寬帶數據城域網系統(tǒng)集成項目策劃技術匯編

1、北京首信股份有限公司（北京郵電通信設備廠）寬帶數據城域網系統(tǒng)集成項目技術白皮書（第一版）北京首信股份有限公司數據網絡事業(yè)部技術支持中心二零零一年七月目 錄 TOC o 1-3 第一章 城域網差不多概念 PAGEREF _Toc476179633 h 41.1 寬帶城域網概念 PAGEREF _Toc476179634 h 41.2 寬帶城域網建設興起的緣故 PAGEREF _Toc476179635 h 5第二章 城域網建設分析 PAGEREF _Toc476179636 h 52.1.寬帶城域網建設目標 PAGEREF _Toc476179637 h 52.2.網絡承載商能夠提供的業(yè)務 PA

2、GEREF _Toc476179638 h 62.3.網絡運營商能夠提供的業(yè)務 PAGEREF _Toc476179639 h 62.4 城域網要緊大用戶 PAGEREF _Toc476179640 h 7第三章 城域網結構、技術和方案 PAGEREF _Toc476179641 h 73.1.城域網的網絡構成 PAGEREF _Toc476179642 h 73.2.城域網網絡分層結構 PAGEREF _Toc476179643 h 83.3.城域網數據傳輸技術簡介 PAGEREF _Toc476179644 h 83.3.1.DPT 技術 PAGEREF _Toc476179645 h 8

3、3.3.2.POS 技術 PAGEREF _Toc476179646 h 93.3.3.ATM 技術 PAGEREF _Toc476179647 h 93.3.4.GigaEthernet 技術 PAGEREF _Toc476179648 h 103.4.城域網骨干技術選擇的考慮 PAGEREF _Toc476179649 h 113.5 城域網接入技術 PAGEREF _Toc476179650 h 113.6.城域網網絡設備選型 PAGEREF _Toc476179651 h 123.6.1.骨干網絡產品設備選型 PAGEREF _Toc476179652 h 123.6.2.接入網絡產品

4、的選擇 PAGEREF _Toc476179653 h 12第四章 城域網治理 PAGEREF _Toc476179654 h 134.1寬帶城域網網絡治理 PAGEREF _Toc476179655 h 134.1 要緊的大型網絡治理系統(tǒng) PAGEREF _Toc476179656 h 14第五章 城域網網絡安全威脅 PAGEREF _Toc476179657 h 165 .1 城域網安全問題以及解決技術手段 PAGEREF _Toc476179658 h 165.2 應用平臺安全 PAGEREF _Toc476179659 h 175.3 安全部署 PAGEREF _Toc47617966

5、0 h 19第一章 城域網差不多概念1.1 寬帶城域網概念 寬帶業(yè)務的興起，城域范圍內的用戶和信息流的獨立，運營收入的要緊來源的緣故已使城域網從計算機的領域里無足輕重的地位進展到當前網絡建設的熱點，城域網是都市的信息基礎，城域網的目的是高速有效的將各種媒體信息送到用戶周圍。 城域網概念是有計算機網絡演化而來的，是介入廣域網和局域網之間，在都市及郊區(qū)范圍內實現信息傳輸與交換的一個網絡，那個地點所講的城域網，由于數據通訊和電信技術的進展給予了新的含義，城域網是適用于都市的信息基礎設施，是國家高速信息公路與都市寬敞用戶的中間環(huán)節(jié)，建筑城域網的目的是：提供單一的通用的和公共的網絡架構，用以高速有效傳輸

6、數據、語音、圖象和視頻等信息，滿足用戶日新月異的需求。目前許多國家，城域網正在和國家信息高速公路同步進行進展。城域網的范圍大概在80km 內，一般局間中繼距離大約在5-7 公里。城域網相關的提法還有寬帶城域網，IP 城域網，寬帶IP 城域網，無線城域網等。寬帶城域網是一個以IP 和ATM 電信技術為基礎，集數據、語音、視頻服務為一體的高帶寬、多功能、多業(yè)務接入的可進展的和開放的多媒體通訊網絡。1.2 寬帶城域網建設興起的緣故 寬帶城域網的建設成為我國的熱點要緊有以下的緣故： 1 、都市信息化步劃加快 隨著網絡經濟的迅速崛起，各種應用相繼推出，電子商務、企業(yè)上網、政府上網、智能小區(qū)等工程的啟動，

