计算机网络管理案例第十章校园网管理与维护案例分析

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,网络管理,主讲：赵春晓,校园网是为学校师生提供教学、科研和综合信息效劳的宽带多媒体网络。它是在学校范围内，在一定的教育思想和理论指导下，为学校教学、科研和管理等教育提供资源共享、信息交流和协同工作的计算机网络，它不仅提供了全校师生访问Internet的功能，还是一个具有交互功能和专业性很强的局域网络。学校门户网站、网络教学平台、信息资源、网上图书馆等数字校园平台，都可以通过网络运行工作，校园网应为学校教学、科研提供先进的信息化环境。本章以高校校园网设计、管理与维护中的一些技术、应用系统作为案例进行介绍和分析，以帮助读者更好地掌握一个大规模复杂网络管理与维护的经验、技术。,第10章校园网管理与维护案例分析,10.1 校园网建设与开展历程,10.2 校园网的根本功能,10.3 校园网的设计案例分析,10.4 校园网的综合管理技术,10.5 校园网计费管理,10.6 校园网平安管理技术,第10章校园网管理与维护案例分析,高校校园网一直是国内Internet开展的领头羊。中国教育和科研计算机网CERNET始建于1994年，是全国第一个IPv4主干网。也就是同一年，清华北大等顶尖大学建成了自己的校园网，事实上这些网络也是中国Internet的开端。高校校园网从1994年的启动建立到现在的16年间，无论是高校校园网的网络技术，还是高校校园网的关注要点，大致可以分为3个阶段。,10.1 校园网建设与开展历程,第一个阶段是根底设施建设时期，时间大约从1994年到2000年。这期间各种网络技术在高校同时都有应用，如以太网技术、FDDI、ATM网络技术。在这个阶段，由于校园网应用的技术比较繁杂，而且业务相对单一，因此，主要关注网络的连通性和兼容性，即如何保证校园网的连通，以及各种不同网络技术的兼容和融合。,10.1 校园网建设与开展历程,高校校园网一直是国内Internet开展的领头羊。中国教育和科研计算机网CERNET始建于1994年，是全国第一个IPv4主干网。也就是同一年，清华北大等顶尖大学建成了自己的校园网，事实上这些网络也是中国Internet的开端。高校校园网从1994年的启动建立到现在的16年间，无论是高校校园网的网络技术，还是高校校园网的关注要点，大致可以分为3个阶段。,10.1 校园网建设与开展历程,第二个阶段是应用平台建设时期，时间大约从2000年到2005年。这期间，随着网络技术的开展，各种应用也开始出现并开展迅速，包括BBS、WWW、FTP、E-mail，以及近两年流行的BT下载、视音频业务等，这些应用都对带宽提出了挑战。与此同时，网络技术，特别是以太网技术迅猛开展，1000Mbps以太网已经步入校园，万兆标准也已经公布。结合实际应用和网络技术来看，这个阶段主要关注带宽和应用。,10.1 校园网建设与开展历程,第三个阶段是信息资源建设时期，时间从2005年至今，乃至今后的相当长的一段时期。近几年，万兆以太网已经开始在高校校园网中规模化应用，下一代以太网标准也已经确立为10万兆标准。同时，随着中国下一代互联网工程CERNET 2的启动，IPv6技术也已经在校园网中实验并逐步应用。当根底设施、应用平台建设之后，信息资源的丰富与否决定了校园网络的真正价值。当信息资源充分丰富后，人们的工作、学习、生活、娱乐完全离不开网络，网络的平安与可信又成为头等重要的问题。纵观这几年整个网络世界，平安事件频发：冲击波、震荡波、ARP攻击等。所以，平安可信成为了高校校园网当前关注的要点。,10.1 校园网建设与开展历程,第一阶段更注重校园网是数字校园的根底平台，校园网升级改造成为各个高校的热点，从核心设备到终端效劳，更多的是强调精细化管理，强调校园网的可靠性和稳定性，以更好地满足数字校园建设的支撑平台的作用。,简单来说，对于校园网：丰富的应用是关键，稳定可靠的网络是根底，完善的平安和管理手段是保障。,10.1 校园网建设与开展历程,10.1 校园网建设与开展历程,10.2 校园网的根本功能,10.3 校园网的设计案例分析,10.4 校园网的综合管理技术,10.5校园网计费管理,10.6 校园网平安管理技术,第10章校园网管理与维护案例分析,校园网具有不同于其他网络的特点，不同的是在校园网中效劳的对象主要是师生员工，校园网提供了一种促进教学、科研与生活的网络环境。,1办公自动化,学校信息网络中心购置或开发基于Web的办公自动化系统OA，Office Automation，基于Web综合管理信息系统，提供行政、人事、学籍、教学、后勤、财务管理、公文收发管理、教师档案管理、学生档案管理、科技档案管理等，使学校日常办公无纸化，减少办公开支，提高办公效率。,10.2 校园网的根本功能,2网络多媒体教学,将计算机多媒体视听引入课堂教学，使声音、图像、动画的普遍采用可以大大提高教学效果，使每一节课都能够得到有效的作用。,3学生自主学习,针对不同的学生，提供不同的教学内容，采取不同的教学手段。主要采用基于VoD、Web及FTP的课件、光盘软件、Internet资源，学生可以根据自己的需要自由选择所需内容。,10.2 校园网的根本功能,4电子图书馆,基于Web的图书音像资料供学生随时阅读，并与Internet连接，使图书馆得到进一步拓展，使学生能够得到近乎无限的网上资源。,5电子邮件,电子邮件是Internet上的一个最重要的应用，将为每一位教师和学生开设一个电子邮件账号，利用电子邮件学生可以和老师、同学及家长进行交流，同时也可以和国内外等地学校的学生进行交流。,10.2 校园网的根本功能,6远程教育,实现校内外连通、师生在线、交互式学习、辅导、测验等功能。,7校园一卡通工程,利用IC卡易于管理的特性，结合校园网络，轻松实现学生学期注册、考试、教务管理，机房上机管理，食堂餐饮管理，图书借阅管理等多种IC卡应用，从而为学校开源节流、降低管理费用。