第一篇:实验二 校园网络方案设计
实验二 校园网络方案设计
一、项目背景
某大学有师生6000多人,主要的10 栋建筑物位于以图书馆为中心的从60 米到500 米的地理范围内。拟建覆盖全校(或分校、学院)的校园网,包括局域网和接入网,能支持办公自动化、信息管理、科研与教学工作,能接入CERNET,与INTERNET 相联。总体规划,分段实施。
具体要求:
1)校园网主干结构采用当前的主流技术,并保证一定的技术先进性;
2)组建专门的网络中心,负责校园网运行和管理,核心网络设备应具备很强的交换能力,为将来网络容量需求的成倍增长预留足够的扩展空间;
3)各系级单位一般建成独立局域网后,再接入校园网;暂不能建局域网的单位直接接入校园网;
4)网管设备(软、硬件)能实现对网络设备的实时监控和网络流量计费;
5)要有完善的安全机制,防止来自外部和内部的非法访问; 6)校园网应能够为全校师生提供以下应用服务: WWW 服务 E-mail 服务
网上多媒体教学,能提供视频点播服务 校外图书资料检索 校内行政管理 拨号上网服务
7)校园网以不低于2Mbps 的带宽接入CERNET 网络中心。
二、规划内容包括:
1、规划背景问题描述,计算机网络规划需求分析
2、网络规划、设计的原则。
3、网络总体方案设计(包括局域网、接入网等)、该方案的特点。
4、网络结构设计,联网设备配置,网络管理与安全、结构化布线方案。
5、网络服务器、工作站选型与配置。
6、网络操作系统、网络管理软件等软件选择与配置。
7、经费预算(包括网络设备、施工材料报价)
第二篇:校园网络监控技术方案设计
第1章 总体概述
1.1 概述
随着计算机网络技术、数字化视频监控技术的飞速发展和普及应用,学校网络化信息管理建设步伐也在加快。如何有效监管校园的安全教学及活动,成为管理层的考虑关注重点之一。
目前,高校的安防系统正处于一个更新换代的阶段,不仅要满足安防的基本需求,还要结合先进的网络技术、压缩技术,满足高校特有的业务需求,包括随时掌握学校动态,及时发现安全隐患应急指挥,考场监控,远程视频教学,教学质量监控等应用系统,以紧跟高校数字化的建设。这些需求的明确,以传统的模拟及DVR监控系统为基础,已经无法实现,这就对监控产品以及管理平台提出了新的挑战,网络化、数字化成为关键的前提,网络监控系统也必将是高校安防和专业应用的首选。
1.2 建设设计原则
本方案根据学院建设监控系统使用功能,对系统及设备的技术性能要求,遵循以下原则进行系统配置设计。
(1)实用性和易用性
系统建设贯彻面向应用,注重实效的方针,坚持以治安视频监控需求为核心,设计清晰简洁,使用方便、直观。
(2)先进性和成熟性
系统设计采用先进的概念、技术和方法,同时注意结构、设备、工具的相对成熟,使系统具有较大的发展潜力。
(3)开放性和标准性
系统采用标准化设备,并且允许不同厂商标准化设备的兼容,从而使系统具有开放性。
(4)可靠性和稳定性
在考虑技术先进性和开放性的同时,本设计从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。
(5)可扩展性和易维护性
为适应招投标中心的不断系统变化需求,同时要满足系统投资的长期效应以及系统功能不断扩展的需求,方便日后迅速扩展和集中管理。
(6)经济性
从招投标中心的角度出发,在保证性能优异的前提下,充分考虑系统的投资成本,通过优化设计,选择性能价格比最佳的系统设备,提供极具有竞争力的价格和服务。
1.3 技术标准
有关的国家标准和安防行业标准、规范、规程。具体包括: 1.-《电视系统工程设计规范》(JGT1)2.-《安全防范工程程序和要求》(GA/T75-94)3.-《安全防范系统通用图形符号》(GA/74-94)4.-《视频安全监控系统技术要求》(GA/T367-2001)5.-《城市报警与监控系统建设指导性技术文件》 6.-《城市报警监控系统建设方案设计要素》
7.-《民用闭路监视电视系统工程技术规范》(GB50198-94)8.-《工业电视系统工程设计规范》GBJ115-87 9.-《无屏蔽双绞线系统现场测试传输性能规范》(EIA/TIATSB67)10.-《安全防范工程技术规范》(GB50348-2004)11.-《计算机信息网络国际互联网管理规定》 12.-《计算机网络规范》(100BASE-T)其他与本项目有关的国家标准、法规、文件等
1.4 需求分析
校园面积大、治安环境错综复杂、为了加强学校安全防范整体力量,有效保护学校财产
安全,监控公共场合秩序,维护公共安全,必须建立一个既有利于大家生活、学习,又能够对校园安全进行实时监控的校园安全防范监控系统。所以校园安防系统对视频监控提出了以下需求。
对整个学校的主要出入口、公共区域、外墙重要保护区域进行多层次的入侵防范,特别对行政楼的财务室门口、东区饭堂和西区发卡中心共5个监控防区采取一级防护安防,并对各类报警事件进行记录存储30天。
建设4个视频分控中心管理,分控中心室分别设立在行政楼值班室、西区宿舍后勤中心、东区宿舍值班室、学院东门保安值班室,根据目前实际监控连接点数各配置一台多路实时监控管理服务器和监视器,通过数字视频解码转换成VGA信号连接监视器监,以1/4/8/9/16画面显示或轮循监控视频图像画面的区域环境,加强对整个周边环境和校园内的主要出入口的重要保护区域进行实时的视频监控,并对各个监控点进行全程的录像,为日后的事件取证提供一个有力的依据。
整个视频监控系统采用集中视频监控中心平台管理和集中录像存储方式。
要求本着高水准、高质量,高产品的性能价格比,拟采用先进的网络IP监控系统设备,充分利用现代光纤通信技术、计算机网络和多媒体及通信技术、全数字视频技术,构造新型的网络数字IP监控和信息管理系统。利用现代手段为快速处置紧急事件等提高可靠依据,安防监控成为实时安防信息采集信息获取的重要手段。
1.5 系统质量要求
系统所涉及到的相关设备,应符合现行国家标准和行业标准的有关技术要求。系统设计应基于对现场的实际勘察,根据环境条件、监视对象、以及监控方式等因素统筹考虑,符合有关风险等级和防护等级的要求,符合有关设计规范和建设单位的管理使用要求。
系统设计应具有适度的超前性和设备互换性,为系统增容或xxxx留有余地。视音频信号采集质量好:前端设备能提供高清晰度的监控视频和音频信号,采用的摄像机应具有高清晰度、低照度,在夜间低照度条件下能获取较高清晰度的图像。
图像分辨率达到:
标清为D1: 704×576;录像回放D1: 704×576。
高清为720P:1280(H)X720(V);录像回放D1: 1280(H)X720(V)系统应保持图像信息原始完整性和实时性,存储时间不少于15天。视频监控系统应保证每路每秒不小于25帧的图像纪录。
满足学校的长远发展,系统升级和扩容方便,系统控制灵活,使管理中心不拘于区域限制,方便监控中心的搬迁和移动
1.6 系统总体结构
监控系统要求采用最新的基于IP网络的全数字视频监控系统,以TCP/IP网络作为传输平台将信号传送至监控中心,进行统一管理和控制。同时以TCP/IP网络作为远端工作站视频信号共享的传输媒质。
前端设备根据具体使用地点采用不同类型网络摄像机,主要包括固定网络摄像机、网络智能球,原旧监控点升级xxxx采用网络视频服务器,每个前端点根据实际需要立杆、配置支架和相应环境的防护罩。
本次项目建设的为全数字的视频监控系统,在传输上要求建设以数据传输为主体的传输结构,即采用光纤与双绞线为主要传输介质,以核心、汇聚、接入网络交换机组成三层网络架构,组建视频监控系统的专用传输系统。
警务室二楼为网络视频监控中心,经网络核心层-汇聚层-接入层分布各个管理层接入网络视频监控,在原有的网络基础上采用学校现有的局域网光纤主干备用部分,通过增设交换机设备组建成网络监控专网,监控点统一由专用的监控网络将视频信号传输到网络视频监控中心。
根据传输介质的特性,新建设的视频监控传输系统主要由三部组成:
前端监控摄像机线路:网络摄像机/球主要采用超五类网线或者光缆作为视频信号传输介质,在布置监控点区域中以临近的交换机设备为接入点,前端网络摄像机超五类信号线不超过距离即在90米的视频传输距离,若超出超五类双绞线技术指标参数100米,可采用多模室外铠装光缆代替信号线作为传输介质;
监控分支线路: 接入层交换机到汇聚层交换机之间的网络光纤支干传输链路采用室外单模或多模铠装室外光缆作为传输介质,主要以校园局域网传输架构为基础,使得视频监控专用网与校园网的光纤网络得到充分的利用。
监控主干线路:主干线缆指汇聚层交换机到核心层交换机之间的网络主干传输链路,通
过新建网络监控专网主干上联接口传输带宽为1000兆,确保高质量图像传输的畅通,达到视频图像资源共享的要求。
网络监控中心位于警卫室二楼监控中心室。本次招标不包含监控中心的机房装修工程。视频监控中心要求包括:液晶监视器、多路实时监控管理服务器、存储管理服务器、流媒体转发服务系统服务器、网络监控管理服务器、设备运行状态监控系统服务器等。
电视墙采用监控中心原电视墙配置的42寸液晶监视器大屏8台,按原有电视墙设计图布局,液晶监视器通过8台多路实时监控管理服务器连接,每个监视器以16画面轮循显示。
网络监控管理服务器要求最大可支持1024路视频的接入,通过网络监控中心管理系统进行统一操作、配置、管理,负责实现对视频监控系统前后端设备的集中管理控制,对视频进行记录、存储、监看、录像、回放、检索和管理等,并随时调用任意的监控点的实时视频。
设备运行状态监控系统服务器要求可对录像存储服务器实现全面的监控,监控录像存储服务器网络连接情况;监控录像存储服务器与监控系统的通信程况;监控录像存储服务器CPU、内存、网络使用率、录像剩余空间的使用情况;最大可支持1000路视频前端设备的接入,监控是否存在断网、断线或异常的情况;监控设备视频信号是否正常;监控设备码流的变化状态。
1.7 系统拓扑
第2章 系统详细设计
2.1 监控系统组成
本系统采用网络集成化架构,以各类视频监控设备的输入输出量逻辑对应关系为架构体系,通过网络将其有机的结合,使其成为一套具有高度集成化的视频系统管理平台。系统集数字视频存储、处理、视频实时监控、网络管理、用户管理、相关业务流程控制、远程维护、安全机制等功能于一体,借鉴和采用当今业界各种先进的技术及理念,在数字视频压缩算法、数据流多进程管理、模块化架构、数据存储管理以及多介质远程网络传输处理等技术方面,都体现出了当今安防集成系统的先进水平。
本设计方案中,视频监控系统分为如下几个部分,每部分的基本功能和组成如下: 1)前端视频数据采集部分:通过红外一体化网络摄像机实现对外围环境及主要出入口的图像采集,预防攀爬等入侵事件发生;前端视频数据采集设备包括红外网络智能球、红外一体化网络摄像机、红外网络半球、立杆、墙挂支架等设备。
2)视频数据传输部分:通过超五类双绞线、室外单模铠装光缆、光电转换设备和网络交换机等设备组成转发视频图像数据的传输网络,并通过传输网络将图像数据从前端监控设备传送到后端监控中心进行视频显示和存储,主要设备和线材包括:网络交换机、光电转换设备、超五类双绞线、室外铠装光缆等。
3)视频监控中心部分:视频监控中心是将前端采集的视频图像信息通过软件解码,转化为图像信号传送到监视器上,形成直观图像信息并且显示出来,同时对视频信息按照存储策略进行存储。通过网络监控中心管理平台对整个系统进行统一操作、配置、管理,其中主要设备网络监控中心管理平台、大尺寸液晶电视等设备。
2.2 视频监控系统架构示意图
2.3 原有视频监控系统的xxxx 由于监控中心设备使用经过近3年的连续运行,原有监控管理中心存储一直存在诸多问题,如:存储资料丢失、间中部分监控无录像内容等。现需xxxx升级,既保证系统的继续正常使用,又能兼容新监控平台进行监看并存储。原系统状况:
前端原47个视频监控点(区域分布:行政教学区11个点,图书馆10个点,学生生活区9个点,东门地下通道2个点,南郊住宅区7个点,其他区域8个;主要设备:三星电子47个模拟摄像机,H3C四路视频编码器23台,H3C视频管理主机1台,视频解码器6台)的视频信号分为两路信号输出,一路视频信号接入原有的H3C视频编码器,另外一路视频信号接入xxxx后网络视频服务器将模拟信号转换数字信号。
体育馆未接入监控系统的67个监控点(三星电子模拟摄像机)也在xxxx范围,采用网络视频服务器将模拟信号转换为数字信号,接入通过原有的校园网络传输将视频信号传送到警务室监控中心机房。
同时,现有青年旅馆27个监控点的视频信息通过本次新建项目的网络监控管理平台,实现信息资源的互联互通。原有的主要设备配置如下表:
2.4 新增监控点规划
在宿舍楼,校道路口,饭堂及行政办公楼及教学楼周围再增加147个监控点。监控点分布
本次项目建设中,摄像机主要采用立杆和墙挂的安装方式分布于旅馆内主出入口,安装在监视目标附近并且不易受到损伤的地方,摄像机镜头避免强光直射,以保护摄像管靶面不受损害。镜头视场内没有遮挡重要监视目标的物体。摄像机镜头从光源方向对准监视目标,避免逆光安装。
网络视频服务器使用单路BNC接口转RJ45网口,中标人根据实际情况配置足够的网络视频服务器和网络交换机并留有一定的冗余。
本系统的前端摄像机供电要求采用区域性市电集中供电的方式,由总控制室或分控室集中提供220V电源输出至前端监控设备,经由前端摄像机电源适配器转直流电源。
2.5 监控点分布图
2.6 防区划分图
2.7 视频数据采集部分 2.7.1 视频数据采集组成
1、视频数据采集设备:网络智能球、红外网络智能球、高清网络摄像机A、网络摄像机B、红外网络摄像机C。
2、辅助设备包括:安装支架、电源设备等。
2.7.2 视频数据采集设备选型
视频监控采集设备选型按校园监控防区配置,根据重要等级的不同情况进行选型,为保证建成后的视频监控系统能真正满足实际的管理和治安防范需要,系统坚持设备的高质量与先进性,坚持按不同的应用需要选择不同类型前端设备原则,并且在重点监控点选择不同类型的监控产品。本次项目建设中,将采用网络智能球、红外网络智能球、高清网络摄像机A、网络摄像机B、红外网络摄像机C实现对不同监控区域的全天候的图像采集。
2.8 视频数据传输部分
数据传输部分建设是承担着视频数据的传输任务,将前端视频数据采集到的信号经传输线路传送至监控中心,监控点完全采用全数字化传输通道,保证视频数据的无阻塞、无延迟传输,传输线路采用自建视频传输网络,传输网络采用主干千兆网络,百兆到监控点的建设模式。
2.8.1 视频数据传输组成
1、网络传输设备包括:交换机、室外铠装光缆、超五类双绞线。
2、辅助设备包括:超五类网络跳线、光纤跳线等。
2.8.2 视频数据传输结构
整个视频监控传输网络由核心传输层组成架构,保卫处二楼为网络视频监控中心经网络核心层-汇聚层-接入层分布各个管理层接入网络视频监控,在原有的网络基础上尽量采用学校现有的局域网光纤主干备用部分,通过加设交换机设备组建成网络监控专网,监控点统一由专用的监控网络将视频信号传输到网络视频监控中心。
根据实地调研,前端监控摄像机全部接入到接入机交换机,而后汇集到汇聚层,汇聚交换机再通过学校现有的光纤接入到监控中心的核心交换机上,通过超五类双绞线传输连接100米内的监控摄像机;100米外的摄像机通过室外铠装单模光纤连接,并使用光纤收发器进行光电转换,确保视频及报警信号的无延时,实时传输。
2.9 存储部分
按照广东省相关规定,视频监控录像最少需保存15天,本项目将根据实际需求对部分点位采用15天保存,其他采用30天保存时长,图像的分辨率必须达到D1(720*576)以上,重要场所监控的分辨率在1280*720P百万像素的分辨率;保证录像回放细节的清晰度。本系统存储采用IP SAN架构,共配置6台存储服务器共计88T存储空间进行分布式存储。
2.10 显示部分
可立即切换即时图像与回放画面.,由视频监控管理平台进行中央管理,支援摄像机画面配置与轮巡显示.灵活的扩展延伸图像显示到任何需要的地方,显示系统服务器主机具备高清解码能力;同时还能解码前端视频编码器的视频数据,在系统建设时要考虑显示冗余和扩展能力,以便能够满足扩容需求。
本次采用专用视频解码器,配合6台32英寸的液晶监视器作为分控系统的显示部分。结构图示如下:
2.11 监控管理平台功能简介
本次部署的新的管理平台采用嵌入式架构,多画面和全屏监视:支持1、4、9、16画面轮巡,轮巡可全屏显示,轮巡时间间隔可设置;图像格式,主码流:CIF,QCIF,D1,HD720p(1280*720),UXGA(1600*1200);子码流:CIF、QCIF。
云台及镜头控制:通过控制端软件,进行对前端云台、镜头、照明、雨刮设备控制,支持预置位、巡航;监控软件支持常用的云台解码协议,并可根据需要添加。
实行用户分级别管理,不同级别用户有不同的操作权限,提高系统安全性。
告警功能:移动侦测/探头报警,联动报警;探头报警触发摄像机云台转动、控制照明等设备;同时显示文字、警报声提示,支持自动对报警摄像机连续抓拍图片,支持布防工作根据时间策略自动执行。
语音对讲:每路摄像机都可以实现全双工语音传输,实现监控点到管理中心对话,可同时进行多路监听及多路广播。
多路实时监控管理服务器的控制及配置:配置管理多路实时监控管理服务器,包括解码器设备参数配置、IP修改、视频解码控制、轮巡控制、解码器切换控制等操作。
软件锁屏功能:锁定软件屏幕,在锁屏状态下,限制软件的所有功能操作(全屏功能除外),防止他人非法操作软件。
远程数据传输及远程主机配置:可以控制管理多台存储管理服务器。
视频码流转发:视频转发是把前端设备的音视频码流转发到转发服务器上,让转发服务器承担访问负载,减小直接访问前端设备的用户数,可让更多用户同时接收摄像机的音视频。
通过8台原有的42寸液晶监视器组成大型电视墙显示。故障显示检测功能
中心软件能监测并显示系统网络连接状况,可对前端摄像机、报警点以电子地图的方式进行实时监控,当某个前端设备出现故障时,监控中心电子地图上将会显示出该前端设备地图故障指示。故障显示将会以非常醒目的状态显示在屏幕上。以方便值班人员及时采取措施通知维修人员进行维护工作,保证系统的正常运行。
联动功能
本系统通过报警接口单元可与报警系统联动;当系统接到报警信号时显示器将自动弹出报警区域的画面信息,值班人员和根据画面信息及时第一时间了解现场情况,做出相应的处理工作。
第3章 产品简介
3.1.1 迅通XTE-MC900网络监控管理服务器、迅通XTE-MC900网络监控管理服务器
3.1.1.1 产品特点
可根据规模配置不同型号的网络监控管理服务器。
网络监控管理服务器可以配置成多级树结构的上下级管理关系;
可管理配置本级监控中心的所有前、后端设备(NVR除了多路解码器不能管理其它后端设备);
可实现高清录像,图像分辨率可达1080P;
监控中心扩展简单,若要增加后端设备,将设备接入网络监控管理服务器即可; 可实现图像本地浏览、录像、回放、转发与报警联动和远程回放; 嵌入式设备,专用的系统,性能稳定,无病毒的困扰,安装使用简便。
3.1.1.2 主要功能
多画面和全屏监视:可连接所有前端设备,并将其IP地址列入管理清单。单屏可同时对16路音视频进行监控,同时可以设置1、4、8、9、16画面切换,任一画面都可全屏显示;
支持轮巡显示,支持1、4、9、16画面轮巡,轮巡可全屏显示,轮巡时间间隔可设置;可实现双码流传输。
云台及镜头控制:通过控制端软件,进行对前端云台、镜头、照明、雨刮设备控制,支持预置位、巡航;监控软件支持常用的云台解码协议,并可根据需要添加。
摄像机管理:支持大规模监控点管理,自动搜索摄像机,配置各类参数,可以调节带宽、图像质量、云台协议、IP地址等参数,并按浏览、轮巡、录像与报警、电子地图等不同功能分别进行分组管理。
多级用户密码管理:实行用户分级别管理,不同级别用户有不同的操作权限,提高系统安全性。三级用户管理,用户级别越低,权限越高,1级用户为管理员用户,可以使用软件所有功能,2、3级为受限用户,可使用部分软件功能。
告警功能:支持移动侦测/探头报警/联动报警;探头报警触发摄像机云台转动、控制照明等设备,并显示文字、警报声提示,自动对报警摄像机连续抓拍图片,抓拍图片格式支持CIF、QCIF、D1、HD720P(1280×720)、UXGA(1600×1200);支持布防工作根据时间策略自动执行。
语音对讲:每路摄像机都可以实现全双工语音传输,实现监控点到管理中心对话,可同时进行多路监听及多路广播。
电子抓拍:在实时监控同时,可以随时抓拍图像,抓拍的图像格式支持BMP及JPEG,用户可根据实际需要进行设置。
录像功能:支持手动/定时/位移侦测/报警录像,支持定时/位移侦测/报警录像根据录像时间策略自动运行,支持多盘符录像,录像文件大小可设。
存储管理:支持录像硬盘容量管理、文件备份管理,支持自动循环覆盖、硬盘数据饱和时产生告警提示。
录像查询回放:支持音视频同步回放,指定时间回放,可以根据如日期、监控地点、监控主机等检索条件进行录像检索、本地回放,支持远程回放。
日志管理功能:记录系统的操作及异常错误日志,以备查询,日志记录具备查询功能。软件锁屏功能:锁定软件屏幕,在锁屏状态下,限制软件的所有功能操作(全屏功能除外),防止他人非法操作软件。
状态显示:通过指示灯显示网络摄像机工作状态、录像、报警等情况;当鼠标移动到状态指示灯,自动弹出状态指示灯的注释。
远程数据传输及远程主机配置:可将指定的设备数据传输到指定的存储服务器,并可以
远程配置存储服务器的报警与录像配置及控制定时录像、定时布防开关;可控制多台存储管理服务器,存储管理服务器还可与网络监控管理服务器进行绑定,以增加其安全性。
视频码流转发:将前端设备的音视频码流转发到转发服务器上,让转发服务器承担访问负载,减小直接访问前端设备的用户数,让更多用户同时接收音视频,而不会因网络带宽原因造成传输线路堵塞、图像无法正常调用、浏览视频的现象;转发服务可设置用户权限;网络监控管理服务器自带最多64路转发并发流,当用户连接数较多,需配置专门的流媒体转发服务器协同工作。
视频码流合并:将1台网络监控管理服务器连接设备前端的相同码流合并,减小访问前端设备用户数的占用(后端视频并发流数没有合并分别计算)。
管理配置功能:可远程配置所有前后端设备,包含监控中心前端、后端的全部设备资料、配置参数和用户权限资料等,实现系统的统一管理;可与其它管理系统进行通信与同步,以保持数据的一致性。
3.1.2 迅通XTE-MS500存储管理服务器
迅通XTE-MS500存储管理服务器
3.1.2.1 产品特点
可管理最多128路视频(视服务器规格而定); 可选支持IPSAN存储;
可由网络监控管理服务器配置参数及客户回放/备份权限;
设备运行状态监控服务器监视存储管理系统服务器的工作状态,包括存储硬盘的工作状态;
客户(包括广域网用户)使用查询播放处理系统登陆中心管理服务器,可访问任何一台授权的存储管理服务器,进行远程播放、备份;
嵌入式设备,专用的系统,性能稳定,无病毒的困扰,安装使用简便;
存储管理服务器扩展只需以单台为单位计算台数,通过网络监控管理服务器配置即可。
3.1.2.2 主要功能
1、录像存储:专用的视频资料存储服务器,每台可同时管理多达128路的音视频存储,可实现按计划录像/抓图、跨盘符循环录像,录像文件持续时间长短可根据需要设置;录像断线自动重连。
2、录像查看与备份:支持远程查看录像文件;支持本地、远程备份录像文件;支持录像截段备份。
3、用户权限管理机制:用户登入系统查询、回放、下载录像文件需要权限验证,防止没有权限的用户登入系统,保证录像文件的安全性及保密性。
4、状态查看及告警功能:系统实时显示存其工作状态及录像的前端设备的工作状态;存储管理服务器工作状态异常,自动产生告警提示。
