华为校园网建设技术建议书模板

XX大学校园网技术建议书华为技术有限公司2002年X月华为商业机密校园网建设技术建议书华为商业机密TOC\o"1-5"\h\z1、概述 2\o"CurrentDocument"校园网建设背景 2校园网建网需求 2一般建网需求 2\o"CurrentDocument"XX学校建网需求 4\o"CurrentDocument"建网原则 42、总体网络设计 5\o"CurrentDocument"组网描述 5\o"CurrentDocument"详细网络设计 7组网用核心设备介绍 7高可靠性的高端路由器 7\o"CurrentDocument"功能强大的核心三层交换机 7\o"CurrentDocument"性能卓越的汇聚交换机 9\o"CurrentDocument"业务丰富的智能尸接入设备 11\o"CurrentDocument"组网特点 123、详细网络设计 13\o"CurrentDocument"IP地址规划和路由策略 13\o"CurrentDocument"VLAN划分 14认证计费 15用户认证 15\o"CurrentDocument"计费管理 17\o"CurrentDocument"综合访问管理服务器AMS 184、业务解决方案 19\o"CurrentDocument"PORTAL 19\o"CurrentDocument"远程教育 20\o"CurrentDocument"宽带上网卡 21\o"CurrentDocument"组播业务 23\o"CurrentDocument"5、网管解决方案 23\o"CurrentDocument"iManagerN2000综合网管解决方案 23\o"CurrentDocument"QuIDVIEW网管解决方案 296、安全解决方案 31用户严格隔离 31用户唯一标识 31防止对DHCP服务器的攻击 31\o"CurrentDocument"恶意用户追查 32\o"CurrentDocument"防止用户Proxy代理 32\o"CurrentDocument"7、附件 32华为商业机密校园网建设技术建议书华为商业机密1、概述校园网建设背景根据CNNIC2002年的最新调查结果来看，我国目前的上网总人口已达4580万，其中学生用户占了26%，是最大的用户群。另据华为公司市场部提供的资料，中国网民的普及率是1.2%，但在大学生群体中的普及率是93%。目前87%学生在网吧上网，97%的学生用201校园卡打电话。同时，随着国家信息化工作的深入开展，提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教育系统信息化建设的关键，尤其是高校校园网建设。在信息化的建设过程中，它的作用体现在如下几个方面：1、校园网能促进教师和学生尽快提高应用信息技术的水平;信息技术学科的内容是发展的，它是一门应用型学科，因此，为了让学生学到实用的知识，必须给他们提供一个实践的环境，这个环境离不开校园网。2、校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库，所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。3、校园网是学校现代化管理的基础，深入、全面的学校信息管理系统必须建立在校园网上。4、校园网提供了学校与外界交流的窗口，学校应将校园网与互联网联接，这也是学校信息化的要求，做到了这一步，通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。教育即未来。作为国家最重要的战略工程，如何应用信息技术改造我们传统的教学和管理手段;如何加深学生对于信息化和信息技术的理解与了解；如何造就同时具备传统和信息双重文化的一代新人，已成为教育界当前最为紧迫的任务之一。信息技术的应用，势必极大地推进教育手段和教育内容的革命性变革。我们对此深信不疑，并将全身心地为之努力。校园网建网需求.1一般建网需求校园网的建设涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。此处主要华为商业机密校园网建设技术建议书华为商业机密分析网络基础设施建设和网络运营方面相关的内容。校园网络建设从网络流量模型上看和企业网的流量模型相似，用户集中而网络流量大，但实际应用上还存在许多和企业网不同的地方。主要特点如下：1、多出口的需求：典型的组网有中国教育和科研网（CERNET）出口和运营商网络出口。多出口带来了以下两个需求：1）多权限ISP需求。用户可通过不同的账号名或采用相同的账号，不同的域名认证，获得不同的上网权限。譬如做到用户不认证前能自由访问校园内部分服务器，采用“user@163”登录，可实现Internet和校园网络自由访问，采用“user@crenet”登录，可访问CERNET和校园网。用户域名选择可通过WEB认证时用户通过选择WEB认证上的相应选择项进行选择。2）多ISP分别计费的需求，对应不同的ISP，计费策略不一致。2、用户管理的需求：1）使用方便，存在WEB认证需求。要求能做到基于WEB的身份认证、多ISP选择、W用户费率查询、带宽动态调整（隐性需求）、多WEB界面（隐性需求）等。2）需要解决账号和端口绑定问题。通过此种方式限制账号的使用区域。3）对用户带宽进行控制的需求，要求设备能对用户的带宽进行控制，譬如限制为256K、512K、1M、2M、5M、10M等等级。3、以网养网的需求：如何使现有网络具有自我造血机制成为高校普遍关心的问题，而只有具有自我造血机制才能使校园网络更好的发展，不断的完善。目前主要的措施有两个：1）发行宽带上网卡，改变以前单一，高成本的收费模式。卡号类型主要有包月卡、包月限时长、时长卡三种类型，包月限流量卡作为一种备选解决方案（不推荐）同时配合灵活的折扣方式，引导学生上网（如上课时间单价比夜晚高些）。2）开展服务收费。高校拥有丰富的教育资源，并且是公众教育的主要支撑力量。基于网络开展有偿的资源提供正成为目前公众教育的主要形式。这样不仅盘活了现有资源，更适应了教育产业化发展的趋势，通过有偿服务推动公益教育的发展。4、安全管理的需求：1）学生接受新鲜事务的能力非常强，因此校园也成为黑客最多的场所之一，如何保障校园网络的安全成为建网时不得不考虑的问题，目前主要攻击手段有DOS，DDOS等华为商业机密校园网建设技术建议书华为商业机密2）上网日志的需求，主要是配合公安机关保证社会的稳定和校园的安全5、NAT的需求：部分学校没有公网IP地址或地址不够，另外，因为教育网地址用户报文在通过运营商网络边界路由器时不被信任或运营商地址用户报文在通过教育网边界路由器时不被边界路由器信任，会造成部分Internet网站不可访问。解决此问题的措施需要在运营商或教育网其中一个出口做NAT，对此出口屏蔽内部路由。6、组播业务的需求，特别是可控组播的需求将随着校园信息化的深入而体现出来。.2XX学校建网需求增加当地学校实际上网需求，如：现网规模，建网目标等1.3建网原则早期的高校校园网主要是共用内部教育系统主机资源，共享简单数据库，多以二层交换为主，很少有三层应用，存在安全、可管理性较差、无业务增值能力等方面的问题。现在高校校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障服务，使网络安全可靠，从而实现教育管理、多媒体教学、图书馆管理自动化，而且还要通过Internet实现远程教学，提供可增值可管理的业务，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。基于对高校校园网业务需求的深入理解，结合自身产品和技术特点，华为公司推出了了完善的高校校园网解决方案，为高等院校提供“可管理、可增值、可持续发展”的精品网络。高校网络建设遵循以下基本原则：可管理性高校网络是一个庞大而且复杂的网络，为了保障网络的正常使用以及设备的良好维护需要一个功能强大，具有分级、分权管理能力的网管系统，实现统一的网络业务调度和管理，降低网络运营成本。同时由于高校网络的使用者数量巨大，网上开展的业务众多，因此需要能够提供用户的高效管理，以确保用户和学校的利益不受损失。可增值性校园网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带华为商业机密校园网建设技术建议书华为商业机密增值业务，使网络具有自我造血机制，实现以网养网。可扩充性考虑到用户数量和业务种类发展的不确定性，校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。