网络统一身份认证计费管理系统建设方案综合

XXXX学院网络统一身份认证计费管理系

统建设方案

2016年03月

目录

一．计费系统设计规划 (2)

二．方案建设目标 (2)

三．总体方案 (3)

1.方案设计 (3)

A.方案（串连网关方式） (3)

B.方案（旁路方式+BRAS，BRAS产品） (4)

四．认证计费管理系统与统一用户管理系统的融合 (8)

4.1统一用户管理系统的融合 (8)

4.2一卡通系统的融合 (9)

4.3用户门户系统的融合 (9)

五．认证计费管理系统功能介绍 (9)

六．用户案例 (14)

6.1清华大学案例介绍 (14)

6.2成功案例-部分高校 (16)

6.3系统稳定运行用户证明 (16)

七.实施方案 (16)

7.1实施前准备工作 (16)

7.2认证计费系统安装 (16)

7.3实施割接前测试工作 (16)

7.4实施中割接、割接后测试工作 (17)

一．计费系统设计规划

XXXX技术学院整体用户规模设计容量为10000用户，同时在线用户规模为5000人，具有多个出口线路；网络特点呈现高带宽，高用户，多种接入方式使用人群，并且在未来还会以多种网络架构存在（有线，无线）。因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量，同时也必须能满足复杂的接入模式，多种灵活的控制计费策略。

在充分满足IPv4用户的认证计费需求的前提下，设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求，同时还需要满足无线和有线认证的融合统一认证管理模式；目前学校已经使用一卡通系统，安全认证计费管理系统必须和一卡通系统实现对接，能支持未来的数字化校园，能够融合到统一身份认证平台。

有线网和无线网是实现账户统一，避免一个用户需要多账户登录有线网和无线网的情况，并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接，实现用户账号的同步关联。

二．方案建设目标

针对目前学校对于用户认证计费系统的需求，通过安全认证网络管理计费系统，搭建一套包括用户接入、认证、计费及用户管理的综合平台，为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解

决方案。

?实现全网用户统一身份认证和精准计费；

?解决现有系统的功能不足和改善用户端体验；

?实现全网统一管理，整体数据分析；

?现有网络设备升级，提升整体网络速度；

?实现一个用户账号可以全部认证，同时和校园一卡通，信息门户的对接，实现用户账号的同步。

?实现用户无线、有线一体化,全网统一身份认证计费；三．总体方案

1.方案设计

A.方案（串连网关方式）

系统部署说明：（网关实现精准流量计费和灵活控制）将认证计费网关采用多链路/万兆链路串行在核心设备与路由器之间，采用透明桥方式，此种方案具有以下几种特点：

1.网关热备，可以做一台或者多台网关热备，其中任何一条链路出现故障或者其中一台网关故障，用户会自动切换到另外一台网关中，无需用户从新认证。

2.针对用户进行实时流量采集，具有实时性，用户费用不会出现欠费（负数）状态，到零自动切断用户上网。

3.针对每个用户可以进行动态带宽限制。

4.实现基于流量的多种灵活的计费策略，流量套餐，包月限制流量等等。

5.采用多链路方式增加整体网络吞吐量和链路的冗余可靠性。

6.教学区采用Portal认证模式，实现用户的方便认证，适应多种智能终端。

以网关模式部署的深澜认证计费系统有着众多高校的实际应用案例，例如：清华大学、北京理工大学、北京师范大学、北大医学院、北京航空航天大学、中央民族大学、西安交大、中央民族大学、北京师范大学、中北大学（朔州校区）等等。

（清华大学万兆网关实际测试）

B.方案（旁路方式+BRAS，BRAS产品）

1.无感知认证（MAC认证模式）

? 1.1 为用户分配固定的IP地址，用户在配置地址和网关后直接获得对应的访问权限；如需对用户访问权限进行控制，则可通过在认证

计费系统对BRSA 或是无线控制器下发DAA模板实现ACL访问控

制。

? 1.2 通过DHCP为用户提供地址的动态分配功能。用户终端接入后，即可通过DHCP获得IPv4地址，对应的网关和DNS服务器等信息。

在采用DHCP方式时，用户可以动态获得某个地址池中的地址，或者

按照要求，基于该用户的MAC地址，为其每次都分配同一个IP地址，便于其在网络内提供相应的服务。

? 1.3 用户的IPv6地址建议通过ND/RA的方式获得，及IPv6无状态地址分配方案，该方式对客户端的兼容性较好，高校普遍采用了这种

方式。

? 1.4 对于无需认证的用户，如果是通过DHCP方式获得IP地址，BRAS多业务路由器以及后台的认证计费系统同样会对用户的信息

提供记录，便于今后的查询。采用BRAS多业务路由器做为二层接入

认证管理设备，能够实现用户接入网络的精细化管理功能，BRAS多

业务路由器为用户接入提供的DHCP流程中集成了认证模块，能够实

现在用户PC接入网络获取IP地址的同时，就能够同步记录下用户的

MAC地址、所在的具体位置（精确到交换机端口，包括内层VLAN ID 和外层VLAN ID）、接入网络的时间、获取的IP地址等多种信息，并

对每个用户细致的访问权限、上下行速率的控制，从而实现用户接

入网络的可识别、可管理、可控制，而这个过程用户没有任何感知。

2.PPPoE认证

BRAS 多业务路由器提供了基于硬件板卡的分布式的PPPoE功能，通过用户侧的PPPoE拨号，能够实现在客户端与BRAS之间的PPPoE通道的建立，并同时基于PPP的协商实现用户的认证、计费功能。

PPPoE简要流程为：用户PC通过客户端发起PPPoE请求到后台接入服务器BAS，然后交付后台RADIUS进行认证及计费。此方案的优势在于通过

统一的BAS设备实现集中的接入管理和差异化的策略管理，如用户带宽的分配、QOS的优先级、营运记账等。

（PPPoE认证流程图）

由于Me直接提供了用户接入网络时的PPPoE认证功能，相应的控制力度也更强。用户均通过PPPoE会话实现到网络的接入和访问，相互之间由于PPPoE通道的隔离而互不影响，因此能够天然抵御ARP欺骗、仿冒源地址攻击等问题，极大减轻网络管理员的工作量，并有效保障了整个网络的可靠性和稳定性。

