文档-项目一-资源1-职业技术学院新校区网络解决方案

星湘职业技术学院新校区网络解决方案湖南工业职业技术学院网络技术专业教学资源库PAGE1目录1. 建设背景 12. 网络拓扑结构 13. 校园交换网络解决方案 23.1 有线交换网络设计 23.1.1 核心层设计 33.1.2 汇聚层设计 73.1.3 接入层设计 103.2 无线交换网络设计 113.2.1 无线AP 133.2.2 无线控制器 153.2.3 POE供电交换机 184. 网络出口设计 185. 认证计费系统 266. 网络管理系统 306.1锐捷网络ITIL运维管理服务 316.2 IT监控管理系统 326.3网络资源管理 33湖南工业职业技术学院网络技术专业教学资源库PAGE33星湘职业技术学院新校区网络解决方案建设背景星湘职业技术学院设置有汽车工程学院、机械工程系、电气工程系、信息工程系、经济贸易管理系、现代艺术设计系和商贸旅游系等7个院系，开设有汽车运用、数控技术、机械制造与自动化、计算机网络技术培训等38个专业，建有国家级职业技能鉴定所和再就业培训基地。在校学生近15000人，教职员工1200余人。学院建设发展步入了快车道，到2014年，一座投资8亿元，占地850亩，建筑面积40万平方米的现代化校园将建立于星湘先导区，学院将建立成理念一流，管理一流，专业一流，师资一流，质量一流的省内外有影响力的高职院校。网络拓扑结构图1新校区网络拓扑结构拓扑描述本次新校区综合网络设计使用功能分区设计。如图分为高速安全出口区、网络运维管理区、核心交换区、应用承载服务区、外设区、有线和无线交换接入区。高速安全出口区：主要建设有防火墙，流量控制，网络出口引擎三种设备组成，防火墙主要负责网络出口安全功能、流量控制主要负责上网流量分类，管理功能、网络出口引擎主要负载高速路由转发，智能选路功能。外设区：外设区主要功能是学校附加应用功能，新校区将部署热点缓存，文件共享柜等设备。核心交换区：核心层负责整个学校网络的数据交换，同时也是整个网络的路由交换中心，。本次设计使用双核心，组建核心虚拟化，形成双核心两两互备，负载均衡的强大功能。确保网络核心无单点故障。以增强整体网络的容错和故障隔离能力。网络运维管理区：根据校方需求，分别配置认证计费系统和网络管理系统。认证计费是对接入网络的用户进行认证并根据校方不同需求进行计费。网络管理系统是对网络中所有硬件设备进行统一集中管理，配置网络拓扑，简单明了定位故障。应用承载服务区：根据新校区应用软件的需求，配置3台应用服务器组建虚拟化系统为大小应用分配合理资源，配置2台数据库服务器，配置后端光纤存储网络以及光纤存储用于数据高速存储。同时配置一台备份设备，用于保护重要数据。有线和无线交换网络接入区：根据每栋楼信息点位的多少配置24口或者48口百兆接入交换机，同时配置千兆汇聚交换机，形成网络交换系统。同时实现全校无线全网覆盖。实现百兆桌面，千兆汇聚，万兆主干。校园交换网络解决方案有线交换网络设计有线网络交换系统设计的基础是全校信息网络信息点统计数据。本次根据对学校实际信息统计为基础，考虑后续扩容空间，整体规划交换网络为三层架构：核心层，汇聚层，接入层。总体思想：接入层负责全校所有信息点接入，包括有线接入和无线接入，具体分布根据信息统计表为准。汇聚层负责楼栋信息点汇聚，负责与核心交换机相连。核心层主要负责整体网络数据快速，稳定传输。实现百兆桌面，千兆汇聚，万兆骨干。本次新校区建设规划楼宇有：实训楼（汽车工程学院、系机械系、电气工程系、现代设计艺术系、经济管理系、信息工程系、商贸旅游系）、学生活动中心、现代教育技术中心、图书馆及办公楼、公共教学楼4栋、体育馆、学生食堂、学生宿舍12栋。每栋建设的信息点通过接入交换机汇聚到楼栋汇聚交换机，在由楼栋汇聚交换机光纤双链路上联到核心交换机，形成新校园网络交换系统。如图2所示。图2新校区有线交换网络设计核心层设计网络核心交换设备的稳定和安全是整个网络交换的重点，因此核心交换机必须具备优良的性能和高可靠性，必须采用超大交换容量的交换背板，以保证任何情况下网络的每个端口均可具备全线速多层交换能力，能够保证传输带宽和数据传输优化等关键应用，从而为整个网络提供稳定和快速的基础。充分考虑设备冗余、路由冗余、链路冗余等技术，充分保障网络系统稳定性。通过2台10万兆平台的高性能核心交换机构建全冗余支持100G骨干网络架构。各区域汇聚设备采用万兆线路连接到骨干网络设备上，并可在将来扩充为多条万兆链路捆绑的方式，增大区域和骨干网络之间的带宽。实现校内万兆骨干网络、千兆到楼宇、百兆到桌面的新一代校园网络架构。在两台10万兆核心之间使用VSU虚拟化的部署方式，实现内部各系部网络的负载均衡和失效冗余，并且当内部网络发生故障时，通过双链路可以实现快速恢复，故障恢复时间达到毫秒级。从而可以达到构建高速、高效、稳定校园网络的目标。本次配置锐捷12000系列交换机，如图3所示。单台配置双电源，单引擎，万兆接口卡，千兆接口卡等。同时两台核心交换机组建核心虚拟交换系统，提高整体交换性能，确保核心高稳定，高可靠。锐捷12000系列交换机具备特性如下：统一交换，融合存储与以太网RG-S12000CloudComputing系列面向下一代数据中心与云计算的交换机产品线可为服务器提供FCoE（FibreChanneloverEthernet）接入和以太网接入服务，从而帮助用户轻松整合异构的存储网和数据网，减少网络中的设备数量，既能真正实现数据中心网络架构的融合，又能充分保护用户既有投资。图3RG12000交换机外观构建无阻塞数据中心CLosNetwork全线面向下一代数据中心与云计算的交换机产品线均为线速产品，符合数据中心流量“东西走向”的发展趋势，适用于大流量的下一代数据中心。RG-S12000CloudComputing系列（核心）+RG-S6200系列(万兆接入)+RG-S6000（千兆接入）系列构建从接入到核心真正无阻塞的数据中心网络（ClosNetwork，起源：贝尔实验室Clos先生设计，用于电话网络，实现无阻塞交换。ClosNetwork的真正含义是实现整网的无阻塞，而非单一的基于某个产品的无阻塞。）RG-S12000CloudComputing系列在业内率先支持40G和100G标准模块，将40G/100G真正落地，帮助用户组建面向云计算的新一代数据中心无阻塞交换网络。全面的数据中心虚拟化特性支持业界领先的VSU2.0虚拟化技术，将多台物理设备虚拟化为一台逻辑设备，统一运行管理，大幅减少网络节点，降低网络运维管理人员工作量。增加网络可靠性，实现50~200ms链路故障快速切换，保障关键业务不中断传输。支持跨设备链路聚合，方便接入服务器/交换机实现双活链路上联，网络有效连接带宽成本增长。锐捷网络还对已成熟应用的VSU虚拟化技术进行大幅技术升级：所有高性能接口线卡上都集成了专用VSU硬件处理电路，并具备建立VSL（VirtualSwitchLink，虚拟交换链路）能力，提升用户选配设备灵活性；VSL最大链路带宽达到2.56T，高居业界第一，彻底消除虚拟交换成员间带宽瓶颈。支持VRF虚拟化特性，实现数据中心网络一变多，保障多业务安全隔离。支持IEEE802.1qbg标准定义的VEPA（VirtualEthernetPortAggregator，虚拟以太网端口聚合），能够将服务器虚拟机产生的数据流牵引到物理网络设备上进行“硬交换”，让虚拟机交换功能重新回归到网络设备，既解决了虚拟机流量无法监管、访问控制策略无法统一部署等问题，又消除传统“软交换”对服务器资源的占用，使下一代数据中心网络解决方案更好适应虚拟化计算环境。支持虚拟机感知及安全策略自动迁移，有效实现大规模服务器虚拟化应用环境中虚拟机流量的安全控制策略统一部署，并通过数据中心网络管理平台配合数据中心交换机、虚拟机管理控制平台，实现虚拟主机全网范围内自由迁移时对应安全控制策略的同步迁移，消除服务器虚拟化环境中网络安全漏洞，减少网络维护工作量。