【正文】 TC/TCN攻擊防護(hù)能力 在啟用 STP情況下，當(dāng)網(wǎng)絡(luò)中某臺(tái)設(shè)備端口的 STP狀。地址沖突報(bào)文是通知對(duì)端主機(jī)或者設(shè)備，該地址已經(jīng)被占用；免費(fèi) ARP廣播報(bào)文，是通知本網(wǎng)段內(nèi)其他主機(jī)和網(wǎng)絡(luò)設(shè)備，糾正本網(wǎng)段內(nèi)其他主機(jī)或者網(wǎng)絡(luò)設(shè)備的 ARP表項(xiàng)，防止 ARP表項(xiàng)指向錯(cuò)誤的 MAC地址。當(dāng) SR8800收到 ARP報(bào)文時(shí)，會(huì)判斷該報(bào)文的源 IP地址和本網(wǎng)段接口 IP地址是否相同。 地址沖突檢測(cè)能力 所謂地址沖突，是指網(wǎng)絡(luò)設(shè)備下掛的主機(jī)或者對(duì)接的其他網(wǎng)絡(luò)設(shè)備設(shè)置的 IP地址和該網(wǎng)絡(luò)設(shè)備的接口 IP地址沖突，網(wǎng)絡(luò)設(shè)備如果無法檢測(cè)到地址沖突，該網(wǎng)絡(luò)設(shè)備下掛的其他主機(jī)的網(wǎng)關(guān) ARP地址有可能會(huì)被更新，導(dǎo)致下掛主機(jī)無法正常上網(wǎng) 。當(dāng)檢測(cè)到單位時(shí)間內(nèi) CPU收包出現(xiàn)丟包且某些固定源 MAC地址的主機(jī)超出一定限度，認(rèn)為該主機(jī)在進(jìn)行 ARP攻擊。當(dāng)攻擊者采用某個(gè)或者某幾個(gè)固定的攻擊源，向設(shè)備發(fā)送大量的 ARP報(bào)文進(jìn)行攻擊時(shí)， SR8800能夠檢測(cè)并且防范這種 ARP協(xié)議報(bào)文的攻擊。 ARP協(xié)議攻擊防護(hù) 能力 ARP協(xié)議沒有任何驗(yàn)證方式，而 ARP在數(shù)據(jù)轉(zhuǎn)發(fā)中又是至關(guān)重要的，攻擊者常偽造 ARP報(bào)文進(jìn)行攻擊。在 URPF功能啟動(dòng)后，通過獲取報(bào)文的源地址和入接口，交換機(jī)以源地址為目的地址在轉(zhuǎn)發(fā)表中查找路由，如果查到的路由出接口和接收該報(bào)文的入接口不匹配，交換機(jī)認(rèn)為該報(bào)文的源地址是偽裝的，丟棄該報(bào)文。 URPF（單播反向路徑查找）檢查能力 所謂 URPF，即單播反向路徑查找，主要用于 防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為 。管理者可以在端口、 VLAN或 者全局模式下設(shè)置相應(yīng)的 ACL規(guī)則， 以滿足不同的需要。 SR8800提供強(qiáng)大而豐富 的 ACL功能 ，能夠 對(duì)報(bào)文 的 數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層各字段 進(jìn)行 識(shí)別 、限流和 過濾。用戶可以通過配置靜態(tài)MAC地址表項(xiàng)，保證二層數(shù)據(jù)報(bào)文正確的轉(zhuǎn)發(fā)；用戶還可以通過配置靜態(tài) ARP表項(xiàng)，綁定MAC地址和 IP地址，確保 IP地址不會(huì)被偽用戶盜用。在設(shè)置端口 MAC地址最大學(xué)習(xí)數(shù)目時(shí)，還可以選擇超過部分是否轉(zhuǎn)發(fā)，防止未知單播報(bào)文 VLAN內(nèi)廣播，對(duì)其他設(shè)備造成沖擊。 SR8800提供設(shè)置單個(gè)端口或者單個(gè) VLAN允許學(xué)習(xí)的最大 MAC地址數(shù)目的功能。