【文章內(nèi)容簡介】 線速轉(zhuǎn)發(fā)。強大的NAT能力：具備50萬并發(fā)NAT連接的能力，且支持豐富的NAT特性，提供NAT日志的輸出，可配合日志審計系統(tǒng)，做到對于對外訪問的紀錄和跟蹤。支持RIP、OSPF、BGP、ISIS等多種路由協(xié)議支持多種網(wǎng)絡(luò)接口支持IPV6防火墻：使用原有Juniper防火墻，劃分DMZ區(qū)域，通過原有華為5000千兆交換機，連接門戶服務(wù)器及EMAIL服務(wù)器等。配置策略偏重安全區(qū)劃分，安全抵御由入侵防御系統(tǒng)著重完成。入侵防御系統(tǒng)：配置入侵防御系統(tǒng)，提供4個100M端口，具備1G吞吐量，滿足當(dāng)前接入帶寬。重點配置對于黑客入侵、蠕蟲病毒、木馬程序的防范。、接入認證、日志審計系統(tǒng)設(shè)計 針對太重這種大型的網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)的運維管理變得非常重要，需要采用必要的手段進行能夠網(wǎng)絡(luò)的集中監(jiān)控和管理，實現(xiàn)不同廠商產(chǎn)品的統(tǒng)一監(jiān)控和管理，需要采用一個網(wǎng)絡(luò)管理平臺；同時為了更好的控制網(wǎng)絡(luò)資源訪問權(quán)限，監(jiān)控網(wǎng)上行為，記錄外網(wǎng)訪問記錄、作為事后審計依據(jù)，需要增加以下幾個部分： 網(wǎng)絡(luò)管理軟件系統(tǒng) 接入審計系統(tǒng) 日志審計系統(tǒng)網(wǎng)絡(luò)管理系統(tǒng)應(yīng)該包括以下功能：網(wǎng)絡(luò)管理系統(tǒng)應(yīng)采用分布式、組件化、跨平臺的開放體系結(jié)構(gòu)，用戶通過選擇安裝不同的業(yè)務(wù)組件，可以實現(xiàn)設(shè)備管理、拓撲管理、告警管理、性能管理、配置管理等多種管理功能。產(chǎn)品不僅能夠獨立提供完整的網(wǎng)絡(luò)管理平臺，還能夠與OpenView、SNMPc多種主流通用網(wǎng)管平臺靈活集成；不僅能夠管理配置的網(wǎng)絡(luò)設(shè)備，還能夠通過標準MIB管理各主流廠商的網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)拓撲管理網(wǎng)絡(luò)管理軟件可以通過拓撲發(fā)現(xiàn)功能，幫助客戶迅速發(fā)現(xiàn)網(wǎng)絡(luò)資源。能夠?qū)崟r監(jiān)視所有設(shè)備的運行狀況，通過可視化的網(wǎng)絡(luò)拓撲界面幫助用戶及時了解網(wǎng)絡(luò)的變化。l 自動發(fā)現(xiàn)網(wǎng)絡(luò)拓撲結(jié)構(gòu)；l 支持全網(wǎng)設(shè)備的統(tǒng)一拓撲視圖；l 可以靈活裁減拓撲視圖，聚焦網(wǎng)絡(luò)的關(guān)鍵區(qū)域；l 可以靈活選擇設(shè)備、背景圖標，構(gòu)建逼近真實網(wǎng)絡(luò)的拓撲l 可以直接點擊拓撲視圖節(jié)點，快速查看設(shè)備面板；l 拓撲節(jié)點顏色能夠直觀反映網(wǎng)絡(luò)、設(shè)備狀態(tài)；l 可以靈活定制對設(shè)備狀態(tài)的輪詢間隔；故障管理網(wǎng)絡(luò)故障管理功能為用戶及時發(fā)現(xiàn)問題、深入分析問題、快速解決問題提供了全流程的支持。l 支持告警快速定位到網(wǎng)絡(luò)拓撲；l 支持多種告警通知方式，包括：告警聲光提示、告警轉(zhuǎn)Email和手機短信；l 支持告警相關(guān)性分析，包括屏蔽重復(fù)告警、自動確認相關(guān)告警等。