实达网络方案解决方案(财大图书馆)

中南财经政法大学新图书馆网络解决方案PAGEPAGE30中南财经政法大学新图书馆网络解决方案实达网络科技有限公司2003年7月

目录TOC\o"1-3"\h\z第一章逐点技术应答 31.1接入层交换机技术应答 31.2汇聚层交换机技术应答 61.3核心层交换机技术应答 81.4无线网络设备技术应答 11第二章用户需求分析 132.1网络系统集成目标 132.2应用需求分析 142.3应用对网络的需求 14第三章网络解决方案 153.1网络设备选型 153.1.1接入交换机选型 153.1.2汇聚交换机选型 163.1.3核心交换机选型 173.1.4无线设备选型 193.2网络解决方案 203.2.1网络结构设计 203.2.2网络拓扑图 213.2.3网络方案特点 223.3无线网解决方案 243.3.1解决方案说明 243.3.2无线设备清单 253.3.3无线网的IP地址规划 253.3.4无线网的安全认证 25第四章安全认证系统设计 284.1中南大图书馆安全需求 284.2中南大图书馆认证需求 294.3中南大图书馆安全认证系统解决方案 304.3.1802.1x认证系统示意图 304.3.2认证计费系统解决方案 304.4实达锐捷802.1x安全认证系统特点 324.4.1全方位的安全保证 324.4.2强大的用户接入控制 324.4.3网络可控管理 334.4.4完满解决IP地址管理解决方案 344.4.5独有的Vlan动态跳转技术 34第五章网络管理 34第六章产品资料 366.1核心路由交换机STAR-S6808 366.2实达千兆智能多层交换机STAR-S3550-24/S3550-48 396.3千兆智能交换机STAR-S2150G 416.4实达锐捷S-Radius认证计费系统 436.5无线CardBus适配器RG-W100 446.6无线USB适配器RG-W200 466.7无线接入点RG-W1000 48第七章锐捷网络6S服务 497.1实达锐捷网络服务纵横 497.2实达锐捷网络服务理念 507.3实达锐捷网络服务内涵 507.4实达锐捷网络服务架构 517.5实达锐捷网络服务体系 51第八章实达锐捷网络增值服务 538.1增值服务介绍 538.1.1锐捷保障服务 538.1.2锐捷专项服务 608.2锐捷增值服务申购 618.3客户支援中心指南 628.4联系我们 63呼叫中心 63服务邮箱 63服务投诉电话 63附：高教荣誉客户名单 64逐点技术应答1.1接入层交换机技术应答针对中南财经政法大学新图书馆(以下简称“中南大图书馆”)网络应用和对网络设备的要求，选用实达锐捷网络千兆智能交换机STAR-S2150G作为接入交换机,，以下是逐条的技术应答。千兆智能交换机STAR-S2150G背板交换能力≥8Gbps,第二层包处理要求达到线速，包转发能力要求≥5Mpps答：支持。实达锐捷网络STAR-S2150G背板带宽18.5Gbps,第二层包转发率10.1Mpps。超高的背板带宽保证所有端口线速转发二层数据包。可以有多种端口类型选择，例如24口、48口等答：支持。实达锐捷网络STAR-S2100G系列交换机有2种型号，分别为有48个固定10/100Mpps以太口，2个扩展插槽的STAR-S2150G和有24个固定10/100Mpps以太口，2个扩展插槽的STAR-S2126G。支持基于802.1q的VLAN协议，VLAN的数量不小于200个；答：支持。实达锐捷网络STAR-S2150G交换机不仅支持基于端口的PortVlan，同时还基于支持802.1Q的VLAN，802.1QVLAN的数量为256个。支持802.1d生成树协议或802.1w快速生成树协议；答：支持。实达锐捷网络STAR-S2150G交换机支持802.1d生成树协议和802.1w快速生成树协议，同时还支持802.1s多生成树协议；产品支持堆叠；答：支持。实达锐捷网络STAR-S2150G采用菊花链堆叠方式，最大可堆叠8台，最多可达384个10/100MRJ45端口。支持802.1x认证计费协议，支持IGMP视频组播协议；答：支持。实达锐捷网络STAR-SS2150G支持基于MAC地址802.1X功能和基于端口802.1X功能；且都支持IGMP视频组播协议。支持VLAN划分，能支持802.1q更好；答：支持。实达锐捷网络STAR-S2150G支持基于端口的VLAN划分方式和基于802.1q的VLAN方式。支持基于端口的IEEE802.1P协议以保证高质量的QoS；答：支持。实达锐捷网络STAR-S2150G支持802.1p和DSCP优先级分类标记，基于交换机物理端口、MAC地址、IP地址、TCP/UDP端口号来区分同的业务流；提供完善的QoS，通过流分类、标记、带宽限制、转发等可真正实现端到端的OoS。支持标准网管协议SNMP，网管软件同时可构筑在第三方网管平台上，并提供第三方管软件的主要管理界面；答：支持。实达锐捷网络STAR-S2150G交换机支持SNMPv1/v2、Web(JAVA)、CLI(Telnet/Console)、RMON(1，2，3，9)等管理协议。并可与第三方网管软件如HPOpenview等无缝集成。支持100M的光接口，并支持1000M光接口或电接口上联；答：支持。实达锐捷网络STAR-S2150G交换机支持100M光口、电口，1000M光口、电口等接口。支持以1000M速率上联。支持基于端口的带宽分配；答：支持。实达锐捷网络STAR-S2150G交换机支持基于交换机端口、MAC地址、IP地址、协议、应用组合进行带宽限速，限速粒度：1Mbps（128KB）粒度/百兆端口、8Mbps（1024KB）粒度/千兆端口。适应相对恶劣的工作环境；答：支持。实达锐捷网络STAR-S2150G交换机的工作环境温度等参数为电源：160VAC~240VAC，48Hz~60Hz，工作温度：0℃到40℃，存储温度：-40℃到70℃，工作湿度:：10%到90%RH，存储湿度：5%到90%RH交换机本身支持端口与IP、MAC地址的绑定功能；答：支持。实达锐捷网络STAR-S2150G交换机不需要通过802.1x，仅通过设定访问交换机上某个端口的用户MAC地址和IP，就可硬件实现严格控制对该端口的用户输入，有效防止非法用户的接入。要求提供三年原厂售后服务；答：实达网络交换机包修政策：自购机之日起，对主机故障实行1年免费保换、终身有限保修、其中前3年全免费保修。以下是实达锐捷STAR-S2150G独特的地方：超强CPU、超大DRAM，确保网络稳定高效运行CPU是设备的中央处理器，DRAM是网络数据报文传输转发的存储器和交换机操作系统的运行平台，此两项对交换机的运行效果具有直接的意义。不但能够满足功能越来越强的操作系统越来越大的运行需求，还可加快数据帧的转发，并保证交换机在全负荷的环境下的正常工作。