南京師大附中校園網(wǎng)絡(luò)系統(tǒng)建設(shè)實(shí)施方案V6.0

南京師大附中校園網(wǎng)絡(luò)系統(tǒng)建設(shè)實(shí)施方案PAGE231PAGE46版權(quán)所有(C)江蘇金智科技股份有限公司，保留所有權(quán)利第頁南京師大附中校園網(wǎng)絡(luò)系統(tǒng)建設(shè)實(shí)施方案江蘇金智科技股份有限公司二○○八年四月

目錄1. 校園網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀及分析 31.1. 校園網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀 31.2. 校園網(wǎng)絡(luò)系統(tǒng)問題剖析 41.2.1. 核心設(shè)備沒有提供冗余 41.2.2. 匯聚設(shè)備已處于老化狀態(tài) 41.2.3. 出口網(wǎng)絡(luò)的功能和安全性有待增強(qiáng) 41.2.4. 網(wǎng)絡(luò)安全建設(shè)有待進(jìn)一步深入 51.2.5. 校園網(wǎng)有線接入設(shè)備升級(jí) 52. 校園網(wǎng)絡(luò)系統(tǒng)升級(jí)規(guī)劃 72.1. 骨干網(wǎng)絡(luò)系統(tǒng)升級(jí)說明 72.2. 網(wǎng)絡(luò)出口升級(jí)說明 72.2.1. 出口鏈路 92.2.2. 帶寬管理 92.2.3. 一期多出口鏈路部署 172.2.4. 二期多出口鏈路負(fù)載均衡 183. Dr.COM2133計(jì)費(fèi)系統(tǒng)介紹 303.1. 集成目標(biāo) 303.2. 集成方案 303.2.1. 身份集成 303.2.2. 身份數(shù)據(jù)集成 303.2.3. 門戶集成 313.3. Dr.COM2133計(jì)費(fèi)系統(tǒng)組成及原理 313.4. 服務(wù)流程 333.5. 產(chǎn)品功能 343.6. 功能優(yōu)勢(shì) 353.6.1. 防代理機(jī)制及IP盜用 353.6.2. 防用戶私建DHCP服務(wù)器 363.6.3. PPPoE防代理技術(shù) 363.6.4. 802.1x防代理技術(shù) 363.6.5. P2P協(xié)議限流 373.6.6. 帳號(hào)管理及控制策略 373.6.7. RADIUSSERBER/RADIUSCLIENT 383.6.8. 網(wǎng)絡(luò)安全 383.6.9. 身份認(rèn)證 393.6.10. 詳盡用戶上網(wǎng)訪問日志 393.6.11. 802.1x認(rèn)證 403.6.12. 豐富的計(jì)費(fèi)策略 404. 億郵郵件系統(tǒng)方案 414.1. 集成目標(biāo) 414.2. 集成方案 414.2.1. 用戶范圍和集成 414.2.2. 身份認(rèn)證集成 414.2.3. 門戶集成 414.2.4. 數(shù)據(jù)集成 424.3. 億郵郵件系統(tǒng)設(shè)計(jì) 434.3.1. eYou郵件系統(tǒng)功能 464.3.2. 智能垃圾郵件攔截技術(shù) 534.3.3. 內(nèi)置的殺毒引擎 544.3.4. 基于用戶的多級(jí)管理 544.3.5. 可配置的高效MTA 564.3.6. 系統(tǒng)安全 574.3.7. 系統(tǒng)遵循的相關(guān)協(xié)議 574.3.8. 管理接口 584.4. 億郵郵件系統(tǒng)部署 585. 億郵郵件系統(tǒng)遷移方案 605.1. 綜述 605.2. 系統(tǒng)遷移技術(shù) 605.2.1. 對(duì)exchange系統(tǒng)數(shù)據(jù)的分析 605.3. 遷移方案選擇 605.4. 遷移過程 615.4.1. 遷移的前期準(zhǔn)備工作 615.4.2. 前期測(cè)試 615.4.3. 發(fā)布遷移公告 625.4.4. 測(cè)試遷移程序 625.4.5. 停止現(xiàn)有郵件系統(tǒng)服務(wù) 625.4.6. 開始批量導(dǎo)入進(jìn)程 635.4.7. 測(cè)試 635.4.8. 遷移可能出現(xiàn)的問題以及對(duì)策 635.4.9. 遷移進(jìn)度表 645.5. 遷移方案圖 655.6. 億郵類似的遷移經(jīng)驗(yàn) 656. 思科校園網(wǎng)WLAN建設(shè)方案 666.1. 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)概述 666.1.1. 無線網(wǎng)絡(luò)設(shè)計(jì)框架 677. 投資預(yù)算及實(shí)施計(jì)劃 88校園網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀及分析校園網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀南京師大附中校園網(wǎng)絡(luò)從建設(shè)到至今已運(yùn)行了將近10年之久，基本形成了骨干千兆，百兆到桌面的基本格局，為學(xué)校在信息化平臺(tái)建設(shè)方面提供了良好的網(wǎng)絡(luò)硬件平臺(tái)支撐。目前校園網(wǎng)絡(luò)核心設(shè)備為一臺(tái)Catalyat6509交換機(jī)SUP2代引擎，負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的核心數(shù)據(jù)集中轉(zhuǎn)發(fā)。辦公樓匯聚設(shè)備為兩臺(tái)Catalyst3512交換機(jī)，分別下聯(lián)辦公大樓東南兩側(cè)的Catalyst2924交換機(jī)。老高中樓匯聚設(shè)備為一臺(tái)Catalyst3508交換機(jī)，分別下聯(lián)樓內(nèi)Catalyst3524交換機(jī)。新高中樓匯聚設(shè)備為一臺(tái)港灣uH3548交換機(jī)，下聯(lián)樓內(nèi)港灣uH3524交換機(jī)。教學(xué)樓匯聚設(shè)備為一臺(tái)港灣uH5610交換機(jī)，分別下聯(lián)樓內(nèi)港灣uH3524交換機(jī)。實(shí)驗(yàn)樓匯聚設(shè)備為一臺(tái)港灣uH5610交換機(jī)，分別下聯(lián)樓內(nèi)港灣uH3524交換機(jī)。圖書館匯聚設(shè)備為一臺(tái)港灣uH5610交換機(jī)，分別下聯(lián)樓內(nèi)港灣uH3524交換機(jī)。目前校園網(wǎng)絡(luò)出口帶寬為電信30Mbps，為校園內(nèi)部用戶提供了Internet訪問服務(wù)，出口安全設(shè)備為一臺(tái)FortiGata800防火墻，在校園網(wǎng)出口鏈路上構(gòu)建第一道安全防線。校園網(wǎng)絡(luò)系統(tǒng)問題剖析在第一期建設(shè)中，南京師大附中校園網(wǎng)絡(luò)系統(tǒng)已取得了不錯(cuò)的成果，但隨著網(wǎng)絡(luò)新技術(shù)和新應(yīng)用的不斷發(fā)展，一些新的問題又?jǐn)[在了我們面前，需要我們認(rèn)真地去面對(duì)和解決，才能保證整個(gè)校園網(wǎng)絡(luò)系統(tǒng)穩(wěn)定、高效、安全地運(yùn)行。概括起來，有以下幾個(gè)方面：核心設(shè)備沒有提供冗余目前核心網(wǎng)絡(luò)交換機(jī)為一臺(tái)Catalyst6509設(shè)備，配置了單SUP二代引擎和一些模塊，負(fù)責(zé)整個(gè)校園網(wǎng)的數(shù)據(jù)集中轉(zhuǎn)發(fā)。Catalyst6509交換機(jī)的關(guān)鍵部件為引擎，當(dāng)引擎出現(xiàn)故障后，Catalyst6509將不會(huì)正常工作，整個(gè)網(wǎng)絡(luò)也將面臨癱瘓。另外，Catatlyst6509SUP2引擎所提供的背板帶寬為256Gbps，包轉(zhuǎn)發(fā)速率為210Mpps，對(duì)未來新的業(yè)務(wù)需求和新的功能將無法滿足。匯聚設(shè)備已處于老化狀態(tài)目前圖書館、實(shí)驗(yàn)樓、教學(xué)樓和新高中樓匯聚為港灣5610和3548交換機(jī)，老高中樓和辦公樓匯聚設(shè)備為Catalyst3508和3512設(shè)備。以上這些匯聚設(shè)備已處于老化狀態(tài)，質(zhì)保已經(jīng)過期，對(duì)于新的功能已無法支持，例如IPv6、DAI、DHCPSnooping，交換機(jī)的性能也無法滿足未來用戶增長及業(yè)務(wù)需求的發(fā)展。尤其像港灣設(shè)備，自從被華為收購后，相應(yīng)的產(chǎn)品線已變更，原有港灣設(shè)備的售后服務(wù)已明顯減弱，所以建議本次對(duì)以上匯聚設(shè)備進(jìn)行升級(jí)改造。出口網(wǎng)絡(luò)的功能和安全性有待增強(qiáng)出口網(wǎng)絡(luò)作為校園網(wǎng)和Internet的連接的橋梁，是整個(gè)網(wǎng)絡(luò)的重點(diǎn)區(qū)域。