平原大學新校區(qū)網(wǎng)絡(luò)規(guī)劃方案

中原大學新校區(qū)

網(wǎng)絡(luò)技術(shù)方案建議書華為3com華為3com技術(shù)有限公司

二零零六年三月TOC\o"1-5"\h\z\o"CurrentDocument"第一章用戶需求分析 1\o"CurrentDocument"項目概述 1\o"CurrentDocument"總體目標 2\o"CurrentDocument"中原大學新校區(qū)網(wǎng)絡(luò)模型 3\o"CurrentDocument"應(yīng)用業(yè)務(wù)要求 3\o"CurrentDocument"第二章組網(wǎng)方案規(guī)劃 4\o"CurrentDocument"整體設(shè)計規(guī)劃思路 4\o"CurrentDocument"總體結(jié)構(gòu)規(guī)劃 5\o"CurrentDocument"網(wǎng)絡(luò)規(guī)劃 5\o"CurrentDocument"可靠性設(shè)計 7\o"CurrentDocument"第三章IP地址規(guī)劃 8\o"CurrentDocument"IP地址規(guī)劃的原則 8\o"CurrentDocument"IP地址規(guī)劃方案 9\o"CurrentDocument"IP地址管理 9\o"CurrentDocument"第四章路由規(guī)劃 11\o"CurrentDocument"路由協(xié)議的選擇 11\o"CurrentDocument"IGP協(xié)議規(guī)劃 12\o"CurrentDocument"第五章網(wǎng)絡(luò)管理規(guī)劃 13\o"CurrentDocument"網(wǎng)管系統(tǒng)需求 13\o"CurrentDocument"統(tǒng)一網(wǎng)管設(shè)計 13\o"CurrentDocument"Quidview網(wǎng)絡(luò)管理軟系統(tǒng) 17\o"CurrentDocument"網(wǎng)管系統(tǒng)實施步驟 23\o"CurrentDocument"網(wǎng)管安全措施 23\o"CurrentDocument"第六章網(wǎng)絡(luò)安全規(guī)劃 24\o"CurrentDocument"承載網(wǎng)網(wǎng)絡(luò)安全概述 24\o"CurrentDocument"華為3Com網(wǎng)絡(luò)設(shè)備安全技術(shù)介紹 24\o"CurrentDocument"CallBack技術(shù) 25\o"CurrentDocument"AAA 25\o"CurrentDocument"CA技術(shù) 26\o"CurrentDocument"包過濾技術(shù) 26\o"CurrentDocument"地址轉(zhuǎn)換 27\o"CurrentDocument"VPN技術(shù) 28\o"CurrentDocument"加密與密鑰交換技術(shù) 28\o"CurrentDocument"智能防火墻(IntelligentFirewall) 30\o"CurrentDocument"安全管理 32\o"CurrentDocument"其他安全措施 33\o"CurrentDocument"對中原大學網(wǎng)絡(luò)建設(shè)安全的具體建議 33\o"CurrentDocument"身份認證 34\o"CurrentDocument"訪問控制 34\o"CurrentDocument"數(shù)據(jù)加密 34\o"CurrentDocument"應(yīng)用級安全 34\o"CurrentDocument"系統(tǒng)級安全策略一綜合訪問認證系統(tǒng) 40\o"CurrentDocument"第七章用戶認證和管理規(guī)劃 41\o"CurrentDocument"用戶管理需求分析 41\o"CurrentDocument"用戶管理解決方案概述 41\o"CurrentDocument"行為審計和監(jiān)控規(guī)劃 49XLOG概述 49XLOG在中原大學的應(yīng)用 51\o"CurrentDocument"端點準入EAD解決方案 52\o"CurrentDocument"第八章QOS規(guī)劃 56\o"CurrentDocument"QOS實施規(guī)劃 56\o"CurrentDocument"中原大學QOS解決 61上行業(yè)務(wù)QOS保證 61下行業(yè)務(wù)QoS保證 62流分類實施： 62\o"CurrentDocument"第九章網(wǎng)絡(luò)流量分析 64\o"CurrentDocument"NetStream主要應(yīng)用 64\o"CurrentDocument"NetStream的架構(gòu) 65\o"CurrentDocument"部署方案 66\o"CurrentDocument"第十章IPV6規(guī)劃 67第一章用戶需求分析21世紀是信息時代，全球信息化的浪潮對社會、經(jīng)濟、生活產(chǎn)生了重大影響。面對新形勢，迫切需要具備支持高效、多業(yè)務(wù)、性能可靠的網(wǎng)絡(luò)互連，為在中原大學新校區(qū)提供迅捷、高效的辦公、教學業(yè)務(wù)平臺。項目概述為了規(guī)劃和實施數(shù)字校園建設(shè)，從數(shù)字校園層次化、整體化的的觀念出發(fā)，結(jié)合校園網(wǎng)絡(luò)的實際情況，利用先進的網(wǎng)絡(luò)信息技術(shù)在傳統(tǒng)校園的基礎(chǔ)上構(gòu)建一個數(shù)字空間，以拓展現(xiàn)實校園的時間和空間維度，從而提高傳統(tǒng)校園的教學效率,擴展傳統(tǒng)校園的綜合功能，以最終實現(xiàn)教育過程的全面信息化。將現(xiàn)代教育思想和現(xiàn)代信息技術(shù)結(jié)合了起來，為中原大學新校區(qū)的數(shù)字化建設(shè)提出了切實可行的建設(shè)方案?！皵?shù)字校園”是用層次化、整體的觀點來實施校園信息化建設(shè)，將校園網(wǎng)上的信息進行系統(tǒng)的組織和分類，讓用戶在網(wǎng)上快速發(fā)現(xiàn)自己需求的信息。為師生提供網(wǎng)上信息交流環(huán)境，讓管理人員科學地、規(guī)范地管理自己的數(shù)據(jù)信息，并將這些信息方便地發(fā)布出去。它是在傳統(tǒng)校園的基礎(chǔ)上，以網(wǎng)絡(luò)為基礎(chǔ)，利用先進的信息化手段和工具，實現(xiàn)從環(huán)境、資源到活動的全部數(shù)字化。在傳統(tǒng)校園的基礎(chǔ)上構(gòu)建一個既對應(yīng)又有本質(zhì)不同的數(shù)字空間，拓展現(xiàn)實校園的時間和空間維度，從而提升傳統(tǒng)校園的教學管理效率，最終實現(xiàn)電子校務(wù)、教育資源、虛擬社區(qū)、網(wǎng)絡(luò)服務(wù)與網(wǎng)絡(luò)安全為一體的數(shù)字化教育環(huán)境。目前，比較一致的認識是：數(shù)字校園由網(wǎng)絡(luò)基礎(chǔ)設(shè)施層、網(wǎng)絡(luò)基本服務(wù)層、應(yīng)用支撐系統(tǒng)層、信息服務(wù)系統(tǒng)層、綜合信息門戶層5大系統(tǒng)構(gòu)成。校園網(wǎng)應(yīng)用支撐系統(tǒng)和信息服務(wù)系統(tǒng)是數(shù)字校園的上述構(gòu)成中的核心內(nèi)容。?網(wǎng)絡(luò)基礎(chǔ)設(shè)施（數(shù)字傳輸載體、交換設(shè)備、服務(wù)器群、存儲（NAS）設(shè)備，入侵檢測（IDS）、防病毒（AntiVirus）,SAN備份系統(tǒng)、計算機終端等）?綜合信息門戶（統(tǒng)一身份認證、統(tǒng)一訪問接口、個性化用戶界面）?信息服務(wù)系統(tǒng)（信息發(fā)布、信息查詢與交換、網(wǎng)站（主頁集中）管理、搜索引擎）應(yīng)用支撐系統(tǒng)（辦公系統(tǒng)、數(shù)字圖書館、教務(wù)管理信息系統(tǒng)、網(wǎng)絡(luò)教學系統(tǒng)、一卡通系統(tǒng)、后勤服務(wù)系統(tǒng)）網(wǎng)絡(luò)基礎(chǔ)服務(wù)（電子郵件、BBS服務(wù)、文件傳輸、視頻會議、目錄服務(wù)、公共數(shù)據(jù)庫、虛擬主機、代理服務(wù)、VOD、網(wǎng)絡(luò)電視）校園網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施整體建網(wǎng)基本原則：安全性：安全是一個網(wǎng)絡(luò)的最基本要求?？晒芾恚嚎晒芾硇泽w現(xiàn)在硬件設(shè)備和軟件的可管理兩個方面。網(wǎng)絡(luò)管理系統(tǒng)軟件實現(xiàn)集中式的智能化管理?？缮墸涸诮ㄔO(shè)網(wǎng)絡(luò)時必須考慮到網(wǎng)絡(luò)未來的升級需求，以保護寶貴的教育投資，保證升級能夠方便和平滑地進行。穩(wěn)定可靠：網(wǎng)絡(luò)的穩(wěn)定體現(xiàn)在設(shè)備的穩(wěn)定和網(wǎng)絡(luò)的冗余設(shè)計兩個方面。?高服務(wù)質(zhì)量（QOS）要求：網(wǎng)上實現(xiàn)E-maik網(wǎng)絡(luò)論壇、網(wǎng)絡(luò)圖書館、網(wǎng)上聊天、處理與查詢等功能，以及視頻點播（VOD）、實時遠程教學、網(wǎng)絡(luò)學校等眾多的應(yīng)用。?可運營：與企業(yè)網(wǎng)不同，校園網(wǎng)普遍存在運營管理的要求。1.2總體目標根據(jù)學校新區(qū)數(shù)字校園建設(shè)的指導思想，在1—2年內(nèi)將建設(shè)一個先進的數(shù)字校園，通過把教師、學生、管理人員等角色和學校的組織與校園計算機網(wǎng)絡(luò)系統(tǒng)有機的聯(lián)系在一起，以統(tǒng)一身份認證、綜合信息門戶的方式提供集成化、智能化、共享型、開放型的數(shù)字教育教學環(huán)境。