华为校园网建设技术建议书模板

1、XX大学校园网技术建议书华为技术有限公司2002年X月校园网建设技术建议书华为商业机密101、概述 21.1校园网建设背景 21.2校园网建网需求 21.2.1 一般建网需求 21.2.2 XX学校建网需求 41.3建网原则 42、总体网络设计 52.1组网描述 52.2详细网络设计 72.3组网用核心设备介绍 72.3.1高可靠性的高端路由器 72.3.2功能强大的核心三层交换机 72.3.3性能卓越的汇聚交换机 92.3.4业务丰富的智能IP接入设备 112.4组网特点 123、详细网络设计 133.1 IP地址规划和路由策略 133.2 VLAN戈U分 143.3认证计费 153.3.1

2、用户认证 153.3.2计费管理 173.3.3综合访问管理服务器CAMS 184、业务解决方案 194.1 PORTAL 194.2远程教育 204.3宽带上网卡 214.4组播业务 235、网管解决方案 235.1 I IMKNAGEFN2000综合网管解决方案 235.2 QUIDVIEW网管解决方案 296、安全解决方案 316.1、用户严格隔离 316.2、用户唯一标识 316.3、防止对DHCF服务器的攻击 316.4、恶意用户追查 326.5、防止用户 PROXY弋理 327、附件 321概述1.1校园网建设背景根据CNNIC 2002年的最新调查结果来看，我国目前的上网总人口已

3、达4580万，其中学生用户占了 26%是最大的用户群。 另据华为公司市场部提供的资料，中国网民的普及率是 1.2%，但在大学生群体中的普及率是93%目前87%生在网吧上网，97%的学生用201校园卡打电话。同时，随着国家信息化工作的深入开展，提高教育系统信息化水平成为当前工作的重点。而校 园网建设则是教育系统信息化建设的关键，尤其是高校校园网建设。在信息化的建设过程中， 它的作用体现在如下几个方面：1、 校园网能促进教师和学生尽快提高应用信息技术的水平；信息技术学科的内容是发展的，它是一门应用型学科， 因此，为了让学生学到实用的知识，必须给他们提供一个实践的环境，这个环境离不开校园网。2、 校

4、园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库，所以校园网是学 校进行教学改革、推行素质教育的一种必不可少的工具。3、校园网是学校现代化管理的基础， 深入、全面的学校信息管理系统必须建立在校园网上。4、 校园网提供了学校与外界交流的窗口，学校应将校园网与互联网联接，这也是学校信息 化的要求，做到了这一步，通过校园网去了解世界、在互联网上树立学校的形象都是很 容易的。教育即未来。作为国家最重要的战略工程，如何应用信息技术改造我们传统的教学和管理手段； 如何加深学生对于信息化和信息技术的理解与了解；如何造就同时具备传统和信息双重文化的 一代新人，已成为教育界当前最为紧迫的任务之一。信息

5、技术的应用，势必极大地推进教育手 段和教育内容的革命性变革。我们对此深信不疑，并将全身心地为之努力。1.2校园网建网需求1.2.1 一般建网需求校园网的建设涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。此处主要 分析网络基础设施建设和网络运营方面相关的内容。校园网络建设从网络流量模型上看和企业 网的流量模型相似，用户集中而网络流量大，但实际应用上还存在许多和企业网不同的地方。 主要特点如下：1、多出口的需求：典型的组网有中国教育和科研网（CERNET出口和运营商网络出口。多出口带来了以下两个需求：1）多权限ISP需求。用户可通过不同的账号名或采用相同的账号，不同的域名认证，获得不同

6、的上网权限。 譬如做到用户不认证前能自由访问校园内部分服务器，采用“ user163登录，可实现In ternet 和校园网络自由访问，采用 usercre net” 登录，可访问CERNE和校园网。用户域名选择可通过 WEB认证时用户通过选择 WEB 认证上的相应选择项进行选择。2）多ISP分别计费的需求，对应不同的ISP，计费策略不一致。2、用户管理的需求：1）使用方便，存在 WEB认证需求。要求能做到基于 WEB勺身份认证、多ISP选择、W用户费率查询、带宽动态调整（隐性需求）、多WEB界面（隐性需求）等。2）需要解决账号和端口绑定问题。通过此种方式限制账号的使用区域。3）对用户带宽进行

7、控制的需求，要求设备能对用户的带宽进行控制，譬如限制为256K、512K、1M 2M 5M 10M等等级。3、以网养网的需求：如何使现有网络具有自我造血机制成为高校普遍关心的问题，而只有具有自我造血机制才能使校园网络更好的发展，不断的完善。目前主要的措施有两个：1）发行宽带上网卡，改变以前单一，高成本的收费模式。卡号类型主要有包月卡、包月限时长、时长卡三种类型，包月限流量卡作为一种备选解决方案（不推荐）。同时配合灵活的折扣方式，引导学生上网（如上课时间单价比夜晚高些）。2）开展服务收费。高校拥有丰富的教育资源，并且是公众教育的主要支撑力量。基于网络开展有偿的资源提供正成为目前公众教育的主要形式

