某学校网络解决方案.doc

某学校网络解决方案杭州华三通信技术有限公司目录某学校网络解决方案第章 概况 校园网建设背景 某学校校园网建网需求分析 一般建网需求 某学校建网需求 整体建网原则第章 总体网络设计 整体网络改造描述 网络层次介绍：第章 网络业务设计 认证方式的选择 网管解决方案无线部署方案第章 某学校用户管理及安全方案 园区网用户认证管理需求分析 校园网用户管理认证方案概述 业务认证、授权管理描述 认证选择设计 用户管理系统对用户上网认证的管理 用户需求分析 用户管理系统解决方案 业务认证流程 管理方案的坚定执行者：智能交换机 端口地址的绑定：第章 无线网的构建 为什么要选用 模式的组网 为什么要采用供电 为什么要采用吸顶天线 无线管理有线无线一体化拓扑 的优势 零配置无线网构建解决方案 理解零配置 无线控制器和 之间的网络拓扑 获取地址 发现相同二层网络内的无线控制器 发现跨三层网络的无线控制器 部署于双栈网络 软件下载 配置下发 零配置提供的便利第1章 概况1.1 校园网建设背景2年月日，中国互联网络信息中心()在京发布“第十四次中国互联网络发展状况统计报告”。报告显示，截止到年月日，我国上网用户总数为万，比去年同期增长，上网计算机达到万台。网络国际出口带宽增长飞速，总数达到53.9G，比去年同期增长。下注册的域名数、网站数分别达到万和万。万网民当中，教育的用户占有，教育用户当中绝大部分的网民主体是来自于学生用户，报告中主要数据说明，前十年的发展取得丰硕成果，我国互联网事业正在持续快速的发展，并在普及应用上进入崭新的多元化应用阶段！互联网的影响正逐步渗透到人们生产、生活、工作、学习的各个角落。 同时，随着国家信息化工作的深入开展，提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教育系统信息化建设的关键，尤其是高校校园网建设。在信息化的建设过程中，它的作用体现在如下几个方面： 、校园网能促进教师和学生尽快提高应用信息技术的水平；信息技术学科的内容是发展的，它是一门应用型学科，因此，为了让学生学到实用的知识，必须给他们提供一个实践的环境，这个环境离不开校园网。 、校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库，所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。、校园网是学校现代化管理的基础，深入、全面的学校信息管理系统必须建立在校园网上。、校园网提供了学校与外界交流的窗口，学校应将校园网与互联网联接，这也是学校信息化的要求，做到了这一步，通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。 教育即未来，作为国家最重要的战略工程，如何应用信息技术改造我们传统的教学和管理手段；如何加深学生对于信息化和信息技术的理解与了解；如何造就同时具备传统和信息双重文化的一代新人，已成为教育界当前最为紧迫的任务之一。信息技术的应用，势必极大地推进教育手段和教育内容的革命性变革。我们对此深信不疑，并将全身心地为之努力。1.2 某学校校园网建网需求分析1.2.1 一般建网需求 某学校的网络建设主要是对校园网的网络进行部署。在实际的建设过程当中，应当充分考虑到学校内部的校园网多业务以及特色业务等扩展性，如：校园网内部的服务器的访问，由于学生的访问的内容多样化决定，涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。此处主要分析某学校网络基础设施建设和网络运营方面相关的内容。某学校校园网络建设从网络流量模型上看和企业网的流量模型相似，用户集中而网络流量大，但实际应用上还存在许多和企业网不同的地方。主要特点如下：1、 多出口的需求：典型的组网有中国教育和科研网（）出口和运营商网络出口同时为内部网络提供网络接入服务。考虑到用户的以上的需求，需要在学校的内部提供不同的路由策略，即用户访问教育网的相关站点，通过的线路，而访问其他的网站如：新浪网、等网站则选择运营商的线路作为出口路由，这要求核心的交换机或出口路由器能够提供策略路由以支持该特性。