1 东莞市XX中学设计方案-111204

1东莞市XX中学设计方案-111204东莞市XX中学智能化系统-初步设计方案PAGE第9页，共255页东莞市XX中学弱电智能化系统初步设计方案2024年04月

目录第1章设计概述 71.1工程需求分析 71.2系统设计原那么 81.3系统设计依据 9第2章综合布线系统设计 132.1设计标准和标准 132.2设计原那么 142.3信息点统计表 182.5各子系统设计 192.5.1设计说明 192.5.2工作区子系统 202.5.3水平布线子系统 232.5.4垂直干线子系统 252.5.5管理间子系统 252.5.6设备间子系统 29第3章网络系统设计 293.1系统概述 293.2工程需求 303.2.1需求分析 303.2.2工程建设目标 313.3工程方案 313.3.1总体设计原那么 313.3.2整体设计 343.4网络平台 393.4.1层次化设计 393.4.2IP地址规划设计 403.5局域网平安设计 453.5.1网络攻击 453.5.2网络病毒 483.5.3ARP欺骗攻击原理和防范 513.5.4防IP/MAC地址盗用和ARP中间人攻击 533.5.5防IP/MAC地址扫描攻击 553.5.6播送/组播报文抑制 573.5.7DHCP欺骗攻击的防范 583.6有线无线一体化网络设计 603.6.1无线校园网建设需求 623.6.2一体化无线校园网解决方案 653.6.3VLAN规划 723.6.4无线平安性设计 723.6.5移动漫游设计 773.7华为网络产品的优势 783.7.1高可靠性和可维护性 783.7.2绿色节能设计 793.7.3灵巧的扩展能力 803.7.4强大的转发能力 813.7.5丰富的业务能力 813.7.6周密的平安设计 823.8华为WLAN解决方案的优势 82第4章集团电话系统 864.1系统概述 864.2系统结构设计 884.3程控交换机选型及功能介绍 884.3.1DK1208-M152型交换机特点 894.3.2SLP-30数字专用话机功能介绍 103第5章数字高清视频监控系统 1055.1综述 1055.2视频监控数字化高清的趋势 1055.3数字化高清介绍 1065.4校园视频监控需求分析 1085.5建设要求 1105.6视频监控系统整体设计方案 1105.6.1方案优势 1105.6.2设计目标 1115.6.3设计原那么 1125.6.4设计依据 1155.6.5系统结构及组成 1175.6.6系统主要功能 1225.7系统业务优势 1265.8存储系统 1275.8.1系统设计总要求 1275.8.2设计原那么 1285.8.3存储需求计算 1305.9管理平台设计 1325.9.1总体设计 1325.9.2平台架构设计 1325.10监控中心建设 1335.10.1UPS技术参数 1345.11主要设备选型及技术参数 139第6章公共播送系统 1626.1校园播送系统设计依据 1626.1校园播送系统设计思想 1636.3校园播送系统设计方案 1666.3.1用户需求 1666.3.2校园播送示意图 1686.3.3校园播送系统功能说明 1686.3.4校园播送系统设备说明 175第7章有线电视系统 2057.1系统概述 2057.2有线电视点布置 2067.3有线电视结构设计 2067.4有线电视系统设备 206第8章多媒体教室系统 2118.1多媒体教室系统设计需求 2118.1.1多媒体教室系统 2118.1.2电教平台功能设计 2128.1.3系统运行目标 2138.2录播系统 2158.2.1概述 2158.2.2设计目标 2158.2.3录播系统需求 2188.2.4录播系统解决的问题 2228.2.5平台特点 2238.2.6录播设备说明 227第9章电脑教室系统 2329.1概述 2329.2设计简要 2329.3建设内容 2339.4系统设备说明 233第10章机房系统设计 23410.1概述 23410.2机房系统 23510.2.1气体〔配电〕间及办公区隔断 23610.2.2设备间彩钢板屏蔽 23610.2.3地面工程 23710.2.4天花及照明工程 23810.2.5防火门工程〔设备间、配电间〕 23910.2.6机房门禁 24010.2.7机房空调 24010.2.8机房设备间新风系统 24510.2.9设备间气体消防 24610.2.10机房防雷工程 24710.2.11机房配电 24810.2.12机房UPS不间断电源 24910.2.13机房环境监控系统 250第1章设计概述1.1工程需求分析随着我国教育系统的不断改革，对提高教学、管理水平的要求日益迫切，学校教育必须走向信息化、数字化、网络化，因此校园智能化设计非常重要。作为学校这样一个特殊的单位，他的智能化设计不同于一般的办公楼及居民楼建筑，而是有着其特殊的需求及设计特点。具体如下：提供先进的数字化系统及工具。如：计算机多媒体教学、网络教学、播送系统、电子阅览室等。提供先进的教学管理方式。如：学校办公网络、多媒体教学课室、电脑课室等。提供先进的校园平安保障。如：数字化监控系统。根据东莞中学XX中学的要求，本次校园智能化系统考虑9个系统的建设：综合布线系统；计算机网络系统；电话程控交换机系统；视频监控系统；公共播送系统有线电视系统；多媒体教室；电脑教学教室；机房系统。1.2系统设计原那么本工程所采用的系统以及系统的构成应符合以下原那么：可靠性：系统具备在正常条件下实现系统设计的所有功能和性能的能力。具备24小时不间断工作的能力。实用性：系统应符合国内外相关标准与规定，便于管理，易于操作和维护。先进性：在满足可靠性和实用性前提下，系统是目前信息化建设中最先进的系统，符合计算机和网络通信技术的最新开展潮流，并且是应用成熟、先进的技术，为石龙镇劳动就业效劳中心的良好运作创造稳定、先进的条件。协调性：本智能化系统工程涉及多个子系统，各子系统设备功能有交叉，系统是各子系统的有机统一，各功能模块之间的配合应该实现整个智能化系统的技术协调。开放性：系统遵循开放性原那么。系统提供符合国际标准的软件、硬件、通信、网络操作系统和数据库管理系统等诸方面的接口与工具，使系统具备良好的兼容性、扩展性和可移植性。经济性：系统应满足性能价格比在国内同类系统和条件下为最优，其经济性应包括系统集成所需的有关软硬件等开发费用、技术效劳、培训以及系统投入使用后的低能耗运行，减少物业管理人员，节约管理费用。1.3系统设计依据在XX中学智能化系统设计中，遵循以下标准和标准：?智能建筑设计标准?〔GB/T50314-2024〕；?建筑设计防火标准?(GB50016-2024)；?自动喷水灭火系统设计标准?(GB50084-2001)(2024年版)；〔GBJ63-90〕；?电力装置的继电保护和自动装置设计标准?〔GB50062-92〕；?建筑物电子信息系统防雷技术标准?〔GB50343-2024〕；?低压配电设计标准?〔GB50054－95〕；?建筑物防雷设计标准〔GBJ50057-94〕?(2000年版)；?电子计算机机房设计标准?〔GB50174-93〕；?电子计算机场地通用标准?〔GB/T2887-2000〕；?计算机场地平安要求?〔GB9361-88〕；?计算机软件可靠性和可维护性管理?〔GB/T14394-93〕；?计算机机房用活动地板技术条件?〔GB6650-86〕；?防静电活动地板通用标准?〔SJ/T10796-2001〕；?电子计算机机房施工及验收标准?(SJ/T30003-93)；?综合布线系统工程设计标准?〔GB50311-2024〕；?综合交换机技术标准?〔YD/T1123-2001〕；?以太网交换机技术要求?〔YD/T1099-2024〕；?具有路由功能的以太网交换机技术要求?