【文章內(nèi)容簡介】 5類 屏蔽雙絞線（最大 100m） 100BASETX 5類 非屏蔽雙絞線（最大 100m）5類 屏蔽雙絞線（最大 100m） 100BASEFX9/125mm單模光纖（最大 15km）（最大 2km）交換模式： Storeandforward Cut Through（僅 S2403）MAC地址表地址自學(xué)習(xí)，最多可支持 2K MAC地址 SNMP Agent25 / 59支持 MIBII（RFC1213）Console Port允許用戶通過串行口配置交換機登錄用戶口令保護 統(tǒng)計信息、狀態(tài)信息即時刷新簡潔易用的配置界面可選擇的中、英文界面Tel允許用戶通過 Tel登錄配置交換機登錄用戶口令保護統(tǒng)計信息、狀態(tài)信息即時刷新簡潔易用的配置界面最多可支持 3個用戶同時登錄登錄超時保護可選擇的中、英文界面VLAN符合 IEEE 基于端口的 VLANTrunk交換機到交換機的 Trunk交換機到服務(wù)器的 Trunk 可定制的流量分配26 / 59 網(wǎng)絡(luò)管理簡述增值業(yè)務(wù)平臺 CAMSCAMS平臺可以提供各種增值業(yè)務(wù)，包括WEB認證、201＋寬帶上網(wǎng)卡、IP Hotel業(yè)務(wù)等。同時配合 MA5200E的BAS功能，能夠?qū)崿F(xiàn)根據(jù)不同用戶需求進行計費認證，包括按時長、按流量、安內(nèi)容等計費，同時還可以提供各種折扣計費。 2. 網(wǎng)絡(luò)安全措施 網(wǎng)絡(luò)安全策略全網(wǎng)的安全策略包括網(wǎng)絡(luò)安全策略，節(jié)點安全策略，數(shù)據(jù)安全策略，和持續(xù)安全策略。網(wǎng)絡(luò)安全策略：主要保證網(wǎng)絡(luò)拓撲機構(gòu)的合理性，全網(wǎng)各個節(jié)點之間的連接線路的可用性。節(jié)點安全策略：主要保證各個節(jié)點內(nèi)的設(shè)備不受攻擊，保證服務(wù)不中斷。數(shù)據(jù)安全策略：保證系統(tǒng)重要數(shù)據(jù)得到及時有效的備份保護，并避免受到非法使用者的篡改等。持續(xù)安全策略：是從發(fā)展的角度，提出如何對系統(tǒng)的安全缺陷及時跟蹤和修正，保證網(wǎng)絡(luò)的長期安全性。 網(wǎng)絡(luò)各層設(shè)備安全性考慮配置安全：對登錄用戶進行認證，不同級別用戶有不同的配置權(quán)限；提供兩種用戶認證方式：本地驗證、RADIUS(Remote Authentication DialIn User Service)驗證。27 / 59協(xié)議報文認證：對重要的路由協(xié)議（OSPF，ISIS，RIP、OSPF等）提供多種驗證方法（明文驗證、MDHMACMD5）?；谟脩舳x的策略：可以對報文進行過濾，同時采取其它動作。安全過濾可以將過濾的報文重定向到某個固定端口，便于利用儀器設(shè)備抓包分析。 網(wǎng)絡(luò)安全措施在體系結(jié)構(gòu)方面，華為綜合網(wǎng)管系統(tǒng)采用 Client/Server 結(jié)構(gòu)，支持多個客戶同時登錄到網(wǎng)管SERVER ，在每一客戶端都有嚴格的用戶登錄與安全檢查。網(wǎng)管 SERVER作為后臺進程運行，完成的功能包括：拓撲管理、設(shè)備監(jiān)控、性能數(shù)據(jù)采集、設(shè)備告警處理、用戶安全管理。節(jié)點關(guān)鍵設(shè)備冗余備份，為了保障網(wǎng)絡(luò)安全，降低網(wǎng)絡(luò)故障，關(guān)鍵設(shè)備所有關(guān)鍵部件都采用冗余備份設(shè)計，電源模塊N＋1備份，控制和交換板采用1＋1冗余備份。對網(wǎng)絡(luò)設(shè)備采用多極安全密碼體系，限制非法設(shè)備和用戶登錄，在出現(xiàn)軟硬件故障時，可以迅速切換到備用模塊，保障業(yè)務(wù)的不間斷運行。關(guān)鍵數(shù)據(jù)采用身份認證與授權(quán)，通過訪問權(quán)限限制，加密保存，加密傳輸，同時網(wǎng)絡(luò)和系統(tǒng)中各種重要數(shù)據(jù)進行及時有效的備份。