第10章校園網(wǎng)管理與維護(hù)案例分析第10章校園網(wǎng)管理與維護(hù)案例分析10.1校園網(wǎng)建設(shè)與開展歷程10.1校園網(wǎng)建設(shè)與開展歷程10.1校園網(wǎng)建設(shè)與開展歷程10.1校園網(wǎng)建設(shè)與開展歷程10.1校園網(wǎng)建設(shè)與開展歷程第一階段更注重校園網(wǎng)是數(shù)字校園的根底平臺(tái)，校園網(wǎng)升級(jí)改造成為各個(gè)高校的熱點(diǎn)，從核心設(shè)備到終端效勞，更多的是強(qiáng)調(diào)精細(xì)化管理，強(qiáng)調(diào)校園網(wǎng)的可靠性和穩(wěn)定性，以更好地滿足數(shù)字校園建設(shè)的支撐平臺(tái)的作用。簡單來說，對(duì)于校園網(wǎng)：豐富的應(yīng)用是關(guān)鍵，穩(wěn)定可靠的網(wǎng)絡(luò)是根底，完善的平安和管理手段是保障。10.1校園網(wǎng)建設(shè)與開展歷程第10章校園網(wǎng)管理與維護(hù)案例分析校園網(wǎng)具有不同于其他網(wǎng)絡(luò)的特點(diǎn)，不同的是在校園網(wǎng)中效勞的對(duì)象主要是師生員工，校園網(wǎng)提供了一種促進(jìn)教學(xué)、科研與生活的網(wǎng)絡(luò)環(huán)境。1．辦公自動(dòng)化學(xué)校信息網(wǎng)絡(luò)中心購置或開發(fā)基于Web的辦公自動(dòng)化系統(tǒng)〔OA，OfficeAutomation〕，基于Web綜合管理信息系統(tǒng)，提供行政、人事、學(xué)籍、教學(xué)、后勤、財(cái)務(wù)管理、公文收發(fā)管理、教師檔案管理、學(xué)生檔案管理、科技檔案管理等，使學(xué)校日常辦公無紙化，減少辦公開支，提高辦公效率。10.2校園網(wǎng)的根本功能2．網(wǎng)絡(luò)多媒體教學(xué)將計(jì)算機(jī)多媒體視聽引入課堂教學(xué)，使聲音、圖像、動(dòng)畫的普遍采用可以大大提高教學(xué)效果，使每一節(jié)課都能夠得到有效的作用。3．學(xué)生自主學(xué)習(xí)針對(duì)不同的學(xué)生，提供不同的教學(xué)內(nèi)容，采取不同的教學(xué)手段。主要采用基于VoD、Web及FTP的課件、光盤軟件、Internet資源，學(xué)生可以根據(jù)自己的需要自由選擇所需內(nèi)容。

10.2校園網(wǎng)的根本功能10.2校園網(wǎng)的根本功能10.2校園網(wǎng)的根本功能第10章校園網(wǎng)管理與維護(hù)案例分析10.3校園網(wǎng)的設(shè)計(jì)案例分析從建設(shè)校園網(wǎng)的過程來看，校園網(wǎng)也是一個(gè)較為復(fù)雜的網(wǎng)絡(luò)?？v觀國內(nèi)大局部高校近10年來建設(shè)的校園網(wǎng)，主要表達(dá)了網(wǎng)絡(luò)設(shè)計(jì)模塊化、層次化的設(shè)計(jì)理念，即建設(shè)包含出口、核心、會(huì)聚、接入等多層次的網(wǎng)絡(luò)。根據(jù)學(xué)校建筑規(guī)劃，將整個(gè)網(wǎng)絡(luò)進(jìn)行了功能區(qū)的劃分，分為教學(xué)區(qū)、辦公區(qū)、學(xué)生宿舍區(qū)、后勤效勞區(qū)、家屬區(qū)、數(shù)據(jù)中心、網(wǎng)絡(luò)中心等較大的邏輯區(qū)域，將教學(xué)樓、辦公樓、學(xué)生宿舍區(qū)、家屬區(qū)、后勤效勞區(qū)等園區(qū)交換網(wǎng)作為整個(gè)網(wǎng)絡(luò)的承載根底，根本都是基于三層架構(gòu)進(jìn)行劃分，分為核心層、會(huì)聚層和接入層。10.3校園網(wǎng)的設(shè)計(jì)案例分析10.3校園網(wǎng)的設(shè)計(jì)案例分析10.3校園網(wǎng)的設(shè)計(jì)案例分析10.3校園網(wǎng)的設(shè)計(jì)案例分析10.3校園網(wǎng)的設(shè)計(jì)案例分析該方案具有如下一些設(shè)計(jì)特點(diǎn)：〔1〕負(fù)載均衡、冗余備份的出口設(shè)計(jì)。〔2〕骨干交換網(wǎng)絡(luò)高性能、穩(wěn)定可靠性?！?〕有效的平安和管理措施?！?〕對(duì)WLAN〔無線局域網(wǎng)〕的支持。〔5〕全面支持IPv4向IPv6的分階段、分步驟平滑過渡。10.3校園網(wǎng)的設(shè)計(jì)案例分析第10章校園網(wǎng)管理與維護(hù)案例分析10.4.1校園網(wǎng)網(wǎng)絡(luò)管理的主要內(nèi)容具體內(nèi)容包括：(1)設(shè)置開放系統(tǒng)中有關(guān)路由器、交換機(jī)相關(guān)操作的參數(shù)；(2)被管對(duì)象和被管對(duì)象組名字的管理；(3)根據(jù)要求收集系統(tǒng)當(dāng)前狀態(tài)的有關(guān)信息；(4)獲取系統(tǒng)重要變化的信息；(5)更改系統(tǒng)的配置。

10.4.1校園網(wǎng)網(wǎng)絡(luò)管理的主要內(nèi)容2．性能管理性能管理用來評(píng)估系統(tǒng)資源的運(yùn)行狀況及通信效率等系統(tǒng)性能。其能力包括監(jiān)視和分析被管網(wǎng)絡(luò)及其所提供效勞的性能。性能分析的結(jié)果可能會(huì)觸發(fā)某個(gè)診斷測(cè)試過程或重新配置網(wǎng)絡(luò)以維持網(wǎng)絡(luò)的性能。性能管理收集分析有關(guān)被管網(wǎng)絡(luò)當(dāng)前狀況的數(shù)據(jù)信息，并維持和分析性能日志。目前高校的P2P流量大量占用著網(wǎng)絡(luò)帶寬，只有有效地對(duì)網(wǎng)絡(luò)帶寬進(jìn)行分析統(tǒng)計(jì)并采取相關(guān)的措施，才能保證校園網(wǎng)高速地運(yùn)行。一些高校使用流量控制設(shè)備對(duì)全網(wǎng)的流量進(jìn)行分析、統(tǒng)計(jì)，并制定相關(guān)的策略限制P2P流量，保證帶寬的合理使用。10.4.1校園網(wǎng)網(wǎng)絡(luò)管理的主要內(nèi)容高校校園網(wǎng)性能管理典型的功能包括：(1)收集、分析、統(tǒng)計(jì)校園網(wǎng)網(wǎng)絡(luò)設(shè)備的信息；(2)維護(hù)并檢查系統(tǒng)狀態(tài)日志；(3)確定自然和人工狀況下系統(tǒng)的性能；(4)制定相關(guān)的管理措施保證校園網(wǎng)的合理使用。

