数字化校园基础平台解决方案.docx
数字化校园根底平台解决方案2013年11月第一章工程概述4第二章现状及建设目标52.1 网络现状52.1.1 网络拓扑52.1.2 身份认证系统现状62.1.3 无线网络现状62.2 建设内容62.3 建设目标8第三章数字化校园整体设计方案8第四章数字化校园解决方案-根底平台94.1 根底网络平台的设计思想94.2 根底网络平台拓扑104.3 3方案简介104.4 网络出口设计11出口设计11行为审计设计114.5 骨干核心层设计124.6 会聚层设计154.7 接入层设计154.8 财务专网设计15第五章数字化校园解决方案-平安平台165.1 统一身份认证体系概述165.2 有线、无线等不同接入方式的统一认证175.3 实名认证175.4 准入准出一体化认证185.5 无线认证融合195.61 Pv6认证融合195.62 G-ESS统一身份认证体系的应用场景图20第六章数字化校园解决方案-无线校园204.1 无线校园面临的挑战204.1.1 无线接入带宽低、无线覆盖信号差204.1.2 有线、无线运维各自为战214.1.3 无线网络不能随需而动214.2 无线网络设计224.3 无线校园解决方案特点24下一代无线校园网-高性能24下一代无线校园网-智能化24下一代无线校园网-易运维26第七章数字化校园解决方案运维管理26第八章数字化校园设备配置清单37第一章工程概述目前大多中小学已完成校园网工程的建设,建立起了校园骨干网网络,校园中心机房及多套业务应用系统即网络层的建设与业务层的局部建设。这些信息化的建设内容取得了许多很好的实际应用效果,为数字化校园的建设和持续开展打下了根底。随着信息化建设的不断深入和应用需求的不断提高,信息孤岛和应用孤岛的问题日显突出,数字化校园工程的建设是为了提高学校核心竞争力,以到达从分散应用向集中应用转化,从固定效劳向个性化效劳转化,从部门级应用向校级应用转化,从信息管理向信息效劳转化。数字化校园是以数字化信息和网络为根底,在计算机和网络技术上建立起来的对教学、科研、管理、技术效劳、生活效劳等校园信息的收集、处理、整合、存储、传输和应用,使数字资源得到充分优化利用的一种虚拟教育环境。通过实现从环境(包括设备,教室等)、资源(如图书、讲义、课件等)到应用(包括教、学、管理、效劳、办公等)的全部数字化,在传统校园根底上构建一个数字空间,以拓展现实校园的时间和空间维度,提升传统校园的运行效率,扩展传统校园的业务功能,最终实现教育过程的全面信息化,从而到达提高管理水平和效率的目的。数字化校园建设主要涵盖以下几个方面网络平安体系建设建立全校的网络平安体系,保证校园网络的平安,保证关键数据、关键应用的平安以及关键业务部门的平安,实现校园网络及其应用系统的平安高效运行。校园信息管理系统建设建设一整套校园信息管理系统,为实现“网上办公、网上管理、网上教学、网上效劳”提供全面的系统支持。数据中心建设建设一个为全校效劳的数据中心,保证数据实时更新和高度一致。建立统一信息门户建立一个信息的集成平台,将分散、异构的应用和信息资源进行聚合,通过统一的访问入口,实现结构化数据资源、非结构化文档和互联网资源、各种应用系统跨数据库、跨系统平台的无缝接入和集成。建立统一身份认证系统建立统一的身份认证中心。集中进行身份认证,保证用户电子身份的唯一性、真实性与权威性,提高数字化校园应用系统的平安性。建设数字图书馆、校园无线网、构建远程教育平台、教育资源建设等也是数字化校园建设的重要内容。第二章现状及建设目标2.1 网络现状图书馆宿舍楼败学楼一教学接二2.1.1 网络拓扑整个校园网目前采用双核心三层网络架构,两台Cisco交换机作为网络核心,教学楼、图书馆等分别设置4个会聚点,每点采用一台CiSCO4006做会聚,采用H3C和锐捷交换机作为接入交换机使用。整网采用千兆单模光纤作为骨干链路,实现百兆接入千兆会聚的校园网络框架。出口采用一台防火墙为两条运营商链路做双出口,实现流量分流转发。全网中网络设备型号较为复杂。早期曾经购置有H3C和锐捷的交换机,由于产品购置较早,技术不够成熟,稳定性不好;随着数字化校园建设的启动,统一身份认证、校园网精细化运营管理、IPv6改造、统一数据管理等已经成为校园网络改造的重点。