàn)千兆用戶到桌面。接入主要完成以下功能：結(jié)合webportal認(rèn)證系統(tǒng),部署802.1.X協(xié)議,實(shí)現(xiàn)"入網(wǎng)身份認(rèn)證,也可升級(jí)實(shí)現(xiàn)主機(jī)健康檢查、網(wǎng)絡(luò)安全事件監(jiān)控與主動(dòng)防御"。通過VLAN定義實(shí)現(xiàn)業(yè)務(wù)劃分。實(shí)現(xiàn)QoS,對(duì)數(shù)據(jù)包進(jìn)行分類和標(biāo)記。接入網(wǎng)作為用戶終端接入校園網(wǎng)的唯一接口,在為用戶終端提供高速、方便的網(wǎng)絡(luò)接入服務(wù)的同時(shí),需要對(duì)用戶終端進(jìn)行入網(wǎng)認(rèn)證、訪問行為規(guī)范控制,從而拒絕非法用戶使用網(wǎng)絡(luò),保證合法用戶合理使用網(wǎng)絡(luò)資源,并有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊。當(dāng)前的數(shù)據(jù)網(wǎng)安全正遭受嚴(yán)峻挑戰(zhàn),病毒、外部入侵〔黑客、拒絕服務(wù)攻擊、內(nèi)部的誤用和濫用,以及各種災(zāi)難事故的發(fā)生,時(shí)刻威脅著網(wǎng)絡(luò)的業(yè)務(wù)運(yùn)轉(zhuǎn)和信息安全。但與此同時(shí),大多數(shù)正在使用的網(wǎng)絡(luò)安全系統(tǒng)都缺乏真正的全局防護(hù)能力。當(dāng)網(wǎng)絡(luò)受到來自各方面的攻擊時(shí),整個(gè)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性將無從談起,可以看出,計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)能力是影響網(wǎng)絡(luò)系統(tǒng)穩(wěn)定可靠性的重要因素之一,網(wǎng)絡(luò)設(shè)備作為網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)平臺(tái),其安全防護(hù)能力顯得尤為重要,尤其是接入層交換機(jī)。學(xué)校網(wǎng)絡(luò)出口設(shè)計(jì)出口智能流控審計(jì)XXXXRG-EG2000系列網(wǎng)關(guān)產(chǎn)品是適用于多個(gè)行業(yè)的業(yè)務(wù)加速類網(wǎng)關(guān)產(chǎn)品。設(shè)備配以高性能的MIPS多核硬件體系架構(gòu),擁有業(yè)務(wù)加速通道、精準(zhǔn)流控、上網(wǎng)行為管理、可視化VPN、智能選路、防火墻、高性能的NAT、Web認(rèn)證等多個(gè)功能。憑借著豐富的功能,RG-EG系列能夠極有效的優(yōu)化用戶網(wǎng)絡(luò),規(guī)范上網(wǎng)行為,全方位的加速關(guān)鍵業(yè)務(wù)開展,提高業(yè)務(wù)系統(tǒng)使用體驗(yàn)。RG-EG系列設(shè)備的產(chǎn)品特性和價(jià)值：業(yè)務(wù)加速通道——成倍提高關(guān)鍵業(yè)務(wù)訪問速度,提升業(yè)務(wù)系統(tǒng)使用體驗(yàn)RG-EG2000系列網(wǎng)關(guān)支持業(yè)務(wù)加速通道功能,可以通過傳輸數(shù)據(jù)壓縮、傳輸數(shù)據(jù)去重、低質(zhì)線路優(yōu)化、TCP協(xié)議棧優(yōu)化、多線路捆綁等多個(gè)互聯(lián)網(wǎng)加速技術(shù),有效解決遠(yuǎn)程訪問總部業(yè)務(wù)系統(tǒng)慢的問題,達(dá)到成倍提升業(yè)務(wù)系統(tǒng)訪問速度的效果,使得業(yè)務(wù)系統(tǒng)可以真正的開展起來。