5、系统安全与稳定性:设备为嵌入式系统,具有较高的安全性;同时系统还增加保护性服务程序,保证系统的稳定性。
6、日志记录功能:具有完善的日志管理机制,记录系统运行、用户操作、异常错误的日志,录像文件数据访问记录;日志具备查询功能,包括按时间、关键字搜索等查询方式;支持远程查询系统的日志。
3.1.3 迅通XTE-MT2000 流媒体转发服务器
迅通XTE-MT2000流媒体转发服务系统服务器
3.1.3.1 产品特点
专用的流媒体转发服务器,负责用户对前端视频的实时浏览要求,隔离前端与用户的直接联系,保障监控中心的正常运行;
前端设备连接不受限,单个设备连接最大并发流128路,当用户连接并发流大于128
时需要增加设备,通过网络监控管理服务器配置即可增加,扩展简单;
控制管理浏览用户,负责外网用户对监控中心授权历史视频的查询播放; 嵌入式设备,专用的系统,性能稳定,无病毒的困扰,安装使用简便。
3.1.3.2 主要功能
把前端设备的音视频码流连接到转发服务系统上,让转发服务系统承担访问负载,减小直接访问前端设备的用户数,可让更多用户同时接收摄像机的音视频;
一路音视频通过转发服务系统可以被复制成多路发送给不同的访问用户,系统可保障几个、十几个、甚至更多用户同时观看同一路视频画面;
其控制台可以随时禁止某一路视频或某些用户的连接;
对于访问量大的视频,可以配置多路视频,系统具备负载平衡的功能; 当用户有需求时才连接前端,随机连接,最大节省网络及设备资源。
3.1.4 迅通XTE-FM2000 设备运行状态监控系统服务器
迅通XTE-FM2000设备运行状态监控系统服务器
3.1.4.1 产品特点
对网络视频监控系统的所有嵌入式设备进行工作状态检测监控
多种类型检测,不但监测设备的断电、断网、死机,还能检测视频异常:视频丢失/黑屏/白屏/、存储保存时间长度不符、硬盘的工作状态、设备满负载程度、网络带宽使用情况等
具有当时异常情况表,一年的监控日志信息供查询和分析,日志查询简单、快捷。客户可自行设置检测内容和重要弹出报警内容,当设定的严重异常发生时,发出报警信
号,弹出画面要求人工干预。
是嵌入式设备,专用的系统,性能稳定,无病毒的困扰,安装使用简便。
3.1.4.2 主要功能
监控功能:设备状态进行监控,采用图形化界面实时向管理者展示监控系统的运行情况及各设备(包括前端设备及监控中心的所有设备等)的状态信息;能够及时发现监控系统中出现的异常情况,准确定位异常设备。全新的故障检测方式能快速地检测到故障信息并可以通过网络及时地掌握前端设备及录像设备的工作状态,确保所有设备都在线工作,解决了以往监控系统维护困难,出现问题难以排查的难题。主要体现在:
可以对存储管理服务器实现全面的监控,监控存储管理服务器网络连接情况、与监控系统的通信情况;监控存储管理服务器CPU、内存、网络使用率、录像剩余空间的使用情况;监控存储管理服务器定时录像、定时布防的开启情况;监测存储管理服务器硬盘数据写入情况、循环删除条件及磁盘空间设置情况。任一情况出现异常,都会产生告警提示。
存储管理服务器的录像空间预警监控,当录像空间小于设置的临界值,XTE-FM2000就会产生预警提示。
对前端设备实施监控,监控前端的设备是否存在断网或异常情况、信号是否正常;监控设备码流的变化状态。
监控存储管理服务器的录像文件数据、用户访问记录。
日志记录功能:完善的日志管理功能,监控日志包括:监控系统何时开始运行、何时关闭、监控系统的配置何时发生改变、设备何时发过异常情况;可查询录像主机的日志。
系统安全与系统稳定性:嵌入式系统,具有较高的安全性;监控系统增加保护性服务程序,保证系统可以持续正常运行。
辅助功能:可创建异常设备列表显示异常设备,方便快速查询设备异常的情况;还可以随时刷新所有设备的状态;支持对数据库进行备份。
3.1.5 迅通XTE-RM1000实时监控管理服务器
迅通XTE-RM1000多路实时监控管理服务器
3.1.5.1 产品特点
多路实时监控管理服务器系列简称多路解码器,是监控中心的显示墙组成设备; 单个多路实时监控管理服务器输入前端设备数不受限,每台可显示1/4/8/9/16画面,并可设置为1/4/8/9画面轮循显示,;
增加多路实时监控管理服务器的数量,即可扩展电视墙;
所有多路实时监控管理服务器均受网络监控管理服务器或分控中心控制台的控制,控制台控制多路实时监控管理服务器的数量没有限制;
控制台记忆多组数据,快速切换;
多路实时监控管理服务器是嵌入式设备,专用的系统,性能稳定,无病毒的困扰,安装使用简便。
3.1.5.2 主要功能
1、视频监控:直接在大屏幕显示1/4/8/9/16画面的实时视频图像,支持轮巡,显示切换全部受控于远程平台或者分控中心,视频输入路数不受限,可以分组存储,切换显示灵活,具有远程控制重启,断电自动重连的功能。
2、云台控制:支持云台上下左右的控制、设置和调用球机预置位;支持镜头焦距、光圈大小的调节;支持灯光、雨刮等远程辅助设备控制;支持自转、线扫、巡航等转动方式。
3、系统操作简单:本系统操作简单、切换、控制均有较好的实时性,任意屏幕都可随时随意切换,无缝拼接,任何一台前端设备均可以快速度调上大屏幕上显示。
4、视频解码实时性:系统直接连接前端设备进行视频解码,具有较好的实时性。
5、跨网段实时监控:系统可以添加多个不同网段的IP,可以实时监看多个不同网段的摄像机。
6、数据通信准确性:控制端与被控端数据通信可靠、及时、准确。
7、时钟同步:支持随时与前端的摄像机进行时钟同步。
8、系统安全性及自我保护性:系统支持设置密码保护功能,并且系统是嵌入式系统,支持写保护功能,具有较高的安全性及自我保护性;系统还增加了保护性服务程序,保证系统可以持续正常运行。
3.1.6 蓝宝AS-8108 KVM
蓝宝AS-8108正面图
蓝宝AS-8108背面图
产品特性:
1、PC端双接口-支持使用PS/2键盘与鼠标
2、可通过面板上的按钮、热键,或OSD屏幕选单功能以选择切换电脑主机。
3、完全兼容各种USB&PS/2主机。
4、可支持操作系统:Windows2000、Windows XP、Windows Vista、LINUX、Mac、Sun及FreeBSD。
5、提供PS/2接口自动侦测功能。
6、计算机启动后,支持键盘和鼠标仿镇。
7、机架式安装。
连接示意图:
3.1.7 迅通XT-DG540C 网络智能球
XT-DG540C日夜型高速网络智能球
主要特性:
采用1/4“ Sony EXview HAD CCD,超低照度,高灵敏度,实现高画质; 缩放倍数达到30倍;
最低照度0.1 Lux,自动彩转黑,自动感红外,实现昼夜监控; 支持自动聚焦、自动白平衡、背光补偿,实现更有效监控;
采用H.264视频压缩格式,压缩比高,性能可靠稳定; 内嵌WebServer服务器,支持IE浏览,实现远程监看;
可实现双码流传输,支持多种网络协议TCP/IP、UDP、RTSP、RTP、DDNS、HTTP、NTP;
支持移动侦测、探头、遮挡等报警功能,内置1路报警输入/输出,支持报警联动; 音频采用全双工方式,线性输入,可实现语音对讲、监听、广播;
云台可实现水平360°连续旋转,垂直90°,无监视盲区,支持128个预置位; 水平手动转速200°/秒,最高巡航速度可达300°/秒; IP65级防护设计,可靠性高。卖点: 30倍光学变焦
世界领先的30倍光学变焦,使摄像机更容易辨别、抓拍远距离物体。适用场合:
可广泛应用于需要大范围高速监控的场所,如广场、街道、大型场馆、小区外围、银行大门、公园、景区、公路、铁路、机场、港口、油田、车站等场所。
3.1.8 迅通XT-D540H 红外网络智能球
迅通XT-D540H 22×红外网络智能球
主要特性:
采用1/4” SONY High Sensitivity CCD II,高灵敏度,高性能,图像还原准确; 超低照度1Lux(30IRE)彩色,0.25Lux(30IRE)黑白,DSS0.001Lux(128FLD,30IRE),夜间监控灵敏清晰,自动彩转黑,自动感红外,真正实现24小时日夜监控;
22倍光学变焦;
支持自动聚焦、自动白平衡、背光补偿,实现更有效监控; 采用H.264视频压缩格式,压缩比高,性能可靠稳定; 内嵌WebServer服务器,支持IE浏览,实现远程监看; 可实现双码流传输,灵活适用于不同的网络环境;
支持多种网络协议TCP/IP、UDP、RTSP、RTP、DDNS、HTTP、NTP;
支持移动侦测、探头、遮挡等报警功能,内置1路报警输入/输出,支持报警联动; 音频采用全双工方式,线性输入,可实现语音对讲、监听、广播; 云台可实现水平360°连续旋转,垂直90°,无监视盲区; IP65级防潮防护设计,可靠性高。卖点: 540线高清晰
采用索尼高灵敏度二代CCD和DSP图像处理技术,使摄像机彩色水平分辨率可达540线,图像清晰、细腻。
适用场合:
可广泛应用于大范围内需要红外监控的场所,如仓库、地下停车场、酒吧、管道、加油站等光线较暗或无光照的环境。
3.1.9 迅通XT-C1MC 网络摄像机
迅通XT-C1MC 高清增强型网络摄像机
主要特性:
采用1/2.5″高分辨率逐行扫描CMOS,集成度高,处理速度快;
最高分辨率达1280(H)×720(V),1-25fps可调,可输出HD1080P实时高清图像; 红外距离15米,0.1Lux/F1.4超低照度,自动彩转黑,自动感红外,全天候日夜监控; 支持自动白平衡、背光补偿,实现更有效监控; 采用H.264视频压缩格式,压缩比高,性能可靠稳定; 内嵌WebServer服务器,支持IE浏览,实现远程监看;
可实现双码流传输,网络带宽在128K-4M可调,灵活适用于不同的网络环境; 支持移动侦测、探头、遮挡等报警功能,内置1路报警输入/输出,支持报警联动; 音频采用全双工方式,线性输入,可实现语音对讲、监听、广播。卖点: 百万高清
采用百万像素逐行扫描CMOS,可以提供1280(H)× 720(V)高清影像,使监控场所更清晰流畅,就像置身现场。
适用场合:
可广泛应用于需要高清红外监控的场所,如金银行金库、自助银行、展览中心、博物馆、交通、学校、政府、仓库、地下停车场等重要岗位中光线较暗或无光照的环境。
3.1.10 迅通XT-C540 网络摄像机
迅通XT-C540 日夜型网络摄像机
主要特性:
采用1/3" Sony CCD,图像画质优越,色彩还原度好,图像清晰细腻; 0.01Lux超低照度,自动彩转黑,自动感红外,实现昼夜监控; 支持自动白平衡、背光补偿,实现更有效监控; 采用H.264视频压缩格式,压缩比高,性能可靠稳定;
内嵌WebServer服务器,支持IE浏览,实现远程监看,支持远程网络升级、配置,远程设备复位功能;
可实现双码流传输,网络带宽在128K-2M可调,灵活适用于不同的网络环境; 支持多种网络协议TCP/IP、UDP、RTSP、RTP、DDNS、HTTP、NTP;
支持移动侦测、探头、遮挡等报警功能,内置1路报警输入/输出,支持报警联动; 音频采用全双工方式,线性输入,可实现语音对讲、监听、广播。卖点:
日夜彩色黑白转换
0.01Lux超低照度,自动彩转黑,白天以彩色模式监控,夜间根据照度自动转换为黑白模式,从而提高图像的解析度。
适用场合:
可广泛应用于学校、金融、超市、政府、工厂、酒店、机场、医院等场所。
3.1.11 迅通XT-C540H/50 网络摄像机
迅通XT-C540H/50 50米红外网络摄像机
主要特性:
采用1/3″SONY CCD,捕捉运动图像无锯齿;
红外距离50米,0.01Lux超低照度,自动彩转黑,自动感红外,全天候日夜监控; 支持自动白平衡、背光补偿,实现更有效监控; 采用H.264视频压缩格式,压缩比高,性能可靠稳定;
支持多种通信协议:TCP/IP、UDP、RTSP、RTP、DDNS、HTTP、NTP; 内嵌WebServer服务器,支持IE浏览,实现远程监看;
