ProductSolution115-?2014GCOMTechnologiesCo.,LtdAllRightsReservedGCOM智慧校園解決方案深圳市新格林耐特通信技術有限公司2014年

TOC\o"1-3"GCOM智慧校園解決方案 1第一章 項目簡介 61.1 概述 61.2 需求分析 61.3 項目目標 71.3.1 出口NAT地址轉換性能 71.3.2 準確分析出口應用帶寬占比 71.3.3 精細管控出口應用帶寬 71.3.4 訪問日志記錄 7第二章 整網解決方案概述 72.1 方案原則 72.2 方案思路 82.3 方案解析 82.3.1 認證計費 92.3.2 出口優化及平安解決方案 92.3.3 IP有線網絡系統解決方案 92.3.4 校園一卡通系統解決方案 102.3.5 校園無線掩蓋解決方案 102.3.6 校園廣播及背景音樂解決方案 102.3.7 校園應用系統 102.3.8 IT運維管理系統 10第三章 A8000認證計費系統 113.1 構建“用戶順心、網管省心”平安高效認證計費平臺 113.1.1 “用戶順心，網管省心”為產品核心理念 113.1.2 注重產品“全生命周期”管理和服務 123.1.3 專注高校認證計費市場企業團隊優勢 143.1.4 2010年傾力打造高校認證計費專版 143.2 高校認證計費專版介紹 153.2.1 A8000萬兆高性能認證計費網關 153.2.2 高效、平安、穩定、高可用冗余 153.2.3 IPv6/v4雙棧 163.2.4 數字化校園統一身份認證 163.2.5 有線與無線認證計費無縫結合 173.2.6 打造平安、便利的防私接、防破解客戶端 173.2.7 基于Web2.0的B/S版本跨平臺管理軟件 183.2.8 賬號管理及把握策略 20第四章 出口優化及平安解決方案 204.1 整網平安與優化解決方案 204.2 上網行為管理 214.2.1 用戶上網日志留存解決方案 214.2.2 完整的用戶上網日志記錄 214.2.3 豐富的用戶上網行為報表 224.2.4 與NAT日志結合的用戶溯源方案 234.3 多出口鏈路優化解決方案 234.3.1 鏈路負載過程 234.3.2 入站流量負載（外部用戶訪問內部資源的流量） 234.3.3 健康檢查機制 244.3.4 鏈路負載算法 244.3.5 動態就近性 244.3.6 其他算法 244.3.7 DNS優化 254.3.8 智能路由 254.4 內容優化建議 254.5 互聯網出口平安解決方案 274.5.1 入侵檢測防守 274.5.2 抗DDOS攻擊 284.5.3 病毒檢測防護 284.5.4 惡意網址過濾 284.5.5 僵尸網絡隔離 284.5.6 WEB攻擊防護 284.6 流量分析與把握解決方案 284.6.1 流量可視化分析 284.6.2 流量趨勢分析 294.6.3 流量統計分析 294.6.4 網外流向分析 304.6.5 P2P智能流控 304.7 業務質量分析解決方案 314.7.1 業務質量分析 314.7.2 業務內容分析 324.7.3 應用分布分析 324.7.4 熱點內容分析 324.7.5 重點網站監控 32第五章 IP網絡系統解決方案 335.1 校園網需求設計需求 335.2 核心骨干網絡方案設計 355.2.1 有線無線網絡核心架構 35第六章 校園一卡通系統總體設計 376.1 網絡結構設計 376.1.1 總體網絡結構設計 376.1.2 子系統網絡結構設計 406.2 軟件結構設計 406.2.1 軟件層次結構 416.2.2 軟件應用結構 42第七章 校園無線網建設 477.1 項目背景 477.2 系統分析 477.3 系統結構圖 48第八章 全面掩蓋無線解決方案 498.1 無線網建設現狀 498.2 無線方案結構 498.3 方案特點 498.3.1 高密度接入問題 498.3.2 大規模部署問題 498.3.3 無線平安特性 508.3.4 設備牢靠性 508.3.5 無感知認證方案設計 50第九章 廣播工程系統設計方案 519.1 工程系統分析 519.1.1 系統分析 519.2 系統介紹 529.3 工程系統設備清單 639.4 工程系統功能說明 67第十章 校園應用系統 7010.1 建設規劃 7010.1.1 總體設計 7010.1.2 建設目標 7010.1.3 指導思想 7110.1.4 建設原則 7110.2 建設內容 7210.2.1 數字校園基礎平臺 7210.2.2 學生工作綜合管理平臺 7510.2.3 人事管理系統 9010.2.4 固定資產管理系統 9310.2.5 移動數字校園 104第十一章 IT運維管理系統規劃 106第十二章 勝利案例 10812.1.1 湖南大學校園網 10812.1.2 寶雞文理學院校園網 10812.1.3 重慶電子信息技術學院校園網 10912.1.4 中國科學技術大學無線校園網 10912.1.5 合肥師范學院無線校園網 11012.1.6 中國人民解放軍南京陸軍指揮學院無線校園網 110第十三章 主要設備介紹 11113.1 公司介紹 11113.2 設備介紹 11213.2.1 GN-A8000萬兆高性能認證計費網關 11213.2.2 S8600-08高密度萬兆核心交換機 11313.2.3 S5650系列萬兆平安路由交換機 11413.2.4 S2600系列運營級百兆接入交換機 11413.2.5 全系列Wlan產品 115

項目簡介概述在全國范圍內，教育行業正在投資數十億資金來提高高校信息化建設，并致力打造21世紀最好的數字化校園。數字校園是新世紀新型的大學模式，是校園信息化建設的高級階段?！皵底中@”是用層次化、整體的觀點來實施校園信息化建設，將校園網上信息進行更好的組織和分類，讓用戶在網上快速發覺自己需求的信息。為師生供應網上信息交流環境，讓管理人員科學地、規范地管理自己的數據，并將這些信息便利地發布出去。它是在傳統校園的基礎上，利用先進的信息化手段和工具，將現實校園的各項資源數字化，形成的一個數字空間，使現實校園在時間和空間上延長。它是以網絡為基礎，從環境、資源、到活動的全部數字化校園網絡及其應用系統構成整個校園的神經系統，完成校園的信息傳遞和服務。在數字校園里，可以通過現代化手段，便利地實現學校的教學、科研、管理、服務等活動的全部過程，從而達到提高教學質量、科研水平、管理水平的目的。數字化校園簡潔來說其實可以定義為三位一體，即為教學、科研和管理供應全方位的信息服務。需求分析通過對校園網的充分了解以及考慮學院的具體需求，本項目建設注重以下幾個方面：1）、穩定牢靠性教學教育信息化越來越廣泛，與學校日常教學工作緊密相連，要求校園網核心設備具有極高的穩定性和牢靠性，以保證業務的正常開展。2）、平安性在網絡穩定牢靠的基礎上，還要考慮到網絡的平安性，需要有效地抵御病毒的攻擊，同時具有日志記錄log功能等，保證整個網絡的平安運行。3）、有用性和先進性在醫療衛生系統的信息化建設中，需要網絡設備是成熟的產品，并經過大量實際應用的檢驗，同時還需要具有肯定的先進性，保證整個網絡在將來幾年內能滿意新的業務需求。4）、可擴展性在網絡設計時需要考慮到整體網絡的可擴展性，以保證后續的擴展需求。5）可管理性先進的網絡同時需要簡潔便利的維護管理，簡化和降低網絡的管理成本，提高網絡效率。項目目標出口NAT地址轉換性能聯通廣域網帶寬升級到1000M；高性能BRAS保證出口暢通；準確分析出口應用帶寬占比多少用戶在使用哪些應用；每種應用占用了多少帶寬資源。精細管控出口應用帶寬保證教學、辦公、科研的關鍵應用；分時段限制P2P應用流量。訪問日志記錄公安部要求對全部校內用戶訪問校外進行行為記錄，因此需要有一套高效的日志管理系統對出口設備的NAT日志進行收集，通過圖形化查詢界面快速查找相關日志信息。整網解決方案概述這一章節概括性的描述了校園網的整體組網和組成構件，在后面的章節里面會對每個功能模塊做詳盡的說明和分析。方案原則在本項目實施中，GCOM通信遵循如下的原則：

?