精準(zhǔn)流控——保障關(guān)鍵業(yè)務(wù)帶寬,業(yè)務(wù)開展通順流暢RG-EG2000系列網(wǎng)關(guān),可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)帶寬資源的全面管控,讓帶寬空閑時(shí)隨意使用、帶寬緊張時(shí)按需分配,保障關(guān)鍵業(yè)務(wù)的順暢開展。RG-EG2000系列網(wǎng)關(guān)能精準(zhǔn)識(shí)別P2P應(yīng)用、流媒體、企業(yè)辦公系統(tǒng)等30大類、1500多種應(yīng)用特征,可實(shí)現(xiàn)更加精細(xì)合理的進(jìn)行帶寬管理。上網(wǎng)行為管理——規(guī)范上網(wǎng)行為,提高工作效率RG-EG2000系列網(wǎng)關(guān)對(duì)內(nèi)網(wǎng)用戶的上網(wǎng)行為進(jìn)行精細(xì)化管理。屏蔽各種與工作無關(guān)的網(wǎng)站,營造良好工作氛圍,提高工作效率；可對(duì)聊天工具、郵件、論壇、微博、搜索引擎等提供安全審計(jì)功能,保護(hù)內(nèi)網(wǎng)信息安全。可視化VPN——VPN隧道內(nèi)流量可視可控,業(yè)務(wù)保障無死角RG-EG2000系列網(wǎng)關(guān)將VPN的配置簡化到了極致,只需簡單的鼠標(biāo)操作即可完成配置,無需專業(yè)人員維護(hù)。還可以對(duì)VPN隧道內(nèi)的流量進(jìn)行查看和控制,建立起可視化的VPN網(wǎng)絡(luò),為通過VPN開展的關(guān)鍵業(yè)務(wù)提供保障。智能選路——優(yōu)選數(shù)據(jù)傳輸路徑,合理利用多條帶寬資源當(dāng)網(wǎng)絡(luò)擁有多條出口線路時(shí),選路規(guī)劃的不合理會(huì)造成上網(wǎng)慢、帶寬資源浪費(fèi)等問題。RG-EG2000系列網(wǎng)關(guān)提供一整套完善的智能選路體系來解決這些難題。設(shè)備會(huì)自動(dòng)分析多條線路的情況,選擇最優(yōu)線路,避免出現(xiàn)跨運(yùn)營商訪問、鏈路使用率低等問題,提高上網(wǎng)速度。無線網(wǎng)設(shè)計(jì)無線規(guī)劃全校采用802.11n技術(shù)由于采用了多種無線技術(shù),極大地提升了無線接入的帶寬和覆蓋范圍。同環(huán)境下比802.11a、b/g模式的覆蓋范圍提高了20%。智能無線技術(shù)規(guī)劃：此次使用了業(yè)內(nèi)最領(lǐng)先的第二代智能轉(zhuǎn)發(fā)架構(gòu),使用智能流分類前置設(shè)計(jì),該架構(gòu)充分利用本地轉(zhuǎn)發(fā)與集中式轉(zhuǎn)發(fā)的優(yōu)勢(shì),實(shí)現(xiàn)802.11n環(huán)境下的高速低延時(shí)、高安全轉(zhuǎn)發(fā)：本地轉(zhuǎn)發(fā)類流：時(shí)延敏感類數(shù)據(jù),快速轉(zhuǎn)發(fā),延遲最低,更適合語音、視頻直播等校園網(wǎng)應(yīng)用；集中轉(zhuǎn)發(fā)類流：安全敏感類數(shù)據(jù),集中加解密處理,適合學(xué)校OA、選課、一卡通等校園網(wǎng)應(yīng)用；網(wǎng)絡(luò)不中斷設(shè)計(jì)：無線網(wǎng)絡(luò)中AC控制AP,一旦AC出現(xiàn)故障AP,或者鏈路出現(xiàn)問題,AP無法連接到AC就無法工作,AC成為了整個(gè)無線網(wǎng)絡(luò)中的單點(diǎn)故障。"AP智能轉(zhuǎn)換技術(shù)"徹底解決了這個(gè)憂慮,將無線網(wǎng)絡(luò)的可用性提升到一個(gè)新的高度。"