可实现双码流传输,网络带宽在128K-2M可调,灵活适用于不同的网络环境; 支持移动侦测、探头、遮挡等报警功能,内置1路报警输入/输出,支持报警联动; 音频采用全双工方式,线性输入,可实现语音对讲、监听、广播; 可防尘、防水,防护等级高达IP65。卖点: 50米超长红外
红外距离达50米,在夜间无光线的环境能看得更清、更远;0.01Lux超低照度,自动彩转黑,白天以彩色模式监控,夜间根据照度自动转换为黑白模式,从而提高图像的解析度。
适用场合:
可广泛应用于需要红外监控的场所,如道路、仓库、地下停车场、酒吧、管道、博物馆、走廊等场所。
3.1.12 迅通XTE200G-Y网络视频服务器
产品概述:
双码流视频服务器可以同时传输两种不同格式的码流用于不同使用场合,功耗低、使用方便,连接网线即可使用。XTE200G-Y型号采用双码流技术最大限度地降低了对电脑配置及网络传输的要求。安装简单、工程性价比高,尤其适宜于原有模拟监控系统的客户进行系统升级。
主要特点: H.264的压缩格式
视频格式可选择(主码流)D1、CIF、QCIF;(子码流)CIF、QCIF 体积小、功耗低(平均功率≤2.4瓦)、性能稳定
内嵌WebServer服务器、支持IE方式浏览
RS485接口,支持PTZ控制
可扩展多种解码协议,适应不同云台
可以同时传输两种不同视频格式的码流(双码流功能)
带双向音频对讲功能
带报警输入/输出接口
带宽上限1024K 内置密码保护
3.1.13 锐捷RG-S5750-24GT/12SFP核心交换机
3.1.13.1 产品概述
RG-S5750系列是锐捷网络推出的硬件支持IPv6的万兆多层交换机。该系列交换机提供的接口形式和组合非常灵活,即可以提供24个或48个10/100/1000M自适应的千兆电口(不包含扩展模块端口),又可以提供有24个SFP千兆光口((不包含扩展模块端口)),又能提供PoE远程供电的接口,满足网络建设中不同传输介质的连接需要。
全千兆的端口形态,加上可扩展的万兆端口,特别适合高带宽、高性能和灵活扩展的大型网络汇聚层、中型网络核心、以及数据中心服务器群的接入使用。
硬件支持IPv4/IPv6双协议栈多层线速交换和功能特性,为IPv6网络之间的通信提供了丰富的Tunnel技术,可灵活应用于纯IPv4网络、纯IPv6网络、IPv4到IPv6共存的网络,能充分满足当前园区网从IPv4向IPv6过渡的需要。
提供二到七层的智能的业务流分类、完善的服务质量(QoS)保证和组播应用管理特性。在提供高性能、多智能的同时,其内在的安全防御机制和用户接入管理能力,更可有效防止和控制病毒传播和网络攻击,控制非法用户接入网络,保证合法用户合理地使用网络资源,并可以根据网络实际使用环境,实施灵活多样的安全控制策略,充分保障了网络安全、网络合理化使用和运营。
该系列交换机提供的接口形式和组合非常灵活,即可以提供24个或48个10/100/1000M自适应的千兆电口,又可以提供有24个SFP千兆光口,又能提供PoE远程供电的接口,满足网络建设中不同传输介质的连接需要。
RG-S5750系列交换机以极高的性价比为大型网络汇聚、中型网络核心、数据中心服务器接入提供了高性能、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管,最大化满足高速、安全、智能的企业网需求。
3.1.13.2 产品特征
高性能
万兆端口为“千兆汇聚,万兆核心”提供可能,适应了网络应用高速发展,网络带宽不断增加的需要。而万兆端口的可扩展性既方便用户现在使用万兆网路,也方便用户后续升级网络到万兆。
IPv4/IPv6双栈协议多层交换
硬件支持IPv4/IPv6双协议栈多层线速交换,硬件区分和处理IPv4、IPv6协议报文,支持多种Tunnel隧道技术(如手工配置隧道、6to4隧道和 ISATAP隧道等等),可根据IPv6网络的需求规划和网络现状,提供灵活的IPv6网络间通信方案;
支持丰富的IPv4路由协议,包括静态路由、RIP、OSPF、BGP4等,满足不同网络环境中用户选择合适的路由协议灵活组建网络;
支持丰富的IPv6路由协议,包括静态路由、RIPng、OSPFv3、BGP4+等,不论是在升级现有网络至IPv6网络,还是新建IPv6网络,都可灵活选择合适的路由协议组建网络;
S5750 V2.0硬件版本支持MCE功能,可以在BGP/MPLS VPN组网应用中承担多个VPN实例的CE功能,减少用户设备的投入。
灵活完备的安全策略
具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击,如预防Dos攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略等,还网络一片绿色;
支持基于硬件的IPv6 ACL,即使在IPv4网络内有IPv6用户,也可轻松在网络边缘实现对IPv6用户的访问控制,既可允许网络内IPv4/IPv6用户并存,也可以对IPv6用户的访问权限进行控制,比如限制对网络敏感资源的访问等。
业界领先的硬件CPU保护机制:特有的CPU保护策略(CPP技术),对发往CPU的数据流,进行流区分和优先级队列分级处理,并根据需要实施带宽限速,充分保护CPU不被非法流量占用、恶意攻击和资源消耗,保障了CPU安全,充分保护了交换机的安全;
硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定,严格限定端口上的用户接入或交换机整机上的用户接入问题;
支持DHCP snooping,可只允许信任端口的DHCP响应,防止私设DHCP Server的欺骗;并在DHCP监听xxxx,通过动态监测ARP和检查用户的IP,直接丢弃不符合绑定表项的非法报文,有效防范ARP欺骗和用户源IP地址的欺骗问题;
基于源IP地址控制的Telnet访问控制,避免非法人员和黑客恶意攻击和控制设备,增强了设备网管的安全性;
SSH(Secure Shell)和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息,保证管理设备信息的安全性,防止黑客攻击和控制设备
控制非法用户使用网络,保证合法用户合理化使用网络,如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等,满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。
强大的多业务支撑能力
支持IPv4、IPv6组播功能,包含丰富的组播协议。比如IGMP Snooping、IGMP、MLD、PIM、PIM for IPv6等协议族,为IPv4网络、IPv6网络、IPv4和IPv6共存的网络提供了组播服务支持。
支持IGMP源端口和源IP检查功能,有效地杜绝非法的组播源,提高网络的安全性; 支持等价路由(ECMP)、权重路由(WCMP)等丰富的三层特性和业务特性,满足不同网络链路规划下的通信需要。
完善的QoS策略
具备MAC流、IP流、应用流等多层流分类和流控制能力,实现精细的流带宽控制、转发优先级等多种流策略,支持网络根据不同的应用、以及不同应用所需要的服务质量特性,提供服务。
以DiffServ标准为核心的QoS保障系统,支持802.1P、IP TOS、二到七层流过滤、SP、WRR等完整的QoS策略,实现基于全网系统多业务的QoS逻辑;
高可靠性
支持生成树协议802.1d、802.1w、802.1s,完全保证快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,合理使用网络通道,提供冗余链路利用率;
支持VRRP虚拟路由器冗余协议,有效保障网络稳定;
支持RLDP,可快速检测链路的通断和光纤链路的单向性,并支持端口下的环路检测功能,防止端口下因私接Hub等设备形成的环路而导致网络故障的现象;
支持BFD,为各上层协议如路由协议,MPLS等提供一种快速检测两台路由设备之间
转发路径连通状态的方法,大大减少了上层协议在链路状态变化时的收敛时间。
方便易用易管理
灵活复用的多种千兆接口形式,可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接,方便用户灵活选择线缆;
为方便安装地点或建筑物不适宜部署外部电源的环境,RG-S5750系列交换机特别提供支持PoE功能的产品型号,即通过双绞线就可以向远端下挂的PD设备供电,如无线AP、IP Phone、视频监控等设备,方便了任何符合IEEE 802.3af标准的终端设备的接入,实现以太网集中供电,以满足金融、企业、学校、医院、工厂等用户实现VoIP、远程监控、无线AP等网络应用的需要;
网络时间协议保证交换机时间的准确性,并与网络中时间服务器时间统一化,方便日志信息和流量信息的分析、故障诊断等管理;
Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份,便于管理员网络维护和管理;
多端口同步监控,通过一个端口即可同时监控多个端口的数据流,可以只监控输入帧或只监控输出帧或双向帧,大大提高维护效率;
CLI界面,方便高级用户配置和使用。
3.1.13.3 典型应用
大型网络的汇聚层、中小型网络的核心、服务器群的接入、大型企业或园区办公楼栋的全千兆三层接入。
通过简单地增加万兆模块即可以平滑地升级为万兆上链骨干网,保护用户投资。需要能灵活多样的千兆端口形式和千兆端口数的场合,提供高性能数据处理。 需要高性能的多层交换解决方案。
丰富的安全管理机制,提供网络安全防御、高安全接入控制和有效网络访问控制。 完善的管理策略应用,帮助管理带宽、保证语音、组播音视频服务及视频点播等关键任务的应用。
典型应用
一、万兆骨干校园网
RG-S5750系列交换机用于学校各教学科研、图书馆、学生宿舍各楼栋,千兆下连楼层接入交换机,万兆上链各区域的区核心交换机,为接入用户提供高性能的万兆骨干链路,满足接入信息点不断扩充和信息量日益增加的需要。
典型应用二:安全金融局域网
采用功能模块区的层次划分,通过锐捷RG-S8600,RG¬S6800E,RG-S5750提供的业界最强大安全防护功能,可以为金融一级分行提供满足新形势下的一级分行信息系统对网络安全的要求,并配合数据中心建立全行一体化的网络安全体系,实施完善的一级分行辖内网络安全项目。
中小型网络核心
核心交换机使用锐捷网络安全智能万兆多层交换机RG-S5750S-24GT/12SFP,高背板带
宽和线速的包转发速率,可以满足中小学校和中小企业的各种应用需求,灵活多样的千兆接口(24个千兆电口和灵活复用的12个SFP光纤接口),用于连接各分点接入交换机和服务器的接入需要。
大型企业或园区网的接入
S5750系列交换机上行通过万兆或千兆连接锐捷的多业务IPv6核心路由交换机S8600系列,核心设备通过万兆或多千兆链路聚合相连;
S5750系列向下通过千兆连接桌面工作组,实现全千兆三层到桌面,并且可以通过万兆弹性堆叠提供端口的无缝扩容,满足网络的灵活扩展。
3.1.14 锐捷RG-S2328G汇聚交换机
3.1.14.1 产品概述
RG-S2300系列是锐捷网络为满足构建多业务支持,易管理,高安全网络量身定制的以
太网交换机。灵活的端口形态为网络架构提供方便,也为未来网络扩展提供投资保护。支持混合堆叠,方便用户增加端口密度。
通过实施多种多样的安全策略,有效防止和控制网络病毒的扩散。更可提供基于硬件的IPv6 ACL,方便未来网络的升级扩展。高级QoS机制适应网络中多业务的顺利开展,为服务质量提供保证。
支持802.1x认证,控制非法用户使用网络,保障网络的合法使用。支持RADIUS协议,实现网络运营和计费,实现网络的运维。