具體建設(shè)目標根據(jù)學校新校區(qū)基建工程建設(shè)、網(wǎng)絡(luò)設(shè)備換代等實際情況，增加網(wǎng)絡(luò)基礎(chǔ)設(shè)施、擴充并更新相關(guān)設(shè)備，實現(xiàn)萬兆核心交換機與樓宇千兆交換機千兆光纖連接，并可平滑升級到萬兆互連。配套完成新建辦公樓、教師宿舍區(qū)、教學區(qū)網(wǎng)絡(luò)工程。新區(qū)學生宿舍網(wǎng)絡(luò)工程。建設(shè)無線網(wǎng)絡(luò)接入系統(tǒng)，實現(xiàn)校區(qū)內(nèi)主要場所的移動上網(wǎng)。建設(shè)學校數(shù)據(jù)中心，支持海量數(shù)據(jù)的存儲與查詢。1.4中原大學新校區(qū)網(wǎng)絡(luò)模型為了實現(xiàn)網(wǎng)絡(luò)的組織和規(guī)劃，我公司建議中原大學新校區(qū)網(wǎng)絡(luò)建設(shè)采用層次化建設(shè)方案，層次結(jié)構(gòu)如下：核心層一一由網(wǎng)絡(luò)中心的核心節(jié)點構(gòu)成匯聚層一一由各主要建筑樓群匯聚節(jié)點構(gòu)成接入層一一由各個樓層接入層交換機構(gòu)成中原大學新校區(qū)網(wǎng)絡(luò)是由核心層節(jié)點、匯聚節(jié)點及接入節(jié)點構(gòu)成的物理平面網(wǎng)絡(luò)。1.4應(yīng)用業(yè)務(wù)要求建成后的中原大學新校區(qū)網(wǎng)絡(luò)將滿足以下主要業(yè)務(wù)需求：新校區(qū)以萬兆核心交換機、千兆骨干網(wǎng)規(guī)劃網(wǎng)絡(luò)基礎(chǔ)設(shè)施系統(tǒng)，統(tǒng)一規(guī)劃與管理，建立起先進的數(shù)字校園硬件支撐環(huán)境。建立數(shù)字校園公共數(shù)據(jù)庫和綜合信息門戶平臺，實現(xiàn)統(tǒng)一身份認證訪問接口、數(shù)據(jù)共享以及學校歷史數(shù)據(jù)的存儲、整理，實現(xiàn)信息網(wǎng)站的集中存放、維護。實現(xiàn)網(wǎng)上網(wǎng)絡(luò)辦公，建立基于網(wǎng)絡(luò)的信息發(fā)布、辦公郵件系統(tǒng)、公文流轉(zhuǎn)和決策支持系統(tǒng)。建立集成的管理信息系統(tǒng)，提供全面、準確、權(quán)威的數(shù)據(jù)。實現(xiàn)高質(zhì)量教學資源、信息資源和智力資源的共享與傳播。實現(xiàn)數(shù)字圖書館，提供網(wǎng)上專業(yè)資源的鏈接和專業(yè)數(shù)據(jù)庫的開放使用。建立校園網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)安全體系。建立校園一卡通系統(tǒng)。建立智能化校園管理系統(tǒng)：水電智能控制、門禁系統(tǒng)、安防消防系統(tǒng)等。第二章組網(wǎng)方案規(guī)劃整體設(shè)計規(guī)劃思路本方案采用華為3com路由器和交換機構(gòu)建統(tǒng)一的IP網(wǎng)絡(luò)平臺，網(wǎng)絡(luò)骨干帶寬1000M,并在保護用戶投資的前提下，可平滑升級到萬兆。同時由于全網(wǎng)采用統(tǒng)一TP網(wǎng)絡(luò)平臺，方便實現(xiàn)統(tǒng)一網(wǎng)管，提高管理效率，Quidview網(wǎng)絡(luò)管理軟件是華為3Com公司對全線數(shù)據(jù)通信設(shè)備進行統(tǒng)一管理和維護的網(wǎng)管產(chǎn)品，位于網(wǎng)絡(luò)解決方案的管理層，能夠?qū)崿F(xiàn)網(wǎng)元管理、網(wǎng)絡(luò)管理的功能。Quidview與華為3Com公司的數(shù)據(jù)通信設(shè)備產(chǎn)品一起為用戶提供全網(wǎng)解決方案。Bmn為了達到可運營的網(wǎng)絡(luò)要求，采用華為3Com公司推出的綜合接入管理服務(wù)器CAMS(ComprehensiveAccessManagementServer),可以配合華為3Com網(wǎng)絡(luò)設(shè)備組網(wǎng)，完成對用戶上網(wǎng)過程的認證、授權(quán)和計費。CAMS作為網(wǎng)絡(luò)中的用戶管理核心，在基本的AAA(Authorization、AuthenticationandAccounting)功能之上，提供了強大的管理、維護和安全控制平臺，可與企業(yè)現(xiàn)有系統(tǒng)平滑對接，實現(xiàn)網(wǎng)絡(luò)的可管理、可運營和高安全。伴隨著信息技術(shù)的飛速發(fā)展和企業(yè)信息化程度的不斷提高，多業(yè)務(wù)融合的寬帶網(wǎng)絡(luò)已經(jīng)成為企業(yè)正常運營的重要保障。為了確保一個穩(wěn)定、安全、高效的網(wǎng)絡(luò)運營環(huán)境，管理員不得不常常面臨以下問題——如何監(jiān)控用戶的網(wǎng)絡(luò)應(yīng)用行為？如何跟蹤網(wǎng)絡(luò)應(yīng)用資源的使用情況？如何識別網(wǎng)絡(luò)中的異常流量和性能瓶頸？如何有效的規(guī)劃和部署網(wǎng)絡(luò)資源？這些問題的解決依賴于管理員對網(wǎng)絡(luò)運行詳細狀況的及時獲取，為此，華為3com公司推出了XLog網(wǎng)絡(luò)日志審計系統(tǒng)(NetworkLogAuditSystem,XLog),可以與路由器、交換機、BAS等網(wǎng)絡(luò)設(shè)備共同組網(wǎng)，根據(jù)用戶要求采集不同類型的網(wǎng)絡(luò)流量信息，并通過聚合、分析與統(tǒng)計，為網(wǎng)絡(luò)管理員提供用戶行為審計、流量異常監(jiān)控和網(wǎng)絡(luò)部署優(yōu)化的數(shù)據(jù)基礎(chǔ)和決策依據(jù)。XLog是一種低成本、可擴展的網(wǎng)絡(luò)日志信息審計與分析系統(tǒng)，能夠與路由器、以太網(wǎng)交換機、BAS設(shè)備等共同組網(wǎng)，完成對NAT、FLOW、DIG等多種網(wǎng)絡(luò)日志的采集、統(tǒng)計與分析，可以追溯網(wǎng)絡(luò)使用行為，監(jiān)視異常活動，為合理的網(wǎng)絡(luò)規(guī)劃提供重要參考。為保證視頻、話音、數(shù)據(jù)基于IP技術(shù)三網(wǎng)融合，采用統(tǒng)一的IP傳輸平臺，所以要求IP網(wǎng)絡(luò)平臺具備提供保障視頻、話音等實時業(yè)務(wù)的QOS保障能力；總體結(jié)構(gòu)規(guī)劃建議中原大學新校區(qū)網(wǎng)絡(luò)總體結(jié)構(gòu)如下：1、以區(qū)域為中心布局。新校區(qū)網(wǎng)絡(luò)主干網(wǎng)構(gòu)成分為中心節(jié)點（網(wǎng)絡(luò)中心）、匯聚層節(jié)點和接入層節(jié)點，全校設(shè)1個中心節(jié)點，若干個匯聚節(jié)點，若干個樓層接入節(jié)點。中心節(jié)點為整個網(wǎng)絡(luò)的核心，為整個網(wǎng)絡(luò)提供可靠的高帶寬核心交換路由，匯聚層節(jié)點完成各區(qū)域業(yè)務(wù)的匯集,接入節(jié)點負責各樓層網(wǎng)絡(luò)業(yè)務(wù)的接入。2、三級網(wǎng)絡(luò)結(jié)構(gòu)。采用統(tǒng)?中心，星型結(jié)構(gòu)，中心采用核心路由交換機構(gòu)建，以提供高可靠性的網(wǎng)絡(luò)核心。各匯聚層節(jié)點到中心節(jié)點采用千兆光纖互連，對于網(wǎng)絡(luò)接入業(yè)務(wù)特別多的區(qū)域（如學生宿舍區(qū)），采用鏈路匯聚的方式，捆綁多條光纖鏈路以提供足夠的帶寬互連中心節(jié)點。各樓層接入層交換機到各匯聚層節(jié)點的聯(lián)接方式采用百兆銅纜或光纖互連。3、擴展性考慮。在充分滿足應(yīng)用的情況下，中原大學新校區(qū)的網(wǎng)絡(luò)建設(shè)需同時考慮經(jīng)濟實用性及先進性，因為隨著各項應(yīng)用的不斷成熟，網(wǎng)絡(luò)的規(guī)模及流量將不斷擴大，因此要充分考慮網(wǎng)絡(luò)的可擴展性及平滑擴容。網(wǎng)絡(luò)規(guī)劃中原大學新校區(qū)網(wǎng)絡(luò)主要包括一個核心節(jié)點和若干個匯聚節(jié)點和相應(yīng)的建筑物內(nèi)的樓層接入交換機。由于核心節(jié)點和匯聚層節(jié)點是整個新校區(qū)的骨干網(wǎng)，所有的業(yè)務(wù)全部是通過骨干網(wǎng)來運行，因此骨干網(wǎng)絡(luò)的性能直接關(guān)系著整個新校區(qū)網(wǎng)絡(luò)的性能。因此在組建中原大學骨干網(wǎng)時，對于骨干設(shè)備的選擇要從以下幾方面進行考慮，即要考慮到設(shè)備的可靠性、穩(wěn)定性、安全性和處理能力，同時還要考慮到現(xiàn)在選擇的設(shè)備不但要能充分滿足現(xiàn)有數(shù)據(jù)的處理，而且可以滿足未來幾年內(nèi)業(yè)務(wù)的發(fā)展所帶來得更大量的數(shù)據(jù)的處理。核心交換機和各個匯聚節(jié)點的匯聚層交換機需要高速運送整個校園網(wǎng)絡(luò)的流量，設(shè)備承載的壓力較大。因此骨干網(wǎng)絡(luò)的建設(shè)，通常必須遵循以下兒個原則：1、必須具備高可靠性及高冗余性；2、必須能夠提供故障隔離功能；3、必須具有迅速升級能力；4、必須具有較少的時延和好的可管理性。根據(jù)以上的業(yè)務(wù)分析，建議在核心節(jié)點配置一臺核心交換機S8505,各個匯聚層節(jié)點采用S6500系列交換機，視各個匯聚節(jié)點區(qū)域網(wǎng)絡(luò)接入業(yè)務(wù)量的大小分別選用不同檔次的S6500系列交換機，在業(yè)務(wù)量大的區(qū)域采用S6506,在業(yè)務(wù)小的匯聚節(jié)點采用S6503,各個匯聚層節(jié)點分別和核心交換機采用單模光纖鏈路上行，以提供鏈路和網(wǎng)絡(luò)設(shè)備的冗余特性。