由于 MAC地址表容量是有限的，當(dāng) MAC地址表項(xiàng)達(dá)到最大容量后，正常報(bào)文的 MAC地址學(xué)習(xí)將無法完成。同時(shí)，還可以通過 ACL規(guī)則設(shè)置特定端口廣播、組播和未知單 播報(bào)文允許通過的速率。 SR8800具有強(qiáng)大的廣播和組播報(bào)文過濾功能。 廣播 /組播報(bào)文速率限制 網(wǎng)絡(luò)中存在大量的廣播或者組播報(bào)文，會(huì)占用寶貴的網(wǎng)絡(luò)帶寬，從而嚴(yán)重影響網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)性能。 SR8800能夠抵御 IP Spoofing、 Land、 Smurf等常見 DoS攻擊，確保某種協(xié)議遭受攻擊時(shí)不會(huì)影響到其他協(xié)議的正常運(yùn)行和業(yè)務(wù)的正常轉(zhuǎn)發(fā)。因 為主要是針對(duì)服務(wù)器的，目的是使服務(wù)器拒絕合法用戶的請(qǐng)求，所以叫拒絕服務(wù)攻擊。 SR8800還提供了相應(yīng)的配置命令，用于控制地址掃描攻擊防護(hù)功能是否啟用。否則，經(jīng)過一段時(shí)間后丟棄表項(xiàng)自動(dòng)老化。 當(dāng) SR8800交換機(jī)收到目的 IP是直連網(wǎng)段的報(bào)文時(shí)，如果該目的地址的路由不存在，會(huì)發(fā)送一個(gè) ARP請(qǐng)求報(bào)文，并針對(duì)目的地址下一條丟棄 表項(xiàng)，以防止后續(xù)報(bào)文持續(xù)沖擊 CPU。如果直連網(wǎng)段較大，攻擊流量足夠大時(shí)，會(huì)消耗網(wǎng)絡(luò)設(shè)備較多的 CPU和內(nèi)存資源，可能引起網(wǎng)絡(luò)中斷。 . 骨干網(wǎng)關(guān)鍵設(shè)備 SR8800 強(qiáng)大的 安全特性 地址掃描攻擊防護(hù)能力 地址掃描攻擊是攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的目的地址不斷變化的 IP報(bào)文。 其次，采取高安全性的網(wǎng)絡(luò)設(shè)備， 網(wǎng)絡(luò)與安全的融合是未來網(wǎng)絡(luò)發(fā)展的必然趨勢(shì)，隨著網(wǎng)絡(luò)設(shè)備特性的不斷更新， H3C系列網(wǎng)絡(luò)設(shè)備自身具備的安全能力也在不斷加強(qiáng)。網(wǎng)絡(luò)設(shè)備多節(jié)點(diǎn)冗余主要是指在網(wǎng)絡(luò)中同一個(gè)設(shè)備節(jié)點(diǎn)部 署雙機(jī)設(shè)備，通過雙機(jī)進(jìn)行實(shí)現(xiàn)相互備份和負(fù)載均衡，在網(wǎng)絡(luò)改造建議方案中，我們?cè)陉P(guān)鍵的節(jié)點(diǎn)都進(jìn)行了雙機(jī)配置。 . 網(wǎng)絡(luò)層安全解決方案 . 全面網(wǎng)絡(luò)基礎(chǔ)設(shè)施可靠性保證措施 首先，可取采取的措施為多種冗余備份能力，包括網(wǎng)絡(luò)線路的多層次冗余、網(wǎng)絡(luò)設(shè)備的多節(jié)點(diǎn)冗余、網(wǎng)絡(luò)設(shè)備自身組件的冗余，通過這些冗余能力，實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)全面的可靠性保證。 ? 