高速-通過出口設備及帶寬升級，為校園網出口有效提速；

?

智能-對出口各種應用進行精確的智能識別；

?

精細-對出口進行基于用戶及應用的精細化帶寬管控；

?

易管理-通過圖形化界面可簡潔、快速的查找相關用戶的訪問日志。方案思路針對學院網絡存在的問題和抵觸，GCOM通信在充分調研并論證的基礎上，確定了以下建設思路：100M/1000M到桌面，300M無線AP；聯通千兆出口廣域網鏈路帶寬；策略路由與NAT功能分別，采用專用的高性能NAT路由設備，提升出口網絡NAT的性能；增加應用帶寬把握設備，對出口各種應用進行智能識別，實時監控出口各應用的帶寬占用情況，為制定動態的帶寬安排策略供應數據依據；通過應用帶寬把握設備，實施動態帶寬安排，把握P2P應用對出口帶寬的過量占用，保障關鍵業務應用的帶寬安排；部署日志審計系統，與現有認證計費系統進行聯動，供應基于實名用戶的訪問日志記錄與審查，以符合公安部的日志記錄要求。方案解析本方案采用全新的產品和校園網方案，建議的整體網絡拓撲如下：圖3-1

整體網絡拓撲主要包含如下幾大系統：認證計費認證計費系統GN-S8000-PRS與出口路由器組成圓錐形的網絡框架，骨干數據流積聚于出口路由器。出口優化及平安解決方案GCOM應用層網絡設備將幫忙建立面對用戶的運營網絡，打造用戶可識別、體驗可感知、業務可把握、平安可保障的校園網智能化管道。IP有線網絡系統解決方案骨干核心交換機采用S8600-08供應全面的業務支撐，供應高效、高牢靠的主干網絡。匯聚設備采用S5650系列萬兆交換機，供應匯聚環網，滿意寬帶、WIFI、監控、背景音樂等多種業務的需求。為智慧校園后續的業務開展供應有力的網絡支撐。接入層采用可網管的S2600系列交換機，該系列交換機供應運營級的穩定性。在運營商及行業市場得到的廣泛的使用，具有極高的產品穩定性。并且，與統一網管平臺協作，可以實現精細化的管理，為整網的管理和維護供應便利。校園一卡通系統解決方案一卡通系統是一個簡單的信息化系統，他由多個不同的子系統構成，且要與多個不同的第三方應用系統連接。所以，一卡通系統的不同部分對于網絡有著不同的要求。一方面，一卡通系統與校園內部的各種信息化應用都密切相關，所以，他必需要能與校內的其他第三方應用系統有著平安的網絡連接，要接入校園網。另一方面，一卡通系統是一個包含金融服務的系統，有較高的平安性要求，需要使用獨立網絡。第三方面，一卡通系統還是一個服務系統，需要面對公眾開發，需要接入互聯網。GCOM一卡通系統的設計必需考慮上述多方面的要求，滿意校園應用的全面需求。校園無線掩蓋解決方案本項目方案設計遵循技術先進、功能齊全、性能穩定、節省成本的原則。并綜合考慮施工、維護及操作因素，并將為今后的進展、擴建、改造等因素留有擴充的余地。針對宿舍網和辦公網兩種不同的場景，進行針對性的依據不同區域特點，對應布放智分型AP、放裝型AP、和室外型AP。校園廣播及背景音樂解決方案依據國際流行趨勢，公共廣播系統將背景音樂廣播系統和消防緊急廣播系統合二為一。正常情況下，公共廣播系統除了具有播放背景音樂、廣播通知等背景音樂廣播系統功能以外，在遇到消防報警時，能對出事區域實現自動選區或手動選區進行緊急廣播。校園應用系統數字化校園是以網絡為基礎，利用計算機技術、網絡技術、通信技術等的信息化手段和工具，實現從環境(包括設備、教室等)、資源(如圖書、講義、課件等)到活動(包括教、學、管理、服務、辦公等)的全部數字化，從而構建一個數字化的校園環境。我們結合學院現有的建設基礎及需求，并充分考慮將來的擴展和升級，制定了符合學院教學和管理特點且具有高度可擴展性的數字校園整體技術架構。IT運維管理系統GCOM網絡GBNVIEW運維管理系統可擴展供應完善的學問庫，以支撐學校運維體系的建設。遵循ITIL、ISO20000標準，支持將來基于IT運維管理系統中的事件管理、配置管理、計劃任務管理三大功能的擴展，形成統一的IT運維管理系統。A8000認證計費系統構建“用戶順心、網管省心”平安高效認證計費平臺“用戶順心，網管省心”為產品核心理念GCOM產品和方案在過去十年也發生了很大的提升和優化，跟隨寬帶網絡的進展步伐。關注的重點是校園網絡的建設，以高性能計費網關作為龍頭，協作校園寬帶運營計費平臺，為各類型校園網絡供應可運營、可管理、可盈利的解決方案，高校客戶達到900多個，而寬帶認證平臺的角色越來越重要。隨著校園網絡初步建成，網絡中心關注的重點從網絡建設轉移到網絡保障、平安、應用和運營；而最終用戶，已經對網絡有嚴峻的依靠性，非常關心使用網絡的質量和體驗。所以GCOM的寬帶認證平臺的核心目標是：用戶順心，網管省心。那如何才能打造一個用戶順心和網管省心的認證計費系統呢？GCOM主要可以歸結以下幾點：用戶順心用戶順心指的是終端用戶，即最終的使用群體；而在高校里面，用戶主要就是廣闊師生，GCOM認證計費系統要做到的就是讓廣闊師生滿意，從用戶桌面認證客戶端到認證計費運營支撐系統平臺，再到A8000B-RAS認證計費網關，再到第三方接口等等，我們都要把系統做到“盡善盡美，滴水不漏”，要把用戶的體驗放在第一位，以用戶的感受為依歸，憑借GCOM豐富的閱歷和專業的售后團隊，為用戶供應最優質、最牢靠的服務。從GCOM軟件上看，例如認證客戶端方面，我們的售后客服人員7X24小時在線，實時、急躁地為用戶解答客戶端認證時遇到的問題，諸如賬號密碼錯誤、錯誤代碼分析、網絡連接問題、兼容性等問題，并供應我方整理的FAQ和客戶端安裝使用說明給用戶查閱，依據用戶需要供應客戶端二次開發定制服務，如遇到1級故障GCOM方會馬上啟動緊急服務機制，4小時內派遣技術人員供應現場服務，并于本部成立客戶故障處理專案小組，務必在短時間內解決用戶遇到的問題，問題處理完成后提交完整的服務報告和故障分析等相關文檔或資料進行備案。網管省心網管省心則指的是信息中心（網絡中心）領導和老師。隨著校園信息化建設進展得如火如荼，高校信息化系統也是越來越多，如校園一卡通、OA系統、郵件系統、信息發布系統、圖書館管理系統、教務系統等等，諸多信息化系統大部分都需要由網絡中心老師負責管理和維護，除了應用系統的維護以外，網絡中心老師主要的任務還是維護基礎校園網絡的穩定和優化，高校中少則幾百臺，多則上千臺網絡設備需要網絡中心老師來維護，所以說校園網的穩定、信息化的完善，這與信息中心老師是密不可分的，而信息中心老師又是高校教務工作系統中最吃力不討好的工作，信息中心老師所承受的壓力可想而知。GCOM2010年提出的讓“網管省心”針對的就是網管老師，如何減輕他們對認證計費系統的維護量，如何能讓他們用得更加便利，如何讓削減他們的工作量并提高工作效率等等，都是GCOM現在和將來需要面對和解決的問題。