华为校园网建设技术建议书(模板)(共33页).doc

《华为校园网建设技术建议书(模板)(共33页).doc》由会员分享，可在线阅读，更多相关《华为校园网建设技术建议书(模板)(共33页).doc（33页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上XX大学校园网技术建议书华为技术有限公司2002年X月1、概述1.1校园网建设背景根据CNNIC 2002年的最新调查结果来看，我国目前的上网总人口已达4580万，其中学生用户占了26%，是最大的用户群。 另据华为公司市场部提供的资料，中国网民的普及率是1.2%，但在大学生群体中的普及率是93%。目前87%学生在网吧上网，97%的学生用201校园卡打电话。同时，随着国家信息化工作的深入开展，提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教育系统信息化建设的关键，尤其是高校校园网建设。在信息化的建设过程中，它的作用体现在如下几个方面： 1、校园网能促进教师和

2、学生尽快提高应用信息技术的水平；信息技术学科的内容是发展的，它是一门应用型学科，因此，为了让学生学到实用的知识，必须给他们提供一个实践的环境，这个环境离不开校园网。 2、校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库，所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。3、校园网是学校现代化管理的基础，深入、全面的学校信息管理系统必须建立在校园网上。4、校园网提供了学校与外界交流的窗口，学校应将校园网与互联网联接，这也是学校信息化的要求，做到了这一步，通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。 教育即未来。作为国家最重要的战略工程，如何应用信息技术改

3、造我们传统的教学和管理手段；如何加深学生对于信息化和信息技术的理解与了解；如何造就同时具备传统和信息双重文化的一代新人，已成为教育界当前最为紧迫的任务之一。信息技术的应用，势必极大地推进教育手段和教育内容的革命性变革。我们对此深信不疑，并将全身心地为之努力。1.2 校园网建网需求1.2.1 一般建网需求校园网的建设涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。此处主要分析网络基础设施建设和网络运营方面相关的内容。校园网络建设从网络流量模型上看和企业网的流量模型相似，用户集中而网络流量大，但实际应用上还存在许多和企业网不同的地方。主要特点如下：1、 多出口的需求：典型的组网有中国教育

4、和科研网（CERNET）出口和运营商网络出口。多出口带来了以下两个需求：1) 多权限ISP需求。用户可通过不同的账号名或采用相同的账号，不同的域名认证，获得不同的上网权限。譬如做到用户不认证前能自由访问校园内部分服务器，采用“user163”登录，可实现Internet和校园网络自由访问，采用“usercrenet”登录，可访问CERNET和校园网。用户域名选择可通过WEB认证时用户通过选择WEB认证上的相应选择项进行选择。2) 多ISP分别计费的需求，对应不同的ISP，计费策略不一致。2、用户管理的需求：1) 使用方便，存在WEB认证需求。要求能做到基于WEB的身份认证、多ISP选择、W用户

5、费率查询、带宽动态调整（隐性需求）、多WEB界面（隐性需求）等。2) 需要解决账号和端口绑定问题。通过此种方式限制账号的使用区域。3) 对用户带宽进行控制的需求，要求设备能对用户的带宽进行控制，譬如限制为256K、512K、1M、2M、5M、10M等等级。3、以网养网的需求：如何使现有网络具有自我造血机制成为高校普遍关心的问题，而只有具有自我造血机制才能使校园网络更好的发展，不断的完善。目前主要的措施有两个：1) 发行宽带上网卡，改变以前单一，高成本的收费模式。卡号类型主要有包月卡、包月限时长、时长卡三种类型，包月限流量卡作为一种备选解决方案（不推荐）。同时配合灵活的折扣方式，引导学生上网（如

6、上课时间单价比夜晚高些）。2) 开展服务收费。高校拥有丰富的教育资源，并且是公众教育的主要支撑力量。基于网络开展有偿的资源提供正成为目前公众教育的主要形式。这样不仅盘活了现有资源，更适应了教育产业化发展的趋势，通过有偿服务推动公益教育的发展。 4、安全管理的需求：1) 学生接受新鲜事务的能力非常强，因此校园也成为黑客最多的场所之一，如何保障校园网络的安全成为建网时不得不考虑的问题，目前主要攻击手段有DOS，DDOS等2) 上网日志的需求，主要是配合公安机关保证社会的稳定和校园的安全5、NAT的需求：部分学校没有公网IP地址或地址不够，另外，因为教育网地址用户报文在通过运营商网络边界路由器时不被

