平原大學(xué)新校區(qū)網(wǎng)絡(luò)規(guī)劃方案

中原大學(xué)新校區(qū)

網(wǎng)絡(luò)技術(shù)方案建議書華為3com華為3com技術(shù)有限公司

二零零六年三月TOC\o"1-5"\h\z\o"CurrentDocument"第一章用戶需求分析 1\o"CurrentDocument"項(xiàng)目概述 1\o"CurrentDocument"總體目標(biāo) 2\o"CurrentDocument"中原大學(xué)新校區(qū)網(wǎng)絡(luò)模型 3\o"CurrentDocument"應(yīng)用業(yè)務(wù)要求 3\o"CurrentDocument"第二章組網(wǎng)方案規(guī)劃 4\o"CurrentDocument"整體設(shè)計(jì)規(guī)劃思路 4\o"CurrentDocument"總體結(jié)構(gòu)規(guī)劃 5\o"CurrentDocument"網(wǎng)絡(luò)規(guī)劃 5\o"CurrentDocument"可靠性設(shè)計(jì) 7\o"CurrentDocument"第三章IP地址規(guī)劃 8\o"CurrentDocument"IP地址規(guī)劃的原則 8\o"CurrentDocument"IP地址規(guī)劃方案 9\o"CurrentDocument"IP地址管理 9\o"CurrentDocument"第四章路由規(guī)劃 11\o"CurrentDocument"路由協(xié)議的選擇 11\o"CurrentDocument"IGP協(xié)議規(guī)劃 12\o"CurrentDocument"第五章網(wǎng)絡(luò)管理規(guī)劃 13\o"CurrentDocument"網(wǎng)管系統(tǒng)需求 13\o"CurrentDocument"統(tǒng)一網(wǎng)管設(shè)計(jì) 13\o"CurrentDocument"Quidview網(wǎng)絡(luò)管理軟系統(tǒng) 17\o"CurrentDocument"網(wǎng)管系統(tǒng)實(shí)施步驟 23\o"CurrentDocument"網(wǎng)管安全措施 23\o"CurrentDocument"第六章網(wǎng)絡(luò)安全規(guī)劃 24\o"CurrentDocument"承載網(wǎng)網(wǎng)絡(luò)安全概述 24\o"CurrentDocument"華為3Com網(wǎng)絡(luò)設(shè)備安全技術(shù)介紹 24\o"CurrentDocument"CallBack技術(shù) 25\o"CurrentDocument"AAA 25\o"CurrentDocument"CA技術(shù) 26\o"CurrentDocument"包過濾技術(shù) 26\o"CurrentDocument"地址轉(zhuǎn)換 27\o"CurrentDocument"VPN技術(shù) 28\o"CurrentDocument"加密與密鑰交換技術(shù) 28\o"CurrentDocument"智能防火墻(IntelligentFirewall) 30\o"CurrentDocument"安全管理 32\o"CurrentDocument"其他安全措施 33\o"CurrentDocument"對(duì)中原大學(xué)網(wǎng)絡(luò)建設(shè)安全的具體建議 33\o"CurrentDocument"身份認(rèn)證 34\o"CurrentDocument"訪問控制 34\o"CurrentDocument"數(shù)據(jù)加密 34\o"CurrentDocument"應(yīng)用級(jí)安全 34\o"CurrentDocument"系統(tǒng)級(jí)安全策略一綜合訪問認(rèn)證系統(tǒng) 40\o"CurrentDocument"第七章用戶認(rèn)證和管理規(guī)劃 41\o"CurrentDocument"用戶管理需求分析 41\o"CurrentDocument"用戶管理解決方案概述 41\o"CurrentDocument"行為審計(jì)和監(jiān)控規(guī)劃 49XLOG概述 49XLOG在中原大學(xué)的應(yīng)用 51\o"CurrentDocument"端點(diǎn)準(zhǔn)入EAD解決方案 52\o"CurrentDocument"第八章QOS規(guī)劃 56\o"CurrentDocument"QOS實(shí)施規(guī)劃 56\o"CurrentDocument"中原大學(xué)QOS解決 61上行業(yè)務(wù)QOS保證 61下行業(yè)務(wù)QoS保證 62流分類實(shí)施： 62\o"CurrentDocument"第九章網(wǎng)絡(luò)流量分析 64\o"CurrentDocument"NetStream主要應(yīng)用 64\o"CurrentDocument"NetStream的架構(gòu) 65\o"CurrentDocument"部署方案 66\o"CurrentDocument"第十章IPV6規(guī)劃 67第一章用戶需求分析21世紀(jì)是信息時(shí)代，全球信息化的浪潮對(duì)社會(huì)、經(jīng)濟(jì)、生活產(chǎn)生了重大影響。面對(duì)新形勢，迫切需要具備支持高效、多業(yè)務(wù)、性能可靠的網(wǎng)絡(luò)互連，為在中原大學(xué)新校區(qū)提供迅捷、高效的辦公、教學(xué)業(yè)務(wù)平臺(tái)。項(xiàng)目概述為了規(guī)劃和實(shí)施數(shù)字校園建設(shè)，從數(shù)字校園層次化、整體化的的觀念出發(fā)，結(jié)合校園網(wǎng)絡(luò)的實(shí)際情況，利用先進(jìn)的網(wǎng)絡(luò)信息技術(shù)在傳統(tǒng)校園的基礎(chǔ)上構(gòu)建一個(gè)數(shù)字空間，以拓展現(xiàn)實(shí)校園的時(shí)間和空間維度，從而提高傳統(tǒng)校園的教學(xué)效率,擴(kuò)展傳統(tǒng)校園的綜合功能，以最終實(shí)現(xiàn)教育過程的全面信息化。將現(xiàn)代教育思想和現(xiàn)代信息技術(shù)結(jié)合了起來，為中原大學(xué)新校區(qū)的數(shù)字化建設(shè)提出了切實(shí)可行的建設(shè)方案?！皵?shù)字校園”是用層次化、整體的觀點(diǎn)來實(shí)施校園信息化建設(shè)，將校園網(wǎng)上的信息進(jìn)行系統(tǒng)的組織和分類，讓用戶在網(wǎng)上快速發(fā)現(xiàn)自己需求的信息。為師生提供網(wǎng)上信息交流環(huán)境，讓管理人員科學(xué)地、規(guī)范地管理自己的數(shù)據(jù)信息，并將這些信息方便地發(fā)布出去。它是在傳統(tǒng)校園的基礎(chǔ)上，以網(wǎng)絡(luò)為基礎(chǔ)，利用先進(jìn)的信息化手段和工具，實(shí)現(xiàn)從環(huán)境、資源到活動(dòng)的全部數(shù)字化。在傳統(tǒng)校園的基礎(chǔ)上構(gòu)建一個(gè)既對(duì)應(yīng)又有本質(zhì)不同的數(shù)字空間，拓展現(xiàn)實(shí)校園的時(shí)間和空間維度，從而提升傳統(tǒng)校園的教學(xué)管理效率，最終實(shí)現(xiàn)電子校務(wù)、教育資源、虛擬社區(qū)、網(wǎng)絡(luò)服務(wù)與網(wǎng)絡(luò)安全為一體的數(shù)字化教育環(huán)境。目前，比較一致的認(rèn)識(shí)是：數(shù)字校園由網(wǎng)絡(luò)基礎(chǔ)設(shè)施層、網(wǎng)絡(luò)基本服務(wù)層、應(yīng)用支撐系統(tǒng)層、信息服務(wù)系統(tǒng)層、綜合信息門戶層5大系統(tǒng)構(gòu)成。校園網(wǎng)應(yīng)用支撐系統(tǒng)和信息服務(wù)系統(tǒng)是數(shù)字校園的上述構(gòu)成中的核心內(nèi)容。?網(wǎng)絡(luò)基礎(chǔ)設(shè)施（數(shù)字傳輸載體、交換設(shè)備、服務(wù)器群、存儲(chǔ)（NAS）設(shè)備，入侵檢測（IDS）、防病毒（AntiVirus）,SAN備份系統(tǒng)、計(jì)算機(jī)終端等）?綜合信息門戶（統(tǒng)一身份認(rèn)證、統(tǒng)一訪問接口、個(gè)性化用戶界面）?信息服務(wù)系統(tǒng)（信息發(fā)布、信息查詢與交換、網(wǎng)站（主頁集中）管理、搜索引擎）應(yīng)用支撐系統(tǒng)（辦公系統(tǒng)、數(shù)字圖書館、教務(wù)管理信息系統(tǒng)、網(wǎng)絡(luò)教學(xué)系統(tǒng)、一卡通系統(tǒng)、后勤服務(wù)系統(tǒng)）網(wǎng)絡(luò)基礎(chǔ)服務(wù)（電子郵件、BBS服務(wù)、文件傳輸、視頻會(huì)議、目錄服務(wù)、公共數(shù)據(jù)庫、虛擬主機(jī)、代理服務(wù)、VOD、網(wǎng)絡(luò)電視）校園網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施整體建網(wǎng)基本原則：安全性：安全是一個(gè)網(wǎng)絡(luò)的最基本要求?？晒芾恚嚎晒芾硇泽w現(xiàn)在硬件設(shè)備和軟件的可管理兩個(gè)方面。網(wǎng)絡(luò)管理系統(tǒng)軟件實(shí)現(xiàn)集中式的智能化管理?？缮?jí)：在建設(shè)網(wǎng)絡(luò)時(shí)必須考慮到網(wǎng)絡(luò)未來的升級(jí)需求，以保護(hù)寶貴的教育投資，保證升級(jí)能夠方便和平滑地進(jìn)行。穩(wěn)定可靠：網(wǎng)絡(luò)的穩(wěn)定體現(xiàn)在設(shè)備的穩(wěn)定和網(wǎng)絡(luò)的冗余設(shè)計(jì)兩個(gè)方面。?高服務(wù)質(zhì)量（QOS）要求：網(wǎng)上實(shí)現(xiàn)E-maik網(wǎng)絡(luò)論壇、網(wǎng)絡(luò)圖書館、網(wǎng)上聊天、處理與查詢等功能，以及視頻點(diǎn)播（VOD）、實(shí)時(shí)遠(yuǎn)程教學(xué)、網(wǎng)絡(luò)學(xué)校等眾多的應(yīng)用。?可運(yùn)營：與企業(yè)網(wǎng)不同，校園網(wǎng)普遍存在運(yùn)營管理的要求。1.2總體目標(biāo)根據(jù)學(xué)校新區(qū)數(shù)字校園建設(shè)的指導(dǎo)思想，在1—2年內(nèi)將建設(shè)一個(gè)先進(jìn)的數(shù)字校園，通過把教師、學(xué)生、管理人員等角色和學(xué)校的組織與校園計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)有機(jī)的聯(lián)系在一起，以統(tǒng)一身份認(rèn)證、綜合信息門戶的方式提供集成化、智能化、共享型、開放型的數(shù)字教育教學(xué)環(huán)境。具體建設(shè)目標(biāo)根據(jù)學(xué)校新校區(qū)基建工程建設(shè)、網(wǎng)絡(luò)設(shè)備換代等實(shí)際情況，增加網(wǎng)絡(luò)基礎(chǔ)設(shè)施、擴(kuò)充并更新相關(guān)設(shè)備，實(shí)現(xiàn)萬兆核心交換機(jī)與樓宇千兆交換機(jī)千兆光纖連接，并可平滑升級(jí)到萬兆互連。配套完成新建辦公樓、教師宿舍區(qū)、教學(xué)區(qū)網(wǎng)絡(luò)工程。新區(qū)學(xué)生宿舍網(wǎng)絡(luò)工程。