7、到目前的信息港、城域網概念的興起，政府、學校、企業(yè)和用戶讀數據業(yè)務的需求日益旺盛，同時，語音、圖象等多媒體通信的需求也日益增長，提供寬帶多面體的業(yè)務，以成為網絡運營賞開拓市場的新的空間，寬帶城域網以成為信息高速公路建設的重要部分。 2 、我國寬帶市場競爭激烈信息服務市場開放程度進一步加大；建設寬帶城域網，開拓信息服務新空間；全面滿足客戶多層次的業(yè)務需求；提供新的開拓手段；滿足高速增長的寬帶業(yè)務需求；寬帶業(yè)務市場將加速運營商格局的變化；競爭主體將多樣化。第二章 城域網建設分析2.1.寬帶城域網建設目標 目標確實是：以最少的資金（幸免ATM 和IP 多網的重復建設）建設一個先進的（采納最新的信息技

8、術）、滿足綜合業(yè)務（使的新技術能和舊技術融合、寬帶業(yè)務和窄帶業(yè)務融合、有線和無線融合、移動和固定融合）的城域網平臺。能為用戶提供各種差不多業(yè)務（數據、語音和視頻）以及增值業(yè)務（虛擬專網、IP電話、遠程教育），并能迅速獲得理由的回報（收回投資的周期短），一進一步擴大市場的占有和提供市場的競爭力。 建設先進的寬帶城域網是新一代網絡進展的方向。城域網具有必須支持各種不同業(yè)務，結構上變化較大，且隨著用戶的不同而不同，投資量大，接入技術多樣，接入方式靈活的特點?？傊?，城域網是多種技術、產品、網絡的融合體，需要以業(yè)務需求為主導建設網絡。2.2.網絡承載商能夠提供的業(yè)務 隨著通信技術的進展，通信運營商將逐漸

9、分為兩類主體：承載網絡運營商和業(yè)務提供商。具有網絡資源的運營商，通過帶寬的批發(fā)占有市場，而更多的業(yè)務提供商，將通過提供不同的業(yè)務，來實現市場的定位。按業(yè)務的分類，城域網能夠提供以下的業(yè)務： 1 、傳統(tǒng)的TDM 業(yè)務，包括N*64kbit ，N*2Mbit/s ，N*34Mbit/s,N*45Mbit/s,N*140Mbit/s,N*155Mbit/s,N*622Mbit/s直到10Gbit/s ，既有交換機中繼線，基站業(yè)務，也有傳送34/45M 的接口； 2 、ATM 業(yè)務，ATM 業(yè)務既能夠是34/45Mbit/s，155Mbit/s 借口，也能夠是VC4-XC 級接口，或者是IP OVER

10、 ATM OVER SDH 方式； 3 、IP 業(yè)務，一般是10/100/1000Mbit/s 為主。按照用戶的分類，可分為企業(yè)集團用戶、行業(yè)集團用戶、SOHO 和寫字樓用戶、智能化小區(qū)、出租業(yè)務等；2.3.網絡運營商能夠提供的業(yè)務目前城域網起步初期要求能夠滿足兩類業(yè)務的需求： 1 、QOS 要求較高的互連業(yè)務和實時視頻業(yè)務：基于IP 的語音業(yè)務、電子商務、虛擬專網、遠程教育、協(xié)同設計、協(xié)同實驗、數字圖書館、電視會議、可視電話、視頻廣播、食品點播、新聞、廣告、虛擬現實、交互式游戲，寬帶因特網接入、寬帶字能化社區(qū)等多種； 2 、QOS 要求較低的INTERNET 上的業(yè)務：E-MAIL，FTP