l 支持告警過濾，用戶能夠按照告警級別、告警源、關(guān)鍵詞等過濾條件迅速聚焦到 “真正有價值的告警”；l 可以靈活定義告警級別，以符合客戶網(wǎng)絡(luò)的實際狀況；l 提供常見問題的修復(fù)建議。同時用戶可以根據(jù)實際的維護經(jīng)驗，不斷完善豐富維護經(jīng)驗庫。網(wǎng)絡(luò)監(jiān)視網(wǎng)管系統(tǒng)提供了豐富的性能管理功能，幫助用戶主動監(jiān)視網(wǎng)絡(luò)的狀況，及時發(fā)現(xiàn)網(wǎng)絡(luò)潛在的隱患。同時，豐富的歷史性能統(tǒng)計數(shù)據(jù)為用戶升級擴容網(wǎng)絡(luò)提供了客觀準確的參考。配置管理60%的設(shè)備故障是因為網(wǎng)絡(luò)誤配置造成的。網(wǎng)絡(luò)管理員需要定期備份配置文件，跟蹤設(shè)備配置變化，以保證一旦發(fā)生網(wǎng)絡(luò)故障時，能夠利用歷史配置備份將網(wǎng)絡(luò)立刻恢復(fù)正常。設(shè)備管理提供設(shè)備管理功能，通過面板圖片，直觀地反映了設(shè)備運行情況。l 通過面板圖標直觀地反映設(shè)備的模塊、風(fēng)扇、CPU、端口等關(guān)鍵部件的運行狀態(tài)；l 能夠查看、設(shè)置設(shè)備端口狀態(tài)；l 能夠查看路由、VLAN等配置信息；l 能夠查看端口流量、丟包率、錯包率等關(guān)鍵統(tǒng)計數(shù)據(jù)；支持對堆疊的管理； 支持多廠商設(shè)備的統(tǒng)一管理可管理所有支持標準SNMP網(wǎng)管協(xié)議的網(wǎng)絡(luò)設(shè)備，為多廠商設(shè)備共存的網(wǎng)絡(luò)提供了統(tǒng)一的管理方式。? 自動發(fā)現(xiàn)多廠商設(shè)備，展示多廠商設(shè)備組成的網(wǎng)絡(luò)拓撲；? 監(jiān)視設(shè)備性能，包括接口的流量、錯包率、丟包率等指標；? 接收和解析設(shè)備告警，提供告警分析和查詢功能；接入認證系統(tǒng)設(shè)計認證系統(tǒng)應(yīng)采用分布式、模塊化、跨平臺的開放體系結(jié)構(gòu)和基于TCP/IP的通信機制，可以平滑擴容、靈活擴展、按需定制。提供了一種低價格、高可靠、高性能的網(wǎng)絡(luò)安全和用戶管理解決方案，能夠滿足各種規(guī)模網(wǎng)絡(luò)的用戶管理、身份認證、權(quán)限控制的要求。接入認證系統(tǒng)的功能：l 強大的用戶身份認證l 、PPPoE、Portal、VPN接入、無線接入等多種認證接入方式。l 支持PAP、CHAP、EAPMDEAPTLS、PEAP等多種身份驗證方式，適應(yīng)不同安全要求的應(yīng)用場景。l 支持用戶與設(shè)備IP地址、接入端口、VLAN、用戶IP地址和MAC地址等硬件信息的綁定認證，增強用戶認證的安全性，防止賬號盜用和非法接入。l 支持與Windows域管理器、第三方郵件系統(tǒng)（必須支持LDAP協(xié)議）的統(tǒng)一認證，避免用戶記憶多個用戶名和密碼。l 支持多區(qū)域用戶漫游。l 嚴格的用戶權(quán)限控制l 基于用戶的權(quán)限控制策略，可以為不同用戶定制不同網(wǎng)絡(luò)訪問權(quán)限。l 可以控制用戶的上網(wǎng)帶寬（QoS；）、限制用戶的同時在線數(shù)、禁止用戶設(shè)置和使用代理服務(wù)器，有效防止個別用戶對網(wǎng)絡(luò)資源的過度占用。l 可以實現(xiàn)對用戶ACL、VLAN的控制，限制用戶對內(nèi)部敏感服務(wù)器和外部非法網(wǎng)站的訪問（）。l 可以限制用戶IP地址分配策略，防止IP地址盜用和沖突。l 可以限制用戶的接入時段和接入?yún)^(qū)域，用戶只能在允許的時間和地點上網(wǎng)。l 可以限制終端用戶使用多網(wǎng)卡和撥號網(wǎng)絡(luò)，防止內(nèi)部信息泄露。