【正文】 covery）：該模式主 要針對那些即對關(guān)鍵數(shù)據(jù)有災(zāi)備要求，且對業(yè)務(wù)連續(xù)性有一定要求的中小型客戶。 XXX學(xué)院 網(wǎng)絡(luò)是一個(gè)可運(yùn)營的網(wǎng)絡(luò)，除了提供網(wǎng)絡(luò)運(yùn)營服務(wù)以外，今后建立備份中心或?yàn)?zāi)備中心后，還可以利用統(tǒng)一建立的災(zāi)備網(wǎng)絡(luò)和存儲(chǔ)資源，為各院系或其他單位提供共享容災(zāi)運(yùn)營服務(wù)，從而為沒有能力建設(shè)災(zāi)備中心而又需要保護(hù)某些關(guān)鍵 數(shù)據(jù)和業(yè)務(wù)的用戶提供災(zāi)備服務(wù)，并針對不同的用戶提供不同的服務(wù)級(jí)別。 在骨干層 （市級(jí)） ， 考慮到教育骨干網(wǎng)的高穩(wěn)定性、高安全的特性，建議采用 H3C RPR的組網(wǎng)方案，網(wǎng)絡(luò)的核心層由 3~4 個(gè)骨干節(jié)點(diǎn)構(gòu)成環(huán)網(wǎng)，選用 H3C 公司 SR8800 系列骨干路由器， 4 個(gè)骨干節(jié)點(diǎn)之間相連構(gòu)成環(huán)網(wǎng)，從而進(jìn)一步確保網(wǎng)絡(luò)的可靠性以及安全性， SR8800路由器具有強(qiáng)大的性能以及穩(wěn)定 性完全可以勝任骨干節(jié)點(diǎn)的勝任。 在校園網(wǎng)， 教育城域網(wǎng)的建設(shè)是由多個(gè)校園網(wǎng)單個(gè)獨(dú)體構(gòu)成，校園網(wǎng)作為各個(gè) 接入點(diǎn)，采用就近的方式接入?yún)R聚交換機(jī)，再由匯聚交換機(jī)統(tǒng)一匯總至骨干節(jié)點(diǎn)，針對各個(gè)接入點(diǎn)的數(shù)量不同以及數(shù)據(jù)量不一致等情況，可以靈活選擇不同數(shù)量的接入點(diǎn)匯聚至核心。 能否在原有 SONET/SDH 的基礎(chǔ)上加入對數(shù)據(jù)業(yè)務(wù)層的處理，如具有高帶寬分發(fā)能力和粒度擴(kuò)展能力，以及廣泛應(yīng)用于局域網(wǎng)的以太網(wǎng)的二層處理、 ATM 的統(tǒng)計(jì)復(fù)用和 QOS等功能，使其更適合數(shù)據(jù)業(yè)務(wù)的傳送，取長補(bǔ)短，以一種新型技術(shù)，來組建以數(shù)據(jù)為中心的網(wǎng)絡(luò)，為各行業(yè)提供高彈性、高可靠性、帶寬可管理、高性價(jià)比、多業(yè)務(wù)傳輸?shù)慕鉀Q方案？于是出現(xiàn)了一種新的標(biāo)準(zhǔn)化技術(shù)，即 IP 環(huán)網(wǎng) RPR 技術(shù)。如 Cisco的 DPT、 Nortel的 IPT、以及 Luminous的 RPT等等，但是由于實(shí)現(xiàn)的機(jī)制不同，產(chǎn)品互通等方面存在問題。 RPR的標(biāo)準(zhǔn)由 ，主要完成 MAC層協(xié)議、傳輸通道和公平管理、拓?fù)浒l(fā)現(xiàn)、保護(hù)倒換、不同物理層的適配、以及與 802系列標(biāo)準(zhǔn)的適應(yīng)性、管理等標(biāo)準(zhǔn)的制定工作。同時(shí) IETF也有一個(gè)工作組叫做 IP over RPR （ IPoRPR），對基于 RPR組網(wǎng)的業(yè)務(wù) 應(yīng)用提出標(biāo)準(zhǔn)化建議，負(fù)責(zé) IP和 MPLS在 RPR上的運(yùn)行，以及 RPR的 MIB信息方面的工作，涉及到網(wǎng)絡(luò)層和傳輸層。 