另外，由于BRAS设备为运营商级设备，设备的处理能力，对用户的控制能力完全能够满足校园网网络的需求，可以对每个用户进行带宽限制，权限管理、QoS等各种操作。并且，在使用BRAS+PPPoE的接入方式下，在接入层是一张大的二层网络，用户间通过VLAN隔离，互相之间没有影响，避免了ARP病毒等问题；同时，对运营网的管理维护来说，管理员只需要管理大的BARS设备，接入层设备仅仅是二层接入，不需要在接入设备上作负责设置，极大的减轻了管理员的维护工作量。

PPPoE的拨号客户端在Windows系统中自带，也避免了客户端软件下发所带来的一系列问题。

3.WEB Portal认证（IPoE）

Web认证（IPoE）需要与Portal认证服务器配合使用，主机首先通过DHCP得到一个IP地址（或是静态设置），通过HTTP重定向的方式强制用户与Portal认证服务器通信，也可以使用户只访问一些内部服务器；然后，接入服务器将用户强制连接到Portal认证服务器上，并在浏览器中弹

出认证页面。在该页面中输入用户名和密码，Portal Server把通过Protal 协议将认证信息传送到BRAS上，对用户进行认证。认证通过后，用户获得相应的访问权限，可以访问互联网或特定的网络。

在IPoE+Portal的认证方式中，用户的账号都是由Portal进行认证，这样就可以免去客户端软件相对繁琐的接入要求，适应了当前多种接入终端的出现。而Portal在实际的处理机制中会把账号信息转交付给BAS，由BAS向Radius Server发起AAA认证。RADIUS认证结束后，BAS一方面会通知Portal给出相关提示给用户，如“认证通过，可以访问网络”，也可能是“认证失败，用户名或密码错误”等。另一方面BAS会从AAA 中获取用户的访问属性，访问策略，让认证通过的用户可以连接到外网资源，让认证未通过的用户无法接入到外网。

上图是“IPoE+Portal”方案的一套用户上网流程，具体流程分解如下：（1）用户获取地址后，通过浏览器发起正常的HTTP请求；

（2）从BRAS上来的HTTP请求被重定向（给Redirector设备；

（3）Redirector设备直接回指给用户一个专门的Portal地址；

（4）用户访问Portal设备；

（5）Portal设备弹出页面，提示用户输入账号进行认证；

（6）用户输入账号信息并提交给Portal server；

（7）Portal将用户账号信息通过Portal协议转交给BRAS进行认证；

（8）认证通过时，RADIUS一方面通知BRAS并给出相关用户提示；

（9）另一方面，BRAS 根据用户的状态获取相应的访问策略；

（10）Portal直接端到端给用户相关提醒，如“验证通过，可以上网”；

（11）用户访问其他网页，BAS通过调整后的策略进行正确转发；用户将可以正常访问外网；

（12）同时后台RADIUS进行计费策略；

认证过程（支持PPPoE，L2TP，Web Portal认证）,认证过程与串行、旁路方式无关，采用哪一种接入方式都可使用所有认证方式，需要接入的bras或核心交换支持。

以旁路模式部署的深澜认证计费系统有着众多高校的实际应用案例，例如：浙江大学、天津大学、厦门大学、复旦大学、华东师范大学、杭州师范大学、西北工业大学、兰州大学、电子科技大学、山西财经大学、长治学院等等。

（深澜软件无缝对接的网络设备厂家）

四．认证计费管理系统与统一用户管理系统的融合

4.1统一用户管理系统的融合

认证系统可以无缝和学校统一用户管理系统进行融合；使用通过目前统一用户管理系统进行开户，认证系统实现认证，用户在自助系统中进行套餐选择的无管理化的管理方式；

认证系统也可以和统一用户管理系统深度融合，使用中间表的模式进行融合：

常规采用LDAP方式和相关自定义接口方式实现

例如：兰州大学深澜系统与金智统一身份认证系统对接（如下图）

4.2一卡通系统的融合

5.2.1实现目的：

认证计费系统和一卡通系统进行联动管理，实现统一缴费过程：

5.2.2接口规范：

所有连接都用POST方式提交！

鉴权码为：%*trgl_S

URL: http://[server ip]:8080/card_if.php 即SRUN3000的后台管理服务器的8080端口

返回信息为gb2312编码。

4.3用户门户系统的融合

新建认证系统可以和学校目前的用户门户系统进行融合，由于新建认证系统支持多种重定向功能，可以支持认证后重定向的功能，因此可以和学校目前的用户门户系统进行融合

可以根据用户的登录名，进行登陆后重定向到该用户所在的学校门户中可以根据IP地址范围，进行登陆后重定向到指定的学校门户中，如无线用户的登陆和有线用户的登陆

可以统一设置用户，进行登陆后重定向到学校统一的门户系统中五．认证计费管理系统功能介绍

六．用户案例

6.1清华大学案例介绍

系统规模：

出口：10G教育网、1G电信，10G IPv6出口。

注册用户：150000人

同时在线：45000用户，无线网同时在线10000人。

认证模式：推荐使用客户端认证，可以使用Portal认证，无线网采用Portal，802.1x,MAC认证并存。

认证协议：IPv4 ，IPv6 双栈出口拓扑图：

全校部署两台Srun 3000 高性能万兆IPv4及IPv6认证网关（双链路热备）和Srun 3000 用户运营支撑平台，用户认证使用Portal、专用客户端认证，无线网由12台CISCO无线AC，和2500个AP组成，实现统一的无线外置式Portal 认证。

方案特点：

?全路径双链路冗余，清华大学采用了双链路冗余设计，双栈设计使得两条链路都可以跑IPv4和IPv4，左边的链路IPv4优先，右边的链路IPv6优先，当其中一个链路出现问题的时候OSPF路由会使得数

据走另外一条链路，实现链路冗余

?用户认证冗余：两个万兆网关配合独立的认证服务器，实现用户数据的一致性，任意链路的中断，用户都不受任何影响，不需要重新认证?无线网一次认证：清华的无线网由12个CISCO AC和2500个AP 组成，覆盖学校几个重点区域，支持Portal认证，802.1x认证，MAC认证，目前全校无线用户同时6000人在线，Srun3000 Portal 提供外置式Portal认证，Srun3000 AAA提供无线认证和万兆网的出口联动，实现用户无线一次认证就打开校内和校外访问，并实现计费。

