zl尊龙凯时集团-尊龙凯时人生就博
 
商务咨询:   人事咨询:   其它咨询:  
当前位置:zl尊龙凯时集团-尊龙凯时人生就博 > zl尊龙凯时集团的解决方案 > 数字化校园zl尊龙凯时集团的解决方案
数字化校园zl尊龙凯时集团的解决方案

浏览:6911  发表时间:2015-10-16

广东惠群科技股份有限公司-zl尊龙凯时集团

当前,以数字化校园为特征的教育信息化发展更为迅速,各种信息化应用正改变着老师和学生们的工作、学习、生活以及思维方式,引发了教育行业一场新的革命。学校基本的教学教务管理、科研管理、后勤管理、数字图书馆、视频服务系统、办公自动化系统和校园社区服务等应用系统的建设有了初步的规模,“一卡通”业务在很多学校也开始应用。在校师生的认识水平和技术水平上了一个台阶,对于信息化工具的使用已变成为一种自觉和自愿的行为,为“十一五”数字化校园的进一步发展打下坚实的基础。

数字校园是以ip通信平台为基础,实现环境(特别是重点、敏感区域的视频监控)、资源(网络资源、存储资源、计算资源)、到活动(网络的开放架构对定制业务的支持)的全部数字化,利用标准的itoipzl尊龙凯时集团的解决方案,以ip技术为标准技术,利用soa开放架构实现对整体it平台的统一集成支撑。

建设安全可靠的校园网络平台

n  具备网络结构优化能力——校园网的整体架构具备更有效的容灾能力,以应对故障节点、故障链路、路由震荡所带来对业务的影响;而随着万兆校园核心网的普及,应用对带宽新的要求,校园网需要具备万兆到汇聚的升级能力、以及关键业务千兆到桌面的能力;

n  具备网络业务拓展能力——校园业务可平滑向下一代网络迁移,向ipv6迁移兼容现有校园组网环境,ipv6完全由分布式硬件完成,保护投资;校园业务可以随时随地使用,校园业务可以基于移动漫游环境,移动漫游环境无需管理者手工干预

n  具备安全渗透防御能力——校园网出口具备攻击、非法业务的隔离、控制,具备在线主动抵御的能力;校园核心网络自身集成安全防御能力,缩小攻击、病毒在校园影响范围;用户接入网络屏蔽用户非法操作,隔离网络攻击

建立数据服务中心优化整合现有数据信息资源

n  解决教学、科研、办公业务数据海量增长,数据无法整合管理的问题

n  解决数据爆炸性增长,成本要求不断降低的问题

n  解决各种灾难对信息系统影响的问题

n  解决分校区跨广域的数据访问的问题

n  解决跨系统数据迁移和灾难备份困难的问题

n  解决借助厂家提供专业的存储咨询和服务的问题

建立媒体服务中心实现视频、语音多媒体服务资源

n  利用现有校园网络资源,整合语音业务,降低校内语音通信成本;

n  利用现有校园网络资源,整合视讯业务,提供丰富的网络办公、教学it服务;

n  利用现有校园网络资源,整合校园监控业务,实现平安校园的统一管理;

实现整个校园网络的集中统一智能化管理

数字化校园是建立在一系列it资源的基础上,诸如校园网带宽资源、教学办公数据的资源、计算资源、网络多媒体通信资源等,针对这些资源需要关联化的管理,资源的整合,才能将利用it系统服务校园信息化的价值最大化。

结合高等职业院校的信息化发展现状与其在“十一五”期间的趋势,itoip数字化校园zl尊龙凯时集团的解决方案从整体来看致力于两个层面促进学校信息化的发展。

 

 

其一是硬件平台的建设,即基于ip技术的校园网络平台建设。方案针对现有校园网的网络架构提出优化方案,利用核心网优化与接入网优化的技术使其能够更好支撑数字化校园的上层业务;随着数字化校园横向业务不断发展,尤其是在国家cngi项目在高校落地的背景下,在高校用户移动终端的普及与移动业务的出现背景下,方案提出两个重点业务拓展方案,即ipv6校园网与无线校园网,来适应数字化校园的这一转型;关于校园网的安全防护长期以来都是校园cio高度关注的工作,而校园网络的安全问题也在变化,方案紧密围绕校园网络安全防御的三个重点环节(出口、核心、接入)与最新的安全问题,提出了安全渗透防御的架构,携手高等院校共同迎接安全防护的挑战。

其二是应用平台的建设,主要是三个中心的建设。校园数据中心:目前在校园网中,存储资源依附于应用和服务器,分散在校园网络不同的地方,由于各种原因,一些信息无法共享,导致了资源的浪费,同时也导致了依附于其上的数据无法共享,所以在校园中建设统一的数据服务中心,是校园网信息实现统一共享的重要手段。校园媒体中心:是利用三网合一技术,通过多媒体的方式服务于数字化校园用户的系统。高等院校具有环境开放性和人员流动性的特点,需要对校园进行安全监控实现和谐校园的目标;多校区的建设往往导致领导、师生沟通不方便,而通过ip语音、ip视讯技术的视频会议、远程教学、ip电话、招生热线等方案将有效解决这些问题,并促进整体数字化校园的发展。智能管理中心:狭义上的校园网络管理就是通过snmp技术对校园网络的硬件单元进行有效控制,而校园智能管理则强调是全面性与联动性,协同处理网络设备、网络用户、网络应用、数据信息之间的关联问题,例如一个用户是否有权限使用哪些网络、这个用户使用的应用对整个数字化的影响有多大……,对于整体数字化校园的管理应当提供分析数据与报告,支撑校园cio的决策并降低校园管理的整体拥有成本。

两个层次的建设并不是割裂的,联系的枢纽就是智能管理中心,它把硬件系统与应用系统紧密结合在一起,针对硬件资源、应用资源动态调配与控制,实现对数字化校园整体业务的有效支撑,满足“十一五”对高校信息化发展的需要。

高等职业院校的校园网在“十五”期间实现了高带宽、广覆盖、可运营、可管理的数字化校园平台;实现了学校基本的教学、科研、管理和服务系统的信息化。通过这一平台实现了网络教学系统、数字化图书馆系统、网络实验室系统、管理信息系统、办公自动化系统、社区服务系统、一卡通系统等上层应用。从网络建设的特征来看,主要聚焦于:万兆校园网改造、升级,学生宿舍区、新校区网络建设,认证、计费、管理及网络安全的建设。

但是随着国家对教育的重视,高等职业院校信息化的发展日新月异,更多的应用系统不断推出,对网络的可用性、可控性、安全性以及业务支撑能力要求也变得越来越高。那么校园网建设工作也需要作出针对性的调整。

       h3c设计全新的基于纯ip技术的网络平台来满足高校校园网的需求变化。

面向网络资源的有效、高效利用,从网络架构方面提供优化方案,使得校园核心网、接入网具有更高的可靠性和可控性,同时使得网络结构与布局在结合实际业务分布的前提下更加合理。

数字校园业务的发展必然离不开两个方向,其一是ipv6,其二是移动性。这既是ip通信技术发展的方向,也是数字校园应用的发展方向。满足这个发展,首要前提就是让校园网络平台能够具备相关技术支撑能力,即构建ipv6校园网与无线校园网。

不论是对校园网的优化还是对校园网业务的横向拓展,都是基于校园网是安全有序的。需要从纵向三个维度对所有影响校园安全的隐患、非法行为进行渗透防御与控制。

校园网管理是随着校园网络的发展历程而变迁的。校园网的发展经历了最初的计算机房、万兆校园网、数字化校园网等几个阶段,校园网络的管理也从最初的设备管理时代、发展到网络管理时代,再到用户和业务管理时代。

       今天的数字化校园已经不再是网络建设,实际上已经朝着资源建设进行转型。那么数字化校园的管理如何针对网络平台资源、用户资源、数据资源、媒体资源进行统一、有机配置与控制?

       建立数字化校园的智能管理中心将是答案!

       智能管理中心主要面向四个类别的资源进行统筹管理。由于过去的校园网并不复杂,能够对网元单位进行配置、发现拓扑结构、触发管理事件、收集日志就够了。但是今天和未来的数字化校园应用与资源是复杂的,是关联的,一个不能根据资源变化而智能调整的管理系统是无法满足发展需要的。这种联动要从动态的网络中发现变化、分析应用在网络中运行效果如何、用户在网络中都做了哪些事情……,再根据这些动态信息进行统一资源调配。

以下内容请根据用户实际情况描述

早期的高等职业院校校园网主要是共用内部教育系统主机资源,共享简单数据库,多以二层交换为主,很少有三层应用,存在 安全、可管理性较差、无业务增值能力 等方面的问题。

现在xxx学院校园网建设要实现内部全方位的数据共享,应用三层交换,提供全面的qos保障服务,使网络安全可靠,从而实现教育管理、多媒体教学自动化,而且还要通过internet实现远程教学,提供可增值可管理的业务,必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。

基于对xxx学院校园网业务需求的深入理解,结合自身产品和技术特点,h3c公司推出了完善的xxx学院校园网zl尊龙凯时集团的解决方案,为xxx学院提供“高扩展、多业务、高安全”的精品网络。

xxx学院网络建设遵循以下基本原则:

高带宽

xxx学院网络是一个庞大而且复杂的网络,为了保障全网的高速转发,校园网全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特,整网的核心交换要求能够提供无瓶颈的数据交换。

可增值性

xxx学院网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制,实现以网养网。

可扩充性

考虑到xxx学院用户数量和业务种类发展的不确定性,要求对于核心交换机与汇聚交换机具有强大的扩展功能,xxx学院网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。

开放性

技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。

安全可靠性

设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。


xxx学院网络zl尊龙凯时集团的解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。组网图如下所示:

 

xxx学院网络主要目的是将网络的性能、带宽、主要网络业务进行全网的建设。网络设计主要包含高品质ip核心网模块、智能弹性接入网模块、安全渗透网络模块、网络系统综合管理、自适应无线网、ipv4/v6地址与路由模块、组播与qos优化模块等主要部分。

校园网络平台

h3c设计全新的基于纯ip技术的网络平台来满足高等职业院校校园网的需求变化。面向网络资源的有效、高效利用,从网络架构方面提供优化方案,使得校园核心网、接入网具有更高的可靠性和可控性,同时使得网络结构与布局在结合实际业务分布的前提下更加合理。数字校园业务的发展必然离不开两个方向,其一是ipv6,其二是移动性。这既是ip通信技术发展的方向,也是数字校园应用的发展方向。满足这个发展,首要前提就是让校园网络平台能够具备相关技术支撑能力,即构建ipv6校园网与无线校园网。不论是对校园网的优化还是对校园网业务的横向拓展,都是基于校园网是安全有序的。需要从纵向三个维度对所有影响校园安全的隐患、非法行为进行渗透防御与控制。


h3c ip 校园网络平台方案特点

伴随着信息化建设的深入,包括图书馆、教务、校园门户、邮件等业务系统在内的校园信息系统建设日趋完善。为了满足信息系统对于存储容量和数据保护的需求,校园信息部门都会采用存储区域网络、备份平台,灾难备份和恢复等数据存储和保护技术。

我们建议采用标准的ip san架构的存储设备来搭建存储平台,实现海量的存储容量,并且为以后的容量扩展预留空间。利用ip san标准化和易于管理的特性,避免兼容性问题,降低整体拥有成本(tco)。在存储平台上提供备份、连续数据保护、灾难备份等不同级别的数据保护手段,满足所有应用系统的要求。



h3c校园数据服务中心方案特点

语音是基于传统pbx建设;视频会议是基于ip建设的;视频监控是基于模拟电缆进行建设,各系统基于不同网络承载,造成各自系统之间存在障碍,相互之间需要不同的人员熟悉、维护管理,成本加大,对人员的要求提高,尤其在维护人员不多情况下。校园信息化日益完善,建立了语音、视频会议、监控等系统,满足交流沟通、远程教学、安防监控等需求。目前各自系统是采用不同技术组成。

针对以上问题,h3c校园媒体服务中心业务融合zl尊龙凯时集团的解决方案,将语音、视频监控、视频会议、数据等合一。对于目前校园网中的语音、视频会议、视频监控可以分阶段进行逐步改造、迁移,逐步走向统一,建议统一的校园多媒体中心,统一对ip语音、视频会议、ip监控进行管理。校园媒体服务将会从校园应急中心向社会集成化演进,最终与社会应急系统的联动。

h3c校园媒体服务中心方案特点

校园网管理是随着校园网络的发展历程而变迁的。校园网的发展经历了最初的计算机房、万兆校园网、数字化校园网等几个阶段,校园网络的管理也从最初的设备管理时代、发展到网络管理时代,再到用户和业务管理时代。

h3c数字化校园的管理针对网络平台资源、用户资源、数据资源、媒体资源进行统一配置与控制。智能管理中心主要面向四个类别的资源进行统筹管理。

h3c校园智能管理中心方案特点

itoip数字化校园zl尊龙凯时集团的解决方案的整体优势

1)  实现校园统一系统标准——利用统一信息标准、统一应用标准、统一集成标准,解决重建设轻标准、缺乏it系统的标准化和集成整和的问题,解决异构it资源难以整合的问题;

1)  实现校园数字业务定制——建设统一数据中心、建立统一业务中心、构见随需而动的智能系统,解决数字化校园重网络轻应用路多车少的问题

1) 实现统一校园it资源管理——建设智能管理中心、整合it资源统一管理,建立灵活完善的数据管理能力、建立完整网络资源管理、建立统一媒体管理。

1) 实现统一信息安全管理——建立统一安全管理中心,完成网络层、业务层、数据层、用户层安全管理,解决重建设轻维护和缺乏整体安全部署方法的问题

楼宇

机房位置

交换机端口数量

48口(10/100m)交换机数量

堆叠套件数量

千兆多模模块数量

剩余千兆扩展端口数量

 

 

 

 

 

 

 

 

 

 

 

 

 

 

合计

 

 

 

 

 

 

楼宇

机房位置

负责覆盖需区域

ap数量

48poe交换机数量

24poe

交换机数量

 

 

 

 

 

 

 

 

 

 

 

 

合计

 

 

 

一般,校园园区网络规模比较大,接入节点数目比较多,各院系的数据在网络上的传输也必须保证端到端的安全,各院系、各部门间的业务隔离需求就显得比较迫切,随着各校园业务的快速增长,校园网络的扩展性也应该比较强。针对校园园区网络建设的这些特点,h3c公司提出了校园园区的ip智能安全渗透网络方案,该方案包括层次化设计、高可靠性设计。校园ip网络平台还包括网络安全性设计、无线网络设计、ipv6网络设计,我们将在后续章节重点阐述。

在校园园区网络整体设计中,采用层次化、模块化的网络设计结构,并严格定义各层功能模型,不同层次关注不同的特性配置。典型的校园园区网络结构可以分成三层:接入层、汇聚层、核心层。

1) 接入层:提供网络的第一级接入功能,完成简单的二、三层交换,安全、qospoe功能都位于这一层。对于校园园区网的接入层设备,建议采用千兆三层接入的方式,应该具有线速三层交换、irf智能弹性堆叠技术以及高级qos策略等功能。

2) 汇聚层:汇聚来自配线间的流量和执行策略,当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关;对于校园园区网的汇聚层设备,应该能够承载校园园区的多种融合业务,能够融合了mplsipv6、网络安全、无线、无源光网络等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,能够承载校园园区融合业务的需求。

3) 核心层:网络的骨干,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。对于校园园区网核心层,必须提供高性能、高可靠的网络结构,推荐采用高可靠的rrpp/rpr环网结构或多设备冗余的星型结构。对于校园园区网核心层设备,应该在提供大容量、高性能l2/l3交换服务基础上,能够进一步融合了硬件ipv6、网络安全、网络业务分析等智能特性,可为校园园区构建融合业务的基础网络平台,进而帮助用户实现it资源整合的需求。

小型校园园区高可靠网络设计方案

对于小型校园园区网络,接入端口数量不多、但可靠性要求较高;对交换容量、带宽要求较高。我们推荐高速、无阻塞交换千兆两层扁平组网模型。为用户提供千兆接入、支持语音和poe、网络可以运行ospf协议,两层扁平网络结构,易于配置和管理,并能适应用户未来几年网络应用的需要,提供预留容量。



 

两层简化扁平网络结构,汇聚、核心合为一层,减少了网络设备数量,易于配置和管理,为用户提供千兆桌面接入、支持语音和poe功能。接入、核心层设备都为机架式,可用多种不同端口类型的单板组合,使用灵活、可扩充性强,节省网络投资。整网带宽较高、稳定可靠、可满足多种业务的无阻塞交换。

中型校园园区高可靠网络设计方案

对于中型校园园区网络,推荐采用千兆接入组网模型。为用户提供三层千兆到桌面的接入服务,整网配置ospf协议,网络故障收敛速度快、易于管理和维护。vlan终结在接入端口,限制广播域范围,较少广播报文对网络带宽的消耗。从接入层开始即可进行快速三层交换,利用网络中存在的等价多路径实现业务流量的负载分担。

 

网络按照分层、模块化的思路进行设计和规划,根据业务、区域等规划因素进行模块化区域划分,每个区域有自己的汇聚核心与网络核心相连。网络各层设备都为三层设备,支持ospf。在接入层设备上提供千兆端口接入,支持语音和poe 接入层千兆双归属到汇聚层设备,提供链路冗余备份,利用存在的ecmp实现流量负载分担。区域汇聚核心间提供千兆链路连接,双机备份和加速路由收敛。汇聚层千兆双归属到网络核心,根据实际带宽需要也可千兆链路捆绑双上行到核心,会聚层可采用堆叠设备,它提供的分布式路由和分布式设备管理使整个堆叠设备当成一台交换机进行路由转发和管理,而且支持热插拔,不会因为堆叠组单台设备故障引起整个接入业务中断。两台核心设备间通过千兆捆绑链路连接,完成高速数据交换和双机热备份。