如何为数字化校园平台提供一个平安、稳定、可查、开放、先进的网络根底平台成为建设成功的关键。2.1.2 身份认证系统现状目前学校校园网内没有网络认证系统,由于上网用户越来越多,用户身份越来越复杂,网络可控性的需求也越来越明显;同时为了校园网进一步的简化管理,认证系统的使用也越来越重要。2.1.3 无线网络现状目前学校并未实现校园网络的无线覆盖,公共区域更是成为网络的盲点。而随着无线技术的开展,特别是随着802.Hn标准的出台,校园无线网络进入了一个全新的开展阶段,无论是从覆盖范围、承载能力、传输速率、平安性、稳定性以、与有线网络的结合能力以及对认证计费和多业务的支持能力都有了很大的增强,使得校园网络全域无线部署成为可能。在本期工程中,教学楼一层试点区域的无线覆盖也是本次建设的重点。2.2 建设内容不间断的根底网络平台稳固的硬件平台是整个学校信息化建设的根底,犹其大数建设的地基,决定了学校未来信息化建设的档次。主要表达在以下方面:极高的可靠性,学校今后的生活、教学、管理均可能逐渐依赖于信息化,网络故障,其经济损失、社会影响不可估量。系统稳定可靠性至少需到达99.999%以上,同时具备极短的故障恢复。普通单核心网络没有自愈能力。故障恢复时间需控制在秒级以内,且故障恢复不能影响各业务系统正常运行,不影响用户的直接体验。高水平的IT运维能力中小学的现状是,学校的设备多,系统多,问题多,人员少?如何解决?设备包括交换机、防火墙、存储、效劳器、PC、电子白板等,系统包括OA系统、邮件、课程管理系统、多媒体录播系统等,人员少,一般只有几个信息技术老师进行相关的管理维护工作,如何保障学校信息化的应用稳定运行呢?业务支撑平台的运维管理也显得尤为重要。实际上,业务支撑平台的运维管理需要解决三个方面的问题。当领导或兄弟单位进行参观时,能可视化的展示学校信息化的成果。实时了解信息化建设的现状,为学校升级改造提供支撑帮助快速定位故障,解决日常管理维护问题。IT信息系统发挥的价值很大程度上取决到日常运维。但IT系统是涉及硬件、业务系统、数据库、中间件、机房等众多因素,众多品牌的信息系统,极为复杂。同时管理老师人员较少,效劳质量难以保障,面向未来,学校在信息化运维方面将面临较大压力。因此,学校需要建设良好的网络系统综合管理平台,实现IT运维信息化,使IT系统稳定、可靠、平安的运行,运维工作步入一个有序的、标准的层次,使IT系统更好的为业务系统提供效劳,从而提高整体运行效率,提升运行效劳水平和档次。从行业领先性考虑,学校可在行业率先采用基于ITIL理念的IT运维管理模式,将网络管理维护流程高效整合,用于提高IT效劳水平,标准效劳流程和效劳监督能力,提高用户满意度,使信息中心的运维管水平走上一个更加科学、高效的新台阶。立体平安保障体系如何满足公安、上级部门的平安检查要求?学校的门户网站、资源系统被挂马或被篡改?拿根网线就能使用学校的校园网,接入不可控,平安隐患怎么解决?老师需要使用更多的Internet资源,学生尽量只能访问相关的教育资源,防止访问不良网站,怎么区分老师和学生的访问效劳?平安不是孤立的,如何形成整体平安体系?业务支撑平台的平安局部主要是打造“全方位的立体平安保障体系”,为学校信息化保驾护航!统一的身份认证体系有线、无线等网络设备的接入用户分散,各自为政,存在单点风险,怎么躲避?老师可访问Internet视频资源,学生只能访问教学资源视频,如何区分访问身份和权限?教育部准备建立校舍、教室、老师、学生、经费、仪器等五大根底数据库,根底信息数据库的信息如何与学校网络、各种信息化应用相结合?公共认证平台主要提供统一的身份认证平台。单点登陆、统一信息门户随着学校信息化建设不断完善,学校将逐渐拥有了各种各样的应用系统,各类业务系统还会不断建设和规划。但学校用户使用这些应用系统,就需要登录到许多不同的应用系统中,而每个系统都要求用户遵循其独立的身份认证平安策略,比方要求输入用户ID和口令。用户必须记住多个用户ID和口令,以及不同业务系统的URL链接,用于学校老师、领导用户而言,操作十分繁琐不便。假设不建立统一门户系统,将业务系统与用户层结合起来,简化业务系统使用流程,将会使信息化的用户体验缺乏,价值难以有效发挥。