【正文】 所有 ACL 在 context 內(nèi)定義。? 訪問組可以通過用戶配置文件直接作用于接口或間接作用于電路。如果 ACL 同時(shí)作用于電路和接口，通過的包將按順序通過兩個(gè)過濾器。輸入先通過電路，再通過接口，輸出先通過接口，再通過電路。除了 permit 和 deny, 過濾功能還支持 redirect 關(guān)鍵字。不管轉(zhuǎn)發(fā)表信息如何，匹配的包總是被發(fā)送到特定的接口( 和可以支持 ARP 的介質(zhì)的下一條地址)。 源地址確認(rèn)源地址確認(rèn)拒絕所有來自其他地址的 IP 包。其主要特征如下：? 確認(rèn)地址是否對于源地址的電路有效。? 拒絕任何不正確的源地址。 ? 有效地防止 HACKER 地址欺騙和發(fā)起 DOS 攻擊，如 ICMP Echo/PING 和 SYN Flood。 安全 ARP安全 ARP 的主要功能表現(xiàn)為對 IP 地址的請求，檢查相應(yīng)的 MAC 地址。通過安全 ARP，ZXR10 系列路由器將轉(zhuǎn)發(fā)未知發(fā)送方向的 ARP 請求。另外，系統(tǒng)只響應(yīng)源 IP 地址是一個(gè)已知的主機(jī)地址。這樣就防止了兩個(gè)非常重要的問題產(chǎn)生：首先，用戶不能隨意設(shè)置主機(jī) IP 地址，否則用戶的服務(wù)將被拒絕。其次，地址不能被偽造，因此可以避免用戶數(shù)據(jù)流的泄漏。安全 ARP 的一些特性如下：? 從配置表中去查詢 ARP 的請求 ? ZXR10 系列路由器只是把流量傳遞到配置好了的 MAC 地址那里? HACKER 無法實(shí)現(xiàn)地址劫持? 避免了從另外一個(gè)用戶那里偷取流量的事情? 避免了對其他用戶發(fā)起攻擊的事情? 阻塞了廣播地址防止了對 ZXR10 系列路由器發(fā)起 SMURF 攻擊的可能。.. . . ..學(xué)習(xí)好幫手 Inter用 戶 求 檢 查 地 址 是 否 與 電 路 中 所 配 置 的 相同僅 向 那 些 IP地 址 已 經(jīng) 配 置 的 電 路 轉(zhuǎn)發(fā) ARP請 應(yīng)電 路 采 用 橋 接 封 裝 安全ARP示意圖這張圖展示了用戶通過發(fā)起了一個(gè) ARP 請求給 ZXR10 系列路由器，要求和某一個(gè)主機(jī)通信，ZXR10 系列路由器通過 IP 轉(zhuǎn)發(fā)表驗(yàn)證了這個(gè)主機(jī)的所在的電路并把這個(gè) ARP 請求只發(fā)送到這個(gè)電路上（而并非廣播） 。 DOS 攻擊的防范DOS 攻擊是目前一種較為普遍的攻擊手段，容易為網(wǎng)絡(luò)/主機(jī)造成較大的麻煩。這里我們簡單討論 DOS 攻擊的防止過程。 UAS ATM/ADSL 接 入 上 聯(lián) 網(wǎng) 絡(luò) /MAN/省 網(wǎng) 以 太 網(wǎng) 接 入 DOS/DDOS 攻 擊 DOS/DDOS攻 擊 DOS/DDOS 攻 擊 我們考慮會有 3 個(gè)攻擊發(fā)起的方向，一個(gè)是從寬帶接入網(wǎng)絡(luò)之外的地方 HACKER 發(fā).. . . ..學(xué)習(xí)好幫手起攻擊，攻擊 ZXR10 系列路由器或者 MAN 里面的其他設(shè)備/主機(jī)。一是從 ZXR10 系列路由器相聯(lián)的 xDSL 用戶中，有惡意用戶發(fā)起 DOS 攻擊，還有就是以太網(wǎng)接入中有用戶惡意發(fā)起攻擊。顯然 ZXR10 系列路由器針對 ADSL 用戶的各種源地址驗(yàn)證，安全 ARP 等功能可以防止用戶實(shí)現(xiàn)欺騙行為，并防止用戶發(fā)起 DOS 的攻擊。