构建TRILL透明交换网络，为虚拟化云计算奠定基础成长中的数据中心至少要面临三个网络方面的挑战：更大的带宽、更灵活的组网和更简单的管理。IETF最新制定的TRILL（TransparentInterconnectionofLotsofLinks，多链接透明互联）标准协议，便一举解决了这三个问题。TRILL引入类似IS-IS的路由机制，二层数据报文按最短路径转发，并引入TTL消除网络内二层环路，大幅增加网络稳定性。数据中心内使用TRILL协议实现超大规模二层组网，可提升用户业务部署灵活性，并扩大虚拟机迁移范围。TRILL组网下，所有数据流量基于SPF及ECMP实现快速转发，解决传统STP协议中存在的次优路径问题，并且不阻塞任何端口，带宽利用率提升至100%。包括RG-S12000系列在内，锐捷网络全线新一代数据中心与云计算交换机产品均硬件芯片支持TRILL协议，全线产品通过TRILL协议通讯，可有效简化网络设计，提高网络可扩展性和弹性，并为构建一个大型的虚拟化云计算网络奠定基础。绿色环保设计RG-S12000系列支持对电源的智能管理功能，并采用了高效的电源系统架构设计（DC-DC电源转换模块）实现高达95%的电源转换效率有效节能。独有的电源监控功能，保证用户可根据实际使用状况按需安装电源；可以支持单板顺序上电（降低单板同时上电带来的电源冲击，提高设备寿命，降低电磁辐射），可以控制单板下电，隔离故障/空闲单板，降低系统功耗。智能风扇设计风，采用高效的温控调速调速风扇，支持无级调速。系统可以自动收集单板温度，根据设备实际情况计算风扇调速曲线，并将调速命令下发到风扇框。系统支持风扇状态监控（转速监控、故障告警等）可以根据环境温度、单板配置自动分区调速，降低设备功耗和运行噪声，有效降低环境噪音并延长风扇寿命。RG-S12000系列支持能效以太网功能，遵守国际标准的IEEE802.3az，为用户减少电源消耗。同时还支持内部端口的自动检测，当某槽位未配置接口板时，或者端口未连接线缆时候，系统可以自动关闭相应的内部端口，节省了整机功耗。采用超低功耗芯片，数据中心交换机系列交换机在芯片选择时，大都采用65nm工艺设计的芯片，相比传统交换机，节省20%以上的能耗。RG-S12000系列支持内部端口的自动检测，当某槽位未配置接口板时，或者端口未连接线缆时候，系统可以自动关闭相应的内部端口，节省了整机功耗。采用超低功耗芯片，数据中心交换机系列交换机在芯片选择时，大都采用65nm工艺设计的芯片，相比传统交换机，节省20%以上的能耗。电信级可靠性保护1.无单点故障设计采用无源背板避免机箱出现单点故障；所有关键器件，如引擎、电源、风扇和Crossbar等均采用冗余设计；双引擎切换时实现万兆数据业务不中断转发，有效保证网络稳定。所有单板和电源模块支持热插拔功能，并且对其它单板上运行的业务无影响。支持电源冗余，支持内置冗余电源模块和模块化风扇组件，所有接口板，电源模块以及风扇模块均可以热插拔而不影响设备的正常运行。此外整机还支持电源和风扇的故障检测及告警，可以根据温度的变化自动调节风扇的转速，更好的适应数据中心的环境。还具备设备级和链路级的多重可靠性保护。采用过流保护、过压保护和过热保护技术。2.弹性以太网技术RG-S12000CloudComputing系列支持RERP技术（快速以太网环保护协议），融合了SDH故障自愈的高可靠性与以太网的经济性、高带宽等优势，在RERP网络上扩展支持IPv4/IPv6路由协议、MPLS功能，可以保障万兆线速业务情况下小于50ms的故障切换时间，保证语音、视频等实时业务不受网络收敛影响。RG-S12000CloudComputing系列支持REUP技术，在扩展支持IPv4/IPv6路由协议、MPLS功能的情况下，保证双链路上联网络拓扑的业务毫秒级快速切换。当网络上承载多业务、大流量的时候也不影响网络的收敛时间，保证业务的正常开展。3.路由协议的高可靠保障RG-S12000CloudComputing系列支持OSPF/IS-IS/BGP的优雅重启技术（GracefulRestart），提供毫秒级的切换时间；支持ECMP/WCMP，可帮助用户使用多条链路，不仅增加了传输带宽，并且可以无时延无丢包地备份失效链路的数据传输，实现流量的负载均衡及冗余备份；支持动态路由协议、跨板端口聚合、虚拟路由冗余协议（VRRP）等保护机制，有效保证全网高速可靠运行。全面的IPv6解决方案RG-S12000CloudComputing系列线卡分布式实现IPv6业务硬件处理，支持万兆IPv6业务线速转发。全面支持IPv6协议族及编址结构，支持ND（邻居发现）、ICMPv6、PathMTUDiscovery、DNSv6、DHCPv6等IPv6特性。RG-S12000CloudComputing系列全面支持IPv6静态路由、RIPng、OSPFv3、BGP4+等IPv6单播路由协议，支持MLDv1/v2、MLDSnooping、PIM-SMv6等IPv6组播特性，为用户提供完善的IPv4/IPv6解决方案。RG-S12000CloudComputing系列支持丰富的IPv4向IPv6过渡技术，包括：IPv6手工隧道、自动隧道、6to4隧道、ISATAP隧道等隧道技术，保证IPv4网络向IPv6网络的平滑过渡。RG-S12000CloudComputing系列支持丰富的IPv6管理特性，支持SNMPv6、Ping/Traceroutev6、IPv6TACACS+/RADIUS、Telnet/SSHv6、NTPv6，满足纯IPv6网络设备管理的需要。IPFIX流量透明化方案RG-S12000CloudComputing系列交换机在业内率先支持最新一代国际流量监控标准IPFIX（IPFlowInformationExport），符合国际标准发展趋势，并向下兼容Netflowv9。IPFIX多业务模块采用高性能的NP平台，支持万兆业务流量的监控。结合锐捷流量分析系统，IPFIX技术可以对网络中的所有流量进行统计分析和异常检测，输出各种丰富的网络流量分析报表，包括：流量使用报表、历史报表、接口报表、可解析的主机地址、流量分析、变量显示等信息，能够帮助管理员在网络异常行为发生时快速分析出网络中存在的问题，为网络容量规划、网络应用监控以及故障诊断等提供客观准确的决策依据，实现真正的网络流量可视化。IPFIX多业务模块作为独立业务灵活扩展到锐捷交换机中，采用独立的硬件平台，保证在多业务模块进行维护或故障的情况下，核心设备数据业务正常转发，保证了核心设备的高可靠。应用数据安全防护锐捷网络防火墙模块是业内第一款真正的超万兆高性能防火墙模块，可应用于RG-S12000CloudComputing系列交换机。集成了防火墙、应用安全域、虚拟防火墙和NAT地址转换等一系列功能，将网络与安全设备进行真正的融合，提升了核心交换的安全控制能力，为用户的业务结合其网络提供全面的安全防护。锐捷网络防火墙模块能提供外部攻击防范、内网安全、状态检测等功能有效的保证网络的安全。实时检测各种网络业务连接状态，并提供邮件告警、攻击日志、流日志和网络管理监控等功能，协助用户进行网络管理。其产品与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了维护成本。汇聚层设计汇聚层是楼栋的信息汇聚点,是连接接入层和核心层的网络设备,为接入层提供数据的汇聚\传输\管理\分发处理，汇聚层为接入层提供基于策略的连接，如地址合并,协议过滤,路由服务，认证管理等。通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层.