大型校园园区高可靠网络设计方案(可选rrpprpr)

对于大型园区网络,推荐采用环网组网模型,核心层可考虑用多台设备搭建rpr环替代双机热备份。这样可以实现10ms的故障检测时间以及50ms的业务倒换时间,可以做到故障切换时完全不影响正在进行的音频业务,完全满足电信级可靠性的要求。


rprsdh拓扑结构类似,rpr为互逆双环拓扑结构,环上的每段光路工作在同一速率上。建成后的核心层主要负责核心业务处理、跨区域业务量疏通、及与其它网络互联互通,同时可作为p设备,配合汇聚层pe设备,完成mpls vpn业务的部署,将校园园区内不同业务进行隔离,保证各个业务在同一网络平台上运行、互不影响。

h3c公司rpr技术采用双环逆向拓朴结构,外环和内环同时可传送数据和控制信息,具有完全分布式的访问控制方法,实现电信级故障自动保护倒换ips功能,业务倒换时间小于50ms;拓朴收集自动完成,能自动选择业务最优路径;利用rpr-fa公平算法,环网带宽动态调整,实现带宽全局公平和局部最优利用;实现流量等级保证qos,支持带宽预留的业务;继承传统ethernet概念,支持所有ethernet上层协议和业务。带宽可平滑扩展,1g-10g,甚至40g。且具有完善的操作和维护平台,具有可运营、可管理的能力。

地址及路由规划

地址规划

ip地址的合理规划是网络设计中的重要一环,大型计算机网络必须对ip地址进行统一规划并得到实施。ip地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。ip地址规划必须考虑到今后和其他院系互联后的地址冲突问题,建议参考全校的统一地址规划。

ip地址分配原则

ip地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器cpu、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则:

ü  唯一性:一个ip网络中不能有两个主机采用相同的ip地址;

ü  简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表项

ü  连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率

ü  可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性

ü  灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。

主流的ip地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。

当校园网以私网地址分配或采用混合网络地址接入时,要求校园网提供地址变换功能,过滤掉私网地址。

ip地址规划方案

建议校园网的ip地址进行严格的编码,每位代表不同的含义。其编码规则(举例如下)为:

通过地址标识可以清楚地区分出ip地址地来源,便于路由汇聚和访问控制。从上表中我们也可以看出,通过我们的规划,我们能从ip地址分析出ip地址的来源、用途等,这将为网络的维护带来方便。

具体的ip地址定义将结合实际情况确定。

中心交换机支持静态或动态的ip地址分配,并支持动态 ip 地址分配方式下dhcp-relay功能,dhcp server可安放在园区内部。

对于固定ip地址用户,需要针对标识符(mac地址)设定保留ip地址。

地址规划

ip地址规划主要涉及到网络资源的利用的方便有效的管理网络的问题,ipv6地址有128位,其中可供分配为网络前缀的空间有64bit。按照最新的ipv6 rfc3513ipv6地址分为全球可路由前缀和子网id两部分,协议并没有明确的规定全球可路由前缀和子网id各自占的bit数,目前apnic能够申请到的ipv6地址空间为/32的地址。

ipv6的地址使用方式有两类,一类是普通网络申请使用的ip地址,这类地址完全遵从前缀接口标识符的ip地址表示方法;另外一类就是取消接口标识符的方法,只使用前缀来表示ip地址。

ip地址的分配和网络组织、路由策略以及网络管理等都有密切的关系,ipv6地址规划目前尚没有主流的规则,具体的ip地址分配通常在工程实施时统一规划实施,可以遵循一些分配原则:

l  地址资源应全网统一分配

l  地址划分应有层次性,便于网络互联,简化路由表

l  ip地址的规划与划分应该考虑到网络的发展要求

l  充分合理利用已申请的地址空间,提高地址的利用效率。

ip地址规划应该是网络整体规划的一部分,即ip地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。ip地址的规划应尽可能和网络层次相对应,应该是自顶向下的一种规划。

cernet2分配给各个驻地网用户的ipv6地址空间会是一个或几个/48ipv6地址前缀。

我们知道全球可聚集ipv6地址的前缀为64位,后64位为主机的interface id.所以各个驻地网用户用于可分配的ipv6地址前缀空间的范围为/48/64之间。

ipv6的地址分配原则同ipv4一样遵循cidr原则。

ipv6的地址规划时考虑三大类地址:

1、公共服务器地址,如dnsemailftp等。

2、网络设备互联地址和网络设备的loopback地址。

根据ietf ipv6工作组的建议ipv6网络设备互联地址采用/64的地址块。ipv6网络设备的loopback地址采用/128的地址。

3、用户终端的业务地址。

此外由于目前网络设备的ipv6 mib信息的获取和ospfv3router id等均要求即使是一个纯ipv6网络也必须要求每个网络设备拥有ipv4地址。

所以一个纯ipv6网络也必须规划ipv4地址(仅需要网络设备互联地址和网络设备的loopback地址)。

 

路由规划

路由协议的规划:

1) 整个骨干网络采用ospf路由协议,ospf协议在整个骨干网中不会引起路由回环,利于校园网骨干网的健壮性。

2) 在汇聚与核心交换机之间采用ospf路由的方式,ospf路由的方式可以建设网络中心人员对于校园网的维护量。

3) ospf在校园网中只在核心骨干中进行运行这样大大减少了骨干节点之间ospf协议的收敛周期,在实际的应用的过程当中可以提高校园网的高稳定性。

4) 内置dhcp server实现全网的dhcp server的分散,避免单点故障。

5)核心交换机可以支持防私设dhcp server、与ids联动实现全网的安全无阻塞设计。

网络规划

的优势

 ipv6的发展是从1992年开始的,经过了12年的发展时间,ipv6的标准体系已经基本完善,在这个过程中,ipv6逐步优化了协议体系结构,为业务发展创造机会,归纳起来ipv6的优势包括如下几个特点:

地址充足:ipv6产生的初衷主要是针对ipv4地址短缺问题,,即从ipv432bit地址,扩展到了ipv6128bit地址,充分解决地址匮乏问题。同时ipv6地址是有范围的,包括链路本地地址、站点本地地址和任意播地址,这也进一步增加地址应用的扩展性。

简单是美:简化固定的基本报头,采用64比特边界定位,取消ip头的校验和域等措施,以提高网络设备对ip报文的处理效率。

扩展为先:引入灵活的扩展报头,按照不同协议要求增加扩展头种类,按照处理顺序合理安排扩展头的顺序,其中网络设备需要处理的扩展头在报文头的前部,而需要宿端处理的扩展头在报文头的尾部。

层次区划:ipv6极大的地址空间使层次性的地址规划成为可能,同时国际标准中已经规定了各个类型地址的层次结构,这样既便于路由快速查找址格式更具层次性,也有利于路由聚合,缩减ipv6路由表大小,降低网络地址规划的难度。

即插即用:ipv6引入自动配置以及重配置技术,对于ip地址等信息实现自动增删更新配置,提高ipv6的易管理性。

贴身安全:ipv6集成了ipsec,用于网络层的认证与加密,为用户提供端到端安全,使用起来比ipv4简单、方便,可以在迁移到ipv6时同步发展ipsec

qos 考虑:新增流标记域,为源宿端快速处理实时业务提供可能,有利于低性能的业务终端支持ipv6的语音、视频等应用。

移动便捷:mobile ipv6增强了移动终端的移动特性、安全特性、路由特性,降低了网络部署的难度和投资,为用户提供了永久在线的服务。

ipv6的上述特点充分迎合了未来网络向ip融合统一的发展方向,并提升ip网络的可运营可管理性。

新建ipv6网络相对前一种组网模式简单,选取支持双栈的交换机设备,按照现有的园区网建设模式组建网络即可。

核心层和汇聚层可选用双栈交换机,接入层可使用现有的二层接入交换机组网。根据用户带宽的需要,分别选用“百兆到桌面”或“千兆到桌面”的模式。

为提高网络的可靠性,汇聚层与核心层之间、接入层与汇聚层之间采用双归链路上联实现链路冗余;汇聚设备作为用户接入点网关设备,通过运行vrrp协议实现网关冗余;核心节点采用双核心部署保证节点冗余。

对于三层到桌面的需求,也可根据实际网络需求提供相应的ipv6三层接入交换机,同时根据端口汇聚的需要提供合适的汇聚交换机(如下图)。

路由规划

路由协议分为域内路由协议和域间路由协议,目前主要的路由协议都增加了对ipv6的支持功能。从路由协议的应用范围来看,ospfv3ripngis-isv6适用于自治域内部路由,为内部网关协议;bgp4 用来在自治域之间交换网络可达信息,是外部网关协议。

1.     域内路由协议选择

支持ipv6的内部网关协议有:ripngospfv3is-isv6协议。从路由协议标准化进程看,ripngospfv3协议已较为成熟,支持ipv6is-is协议标准草案也已经过多次讨论修改,标准正在形成之中,而且is-isv6已经在主流厂家的相关设备得到支持。从协议的应用范围的角度,ripng协议适用于小规模的网络,而ospfis-is协议可用于较大规模的网络。

对于大规模的ip网络,为了保证网络的可靠性和可扩展性,内部路由协议(igp)必须使用链路状态路由协议,只能在ospfis-is之间进行选择,下面对两种路由协议进行简单的对比。

目前在ipv4网络中大量使用的ospf路由协议版本号为ospfv2,能够支持ipv6路由信息的ospf版本称为ospfv3,能够支持ipv6路由信息交换的isis路由协议称为is-isv6

ospfv3

ospfv3ospfv2相比,虽然在机制和选路算法并没有本质的改变,但新增了一些ospfv2不具备的功能。ospfv3只能用来交换ipv6路由信息,isisv6可以同时交换ipv4路由信息和ipv6路由信息。

ospf是基于ip层的协议,ospf v3是为ipv6开发的一套链路状态路由协议。大体与支持ipv4ospf v2版本相似。

对比ospf v2,在ospf v3中有以下区别:

虽然ospfv3是为ipv6设计的,但是ospfrouter idarea idlsa link state id依然保持ipv432位的格式,而不是指定一个ipv6的地址。所以即使运行ospf v3也需要为路由器分配ipv4地址。

协议的运行是按照每一条链路(per-link)进行的,而不是按照每个子网进行的(per-subnet);

把地址域从ospf包和一些lsa数据包中去除掉,使得成为网络层协议独立的路由协议:

ospfv2不同,ipv6的地址不再出现在ospf包中,而是会在链路状态更新数据包中作为lsa的负载出现;

router-lsanetwork-lsa也不再包含网络地址,而只是简单的表示拓扑信息;

邻居路由器的识别将一直使用router id,而不是像ospfv2一样在某些使用端口会将端口地址作为标识。

link-local地址可以作为ospf的转发地址。除了virtual link必须使用global unicast地址或者使用site-local地址。

去掉了认证信息。在ospf v3中不再有认证方面的信息。如果需要加密,可以使用ipv6中定义的ip authentication header来实现。

ospf数据包格式发生了一些变化:

1)   ospf的版本号由2变成了3

2)   hello包和database description包的选项域增加到24位;

3)   认证域去掉了;

4)   hello信息中不再包含地址信息;

5)   引入了两个新的选项:r位和v6位;

6)   为实现单链路上多ospf进程的实现,在ospf包头中加入了instance id域;

7)   类型lsa 3名字改为:inter-area-prefix-lsa,类型lsa 4名字改为:inter-area-router-lsa

ospf v2ospf v3都使用最短路经优先算法,在area划分、链路类型、lsa传播等方面基本一致。

总的来说,由于ospf发展成熟,厂商支持广泛,已经成为世界上使用最广泛的igp,尤其在企业级网络,也是ietf推荐的唯一的igp。其他路由协议所能适应的网络和具备的主要优点,ospf都能适应。

ipv4ipv6的混合计算:

isis对于ipv6的支持是新增加了2tlv以便携带ipv6前缀,但是必须要求ipv4ipv6isis拓扑必须保持一致,为了增加灵活性又增加了新的tlv以支持多拓扑环境,即使用2spf去分别计算ipv4ipv6isis拓扑关系。

由于ipv4前缀、ipv6前缀、cspf以及未来所有的扩展tlv均在同一个lsp中进行扩散,所以导致的问题:

1、增加了网络中lsp的溢流程度。

2、因为现在lsp的分段最多到256个,从而这种混合计算方式更加限制了lsp中所能够承载ip prefix数量。

3、在ipv4ipv6以及ipv4流量工程(ipv6的流量工程目前还没有定义)混在的生产环境目前没有得到证实。它们之间的相互影响现在还没有确定。

ospf定义了新的版本ospfv3,采用新的lsa类型承载ipv6 prefix

所以ospfv3ospfv2是两个独立的路由进程进行独立的spf计算。

ospfv3的拓扑关系是基于链路而不是基于子网的,允许每链路上多个ospfv3进程。

ipv4ipv4的流量工程相对ipv6、及未来的ipv6的流量工程从原理上是互不影响,拓扑结构也可以完全不一致。

尽管isis被国内外大型运营商骨干所采用,但是cernet2为了验证ospfv3的新的特性,所以cernet2骨干网和城域网的igp协议采用了ospfv3.

2.     域间路由协议选择

域间路由协议采用bgp4 ,从而实现不同isp核心网络之间的互通,而且目前大多数典型的路由器设备都支持这个协议。bgp4 处理各isp间的路由传递,是一种域间路由协议。其特点是有丰富的路由策略,这是ripngospfv3等协议无法做到的,因为它们需要全局的信息计算路由表。bgp4 通过在isp边界路由器上增加一定的策略,选择过滤路由,把ripngospfv3bgp4 等路由发送到对方。

随着ipv6网络的大量组建,bgp4 将得到越来越多的应用。

3.     ipv6路由规划建议

相比cernet2核心网和城域网来讲,驻地网(校园网)内部的ipv6网络的路由规划较为简单。igp可以选择isisv6或者ospfv3,但是考虑到使用者的习惯、大多数三层交换机不支持isisv6路由,以及必要性。部署ospfv3可能更为实际。ospfv3域的设计可以沿用ospfv2的思路。

新建校园网全网部署双协议栈,ipv4部分和原有校园网平滑对接。三层设备上同时运行ospfv2ospfv3两套协议,尽管运行在同一个设备上,这两套协议是互相独立的。ospfv3的逻辑拓扑图(area规划)和ospfv2可以完全不同。

驻地网(校园网) ipv6出口的路由规划:

通常来讲,按照国际上ipv6地址的分配规则,cernet2城域网会分配一块或几块 ipv6 prefix ::/48的地址给驻地网(校园网)

对于单出口的情况,可能较为简单。cernet2城域网接入路由器将指向驻地网(校园网的静态路由引入到ibgp4 中宣告出去。

规划

h3c s9500通过标准的组播协议完成用户的组播管理,s9505均可以支持丰富的组播协议,包括icmppimsmpimdmmsdp等组播协议,可支持丰富的业务,包括视频点播、流媒体点播,可支持各种流媒体终端以及组播源的种类。并可以并通过hgmp协议将各楼道交换机也纳入到组播实现中。通过这种机制,使得整个网络的流量做到最优,有效的保证了视频点播、网络电视、会议电视、视频游戏等视频业务的开展,通过组播实现的视频业务有:

会议电视:利用网络和数字视像技术实现异地会议的交互传输和控制。

付费视频:按节目收费的视讯节目。

视频点播:交互式电视的一部分,它使用户可以随意选择所需的视讯节目,并可随意地控制节目播出(如快进、快倒、暂停等)。

网络教学:使用视频和通讯设备实现一点对多点或点对点的交互式异地远端教学,实现学生和教师的实时交流,学生还可随时进行学习点播和查询。

对于ipv6的业务开展,对于ipv6流媒体的访问同样可以采用ipv6组播协议进行ipv6业务的开展,通过核心、汇聚ipv6协议的支持,可以在全网开展ipv6业务,确保ipv6组播业务能够很好的开展,便于ipv6业务的丰富、提高。

