第10章校園網管理與維護案例分析第10章校園網管理與維護案例分析10.1校園網建設與開展歷程10.1校園網建設與開展歷程10.1校園網建設與開展歷程10.1校園網建設與開展歷程10.1校園網建設與開展歷程第一階段更注重校園網是數字校園的根底平臺，校園網升級改造成為各個高校的熱點，從核心設備到終端效勞，更多的是強調精細化管理，強調校園網的可靠性和穩(wěn)定性，以更好地滿足數字校園建設的支撐平臺的作用。簡單來說，對于校園網：豐富的應用是關鍵，穩(wěn)定可靠的網絡是根底，完善的平安和管理手段是保障。10.1校園網建設與開展歷程第10章校園網管理與維護案例分析校園網具有不同于其他網絡的特點，不同的是在校園網中效勞的對象主要是師生員工，校園網提供了一種促進教學、科研與生活的網絡環(huán)境。1．辦公自動化學校信息網絡中心購置或開發(fā)基于Web的辦公自動化系統(tǒng)〔OA，OfficeAutomation〕，基于Web綜合管理信息系統(tǒng)，提供行政、人事、學籍、教學、后勤、財務管理、公文收發(fā)管理、教師檔案管理、學生檔案管理、科技檔案管理等，使學校日常辦公無紙化，減少辦公開支，提高辦公效率。10.2校園網的根本功能2．網絡多媒體教學將計算機多媒體視聽引入課堂教學，使聲音、圖像、動畫的普遍采用可以大大提高教學效果，使每一節(jié)課都能夠得到有效的作用。3．學生自主學習針對不同的學生，提供不同的教學內容，采取不同的教學手段。主要采用基于VoD、Web及FTP的課件、光盤軟件、Internet資源，學生可以根據自己的需要自由選擇所需內容。

10.2校園網的根本功能10.2校園網的根本功能10.2校園網的根本功能第10章校園網管理與維護案例分析10.3校園網的設計案例分析從建設校園網的過程來看，校園網也是一個較為復雜的網絡。縱觀國內大局部高校近10年來建設的校園網，主要表達了網絡設計模塊化、層次化的設計理念，即建設包含出口、核心、會聚、接入等多層次的網絡。根據學校建筑規(guī)劃，將整個網絡進行了功能區(qū)的劃分，分為教學區(qū)、辦公區(qū)、學生宿舍區(qū)、后勤效勞區(qū)、家屬區(qū)、數據中心、網絡中心等較大的邏輯區(qū)域，將教學樓、辦公樓、學生宿舍區(qū)、家屬區(qū)、后勤效勞區(qū)等園區(qū)交換網作為整個網絡的承載根底，根本都是基于三層架構進行劃分，分為核心層、會聚層和接入層。10.3校園網的設計案例分析10.3校園網的設計案例分析10.3校園網的設計案例分析10.3校園網的設計案例分析10.3校園網的設計案例分析該方案具有如下一些設計特點：〔1〕負載均衡、冗余備份的出口設計?！?〕骨干交換網絡高性能、穩(wěn)定可靠性?！?〕有效的平安和管理措施?！?〕對WLAN〔無線局域網〕的支持。〔5〕全面支持IPv4向IPv6的分階段、分步驟平滑過渡。10.3校園網的設計案例分析第10章校園網管理與維護案例分析10.4.1校園網網絡管理的主要內容具體內容包括：(1)設置開放系統(tǒng)中有關路由器、交換機相關操作的參數；(2)被管對象和被管對象組名字的管理；(3)根據要求收集系統(tǒng)當前狀態(tài)的有關信息；(4)獲取系統(tǒng)重要變化的信息；(5)更改系統(tǒng)的配置。

10.4.1校園網網絡管理的主要內容2．性能管理性能管理用來評估系統(tǒng)資源的運行狀況及通信效率等系統(tǒng)性能。其能力包括監(jiān)視和分析被管網絡及其所提供效勞的性能。性能分析的結果可能會觸發(fā)某個診斷測試過程或重新配置網絡以維持網絡的性能。性能管理收集分析有關被管網絡當前狀況的數據信息，并維持和分析性能日志。目前高校的P2P流量大量占用著網絡帶寬，只有有效地對網絡帶寬進行分析統(tǒng)計并采取相關的措施，才能保證校園網高速地運行。一些高校使用流量控制設備對全網的流量進行分析、統(tǒng)計，并制定相關的策略限制P2P流量，保證帶寬的合理使用。10.4.1校園網網絡管理的主要內容高校校園網性能管理典型的功能包括：(1)收集、分析、統(tǒng)計校園網網絡設備的信息；(2)維護并檢查系統(tǒng)狀態(tài)日志；(3)確定自然和人工狀況下系統(tǒng)的性能；(4)制定相關的管理措施保證校園網的合理使用。