、用户管理的需求：1) 使用方便，存在客户端认证需求。要求能做到基于客户端的身份认证、多选择、用户费率查询等。2) 需要解决账号和端口绑定问题。通过此种方式限制账号的使用区域。3) 能够实现全网的安全管理，包括：、的盗用问题、防止接入用户的非法 、等用户。4) 对于用户的上网行为能够实现实时的跟踪以及时候的追查。、多种教学方式并行的需求：随着校园网的信息化的发展，越来越的多教学方式依托于网络给学生提供多种的特色教学模式1) 多媒体教学。为了更好的为学生提供全方面的教学资料，越来越的多学校在自己的内部局域网上面为学生提供多种教学资料，如：多媒体教学课件、典型的考试资料等等提供给学生上网下载使用。2) 点播业务实现，通过建立视频服务器平台，利用交换机提供的组播功能，为某学校的用户提供优质的视频效果，同时节省用户带宽。、安全管理的需求：1) 校园用户接受新鲜事务的能力非常强，因此校园也成为黑客最多的场所之一，如何保障校园网络的安全成为建网时不得不考虑的问题，目前主要攻击手段有，等2) 上网日志的需求，主要是配合公安机关保证社会的稳定和校园的安全、组播业务的需求，特别是可控组播的需求将随着校园信息化的深入而体现出来。、双核心的高保障需求：某学校的网络组建投入使用以后是办公和教学的平台的环境，是院系专业教学和办公的集合体，对网络的稳定性要求相当的高，如果万一出现网络中断的想象，有可能就会对学院的工作和教学造成损失，所以为保证网络的稳定、可靠、高效都是才用双核心 1.2.2 某学校建网需求某学校为提高网络覆盖范围率，使计算机终端的上网率可以达到以上，各园区网络设备进行升级，实现各院系的互连互通，把核心到汇聚层的千兆连接升级为万兆互连，满足数据、音视频等信息的实时传输，满足各类网上应用需求对网络带宽的需求，同时要有该网络是一套自上而下的一套安全的网络体系，在未来建设的校园网的数据中心为全校的各级用户提供，集中统一的数据存储服务。1.3 整体建网原则早期的高校校园网主要是共用内部教育系统主机资源，共享简单数据库，多以二层交换为主，很少有三层应用，存在 安全、可管理性较差、无业务增值能力 等方面的问题。现在某学校校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的保障服务，使网络安全可靠，从而实现教育管理、多媒体教学、图书馆管理自动化，而且还要通过实现远程教学，提供可增值可管理的业务，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。基于对某学校校园网业务需求的深入理解，结合自身产品和技术特点，3C公司推出了了完善的某学校校园网解决方案，为某学校提供“高扩展、多业务、高安全”的精品网络。某学校网络建设遵循以下基本原则：高带宽某学校网络是一个庞大而且复杂的网络，为了保障全网的高速转发，校园网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽的特，整网的核心交换要求能够提供无瓶颈的数据交换。可增值性某学校校园网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的增值业务，使网络具有自我造血机制，实现以网养网。可扩充性考虑到某学校用户数量和业务种类发展的不确定性，要求对于核心交换机与汇聚交换机具有强大的扩展功能，某学校校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。 安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。对原有投资的充分保护某学校已经建成自己早期的校园网，对早期投资购买的设备和原有的网络构造要充分的利用，发挥原有网络设备的作用，服务于新改建和拓扑模式之中。第2章 总体网络设计2.1 整体网络改造描述为满足某学校三至五年的建设需求，本次方案主要采用分期建设的模式来实现整个校园网数字化建设。具体分期如下：建设主要通过部署关键节点设备解决目前校园网出口带宽有效利用问题、用户行为时候审计问题、出口设备性能瓶颈问题等。建设规划如下图所示：考虑到一期投入资金有限，而根据对全网设备利用率及负载情况的评估以及目前终端用户反映情况了解到目前网络存在两大问题。