优化

校园网络的发展日新月异,ip融合是大势所趋,校园网上语音、视讯等新应用的不断出现,对校园网络的服务质量也提出了新的要求,例如voip等实时业务就对报文的传输延迟有较高要求,如果报文传送延时太长,将是用户所不能接受的(相对而言,e-mailftp业务对时间延迟并不敏感)。为了支持具有不同服务需求的语音、视频以及数据等业务,要求网络能够区分出不同的通信,进而为之提供相应的服务,qosquality of service,服务质量)技术的出现便致力于解决这个问题。现实情况是,大家都认为qos非常重要,却极少在校园网中实施qosqos已经成为校园网中ip融合的技术瓶颈,一方面是以往校园网应用远远没有像今天这样丰富,qos部署的急迫性并没有被大家所重视,另一方面是在传统组网模式下,特别是在校园网这种复杂的网络环境下,qos整网部署并不那么容易。本文依据diffserv模型,分析了在各类已建成的校园网中部署qos的典型方案。

qos部署策略

    从已建成的各种类型的校园网的组网来看,最为典型的是核心层,汇聚层,接入层的组网模式,往上行的流量会比较大,带宽较高,接入层和汇聚层设备众多。   

 在校园网中,结合differserv理论,我们针对业务的qos功能有对应的设计方法,

l  报文的分类和标识:这是所有qos的基础,报文分类的清晰度,直接影响后续qos实现的功能需求,这是先决条件,当然分类可根据基于ipacl五元组或是ip报文的tos优先级,如ip precendence或是dscp值,基于mpls标签交换的还可使用mpls exp值来定义,或是通过以太网技术中的802.1p优先级。

l  car (commited  access rate)它根据报文的toscos值(对于ip报文是指ip优先级或者dscp,对于mpls报文是指exp域等等)、ip报文的五元组等信息进行报文分类,完成报文的标记和流量监管。常用于对业务流进行限速。

l  流量整形(traffic shaping)是一种主动调整流量输出速率的措施。流量整形与流量监管的主要区别在于,流量整形对流量监管中需要丢弃的报文进行缓存——通常是将它们放入缓冲区或队列内,整形可能会增加延迟,而监管几乎不引入额外的延迟。

l  队列技术: pqcqwfqcbwfq等队列技术对拥塞的报文进行缓存和调度,实现拥塞管理。主要应用在转发设备的出接口上,重点用于保证相应的业务流的带宽或是减少时延。

l  拥塞避免(congestion avoidance),是指通过监视网络资源(如队列或内存缓冲区)的使用情况,在拥塞有加剧的趋势时,主动丢弃报文,通过调整网络的流量来解除网络过载的一种流控机制。与端到端的流控相比,这里的流控有更广泛的意义,它影响到路由器中更多的业务流的负载。当然,路由器在丢弃报文时,并不排斥与源端的流控动作比如tcp流控的配合,更好地调整网络的流量到一个合理的负载状态。好的丢包策略和源端流控机制的组合,总是追求网络的吞吐量和利用效率最大化,并且使报文丢弃和延迟最小化。

核心层:核心层为s9512这样的高速以太网交换机,在本地的交换接口为ge,这种情况下要求设备高速转发,而在differserv模型体系中,对高优先级的ip报文,以太网交换机会实现优先转发,高速接口上,对限速或是带宽保证的意义已经不大,s9512实现的qos功能,仅作为在核心基于控制的需要,可完成流量监管,流量整形,队列调度等qos

    通过以上的设置和规划,充分利用交换机硬件转发的能力,对流分类时采用ip tos值的定义,可有效地实现网络中在需要部署qos的设备或是线路上进行控制,不需要时不用消耗网络设备的资源,不用信令交互,根据数据业务的流向,实现端到端的qos。同时为减轻相应的业务流量,在校园网的应用中,多采用组播技术也能有效地节省线路带宽资源。

无线局域网(wlan)技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点:

1)  简易性:wlan网桥传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作;

2)  灵活性:无线技术使得wlan设备可以灵活的进行安装并调整位置,使无线网络达到有线网络不易覆盖的区域;

3)  综合成本较低:一方面wlan网络减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网技术可以更好地保护已有投资。同时,由于wlan技术本身就是面向数据通信领域的ip传输技术,因此可直接通过百兆自适应网口和学校内部intranet相连,从体系结构上节省了协议转换器等相关设备;

4)  扩展能力强:wlan网桥系统支持多种拓扑结构及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统;

随着wlan技术的快速发展和不断成熟,目前在国内外具有较多的中大规模应用,诸如荷兰的阿姆斯特丹市的全城覆盖,向客户提供各种业务。

1)  侧重实际应用,覆盖校园内部分区域,为教学和学习生活提供切实可用的无线网络环境;

2)  采取通行的网络协议标准:目前无线局域网普遍采用802.11系列标准,因此校园无线局域网将主要支持802.11g54m带宽)标准以提供可供实际应用的相对稳定的网络通讯服务,同时兼顾多种类型应用和将来的投资保护,需要同时支持801.11a802.11b,实现双频三模技术;

3)  全面的无线网络支撑系统(包括无线网管、无线安全,无线计费等),以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题;

4)  保证网络访问的安全性;

5)  采用非独立型的无线网络结构选型;

6)  覆盖范围要求

i.   有线网络无法接入的室外场所:校园内一些场所很难实现网络有线接入,采用无线方式可以实现覆盖大范围室外空间的无线网络接入。本次建设主要包括各宿舍及教学楼附近空地等。

ii.      有线网络使用不便或受限的室内空间:校园内一些室内场所空间较大,会产生许多人同时接入网络的需求,采用有线的方式只能提供少量接口,不能满足要求。用无线网络覆盖来解决相当数量的移动设备同时访问网络的问题。主要包括图书馆、主楼、各教学楼等;

7)  安全、认证、计费和管理要求

要与现有的计费系统对接,实现针对用户计费、管理、控制功能;

8)  校园无线网网络结构要求:

无线接入所需布设的ap通过校园网的汇聚层设备接入到校园网中,在汇聚层都提供相应的接口给无线网线,在接入层设备要在方案中进行描述。

9)  工程布线和安装要求:

i.      室内部分:定好较为开阔位置,将网线和电源线走暗线敷设到位;挂在墙上,可利用设备本身自带的安装附件进行安装;如果需要遮蔽,则需要定制非金属安装盒;如果是挂在天花板上,则根据天花板的情况而定,若天花板是非金属结构,可以固定在天花板内。安装过程中应充分考虑防盗问题。

ii.     室外部分:根据设备位置有两种布线方式。如果ap设备放置在楼顶,则需要走网线和电源线;如果ap设备放置在室内,天线放置在室外,则需要走天线馈线。这两种方式馈线都需走铁管,贴防水胶方式处理,安装过程中应充分考虑防盗。

iii.   供电部分:ap的供电可采用poe方式由接入的网络设备进行供电(无需本地供电)。

10)  产品能力要求要求:

i.      产品支持aeswep加密等安全标准;

ii.      漫游切换;

iii.    支撑qos能力

本方案主要采用802.1x认证,wa2110wx5002通过二层隧道协议通信,无线用户的认证点都是放置于wx5002设备上,后台的windows 2000 advanced server自带raidus系统作为用户鉴权点。

鉴于目前无线网络规模较小,从网络支撑能力的角度来看,目前需要1wx5002即可实现,当无线网络规模扩大时,通过平滑扩展多台wx系列无线控制器,可实现整个无线域的集中管理。

xxx学院无线局域网络主要服务于学校的学生与教师,也是规模的公众型网络,同时由于学生出于技术的研究兴趣,会对网络发起各种各样的攻击行为,此时网络安全问题在建网时必须考虑问题,安全方式主要侧重几个方面:用户安全、网络安全,而在校园网络中主要依附于用户实体的属性主要包括用户使用的信息终端二层属性(诸如:mac地址)及用户的帐号、密码,而对于学校学生用户来,帐号信息都是一个实名原则,与学生的学藉进行关联的,这样本无线网络中着重考虑使用无线网络的空口信息的安全机制,同时也要考虑与无线相关的有线网络的安全问题,对于原有有线网络的安全问题,在本技术建议书中不作相应的考虑;

1)  无线网络安全:

无线网络安全部分主要包括以下方面的内容:

地址过滤:目前支持基于mac地址的过滤,限制具有某种类型的mac地址特征的终端才能进入网络中;

ii.     ssid管理:是一种网络标识的方案,将网络进行一个逻辑化标识,对终端上发的报文都要求进行上带ssid,如果没有ssid标识则不能进入网络;

iii.   wep加密:wep加密是一种静态加密的机制,通信双方具有一个共同的密钥,终端发送的空口信息报文必须使用共同的密钥进行加密;

iv.   支持aes加密,aes安全机制是一种动态密钥管理机制,同时密钥生成也基于不对称密钥机制来实现的,同时密钥的管理也定期更新,具有体的时间由系统可以设定,一般情况都设定为5分钟左右,这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来,从无线空口的流理来看,基本上是不可能的;

v.    华三通信的无线方案中可根据用户名来划分权限,即相同用户在不同地点接入无线网络其权限保持一致;密钥设置可能根据ssid信息与用户信息进行组合,即不同的ssid下不同的用户的密钥生成可以不一样,这样一定程度上保证用户之间串号问题产生,从而保护投资,以达到营维平衡;

vi.   h3c公司的ead方案实现流量异常、报文异常监管,从而保护网络的进一步安全;

(支持双频三模,建议部署802.11g

802.11g使用开放的2.4ghz  ism频段,可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5个信道的工作中心频点。因此对于802.11g2.4ghz地工作频段,理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。此外,由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。

针对如何进行802.11g的频率规划作了大量的实验,实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖,并提供更高的服务带宽提高服务质量,和高带宽业务的开展。`

n 频率规划原理图

频率规划需要配合使用的功能包括:

i.      ap支持13个信道设置

ii.     ap支持100mw最大射频功率以及多级功率控制

iii.   ap支持外置天线以及定向天线

iv.   针对特殊应用还需要ap支持桥接功能、接入功能以及wds功能

由于本次无线网中ap设备数量较多,ap布放位置根据实际覆盖效果而调整,在已建设完成的建筑物上较难进行本地供电,基于标准的802.3af实现对ap的供电。通过在汇集交换机处叠加一个供电电源或者内嵌交换机内,通过以太网线在传输数据同时给ap供电,供电距离达100米,满足实际组网的要求。

从整体的统计看来,xxx学院此次的无线覆盖设计基本上可以分为以下几种类型:根据实际工勘的结果来看,可以归纳为两大类:ap室内无障碍覆盖、ap室内穿越障碍覆盖,下面则对这两类覆盖分别进行描述:

1)  ap室内无障碍覆盖

主要应用于空间较大的阶梯教室等重点室内区域,此时主要信号进行此空间内覆盖,无需要考虑到穿越墙壁、地板等障碍物对隔壁空间的覆盖;此时又分二种情况,划分原则主要要看是否要使用吸顶天线的问题,根据实现工程勘测情况来看,室内部分都可以采用吸顶天线的方式进行操作。

2)  ap室内穿越障碍覆盖:

主要应用于各办公楼、图书馆、各教学楼等中间走廊两边房间结构室内区域,因为无线信号穿越墙壁、地板等障碍物会存在衰减,但在走廊式结构的室内区域具备一定的穿越障碍的能力,一般是穿越一道墙壁之后信号效果较好。因此这样的结构适合在走廊中布置ap,来覆盖两边的房间区域;并且根据实现工程勘测情况来看,室内走廊部分都可以采用吸顶天线的方式进行操作。

根据本项目第一阶段的需求与将业的业务发展需求,初步确定主要覆盖以下空间:

楼宇

机房位置

负责覆盖需区域

ap数量

48poe交换机数量

24poe

交换机数量

 

1层南配线间

负责15层的南楼布线

 

 

 

3层中配线间

负责15层的中楼布线

 

 

 

3层北配线间

负责15层的北楼布线

 

 

 

 

1层南配线间

负责12层的南楼布线

 

 

 

1层主配线间

负责1层大厅和办公区布线

 

 

 

1层北配线间

负责12层的北楼布线

 

 

 

3层南配线间

负责3层南楼布线

 

 

 

3层北配线间

负责24层中楼和34层北楼布线

 

 

 

合计

 

 

 

 

简单同轴分布式天线系统原理图

本示意模型是业界采用wlan频率规划技术对校园覆盖的标准示意模型,首先说明采用wlan技术可以按客户的需求结合wlan现场勘探与频率规划可以实现最终用户的随时随地接入。(图111g进行描述的,对于11g的模型一致)其次采用2.4g频段的ieee802.11g技术在国家无委规定的2.4~2.4835mhz频段共计有13个载频,互不干扰频段有3个如1611#(由于802.11g技术采用直序扩频技术,1个中心频点的载频对前后临频、隔频都有一定的干扰),也就是采用互不干扰频段结合功率控制、覆盖方向以及蜂窝规划,可以实现用户需要的带宽以及覆盖,单点可提供的接入带宽有33mbps。另外,针对学校wlan覆盖建议为教室、礼堂、图书馆、实验室等需要带宽较高的场所建议采用全向覆盖,除解决覆盖同时还要考虑接入带宽,对于学校的室外休闲区域如操场、校内公园、生态走廊、草坪等主要解决覆盖,采用定向天线做大范围覆盖,解决最终用户的接入即可无需过多概率接入带宽。

信号强度和传输距离的换算公式

ap加卡的信号总强度公式:

gtgrap天线增益+终端天线增益=l信号总强度(db

gtap或终端功率,单位db),gr(终端或ap灵敏度,单位db

距离产生的信号衰减公式:

4020lgdl1db d(距离,单位m

工程中最大传输距离以45m计算,所以l172db

障碍物的衰减:

物体

db

地板

30

带窗户的砖墙

2

办公室墙

6

办公室墙的金属门

6

砖墙的金属门

12.4

靠近金属门的砖墙

3

工程中实际的障碍物的最大衰减是临窗墙的衰减3db加上房间墙的衰减12db等于15db

 

 

伴随着信息化建设的深入,学校信息部门的工作重点也逐渐发生着变化,从最初满足教学科研需要的计算中心,到为全校提供网络服务的网络中心,目前,正在向着丰富网上资源,更好地为教师、学生、以及校内的其他业务部门服务的数据中心转变。

校园数据中心是数据大集中而形成的集成it应用环境,它是各种it业务和应用服务的提供中心,是数据运算/交换/存储的中心,实现对用户的数据、应用程序、物理构架的全面或部分进行整合和集中管理。数据中心的建设中,存储系统的建设和完善贯穿始终,这和当前应用系统建设的重点是相一致的。不论是各种数字资源,还是需要备份保存的业务数据,其中心内容都是对于信息(数据)的管理和使用。在信息社会的今天,存储系统作为数据的载体,其重要性也越来越大,甚至成为决定系统建设成败的关键因素,所以,校园数据中心要详细考虑存储系统的规划方案和建设思路。          

 

分析

数据集中存储

校园数据中心运维多套应用系统,为了提高存储设备的应用效率降低整体拥有成本,需要建设集中的存储系统,搭建性能优异、经济高效、管理方便、扩展容易的存储平台。

实现数据和系统保护

对学校而言,一卡通、教务系统、图书馆、邮件系统的数据是至关重要的资产,是学校运行的基础,需要建立数据备份机制,保障数据安全;

除了对数据进行备份以外,应用系统的保护和快速恢复也是关注的重点,需要建设系统备份和快速恢复机制。

灾难恢复

随着校园信息化的深入,学校的日常运转越来越依赖于信息系统。传统的备份手段难以应对火灾、地震、电力故障的灾难事件,需要为数据中心建设灾备中心,实现灾难恢复。

多服务器集中存储zl尊龙凯时集团的解决方案

校园数据中心包含邮件服务、门户网站、ftpvod等多种应用,还需要为校园内其他部门提供服务器托管业务,满足存储空间的扩展需求。一个中等规模数据中心的数据需求如下:

业务类型

说明

数据量

邮件

为全校师生提供邮件和网络硬盘服务

3-5tb

精品课程

校内精品课程保存

2-5tb

ftp

校内下载平台

2-5tb

vod

视频点播等

5-10tb

校园门户

门户网站、论坛、搜索引擎等

2-3tb

备份平台

满足校内所有数据的备份需求

5-10tb

除海量数据以外,数据中心还拥有20-30台服务器,属于典型的多服务器集中,海量数据存储的环境。

多服务器集中zl尊龙凯时集团的解决方案采用h3cex800/ex1000/ix1000/ix3000作为存储系统实现了数据的集中管理。该方案采用ip san交换机构建基于ip的存储区域网络(ip san)。

所有需要连接存储设备的服务器,如数据库服务器,只要安装千兆网卡,并安装软件的iscsi initiator,就可以通过以太网获得存储设备,从而不需要购置价格昂贵的hba卡。主流的操作系统aix\solaris\linux\windows都支持这种千兆网卡加软件的iscsi initiator的实现方式。对于那些对于cpu负荷比较重的服务器,可以安装通过iscsihba卡的方式连接到系统,将部分存储运算交给hba卡完成,从而减轻主机cpu的负荷。

存储设备能够利用多种集群软件实现双机热备。例如ibm集群软件hacmprose等,保证oracle数据库等系统的高可用性。ix3040还可以通过dynapath为应用主机提供多链路负载均衡和故障切换功能。为了实现多链路冗余,数据库服务器需要在原有2块网口的基础上,增加新的网卡。

日后如果需要扩展应用服务器的存储,可以随时安装操作系统所对应的iscsi initiator,配合以太网卡连接到存储系统。ix3040通过划分不同的卷,以保证各个应用系统互不干扰。

方案特点

l  接入成本低,采用以太网卡和ip san交换机的接入成本远低于fc的接入成本;

l  组网方式灵活:既可以采用专门的交换设备,组成存储专用网络,也可以把存储设备、服务器直接连接在核心交换机上;既可以采用san连接方式,也可以采用nas方式,满足不同的业务需要。

l  高扩展性,由于采用了全交换的模块化体系结构,能够按照需求的变化,逐步增加存储容量和功能,从而降低初次投资金额。控制器、磁盘柜、交换容量可以灵活扩充,满足业务发展的需求,实现存储设备的性能和容量的在线线性扩展

l  多模式应用,ex800/ex1000/ix1000支持san/nas一体化功能;

l  支持远程的安全接入方式,远端的服务器设备可通过成熟、可靠的ip网络和安全传输技术接入到集中存储中;

l  采用iscsi技术搭建的存储平台:管理和维护简单方便,网管人员就能承担存储设备的日常维护工作,降低培训费用,提高人员利用率。

备份zl尊龙凯时集团的解决方案

当前,校园的应用系统分散在网络中心、图书馆、财务处、教务处等不同的地方,缺乏统一的数据保护机制。h3c基于ip技术的存储系统能够和备份软件紧密结合,充分利用现有的校园网络,实现全校分散应用的集中备份。