整個結(jié)構(gòu)如下圖所示：如上圖所示，我們在核心節(jié)點上配置了一臺核心交換機S8505,在各個匯聚節(jié)點各配置了1臺匯聚交換機S6500,在業(yè)務(wù)量大的區(qū)域采用S6506,在業(yè)務(wù)量小的區(qū)域采用S6503,對于家屬區(qū)，由于接入節(jié)點少，建議直接將S3928TP-SI通過光纖鏈路互連到核心交換機上。每個建筑物樓層內(nèi)的接入層交換機采用S3900TP-SI系列交換機和S2403H-EI交換機，S3900TP-SI采用1000M以太網(wǎng)光口或電口的方式與各個區(qū)域的匯聚層交換機連接，S2403H-EI采用百兆以太網(wǎng)線上心連接到S3900TP-SI交換機器。整網(wǎng)的層次清晰，結(jié)構(gòu)合理，核心層的S8505負責接入?yún)R聚層的S6500,完成快速轉(zhuǎn)發(fā)的功能，同時作為完成各個服務(wù)器的接入。各個匯聚節(jié)點的匯聚交換機作為各個區(qū)域網(wǎng)絡(luò)的中心交換設(shè)備，負責接入各個建筑屋內(nèi)的樓層接入層交換機設(shè)備。全網(wǎng)采用高可靠，高性能，高密度的設(shè)備，從而避免了網(wǎng)絡(luò)上的性能瓶頸，骨干網(wǎng)的帶寬及性能可以滿足未來兒年的應(yīng)用，從而可以較好的避免日后對骨干網(wǎng)的改造，減小對整個校園網(wǎng)絡(luò)的沖擊?？煽啃栽O(shè)計可靠性和自愈能力包括鏈路冗余、模塊冗余、設(shè)備冗余、路由冗余等要求：(1)模塊冗余。主要設(shè)備的所有模塊和環(huán)境部件應(yīng)具備1+1或1：N熱備份的功能。所有模塊具備熱插拔的功能,核心層設(shè)備對主控模塊及關(guān)鍵部件采取了1+1的冗余。(2)鏈路冗余。在匯聚層和核心之間采用多鏈路捆綁的方式上連到核心層。以實現(xiàn)流量的負載分擔。這種流量的負載分擔特性應(yīng)不會引起業(yè)務(wù)的瞬間質(zhì)量惡化，更不會引起業(yè)務(wù)的中斷。(3)設(shè)備冗余。提供由兩臺或兩臺以上設(shè)備組成一個虛擬設(shè)備的能力。當其中一個設(shè)備因故障停止工作時，另一臺設(shè)備自動接替其工作，并且不引起其它節(jié)點的路由表重新計算，從而提高網(wǎng)絡(luò)的穩(wěn)定性,在核心層建議采用設(shè)備冗余的方式。(4)路由冗余。網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)計應(yīng)提供足夠的路由冗余功能，在上述冗余特性仍不能解決問題時，數(shù)據(jù)流應(yīng)能尋找其它路徑到達目的地址。在本網(wǎng)絡(luò)環(huán)境中,全網(wǎng)運行OSPF協(xié)議并提供路由的冗余功能。第三章IP地址規(guī)劃IP地址規(guī)劃的原則ip地址是被用來唯一地標識網(wǎng)絡(luò)中主機及設(shè)備位置的一個屬性，是ip報文轉(zhuǎn)發(fā)及尋址的依據(jù)。ip地址也是最重要的網(wǎng)絡(luò)資源之一。ip地址的分配及規(guī)劃，直接關(guān)系著校園網(wǎng)的建設(shè)及維護工作量，同時也會影響業(yè)務(wù)應(yīng)用的正常開展。所以，必須對ip規(guī)劃給予足夠的重視。ip地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。滿足這些要求的ip地址分配技術(shù)有：可變長子網(wǎng)掩碼技術(shù)(VLSM—Variable-LengthSubnetMask)和路徑疊合(匯聚)技術(shù)(RouteSummarization)?？偟膩碚f，IP地址規(guī)劃應(yīng)該遵循以下原則：1連續(xù)性IP地址分配要盡量分配連續(xù)的IP地址空間；相同的業(yè)務(wù)和功能盡量分配連續(xù)的IP地址空間，有利于路由聚合以及安全控制；2可擴充性IP地址分配處理要考慮到連續(xù)外，又要能做到具有可擴充性.，并為將來的網(wǎng)絡(luò)擴展預留一定的地址空間；3IP地址的分配必須采用VLSM技術(shù)，保證IP地址的利用率；采用CIDR技術(shù)，可減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大小。4在公有地址有保證的前提下，盡量使用公有地址，主要包括設(shè)備loopback地址、設(shè)備間互連地址。在校園網(wǎng)中，由于很多部門都已經(jīng)有了現(xiàn)成的網(wǎng)絡(luò)，但是各部門網(wǎng)絡(luò)的采用IP的地址未進行統(tǒng)一規(guī)劃，很多部門網(wǎng)絡(luò)采用了IETF建議的私有地址空間，如/8,存在著事實上的地址空間重疊或沖突等問題。所以，在進行網(wǎng)絡(luò)的IP地址規(guī)劃時，必須充分考慮現(xiàn)有網(wǎng)絡(luò)的過渡及改造。為了利于整個校園網(wǎng)的統(tǒng)一管理及各種應(yīng)用(如不同部門之間共享部分網(wǎng)絡(luò)資源）的順利開展。建議在對整個校園網(wǎng)的IP地址進行統(tǒng)一規(guī)劃，并在此前提下，兼顧現(xiàn)有網(wǎng)絡(luò)，以減少對原有各部門網(wǎng)絡(luò)的影響。IP地址規(guī)劃方案由于中原大學為教育網(wǎng)絡(luò)，有與教育網(wǎng)的互通需求，所以整網(wǎng)可以通過申請教育網(wǎng)ip地址段來規(guī)劃各級ip地址范圍，如果申請的ip地址數(shù)量不充足，也可以考慮采用私有網(wǎng)絡(luò)ip地址進行規(guī)劃。按照前面介紹的路由規(guī)劃的策略，地址規(guī)劃應(yīng)該配合路由規(guī)劃策略，應(yīng)該從下面幾個方面來考慮ip地址的規(guī)劃（下面的ip地址規(guī)劃采用私有ip地址為例）。骨干互聯(lián)部分：骨干部分為一臺核心設(shè)備和若干個匯聚層設(shè)備，屬于整個網(wǎng)絡(luò)的最高層，由于整網(wǎng)采用私有地址具備足夠的地址空間，建議骨干部分的ip地址采用A類地址，比如/8、/8等，下屬匯聚層的節(jié)點采用路由匯聚的策略把各自己的IP路由匯聚到這些A類地址空間內(nèi)。各匯聚層設(shè)備采用B類地址做為下屬接入層部門的網(wǎng)關(guān)地址，比如/16、/16等，在發(fā)布路由時采用路由匯聚策略對多個B類地址進行路由合并（當A類地址足夠多時，也可以全部采用A類地址）。各單位內(nèi)部地址：各單位內(nèi)部的各個部門統(tǒng)一分配C類地址（當A類地址足夠多時，也可以全部采用A類地址）。由于采用帶內(nèi)網(wǎng)管的網(wǎng)管策略，所以設(shè)備的管理IP可以與loopback地址合二為一。具體的IP地址方案需參照實際情況制定，以上為IP地址的規(guī)劃原則，可作為IP地址規(guī)劃參考。IP地址管理ip地址的管理和分配采用動態(tài)及靜態(tài)結(jié)合的方式。普通用戶的ip地址由DHCP服務(wù)器動態(tài)分配；服務(wù)器、設(shè)備管理地址等需要固定IP地址，由網(wǎng)絡(luò)管理部門靜態(tài)分配。IP地址管理是用戶管理的重要內(nèi)容，也是構(gòu)件完整的安全架構(gòu)中不可或缺的一部分，應(yīng)該在網(wǎng)絡(luò)設(shè)計初期就對網(wǎng)絡(luò)多種用戶的IP地址分配方式進行統(tǒng)一規(guī)劃。普通用戶建議采用動態(tài)獲取IP地址的地址分配方式，可以減少IP地址分配的復雜度同時防止IP地址重疊的情況發(fā)生。為了防止動態(tài)IP地址用戶私自配置靜態(tài)IP地址以及惡意假冒他人IP地址可以啟用DHCP+特性，限制用戶獲取IP地址的方式只能為動態(tài)獲取，私自配置的靜態(tài)IP地址將無法正常接入網(wǎng)絡(luò)。同時為了對用戶的身份進行合法性驗證可以在網(wǎng)絡(luò)的匯聚層對用戶的身份進行驗證，驗證方式可以根據(jù)實際情況進行選擇，可以采用強制PORTAL認證、802.lx認證等多種認證方式。重要用戶以及特殊用戶（比如網(wǎng)管系統(tǒng)）可以配置靜態(tài)IP地址并在用戶接入的網(wǎng)絡(luò)設(shè)備上靜態(tài)添加用戶的IP地址并且實現(xiàn)IP+MAC+端口的綁定，一方面保證了用戶IP地址的固定配置，另一方面也防止了其他惡意用戶的地址假冒。重要用戶及特殊用戶可以不用身份驗證而直接接入網(wǎng)絡(luò)。第四章路由規(guī)劃路由協(xié)議的選擇對于IGP協(xié)議，我們建議采用OSPF,因為OSPF的適應(yīng)性好，功能完善，當核心層設(shè)備在20臺以內(nèi)的時候，我們建議只運行一個骨干域“0”，這樣網(wǎng)絡(luò)規(guī)劃簡單、維護方便，并且有利于今后骨干層網(wǎng)絡(luò)的擴展。對于各個匯聚層節(jié)點，最普遍應(yīng)用的就是OSPF、直連路由，將直連路由匯聚后再引入到OSPF路由協(xié)議中，只要準循上面提到的IP地址分配原則，各匯聚節(jié)點的路由都可以匯聚成一條或者數(shù)目較少的兒條，這時應(yīng)用最簡單、最高效,而且網(wǎng)絡(luò)的維護非常方便。OSPF是OpenShortestPathFirst（開放最短路由優(yōu)先協(xié)議）的縮寫。它是IETF組織開發(fā)的一個基于鏈路狀態(tài)的自治系統(tǒng)內(nèi)部路由協(xié)議。非常適合類似這種中、大型校園網(wǎng)網(wǎng)絡(luò)。綜上，在本期工程中，我們建議的路由協(xié)議類型就是：骨干層OSPF、匯聚層節(jié)點采用直連路由并引入到OSPF中。這樣對整個網(wǎng)絡(luò)中的設(shè)備要求不是太高并且便于進行維護。OSPF具有如下特點：1、快速收斂一在網(wǎng)絡(luò)的拓撲結(jié)構(gòu)發(fā)生變化后立即發(fā)送更新報文，使這一變化在自治系統(tǒng)中同步?？