建設(shè)無線網(wǎng)絡(luò)接入系統(tǒng)，實(shí)現(xiàn)校區(qū)內(nèi)主要場所的移動(dòng)上網(wǎng)。建設(shè)學(xué)校數(shù)據(jù)中心，支持海量數(shù)據(jù)的存儲(chǔ)與查詢。1.4中原大學(xué)新校區(qū)網(wǎng)絡(luò)模型為了實(shí)現(xiàn)網(wǎng)絡(luò)的組織和規(guī)劃，我公司建議中原大學(xué)新校區(qū)網(wǎng)絡(luò)建設(shè)采用層次化建設(shè)方案，層次結(jié)構(gòu)如下：核心層一一由網(wǎng)絡(luò)中心的核心節(jié)點(diǎn)構(gòu)成匯聚層一一由各主要建筑樓群匯聚節(jié)點(diǎn)構(gòu)成接入層一一由各個(gè)樓層接入層交換機(jī)構(gòu)成中原大學(xué)新校區(qū)網(wǎng)絡(luò)是由核心層節(jié)點(diǎn)、匯聚節(jié)點(diǎn)及接入節(jié)點(diǎn)構(gòu)成的物理平面網(wǎng)絡(luò)。1.4應(yīng)用業(yè)務(wù)要求建成后的中原大學(xué)新校區(qū)網(wǎng)絡(luò)將滿足以下主要業(yè)務(wù)需求：新校區(qū)以萬兆核心交換機(jī)、千兆骨干網(wǎng)規(guī)劃網(wǎng)絡(luò)基礎(chǔ)設(shè)施系統(tǒng)，統(tǒng)一規(guī)劃與管理，建立起先進(jìn)的數(shù)字校園硬件支撐環(huán)境。建立數(shù)字校園公共數(shù)據(jù)庫和綜合信息門戶平臺(tái)，實(shí)現(xiàn)統(tǒng)一身份認(rèn)證訪問接口、數(shù)據(jù)共享以及學(xué)校歷史數(shù)據(jù)的存儲(chǔ)、整理，實(shí)現(xiàn)信息網(wǎng)站的集中存放、維護(hù)。實(shí)現(xiàn)網(wǎng)上網(wǎng)絡(luò)辦公，建立基于網(wǎng)絡(luò)的信息發(fā)布、辦公郵件系統(tǒng)、公文流轉(zhuǎn)和決策支持系統(tǒng)。建立集成的管理信息系統(tǒng)，提供全面、準(zhǔn)確、權(quán)威的數(shù)據(jù)。實(shí)現(xiàn)高質(zhì)量教學(xué)資源、信息資源和智力資源的共享與傳播。實(shí)現(xiàn)數(shù)字圖書館，提供網(wǎng)上專業(yè)資源的鏈接和專業(yè)數(shù)據(jù)庫的開放使用。建立校園網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)安全體系。建立校園一卡通系統(tǒng)。建立智能化校園管理系統(tǒng)：水電智能控制、門禁系統(tǒng)、安防消防系統(tǒng)等。第二章組網(wǎng)方案規(guī)劃整體設(shè)計(jì)規(guī)劃思路本方案采用華為3com路由器和交換機(jī)構(gòu)建統(tǒng)一的IP網(wǎng)絡(luò)平臺(tái)，網(wǎng)絡(luò)骨干帶寬1000M,并在保護(hù)用戶投資的前提下，可平滑升級(jí)到萬兆。同時(shí)由于全網(wǎng)采用統(tǒng)一TP網(wǎng)絡(luò)平臺(tái)，方便實(shí)現(xiàn)統(tǒng)一網(wǎng)管，提高管理效率，Quidview網(wǎng)絡(luò)管理軟件是華為3Com公司對(duì)全線數(shù)據(jù)通信設(shè)備進(jìn)行統(tǒng)一管理和維護(hù)的網(wǎng)管產(chǎn)品，位于網(wǎng)絡(luò)解決方案的管理層，能夠?qū)崿F(xiàn)網(wǎng)元管理、網(wǎng)絡(luò)管理的功能。Quidview與華為3Com公司的數(shù)據(jù)通信設(shè)備產(chǎn)品一起為用戶提供全網(wǎng)解決方案。Bmn為了達(dá)到可運(yùn)營的網(wǎng)絡(luò)要求，采用華為3Com公司推出的綜合接入管理服務(wù)器CAMS(ComprehensiveAccessManagementServer),可以配合華為3Com網(wǎng)絡(luò)設(shè)備組網(wǎng)，完成對(duì)用戶上網(wǎng)過程的認(rèn)證、授權(quán)和計(jì)費(fèi)。CAMS作為網(wǎng)絡(luò)中的用戶管理核心，在基本的AAA(Authorization、AuthenticationandAccounting)功能之上，提供了強(qiáng)大的管理、維護(hù)和安全控制平臺(tái)，可與企業(yè)現(xiàn)有系統(tǒng)平滑對(duì)接，實(shí)現(xiàn)網(wǎng)絡(luò)的可管理、可運(yùn)營和高安全。伴隨著信息技術(shù)的飛速發(fā)展和企業(yè)信息化程度的不斷提高，多業(yè)務(wù)融合的寬帶網(wǎng)絡(luò)已經(jīng)成為企業(yè)正常運(yùn)營的重要保障。為了確保一個(gè)穩(wěn)定、安全、高效的網(wǎng)絡(luò)運(yùn)營環(huán)境，管理員不得不常常面臨以下問題——如何監(jiān)控用戶的網(wǎng)絡(luò)應(yīng)用行為？如何跟蹤網(wǎng)絡(luò)應(yīng)用資源的使用情況？如何識(shí)別網(wǎng)絡(luò)中的異常流量和性能瓶頸？如何有效的規(guī)劃和部署網(wǎng)絡(luò)資源？這些問題的解決依賴于管理員對(duì)網(wǎng)絡(luò)運(yùn)行詳細(xì)狀況的及時(shí)獲取，為此，華為3com公司推出了XLog網(wǎng)絡(luò)日志審計(jì)系統(tǒng)(NetworkLogAuditSystem,XLog),可以與路由器、交換機(jī)、BAS等網(wǎng)絡(luò)設(shè)備共同組網(wǎng)，根據(jù)用戶要求采集不同類型的網(wǎng)絡(luò)流量信息，并通過聚合、分析與統(tǒng)計(jì)，為網(wǎng)絡(luò)管理員提供用戶行為審計(jì)、流量異常監(jiān)控和網(wǎng)絡(luò)部署優(yōu)化的數(shù)據(jù)基礎(chǔ)和決策依據(jù)。XLog是一種低成本、可擴(kuò)展的網(wǎng)絡(luò)日志信息審計(jì)與分析系統(tǒng)，能夠與路由器、以太網(wǎng)交換機(jī)、BAS設(shè)備等共同組網(wǎng)，完成對(duì)NAT、FLOW、DIG等多種網(wǎng)絡(luò)日志的采集、統(tǒng)計(jì)與分析，可以追溯網(wǎng)絡(luò)使用行為，監(jiān)視異?；顒?dòng)，為合理的網(wǎng)絡(luò)規(guī)劃提供重要參考。為保證視頻、話音、數(shù)據(jù)基于IP技術(shù)三網(wǎng)融合，采用統(tǒng)一的IP傳輸平臺(tái)，所以要求IP網(wǎng)絡(luò)平臺(tái)具備提供保障視頻、話音等實(shí)時(shí)業(yè)務(wù)的QOS保障能力；總體結(jié)構(gòu)規(guī)劃建議中原大學(xué)新校區(qū)網(wǎng)絡(luò)總體結(jié)構(gòu)如下：1、以區(qū)域?yàn)橹行牟季?。新校區(qū)網(wǎng)絡(luò)主干網(wǎng)構(gòu)成分為中心節(jié)點(diǎn)（網(wǎng)絡(luò)中心）、匯聚層節(jié)點(diǎn)和接入層節(jié)點(diǎn)，全校設(shè)1個(gè)中心節(jié)點(diǎn)，若干個(gè)匯聚節(jié)點(diǎn)，若干個(gè)樓層接入節(jié)點(diǎn)。中心節(jié)點(diǎn)為整個(gè)網(wǎng)絡(luò)的核心，為整個(gè)網(wǎng)絡(luò)提供可靠的高帶寬核心交換路由，匯聚層節(jié)點(diǎn)完成各區(qū)域業(yè)務(wù)的匯集,接入節(jié)點(diǎn)負(fù)責(zé)各樓層網(wǎng)絡(luò)業(yè)務(wù)的接入。2、三級(jí)網(wǎng)絡(luò)結(jié)構(gòu)。采用統(tǒng)?中心，星型結(jié)構(gòu)，中心采用核心路由交換機(jī)構(gòu)建，以提供高可靠性的網(wǎng)絡(luò)核心。各匯聚層節(jié)點(diǎn)到中心節(jié)點(diǎn)采用千兆光纖互連，對(duì)于網(wǎng)絡(luò)接入業(yè)務(wù)特別多的區(qū)域（如學(xué)生宿舍區(qū)），采用鏈路匯聚的方式，捆綁多條光纖鏈路以提供足夠的帶寬互連中心節(jié)點(diǎn)。各樓層接入層交換機(jī)到各匯聚層節(jié)點(diǎn)的聯(lián)接方式采用百兆銅纜或光纖互連。3、擴(kuò)展性考慮。在充分滿足應(yīng)用的情況下，中原大學(xué)新校區(qū)的網(wǎng)絡(luò)建設(shè)需同時(shí)考慮經(jīng)濟(jì)實(shí)用性及先進(jìn)性，因?yàn)殡S著各項(xiàng)應(yīng)用的不斷成熟，網(wǎng)絡(luò)的規(guī)模及流量將不斷擴(kuò)大，因此要充分考慮網(wǎng)絡(luò)的可擴(kuò)展性及平滑擴(kuò)容。網(wǎng)絡(luò)規(guī)劃中原大學(xué)新校區(qū)網(wǎng)絡(luò)主要包括一個(gè)核心節(jié)點(diǎn)和若干個(gè)匯聚節(jié)點(diǎn)和相應(yīng)的建筑物內(nèi)的樓層接入交換機(jī)。由于核心節(jié)點(diǎn)和匯聚層節(jié)點(diǎn)是整個(gè)新校區(qū)的骨干網(wǎng)，所有的業(yè)務(wù)全部是通過骨干網(wǎng)來運(yùn)行，因此骨干網(wǎng)絡(luò)的性能直接關(guān)系著整個(gè)新校區(qū)網(wǎng)絡(luò)的性能。因此在組建中原大學(xué)骨干網(wǎng)時(shí)，對(duì)于骨干設(shè)備的選擇要從以下幾方面進(jìn)行考慮，即要考慮到設(shè)備的可靠性、穩(wěn)定性、安全性和處理能力，同時(shí)還要考慮到現(xiàn)在選擇的設(shè)備不但要能充分滿足現(xiàn)有數(shù)據(jù)的處理，而且可以滿足未來幾年內(nèi)業(yè)務(wù)的發(fā)展所帶來得更大量的數(shù)據(jù)的處理。核心交換機(jī)和各個(gè)匯聚節(jié)點(diǎn)的匯聚層交換機(jī)需要高速運(yùn)送整個(gè)校園網(wǎng)絡(luò)的流量，設(shè)備承載的壓力較大。因此骨干網(wǎng)絡(luò)的建設(shè)，通常必須遵循以下兒個(gè)原則：1、必須具備高可靠性及高冗余性；2、必須能夠提供故障隔離功能；3、必須具有迅速升級(jí)能力；4、必須具有較少的時(shí)延和好的可管理性。根據(jù)以上的業(yè)務(wù)分析，建議在核心節(jié)點(diǎn)配置一臺(tái)核心交換機(jī)S8505,各個(gè)匯聚層節(jié)點(diǎn)采用S6500系列交換機(jī)，視各個(gè)匯聚節(jié)點(diǎn)區(qū)域網(wǎng)絡(luò)接入業(yè)務(wù)量的大小分別選用不同檔次的S6500系列交換機(jī)，在業(yè)務(wù)量大的區(qū)域采用S6506,在業(yè)務(wù)小的匯聚節(jié)點(diǎn)采用S6503,各個(gè)匯聚層節(jié)點(diǎn)分別和核心交換機(jī)采用單模光纖鏈路上行，以提供鏈路和網(wǎng)絡(luò)設(shè)備的冗余特性。整個(gè)結(jié)構(gòu)如下圖所示：如上圖所示，我們在核心節(jié)點(diǎn)上配置了一臺(tái)核心交換機(jī)S8505,在各個(gè)匯聚節(jié)點(diǎn)各配置了1臺(tái)匯聚交換機(jī)S6500,在業(yè)務(wù)量大的區(qū)域采用S6506,在業(yè)務(wù)量小的區(qū)域采用S6503,對(duì)于家屬區(qū)，由于接入節(jié)點(diǎn)少，建議直接將S3928TP-SI通過光纖鏈路互連到核心交換機(jī)上。