【正文】 。 **IP 城域網(wǎng)網(wǎng)絡設計方案 4/4/2021 第 31 頁 基基 于于 策策 略略 的的 管管 理理 方方 案案 絕大多數(shù)服務，如基于策略的 QoS、基于策略的 服務器負載平衡、基于策略的 NAT/ ( PAT)、基于策略的 ACL、 VLAN(綁定 ,子網(wǎng) ,DHCP)、用戶驗證的 VLAN、交換機 訪 問 的驗證和分權管理均可以通過 LDAP、 RADIUS 和 ACE 服務器將它們 所有的信息保 存在本地或遠端。 基于策略的管理是從中心位置創(chuàng)建策略并散步這些策略到遠端的網(wǎng)絡設備一種機制。這些策略被儲存在 LDAP 目錄服務器中， Alcatel PolicyView (第 2 版 )是用來創(chuàng)建 QoS 策略（驗證， ACL, 和 IP組播）， PolicyView 將策略寫入 LDAP 目錄服務 器中。 Omni 網(wǎng)絡設備同時擔任策略判定點 (Policy Decision Point ,PDP)和策略執(zhí)行點 (Policy Enforcement Point, PEP)的角色，它通過 LDAPv3 協(xié)議從目錄服務 器獲取策略。 它可以與 Netscape, Novell, 和 Microsoft 目錄服務器進行互操作。 策略管理器支持多達 4 個不同的 LDAP 服務器，所有這些服務器內(nèi)容必須一致，它們通過 IP地址和 TCP 端口號進行標識，它們可以按照優(yōu)先級屬性分類，最高優(yōu)先級的的服務器作為主服務器，也就是策略可以從這臺 服務器下載。如果主服務器失敗，另外一臺將代替它作為主服務器。隨后，若初始主服務器恢復，它將再次作為當前主服務器。 利用基于策略的目錄服務有很多優(yōu)點，包括：集中式身份驗證和訪問控制（策略信息可通過網(wǎng)絡復制），靈活的網(wǎng)絡架構，最少的配置時間（集中管理，易升級配置，增加、移動和改變等日常維護均能自動操作）。如下圖所示。 **IP 城域網(wǎng)網(wǎng)絡設計方案 4/4/2021 第 32 頁 五五 、 網(wǎng)網(wǎng) 絡絡 安安 全全 網(wǎng)絡建成后，將要傳輸大量數(shù)據(jù)，其數(shù)據(jù)安全性要求是必然的，網(wǎng)絡內(nèi)網(wǎng)與別的網(wǎng)絡完全隔離，相對比較安全，網(wǎng)絡要接入 INTERNET，對網(wǎng)絡的安全存在潛在的威脅。沒有任何一種方法可保證 數(shù)據(jù)是絕對安全的。對于系統(tǒng)安全的考慮來源于以下方面：外界非法用戶闖入的惡意攻擊、非授權的資料存取、假冒合法用戶和病毒等。基于以上安全的考慮，我們利用現(xiàn)有的安全機制和系統(tǒng)設計，從以下幾個方面來增強數(shù)據(jù)的安全性： ? 利用交換機的過濾規(guī)則 ? 各部門間可劃分 VLAN 隔離。 ? 對公共數(shù)據(jù)的訪問可采用用戶驗證功能 ? 操作系統(tǒng)的存取控制、數(shù)據(jù)庫的存取控制、 ? 接入節(jié)點與匯集節(jié)點間采用 VPN 通道連接 ? 對應用程序的存取控制和日常的病毒掃描等 ? 對應用程序的進行加密 ? 網(wǎng)絡設備防攻擊 通過使用網(wǎng)絡安全策略，我們可保護網(wǎng)絡的通訊和數(shù)據(jù)的安全， 控制對系統(tǒng)的訪問、提供集中的安全管理和保密性，記錄和統(tǒng)計非法網(wǎng)絡和數(shù)據(jù)訪問。 、 設設 置置 過過 濾濾 規(guī)規(guī) 則則 （（ ACL）） 在網(wǎng)絡內(nèi)，可設置過濾規(guī)則。在網(wǎng)絡骨干交換機上，可設置不同的過濾規(guī)則，使不同網(wǎng)段間、不同 IP地址間，進行訪問控制。對用戶進行有效隔離。例如下圖： **IP 城域網(wǎng)網(wǎng)絡設計方案 4/4/2021 第 33 頁 ACL 過濾規(guī)則設計WWWWWW 、 MAILMAIL 服務器服務器 IPIP網(wǎng)絡數(shù)據(jù)中心M AC主服務器主服務器 IPIP多媒體服務器多媒體服務器 IPIP數(shù)據(jù)服務器數(shù)據(jù)服務器 IPIP網(wǎng)段 1各用戶間、用戶與服 務 器 間 的 訪 問ACL 控制策略 （在中心交換機中設置）端口 /槽IPX 網(wǎng)段IP 地址 Alcatel公司 OmniSwitch8800系列交換機，開發(fā)了稱為 IP Filtering 的高速包檢 測技 術。IP Filtering是一種硬件路由 ASIC， IP Filtering以線速控制網(wǎng)絡、主機和硬件中的服務。 