10.4.1校園網網絡管理的主要內容3．故障管理為保障網絡系統(tǒng)的高穩(wěn)定性,在網絡出現問題時,必須判斷故障所在節(jié)點并進行恢復。它包含所有以節(jié)點運行狀態(tài)、故障記錄的追蹤與檢查及平常對各種通信協(xié)議的測試。網絡故障管理包括故障檢測、隔離和糾正三方面，應包括以下典型功能：(1)維護并檢查錯誤日志；(2)接受錯誤檢測報告并作出響應；(3)跟蹤、識別錯誤；(4)執(zhí)行診斷測試；(5)糾正錯誤。10.4.1校園網網絡管理的主要內容對網絡故障的檢測依據對網絡組成部件狀態(tài)的監(jiān)測。不嚴重的簡單故障通常被記錄在錯誤日志中，不作特別處理；而嚴重一些的故障那么需要發(fā)生“警報〞。一般網絡管理系統(tǒng)應根據有關信息對警報進行處理，排除故障。當故障比較復雜時，網絡管理系統(tǒng)應能執(zhí)行一些診斷測試來區(qū)分故障原因。10.4.1校園網網絡管理的主要內容10.4.1校園網網絡管理的主要內容10.4.1校園網網絡管理的主要內容5．計費管理計費管理可以掌握每個用戶網絡使用時間，對局部網絡做出使用統(tǒng)計，控制和標準每個用戶的上網。計費管理系統(tǒng)能夠實現事前的身份認證和準確定位、事中的實時處理、事后的完整日志審計。事前的認證和定位是指可嚴格實現用戶身份識別，根據用戶賬號、密碼、MAC地址、IP地址、交換機IP、交換機端口號、用戶所在VLAN的靈活組合，來識別用戶身份，將網絡中的虛擬用戶和生活中的真實用戶相對應。10.4.1校園網網絡管理的主要內容10.4.1校園網網絡管理的主要內容具體內容包括：(1)設置開放系統(tǒng)中有關路由器、交換機相關操作的參數；(2)被管對象和被管對象組名字的管理；(3)根據要求收集系統(tǒng)當前狀態(tài)的有關信息；(4)獲取系統(tǒng)重要變化的信息；(5)更改系統(tǒng)的配置。

10.4.1校園網網絡管理的主要內容10.4.2IP地址管理及路由規(guī)劃10.4.2IP地址管理及路由規(guī)劃IP地址規(guī)劃必須全校統(tǒng)一考慮，盡可能考慮到今后和其他院系互聯后的地址沖突問題。對校園網中所有網絡設備IP地址和鏈路上IP地址均采用私有IP地址，網絡設備和鏈路私有IP地址對外不可訪問，校外用戶不可能通過掃描、跟蹤和遠程登錄的方法來了解校園網的結構或訪問網絡設備，提高了網絡平安性。對于廣闊網絡用戶來說，如果具有足夠的公網IP地址資源，盡可能分配公有IP地址，因此對用戶和所有網絡應用系統(tǒng)不產生任何負面影響。10.4.2IP地址管理及路由規(guī)劃10.4.2IP地址管理及路由規(guī)劃10.4.2IP地址管理及路由規(guī)劃2〕動態(tài)IP地址分配方式動態(tài)分配IP地址是指當用戶計算機需要聯入網絡工作時，系統(tǒng)在所掌握的可分配IP地址空間中，隨機挑選一個給用戶使用的IP地址分配方式。對于用戶較多的網絡，采用動態(tài)分配IP地址是一種十分方便的IP管理方式。IP地址的動態(tài)分配是通過TCP/IP的動態(tài)主機配置協(xié)議〔DHCP〕進行的，由于校園網絡規(guī)模的不斷擴大，簡單的動態(tài)分配地址的方式已經不再適合校園網絡的應用，涉及的問題主要有：簡單的動態(tài)分配一般是在單一的子網中進行的，校園網絡一般有很多的子網，這就需要與有DHCPrelay功能的設備相結合來解決。10.4.2IP地址管理及路由規(guī)劃簡單的動態(tài)分配的網絡中，客戶端可以私自設置靜態(tài)的IP地址，從而使客戶端的IP地址產生沖突。解決沖突問題需要與設備相結合，使客戶端只能夠使用動態(tài)IP地址，自行設置靜態(tài)地址時，網絡自動斷開客戶端。目前比較通用的做法是采用對RADIUS效勞器的客戶端IP接入限制功能進行限制。為了防止用戶私設DHCP效勞器，擾亂正常的DHCP效勞器工作，可以通過在接入交換機上設置限制非DHCP效勞器接入端口的效勞來限制。目前大局部網絡設備廠商的交換機內置DHCP效勞器實現全網的DHCP效勞器的分散，防止單點故障；核心交換機也可以支持防私設DHCP效勞器。10.4.2IP地址管理及路由規(guī)劃10.4.2IP地址管理及路由規(guī)劃10.4.2IP地址管理及路由規(guī)劃(1)路由器隔離具體的實現方法有兩種：使用靜態(tài)路由表，即在路由器中建立一個MAC地址與IP地址的對應表，只有“MAC-IP地址對〞合法匹配的機器才能得到正確的ARP應答；還可以通過SNMP定期掃描網絡各路由器ARP表，獲得當前IP-MAC對照關系，與存儲的合法IP-MAC地址進行比較，不一致者即為非法訪問。