目前在校園網(wǎng)絡(luò)出口鏈路上使用一臺(tái)FortiGata800防火墻，該設(shè)備主要實(shí)現(xiàn)的是ACL和提供NAT能力。由于該防火墻設(shè)備已處于老化狀態(tài)，設(shè)備自身的性能已無法滿足未來業(yè)務(wù)發(fā)展的需求。另外校園內(nèi)用戶大量的P2P應(yīng)用（如迅雷下載）所帶來的帶寬和連接數(shù)等資源的濫用。因此有必要在出口鏈路上增加專門的硬件設(shè)備來提供流量監(jiān)控和管理，從而必要日益泛濫的P2P應(yīng)用對(duì)寶貴的帶寬等資源的濫用。校園網(wǎng)出口鏈路上的防火墻設(shè)備雖然可以提供一定的安全防護(hù)能力，但由于該設(shè)備本身工作層次的限制，只能在OSI模型的三、四層提供訪問控制的功能，但是面對(duì)當(dāng)前日益增多的應(yīng)用層的攻擊如蠕蟲、病毒、木馬等卻無能為力，因此一旦發(fā)生這樣的攻擊，就將校園網(wǎng)內(nèi)部用戶直接暴露在Internet上。為降低內(nèi)部用戶遭受來自Internet的應(yīng)用層次的攻擊，建議在校園網(wǎng)出口處部署思科的ASA可擴(kuò)展IPS功能的防火墻，可以對(duì)校園網(wǎng)核心區(qū)域提供應(yīng)用層的防護(hù)能力。網(wǎng)絡(luò)安全建設(shè)有待進(jìn)一步深入網(wǎng)絡(luò)的安全建設(shè)是一個(gè)長期而艱巨的任務(wù)。學(xué)校通過防火墻和防病毒系統(tǒng)等建設(shè)，已經(jīng)具備一定的安全防護(hù)能力，但卻沒有解決整個(gè)面上的問題，不能解決上網(wǎng)終端設(shè)備的安全問題，不能有效的遏制校園網(wǎng)內(nèi)部蠕蟲病毒的爆發(fā)和傳播，而這些問題一旦發(fā)生卻可能引發(fā)網(wǎng)絡(luò)整體中斷的災(zāi)難后果。另外該安全體系著重于防范，缺乏有效的系統(tǒng)預(yù)警機(jī)制，即在系統(tǒng)正常使用的狀態(tài)下，難以發(fā)現(xiàn)系統(tǒng)運(yùn)行的隱患，隨著對(duì)系統(tǒng)安全和穩(wěn)定性能要求的提高，這一點(diǎn)對(duì)于保證系統(tǒng)的正常運(yùn)行將至關(guān)重要。因此，有必要在系統(tǒng)中增加合適的安全監(jiān)控和分析軟件，對(duì)系統(tǒng)運(yùn)行狀況進(jìn)行實(shí)時(shí)分析，并建立有效的系統(tǒng)運(yùn)行安全預(yù)警機(jī)制。建議部署思科公司的NAC網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，以解決上網(wǎng)終端設(shè)備的安全問題，并有效的遏制校園網(wǎng)內(nèi)部蠕蟲病毒的爆發(fā)和傳播。建議部署思科公司的MARS安全監(jiān)控分析和響應(yīng)系統(tǒng)，以提供對(duì)眾多網(wǎng)絡(luò)和安全設(shè)備的安全事件和流量進(jìn)行集中的監(jiān)控和管理。校園網(wǎng)有線接入設(shè)備升級(jí)接入層設(shè)備在網(wǎng)絡(luò)中扮演著越來越承擔(dān)重要的角色，同時(shí)也面臨著越來越大的挑戰(zhàn)，很大的挑戰(zhàn)在安全接入部分。當(dāng)網(wǎng)絡(luò)接入計(jì)算機(jī)時(shí)需要面臨兩個(gè)問題，一是計(jì)算機(jī)是不是合法的接入網(wǎng)絡(luò)，也就是所謂的身份問題；二是這臺(tái)計(jì)算機(jī)是不是一個(gè)安全干凈的計(jì)算機(jī)，也就是檢查計(jì)算機(jī)當(dāng)前的狀態(tài)是否有感染蠕蟲、病毒或木馬等。另外對(duì)接入層設(shè)備本身做一些安全設(shè)置也具有自防御系統(tǒng)，比如可以防止MAC/CAM攻擊、DHCP攻擊、ARP欺騙、IP/MAC欺騙等，并不是所有的廠商的設(shè)備都支持這些特性，所以建議在選擇接入層設(shè)備時(shí)，要考慮具有防護(hù)以上這些攻擊的特性。對(duì)接入層網(wǎng)絡(luò)設(shè)備進(jìn)行升級(jí)主要應(yīng)從以下幾點(diǎn)考慮：1、建議接入層網(wǎng)絡(luò)設(shè)備采用堆疊或千兆級(jí)聯(lián)方式連接，提高數(shù)據(jù)轉(zhuǎn)發(fā)的速率，其中在一個(gè)堆疊組中任意一臺(tái)設(shè)備出現(xiàn)故障，不會(huì)影響這個(gè)堆疊組的其他計(jì)算機(jī)網(wǎng)絡(luò)中斷；2、建議接入層設(shè)備支持DHCPSnooping，它可以防止下面用戶私接DHCP服務(wù)，避免用戶獲得錯(cuò)誤的IP無法正常上網(wǎng)；3、建議接入層設(shè)備支持端口安全特性，避免對(duì)接入層交換機(jī)CAM表的攻擊；4、建議接入層設(shè)備盡可能使用統(tǒng)一廠商設(shè)備，以便于對(duì)網(wǎng)絡(luò)準(zhǔn)入控制的部署和管理。校園網(wǎng)絡(luò)系統(tǒng)升級(jí)規(guī)劃骨干網(wǎng)絡(luò)系統(tǒng)升級(jí)說明在整個(gè)網(wǎng)絡(luò)核心規(guī)劃中，我們共分為兩個(gè)階段，主要分為骨干網(wǎng)絡(luò)架構(gòu)改造和網(wǎng)絡(luò)安全建設(shè)。我們建議在核心區(qū)域新增了一臺(tái)Catalyst6509設(shè)備，并配置SUP720單引擎，雙電源，與原有Catalyst6509形成雙核心互為備份，以保證核心區(qū)域網(wǎng)絡(luò)系統(tǒng)穩(wěn)定、高效的運(yùn)行?？紤]到目前大部分匯聚設(shè)備已處于老化狀態(tài)，質(zhì)保已經(jīng)過期，對(duì)于新的功能已無法支持，例如IPv6、DAI、DHCPSnooping，交換機(jī)的性能也無法滿足未來用戶增長及業(yè)務(wù)需求的發(fā)展。尤其像港灣設(shè)備，自從被華為收購后，相應(yīng)的產(chǎn)品線已變更，原有港灣設(shè)備的售后服務(wù)已明顯減弱，所以建議逐步將匯聚設(shè)備進(jìn)行升級(jí)改造。網(wǎng)絡(luò)出口升級(jí)說明網(wǎng)絡(luò)出口是整個(gè)網(wǎng)絡(luò)校園網(wǎng)絡(luò)當(dāng)中安全等級(jí)風(fēng)險(xiǎn)最高的區(qū)域，也是網(wǎng)絡(luò)頻繁發(fā)生問題的區(qū)域，所以要在安全控制和管理上應(yīng)重點(diǎn)部署。在校園網(wǎng)絡(luò)出口處我們建議部署一臺(tái)AceNetAG1000帶寬管理設(shè)備，用來提供QOS保證、服務(wù)控制和安全控制等功能，使關(guān)鍵數(shù)據(jù)能夠順暢的通過網(wǎng)絡(luò)，并可以滿足公安部82號(hào)令的需求，記錄用戶上網(wǎng)訪問Internet日志功能，在談到網(wǎng)絡(luò)安全時(shí)，我們主要的設(shè)計(jì)理念是外洗、內(nèi)控、中隔離。外洗是指防火墻設(shè)備，思科現(xiàn)有防火墻分為PIX、ASA和防火墻模塊三種，從性能上來講防火墻模塊最高，可以達(dá)到5.5Gbps的吞吐量；從功能上講三種產(chǎn)品都具有防火墻的功能；從可擴(kuò)展性講ASA系列屬于PIX的升級(jí)版，為降低內(nèi)部用戶遭受來自Internet的應(yīng)用層次的攻擊，可以在ASA上擴(kuò)展IPS和防垃圾的模塊。所以建議用戶在校園網(wǎng)出口處部署思科的ASA5520加可擴(kuò)展IPS功能的防火墻，可以對(duì)校園網(wǎng)核心區(qū)域提供應(yīng)用層的防護(hù)能力和出口鏈路的一道安全防線，對(duì)進(jìn)出校園網(wǎng)的流量進(jìn)行嚴(yán)格控制，在網(wǎng)絡(luò)層高效抵御各種非法訪問。內(nèi)控是指思科的MARS系統(tǒng)，我們可以通過MARS系統(tǒng)收集交換機(jī)設(shè)備的Log信息，可以有效的防止ARP欺騙的攻擊。通過收集交換機(jī)設(shè)備的Netflow流量信息，可以對(duì)各種病毒的PC機(jī)進(jìn)行遏制。對(duì)于SQL病毒、DDos攻擊等，可以通過收集IPS的安全事件信息，有效的保證網(wǎng)絡(luò)安全。中隔離是指IPS入侵防御系統(tǒng)，我們可以通過思科ASA5520的可擴(kuò)展IPS模塊設(shè)備監(jiān)控多個(gè)重要的網(wǎng)段，將信息遞交給MARS進(jìn)行分析。通過CS-MARS-20-K9來分析設(shè)備的log信息和IPS的事件信息及netflow信息，這樣便可以形成一個(gè)防護(hù)整體，保護(hù)南京師大附中校園網(wǎng)絡(luò)。在校園網(wǎng)絡(luò)出口處，目前使用了一個(gè)電信30Mbps網(wǎng)絡(luò)。但隨著學(xué)校各種業(yè)務(wù)應(yīng)用不斷的出現(xiàn)，今后用戶可能選擇多ISP網(wǎng)絡(luò)出口，為了使用戶能夠更充分利用ISP網(wǎng)絡(luò)，我們建議選擇以色列RadwareLinkProof1000設(shè)備為校園網(wǎng)絡(luò)出口提供鏈路的負(fù)載均衡，以提高出口帶寬的使用效率。