因此,建议学校建立统一门户平台,同时提供了一站式单点登录(SSO,SingleSign-On)功能,即通过用户的一次性鉴别登录,可获得需访问系统和应用软件的授权,实现“一次登录、随处访问/全网漫游”;从而提高用户的工作效率,提升用户满意度。2.3 建设目标本次建设的目标是建成标准、可控并满足未来数字化校园运营开展需要的统一身份认证系统以及实现对校园试点范围区域的高性能热点覆盖,并实现有线和无线的统一身份认证管理,为后期整个数字化校园应用的建设和上线提供良好的环境根底。第三章数字化校园整体设计方案结合校园网建设经验和教育信息化的趋势,经过大量的市场调研,提出数字化校园3+N+1整体架构,3表示3个平台,根底设施平台、应用支撑平台、公共认证平台,1指的是通过单点登录实现1个统一门户,N指的是重点中小学的N个业务系统。如下列图:B一;* »数字化校园建设的核心是教育信息化业务系统的建设,业务系统向下由三个平台进行支撑保障,向上形成单点登录、统一门户,为学生、教师、领导、家长、公众等提供效劳。根底设施平台,包括软件、硬件、PC、效劳器、有线、无线等根底设施平台的建设。应用支撑平台包括数字化校园的整体平安考虑、整个信息化业务的运维管理等。公共平台主要包括统一的身份认证平台、权限管理系统等平台的建设。统一门户是整个数字校园的访问入口点,给用户提供个性化的使用界面,用户进入门户后,除了可以看到公共信息外,只能看到与其身份相关的各项效劳,成为用户的个性化网络门户。N个业务应用系统,是指用于学校教学、科研、管理、效劳的各种应用系统,用于解决各类用户对信息管理和信息效劳的需求,是信息化建设的主要内容。数字化校园更好的支撑学校信息化的应用,还需要做好“数据信息标准”及“运行管理保障体系”两个方面,运行保障包括组织机构、人员培训、管理标准等,信息标准包括技术标准(应用开发)、数据结构标准、信息化评估体系等。第四章数字化校园解决方案根底平台4.1 根底网络平台的设计思想根底网络平台要具备智能的特点,包括智能高可用的核心平台、智能平安的网络出口、智能的接入、智能的网络管理。智能高可用的核心平台具有高可用、智能的特点。校园网中的所有业务数据都要经过核心进行转发,首先要高可用,从点、线、面支撑高可用,设备本身的硬件架构设计如无缘背板、双风扇、双电源保障高可用,采用双链路、双核心的拓扑;其次是智能,出现问题时能自动检测和紧急恢复。智能平安的网络出口首先要能智能转发,解决连通性问题;其次是智能带宽优化,保障关键应用;再其次,控制平安风险,智能平安解决URL过滤及防止信息门户被篡改或被挂马的问题;最后,才是统一管理出口设备,实时观察出口的健康情况,做到出口的可视化管理。智能接入包括有线接入、高速智能的无线接入等各种接入方式的统一管理。如有线接入提供交换机的根本平安特性,如防DOS攻击、DHCPSnOOPing、ARP欺骗等问题,同时,接入交换机要可网管,中小学专职的信息人员较少,需要对接入交换机进行统一的网络管理。高速智能的无线接入提供随时随地的接入网络,师生远程可随时随地的访问学校的教学资源库、数字图书馆等教育资源。智能的网络管理提供网络设备的统一管理功能,实现快速故障定位,方便日常维护管理。4.2 根底网络平台拓扑4.3方案简介在数字化校园整体架构中,涉及到根底网络平台、公共认证平台的建设,具体如下:一、根底网络平台包括有线、无线、核心平台、网络出口等根底网络建设。二、公共认证平台由RG-ESS(内置RG-Eportal)核心组件支撑,。通过有线、无线、VPN等各种不同方式的统一实名接入,实现网络层的实名认证、实名访问权限控制、实名流控及实名审计等。三、业务支撑平台由两个核心组件支撑,RILL运维体系及ELOG日志系统。通过接入交换机、无线设备、出口设备等相互联动实现校园网的整体平安,同时,通过RILL业务运维管理系统实现整体业务的运维管理。四、统一门户、单点登陆由核心组件RGTSO支撑,实现各种业务系统的单点登陆。4.4 网络出口设计出口设计出口区布署的NPE50E基于多核处理器技术进行架构,具备转发高性能,内嵌状态防火墙、符合公安部82号令的日志记录等功能,同时NPE50E针对中小学普遍存在的NAT进行优化,并发会话和新建会话能力在业内首屈一指。更为难得的是,NPE50E融入了智能DNS和多链路负载均衡技术,使得用户对内对外访问都能智能选择最优最快速路径;实现了将专业的负载均衡设备引入中小学出口。