汇聚层同时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定。汇聚交换机需要提供高密度的GE光\电接口，汇聚接入交换机的流量，上行支持万兆，通过10GE接口连接到核心交换机。同样汇聚交换机采用链路聚合技术将光接口进行捆绑，然后分别连接核心交换机和接入交换机。在每个楼栋汇聚节点部署一台汇聚交换机，每台汇聚交换机通过2条万兆单模光纤分别上行连接至2台核心交换机，实现单台双万兆上行，即通过2条光纤进行链路备份，同时通过核心、汇聚端到端的链路聚合技术将上行双万兆链路捆绑，带宽倍增，减少网络收敛比。汇聚交换机至各区域接入交换机采用千兆双绞线互联。同时每台汇聚交换机配置双电源，确保楼栋汇聚交换稳定工作。本次新校区汇聚交换机使用锐捷RG-S5750-E系列。如图4所示。图4RG-S5750-E系列交换机外观RG-S5750-E系列交换机是锐捷网络推出的融合了高性能、高安全、多业务的新一代三层交换机。全千兆的端口形态，加上可扩展的高密度万兆端口，提供1：1全线速多层交换，特别适合高带宽、高性能和灵活扩展的大型网络汇聚层，中型网络核心，以及数据中心服务器群的接入使用。业界领先的虚拟交换单元技术（VirtualSwitchUnit），可以简化您对网络的管理，提升您网络架构的稳定性。不仅如此，RG-S5750-E系列出众的安全性能和丰富的防攻击功能，全方位的保障您的网络安全，为您带来非凡的极速网络体验。同时满足不同楼栋接入交换机连接汇聚交换机的接口需求和接口类型需求。特性如下：高性能万兆端口为“千兆汇聚，万兆核心”提供可能，适应了网络应用高速发展，网络带宽不断增加的需要。而万兆端口的可扩展性既方便用户现在使用万兆网络，也方便用户后续升级网络到万兆。IPv4/IPv6双协议栈多层交换硬件支持IPv4/IPv6双协议栈多层线速交换，硬件区分和处理IPv4、IPv6协议报文，可根据IPv6网络的需求规划网络或者维持网络现状，提供灵活的IPv6网络通信方案。支持丰富的IPv4路由协议，包括静态路由、RIP、OSPF、BGP4等，满足不同网络环境中用户选择合适的路由协议灵活组建网络。支持丰富的IPv6路由协议，包括静态路由、RIPng、OSPFv3、BGP4+等，不论是在升级现有网络至IPv6网络，还是新建IPv6网络，都可灵活选择合适的路由协议组建网络。灵活完备的安全策略具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防DoS攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略等，还网络一片绿色。支持基于硬件的IPv6ACL，即使在IPv4网络内有IPv6用户，也可轻松在网络边缘实现对IPv6用户的访问控制，既可允许网络内IPv4/IPv6用户并存，也可以对IPv6用户的访问权限进行控制，比如限制对网络敏感资源的访问等。业界领先的硬件CPU保护机制：特有的CPU保护策略（CPP技术），对发往CPU的数据流，进行流区分和优先级队列分级处理，并根据需要实施带宽限速，充分保护CPU不被非法流量占用、恶意攻击和资源消耗，保障了CPU安全，充分保护了交换机的安全。硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定，严格限定端口上的用户接入或交换机整机上的用户接入问题。支持DHCPsnooping，可只允许信任端口的DHCP响应，防止私设DHCPServer的欺骗；并在DHCP监听的基础上，通过动态监测ARP和检查用户的IP，直接丢弃不符合绑定表项的非法报文，有效防范ARP欺骗和用户源IP地址的欺骗问题。基于源IP地址控制的Telnet设备访问控制，避免非法人员和黑客恶意攻击和控制设备，增强了设备网管的安全性。SSH（SecureShell）和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备。控制非法用户使用网络，保证合法用户合理化使用网络，如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。强大的多业务支撑能力支持IPv4、IPv6组播功能，包含丰富的组播协议。比如IGMPSnooping、IGMP、MLD、PIM、PIMforIPv6、MSDP等协议族，为IPv4网络、IPv6网络、IPv4和IPv6共存的网络提供了组播服务支持。支持IGMP源端口和源IP检查功能，有效地杜绝非法的组播源，提高网络的安全性。支持等价路由（ECMP）等丰富的三层特性和业务特性，满足不同网络链路规划下的通信需要。支持丰富的MPLSVPN功能。智能侦测MPLS断网，智能选择冗余线路保持MPLSVPN的连通性。支持在三层MPLSVPN中作为PE，MVRF使用。支持国际流量监控标准IPFIX（IPFlowInformationExport），结合锐捷流量分析系统，IPFIX技术可以对网络中的所有流量进行统计分析和异常检测，输出各种丰富的网络流量分析报表，包括：流量使用报表、历史报表、接口报表、可解析的主机地址、流量分析、变量显示等信息，能够帮助管理员在网络异常行为发生时快速分析出网络中存在的问题，为网络容量规划、网络应用监控以及故障诊断等提供客观准确的决策依据。完善的QoS策略具备MAC流、IP流、应用流等多层流分类和流控制能力，实现精细的流带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务。以DiffServ标准为核心的QoS保障系统，支持802.1P、IPTOS、二到七层流过滤、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑。高可靠性支持生成树协议802.1D、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率。支持VRRP虚拟路由器冗余协议，有效保障网络稳定。支持RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接Hub等设备形成的环路而导致网络故障的现象。支持ERPS（G.8032），国际标准为核心以太网设计的二层链路冗余备份协议，其环路阻断以及链路恢复都集中在主控设备上进行,非主控设备直接向主控设备汇报自己的链路情况,无需经过其他非主控设备的处理,因此环路中断以及恢复时间比STP快。基于以上区别,ERPS在理想环境下的链路恢复能力能够达到百毫秒级。在不启用STP的情况下，可以通过REUP(RapidEthernetUplinkProtectionProtocol)提供一个快速上链保护功能，REUP使得用户在关闭STP的情况下，仍提供基本的链路冗余，同时提供比STP更快的毫秒级故障恢复。支持BFD，为各上层协议如路由协议，MPLS等提供一种快速检测两台路由设备之间转发路径连通状态的方法，大大减少了上层协议在链路状态变化时的收敛时间。接入层设计接入区主要是负责本校区内的信息点互联起来，为各个信息点提供layer2层接入功能。使用百兆接入的全网管交换机，实现百兆用户到桌面。接入层主要完成以下功能：结合webportal认证系统，部署802.1.X协议，实现“入网身份认证，也可升级实现主机健康检查、网络安全事件监控与主动防御”。通过VLAN定义实现业务划分。实现QoS，对数据包进行分类和标记。接入网设备全部采用百兆链路上连汇聚设备，以保证接入网连接汇聚网的带宽要求。接入网作为用户终端接入校园网的接口，在为用户终端提供高速、方便的网络接入服务的同时，需要对用户终端进行入网认证、访问行为规范控制，从而拒绝非法用户使用网络，保证合法用户合理使用网络资源，并有效防止和控制病毒传播和网络攻击。