另外，出口處不需要再配置思科7606邊界路由，從網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)上來看不具有實(shí)際意義。邊界路由主要實(shí)現(xiàn)兩大功能，其一是路由功能，其二是NAT轉(zhuǎn)換功能。以上邊界路由所實(shí)現(xiàn)的兩大功能完全可以使用出口鏈路負(fù)載均衡設(shè)備來實(shí)現(xiàn)，而且使用出口鏈路負(fù)載均衡設(shè)備的SmartNAT技術(shù)可以更好的在多鏈路環(huán)境下使用網(wǎng)絡(luò)。顯然配置邊界路由7606所實(shí)現(xiàn)的功能和出口鏈路負(fù)載均衡設(shè)備所實(shí)現(xiàn)的功能是重疊的，所以建議用戶選擇出口鏈路負(fù)載均衡設(shè)備來靈活的部署出口網(wǎng)絡(luò)。出口鏈路隨著學(xué)校各種業(yè)務(wù)應(yīng)用不斷的出現(xiàn)，目前校園網(wǎng)僅有的一條電信30MbpsISP出口線路將無法滿足未來業(yè)務(wù)增長需求，學(xué)?？筛鶕?jù)應(yīng)用業(yè)務(wù)的增加來調(diào)整出口帶寬。帶寬管理隨著P2P技術(shù)應(yīng)用的不斷擴(kuò)展，特別是基于P2P系統(tǒng)的文件共享業(yè)務(wù)不斷壯大，P2P系統(tǒng)本身潛在的安全問題和對(duì)資源，特別是網(wǎng)絡(luò)帶寬資源的濫用，已經(jīng)受到各個(gè)網(wǎng)絡(luò)運(yùn)營商和學(xué)校網(wǎng)絡(luò)管理者的高度重視。在教育網(wǎng)內(nèi)部迅雷應(yīng)用非常廣泛。據(jù)統(tǒng)計(jì)，P2P應(yīng)用已占ISP業(yè)務(wù)總量的60%～80%，躍然成為網(wǎng)絡(luò)帶寬最大的消費(fèi)者。再加上Internet重要性的日益提高和網(wǎng)絡(luò)結(jié)構(gòu)的日益復(fù)雜，網(wǎng)絡(luò)的安全性、可管理性及傳統(tǒng)應(yīng)用的可用性受到了挑戰(zhàn)。為了實(shí)現(xiàn)P2P流量的快速識(shí)別與管理，AceNET、Cisco、P-CubeCaspian、Cachelogic、AllotPacketeer等公司紛紛推出相關(guān)產(chǎn)品。在校園網(wǎng)絡(luò)出口處我們建議部署一臺(tái)AceNetAG1000帶寬管理設(shè)備，用來提供QOS保證、服務(wù)控制和安全控制等功能。主要包括限制P2P總體流量、限制P2P上行流量、根據(jù)一天中其他應(yīng)用的流量變化規(guī)律在不同的時(shí)間內(nèi)進(jìn)行不同的流量控制、一段時(shí)間內(nèi)的流量定額等。使關(guān)鍵數(shù)據(jù)能夠順暢的通過網(wǎng)絡(luò)，并可以滿足公安部82號(hào)令的需求，記錄用戶上網(wǎng)訪問Internet日志功能。AceNet產(chǎn)品主要優(yōu)勢(shì)部署的方式比較多樣化，可以選用透明、nat、route方式；管理方式是基于web管理，不像有些產(chǎn)品需要安裝policyserver，這樣的管理方式，可能會(huì)由于policyserver的不穩(wěn)定，導(dǎo)致policy無法正常下發(fā)；具有黑名單功能，可以設(shè)置用戶可用帶寬總量的上限，如果超過上限，就把客戶扔到黑名單，使其無法上網(wǎng)，或壓縮其帶寬session等；可記錄的日志有http，ftp，email，聊天這些協(xié)議里的具體內(nèi)容，很方便做審計(jì)；目前是業(yè)界唯一asic架構(gòu)的流控設(shè)備，像其他設(shè)備大多為x86的架構(gòu)，通常x86架構(gòu)只能做到200m的吞吐量，雖然指標(biāo)都寫得很高，但在很多地方看到x86平臺(tái)的設(shè)備在200-300m以上的環(huán)境中都無法正常運(yùn)行。AceNet設(shè)備目前在線運(yùn)行的最高帶寬可達(dá)到2Gbps，而且cpu和內(nèi)存占用率都很低。AceNet功能概述AceNet公司的產(chǎn)品采用自有的SSPP（ServiceSessionPolicyProcessor）專用網(wǎng)絡(luò)芯片，它可以深層次的分析報(bào)文內(nèi)容，進(jìn)行基于狀態(tài)的會(huì)話控制，多層次的P2P流量管理控制以及用戶接入認(rèn)證管理、訪問授權(quán)等多種技術(shù)。芯片中還內(nèi)嵌有強(qiáng)大的Firewall模塊和線速的多鏈路負(fù)載均衡功能，可以全方位的保護(hù)現(xiàn)有網(wǎng)絡(luò)，迅速提升網(wǎng)絡(luò)的有效可靠性和安全可控性。AceNet的通過高速的應(yīng)用層識(shí)別等一系列的關(guān)鍵技術(shù)，可以一方面能夠?qū)Ω鞣N網(wǎng)絡(luò)應(yīng)用進(jìn)行2~7層的識(shí)別，一方面又能夠保證所有的應(yīng)用流量的線速轉(zhuǎn)發(fā)，從而突破上述傳統(tǒng)解決方案的局限性，能夠?qū)W(wǎng)絡(luò)流量進(jìn)行精確識(shí)別進(jìn)而達(dá)到控制的目的。AceNet是業(yè)務(wù)流識(shí)別分析和安全組合控制技術(shù)領(lǐng)先的的設(shè)備供應(yīng)商，提供基于狀態(tài)的數(shù)據(jù)流控制和安全管理控制。AceNet采用自有的SSPPTM專用網(wǎng)絡(luò)芯片，能夠以10Gbps的速率深層次的分析報(bào)文內(nèi)容，直接解決用戶現(xiàn)有的P2P應(yīng)用所帶來的流量控制和數(shù)據(jù)安全威脅問題。隨著學(xué)校網(wǎng)內(nèi)部的信息化程度的提高，VOIP，視頻會(huì)議在學(xué)校內(nèi)部使用，ERP等應(yīng)用系統(tǒng)的部署，學(xué)校網(wǎng)內(nèi)業(yè)務(wù)流量不斷增加。同時(shí)，不受控的網(wǎng)絡(luò)下載，P2P使用，以及蠕蟲等都對(duì)網(wǎng)絡(luò)有效帶寬利用構(gòu)成很大的沖擊，直接影響業(yè)務(wù)的開展。不采取有效的優(yōu)化控制措施，單純?cè)黾泳W(wǎng)絡(luò)帶寬不能起到很好的效果，反而提高學(xué)校運(yùn)營成本。AceNet的AG產(chǎn)品部署在專網(wǎng)出口，網(wǎng)段出口，或網(wǎng)絡(luò)的關(guān)鍵鏈路，能夠提高業(yè)務(wù)數(shù)據(jù)優(yōu)先級(jí)，控制無價(jià)值數(shù)據(jù)占用的帶寬，從而確保學(xué)校業(yè)務(wù)的正常運(yùn)轉(zhuǎn)，降低學(xué)校運(yùn)行成本。P2P流量控制和IM管理IM(InstantMessage),P2P(PeertoPeer),RTSP,MMS和網(wǎng)絡(luò)游戲在現(xiàn)在的Internet上的使用非常普遍和頻繁,因?yàn)镮M造成的泄密和影響工作,P2P軟件對(duì)有限帶寬的肆意濫用,以及各種流媒體軟件和網(wǎng)絡(luò)游戲的泛濫,造成了現(xiàn)有網(wǎng)絡(luò)的管理非常困難,而且?guī)砹撕芏喟踩[患.P2P流量管理以BT為代表的P2P(點(diǎn)對(duì)點(diǎn))互聯(lián)網(wǎng)文件傳輸協(xié)議，由于其傳輸速度快，匿名與及文件查找方便等特點(diǎn)，成為了互聯(lián)網(wǎng)用戶傳輸和共享大容量文件（尤其是影音文件）的首選。但P2P的使用，不但占用巨大網(wǎng)絡(luò)帶寬和連接資源，嚴(yán)重影響其他用戶的正常網(wǎng)絡(luò)使用。另外，P2P的使用還加劇了非授權(quán)文件或版權(quán)文件的擴(kuò)散，對(duì)學(xué)校用戶和版權(quán)作者帶來了嚴(yán)重的安全問題和損失。為了幫客戶應(yīng)對(duì)日益嚴(yán)重的P2P帶來的問題，AG-Series設(shè)備提供完備的P2P的管理功能：P2P全局、組、用戶等的限制與允許；P2P全局、組、用戶等的帶寬控制；P2P完善的流量統(tǒng)計(jì)；P2P全局、組、用戶等的日志記錄；P2P的日志信息在事件日志中查詢；P2P的流量信息可以在Trafficlog中查詢。特色功能AceNet對(duì)P2P采用組合管理控制的方式，可以制定策略進(jìn)行每個(gè)用戶數(shù)據(jù)帶寬監(jiān)控，每個(gè)用戶會(huì)話數(shù)控制，以及應(yīng)用層的識(shí)別控制。除了對(duì)P2P數(shù)據(jù)流進(jìn)行有效控制外，違反策略的用戶還將直接進(jìn)入黑名單，管理員可以迅速發(fā)現(xiàn)P2P的使用者，提高網(wǎng)絡(luò)的有效利用率，降低學(xué)校安全風(fēng)險(xiǎn)。另外AG系統(tǒng)還可以針對(duì)一些特殊的網(wǎng)絡(luò)應(yīng)用進(jìn)行識(shí)別和管理:RTSP(RealTimeStreamingProtoco)，MMS(MultimediaMessagingService),以及FLASHGET等。