7、信任或运营商地址用户报文在通过教育网边界路由器时不被边界路由器信任，会造成部分Internet网站不可访问。解决此问题的措施需要在运营商或教育网其中一个出口做NAT，对此出口屏蔽内部路由。6、组播业务的需求，特别是可控组播的需求将随着校园信息化的深入而体现出来。1.2.2 XX学校建网需求增加当地学校实际上网需求，如：现网规模，建网目标等1.3 建网原则早期的高校校园网主要是共用内部教育系统主机资源，共享简单数据库，多以二层交换为主，很少有三层应用，存在 安全、可管理性较差、无业务增值能力 等方面的问题。现在高校校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障服务，使网

8、络安全可靠，从而实现教育管理、多媒体教学、图书馆管理自动化，而且还要通过Internet实现远程教学，提供可增值可管理的业务，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。基于对高校校园网业务需求的深入理解，结合自身产品和技术特点，华为公司推出了了完善的高校校园网解决方案，为高等院校提供“可管理、可增值、可持续发展”的精品网络。高校网络建设遵循以下基本原则：可管理性高校网络是一个庞大而且复杂的网络，为了保障网络的正常使用以及设备的良好维护需要一个功能强大，具有分级、分权管理能力的网管系统，实现统一的网络业务调度和管理，降低网络运营成本。同时由于高校网络的使

9、用者数量巨大，网上开展的业务众多，因此需要能够提供用户的高效管理，以确保用户和学校的利益不受损失。可增值性校园网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。可扩充性考虑到用户数量和业务种类发展的不确定性，校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传

10、送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。 安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。2、总体网络设计2.1组网描述XX大学校园解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及灵活计费为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。其组网图如下：本解决方案网络分为三个层次，核心层、汇聚层、接入层。为实现校区内的高速互联，校园网核心层采用两台华为公司核心路由交换机Quidway S8016，并基于S8016

11、构建了校园网络中心，成为校园网应用的核心。S8016最大支持64个GE端口，支持全光口模块，方便实施远程千兆汇聚；提供全线速的二三四层交换及第四层业务服务，可作为网络的核心交换、业务控制和冗余控制平台。在汇聚层采用华为公司Quidway S5516，S3526千兆路由交换机以及MA5200E智能IP接入设备，通过GE口连接S8016构成了高带宽的校园网骨干。Quidway S5516/3526是全线速三层交换机，可以实现二三四层线速转发、三层互通，同时实现线速的多层策略过滤，用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等。在校园网接入层，分为教学区与宿舍区。在教学区采用S3026和S

12、2403H作为用户的接入设备，实现GE到大楼，10、100M到桌面。在宿舍区，采用MA5200、S3026、S2000实现用户的接入、认证、计费。MA5200E实现对用户的接入认证、用户管理和业务质量保证，为用户提供高速上网、视频点播、门户业务等多种业务，能对用户进行有效管理，保证网络安全可靠，并提供多种计费方式，为校园网络的建设和管理提供新的方式。考虑到网络的先进性和完整性，在校园网内的热点地区，如图书馆、会议室采用华为公司的WLAN无线局域网产品构建了安全、可靠的无线局域网。广域网互连设备采用华为公司Quidway NE16E/08E/05电信级骨干路由器。Quidway NE16E/08

13、E系列路由器使用华为公司拥有完全自主知识产权的网络操作系统VRP平台，采用全分布式体系结构，遵循电信设备标准，具有电信级可靠性。由图可见，XX大学校园网网络主要有两个出口，分别是INTERNET出口（可以是某运营商提供的城域网出口）和中国教育科研网（CERNET）出口。华为Quidway系列产品支持统一的网管平台，通过华为Quidview网管软件或者iManager N2000综合网管平台，可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。同时采用CAMS综合访问管理服务器完成了网络用户的认证，计费和管理。2.2详细网络设计可以加入以下内容：1、 各校区的组网图2、 各校区组