梢匝杆俜磻?yīng)網(wǎng)絡(luò)拓樸的變化，提高全網(wǎng)對網(wǎng)絡(luò)故障和網(wǎng)絡(luò)改造的反應(yīng)速度。2、無自環(huán)一OSPF根據(jù)收集到的鏈路狀態(tài)用最短路徑樹算法計算路由，從算法上本身保證了不會生成自環(huán)路由。從而避免校園網(wǎng)因路由環(huán)造成的帶寬浪費。3、區(qū)域劃分一允許自治系統(tǒng)的網(wǎng)絡(luò)被劃分成區(qū)域來管理，區(qū)域間傳送的路由信息被進一步抽象，從而減少了占用的網(wǎng)絡(luò)帶寬。通過合理的區(qū)域劃分策略,可以有效減少參與OSPF路由計算的網(wǎng)絡(luò)規(guī)模，降低由于路由計算造成的路由器CPU的開銷開銷，避免由于動態(tài)路由協(xié)議的引用，造成的路由器轉(zhuǎn)發(fā)性能的過渡下降。4、其他路由的引入能力一OSPF具有將其他路由協(xié)議發(fā)現(xiàn)的路由和靜態(tài)路由引入到系統(tǒng)中的能力，從而可以在校園網(wǎng)中根據(jù)各級網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)層次，靈活采用OSPF與靜態(tài)路由、RIP等動態(tài)路由協(xié)議相結(jié)合的方式，在保證系統(tǒng)暢通的情況下，有效減少設(shè)備負載。5、路由聚合能力--OSPF可以按照指定的聚合策略，聚合區(qū)域邊界路由器向外發(fā)布的路由，減少發(fā)布的路由條數(shù)，從而減少全系統(tǒng)的路由表規(guī)模，降低整個校園網(wǎng)路由器的資源損耗，提高全系統(tǒng)的數(shù)據(jù)轉(zhuǎn)發(fā)能力。IGP協(xié)議規(guī)劃各核心交換機和匯聚層交換機只在內(nèi)部互聯(lián)端口運行OSPF,使用一個Area0進行路由交換。為訪問Internet,在核心節(jié)點設(shè)備上通過OSPF發(fā)布缺省路由。在各匯聚層的設(shè)備上，通過Network命令將匯聚層設(shè)備的loopback地址和互連端口地址引入到OSPF協(xié)議中去。為了便于控制路由的規(guī)模，采用redistribute命令引入直連鏈路的路由并進行路由的匯聚。第五章網(wǎng)絡(luò)管理規(guī)劃網(wǎng)管系統(tǒng)需求網(wǎng)絡(luò)管理包括有三個部分：網(wǎng)管平臺、設(shè)備管理系統(tǒng)、業(yè)務(wù)網(wǎng)管。網(wǎng)管平臺則需要對全網(wǎng)進行管理，要有拓撲發(fā)現(xiàn)功能等，它力求全面地覆蓋企業(yè)IT業(yè)務(wù)的各個方面。網(wǎng)元管理系統(tǒng)一般均由設(shè)備原廠商提供，實現(xiàn)對網(wǎng)絡(luò)設(shè)備的故障管理、配置管理和性能管理、故障管理等。統(tǒng)一網(wǎng)管設(shè)計通過在網(wǎng)絡(luò)中心安裝集中網(wǎng)管系統(tǒng)，通過帶內(nèi)的方式實現(xiàn)對整網(wǎng)設(shè)備的統(tǒng)一管理，提供集中、統(tǒng)一、分級、分權(quán)的網(wǎng)元管理、網(wǎng)絡(luò)管理功能，并實現(xiàn)部分業(yè)務(wù)供給功能。網(wǎng)管系統(tǒng)采用先進的組件化結(jié)構(gòu)，可以對全網(wǎng)設(shè)備集中管理。在新老公安網(wǎng)中提供分級的網(wǎng)管中心，提供不同的管理權(quán)限，每個地市網(wǎng)的網(wǎng)管僅能管理本地市的網(wǎng)絡(luò)設(shè)備。對于全網(wǎng)設(shè)備可以設(shè)置一個中心一級的網(wǎng)管中心，對所有網(wǎng)絡(luò)設(shè)備進行管理。網(wǎng)管系統(tǒng)對所有設(shè)備的管理采用帶內(nèi)方式，通過SNMP協(xié)議由網(wǎng)管中心服務(wù)器發(fā)出管理信息報文，各寬帶網(wǎng)絡(luò)設(shè)備上的網(wǎng)管代理進行本設(shè)備運行狀態(tài)，數(shù)據(jù)信息的收集，然后通過SNMP協(xié)議將本網(wǎng)絡(luò)設(shè)備的網(wǎng)管信息上報給網(wǎng)管中心服務(wù)器，由網(wǎng)管中心服務(wù)器統(tǒng)一對上報的網(wǎng)管信息進行處理和分析，然后通過SNMP協(xié)議下發(fā)控制命令，由各設(shè)備網(wǎng)管代理接收控制命令后，完成對本設(shè)備的管理和控制。分級網(wǎng)管的設(shè)置可根據(jù)要求靈活設(shè)置，可將分級網(wǎng)管服務(wù)器放置于各地市一個局域網(wǎng)內(nèi)（最好各地市選擇一個網(wǎng)絡(luò)管理中心同時作為本地市網(wǎng)絡(luò)的信息資源共享中心），也可采用UNIX遠程客戶端的方式將網(wǎng)管終端放置在遠程，此時網(wǎng)管終端與網(wǎng)管服務(wù)器之間的信息交流也是通過帶內(nèi)通道完成的。綜合網(wǎng)管系統(tǒng)應(yīng)該能提供如下管理能力：拓撲管理拓撲管理用于構(gòu)造并管理整個通信網(wǎng)絡(luò)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，通過自動上載網(wǎng)絡(luò)設(shè)備的拓撲數(shù)據(jù)形成與實際網(wǎng)絡(luò)拓撲結(jié)構(gòu)相同的網(wǎng)絡(luò)拓撲視圖。運行中通過對網(wǎng)絡(luò)設(shè)備進行定時（根據(jù)用戶設(shè)定的每?設(shè)備的狀態(tài)與配置輪詢間隔時間）的輪循監(jiān)視與設(shè)備上報TRAP或告警處理，保證顯示網(wǎng)絡(luò)視圖與實際網(wǎng)絡(luò)拓撲一致，用戶可通過瀏覽網(wǎng)絡(luò)視圖來實時了解整個網(wǎng)絡(luò)的運行情況。網(wǎng)管系統(tǒng)的拓撲視圖是采用分層結(jié)構(gòu)的，其中拓撲頂層顯示的子圖稱為視圖，根據(jù)被管對象的種類和實際需求抽象出了兒種視圖顯示在拓撲的頂層，目前包含了三個邏輯視圖（IP設(shè)備視圖、交換設(shè)備視圖和接入設(shè)備視圖）和一個物理視圖。在這些視圖下是子網(wǎng)，它是具有相同屬性的設(shè)備的集合，在子網(wǎng)下就是具體的網(wǎng)絡(luò)設(shè)備，子網(wǎng)也可以再包含子網(wǎng)。其中邏輯視圖中只包含了各自類型的網(wǎng)絡(luò)設(shè)備，它反映了網(wǎng)絡(luò)設(shè)備之間的邏輯關(guān)系，而物理視圖中的子圖和設(shè)備是用戶自己設(shè)定的，用戶可以根據(jù)地理位置去創(chuàng)建物理子圖并定義它們之間的連接關(guān)系。IP視圖用于IP層網(wǎng)絡(luò)拓撲的管理，描述整個基于IP路由器的IP網(wǎng)絡(luò)的網(wǎng)絡(luò)層拓撲結(jié)構(gòu)，主要包括路由器、LANSwitch、接入服務(wù)器和計算機等IP設(shè)備。基于IP路由器的網(wǎng)絡(luò)拓撲結(jié)構(gòu)分成兩層，上層由路由器和IP子網(wǎng)組成，IP子網(wǎng)表示某一傳輸類型的物理網(wǎng)絡(luò)，如以太網(wǎng)，F(xiàn)rameRelay網(wǎng)等，在同一IP子網(wǎng)下的所有設(shè)備具有同樣的IP子網(wǎng)地址設(shè)置；路由器和IP子網(wǎng)之間通過路由器端口連接，如以太網(wǎng)口，F(xiàn)rameRelay廣域網(wǎng)口等。路由器和路由器之間的連接有兩種：一是通過IP子網(wǎng)連接，如兩路由器通過以太網(wǎng)或FrameRelay網(wǎng)互連；二是直接的點到點連接，如PPP連接等。物理視圖用于反映網(wǎng)絡(luò)設(shè)備之間的物理關(guān)系和連接，用戶可以自由創(chuàng)建物理子網(wǎng)，在物理子網(wǎng)中加入邏輯子網(wǎng)中已經(jīng)存在的設(shè)備，建立它們之間的連接關(guān)系。拓撲管理主要操作有增刪設(shè)備或子網(wǎng)，查看節(jié)點、鏈路或子網(wǎng)的狀態(tài)，通過定時輪詢或手動啟動對任一設(shè)備的狀態(tài)或配置數(shù)據(jù)輪詢，實時刷新拓撲顯示數(shù)據(jù)。拓撲管理還具有改變背景圖象、設(shè)置網(wǎng)絡(luò)對象屬性、保存拓撲視圖修改、查找網(wǎng)絡(luò)對象、顯示網(wǎng)絡(luò)對象信息、拓撲視圖顯示效果設(shè)置等功能。用戶可對每個子網(wǎng)設(shè)置背景圖象（gif）格式，背景圖象的大小根據(jù)窗口大小自動調(diào)整。配置管理網(wǎng)管系統(tǒng)提供全網(wǎng)瀏覽樹和設(shè)備面板圖對配置進行維護。全網(wǎng)瀏覽樹把網(wǎng)絡(luò)中的所有設(shè)備按不同的分組方式組織在一個樹形結(jié)構(gòu)中,操作者可靈活切換要進行配置操作的設(shè)備。對所有設(shè)備和設(shè)備組件的操作都通過右鍵菜單來完成。用戶右鍵點中待管理的對象，系統(tǒng)將自動彈出該設(shè)備或設(shè)備組件所對應(yīng)的管理菜單，所有設(shè)備和設(shè)備組件（如端口等）的配置、實時性能管理功能都可通過該右鍵菜單完成。本瀏覽樹可裝載并顯示所有路由器，以及其它支持SNMP協(xié)議的設(shè)備端口數(shù)據(jù)，在瀏覽樹中的端口顯示數(shù)據(jù)包括：端口狀態(tài)，端口索引，端口類型，IP地址，掩碼設(shè)置（如設(shè)置有），用戶右鍵點中該端口即可彈出該端口所對應(yīng)的配置菜單。通過在拓撲圖上雙擊拓撲設(shè)備節(jié)點啟動設(shè)備面板圖，在面板視圖上對設(shè)備進行配置；設(shè)備面板圖和全網(wǎng)瀏覽樹所提供的配置功能是完全一樣的。