XXX高中校园网解决
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
建议书
2011年3月23日
目录
1 xxx校园网建设概述 5
1.1 校园网建设的意义 5
1.2 校园网建设带来四个改变 5
1.3 网络建设设计原则 6
2 需求分析 6
3 技术选型 7
4 技术方案设计 9
4.1 拓扑结构设计 9
4.2 方案描述 10
4.2.1 核心层设计 10
4.2.2 汇聚层设计 10
4.2.3 整楼栋接入设计 10
4.3 网络规划 11
4.3.1 IP地址规划 11
4.3.2 VLAN设计 13
4.3.3 路由协议规划 15
4.4 关键技术实现方案 17
4.4.1 QOS技术设计 17
4.5 网络安全平台 21
4.5.1 网络互联互通分析及安全控制 21
4.5.2 设备自身的安全防护技术 22
4.5.3 ACL访问控制列表 24
4.5.4 用户的安全接入 24
4.5.5 网络病毒与攻击的过滤 25
4.6 网络管理平台 27
4.6.1 网络管理概述 27
4.6.2 有效的管理网络系统 28
5 方案特色 29
5.1 先进硬件体系架构设计,提供强大的处理能力 29
5.2 关键部件冗余,有效保证网络电信级可靠性 29
5.3 设备能完整的攻击和病毒防范能力,确保网络安全 29
5.4 专用硬件多业务的加速,提升网络性能 29
5.5 采用超低功耗设计,延长核心交换平台的寿命 30
6 产品选型 30
前言
随着当代信息技术向中小学教育的扩展,随着多媒体计算机在教育教学过程中的应用越来越普遍,校园网络的建设提到了重要的议事日程。从当今世界发达国家教育信息化发展的经验来看,从单机发展到网络,是中小学教育信息化发展的必然趋势。因此,在当前我国基础教育信息化发展过程中,以校园网络的建设为核心与基础,加快教育现代化的进程,实现我国基础教育改革发展中的跳跃式发展,这是全面贯彻素质教育的关键性步骤。
1 xxx校园网建设概述
1.1 XX高中校园网建设的意义
信息化为学校教学管理服务。借助学校教育教学网站,可以扩大学校的宣传,提升学校知名度和影响力。
信息化为学生学习服务。学生可以以全新的学习模式和学习手段来学习,或进行基于网络的自主式、协作式、研究探索式的学习,从而全面提高其自身素质与能力,提升学习效率。
信息化为家庭教育和学校教育结合服务。借助网络,家长可以更方便的了解学生在校学习生活的情况,老师与家长之间的交流也更加方便,通过网络可以促进学校教育与家庭教育的结合。
1.2 XX高中校园网建设带来四个改变
第一个变化:多媒体的校园。从教学应用的角度而言,通过实施校园网整体方案,原来的教师、学生和网络三者之间的关系会发生变化,传统的“填鸭式”教育将通过多媒体的教育手段得到有效改善。这主要体现在以下三个层面:1.教师的工作职能有所转变,他们将成为帮助学生掌握学习
方法
快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载
和信息技术的领路人,而不再仅仅是把知识传授给学生。2.学生成为学习的主体,主动提高自己的学习能力并发挥个人的创新意识。3.校园网为教师和学生“教与学”环节搭建出多媒体的交互平台。作为学生学习的指导者,教师将在教学过程中采用网络、多媒体技术,利用网络上丰富的教学资源,激发学生的学习兴趣,提高教学质量。多媒体技术则将文本、声音、图像、动画和视频技术融为一体,使教学活动变得生动且形式多变,从而提高学生学习的积极性、效率和效果。
第二个变化:网络化的校园。从教学管理的角度而言,实施校园网整体方案,学校能有效地利用计算机网络,采用先进的管理软件,规范学校的管理行为,提高管理水平和效率。首先,利用计算机存储量大、处理快速的特点,在减轻学校管理者工作量的同时,为学校的决策提供更加准确、丰富的信息。其次,因为学校办公、信息交流和通讯方面有了合适的管理平台,从而使学校逐步跨入电子化、无纸化办公阶段。
第三个变化:智能的校园。植根于应用方案的基础信息平台之上,“校园一卡通”得到了大规模的应用。它采用先进的信息集成技术,能同时嵌入学校正在使用的各种管理信息系统,使得分散的各个管理信息系统成为一个有机的整体,从而充分利用了各个管理信息系统的有效资源,真正实现了校园管理智能化。这意味着,无论学生的就餐、教师的考勤、图书馆的管理,还是学生注册、个人基本资料的存储,只要一张小小的卡片就可完成。
第四个变化:开放的校园。网络化的校园不仅仅指校园内部的管理效率大为提高,它还包括学校的开放程度的提高。通过在服务器上开发的校园网站,学校可以面向学生家庭开放、面向社会开放,促进社会与学校的交流和沟通。从宣传效果而言,通过交互网页的新媒介手段,学校也进一步提高了自身的知名度。
1.3 XX高中网络建设设计原则
XX高中建设校园网的时候还应该坚持下面一些原则:
高速校园网
校园网络是所有应用的基础平台,为了支持数据、话音、视像多媒体的传输能力,要求全网无带宽瓶颈,保证各种应用软件的带宽需求。
高稳定可靠性
校园网是各种应用的统一通信平台,平均无故障时间以及故障恢复时间,要保持在一个可容忍的许可范围之内。不但要考虑设备本身的冗余、容错能力,还要从网络架构的合理设计上,保障网络的稳定可靠运行。
高安全
制定统一的安全策略,整体考虑网络平台的安全性,构建全局安全网络。保证关键数据不被非法窃取、篡改或泄漏,使数据具有极高的可信性。
良好可扩展性
高性价比,满足目前需要,通过灵活性和模块化的方式平滑升级网络功能和扩展网络规模,满足不断增长的教学和管理的网络需求。
2 需求分析
XX高中网络设施建设目标是:建设一个适应现代远程教育应用需要,集Internet服务、数据、语音、视频服务于一体的高带宽、多功能、多服务、开放的、多业务接入的网络。
校园网采用核心、汇聚,接入的三层结构。
在核心层,此次网络的建设主要是为了实现骨干网带宽的提升,骨干网带宽提升至千兆支持万兆。
XX高中是新建校区,有艺术楼、图书馆、教学楼3栋、实验楼3栋,学生宿舍楼4栋,教师宿舍楼和食堂等共14栋建筑,XX高中校园要完成14栋楼的信息化建设,实现校园信息共享和数字化教学。各大楼综合布线采用六类线布线,大楼到中心机房部署单模光纤。
为此,建议xxx信息化项目采用全千兆以太网技术架构实施,建成后力争该网络在未来五年内具有先进性。
3 技术方案设计
3.1 拓扑结构设计
XX高中整个网络信息化系统划分为六个部分:服务器区域、出口区域、核心层、汇聚层、接入层。整网采用星形架构部署,中心机房部署在图书馆。
接入层负责用户端的PC终端接入,汇聚层负责对于接入本信息化网络系统的各种数据流进行合理的转发、路由聚合等工作,以降低核心层的数据处理压力;
核心层负责整个网络内部和外部的数据高速转发,是一个高速的数据转发处理平台;
服务器区为整个信息化平台提供了丰富的内部信息资源,如学校内部的数字图书馆等资源;服务器区还将部署一台专用服务器,并安装网管软件,负责这个网络内的路由、交换等网络设备,并对于网络不断优化;