?统一外置式Portal：为了实现高效认证和灵活的定制，深澜软件配合清华大学实现了外置式Portal和12 台CISCO AC 实现对接。

?方便的多种认证终端支持：Srun3000 在清华大学不仅提供了标准的Windows 绿色客户端，同时提供了Linux，苹果，Andirod,IPhone,IPAD 等多种主流终端的认证客户端方便用户使用。

?创意的计费模式：为了充分使用有限的带宽资源，清华采用的计费策略是和流量相关的阶梯计费，阶梯越高，使用的单价结算费用越高，这样就在一定基础上避免了带宽被无限制的滥用，保证了学校的关键应用。

有线网Portal页面：

登录后弹出页面：

旧版有线client客户端：

新版有线无线统一client客户端：

6.2成功案例-部分高校

6.3系统稳定运行用户证明

七.实施方案

7.1实施前准备工作

检查服务器设备安放环境，服务器上架，并上电检查设备运行情况，准备1根合适长度的千兆网线，并进行标签粘贴工作，准备服务器的相关IP 地址，用户数据信息准备（用户名、密码、计费策略等）。

7.2认证计费系统安装

服务器上电运行正常，则进行认证计费系统安装工作；

?安装Linux操作系统；

?安装portal服务器；

?安装认证模块；

?安装计费模块；

?导入用户数据等；

7.3实施割接前测试工作

认证计费系统安装完成，测试认证计费系统各个功能模块是否正常，是否已经具备割接条件；

?测试portal服务器是否正常；

?测试认证功能是否正常；

?测试计费功能是否正常；

?测试与BRAS对接是否成功；

?测试计流量功能与开启netflow设备是否对接成功等；

7.4实施中割接、割接后测试工作

割接开始，与BRAS设备进行对接，与开启netflow设备对接，认证计费系统开启用户认证功能，割接完成。测试用户是否可以正常认证，测试用户流量是否正常，查看用户在线列表是否正常。

网络设计方案范本

网络设计方案

校园网络设计方案 设计者：王帆 11月

目录 1 校园网需求分析................................................................ 错误!未定义书签。 1.1 网络基本情况 .......................................................... 错误!未定义书签。 1.2网络需求分析 .......................................................... 错误!未定义书签。 2 网络总体设计.................................................................... 错误!未定义书签。 2.1网络架构分析 .......................................................... 错误!未定义书签。 2.2 设计思路 .................................................................. 错误!未定义书签。 2.3 校园网的设计原则 .................................................. 错误!未定义书签。 2.4 网络三层结构设计 .................................................. 错误!未定义书签。 2.4.1 主干网核心层设计 ......................................... 错误!未定义书签。 2.4.2 园区内汇聚层设计 ......................................... 错误!未定义书签。 2.5 IP规划与VLAN ........................................................ 错误!未定义书签。 2.5.1 IP地址的分配原则 ........................................ 错误!未定义书签。 3.5.2 公网地址分配................................................. 错误!未定义书签。 2.5.3专用网的IP地址规划 .................................... 错误!未定义书签。 2.5.4专用网中vlan划分 ........................................ 错误!未定义书签。 2.6 设备选型 .................................................................. 错误!未定义书签。 2.6.1 核心交换机设备选型 ..................................... 错误!未定义书签。 2.6.2汇聚层设备选型............................................. 错误!未定义书签。 2.6.3 接入层设备选型 ............................................. 错误!未定义书签。

网络安全建设实施方案

京唐港股份有限公司网络安全建设实施方案

目录 1概述 (3) 2网络系统安全建设 (3) 2.1安全现状分析 (3) 2.2安全风险分析 (4) 2.2.1物理安全 (4) 2.2.2网络安全与系统安全 (4) 2.2.3应用安全 (5) 2.2.4安全管理 (5) 2.3安全需求分析 (6) 2.3.1物理安全需求分析 (6) 2.3.2网络安全与系统安全 (7) 2.3.3应用安全 (7) 2.3.4安全管理 (8) 2.4安全实施方案 (8) 2.4.1物理安全防护 (8) 2.4.2备份与恢复 (9) 2.4.3访问控制 (9) 2.4.4系统安全 (9) 2.4.5网段划分与虚拟局域网 (11) 2.4.6办公网整体安全建议 (11) 2.4.7防火墙实施方案 (13) 2.4.8入侵检测系统实施方案 (20) 2.4.9漏洞扫描系统实施方案 (29) 2.4.10身份认证系统实施方案 (33) 2.4.11安全审计系统实施方案 (39) 2.4.12防病毒系统实施方案 (43) 3异地网接入安全建设 (55) 3.1接入方式选择 (56) 3.2安全性分析 (57) 3.3两种方式优势特点 (57) 3.4VPN 原理介绍 (58) 3.5VPN 的选型 (63) 3.6财务系统安全防护 (66) 4机房设备集中监控管理 (66) 4.1.1设备及应用系统管理现状 (66) 4.1.2建立机房集中控制管理系统需求 (66) 4.1.3集中控制管理系统方案实现 (67) 4.1.4功能特点 (68) 4.2监控显示系统 (68) 4.2.1投影显示系统 (68) 4.2.2等离子显示系统 (68)

园区网络设计方案

网络设计与组网综合大作业 目录 网络设计与组网综合大作业 ..........................................................................................................I 目录 ..............................................................................................................................................I 第一章绪论 .. (2) 1.1 概况 (2) 1.2 主要内容 (2) 第二章园区网概述 (3) 2.1 园区网含义 (3) 2.2 园区网特点 (3) 2.3 园区网发展趋势 (3) 第三章园区网设计 (4) 3.1 需求分析 (4) 3.2 网络设计原则 (4) 3.3 网络模型设计 (5) 3.4 园区网络拓扑图 (7) 3.5 IP地址规划 (7) 3.6VLAN规划 (8) 3.7 路由协议选择 (8) 3.8配置规范 (10) 第四章网络安全设计 (12) 4.1 VLAN技术 (12) 4.2 VPN技术 (13) 4.3 防火墙技术 (13) 第五章网络模拟实现 (14) 5.1 模拟器介绍 (14) 5.2 模拟环境拓扑图 (14)