設(shè)備可設(shè)置三級時鐘，并提供時鐘優(yōu)先級，當(dāng)最高優(yōu)先級時鐘失效時，可以立即切換到低優(yōu)先級時鐘，當(dāng)最高優(yōu)先級時鐘恢復(fù)后，又可以立即切換回去，通過這種自動保護既可以保障網(wǎng)絡(luò)的安全運行，又可以簡化用戶的管理。28 / 59網(wǎng)絡(luò)從拓撲結(jié)構(gòu)到連接鏈路均應(yīng)考慮路由的備份，采用分層的拓撲結(jié)構(gòu)，支持動態(tài)迂回路由，在資金可能的情況下，節(jié)點保證雙路由，保障網(wǎng)絡(luò)安全。同時在網(wǎng)絡(luò)中通過劃分VPN網(wǎng)絡(luò)、VLAN網(wǎng)絡(luò)來保障專業(yè)行業(yè)網(wǎng)絡(luò)的安全性。3. 路由協(xié)議與策略路由協(xié)議可以及時地動態(tài)獲取網(wǎng)絡(luò)拓撲信息，引導(dǎo)IP數(shù)據(jù)報文逐步轉(zhuǎn)發(fā)到達目的地，使IP網(wǎng)絡(luò)具備了很好的靈活性和魯棒性。例如使用動態(tài)路由協(xié)議的IP網(wǎng)絡(luò)能夠在一條傳輸路徑中斷時，自動選擇其他的路徑繼續(xù)執(zhí)行數(shù)據(jù)轉(zhuǎn)發(fā)；同樣，在網(wǎng)絡(luò)中增加了新的傳輸路徑時，IP網(wǎng)絡(luò)也可在很短時間內(nèi)獲得并傳播拓撲變化信息，對網(wǎng)絡(luò)資源實現(xiàn)靈敏和合理的應(yīng)用。不同的路由協(xié)議有各自的特點，分別適用于不同的條件之下。選擇適當(dāng)?shù)穆酚蓞f(xié)議需要考慮以下因素：1）網(wǎng)絡(luò)的拓撲結(jié)構(gòu)2）網(wǎng)絡(luò)節(jié)點數(shù)量3）與其他網(wǎng)絡(luò)的互連要求4）管理和安全上的要求S6506提供了豐富的路由協(xié)議支持，以適應(yīng)不同的網(wǎng)絡(luò)環(huán)境。A、區(qū)域內(nèi)路由協(xié)議（1）RIPRIP（Route information protocol，即路由信息協(xié)議）是基于29 / 59DV算法（距離向量算法）的內(nèi)部動態(tài)路由協(xié)議。RIP協(xié)議的標(biāo)準主要有RFC1058（版本1）和RFC1723（版本2）。 Quidway S6506產(chǎn)品不僅實現(xiàn)了這兩個版本的RIP協(xié)議，還支持MD5驗證，還可以在必要時提供更安全的快速收斂的RIP服務(wù)。（2）OSPFOSPF（Open Shortest Path First，即最短路徑優(yōu)先協(xié)議）是一種基于鏈路狀態(tài)的內(nèi)部動態(tài)路由協(xié)議。目前OSPF的主要標(biāo)準是RFC2328（版本2）。Quidway S6506產(chǎn)品實現(xiàn)了完整的OSPF功能和一些擴展特性。包括支持廣播、NBMA、點到多點、點到點四種接口類型，以及MD5驗證、區(qū)域劃分、區(qū)域間路由聚合、虛連接、STUB區(qū)域等豐富的特性。（3）ISISISIS（Intermediate System Intermediate System，中間系統(tǒng)到中間系統(tǒng)協(xié)議）是由國際標(biāo)準化組織（ISO）制訂的路由協(xié)議，屬于開放系統(tǒng)互聯(lián)協(xié)議簇。ISIS 對應(yīng)的標(biāo)準是ISO 10589和RFC1195。Quidway S6506能實現(xiàn)IP網(wǎng)絡(luò)上的ISIS協(xié)議完整功能。（4）OSPFOSPF是一種性能優(yōu)良、使用廣泛的單播IGP路由協(xié)議，網(wǎng)絡(luò)開銷小，獲得的路由無環(huán)路，適合在不同規(guī)模的網(wǎng)絡(luò)環(huán)境使用。ISIS與OSPF在質(zhì)量和性能上的差別并不大，但OSPF更適用于30 / 59IP，較ISIS更具有活力。IETF始終在致力于OSPF的改進工作，其修改節(jié)奏要比ISIS快得多。這使得OSPF正在成為應(yīng)用廣泛的一種路由協(xié)議?，F(xiàn)在不論是傳統(tǒng)的路由器設(shè)計，還是即將成為標(biāo)準的MPLS（多協(xié)議標(biāo)記交換），均將OSPF視為必不可少的路由協(xié)議。