,8校园移动计算,采用有线和无线网络混合建构，方便学生、老师移动上网学习和办公。,10.2 校园网的根本功能,10.1 校园网建设与开展历程,10.2 校园网的根本功能,10.3 校园网的设计案例分析,10.4 校园网的综合管理技术,10.5校园网计费管理,10.6 校园网平安管理技术,第10章校园网管理与维护案例分析,1校园网模块化、层次化设计理念,近年来，校园网的建设在国内高校如火如荼地开展，几乎所有的高校都建设有校园网络，而且校园网规模较大，有的重点大学校园网用户数到达2万3万，属于比较大型的网络，一般规模的校园网，用户数也在万人左右。校园网是一个包罗万象的网络，应用了各种较新的产品和网络技术。,10.3 校园网的设计案例分析,从建设校园网的过程来看，校园网也是一个较为复杂的网络。纵观国内大局部高校近10年来建设的校园网，主要表达了网络设计模块化、层次化的设计理念，即建设包含出口、核心、会聚、接入等多层次的网络。根据学校建筑规划，将整个网络进行了功能区的划分，分为教学区、办公区、学生宿舍区、后勤效劳区、家属区、数据中心、网络中心等较大的逻辑区域，将教学楼、办公楼、学生宿舍区、家属区、后勤效劳区等园区交换网作为整个网络的承载根底，根本都是基于三层架构进行划分，分为核心层、会聚层和接入层。,10.3 校园网的设计案例分析,2校园网设计案例分析,本节以星网锐捷网络公司提供的一个校园网设计方案作为案例进行介绍，从中可以学习到设计大型网络的理念和经验。该方案表达了主干网络结构按层次化、模块化原那么进行设计的理念，由核心层、分布(会聚)层、接入层三大局部构成校园网络。主干网络采用万兆以太网技术来建设，保证大规模的数据交换快速、稳定和高效。,10.3 校园网的设计案例分析,针对一个高校，校园网按教学区、办公区、学生宿舍区、图书馆等划分为假设干个逻辑区域，每个逻辑区域设立一个逻辑区域的会聚主节点，下联多个会聚层设备和多个接入层设备。校园网所需要的网络设备主要为路由器、防火墙、核心交换机、会聚交换机和接入交换机，各单体建筑所需要的接入交换机台数根据该单体建筑所需的信息点位总数确定。根据实际应用情况，对于网络性能要求较高的行政办公楼、计算中心机房、数据中心和上网人数较为密集的区域可采用两台交换机组成会聚节点，实行双机热备，以充分保证网络的稳定性和可靠性。,10.3 校园网的设计案例分析,校园网设备选型要充分考虑满足校园网的主要性能指标，采用国内外技术领先、成熟的网络产品，实现高可靠性、稳定性。对校园网出口策略、路由协议、IP地址规划、VLAN划分及校园网计费系统、支持802.1X认证、网络管理系统、网络流控系统、负载均衡、网络平安系统等都需要逐步详细分析和规划设计。在综合布线系统设计时，一般要求，校园网从核心节点到各个区域的会聚主节点、从会聚主节点到各个楼宇的会聚节点根据实际布线距离通过单模/多模光纤实现万兆互联。图10.1给出了一个比较流行的主干网络结构设计图。,10.3 校园网的设计案例分析,10.3 校园网的设计案例分析,该方案具有如下一些设计特点：,1负载均衡、冗余备份的出口设计。,2骨干交换网络高性能、稳定可靠性。,3有效的平安和管理措施。,4对WLAN无线局域网的支持。,5全面支持IPv4向IPv6的分阶段、分步骤平滑过渡。,10.3 校园网的设计案例分析,10.1 校园网建设与开展历程,10.2 校园网的根本功能,10.3 校园网的设计案例分析,10.4 校园网的综合管理技术,10.5校园网计费管理,10.6 校园网平安管理技术,第10章校园网管理与维护案例分析,近年来，校园网建设取得了丰硕的成果，根本上各个高校实现了高带宽、广覆盖、可运营、可管理的数字化校园硬件平台，特别是在根底设施建设方面，完成了万兆校园网改造、升级，解决了骨干带宽、出口带宽的问题；大规模地建设了学生宿舍区和新校区的网络，实现了校园网络的大范围覆盖；开展了认证、计费、管理和网络平安方面的建设。,对于校园网的管理来说，不仅仅是技术层面上的问题，还有管理层面上的问题。在以技术进行管理的同时，必须针对网络管理人员和用户出台相应的网络管理规章制度，以保障网络平安、稳定、可靠地运行。,10.4 校园网的综合管理技术,10.4.1 校园网网络管理的主要内容,10.4.2 IP地址管理及路由规划,10.4.3 802.1x认证管理技术,10.4.4 网络管理平台案例介绍,10.4 校园网的综合管理技术,总地来说，校园网管理分两条线，其中配置管理、性能管理、故障管理结合为一点，统称为设备性能管理；另一分支那么由平安管理和计费管理两个功能域组成。,1配置管理,配置管理是管理所有网络设备，随时掌握网络内的网络设备的增减和变动，对所有的网络设备进行参数配置，并对设备的数据参数要严格备份，当出现故障时，技术人员可以快速重置恢复，使得网络的性能到达最优，保障网络的正常运行。高校校园网内部有交换机、路由器、防火墙、应用效劳器，对于这些核心设备必须将相关的配置保存下来，便于设备出现故障后及时地恢复原有的配置。,10.4.1 校园网网络管理的主要内容,具体内容包括：,(1)设置开放系统中有关路由器、交换机相关操作的参数；,(2)被管对象和被管对象组名字的管理；,(3)根据要求收集系统当前状态的有关信息；,(4)获取系统重要变化的信息；,(5)更改系统的配置。,10.4.1 校园网网络管理的主要内容,2性能管理,性能管理用来评估系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供效劳的性能。性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网络的性能。性能管理收集分析有关被管网络当前状况的数据信息，并维持和分析性能日志。目前高校的 P2P 流量大量占用着网络带宽，只有有效地对网络带宽进行分析统计并采取相关的措施，才能保证校园网高速地运行。