8、。这样不仅盘活了现有资源，更适应了教育产业化发展的趋势，通过有偿服务推动公益教育的发展。4、安全管理的需求：1）学生接受新鲜事务的能力非常强，因此校园也成为黑客最多的场所之一，如何保障校园网络的安全成为建网时不得不考虑的问题，目前主要攻击手段有DOS DDO蒔2）上网日志的需求，主要是配合公安机关保证社会的稳定和校园的安全5、NAT的需求：部分学校没有公网IP地址或地址不够，另外，因为教育网地址用户报文在通过运营商网络边界路由器时不被信任或运营商地址用户报文在通过教育网边界路由器时不被边 界路由器信任，会造成部分In ternet网站不可访问。解决此问题的措施需要在运营商或教育网其中一个出口做

9、 NAT对此出口屏蔽内部路由。6、组播业务的需求，特别是可控组播的需求将随着校园信息化的深入而体现出来。1.2.2 XX学校建网需求增加当地学校实际上网需求，如：现网规模，建网目标等1.3建网原则早期的高校校园网主要是共用内部教育系统主机资源，共享简单数据库，多以二层交换为 主，很少有三层应用，存在安全、可管理性较差、无业务增值能力等方面的问题。现在高校校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障服务，使网络安全可靠，从而实现教育管理、多媒体教学、图书馆管理自动化，而且还要通过 In ternet实现远程教学，提供可增值可管理的业务，必须具备高性能、高安全性、高可靠

10、性， 可管理、可增值特性以及开放性、兼容性、可扩展性。基于对高校校园网业务需求的深入理解，结合自身产品和技术特点，华为公司推出了了完 善的高校校园网解决方案，为高等院校提供“可管理、可增值、可持续发展 ”的精品网络。高校网络建设遵循以下基本原则：可管理性高校网络是一个庞大而且复杂的网络，为了保障网络的正常使用以及设备的良好维护需要一个功能强大，具有分级、分权管理能力的网管系统，实现统一的网络业务调度和管理，降低 网络运营成本。同时由于高校网络的使用者数量巨大，网上开展的业务众多，因此需要能够提 供用户的高效管理，以确保用户和学校的利益不受损失。可增值性校园网络的建设、使用和维护需要投入大量的人

11、力、物力，因此网络的增值性是网络持续 发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带 增值业务，使网络具有自我造血机制，实现以网养网。可扩充性考虑到用户数量和业务种类发展的不确定性，校园网络要建设成完整统一、组网灵活、易 扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保 网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口， 支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实 现网络设备的统一管理。安全可靠性

12、设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。2、总体网络设计2.1组网描述XX大学校园解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理 性和统一的网管系统及灵活计费为原则，以及考虑到技术的先进性、成熟性，并采用模块化的 设计方法。其组网图如下：32：52fi/S55IiSS016屈络中心MA5200E口口口HOMNElfi/OS-L*WLAKAPS3C26会iX室/B书馆S24C3HJ2Ui6J20(nLi 3JMavwgeT N2000j.CxMSlbniS302403HBT笔膜整皇矗盐桎本解决方案网络分为三个层次，核心层、汇聚层、

13、接入层。为实现校区内的高速互联，校园网核心层采用两台华为公司核心路由交换机Quidway S8016，并基于S8016构建了校园网络中心，成为校园网应用的核心。S8016最大支持64个GE端口，支持全光口模块，方便实施远程千兆汇聚；提供全线速的二三四层交换及第四层业务服务，可作为网络的核心交换、业务控 制和冗余控制平台。在汇聚层采用华为公司 Quidway S5516，S3526千兆路由交换机以及 MA5200智能IP接入设 备，通过GEq连接S8016构成了高带宽的校园网骨干。Quidway S5516/3526是全线速三层交换机，可以实现二三四层线速转发、三层互通，同时实现线速的多层策略过

14、滤，用以实现极为复杂的VLAt业务隔离、互通控制以及流分类等。在校园网接入层，分为教学区与宿舍区。在教学区采用S3026和S2403H乍为用户的接入设备， 实现GE到大楼，10、1OOM到桌面。在宿舍区，采用MA52O0 S3026、S2000实现用户的接入、认证、计费。MA5200实现对用户的接入认证、用户管理和业务质量保证，为用户提供高速上网、 视频点播、门户业务等多种业务，能对用户进行有效管理，保证网络安全可靠，并提供多种计 费方式，为校园网络的建设和管理提供新的方式。考虑到网络的先进性和完整性，在校园网内的热点地区，如图书馆、会议室采用华为公司的WLANS线局域网产品构建了安全、可靠的