針對以太網(wǎng)絡(luò)的用戶，我們在網(wǎng)絡(luò)中利用 VLAN 實(shí)現(xiàn)用戶隔離。并且利用以太網(wǎng)交換機(jī) ES2903 的基于端口的 MAC 地址限制特性，防止用戶的地址欺騙或者大量不正常的SYN 包等。對于這兩種接入層的攻擊，在實(shí)現(xiàn)撥號和用戶大多數(shù)是 Windows 系統(tǒng)為主的情況下，用 DDOS 手段去攻擊路由器或者其他設(shè)備的可能不太大。針對外面網(wǎng)絡(luò)的攻擊，我們需要從上聯(lián)側(cè)的路由器/交換機(jī)協(xié)同工作，做出正確的配置（如避免轉(zhuǎn)發(fā)廣播到內(nèi)部網(wǎng)絡(luò)） ，利用交換機(jī)控制 SYN/ICMP 包數(shù)量，利用路由器的采樣和防止 NOC/地址欺騙功能。當(dāng)然為了更完整的防止 DOS 攻擊，我們還可以利用狀態(tài)防火墻功能，去做到更進(jìn)一步的檢驗(yàn)。7 統(tǒng)一網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理系統(tǒng)一運(yùn)營網(wǎng)絡(luò)中非常重要的一部分，通過一套功能完善的網(wǎng)管系統(tǒng)，可以有效地對整個(gè)網(wǎng)絡(luò)進(jìn)行配置、監(jiān)控、定位故障、部署安全策略等，達(dá)到使整個(gè)網(wǎng)絡(luò)成為一個(gè)可管理、可運(yùn)營的系統(tǒng)。本方案建議采用分布式網(wǎng)管模式，即在省管理中心建立一個(gè)集中的管理平臺，而在各地市也分別建立自己的網(wǎng)管系統(tǒng)，具體對本城域網(wǎng)進(jìn)行管理。這樣做的好處是很明顯的：減少網(wǎng)管信息對骨干網(wǎng)絡(luò)帶寬的占用；提高對故障的反應(yīng)和處理能力；提高效率等； 網(wǎng)管系統(tǒng)采用中興通訊的 ZXNM01 統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)。功能包括拓?fù)渑c視圖管理、故障管理、性能管理、配置管理、安全管理、策略管理、資源管理、日志管理、系統(tǒng)管理等。 絡(luò) 管 理 概 述一 般 情 況 下 ， 網(wǎng) 絡(luò) 管 理 被 認(rèn) 為 是 一 種 服 務(wù) ， 它 利 用 多 種 工 具 、 應(yīng) 用 及 設(shè) 備 幫 助 管 理員 對 網(wǎng) 絡(luò) 系 統(tǒng) 進(jìn) 行 監(jiān) 控 和 維 護(hù) ， 以 保 證 網(wǎng) 絡(luò) 系 統(tǒng) 處 于 良 好 的 運(yùn) 行 狀 態(tài) 。網(wǎng)絡(luò)管理的體系結(jié)構(gòu)。雖然存在很多不同的網(wǎng)絡(luò)管理系統(tǒng)，但它們的基礎(chǔ)體系結(jié)構(gòu)基本相同，如上圖所示，被管理的設(shè)備（可能是一臺計(jì)算機(jī)或其它網(wǎng)絡(luò)設(shè)備）收集到問題時(shí)，會向管理實(shí)體發(fā)送警告信息，受到這些警告信息后，管理實(shí)體會通過運(yùn)行一個(gè)或一組程序產(chǎn)生一些動作，如通知管理員、記錄事件日志、關(guān)閉系統(tǒng)或試圖自動修復(fù)該系統(tǒng)。管理實(shí)體一般情況下會輪詢（自動或用戶定義）各個(gè)端設(shè)備中一些變量的值以確定它們是否在允許的范圍之內(nèi)。