集成的DPl引擎,让网络管理者轻松应对P2P等应用的流量控制,实现对中小学电子巡考、志源填报、视频会议、视频点播等重要业务进行灵活的带宽及优先级保障。中文化的Web界面,让NPE网络出口引擎的专业在设备管理维护层面变得简化。目前局域网与外部网络连接时普遍存在多条出口链路的情况,例如与多个运营商连接。RG-NPE系列产品在帮助用户选择最快上网线路的前提下,还能够保障每一条出口线路都能够被充分地利用,不仅提升了用户的上网体验,而且能够让出口网络的建设拥有较高的投资收益比。除了优选路径与高速转发,RG-NPE系列产品还具有其他多项附加的增值功能,例如:流量控制优化、日志审计、设备防攻击、VPN功能等。这些功能能够满足用户出口网络中的常见需求,解决出口网络普遍存在的上网慢、管理烦、平安低的问题,减轻网络管理人员的负担,保障用户出口网络健康、稳定地运行。行为审计设计随着信息技术的开展,网络应用的丰富,网络架构及流量变得异常复杂。作为内外交流的必经之地,网络出口的高度业务感知、可用性保障显得至关重要。简单来说就是,无论出口带宽上下,应用丰富与否,网络管理者都必须对有限的带宽资源进行合理的分配,保证关键业务的效劳质量,从而为每个用户都提供最优最快的网络效劳。RG-CE(ApplicationControlEngine)应用控制引擎是锐捷网络专门为园区网出口部署设计的网络设备,它不但具有丰富的协议识别能力,还能对个用户的应用级IP数据流实施分类和控制。RG-ACE系列有三个型号:RG-ACE1000、RG-ACE2000和RG-CE3000,分别为不同规模的网络提供流量控制、应用优化解决方案。RG-ACE以DPl(DeepPacketInspect,深度包检测)技术为核心,能够全面识别和控制包括P2P、VoIP、炒股软件、视频/流媒体、HTTP、网络游戏、数据库及中间件等在内的各种应用,从而有效的检测和防止某些应用对带宽资源的非正常消耗,保证关键应用带宽。RGfCE可以对网络流量、用户上网行为进行深入分析,为用户提供主动、智能、可视的网络应用和流量趋势报表,到达可视、可测、可控、可优化的管理目标。强大的URL过滤和日志功能,可以对非法网站访问等行为进行精细化识别、控制,并能与身份认证系统对接,轻松实现全面的事后审计。以RG-ACE为根底构建的网络流量控制方案,提供了基于七层应用的带宽管理和应用优化。该方案几乎能检测和控制任何网络应用,并为客户提供了业务智能感知、带宽资源精细管理、应用/流量优化的一体化解决方案,通过较低的本钱改善和保障了整体网络应用的效劳质量。4.5 骨干核心层设计高冗余骨干架构概述核心交换平区部署两台基于十万兆平台设计的核心交换机,两台核心交换机通过L3层20G链路互联,使用VSU虚拟化技术,将两台核心交换机虚拟为一台,以简化拓扑,实现MS级的故障恢复。两台核心交换机直接光纤互联高中部接入交换机,其它校区会聚交换机通过Iayer3层千兆光纤链路互联,形成高性能、高可靠核心交换机区。业务区域采用VSU设计实现高可靠,网络核心之间双链路跨板链路聚合实现链路可靠。网络中心作为全网的心脏,向单位内部的终端系统源源不断的提供平安的信息血液,保证整个教育业务系统的可靠运行。因此,作为整个网络平台的神经中枢,网络核心层是全网数据传输的中心,不仅要保证7*24小时的稳定运行,各种应用效劳器的数据能够被稳定可靠的传输到终端系统,同时,还要协调全网的数据流量和访问策略,在提供信息效劳的同时,保证网络中心自身的平安。核心交校机1核心交校机2未出现故障的情况 下来自底层用户端 的款据是分别在两 条骨干链路和两台 核心交换桢之间进 行传捡的起到了 负我均曲灼效果VRRP+MSTP的设计核心交换机1梭心交换机2在出现敌阵的情况 y久白.双层用户端 的效据会什动切换 到另一条正常的骨 干饯修上继续传 检.起更了冗火备 份的效策.