2、总体网络设计组网描述XX大学校园解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及灵活计费为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。其组网图如下：华为商业机密校园网建设技术建议书华为商业机密WLAJTAP5削% 含谀室阿5陪idliiICiTiEssuzu/i^aH教室宴整装分公姓网络中心S24D3H20WJZ003NEienswtft.'-JiLHL'MSBW**MWLAJTAP5削% 含谀室阿5陪idliiICiTiEssuzu/i^aH教室宴整装分公姓网络中心S24D3H20WJZ003NEienswtft.'-JiLHL'MSBW**M费FTPS3026,24[>JH数室每沿室由父群99早加S3520J'&55、CLKTIErCAMS本解决方案网络分为三个层次，核心层、汇聚层、接入层。为实现校区内的高速互联，校园网核心层采用两台华为公司核心路由交换机QuidwayS8016,并基于S8016构建了校园网络中心，成为校园网应用的核心。S8016最大支持64个GE端口，支持全光口模块，方便实施远程千兆汇聚；提供全线速的二三四层交换及第四层业务服务，可作为网络的核心交换、业务控制和冗余控制平台。在汇聚层采用华为公司QuidwayS5516，S3526千兆路由交换机以及MA5200E智能讦接入设备，通过GE口连接S8016构成了高带宽的校园网骨干。QuidwayS5516/3526是全线速三层交换机，可以实现二三四层线速转发、三层互通，同时实现线速的多层策略过滤，用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等。在校园网接入层，分为教学区与宿舍区。在教学区采用S3026和S2403H作为用户的接入设备，实现GE到大楼，10、100M到桌面。在宿舍区，采用MA5200、S3026、S2000实现用户的接入、认证、计费。MA5200E实现对用户的接入认证、用户管理和业务质量保证，为用户提供高速上网、视频点播、门户业务等多种业务，能对用户进行有效管理，保证网络安全可靠，并提供多种计费方式，为校园网络的建设和管理提供新的方式。考虑到网络的先进性和完整性，在校园网内的热点地区，如图书馆、会议室采用华为公司华为商业机密校园网建设技术建议书华为商业机密的WLAN无线局域网产品构建了安全、可靠的无线局域网。广域网互连设备采用华为公司QuidwayNE16E/08E/05电信级骨干路由器。QuidwayNE16E/08E系列路由器使用华为公司拥有完全自主知识产权的网络操作系统VRP平台，采用全分布式体系结构，遵循电信设备标准，具有电信级可靠性。由图可见，XX大学校园网网络主要有两个出口，分别是INTERNET出口（可以是某运营商提供的城域网出口）和中国教育科研网（CERNET）出口。华为Quidway系列产品支持统一的网管平台，通过华为Quidview网管软件或者iManagerN2000综合网管平台，可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。同时采用CAMS综合访问管理服务器完成了网络用户的认证，计费和管理。详细网络设计可以加入以下内容：1、各校区的组网图2、各校区组网描述3、信息点和相应设备清单组网用核心设备介绍高可靠性的高端路由器高总线带宽：系统提供两条2G的总线作为单板内部的控制和数据通信，板件交换有足够的带宽。大流量分布式转发：采用分布式转发，数据包的转发由接口板完成，不影响主控板的工作，系统更加稳定；数据转发不依赖单一的处理器，数据转发的性能大大提高；而且在这种方式下数据包的转发由接口板完成，不影响主控板的工作，系统更加稳定。功能强大的核心三层交换机校园网核心设备采用华为公司路由交换机S8016。QuidwayS8016是华为公司推出的大容量（128G）、模块化、机架式基于硬件2/3/4层交换的路由交换产品。QuidwayS8016提供完善的DiffservQoS保证和业务流量控制机制，以及电信级的可靠性和高密度、大容量交换能力，是校园网建设的基石。S8016作为大型13设备，具有以下一些特点：一、大容量高密度：华为商业机密校园网建设技术建议书华为商业机密背板交换能力最高256G,交换网板容量128G；共有16个业务插槽，11种业务接口板；最多可配置：64个GE接口和256个FE接口。二、完全线速分布式转发性能：全分布式结构,采用先进的网络处理器RAINER,实现了全线速2/7层交换，并提供整机96Mpps的报文处理性能。转发基于逐包转发，在用户报文目的地址不断发生改变时，仍就保持线速转发。相应基于流的数据转发，当用户报文目的地发生变化时，转发速度急剧下降。如果在不断变化目的讦流的攻击下，基于流转发设备的性能下降非常快，甚至崩溃；而基于逐包转发的S8016受到的影响很少。三、完善的DiffServ/QOS:S8016路由交换机提供完善的Diffserv/QoS支持，支持基于源端口、源VLANID、源MAC地址、报文种类、TCP/UDP端口号、IP报文地址前缀等多种流分类规则，提供多种规则组合条件下的流映射和分类、流量监管（CAR）、拥塞控制方法（RED、WRED、SA-RED）、队列调度和输出流整形等功能，真正做到业务区分并保证带宽/时延/抖动在限定的范围内，使网络运营商可以为用户提供具有不同服务质量等级服务保证，使IP城域网真正成为同时承载数据、语音和视频业务的综合网络。四、优良的可靠性：S8016的交换网络、路由处理系统、地址转换转换板和电源系统等所有关键部件采用冗余热备份设计，能满足骨干网络对电信级/高可靠性的要求。二层业务上提供端口捆绑等功能，提高链路速率的同时有效地提高网络的安全性、可用性。网络侧采用等价路由方法提高网络可靠性，支持3条等价路由。支持RSTP快速生成树协议和HSRP热备份路由协议。RSTP在通过运行生成树协议防止网络拓扑生成环路的同时提高了链路的冗余；HSRP用于为带有默认网关的使用TCP/IP协议的主机提供默认网关的冗余配置。五灵活的组网能力：S8016提供端口捆绑、VLAN聚合、STP、ARP/ARPPorxy、DHCPRealy/DHCPServer等丰富二层业务能力，具有NAT地址转换功能，并提供多种路由协议、基于流分类的策略路由支持。S8016通过DHCPRELAY和内置DHCPSERVER，对用户IP地址实行动态分配和管理。DHCPSERVER功能内置在S8016的MPU上，对下挂的用户可以直接进行地址分配和管理，可以为运营商节省外置DHCPSERVER的投资。六大容量高速NAT:S8016的NAT功能支持公网私网混合编址。单块NAT板转发能力支持2Mpps以上，支持并发会华为商业机密校园网建设技术建议书华为商业机密话数128k,会话建立速率5k会话/秒；支持NAT中NAPT模式；支持公有地址和私有地址的混合地址组网；支持ICMP、FTP的ALG，支持分片处理。七、组播特性：a）VLAN实现组播，无成员的端口不转发冗余的组播信息。b）组成员的ACL受控管理。c）PIM-SM协议中RP可以对DR发送来的注册报文进行过滤，只接受特定的注册报文。八、WEBSWITCH功能：通过内置WebSwitch单板（称为CLPU板），在POP点和IDC提供L4负载均衡、L5/7负载均衡、WebCacheRedirection等功能。九、IPV6Ready由于采用NP处理器，如有需要可通过软件升级以支持IPV6。性能卓越的汇聚交换机QuidwayS5516以太网路由交换机是华为公司推出的面向中型企业网LAN中心、大型企业LAN/以太城域网纯千兆汇聚的2/3层交换产品。S5516最大支持16XGE,支持所有端口第二第三层报文的全线速转发，转发速率达24Mpps。S5516采用盒式模块化结构设计，最大支持4个线路接口模块，可以支持4X电口（RJ45）/多模/单模千兆模块以及堆叠矩阵模块，实现高性能中心路由、交换以及千兆骨干的汇聚，通过堆叠的方式，可以实现高密度百兆端口的扩展。Quidway@S5516核心路由交换机的主要特点：高性能24MPPs转发能力，32G交换容量，16GE的端口容量，32K路由表项支持，硬件地址学习、支持16KMAC地址表项，4KVLAN支持，支持最多16端口的PortTrunk,最多16个PortTrunk组。高性价比Quidway®S5516L2/L3以太网交换机是采用当今最先进的ASIC技术，产品集成度高，大大降低了产品造价。配置灵活四插槽的模块化结构，用户可以根据网络需求选择不同的光电千兆接口，进行灵活配置。强大的组网能力