每個(gè)建筑物樓層內(nèi)的接入層交換機(jī)采用S3900TP-SI系列交換機(jī)和S2403H-EI交換機(jī)，S3900TP-SI采用1000M以太網(wǎng)光口或電口的方式與各個(gè)區(qū)域的匯聚層交換機(jī)連接，S2403H-EI采用百兆以太網(wǎng)線上心連接到S3900TP-SI交換機(jī)器。整網(wǎng)的層次清晰，結(jié)構(gòu)合理，核心層的S8505負(fù)責(zé)接入?yún)R聚層的S6500,完成快速轉(zhuǎn)發(fā)的功能，同時(shí)作為完成各個(gè)服務(wù)器的接入。各個(gè)匯聚節(jié)點(diǎn)的匯聚交換機(jī)作為各個(gè)區(qū)域網(wǎng)絡(luò)的中心交換設(shè)備，負(fù)責(zé)接入各個(gè)建筑屋內(nèi)的樓層接入層交換機(jī)設(shè)備。全網(wǎng)采用高可靠，高性能，高密度的設(shè)備，從而避免了網(wǎng)絡(luò)上的性能瓶頸，骨干網(wǎng)的帶寬及性能可以滿足未來兒年的應(yīng)用，從而可以較好的避免日后對(duì)骨干網(wǎng)的改造，減小對(duì)整個(gè)校園網(wǎng)絡(luò)的沖擊?？煽啃栽O(shè)計(jì)可靠性和自愈能力包括鏈路冗余、模塊冗余、設(shè)備冗余、路由冗余等要求：(1)模塊冗余。主要設(shè)備的所有模塊和環(huán)境部件應(yīng)具備1+1或1：N熱備份的功能。所有模塊具備熱插拔的功能,核心層設(shè)備對(duì)主控模塊及關(guān)鍵部件采取了1+1的冗余。(2)鏈路冗余。在匯聚層和核心之間采用多鏈路捆綁的方式上連到核心層。以實(shí)現(xiàn)流量的負(fù)載分擔(dān)。這種流量的負(fù)載分擔(dān)特性應(yīng)不會(huì)引起業(yè)務(wù)的瞬間質(zhì)量惡化，更不會(huì)引起業(yè)務(wù)的中斷。(3)設(shè)備冗余。提供由兩臺(tái)或兩臺(tái)以上設(shè)備組成一個(gè)虛擬設(shè)備的能力。當(dāng)其中一個(gè)設(shè)備因故障停止工作時(shí)，另一臺(tái)設(shè)備自動(dòng)接替其工作，并且不引起其它節(jié)點(diǎn)的路由表重新計(jì)算，從而提高網(wǎng)絡(luò)的穩(wěn)定性,在核心層建議采用設(shè)備冗余的方式。(4)路由冗余。網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)計(jì)應(yīng)提供足夠的路由冗余功能，在上述冗余特性仍不能解決問題時(shí)，數(shù)據(jù)流應(yīng)能尋找其它路徑到達(dá)目的地址。在本網(wǎng)絡(luò)環(huán)境中,全網(wǎng)運(yùn)行OSPF協(xié)議并提供路由的冗余功能。第三章IP地址規(guī)劃IP地址規(guī)劃的原則ip地址是被用來唯一地標(biāo)識(shí)網(wǎng)絡(luò)中主機(jī)及設(shè)備位置的一個(gè)屬性，是ip報(bào)文轉(zhuǎn)發(fā)及尋址的依據(jù)。ip地址也是最重要的網(wǎng)絡(luò)資源之一。ip地址的分配及規(guī)劃，直接關(guān)系著校園網(wǎng)的建設(shè)及維護(hù)工作量，同時(shí)也會(huì)影響業(yè)務(wù)應(yīng)用的正常開展。所以，必須對(duì)ip規(guī)劃給予足夠的重視。ip地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。滿足這些要求的ip地址分配技術(shù)有：可變長子網(wǎng)掩碼技術(shù)(VLSM—Variable-LengthSubnetMask)和路徑疊合(匯聚)技術(shù)(RouteSummarization)?？偟膩碚f，IP地址規(guī)劃應(yīng)該遵循以下原則：1連續(xù)性IP地址分配要盡量分配連續(xù)的IP地址空間；相同的業(yè)務(wù)和功能盡量分配連續(xù)的IP地址空間，有利于路由聚合以及安全控制；2可擴(kuò)充性IP地址分配處理要考慮到連續(xù)外，又要能做到具有可擴(kuò)充性.，并為將來的網(wǎng)絡(luò)擴(kuò)展預(yù)留一定的地址空間；3IP地址的分配必須采用VLSM技術(shù)，保證IP地址的利用率；采用CIDR技術(shù)，可減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大小。4在公有地址有保證的前提下，盡量使用公有地址，主要包括設(shè)備loopback地址、設(shè)備間互連地址。在校園網(wǎng)中，由于很多部門都已經(jīng)有了現(xiàn)成的網(wǎng)絡(luò)，但是各部門網(wǎng)絡(luò)的采用IP的地址未進(jìn)行統(tǒng)一規(guī)劃，很多部門網(wǎng)絡(luò)采用了IETF建議的私有地址空間，如/8,存在著事實(shí)上的地址空間重疊或沖突等問題。所以，在進(jìn)行網(wǎng)絡(luò)的IP地址規(guī)劃時(shí)，必須充分考慮現(xiàn)有網(wǎng)絡(luò)的過渡及改造。為了利于整個(gè)校園網(wǎng)的統(tǒng)一管理及各種應(yīng)用(如不同部門之間共享部分網(wǎng)絡(luò)資源）的順利開展。建議在對(duì)整個(gè)校園網(wǎng)的IP地址進(jìn)行統(tǒng)一規(guī)劃，并在此前提下，兼顧現(xiàn)有網(wǎng)絡(luò)，以減少對(duì)原有各部門網(wǎng)絡(luò)的影響。IP地址規(guī)劃方案由于中原大學(xué)為教育網(wǎng)絡(luò)，有與教育網(wǎng)的互通需求，所以整網(wǎng)可以通過申請(qǐng)教育網(wǎng)ip地址段來規(guī)劃各級(jí)ip地址范圍，如果申請(qǐng)的ip地址數(shù)量不充足，也可以考慮采用私有網(wǎng)絡(luò)ip地址進(jìn)行規(guī)劃。按照前面介紹的路由規(guī)劃的策略，地址規(guī)劃應(yīng)該配合路由規(guī)劃策略，應(yīng)該從下面幾個(gè)方面來考慮ip地址的規(guī)劃（下面的ip地址規(guī)劃采用私有ip地址為例）。骨干互聯(lián)部分：骨干部分為一臺(tái)核心設(shè)備和若干個(gè)匯聚層設(shè)備，屬于整個(gè)網(wǎng)絡(luò)的最高層，由于整網(wǎng)采用私有地址具備足夠的地址空間，建議骨干部分的ip地址采用A類地址，比如/8、/8等，下屬匯聚層的節(jié)點(diǎn)采用路由匯聚的策略把各自己的IP路由匯聚到這些A類地址空間內(nèi)。各匯聚層設(shè)備采用B類地址做為下屬接入層部門的網(wǎng)關(guān)地址，比如/16、/16等，在發(fā)布路由時(shí)采用路由匯聚策略對(duì)多個(gè)B類地址進(jìn)行路由合并（當(dāng)A類地址足夠多時(shí)，也可以全部采用A類地址）。各單位內(nèi)部地址：各單位內(nèi)部的各個(gè)部門統(tǒng)一分配C類地址（當(dāng)A類地址足夠多時(shí)，也可以全部采用A類地址）。由于采用帶內(nèi)網(wǎng)管的網(wǎng)管策略，所以設(shè)備的管理IP可以與loopback地址合二為一。具體的IP地址方案需參照實(shí)際情況制定，以上為IP地址的規(guī)劃原則，可作為IP地址規(guī)劃參考。IP地址管理ip地址的管理和分配采用動(dòng)態(tài)及靜態(tài)結(jié)合的方式。普通用戶的ip地址由DHCP服務(wù)器動(dòng)態(tài)分配；服務(wù)器、設(shè)備管理地址等需要固定IP地址，由網(wǎng)絡(luò)管理部門靜態(tài)分配。IP地址管理是用戶管理的重要內(nèi)容，也是構(gòu)件完整的安全架構(gòu)中不可或缺的一部分，應(yīng)該在網(wǎng)絡(luò)設(shè)計(jì)初期就對(duì)網(wǎng)絡(luò)多種用戶的IP地址分配方式進(jìn)行統(tǒng)一規(guī)劃。普通用戶建議采用動(dòng)態(tài)獲取IP地址的地址分配方式，可以減少IP地址分配的復(fù)雜度同時(shí)防止IP地址重疊的情況發(fā)生。為了防止動(dòng)態(tài)IP地址用戶私自配置靜態(tài)IP地址以及惡意假冒他人IP地址可以啟用DHCP+特性，限制用戶獲取IP地址的方式只能為動(dòng)態(tài)獲取，私自配置的靜態(tài)IP地址將無法正常接入網(wǎng)絡(luò)。同時(shí)為了對(duì)用戶的身份進(jìn)行合法性驗(yàn)證可以在網(wǎng)絡(luò)的匯聚層對(duì)用戶的身份進(jìn)行驗(yàn)證，驗(yàn)證方式可以根據(jù)實(shí)際情況進(jìn)行選擇，可以采用強(qiáng)制PORTAL認(rèn)證、802.lx認(rèn)證等多種認(rèn)證方式。重要用戶以及特殊用戶（比如網(wǎng)管系統(tǒng)）可以配置靜態(tài)IP地址并在用戶接入的網(wǎng)絡(luò)設(shè)備上靜態(tài)添加用戶的IP地址并且實(shí)現(xiàn)IP+MAC+端口的綁定，一方面保證了用戶IP地址的固定配置，另一方面也防止了其他惡意用戶的地址假冒。重要用戶及特殊用戶可以不用身份驗(yàn)證而直接接入網(wǎng)絡(luò)。第四章路由規(guī)劃路由協(xié)議的選擇對(duì)于IGP協(xié)議，我們建議采用OSPF,因?yàn)镺SPF的適應(yīng)性好，功能完善，當(dāng)核心層設(shè)備在20臺(tái)以內(nèi)的時(shí)候，我們建議只運(yùn)行一個(gè)骨干域“0”，這樣網(wǎng)絡(luò)規(guī)劃簡單、維護(hù)方便，并且有利于今后骨干層網(wǎng)絡(luò)的擴(kuò)展。對(duì)于各個(gè)匯聚層節(jié)點(diǎn)，最普遍應(yīng)用的就是OSPF、直連路由，將直連路由匯聚后再引入到OSPF路由協(xié)議中，只要準(zhǔn)循上面提到的IP地址分配原則，各匯聚節(jié)點(diǎn)的路由都可以匯聚成一條或者數(shù)目較少的兒條，這時(shí)應(yīng)用最簡單、最高效,而且網(wǎng)絡(luò)的維護(hù)非常方便。OSPF是OpenShortestPathFirst（開放最短路由優(yōu)先協(xié)議）的縮寫。它是IETF組織開發(fā)的一個(gè)基于鏈路狀態(tài)的自治系統(tǒng)內(nèi)部路由協(xié)議。非常適合類似這種中、大型校園網(wǎng)網(wǎng)絡(luò)。綜上，在本期工程中，我們建議的路由協(xié)議類型就是：骨干層OSPF、匯聚層節(jié)點(diǎn)采用直連路由并引入到OSPF中。這樣對(duì)整個(gè)網(wǎng)絡(luò)中的設(shè)備要求不是太高并且便于進(jìn)行維護(hù)。OSPF具有如下特點(diǎn)：1、快速收斂一在網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)發(fā)生變化后立即發(fā)送更新報(bào)文，使這一變化在自治系統(tǒng)中同步?？梢匝杆俜磻?yīng)網(wǎng)絡(luò)拓樸的變化，提高全網(wǎng)對(duì)網(wǎng)絡(luò)故障和網(wǎng)絡(luò)改造的反應(yīng)速度。2、無自環(huán)一OSPF根據(jù)收集到的鏈路狀態(tài)用最短路徑樹算法計(jì)算路由，從算法上本身保證了不會(huì)生成自環(huán)路由。從而避免校園網(wǎng)因路由環(huán)造成的帶寬浪費(fèi)。3、區(qū)域劃分一允許自治系統(tǒng)的網(wǎng)絡(luò)被劃分成區(qū)域來管理，區(qū)域間傳送的路由信息被進(jìn)一步抽象，從而減少了占用的網(wǎng)絡(luò)帶寬。