RPR 主要技術(shù)特點(diǎn) RPR（ Resilient Packet Ring）－－彈性分組數(shù)據(jù)環(huán)技術(shù)集 IP 的智能化、以太網(wǎng)的經(jīng)濟(jì)性和 SONET/SDH 光纖環(huán)網(wǎng)的高可靠性于一體，為寬帶 IP 城域網(wǎng)運(yùn)營商和各行業(yè)專網(wǎng)提供了一個(gè)良好的組網(wǎng)方案，在提供 SONET/SDH 級(jí)網(wǎng)絡(luò)生存性的同時(shí)降低了傳送費(fèi)用。 RPR 的設(shè)計(jì)宗旨就是網(wǎng)絡(luò)要適合 IP 數(shù)據(jù)業(yè)務(wù)，具有高可靠性，并且可運(yùn)營可管理，從而可為城域網(wǎng)提供低成本、高性能的解決方案。 特點(diǎn) E t her S ONET/S DH RPR網(wǎng)絡(luò)形式 總線 / 點(diǎn)點(diǎn)互聯(lián) 雙環(huán)網(wǎng) 雙環(huán)網(wǎng)5 0 m s 快速保護(hù) 無 支持 支持IP 業(yè)務(wù)的支持 好 不太好 好控制延遲和抖動(dòng) 差 好 好多播支持 支持 不支持 支持帶寬利用率 較高 低 高帶寬公平性 差 差 好QOS 支持 差 較差 好可管理性 差 較好，復(fù)雜 好拓?fù)渥詣?dòng)發(fā)現(xiàn) 不支持 不支持 支持業(yè)務(wù)擴(kuò)容 簡單 復(fù)雜 簡單組網(wǎng)經(jīng)濟(jì)性 經(jīng)濟(jì) 昂貴 經(jīng)濟(jì)復(fù)用方式 統(tǒng)計(jì)復(fù)用 時(shí)分復(fù)用 統(tǒng)計(jì)復(fù)用支持速率 1 0 /1 0 0 M 1 /1 0 G 1 5 5 M ~ 1 0 G 1 5 5 M ~ 1 0 G 在 RPR 定義的 MAC 層的結(jié)構(gòu)中， MAC 層向下通過適配子層同物理層相連，向上提供對業(yè)務(wù)層的支持。其中 MAC 層主要處理數(shù)據(jù)的傳輸處理、報(bào)文頭處理以及報(bào)文錯(cuò)誤校驗(yàn)。另外還有 MAC 管理層，主要處理 MAC 層的 MIB 信息，完成 MAC 的操作和性能管理等等。 RPR 采用類似以太網(wǎng)的幀格式，基于 MAC 進(jìn)行高速交換，簡化 IP 前傳。 RPR 內(nèi)外環(huán)上可同時(shí)傳輸數(shù)據(jù)包和控制信息，以及基于目的地剝離的特性可有效地提高帶寬資源的利用率，保護(hù)機(jī)制繼承了 SONET/SDH 的特點(diǎn)，同時(shí)也克服了冗余資源預(yù)留的 弱點(diǎn)。 RPR 簡化了 IP 網(wǎng)絡(luò)結(jié)構(gòu)和層次，提高了效率，也使得 IP 統(tǒng)一網(wǎng)絡(luò)業(yè)務(wù)平臺(tái)成為可能。 2）帶寬的高利用率 帶寬利用率高是 RPR 的重要特點(diǎn)，主要由以下幾個(gè)方面： ? 雙環(huán)同時(shí)傳送數(shù)據(jù)和控制信息，與 SONET/SDH 上不一樣，不存在光纖空閑備份的情況，光纖利用率高。 ? 單播報(bào)文采用目的剝離的方式，報(bào)文一旦到達(dá)目的地，就不再在環(huán)上繼續(xù)傳送，提高了環(huán)網(wǎng)的利用率。 