11、、TELNET 等。一般而言，企業(yè)互連、實時食品、VOIP 等業(yè)務，流量適中，但對服務品質有較高的要求，收費的標準可依照用戶的SLAs，按帶寬、流量、時延優(yōu)先級等服務級不來劃分，這部分運營收入穩(wěn)定，價格高，容易產生增殖利潤。另一類INTERNET 業(yè)務量較大，用戶分散，是不能忽視的巨大的潛在消費群體，這部分用戶對價格敏感，但對上網的速度和帶寬要求較高。2.4 城域網要緊大用戶1 、政府上網 目前我國政府辦公治理工作的手續(xù)登記、請示匯報、公文和會議繁多，而且在相互通信、相互合作及工作協(xié)調方面效率較低，建立辦公自動化系統(tǒng)是提高政府辦公效率的重要手段。確實是實現市政府辦公自動化系統(tǒng)，提高市政府各部門

12、通信、協(xié)作和協(xié)調能力，改善辦公環(huán)境，提高辦公效率和決策水平。2 、大集團用戶 建設企業(yè)內部的主干網，采納先進的Internet/Intranet 技術，能夠建立一個先進的集團公司虛擬企業(yè)網，滿足大企業(yè)內部信息治理及國內外信息交流的需要。3 、高校 把校園網建成先進的多媒體網絡，完成包括圖書情報信息、學校行政辦工等綜合業(yè)務信息治理系統(tǒng)，為寬敞教職工、科研人員和學生提供一個在Internet環(huán)境下進行教學和科研工作的先進平臺。4 、智能小區(qū) 建設一個比較完善的數字社區(qū)和數字大廈信息服務平臺。建設目標是建立基于寬帶通信網絡的數字社區(qū)信息服務平臺，基于空間多媒體數據庫，為社區(qū)用戶提供智能信息導航、VO

13、D 多媒體信息服務、WebGIS 服務和電子商務等服務和應用，探究實現中國式的電子商務和社區(qū)服務，同時實現技術創(chuàng)新和商業(yè)模式創(chuàng)新，實現服務增值和利益回報。第三章 城域網結構、技術和方案3.1.城域網的網絡構成 一個城域網應該包括三個方面的綜合：基礎設施、應用系統(tǒng)和信息。包括數據交換設備、城域網傳輸設備、接入設備和業(yè)務平臺設備。城域網的基礎設施有主干網絡和接入網組成，提供一條覆蓋整個都市范圍的都市信息高速公路。 城域網的網絡能夠從分層、分割、分層和分割想結合的角度來分析：城域網網絡結構分為若干交換節(jié)點組成主干網絡（backbone），有若干接入點組成接入網（access subnetwork），

14、以及連接他們的傳輸網絡三部分組成。有將城域網劃分為核心層、匯接層和接入層，有的將城域網劃分為業(yè)務/操縱層、骨干層和核心層。3.2.城域網網絡分層結構 在城域網絡設計中，可分為三層設計，分不為核心層、分布層以及接入層，各個層次的功能分不如下： 核心骨干層是一個高速的交換主干，為應用提供盡可能高的包交換速度，因此，在這一層上僅可能簡化數據的處理，例如：盡量少使用訪問操縱列表以及包過濾，這一層要緊的功能是：路徑的優(yōu)化、執(zhí)行流量的優(yōu)化，提供QoS 服務、在多條可能的鏈路上實現負載均衡、交換式的處理能力，如：使用多協(xié)議標記交換等。 網絡分布層的功能是提供核心層和接入的分界，其要緊提供以下幾個功能：多個域

15、的聚合、廣播或多播域的操縱、各個網段的路由、傳輸媒體之間的轉換、安全操縱、流量限制及流量分類，為主干提供帶寬治理、 接入層的功能確實是最終用戶接入網絡的能力，這一層能夠使用訪問操縱過濾和優(yōu)化用戶的需要，其要緊包括以下幾個功能：共享的帶寬分配、交換的帶寬分配、第二層的過濾、多域的微段化、多種接入方式的實現。3.3.城域網數據傳輸技術簡介3.3.1.DPT 技術 DPT 技術是思科公司研發(fā)的、基于IP光網絡的創(chuàng)新技術，它集成了IP 的智能化和光纖環(huán)形網絡的高帶寬效率。DPT 技術通過直接將IP 和光纖相連，減少了不必要的設備層。從而在現有的解決方案上，為網絡營運商提供了性能價格比極好和功能極豐富的