可行性、可靠性原則 在采用全面的網(wǎng)絡(luò)安全措施之后，應(yīng)該不會(huì)對(duì)原有的網(wǎng)絡(luò)，以及運(yùn)行在此網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)有大的影響，實(shí)現(xiàn)在保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運(yùn)轉(zhuǎn)的前提下，有效的提高網(wǎng)絡(luò)及應(yīng)用的安全強(qiáng)度，保證整個(gè)信息資產(chǎn)的安全。 . 統(tǒng)一安全設(shè)計(jì)原則 在規(guī)劃 XXX教育城域網(wǎng) 網(wǎng)絡(luò)安全系統(tǒng)時(shí)，我們將遵循以下原則，以這些原則為基礎(chǔ)，提供完善的體系化的整體網(wǎng)絡(luò)安全解決方案： ? 體系化設(shè)計(jì)原則 通過分析信息網(wǎng)絡(luò)的網(wǎng)絡(luò)層次關(guān)系、安全需求要素以及動(dòng)態(tài)的實(shí)施過程，提出科學(xué)的安全體系和安全模型，并根據(jù)安全體系和安全模型分析網(wǎng)絡(luò)中可能存在的各種安全風(fēng)險(xiǎn)，針對(duì)這些風(fēng)險(xiǎn)以動(dòng)態(tài)實(shí)施過程為基礎(chǔ)，提出整體網(wǎng)絡(luò)安全解決方案，從而最大限度地解決可能存在的安全問題。這些威脅直接攻擊企業(yè)核心服務(wù)器和應(yīng)用，給企業(yè)帶來了重大損失；攻擊終端用戶計(jì)算機(jī)，給用戶帶來信息風(fēng)險(xiǎn)甚至財(cái)產(chǎn)損失；對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行 DoS/DDoS攻擊，造成基礎(chǔ)設(shè)施的癱瘓；更有甚者，像電驢、 BT等 P2P應(yīng)用和 MSN、等即時(shí)通信軟件的普及，企業(yè)寶貴帶寬資源被業(yè)務(wù)無關(guān)流量浪費(fèi)，形成巨大的資源損失。今天的網(wǎng)絡(luò)安全現(xiàn)狀和 2020年以前相比，已經(jīng)發(fā)生了很大的改變，我們已經(jīng)進(jìn)入了一個(gè)“應(yīng)用層威脅”泛濫的時(shí)代。的確，防火墻就像一個(gè)防盜門，給了我們基本的安全防護(hù)。 4) 網(wǎng)絡(luò)攻擊行為檢測(cè)和防范的風(fēng)險(xiǎn)： ? 由于 TCP/IP 協(xié)議的開放特性，帶來了非常大的安全風(fēng)險(xiǎn)，常見的 IP 地址竊取、 IP 地址假冒，網(wǎng)絡(luò)端口掃描以及危害非常大的拒絕服務(wù)攻擊（ DOS、DDOS）等，必須能夠提供對(duì)這些攻擊行為有效的檢測(cè)和防范能力的措施； ? 由于操作系統(tǒng)平臺(tái)、網(wǎng)絡(luò)應(yīng)用平臺(tái)以及應(yīng)用系統(tǒng)本身存在的很多安全漏洞，必須能夠有效的檢測(cè)到基于這些漏洞的病毒、木馬、蠕蟲和其他各種應(yīng)用層攻擊，同時(shí)能夠組合已有的網(wǎng)絡(luò)設(shè)備和安全設(shè)備，針對(duì)這些攻擊行為，提供有效的防范能力； 5) 網(wǎng)絡(luò)數(shù)據(jù)傳輸中存在的安全風(fēng)險(xiǎn)： 網(wǎng)絡(luò)數(shù)據(jù)在傳輸?shù)倪^程中，很可能被通過各種方式竊取，因此在提供我們上面描述的網(wǎng)絡(luò)數(shù)據(jù)傳輸能力的前提下，必須能夠保證數(shù)據(jù)在傳輸?shù)倪^ 程中機(jī)密性（保證數(shù)據(jù)傳遞的信息不被第三方獲得）和完整性（保證數(shù)據(jù)在傳遞過程中不被人修改），尤其是在網(wǎng)絡(luò)傳遞的信息價(jià)值不斷提高情況下。