3）快速的保護(hù)倒換 RPR 的設(shè)計(jì)目標(biāo)是提供 50ms 的電信級(jí)的保護(hù)， RPR 提供兩種不同的倒換方式，即源路由（ Steering）和回繞（ Wrapping）方式，其中源路由方式必須支持，回繞方式可選支持?；乩@方式的特點(diǎn)是倒換速度快，基本沒有數(shù)據(jù)丟失，但是缺點(diǎn)就是浪費(fèi)環(huán)網(wǎng)的帶寬，使得數(shù)據(jù)流走很多彎路。源路由方式的特點(diǎn)是帶寬利用率高，但是倒換的速度慢，在計(jì)算路由時(shí)會(huì)造成數(shù)據(jù)的丟失。 需要說明的是，所有的保護(hù)倒換都是基于雙向出錯(cuò)的，包括單光纖故障、雙光纖故障、節(jié)點(diǎn)故障、斷開節(jié)點(diǎn)以增加新節(jié)點(diǎn)等，對于環(huán)網(wǎng)來說，都會(huì)認(rèn)為環(huán)網(wǎng)出錯(cuò)并在出錯(cuò)處的節(jié)點(diǎn)進(jìn)行倒換。 4）帶寬管理的公平性 帶寬公平管理是 RPR環(huán)網(wǎng)的一個(gè)特點(diǎn)，由于 RPR環(huán)網(wǎng)的帶寬資源在節(jié)點(diǎn)之間是共享的，不 允許單個(gè)節(jié)點(diǎn)獨(dú)占總的帶寬，以免造成系統(tǒng)的阻塞，因此它提供一種環(huán)網(wǎng)級(jí)別的全局公平算法，以保證各節(jié)點(diǎn)公平享用帶寬，同時(shí)又能夠最大限度提高帶寬的利用率。當(dāng)一個(gè)節(jié)點(diǎn)有擁塞發(fā)生，它將通過與傳送數(shù)據(jù)相反方向的節(jié)點(diǎn)發(fā)送擁塞公告，告知一個(gè)公告速率，上游節(jié)點(diǎn)利用這個(gè)公告速率來調(diào)整自己允許上環(huán)的速率，以使得不超過擁塞 節(jié)點(diǎn)公告速率，如果該節(jié)點(diǎn)也發(fā)生了擁塞，就同樣計(jì)算其公告速率發(fā)送到其上游節(jié)點(diǎn)。在 RPR 環(huán)網(wǎng)的結(jié)構(gòu)中，數(shù) 據(jù)分為發(fā)送數(shù)據(jù)和轉(zhuǎn)發(fā)數(shù)據(jù)，大量的轉(zhuǎn)發(fā)數(shù)據(jù)不需要經(jīng)過節(jié)點(diǎn)的處理，直接在環(huán)上傳遞，節(jié)點(diǎn)的發(fā)送數(shù)據(jù)根據(jù)提供的不同的隊(duì)列和優(yōu)先級(jí)加入到環(huán)網(wǎng)上，通過帶寬管理和反饋機(jī)制來保證網(wǎng)絡(luò)無阻塞以及帶寬的公平使用。 正是由于 RPR 有帶寬預(yù)留和公平機(jī)制， RPR 可為用戶提供多種 SLA 服務(wù)，為服務(wù)商提供靈活的業(yè)務(wù)。這些都可以由服務(wù)商方便地控制和管理，真正實(shí)現(xiàn)可運(yùn)營可管理。組播和廣播是基于源剝離的，即目的節(jié)點(diǎn)將接收數(shù)據(jù)包并轉(zhuǎn)發(fā)，而源節(jié)點(diǎn)則負(fù)責(zé)將組播包和 廣播包從環(huán)網(wǎng)上剝離。 6）自動(dòng)拓?fù)浒l(fā)現(xiàn)支持即插即用 在環(huán)網(wǎng) RPR的 MAC控制中，提供自動(dòng)拓?fù)浒l(fā)現(xiàn)的功能，拓?fù)浒l(fā)現(xiàn)是通過拓?fù)浣Y(jié)構(gòu)發(fā)現(xiàn)報(bào)文在環(huán)上傳送一周來完成，每經(jīng)過一個(gè)節(jié)點(diǎn)該節(jié)點(diǎn)會(huì)附加本節(jié)點(diǎn)的 MAC地址，最終每個(gè)節(jié)點(diǎn)就獲得了整個(gè)環(huán)網(wǎng)的拓?fù)浣Y(jié)構(gòu)信息。 