16、解決方案. DPT 的結構是沿相反方向傳輸包的一對光纖環(huán)，一個環(huán)稱為內環(huán)，另一環(huán)稱外環(huán)，它們能夠同時用作傳輸數據流和操縱流；內環(huán)和外環(huán)將每一個節(jié)點相連接，DPT 用一個環(huán)在某一方向上傳送數據（下行），用另一環(huán)在相反方向上傳送回送的操縱包（上行）。如此，DPT 能夠同時利用兩根光纖，使包傳送帶寬最大化，加速自適應帶寬利用和自愈等操縱信號的傳播。 到現在為止，只有CISCO 的高端產品支持DPT 卡，同時，該技術還未成為一個行業(yè)的標準。3.3.2.POS 技術 IP over SDH 是直接以SDH 網絡作為IP 數據網絡的物理傳輸網絡。它在數據鏈路層以PPP 協(xié)議對IP 數據包進行封裝，把IP

17、分組依照RFC1662 規(guī)范簡單地插入到PPP 幀中的信息段。然后再由SDH 通道層的業(yè)務適配器把封裝后的IP數據包映射到SDH 的同步凈荷中，然后向下，通過SDH 傳輸層和段層，加上相應的開銷，把凈荷裝入一個SDH 幀中，最后到達光層，在光纖中傳輸。IP overSDH，也稱Pacdket over SDH（PoS）。它保留了IP 面向無連接的特征。75XX POS 與ATM 的比較就這種業(yè)務來講，POS 相關于ATM 有如下的幾個優(yōu)點：(1)實施簡易快捷，總體擁有成本低，收回投資周期短。(2)提高線路利用率。IP 應用目前并不能直接在ATM 上運行，關于昂貴的長途廣域網線路來講，POS 技

18、術比ATM 提高25%30%的線路利用率。(3)減少設備重復投資。(4)進一步擴大帶寬的潛力專門大。(5)符合當今網絡的業(yè)務特征。3.3.3.ATM 技術 ATM(異步傳輸模式)，是一種面向連接的快速分組交換技術，建立在硬件交換的基礎上。它能夠為每個工作站分配專用帶寬。每個交換機的端口都特定于某一單個節(jié)點，同時在ATM 網絡中不存在共享的訪問方式。信元交換是和ATM相關聯的一般性講法，現有的LAN 能實現到ATM 網的逐步的過渡，需要一種能使LAN 和ATM 自然集成的方法。為此，ATM 標準的兩大機構都提出了自己的方案。 IETF 的方案是Classical IP and ARP over

19、ATM，它將ATM 網絡實現為一個新的數據鏈路層，直接將IP 地址映射為ATM 地址。它的優(yōu)點是效率專門高，但缺點是只針對TCP/IP，假如還有其他網絡協(xié)議，就必須修改所有的協(xié)議ATM 論壇（ATM Forum）的方案是局域網仿真（LAN Emulation），它實際能夠被看成是原LAN 層次中MAC 層在ATM 上的虛擬網絡技術。由于ATM 是面向連接的技術，因此ELAN 內部的通訊流量只有其成員才有可能收到，具有相當高的安全性，而且ELAN 與傳統(tǒng)LAN 相比具有高度靈活、無擁塞和吞吐量大等獨特的優(yōu)點。IP Over ATM 傳輸模型有以下的兩種方式：1 、IP 在ATM 上傳輸的疊加模型