如果某設(shè)備失效， RPR 節(jié) 點(diǎn) 可 以 進(jìn) 入pass_through狀態(tài)，仍然可以保證整個(gè)環(huán)路的連接 每臺(tái)設(shè)備只和相鄰設(shè)備連接，可靠性差不； 不具備即插即用的能力 二層多播能力 二層支持多播，多播的處理在二層芯片完成，不占用接口和交換芯片處理能力 需要占用接口和交換芯片處理能力 業(yè)務(wù)能力 很好地適應(yīng)數(shù)據(jù)業(yè)務(wù)、語音業(yè)務(wù)、視頻業(yè)務(wù) 主要適應(yīng)數(shù)據(jù)業(yè)務(wù) 6. 城域網(wǎng) 綜合安全 建設(shè)方案 . 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析 一般說來，計(jì)算機(jī)網(wǎng)絡(luò)存在著以下的安全風(fēng)險(xiǎn) 及需要采取的安全對(duì)策： 風(fēng)險(xiǎn) 安全對(duì)策 用戶身份假冒 身份認(rèn)證 身份竊取 身份認(rèn)證 風(fēng)險(xiǎn) 安全對(duì)策 風(fēng)險(xiǎn) 非授權(quán)訪問 訪問授權(quán)管理 重放攻擊 鑒別、記錄、預(yù)警 否認(rèn) 審計(jì)、記錄 深度入侵 預(yù)警、阻斷 數(shù)據(jù)風(fēng)險(xiǎn) 竊取 實(shí)體安全、加密 篡改 完整性檢驗(yàn) 毀壞 災(zāi)難恢復(fù) 有害數(shù)據(jù)侵入 (包括病毒等 )所造成的破壞 檢測(cè)、過濾、分析、捕獲 應(yīng)用和服務(wù)風(fēng)險(xiǎn) 非授權(quán)訪問 訪問授權(quán) 身份假冒 身份認(rèn)證 密鑰管理漏洞 CA、 KDC、 PKI 數(shù)據(jù)庫自身的漏洞 檢測(cè)、打補(bǔ)丁、升級(jí) 操作系統(tǒng)自身 的漏洞 漏洞檢測(cè)、打補(bǔ)丁、升級(jí) 服務(wù)的脆弱性及漏洞 檢測(cè)、打補(bǔ)丁、更新 應(yīng)用系統(tǒng)自身的缺陷 更新完善 服務(wù)器風(fēng)險(xiǎn) 入侵探測(cè) 實(shí)時(shí)監(jiān)測(cè)、預(yù)警、回火 非授權(quán)訪問 訪問控制 策略漏洞 策略管理、檢查 系統(tǒng)配置缺陷 系統(tǒng)版本 檢測(cè)、更新 系統(tǒng)平臺(tái) 評(píng)測(cè)、選擇 實(shí)體安全缺陷 防輻射、防橇、防雷擊 服務(wù)器所存在的陷門和隱通道 尚無相應(yīng)的解決技術(shù)及產(chǎn)品 網(wǎng)絡(luò)風(fēng)險(xiǎn) 入侵探測(cè) 檢測(cè)、預(yù)警、回火 設(shè)備攻擊 實(shí)時(shí)監(jiān)測(cè)、管理、維護(hù) 通道保密強(qiáng)度 采用高強(qiáng)度加密產(chǎn)品 網(wǎng)絡(luò)設(shè)備配置缺陷 定期檢測(cè)、加強(qiáng)配置管理、日志、審計(jì) 風(fēng)險(xiǎn) 安全對(duì)策 網(wǎng)絡(luò)設(shè)備物理安全缺陷 更新 網(wǎng)絡(luò)設(shè)備存在的陷門和隱通道 尚無相應(yīng)的解決技術(shù)及產(chǎn)品 網(wǎng)絡(luò)設(shè)備實(shí)體的安全 防盜、防輻射、防雷擊 Xxx教育城域網(wǎng)在現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)及應(yīng)用模式下，可能存在的主要安全風(fēng)險(xiǎn)： 1) 網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)自身安全風(fēng)險(xiǎn)： ? 