第一，外网出口带宽不够导致用户访问外网速度明显下降，无法满足用户正常需求。第二，根据年月中华人民共和国公安部第号令要求所有提供互联网服务的企事业单位具有内网行为审计能力，有效保障互联网信息安全。通过以上两点作出以下改造。出口部署，根据目前校园网双出口特性，路由器主要具备两大应用。第一，出口转换功能。第二，出口设备策略部署实现路由匹配，根据目的地址选择不同出口功能。出口安全部署，根据目前现有出口防火墙性能显示占用率与内存占用率一直处于满负荷状态，给内外网数据交互带来的风险和传输瓶颈也是不容置疑的，一旦出口遭到攻击防火墙将会因负载过大造成数据堵塞。从而建议在出口防火墙处通过部署一台防火墙实现内外网的安全隔离。2.2 网络层次介绍：在核心层，核心层主要交换机，网络中心核心交换机同时提供服务器接入区域，重要的服务器例如日志服务器、防病毒服务器和补丁服务器，同时提供网络的审计、网管等功能区域。，同时3C 交换机其交换容量，包转发率， 在接入层，接入层是直接与用户相连的设备，因此，在实际的应用的过程当中我们建议采用3C 产品，建议通过在上配置千兆电接口与汇聚交换机进行链接，这样将会进一步扩大带宽。3C 系列安全智能三层交换机 的总线带宽为交换机所有的端口提供三层线速交换能力，系统能够提供个接口，有效解决了在单台设备上多个千兆链路上行，同时接入千兆服务器的需求，极大的节省了用户对设备投资。无线网络的应用在校区内进行无线的覆盖，现阶段校园网的无线覆盖已经成为一种趋势和必然，对于无线的覆盖以后，使得学校教学和办公的得到的极大便利，无线的覆盖可以分为室内的无线覆盖和室外的无线覆盖，采取通行的网络协议标准：目前无线局域网普遍采用系列标准，因此无线局域网将主要支持802.11g（54M带宽）标准以提供可供实际应用的相对稳定的网络通讯服务；全面的无线网络支撑系统（包括无线网管、无线安全等），以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题；保证网络访问的安全性，支持安全认证方式；采用非独立型的无线网络结构选型；采用3C的 的模式。在上配置无线控制器，终端接入的无线设备的方式非常的方便，配置都集中在的无线控制器上，所有的无线接入设备可以实施即插即用，配置管理简便易行。安全、认证、管理要求:为了阻止非授权用户访问无线网络，以及防止对无线局域网数据流的非法侦听，无线网络要具有相应的安全手段，主要包括：物理地址（）过滤、服务区标识符()匹配、有线等效保密（）、二层隔离、支持等；本无线局域网的用户认证支持集中认证（ 认证方式）和安全认证方式（支持受保护的 ( )）， 、访问控制系统及认证计费系统必须为要配合要通过验证，便于使用用户的使用及维护。在连续覆盖区域的认证和覆盖应充分考虑移动用户的易用性，达到一次认证，移动使用的目的；用户认证、计费管理：本网络建议采用3C 的软件系统进行计费和认证，具有强大的认证功能，可以实现按流量计费、支持多种计费策略，同时其旁挂式的方式大大提高了网络的安全性，避免了在出口产生流量瓶颈的问题，本次组网采用综合管理软件实行全网的用户认证和计费管理。详细介绍参加第三章。网管平台：为提高网络管理的效率，减轻网络维护的压力，本次组网采用网管系统进行全网设备的统一管理。网络管理软件是3C公司对数据通信设备如路由器、交换机等进行统一管理和维护的网管产品，位于网络解决方案的管理层，能够实现网元管理和网络管理的功能。网络管理软件基于灵活的组件化结构，包括网元管理平台、广域网管理系统、局域网管理系统、资源管理系统等，用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件，真正实现“按需建构”。第3章 网络业务设计3.1 认证方式的选择的认证可以配合3C接入交换机或设备，结合认证方式实现对接入用户的端点准入控制。这种组网方案对不符合安全策略的用户隔离严格，可以有效防止来自网络内部的安全威胁。同时用户认证系统可以对网络的接入用户进行很好的甄别，确认用户权限，同时实现计费。同时也可以配合路由器、高端交换机等设备，结合认证方式在汇聚层实现对网络用户的端点准入控制。这种组网方案具有适应性广的特点，可以应用与某学校网络出口、分支机构入口、关键区域保护等多种应用场景。