(2)“雙綁定〞策略是通過把MAC與IP地址、IP地址與交換機端口進行雙綁定。由于用戶所連接交換機的物理端口的不可改變性，從而真正實現了用戶IP與MAC的一一對應。10.4.2IP地址管理及路由規(guī)劃10.4.2IP地址管理及路由規(guī)劃(4)在校園網絡中使用PPPoE的認證方式主要是解決學生宿舍、教工宿舍以及一些分布比較分散的客戶端上網問題，還可以解決ARP攻擊及欺騙等方面的問題，因為PPPoE不使用ARP，也就不存在ARP攻擊。但是，PPPoE在校園網內部不適合整體使用，對分散用戶如家屬區(qū)等比較適合。采用PPPoE接入方式，不需要設置固定IP地址、默認網關和域名效勞器。即使在用戶亂設造成IP地址沖突的情況下，依然可以正常上網。它對通過成對修改IP-MAC地址來盜用IP地址有很好的防范效果。10.4.2IP地址管理及路由規(guī)劃10.4.2IP地址管理及路由規(guī)劃10.4.2IP地址管理及路由規(guī)劃1．802.1x協(xié)議介紹802.1x協(xié)議起源于802.11協(xié)議〔IEEE的無線局域網協(xié)議〕，制訂802.1x協(xié)議的初衷是為了解決無線局域網用戶的接入認證問題。IEEE802LAN協(xié)議定義的局域網并不提供接入認證，只要用戶能接入局域網控制設備(如局域網交換機)，就可以訪問局域網中的設備或資源。在早期企業(yè)有線局域網應用環(huán)境下并不存在明顯的平安隱患。隨著移動辦公及駐地網運營等應用的大規(guī)模開展，效勞提供者需要對用戶的接入進行控制和配置。尤其是WLAN的應用和LAN接入在電信網上大規(guī)模開展，有必要對端口加以控制以實現用戶級的接入控制。802.lx就是IEEE為了解決基于端口的接入控制而定義的一個標準。IEEE802.1x協(xié)議是標準化的符合IEEE802協(xié)議集的局域網接入控制協(xié)議，其全稱為基于端口的訪問控制協(xié)議(portbasenetworkaccesscontrolprotocol)，能夠在利用IEEE802局域網優(yōu)勢的根底上提供一種對連接到局域網用戶的認證和授權手段，到達接受合法用戶接入、保護網絡平安的目的。2〕802.1x分布式組網(接入層設備分布認證)802.1x分布式組網是把802.lx認證系統(tǒng)端放在網絡位置較低的多個LANSwitch設備上，這些LANSwitch作為接入層邊緣設備。認證報文送給邊緣設備，進行802.1x認證處理。這種組網方式的優(yōu)點在于，它采用中/高端設備與低端設備認證相結合的方式，可滿足復雜網絡環(huán)境的認證。認證任務分配到眾多的設備上，減輕了中心設備的負荷。802.lx分布式組網方式非常適用于受控組播等特性的應用，建議采用分布式組網對受控組播業(yè)務進行認證。如果采用集中式組網將受控組播認證設備端放在會聚設備上，從組播效勞器下行的流在到達會聚設備之后，由于認證系統(tǒng)還下掛接入層設備，將無法區(qū)分最終用戶，假設翻開該受控端口，那么會聚層端口以下的所有用戶都能夠訪問到受控組播消息源。反之，如果采用分布式組網，那么從組播效勞器來的組播流到達接入層認證系統(tǒng)，可以實現組播成員的精確粒度控制。3〕802.1x本地認證組網802.1x的AAA認證可以在本地進行，而不用到遠端認證效勞器上去認證。這種本地認證的組網方式在專線用戶或小規(guī)模應用環(huán)境中非常適用。它的優(yōu)點在于節(jié)約本錢，不需要單獨購置昂貴的效勞器，但隨著用戶數目的增加，還需要由本地認證向RADIUS認證遷移。4．基于802.1x+RADIUS在校園網中的應用實例對于高校園區(qū)網絡，平安性問題不僅來自外部網絡，更主要的威脅還是來自內部網絡，很多學生出于好奇心或其它心理而采取的網絡地址盜用、網絡攻擊等方式無疑是網絡系統(tǒng)中的一個隱患，如何有效地設計平安接入和靈活計費方案是一個很重要的問題。在校園三層網絡架構的根底上，802.1x與RADIUS主要用于校園網用戶平安認證與計費系統(tǒng)上。