(YD/T1255-2024)；?以太网交换机设备平安技术要求?(YD/T1627-2024)；?具有路由功能的以太网交换机设备平安技术要求?(YD/T1629-2024)；?计算机软件配置管理方案规划?〔GB/T12504-90〕；?入侵报警系统工程设计标准?〔GB50394-2024〕；?会议电视系统工程设计标准?〔YD/T5032-2024〕；甲方提供的建筑设计图纸。以下各章节，具体介绍各个子系统的详细设计：第2章综合布线系统设计2.1设计标准和标准本次设计满足以下标准和标准：－ISO11801国际建筑通用布线标准－ANSI/TIA/EIA568B北美商用建筑电信布线标准－ANSI/EIA/TIA-569北美电信走道和空间的商用建筑标准－ANSI/EIA/TIA－606北美商用建筑物电信设备的管理标准－ANSI/EIA/TIATSB－75北美商用建筑物电信设备的管理标准－ANSIFDDI100Mbps北美光纤数据接口高速局域网标准－ATM155Mbps/622.5Mbps异步传输模式标准－RS232、X.21、RS422异步、同时传输标准－YD/T926-2001中华人民共和国通信行业标准－GB/T50314-2000智能建筑设计标准－GB/T50311-2000建筑与建筑群综合布线系统工程设计标准－GB/T50312-20002.2设计原那么综合布线同传统的布线相比拟，有着许多优越性，是传统布线所无法比及的。其特点主要表现为它的兼容性、开放性、灵巧性、可靠性、先进性和经济性。而且在设计、施工和维护方面也给人们带来了许多方便。兼容性：综合布线的首要特点是它的兼容性。所谓兼容性，是指它自身是完全独立的而与应用系统相对无关，可以适用于多种应用系统。综合布线将语音、数据与监控设备的信号线经过统一规划和设计，采用相同的传输介质、信息插座、交连设备、适配器等，把这些不同信号综合到一套标准的布线中。由此可见，这个布线比传统布线大为简化，节省大量的物资、时间和空间。开放性：该系统采用开放式体系结构，符合多种国际上现行的标准，它几乎对所有著名厂商的产品都是开放的，并支持所有通信协议。灵巧性：该系统采用标准的传输线缆和相关连接硬件，模块化设计，所有通道都是通用的，而且每条通道可支持终端、以太网工作站。所有设备的开通及更改均不需改变布线线路，组网也可灵巧多变。可靠性：该系统采用高品质的材料和组合压接的方式构成一套高标准的信息传输通道，所有线缆和相关连接件均通过ISO认证，每条通道都要采用专用仪器测试链路阻抗及衰减率，以保证其电气性能。应用系统全部采用点到点端接，任何一条链路故障均不影响其它链路的运行，从而保证了整体系统的可靠运行。先进性：该系统采用光纤和双绞线混合布线方式，极为合理地构成一套完整的布线。所有布线均采用世界上最新通信标准，链路均按8芯双绞线配置。数据及语音从配电间到桌面均采用六类非屏蔽双绞线，数据传输率可到达1Gbps。干线语音局部采用电缆，数据局部采用光缆，为同时传输多路实时多媒体信息等传输提供足够的裕量。经济性：虽然综合布线初期投资比拟高，但由于综合布线将原来相互独立、互不兼容的假设干种布线集中成为一套完整的布线体系，统一设计，统一施工，统一管理。这样可省去大量的重复劳动和设备占用，使布线周期大大缩短。另外，综合布线系统使用简单、方便，维护费用低，可以满足三维多媒体的传输和用户对ISDN、ATM的需求。可见综合布线系统具有很高的性能价格比。

2.3总体布线结构设计综合布线结构如以下图：设计说明：整个综合布线系统按照六类非屏蔽系统设计，采用TIA568-B连线标准；整个系统分为五个子系统：工作区子系统、水平子系统、设备间子系统、管理子系统、垂直主干子系统；主设备间设在中心计算机房，从各主设备间各敷设光纤和大对楼电缆作为级联主干连接至其管理的各层楼的通讯间配线架；各配线间配置标准19〞通信机柜，网络主交换设备安装于机柜中，配线系统也安装于机柜中；数据信息点采用模块化的RJ45插座组成，语音采用RJ11的插座组成；数据信息点采用六类布线标准的六类四对非屏蔽双绞线〔UTP〕作为水平干线子系统的布线连接到各办公区域的信息点，语音采用六类四对非屏蔽双绞线〔UTP〕的布线标准。2.3信息点统计表整个校区的综合布线系统包括，教学楼、综合楼、体艺楼、教师宿舍、学生宿舍的综合布线系统。包括办公室、课室、宿舍的信息点接入，信息点的具体分布与数量情况如下表：序楼号楼层网络数据点语音数据点11/2#教学楼一层202二层282三层282四层282五层302小计：1341023/4#教学楼一层222二层221三层282四层282五层282小计：12893综合楼一层142二层3312三层3014四层4918五层71小计：133474体艺馆一层21二层226三层226四层226五层11小计：69205教师宿舍一层00二层180三层180四层180五层180六层180小计：9006学生宿舍一层00二层00三层00四层00五层00六层00小计：007室外008合计：554862.5各子系统设计2.5.1设计说明数据骨干采用光纤，语音主干采用三类大对数线；数据水平布线采用六类非屏蔽线缆布线，满足中心传输网络的需求；语音水平布线采用六类非屏蔽线缆敷设。系统可满足骨干万兆、终端千兆速率、语音端口可灵巧互换配置的需求。本方案分为五大子系统，分别为工作区子系统、水平子系统、垂直干线子系统、管理间子系统、以及设备间子系统，为四级星型拓扑结构。具体分述如下：2.5.2工作区子系统工作区子系统是指信息端口以外的空间，但通常习惯将电信插座列入工作区子系统。本次布线网络信息系统采用D-Link六类非屏蔽系统设备，示意图如下。面板本工程的面板全部采用高强度防火型材料，符合UL94V-0标准要求，国际规格86mm*86mm,面板正面配有防尘弹簧门用以保护模块、遮蔽灰尘污特进入。

RJ45模块(1)简要说明：六类RJ45插座模块是依据国际标准ISO/IEC11801、TIA/EIA568设计制造的性能优异的UTP电缆用8线式插座模块。专利设计的全金属化簧片结构，无印制板，确保长期使用的可靠性。模块化设计，免接线工具，使用灵巧方便。(2)技术说明：●IDC：簧片接触针部位镀金50μ(inch)，连接线径0.5mm，卡接可重复次数>200次●接触电阻(不包括体电阻)：正常大气压条件下接触电阻≤2.5mΩ●绝缘电阻：正常大气压条件下绝缘电阻≥1000MΩ●抗电强度：DC1000V(AV700V)1分钟无击穿和飞弧现象●寿命：插头插座可重复插拔次数≥750次●材料：PC●颜色：白色●技术质量标准：ISO/IEC11801本工程6数据模块：554，J11语音模块：86个；信息点的安装方式分为墙面安装和地面安装2种方式，墙面安装采用“86〞标准底盒，地面安装采购弹簧式地插安装。2.5.3水平布线子系统水平布线子系统分配线间水平配线架至工作区端口〔插座〕的连接线缆。本工程信息点连接电缆选择D-Link六类4对非屏蔽双绞线。六类4对UTP电缆性能D-Link六类非屏蔽4对线缆是满足综合布线系统设计要求的高速、高性能电缆。外皮采用低烟无卤PVC材料，使用平安。符合并超过国际ISO/IEC11801和美国ANSI/TIA/EIA-568A/B、欧洲CENELECEN50173的相关标准，符合UL认证要求。具有优异的传输性能，全面支持所有话音通讯系统、10Base-T、16Mbps、100Base-T、155Mbps和622MbpsATM、1000Mbps、多媒体等方面的高速应用。六类非屏蔽双绞线相比传统的优点：与五类的非屏蔽线缆相比，六类非屏蔽双绞线的各项参数都有大幅提高，带宽也扩展更高。六类双绞线在外形上和结构上与五类或超五类双绞线都有一定的差异，不仅增加了绝缘的十字骨架，将双绞线的四对线分别置于十字骨架的四个凹槽内，而且电缆的直径也更粗。编辑本段电缆中的使用。电缆中央的十字骨架随长度的变化而旋转角度，将四对双绞线卡在骨架的凹槽内，保持四对双绞线的相对位置，提高电缆的平衡特性和串扰衰减。另外，保证在安装过程中电缆的平衡结构不遭到破坏。