根据某学校的用户特点，考虑到网络中心的维护工作量，这里我们建议采用认证方式。3.2 网管解决方案根据网络实际情况可采用3C 网管系统。特性该系统采用开放式结构设计，严格遵守标准的协议（），主要使用定义的信息，具有投资省、使用灵活、易于移植等特点：使用灵活3C 系统的使用方式非常灵活，既可以作为设备级的应用程序集成到已有的网管平台（如：、）中进行网络级管理，又可以作为独立的应用程序执行进行设备级管理。同时可以根据用户需求进行接口的开放。支持方式基于的管理是网管方式的一次革命，其主要优势在于：基于的管理允许网络管理人员使用任一种浏览器在网络的任何节点上方便迅速地配置、控制及监视网络。在 上安装了网管软件后，其它网管机器不用预装网管软件，只须安装了浏览器并且设备能上网，就能使用3C 系统管理 。成本低3C 不像大型网管系统那样系统庞大，它将网管人员最为关心的网络信息直观而浓缩地呈现于网管人员面前，使其方便地了解设备各端口的运行情况以及主要的设备性能指标。支持多种操作系统平台纯的实现，保证3C 无须修改便能运行于当前主流 的各种平台之上。除此以外，3C 系统使用全新的类库，所有控件均支持 特性，该特性使得3C 既可以在不同平台上呈现出统一的显示风格，也能够使控件的风格与操作系统相一致。功能功能描述路由器设备视图设备端口的配置情况：端口个数、端口种类、端口当前状态等故障管理对全网设备的告警信息和运行信息进行实时监控，查询和统计设备的告警信息。主要功能包括：支持告警相关性分析；能按照用户设置的条件对告警信息进行统计和查询；提供告警拓扑定位；支持告警规则定义等。路由器设备整体配置信息支持拓扑自动发现功能，系统信息（系统描述、系统标识、重启时间、所在地、设备名、联络方式）、地址转换表、接口表、表、路由表、联接表。性能管理提供对设备实时性能数据的查看功能，使用户了解当前网络运行的基本情况和性能状态，从而预防网络事故的发生，预测网络运行状态，帮助用户对网络的管理运营进行合理的规划。同时可以支持对于网络节点设备利用率、利用率、故障率、线路流量统计、网络时延统计、历史告警信息等进行统计记录，并可以实现网络流量配置。设备日志和告警管理在系统独立运行时，设备日志管理完成接收设备发送到网管的日志报文，直接保存到文件中；设备告警管理完成接收设备发送到网管的告警报文，将该进行解析并保存到文件中。路由器设备整体运行状态负载、系统温度、风扇状态、内存空闲率、空闲率、内存分布错误次数、内存分配不足引起的分配错误输入报文、表头错误的输入报文、地址错误报文、未知协议数据报、缓冲溢出输入报文、缓冲溢出的输出报文、转发的报文、无路由的输出报文、成功重组的报文安全日志管理安全管理功能主要有以下几个方面：操作日志管理，用户管理，用户组管理，设备集管理，操作集管理，权限管理，用户登录管理。路由器设备端口配置信息接口描述、接口类型、最大传输单元、接口速率、物理地址、管理状态、操作状态、持续运行时间、本地描述路由器设备端口运行状态 接口使用率、输入包误码率、输出包误码率、输入包丢弃率、输出包丢弃率、输入包未知协议率 下图是该产品的界面示例：无线部署方案目前考虑在校园园区内部署 ,在核心的上部署3C 板卡系列无线控制器模块，无线控制器能提供了丰富的有线数据和无线数据的处理功能，集精细的用户控制管理、完善的管理及安全机制、快速漫游、超强的及等多功能于一体的功能。3C公司更有众多的无线有线一体化的交换机可供选择，使得无线配置灵活，部署方面。3C公司使用创新的基于认证的组网来提供网络服务，这种方法基于用户身份而非端口或设备，以便跨越整个网络实现移动性和安全性。当用户漫游网络时，通过网络范围内的无线控制器的信息交换，以实现在整个网络范围内执行一致的访问和安全策略。同时采用和认证结合的、以及加密等功能增强了网络安全。无线板卡或无线有线一体化的交换机与3C 配合组网，可以方便的部署于任何现有的二层网络或三层网络之中，控制器和通过制定的协议进行互联而无需针对现有网络进行重新配置。Ø 认证方式及认证点选择本方案主要采用认证，交换机作为协议终结点，用户管理系统系统为用户鉴权点。认证是一种二层认认证机制，建议使用二层信息与帐号进行捆绑，此时的网络是一种安全网络。