只需将h3cex800/ex1000/ix1000/ix3000存储产品和备份软件配合部署,在需要备份的服务器上安装代理软件,就能够通过现有的校园网络实现d2d(磁盘到磁盘)的备份。

如果在服务器上增加一块网卡,还能够在不增加软件费用的情况下,实现lan-free的备份方式。即备份数据流直接从应用服务器到备份存储设备上,不再经过专门的备份服务器,从而绕开了备份服务器的性能瓶颈问题,提高了备份的效率。

方案特点

l  利用现有的校园网络,实现全校分散应用的统一备份;

l  兼容性好:能够和所有主流的备份软件协同工作

l  除磁盘系统以外,h3c还提供虚拟磁带库dl1000,能够和现有备份环境无缝衔接,如实现d2d2t(磁盘到磁盘再到磁带)的备份;

l  配置灵活:通过增加一块网卡,就能够实现lanfree方式备份,不占用用户业务网络的带宽,节约软件费用;

l  扩容方便、管理简单、维护成本低。

恢复zl尊龙凯时集团的解决方案

学校大量的应用都处在单机运行的状态下,如webvod等,没有应用系统的保护手段,一旦出现故障,就会导致服务器宕机,应用长时间停顿。

h3c的应用系统保护/恢复zl尊龙凯时集团的解决方案通过在每台主机或者pc上安装一套disksafe数据复制软件,将主机操作系统、应用软件和环境设置等系统信息直接复制到ex1000/ex800存储上,实现应用系统的备份。如果系统宕机,只要通过一张recover cd(恢复光盘)就能够迅速完成应用系统的恢复,而不需要人工逐一安装恢复操作系统、应用软件和环境设置。如果服务器上配置了iscsi hba卡,支持通过存储设备,远程启动服务器,极大的提升恢复的速度。

disksafe不仅可以保护服务器,还能用于保护教职员工的个人电脑,为他们提供快捷的系统恢复功能。

 

方案特点

l  全面保护应用系统(包括操作系统、应用软件和环境设置);

l  操作简便:通过一张光盘就能够实现恢复整套应用系统

l  在系统宕机时,把应用恢复的时间从原来的0.5-2天缩短为30分钟

l  如果配置了iscsi hba卡,就能够实现远程启动,应用恢复的时间进一步缩短为5分钟

      

 

为保障校园数据中心的信息安全,数据远程容灾备份必不可少。数据中心往往利用分校区或图书馆的机房作为灾备中心,利用现有校园ip网络实现关键数据的异地存放。

h3c的远程容灾备份zl尊龙凯时集团的解决方案符合学校的要求和数据保护技术发展的趋势。采用基于ip标准化的块增量复制技术实现在现有网络上的数据异地存储,利用timemark技术切实保护校园数据的安全性和快速恢复。通过在数据中心与灾备中心之间对关键业务数据进行策略性增量复制,实现数据的异地备份,并在发生意外灾难时对数据进行快速恢复,确保数据中心的业务持续性。

h3civ5000虚拟化管理平台能够整合异构的存储设备,使得不同厂家、不同接口协议的存储设备能够在统一的平台之上,实现异构存储设备的统一管理和统一灾备,从而降低容灾备份的成本和实施的复杂程度。

方案特点

l  结合快照和远程复制技术,实现连续的数据复制和快速的数据恢复,确保最少的数据损失和最快的恢复速度;

l  基于块增量的远程复制技术有效的利用广域网线路带宽;

l  结合快照技术,实现数据的连续保护,避免各种软错误导致的系统故障;

l  采用iv5000可兼容现有的存储构架,实现异构存储的统一灾备。

当前,以数字化校园为特征的教育信息化发展更为迅速,各种信息化应用正改变着老师和学生们的工作、学习、生活以及思维方式,引发了教育行业一场新的革命。学校基本的教学教务管理、科研管理、后勤管理、数字图书馆、视频服务系统、办公自动化系统和校园社区服务等应用系统的建设有了初步的规模,“一卡通”业务在很多学校也开始应用。在校师生的认识水平和技术水平上了一个台阶,对于信息化工具的使用已变成为一种自觉和自愿的行为,为“十一五”数字化校园的进一步发展打下坚实的基础。

为预防、震慑犯罪,减少财产损失,保障师生员工的人身安全,完善xx学院安全防范体系、提高校园整体防控能力,创建一个文明、安全、和谐、美丽的校园环境,建设xx学院园区视频监控、防盗报警、可视报警、办公自动化等安全防范综合业务管理于一体的安防综合业务管理系统。“xx学院校园监控系统”将建设成一套以打击、预防违法犯罪为目的,在学院和宿舍等出入门口、重要路段、重要教学、科研、实验室、管理等地点设立视频监控点,将监控图像实时传输到监控中心和其它相关部门,通过对图像的浏览、记录等方式,使各级机关和其它相关职能部门直观地了解和掌握监控区域的治安动态,有效提高xx学院治安管理水平的视频监控系统。

各监控场所与xx学院监控中心千兆以太网链接;所有监控场所都已经做到裸光纤到位,千兆位数据网络交换能力。希望建设这个网络环境,实现前端现场点监控图像的全数字化(高清晰度、全实时),传输网络化(tcp/ip,图像数据存储可做到集中或分布式存储。在xx学院外网内各类用户(用户权限许可)可以对前端现场监控可实时图像监控;对存储图像可实现xxx学院网内,保卫部门调阅播放和下载所有网点监控摄像机图像和监听麦克风的音频信号(具有网络vod点播功能)。

建成后的全数字监控存储系统以实时监控录像为主,系统不仅在结构上具有扩展能力,而且在业务上也有综合应用能力,包括图像传输、远程监控、数字图像数据远程集中存储,远程实时点播回放(储存数据图像)等等。

 

网络设计:根据监控点和实际情况建立独立的监控系统外网!

建成后的“xx学院校园监控系统”作为治安信息化管理的有效途径之一,其建设的力度、程度、广度将在一定程度上提高全区治安管理的统一指挥、快速反应、协同作战水平。

 

l 《安全防范工程技术规范》 (gb 50348-2004

l 《安全防范工程程序与要求》 (ga/t75-94

l 《安全防范系统验收规则》 (ga308-2001

l 《安全防范系统通用图形符号》 (ga/t74-2000

l 《民用闭路电视监控系统工程技术规范》 (gb50198-94

l 《工业电视系统工程设计规范》 (gbj115-87

l 《音频、视频及类似电子设备安全要求》 (gb8898-2001

l 《测量、控制和试验室用电气设备的安全要求》 (gb4793-2001)

l 《信息技术设备的安全》 (gb4943-2001

l 《邮电通信网光纤数据传输系统工程施工及验收技术规范》

l eia/tia568aeia/tia569a国际电子工业协会通信线缆、通讯路径和空间标准

l iso/ice/is11801结构化布线标准

l iso tcp/ip协议标准

l iso/iec 13818 mpeg-2协议标准

l iso igmp/cgmp协议标准

l 10base-t100base-tx标准 ieee802.3ieee802.3u

l 《中华人民共和国通信行业标准》(yd/t926

l 《城市市政综合监管信息系统技术规范》(cjj/t 106-2055

学院视频监控总体架构图

 


1) 数字视频编解码系统

数字视频编解码器支持h.264mpeg2mpeg4mjpeg等多种标准编码格式,提供从单路到16路各种密度的规格,可支持实时流和存储流双流设计,并能够支持高至8mbps的高清码流或低至128kbps的标清码流并且可以根据用户需求任意调整,数字编解码设备应采用电信级制造工艺,可以基于各种网络环境高质量、可靠的满足各类网络监控前端编码、存储和解码的需求。

2) 网络视频存储系统

专业的ip存储技术和强大的数据管理服务器构建完善的网络存储系统,存储资源可以根据需求分布式部属并加以统一资源管理和调度,支持动态存储资源管理、在线部属,可以基于统一平台满足不同存储质量、容量和服务质量的需求,可以提供完善的备份和存储生命周期管理功能,同时视频图像的nas备份功能。

3) 系统管理平台

包括专用的视频管理服务器、数据管理服务器、客户端和流媒体服务器,视频管理服务器是用于集中认证、注册、配置、控制、报警转发控制的专用信令服务器,可以实现完善的视频编解码设备网络管理功能,支持多台信令管理服务器相互协同工作组建多级多域的管理平台。

数据管理服务器主要功能为管理存储设备、存储资源和视频数据,支持对系统所有存储资源进行全方位的监控和管理,支持不间断的视频检索、回放等业务

客户端可以提供友好方便的人机界面功能,包括监控对象的实时监视监听、查询、云台控制、接警处理,并集成了基本的gis功能方便用户操作。

4) 承载网络系统

采用现有广域网资源对前端视频编码器传输的数据进行接入、汇聚、交换。通过设备自身安全特性和防火墙等实现对边界安全接入的控制,同时可通过网络本身的设备、协议冗余实现整个监控网络的稳定性。

根据xx学院的具体情况,建立以主校区为指挥中心、通过指挥中心平台完成对下属院系、分校区监控系统的接入,同时在监控总指挥中心建立基于网络的虚拟存储系统,在各分中心可以根据广域网带宽情况而定是采用分布式存储,对重要的图像数据进行备份的功能,系统分为二级联网,分别是:

1).  总中心:xx学院主校区;

2).  下属院系、分校区。



各级监控中心结构如下图所示:


 

从上图可以看出,整个校园视频监控系统在结构上分为主校区监控指挥中心、下属院系/分校区的两级结构组成,具体描述和说明如下:

主校区监控指挥中心一级平台主要完成整个校园所有视频监控系统的视频图像管理,主校区监控指挥中心通过部署中心管理服务器、流媒体管理服务器和存储服务器分别完成对整个校园视频监控系统的管理、视频图像的分发和重要视频数字的存储功能;主校区监控指挥中心通过ip网实现主校区指挥中心系统通过实时视频图像全面掌握各个校区的安全情况,保障校园师生的安全,保证教学、科研等顺利进行。

从上图中可以看出,主校区监控的图像信息平台是整个系统的控制管理中心,通过该平台完成整个校园视频图像资源的联网图像的调度、管理、分发和互通功能;通过视频管理服务器vm8000完成下属院系/分校区视频图像的接入、认证、权限分配,具体部署如下:

在总部指挥中心部署vm8000视频及dm8000数据管理系统,vm8000视频管理系统完成整个系统中所有设备的认证、注册以及控制信令的下发功能;同时实现对电厂分控中心图像的管理、授权、控制功能;同时vm8000视频及数据管理系统支持分级分域部署,通过总部指挥中心的vm8000设备的部署完成各个电厂系统中设备的管理、认证以及权限分配功能。

dm8000数据管理服务器完成数据的管理功能,可通过总部指挥中心的dm8000完成总部和各个电厂ipsan存储资源计划、资源分配、以及存储设备检查和存储数据的检索功能,同时在安全事件发生时,可完成指挥中心对电厂事故现场重要视频图像的备份存储功能。

主校区应急指挥中心总控中心通过部署dc1001解码器和vc8000软件客户端实现对整个系统中所有图像资源的数字解码功能,总部应急指挥中心显示大屏可通过解码器自带的视频输出接口直接与监视墙进行连接;同时对于总部指挥中心工作人员或领导,在电脑上安装一套软件视频客户端vc8000实现实时浏览前端图像、检索历史重要数据、以及对前端摄像头进行ptz控制以及编码器的设置功能,从而实现在指挥中心对前端图像源进行管理。

本次xx学院视频监控系统zl尊龙凯时集团的解决方案借鉴ngn(下一代通讯网络)架构,采用视频流控制和承载交换相分离的机制,可以高质量的实现各种监控业务,包括实时监控、视频信息存储及历史视频流回放等。其中vm视频管理服务器是整个系统的信令控制和管理核心,所有监控的控制流都由vm视频管理服务器处理。

dm数据管理服务器作为存储系统的管理核心,可以对分布式部属的ip san网络存储设备和er编码器中存储资源进行统一的存储资源管理,灵活实现各种应用;系统中的实时监视流则是通过ip网络进行以分布式的交换和处理。

分校区监控zl尊龙凯时集团的解决方案

1)院系保卫处,在本校区下属院系的情况下,可以由中心集中进行存储。

按需进行配置解码器上电视墙,如果中心配置了xe语音服务器的情况下,可以进行ip接警电话的设置。

2)对于分校区的情况下,考虑到广域网带宽不够情况下,可以在各个分校区进行分布式存储。通过主校区的数据管理服务器进行统一管理。

 

 

 

3)对于大型分校区,可以进行二级视频管理平台建设,增加vm 5000视频/数据管理服务器,与主校区的vm管理服务器形成两级管理结构。

可部署vm5000管理平台,vm5000管理平台与总部vm8000构成分级管理平台,完成整个校园内新建系统中所有设备的认证、注册以及控制信令的下发功能;

vm5000同时完成数据的管理功能,完成ipsan存储资源计划、资源分配、以及存储设备检查和存储数据的检索功能。

xx路摄像头,分别采用单路编码器(xx路)、四路编码器(xx路)、八路编码器(xx路)等编码器接入。在分校区控中心,可以部署9路解码器连接监视大屏,实现9路实时监控图像同时显示。 


本套系统基于单播网的业务流处理机制-实时监视流与存储流分开处理,系统管理和业务流程如下所述:

1)实时视频流

实时流具有偶发性,并具备大收敛比,可通过ip网络组播和ms8000流媒体分发服务器的部署实现实时图像流的分发功能支持大规模监控,减少传统方案的瓶颈和图像的延时。

2)、存储视频流

视频存储流采用文件方式直接写入存储中,充分发挥ip san存储的高效、可靠和可扩展性,解决大容量存储中间服务器的瓶颈问题。

3)点播回放流

视频管理客户端和解码器通过udp单播访问ec编码器,引入相应监控场景的音视频流,从而实现实时查看不同监控场景的功能。

4)控制流

视频监控系统包含的管理服务器和软件有:数据管理服务器(dm)、视频管理服务器(vm)和视频管理客户端(vc),它们之间以及与系统终端设备之间的交互信息通过控制流交换。

 

学院校园监控系统功能实现

1).    可通过网络获取实时图像资源和历史图像数据。

2).    可用办公管理计算机通过客户端应用软件可实时播放本辖区实时图象(有用户权限管理)。

3).    可用办公管理计算机通过客户端应用软件可点播播放存储图像,下载图像数据文件。

4).    在用户权限许可的情况下可以实时监控其他分控中心辖区图像实况。

5).    在用户权限许可的情况下可以可点播播放其他分控中心存储图像,下载图像数据文件。

6).    在用户权限许可的情况下可以控制云台摄像机,高速快球摄像机等

7).    可以通过解码器在电视墙上对所有图像或者重要图像——如校门口等进行轮切。

8).    对所有前端所有监控点的储存监控信息进行回放,实现查询、下载、复制,抓拍等功能。

9).    与监控点前端报警单元联动,监控部位发生报警,中心管理平台显示器自动弹出相关地点实时视频监控画面功能;

10). 有矢量电子地图(gis)和报警视频联动功能;

11). 关联辅助指挥软件,同步在电子地图上显示监控点基本信息和相关处警预案;

 

/分校区监控中心实现功能

1).    管理所有允许权限的网络上视频设备(图像编码器、图像解码器、分布式ip-san所有客户端软件登录计算机用户)

2).    管理系统内允许权限的视频管理服务器vm服务器和存储管理服务器dm,完成vm服务器和存储管理服务器dm上数据同步。系统中心时钟。

3).    通过配置imc网管软件对全网网络设备和网络存储设备进行实时监控管理。

4).    实时监控所有允许权限的前端监控点声音图像。

5).    可检索允许权限的ip san存储图像。

6).    可通过客户端软件控制解码器,解码前端编码器图像,只要权限允许可以所有编码器图像。实现网络矩阵功能。可轮切换,序切换,不限制解码器数量

7).    负责向其他职能部门提供图像监控接入服务。

8).    对允许权限的所有前端所有监控点的储存监控图像进行回放,实现查询、下载、复制、抓拍等功能。

9).    与监控点前端报警单元联动,监控部位发生报警,中心管理平台显示器自动弹出相关地点实时视频监控画面功能;

10). 有矢量电子地图(gis)和报警视频联动功能;

11). 关联辅助指挥软件,同步在电子地图上显示监控点基本信息和相关处警预案;

zl尊龙凯时集团的解决方案提供了开放的api接口,可以与三台合一报警服务台联动。并可提供应急指挥系统、gis地理信息系统等各种应用的结合。

在前端编码器上,系统提供了开关告警接口,可以与红外报警等其他周界保护系统结合。当出现告警时可自动提醒管理员,并进行声光告警。

可以把应急电话会议、报警电话、平安校园监控集成在一起,形成校园应急指挥中心,在出现意外情况时,可以利用报警电话系统进行报警,视频监控系统看到对应现场的视频图像,同时可以召开紧急视频会议,把现场监控图像与视频会议系统结合起来,主管领导可以对现场情况进行实时分析、监控。

 

管理中心/信息中心:视频监控管理服务、报警主机、语音服务器、视频会议mcu、网 络存储(ip san)可集中部署在中心机房;

应急指挥中心:部署接警电话、电视会议终端等;

监控中心:校保卫处主要部署显示部分、报警联动,接警电话等。

实时图像点播业务包括视频采集、传输交换、控制和显示四个主要环节。

在管理员的控制下,将摄像头的图像实时在视频监控客户端和解码器后的电视上播放出来的业务流程如下。

1). 控制环节:

首先管理员通过视频监控客户端的业务控制界面,选定编码器下的摄像机为视频源,视频管理客户端播放软件和解码器下的电视为显示设备。

业务申请提交之后,视频管理服务器通过sip通信协议,向编码器下发指令:按照指定格式编码后将媒体流发送到某地址上;向视频管理客户端播放软件和解码器发送指令,接收媒体流,交换机上即刻建立转发表,用于报文的转发。

2). 视频采集:

摄像头采集图像后,以模拟视频信号方式传送给编码器;

编码器进行a/d(模拟到数字)转换,使用内部的专用芯片,编码压缩为视频媒体流数据,使用ip报文的形式发送到网络;

3). 传输环节:

经过解码器的解码,然后进行d/a转换,就可以将现场图像实时的还原到监视器上。如果不使用解码器,也可以通过客户端软件,接收媒体流,通过计算机的软解码,直接显示到计算机的显示器上。

4). 显示环节:

解码器接受到流媒体报文,使用内部专用解码芯片将压缩过的视频信息解码,并进行d/a(数字到模拟)转换,将高效还原后的模拟图像实时送到监视器上显示出来。

视频监控客户端软件接收到流媒体报文后,调用高效的软件解码软件,利用cpu的多媒体处理功能将压缩后的视频信息解码,将模拟图像通过显卡的数字vga接口输出到显示器上显示出来。在实时播放的过程中,支持图像的缩放、抓拍、录像,并可以将本地抓拍和录像上传到存储设备中。

视频监控客户端软件选择一个具有控制功能的摄像头后,可以进行远程控制。首先系统会判断用户对摄像头是否有控制权限,如果没有,视频管理服务器会拒绝用户的控制请求,并在视频监控客户端上提示出来。

用户对摄像头控制有三种手段:通过串口接入pc的专业键盘,pc键盘快捷键(支持用户自定义),或者用鼠标的点击图形化的控制面板。

监控客户端将控制指令以palco-d的信令格式,以sip协议的方式发送给视频管理服务器,如果云台使用palco-d协议,视频管理服务器直接将控制报文转发给编码器;如果云台使用非palco-d协议,视频管理服务器根据ini文件的描述,进行协议转换,再转发给编码器。编码器收到云台控制指令后,通过rs485总线将palco-d协议发送到云台。

全部用户对云台的控制权限分为9个等级,高优先级的用户可以抢占低优先级用户的控制权限;如果一个用户正在进行重要的操纵,可以选择锁定云台,此时高优先级客户也无法抢占,操纵完成后,用户释放云台,其他用户才可以进行操作和抢占。因为所有云台控制都是通过ip网络,经由视频管理服务器进行中转,因此可以实现全网的云台控制权限的统一分配;云台控制只有信令部分,数据量非常小,对视频管理服务器的性能没有影响。

云台控制界面

vm视频管理服务器上的数据库中记录了设备、通道、时间、报警同图像存储物理位置的对应关系,通过设备、通道号和时间段(可选),或通过报警信息,用户可以检索到已经录制的历史图像列表,双击即可播放。

在监控客户端上可以用图形化方式显示存储计划执行情况,正常录制、没有录制、无需录制等各种信息通过不同的颜色以柱状图的方式显示出来,对正常录制的部分双击即可播放。

选取到要回放的历史图像之后,通过iscsi协议,从ip-san读取录制的历史图像,解码后播放出来。

在视频监控客户端上,可以对回放进行正常播放、快速播放、慢速播放、逐帧播放、暂停抓拍、录像下载等操作。可以控制图像的缩放显示,分屏显示和全屏显示。

历史图像除了可以在视频监控客户端上播放,也可以通过解码器在电视等显示设备上播放,当两者同时播放时,可以实现两者的视频同步。

图像回放的过程中,只对解码器和客户端授予“读”的权限,防止重要的录像信息被恶意或无意的篡改。

历史图像回放界面

 

 

当应急救援指挥系统启动布防时,一旦编码器检测到告警检测装置的开关量输入,系统将有如下的报警联动:

1).  图像输出到指定解码器或视频监控客户端;

2).  系统按照预定义的方式使用视频和音频方式提醒管理员进行报警复核;

3).  触发摄像头打到预制位;

4).  触发存储和客户端上的录像、抓拍功能,同时记录报警的地址、级别、类型、时间,处警的组织、结果、时间等信息;

5).  将告警信号通过凤凰箝位电路输出到告警终端,触发专业报警器的生光报警;

6).  gis地图上以醒目的图标显示报警的摄像头位置;

7).  将告警信息通过高级业务接口输出给网管或其他业务系统,触发更高层面的告警联动,例如三台合一系统、应急指挥调度系统、oa办公系统等;

系统支持域管理

1)   最多7层,呈树型组网,对应某一级行政区划

2)   各种设备都归属在一个域下

3)   每个域可以有自己的管理员和操作员

用户管理

1)   支持多级用户管理,每个用户有用户名和密码,通过md5加密的方式到服务器上进行验证,保证可靠性

2)   整个系统有一或多个系统管理员,对全网的用户有配置权限,可选的对设备有操作权限。

3)   域管理员用户,可以对域内的编解码器、图像采集和显示设备进行增、删、改、查,为云台设置预置位,新增域和子域的新用户

4)   普通用户对摄像头和显示器的权限包括:查看配置信息,看实时监控,远遥,看回放,下载录像,配置轮切计划;管理员可以指定某用户对于某摄像头或显示器具有某种权限;为配置方便,也可以指定某用户对于某域内的所有摄像头或显示器具有某种权限(权限的批量配置)。

5)   当某用户需要临时访问非管辖区域内的历史或实时图像时,可以向管理员申请授权。

云台控制冲突

1)   用户对云台的控制可分为9个优先级;

2)   同级或高级用户可以抢夺控制权;

3)   用户获得控制权后,可以选择锁定。锁定后不能再被抢夺。

整个系统的日志管理分为三类:系统运行日志、操作日志和告警日志

1)   系统运行日志包括:设备启动、保活失败、配置不同步、故障和故障恢复等信息(设备id、状态变化、时间)

2)   系统操作日志包括:某用户的登入、退出、对系统配置的修改、控制等;

3)   告警日志包括:温度过高、视频丢失报警、遮挡报警、运动检测告警、外部告警、设备离线等;

4)   系统支持针对各种告警信息提供统计报表,基于报表,提供基于告警类型和告警时间等的查询功能。

轮切业务基于实时监控,是对多路实况进行轮流查看的业务。

首先通过视频监控客户端配置轮切计划,确定被显示的摄像头列表,以及每个摄像头的图像在播放中需要逗留的时间。确定了轮切方案,在执行之前还需要为方案选择一个显示设备。

轮切方案被提交到视频管理服务器之后,服务器通过sip信令周期性的控制编解码器,从而在监视设备上周期性的循环显示各个摄像头的实时监控信息。

视频监控客户端上,可以实现多画面的显示,多个画面之间的操作相互独立,比如:可以显示多路实况,可以显示多路回放,也可以部分画面显示实况、部分画面显示回放。视频监控客户端根据所配置的计算机性能的不同,可以支持4画面、6画面、9画面等显示方式,最多支持25分屏。(采用d1分辨率显示,由于pc机的性能瓶颈,一般处理4~6画面)

视频监控客户端的业务控制与媒体播放

本监控方案采用最新的专业图像技术,可提供full d1(720×576)高清晰图像分辨率支持h.264 mainprofile标准,编码带宽最高可达4m,尤其是在高动态图像监控场合,可以为用户提供广播级的高清图像质量,满足xx学院的视频监控的要求,同时可以。

高可靠的数据存储设备:具备专业级的高可靠性,raid 5技术(磁盘热备技术)确保重要数据不丢失。

高效的数据检索技术和数据管理:直接采用块方式进行视频数据的读写,保证写入、查询、读取等各种操作的高效,同时具备最佳的系统稳定性。

存储资源利用率高:可动态调解ip san存储资源,提高资源利用率,可实现存储空间的运营;存储空间可无限扩展,确保海量视频信息的真实还原。

数据存储管理上的安全保障:

基与 ip-san技术的nvr (network video recorder):可实现分布部署也可实现集中部署。同时可实现集中管理。

可以在监控系统中任意布置存储设备:在以较低的代价实现异地存储。实现内防内控。

通过专利技术提高安全性并且不损失性能――视频编码设备直接写入存储方案:

编码设备支持iscsi协议,裸数据方式直接写入盘阵。

裸数据同时支持windows文件系统和linux文件系统读取,具备很好的兼容性。

管理服务器(dm)可通过特殊技术手段在数据写入过程中实施监控数据写入过程,可完成视频数据实施刷新,和存储装态实施监控。

优点:存储设备可以任意布置。特别是系统扩展,视频编码设备码率变化后对系统压力影响小。裸数据写入,系统资源开销少。

 

将ip网管及业务控制平台的技术应用至ip监控系统,彻底改变传统监控只能依靠人工进行系统管理和维护的局面,实现编解码、存储、网络传输和业务软件(服务器)四大平台的统一管理支持分级分域的管理、灵活的用户权限管理、自动的设备批量配置、全网设备的统一拓扑视图、拓扑自动发现管理、全网设备状态管理、故障自动告警及定位管理和gis地图功能

对大量前端编码器管理:管理平台批量下发设备的配置;定期对设备配置进行巡检,必要时可自动纠正设备配置;新加入的设备自动通知管理平台

对图像存储管理:实时监视所有网络存储ip san设备工作状态;动态分配存储空间;禁止非法篡改以保证数据安全;控制访问权限,日志保留所有访问记录确保图像隐私不被非法获取。

故障管理:故障发现并告警(告警灯、声音、email、短信),故障识别、定位、并且自动修复。

采用电信级器件和制造工艺,充分满足高风险等级场所的高可靠性监控需求。编码器产品针对室外恶劣环境使用设计,温度范围广,长时间工作范围-0~65 ℃。防雷等级达到了正负4kv,冲击电流3ka的通流量要求,静电达到了正负8kv的要求,平均无故障间隔时间(mtbf) > 500,000小时,指标远远高于一般厂商产品。支持醇酸树脂绝缘涂覆保护技术,达到防潮、防霉、防盐雾侵蚀的1级户外防护等级要求,提高产品的可靠性

设备控制信令完全符合ietf sip标准(会话初始协议),sip协议是公安部《城市监控报警联网系统通用技术要求》推荐信令,可以方便的和其它多媒体系统互通。图像编码完全符合国际标准,包括h.264 baseline profile和h.264 mainprofile,图像格式标准化完全通过国际通行的第三方公司tektronix测试仪器的严格测试存储技术完全符合国际iscsi标准,充分支持端到端的网络视频ip san存储。通过开放的api,业务生成和支持方式标准化。各项标准技术的采用可以最大程度的保护用户的投资

在规划xx学院网络安全系统时,我们将遵循以下原则,以这些原则为基础,提供完善的体系化的整体网络安全zl尊龙凯时集团的解决方案:

l  体系化设计原则

通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程,提出科学的安全体系和安全模型,并根据安全体系和安全模型分析网络中可能存在的各种安全风险,针对这些风险以动态实施过程为基础,提出整体网络安全zl尊龙凯时集团的解决方案,从而最大限度地解决可能存在的安全问题。

l  全局性、均衡性原则

安全zl尊龙凯时集团的解决方案的设计从全局出发,综合考虑信息资产的价值、所面临的安全风险,平衡两者之间的关系,根据信息资产价值的大小和面临风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全zl尊龙凯时集团的解决方案。

l  可行性、可靠性原则

在采用全面的网络安全措施之后,应该不会对xx学院原有的网络,以及运行在此网络上的应用系统有大的影响,实现在保证网络和应用系统正常运转的前提下,有效的提高网络及应用的安全强度,保证整个信息资产的安全。

l  可动态演进的原则

方案应该针对xx学院制定统一技术和管理方案,采取相同的技术路线,实现统一安全策略的制定,并能实现整个网络从基本防御的网络,向深度防御的网络以及智能防御的网络演进,形成一个闭环的动态演进网络安全系统。

逐包转发机制防止病毒冲击

s9500路由交换机是采用了逐包转发的机制,它和传统的流转发机制在安全性方面有着更本的差异。流转发主要存在下面两个问题:(1)、在网络拓扑频繁变化时,设备的适应性差,转发性能下降严重;(2)存在一定安全隐患问题,尤其在网络遭受到类似红色代码这类病毒攻击时问题尤为严重。

流转发为一次路由多次交换,它的特点是一旦查找一次路由后,就把查找结果存放在cache里,以后同样目的地址的包就不用重新查找,直接采用类似二层交换的技术,直接转发到目的端口去。如果路由表项几乎不变化,则可通过上面所述的硬件精确匹配的方式能够很快的速度进行查表转发。但是如果应用的情况为路由表项经常出现变更的情况,就会导致无法通过硬件的精确匹配的方式查找到路由,这时三层以太网交换机的就会转为通过cpu软件进行路由查找,查表和转发速度就会急剧下降。这是工作基本上是处于靠cpu软件进行路由的多次慢路由的情况。也就是说三层交换机在进行数据报文转发时主要根据数据报文的五元组特征进行精确命中数据转发,对于红色代码病毒攻击时由于其病毒报文的端口号是频繁进行变换,其五元组信息始终处于一个不停变换阶段,这样导致三层交换机cpu不停进行路由查找,由于这类报文另外一个特征就是短时间内产生大量报文,从而最终导致三层交换机cpu在转发过程中瘫机,同时这台交换机下挂的三层交换机同样接收到大量病毒报文,基于上述原因其cpu转发引擎也将瘫机。与此同时当上层交换机从转发报文中缓解过来时而下层交换机又处于瘫机中,这样网络路由必然就会出现较大振荡,交换机转发性能急剧下降,最终导致所有交换机瘫机,整个网络不可用。

对于采用网络拓扑驱动的路由交换机而言由于采用逐包转发,进行的是最大匹配方式路由查找,当数据报文端口号进行变换的情况下,对路由器转发不造成影响,所以一旦遭受红色代码病毒攻击时没有任何问题。

mac地址的绑定:

用户上网的安全性非常重要,h3c e100系列可以做到,端口 ip mac地址的绑定关系,h3c e100系列交换机可以支持基于mac地址的802.1x认证,整机最多支持1k个下挂用户的认证。mac地址的绑定可以直接实现用户对于边缘用户的管理,提高整个网络的安全性、可维护性。如:每个用户分配一个端口,并与该用户主机的macipvlan等进行绑定,当用户通过802.1x 客户端认证通过以后用户便可以实现mac地址+端口+ip+用户id的绑定,这种方式具有很强的安全特性:防d.o.s的攻击,防止用户的mac地址的欺骗,对于更改mac地址的用户(mac地址欺骗的用户)可以实现强制下线。

proxy的功能

考虑到学院用户的技术性较强,在实际的应用的过程当中应当充分考虑到proxy的使用,对于proxy的防止,h3c公司e100系列交换机配合h3c公司的802.1x的客户端,一旦检测到用户pc机上存在两个活动的ip地址(不论是单网卡还是双网卡),e100系列交换机将会下发指令将该用户直接踢下线。

地址盗用的防止

在校园网的应用当中ip地址的盗用是最为经常的一种非法手段,用户在认证通过以后将自己的mac地址进行修改,然后在进行一些非法操作,网络设计当中我们针对该问题,在接入层交换机上提供防止mac地址盗用的功能,用户在更改mac地址后,e100系列交换机对于与绑定mac地址不相符的用户直接将下线,其下线功能是由e100系列交换机来实现的。

dhcp服务器的攻击

使用dhcp server动态分配ip地址会存在两个问题:一是dhcp server假冒,用户将自己的计算机设置成dhcp server后会与局方的dhcp server冲突;二是用户dhcp smurf,用户使用软件变换自己的mac地址,大量申请ip地址,很快将dhcp的地址池耗光。

h3c e100系列交换机可以支持多种禁止私设dhcp server的方法。

解决这个问题的方法之一是在桌面交换机上启用private vlan的功能。但在很多环境中这个功能的使用存在局限,或者不会为了私设dhcp服务器的缘故去改造网络。

对于有三层功能的交换机,可以用访问列表来实现。

就是定义一个访问列表,该访问列表禁止source port67destination port68udp报文通过。之后把这个访问列表应用到各个物理端口上。当然往端口一个个去添加访问控制组比较麻烦,可以结合interface range命令来减少命令的输入量。

因为它的全局意义,也为了突出该安全功能,建议有如下单条命令的配置:

service dhcp-offer deny [exclude  ][ interface interface-type interface-numbert | none]

如果输入不带选项的命令no dhcp-offer,那么整台交换机上连接的dhcp服务器都不能提供dhcp服务。

exclude interface interface-type interface-number :是指合法dhcp服务器或者dhcp relay所在的物理端口。除了该指定的物理端口以外,交换机会丢弃其他物理端口的in方向的dhcp offer报文。

interface interface-type interface-numbert | none:当明确知道私设dhcp服务器是在哪个物理端口上的时候,就可以选用这个选项。当然如果该物理端口下面仅仅下联该私设dhcp服务器,那么可以直接disable该端口。该选项用于私设dhcp服务器和其他的合法主机一起通过一台不可网管的或不支持关闭dhcp offer功能的交换机上联的情况。选择none就是放开对dhcp-offer的控制。

arp的攻击

随着网络规模的扩大和用户数目的增多,网络安全和管理越发显出它的重要性。由于校园网用户具有很强的专业背景,致使网络黑客攻击频繁发生,地址盗用和用户名仿冒等问题屡见不鲜。因此,arp攻击、地址仿冒、mac地址攻击、dhcp攻击等问题不仅令网络中心的老师头痛不已,也对网络的接入安全提出了新的挑战。

arp攻击包括中间人攻击(man in the middle)和仿冒网关两种类型:

中间人攻击:

按照 arp 协议的原理,为了减少网络上过多的 arp 数据通信,一个主机,即使收到的 arp 应答并非自己请求得到的,它也会将其插入到自己的 arp 缓存表中,这样,就造成了“ arp 欺骗的可能。如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个 arp应答包,让两台主机都认为对方的 mac 地址是第三方的黑客所在的主机,这样,双方看似直接的通信连接,实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。

仿冒网关:

攻击者冒充网关发送免费arp,其它同一网络内的用户收到后,更新自己的arp表项,后续,受攻击用户发往网关的流量都会发往攻击者。此攻击导致用户无法正常和网关通信。而攻击者可以凭借此攻击而独占上行带宽。

dhcp的网络环境中,使能dhcp snooping功能,e100交换机会记录用户的ipmac信息,形成ip mac port vlan的绑定记录。e100交换机利用该绑定信息,可以判断用户发出的arp报文是否合法。使能对指定vlan内所有端口的arp检测功能,即对该vlan内端口收到的arp报文的源ip或源mac进行检测,只有符合绑定表项的arp报文才允许转发;如果端口接收的arp报文的源ip或源mac不在dhcp snooping动态表项或dhcp snooping静态表项中,则arp报文被丢弃。这样就有效的防止了非法用户的arp攻击。

首先,可取采取的措施为多种冗余备份能力,包括网络线路的多层次冗余、网络设备的多节点冗余、网络设备自身组件的冗余,通过这些冗余能力,实现整个网络全面的可靠性保证。网络线路冗余主要包括如采用网状或者尽量网状连接来代替星形、树形的连接结构,在xx学院的网络改造建议方案中,我们设计了足够的线路冗余能力。网络设备多节点冗余主要是指在网络中同一个设备节点部署双机设备,通过双机进行实现相互备份和负载均衡,在xx学院的网络改造建议方案中,我们在关键的节点都进行了双机配置。网络设备可以采取的冗余配置措施主要包括冗余电源配置、冗余模块配置、冗余引擎配置等,基于h3c网络设备丰富的冗余特性,可以有效的实现这些冗余配置模式。

其次,采取高安全性的网络设备,网络与安全的融合是未来网络发展的必然趋势,随着网络设备特性的不断更新,h3c系列网络设备自身具备的安全能力也在不断加强。h3c系列网络设备包括路由器、交换机,都统一采用h3c自主研发的comware软件平台。

除了上述丰富的基本安全特性,h3c网络设备具备非常丰富的动态安全特性,主要包括动态vlan的下发和动态acl的下发,h3c系列网络设备不仅支持标准的802.1q vlan,而且提供端口隔离功能,只允许用户端口与上行端口转发报文,从而阻断下挂各个用户私有网络之间的互相访问,从链路层保障用户转发数据的安全;通过启用802.1xweb认证后下发动态vlanacl,实现用户的动态隔离,保证用户数据的隐私,杜绝内部攻击,与其他安全防护设备进行联动,构建全局的、立体的、动态安全防护体系。

最后,采取具备丰富的安全管理特性的网管系统,在网络系统中,整个网络的安全首先要确保网络设备的安全:非授权用户不能访问任一台服务器、路由器、交换机或防火墙等网络设备,采用网络管理系统是一种有效的解决方法,通过网络管理管理系统提供的配置管理、性能管理、失效管理和安全管理功能,可以实现网络设备安全有效的配置,为整个网络系统提供安全运行的基石。

网关系统的基本功能描述如下:配置管理:主要包括设备监控、远程控制、远程维护、自动搜索等;性能管理:主要包括性能数据可视化、阈值设置和报警、性能分析和预测、性能策略支持等;失效管理:主要包括故障定位、故障报警、故障恢复等;安全管理:访问认证和授权、网络隔离、远程访问控制、应用访问控制等。

功能进行业务隔离

大部分网络设备都可以提供对vlan功能的完善的支持,通过vlan的划分,可以区分不同的业务,灵活的根据端口、mac等进行vlan的划分,实现对各种业务的有效的隔离。

同时,通过各种特性vlan的部署,可以更加灵活的实现网络流量和业务的隔离,比如,通过pvlan技术,可以实现同一个vlan内部服务器之间相互访问的隔离;通过动态vlan的部署,可以实现用户在任何位置接入网络都能被隔离到自己所属的vlan中。

进行网络区域的隔离

防火墙是网络层的核心防护措施,它可以对整个网络进行网络区域分割,提供基于ip地址和tcp/ip服务端口等的访问控制;对常见的网络攻击方式,如拒绝服务攻击(ping of death, land, syn flooding, ping flooding, tear drop, …)、端口扫描(port scanning)、ip欺骗(ip spoofing)ip盗用等进行有效防护;并提供nat地址转换、流量限制、用户认证、ipmac绑定等安全增强措施。在xx学院中,可以在以下位置部署防火墙和ips产品:

数据中心防火墙,ips部署:

数据中心需要通过防火墙进行有效的隔离,网络安全隔离一直是internet技术发展的重要研究课题。以太网技术如何和安全隔离技术融合,提供给xxx学院用户一个安全、可靠的网络环境是以太网交换机在组网应用中一个常见的问题。为了能够确保用户的安全需求,并提供一体化的解决思路,在,可以根据用户对于安全防护的考虑,将secure vlan技术融入到vla技术中,可以实现对内网,dmz多个区域的保护,可以用于内网的vlan跨区域保护。

另外数据中心集中了大量的服务器,小型机和数据库系统,他们是整个网络的大脑,为网络提供各种应用,对于数据中心服务器安全的保障方面h3c ips提供的虚拟补丁功能可以提供用户对各类操作系统的免安装补丁服务,高性能的入侵防御系统能作为虚拟软件补丁,保护网络中尚未安装补丁、具有漏洞的计算机免于遭受侵害。在恶意程序对预定目标进行攻击时,虚拟补丁程序就会立即“现身”— 确定并阻挡发送来的恶意通讯。这种虚拟补丁程序之所以如此有效,是因为它采用了高精确的漏洞过滤器技术。这种专门设计的过滤器可应对最大范围的攻击和应对最大弹性的规避。

cernet网络接入防火墙部署:

如上图所示,我们建议在纵网核心交换机与cernet网路由器之间配置防火墙,防火墙与核心交换机以cernet网路由器之间连接,保证系统的可靠性;

此防火墙的配置策略我们建议如下:

¨        配置防火墙防dos/ddos功能,对landsmurffraggleping of deathtear dropsyn floodicmp floodudp flood等拒绝服务攻击进行防范,可以实现对各种拒绝服务攻击的有效防范,保证网络带宽;

¨        配置防火墙全面攻击防范能力,包括arp欺骗攻击的防范,提供arp主动反向查询、tcp报文标志位不合法攻击防范、超大icmp报文攻击防范、地址/端口扫描的防范、icmp重定向或不可达报文控制功能、tracert报文控制功能、带路由记录选项ip报文控制功能等,全面防范各种网络层的攻击行为;

¨        根据需要,配置ip/mac绑定功能,对能够识别mac地址的主机进行链路层控制;

由上往下的访问控制规则:

¨        建议在防火墙上设定严格的访问控制规则,对实现xx学院网络访问下级网络的严格控制,只有规则允许的ip地址或者用户能够访问下级网络中的指定的资源,以避免xx学院网络可能会对下级网络的攻击、非授权访问以及病毒的传播;

由下往上的访问控制规则:

¨        建议在防火墙上设定严格的访问控制规则,对实现下级网络访问xx学院局域网的严格控制,只有规则允许的ip地址或者用户能够访问xx学院局域网的指定的资源,以避免下级网络中复杂的用户可能会对xx学院网络的攻击、非授权访问以及病毒的传播;

l  其他可选策略:

¨        可以启动防火墙身份认证功能,通过内置数据库或者标准radius属性认证,实现对用户身份认证后进行资源访问的授权;

¨        根据需要,在两台防火墙上设置流量控制规则,实现对网络流量的有效管理,有效的避免网络带宽的浪费和滥用,保护网络带宽;

¨        根据应用和管理的需要,设置有效工作时间段规则,实现基于时间的访问控制,可以组合时间特性,实现更加灵活的访问控制能力;

¨        在防火墙上进行设置告警策略,利用灵活多样的告警响应手段(e-mail、日志、snmp 陷阱等),实现攻击行为的告警,有效监控网络应用;

¨        启动防火墙日志功能,利用防火墙的日志记录能力,详细完整的记录日志和统计报表等资料,实现对网络访问行为的有效的记录和统计分析;

internet边界防火墙部署:

 

xx学院网络出口包括多个应用安全区域:基本可分为互连网出口区,对外服务区,内网区域,我们建议在核心交换机internet路由器之间配置两台防火墙,两台防火墙与核心交换机以及internet路由器之间采取全冗余连接,保证系统的可靠性,同时配置两台防火墙为双机热备方式,在实现安全控制的同时保证线路的可靠性;

此防火墙的配置策略我们建议如下:

1)   配置防火墙防dos/ddos功能,对landsmurffraggleping of deathtear dropsyn floodicmp floodudp flood等拒绝服务攻击进行防范;

2)   配置防火墙全面安全防范能力,包括arp欺骗攻击的防范,提供arp主动反向查询、tcp报文标志位不合法攻击防范、超大icmp报文攻击防范、地址/端口扫描的防范、icmp重定向或不可达报文控制功能、tracert报文控制功能、带路由记录选项ip报文控制功能等;

3)   防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全;

由外往内的访问控制规则:

4)   在防火墙上设置允许vpn协议数据包穿越防火墙,满足移动用户通过ipsec vpn和分支机构vpn网关访问内网的需求;

5)   通过防火墙的访问控制策略,拒绝任何来自internet对内网的访问数据,保证任何internet数据都不能主动进入内部网,屏蔽所有来自internet的攻击行为;

由内往外的访问控制规则:

6)   通过防火墙的访问控制策略,对内部用户访问internet进行基于ip地址的控制,初步实现控制内部用户能否访问internet,能够访问什么样的inertnet资源;

7)   通过配置防火墙提供的ip/mac地址绑定功能,以及身份认证功能,提供对内部用户访问internet的更严格有效的控制能力,加强内部用户访问internet控制能力;

8)   通过配置防火墙提供的smtp邮件过滤功能和http内容过滤,实现对用户访问internet的细粒度的访问控制能力,实现基本的用户访问internet的行为管理;

防火墙是以网络层为核心的防护措施,它可以对整个网络进行网络区域分割,提供基于ip地址和tcp/ip服务端口等的访问控制;对常见的网络攻击方式,如拒绝服务攻击(ping of death, land, syn flooding, ping flooding, tear drop, …)、端口扫描(port scanning)、ip欺骗(ip spoofing)ip盗用等进行有效防护;并提供nat地址转换、流量限制、用户认证、ipmac绑定等安全增强措施。

ips是一种主动式入侵防御系统,能够及时阻止各种针对系统漏洞的攻击,屏蔽蠕虫、病毒和间谍软件,防御dosddos攻击,阻断或限制p2p应用,从而帮助it部门完成应用系统、网络基础设施和系统性能保护的关键任务。ips必须采用创新的硬件设计理念并结合先进的软件特性,才能保证即使在打开成千上万个攻击过滤器时,仍然能够支持线速的吞吐能力并保证微秒级的延时,不会成为网络处理的瓶颈。ips必须为客户定制常见攻击过滤器而且支持即插即用模式,用户可以迅速将ips部署在网络中,大大降低了it人员的工作量也为用户争取了防御攻击的宝贵时间。针对零时差攻击,ips必须提供数字疫苗服务,能够在攻击发生之前,将新的疫苗快速部署在ips中,这些新的攻击过滤器实际起到了虚拟软件补丁的作用,用户不必为服务器打补丁就可以完成攻击防御,从而实现了系统正常运行时间的最大化。

ips是综合性深层安全威胁防范系统,防火墙定位为网络层隔离控制系统,因此在网络边界部署fwips,实现更完善的安全防御手段,fwips采用串联网络结构,fw隔离大量的非法数据流,然后通过ips系统对细节报文以及隐藏在合法数据流内的非法报文进行筛选、隔离、过滤等操作。

内网是一个完全独立的网络,因此数据在网络平台的传输过程相对比较安全,但是对于一些重要信息,尤其是一些机密信息,需要严格保证这些数据在传输过程中的安全。因此,虽然这些数据传输在一个相对独立的内网,但是仍然存在被侦听破解的可能,需要有合理有效的方式解决这个问题,我们建议采用基于vpn的zl尊龙凯时集团的解决方案,是一种非常安全而且灵活的zl尊龙凯时集团的解决方案。

移动业务vpn接入zl尊龙凯时集团的解决方案

方案拓扑图:

使用产品:1.inode vpn2.usb-seckey3.中心硬件vpn网关产品 secpath1000f(同时支持ipsecssl vpn,双机热备)。

适用环境:移动办公soho,便携笔记本。

方案实现:在便携终端上安装vpn软件客户端(ssl vpn方式可以免除软件安装)和usb key设备,便携终端外接gprscdma-1x modem通过移动拨号连接internet与总部中心的vpn网关之间建立vpn隧道,完成移动办公,使用ssl vpn方式可以免除客户端软件安装。

方案优势:

1)  secpath安全网关可同时提供ipsecssl两种vpn接入方式,可以提供根据业务选择不同的接入方式

2)  ssl vpn可以提供免安装软件接入,对于b/s模式的业务支持能力强,维护成本较低,但对于复杂业务的处理支持能力有限

3)  可以支持usb-seckeyrsa等多种硬件认证方法,保证移动终端接入的可靠性

4)  可通过h3c cams系统完成全网统一安全接入认证,可与用户使用的ldapradiusca等认证方式兼容

5)  可以配合xlog日志审计系统进行移动用户vpn接入行为审计

6)  接入方式灵活,支持adslgprscdma 1xmodem等多种移动接入方案

网络环境下的防病毒必须层层设防,逐层把关,堵住病毒传播的各种可能途径,为xx学院网络系统提供一个稳定高效、技术一流、方便管理、服务周全的网络病毒防护体系,网络防病毒体系主要包括:

1)  网关防病毒:

internet是现在病毒传播的一个最主要的路径,访问internet网站可能会感染蠕虫病毒,从internet下载软件和数据可能会同时把病毒、黑客程序都带进来,对外开放的web服务器也可能在接受来自internet的访问时被感染上病毒。因此需要在xx学院internet接口处重点防范病毒的传播。

2)  邮件防病毒:

邮件附件是当前网络病毒传播的一个重要途径,因此要在邮件服务器上配置邮件防病毒软件,检查所有从邮件服务器发送和接收的邮件,特别是其邮件附件。另一方面,防范邮件病毒传播要加强对用户的安全教育,对于所有来源不明的邮件不要轻易打开,特别是其附带的邮件附件。在打开邮件之前,最好打电话与发件人确认,因为很多邮件病毒是自动从通讯录中查找收件人的。发送邮件时,最好不要使用复杂的格式,可以直接使用纯文本格式,这样邮件带病毒传播的机会就很小了。

3)  服务器防病毒:

对重要的服务器,配置服务器防病毒软件,xx学院包含了大量复杂的应用系统,需要大量的不同平台的服务器,我们建议对这些服务器分别安装防病毒系统,加强这些重点服务器的病毒防范能力。

4)  主机防病毒:

网络中的主要用户使很多主机终端,因此必须为所有的单机,特别是一些处理关键业务的用户机配置主机防病毒软件。

5)  集中控管能力:

防病毒需要具有集中控管能力,对所有的防病毒产品模块提供一个集中的管理机制,监控各个防毒产品的防杀状态,病毒码及杀毒引擎的更新升级等,并在各个防毒产品上收集病毒防护情况的日志,并进行分析报告。

l  设备选型建议:

¨        我们建议选择赛门铁克或者趋势的网络防病毒zl尊龙凯时集团的解决方案;

伴随着信息化建设的快速发展,网络系统已成为xx学院正常运行的基本保障系统,整个xx学院的运转高度依赖着信息系统的运行。xx学院网络作为xx学院信息系统运行的基础平台,其安全性、稳定性是xx学院信息系统正常运行的前提。但是,随着xx学院网络的日益复杂,xx学院网络信息安全问题也日益突出。病毒泛滥、系统漏洞、黑客攻击等诸多问题,已经直接影响xx学院网络的稳定运行、威胁xx学院业务的正常运行。如何应对网络安全威胁,确保xx学院信息系统的安全稳定运行,已经是必须关注的问题。

根据我们在前面进行的安全需求分析,我们认为较为完备的网络系统端点安全zl尊龙凯时集团的解决方案应该满足以下要求:

1、 实现基于用户身份的网络接入控制,保证网络安全。在网络层实现用户接入控制,只有授权的用户,才能接入网络,有效阻断非法接入网络的用户,保证网络用户身份的合法性。

2、 统一实现基于用户身份的应用服务器接入控制,保证应用服务器安全。具体来说,就是对访问xx学院网络系统的用户,由统一的访问控制管理系统来管理访问权限,而不仅仅依靠应用系统本身简单的密码控制来管理用户的使用权限。

3、 实现服务器系统安全、用户主机系统安全的强制管理,提供有效的技术手段,解决应用服务器、用户主机补丁管理、病毒管理问题。对于未安装系统补丁,未安装防病毒软件或病毒库版本不合格的终端,严禁接入网络;实现系统补丁的自动安装、病毒库的自动升级,保证网络的清洁。