学校通过出口区域访问外部丰富的Internet资源的,五个部分各司其职,组成个完整的网络体系,为学校师生、管理人员,提供丰富的内外部资源,建设一个适应现代远程教育应用需要,为用户提供Internet服务、数据、语音、视频服务于一体的高带宽,多功能、多服务、开放的、多业务接入的网络。
3.2 方案描述
3.2.1 核心层设计
核心层选用迈普MyPower S6800-4A-AC万兆核心路由交换机,作为网络核心交换设备,完成对校园网内部各大楼数据的汇聚和数据交换,各大楼部署千兆汇聚交换机4128F-AC通过单模光纤上联到核心交换机。
迈普MyPower S6800-4A-AC万兆核心路由交换机整机总插槽8个,配置冗余引擎后,业务接口的插槽4个,交换容量1600Gbps,包转发率958Mpps,可以提供超大容量L2/L3层数据交换服务;采用ATCA理念,先进的电信级99.999%设备稳定性设计,所有部件全冗余,主控卡和交换矩阵硬件分离;支持MPLS和IPv6数据的全分布式硬件线速处理,满足核心层设备高密度、高吞吐量的MPLS和IPv6数据转发要求;提供电信网络的管理特性,通过OAM协议可以对网络链路、业务、用户端进行全面的管理。
XX高中互联网出口部署MP3840路由器,实现对校园网进出数据的路由转发,为保障网路数据安全,在出口部署MSG4000安全网关,对城域网数据进行安全控制。迈普MSG4000语音网关具有防火墙,IPS,防病毒,流量控制,贷款管理,行为审计和日志管理管理。
同时为了将数据中心接入校园网,在XX高中数据中心部署一台S4128F-AC数据中心交换机直接接入到核心交换机S6800-04A-AC,实现校园网内部对数据中心无阻塞的数据访问。
3.2.2 汇聚层设计
各大楼一层弱电间部署全千兆三层交换机MyPower SM4128F-AC作为大楼数据的汇聚设备,MyPower SM4128F-AC通过单模光纤上联到XX高中校园网核心设备S6800-04A-AC,下行通过六类线对接入交换机进行汇聚。
MyPower S4100F交换机进行二层、三层数据转发时,可以实现所有千兆端口和万兆端口的全线速三层转发,交换容量304G/352G,,转发率155M/191Mpps,可以满足网络汇聚的需求。MyPower S4100F交换机具有完善的安全控制、QoS、组播能力等功能,能根据用户定义对数据包进行四至七层的ACL过滤,结合802.1x认证协议,可以向用户提供各种安全应用。
3.2.3 整楼栋接入设计
根据艺术楼、图书馆、教学楼3栋、实验楼3栋,学生宿舍楼4栋,教师宿舍楼和食堂,图书馆等大楼信息点和数据分布情况,采用MyPower S3100接入交换机完成对楼层信息点的汇聚,并通过电口上联到本大楼的汇聚交换机,楼层接入交换机部署在楼层弱电间。
MyPower S3100系列交换机能在二层上实现所有的端口IP数据包的全线速转发,并具有完善的
安全管理
企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理
、QoS、组播能力等功能。MyPower S3100系列交换机能根据用户定义对数据包进行二至七层过滤,结合802.1x认证协议,以及迈普特有的相关安全功能,满足用户安全性要求。
针对图书馆和艺术楼(办公)的实际应用需求,在图书馆和艺术楼的部署无线,在楼层部署WA2000-211高性能无线AP,满足移动办公用户对无线网络的需求,迈普WA2000-211-AC无线AP可以实现对半径15米得覆盖,同时配合迈普WA6000-200-AC无线控制器部署FIT AP解决方案,实现无线三层漫游,负载均衡和功率动态调整等功能。
3.3 XX高中网络规划
3.3.1 IP地址规划
3.3.1.1 规划原则
IP地址的合理规划是网络设计中的重要一环,大型计算机网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。
IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则:
唯一性:一个IP网络中不能有两个主机采用相同的IP地址;
简单性:地址分配应易于管理,降低网络扩展的复杂性,简化路由表项;
灵活性:地址分配应满足多种路由策略的优化,充分利用地址空间。
在公有地址有保证的前提下,尽量使用公有地址,主要是设备loopback地址、设备间互连地址、拨号地址池;
IP地址分配既要考虑到扩充,又要能做到连续;尽量分配连续的IP地址空间,并为将来的网络扩展预留一定的地址空间;在每个网络中,相同的业务和功能尽量分配连续的IP地址空间,有利于路由聚合以及安全控制;
IP地址的分配必须采用VLSM技术,保证IP地址的利用率;采用CIDR技术,可减小路由器路由表的大小,加快路由收敛速度,也可以减小网络中广播路由信息的大小。不同地址段,可根据业务类型,设置相应权限、访问相应资源。
3.3.1.2 IPv6网络扩展设计
计算机技术和通信技术的发展和融合使Internet的应用和规模飞速发展,IPv4技术以其简洁有效而取得了巨大成功,但IPv4的最大问题在于IP地址资源紧缺。随着移动和宽带技术的发展,IP地址的需求还将更大。例如,大量终端的IP接入需要更多的IP地址,面对下一代网络对IP地址的庞大需求,IPv4显然无法满足。除了IP地址问题,IPv4还存在路由表庞大、QoS和移动等一系列问题。
据预测,到2005年中国的互联网用户将达到2亿人,在数量上将达到世界第一位。但IPv4地址空间有限,就算全部互联网用户不都是永远在线,IP地址也将在3、4年后也将被耗尽。未雨绸缪,为解决地址空间问题,以及其它一些IPv4中的疑难问题,发展了IPv6协议。必须在IPv4地址枯竭前逐步引进IPv6,经过IPv6与IPv4的共存时代,最终全面过渡到IPv6。
IPv6的技术优势是明显的,但是IPv6应用所面临的一个重要问题就是如何部署IPv6网络。目前的Internet网络以IPv4为主导,不可能一次性地将网络的所有设备升级为IPv6,为此IPv6必须提供多种过渡技术来解决部署问题,
3.3.1.3 过渡阶段
IPv4到IPv6的过渡是从网络边缘向核心演进,IPv4和IPv6会在较长时间内共存
l 起始:所有网络基于IPv4,Internet上都是纯IPv4设备,使用NAT缓解IPv4地址资源紧张
l 初级阶段:引入IPv6 Intranet,提供IPv6接入等服务。IPv4网络中出现若干IPv6孤岛,不同的IPv6孤岛使用自动或人工配置的隧道通过IPv4网络连接起来“IPv6-in-IPv4”
l 共存阶段:IPv6得到较大规模的应用,出现了骨干的IPv6 Internet网络,在IPv6平台上引入了大量的业务。IPv6业务可以通过IPv6 Internet网络与IPv6 Intranet网络,从而可以充分利用IPv6的诸多优势,如Qos保证。但由于IPv6网络之间有可能不是相互连通的,因此还会使用隧道。在IPv6平台上实现丰富的业务加快了IPv6的实施。但仍将有大量的传统IPv4业务存在,许多节点也仍然是双栈节点
l 主导阶段:IPv6占据主导地位,具备全球范围内的连通性,所有的业务都运行在IPv6平台上。网络结构得以简化,维护也更加容易。
在从IPv4升级到IP6的过程中,一定要注意从IPv4过渡到IPv6的过渡策略,考虑产品和方案平滑升级到IPv6的能力,保护投资。