在面板上進行配置顯得更直觀，提供設(shè)備的機架視圖，實時顯示各單板的狀態(tài)和告警信息，對于面板中的每個單板節(jié)點，提供右鍵彈出菜單，該菜單是針對該單板的一系列的應(yīng)用，包括配置，性能、維護管理等；而全網(wǎng)瀏覽樹則是提供了一種對全網(wǎng)設(shè)備進行管理的手段，在配置較多的設(shè)備時比較方便。故障管理故障管理主要包括對全網(wǎng)設(shè)備的告警信息和運行信息進行實時監(jiān)控，查詢設(shè)備的歷史告警信息和運行信息，定義發(fā)送過來的SNMPTrap,查詢和配置設(shè)備的告警表。故障管理系統(tǒng)收集和處理設(shè)備告警。設(shè)備告警包括SnmpTrap和MML格式的告警，前者告警來源為SNMP設(shè)備，大部分數(shù)據(jù)通信設(shè)備支持SNMP。Trap和Alarm可以同屏顯示也可以分屏顯示。（以下敘述中“告警”如無特殊說明包括SnmpTrap和MMLAlarm）o故障管理系統(tǒng)包括故障管理后臺、實時告警顯示、歷史告警顯示、Trap規(guī)則定義工具，故障監(jiān)視面板和當前故障窗口。故障管理后臺接收設(shè)備告警、寫數(shù)據(jù)庫、發(fā)送給實時告警前臺顯示，如果有其他應(yīng)用關(guān)心某些類型的告警，還要上報給該應(yīng)用。實時告警顯示從故障后臺實時接收設(shè)備告警并顯示；歷史告警顯示從數(shù)據(jù)庫檢索告警并顯示；實時告警顯示和歷史告警顯示都支持過濾條件，可以檢索指定設(shè)備（一個或多個）的告警，也可以按類別檢索指定類型的告警。Tr叩規(guī)則定義工具主要是定義SnmpTrap的描述信息。因為SnmpTrap是二進制編碼,Trap規(guī)則定義了該二進制流中各字段的描述信息。故障管理后臺接收設(shè)備發(fā)送的Trap后根據(jù)當前的Trap規(guī)則定義對Trap進行解釋，將解釋后得到的告警數(shù)據(jù)寫入歷史告警庫，并發(fā)送給前臺程序。MMLAlarm本身是ASCII字符流，故障后臺經(jīng)過適當?shù)淖侄味ㄎ缓笾苯尤霂旌桶l(fā)送給前臺進程。故障監(jiān)視面板為您提供了一個直觀的了解設(shè)備故障情況的工具，它可以提供單個設(shè)備或所有設(shè)備的告警狀態(tài)數(shù)據(jù)，實時刷新狀態(tài)數(shù)據(jù)，并可以通過激活當前告警窗口為您提供告警的詳細數(shù)據(jù)。它由六個代表不同級別故障的告警燈來顯示設(shè)備故障狀態(tài)，當有未恢復且并未被確認的情況下告警燈轉(zhuǎn)亮，在沒有該級別告警或所有該級別告警已經(jīng)被確認的情況下變?yōu)榛疑Ｃ總€告警燈的下方分別列出該級別故障的總數(shù)和已經(jīng)被確認的記錄數(shù)。當前故障窗口反映了設(shè)備的當前故障數(shù)據(jù)，缺省狀態(tài)進入時會顯示所有設(shè)備當前時刻所有未恢復的告警。并隨時實時刷新數(shù)據(jù)。在故障監(jiān)視面板中選取當前設(shè)備告警明細表功能也可以激活當前告警窗口。性能管理用戶可以獲得網(wǎng)絡(luò)的各種當前性能數(shù)據(jù)，并可以設(shè)置性能的門限值，當性能超過門限時，網(wǎng)絡(luò)以告警的方式通知網(wǎng)管系統(tǒng)。用戶也可以收集一定時間段內(nèi)的性能數(shù)據(jù)，并保存在數(shù)據(jù)庫中，以做進一步的分析。該應(yīng)用提供三種方式對采集來的數(shù)據(jù)進行顯示：折線圖方式、直方圖方式和餅圖方式。折線圖方式在一個窗口內(nèi)可顯示一定時間范圍內(nèi)的各個對象表達式的值；直方圖方式在一個窗口內(nèi)只顯示某一采集時間點的各個對象表達式的值；餅圖方式顯示的是某一數(shù)據(jù)采集點各個對象表達式之間的比例值。用戶在此應(yīng)用中還可以設(shè)置對性能數(shù)據(jù)輪循的間隔，采集數(shù)據(jù)的顯示比例和顯示顏色。安全管理安全管理完成網(wǎng)管系統(tǒng)本身的安全控制，包括下列內(nèi)容：用戶管理、操作日志管理、用戶登錄/退出管理。系統(tǒng)安全主要通過網(wǎng)管用戶權(quán)限進行控制，用戶在啟動網(wǎng)管客戶端后，需用已經(jīng)建立的網(wǎng)管用戶登錄，并且只能以用戶屬性中設(shè)定的讀寫權(quán)限執(zhí)行該用戶指定可以執(zhí)行的網(wǎng)管應(yīng)用。網(wǎng)管系統(tǒng)各管理應(yīng)用對用戶執(zhí)行的敏感操作進行記錄，管理員可通過瀏覽用戶操作日志取得系統(tǒng)的所有管理操作信息。Quidview網(wǎng)絡(luò)管理軟系統(tǒng)Quidview是華為3Com公司自行設(shè)計開發(fā)的適合于中、小規(guī)模的網(wǎng)絡(luò)管理的網(wǎng)管軟件，主要用于管理華為公司生產(chǎn)的Quidway?系列路由器和校園網(wǎng)交換機。它是一個簡潔的網(wǎng)絡(luò)管理工具，充分利用設(shè)備自己的管理信息庫完成設(shè)備配置、瀏覽設(shè)備配置信息、監(jiān)視設(shè)備運行狀態(tài)等網(wǎng)管功能，并且還能集成到SNMPc、HPOpenviewNNM等一些通用的網(wǎng)管平臺上，實現(xiàn)從網(wǎng)絡(luò)級到設(shè)備級全方位的網(wǎng)絡(luò)管理。力求幫助用戶在降低產(chǎn)品成本的同時滿足更豐富的功能需求。Quidview網(wǎng)絡(luò)管理軟件采用組件化結(jié)構(gòu)設(shè)計，通過安裝不同的業(yè)務(wù)組件實現(xiàn)了設(shè)備管理、VPN監(jiān)視與部署、軟件升級管理、配置文件管理、告警和性能管理等功能。支持多種操作系統(tǒng)平臺，并能夠與多種通用網(wǎng)管平臺集成，實現(xiàn)從設(shè)備級到網(wǎng)絡(luò)級全方位的網(wǎng)絡(luò)管理。網(wǎng)絡(luò)集中監(jiān)視Quidview網(wǎng)絡(luò)管理軟件提供統(tǒng)一拓撲發(fā)現(xiàn)功能，實現(xiàn)全網(wǎng)監(jiān)控，可以實時監(jiān)控所有設(shè)備的運行狀況，并根據(jù)網(wǎng)絡(luò)運行環(huán)境變化提供合適的方式對網(wǎng)絡(luò)參數(shù)進行配置修改，保證網(wǎng)絡(luò)以最優(yōu)性能正常運行。全網(wǎng)設(shè)備的統(tǒng)一拓撲視圖；拓撲自動發(fā)現(xiàn)，拓撲結(jié)構(gòu)動態(tài)刷新；可視化操作方式：拓撲視圖節(jié)點直接點擊進入設(shè)備操作面板；在網(wǎng)絡(luò)、設(shè)備狀態(tài)改變時，改變節(jié)點顏色，提示用戶；對網(wǎng)絡(luò)設(shè)備進行定時（輪詢間隔時間可配置）的輪循監(jiān)視和狀態(tài)刷新并表現(xiàn)在網(wǎng)絡(luò)視圖上；支持拓撲過濾，讓用戶關(guān)注所關(guān)心的網(wǎng)絡(luò)設(shè)備情況；支持快速查找拓撲對象，并在導航樹和拓撲視圖中定位該拓撲對象;

故障管理故障管理主要功能是對全網(wǎng)設(shè)備的告警信息和運行信息進行實時監(jiān)控，查詢和統(tǒng)計設(shè)備的告警信息。告警實時監(jiān)視，提供告警聲光提示；支持告警轉(zhuǎn)到Email、手機短信；支持告警過濾，讓用戶關(guān)注重要的告警，查詢結(jié)果可生成報表；支持告警級別重新定義，支持告警轉(zhuǎn)存，保證系統(tǒng)的運行效率和穩(wěn)定性;支持告警拓撲定位，將顯示的焦點定位到產(chǎn)生選定告警的拓撲對象；支持告警相關(guān)性分析，包括屏蔽重復告警、屏蔽閃斷告警等。

1瀏荒管.口向□過送后雷害■認a?i*WlBi事件20040S-251012301015321169Th*device10153893()statusiscntical▲2004-09-251012301015321163Thedevice10153893()statustscntical事件2004-09-251013021015321163Thedevice10153893()statusisnormal2004-09-251047181015321163Thedevice10153893()statusisminor2004-09-2511491910.15321163Thedevice101538935<)statusiscritical事件2004-09-251149191015321163Thedevice10153893()statusiscntical2004-09-251149191015321163Thedevice10153893()statusiscntical事件2004-09-251149521015321163Thedevice101538935<)statusi$normal2004-09-251149521015321163Thedevice10153893()statusisnormal2004-09-2512.47.38 .10.153^1.163Thedevice10.153J9.3Ostatusisminor▼所有吉魯a?j舍魯未思班與2004-09-25101230101S321169Thedevice1015389X)statusiscritical*歹2004-09-251012301015321163Thedevice10153893()statusiscrwcaiR事件20G409-251013021015321163The(tovice10153893()statusisnormal2004-09-251047181015321163Thedevice10153893()statusisminor2004-09-251149191015321.163Thedevice101538935()statusiscritical▼新有481-$?2219 244 462)性能監(jiān)控Quidview網(wǎng)管系統(tǒng)提供豐富的性能管理功能，同時以直觀的方式顯示給用戶。