二至四层线速转发，二至七层智能识别，提升用户使用网络的体验S2150G是一款线速二层交换、具有完整QoS特征的千兆智能多层交换机。S2150G可为各类型网络提供所需交换和服务功能，适合集合多个配线间或工作组交换机的流量，并可同锐捷各系列交换机配合为用户提供完整的端到端解决方案。硬件全线速实现ACL、QOS、带宽限制。超强安全接入控制，免除用户忧虑包括802.1x，端口安全，动态地址锁等，特别是用在用户账号、VLAN号、MAC地址、IP地址、交换机端口、交换机IP之间需要任意绑定的场合，可有效控制用户的接入，确定用户的唯一性。小尺寸、低噪音，便于安装、易于维护深240mm（一般设备在300mm以上）。这样，当交换机必需放置贴墙而立的铁柜时，可占用最少的空间并节约铁柜的费用。另外，当做为接入层交换机使用时，一般都靠近用户，独特的低噪音设计可避免设备的运行打搅老师、学生或其它工作人员正常的学习、工作和休息。1.2汇聚层交换机技术应答针对中南财经政法大学新图书馆网络应用和对网络设备的要求，选用实达锐捷网络千兆智能多层交换机STAR-S3550-24作为汇聚层交换机，以下是逐条的技术应答。背板交换能力≥10Gbps；答：支持。实达锐捷网络STAR-S3550-24交换机背板带宽12.8G,超高的背板带宽保证所有端口线速转发二、三层数据包。第2、3层处理要求达到线速；第3层包转发能力要求≥5Mpps；答：支持。实达锐捷网络STAR-S3550-24的L2/L3包转发率为6.6M,保证所有端口线速转发二、三层数据包。支持三层交换功能，支持静态、动态路由协议；答：支持。实达锐捷网络STAR-S3550-24硬件支持多层线速交换，能够识别、处理四层以上的应用业务流，支持RIPv1、RIPv2、OSPF、VRRP、PIM等路由协议。支持扩展两个千兆端口；答：支持。实达锐捷网络STAR-S3550-24具有24个10/100M固定端口，2个扩展槽，可以扩展100M电口光口、1000M电口光口。支持基于802.1q的VLAN协议，VLAN数量不小于1K；答：支持。实达锐捷网络STAR-S3550-24交换机不仅支持基于端口的PortVlan，同时还基于支持802.1Q的VLAN，802.1QVLAN的数量为4K个。支持802.1d生成树协议和802.1w快速生成树协议；答：支持。实达锐捷网络STAR-S3550-24交换机支持802.1d生成树协议、802.1w快速生成树协议和802.1s多生成树协议；具备较为灵活的带宽限制功能；答：支持。实达锐捷网络STAR-S3550-24交换机支持基于交换机端口、MAC地址、IP地址、协议、应用组合进行带宽限速，限速粒度：1Mbps（128KB）粒度/百兆端口、8Mbps（1024KB）粒度/千兆端口。ACL功能（IPACLs(Standard、Extended)、MACExtendedACLs）答：支持。实达锐捷网络STAR-S3550-24交换机支持基于硬件的ACL，包括IPACLS(Standard、Extended)、MACExtendedACLs）；支持完善的QoS功能；答：支持。实达锐捷网络STAR-S2150G支持802.1p和DSCP优先级分类标记，基于交换机物理端口、MAC地址、IP地址、TCP/UDP端口号来区分同的业务流；提供完善的QoS，通过流分类、标记、带宽限制、转发等可真正实现端到端的OoS。交换机本身支持端口与IP、MAC地址的绑定功能；答：支持。实达锐捷网络STAR-S3550-24交换机不需要通过802.1x，仅通过设定访问交换机上某个端口的用户MAC地址和IP，就可硬件实现严格控制对该端口的用户输入，有效防止非法用户的接入。支持PVLAN（ProtectedVLAN保护端口），保证用户信息安全，又节约VLAN资源，同时不必再修改VLAN配置；答：支持。实达锐捷网络STAR-S3550-24通过PVLAN（ProtectedVLAN保护端口）即可隔离用户之间信息互通，实现端口之间相互隔离，不必占用VLAN资源。各保护端口不可以互通，仅可通过扩展模块上联端口或其他上联端口访问互联网或社区服务器。支持IGMP源端口检查功能，以及支持IGMP源IP检查功能，有效地杜绝非法地组播源播放非法组播信息，以更好地提高网络安全性；答：支持。S3550-24支持IGMP源端口检查功能，以及支持IGMP源IP检查功能，有效地杜绝非法的组播源播放非法的组播信息，提高了网络的安全性。支持802.1x；答：支持。实达STAR-S3550-24支持基于MAC地址802.1X功能和基于端口802.1X功能。要求提供三年原厂售后服务。答：实达网络交换机保修政策：自购机之日起，对主机故障实行1年免费保换、终身有限保修、其中前3年全免费保修。以下是实达锐捷STAR-S3550－24独特的地方：超强CPU、超大DRAM，确保网络稳定高效运行CPU是设备的中央处理器，DRAM是网络数据报文传输转发的存储器和交换机操作系统的运行平台，此两项对交换机的运行效果具有直接的意义。不但能够满足功能越来越强的操作系统越来越大的运行需求，还可加快数据帧的转发，并保证交换机在全负荷的环境下的正常工作。二至四层线速转发，二至七层智能识别，提升用户使用网络的体验S3550-24是一款线速三层交换、具有完整QoS特征的千兆智能多层交换机。S3550-24可为各类型网络提供所需交换和服务功能，适合集合多个配线间或工作组交换机的流量，并可同锐捷各系列交换机配合为用户提供完整的端到端解决方案。硬件全线速实现路由、ACL、QOS、带宽限制超强安全接入控制，免除用户忧虑包括802.1x，端口安全，动态地址锁等，特别是用在用户账号、VLAN号、MAC地址、IP地址、交换机端口、交换机IP之间需要任意绑定的场合，可有效控制用户的接入，确定用户的唯一性。小尺寸、低噪音，便于安装、易于维护深240mm（一般设备在300mm以上）。这样，当交换机必需放置贴墙而立的铁柜时，可占用最少的空间并节约铁柜的费用。另外，当做为接入层交换机使用时，一般都靠近用户，独特的低噪音设计可避免设备的运行打搅老师、学生或其它工作人员正常的学习、工作和休息。1.3核心层交换机技术应答针对中南财经政法大学新图书馆网络应用和对网络设备的要求，选用实达锐捷网络STAR-S6808做为核心层交换机，以下是逐条的技术应答。支持引擎冗余、电源冗余，支持模块热插拔和冗余模块自动切换功能，无单点故障；答：支持。STAR-S6808共提供8个扩展槽，其中第1个槽专用于管理模块，第2个槽可用于管理模块冗余或者用户接口模块，其它6个扩展槽仅限于用户接口模块使用；STAR-S6808最多支持3个电源模块，可以做到1＋2电源冗余。所有模块支持热插拔。背板交换能力不小于200Gbps；答：支持。STAR-S6808背板带宽高达256G。第2、3层处理达到线速，第3层包转发能力不小于100Mpps；答：支持。