在我們900多家高校網管老師對我們系統的使用中發覺，不少網管老師認為GCOM管理系統采用C/S架構，不論在系統配置還是用戶管理中都不非常便利，C/S架構確實在互聯網高速進展的時期已經跟不上時代的腳步，GCOM也認識到了這一點，我們在2010年就作出了響應，這年是GCOM用戶高速進展的一年，更是GCOM實現自我跨越的一年，在這一年里我們發布了高校認證計費專版，該版本摒棄近10年的C/S架構，新系統基于WEB2.0的B/S架構，不但采用全新的架構來開發系統，發揮了B/S版本應用便利，配置機敏，可視化強的特點；更是把原來C/S架構中系統配置不直觀，用戶管理不便利，應用功能找不到和一些配置誤區及漏洞給完完全全的改進了，最重要的是該版本是特地針對高校應用特點而開發的，不論系統功能還是性能都是比以前版本有了質的飛躍，我們相信2011年高校認證計費專版肯定會讓網管老師耳目一新，更加讓老師們大大的省心！注重產品“全生命周期”管理和服務GCOM與校園網絡共同成長關注校園網絡“全生命周期”的不同需求學校的園區、網絡和出口的規模不斷擴大，而老師的編制并沒有同步擴大，高校網絡平安保障問題是網絡中心的老師目前最為關心的問題：如何從各個環節來保障校園網絡的正常運作，降低老師的工作量，提高自動化管理的程度呢？GCOM新一代產品校園寬帶認證平臺的重點，不光是關心網絡建設階段，更要關注到網絡進展的全生命周期：“建設—運營—保障—應用—再建設”，GCOM為各個不同的時期都供應精心的服務和長期的支持專注高校認證計費市場企業團隊優勢通過多年的積累和優化，GCOM的優勢在不斷擴大，不僅體現在產品優勢，更重要是體現其企業長期積累的優勢：員工從業素質和閱歷，員工和分支機構數量，專業學問與服務意識，團隊協作與流程優化，產品質量與風險把握，持續穩定的企業進展，正是多重的優勢，造就了GCOM“寬帶計費第一品牌”的美譽。GCOM現總公司位于深圳，并在廣州、上海、成都、西安、武漢等地有直屬辦事處，公司寬帶認證計費業務掩蓋全國200個城市，終端用戶上百萬，是國內適用范圍最廣，掩蓋用戶最多的寬帶認證計費的領頭羊；現有員工近200名，服務部門主要有售前咨詢部、售后服務部、研發部、測試部、生產部等，并設有獨立的質保部門對各個服務和生產環節進行嚴格的監督和跟蹤，務求讓產品精益求精，服務微小愛護，使用戶用得放心，服務稱心。GCOM下一個十年的目標，是連續開發更加適合校園網絡進展的產品，努力為校園網絡供應更優質的保障服務，關注校園網絡的應用和增值。2012年傾力打造高校認證計費專版GCOMB/S和C/S版本豐富了我們的產品線，使系統配置和管理上更加直觀，基于WEB2.0技術開發的應用系統使用戶使用更加輕松和便利；雙架構版本的支持為用戶供應了更多的選擇空間，用戶可以依據自己的需求，選擇自己合適的管理系統；該版本在繼承原有C/S版本功能的基礎上，還增加了許多人性化的功能，如快速配置指引，即通過該指引完成網關基本和常用的功能配置，該功能簡化了系統配置步驟，使網關能在最快的時間內配置完成并為用戶供應接入認證計費服務，大大提高了網管對網關配置的工作效率；Web信息發布功能獨立成為一個系統配置模塊，修正了傳統C/S版本信息發布不便利且常常誤發和漏發的情況，使信息發布更加便利，豐富了高校信息服務系統，B/S版本新增的功能還有許多許多，這些都是GCOM高校的核心理念“網管省心”的最好闡釋。高校認證計費專版介紹A8000萬兆高性能認證計費網關設備采用多核技術，比上一代產品性能提高2-3倍；產品采用4核CPU，雙操作系統的平臺，繼承了原有GOS平臺系統優異的穩定和高性能的優點，以GOS為核心的同時又采用了開放的linux操作平臺作為應用開發平臺，支持IPv4/v6雙棧技術，單向最高可達5G，Smartbit測速最高實現了雙向10G（即萬兆的全線速轉發能力），轉發能力比GCOM2133B-RAS提高4-5倍，比上一代GCOMA8000B-RAS千兆型號提高2-3倍，全雙工64字節包轉發率達到100％，真正實現萬兆線性轉發。高效、平安、穩定、高可用冗余GCOMA8000采用雙操作系統的平臺，繼承了原有GOS平臺系統優異的穩定和高性能的優點，以GOS為核心的同時又采用了開放的linux操作平臺作為應用開發平臺，GOS內核在防病毒、防Dos攻擊和Http拒絕服務攻擊充分保障了核心網服務的平安。GCOMA8000支持鏈路匯聚和負載均衡功能，能夠機敏適應日益簡單的校園網網絡環境，特別是在運營商經過多年進展后，并發用戶數和流量大大增加，GCOMA8000B-RAS為客戶供應高性能和低成本的組網方案，大大提高客戶的設備投資利用率。GCOMA8000B-RAS最多可支持6個千兆網絡端口，可支持雙進雙出的端口配置模式，另外兩個千兆網絡端口可用于兩臺GCOMA8000之間數據同步，滿意chunk鏈路環境下負載分擔環境。GCOMA8000B-RAS端口支持鏈路聚合功能，兩條1G捆綁可以滿意單臺設備單向2G雙向4G的流量，此功能足以體現了A8000的高效和高可用性。GCOMA8000支持RadiusCache功能，作為接入服務器應用時，當RadiusServer消失當機或者故障，A8000會自動觸發Cache功能，此時A8000會自動同步最近一次故障前用戶的賬號和密碼信息，從而保證原有用戶上網業務不受影響，大大提高了網絡的穩定性。GCOMA8000可協作交換機負載均衡模塊或GCOMA8000LBS網絡負載均衡器，實現多網關負載均衡，將大并發用戶和大流量進行動態均衡分發，極大地提高了訪問速度，為企業和運營商網絡供應了一個高性能的負載均衡解決方案。IPv6/v4雙棧IPv6(InternetProtocolVersion6，即網際網路協定版本6)也被稱作下一代互聯網協議，它是由IETF設計的用來替代現行的IPv4協議的一種新的IP協議。IPv6是為了解決IPv4所存在的一些問題和不足而提出的，同時它還在許多方面提出了改進，例如路由方面、自動配置等方面。新一代GCOMA8000B-RAS全面支持IPv6，完全滿意新一代IPV6網絡認證計費和運營管理需求。同時，北京GCOMGCOMA8000B-RAS是國內首個通過IPv6Ready第二階段增加金牌認證的寬帶認證計費產品。數字化校園統一身份認證隨著高校信息化建設的腳步日益加快，數字化校園建設在各大高校如火如荼的進行著，數字化校園建設最重要的環節當屬高校一卡通和高校寬帶認證計費系統，GCOMGCOM寬帶認證計費系統支持與多種認證系統通過LDAP或RADIUS進行對接，2008年至今，已經和新中新、三九、鑫三強等國內主流知名校園一卡通公司完成對接，能實現校園卡統一身份認證、收費、業務辦理、圈存等業務，并勝利與深圳大學、河海大學、北京聯合大學、云南財經學院等綜合性大學完成校園卡對接。