目前一些主流的網絡平安產品和計費系統(tǒng)都開發(fā)了支持802.1x的認證系統(tǒng)，近年來各網絡設備廠商生產的主流交換機在物理硬件上都支持802.1x協(xié)議。通過對接入層設備以及后臺計費效勞器的RADIUS認證進行配置，可以簡單實現校園網上的802.1x認證功能。以下通過銳捷網絡的一個認證計費應用實例具體說明如何通過802.1x配置及后臺RADIUS配置來實現平安接入和計費。采用銳捷平安接入和靈活計費〔802.1x〕方案具有以下優(yōu)點：〔1〕一次同時認證用戶名、IP、MAC。在進行802.1X認證時，客戶端同時提交用戶名、IP、MAC，一次認證即同時完成用戶名、IP、MAC三者的認證。這樣，其它用戶盜取用戶賬號或IP或MAC或三者中任兩者都無法假冒真正用戶。更重要的是，這些都只需簡單地在RADIUS效勞器上設置單一的表格即可實現基于全宿舍網甚至全校的接入控制認證。〔2〕分布式認證方式，防止出現單一故障點。各接入交換機〔如S2024堆疊系列交換機、S1924G+/F+接入交換機等〕直接完成接入認證，不容易單點故障；同時，還可提高認證效率.〔3〕認證流和業(yè)務流實現別離，實現高效的認證，防止出現用戶無法認證的情況。802.1x認證協(xié)議的核心設計思想是交換和控制的別離，認證流和業(yè)務流的別離。通過端口〔可以是交換機的物理端口、用戶PC的MAC地址，也可以是VLANID〕的兩個邏輯通道：非受控端口和受控端口來實現對用戶的控制。非受控端口始終關閉，只允許認證流上來；受控端口走業(yè)務流，始終翻開，只有通過認證才能關閉，用戶的業(yè)務才能上來。當用戶認證流上來后，通過非受控端口進入交換機，由交換機協(xié)議體系提取用戶名和密碼對用戶身份進行認證；當用戶通過認證后，受控端口關閉，用戶的業(yè)務流可以上行。這一點很類似于窄帶交換網的7號信令系統(tǒng)，控制信令和語音數據的別離。基于交換與控制別離的設計思路，802.1x認證協(xié)議實現簡單、高效，認證的容量很大，可以保證用戶及時通過認證，在網絡流量大、認證用戶數多時不會對設備的性能產生影響，保證整個網絡高效、穩(wěn)定地運行。〔4〕靈活擴展計費功能。通過RADIUS效勞器，802.1x完全支持計費功能。同時，支持對用戶離線信息的檢測，對于后續(xù)開展基于按時計費的增值效勞有利。當用戶因電腦死機或異常關閉造成非主動下線，如果沒有一種定期檢測用戶是否在線的機制，那么會造成按時計費信息的不準。802.1x認證設置了對用戶離線的檢測機制，定期會由認證系統(tǒng)對在線用戶進行一次握手，如果用戶仍在線，那么其客戶端會響應認證系統(tǒng)的檢測請求；如果用戶不在線，那么其客戶端不會響應認證系統(tǒng)的檢測請求，在三次握手不成功后，就會中止計費信息。同時，由于用戶名/密碼跟特定用戶的IP、MAC捆綁，用戶無須擔憂用戶名/密碼泄露引起不必要的麻煩。本節(jié)選擇H3CiMC作為專業(yè)網絡管理平臺軟件進行介紹，可以從中學習到利用專業(yè)的網絡管理平臺進行網絡管理的一些經驗。H3C提供包括網絡管理、用戶管理、業(yè)務管理等全面的管理解決方案：H3C智能管理中心〔H3CIntelligentManagementCenter，H3CiMC〕。10.4.4網絡管理平臺案例介紹本節(jié)選擇H3CiMC作為專業(yè)網絡管理平臺軟件進行介紹，可以從中學習到利用專業(yè)的網絡管理平臺進行網絡管理的一些經驗。H3C提供包括網絡管理、用戶管理、業(yè)務管理等全面的管理解決方案：H3C智能管理中心〔H3CIntelligentManagementCenter，H3CiMC〕。10.4.4網絡管理平臺案例介紹本節(jié)選擇H3CiMC作為專業(yè)網絡管理平臺軟件進行介紹，可以從中學習到利用專業(yè)的網絡管理平臺進行網絡管理的一些經驗。H3C提供包括網絡管理、用戶管理、業(yè)務管理等全面的管理解決方案：H3C智能管理中心〔H3CIntelligentManagementCenter，H3CiMC〕。10.4.4網絡管理平臺案例介紹本節(jié)選擇H3CiMC作為專業(yè)網絡管理平臺軟件進行介紹，可以從中學習到利用專業(yè)的網絡管理平臺進行網絡管理的一些經驗。H3C提供包括網絡管理、用戶管理、業(yè)務管理等全面的管理解決方案：H3C智能管理中心〔H3CIntelligentManagementCenter，H3CiMC〕。