当前的数据网安全正遭受严峻挑战，病毒、外部入侵（黑客）、拒绝服务攻击、内部的误用和滥用，以及各种灾难事故的发生，时刻威胁着网络的业务运转和信息安全。但与此同时，大多数正在使用的网络安全系统都缺乏真正的全局防护能力。当网络受到来自各方面的攻击时，整个网络系统的稳定性将无从谈起，可以看出，计算机网络的安全防护能力是影响网络系统稳定可靠性的重要因素之一，网络设备作为网络系统的基础平台，其安全防护能力显得尤为重要，尤其是接入层交换机。所以本次设计交换机具备安全功能如图5所示。图5RG-S2600G-I系列接入交换机设计为锐捷百兆RG-S2600G-I24口百兆接入交换机：RG-S2628G-I48口百兆接入交换机：RG-S2652G-I这几款产品功能完全满足学校需求，性能和质量都通过国家权威测试机构（工业和信息化部电信传输研究所）的测试，并且还具备低功耗功能。综合考虑选用锐捷产品。本次配置接入交换机除了上述安全功能外，还可与认证计费系统联动，体现特点如下：接入交换机与计费认证系统联动，对接入用户的信息（用户名、IP、MAC、交换机端口等）自动进行绑定，保证用户身份的唯一性。校园网中经常存在校园网帐号共享上网、代理、帐号盗用等情况，计费系统需要能够与接入交换机联动，在用户接入到校园网时，将校园网的帐号信息与交换机、PC的硬件信息进行绑定，最大程度保证用户入网身份唯一，保护账户安全，且审计可定位到人。交换机与计费认证系统联动，实现用户对接入带宽的控制需要跟接入交换机联动，根据用户相应的计费策略，在接入网络时就实现带宽的分配控制。在接入层实现带宽的控制，可以避免用户主动或者被动向校园网内发送大量数据包，造成内网资源的过度占用。实现基于用户的策略下发，实在不同场景下的策略控制。校园网用户使用网络的场景较多，学生需要在宿舍、图书馆等地访问，老师需要在教室、实验楼等使用，需要认证计费系统在认证时将针对该用户的策略下发到接入交换机上，实现不同场景下的策略控制，如学生只可以在宿舍、图书馆访问校园网，在教室内则拒绝登陆等。无线交换网络设计建设原则：系统的先进性－采用国际最新的无线网络科技，使其在无线领域具有较高的水平。结合学院的实际业务，建立高可用性的无线系统。功能的丰富性–系统应该具有丰富的无线应用功能，满足不同人员及访客的个性化应用需求。系统的可扩展性－扩充方便，设置修改灵活，操作维护简单，系统构筑时间短，能够适应业务的快速变化。实用性－系统将充分考虑实用性，以学院的实际需求为出发点，充分满足学院使用方便、系统管理方便的原则。系统的可靠性－可靠性、稳定性是本系统一个非常重要的设计原则，必须采取有效的手段，保证整个系统的可靠稳定运行，并充分做到7X24的全天候服务，关键的设备和功能模块要做到双备份，实现多级的冗余设计，保证系统无单一故障点，达到电信运营要求水准，以最大限度的保护学院投资。系统的共享性–充分利用现有各种系统的资源，充分利用有线传输以及数据IP网络，考虑节省长期运行成本。规范性与开放性－能够与TCP/IP、Internet系统、业务系统等直接或间接互联并集成合作。系统的可维护性–在日常运行过程中，系统需提供对运行情况的监测和控制功能，从而保证系统的正常运行，强大的功能、友好的界面对系统进行维护是今后系统充分发挥效力的关键。维护系统是为了让系统更好的发挥功效。系统的可管理性－提供统一的图形化管理工具，方便进行全面的管理。用户认证采用多种接入方式为主，同时支持用户名/密码认证方式，且要求能够与第三方IP计费厂商的计费解决方案充分融合。为用户提供安全的WLAN接入方式，保护合法用户的认证和数据信息，防止非法用户的入侵。新校区WLAN系统业务类型：通过WLAN接入方式，无线网络设备能够支持为WLAN用户提供丰富的数据业务类型，主要包括：(1) 支持互联网无线宽带接入WLAN为用户访问Internet提供了一种宽带接入方式。通过WLAN接入设备，用户能够高速使用WWW，FTP，E-mail等各种Internet业务。(2) 支持虚拟专用网业务(VPN)移动办公者可以通过WLAN接入方式，高速访问校园内部网络资源，如校园内部网页，内部邮件系统，内部文件系统等。(3) 支持多媒体数据业务WLAN接入方式为用户使用多媒体应用（如视频点播、数字视频广播、视频会议、远程医疗、远程购物、远程监控、远程教学等）提供支持。(4) 支持基于WLAN的增值业务基于WLAN接入方式的的数据业务可以和现有的数据业务结合，如VOIP语音应用，短消息服务，移动电子邮件，移动个人理财，娱乐天地，位置服务，游戏等。无线网络设计是本次新校区建设的亮度，设计思路：全校设计，重点覆盖。如图6所示。图6星湘职院校园网无线拓扑结构新校区无线由无线AP，无线POE交换机，无线控制器组成。无线AP由于教育应用现代化，无线终端设备种类多种多样包括：无线手机、平板和无线笔记本。这些接入设备对信号覆盖强度和无线信道都有要求。本次使用锐捷RG-AP320-I无线AP，如图7所示。图7RG-AP320-I无线APRG-AP320-I是锐捷网络推出的搭载“X-sense”灵动天线的802.11n无线接入点（AP）产品。业界领先的“X-sense”灵动天线，跨越式的提升了AP的覆盖性能，保障了移动智能终端最优的接入效果。不仅如此，高达600Mbps的最大传输速率也使得RG-AP320-I能够轻松满足各种无线业务的承载使用。而且该产品还充分考虑了无线网络安全、射频控制、移动访问、服务质量保证、无缝漫游等重要因素，配合锐捷网络WS系列无线控制器产品，完成无线用户数据转发、安全和访问控制。RG-AP320-I采用双路双频设计，可支持同时工作在802.11a/b/g/n和802.11b/g/n模式。该产品呈壁挂式，可安全方便地安装于墙壁、天花板等各种位置。RG-AP320-I产品可支持本地供电与远程以太网供电模式，可根据客户现场供电环境进行灵活选择，特别适合部署在大型校园、企业办公、医院、运营热点等环境。无线AP特性：X-sense：会思考的灵动天线65536种天线路径选择，覆盖无死角锐捷网络创新研发的X-sense灵动天线矩阵架构，RG-AP320-I内置高达16根阵列天线，并能够动态选择不同的天线组合，支持最高65536种组合方案，彻底解决传统天线存在覆盖盲区的弱点。无论在任何角落，X-sense都能定制出一条最适合移动智能终端当前位置的天线路径，真正实现全面覆盖，绝无死角。全自动调节，让信号随你而“动”。无论终端如何移动，都有最佳的信号路径跟随，这是X-sense灵动天线技术带来的革命性改变。无需人工干预，X-sense凭借其强大的运算性能，可以在1毫秒内完成300次指向终端的信号路径切换，即便在快速奔跑状态下也能保证时刻都有最佳的信号与终端同“行”。功率不变，却有3倍的信号提升X-sense能够精确计算终端的位置，并通过动态组合的天线模式，针对每个终端位置来提升不同的信号强度，最大可以提升到普通AP的3倍，这使得覆盖范围内无论远近的各个点都能接收最佳信号。而且完全不用担心由此带来的辐射增加，因为增强的信号强度都全部被用来抵消传输路径和穿透墙壁的损耗，AP的发射功率都是完全符合国家标准。终端接入优化设计，更适合手机和平板电脑用户当移动智能终端接入无线网络时，X-sense会快速、准确的识别到终端的类型，如果是使用功率较低的手机、平板电脑等移动终端时，X-sense能够通过动态信号补偿技术，针对移动终端提升接收灵敏度、增加重传，保证所有的终端都能获得最优的接入效果。干扰降低30%，部署更轻松干扰是无线网络的最大难题，特别是当在狭小的空间部署大量AP时，干扰影响会尤为明显，X-sense根据使用者位置自动调整无线信号的输出方向，当受到干扰时，能够自适应选择更优的路径避开干扰，这项技术经测试可以将干扰的影响有效降低30%以上！