神州数码网络可运营校园网解决方案特点

　　教工家属区可采用以下计费策略：包月计费、时长或有限时长包月计费（比如60小时包月超出部分2元/小时）、流量或有限流量包月计费（比如1000M包月超出部分0.1元/M）。具体的计费策略可以按照实际情况制定。由于教工家属区与学生宿舍有着不同的特征，在教工家属区，各用户的计算机终端完全被自己拥有，为了防止帐号被盗用，可以采用用户帐号与MAC地址、VLAN号以及IP地址绑定的方式保障用户帐号的安全性。

　　同时校内互访可以设为免费，访问INTERNET收费。

　　各个学校可以根据需求灵活地设定合适的计费模型。

超高的网络安全管理

　　由于校园网络连接园区内部所有用户，安全管理十分重要。神州数码"安全、智能、可运营"的校园网解决方案，通过以下网络安全管理，为校园网提供了高度的网络安全保障。

√ 校园网vlan设计

　　vlan设计在校园网中起到举足轻重的作用，传统校园网的设计思路是按照地理位置来划分vlan，这并非一个好的设计方法：因为地理位置相近的用户不一定有资源共享的需求。vlan设计的总体指导原则为提高校园网的效率以及网络安全性：若相互间通信最多的用户群处于同一个vlan下，一方面可以保证通信最多的用户之间使用二层交换协议，而性质不同的用户之间，通信量较少，采用三层交换协议，无疑提高了网络的效率；通信最多的用户群体一般属于相同性质用户如同一个班级的学生或者同一个部门的教师等，相互之间有信任关系，网络的安全性能同样会提高。

　　学生宿舍区vlan设计 按照上述原则，学生宿舍最好以班级或者专业划分vlan；
　　教工家属区vlan设计 教工家属区属于完全的商业应用，不同家庭的用户之间几乎不需要通信，建议每个家庭处于单独的vlan。

√ NAT地址转换

　　通过内置的网络地址转换（NAT）功能，用户被分配私有IP地址，而私有IP地址对INTERNET是隐蔽的，INTERNET上的用户几乎无法攻击校园网内部用户。同时也解决了公用IP地址资源匮乏的问题。

√ 校园网上网控制

　　通过ACL功能可以对不健康网站或者政治反动网站以及校内关键资源如财务系统信息的过滤等。
　　可以根据学校的管理要求，对学生上网时间、时段进行严格管理。比如对DCBA-2000P设置。可限制学生在2：00～5：00上网。

√ 严格的telnet/enable/snmp的访问权限可以保证校园网络设备的高度安全

√ 提供有效的防范措施针对PPPoE协议、DHCP SERVER、WEB SERVER的DoS攻击；

√ 校园网用户上网记录或日志管理

　　网络管理员通过DCBI-2000认证计费系统可查看用户上网详细记录。包括用户IP地址、MAC地址、VLAN ID、上网时间、流量信息、接入服务器IP、端口等。通过对上网记录的分析，能够及时发现异常用户。
超强的用户接入控制与IP地址管理

　　在校园网中一般采用LAN的接入方式，因此校园网的运营不可避免会存在IP地址管理的问题。由于学生所住房间经常调整，通常每学年就要移动一次；许多合法的IP地址在用户结束使用后仍没有收回，造成IP地址的浪费。另外在校园网经常出现IP地址盗用或冲突的问题。用户恶意更改IP地址，在实际的运营中轻者导致其他用户上不了网，重者则导致整个网络陷入瘫痪（比如用户的IP地址设成网关地址），严重的影响运营的质量；有的运营商采用IP地址和MAC地址绑定的功能，但由于一方面不能有效地解决IP地址冲突问题，同时增大了交换机的成本投入，而且工程的实施又极其繁琐，所以也很不理想。

　　神州数码校园网解决方案中可以实现对用户账号与IP、MAC、接入交换机IP、接入端口、VLAN ID、DHCP SERVER等多元素的任意绑定，能够很好的解决IP地址的管理问题，同时提供强大而灵活的用户接入控制功能。

　　方式一：用户帐号/密码的验证，只有通过验证的用户才能访问网络，保证正常开户的用户才能接入。

　　方式二：用户帐号、密码、IP地址的绑定，可解决IP地址静态分配环境下的IP地址冲突问题。

　　方式三：用户帐号、密码、MAC地址的绑定，可保证用户帐号不被盗用。

　　方式四：在802.1x认证中，交换机端口与MAC地址的绑定，可对认证者进行过滤。

　　方式五：用户帐号、密码、VLAN号、MAC地址的绑定，能够为用户做更精准的身份认证。比如教师家属区和学生宿舍区的用户通常使用不同资费标准和策略，那么如何禁止这两个区域用户账号的混用呢？如果教师和学生在不同的VLAN内，只要在用户认证时，同时认证用户的VLAN ID就可以做到教师的帐户只能在教师宿舍区使用，学生的帐号只能在学生宿舍区使用。

　　神州数码校园网解决方案在IP地址管理上可以做到：

　　（1）针对静态IP地址分配的情况，做到：

　　认证前用户将静态分配方式改为动态、认证过程中修改IP地址，用户认证不予通过；
　　认证后修改IP地址，用户立即下线；

　　（2）针对动态IP地址分配的情况，可以做到：

　　认证前设定成静态，认证不予通过；
　　认证通过后，由动态改为静态，用户立即下线；
　　从其他或非法DHCP server获得地址，认证不予通过；