5.3 需求实现 (15) 5.4 配置步骤 (16) 第六章总结 (17) 第一章绪论 1.1 概况 随着计算机网络的迅速发展，曾经在园区网中被大量使用的10M/100M以太网技术、ATM技术已经渐渐不能适应现在的业务需求，作为园区主干网， 10M/100M以太网作为主干网络核心技术带宽不足的弊病渐渐凸显，已经严重影 响着园区网络的运行效率，目前仍有许多大型园区网络在使用ATM技术，这样 的网络面临两个问题：VLAN间路由的性能不能满足网络需求，并且ATM技术 正在逐步被淘汰。现在，千兆以至10G级别以太网技术正逐渐成为园区网络主 干的主流技术。因此，许多大型园区网络面临技术改造或者重新设计。 1.2 主要内容 本文主要做了以下两个方面的工作： 第一，介绍了园区网络的含义、特点，按网络设计与组网课程的要求方法规划设计一个完整的园区网络。 第二，使用华为的eNSP对网络进行了简单的模拟，以实现网络的互通互联，对各层设备进行了配置。 I

网络设计方案模板范文

网络设计方案模板

目录 第1章设计概述.......................................................... 错误!未定义书签。 1.1现状分析 ................................................................ 错误!未定义书签。 1.2网络需求分析 ........................................................ 错误!未定义书签。 1.3信息点统计 ............................................................ 错误!未定义书签。第2章网络系统设计 .................................................. 错误!未定义书签。 2.1设计思想 ................................................................ 错误!未定义书签。 2.2设计目标 ................................................................ 错误!未定义书签。 2.3网络三层架构设计................................................. 错误!未定义书签。 2.3.1 核心设备选型................................................... 错误!未定义书签。 2.3.2 汇聚设备选型................................................... 错误!未定义书签。 2.3.3 接入设备选型................................................... 错误!未定义书签。 2.4网络总体规划 ........................................................ 错误!未定义书签。 2.4.1 XX拓扑图 ......................................................... 错误!未定义书签。 2.4.2 总体规划 .......................................................... 错误!未定义书签。 2.5IP地址及VLAN划分.............................................. 错误!未定义书签。 2.6网络安全管理 ........................................................ 错误!未定义书签。 2.6.1 威胁网络安全因素分析 ................................... 错误!未定义书签。 2.6.2 网络管理的内容............................................... 错误!未定义书签。 2.6.3 安全接入和配置............................................... 错误!未定义书签。 2.6.4 拒绝服务的防止............................................... 错误!未定义书签。

网络安全体系建设方案(2018)

网络安全体系建设方案（2018） 编制： 审核： 批准： 2018-xx-xx

目录 1 安全体系发布令 (2) 2 安全体系设计 (3) 2.1 总体策略 (4) 2.1.1 安全方针 (4) 2.1.2 安全目标 (4) 2.1.3 总体策略 (4) 2.1.4 实施原则 (4) 2.2 安全管理体系 (4) 2.2.1 组织机构 (5) 2.2.2 人员安全 (5) 2.2.3 制度流程 (5) 2.3 安全技术体系 (6) 2.3.1 物理安全 (6) 2.3.2 网络安全 (8) 2.3.3 主机安全 (11) 2.4.4 终端安全 (14) 2.4.5 应用安全 (15) 2.4.6 数据安全 (18) 2.4 安全运行体系 (19) 2.4.1 系统建设 (19) 2.4.2 系统运维 (22)

1 安全体系发布令 根据《网络安全法》《信息安全等级保护管理办法》的相关规及指导要求，参照GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》，为进一步加强公司运营系统及办公系统的安全运行及防护，避免公司核心业务系统及日常办公系统遭受到病毒、木马、黑客攻击等网络安全威胁，防止因网络安全事件（系统中断、数据丢失、敏感信息泄密）导致公司和客户的损失，制定本网络安全体系。 本网络安全体系是公司的法规性文件，是指导公司各部门建立并实施信息安全管理、技术、运行体系的纲领和行动准则，用于贯彻公司的网络安全管理方针、目标，实现网络安全体系有效运行、持续改进，体现公司对社会的承诺，现正式批准发布，自 2018年 XX月 XX 日起实施。 全体员工必须严格按照本网络安全体系的要求，自觉遵循信息安全管理方针，贯彻实施本安全体系的各项要求，努力实现公司信息安全管理方针和目标。 总经理： 批准日期：2018-xx-xx

一套完整的综合布线方案

综合布线系统方案 一、需求分析 综合布线系统是整个学校信息交换的物理层；其承载了学校的所有数据、语音的数据交换工作。 二、设计原则 根据综合布线设计规之要求,本项目将遵循综合布线系统原则，即标准化、模块化、先进性、综合性、灵活性、可靠性、可扩充性和经济性。 三、设计依据 ?《智能建筑设计标准》（GB/T50314-2006） ?《智能建筑工程建设标准》（DBJ14-S5-2004） ?《智能建筑工程质量验收规》（GB/T50339-2003） ?《民用建筑电气设计规》JGJ/T16-92 ?GBJ 16-87建筑设计防火规 ?YD/T926 1－2－1997学校通信综合布线系统行业标准 ?《电子计算机机房设计规》(GB50174-93) ?《民用建筑电气设计规》(JGJ/T16-92) 四、系统设计 1、总体设计 本工程利用综合布线系统作为实现各种语音、图像、数据信息交换传递的基础。 按综合配置设计，整个综合布线系统采用三级星形网络拓朴结

构，数据建筑群配线架CD和配线设备BD置于网络设备机房（设备间）。楼层配线架FD置于每层的弱电机房（电信间），楼层配线架FD 至楼层区域配线箱（TE），包括至每个数据端点（TO）的距离不应超过90米。从BD至每个楼层FD，光纤传输主干采用48芯万兆光纤。垂直主干光纤网络采用以太网络结构。 2、系统组成及结构 根据EIA/TIA568A，ISO/IECIS 118O1及我国的标准，布线系统可划分为六个独立的子系统： 1)工作区子系统(Work Area Subsystem) 2)水平子系统(Horizontal Subsystem) 3)垂直主干子系统(Riser Subsystem)

