教育行业经典案例介绍.ppt

《教育行业经典案例介绍.ppt》由会员分享，可在线阅读，更多相关《教育行业经典案例介绍.ppt（67页珍藏版）》请在三一办公上搜索。

1、教育行业典型组网介绍,华三南京办教育系统部：李良权电话:025-83713227手机邮箱地址:南京市汉中路89号金鹰国际商城18楼C2座华为3Com公司网站网址：华为3Com专业技术论坛：800热线支持：800-810-0504,学习目标,掌握网络实施前方案规划了解教育行业常见组网结构掌握校园网采用802.1x终端接入流程熟练配置校园网接入设备的一般配置了解华为三康业务软件的功能及特性掌握业力软件的安装及基本配置,学习完本课程，您应该能够：,提 纲,前言网络拓朴结构IP规划路由划规核心与汇聚交换机配置经典教育行业接入网楼栋层堆叠技术介绍设备网管介绍接入层设备802.1X认证介绍CAMS系统介绍

2、用户接入配置流程日志审计系统介绍,教育行业经典组网篇,前 言,随着华为公司数据通讯设备的网络地位不断提高，以及全网解决方案的提供，对技术支持工程师的各方面能力也提出了越来越高的要求。总体而言，网络维护及规划是一项很复杂的工作，需要我们具备如下技术条件：精通TCP/IP协议族中数十个协议的原理.精通N家厂商的N百种设备的性能和配置.还要具备统筹学、经济学、哲学的基本思想.丰富的实践经验和组织协调能力.对网络中的新技术保持高度的敏感性.胆大心细、临危不乱的良好心里素质.,我做到了吗？,但是由于许多网络在组网、设备选型、协议选择等方面具有极强的相似性，所以网络规划虽然复杂，但却是一件有原理指导、有规

3、律可循，甚至有“模板”可以套用的工作。具体表现在：常用的协议不超过8个，了解大概就行.主流厂商只有几家，相同厂家的产品配置相同.很多网络的模型都十分相似，照猫画虎即可.不就是画几个框框、圈几个圈圈、连几根线吗.,前 言,前言网络拓朴结构IP规划路由划规核心与汇聚交换机配置经典教育行业接入网楼栋层堆叠技术介绍设备网管介绍接入层设备802.1X认证介绍CAMS系统介绍用户接入配置流程日志审计系统介绍,教育行业经典组网篇,XXX大学学生宿舍网网络拓扑图,XXX大学校区网络拓扑图,xxx大学骨干网拓扑图,前言网络拓朴结构IP规划路由划规核心与汇聚交换机配置经典教育行业接入网楼栋层堆叠技术介绍设备网管介

4、绍接入层设备802.1X认证介绍CAMS系统介绍用户接入配置流程日志审计系统介绍,教育行业经典组网篇,IP地址的合理规划是网络设计中的重要一环，大型网络必须对地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。如果要看一个网络的规划质量、如果要看一个网络设计师的技术水准，直接看他的IP地址规划好了。,IP地址规划的重要性,IP地址规划,唯一性：一个IP网络中不能有两个主机采用相同的IP地址；连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率扩展

5、性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性实意性：“望址生义”，好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大至判断出该地址所属的设备。节约性：当今IP地址十分宝贵，IP地址规划应尽可能的节省地址。,IP地址规划的基本原则,IP地址规划,管理地址为了方便管理，会为每一台路由器创建一个loopback 接口，并在该接口上单独指定一个IP 地址作为管理地址，管理员会使用该地址对路由器远程登录（telnet），该地址实际上起到了类似设备名称一类的功能互联地址通常配置在网络设备之间互联的接口上。用户地址以太网上的各种服务器、主机所使用的地址 VLAN