l 可以限制用戶必須使用專用安全客戶端，并強制自動升級，確保認證客戶端的安全性。l 詳盡的用戶行為監(jiān)控l 提供“黑名單”管理策略，可以將惡意猜測密碼的用戶加入黑名單，并可按MAC、IP地址跟蹤非法行為的來源。l 管理員可以實時監(jiān)控在線用戶，強制非法用戶下線。l 支持消息下發(fā)，管理員可以通過向上網(wǎng)用戶發(fā)布通知消息，如“系統(tǒng)升級，網(wǎng)絡(luò)將在10分中后切斷”、“您的密碼遭惡意試探，請注意保護密碼安全”等。l 記錄認證失敗日志、并可以全面跟蹤用戶上網(wǎng)流程，方便定位與解決用戶無法接入、異常斷線等問題。日志審計系統(tǒng)軟件設(shè)計日志審計軟件主要功能包括兩大部分：安全事件管理用戶行為審計在本次項目中我們采用的用戶行為審計模塊，具有如下功能：1) 全面的日志采集用戶行為審計系統(tǒng)可支持多種網(wǎng)絡(luò)日志的采集（、NetStream V5），對于不支持上述日志的設(shè)備。同時用戶行為審計系統(tǒng)采用分布式的體系結(jié)構(gòu)，支持多點采集，可以同時采集多個設(shè)備的日志信息，為網(wǎng)絡(luò)管理員監(jiān)控網(wǎng)絡(luò)提供了靈活有效的支持。2) 強大的日志審計功能用戶行為審計系統(tǒng)可根據(jù)用戶需要，通過各種條件的組合對網(wǎng)絡(luò)日志進行快速分析。針對不同的日志類型，管理員可以獲得不同的用戶行為審計信息：：包括經(jīng)過NAT轉(zhuǎn)換前的源IP地址、源端口，經(jīng)過NAT轉(zhuǎn)換后的源IP地址、源端口，所訪問的目的IP、目的端口、協(xié)議號、開始時間、結(jié)束時間等關(guān)鍵信息。：包括源IP、目的IP、源端口、目的端口、流起始時間、結(jié)束時間等關(guān)鍵信息。：探針型采集器直接從交換機的鏡像端口采集用戶的上網(wǎng)信息，對用戶訪問外部網(wǎng)絡(luò)的流進行分類統(tǒng)計，并生成探針（DIG）日志記錄。，其中包含數(shù)據(jù)報文的流量信息和協(xié)議類型信息，包含數(shù)據(jù)報文的摘要信息。，可以實現(xiàn)對用戶網(wǎng)絡(luò)行為的監(jiān)控，審查用戶的Email信息、訪問信息、使用的應(yīng)用信息等，全面審查用戶的網(wǎng)絡(luò)使用行為。l ：開始時間、結(jié)束時間、源IP地址、目的IP地址、源端口號、目的端口號、協(xié)議類型（目前區(qū)分TCP、UDP和ICMP三種協(xié)議）、輸入包個數(shù)、輸出包個數(shù)、輸入字節(jié)數(shù)、輸出字節(jié)數(shù)；l ：開始時間、結(jié)束時間、源IP地址、目的IP地址、目的端口號、摘要信息（目前支持HTTP協(xié)議、FTP協(xié)議、SMTP協(xié)議報文）。NetStream V5日志：包括日志的開始時間、結(jié)束時間、協(xié)議類型、源IP地址、目的IP地址、服務(wù)類型、入接口、出接口、報文數(shù)、字節(jié)數(shù)、流 數(shù)、總激活時間、操作字、日志類型等信息。通過NetStream日志的分析，可以使網(wǎng)絡(luò)管理員深入地了解當(dāng)前數(shù)據(jù)網(wǎng)絡(luò)中的報文所包含的各種有價值的信息，可以實現(xiàn)網(wǎng)絡(luò)監(jiān)控、應(yīng)用監(jiān)控、用戶監(jiān)控等功能，并為網(wǎng)絡(luò)規(guī)劃提供重要參考。通過用戶行為審計系統(tǒng)網(wǎng)絡(luò)管理員可以從海量的網(wǎng)絡(luò)日志中精確審計終端用戶的上網(wǎng)行為。終端用戶何時訪問了某網(wǎng)站、何時訪問了某網(wǎng)頁、發(fā)送了哪些Email、向外發(fā)送了哪些文件等信息均可通過日志審計得出結(jié)果。