网络设计方案模板

目录 第1章设计概述 (2) 1.1现状分析 (2) 1.2网络需求分析 (2) 1.3信息点统计 (3) 第2章网络系统设计 (3) 2.1设计思想 (3) 2.2设计目标 (4) 2.3网络三层架构设计 (4) 2.3.1 核心设备选型 (4) 2.3.2 汇聚设备选型 (5) 2.3.3 接入设备选型 (5) 2.4网络总体规划 (5) 2.4.1 XX拓扑图 (5) 2.4.2 总体规划 (5) 2.5IP地址及VLAN划分 (6) 2.6网络安全管理 (6) 2.6.1 威胁网络安全因素分析 (6) 2.6.2 网络管理的容 (7) 2.6.3 安全接入和配置 (8) 2.6.4 拒绝服务的防止 (9) 2.6.5 访问控制 (9) 第3章综合布线方案设计 (10) 3.1综合布线的设计原则 (10) 3.2结构化综合布线系统的组成及设计 (11) 3.2.1工作区子系统网络设计 (12) 3.2.2 配线子系统网络设计 (13) 3.2.3 干线子系统网络设计 (13) 3.2.4 设备间子系统网络设计 (14) 3.2.5 管理子系统网络设计 (14) 3.2.6 建筑群子系统其网络设计 (15) 第4章工程投资预算 (16) 4.1网络设备清单 (16) 4.2线缆清单 (16) 4.3布线材料清单 (16) 4.4人工费用 (16) 第5章结论 (17)

第1章设计概述 1.1 现状分析 校园网络建设的目的在于提供信息的传递速率和效率，在于使教师能更有效，更方便地教，学生能更主动，更积极地学，从而提升整个学校的现代化教育，教学水平。校园网是“数字化校园”的传输平台，一个可靠，高效，安全的网络是建设数字化校园的坚实基础。随着高校信息化的深度发展，学校的教学办公和管理等活动将越来越依赖校园网络。因此构建一个高效，实用，稳定可靠，安全的网络平台，是高校网络建设考虑的重点。 1.2 网络需求分析 校园网是学校进行教育教学、科研、各项管理工作和各类信息交流沟通的应用平台，是一个集成相关软件系统和硬件设备于一体的具有综合功能的宽带计算机局域网，为学校提供了一个日常教学、科研、管理和通讯的综合性网络应用环境。进入信息时代需要培养学生的一种重要能力就是获取信息和处理信息的能力，网络正是架起了一座交流和获取信息的桥梁。毋庸置疑，在21世纪，中国每一所学校都应该建立起自己的校园网。通过校园网将计算机应用于教学的各个环节，从而师生可以通过校园网络进行备课、教学、查阅资料、多媒体教学软件开发与演示、师生之间互相通信、浏览因特网等，所以它对

网络安全建设方案

网络安全建设方案 2016年7月

1. 前言 (3) 1.1. 方案涉及范围 (3) 1.2. 方案参考标准 (3) 1.3. 方案设计原则 (4) 2. 安全需求分析 (5) 2.1. 符合等级保护的安全需求 (6) 2.1.1. 等级保护框架设计 (6) 2.1.2. 相应等级的安全技术要求 (6) 2.2. 自身安全防护的安全需求 (7) 2.2.1. 物理层安全需求 (7) 2.2.2. 网络层安全需求 (7) 2.2.3. 系统层安全需求 (9) 2.2.4. 应用层安全需求 (9) 3. 网络安全建设内容 (10) 3.1. 边界隔离措施 (11) 3.1.1. 下一代防火墙 (11) 3.1.2. 入侵防御系统 (13) 3.1.3. 流量控制系统 (14) 3.1.4. 流量清洗系统 (15) 3.2. 应用安全措施 (16) 3.2.1. WEB应用防火墙 (16) 3.2.2. 上网行为管理系统 (16) 3.2.3. 内网安全准入控制系统 (17) 3.3. 安全运维措施 (18) 3.3.1. 堡垒机 (18) 3.3.2. 漏洞扫描系统 (19) 3.3.3. 网站监控预警平台 (19) 3.3.4. 网络防病毒系统 (21) 3.3.5. 网络审计系统 (22)

1.前言 1.1. 方案涉及范围 方案设计中的防护重点是学校中心机房的服务器区域，这些服务器承载了学校内部的所有业务系统，因此是需要重点防护的信息资产。 学校目前采取了数据大集中的模式，将所有的业务数据集中在中心机房，数据大集中模式将导致数据中心的安全风险也很集中，因此必须对中心机房服务器区域进行重点防护。 方案中还要对综合网管区域、数据存储区域、办公区域进行规划和设计，纳入到整体的安全防护体系内。 1.2. 方案参考标准 本方案的主要规划的重点内容是网络安全防护体系，规划的防护对象以学校数据中心为主，规划的参考标准是等级保护，该方案的设计要点就是定级和保障技术的规划，针对教育部和省教育厅对等级保护的相关要求，本方案将主要参考以下的标准进行规划： 方案的建设思想方面，将严格按照湘教发【2011】33号文件关于印发《湖南省教育信息系统安全等级保护工作实施方案》的通知，该文件对计算机信息系统的等级化保护提出了建设要求，是我省今后一段时期内信息安全保障工作的纲领性文件，文件中对我省教育行业信息安全保障工作指出了总体思路。 系统定级方面：参考《信息系统安全等级保护定级指南》，该指南适用于党政机关网络于信息系统，其中涉及国家秘密的网络与信息系统，按照国家有关保密规定执行，其他网络与信息系统定级工作参考本指南进行，本指南对定级工作的原则、职责分工、工作程序、定级要素和方法进行了描述，并对网络与信息系统提出了最低安全等级要求，高等职业学校应不低于最低安全等级要求。在本项目中我们建议学校数据中心可按照二级的建设目标进行规划。 本方案参考的指南和标准具体见下表：