校园网建设技术建议书华为商业机密10校园网建设技术建议书华为商业机密10Quidway@S5516L2/L3以太网交换机可以提供千兆到桌面，中/小网络核心，大型网络汇聚，LAN接入，宽带小区接入等多种组网方案，能够满足不同的用户不同的组网需求。高可靠性的供电解决方案提供110V/220V宽范围电源，-48V直流供电，冗余电源支持。提供基于最长匹配的全线速3层交换解决了早期交换机采用精确匹配交换技术所带来的问题(交换表放在高速缓存中，如果报文命中则可以获得较高的交换速度，但如没有命中，则将进行软件转发)可以做到逐包查表，逐包交换保证了所有报文均获得相同的转发性能。可达到24MPPS(packetpersecond)的2/3层转发能力。强大的IP路由支持32K路由表项，支持OSPF，RIPI/II等路由协议。支持丰富的2层协议：提供RSTP，避免环路冗余；支持802.14，提供4KVLAN和VLANTrunk支持；支持GVRP(GARPVLANRegistrationProtocol)，提供VLAN的自动注册；提供802.3x流控机制；半双工模式支持反压(BackPressure)流控；支持端口聚合；基于2/3/4层的流规则过滤器，提供丰富的ACL安全机制，线速过滤能力。提供丰富的QoS策略：S5516提供了基于端口的流量限制(GenericTrafficShaping)可根据需要限制端口流量；提供128个流分类(TrafficClass)，因而用户可根据实际需要为不同的用户群组或不同的业务类型分配不同的队列优先级，带宽控制(以64Kpbs为步长单位进行调整)；提供Diffserv支持，可以根据2、3、4层特性，调整IPDSCP域，为骨干网络实现基于DSCP的IP转发提供支撑；S5516提供基于数据流(Flow，根据2、3、4层报文头的信息确定)的带宽共享算法，保证每一个通信应用均可获得公平的流量分配，保证了各主机之间通信的公平性；提供WRR(WeightedRoundRobin)队列ij调度策略；可根据IPDSCP信息，802.1p信息，VLAN信息，2/3层转发表信息，配置出报文(OutgoingPacket)的802.1p优先级与配置转发队列优先级。提供DHCP中继功能(DHCPRelay)功能10

校园网建设技术建议书华为商业机密11校园网建设技术建议书华为商业机密11提供次功能可为跨网段的主机动态配置成为可能，使得DHCP的应用得到了极大的扩展。采用华为公司统一的VRP平台VRP平台提供了大量的维护、调试命令，和日志功能，为产品的开通，维护，故障诊断提供了丰富的手段；QuidwayS5516与Quidway®路由器的配置风格一脉相承，用户培训成本大大降低。强大方便的网络管理维护功能支持SNMP，可支持OpenView等通用网管平台，以及华为公司开发的Quidview®、iManager®网管系统。支持SMON、RMON。业务丰富的智能可接入设备MA5200E做为校园宿舍区的智能IP业务接入设备，提供了功能强大的用户管理和业务控制功能，主要体现在灵活完善的用户接入方式，用户身份认证和安全保障，基于用户策略的访问控制，业务QoS保证等方面，同时提供丰富的计费信息，支持多种计费方式。MA5200E的特点如下：灵活完善的用户接入认证方式：MA5200E提供了多种用户接入认证方式，主要的认证方式有WEB认证、PPPoE认证和802.1X认证。同时MA5200E支持本地认证和远端认证，并可以基于帐号的用户管理机制，实现预付费业务和支持用户漫游。强大的用户管理控制功能：MA5200E具有很强的用户管理控制功能，对用户端口和业务流有很好的管理控制，保证网络资源的合理利用，保证业务质量和保证网络的安全。QoS保证：以太网本身的特性是尽力传送，不提供业务优先级保证，这样不适合多业务的接入。MA5200E支持基于用户和访问目的业务流优先级分类，针对不同的优先级施加相应的QoS策略。高性能硬件转发引擎：MA5200E硬件采用专用ASIC实现转发引擎，该实现的最大特点是具备灵活的业务和协议处理的同时，可以大大提高系统的处理高速性。MA5200E中采用了先进的快速路由查找算法，整机具有双向10G的交换容量和3Mpps的全业务转发能力。组播支持：MA5200E可以支持IGMP、HGMP等用户组管理协议，实现从用户到网络的全套协议支持，为WebTV等宽带组播增值业务开展提供了基础。11