14、网描述3、 信息点和相应设备清单2.3组网用核心设备介绍2.3.1高可靠性的高端路由器高总线带宽：系统提供两条2G的总线作为单板内部的控制和数据通信，板件交换有足够的带宽。 大流量分布式转发：采用分布式转发，数据包的转发由接口板完成，不影响主控板的工作，系统更加稳定；数据转发不依赖单一的处理器，数据转发的性能大大提高；而且在这种方式下数据包的转发由接口板完成，不影响主控板的工作，系统更加稳定。2.3.2功能强大的核心三层交换机校园网核心设备采用华为公司路由交换机S8016。QuidwayS8016是华为公司推出的大容量（128G）、模块化、机架式基于硬件2/3/4层交换的路由交换产品。Quid

15、way S8016提供完善的DiffservQoS保证和业务流量控制机制，以及电信级的可靠性和高密度、大容量交换能力，是校园网建设的基石。S8016作为大型L3设备，具有以下一些特点：一、大容量高密度:背板交换能力最高256G，交换网板容量128G；共有16个业务插槽，11种业务接口板；最多可配置：64个GE接口和256个FE接口。二、完全线速分布式转发性能:全分布式结构,采用先进的网络处理器RAINER,实现了全线速2/7层交换，并提供整机96Mpps的报文处理性能。转发基于逐包转发，在用户报文目的地址不断发生改变时，仍就保持线速转发。相应基于流的数据转发，当用户报文目的地发生变化时，转发速

16、度急剧下降。如果在不断变化目的IP流的攻击下，基于流转发设备的性能下降非常快，甚至崩溃 ；而基于逐包转发的S8016受到的影响很少。三、完善的DiffServ/QOS:S8016路由交换机提供完善的Diffserv/QoS支持，支持基于源端口、源VLAN ID、源MAC地址、报文种类、TCP/UDP端口号、IP报文地址前缀等多种流分类规则，提供多种规则组合条件下的流映射和分类、流量监管（CAR）、拥塞控制方法（RED、WRED、SA-RED）、队列调度和输出流整形等功能，真正做到业务区分并保证带宽/时延/抖动在限定的范围内，使网络运营商可以为用户提供具有不同服务质量等级服务保证，使IP城域网真

17、正成为同时承载数据、语音和视频业务的综合网络。四、优良的可靠性:S8016的交换网络、路由处理系统、地址转换转换板和电源系统等所有关键部件采用冗余热备份设计，能满足骨干网络对电信级/高可靠性的要求。二层业务上提供端口捆绑等功能，提高链路速率的同时有效地提高网络的安全性、可用性。网络侧采用等价路由方法提高网络可靠性，支持3条等价路由。支持RSTP快速生成树协议和HSRP热备份路由协议。RSTP在通过运行生成树协议防止网络拓扑生成环路的同时提高了链路的冗余；HSRP用于为带有默认网关的使用TCP/IP协议的主机提供默认网关的冗余配置。五 灵活的组网能力:S8016提供端口捆绑、VLAN 聚合、ST

18、P、ARP/ARP Porxy、DHCP Realy/DHCP Server等丰富二层业务能力，具有NAT地址转换功能，并提供多种路由协议、基于流分类的策略路由支持。S8016 通过DHCP RELAY和内置DHCP SERVER，对用户IP地址实行动态分配和管理。 DHCP SERVER功能内置在S8016 的 MPU上，对下挂的用户可以直接进行地址分配和管理，可以为运营商节省外置DHCP SERVER的投资。六 大容量高速NAT:S8016的NAT功能支持公网私网混合编址。单块NAT板转发能力支持2Mpps以上，支持并发会话数128k，会话建立速率5k会话/秒；支持NAT中NAPT模式；支