校园网综合布线设计方案

校园网综合布线设计方 案 Document serial number【UU89WT-UU98YT-UU8CB-UUUT-UUT108】

第一章综合布线系统概述 综合布线系统的定义、特点和优点 综合布线系统是伴随着智能化大厦而崛起的，作为智能大厦中枢神经，综合布线系统是近20年来发展起来的多学科交叉型的新型研究领域。随着计算机技术、通信技术、控制技术与建筑技术的发展，综合布线系统在理论和技术方面也不断得到提高。 目前，由于理论、技术、厂商、产品甚至国别等多方面的不同，综合布线系统在命名、定义、组成等多方面都有所不同。我国《智能建筑设计标准》（GB/T 50314-2000）中把综合布线系统定义为：综合布线系统是建筑物或建筑群内部之间的传输网络。它能使建筑物或建筑群的内部设备、数据通信设备、信息交换设备、建筑物物业管理设备及建筑物自动化管理设备等系统之间彼此相连，也能使建筑物内部的通信网络设备与建筑物外部的通信网络设备相互连接。 上述的定义通常被称为是建筑物与建筑群综合布线系统。按照《建筑与建筑群综合布线系统工程设计规范》（GB/T 50314-2000）的定义，它包括建筑物到外部网络或电话局线路上的连接点与工作区的语音或数据终端之间所有电缆及相关的布线部件。 这里要注意区分一下综合布线和综合布线系统这两个基本概念：综合布线只作为一个概念而存在，综合布线系统则是一种解决方案或者是一种布线产品。两者既密不可分，又有所区别。 与传统的相比较，综合布线系统有着许多优越性，是传统布线所无法相比的。其特点主要表现在它具有兼容性、开放性、灵活性、模块化、

扩展性、和经济性。而且在设计、施工和维护方面也给人们带来了许多方便。综合布线系统与传统布线系统的性能价格比，如图1-1所示。 性能价格比 综合布线方式 传统布线方式 时间 图1-1 综合布线系统与传统布线系统性能价格比 1.1.1 兼容性 综合布线系统的首要特点是它的兼容性。所谓兼容性指它自身是完全独立的，与相关的应用系统相无关，可以适用于多种应用系统。能支持多种数据通信、多媒体技术及信息管理系统等，能够适应现代未来技术的发展。 过去，为一幢大楼或一个建筑群内的语音或数据线路布线时，往往采用不同厂家生产的电缆、配线插座以及接头等。例如，用户交换机通常采用双绞线，计算机系统通常采用粗铜轴电缆或细铜轴电缆。这些不同

办公楼网络规划方案

计科系办公楼网络系统集成 二零一一年六月 目录 1网络集成系统需求分析.............................................................................. 错误！未指定书签。 1.1.网络现状............................................................................................. 错误！未指定书签。 1.2需求分析............................................................................................. 错误！未指定书签。 1.3.应用需求............................................................................................. 错误！未指定书签。 1.4用户性能分析.................................................................................... 错误！未指定书签。 1.4.1.楼层结构分析：........................................................................ 错误！未指定书签。 1.4. 2.楼层使用分析............................................................................ 错误！未指定书签。 1.4.3.环境分析.................................................................................... 错误！未指定书签。 1.4.4.网络分析.................................................................................... 错误！未指定书签。 1.4.5.接点分析.................................................................................... 错误！未指定书签。 1.5网络管理需求..................................................................................... 错误！未指定书签。 2.网络系统设计 ............................................................................................. 错误！未指定书签。 2.1网络设计原则..................................................................................... 错误！未指定书签。 2.2网络拓扑图及相关命令..................................................................... 错误！未指定书签。 2.3 IP地址规划和VLAN设计................................................................ 错误！未指定书签。 2.3.1 IP规划....................................................................................... 错误！未指定书签。 2.3.2 VLAN设计................................................................................ 错误！未指定书签。 2.4.办公楼网络专项设计......................................................................... 错误！未指定书签。 2.4.1网络管理.................................................................................... 错误！未指定书签。 2.4.2网络安全性................................................................................ 错误！未指定书签。 2.4.3网络扩展性设计........................................................................ 错误！未指定书签。 2.5网络操作系统选择............................................................................. 错误！未指定书签。 2.6应用系统选型..................................................................................... 错误！未指定书签。 3.网络系统集成使用的主要设备.................................................................. 错误！未指定书签。

信息系统网络安全设计方案

内外网安全等级保护建设项目初步设计方案 编制单位：

编制时间：二〇一五年三月

目录 1.信息安全概述 (77) 什么是信息安全？ (77) 为什么需要信息安全 (77) 1.1 安全理念 (88) 1.1.1系统生命周期与安全生命周期 (88) 1.1.2 ..........................3S安全体系－以客户价值为中心88 1.1.3关注资产的安全风险 (99) 1.1.4安全统一管理 (1010) 1.1.5安全 = 管理 + 技术 (1010) 1.2 计算机系统安全问题 (1010) 1.2.1 从计算机系统的发展看安全问题 (1111) 1.2.2 从计算机系统的特点看安全问题 (1111) 2.物理安全 (1212) 2.1 设备的安全 (1212) 3.访问控制 (1515) 3.1访问控制的业务需求 (1616) 3.2用户访问的管理 (1616) 3.3用户责任 (1818) 3.4网络访问控制 (2020) 3.5操作系统的访问控制 (2323) 3.6应用系统的访问控制 (2727) 3.7系统访问和使用的监控 (2727)

3.8移动操作及远程办公 (3030) 4.网络与通信安全 (3131) 4.1网络中面临的威胁 (3232) 5.系统安全设计方案............ 错误!未定义书签。错误!未定义书签。 5.1系统安全设计原则........... 错误!未定义书签。错误!未定义书签。 5.2建设目标................... 错误!未定义书签。错误!未定义书签。 5.3总体方案................... 错误!未定义书签。错误!未定义书签。 5.4总体设计思想............... 错误!未定义书签。错误!未定义书签。 5.4.1内网设计原则..... 错误!未定义书签。错误!未定义书签。 5.4.2有步骤、分阶段实现安全建设错误!未定义书签。错误!未定义书签。 5.4.3完整的安全生命周期错误!未定义书签。错误!未定义书签。 5.5网络区域划分与安全隐患.. 错误!未定义书签。错误!未定义书签。 6.0网络安全部署............... 错误!未定义书签。错误!未定义书签。 保护目标.............. 错误!未定义书签。错误!未定义书签。 威胁来源.............. 错误!未定义书签。错误!未定义书签。 安全策略.............. 错误!未定义书签。错误!未定义书签。 6.1防火墙系统................. 错误!未定义书签。错误!未定义书签。 6.1.1防火墙系统的设计思想错误!未定义书签。错误!未定义书签。 6.1.2 防火墙的目的.... 错误!未定义书签。错误!未定义书签。 6.1.3 防火墙的控制能力错误!未定义书签。错误!未定义书签。 6.1.4 防火墙特征...... 错误!未定义书签。错误!未定义书签。 6.1.5 第四代防火墙的抗攻击能力错误!未定义书签。错误!未定义书签。 6.1.6 防火墙产品的选型与推荐错误!未定义书签。错误!未定义书签。