AceNet對(duì)P2P采用組合管理控制的方式，可以制定策略進(jìn)行每個(gè)用戶數(shù)據(jù)帶寬監(jiān)控，每個(gè)用戶會(huì)話數(shù)控制，以及應(yīng)用層的識(shí)別控制。除了對(duì)P2P數(shù)據(jù)流進(jìn)行有效控制外，違反策略的用戶還將直接進(jìn)入黑名單，管理員可以迅速發(fā)現(xiàn)P2P的使用者，提高網(wǎng)絡(luò)的有效利用率，降低學(xué)校安全風(fēng)險(xiǎn)。AG-series是采用ASIC芯片直接進(jìn)行P2P和IM協(xié)議的內(nèi)容識(shí)別，然后配合AceNet獨(dú)創(chuàng)的行為判斷引擎，支持業(yè)內(nèi)最為廣泛的P2P協(xié)議，并可以對(duì)各種P2P流量和會(huì)話進(jìn)行控制和統(tǒng)計(jì)。P2P-TV和實(shí)時(shí)流媒體應(yīng)用管理由于P2P軟件的廣泛應(yīng)用，當(dāng)今網(wǎng)絡(luò)上流行的多媒體業(yè)務(wù)和流媒體軟件也都采用了這個(gè)P2P的形式，這些流量因?yàn)槭菍?shí)時(shí)的而且要求的帶寬更高，所以比P2P更加搶占和濫用網(wǎng)絡(luò)的有效帶寬，AG系列產(chǎn)品根據(jù)這種網(wǎng)絡(luò)應(yīng)用需求，專門設(shè)定了針對(duì)P2P-TV等P2P流媒體的管理和控制。AG-series可以支持多種P2P實(shí)時(shí)流媒體網(wǎng)絡(luò)應(yīng)用的管理和控制：IM（即時(shí)消息）在IM日益成為一個(gè)難以替代的交流工具的同時(shí)，這項(xiàng)技術(shù)也承受著安全方面的考驗(yàn)。非授權(quán)的IM使用不但會(huì)降低學(xué)校的生產(chǎn)率，也可能會(huì)造成機(jī)密文件的泄漏。更為嚴(yán)重的是IM漏洞、木馬和病毒層出不窮，給學(xué)校用戶的資料安全帶來嚴(yán)重威脅。AG-Series可以非常精細(xì)地控制IM的每個(gè)會(huì)話，提供了細(xì)致的IM控制功能。IM部分功能限制使用（例如，僅對(duì)MSN,ICQ/AIM/Yahoo!有效）IM全局、組、用戶等的限制與允許IM全局、組、用戶等完善的日志記錄當(dāng)啟用IM的日志功能后，可以記錄用戶使用IM軟件的一些信息，包括：登錄某種IM軟件的時(shí)間傳輸文件的時(shí)間和文件名傳輸語音/視頻的時(shí)間登錄信息在事件日志中查詢，傳輸信息在流量日志中查詢AG系列產(chǎn)品可以支持廣泛的IM協(xié)議，如下圖所示:策略化控制通過AG-series設(shè)備基于ASIC的IM/P2P/L7安全管理控制功能,用戶可以根據(jù)安全策略定義網(wǎng)絡(luò)中哪些用戶,流量和服務(wù)可以使用IM/P2P/L7,同時(shí)也可以進(jìn)行這些流量的記錄,監(jiān)控,帶寬限制等高級(jí)應(yīng)用.實(shí)現(xiàn)網(wǎng)絡(luò)的全面優(yōu)化,并消除網(wǎng)絡(luò)安全隱患.用戶流量帶寬的管理控制由于P2P應(yīng)用占用了較大的帶寬，數(shù)據(jù)流量也比較大，具體表現(xiàn)為某個(gè)用戶的流量很大并且維持較長的時(shí)間。這樣，通過對(duì)網(wǎng)絡(luò)用戶的數(shù)據(jù)流量的監(jiān)控和管理來達(dá)到控制的目的。在具體實(shí)踐中，需要用戶數(shù)據(jù)流量分析設(shè)備或軟件不斷的監(jiān)測(cè)用戶的數(shù)據(jù)流，找出可能的P2P使用者，然后采取限流措施。采用這種方式，檢測(cè)每個(gè)用戶的流量比較容易，然而在不影響性能的情況下，在現(xiàn)有網(wǎng)絡(luò)設(shè)備上控制每個(gè)用戶的流量不是很容易實(shí)現(xiàn)。并且，限制用戶流量也同時(shí)影響了用戶其他的應(yīng)用數(shù)據(jù)傳輸。通過AceNetAG系列產(chǎn)品，基于策略的配置,可以非常輕松的實(shí)現(xiàn)基于各種服務(wù)業(yè)務(wù)的帶寬和服務(wù)優(yōu)先級(jí)的控制,可以根據(jù)每種網(wǎng)絡(luò)應(yīng)用服務(wù)的不同,制定不同的流量管理策略.用戶會(huì)話數(shù)的控制P2P應(yīng)用的另外一個(gè)特點(diǎn)就是建立大量的并發(fā)連接，占用大量網(wǎng)絡(luò)帶寬，即使每個(gè)連接的數(shù)據(jù)傳輸量不是很大，累計(jì)起來就非?？捎^。而在正常網(wǎng)絡(luò)使用情況下，用戶的Session會(huì)話數(shù)是在一個(gè)比較有限的范圍內(nèi)，有時(shí)會(huì)有一個(gè)突發(fā)值，但是會(huì)很快恢復(fù)到正常范圍內(nèi)。如果某個(gè)用戶的數(shù)據(jù)流長時(shí)間存在大量的session會(huì)話數(shù)，這個(gè)用戶使用P2P的可能性很大。通過分析控制用戶的Session會(huì)話數(shù)方式可以比較有效的控制P2P應(yīng)用，并且可以適用于所有具有此機(jī)制特性的數(shù)據(jù)流，如網(wǎng)絡(luò)蠕蟲，惡意網(wǎng)絡(luò)掃描等。用戶Session會(huì)話數(shù)的分析控制需要設(shè)備支持基于狀態(tài)的統(tǒng)計(jì)和分析控制，并且可以對(duì)每一個(gè)用戶的并發(fā)連接數(shù)進(jìn)行統(tǒng)計(jì)分析。目前網(wǎng)絡(luò)路由設(shè)備都不支持此功能。P2P應(yīng)用層的控制對(duì)P2P的應(yīng)用層進(jìn)行分析，并采取控制的方式是當(dāng)前控制方式最新的一個(gè)亮點(diǎn)。這種應(yīng)用方式需要對(duì)應(yīng)用協(xié)議進(jìn)行深層次分析，并識(shí)別出應(yīng)用種類，然后進(jìn)行控制。這種識(shí)別通果對(duì)P2P的內(nèi)容進(jìn)行分析，然后作出相應(yīng)的控制策略，禁止，限速或者放行。具體實(shí)現(xiàn)中，如果采用軟件來分析，會(huì)立即構(gòu)成網(wǎng)絡(luò)的瓶頸，使網(wǎng)絡(luò)的實(shí)際可用帶寬大為下降。采用硬件來識(shí)別控制需要較高的技術(shù)能力。目前有許多產(chǎn)品可以進(jìn)行P2P應(yīng)用層的識(shí)別和控制，而實(shí)際上采用硬件方式不影響網(wǎng)絡(luò)性能的產(chǎn)品并不很多。這些采用硬件實(shí)現(xiàn)的產(chǎn)品中，許多也不能支持國內(nèi)的P2P應(yīng)用，如PP點(diǎn)點(diǎn)通等。同時(shí)，P2P應(yīng)用層的控制方法需要針對(duì)每一種，如果需要對(duì)新的P2P應(yīng)用進(jìn)行控制，需要進(jìn)行升級(jí)來識(shí)別。以上的四個(gè)方面的控制各有利弊，協(xié)議端口封閉最容易實(shí)現(xiàn)，然而使用起來不靈活，不能進(jìn)行流量的優(yōu)化及精細(xì)控制，當(dāng)應(yīng)用程序改變端口后便失去效果，在不允許端口封閉的環(huán)境下不能使用。用戶流量帶寬控制實(shí)際使用時(shí)沒有針對(duì)性，沒有區(qū)分業(yè)務(wù)數(shù)據(jù)和P2P數(shù)據(jù)，并且在現(xiàn)有的設(shè)備下，對(duì)每一個(gè)用戶的流量帶寬都進(jìn)行控制而不影響性能也不容易實(shí)現(xiàn)。用戶數(shù)據(jù)流行為控制的方式比較有效并且可以阻止用戶對(duì)網(wǎng)絡(luò)的濫用，然而它不是針對(duì)P2P的控制，所有構(gòu)成大量并發(fā)連接的使用行為都會(huì)被發(fā)現(xiàn)和控制，包括蠕蟲等。能否識(shí)別P2P行為能否識(shí)別P2P類型執(zhí)行P2P流量限速執(zhí)行P2P應(yīng)用阻止新P2P應(yīng)用的支持現(xiàn)有通用設(shè)備實(shí)施難易度P2P專用控制設(shè)備AceNetP2P控制設(shè)備協(xié)議端口控制否否否曾經(jīng)起過作用無易無有每用戶會(huì)話數(shù)控制一定程度可以否否否有效難通常無有每用戶帶寬控制否否不能針對(duì)P2P流量限速否有效難無有應(yīng)用層識(shí)別控制能能能能需升級(jí)難有有從以上表格可以看到，四種控制方式都可以起到一定作用，其中每用戶會(huì)話控制和每用戶帶寬控制對(duì)所有具有P2P高流量特性的數(shù)據(jù)流控制都有一定效果。P2P應(yīng)用層識(shí)別控制是當(dāng)前最有效并且控制效率最高的方式，然而它對(duì)新的P2P應(yīng)用需要立即升級(jí)才能識(shí)別。采用組合控制是更有效，更可控的P2P管理方式，通過每用戶帶寬控制和每用戶會(huì)話數(shù)控制可以及時(shí)發(fā)現(xiàn)P2P的疑似使用者，采用應(yīng)用層識(shí)別控制可以精確控制已知的應(yīng)用。強(qiáng)大的流量分析統(tǒng)計(jì)、報(bào)告功能，提供更好的報(bào)表