15、无线局域网。广域网互连设备采用华为公司Quidway NE16E/08E/05电信级骨干路由器。Quidway NE16E/08E系列路由器使用华为公司拥有完全自主知识产权的网络操作系统VRPF台，采用全分布式体系结构，遵循电信设备标准，具有电信级可靠性。由图可见，XX大学校园网网络主要有两个出口，分别是INTERNETB 口（可以是某运营商提供的城域网出口）和中国教育科研网（CERNET 出口。华为Quidway系列产品支持统一的网管平台，通过华为Quidview网管软件或者iManagerN2000综合网管平台，可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的 管理。同时采用

16、 CAM赊合访问管理服务器完成了网络用户的认证，计费和管理。2.2详细网络设计可以加入以下内容：1、各校区的组网图2、各校区组网描述3、信息点和相应设备清单2.3组网用核心设备介绍2.3.1高可靠性的高端路由器高总线带宽：系统提供两条2G的总线作为单板内部的控制和数据通信，板件交换有足够的带宽。大流量分布式转发：采用分布式转发，数据包的转发由接口板完成，不影响主控板的工作，系统更加稳定；数据转 发不依赖单一的处理器，数据转发的性能大大提高；而且在这种方式下数据包的转发由接口板 完成，不影响主控板的工作，系统更加稳定。2.3.2功能强大的核心三层交换机校园网核心设备采用华为公司路由交换机S801

17、6。QuidwayS8016是华为公司推出的大容量（128G）、模块化、机架式基于硬件2/3/4层交换的路由交换产品。Quidway S8016提供完善的DiffservQoS 保证和业务流量控制机制，以及电信级的可靠性和高密度、大容量交换能力，是 校园网建设的基石。S8016作为大型L3设备，具有以下一些特点：一、大容量高密度：背板交换能力最高256G交换网板容量128G;共有16个业务插槽，11种业务接口板；最多可配置：64个GE接口和256个FE接口。二、完全线速分布式转发性能 ：全分布式结构，采用先进的网络处理器 RAINER,实现了全线速2/7层交换，并提供整机96Mpps的报 文处

18、理性能。转发基于逐包转发，在用户报文目的地址不断发生改变时，仍就保持线速转发。相应基于流的数据转发，当用户报文目的地发生变化时，转发速度急剧下降。如果在不断变化目的IP流的攻击下，基于流转发设备的性能下降非常快，甚至崩溃；而基于逐包转发的S8016受到的影响很少。三、完善的 DiffServ/QOS:S8016路由交换机提供完善的 Diffserv/QoS 支持，支持基于源端口、源 VLANID、源MAC地址、报文种类、TCP/UDP端口号、IP报文地址前缀等多种流分类规则，提供多种规则组合条件下的 流映射和分类、流量监管（CAR、拥塞控制方法（RED WRED SA-RED、队列调度和输出流

19、整 形等功能，真正做到业务区分并保证带宽/时延/抖动在限定的范围内，使网络运营商可以为用户提供具有不同服务质量等级服务保证，使IP城域网真正成为同时承载数据、语音和视频业务的综合网络。四、优良的可靠性：S8016的交换网络、路由处理系统、地址转换转换板和电源系统等所有关键部件采用冗余热备 份设计，能满足骨干网络对电信级/高可靠性的要求。二层业务上提供端口捆绑等功能，提咼链路速率的同时有效地提咼网络的安全性、可用性。网 络侧采用等价路由方法提高网络可靠性，支持3条等价路由。支持RSTP快速生成树协议和 HSRP热备份路由协议。RSTP在通过运行生成树协议防止网络拓扑 生成环路的同时提高了链路的冗

20、余；HSRP用于为带有默认网关的使用TCP/IP协议的主机提供默认网关的冗余配置。五灵活的组网能力：S8016提供端口捆绑、 VLAN 聚合、STP ARP/ARP Porxy、DHCP Realy/DHCP Server 等丰富二层业务能力，具有 NAT地址转换功能，并提供多种路由协议、基于流分类的策略路由支持。S8016通过DHCFRELAY和内置 DHCPSERVER对用户IP地址实行动态分配和管理。DHCPSERVER功能内置在S8016的MPU上，对下挂的用户可以直接进行地址分配和管理，可以为运营商节省夕卜置DHCP SERVE的投资。六大容量高速NAT:S8016的NAT功能支持公

21、网私网混合编址。单块NAT板转发能力支持 2Mpps以上，支持并发会 话数128k,会话建立速率 5k会话/秒；支持NAT中NAPT模式；支持公有地址和私有地址的混 合地址组网；支持ICMR FTP的ALG支持分片处理。七、组播特性：a）VLAN实现组播，无成员的端口不转发冗余的组播信息。b）组成员的ACL受控管理。c）PIM-SM协议中RF可以对DR发送来的注册报文进行过滤，只接受特定的注册报文。八、WEB SWITCH能：通过内置WebSwitch单板（称为CLPU板），在POP点和IDC提供L4负载均衡、L5/7负载均衡、 Web Cache Redirection等功能。九、IP V6