网络综合布线方案设计

网络综合布线方案 一：项目总体规划 1.办公楼综合布线项目介绍 1. 布线系统将贯穿于各楼层的各个平面。主要为网络、数据、图像、视频等系统信号提供高性能传输路由。 2. 作为一个综合性的线路平台，应具有最大的兼容性和开放性，可满足各类型通讯及计算机等的传输需要和网络结构，提供一个标准化、高带宽、低成本的网路环境。 3. 系统应具有开放的模块化结构，可灵活地进行资源分配，线路管理、变更和扩展。 4. 系统应提供一个安全、有序、便于管理的设备安装及连接环境，可快捷简便地进行系统安装和运行。 5. 在充分考虑目前应用情况下，以高起点和适度超前的原则来规划本系统。为各种高性能应用提供充足的传输带宽，为日后系统的升级提供充足的空间。 6. 采用目前国际上最先进的工程标准及规范，去设计和规划系统。 2.办公楼综合布线项目要求 基本情况：整个局域网采用以太网技术，主干带宽达1000Mbps，1000Mbps到桌面。 1、开放。采用标准RJ45接口，兼容不同厂家的标准产品。 2、灵活。水平子系统支持语音、数据，支持100Base-T 1000Base-T等。 3、先进。采用目前流行，具有一定先进技术的超六类系列产品。 4、易于管理。面板、配线架有明显标识，机房线路管理、维护方便。3.有关技术要求 1.符合最新的国际标准ISO/IEC11801超六类布线系标准，产品应符合做主网络的高速、可靠的信息传输要求，并具有高度灵活性、可靠性、综合性、易扩容性。 2.进行开放式布线，所有插座端口都支持数据通讯、话音和图像传递，满足电视会议，多媒体等系统的需要。 3.能满足灵活的应用要求，即任一信息点能够方便地任意连接终端设备。

网络综合布线设计方案.

建设职业技术学院 网络综合布线设计方案某四层办公楼 课程名称：综合布线指导老师：卢 允伟专业：计算机14-1 学号： 50140114 姓名：籍 设计时间：2014.5.8

三、 四、五、 六、需求分析 工程概况 目 录 布线系统设计、原则、验收遵循的规和标准 综合布线 计….. 合布线子 .4 ..4 6'

统 ... ... ............................................................... 6....... (2 )水平电缆 (76) 2 、工作区子系统 ... ... ................... ... ..................... 7 .................... 3 、设备间… . ................................................ 6 ......... 七、产品选择……... ........................................... :… ..... 八、该教学楼综合布线系统的特点 (10) 九、综合布线工程验收 (61) 十、总结........ . (1) 2 需求分析 随着In ternet的迅速发展，全世界正在利用计算机网络进行各

种通信，办公的应用也已经开始普及，使用的技术也日趋成熟，它们不但能够传送传统的文本、图形等数字信息，也能传递包括视频、音频在的多媒体综合信息。传统的办公模式正在逐步向无纸化方向发展，把一些传统的业务移植到网络上来做已是人心所向、大势所趋。学生宿舍楼的综合布线系统也因此变得尤为重要。要满足学生们在宿舍连接互联网的需求，创造良好的网络环境 二、工程概况 所在的综合办公楼有四层，78个房间，1到5层每层楼有15个房间，且1到5层的布局都一致。其中每一层包括6个多媒体教室，6个网络教室，教学楼每层两个角上各1个小房间，以及处在最中央的阶梯教室，六楼有一个大的多功能厅和两个设备间。所以三号教学楼共78个房间。根据房间需求，每一间的用途大有不同，按照一至五楼每个房间2个信息插座，六楼每间4个信息插座的要求配置综合布线系统共162个。根据楼层和房间数，制定了下例的一个表格，见到介绍了隔层的信息点数量。 各楼层信息插座数量统计表

网络方案设计思路讲解学习

网络方案设计 （假想一个大型企业） 一. 分析客户需求 1. 简要描述企业规模、经营业务 2. 当前该企业网络现状分析： 3. 企业网络需求分析： 二、网络设计原则 1. 实用性 2. 先进性 3. 可扩展性 4. 高可用性 三、方案设计 1. 选用合适的网络技术 局域网：VLAN技术 广域网：DDN专线SDH专线MPLS-VPN ( 实现业务分离) 互连网：100 M光纤联通、电信双线冗余 2. 选用合适的网络设备 不同模块采用的产品要满足该模块的功能实现，并留下一定的扩展性，以满足今后网络扩容的需要。 核心层：CISCO 6509 2 台 汇聚层：CISCO 3560 / 3750 2 台 接入层：CISCO 2960 40台 广域网路由器：CISCO 3845 3台 防火墙：CISCO ASA 5520 或天融信千兆防火墙任一型号3台 3. 网络拓扑设计 ●交换拓扑设计

●路由拓扑设计 4. 网络技术分析 4.1全网IP地址规划

郑州总部采用172.16.0.0/16网段，划分子网，安排各个部门；西安和上海分支采用172.17.0.0/16和172.18.0.0/16网段，并划分子网。 中转路径: 192.168.1.0 /24 192.168.2.0/24 192.168.3.0/24 ……. 192.168.20.0 广域网连接西安 192.168.30.0 广域网连接上海 园区网用户: 172.16.0.0/16 行政部VLAN10 172.16.10.0/24 人事部VLAN20 172.16.20.0/24 财务部VLAN30 172.16.30.0/24 企管部VLAN40 172.16.40.0/24 厂房一区VLAN50 172.16.50.0/24 厂房二区VLAN60 172.16.60.1/24 营销中心VLAN70 172.16.70.0/24 科研楼VLAN80 172.16.80.0/24 服务器群组一( OA / 文件…): VLAN 110 172.16.110.0/24 服务器群组二( 内部WWW / FTP…): VLAN 120 172.16.120.0/24 4.2交换技术分析 4.2.1 为优化网络性能，减少广播对网络的影响，及方便对合部门的安全管理，分别 在核心层65-1和65-2上划分VLAN 50-120, 在接入层35-1和35-2上划分 VLAN10,20,30,40P安排各个部门。具体划分如下： 35-1和35-2 行政部VLAN10 人事部VLAN20 财务部VLAN30 企管部VLAN40 65-1和65-2 厂房一区VLAN50 厂房二区VLAN60 营销中心VLAN70 科研楼VLAN80 4.2.2 HSRP的实施: 简要阐述HSRP的作用：略 S35-1 作为VLAN10和VLAN20的主网关, 同时作为VLAN30和VLAN40的备用网关. S35-2 作为VLAN30和VLAN40的主网关, 同时作为VLAN10和VLAN20的备