10.4.1校園網(wǎng)網(wǎng)絡(luò)管理的主要內(nèi)容3．故障管理為保障網(wǎng)絡(luò)系統(tǒng)的高穩(wěn)定性,在網(wǎng)絡(luò)出現(xiàn)問題時(shí),必須判斷故障所在節(jié)點(diǎn)并進(jìn)行恢復(fù)。它包含所有以節(jié)點(diǎn)運(yùn)行狀態(tài)、故障記錄的追蹤與檢查及平常對(duì)各種通信協(xié)議的測(cè)試。網(wǎng)絡(luò)故障管理包括故障檢測(cè)、隔離和糾正三方面，應(yīng)包括以下典型功能：(1)維護(hù)并檢查錯(cuò)誤日志；(2)接受錯(cuò)誤檢測(cè)報(bào)告并作出響應(yīng)；(3)跟蹤、識(shí)別錯(cuò)誤；(4)執(zhí)行診斷測(cè)試；(5)糾正錯(cuò)誤。10.4.1校園網(wǎng)網(wǎng)絡(luò)管理的主要內(nèi)容對(duì)網(wǎng)絡(luò)故障的檢測(cè)依據(jù)對(duì)網(wǎng)絡(luò)組成部件狀態(tài)的監(jiān)測(cè)。不嚴(yán)重的簡單故障通常被記錄在錯(cuò)誤日志中，不作特別處理；而嚴(yán)重一些的故障那么需要發(fā)生“警報(bào)〞。一般網(wǎng)絡(luò)管理系統(tǒng)應(yīng)根據(jù)有關(guān)信息對(duì)警報(bào)進(jìn)行處理，排除故障。當(dāng)故障比較復(fù)雜時(shí)，網(wǎng)絡(luò)管理系統(tǒng)應(yīng)能執(zhí)行一些診斷測(cè)試來區(qū)分故障原因。10.4.1校園網(wǎng)網(wǎng)絡(luò)管理的主要內(nèi)容10.4.1校園網(wǎng)網(wǎng)絡(luò)管理的主要內(nèi)容10.4.1校園網(wǎng)網(wǎng)絡(luò)管理的主要內(nèi)容5．計(jì)費(fèi)管理計(jì)費(fèi)管理可以掌握每個(gè)用戶網(wǎng)絡(luò)使用時(shí)間，對(duì)局部網(wǎng)絡(luò)做出使用統(tǒng)計(jì)，控制和標(biāo)準(zhǔn)每個(gè)用戶的上網(wǎng)。計(jì)費(fèi)管理系統(tǒng)能夠?qū)崿F(xiàn)事前的身份認(rèn)證和準(zhǔn)確定位、事中的實(shí)時(shí)處理、事后的完整日志審計(jì)。事前的認(rèn)證和定位是指可嚴(yán)格實(shí)現(xiàn)用戶身份識(shí)別，根據(jù)用戶賬號(hào)、密碼、MAC地址、IP地址、交換機(jī)IP、交換機(jī)端口號(hào)、用戶所在VLAN的靈活組合，來識(shí)別用戶身份，將網(wǎng)絡(luò)中的虛擬用戶和生活中的真實(shí)用戶相對(duì)應(yīng)。10.4.1校園網(wǎng)網(wǎng)絡(luò)管理的主要內(nèi)容10.4.1校園網(wǎng)網(wǎng)絡(luò)管理的主要內(nèi)容具體內(nèi)容包括：(1)設(shè)置開放系統(tǒng)中有關(guān)路由器、交換機(jī)相關(guān)操作的參數(shù)；(2)被管對(duì)象和被管對(duì)象組名字的管理；(3)根據(jù)要求收集系統(tǒng)當(dāng)前狀態(tài)的有關(guān)信息；(4)獲取系統(tǒng)重要變化的信息；(5)更改系統(tǒng)的配置。

10.4.1校園網(wǎng)網(wǎng)絡(luò)管理的主要內(nèi)容10.4.2IP地址管理及路由規(guī)劃10.4.2IP地址管理及路由規(guī)劃IP地址規(guī)劃必須全校統(tǒng)一考慮，盡可能考慮到今后和其他院系互聯(lián)后的地址沖突問題。對(duì)校園網(wǎng)中所有網(wǎng)絡(luò)設(shè)備IP地址和鏈路上IP地址均采用私有IP地址，網(wǎng)絡(luò)設(shè)備和鏈路私有IP地址對(duì)外不可訪問，校外用戶不可能通過掃描、跟蹤和遠(yuǎn)程登錄的方法來了解校園網(wǎng)的結(jié)構(gòu)或訪問網(wǎng)絡(luò)設(shè)備，提高了網(wǎng)絡(luò)平安性。對(duì)于廣闊網(wǎng)絡(luò)用戶來說，如果具有足夠的公網(wǎng)IP地址資源，盡可能分配公有IP地址，因此對(duì)用戶和所有網(wǎng)絡(luò)應(yīng)用系統(tǒng)不產(chǎn)生任何負(fù)面影響。10.4.2IP地址管理及路由規(guī)劃10.4.2IP地址管理及路由規(guī)劃10.4.2IP地址管理及路由規(guī)劃2〕動(dòng)態(tài)IP地址分配方式動(dòng)態(tài)分配IP地址是指當(dāng)用戶計(jì)算機(jī)需要聯(lián)入網(wǎng)絡(luò)工作時(shí)，系統(tǒng)在所掌握的可分配IP地址空間中，隨機(jī)挑選一個(gè)給用戶使用的IP地址分配方式。對(duì)于用戶較多的網(wǎng)絡(luò)，采用動(dòng)態(tài)分配IP地址是一種十分方便的IP管理方式。IP地址的動(dòng)態(tài)分配是通過TCP/IP的動(dòng)態(tài)主機(jī)配置協(xié)議〔DHCP〕進(jìn)行的，由于校園網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，簡單的動(dòng)態(tài)分配地址的方式已經(jīng)不再適合校園網(wǎng)絡(luò)的應(yīng)用，涉及的問題主要有：簡單的動(dòng)態(tài)分配一般是在單一的子網(wǎng)中進(jìn)行的，校園網(wǎng)絡(luò)一般有很多的子網(wǎng)，這就需要與有DHCPrelay功能的設(shè)備相結(jié)合來解決。10.4.2IP地址管理及路由規(guī)劃簡單的動(dòng)態(tài)分配的網(wǎng)絡(luò)中，客戶端可以私自設(shè)置靜態(tài)的IP地址，從而使客戶端的IP地址產(chǎn)生沖突。解決沖突問題需要與設(shè)備相結(jié)合，使客戶端只能夠使用動(dòng)態(tài)IP地址，自行設(shè)置靜態(tài)地址時(shí)，網(wǎng)絡(luò)自動(dòng)斷開客戶端。目前比較通用的做法是采用對(duì)RADIUS效勞器的客戶端IP接入限制功能進(jìn)行限制。為了防止用戶私設(shè)DHCP效勞器，擾亂正常的DHCP效勞器工作，可以通過在接入交換機(jī)上設(shè)置限制非DHCP效勞器接入端口的效勞來限制。目前大局部網(wǎng)絡(luò)設(shè)備廠商的交換機(jī)內(nèi)置DHCP效勞器實(shí)現(xiàn)全網(wǎng)的DHCP效勞器的分散，防止單點(diǎn)故障；核心交換機(jī)也可以支持防私設(shè)DHCP效勞器。10.4.2IP地址管理及路由規(guī)劃10.4.2IP地址管理及路由規(guī)劃10.4.2IP地址管理及路由規(guī)劃(1)路由器隔離具體的實(shí)現(xiàn)方法有兩種：使用靜態(tài)路由表，即在路由器中建立一個(gè)MAC地址與IP地址的對(duì)應(yīng)表，只有“MAC-IP地址對(duì)〞合法匹配的機(jī)器才能得到正確的ARP應(yīng)答；還可以通過SNMP定期掃描網(wǎng)絡(luò)各路由器ARP表，獲得當(dāng)前IP-MAC對(duì)照關(guān)系，與存儲(chǔ)的合法IP-MAC地址進(jìn)行比較，不一致者即為非法訪問。