10.4.4網絡管理平臺案例介紹本節(jié)選擇H3CiMC作為專業(yè)網絡管理平臺軟件進行介紹，可以從中學習到利用專業(yè)的網絡管理平臺進行網絡管理的一些經驗。H3C提供包括網絡管理、用戶管理、業(yè)務管理等全面的管理解決方案：H3C智能管理中心〔H3CIntelligentManagementCenter，H3CiMC〕。10.4.4網絡管理平臺案例介紹本節(jié)選擇H3CiMC作為專業(yè)網絡管理平臺軟件進行介紹，可以從中學習到利用專業(yè)的網絡管理平臺進行網絡管理的一些經驗。H3C提供包括網絡管理、用戶管理、業(yè)務管理等全面的管理解決方案：H3C智能管理中心〔H3CIntelligentManagementCenter，H3CiMC〕。10.4.4網絡管理平臺案例介紹本節(jié)選擇H3CiMC作為專業(yè)網絡管理平臺軟件進行介紹，可以從中學習到利用專業(yè)的網絡管理平臺進行網絡管理的一些經驗。H3C提供包括網絡管理、用戶管理、業(yè)務管理等全面的管理解決方案：H3C智能管理中心〔H3CIntelligentManagementCenter，H3CiMC〕。10.4.4網絡管理平臺案例介紹本節(jié)選擇H3CiMC作為專業(yè)網絡管理平臺軟件進行介紹，可以從中學習到利用專業(yè)的網絡管理平臺進行網絡管理的一些經驗。H3C提供包括網絡管理、用戶管理、業(yè)務管理等全面的管理解決方案：H3C智能管理中心〔H3CIntelligentManagementCenter，H3CiMC〕。10.4.4網絡管理平臺案例介紹本節(jié)選擇H3CiMC作為專業(yè)網絡管理平臺軟件進行介紹，可以從中學習到利用專業(yè)的網絡管理平臺進行網絡管理的一些經驗。H3C提供包括網絡管理、用戶管理、業(yè)務管理等全面的管理解決方案：H3C智能管理中心〔H3CIntelligentManagementCenter，H3CiMC〕。10.4.4網絡管理平臺案例介紹本節(jié)選擇H3CiMC作為專業(yè)網絡管理平臺軟件進行介紹，可以從中學習到利用專業(yè)的網絡管理平臺進行網絡管理的一些經驗。H3C提供包括網絡管理、用戶管理、業(yè)務管理等全面的管理解決方案：H3C智能管理中心〔H3CIntelligentManagementCenter，H3CiMC〕。10.4.4網絡管理平臺案例介紹H3CiMC是H3CIToIP解決方案的統(tǒng)一管理中心，基于SOA架構，采用靈活的組件化結構，支持與HPOpenview、SNMP等通用網管平臺的集成，支持集成各多廠家設備管理系統(tǒng)，與H3C的數據通信設備產品一起為用戶提供全網解決方案，幫助客戶真正實現網絡的按需構建。H3CiMC作為IToIP解決方案核心管理系統(tǒng)，為用戶提供了靈活的組件化結構，包括智能管理平臺、智能配置中心〔iCC〕、ACL管理、MPLSVPN管理、用戶接入管理、EAD解決方案、無線管理、EPON管理等業(yè)務組件，可以根據自己的管理需要和網絡情況靈活選擇需要的組件，真正實現“按需建構〞。H3C智能管理中心解決方案架構如圖10.2所示。10.4.4網絡管理平臺案例介紹10.4.4網絡管理平臺案例介紹由圖10.2可以看出H3CiMC管理系統(tǒng)由智能管理平臺以及各個業(yè)務組件組成，管理平臺提供網絡管理的一些根底功能，比方故障管理、性能管理、資源和拓撲管理、用戶管理等，業(yè)務組件提供相應的業(yè)務管理功能；各個業(yè)務組件相對獨立，并可以無縫地集成在管理平臺中，使得整個系統(tǒng)具有很強的可擴展性。H3CiMC智能管理平臺實現網絡資源、用戶和業(yè)務的融合管理，提供根本的網絡資源管理、拓撲管理、故障管理、性能管理、用戶管理及系統(tǒng)平安管理，基于B/S架構，可以與H3CiMC其他業(yè)務組件有效集成，形成多種解決方案。H3CiMC智能管理平臺不僅可以實現H3C全線數據通信產品的管理，也可通過標準MIB實現對Cisco等各主流廠商的數據通信設備管理。10.4.4網絡管理平臺案例介紹1．系統(tǒng)平安管理系統(tǒng)平安管理功能主要包括操作日志管理、操作員管理、分組分級與權限管理、操作員登錄管理等。10.4.4網絡管理平臺案例介紹3．拓撲管理iMC拓撲管理從網絡拓撲的解決直觀地提供給用戶對整個網絡及網絡設備資源的管理。