校园网建设技术建议书华为商业机密12校园网建设技术建议书华为商业机密12组网特点丰富的多媒体业务：提供电子图书馆、在线考试、网上教学、远程教育和互联网等多种业务。有线无线一体化：提供LAN、WLAN等接入方式进行网络互联，实现笔记本教室、无线会议室，空中图书馆。多种认证方式：采用WEB方式（并可支持PPPOE，802.1x）实现用户管理，具有动态业务选择和交互式的特点。认证接入和业务选择代理相结合，方便提供新业务。多ISP选择：提供中国教育网（CERNET）和因特网等多个出口，使用者可自由选择不同ISP上网，并提供相应的计费策略。完善便捷的自助管理：提供新颖的自助服务。使用者可基于WEB灵活享受带宽选择，计费策略，查询余额等服务。个性设置：设置个性化Portal查询话单：查询详细话单信息查询余额：查询卡号余额修改密码：修改用户密码其他服务：卡号充值丰富的资费策略：提供多种资费策略，包括：按时长计费，按流量计费，按带宽计费。并且还提供预附费业务和多种折扣策略。高度的安全保证：通过IP地址、VLANID、MAC地址的绑定，保证用户信息的安全。结合用户控制访问列表，实现基于用户的良好管理能力，保护学生不受不良网站的影响。配置用户禁止访问的网段；保护网上重要的服务器配置用户组之间的访问与禁止灵活的地址策略：在校园网出口采用NAT的方式解决学校公网IP地址不足的问题，此方案同时支持公私网IP地址混合使用，为组网提供更大的灵活性。严格的QOS保证：通过Diffserv与端口限速功能，实现基于业务的QoS保证，防止网络受流量攻击导致瘫痪。提供多种规则组合条件下的流映射和分类、流量监管（CAR）、拥塞控制方法（RED、WRED、SA-RED）、队列调度和输出流整形等功能CAR的范围和精度：平均流量范围（上行和下行）128K〜50M,流量控制粒度128Kbps；12

校园网建设技术建议书华为商业机密13校园网建设技术建议书华为商业机密13峰值流量范围（上行和下行）128K〜50M,流量控制粒度128Kbps。统一的分权网管：全网设备统一管理，并且可以根据管理权限对校园网上设备进行分级实时监控。实现拓扑管理图形化操作界面，使用方便方便的远程配置维护管理实时声光报警中文操作系统，符合国人使用习惯3、详细网络设计IP地址规划和路由策略IP地址的合理规划是校园网网络设计中的重要一环，大型计算机网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。IP地址分配原则IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则：唯一性：一个IP网络中不能有两个主机采用相同的IP地址；简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。13

校园网建设技术建议书华为商业机密14校园网建设技术建议书华为商业机密14主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。当校园网以私网地址分配或采用混合网络地址接入时，要求校园网提供地址变换功能，过滤掉私网地址。校园网IP地址规划方案请根据具体学校做相应规划1）校园网IP地址分配总则IP地址规划根据所分配的公网IP地址和内部私网IP地址分配，地址可分为三大块，一块是Cernet分配多个C类公网IP地址，作为和国际互联网互连的地址，域名就解析在这片地址上，主要供网络中心和图书馆电脑部、部分实验室专用；校园网的普通用户,使用内部地址192.168.xxx.xxx，，不能和国际互联网直接发生联系，不能避开代理和计费系统；学校同时还可以申请一块ChinaNet的公网IP地址，作为接入电信公网和部分关键的服务器出口备份,关键服务器拥有两个公网IP，分别跨接在Cernet和ChinaNet上。2）校园网内部私网IP地址的分配内部地址的分配原则是按建筑物进行的，视用户的数量，1/4、1/2、整个C的划分。对于相对固定不变的教学区采用静态分配IP地址，为防止地址盗用，采用IP地址与MAC地址绑定，对于流动性大、用户人数多、用户增长快的学生区采用动态分配IP地址，采用ByPort的Vlan，小范围地限制地址盗用问题。对上网用户的管理，是基于用户名、密码的代理认证WEB认证过程进行，校园网内的网络资源不需认证就可访问，但访问校外的资源就必须经过认证用户开机时，从DHCP服务器获得校园IP地址，并可以直接访问校园网和教育网3）中心交换机支持静态或动态的IP地址分配，并支持动态IP地址分配方式下DHCP-Relay功能，DHCPSERVER可安放在园区内部。4）对于固定IP地址用户，需要针对标识符（MAC地址）设定保留IP地址。5）如果使用华为公司的宽带接入设备MA5200E进行认证计费，可以使用MA5200E内置的DHCPServer或者网络集中DHCPServer实现地址的分配。VLAN方式下每个VLAN可以只需要一个IP地址，采用ARPProxy方式，大大节约了地址空间。VLAN划分教师区，通常采用包月方式，同时需要实现帐号和端口绑定的功能，故采用一个用户一个VLAN，并限制一个VLAN下同时接入的用户数量。14

校园网建设技术建议书华为商业机密15校园网建设技术建议书华为商业机密15对于学生区，校园网内VLAN划分可以采用一个宿舍一个VLAN的划分方式，也可以是一层楼一个VLAN。MA5200E内部实现VLAN+PORT的标识，所以VLAN规划中可以重复分配，但是需要保证相同的VLAN号必须分配在不同的物理端口下。1、对一个宿舍一个VLAN①MA5200E可以精确的控制每个VLAN下的用户，并能限制用户间的二层互访。用户要进行互访，必须通过MA5200E来进行，在认证后，所有通过MA5200E的流量是要进行计费的。②由于用户间互通都要经过MA5200E，增大了MA5200E的负担。2、对一层楼一个VLAN①本层楼的内部互访无须经过MA5200E，优化了组网。②这种VLAN划分，不能防止主机上网后作为porxy，供其他无帐号的学生使用的情况。建议将按流量收费纳入考虑。③这种划分方式中，因为对用户能实现动态的VLAN+MAC+IP绑定，可对用户发动的伪造攻击报文进行合法性检查和过滤，具有一定的网络安全性保障。3、不同VLAN间的互访，必须经过MA5200E进行转发。认证计费用户认证MA5200E实现了对用户实现认证、计费、管理功能。用户认证的方式有以下四种：1）采用虚拟拨号方式：采用虚拟拨号方式，即PPPOE的方式，用户需要在其客户端安装PPPOE软件，使用时从客户端（PC终端）发起PPP连接，PPP连接通过以太网在MA5200E设备上实现终结。或MA5200E设备从PPP呼叫中提取相应的用户信息（用户名以及密码），将用户信息通过RADIUS协议在AAA服务器上对用户进行认证鉴权，并依据用户情况为用户动态分配合法的IP地址，实现INTERNET接入。同时AAA服务器对用户实施计费，计费可采用时长、流量等多种计费方式，满足不同资费政策的需求。2）采用直接的用户接入方式采用VLAN的直接用户接入方式时，每个用户分配一个VLAN端口，MA5200E依据此VLAN再加上用户的IP地址以及MAC地址相捆绑。用户在申请开户时，向学校网络中心申请所需的用户策略（用户带宽的需求、分配IP地址数目等），校网络中心将所需用户策略输入乂45200£，15