核心交怏用1出 现坟障,或是 左边光”意外网络中心设计采用两台核心交换机互为容错备份,并在核心交换机中采用关键模块冗余设计(双电源冗余等),核心、接入层都采用双链路连接,构成一个环路架构,核心到接入启用VRRP或RSTPJISTP协议等技术;VRRP协议通过在两台互备份的交换机上对每个VLAN用户提供一个统一的虚拟网关IP地址,相应VLAN用户设置PC网关地址时就设置成为该虚拟网关IP,用户工作时并不用关心真正负责数据传输的交换机,在真正负责用户数据传输的交换机出现故障时VRRP协议可以自动地把用户数据的转发工作转移到另一台交换机,不仅实现了主机间的备份功能,而且不必更改用户的网络设置。RSTP.MSTP等技术在二层上造成网络环路的链路将逻辑失效,网络环路被消除;而在负责数据传输的活动链路失效以后又可以激活先前逻辑失效的链路,保障数据的正常传输,提供冗余备份功能;全网架构,核心层双链路交换系统不存在单点故障,是一种高级别交换完全冗余的容错方案,这样即使其中一条链路断线或一个主干交换机发生故障,都能在用户觉察不到的极短的时间内启用备份恢复数据传递,从而保证网络系统的高可靠性、稳定性的运行。传统的网络中,为了加强网络的可靠性,一般在核心层或会聚层将两台网络设备配置成冗余备份的双核心,同时在邻居设备分别连接两条链路到备份的双核心。冗余的网络架构增加了网络设计和操作的复杂性,同时大量的备份链路也降低了网络资源的利用率,减少了投资回报率。核心VSU虚拟化传统双核心网络,使用MSTP+VRRP技术,虽能实现故障自动恢复,但故障恢复时间一般在15秒以上,完成不能到达NSF不间断转发的要求,也限制了高实时类业务系统在学校的良好建设使用。同时,冗余链路和设备,使网络拓扑变得复杂,增加了日常管理维护难度,而且核心设备一旦不稳定或链路中断,那么会导致VRRP或路由协议的震荡,形成平安隐患,也容易受到相关利用协议漏洞的攻击,这些都增加了网络不可靠的风险。实现NSF的前提是简化网络结构,减低业务、管理维护的复杂度,最根本的方法,就是要减少逻辑设备的数量。因此本方案中,采用VSU虚拟云交换技术,将两台物理核心交换机虚拟为一台逻辑上统一的设备,使其能够实现统一的运行,从而到达减小网络规模,同时极大提高网络稳定健壮性,控制故障恢复时间。VSU虚拟云交换特性W片内GR/传统的网焰拓扑VSU组将应用小盒图(物理机Ifi)(漫检视圉)使用VSU后,两台核心设备逻辑上变成一台。从而简化了网络拓扑。网络中不再需要生成树、VRRP等复杂的协议,大大降低配置维护工作量。此时会聚到核心双链路上联,等同于双链路连接到一台核心上,实现跨设备链路聚合。即使一台核心或上联链路中断,也可实现快速切换。切换时间控制在50ms以内,相当于普通数据包转发的时延这,不会对业务流畅运行产生任何影响。核心VSU虚拟化的特性采用高性能硬件模块实现,进行设备机箱间的快速检测和设备间数据高速转发。适用于大规模的网络,无软件升级方式带来的弊端。速度加倍:高端交换机性能和端口密度的提升会受到其硬件的限制,而VSU系统的性能和端口密度是VSU内部所有设备性能和端口数量的总和。因此,VSU技术能够轻易的将设备的核心交换能力、用户端口的密度扩大数倍,从而大幅度提高单台设备的性能。核心区可靠性加倍:链路级:VSU设备之间的物理端口支持链路聚合,VSU系统和上、下层设备之间的物理连接也支持聚合功能,这样,通过多链路备份提高了链路的可靠性。无业务限制:帮助用户在实现根本功二层、三层能的同时,提供包括防火墙模块、流量分析模块等更广的业务应用。此外还支持IPV6、组播、MPLS等多种业务。VSU不仅可以提供机架内的高性价比连接方案,还可以通过标准光纤实现长达70km的跨区域远距系统连接方案,提高了智能弹性系统的可用性。高性能硬件实现:采用高性能硬件模块实现,进行设备机箱见得快速检测和设备间数据高速转发。适用于大规模的网络,无软件升级方式带来的弊端。4.6 会聚层设计会聚层应使用与核心层相同结构的冗余节点备份连接,以实现最快速的路由收敛并防止黑洞产生。会聚层交换机做三层接入网关时,还需要通过VRRP等协议实现网关的冗余备份和流量的负载分担。会聚层边界发生链路或节点故障时,收敛速度取决于缺省网关冗余与故障切换,通过合理地配置协议定时器,可到达秒级的收敛速度。会聚层到核心层间采用OSPF等动态路由协议进行路由层面高可用保障。常见连接方式有两种,例1从会聚层到核心层具有全冗余链路和转发路径;例2从会聚层到核心层没有冗余链路,当主链路发生故障时,需要通过路由协议计算获得从会聚到核心的冗余路径。