莆田学院北区校园网络
设计方案书
北京港湾网络有限公司
企业网市场部
2002年12月
目 录
1 概述 3
2 需求分析 5
2.1 系统目标 5
2.2 需求分析 6
2.2.1 地域需求分析 6
2.2.2 网络管理需求分析 6
2.2.3 网络安全需求分析 7
2.2.4 广域网连接需求分析 7
2.3 工程概况 7
3 系统设计指导思想和依据 10
3.1 系统指导思想 10
3.2 网络设计原则和依据 11
4 网络技术选型 13
4.1 快速以太网设计 13
4.2 网络主干千兆的设计 13
4.3 第三层及多层交换 14
5 港湾网络解决方案 18
5.1 网络设备设计选型 18
5.2 各层网络设备描述 19
5.2.1 网络核心层骨干交换机 19
5.2.2 汇接层主干交换机 23
5.2.3 接入层智能或线速交换机 26
5.3 网络拓扑图 26
5.4 网络特点描述 27
5.4.1 智能: 27
5.4.2 性能: 29
5.4.3 安全: 30
5.4.4 管理: 32
5.5 网管系统解决方案 33
5.5.1 网管概述 33
5.5.2 港湾网管系统解决方案 34
6 网络优化的设计 40
6.1 虚拟网的优化建议 40
6.1.1 VLAN划分的优势 40
6.1.2 VLAN划分 43
6.1.3 虚拟网间的信息传递 44
6.1.4 虚拟工作组模型的实现。 46
6.2 QoS特性 48
7 网络安全解决方案 50
7.1 网络安全设计 50
7.1.1 全方位的安全策略 50
7.1.2 网络结构安全策略 50
7.2 港湾网络安全策略 52
7.2.1 防止利用共享介质进行网络窃听 52
7.2.2 防止DHCP攻击 53
7.2.3 防止地址盗用 53
7.2.4 接入安全策略 54
8 学院北区网络建设配置表 57
概述
全球性的国际计算机互连网Internet的迅速发展和普及,改变了整个信息产业的面貌,使信息技术产业从以计算机为中心发展到以网络为中心,并为计算机技术在工业、商业、教学及科研等领域中的应用提供了一个全新的网络通信环境,也从根本上加强并促进了群体工作成员之间的信息交流、资源共享、科学计算及技术合作等,进而推动了教育事业、科研及生产的发展。Internet是一个全球性的开放的信息互连网络,它是以一系列关键支撑技术为核心发展起来的新兴领域,为人们提供了崭新的网络计算环境。
Internet不但具有丰富的信息资源,而且为了方便信息的访问、传输和共享,已经研究并开发了各种技术,设计与实现了各种信息访问的工具。为用户的网络访问和信息交流提供了最简便的方式。除此之外,越来越多的新技术不断出现在Internet上,如:基于WWW的搜索技术、语音通信技术、视频点播技术、三维动画技术与VRML、Java技术、网络安全技术等。
校园网就是以Internet技术在学校内部建立起使用方便、价格低廉的信息交换网络系统,并且能够方便地与Internet交换信息,查询丰富的网上资源。它主要用来为全校教职员工、学生、Internet用户等提供计算机教学和管理、校园信息、学习指导等服务。校园网不仅具有Internet的所有特点和功能,而且在它的基础上还发展了许多新的应用。计算机网络,作为信息高速公路的载体之一, 已被或正被各界所重视和接受。“无网而不胜”,“计算机就是网络,网络就是计算机”的观点, 正普遍被人们所认识和倡导。有胆识有眼光的计算机应用业主, 都不约而同地把业务建设的重点投入到计算机网络的建设上来。
目前,各类学校建立校园网已是大势所趋,也是非常必要和迫切需要的。校园网的建成使用,对提高教学和科研质量,改善教学和科研条件,使教学多出人才,出高精尖人才,使科研出成果, 出一流成果, 有着十分重要而深远的意义。
莆田学院北区校园网络是莆田学院校园内重要的一部分,计划在近期内建设北区校园网络信息系统,在校园内部实现资源高度共享,为教学、科研、管理提供服务,为计划、组织、管理与决策提供基础信息和科学手段;支持教育教学改革,提高教育技术的现代化水平和教育信息化程度,为学校教师的备课、课件制作、教学演示提供网络环境;通过互联网、录像机、扫描仪、数码相机等各种渠道获得多媒体资料,实现素材收集、电子备课功能。培养创新人才,提高学生收集处理信息的能力、获取新知识的能力、分析和解决问题的能力、语言文字表达能力以及团结协作和社会活动的能力,使学生能自主学习、协商学习、发现探究式学习以及自我评价,为学生的全面发展创造相应的条件。实现办公自动化,提供与上级教育部门、社会、家庭之间通讯的出入口,提供电子函件、公告牌和教育教学信息查询等服务,提高工作效率和管理水平。及时、准确、可靠地收集、处理、存储、传输学校的教育教学信息,完成与因特网的通讯和资源共享实现社会教育、学校教育、家庭教育的有机结合。实现课堂多媒体电化教学。具备适用于双向课堂语音教学及语音室功能学习。以代替手提录音机,实现音频数字化资源共享、集中管理。电教综合平台实现多媒体电教设备及室内电器设备电动一体化控制。建立校园网管理应用系统。以顺应无纸教学,无纸办公的发展趋势,充分利用现代化技术来进一步提高教学质量和办公效率,为培养二十一世纪人才提供一个优良的硬件教学环境。
莆田学院北区校园网支持的是一个不断多元化的网络应用系统设备组合,用以支持其日常运作和实现其长远目标。系统设备、管理者及使用者之间的联系必须是亲密无间的,自觉而透明的,从而具备较强的扩展性。建设校园网主要用来为全校教职员工、在校各级干部等提供信息交流、信息共享、远程教学、校园动态、学习指导、Internet访问等服务。使校园网不仅具有Intranet的所有特点和功能,而且在它的基础上还发展了许多新的应用。
今天的网络系统包括网络交换机以及叠加其上的语音、数据、视频装置以及可变化的软,硬件应用。它的开放式设计意味着更好的整体化及高品质应用的能力。提供的带宽可适合话音,图像,数据的传输,这种带宽结合设备厂商优秀网管模式,向用户提供面对面的通讯而节省往返奔波的时间和金钱。
在本方案中,我们将分为网络系统平台的建设, 网络系统应用分析等几个部分来加以阐述。
需求分析
莆田学院北区的校园网建设的当前网络现状并不理想,校内虽已有电脑教室,但只是一个简单的局域网教室,不能共享学校图书资料、进行互连网教学、视频系统教学。图书馆也未形成网络化管理,资料的不到很好的共享;教师办公只限于传统的办公方式,工作效率低、工作强度大。特别是Internet网的兴起,中国教育网、媒体公众网的建立,其丰富的校外信息资源不能被校内的师生所分享。为了提高莆田学院的整体校园管理办公自动化和建成现代化的文明校园,增强作为莆田地区的学子形象窗口。因此,建立一个既能服务于本校内且能与省教育厅、中国教育网、国内外各大企事业单位互连的高性能校园网网络平台是很有必要的。
系统目标
总体规划,分步实施
具体设计出整个校园网络的体系结构,包括现在和将来的发展计划,然后学校可根据当前实际应用和实际投资以及将来投资计划,选择并分步实施。
完善学校的信息建设,提高教育管理水平
信息丰富、知识更新快,是网络科技的重要表现。计算机网络、通讯、媒体技术为学校利用外部信息资源的建设,提供强劲的技术后盾,开拓学校的广阔的信息源的道路,为师生打开了巨大的信息资源库,丰富学校的信息课程教学。利用先进的计算机处理技术,实现教学管理自动化,提高学校的教育管理质量和水平。
深化教育改革,推进素质教育
在信息科技发展迅猛的社会里,学生必须掌握学会处理信息的基本素质。因此,要求所建立的校园网可培养学生的识别、选择、吸收和运用新知的能力;学生可根据自己的实际情况,通过校园网的各种媒体教学来满足自己的学习需求;同时校园网还可优化师资配置,将竞争机制引入学校教育制度,实行高质量的资源共享。
便于信息交流与共享,提高教学质量
建成的校园网为学校的教学、管理以及师生间的相互交流和借鉴提供高效、快捷、方便的途径,为教学质量的全面提高创造了良好的条件,加强了学生的专业技能。以学校的优秀教学资源为基础,以先进的网络资源为依托,采用全新的技术、观念和手段,实现基于计算机网络上的远程教育和视频点播等先进技术,打破学校、地域和时空界限,使更多的干部在最大限度地实现共享学校优秀的教学资源。通过集文字、图象为一体的WWW页面的浏览,校园网提供的教学内容呈现在一台上网的计算机上,各级干部坐在家里就可以通过计算机接受教师讲授、辅导、自我检测或和其他同学交流。
教育面向现代化、社会化
互连网上的综合信息还可以与家庭、社会、教育行政主管部门、教育行业的兄弟单位等部门和机构实行互通与共享,使教育面向现代化、社会化。
需求分析
根据业主要求的总体目标,利用先进实用的计算机技术、多媒体技术和网络通信技术,把学校内所有的计算机单机用户都连接起来,组成一个分布式网络系统。学校内形成一个功能服务子网,能管理连接传输数据、公文等信息。该网络也要与省教育厅、中国教育网CERNET和Internet连接,分享国内外的计算机资源信息;通过电信局和CHINANET相连;建立VOD系统和视频会议系统、教育管理系统等平台,这是业主总的需求。
地域需求分析
莆田学院要求建立计算机网络的范围在地域上相对比较分散,主要建筑群体较为分散,图书馆、实验中心、教学楼等、学生公寓楼距离计算中心机房远,连接距离超过100米以上,网络传输采用FDDI技术光缆连接。另外北区校园网络的中心机房需通过长距离的光纤与学院的网络中心连接。
网络管理需求分析
校内的计算机网络与下属机构的远程连接传输,组成一个具有相当复杂程度的计算机网络,网络管理要求解决的问题包括:
对所有网络设备端口的监视和管理;
对所有网络设备的远地配置和控制,包括网络设备端口的开放和关闭;
整个网络的故障检测,故障自动报警功能;
整网统一中文化管理,实现智能化网络;
整个网络性能的统计和分析报告。
网络安全需求分析
业主的计算机网络安全主要考虑以下几个方面要求:
各个部门、单位访问网络的控制,各单位之间在未经授权的情况下,不能相互访问;
实现ACL、QOS等策略控制,实现安全管理机制;
内部网中要建立防火墙,即禁止外部用户未经可访问内部的数据,或者内部用户未经许可访问外部数据。
广域网连接需求分析
业主的广域网的连接需求主要表现在:
通过网络中心现有的DDN等公用或者专用数据网络与中国教育网CERNET、国际互联网等计算机网络资源的连接。
能够与国际互联网接连,与国际交流信息;能够与China Net等连接,与国内各个同行单位交流信息。
为了满足出差在外的校领导及其它公务人员及时与本单位保持联络,必须提供通过电话拨号连接上网的访问网接口。
工程概况
莆田学院北区位于莆田市区,本期工程为建设校园网工程,共有办公楼、图书馆、实验楼、多媒体教室、教工楼、教授楼、学生公寓A楼、学生公寓B楼、学生公寓C楼、学生公寓D楼等10座建筑物其中教工楼、教授楼、学生公寓建宽带网络与校园主干网连通。本期工程共设计个数据信息479点。
宿舍楼信息点分布
楼层
功能分布
超五类点
A楼
84个宿舍
84
B楼
12个活动室
12
C楼
78个宿舍
78
D楼
39个宿舍
39
教工楼
24个宿舍
24
教授楼
20个宿舍
20
总计
257
办公楼、图书馆、多媒体室息点分布
楼层
功能分布
超五类点
办公楼
36个办公室
36
图书馆
41个功能间
41
多媒体
6个教室
6
总计
83
实验楼息点分布
楼层
功能分布
超五类点
一层
11个功能间
11
二层
9个功能间
9
三层
14个功能间
14
四层
14个功能间
14
五层
15个功能间
15
六层
12个功能间
12
七层
11个功能间
11
八层
13个功能间
13
九层
9个功能间
9
十层
16个功能间
16
十一层
7个功能间
7
十二层
8个功能间
8
总计
139
信息点统计表
楼层
超五类点
宿舍楼
257
办公楼、图书馆、多媒体室
83
实验楼
139
合计
479
系统设计指导思想和依据
系统指导思想
我们认为校园网结构上分为三层:核心层,汇聚层,接入层。核心层提供全网的集中多层交换,汇聚层和接入层提供二层交换性能。校园网的整体架构及网络的各层次应该具备如下的性能:
从全网应用的考虑角度出发:
实用性和稳定性:
建网设备首先性能必须稳定,能可靠良好地运行。如果性能不稳定,再多的功能也没用。(港湾网络的软件产品在RELEASE之前,先要经过非常严格的测试,包括和其他厂家的互通性测试;整机在出厂前,会做严格的“烤机、测试,做高温耐老化测试”;港湾是后来者,我们比其他先行者更注重和珍惜这份市场。)另外,大量的应用实例也是可考验设备稳定性的现实依据,港湾的网络核心设备在各行业的应用已超过了3000台,其稳定性受到了很好的考验。
2.千兆骨干,端到端的多层线速处理:
从网络的核心层,再到汇聚层,接入层,任一层次的网络瓶径的出现都会最终影响到用户的业务应用,会导致用户业务的拥塞和新业务的开展(如:音频和视频等时时业务)。要求采用千兆以太网作为校园网的交换骨干,百兆交换到桌面,保证整个网络没有拥塞。
3.方便的网络管理:
要求全网统一网络管理,并且网络管理要求简单,可以采用图形界面的方式管理,用户维护方便;采用集群管理技术,降低管理劳动量,节省网管IP地址资源;
4.高网络安全性:
具有相应的用户认证方式保证用户安全性,防止端口盗用、ip地址盗用和网络攻击等严重影响网络的正常运行的行为。
5.便于新业务的开展:
支持VOD、IP PHONE、INTERNET各种应用,网络要建设成多种业务的承载网,而不是语音一个网,数据一个网,视频一个网等。否则不但是资源的极大浪费,也会带来网络管理等等一系列的问题。
6.IP Multicast:
由于莆田学院校园网系统中在将来的发展中会包含许多多媒体应用通信,既会存在许多的广播信息,往往会占用大量的带宽资源。所以在本项目中,网络系统应能支持IP Multicast,可以减少网络中不必要的广播,节省主干的带宽。
7.QoS保证:
随着网络中多媒体的应用越来越多,这类应用对服务质量的要求较高,本网络系统应能保证QoS,以支持这类应用。
8.符合IP发展趋势的网络:
在当前任何一个提供服务的网络中,对IP的支持服务是最普遍的,而IP技术本身又处在发展变化中,如IpV6,IPQos,IP Over SONET等等新兴的技术不断出现,作为按TCP/IP协议构成企业内部网的莆田学院校园网系统必须跟紧IP发展的步伐,也就是必须选择处于IP发展领导地位的网络厂商的产品。
网络设计原则和依据
在本网络设计的过程中,还有一个需要考虑的重要因素就是系统的可靠性。网络应该具有一定的容错能力,在设计中尽可能地减少单一故障点,以使该网络不至于因为某一设备的损坏或某一信道的故障全部或部分瘫痪。另外,网络的性能是设计一个网络最基本的依据,在设计中不但要考虑满足今天的应用,而且要考虑到今后相当长一段时间内的发展。决定网络设计方案的关键是设计方案的均衡性,即整个方案中不要有明显的制约网络性能的瓶颈,在先进性与稳定性,先进性和可维护性,性能和价格之间找到平衡。
1、采用先进稳定及成熟的系统技术,保证日常办公和教学工作的正常运转,增强系统的可靠性与稳定性;
2、系统的建设思想体现超前性原则,使校园网系统能够与莆田学院的发展同步增长,使得系统规模在业务急骤扩张的过程中亦不需要重新进行系统规划与设计,并能够顺利、平稳地向更新的技术过渡。
3、采用可管理性原则,对网络活动进行控制和管理,系统管理员能够在不改变系统运行的情况下对网络进行修改,不管网络设备的物理位置在何处,网络都应该是可以控制的。
4、易扩展的网络。系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。易扩展不仅仅指设备端口的扩展,还指:网络结构的易扩展性:既只有在网络结构设计合理的情况下,新的网络节点才能方便地加入已有网络;网络协议的易扩展:无论是选择第三层网络路由协议,还是规划第二层虚拟网的划分,都应注意其扩展能力。
5、充分利用原系统有价值的财富,在保证系统能够安全、可靠运行的前提下,应该最大限度地降低系统造价,保护原有的计算机设备及应用系统投资。由于网络是整个应用系统的命脉。因此,在网络设备的选型中,我们坚持采用世界一流的网络产品,以保证网络系统的持续性和稳定性。
莆田学院北区校校园网遵循技术先进、可靠、方便使用、易于维护的原则。选用先进且成熟的技术和平台,加快建设速度,减低投资规模。
网络技术选型
快速以太网设计
快速以太网实际上是10Mbps以太网的100Mbps版本,所以它的运行速度要比10Mbps以太网快十倍。在我们已经很熟悉传统以太网的情况下,快速以太网相对其他高速网络技术更容易被掌握和接受,它可以应用在共享式和主干环境下,提供带宽的共享式网络或主干连接,同时也可以应用在交换式环境下,提供优异的服务质量(QOS)。快速以太网与传统的以太网技术相似,毋庸赘言,此外,它还具备以下优点:
快速以太网和普通以太网同样遵循CSMA/CD协议,现有的10BaseT网络设备可以相当简便地升级到快速以太网,保护用户原有的投资,与其它新型网络技术相比,更方便地使现有的10Mbps LAN无缝连接到100MbpsLAN上。100BaseT集线器和网络接口卡,只需要比10BaseT同样的设备多花少量费用就可提供比普通以太网高10倍的性能。因此,100BaseT具备较高的性能价格比。快速以太网(100BaseT)已得到IEEE推荐标准为802.3u,并得到了所有的主流网络厂商的支持。
对于莆田学院的网络结构,在楼层交换机(汇聚层)与接入层的连接用户来说,所设计的每个用户独享100M带宽连接到交换机,完全满足信息化流媒体的传输要求。
网络主干千兆的设计
在当今流行的高速网络技术中,先后出现FDDI、ATM、快速以太网和98年最新亮相的千兆以太网。由于速度和成本问题,目前FDDI已几乎退出竞争;快速以太网由于千兆以太网的出现,在速度和技术已让位于千兆以太网,但继续占有廉价经济的市场。
在高速以太网的技术选择中,千兆以太网一方面因为其基础技术比较简单和成熟,保证了其在性能价格比上的优势。另一方面,千兆以太网从10M、100M到1000M采用统一的帧格式和网络访问式,在单纯性的以太网内升级容易,从而保持了其在单纯性楼内数据网络的压倒性优势。同时在速度上,它可以满足今后一段现场时间内的多媒体、视频点播等众多应用的需要。
千兆以太网实际上是10Mbps以太网的1000Mbps版本,是100M bps以太网速度的进一步提高,所以它的运行速度要比100Mbps以太网快十倍,但它仍与以太网采用同样的帧结构。在用户已经很熟悉传统以太网的情况下,千兆以太网相对其他高速网络技术更容易被掌握和接受,它可以应用在共享式和主干环境下,提供带宽的共享式网络或主干连接,同时也可以应用在交换式环境下,提供优异的服务质量(QOS)。
千兆以太网与传统的以太网技术相似,同样遵循CSMA/CD协议,现有的以太网、快速以太网设备可以相当简便地升级到快速以太网,保护用户原有的投资,与其它新型网络技术相比,更方便地使现有的10M、100M LAN无缝连接到1000MbpsLAN上。
千兆以太网技术是与ATM技术一样,极具竞争力的高速网络技术,极有可能成为下一代高速网络的首选技术。具备较高的性能价格比。
在千兆的应用上我们将来对需求量大的服务采取千兆的网卡连接,并可以通过优先级队列划分服务的级别。使重要的服务能在高带宽和大访问量下稳定的运行。在本次项目建设中网络中心与其他建筑楼间采用千兆光缆连接,网络中心与主要的数据库服务器采用1000M的连接。必要时在其它的区域我们的一般采用100M加捆绑来满足需求,随着信息多媒体的发展,网络数据的膨胀,我们在以后可以灵活的对网络进行1000M或10G的升级。
第三层及多层交换
随着LAN的作用已超越了简单的的主机连接、文件和打印服务阶段,而转向围绕着客户/服务机、大工作流量的应用、Intranet Web访问 服务器和实时音像通讯,所以LAN技术需要不断地更新。日益强大的计算机系统促使网络技术以更快的速度发展,而日益庞大及增长的数据目标体又产生了持续增长的网络拥塞负荷。同时,由于基于工作组或部门的服务器的解决方案被企业服务器所替代,促使空前水平的拥塞通过网络主干,网络的拥塞模式也不断地发生变化。
