高校宿舍网解决方案分析研究 室内设计专业

实达锐捷网络高校宿舍网解决方案目录一、高校宿舍网应用需求分析 31.1网络安全需求 31.2用户接入控制需求 31.3计费需求 41.4网络高性能需求 41.5网络管理需求 4二、方案拓扑图 52.1高校宿舍网整体解决方案 52.1.1高校宿舍网整体方案拓扑图 52.1.2实达锐捷网络高校宿舍网整体解决方案特点 52.2网络安全解决方案 72.2.1网络安全解决方案拓扑图 72.2.2网络安全解决方案特点 72.3网络接入控制解决方案 82.3.1接入控制解决方案拓扑图 82.3.2接入控制解决方案特点 92.4网络计费解决方案 92.4.1网络计费解决方案拓扑图 92.4.2网络计费解决方案特点 102.5网络高性能解决方案 112.5.1网络高性能解决方案拓扑图 112.5.2网络高性能解决方案特点 112.6网络管理解决方案 122.6.1网络管理解决方案拓扑图 122.6.2网络管理解决方案特点 12三、方案优势分析 143.1实达锐捷网络高校宿舍网整体解决方案优势分析 143.2与华为解决方案优势分析 153.3与Cisco解决方案优势分析 153.4与港湾解决方案优势分析 163.5与神码解决方案优势分析 163.6与D-link解决方案优势分析 16四、附录 164.1各厂家交换机对802.1X的支持程度对比表 164.2我们与竞争对手方案实现的功能对比表 17解读 19

实达锐捷网络高校宿舍网解决方案一、高校宿舍网应用需求分析学生宿舍网应用特点：用户数多，扩展速度快：高等学校一般在校学生都比较多，且随着高校的扩招和合并，学生用户数会越来越大，一般都可能超过2万；网络应用复杂，流量大：学生主要使用网络进行FTP文件传输、在线音乐、在线影视、网络游戏等流量巨大的网络应用；安全隐患大：学生是一个易接受新事物、喜欢尝试探索、好成就好攻击的“危险群体”；不易管理：学生用户中经常发生IP地址盗用、IP地址冲突、帐号盗用、设置代理服务器等令网络管理及维护人员非常头疼的问题。学生宿舍网面临的问题：用户数多，增长快；应用复杂，流量大，如何保证网络的性能？安全隐患大、不易管理，如何保证网络安全，如何保证不会滥用网络资源？1.1网络安全需求非法站点访问过滤；恶意攻击的实时处理；非法言论的准确追踪；记录访问日志提供完整审计；1.2用户接入控制需求有效的对用户进行接入控制，保证只有申请开通的合法用户才可以使用网络；能够对接入用户进行帐号与IP、MAC、端口等多元素绑定，以唯一确定用户身份同时准确定位；在宿舍区对学生用户进行多元素复合绑定，但是用户的帐号应该可以在计算中心、图书馆等公用机房漫游使用。1.3计费需求系统支持包月、计时长、计流量、实时扣费以及卡业务计费功能；支持灵活计费，比如设置优惠时段、包月限最大时长、包月限最高流量，支持时长卡、流量卡、包月卡等多种卡业务；支持区分校内、国内、国际访问的流量计费；防止学生架设代理服务器，避免一个帐号多人同时使用。1.4网络高性能需求认证计费效率高，对用户的认证和计费不会对网络性能造成瓶颈；系统支持几万及以上用户同时在线并正常运行，用户不会感觉网络速度慢；1.5网络管理需求需要方便的进行用户管理，包括开户、销户、资料修改和查询需要能对用户进行分级管理，认证计费系统需要支持远程登录的方式进行管理；需要能够对网络设备进行集中的统一管理；支持控制IP地址冲突，防止IP地址盗用、在一定程度上防止账号盗用；