3.3.1.4 过渡策略
IPv6技术现在正处于完善的阶段。因此,在建设IPv6网络初期,应当选择具有升级能力的网络设备,比如以NP或ASIC为处理器实现的IPv6技术等。
应当考虑与现有IPv4网络的互通性。由于IPv4网络资源丰富,上面有很多业务,因此要考虑怎样在IPv6网络上访问IPv4网络的资源。
应当选择响应速度快、服务好的厂商。由于IPv6还处于发展期,会出现很多新功能,新技术,因此设备的版本升级必然比较频繁。同时用户可能根据自己的实际情况,对设备厂家提出一些特色需求。为此应当选择响应速度、服务好的厂商。
应当不要选用有私有协议、专利技术的厂家设备。这些厂家的设备不能很好的和其他厂家的设备互通。为以后升级、扩容造成很大麻烦。
3.3.1.5 IPv4/IPv6过渡策略
方案同时支持IPv6/ IPv4两种业务流,不影响目前主要的IPv4业务,满足IPv6应用时的过渡网络环境。
IPv4/IPv6共存开通建议:
? 内部V6-V6、V4-V4业务,通过双栈设备实现业务的互连,不涉及IPv6协议与IPv4协议的转换,与普通单网络业务转发模型类似;
? 内部V6-V4业务互通,利用核心路由交换机作为协议转换设备,运行NAT-PT协议进行转换;
? V6业务-外部V4业务互通,利用核心路由交换机作为协议转换设备,进行IPv6业务与外部IPv4业务的互通;
? V6业务与外部IPv6孤岛业务互连,建议在设备实现手工隧道或6TO4隧道,穿越IPv4网络。
方案中选用的迈普交换机,均支持丰富的IPv6路由协议和丰富的IPv6隧道、双栈实现方式,可为未来升级至IPv6网络提供高性能的处理平台。
3.3.2 VLAN设计
为提升网络性能、增强网络的安全性,对XX高中校园网系统做必要的VLAN设计。
虚拟网技术把传统的广播域按需要分割成各个独立的子广播域,将广播限制在虚拟工作组中,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高,同时VLAN部署也可以增强网络的安全性。
交换式以太网中,利用VLAN技术,可以将由交换机连接成的物理网络划分成多个逻辑子网。一个VLAN中的站点所发送的广播数据包将仅转发至属于同一VLAN的站点。而不是网络中的所有站点。在交换式以太网中,各站点可以分别属于不同的VLAN。构成VLAN的站点不论其所处的物理位置,既可以挂接在同一个交换机中,也可以挂接在不同的交换机中。实现VLAN主要有以下几种途径:
1、基于端口的VLAN
就是将交换机中的若干个端口定义为一个VLAN,同一个VLAN中的站点具有相同的网络地址,不同的VLAN之间进行通信需要通过路由器。采用这种方式的VLAN其不足之处是灵活性不好。
2、基于MAC地址的VLAN
交换机对站点的MAC地址和交换机端口进行跟踪,在新站点入网时根据需要将其划归至某一个VLAN,而无论该站点在网络中怎样移动,由于其MAC地址保持不变,故用户不需进行网络地址的重新配置。这种技术的不足之处在于站点入网时,需要对交换机进行较复杂的手工配置,以确定该站点属于哪一个VLAN。
3、基于网络地址的VLAN
在此VLAN中,新站点入网时无需进行太多配置,交换机根据各站点网络地址自动将其划分成不同的VLAN。在三种VLAN的实现技术中,基于网络地址的VLAN智能化程度最高,实现起来也最复杂。
4、根据IP组播划分VLAN
IP组播实际上也是一种VLAN的定义,即认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,主要适合于不在同一地理范围的局域网用户组成一个VLAN,不适合局域网,主要是效率不高。
5、按策略划分VLAN
基于策略组成的VLAN能实现多种分配方法,包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN 。
6、按用户定义、非用户授权划分VLAN
基于用户定义、非用户授权来划分VLAN,是指为了适应特别的VLAN网络,根据具体的网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,在得到VLAN管理的认证后才可以加入一个VLAN。
我们建议本项目以基于端口形式划分VLAN,并按各职能部门的不同创建相应的VLAN。
3.3.3 路由协议规划
在不同的VLAN间要实现互通必须提供路由,路由的产生可以由管理员指定,或者由路由器运行动态路由协议而产生。
由管理员指定的路由称为静态路由,它是由管理员手工设置每一个路由器,它的优点是不占用网络的资源,没有路由更新信息所占用的网络开销,缺点是网络中的管理员要对每一条路由都非常清晰地了解,当一个网络变得规模很大时,系统设置很困难。
由路由器动态产生的路由叫动态路由,它是由路由器动行一定的动态路由协议,彼此通告路由信息,然后在此信息的基础上产生各个路由器的路由表,常见的动态路由协议有RIP v1/v2、IGRP、EIGRP、OSPF、IS-IS、BGP4等协议。
RIP协议
RIP使用广播用户数据报协议(UDP)数据报文的方式把路由表项发送到相邻路由器。因为RIP使用UDP作为其发送机制,所以发送到相邻路由器的路由表更新不能得到保证。路由器间RIP表项的发送缺省是在路由器初始启动后30s。当一个路由器在到另一个已经活动的路由器的连接上变成活动时,这种路由器的“公布”也会出现在路由器之间。
使用RIP的路由器期待在180s之内从邻接路由器获得更新。如果在这段时间内没有收到邻接路由器的路由表更新,则去往未更新路由器的网络路由被标识为不可用,强制把ICMP网络不可到达消息返回给通过未更新路由器而连接的资源请求者。一旦接收更新计时器到达240 s,未更新路由器的路由表项将被从路由表中移去。路由器现在接收到的要到达通过未更新路由器连接的报文,现在可以被重定向到此路由器的缺省网络路径上。
RIP协议的优点:简单,应用广泛,几乎所有的厂商在其网络产品中都提供对它的支持。
它的缺点:整个网络不能超过15跳,采用全网广播来发送路由更新信息在广域网内占用带宽。路由更新不带子网信息,要求连续的子网。
IGRP协议
内部网关路由选择协议( IGRP)是Cisco专有的距离向量路由选择协议,目的在于解决RIP协议的限制。虽然RIP在小型同构网络上工作得相当好,但它的跳数小(16)的特点严重限制了网络的大小下,并且单一的度量(跳数)不能给复杂网络提供有弹性的路由选择。IGRP通过使网络跳数增加到255跳和为满足当今复杂网络路由选择弹性提供而提供的多种度量(链路可靠性、带宽、网络间延迟和负载),解决了RIP的不足。
EIGRP协议
EIGRP是Cisco 公司拥有的路由协议。EIGRP综合了距离向量协议与链路状态协议的优点。此外EIGRP利用散播更新算法( Diffusing Update Algorithm,DUAL),从而加快了收敛,并且减少了网络中产生路由环的可能。EIGRP比其他路由协议更有优势的一点是:它不仅支持IP,并且支持Novell NetWare IPX和AppleTalk。因此,减化了网络设计和故障处理。
OSPF协议