Ø 整网安全无线网络安全部分主要包括以下方面的内容：地址过滤：目前我司都支持基于地址的过滤，可以限制具有某种类型的地址特征的终端进入网络中，对于大规模网络，使用地址过滤时操作起来具有较大的难度，主要原因是：地址的规律性不大，所有的都要进行配置，存在缺点：维护工作量不大，故建议：不进行部署，但设备要具有这样的能力，以备以后增加相应设备进行配套使用，以增强安全性；管理：是一种网络标识的方案，将网络进行一个逻辑化标识，对终端上发的报文都要求进行上带，如果没有标识则不能进入网络；加密：加密是一种静态加密的机制，通信双方具有一个共同的密钥，终端发送的空口信息报文必须使用共同的密钥进行加密；属于一种动态加密机制，密钥进行定期的刷新；Ø 频率规划802.11g使用开放的 频段，可工作的信道数为欧洲标准信道数个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔个信道的工作中心频点。因此对于802.11g在地工作频段，理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。此外，由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。针对如何进行802.11g的频率规划作了大量的实验，实验证明载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖，并提供更高的服务带宽提高服务质量，和高带宽业务的开展。频率规划原理图频率规划需要配合使用的功能包括：支持个信道设置支持、功率以及多级功率控制支持外置天线以及定向天线针对特殊应用还需要支持桥接功能、接入功能以及功能Ø 网络管理基于标准的协议实现对设备的管理，3C 网管系统通过实现对所有网元的管理。网管工作站可以放在网上的任意位置，通过标准的即可实现对所有设备的管理。采用标准的可以实现更为强大的管理包括自动拓扑发现、自动升级、批量配置、分级管理、分级告警等。Ø 供电问题由于本次无线网中布放位置根据实际覆盖效果而调整，在已建设完成的建筑物上较难进行本地供电，对的本地供电问题难度更大，可采用基于标准的实现对的供电。通过在汇集交换机处叠加一个供电电源或者内嵌交换机内，通过以太网线在传输数据同时给供电，供电距离达米，满足实际组网的要求。第4章 某学校用户管理及安全方案4.1 园区网用户认证管理需求分析随着网络规模的扩大，用户不断的增加，网络使用中出现了不少不和谐的声音：账户盗用，恶意欠费，黑客攻击，反动言论等。这些不和谐的行为影响了正常的网络使用，造成了许多安全隐患。为了消除这些隐患，我们需要引入网络认证管理技术，规范网络使用，在提供体现公平、共享原则的同时保护绝大多数用户的权利。在提出解决方案之前我们将相关需求做一简单分析：1) 准确的用户身份确认园区网计费用户分为两类，一类是不计费，另一类是计费。但是无论是计费还是不计费我们都需要对其身份进行准确的识别。这是网络安全的需要，同时也是做到准确计费的需要。但是如何进行用户身份确认呢？这就需要通过认证技术来实现。目前认证技术有许多，如认证，认证，认证。这些认证技术各有千秋，技术被广泛的应用在宽带小区，认证被应用在一些信息系统内，而认证被应用在广大的校园内。这是因为认证具最大的特点是简单，无需特殊的设备支持，同时支持任何网络应用。正是这一点打动许多学校老师的心。本方案将以认证用户身份确认技术。2) 全方位的用户管理方案用户的管理随着网络的扩大逐步显得更加的重要，从目前的校园网的建设来看，不同的学校有着不同的网络的管理方式，如：绑定、地址的绑定、卡号密码的绑定等，不同方式各有千秋。在某学校的网络认证管理方面，其我们用户建议采用地址端口的绑定技术来作为整个校园网管理的主要方式，3C 126A接入层交换机支持多种绑定技术，同样支持地址端口的绑定方式，这样对于用户可以直接做到端到端的绑定方式。4.2 校园网用户管理认证方案概述认证管理方案是一个整体的方案在园区网内实施相应的管理措施。而且从校园网实际使用情况看，学生宿舍区的网络建设中认证管理是最为突出的问题，考虑到学生的技术水平较高、学校内喜欢攻击网络的学生较多，在实际的建网过程当中应当充分考虑到这些因素可能会带来的相关问题，在组网建设过程当中避免。