【正文】 流合理調(diào)配，均勻分配在 A 與Ｂ上，同時用戶還可以根據(jù)不同的應(yīng)用來接入到不同的服務(wù)器上面，如：下載視頻業(yè)務(wù)的用戶讓其訪問服務(wù)器 A，而下載圖片或是學(xué)習(xí)資料的用戶讓其訪問服務(wù)器 B，這種靈活的策略讓整個網(wǎng)絡(luò)的速度提高，不會出現(xiàn)服務(wù)器的高負荷，提高用戶訪問速度。所以此項功能又是非常必要的。 NE05 策略路由具有如下特點： NE05 支持多層策略路由，支持基于 MAC 地址、端口、 VLAN ID、源 IP 地址（組）、目的 IP 地址（組）、源 TCP 端口（組）、目的 TCP 端口（組）、源 UDP端口（組）、目的 UDP 端口（組）、協(xié)議類型、 TCP 報文類型和 ICMP 報文類型等以及它們之間的組合的策略路由。 如圖 1 所示： NE05 的多 ISP 解決方案組網(wǎng)圖 在上面的組網(wǎng)中，校園網(wǎng)內(nèi)的用戶通過教育網(wǎng)訪問教育網(wǎng)站，通過運營商網(wǎng)絡(luò)訪問國外和國內(nèi)收費網(wǎng)站。 出口路由器的 ACL 的功能 考慮的學(xué)校出口路由器需要提供策略路由的功能，因此要求能夠提供很高的性能，如：硬件的 ACL 功能，出口路由器上必須要做硬件的 ACL， ACL 策略的執(zhí)行不影響路由器的性能。這樣學(xué)校便攜機使用者能夠方便的使用學(xué)校的網(wǎng)絡(luò)資源，同時學(xué)校有能夠?qū)σ苿佑脩暨M行管理監(jiān)控。 QOS 功能 Qos 對于網(wǎng)絡(luò)的應(yīng)用來說是非常重要的，考慮到學(xué)校未來要增加多種的業(yè)務(wù)，如：流媒體點播、視頻點播等，這要求全網(wǎng)能夠提供強大的 Qos 的功能，華為 3 的 S851 S650 NE05 全網(wǎng)產(chǎn)品可以為用戶提供豐富的 Qos 保證，華為3 公司支持 QoS 技術(shù)中的 PQ/CQ/WFQ/LLQ/CBWFQ 等轉(zhuǎn)發(fā)隊列優(yōu)先保 證機制，所攜帶的 IP 地址段、 TOS 值、源端口號等均可實現(xiàn)業(yè)務(wù)的保證，同時可以針對不同的接入層交換機端口或是不同業(yè)務(wù)進行端口的限速，以提高全網(wǎng)的 Qos 業(yè)務(wù)的保證。由 S6503 完成對其下掛的匯聚交換機以及樓道交換機的組播用戶進行報文復(fù)制和發(fā)送。 網(wǎng)絡(luò)教學(xué)：使用視頻和通訊設(shè)備實現(xiàn)一點對多點或點對點的交互式異地遠端教學(xué)，實現(xiàn)學(xué)生和教師的實時交流，學(xué)生還可隨時進行學(xué)習(xí)點播和查詢。要與網(wǎng)絡(luò)拓撲層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由聚類，減少路由器 中路由表的長度，減少對路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮到網(wǎng)絡(luò)地址的可管理性。 北京科技大學(xué)校園網(wǎng) IP 地址規(guī)劃方案 1） IP 地址的設(shè)計 內(nèi)部地址的分配原則是按建筑物進行的，視用戶的數(shù)量， 1/ 1/整個私網(wǎng)的劃分。 3）對于固定 IP 地址用戶，需要針對標識符（ MAC 地址）設(shè)定保留 IP 地址。 不同 VLAN 間的互訪，必須經(jīng)過三層交換機進行轉(zhuǎn)發(fā)。在 Web Server 上安裝了網(wǎng)管軟件后，其它網(wǎng)管機器不用預(yù)裝網(wǎng)管軟件，只須安裝了 WEB 瀏覽器并且設(shè)備能上網(wǎng) ，就能使用 QuidView 系統(tǒng)管理 。 