为了适应网络运行中的这些增长,网络技术在两维空间进行发展:速度和网段。 速度简单说来就是提供更高的带宽:以太网已增至1Gbps,10Gbps也已在讨论之中。而网段使得带宽能够被更多地提供给个人用户或主机。网络技术已由网桥技术通过主干路由技术过渡到交换技术。由于交换技术使专用的带宽被经济合理的分配给每一个用户,它就毫无疑问地成为高性能LAN发展未来的依靠。
然而,今天的网络交换技术并没为大规模的网络的建设提供一个完整的、普遍的解决方案。这主要是由于传统的LAN交换技术不是完全可以扩充的,在现今大部分的实际运行的网络中,交换机必须与路由器的相结合。实际上,将交换机及路由器结合在一起所构成的网络结构对一些领域具有重要影响 。因此如下:
从网络用户的角度看,LAN通讯被分成两种等级的性能。数据包直接通过交换机进行传递时,享受着高速公路快速的、稳定的传递性能。但是那些被迫经过路由器的数据包只能使用慢速通路,当流量负荷严重时,会受到更严重的延迟困扰。
交换机和路由器是网络设备中不同的部分,需分别购买、设置和管理,完成这样一个基于多元素的解决方案的花费必然要多于一个基于集成化的单一完整的解决方案。
LAN中路由器的使用需要额外的监控管理手段来处理网络的移动和变化。例如:如果一台PC由一个LAN中的一个路由器端口的网段移至另一LAN中连接模块另一路由器端口的网段,通常需要给该PC机一个新的IP地址,并且在PC机软件中进行重新设置。 多层交换技术正是交换技术和路由技术智能化的组合,它为各种结构的网络提供一个完整的、集成的解决方案以有效地解决上述问题。这就是越来越多的网络设计者将会把视线转到LAN中的多层交换技术的原因。
(图1)
一台多层交换设备具有许多交换端口。网上的站点之间可以通过第二层数据包转发的方法(即传统的LAN交换技术),或采用第三层数据包转发方式(即传统的路由技术进行通讯)进行数据通讯。不同种情况下的数据包转发的类型由站点之间进行内部通讯需要而定。实际中,这由它们是否属于同一子网来决定。如果属于同一子网,则采用第二层转发方式,否则,采用第三层转发方式。
一个多层交换机从逻辑上可以被看成一个附带有一个第三层转发功能的第二层的交换设备,同时它与第三层的数据转发模块采用高速互连。一组网络端口界面的参数直接附属于第二层交换的处理核心. 就像一个传统的路由器的转发应用一样。网络节点为了将数据包转发给不同子网, 首先将IP数据包传给第三层转发功能模块,该模块具有一个或多个IP寻址器和MAC寻址器, 然后再转发给其他子网. 同样的, 如果第三层转发功能模块也支持其它的协议,例如IPX,从网络节点的角度来看,它就是一个IPX的路由器。其工作方式参见图2。
(图2)
通过对用户需求的分析,及我们对目前网络技术的认识,在本方案中,重要主干选用了千兆以太网、快速以太网、交换式以太网、VLAN、三层交换等技术相结合的技术路线,建立一个技术先进成熟、使用维护简单方便的网络。
综合以上所有因素加在一起,根据莆田学院管理系统对网络的要求及计算机网络今后的发展,我们必须考虑按新的计算机的网络模型对传统的网络进行重新设计。建议莆田学院网络主干采用全交换的千兆以太网技术来完成,千兆以太网技术已经成为当前局域网的主流,并且随着技术的发展,其传输距离已经可以达到几十公里甚至百公里以上。千兆以太网技术在交换和带宽上面具有明显的优势,它继承了传统以太网灵活、易用的技术特性,除了传输速率有明显提高外,别的诸如服务的优先级、多媒体支持等能力等也都出台了相应的标准,如802.3x,802.1p,802.1q等。将千兆以太网技术应用到局域网主干已经成为目前发展的一种趋势,设备厂商也提供了很多具有这种能力的设备,并且已经有了很多成功的案例。在设备的选择方面我们在中心节点选择高性能的三层路由交换机,二级节点采用性价比好的二层或三层交换机。工作站以百兆接入,整各网络采用二层以上全线速交换。
港湾网络解决方案
网络设备设计选型
1、核心层交换机选型
根据莆田学院北区校园的建筑楼群与功能分布特点,网络主干采用千兆以太网,我们将在核心交换机上选择千兆多层管理交换机,我们认为该核心骨干交换机应采用大容量且具备智能的多层交换功能特性,根据网络技术的发展与产品应用的定位,建议核心设备采用交换背板带宽应不小于60GB。随着今后多媒体应用的增加,该交换机的交换带宽还应可以方便地拓宽,提供冗余备份,充分满足上千个宽带用户的网络需求,同时提供快速的智能处理过程。考虑到大楼内部将来开展多媒体视频点播,将会引入多种宽带实时业务的能力,这就要具有智能多层交换机在第4层也就是传输层,基于TCP端口号进行大量精确的流处理能力。而传统的3层交换机只支持到IP的一层,而无法对于需要多媒体实时业务的流进行精确的控制,而且从安全的实现上需要增加扩展开销,不利于核心网络高速交换的运行。因此,采用智能的核心交换系统是很有必要的,在提供高速交换的同时,可以对核心的主机上的业务进行良好的控制,并且基于硬件提供安全保障。从而满足不断增长的业务要求。
从信息管理的发展角度上考虑,核心设备要支持对宽带用户的安全认证与鉴别的能力与手段,这才有条件配合边缘网络设备实现端到端(从核心业务到用户)的安全与有偿宽带业务的开展。对网络用户的安全鉴别主要包括:基于VLAN ID、IP地址、MAC地址来识别客户端用户的网络信息,体现智能网络带来的整体应用价值。这样既保证网络的兼容性与开放性也能保证网络的安全性与高可用性。
除了必须满足上述对交换机硬件性能的要求之外,千兆交换机所采用的体系结构直接影响到交换机的性能和可扩充性,也是交换机选型必须仔细考虑的重要内容。对于大型的网络系统,已不适合用低速率的总线型交换机去完成交换,只有矩阵式和星型的交换结构才能满足大容量的骨干交换,共享内存式的交换机只适合中小型网络,或在大型网络上实现边缘交换。本着这样的原则,在本方案中我们建议使用矩阵式交换结构或星型的交换结构为中心骨干交换机,拟用我司CROSSBAR结构的电信级BigHammer400核心骨干多层交换机做设计,以满足网络中心数据高速的交换传输。
2、汇聚层交换机选型
为了与核心层骨干交换机无缝连接,降低对核心的负载压迫,提高网路的无阻塞传输,我们建议各个楼层的分中心交换机可采用千兆智能路由以太网交换机或智能千兆交换机,提供千兆上连端口和相应的10/100Mbps自适应端口,为了减低对核心设备的负荷,建议采用二层以上全线速交换传输并带由四层以上管理功能,能硬件支持七层流分类,保证完善的应用级QoS和灵活多样的ACL访问控制,满足语音、视频、数据流的传输要求,具备合理的背板带宽12G以上,模块化结构端口预留扩展,可堆叠。可下接接入层交换机,同时可管理下接入层交换机,实现全网统一管理。我们建议采用我司的千兆智能路由以太网交换机FlexHammer5000系列,灵活组网。
3、接入层交换机选型
根据我们对学院北区校园网应用的需求分析,为了满足客户端的接入用户能基于语音、视频、数据等信息流要求,我们建议采用二层以上全线速交换可支持管理的交换机,支持多层流分类和流处理,保证完善的应用级QoS和灵活多样的不同策略的访问控制,先进的HOL预防机制提高优化的转发性能,带宽满足重要应用或实时多媒体应用的需求。我们建议采用我司的千兆以太网交换机μHammer24和快速以太网μHammer1000系列,可堆叠灵活组网,特别是公共服务部分的集中式多用户端的应用需要。
各层网络设备描述
网络核心层骨干交换机
根据以上选型的分析,我们在网络核心层采用1台BigHammer 400核心骨干智能交换机的可管理的网络方案,以高背板带宽,全线速包转发,保证核心数据交换的无阻塞运行。
BigHammer400是一款千兆级3-7层电信级智能多层交换机,电源、主控板(MCU)及风扇都是双冗余的结构,设备本身更具稳定性,它基于高性能的ASIC,采用模块化的结构设计,分布式交换处理方式,BigHammer400整机最多支持96个10/100M 光接端口,26个GE端口;12个POS OC3/OC12端口,3个POS OC48端口,具有优秀的端口密度扩展性,为以后的网络扩容和升级消除了更换产品隐患。在本次的网络设计配置上,我们选择了6口千兆光口骨干连接接口模块、32口百兆RJ45连接模块,来满足应用的需求。
所采用的港湾核心交换机具有如下优点:
大容量线速交换能力
BigHammer400交换机采用业界先进的交换矩阵结构,克服共享式总线交换结构的弱点,使整个系统的交换容量具有很强的伸缩扩展能力,最大交换容量可达64G。在三层业务处理上,各个业务接口模块均分布有ASIC硬件转发引擎,保证系统所有业务端口均可同时达到线速二、三层转发。
先进的ASIC特性
每个ASIC单片交换容量能够达到32G,可以提供多个高速端口的无阻塞高效转发,使整个系统有很好的交换性能;
自行设计的ASIC芯片支持级连,可以方便构建大容量高速无阻塞交换平台,基于这种方式的BigHammer系列交换机有良好的扩充性能
ASIC芯片支持多个高速端口聚合,可以成倍的增加连接带宽,同时具有链路冗余和负载均衡的功能;
每端口支持4个优先级队列,采用WRR,PQ等调度策略,为用户提供良好的QoS保证;
多级反压流控技术,更好的防止数据丢失,提高了数据的准确性;
支持接口模块热插拔,使系统可以更加安全可靠的运行;
支持EEPROM启动;
完善的用户安全管理策略
BigHammer400交换机不仅具备线速三层交换能力,而且能够识别、处理和交换四层以上的应用业务流,使交换机具有了智能化多层交换的特点;
具有的良好策略执行能力,可以根据策略服务器或网络管理系统的请求,对用户或业务流进行带宽控制、ACL访问控制、地址绑定、用户接入数目控制、安全端口设定等;
支持PPPOE、VLAN和Radius等传统的认证计费流程,同时支持先进的802.1X安全认证控制协议,认证流和应用流分开,与Radius协议配合,大大简化网络认证计费过程,克服传统集中认证方式带来瓶颈和单点故障问题,认证通过后可根据用户属性控制用户接入端口行为;
支持静态MAC表,可以自由定义地址的学习或停止学习过程,控制非法地址的入侵。
严格的服务质量保证
可根据源/目的端口、源/目的IP地址、协议号等五元组和VLAN ID来灵活定义流分类规则,支持多达128K流分类;
支持四个优先级队列和WRR、SP严格调度和混合调度等多种算法;
提供优化的转发性能,2级包头阻塞(HOL)预防机制,最大限度地避免和减缓端口阻塞。