在與深圳大學新中新校園一卡通對接的項目中，更是實現了認證與計費全業務接口無縫連接，從認證方面，深圳大學師生寬帶認證時只需要輸入校園卡的查詢密碼即可通過認證，實現以校園卡為信息化建設核心，并與認證計費網關實現統一身份認證平臺；從計費方面，GCOM開放了計費業務全接口，實現了刷卡開戶、收費、扣費、定期圈存和自然月結算策略（運營商通用計費策略）以及繳費自動觸發開戶等個性化功能，以上舉措讓深大師生在校園寬帶上的使用更加便利，繳費更加便利，計費更加準確合理，極大促進了數字化校園與寬帶認證系統整合的步伐。有線與無線認證計費無縫結合21世紀初期傳統高校校園網基本上都采用以太網方式部署，組網形式單一，教務區和學生區也都是LAN或者DSLAM有線組網方式，無線網絡在高校基本很少會應用到。隨著網絡技術的日新月異，無線終端越來越微型化和新型化，以及高校數字化建設的進展，無線網絡的應用得以高速進展，特別是在高校校園網中更是層出不窮，各大高校都爭相在有線網絡的基礎上架構無線網絡，并掩蓋校內熱點區域甚至是全校。GCOM抓住無線網絡高速進展的機遇，并大力進展無線應用產品，現已實現有線與無線認證計費系統無縫聯動，針對無線終端的需求開發了ACPortal無線認證門戶系統，該產品支持市面上絕大多數的無線終端接入，如上網本、PDA、手機、PSP、Ipad等便攜式無線終端，為其推送個性化的登陸頁面和供應認證服務。ACPortal現已廣泛應用于各大運營商無線網絡中，為運營商用戶供應接入認證。高校對無線產品的應用需求也越來越迫切，而作為始終致力于打造最好的數字化校園，2011年26界世界大學生運動會賽事承辦點之一的深圳大學，2010年全校熱點區域均掩蓋了無線，為了滿意師生和大運會對無線校園網認證的需求，2010年深圳大學采購了GCOMACPortal無線認證門戶系統，并應用于校內熱點區域，該系統兼容深大原有認證計費系統的管理功能和一卡通認證，使全校師生充分體驗到無線校園網絡與有線網絡融合帶來的樂趣。打造平安、便利的防私接、防破解客戶端GCOM的防用戶私接代理技術采用與接入服務器實時通訊的客戶端本地檢測方式，客戶端軟件實時檢測用戶PC的上網行為特征，假如發覺有符合代理私接特征的行為，則通知接入服務器停止該用戶的接入。該技術具有以下特點：1. GCOM的防用戶私接代理技術是目前同行業中成熟度最高，掩蓋用戶終端數最大的防私接代理技術，共有180多家有線電視臺寬帶網、70多家電信運營商、500多家高校使用GCOM防代理技術，涵蓋近百萬終端用戶；2. 把握實時性，一旦檢測有通過私接代理的用戶，實時停止該用戶的接入權限；非其他廠家事后溯源型的防代理技術，需要時間積累才能定位和把握；3. 部署簡潔機敏，適用于各種簡單的網絡結構，部署時應不影響整個校園網的結構，不需改動接入服務器和網絡設備的網絡配置4. 支持多種認證方式的用戶環境，包括PPPoE、802.1x等，為網絡管理者供應完整的防非法私接解決方案；5. 防代理客戶端和插件兼容性強，支持Windowsvista和Windows7等新的操作系統，同時支持各種版本的Linux系統，特別是適應高校校園網這種用戶操作系統眾多的使用環境。另外還兼容個人電腦上各種常見的防火墻和防病毒軟件，如卡巴斯基、諾頓、金山、360平安衛士等。6. 需具備易升級、防破解的功能，能在短時間內解決因代理軟件更新導致的無法防止某些代理軟件接入的問題；7. 采用接入服務器和防代理客戶端互為綁定的方式，接入服務器實時檢測防代理客戶端的工作狀態；8. 防止代理私接的類型全面，包括軟件代理、寬帶路由器代理、互聯網共享等；9.系統還支持防DHCP干擾功能，解決了內部非法DHCP服務器干擾，啟動該功能后，只要用戶正常獲得合法IP后，客戶端會自動記錄合法的DHCP服務器，以后就不會再獲得非法的DHCP發出的IP?；赪eb2.0的B/S版本跨平臺管理軟件GCOM基于Web.20平臺開發的B/S校園專版功能強大，界面美觀，系統管理員登錄窗口采用懸浮式設計，并配以淡綠色為背景，讓人感覺整體大氣和優雅并重。進入管理界面后，系統采用多通道多入口的直觀方式部署各個功能要素，其中包括用戶管理、后臺管理、網關管理和查詢統計4大項，每一項都以列表式展開，讓網管人員一目了然，并且當中都具備快速配置指引，使高校老師能快速和準確的配置所需功能，從而大大提高其工作效率，如下圖所示。用戶管理：后臺管理：網關管理：查詢統計賬號管理及把握策略為了加強學生上網管理，一方面要能夠準確定位上網的學生，另一方面要能使學生賬號只能在某個網絡位置上網，促使其規范上網，這需要認證計費系統能夠將賬號綁定用戶所在的網絡設備所在的位置參數，如VLAN、MAC、交換機端口、交換機IP等。GCOMA8000B-RAS的GCOM客戶端軟件，能夠透過三層綁定用戶MAC，協作接入層交換機，利用通用的RADIUS認證協議，能夠有效綁定交換機IP、交換機端口、VLAN等。另外，GCOMA8000B-RAS具有豐富的基于組或用戶的把握策略，如使用量限制、帶寬策略、服務策略、基于目標地址的訪問時間策略等等，滿意校園網內各種不同層次用戶的管理需求。能夠對不同用戶授予不同權限，是供應多層次服務的基礎，否則整個網絡就像就像汽車，自行車和行人都擠在一條沒有紅綠燈的高速公路上，無法體現寬頻網絡的優勢。包括帶寬授權，可以把握每個組內的用戶進行上、下行帶寬；服務授權，即把握每個組內的用戶訪問不同的目標地址可以享有不同的帶寬；功能授權，既把握每個組內用戶不同時段具有的不同的訪問功能，如上課時間不能訪問QQ等。支持把握賬戶TCP/IP連接數、是否允許使用代理、是否自動綁定其IP/MAC地址、限制使用時長、允許單賬戶多人同時使用、支持基于時間策略、節假日優待、贈送。出口優化及平安解決方案整網平安與優化解決方案在移動無線網絡快速進展的今日，固網寬帶的建設從未停止過。隨著“寬帶中國”戰略的發布，寬帶首次成為國家戰略性公共基礎設施。傳統網絡層設備僅關注網絡的連通性及鏈路的牢靠性，無法感知用戶及應用并進行精細化的管理與運營，GCOM應用層網絡設備將幫忙建立面對用戶的運營網絡，打造用戶可識別、體驗可感知、業務可把握、平安可保障的校園網智能化管道。上網行為管理用戶上網日志留存解決方案在校園網匯聚層或核心層通過端口鏡像或旁路分光的方式將流量復制至用戶上網日志留存設備，用戶上網日志留存設備通過對流量的應用層深度解析可獵取用戶的上網賬號、源IP地址、URL記錄及其他上網行為記錄，設備內置存儲可保存日志信息，并可通過對接外置數據中心實現擴展，以滿意公安部或其他監管部門保留用戶行為日志60天、用戶上網日志追溯等要求。完整的用戶上網日志記錄網頁訪問：用戶訪問的URL地址、網頁標題、時間等內容，能夠完全監控與記錄。同時，通過網頁快照功能，直觀呈現網頁內容，便于管理人員快速查看。