通過合理的區(qū)域劃分策略,可以有效減少參與OSPF路由計(jì)算的網(wǎng)絡(luò)規(guī)模，降低由于路由計(jì)算造成的路由器CPU的開銷開銷，避免由于動(dòng)態(tài)路由協(xié)議的引用，造成的路由器轉(zhuǎn)發(fā)性能的過渡下降。4、其他路由的引入能力一OSPF具有將其他路由協(xié)議發(fā)現(xiàn)的路由和靜態(tài)路由引入到系統(tǒng)中的能力，從而可以在校園網(wǎng)中根據(jù)各級(jí)網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)層次，靈活采用OSPF與靜態(tài)路由、RIP等動(dòng)態(tài)路由協(xié)議相結(jié)合的方式，在保證系統(tǒng)暢通的情況下，有效減少設(shè)備負(fù)載。5、路由聚合能力--OSPF可以按照指定的聚合策略，聚合區(qū)域邊界路由器向外發(fā)布的路由，減少發(fā)布的路由條數(shù)，從而減少全系統(tǒng)的路由表規(guī)模，降低整個(gè)校園網(wǎng)路由器的資源損耗，提高全系統(tǒng)的數(shù)據(jù)轉(zhuǎn)發(fā)能力。IGP協(xié)議規(guī)劃各核心交換機(jī)和匯聚層交換機(jī)只在內(nèi)部互聯(lián)端口運(yùn)行OSPF,使用一個(gè)Area0進(jìn)行路由交換。為訪問Internet,在核心節(jié)點(diǎn)設(shè)備上通過OSPF發(fā)布缺省路由。在各匯聚層的設(shè)備上，通過Network命令將匯聚層設(shè)備的loopback地址和互連端口地址引入到OSPF協(xié)議中去。為了便于控制路由的規(guī)模，采用redistribute命令引入直連鏈路的路由并進(jìn)行路由的匯聚。第五章網(wǎng)絡(luò)管理規(guī)劃網(wǎng)管系統(tǒng)需求網(wǎng)絡(luò)管理包括有三個(gè)部分：網(wǎng)管平臺(tái)、設(shè)備管理系統(tǒng)、業(yè)務(wù)網(wǎng)管。網(wǎng)管平臺(tái)則需要對(duì)全網(wǎng)進(jìn)行管理，要有拓?fù)浒l(fā)現(xiàn)功能等，它力求全面地覆蓋企業(yè)IT業(yè)務(wù)的各個(gè)方面。網(wǎng)元管理系統(tǒng)一般均由設(shè)備原廠商提供，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的故障管理、配置管理和性能管理、故障管理等。統(tǒng)一網(wǎng)管設(shè)計(jì)通過在網(wǎng)絡(luò)中心安裝集中網(wǎng)管系統(tǒng)，通過帶內(nèi)的方式實(shí)現(xiàn)對(duì)整網(wǎng)設(shè)備的統(tǒng)一管理，提供集中、統(tǒng)一、分級(jí)、分權(quán)的網(wǎng)元管理、網(wǎng)絡(luò)管理功能，并實(shí)現(xiàn)部分業(yè)務(wù)供給功能。網(wǎng)管系統(tǒng)采用先進(jìn)的組件化結(jié)構(gòu)，可以對(duì)全網(wǎng)設(shè)備集中管理。在新老公安網(wǎng)中提供分級(jí)的網(wǎng)管中心，提供不同的管理權(quán)限，每個(gè)地市網(wǎng)的網(wǎng)管僅能管理本地市的網(wǎng)絡(luò)設(shè)備。對(duì)于全網(wǎng)設(shè)備可以設(shè)置一個(gè)中心一級(jí)的網(wǎng)管中心，對(duì)所有網(wǎng)絡(luò)設(shè)備進(jìn)行管理。網(wǎng)管系統(tǒng)對(duì)所有設(shè)備的管理采用帶內(nèi)方式，通過SNMP協(xié)議由網(wǎng)管中心服務(wù)器發(fā)出管理信息報(bào)文，各寬帶網(wǎng)絡(luò)設(shè)備上的網(wǎng)管代理進(jìn)行本設(shè)備運(yùn)行狀態(tài)，數(shù)據(jù)信息的收集，然后通過SNMP協(xié)議將本網(wǎng)絡(luò)設(shè)備的網(wǎng)管信息上報(bào)給網(wǎng)管中心服務(wù)器，由網(wǎng)管中心服務(wù)器統(tǒng)一對(duì)上報(bào)的網(wǎng)管信息進(jìn)行處理和分析，然后通過SNMP協(xié)議下發(fā)控制命令，由各設(shè)備網(wǎng)管代理接收控制命令后，完成對(duì)本設(shè)備的管理和控制。分級(jí)網(wǎng)管的設(shè)置可根據(jù)要求靈活設(shè)置，可將分級(jí)網(wǎng)管服務(wù)器放置于各地市一個(gè)局域網(wǎng)內(nèi)（最好各地市選擇一個(gè)網(wǎng)絡(luò)管理中心同時(shí)作為本地市網(wǎng)絡(luò)的信息資源共享中心），也可采用UNIX遠(yuǎn)程客戶端的方式將網(wǎng)管終端放置在遠(yuǎn)程，此時(shí)網(wǎng)管終端與網(wǎng)管服務(wù)器之間的信息交流也是通過帶內(nèi)通道完成的。綜合網(wǎng)管系統(tǒng)應(yīng)該能提供如下管理能力：拓?fù)涔芾硗負(fù)涔芾碛糜跇?gòu)造并管理整個(gè)通信網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，通過自動(dòng)上載網(wǎng)絡(luò)設(shè)備的拓?fù)鋽?shù)據(jù)形成與實(shí)際網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)相同的網(wǎng)絡(luò)拓?fù)湟晥D。運(yùn)行中通過對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行定時(shí)（根據(jù)用戶設(shè)定的每?設(shè)備的狀態(tài)與配置輪詢間隔時(shí)間）的輪循監(jiān)視與設(shè)備上報(bào)TRAP或告警處理，保證顯示網(wǎng)絡(luò)視圖與實(shí)際網(wǎng)絡(luò)拓?fù)湟恢?，用戶可通過瀏覽網(wǎng)絡(luò)視圖來實(shí)時(shí)了解整個(gè)網(wǎng)絡(luò)的運(yùn)行情況。網(wǎng)管系統(tǒng)的拓?fù)湟晥D是采用分層結(jié)構(gòu)的，其中拓?fù)漤攲语@示的子圖稱為視圖，根據(jù)被管對(duì)象的種類和實(shí)際需求抽象出了兒種視圖顯示在拓?fù)涞捻攲?，目前包含了三個(gè)邏輯視圖（IP設(shè)備視圖、交換設(shè)備視圖和接入設(shè)備視圖）和一個(gè)物理視圖。在這些視圖下是子網(wǎng)，它是具有相同屬性的設(shè)備的集合，在子網(wǎng)下就是具體的網(wǎng)絡(luò)設(shè)備，子網(wǎng)也可以再包含子網(wǎng)。其中邏輯視圖中只包含了各自類型的網(wǎng)絡(luò)設(shè)備，它反映了網(wǎng)絡(luò)設(shè)備之間的邏輯關(guān)系，而物理視圖中的子圖和設(shè)備是用戶自己設(shè)定的，用戶可以根據(jù)地理位置去創(chuàng)建物理子圖并定義它們之間的連接關(guān)系。IP視圖用于IP層網(wǎng)絡(luò)拓?fù)涞墓芾?，描述整個(gè)基于IP路由器的IP網(wǎng)絡(luò)的網(wǎng)絡(luò)層拓?fù)浣Y(jié)構(gòu)，主要包括路由器、LANSwitch、接入服務(wù)器和計(jì)算機(jī)等IP設(shè)備?；贗P路由器的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分成兩層，上層由路由器和IP子網(wǎng)組成，IP子網(wǎng)表示某一傳輸類型的物理網(wǎng)絡(luò)，如以太網(wǎng)，F(xiàn)rameRelay網(wǎng)等，在同一IP子網(wǎng)下的所有設(shè)備具有同樣的IP子網(wǎng)地址設(shè)置；路由器和IP子網(wǎng)之間通過路由器端口連接，如以太網(wǎng)口，F(xiàn)rameRelay廣域網(wǎng)口等。路由器和路由器之間的連接有兩種：一是通過IP子網(wǎng)連接，如兩路由器通過以太網(wǎng)或FrameRelay網(wǎng)互連；二是直接的點(diǎn)到點(diǎn)連接，如PPP連接等。物理視圖用于反映網(wǎng)絡(luò)設(shè)備之間的物理關(guān)系和連接，用戶可以自由創(chuàng)建物理子網(wǎng)，在物理子網(wǎng)中加入邏輯子網(wǎng)中已經(jīng)存在的設(shè)備，建立它們之間的連接關(guān)系。拓?fù)涔芾碇饕僮饔性鰟h設(shè)備或子網(wǎng)，查看節(jié)點(diǎn)、鏈路或子網(wǎng)的狀態(tài)，通過定時(shí)輪詢或手動(dòng)啟動(dòng)對(duì)任一設(shè)備的狀態(tài)或配置數(shù)據(jù)輪詢，實(shí)時(shí)刷新拓?fù)滹@示數(shù)據(jù)。拓?fù)涔芾磉€具有改變背景圖象、設(shè)置網(wǎng)絡(luò)對(duì)象屬性、保存拓?fù)湟晥D修改、查找網(wǎng)絡(luò)對(duì)象、顯示網(wǎng)絡(luò)對(duì)象信息、拓?fù)湟晥D顯示效果設(shè)置等功能。用戶可對(duì)每個(gè)子網(wǎng)設(shè)置背景圖象（gif）格式，背景圖象的大小根據(jù)窗口大小自動(dòng)調(diào)整。配置管理網(wǎng)管系統(tǒng)提供全網(wǎng)瀏覽樹和設(shè)備面板圖對(duì)配置進(jìn)行維護(hù)。全網(wǎng)瀏覽樹把網(wǎng)絡(luò)中的所有設(shè)備按不同的分組方式組織在一個(gè)樹形結(jié)構(gòu)中,操作者可靈活切換要進(jìn)行配置操作的設(shè)備。對(duì)所有設(shè)備和設(shè)備組件的操作都通過右鍵菜單來完成。用戶右鍵點(diǎn)中待管理的對(duì)象，系統(tǒng)將自動(dòng)彈出該設(shè)備或設(shè)備組件所對(duì)應(yīng)的管理菜單，所有設(shè)備和設(shè)備組件（如端口等）的配置、實(shí)時(shí)性能管理功能都可通過該右鍵菜單完成。本瀏覽樹可裝載并顯示所有路由器，以及其它支持SNMP協(xié)議的設(shè)備端口數(shù)據(jù)，在瀏覽樹中的端口顯示數(shù)據(jù)包括：端口狀態(tài)，端口索引，端口類型，IP地址，掩碼設(shè)置（如設(shè)置有），用戶右鍵點(diǎn)中該端口即可彈出該端口所對(duì)應(yīng)的配置菜單。通過在拓?fù)鋱D上雙擊拓?fù)湓O(shè)備節(jié)點(diǎn)啟動(dòng)設(shè)備面板圖，在面板視圖上對(duì)設(shè)備進(jìn)行配置；設(shè)備面板圖和全網(wǎng)瀏覽樹所提供的配置功能是完全一樣的。在面板上進(jìn)行配置顯得更直觀，提供設(shè)備的機(jī)架視圖，實(shí)時(shí)顯示各單板的狀態(tài)和告警信息，對(duì)于面板中的每個(gè)單板節(jié)點(diǎn)，提供右鍵彈出菜單，該菜單是針對(duì)該單板的一系列的應(yīng)用，包括配置，性能、維護(hù)管理等；而全網(wǎng)瀏覽樹則是提供了一種對(duì)全網(wǎng)設(shè)備進(jìn)行管理的手段，在配置較多的設(shè)備時(shí)比較方便。故障管理故障管理主要包括對(duì)全網(wǎng)設(shè)備的告警信息和運(yùn)行信息進(jìn)行實(shí)時(shí)監(jiān)控，查詢設(shè)備的歷史告警信息和運(yùn)行信息，定義發(fā)送過來的SNMPTrap,查詢和配置設(shè)備的告警表。