19、持公有地址和私有地址的混合地址组网；支持ICMP、FTP的ALG，支持分片处理。七、组播特性：a)VLAN实现组播，无成员的端口不转发冗余的组播信息。b)组成员的ACL受控管理。c)PIM-SM协议中RP可以对DR发送来的注册报文进行过滤，只接受特定的注册报文。八、WEB SWITCH功能:通过内置Web Switch 单板（称为 CLPU板），在POP点和IDC提供 L4 负载均衡、L5/7 负载均衡、Web Cache Redirection 等功能。九、IP V6 Ready由于采用NP处理器，如有需要可通过软件升级以支持IP V6。 2.3.3性能卓越的汇聚交换机Quidway S55

20、16以太网路由交换机是华为公司推出的面向中型企业网LAN中心、大型企业LAN/以太城域网纯千兆汇聚的2/3层交换产品。S5516最大支持16GE，支持所有端口第二第三层报文的全线速转发，转发速率达24Mpps。S5516采用盒式模块化结构设计，最大支持4个线路接口模块，可以支持4电口（RJ45）/多模/单模千兆模块以及堆叠矩阵模块，实现高性能中心路由、交换以及千兆骨干的汇聚，通过堆叠的方式，可以实现高密度百兆端口的扩展。Quidway S5516核心路由交换机的主要特点：高性能24MPPs转发能力，32G交换容量，16GE的端口容量，32K路由表项支持，硬件地址学习、支持16K MAC地址表项

21、，4K VLAN支持，支持最多16端口的Port Trunk，最多16个Port Trunk组。高性价比Quidway S5516 L2/L3以太网交换机是采用当今最先进的ASIC技术，产品集成度高，大大降低了产品造价。配置灵活四插槽的模块化结构，用户可以根据网络需求选择不同的光电千兆接口，进行灵活配置。强大的组网能力Quidway S5516 L2/L3以太网交换机可以提供千兆到桌面，中/小网络核心，大型网络汇聚，LAN接入，宽带小区接入等多种组网方案，能够满足不同的用户不同的组网需求。高可靠性的供电解决方案提供110V/220V宽范围电源，-48V直流供电，冗余电源支持。提供基于最长匹配的

22、全线速3层交换解决了早期交换机采用精确匹配交换技术所带来的问题（交换表放在高速缓存中，如果报文命中则可以获得较高的交换速度，但如没有命中，则将进行软件转发），可以做到逐包查表，逐包交换保证了所有报文均获得相同的转发性能。可达到24MPPS（packet per second）的2/3层转发能力。强大的IP路由支持32K路由表项，支持OSPF，RIP I/II等路由协议。支持丰富的2层协议：提供RSTP，避免环路冗余；支持802.1q，提供4KVLAN和VLAN Trunk支持；支持GVRP（GARP VLAN Registration Protocol），提供VLAN的自动注册；提供802.3

23、x流控机制；半双工模式支持反压（Back Pressure）流控；支持端口聚合；基于2/3/4层的流规则过滤器，提供丰富的ACL安全机制，线速过滤能力。提供丰富的QoS策略：S5516提供了基于端口的流量限制（Generic Traffic Shaping）可根据需要限制端口流量；提供128个流分类（Traffic Class），因而用户可根据实际需要为不同的用户群组或不同的业务类型分配不同的队列优先级，带宽控制（以64Kpbs为步长单位进行调整）；提供Diffserv支持，可以根据2、3、4层特性，调整IP DSCP域，为骨干网络实现基于DSCP的IP转发提供支撑；S5516提供基于数据流（

24、Flow，根据2、3、4层报文头的信息确定）的带宽共享算法，保证每一个通信应用均可获得公平的流量分配，保证了各主机之间通信的公平性；提供WRR（Weighted Round Robin）队列调度策略；可根据IP DSCP信息，802.1p信息，VLAN信息，2/3层转发表信息，配置出报文（Outgoing Packet）的802.1p优先级与配置转发队列优先级。提供DHCP中继功能（DHCP Relay）功能提供次功能可为跨网段的主机动态配置成为可能，使得DHCP的应用得到了极大的扩展。采用华为公司统一的VRP平台VRP平台提供了大量的维护、调试命令，和日志功能，为产品的开通，维护，故障诊断提