功能 功能 描述 路由器設(shè)備視圖 設(shè)備端口的配置情況：端口個數(shù)、端口種類、端口當(dāng)前狀態(tài)等 路由器設(shè)備整體配置信息 系統(tǒng)信息（系統(tǒng)描述、系統(tǒng)標識、重啟時間、所在地、設(shè)備名、聯(lián)絡(luò)方式）、地址轉(zhuǎn)換表、接口表、IP 表、 IP 路由表、 TCP 聯(lián)接表。 、用戶嚴格隔離 方法一：用 Vlan 隔離。 方法三：使用以太網(wǎng) MUX 設(shè)備。對于靜態(tài) IP 地址分配方案，接入層交換機可在操作界面中實現(xiàn)用戶的 VLAN ID+IP+MAC 綁定關(guān)系的指定；對于動態(tài) IP 地址分配方案，在 IP 地址動態(tài)分 配后，接入層交換機可實現(xiàn)用戶的 VLAN ID+IP+MAC 的綁定。為解決 DHCP Smurf，在以太網(wǎng)接入時，對用戶劃分 Vlan，由匯聚層交換機控制一個 Vlan 下申請的最大 IP 地址數(shù)，當(dāng)該 Vlan 的 IP 地址數(shù)目達到限制值后，拒絕新的 DHCP 申請。然后通過華為的網(wǎng)絡(luò)管理系統(tǒng)Quidview 的 MAC 地址和 IP 地址的反向查找功能，就可以根據(jù)源 IP 或源 MAC 在Quidview 網(wǎng)管上查到該用戶所在的交換機以及在該交換機上所接的端口，通過這種方式可以立刻定位用戶，方便對于大型網(wǎng)絡(luò)的管理，能夠方便快捷的防止惡意用戶的攻擊。 ? 告 警實時監(jiān)視，提供告警聲光提示，支持外接告警箱 ? 支持告警轉(zhuǎn)到 Email、手機短信 ? 支持告警過濾，讓用戶關(guān)注重要的告警，查詢結(jié)果可生成報表 ? 支持告警基級別重新定義，支持告警轉(zhuǎn)存，保證系統(tǒng)的運行效率和穩(wěn)定性 ? 支持告警拓撲定位，將顯示的焦點定位到產(chǎn)生選定告警的拓撲對象 ? 支持告警相關(guān)性分析，包括屏蔽重復(fù)告警、屏蔽閃斷告警、屏蔽rootcause 告警等 集群管理 針對本次組網(wǎng)中大量二層交換機等低端設(shè)備的應(yīng)用環(huán)境， Quidview 網(wǎng)絡(luò)管理軟件提供集群管理功能，通過一個指定公網(wǎng) IP 的設(shè)備（稱作命令 交換機）對網(wǎng)絡(luò)進行管理。 針對用戶關(guān)注的業(yè)務(wù)性能， Quidview 網(wǎng)絡(luò)管理軟件提供了基于報文流七元組信息的流量工具―― NSCamp。 端口反查功能支持兩種方式的查找定位功能： MAC 地址端口反查和 IP 地址端口反查，使用時分別輸入終端用戶的 MAC 地址或 IP 地址，能夠定位該終端用戶連接的交換機及交換機的端口，幫助網(wǎng)絡(luò)管理員及早定位非法報文接入網(wǎng)絡(luò)的原始端口，及時關(guān)閉端口，防止一些違規(guī)用戶進行非法操 作比如濫發(fā)報文、訪問非法站點等，危害網(wǎng)絡(luò)安全。 ? 通過定期輪詢機制，幫助用戶及時了解網(wǎng)絡(luò)關(guān)鍵設(shè)備的在線情況。 提供統(tǒng)一的任務(wù)機制，使用戶對網(wǎng)絡(luò)運維管理能夠統(tǒng)一流程 組網(wǎng)安全性設(shè)計 網(wǎng)絡(luò)當(dāng)中，線路的備份非常重要，北京科技大學(xué)的網(wǎng)絡(luò)的設(shè)計當(dāng)中，我們在核心層采用環(huán)網(wǎng)的方式進行組網(wǎng)，這樣可以在采用擴大帶寬的同時實現(xiàn)線路上的備份，當(dāng)其中一條線路出現(xiàn)故 障，可以通過環(huán)網(wǎng)實現(xiàn)線路的接替。Quidway? S850 。 出口運營商線路備份 北京科技大學(xué)的出口建議采用多 ISP 的方式，以確保校園網(wǎng)絡(luò)的可靠性，但是在實際的應(yīng)用當(dāng)中可能會產(chǎn)生 ISP 服務(wù)商線路終端的問題，因此學(xué)?？