智慧灵动的无线体验X-speed极速无线体验RG-AP320-I在多AP干扰的情况下，有效的缩短了下联用户发送无线数据包的竞争等待时间，让使用锐捷无线网络的用户在复杂环境中仍能体验极速无线。RG-AP320-I同时解决了因终端无线网卡老旧或终端离AP较远而导致用户无线上网延时大、速度慢、AP整机性能低下的问题，为所有类型的终端分配相同的无线链路使用时间，不仅提升了AP的整机吞吐性能，并保证了每个终端都能公平高速的访问无线网络。终端智能识别RG-AP320-I配合锐捷无线控制器，能根据终端特点，智能识别终端类型，自适应弹出不同大小、页面格局的Portal认证页面。终端智能识别技术免去了用户多次拖动，调整屏幕的操作，相比原来节省了近10s的时间，为用户提供更加快捷的无线体验，并且全面支持苹果iOS、安卓和windows等主流智能终端操作系统。边缘智能感知传统“瘦AP+无线控制器”的集中式网络体系架构，无线数据流经AP再到无线控制器进行集中转发，这就会存在当无线控制器发生故障宕机后，AP无法正常工作的问题，导致整个无线网络瘫痪。而锐捷网络最新的边缘智能感知技术，使RG-AP320-I能够智能的进行链路感知，当发现无线控制器故障宕机后，AP快速切换为智能模式继续进行数据转发，实现了无线网络的高可用性，真正的做到了无线用户永不掉线。智能负载均衡在高密度无线用户的情况下，RG-AP320-I将结合锐捷无线控制器智能实时的根据用户数及数据流量调整分配到不同的AP上提供接入服务，平衡接入负载压力，提高用户的平均带宽和QoS，提高连接的高可用性。用户无感知漫游访问通过与RG-WS系列无线控制器产品的配合，无线用户在RG-AP320-I之间移动访问时，可以保证二层网络和三层网络的无缝漫游，用户在过程中不会感觉到数据访问的中断。提供无线IPv6接入RG-AP320-I全面支持IPv6特性，实现了无线网络的IPv6转发，让IPv4用户和IPv6用户都可以自动地与AC系列控制器进行隧道连接，让IPv6的应用承载在无线网络中。灵活的设备管理模式胖瘦模式灵活切换RG-AP320-I支持胖(FAT)瘦(FIT)模式的灵活切换，在FIT（瘦）模式下更能实现零配置安装使用，而完善的远程管理也大幅提高了无线网络的运维管理效率。Web界面管理RG-AP320-I提供AC和AP的Web管理界面，不仅轻松搞定无线配置，更能够整体运营无线网络，通过AC的Web界面不仅能够管理AP还能管理AP下联的用户，可以对用户进行限速和限制用户连入网络等行为，方便运维人员对无线的规划和运维。与网管软件的联动RG-AP320-I可以与锐捷网管软件SNC联动，网管软件SNC可以实现对网络中所有无线控制器和无线AP的管理，包括设备的配置备份，设备状态的查询，提供无线热敏图来显示无线AP在实际环境中的无线信号分布状态。无线控制器本次针对学校AP方便管理，特别设计2台AC，一台专用宿舍无线管理。一台专用于其他室内无线管理。对所有无线接入点（AP）进行集中控制，并管理与这些接入点有关的无线客户端设备的网络分配。同时两台AC可互为冗余，进一步提高稳定性。本次配置：RG-WS5708万兆无线控制器，如图8所示。图8RG-WS5708万兆无线控制器RG-WS5708万兆无线控制器是锐捷网络最高性能的无线控制器一体机产品。它采用了业界最新的MIP64多核处理器架构，可提供超高的数据传输和业务处理能力，同时管理的AP数高达1024个。RG-WS5708可对整个无线网络进行集中管理和控制，实现AP的零配置接入，还可配合锐捷网络网管平台RG-SNC轻松实现有线无线一体化运维管理。RG-WS5708万兆无线控制器目前已在运营商、银行、医院、高等院校等对品质要求极高的各行业客户中实现了长时间稳定的在线使用，其卓越品质得到了客户们的广泛认可。无线控制器特点如下：高智能的无线体验终端智能识别RG-WS5708内置Portal服务器，能根据终端特点，智能识别终端类型，自适应弹出不同大小、页面格局的Portal认证页面。终端智能识别技术免去了用户多次拖动，调整屏幕的操作，为用户提供更加智能的无线体验，并且全面支持苹果iOS、安卓和windows等主流智能终端操作系统。终端公平访问RG-WS5708协同锐捷无线接入点为802.11g、802.11n等不同类型的终端提供相同的访问时间，极大的解决了因终端无线网卡老旧或终端离AP较远而导致用户无线上网延时大、速度慢、AP整机性能低下的问题，有效的提升了低速终端的性能，保证用户无论使用何种类型的终端，都将在相同的位置上获得同样良好的无线上网体验。智能负载均衡在高密度无线用户的情况下，RG-WS5708智能实时的根据每个关联的AP上的用户数及数据流量调整分配到不同的AP上提供接入服务，平衡接入负载压力，提高用户的平均带宽和QoS，提高连接的高可用性。锐捷无线不仅能实现基于用户、流量的智能负载均衡，而且还能实现基于频段的负载均衡。大多数Wi-Fi设备缺省使用2.4GHz频段，而5GHz频段上（802.11a/n）却能获得更大的吞吐性能。基于频段的负载均衡，使支持双频的用户终端优先接入5GHz频段，在不增加成本的前提下，能够增加大约30-40%的带宽利用率，保证了用户的无线上网高速体验。高性能高可靠集中/分布式一体化的智能交换RG-WS5708可部署于二层或三层网络中，且无需改动原有网络架构，与无线AP组成整体交换架构，方便控制和处理所有AP上的数据交换。业界领先的本地转发技术，彻底突破了无线控制器的流量瓶颈限制。RG-WS5708通过本地转发技术，可灵活配置AP的数据转发模式。即根据网络的SSID和用户VLAN的规划，决定数据是否需要全部经过RG-WS5708转发，或直接进入有线网络进行本地交换。本地转发技术将延迟敏感、传输要求实时性高的数据分类通过有线网络转发，在802.11n的大流量吞吐下，可以大大缓解RG-WS5708的流量压力，更好的适应未来无线网络更高流量传输的要求，诸如高清视频点播、VoWLAN传输等。灵活的网络扩展RG-WS5708产品可最大支持1024个AP的控制，初始标准配置可支持128个AP的控制，可根据用户网络的规模，通过增加相应的升级许可证License产品，实现灵活的控制权扩展。支持802.11n高速无线传输RG-WS5708产品专为IEEE802.11n设计，配合锐捷网络802.11n系列无线接入点产品，可提供传输带宽高达单路300Mbps、双路600Mbps的无线网络。同时，利用先进的本地转发技术，避免了无线控制器的流量转发瓶颈，可快速实现802.11n无线网络部署与传输。双冗余电源RG-WS5708产品提供双冗余电源，可实现电源热备份，分别与用户的不同供电系统连接使用，保障无线网络的稳定运行。智能射频管理RG-WS5708可控制AP对无线网络进行按需射频扫描，可扫描无线频段与信道，识别非法AP和非法无线网络，并向管理员发出警报，以便对要求更高安全性的环境提供全天候保护。同时，RG-WS5708可实时控制AP的射频扫描功能，进行信号强度和干扰的测量，并根据软件工具动态调整流量负载、功率、射频覆盖区域和信道分配，以使覆盖范围和容量最大化。全网无缝漫游RG-WS5708支持先进的无线控制器集群技术，在多台RG-WS5708之间可实时同步所有用户在线连接信息和漫游记录。当无线用户漫游时，通过集群内对用户的信息和授权信息的共享，使得用户可以跨越整个无线网络，并保持良好的移动性和安全性，保持IP地址与认证状态不变，从而实现快速漫游和语音的支持。丰富的服务质量保证（QoS）RG-WS5708支持丰富的服务质量保证（QoS），如支持多种模式的带宽限制，可针对重要关键的数据传输应用，提供优先的带宽保证。