25、供了丰富的手段；Quidway S5516与Quidway路由器的配置风格一脉相承，用户培训成本大大降低。强大方便的网络管理维护功能支持SNMP，可支持Open View等通用网管平台，以及华为公司开发的Quidview、iManager网管系统。支持SMON、RMON。2.3.4业务丰富的智能IP接入设备MA5200E做为校园宿舍区的智能IP业务接入设备，提供了功能强大的用户管理和业务控制功能，主要体现在灵活完善的用户接入方式，用户身份认证和安全保障，基于用户策略的访问控制，业务QoS保证等方面，同时提供丰富的计费信息，支持多种计费方式。MA5200E的特点如下：灵活完善的用户接入认证方式：

26、MA5200E提供了多种用户接入认证方式，主要的认证方式有WEB认证、PPPoE认证和802.1X认证。同时MA5200E支持本地认证和远端认证，并可以基于帐号的用户管理机制，实现预付费业务和支持用户漫游。 强大的用户管理控制功能：MA5200E具有很强的用户管理控制功能，对用户端口和业务流有很好的管理控制，保证网络资源的合理利用，保证业务质量和保证网络的安全。QoS保证：以太网本身的特性是尽力传送，不提供业务优先级保证，这样不适合多业务的接入。MA5200E支持基于用户和访问目的业务流优先级分类，针对不同的优先级施加相应的QoS策略。高性能硬件转发引擎：MA5200E硬件采用专用ASIC实现

27、转发引擎，该实现的最大特点是具备灵活的业务和协议处理的同时，可以大大提高系统的处理高速性。MA5200E中采用了先进的快速路由查找算法，整机具有双向10G的交换容量和3Mpps的全业务转发能力。组播支持：MA5200E可以支持IGMP、HGMP等用户组管理协议，实现从用户到网络的全套协议支持，为Web TV等宽带组播增值业务开展提供了基础。2.4组网特点丰富的多媒体业务：提供电子图书馆、在线考试、网上教学、远程教育和互联网等多种业务。有线无线一体化：提供LAN、WLAN等接入方式进行网络互联，实现笔记本教室、无线会议室，空中图书馆。多种认证方式：采用WEB方式（并可支持PPPOE，802.1x

28、）实现用户管理，具有动态业务选择和交互式的特点。认证接入和业务选择代理相结合，方便提供新业务。多ISP选择：提供中国教育网（CERNET）和因特网等多个出口，使用者可自由选择不同ISP上网，并提供相应的计费策略。完善便捷的自助管理：提供新颖的自助服务。使用者可基于WEB灵活享受带宽选择，计费策略，查询余额等服务。个性设置：设置个性化Portal查询话单：查询详细话单信息查询余额：查询卡号余额修改密码：修改用户密码其他服务：卡号充值丰富的资费策略：提供多种资费策略，包括：按时长计费，按流量计费，按带宽计费。并且还提供预附费业务和多种折扣策略。高度的安全保证：通过IP地址、VLAN ID、MAC地

29、址的绑定，保证用户信息的安全。结合用户控制访问列表，实现基于用户的良好管理能力，保护学生不受不良网站的影响。配置用户禁止访问的网段；保护网上重要的服务器配置用户组之间的访问与禁止灵活的地址策略：在校园网出口采用NAT的方式解决学校公网IP地址不足的问题，此方案同时支持公私网IP地址混合使用，为组网提供更大的灵活性。严格的QOS保证：通过Diffserv与端口限速功能，实现基于业务的QoS保证，防止网络受流量攻击导致瘫痪。提供多种规则组合条件下的流映射和分类、流量监管（CAR）、拥塞控制方法（RED、WRED、SA-RED）、队列调度和输出流整形等功能CAR的范围和精度：平均流量范围（上行和下行

30、） 128K50M ，流量控制粒度128Kbps； 峰值流量范围（上行和下行）128K50M，流量控制粒度128Kbps。统一的分权网管：全网设备统一管理，并且可以根据管理权限对校园网上设备进行分级实时监控。实现拓扑管理图形化操作界面，使用方便方便的远程配置维护管理实时声光报警中文操作系统，符合国人使用习惯3、详细网络设计3.1 IP地址规划和路由策略IP地址的合理规划是校园网网络设计中的重要一环，大型计算机网络必须对地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。IP地址