AceNet公司的產(chǎn)品收集每個(gè)會(huì)話的流量數(shù)據(jù)，從而獲得關(guān)于源地址、目的地址、應(yīng)用類型和策略的信息。同時(shí)針對(duì)收集的數(shù)據(jù)來創(chuàng)建表格和圖片報(bào)告，一以便進(jìn)行性能規(guī)劃和資源管理。如可以分析每個(gè)IP地址的應(yīng)用和每種應(yīng)用的用戶使用情況以及分析每種應(yīng)用所占用的帶寬比例情況。通過AceNet公司產(chǎn)品提供的各種圖表，使得管理人員管理人員不僅能夠直觀地了解各種應(yīng)用及各個(gè)用戶的當(dāng)前網(wǎng)絡(luò)流量，而且能夠?qū)Ω饔脩?、?yīng)用、策略等項(xiàng)目的統(tǒng)計(jì)數(shù)據(jù)進(jìn)行歷史查詢，并對(duì)上述流量數(shù)據(jù)進(jìn)行排名。簡便的管理方式管理員可以通過任何標(biāo)準(zhǔn)的WEB流量器來訪問AceNet產(chǎn)品，或制定策略，從而對(duì)網(wǎng)絡(luò)流量管理；同時(shí)AceNet產(chǎn)品的配置界面支持中英文界面，方便管理員的配置管理操作。一期多出口鏈路部署網(wǎng)絡(luò)出口是整個(gè)網(wǎng)絡(luò)校園網(wǎng)絡(luò)當(dāng)中安全等級(jí)風(fēng)險(xiǎn)最高的區(qū)域，也是網(wǎng)絡(luò)頻繁發(fā)生問題的區(qū)域，所以要在安全控制和管理上應(yīng)重點(diǎn)部署。在談到網(wǎng)絡(luò)安全時(shí)，我們主要的設(shè)計(jì)理念是外洗、內(nèi)控、中隔離。外洗是指防火墻設(shè)備。為降低內(nèi)部用戶遭受來自Internet的網(wǎng)絡(luò)層的攻擊，所以建議用戶在校園網(wǎng)出口處部署思科的ASA5520防火墻，可以對(duì)校園網(wǎng)核心區(qū)域提供出口鏈路的一道安全防線，對(duì)進(jìn)出校園網(wǎng)的流量進(jìn)行嚴(yán)格控制，在網(wǎng)絡(luò)層高效抵御各種非法訪問。內(nèi)控是指思科的MARS系統(tǒng)，我們可以通過CS-MARS-20-K9系統(tǒng)收集交換機(jī)設(shè)備的Log信息，這樣便可以形成一個(gè)防護(hù)整體，保護(hù)南京師大附中校園網(wǎng)絡(luò)?？梢杂行У姆乐笰RP欺騙的攻擊。通過收集交換機(jī)設(shè)備的Netflow流量信息，可以對(duì)各種病毒的PC機(jī)進(jìn)行遏制。對(duì)于SQL病毒、DDos攻擊等，可以通過收集IPS的安全事件信息，有效的保證網(wǎng)絡(luò)安全。中隔離是指IPS入侵防御系統(tǒng)，我們可以通過思科ASA5520的可擴(kuò)展IPS模塊設(shè)備監(jiān)控多個(gè)重要的網(wǎng)段，將信息遞交給MARS進(jìn)行分析。從而降低內(nèi)部用戶遭受來自Internet的應(yīng)用層的攻擊，可以對(duì)校園網(wǎng)核心區(qū)域提供應(yīng)用層的防護(hù)能力。在校園網(wǎng)絡(luò)出口處，目前使用了一個(gè)電信30Mbps網(wǎng)絡(luò)，但隨著學(xué)校各種業(yè)務(wù)應(yīng)用不斷的出現(xiàn)，今后用戶將增加教育網(wǎng)和中教網(wǎng)出口鏈路。但目前使用防火墻設(shè)備部署在多出口時(shí)，只能使用靜態(tài)路由來手工的指定，無法實(shí)現(xiàn)動(dòng)態(tài)的負(fù)載均衡。為了使用戶能夠更充分利用ISP網(wǎng)絡(luò)，我們建議選擇以色列RadwareLinkProof1000設(shè)備為校園網(wǎng)絡(luò)出口提供鏈路的負(fù)載均衡，以提高出口帶寬的使用效率。二期多出口鏈路負(fù)載均衡針對(duì)以上的問題和挑戰(zhàn)，全球鏈路負(fù)載均衡領(lǐng)導(dǎo)廠商以色列Radware公司創(chuàng)造性的提出了LinkProof鏈路負(fù)載均衡解決方案。LinkProof采用SmartNAT技術(shù)，消除了多宿主網(wǎng)絡(luò)設(shè)計(jì)中固有的復(fù)雜性，提供了一個(gè)易于管理、智能優(yōu)化和利用所有Internet鏈路的解決方案。LinkProof的多宿主解決方案具有以下功能和優(yōu)點(diǎn)：智能管理不同ISP提供的IP地址網(wǎng)段；保證優(yōu)化所有的ISP鏈路，即通過智能負(fù)載均衡所有通過可用鏈路的流量；使用Radware特有的就近性檢測(cè)算法來選擇用于輸出流量的最佳ISP；確保兩個(gè)ISP鏈路同時(shí)應(yīng)用與所有的流入流量，保證Internet連接的暢通；使用Radware特有的就近性檢測(cè)算法來選擇用于流入流量的最佳ISP。整個(gè)校園網(wǎng)絡(luò)部署方式如下圖所示：下圖是一個(gè)典型的LinkProof解決方案的應(yīng)用案例。LinkProof解決方案就是在內(nèi)部交換機(jī)和連接ISP的路由器之間，跨接一臺(tái)LinkProof智能交換機(jī)，所有的地址處理和Internet鏈路優(yōu)化全部由LinkProof智能交換機(jī)來完成。流出（Outbound）流量處理LinkProof主要采用以下集中方式來處理流出流量。SmartNAT對(duì)于流出流量的智能地址管理，LinkProof使用了稱為SmartNAT的算法。當(dāng)選定一個(gè)路由器（某一個(gè)ISP）傳送流出流量時(shí)，LinkProof將選擇該ISP提供的地址。在下圖中，如果LinkProof選擇ISP1作為流出流量的路徑，則它將把內(nèi)部的主機(jī)地址192.168.2.A/24翻譯為100.1.1.A/24，并作為流出數(shù)據(jù)包的源地址。同樣，如果LinkProof選擇ISP2作為流出流量的路徑，則它將把內(nèi)部的主機(jī)地址192.168.2.A/24翻譯為200.1.1.A/24，并作為流出數(shù)據(jù)包的源地址。LinkProof支持dynamic、static、basic三種NAT方式，分別實(shí)現(xiàn)一對(duì)多、一對(duì)一、多對(duì)多的地址翻譯。負(fù)載均衡LinkProof能根據(jù)不同的情況選擇不同的負(fù)載均衡算法分發(fā)流量。具體算法有：輪詢，不考慮鏈路情況，直接把流量循環(huán)分發(fā)到不同的鏈路上；最少連接，查詢LinkProof客戶表上的信息，把數(shù)據(jù)流量分發(fā)到連接數(shù)最少的鏈路；最少流量，包括最少字節(jié)數(shù)或最少數(shù)據(jù)包數(shù)。最少字節(jié)數(shù)，查詢鏈路的使用情況，根據(jù)鏈路上數(shù)據(jù)字節(jié)的情況把新的數(shù)據(jù)流量分發(fā)到字節(jié)較少的鏈路；最少數(shù)據(jù)包數(shù)，查詢鏈路的使用情況，根據(jù)鏈路上數(shù)據(jù)包的情況把新的數(shù)據(jù)流量分發(fā)到數(shù)據(jù)包較少的鏈路；最短響應(yīng)時(shí)間，根據(jù)鏈路的響應(yīng)時(shí)間把流量分發(fā)到響應(yīng)較快的鏈路；客戶定制的SNMP算法；哈希；WindowsNT代理。流量分組對(duì)于流出的流量，可以根據(jù)源地址、目的地址或者應(yīng)用類型（端口號(hào)碼）指定其中一條鏈路作為主用鏈路，其他鏈路作為備份鏈路。當(dāng)主用鏈路正常工作時(shí)，流量都通過主用鏈路進(jìn)行處理，只有在主用鏈路不可用時(shí)，流量才會(huì)由備份鏈路進(jìn)行處理。在許多情況下，用戶需要特定流量分配到相應(yīng)的ISP鏈路，并且在這些鏈路中實(shí)現(xiàn)負(fù)載均衡。例如：公司希望將VPN流量通過特定的鏈路，因?yàn)樗麄儾幌胫匦屡渲梅阑饓Φ牟呗詠碓试S新ISP地址通過它；管理員喜歡將郵件流量分配到指定的幾個(gè)ISP鏈路連接到Internet。流量分組使得LinkProof可以根據(jù)不同類型的流量而選擇不同的鏈路。網(wǎng)絡(luò)管理員可以根據(jù)目標(biāo)地址、源地址和應(yīng)用類型定義流量組。這使得流量分配更加靈活和方便。下圖是根據(jù)應(yīng)用流量分組的示意圖。Grouping–ApplicationGrouping–ApplicationLocalNetworkCRMRouter1Router2and3Web當(dāng)用戶訪問Web應(yīng)用時(shí)，通過Router1去往ISP1鏈路。當(dāng)用戶訪問CRM應(yīng)用時(shí)，LP將用戶請(qǐng)求轉(zhuǎn)向ISP2和ISP3，在它們當(dāng)中實(shí)現(xiàn)負(fù)載均衡。就近性路由為了優(yōu)化流出的流量，LinkProof還為流出的流量實(shí)施就近性運(yùn)算。如果內(nèi)部主機(jī)要訪問某一Internet站點(diǎn)，可能通過一個(gè)ISP的路徑比通過其他ISP的路徑有效。因此，LinkProof可以提供就近性算法，為流出到某一個(gè)站點(diǎn)的流量選擇最佳的ISP路徑，保證所需內(nèi)容最快到達(dá)目的地，提高服務(wù)的品質(zhì)。LinkProof考慮路由的跳數(shù)、路徑的延遲和負(fù)載狀況來進(jìn)行對(duì)每個(gè)目的地的就近性運(yùn)算，選擇最佳的流出流量傳輸路徑。流入（Inbound）流量處理LinkProof不僅需要管理流出的流量，還必須管理來自Internet的訪問，即流入（InBound）流量。假設(shè)下圖中的Server1是Web服務(wù)器，Internet主機(jī)名為，地址為私有IP：00/24。SmartNAT針對(duì)采用域名方式實(shí)現(xiàn)訪問的應(yīng)用，SmartNAT功能和LinkProof上集成的DNS代理結(jié)合在一起，即能夠完成流入流量的負(fù)載均衡。如圖所示，在DNS服務(wù)器上注冊(cè)兩筆NS記錄，指向LinkProof： NSwww.R NSwww.R 而在LinkProof上設(shè)置URL與內(nèi)部主機(jī)地址的對(duì)應(yīng)關(guān)系： 00而在LinkProof上設(shè)置靜態(tài)的地址翻譯： 00 00當(dāng)有Internet用戶訪問是時(shí)，DNS服務(wù)器回應(yīng)給用戶由LinkProof來完成最終地址解析。LinkProof根據(jù)具體設(shè)置來選定適當(dāng)?shù)腎SP線路，如果選擇ISP1，則將地址解析為。同樣，如果選擇ISP2，則將地址解析為。從而完成流入流量的負(fù)載均衡。針對(duì)直接采用地址實(shí)現(xiàn)訪問的應(yīng)用，LinkProof通過靜態(tài)NAT將服務(wù)的內(nèi)部地址一對(duì)一地轉(zhuǎn)換為公網(wǎng)地址。