2.5.4垂直干线子系统垂直主干子系统是用来实现计算机设备、控制中心与各管理子系统间的连接，常用介质是光缆。管理子系统涉及各楼层的信息点的配线管理，设计中充分考虑到本大楼今后综合业务的开展，因此在管理子系统设有垂直主干的光纤配线箱、机架式跳线架。根据系统的需要，将敷设12芯多模光纤与设备间连接作为数据主干。语音主干用三类50/25对大对数线缆。信息中心设立在综合楼四层网络中心机房，作为通讯的总出入口，通过光纤与大对数线缆连接到各楼层进行汇总，并实现统一的控制与管理。2.5.5管理间子系统管理子系统由交连、互连配线架组成。管理点为连接其它子系统提供连接手段。交连和互连允许将通讯线路定位或重定位到建筑物的不同局部，以便能更容易地管理通信线路。使在移动终端设备时能方便地进行插拔。跳线式管理方式是综合布线系统产品的结构化、模块化和使用的灵巧性、可调整性的充分表达。当设备布置出现变化时，不必大动干戈，仅需将相关跳线作出改动即可。也能对其它系统的构成、连接进行任意的调整和分配。光缆采用光纤配线架进行管理，选用体积小、安装简便、便于维护的机架式配线架。同时考虑到综合布线系统建成后的通用性和灵巧性。配线架的配线管理采用表格对应方式，根据大楼各信息点的层次、单元/区域，记录下布线的通路、线缆终结的位置、所用部件或材料的说明，并对布线通路、信息插座、接地电缆加上永久性标志，以方便维护人员识别和管理。本工程在相应位置设置配线间，配线间设置19英寸标准的机柜,用于终接线缆及放置设备。六类24口配线架综合布线系统设计要求的高速，高性能配线架。巩固的和易于安装的设计，减少安装和操作的费用。彩色色序标记，便于导线的插入，减少错误。跳线RJ45-110鸭嘴跳线是满足综合布线系统设计要求的高速、高性能、阻燃室内跳线。线缆由多股铜导线构成，外皮采用高密度阻燃聚氯乙烯材料，使用平安。110-110鸭嘴跳线符合国际ISO/IEC11801和美国ANSI/TIA/EIA-568A/B、欧洲CENELECEN50173的相关标准，符合UL认证要求。六类网络跳线由标准的软跳线电缆〔多股线〕和连接硬件制成，所有的跳线符合T568A和T568B线序，具有高抗电磁干扰性，使传输信号的误码率降至最低。满足六类传输标准，用于设备间或水平子系统的端接，为通讯设备，配线架实现快速互联。注：跳线的计算方法根本上根据信息点数计算，每个信息点包括机柜端1条，用户端1条。110型100对语音配线架110型高频接线模块是依据国际标准ISO/IEC11801、TIA/EIA-TSB-40设计制造的UTP电缆用高频接线模块，每个容量100、200、300回线不等。2.5.6设备间子系统设备间子系统主要指计算机系统，网络互联设备，弱电控制设备等，即主要指系统的计算机网络中为各类信息提供信息管理传输效劳的各种设备及设备的连接线所组成。设备间子系统由主配线架以及跳线组成，它将中心计算机和网络设备或弱电主控制设备的输出线与干线子系统相连接，构成系统计算机网络的重要环节；同时通过配线架的跳线控制所有总配线架的路由。第3章网络系统设计3.1系统概述信息技术是当今最活泼，开展最迅速，影响最广泛，渗透力最强的科学技术领域之一。信息化是一场深刻的革命，在社会许多领域对传统的生产、生活和思维方式产生着巨大冲击，并促进着经济和社会的快速和均衡开展。随着全球经济一体化步伐的加快，信息化水平已成为衡量一个国家和地区的国际竞争力、现代化程度、综合国力和经济成长能力的重要标志，是促进社会生产力开展的重要因素。世界各国对信息化的开展已给予了前所未有的关注。

教育信息化的开展，带来了教育形式和学习方式的重大变革，对传统的教育思想、观念、模式、内容和方法产生了巨大冲击。教育信息化是国家信息化的重要组成局部，对于转变教育思想和观念，深化教育改革，提高教育质量和效益，培养创新人才具有深远意义，是实现教育跨越式开展的必然选择。3.2工程需求3.2.1需求分析本次XX中学网络建设包括该中学的综合楼、教学楼、体艺馆、教师宿舍、食堂、体育场主席台，学校有近600个信息点，要求实现有线、无线一体化的网络系统，并且要求保障有线、无线接入的平安。3.2.2工程建设目标通过本次建设，实现XX中学网络统一，实现近600个信息点接入的能力，到达教育信息化的程度。3.3工程方案3.3.1总体设计原那么早期的高校校园网主要是共用内部教育系统主机资源，共享简单数据库，多以二层交换为主，很少有三层应用，存在平安、可管理性较差、无业务增值能力等方面的问题。现在XX中学网络建设要实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障效劳，使网络平安可靠，从而实现教育管理、多媒体教学自动化，而且还要通过Internet实现远程教学，提供可增值可管理的业务，必须具备高性能、高平安性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。基于对XX中学业务需求的深入理解，结合自身产品和技术特点，华为公司推出了了完善的校园教育网络建设的解决方案，为XX中学提供“高扩展、多业务、高平安〞的精品网络。结合学校校园网的实际应用和开展要求，在进行网络系统建设时，应遵循以下原那么：〔1〕实用性原那么对学校校园网网络系统建设将以满足现行需求为根底，在节省投资的同时，充分考虑开展的需要来确定系统规模。〔2〕平安性原那么学校校园网网络平台效劳于教育系统的运行需要，对平安级别要求很高。由于连接学校内所有用户，平安管理十分重要。系统应能提供网络层的平安手段防止系统外部成员的非法侵入以及操作人员的越级操作。〔3〕稳定可靠性原那么只有运行稳定的网络才是可靠的网络，而网络设备的稳定可靠运行取决于诸多因素，如网络的设计、产品的可靠性等。因此系统设计能有效的防止单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。〔4〕成熟和先进性原那么学校校园网网络系统结构设计、系统配置、系统管理方式等方面应采用国际上先进的同时又是成熟、实用的技术。〔5〕标准性原那么系统设计所采用的技术和设备应符合国际标准、国家标准和业界标准，为系统的扩展升级、与其他系统的互联提供良好的根底。〔6〕系统兼容性好为了保证与原有系统和设备的互联互通和正常的运行，设备应具有很好的兼容性，采用标准技术进行组网，可以保证工程组网的无缝兼容，包括物理连接、生成树协议、路由互通以及用户认证系统等。〔7〕可扩充和扩展化原那么系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，本次网络建议采用层次化的结构设计，采用的会聚需要网络有很好的可扩展性，并能随着技术的开展不断升级，保证建设完成后的系统在向新的技术升级时，能保护现有的投资。〔8〕可管理性原那么考虑到当前学校的信息技术专业人才数量很少，网络建设维护、信息资源开发能力相对较弱，因此整个系统的设备应易于管理，易于维护，易学，易用，便于进行系统配置，在设备、平安性、数据流量、性能等方面很好的监视和控制，远程管理和故障诊断。3.3.2整体设计1)拓朴结构XX中学教育信息化解决方案总体设计以高性能、高可靠性、高平安性、有线无线一体化和统一的网管系统为原那么，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法，组网图如下所示：2)拓朴说明如下图，整个校园网设计包含互联网出口区域、局域网交换区域、数据中心区域和智能管理中心等主要局部，下面将分别加以介绍。