6、划分网络中应实际用户组网需求，根据地理址位置，或根据部门性质，或根据业务应用来划分不同的VLAN,IP地址规划,IP地址的分类,合理使用掩码管理地址分配32位掩码；互联地址分配30位掩码节省“无用”的互联地址使用ip unnumber、使用私网地址进行互联节省“有用”的用户地址使用NAT技术补充：IP地址及VLAN的规划，对于我们维护人员来说尤为重要，如果初期没有任何规划，那么在日后维护中，将是一件非常痛苦的事，得天天,IP地址规划,IP地址的节省技巧,IP地址规划,IP规划案例,有了这个东西，维护方便多了啊_,前言网络拓朴结构IP规划路由划规核心与汇聚交换机配置经典教育行业接入网楼栋层堆叠技

7、术介绍设备网管介绍接入层设备802.1X认证介绍CAMS系统介绍用户接入配置流程日志审计系统介绍,教育行业经典组网篇,路由规划,路由协议规划原则,路由协议规划在网络规划中占据非常重要的定位，合理的规划，可以使网络运行更加稳定、负担减轻、主备倒换更加迅速。路由协议规划包括如下几个部分：选择适当的路由协议路由协议自身的规划控制路由表的规模如果要看一个网络的规划质量、如果要看一个网络设计师的技术水准，直接看他的路由表好了。,路由规划,选择正确的路由协议,公欲善其事，必先利其器，不能让网络规划输在起跑线上！RIP最古老的路由协议，特点：性能低下，只适合在小型的网络中使用。（狗肉上不了大席）IGRP在R

8、IP的基础上稍加改进，拥有RIP所有的缺点。（改良的狗肉，还是上不了大席）EIGRP性能不错，但却是cisco的私有协议，互通性不好。（现在都是e世代了，拜托，能不能open一点？）IS-ISISO与IETF帮派斗争的产物，本来是为OSI七层模型设计，后来强行移植到IP上。（驴唇不对马嘴）OSPF是因特网上使用最为广范的IGP，专家强力推荐。（相信我，没错的）BGP是目前因特网上唯一的一种EGP协议。（只此一家，别无分店）,路由规划,路由协议与网络层次之间的关系,接入层：无需运行动态路由协议，向下使用接口的直连路由，向上配置缺省路由路由即可。汇聚层：通常与核心层之间运行IGP（专家推荐使用OS

9、PF），向下配置静态路由，并将配置的静态路由引入到IGP中发布出去。核心层：与汇聚层之间运行IGP，核心层之间运行BGP。,路由规划,路由协议与备份之间的关系,备份原理实际上是利用路由表添加路由的规则来实现的：对于到达相同目的地的路由，路由器只使用最优的一条。如果最优的路由消失，则依据相同的规则选择原来的次优路由。静态路由之间使用优先级不同来控制优劣不同的动态路由协议之间使用优先级来控制优劣同一协议内部使用不同的花费值来控制优劣,路由规划,路由表瘦身秘笈,两个基本点能够聚合在一起的路由，尽量聚合成一条如果精确路由与粗放路由指向相同，精确路由可以删除。一个中心充分利用缺省路由。（宇宙在大爆炸之前

10、只是一个质点；因特网的路由极度聚合之后就剩一条）路由表能够瘦身，是基于一个十分重要的前提，你知道是什么吗？,路由规划,天堂与地狱的故事,如果你爱一个人，你就送她去纽约，因为那里是天堂；如果你恨一个人，你就送她去纽约，因为那里是地狱。北京人在纽约片首旁白如果你想成为网络大师，你就在核心层的设备之间配置缺省路由，因为缺省路由就是天堂；如果你想酿成特级重大事故，你就在核心层设备之间配置缺省路由，因为缺省路由就是地狱。在接入层和汇聚层设备上使用缺省路由是有百利而无一害的，但在核心层设备之间使用缺省路由必须异常谨慎。,路由规划,学校典型组网案例,6506的OSPF设置interface Vlan-int

11、erface4001 description To-xq1interface Vlan-interface4002 description To-xq2interface Vlan-interface4003 description To-xq3interface Vlan-interface4004 description To-xq4interface Vlan-interface4005 description To-xq5interface Vlan-interface4006 description To-xq6ospf 1 import-route direct import-ro