一些高校使用流量控制设备对全网的流量进行分析、统计，并制定相关的策略限制 P2P 流量，保证带宽的合理使用。,10.4.1 校园网网络管理的主要内容,高校校园网性能管理典型的功能包括：,(1)收集、分析、统计校园网网络设备的信息；,(2)维护并检查系统状态日志；,(3)确定自然和人工状况下系统的性能；,(4)制定相关的管理措施保证校园网的合理使用。,10.4.1 校园网网络管理的主要内容,3故障管理,为保障网络系统的高稳定性,在网络出现问题时,必须判断故障所在节点并进行恢复。它包含所有以节点运行状态、故障记录的追踪与检查及平常对各种通信协议的测试。网络故障管理包括故障检测、隔离和纠正三方面，应包括以下典型功能：,(1)维护并检查错误日志；,(2)接受错误检测报告并作出响应；,(3)跟踪、识别错误；,(4)执行诊断测试；,(5)纠正错误。,10.4.1 校园网网络管理的主要内容,对网络故障的检测依据对网络组成部件状态的监测。不严重的简单故障通常被记录在错误日志中，不作特别处理；而严重一些的故障那么需要发生“警报。一般网络管理系统应根据有关信息对警报进行处理，排除故障。当故障比较复杂时，网络管理系统应能执行一些诊断测试来区分故障原因。,10.4.1 校园网网络管理的主要内容,4平安管理,为防范不被授权的用户擅自使用网络资源，非法登录网络核心设备，对配置参数进行删改，以及用户蓄意破坏网络系统，要做好严密又标准的平安措施，如合法设备的存取访问控制和防火墙的控制策略等。,校园网及其信息系统所面临的平安威胁既可能有来自校园网外部的平安威胁，又可能有来自校园网内部的平安威胁。因此使用单一的技术手段难以抵挡内外部的平安威胁。,10.4.1 校园网网络管理的主要内容,目前校园网采取的平安措施主要包括：,(1)运用访问控制列表和VLAN隔离技术；,(2)内网和外网分别使用防火墙技术进行端口的过滤；,(3)安装网络版杀毒软件和系统漏洞补丁安装程序；,(4)使用入侵检测系统、入侵防御系统等。,10.4.1 校园网网络管理的主要内容,5计费管理,计费管理可以掌握每个用户网络使用时间，对局部网络做出使用统计，控制和标准每个用户的上网。计费管理系统能够实现事前的身份认证和准确定位、事中的实时处理、事后的完整日志审计。,事前的认证和定位是指可严格实现用户身份识别，根据用户账号、密码、MAC 地址、IP 地址、交换机 IP、交换机端口号、用户所在VLAN的灵活组合，来识别用户身份，将网络中的虚拟用户和生活中的真实用户相对应。,10.4.1 校园网网络管理的主要内容,事中的实时处理是指对于正在使用网络的用户，如果出现私自拨号上网、使用代理、更改IP地址等，认证计费系统会强制用户下线。,事后的日志审计是指记录用户上网的详细信息 包括用户名、IP、MAC等及完整的用户访问外网的记录包括源IP、目的IP、源端口、目的端口、访问时间，一旦出现平安事件，可以进行快速完整的审计，迅速定位到个人。,10.4.1 校园网网络管理的主要内容,具体内容包括：,(1)设置开放系统中有关路由器、交换机相关操作的参数；,(2)被管对象和被管对象组名字的管理；,(3)根据要求收集系统当前状态的有关信息；,(4)获取系统重要变化的信息；,(5)更改系统的配置。,10.4.1 校园网网络管理的主要内容,10.4.1 校园网网络管理的主要内容,10.4.2 IP地址管理及路由规划,10.4.3 802.1x认证管理技术,10.4.4 网络管理平台案例介绍,10.4 校园网的综合管理技术,1IP地址管理及路由规划概述,IP地址管理与分配是日常网络管理中必不可少的一件工作。对每一个校园网用户计算机、每一个校园网内的效劳器，都需要分配IP地址，连接计算机网络。各个高校实际获得IP地址主要有两个途径。,1教育网IP地址。中国教育和科研计算机网(CERNET)是全国性学术计算机互联网络，全国各省市大局部高校都接入了该网络。目前高校主要从CERNET申请分配得到多个C类公网IP地址，作为与国际互联网互联的地址。,2运营商分配的公有IP地址。很多高校为了丰富出口，不仅接入CERNET，还接入了如中国电信、中国联通等其他ISP，由此申请到一局部公网IP地址，不过这一局部地址数量较少。,10.4.2 IP地址管理及路由规划,随着网络规模扩大，校园网中不仅网络用户需要分配IP地址，所有网络设备和通信链路需要IP地址，设备和链路地址也将会消耗很大一块地址空间。目前，IPv4地址的紧张已是不争的事实，大局部高校申请到的IP地址缺乏以分配给全校所有设备使用。目前各个高校比较普遍的做法是在校园网内大量使用私有IP地址。私有地址private address属于非注册地址，专门为组织机构内部使用。校园网用户采用私有IP地址是一种无奈的选择，NAT网络地址转换只是一种过渡性的技术，扼杀了Internet中对等通信本质，并且使得有些应用系统无法正常运行。,10.4.2 IP地址管理及路由规划,IP地址规划必须全校统一考虑，尽可能考虑到今后和其他院系互联后的地址冲突问题。对校园网中所有网络设备IP地址和链路上IP地址均采用私有IP地址，网络设备和链路私有IP地址对外不可访问，校外用户不可能通过扫描、跟踪和远程登录的方法来了解校园网的结构或访问网络设备，提高了网络平安性。对于广阔网络用户来说，如果具有足够的公网IP地址资源，尽可能分配公有IP地址，因此对用户和所有网络应用系统不产生任何负面影响。,10.4.2 IP地址管理及路由规划,对于校园网中路由规划，骨干网络一般采用OSPF路由协议，OSPF协议在整个骨干网中不会引起路由回环，利于校园网骨干网络的健壮性。在会聚与核心交换机之间采用OSPF路由的方式，OSPF路由的方式可以减少网络中心技术人员对于校园网的维护量。OSPF在校园网中只在核心骨干中进行运行，这样大大减少了骨干节点之间OSPF协议的收敛周期，在实际应用的过程中可以提高校园网高稳定性。