被管理設(shè)備中運(yùn)行的 Agent 會響應(yīng)查詢，實(shí)現(xiàn)方式是 Agent 維護(hù)一個(gè)管理數(shù)據(jù)庫，并通過網(wǎng)絡(luò)發(fā)送給網(wǎng)絡(luò)管理系統(tǒng)中的管理實(shí)體。目前比較流行的網(wǎng)絡(luò)管理協(xié)議有.. . . ..學(xué)習(xí)好幫手SNMP、CMIP（Common Management Information Protocol） 。網(wǎng)絡(luò)管理的體系結(jié)構(gòu)ISO 的網(wǎng)絡(luò)管理模型定義了網(wǎng)絡(luò)管理系統(tǒng)的主要功能，它包括以下五個(gè)方面：性能管理（Performance management） 主要任務(wù)是評估網(wǎng)絡(luò)的性能以使它維持在一個(gè)可接受的水平。網(wǎng)絡(luò)性能變量主要包括網(wǎng)絡(luò)的吞吐量、用戶響應(yīng)時(shí)間等。網(wǎng)絡(luò)管理系統(tǒng)通過對這些變量的評估來確定網(wǎng)絡(luò)的性能是否在可接受的水平。性能管理還應(yīng)該提供一些別的與性能有關(guān)的功能，如可以仿真網(wǎng)絡(luò)規(guī)模的增大是如何影響網(wǎng)絡(luò)性能的等。配置管理（Configuration management） 配置管理的任務(wù)是監(jiān)控網(wǎng)絡(luò)和系統(tǒng)的配置信息，以便不同版本的軟件和硬件對網(wǎng)絡(luò)操作的影響可以被跟蹤和管理。任何一臺網(wǎng)絡(luò)設(shè)備都有一些和它相關(guān)的版本信息，如一臺工作站可能包括 OS 版本、網(wǎng)卡驅(qū)動版本、TCP/IP 版本、串口控制器版本等，配置管理子系統(tǒng)用一個(gè)數(shù)據(jù)庫存儲信息，以便發(fā)生問題是可以提供有用的線索。記帳管理（Accounting management） 記帳管理的任務(wù)是管理網(wǎng)絡(luò)利用情況的變量，使人或團(tuán)體對網(wǎng)絡(luò)的應(yīng)用可以被適當(dāng)?shù)乜刂?，以便更加合理、有效地分配網(wǎng)絡(luò)資源。故障管理（Fault management） 該子系統(tǒng)的責(zé)任是發(fā)現(xiàn)、記錄、隔離網(wǎng)絡(luò)故障，并通知用戶，在可能的情況下還會自動地修復(fù)故障以保證網(wǎng)絡(luò)系統(tǒng)的有效運(yùn)行。安全管理（Security management） 安全管理子系統(tǒng)的任務(wù)是根據(jù)本地策略控制對網(wǎng)絡(luò)資源的訪問，以防止網(wǎng)絡(luò)系統(tǒng)被有意或無意地破壞、敏感信息被沒有授權(quán)的用戶訪問。該系統(tǒng)通過將網(wǎng)絡(luò)資源劃分為經(jīng)授權(quán)和未經(jīng)授權(quán)的兩部分（對用戶而言）來控制用戶的訪問。 ZXR10系 列 產(chǎn) 品 的 網(wǎng) 管 特 性ZXR10 系列產(chǎn)品支持標(biāo)準(zhǔn)的 SNMP 網(wǎng)絡(luò)管理及遠(yuǎn)程登錄管理，并且具有非常靈活、簡單易用的命令行界面（CLI） 。