梢栽诔隹诼酚善魃吓渲脗浞莶呗?，當(dāng)一個 ISP 服務(wù)商的線路出現(xiàn)問題的情況下，可以選擇有限級較低的策略從其他的 ISP 出口上網(wǎng)實現(xiàn) ISP 線路的備份。 ? 提供設(shè)備配置文件管理功能，幫助用戶建立配置文件版本管理機制，減少災(zāi)難情況下網(wǎng)絡(luò)的恢復(fù)時間。 ? Web 日志追蹤查詢 提供 Web 特性，具有完善的安全機制，用戶可隨時隨地管理網(wǎng)絡(luò)，降低管理網(wǎng)絡(luò)的難度與強度，使網(wǎng)絡(luò)運維過程流程化，能夠靈活地組織設(shè)備集合，快捷地獲得設(shè)備各類信息。其中，網(wǎng)流收集器（ NSC， NetStream Collector）提供快速的網(wǎng)流設(shè)備數(shù)據(jù)收集工具，包含的功能： ? 收集多個網(wǎng)流設(shè)備輸出的網(wǎng)流統(tǒng)計數(shù)據(jù)； ? 通過配置過濾器過濾掉不必要的數(shù)據(jù)； ? 通過聚合減少統(tǒng)計數(shù)據(jù)的磁盤空間占用量； ? 分層次存儲數(shù)據(jù)（便于客戶端應(yīng)用程序獲取數(shù)據(jù) ）； 網(wǎng)流數(shù)據(jù)分析器（ NDA， NetStream Data Analyzer）可以分析由 NSC 生成的所有數(shù)據(jù)文件，對數(shù)據(jù)文件中的數(shù)據(jù)進行進一步的聚合、排序，并將分析的結(jié)果以各種圖形方式（如柱狀圖、餅圖和趨勢圖等）顯示出來，提供如下功能： ? 詳細自治域矩陣數(shù)據(jù)查詢功能 ? 網(wǎng)流分布的圖形化分析 ? 詳細自治域矩陣流量分析功能 故障定位與地址反查 針對最為常見的端口故障， Quidview 網(wǎng)絡(luò)管理軟件提供了便捷的定位檢測工具――路徑跟蹤和端口環(huán)回測試；當(dāng)用戶報告網(wǎng)絡(luò)端口使用異常時，網(wǎng)絡(luò)管理員可以通過網(wǎng)管對指 定用戶端口做環(huán)回測試，直接定位端口故障。 Quidview 提出了層次化性能監(jiān)控的概念，針對不同的側(cè)重點，提供不同的性能監(jiān)控工具。 網(wǎng)絡(luò)集中監(jiān)視 Quidview 網(wǎng)絡(luò)管理軟件提供統(tǒng)一拓撲發(fā)現(xiàn)功能，實現(xiàn)全網(wǎng)監(jiān)控，可以實時監(jiān)控所有設(shè)備的運行狀況，并根據(jù)網(wǎng)絡(luò)運行環(huán)境變化提供合適的方式對網(wǎng)絡(luò)參數(shù)進行配置修改， 保證網(wǎng)絡(luò)以最優(yōu)性能正常運行。 、惡意用戶追查 對每個用戶分配一個賬戶，使用 CAMS 管理用戶。 、防止對 DHCP 服務(wù)器的攻擊 使用 DHCP Server 動態(tài)分配 IP 地址會存在兩個問題：一是 DHCP Server 假冒，用戶將自己的計算機設(shè)置成 DHCP Server 后會與局方的 DHCP Server 沖突；二是用戶 DHCP Smurf，用戶使用軟件變換自己的 MAC 地址，大量申請 IP 地址，很快將 DHCP 的地址池耗光。用戶端口之間不能通信， Uplink 口可以和所有端口通信。 方法二：利用 PVlan 技術(shù)。 TCP/IP 網(wǎng)絡(luò)本身就存在很多安全漏洞，很容易被一些惡意用戶利用并實施攻擊，或非法占用網(wǎng)絡(luò)資源，侵犯其它用戶的合法利益，甚至導(dǎo)致整個網(wǎng)絡(luò)系統(tǒng)崩潰。 支持多種操作系統(tǒng)平臺 純 Java 的實現(xiàn)，保證 QuidView 無須修改便能運行于當(dāng)前主流 的各種平臺之上。 