,10.4.2 IP地址管理及路由规划,2IP地址分配方式,1静态IP地址分配方式,静态分配IP地址是对校园网内每一台入网计算机都分配一个固定的IP地址，一个客户端对应一个IP地址。优点是管理目标较为明确；缺点是管理工作量大，网络中心人员需要对每一个入网计算机进行登记管理，同时静态分配IP 地址的合法用户分配的地址可能被非法盗用，对网络的正常使用造成影响。这种方式比较适合于固定办公地址的教师用户使用，而对学生宿舍区使用，管理难度加大，必须结合其他技术进行限制。,10.4.2 IP地址管理及路由规划,2动态IP地址分配方式,动态分配IP地址是指当用户计算机需要联入网络工作时，系统在所掌握的可分配IP地址空间中，随机挑选一个给用户使用的 IP 地址分配方式。对于用户较多的网络，采用动态分配IP地址是一种十分方便的IP管理方式。IP 地址的动态分配是通过TCP/IP的动态主机配置协议DHCP进行的，由于校园网络规模的不断扩大，简单的动态分配地址的方式已经不再适合校园网络的应用，涉及的问题主要有：简单的动态分配一般是在单一的子网中进行的，校园网络一般有很多的子网，这就需要与有DHCP relay功能的设备相结合来解决。,10.4.2 IP地址管理及路由规划,简单的动态分配的网络中，客户端可以私自设置静态的 IP 地址，从而使客户端的IP 地址产生冲突。解决冲突问题需要与设备相结合，使客户端只能够使用动态 IP 地址，自行设置静态地址时，网络自动断开客户端。目前比较通用的做法是采用对RADIUS 效劳器的客户端IP 接入限制功能进行限制。为了防止用户私设 DHCP 效劳器，扰乱正常的DHCP效劳器工作，可以通过在接入交换机上设置限制非DHCP 效劳器接入端口的效劳来限制。目前大局部网络设备厂商的交换机内置DHCP 效劳器实现全网的DHCP效劳器的分散，防止单点故障；核心交换机也可以支持防私设DHCP效劳器。,10.4.2 IP地址管理及路由规划,3IP地址盗用防范技术,1地址盗用的根本途径,IP 地址盗用是校园网中非常常见的一种现象。IP地址盗用侵害了 Internet 的正常用户的权利，并且给网络计费、网络平安和网络运行带来了较大的负面影响。IP盗用的根本途径包括静态修改IP 地址、成对修改 IP-MAC 地址、动态修改IP地址。静态修改IP地址只能盗用处于同一子网内的 IP 地址。现在的一些兼容网卡其MAC 地址可以使用网卡配置程序进行修改，如果将一台计算机的 IP 地址和 MAC 地址都改为另外一台合法主机的IP地址和MAC地址，这就是成对修改IP-MAC地址盗用。动态修改IP地址就是伪造某台主机的 IP 地址的技术。,10.4.2 IP地址管理及路由规划,2)IP地址盗用防范措施,IP地址盗用的手段一直在不断地更新，这也要求网络管理者采用更先进的IP地址防盗技术。当前IP地址防盗用技术主要是通过各种“绑定的方法实现的。现行的几种防盗措施包括：路由器隔离；“双绑定策略；利用IP地址、MAC地址和身份认证相结合的方法；动态配置MAC 地址；用PPPoE协议进行用户认证等。,10.4.2 IP地址管理及路由规划,(1)路由器隔离具体的实现方法有两种：使用静态路由表，即在路由器中建立一个 MAC 地址与 IP 地址的对应表，只有“MAC-IP地址对合法匹配的机器才能得到正确的ARP应答；还可以通过SNMP定期扫描网络各路由器ARP表，获得当前IP-MAC对照关系，与存储的合法 IP-MAC地址进行比较，不一致者即为非法访问。,(2)“双绑定策略是通过把 MAC与IP 地址、IP地址与交换机端口进行双绑定。由于用户所连接交换机的物理端口的不可改变性，从而真正实现了用户 IP 与 MAC 的一一对应。,10.4.2 IP地址管理及路由规划,(3)利用IP 地址、MAC 地址和身份认证相结合的方法，对防范同时盗用 IP 地址和 MAC 地址的盗用行为有一定的作用，属于该类的具体方案有利用代理效劳器和防火墙相结合的方案、利用在系统中增加透明网关的方案等，MAC 地址只会在数据链路层中出现，且MAC的唯一性实质上只需在某个局部的网络内部唯一，因此可以通过动态配置 MAC 地址的方法防止IP 盗用，此方法能彻底杜绝 IP 地址盗用。但是在使用这种方法时，需要设计一个软件来完成动态 MAC 地址的分配、合法用户的认证以及是否对其开放外部网络等操作。实现并不困难，有很强的可操作性。,10.4.2 IP地址管理及路由规划,(4)在校园网络中使用 PPPoE 的认证方式主要是解决学生宿舍、教工宿舍以及一些分布比较分散的客户端上网问题，还可以解决ARP攻击及欺骗等方面的问题，因为PPPoE 不使用ARP，也就不存在ARP 攻击。但是，PPPoE在校园网内部不适合整体使用，对分散用户如家属区等比较适合。采用 PPPoE 接入方式，不需要设置固定 IP 地址、默认网关和域名效劳器。即使在用户乱设造成 IP 地址冲突的情况下，依然可以正常上网。它对通过成对修改 IP-MAC 地址来盗用 IP地址有很好的防范效果。,10.4.2 IP地址管理及路由规划,(5)接入层防proxy的功能，针对大学生的技术性较强，在实际应用的过程中应当充分考虑到学生的proxy的使用。对于proxy的防止，很多网络设备厂商的交换机支持802.1x 认证，并且设计了相应的认证客户端程序，一旦检测到用户 PC 上存在两个活动的 IP 地址，不管是单网卡还是双网卡，交换机都将会下发指令将该用户直接踢下线。,(6)防止对DHCP 效劳器的攻击。对很多用户私设DHCP Server扰乱校方DHCP Server使用的行为，很多网络设备厂商的交换机支持禁止私设 DHCP Server，可以防止非法DHCP Server的存在。,10.4.2 IP地址管理及路由规划,(3)利用IP 地址、MAC 地址和身份认证相结合的方法，对防范同时盗用 IP 地址和 MAC 地址的盗用行为有一定的作用，属于该类的具体方案有利用代理效劳器和防火墙相结合的方案、利用在系统中增加透明网关的方案等，MAC 地址只会在数据链路层中出现，且MAC的唯一性实质上只需在某个局部的网络内部唯一，因此可以通过动态配置 MAC 地址的方法防止IP 盗用，此方法能彻底杜绝 IP 地址盗用。