過程示意圖如下：LinkProofSmartNATInboundLinkProofSmartNATInboundWebS00RadwareLinkProofExternalU?User’sLocalDNSServerAuthoritativeDNSFor?3-GoAskNS1orNS2(LinkProof)!6-=4-?5-TellyourclientIP=LinkProofSmartNATsfor:forISP1forISP2用戶會(huì)話表的操作通常對(duì)于出向流量，當(dāng)本地用戶發(fā)起請(qǐng)求訪問遠(yuǎn)程服務(wù)器，LinkProof會(huì)創(chuàng)建一條會(huì)話記錄，記錄了用戶通過哪一個(gè)ISP鏈路(LinkProof稱為NHR)連接Internet服務(wù)器，當(dāng)服務(wù)器響應(yīng)時(shí)，LinkProof根據(jù)剛才記錄的會(huì)話記錄，將地址正確轉(zhuǎn)換后響應(yīng)給用戶。對(duì)于入向流量，遠(yuǎn)程用戶先發(fā)起連接請(qǐng)求，訪問本地的服務(wù)器，LinkProof如何保證進(jìn)和出的流量通過同一條鏈路呢？與出向流量類似，LinkProof會(huì)創(chuàng)建一條“反向”的會(huì)話記錄。記錄了遠(yuǎn)程用戶通過哪一個(gè)NHR進(jìn)來訪問的。從而保證的會(huì)話的一致性。以下是LinkProof的會(huì)話表?xiàng)l目，Dir是會(huì)話的方向，TO和FR(From)正好相反，即出向和入向。ClientAddrDstAddrNHRAddrSrcPDstPAttchTimeTDir30674442804566013DNTO0543426214562192DNTO301078018814564984DNFR就近性路由對(duì)于流入的流量，LinkProof使用就近性判斷機(jī)制。就近性機(jī)制分為靜態(tài)和動(dòng)態(tài)兩種方式：靜態(tài)就近性：針對(duì)已知的用戶范圍和網(wǎng)絡(luò)的就近性（例如網(wǎng)通用戶應(yīng)采用網(wǎng)通線路，電信用戶使用電信線路），LinkProof上可以設(shè)置靜態(tài)就近性表，要求用戶嚴(yán)格按照該表來選擇線路；動(dòng)態(tài)就近性：考慮路由的跳數(shù)、路徑的延遲和負(fù)載狀況來進(jìn)行對(duì)每個(gè)訪問發(fā)起點(diǎn)的就近性運(yùn)算，選擇最佳的流入流量傳輸路徑，進(jìn)行最終的解析地址。這個(gè)“近”其實(shí)是“最佳”的概念，因?yàn)橥锢砩献罱木€路不見得就是當(dāng)時(shí)最佳的路徑，將Latency，Hop，Load參數(shù)通盤考慮選優(yōu)是Radware獨(dú)有的技術(shù)并已獲取專利，能夠準(zhǔn)確有效地選擇最佳路徑。Radware的就近性檢測(cè)方法利用了就近性檢測(cè)試探、由就近性標(biāo)準(zhǔn)構(gòu)成的動(dòng)態(tài)表以及由管理員配置的參數(shù)構(gòu)成的靜態(tài)表。當(dāng)WSD-NP或LinkProof提供前往某個(gè)網(wǎng)絡(luò)的服務(wù)時(shí)，如果該網(wǎng)絡(luò)不在任何一個(gè)表中，這些設(shè)備將權(quán)衡前往該網(wǎng)絡(luò)的就近性。就近性表中的所有網(wǎng)絡(luò)記錄都使用了C類網(wǎng)絡(luò)的形式。進(jìn)行測(cè)量時(shí)，Radware啟動(dòng)就近性檢測(cè)試探過程，它會(huì)向目標(biāo)網(wǎng)絡(luò)發(fā)送幾個(gè)數(shù)據(jù)包（最多4個(gè)），然后通過就近性檢測(cè)試探的結(jié)果了解中繼段數(shù)和延時(shí)情況。為了實(shí)現(xiàn)最準(zhǔn)確的測(cè)量結(jié)果，就近性檢測(cè)包括了IP、TCP和應(yīng)用層的試探（比如TCP確認(rèn)測(cè)試和ICMP回顯請(qǐng)求測(cè)試）。回復(fù)不外乎兩種情況，一是對(duì)ICMP回顯(PING)請(qǐng)求的響應(yīng)，二是由遠(yuǎn)程網(wǎng)絡(luò)作為對(duì)其他就近性檢測(cè)試探數(shù)據(jù)包的響應(yīng)而生成的錯(cuò)誤消息。一旦設(shè)備了解了它所在的網(wǎng)絡(luò)同客戶端網(wǎng)絡(luò)之間的中繼段數(shù)和延時(shí)情況，就會(huì)將最佳的3個(gè)內(nèi)容傳輸路徑記錄到動(dòng)態(tài)表中。這些數(shù)據(jù)在動(dòng)態(tài)表中的存儲(chǔ)時(shí)間由管理員定義。掌握了就近性信息后，Radware設(shè)備就可以基于該信息復(fù)位向來自已知網(wǎng)絡(luò)的客戶端。借此，管理員可使用延時(shí)問題最輕、中繼段數(shù)最少的路徑為最終用戶傳遞內(nèi)容。管理員甚至還可以通過設(shè)置靜態(tài)就近性表來配置復(fù)位向決定。Radware設(shè)備在檢查動(dòng)態(tài)表中的客戶端C類網(wǎng)絡(luò)之前會(huì)首先檢查靜態(tài)表。以這種方式，Radware設(shè)備可將某些客戶端自動(dòng)復(fù)位向到所配置的最佳路徑，另外還可以在靜態(tài)表中定義第二和第三最佳路徑。優(yōu)化就近性檢測(cè)方法使用Radware提供的多種參數(shù)，可根據(jù)各個(gè)環(huán)境的獨(dú)特需要方便地自定義就近性檢測(cè)方法。這種自定義包括多種操作，比如增加分配給動(dòng)態(tài)就近性表的內(nèi)存、更改動(dòng)態(tài)就近性表的內(nèi)容有效期、為Radware就近性設(shè)備提供DNS名稱以及僅使用靜態(tài)就近性表等。調(diào)整動(dòng)態(tài)表的超時(shí)和內(nèi)存分配等參數(shù)，可以調(diào)整網(wǎng)絡(luò)就近性探測(cè)的頻度。通過調(diào)整并且考慮每個(gè)環(huán)境的獨(dú)特需求，可以在探測(cè)頻度和數(shù)據(jù)時(shí)效性之間尋求適當(dāng)平衡。這在某些環(huán)境中可能非常重要，因?yàn)镽adware的網(wǎng)絡(luò)就近性試探過程利用了ICMP回顯請(qǐng)求（作為探測(cè)方法之一），而客戶端很少會(huì)注意到這種就近性檢查。為了盡量減少任何客戶端問題的一個(gè)方法是，為Radware設(shè)備提供諸如“”、“quality-of-servicedevice.”或“”等的DNS名稱。一旦客戶端檢測(cè)到就近性檢測(cè)資料包，它們可以進(jìn)行反向DNS查詢，從而了解探測(cè)數(shù)據(jù)包的本意和來源。另外，還可以為客戶提供一封簡信，以說明這些探測(cè)數(shù)據(jù)包的目的。附錄A顯示了一個(gè)樣本。如果能有效利用靜態(tài)就近性表，已知網(wǎng)絡(luò)中的客戶端將可以被直接復(fù)位向到適當(dāng)資源，同時(shí)盡量減少網(wǎng)絡(luò)就近性探測(cè)數(shù)據(jù)包的數(shù)量。借助靜態(tài)表，可以基于多種條件來復(fù)位向客戶端，比如IANA（Internet指定編號(hào)機(jī)構(gòu)）分配的IP地址。對(duì)全球分布性站點(diǎn)而言，這可能是一個(gè)解決方法，因?yàn)镮P地址分配是由三個(gè)主要機(jī)構(gòu)負(fù)責(zé)的，每個(gè)機(jī)構(gòu)都有自己的管轄區(qū)域。有關(guān)IP地址和組織區(qū)域劃分的詳細(xì)信息，請(qǐng)?jiān)L問“InternetProtocolAddressSpace”（Internet協(xié)議地址空間）表，相應(yīng)網(wǎng)址為：/assignments/ipv4-address-space另外還可以使用已知的客戶端位址范圍配置靜態(tài)表，并且設(shè)置三個(gè)最佳的內(nèi)容訪問路由。這種方法極其適用于大型的Extranet和Intranet。要適當(dāng)調(diào)整Radware就近性檢測(cè)方法，其過程相當(dāng)簡單，但對(duì)于不同的環(huán)境會(huì)有不同的要求。Radware的項(xiàng)目團(tuán)隊(duì)具有豐富的Internet、Intranet和Extranet環(huán)境經(jīng)驗(yàn)，可幫助客戶獲得理想的結(jié)果，從而確保能通過最優(yōu)化的路徑傳輸內(nèi)容，并且符合技術(shù)和業(yè)務(wù)上的目標(biāo)。有時(shí)候，IDS（入侵檢測(cè)系統(tǒng)）可能將就近性檢查數(shù)據(jù)包誤認(rèn)為是對(duì)IDS之后的設(shè)備進(jìn)行攻擊的數(shù)據(jù)包。為了盡量減少這些誤報(bào)，LinkProof和WebServerDirector均允許用戶配置每種檢查，以確定是用于入站就近性、出站就近性，還是同時(shí)用于二者，或者二者都不是。就近性檢測(cè)示意圖：ProximityProximityLocalnetworkLinkP?120ms60ms30msProximityforFirstPath=ISP3SecondPath=ISP2ThirdPath=ISP1其它重要功能全路徑健康檢查LinkProof在多宿主網(wǎng)絡(luò)中的一個(gè)主要作用是檢測(cè)ISP鏈路的可用性，即健康狀況。而一條訪問鏈路的健康狀況不僅僅是由ISP的路由器的狀況決定的。因此，LinkProof提供了全路徑健康檢查的功能，最多能夠完成10跳路由健康的檢測(cè)，從而保證整條數(shù)據(jù)鏈路的通常，提高服務(wù)質(zhì)量。注：該方法要求ISP的鏈路對(duì)ICMP開放。健康檢查模塊LinkProof的健康檢查模塊提供更為健全和靈活的判斷機(jī)制。當(dāng)ICMP的數(shù)據(jù)包出于安全原因而被ISP禁止時(shí)，該方法了優(yōu)勢(shì)就有了更充分的體現(xiàn)。此時(shí)，可以通過多個(gè)Internet站點(diǎn)的可達(dá)性，來共同判斷一條鏈路的狀況。例如，通過電信線路檢查、、以及的TCP80端口，并對(duì)檢查結(jié)果做“或”運(yùn)算。這樣，只要其中一個(gè)站點(diǎn)可達(dá)，即可表明鏈路狀態(tài)良好。該方法即避免了ICMP檢查的局限性，也避免了單一站點(diǎn)檢查帶來的單點(diǎn)失誤。該方法為LinkProof獨(dú)有。 故障恢復(fù)和預(yù)熱定時(shí)器如果ISP連接狀況不穩(wěn)定，則最好不要通過它發(fā)送任何流量，知道它在預(yù)定時(shí)間內(nèi)能夠維持穩(wěn)定。LinkProof提供故障恢復(fù)和預(yù)熱定時(shí)器，用戶可以自定義定時(shí)器的延遲時(shí)間，從而確保將會(huì)話定向到穩(wěn)定的ISP鏈路。一旦ISP恢復(fù)正常，LinkProof能逐漸增加發(fā)送到該ISP的流量。備份路由器可以在LinkProof上設(shè)置，如果其它ISP的鏈路沒有中斷，則不能使用某個(gè)ISP鏈路。