OSPF用链路状态算法来计算在每个区域中到所有目的的最短路径,当一个路由器首先开始工作,或者任一个路由变化发生,这个配备给OSPF的路由器将LSA扩散到同一级区域内所有路由器,这些LSA包含这个路由器的链接状态和它与邻居路由器联系的信息,从这些LSA的收集中形成了链路状态数据库,在这个区域中的所有路由器都有一个特定的数据库来描述这个区域的拓扑结构。这个路由器于是就运行Diskjtra算法,这个算法利用链路状态数据库在该区域中形成到所有目的的最短路径树,从这个最短路径树中形成了IP路由表。在网络中发生的任何改变将会被链路状态包扩散出去,同时使路由器利用这些新信息,重新计算最短路径树。
IS-IS协议
IS - IS(Intermediate System -to-Intermediate System,中间系统到中间系统)是一个分级的链接状态路由协议。IS - IS可以在不同的子网上操作,包括广播型的LAN、WA N和点到点链路。IS - IS是一个链接状态协议,实际上与O S P F非常相似,它也使用H ello协议寻找毗邻节点,使用一个传播协议发送链接信息。
但是,至少存在两个技术问题:
IS - IS使用一个小的度量值(6比特),严重限制了能与它进行转换的信息;
而且链接状态也只有8比特长,路由器能通告的记录只有2 5 6个。
BGP4协议
B G P是自治系统间的路由协议,它的主要功能是和其他B G P会话者之间交换网络可达性信息。一个B G P说话者是任何为B G P配置的设备。B G P使用T C P作为它的传输协议(端口1 7 9),这提供了可靠的数据传输。
两个B G P路由器形成了一个传输协议连接。这两个路由器被称为邻居或者对等体。一旦传输连接形成,两对等路由器交换报文以开放并确认连接参数。在这一步,路由器交换B G P版本号、A S号、持续时间、BGP标识和其他可选参数等信息。如果对等体间有任何一个参数不一致,就会有差错通知发送,这个对等体连接就不会建立。
如果对等路由器都同意这些参数,则整个BGP路由表通过Update报文进行交换。
Update报文包含了经过每个系统的可达目的地的列表(即网络层可达性信息)以及每个路由的路径属性。路径属性包含了诸如路由源(ORIGIN)之类的信息和优先权的高低。路径属性将会在本章后面详细讨论。
BGP表在BGP连接的过程中对每个对等体都是有效的。如果有路由报文发生了变化,邻居路由器使用增量的更新(报文)来传递这个信息。BGP并不要求刷新路由信息。如果没有路由变化产生,BGP对等体仅交换保留( keepalive )报文,保留报文被周期性地发送以确保连接是保持有效的。
方案中建议配置的迈普核心路由交换机能够支持上述所有的路由协议。
从上面介绍的路由协议来看,我们建议xxx综合楼楼信息化项目网络路由的设置可以根据网络规模的发展采用分步实施的方式。
第一步采用静态路由,因为此时xxx综合楼信息化项目网络的三层数据交换均在核心交换机完成。
第二步当xxx综合楼信息化项目网络的网络规模扩大以后再采用OSPF动态路由协议,这个协议的的优点是路由的开销小、收敛速度快、协议是开放的
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
,能保证以后升级的兼容性。
方案中选择的路由交换机均支持以上两种路由协议,可满足目前及未来需求。
3.4 关键技术实现方案
3.4.1 QOS技术设计
3.4.1.1 主要的QOS服务模型
InterServ 方式:
Integrated service是一个综合服务模型,它可以满足多种QoS需求。这种服务模型在发送报文前,需要向网络申请特定的服务。这个请求是通过信令(signal)来完成的,应用程序首先通知网络它自己的流量参数和需要的特定服务质量请求,包括带宽、时延等,应用程序一般在收到网络的确认信息,即网络已经为这个应用程序的报文预留了资源后,发送报文。而应用程序发出的报文应该控制在流量参数描述的范围内。
网络在收到应用程序的资源请求后,执行资源分配检查(Admission control),即基于应用程序的资源申请和网络现有的资源情况,判断是否为应用程序分配资源。一旦网络确认为应用程序的报文分配了资源,则只要应用程序的报文控制在流量参数描述的范围内,网络将承诺满足应用程序的QoS需求。而网络将为每个流(flow,由两端的IP地址、端口号、协议号确定)维护一个状态,并基于这个状态执行报文的分类、流量监管(policing)、排队及其调度,来满足对应用程序的承诺。
传送QoS请求的信令是RSVP(资源预留协议),它通知路由器交换机应用程序的QoS需求。RSVP使网络用户能根据自己对带宽、时延的要求,动态地申请预留网络资源,满足它们对资源的需求。RSVP提供了端到端的、精细的资源控制机制,是实现端到端QOS的解决方案之一。
Integrated服务可以提供以下两种服务:
保证服务(Guaranteed service),它提供保证的带宽和时延限制来满足应用程序的要求。如VoIP应用可以预留10M带宽和要求不超过1秒的时延。
负载控制服务(Controlled-Load service),它保证即使在网络过载(overload)的情况下,能对报文提供近似于网络未过载类似的服务,即在网络拥塞的情况下,保证某些应用程序的报文低时延和高通过。
Differserv 方式:
Differentiated service是一个多服务模型,它可以满足不同的QoS需求。与Integrated service不同,它不需要信令,即应用程序在发出报文前,不需要通知路由器。对Differentiated service,网络不需要为每个流维护状态,它根据每个报文指定的QoS,来提供特定的服务。可以用不同的方法来指定报文的QoS,如IP包的优先级位(IP Precedence),报文的源地址和目的地址等。网络通过这些信息来进行报文的分类、流量整形、流量监管和排队。其模型如下图。
区分服务QOS模型
3.4.1.2 QOS策略
本期项目是一个集成了数据、视频、语音等多业务的跨部门的综合网络,不同的业务系统对网络服务的要求不同。在这个统一的网络平台上,应该保证对于不同的应用数据根据其具体要求提供相应的网络服务,并能在因故障导致网络资源稀缺时优先保证关键性业务数据的传输。
根据应用系统对网络需求分析,业务可分为以下几类:
管理信息类:包括各类OA及管理类业务,数据流量大、突发性强、对实时性要求较低,但要求能够可靠传输;
综合类:视频等多媒体业务是面向非连接的,对时延非常敏感、流量大、随机性强。
对时延敏感的业务,在网络传输中应赋予较高的优先权,使其能得到优先传输,降低延迟,但同时还应保证关键业务得到优先处理。
根据网络的特点,我们建议网络QoS采用成熟的差别服务模型方式进行构建,要区分不同的服务并提供质量保障:
1)首先需要区分不同服务的数据,即利用ACL、CAR、VLAN ID、IP地址、TCP端口、UDP端口、TOS字段等对数据流进行分类识别;
2)在线路上采用带宽分配、优先级控制、队列调度等QOS控制技术保证各类应用数据的有效传输。
在本次项目的网络中将开展语音、视频会议等高QOS的业务,因此建议全网采用统一的VLAN ID规划语音、视频。