故障管理系統(tǒng)收集和處理設(shè)備告警。設(shè)備告警包括SnmpTrap和MML格式的告警，前者告警來源為SNMP設(shè)備，大部分?jǐn)?shù)據(jù)通信設(shè)備支持SNMP。Trap和Alarm可以同屏顯示也可以分屏顯示。（以下敘述中“告警”如無特殊說明包括SnmpTrap和MMLAlarm）o故障管理系統(tǒng)包括故障管理后臺(tái)、實(shí)時(shí)告警顯示、歷史告警顯示、Trap規(guī)則定義工具，故障監(jiān)視面板和當(dāng)前故障窗口。故障管理后臺(tái)接收設(shè)備告警、寫數(shù)據(jù)庫、發(fā)送給實(shí)時(shí)告警前臺(tái)顯示，如果有其他應(yīng)用關(guān)心某些類型的告警，還要上報(bào)給該應(yīng)用。實(shí)時(shí)告警顯示從故障后臺(tái)實(shí)時(shí)接收設(shè)備告警并顯示；歷史告警顯示從數(shù)據(jù)庫檢索告警并顯示；實(shí)時(shí)告警顯示和歷史告警顯示都支持過濾條件，可以檢索指定設(shè)備（一個(gè)或多個(gè)）的告警，也可以按類別檢索指定類型的告警。Tr叩規(guī)則定義工具主要是定義SnmpTrap的描述信息。因?yàn)镾nmpTrap是二進(jìn)制編碼,Trap規(guī)則定義了該二進(jìn)制流中各字段的描述信息。故障管理后臺(tái)接收設(shè)備發(fā)送的Trap后根據(jù)當(dāng)前的Trap規(guī)則定義對(duì)Trap進(jìn)行解釋，將解釋后得到的告警數(shù)據(jù)寫入歷史告警庫，并發(fā)送給前臺(tái)程序。MMLAlarm本身是ASCII字符流，故障后臺(tái)經(jīng)過適當(dāng)?shù)淖侄味ㄎ缓笾苯尤霂旌桶l(fā)送給前臺(tái)進(jìn)程。故障監(jiān)視面板為您提供了一個(gè)直觀的了解設(shè)備故障情況的工具，它可以提供單個(gè)設(shè)備或所有設(shè)備的告警狀態(tài)數(shù)據(jù)，實(shí)時(shí)刷新狀態(tài)數(shù)據(jù)，并可以通過激活當(dāng)前告警窗口為您提供告警的詳細(xì)數(shù)據(jù)。它由六個(gè)代表不同級(jí)別故障的告警燈來顯示設(shè)備故障狀態(tài)，當(dāng)有未恢復(fù)且并未被確認(rèn)的情況下告警燈轉(zhuǎn)亮，在沒有該級(jí)別告警或所有該級(jí)別告警已經(jīng)被確認(rèn)的情況下變?yōu)榛疑Ｃ總€(gè)告警燈的下方分別列出該級(jí)別故障的總數(shù)和已經(jīng)被確認(rèn)的記錄數(shù)。當(dāng)前故障窗口反映了設(shè)備的當(dāng)前故障數(shù)據(jù)，缺省狀態(tài)進(jìn)入時(shí)會(huì)顯示所有設(shè)備當(dāng)前時(shí)刻所有未恢復(fù)的告警。并隨時(shí)實(shí)時(shí)刷新數(shù)據(jù)。在故障監(jiān)視面板中選取當(dāng)前設(shè)備告警明細(xì)表功能也可以激活當(dāng)前告警窗口。性能管理用戶可以獲得網(wǎng)絡(luò)的各種當(dāng)前性能數(shù)據(jù)，并可以設(shè)置性能的門限值，當(dāng)性能超過門限時(shí)，網(wǎng)絡(luò)以告警的方式通知網(wǎng)管系統(tǒng)。用戶也可以收集一定時(shí)間段內(nèi)的性能數(shù)據(jù)，并保存在數(shù)據(jù)庫中，以做進(jìn)一步的分析。該應(yīng)用提供三種方式對(duì)采集來的數(shù)據(jù)進(jìn)行顯示：折線圖方式、直方圖方式和餅圖方式。折線圖方式在一個(gè)窗口內(nèi)可顯示一定時(shí)間范圍內(nèi)的各個(gè)對(duì)象表達(dá)式的值；直方圖方式在一個(gè)窗口內(nèi)只顯示某一采集時(shí)間點(diǎn)的各個(gè)對(duì)象表達(dá)式的值；餅圖方式顯示的是某一數(shù)據(jù)采集點(diǎn)各個(gè)對(duì)象表達(dá)式之間的比例值。用戶在此應(yīng)用中還可以設(shè)置對(duì)性能數(shù)據(jù)輪循的間隔，采集數(shù)據(jù)的顯示比例和顯示顏色。安全管理安全管理完成網(wǎng)管系統(tǒng)本身的安全控制，包括下列內(nèi)容：用戶管理、操作日志管理、用戶登錄/退出管理。系統(tǒng)安全主要通過網(wǎng)管用戶權(quán)限進(jìn)行控制，用戶在啟動(dòng)網(wǎng)管客戶端后，需用已經(jīng)建立的網(wǎng)管用戶登錄，并且只能以用戶屬性中設(shè)定的讀寫權(quán)限執(zhí)行該用戶指定可以執(zhí)行的網(wǎng)管應(yīng)用。網(wǎng)管系統(tǒng)各管理應(yīng)用對(duì)用戶執(zhí)行的敏感操作進(jìn)行記錄，管理員可通過瀏覽用戶操作日志取得系統(tǒng)的所有管理操作信息。Quidview網(wǎng)絡(luò)管理軟系統(tǒng)Quidview是華為3Com公司自行設(shè)計(jì)開發(fā)的適合于中、小規(guī)模的網(wǎng)絡(luò)管理的網(wǎng)管軟件，主要用于管理華為公司生產(chǎn)的Quidway?系列路由器和校園網(wǎng)交換機(jī)。它是一個(gè)簡潔的網(wǎng)絡(luò)管理工具，充分利用設(shè)備自己的管理信息庫完成設(shè)備配置、瀏覽設(shè)備配置信息、監(jiān)視設(shè)備運(yùn)行狀態(tài)等網(wǎng)管功能，并且還能集成到SNMPc、HPOpenviewNNM等一些通用的網(wǎng)管平臺(tái)上，實(shí)現(xiàn)從網(wǎng)絡(luò)級(jí)到設(shè)備級(jí)全方位的網(wǎng)絡(luò)管理。力求幫助用戶在降低產(chǎn)品成本的同時(shí)滿足更豐富的功能需求。Quidview網(wǎng)絡(luò)管理軟件采用組件化結(jié)構(gòu)設(shè)計(jì)，通過安裝不同的業(yè)務(wù)組件實(shí)現(xiàn)了設(shè)備管理、VPN監(jiān)視與部署、軟件升級(jí)管理、配置文件管理、告警和性能管理等功能。支持多種操作系統(tǒng)平臺(tái)，并能夠與多種通用網(wǎng)管平臺(tái)集成，實(shí)現(xiàn)從設(shè)備級(jí)到網(wǎng)絡(luò)級(jí)全方位的網(wǎng)絡(luò)管理。網(wǎng)絡(luò)集中監(jiān)視Quidview網(wǎng)絡(luò)管理軟件提供統(tǒng)一拓?fù)浒l(fā)現(xiàn)功能，實(shí)現(xiàn)全網(wǎng)監(jiān)控，可以實(shí)時(shí)監(jiān)控所有設(shè)備的運(yùn)行狀況，并根據(jù)網(wǎng)絡(luò)運(yùn)行環(huán)境變化提供合適的方式對(duì)網(wǎng)絡(luò)參數(shù)進(jìn)行配置修改，保證網(wǎng)絡(luò)以最優(yōu)性能正常運(yùn)行。全網(wǎng)設(shè)備的統(tǒng)一拓?fù)湟晥D；拓?fù)渥詣?dòng)發(fā)現(xiàn)，拓?fù)浣Y(jié)構(gòu)動(dòng)態(tài)刷新；可視化操作方式：拓?fù)湟晥D節(jié)點(diǎn)直接點(diǎn)擊進(jìn)入設(shè)備操作面板；在網(wǎng)絡(luò)、設(shè)備狀態(tài)改變時(shí)，改變節(jié)點(diǎn)顏色，提示用戶；對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行定時(shí)（輪詢間隔時(shí)間可配置）的輪循監(jiān)視和狀態(tài)刷新并表現(xiàn)在網(wǎng)絡(luò)視圖上；支持拓?fù)溥^濾，讓用戶關(guān)注所關(guān)心的網(wǎng)絡(luò)設(shè)備情況；支持快速查找拓?fù)鋵?duì)象，并在導(dǎo)航樹和拓?fù)湟晥D中定位該拓?fù)鋵?duì)象;

故障管理故障管理主要功能是對(duì)全網(wǎng)設(shè)備的告警信息和運(yùn)行信息進(jìn)行實(shí)時(shí)監(jiān)控，查詢和統(tǒng)計(jì)設(shè)備的告警信息。告警實(shí)時(shí)監(jiān)視，提供告警聲光提示；支持告警轉(zhuǎn)到Email、手機(jī)短信；支持告警過濾，讓用戶關(guān)注重要的告警，查詢結(jié)果可生成報(bào)表；支持告警級(jí)別重新定義，支持告警轉(zhuǎn)存，保證系統(tǒng)的運(yùn)行效率和穩(wěn)定性;支持告警拓?fù)涠ㄎ唬瑢@示的焦點(diǎn)定位到產(chǎn)生選定告警的拓?fù)鋵?duì)象；支持告警相關(guān)性分析，包括屏蔽重復(fù)告警、屏蔽閃斷告警等。

1瀏荒管.口向□過送后雷害■認(rèn)a?i*WlBi事件20040S-251012301015321169Th*device10153893()statusiscntical▲2004-09-251012301015321163Thedevice10153893()statustscntical事件2004-09-251013021015321163Thedevice10153893()statusisnormal2004-09-251047181015321163Thedevice10153893()statusisminor2004-09-2511491910.15321163Thedevice101538935<)statusiscritical事件2004-09-251149191015321163Thedevice10153893()statusiscntical2004-09-251149191015321163Thedevice10153893()statusiscntical事件2004-09-251149521015321163Thedevice101538935<)statusi$normal2004-09-251149521015321163Thedevice10153893()statusisnormal2004-09-2512.47.38 .10.153^1.163Thedevice10.153J9.3Ostatusisminor▼所有吉魯a?j舍魯未思班與2004-09-25101230101S321169Thedevice1015389X)statusiscritical*歹2004-09-251012301015321163Thedevice10153893()statusiscrwcaiR事件20G409-251013021015321163The(tovice10153893()statusisnormal2004-09-251047181015321163Thedevice10153893()statusisminor2004-09-251149191015321.163Thedevice101538935()statusiscritical▼新有481-$?2219 244 462)性能監(jiān)控Quidview網(wǎng)管系統(tǒng)提供豐富的性能管理功能，同時(shí)以直觀的方式顯示給用戶。通過性能任務(wù)的配置，可自動(dòng)獲得網(wǎng)絡(luò)的各種當(dāng)前性能數(shù)據(jù)，并支持設(shè)置性能的門限，當(dāng)性能超過門限時(shí)，可以以告警的方式通知網(wǎng)管系統(tǒng)。通過統(tǒng)計(jì)不同線路、不同資源的利用情況，為優(yōu)化或擴(kuò)充網(wǎng)絡(luò)提供依據(jù)。管理多廠商設(shè)備Quidview可管理所有支持標(biāo)準(zhǔn)SNMP網(wǎng)管協(xié)議的網(wǎng)絡(luò)設(shè)備，為多廠商設(shè)備共存的網(wǎng)絡(luò)提供了統(tǒng)一的管理方式。拓?fù)鋱D自動(dòng)發(fā)現(xiàn)多廠商設(shè)備，如華為、3com、Cisco等；可以對(duì)設(shè)備進(jìn)行性能監(jiān)視，包括接口的流量監(jiān)視，利用率監(jiān)視等；可以接收設(shè)備告警，并進(jìn)行告警信息顯示.服務(wù)器監(jiān)視管理服務(wù)器是企業(yè)IP架構(gòu)中的重要組成部分，通過Quidview,可實(shí)現(xiàn)服務(wù)器與設(shè)備設(shè)備的統(tǒng)一管理。支持對(duì)CPU、內(nèi)存資源消耗的監(jiān)視；支持對(duì)硬盤使用情況的監(jiān)視；支持運(yùn)行進(jìn)程的資源監(jiān)視；支持對(duì)服務(wù)的資源監(jiān)視；集群管理針對(duì)大量二層交換機(jī)設(shè)備的應(yīng)用環(huán)境，Quidview網(wǎng)絡(luò)管理軟件提供集群管理功能，通過一個(gè)指定公網(wǎng)IP的設(shè)備（稱作命令交換機(jī)）對(duì)網(wǎng)絡(luò)進(jìn)行管理。節(jié)省公網(wǎng)IP地址資源；實(shí)現(xiàn)對(duì)一組設(shè)備統(tǒng)一、集中、批量配置管理;實(shí)現(xiàn)設(shè)備的集中維護(hù)管理；網(wǎng)絡(luò)拓?fù)湫畔⒆詣?dòng)收集、維護(hù)，動(dòng)態(tài)更新;?實(shí)現(xiàn)方便的軟件升級(jí)、配置數(shù)據(jù)備份、配置數(shù)據(jù)恢復(fù);