1、互联网出口区域互联网出口区域除了要将学校局域网和互联网、教育网进行连接的根本功能之外，还要肩负起防御网络攻击、过滤掉网络有害数据、有害网站等任务。因此，在互联网出口我们部署了以下设备：高性能防火墙〔支持IPS等功能〕、上网行为管理设备出口防火墙我们采用天融信NGFW4000-UFTG-41406防火墙，部署在出口，完成信息网络的第一道平安防线，可以有效实现对DoS/DDoS攻击、ARP欺骗攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击、地址/端口扫描、ICMP重定向或不可达攻击、Tracert攻击、带路由记录选项IP报文、Java/ActiveXBlocking和SQL注入攻击等威胁的防范。并采用天融信上网行为管理网关，以到达对校园网络出口数据及上网行为的管理。2、局域网交换区域考虑到XX中学有线网络将要承载的实时视频教案以及同时课堂等应用，我们把局域网交换模块分为核心层、会聚层和接入层，接入层千兆到会聚，会聚层万兆到核心，各个层功能清楚：核心层是整个网络关键所在所在，它直接决定了整个网络的性能、网络可靠性以及所能承载的业务；会聚层是接入层的会聚，实现会聚区域内的三层数据交换，缓解核心设备的压力；接入层完成千兆到桌面的用户接入。XX中学信息化网络系统的核心交换机将承当起整个信息化网络的数据交换，完成学校几百用户所产生的网络数据流量，所以核心设备必须具有先进性，能够在今后很长的一段时间内对新技术、新应用提供支撑能力。因此，我们选用2台华为公司的S7706数据中心级核心交换机作为XX中学信息化网络的核心交换机。2台S7706通过高速堆叠模块互为冗余，增强了核心交换机的可靠性和稳定性。学校下面的教学楼和综合楼的数据中心及网管中心采用华为S5700-28X-LI-AC智能万兆交换机做为各楼的会聚交换机，核心交换机与会聚交换机之间采用万兆光纤连接，保障了网络的高带宽；S5700-28X-LI-AC是华为公司自主开发的全万兆三层以太网交换机，广泛应用于企业网、园区网和校园网的会聚层。提供灵巧的全万兆以太网端口的接入密度、丰富的业务特性、统一的集群配置，为用户提供高性能、低本钱、可网管的解决方案，是万兆会聚的理想选择。接入层交换机我们采用华为S5700-28P-LI-AC主机，该主机是华为公司推出的新一代绿色节能的以太网智能千兆接入交换机。它基于新一代交换技术和华为VRP®〔VersatileRoutingPlatform〕软件平台，针对客户的各种应用场景，提供简单便利的安装维护手段，同时融合了灵巧的VLAN部署、完备的平安和QoS控制策略、绿色环保等先进技术，可满足以太网多业务承载和接入需要，助力用户搭建面向未来的IT网络。为了实现无线系统解决方案，我们采用华为的无线AC6605-26-PWR和AP6010DN-AGN对学校进行无线覆盖。华为无线AC可以像扩展和管理传统有线网络一样，对无线网络进行扩展和管理，无线控制器最多可以接入640个AP，支持2万个无线客户端设备。在AP上启用802.1x的平安认证功能。通过用户名和密码认证后，方可接入网络系统。3、智能管理中心一个好的网络不仅有好的网络设备，也要求要有好的网络管理软件，就XX中学的网络情况来看，网络管理软件不仅要求能够对有线和无线网络设备进行一体化管理、对网络资源进行管理、能够对网络流量进行分析和优化、能够有详细的报表分析报告。因此我们选用华为公司的E-sight智能管理中心做为整个校园网的管理平台，该平台不仅可以对网络设备进行WEB管理，还可以通过增加组件的形式对无线资源管理等多种全方位的资源管理，并部署一套认证效劳器，如RADIUS认证系统等，对无线接入用户要求用户名和密码的认证接入。3.4网络平台3.4.1层次化设计在XX中学校园网络整体设计中，我们采用层次化、模块化的网络设计结构，并严格定义各层功能模型，不同层次关注不同的特性配置。典型的校园园区网络结构可以分成三层：接入层、会聚层、核心层。1)接入层：提供网络的第一级接入功能，完成简单的交换，平安、Qos都位于这一层。对于校园园区网的接入层设备，建议采用千兆接入的方式，应该具有线速交换、高级QoS策略等功能。2)会聚层：会聚来自配线间的流量和执行策略，当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关，能够承载校园网络融合业务的需求。3)核心层：网络的骨干，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。对于XX中学校园网核心层，应该在提供大容量、高性能L2/L3交换效劳根底上，能够进一步融合了硬件IPv6，可为校园园区构建融合业务的根底网络平台，进而帮助用户实现IT资源整合的需求。3.4.2IP地址规划设计IPv4地址规划IP地址的合理规划是网络设计中的重要一环，大型计算机网络必须对ＩＰ地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步开展。IP地址规划必须考虑到XX中学今后学校接入的分配和规划问题。IP地址分配原那么IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要表达出网络的可扩展性和灵巧性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原那么：唯一性：一个IP网络中不能有两个主机采用相同的IP地址；简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项；连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率；可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性；灵巧性：地址分配应具有灵巧性，以满足多种路由策略的优化，充分利用地址空间。主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种；当校园网以私网地址分配或采用混合网络地址接入时，要求校园网提供地址变换功能，过滤掉私网地址。IP地址规划方案地址编码标准建议校园网的IP地址进行严格的编码，每位代表不同的含义。其编码规那么〔举例如下〕为：通过地址标识可以清楚地区分出IP地址地来源，便于路由会聚和访问控制。从上表中我们也可以看出，通过我们的规划，我们能从IP地址分析出IP地址的来源、用途等，这将为网络的维护带来方便。具体的IP地址定义将结合实际情况确定。中心交换机支持静态或动态的IP地址分配，并支持动态IP地址分配方式下DHCP-Relay功能，DHCPSERVER可安放在园区内部。对于固定IP地址用户，需要针对标识符〔MAC地址〕设定保存IP地址。IPv6地址规划IP地址规划主要涉及到网络资源的利用的方便有效的管理网络的问题，IPv6地址有128位，其中可供分配为网络前缀的空间有64bit。按照最新的IPv6RFC3513，IPv6地址分为全球可路由前缀和子网ID两局部，协议并没有明确的规定全球可路由前缀和子网ID各自占的bit数，目前APNIC能够申请到的IPv6地址空间为/32的地址。IPv6的地址使用方式有两类，一类是普通网络申请使用的IP地址，这类地址完全遵从前缀+接口标识符的IP地址表示方法；另外一类就是取消接口标识符的方法，只使用前缀来表示IP地址。IP地址的分配和网络组织、路由策略以及网络管理等都有密切的关系，IPv6地址规划目前尚没有主流的规那么，具体的IP地址分配通常在工程实施时统一规划实施，可以遵循一些分配原那么：地址资源应全网统一分配地址划分应有层次性，便于网络互联，简化路由表IP地址的规划与划分应该考虑到网络的开展要求充分合理利用已申请的地址空间，提高地址的利用效率。