20、 IP 在ATM 上傳輸的疊加模型是最早的解決IP 在ATM 上實現傳輸的方式，其要緊采納的技術為Classic IP Over ATM，LANE，MPOA 。這些技術實際上是介于IP 層與ATM 層間的中介技術關于IP 在ATM 的傳輸采納語言翻譯的方式進行實施。2 、IP 在ATM 上傳輸的集成模型 關于IP 在ATM 上傳輸的最佳方式即為采納MPLS(標記交換)的集成模型：其區(qū)不與疊加模型的全然點在于拋開中介技術，使ATM 交換機自身具有真正的了解IP 應用的智能化。3.3.4.GigaEthernet 技術 GEN 是IEEE 最新通過的以太網標準（802.1z），該標準能夠在銅線、單

21、（多）模光纖上以1000Mbps 的速率傳輸數據，是在100M 以太網后新一代的主干網絡技術。千兆位以太網標準與近1 億個以太網節(jié)點的安裝基礎保持兼容，使目前的以太網用戶能夠充分利用他們在產品和知識的投資。千兆位以太網沿用以太網最初標準中的帶有檢測沖突的載波偵聽多路存取(CSMA/CD)訪問方法，并包含全雙工以及半雙工操作模式。千兆以太網技術將顯著提高用戶所獲得的用以訪問服務器和應用程序的帶寬。3.4.城域網骨干技術選擇的考慮 POS 技術和DTP 技術在用戶差不多有SDH 設備或能廉價使用SDH 設施以及傳輸距離專門遠的時候，建議采納POS 技術和DPT 技術。在DPT 技術和POS 技術中

22、，建議采納DPT 技術假如在用戶的SDH 設備無法組成環(huán)型結構時，可采納POS 技術。ATM 技術在用戶差不多有SDH 設備或能廉價使用SDH 設施，同時，用戶建設網絡基礎設施時考慮到需要兼顧傳統(tǒng)業(yè)務，如傳統(tǒng)的專線業(yè)務以及傳統(tǒng)的Frame-Relay 業(yè)務。在這種情況下，ATM 主干是唯一選擇。關于GE 技術，在傳輸距離不遠，用戶沒有SDH 設備或無法廉價使用SDH 傳輸設備的時候，使用GE 技術可部分的減少用戶的投資。3.5 城域網接入技術現時期的接入技術只要包括PSTN 接入、ISDN 接入、ADSL 接入、Cable 接入、Wireless 接入以及LAN 接入幾種方式。PSTN 接入：

23、利用傳統(tǒng)的電話網絡，采納模擬調制解調技術傳輸數據，其最高的上行傳輸速度為56Kbps，最高的下行速度為33.6KbpsISDN 接入：采納新型的電信ISDN 網絡，采納數字調治技術傳輸數據，ISDNBRI 最大可支持兩個B 通道，最大128Kbps 的上下行傳輸速度。 ADSL 接入技術是在現有電話傳輸線路上的一種新型數字調治解調方式，他可達到8Mbps 的下行速度以及1Mbps 的上行速度。Cable 技術是對傳統(tǒng)的有線電視網絡進行改造，利用電纜調制解調器(CableModem)和同軸/光纖混合網(HFC)高速傳輸數據的一種接入層數據通信方式，在有線電視的頻段上劃分出一個上行和下行頻道由于上

24、下行數據傳輸。以太接入技術，采納傳統(tǒng)的LAN 接入方式，每個網段為一個廣播域，每個廣播域的用戶共享一個網絡地址段。Wireless 接入方式，Wireless 采納802.11 協(xié)議，采納直接調頻或跳頻調制技術調制數據，其典型拓撲結構為1 個訪問點和多個移動用戶組成Wireless接入網絡以及由Wireless 橋接器組成一般以太網通過Wireless 組成的橋接網絡。3.6.城域網網絡設備選型3.6.1.骨干網絡產品設備選型 在城域網設計中，關于主干網絡設備的選擇重要是依照其性能、端口密度、支持的主干技術等方面來做出選擇： 關于采納POS 技術的骨干網絡：可供選擇的設備有Cisco GSR1