通過性能任務(wù)的配置，可自動獲得網(wǎng)絡(luò)的各種當前性能數(shù)據(jù)，并支持設(shè)置性能的門限，當性能超過門限時，可以以告警的方式通知網(wǎng)管系統(tǒng)。通過統(tǒng)計不同線路、不同資源的利用情況，為優(yōu)化或擴充網(wǎng)絡(luò)提供依據(jù)。管理多廠商設(shè)備Quidview可管理所有支持標準SNMP網(wǎng)管協(xié)議的網(wǎng)絡(luò)設(shè)備，為多廠商設(shè)備共存的網(wǎng)絡(luò)提供了統(tǒng)一的管理方式。拓撲圖自動發(fā)現(xiàn)多廠商設(shè)備，如華為、3com、Cisco等；可以對設(shè)備進行性能監(jiān)視，包括接口的流量監(jiān)視，利用率監(jiān)視等；可以接收設(shè)備告警，并進行告警信息顯示.服務(wù)器監(jiān)視管理服務(wù)器是企業(yè)IP架構(gòu)中的重要組成部分，通過Quidview,可實現(xiàn)服務(wù)器與設(shè)備設(shè)備的統(tǒng)一管理。支持對CPU、內(nèi)存資源消耗的監(jiān)視；支持對硬盤使用情況的監(jiān)視；支持運行進程的資源監(jiān)視；支持對服務(wù)的資源監(jiān)視；集群管理針對大量二層交換機設(shè)備的應(yīng)用環(huán)境，Quidview網(wǎng)絡(luò)管理軟件提供集群管理功能，通過一個指定公網(wǎng)IP的設(shè)備（稱作命令交換機）對網(wǎng)絡(luò)進行管理。節(jié)省公網(wǎng)IP地址資源；實現(xiàn)對一組設(shè)備統(tǒng)一、集中、批量配置管理;實現(xiàn)設(shè)備的集中維護管理；網(wǎng)絡(luò)拓撲信息自動收集、維護，動態(tài)更新;?實現(xiàn)方便的軟件升級、配置數(shù)據(jù)備份、配置數(shù)據(jù)恢復;

堆疊管理Quidview網(wǎng)絡(luò)管理軟件通過堆疊管理，可以集中管理較大量的低端設(shè)備，并且為用戶提供統(tǒng)一的網(wǎng)管界面，方便用戶對大量設(shè)備的統(tǒng)一管理維護。?PQukMewt*110Mt3(S3CtaiioM口口口口口口口口口tenoMm(eltenoMer(83(1?2001HtMbJ■akDt*110Mt3(S3CtaiioM口口口口口口口口口tenoMm(eltenoMer(83(1?2001HtMbJ■akD??&)xm(dc?%一口品金?⑥ (tack_OB}OM182O01故障定位與地址反查針對最為常見的端口故障，Quidview網(wǎng)絡(luò)管理軟件提供了便捷的定位檢測工具一路徑跟蹤和端口環(huán)回測試；當用戶報告網(wǎng)絡(luò)端口使用異常時，網(wǎng)絡(luò)管理員可以通過網(wǎng)管對指定用戶端口做環(huán)回測試，直接定位端口故障。Quidview提供的端口反查功能支持兩種方式的查找定位功能：MAC地址端口反查和IP地址端口反查，使用時分別輸入終端用戶的MAC地址或IP地址，能夠定位該終端用戶連接的交換機及交換機的端口，幫助網(wǎng)絡(luò)管理員及早定位非法報文接入網(wǎng)絡(luò)的原始端口，及時關(guān)閉端口，防止一些違規(guī)用戶進行非法操作比如濫發(fā)報文、訪問非法站點等，危害網(wǎng)絡(luò)安全。

RMON管理RMON管理根據(jù)RFC1757定義的標準RMON-MIB及華為3com自定義告警擴展MIB對主機設(shè)備進行遠程監(jiān)視管理。Quidview網(wǎng)絡(luò)管理軟件的RMON管理包含的功能如下：統(tǒng)計組的配置及數(shù)據(jù)瀏覽；歷史組的配置及數(shù)據(jù)瀏覽；告警組的配置及瀏覽；事件組的配置及瀏覽；擴展告警組的配置及瀏覽；HO991141610 ；815195882o -W 鐮計?HO991141610 ；815195882o -W 鐮計?I歷虹|?M|*er?|??rne|as|EthetniH&4網(wǎng)管系統(tǒng)實施步驟完成網(wǎng)絡(luò)設(shè)備安裝和鏈路連通；完成網(wǎng)絡(luò)設(shè)備IP地址、路由等配置，網(wǎng)絡(luò)設(shè)備統(tǒng)一使能為SNMPv3版本。設(shè)置網(wǎng)絡(luò)設(shè)備的Trap目標工作站的地址為網(wǎng)管工作站的地址；設(shè)置被管理設(shè)備發(fā)送Trap的源地址為該設(shè)備的loopback地址或管理地址；在網(wǎng)絡(luò)中心安裝一套QuidView網(wǎng)管系統(tǒng)，搜索發(fā)現(xiàn)所有網(wǎng)上設(shè)備，可以完成對網(wǎng)上多種廠家的設(shè)備進行統(tǒng)一的網(wǎng)絡(luò)管理與維護。網(wǎng)管安全措施Quidview網(wǎng)管系統(tǒng)可以通過下面的一些措施，保證網(wǎng)管系統(tǒng)的安全性，防止非法用戶進行訪問；在設(shè)備與網(wǎng)管服務(wù)器之間增加防火墻；網(wǎng)管的安全管理，操作員的帳號與IP地址、登錄時間等進行綁定，在一定范圍限定非法入侵；進行網(wǎng)管組網(wǎng)設(shè)計時，設(shè)備的業(yè)務(wù)網(wǎng)段與網(wǎng)管的管理網(wǎng)段進行隔離，例如：采用VLAN隔離的方式，業(yè)務(wù)用戶無法訪問網(wǎng)管網(wǎng)；網(wǎng)管增加登錄、命令操作等方面的日志功能。第六章網(wǎng)絡(luò)安全規(guī)劃承載網(wǎng)網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全成為目前必須面對的一個實際問題。網(wǎng)絡(luò)上存在著各種類型的攻擊方式，包括竊聽報文、ip地址欺騙、源路由攻擊、端口掃描、拒絕服務(wù)攻擊應(yīng)用層攻擊等。另外，網(wǎng)絡(luò)本身的可靠性與線路安全也是值得關(guān)注的問題。6.2華為3Com網(wǎng)絡(luò)設(shè)備安全技術(shù)介紹針對網(wǎng)絡(luò)存在各種安全隱患，安全路由器必須具有如下的安全特性：可靠性與線路安全、身份認證、訪問控制、信息隱藏、數(shù)據(jù)加密、攻擊探測和防范、安全管理等方面的內(nèi)容。Quidway系列網(wǎng)絡(luò)設(shè)備提供一個全面的網(wǎng)絡(luò)安全解決方案，包括線路可靠、用戶驗證、授權(quán)、數(shù)據(jù)保護、智能訪問控制等等。所采用的安全技術(shù)包括：CallBack技術(shù)備份中心AAACA技術(shù)包過濾技術(shù)地址轉(zhuǎn)換VPN技術(shù)加密與密鑰交換技術(shù)智能防火墻安全管理VLAN戈ij分其他安全技術(shù)與措施CallBack技術(shù)CallBack技術(shù)即p］呼技術(shù)，最初由Client端發(fā)起呼叫，耍求Server端向本端回呼；而Server端接受呼叫，并決定是否向Client端發(fā)起回呼。利用CallBack技術(shù)可增強安全性。回呼處理中，Server端根據(jù)本端配置的呼叫號碼呼叫Client端，從而可避免因用戶名、口令失密而導致的不安全性。另外，Server端還可根據(jù)本端的配置，對呼入請求進行分類，即拒絕呼叫、接收呼叫（不回呼）或接收回呼，從而可以對不同的Client端實施不同的限制，并且Server端在外部呼入時可以實現(xiàn)資源訪問的主動性。備份中心為了提高網(wǎng)絡(luò)的可靠性,Quidway系列路由器提出了特有的備份中心的概念，實現(xiàn)完善的備份功能。備份中心具有如下特點：可為路由器上除撥號口以外的任意接口提供備份接口。路由器上的任一接口可以作為其它接口（或邏輯鏈路）的備份接口。可對接口上的某條邏輯鏈路提供備份。備份接口可以是一個接口，也可以是接口上的某條邏輯通道（這里所指的邏輯通道可以是X.25、幀中繼、ATM或ADSL的虛電路，也可以是撥號口的某一條dialermap）。對--個主接口，可為它提供多個備份接口。當主接口出現(xiàn)故障時，多個備份接口可以根據(jù)優(yōu)先級來決定使用順序。對于具有多個物理通道的接口（如BRI和PRI接口），可為多個主接口提供備份。主接口和備份接口可以進行負載分擔。當主接口的流量達到設(shè)定的門限時，啟動備份接口；當主接口和備份接口的流量和小于設(shè)定的另一門限時，關(guān)閉備份接口。AAAAAA提供了對用戶的驗證、授權(quán)及記帳功能。驗證一用戶（包括Login用戶、PPP接入用戶等）在被允許訪問網(wǎng)絡(luò)資源之前需要先經(jīng)過驗證，驗證時可以選擇是采用路由器本身維護的用戶數(shù)據(jù)庫，還是采用RADIUS服務(wù)器所維護的用戶數(shù)據(jù)庫對用戶進行驗證。授權(quán)一通過定義一組屬性來描述用戶的權(quán)限信息，用以決定用戶的實際訪問權(quán)限。這些信息存儲在RADIUS所維護的數(shù)據(jù)庫中。對于接入用戶，還可以由用戶的"filterlD"屬性來確定采用哪類規(guī)則對用戶的報文進行過濾。記帳一AAA的計費功能允許對用戶的訪問網(wǎng)絡(luò)資源等情況進行跟蹤審計。當AAA的計費功能打開后，網(wǎng)絡(luò)接入服務(wù)器按照一定的計費格式向RADIUS服務(wù)器發(fā)送用戶的活動信息，這些信息被儲存在服務(wù)器上，可以用來進行網(wǎng)絡(luò)運行情況的分析、用戶帳單的生成等。AAA網(wǎng)絡(luò)安全服務(wù)提供了一個實現(xiàn)身份認證以及訪問控制的主框架。AAA使用RADIUS>TACACS+、Kerberos等協(xié)議來實現(xiàn)對網(wǎng)絡(luò)的訪問控制。Quidway系列安全路由器實現(xiàn)時采用了使用最廣泛的RADIUS協(xié)議。CA技術(shù)CA技術(shù)是安全認證技術(shù)的一種，它基于公開密鑰體系通過安全證書來實現(xiàn)。安全證書采用國際標準的X.509證書格式，主要包括證書的版本號、發(fā)證CA的身份信息、持證用戶的身份信息、持證用戶的公鑰、證書的有效期以及其他一些附加信息。