但是在使用这种方法时，需要设计一个软件来完成动态 MAC 地址的分配、合法用户的认证以及是否对其开放外部网络等操作。实现并不困难，有很强的可操作性。,10.4.2 IP地址管理及路由规划,10.4.1 校园网网络管理的主要内容,10.4.2 IP地址管理及路由规划,10.4.3 802.1x认证管理技术,10.4.4 网络管理平台案例介绍,10.4 校园网的综合管理技术,1802.1x协议介绍,802.1x协议起源于802.11协议IEEE的无线局域网协议，制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE 802 LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备(如局域网交换机)，就可以访问局域网中的设备或资源。在早期企业有线局域网应用环境下并不存在明显的平安隐患。,10.4.3 802.1x认证管理技术,随着移动办公及驻地网运营等应用的大规模开展，效劳提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制。,802.lx就是IEEE为了解决基于端口的接入控制而定义的一个标准。IEEE 802.1x 协议是标准化的符合 IEEE 802 协议集的局域网接入控制协议，其全称为基于端口的访问控制协议(port base network access control protocol)，能够在利用IEEE802 局域网优势的根底上提供一种对连接到局域网用户的认证和授权手段，到达接受合法用户接入、保护网络平安的目的。,10.4.3 802.1x认证管理技术,2802.1x认证技术在组网中的应用,按照不同的组网方式，802.1x认证可以采用集中式组网(会聚层设备集中认证)、分布式组网(接入层设备分布认证)和本地认证组网。不同的组网方式下，802.1x认证系统实现的网络位置有所不同。,10.4.3 802.1x认证管理技术,2802.1x分布式组网(接入层设备分布认证),802.1x分布式组网是把802.lx认证系统端放在网络位置较低的多个LAN Switch设备上，这些LAN Switch作为接入层边缘设备。认证报文送给边缘设备，进行802.1x认证处理。这种组网方式的优点在于，它采用中/高端设备与低端设备认证相结合的方式，可满足复杂网络环境的认证。认证任务分配到众多的设备上，减轻了中心设备的负荷。,10.4.3 802.1x认证管理技术,802.lx分布式组网方式非常适用于受控组播等特性的应用，建议采用分布式组网对受控组播业务进行认证。如果采用集中式组网将受控组播认证设备端放在会聚设备上，从组播效劳器下行的流在到达会聚设备之后，由于认证系统还下挂接入层设备，将无法区分最终用户，假设翻开该受控端口，那么会聚层端口以下的所有用户都能够访问到受控组播消息源。反之，如果采用分布式组网，那么从组播效劳器来的组播流到达接入层认证系统，可以实现组播成员的精确粒度控制。,10.4.3 802.1x认证管理技术,3802.1x本地认证组网,802.1x的AAA认证可以在本地进行，而不用到远端认证效劳器上去认证。这种本地认证的组网方式在专线用户或小规模应用环境中非常适用。它的优点在于节约本钱，不需要单独购置昂贵的效劳器，但随着用户数目的增加，还需要由本地认证向RADIUS认证迁移。,10.4.3 802.1x认证管理技术,3802.1x认证的特点,802.1x认证系统提供了一种用户接入认证的手段，它仅关注端口的翻开与关闭。合法用户(根据账号和密码)接入时，端口翻开；而非法用户接入或没有用户接入时，端口处于关闭状态。认证的结果在于端口状态的改变，而不涉及其它认证技术所考虑的IP地址协商和分配问题，是各种认证技术中最为简化的实现方案。,10.4.3 802.1x认证管理技术,注意802.1x认证技术的操作粒度为端口，合法用户接入端口之后，端口始终处于翻开状态，此时其它用户(合法或非法)通过该端口接入时，不需认证即可访问网络资源。对于无线局域网接入而言，认证之后建立起来的信道(端口)被独占，不存在其它用户非法使用的问题。但如果802.lx认证技术应用于宽带IP城域网，就存在端口翻开之后，其它用户(合法或非法)可自由接入且难以控制的问题。因此，在提出可运营、可管理要求的宽带IP城域网中如何使用该认证技术，还需要谨慎分析所适用的场合，并考虑与其它信息绑定组合认证的可能性。,10.4.3 802.1x认证管理技术,4基于802.1x+RADIUS 在校园网中的应用实例,对于高校园区网络，平安性问题不仅来自外部网络，更主要的威胁还是来自内部网络，很多学生出于好奇心或其它心理而采取的网络地址盗用、网络攻击等方式无疑是网络系统中的一个隐患，如何有效地设计平安接入和灵活计费方案是一个很重要的问题。,在校园三层网络架构的根底上，802.1x与RADIUS主要用于校园网用户平安认证与计费系统上。目前一些主流的网络平安产品和计费系统都开发了支持802.1x的认证系统，近年来各网络设备厂商生产的主流交换机在物理硬件上都支持802.1x协议。,10.4.3 802.1x认证管理技术,通过对接入层设备以及后台计费效劳器的RADIUS 认证进行配置，可以简单实现校园网上的 802.1x 认证功能。以下通过锐捷网络的一个认证计费应用实例具体说明如何通过 802.1x 配置及后台 RADIUS 配置来实现平安接入和计费。,10.4.3 802.1x认证管理技术,采用锐捷平安接入和灵活计费802.1x方案具有以下优点：,1一次同时认证用户名、IP、MAC。在进行802.1X认证时，客户端同时提交用户名、IP、MAC，一次认证即同时完成用户名、IP、MAC三者的认证。