AP智能轉(zhuǎn)換技術(shù)"的工作模式如下：當(dāng)AC故障時(shí),AP自動(dòng)切換到"胖"AP的工作模式下,其配置信息為先前的AC下發(fā)的信息；AP按照,先前的配置策略信息繼續(xù)工作,對(duì)用戶的業(yè)務(wù)不影響；工作在此狀態(tài)下的AP,繼續(xù)探測(cè)AC的狀態(tài),當(dāng)AC恢復(fù)正常,AP和AC恢復(fù)建立正常連接；AP恢復(fù)到原有的智能瘦AP的工作模式下。智能探測(cè)：AP定時(shí)、自動(dòng)探測(cè)AC的可用狀態(tài),及時(shí)反饋網(wǎng)絡(luò)情況；智能轉(zhuǎn)換：AP自動(dòng)根據(jù)AC的狀態(tài),進(jìn)行"胖"、"瘦"AP工作模式的轉(zhuǎn)換；有線無線統(tǒng)一管理無線校園網(wǎng)大規(guī)模部署,需要無線AP數(shù)量極大,眾多無線AP分布在校園的各個(gè)角落,如何管理、監(jiān)控這些無線設(shè)備,及時(shí)發(fā)現(xiàn)問題,定位故障。有效的無線管理方式,是建好無線校園必不可少條件。無線管理系統(tǒng)實(shí)現(xiàn)了：無線、有線連接拓?fù)浣y(tǒng)一；無線、有線設(shè)備狀態(tài)統(tǒng)一；無線、有線報(bào)警信息統(tǒng)一；無線、有線審計(jì)信息統(tǒng)一；通過集中式的統(tǒng)一的有線、無線網(wǎng)管系統(tǒng),可以實(shí)現(xiàn)網(wǎng)絡(luò)中有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的統(tǒng)一便捷配置,實(shí)現(xiàn)有線無線一體化高效管理。無線管理系統(tǒng)的統(tǒng)一拓?fù)湔故玖擞脩艟W(wǎng)絡(luò)中的有線、無線的設(shè)備鏈接方式和設(shè)備的工作狀態(tài)。有線、無線設(shè)備統(tǒng)一拓?fù)滹@示管理人員可以直觀的查看到,用戶接入無線的狀態(tài)、無線信號(hào)覆蓋的情況等。包括信號(hào)強(qiáng)度、發(fā)射速率集、RSSI、SSID、使用信道、所在AC設(shè)備、所在AP設(shè)備等,并能查看用戶的漫游情況,可以隨時(shí)了解最終接入用戶的情況,并對(duì)其接入行為進(jìn)行審計(jì)。有線無線一體化網(wǎng)管系統(tǒng),可以極大地減輕無線管理的復(fù)雜程度,做到無線問題及時(shí)定位、及時(shí)處理。有線無線統(tǒng)一認(rèn)證無線網(wǎng)絡(luò)是有線網(wǎng)絡(luò)的補(bǔ)充和延續(xù),無線一定要和有線系統(tǒng)一樣進(jìn)行認(rèn)證：統(tǒng)一賬戶管理：有線、無線采用RG-ESS一套數(shù)據(jù)庫統(tǒng)一認(rèn)證方式：有線、無線均可使用802.1x、Web統(tǒng)一客戶端：師生使用一套客戶端系統(tǒng),登錄有線、無線兩個(gè)網(wǎng)絡(luò)有線、無線統(tǒng)一認(rèn)證數(shù)據(jù)庫,避免了用戶有線一套賬號(hào),無線另一套賬號(hào),不能統(tǒng)一認(rèn)證管理的問題。用戶采用統(tǒng)一身份,靈活登錄有線、無線兩個(gè)網(wǎng)絡(luò)。用戶可以在上選擇用無線網(wǎng)卡,靈活選擇用802.1x方式、Web方式進(jìn)行無線認(rèn)證,認(rèn)證方式的靈活選擇,延續(xù)了用戶的使用習(xí)慣,極大地減少了維護(hù)成本；有線、無線管理策略也要統(tǒng)一,例如：不能有線網(wǎng)絡(luò)在晚上11點(diǎn)鐘斷網(wǎng),而無線網(wǎng)絡(luò)