二、方案拓扑图2.1高校宿舍网整体解决方案2.1.1高校宿舍网整体方案拓扑图

2.1.2实达锐捷网络高校宿舍网整体解决方案特点全方位的安全保证HYPERLINK事前的准确认证和身份定位HYPERLINK事中的实时处理HYPERLINK事后的完整审计强大的用户接入控制HYPERLINK\o"入网即认证"入网即认证HYPERLINK多元素复合绑定HYPERLINK灵活绑定实现帐号漫游HYPERLINK免客户端安装HYPERLINK认证客户端软件自动在线升级功能超高的网络高性能HYPERLINK分布式认证HYPERLINK认证后旁路（认证后不管）HYPERLINKCacheServer高速缓存HYPERLINKWEB重定向，CacheServer旁路设计HYPERLINK旁路日志记录灵活计费策略HYPERLINK多种计费原型HYPERLINK更可以自定义计费策略HYPERLINK支持区分目标IP的流量计费HYPERLINK提供与Cernet中心对帐功能网络可控管理HYPERLINK集中统一的用户管理HYPERLINK集中统一的设备管理HYPERLINK集中统一的日志管理完善的IP地址管理解决方案HYPERLINK防止IP地址冲突HYPERLINK防止IP地址盗用HYPERLINK屏蔽非法DHCP服务器全面控制代理服务器HYPERLINK自动探测并屏蔽代理服务器独有的Vlan动态跳转技术HYPERLINK权限漫游HYPERLINK多出口负载均衡2.2网络安全解决方案2.2.1网络安全解决方案拓扑图2.2.2网络安全解决方案特点全局的角度实施网络安全我们说传统的网络安全是单点和局部的，防火墙、IDS等都是相互孤立的设备，我们是通过安全控制协议建立一种联动机制，以Radius为核心，防火墙、IDS、日志服务器、安全交换机联动起来，实现全局的网络安全（如何联动详细说明？其他公司如何？）；全方位的网络安全保证事前：通过对用户多元素的复合绑定，实现事前的准确认证和身份定位事中：通过IDS的入侵检测及与Radius的联动，实现对恶意攻击用户的实时下线的处理；事后：通过日志服务器的完整日志记录，以及日志管理查询系统，可以对事件进行完整的审计。“万丈高楼地基要牢”“为不设防的城市设防”。2.3网络接入控制解决方案2.3.1接入控制解决方案拓扑图2.3.2接入控制解决方案特点入网即认证：只要用户接入网络就要对其进行身份认证；严格的多元素复合绑定：可以做到帐号与用户IP、MAC、交换机、接入端口、Vlan六元素的复合绑定；灵活绑定实现帐号漫游：在宿舍区对学生用户进行多元素复合绑定的同时，实现用户帐号在计算中心、图书馆等公用机房的漫游；用户权限漫游：基于应用的Vlan实现同一用户在全校（802.1X区域）的权限漫游。2.4网络计费解决方案2.4.1网络计费解决方案拓扑图2.4.2网络计费解决方案特点多种计费原型：系统支持包月、预收款、计时长、计流量、实时扣费、卡业务等多种计费原型；支持自定义计费策略：用户包月限最大时长、包月限最高流量、优惠时段设置等；支持区分目标IP的流量计费：实现比如访问校内资源免费、访问国内Cernet资源0.05元/M，访问国际Internet资源1.00元/M。可为用户提供详细的“网络流量费用清单”。提供与Cernet中心国际流量费用对帐功能：Cernet每月向高校收取国际流量费用，该系统即可以提供与Cernet中心对帐功能。全面控制代理服务器：的自动探测并屏蔽用户使用的各种代理行为，并自动加以屏蔽。避免出现收费盲点。2.5网络高性能解决方案2.5.1网络高性能解决方案拓扑图

2.5.2网络高性能解决方案特点最大程度上的分布认证：每个接入交换机就是一个认证者，克服传统的集中式的一个计费网管设备形成的瓶颈，无单点故障。认证计费报文与业务数据流分离：用户认证通过后，业务数据流与Radius服务器以及交换机的802.1X部分无关，只有到用户下线时才有计费结束报文提交给Radius服务器。认证计费报文与业务数据的分流克服了传统直路认证计费技术形成的性能瓶颈。旁路日志记录：实达日志记录服务器采用端口镜像旁路设计思想，提高了日志记录的效率，无性能瓶颈。WebCache重定向：WebCacheServer采取旁路设计，由核心交换机S6808对80端口数据的重定向，提供高速缓存访问，防止WebCacheServer直路时的瓶颈，同时减小出口流量。2.6网络管理解决方案2.6.1网络管理解决方案拓扑图

2.6.2网络管理解决方案特点集中式的统一用户管理：包括用户帐号管理、计费策略管理、访问日志管理集中式的统一设备管理：包括拓扑发现、配置管理、性能管理、事件管理用户在线自助服务管理：包括用户自助修改密码、自助查询、自助缴费