郵件收發：對于Webmail或郵件客戶端收發郵件，能夠記錄郵件的時間、發件人、收件人、標題、正文內容和附件等，附件內容可供應下載做進一步審核。微博論壇：對于微博、社交論壇發帖不僅能夠依據關鍵字進行過濾，發布的內容也能全面記錄，準確還原發帖內容，提高可讀性。SSL加密應用：同時，對于經過SSL加密的webmail外發郵件、SSL加密的SMTP/POP3，AC可以基于關鍵字過濾和內容審計記錄。以上記錄功能，針對不同的用戶、用戶組，通過數據簡潔的勾選，即可完成差異化的行為審計功能。豐富的用戶上網行為報表通過統計報表功能，將直觀的獲得關于流量、郵件收發、上網時間、網絡行為等方面的具體的報表和圖形化統計結果，并且支持導出PDF等文檔、Email投遞等功能。通過數據中心的內容檢索工具，可以實現類似Google一樣的內容搜索，從海量日志中查詢需要的日志記錄，并且支持高級搜索，支持訂閱和自動Email投遞功能，極大的便利了管理者的使用。與NAT日志結合的用戶溯源方案由于IPv4地址資源有限，導致用戶不得不在校園網上部署NAT以解決IPv4地址不足的問題，此時假如用戶上網日志留存設備部署在NAT之后，則依據用戶的上網行為無法直接溯源出用戶NAT前的源IP地址。GCOM用戶上網日志留存設備可與NAT設備的NAT日志記錄進行結合，通過時間戳、用戶目的IP、目的端口等信息的匹配，實現用戶上網行為與用戶NAT前的源IP地址的關聯，滿意在NAT環境下用戶上網行為溯源的問題。多出口鏈路優化解決方案校園網出口往往需要租用多個運營商的多條出口鏈路，為提升多條出口鏈路的穩定性和牢靠性，消退單點故障，在校園網出口部署GCOM多出口鏈路優化設備可以實現多條鏈路的負載均衡，包括出站流量的負載均衡及入站流量的負載均衡。鏈路負載過程出站流量負載（內部用戶訪問互聯網資源的流量）GCOM多出口鏈路優化設備接收到內網用戶訪問的流量以后，可以依據預先設定負載策略將訪問電信的資源的出站流量安排到電信的鏈路之上，并做源地址的NAT，（可以指定某一合法IP地址進行源地址的NAT，也可以用多出口鏈路優化設備的接口地址自動映射），保證數據包返回時能夠正確接收；同理，其它的訪問的流量會通過相應策略會被安排到其它的運營商鏈路之上。入站流量負載（外部用戶訪問內部資源的流量）通過在域名注冊供應商處修改域名NS記錄，GCOM多出口鏈路優化設備獲得域名解析權，GCOM實現一個域名綁定多個運營商的公網地址，負責解析來自多個運營商用戶的域名解析請求。依據實現設定負載策略可以實現，如電信的用戶通過電信的線路訪問內部資源，聯通的用戶通過聯通的線路訪問內部資源；GCOM多出口鏈路優化設備還可以通過兩條鏈路做反向查詢，依據RTT時間推斷鏈路的好壞，并且綜合以上兩個參數返回相應的IP地址。健康檢查機制通過多個Internet站點的可達性，來共同推斷一條鏈路的狀況。例如，通過電信線路檢查、以及的TCP80端口，并對檢查結果做“或”運算。這樣，只要其中一個站點可達，即可表明鏈路狀態良好。該方法避開了ICMP檢查的局限性，也避開了單一站點檢查帶來的單點失誤。在檢測發覺鏈路中斷時可自動將用戶流量平滑切換至其他鏈路，保證用戶業務不中斷。鏈路負載算法為保障校園網用戶在訪問資源時，能夠被引導至“最優”的鏈路負載，GCOM多出口鏈路優化設備需要對用戶到各站點之間的距離、延時、及當前數據中心的負荷等眾多因素進行分析推斷。支持靜態和動態兩種就近性方法，兩種方式可以并存使用。靜態就近性搜集全球的IP地址并形成地址庫，能夠實現實時更新；當用戶訪問目標IP屬于哪個運營商（或地區），就為用戶選擇這個運營商（或地區）的鏈路。當用戶請求沒有包含設備的地址庫中時，將會主動查詢該地址所屬地區（或運營商），匹配之后再依據靜態就進行為用戶選擇鏈路。假如上述兩種方式都無法判別用戶請求IP所屬地區（或運營），則直接使用動態就近性。動態就近性當用戶發起訪問請求時，通過綜合考慮各數據中心與請求地址之間的路由節點數量、數據傳輸的延遲和數據中心鏈路的實時負荷，準確計算出最佳路徑，將用戶引導至最佳的數據中心。其他算法為便利維護人員能夠依據自身需求選擇相應的鏈路安排策略，還支持如下算法：輪詢、哈希、加權輪詢、帶寬比例、首個可用、加權最少連接、加權最小流量、基于時間段負載算法等。DNS優化當網絡出口部署了多條互聯網鏈路后，內網用戶在上網的時候由于普遍都填寫其中某一運營商的DNS服務器，于是大部分的用戶都被安排到同一條出口鏈路上，使得該鏈路始終處于繁忙狀態，進而導致該鏈路上的用戶訪問速度下降，而另一條鏈路卻處于閑置狀態。鏈路利用的不均衡，一方面造成互聯網資源的閑置鋪張，另一個方面內網用戶的訪問體驗無法得到切實保障。GCOMDNS透亮?????代理技術可以有效解決以上由于DNS利用率不均造成的問題。不論內網用戶使用哪家運營商的DNS服務器地址，GCOM多出口鏈路優化設備都可基于負載均衡算法來代理內網用戶進行DNS請求轉發，使得多個運營商的DNS服務器使用趨于均衡，避開單運營商DNS解析消失單一鏈路流量過載，從而平衡多條運營商線路的帶寬利用率。智能路由在網絡出口部署了多條互聯網鏈路后，運維人員為保證各條鏈路的利用率，常常要指定特地的鏈路用于特定的業務訪問。例如，當內網終端訪問某些在線視頻網站的時候，一律走指定的專用鏈路出站，以保障訪問體驗。此時通過智能路由功能，管理員可以依據時間計劃、訪問目的域名等因素來配置出站鏈路，供應遠比平凡策略路由更為機敏的鏈路調用機制。支持基于五元組條件（源IP地址，源端口，目的IP地址，目的端口，傳輸層協議號）來配置出站訪問的鏈路調度策略；支持基于管理員自定義的時間計劃來配置出站訪問的鏈路調度策略；支持基于目的域名或ISP地址段來配置出站訪問的鏈路調度策略。內容優化建議隨著網絡的飛速進展，從2000年至今，網絡的流量模型及應用模型均發生了較大的轉變。依據權威統計，2011年，互聯網每月產生的流量為280億GB，這個數字在2015年將翻4倍。其中，視頻流量將占據61%。在流量飛漲的背后，實質上是應用模型和用戶行為的變化——從早期的談天、掃瞄網頁，到后來的各種應用軟件、各種業務系統。因此，為了提高最終學校網絡用戶師生的體驗，需要“疏堵結合”的理念，使用Cache內容緩存加速設備。通過分析用戶訪問資源的熱度，將熱點資源緩存在本地。后續學校師生用戶訪問該資源時，直接從本地讀取即可，從而提高了用戶的訪問速度，并節省出口帶寬。