22、 Ready由于采用NP处理器，如有需要可通过软件升级以支持IP V6。2.3.3性能卓越的汇聚交换机Quidway S5516以太网路由交换机是华为公司推出的面向中型企业网LAN中心、大型企业LAN/以太城域网纯千兆汇聚的 2/3层交换产品。S5516最大支持16X GE支持所有端口第二第 三层报文的全线速转发，转发速率达 24MppsS5516采用盒式模块化结构设计，最大支持4个线路接口模块，可以支持4X电口（ RJ45）/多模/单模千兆模块以及堆叠矩阵模块，实现高性能中心路由、交换以及千兆骨干的汇聚，通 过堆叠的方式，可以实现高密度百兆端口的扩展。Quidway? S5516核心路由交换

23、机的主要特点：高性能24MPPs转发能力，32G交换容量，16GE的端口容量，32K路由表项支持，硬件地址学习、支持 16K MAC地址表项，4K VLAN支持，支持最多 16端口的Port Trunk ,最多16个Port Trunk组。 高性价比Quidway? S5516 L2/L3以太网交换机是采用当今最先进的ASIC技术，产品集成度高，大大降低了产品造价。配置灵活四插槽的模块化结构，用户可以根据网络需求选择不同的光电千兆接口，进行灵活配置。强大的组网能力Quidway? S5516 L2/L3 以太网交换机可以提供千兆到桌面，中/小网络核心，大型网络汇聚，LAN接入，宽带小区接入等多

24、种组网方案，能够满足不同的用户不同的组网需求。高可靠性的供电解决方案提供110V/220V宽范围电源，-48V直流供电，冗余电源支持。提供基于最长匹配的全线速3层交换解决了早期交换机采用精确匹配交换技术所带来的问题(交换表放在高速缓存中，如果报文命中则可以获得较高的交换速度，但如没有命中，则将进行软件转发)，可以做到逐包查表，逐包交换保证了所有报文均获得相同的转发性能。可达到 24MPPS( packet per second )的2/3层 转发能力。强大的IP路由支持32K路由表项，支持 OSPF RIP 1/11等路由协议。支持丰富的2层协议：提供RSTP避免环路冗余；支持 802.1q，

25、提供 4KVLAN和 VLAN Trunk 支持；支持 GVRP( GARP VLAN Registration Protocol)，提供 VLAN的自动注册；提供802.3x流控机制；半双工模式支持反压(Back Pressure )流控；支持端口聚合；基于2/3/4层的流规则过滤器，提供丰富的ACL安全机制，线速过滤能力。提供丰富的QoS策略：S5516提供了基于端口的流量限制(Ge neric Traffic Shap ing)可根据需要限制端口流量；提供128个流分类(Traffic Class )，因而用户可根据实际需要为不同的用户群组或不同的业 务类型分配不同的队列优先级，带宽控制

26、(以64Kpbs为步长单位进行调整)；提供Diffserv 支持，可以根据 2、3、4层特性，调整IP DSCP域，为骨干网络实现基于DSCP的IP转发提供支撑；S5516提供基于数据流(Flow，根据2、3、4层报文头的信息确定)的带宽共享算法，保证每 一个通信应用均可获得公平的流量分配，保证了各主机之间通信的公平性；提供 WRR( Weighted Rou nd Rob in )队列调度策略；可根据IP DSCP信息，802.1p信息,VLAN信息，2/3层转发表信息，配置出报文(Outgoing Packet) 的802.1p优先级与配置转发队列优先级。提供DHCP中继功能(DHCP R

27、elay)功能提供次功能可为跨网段的主机动态配置成为可能，使得DHCP的应用得到了极大的扩展。采用华为公司统一的 VRP平台VRP平台提供了大量的维护、调试命令，和日志功能，为产品的开通，维护，故障诊断提供了 丰富的手段；Quidway S5516与Quidway?路由器的配置风格一脉相承，用户培训成本大大降低。 强大方便的网络管理维护功能支持SNMP可支持Ope nV iew等通用网管平台，以及华为公司开发的 Quidview?、iMa nager ? 网管系统。支持 SMON RMON234业务丰富的智能IP接入设备MA5200日故为校园宿舍区的智能IP业务接入设备，提供了功能强大的用户管

28、理和业务控制功能， 主要体现在灵活完善的用户接入方式，用户身份认证和安全保障，基于用户策略的访问控制， 业务QoS保证等方面，同时提供丰富的计费信息，支持多种计费方式。MA5200E勺特点如下：灵活完善的用户接入认证方式：MA5200E提供了多种用户接入认证方式，主要的认证方式有WEBA证、PPPoE认证和802.1X认证。同时MA5200E支持本地认证和远端认证，并可以基于帐号的用户管理机制，实现预付费业 务和支持用户漫游。强大的用户管理控制功能：MA5200E具有很强的用户管理控制功能，对用户端口和业务流有很好的管理控制，保证网络资 源的合理利用，保证业务质量和保证网络的安全。COS保证：