并且證書是由發(fā)證CA數(shù)字簽名的，保證了證書不可偽造并且不能被更改。安全證書由CA中心分發(fā)并維護。Quidway系列路由器對CA中心的支持，包含兩方面的內(nèi)容，其一是針對CA中心的管理功能完成與CA中心的交互；其二即是路由器作為通信實體的認證功能。-一般來說，安全證書的操作采取離線分發(fā)、本地驗證的方式。包過濾技術(shù)IP報文的IP報頭及所承載的上層協(xié)議（如TCP）報頭的每個域包含了可以由路由器進行處理的信息。包過濾通常用到IP報文的以下屬性：IP的源、目的地址及協(xié)議域；TCP或UDP的源、目的端口；ICMP碼、ICMP的類型域；TCP的標志域表示請求連接的單獨的SYN表示連接確認的SYN/ACK表示正在使用的一個會話連接表示連接終斷的FIN可以由這些域的各式各樣的組合形成不同的規(guī)則。比如，要禁止從主機到主機2.222的FTP連接，包過濾可以創(chuàng)建這樣的規(guī)則用于丟棄相應(yīng)的報文：IP目的地址=222.2IP源地址=1.1,1.1IP的協(xié)議域=6(TCP)目的端口=21(FTP)其他的域一般情況下不用考慮。同樣，在NovellIPX和AppleAppleTalk協(xié)議中，也可相應(yīng)地設(shè)置各自的包過濾規(guī)則。Quidway系列安全路由器提供了基于接口的包過濾，即可以在一個接口的進出兩個方向上對報文進行過濾。同時還提供了基于時間段的包過濾，可以規(guī)定過濾規(guī)則發(fā)生作用的時間范圍，比如上例中可設(shè)置每周一的8:00至20:00允許FTP報文進入以完成必要的服務(wù)，而其余時間則禁止FTP連接。在時間段的設(shè)置上,可以采用絕對時間段和周期時間段以及連續(xù)時間段和離散時間段配合使用，在應(yīng)用上具有極大的靈活性。并且這樣的時間段可以方便地提供給其他的功能模塊使用，如地址轉(zhuǎn)換、IPSec等。地址轉(zhuǎn)換地址轉(zhuǎn)換，用來實現(xiàn)私有網(wǎng)絡(luò)地址與公有網(wǎng)絡(luò)地址之間的轉(zhuǎn)換。地址轉(zhuǎn)換的優(yōu)點在于屏蔽了內(nèi)部網(wǎng)絡(luò)的實際地址；外部網(wǎng)絡(luò)基本上不可能穿過地址代理來直接訪問內(nèi)部網(wǎng)絡(luò)。Quidway系列安全路由器實現(xiàn)的地址轉(zhuǎn)換能夠?qū)⒕W(wǎng)內(nèi)用戶發(fā)出的報文的源地址全部映射成一個接口的地址。與按需撥號相結(jié)合，使局域網(wǎng)內(nèi)用戶通過一臺路由器即可輕松上網(wǎng)。Quidway系列安全路由器支持帶訪問控制列表的地址轉(zhuǎn)換。通過配置，用戶可以指定能夠通過地址轉(zhuǎn)換的主機，以有效地控制內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問。結(jié)合地址池，還可以支持多對多的地址轉(zhuǎn)換，更有效地利用用戶的合法IP地址資源。Quidway系列安全路由器可以提供靈活的內(nèi)部服務(wù)器的支持，對外提供WEB,FTP、SMTP等必要的服務(wù)。而這些服務(wù)器放置在內(nèi)部網(wǎng)絡(luò)中，既保證了安全，又可方便地進行服務(wù)器的維護。VPN技術(shù)虛擬私有網(wǎng)(VirtualPrivateNetwork)簡稱為VPN,是近年來隨著Internet的發(fā)展而迅速發(fā)展起來的一種技術(shù)?，F(xiàn)代企業(yè)越來越多地利用Internet資源來進行促銷、銷售、售后服務(wù)、培訓和合作等活動。許多企業(yè)趨向于利用Internet來替代它們的私有數(shù)據(jù)網(wǎng)絡(luò)。相對于企業(yè)原有的Intranet,這種利用Internet的虛擬鏈路來傳輸私有信息而形成的邏輯網(wǎng)絡(luò)就稱為虛擬私有網(wǎng)。在二層支持這種tunneling技術(shù)的協(xié)議有PPTP(PointtoPointTunnelingProtocol,點對點通道協(xié)議)，L2F(Layer2Forwarding,二層轉(zhuǎn)發(fā)協(xié)議)和L2Tp(Layer2TunnelingProtocol,二層隧道協(xié)議)。L2Tp結(jié)合了前兩個協(xié)議的優(yōu)點，為眾多公司所接受。三層的tunneling技術(shù)有IPSec和GRE。其中IPSec通過加密能夠保證傳輸?shù)乃接行畔⒌臄?shù)據(jù)安全性。將在下一節(jié)具體介紹。Quidway系列路由器支持L2TP,IPSec和GRE。加密與密鑰交換技術(shù)Quidway系列路由器提供對標準的三層隧道加密協(xié)議IPSec和密鑰交換協(xié)議IKE的支持，支持硬件和軟件加密算法,為用戶提供了在Internet上構(gòu)建安全VPN的解決方案。IPSecIPSec(IPSecurity)是一組開放協(xié)議的總稱，特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗證，以保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時的私有性、完整性和真實性。IPSec通過AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)這兩個安全協(xié)議來實現(xiàn)。而且此實現(xiàn)不會對用戶、主機或其它Internet組件造成影響，用戶還可以選擇不同的硬件會軟件加密算法，而不會影響其它部分的實現(xiàn)。IPSec提供以下兒種網(wǎng)絡(luò)安全服務(wù)：私有性一IPSec在傳輸數(shù)據(jù)包之前將其加密.以保證數(shù)據(jù)的私有性；完整性一IPSec在目的地要驗證數(shù)據(jù)包，以保證該數(shù)據(jù)包在傳輸過程中沒有被修改；真實性一IPSec端要驗證所有受IPSec保護的數(shù)據(jù)包；防重放一IPSec防止了數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，即目的地會拒絕老的或重復的數(shù)據(jù)包，它通過報文的序列號實現(xiàn)。IPSec在兩個端點之間通過建立安全聯(lián)盟(SecurityAssociation)進行數(shù)據(jù)傳輸。安全聯(lián)盟定義了數(shù)據(jù)保護中使用的協(xié)議和算法以及安全聯(lián)盟的有效時間等屬性。IPSec在轉(zhuǎn)發(fā)加密數(shù)據(jù)時產(chǎn)生新的AH和/或ESP附加報頭，用于保證IP數(shù)據(jù)包的安全性。IPSec有隧道和傳輸兩種工作方式。在隧道方式中，用戶的整個IP數(shù)據(jù)包被用來計算附加報頭，且被加密，附加報頭和加密用戶數(shù)據(jù)被封裝在一個新的IP數(shù)據(jù)包中；在傳輸方式中，只是傳輸層(如TCP、UDP、ICMP)數(shù)據(jù)被用來計算附加報頭，附加報頭和被加密的傳輸層數(shù)據(jù)被放置在原IP報頭后面。AH和ESP可以單獨使用，也可以同時使用。使用IPSec,數(shù)據(jù)就可以在公網(wǎng)上傳輸，而不必擔心數(shù)據(jù)被監(jiān)視、修改或偽造。IPSec提供了兩個主機之間、兩個安全網(wǎng)關(guān)之間或主機和安全網(wǎng)關(guān)之間的數(shù)據(jù)保護。IPSec的安全聯(lián)盟可以通過手工配置的方式建立，但是當網(wǎng)絡(luò)中結(jié)點增多時,手工配置將非常困難，而且難以保證安全性。這時就要使用IKE自動地進行安全聯(lián)盟建立與密鑰交換的過程。IKEInternet密鑰交換協(xié)議(IKE)用于通信雙方協(xié)商和建立安全聯(lián)盟，交換密鑰。IKE定義了通信雙方進行身份認證、協(xié)商加密算法以及生成共享的會話密鑰的方法。IKE的精髓在于它永遠不在不安全的網(wǎng)絡(luò)上直接傳送密鑰，而是通過一系列數(shù)據(jù)的交換，通信雙方最終計算出共享的密鑰，并且即使第三方截獲了雙方用于計算密鑰的所有交換數(shù)據(jù)，也不足以計算出真正的密鑰。其中的核心技術(shù)就是DH（DiffieHeilman）交換技術(shù)。智能防火墻（IntelligentFirewall）Quidway系列安全路由器提供基于報文內(nèi)容的訪問控制，即智能防火墻，能夠?qū)?yīng)用層的一部分攻擊加以檢測和防范，包括對于SMTP命令的檢測、SYNflooding、PacketInjection的檢測。智能防火墻不但對報文的網(wǎng)絡(luò)層的信息進行檢測，還對應(yīng)用層的協(xié)議信息（如FTP）進行檢測。智能防火墻根據(jù)連接的狀態(tài)動態(tài)的創(chuàng)建和刪除暫時的連接,這靠動態(tài)的修改訪問列表規(guī)則來實現(xiàn)。智能防火墻在自己的數(shù)據(jù)結(jié)構(gòu)中維護著連接的狀態(tài)信息，并利用這些信息來創(chuàng)建暫時的入口（規(guī)則）。智能防火墻保存著不能由訪問列表規(guī)則保存的重要的狀態(tài)信息。防火墻檢驗數(shù)據(jù)流中的每一個報文，確保報文的狀態(tài)與報文本身符合用戶所定義的安全規(guī)則。連接狀態(tài)信息用于智能的允許/禁止報文。當一個會話終止時，暫時的訪問規(guī)則也將被刪除，防火墻中的會話也將被關(guān)閉。智能防火墻使得Quidway系列安全路由器能夠支持一個控制連接上存在多個數(shù)據(jù)連接的協(xié)議。許多應(yīng)用協(xié)議，如Telnet、SMTP使用標準的或已約定的端口地址來進行通信，但大部分多媒體應(yīng)用協(xié)議（如H.323）及FTP、RPC等協(xié)議使用約定的端口來初始化一個控制連接，再動態(tài)的選擇端口用于數(shù)據(jù)傳輸。而端口的選擇是不可預測的，其中的某些應(yīng)用甚至可能要同時用到多個端口。