支持可控组播业务
认证组播请求,动态监控和管理组播用户的加入和离开;
在整个网络上基于组播树的树型拷贝,使数据包仅转发给有组播请求并认证通过的端口,节约组播业务消耗的带宽;
基于组播群体和用户的控制方法,避免恶意点播损害其他正常业务;
便于开展组播视频业务的应用
灵活多样的VLAN管理方式
多种VLAN管理方式,用户可基于端口、协议类型、MAC地址、IP地址、IP子网灵活定义VLAN;
支持超级VLAN功能,每个VLAN下面只分配一个IP地址,并且允许这些IP地址在同一个子网内,克服传统VLAN下须有4个IP地址的缺点,节省IP地址资源,简化网络对IP地址的规划;
支持GVRP动态VLAN配置协议,根据用户端口属性动态分配VLAN;
STP PER VLAN技术,更有助于消除STP带来的延迟和减少网络复杂度。
强大的系统功能扩展能力
系统除了采用交换矩阵结构灵活扩展交换容量外,在各类业务接口模块上也设计了插卡式功能扩展模块,该模块具有强大的CPU处理能力,可在系统上灵活支持现在或将来出现各类应用管理业务,如NAT、防火墙、业务网关等功能插件;
基于HammerOS操作系统的模块化软件体系不但延续了所有Hammer系列交换机功能的一致性和完整性,而且其开放的应用程序API接口和业务插件,也保证了与目前主流的计费管理后台软件和营业管理系统的无缝对接,便于网络整体功能的扩充和完善。
增强的端口性能
支持IEEE802.3ad端口聚合特性,在业务接口模块端口组上支持端口的捆绑功能,为交换机之间,或交换机与服务器之间提供冗余的更高带宽的链路;
支持8端口的千兆和2端口的千兆链路备份、平行、负载均衡应用;
支持全双工下的IEEE802.3x流控和半双工下的反压流控,避免网络拥塞;
MDI/MDIX极性自校准,免去了实际布线中的烦琐。
易于使用的维护管理功能
基于港湾公司开发的HammerView图形界面管理系统,采用Java插件,可以方便地集成到HP OpenView和NetView等网络管理平台中,也可以独立运行;
通过设备内置的WEB服务器,提供基于WEB的中英文图形管理界面,无须专业知识即可完成复杂网络的管理配置,同时支持标准SNMP管理协议;
提供RMON四组、TELNET、TFTP、BOOTP等远程维护、诊断和升级功能
简洁的CLI本地管理功能
汇接层主干交换机
根据以上对汇接层的分析,我公司设计采用灵活的模块化的结构,基于硬件L2/L3/L4的线速交换架构的千兆智能路由交换机FlexHammer5010,提供24个固定的10/100TX自适应以太网接口和一个可扩展插槽,支持千兆铜缆或光纤扩展模块,方便用户灵活地配置网络,支持从10/100M桌面连接到千兆主干的各种连接,或下联接入层交换机。支持从第二层到第七层的交换,提供智能的流分类和安全策略,保证完善的应用级QoS和灵活多样的ACL访问控制。交换机支持丰富的二、三、四层协议,支持RIPv2、OSPFv2、BGP4等单播路由协议和PIM、DVMRP等组播路由协议。
同时采用港湾公司拥有自主知识产权的HammerOS网络操作系统。HammerOS网络操作系统专门针对智能多层交换机而设计,将控制和数据转发功能分离,将软件的灵活性和硬件处理的高速有机结合,保证了系统的高性能和稳定性,同时为系统的安全提供了保证。
采用了FlexHammer5010智能多层交换机,可使汇聚层网络实现以下功能:
1.高交换容量,全线速L2/L3/L4交换
FlexHammer5010具有12.8的交换容量,满足所有端口的无阻塞线速交换。三层线速转发能力6.6,具有8K的MAC地址表和2K的IP地址表。
2.新一代的铜缆、光纤千兆技术
FlexHammer5010采用新一代的铜缆千兆技术,可以满足网络主干、服务器或交换机之间堆叠的连接需求,在为用户提供千兆带宽的同时,降低了建网的成本,另外也支持光纤千兆接口。
3.强大的铜缆千兆虚拟堆叠功能
FlexHammer5010采用千兆电口实现菊花链式的虚拟堆叠,将传统几米的堆叠距离延伸达几百米之远,最多可以堆叠8台。利用HammerOS的堆叠管理特性,多台设备在网络中作为一个逻辑设备进行管理,使网络管理更加简单。
4.应用级QoS保证
Flex Hammer5010硬件支持第二层到第七层的交换,在保证应用级QoS的同时不降低交换性能。
32M共享包缓存区,先进的包头阻塞(HOL)预防机制,最大限度地减小包阻塞,提供优化的转发性能。
可自定义多层流分类规则,基于交换机物理端口、MAC地址、VLAN号、 IP地址、TCP/UDP端口号来区分不同的业务流,最多支持1K流分类。
交换机每端口具有单独的数据包过滤器,智能的区分不同的应用流,根据应用类型不同为网络流量设置传输优先级标记,满足重要应用或实时多媒体应用的需求。
交换机入口端与出口端的流量都能够根据其应用类型的不同而进行相应的优先级调度。
二层802.1P和三层DiffServ Code Point(ToS) 支持, 硬件支持输入/输出队列,可使用WRR、SP等队列调度策略。
5.完备的安全控制策略
支持业界最新的基于端口的用户接入控制协议802.1X,能够对上网用户进行身份检验和授权,保证只有合法用户才能接入网络。
支持多种ACL访问控制策略,可以基于物理端口、MAC地址、VLAN标识、IP 地址、TCP/UDP端口号、协议类型等元素进行灵活的访问控制,能够对用户访问网络资源的权限进行设置,保证网络的受控访问。
能够把指定的用户通过指定的用户分类方式加入到指定的VLAN组当中,支持256个IEEE 802.1Q VLAN,不同VLAN在二层交换中不能相互通信,在不同VLAN间提供安全隔离,支持基于端口、协议类型、MAC地址、IP子网定义VLAN,支持GVRP协议,完成VLAN的动态管理。
6.完善的协议支持能力
支持L2/L3/L4多个层次的网络协议,满足组建大规模网络的需求,保证网络的安全、可靠以及服务质量等特性,实现对视频、语音及组播业务等的支持。
7.独特的集群管理方式
可通过一台指定的命令交换机管理多达36台Hammer系列交换机集群,只需占用一个网管IP地址,集中式管理大大降低网络管理成本,简化管理操作。
可管理的集群交换机间可通过以太网、快速以太网、千兆以太网连接,而不必受专用堆叠模块和堆叠电缆的限制,方便网络扩展。
7.方便的维护管理功能
内置基于WEB的代理,可通过通用WEB浏览器的图形化界面来管理设备。港湾特有的基于WEB的中文管理平台,无须专业知识可快速配置复杂网络!
支持SNMP/RMON,采用港湾HammerView统一网管平台使网络管理者可以方便的提取各种统计数据,优化网络配置。
可以通过网管平台进行QoS特性的配置,可以基于用户的IP地址或MAC地址设置用户的优先级,或根据应用类型的不同设置优先级的高低,直观的图形界面,方便的点击操作。
可通过CONSOLE口对设备进行带外管理。
支持端口镜像,可把指定端口的所有收、发数据报文重定向到镜像端口,以方便错误的诊断。
支持BOOTP、TFTP、TELNET,提供了完备的软件升级功能。
接入层智能或线速交换机
我司在接入部分设计采用基于高性能的ASIC,采用灵活的模块化结构的千兆增强以太网交换机μHammer24,提供24个固定的10/100TX自适应以太网端口和一个扩展插槽,可灵活选择不同的100M或1000M扩展模块,提供高密度的终端接入能力。并且支持七层流分类,保证完善的应用级QoS和灵活多样的ACL访问控制。支持业界最新的基于端口的802.1x用户安全控制协议,实现对用户的身份验证和授权,从接入层保证网络的安全性。另外,普通用户的接入采用港湾二层全线速接入交换机μHammer1000系列,满足端口的全线速转发。
网络拓扑图
网络特点描述
港湾网络经过对网络需求的全面分析,对网络的需求作出了更加细致的解决方案,这便是人工智能化网络的设计。
有以下四个特点:智能——思维、安全——感觉、性能——行为、控制——管理。
智能:
所谓智能,就意味着网络是智慧型的,它更加贴近用户的实际应用,关注企业在网络上的每一项业务的实际应用,高效准确地保证企业供应链、MRP、CRM、电子商务、多媒体应用等每一项关键业务的快速实施,真正转化为生产力,为企业创造价值。与之相反,用户对传统网络的利用率很低,网络在很多企业就像摆设一样。然而“人工智能”网络体现出网络的主动思维能力,能够智能的识别应用事件的紧急和重要程度如视频、音频、数据流(MIS、ERP、OA、备份数据),同时能够调度网络中的资源,保证重要和紧急事件的带宽、时延、优先级和无阻塞的传送。使构建的IP网络从尽力传输型的网络升级到有保证、有服务质量、有策略、秉承人类的工作思维的智能型网络。
形象的讲就像一个人做事时会把重要的事情和紧急的事情进行区分一样。智能的网络更关注数据流的应用变化,具备对数据流的思维处理能力。可以说,智能网络可以真正满足企业运作和应用业务的需求,看一下业务流特点
通过业务应用分析表可以看出,每种业务流的紧急程度和时延率是不相同的,也就需要去区分对待,根据不同类型的数据流做作出判断和处理,从而来提高整体网络处理效率、保证数据的安全性。
目前各个行业的运作越来越融入互联网,企业的沟通、应用、财务、决策、会议供应等等数据流都在企业网络上流通。港湾网络的新一代智能网络解决方案,不仅仅是智能,更是人性化的特征注入,将传统的积木式网络搭配升级到的智能化、人性化网络请看下图:
可以看出:企业的网络架构为业务型网络即更多的应用和更多的流量会在职能部门之间以及在骨干的关键业务服务器上,以及上Internet,港湾网络率先提出“人工智能”网络解决方案,使建设的网络不再是摆设,能够智能的识别合法用户及其权限、智能的保护网络、智能的根据应用业务需求和工作应用的特点来映射到网络的资源上。港湾智能网络体现出网络的主动思维能力,能够智能地识别应用事件的紧急和重要程度如视频、音频、数据流(MIS、ERP、OA、备份数据),同时能够调度网络中的资源,保证重要和紧急事件的带宽、时延、优先级和无阻塞的传送。
智能目录
基于应用的智能 :处理特定应用的数据包, 例如, 文件备份、IP语音, Lotus Notes等等.