29、以太网本身的特性是尽力传送，不提供业务优先级保证，这样不适合多业务的接入。MA5200E支持基于用户和访问目的业务流优先级分类，针对不同的优先级施加相应的QoS策略。高性能硬件转发引擎：MA5200E硬件采用专用ASIC实现转发引擎，该实现的最大特点是具备灵活的业务和协议处理的 同时，可以大大提高系统的处理高速性。MA5200E中采用了先进的快速路由查找算法，整机具有双向10G的交换容量和3Mpps的全业务转发能力。组播支持：MA5200E可以支持IGMPHGMP等用户组管理协议，实现从用户到网络的全套协议支持，为WebTV等宽带组播增值业务开展提供了基础。2.4组网特点丰富的多媒体业务： 提

30、供电子图书馆、在线考试、网上教学、远程教育和互联网等多种业务。有线无线一体化： 提供LAN WLAN等接入方式进行网络互联，实现笔记本教室、无线会议室， 空中图书馆。多种认证方式： 采用 WEB方式（并可支持 PPPOE 802.1X ）实现用户管理，具有动态业务选择 和交互式的特点。认证接入和业务选择代理相结合，方便提供新业务。多ISP选择：提供中国教育网（CERNE）和因特网等多个出口，使用者可自由选择不同ISP上网，并提供相应的计费策略。完善便捷的自助管理：提供新颖的自助服务。使用者可基于WEB灵活享受带宽选择，计费策略，查询余额等服务。个性设置：设置个性化 Portal查询话单：查询详

31、细话单信息查询余额：查询卡号余额修改密码：修改用户密码其他服务：卡号充值丰富的资费策略： 提供多种资费策略，包括：按时长计费，按流量计费，按带宽计费。并且还 提供预附费业务和多种折扣策略。高度的安全保证： 通过IP地址、VLAN ID、MAC地址的绑定，保证用户信息的安全。结合用户 控制访问列表，实现基于用户的良好管理能力，保护学生不受不良网站的影响。配置用户禁止访问的网段；保护网上重要的服务器配置用户组之间的访问与禁止灵活的地址策略：在校园网出口采用 NAT的方式解决学校公网IP地址不足的问题，此方案同时 支持公私网IP地址混合使用，为组网提供更大的灵活性。严格的QOS保证：通过Diffse

32、rv 与端口限速功能，实现基于业务的 QoS保证，防止网络受流量 攻击导致瘫痪。提供多种规则组合条件下的流映射和分类、流量监管（CAR、拥塞控制方法（RED WREDSA-RED、队列调度和输出流整形等功能CAR的范围和精度：平均流量范围（上行和下行）128K50M,流量控制粒度128Kbps；峰值流量范围（上行和下行）128K50M,流量控制粒度128Kbps。统一的分权网管：全网设备统一管理，并且可以根据管理权限对校园网上设备进行分级实时监 控。实现拓扑管理图形化操作界面，使用方便方便的远程配置维护管理实时声光报警中文操作系统，符合国人使用习惯3、详细网络设计3.1 IP 地址规划和路由策

33、略IP地址的合理规划是校园网网络设计中的重要一环，大型计算机网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性 能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。IP地址分配原则IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出 网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由 器中路由表的长度，减少对路由器CPU内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则：唯一性：一个IP网络

34、中不能有两个主机采用相同的IP地址；简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法 的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需 的连续性灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。当校园网以私网地址分配或采用混合网络地址接入时，要求校园网提供地址变换功能，过 滤掉私网地址。校园网IP地址规划方案请根据具体学校做相应规划1）校园网IP地址分配总则IP地址规划根据

35、所分配的公网IP地址和内部私网IP地址分配，地址可分为三大块，一块是Cernet分配多个C类公网IP地址，作为和国际互联网互连的地址，域名 就解析在这片地址上，主要供网络中心和图书馆电脑部、部分实验室专用； 校园网的普通用户，使用内部地址192.168.xxx.xxx,不能和国际互联网直接发生联系，不能避开代理和计费系统；学校同时还可以申请一块 ChinaNet的公网IP地址，作为接入电信公网和部分关键的服务器出口备 份，关键服务器拥有两个公网IP，分别跨接在 Cernet和ChinaNet上。2）校园网内部私网IP地址的分配内部地址的分配原则是按建筑物进行的，视用户的数量，1/4、1/2、整

36、个C的划分。对于相对固定不变的教学区采用静态分配IP地址，为防止地址盗用， 采用IP地址与MAC地址绑定，对于流动性大、用户人数多、用户增长快的学生区采用动态分配IP地址，采用By Port的Vian，小范围地限制地址盗用问题。对上网用户的管理，是基于用户名、密码的代理认证WEE认证过程进行，校园网内的网络资源不需认证就可访问，但访问校外的资源就必须经过认证,用户开机时，从 DHCP服务器获得校园IP地址，并可以直接访问校园网和教育网3） 中心交换机支持静态或动态的IP地址分配，并支持动态IP地址分配方式下 DHCP-Relay功能，DHCP SERVE可安放在园区内部。4） 对于固定IP地址