(2)“雙綁定〞策略是通過把MAC與IP地址、IP地址與交換機(jī)端口進(jìn)行雙綁定。由于用戶所連接交換機(jī)的物理端口的不可改變性，從而真正實(shí)現(xiàn)了用戶IP與MAC的一一對(duì)應(yīng)。10.4.2IP地址管理及路由規(guī)劃10.4.2IP地址管理及路由規(guī)劃(4)在校園網(wǎng)絡(luò)中使用PPPoE的認(rèn)證方式主要是解決學(xué)生宿舍、教工宿舍以及一些分布比較分散的客戶端上網(wǎng)問題，還可以解決ARP攻擊及欺騙等方面的問題，因?yàn)镻PPoE不使用ARP，也就不存在ARP攻擊。但是，PPPoE在校園網(wǎng)內(nèi)部不適合整體使用，對(duì)分散用戶如家屬區(qū)等比較適合。采用PPPoE接入方式，不需要設(shè)置固定IP地址、默認(rèn)網(wǎng)關(guān)和域名效勞器。即使在用戶亂設(shè)造成IP地址沖突的情況下，依然可以正常上網(wǎng)。它對(duì)通過成對(duì)修改IP-MAC地址來盜用IP地址有很好的防范效果。10.4.2IP地址管理及路由規(guī)劃10.4.2IP地址管理及路由規(guī)劃10.4.2IP地址管理及路由規(guī)劃1．802.1x協(xié)議介紹802.1x協(xié)議起源于802.11協(xié)議〔IEEE的無線局域網(wǎng)協(xié)議〕，制訂802.1x協(xié)議的初衷是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題。IEEE802LAN協(xié)議定義的局域網(wǎng)并不提供接入認(rèn)證，只要用戶能接入局域網(wǎng)控制設(shè)備(如局域網(wǎng)交換機(jī))，就可以訪問局域網(wǎng)中的設(shè)備或資源。在早期企業(yè)有線局域網(wǎng)應(yīng)用環(huán)境下并不存在明顯的平安隱患。隨著移動(dòng)辦公及駐地網(wǎng)運(yùn)營等應(yīng)用的大規(guī)模開展，效勞提供者需要對(duì)用戶的接入進(jìn)行控制和配置。尤其是WLAN的應(yīng)用和LAN接入在電信網(wǎng)上大規(guī)模開展，有必要對(duì)端口加以控制以實(shí)現(xiàn)用戶級(jí)的接入控制。802.lx就是IEEE為了解決基于端口的接入控制而定義的一個(gè)標(biāo)準(zhǔn)。IEEE802.1x協(xié)議是標(biāo)準(zhǔn)化的符合IEEE802協(xié)議集的局域網(wǎng)接入控制協(xié)議，其全稱為基于端口的訪問控制協(xié)議(portbasenetworkaccesscontrolprotocol)，能夠在利用IEEE802局域網(wǎng)優(yōu)勢(shì)的根底上提供一種對(duì)連接到局域網(wǎng)用戶的認(rèn)證和授權(quán)手段，到達(dá)接受合法用戶接入、保護(hù)網(wǎng)絡(luò)平安的目的。2〕802.1x分布式組網(wǎng)(接入層設(shè)備分布認(rèn)證)802.1x分布式組網(wǎng)是把802.lx認(rèn)證系統(tǒng)端放在網(wǎng)絡(luò)位置較低的多個(gè)LANSwitch設(shè)備上，這些LANSwitch作為接入層邊緣設(shè)備。認(rèn)證報(bào)文送給邊緣設(shè)備，進(jìn)行802.1x認(rèn)證處理。這種組網(wǎng)方式的優(yōu)點(diǎn)在于，它采用中/高端設(shè)備與低端設(shè)備認(rèn)證相結(jié)合的方式，可滿足復(fù)雜網(wǎng)絡(luò)環(huán)境的認(rèn)證。認(rèn)證任務(wù)分配到眾多的設(shè)備上，減輕了中心設(shè)備的負(fù)荷。802.lx分布式組網(wǎng)方式非常適用于受控組播等特性的應(yīng)用，建議采用分布式組網(wǎng)對(duì)受控組播業(yè)務(wù)進(jìn)行認(rèn)證。如果采用集中式組網(wǎng)將受控組播認(rèn)證設(shè)備端放在會(huì)聚設(shè)備上，從組播效勞器下行的流在到達(dá)會(huì)聚設(shè)備之后，由于認(rèn)證系統(tǒng)還下掛接入層設(shè)備，將無法區(qū)分最終用戶，假設(shè)翻開該受控端口，那么會(huì)聚層端口以下的所有用戶都能夠訪問到受控組播消息源。反之，如果采用分布式組網(wǎng)，那么從組播效勞器來的組播流到達(dá)接入層認(rèn)證系統(tǒng)，可以實(shí)現(xiàn)組播成員的精確粒度控制。3〕802.1x本地認(rèn)證組網(wǎng)802.1x的AAA認(rèn)證可以在本地進(jìn)行，而不用到遠(yuǎn)端認(rèn)證效勞器上去認(rèn)證。這種本地認(rèn)證的組網(wǎng)方式在專線用戶或小規(guī)模應(yīng)用環(huán)境中非常適用。它的優(yōu)點(diǎn)在于節(jié)約本錢，不需要單獨(dú)購置昂貴的效勞器，但隨著用戶數(shù)目的增加，還需要由本地認(rèn)證向RADIUS認(rèn)證遷移。4．基于802.1x+RADIUS在校園網(wǎng)中的應(yīng)用實(shí)例對(duì)于高校園區(qū)網(wǎng)絡(luò)，平安性問題不僅來自外部網(wǎng)絡(luò)，更主要的威脅還是來自內(nèi)部網(wǎng)絡(luò)，很多學(xué)生出于好奇心或其它心理而采取的網(wǎng)絡(luò)地址盜用、網(wǎng)絡(luò)攻擊等方式無疑是網(wǎng)絡(luò)系統(tǒng)中的一個(gè)隱患，如何有效地設(shè)計(jì)平安接入和靈活計(jì)費(fèi)方案是一個(gè)很重要的問題。在校園三層網(wǎng)絡(luò)架構(gòu)的根底上，802.1x與RADIUS主要用于校園網(wǎng)用戶平安認(rèn)證與計(jì)費(fèi)系統(tǒng)上。目前一些主流的網(wǎng)絡(luò)平安產(chǎn)品和計(jì)費(fèi)系統(tǒng)都開發(fā)了支持802.1x的認(rèn)證系統(tǒng)，近年來各網(wǎng)絡(luò)設(shè)備廠商生產(chǎn)的主流交換機(jī)在物理硬件上都支持802.1x協(xié)議。通過對(duì)接入層設(shè)備以及后臺(tái)計(jì)費(fèi)效勞器的RADIUS認(rèn)證進(jìn)行配置，可以簡單實(shí)現(xiàn)校園網(wǎng)上的802.1x認(rèn)證功能。以下通過銳捷網(wǎng)絡(luò)的一個(gè)認(rèn)證計(jì)費(fèi)應(yīng)用實(shí)例具體說明如何通過802.1x配置及后臺(tái)RADIUS配置來實(shí)現(xiàn)平安接入和計(jì)費(fèi)。采用銳捷平安接入和靈活計(jì)費(fèi)〔802.1x〕方案具有以下優(yōu)點(diǎn)：〔1〕一次同時(shí)認(rèn)證用戶名、IP、MAC。在進(jìn)行802.1X認(rèn)證時(shí)，客戶端同時(shí)提交用戶名、IP、MAC，一次認(rèn)證即同時(shí)完成用戶名、IP、MAC三者的認(rèn)證。