提供无线IPv6接入RG-WS5708全面支持IPv6特性，实现了无线网络的IPv6转发，让IPv4用户和IPv6用户都可以自动地与AC系列控制器进行隧道连接，让IPv6的应用承载在无线网络中。POE供电交换机无线AP需要供电，现阶段无线AP供电分为本地供电（电源适配器）和远端供电（POE交换机），本次新校区实现无线全校覆盖，无线AP部署密度较高，综合考虑无线施工，无线布线，电源铺设等问题，使用POE交换机集中对无线AP进行供电。可直接部署楼栋弱电间。本次使用锐捷POE交换机RG-S2924GT/8SFP-XS-P，如图9所示。图9RG-WS5708万兆无线控制器RG-S2924GT/8SFP-XS-P系列交换机是锐捷网络推出的全千兆安全智能PoE供电的二层交换机，适用于园区网络的接入层，提供千兆到桌面的解决方案。凭借高性能、高安全、多业务、易用性的特点，融入IPv6的特性，使得RG-S2924GT/8SFP-XS-P交换机可广泛应用于各行业的千兆网络。通过支持万兆扩展和万兆冗余堆叠，满足了网络流量成倍提高和多媒体业务的迅速增长的需要，特别适合需要高带宽的网络环境中使用。在提供高性能、高带宽的同时，RG-S2924GT/8SFP-XS-P交换机提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性，并可以根据网络的实际使用环境，实施灵活多样的安全控制策略，有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法的用户合理化地使用网络资源，充分保障了网络高效安全、网络合理化使用和运营。网络出口设计现今校园网的安全问题已经成为各级教育信息化主管部门关注的热点，学校所面临的安全挑战也越来越大：学校的门户网站被黑客攻击；学生的考试成绩被篡改；学籍等资料被非法泄露，并被犯罪分子利用；上网用户在网上发表一些不恰当言论；服务器被黑客控制，并对其他目标发动攻击；不完善的日志记录，导致出了安全事件后，无法定位到人或单位。校园网的出口是整个学校的“咽喉”，所以，出口的安全设计对全网的安全至关重要。如何解决校园网出口的安全问题，是每一个校园网的规划者必须要考虑的问题。本次设计重点考虑网络出口的三大主要问题：1、基本转发的性能问题IPv4地址的缺乏，让NAT（网络地址转换）成为出口设备的必备工作；而NAT对性能要求较高，久而久之就成了上网速度慢的一个重要原因。中国运营商的现状，决定了众多单位普遍拥有2条甚至更多出口运营商链路，此时PBR（策略路由）便成为必需，而PBR开启后出口设备死机、网络变慢的情况时有发生；更有甚者，部分大规模网络已经开始尝试万兆出口，性能问题就更为突出。2、业务无法高效运行的问题BT、迅雷等P2P应用流量过大，挤占关键用户或关键应用带宽，造成服务质量差，用户上网体验下降。比如：视频会议断断续续，OA办公时，打开一个页面延迟很大。与此形成鲜明对比的是，多条出口链路中部分链路的流量却很小。如何保证带宽被充分利用，关键业务运行能获取必须带宽？3、安全风险难以控制的问题出口安全问题更为复杂，总体来看可以分为三类。第一类是攻击类安全问题。网络攻击可能影响网络运行、造成资源浪费或者引发一系列安全问题。如DDoS攻击会耗尽系统资源。目前Web安全越来越受关注，比如防范网页被篡改、防范网站被挂马。第二类是日志审计问题。重大政治事件、安全事件频发的大背景下，全国都在开展安全大检查，公安部82号令所要求的日志审计如何满足？如何避免公安网监日志检查带来的麻烦？第三类是实名制问题。不光接入网络要认证，访问Internet也要做准出认证（可以简单理解为网关认证），并在准出认证基础上，针对不同用户身份进行相应策略部署。出口拓扑，如图10所示，高速安全出口区如图11所示。图10出口拓扑方案图11高速安定出口区1．实现提速，即建立高性能、高稳定的基础平台配备高性能网络出口引擎设备，保证高稳定性。支持硬件BYPASS，在掉电、重启、设备故障等突发情况下，出口始终能保持通畅。1+1冗余电源的配备。通过设计锐捷RG-NPE系列网络出口引擎，如图12所示。图12高速安全出口区RG-NPE系列网络出口引擎是锐捷网络针对国内网络出口比较复杂的特殊现状而提供的专用网络设备。目前局域网与外部网络连接时普遍存在多条出口链路的情况，例如与多个运营商连接。RG-NPE系列产品在帮助用户选择最快上网线路的前提下，还能够保障每一条出口线路都能够被充分地利用，不仅提升了用户的上网体验，而且能够让出口网络的建设拥有较高的投资收益比。除了优选路径与高速转发，RG-NPE系列产品还具有其他多项附加的增值功能，例如：流量控制优化、日志审计、设备防攻击、VPN功能等。这些功能能够满足用户出口网络中的常见需求，解决出口网络普遍存在的上网慢、管理烦、安全低的问题，减轻网络管理人员的负担，保障用户出口网络健康、稳定地运行。技术性能：Outbound：智能选路：策略路由、应用路由、地址库路由、MLLB、正向DNS代理、链路健康检测、链路过载保护。Inbound：智能DNS;源NAT、目的NAT、静态NAT、NAPT、No-NAT;支持多种NATALG，包括FTP、H.323、DNS等。满足公安部82号令要求;提供对流日志、NAT日志、URL日志;支持出口日志的远程web访问和检索;提供设备日志、攻击日志记录。路由转发性能，包括网络地址转换（NAT）、基于策略的路由选路（PBR）NAT性能考核指标主要为NAT并发连接数及NAT每秒新建连接数。NAT并发连接数指标要求=用户总数x用户并发在线率x每用户会话数=2000x100=20万。NAT每秒新建连接数指标要求=用户总数x用户并发在线率x每用户每秒新建连接数=2000x20=4万。IT硬件设备的3\10原则（日常负载维持到设备总性能的30左右，以保证有足够资源处理突发状况，以及减轻不间断运行设备压力）。而本实配制了出口设备NPE50ENAT会话数达200万，每秒新建NAT会话数达5万条，足以支撑星湘职业技术学院新校区路由转发的性能要求。智能路由选路，如图13所示。图13智能路由选择园区网用户在访问属于不同ISP提供的信息资源时，外网连接层需要智能的根据用户访问的信息资源，选择不同的ISP（不同的广域网链路）来进行访问。从而避免访问路径跨越了不同ISP网络，确保资源访问效率最大化。2．实现业务的高效运行，提升服务质量通过有效识别校园各种应用，并加以控制带宽，比如控制P2P等带宽滥用，保证关键用户、关键应用、关键时刻的带宽需要。通过部署RG-ACE设备,实现流量控制功能，如图14所示。图14智能路由选择锐捷网络RG-ACE（ApplicationControlEngine）流量控制引擎是专门为大型网络出口设计的流控设备，可识别超过1000种的网络应用协议，能对单IP进行应用和流量控制。RG-ACE系列有三个型号：RG-ACE2000D、RG-ACE3000D、RG-ACE5000，适用于不同的网络规模，用户可灵活部署适合的网络设备。主要功能特性：多核高性能RG-ACE采用多核硬件架构，多核处理器具备高性能、易编程、灵活的L4-L7层业务应用等特点。RG-ACE的处理能力非常高，利用支持400万并发会话，最高可以实现6Gbps吞吐量。RG-ACE全面支持万兆接口扩展；能和其它网络设备直接以万兆接口对接，组建全万兆园区网。硬件实现的DPI引擎，实现了特征库的应用协议数量和特征库复杂程度与性能的无关性，可以做到同时加载所有应用协议而不影响设备性能。网络实名制实名接入：RG-ACE实现流控与认证的融合，可以作为准出网关，实现WebPortal认证。与计费系统对接，RG-ACE可以实现流量计费、时长计费、以及按套餐区分服务质量等精细化计费策略。实名流控：RG-ACE超越普通流控设备，与身份认证系统对接，能真正实现基于用户身份的流控。无论关键用户何时何地、有线无线接入网络，均能实时下发流控策略。