自動(dòng)拓?fù)浒l(fā)現(xiàn)的一個(gè)主要的特點(diǎn)就是 RPR 環(huán)網(wǎng)能夠?qū)崿F(xiàn)即插即用。而在 RPR 網(wǎng)絡(luò)中，由于有自動(dòng)拓?fù)浒l(fā)現(xiàn)功能，增加新節(jié)點(diǎn)無需復(fù)雜的配置，大部分工作由系統(tǒng)自動(dòng)完成，這樣，使得網(wǎng)絡(luò)初期規(guī)劃簡單，增加新業(yè)務(wù)簡單快捷 。由于 RPR 具有很好的 QOS 保證，可利用保留的帶寬進(jìn)行主從節(jié)點(diǎn)的同步傳輸，實(shí)現(xiàn)時(shí)間的精確同步，另外將 TDM 語音業(yè)務(wù)直接封裝在 RPR 報(bào)文中，使用高優(yōu)先級(jí)傳輸，以提供低延時(shí)抖動(dòng)的保障。 錯(cuò)誤管理實(shí)現(xiàn)遠(yuǎn)程錯(cuò)誤指示 RDI、連續(xù)性檢測 CC、環(huán)回檢測 LB、啟動(dòng) /關(guān)閉連續(xù)性檢測 A/D 等功能。 在性能管理方面，可提供系統(tǒng)性能和服務(wù)質(zhì)量等方面信息的監(jiān)控和統(tǒng)計(jì)。 RPR 技術(shù)是一種物理層無關(guān)協(xié)議，可支持 Ether、 DWDM 、 SDH/SONET 等物理介質(zhì)，從物理介質(zhì)來看， RPR 技術(shù)完全可以應(yīng)用于園區(qū)網(wǎng) /校園 網(wǎng)、城域網(wǎng)、 IDC 甚至是廣域網(wǎng)。如下圖所示： RPR 在城域網(wǎng)骨干的應(yīng)用 RPR 已經(jīng)成為教育城域網(wǎng)的主流組網(wǎng)方案之一，包括西安教育城域網(wǎng)、貴陽市教育城域網(wǎng)、昆明教育城域網(wǎng)、銀川教育城域網(wǎng)、西寧教育城域網(wǎng)、烏魯木齊教育城域網(wǎng)、北京西 城區(qū)教育城域網(wǎng)，均采取 RPR 環(huán)網(wǎng)組網(wǎng)。鏈路的可靠性大大增加。 ? 為了實(shí)現(xiàn)對網(wǎng)絡(luò)應(yīng)用的有效管理，必須加強(qiáng)對網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)應(yīng)用能力控制，首先，需要對用戶接入網(wǎng)絡(luò)的能力進(jìn)行控制，嚴(yán)格控制只有經(jīng)過認(rèn)證的用戶才能接入網(wǎng)絡(luò)；同時(shí)，需要更細(xì)粒度的訪問控制，尤其是對 Inter 資源的訪問控制，應(yīng)該能夠控制內(nèi)部用戶訪問 Inter 的什么網(wǎng)站，實(shí)現(xiàn)一定程度的用戶應(yīng)用行為的管理。 6）應(yīng)用層威脅 2020年以前，當(dāng)我們談及網(wǎng)絡(luò)安全的時(shí)候，還主要指防火墻，因?yàn)槟菚r(shí)候的安全還主要以網(wǎng)絡(luò)層的訪問控制為主。但是，就像今天最好的防盜門也不能阻止“禽流感”病毒傳播一樣，防火墻也不能阻擋今天的網(wǎng)絡(luò)威脅的傳播。 今天，各種蠕蟲、間諜軟件、網(wǎng)絡(luò)釣魚等應(yīng)用層威脅和 EMAIL、移動(dòng)代碼結(jié)合，形成復(fù)合型威脅，使威脅更加危險(xiǎn)和難以抵御。