校园网建设技术建议书华为商业机密16校园网建设技术建议书华为商业机密16MA5200E依据用户策略以及VLAN+IP地址+MAC地址三者之间的绑定关系实现对用户实现用户的接入管理、带宽分配以及用户的计费等。通过此方式实现宽带网络的可管理性。3)VLAN+WEB用户接入VLAN+WEB认证指的是VLAN接入的用户通过登录门户网站，输入用户名和密码，进行身份认证，从而获得用户访问权限的过程。具体实现方式为：首先或MA5200E为每个用户端口固定分配VLAN-ID,并且在或MA5200E上将计时帐号用户设置为WEB用户，并且将每个WEB用户路由固定指向WEB服务器的IP地址，因此在帐号用户上网时其仅能够访问WEB服务器，在WEB页面上输入其帐号与密码后，WEB服务器内部的CGI及相关程序将用户账号密码得到后发给或MA5200E,或MA5200E将用户帐号与密码信息得到后，将此或MA5200E的号及用户的VLAN_ID、用户帐号、密码上传至RADIUS服务器进行认证。RADIUS服务器可根据由或MA5200E上传的VLANID及用户帐号、密码判断帐号用户的属性，即为包月帐号用户还是计时帐号用户，认证通过后RADIUS服务器将通知或MA5200E将此认证用户的上网权限打开。华为公司的CAMS平台不仅可进行帐号用户认证，还可根据帐号用户的域名进行不同费率的计费，非常灵活。WEB服务器可放置于公网上也可放置于或MA5200E旁。VLAN+WEB的认证方式模仿了一个PPPOE的拨号过程，其实现非常方便，无需在用户侧安装客户端软件，降低了维护的工作量，提高了工作效率。4)802.1X用户认证IEEE802.1X是一种基于端口的网络接入控制技术，在LAN设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是LANSWITCH设备的端口。连接在该类端口上的用户设备如果能通过认证，就可以访问LAN内的资源；如果不能通过认证，则无法访问LAN内的资源，相当于物理上断开连接。华为公司是802.1x国标的制订者，其系列交换机都支持802.1x认证，并且通过与CAMS服务器想结合，可以实现LAN接入方式的计费。通过以上的用户认证方式，结合XX大学校园网，可分为两个方面考虑用户接入认证的要求：宿舍区接入认证宿舍区的用户非常集中，业务比较单一，为保证网络的安全性，宿舍区用户为52403接入，通过S3026会聚后接入乂45200£。因此由MA5200E的接入方式可知，宿舍区用户可通过VLAN+WEB的方式实现用户的认证计费功能。其具体组网图如下：16

校园网建设技术建议书华为商业机密17给州口翩1校园网建设技术建议书华为商业机密17给州口翩1教学区接入认证考虑到教学区用户相对比较固定，主要是教职工用户和科研机构用户。因此可以采取不认证即可上网的方式。大学校园网的计费系统采用CAMS系统，实现对大学校园用户认证计费。对于宿舍区，因为校园用户为移动用户并且不固定，所以采用预付费的方式实现用户上网。对于教学区，因其端口基本为包月，所以采用后付费的方式实现。由此实现宿舍区及教学区的用户认证与计费。计费管理计费管理包括实时收集网络的可利用信息，并对信息进行处理、存储、计费报告生成。提供的计费参数包括：表明连接支持的业务类型，PTP/PTMP指示，该统计对象的端口ID，数据被收集的时间，入/出口的信元数，流量类性和流量参数值和QOS登记，数据被收集的原因等。持续时间，主叫地址，被叫地址，释放原因，宽带承载能力等。计费中心负责收集各种计费信息，并对其进行统计分析，记录归档，形成计费报告。计费建议采用RADIUS计费。RADIUS协议是一个比较完善的AAA协议，对接入用户进行认证和计费，RADIUS认证服务器放置于科艺苑的网络中心机房。智能IP接入设备MA5200E起到RADIUSClient的作用，把用户的认证请求发送到RADIUS认证服务器，RADIUS认证服务器管理着整个校园网注册用户数据库。如果认证通过，则允许用户接入并开始计费，MA5200E把在线用户的实时计费信息（包括接入时间、在线时间，流量等）发送到RADIUS计费服务器，计费服务器可以根据不同的计费策略向用户收费。功能特点：1、提供灵活的计费方式：计费数据中包含接入用户的时间与流量等信息，可根据需要采取不同17

校园网建设技术建议书华为商业机密18校园网建设技术建议书华为商业机密18的计费方式（如按时间或按流量计费）。2、实时计费：定时向计费服务器发送接入用户的计费信息，保持计费数据的连续性，这样即使发生意外（如掉电，与计费服务器通信中断）也可使损失减至最少。3、支持主备计费服务器，在主计费服务器出现故障时自动将计费数据送到备用计费服务器。4、计费中心放置于网络中心，便于校园网对用户的集中认证计费。综合访问管理服务器CAMS在建设校园网工程时不仅仅需要通信设备，更需要一套全网解决方案，解决目前网络的管理、安全和增值问题。另外，网络应用日益丰富，VOIP、VOD、VPN、ONLY、电话/电视会议等新业务的不断推出，对原有的业务管理系统提出了新的挑战。为了适应这种需求，华为公司推出了综合访问管理服务器（ ComprehensiveAccessManagementServer,CAMS），配合设备组网，提供全网解决方案。CAMS系统硬件平台为PC服务器，软件平台为LINUX，数据库为ORACLE。CAMS系统采用组件化的结构方式，使得业务组件可以动态加载，单独升级，能有效的适应网络的扩容带来的对网络的管理。作为网络中的业务管理核心，CAMS支持与路由器、以太网交换机、VoIP网关和接入服务器等网络产品共同组网，完成终端用户的认证、授权、计费和权限管理，实现网络的可管理、可运营，保证网络和用户信息的安全。CAMS与华为公司的系列网络产品无缝集成，支持从低端到高端各种设备的认证和用户管理。其主要功能有：1、综合访问控制CAMS通过配置可以作为Lanswitch、8010接入服务器、8040、8070路由器等多种网络设备的网络访问控制服务器，实现基于PPP、802.1x、DHCP+WEB等多种方式，对VOIP、VOD、VPN、ONLY等多种业务的用户身份验证、网络使用授权、计费和统计功能。通过业务模块的动态加载，基于预留的API接口二次开发，CAMS能够适应不断发展的各种认证、计费和管理需求。2、系统和策略管理CAMS可以灵活的定制网络接入、计费、优惠等用户策略，在用户级别设置不同的访问权限和计费方式，并通过简单配置生成样式丰富的计费、统计报表。并可以通过与企业网Quidview网管软件之间的接口，与Quidview结合提供更为复杂的网络业务控制管理功能。3、业务管理18