IP地址是網(wǎng)絡(luò)互聯(lián)的基礎(chǔ)，合理的IP地址規(guī)劃將大大方便網(wǎng)絡(luò)的維護和管理。IP地址規(guī)劃的原則216。 唯一性：保持整個網(wǎng)絡(luò)中IP地址的唯一性216。 簡單性：盡量避免采用復(fù)雜的掩碼方式216。 連續(xù)性：為同一網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于縮減路由表項，提高路由器的處理效率216。 可擴充性：為一個網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機節(jié)點增加時仍然能夠保持地址的連續(xù)性216。 可管理性：地址的分配應(yīng)該有層次性，某個局部的變動不影響網(wǎng)絡(luò)的其他部分216。 地域性：盡量考慮IP的地域特性，以便于統(tǒng)一管理和規(guī)劃216。 全面性：統(tǒng)一規(guī)劃局域網(wǎng)和廣域網(wǎng)IP地址，保證網(wǎng)絡(luò)有效連通和管理IP地址規(guī)劃策略對太重信息化系統(tǒng)IP地址規(guī)劃可以采用以下兩種方式：1. 采用Internet網(wǎng)合法地址由于要實現(xiàn)與Internet的連接，對外發(fā)布信息；在DMZ區(qū)中的服務(wù)器建議采用合法的由電信服務(wù)商分配的地址。2. 本系統(tǒng)自行規(guī)劃IP地址在內(nèi)部網(wǎng)絡(luò)中整體統(tǒng)一采用結(jié)構(gòu)化地址規(guī)劃和分配原則進行IP地址設(shè)計，可以大大提高網(wǎng)絡(luò)的可管理性，同時通過NAT實現(xiàn)與外部網(wǎng)絡(luò)地址的映射，對外部網(wǎng)絡(luò)隱藏了被網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)，提高了網(wǎng)絡(luò)的安全性。IP地址規(guī)劃IP地址的規(guī)劃應(yīng)在遵循方便管理、易于擴展的原則下，統(tǒng)一規(guī)劃、統(tǒng)一分配。，通過結(jié)構(gòu)化劃分方法對各級機構(gòu)進行統(tǒng)一分配。數(shù)據(jù)中心和各級單位和相關(guān)部門IP地址分配如下表：省/市地址空間網(wǎng)段數(shù)據(jù)中心1個C服務(wù)器區(qū)1個C網(wǎng)絡(luò)設(shè)備區(qū)1個C重工8個C起重機公司8個C輪軸公司8個C油膜輪軸公司8個C 在設(shè)計大中型網(wǎng)絡(luò)時，由于靜態(tài)路由協(xié)議設(shè)置麻煩、對網(wǎng)絡(luò)的變化適應(yīng)性差，一般不予采用，而今作為路由設(shè)計的補充。現(xiàn)在，常用的動態(tài)路由協(xié)議有以下四種：1. RIPRIP是一種Distance Vector路由協(xié)議，有以下特點：簡單，廣泛使用，技術(shù)成熟，信息源與目的地間限制在15個hops（或路由器）之內(nèi)，超過15hops將認為不可及。RIPv1不支持VLSM（Variable Length Subnet Mask），不可能有效地利用IP地址。每30秒傳送路由信息將耗費大量的帶寬，在大型網(wǎng)絡(luò)及低速鏈路中更明顯。路由收斂較慢，此算法將經(jīng)歷Holddown(180S)的周期。RIP在計算路徑時，只考慮hop count，不考慮網(wǎng)絡(luò)鏈路的延遲和cost。RIP網(wǎng)絡(luò)適用于平面結(jié)構(gòu)的網(wǎng)絡(luò)。RIP適用于中、小型網(wǎng)絡(luò)。一般網(wǎng)絡(luò)的路由器數(shù)目少于20個。2. OSPFOSPF是Link State，層次化拓撲的路由協(xié)議。