4、 实现网络接入用户的动态隔离能力。在用户访问网络的过程中,一旦发现用户处于不安全的状态,可迅速隔离用户终端,保护整个网络不受安全威胁。

h3c端点准入防御(eadendpoint admission control)zl尊龙凯时集团的解决方案从网络终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施安全策略,严格控制终端用户的网络使用行为,可以有效的满足xx学院用户接入安全控制的需求,保证xx学院网络系统的安全运行。其基本原理如下图所示:

方案功能特点

n  完备的安全状态评估

用户终端的安全状态是指操作系统补丁、第三方软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。ead通过对终端安全状态进行评估,控制只有符合xxx学院安全标准的终端才能正常访问网络

n  实时的“危险”用户隔离

系统补丁、病毒库版本不及时更新或已感染病毒的用户终端,如果不符合管理员设定的xxx学院安全策略,将被限制访问权限,只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。

n 基于角色的网络服务

在用户终端在通过病毒、补丁等安全信息检查后,ead可基于终端用户的角色,向安全客户端下发系统配置的安全策略,按照用户角色权限规范用户的网络使用行为。终端用户的acl访问策略、qos策略、是否禁止使用代理、是否禁止使用双网卡等安全措施设置均可由管理员统一管理,并实时应用实施。

n 可扩展的、开放的安全zl尊龙凯时集团的解决方案

ead是一个可扩展的安全zl尊龙凯时集团的解决方案,对现有网络设备和组网方式改造较小。在现有xxx学院网中,只需对网络设备和第三方软件进行简单升级,即可实现接入控制和防病毒的联动,达到端点准入控制的目的,有效保护用户的网络投资。

ead也是一个开放的zl尊龙凯时集团的解决方案。ead系统中,安全策略服务器同网络设备的交互、同第三方服务器的交互都基于开放的、标准的协议实现。在防病毒方面,目前ead系统已金山、瑞星、江民等多家主流防病毒厂商的产品实现联动。

n 灵活、方便的部署与维护

ead方案部署灵活,维护方便,可以按照网络管理员的要求区别对待不同身份的用户,定制不同的安全检查和隔离级别。ead可以部署为监控模式(只记录不合格的用户终端,不进行修复提醒)、提醒模式(只做修复提醒,不进行网络隔离)和隔离模式,以适应用户对安全准入控制的不同要求。

方案四大组件

ead系统由四部分组成,具体包括安全策略服务器、安全客户端平台、安全联动设备和第三方服务器。

n  安全策略服务器

ead方案中的管理与控制中心,是eadzl尊龙凯时集团的解决方案的核心组成部分,实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。h3c公司的cams产品实现了安全策略服务器的功能,该系统在全面管理网络用户信息的基础上,支持多种网络认证方式,支持针对用户的安全策略设置,以标准协议与网络设备联动,实现对用户接入行为的控制,同时,该系统可详细记录用户上网信息和安全事件信息,审计用户上网行为和安全事件。

n  安全客户端平台

是安装在用户终端系统上的软件,该平台可集成各种安全厂商的安全产品插件,对用户终端进行身份认证、安全状态评估以及实施网络安全策略。

n  安全联动设备

xxx学院网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。cams综合接入管理平台作为安全策略服务器,提供标准的协议接口,支持同安全网关、交换机、路由器等各类网络设备的安全联动。

n  第三方服务器

为病毒服务器、补丁服务器等第三方网络安全产品,通过安全策略的设置实施,第三方安全产品的功能集成至eadzl尊龙凯时集团的解决方案中,实现安全产品功能的整合。

业务系统的可靠性和可用性是网络安全的一个很重要的特性,可靠性与可用性的重要基础是各种设备的冗余配置,下面我们对业务系统的涉及到的设备(主要是服务器和存储系统)进行分析,并给出建议性的配置方案,主要包括:

服务器可以采用的冗余配置主要包括冗余电源、冗余cpu、冗余网卡等重要的配件的冗余配置,对于核心服务器可以采用双机热备措施来保证服务的不间断性,现在有很成熟的系统支持这种应用模式。

存储系统的冗余配置是最重要的,因为数据安全才是整个安全系统的根本目的,数据的可靠性和可用性是数据安全的根本。存储系统主要的冗余配置模式是磁盘阵列系统,现在磁盘阵列技术已经发展得很完善了,各种现有的存储设备对磁盘阵列的技术的支持也已经完善了,另外在磁盘阵列的基础上发展起来的网络存储系统(sansna),提供了更高的存储性能和可靠性。

为了事先发现网络中各种操作系统和应用平台的安全性,可以采用漏洞扫描系统对重要的服务器先进行扫描,以发现系统中可能存在的安全漏洞和安全薄弱环节,通过漏洞扫描系统可以解决我们前面分析的操作系统以及服务平台的安全隐患。

漏洞扫描系统在网络当中并不是一个实时启动的系统,只需要定期挂接到网络中,对当前网段上的重点服务器(如web服务器、邮件服务器、dns服务器、主域服务器等)以及主机进行一次扫描,即可得到当前系统中存在的各种安全漏洞,并会针对性地提出补救措施。

我们建议xx学院在应用系统开发时,要在应用程序中加强对程序代码的控制,提高应用系统自身的安全性,在开发应用系统时,有以下几个方面要特别注意:

1)  要加强对输入的判断,除了在浏览器端要进行简单的判断之外,更主要的是要在服务器端做相应的判断:一要检查输入值的长度和大小;二要检查输入值中是否带有非法字符,特别是在web应用中的单引号和一些控制字符。

2)  在调用数据库资源时,要使用类似odbc的接口,不要把数据库对象、对数据库具有操作权限的用户名、帐号等信息泄漏在web cgi程序中。

3)  很多数据库在安装之后会有一个缺省的管理员帐号,且其口令一般为空或是通用口令,数据库管理员要及时更改这些帐号,并且设置高强度的口令字。

4)  web服务器上,要检查每一个目录、文件上的权限是否合适,如是否可以列表、读取、执行等,源程序或脚本是否可下载等。

无线局域网(wlan)具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点,在有线网络已经基本普及的校园,无线校园网无疑是下一个网络建设周期的重点。但是由于无线局域网开放访问的特点,使得攻击者能够很容易的进行窃听,恶意修改并转发,因此安全性成为阻碍无线局域网发展的最重要因素。校园用户大多容易接受新鲜事物,虽然一方面对无线校园网的需求不断增长,但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否使用无线局域网犹豫不决。

目前有很多种无线局域网的安全技术,包括物理地址(mac)过滤、服务集标识符(ssid)匹配、有线对等保密(wep)、端口访问控制技术(ieee802.1x)、wpa wi-fi protected access)、ieee 802.11i等。面对如此多的安全技术,应该选择哪些技术来解决无线局域网的安全问题,才能满足用户对安全性的要求。

1、无线局域网的安全威胁

利用wlan进行通信必须具有较高的通信保密能力。对于现有的wlan产品,它的安全隐患主要有以下几点:

未经授权使用网络服务

由于无线局域网的开放式访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,还会降低合法用户的服务质量。

地址欺骗和会话拦截

在无线环境中,非法用户通过侦听等手段获得网络中合法站点的mac地址比有线环境中要容易得多,这些合法的mac地址可以被用来进行恶意攻击。

另外,由于ieee802.11没有对ap身份进行认证,攻击者很容易装扮成合法ap进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。

高级入侵

一旦攻击者侵入无线网络,它将成为进一步入侵其他系统的起点。多数学校部署的wlan都在防火墙之后,这样wlan的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,整个网络就将暴露在非法用户面前。

2、基本的无线局域网安全技术

通常网络的安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问,而数据加密则保证发送的数据只能被所期望的用户所接收和理解。

下面对在无线局域网中常用的安全技术进行简介。

物理地址(mac)过滤

每个无线客户端网卡都由唯一的48位物理地址(mac)标识,可在ap中手工维护一组允许访问的mac地址列表,实现物理地址过滤。这种方法的效率会随着终端数目的增加而降低,而且非法用户通过网络侦听就可获得合法的mac地址表,而mac地址并不难修改,因而非法用户完全可以盗用合法用户的mac地址来非法接入。

 

1 mac地址过滤

 服务集标识符 ( ssid ) 匹配

无线客户端必须设置与无线访问点ap相同的ssid,才能访问ap;如果出示的ssidapssid不同,那么ap将拒绝它通过本服务集上网。利用ssid设置,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题。可以通过设置隐藏接入点(ap)及ssid的权限控制来达到保密的目的,因此可以认为ssid是一个简单的口令,通过提供口令认证机制,实现一定的安全。

 

服务集标识匹配

有线对等保密(wep

 ieee802.11中,定义了wep来对无线传送的数据进行加密,wep的核心是采用的rc4算法。在标准中,加密密钥长度有64位和128位两种。其中有24bitiv是由系统产生的,需要在apstation上配置的密钥就只有40位或104位。

wep加密原理图如下:

 

3 wep加密原理图

1ap先产生一个iv,将其同密钥串接(iv在前)作为wep seed,采用rc4算法生成和待加密数据等长(长度为mpdu长度加上icv的长度)的密钥序列;

2、计算待加密的mpdu数据校验值icv,将其串接在mpdu之后;

3、将上述两步的结果按位异或生成加密数据;

4、加密数据前面有四个字节,存放ivkey idiv占前三个字节,key id在第四字节的高两位,其余的位置0;如果使用key-mapping key,则key id0,如果使用default key,则key id为密钥索引(03其中之一)。

端口访问控制技术(ieee802.1x)和可扩展认证协议(eap

ieee802.1x 并不是专为wlan设计的。它是一种基于端口的访问控制技术。  

该技术也是用于无线局域网的一种增强网络安全zl尊龙凯时集团的解决方案。当无线工作站sta与无线访问点ap关联后,是否可以使用ap的服务要取决于802.1x的认证结果。如果认证通过,则apsta打开这个逻辑端口,否则不允许用户连接网络。  

 

4 802.1x端口控制

 

在具有802.1x认证功能的无线网络系统中,当一个wlan用户需要对网络资源进行访问之前必须先要完成以下的认证过程。

1.当用户有网络连接需求时打开802.1x客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给ap,开始启动一次认证过程。

2.ap收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。

3.客户端程序响应ap发出的请求,将用户名信息通过数据帧送给apap将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。

4.认证服务器收到ap转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给ap,由ap传给客户端程序。

5.客户端程序收到由ap传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过ap传给认证服务器。

6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向ap发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持ap端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。

wpa (wi-fi protected access)

wpa = 802.1x eap tkip mic

  ieee 802.11i 标准最终确定前, wpa标准是代替wep的无线安全标准协议,为 ieee 802.11无线局域网提供更强大的安全性能。wpaieee802.11i的一个子集,其核心就是ieee802.1xtkip

   802.11中几乎形同虚设的认证阶段,到了wpa中变得尤为重要起来,它要求用户必须提供某种形式的证据来证明它是合法用户,并拥有对某些网络资源的访问权,并且是强制性的。

wpa的认证分为两种:第一种采用802.1x eap的方式,用户提供认证所需的凭证,如用户名密码,通过特定的用户认证服务器(一般是radius服务器)来实现。在大型网络中,通常采用这种方式。但是对于一些中小型的网络或者个别用户,架设一台专用的认证服务器未免代价过于昂贵,维护也很复杂,因此wpa也提供一种简化的模式,它不需要专门的认证服务器,这种模式叫做wpa预共享密钥(wpa-psk),仅要求在每个wlan节点(ap、无线路由器、网卡等)预先输入一个密钥即可实现。只要密钥吻合,客户就可以获得wlan的访问权。由于这个密钥仅仅用于认证过程,而不用于加密过程,因此不会导致诸如使用wep密钥来进行802.11共享认证那样严重的安全问题。

  wpa采用tkip为加密引入了新的机制,它使用一种密钥构架和管理方法,通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24位增加到48位等方法增强安全性。而且,tkip利用了802.1x/eap构架。认证服务器在接受了用户身份后,使用802.1x产生一个唯一的主密钥处理会话。然后,tkip把这个密钥通过安全通道分发到ap和客户端,并建立起一个密钥构架和管理系统,使用主密钥为用户会话动态产生一个唯一的数据加密密钥,来加密每一个无线通信数据报文。tkip的密钥构架使wep静态单一的密钥变成了500万亿可用密钥。虽然wpa采用的还是和wep一样的rc4加密算法,但其动态密钥的特性很难被攻破。

消息完整性校验(mic),是为了防止攻击者从中间截获数据报文、篡改后重发而设置的。除了和802.11一样继续保留对每个数据分段(mpdu)进行crc校验外,wpa802.11的每个数据分组(msdu)都增加了一个8个字节的消息完整性校验值,这和802.11对每个数据分段(mpdu)进行icv校验的目的不同。icv的目的是为了保证数据在传输途中不会因为噪声等物理因素导致报文出错,因此采用相对简单高效的crc算法,但是黑客可以通过修改icv值来使之和被篡改过的报文相吻合,可以说没有任何安全的功能。而wpa中的mic则是为了防止黑客的篡改而定制的,它采用michael算法,具有很高的安全特性。当mic发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击。此时,wpa还会采取一系列的对策,比如立刻更换组密钥、暂停活动60秒等,来阻止黑客的攻击。

ieee 802.11i

    为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容, ieee802.11工作组开发了作为新的安全标准的ieee802.11i,并且致力于从长远角度考虑解决ieee 802.11无线局域网的安全问题。ieee 802.11i 标准中主要包含加密技术:tkip (temporal key integrity protocol) aesadvanced encryption standard),以及认证协议:ieee802.1x ieee 802.11i标准已在2004624美国新泽西的ieee标准会议上正式获得批准。

       802.11i  wpa 相比增加了一些特性:

       aes: 更好的加密算法,但是无法与原有的802.11架构兼容,需要硬件升级。

       ccmp and warp:  aes 为基础。

       ibss: 802.11i 解决ibss (independent basic service set), wpa 主要处理ess(extended service set

       preauthentication:用于用户在不同的 bssbasic service set)间漫游时,减少重新连接的时间延迟。

3h3c无线校园网的安全策略

       针对目前无线校园网应用中的种种安全隐患,h3c的无线局域网产品体系能够提供强有力的安全特性,除了传统无线局域网中的安全策略之外,还能够提供更加精细的管理措施:

可靠的加密和认证、设备管理

能够支持目前802.11小组所提出的全部加密方式,包括高级wpa 256位加密(aes),40/64位、128位和152wep共享密钥加密,wpa tkip,特有的128位动态安全链路加密,动态会话密钥管理。

802.1x 认证使用802.1x radius认证和mac地址联合认证,确保只有合法用户和客户端设备才可访问网络;wpa tkip认证采用eap-md5eap-tlspeap协议,扩展的证书认证功能更加保证用户身份的严格鉴定。

支持通过本地控制台或通过sslhttps集中管理web浏览器;通过本地控制台或通过ssh v2telnet远程管理的命令行界面;并可通过无线局域网管理系统进行集中管理。

用户和组安全配置

和传统的无线局域网安全措施一样,h3c无线网络可以依靠物理地址(mac)过滤、服务集标识符(ssid)匹配、访问控制列表(acl)来提供对无线客户端的初始过滤,只允许指定的无线终端可以连接ap

同时,传统无线网络也存在它的不足之处。首先,它的安全策略依赖于连接到某个网络位置的设备上的特定端口,对物理端口和设备的依赖是网络工程的基础。例如,子网、acl 以及服务等级(cos)在路由器和交换机的端口上定义,需要通过台式机的mac地址来管理用户的连接。h3c采用基于身份的组网功能,可提供增强的用户和组的安全策略,针对特殊要求创建虚拟专用组(vertual private group),vlan不再需要通过物理连接或端口来实施,而是根据用户和组名来区分权限。

并且,h3c无线网络可以对无线局域网进行前所未有的控制和观察,监视工具甚至可以跟踪深入到个人的信息(无论他的位置在哪里),网络标识基于用户而不是基于物理端口或位置。

其次,h3c无线网络简化了ssid支持,不再需要多个ssid来支持漫游和授权策略;单个ssid足以支持漫游、跨子网漫游或包括vlan或子网成员资格的授权策略。

大量的可配置监视工具用于收集用户数据(例如位置、访问控制和安全设置)和识别用户身份。此外,使用h3c虚拟专用组(vertual private group)管理器功能,可以为用户和组分配特定的安全和访问策略,从而获得最大的灵活性,同时增强网络安全性并显著缩短管理时间。用户不仅可更改单个用户设置,还可以只通过简单的几次击键操作即可从中央管理控制台方便地配置相似的用户组、ap组,而不必逐个配置ap

非法接入检测和隔离

h3c无线网络可自动执行的ap射频扫描功能通过标识可去除非法ap,使管理员能更好地查看网络状况,提高对网络的能见度。非法ap通过引入更多的流量来降低网络性能,通过尝试获取数据或用户名来危及网络安全或者欺骗网络以生成有害的垃圾邮件、病毒或蠕虫。任何网络中都可能存在非法ap,但是网络规模越大就越容易受到攻击。

为了消除这种威胁,可以指定某些ap充当射频“卫士”,其方法是扫描无线局域网来查找非法ap位置,记录这些位置信息并采取措施以及为这些位置重新分配信道以使网络处于连接状态并正常运行。ap射频扫描程序还会检测并调整引起射频干扰的其他来源,例如微波炉和无绳电话。

并且,射频监测配合基于用户身份的组网,不但可使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表 (acl)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容,还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。

监视和告警

h3c无线网络体系提供了实时操作信息,可以快速检测到问题,提高网络的安全性并优化网络,甚至还可以定位用户。网络管理应用程序针对当今的动态业务而设计,它提供了配置更改的自动告警功能。向导界面提供了即时提示,从而使得管理员能够快速针对冲突做出更改。