31、分配原则IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则：唯一性：一个IP网络中不能有两个主机采用相同的IP地址；简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址

32、叠合所需的连续性灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。当校园网以私网地址分配或采用混合网络地址接入时，要求校园网提供地址变换功能，过滤掉私网地址。校园网IP地址规划方案请根据具体学校做相应规划1）校园网IP地址分配总则IP地址规划根据所分配的公网IP地址和内部私网IP地址分配，地址可分为三大块，一块是Cernet分配多个C类公网IP地址，作为和国际互联网互连的地址，域名就解析在这片地址上，主要供网络中心和图书馆电脑部、部分实验室专用；校园网的普通用户,使用内部地址192.168.xxx.xx

33、x，不能和国际互联网直接发生联系，不能避开代理和计费系统；学校同时还可以申请一块ChinaNet的公网IP地址，作为接入电信公网和部分关键的服务器出口备份,关键服务器拥有两个公网IP，分别跨接在Cernet和ChinaNet上。2）校园网内部私网IP地址的分配内部地址的分配原则是按建筑物进行的，视用户的数量，1/4、1/2、整个C的划分。对于相对固定不变的教学区采用静态分配IP地址，为防止地址盗用，采用IP地址与MAC地址绑定，对于流动性大、用户人数多、用户增长快的学生区采用动态分配IP地址，采用By Port的Vlan，小范围地限制地址盗用问题。对上网用户的管理，是基于用户名、密码的代理认证

34、WEB认证过程进行，校园网内的网络资源不需认证就可访问，但访问校外的资源就必须经过认证, 用户开机时，从DHCP服务器获得校园IP地址，并可以直接访问校园网和教育网3）中心交换机支持静态或动态的IP地址分配，并支持动态 IP 地址分配方式下DHCP-Relay功能，DHCP SERVER可安放在园区内部。4）对于固定IP地址用户，需要针对标识符（MAC地址）设定保留IP地址。5）如果使用华为公司的宽带接入设备MA5200E进行认证计费，可以使用MA5200E内置的DHCP Server或者网络集中DHCP Server实现地址的分配。VLAN方式下每个VLAN可以只需要一个IP地址，采用ARP

35、 Proxy方式，大大节约了地址空间。3.2 VLAN划分教师区，通常采用包月方式，同时需要实现帐号和端口绑定的功能，故采用一个用户一个VLAN，并限制一个VLAN下同时接入的用户数量。对于学生区，校园网内VLAN划分可以采用一个宿舍一个VLAN的划分方式，也可以是一层楼一个VLAN。MA5200E内部实现VLAN+PORT的标识，所以VLAN规划中可以重复分配，但是需要保证相同的VLAN号必须分配在不同的物理端口下。1、对一个宿舍一个VLANMA5200E可以精确的控制每个VLAN下的用户，并能限制用户间的二层互访。用户要进行互访，必须通过MA5200E来进行，在认证后，所有通过MA5200

36、E的流量是要进行计费的。由于用户间互通都要经过MA5200E，增大了MA5200E的负担。2、对一层楼一个VLAN本层楼的内部互访无须经过MA5200E，优化了组网。这种VLAN划分，不能防止主机上网后作为porxy，供其他无帐号的学生使用的情况。 建议将按流量收费纳入考虑。这种划分方式中，因为对用户能实现动态的VLAN+MAC+IP绑定，可对用户发动的伪造攻击报文进行合法性检查和过滤，具有一定的网络安全性保障。3、不同VLAN间的互访，必须经过MA5200E进行转发。3.3认证计费3.3.1用户认证MA5200E实现了对用户实现认证、计费、管理功能。用户认证的方式有以下四种：1) 采用虚拟拨

37、号方式：采用虚拟拨号方式，即PPPOE的方式，用户需要在其客户端安装PPPOE软件，使用时从客户端（PC终端）发起PPP连接，PPP连接通过以太网在MA5200E设备上实现终结。或MA5200E设备从PPP呼叫中提取相应的用户信息（用户名以及密码），将用户信息通过RADIUS协议在AAA服务器上对用户进行认证鉴权，并依据用户情况为用户动态分配合法的IP地址，实现INTERNET接入。同时AAA服务器对用户实施计费，计费可采用时长、流量等多种计费方式，满足不同资费政策的需求。2) 采用直接的用户接入方式采用VLAN的直接用户接入方式时，每个用户分配一个VLAN端口，MA5200E依据此VLAN再