網(wǎng)絡(luò)設(shè)備安全有效配置、管理和維護(hù)的風(fēng)險(xiǎn)：網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)暮诵模钦麄€(gè)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，各種網(wǎng)絡(luò)設(shè)備本身的安全與可靠性以及這些設(shè)備上應(yīng)用策略的安全都需要進(jìn)行合理的配置才能夠保證； ? 網(wǎng)絡(luò)設(shè)備提供安全特性合理有效的 利用風(fēng)險(xiǎn)：網(wǎng)絡(luò)設(shè)備由于處于網(wǎng)絡(luò)系統(tǒng)中基礎(chǔ)設(shè)施的特性，網(wǎng)絡(luò)設(shè)備選擇是必須考慮能夠提供足夠的網(wǎng)絡(luò)安全防范特性，以實(shí)現(xiàn)在網(wǎng)絡(luò)基礎(chǔ)設(shè)施層就能提供一定的安全特性； 2) 網(wǎng)絡(luò)結(jié)構(gòu)及線路冗余的風(fēng)險(xiǎn)： ? 隨著網(wǎng)絡(luò)節(jié)點(diǎn)間的連接密度的增加，整個(gè)網(wǎng)絡(luò)提供的線路冗余能力也會(huì)增加，提供的網(wǎng)絡(luò)數(shù)據(jù)的流動(dòng)模式會(huì)更靈活，整個(gè)網(wǎng)絡(luò)可靠性和可用性也會(huì)大大的增加； 3) 網(wǎng)絡(luò)層有效的訪問控制的風(fēng)險(xiǎn)： ? 網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜，接入網(wǎng)絡(luò)的用戶也越來越多，必須能夠在不同的網(wǎng)絡(luò)區(qū)域之間采取一定的控制措施，有效控制不同的網(wǎng)絡(luò)區(qū)域之間的網(wǎng)絡(luò)通信，以此來控制網(wǎng)絡(luò)元素間的互訪 能力，避免網(wǎng)絡(luò)濫用，同時(shí)實(shí)現(xiàn)安全風(fēng)險(xiǎn)的有效的隔離，把安全風(fēng)險(xiǎn)隔離在相對(duì)比較獨(dú)立以及比較小的網(wǎng)絡(luò)區(qū)域。 . 組網(wǎng)方案對(duì)比分析 RPR環(huán) 千兆環(huán) /萬兆環(huán) 數(shù)據(jù)轉(zhuǎn)發(fā) 非本節(jié)點(diǎn)接受數(shù)據(jù)直接由硬件二層快速轉(zhuǎn)發(fā) 本節(jié)點(diǎn)和非本節(jié)點(diǎn)接受數(shù)據(jù)均做三層轉(zhuǎn)發(fā) 保護(hù)倒換 基于 IPS技術(shù)， 50ms保護(hù)倒換 路由收斂，重新選擇最佳路由，保護(hù)倒換時(shí)間幾十秒級(jí)別 帶寬 5G 1GE/10GE 二層 Qos能力 除鏈路間的 Qos保證外，具有二層的雙隊(duì)列的保證，保證實(shí)施業(yè)務(wù)的抖動(dòng)和時(shí)延 只有鏈路間的 Qos能力 公平算法 環(huán)上各個(gè)節(jié)點(diǎn)流量通過公平算法共享所有鏈路 沒有公平算法，可能出現(xiàn)某些鏈路被獨(dú)占的情況 全連接、 擴(kuò)展能力 即插即用，拓?fù)渥詣?dòng)發(fā)現(xiàn)，具備良好的擴(kuò)展能力 ； 環(huán)上所有節(jié)點(diǎn)全連接 ， 增加節(jié)點(diǎn)后，新增節(jié)點(diǎn)和其他所有節(jié)點(diǎn)全連接。 RPR 網(wǎng)絡(luò)可通過裸光纖直接相連，簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)，節(jié)省用戶對(duì)傳輸網(wǎng)絡(luò)的投資；網(wǎng)絡(luò)具有高的可靠性，可提供 50ms 電信級(jí)的快速保護(hù)倒換；同時(shí) RPR 環(huán)網(wǎng)可提供高的速率，以及很高的帶寬利用率，滿足城域網(wǎng)骨干的需要。 . RPR 技術(shù) 在教育城域網(wǎng)中的應(yīng)用 RPR 技術(shù)是眾多環(huán)網(wǎng)技術(shù)中的一種，而且是比較優(yōu)秀的一種，在具備充分保護(hù)倒換功能的情況下，不需要冗余帶寬備份，提供高可靠性、高帶寬、高利用率。通過連續(xù)性檢測(cè)和遠(yuǎn)端錯(cuò)誤指示可以進(jìn)行環(huán)網(wǎng)上錯(cuò)誤節(jié)點(diǎn)的探測(cè)，通過環(huán)回檢測(cè)，可以進(jìn)行環(huán)網(wǎng)錯(cuò)誤節(jié)點(diǎn)的定位和測(cè)試。 8） OAM 管理的支持 RPR 環(huán)網(wǎng)提供 OAM 管理特性，主要用于錯(cuò)誤管理、性能管理和配置管理。 7） TDM 業(yè)務(wù)的支持 RPR 提供多業(yè)務(wù)的支持，可提供較強(qiáng)的數(shù)據(jù)業(yè)務(wù)處理能力，而對(duì) TDM 業(yè)務(wù)的處理能 力相對(duì)較弱，可以在語音業(yè)務(wù)不大時(shí)得以應(yīng)用。在傳統(tǒng)的傳輸中，如果增加一個(gè)新節(jié)點(diǎn)，需要對(duì)該節(jié)點(diǎn)以及與其有業(yè)務(wù)關(guān)系的節(jié)點(diǎn)進(jìn)行復(fù)雜的配置，存在 N平方的問題，也使得增加新業(yè)務(wù)不靈活，開通時(shí)間慢。網(wǎng)絡(luò)拓?fù)湫畔⒖捎糜诎l(fā)送路由和內(nèi)外環(huán)的選擇，自動(dòng)拓?fù)浒l(fā)現(xiàn)除定時(shí)進(jìn)行外，當(dāng)檢測(cè)到 光纖故障、插入新節(jié)點(diǎn)、接收到保護(hù)倒換信息時(shí)也會(huì)進(jìn)行，另外，為了網(wǎng)絡(luò)的可靠性和穩(wěn)定性，只有接收到兩個(gè)完全一致的新的拓?fù)浔頃r(shí)，才進(jìn)行拓?fù)涞母?，以防止短暫的拓?fù)渥兓挠绊憽? 由于 RPR環(huán)網(wǎng)的報(bào)文結(jié)構(gòu)與以太網(wǎng)很相似，僅增加環(huán)網(wǎng)頭和部分其他的字段，利用現(xiàn)有的 MAC地址編碼技術(shù)就可以有效地表示組播和廣播報(bào)文，同時(shí)也使得相關(guān)的協(xié)議不需要大的改動(dòng)，具有很好的延續(xù)性。 5）組播的有效支持 RPR支持組播是其優(yōu)于 SONET/SDH的又一大優(yōu)點(diǎn)，環(huán)網(wǎng)提供對(duì)組播和廣播報(bào)文的支持，相應(yīng)的數(shù)據(jù)包在環(huán)網(wǎng)上只有一份拷貝。服務(wù)商可根據(jù)用戶付費(fèi)的情況，確定時(shí)提供保證速率業(yè)務(wù)還是突發(fā)業(yè)務(wù)，對(duì)于保證速率的業(yè)務(wù)，也可以根據(jù)付費(fèi)的多少，提供不同的帶寬。 在 RPR 網(wǎng)絡(luò)中，具有很好的 QOS 保證，這是通過帶寬預(yù)留、優(yōu)先級(jí)隊(duì)列機(jī)制和公平算法等來 實(shí)現(xiàn)的。 公平算法是全局的，在公平算法中，節(jié)點(diǎn)首先要確定擁塞門限，并根據(jù)擁塞的情況，確定向上反饋的公告速率以及確定本節(jié)點(diǎn)允許向環(huán)上發(fā)送的速率。如圖所示： 公平算法 RPRfa 是通過在環(huán)網(wǎng)節(jié)點(diǎn)設(shè)置權(quán)重，并監(jiān)測(cè)自身帶寬資源的使用情況，同時(shí)在節(jié)點(diǎn)間提供