拓撲管理包括如下內容。10.4.4網絡管理平臺案例介紹〔1〕拓撲自動發(fā)現。H3CiMC可以自動發(fā)現網絡拓撲結構，支持全網設備的統(tǒng)一拓撲視圖，通過視圖導航樹提供視圖間的快速導航。通過自動發(fā)現可以發(fā)現網絡中的所有設備及網絡結構〔具體參見資源管理〕，并且可以將非SNMP設備發(fā)現出來，只要設備可以ping通即可。這樣就可以將所有網絡設備都列入其管理范圍〔只要設備IP可達〕。同時支持自動的拓撲圖呈現和自定義拓撲。自動拓撲可以自動將網絡中的邏輯連接關系顯示出來，同時可以保存為自定義拓撲圖，并可根據具體情況進行修改，以便于網管員對整個網絡設備進行監(jiān)控。10.4.4網絡管理平臺案例介紹支持對全網設備和連接定時輪詢和狀態(tài)刷新，實時了解整個網絡的運行情況，并且刷新周期是可定制〔刷新周期：60～7200秒〕的，同時也支持對多個設備的刷新周期進行批量配置。10.4.4網絡管理平臺案例介紹〔2〕支持自定義拓撲。H3CiMC的拓撲功能支持靈活的自定義功能，管理人員可以根據網絡的實際組網情況和設備重要性的不同靈活定制網絡拓撲，可對拓撲圖進行增、刪、改等編輯操作，使網絡拓撲能夠清晰地呈現整個校園網的網絡結構以及IT資源分布?！?〕自動識別各種網絡設備和主機的類型。H3CiMC可以自動識別H3C、Cisco等廠商的設備、Windows、Solaris的PC和工作站，其他SNMP設備和ping設備，并且以樹狀方式組織，以不同的圖標顯示區(qū)分。在拓撲圖上更可進一步對設備的類型進行區(qū)分，如區(qū)分路由器、交換機、平安網關、存儲設備、監(jiān)控設備、無線設備、語音設備、打印機、UPS、效勞器、PC等。10.4.4網絡管理平臺案例介紹〔4〕設備狀態(tài)、連接狀態(tài)、告警狀態(tài)等信息在拓撲圖上可以直觀顯示出來。H3CiMC的拓撲功能與故障管理和性能管理緊密融合，通過圖10.3能夠清晰地看到北京建筑工程學院IT資源的狀態(tài)，包括運行是否正常、網絡帶寬、接口連通、配置變化都能一目了然。多種顏色區(qū)分不同級別故障，節(jié)點圖標顏色反映設備狀態(tài)。10.4.4網絡管理平臺案例介紹10.4.4網絡管理平臺案例介紹〔5〕拓撲能提供設備管理便捷入口。H3CiMC拓撲能夠提供對設備管理的便捷入口，管理員只需右擊拓撲圖中的設備圖標即可啟動設備管理各項功能，實現對設備的面板管理等各項功能配置。10.4.4網絡管理平臺案例介紹4．故障〔告警/事件〕管理故障管理，即告警/事件管理，是H3CiMC的核心模塊，是iMC智能管理平臺及其他業(yè)務組件統(tǒng)一的告警中心。iMC告警中心可以接收各種告警源的告警事件，包括設備告警、本級網管站及下級網管站告警、網絡性能監(jiān)視告警、網絡配置監(jiān)視告警、網絡流量異常監(jiān)視告警、終端平安異常告警等；同時通過支持對設備定時輪詢，實現通斷告警、響應時間告警等，以告警事件的方式上報給H3CiMC告警中心。10.4.4網絡管理平臺案例介紹iMC告警中心根據告警腳本中的告警事件定義，接收并解析上報的告警事件；H3CiMC對接收到的告警事件進行深度關聯分析，系統(tǒng)默認支持重復事件閾值告警、閃斷事件閾值告警、未知事件閾值告警、未管理設備閾值告警，并能在故障恢復時自動確認相關告警；同時可以根據自己的需要確定事件的告警規(guī)那么，以適應網絡管理需要。10.4.4網絡管理平臺案例介紹H3CiMC提供告警知識庫。告警知識是用戶在維護過程中的經驗總結，將這些經驗輸入系統(tǒng)，下次再出現同樣的故障時，可以作為參考。選中一條告警記錄，系統(tǒng)根據用戶選中的告警記錄，從告警知識庫中查詢出該條告警記錄的維護經驗，供用戶進行告警處理時參考。用戶將自己的日常處理經驗以及業(yè)務信息及時寫入數據庫、更新告警知識庫對以后的故障診斷與排除非常有益。10.4.4網絡管理平臺案例介紹6．設備管理組件H3CiMC支持對H3C全系列IP產品進行設備管理，提供豐富的管理功能。通過面板管理，網絡管理人員可以直觀地看到設備、板卡、端口的工作狀態(tài)，通過設備信息瀏覽監(jiān)視，管理人員可以了解設備的運行情況，實時監(jiān)視CPU利用率、端口利用率等重要信息。同時，H3CiMC提供圖形化的配置方式，使設備功能配置不再復雜。