25、2000 路由交換機產品、Cisco 7500 系列高端路由器產品、Juniper M10 、M40 、M80 骨干路由器產品。 關于采納DPT 技術的骨干網絡：可供選擇的設備有Cisco GSR12000 路由交換機產品、Cisco 7500 系列高端路由器產品。 關于采納ATM 技術的骨干網絡：可供選擇的設備有Cisco 8540MSR ATM/第三層一體化交換機，以及Cisco GSR12000 路由交換機器、Cisco 7500 系列路由器以及Juniper M10 、M40 、M80 骨干路由器產品，需要注意的是那個地點面產品除了8540MSR 外，其他都不做ATM 交換處理，只能做

26、ATM 和IP 之間的轉換，即ATM 邊緣設備。關于ATM 接入、CES（電路仿真）以及幀中繼可使用CiscoLightStream 1010 、Catalyst 8510MSR 、Cisco MGX8800 系列多服務交換機等產品。 關于采納GE 技術的骨干網絡：可供選擇的設備有Cisco Catalyst 6500 系列多層換機產品、Cisco GSR12000 路由交換機產品、Cisco 7500 系列高端路由器產品、Juniper M10 、M40 、M80 骨干路由器產品。3.6.2.接入網絡產品的選擇 關于ISDN/PSTN 的接入方式：可供選擇的產品有Cisco 5300 、Ci

27、sco 5400 、Cisco 5800 系列訪問服務器產品。關于LAN 接入方式，可供選擇的產品有Cisco Catalyst 1900 、CiscoCatalyst 2900 、Cisco Catalyst 3500 、Cisco Catalyst 4000 、Cisco Catalyst6000/6500 系列多層交換機產品，假如采納PPPOE 工作方式，可配置Cisco 7200路由器作為PPPOE 會話的終結。 關于HFC 接入方式，可供選擇的產品有Cisco UBR7200 系列以及Cisco 900系列Cable 路由器產品。需要注意的是，Csico UBR 7200 系列用于有

28、線電視頭端，而Cisco 900 系列Cable 路由器用于用戶端。 關于ADSL 接入方式，可供選擇的設備有局端采納Cisco 6200 系列ADSL集中器，PPPOE 或PPPOA 會話的終結采納Cisco 6400 通用訪問集中妻，客戶端采納Cisco 600 系列ADSL 路由器/橋接器產品 關于無線接入方式，也選擇的產品有Cisco Aironet 340 系列橋接器、訪問點以及各種PC 網絡適配卡。第四章 城域網治理4.1寬帶城域網網絡治理寬帶城域網網絡實現以下治理：性能治理故障治理配置治理安全治理記帳治理1 、性能治理依照ISO，性能治理衡量網絡的活動和效果。性能治理包括檢查檢查

29、網絡應用程序和協(xié)議活動，分析可達性，測量響應時刻，記錄網絡路由變化。性能治理能夠優(yōu)化網絡，滿足服務協(xié)議和擴展規(guī)劃。監(jiān)控性能包括收集數據，處理部分或全部數據，顯示處理數據?？蔀橛脩籼峁┬阅苤卫砗头治龅闹庇^工具。2 、故障治理故障治理指檢測、隔離、診斷、和修正錯誤。它還包括向端用戶和治理者。報告問題的過程，以及跟蹤相關問題的趨勢等。在有些情況下，故障治理的含義是研究工作區(qū)域直到修正問題為止3 、配置治理配置治理關心網絡治理者跟蹤網絡設備和保存設備的配置信息。使用配置治理，網絡治理者能夠為相似的設備配置并保存確省，為特定的設備修改缺省，為特定的色后備修改缺省配置而后在設備上裝入配置信息。配置治理還同

30、意治理者維護網絡財產的清單，進行版本注冊等一系列工作。4 、安全治理安全治理同意網絡治理者維護和公布口令以及其他認證和授權信息。安全治理還包括生成、公布和存儲加密密鑰的處理。安全治理的一個重要的方面是對收集、存儲和檢查安全審計日志的處理。5 、記帳治理記帳治理用于治理用戶帳單，如此能夠向獨立的部門或用戶按其所使用的網絡服務進行收費。即使在免費的情況下，使用網絡記帳關于捕獲濫用網絡資源的。4.1 要緊的大型網絡治理系統(tǒng) 在此要緊對IBM（Tivoli）、HP（OpenView）、SunConnect（SunNet Manager，Encompass）CISCO（CISCOWorks）等的產品加以