STAR-S6808高达173Mpps的二/三层包转发速率可为用户提供高速无阻塞的交换。32个千兆以太网光纤端口及48个百兆以太网RJ45端口；答：支持。STAR-S68088共有个扩展槽、多种模块，最大支持116个千兆端口，448个百兆端口。支持百兆端口捆绑和多达4个千兆端口的捆绑功能；答：支持。STAR-S6808最大支持8个千兆端口捆绑。同时也支持百兆端口捆绑。所有端口支持全双工操作，并符合IEEE802.3X标准的流量控制；答：支持。STAR-S6808所以端口支持全双工。支持IEEE802.3x流量控制；支持多种路由协议：RIP1、RIP2、OSPF、BGP-4、IS-IS；答：支持。STAR-S6808支持多种单播动态路由协议,包括RIP1/2,、OSPF、RIP/SAP、IS-IS、BGP-4，可以满足各种规模网络环境动态路由学习需求支持策略路由答：STAR-S6808使用硬件方式实现策略路由，即使在大型规模网络启用丰富的策略路由功能，交换性能也不受影响。支持路由冗余协议VRRP或HSRP；答：STAR-S6808支持VRRP。支持基于802.1Q的VLANTRUNK协议，VLAN的数量不小于1K答：支持。STAR-S6808支持基于802.1Q的VLANTRUNK协议，支持VLAN数量为4k。并支持丰富的VLAN协议，包括VLAN隧道、VLAN转换、VLAN汇聚；支持802.1d生成树协议和802.1W快速生成树协议和802.1sMSTP或PVST；答：STAR-S6808支持多种生成树协议802.1D、802.1w、RRSTP、PVST、MVST,保证快速收敛，提高容错能力，保证网络的稳定运行支持802.1P、WRED、Prioritization、Classification，为用户提供良好的QoS保证，提供数据、语音和视频之间的无缝集成；答：STAR-S6808支持完善服务质量保障（QOS）技术，包括：流分类、802.1P、DSCP数据标记、SP、WRR优先级、WRED加权随机早期检测协议、承诺信息速率（CAR）等。支持IP组播功能，支持PIM（松散模式和密集模式）、IGMP、IGMPSnooping，必须做到跨VLAN的全网组播；答：支持。STAR-S6808支持IGMPsnooping、IGMP、DVMRP、PIM组播协议，保证二、三层网络中各种组播应用的实施。支持ACL:可以作路由端口级的安全访问控制，虚网之间的安全访问控制；答：STAR-S6808硬件支持2、3、4层的ACL。支持数量高达20000条。交换机本身支持NAT网络地址转换；答：STAR-S6808硬件支持NAT,支持高达30万SESSION支持多种网络管理方式：控制口管理，远程telnet管理，SNMP管理；答：支持。STAR-S6808支持多种管理方式，包括：SNMPv1/v2、SSH、Telnet、Console、CLI、RMON/RMON2支持千兆端口和百兆端口镜像功能；答：支持。因为南湖校区馆和首义校区馆的业务使用同一集成系统来管理，所以，建议将业务工作网划到同一个VLAN中，并进行相应的安全设置；答：支持。STAR-S6808支持802.1QVLAN。要求提供三年原厂售后服务。答：实达网络交换机保修政策：自购机之日起，对主机故障实行1年免费保换、终身有限保修、其中前3年全免费保修。以下是实达锐捷STAR-S6808独特的地方：复杂功能硬件实现STAR-S6808的交换、路由、ACL、NAT、QOS等复杂功能通过硬件实现，避免了软件实现同样功能对数据高速处理的影响。板卡智能分布式处理主管理模块执行路由管理、网络管理、网络服务等任务，用户接口模块可以独立实现路由、交换、ACL、QOS、收集用户信息等功能，分布式处理设计可以极大地提高整机处理能力。全面的用户访问控制为了达到网络安全控制，可以对特定用户的访问权限进行限制，STAR-S6808可以支持基于源/目的MAC地址、源/目的IP地址、源/目的TCP/UDP端口号以及协议类型等2/3/4层的参数对用户进行访问控制。loadbalancing技术为了网络服务的不中断提供，对网络中服务器、防火墙、WEBCACHE等重要设备进行冗余备份是有意义的，loadbalancing技术提供了服务器、防火墙、WEBCACHE等主设备和备份设备间的负载均衡和冗余备份功能，所有的设置都在交换机完成，系统管理员还可以根据具体设备的性能制定在主、备设备间的负载均衡策略。WEBCHACHE重定向如果WEBCACHE放置在网络的出口，在大规模用户环境中，因为所有的数据包都要经过它的检查处理和转发，CACHE服务器可能会成为上网的瓶颈。交换机重定向功能支持WEBCACHE配置在非网络出口处，如可以放置在核心交换机旁，交换机对经过它的所有数据包进行分析，如果是配置中制订的重定向四层端口（一般是TCP/80端口），访问数据就会被重定向到CACHE服务器，而非重定向端口的数据直接通过ISP出口连接到Internet，减轻了CACHE服务器的负载。STAR-S6808检查数据包并且重定向的过程是用专用的芯片硬件来实现，近乎第二层的线速交换。RAPS保障系统Red-giantAutomaticProtectionSystem（锐捷自动保护系统），在冗余管理模块配备环境中，软件升级或主管理模块故障时，主管理模块快速切换到备份模块，并且在管理模块切换过程中，用户接口模块可以继续转发已建立的会话流。LFAP信息收集协议LightweightFlowAccountingProtocol（轻量数据流记账协议）收集用户上网记录并提供给计帐服务器，可以收集上网用户的源/目的IP、源/目的TCP/UDP端口、交换机入口/出口、PROTOCOL、总字节数、总数据包数、信息流总时间等参数。STAR-S6808使用硬件方式执行LFAP，因而并不影响整体交换性能。1.4无线网络设备技术应答针对中南财经政法大学新图书馆网络应用和对网络设备的要求，选用实达锐捷网络RG-W1000无线局域网接入器做为无线接入设备，以下是逐条的技术应答。支持具有EAP功能的远程访问拨入用户服务（Radius）服务器；答：支持。锐捷网络Radius服务器支持具有EAP（扩展认证协议）集合，可以允许开发者生成相关的证书，来进行相关认可等级上的安全操作。支持EAP-MD5,EAP-TLS为每个用户的每次会话提供动态的密钥和管理；答：支持。锐捷网络Radius服务器和无线产品均同时支持EAP-MD5和EAP-TLS模式的认证方式。通过EAP-MD5认证方式，不需要密钥管理和动态密钥生成，仅需要使用静态WEP密钥。这就阻止了非法用户直接侵入网络中；EAP-TLS认证方式是基于微软的不采用用户名加密码的认证方式，动态生成的WEP密钥只会使用一次，并且会对中心设备和接入客户两方都进行认证，降低了非法用户监听网络并破解密钥的机率。