RG-S2300系列包括RG-S2328G和RG-S2352G两款,为各类型网络提供无阻塞线速转发和网络安全策略。
3.1.14.2 产品特征
高带宽和高扩展性
RG-S2300系列提供高达19.2G的背板带宽,实现所有端口线速转发。并提供固化2个千兆Combo口(2个千兆SFP光口和2个10/100/1000M电口复用),灵活实现千兆上联。更可提供2个扩展Combo口为未来网络扩展提供投资保护。
通过堆叠可在不改变网络拓扑的情况下扩展端口密度,通过混合堆叠,在现有网络端口密度情况下,灵便根据实际情况扩展多个24口或者48口设备。
安全控制策略
通过锐捷安全计费管理平台SAM,不仅可实现用户账号、密码、MAC地址、IP地址、交换机IP、交换机端口等六大元素之间的灵活任意绑定,有效确认用户身份的合法性和唯一性,更能通过交换机特色硬件动态绑定,保障用户身份始终一致性,避免了用户恶意篡改身份信息进行非法攻击等行为;
ARP检测功能有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象,保障了用户的正常上网。无论在动态分配IP环境下,还是静态分配IP环境下,均可实现自动绑定工作,大大的节省了人力成本,降低了管理开销。而配合ARP速率监控控制端口ARP报文发送的速率,防止恶意利用扫描工具进行ARP泛洪占据网络带宽,导致网络拥塞的攻击行为;
支持DHCP snooping,只允许信任端口的DHCP响应,防止未经管理员许可私自架设DHCP Server,扰乱IP地址的分配和管理,影响用户的正常上网的行为;并在DHCP监听
xxxx,通过动态监测ARP和检查源IP,有效防范DHCP动态分配IP环境下的ARP主机欺骗和源IP地址的欺骗;
面对日趋热烈的IPv6应用,S2300系列交换机支持基于硬件的IPv6 ACL,即使在IPv4网络内有IPv6用户,也可轻松在网络边缘实现对IPv6用户的访问控制,既可允许网络内IPv4/IPv6用户并存,也可以对IPv6用户的访问权限进行控制,比如限制对网络敏感资源的访问等;
SSH(Secure Shell)和SNMPv3技术通过在Telnet和SNMP进程中加密管理信息,保证管理设备信息的安全性,防止黑客攻击和控制设备。基于源IP地址控制的Telnet访问控制,更加精细的提供了设备管理控制,保证只有管理员配置的IP地址才能登陆交换机,增强了设备网管的安全性。
高可用性
支持生成树协议802.1D、802.1w、802.1s,完全保证快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,合理使用网络通道,提供冗余链路利用率;PortFast大大缩减了标准的30-50秒的生成树协议收敛时间,而BPDU Guard功能则避免了生成树协议环路的出现;
支持RLDP,可快速检测链路的通断和光纤链路的单向性,并支持端口下的环路检测功能,防止端口下因私接Hub等设备形成的环路而导致网络故障的现象。
多业务支持
支持802.1P、DSCP、IP TOS、二到七层流过滤等QoS策略,具备MAC流、IP流、应用流等多层流分类和流控制能力,实现带宽控制、转发优先级等多种流策略,支持网络根据不同的应用、以及不同应用所需要的服务质量,提供服务;
能够探测IGMPv1/v2和IGMPv3全部版本的组播报文,适应不同组播环境,避免非法的组播数据流占用网络带宽,满足组播安全应用的需要。
支持多种调度算法,可根据优先级将报文分别放入不同队列,不同业务分占不同大小带宽,既保证了多业务的正常开展,也保证了带宽的利用率。
极灵活的带宽控制能力,可基于交换机端口、MAC地址、IP地址、VLAN ID、协议、应用组合进行灵活的带宽限速,最小粒度可达64Kbps。可根据网络安全需求,设定不同业务应用的带宽流量,满足不同业务网络带宽按需所用。
方便易用易管理
在802.1x环境下,可自动分发802.1x客户端给最终用户,网管人员可轻松在网内实现
认证且不再有最终用户的抱怨;
支持线缆检测特性,可在网线有断路时自动检测出,并给出断路点离端口的距离,网管人员可根据此信息轻松排除网络故障;
端口的VLAN自动跳转功能,方便移动用户随意换动网络接入点但是无需改变网络号,轻松实现用户全网漫游上网,减轻设备配置和维护量。
多端口同步监控,通过一个端口即可同时监控多个端口的数据流,可只监控输入帧或只监控输出帧或双向帧,大大提高维护效率。
网络时间管理协议/简单网络时间管理协议(NTP/SNTP)保证交换机时间的准确性,并与网络中时间服务器的时间统一化,方便日志信息和流量信息的分析、故障诊断。
Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份,便于管理员进行网络维护和管理。
支持使用WEB浏览器配置交换机,无需了解复杂的命令行和终端模拟程序,允许简单、快速的配置交换机,从而降低部署成本。
3.1.14.3 典型应用
由于RG-S2328G和RG-S2352G具有的高安全特性以及堆叠特点,使得组网形式非常灵活,适用各种类型网络的接入层。
大、中型网络接入层
支持802.1x,灵活实现用户接入控制; 支持多种安全特性,解决网络攻击的烦扰;
支持完备的生成树协议和RLDP,保障网络的可靠性,维持网络持续运行; 支持多种网管特性,简化网络管理;
支持硬件IPv6 ACL,为未来网络扩展提供投资保护
小型网络接入层
支持802.1x,灵活实现用户接入控制; 支持多种安全特性,解决网络攻击的烦扰;
支持完备的生成树协议和RLDP,保障网络的可靠性,从而维持网络持续运行; 支持多种网管特性,简化网络管理;
3.1.15 锐捷RG-S2026G接入交换机
3.1.15.1 产品概述
RG-S20系列是全线速智能型增强网管交换机,具有特别丰富而强大的网管功能,在实现流量线速交换的同时,可以通过多重设置方式进行网管操作,实现802.1Q VLAN、保护端口、链路聚合、Spanning Tree、端口监控设置、静态地址管理、广播风暴控制、端口动态MAC地址锁、端口MAC地址绑定、端口IGMP属性设置、802.1p优先级等各种管理。
RG-S20系列交换机在设置丰富的管理策略时,可针对用户的不同使用情况进行灵活的端口带宽分配,并采用业界最先进的802.1x安全接入控制策略,提供用户接入安全保障。
RG-S20系列交换机灵活的上链端口扩展能力、端口带宽分配、安全的用户接入控制使该系列交换机特别适合于高校、中小学、金融网点、、中小企业、政府、宽带社区等多种应用场合。
3.1.15.2 产品特征
高性能,端口全线速
高背板带宽为所有的端口提供非阻塞全线速交换。灵活精细的端口带宽限速
可对端口的输入和输出带宽进行灵活精细的速率控制,粒度精细可达64Kbps,网管人员可根据每个用户的实际情况分配相应的带宽,满足不同用户的接入带宽需求。在控制用户的接入速率同时,又可以有效防止用户恶意占用网络带宽,从而大大提高对网络带宽的利用率,如在学校、智能大厦、宽带小区、网吧等。
灵活的安全控制策略
支持802.1x,802.1Q VLAN,端口MAC地址绑定,端口MAC动态地址锁等,特别是通过锐捷SAM平台,可实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等多元素之间的灵活任意绑定,可有效控制用户的接入,确定用户的唯一性,如高校、政府机构、宽带小区等;
通过将端口设为保护端口即可简单方便地隔离用户之间信息互通,避免用户之间病毒、及网络攻击的肆意传播;
基于端口速率的广播风暴抑制功能,不仅设置简单,方便管理员的管理,而且充分保障了网络的稳定和安全。
高可靠性
支持生成树协议802.1D、802.1w、802.1s,完全保证快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,合理使用网络通道,提供冗余链路利用率。
方便易用的网络管理和网络维护
灵活的网络扩展,RG-S2026G的两个扩展槽均可自适应百兆、千兆光纤或电模块,方便用户选择各种介质(光纤或铜缆)和速率(百兆或千兆)来构建网络;
RG-S2052G特别提供固化的千兆电口和SFP光纤接口,非常便于用户根据需要选择介质来构建网络,同时又提供扩展槽来进一步方便网络的灵活弹性扩展;
通过堆叠,可提供灵活的端口密度,保证网络的高度灵活和可扩展,网络管理更加简单; 可监听IGMP v1/v2/v3全部版本组播报文,适应不同组播环境,满足组播安全应用的需要;
多端口同步监控,通过一个端口可同时监控多个端口的数据流,可以只监控输入帧,或
只监控输出帧,或监控双向帧;
SNMPv3确保在Telnet和SNMP进程中加密管理信息,保证交换机管理信息的安全性,防止黑客攻击和控制设备;
24口交换机的端口采用了一字排开的设计,以利于网络故障的查找及排除,同时也非常有利于楼道配线架的配线工作;
CLI界面,方便高级用户配置和使用。
3.1.15.3 典型应用
适用场合
各种类型网络接入层,可满足的应用需求有: 可对用户接入带宽进行灵活分配 需要高密度的端口接入
可对用户提供高安全的接入控制 需要千兆上链的网络环境
需要灵活多样和方便易用的管理方式 典型应用
高校校园网接入应用
中小学教育网接入应用
宽带小区接入应用
中小企业、政府单位接入应用
3.1.16 锐捷RG-S1916+接入交换机
3.1.16.1 产品概述
RG-S1916+是锐捷网络推出的一款16口高性能增强网管型交换机,具有丰富而强大的网管功能,在实现数据线速交换的同时,可以通过多重设置方式对网络进行网管操作,实现802.1Q VLAN、保护端口、链路聚合、Spanning Tree、端口监控设置、静态地址管理、广播风暴控制、端口动态MAC地址锁、端口MAC地址绑定、端口IGMP属性设置、802.1p优先级、802.1x安全控制等各种管理。
RG-S1916+可针对用户的不同情况进行灵活端口带宽分配,并采用业界最先进的802.1x安全接入控制策略,实现高效的用户控制能力。
S1916+灵活的带宽分配功能、安全的用户接入控制功能、丰富多样的管理方式、和易
于安装的外观设计,使此款交换机特别合于金融网点、城域网IP接入、中小学教育网、政府、中小企业等多种应用场合。
3.1.16.2 产品特征
端口全线速交换
高背板带宽为所有的端口提供无阻塞全线速交换。灵活的端口带宽分配
S1916+的16个10/100M端口均可达64K精细粒度尺度的带宽分配,这样网管人员可轻松地根据每个用户的实际业务需要分配相应的带宽,满足不同用户的接入带宽需求,在控制用户的接入速率同时,又可以有效防止用户恶意占用网络带宽,大大提高对网络带宽的利用率,为用户更好的利用带宽资源提供最佳保证,如在智能大厦、宽带小区、网吧、学校、金融网点等。
高的安全接入控制
支持802.1x,802.1Q VLAN,端口MAC地址绑定,端口动态地址锁等,控制用户的合法性;特别是可在用户账号、MAC地址、IP地址、交换机端口、交换机IP之间等需要任意绑定的场合,可有效控制用户的接入,确定用户的唯一性,如军队、军事院校、高校、政府机构等;
保护端口不必占用VLAN资源,即可非常方便地隔离用户之间信息互通,确保用户不能监控或访问同一台交换机上其他用户的信息,保障了用户信息的安全性。
静音节能绿色环保设计
S1916+采用了低功耗设计,不仅功耗小(不超过15W),极大程度上节约了耗电量,同时无需风扇,彻底免除噪音影响,特别适合于静音场所,如居民小区、医院、办公场所、学校宿舍楼等。
丰富而方便的网络管理和维护
IP访问列表限制,有效控制交换机管理安全
用户可以通过灵活设置IP地址列表,即可允许哪些IP可以通过Telnet和Web的方式访问交换机,有效地保障和控制了交换机管理安全。
多端口同步监控
通过一个端口即可同时监控多个端口的数据流,可以只监控输入帧或只监控输出帧或双