而且ISIS在國內(nèi)實際應(yīng)用實例較少，不太適合作為主要協(xié)議使用。 RIP協(xié)議發(fā)展最早，使用簡便，但協(xié)議過于簡單，對于路由環(huán)路等問題存在一些缺陷，在較大的網(wǎng)絡(luò)環(huán)境中不適合采用。B、域間路由協(xié)議BGPBGP（Border Gateway Protocol，即邊界網(wǎng)關(guān)協(xié)議）是一種自治系統(tǒng)間的動態(tài)路由發(fā)現(xiàn)協(xié)議，它的基本功能是在自治系統(tǒng)間自動交換無環(huán)路的路由信息。目前BGP的標(biāo)準是RFC1771/RFC1772（版本4）。Quidway S6506實現(xiàn)了BGP4協(xié)議的完整功能和一些擴展，包括路由聚合、路由衰減、路由反射、AS聯(lián)盟、團體屬性，以及用于支持MPLS VPN的BGP多協(xié)議擴展。C、路由策略與路由協(xié)議配合使用的路由策略用于增強網(wǎng)絡(luò)管理者對路由協(xié)議的控制管理。上層路由協(xié)議在與對端路由器進行路由信息交換時，可能需要只接收或發(fā)布一部分滿足給定條件的路由信息；路由協(xié)議在引入其它路由協(xié)議路由信息時，可能需要只引入一部分滿足條件的路由信息，并對所引入的路由信息的某些屬性進行設(shè)置以使其滿足本協(xié)議的要求。路由策略則為路由協(xié)議提供實現(xiàn)這些功能的手段。31 / 59路由策略由一系列的規(guī)則組成，這些規(guī)則大體上分為三類，分別作用于路由發(fā)布、路由接收和路由引入過程。路由策略也常被稱為路由過濾，因為定義一條策略等同于定義一組過濾器，并在接收、發(fā)布一條路由信息或在不同協(xié)議間進行路由信息交換前應(yīng)用這些過濾器。Quidway S6506支持的路由策略主要有路由映像（RouteMap）定義、路由引入和分發(fā)定義，以及路由的前綴、自治系統(tǒng)路徑、團體屬性、訪問列表等限制規(guī)則。路由策略的應(yīng)用，對增強網(wǎng)絡(luò)的可管理性具有重要的實用價值。4. IP地址規(guī)劃IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計中的重要一環(huán)，大型計算機網(wǎng)絡(luò)必須對ＩＰ地址進行統(tǒng)一規(guī)劃并得到實施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進一步發(fā)展。IP地址空間分配，要與網(wǎng)絡(luò)拓撲層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由聚類，減少路由器中路由表的長度，減少對路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時要遵循以下原則：32 / 59唯一性：一個IP網(wǎng)絡(luò)中不能有兩個主機采用相同的IP地址；簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴展的復(fù)雜性，簡化路由表的款項連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進行路徑疊合，大大縮減路由表，提高路由算法的效率可擴展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴展時能保證地址疊合所需的連續(xù)性靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。IP地址規(guī)劃是要解決有效利用地址空間、有利于路由設(shè)計、解決公網(wǎng)地址嚴重不足等問題。地址的分級、可變長掩碼等技術(shù)的使用在此就不再詳細論述。我們主要論述如何進行最優(yōu)化的公私網(wǎng)地址混用。地址空間的壓力主要來源于個人接入用戶，而企業(yè)用戶帶來的影響較小。所以，對專線用戶采用地址靜態(tài)分配、公網(wǎng)、私網(wǎng)地址并存。寬帶Inter企業(yè)訪問型可以通過專線或以太網(wǎng)接入。這里考慮的重點是以太網(wǎng)接入，專線用戶的處理情況類似。