IP地址规划应该是网络整体规划的一局部，即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应，应该是自顶向下的一种规划。CERNET2分配给各个驻地网用户的IPv6地址空间会是一个或几个/48的IPv6地址前缀。我们知道全球可聚集IPv6地址的前缀为64位，后64位为主机的interfaceid.所以各个驻地网用户用于可分配的IPv6地址前缀空间的范围为/48至/64之间。IPv6的地址分配原那么同IPv4一样遵循CIDR原那么。IPv6的地址规划时考虑三大类地址：1、公共效劳器地址，如DNS，EMAIL，FTP等。2、网络设备互联地址和网络设备的LOOPBACK地址。根据IETFIPv6工作组的建议IPv6网络设备互联地址采用/64的地址块。IPv6网络设备的LOOPBACK地址采用/128的地址。3、用户终端的业务地址。此外由于目前网络设备的IPv6MIB信息的获取要求即使是一个纯IPv6网络也必须要求每个网络设备拥有IPv4地址。所以一个纯IPv6网络也必须规划IPv4地址〔仅需要网络设备互联地址和网络设备的LOOPBACK地址〕。3.5局域网平安设计3.5.1网络攻击DoS攻击－SynFloodingSynFlooding是目前常见的一种攻击类型，它将大大消耗被攻击设备的CPU、内存资源，从而不能提供正常的效劳。针对这种攻击的特点，从攻击预防、攻击定位和消除攻击三个方面分析：1、攻击预防上，SynFlooding攻击一般采用源地址伪装的攻击方式，可以在网络设备上开启uRPF功能，在网络边缘将攻击包过虑掉；2、攻击定位，在被攻击设备的前一跳设备开始，通过采用Netflow分析工具、ACLLOG或SourceTracker功能，逐跳查找攻击源。如果攻击源在本网络范围内，那么关闭其网络端口，消除攻击。3、攻击消除，在没有找到攻击源或无法找到攻击源〔攻击源不在本网络范围内〕的情况下，可以在被攻击设备前的设备上开启TCPIntercept功能，由网络设备承载一局部TCP的连接，减缓攻击对被攻击目标的影响。根据上文对TCPSynFlooding攻击防御的介绍，可以发现，攻击预防和定位对TCPSynFlooding攻击是最重要的。DoS攻击－Smurf〔ICMPFlooding〕攻击Smurf攻击一般采用的是源地址欺骗的方式，伪装的源地址为被攻击目标。1、攻击预防上，Smurf攻击一般采用源地址伪装的攻击方式，可以在网络设备上开启uRPF功能，在网络边缘将攻击包过虑掉；2、攻击定位，在被攻击设备的前一跳设备开始，通过采用Netflow分析工具、ACLLOG或SourceTracker功能，逐跳查找攻击源。如果攻击源在本网络范围内，那么关闭其网络端口，消除攻击。3、攻击消除，在发生攻击的网络设备上限制ICMP的流量，减轻Smurf攻击对攻击设备的影响。由于ICMP是检测网络连通性的工具，对ICMP包的过滤不会对网络应用造成影响。DoS攻击－UDPFlooding局部UDPFlooding攻击也采用源地址伪装的方式，因此在预防上与SynFlooding和Smurf攻击类似。1、攻击预防上，可以在网络设备上开启uRPF功能，在网络边缘将局部攻击包过虑掉；2、攻击定位，在被攻击设备的前一跳设备开始，通过采用Netflow分析工具、ACLLOG或SourceTracker功能，逐跳查找攻击源。如果攻击源在本网络范围内，那么关闭其网络端口，消除攻击。3、攻击消除，在发生攻击的网络设备上限制UDP的流量，减轻UDPFlooding攻击对攻击设备的影响。其他的网络攻击一般只涉及到网络信息平安，对网络本身没有影响，因此在这里不讨论。3.5.2网络病毒目前对网络造成大规模影响的网络病毒主要有：红色代码〔CodeRed〕、MicrosoftSQL病毒、NIMDA病毒、冲击波病毒等。下面对这些常见网络病毒的防御、消除方法进行介绍。红色代码病毒红色代码病毒是利用了Microsoft中的堆栈漏洞，病毒发作时向网络发送大量无用的数据包，造成网络拥塞影响网络性能。1、病毒预防方面，在网络中架设IDS或Netflow分析工具，当病毒发生时可以及时发现，采取行动。2、病毒定位，与定位DoS攻击类似，查找到病毒源可以有效的铲除网络病毒对网络的影响。采取的方式也与定位DoS攻击相似，采用Netflow分析工具、ACLLOG或SourceTracker等方法，查找到病毒源。3、消除病毒影响，除查找出病毒源的方法外，可以在网络设备上开启NBAR功能，判别病毒包，并将其过滤。在红色代码中，特征码为default.ida、cmd.exe、root.exe等，通过NBAR可以将含有这些关键字的数据包丢弃，防止病毒继续传播，从而起到消除病毒影响的作用。但真正消除病毒影响需要在PC和主机端采用杀病毒软件彻底去除病毒。NIMDA病毒NIMDA病毒是红色代码病毒的升级版，也是利用了Microsoft中的堆栈漏洞，病毒发作时向网络发送大量无用的数据包，造成网络拥塞影响网络性能。其预防、消除方式与红色代码病毒相同。MicrosoftSQL病毒SQL病毒是利用SQL的漏洞，病毒发作时发出大量SQL的查询包，并且很多包是组播类型，这将大大影响二层设备的性能。SQL病毒的防御比拟容易，只需要将SQL的查询包过滤掉即可。其特征为UPD数据包端口号为1434。同时需要定位病毒源，其方法也是通过Netflow分析工具、ACLLOG和SourceTracker等方式。冲击波病毒冲击波病毒与以上几种病毒相似，也是利用Microsoft的漏洞，病毒发作时产生大量的ICMP包，其现象类似ICMPFlooding的攻击。1、病毒预防方面，在网络中架设IDS或Netflow分析工具，当病毒发生时可以及时发现，采取行动。在网络中设置ICMP的速率限制，及时当网络中有病毒时，也不会对网络造成致命的影响。在网络设备上，阻断有冲击波病毒传播特征的数据包，预防病毒的传播。其特征为：udp端口号69、tcp端口号135、udp端口号135、udp端口号137、udp端口号138、tcp端口号139、udp端口号139、tcp端口号445、tcp端口号593、tcp端口号4444。2、病毒定位，采用Netflow分析工具、ACLLOG或SourceTracker等方法，查找到病毒源。3、消除病毒影响，除查找出病毒源的方法外，需要阻断但真正消除病毒影响需要在PC和主机端采用杀病毒软件彻底去除病毒。网络攻击和网络病毒的预防与消除需要在网络设备上开启一些根本功能来预防，当一些病毒发作时，需要采用相应的应对方式。但网络攻击和网络病毒种类不断更新，会出现各种各样的新病毒，这就需要韶关供电局与我们共同快速的响应，以最快的速度采用有效的方法将攻击与病毒的影响限制到最小。 3.5.3ARP欺骗攻击原理和防范攻击实例目前利用ARP原理编制的工具十分简单易用，这些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超过30种应用的密码和传输内容。下面是测试时利用工具捕获的TELNET过程，捕获内容包含了TELNET密码和全部所传的内容：不仅仅是以上特定应用的数据，利用中间人攻击者可将监控到数据直接发给SNIFFER等嗅探器，这样就可以监控所有被欺骗用户的数据。还有些人利用ARP原理开发出网管工具，随时可以切断指定用户的连接。这些工具极易使网络变得不稳定，通常这些故障很难排查。防范方法这些攻击都可以通过动态ARP检查〔DAI，DynamicARPInspection〕来防止，它可以帮助保证接入交换机只传递“合法的〞的ARP请求和应答信息。