支持IEEE802.1x标准的无线用户网络登录的验证；答：支持。锐捷无线产品RG-W1000支持基于802.1x协议的端口认证机制，可作为认证体，其无线用户在通过访问以太网络时，向认证体RG-W1000发送请求报文被验证通过后，可通过Radius服务器将用户合法帐号与其中端MAC地址绑定，彻底杜绝非法用户入侵的可能。40位WEP共享加密密钥；答：支持。锐捷无线产品RG-W1000支持40/128bitWEP安全标准无线数据加密。128位共享加密密钥答：支持。锐捷无线产品RG-W1000支持128bitWEP安全标准无线数据加密。带有动态安全链路技术的128位动态加密密钥，可以在访问点上实现内置的用户级验证。答：不支持。动态安全链路技术是3COM公司自己提出的一种安全加密密钥机制，只用于在所有3COM的设备上动态生成一种新的128位的密钥机制，并不是IEEE通过的国际通用标准安全机制，在使用中不具有可兼容性。锐捷无线产品RG-W1000支持基于国际标准的高达128bitWEP安全标准无线数据加密。用户的加密金钥必须与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位（有时也称为64位）和128位长度的密钥机制.锐捷无线RG-W系列产品均支持高达128位加密方式。同时，配合RG-W1000自身的基于802.1x协议的端口认证机制，可在用户认证通过前逻辑关闭用户权限，认证后进行合法帐号与用户MAC地址绑定，从根本上杜绝了非法用户入侵的可能。无线连接速率自适应，支持1，2，5.5和11Mbps多种速率；答：支持。锐捷无线产品RG-W1000支持动态速率自适应，最大数据传输速率为11Mbps。随着射频情况转差时，可将数据传输速率降低为5.5Mbps、2Mbps和1Mbps。且当工作在2Mbps和1Mbps速率时可向下兼容IEEE802.11。支持高级的DHCP，动态的分配IP地址，确保用户始终能够获得合法的IP地址；答：支持。对于无线局域网内的访问用户，其合法的IP地址分配可以由锐捷网络无线接入点AP产品RG-W1000动态分配。可以从以太网上的DHCP服务器获得，也可以从访问点内置的DHCP服务器获得；答：支持。对于无线局域网内的访问用户，其合法的IP地址分配可以由锐捷网络无线接入点AP产品RG-W1000来完成，也可以由以太网内的DHCP服务器来完成。能兼容Wi－Fi认证及IEEE802.11b;答：支持。锐捷网络无线产品RG-W1000完全符合IEEE802.11b无线网络的国际标准，提供给用户基于多个不同厂家产品互相操作能力；同时兼容Wi－Fi认证。用户需求分析2.1网络系统集成目标校园网主干节点，馆内局域网千兆主干、百兆到桌面新图书馆主干网络拟选取当前先进、成熟的千兆以太网技术，可承载多种业务，确保信息高速畅通。新馆通过千兆链路连接南湖校区网控中心，南湖校区网控亦通过千兆链路上行至首义校区主干网。图书馆内网到桌面为100M交换式以太技术。支持多协议、多服务的主干网络新图书馆主干网络应考虑对多种协议、多重业务、多项服务的支持，并能充分应用园区网络资源，提供增值服务，体现附加价值。具有高速稳定性的主干网络采用先进成熟的网络技术，高质量的网络设备，建设一个先进的、易扩充的、高度稳定的网络系统。具有足够强壮性的网络系统新图书馆网络系统是各种应用系统的统一通信承载平台，因此，平均无故障时间以及故障恢复时间，要保持在一个较为理想的范围之内，主干设备应具有足够的强壮性。高度安全的网络系统新图书馆网络，应设计有效的网络安全方案，既能抵御外界黑客的攻击和病毒的侵蚀，又能防止来自网络内部的破坏。统一的网络管理新图书馆网络的日常运行、维护和操作的工作量很大，因此，需要一个可靠、便捷、功能强大的网络管理系统来充分有效的进行统一的管理。2.2应用需求分析图书馆自动化系统：包括图书采购、编目、流通及借阅信息查询系统，支撑整个图书馆的业务运作；WWW网站：是中南财经政法大学图书馆对用户提供的信息查询的接口，包括图书馆内部浏览，同时提供外部访问；电子图书和电子期刊：提供电子图书和电子期刊供师生在网上查阅，这是大学图书馆发展的趋势，纸质期刊图书资料价格越来越昂贵，一些重点、通用书刊必须采购多个副本以供借阅，占用资金非常大。而电子化资料可以解决这些问题，许多专业机构致力于将学术期刊电子化，所以这套系统是图书馆对外服务的重要工具；高可靠的应用服务器系统：包括VOD、光盘镜像、数据备份、文献传递、E-mail服务、数据库服务器等等重要服务器。多媒体视频点播：图书馆拥有大量的多媒体视音频资料，通过网络提供用户的直接点播；视频会议和IP电话：建成的后的中南财经政法大学新图书馆网络平台必须支持视频会议和IP电话应用，以提高工作效率并降低传统语音电话成本。2.3应用对网络的需求中南财经政法大学新图书馆的网络需求主要体现为：新建图书馆网络要具有良好的兼容性和可扩展性，能与目前的中南财经大学校园骨干网无缝衔接，同时预留空间符合当前和以后的信息建设需要和足够的升级空间。要求网络高度稳定和可靠，这是网络建设成功的关键。要求网络系统绝对的安全，以确保系统和数据的正常、保密范围内的运行。要求网络系统具有高性能，以保证大数据量访问下的处理能力。要求网络具有良好的服务质量和较小的延迟，以满足网络系统传输视音频的需要。要求网络系统具备强大的管理功能，但同时要能易于管理，以减少运行、维护、管理成本。支持网络自动化办公系统，支持VOD视频点播以及IP电话等。网络解决方案根据中南大图书馆的建网要求和应用需求分析，我们提出二种解决方案，均可满足目前新馆的应用需求和将来扩展的需要。3.1网络设备选型3.1.1接入交换机选型因为STAR-S2150G交换机具有如下功能：背板带宽18.5Gbps,第二层包转发率10.1Mpps。超高的背板带宽保证所有端口线速转发二层数据包。STAR-S2150G交换机有48个固定10/100Mpps以太口,2个扩展插槽，支持百兆、千兆模块。支持基于端口的PortVlan，同时还基于支持802.1Q的VLAN，802.1QVLAN的数量为256个。支持802.1d生成树协议和802.1w快速生成树协议，同时还支持802.1s多生成树协议；采用菊花链堆叠方式，最大可堆叠8台，最多可达384个10/100MRJ45端口。支持基于MAC地址802.1X功能和基于端口802.1X功能；且都支持IGMP视频组播协议。支持基于端口的VLAN划分方式和基于802.1q的VLAN方式。支持802.1p和DSCP优先级分类标记，基于交换机物理端口、MAC地址、IP地址、TCP/UDP端口号来区分同的业务流；提供完善的QoS，通过流分类、标记、带宽限制、转发等可真正实现端到端的OoS。支持SNMPv1/v2、Web(JAVA)、CLI(Telnet/Console)、RMON(1，2，3，9)等管理协议。并可与第三方软件如HPopenview等无缝集成。