IP Filtering在不 影響性能的情況下保護網(wǎng)絡的內(nèi)部安全性， IP Filtering以線速控制 VLAN、子網(wǎng) 和主機之間的流量，只允許授權用戶訪問所跨越的區(qū)域。它能夠按源和 /或目標 IP和 TCP信息域發(fā)送包。與許多路由器上基于軟件的訪問控制表功能相似 IP Filtering機制實施以 線速認可和 拒絕政策。 相對于訪問控制的安全政策能夠采用 IP Filtering在 IP、 IPX和 TCP層實施。 IP Filtering 借助 過濾功能提供高速度流量控制服務，基于 ASIC的包過濾，其依據(jù)是： ? 源 /目的 槽位 /端口 ? 源 /目的 VLAN ? 源 /目的 IP 地址 ? 源 /目的 TCP amp。 UDP 端口 ? 支持內(nèi)部發(fā)起連接的 Reflexive 端口 ? 源 MAC **IP 城域網(wǎng)網(wǎng)絡設計方案 4/4/2021 第 34 頁 當驗證包源地址和目標地址組合時，優(yōu)先規(guī)則一般依賴于有最高優(yōu)先權的特定規(guī)則。最一般的規(guī)則優(yōu)先級最低。 XX交換機可以根據(jù)信息包的第二層信息、第三層信息、第四層信息，還可以將所有以上信息綜合在一起進行過濾。并且實施的過濾策略的數(shù)量與系統(tǒng)性能沒有關系。這些策略直接加載在單個端口上，在每個端口上線速度執(zhí)行。 、 設設 置置 VLAN 本網(wǎng)絡，它的基本通訊協(xié)議是 TCP/IP。在城域網(wǎng)中，根據(jù)不同部門和業(yè)務，網(wǎng)絡可 以通過在交換機上，基于一定的策略，把用戶分為不同的“邏輯工作組”（ VLAN），而不改變網(wǎng)絡的物理連接。一個邏輯工作組就是一個虛擬網(wǎng)。同一個邏輯工作組中的用戶，可以不受物理網(wǎng)段位置的限止，通過一定的策略，定義網(wǎng)絡資源的訪問權限。本方案中，中心交換機支持 最高達 4,096個 VLAN， VLAN的劃分可基于： ? 基于端口、 MAC地址、第三層地址、端口綁定、協(xié)議類型和用戶自定義的 VLAN ? 身份驗證和基于策略的 VLAN ? ，包括“混合”和“透明”端口 通過劃分 VLAN，網(wǎng)絡不同的用戶 、系統(tǒng)和地區(qū)，根據(jù)實際的需要，劃分成不同的邏輯子網(wǎng)。相互之間通過一定的訪問策略來實現(xiàn)資源的訪問控制。在網(wǎng)絡定義和構造 VLAN有以下優(yōu)點： ? 各個信息點可按照業(yè)務功能分組，能夠把分散的用戶組織成高性能的工作子網(wǎng)，而不必按地理位置劃分。 ? 對網(wǎng)絡信息具有隔離作用，一個 VLAN 內(nèi)部信息不會影響到 VLAN 的外部。廣播信息被限止在 VLAN 內(nèi)部，提高子網(wǎng)絡帶寬的利用率。 ? VLAN 劃分是通過軟件實現(xiàn)的，如果要改變它，只需改變它的邏輯成員和配置表。而無需把用戶從一個地方移到另一個地方。無需改變物理連接。 ? 將多個結(jié)點和端口劃分到 一個邏輯子網(wǎng)，使用交換技術，消除子路由器帶來的瓶頸。 ? 通過 VLAN 的劃分，方便子網(wǎng)絡管理，提高了網(wǎng)絡安全性。 、 交交 換換 機機 的的 安安 全全 管管 理理 網(wǎng)絡方案除從網(wǎng)絡應用的角度考慮安全問題，還應從交換機自身的角度來考慮安全。主要可以采用以下的方法，來保證交換機的安全，具體如下： ? 針對最常見的 DoS攻擊進行了測試 **IP 城域網(wǎng)網(wǎng)絡設計方案 4/4/2021 第 35 頁 ? Port scan ? TCP SYN attack ? Ping of Death attack ? Smurf attack (ICMP) ? Pepsi attack (UDP) ? Land attack ? Teardrop attack ? Bonk attack ? Boink attack ? Fragmentation DoS ? 基于以下特征設置對交換機的管理和訪問 ? 基于 Coronado ASIC 芯片的 ACLs ? Layer 3 (IP 源地址 /目的地址 ) ? Layer 4 (TCP/UDP 源端口 /目的端口 ? 基于用戶 ID定義對交換機的管理 – AAA 服務 ? 本地交換機數(shù)據(jù)庫 ? 遠程數(shù)據(jù)庫 RADIUS, LDAP, RSA ? 基于權限的 (分權管理 ) ? 端口 (通過遠程數(shù)據(jù)庫 ) ? 