在接入层的终端通过二层交换机的端口分配相应的VLAN后接入汇聚层交换机S5516,由S5516实现对语音、视频终端等业务的带宽控制;同时实现语音、视频所对应的VLAN与三层TOS/DSCP的映射,将语音、视频等业务根据需要映射为相应的QOS种类,从而实现三层的QOS。核心和汇聚交换机只需根据TOS/DSCP域内容进行不同优先级数据的快速转发。
当然为实现三层的QOS不仅需要在三层的TOS/DSCP的映射,还需要在三层网络通过TOS/DSCP的所映射的优先级实现数据流分类、队列调度和拥塞控制三个方面,才能够完全保证三层的QOS。其具体技术如下:
(1)数据流分类技术实现业务区分
数据流分类是将数据报文分为多个优先级或多个服务类,如使用IP报文头的TOS字段(Type of service,三个bit),可以将报文最多分成六类(另外两个值保留为其他用途)。在报文分类后,就可以将其它的QoS特性应用到不同的分类,如拥塞管理、带宽分配等,分类是QoS的基础。可以有多种依据用于对数据流进行分类:
A. 根据网络设备物理端口或逻辑端口对数据流进行分类。
B. 根据通讯协议对数据流进行分类,例如NETBIOS、IPX、IP等。
C. 根据数据的VLAN ID、IP网段、源(目的)地址、TCP端口号、UDP端口号对数据流进行分类。
对报文进行分类时,可同时设置报文的IP头的TOS字段或Differsrv作为报文的IP优先级,这样,在网络的内部就可以简单的使用IP优先级作为分类的标准。而队列技术如WFQ就也可以使用这个优先级来对报文进行不同的处理。
(2)QoS控制技术实现优先级机制
控制策略增加过多会导致路由器负载过重,为避免这种情况,我们建议在进行策略路由配置的同时,结合选择以下几种QOS控制技术,可简单有效地实现各类应用的QOS保障。
A. 接入速率承诺(CAR):
在数据流的进口处配置,使用令牌桶技术,根据路由器的出口带宽对进入的数据流量加以限制,超过承诺速率的数据将被丢弃或标以最低的优先级,避免数据在路由器内拥塞。
B. IP优先级控制
路由器根据预先设定好的策略,识别不同业务的数据流,可在数据包上标明IP的优先级别,这些表明优先级的数据包在传输过程中会依据高低级别享受不同的服务质量。例如当数据流量突发,拥塞发生时,可以丢弃那些优先级别低的数据,保证关键业务的正常运行。
C. 队列机制(WeightedFairQueuing)
利用队列机制可以对路由器的输出端口进行拥塞管理,可以利用PQ、CQ、WFQ、CBWFQ等队列技术对不同等级的业务进行不同的处理,包括时延、丢包率、缓冲区大小等。
D. 先期拥塞控制(WRED)
当网络出现真正的拥塞时,瞬间大量的丢包会引起大量TCP数据同时重发,加剧网络拥塞的程度并引起网络的不稳定。网络设备在网路出现拥塞前就自动采取适当的措施,进行先期拥塞控制,避免瞬间大量的丢包现象。
在多种业务并存并且存在资源瓶颈的地方,都应该考虑相应的QOS保证机制,确保时间敏感的、关键的业务报文能够被及时、正确、有效的转发。在我们建议的设备解决方案中,所有设备都可以支持相应的QOS/COS策略,核心路由交换机S8508提供完善的Diffserv/QoS支持,提供多种规则组合条件下的流映射和分类、流量监管(CAR)、拥塞控制方法(RED、WRED、SA-RED)、队列调度和输出流整形等功能,做到业务区分并保证带宽/时延/抖动在限定的范围内,使网管中心可以为工作组用户提供具有不同服务质量等级的服务保证,使骨干网真正成为同时承载数据、语音和视频业务的综合网络。
我们建议在网络中上实施面向服务端口的QOS保证机制,同时,在核心交换机的路由端口设置中,开启WFQ功能,通过WFQ保证实时、小包即使在最拥挤时仍然能够得到快速的转发。
同时,系统通过WRED、SA-RED队列调度和输出流整形等功能,真正做到业务区分并保证带宽/时延/抖动在限定的范围内,确保网络不出现拥塞,始终保持其高吞吐率和区别服务特性。
3.5 网络安全平台
网络平台的安全需要从多方面保证,包括设备管理安全,访问安全,路由安全,设备安全等,针对xxx综合楼信息化项目网络系统,我们建议从以下几个方面实施及考虑安全策略。
3.5.1 网络互联互通分析及安全控制
3.5.1.1 二层互通分析及控制
在XX校园网网络中,如果两个内部客户机之间二层能够互通(处于同一网段),那么两者之间的三层互通是直接的,不需要经过核心路由交换机的三层交换功能。因此,核心路由交换机的三层访问控制策略不能生效,在没有任何安全措施的情况下,各种攻击方法都可以使用。
因此,从保护内部各客户机的角度出发,建议对不同部门和类型的客户机在二层完全隔离。一般隔离采用的方法是:VLAN(虚拟局域网络)。
3.5.1.2 三层互通分析及控制
采用VLAN在二层隔离了两个内部客户,他们只在三层互通,这时核心路由交换机的三层访问控制策略就可以生效了。因此,目前有两个安全措施:VLAN、三层访问控制策略。它们配合可实现:
? 内部服务器隔离(例如:三层访问控制策略);
? 设备安全技术(例如:验证、授权)和防火墙技术;
? 二层完全隔离(例如:VLAN);
? 二层完全隔离(例如:VLAN)+三层隔离(例如:三层防火墙);
? 设备安全技术;
? 带宽管理。
3.5.2 设备自身的安全防护技术
3.5.2.1 口令管理
为防止对系统中网络设备未经授权的访问,系统必须具有完善的密码管理功能。虽然几乎所有数据通信设备都具有RADIUS或TACACS认证服务器进行口令管理的能力,但在设备本地进行密码分配和管理仍是设备本身应具有的安全特性。这里只描述本地密码管理,主要是口令的密文显示。
在本地存储访问权限验证信息的情况下,若系统的配置文件以文本方式进行保存,则在配置文件中,所有的口令都必须以密文方式显示和保存。
3.5.2.2 控制对设备的访问
控制台访问:
控制台是设备提供的最基本的配置方式。控制台拥有对设备最高配置权限,对控制台访问方式的权限管理应拥有最严格的方式。
1. 用户登录验证
对从设备CONSOLE口进行访问配置的用户必需具有身份认证的能力,可以通过本地用户验证或RADIUS验证实现。
2. 控制台超时注销
控制台访问用户超过一段时间对设备没有交互操作,设备将自动注销本次控制台配置任务。超时时间必须可配置,缺省为10分钟。
3. 使能/禁止用户通过控制台对设备进行访问
通过禁止控制台数据收发,禁止用户直接通过异步线路进行配置。这样,即使非法用户占领了控制台,通过重启设备清除了控制台访问口令,也无法通过控制台对设备进行非法配置。
4. 控制台终端锁定
配置用户离开配置现场,设备应提供暂时锁定终端的能力,并设置解锁口令。
TELNET访问
1. 缺省要求身份验证
对于非控制台的其它一切配置手段,必须要求设备配置身份验证,如果设备未配,将拒绝登录。
2. 用户登录验证
3. 终端超时退出
当telnet连接未交互超过一定时间时,将断开本次telnet连接。 超时时间必须可配置,缺省为10分钟
5. 使能/禁止用户通过telnet方式对设备进行访问
6. telnet访问的限入限出
限制哪些用户可以通过telnet客户端对设备进行访问;
限制设备通过telnet客户端程序对那些目标主机进行访问。