另外，由于該產(chǎn)品基于標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理協(xié)議和標(biāo)準(zhǔn)，并且提供開放的 API，所以可以很容易和第三方的網(wǎng)管產(chǎn)品（如 HP 的 Openview 或 Cabletron 的Spectrum 等）進(jìn)行融合。該產(chǎn)品的網(wǎng)管特性可總結(jié)如下：線速全組 RMON/RMONII（基于每端口）SNMP 管理.. . . ..學(xué)習(xí)好幫手SSH 及 Telet 客戶端安全保證RADIUS TACACS+ RS232 (outofband management) 命令行界面 CLI廣泛的標(biāo)準(zhǔn) IETF MIB 支持… … ZXNM01網(wǎng) 管 系 統(tǒng) 體 系 結(jié) 構(gòu) 及 功 能 系統(tǒng)的網(wǎng)絡(luò)位置網(wǎng)管系統(tǒng)的網(wǎng)絡(luò)位置統(tǒng)一網(wǎng)管系統(tǒng)在整個(gè)數(shù)據(jù)網(wǎng)中所處的位置如圖所示。系統(tǒng)所管理的設(shè)備包括處于骨干層、匯接層、接入層的各種 IP 設(shè)備：ATM 交換機(jī)、路由器、接入服務(wù)器、以太網(wǎng)交換機(jī)、ADSL 設(shè)備等?；诠芾淼脑O(shè)備種類多樣性，系統(tǒng)統(tǒng)一采用 SNMP 管理協(xié)議與各種被管設(shè)備進(jìn)行管理信息的交互，同時(shí)輔以人機(jī)命令接口（F 接口）實(shí)現(xiàn)設(shè)備參數(shù)的指配功能。 系統(tǒng)的體系結(jié)構(gòu)ZXNM01 網(wǎng)管系統(tǒng)的功能結(jié)構(gòu)如圖所示?？?戶 端 intre客 戶 端 客 戶 端NMS服 務(wù) 器 NMS服 務(wù) 器 WEB服 務(wù) 器LAN高 速 路 由 器 /ATM交 換 機(jī)核 心 骨 干 網(wǎng)ZXR10T64 ZXR10T64ZXB10BX ZXB10BXZXB10S30 ZXB10AX/MX ZXIP10AS ZXR10T32 ZXIP10CMSZXB10S416LAN LAN LANZXB10S416IP話 機(jī)LAN骨干層匯聚層接入層管 理 平 面網(wǎng) 絡(luò) 平 面.. . . ..學(xué)習(xí)好幫手系統(tǒng)覆蓋 TMN 管理層次的 4 個(gè)層次：網(wǎng)元層、網(wǎng)元管理層、網(wǎng)絡(luò)管理層、業(yè)務(wù)管理層。其核心是處于網(wǎng)絡(luò)管理層的各功能模塊。 系統(tǒng)的功能統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)不但能對網(wǎng)絡(luò)的監(jiān)視與設(shè)備的操作維護(hù)，而且能在網(wǎng)絡(luò)層上向用戶提供多種的服務(wù)保證（Service Assurance）與服務(wù)提供（ Service Provision） 。 應(yīng)用功能? 支持網(wǎng)絡(luò)拓?fù)涞墓芾恚喊ňW(wǎng)絡(luò)的多層層次結(jié)構(gòu)、不同子網(wǎng)類型的多種地理視圖與連接視圖。網(wǎng)絡(luò)層次的導(dǎo)航采用樹型結(jié)構(gòu)，網(wǎng)絡(luò)層次由用戶通過圖形界面定義。后臺采用網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫支持。? 