支持100M光口、电口，1000M光口、电口等接口。支持以1000M速率上联。支持基于交换机端口、MAC地址、IP地址、协议、应用组合进行带宽限速，限速粒度：1Mbps（128KB）粒度/百兆端口、8Mbps（1024KB）粒度/千兆端口。STAR-S2150G交换机的工作环境温度等参数为电源：160VAC~240VAC，48Hz~60Hz，工作温度：0℃到40℃，存储温度：-40℃到70℃，工作湿度:：10%到90%RH，存储湿度：5%到90%RH，适应相对恶劣的工作环境；STAR-S2150G交换机不需要通过任何第三方软件即可硬件实现端口与用户IP和MAC的绑定，有效防止非法用户的接入。超强CPU、超大DRAM，确保网络稳定高效运行二至四层线速转发，二至七层智能识别，提升用户使用网络的体验支持包括802.1x，端口安全，动态地址锁等，特别是用在用户账号、VLAN号、MAC地址、IP地址、交换机端口、交换机IP之间需要任意绑定的场合，可有效控制用户的接入，确定用户的唯一性。以上这些功能完全符合或超过本次投标的要求，所以我们选择STAR-S2150G做为接入交换机。3.1.2汇聚交换机选型因为STAR-S3550－24交换机具有如下功能：背板带宽12.8G,超高的背板带宽保证所有端口线速转发二、三层数据包。L2/L3包转发率为6.6M,保证所有端口线速转发二、三层数据包。硬件支持多层线速交换，能够识别、处理四层以上的应用业务流，支持RIPv1、RIPv2、OSPF、VRRP、PIM等路由协议。STAR-S3550-24具有24个10/100M固定端口，2个扩展槽，可以扩展100M电口光口、1000M电口光口。支持基于端口的PortVlan，同时还基于支持802.1Q的VLAN，802.1QVLAN的数量为4K个。支持802.1d生成树协议、802.1w快速生成树协议和802.1s多生成树协议；支持基于交换机端口、MAC地址、IP地址、协议、应用组合进行带宽限速，限速粒度：1Mbps（128KB）粒度/百兆端口、8Mbps（1024KB）粒度/千兆端口。支持基于硬件的ACL，包括IPACLS(Standard、Extended)、MACExtendedACLs）；支持802.1p和DSCP优先级分类标记，基于交换机物理端口、MAC地址、IP地址、TCP/UDP端口号来区分同的业务流；提供完善的QoS，通过流分类、标记、带宽限制、转发等可真正实现端到端的OoS。STAR-S3550-24不需要通过任何第三方软件即可硬件实现端口与用户IP和MAC的绑定，有效防止非法用户的接入。支持PVLAN（ProtectedVLAN保护端口），保证用户信息安全，又节约VLAN资源，同时不必再修改VLAN配置；支持IGMP源端口检查功能，以及支持IGMP源IP检查功能，有效地杜绝非法的组播源播放非法的组播信息，更好地提高了网络的安全性。支持基于MAC地址802.1X功能和基于端口802.1X功能。超强CPU、超大DRAM，确保网络稳定高效运行二至四层线速转发，二至七层智能识别，提升用户使用网络的体验以上这些功能完全符合或超过本次投标的要求，所以我们选择STAR-S3550-24做为汇聚层交换机。3.1.3核心交换机选型因为STAR-S6808具有如下功能:STAR-S6808共提供8个扩展槽，支持引擎冗余、电源冗余，支持模块热插拔和冗余模块自动切换功能。STAR-S6808背板带宽高达256G。STAR-S6808高达173Mpps的二/三层包转发速率可为用户提供高速无阻塞的交换。STAR-S6808共有8个扩展槽、多种模块，最大支持116个千兆端口，448个百兆端口。STAR-S6808最大支持8个千兆端口捆绑。同时也支持百兆端口捆绑。STAR-S6808所以端口支持全双工。支持IEEE802.3x流量控制；STAR-S6808支持多种单播动态路由协议,包括RIP1/2,、OSPF、RIP/SAP、IS-IS、BGP-4，可以满足各种规模网络环境动态路由学习需求STAR-S6808使用硬件方式实现策略路由，即使在大型规模网络启用丰富的策略路由功能，交换性能也不受影响。STAR-S6808支持VRRP路由协议。STAR-S6808支持基于802.1Q的VLANTRUNK协议，支持VLAN数量为4k。并支持丰富的VLAN协议，包括VLAN隧道、VLAN转换、VLAN汇聚；STAR-S6808支持多种生成树协议802.1D、802.1w、RRSTP、PVST、MVST,保证快速收敛，提高容错能力，保证网络的稳定运行STAR-S6808支持完善服务质量保障（QOS）技术，包括：流分类、802.1P、DSCP数据标记、SP、WRR优先级、WRED加权随机早期检测协议、承诺信息速率（CAR）等。STAR-S6808支持IGMPsnooping、IGMP、DVMRP、PIM组播协议，保证二、三层网络中各种组播应用的实施。STAR-S6808硬件支持2、3、4层的ACL。支持数量高达20000条。STAR-S6808硬件支持NAT,支持高达30万并发SESSIONSTAR-S6808支持多种管理方式，包括：SNMPv1/v2、SSH、Telnet、Console、CLI、RMON/RMON2STAR-S6808的交换、路由、ACL、NAT、QOS等复杂功能通过硬件实现，避免了软件实现同样功能对数据高速处理的影响。主管理模块执行路由管理、网络管理、网络服务等任务，用户接口模块可以独立实现路由、交换、ACL、QOS、收集用户信息等功能，分布式处理设计可以极大地提高整机处理能力。STAR-S6808可以支持基于源/目的MAC地址、源/目的IP地址、源/目的TCP/UDP端口号以及协议类型等2/3/4层的参数对用户进行访问控制。支持loadbalancing。为了网络服务的不中断提供，对网络中服务器、防火墙、WEBCACHE等重要设备进行冗余备份是有意义的，loadbalancing技术提供了服务器、防火墙、WEBCACHE等主设备和备份设备间的负载均衡和冗余备份功能，所有的设置都在交换机完成，系统管理员还可以根据具体设备的性能制定在主、备设备间的负载均衡策略。WEBCACHE重定向功能。如果WEBCACHE放置在网络的出口，在大规模用户环境中，因为所有的数据包都要经过它的检查处理和转发，CACHE服务器可能会成为上网的瓶颈。交换机重定向功能支持WEBCACHE配置在非网络出口处，如可以放置在核心交换机旁，交换机对经过它的所有数据包进行分析，如果是配置中制订的重定向四层端口（一般是TCP/80端口），访问数据就会被重定向到CACHE服务器，而非重定向端口的数据直接通过ISP出口连接到Internet，减轻了CACHE服务器的负载。STAR-S6808检查数据包并且重定向的过程是用专用的芯片硬件来实现，近乎第二层的线速交换。