7. telnet终端锁定
SNMP访问
SNMP是一种使用非常广泛的协议,主要用于设备的监控和配置的更改。SNMP协议自身有安全性保障,同时SNMP Agent还应该具备对网管站的访问进行限制的能力。
需特别指出:SNMP的网管站通常有大量的关于验证信息的数据库,例如团体名。这些信息可以提供访问许多路由器或者其他网络设备的途径。这使得网管站成为许多攻击的目标,因此,必须要保证网管站的安全。
1. SNMPv1的安全性
SNMPV1使用的验证方式是基于团体名字符串的验证机制,SNMPv1的验证非常弱:
1)它使用明文作为验证字。
2)大部分的SNMP操作重复使用该字符串作为周期性轮流
检测
工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训
的一部分。
如果必须使用SNMPV1,应当注意如下事项,以避免安全隐患:
1)最好不要使用常用的"public"和"private"作为团体名;
2)对每个设备使用不同的团体名,或者至少是对网络上的每个区域使用不同的团体名。
3)不要使只读的团体名和读写的团体名一致。如果可能,应该实现使用只读的团体名进行周期性的轮流检测。读写的团体名应该仅仅用于当前的写操作。
2. SNMPv2的安全性
SNMP的后序版本SNMPv2进行了改进,它支持基于MD5的验证方案,并且允许对访问的管理数据进行存取上的限制。SNMPv2基本上是一个过渡版本,有多个版本,尽管也考虑了协议自身的安全性,但是技术上并不成熟,安全性仍比较弱。尤其要注意的是,目前常用的SNMPv2c,没有增加安全特性,其安全能力与SNMPv1相同。
3. SNMPv3的安全性
SNMPv3对协议的安全性给出了全面的解决方案。
SNMPv3继承了SNMPv2u的很多优点,并且从系统的角度进行了优化。它提供了一个SNMP NMS和AGENT的完整的系统框架。从安全角度来讲,SNMPv3使用了基于用户的安全模式(USM)和基于视图的访问控制模式(VACM)。USM使用MD5或者SHA对报文进行验证,使用DES对报文进行加密。这样保证了数据的完整性和正确性。VACM则对当前用户的访问权限进行检查,看当前用户是否可以对管理数据进行操作。关于USM和VACM的详细介绍可以参见RFC2574和RFC2575。
迈普公司的设备均支持SNMPv1/v2/v3。
3.5.3 ACL访问控制列表
访问控制列表是网络设备数据流量主要过滤的手段。ACL可以根据数据流的MAC地址、IP地址、端口号、ICMP信息、TCP/UDP端口号进行判别,并进行相应数据丢弃、过滤、转发策略(QOS)的实施。有效增强了网络传输的可控性,是网络安全规划的一项主要手段。
然而访问控制列表对数据包的过滤如果通过交换机的CPU来实现,则会造成数据包转发较大的延迟,有再大的背板带宽和很多厂商宣称的线速性能也没有实际意义,转发根本无法达到线速的数据包转发。只有采用基于硬件的ASCI芯片技术实现的数据包过滤才可以满足线速转发的要求。在当前网络安全日益恶化、网络攻击及网络病毒日益泛滥的今天,访问控制列表的作用尤为重要。
3.5.4 用户的安全接入
网络用户的接入在某些情况下是需要监督和控制的。为了防止未授权用户私自接入网络,我们可以通过在交换机上实施诸如MAC、IP、VLAN、用户名等多种组合的绑定,来确保阻止非法用户的接入。
同时采用认证服务器对接入网络的用户进行身份认证,确保接入网络的用户合法、有序、可控。
3.5.5 网络病毒与攻击的过滤
网络系统的高速、可靠运行是非常重要的。但随着网络技术的不断发展,新兴的网络病毒与攻击软件与日俱增,对网络造成的危害是前所未有的。最早如SQL蠕虫病毒产生,造成了无法大型网络瘫痪,宽带互联网发生前所未有的阻塞。再到冲击波、振荡波等网络病毒,使得网络管理疲于奔命解救濒临瘫痪的网络系统。网络攻击软件如典型的DOS(拒绝服务攻击)和DDOS(分布式DOS攻击)攻击类型,会造成包括如服务器、网络设备、终端机器在内的各种具有网络接口的设备资源耗尽、系统宕机、网络阻塞。种种情况均使得当前网络系统的安全成为主要攻关课题。
为了在xxx综合楼信息化项目网络系统建设中,尽最大可能杜绝安全隐患,建设一套强健的网络系统,我们提出以下安全策略建议供参考:
? Access Control Lists (ACLs)
ACL 是每个安全策略的组成部份,控制和监视什么数据包进入和离开网络几乎是网络安全的定义。尽管交换机的工作是进行数据包的转发而不是阻止它。但是有些数据包我们必须阻止它。
今天的Internet上有一些众所周知并且被接受的安全过滤策略。包括:
● Ingress Filtering (RFC 2827/BCP 38)
● Private Address Space Filtering (RFC 1918)
● Bogon and Martian Filtering (draft-manning-dsua-07.txt)
? 过滤未分配的地址空间
IP 的地址空间由Internet Assigned Numbers Authority 机构指派给各个地区的internet 注册者(RIRs). 顶级的RIRs总共有3个
ARIN . American Registry for Internet Numbers ()
RIPE . Re.seaux IP Europe.ens ()
APNIC . 亚太网络信息中心 ()
当一个prefix (通常是 /8) 被指派给RIR,然后RIR将这些地址分配给各个地区分配者。如果一个prefix 还没有被分配给RIR,那实际上在这个prefix 是不应该有流量的。基于这个考虑。我们应该将这些未分配的地址通过ACL来过滤掉。这个列表可以从下面的地址取得。
;
通过实现这个ACL,也可以使IPFDB的空间得到更有效的利用。
? CPU DOS PROTECT
一个拒绝服务攻击(Denial-of-Service:DOS)攻击发生于一个危急的网络或计算资源被淹没并且合法的服务请求无法响应。在这种情况下,拒绝服务攻击将很难与合法的高流量数据流有效区分。基于硬件的数据包线速转发可以对该攻击产生一定的抵抗能力。然而,网络中有些操作对于任何交换机和交换机都是相同的,这就是有一类型的数据流必须要由CPU经过软件来处理:
这类数据包(由CPU软件处理)包括:
一个新发起的数据流(TCP SYN)
路由和控制协议包括:ICMP,BGP,OSPF
交换机管理流量(交换机访问通过Telnet,SSH,HTTP,SNMP…)
其他一些直接发往交换机并且必须由CPU丢弃
如果任何一种类型流量被范洪,CPU都有可能变得非常繁忙并且交换机的性能将极剧下降。即便使用更快的CPU,也同样会被无尽的洪流数据包所淹没。
某些先进的网络核心设备所具有DOS保护的设计就是帮助交换机将这类攻击数据流特征化以阻止交换机的性能下降,并且过滤非法流量以保证正常的交换服务功能。当一个泛洪数数据被交换机收到时,DOS保护将通计这类数据包。当这类数据接近报擎阀值时(4000包每秒),包头信息将会被记寻。如果阀值被达到,这种类型数据包头将会被分析,并且一个自动基于硬件处理的ACL会被创建以限制这类数据包流向CPU。ACL将会被保留以减轻CPU负载。一定周期后,ACL将会过期,如果这种攻击仍然发生,ACL也将再次被创建。