DHCPSnooping监听绑定表包括IP地址与MAC地址的绑定信息并将其与特定的交换机端口相关联，动态ARP检测〔DAI－DynamicARPInspection〕可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP)，确保应答来自真正的ARP所有者。Catalyst交换机通过检查端口纪录的DHCP绑定信息和ARP应答的IP地址决定是否真正的ARP所有者，不合法的ARP包将被删除。DAI配置针对VLAN，对于同一VLAN内的接口可以开启DAI也可以关闭，如果ARP包从一个可信任的接口接受到，就不需要做任何检查，如果ARP包在一个不可信任的接口上接受到，该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样，DHCPSnooping对于DAI来说也成为必不可少的，DAI是动态使用的，相连的客户端主机不需要进行任何设置上的改变。对于没有使用DHCP的效劳器个别机器可以采用静态添加DHCP绑定表或ARPaccess-l3.5.4防IP/MAC地址盗用和ARP中间人攻击防IP/MAC地址盗用DHCPSnooping技术是DHCP平安特性，通过建立和维护DHCPSnooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCPSnooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID接口等信息，DHCPSnooping绑定表可以基于DHCP过程动态生成，也可以通过静态配置生成，此时需预先准备用户的IP地址、MAC地址、用户所属VLANID、用户所属接口等信息。局域网交换机开启DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCPRequest或DHCPAck报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCPOffer报文，而不信任端口会将接收到的DHCPOffer报文丢弃。这样，可以完成交换机对假冒DHCPServer的屏蔽作用，确保客户端从合法的DHCPServer获取IP地址。防ARP中间人攻击DynamicARPInspection(DAI)在交换机上基于DHCPSnooping技术提供用户网关IP地址和MAC地址、VLAN和接入端口的绑定，并动态建立绑定关系。对于用户终端没有使用DHCP动态获取IP地址的场景，可采用静态添加用户网关相关信息的静态绑定表。此时局域网交换机检测过滤ARP请求响应报文中的源MAC、源IP是否可以匹配上述绑定表，不能匹配那么认为是仿冒网关回应的ARP响应报文，予以丢弃，从而可以有效实现防御ARP中间人/网关ARP仿冒欺骗攻击行为。3.5.5防IP/MAC地址扫描攻击防IP扫描攻击地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时，触发ARPmiss，使网络设备给该网段下的每个地址发送ARP报文，地址不存在的话，还需要发送目的主机不可达报文。如果直连网段较大，攻击流量足够大时，会消耗网络设备较多的CPU和内存资源，可引起网络中断。局域网交换机应支持IP地址扫描攻击的防护能力，收到目的IP是直连网段的报文时，如果该目的地址的路由不存在，会发送一个ARP请求报文，并针对目的地址下一条丢弃表项〔弃后续所有目的地址为该直连网段的ARP报文〕，以防止后续报文持续冲击CPU。如果有ARP应答，那么立即删除相应的丢弃表项，并添加正常的路由表项；否那么，经过一段时间后丢弃表项自动老化。这样，既防止直连网段扫描攻击对交换机造成影响，又保证正常业务流程的畅通。在上述根底上，交换机还应支持基于接口设置ARPmiss的速率。当接口上触发的ARPmiss超过设置的阈值时，接口上的ARPmiss不再处理，直接丢弃。如果用户使用相同的源IP进行地址扫描攻击，交换机还可以基于源IP做ARPmiss统计。如果ARPmiss的速率超过设定的阈值，那么下发ACL将带有此源IP的报文进行丢弃，过一段时间后再允许通过。防MAC地址扫描攻击以太网交换机的MAC地址转发表作为二层报文转发的核心，在受到攻击的时候，直接导致交换机无法正常工作。发生MAC地址攻击的时候，攻击者向攻击目标网络发送大量的源MAC地址不断变化以太报文，局域网交换机收到以太报文会基于报文的源MAC学习填充二层MAC转发表项，由于MAC地址转发表的规格有限，会因为MAC扫描攻击而很快填充满，无法再学习生成新的MAC转发表，已学习的MAC表条目需通过老化方式删除，这样途径局域网交换机大量的单播报文会因为按照目的MAC找不到转发表项而不得不进行播送发送，导致园区网络中产生大量的二层播送报文，消耗网络带宽、引发网络业务中断异常。交换机二层MAC转发表是全局共享资源，单板内各端口/VLAN共享一份MAC转发表，局域网交换机支持基于端口/VLAN的MAC学习数目限制，同时支持MAC表学习速率限制，有效防御MAC地址扫描攻击行为。MAC学习数目到达端口/VLAN上设置的阈值时，会进行丢弃/转发/告警等动作〔动作策略可定制、可叠加〕。另外通过局域网交换机的MAC地址与端口绑定来限制跨端口的MAC扫描攻击。3.5.6播送/组播报文抑制攻击者不停地向局域网发送大量恶意的播送报文，恶意播送报文占据了大量的带宽，传统的播送风暴抑制无法识别用户VLAN，将导致正常的播送流量一并被交换机丢弃。局域网交换机需要识别恶意播送流量的VLANID，通过基于VLAN的播送风暴抑制丢弃恶意播送报文而不影响正常播送报文流量转发。可基于端口或VLAN限制播送报文流量百分比或速率阈值。同时局域网交换机应支持组播报文抑制，可基于端口限制组播报文流量百分比或速率阈值。3.5.7DHCP欺骗攻击的防范采用DHCP管理的常见问题采用DHCPserver可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数，简化了用户网络设置，提高了管理效率。但在DHCP管理使用上也存在着一些另网管人员比拟问题，常见的有：DHCPserver的冒充。DHCPserver的DOS攻击。有些用户随便指定地址，造成网络地址冲突。由于DHCP的运作机制，通常效劳器和客户端没有认证机制，如果网络上存在多台DHCP效劳器将会给网络照成混乱。由于不小心配置了DHCP效劳器引起的网络混乱也非常常见。DHCPSnooping技术概述DHCPSnooping技术是DHCP平安特性，通过建立和维护DHCPSnooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。