特性 該系統(tǒng)采用開放式結(jié)構(gòu)設(shè)計，嚴格遵守標準的 SNMP 協(xié)議（ RFC1157），主要使用 RFC1213 定義的 MIB 信息，具有投資省、使用靈活、易于移植等特點： 使用靈活 QuidView 系統(tǒng)的使用方式非常靈活，既可以作為設(shè)備級的應(yīng)用程序集成到已有的網(wǎng)管平臺（如： HPOpenView、 RadiumsNMS、 SNMPC、 NetManager）中進行網(wǎng)絡(luò)級管理，又可以作為獨立的應(yīng)用程序執(zhí)行進行設(shè)備級管理。 對一層 樓一個 VLAN ①本層樓的內(nèi)部互訪無須經(jīng)過三層交換機，優(yōu)化了組網(wǎng)。靜態(tài) IP 地址對于用戶來說可以實現(xiàn)對應(yīng)物理位置的查詢，對全網(wǎng)的 IP 地址與物理位置的對應(yīng)有全面、可靠的管理。 主流的 IP 地址規(guī)劃方案分為純公網(wǎng)地址、純私網(wǎng)地址和混合網(wǎng)絡(luò)地址三種。 IP 地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進一步發(fā)展。 付費視頻：按節(jié)目收費的視訊節(jié)目。同時 NE05 支 持目前業(yè)界主流的 MPLS VPN 技術(shù)，包括 martini、Kampala、 CCC 等二層 MPLS VPN 技術(shù)，而且支持三層 MPLS VPN 功能。 接入層防 Proxy 的功能 考慮到大學(xué)學(xué)生的技術(shù)性較強，在實際的應(yīng)用的過程當(dāng)中應(yīng)當(dāng)充分考慮到學(xué)生的 Proxy 的使用，對于 Proxy 的防止，華為 3 公司 E050/E026 配合華為 3公司的 的客戶端，一旦檢測到用戶 PC 機上存在兩個活動的 IP 地址（不論是單網(wǎng)卡還是雙網(wǎng)卡）， E050/E026 將會下發(fā)指令將該用戶直接踢下線。 E 系列接入層交換機 端口＋ IP 地址的綁定： 對于學(xué)生宿舍區(qū)的用戶上網(wǎng)的安全性非常重要，華為 E050/E026 可以做到，端口＋ IP 地址的綁定關(guān)系，一般的 的認證的采用的是 MAC＋ IP 地址的綁定關(guān)系，但是由于學(xué)校學(xué)生畢業(yè) 流動的緣故， PC 機的 MAC 地址會不斷的發(fā)生變化，學(xué)生的 PC 機隨機的發(fā)生變化使得學(xué)校無法對整網(wǎng)進行維護，而且無法防止學(xué)生 IP 地址欺騙的攻擊，因此建議學(xué)校采用 IP 地址＋端口的綁定關(guān)系，如：每個宿舍分配一個 IP 地址，當(dāng)用戶通過 客戶端認證通過以后用戶便可以實現(xiàn) IP 地址＋端口＋用戶 ID 的綁定，這種方式具有很強的安全特性：防 的攻擊，防止用戶的 IP 地址的欺騙，對于更改 IP 地址的用戶（ IP 地址欺騙的用戶）可以實現(xiàn)強制下線。使得在任何一個 ISP 網(wǎng)絡(luò)出現(xiàn)問題時，校園網(wǎng)內(nèi)訪問外部網(wǎng)站的流量可以切換到另外一個 ISP 作為出口。 NE05 的策略路由通過硬件實現(xiàn)，在策略路由滿配置條件下通過策略路由轉(zhuǎn)發(fā)的報文可以達到線速，對通過普通路由的報文轉(zhuǎn)發(fā)沒有任何影響； NE05 的策略路由可以實現(xiàn)與普通路由的備份，如果策略路由下一跳失效，可以通過普通路由轉(zhuǎn)發(fā)； NE05 的策略路由可以實現(xiàn)與 NAT 配合，應(yīng)用于多 ISP NAT，例如： NE05 配合 NAT 路由器多 ISP 解決方案，在校園網(wǎng)中， NE05 不僅可以作為校園網(wǎng)的核心交換機承擔(dān)校園網(wǎng)內(nèi)線 速的二三層轉(zhuǎn)發(fā)，同時配合校園網(wǎng)的出口節(jié)點，可以根據(jù)源（或目的等） IP 地址策略指定不同的 ISP，選擇不同的上網(wǎng)通路，并同時通過 NE05 配合 NAT 路由器