這樣，其它用戶盜取用戶賬號(hào)或IP或MAC或三者中任兩者都無法假冒真正用戶。更重要的是，這些都只需簡單地在RADIUS效勞器上設(shè)置單一的表格即可實(shí)現(xiàn)基于全宿舍網(wǎng)甚至全校的接入控制認(rèn)證。〔2〕分布式認(rèn)證方式，防止出現(xiàn)單一故障點(diǎn)。各接入交換機(jī)〔如S2024堆疊系列交換機(jī)、S1924G+/F+接入交換機(jī)等〕直接完成接入認(rèn)證，不容易單點(diǎn)故障；同時(shí)，還可提高認(rèn)證效率.〔3〕認(rèn)證流和業(yè)務(wù)流實(shí)現(xiàn)別離，實(shí)現(xiàn)高效的認(rèn)證，防止出現(xiàn)用戶無法認(rèn)證的情況。802.1x認(rèn)證協(xié)議的核心設(shè)計(jì)思想是交換和控制的別離，認(rèn)證流和業(yè)務(wù)流的別離。通過端口〔可以是交換機(jī)的物理端口、用戶PC的MAC地址，也可以是VLANID〕的兩個(gè)邏輯通道：非受控端口和受控端口來實(shí)現(xiàn)對(duì)用戶的控制。非受控端口始終關(guān)閉，只允許認(rèn)證流上來；受控端口走業(yè)務(wù)流，始終翻開，只有通過認(rèn)證才能關(guān)閉，用戶的業(yè)務(wù)才能上來。當(dāng)用戶認(rèn)證流上來后，通過非受控端口進(jìn)入交換機(jī)，由交換機(jī)協(xié)議體系提取用戶名和密碼對(duì)用戶身份進(jìn)行認(rèn)證；當(dāng)用戶通過認(rèn)證后，受控端口關(guān)閉，用戶的業(yè)務(wù)流可以上行。這一點(diǎn)很類似于窄帶交換網(wǎng)的7號(hào)信令系統(tǒng)，控制信令和語音數(shù)據(jù)的別離。基于交換與控制別離的設(shè)計(jì)思路，802.1x認(rèn)證協(xié)議實(shí)現(xiàn)簡單、高效，認(rèn)證的容量很大，可以保證用戶及時(shí)通過認(rèn)證，在網(wǎng)絡(luò)流量大、認(rèn)證用戶數(shù)多時(shí)不會(huì)對(duì)設(shè)備的性能產(chǎn)生影響，保證整個(gè)網(wǎng)絡(luò)高效、穩(wěn)定地運(yùn)行?！?〕靈活擴(kuò)展計(jì)費(fèi)功能。通過RADIUS效勞器，802.1x完全支持計(jì)費(fèi)功能。同時(shí)，支持對(duì)用戶離線信息的檢測(cè)，對(duì)于后續(xù)開展基于按時(shí)計(jì)費(fèi)的增值效勞有利。當(dāng)用戶因電腦死機(jī)或異常關(guān)閉造成非主動(dòng)下線，如果沒有一種定期檢測(cè)用戶是否在線的機(jī)制，那么會(huì)造成按時(shí)計(jì)費(fèi)信息的不準(zhǔn)。802.1x認(rèn)證設(shè)置了對(duì)用戶離線的檢測(cè)機(jī)制，定期會(huì)由認(rèn)證系統(tǒng)對(duì)在線用戶進(jìn)行一次握手，如果用戶仍在線，那么其客戶端會(huì)響應(yīng)認(rèn)證系統(tǒng)的檢測(cè)請(qǐng)求；如果用戶不在線，那么其客戶端不會(huì)響應(yīng)認(rèn)證系統(tǒng)的檢測(cè)請(qǐng)求，在三次握手不成功后，就會(huì)中止計(jì)費(fèi)信息。同時(shí)，由于用戶名/密碼跟特定用戶的IP、MAC捆綁，用戶無須擔(dān)憂用戶名/密碼泄露引起不必要的麻煩。本節(jié)選擇H3CiMC作為專業(yè)網(wǎng)絡(luò)管理平臺(tái)軟件進(jìn)行介紹，可以從中學(xué)習(xí)到利用專業(yè)的網(wǎng)絡(luò)管理平臺(tái)進(jìn)行網(wǎng)絡(luò)管理的一些經(jīng)驗(yàn)。H3C提供包括網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理等全面的管理解決方案：H3C智能管理中心〔H3CIntelligentManagementCenter，H3CiMC〕。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹本節(jié)選擇H3CiMC作為專業(yè)網(wǎng)絡(luò)管理平臺(tái)軟件進(jìn)行介紹，可以從中學(xué)習(xí)到利用專業(yè)的網(wǎng)絡(luò)管理平臺(tái)進(jìn)行網(wǎng)絡(luò)管理的一些經(jīng)驗(yàn)。H3C提供包括網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理等全面的管理解決方案：H3C智能管理中心〔H3CIntelligentManagementCenter，H3CiMC〕。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹本節(jié)選擇H3CiMC作為專業(yè)網(wǎng)絡(luò)管理平臺(tái)軟件進(jìn)行介紹，可以從中學(xué)習(xí)到利用專業(yè)的網(wǎng)絡(luò)管理平臺(tái)進(jìn)行網(wǎng)絡(luò)管理的一些經(jīng)驗(yàn)。H3C提供包括網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理等全面的管理解決方案：H3C智能管理中心〔H3CIntelligentManagementCenter，H3CiMC〕。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹本節(jié)選擇H3CiMC作為專業(yè)網(wǎng)絡(luò)管理平臺(tái)軟件進(jìn)行介紹，可以從中學(xué)習(xí)到利用專業(yè)的網(wǎng)絡(luò)管理平臺(tái)進(jìn)行網(wǎng)絡(luò)管理的一些經(jīng)驗(yàn)。H3C提供包括網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理等全面的管理解決方案：H3C智能管理中心〔H3CIntelligentManagementCenter，H3CiMC〕。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹本節(jié)選擇H3CiMC作為專業(yè)網(wǎng)絡(luò)管理平臺(tái)軟件進(jìn)行介紹，可以從中學(xué)習(xí)到利用專業(yè)的網(wǎng)絡(luò)管理平臺(tái)進(jìn)行網(wǎng)絡(luò)管理的一些經(jīng)驗(yàn)。H3C提供包括網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理等全面的管理解決方案：H3C智能管理中心〔H3CIntelligentManagementCenter，H3CiMC〕。