校园网建设技术建议书华为商业机密19校园网建设技术建议书华为商业机密19CAMS不仅支持传统账号、卡号、主叫用户业务，还支持黑名单、用户属性绑定、VPN、VoIP、以太接入、DHCP+Web认证等业务。与设备配合，实现对用户的QoS、优先级、多播和VLAN管理。另外，CAMS还能将网络流量与终端用户信息相关联，解决了目前的计费方式单一性问题，引入更公正、更易于被终端用户接受的基于资源占用的细粒度计费、优惠方法，并可为接入商、企业网、智能化小区提供更加灵活的资费策略和详细的分析、决策信息，支持信息统计和详细话单（CDR）统计功能和输出及定制接口。4、最终用户自助网络的终端用户可以通过Web随时查询对网络的使用情况，如访问时长、流量、费用等的综合统计和明细信息，并完成对个人信息的管理，如密码修改等。4、业务解决方案PORTALPortal业务是针对客户化服务、内容发布管理、运营管理的需求而提出的门户业务，是客户化服务的门户、内容发布的门户、运营管理的门户。.客户化服务的门户用户端使用方便、简单，即插即用。无需安装任何客户端软件，只需用普通浏览器就可。无需IP地址设定，每次上网系统动态分配IP地址。用户端只需通用网卡，无需额外设备或软件。简单统一的风格、个性化的用户设置，使用标准浏览器上网，界面简单统一。用户可以定制MyPortal――个性化的上网门户，收藏自己喜爱的网站，记录自己定制的内容业务Portal业务负责存储和管理用户页面设置信息。这样，每当用户上网时，就可调出自己的页面，从而在熟悉的环境中上网冲浪。用户自助管理、自助服务，用户可以根据需要实时在线的选择带宽、服务等级、计费方式等，进行自助管理。可通过预先设置带宽选择档次（如2M、5M、10M...）,并给出对应的资费和效果等的说明，帮助用户在选择前了解情况和作出决定。用户根据所访问的服务的不同可以在线选择合适的带宽，在不需要的时候可以恢复原来的带宽。通常，为用户提供缺省带宽。用户可以在按时长、按流量等一系列计费方式中动态选择适合自己习惯的方式。完善的自助服务，提供修改用户密码、广告阅读充值、注册和删除业务、用户的认证、用户识别和业务选择等功能。提供查询话单、余额查询、查询广告充值历史、个性化方案设置和网址收藏功能。19

校园网建设技术建议书华为商业机密20校园网建设技术建议书华为商业机密20教育局可通过门户网站实现网络服务类的应用，如入网申请、用户在线注册、密码修改、网络使用费用查询、网络设置指南等等。.内容发布的门户学校可通过门户网站实现社会服务类的应用，如教育新闻的发布、公共信息的收集和发布、网上通知、考试成绩公布和查询及教育政策与法规的查询等等。还可实现娱乐趣味类的内容发布，如娱乐新闻、时势新闻等等。.运营管理的门户强制Portal,保证用户上网必须经过教育局的门户进行认证。教育局可以有效地对上网用户进行统一管理。远程教育华为公司根据对远程教育的理解，推出了一套完善的远程教育网解决方案一ViewPointEduCenter远程教育网解决方案。该解决方案将在网通宽带城域网与校园网的配合下完成，贵州民族学院完全可通过远程教育系统为社会教育信息化的发展贡献一份力量。华为公司的ViewPointEduCentre远程教育系统在一个平台上实现了多媒体实时业务和非实时业务的提供，并实现了两者之间的充分融合，使两者成为一个有机的整体，并结合针对教育的教学平台，可以提供完善的的远程教育解决方案。只需办好电子化教室即可开展远程教学。华为ViewPointEduCentre远程教育系统从系统功能层次上可以分为业务管理层、视讯交换层、视讯用户层等三个部分：业务管理层主要完成网络设备的管理、远程教育用户的管理、业务的受理功能。业务管理层负责整个远程教育业务的受理和网络资源的调度，提供主叫呼集和WEB预约的支持，使得用户可以灵活的使用远程教育业务。业务管理层包括ViewPoint8000业务管理中心、ViewPoint8000业务受理中心及ViewPoint8000网管中心等业务支撑软件。视讯交换层是整个远程教育系统的核心层，支持V35、IP、E1、ISDN等视讯终端的接入，完成远程教育业务中图象、语音、数据的交换，提供教学会场多点控制、媒体流的直播与点播功能，具备丰富的教学管理和课件管理功能，使教师教学和学生上课、自习完全实现电子化。视讯交换层主要包括ViewPoint8620视讯交换平台、课件与用户管理系统、数据服务器、GK、流媒体服务器。在视讯用户层，华为公司提供多种终端产品，使得用户可以根据需要，组建专业的电子化教室或是低成本的个人终端。同时，打破了传统会议电视系统使用不方便的局限，提供主叫呼20

校园网建设技术建议书华为商业机密21校园网建设技术建议书华为商业机密21集和WEB预约的上课方式，使得用户无须他人的干预，在终端上即时自主的召集各个远程教室并按时上课，并且，在上课期间，教师可以通过终端控制各教室的多画面广播、点名发言、讨论等功能，使得远程教学的及时性和互动性的优点得到了更进一步的加强，更贴近用户的需求。视讯用户层包括了华为公司ViewPoint系列终端产品（包括ViewPoint8020、ViewPoint8020plus、ViewPoint8021、ViewPointOpenEye、媒体流接收软件）。整个组网入下图所示：遽件和用户管理强务器I业导管型疑双讯交搦层锐机用户薜■B数据服务器远程敕学网♦金行遽件和用户管理强务器I业导管型疑双讯交搦层锐机用户薜■B数据服务器远程敕学网♦金行企业网.ISDN/PSTN5泰庭用户集中上裸点宽带上网卡为了使学校上网管理更便捷，学生、教师享受到更好的网络服务，华为公司推出了校园宽带上网卡业务。校园卡主要特点如下：1）多种宽带计费卡，功能丰富；2）灵活计费、多种折扣；3）多种认证方式、方便用户安全使用；4）费用告警、信用限额；5）川6匕式自助管理;21

校园网建设技术建议书华为商业机密22校园网建设技术建议书华为商业机密22校园卡支持后付费卡、可充值预付费卡、不可充值预付费卡三类卡，并可由这三类卡加上个性化的服务派生出多种实用性宽带卡：1）学生卡 电话、上网一卡通（需运营商支持）支持后付费、可充值预付费、不可充值预付费三种方式。2）教师卡 教师卡可以有多个卡号和密码，每张卡在上班的时间允许使用，下班后的时间，只有少部分优先级高的用户可以上网。不同类别的卡拥有不同的带宽和费用权限。校园卡特色：1）灵活计费、多种折扣一支持按流量进行计费一支持按时长进行计费一支持同时按流量和时长计费一支持多种费率—支持按时间段折扣一支持按流量折扣一用户可以同时享受时间段折扣和累计折扣一支持按带宽、主叫、ISP制定计费策略2）多种认证方式、方便使用校园卡号系统的宽带上网可以采用WEB认证或PPPOE的认证方式。对于WEB认证，宽带上网的用户无须配置特殊软件，输入卡号、密码，通过认证后，用户就可以高速上网。基于PPPOE认证，宽带上网的用户需要在终端上安装专门的拨号软件，在该软件系统中输入卡号、密码通过认证以后，用户才可以进行高速上网。系统和网络设备配合可以进行端口绑定功能，即用户不用每次输入卡号和密码，就可以进行高速上网，费用在与端口相对应的卡号上扣除。这种端口绑定的业务比较适用于教职工住宅区和学校教研室。3）费用告警、信用限额当用户校园卡的余额低于某个设定值时，系统会对正在上网的用户发出提示，使用户可以有所准备。同时系统支持后付费卡的方式，用户可以先上网后交费。根据用户的信用等级，提供不同的信用限额。4）自助管理个性化业务设定校园卡用户注册登录后，可以对个人上网信息进行查询，包括在线时长、流量、费率、费用清单查询、余额查询与转帐；也可以进行个性化的设置，如上网带宽的设置、22