37、用户，需要针对标识符（MAC地址）设定保留IP地址。5） 如果使用华为公司的宽带接入设备MA5200E进行认证计费，可以使用MA5200E内置的DHCPServer或者网络集中 DHCP Server实现地址的分配。 VLAN方式下每个 VLAN可以只需要一个IP 地址，采用ARP Proxy方式，大大节约了地址空间。3.2 VLAN 戈U分教师区，通常采用包月方式，同时需要实现帐号和端口绑定的功能，故采用一个用户一个VLAN并限制一个 VLAN下同时接入的用户数量。对于学生区，校园网内 VLA N划分可以采用一个宿舍一个VLAN的划分方式，也可以是一层楼一个VLANMA5200E内部实现VL

38、AN+POR的标识，所以 VLAN规划中可以重复分配，但是需要保证相同 的VLAN号必须分配在不同的物理端口下。1、对一个宿舍一个 VLAN MA5200E可以精确的控制每个 VLAN下的用户，并能限制用户间的二层互访。用户要进行互访，必须通过 MA5200E来进行，在认证后，所有通过MA5200E的流量是要进行计费的。 由于用户间互通都要经过MA5200E增大了 MA5200E的负担。2、对一层楼一个 VLAN 本层楼的内部互访无须经过MA5200E优化了组网。 这种VLAN划分，不能防止主机上网后作为porxy，供其他无帐号的学生使用的情况。建议将按流量收费纳入考虑。 这种划分方式中，因为

39、对用户能实现动态的VLAN+MAC+IP绑定，可对用户发动的伪造攻击报文进行合法性检查和过滤，具有一定的网络安全性保障。3、不同VLAN间的互访，必须经过 MA5200E进行转发。3.3认证计费3.3.1用户认证MA5200E实现了对用户实现认证、计费、管理功能。用户认证的方式有以下四种：1）采用虚拟拨号方式：采用虚拟拨号方式，即 PPPOE的方式，用户需要在其客户端安装PPPOE软件，使用时从客户端（PC终端）发起PPP连接，PPP连接通过以太网在 MA5200E设备上实现终结。或 MA5200E 设备从PPP呼叫中提取相应的用户信息（用户名以及密码），将用户信息通过RADIUS协议在AAA

40、服务器上对用户进行认证鉴权，并依据用户情况为用户动态分配合法的IP地址，实现INTERNET接入。同时AAA服务器对用户实施计费，计费可采用时长、流量等多种计费方式，满 足不同资费政策的需求。2）采用直接的用户接入方式采用VLAN的直接用户接入方式时，每个用户分配一个VLAN端口，MA5200E依据此VLAN再加上用户的IP地址以及MAC地址相捆绑。用户在申请开户时，向学校网络中心申请所需的用 户策略（用户带宽的需求、分配IP地址数目等），校网络中心将所需用户策略输入MA5200E MA5200E依据用户策略以及 VLAN IP地址+ MAC地址三者之间的绑定关系实现对用户实现用户 的接入管理

41、、带宽分配以及用户的计费等。通过此方式实现宽带网络的可管理性。3) VLAN+WE用户接入VLAN WEBA证指的是 VLAN接入的用户通过登录门户网站，输入用户名和密码，进行身份 认证，从而获得用户访问权限的过程。具体实现方式为：首先或MA5200E为每个用户端口固定分配 VLAN-ID,并且在或MA5200E上将计时帐号用户 设置为WEB用户，并且将每个 WEB用户路由固定指向 WEB服务器的IP地址，因此在帐号用户上 网时其仅能够访问 WEB服务器，在 WE颐面上输入其帐号与密码后，WEB服务器内部的 CGI及相关程序将用户账号密码得到后发给或MA5200E或MA5200E将用户帐号与密

42、码信息得到后，将此或MA5200E的号及用户的 VLAND用户帐号、密码上传至RADIUS服务器进行认证。RADIUS 服务器可根据由或 MA5200E上传的VLANID及用户帐号、密码判断帐号用户的属性，即为包月 帐号用户还是计时帐号用户，认证通过后RADIUS服务器将通知或MA5200E将此认证用户的上网 权限打开。华为公司的CAMSF台不仅可进行帐号用户认证，还可根据帐号用户的域名进行不同费率的计费，非常灵活。WEB服务器可放置于公网上也可放置于或MA5200E旁。VLAN+WE的认证方式模仿了一个 PPPOE的拨号过程，其实现非常方便，无需在用户侧安装客户端软件，降低 了维护的工作量，

43、提高了工作效率。4) 802.1X用户认证IEEE 802.1X是一种基于端口的网络接入控制技术，在LAN设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是LANSWITCH设备的端口。连接在该类端口上的用户设备如果能通过认证，就可以访问LAN内的资源；如果不能通过认证，则无法访问LAN内的资源，相当于物理上断开连接。华为公司是802.1X国标的制订者，其系列交换机都支持 802.1X认证，并且通过与CAMS艮 务器想结合，可以实现 LAN接入方式的计费。通过以上的用户认证方式，结合XX大学校园网，可分为两个方面考虑用户接入认证的要求：宿舍区接入认证宿舍区的用户非常集中，业务比较