CPU DOS PROTECT 能够抵御大多数的DdoS 攻击如,Jolt", "opentear", "raped", "octopus", "boink", "winfreeze 等等。
? 针对一些病毒性攻击的过滤
一些病毒性攻击会通过端口1434 和1483 两个端口进行,可以通过加入相应ACL进行过滤。
? 过滤ICMP 包
ICMP 数据包是另一种我们需要关心的数据包。大量的攻击和病毒使用ICMP数据包作为攻击手段。
但实际上internet是使用的ICMP绝大部分是ping和traceroute。大量的其它icmp类型并不使用。
因此,实际上我们可以仅允许ICMP 的ping echo 和 ping reply 及traceroute 所需要的TTL 开放。其它的均可以关闭。
? 限制对交换机本身的访问
当一个交换机在网络上开始工作。我们需要确保对交换机进行安全访问并限制任何对交换机本身的非常访问。
屏蔽一些网络扫描
在现今的网络上,充斥着大量的网络扫描。 基于UDP 137, 138 端口的扫描是常见的扫描。
UDP 137和UDP138是netbios 的数据报和名字服务。通常情况下,进入到交换机的137和138包是广播包。而交换机在默认情况下是不转发这些广播包的。但在某些情况下,一些扫描工具试图UDP 137 和UDP138的端口,以图找出主机上的共享文件夹。这种情况下,进入交换机的数据包会是unicast的137和138,而且通常目的地址不停变化。因此我们可以将这些UDP 138和138的数据包通过ACL 挡断。保护用户和网络的安全。
3.6 网络管理平台
Maipu Masterplan统一网络管理平台(简称Masterplan)是迈普公司开发的IP网络统一管理平台,采用TCP/IP网络环境下的SNMP(Simple Network Management Protocol)网络管理协议和最新的Windows图形界面技术。Maipu Masterplan统一网管平台功能强大、操作简单、安全性强,并可将不同厂商的网管系统集成到Maipu Masterplan统一网管平台上,极大的降低用户进行网管的工作量和进行网管维护的复杂度,同时Maipu Masterplan统一网管平台还内置了对迈普网络设备的功能强大的网元级管理系统。
Maipu Masterplan软件系统,采用模块化和组件化的开发模式,严格按照软件工程的思想来开发。它集成了网络管理和系统管理各自的优点,并把它们有机结合在一起,形成一个完整的网络管理系统。该统一网络管理平台能轻松而顺利地让客户实现网络运作从被动无序到主动控制的过渡,可以成倍地提高工作效率,以便让客户真正能运用网络创造更大的经济效益。
产品特征
◆ Maipu Masterplan 5网络管理系统是在Maipu Masterplan3、Maipu Masterplan4两个统一网络管理平台的基础上,经过精心策划,研制推出新一代统一网络管理平台。具有如下新特性:
◆ 全面覆盖配置管理、故障管理、性能管理、安全管理等网络管理功能域
◆ 全面支持snmpv1、snmpv2、snmpv3网络管理协议,并支持多种协议并存
◆ 支持多厂家的IP设备统一网管
◆ 全面管理IP网络,清晰呈现三层IP设备、IP网络,还包括二层交换设备、交换机集群网络、PC主机,以及网络连接关系
◆ 拓扑视图实现准确地反应设备、接口、网络的状态及变化、故障等情况
◆ 直观的性能统计数据表和统计曲线图,为网络规划和升级提供有力支持
◆ 强大的故障管理能力,支持用户事件定义,以及事件查询统计
◆ 支持设备配置管理的批量操作,以及基于计划式的配置备份
◆ 强大的设备视图划分与自动识别能力,方便大型网络的多人协同管理
◆ 基于网络拓扑,设备配置、故障告警、性能状态、等有机集成并互动操作
◆ 可集成安全设备管理系统模块,提供对迈普安全设备的部署和配置管理解决方案
◆ 可集成迈普公司各种设备管理包,可集成第三方网管配置软件
◆ 管理能力大大增强,可以管理上千个网络节点
◆ 支持系统客户端与服务器之间跨越NAT的网络访问
◆ 支持跨平台,可以在Windows、Unix等主流操作系统上运行
◆ 支持多种专业数据库,包括SQL Server2000和Oracle9i
◆ 支持系统数据自动备份与方便的数据恢复操作
◆ 高稳定性,支持系统无人值守的长期运行
网络发现与拓扑视图
◆ 支持全自动网络设备搜索,用户只要配置种子设备的IP地址及SNMP访问参数,即可自动完成网络、设备的发现
◆ 多业务用户视图支持,提供视图业务分类构建和管理
◆ 支持多厂家的设备网络的发现与拓扑视图构建
◆ 支持设备类型、子网的发现过滤
◆ 以直观的方式呈现当前网络的设备、子网及连接关系,并支持拓扑视图的个性化编辑,还支持以域的方式来组织管理设备
◆ 拓扑节点能实现反映接口、设备、子网等状态的变化,以及故障、性能信息
◆ 拓扑节点支持与设备用户、故障、性能、配置管理等的关联互动
故障管理
◆ TRAP、Syslog,以及性能变化、网络变化、系统运行、用户操作告警、事件的收集,并支持事件收集过滤
◆ 支持用户根据TRAP信息定义新的事件,支持多厂家的TRAP信息收集,并映射成用户指定的事件
◆ 用户可灵活定义事件接收类别,以及事件严重级别可作个性化配置
◆ 支持多种事件告警方式,用户可灵活选择
◆ 支持灵活的事件查询、浏览与统计,并可实现事件与网络拓扑、设备用户等的关联
性能管理
◆ 支持设备性能监视自动配置与用户手动配置,自动进行性能参数收集
◆ 支持用户根据MIB信息自定义性能监视对象,扩展性强
◆ 可对多厂家设备进行性能管理
◆ 支持设备性能实时监视
◆ 支持设备性能的阀值告警
◆ 支持性能数据TopN统计,提供直观的性能趋势曲线,向用户提供接口、设备等的使用情况
配置管理
◆ 支持迈普设备版本的程序文件库管理、配置文件库管理
◆ 支持迈普设备程序的远程升级、配置下发、配置备份,并可批量执行设备升级
◆ 支持迈普设备的配置文件的计划式自动备份
◆ 支持迈普设备的配置文件比较,直接显示异同点
◆ 可以集成Maipu PolicyMaster3安全管理系统,实现安全网络的部署和配置
◆ 可集成Maipu DeviceMaster4设备配置系统,方便实现设备的图形化配置
◆ 可集成第三方设备配置管理网元级网管程序
安全管理
◆ 支持基于角色的系统用户管理,不同系统角色的权限不同
◆ 支持实现系统用户的访问终端绑定
◆ 支持用户视图的管理,系统角色与视图绑定
◆ 设备视图自动识别,也支持管理员手动指定设备分组视图
◆ 支持多团体名进行设备访问,支持团体名与系统角色绑定
◆ 支持基于时间的系统访问权限,能灵活适应多种轮值班的模式
◆ 支持用户使用系统及相关操作的日志式事件记录
工具支持
◆ 提供强大的MIB编译、浏览器,能进行MIB对象的查看,设置等,能编译标准的MIB定义文件
◆ 支持用户控制的以网管服务器为起点的Ping、Telnet、TraceRoute等操作
系统维护
◆ 系统提供方便的服务控制台,以及直接的系统配置、维护等工具