31、討論。一、IBM 公司的Tivoli 支持SNMP 協(xié)議，內置MIB Browser/Compiler,能夠采集實時數據，也可以生成log 文件，并提供了與多種關系數據庫產品的接口。此外，該系統(tǒng)還具有以下特性：1具有拓撲結構自動發(fā)覺功能；2數據采集與存儲功能；3提供了Filter 和Threshold 機制4基于XMotif 的圖形用戶界面；5提供了簡單的Report Generator（包括圖形化的工具和表格）；6提供了二次開發(fā)的API； 7無法分辨網絡故障之間的依靠關系； 8無性能預測能力。二、HP 公司的OpenView 網絡拓撲自動發(fā)覺：OpenView 的自動發(fā)覺功能專門好。啟動后即

32、能自動發(fā)覺本網段的節(jié)點。不能在運行時手工加入與本網段非直連的治理對象，但能夠在ShutDown 網絡監(jiān)控守護進程之后通過Seed File 實現。 性能分析：沒有流量和帶寬利用率的分析功能 ，但提供了另外的產品（HPLAN Probe）來實現它。能夠通過SNMP MIB I 和 II 查詢來監(jiān)視網絡接口的錯誤,但不能對錯誤分類。相應也提供了PC-based ProbeView 和HP LAN Probe I等產品實現這一功能。 ALARMS /TRAPS：提供了GUI 方式的Alarm/trap 配置。Alarms/traps 來自網上的SNMP 設備。收到Alarms/traps 后不做處理

33、，僅記錄（Log）下來。協(xié)議分析：OpenView 沒有實現這一功能，可利用ProbeView/HP LAN Probe產品。歷史數據分析：能夠實時以圖形方式顯示數據報表和數據元素，也能夠顯示歷史數據。 對第三方的兼容性：能夠在運行時加載其它廠商定義的MIB 。三、SunNet Manager SunNet Manager (SNM)系統(tǒng)本身沒有配備有用程序，用戶不得不依靠于第三方應用軟件。但SunNet Manager 可支持分布式網管（由RPC 實現）。 網絡拓撲自動發(fā)覺：僅能發(fā)覺IP 網絡設備 ，能推斷SNMP (TCP socket 161)是否處于active 狀態(tài)以及網絡設備是否有

34、多個端口(router).不能發(fā)覺Netware 或非IP 設備。 性能分析：簡單的流量和帶寬利用率的分析功能，只能監(jiān)測本地和本網段且圖形顯示粗糙，數據單位只能是packet 。不能通過SNMP MIB I or II 查詢來監(jiān)視沖突。能夠圖示錯誤 ，但未做分類（runt,giant,FCS,CRC）。SunNetManager 捆綁了兩個軟件包：NetMetrix （Metrix,Inc.）和TRENDsystem（DeskTalk,Inc.），NetMetrix 具有流量分析能力，是 RMON 產品；TRENDsystem用 SyBase DBMS 治理SNM 的報告文件,提供了優(yōu)秀的MI

35、B 掃瞄功能,要求被管設備支持 RMON MIB 。 ALARMS /TRAPS：能夠專門好地處理SNM 生成的thresholds 超界報告，也能處理其它平臺的 alarms/traps（HP）。收到一個alarm/trap 后，依照配置向治理員通報錯誤。缺點是所有trap 放入了一個文件，且未提供掃瞄工具。SNM能夠把SNMP Traps 轉給其它SNMP 網管服務器。數目不限。SNM 不支持協(xié)議分析。 歷史數據分析工具：能夠以圖形方式顯示實時數據，也能夠存儲并顯示歷史數據，數據文件以ASCII 格式存放。圖形畫的較粗糙。但其優(yōu)點是支持圖形合并。與第三方產品的兼容性：能夠載入標準的和廠商自