交換機 (通過遠程數(shù)據(jù)庫 ) ? 采用遠程 AAA 數(shù)據(jù)庫時維護審 計記錄 ? 用戶名 , MAC 地址 , IP 地址 , 交換機 ID, 槽 /端口 , 登錄事件 , 退出事件 , 發(fā)送字節(jié)數(shù) , 接受字節(jié)數(shù) , 斷開原因等 ? 網(wǎng)絡管理員可以用來監(jiān)控對網(wǎng)絡設備的訪問 ? 保護客戶端 (管理員 / 策略服務器 )和交換機間的通信 ? Socket 層次的保護 – 采用客戶機 /服務器協(xié)議保護基于 TCP的通信 **IP 城域網(wǎng)網(wǎng)絡設計方案 4/4/2021 第 36 頁 – 保護 HTTP WebView 的通信 – 保護 HTTP AVLAN 客戶機登錄的數(shù)據(jù) – 保護 LDAP 策略服務器的通信 – 基于 RSA BSAFE 編碼 – 基于加密和認證的安全性 ? SNMPv3 – 保護交換機和管 理工作站間的通信 – SNMPv3：通信加密 ? Secure Socket Layer (SSL) – 加密的 Client/Server通信進程 – 應用實例 : WebView網(wǎng)管 **IP 城域網(wǎng)網(wǎng)絡設計方案 4/4/2021 第 37 頁 六六 、 工工 程程 實實 施施 方方 案案 、 工工 程程 進進 度度 安安 排排 **IP 城域網(wǎng)網(wǎng)絡系統(tǒng)項目實施計劃在合同正式簽定以后開始實施，與工程實施有關需要有 幾個時段的定義 . 我們的工程實施也是按照這幾個時段展開的，下面分別進行描述。 供貨期 供貨期為合同簽定到全部設備運抵買方指定地點驗收為止，在此期間賣方主要工作包括以下幾點： 1， 工程實施項目組建立，專人向用戶提供各種工程相關服務； 2， 按照合同交貨期的規(guī)定組織設備的生產(chǎn)、運輸，保證按期交貨； 3， 協(xié)助買方制定整個 網(wǎng)絡 的詳細地址規(guī)劃； 4， 向買方提供機房安裝環(huán)境條件，必要時予以協(xié)助勘測； 5， 到貨現(xiàn)場驗收。 交貨前買方主要工作包括以下幾點： 名稱 起始日 終止日 供貨期 合同簽定之日 最后一批設備到現(xiàn)場之日 施工期 交貨驗收之日 系統(tǒng)的安裝、調(diào)測完成之日 系統(tǒng)初驗 買方開始逐項業(yè)務驗收 初驗證書簽字之日 試運行期 初驗證書簽字之次 日 終驗文件簽署之日 工程實施周期 合同簽定之日 初驗結(jié)束之日 **IP 城域網(wǎng)網(wǎng)絡設計方案 4/4/2021 第 38 頁 1， 安排專人負責工程的實施； 2， 按設備要求準備機房環(huán)境條件； 2， 在賣方的協(xié)助下制定整個 網(wǎng)絡 的詳細地址規(guī)劃 3， 到貨現(xiàn)場驗收。 設備運抵安裝現(xiàn)場后，買賣雙方開箱按合同詳細配置共同進行驗收確認 。 ， 施工期 施工期為全部合同設備的安裝與調(diào)試，施工期從全部合同設備到貨后直到系統(tǒng)安裝調(diào)試完畢，可進行初驗為止。 在工程施工期間，雙方人員應保持密切接觸，及時溝通信息，通報工程進展情況。在施工期間如遇到前期未預料的問題，特別是合同未有規(guī)定的問題時，雙方應本著友好協(xié)商的原則共同 努力解決，必要時要組織工程協(xié)調(diào)會議，具體落實工程的順利實施。 在設備安裝測試前，為了避免其它的環(huán)境原因?qū)υO備安裝測試的影響，需要對安裝現(xiàn)場環(huán)境進行核對，包括： 本次工程相關的所有通道和端口技術特性和物理特性 供電電壓和負載 接地條件 環(huán)境溫度和濕度 機房面積及安裝條件 施工期需要進行以下工作： 在安裝工作開始前，賣方提供安裝技術資料和相關的規(guī)范； 由賣方提供的設備，其安裝、調(diào)試 (包括硬件及軟件 )及開通，全部由賣方負責，買方需提供滿足安裝和調(diào)試的環(huán)境，并在整個施工期對賣方的工作予以協(xié)助配合； 設備安裝、調(diào)測所 需專用的工具儀表由賣方提供，一般工具儀表及安裝材料由買方提供； 雙方協(xié)商制定工程進度表，賣方負責按工程進度表進行施工； **IP 城域網(wǎng)網(wǎng)絡設計方案 4/4/2021 第 39 頁 設備牢固固定，并具有一定的抗震強度，纜線連接安全可靠美觀； 賣方對買方進行現(xiàn)場培訓，培訓學員可滿足日常的設備維護和管理工作。 系統(tǒng)測試由賣方提供測試方案，買方確認后，在賣方的督導指導下進行，買方人員須參加測試，測試完畢賣方提供測試報告并通過口頭或書面形式向買方報告測試進展；