向帧,大大提高维护效率。
端口环回测试
方便了网管人员在远程测试交换机的端口是否工作正常。这样,当最终客户报告网络无法使用时,网管人员可使用这项特色功能判断是否为最终客户本身问题,或交换机本身问题,还是线缆问题。此项功能将大大降低网管工作量,更可有效的节省网络维护成本。
小尺寸壁挂设计
13〞壁挂设计,方便楼道狭窄环境安装;灵活小巧机型即可桌面型摆放,亦可方便安装于机架,特别适用于金融网点、城域网IP接入、学校、政府、企业工作组用户接入。
支持多样的管理方式
CLI界面,方便高级用户配置和使用。
Java-based Web管理方式,实现对交换机的远程可视化图形管理,易学易用,方便用户快速和高效地配置、修改、查看设备信息。
3.1.16.3 典型应用
RG-S1916+宽带网管交换机的适用场合如下: 宽带小区 金融网点接入 中小型网络的接入层
要求对用户接入带宽进行灵活分配 需对用户提供高安全接入控制
需要灵活小巧的机身,方便部署于空间有限的场所 需要完善的网络管理功能和灵活多样易用的管理方式 宽带小区接入
金融网点接入
中小学接入校园网
中小企业工作组接入
3.1.17 锐捷RG-S1908+接入交换机
3.1.17.1 产品概述
RG-S1908+是锐捷网络推出的一款8口高性能增强网管型交换机,具有丰富而强大的网管功能,在实现数据线速交换的同时,可以通过多重设置方式对网络进行网管操作,实现802.1Q VLAN、保护端口、链路聚合、Spanning Tree、监控设置、静态地址管理、广播风暴控制、端口动态MAC地址锁、端口MAC地址绑定、端口IGMP属性设置、802.1p优先级、802.1x安全控制等各种管理。RG-S1908+可针对用户的不同情况进行端口带宽分配,并采用业界最先进的802.1x安全接入控制策略,简化认证的同时实现高效的用户控制能力。
S1908+灵活的带宽分配功能、安全的用户接入控制功能,以及丰富多样的管理方式和易于安装的外观设计使此款交换机特别适合于金融网点、城域网IP接入、中小学教育网、政府、企业等多种应用场合。
3.1.17.2 产品特征
端口全线速交换
高背板带宽为所有的端口提供无阻塞全线速交换。灵活的端口带宽分配
S1908+的8个10/100M端口均可达64K精细粒度尺度的带宽分配,这样网管人员可轻松地根据每个用户的实际业务需要分配相应的带宽,满足不同用户的接入带宽需求,在控制用户的接入速率同时,又可以有效防止用户恶意占用网络带宽,大大提高对网络带宽的利用率,为用户更好的利用带宽资源提供最佳保证,如在智能大厦、宽带小区、网吧、学校、金融网点等。
高的安全接入控制
支持802.1x,802.1Q VLAN,端口MAC地址绑定,端口动态地址锁等,特别是可在用户账号、MAC地址、IP地址、交换机端口、交换机IP之间等需要任意绑定的场合,可有效控制用户的接入,确定用户的唯一性,如军队、军事院校、高校、政府机构等。
保护端口不必占用VLAN资源,即可非常方便地隔离用户之间信息互通,确保用户不能监控或访问同一台交换机上其他用户的信息,保障了用户信息的安全性。
静音节能绿色环保设计
S1908+采用了低功耗设计,不仅功耗极小(不超过10W),极大程度上节约了耗电量,同时无需风扇,彻底免除噪音影响,特别适合于静音场所,如医院、办公场所、居民小区、学校宿舍楼等。
丰富而方便的网络管理和维护
IP访问列表限制,有效控制交换机管理安全。
用户可通过灵活设置IP地址列表,即可限制哪些IP可以通过Telnet和Web的方式访问交换机,有效地保障和控制了交换机管理安全。
多端口同步监控
通过一个端口即可同时监控多个端口的数据流,可以只监控输入帧或只监控输出帧或双向帧,大大提高维护效率。
端口环回测试
方便了网管人员远程测试交换机的端口是否工作正常。这样,当最终客户报告网络无法使用时,网管人员可使用这项特色功能判断是否为最终客户本身问题,或交换机本身问题,还是线缆问题。此项功能将大大降低网管工作量,更可有效的节省网络维护成本。
小尺寸壁挂设计
13〞壁挂设计,方便楼道狭窄环境安装;灵活小巧机型即可桌面型摆放,亦可方便安装于机架,特别适用于金融网点、城域网IP接入、学校、政府、企业工作组用户接入。
支持多样的管理方式
CLI界面,方便高级用户配置和使用。
Java-based Web管理方式,实现对交换机的远程可视化图形管理,易学易用,方便用户快速和高效地配置、修改、查看设备信息。
3.1.17.3 典型应用
RG-S1908+宽带网管交换机的适用场合如下: 宽带小区 金融网点接入 中小型网络的接入层
要求对用户接入带宽进行灵活分配 需对用户提供高安全接入控制
需要灵活小巧的机型,方便部署于空间有限的场所 需要完善的网络管理功能和灵活多样易用的管理方式 宽带小区接入
图5-1 宽带小区接入
金融网点接入
图5-2 金融网点接入
中小学接入校园网
图5-3 中小学接入校园网
中小企业工作组接入
图5-4 中小企业工作组接入
3.1.18 台达GES-RT11K UPS不间断电源
台达GES-RT11K UPS不间断电源
台达RT系列 不间断电源系统台达GES-RT11K 产品特色 可用性
• 纯在线式双变换拓扑结构,提供7x24保护 • 1+1 并联冗余或扩容,无需额外硬件 • 具交流启动及电池启动的能力 • 外接充电板可缩短充电时间(可选)• 带手动旁路开关,用于并联冗余的维修旁路箱(可选)• 外配充电箱用以提高电池充电能力(可选)
第三篇:校园网络安全方案设计
汕尾职业技术学院-------数学与应用系
校园网络安全方案设计
班级:123网络技术2班
姓名:李仲富 学号:2012324208
设计题目: 校园网络安全方案设计
设计时间:6月20号至6月30号
汕尾职业技术学院-------数学与应用系
一、校园网方案设计原则与需求
1.1设计原则:保证校园网的稳定运行和利用。
1.2网络建设需求:高度的稳定性和高性能性,对网络统一管理和高效处理。
二、校园网方案设计
2.1校园网现网拓扑图
整个网络采用二级的网络架构:核心、接入。
核心采用一台RG-S4909,负责整个校园网的数据转发,同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口采用RG-WALL1200防火墙。
2.2校园网设备更新方案
更换核心设备
汕尾职业技术学院-------数学与应用系
核心采用一台锐捷网络面向10万兆平台设计的多业务IPV6路由交换机RG-S8606,负责整个校园网的数据转发。在C区增加一台SAM服务器,部署SAM系统,同时A区和B区用3台S2126G替换原有S1926F+。将原有的S4909放到东校区做为汇聚设备,下接三台S2126G实现安全控制,其它二层交换机分别接入相应的S2126G。B区汇聚采用一台S2126G,剩余两台S2126G用于保护重点机器,其它交换机接入对应的S2126G。C区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
2.3 网络安全系统的管理
1、确定计算机安全管理责任人和安全领导小组负责人 应当履行下列职责:
(一)组织宣传计算机信息网络安全管理方面的法律、法规和有关政策;
(二)拟定并组织实施本校计算机信息网络安全管理的各项规章制度;
(三)定期组织检查本校计算机信息网络系统安全运行情况,及时排除各种安全隐患;
(四)负责组织本校学生的安全教育和培训;
汕尾职业技术学院-------数学与应用系
2、配备1至2名计算机学生安全员(由技术负责人和技术操作人员组成),应当履行下列职责:
(一)执行本单位计算机信息网络安全管理的各项规章制度;
(二)按照计算机信息网络安全技术规范要求对计算机信息系统安全运行情况进行检查测试,及时排除各种安全隐患;
2.4网络安全系统的风险评估
一般可能会遭受到外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播,以及安全管理漏洞等方面。
2.5网络安全设计
2.5.1校园网网络安全需求分析
1.网络安全的防范:
病毒产生的原因:校园网很重要的一个特征就是用户数比较多,会有很多的PC机缺乏有效的病毒防范手段,这样,当用户在频繁的访问INTERNET的时候,通过局域网共享文件的时候,通过U盘,光盘拷贝文件的时候,系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送,发送给其他用户,发送给服务器。
病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;资源库、VOD不能点播;INTERNET上不了,学生、老师面临着看着丰富的校园网资源却不能使用的尴尬境地。
2、防止IP、MAC地址的盗用
IP、MAC地址的盗用的原因:某校园网采用静态IP地址方案,如果缺乏有效的IP、MAC地址管理手段,用户可以随意的更改IP地址,在网卡属性的高级选项中可以随意的更改MAC地址。如果用户有意无意的更改自己的IP、MAC地址,会引起多方冲突,如果与网关地址冲突,同一网段内的所有用户都不能使用网络;如果恶意用户发送虚假的IP、MAC的对应关系,用户的大量上网数据包都落入恶意用户的手中,造成ARP欺骗攻击。
IP、MAC地址的盗用对校园网的影响:在用户看来,校园网络是一个很不可靠是会给我带来很多麻烦的网络,因为大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源,而且,用户在正常工作和学习时候,自己的电脑上会经常
汕尾职业技术学院-------数学与应用系
弹出MAC地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏,用户会尽量减少网络的使用,这样,学生、老师对校园网以及网络中心的信心会逐渐减弱,投入几百万的校园网也就不能充分发挥其服务于教学的作用,造成很大程度上的资源浪费。
3、安全事故发生时候,需要准确定位到用户 安全事故发生时候,需要准确定位到用户原因:
资料:国家的要求:2002年,朱镕基签署了282号令,要求各大INTERNET运营机构(包括高校)必须要保存60天的用户上网记录,以待相关部门审计。
校园网正常运行的需求:如果说不能准确的定位到用户,学生会在网络中肆无忌弹进行各种非法的活动,会使得校园网变成“黑客”娱乐的天堂,更严重的是,如果当某个学生在校外的某个站点发布了大量涉及政治的比如法轮功的言论,这时候公安部门的网络信息安全监察科找到我们的时候,我们无法处理,学校或者说网络中心只有替学生背这个黑锅。
4、安全事故发生时候,不能准确定位到用户的影响:
一旦发生这种涉及到政治的安全事情发生后,很容易在社会上广泛传播,上级主管部门会对学校做出处理;同时也会大大降低学校在社会上的影响力,降低家长、学生对学校的满意度,对以后学生的招生也是大有影响的。
5、用户上网时间的控制
无法控制学生上网时间的影响:如果缺乏有效的机制来限制用户的上网时间,学生可能会利用一切机会上网,会旷课。像网吧一样无人监管,通宵、影响明天的课程。精力。
6、用户网络权限的控制
在校园网中,不同用户的访问权限应该是不一样的,比如学生应该只能够访问资源服务器,上网,不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此,需要对用户网络权限进行严格的控制。例如:学院的重要的部门。学生选课。资料档案。
7、各种网络攻击的有效屏蔽
校园网中常见的网络攻击比如MAC FLOOD、SYN FLOOD、DOS攻击、扫描攻击、ARP欺骗攻击、流量攻击、非法组播源、非法DHCP服务器及DHCP攻击、窃取交换机的管理员密码、发送大量的广播报文,这些攻击的存在,会扰乱网络的正常运行低了校园网的效率。计算机专业的学生搞恶作剧,做实验