所以,三角形拓扑的故障收敛时间较小,但要占用更多的设备端口,建网本钱略高。网络会聚层以上都为三层设备,配置OSPF协议,网络故障收敛速度快,易于管理和维护。接入层千兆双归属到会聚层设备,提供链路冗余备份。核心层设备通过高速链路连接,完成数据交换和双机热备份。4.7 接入层设计内网接入层设备分布于各楼层配线间。统一采用RG2900系列交换机,每个楼层根据用户信息接入点的数量,灵活配置48端口和24端口盒式交换机,通过智能控制播送流量、端口防环设计,保障内网的平安性。接入层每个设备通过千兆光纤链路连接到会聚层交换机。另外每台2900交换机还提供4个千兆SFP端口和24/48千兆以太网端口,可实现多千兆捆绑增加上行带宽,还可以实现千兆到桌面的接入设计。4.8 财务专网设计随着信息化的开展,许多政府机构已经实现了总局及市区和乡镇的分支机构串连,使整个机构信息和政策更快速的反响,及时相应国家政策的同时能更好的完成我党为人民效劳的宗旨。那如何建立市区分支节点、乡镇节点与总局以及与省局平安通信及信息交换,又能最大限度地保护原有投资,方便、快捷地建立起一个跨地区的应用网络呢?财政专网以其可以利用公网资,建立平安、可靠、经济、高效的传输网络。政府机构建立财政专网,可以在广域网环境下传递各种数据报表,建立和局域网环境下相同的多种应用,包括分布式0A、分布式ERP、分布式CRNk分布式财务管理、分布式SCM等等。如何能够平安有效的与总局进行平安的连接成为财务专网的重中之重。根据学校的需求和对本次财政专网的整体规划设计。具体设计方案如下:采用锐捷网络RSR20-04路由器并配置通道化El模块连接到财务专网的SDH线路,局域网内使用前兆以太网交换机与路由器相连,同时为确保数据的平安性保障财务专网与校园网物理隔离。第五章数字化校园解决方案平安平台5.1 统一身份认证体系概述随着数字化校园建设的全面展开,网络应用的功能不断加强,网上办公、网上管理、网上教学和网上效劳已经实现。但这些应用系统各自拥有一套不同的身份认证方式,在使用上造成一定的不便,同时影响了用户的使用效率,并对整个系统的平安带来极大的隐患。校园网络统一身份认证系统可实现对不同的网络应用系统用户名和口令的统一管理,方便每个用户的操作,提高网络管理的能力。数字化校园中身份认证是不可缺少的。在传统的数字化校园建设中各应用系统是孤立设计的,身份认证的功能被重复设计和实现,分散在各个应用系统中,造成大量的时间和资金上的浪费,给系统的使用者带来了不方便。因此,每使用一个系统都要单独去申请使用该系统的账号,这就造成了一个用户多个账号的现象。统一身份认证系统是数字校园集中的用户认证管理和集成环境,可管理和分发用户的权限和身份,为不同的应用系统提供用户和管理效劳。5.2 有线、无线等不同接入方式的统一认证无线、有线统一认证界面、统一认证帐号如上图所示:通过RG-ESS建立校园网公共认证平台,可实现有线用户、无线用户的统一认证,每个用户有线网络、无线网络使用同一份身份信息、同一套账号密码,同时,可以实现有线无线的统一拓扑管理、批量配置及实时告警等功能。5.3 实名认证实名认证是为了验证身份,包括接入网络中的用户标识(UserIDk主机标识(MAC)、网络标识(IP),确保网络用户身份的合法、真实;同时,可以有效地防止账号盗用、防IP篡改、防MAC篡改,实现内网的平安、可控、易定位和强审计。从根本上杜绝包括ARP欺骗攻击在内的所有源地址欺骗类攻击与病毒的发生。802. IX的认证方式通过接入交换机实现入网即认证,可以通过在接入交换机开启User+IP÷Mac+Port的网络元素绑定功能,拒绝转发任何一个不真实的伪造报文,将真实可信实现在网络的最边缘,同时可以结合安装在用户终端上的特定客户端程序实现非法代理效劳器检测、发送在线短消息、杀毒软件联动、系统漏洞扫描等高级平安功能。WEB方式实名认证在实现入网即认证的同时,也可以绑定用户的网络元素,实现真实可信的网络,同时不需要在用户终端安装特定的客户端程序,只需要使用用户终端上的浏览器既可以实现认证过程。同时通过浏览器也可实现下发送消息、公告等功能。5.4准入准出一体化认证两次认证一体化在做准入认证的同时根据用户的需要和权限开放相应的出口权限将准入和准出两次单独的认证合为一次完成用户可以在未认证之前自由的选择本次认证访问的范围,也可以在上网过程中根据需要自由的切换。