12、ute static default-route-advertise#,校区1的汇聚5516设置interface Vlan-interface4006 ip address ospf,教育行业经典组网篇,组网拓朴图楼栋层堆叠技术介绍设备网管介绍接入层设备802.1X认证介绍CAMS系统介绍用户接入配置流程日志审计系统介绍,经典学校组网图,组网拓朴图,教育行业经典组网篇,组网拓朴图楼栋层堆叠技术介绍设备网管介绍接入层设备802.1X认证介绍CAMS系统介绍用户接入配置流程日志审计系统介绍,楼栋层堆叠技术,堆叠功能简介,堆叠是由一些通过堆叠口相连的以太网交换机组成的一个管理域，其中包括一个主交换

13、机和若干个从交换机。堆叠在一起的以太网交换机可看作为一个设备，用户可通过主交换机实现对堆叠内所有交换机的管理。当多个以太网交换机通过堆叠口相连时，用户可以在其中一台进行配置，把它们设置成堆叠，并把当前进行配置的以太网交换机设置为堆叠中的主交换机。堆叠的建立过程如下：主交换机和从交换机之间通过堆叠模块及特殊的堆叠线连接起来（关于堆叠模块及堆叠线的描述请参见安装手册）。用户首先设置堆叠可选的IP地址范围，并启用堆叠功能；然后系统会自动将与主交换机堆叠口相连的交换机加入到堆叠中。主交换机在从交换机加入堆叠时，自动给从交换机分配可用的IP地址。在建立了堆叠后，如果有新的交换机和主交换机通过堆叠口相连，

14、系统将自动把新的交换机加入到堆叠中。堆叠是通过主交换机和从交换机之间的连接来维持的。只要发现连接断开，从交换机自动退出堆叠。,堆叠功能主要配置包括：,配置堆叠IP地址池:undo/stacking ip-pool from-ip-address ip-address-number ip-mask 建立/删除堆叠:undo/stacking enable 切换到从交换机视图进行配置:stacking num 从回方：quit堆叠功能显示和调试:display stacking display stacking members Member number:0 Name:stack_0.Quidwa

15、y Device:Quidway E050 Member status:Cmdr Member number:1 Name:stack_1.Quidway Device:Quidway E026 Member status:Up Member number:2 Name:stack_2.Quidway Device:Quidway E026 Member status:Up,楼栋层堆叠技术,教育行业经典组网篇,组网拓朴图楼栋层堆叠技术介绍设备网管介绍接入层设备802.1X认证介绍CAMS系统介绍用户接入配置流程日志审计系统介绍,SNMP协议介绍,目前网络中用得最广泛的网络管理协议是SNMP（S

16、imple Network Management Protocol）。SNMP是被广泛接受并投入使用的工业标准，用于保证管理信息在任意两点间传送，便于网络管理员在网络上的任何节点检索信息、修改信息、寻找故障、完成故障诊断、进行容量规划和生成报告。SNMP采用轮询机制，只提供最基本的功能集，特别适合在小型、快速和低价格的环境中使用。SNMP的实现基于连接的传输层协议UDP(snmp161 snmptrap162)，得到众多产品的支持。SNMP分为NMS和Agent两部分，NMS（Network Management Station），是运行客户端程序的工作站，目前常用的网管平台有Sun NetM

17、anager和IBM NetView；Agent是运行在网络设备上的服务器端软件。NMS可以向Agent发出GetRequest、GetNextRequest和SetRequest报文，Agent接收到NMS的请求报文后，根据报文类型进行Read或 Write操作，生成Response报文，并将报文返回给NMS。Agent在设备发现重新启动等异常情况时，也会主动向NMS发送Trap报文，向NMS汇报所发生的事件,设备网管介绍,SNMP的主要配置包括：设置团体名允许或禁止发送Trap设置Trap目标主机的地址设置sysLocation配置本地或远端设备的名字配置一个SNMP的组指定发送Trap的

18、源地址为一个SNMP的组添加一个新用户创建或者更新视图的信息,配置SNMP,设备网管介绍,#设置团体名和访问权限Quidway snmp-agent community read publicQuidway snmp-agent community write private#设置管理员标识、联系方法以及物理位置Quidway snmp-agent sys-info contact Mr.Wang-Tel:3306Quidway snmp-agent sys-info location telephone-closet,3rd-floor#允许向网管工作站（NMS）发送Trap报文，使用的团体