2.6.2某校园网网络安全方案设计思想和实施
汕尾职业技术学院-------数学与应用系
2.6.2.1安全到边缘的设计思想
用户在访问网络的过程中,首先要经过的就是交换机,如果我们能在用户试图进入网络的时候,也就是在接入层交换机上部署网络安全无疑是达到更好的效果。2.6.2.2全局安全的设计思想
锐捷网络提倡的是从全局的角度来把控网络安全,安全不是某一个设备的事情,应该让网络中的所有设备都发挥其安全功能,互相协作,形成一个全民皆兵的网络,最终从全局的角度把控网络安全。2.6.2.3全程安全的设计思想
用户的网络访问行为可以分为三个阶段,包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段,都应该有严格的安全控制措施。2.6.3校园网网络安全方案
锐捷网络结合SAM系统和交换机嵌入式安全防护机制设计的特点,从三个方面实现网络安全:事前的准确身份认证、事中的实时处理、事后的完整审计。2.6.3.1事前的身份认证
对于每一个需要访问网络的用户,我们需要对其身份进行验证,身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间,通过以上信息的绑定,可以达到如下的效果:
每一个用户的身份在整个校园网中是唯一,避免了个人信息被盗用.当安全事故发生的时候,只要能够发现肇事者的一项信息比如IP地址,就可以准确定位到该用户,便于事情的处理。
只有经过网络中心授权的用户才能够访问校园网,防止非法用户的非法接入,这也切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。2.6.3.2网络攻击的防范
1、常见网络病毒的防范
对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的ACL,能够对这些病毒所使用的TCP、UDP的端口进行防范,一旦某个用户不小心感染上了这种类型的病毒,不会影响到网络中的其他用户,保证了校园网网络带宽的合理使用。
2、未知网络病毒的防范
汕尾职业技术学院-------数学与应用系
对于未知的网络病毒,通过在网络中部署基于数据流类型的带宽控制功能,为不同的网络应用分配不同的网络带宽,保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽,当新的病毒产生时,不会影响到主要网络应用的运行,从而保证了网络的高可用性。
3、防止IP地址盗用和ARP攻击
通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP和源MAC是否和端口安全规则一致,如果不一致,视为更改了IP地址,所有的数据包都不能进入网络,这样可有效防止安全端口上的ARP欺骗,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。
4、防止假冒IP、MAC发起的MAC FloodSYN Flood攻击
通过部署IP、MAC、端口绑定和IP+MAC绑定(只需简单的一个命令就可以实现)。并实现端口反查功能,追查源IP、MAC访问,追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击,进一步增强网络的安全性。
5、非法组播源的屏蔽
锐捷产品均支持IMGP源端口检查,实现全网杜绝非法组播源,指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时,从任何端口进入的视频流均是合法的,交换机会把它们转发到已注册的端口。当IGMP源端口检查打开时,只有从路由连接口进入的视频流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被视为是非法的,将被丢弃。锐捷产品支持IGMP源端口检查,有效控制非法组播,实现全网杜绝非法组播源,更好地提高了网络的安全性和全网的性能,同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势,而且也是网络带宽合理的分配所必须的。同时IGMP源端口检查,具有效率更高、配置更简单、更加实用的特点,更加适用于校园运营网络大规模的应用环境。
6、对DOS攻击,扫描攻击的屏蔽
通过在校园网中部署防止DOS攻击,扫描攻击,能够有效的避免这二种攻击行为,节省了网络带宽,避免了网络设备、服务器遭受到此类攻击时导致的网络中断。2.7 业务连续策略
可分为4种类型:人力不可抗拒事件、高传染性疾病、物理访问、it逻辑访问 2.8 业务持续计划进行测试、保持和重新评估(1)测试即使:1桌面测试 2模拟
汕尾职业技术学院-------数学与应用系
3技术恢复测试
4供应商设备和服务测试 5排练
(2)保持与重新评估:考虑各方面的更新1人员 2地址或电话号码 3过程 4风险
第四篇:校园网络安全方案设计
校园网络安全方案设计案例2案例)
班 级: 学 号: 设计人:李**
(校园
第一章、校园网方案设计原则与需求
1.1设计原则
1.充分满足现在以及未来3-5年内的网络需求,既要保证校园网能很好的为学校服务,又要保护学校的投资。
2.强大的安全管理措施,四分建设、六分管理,管理维护的好坏是校园网正常运行的关键
3.在满足学校的需求的前提下,建出自己的特色 1.2网络建设需求
网络的稳定性要求
整个网络需要具有高度的稳定性,能够满足不同用户对网络访问的不同要求 网络高性能需求
整个网络系统需要具有很高的性能,能够满足各种流媒体的无障碍传输,保证校园网各种应用的畅通无阻
认证计费效率高,对用户的认证和计费不会对网络性能造成瓶颈 网络安全需求
防止IP地址冲突
非法站点访问过滤
非法言论的准确追踪
恶意攻击的实时处理
记录访问日志提供完整审计 网络管理需求
需要方便的进行用户管理,包括开户、销户、资料修改和查询
需要能够对网络设备进行集中的统一管理
需要对网络故障进行快速高效的处理
第二章、校园网方案设计
2.1校园网现网拓扑图
整个网络采用二级的网络架构:核心、接入。
核心采用一台RG-S4909,负责整个校园网的数据转发,同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口采用RG-WALL1200防火墙。原有网络设备功能较少,无法进行安全防护,已经不能满足应用的需求。
2.2校园网设备更新方案
方案一:不更换核心设备
核心仍然采用锐捷网络S4909交换机,在中校区增加一台SAM服务器,部署SAM系统,同时东校区和西校区各用3台S2126G替换原有S1926F+,其中汇聚交换机各采用一台新增的S2126G,剩余的两台S2126G用于加强对关键机器的保护,中校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
方案二:更换核心设备
核心采用一台锐捷网络面向10万兆平台设计的多业务IPV6路由交换机RG-S8606,负责整个校园网的数据转发。在中校区增加一台SAM服务器,部署SAM系统,同时东校区和西校区各用3台S2126G替换原有S1926F+。将原有的S4909放到东校区做为汇聚设备,下接三台S2126G实现安全控制,其它二层交换机分别接入相应的S2126G。西校区汇聚采用一台S2126G,剩余两台S2126G用于保护重点机器,其它交换机接入对应的S2126G。中校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。2.3骨干网络设计
骨干网络由RG-S8606构成,核心交换机RG-S8606主要具有5特性:
1、骨干网带宽设计:千兆骨干,可平滑升级到万兆
整个骨干网采用千兆双规线路的设计,二条线路通过VRRP冗余路由协议和OSPF动态路由协议实现负载分担和冗余备份,以后,随着网络流量的增加,可以将链路升级到万兆。
2、骨干设备的安全设计:CSS安全体系架构
3、CSS之硬件CPP CPP即CPU Protect Policy,RG-S8606采用硬件来实现,CPP提供管理模块和线卡CPU的保护功能,对发往CPU的数据流进行带宽限制(总带宽、QOS队列带宽、类型报文带宽),这样,对于ARP攻击的数据流、针对CPU的网络攻击和病毒数据流,RG-S8606分配给其的带宽非常的有限,不会影响其正常工作。
由于锐捷10万兆产品RG-S8606采用硬件的方式实现,不影响整机的运行效率
4、CSS之SPOH技术
现在的网络需要更安全、需要为不同的业务提供不同的处理优先级,这样,大量的ACL和QOS需要部署,需要核心交换机来处理,而这些应用属于对交换机硬件资源消耗非常大的,核心交换机RG-S8606通过在交换机的每一个用户端口上增加一个FFP(快速过滤处理器),专门用来处理ACL和QOS,相当于把交换机的每一个端口都变成了一台独立的交换机,可以保证在非常复杂的网络环境中核心交
换机的高性能。
2.4网络安全设计
2.4.1某校园网网络安全需求分析
1、网络病毒的防范
病毒产生的原因:某校园网很重要的一个特征就是用户数比较多,会有很多的PC机缺乏有效的病毒防范手段,这样,当用户在频繁的访问INTERNET的时候,通过局域网共享文件的时候,通过U盘,光盘拷贝文件的时候,系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送,发送给其他用户,发送给服务器。
病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;资源库、VOD不能点播;INTERNET上不了,学生、老师面临着看着丰富的校园网资源却不能
使用的尴尬境地。
2、防止IP、MAC地址的盗用
IP、MAC地址的盗用的原因:某校园网采用静态IP地址方案,如果缺乏有效的IP、MAC地址管理手段,用户可以随意的更改IP地址,在网卡属性的高级选项中可以随意的更改MAC地址。如果用户有意无意的更改自己的IP、MAC地址,会引起多方冲突,如果与网关地址冲突,同一网段内的所有用户都不能使用网络;如果恶意用户发送虚假的IP、MAC的对应关系,用户的大量上网数据包都落入恶意用户的手中,造成ARP欺骗攻击。
IP、MAC地址的盗用对校园网的影响:在用户看来,校园网络是一个很不可靠是会给我带来很多麻烦的网络,因为大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源,而且,用户在正常工作和学习时候,自己的电脑上会经常弹出MAC地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏,用户会尽量减少网络的使用,这样,学生、老师对校园网以及网络中心的信心会逐渐减弱,投入几百万的校园网也就不能充分发挥其服务于教学的作用,造成很大程度上的资源浪费。
3、安全事故发生时候,需要准确定位到用户 安全事故发生时候,需要准确定位到用户原因:
国家的要求:2002年,朱镕基签署了282号令,要求各大INTERNET运营机构(包括高校)必须要保存60天的用户上网记录,以待相关部门审计。
校园网正常运行的需求:如果说不能准确的定位到用户,学生会在网络中肆无忌弹进行各种非法的活动,会使得校园网变成“黑客”娱乐的天堂,更严重的是,如果当某个学生在校外的某个站点发布了大量涉及政治的比如法轮功的言论,这时候公安部门的网络信息安全监察科找到我们的时候,我们无法处理,学校或者说网络中心只有替学生背这个黑锅。
4、安全事故发生时候,不能准确定位到用户的影响:
一旦发生这种涉及到政治的安全事情发生后,很容易在社会上广泛传播,上级主管部门会对学校做出处理;同时也会大大降低学校在社会上的影响力,降低家长、学生对学校的满意度,对以后学生的招生也是大有影响的。
5、用户上网时间的控制