通过截取一个虚拟局域网内的DHCP信息，交换机可以在用户和DHCP效劳器之间担任就像小型平安防火墙这样的角色，“DHCP监听〞功能基于动态地址分配建立了一个DHCP绑定表，并将该表存贮在交换机里。在没有DHCP的环境中，如数据中心，绑定条目可能被静态定义，每个DHCP绑定条目包含客户端地址〔一个静态地址或者一个从DHCP效劳器上获取的地址〕、客户端MAC地址、端口、VLANID、租借时间、绑定类型〔静态的或者动态的〕。根本防范为了防止这种类型的攻击，DHCP侦听〔DHCPSnooping〕功能可有效阻止此类攻击，当翻开此功能，所有用户端口除非特别设置，被认为不可信任端口，不应该作出任何DHCP响应，因此欺诈DHCP响应包被交换机阻断，合法的DHCP效劳器端口或上连端口应被设置为信任端口。DHCP侦听〔DHCPSnooping〕对于下边介绍的其他阻止ARP欺骗和IP/MAC地址的欺骗是必需的。首先定义交换机上的信任端口和不信任端口，对于不信任端口的DHCP报文进行截获和嗅探，DROP掉来自这些端口的非正常DHCP响应应报文，如以下图所示：3.6有线无线一体化网络设计网络的开展极大地推动了教育系统的信息化进程，各学校在大力建设有线网络的同时，也日益关注无线网络在校园的应用。同时，随着笔记本电脑的普以及无线局域网客户端适配器产品的价格逐步降低，更多的老师有能力拥有无线网络客户端产品。校园用户越来越要求尽可能方便、快速、移动式的使用网络，无线校园的建设正驶向快车道。设想一下，课堂上老师和学生可通过手持无线设备进行自由沟通和交流；奥运会比赛的时候，通过无线，全校所有师生可实时在校内任何地方看到赛事直播。这样一个美好的无线校园网的实现，需要一个强有力的无线网络来支撑，当前校园无线的规模越来越大，从覆盖范围看，无线从校园局部覆盖扩展到了整个校园内的覆盖，从无线AP的数量看，也从最初的几个开展到几十个甚至上百个AP。无线校园的建设对系统的平安性、稳定性、扩展性、管理性等各方面都提出了更高的要求。3.6.1无线校园网建设需求在无线校园网建设中，为了解决大规模部署情况下的统一配置、调整问题，以及射频的智能管理问题，现在学校无线校园建设普遍都采用了瘦AP建网模式。瘦AP的另一个好处是实现了三层漫游环境下防止重新认证，从而使漫游切换时间小于50ms。这对于校园移动业务，尤其是对切换时间要求最苛刻的语音业务意义重大。然而，随着无线校园网的开展，一些新的需求也逐渐变得越来越强烈。主要有以下几个方面：稳定问题：由于WLAN网络的组网设计包含无线控制器、接入交换机、无线接入点等大量设备，在大局部情况下，还需要通过以太网解决供电问题，所有这些环节都会影响校园无线网络的稳定性；同时由于无线信号的传播深受环境影响，多径等问题导致无线信号在不同方向上存在非常复杂的衰减现象，实际的信号覆盖和理想的信号衰减模型往往存在一定差异。所以如何实时根据环境动态调整无线接入点的信道、发射功率等也是经常困扰无线校园管理人员的难题。平安问题：由于无线网络的特殊性，校园无线用户的平安问题就更加突出。对无线校园网用户来说，所有有线网络存在的平安威胁和隐患都同样存在。同时，任何不可信的无线设备可以在信号覆盖范围内进行网络接入的尝试，一定程度上也加剧了无线用户所面临的平安隐患。无线校园的平安问题已经不再是单一的物理层平安，也包括了用户接入平安、网络层平安、设备平安、平安管理等多个层面上，如何能使校园无线用户在使用网络时能够像使用有线网络一样平安、可靠，正逐渐成为无线校园建设所关注的核心。管理问题：相对于FATAP来说，虽然FITAP解决方案帮助校园网管理人员实现了无线校园的灵巧安装与应用，但管理无线网络却仍然是一项非常耗时且麻烦的事情。在无线校园环境中尤为如此。传统的FITAP解决方案由无线控制器〔AC〕及无线接入点〔FITAP〕构成，虽然整个无线网络具有一些设备管理、平安管理功能和用户管理功能，但是与有线网络难于统一，无法在整个企业范围内实现用户管理及认证、效劳质量控制和平安策略实施等。因此，通常引入无线网络会降低平安性，整个网络管理起来比拟复杂，并且维护本钱也比预期高。把校园网络作为一个整体，整合有线和无线网络，实现统一的网络控制和管理，对于高校来说具有重要的意义。扩展问题：WLAN技术的开展日新月异，新技术、新标准层出不穷，除了呼之欲出的802.11n，在教育行业一个重要的门槛技术是IPv6。所有的无线产品和解决方案都要为未来的升级和应用做好准备。应用问题：随着WLAN技术的逐步成熟，市场上各种各样的WLAN终端如笔记本电脑、PDA、双模手机、支持Wi-Fi的游戏机、即拍即传的数码相机如雨后春笋般涌现出来，同时价格越来越低，普及程度越来越高，使得无线新业务在校园网中的丰富应用成为可能。如何在无线校园网络这个开放的平台上开展丰富的业务是建设者必须要考虑的问题。例如VoWiFi、无线监控等业务，解决了校园内部和校区之间通讯费用高、无线监控和无线多媒体教学的问题，让无线接入变得更有价值。3.6.2一体化无线校园网解决方案无线管理中心无线管理中心智能策略管理中心无线交换机运营管理中心室内型热点无线覆盖图书馆阅览室教室、办公室会议室/学术厅室外型热点无线覆盖运动场/操场迎新大道校园干道有线骨干网PoE供电接入无线业务应用移动数据业务Wi-Fi语音漫游一体化无线校园解决方案有效实现了有线和无线网络的融合，通过统一的硬件平台、统一的网络管理、统一的用户管理、统一的应用平安，为学校用户提供平安的无线接入。根据用户需求，通过在华为交换机中参加无线控制器插卡，就可为原有的有线校园网络提供无线支持，还可以像扩展和管理传统有线网络一样，对无线网络进行扩展和管理。华为S7700交换机的无线控制器每个模块可以接入640个FITAP，支持2万个无线客户端设备，并可以通过增加模块，提升系统整体处理能力，最大可以支持7000个以上的FITAP及数十万的无线客户端。稳定的一体化无线校园系统方案：稳定性解决方案从无线控制器的可靠性，接入交换机供电的可靠性、无线信号的可靠性这几方面入手，极大的提高了WLAN网络的可靠性；在实际的使用情况来看，启用这些措施之后，WLAN的可靠性能够得到明显的提升。无线控制器N+1冗余备份：无线控制器产品支持AC之间的N+1备份，以下通过介绍AP选择接入的AC过程来说明AC间的备份；AP在发现AC的过程中，会向AC发送接入请求报文；AC在收到接入请求后，会向AP发接入回应报文，其中包含了该AC上的负载信息〔AC允许接入的最大AP数，当前接入的AP数，允许接入的最大STA数，当前接入的STA数〕，和AP在此AC上的接入优先级；AP在接收到AC的回应报文后，会选择接入优先级高的AC接入。如果优先级相同，那么根据AC的接入负载情况来判断；AP通过比拟各AC上〔允许接入的最大AP数-当前接入的AP数〕，并选取值最大的AC接入。如果此值相同，那么根据当前接入AC的无线用户数判断；AP通过比拟各AC上〔允许接入的最大STA数-当前接入的STA数〕，并选取值大的AC接入。如相等，那么随机接入；通过CAPWAP隧道的心跳机制，AP可及时发现控制器DOWN，同时根据上述方法重新选择一个负载轻的AC接入，从而实现AC的N+1备份。实时无线资源管理实时无线资源管理解决方案提供了实时闭环的无线资源管理，包括了如下步骤：扫描每个接入点启动后，通过CAPWAP协议与无线控制器建立隧道，并从无线控制器获取根本的配置。无线控制器负责协调网络中的无线接入点执行扫描过程。通过定期的信道扫描，系统能够分析和了解信道的质量、干扰情况、邻居接入点的分布等。分析无线控制器将对无线接入点定期上报的数据进行聚合分析。这些数据包括：干扰：其他工作在802.11频段的无线网络对无线介质的影响。噪音：非802.11信号，如雷达、蓝牙、无绳电话、微波等等对信号的影响。丢包率：包过失率〔由于隐藏的节点或信号变形〕信道负载：用来衡量媒介的繁忙程度。有效信号强度：在一定时间内观察到的每个邻居的信号强度和整个信道的平均信号强度。这些数据将帮助无线控制器构建无线网络的完整视图，为管理控制提供决策数据。决策利用前期分析的数据，无线控制器将采用智能的算法对射频资源进行优化和调整，以适应无线环境的变化。系统使用了优化的信道和功率选择算法、加权判断以及抑制限度，自动评估资源调整的影响，能够确保系统的控制是可靠的。执行无线控制器将新的发射功率，信道分配等决策发送到接入点，接入点负责使能这些配置。系统提供了两种控制模式：参考模式和立即模式，增加了系统使用的灵巧性。参考模式下，系统不进行实际的控制策略执行，只是给出建议的功率、信道的设定值，管理员可以决定是否执行这些配置，确保了用户控制的灵巧性。立即模式下，将根据系统计算出的信道等参数进行立即的设置。上述过程是闭环过程，一旦配置下发以后，控制器将持续监视网络环境。