標準防火墻只有阻止類似的應(yīng)用傳輸，以免內(nèi)部網(wǎng)絡(luò)遭受攻擊。有時僅阻止了一些使用固定端口的應(yīng)用，而留下了許多安全隱患。智能防火墻監(jiān)聽每一個應(yīng)用的每一個連接所使用的端口，打開合適的通道讓會話中的數(shù)據(jù)能夠出入防火墻，在會話結(jié)束時關(guān)閉該通道，從而能夠?qū)κ褂脛討B(tài)端口的應(yīng)用實施有效的訪問控制。當報文通過路由器時，智能防火墻將對報文與指定的訪問規(guī)則進行比較，如果規(guī)則允許，報文將接受檢查，否則報文直接被丟棄。如果該報文是用于打開一個新的控制或數(shù)據(jù)連接，智能防火墻將動態(tài)的修改或創(chuàng)建規(guī)則，同時更新狀態(tài)表以允許與新創(chuàng)建的連接相關(guān)的報文。對于回來的報文只有是屬于一個已經(jīng)存在的有效的連接，才會被允許通過防火墻。在處理回來的報文時，狀態(tài)表也需要更新。當一個連接被關(guān)閉或超時后，該連接對應(yīng)的狀態(tài)表將被刪除。動態(tài)生成的規(guī)則不會被存儲到FLASH或NVRAM中，確保未經(jīng)授權(quán)的報文不能隨便透過防火墻。UDP是無連接的報文，所以也沒有真正的UDP"連接"。因為智能防火墻是基于連接的，它將對UDP報文的源、目的IP地址、端口進行檢查，通過判斷該報文是否與所設(shè)定的時間段內(nèi)的其他UDP報文相類似，而近似判斷是否存在一個連接。智能防火墻還可以提供對拒絕服務(wù)攻擊的檢測和防范。拒絕服務(wù)攻擊和其他類型的攻擊不大一樣，攻擊者并不是去尋找進入內(nèi)部網(wǎng)絡(luò)的入口，而是去阻止合法的用戶訪問資源或路由器。智能防火墻增強了對拒絕服務(wù)的檢測和防范以抵御SYNflooding和packetinjection□SYNflooding-用許多的SYN位置位的報文將網(wǎng)絡(luò)的資源耗盡。這個攻擊方法采用創(chuàng)建許多的SYN報文，在很短的時間內(nèi)將特定目標的內(nèi)存或其他資源消耗殆盡；或者通過發(fā)送一系列的報文來判定防火墻通過哪些端口提供服務(wù)。這種攻擊使得特定的網(wǎng)絡(luò)上的HTTP或FTP服務(wù)器保持大量的會話連接，從而讓合法的用戶不能訪問該資源；這種攻擊也可以是發(fā)送大量的不期望的、無用的報文使得整個網(wǎng)絡(luò)的性能下降；或者是提供網(wǎng)絡(luò)的錯誤的狀態(tài)信息。Packetinjection-攻擊者有可能通過發(fā)送一些特定報文以打斷正在使用中的連接。通過發(fā)送相應(yīng)的ICMP報文可以經(jīng)常奏效；或者是偽造一些符合正在使用的會話連接上流控序號的報文。智能防火墻通過兩種途徑來進行攻擊的檢測：對創(chuàng)建新連接的請求的數(shù)目、速率和已打開的半連接的數(shù)目進行比較來檢測SYNfloodingo如果路由器檢測到一個不正常對新連接的請求的速率，將發(fā)送一個告警信息，并采取一些行動。對所有的TCP連接進行報文的序列號檢查以檢測packetinjectingo如果序列號不在預期的可接受的范圍之內(nèi)，則扔掉相應(yīng)的報文。通過以下兩種方法防止拒絕服務(wù)攻擊:丟棄過時的TCP半連接以防止系統(tǒng)資源的損耗。通知相應(yīng)主機清除過時的連接以防止系統(tǒng)過載。管理員可以對最大可接收的半連接的數(shù)目和半連接的超時時間進行設(shè)置。這對低速連接有效（512kbps或以下）。暫時禁止所有的SYN報文進入受攻擊的主機。這個暫時的限制并不對已經(jīng)存在的連接產(chǎn)生影響。管理員可以對恢復接收SYN報文的時間間隔進行設(shè)置。這對高速連接有效（521kbps以上）。智能防火墻還提供了增強的跟蹤審計功能?？梢詫λ械倪B接進行記錄，包括：記錄連接的時間、源地址、目的地址、使用的端口和傳輸?shù)淖止?jié)數(shù)。安全管理（1）信息中心Quidway安全路由器提供以下幾種系統(tǒng)信息的記錄功能：access-list的log功能:在配置access-list時加入log關(guān)鍵字，可以在路由器處理相應(yīng)的報文時，記錄報文的關(guān)鍵信息；關(guān)鍵事件的日志記錄：對于如接口的UP、DOWN以及用戶登錄成功、失敗等信息可以作記錄；Debug信息：用來對網(wǎng)絡(luò)運行出現(xiàn)的問題進行分析。各信息按重要性程度由高到低分為0?7級。（2）安全策略分析與管理因為越來越高的網(wǎng)絡(luò)安全性要求，使得安全產(chǎn)品也日益復雜。路由器也不例外，由最初的包過濾、地址轉(zhuǎn)換發(fā)展到今天的智能防火墻、IPSec等功能。然而為了有效地設(shè)定各種功能下的安全策略，用戶面對的是越來越復雜的配置。雖然可以通過圖形化配置方式彌補命令行方式的一些缺點，但這是遠遠不夠的。這就需要更高級的安全策略分析與管理，以簡化用戶的使用，保證網(wǎng)絡(luò)的安全性。成熟的安全策略分析與管理將基于策略數(shù)據(jù)庫實現(xiàn)，并且在需要的地方可設(shè)置安全策略服務(wù)器，包含以下功能：策略生成-用戶僅需形象化地設(shè)定一些安全需求，而由策略管理中心自動完成策略的配置，并把策略下載到相應(yīng)的設(shè)備上。策略模板-引導用戶--步一步地配置所需的安全策略。策略跟蹤-在用戶更新配置時，能根據(jù)以前的配置信息給出相關(guān)的建議或提示信息。策略沖突分析-分析用戶配置的各種策略是否存在矛盾或沖突，而使策略變得實際上不可行。安全策略分析與管理是Quidway系列路由器在安全方面的一個新的發(fā)展方向。其他安全措施路由器依據(jù)路由信息表來發(fā)送報文。動態(tài)路由協(xié)議負責接收其他路由器傳送來的路由信息，并發(fā)送自己維護的路由信息。在接受任何路由變化的信息之前，需要對此路由信息的發(fā)送方進行驗證，以保證收到的是由信任的源發(fā)送的合法的路由信息。需要對鄰接路由器進行驗證的路由協(xié)議有BorderGatewayProtocol(BGP)OpenShortestPathFirst(OSPF)RoutingInformationProtocol(RIP)version2如果運行了這些路由協(xié)議中的一個或多個協(xié)議，并且有可能接收到虛假的路由信息的話，則有必要配置對鄰接路由器的驗證。6.3對中原大學網(wǎng)絡(luò)建設(shè)安全的具體建議本次中原大學網(wǎng)絡(luò)的建設(shè)，為校園網(wǎng)的內(nèi)部辦公和對外服務(wù)提供了極大的便利。但由于構(gòu)成Internet的TCP/IP協(xié)議本身缺乏安全性，電子政務(wù)的網(wǎng)絡(luò)安全成為必須面對的一個實際問題。在網(wǎng)絡(luò)上存在著各種類型的攻擊方式，包括網(wǎng)絡(luò)層攻擊、應(yīng)用級攻擊和系統(tǒng)級攻擊。網(wǎng)絡(luò)構(gòu)建及組成中，網(wǎng)絡(luò)設(shè)備僅完成網(wǎng)絡(luò)級安全的防范。針對以上提到的各種安全隱患，安全網(wǎng)絡(luò)設(shè)備必須具有如下的安全特性：可靠性與線路安全、身份認證、訪問控制、信息隱藏、數(shù)據(jù)加密、攻擊探測和防范、安全管理等方面的內(nèi)容。針對本次網(wǎng)絡(luò)建設(shè)存在以上各種安全隱患，建議采取如下的網(wǎng)絡(luò)級、應(yīng)用級和系統(tǒng)級安全措施來保證網(wǎng)絡(luò)的安全。身份認證只有網(wǎng)絡(luò)管理員才有權(quán)訪問網(wǎng)絡(luò)設(shè)備，所以對訪問設(shè)備的用戶需要進行身份認證。用戶訪問路由器存在多種方式：直接從console口登錄進行配置；telnet登錄配置；通過SNMP進行配置；通過modem遠程配置等等。對于這些訪問方式，都需要輸入密碼和口令，經(jīng)過RADIUS服務(wù)器或相應(yīng)的身份認證獲得訪問設(shè)備的權(quán)限。訪問控制為了保護本次公安網(wǎng)設(shè)備的配置，對設(shè)備的訪問權(quán)限需要進行口令的分級保護。只有持有網(wǎng)絡(luò)管理員相應(yīng)口令的特權(quán)用戶才能對路由器進行配置；一般用戶只有查看普通信息的權(quán)力。633數(shù)據(jù)加密在本次校園網(wǎng)絡(luò)建設(shè)中，如需要對所傳送的重要數(shù)據(jù)進行加密，可以通過華為公司的Quidway系列路由器進行手工配置或自動協(xié)商密鑰兩種方式建立IPSEC,在傳輸或隧道模式下能夠單獨或組合應(yīng)用AH（AuthenticationHeader,認證報頭）和ESP（ExtendedServicesProcessor,擴展業(yè)務(wù)處理器）安全協(xié)議，可以實現(xiàn)對整個IP報文或數(shù)據(jù)載荷內(nèi)容進行不同粒度級別的加密和認證，從而提供驗證數(shù)據(jù)源、校驗數(shù)據(jù)完整性和防止報文重放等（ESP還提供加密）功能，結(jié)合ACL訪問控制列表共同確保數(shù)據(jù)信息在公安網(wǎng)絡(luò)上傳送的安全保密性。應(yīng)用級安全在本次推薦的方案中，可以提供ASPF（ApplicationSpecificPacketFilter,基于應(yīng)用層規(guī)范的包過濾）特性和TippingPoint入侵防御系統(tǒng)。ASPF是一種高級通信過濾。它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。對于所有連接，每一個連接狀態(tài)信息都將被ASPF維護并用于動態(tài)地決定數(shù)據(jù)報文是否被允許通過防火墻或丟棄。通過ASPF的檢測，可以保證所有建立的連接都是合法連接，防止地址欺騙、身份偽造等惡意攻擊行為。TippingPoint隸屬于3Com公司，自2002年發(fā)布第-一個入侵防御系統(tǒng)以來已迅速成為提供基于網(wǎng)絡(luò)的入侵防御系統(tǒng)的領(lǐng)先廠商。Tipping