具體參數要求：硬件規格存儲磁盤≥16T系統硬盤≥120GSSD硬盤槽位數≥8網絡接口≥4千兆電口+4千兆光口，可擴展2萬兆口網絡接口中光口需支持電口SFP和光口SFP配置USB接口≥6個內存≥32G1+1冗余電源產品功能支持HTTP文件下載緩存加速支持熱點HTTP文件預緩存功能支持主流智能終端加速，包括Windows、Android、iOS等智能終端，針對iOS緩存內容需要供應界面截圖支持主流電子市場加速，包括91助手、安智市場、豌豆莢、應用匯、木螞蟻、AppStore、同步推、歷趣網、機客網等等，需要供應界面截圖支持智能終端視頻加速，比如優酷、土豆、搜狐、樂視、騰訊、PPLive等，需要供應界面截圖支持主流電子市場預緩存功能，包括安卓市場、91助手、豌豆莢、百度應用、機鋒網、木螞蟻、歷趣、機客網等等，需要供應界面截圖支持全部視頻網站的緩存加速，不僅僅是特定的視頻網站視頻支持主流視頻網站預緩存功能，視頻網站不少于18個（需供應界面截圖），例如優酷、土豆、搜狐視頻、樂視、騰訊、PPLive等等18個主流的網站都支持預先緩存支持視頻切片主動補齊功能，供應截圖證明支持P2P緩存加速，需要供應界面截圖內置病毒查殺引擎，默認是開啟的，用戶可選關閉，病毒掃描文件擴展名支持用戶自定義，支持病毒白名單設置；支持病毒文件的刪除、清空、恢復等操作；病毒庫支持定期自動更新；以上都需要供應界面截圖各類協議的回源隊列長度可以自定義，且時間段支持多個，支持對下載隊列管理，包括刪除和刪除并加速黑名單，需要供應界面截圖已緩存文件的檢查周期支持自定義，供應截圖重要站點支持實時健康檢查，杜絕緩存供應過期文件給用戶支持IPv4云聯盟部署，支持IPv6云聯盟部署，把IPv4資源通過IPv6調度，減輕IPv4出口帶寬壓力，需要供應界面截圖支持熱點門戶，門戶支持域名配置，門戶支持標題、頂部和底部自定義，門戶支持黑名單，供應界面截圖熱點門戶資源可開放API接口支持電視盒子加速，支持主流播控平臺緩存加速支持緩存下載帶寬把握，需要供應截圖支持網盤加速支持集群模式部署磁盤可視化管理，內置硬盤面板圖，紅燈表示異常，綠色表示正常；支持硬盤的清空，移除、掛載和格式化等操作，供應界面截圖性能指標URL重定向時延遲小于2ms,供應三方權威檢測機構檢測報告每秒新建用戶不少于1萬，供應三方權威檢測機構檢測報告并發用戶數不少于20萬，供應三方權威檢測機構檢測報告產品資質供應2個以上云聯盟勝利案例，每個云聯盟成員數量不少于5個高校，需要供應全部云聯盟成員截圖互聯網出口平安解決方案在校園網出口邊界可以網關或網橋兩種模式部署GCOM下一代防火墻設備供應網絡出口防護，在網關模式下支持NAT、路由轉發、DHCP、IPSecVPN等功能，支持常見的靜態路由、RIPv1/2、OSPF、策略路由等路由協議，并可供應L2到L7的完整保護。入侵檢測防守灰度威逼關聯分析引擎具備3000+條漏洞特征庫、2500+Web應用威逼特征庫，可以全面識別各種應用層和內容級別的單一平安威逼；另外，GCOM憑借在應用層領域6年以上的技術積累，組建了專業的平安攻防團隊，可以為用戶定期供應最新的威逼特征庫更新，以確保防守的準時性。抗DDOS攻擊采用自主研發的DOS攻擊算法，可防護基于數據包的DOS攻擊、IP協議報文的DOS攻擊、TCP協議報文的DOS攻擊、基于HTTP協議的DOS攻擊等，實現對網絡層、應用層的各類資源耗盡的拒絕服務攻擊的防護，實現L2-L7層的異常流量清洗。病毒檢測防護采用先進流引擎查毒技術，針對HTTP、FTP、SMTP、POP3等協議進行查殺；能實時查殺大量文件型、網絡型和混合型等各類病毒；并采用新一代虛擬脫殼和行為推斷技術，準確查殺各種變種病毒、未知病毒；內置10萬條以上的病毒庫，并且可以自動或者手動升級。惡意網址過濾內置龐大的惡意網址庫，并且實時更新，當用戶訪問惡意網站，將被提前告知，并實時預警攔截，讓“好奇害死貓”流血信息平安事件不再重演，防范APT釣魚誘騙。僵尸網絡隔離融合了僵尸網絡識別庫，利用業界領先的僵尸網絡識別檢測技術對黑客的攻擊行為進行有效識別，針對以反彈式木馬為代表的惡意軟件進行深度防護，目前有15萬條規章，并實時予以更新。同時，GCOM正在完善平安云平臺，部署在全球各地的GCOM下一代防火墻設備可以自動或手動上傳可疑的應用流量到平安云平臺，平臺會自動分析，形成新的惡意軟件識別策略下發到全球全部設備的規章庫上。WEB攻擊防護有效防護OWASP組織提出的10大Web平安威逼的主要攻擊，并于2013年1月獲得了OWASP組織頒發的產品平安功能測試4星評級證書（最高評級為5星，GCOMNGAF為國內同類產品評分最高）主要功能：SQL注入攻擊XSS跨站腳本攻擊跨站請求偽造攻擊（CSRF）流量分析與把握解決方案運營商正推動著寬帶網絡從粗放式進展階段走向智能化階段。而運營商如何在管道經營中獲利，如何進行流量經營管理，將“啞管道”向“智能管道”轉變，以制造網絡更高的價值收益，成為運營商網絡轉型的核心出發點，通過在校園網出口透亮?????串接部署GCOM流量分析與把握設備，內置國內最新最全的應用識別規章，實現流量感知與管控，為客戶實現智能管道打下基礎。流量可視化分析基于DPI技術對流量進行分析，可獵取用戶賬號/IP地址及用戶訪問的應用，并可從不同的維度進行可視化分析，幫忙客戶感知網絡流量。流量實時分析對用戶上下行流速、用戶所訪問主要應用流速進行實時分析；對應用上下行流速、應用所包含主要用戶流速進行實時分析；基于用戶五元組的實時分析流量趨勢分析可依據指定對象(單個用戶/IP/用戶組/區域/鏈路)、指定協議、指定應用、指定時間(每日/每周/每月)、指定流量(上行流量/下行流量/總流量)、流量流向(流向網外)進行流量與流速趨勢分析流量統計分析可依據指定對象(單個用戶/IP/用戶組/區域/鏈路)、指定協議、指定應用、指定時間(每日/每周/每月)、流量流向(流向網外)進行流量統計分析網外流向分析分析流向中國電信、中國聯通等網外運營商、IDC的流量占比，以及流量的應用排名、用戶排名等，為客戶進行第三方出口鏈路的優化供應依據。基于用戶與應用的把握策略基于用戶(組)、應用類型、網站類型、文件類型、目標IP等的智能流控，細致劃分與安排帶寬資源。動態流量把握當帶寬有限時，通過限制P2P、流媒體等應用來保障郵件、訪問網站等業務相關應用的流暢性。傳統的解決方法是通過靜態的帶寬安排策略，依據應用的重要性安排相應的帶寬。無論網絡情況如何變動，安排的帶寬都是固定的，不能自動調整，這樣的流控策略往往造成帶寬資源的鋪張。比如某些業務應用帶寬資源不足，而其他應用的帶寬資源卻處于空閑狀態，得不到有效利用。GCOM流量分析與把握設備供應了動態流控功能。用戶可通過配置線路空閑閥值，以及定義線路的空閑和繁忙狀態，實現針對性制定流控策略。當線路空閑時可以放寬通道帶寬限制，應用流量可突破原來設定的最大帶寬限制；當線路繁忙時可以下壓通道帶寬，使帶寬恢復到被限制狀態，執行原有的流控策略。通過機敏的帶寬管理，最大滿意業務對帶寬的需求，實現帶寬的最大價值。P2P智能流控目前互聯網上流行的P2P下載、流媒體等應用程序通常具備猛烈的帶寬侵占特性，傳統流控手段是通過緩存和丟包手段來實現流量把握的目的，但是某些P2P應用如P2P流媒體、P2P下載工具等缺乏自身流控機制，即使被丟包依舊不會主動降低速率，仍搶占大量的帶寬資源。