Red-giantAutomaticProtectionSystem（锐捷自动保护系统），在冗余管理模块配备环境中，软件升级或主管理模块故障时，主管理模块快速切换到备份模块，并且在管理模块切换过程中，用户接口模块可以继续转发已建立的会话流。LightweightFlowAccountingProtocol（轻量数据流记账协议）收集用户上网记录并提供给计帐服务器，可以收集上网用户的源/目的IP、源/目的TCP/UDP端口、交换机入口/出口、PROTOCOL、总字节数、总数据包数、信息流总时间等参数。STAR-S6808使用硬件方式执行LFAP，因而并不影响整体交换性能。以上这些功能完全符合或超过本次投标的要求，所以我们选择STAR-S6808做为核心层交换机。3.1.4无线设备选型因为RG-W1000具有如下功能：支持具有EAP功能的远程访问拨入用户（Radius）服务器。支持EAP-MD5和EAP-TLS模式的认证方式。支持基于802.1x协议的端口认证机制。支持40/128bitWEP安全标准无线数据加密。支持动态速率自适应，最大数据传输速率为11Mbps。随着射频情况转差时，可将数据传输速率降低为5.5Mbps、2Mbps和1Mbps。且当工作在2Mbps和1Mbps速率时可向下兼容IEEE802.11。支持高级的DHCP，动态的分配IP地址，确保用户始终能够获得合法的IP地址；可以从以太网上的DHCP服务器获得，也可以从访问点内置的DHCP服务器获得；完全符合IEEE802.11b无线网络的国际标准，提供给用户基于多个不同厂家产品互相操作能力；同时兼容Wi－Fi认证。以上这些功能完全符合或超过本次投标的要求，所以我们选择RG-W1000做为无线局域网接3.2网络解决方案3.2.1网络结构设计中南财大新图书馆网络采用层次化的设计思想和星型结构。整个网络采用二、三层混合结构。其中信息点数比较密集的电子阅览室采用三层结构。信息点数分布较少的办公区域采用二层结构。核心层：核心层交换机需要具备强大的数据处理能力、极高的可靠性、良好的服务器备份和负载均衡能力，同时需要具备强大的NAT地址转换功能、基于源IP的策略路由功能、WebCache重定向功能、需要提供关键部件的冗余、链路级冗余和路由级冗余。基于以上需要，我们选用实达锐捷具有电信级稳定可靠的核心路由交换机STAR-S6808汇聚层：根据中南财大新图书馆信息点分布情况，采用2台STARS3550-24高性能三层交换机，放置在信息点非常密集两个电子阅览室。每台S3550-24通过双千兆链路上联至核心交换机。接入层交换机通过星型方式接入汇聚层交换机。接入层：办公区域楼层接入交换机采用STARS2150G智能交换设备，支持视频、语音等对网络时延、抖动要求较高的关键业务，通过多模介质千兆以太上连接核心交换机；电子阅览室接入交换机采用STAR-S2150G交换机，每个阅览室分别采用5台STAR-S2150G交换机提供高密度信息点接入,并通过星型方式接入汇聚层交换机。服务器接入：由于图书馆服务器群数量较多，且整个网络的核心应用全部集中在应用服务器群上，我们建议在核心交换机上配置高密度以太网模块，将服务器全部接在核心交换机上。不建议将服务器群单独接在一台交换机上，然后再接入核心交换机。这样容易产生性能瓶颈和设备单点故障。无线接入：无线接入做为有线网络的延伸和扩展，主要是为没有敷设信息点的公共区域和敷设信息点较少的普通阅览室、会议室、报告厅等区域。根据图书馆情况我们建议在每层楼分布3－4台RG-W1000无线局域网接入器，为移动用户提供无线接入。信息点和设备分布表：设备间名称设备间位置信息点数量交换机型号交换机数量(台)FD1一楼左126STAR-S2150G3FD23二楼右97STAR-S2150G2FD31三楼左61STAR-S2150G2FD33三楼右96STAR-S2150G2FD41四楼左225STAR-S2150G5FD42四楼右237STAR-S2150G5FD51五楼左88STAR-S2150G2FD6六楼右73STAR-S2150G23.2.2网络拓扑图3.2.3网络方案特点高性能千兆主干，百兆交换到桌面：从核心到汇聚全部采用双千兆链路，电子阅览室接入层交换机以星型方式连接到汇聚层；办公区域接入层交换机直接通过千兆链路连接至核心交换机。分布式三层交换：在核心、汇聚层同时引入第三层交换，减轻核心交换机的压力，可有效减少广播包，并提高网络传输效率；复杂功能硬件实现:核心的STAR-S6808不仅硬件实现三层路由和交换、关键功能比如ACL、NAT、QOS、策略路由等复杂功能均通过硬件实现，汇聚的STAR-S3550-24也是硬件实现三层交换、ACL以及QoS，特别是核心交换机STAR-S6808采用板卡智能分布式处理设计，用户接口模块可以独立实现路由、交换、ACL、QOS、收集用户信息等功能，这种分布式处理可以极大地提高整体处理能力。超高背板保证所有数据包线速转发：本方案采用的汇聚、接入交换机均具有超高的交换容量和二、三层包转发率，确保所有数据线速转发。分布式认证、认证报文与业务数据流分离：基于802.1X的实达锐捷安全认证管理系统，由每一个接入层的安全交换机承担对接入用户的认证，采用认证报文与业务数据流分离技术，实现网络的高速传输无瓶颈。智能化端到端的QoS：从接入交换机到汇聚到核心，全面提供完善的QoS，通过流分类、标记、带宽限制、转发等可真正实现端到端的OoS基于流的智能识别：全程基于交换机物理端口、MAC地址、IP地址、TCP/UDP端口号来区分同的业务流；基于流的带宽控制：全程基于交换机端口、MAC地址、IP地址、协议、应用组合进行带宽限速；高安全全局网络安全：通过安全控制协议建立一种联动机制，以Radius为核心，防火墙、IDS、日志服务器、安全交换机联动起来，实现全局的网络安全；火墙、IDS、日志服务器、安全交换机联动起来，实现全局的网络安全；事前的准确认证和身份定位：用户使用网络前，通过用户帐号与IP、MAC、交换机IP、端口、VLAN六元素的复合绑定，对用户进行准确的身份认证，其中帐号与交换机以及接入端口的绑定，实现了准确的用户定位。事中的实时处理：当网络中有对受保护的关键服务器或系统进行恶意攻击的时候，IDS入侵检测系统能够检测到发起攻击的源IP地址，通过S-SCP安全控制协议，IDS实时将攻击源IP通知S-Radius，S-Radius在在线用户表中找到源恶意攻击者，通过SNMP协议将恶意攻击者剔除下线。这一整个过程实现了全自动的实时处理。事后的完整审计：日志服务器记录有用户完整的访问记录，包括源IP、目的IP、源端口、目的端口、源MAC、目的MAC、访问开始时间、访问结束时间、发送流量、接受流量等，结合日志管理查询系统，可以进行快速完整的审计。入网即认证:用户只要使用网络即要进行身份认证，保证只有申请开户的合法用户才可以使用网络。