三、方案优势分析3.1实达锐捷网络高校宿舍网整体解决方案优势分析1、HYPERLINK全局的安全管理和全方位的安全保证2、HYPERLINK入网即认证，在对用户进行六元素复合绑定的同时提供帐号的灵活漫游3、HYPERLINK完善的IP地址解决方案使得IP地址冲突等问题成为历史4、HYPERLINK全面的代理服务器控制技术使得宿舍网运营真正成为现实5、HYPERLINK认证计费方案具有WebPortal等认证计费技术无法比拟的高性能优势6、HYPERLINK独有的区分目标IP的流量计费功能可与Cernet中心对帐8、HYPERLINKWebCacheServer高速缓存和Web重定向技术提高网页浏览速度，减少网络出口流量9、HYPERLINK独有的基于应用的Vlan技术，实现用户权限漫游和多出口负载均衡

3.2与华为解决方案优势分析华为在802.1X没有任何优势，所以主推WebPortal的认证计费方式我们的优势：安全解决方案优势1、全局的角度实施安全管理：华为的安全方案是单点和局部的安全。2、全方位的网络安全保证：华为不能解决恶意攻击的实时处理，以及事后的审计。接入控制解决方案优势1、入网即认证：华为采用Webportal方式时不能控制用户的接入以及对校内资源的访问。2、超强的用户接入控制：华为只能做到用户帐号与IP、MAC的绑定，不能定位用户。3、严格绑定下的帐号漫游：华为的帐号与IP和MAC绑定了之后，就不能漫游。4、用户权限漫游：华为不能做到用户权限的漫游。高性能解决方案优势：1、分布式认证，认证计费与业务数据分流：华为采用Webportal方式时具有严重的性能瓶颈2、WebCacheServer高速缓存与Web重定向：华为没有WebCacheServer这款产品3、旁路日志记录无性能瓶颈：华为没有专门日志服务器产品，华为推的是采用防火墙或核心交换机上做日志记录，具有严重的性能瓶颈。计费解决方案优势：1、提供区分目标IP的流量计费：华为采用802.1X方式时，做不了区分目标IP的流量计费。2、提供与Cernet中心国际流量费用对帐功能：华为做不了。3、全面控制各种形式的代理服务器：华为对学生设置代理服务器毫无办法。网络管理解决方案优势：完善的IP地址管理方案：华为无法有效的防止IP地址冲突，无法防止IP地址盗用，无法控制非法DHCP服务器。3.3与Cisco解决方案优势分析Cisco的802.1X只实现了基本的认证计费功能。Cisco的CiscoSecure访问控制服务器（ACS）对802.1X支持的不好。我们对比华为的所有优势同样适用于Cisco。3.4与港湾解决方案优势分析港湾无Radius服务器端的系统，不能提供全套完整的解决方案。同时我们对比华为的所有优势同样适用于港湾。3.5与神码解决方案优势分析神州数码无Radius服务器端的产品，不能提供全套完整的解决方案。同时我们对比华为的所有优势同样适用于神州数码。3.6与D-link解决方案优势分析D-link无Radius服务器端的产品，不能提供全套完整的解决方案。同时我们对比华为的所有优势同样适用于D-link。四、附录4.1各厂家交换机对802.1X的支持程度对比表实达Cisco华为港湾神码D-Link基本认证功能支持支持支持支持支持支持基本计费功能支持支持支持支持支持支持强制认证与强制非认证功能支持支持支持支持不支持不支持重认证功能支持支持支持支持支持支持EAP-MD5认证功能支持支持支持支持支持支持CHAP挑战认证功能支持不支持支持支持不支持不支持绑定交换机IP及端口功能支持不支持不支持不支持不支持不支持Vlan认证功能支持不支持不支持不支持不支持不支持私有组播地址认证功能支持不支持不支持不支持不支持不支持客户机异常下线探测功能支持不支持不支持不支持不支持不支持预付时长用户实时断线功能支持不支持不支持不支持不支持不支持预付流量用户实时断线功能支持不支持不支持不支持不支持不支持ReplyMessage支持支持不支持不支持不支持不支持不支持根据不同的帐号登录自动分配不同的带宽支持不支持不支持不支持不支持不支持4.2我们与竞争对手方案实现的功能对比表实达Cisco华为港湾神码D-Link安全保证事前的准确认证与定位好差差很差很差很差事中的实时处理好无无无无无事后的完整审计好无无无无无接入控制入网即认证好好/无好/无好/无好/无好/无多元复合绑定好差差差无无灵活绑定好无无无无无计费方案多种计费原型好差好无无无自定义计费策略好差好无无无区分目标IP计费好无无无无无与Cernet中心对帐好无无无无无全面的代理服务器控制好无无无无无网络的高性能分布式认证好好/无好/无好/无好/无好/无认证后旁路好好/无好/无好/无好/无好/无CacheServer高速缓存好无无无无无WebCache重定向好无无无无无旁路日志记录好无无无无无网络可控管理统一用户管理好好好无无无统一的设备管理好好好好好差日志管理查询好无无无无无有效防止IP地址冲突好无无无无无权限漫游好无无无无无多出口负载均衡好无无无无无(如何定义差、好、很差？有无具体的标准?)