无法控制学生上网时间的影响:如果缺乏有效的机制来限制用户的上网时间,学生可能会利用一切机会上网,会旷课。学生家长会对学校产生强烈的不满,会认为学校及其的不负责任,不是在教书育人。这对学校的声誉以及学校的长期发展是及其不利的。
6、用户网络权限的控制
在校园网中,不同用户的访问权限应该是不一样的,比如学生应该只能够访问资源服务器,上网,不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此,需要对用户网络权限进行严格的控制。
7、各种网络攻击的有效屏蔽
校园网中常见的网络攻击比如MAC FLOOD、SYN FLOOD、DOS攻击、扫描攻击、ARP欺骗攻击、流量攻击、非法组播源、非法DHCP服务器及DHCP攻击、窃取交换机的管理员密码、发送大量的广播报文,这些攻击的存在,会扰乱网络的正常运行
低了校园网的效率。
2.4.2某校园网网络安全方案设计思想 2.4.2.1安全到边缘的设计思想
用户在访问网络的过程中,首先要经过的就是交换机,如果我们能在用户试图进入网络的时候,也就是在接入层交换机上部署网络安全无疑是达到更好的效果。2.4.2.2全局安全的设计思想
锐捷网络提倡的是从全局的角度来把控网络安全,安全不是某一个设备的事情,应该让网络中的所有设备都发挥其安全功能,互相协作,形成一个全民皆兵的网络,最终从全局的角度把控网络安全。2.4.2.3全程安全的设计思想
用户的网络访问行为可以分为三个阶段,包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段,都应该有严格的安全控制措施。2.4.3某校园网网络安全方案
锐捷网络结合SAM系统和交换机嵌入式安全防护机制设计的特点,从三个方面实现网络安全:事前的准确身份认证、事中的实时处理、事后的完整审计。
2.4.3.1事前的身份认证
对于每一个需要访问网络的用户,我们需要对其身份进行验证,身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间,通过以上信息的绑定,可以达到如下的效果:
每一个用户的身份在整个校园网中是唯一,避免了个人信息被盗用.当安全事故发生的时候,只要能够发现肇事者的一项信息比如IP地址,就可以准确定位到该用户,便于事情的处理。
只有经过网络中心授权的用户才能够访问校园网,防止非法用户的非法接入,这也切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。2.4.3.2网络攻击的防范
1、常见网络病毒的防范
对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的ACL,能够对这些病毒所使用的TCP、UDP的端口进行防范,一旦某个用户不小心感染上了这种类型的病毒,不会影响到网络中的其他用户,保证了校园网网络带宽的合理使用。
2、未知网络病毒的防范
对于未知的网络病毒,通过在网络中部署基于数据流类型的带宽控制功能,为不同的网络应用分配不同的网络带宽,保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽,当新的病毒产生时,不会影响到主要网络应用的运行,从而保证了网络的高可用性。
3、防止IP地址盗用和ARP攻击
通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP和源MAC是否和端口安全规则一致,如果不一致,视为更改了IP地址,所有的数据包都不能进入网络,这样可有效防止安全端口上的ARP欺骗,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。
4、防止假冒IP、MAC发起的MAC FloodSYN Flood攻击
通过部署IP、MAC、端口绑定和IP+MAC绑定(只需简单的一个命令就可以实现)。并实现端口反查功能,追查源IP、MAC访问,追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击,进一步增强网络的安全性。
5、非法组播源的屏蔽
锐捷产品均支持IMGP源端口检查,实现全网杜绝非法组播源,指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时,从任何端口进入的视频流均是合法的,交换机会把它们转发到已注册的端口。当IGMP源端口检查打开时,只有从路由连接口进入的视频流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被视为是非法的,将被丢弃。锐捷产品支持IGMP源端口检查,有效控制非法组播,实现全网杜绝非法组播源,更好地提高了网络的安全性和全网的性能,同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势,而且也是网络带宽合理的分配所必须的。同时IGMP源端口检查,具有效率更高、配置更简单、更加实用的特点,更加适用于校园运营网络大规模的应用环境。
6、对DOS攻击,扫描攻击的屏蔽
通过在校园网中部署防止DOS攻击,扫描攻击,能够有效的避免这二种攻击行为,节省了网络带宽,避免了网络设备、服务器遭受到此类攻击时导致的网络中断。2.4.3.3事后的完整审计
当用户访问完网络后,会保存有完备的用户上网日志纪录,包括某个用户名,使用那个IP地址,MAC地址是多少,通过那一台交换机的哪一个端口,什么时候开始访问网络,什么时候结束,产生了多少流量。如果安全事故发生,可以通过查询该日志,来唯一的确定该用户的身份,便于了事情的处理。2.5网络管理设计
网络管理包括设备管理、用户管理、网络故障管理 2.5.1网络用户管理
网络用户管理见网络运营设计开户部分 2.5.2网络设备管理
网络设备的管理通过STARVIEW实现,主要提供以下功能,这些功能也是我们常见的解决问题的思路:
1、网络现状及故障的自动发现和了解
STARVIEW能自动发现网络拓扑结构,让网络管理员对整个校园网了如指掌,对于用户私自挂接的HUB、交换机等设备能及时地发现,提前消除各种安全隐患。对于网络中的异常故障,比如某台交换机的CPU利用率过高,某条链路上的流量负载过大,STARVIEW都可以以不同的颜色进行显示,方便管理员及时地发现网络中的异常情况。
2、网络流量的查看
STARVIEW在网络初步异常的情况下,能进一步的察看网络中的详细流量,从而为网络故障的定位提供了丰富的数据支持。
3、网络故障的信息自动报告
STARVIEW支持故障信息的自动告警,当网络设备出现故障时,会通过TRAP的方式进行告警,网络管理员的界面上能看到各种故障信息,这些信息同样为管理员 的故障排除提供了丰富的信息。
4、设备面板管理
STARVIEW的设备面板管理能够很清楚的看到校园中设备的面板,包括端口数量、状态等等,同时可以很方便的登陆到设备上,进行配置的修改,完善以及各种信
息的察看。
5、RGNOS操作系统的批量升级
校园网很大的一个特点就是规模大,需要使用大量的接入层交换机,如果需要对这些交换机进行升级,一台一台的操作,会给管理员的工作带来很大的压力,STARVIEW提供的操作系统的批量升级功能,能够很方便的一次对所有的相同型号的交换机进行升级,加大的较少了网络管理员的工作量。
2.5.3网络故障管理
随着校园网用户数的增多,尤其是宿舍网运营的开始,用户网络故障的排除会成为校园网管理工作的重点和难点,传统的网络故障解决方式主要是这样一个流程:
2.6流量管理系统设计
网络中的流量情况是网络是否正常的关键,网络中大量的P2P软件的使用,已经对各种网络业务的正常开展产生了非常严重的影响,有的学校甚至因为P2P软件的泛滥,直接导致了网络出口的瘫痪。2.6.1方案一:传统的流量管理方案
传统的流量管理方案的做法很多就是简单的封堵这些P2P软件,从而达到控制流量的目的,这有三大弊端,第一:这些软件之所以有如此强大的生命力,是因为用户通过使用这些软件的确能快速的获取各种有用的资源,如果简单的通过禁止的方式,用户的意见会非常的大,同时,各种有用的资源我们很难获取。
第二:各种新型的,对网络带宽消耗更大的应用软件也在不断的出现。所谓道高一尺,魔高一丈,一味的封堵这些软件,我们永远处于被动的局面,显然不能从根本上解决这个问题。
第三:我们无法获取网络中的流量信息,无法为校园网的优化,网络管理,网络故障预防和排除提供数据支撑。2.6.2方案二:锐捷的流量管理与控制方案
锐捷网络的流量管理主要通过RG-NTD+日志处理软件+RG-SAM系统来实现。NTD是锐捷流量管理解决方案的重要组成部分,我们希望能为用户提供一种流量控制和管理的方法而不单纯是流量计费,锐捷的流量管理方案有三大功能:
第一:为SAM系统对用户进行流量计费提供原始数据,这是我们已经实现了的功能。该功能能满足不同消费层次的用户对带宽的需求,经济条件好一点,可以多用点流量,提高了用户的满意度。而且,对于以后新出现的功能更加强大的下载软件,都不必担心用户任意使用造成带宽拥塞。
第二:提供日志审计和带宽管理功能,通过NTD、SAM、日志系统的结合,能够做到基于用户身份对用户进行管理,做到将用户名、源IP、目的IP直接关联,通过目的IP,可以直接定位到用户名,安全事件处理起来非常的方便,同时还能提供P2P的限速,带宽管理等功能,这一部分的功能我们会在明年4月份提供。第三:能够对网络中的各种流量了如指掌,可以对用户经常访问的资源进行分析对比,为应用系统的建设、服务器的升级改造提供数据支持;能够及时的发现网络中的病毒、恶意流量,从而进行有效的防范,结合认证计费系统SAM,能够捕捉到事件源头,并于做出处理。
总体来说,流量控制和管理和日志系统的整体解决方案对于校园网的长期健康可持续发展是很有帮助的。
第五篇:校园招聘方案设计
人员招聘与选拔直接影响企业、组织人力资源的输入和引进质量,它将直接影响一个组织的兴衰成败。管理学家汤姆•彼得斯说:“企业或者组织唯一真正的资源是人,招聘就是充分开发人力资源以做好工作。”希望自己在今后的学习工作当中能够多接触这方面,多进行锻炼。
某集团2010校园招聘方案设计
背景介绍:该集团成立于1996年,主营项目为制药,旅游业等行业。鉴于近年来该集团公司进军房地产,发展初具规模,前景颇为良好,急需建筑方向各专业人才的加入,为房地产分公司加入新鲜血液,特举行校园招聘会。
一、制定招聘计划:
(1)进行职务分析并提交增员申请;
(2)确定需求 ;
(3)制定招聘活动执行方案:
a.招聘小组的人员及其具体分工:房地产分公司总经理
或分管副总经理(负责最终确定录取名单);人力资源部部门经理(负责招聘的具体细节内容,组织进行面试);外聘职业顾问(负责考察应聘者专业素质以外的其他综合素质,面试的具体实施者);
b.招聘信息的发布:
时间:招聘会召开之前十五天;
方式:通过校园招生就业网络发布,并适当在校
园内进行宣传;
c.招聘对象的来源与范围:土木工程、工程测量、工
程机械、安全工程、给排水、建筑环境与设备、会计学等专业应届本科毕业生;
d.招聘方法:
首先,进行简历投递,初步进行筛选;
其次,进行专业能力测试,采用笔试的方法,进
行二次筛选;
再次,进行个人心理测试及个人气质类型测试;
最后,进行面试;
e.面试安排:随机安排顺序,安排应聘者按照顺序依
次进入指定考场进行面试;
f.面试题目设计:包括三部分:应聘者自我介绍;职
业顾问进行提问;应聘者对于自己感兴趣的问题进行反向提问;
g.甄选方法:综合考虑专业能力、职业道德、特长和
潜力、个人心理测试及气质类型测试及面试现场表现进行筛选。
二、发布招聘信息
三、投递简历(资格审查)
四、笔试及面试
五、体检,并进行背景调查
六、确定录取名单,发出录取名单
七、签订劳动合同
八、对本次招聘进行招聘评估(包括成效评估和效益评估)