19、名为public。Quidway snmp-agent trap enableQuidway snmp-agent target-host trap address udp-domain 129.102.149.23 udp-port 5000 params securityname public,网管配置实例,设备网管介绍,Qduiview介绍总体结构,网络管理框架,设备配置管理中心,智能管理组件,设备管理,HGMP管理组件,IPSec VPN部署组件,IPSec VPN监视组件,IPS监视组件,IPS部署组件,网络管理框架为其他组件提供了平台基础；用户可以根据业务需求灵活选择组件，解决方案

20、正是这些组件的组合；设备管理和智能管理组件能够在网络管理框架上运行，也可以单独运行。其中设备管理已经内嵌在网络管理框架，不再需要另外集成。,设备网管介绍,组件简介,设备网管介绍,增加网络设备三种方式,设备网管介绍,自动发现：设置种子设备与发现参数种子设备的选择：选择网络中心位置设备或者网关设备作为起始种子。发现的层数：建议不超过7层。可指定是否发现SNMP设备。导入：编写或使用以前导出设备列表文件，执行导入操作手工增加：手工增加设备，可以同时指定telnet等详细参数。三种方式增加的设备都会自动放置在IP自动拓扑中相应位置，并创建链路,自动拓扑,设备网管介绍,设备信息综览,设备网管介绍,从左树

21、或拓扑右键可打开设备信息窗口。提供从设备名称、接口列表到告警统计、相关性能报表等有关该设备的全景浏览。而且TAB页面根据数据有误情况自动决定是否出现，使得用户的关注总是有效信息。,设备面板,设备网管介绍,支持全线华为、华为3Com数通设备。支持交换机的堆叠面板。支持交换机的多设备面板。支持交换机的多模式面板，速率、VLAN等信息。也可以使用图形的方式表示,教育行业经典组网篇,组网拓朴图楼栋层堆叠技术介绍设备网管介绍接入层设备802.1X认证介绍CAMS系统介绍用户接入配置流程日志审计系统介绍,接入层设备802.1X认证介绍,802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。IE

22、EE 802.1X定义了基于端口的网络接入控制协议(Port based network access control protocol 802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道）802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。,协

23、议介绍,接入层设备802.1X认证介绍,802.1X的系统组成,EAP Over Something,Authentication Server,Authenticator,EAPOL,Supplicant,Supplicant System，客户端(PC/网络设备)Authenticator System，认证系统Authentication Server System，认证服务器,接入层设备802.1X认证介绍,客户端,客户端必须运行802.1X客户端软件：小提示:H3C802.1X 目前与LINUXD60配套最新版本为:V2.20-0234Windows版CAMS对应版本为：V2.40-

24、0132,接入层设备802.1X认证介绍,认证过程,接入层设备802.1X认证介绍,协议介绍,接入层设备802.1X认证介绍,认证过程,接入层设备802.1X认证介绍,认证通过前，通道的状态为unauthorized，此时只能通过EAPOL的802.1X认证报文；认证通过时，通道的状态切换为authorized，此时从远端认证服务器可以传递来用户的信息，比如VLAN、CAR参数、优先级、用户的访问控制列表等等；认证通过后，用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，注意只有认证通过后才有DHCP等过程认证通过之后的保持：认证端Authenticator可以定时要求Client

25、重新认证，时间可设。重新认证的过程对User是透明的(应该是User不需要重新输入密码)。下线方式：物理端口Down；重新认证不通过或者超时；客户端发起EAP_Logoff帧；网管控制导致下线；,基本的认证过程,接入层设备802.1X认证介绍,端口受控方式,华为-3Com公司对802.1X协议的端口控制方式进行了扩展，除了支持基于端口的控制方式外，还在端口受控的基础上增加了基于MAC、VLAN的控制方式。缺省的认证控制方式为基于MAC。基于端口的控制一旦某端口上有一位用户通过了802.1X的认证，整个端口都将被授权，允许多台主机通过此端口访问网络资源基于MAC地址的控制（端口源MAC）某端口人