基于位置的智能: 处理流向/出特定设备的数据包, 例如, 广域网位置的服务器.
基于用户的智能:处理流向/出特定用户或端口的数据包, 例如, 特殊用户的数据传输具有高优先级且无限制存取公司网络.
性能:
CROSSBAR三级无阻塞交换和全系列产品线速交换的交换架构。
1)CROSSBAR架构是港湾网络中高端产品的交换核心,通过三级无阻塞交换架构(缓存-定长交换-缓存)克服了常有的共享总线、共享缓存、CROSSPOINT的交换架构的缺点,是业界公认的最佳交换架构的基础。常用于GSR千兆路由交换的核心。港湾人工智能网络以高性能的CROSSBAR交换为基础完成优秀的智能网络的上层应用流处理。
2)分布式处理结构,使三层信息处理过程不必经过中央处理器,直接在具有三层处理能力的接口板完成,使网络的综合处理能力大幅度提高,避免了网络的过早淘汰。
3)全系列产品线速交换使港湾网络全线产品购造的智能网络从接入到骨干的设备具有通畅的数据流交换通道,无论是端口与端口之间还是交换机之间的交换都能够实现最大的效能支持高速增长的企业和多媒体为代表的大量应用业务对网络设备的考验。
BigHammer400交换机具有128G的大交换容量,即使在设备本身满负荷的情况下也能保证数据的线速转发,有效的消除了网络应用增大后的所产生的瓶颈。完全可满足高性能、多应用的网络需求。
核心交换所支持功能的特性:支持标准SNMP的网管,是以JAVA插件的形式插在HP OPENVIEW网管软件中,可在网络中心进行的集中的网络管理,简化网络的管理难度,降低后期网络维护的成本,支持 RIP、RIP2、OSPF、BGP4等路由协议,使路由收敛和延迟更小,更具效率。支持802.1Q国际标准的VLAN,进行有效的网络应用隔离,从而保证内部的安全保障。可根据五元组(源MAC地址、目标MAC地址、源IP地址、目标IP地址,端口号)进行安全控制,对2、3和4层访问过滤控制和服务优先级的QOS保证,支持带宽粒度控制和流处理技术。
安全:
智能识别用户的身份与网络设备的接入控制绑定
——802.1X对用户身份和应用终端绑定的运营级安全技术
港湾网络的FLEX/BIG系列智能多层交换机内置802.1X协议,作为“人工智能”网络的感觉部分能够智能的识别和判定用户和接入设备的合法性同时以此为依据授予用户的相应权限。避免传统企业网接入方式的自由、无控制模式及防范企业网60%的攻击和非法行为来自于企业的内部现状,港湾网络公司提供的企业网解决方案可以提供:
1) FlexHammer可以提供基于64kbps的带宽控制,不同用户可以根据带宽采取不同的应用网络策略,可对网内不同层次的用户提供细致的认证和服务质量保证。不同用户可以根据不同得应用业务网络策略采取不同的带宽策略和制定权限,从而可以更加合理的分配网内的带宽。如:重要部门的用户带宽大于非重要部门,避免了用户之间争带宽的现象 。
2) 可以提供全网IEEE802.1x认证,在不提高设备成本和降低设备转发性能的前提下,提供基于用户名+密码的认证手段同时与物理设备的绑定实现从二层到七层的安全策略,对于运营型的网络还可提供基于时长或者流量的计费能力。
安全认证策略
由于地震系统的应用环境复杂,安全性要求高,根据统计,将来网络60%的攻击和非法行为来自于企业的内部现状。港湾网络从组网设备上提供智能多层安全策略,从而严格保证网络内部的应用业务和数据的安全性,合法的员工能够安全的进入企业内部网络,有效的避免从企业内部发起的攻击和盗取行为。以往的企业网安全防护主要是防火墙设置在出口处,就像人穿衣服来抵御外界的严寒,越冷衣服就越多,行动也越不方便,还是会受到厉害的病毒侵入,
建议采用支持IEEE 802.1x认证的网络设备。原因有:
IEEE 802.1x认证是相对传统认证来讲是业界最先进、最具效率的认证技术,已经成为发展的主流和重点,cisco、北电等公司宣传新的产品将支持 802.1x认证,微软公司的操作系统windows xp内置了 802.1x认证的客户端软件,全球著名的计费软件生产厂商亚信集团,公开发布支持802.1x认证的计费平台,可见802.1x认证已受到全球范围内的关注。
拥有IEEE 802.1x认证的支持,可将网络升级为可增值的网络系统,根据港湾公司的一系列可运营,可管理的建网思想和操作规范,可使资金投入巨大的网络作出相应的回报。所以做投资不能局限于目前,还要放眼看将来。
认证方式选择依据,在选择认证方式的时候一定要考虑到整个网络的实际环境和安全性需求。
由于港湾公司交换机采用国际统一的标准技术,与其它厂商设备相兼容。
管理:
快速定位网络故障、良好的设备维护能力,避免工作的停顿。
为保证日常工作的不停顿。良好的网络维护也是网络规模运行的基础。港湾网络公司一直关注提供以太网的维护能力。通过对企业网尤其是快速成长和大规模的园区网的网管问题提出了港湾网络“神经树”网管技术,实现了层次化和可操作性的规模化网管,目前已经推出:
网管人员在集中网管中心就可以通过网管命令测试分散的远端交换机端口状态,避免网管人员四处奔波检测或者定位网络故障。
提供端到端的网管能力,避免出现网管盲区,减少维护奔波,不必亲临现场维护,港湾网络“神经树”网管技术对大规模的交换机分级、分权、分域、集中式配置和管理并可通过H.link集群管理方式,降低设备网管对于IP地址的占用,并减少远端分散的交换机对于SNMP网管网元数目。
网管系统解决方案
网管概述
以前的网管采用的是平面型的网管,要不就有网管,要不就没网管,。港湾公司采用“智能树”树形网管,是一种二层管理H.LINK跟三层网管SNMP来个简单对接,这样就构成树型的结构。简单网管SNMP就像神经中枢,而集群式管理就是神经末梢的方式。主要应用于维护管理特性要求较高的驻地网、教育网和高速规模扩张的企业网络等,
在大规模的网络中,原来的简单网管SNMP是点对点的单播管理,神经树的网管一个IP可以管到30~36台交换机,这是集中式的而且能分权、分域的管理借鉴了组播用户的管理特征。这种管理中有用户登录过程,交换机接进来,自动登录,自动设定权限,自动配置文件下载,对物理端口、VLAN和Trunk进行配置,即使更换一台交换机,原有的配置保存在网管服务器端,H.LIN集群管理协议将对新接入的交换机同步过程,自动下载原有的配置,免去了重新配置每一台交换机的工作量,具有低成本的高性价比。智能树是从平面型到树型的网管质的飞跃!智能树有一个神经元,神经元是末端的一个交换机。FlexHammer交换机进行一个简单的网管,对于简单网管来说他是末端交换机,这样就是一个树型的结构。从整个大规模的网管来说,就是一个可操作性、实用性的网管,而且是一种非常安全的管理软件,它可以控制接入交换机的安全性、接入终端PC的安全性、交换机端口的通道逻辑开关-网管人员可以远程集中的对交换机的端口控制防止非法用户对网络的入侵!网管软件是港湾公司利用HammerOS操作系统自己研发。
网络管理分为两类。第一类是网络应用程序、用户帐号(例如文件的使用)和存取权限(许可)的管理。它们都是与软件有关的网络管理问题。这里不作讨论。
网络管理的第二类是由构成网络的硬件所组成。这一类包括工作站、服务器、网卡、路由器、交换机等等。通常情况下这些设备都离所在的地方很远。正是由于这个原因,如果当设备有问题发生时网络管理员可以自动地被通知的话,那么一切事情都好办。但是网络设备不会象用户那样,当有一个应用程序问题发生时就可以打电话通知你,而当设备拥挤时它并不能够通知你。
为了解决这个问题,厂商们已经在一些设备中设立了网络管理的功能,这样就可以远程地询问它们的状态,同样能够让它们在有一种特定类型的事件发生时能够向你发出警告。这些设备通常被称为"智能"设备。
网络管理通常由四部分组成:
被管理节点(或设备):即要监视的设备
代理:用来跟踪被管理设备状态的特殊软件或固件 (firmware)
网络管理工作站:与在不同的被管理节点中的代理通信,并且显示这些代理状态的中心设备。
网络管理协议:被网络管理工作站和大理用来交换信息的协议。
网络管理中心通常设在设在核心点,对全网中的设备进行告警、配置、统计等工作。网管系统提供对局侧设备、用户侧设备的远端维护和集中维护,实现统一网管。设备与网管系统之间的协议为SNMP、RMON。
网管系统具备对设备进行拓扑管理、配置管理、故障管理、性能管理和安全管理方面的功能,并支持对设备上报的计费信息(如每个用户端口的业务量)进行统计的能力。
港湾网管系统解决方案
港湾网络提供的网管系统解决方案基于HP OpenView为用户的网络提供网络和网元级别的全面,安全的管理。
港湾网络为用户提供网管软件HammerView。HammerView可以独立运行也可以基于HP OpenView运行。
网管功能
用户可以独立安装HammerView软件,在安装过程中可以定制是否集成到HP OpenView网管平台中。安装界面如图1:
图1 港湾网络网管系统HammerView安装界面
设备资源管理(面板管理模块)
设备资源管理在HammerView系列中的实现是设备面板管理。由于用设备面管管理是网元管理中的首要功能。而面板管理的主要功能是浏览和配置被管设备,也可以把设备面板管理模块当作其他特性管理模块启动的入口。
HAMMERVIEW面板管理的主要功能如下:
识别并显示设备(包括面板主体,面板上的端口,电源、风扇、指示灯、可插拔模块)。
显示设备上可管理端口状态,并以图形的方式进行端口状态的配置。
提供图形化浏览和配置MIB II里可配置项的手段。
提供图形化浏览配置私有MIB管理项内容的手段。