任何无线环境的变化与波动都会被定期记录下来，为下一轮的优化作准备。全面的PoE解决方案PoE设备的原理是通过非屏蔽双绞线中四对线中的两对线来传输电源，传输数据的同时传输直流电。因为AP往往要求使用不间断电源〔UPS〕供给电力，采用PoE设备，AP端仅仅通过一根RJ-45网线与网络连接即可以同时传输数据和电力，因此在使用PoE设备的情况下，所有的AP都使用一个UPS在PoE设备端进行保护。如果不使用PoE设备，就需要给每个AP配一个UPS，而且还需要在AP附近安装电源插座，增加了本钱。因此使用PoE设备将大大降低设备本钱和管理本钱。PoE具有非常明显的优势，具体如下：简化安装，降低本钱，不需为每个网络设备单独提供数据和电力线缆。灵巧性提高，网络装置可被安装在任何位置，而不需靠近一个已存在的电源输出口。可靠性增强，有SNMP能力的PoE装置，可实施远程检测和控制，能有效地处理或修理装置的耗电量和〔或〕失效故障。平安的一体化无线校园系统方案：一体化无线解决方案在遵循IEEE802.11i协议和国家WAPI标准的根底上，创新性的提出了分层的平安体系架构，将WLAN的平安从单一的物理层平安延伸到了物理层平安、用户接入平安、网络层平安、设备平安、平安管理多个层面上，使用户在使用WLAN网络时能够像使用有线网络一样平安、可靠。无线产品的物理平安：所采用的无线产品支持以下的加密机制：WEP加密、TKIP加密、CCMP加密、WAPI加密。其中，WAPI采用国家密码管理委员会办公室批准的公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法，分别用于WLAN设备的数字证书、证书鉴别、密钥协商和传输数据的加解密。在无线设备平安方面，华为的FITAP提供“零配置〞功能，在设备上不保存业务配置，而是每次启动的时候从无线控制器动态加载业务配置，这样可以有效防止设备丧失造成配置泄漏。无线用户平安：通过用户接入认证实现了对校园无线接入用户的身份认证，为网络效劳提供了平安保护。所采用的华为无线接入认证主要有802.1x接入认证、PSK认证、MAC接入认证以及在有线校园网中常用的portal认证等。通过和认证效劳器配合，华为的无线设备支持对认证用户动态下发带宽、VLAN、ACL、优先级等参数，对于不同的用户群和业务可以控制其访问网络的权限，限制网络资源的使用，通过VLAN和优先级来标识用户和业务，并做到业务隔离。3.6.3VLAN规划管理vlan每个AP设置一个管理VLAN，管理VLAN应与业务VLAN区分开来。用户vlan从平安性的角度考虑，上网业务有必要通过每AP每VLAN进行用户间的平安隔离，因此建议每AP一VLAN的方式进行规划。3.6.4无线平安性设计WLAN终端认证IEEE802.11标准要求WLAN终端在准备连接到网络时，必需进行“身份验证〞。WLAN终端身份认证主要有两种方式：开放系统认证〔Open-systemAuthentication〕和共享密钥认证〔Shared-KeyAuthentication〕。开放系统认证是IEEE802.11标准要求必备的一种方法，是最简单的认证算法，即不认证。如果认证类型设置为开放系统认证，那么所有请求认证的客户端都会通过认证。在这种方式下，接入点并未验证工作站的真实身份，工作站以MAC地址作为身份证明，这种验证方式可以让所有符合802.11标准的终端都可以接入到WLAN网络中来。开放系统身份验证比拟适合有众多用户的电信运营WLAN网络。共享密钥式认证必需使用加密方式，要求每个WLAN终端都镜头配置和AP完全一致的密钥〔key〕。由于配置工作量较大，一般适用于企业网、校园网及家庭网络等。二者比照方下：认证方式优点劣势适用场景开放式系统认证部署简单，终端接入速度快，有效带宽高平安性差：无法检验客户端是否合法，任何知道无线局域网SSID的用户都可以访问网络电信运营网络共享密钥式认证平安性较高：采用了加密方式对密钥进行保护，空口密钥数据不再明文传输配置复杂，可扩展性不佳：每台终端和AP上都需要静态配置一个很长的密钥字符串有效带宽较低：加密降低了传输效率企业网、校园网及家庭网络等用户身份验证相对于简单的STA身份验证过滤机制，链路层用户身份验证的平安性大大提高。通过提供有限的访问权限来验证用户身份，只有确定用户身份后才给予完整的网络访问权限，可有效判别用户的合法性。链路层身份验证时透明的，能配合任何网络层协议使用。WLAN的链路层身份验证主要有Portal(DHCP+WEB)、802.1X、PPPoE、WAPI等几种认证方式。组网保护华为AC产品接口丰富，支持LACP〔LinkAggregationControlProtocol，以下简称LACP〕和MSTP〔MultipleSpanningTreeProtocol，以下简称MSTP〕等组网保护机制，可提供端口级冗余保护，及设备级1+1快速备份。接入平安方案华为AC均支持开放系统认证、WEP加密、共享密钥认证、WPA/WPA2认证合加密、WAPI认证加密等无线接入平安特性。特性指标WLAN平安模板管理支持通过WLAN平安模板管理认证和加密方式。支持平安模板绑定到ESS模板。最多支持256个AP配置模板。OPEN-SYS方式认证支持“OPEN-SYS认证+无加密〞方式。WEP认证加密支持WEP的认证/加密方式。每个AP最多支持4个WEP加密方式的VAP。WEP认证加密在AP实施，认证结果通知AC。WPA/WPA2认证加密支持AC集中认证方式。支持“WPA/WPA2-PSK+TKIP〞的认证/加密方式。支持“WPA/WPA2-PSK+CCMP〞的认证/加密方式。支持“WPA/WPA2-802.1x+TKIP〞的认证/加密方式。支持“WPA/WPA2-802.1x+CCMP〞的认证/加密方式。WAPI认证加密支持AC集中式WAPI认证。支持WAPI多信任证书方式〔3证书〕，兼容传统双证书方式。支持证书和私钥合一的发放方式。支持WAPI加密的启用/禁用。3.6.5移动漫游设计无线用户移动漫游，涉及到多个层次的漫游，最为简单的是二层漫游，其他厂家产品都表现不错，三层漫游就困难多了，还有当用户跨越多个域时怎样无缝漫游，华为无线局域网可以实现快速无缝漫游功能。L2/L3层漫游在传统的无线局域网内，无线终端要跨越不同AP之间漫游是有一定的困难，因为不同AP之间，它的无线用户IP子网可能都不是在同一个VLAN内。所以当无线终端从一个AP漫游到另一AP时，由于它们之间的缺省IP子网不同，无线终端会重新发出DHCP请求，这样的话终端的IP地址就会更新，所有在原先AP建立的连接都会被切断。过去为了解决跨越三层的漫游，有些用户采用了MobileIP的技术，但MobileIP的缺点是它必须在无线终端安装软件。这是一般网络管理人员不愿意做的事情，因为它们就必须支持和维护用户的无线接入端。通过华为无线系统，可解决了跨越不同三层IP子网的无线漫游问题。在不同域之间的用户认证和漫游在大型网络内，一般都有很多不同的部门，部门内通常都有自己的用户数据库，即所谓的本地认证效劳器。在实现应用时，要求有单一的认证数据库是未必可行的，但同时无线用户应是可在内无缝漫游。当用户不是在本地入网或是从一个部门的接入点漫游到另一部门的接入点需要重新认证时，如果用户名和密码在当地的数据库是不存在的话，那么用户会被断线。要做到真正的无缝漫游，那么需要有支持Radius代理这样的功能。但由于不是所有的认证效劳器都支持这种功能所以在具体实施时也有一定的困难。华为本身就可提供不同域之间的认证功能，域名可以与SSID绑定，亦可以让用户在登陆网页时输入或选择域名。华为会把在不同域之间的认证请求转发到对应这域的radius效劳器处理。3.7华为网络产品的优势3.7.1高可靠性和可维护性华为S7700系列交换机支持单板热插拔