設(shè)備管理所有Radware應(yīng)用交換機(jī)的設(shè)備管理方式相同。針對(duì)智能交換機(jī)LinkProof，網(wǎng)絡(luò)管理人員可利用如下方式對(duì)其進(jìn)行管理：SNMP網(wǎng)絡(luò)管理系統(tǒng)APSoluteInsite標(biāo)準(zhǔn)的網(wǎng)絡(luò)瀏覽器使用Telnet命令CLI命令行控制方式(需要與LinkProof智能交換機(jī)通過控制臺(tái)接口直接連接)SSH管理手段其中，通過使用APSoluteInsite管理每個(gè)站點(diǎn)中的所有LinkProof設(shè)備，可以實(shí)現(xiàn)性能控制和監(jiān)視。APSoluteInsite是業(yè)內(nèi)首個(gè)針對(duì)整個(gè)站點(diǎn)的軟件管理工具。通過它可在企業(yè)范圍內(nèi)實(shí)現(xiàn)對(duì)IP應(yīng)用性能的統(tǒng)一管理、監(jiān)視和控制?；谝子谑褂玫恼军c(diǎn)地圖界面，APSoluteInsite使得企業(yè)可以繪制他們的整個(gè)網(wǎng)絡(luò)，包括各種LinkProof設(shè)備以及各自的路由器。APSoluteInsite的統(tǒng)計(jì)模塊提供了有關(guān)實(shí)際應(yīng)用性能的實(shí)時(shí)視圖和歷史視圖，借此可監(jiān)視站點(diǎn)范圍的操作，并能輕易地找到隱患和故障，從而實(shí)現(xiàn)了對(duì)所有Internet鏈路性能的完全監(jiān)視和控制。RadwareLinkProof優(yōu)勢(shì)RadwareLinkProof是目前業(yè)界最早推出鏈路負(fù)載均衡并一直專注在這個(gè)市場(chǎng)的廠商，擁有多項(xiàng)專利，包括動(dòng)態(tài)就近性等。Radware推出全球首個(gè)ISP負(fù)載均衡解決方案-LinkProof，到目前LinkProof已經(jīng)有近6年的現(xiàn)場(chǎng)實(shí)施經(jīng)驗(yàn)，全世界安裝超過5000臺(tái)，安裝數(shù)量遠(yuǎn)遠(yuǎn)高于其他任何一個(gè)多鏈路解決方案廠商。Radware的動(dòng)態(tài)就近性算法幫助客戶解決了外部網(wǎng)絡(luò)IP地址無法完全枚舉的問題，解決了通過靜態(tài)方式設(shè)置策略路由需要進(jìn)行的大量手工調(diào)整和IP地址塊改動(dòng)的問題。Radware作為鏈路負(fù)載均衡市場(chǎng)的領(lǐng)導(dǎo)者，深刻了解客戶在鏈路負(fù)載均衡反面的需求，因而開發(fā)了一些補(bǔ)充功能來優(yōu)化鏈路的使用，比如Radware可以設(shè)置當(dāng)A鏈路的流量達(dá)到鏈路帶寬的一定比例，就更多分配流量到另外的鏈路。Dr.COM2133計(jì)費(fèi)系統(tǒng)介紹網(wǎng)絡(luò)計(jì)費(fèi)軟件是負(fù)責(zé)校內(nèi)學(xué)生上網(wǎng)計(jì)費(fèi)管理的系統(tǒng)，主要功能包括：計(jì)費(fèi)模塊（用于校外網(wǎng)服務(wù)計(jì)費(fèi)）、自服務(wù)模塊（用于查詢登錄記錄/個(gè)人帳單、繳費(fèi)記錄）。集成目標(biāo)實(shí)現(xiàn)校內(nèi)的教職工用戶、學(xué)生用戶、客戶端用戶、臨時(shí)用戶在使用計(jì)費(fèi)登錄、自服務(wù)查詢時(shí)共用校內(nèi)統(tǒng)一身份的帳號(hào)進(jìn)行登錄。集成方案身份集成方式一：計(jì)費(fèi)程序調(diào)用統(tǒng)一身份認(rèn)證平臺(tái)LDAP接口認(rèn)證，從統(tǒng)一身份認(rèn)證平臺(tái)中取得權(quán)威用戶的信息，對(duì)于不在集成用戶范圍內(nèi)的臨時(shí)用戶，仍采用原計(jì)費(fèi)系統(tǒng)中的認(rèn)證方式。方式二：采用基于IDStar認(rèn)證接口（JAVA接口）的集成方式，實(shí)現(xiàn)單點(diǎn)登錄（只要登錄一次到數(shù)字化校園平臺(tái)，進(jìn)入計(jì)費(fèi)平臺(tái)無需登錄）。身份數(shù)據(jù)集成方式一：計(jì)費(fèi)系統(tǒng)管理員手工訂閱人員更新信息，共享庫提供excel格式數(shù)據(jù)下載，由計(jì)費(fèi)系統(tǒng)管理員手工導(dǎo)入計(jì)費(fèi)系統(tǒng)中，實(shí)現(xiàn)用戶信息同步。方式二： 修改計(jì)費(fèi)程序的用戶信息的存放方式，直接采用統(tǒng)一身份認(rèn)證平臺(tái)的存儲(chǔ)有用戶信息的LDAP目錄中去用戶信息，進(jìn)行認(rèn)證。門戶集成1. 通過iframe集成自服務(wù)模板登錄后的操作頁面。為考慮美觀，需要計(jì)費(fèi)軟件方生成一個(gè)新的操作頁面，該操作頁面是由原有的操作頁面去掉頁頭的logo后生成的新頁面，頁面的樣式調(diào)用門戶的通用CSS樣式單，以適應(yīng)門戶個(gè)性模板的變化。2. 在信息門戶中添加“網(wǎng)絡(luò)計(jì)費(fèi)”頁，該頁下只放置一個(gè)欄目來顯示集成后的自服務(wù)板塊頁面。用戶的操作方式與集成前一致。Dr.COM2133計(jì)費(fèi)系統(tǒng)組成及原理Dr.COM計(jì)費(fèi)服務(wù)器是由IP接入服務(wù)器（2133B-RAS）和后臺(tái)計(jì)費(fèi)軟件（2133Billingware）組成：硬件是2133B-RAS寬帶接入服務(wù)器；軟件包括管理員、操作員、統(tǒng)計(jì)員、數(shù)據(jù)庫自動(dòng)刷新程序、數(shù)據(jù)庫和客戶端。硬件是網(wǎng)關(guān)型的設(shè)備，安裝在網(wǎng)絡(luò)的出口，負(fù)責(zé)用戶的認(rèn)證，授權(quán)和計(jì)費(fèi)，數(shù)據(jù)采集、實(shí)時(shí)控制和執(zhí)行各種網(wǎng)絡(luò)和計(jì)費(fèi)策略，并將數(shù)據(jù)傳送到后臺(tái)進(jìn)行處理，軟件是對(duì)硬件進(jìn)行參數(shù)設(shè)置和狀態(tài)監(jiān)控，為用戶提供營運(yùn)平臺(tái)和數(shù)據(jù)分析。沒有身份驗(yàn)證的計(jì)費(fèi)結(jié)果是不能令人信服的?；诰W(wǎng)管的計(jì)費(fèi)利用SNMP、RMON等網(wǎng)管協(xié)議獲取網(wǎng)絡(luò)硬件設(shè)備上MAC或IP的流量，并僅就此進(jìn)行統(tǒng)計(jì)并不適用于寬帶網(wǎng)絡(luò)。在寬帶網(wǎng)絡(luò)的環(huán)境中，IP地址、MAC地址、VC、交換機(jī)端口等參數(shù)都在一定程度上代表用戶，但又都不能唯一確定用戶的身份。用戶身份驗(yàn)證的目的就是把其中的一個(gè)參數(shù)與用戶的賬戶進(jìn)行綁定。驗(yàn)證是一個(gè)交互的契約過程，對(duì)運(yùn)營商和用戶都有必要。交換機(jī)端口、MAC地址等物理層和鏈路層的參數(shù)，隨網(wǎng)絡(luò)硬件的不同差異性很大，再加上本身的無序性、不可被路由、和實(shí)際操作的困難，很難拿來與賬戶綁定。Dr.COM的做法是把用戶賬戶與IP地址綁定，并實(shí)時(shí)地進(jìn)行唯一性檢查，杜絕IP地址或賬戶盜用。這是Dr.COM2133B-RAS寬帶接入服務(wù)器的核心技術(shù)。2133B-RAS使得寬帶計(jì)費(fèi)不再拘泥于網(wǎng)絡(luò)第二層技術(shù)和設(shè)備，適用于Ethernet、ADSL、HFC、HomePNA、Wireless等所有寬帶環(huán)境。Dr.COM計(jì)費(fèi)系統(tǒng)既可在用戶開戶時(shí)實(shí)施靜態(tài)的綁定，也可在用戶登錄時(shí)實(shí)施動(dòng)態(tài)的綁定。靜態(tài)綁定適合于需要對(duì)用戶作較多限制的場(chǎng)合，動(dòng)態(tài)綁定給予用戶較大的自由度，用戶賬戶可在網(wǎng)內(nèi)漫游。有些代理服務(wù)器軟件也能做身份驗(yàn)證，表面看來與似乎與Dr.COM的做法一樣，但實(shí)質(zhì)上有很大的區(qū)別。2133B-RAS是在IP層做綁定，而Proxy是在應(yīng)用層做綁定（對(duì)不同的應(yīng)用分別綁定或驗(yàn)證）。基于Proxy的計(jì)費(fèi)系統(tǒng)至少有如下幾個(gè)缺點(diǎn)：不全面，有漏失。因?yàn)樵S多IP應(yīng)用不通過代理服務(wù)器或不可被代理，這些IP包顯然無法被統(tǒng)計(jì)和計(jì)費(fèi)。不準(zhǔn)確。從應(yīng)用層推算IP層的流量，就像拿一把本身刻度就不準(zhǔn)的尺去量長度一樣，其誤差是顯而易見的。效率低。Proxy大部份運(yùn)行在WIN/NT、LINUX或Solaris操作系統(tǒng)平臺(tái)上。Proxy和這些操作系統(tǒng)對(duì)系統(tǒng)的開銷很大，再加上數(shù)據(jù)庫和計(jì)費(fèi)軟件的開銷，結(jié)果是隨著用戶數(shù)和流量的增加，系統(tǒng)越來越慢，甚至崩潰。無法杜絕多人共用同一賬號(hào)上網(wǎng)。因此我們就不難理解，為什么所有基于Proxy的計(jì)費(fèi)軟件的計(jì)算結(jié)果誤差大；僅統(tǒng)計(jì)WEB和Email流量；系統(tǒng)就不穩(wěn)定或死機(jī)的原因了。即使是一些基于防火墻的計(jì)費(fèi)軟件，也難逃低效和不穩(wěn)定的厄運(yùn)。由于大部份防火墻的核心仍是基于LINUX平臺(tái)上的包處理軟件，這種操作系統(tǒng)的最高優(yōu)先級(jí)別響應(yīng)和內(nèi)存請(qǐng)求是來自內(nèi)核的請(qǐng)求，既然通用，必然考慮到來自多種設(shè)備和界面的需求，所以對(duì)于實(shí)時(shí)性響應(yīng)一定不如專用系統(tǒng)，再加上防火墻安全策略對(duì)系統(tǒng)資源的巨大開銷，使得這些計(jì)費(fèi)軟件的性能受用戶數(shù)和流量的影響很大，或者說性能對(duì)用戶數(shù)和流量的影響很大。而Dr.COM2133B-RAS是專為寬帶IP計(jì)費(fèi)而設(shè)計(jì)的，它直接對(duì)IP第3層和第4層操作，其全面性和準(zhǔn)確性不容置疑。在內(nèi)核的設(shè)計(jì)上它摒棄了所有操作系統(tǒng)，代之以直接的源代碼。軟硬件系統(tǒng)的所有資源都用在包的過濾和轉(zhuǎn)發(fā)上，以線速度轉(zhuǎn)發(fā)網(wǎng)絡(luò)多層數(shù)據(jù)。更詳細(xì)的介紹請(qǐng)參照《Dr.COM2133BillingWare用戶使用手冊(cè)》服務(wù)流程用戶登錄過程