提供挂接特性管理模块的手段,从面板模块的菜单下能够启动已经安装的特性管理模块。
提供轮询设备状态的功能。
提供实时配置SNMP参数的手段。
ONLINEHELP的功能。
提供配置访问控制列表的功能。
提供启动管理其他设备的接口。(比如:点击<File/Open New>,输入可管理设备的ip地址可以再启动一个设备面板管理程序)
设备管理的ip地址,将会弹出新的设备管理面板的主界面,如图2:
图2 设备管理面板
图3 VLAN配置界面
性能管理
性能管理提供对用户管理的当前设备的可管理的功能(从SNMP意义上说就是对可管理的配置项目进行图形化的监视,主要的表现方式为:曲线图、直方图、比例分布图)
用户可以根据自身的需要定制所要监视的管理项目,对于监视动作,用户可以定制监视的项目数,监视的时间、报表方式(包括:图形、表格、打印)。
图 4 用户自定义管理项目监视
“HammerGrapher” 可以实现流量数据的报表功能,也就是将当前监视的数据进行报表或打印,保存留做日后报考或分析网络性能。
图5:监视数据保存
告警管理
用户可以应用HPOpenView中的告警浏览器和事件管理器定制告警和对应的级别和动作。
HAMMER系列的设备支持标准的SNMPV1/V2C的告警。对于HAMMER系列的设备对应的企业级别的告警可以参考特定设备的网管手册进行有针对性的告警事件的定制和动作的定制。关于HPNNM的告警浏览器和事件管理器请参考HPOpenView的相关手册或者登陆到 http: //www.hp.com/openview/support.html 或 http: //www.docs.hp.com进行查询。
网管软件和设备的操作日志管理
HammerView提供网管软件本身的操作日志的功能,记录了用户对软件的重要的操作过程,为管理员日常的操作管理提供的方便,为设备和网络管理提供了有利的手段。HAMMERVIEW同时提供设备操作日志接收的功能,并且能够对设备的操作日志进行过滤管理,定期备份,历史查找等功能。具体的操作日志的内容要参照具体的设备的网管软件和设备操作手册。HammerView同时提供对设备操作日志功能的激活和操作日志内容定制的功能。
安全管理
HammerView的安全管理部分依靠HPOpenView的安全机制。HammerView对设备进行的配置操作依靠SNMPV2C的安全机制,同时可以根据用户的需求支持SNMPV3的安全特性管理。
对于网管软件本身的安全管理,HammerView依靠HPOpenView的WEB方式的多级用户的管理机制:对于从WEB登陆进行网络管理的用户,一律不允许进行配置操作,只有通过控制台登陆的管理员才能进行HPOpenView本身的定制。同时WINDOWS NT和UNIX系统本身也提供了对网管软件的有力支持。在如WINDODWS98/95的不安全的操作系统上,HPOpenView将不支持安装,HammerView在WINDOWS98/95上只提供浏览的功能。
网管软件在线帮助
HammerView软件的在线帮助可以在每个具体的模块的帮助菜单中找到,用html形式制作,用户在浏览在线帮助前必须安装web浏览器。对于HPOpenView的在线帮助可以点击HPOpenView的帮助菜单获得。
网管软件的易操作性
HammerView网管软件基于java技术开发,可以跨平台安装使用,用户可以定制其显示风格,建议用户使用WINDOWS风格,这将更符合大多数用户的使用习惯。
网络优化的设计
本章主要从网络的运行与技术发展的角度出发做出一些分析,论证采用合理优化的必要性,同时提出对网络优化的几种手段与方法。为地震局良好地运行网络业务和将来网络的发展打下坚实的基础。
虚拟网的优化建议
VLAN划分的优势
选择虚拟网的主要原因就是虚拟网能够减少用户的增加、删除、移动等工作产生的隐含开销。在任何一种规模的网络中,这笔开销都是不可低估的。考虑到这一点,客户才对VLAN如此的热衷。
绝大多数厂商同都抱有这样一种观点。就是虚拟网的应用在很大程度上增强了对动态网络的集中式管理能力并相应的减少了这方面的开支。对于使用IP协议的网络,这点尤为突出。以前,如果一个用户移动到了另一个网段,那么,他所使用的工作站上的IP地址需要手动修改。这种升级过程既浪费时间又消耗精力。现在,VLAN中的用户已经不用再如此了劳神了。IP地址和工作站之间没有永久的必然的联系。用户可以在网络间漫游而不用考虑自己的成员身份。
这种新出现的动态网络结构吸引了许多Internet应用服务投资商。然而,遗憾的是,并不是每一种形式的VLAN都能给您带来意想不到的利润。一个VLAN与另一个VLAN之间的对话首先必须建立在物理连接的基础上。其次还需要一个虚拟连接层。这两个层次之间的对应和管理手段都需要大量的投资。那是不是说,虚拟网不能为使用者节省开支了呢?不是的。如果使用得当,VLAN仍然会做得很好。只不过,公司的决策人千万不要简单的把VLAN扔到网络上去而不管实际的需求和应用情况。虚拟网的建设所带来的投资和虚拟网在网络管理上节省下来的开支,孰轻孰重,是必须考虑的。
虚拟工作组
使用虚拟网的另一个目的是建立虚拟工作组模型。当企业级的虚拟网建成之后,某一部门或分支结构的职员可以在虚拟工作组模式下共享同一个"局域网"。这样,绝大多数的网络流量都限制在VLAN广播域内部了。当部门内的某一个成员移动到另一个网络位置上时,他所使用工作站不需要作任何改动。相反,一个用户根本不用移动他的工作站就可以调整到另一个部门去。管理员只需要在控制台上简单的敲两个键或挪动一下鼠标就可以了
VLAN的这种功能使人们以前曾设想过的动态网络组织结构成为了可能,并在一定程度上大大推动了交叉工作组的形成。那么,究竟什么是虚拟工作组呢?对一个公司而言,经常会针对某一个具体的开发项目临时组建一个由各个部门的技术人员组成的工作小组。他们可能来自经营部网络部,技术服务部等等。有了虚拟网,小组内的成员不用再集中到一个办公室里了。他们只要坐在自己的计算机旁就可以了解到其他伙伴们的开放情况。另外,虚拟网为我们带来了巨大的灵活性。当有实际需要时,一个虚拟工作组可以应运而生。当项目结束后,虚拟工作组又可以随这消失。这样,无论是对用户还是对网络管理员来说,VLAN都是再诱人不过了。
虚拟网技术的出现是和局域网交换技术分不开的。局域网交换技术使用户抛弃了传统的路由器,并在很大程度上代替了人们早已熟知的共享型介质。随着以太网和令牌网交换设备平均端口价格的降低。一些有远见的厂商开始将目光投向大型局域网交换体系。这种网络工作方式非常适合虚拟网技术的应用,并迅速成为降低成本、增加带宽的一种有效手段。然而,早期的交换机是不具备路由功能的。从某种程度上说,它只是一个高速网桥。因此,在这种以交换为主的网络里,路由器在定义广播域的过程中发挥了主要作用。路由器可以很容易的跨越不同网段,支持多达500用户的广播域。但是,交换技术的应用也产生了其它一些问题。大量的广播信息所带来的带宽消耗和网络延迟对于很多用户来讲是不容忽视的。
VLAN为路由器提供了一种可供选择的解决方案。VLAN中仍然需要路由器,仍然存在着广播流量。不同的是,在我们将交换技术和虚拟网技术相结合后,网段中的用户可以尽可能的少,甚至可以只有一个User;而广播域则能大到包含1000以上的用户。另外,如果使用得当,VLAN中的工作站可以移动到新的物理位置而不需要重新配置任何参数。
用最简单的方式来说,从网络管理的角度,VLAN是一组可以互换单一播送和广播数据包的局域网交换机上的端口。当一个数据包从一个属于某一VLAN的端口进行广播时,交换机收到数据包然后拷贝到这一VLAN所包括的所有端口上。目前国际上已对VLAN标记进行了标准化的定义,即IEEE802.1Q/p,使不同厂商的支持标准VLAN标记的端口可以实现跨越到多台交换机进行VLAN划分。我们在本次项目中的交换机的所有端口都可以支持802.1Q的标记。
网络系统的安装中都需用VLAN的原因:
许多现存的网络依赖第三层转发功能(如传统的路由器)来提供一定程度的安全性和存取控制。即使一个多层交换机的第三层转发模块具有能提供完好的安全性和存取控制,如果不采用VLAN技术,对一个用户来说,很容易通过重构他(她)的工作站的IP地址从而对与他(她)的子网内的网络资源进行利用或破坏,因为在这种情况下用户是能够由第二层交换核心实现数据交换而不是通过第三层交换模块。所以无法进行安全性检查。
如果不定义VLAN,一个基于多层交换技术的局域网将是一个单独的、庞大的广播域。局域网中站点的数量及采用的协议类型会造成巨大的广播风暴。一些局域网交换机采用智能广播控制技术来解决这个问题。但如果没有这类设计,就必须采用VLAN把网络划分成一定数量的广播域来控制广播风暴。
现在让我们看一下实践中是如何将多层次交换技术与VLAN技术相结合的。为简便起见,我们假设每一个IP子网都可以拥有自己的VLAN,但每一个VLAN只能有一个IP子网。
我们要做的就是决定哪一个多层交换机上的哪一个端口属于哪一个IP子网。对一个传统的以路由器为中心的局域网来说,这一点很容易实现。因为每一个与路由器相连的局域网网段已拥有自己的子网标识。当我们连接一个局域网网段到一个多层交换机上时,主要目的是想通过把网段分成若干个更小的网段来提高性能,那么就会有一定数量的属于同一子网的端口连接在的同一个多层交换机上。我们只需简单地将在每一组属于同一子网的端口定义为一个VLAN,然后将这个VLAN“连接”到一个在多层交换机中的第三层转发模块中的逻辑“路由器端口”上。所有这些工作只需要经过网络管理控制平台的操作即可。