對企事業(yè)單位用戶一般企事單位業(yè)用戶使用靜態(tài)地址和靜態(tài)路由，IP地址可以使用私網(wǎng)地址或公網(wǎng)地址。33 / 59而對個人用戶到底采用何種方式，取決于多個因素。其中最主要的因素是公網(wǎng)地址空間的缺少：如果僅僅分配公用IP地址，用戶人數(shù)在不斷增長，將有可能超過可用地址數(shù)，這將成為一個嚴重的問題。由于大部分的個人用戶不需要固定的IP地址，因此對個人用戶采用動態(tài)的IP地址分配可以節(jié)省地址資源。而采用NAT的方式，可以將網(wǎng)絡(luò)公用地址的需要節(jié)省到幾十分之一甚至更多的程度。但后一種方式的主要問題是NAT/PAT轉(zhuǎn)換的性能問題，第二個問題是可能會影響某些寬帶應(yīng)用。而實際上，地址缺口的大小不僅取決于可用空間和用戶數(shù)，并且與采用的用戶安全技術(shù)和產(chǎn)品有關(guān)。如果寬帶接入采用以太網(wǎng)接入+PPPoE，那么可以方便地進行地址的動態(tài)分配。如果采用以太網(wǎng)和Per User Per VLAN的方式，地址消耗太大，使用私網(wǎng)地址+NAT是合理的選擇。如果以太網(wǎng)用戶采用包月的方式，地址需要將大大增加。第二個因素是采用的產(chǎn)品的特性。第三個因素是是否考慮NAT對應(yīng)用的影響。可能某個用戶需要采用某種應(yīng)用而該應(yīng)用不能穿過NAT設(shè)備，如某些多媒體應(yīng)用和VPN應(yīng)用。34 / 59綜合以上多種考慮，對于以撥號作為接入方式的接入節(jié)點，采用RADIUS服務(wù)器進行地址管理，一般采用公網(wǎng)地址池，動態(tài)分配IP地址。如果地址空間缺口依然存在，建立公、私兩個地址池，根據(jù)用戶名或域名進行區(qū)分，需要撥號接入服務(wù)器支持VPDN，這樣只有私網(wǎng)用戶需要進行地址轉(zhuǎn)換。同一個用戶在連接前選擇服務(wù)類型。若改變城域網(wǎng)使用的私網(wǎng)地址，調(diào)整簡單。對于采用以太網(wǎng)交換機作為接入方式的接入節(jié)點，由于大部分的個人用戶不需要固定的IP地址，因此對個人用戶采用動態(tài)的IP地址(DHCP)分配可以節(jié)省189。到190。的地址資源。華為公司的Quidway S6506具有強大的地址轉(zhuǎn)換能力，有效解決IP地址緊缺的問題。S6506內(nèi)置NAT業(yè)務(wù)板以NAPT方式支持公網(wǎng)和私網(wǎng)地址的轉(zhuǎn)換，可以支持城域網(wǎng)公網(wǎng)/私網(wǎng)地址混合規(guī)劃；NAT單板支持IGMP、FTP等ALG處理，NAT板數(shù)量按照NAT容量靈活配置，支持個 人 用 戶個 人 用 戶（ 私 網(wǎng) 地 址 ）（ 私 網(wǎng) 地 址 ） 企 業(yè) 用 戶企 業(yè) 用 戶（ 公 網(wǎng) 地 址 ）（ 公 網(wǎng) 地 址 ）網(wǎng) 絡(luò)網(wǎng) 絡(luò)（ 公 網(wǎng) 地 址 ）（ 公 網(wǎng) 地 址 ）Intert企 業(yè) 用 戶企 業(yè) 用 戶家 庭 用 戶家 庭 用 戶DHCP ServNMSNAT 網(wǎng) 管 地 址網(wǎng) 管 地 址（ 公 網(wǎng) 地 址 ）（ 公 網(wǎng) 地 址 ）35 / 59NAT板間負荷分擔(dān)和熱備份功能。在S6506上做地址轉(zhuǎn)換，可以把NAT功能分布在匯聚層各個設(shè)備上，減輕城域網(wǎng)出口負荷，適用于規(guī)模較大的城域網(wǎng)。我們建議城域網(wǎng)邊緣采用私網(wǎng)和公網(wǎng)地址用戶混合接入，城域骨干采用公有地址。5. 用戶認證 WEB＋VLAN認證采用VLAN方式接入用戶減少了客戶端的工作量，同時提高了網(wǎng)絡(luò)的傳輸效率，但采用這種接入方式相對于PPPOE接入方式而言，由于減少了用戶名以及密碼的驗證過程，因此比較適合與終端相對固定的用戶，如：政府機關(guān)、居民用戶等。而對于象學(xué)生等流動性強的用戶，VLAN方式就顯得捉襟見肘了。針對與這個問題，同時考慮目前浙江省網(wǎng)絡(luò)現(xiàn)狀以及各種接入方式的比較，本期城域接入層建設(shè)的接入方式考慮采用VLAN＋WEB的方式來實現(xiàn)：