堆疊管理Quidview網(wǎng)絡(luò)管理軟件通過堆疊管理，可以集中管理較大量的低端設(shè)備，并且為用戶提供統(tǒng)一的網(wǎng)管界面，方便用戶對(duì)大量設(shè)備的統(tǒng)一管理維護(hù)。?PQukMewt*110Mt3(S3CtaiioM口口口口口口口口口tenoMm(eltenoMer(83(1?2001HtMbJ■akDt*110Mt3(S3CtaiioM口口口口口口口口口tenoMm(eltenoMer(83(1?2001HtMbJ■akD??&)xm(dc?%一口品金?⑥ (tack_OB}OM182O01故障定位與地址反查針對(duì)最為常見的端口故障，Quidview網(wǎng)絡(luò)管理軟件提供了便捷的定位檢測工具一路徑跟蹤和端口環(huán)回測試；當(dāng)用戶報(bào)告網(wǎng)絡(luò)端口使用異常時(shí)，網(wǎng)絡(luò)管理員可以通過網(wǎng)管對(duì)指定用戶端口做環(huán)回測試，直接定位端口故障。Quidview提供的端口反查功能支持兩種方式的查找定位功能：MAC地址端口反查和IP地址端口反查，使用時(shí)分別輸入終端用戶的MAC地址或IP地址，能夠定位該終端用戶連接的交換機(jī)及交換機(jī)的端口，幫助網(wǎng)絡(luò)管理員及早定位非法報(bào)文接入網(wǎng)絡(luò)的原始端口，及時(shí)關(guān)閉端口，防止一些違規(guī)用戶進(jìn)行非法操作比如濫發(fā)報(bào)文、訪問非法站點(diǎn)等，危害網(wǎng)絡(luò)安全。

RMON管理RMON管理根據(jù)RFC1757定義的標(biāo)準(zhǔn)RMON-MIB及華為3com自定義告警擴(kuò)展MIB對(duì)主機(jī)設(shè)備進(jìn)行遠(yuǎn)程監(jiān)視管理。Quidview網(wǎng)絡(luò)管理軟件的RMON管理包含的功能如下：統(tǒng)計(jì)組的配置及數(shù)據(jù)瀏覽；歷史組的配置及數(shù)據(jù)瀏覽；告警組的配置及瀏覽；事件組的配置及瀏覽；擴(kuò)展告警組的配置及瀏覽；HO991141610 ；815195882o -W 鐮計(jì)?HO991141610 ；815195882o -W 鐮計(jì)?I歷虹|?M|*er?|??rne|as|EthetniH&4網(wǎng)管系統(tǒng)實(shí)施步驟完成網(wǎng)絡(luò)設(shè)備安裝和鏈路連通；完成網(wǎng)絡(luò)設(shè)備IP地址、路由等配置，網(wǎng)絡(luò)設(shè)備統(tǒng)一使能為SNMPv3版本。設(shè)置網(wǎng)絡(luò)設(shè)備的Trap目標(biāo)工作站的地址為網(wǎng)管工作站的地址；設(shè)置被管理設(shè)備發(fā)送Trap的源地址為該設(shè)備的loopback地址或管理地址；在網(wǎng)絡(luò)中心安裝一套QuidView網(wǎng)管系統(tǒng)，搜索發(fā)現(xiàn)所有網(wǎng)上設(shè)備，可以完成對(duì)網(wǎng)上多種廠家的設(shè)備進(jìn)行統(tǒng)一的網(wǎng)絡(luò)管理與維護(hù)。網(wǎng)管安全措施Quidview網(wǎng)管系統(tǒng)可以通過下面的一些措施，保證網(wǎng)管系統(tǒng)的安全性，防止非法用戶進(jìn)行訪問；在設(shè)備與網(wǎng)管服務(wù)器之間增加防火墻；網(wǎng)管的安全管理，操作員的帳號(hào)與IP地址、登錄時(shí)間等進(jìn)行綁定，在一定范圍限定非法入侵；進(jìn)行網(wǎng)管組網(wǎng)設(shè)計(jì)時(shí)，設(shè)備的業(yè)務(wù)網(wǎng)段與網(wǎng)管的管理網(wǎng)段進(jìn)行隔離，例如：采用VLAN隔離的方式，業(yè)務(wù)用戶無法訪問網(wǎng)管網(wǎng)；網(wǎng)管增加登錄、命令操作等方面的日志功能。第六章網(wǎng)絡(luò)安全規(guī)劃承載網(wǎng)網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全成為目前必須面對(duì)的一個(gè)實(shí)際問題。網(wǎng)絡(luò)上存在著各種類型的攻擊方式，包括竊聽報(bào)文、ip地址欺騙、源路由攻擊、端口掃描、拒絕服務(wù)攻擊應(yīng)用層攻擊等。另外，網(wǎng)絡(luò)本身的可靠性與線路安全也是值得關(guān)注的問題。6.2華為3Com網(wǎng)絡(luò)設(shè)備安全技術(shù)介紹針對(duì)網(wǎng)絡(luò)存在各種安全隱患，安全路由器必須具有如下的安全特性：可靠性與線路安全、身份認(rèn)證、訪問控制、信息隱藏、數(shù)據(jù)加密、攻擊探測和防范、安全管理等方面的內(nèi)容。Quidway系列網(wǎng)絡(luò)設(shè)備提供一個(gè)全面的網(wǎng)絡(luò)安全解決方案，包括線路可靠、用戶驗(yàn)證、授權(quán)、數(shù)據(jù)保護(hù)、智能訪問控制等等。所采用的安全技術(shù)包括：CallBack技術(shù)備份中心AAACA技術(shù)包過濾技術(shù)地址轉(zhuǎn)換VPN技術(shù)加密與密鑰交換技術(shù)智能防火墻安全管理VLAN戈ij分其他安全技術(shù)與措施CallBack技術(shù)CallBack技術(shù)即p］呼技術(shù)，最初由Client端發(fā)起呼叫，耍求Server端向本端回呼；而Server端接受呼叫，并決定是否向Client端發(fā)起回呼。利用CallBack技術(shù)可增強(qiáng)安全性?；睾籼幚碇?，Server端根據(jù)本端配置的呼叫號(hào)碼呼叫Client端，從而可避免因用戶名、口令失密而導(dǎo)致的不安全性。另外，Server端還可根據(jù)本端的配置，對(duì)呼入請(qǐng)求進(jìn)行分類，即拒絕呼叫、接收呼叫（不回呼）或接收回呼，從而可以對(duì)不同的Client端實(shí)施不同的限制，并且Server端在外部呼入時(shí)可以實(shí)現(xiàn)資源訪問的主動(dòng)性。備份中心為了提高網(wǎng)絡(luò)的可靠性,Quidway系列路由器提出了特有的備份中心的概念，實(shí)現(xiàn)完善的備份功能。備份中心具有如下特點(diǎn)：可為路由器上除撥號(hào)口以外的任意接口提供備份接口。路由器上的任一接口可以作為其它接口（或邏輯鏈路）的備份接口。可對(duì)接口上的某條邏輯鏈路提供備份。備份接口可以是一個(gè)接口，也可以是接口上的某條邏輯通道（這里所指的邏輯通道可以是X.25、幀中繼、ATM或ADSL的虛電路，也可以是撥號(hào)口的某一條dialermap）。對(duì)--個(gè)主接口，可為它提供多個(gè)備份接口。當(dāng)主接口出現(xiàn)故障時(shí)，多個(gè)備份接口可以根據(jù)優(yōu)先級(jí)來決定使用順序。對(duì)于具有多個(gè)物理通道的接口（如BRI和PRI接口），可為多個(gè)主接口提供備份。主接口和備份接口可以進(jìn)行負(fù)載分擔(dān)。當(dāng)主接口的流量達(dá)到設(shè)定的門限時(shí)，啟動(dòng)備份接口；當(dāng)主接口和備份接口的流量和小于設(shè)定的另一門限時(shí)，關(guān)閉備份接口。AAAAAA提供了對(duì)用戶的驗(yàn)證、授權(quán)及記帳功能。驗(yàn)證一用戶（包括Login用戶、PPP接入用戶等）在被允許訪問網(wǎng)絡(luò)資源之前需要先經(jīng)過驗(yàn)證，驗(yàn)證時(shí)可以選擇是采用路由器本身維護(hù)的用戶數(shù)據(jù)庫，還是采用RADIUS服務(wù)器所維護(hù)的用戶數(shù)據(jù)庫對(duì)用戶進(jìn)行驗(yàn)證。授權(quán)一通過定義一組屬性來描述用戶的權(quán)限信息，用以決定用戶的實(shí)際訪問權(quán)限。這些信息存儲(chǔ)在RADIUS所維護(hù)的數(shù)據(jù)庫中。對(duì)于接入用戶，還可以由用戶的"filterlD"屬性來確定采用哪類規(guī)則對(duì)用戶的報(bào)文進(jìn)行過濾。記帳一AAA的計(jì)費(fèi)功能允許對(duì)用戶的訪問網(wǎng)絡(luò)資源等情況進(jìn)行跟蹤審計(jì)。當(dāng)AAA的計(jì)費(fèi)功能打開后，網(wǎng)絡(luò)接入服務(wù)器按照一定的計(jì)費(fèi)格式向RADIUS服務(wù)器發(fā)送用戶的活動(dòng)信息，這些信息被儲(chǔ)存在服務(wù)器上，可以用來進(jìn)行網(wǎng)絡(luò)運(yùn)行情況的分析、用戶帳單的生成等。AAA網(wǎng)絡(luò)安全服務(wù)提供了一個(gè)實(shí)現(xiàn)身份認(rèn)證以及訪問控制的主框架。AAA使用RADIUS>TACACS+、Kerberos等協(xié)議來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的訪問控制。Quidway系列安全路由器實(shí)現(xiàn)時(shí)采用了使用最廣泛的RADIUS協(xié)議。CA技術(shù)CA技術(shù)是安全認(rèn)證技術(shù)的一種，它基于公開密鑰體系通過安全證書來實(shí)現(xiàn)。安全證書采用國際標(biāo)準(zhǔn)的X.509證書格式，主要包括證書的版本號(hào)、發(fā)證CA的身份信息、持證用戶的身份信息、持證用戶的公鑰、證書的有效期以及其他一些附加信息。并且證書是由發(fā)證CA數(shù)字簽名的，保證了證書不可偽造并且不能被更改。安全證書由CA中心分發(fā)并維護(hù)。Quidway系列路由器對(duì)CA中心的支持，包含兩方面的內(nèi)容，其一是針對(duì)CA中心的管理功能完成與CA中心的交互；其二即是路由器作為通信實(shí)體的認(rèn)證功能。-一般來說，安全證書的操作采取離線分發(fā)、本地驗(yàn)證的方式。