实名日志：RG-ACE与身份认证系统结合，能实现实名日志；既能方便定位到人，又具备不可否认性。900+种应用协议准确识别RG-ACE采用自主研发的新一代DPI引擎，能够准确识别包括P2P应用、炒股软件、流媒体、企业办公、网络游戏等在内的总共900余种协议。P2P应用：Bittorrent、eMule、KAZAA、KURO、NAPSTER、EDONKEY、AUDIOGALAXY、EZPEER、KUGOO、GNUTELLA、VAGAA、SOULSEEK、POCO、PIGO等30多种P2P软件。IM应用：MSN、Yahoo、ICQ、AOL、QQ、YAHOO、WEBIM、IRC、XMPP等10多种主流的IM软件。视频/Streaming应用：新浪直播、搜狐直播、RTSP、SIP、PPSTREAM、PPLIVE、APPLEQTC、CCIPTV、QUICKTIME、REALPLAYER、MMS、QQlive、H.323等主流的视频和流媒体应用。炒股软件：大智慧证劵信息平台、天一证劵网上交易系统、华泰网上交易分析系统、证券之星等炒股软件。流量控制如图15所示。图15流量管理效果3．业界领先的控制引擎带宽嵌套功能，提供自定义Pipe通道、自定义VC通道、最大带宽限制、ShareRatePool带宽控制、权重设置以及应用优先级等一系列的应用优化和带宽管理控制功能。将网络带宽的管理从被动的、消极的、无效的传统模式提升到主动的、有效的、智能化的带宽管理服务。带宽租借功能，允许给高优先级用户预留的带宽，在用户下线时分配给其它用户使用；已经给高优先级应用预留的带宽，在流量较低时允许分配其它应用，以此提高带宽利用率。PerIP限速，不仅支持网段的带宽控制，同时支持对网段内每个用户配置精细化管理策略。非对称流量识别，桥接模式下，支持对不同桥接线路的虚拟化，实现非对称环境下的应用识别和流量控制。网络流量实时监控、分析和控制网络流量的实时采集、监控和精细分析使得网络运行状况、应用情况、带宽使用情况等状况完全可视化。基于协议和基于IP（IPv4、IPv6）地址（用户）两种类型的实时流量分析器，提供基于源/目的IP地址、服务端口、应用协议、Session数以及流量大小等详细信息。支持基于用户时间、协议和应用等为参数进行灵活的阻断与允许功能。包括：进行上行与下行带宽控制、进行Session数量控制等。支持组对象的配置，如定义用户组（IP组）、协议组（如P2P协议组、游戏组）对同一类型的应用、相同级别的用户进行带宽管理策略的控制。4．关键应用，持续保障通过对关键用户/关键应用的识别，将其置于独立的VIP通道，有效保障关键用户/关键应用的带宽不受其他应用的影响。出口控制如图16所示。图16出口控制效果5．强大的日志记录、完善的安全审计支持上网五元组、HTTP访问的详细URL日志记录功能。支持与锐捷网络SAM安全运营管理系统的联动处理，直接进行基于用户身份的行为审计。提供丰富的图表报告分析和统计提供一年内的应用或协议流量纪录，并可生成天、周、月、季度、年时间段内的应用及协议的带宽使用统计报告。包括：总带宽分析报表、应用带宽分析报表、基于协议的带宽分析报表、基于协议和流量方向（进入/出去）的带宽分析报表、基于应用和流量方向（进入/出去）的带宽分析报表、基于IP地址的带宽分析报表、用户自定义报表等等。高安全、高可靠性应用层防火墙能够识别并阻断黑客的端口扫描以及DoS攻击行为，支持通过Session数控制、带宽控制来提高网络可用性和安全性。硬件BYPASS告别“串接设备单点故障”。采用外置光旁路单元和内置电口旁路模块，当ACE掉电或发生故障，毫秒级的切换保证网络随时畅通。6．安全风险控制，保障出口的高速、高效校园安全防护是新校园建设的重点，本次设计锐捷网络RG-WALL1600下一代防火墙,部署与核心交换机之上，实现出口安全防护。基于“人本网络”，实现“智能感知”。实现基于用户、资源、应用的访问控制。RG-WALL系列下一代防火墙采用最新的安全处理算法，以高性能提供防病毒、IPS、行为监管、反垃圾邮件、深度状态检测、外部攻击防范、应用层过滤等功能，有效保证网络安全。提供多种智能分析和管理手段，支持邮件告警，进行网络管理监控，协助网络管理员完成网络安全管理；全面的VPN业务，可以构建多种形式的VPN；双机状态热备，支持主主和主备两种工作模式以及丰富的QoS特性，充分满足客户对网络高可靠性的要求。即刻选择锐捷网络RG-WALL下一代防火墙，让您的网络更加安全、高效、稳定、可靠，如图17所示。图17RG-WALL防火墙采用先进的硬件平台及设计架构全线产品使用多核平台，万兆级高速安全处理。统一化的特征库和一体化分析处理引擎设计，极大的提高了多功能模块同时运行时的运行效率。多业务高性能采用锐捷网络安全研究组RG-Slab最新发布的HiSpeed算法，突破安全产品硬件瓶颈。实现防火墙、VPN、UTM多业务高性能。支持IPS、流控、Web过滤的高性能处理。下一代防火墙特性面向法规和人本，实现基于用户、资源、应用的访问控制。可以与身份认证系统对接，实现一体化策略配置，可视化安全管理更加快捷高效。支持全面的网络攻击防护支持DoS/DDoS攻击防护，支持MAC和IP绑定功能，支持智能防范ARP攻击防护、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范等等网络攻击防护。完善的日志管理与审计提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能，配合日志管理系统可以完成日志的记录、查询和分析。独立的VPN模块内置专用的硬件VPN模块，支持GRE、L2TP、IPSec、SSLVPN等多种VPN业务模式。支持多种平台移动终端VPN接入。高可靠性保障支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份，支持自动同步特征库和策略库。支持双配置文件，设备关键部件均采用冗余设计同时配置一台热点缓存设备，部署核心交换机处。互联网发展日新月异，用户使用网络的习惯已经发生了明显的改变。根据最新的统计，互联网61%的流量为视频流量，24%的流量为文件下载。如何针对这两种文件进行网络优化和用户体验提升，已经成为所有网管员最为关注的问题。锐捷网络RG-PowerCacheX系列产品能够针对流媒体、HTTP下载及P2P下载数据进行优化。它能够自动判断本网络中的热点资源，实现热点资源本地化读取，不仅为用户提供了如同内网般的极速体验，还因为削减重复数据流，节省了大量的出口带宽资源。提升用户体验，网速提高上百倍无论外网链路状况如何，当内网PC或智能终端用户访问热点资源时，将直接从本地PowerCache读取。百兆应用10秒下载完成；观看在线视频，可随意拖动播放，无需等待，畅享如同内网般的极速体验。分担出口压力，减少30%-50%的带宽需求由于大量的热点资源都从内网获取，RG-PowerCacheX系列能够为您的网络出口节省30%-50%的带宽资源。若采用集群部署，效果更加明显。在一个总用户数20000人规模的网络中，RG-PowerCache能够分担出口带宽压力500Mbps左右。业内率先支持智能终端加速，手机用户也能享受飞一般的体验随着智能手机和平板电脑的兴起，智能终端用户的体验已经被越来越多的网络管理者所重视。现在，智能终端用户在下载应用和使用视频客户端观看视频的时候，也能够享受极速网络体验。RG-PowerCacheX系列产品支持基于IOS、Andriod系统数十个平台的应用下载加速，如：APPStore、安卓市场、91助手、360卫士、豌豆荚等；同时也支持优酷、土豆、搜狐、乐视、腾讯、PPLIVE等应用的视频加速。