这样，其它用户盗取用户账号或IP或MAC或三者中任两者都无法假冒真正用户。更重要的是，这些都只需简单地在RADIUS效劳器上设置单一的表格即可实现基于全宿舍网甚至全校的接入控制认证。,10.4.3 802.1x认证管理技术,2分布式认证方式，防止出现单一故障点。各接入交换机如S2024堆叠系列交换机、S1924G+/F+接入交换机等直接完成接入认证，不容易单点故障；同时，还可提高认证效率.,10.4.3 802.1x认证管理技术,3认证流和业务流实现别离，实现高效的认证，防止出现用户无法认证的情况。,802.1x认证协议的核心设计思想是交换和控制的别离，认证流和业务流的别离。通过端口可以是交换机的物理端口、用户PC的MAC地址，也可以是VLAN ID的两个逻辑通道：非受控端口和受控端口来实现对用户的控制。非受控端口始终关闭，只允许认证流上来；受控端口走业务流，始终翻开，只有通过认证才能关闭，用户的业务才能上来。,10.4.3 802.1x认证管理技术,当用户认证流上来后，通过非受控端口进入交换机，由交换机协议体系提取用户名和密码对用户身份进行认证；当用户通过认证后，受控端口关闭，用户的业务流可以上行。这一点很类似于窄带交换网的7号信令系统，控制信令和语音数据的别离。基于交换与控制别离的设计思路，802.1x认证协议实现简单、高效，认证的容量很大，可以保证用户及时通过认证，在网络流量大、认证用户数多时不会对设备的性能产生影响，保证整个网络高效、稳定地运行。,10.4.3 802.1x认证管理技术,4灵活扩展计费功能。通过RADIUS效劳器，802.1x完全支持计费功能。同时，支持对用户离线信息的检测，对于后续开展基于按时计费的增值效劳有利。当用户因电脑死机或异常关闭造成非主动下线，如果没有一种定期检测用户是否在线的机制，那么会造成按时计费信息的不准。802.1x认证设置了对用户离线的检测机制，定期会由认证系统对在线用户进行一次握手，如果用户仍在线，那么其客户端会响应认证系统的检测请求；如果用户不在线，那么其客户端不会响应认证系统的检测请求，在三次握手不成功后，就会中止计费信息。同时，由于用户名/密码跟特定用户的IP、MAC捆绑，用户无须担忧用户名/密码泄露引起不必要的麻烦。,10.4.3 802.1x认证管理技术,10.4.1 校园网网络管理的主要内容,10.4.2 IP地址管理及路由规划,10.4.3 802.1x认证管理技术,10.4.4 网络管理平台案例介绍,10.4 校园网的综合管理技术,本节选择H3C iMC作为专业网络管理平台软件进行介绍，可以从中学习到利用专业的网络管理平台进行网络管理的一些经验。,H3C提供包括网络管理、用户管理、业务管理等全面的管理解决方案：H3C智能管理中心H3C Intelligent Management Center，H3C iMC。,10.4.4 网络管理平台案例介绍,本节选择H3C iMC作为专业网络管理平台软件进行介绍，可以从中学习到利用专业的网络管理平台进行网络管理的一些经验。,H3C提供包括网络管理、用户管理、业务管理等全面的管理解决方案：H3C智能管理中心H3C Intelligent Management Center，H3C iMC。,10.4.4 网络管理平台案例介绍,本节选择H3C iMC作为专业网络管理平台软件进行介绍，可以从中学习到利用专业的网络管理平台进行网络管理的一些经验。,H3C提供包括网络管理、用户管理、业务管理等全面的管理解决方案：H3C智能管理中心H3C Intelligent Management Center，H3C iMC。,10.4.4 网络管理平台案例介绍,本节选择H3C iMC作为专业网络管理平台软件进行介绍，可以从中学习到利用专业的网络管理平台进行网络管理的一些经验。,H3C提供包括网络管理、用户管理、业务管理等全面的管理解决方案：H3C智能管理中心H3C Intelligent Management Center，H3C iMC。,10.4.4 网络管理平台案例介绍,本节选择H3C iMC作为专业网络管理平台软件进行介绍，可以从中学习到利用专业的网络管理平台进行网络管理的一些经验。,H3C提供包括网络管理、用户管理、业务管理等全面的管理解决方案：H3C智能管理中心H3C Intelligent Management Center，H3C iMC。,10.4.4 网络管理平台案例介绍,本节选择H3C iMC作为专业网络管理平台软件进行介绍，可以从中学习到利用专业的网络管理平台进行网络管理的一些经验。,H3C提供包括网络管理、用户管理、业务管理等全面的管理解决方案：H3C智能管理中心H3C Intelligent Management Center，H3C iMC。,10.4.4 网络管理平台案例介绍,本节选择H3C iMC作为专业网络管理平台软件进行介绍，可以从中学习到利用专业的网络管理平台进行网络管理的一些经验。,H3C提供包括网络管理、用户管理、业务管理等全面的管理解决方案：H3C智能管理中心H3C Intelligent Management Center，H3C iMC。,10.4.4 网络管理平台案例介绍,本节选择H3C iMC作为专业网络管理平台软件进行介绍，可以从中学习到利用专业的网络管理平台进行网络管理的一些经验。,H3C提供包括网络管理、用户管理、业务管理等全面的管理解决方案：H3C智能管理中心H3C Intelligent Management Center，H3C iMC。,10.4.4 网络管理平台案例介绍,本节选择H3C iMC作为专业网络管理平台软件进行介绍，可以从中学习到利用专业的网络管理平台进行网络管理的一些经验。,H3C提供包括网络管理、用户管理、业务管理等全面的管理解决方案：H3C智能管理中心H3C Intelligent Management Center，H3C iMC。