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹本節(jié)選擇H3CiMC作為專業(yè)網(wǎng)絡(luò)管理平臺(tái)軟件進(jìn)行介紹，可以從中學(xué)習(xí)到利用專業(yè)的網(wǎng)絡(luò)管理平臺(tái)進(jìn)行網(wǎng)絡(luò)管理的一些經(jīng)驗(yàn)。H3C提供包括網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理等全面的管理解決方案：H3C智能管理中心〔H3CIntelligentManagementCenter，H3CiMC〕。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹本節(jié)選擇H3CiMC作為專業(yè)網(wǎng)絡(luò)管理平臺(tái)軟件進(jìn)行介紹，可以從中學(xué)習(xí)到利用專業(yè)的網(wǎng)絡(luò)管理平臺(tái)進(jìn)行網(wǎng)絡(luò)管理的一些經(jīng)驗(yàn)。H3C提供包括網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理等全面的管理解決方案：H3C智能管理中心〔H3CIntelligentManagementCenter，H3CiMC〕。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹本節(jié)選擇H3CiMC作為專業(yè)網(wǎng)絡(luò)管理平臺(tái)軟件進(jìn)行介紹，可以從中學(xué)習(xí)到利用專業(yè)的網(wǎng)絡(luò)管理平臺(tái)進(jìn)行網(wǎng)絡(luò)管理的一些經(jīng)驗(yàn)。H3C提供包括網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理等全面的管理解決方案：H3C智能管理中心〔H3CIntelligentManagementCenter，H3CiMC〕。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹本節(jié)選擇H3CiMC作為專業(yè)網(wǎng)絡(luò)管理平臺(tái)軟件進(jìn)行介紹，可以從中學(xué)習(xí)到利用專業(yè)的網(wǎng)絡(luò)管理平臺(tái)進(jìn)行網(wǎng)絡(luò)管理的一些經(jīng)驗(yàn)。H3C提供包括網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理等全面的管理解決方案：H3C智能管理中心〔H3CIntelligentManagementCenter，H3CiMC〕。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹本節(jié)選擇H3CiMC作為專業(yè)網(wǎng)絡(luò)管理平臺(tái)軟件進(jìn)行介紹，可以從中學(xué)習(xí)到利用專業(yè)的網(wǎng)絡(luò)管理平臺(tái)進(jìn)行網(wǎng)絡(luò)管理的一些經(jīng)驗(yàn)。H3C提供包括網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理等全面的管理解決方案：H3C智能管理中心〔H3CIntelligentManagementCenter，H3CiMC〕。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹H3CiMC是H3CIToIP解決方案的統(tǒng)一管理中心，基于SOA架構(gòu)，采用靈活的組件化結(jié)構(gòu)，支持與HPOpenview、SNMP等通用網(wǎng)管平臺(tái)的集成，支持集成各多廠家設(shè)備管理系統(tǒng)，與H3C的數(shù)據(jù)通信設(shè)備產(chǎn)品一起為用戶提供全網(wǎng)解決方案，幫助客戶真正實(shí)現(xiàn)網(wǎng)絡(luò)的按需構(gòu)建。H3CiMC作為IToIP解決方案核心管理系統(tǒng)，為用戶提供了靈活的組件化結(jié)構(gòu)，包括智能管理平臺(tái)、智能配置中心〔iCC〕、ACL管理、MPLSVPN管理、用戶接入管理、EAD解決方案、無線管理、EPON管理等業(yè)務(wù)組件，可以根據(jù)自己的管理需要和網(wǎng)絡(luò)情況靈活選擇需要的組件，真正實(shí)現(xiàn)“按需建構(gòu)〞。H3C智能管理中心解決方案架構(gòu)如圖10.2所示。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹由圖10.2可以看出H3CiMC管理系統(tǒng)由智能管理平臺(tái)以及各個(gè)業(yè)務(wù)組件組成，管理平臺(tái)提供網(wǎng)絡(luò)管理的一些根底功能，比方故障管理、性能管理、資源和拓?fù)涔芾怼⒂脩艄芾淼?，業(yè)務(wù)組件提供相應(yīng)的業(yè)務(wù)管理功能；各個(gè)業(yè)務(wù)組件相對(duì)獨(dú)立，并可以無縫地集成在管理平臺(tái)中，使得整個(gè)系統(tǒng)具有很強(qiáng)的可擴(kuò)展性。H3CiMC智能管理平臺(tái)實(shí)現(xiàn)網(wǎng)絡(luò)資源、用戶和業(yè)務(wù)的融合管理，提供根本的網(wǎng)絡(luò)資源管理、拓?fù)涔芾?、故障管理、性能管理、用戶管理及系統(tǒng)平安管理，基于B/S架構(gòu)，可以與H3CiMC其他業(yè)務(wù)組件有效集成，形成多種解決方案。H3CiMC智能管理平臺(tái)不僅可以實(shí)現(xiàn)H3C全線數(shù)據(jù)通信產(chǎn)品的管理，也可通過標(biāo)準(zhǔn)MIB實(shí)現(xiàn)對(duì)Cisco等各主流廠商的數(shù)據(jù)通信設(shè)備管理。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹1．系統(tǒng)平安管理系統(tǒng)平安管理功能主要包括操作日志管理、操作員管理、分組分級(jí)與權(quán)限管理、操作員登錄管理等。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹3．拓?fù)涔芾韎MC拓?fù)涔芾韽木W(wǎng)絡(luò)拓?fù)涞慕鉀Q直觀地提供給用戶對(duì)整個(gè)網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備資源的管理。拓?fù)涔芾戆ㄈ缦聝?nèi)容。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹〔1〕拓?fù)渥詣?dòng)發(fā)現(xiàn)。H3CiMC可以自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，支持全網(wǎng)設(shè)備的統(tǒng)一拓?fù)湟晥D，通過視圖導(dǎo)航樹提供視圖間的快速導(dǎo)航。