38、加上用户的IP地址以及MAC地址相捆绑。用户在申请开户时，向学校网络中心申请所需的用户策略（用户带宽的需求、分配IP地址数目等），校网络中心将所需用户策略输入MA5200E，MA5200E依据用户策略以及VLANIP地址MAC地址三者之间的绑定关系实现对用户实现用户的接入管理、带宽分配以及用户的计费等。通过此方式实现宽带网络的可管理性。3）VLAN+WEB用户接入VLANWEB认证指的是VLAN接入的用户通过登录门户网站，输入用户名和密码，进行身份认证，从而获得用户访问权限的过程。具体实现方式为：首先或MA5200E为每个用户端口固定分配VLAN-ID，并且在或MA5200E上将计时帐号用户设

39、置为WEB用户，并且将每个WEB用户路由固定指向WEB服务器的IP地址，因此在帐号用户上网时其仅能够访问WEB服务器，在WEB页面上输入其帐号与密码后，WEB服务器内部的CGI及相关程序将用户账号密码得到后发给或MA5200E，或MA5200E将用户帐号与密码信息得到后，将此或MA5200E的号及用户的VLAN_ID、用户帐号、密码上传至RADIUS服务器进行认证。RADIUS服务器可根据由或MA5200E上传的VLANID及用户帐号 、密码判断帐号用户的属性，即为包月帐号用户还是计时帐号用户，认证通过后RADIUS服务器将通知或MA5200E将此认证用户的上网权限打开。华为公司的CAMS平台

40、不仅可进行帐号用户认证，还可根据帐号用户的域名进行不同费率的计费，非常灵活。WEB服务器可放置于公网上也可放置于或MA5200E旁。VLAN+WEB的认证方式模仿了一个PPPOE的拨号过程，其实现非常方便，无需在用户侧安装客户端软件，降低了维护的工作量，提高了工作效率。4) 802.1X用户认证IEEE 802.1X是一种基于端口的网络接入控制技术，在 LAN 设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是 LANSWITCH设备的端口。连接在该类端口上的用户设备如果能通过认证，就可以访问 LAN 内的资源；如果不能通过认证，则无法访问 LAN 内的资源，相当于物理上断开连接

41、。华为公司是802.1x国标的制订者，其系列交换机都支持802.1x认证，并且通过与CAMS服务器想结合，可以实现LAN接入方式的计费。通过以上的用户认证方式，结合XX大学校园网，可分为两个方面考虑用户接入认证的要求：宿舍区接入认证宿舍区的用户非常集中，业务比较单一，为保证网络的安全性，宿舍区用户为S2403接入，通过S3026会聚后接入MA5200E。因此由MA5200E的接入方式可知，宿舍区用户可通过VLAN+WEB的方式实现用户的认证计费功能。其具体组网图如下：教学区接入认证考虑到教学区用户相对比较固定，主要是教职工用户和科研机构用户。因此可以采取不认证即可上网的方式。大学校园网的计费系

42、统采用CAMS系统，实现对大学校园用户认证计费。对于宿舍区，因为校园用户为移动用户并且不固定，所以采用预付费的方式实现用户上网。对于教学区，因其端口基本为包月，所以采用后付费的方式实现。由此实现宿舍区及教学区的用户认证与计费。3.3.2计费管理计费管理包括实时收集网络的可利用信息，并对信息进行处理、存储、计费报告生成。提供的计费参数包括：表明连接支持的业务类型，PTP/PTMP指示，该统计对象的端口ID，数据被收集的时间，入/出口的信元数，流量类性和流量参数值和QOS登记，数据被收集的原因等。持续时间，主叫地址，被叫地址，释放原因，宽带承载能力等。计费中心负责收集各种计费信息，并对其进行统计分