包過濾技術(shù)IP報(bào)文的IP報(bào)頭及所承載的上層協(xié)議（如TCP）報(bào)頭的每個(gè)域包含了可以由路由器進(jìn)行處理的信息。包過濾通常用到IP報(bào)文的以下屬性：IP的源、目的地址及協(xié)議域；TCP或UDP的源、目的端口；ICMP碼、ICMP的類型域；TCP的標(biāo)志域表示請(qǐng)求連接的單獨(dú)的SYN表示連接確認(rèn)的SYN/ACK表示正在使用的一個(gè)會(huì)話連接表示連接終斷的FIN可以由這些域的各式各樣的組合形成不同的規(guī)則。比如，要禁止從主機(jī)到主機(jī)2.222的FTP連接，包過濾可以創(chuàng)建這樣的規(guī)則用于丟棄相應(yīng)的報(bào)文：IP目的地址=222.2IP源地址=1.1,1.1IP的協(xié)議域=6(TCP)目的端口=21(FTP)其他的域一般情況下不用考慮。同樣，在NovellIPX和AppleAppleTalk協(xié)議中，也可相應(yīng)地設(shè)置各自的包過濾規(guī)則。Quidway系列安全路由器提供了基于接口的包過濾，即可以在一個(gè)接口的進(jìn)出兩個(gè)方向上對(duì)報(bào)文進(jìn)行過濾。同時(shí)還提供了基于時(shí)間段的包過濾，可以規(guī)定過濾規(guī)則發(fā)生作用的時(shí)間范圍，比如上例中可設(shè)置每周一的8:00至20:00允許FTP報(bào)文進(jìn)入以完成必要的服務(wù)，而其余時(shí)間則禁止FTP連接。在時(shí)間段的設(shè)置上,可以采用絕對(duì)時(shí)間段和周期時(shí)間段以及連續(xù)時(shí)間段和離散時(shí)間段配合使用，在應(yīng)用上具有極大的靈活性。并且這樣的時(shí)間段可以方便地提供給其他的功能模塊使用，如地址轉(zhuǎn)換、IPSec等。地址轉(zhuǎn)換地址轉(zhuǎn)換，用來實(shí)現(xiàn)私有網(wǎng)絡(luò)地址與公有網(wǎng)絡(luò)地址之間的轉(zhuǎn)換。地址轉(zhuǎn)換的優(yōu)點(diǎn)在于屏蔽了內(nèi)部網(wǎng)絡(luò)的實(shí)際地址；外部網(wǎng)絡(luò)基本上不可能穿過地址代理來直接訪問內(nèi)部網(wǎng)絡(luò)。Quidway系列安全路由器實(shí)現(xiàn)的地址轉(zhuǎn)換能夠?qū)⒕W(wǎng)內(nèi)用戶發(fā)出的報(bào)文的源地址全部映射成一個(gè)接口的地址。與按需撥號(hào)相結(jié)合，使局域網(wǎng)內(nèi)用戶通過一臺(tái)路由器即可輕松上網(wǎng)。Quidway系列安全路由器支持帶訪問控制列表的地址轉(zhuǎn)換。通過配置，用戶可以指定能夠通過地址轉(zhuǎn)換的主機(jī)，以有效地控制內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)的訪問。結(jié)合地址池，還可以支持多對(duì)多的地址轉(zhuǎn)換，更有效地利用用戶的合法IP地址資源。Quidway系列安全路由器可以提供靈活的內(nèi)部服務(wù)器的支持，對(duì)外提供WEB,FTP、SMTP等必要的服務(wù)。而這些服務(wù)器放置在內(nèi)部網(wǎng)絡(luò)中，既保證了安全，又可方便地進(jìn)行服務(wù)器的維護(hù)。VPN技術(shù)虛擬私有網(wǎng)(VirtualPrivateNetwork)簡稱為VPN,是近年來隨著Internet的發(fā)展而迅速發(fā)展起來的一種技術(shù)?，F(xiàn)代企業(yè)越來越多地利用Internet資源來進(jìn)行促銷、銷售、售后服務(wù)、培訓(xùn)和合作等活動(dòng)。許多企業(yè)趨向于利用Internet來替代它們的私有數(shù)據(jù)網(wǎng)絡(luò)。相對(duì)于企業(yè)原有的Intranet,這種利用Internet的虛擬鏈路來傳輸私有信息而形成的邏輯網(wǎng)絡(luò)就稱為虛擬私有網(wǎng)。在二層支持這種tunneling技術(shù)的協(xié)議有PPTP(PointtoPointTunnelingProtocol,點(diǎn)對(duì)點(diǎn)通道協(xié)議)，L2F(Layer2Forwarding,二層轉(zhuǎn)發(fā)協(xié)議)和L2Tp(Layer2TunnelingProtocol,二層隧道協(xié)議)。L2Tp結(jié)合了前兩個(gè)協(xié)議的優(yōu)點(diǎn)，為眾多公司所接受。三層的tunneling技術(shù)有IPSec和GRE。其中IPSec通過加密能夠保證傳輸?shù)乃接行畔⒌臄?shù)據(jù)安全性。將在下一節(jié)具體介紹。Quidway系列路由器支持L2TP,IPSec和GRE。加密與密鑰交換技術(shù)Quidway系列路由器提供對(duì)標(biāo)準(zhǔn)的三層隧道加密協(xié)議IPSec和密鑰交換協(xié)議IKE的支持，支持硬件和軟件加密算法,為用戶提供了在Internet上構(gòu)建安全VPN的解決方案。IPSecIPSec(IPSecurity)是一組開放協(xié)議的總稱，特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗(yàn)證，以保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時(shí)的私有性、完整性和真實(shí)性。IPSec通過AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)這兩個(gè)安全協(xié)議來實(shí)現(xiàn)。而且此實(shí)現(xiàn)不會(huì)對(duì)用戶、主機(jī)或其它Internet組件造成影響，用戶還可以選擇不同的硬件會(huì)軟件加密算法，而不會(huì)影響其它部分的實(shí)現(xiàn)。IPSec提供以下兒種網(wǎng)絡(luò)安全服務(wù)：私有性一IPSec在傳輸數(shù)據(jù)包之前將其加密.以保證數(shù)據(jù)的私有性；完整性一IPSec在目的地要驗(yàn)證數(shù)據(jù)包，以保證該數(shù)據(jù)包在傳輸過程中沒有被修改；真實(shí)性一IPSec端要驗(yàn)證所有受IPSec保護(hù)的數(shù)據(jù)包；防重放一IPSec防止了數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，即目的地會(huì)拒絕老的或重復(fù)的數(shù)據(jù)包，它通過報(bào)文的序列號(hào)實(shí)現(xiàn)。IPSec在兩個(gè)端點(diǎn)之間通過建立安全聯(lián)盟(SecurityAssociation)進(jìn)行數(shù)據(jù)傳輸。安全聯(lián)盟定義了數(shù)據(jù)保護(hù)中使用的協(xié)議和算法以及安全聯(lián)盟的有效時(shí)間等屬性。IPSec在轉(zhuǎn)發(fā)加密數(shù)據(jù)時(shí)產(chǎn)生新的AH和/或ESP附加報(bào)頭，用于保證IP數(shù)據(jù)包的安全性。IPSec有隧道和傳輸兩種工作方式。在隧道方式中，用戶的整個(gè)IP數(shù)據(jù)包被用來計(jì)算附加報(bào)頭，且被加密，附加報(bào)頭和加密用戶數(shù)據(jù)被封裝在一個(gè)新的IP數(shù)據(jù)包中；在傳輸方式中，只是傳輸層(如TCP、UDP、ICMP)數(shù)據(jù)被用來計(jì)算附加報(bào)頭，附加報(bào)頭和被加密的傳輸層數(shù)據(jù)被放置在原IP報(bào)頭后面。AH和ESP可以單獨(dú)使用，也可以同時(shí)使用。使用IPSec,數(shù)據(jù)就可以在公網(wǎng)上傳輸，而不必?fù)?dān)心數(shù)據(jù)被監(jiān)視、修改或偽造。IPSec提供了兩個(gè)主機(jī)之間、兩個(gè)安全網(wǎng)關(guān)之間或主機(jī)和安全網(wǎng)關(guān)之間的數(shù)據(jù)保護(hù)。IPSec的安全聯(lián)盟可以通過手工配置的方式建立，但是當(dāng)網(wǎng)絡(luò)中結(jié)點(diǎn)增多時(shí),手工配置將非常困難，而且難以保證安全性。這時(shí)就要使用IKE自動(dòng)地進(jìn)行安全聯(lián)盟建立與密鑰交換的過程。IKEInternet密鑰交換協(xié)議(IKE)用于通信雙方協(xié)商和建立安全聯(lián)盟，交換密鑰。IKE定義了通信雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成共享的會(huì)話密鑰的方法。IKE的精髓在于它永遠(yuǎn)不在不安全的網(wǎng)絡(luò)上直接傳送密鑰，而是通過一系列數(shù)據(jù)的交換，通信雙方最終計(jì)算出共享的密鑰，并且即使第三方截獲了雙方用于計(jì)算密鑰的所有交換數(shù)據(jù)，也不足以計(jì)算出真正的密鑰。其中的核心技術(shù)就是DH（DiffieHeilman）交換技術(shù)。智能防火墻（IntelligentFirewall）Quidway系列安全路由器提供基于報(bào)文內(nèi)容的訪問控制，即智能防火墻，能夠?qū)?yīng)用層的一部分攻擊加以檢測和防范，包括對(duì)于SMTP命令的檢測、SYNflooding、PacketInjection的檢測。智能防火墻不但對(duì)報(bào)文的網(wǎng)絡(luò)層的信息進(jìn)行檢測，還對(duì)應(yīng)用層的協(xié)議信息（如FTP）進(jìn)行檢測。智能防火墻根據(jù)連接的狀態(tài)動(dòng)態(tài)的創(chuàng)建和刪除暫時(shí)的連接,這靠動(dòng)態(tài)的修改訪問列表規(guī)則來實(shí)現(xiàn)。智能防火墻在自己的數(shù)據(jù)結(jié)構(gòu)中維護(hù)著連接的狀態(tài)信息，并利用這些信息來創(chuàng)建暫時(shí)的入口（規(guī)則）。智能防火墻保存著不能由訪問列表規(guī)則保存的重要的狀態(tài)信息。防火墻檢驗(yàn)數(shù)據(jù)流中的每一個(gè)報(bào)文，確保報(bào)文的狀態(tài)與報(bào)文本身符合用戶所定義的安全規(guī)則。連接狀態(tài)信息用于智能的允許/禁止報(bào)文。當(dāng)一個(gè)會(huì)話終止時(shí)，暫時(shí)的訪問規(guī)則也將被刪除，防火墻中的會(huì)話也將被關(guān)閉。智能防火墻使得Quidway系列安全路由器能夠支持一個(gè)控制連接上存在多個(gè)數(shù)據(jù)連接的協(xié)議。許多應(yīng)用協(xié)議，如Telnet、SMTP使用標(biāo)準(zhǔn)的或已約定的端口地址來進(jìn)行通信，但大部分多媒體應(yīng)用協(xié)議（如H.323）及FTP、RPC等協(xié)議使用約定的端口來初始化一個(gè)控制連接，再動(dòng)態(tài)的選擇端口用于數(shù)據(jù)傳輸。而端口的選擇是不可預(yù)測的，其中的某些應(yīng)用甚至可能要同時(shí)用到多個(gè)端口。標(biāo)準(zhǔn)防火墻只有阻止類似的應(yīng)用傳輸，以免內(nèi)部網(wǎng)絡(luò)遭受攻擊。有時(shí)僅阻止了一些使用固定端口的應(yīng)用，而留下了許多安全隱患。智能防火墻監(jiān)聽每一個(gè)應(yīng)用的每一個(gè)連接所使用的端口，打開合適的通道讓會(huì)話中的數(shù)據(jù)能夠出入防火墻，在會(huì)話結(jié)束時(shí)關(guān)閉該通道，從而能夠?qū)κ褂脛?dòng)態(tài)端口的應(yīng)用實(shí)施有效的訪問控制。