通過自動(dòng)發(fā)現(xiàn)可以發(fā)現(xiàn)網(wǎng)絡(luò)中的所有設(shè)備及網(wǎng)絡(luò)結(jié)構(gòu)〔具體參見資源管理〕，并且可以將非SNMP設(shè)備發(fā)現(xiàn)出來，只要設(shè)備可以ping通即可。這樣就可以將所有網(wǎng)絡(luò)設(shè)備都列入其管理范圍〔只要設(shè)備IP可達(dá)〕。同時(shí)支持自動(dòng)的拓?fù)鋱D呈現(xiàn)和自定義拓?fù)洹Ｗ詣?dòng)拓?fù)淇梢宰詣?dòng)將網(wǎng)絡(luò)中的邏輯連接關(guān)系顯示出來，同時(shí)可以保存為自定義拓?fù)鋱D，并可根據(jù)具體情況進(jìn)行修改，以便于網(wǎng)管員對(duì)整個(gè)網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹支持對(duì)全網(wǎng)設(shè)備和連接定時(shí)輪詢和狀態(tài)刷新，實(shí)時(shí)了解整個(gè)網(wǎng)絡(luò)的運(yùn)行情況，并且刷新周期是可定制〔刷新周期：60～7200秒〕的，同時(shí)也支持對(duì)多個(gè)設(shè)備的刷新周期進(jìn)行批量配置。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹〔2〕支持自定義拓?fù)?。H3CiMC的拓?fù)涔δ苤С朱`活的自定義功能，管理人員可以根據(jù)網(wǎng)絡(luò)的實(shí)際組網(wǎng)情況和設(shè)備重要性的不同靈活定制網(wǎng)絡(luò)拓?fù)洌蓪?duì)拓?fù)鋱D進(jìn)行增、刪、改等編輯操作，使網(wǎng)絡(luò)拓?fù)淠軌蚯逦爻尸F(xiàn)整個(gè)校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)以及IT資源分布。〔3〕自動(dòng)識(shí)別各種網(wǎng)絡(luò)設(shè)備和主機(jī)的類型。H3CiMC可以自動(dòng)識(shí)別H3C、Cisco等廠商的設(shè)備、Windows、Solaris的PC和工作站，其他SNMP設(shè)備和ping設(shè)備，并且以樹狀方式組織，以不同的圖標(biāo)顯示區(qū)分。在拓?fù)鋱D上更可進(jìn)一步對(duì)設(shè)備的類型進(jìn)行區(qū)分，如區(qū)分路由器、交換機(jī)、平安網(wǎng)關(guān)、存儲(chǔ)設(shè)備、監(jiān)控設(shè)備、無線設(shè)備、語音設(shè)備、打印機(jī)、UPS、效勞器、PC等。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹〔4〕設(shè)備狀態(tài)、連接狀態(tài)、告警狀態(tài)等信息在拓?fù)鋱D上可以直觀顯示出來。H3CiMC的拓?fù)涔δ芘c故障管理和性能管理緊密融合，通過圖10.3能夠清晰地看到北京建筑工程學(xué)院IT資源的狀態(tài)，包括運(yùn)行是否正常、網(wǎng)絡(luò)帶寬、接口連通、配置變化都能一目了然。多種顏色區(qū)分不同級(jí)別故障，節(jié)點(diǎn)圖標(biāo)顏色反映設(shè)備狀態(tài)。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹〔5〕拓?fù)淠芴峁┰O(shè)備管理便捷入口。H3CiMC拓?fù)淠軌蛱峁?duì)設(shè)備管理的便捷入口，管理員只需右擊拓?fù)鋱D中的設(shè)備圖標(biāo)即可啟動(dòng)設(shè)備管理各項(xiàng)功能，實(shí)現(xiàn)對(duì)設(shè)備的面板管理等各項(xiàng)功能配置。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹4．故障〔告警/事件〕管理故障管理，即告警/事件管理，是H3CiMC的核心模塊，是iMC智能管理平臺(tái)及其他業(yè)務(wù)組件統(tǒng)一的告警中心。iMC告警中心可以接收各種告警源的告警事件，包括設(shè)備告警、本級(jí)網(wǎng)管站及下級(jí)網(wǎng)管站告警、網(wǎng)絡(luò)性能監(jiān)視告警、網(wǎng)絡(luò)配置監(jiān)視告警、網(wǎng)絡(luò)流量異常監(jiān)視告警、終端平安異常告警等；同時(shí)通過支持對(duì)設(shè)備定時(shí)輪詢，實(shí)現(xiàn)通斷告警、響應(yīng)時(shí)間告警等，以告警事件的方式上報(bào)給H3CiMC告警中心。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹iMC告警中心根據(jù)告警腳本中的告警事件定義，接收并解析上報(bào)的告警事件；H3CiMC對(duì)接收到的告警事件進(jìn)行深度關(guān)聯(lián)分析，系統(tǒng)默認(rèn)支持重復(fù)事件閾值告警、閃斷事件閾值告警、未知事件閾值告警、未管理設(shè)備閾值告警，并能在故障恢復(fù)時(shí)自動(dòng)確認(rèn)相關(guān)告警；同時(shí)可以根據(jù)自己的需要確定事件的告警規(guī)那么，以適應(yīng)網(wǎng)絡(luò)管理需要。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹H3CiMC提供告警知識(shí)庫。告警知識(shí)是用戶在維護(hù)過程中的經(jīng)驗(yàn)總結(jié)，將這些經(jīng)驗(yàn)輸入系統(tǒng)，下次再出現(xiàn)同樣的故障時(shí)，可以作為參考。選中一條告警記錄，系統(tǒng)根據(jù)用戶選中的告警記錄，從告警知識(shí)庫中查詢出該條告警記錄的維護(hù)經(jīng)驗(yàn)，供用戶進(jìn)行告警處理時(shí)參考。用戶將自己的日常處理經(jīng)驗(yàn)以及業(yè)務(wù)信息及時(shí)寫入數(shù)據(jù)庫、更新告警知識(shí)庫對(duì)以后的故障診斷與排除非常有益。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹6．設(shè)備管理組件H3CiMC支持對(duì)H3C全系列IP產(chǎn)品進(jìn)行設(shè)備管理，提供豐富的管理功能。通過面板管理，網(wǎng)絡(luò)管理人員可以直觀地看到設(shè)備、板卡、端口的工作狀態(tài)，通過設(shè)備信息瀏覽監(jiān)視，管理人員可以了解設(shè)備的運(yùn)行情況，實(shí)時(shí)監(jiān)視CPU利用率、端口利用率等重要信息。同時(shí)，H3CiMC提供圖形化的配置方式，使設(shè)備功能配置不再復(fù)雜。H3CiMC向用戶提供了完善的網(wǎng)元管理功能，通過逼真的面板圖片，直觀地反映了設(shè)備運(yùn)行情況。