解读全方位的安全保证事前的准确认证和身份定位事中的实时处理事后的完整审计事前的准确认证和身份定位用户使用网络前，通过用户帐号与IP、MAC、交换机IP、端口、VLAN六元素的复合绑定，对用户进行准确的身份认证，其中帐号与交换机以及接入端口的绑定，实现了准确的用户定位。事中的实时处理当网络中有对受保护的关键服务器或系统进行恶意攻击的时候，IDS入侵检测系统能够检测到发起攻击的源IP地址，通过S-SCP安全控制协议，IDS实时将攻击源IP通知S-Radius，S-Radius在在线用户表中找到源恶意攻击者，通过SNMP协议将恶意攻击者剔除下线。这一整个过程实现了全自动的实时处理。事后的完整审计日志服务器记录有用户完整的访问记录，包括源IP、目的IP、源端口、目的端口、源MAC、目的MAC、访问开始时间、访问结束时间、发送流量、接受流量等，结合日志管理查询系统，可以进行快速完整的审计。强大的用户接入控制入网即认证多元素复合绑定灵活绑定实现帐号漫游免客户端安装入网即认证用户只要使用网络既要进行身份认证，保证只有申请开户的合法用户才可以使用网络（包括内部网）多元素复合绑定可以对接入用户进行帐号与IP、MAC、交换机IP、端口、VLAN六元素的复合绑定。注：S21系列交换机可以实现IP和MAC的动态绑定。灵活绑定实现帐号漫游在对用户进行严格绑定的同时可以做到帐号漫游，比如：对学生用户，在宿舍区上网可以对其六元素进行严格的绑定，但是该学生的帐号可以在图书馆、计算中心等公用机房漫游使用。免客户端安装802.1X的一个特点就是需要安装认证客户端软件，这对于有些用户来讲可能认为带来麻烦，实达锐捷网络通过结合DHCP＋WEB方式的重定向功能，在用户第一次使用网络的时候，自动下载客户端软件，用户只要点击一个“是”，接受即可。省去了安装客户端的麻烦。认证客户端软件自动在线升级功能认证客户端软件的升级也是一件麻烦的事情，实达锐捷网络通过RadiusServer的自动判断客户端版本号，自动将用户的认证客户端软件升级为最新版本。超高的网络高性能分布式认证认证后旁路（认证后不管）CacheServer高速缓存WEB重定向，CacheServer旁路设计旁路日志记录分布式认证每一个接入交换机的每一个端口即相当于一个认证者，实现了最大程度的分布认证，既没有单点故障，同时克服了传统的网关设备进行认证计费造成的严重的性能瓶颈。认证后旁路（认证后不管）采取认证计费报文与业务数据分流技术，认证通过后，业务数据流就旁路了，并且在用户的整个上网过程中，没有报文和Radius服务器交换，实达安全交换机也无须处理认证计费报文，最大程度上的保证了网络性能。WebCacheServer高速缓存对于Web浏览的网络应用，发现有80%的用户访问20%的站点，重复的通过网络出口到互联网上的Web服务器下载数据，占用了大量的出口带宽。通过WebCacheServer的缓存技术，可以实现大量重复数据的本地高速访问。既提高了访问速度，同时减少了网络出口的流量。WEB重定向，CacheServer旁路设计通过核心交换机S6808的Web重定向功能，可以对进入核心交换机准备通过出口访问的数据包中的80端口数据包重定向到WebCacheServer，有了Web重定向功能，使得WebCacheServer可以旁路设计，减轻了WebCacheServer的负担，提高的访问速度，同时减少了网络出口流量。旁路日志记录实达日志记录服务器采用端口镜像旁路设计思想，提高了日志记录的效率，无性能瓶颈。灵活计费策略多种计费原型，更可以自定义计费策略支持区分目标IP的流量计费提供与C