26、有用户通过802.1X认证时，仅授权给发起该认证的主机通过此端口访问网络资源，不允许其它主机通过此端口访问网络资源基于VLAN的控制（端口VLAN ID源MAC）某端口人有用户通过802.1X认证时，仅授权给发起该认证的主机通过此端口访问网络资源，并且所访问的资源被限定在特定的VLAN内,接入层设备802.1X认证介绍,802.1x 配置,802.1x 的配置包括：开启/关闭802.1x 特性dot1x interface interface-list 设置端口接入控制的模式dot1x port-control authorized-force|unauthorized-force|auto

27、interfaceinterface-list 设置端口接入控制方式dot1x port-method macbased|portbased interface interface-list 检测通过代理登录交换机的用户dot1x supp-proxy-check logoff|trap interface interface-list 设置端口接入用户数量的最大值dot1x max-user user-number interface interface-list 缺省情况下，802.1x 在S3500 系列以太网交换机所有的端口上都允许最多有256个接入用户。说明：如果端口启动了802.1

28、x，则不能配置该端口的最大MAC 地址学习个数（通过命令mac-address max-mac-count 配置），反之，如果端口配置了最大MAC 地址学习个数，则禁止在该端口上启动802.1x。,接入层设备802.1X认证介绍,802.1x 配置2,设置允许DHCP 触发认证dot1x dhcp-launch 缺省情况下，用户私自配置静态IP，交换机可以触发对其的身份认证配置802.1x 用户的认证方法dot1x authentication-method chap|pap|eap 开启/关闭Guest VLAN 功能dot1x guest-vlan vlan-id interface in

29、terface-list 设置对802.1x 客户端的版本验证功能dot1x version-check interface interface-list 在交换机上启动了对802.1x 客户端的版本验证功能后，交换机会对接入用户的802.1x 客户端的版本和合法性进行验证，以防止使用有缺陷的老版本客户端或者非法客户端的用户上网。设置认证请求帧的可重复发送次数dot1x retry max-retry-value缺省情况下，max-retry-value 为3，即交换机最多可重复向接入用户发送3 次认证请求帧。,教育行业经典组网篇,组网拓朴图楼栋层堆叠技术介绍设备网管介绍接入层设备802.1X

30、认证介绍CAMS系统介绍用户接入配置流程日志审计系统介绍,CAMS系统介绍(Comprehensive Access Management Server,CAMS),主要功能,CAMS与华为3Com公司的系列数通产品无缝集成，支持从低端到高端各种设备的认证、计费和用户管理。其主要功能有：综合访问控制 系统和策略管理 业务管理 最终用户自助AAA服务器提供802.1X、PORTAL、PORTAL+、LDAP、VPN、PPPoE等认证功能,参考资料,CAMS用户手册CAMS需求分析与设计说明书CAMS版本说明书,CAMS系统结构,CAMS平台,Linux+Oracle或（Windows2000 S

31、erver+SQL Server）,LDAP Server,LDAP Server,计费业务组件,Portal业务组件,Proxy组件,路由器,交换机,BAS,注：DHCP只有Linux版本支持,Lan接入业务组件,软件/硬件平台,推荐配置 PC服务器-HP ML350G3可管理用户数量小于5000的情况下，服务器推荐配置：Xeon 2.8GHz CPU/512M RAM/36G SCSI,操作系统：Windows 2000 ServerWindows 2003 ServerLinux ES3.0数据库:SQL Server 2000Oracle8i、Oracle9iIE浏览器:Microso

32、ft Internet Explorer浏览器5.5及以上版本,准备及安装,正确安装Windows 2000 Server并安装各补丁程序（或正确安装Linux ES3操作系统），下面以Windows 2000 Server为例进行介绍正确安装SQL Server 2000并安装SP3升级包（或正确安装oracle8i、oracle9i），下面以SQL Server 2000为例进行介绍设置SQL Server 2000身份验证为“SQL Server和Windows”安装各组件的前提都是需要正确安装配置管理台（即先安装平台）确保SQL Server正确安装并启动进入Platform_Inst