校园网建设技术建议书华为商业机密23校园网建设技术建议书华为商业机密23选择接入的ISP、信息爱好、页面风格；还可以在线实时修改密码等。通过Web自助管理，极大的方便了用户，增加了业务的透明性。5）黑名单账号保护持卡人利益在密码连续输错n（n需要具体设定）次后，卡号将被锁住。因黑名单原因锁住的卡号，只能到局方指定的受理点解锁，便于保护合法持卡人的经济利益。6）广告充值用户浏览网站上的广告信息后，回答几个问题，如果回答正确，则为用户的帐号充值。每一个广告每天为用户充值金额可以有一个限度；所有广告每天为一张卡充的总值也可以有一定的限度。目前广告收入是绝大多数网站的主要利润来源之一，但是目前上网的用户并不热衷于点击广告。通过广告充值业务可以大大地提高用户点击广告的兴趣，从而会吸引公司在网上作广告，增加网站的收入，进而形成良性循环，达到双赢的目的。4.4组播业务QuidwayS8016、MA5200E通过标准的组播协议完成用户的组播管理，并通过HGMP协议将各楼道交换机也纳入到组播实现中。由MA5200E完成对其下挂的汇聚交换机以及楼道交换机的组播用户进行报文复制和发送。通过这种机制，使得整个网络的流量做到最优，有效的保证了视频点播、网络电视、会议电视、视频游戏等视频业务的开展，通过组播实现的视频业务有:会议电视：利用网络和数字视像技术实现异地会议的交互传输和控制。付费电视：按频道收费的视讯节目。视频点播：交互式电视的一部分，它使用户可以随意选择所需的视讯节目，并可随意地控制节目播出（如快进、快倒、暂停等）。网络教学：使用视频和通讯设备实现一点对多点或点对点的交互式异地远端教学，实现学生和教师的实时交流，学生还可随时进行学习点播和查询。5、网管解决方案5.1iManagerN2000综合网管解决方案随着XX大学宽带校园网建设的进一步展开，如何保证XX大学校园网网络的维护和业务开23

校园网建设技术建议书华为商业机密24校园网建设技术建议书华为商业机密24展，不至于导致运营和维护的紊乱，造成网络服务中不必要的损失，将显得极其重要，因此建立一个统一的网管是十分必要的，它既大大降低了维护的工作量，同时对于业务的开展也提供了强大的功能。XX校园网采用华为技术有限公司产品和技术新建校园网络，考虑到网络维护的工作量及其服务对象，建议设立统一的网络管理中心对整个校园网进行网络管理，网管系统采用华为公司的iManagerN2000综合网管系统，实现网络设备的集中管理：【根据实际情况自行加入网管组网图】iManagerN2000是华为公司的IP城域网、综合城域网和话音等固定网网管解决方案，在固定网领域向用户提供集中、统一、分级、分权的网元管理、网络管理功能，并实现部分业务供给功能。网元、网络管理可以管理窄带交换机、综合业务交换机、ATM交换机、L3/L2系列设备、LANSwitch、多业务接入设备等，业务管理提供了端到端连接管理功能、VPN管理功能，客户管理系统等业务。iManagerN2000除对通信网的设备维护和网络管理提供支持外，并能够提供对OSS运营系统的支撑和接口。对于复杂的网络，由于采用了先进的组件化结构，利用iManagerN2000网管系统可以对全网设备集中管理，对于小规模的网络，也可以只安装必要的组件，节省投资。拓扑管理拓扑管理用于构造并管理整个通信网络的网络拓扑结构，通过自动上载网络设备的拓扑数据形成与实际网络拓扑结构相同的网络拓扑视图。运行中通过对网络设备进行定时（根据用户设定的每一设备的状态与配置轮询间隔时间）的轮循监视与设备上报TRAP或告警处理，保证显示网络视图与实际网络拓扑一致，用户可通过浏览网络视图实时了解整个网络的运行情况。网管系统的拓扑视图是采用分层结构的，其中拓扑顶层显示的子图称为视图，根据被管对象的种类和实际需求抽象出了几种视图显示在拓扑的顶层，目前包含了三个逻辑视图QP设备视图、交换设备视图和接入设备视图）和一个物理视图。在这些视图下是子网，它是具有相同属性的设备的集合，在子网下就是具体的网络设备，子网也可以再包含子网。其中逻辑视图中只包含了各自类型的网络设备，它反映了网络设备之间的逻辑关系，而物理视图中的子图和设备是用户自己设定的，用户可以根据地理位置去创建物理子图并定义它们之间的连接关系。IP视图用于IP层网络拓扑的管理，描述整个基于IP路由器的IP网络的网络层拓扑结构，主要包括路由器、LAN5亚立而、接入服务器和计算机等IP设备。基于IP路由器的网络拓扑结构分成两层，上层由路由器和IP子网组成，IP子网表示某一传输类型的物理网络，如以太网，FrameRelay网等，在同一IP子网下的所有设备具有同样的IP子网地址设置；路由器和IP子24

校园网建设技术建议书华为商业机密25校园网建设技术建议书华为商业机密25网之间通过路由器端口连接，如以太网口，FrameRelay广域网□等。路由器和路由器之间的连接有两种：一是通过IP子网连接，如两路由器通过以太网或FrameRelay网互连；二是直接的点到点连接，如PPP连接等。接入视图用于各种接入设备的管理，目前包括口0研1接入设备和MA综合业务接入设备。交换视图用于交换设备的管理，目前包括ATM交换机和C&C08交换机，它们分别放在ATM子网和C&C08子网里。对于一个C&C08交换机，拓扑结构是整个作为一个子网，一个模块作为该子网内的一个网元。物理视图用于反映网络设备之间的物理关系和连接，用户可以自由创建物理子网，在物理子网中加入逻辑子网中已经存在的设备，建立它们之间的连接关系。拓扑管理主要操作有增删设备或子网，查看节点、链路或子网的状态，通过定时轮询或手动启动对任一设备的状态或配置数据轮询，实时刷新拓扑显示数据。拓扑管理还具有改变背景图象、设置网络对象属性、保存拓扑视图修改、查找网络对象、显示网络对象信息、拓扑视图显示效果设置等功能。用户可对每个子网设置背景图象gif）格式，背景图象的大小根据窗口大小自动调整。配置管理iManagerN2000提供全网浏览树和设备面板图对配置进行维护。全网浏览树把网络中的所有设备按不同的分组方式组织在一个树形结构中，操作者可灵活切换要进行配置操作的设备。对所有设备和设备组件的操作都通过右键菜单来完成。用户右键点中待管理的对象，系统将自动弹出该设备或设备组件所对应的管理菜单，所有设备和设备组件（如端口等）的配置、实时性能管理功能都可通过该右键菜单完成。本浏览树可装载并显示所有路由器，以及其它支持SNMP协议的设备端口数据，在浏览树中的端口显示数据包括：端口状态，端口索引，端口类型，讦地址，掩码设置（如设置有），用户右键点中该端口即可弹出该端口所对应的配置菜单。通过在拓扑图上双击拓扑设备节点启动设备面板图，在面板视图上对设备进行配置；设备面板图和全网浏览树所提供的配置功能是完全一样的。在面板上进行配置显得更直观，提供设备的机架视图，实时显示各单板的状态和告警信息，对于面板中的每个单板节点，提供右键弹出菜单，该菜单是针对该单板的一系列的应用，包括配置，性能、维护管理等；而全网浏览树则是提供了一种对全网设备进行管理的手段，在配置较多的设备时比较方便。故障管理25