采用这种方式来定义VLAN意味着我们解决了安全性的问题。因为用户不通过第三层交换设备,就不可能访问与它们不在同一个VLAN上的资源,同时也涉及到了广播问题 ,这是由于划分后的广播域要小于我们采用传统路由器连接共享的网段所形成的广播域。
VLAN划分
下面是我们根据用户方目前的状况按照业务的类型与安全级别对VLAN进行的理想划分,具体的VLAN划分要按实际的情况结合设计原则来策划,用下图参考来划分。因此,对于有某些地方,我们在工程实施中可能会有特殊的变动。
根据VLAN划分的手段与设备支持的功能,我们建议以国际标准的802.1Q的通用标记来实现虚拟网络的划分。至于网络划分的策略与手段我们考虑以下几种方法:
根据端口定义
就是一个交换机的1,2,3,7,8端口被定义为虚拟网A,同一交换机的4,5,6端口组成虚拟网B。这样做允许各端口之间的通讯,并允许共享型网络的升级。但遗憾的是,这种划分模式将虚拟网限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。按交换机端口来划分网络成员,其配置过程简单明了。因此,迄今为止,仍然是最常用的一种方式。但是,这种方式不允许多个VLAN共享一个物理网段或交换机端口。而且,如果某一个用户从一个端口所在的虚拟网移动到另一个端口所在的虚拟网,网络管理员需要重新进行设置。这对于拥有众多移动用户的网络来说是不可行的。
因此对于用户方的网络我们主要采用这种方式进行VLAN的划分。
根据MAC地址定义
按MAC地址定义的VLAN有其特有的优势。因为MAC地址是捆绑在网络接口卡上的,所以这种形式的虚拟网允许网络用户从一个物理位置移动到另一个物理位置,并且自动保留其所属虚拟网段的成员身份。同时,这种方式独立于网络的高层协议(如TCP/IP,IP,IPX等)。因此,从某种意义上讲,利用MAC地址定义虚拟网可以看成是一种基于用户的网络划分手段。这种方法的一个缺点是所有的用户必须被明确的分配给一个虚拟网。在这种初始化工作完成之后,对用户的自动跟踪才成为可能。然而,在一个拥有成千上万用户的大型网络中,如果要求管理员将每个用户都一一划分到某一个虚拟网,实在是太困难了。因此,有些厂商便将这项配置MAC地址的复杂劳动推给了他们的网络管理工具。这些网管工具可以根据当前网络的使用情况,在MAC地址的基础上自动划分虚拟网。
对于移动用户,就可以采用这种方式进行VLAN划分,终端不论走到任何信息点,通过判定移动终端的MAC地址,都能使该机器进入相应的网络。
根据IP广播组划分
根据IP广播组定义是指任何属于同一IP广播组的计算机都属于同一虚拟网。这样的虚拟网是如下建立的:当IP包广播到网络上时,它将被传送到一组IP地址的受托者那里。这组被明确定义的广播组是在网络运行中动态生成的。任何一个工作站都有机会成为某一个广播组的成员,只要它对该广播组的广播确认信息给予肯定的回答。所有加入同一个广播组的工作站被视为同一个虚拟网的成员。然而,他们的这种成员身分可根据实际需求保留一定的时间。因此,利用IP广播域来划分虚拟网的方法给使用者带来了巨大的灵活性和可延展性。而且,在这种方式下,整个网络可以非常方便地通过路由器扩展网络规模。
以上说的每种划分方法的侧重点不同,所达到的效果也不尽相同。根据网络的实际应用情况,减少网络复杂性的考虑,我们以采用基于端口的方式简单的划分VLAN,所有的VLAN通过第三层交换机来共享网络中心的系统资源。对不同级别的用户进行划分,对与内部的应用,根据安全的级别与业务服务的种类进行端口划分。其它的划分方式根据特殊的情况进行特殊的划分,比如我们可以部分采用广播组划分的方式,这种方法对用户方来讲可以对于VOD系统的应用来实现网络视频广播,对接受视频广播的终端加入到同一个网络中,有效的抑制广播,也提高了网络的利用率。
虚拟网间的信息传递
交换机必须有一种方式来了解VLAN的成员关系,即哪一个工作站属于哪一个虚拟网。否则,虚拟网就只能局限在单交换机的应用环境里了。一般来说,基于数据链路层的虚拟网(即按端口和MAC地址划分的VLAN),其成员是以直接的形式与其它成员联系的。而基于IP的虚拟网成员之间是利用IP地址以间接的方式相互联系的。绝大多数利用网络层划分虚拟网的网络产品,其工作方式均属于后一种。
现在,对于本次网络的建设主要采用以太网技术,因此可以抛开ATM不谈,已经有三种方式被用来实现VLAN之间的通讯:
列表支持方式(TableMaintenance);
帧标签方式(FrameTagging);
TDM(Time-DivisionMultiplexing,时分复用)方式
交换机列表支持方式
这种方式是按如下步骤工作的:当工作站第一次在网络上广播其存在时,交换机就在自己内置的地址列表中将工作站的MAC地址或交换机的端口号与所属虚拟网一一对应起来。并不断的向其它交换机广播。如果工作站的虚拟网成员身分改变了,交换机中的地址列表将由网络管理员在控制台上手动修改。随着网络规模的扩充,大量用来升级交换机地址列表的广播信息将导致主干网路上的拥塞。因此,这种方式并不太普及。
帧标签方式
在这种形式下,每个数据包都在包头位置上插入了一个标签以显示该数据帧属于哪个虚拟网。不同厂家的标签长度是不一样的。有时,一个数据包加上标签后的长度甚至超过了网络设备所能处理的极限。另一个问题是,由于标签的存在,网络负载加重了。
TDM方式
TDM在虚拟网上的实现方式与它在广域网上的实现方式非常类似。在这里,每个虚拟网都将拥有自己的网络通路。这样,在一定程度上避免了前两种方式中所遇到的问题。但另一方面,属于某一个虚拟网的时间片断只能被该虚拟网的成员使用。所以,仍然有很多带宽被浪费了。
现在, ATM网络也允许内部的两个交换机之间交换虚拟网信息。与上述三种方式都不同的是,ATM使用一种被称作LANE(LANEmula-tion,局域网仿真)的技术来实现这项功能
虚拟工作组模型的实现。
虚拟工作组的管理
网络管理一直都是令人头疼的问题。对于网络管理员来说,虚拟工作组频繁的变更会给他们带来许多意想不到的工作量。其繁冗程度不亚于手动修改路由列表。而且,从传统意义上讲,人们总还是在心理上希望能和同在一个工作组的其它成员在一起面对面的工作、交谈,而不是待在各自的屋子里通过没有生命力的网络间接的对话。
对80/20规范的支持
虚拟网对虚拟工作组的支持必须严格遵守80/20规范,即80%的网络流量限制在本地而另外20%的流量参与其它工作组之间的联系。理论上,如果划分得当,只有20%的非本地数据会通过路由器到达远程节点。这样,既节省了宝贵的网络带宽又减少了网络延迟。但是,80/20规范在某些情况下会限制某些网络软件的使用。对于像LotusNotes这样的群件系统尤其如此。因为,整个网络上所有用户对应用软件的访问概率几乎是一样的。
对本地局域网资源的访问
这是虚拟工作组模式带来的一个小小的问题。用户经常和某些网络共享资源,如打印机在物理上离的很近。一旦使用起来那可就要费点事了。打个比方说,会计组的一名成员和许多经营组的成员同在一间办公室里。在她本地的计算机上就连接着一台计算机。但遗憾的是,这台打印机被划给经营虚拟组了。这样,所有对本地打印机发出的打印请求都必须首先通过连接两个虚拟网的路由器。您不觉得累了点么?当然,某些情况下,我们可以让两个虚拟网共享同一个网络资源,包括打印机。但如果实际情况不允许我们这么做,那么我们只能在主干网交换机上内置路由功能。虽然这样做会降低交换机的性能,但总比使用外部路由强。
对服务器集群的访问
服务器集群是指公司将所有的服务器都集中在数据中心。这样做可以实现冗余备份,充分利用良好的外部环境和不间断电源。目前,服务器集群已经成为减少网管开支的主要途径之一。然而,如果网络设备不支持交叉虚拟网的话,服务器集群的使用将使虚拟网络陷入尴尬局面。在这种情况下,中心服务器和处在不同虚拟网段的客户端之间的数据交换必须通过路由器。也许我们可以为每个工作组都提供一系列的本地服务器,但在绝大多数情况下这是不太可能的。另外,在某些网络环境中,MIS系统的工作人员总习惯性在服务器集群和其它网络设备之间放一个路由器。目的是通过对路由器访问扩展列表的管理加强网络的安全性。而对于绝大多数厂商来说,他们的交换机产品是不支持跨越路由器的虚拟网划分的。更糟糕的是,想想吧,我们为什么选择了交换机和虚拟网。其主要原因是为了减少路由器带来的网络延迟。而现在,服务器集群和MIS系统的存在使我们不得不又重新操起了传统的网络拓扑结构。这与虚拟网络的原本意图是格格不入的。
减少路由器的使用
现在,交换机的出现大大动摇了路由器在网络中的地位。新型的交换机集高速网桥和高性能路由于一身。其增长势头远远超过了传统的路由器。人们不禁惊呼"交换机的时代来临了。"即使是路由器生产厂商现在也开始抱有这样一种观点:"Switch when you can,rout can,router when you must。"但另一方面,虽然交换机能够在网络层的基础上为观点用户提供卓越的功能,但在短时间内,交换机仍然和网桥一样,无法过滤局域网内的广播信息。它只是简单的将广播信息进行复制,然后分发给各个端口。这样做经常会导致网络上的"交通"拥挤不堪,使交换机所带来的高带宽大打折扣。因此,用户们不得不使用路由器将本网段和其它网段隔离开。路由器的作用就象是一个针对广播信息的防火墙。顺便插一句,由此看来,交换机本身是不会让用户抛弃路由器的。