有以下特點：僅用于IP網(wǎng)絡(luò)，無hop count的限制，適于大型網(wǎng)絡(luò)，支持VLSM，用hello通知其他路由器本路由器工作正常。通過IP multicast發(fā)送鏈路更新的信息，并且僅在路由發(fā)生變化是進行更新，由此優(yōu)化路由器的資源和帶寬。路由收斂較快，在路徑的選擇中，metric主要考慮鏈路的延遲，支持相同cost的多條鏈路路由，較好地實現(xiàn)負載均衡。cost=100,000,000/bandwidth in bps。通過劃分區(qū)域更好的規(guī)劃網(wǎng)絡(luò)，減少路由更新信息。在網(wǎng)絡(luò)設(shè)計中推薦每個AS區(qū)域中路由器少于50個。3. IGRPIGRP是Distance Vector路由協(xié)議，由CISCO開發(fā)，用于大型IP及OSI網(wǎng)絡(luò)，有以下特點：不支持VLSM（Variable Length Subnet Mask)，不可能有效地利用IP地址。每90秒傳送路由信息將耗費部分的帶寬。在路徑的選擇上采用組合的metrics包括：延遲、帶寬、可靠性、MTU和負載。支持多條路徑路由。4. EIGRPEIGRP是intradomain，先進的Distance Vector路由協(xié)議，由CISCO開發(fā)和支持：結(jié)合了距離向量(DV)協(xié)議和連接狀態(tài)(LS)協(xié)議的優(yōu)點，采用了DUAL算法達到網(wǎng)絡(luò)的快速收斂。支持層次化和平面網(wǎng)絡(luò)結(jié)構(gòu)，支持VLSM網(wǎng)絡(luò)地址分配，可在任意位邊界對直接相連的網(wǎng)絡(luò)進行路徑疊合，只有在網(wǎng)絡(luò)變化時EIGRP才發(fā)送路由表更新信息，而且只發(fā)給相關(guān)路由器，因此廣域網(wǎng)帶寬浪費很少，DUAL算法使其具有最好的收斂性。采用五維參數(shù)來決定最佳路徑：帶寬、時延、可靠性、線路負載和最大數(shù)據(jù)包尺寸。EIGRP路由算法自動根據(jù)這五項參數(shù)值動態(tài)計算最優(yōu)路徑，隨時更新。它采用模塊化軟件支持IP、IPX和AT協(xié)議。RIP由于性能和擴展性差而逐漸推出了歷史的舞臺。EIGRP本身的設(shè)計定位是取代IGRP的，所以IGRP也逐漸淡出。根據(jù)以上的比較，EIGRP和OSPF都比較適合大型網(wǎng)絡(luò)，并且兩者均有很多成功案例。但EIGRP屬于Cisco公司專有的路由協(xié)議，兼容性較差。而OSPF的開放性和對備份線路的特別支持特性，適合作為中大規(guī)模網(wǎng)絡(luò)。故建議采用OSPF協(xié)議作為設(shè)計廣域網(wǎng)的路由協(xié)議。路由設(shè)計，在核心交換機上啟用三層路由功能，實現(xiàn)各VLAN間的通信，同時在核心路由器上啟用動態(tài)路由協(xié)議OSPF，支持變長子網(wǎng)掩碼，在接入的工作站和服務(wù)器上配置缺省網(wǎng)關(guān)。同時配合國家數(shù)據(jù)及主控中心、各省及控制中心啟動OSPF動態(tài)路由協(xié)議，并做好相應(yīng)的路由協(xié)議參數(shù)配置，從而實現(xiàn)全網(wǎng)統(tǒng)一的大的OSPF動態(tài)路由網(wǎng)絡(luò)。將區(qū)域數(shù)據(jù)中心的路由器劃入OSPF的area0內(nèi)，與之相連的下級節(jié)點的設(shè)備再分別劃分為不同的OSPF area，可以各級節(jié)點為單位，不同的級別節(jié)點劃分不同的區(qū)域。這將最大限度的利用OSPF的分區(qū)管理優(yōu)勢。在IP地址的規(guī)劃時已經(jīng)考慮到路由匯聚，以便可以匯聚成一條路由信息向其他區(qū)域傳送。通過對OSPF的適當(dāng)配置，