综合考虑，3C公司在实际的在建网的过程当中遵循了以下几点要求：1) 认证交换机。本次方案所采用的所有交换机都支持认证。考虑认证的效率，本次认证主要由接入层126A交换机来完成。并能够提供强大的业务功能：如：地址绑定等功能。2) 网管平台。网管软件对于用户来说是维护网络的重要工具，3C公司 网管平台可以为用户提供强大的维护功能，同时可以对所管理的接入层交换机进行批量配置，避免用户繁琐的工作，同时可以对端口流量进行设置阀值告警，发现用户端口流量较大（如：病毒攻击），可以通过网管将端口关闭避免大量垃圾报文，维护网络安全。4.3 业务认证、授权管理描述 考虑到某学校为大学院校，考虑到其的特殊性，有众多的教师和学校管理层的办公系统，在业务接入的前采用系统对用户进行用户名和密码的认证，同时对客户端进行控制，防止终端的软件传播病毒和对网络产生危害，利用系统进行事件审计。4.3.1 认证选择设计认证管理是接入层交换机和认证软件平台重要的特性，本次我们建议采用的认证方式作为接入认证的方式。协议是在通过的正式标准，标准的起草者包括，等；定义了基于端口的网络接入控制协议（ ），该协议适用于接入设备与接入端口间点到点的连接方式，其中端口既可以是物理端口，也可以是逻辑端口。3C公司的网络设备对做了扩充，使其可以基于地址进行网络接入控制。 的体系结构中包括三个部分：() 用户接入设备() 接入控制单元() 认证服务器接入层设备需要实现 的认证系统部分；用户接入设备()需要有的客户端软件；认证服务器可以是的服务器，也可以是传统的服务器；传输介质为点对点以太网（即直接通过网线连接到的端口），如果是共享式以太网，则需要采用加密的方式（）传递认证信息。概念解释：，即 之缩写，意为端口接入实体 ：发起接入请求的，指一般 ：驻留在接入设备上的验证模块受控端口是系统的核心概念() 内部有受控端口（ ）和非受控端口（ ）。() 非受控端口始终处于双向连通状态，主要用来传递 协议帧，可保证 始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。() 受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。输入受控应用在集中桌面管理的应用场合,例如管理员即使在客户端关机的情况下也能将通过受控端口向用户计算机发送远程开机命令。() 3C公司的平台的子系统扩展了多种受控端口类型,以支持复杂的应用环境。的认证模式：端口认证模式：常开模式。端口一直维持授权状态，设备端不主动发起认证；：常关模式。端口一直维持非授权状态，忽略所有客户端发起的认证请求；：协议控制模式。设置端口初始状态为非授权状态，使端口仅允许报文收发，如果认证流程通过，端口切换到授权状态；的子系统允许一个物理端口下有多个受控端口，在一个物理端口下的所有受控端口只能配置成相同的端口认证模式，这种限制是为了方便管理员配置。协议定义了一种基于的认证方法，在协议中允许允许一个物理端口下有多个受控端口，应该是为了便于实现对的扩充，如在物理端口下开发基于地址的认证，每个地址将有一个动态的逻辑端口，逻辑端口的状态是受控的。也可以开发基于的认证，等等。端口类型：() 逻辑端口(默认)：一个逻辑端口对应一个物理端口，对应一个 状态机实体。这种端口类型的认证与和认证方式相比，有缺陷，无法灵活地应用到运营商的宽带城域网(可参考华为技术报上的<<认证技术>>一文)。() 逻辑端口源： 这种类型的受控端口为每一个客户端创建一个 状态机实体。每个物理端口上受控端口的个数是有限制的(可配置)，当有客户端发送请求认证报文时提取客户端源地址，做为受控端口的标识。客户端注销时对应的受控端口资源被释放。() 逻辑端口源： 这种扩展的受控端口类型,主要是配合方式组网上实现的受控端口类型，逻辑端口可以定位到下层的物理和逻辑端口，源地址可以区分到客户端。3C公司网络产品支持以下的基本认证方式：本地认证：接入设备根据用户名在本设备的数据库查找，若存在相同的用户名和密码则验证通过,否则验证失败。认证：接入设备通过报文与服务器交互报文，由服务器完成对用户身份合法性的验证。认证： ，用户以明文的形式把用户名和他的密码传递给接入设备的验证方式。 