面對這些問題，傳統(tǒng)解決方案最大的問題是，防火墻工作在 TCP/IP 3～ 4層上，根本就“看”不到這些 威脅的存在，而 IDS作為一個(gè)旁路設(shè)備，對這些威脅又“看而不阻”，因此我們需要一個(gè)全新的安全解決方案。 ? 全 局性、均衡性原則 安全解決方案的設(shè)計(jì)從全局出發(fā)，綜合考慮信息資產(chǎn)的價(jià)值、所面臨的安全風(fēng)險(xiǎn)，平衡兩者之間的關(guān)系，根據(jù)信息資產(chǎn)價(jià)值的大小和面臨風(fēng)險(xiǎn)的大小，采取不同強(qiáng)度的安全措施，提供具有最優(yōu)的性能價(jià)格比的安全解決方案。 ? 可動(dòng)態(tài)演進(jìn)的原則 方案制定統(tǒng)一技術(shù)和管理方案，采取相同的技術(shù)路線，實(shí)現(xiàn)統(tǒng)一安全策略的 制定，并能實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)從基本防御的網(wǎng)絡(luò)，向深度防御的網(wǎng)絡(luò)以及智能防御的網(wǎng)絡(luò)演進(jìn)，形成一個(gè)閉環(huán)的動(dòng)態(tài)演進(jìn)網(wǎng)絡(luò)安全系統(tǒng)。網(wǎng)絡(luò)線路冗余主要包括如采用網(wǎng)狀或者盡量網(wǎng)狀連接來代替星形、樹形的連接結(jié)構(gòu)，在網(wǎng)絡(luò)改造建議方案中，我們設(shè)計(jì)了足夠的線路冗余能力。網(wǎng)絡(luò)設(shè)備可以采取的冗余配置措施主要包括冗余電源配置、冗余模塊配置、冗余引擎配置等，基于 H3C網(wǎng)絡(luò)設(shè)備豐富的冗余特性，可以有效的實(shí)現(xiàn)這些冗余配置模式。 H3C系列 網(wǎng)絡(luò) 設(shè)備 包括路由器 、 交換機(jī) ， 都統(tǒng)一采用 H3C自主研發(fā)的 Comware軟件平臺(tái) 。 當(dāng)攻擊者掃描網(wǎng)絡(luò)設(shè)備的直連網(wǎng)段時(shí)，網(wǎng)絡(luò)設(shè)備會(huì)給該網(wǎng)段下的每個(gè)地址發(fā)送 ARP報(bào)文，地址不存在的話，還需要發(fā)送目的主機(jī)不可達(dá)報(bào)文。 SR8800實(shí)現(xiàn)了地址掃描攻擊的防護(hù)能力 。如果有 ARP應(yīng)答，則立即刪除相應(yīng)的丟棄表項(xiàng)，并添加正常的路由表項(xiàng)。這樣，既防止直連網(wǎng)段掃描攻擊對交換機(jī)造成影響，又保證正常業(yè)務(wù)流程的暢通。 DoS/DDoS攻擊防護(hù)能力 DoS攻擊，即拒絕服務(wù)攻擊（ DoS， Denial of Service）， 是指向設(shè)備發(fā)送大量的連接請求，占用設(shè)備本身的資源，嚴(yán)重的情況會(huì)造成設(shè)備癱機(jī)，一般情況下也會(huì)使設(shè)備的功能無法正常運(yùn)行。 隨著攻擊技術(shù)的發(fā)展， Dos攻擊也出現(xiàn)了升級(jí)，攻擊者控制多臺(tái)主機(jī)同時(shí)發(fā)起 DoS攻擊，也就是所謂的分布式拒絕服務(wù)攻擊（ DDoS， Distributed Denial of Service）攻擊，它的規(guī)模更大，破壞性更強(qiáng)。