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹7．無線管理組件H3CiMC無線業(yè)務(wù)管理組件〔以下簡稱為WSM組件〕依托iMC智能管理平臺(tái)，實(shí)現(xiàn)有線無線一體化的管理。用戶可以獲得全面的無線業(yè)務(wù)管理能力，實(shí)現(xiàn)AC、FatAP、FitAP、移動(dòng)終端等無線設(shè)備的集中管理，輕松實(shí)現(xiàn)設(shè)備配置管理功能，并提供無線拓?fù)?、AP設(shè)備物理位置拓?fù)涞榷喾N拓?fù)涔δ?，?duì)全網(wǎng)無線設(shè)備進(jìn)行直觀、有效的組織，對(duì)網(wǎng)絡(luò)部署和設(shè)備狀態(tài)一目了然，利用策略模板等功能可以實(shí)現(xiàn)網(wǎng)絡(luò)和設(shè)備的批量配置，提升效率，降低維護(hù)本錢。基于Web的管理系統(tǒng)，為無線業(yè)務(wù)管理者提供了簡便、友好的管理平臺(tái)。10.4.4網(wǎng)絡(luò)管理平臺(tái)案例介紹第10章校園網(wǎng)管理與維護(hù)案例分析

10.5.1校園網(wǎng)計(jì)費(fèi)管理的功能10.5.2校園網(wǎng)計(jì)費(fèi)系統(tǒng)案例介紹10.5校園網(wǎng)計(jì)費(fèi)管理10.5.1校園網(wǎng)計(jì)費(fèi)管理的功能10.5.1校園網(wǎng)計(jì)費(fèi)管理的功能2．靈活的計(jì)費(fèi)策略計(jì)費(fèi)策略主要有三：按時(shí)長、按流量和按帶寬。從實(shí)際情況看，時(shí)長計(jì)費(fèi)最普遍，流量計(jì)費(fèi)最科學(xué)，帶寬計(jì)費(fèi)最簡單。同時(shí)由于一個(gè)校園網(wǎng)的用戶有許多類，因此可能這3種計(jì)費(fèi)策略都會(huì)被采用。但是，新建和改建的校園網(wǎng)往往采用可操作性強(qiáng)、簡單的按時(shí)長計(jì)費(fèi)的方式，并且配合預(yù)付費(fèi)的方式進(jìn)行收費(fèi)，從而保證了杜絕惡意欠費(fèi)的發(fā)生。

10.5.1校園網(wǎng)計(jì)費(fèi)管理的功能3．精確的費(fèi)用統(tǒng)計(jì)網(wǎng)絡(luò)使用一旦進(jìn)行收費(fèi)，就需要能夠精確地計(jì)費(fèi)，這是一個(gè)可運(yùn)營的網(wǎng)絡(luò)必備的條件。其中最需要關(guān)注的是是否會(huì)因PC死機(jī)等異常情況造成計(jì)費(fèi)的不準(zhǔn)確。因此需要一套保護(hù)機(jī)制，做到無論采用哪種計(jì)費(fèi)策略、發(fā)生什么異常都能保證計(jì)費(fèi)的準(zhǔn)確。

10.5.1校園網(wǎng)計(jì)費(fèi)管理的功能10.5.1校園網(wǎng)計(jì)費(fèi)管理的功能10.5.1校園網(wǎng)計(jì)費(fèi)管理的功能10.5.1校園網(wǎng)計(jì)費(fèi)管理的功能

10.5.2校園網(wǎng)計(jì)費(fèi)系統(tǒng)案例介紹10.5校園網(wǎng)計(jì)費(fèi)管理Dr.COM是北京城市熱點(diǎn)公司針對(duì)高校推出的一款校園網(wǎng)用戶認(rèn)證計(jì)費(fèi)管理系統(tǒng)，在全國多所高校得到了成功的應(yīng)用。Dr.COM校園網(wǎng)用戶認(rèn)證計(jì)費(fèi)管理系統(tǒng)是城市熱點(diǎn)在校園網(wǎng)絡(luò)的產(chǎn)品的總稱，包括以下系統(tǒng)：Dr.COM2133BRAS/2033BMG計(jì)費(fèi)管理網(wǎng)關(guān)Dr.COMBillingWare計(jì)費(fèi)管理軟件Dr.COMSOLS在線用戶實(shí)時(shí)管理系統(tǒng)Dr.COMIDP信息發(fā)布平臺(tái)Dr.COMClient客戶端

10.5.2校園網(wǎng)計(jì)費(fèi)系統(tǒng)案例介紹Dr.COM計(jì)費(fèi)網(wǎng)關(guān)與802.1x交換機(jī)的無縫結(jié)合的用戶認(rèn)證授權(quán)體系是目前最為理想的用戶管理模式，主要的優(yōu)勢(shì)有：〔1〕計(jì)費(fèi)更加準(zhǔn)確，可以對(duì)CERNET和互聯(lián)網(wǎng)的不同目標(biāo)地址段進(jìn)行分別計(jì)費(fèi)。〔2〕支持各種復(fù)雜的包月和儲(chǔ)值卡的計(jì)費(fèi)，覆蓋學(xué)校當(dāng)前和以后開展所需要的計(jì)費(fèi)策略?？梢园磿r(shí)間、流量、帶寬等計(jì)費(fèi)方式，支持包月、計(jì)量制、分檔制、封頂?shù)榷喾N計(jì)費(fèi)策略，還支持按源地址優(yōu)惠、目標(biāo)地址優(yōu)惠、時(shí)段優(yōu)惠、效勞計(jì)費(fèi)策略。〔3〕授權(quán)更加明細(xì)。設(shè)置不同的內(nèi)外網(wǎng)上下行帶寬、目標(biāo)地址的訪問控制。10.5.2校園網(wǎng)計(jì)費(fèi)系統(tǒng)案例介紹〔4〕分工更加明確。802.1x交換機(jī)負(fù)責(zé)內(nèi)網(wǎng)端口控制，網(wǎng)關(guān)控制外網(wǎng)的訪問，完成三層和四層的策略。〔5〕升級(jí)更加容易。通過升級(jí)計(jì)費(fèi)網(wǎng)關(guān)就可以實(shí)現(xiàn)大局部功能的定制，無須升級(jí)交換機(jī)?！?)高性能的Dr.COM計(jì)費(fèi)網(wǎng)關(guān)，可以承擔(dān)多地址池的NAT、8000個(gè)用戶的同時(shí)連接，實(shí)現(xiàn)千兆線速交換?！?〕詳實(shí)的上網(wǎng)訪問紀(jì)錄。Dr.COM的架構(gòu)如圖10.4所示，支持802.1x和RADIUS認(rèn)證，在校園網(wǎng)的出口部署滿足多出口計(jì)費(fèi)要求。10.5.2校園網(wǎng)計(jì)費(fèi)系統(tǒng)案例介紹10.5.2校園網(wǎng)計(jì)費(fèi)系統(tǒng)案例介紹圖10.5描述了Dr.COM系統(tǒng)在重慶大學(xué)部署的架構(gòu)圖。重慶大學(xué)認(rèn)證計(jì)費(fèi)系統(tǒng)分校園網(wǎng)接入、后臺(tái)管理、前臺(tái)認(rèn)證3步進(jìn)行?？紤]到重慶大學(xué)校園網(wǎng)絡(luò)的覆蓋面大、結(jié)構(gòu)復(fù)雜等情況，城市熱點(diǎn)為校園主干網(wǎng)采用了分布式接入的方式。