认证： ，当用户请求上网时，接入设备生成一个字节的随机码给用户，同时还有一个号及接入设备的 。客户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密，生成一个传给接入设备，接入设备根据用户名在本端或服务器查找，得到和用户端进行加密所用的一样的密码，然后根据原来的字节的随机码进行加密，将其结果与作比较，若相同表明验证通过，否则验证失败。 认证时，密码经过了算法加密处理，防止报文被截获。 某学校的认证过程首先某学校的端口模式采用网关模式，首先上网终端通过的客户端收入用户名、密码后客户端发起报文至 （126A），在126A上终结报文，然后从126A再次发起报文至认证服务器 ，由 来验证用户名、密码是否匹配，在认证通过以后由认证服务器下发报文至126A通知该用户认证通过，126A再将相对应的端口打开，允许学习地址，允许用户上网。 的认证方式最为主要的三点是：.认证的的客户端的功能。.认证的；.与认证服务器的配合。3C公司自主开发的客户端以及认证服务器，在实际的应用中配合华为的接入层交换机126A最终完成的认证。 4.4 用户管理系统对用户上网认证的管理4.4.1 用户需求分析某学校校园网的管理基本上分为以下几个方面：1) 用户信息的搜集用户信息的搜集是网络开通前网管人员的首要任务，此时需要搜集的信息可能包含有：学生的学号、用户主机的地址、用户接入的端口、分给用户的地址、用户的性别、用户的宿舍号、用户的学院、或是我们需要用户提供的相关特性。此过程可能是用户工作量最大的一个过程。2) 学生用户的开户开户的过程是网络人员的针对用户的需求进行开户，用户把钱交给网络中心为用户提供开户业务，提供给用户网络资源。3) 网络安全控制该过程是网管人员对上网用户进行实时检测的过程，网管人员要确保网络的安全，要对用户上网的动作进行监控，并有效的防止网络当中存在的各种非法操作用户。总之，整个网络的开通、运行、维护是一个持续、巨大工作量的过程，网管人员是这些任务的承担者。4.4.2 用户管理系统解决方案下面我们再来看一下用户管理系统是如何解决用户的相关问题。1) 用户相关信息的搜集用户管理系统的“用户预注册”解决网管人员搜集用户信息中遇到的问题，传统的方式是通过网管人员的信息录入来搜集客户的信息，这种方式使得网管人员的工作量剧增。举例来说，一个用户的开户工作，我们假设个用户的录入工作需要分钟（包括检查用户提供的信息是否正确）用户需要的工作量就是×分钟，共计小时，按照一天小时工作时间计算，共需要天，这样的工作量对网管人员来说是不可忍受的，用户管理系统支持用户预注册功能，所有的用户名密码等信息都由用户自己输入，而且用户如果我们还需要部分信息还可以进行定制。用户预注册：用户预注册可以帮助用户在开户前的相关信息的搜集，用户可以通过固定的网上申请用户名、密码等相关信息，而且网管人员需要搜集的信息可以在“用户附加信息”中进行自行定义，定义的方式也是可选的，可以是下拉菜单方式的、也可以是输入的，为了避免用户输错，可规定输入文档的格式，详见“用户附加信息”。我们可以在用户预注册的时候要求用户输入我们要搜集的相关、工号、单位等信息。用户附加信息：用户附加信息是为了给网管人员自助定义用户信息的工具，每个网管人员标识用户的方法、种类可能各不相同，用户附加信息如下所示：网管人员可以在用户附加信息选项中灵活定义需要用户输入的信息，同时可以选择这些字段是否在用户预注册时必须输入。这样用户信息的搜集就由网管人员主动搜集变为用户主动上报，网管人员需要作的更多的是用户开户时信息的确认。2) 开户过程我们刚才讲了用户通过预注册的功能可以实现在网上进行预注册，那接下来应该做些什么呢？接下来网管人员要在用户管理系统上先定义用户群的服务（即：计费策略及管理策略），如：用户群体，采用包月的方式；用户群体采用按时长收费的方式；用户群体 。服务策略的配置：服务的配置当中含有多种的策略，包括：计费策略、绑定策略、安全策略等等。如图所示：在服务策略中，我们可以讲用户的、交换机端口、账号等多种元素进行绑定，也可以选择性的进行绑定；计费策略中我们可以规定按时长收费还是包月收费；同时用户管理系统也是配置是否对客户端的检测启用安全策略，对于的防止同样也是多种方式的；同时用户管理系统可以实现用户的获取地址方式的定义。