◆ 能自动进行系统数据和数据库数据的备份,并提供方便的数据恢复工具
◆ 系统本身的相关运行情况,能及时进行事件记录,并向管理员报告
4 方案特色
4.1 高性能高安全高可靠性的网络设备网
MyPower S6800系列高性能电信级交换机采用先进的200G交换平台,可以提供超大容量L2/L3层数据交换服务;采用ATCA理念,先进的电信级99.999%设备稳定性设计,所有部件全冗余,主控卡和交换矩阵硬件分离;支持MPLS和IPv6数据的全分布式硬件线速处理,满足核心层设备高密度、高吞吐量的MPLS和IPv6数据转发要求;提供电信网络的管理特性,通过OAM协议可以对网络链路、业务、用户端进行全面的管理。
产品特征
? 先进的万兆交换硬件体系架构设计保证大容量交换容量
? 核心保障机制和关键部件冗余保证设备的电信级可靠性
? 集中式/分布式的IPv6/MPLS处理机制满足各类应用需求
? 完善的网络安全特性能够提供全面的攻击和病毒防范能力
? 丰富的多业务卡设计,通过专用硬件实现了多业务的加速
? 超低功耗设计延长交换平台的寿命,降低设备运转能耗
? 领先的电信级产品的易用性、可管理性、OAM特性
先进的200GE多级交换架构的交换平台
采用新一代200G交换平台设计,先进的无源铜背板提供单槽位400G的交换容量,通过Crossbar空间多级交换矩阵实现板内和板间超高速二、三层线速分布式转发;通过功能强大的多核+NP+ASIC芯片进行高速路由查找,从而大大提升MyPower S6800交换平台的路由性能;高达6.4Tbps的整机交换容量,提供领先的大密度万兆、千兆以太网板卡,可升级支持40/100GE接口,满足核心层设备高密度、高吞吐量、可扩展的要求。
采用ATCA架构设计的电信级交换平台
整个系统采用ATCA架构的理念,所有部件均提供双冗余或者多冗余设计,支持电源冗余、管理模块冗余、交换矩阵冗余、风扇冗余、链路冗余等;整个系统电源模块、风扇模块、所有业务板卡支持热插拔;系统软件支持优雅重启技术和在线升级功能,可以保证业务永不中断;独特的双控制引擎互为备份设计,保证核心交换平台具有苛刻电信级可靠性;独立的交换网板卡,交换卡和控制引擎硬件相互独立,可以提高设备的可靠性,同时为后续产品带宽的持续升级提供保证。
支持IPv6/MPLS硬件全分布式转发平台
整个平台支持基于ASIC全分布式全线速硬件MPLS/IPv6转发方式,可以在板卡内实现MPLS/IPv6报文的全线速处理,避免集中式转发的瓶颈和时延问题,为MPLS/IPv6大规模组网提供了有力保障。丰富的MPLS功能特性,可以满足运营商MPLS城域网的要求,可以针对各类业务提供二、三层MPLS VPN功能。每端口大容量Buffer,满足大型数据中心高突发流量的需求;支持精细化QoS和流量管理,给不同用户、不同业务流分配不同的优先级和队列,保证不同的带宽、业务延迟和抖动性能。
领先的电信级产品的易用性、可管理性
通过独立的机箱管理平面和液晶面板,能够自动检测和上报硬件故障,并进行相应的故障隔离,对电源管理、环境及热点温度监控、风扇转速自动调整,CPU系统异常重启前关键信息保存,便于后续故障分析和定位。支持在线状态检测机制,支持单板离线故障诊断,快速方便的现场定位手段,支持业务层面的在线故障诊断,通过TCP、UDP-Jitter、ICMP、HTTP、FTP、DHCP、DLSw和SNMP测试等各种探测方式对网络或服务进行质量分析,并提供测试结果,可视化网络流量监控和分析。全面支持802.3ah OAM、802.1ag OAM、ITU Y.1731 OAM,提供多种设备级和网络级的故障检测手段。
完善的系统网络安全特性确保网络可靠
具有系统网络安全性的功能设计,支持基于用户安全策略的SNMP V3、MAC+IP+VLAN绑定、802.1X认证等安全策略,支持防网络风暴攻击、防DOS/DDOS攻击、防ARP攻击、防扫描窥探攻击、防畸形报文攻击、防网络协议报文攻击等安全技术,可有效地防止攻击和病毒,更适合大规模、多业务、复杂流量访问的网络。控制平面和转发平面的物理隔离,控制平面和转发平面的多级保护及安全性,可以有效的防止各类攻击。多种攻击检测机制:ARP深度检测;IP攻击检测;TCP攻击检测,IP Source Guard等,配合IPFIX和MatserPlan网管可以实现对攻击源的主动防御。
高速交换平台配合专用硬件实现了多业务的加速
MyPower S6800高性能交换机平台是迈普多年IP网络技术研发的结晶,在先进的200G交换平台上,采用领先的NP技术和多核处理器技术,通过全硬件处理实现了NAT、防火墙、VPN、IPFIX、流量分析、内容过滤、PWE3、语音、视频、网管等功能,扩大了核心交换机的使用范围,实现了网络核心和业务核心的融合。通过加强核心设备的功能集成,将以前多种设备分布实现的业务功能,通过一台MyPower S6800高性能交换机平台来集中处理,既减少网络复杂度,降低了用户的维护工作量,又可以通过MyPower S6800高性能交换机平台的高性能交换通道,提供一个高性能的数据转发环境。业务板卡支持在板卡内置了IPFIX处理引擎,处理性能高,节省了客户的投资。
全面的绿色环保设计延长核心交换平台的寿命
根据10℃规律,半导体芯片的可靠性、使用寿命与工作温度有着直接的关系,工作温度每上升10℃,半导体芯片可靠性降低一半,而工作温度与设备的功耗成正比关系。MyPower S6800A高性能电信级交换机大量采用ASIC处理芯片进行数据处理,在满足高性能的前提下大幅的降低成本,16槽设备的整机最大功耗(全配、非POE)低于1800瓦,在高端设备上的低功耗设计使得半导体芯片的温度较低。低功耗设计不但大大增加高端设备的使用寿命和稳定运行,在能源日益紧张的今天,同时也节约设备的运转能耗,满足绿色环保要求。完善的电源管理功能,空闲端口低功率待机,还可以对空闲的单板进行下电管理,同时还可以对相应散热风扇进行停转控制,进一步降低功耗。
4.2 高安全的校园网络
在校园网网出口部署MYSEC MSG4000安全网关对进出城域网的数据进行安全控制和管理。
迈普MSG4000安全网关同时具有ARP/DOS/DDOS攻击防护,IPS入侵防护,QOS带宽管理,URL网页过滤,AV病毒防护,上网行为管理,高性能防火墙,基于角色的控制,高性能VPN的功能,针对教育城域网的数据流特性定制化安全控制策略,保障柳林教育城域网的数据安全。
4.3 统一的网络管理
Maipu Masterplan统一网络管理平台(简称Masterplan)是迈普公司开发的IP网络统一管理平台,采用TCP/IP网络环境下的SNMP(Simple Network Management Protocol)网络管理协议和最新的Windows图形界面技术。Maipu Masterplan统一网管平台功能强大、操作简单、安全性强,并可将不同厂商的网管系统集成到Maipu Masterplan统一网管平台上,极大的降低用户进行网管的工作量和进行网管维护的复杂度,同时Maipu Masterplan统一网管平台还内置了对迈普网络设备的功能强大的网元级管理系统。
浙公网安备 33021202002483