强大的接入控制：对接入用户进行帐号与IP、MAC、交换机IP、端口、VLAN六元素的复合绑定同时实现帐号漫游；高可靠链路级冗余备份及负载均衡：核心的STAR-S6808和汇聚的STAR-S3550-24除了支持传统的802.1d生成树协议外，同时支持最新的802.1w、802.1s生成树协议，在保证链路冗余的情况下，实现了两个链路间的负载均衡。应用级冗余备份与负载均衡:STAR-S6808的先进的loadbalancing技术支持服务器、防火墙、多出口之间的冗余备份和负载均衡。保证了应用系统的冗余备份和负载均衡。关键部件冗余:STAR-S6808提供冗余的管理交换引擎、冗余的电源等关键部件的冗余，配合实达锐捷先进的RAPS（锐捷自动保护系统），实现系统高的稳定性和可靠性。STAR-S6808提供冗余的管理交换引擎、冗余的电源等关键部件的冗余，配合实达锐捷先进的RAPS（锐捷自动保护系统），实现系统高的稳定性和可靠性。严格测试：所选设备经Smartbit等专业仪器严格测试，保证研发和生产阶段的可靠性；易管理三张图：简单、清晰的设备管理图、拓扑状态图和流量分析图将网络管理工作量降到最低；中文化：中文化界面及内核，特别适合中国人使用；一站式：可在一个网管工作上实现对全网的完整管理，并支持第三方网管软件无缝管理。完满解决IP地址冲突和IP地址盗用实达锐捷S-Radius对用户进行认证时的IP属性校验，完全杜绝了IP地址冲突的发生，包括认证前IP不按要求设置的不予通过认证以及认证通过后更改IP地址立即剔除下线；对用户帐号与IP地址绑定，为每个用户分配一个固定的IP地址，防止IP地址被他人盗用。3.3无线网解决方案3.3.1解决方案说明为了给众多具有便携式计算机的师生提供更方便的图书资料查询方式和校园网络连接功能。无线网络方案采用实达锐捷新一代无线局域网络产品RG-W系列，核心设备采用20台RG-W1000无线接入点系统。它支持11Mbps无线局域网标准IEEE

802.11b协议，可使用2.4G～2.48GHz频段，具备1个USB配置端口和1个10Mbps

LAN端口。同时采用100片RG-W无线网卡，可采用基于PCMCIA的RG-W100网卡和基于USB接口的RG-W200网络适配器。插上无线网卡的无线工作站可通过接入点与另一台无线工作站连接，由接入点负责频段管理及漫游等工作，一个接入点最多可连接多达5－10台便携式计算机，随着无线网络节点的扩增，只需增加无线网卡和AP即可灵活扩大网络覆盖范围。整个无线网络配合实达锐捷有线网络接入层交换机和S-RADIUS服务器的802.1X认证、授权、计费系统，使得图书馆的无线接入用户能和有线网络用户一样，解决非法用户的网络访问问题。对于图书馆今后逐渐增长的网络用户，无线局域网从安装到日后的维护，都具有低成本和易维护的优势。网络方案实施之后，图书馆老师和学生即可通过便携式计算机摆脱线缆的约束，在图书馆周围的任何角落随时连接网络。

3.3.2无线设备清单类别型号简单说明数量无线网卡RG-W10011M无线CARDBUS网卡80RG-W20011M无线USB网卡20无线APRG-W100011MAP203.3.3无线网的IP地址规划采用静态IP地址分配方式：用户每次上网都要首先询问管理员IP地址是多少，然后手动指定IP，给管理员和用户造成不便，且容易产生IP地址冲突。采用DCHP动态地址分配方式：用户上网IP地址由系统自动分配，非常方便，还避免了IP冲突。由于用户数量只有二百多个，对DHCP服务器配置要求不高，普通PC即可。或在核心交换机上启用DHCP服务即可实现。由上分析，建议对无线用户上网采用DHCP服务器动态分配IP地址的方式。3.3.4无线网的安全认证无线局域网的安全性问题由于无线局域网采用公共的电磁波作为载体，因此与有线线缆不同，任何人都有条件窃听或干扰信息，因此在无线局域网中，网络安全显得更加重要。目前，蓝牙和802.11系列协议都提供了相当灵活的加密安全机制。802.11产品以WEP（WiredEquivalentProtection）的安全机制为主，在安装无线网络后即可手动设置无线网络的接入密码，当AccessPoint中设定使用WEP加密认证后我们就可以将不知道密码的用户排除在无线网络之外。但这项加密技术的确有瑕疵，例如，由于无线网络的密码在所有无线网络的终端上都相同，很容易被窃取，同时管理上也会造成网管人员的困扰，因此目前各家厂商均有研发自身的安全机制，以增加无线局域网络的安全性。常见的无线网络安全机制常见的无线网络安全机制有以下几种：服务区标示符（SSID）：无线工作站必需出示正确的SSID才能访问AP，因此可以认为SSID是一个简单的口令，从而提供一定的安全。如果配置AP向外广播其SSID，那末安全程度将下降；由于一般情况下，用户自己配置客户端系统，所以很多人都知道该SSID，很容易共享给非法用户。目前有的厂家支持“任何”SSID方式，只要无线工作站在任何AP范围内，客户端都会自动连接到AP，这将跳过SSID安全功能。物理地址（MAC）过滤：每个无线工作站网卡都由惟一的物理地址标示，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作；如果用户增加，则扩展能力很差，因此只适合于小型网络规模。连线对等保密（WEP）：在链路层采用RC4对称加密技术，钥匙长40位，从而防止非授权用户的监听以及非法用户的访问。用户的加密钥匙必需与AP的钥匙相同，并且一个服务区内的所有用户都共享同一把钥匙。WEP虽然通过加密提供网络的安全性，但也存在许多缺陷：一个用户丢失钥匙将使整个网络不安全；40位的钥匙在今天很容易被破解；钥匙是静态的，并且要手工维护，扩展能力差。为了提供更高的安全性，802.11i提供了WEP2，该技术与WEP类似。WEP2采用128位加密钥匙，从而提供更高的安全。WEP2目前不保证互操作性。端口访问控制技术（802.1x）：该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为STA打开这个逻辑端口，否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件，无线访问点要内嵌802.1x认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于公共无线接入解决方案。802.1X在无线认证中的应用实现原理如果没有有效的身份验证密钥，AP会禁止所有的网络流量通过。当一个无线工作站进入一个无线AP认证者的覆盖范围时，无线AP会向无线工作站发出一个问询。在受到来自无线AP的问询之后，无线工作站做出响应，告知自己的身份。然后，无线AP将无线工作站的身份转发给RADIUS（身份验证）服务器，以便启动身份验证服务。然后，RADIUS服务器请求无线工作站发送它的凭据，并且指定确认无线工作站身份所需凭据的类型。