44、单一，为保证网络的安全性，宿舍区用户为S2403接入，通过S3026会聚后接入 MA5200E因此由MA5200E的接入方式可知，宿舍区用户可通过 VLAN+WEB 的方式实现用户的认证计费功能。其具体组网图如下：S3D26S3000系列教学区接入认证考虑到教学区用户相对比较固定，主要是教职工用户和科研机构用户。因此可以采取不认证即可上网的方式。大学校园网的计费系统采用 CAMS系统，实现对大学校园用户认证计费。对于宿舍区，因 为校园用户为移动用户并且不固定，所以采用预付费的方式实现用户上网。对于教学区，因其 端口基本为包月，所以采用后付费的方式实现。由此实现宿舍区及教学区的用户认证与计费。3

45、32计费管理计费管理包括实时收集网络的可利用信息，并对信息进行处理、存储、计费报告生成。提供的计费参数包括：表明连接支持的业务类型，PTP/PTMP旨示，该统计对象的端口 ID，数据被收集的时间，入/出口的信元数，流量类性和流量参数值和Q0瑩记，数据被收集的原因等。持续时间，主叫地址，被叫地址，释放原因，宽带承载能力等。计费中心负责收集各种计费信息， 并对其进行统计分析，记录归档，形成计费报告。计费建议采用 RADIUS计费。RADIUS协议是一个比较完善的AAA协议，对接入用户进行认证和计费，RADIUS认证服务器放置于科艺苑的网络中心机房。智能IP接入设备MA5200E起到RADIUSCl

46、ient的作用，把用户的认证请求发送到RADIUS认证服务器，RADIUS认证服务器管理着整个校园网注册用户数据库。如果认证通过，则允许用户接入并开始计费，MA5200E把在线用户的实时计费信息（包括接入时间、在线时间，流量等）发送到RADIUS计费服务器，计费服务器可以根据不同的计费策略向用户收费。功能特点：1、提供灵活的计费方式：计费数据中包含接入用户的时间与流量等信息，可根据需要采取不同的计费方式（如按时间或按流量计费）。2、实时计费：定时向计费服务器发送接入用户的计费信息，保持计费数据的连续性，这样即使 发生意外（如掉电，与计费服务器通信中断）也可使损失减至最少。3、支持主备计费服务器

47、，在主计费服务器出现故障时自动将计费数据送到备用计费服务器。4、计费中心放置于网络中心，便于校园网对用户的集中认证计费。3.3.3综合访问管理服务器CAMS在建设校园网工程时不仅仅需要通信设备，更需要一套全网解决方案，解决目前网络的管 理、安全和增值问题。另外，网络应用日益丰富，VOIP、VOD VPN ONLY电话/电视会议等新业务的不断推出，对原有的业务管理系统提出了新的挑战。为了适应这种需求，华为公司推出了综合访问管理服务器（Comprehe nsive AccessManagement Server, CAMS），配合设备组网，提供全网解决方案。CAMS系统硬件平台为 PC服务器，软件

48、平台为 LINUX,数据库为ORACLE CAMS系统采用组件化 的结构方式，使得业务组件可以动态加载，单独升级，能有效的适应网络的扩容带来的对网络 的管理。作为网络中的业务管理核心，CAMS支持与路由器、以太网交换机、VoIP网关和接入服务器 等网络产品共同组网，完成终端用户的认证、授权、计费和权限管理，实现网络的可管理、可 运营，保证网络和用户信息的安全。CAMS与华为公司的系列网络产品无缝集成，支持从低端到高端各种设备的认证和用户管理。其主要功能有：1、综合访问控制CAMS通过配置可以作为 Lanswitch、8010接入服务器、8040、8070路由器等多种网络 设备的网络访问控制服务

49、器，实现基于 PPP 802.1X、DHCP+WE等多种方式，对 VOIP、 VOD VPN ONLY等多种业务的用户身份验证、网络使用授权、计费和统计功能。通过业务模块的动态加载，基于预留的API接口二次开发，CAMS能够适应不断发展的各种认证、计费和管理需求。2、系统和策略管理CAM柯以灵活的定制网络接入、计费、优惠等用户策略，在用户级别设置不同的访问权 限和计费方式，并通过简单配置生成样式丰富的计费、统计报表。并可以通过与企业网 Quidview网管软件之间的接口，与Quidview结合提供更为复杂的网络业务控制管理功能。3、业务管理CAMS不仅支持传统账号、卡号、主叫用户业务，还支持黑