43、析，记录归档，形成计费报告。计费建议采用RADIUS计费。RADIUS协议是一个比较完善的AAA协议，对接入用户进行认证和计费，RADIUS 认证服务器放置于科艺苑的网络中心机房。智能IP接入设备MA5200E起到RADIUS Client的作用，把用户的认证请求发送到RADIUS 认证服务器，RADIUS 认证服务器管理着整个校园网注册用户数据库。如果认证通过，则允许用户接入并开始计费， MA5200E 把在线用户的实时计费信息（包括接入时间、在线时间，流量等）发送到RADIUS计费服务器，计费服务器可以根据不同的计费策略向用户收费。功能特点：1、提供灵活的计费方式：计费数据中包含接入用户的

44、时间与流量等信息，可根据需要采取不同的计费方式（如按时间或按流量计费）。2、实时计费：定时向计费服务器发送接入用户的计费信息，保持计费数据的连续性，这样即使发生意外（如掉电，与计费服务器通信中断）也可使损失减至最少。3、支持主备计费服务器，在主计费服务器出现故障时自动将计费数据送到备用计费服务器。4、计费中心放置于网络中心，便于校园网对用户的集中认证计费。3.3.3综合访问管理服务器CAMS在建设校园网工程时不仅仅需要通信设备，更需要一套全网解决方案，解决目前网络的管理、安全和增值问题。另外，网络应用日益丰富，VOIP、VOD、VPN、ONLY、电话/电视会议等新业务的不断推出，对原有的业务管

45、理系统提出了新的挑战。为了适应这种需求，华为公司推出了综合访问管理服务器（Comprehensive Access Management Server, CAMS），配合设备组网，提供全网解决方案。CAMS系统硬件平台为PC服务器，软件平台为LINUX，数据库为ORACLE。CAMS 系统采用组件化的结构方式，使得业务组件可以动态加载，单独升级，能有效的适应网络的扩容带来的对网络的管理。作为网络中的业务管理核心，CAMS支持与路由器、以太网交换机、VoIP网关和接入服务器等网络产品共同组网，完成终端用户的认证、授权、计费和权限管理，实现网络的可管理、可运营，保证网络和用户信息的安全。CAMS与

46、华为公司的系列网络产品无缝集成，支持从低端到高端各种设备的认证和用户管理。其主要功能有：1、综合访问控制CAMS 通过配置可以作为Lanswitch、8010接入服务器、8040、8070路由器等多种网络设备的网络访问控制服务器，实现基于PPP、802.1x、DHCP+WEB等多种方式，对VOIP、VOD、VPN、ONLY等多种业务的用户身份验证、网络使用授权、计费和统计功能。通过业务模块的动态加载，基于预留的API接口二次开发，CAMS 能够适应不断发展的各种认证、计费和管理需求。2、系统和策略管理CAMS可以灵活的定制网络接入、计费、优惠等用户策略，在用户级别设置不同的访问权限和计费方式，

47、并通过简单配置生成样式丰富的计费、统计报表。并可以通过与企业网Quidview网管软件之间的接口，与Quidview结合提供更为复杂的网络业务控制管理功能。3、业务管理CAMS不仅支持传统账号、卡号、主叫用户业务，还支持黑名单、用户属性绑定、VPN、VoIP、以太接入、DHCP+Web认证等业务。与设备配合，实现对用户的QoS、优先级、多播和VLAN管理。另外，CAMS还能将网络流量与终端用户信息相关联，解决了目前的计费方式单一性问题，引入更公正、更易于被终端用户接受的基于资源占用的细粒度计费、优惠方法，并可为接入商、企业网、智能化小区提供更加灵活的资费策略和详细的分析、决策信息，支持信息统计和详细话单（CDR）统计功能和输出及定制接口。4、最终用户自助网络的终端用户可以通过Web随时查询对网络的使用情况，如访问时长、流量、费用等的综合统计和明细信息，并完成对个人信息的管理，如密码修改等。4、业务解决方案4.1 PORTALPortal业务是针对客户化服务、内容发布管理、运营管理的需求而提出的门户业务，是客户化服务的门户、内容发布的门户、运营管理的门户。1客户化服务的门户用户端使用方便、简单，即插