H3CiMC向用戶提供了完善的網元管理功能，通過逼真的面板圖片，直觀地反映了設備運行情況。10.4.4網絡管理平臺案例介紹7．無線管理組件H3CiMC無線業(yè)務管理組件〔以下簡稱為WSM組件〕依托iMC智能管理平臺，實現有線無線一體化的管理。用戶可以獲得全面的無線業(yè)務管理能力，實現AC、FatAP、FitAP、移動終端等無線設備的集中管理，輕松實現設備配置管理功能，并提供無線拓撲、AP設備物理位置拓撲等多種拓撲功能，對全網無線設備進行直觀、有效的組織，對網絡部署和設備狀態(tài)一目了然，利用策略模板等功能可以實現網絡和設備的批量配置，提升效率，降低維護本錢。基于Web的管理系統(tǒng)，為無線業(yè)務管理者提供了簡便、友好的管理平臺。10.4.4網絡管理平臺案例介紹第10章校園網管理與維護案例分析

10.5.1校園網計費管理的功能10.5.2校園網計費系統(tǒng)案例介紹10.5校園網計費管理10.5.1校園網計費管理的功能10.5.1校園網計費管理的功能2．靈活的計費策略計費策略主要有三：按時長、按流量和按帶寬。從實際情況看，時長計費最普遍，流量計費最科學，帶寬計費最簡單。同時由于一個校園網的用戶有許多類，因此可能這3種計費策略都會被采用。但是，新建和改建的校園網往往采用可操作性強、簡單的按時長計費的方式，并且配合預付費的方式進行收費，從而保證了杜絕惡意欠費的發(fā)生。

10.5.1校園網計費管理的功能3．精確的費用統(tǒng)計網絡使用一旦進行收費，就需要能夠精確地計費，這是一個可運營的網絡必備的條件。其中最需要關注的是是否會因PC死機等異常情況造成計費的不準確。因此需要一套保護機制，做到無論采用哪種計費策略、發(fā)生什么異常都能保證計費的準確。

10.5.1校園網計費管理的功能10.5.1校園網計費管理的功能10.5.1校園網計費管理的功能10.5.1校園網計費管理的功能

10.5.2校園網計費系統(tǒng)案例介紹10.5校園網計費管理Dr.COM是北京城市熱點公司針對高校推出的一款校園網用戶認證計費管理系統(tǒng)，在全國多所高校得到了成功的應用。Dr.COM校園網用戶認證計費管理系統(tǒng)是城市熱點在校園網絡的產品的總稱，包括以下系統(tǒng)：Dr.COM2133BRAS/2033BMG計費管理網關Dr.COMBillingWare計費管理軟件Dr.COMSOLS在線用戶實時管理系統(tǒng)Dr.COMIDP信息發(fā)布平臺Dr.COMClient客戶端

10.5.2校園網計費系統(tǒng)案例介紹Dr.COM計費網關與802.1x交換機的無縫結合的用戶認證授權體系是目前最為理想的用戶管理模式，主要的優(yōu)勢有：〔1〕計費更加準確，可以對CERNET和互聯網的不同目標地址段進行分別計費?！?〕支持各種復雜的包月和儲值卡的計費，覆蓋學校當前和以后開展所需要的計費策略?？梢园磿r間、流量、帶寬等計費方式，支持包月、計量制、分檔制、封頂等多種計費策略，還支持按源地址優(yōu)惠、目標地址優(yōu)惠、時段優(yōu)惠、效勞計費策略。〔3〕授權更加明細。設置不同的內外網上下行帶寬、目標地址的訪問控制。10.5.2校園網計費系統(tǒng)案例介紹〔4〕分工更加明確。802.1x交換機負責內網端口控制，網關控制外網的訪問，完成三層和四層的策略?！?〕升級更加容易。通過升級計費網關就可以實現大局部功能的定制，無須升級交換機?！?)高性能的Dr.COM計費網關，可以承擔多地址池的NAT、8000個用戶的同時連接，實現千兆線速交換?！?〕詳實的上網訪問紀錄。Dr.COM的架構如圖10.4所示，支持802.1x和RADIUS認證，在校園網的出口部署滿足多出口計費要求。10.5.2校園網計費系統(tǒng)案例介紹10.5.2校園網計費系統(tǒng)案例介紹圖10.5描述了Dr.COM系統(tǒng)在重慶大學部署的架構圖。重慶大學認證計費系統(tǒng)分校園網接入、后臺管理、前臺認證3步進行?？紤]到重慶大學校園網絡的覆蓋面大、結構復雜等情況，城市熱點為校園主干網采用了分布式接入的方式。10.5.2校園網計費系統(tǒng)案例介紹10.5.2校園網計費系統(tǒng)案例介紹〔1〕采用3臺Dr.COM2133認證計費網關分布式接入校園網效勞器端口，每臺設備對指定的區(qū)域進行認證計費，這樣使不同校區(qū)的計費體系互不干擾，并可兼顧校區(qū)與樓宇的功能區(qū)別進行分別計費。