用户缴费开户（三“点”一“输入”）用户缴费开户对于用户管理系统来说再简单不过了，一个用户的开户只需要进行鼠标轻轻的点击三下、输入一次，就可以实现。具体的步骤如下：首先，在用户预注册清单中找到用户提交的预注册信息：我们在预注册用户管理中找到了刚才刚刚预注册的用户名为“”的用户，下面我们来进行所谓的“三点一输入”来进行开户。正式注册：一点击“正式注册”一输入用户的缴费信息，二点击用户的服务（学生包月），三点击确定。一个用户的开户过程就是如此简单，加上用户预注册中的相关信息的检查，一个用户秒钟就可以轻松的开户，用户的网络几个小时就可以完成开户工作，大大减少了网管人员的额工作量。自定义开户。用户的开户还可以通过用户管理系统进行自定义的开户，也就是每个账号是由网管人员进行开户的，所有的信息都时网管人员自己录入，当然，网管人员可以通过用户管理系统进行批量的用户开户，或是采用与原有的数据库批量导入。这种方式与用户预注册的方式相比就显得有些麻烦。3) 网络安全控制用户管理系统除了可以大大减少用户的工作量以外，还可以给用户提供强大的安全管理措施。元素的绑定技术。用户管理系统可以实现通过服务器的、地址等绑定技术，在实际应用的过程当中，用户管理系统可以对接入用户的各种元素进行绑定对于各种元素的灵活绑定可以实现各种接入方式，如：绑定与账号，就可以实现账号与主机的对应；绑定、端口、账号，就可规定用户采用自己的主机、规定的、从规定的端口进行接入。元素的绑定技术对于网络的管理安全起了重要的作用，通过元素的绑定技术可以大大提高网络的安全性。访问时间的控制。用户管理系统可以实现对接入用户的上网时间的规定，网管人员可以规定用户允许接入的时间段，如：上午：晚上：，在这段时间内允许用户接入网络，其余时间，禁止接入。用户的禁止。用户管理系统可以对接入层用户进行有效的控制，配合3C的客户端可对各种用户进行禁止。屏蔽非3c客户端，可以实现对于非3c客户端的用户禁止接入；屏蔽代理，对于在中设置代理的用户可以实时进行检测，一旦发见，禁止用户进行上网操作；屏蔽双网卡，对于存在两个活动网卡的用户，用户管理系统可以通知用户存在两个活动的网卡，用户必须对其中的一个网卡进行禁用才能够接入网络；对于任何形式代理的禁止，用户管理系统可以实现对任何形式的用户的禁止，无论用户采用何种的方式，如果不产生动作就不进行操作，当用户一旦发生了的动作，用户管理系统就下发下线通知，强制用户下线，对于以上的禁止方式，是可以进行灵活选择，满足不同组网需要。黑名单。用户管理系统支持对用户的非法动作进行判断，屏蔽的功能，当某用户通过自己的主机验证别人的用户名、密码时，当其三次认证不通过就将自动屏蔽该用户在这台主机的认证，只有第二天才能够重新认证，认证的同时并将该用户账号以及对应验证主机的地址进行记录，便于事后的追查。4) 灵活、开放的计费策略用户管理系统系统采用开放、抽象的计费模型，具有良好的适应性和扩充性，能够满足不同应用场合的计费需求，用户可以根据运营的需要轻松定制计费方式和费率。u 支持纯包月、包月限时、包月限流量等易于管理的包月型计费方式。u 支持包月暂停的功能，可以使用户的包月截止日期顺延，并支持用户认证上网自动取消暂停。包月计费。u 用户管理系统可以实现包月计费的策略，对于用户来说可以实现包月计费策略，同时用户管理系统可以支持包月暂停功能，用户可以自助登陆到自助服务页面，点击“暂停”，便可以实现用户的包月暂停，无需通过网管中心工作人员，大大减轻了工作人员的工作量。u 用户管理系统可以实现按流量计费的策略，用户管理系统与或配合可以实现用户按流量收费的计费策略，同样可以限制用户的流量，即包月限流量，当用户的流量达到包月数值时，用户管理系统可强制用户下线。u 支持按使用量分档计费和奖励：对不同的使用量设置不同的费率，用的越多越便宜。u 支持时段优惠：在正常费率的基础上对在某些时段的接入给予一定的折扣优惠，如周末优惠、假日优惠等。u 基于不同目的地址的流量计费策略。用户管理系统可以实现基于不同目的或源地址采用不同计费策略的方式，满足用户的不同需求。u 不同账号不同网段访问权的策略。用户管理系统可以根据用户需求，与配合实现对于不同账号对应不同目的访问权的功能，用户的账号可以分为多种权限账号进行设定。5) 批量操作功能为了减少