當(dāng)報(bào)文通過路由器時(shí)，智能防火墻將對(duì)報(bào)文與指定的訪問規(guī)則進(jìn)行比較，如果規(guī)則允許，報(bào)文將接受檢查，否則報(bào)文直接被丟棄。如果該報(bào)文是用于打開一個(gè)新的控制或數(shù)據(jù)連接，智能防火墻將動(dòng)態(tài)的修改或創(chuàng)建規(guī)則，同時(shí)更新狀態(tài)表以允許與新創(chuàng)建的連接相關(guān)的報(bào)文。對(duì)于回來的報(bào)文只有是屬于一個(gè)已經(jīng)存在的有效的連接，才會(huì)被允許通過防火墻。在處理回來的報(bào)文時(shí)，狀態(tài)表也需要更新。當(dāng)一個(gè)連接被關(guān)閉或超時(shí)后，該連接對(duì)應(yīng)的狀態(tài)表將被刪除。動(dòng)態(tài)生成的規(guī)則不會(huì)被存儲(chǔ)到FLASH或NVRAM中，確保未經(jīng)授權(quán)的報(bào)文不能隨便透過防火墻。UDP是無連接的報(bào)文，所以也沒有真正的UDP"連接"。因?yàn)橹悄芊阑饓κ腔谶B接的，它將對(duì)UDP報(bào)文的源、目的IP地址、端口進(jìn)行檢查，通過判斷該報(bào)文是否與所設(shè)定的時(shí)間段內(nèi)的其他UDP報(bào)文相類似，而近似判斷是否存在一個(gè)連接。智能防火墻還可以提供對(duì)拒絕服務(wù)攻擊的檢測和防范。拒絕服務(wù)攻擊和其他類型的攻擊不大一樣，攻擊者并不是去尋找進(jìn)入內(nèi)部網(wǎng)絡(luò)的入口，而是去阻止合法的用戶訪問資源或路由器。智能防火墻增強(qiáng)了對(duì)拒絕服務(wù)的檢測和防范以抵御SYNflooding和packetinjection□SYNflooding-用許多的SYN位置位的報(bào)文將網(wǎng)絡(luò)的資源耗盡。這個(gè)攻擊方法采用創(chuàng)建許多的SYN報(bào)文，在很短的時(shí)間內(nèi)將特定目標(biāo)的內(nèi)存或其他資源消耗殆盡；或者通過發(fā)送一系列的報(bào)文來判定防火墻通過哪些端口提供服務(wù)。這種攻擊使得特定的網(wǎng)絡(luò)上的HTTP或FTP服務(wù)器保持大量的會(huì)話連接，從而讓合法的用戶不能訪問該資源；這種攻擊也可以是發(fā)送大量的不期望的、無用的報(bào)文使得整個(gè)網(wǎng)絡(luò)的性能下降；或者是提供網(wǎng)絡(luò)的錯(cuò)誤的狀態(tài)信息。Packetinjection-攻擊者有可能通過發(fā)送一些特定報(bào)文以打斷正在使用中的連接。通過發(fā)送相應(yīng)的ICMP報(bào)文可以經(jīng)常奏效；或者是偽造一些符合正在使用的會(huì)話連接上流控序號(hào)的報(bào)文。智能防火墻通過兩種途徑來進(jìn)行攻擊的檢測：對(duì)創(chuàng)建新連接的請(qǐng)求的數(shù)目、速率和已打開的半連接的數(shù)目進(jìn)行比較來檢測SYNfloodingo如果路由器檢測到一個(gè)不正常對(duì)新連接的請(qǐng)求的速率，將發(fā)送一個(gè)告警信息，并采取一些行動(dòng)。對(duì)所有的TCP連接進(jìn)行報(bào)文的序列號(hào)檢查以檢測packetinjectingo如果序列號(hào)不在預(yù)期的可接受的范圍之內(nèi)，則扔掉相應(yīng)的報(bào)文。通過以下兩種方法防止拒絕服務(wù)攻擊:丟棄過時(shí)的TCP半連接以防止系統(tǒng)資源的損耗。通知相應(yīng)主機(jī)清除過時(shí)的連接以防止系統(tǒng)過載。管理員可以對(duì)最大可接收的半連接的數(shù)目和半連接的超時(shí)時(shí)間進(jìn)行設(shè)置。這對(duì)低速連接有效（512kbps或以下）。暫時(shí)禁止所有的SYN報(bào)文進(jìn)入受攻擊的主機(jī)。這個(gè)暫時(shí)的限制并不對(duì)已經(jīng)存在的連接產(chǎn)生影響。管理員可以對(duì)恢復(fù)接收SYN報(bào)文的時(shí)間間隔進(jìn)行設(shè)置。這對(duì)高速連接有效（521kbps以上）。智能防火墻還提供了增強(qiáng)的跟蹤審計(jì)功能?？梢詫?duì)所有的連接進(jìn)行記錄，包括：記錄連接的時(shí)間、源地址、目的地址、使用的端口和傳輸?shù)淖止?jié)數(shù)。安全管理（1）信息中心Quidway安全路由器提供以下幾種系統(tǒng)信息的記錄功能：access-list的log功能:在配置access-list時(shí)加入log關(guān)鍵字，可以在路由器處理相應(yīng)的報(bào)文時(shí)，記錄報(bào)文的關(guān)鍵信息；關(guān)鍵事件的日志記錄：對(duì)于如接口的UP、DOWN以及用戶登錄成功、失敗等信息可以作記錄；Debug信息：用來對(duì)網(wǎng)絡(luò)運(yùn)行出現(xiàn)的問題進(jìn)行分析。各信息按重要性程度由高到低分為0?7級(jí)。（2）安全策略分析與管理因?yàn)樵絹碓礁叩木W(wǎng)絡(luò)安全性要求，使得安全產(chǎn)品也日益復(fù)雜。路由器也不例外，由最初的包過濾、地址轉(zhuǎn)換發(fā)展到今天的智能防火墻、IPSec等功能。然而為了有效地設(shè)定各種功能下的安全策略，用戶面對(duì)的是越來越復(fù)雜的配置。雖然可以通過圖形化配置方式彌補(bǔ)命令行方式的一些缺點(diǎn)，但這是遠(yuǎn)遠(yuǎn)不夠的。這就需要更高級(jí)的安全策略分析與管理，以簡化用戶的使用，保證網(wǎng)絡(luò)的安全性。成熟的安全策略分析與管理將基于策略數(shù)據(jù)庫實(shí)現(xiàn)，并且在需要的地方可設(shè)置安全策略服務(wù)器，包含以下功能：策略生成-用戶僅需形象化地設(shè)定一些安全需求，而由策略管理中心自動(dòng)完成策略的配置，并把策略下載到相應(yīng)的設(shè)備上。策略模板-引導(dǎo)用戶--步一步地配置所需的安全策略。策略跟蹤-在用戶更新配置時(shí)，能根據(jù)以前的配置信息給出相關(guān)的建議或提示信息。策略沖突分析-分析用戶配置的各種策略是否存在矛盾或沖突，而使策略變得實(shí)際上不可行。安全策略分析與管理是Quidway系列路由器在安全方面的一個(gè)新的發(fā)展方向。其他安全措施路由器依據(jù)路由信息表來發(fā)送報(bào)文。動(dòng)態(tài)路由協(xié)議負(fù)責(zé)接收其他路由器傳送來的路由信息，并發(fā)送自己維護(hù)的路由信息。在接受任何路由變化的信息之前，需要對(duì)此路由信息的發(fā)送方進(jìn)行驗(yàn)證，以保證收到的是由信任的源發(fā)送的合法的路由信息。需要對(duì)鄰接路由器進(jìn)行驗(yàn)證的路由協(xié)議有BorderGatewayProtocol(BGP)OpenShortestPathFirst(OSPF)RoutingInformationProtocol(RIP)version2如果運(yùn)行了這些路由協(xié)議中的一個(gè)或多個(gè)協(xié)議，并且有可能接收到虛假的路由信息的話，則有必要配置對(duì)鄰接路由器的驗(yàn)證。6.3對(duì)中原大學(xué)網(wǎng)絡(luò)建設(shè)安全的具體建議本次中原大學(xué)網(wǎng)絡(luò)的建設(shè)，為校園網(wǎng)的內(nèi)部辦公和對(duì)外服務(wù)提供了極大的便利。但由于構(gòu)成Internet的TCP/IP協(xié)議本身缺乏安全性，電子政務(wù)的網(wǎng)絡(luò)安全成為必須面對(duì)的一個(gè)實(shí)際問題。在網(wǎng)絡(luò)上存在著各種類型的攻擊方式，包括網(wǎng)絡(luò)層攻擊、應(yīng)用級(jí)攻擊和系統(tǒng)級(jí)攻擊。網(wǎng)絡(luò)構(gòu)建及組成中，網(wǎng)絡(luò)設(shè)備僅完成網(wǎng)絡(luò)級(jí)安全的防范。針對(duì)以上提到的各種安全隱患，安全網(wǎng)絡(luò)設(shè)備必須具有如下的安全特性：可靠性與線路安全、身份認(rèn)證、訪問控制、信息隱藏、數(shù)據(jù)加密、攻擊探測和防范、安全管理等方面的內(nèi)容。針對(duì)本次網(wǎng)絡(luò)建設(shè)存在以上各種安全隱患，建議采取如下的網(wǎng)絡(luò)級(jí)、應(yīng)用級(jí)和系統(tǒng)級(jí)安全措施來保證網(wǎng)絡(luò)的安全。身份認(rèn)證只有網(wǎng)絡(luò)管理員才有權(quán)訪問網(wǎng)絡(luò)設(shè)備，所以對(duì)訪問設(shè)備的用戶需要進(jìn)行身份認(rèn)證。用戶訪問路由器存在多種方式：直接從console口登錄進(jìn)行配置；telnet登錄配置；通過SNMP進(jìn)行配置；通過modem遠(yuǎn)程配置等等。對(duì)于這些訪問方式，都需要輸入密碼和口令，經(jīng)過RADIUS服務(wù)器或相應(yīng)的身份認(rèn)證獲得訪問設(shè)備的權(quán)限。訪問控制為了保護(hù)本次公安網(wǎng)設(shè)備的配置，對(duì)設(shè)備的訪問權(quán)限需要進(jìn)行口令的分級(jí)保護(hù)。只有持有網(wǎng)絡(luò)管理員相應(yīng)口令的特權(quán)用戶才能對(duì)路由器進(jìn)行配置；一般用戶只有查看普通信息的權(quán)力。633數(shù)據(jù)加密在本次校園網(wǎng)絡(luò)建設(shè)中，如需要對(duì)所傳送的重要數(shù)據(jù)進(jìn)行加密，可以通過華為公司的Quidway系列路由器進(jìn)行手工配置或自動(dòng)協(xié)商密鑰兩種方式建立IPSEC,在傳輸或隧道模式下能夠單獨(dú)或組合應(yīng)用AH（AuthenticationHeader,認(rèn)證報(bào)頭）和ESP（ExtendedServicesProcessor,擴(kuò)展業(yè)務(wù)處理器）安全協(xié)議，可以實(shí)現(xiàn)對(duì)整個(gè)IP報(bào)文或數(shù)據(jù)載荷內(nèi)容進(jìn)行不同粒度級(jí)別的加密和認(rèn)證，從而提供驗(yàn)證數(shù)據(jù)源、校驗(yàn)數(shù)據(jù)完整性和防止報(bào)文重放等（ESP還提供加密）功能，結(jié)合ACL訪問控制列表共同確保數(shù)據(jù)信息在公安網(wǎng)絡(luò)上傳送的安全保密性。應(yīng)用級(jí)安全在本次推薦的方案中，可以提供ASPF（ApplicationSpecificPacketFilter,基于應(yīng)用層規(guī)范的包過濾）特性和TippingPoint入侵防御系統(tǒng)。ASPF是一種高級(jí)通信過濾。它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。對(duì)于所有連接，每一個(gè)連接狀態(tài)信息都將被ASPF維護(hù)并用于動(dòng)態(tài)地決定數(shù)據(jù)報(bào)文是否被允許通過防火墻或丟棄。通過ASPF的檢測，可以保證所有建立的連接都是合法連接，防止地址欺騙、身份偽造等惡意攻擊行為。TippingPoint隸屬于3Com公司，自2002年發(fā)布第-一個(gè)入侵防御系統(tǒng)以來已迅速成為提供基于網(wǎng)絡(luò)的入侵防御系統(tǒng)的領(lǐng)先廠商。Tipping