,10.4.4 网络管理平台案例介绍,本节选择H3C iMC作为专业网络管理平台软件进行介绍，可以从中学习到利用专业的网络管理平台进行网络管理的一些经验。,H3C提供包括网络管理、用户管理、业务管理等全面的管理解决方案：H3C智能管理中心H3C Intelligent Management Center，H3C iMC。,10.4.4 网络管理平台案例介绍,H3C iMC是H3C IToIP解决方案的统一管理中心，基于SOA架构，采用灵活的组件化结构，支持与HP Openview、SNMP等通用网管平台的集成，支持集成各多厂家设备管理系统，与H3C的数据通信设备产品一起为用户提供全网解决方案，帮助客户真正实现网络的按需构建。,H3C iMC作为IToIP解决方案核心管理系统，为用户提供了灵活的组件化结构，包括智能管理平台、智能配置中心iCC、ACL管理、MPLS VPN管理、用户接入管理、EAD解决方案、无线管理、EPON管理等业务组件，可以根据自己的管理需要和网络情况灵活选择需要的组件，真正实现“按需建构。H3C智能管理中心解决方案架构如图10.2所示。,10.4.4 网络管理平台案例介绍,10.4.4 网络管理平台案例介绍,由图10.2可以看出H3C iMC管理系统由智能管理平台以及各个业务组件组成，管理平台提供网络管理的一些根底功能，比方故障管理、性能管理、资源和拓扑管理、用户管理等，业务组件提供相应的业务管理功能；各个业务组件相对独立，并可以无缝地集成在管理平台中，使得整个系统具有很强的可扩展性。,H3C iMC智能管理平台实现网络资源、用户和业务的融合管理，提供根本的网络资源管理、拓扑管理、故障管理、性能管理、用户管理及系统平安管理，基于B/S架构，可以与H3C iMC 其他业务组件有效集成，形成多种解决方案。H3C iMC智能管理平台不仅可以实现H3C全线数据通信产品的管理，也可通过标准MIB实现对Cisco等各主流厂商的数据通信设备管理。,10.4.4 网络管理平台案例介绍,1系统平安管理,系统平安管理功能主要包括操作日志管理、操作员管理、分组分级与权限管理、操作员登录管理等。,10.4.4 网络管理平台案例介绍,3拓扑管理,iMC拓扑管理从网络拓扑的解决直观地提供给用户对整个网络及网络设备资源的管理。拓扑管理包括如下内容。,10.4.4 网络管理平台案例介绍,1拓扑自动发现。H3C iMC可以自动发现网络拓扑结构，支持全网设备的统一拓扑视图，通过视图导航树提供视图间的快速导航。通过自动发现可以发现网络中的所有设备及网络结构具体参见资源管理，并且可以将非SNMP设备发现出来，只要设备可以ping通即可。这样就可以将所有网络设备都列入其管理范围只要设备IP可达。同时支持自动的拓扑图呈现和自定义拓扑。自动拓扑可以自动将网络中的逻辑连接关系显示出来，同时可以保存为自定义拓扑图，并可根据具体情况进行修改，以便于网管员对整个网络设备进行监控。,10.4.4 网络管理平台案例介绍,支持对全网设备和连接定时轮询和状态刷新，实时了解整个网络的运行情况，并且刷新周期是可定制刷新周期：607200秒的，同时也支持对多个设备的刷新周期进行批量配置。,10.4.4 网络管理平台案例介绍,2支持自定义拓扑。H3C iMC的拓扑功能支持灵活的自定义功能，管理人员可以根据网络的实际组网情况和设备重要性的不同灵活定制网络拓扑，可对拓扑图进行增、删、改等编辑操作，使网络拓扑能够清晰地呈现整个校园网的网络结构以及IT资源分布。,3自动识别各种网络设备和主机的类型。H3C iMC可以自动识别H3C、Cisco等厂商的设备、Windows、Solaris的PC和工作站，其他SNMP设备和ping设备，并且以树状方式组织，以不同的图标显示区分。在拓扑图上更可进一步对设备的类型进行区分，如区分路由器、交换机、平安网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS、效劳器、PC等。,10.4.4 网络管理平台案例介绍,4设备状态、连接状态、告警状态等信息在拓扑图上可以直观显示出来。H3C iMC的拓扑功能与故障管理和性能管理紧密融合，通过图10.3能够清晰地看到北京建筑工程学院IT资源的状态，包括运行是否正常、网络带宽、接口连通、配置变化都能一目了然。多种颜色区分不同级别故障，节点图标颜色反映设备状态。,10.4.4 网络管理平台案例介绍,10.4.4 网络管理平台案例介绍,5拓扑能提供设备管理便捷入口。H3C iMC拓扑能够提供对设备管理的便捷入口，管理员只需右击拓扑图中的设备图标即可启动设备管理各项功能，实现对设备的面板管理等各项功能配置。,10.4.4 网络管理平台案例介绍,4故障告警/事件管理,故障管理，即告警/事件管理，是H3C iMC的核心模块，是iMC智能管理平台及其他业务组件统一的告警中心。iMC告警中心可以接收各种告警源的告警事件，包括设备告警、本级网管站及下级网管站告警、网络性能监视告警、网络配置监视告警、网络流量异常监视告警、终端平安异常告警等；同时通过支持对设备定时轮询，实现通断告警、响应时间告警等，以告警事件的方式上报给H3C iMC告警中心。,10.4.4 网络管理平台案例介绍,iMC告警中心根据告警脚本中的告警事件定义，接收并解析上报的告警事件；H3C iMC对接收到的告警事件进行深度关联分析，系统默认支持重复事件阈值告警、闪断事件阈值告警、未知事件阈值告警、未管理设备阈值告警，并能在故障恢复时自动确认相关告警；同时可以根据自己的需要确定事件的告警规那么，以适应网络管理需要。,10.4.4 网络管理平台案例介绍,H3C iMC提供告警知识库。告警知识是用户在维护过程中的经验总结，将这些经验输入系统，下次再出现同样的故障时，可以作为参考。选中一条告警记录，系统根据用户选中的告警记录，从告警知识库中查询出该条告警记录的维护经验，供用户进行告警处理时参考。用户将自己的日常处理经验以及业务信息及时写入数据库、更新告警知识库对以后的故障诊断与排除非常有益。