站点将它的凭据发送给RADIUS。在对无线工作站凭据的有效性进行了确认之后，RADIUS服务器将身份验证密钥发送给无线AP。该身份验证密钥将被加密，只有AP能够读出该密钥。（请记住：在站点和RADIUS服务器之间传递的请求通过AP的“非控制”端口进行传递，因为站点不能直接与RADIUS服务器建立联系。AP不允许STA站点通过“受控制”端口传送数据，因为它还没有经过身份验证。）无线AP使用从RADIUS服务器处获得的身份验证密钥保护无线工作站数据的安全传输。无线网认证计费解决方案实达锐捷现有的安全计费管理系统完全无缝的与无线AP的接入控制对接，不需要做任何的改动，无需增添任何其他的硬件和软件，实现实达锐捷认证客户端软件+标准无线AP+实达锐捷S-Radius的完美结合，实现对无线用户的接入控制与计费。网络拓扑及认证计费示意图如下：安全认证系统设计中南大图书馆网络做为一种完全开放的网络，各种信息，包括有害信息都可能进入、传播，如黑客的非法入侵、学生因好奇心对教学网络进行攻击等等时有发生。为了切实保证中南大图书馆网络系统的安全，在严格遵守国家安全保密规章制度的前提下，采用密码技术、防电磁泄漏、线路加密、防火墙、防病毒、安全检测、漏洞扫描、数据备份与灾难恢复等安全技术措施，解决系统建设、使用中面临的安全问题。4.1中南大图书馆安全需求防止IP地址盗用非法站点访问过滤；恶意攻击的实时处理；非法言论的准确追踪；记录访问日志提供完整审计；4.2中南大图书馆认证需求有效的对用户进行接入控制，保证只有申请开通的合法用户才可以使用网络；能够对接入用户进行帐号与IP、MAC、端口等多元素绑定，以唯一确定用户身份同时准确定位；实现校园网现有用户认证系统的帐号统一、帐号漫游，使校园网用户帐号能在图书馆使用。需要方便的进行用户管理，包括开户、销户、资料修改和查询支持控制IP地址冲突，防止IP地址盗用、在一定程度上防止账号盗用；需要能够对网络设备进行集中的统一管理；4.3中南大图书馆安全认证系统解决方案4.3.1802.1x认证系统示意图4.3.2认证计费系统解决方案实达安全认证计费管理系统包括以下主要组成部分：RadiusServer，完成用户认证、授权和计费信息采集功能Radius管理系统，对RadiusServer进行配置，管理NAS和在线用户用户管理系统，提供用户管理、缴费、计费策略定制、统计、审计等功能帐单系统，可按时批量出帐单用户服务系统，提供用户修改密码，查询上网记录和帐单的服务酒店管理系统，可处理酒店用户的Check-In和Check-Out整个系统可以集中在一台服务器上也可以分布在多台服务器上，配置非常灵活，例如当用户量非常大的时候，帐单的计算会非常耗时，而且非常耗费系统资源，这时就要将帐单服务器单独出来，同样用户web服务会带来招到攻击的危险，也应在单独的服务器提供服务。对于中南财大新图书馆来讲，酒店管理系统是不需要的，考虑到目前用户数量为1千个左右，我们选择用两台服务器。其中一台服务器上运行SQLServer数据库，我们称之为数据库服务器。另一台服务器（可以是运行Linux/Windows的PC服务器）上运行RadiusServer以及Web自助服务和账单服务，我们称之为Radius服务器。这种方案可以支持1万到5万用户。认证计费系统软硬件配置清单如下：认证计费系统认证计费服务器1DELLPowerEdge600scXeon1.8GHz/256MB/36GB，最大4GB/集成的双通道Ultra160SCSI/36.4GBDELL原装HDD/1块集成的100M网卡/电源和风扇/DELL三年包修1数据库服务器1DELLPowerEdge600scXeon1.8GHz/256MB/36GB，最大4GB/集成的双通道Ultra160SCSI/36.4GBDELL原装HDD/1块集成的100M网卡/电源和风扇/DELL三年包修1认证计费软件1认证计费软件S-radius(windows+MSSQL)（一万用户）14.4实达锐捷802.1x安全认证系统特点4.4.1全方位的安全保证事前的准确认证和身份定位用户使用网络前，通过用户帐号与IP、MAC、交换机IP、端口、VLAN六元素的复合绑定，对用户进行准确的身份认证，其中帐号与交换机以及接入端口的绑定，实现了准确的用户定位。事中的实时处理当网络中有对受保护的关键服务器或系统进行恶意攻击的时候，IDS入侵检测系统能够检测到发起攻击的源IP地址，通过S-SCP安全控制协议，IDS实时将攻击源IP通知S-Radius，S-Radius在在线用户表中找到源恶意攻击者，通过SNMP协议将恶意攻击者剔除下线。这一整个过程实现了全自动的实时处理。事后的完整审计日志服务器记录有用户完整的访问记录，包括源IP、目的IP、源端口、目的端口、源MAC、目的MAC、访问开始时间、访问结束时间、发送流量、接受流量等，结合日志管理查询系统，可以进行快速完整的审计。4.4.2强大的用户接入控制入网即认证用户只要使用网络既要进行身份认证，保证只有申请开户的合法用户才可以使用网络（包括内部网）多元素复合绑定可以对接入用户进行帐号与IP、MAC、交换机IP、端口、VLAN六元素的复合绑定。灵活绑定实现帐号漫游在对用户进行严格绑定的同时可以做到帐号漫游，比如：对学生用户，在宿舍区上网可以对其六元素进行严格的绑定，但是该学生的帐号可以在图书馆、计算中心等公用机房漫游使用。免客户端安装802.1X的一个特点就是需要安装认证客户端软件，这对于有些用户来讲可能认为带来麻烦，实达锐捷网络通过结合DHCP＋WEB方式的重定向功能，在用户第一次使用网络的时候，自动下载客户端软件，用户只要点击一个“是”，接受即可。省去了安装客户端的麻烦。认证客户端软件自动在线升级功能认证客户端软件的升级也是一件麻烦的事情，实达锐捷网络通过RadiusServer的自动判断客户端版本号，自动将用户的认证客户端软件升级为最新版本。超高的网络高性能分布式认证每一个接入交换机的每一个端口即相当于一个认证者，实现了最大程度的分布认证，既没有单点故障，同时克服了传统的网关设备进行认证计费造成的严重的性能瓶颈。认证后旁路（认证后不管）采取认证计费报文与业务数据分流技术，认证通过后，业务数据流就旁路了，并且在用户的整个上网过程中，没有报文和Radius服务器交换，实达安全交换机也无须处理认证计费报文，最大程度上的保证了网络性能。旁路日志记录实达日志记录服务器采用端口镜像旁路设计思想，提高了日志记录的效率，无性能瓶颈。4.4.3网络可控管理集中统一的用户管理通过实达S-Radius宽带认证计费管理系统可以方便的进行开户、销户、修改用户密码、查询更改用户资料及设置；可以方便灵活定义或修改计费策略；集中统一的设备管理通过StarView管理管理平台可以对设备进行集中的设备管理，包括网络拓扑发现、配置管理、性能管理、事件管理。集中统一的日志管理日志服务器记录