50、名单、用户属性绑定、VPNVoIP、以太接入、DHCP+We认证等业务。与设备配合，实现对用户的 QoS优先级、多 播和VLAN管理。另外，CAM逐能将网络流量与终端用户信息相关联，解决了目前的计费方式单一性问题，引入更公正、更易于被终端用户接受的基于资源占用的细粒度计费、优惠方法，并可为 接入商、企业网、智能化小区提供更加灵活的资费策略和详细的分析、决策信息，支持 信息统计和详细话单（CDR统计功能和输出及定制接口。4、最终用户自助网络的终端用户可以通过 Web随时查询对网络的使用情况，如访问时长、流量、费用等的综合统计和明细信息，并完成对个人信息的管理，如密码修改等。4、业务解决方案4.1

51、 PORTALPortal业务是针对客户化服务、内容发布管理、运营管理的需求而提出的门户业务，是客户化服务的门户、内容发布的门户、运营管理的门户。1 客户化服务的门户用户端使用方便、简单，即插即用。无需安装任何客户端软件，只需用普通浏览器就可。无需IP地址设定，每次上网系统动态分配IP地址。用户端只需通用网卡，无需额外设备或软件。简单统一的风格、个性化的用户设置，使用标准浏览器上网，界面简单统一。用户可以定 制MyPortal 个性化的上网门户，收藏自己喜爱的网站，记录自己定制的内容业务.Portal业务负责存储和管理用户页面设置信息。这样，每当用户上网时，就可调出自己的页面，从而 在熟悉的环

52、境中上网冲浪。用户自助管理、自助服务，用户可以根据需要实时在线的选择带宽、服务等级、计费方式等，进行自助管理。可通过预先设置带宽选择档次（如2M 5M 10M.）,并给出对应的资费和效果等的说明，帮助用户在选择前了解情况和作出决定。用户根据所访问 的服务的不同可以在线选择合适的带宽，在不需要的时候可以恢复原来的带宽。通常，为用户 提供缺省带宽。用户可以在按时长、按流量等一系列计费方式中动态选择适合自己习惯的方式。 完善的自助服务，提供修改用户密码、广告阅读充值、注册和删除业务、用户的认证、用户识 别和业务选择等功能。提供查询话单、余额查询、查询广告充值历史、个性化方案设置和网址 收藏功能。教育

53、局可通过门户网站实现网络服务类的应用，如入网申请、用户在线注册、密码修改、网络 使用费用查询、网络设置指南等等。2内容发布的门户学校可通过门户网站实现社会服务类的应用，如教育新闻的发布、 公共信息的收集和发布、网上通知、考试成绩公布和查询及教育政策与法规的查询等等。还可实现娱乐趣味类的内容发 布，如娱乐新闻、时势新闻等等。3运营管理的门户强制Portal ,保证用户上网必须经过教育局的门户进行认证。教育局可以有效地对上网用 户进行统一管理。4.2远程教育华为公司根据对远程教育的理解，推出了一套完善的远程教育网解决方案ViewPoi ntEduCenter远程教育网解决方案。该解决方案将在网通宽

54、带城域网与校园网的配合下完成，贵州民族学院完全可通过远程教育系统为社会教育信息化的发展贡献一份力量。华为公司的ViewPoint EduCentre 远程教育系统在一个平台上实现了多媒体实时业务和非实时业务的提供，并实现了两者之间的充分融合，使两者成为一个有机的整体，并结合针对教育的教学平台，可以提供完善的的远程教育解决方案。只需办好电子化教室即可开展远程教学。华为ViewPoint EduCentre 远程教育系统从系统功能层次上可以分为业务管理层、视讯交换层、视讯用户层等三个部分：业务管理层主要完成网络设备的管理、远程教育用户的管理、业务的受理功能。业务管理层负责整个远程教育业务的受理和网

55、络资源的调度，提供主叫呼集和WEB约的支持，使得用户可以灵活的使用远程教育业务。业务管理层包括ViewPoi nt 8000业务管理中心、ViewPoi nt8000业务受理中心及 ViewPoint 8000 网管中心等业务支撑软件。视讯交换层是整个远程教育系统的核心层，支持V35、IP、E1、ISDN等视讯终端的接入，完成远程教育业务中图象、语音、数据的交换，提供教学会场多点控制、媒体流的直播与点播 功能，具备丰富的教学管理和课件管理功能，使教师教学和学生上课、自习完全实现电子化。视讯交换层主要包括 ViewPo int 8620视讯交换平台、课件与用户管理系统、数据服务器、GK、流媒体服务器。在视讯用户层，华为公司提供多种终端产品，使得用户可以根据需要，组建专业的电子化教室或是低成本的个人终端。同时，打破了传统会议电视系统使用不方便的局限，提供主叫呼集和WEB约的上课方式，使得用户无须他人的干预，在终端上即时自主的召集各个远程教室并按时上课，并且，在上课期间，教师可以通过终端控制各教室的多画面广播、点名发言、讨论等功能，使得远程教学的及时性和互动性的优点得到了更进一步的加强，更贴近用户的需求。视讯用户层包括了华为公司 ViewPoint系列终端产品（包括 ViewPoint 8020