“零成本”的热点视频门户网站RG-PowerCacheX系列能够获取已缓存视频的基本信息，并根据最近24小时的热度排名，自动生成热点视频门户。该网站支持自动生成及人工审核两种方式，视频内容全部来源于优酷、土豆、搜狐、乐视四大网站审核后的视频，没有内容安全隐患。如果您的网络中有内容推送或重定向设备（如RG-ACE、RG-SAM），将此门户推送给用户，引导用户去观看近期热点且速度极快的视频，在提升用户体验的同时，也减轻了网络出口的压力，如图18所示。图18自动生成视频门户，所有视频都已经过内网加速灵活资源管理，把握网络热点动向RG-PowerCacheX系列能够对已缓存的资源进行分析、整理，以直观的方式进行呈现。您可以准确的了解到RG-PowerCache产品为您的网络创造的价值。同时，您还可以了解到最近最热门的视频、文件、移动应用分别是什么，为将来的网络规划和数据挖掘提供有力的依据，如图19所示。图19资源管理及热点显示认证计费系统新校园规划全校师生人数达1.5万人，本次使用锐捷认证计费系统，锐捷网络RG-SAM3.X系统是一套以实现网络运营为基础，增强全局安全为中心，提高管理效率为目的的第三代网络安全运营管理系统。性能，安全完全满足学校需求，并且锐捷认证计费已经在湖南省内具有众多案例，得到广大客户认可。RG-SAM3.X安全运营管理系统基于标准RADIUS协议开发。支持多种身份认证方式：有线802.1X和web准入方式；无线802.1X和web准入方式；远程VPN接入方式。RG-SAM3.X安全运营管理系统可根据需求实现按时长、流量、包月以及区域计费的灵活计费策略，保障网络灵活性。该认证计费系统已经广泛应用于包括华中科技大学、厦门大学、东北财经大学、中山大学等在内的六七百所高等院校。目前，SAM解决方案覆盖终端用户数达到几百万人，成为国内应用最为广泛的校园网应用解决方案。本次根据学校实际情况配置10000人用户认证计费。方案特点多种接入方式的融合；统一运营，分区管理；随需定制的计费策略；全面优化的统计报表；管理精细化、必需入网即认证，注重安全；看重运营计费，需要合理化、差异化的运营策略；实现与数字化校园对接；贴合业务需求。智能维护（1）多种接入方式的融合通过同一个平台，RG-SAM实现了基于校内-校外，准入-准出、web-802.1X、有线-无线、IPv4-IPv6的全面融合。通过RG-SAM可以实现基于这些接入方式的身份认证、接入控制、在线用户管理、上网日志、计费、报表统计和对外统一的开发接口，如图20所示。图20多种接入方式示意（2）分区域精细化管理RG-SAM3.X在分区管理和精细化管理方面具有一系列的独特解决方法，这些方法以独立的形式存在，同时彼此之间又具有相互关联的特性，这些关联的特性可以让这些方法自由组合，从而适用各大高校IT运营管理的要求。RG-SAM3.X无论在管理对象的多样性方面，还是接入方式的灵活性方面，甚至复杂的计费、服务策略组合都可以从容应对。在分区域精细化运营方案支持下，高校未来的集成化运营模式均可通过统一的管理，按区域为不同的用户提供精细化管理服务，保证高校的网络接入用户能够充分享受个性化的服务。区域管理分为：地区划分，服务定制，用户分组。多种接入模式和灵活的计费模式是SAM3.X精细化管理核心内容。多种接入模式包括：802.1x、Web、无线、VPN。多种计费模式包括：周期计费、流量计费、计时计费以及各种自定义计费运营的实现。区域、接入方式和计费模式可以按照要求进行组合，根据业务的不同可以对不同的地区提供不同的接入方式，对特定的一个区域的一个接入方式可以实施一种计费策略，这样就形成了一组针对某一类用户的个性化服务。这就是RG-SAM3.X分区域精细化运营管理的最基本的内容。（3）随需定制的计费策略计费策略是定义如何对用户计费的实体，在RG-SAM中唯一地决定了用户的上网花费。它包含了一系列对用户计费的方法，并成为计费方法的集合。对用户的计费方法有多种，比如包月、计天等，还可以根据特定的情况自定义一套计费方法。计费策略告诉我们，如何从用户的账户里扣去上网费用。针对实际的应用情景，在RG-SAM中预先定义了一些常用的计费策略，这些计费策略能够满足大多数情况下的使用需求，它们是“包月计费策略”、“计天计费策略”、“计时长计费策略”以及“流量计费策略”。管理员可设置更为详尽的计费规则，在RG-SAM中提供了“自定义计费策略”，提供了众多的计费方法的定制，管理员可以随时按照自己的意图来组合这些计费方法，让RG-SAM以更加贴近实现的方式对用户进行计费管理。（4）全面优化的统计报表图21直观报表显示可视化报表在线用户数报表；营帐报表；系统消费金额分析；上网明细；网络流量详细分析；系统业务量分析。大量丰富的统计分析报表在监督用户上网行为、跟踪网络状态以及账务分析方面为网络管理者提供实时、可靠的可视化分析工具。（5）实现与数字化校园对接RG-SAM认证计费系统和高校核心数据源的对接实现数字化校园必身份统一。RG-SAM业务系统与核心数据源的密码的变更进行实时同步。RG-SAM认证计费系统与校园网的一卡通进行对接，实现用户信息的同步与通过一卡通进行充值等业务。（6）贴合业务需求提供通配符查询、可自定义查询模板，能够根据不同业务查询需求进行精确的查询。每天大量使用的某一种组合查询通过使用查询模板后，操作变得更简单。业务处理的更快。导入修改、导入缴费、导入开户都提供了导入策略、内容检查、导入结果报告等功能。使原先需要花费大量时间才能完成的业务或者不支持的业务，现在花几分钟时间就能完成。当上网用户没有成功下线，接着要再次认证上线时。通过用户名强制下线功能，可以自动帮助上网用户再次认证上线。无需管理员干预，减少这类业务的产生。（7）智能维护开启智能维护功能后，减少人工维护，及时解除故障隐患。让系统运行的更稳定，更省心。图22智能维护功能示意WEB认证锐捷网络RG-ePortal是一套网络身份准入门户系统，配合锐捷网络的认证计费系统RG-SAM进行基于WEB方式的身份认证。本次配置10000人用户。校园网的准入认证一直是高校校园网建设的热点话题，“入网即认证”越来越深入人心。传统上的准入控制主要通过802.1X实现，其具有精细的控制力度，可以进行很好的管理和计费，但是由于技术的局限性，在易用性上存在不足，比较适合学校的宿舍网使用。对于校园网中的办公网特点是要求安全、简单、易用，基于这些需要，web准入认证应运而生。这里的RG-ePortal就是配合认证计费系统和接入设备进行接入控制的portal服务器，可以很好的满足校园办公网的安全、运营、管理和审计需求。通过RG-ePortal不但满足了入网即认证的需求，而且解决了客户端分发部署的问题，大大简化了部署和维护的难度，丰富了准入认证的方式，使得校园网的准入方案体系得到进一步的完善，从而用户有了更多的选择。（1）Web准入认证Web准入认证和传统网关型web认证的区别就是其将认证端点放置在了网络的边缘，一个方面解决了传统网管型认证的压力，另一个方面解决了内网的安全问题。（2）管理的便捷性RG-ePortal作为一个外置的portal服务器，给了用户很多管理上的便利。不仅仅可以随意的定制登陆的页面，没有空间上的限制，还可以通过web的窗口进行公告的发布，消息的下发，提升了管理的双向沟通能力。（3）服务器自身的安全保障为了保障服务器的安全，RG-ePortal提供了管理端IP控制、系统性能监控、攻击信息监控等机制，确保web准入认证业务的安全性。网络管理系统2006年开始，由于信息化建设日益复杂，越来越多的学校开始关注IT治理和IT服务管理方法。ITIL作为业界最先进的IT服务管理实际标准和国际标准，有唯一通过ISO/IEC2000认证的IT服务标准，通过整合IT服务与信息化系统，可非常有效的提高学校IT服务支持的能力和水平。“ITIL”近年在中国十分