,10.4.4 网络管理平台案例介绍,6设备管理组件,H3C iMC支持对H3C全系列IP产品进行设备管理，提供丰富的管理功能。通过面板管理，网络管理人员可以直观地看到设备、板卡、端口的工作状态，通过设备信息浏览监视，管理人员可以了解设备的运行情况，实时监视CPU利用率、端口利用率等重要信息。同时，H3C iMC提供图形化的配置方式，使设备功能配置不再复杂。H3C iMC向用户提供了完善的网元管理功能，通过逼真的面板图片，直观地反映了设备运行情况。,10.4.4 网络管理平台案例介绍,7无线管理组件,H3C iMC无线业务管理组件以下简称为WSM组件依托iMC智能管理平台，实现有线无线一体化的管理。用户可以获得全面的无线业务管理能力，实现AC、Fat AP、Fit AP、移动终端等无线设备的集中管理，轻松实现设备配置管理功能，并提供无线拓扑、AP设备物理位置拓扑等多种拓扑功能，对全网无线设备进行直观、有效的组织，对网络部署和设备状态一目了然，利用策略模板等功能可以实现网络和设备的批量配置，提升效率，降低维护本钱。基于Web的管理系统，为无线业务管理者提供了简便、友好的管理平台。,10.4.4 网络管理平台案例介绍,10.1 校园网建设与开展历程,10.2 校园网的根本功能,10.3 校园网的设计案例分析,10.4 校园网的综合管理技术,10.5 校园网计费管理,10.6 校园网平安管理技术,第10章校园网管理与维护案例分析,10.5.1 校园网计费管理的功能,10.5.2 校园网计费系统案例介绍,10.5 校园网计费管理,校园网计费是一个根本的需求，其计费方案随着管理理念的不断深入而逐渐完善。早期的校园网计费采用计费网关的形式，这对小型的网络比较适宜。计费网关最大的问题是处理性能会成为网络应用的瓶颈。同时随着技术的进步，交换机的处理能力越来越强，出现了分布式的网络计费。其中又以基于802.1x认证技术的计费方案最为流行。本节将提供完整的校园网计费方案，丰富的认证、计费、控制策略可以提高网络管理效率，实现以网养网。,10.5.1 校园网计费管理的功能,1准确的用户身份确认,校园网计费用户分为两类，一类是不计费，另一类是计费。无论是计费还是不计费都需要对其身份进行准确的识别。这是网络平安的需要，同时也是准确计费的需要。进行用户身份确认需要通过认证技术来实现。目前认证技术有许多，如Web认证、802.1x认证、PPPoE认证。这些认证技术各有千秋，PPPoE认证被广泛地应用在宽带小区，Web认证被应用在一些信息系统内，而802.1x认证被应用在广阔的校园内。这是因为802.1x认证最大的特点是简单，无须特殊的设备支持，同时支持任何网络应用。本方案将采用802.1x认证技术。,10.5.1 校园网计费管理的功能,2灵活的计费策略,计费策略主要有三：按时长、按流量和按带宽。从实际情况看，时长计费最普遍，流量计费最科学，带宽计费最简单。同时由于一个校园网的用户有许多类，因此可能这3种计费策略都会被采用。但是，新建和改建的校园网往往采用可操作性强、简单的按时长计费的方式，并且配合预付费的方式进行收费，从而保证了杜绝恶意欠费的发生。,10.5.1 校园网计费管理的功能,3精确的费用统计,网络使用一旦进行收费，就需要能够精确地计费，这是一个可运营的网络必备的条件。其中最需要关注的是是否会因PC死机等异常情况造成计费的不准确。因此需要一套保护机制，做到无论采用哪种计费策略、发生什么异常都能保证计费的准确。,10.5.1 校园网计费管理的功能,4人性化的网络计费,无论采用什么技术和方法都需要一套计费系统来完成计费。那么什么是好的计费系统呢？除了做到以上3点之外还需提供人性化的解决方案，能够通过优化来降低管理者的强度，提供自动化水平，同时对于用户来说又能感觉使用方便，收费合理。,10.5.1 校园网计费管理的功能,校园网计费是一个根本的需求，其计费方案随着管理理念的不断深入而逐渐完善。早期的校园网计费采用计费网关的形式，这对小型的网络比较适宜。计费网关最大的问题是处理性能会成为网络应用的瓶颈。同时随着技术的进步，交换机的处理能力越来越强，出现了分布式的网络计费。其中又以基于802.1x认证技术的计费方案最为流行。本节将提供完整的校园网计费方案，丰富的认证、计费、控制策略可以提高网络管理效率，实现以网养网。,10.5.1 校园网计费管理的功能,10.5.1 校园网计费管理的功能,10.5.2 校园网计费系统案例介绍,10.5 校园网计费管理,Dr.COM是北京城市热点公司针对高校推出的一款校园网用户认证计费管理系统，在全国多所高校得到了成功的应用。Dr.COM校园网用户认证计费管理系统是城市热点在校园网络的产品的总称，包括以下系统：,Dr.COM 2133 BRAS/2033 BMG计费管理网关,Dr.COM Billing Ware计费管理软件,Dr.COM SOLS在线用户实时管理系统,Dr.COM IDP信息发布平台,Dr.COM Client客户端,10.5.2 校园网计费系统案例介绍,Dr.COM 计费网关与 802.1x 交换机的无缝结合的用户认证授权体系是目前最为理想的用户管理模式，主要的优势有：,1计费更加准确，可以对CERNET和互联网的不同目标地址段进行分别计费。,2支持各种复杂的包月和储值卡的计费，覆盖学校当前和以后开展所需要的计费策略。可以按时间、流量、带宽等计费方式，支持包月、计量制、分档制、封顶等多种计费策略，还支持按源地址优惠、目标地址优惠、时段优惠、效劳计费策略。,3授权更加明细。设置不同的内外网上下行带宽、目标地址的访问控制。,10.5.2 校园网计费系统案例介绍,4分工更加明确。802.1x交换机负责内网端口控制，网关控制外网的访问，完成三层和四层的策略。,5升级更加容易。通过升级计费网关就可以实现大局部功能的定制，无须升级交换机。,6)高性能的Dr.COM计费网关，可以承担多地址池的NAT、8000