10.5.2校園網(wǎng)計(jì)費(fèi)系統(tǒng)案例介紹10.5.2校園網(wǎng)計(jì)費(fèi)系統(tǒng)案例介紹〔1〕采用3臺(tái)Dr.COM2133認(rèn)證計(jì)費(fèi)網(wǎng)關(guān)分布式接入校園網(wǎng)效勞器端口，每臺(tái)設(shè)備對(duì)指定的區(qū)域進(jìn)行認(rèn)證計(jì)費(fèi)，這樣使不同校區(qū)的計(jì)費(fèi)體系互不干擾，并可兼顧校區(qū)與樓宇的功能區(qū)別進(jìn)行分別計(jì)費(fèi)?！?〕后臺(tái)管理：完成了主網(wǎng)的接入，并且基于Dr.COM標(biāo)準(zhǔn)接口城市熱點(diǎn)開發(fā)了重慶大學(xué)網(wǎng)絡(luò)中心運(yùn)營管理系統(tǒng)。操作員利用該系統(tǒng)可完成對(duì)用戶帳戶信息、登錄記錄、操作記錄等信息的查詢和修改，同時(shí)對(duì)學(xué)生新注冊(cè)帳戶進(jìn)行激活。簡潔但完善的后臺(tái)操作系統(tǒng)，為重慶大學(xué)網(wǎng)絡(luò)中心對(duì)校園網(wǎng)的維護(hù)管理工作提供了非常簡便清晰的操作平臺(tái)。10.5.2校園網(wǎng)計(jì)費(fèi)系統(tǒng)案例介紹〔3〕用戶自主效勞平臺(tái)：在完成了前兩步的設(shè)置后，城市熱點(diǎn)又為重慶大學(xué)搭建了前臺(tái)用戶自主效勞平臺(tái)。在用戶登錄界面，已注冊(cè)用戶除登錄外還可根據(jù)自己用戶性質(zhì)的不同〔如辦公用戶、學(xué)生用戶、家屬區(qū)用戶等〕進(jìn)行密碼修改、客戶端下載等功能。未注冊(cè)用戶那么可通過該界面進(jìn)行注冊(cè)，等待后臺(tái)管理員激活用戶后即可使用。當(dāng)用戶成功登錄自助效勞平臺(tái)后，不同用戶可根據(jù)自己的需求進(jìn)行用戶根本信息的查詢、登錄查詢、交費(fèi)查詢、帳單查詢、修改密碼、開停機(jī)、資費(fèi)變更、地址變更等。10.5.2校園網(wǎng)計(jì)費(fèi)系統(tǒng)案例介紹〔4〕Dr.COM系統(tǒng)與校園一卡通對(duì)接。學(xué)校內(nèi)師生及員工都使用一卡通系統(tǒng)進(jìn)行繳費(fèi)，可直接通過一卡通圈存機(jī)向校園網(wǎng)帳戶進(jìn)行轉(zhuǎn)帳、校園網(wǎng)帳戶余額查詢、校園網(wǎng)帳戶開停機(jī)等操作。這樣不僅方便師生進(jìn)行網(wǎng)絡(luò)繳費(fèi)等操作，而且大大節(jié)約了學(xué)校在收費(fèi)管理上的本錢?！?〕客戶端域名解析。為了實(shí)現(xiàn)計(jì)費(fèi)網(wǎng)關(guān)的負(fù)載均衡，所有學(xué)生用戶客戶端使用相同登錄域名：，根據(jù)用戶登錄源IP地址的不同，DNS效勞器將用戶解析為不同的Dr.COM計(jì)費(fèi)網(wǎng)關(guān)IP登錄地址。10.5.2校園網(wǎng)計(jì)費(fèi)系統(tǒng)案例介紹第10章校園網(wǎng)管理與維護(hù)案例分析校園網(wǎng)常見的平安風(fēng)險(xiǎn)10.6.2校園網(wǎng)平安防范對(duì)策校園網(wǎng)是一個(gè)開放的網(wǎng)絡(luò)環(huán)境，隨著網(wǎng)絡(luò)的普及，還有龐大活潑的學(xué)生用戶群，校園網(wǎng)應(yīng)用系統(tǒng)較多，部署了大量的效勞器，還有大量的個(gè)人計(jì)算機(jī)接入網(wǎng)絡(luò)，校園網(wǎng)也接入了CERNET等。高校校園網(wǎng)平安問題很突出，平安管理問題也非常復(fù)雜?！?〕校園網(wǎng)規(guī)模大，高帶寬接入因特網(wǎng)。高校校園網(wǎng)是最早的寬帶網(wǎng)絡(luò)，各學(xué)校除接入CERNET外，還具有少那么幾十兆甚至幾個(gè)吉的公網(wǎng)出口。目前在校園網(wǎng)中普遍使用了百兆到桌面、千兆甚至萬兆實(shí)現(xiàn)園區(qū)主干互聯(lián)。校園網(wǎng)的用戶群體一般也比較大，少那么數(shù)千人，多那么數(shù)萬人，一般都建有學(xué)生宿舍網(wǎng)，用戶群比較密集，正是由于高帶寬和大用戶量的特點(diǎn)，網(wǎng)絡(luò)平安問題一般蔓延快，對(duì)網(wǎng)絡(luò)的影響比較嚴(yán)重。校園網(wǎng)常見的平安風(fēng)險(xiǎn)校園網(wǎng)常見的平安風(fēng)險(xiǎn)〔4〕有限的投入。校園網(wǎng)的建設(shè)和管理通常都輕視了網(wǎng)絡(luò)平安，特別是管理和維護(hù)人員方面的投入明顯缺乏。在中國大多數(shù)的校園網(wǎng)中，通常只有網(wǎng)絡(luò)中心的少數(shù)工作人員，他們只能維護(hù)網(wǎng)絡(luò)的正常運(yùn)行，無暇顧及，也沒有條件管理和維護(hù)數(shù)萬臺(tái)計(jì)算機(jī)的平安，院、系一級(jí)并沒有專職的計(jì)算機(jī)系統(tǒng)管理員。校園網(wǎng)常見的平安風(fēng)險(xiǎn)〔5〕盜版資源泛濫。由于缺乏版權(quán)意識(shí)，盜版軟件、影視資源在校園網(wǎng)中普遍使用，這些軟件的傳播一方面占用了大量的網(wǎng)絡(luò)帶寬，另一方面也給網(wǎng)絡(luò)平安帶來了一定的隱患。比方，Microsoft公司對(duì)盜版的WindowsXP操作系統(tǒng)的更新作了限制，盜版安裝的計(jì)算機(jī)系統(tǒng)今后會(huì)留下大量的平安漏洞。另一方面，從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼，許多系統(tǒng)因此被攻擊者侵入和利用。校園網(wǎng)常見的平安風(fēng)險(xiǎn)以上各種原因?qū)е滦@網(wǎng)既是大量攻擊的發(fā)源地，也是攻擊者最容易攻破的目標(biāo)。當(dāng)前校園網(wǎng)常見的風(fēng)險(xiǎn)如下：〔1〕普遍存在的計(jì)算機(jī)系統(tǒng)的漏洞，對(duì)信息平安、系統(tǒng)的使用、網(wǎng)絡(luò)的運(yùn)行構(gòu)成嚴(yán)重的威脅?！?〕計(jì)算機(jī)蠕蟲、病毒泛濫，影響用戶的使用、信息平安、網(wǎng)絡(luò)運(yùn)行?！?〕外來的系統(tǒng)入侵、攻擊等惡意破壞行為。有些計(jì)算機(jī)已經(jīng)被攻破，用做黑客攻擊的工具；拒絕效勞攻擊目前越來越普遍，不少開始針對(duì)重點(diǎn)高校的網(wǎng)站和效勞器；校園網(wǎng)常見的平安風(fēng)險(xiǎn)〔4〕內(nèi)部用戶的攻擊行為。這些行為給校園網(wǎng)造成了不良的影響，損害了學(xué)校的聲譽(yù)；〔5〕校園網(wǎng)內(nèi)部用戶對(duì)網(wǎng)絡(luò)資源的濫用。有的校園網(wǎng)用戶利用免費(fèi)的校園網(wǎng)資源提供商業(yè)的或者免費(fèi)的視頻、軟件資源下載，占用了大量的網(wǎng)絡(luò)帶寬，影響了校園網(wǎng)的應(yīng)用。〔6〕垃圾郵件、不良信息的傳播。有的利用校園網(wǎng)內(nèi)無