同時(shí)，當(dāng)攻擊源對下掛在網(wǎng)絡(luò)設(shè)備的服務(wù)器進(jìn)行 DoS攻擊時(shí)，可以利用 SR8800的 ACL功能，下發(fā)特定的 ACL規(guī)則對攻擊報(bào)文進(jìn)行過濾，保障下掛的主機(jī)和服務(wù)器正常運(yùn)行。而且當(dāng)網(wǎng)絡(luò)中某臺(tái)設(shè)備存在環(huán)路時(shí)，廣播和組播報(bào)文會(huì)在網(wǎng)絡(luò)中泛濫，導(dǎo)致整網(wǎng)的癱瘓?？梢园凑战^對數(shù)值限制端口允許通過的廣播和組播報(bào)文速率，也可以按照端口速率的百分比來限制端口允許通過的廣播和組播報(bào)文速率。 MAC地址表容量攻擊防護(hù)能力 所謂 MAC地址表容量攻擊，是指攻擊源發(fā)送源 MAC地址不斷變化的報(bào)文，網(wǎng)絡(luò)設(shè)備在收到這種報(bào)文后，會(huì)進(jìn)行源 MAC地址學(xué)習(xí)。在進(jìn)行二層轉(zhuǎn)發(fā)時(shí)，這些報(bào)文將會(huì)在 VLAN內(nèi)廣播，嚴(yán)重影響網(wǎng)絡(luò)帶寬，同時(shí)也會(huì)對網(wǎng)絡(luò)設(shè)備下掛主機(jī)造成沖擊。用戶可以根據(jù)端口或者 VLAN下掛的主機(jī)數(shù)目來設(shè)置該端口或者 VLAN最大允許學(xué)習(xí)的 MAC地址數(shù)目，防止一個(gè)端口或者 VLAN就把系統(tǒng)的 MAC地址表項(xiàng)耗盡。 靜態(tài) MAC地址表項(xiàng)和 ARP表項(xiàng)綁定能力 SR8800提供配置靜態(tài) MAC地址表項(xiàng)和靜態(tài) ARP表項(xiàng)的功能。 強(qiáng)大的 ACL能力 在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，存在各 種各樣的攻擊報(bào)文，可能攻擊網(wǎng)絡(luò)設(shè)備，也可能攻擊網(wǎng)絡(luò)設(shè)備下掛的主機(jī)。 通過 ACL功能，管理者可以對非法流量進(jìn)行有效的過濾 。 SR8800的 ACL規(guī)則，不但可以根據(jù) ICMP、 IGMP、 TCP端口號(hào)、 UDP端口號(hào)、 IP地址、 MAC地址等常用字段對報(bào)文進(jìn)行過濾或者限流，還可以根據(jù) TTL、 BTFLAG、 VLAN_ID、 EXP等字段 對報(bào)文進(jìn)行過濾和限流。 一般情況下，路由交換機(jī)針對目的地址查找路由，如果找到了就轉(zhuǎn)發(fā)報(bào)文，否則丟棄該報(bào)文。通過 URPF特性，交換機(jī)就能有效地防范網(wǎng)絡(luò)中通過修改源地址而進(jìn)行的惡意攻擊 行為 。 SR8800能夠檢測并且防范 ARP報(bào)文的攻擊。 當(dāng) SR8800收到 ARP報(bào)文時(shí)，會(huì)根據(jù)報(bào)文源 MAC地址進(jìn)行 HASH，并且記錄單位時(shí)間收到的 ARP報(bào)文數(shù)目。如果用戶啟用 ARP防攻擊功能，則會(huì)打印提示信息并記錄到日志信息中，且下發(fā)一條源 MAC地址丟棄的表項(xiàng)，對該攻擊源進(jìn)行屏蔽。 SR8800支持地址沖突檢測功能。如果發(fā)現(xiàn)地址相同，則 SR8800會(huì)立即發(fā)送一個(gè)地 址沖突 報(bào)文和免費(fèi) ARP廣播報(bào)文。同時(shí)， SR8800會(huì)上報(bào)地址沖突的告警信息并同時(shí)記錄日志 ，以便維護(hù)人員能夠及時(shí)了解設(shè)備遭受的攻