同時對于下行的接收流量來說，被丟棄的數據包已經占用了線路帶寬，關鍵業務的帶寬依舊得不到提升，流控達不到預期的效果。GCOM流量分析與把握設備通過智能流控功能，能有效解決P2P應用的問題。雖然基于UDP協議的P2P應用對丟包不敏感，但是下行流量與上行流量有顯著的相關性，只要把握住上行流量，下行流量就能得到把握。當開啟智能流控功能時，系統會依據下行流量的設定值對上行流量進行自動調整，從而達到把握和削減下行流量的效果，從源頭處有效限制P2P流量。業務質量分析解決方案由于自身IDC資源較少，校園網出口鏈路通常與多個運營商互聯互通，針對校園網用戶的投訴，如撥號失敗、網絡中斷、QQ掉線、玩嬉戲卡、視頻不流暢等問題通常難以定位根本緣由，這種情況下盲目對網絡進行優化如建設緩存或簡潔擴容出口鏈路難以有效解決用戶問題，導致校園網建設的投入產出效率不高，用戶體驗得不到較大改善，校園網用戶進展受到影響。通過在校園網旁路端口鏡像或鏈路分光部署GCOM業務質量分析設備針對校園網的家庭寬帶用戶及互聯網寬帶用戶從業務層面進行端到端的業務質量分析及業務內容分析，并通過分析對內容優化給出建議，形成完整的閉環優化過程。業務質量分析家庭寬帶用戶通常采用PPPoE協議進行撥號上網，通過對流量中Radius信令的分析，統計指定時間內的用戶撥號勝利率及撥號失敗緣由，便于客戶了解用戶認證整體情況并將失敗緣由提交給Radius等相關認證設備廠商以優化系統提高撥號勝利率。對于家庭寬帶用戶及互聯網專線用戶的上網過程，結合DNS解析失敗數、TCP連接失敗數及用戶訪問業務的分析，幫戶客戶優化用戶排障流程，定位用戶業務質量較差的真實緣由。采用評分制對用戶訪問業務進行質量評分，追溯評分差的應用服務器IP并分析緣由。系統還可以主動預警異常的家庭寬帶及互聯網專線用戶，如撥號失敗最多的用戶、長時間不登陸的用戶、上線次數頻繁的用戶、訪問流量最多的用戶、線路時延最多的用戶等，幫忙客戶事前解決用戶問題降低故障風險。業務內容分析應用分布分析從全網、家庭寬帶用戶、互聯網專線、單用戶等不同維度分析流量的應用組成、應用訪問人次等，實現流量可視化，為精準營銷廣告推送及與內容供應商合作供應數據支撐。熱點內容分析網站、視頻、嬉戲等應用TOPN排名分析，了解用戶熱點內容，對應用質量進行評分，可追溯評分差的應用服務器IP并分析緣由，從而優化網絡保障用戶業務體驗。業務流向分析分析業務流量流向網外哪些運營商、哪些區域。為客戶進行鏈路擴容、流量疏導、降低網間結算費用供應數據支撐。重點網站監控對于客戶自有業務門戶網站、本地IDC政府等重要行業客戶門戶網站、用戶訪問量較大的主流門戶網站等需要進行重點監控保障，可手動配置重點網站，通過網頁打開勝利率、網頁掃瞄速率等指標定向跟蹤用戶對這些重點網站的訪問質量，利用短信、郵件等方式準時預警訪問質量不佳的門戶網站，以便管理員準時發覺問題并解決。IP網絡系統解決方案校園網需求設計需求網絡系統結構設計需要采用先進的概念、技術和方法，留意結構、設備、工具的相對先進成熟，整個系統的生命周期才有較長的時間，可以在信息技術不斷進展的今日，在系統建成以后比較長的一段時間內能滿意用戶需求增長的需要。通過對校園網需求的研究，結合對用戶網絡的考慮，我們認為校園網應具備以下特性才能夠滿意需求:整網采用出口、核心、接入三層組網結構。其中園區網采用二層扁平化架構簡潔易管理，出口采用雙平面架構，核心與骨干匯聚之間全萬兆互聯，任何一臺主干設備down機均不會對業務造成影響。高可用性與先進性校園網網絡系統要求組建萬兆主干網絡，具有極高的數據通信能力和足夠的帶寬；并在主干網上供應較強的可擴展性。網絡設備必需具備高速處理能力，供應高速數據鏈路，保證網絡高吞吐能力，實現萬兆進校園，千兆到樓棟，百兆到桌面；實際工作中要求，實訓樓機房要保障千人同時上網掃瞄視頻時，不會卡。高牢靠性網絡要求具有高牢靠性，高穩定性和足夠的冗余，供應核心設備的冗余和備份，為了防止局部故障引起整個網絡系統的癱瘓，要避開網絡消失單點失效。在網絡骨干上不僅本身要做到電源等冗余，還要供應冗余鏈路，更進一步考慮在核心設備做虛擬化冗余，任意一臺核心設備發生故障，都能夠不影響整個網絡運行，避開由于網絡故障造成用戶損失。平安性1）主機接入平安網絡中應采取多種技術從內部和外部同時把握用戶對網絡資源的訪問?？梢杂蒙矸菡J驗證、VLAN劃分等技術有效地把握內部用戶的行為，比如杜確定IP地址的盜用和偵聽用戶口令等，同時也能夠利用防火墻把握外部人員對網絡的訪問；網絡系統還應具備高度的數據平安性和保密性，能夠防止非法侵入和信息泄漏。平安接入交換機實施準入，動態自動綁定UID+MAC+IP+PORT，實現用戶身份合法、主機標識和網絡標識真實可信，實現校園網實名制管理。2）網絡平安在計算機網絡intranet建設過程中，網絡平安的重要性時無需質疑的。在諸多平安因素中，防黑、防病毒及入侵監測系統是在網絡應用建設中需重點考慮的。其中，防火墻作為關鍵服務器區域到外網的唯一屏障，是隔絕黑客的主要設備。供應internet平安接入,對網絡訪問用戶進行平安監測的最重要的設備就是防火墻。可管理性網管軟件應能夠支持對網絡進行設備級和系統級的管理，并能支持通用掃瞄器進行網絡設備的管理及配置。機敏的設置每個用戶對Internet訪問功能，能夠對每個用戶實行管理；并且能夠實現簡單的計費管理。支持PPPOE、802.1x和WebPortal多種認證方式。在宿舍區、辦公區、教學區、圖書館機敏采用802.1x和Web準入認證方式。使用統一的平安計費管理系統；支持包月、限時長、流量等多種計費管理方式?？蓴U充性隨著用戶應用規模的不斷擴大，要求網絡可以便利地擴充容量，支持更多的用戶及應用；隨著網絡技術的不斷進展，網絡必需能夠平滑地過渡到新的技術和設備，保證用戶現有的投資。某大學的主干設備全部采用機柜式主交換機，保障了網絡的可擴充性。VLAN劃分依據校園網的實際需求，屬于同一部門的工作人員可能在不同的建筑物中，但需要在一個邏輯子網內。因此在網絡主干中要支持三層交換及VLAN劃分。依據管理以及各部門智能的安排或用戶定義的其它策略進行相應的VLAN的機敏劃分，在整個網絡中使用虛擬網技術，以提高網絡的平安性和機敏性。網絡中心設備和骨干設備能夠供應線速的VLAN之間的路由和高性能的第三層的數據包的處理?！皹O簡網絡”扁平化方案重新定義校園網GN-A8000系列可作為GCOM極簡網絡解決方案的統一認證、統一網關的核心，通過內置或外置的802.1X/Portal認證系統，實現有線無線統一集中到核心設備上認證，屏蔽了接入層設備能力和接入方式的差異。