认证方式一体化准入和准出两种认证方式都可使用客户端或浏览器方式认证在准入认证中可以使用SU客户端做802.IX认证,也可以使用浏览器做WEB认证。在做准入准出认证中也同时可以支持SU客户端或浏览器方式认证。用户管理一体化准入和准出认证使用同一个认证管理平台,用户使用同一套账号和密码进行认证。RGYSS可以灵活的对用户做个性化的设置和管理,在满足管理员精细管理需求的同时,也保证了网络用户完美的客户体验。5.5无线认证融合对于无线网络而言准入和准出认证也是必要的,由于无线网络本身具有移动性和漫游等特点,导致对于网络的准入审计和准出控制都提出了很大的挑战。结合当前无线AP和控制器支持的802.IX和WEB认证,用户可以使用同样一个客户端或浏览器在有线网络和无线网络之间自由的切换,认证入网。也可以使用同一套账号、密码、权限及账户等用户身份信息在两个网络之间同步,管理员可以设置不同网络使用不同策略。5.6IPv6认证融合对于IPv6的大规模应用普及与试商用,首先应该考虑的是认证与计费。对于IPv6准入和准出同样是适用的,802.IX本身是个二层的认证协议与IP层无关,可以平滑升级。而WEB认证是应用层的认证协议,不需要大的改动。目前本方案已经完美的支持了IPV4、IPv6及双协议栈认证,并对双协议栈并存的过渡期做了精心的设计,比方:认证后只授权IPv4权限,只授权IPv6权限,授权IPv4使用权限后免费开放IPv6权限。同样的针对用户的IPv6地址、MAC地址、NAS端口、NASIPv6地址等用户信息都可以根据规那么绑定。对于出口也可以支持基于用户的带宽控制和IPv6环境下的应用控制。5.7RG-ESS统一身份认证体系的应用场景图远程p有或接入用户无线接入用户客户(802.1Xg三b(802.1Xwcb实现了网络层面的认证、用户管理的统一无需改造应用系统,“即插即用”在异构环境下实现应用的单点登录提供了和LDAP、一卡通等系统的接口,实现基于网络、业务的身份统一和财务结算第六章数字化校园解决方案无线校园4.1 无线校园面临的挑战4.1.1 无线接入带宽低、无线覆盖信号差无线接入带宽低:传统的无线校园网是采用802.Ila、b/g的方式,无线接入带宽低,其理论接入带宽54Mbps,有效接入带宽只有22MbPS左右,无线网络成为了整个校园网络的瓶颈。同时,校内各种应用大规模开展,精品课程、视频点播等都需要高带宽的无线接入形式,尤其是当学生同时密集接入,访问高带宽应用时,用户体验会明显变差;无线覆盖信号差:无线信号受周围的环境影响非常大,传统的无线Wi-Fi技术,覆盖范围在150-200米,而且容易受到学校内的各种障碍物的影响,师生接入无线必须要找到无线接入点信号的最正确位置。综上所述,传统的无线技术对于学校内日常的简单网页浏览等应用尚可勉强支撑,但是对于高带宽、高密度的大规模未来无线应用就力不从心了。4.1.2 有线、无线运维各自为战校园网多数采用了认证、计费的管理方式,校园网有序、合理使用。针对有线、无线多种接入方式选择,用户和维护人员也面临着挑战。师生用户,使用有线、无线不统一:师生用户不希望登录有线、无线系统采用两套账号。同时也希望有线、无线计费账户能够统一。目前,“瘦”AP部署方案帮助校园网管理人员实现了无线校园的灵活安装与应用,但管理无线网络却仍然是一项非常耗时且麻烦的工作。维护人员,管理有线、无线不统一:有线、无线两套认证管理系统,方式不统一,收费麻烦。有线、无线多套网管系统,管理麻烦。4.1.3 无线网络不能随需而动目前,主流的无线网络,采用AC集中转发方式,无线架构不合理,AC容易成为了无线网络瓶颈,不管什么样的数据都统统送到AC上统一处理,一些对时延敏感的数据也要先在AC上处理后,再转发到相应的目的地,无法实现按照不同的数据类型实现不同转发策略:本地转发或集中转发。当AC设备故障时,全网AP都无法工作。已经在线的用户会掉线,无法访问数据。而新建的用户的也不能链接到无线网络中。无线网络的AC成为了单点故障,不能自愈,成为T“傻”AC、AP;4.2 无线网络设计此次无线网络建设需求,是在学校校园原有的有线网络上,进行无线网络扩充。