使用虚拟网的一个优势就是支持虚拟网的交换机可以在没有路由器的情况下很好的控制广播流量。在VLAN中,从服务器到客户端的广播信息只会在连接本虚拟网客户机的交换机端口上被复制,而在其它端口上,广播信息终止了。只有那些需要跨越虚拟网的数据包才会穿过交换机。在这种工作方式下,交换机事实上扮演的是路由器的角色。
那么,路由器在虚拟网中究竟处在什么样的地位上呢?就是在VLAN中,路由器业仍然有着存在的理由:路由器可用于连接不同的VLAN,同时,还要为局域网和广域网之间的连接提供有效的广播过滤功能。因为虚拟网在广域网上是不适用的。
QoS特性
严格的服务质量保证
可根据源/目的端口、源/目的IP地址、协议号等五元组和VLAN ID来灵活定义流分类规则,支持多达128K流分类。
支持四个优先级队列和WRR、STP严格调度和混合调度等多种算法。
支持802.1P
提供优化的转发性能,2级包头阻塞(HOL)预防机制,最大限度地避免和减缓端口阻塞。
支持可控组播业务
认证组播请求,动态监控和管理组播用户的加入和离开;
在整个网络上基于组播树的树型拷贝,使数据包仅转发给有组播请求并认证通过的端口,节约组播业务消耗的带宽;
基于组播群体和用户的控制方法,避免恶意点播损害其他正常业务。
便于开展组播视频业务的应用。
根据对上述分析,我们将对校园网的应用、管理、公共服务分别做详细的VLAN优化设计,满足图书馆的网络访问需求。
网络安全解决方案
网络安全设计
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
Internet的不安全因素,来自两个方面。一方面,Internet网络做为一种开放的通信基础设施,是面向所有用户提供服务的;另一方面,Internet技术是开放和标准的,任何人都可以取得和进行研究。随着国内互联网的发展,来自国内的黑客攻击也日益频繁,黑客攻击的案例不断增加,而且来自于国内的网络攻击呈指数增长的趋势。
全方位的安全策略
根据总体设计思想,我们将通过组合必要的安全设备和安全服务(机制)来构建网络安全系统。
在本期网络的工程建设中,我们提出了完整的安全策略建议。包括:网络结构的安全和主机安全、网络应用服务安全、网络接入安全和数据应用服务的安全。
网络结构安全策略主要保证网络拓扑结构的合理性,整个网络各个节点之间的连接线路的可用性;节点安全策略主要保护各个节点的设备不受攻击;网络应用服务安全从单个服务系统的角度(例如电子邮件服务)考虑安全保障,保证服务不被中断;网络接入安全策略主要保证用户的安全接入;数据安全策略保证系统重要数据得到及时有效的备份保护。
网络结构安全策略
网络结构安全策略的要点是:
1. 通过合理的网络方案设计,使该骨干网络实现物理链路与物理设备的备份。
2. 应用动态路由协议,做到网络层次的自动备份。
3. 在重要的网络节点以及对于一些重要的网络业务模块,采用双机热备份的设置,避免出现网络数据交换或者是业务模块的单点故障。
4. 充分考虑对物理链路保护。
网络监视、审计、安全扫描
网络监视和审计系统位于敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录等安全策略。网络监控系统可以部署在网络中有安全风险的地方,如局域网出入口、重点保护主机、远程接入服务器、内部网重点工作站组等,在重点保护区域,可以单独部署一套网络监控系统(管理器+监控器),也可以在每个需要保护的地方单独部署一个监控器,在全网使用一个管理器,这种方式便于进行集中管理。网络安全扫描负责对整个网络或网络中某台服务器的漏洞进行扫描,对其安全状况进行评估,这是一种主动地安全保护措施,有利于及时对网络漏洞进行弥补。
这些策略部份可以通过网管软件来实现,提前发现网络的隐患,避免故障的发生。网络扫描可以通过ISS等相关的网络漏洞扫描程序。检查网络和主机有可能被黑客攻击的漏洞,所有的漏洞在扫描出后便会有告警信息,我们对这些漏洞进行弥补或关闭,以避免来自网络的攻击。
持续安全的建议
网络建设和发展是一个长期的任务,需要随着技术的发展和业务的更新,及时地制定新的安全策略,调整已有的安全策略。而计算机技术和网络技术具有的复杂性和多样性,使得网络安全越来越成为一个需要持续更新和提高的领域。
据资料显示,目前黑客的攻击方法已超过计算机病毒的种类,总数达数千种,而且许多攻击都是致命性的。在Internet网络上,全世界有20万个黑客网站,因互联网本身没有时空的限制,故从国际互联网上学习和获得黑客攻击方法是轻而易举的。每当有一种新的攻击手段产生,这种攻击方法就能在一周内传遍全世界,而我们的网络在第二天就可以遭到攻击。况且,国内黑客的技术水准现也已达到了相当高的层次,他们能很快地学到国外最新的攻击方法,利用网络和系统漏洞进行攻击,而造成网络瘫痪。
作为持续网络安全的重要保障,我们提供的专门的网络安全专业服务。主要内容包括:
1. 规划:用户需求分析和环境调查、风险评估、制订服务工作计划;
2. 实施:制订扫描方案(主机系统、网络系统、应用系统)、扫描实施、提供审计报告、安全漏洞的修补;
3. 支持:紧急启动现场服务、提前通知服务、在线服务、技术咨询与交流;
4. 培训:面向不同层次人员,具有针对性的系统化增强培训。
基于多年的实践经验,我们的安全专业服务能够提供全网完整的安全策略和措施,不仅提供网络的完全保护,而且能够快速适应业务需求和业务规模的变化。
港湾网络安全策略
防止利用共享介质进行网络窃听
在企业接入网中,用户之间的互访流量比较少,大部分的通信流量都发生在用户和网络中心之间,如:用户和视频点播服务器之间的通信流量,用户通过中心交换机访问Internet的通信流量等,大部分的通信流量都涉及用户的私人信息。
为了防止非法用户利用共享介质进行网络窃听,最有效、最简单的方式就是隔离每个用户的通信端口,使其相互之间在二层不能够进行互访,如果要实现互访则到三层进行控制。
隔离用户端口主要可以采取VLAN隔离的方式。在利用VLAN方式实现用户隔离中,给每个用户端口都划分一个VLAN,则用户端口之间阻断广播流量,不能互访,用户端口只能与上行端口进行通讯。
隔离用户端口直接在接入交换机上实现。港湾提供的接入级交换机μHammer1008、μHammer1016、μHammer1024均支持基于端口的VLAN隔离技术,出厂默认设置每个端口一个VLAN,实现用户的隔离。用户之间的互访在二层受到隔离,采用探测手段也无法探测到用户的信息。
图 22 港湾用户端交换机端口隔离
防止DHCP攻击
对于DHCP攻击的防犯,802.1x认证可以起到很好的防范作用。因为802.1x认证机制是先通过认证,后给用户分配IP地址。当合法用户通过认证后,才有DHCP的请求过程,并且用户的MAC地址、IP地址等信息会记录在FlexHammer上,再由FlexHammer执行DHCP的Relay的功能。
如果用户在这个过程发起攻击,因为用户的IP地址已经分配,当用户的DHCP请求到达FlexHammer,FlexHammer会查到其源MAC地址对应的IP地址,不在将其Relay到DHCP服务器;另外,也存在被追查到的可能性,因为其个人信息会记录在案,如果发生攻击可以很好的追查到用户。
防止地址盗用
对于地址的盗用可以采用绑定技术来解决。
要防止IP地址的盗用,可以在交换机中将IP地址和MAC地址绑定在一起,以此来限制用户在登录网络时,只有IP和MAC地址同时满足预定义的参数时才可以访问网络。
要防止MAC地址被盗用,需要使用端口绑定技术,就是只有当用户的IP地址或MAC地址与交换机的物理连接端口同时满足预定义时,用户才可以享用网络的资源。
图 23 港湾交换机端口绑定技术
支持MAC地址、IP地址、VLAN ID号、物理端口号的捆绑。从而能够严格确认用户的身份,同时核对用户的帐号和密码;对用户身份的定义主要是以下的方式进行捆绑组合:MAC地址、IP地址、VLAN ID号、物理端口号等,其中用户可以随意改动有的MAC地址和IP地址,网络维护者控制的有VLAN ID号和物理端口号,所以只要二者取其一并进行捆绑,就可以唯一标识用户。
接入安全策略
用户安全的主要问题及对策包括以下几个方面:
对用户实行端口隔离的机制,所有的用户端口只能通过汇接交换机或核心交换机来实现互连
对一部分特殊的用户,采用VLAN ID+MAC+IP的鉴别方式提供特殊的网络业务服务。
可采用PORTAL或802.1x的认证方式,建立用户上网的收费机制,使用户对自己使用的账号负责,不得与它人共享同一账号,系统定期提醒用户应经常变更自己的口令;
汇接交换机上有两个逻辑端口Controller和Uncontroller,交换机将用户认证请求经Uncontroll送到Radius 服务器,包括交换机的ID、端口和用户的MAC地址、优先级、上下行峰值/平均速率,上下行CAR带宽控制等参数;
认证通过后,用户才可发DHCP请求IP地址上网,便于多ISP选择,公平接入;
认证端Authenticator可以定时要求Client重新认证,保持链路激活。
以下是Portal认证的流程:
用户密码在登录及节点间传输过程中采用加密技术来保证安全,防止密码被截取及破译;
存储用户注册信息的主机RADIUS应加强安全管理与访问控制机制,禁止一般用户对这些主机的访问。
港湾网络公司致力于提供“AI ” Solution人工智能网络的以太网解决方案。港湾网络服务的用户涵盖电信、网通等各大电信运营商涵盖服务业、政府机构和教育行业等多个领域,并在运营商市场高度认可,在企业网“AI” Solution能够快速提升网络智能、简化管理、保证安全、提高工作效率,降低运营成本。
学院北区网络建设配置表