办公楼网络综合布线设计方案

办公楼网络综合布线设计方案 1 方案概述 1.1 项目总体规划 1.1.1 XXX办公楼综合布线项目介绍 1.1.2 XXX 办公楼综合布线项目要求 基本情况：整个局域网采用以太网技术，主干带宽达1000Mbps 100Mbps到桌面开放。采用标准RJ45接口，兼容不同厂家的标准产品。 灵活。水平子系统支持语音、数据，支持10Base-T、100Base-T 等。 可靠。高品质布线系统，通过标准测试与验证，提供15年以上质保。先进。采用目前流行，具有一定先进技术的超五类系列产品。易于管理。面板、配线架有明显标识，机房线路管理、维护方便。 1.1. 2.1 有关技术要求 符合最新的国际标准ISO/IEC11801 超五类布线系标准，产品应符合做主网络的高速、可靠的信息传输要求，并具有高度灵活性、可靠性、综合性、易扩容性。 进行开放式布线，所有插座端口都支持数据通讯、话音和图像传递，满足电视会议，多媒体等系统的需要。 能满足灵活的应用要求，即任一信息点能够方便地任意连接终端设备。所有接插件都应是模块化的标准件，以方便管理并在将来有更大的发展时，容易地将设备扩展进去能够支持千兆速率的数据传输，可支持以太网、高速以太网、令牌环网、ATM FDDT ISDN等网络及应用。 网络就易于管理。 1.1. 2.2 国家、行业及地方标准和规范 CECS 90：97 建筑与建筑群网络布线工程设计规范 CECS 89：97

建筑与建筑群网络布线工程施工及验收规范 GB/T 50311-2000 建筑与建筑群网络布线系统工程设计规范 GB/T50312-2000 建筑与建筑群网络布线系统工程验收规范 YD/T926 1-2-1997 大楼通信网络布线系统行业标准 1.1. 2.3 国际技术标准、规范ISO/IEC 11801 ：1995 建筑物网络布线规范 ETA/TIA-568A：1995 商务建筑物电信布线标准 ETA/TIA 569 商务建筑物电信布线路由标准 ETA/TIA-606 商务建筑物电信基础设施管理标准ETA/TIA TSB67 商务建筑物电信布线测试标准 EN50173 欧洲商务建筑电信布线标准 1.1. 2.4 卖方对所提供产品的质量保证卖方应提供产品质量、工程资质的有关证明以 及产品质量的有关保证和承诺。 1.1. 2.5 资料交付 卖方应提供系统布线施工图、接线图、系统测试报告、布线标识、有关说明书等工程文件，以便于今后的运行维护。 1.2 项目设计目标 h 兼容性：综合布线是完全独立的而与应用系统相对无关，可以适用于多种应用系统。 h 开放性：系统应采用开放式体系结构，符合多种国际上现行的标准，对多数著名厂商的产品都是开放的，并支持所有通信协议。 h 灵活性：系统应采用标准的传输线缆和相关连接硬件，模快化设计，所有通道都是通用的。所有设备的开通及更改均不需改变布线线路，并可灵活多变组网。 h 可靠性：系统应采用高品质的材料和组合压接的方式构成一套高标准的信息传输通道，每条通道都要采用专用仪器测试链路阻抗及衰减率，以保证其电气性能。应用系统应采用点到点端接，任何一条链路故障均不影响其它链路的运行，从而保证整个系统的可靠运行。 h 先进性：系统布线方式合理。所有布线均应采用世界上最新通信标准，并为同时传输多路实时多媒体信息提供足够的余量。 h 经济性：统一考虑闭路电视系统、网络系统、通信系统和视频点播系统，统一设计，

大型公司网络规划方案方案

展讯通信（天津）有限公 司 网络系统集成方案 2012.5.14

一、前言 1.1．集团综合信息系统建设目标-----------------------------------------------------3 1.2.用户具体需求----------------------------------------------------------------------------4 1.3．集团综合信息系统建设原则----------------------------------------------------4 1.3.1 先进性 (5) 1.3.2 标准性 (5) 1.3.3 兼容性 (5) 1.3.4 可升级和可扩展性 (5) 1.3.5 安全性 (6) 1.3.6 可靠性 (6) 1.3.7 易操作性 (7) 1.3.8 可管理性.. (7) 二．综合布线方案-----------------------------------------------------------------------------8 2.1需求分析 (8) 2.2 综合布线系统的结构 (9) 2.3系统总体设计 (10) 2.4系统结构设计描述 (11) 2.5在施工中注意事项 (12) 三．网络设计方案---------------------------------------------------------------------------13 3.1 网络设计需求 (13) 3.2总体方案设计策略 (14) 3.3展讯通信集团园区结构示意图 (15) 3.4网络设备选型 (15) 3.4.1选型原则 (15) 3.4.2核心层交换机 (17) 3.4.3汇聚层交换机 (18) 3.4.4接入层交换机 (19) 3.5主干网络技术选型 (20) 3.6路由交换技术部分设计 (25) 3.7网络安全设计 (35) 四．网络系统设计 (37) 4.1 系统设计总体需求 (37) 4.2 系统设计原则 (38) 4.3 系统设计方案 (39) 4.3.1系统构架设计 (39) 4.3.2 系统管理设计 (41) 4.3.2 系统安全设计 (42) 五Windows服务器解决方案--------------------------------------------------------------45 5.1WEB服务器 (45) 5.2 FTP服务器角色：配置文件服务器 (60) 5.3 Exchange Server 2003 产品概述 (71) 六．工程实施与项目测试--------------------------------------------------------------------87 七．项目费用-----------------------------------------------------------------------------------86 八．技术支持服务-----------------------------------------------------------------------------88