要求完成全方位立体式无线覆盖,让教职工可以在这些区域随时随地、无拘束的连接到网络,教职工可以依托无线完成各项教学办公事务。学校具有完善的有线网络结构,无线网络建设要求在网络互联、平安防御等方面与有线网络进行良好的兼容和互补,校园有线网络各局部主体结构内部不需要改变任何工程。对于整技术上的领先,为用户提供一个灵活的移动教学和办公的“平台”,对用户和无线网络进行有效的管理,构建了一个稳定的、可拓展的无线校园网环境。体校园无线网络的规划,应能高效、稳定、平安的总体设计目标,同时易于使用、用户界面统一、标准,表现力强;易于安装和维护,网络运行质量高;开放性好,便于移植、扩展和推广;要有较好的性能价格比,并在几年内保持解决方案与规划及解决方案具体应突出表达以下方面: 全覆盖:即以无线的方式覆盖校园区域,主要为教学楼一层无线试点区域。保证被覆盖需求的网络访问流畅。提供数据接入业务,让教工体会到无线局域网给教师的教学和办公带来的好处。 可管理:要求融合进现有校园管理系统中,对无线网内每一位用户和每个无线接入点进行统一管理。 平安性:无线网络首先必须融合进网络平安解决方案体系中,并根据无线网络的平安技术特征,补充为具有多层次的平安保护措施,以满足用户身份鉴别、访问控制、可稽核性和保密性等要求。 可扩充性:在网络规模不断开展的情况下,无线网络应满足在不改变主体架构与大局部设备的前提下,平滑实现升级和扩充,降低原有网络的硬件投资,并保证扩展后的系统可用性与稳定性。 多种效劳的支持:基于校园级网络的未来可持续开展,无线网络规划应为未来开展校园级无线宽带应用(如,无线语音应用、无线视频会议应用、无线监控、无线多媒体通信应用等)打下根底,并提供低本钱的无缝升级和先后兼容。设计方案校区的无线网络需求区域,主要为教学楼一层的试点区域。室内无线上网区域主要集中在教学楼内的教室和办公室区域,在这些区域为了满足信号覆盖和高密度的上网用户,特采用锐捷网络RG-AP220-E(M)-V2无线产品。RG-P220-E(M)-V2产品是锐捷网络推出的面向复杂应用环境(如无线宿舍网、无线病区、酒店等)下的专用型双路双频无线接入点,内置智能功分模块配合锐捷网络独有的“i-Share”技术,可实现AP智能的“一分多”多种部署模式,包括8个房间双频单流覆盖,8个房间2.4GHZ的覆盖或4个房间的双频双流覆盖,结合自主研发的美化天线产品及超柔低损线缆,来满足多种场景中对性能、覆盖和美化效果的需求。RG-AP220-E(M)-V2采用双路双频设计,可支持同时工作在802.lla/n和802.llb/g/n模式。提供一个千兆电口上联。该产品外观呈壁挂式,可平安方便地安装于墙壁、天花板等各种位置,提供8个RP-SMA外置天线接口供馈线、天线连接。RG-AP220-E(M)T2产品可支持本地供电与远程以太网供电模式,可根据客户现场供电环境进行灵活选择,特别适合部署在高校宿舍网、医院、酒店等环境。室内覆盖区域如图方案拓扑4.3无线校园解决方案特点4.3.2下一代无线校园网高性能无线的性能一直是阻碍其开展和普及的一大障碍,而高性能、高带宽更是无线校园网的根底。无线技术经历了多年的开展,由最初的802.Ilb的IlMbPs,到传统的802.11a、g的54Mbps,最新的802.Iln技术为无线的在高校的大规模应用提供了坚实的技术保障:802.Iln无线技术:802.Iln技术由于采用了多种无线技术,极大地提升了无线接入的带宽和覆盖范围:MIMO(多输入、多输出)、OFDM正交频分复用"40MHzChannels(通道绑定)PacketAggregation(数据包聚合。802.Iln无线技术,其理论带宽到达150MbPS-600Mbps,实际接入的带宽可以到达100Mbps-300Mbps,是传统无线的5倍。802.Iln采用了MIM0、OFDM技术和算法,极大地提高了无线的覆盖范围,同环境下比802.11a、b/g模式的覆盖范围提高了20%。万兆AC线速转发:锐捷无线控制器采用了先进硬件平台,高性能MIPS处理器,TCP加速,小数据包高效转发。可以实现真正的万兆线速数据转发性能。AC万兆链接到核心网络,更符合校园网万兆核心的部署方式,更适合AC及时处理802.Iln无线产生的大量数据。锐捷的无线控制器针对校园的视频、游戏等小包应用,具有更强的处理性能;锐捷的无