36、定義的MIB 。用mib2schema 編譯。四、CiscoWorks 網絡拓撲自動發(fā)覺：CiscoWorks 使用 SunNet Manager 的mapping/discovery 工具。用Sync w/SyBase 模塊掃描SunNet Manager 的數據庫來查找Cisco 設備相關的信息。相應結果寫入 SyBase database 。 性能分析：從路由器查詢特定類型的信息，寫入SYBASE 數據庫。ALARMS /TRAPS：通過配置，使Cisco 路由器使用snmp-server host IP-Address Write Community命令發(fā)送SNMP-Trap，信息通過

37、 CiscoWorks 的相應守護程序存入SyBase 數據庫。CiscoWorks 不支持協(xié)議分析。 歷史數據分析：能夠顯示Real-Time 圖形，能夠顯示歷史數據。 對第三方產品的兼容性：僅支持Cisco 公司自己的網絡設備。第五章 城域網網絡安全威脅 信息系統(tǒng)可能存在的安全威脅來自以下方面：操作系統(tǒng)的安全性,防火墻的安全性,來自內部網用戶的安全威脅,缺乏有效的手段監(jiān)視、評估網絡系統(tǒng)的安全性。采納的TCP/IP 協(xié)議族軟件，本身缺乏安全性,電子郵件夾帶的病毒及Web 掃瞄可能存在的Java/ActiveX 控件進行有效操縱。5 .1 城域網安全問題以及解決技術手段 網絡安全技術進展到今天

38、，差不多有成熟的方案來應付來自各方面的安全威脅。信息技術的安全體系必須集成多種安全技術實現。如虛擬網技術、防火墻技術、入侵監(jiān)控技術、安全漏洞掃描技術、加密技術、認證和數字簽名技術等。1.虛擬網技術 虛擬網技術要緊基于近年進展的局域網交換技術（ATM 和以太網交換）。交換技術將傳統(tǒng)的基于廣播的局域網技術進展為面向連接的技術。因此，網管系統(tǒng)有能力限制局域網通訊的范圍而無需通過開銷專門大的路由器。由以上運行機制帶來的網絡安全的好處是顯而易見的：信息只到達應該到達的地點。因此，防止了大部分基于網絡監(jiān)聽的入侵手段。通過虛擬網設置的訪問操縱，使在虛擬網外的網絡節(jié)點不能直接訪問虛擬網內節(jié)點。然而，虛擬網技術

39、也帶來了新的安全問題：執(zhí)行虛擬網交換的設備越來越復雜，從而成為被攻擊的對象?；诰W絡廣播原理的入侵監(jiān)控技術在高速交換網絡內需要專門的設置?；贛AC 的VLAN 不能防止MAC 欺騙攻擊。2.防火墻技術 防火墻是近年進展起來的重要安全技術，其要緊作用是在網絡入口點檢查網絡通訊，依照客戶設定的安全規(guī)則，在愛護內部網絡安全的前提下，提供內外網絡通訊。3.入侵檢測技術 入侵檢測系統(tǒng)是近年出現的新型網絡安全技術，目的是提供實時的入侵檢測及采取相應的防護手段，如記錄證據用于跟蹤和恢復、斷開網絡連接等。 實時入侵檢測能力之因此重要首先它能夠應付來自內部網絡的攻擊，其次它能夠縮短hacker 入侵的時刻。4.安全掃描技術 安全掃描工具源于Hacker 在入侵網絡系統(tǒng)時采納的工具。 基于服務器的掃描器要緊掃描服務器相關的安全漏洞，通常與相應的服務器操作系統(tǒng)緊密相關。 基于網絡的安全掃描器要緊掃描設定網絡.安全掃描器不能實時監(jiān)視網絡上的入侵，然而能夠測試和評價系統(tǒng)的安全性，并及時發(fā)覺安全漏洞。5.2 應用平臺安全1.域名服務 域名服務通常為hacker 提供了入侵網絡的有用信息，如服務器的IP 、操作系統(tǒng)信息、推導出可能的網絡結構等。同時，新發(fā)覺的針對BIND-DNS 實現的安全漏洞也開始發(fā)覺，而絕大多數