〔2〕后臺管理：完成了主網的接入，并且基于Dr.COM標準接口城市熱點開發(fā)了重慶大學網絡中心運營管理系統(tǒng)。操作員利用該系統(tǒng)可完成對用戶帳戶信息、登錄記錄、操作記錄等信息的查詢和修改，同時對學生新注冊帳戶進行激活。簡潔但完善的后臺操作系統(tǒng)，為重慶大學網絡中心對校園網的維護管理工作提供了非常簡便清晰的操作平臺。10.5.2校園網計費系統(tǒng)案例介紹〔3〕用戶自主效勞平臺：在完成了前兩步的設置后，城市熱點又為重慶大學搭建了前臺用戶自主效勞平臺。在用戶登錄界面，已注冊用戶除登錄外還可根據自己用戶性質的不同〔如辦公用戶、學生用戶、家屬區(qū)用戶等〕進行密碼修改、客戶端下載等功能。未注冊用戶那么可通過該界面進行注冊，等待后臺管理員激活用戶后即可使用。當用戶成功登錄自助效勞平臺后，不同用戶可根據自己的需求進行用戶根本信息的查詢、登錄查詢、交費查詢、帳單查詢、修改密碼、開停機、資費變更、地址變更等。10.5.2校園網計費系統(tǒng)案例介紹〔4〕Dr.COM系統(tǒng)與校園一卡通對接。學校內師生及員工都使用一卡通系統(tǒng)進行繳費，可直接通過一卡通圈存機向校園網帳戶進行轉帳、校園網帳戶余額查詢、校園網帳戶開停機等操作。這樣不僅方便師生進行網絡繳費等操作，而且大大節(jié)約了學校在收費管理上的本錢?！?〕客戶端域名解析。為了實現計費網關的負載均衡，所有學生用戶客戶端使用相同登錄域名：，根據用戶登錄源IP地址的不同，DNS效勞器將用戶解析為不同的Dr.COM計費網關IP登錄地址。10.5.2校園網計費系統(tǒng)案例介紹第10章校園網管理與維護案例分析校園網常見的平安風險10.6.2校園網平安防范對策校園網是一個開放的網絡環(huán)境，隨著網絡的普及，還有龐大活潑的學生用戶群，校園網應用系統(tǒng)較多，部署了大量的效勞器，還有大量的個人計算機接入網絡，校園網也接入了CERNET等。高校校園網平安問題很突出，平安管理問題也非常復雜?！?〕校園網規(guī)模大，高帶寬接入因特網。高校校園網是最早的寬帶網絡，各學校除接入CERNET外，還具有少那么幾十兆甚至幾個吉的公網出口。目前在校園網中普遍使用了百兆到桌面、千兆甚至萬兆實現園區(qū)主干互聯。校園網的用戶群體一般也比較大，少那么數千人，多那么數萬人，一般都建有學生宿舍網，用戶群比較密集，正是由于高帶寬和大用戶量的特點，網絡平安問題一般蔓延快，對網絡的影響比較嚴重。校園網常見的平安風險校園網常見的平安風險〔4〕有限的投入。校園網的建設和管理通常都輕視了網絡平安，特別是管理和維護人員方面的投入明顯缺乏。在中國大多數的校園網中，通常只有網絡中心的少數工作人員，他們只能維護網絡的正常運行，無暇顧及，也沒有條件管理和維護數萬臺計算機的平安，院、系一級并沒有專職的計算機系統(tǒng)管理員。校園網常見的平安風險〔5〕盜版資源泛濫。由于缺乏版權意識，盜版軟件、影視資源在校園網中普遍使用，這些軟件的傳播一方面占用了大量的網絡帶寬，另一方面也給網絡平安帶來了一定的隱患。比方，Microsoft公司對盜版的WindowsXP操作系統(tǒng)的更新作了限制，盜版安裝的計算機系統(tǒng)今后會留下大量的平安漏洞。另一方面，從網絡上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼，許多系統(tǒng)因此被攻擊者侵入和利用。校園網常見的平安風險以上各種原因導致校園網既是大量攻擊的發(fā)源地，也是攻擊者最容易攻破的目標。當前校園網常見的風險如下：〔1〕普遍存在的計算機系統(tǒng)的漏洞，對信息平安、系統(tǒng)的使用、網絡的運行構成嚴重的威脅?！?〕計算機蠕蟲、病毒泛濫，影響用戶的使用、信息平安、網絡運行。〔3〕外來的系統(tǒng)入侵、攻擊等惡意破壞行為。有些計算機已經被攻破，用做黑客攻擊的工具；拒絕效勞攻擊目前越來越普遍，不少開始針對重點高校的網站和效勞器；校園網常見的平安風險〔4〕內部用戶的攻擊行為。這些行為給校園網造成了不良的影響，損害了學校的聲譽；〔5〕校園網內部用戶對網絡資源的濫用。有的校園網用戶利用免費的校園網資源提供商業(yè)的或者免費的視頻、軟件資源下載，占用了大量的網絡帶寬，影響了校園網的應用?！?〕垃圾郵件、不良信息的傳播。有的利用校園網內無