通过使用软件的移动配置文件功能,管理者可以在用户或用户组漫游整个无线局域网时控制其访问资源的位置。此外,位置策略能够根据用户的位置来阻止或允许对特殊应用程序的访问。

针对校园应用的安全zl尊龙凯时集团的解决方案

  从校园用户角度而言,随着无线网络应用的推进,管理员需要更加注重无线网络安全的问题,针对不同的用户需求,h3c提出一系列不同级别的无线安全技术策略,从传统的wep加密到ieee 802.11i,从mac地址过滤到ieee 802.1x安全认证技术,可分别满足办公室局部用户、园区网络、办公网络等不同级别的安全需求。

对于办公室局部无线用户而言,无线覆盖范围较小,接入用户数量也比较少,没有专业的管理人员,对网络安全性的要求相对较低。通常情况下不会配备专用的认证服务器,这种情况下,可直接采用ap进行认证,wpa-psk ap隐藏可以保证基本的安全级别。

  在学校园区无线网络环境中,考虑到网络覆盖范围以及终端用户数量,ap和无线网卡的数量必将大大增加,同时由于使用的用户较多, 安全隐患也相应增加,此时简单的wpa-psk已经不能满足此类用户的需求。如表中所示的中级安全方案使用支持ieee 802.1x认证技术的ap作为无线网络的安全核心,使用h3c虚拟专用组(vertual private group)管理器功能并通过后台的radius服务器进行用户身份验证,有效地阻止未经授权的用户接入,并可对用户权限进行区分。

  如果应用无线网络构建校园的办公网络,此时无线网络上承载的是工作业务信息,其安全保密性要求较高,因此用户认证问题就显得更加重要。如果不能准确可靠地进行用户认证,就有可能造成帐号盗用、非法入侵的问题,对于无线业务网络来说是不可以接受的。下表中的专业级zl尊龙凯时集团的解决方案可以较好地满足用户需求,通过h3c虚拟专用组(vpg)管理器功能、ieee802.11i加密、radius的用户认证确保高安全性。

 

安全级别       典型场合       使用技术

初级安全       办公室局部无线用户    wpa-pskap隐藏

中级安全       学校园区无线网    ieee802.1x认证+tkip加密 vpg管理

专业级安全    无线校园办公网    vpg管理+ieee802.11iradius认证

itoip数字化校园zl尊龙凯时集团的解决方案核心特性

方案

方案模块

一级特性

二级特性

特性描述

ip校园网络平台

网络结构优化

核心网络优化

rrpp

核心网可靠性、可用性的保障,低成本,快速收敛。满足教学、办公、一卡通等关键业务高可用性要求

gr

核心网控制软件重启或者重新加载成功后,周边设备由于邻居关系的短暂中断而触发路由计算,gr防止由此造成网络上的路由振荡以及转发中断问题

10ge

针对学校复杂组网环境,提供全线速、高密度的万兆zl尊龙凯时集团的解决方案

接入网优化

二层半接入

对用户接入的有效控制,符合策略的终端才能接入网络

千兆到桌面

低成本高速率桌面接入,适用教学科研部门、服务器群的接入

三层接入

降低核心设备压力,优化广播域分布

网络业务拓展

ipv6业务拓展

wlan ipv6

h3capzl尊龙凯时集团的解决方案支持ipv6

分布式ipv6

用户需要高性能的双栈核心设备,ipv6业务发展后不允许集中式ipv6方案

ipv6边缘扩展

校园接入网络存在用户对ipv6网络统一管理的趋势,保护投资;

通过最权威的测试机构鉴定

信产部ipv6入网证(国家准入许可)、tolly测试等第三方认证(国际权威测评)、ipv6 ready phase-2金色认证(被教育行业普遍接受的认证标准)

ipv6商用经验

cngi骨干网建设经验、广泛的中国ipv6校园网建设经验

wlan业务拓展

有线无线统一管理

统一认证计费管理:老师不希望用户有线一套帐号,无线又一套帐号,不能统一计费管理

poe管理:大规模无线高密度覆盖,必须靠电信级poe交换机完成供电,且通过poe供电设备随时可以完成故障ap的远程重启

有线无线统一qos:满足vowlan等跨越有线网、无线网需要实现端到端服务质量保障的应用需求。h3c可以良好支撑端到端统一qos策略部署。

统一网管:老师不希望采用两套管理系统,管理系统集成专业的无线管理部件

ipv6

支持ipv6环境(ap与无线交换机互联基于ipv6的隧道):有线网ipv6已经是教育用户必须技术,无线网ipv6是必然趋势。如果不支持ipv6势必造成将来改造成本再投入。

ipv6 acl:无线网实现ipv6,访问控制必须支持

ipv6组播:ipv6组播往往是校园ipv6业务的支撑技术

智能负载均衡

用户级负载均衡:学校用户数量多,密集,当一台ap承载过多用户时,需要均衡到其他ap,保证使用效果的最佳

ap级负载均衡:有多台无线交换机时,ap均衡的向交换机进行注册,有利于使用效果

自适应无线环境调整

信道自动调整:当ap变化时会导致信道重叠,自动调整信道将会大幅降低老师管理工作量

功率自动调整:当ap变化时会导致功率互相影响,自动调整信道将会大幅降低老师管理工作量

校园安全渗透防御

网络出口防御

攻击防护

全面病毒防御:通过报文深度检查、识别应用层信息、协议命令入侵检测和阻断、蠕虫病毒防护以及高级的数据包验证机制机制,可以控制如各种蠕虫网络攻击、各种木马进程和各种垃圾邮件扫描,并且阻断来自内部的数据攻击以及垃圾数据流的泛滥

针对校园网中的重要服务器(www/ftp/dns等)的dos/ddos攻击

边界访问控制

支持多种vpn,包括ipsec,sslvpn,方便远程用户接入

bt限流

p2p流量检测和应用层过滤

核心网安全防御

数据传送层面安全

urpf(单播反向路径查找)检查:单播反向路径查找功能有效防止基于源地址欺骗的网络攻击行为

地址扫描攻击防护:地址扫描攻击会造成校园网络核心设备较多的cpu和内存资源,可能引起网络中断。

dos/ddos攻击防护:dos与分布式dos会造成学校关键服务器的无法访问,使学校业务中断

自反aclracl):通过动态acl,有效防止来自校园网外部的攻击。

控制信令层面的安全

arp协议攻击防护:通过核心设备对arp攻击的识别检测,对攻击源的自动屏蔽,防止arp攻击跨越骨干网造成全网范围的影响。

tc/tcn攻击防护:网络中tc或者tcn报文很多,频繁删除mac地址表和arp表项,会导致二层转发报文在vlan内广播,三层转发报文出现丢包,也会影响业务正常运行。h3c核心设备可以抑制tc/tcn攻击

路由协议攻击防:路由协议攻击是指向不进行路由认证的路由器发送错误的路由更新报文,使路由表中出现错误的路由,严重的情况可以造成网络瘫痪,高明的攻击者可以用来进行更深层次的攻击实施。h3c核心设备路由协议认证技术可以杜绝此类攻击在校园网发生。

设备管理层面的安全

管理用户分级分权:对用户密码采用加密算法进行保存,并限制一次连接登录不成功的次数来防止口令被穷举得到,并在设备上设置警示性的登录提示。多级用户管理有助于分担网管中心老师的工作压力。

支持安全的远程管理:通过使用ssh协议进行设备管理,可以保证远程管理的安全性。老师亦可在家中、外地最高效率的解决网络配置与故障处理的问题。

sftp服务:使得网管老师可以从远端安全的登入交换机设备进行文件管理,这样使远程系统升级等需要进行文件传送的地方,增加了数据传输的安全性。

接入安全控制

arp攻击防御

arp detection:解决mitm(man-in-the-middle)攻击和仿冒网关对校园网的影响

mac地址攻击防御

port security:解决mac地址攻击对校园网的影响

dhcp攻击防御

dhcp snooping :解决学生私设dhcp干扰合法用户的上网影响

地址仿冒抑制

ip source check:解决学生私自修改本机地址对校园网的影响

校园数据服务中心

多服务器集中存储zl尊龙凯时集团的解决方案

支持iscsi技术

基于ip技术构建集中存储环境,管理和维护简单方便

接入成本低廉

采用以太网卡和ip san交换机的接入成本远远低于fc san

高扩展性

由于采用了全交换的体系结构,所以控制器、磁盘柜、交换容量可以灵活扩充,满足业务发展的需求。实现存储设备的性能和容量的在线线性扩展

高可靠

硬盘顺序上下电、断路保护、荣誉的电源和电信级的ups确保设备稳定运行

认证

我司产品通过了fcc/ce/ul/tuv/3c的认证,确保产品设计和生产品质。

d2d备份zl尊龙凯时集团的解决方案

快速的备份和恢复

磁盘的备份性能是磁带设备性能的5-10倍,满足用户缩短备份窗口,加快备份和恢复速度的需求

采用raid技术

备份在磁盘上的数据受到raid保护,提高备份数据的可靠性和可用性

lanfree方式备份

不占用用业务网络的带宽

采用iscsi技术搭建存储环境

扩容方便,管理简便、维护成本低

cdpzl尊龙凯时集团的解决方案

基于磁盘的复制技术

不占用服务器的资源

连续的复制技术

数据保护的间隔无限小,确保最小的数据损失量核数据的快速恢复

timemark/timeview

实现一定间隔下的各个版本数据保存,解决各种人为误操作等软错误

近线存储设备

当在线存储设备出现硬件故障时,能够快速恢复

虚拟化存储

整合异构存储,可以在用户现有设备上完成部署,保护投资

远程灾难备份/恢复zl尊龙凯时集团的解决方案

虚拟化存储

整合异构存储,可以在用户现有设备上完成部署,保护投资,并且消除品牌锁定

基于ip的传输方式

充分利用现有网络资源,不需要额外的传输设备

提供加密压缩功能

提高网络利用率,加强传输数据的安全

timemark/timeview

实现一定间隔下的各个版本数据保存,解决各种人为误操作等软错误

基于磁盘的复制技术

不占用服务器的资源

windwos保护/恢复zl尊龙凯时集团的解决方案

实现操作系统、应用环境的备份

能够一次操作,全面恢复操作系统和应用环境

提供iscsi hba卡的远程启动

实现应用系统的快速恢复

校园媒体服务中心

平安校园

校园安全监控

先进的体系架构

采用ngn架构,清晰划分网络、存储、视频、信令四大层次,采用开放架构,允许不同子模块独立演进发展,同时可以保护学校已有的监控系统投资。通过视频/控制网关接入到ip监控系统来。

专业可靠存储

1、不论前端存储还是后端统一存储,都支持raid,保证高可靠存储。基于ip架构存储,支持ip sannas满足学校不同情况下需求。尤其是分校区情况,可以在各分校各自存储,主校区可以进行远程观看,重要地方进行远程备份。

2、海量存储,可以进行堆叠升级,满足学校越来越大规模的摄像头存储需求,

epon接入

采用无源光网络(epon),支持单芯最大支持128个编码器进行树状连接,节省光纤资源,布线简单。

分级分域管理

可以满足分校区的保卫处只管理本校区的摄像头,同时主校区保卫处可以管理所有摄像头图像。

视频服务

视频会议

多校区办公会议

不同校区之间进行远程会议,节省时间、交通成本;

支持多组会议

支持多个远程教学和学校办公会议同时召开,满足几个不同课堂同时开课和办公会议同时进行的需求

远程教学

h.239双流

可以利用双流技术把老师讲课画面、课件(ppt等)同时传送到远端多媒体教室,做到图文并举、音容并茂的远程教学

掉线重呼

远端教室、会议室的ip视频终端掉线重邀,掉线的终端可以自动加入课程,增强上课连续性,避免一个远端教室掉线影响其他老师讲课

简体中文界面

简体中文界面,方便多媒体教室管理员和老师维护、操作远端教学

ip话音服务

跨校区ip电话

长途电话旁路

节省通话费

即时消息满足老师和学生的沟通需要

即时消息业务,可为老师和学生之间在一系列的沟通中实时的信息内容交换,通常这些内容信息是文本方式,老师和学生之间可通过文本方式进行良好的沟通与交流。

一号通(findme/followme业务)

统一的信息服务,提高老师、学生之间沟通的及时性

随着通信业的不断发展,人们的尊龙凯时人生就博的联系方式也多种多样:电话、邮件、传真、短消息...我们已经可以非常方便地实现学校与外界的沟通。xe7000系统可以将各种通讯方式,如手机、办公室座机等多种尊龙凯时人生就博的联系方式进行捆绑,提高了老师、学生之间沟通的即时性。

协同办公

协同的日常办公,提高办公效率。随着高校规模的日益扩大,所辖校区越来越多,跨校区的通信以及协同办公(如课题研究、文件共享、等)也已成为高校日常管理工作必须要考虑的部分。xe7000语音系统可实现即时消息、各种文件的传送、电子白板、桌面共享等业务功能。

ip呼叫中心

友好的客户界面——招生电话

招生查询热线有利于提高学校的对外形象和服务水平,通过在学校部署一套nbx网络电话系统可实现学校招生和考试期间,学生可通过电话查询学校的招生信息和招生政策,同时也可以通过在招生查询热线完成考试成绩的查询。

校园智能管理中心

网络精细管理

snmp网管( imc

拓扑管理

能够实时监视所有设备的运行状况,通过可视化的网络拓扑界面帮助用户及时了解网络的变化。

故障管理

为用户及时发现问题、深入分析问题、快速解决问题提供了全流程的支持。

网络监视

帮助用户主动监视网络的状况,及时发现网络潜在的隐患。同时,丰富的历史性能统计数据为用户升级扩容网络提供了客观准确的参考。

设备配置备份

定期备份配置文件,跟踪设备配置变化,以保证一旦发生网络故障时,能够利用历史配置备份将网络立刻恢复正常。

设备软件升级

支持对设备软件的批量备份和恢复功能,极大提高了管理员的工作效率;

管理工具

针对设备端口故障, imc网络管理软件提供了便捷的定位检测工具——路径跟踪和端口环回测试工具。当用户报告网络接入存在问题时,网络管理员不需要到达用户现场,直接通过网管对指定用户端口做环回测试,实现用户侧端口的远程诊断。

多厂商设备统一管理

可管理所有支持标准snmp网管协议的网络设备,为多厂商设备共存的网络提供了统一的管理方式。

服务器的集成管理

通过 imc可以实现服务器与网络设备的统一管理。

二层拓扑技术

为用户展示网络的二层拓扑(物理链路)结构。

web报表技术

 imcwrs组件数据进行有效的分析、加工,并以web方式进行呈现。

流量分析管理(nta

丰富的应用识别

基于三层协议号、端口号,可识别上千种已知应用(比如:notes应用、ftp应用、http应用等等),并提供应用自定义功能,当网内出现新应用的时候,很容易进行新应用的识别。

贴近客户的专家级分析报表

nta网流分析系统提供了一些预先设置好的统计分析报表,用户只需要安装好nta系统,并设置好提供netstream数据的网络设备的配置信息,就可浏览网络常用情况的报表。

准实时的流量监控

nta报表支持对流量进行及时的分析,当netstream日志或者dig日志产生之后,在很短的时间内即可得到分析结果,非常方便用户使用报表进行网络异常问题的定位;

更低的全网监控成本

通过增加板卡的方式就能够实现网络流量的统计,不用改变网络的拓扑结构,支持dig探针,是一种低成本、高性价比、部署灵活的zl尊龙凯时集团的解决方案。

用户管理

运营与权限控制

强大的用户身份认证

支持802.1xpppoewebportal)等多种认证方式,且均是比较成熟的应用;

开放的计费策略

采用开放、抽象的计费模型,具有良好的适应性和扩充性,能够满足不同应用场景的计费需求,用户可以根据运营的需要轻松定制计费方式和费率。

简单易用的管理平台

基于web的管理界面和帮助系统

二次开发接口

一卡通系统在cams提供的二次开发接口上进行二次开发,可以实现使用一卡通缴纳校园网使用费的功能,完成两大系统的对接,在教育行业具有广阔的前景

用户行为审计(ubas

基于用户的行为审计

结合cams强大的用户身份、权限的管理和ubas详尽的用户网络行为日志,帮助管理分析用户的上网行为,为管理员提供行之有效的网络管理和用户行为跟踪审计策略。

用户定位功能

cams服务器联动,提供给定时间段内使用该ip地址上网帐户名、mac地址、上网时间等历史信息

全面的日志采集

包括nat1.0flow1.0netstream v5

强大的日志审计功能

通过各种条件的组合对网络日志进行快速分析

安全策略管理

集中安全策略管理中心seccenter

设备集中管理

全网安全信息的集中监控和管理,提供基于拓扑和可视化威胁的网络安全,透悉整网安全

安全事件分析

快捷的实时监控、关联分析,减少甚至消除告警误报,深入的安全审计分析,追踪溯源

日志管理

强大的日志管理,集中收集、压缩并存储日志

数据管理

neocean存储系统管理软件

和网络产品统一管理

用户需要方便、统一的管理方式,通过一套管理软件,把物理上分布在校内各处的存储设备实现逻辑上的统一管理

媒体管理

监控管理

分级分域管理

可以满足分校区的保卫处只管理本校区的摄像头,同时主校区保卫处可以管理所有摄像头图像。

视频会议

web版会议调度管理

mcu内置web服务器,管理方便简洁


 
©2002 - 2017 广东惠群科技股份有限公司
网站地图