校园网建设技术建议书华为商业机密26校园网建设技术建议书华为商业机密26故障管理主要包括对全网设备的告警信息和运行信息进行实时监控，查询设备的历史告警信息和运行信息，定义发送过来的SNMPTrap，查询和配置设备的告警表。故障管理系统收集和处理设备告警。设备告警包括SnmpTrap和MML格式的告警，前者告警来源为SNMP设备，大部分数据通信设备支持SNMP；后者的告警来源为窄带设备包括HONET接入网设备和C&C08交换机。Trap和Alarm可以同屏显示也可以分屏显示。（以下叙述中“告警”如无特殊说明包括SnmpTrap和MMLAlarm）。故障管理系统包括故障管理后台、实时告警显示、历史告警显示、Trap规则定义工具，故障监视面板和当前故障窗口。故障管理后台接收设备告警、写数据库、发送给实时告警前台显示，如果有其他应用关心某些类型的告警，还要上报给该应用。实时告警显示从故障后台实时接收设备告警并显示；历史告警显示从数据库检索告警并显示；实时告警显示和历史告警显示都支持过滤条件，可以检索指定设备（一个或多个）的告警，也可以按类别检索指定类型的告警。Trap规则定义工具主要是定义SnmpTrap的描述信息。因为SnmpTrap是二进制编码，Trap规则定义了该二进制流中各字段的描述信息。故障管理后台接收设备发送的Trap后根据当前的Trap规则定义对Trap进行解释，将解释后得到的告警数据写入历史告警库，并发送给前台程序。MMLAlarm本身是ASCII字符流，故障后台经过适当的字段定位后直接入库和发送给前台进程。故障监视面板为您提供了一个直观的了解设备故障情况的工具，它可以提供单个设备或所有设备的告警状态数据，实时刷新状态数据，并可以通过激活当前告警窗口为您提供告警的详细数据。它由六个代表不同级别故障的告警灯来显示设备故障状态，当有未恢复且并未被确认的情况下告警灯转亮，在没有该级别告警或所有该级别告警已经被确认的情况下变为灰色。每个告警灯的下方分别列出该级别故障的总数和已经被确认的记录数。当前故障窗口反映了设备的当前故障数据，缺省状态进入时会显示所有设备当前时刻所有未恢复的告警。并随时实时刷新数据。在故障监视面板中选取当前设备告警明细表功能也可以激活当前告警窗口。性能管理用户可以获得网络的各种当前性能数据，并可以设置性能的门限值，当性能超过门限时，网络以告警的方式通知网管系统。用户也可以收集一定时间段内的性能数据，并保存在数据库中，以做进一步的分析。该应用提供三种方式对采集来的数据进行显示：折线图方式、直方图方式和饼图方式。折线图方式在一个窗口内可显示一定时间范围内的各个对象表达式的值；直方图方式在一个窗口内只显示某一采集时间点的各个对象表达式的值；饼图方式显示的是某一数据采集点各个对象表达式之间的比例值。用户在此应用中还可以设置对性能数据轮循的间隔，采集数据的显示比例和显示颜色。安全管理26

校园网建设技术建议书华为商业机密27校园网建设技术建议书华为商业机密27安全管理完成网管系统本身的安全控制，包括下列内容：用户管理、操作日志管理、用户登录/退出管理。系统安全主要通过网管用户权限进行控制，用户在启动网管客户端后，需用已经建立的网管用户登录，并且只能以用户属性中设定的读写权限执行该用户指定可以执行的网管应用。网管系统各管理应用对用户执行的敏感操作进行记录，管理员可通过浏览用户操作日志来取得系统的所有管理操作信息。计费管理计费系统主要包括计费数据的采集和处理两个方面。目前，计费数据采集包括从设备上采集的基于端口的流量数据和从Radius服务器上采集的接入用户的认证数据，计费系统通过FTAM或FTP协议从设备上或Radius服务器上取得计费数据并进行相应的转换，由帐务系统进行后处理工作。此外，计费系统还可以对城域网上的相应增值服务进行计费，如PPV，VOD，电视会议，内容服务等，例如按PPV影片的部数计费，按影片的类别进行计费等。网管系统一方面对计费系统的设备如计费系统的主机和Radius服务器设备进行监控和管理，另外方面，对城域网设备进行配置，如配置要统计的基于流量的计费数据采集内容和计费数据文件的格式。一般，在设备通过FTAM/FTP协议向计费中心传送计费数据时，设备一般作为客户端，而计费中心的作为服务器，这样，网管系统可以配置设备往那个计费中心发送计费数据。此外，计费系统通常和用户的运维系统相联，计费系统需要对设备进行操作（如某用户欠费停机，计费系统需要对设备进行操作），此时，计费系统通过和网管系统接口，由网管系统下发对设备操作指令，将操作结果送给计费系统。分级网管功能说明：分级网管组成：分级网管目前实现告警和拓扑功能：告警:下级网管根据设置的过滤条件向上级网管转发告警（包^rap和MML告警）；拓扑:上级网管定时轮询下级网管的拓扑表,更新本地的拓扑表和拓扑前台的节点状态；分级网管主要由以下几部分组成：1分级网管控制中心（ManageCenter）运行在上级网管.主要完成以下功能:1、添加下级网管；27校园网建设技术建议书华为商业机密282、添加或删除下级网管的管理域；3、查看下级网管的网管Agent,用户,数据库和物理对象信息；4、设置下级网管上报告警的过滤条件；2网管Agent（NMAgent）运行在下级网管.主要完成以下功能：1、系统信息a.AGENT描述信息b.下级网管站数据库信息2、安全管理a.管理域的配置与查询b.用户信息的查询物理对象信息a.物理设备的查询4、拓扑信息a.拓扑节点信息的查询b.拓扑连接信息的查询c.子图信息的查询5、故障管理TRAP转发条件的配置与查询（级别，企业ID，设备IP）。TRAP转发3分级网管Agent拓扑管理后台（HierTopoMd）运行在上级网管.主要完成以下功能：1、定时轮询下级网管的节点，连接和子网。2、更新上级网管的节点，，连接和子网及拓扑前台的拓扑状态28校