用戶登錄，輸入賬號(hào)和密碼，賬號(hào)和密碼加密傳送到2133B-RAS計(jì)費(fèi)服務(wù)器。查詢用戶過程

向后臺(tái)數(shù)據(jù)庫查詢用戶資料。確認(rèn)用戶過程

計(jì)費(fèi)服務(wù)器向后臺(tái)查詢用戶的資料和授權(quán)設(shè)置，確認(rèn)用戶的身份。如果身份合法，允許用戶使用；否則登錄失敗，無法使用服務(wù)。用戶授權(quán)過程

根據(jù)用戶的授權(quán)設(shè)置，對(duì)使用的功能進(jìn)行授權(quán)，包括時(shí)間授權(quán)、功能授權(quán)、帶寬授權(quán)、訪問限制授權(quán)、過濾授權(quán)和信用授權(quán)，按照該用戶的收費(fèi)費(fèi)率進(jìn)行計(jì)費(fèi)。監(jiān)控用戶過程

實(shí)時(shí)監(jiān)控用戶的使用情況，并根據(jù)每個(gè)用戶的授權(quán)進(jìn)行判斷是否接受或拒絕用戶所要求的服務(wù)，并將用戶使用情況送到后臺(tái)數(shù)據(jù)庫進(jìn)行紀(jì)錄。保存用戶訪問紀(jì)錄過程

將用戶的使用過程中產(chǎn)生的紀(jì)錄文件送到后臺(tái)數(shù)據(jù)庫保存。終止授權(quán)過程

用戶的使用權(quán)限超過預(yù)先設(shè)定的閥值（如累計(jì)時(shí)間、流量、信用等參數(shù)）后，將給用戶警告，并且終止對(duì)用戶授權(quán)，強(qiáng)制結(jié)束服務(wù)。用戶注銷過程

用戶要去退出服務(wù)，注銷用戶的授權(quán)。保存用戶連接紀(jì)錄過程

將用戶連接紀(jì)錄包括登錄時(shí)間、結(jié)束時(shí)間、流量、服務(wù)內(nèi)容紀(jì)錄和產(chǎn)生費(fèi)用等資料紀(jì)錄在數(shù)據(jù)庫內(nèi)。用戶登錄過程

用戶登錄，輸入賬號(hào)和密碼，賬號(hào)和密碼加密傳送到2133B-RAS計(jì)費(fèi)服務(wù)器。查詢用戶過程

向后臺(tái)數(shù)據(jù)庫查詢用戶資料。確認(rèn)用戶過程

計(jì)費(fèi)服務(wù)器向后臺(tái)查詢用戶的資料和授權(quán)設(shè)置，確認(rèn)用戶的身份。如果身份合法，允許用戶使用；否則登錄失敗，無法使用服務(wù)。用戶授權(quán)過程

根據(jù)用戶的授權(quán)設(shè)置，對(duì)使用的功能進(jìn)行授權(quán)，包括時(shí)間授權(quán)、功能授權(quán)、帶寬授權(quán)、訪問限制授權(quán)、過濾授權(quán)和信用授權(quán)，按照該用戶的收費(fèi)費(fèi)率進(jìn)行計(jì)費(fèi)。監(jiān)控用戶過程

實(shí)時(shí)監(jiān)控用戶的使用情況，并根據(jù)每個(gè)用戶的授權(quán)進(jìn)行判斷是否接受或拒絕用戶所要求的服務(wù)，并將用戶使用情況送到后臺(tái)數(shù)據(jù)庫進(jìn)行紀(jì)錄。保存用戶訪問紀(jì)錄過程

將用戶的使用過程中產(chǎn)生的紀(jì)錄文件送到后臺(tái)數(shù)據(jù)庫保存。終止授權(quán)過程

用戶的使用權(quán)限超過預(yù)先設(shè)定的閥值（如累計(jì)時(shí)間、流量、信用等參數(shù)）后，將給用戶警告，并且終止對(duì)用戶授權(quán)，強(qiáng)制結(jié)束服務(wù)。用戶注銷過程

用戶要去退出服務(wù)，注銷用戶的授權(quán)。保存用戶連接紀(jì)錄過程

將用戶連接紀(jì)錄包括登錄時(shí)間、結(jié)束時(shí)間、流量、服務(wù)內(nèi)容紀(jì)錄和產(chǎn)生費(fèi)用等資料紀(jì)錄在數(shù)據(jù)庫內(nèi)。產(chǎn)品功能Dr.COM2133B-RAS由北京城市熱點(diǎn)資訊有限公司基于IP核心技術(shù)開發(fā)并擁有自主知識(shí)產(chǎn)權(quán)，具有先進(jìn)而成熟的自有源代碼的網(wǎng)絡(luò)操作系統(tǒng)。它開創(chuàng)性地將IP多層交換技術(shù)與計(jì)費(fèi)軟件結(jié)合在一起。Dr.COM2133B-RAS是目前國內(nèi)寬帶接入計(jì)費(fèi)服務(wù)器行業(yè)內(nèi)性能最高的型號(hào)，據(jù)多個(gè)權(quán)威機(jī)構(gòu)測(cè)試，該設(shè)備能真正實(shí)現(xiàn)百兆下64字節(jié)包線性轉(zhuǎn)發(fā)，千兆型號(hào)2133B-RAS千兆下能從500字節(jié)包開始實(shí)現(xiàn)線性轉(zhuǎn)發(fā)（據(jù)統(tǒng)計(jì)，目前互聯(lián)網(wǎng)應(yīng)用平均字節(jié)包在500字節(jié)左右），并且通過了信息產(chǎn)業(yè)部電信入網(wǎng)許可證，是寬帶接入計(jì)費(fèi)行業(yè)首家擁有此認(rèn)證的產(chǎn)品。功能優(yōu)勢(shì)北京城市熱點(diǎn)資訊有限公司從1999年就開始從廣電城域網(wǎng)進(jìn)入寬帶接入計(jì)費(fèi)市場(chǎng)，對(duì)大型園區(qū)網(wǎng)、城域網(wǎng)的寬帶接入運(yùn)營具有豐富的經(jīng)驗(yàn)。由于產(chǎn)品包括硬件和軟件的所有部分都自主開發(fā)，并具有知識(shí)產(chǎn)權(quán)和信息產(chǎn)業(yè)部的入網(wǎng)許可證，所以城市熱點(diǎn)能夠很快能夠根據(jù)用戶的需求和市場(chǎng)的變化不斷完善產(chǎn)品，使產(chǎn)品能夠體現(xiàn)專業(yè)化，真正滿足各行各業(yè)具體的需求。針對(duì)于校園網(wǎng)寬帶接入目前的現(xiàn)狀：私接代理嚴(yán)重、訪問記錄要求大、BT流量大等等。城市熱點(diǎn)利用產(chǎn)品操作系統(tǒng)的高性能的特點(diǎn)，開發(fā)了一系列的新技術(shù)，有效解決了以上問題，為學(xué)校提供了完善的校園寬帶網(wǎng)的解決方案。防代理機(jī)制及IP盜用Dr.COM2133B-RAS利用獨(dú)有的客戶端封裝技術(shù)，使登錄成功后的用戶發(fā)出的TCP包都加上Dr.COM驗(yàn)證封裝，該封裝只有2133B-RAS才能解開，這樣用戶不能與代理服務(wù)器正常通訊（不管是軟件代理還是硬件代理），同時(shí)能防止非法用戶盜用MAC和IP，因?yàn)榉欠ㄓ脩舭l(fā)出的包沒有驗(yàn)證封裝。該技術(shù)相對(duì)于其他廠家基于流量、端口、多IP的方式防代理解決方案，更為有效和科學(xué)性，Dr.COM封裝技術(shù)能夠有效解決單網(wǎng)卡代理、NAT寬帶路由器等其他廠商不能解決的代理方式，是目前國內(nèi)最為有效的防代理解決方案。封裝設(shè)置還可根據(jù)學(xué)校的需求，按組、按用戶、按網(wǎng)段來靈活配置，使學(xué)校能夠根據(jù)老師、學(xué)生、辦公教學(xué)的不同情況靈活配置，使網(wǎng)絡(luò)資源能夠得到最大程度的合理應(yīng)用。啟用封裝設(shè)置后，對(duì)Dr.COM2133B-RAS性能少于1％，不會(huì)對(duì)用戶造成影響。另外，也可以將用戶帳號(hào)和用戶IP、MAC進(jìn)行綁定，對(duì)IP的盜用也起到很好的效果。防用戶私建DHCP服務(wù)器指定DHCP服務(wù)器，來解決內(nèi)部非法DHCP服務(wù)器干擾，啟動(dòng)該功能后，只要用戶正常獲得合法IP后，客戶端會(huì)自動(dòng)記錄合法的DHCP服務(wù)器，以后就不會(huì)再獲得非法的DHCP發(fā)出的IP。PPPoE防代理技術(shù)Dr.COMPPPoE防代理的工作環(huán)境是指Dr.COM2133/2033寬帶接入服務(wù)器做PPPoE終結(jié)而言的。這里用戶做代理的判斷標(biāo)志是，用戶在PPPoE登錄后電腦存在一個(gè)以上IP。用戶如果在PPPoE登錄后有多個(gè)IP，則可視為充當(dāng)代理服務(wù)器，或者接入在一個(gè)LAN里。Dr.COM在這里限制的是個(gè)體用戶使用代理，如果用戶需要在一個(gè)LAN里進(jìn)行PPPoE登錄的，可視為集團(tuán)用戶或商業(yè)用戶，此類型用戶需要向運(yùn)營商聲明，否則無法上網(wǎng)。工作機(jī)制：用戶安裝標(biāo)準(zhǔn)的PPPoE撥號(hào)軟件后，同時(shí)需要安裝Dr.COMv3.06客戶端軟件，這個(gè)客戶端不是用于登錄驗(yàn)證用的，而是用來檢查用戶的IP配置情況，Dr.COM2133/2033寬帶接入服務(wù)器會(huì)定時(shí)與Dr.COMv3.06客戶端軟件通訊，以確認(rèn)用戶電腦上的IP只有一個(gè)，如果多于一個(gè)，Dr.COM2133/2033寬帶接入服務(wù)器會(huì)將用戶強(qiáng)制下線。Dr.COMv3.06客戶端軟件安裝后會(huì)自動(dòng)添加到windows啟動(dòng)菜單內(nèi)。該程序?qū)τ谟脩羧粘Ｊ褂枚允峭该鞯摹?02.1x防代理技術(shù)Dr.COM802.1x防代理的工作環(huán)境是指Dr.COM2133/2033寬帶接入服務(wù)器做RADIUSSERVER而言的，通過Dr.COM的私有協(xié)議，需要配合Dr.COM最新的Dr.COM客戶端可以實(shí)現(xiàn)該功能。P2P協(xié)議限流BT、電驢等點(diǎn)對(duì)點(diǎn)傳輸應(yīng)用是