支持各網(wǎng)元節(jié)點(diǎn)的自動發(fā)現(xiàn)和機(jī)架圖顯示：采用高效算法自動發(fā)現(xiàn)網(wǎng)絡(luò)中的各網(wǎng)元節(jié)點(diǎn)，并在統(tǒng)一拓?fù)鋱D上對網(wǎng)元的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，網(wǎng)元狀態(tài)監(jiān)視精細(xì)到機(jī)架圖、單板、端口狀態(tài)的監(jiān)視，并支持基于機(jī)架圖/單板/ 端口的其他應(yīng)用功能的導(dǎo)航。? 支持基于網(wǎng)絡(luò)拓?fù)涞呐渲霉芾恚号渲脭?shù)據(jù)的自動采集與處理；配置數(shù)據(jù)在網(wǎng)絡(luò)拓?fù)鋱D上的直接查詢顯示；網(wǎng)絡(luò)資源的統(tǒng)計(jì)與分析；支持多種網(wǎng)絡(luò)配置信息的綜合表達(dá)圖示；不同的節(jié)點(diǎn)/子網(wǎng)過濾條件的定義。? 支持故障管理與事件相關(guān)性分析：包括：trap 包的采集與處理；故障的多種提示方式（圖形、聲音、BP 機(jī)、EMAIL 提示等） ；事件相關(guān)性的分析；過濾器的定義；告警級別數(shù)據(jù)通訊網(wǎng)接口適配（SNMP、TELNET）ATM 業(yè)務(wù)管理交換機(jī)端口指配接入服務(wù)器業(yè)務(wù)管理路由管理設(shè)備狀態(tài)監(jiān)視網(wǎng)絡(luò)拓?fù)涔芾硇阅芄芾砼渲霉芾砉收瞎芾戆踩芾碣Y源管理 排障專家系統(tǒng)策略管理遠(yuǎn)程操作維護(hù)日常管理系統(tǒng)管理標(biāo)準(zhǔn)接口與 API業(yè)務(wù)管理層網(wǎng)絡(luò)管理層網(wǎng)元管理層系統(tǒng)的功能結(jié)構(gòu)網(wǎng)元層.. . . ..學(xué)習(xí)好幫手升級；故障的統(tǒng)計(jì)與分析等。? 支持故障單的處理：處理方式采用工作流形式。? 支持故障管理專家系統(tǒng)：紀(jì)錄對不同告警情況的不同處理手段，提供維護(hù)人員查詢相應(yīng)故障的排障處理方式，共享排障經(jīng)驗(yàn)，為故障的處理提供咨詢與參考意見。? 支持性能管理：通過定制測率自動采集網(wǎng)絡(luò)設(shè)備的性能數(shù)據(jù)；網(wǎng)絡(luò)性能的統(tǒng)計(jì)分析；網(wǎng)絡(luò)性能狀態(tài)的監(jiān)視與性能告警的提示（各受控性能參數(shù)與門限值由用戶定義） ；網(wǎng)絡(luò)運(yùn)行性能趨勢的發(fā)現(xiàn)；支持多種圖形和報(bào)表形式。? 基于 MIB 庫的瀏覽與配置：可以 Upload 各廠商、各類設(shè)備的 MIB，并在統(tǒng)一的 MIB樹中顯示。可以基于 MIB 定義，采用圖形導(dǎo)航的方式在授權(quán)的條件下向網(wǎng)元設(shè)備瀏覽 MIB參數(shù)值或更改配置。? 支持任務(wù)的用戶定義與自動執(zhí)行：任務(wù)包括 2 類：根據(jù)網(wǎng)絡(luò)運(yùn)行狀態(tài)自動執(zhí)行指定的人機(jī)命令（如指定路由、用戶禁止等） ；有關(guān)系統(tǒng)管理與優(yōu)化（如備份策略、靜態(tài)表的定期刪除等）? 支持遠(yuǎn)程操作維護(hù)：遠(yuǎn)程操作維護(hù)采用人機(jī)命令形式（F 接口） ，支持 TELNET 方式。在統(tǒng)一的網(wǎng)絡(luò)拓?fù)鋱D下可同時(shí)向多個(gè)受控設(shè)備建鏈并下達(dá)人機(jī)