33、allers目录并执行文件install.exe。选择安装语言后点“”，此处选“中文简体”（需要安装英文版本选择英文安装、中文版本选择中文安装）在许可协议窗口中选择“本人接受许可协议条款”，点“下一步”安装模式选择“完全安装”,配置数据库信息窗口中输入正确的信息“数据库”:输入数据库服务器的地址，如果数据库安装在本机可以输入“sa密码”:数据数据库管理员密码“cams用户密码”:设置cams用户密码组件安装与平台安装步骤相同，在此省略,安装平台,启动CAMS,配置管理台（平台）：默认情况，随系统启动也可以在系统启动后通过“控制面版”-“管理工具”-“服务”启动Huawei-3Com Web S

34、erver协议处理（后台）默认情况，随系统启动也可以在系统启动后通过“控制面版”-“管理工具”-“服务”启动Huawei-3Com CAMS Monitor,注册CAMS,收集系统信息进入安装目录下（默认安装为c:cams）cd c:camscamstool user此时，将在安装目录下生成一个user.cif的系统信息文件,将该文件发送华为3Com技术有限公司以获取License文件,注册CAMS,使用License文件注册拷贝用户得到合法的License文件（以cams.license为例）到CAMS的安装路径中进入CAMS安装路径（默认安装为c:cams）cd c:camscamstoo

35、l-r cams.license如果操作成功，系统会返回“Register License Successfully!”的提示，重新启动系统后即可完成注册操作注意不要重复注册,用户开户流程,CAMS 系统安装完成后，首先应配置系统运行所必须的参数（系统配置），确保用户、接入设备（如交换机、接入服务器等）和CAMS服务器之间可以正常接收和发送认证、计费报文，在报文可以正常交互后，再配置计费策略、服务等业务数据，最后才能进行开户操作用户开户流程：配置系统运行参数验证用户、接入设备和CAMS之间的通讯是否正常增加计费策略增加服务为用户开户用户开户过程中的输入限制和参数含义请参考CAMS联机帮助,教育

36、行业经典组网篇,组网拓朴图楼栋层堆叠技术介绍设备网管介绍接入层设备802.1X认证介绍CAMS系统介绍用户接入配置流程日志审计系统介绍,用户接入配置流程,1,配置接入层设备、汇聚、核心设备间的路由和VLAN，以确保能在接入设备上PING通CAMS服务器，未认证前PC能与CAMS间相互PING 通。（前面规划交换机路由章节）2，配置接入层交换机参数：堆叠、SNMP、802.1x。（前面相关章节）3，在安装好的CAMS上配置好所有相关参数：接入设备参数，计费策略，服务，用户账号等。（见CAMS详细介绍胶片）4，在PC机安装相应版本客户端软件，重启后用相应的账号及密码登陆验证。,注意事项：,1，开工

37、前，请将交换机版本升级至最新版本，请自行在我们主页上用low/123登陆，在用户服务/软件中心/交换机/下载 2，注意PC机WINXP系统，要取消WINDOWS自带的802.1x身分验证客户端，安装客户端时要重启。3,注意安装CAMS时请使用最新的版本，802.1x客户端版本也要使用最稳定最新的版本。4，交换机上行端口不能配置DOT1X相关参数，其它接口下面不要忘了启dot1x version-check 版本检测命令5，CAMS里接入设备参数要确定有所要接的NAS设备IP6，请注意查询日志询下的认证失败日志的原因，对于排除验证不能过有很大帮助关于其它问题请参考 CAMS用户手册CAMS需求分析与设计说明书CAMS版本说明书,日志审计系统介绍,教育行业经典组网篇,组网拓朴图楼栋层堆叠技术介绍设备网管介绍接入层设备802.1X认证介绍CAMS系统介绍用户接入配置流程日志审计系统介绍,EAD与设备无关特性简介,Questions？,华三南京办教育系统部：李良权电话:025-83713227手机,