GN-A8000支持≥170K容量的ARP資源，做為極簡網絡解決方案的核心時，可支持≥9萬個IPv4/IPv6雙棧終端集中認證和同時在線。多播技術和多媒體支持校園網要求具有數據，圖像，話音等多媒體實時通訊能力；并在主干網上供應足夠的帶寬和可保證的服務質量，滿意大量用戶對帶寬的基本需要，并保留肯定的余量供突發的數據傳輸使用，最大可能地降低網絡傳輸的延遲。整個網絡在服務質量(QoS)、預留寬帶設置、合理進行帶寬管理方面應供應優良的品質。IP組播技術有其獨特的優越性。即使用戶數量成倍增長，主干帶寬不需要隨之增加。核心骨干網絡方案設計核心組網架構的規劃目標是支撐20000有線無線用戶并發在線，擺脫接入設備的廠商捆綁逆境，提出認證網關扁平化設計方案與規劃，GCOM供應從核心到接入的網絡方案總體設計及建設方案。有線無線網絡核心架構核心網絡架構的思路是通過2臺認證網關設備支撐全校有線和無線并發20000用戶認證在線，其規劃有線網一臺認證網關，無線網一臺認證網關，并通過雙機冗余備份的方式保障整網認證的牢靠性。（1）接入設備接入設備推舉采用S2600系列智能網管型交換機，通過trunk的方式接入到匯聚，且只需支持VLAN劃分，VLAN劃分的規章是認證網關的同一個端口下的接入設備劃分不同的VLAN進行用戶隔離，不同端口下的VLAN可以重復，通過配置隔離口的方式來保證認證網關不同端口二層通訊，隔離廣播域。（2）匯聚設備匯聚設備通過trunk的方式與認證網關設備互聯，只需要支持VLAN報文透傳即可。（3）核心交換設備S8600系列是新格林耐特充分考慮多業務接入和高密度10G交換需求而設計的超高密度接入交換綜合平臺，可以作為運營級寬帶接入網的高密度EPON/GPONOLT應用。S8600具備獨特的半槽位業務卡供應業內最高的EPON/GPON/10GE/10GEPON端口密度，T比特級交換網供應向將來40G/100G交換和接入平臺平滑升級的能力，業內首創的基于64位多核處理器和高性能AISC的全分布式業務處理架構，供應IPv4/IPv6業務線速轉發能力、運營級平安特性和無以倫比的業務性能，具備高牢靠性、高擴展性、強大的業務能力可以滿意各種網絡核心層的建設要求。7RU超緊湊機箱，半槽位高密度線卡1+1主控冗余，1+1電源冗余熱拔插風扇框，智能轉速和溫度把握共10槽位，8線卡業務槽，2主控交換槽最大可支持192個GE接口或者64個10G接口3.2Tbps超寬背板，144Mbps包轉發率，支持向40G/100G平滑升級轉發和把握雙網雙平面，全分布式業務處理IPv4/IPv6和MPLS硬件線速轉發能力校園一卡通系統總體設計網絡結構設計一卡通系統是一個簡單的信息化系統，他由多個不同的子系統構成，且要與多個不同的第三方應用系統連接。所以，一卡通系統的不同部分對于網絡有著不同的要求。一方面，一卡通系統與校園內部的各種信息化應用都密切相關，所以，他必需要能與校內的其他第三方應用系統有著平安的網絡連接，要接入校園網。另一方面，一卡通系統是一個包含金融服務的系統，有較高的平安性要求，需要使用獨立網絡。第三方面，一卡通系統還是一個服務系統，需要面對公眾開發，需要接入互聯網。一卡通系統的網絡結構設計必需充分考慮上述多方面的要求。總體網絡結構設計為了適應一卡通系統不同部分的部分網絡需求，我們將一卡通系統劃分為多個部分的部分，每個部分有著不同的網絡平安等級和不同的網絡結構。中心部分中心部分主要包含中心數據庫服務器和熱備中心數據庫服務器。作為一卡通系統的核心部分，他僅能被一卡通各前置服務器、一卡通WEB服務器等服務器直接訪問，其他第三方應用系統及一卡通終端機具無法直接訪問該部分。一卡通專網部分考慮到一卡通系統中的交易類系統和安保性質的身份識別類系統對于平安性有較高的要求，所以，我們對于這些系統使用專用的網絡，與校園網隔離。一卡通專網部分主要包含各種前置服務器、各種終端機具、消費系統工作站、門禁系統工作站、圈存機等。他們要么使用單獨新建的網絡，要么使用部分校園網硬件資源，但是劃分不同的VLAN與校園網隔離。校園網部分由于一卡通應用中，有部分的應用基于校園網中的其他第三方應用，所以，有部分子系統必需與校園網相連。這類系統主要包括：第三方對接平臺、數字迎新、數字離校、圖書館對接、考勤系統等等?；ヂ摼W部分為了更好的為學生、老師服務，一卡通系統中供應有部分基于互聯網的應用。這類應用直接接入互聯網，持卡人可以通過互聯網直接訪問使用。這主要包括：WEB自助服務、短信平臺等各種應用。從總體結構上看，系統采用了先進的多層C/S結構和B/S結構相結合的方式。數據層為中心數據庫主機及存儲，采用雙機熱備技術；業務邏輯處理層由多臺應用服務器組成。主要服務器的功能安排如下：中心服務器：主要運行校園卡后臺服務核心軟件，校園卡數據庫等，以及校園卡中心數據的存儲、更新、備份、維護。終端前置服務器主要用于校園一卡通系統與終端機具間的數據通信。終端前置服務器可以是一臺，也可以是多臺。一臺前置服務器上可以部署多種子系統的前置服務程序，同一系統的前置服務程序也可以部署于不同的前置服務器上，部署方式非常的機敏。外部前置服務器校園一卡通系統與運營商、銀行系統之間的數據通訊通過專用的前置服務器隔離，采用專線連接，保證系統的效率和穩定。校園一卡通系統與運營商系統、銀行系統之間的轉帳（圈存、繳費）、資金劃撥、結算、對帳都由前置服務器完成。校內第三方接入服務器全部來自校園網的各類子系統接入請求統一由接入服務器處理，接入服務器供應標準的接入支持。Web服務器采用Windows系統，供應網上查詢、繳費、掛失等校園一卡通網上服務；或者供應WAP上網查詢等功能。子系統網絡結構設計一卡通系統的應用子系統涉及到許多不同種類的終端機具，其功能各不相同。但是，從通信方式上來講，僅分為3種不同的類型。第一類是涉及資金額度較高的交易類系統以及數據較為重要的身份識別類系統、自助服務類系統。此類系統主要包括：食堂消費、超市消費、圖書館扣費、圈存、門禁系統、考勤系統、彩門系統、訪客系統、自助服務系統等等。這類系統對于數據的實時性、準確性、平安性要求很高，所以，應當考慮使用更加高效、穩定、平安的網絡。為了提高網絡的平安性，這類系統使用專網接入，防止校園網用戶對于終端機具進行破壞。具體操作上，我們考慮對于部分區域新建物理網絡，部分區域劃分VLAN。為了從根本上解決UP系統在這類應用中使用TCP/IP通信協議的終端機具。終端機具直接使用RJ45接口接入交換機，從而接入一卡通專網。第二類是涉及金額較低的交易類系統。此類系統主要包括聯網水控系統、第三類是脫機使用的系統軟件結構設計“UP”校園一卡通系統是在.NET架構下建立的，C/S與B/S結合的三層結構的數字化校園一卡通系統，是基于WEB應用的多層次一卡通軟件系統。使用中間件技術將中心數據庫和應用程序分別，供應了一個易于擴