杭州有线IP城域网方案建议书.doc

杭州有线杭州有线 IP 城域网方案建议书城域网方案建议书 目目 录录 第一章第一章 需求分析需求分析 6 1 1 项目背景 6 1 2 网络现状 6 1 3 用户需求 7 1 4 设计原则 8 第二章第二章 宽带宽带技技术选择术选择 11 2 1 宽带技术介绍 11 2 2 动态 IP 光纤传输技术 12 2 3 各种宽带技术的比较 15 2 4 DPT 是满足营用级网络要求的最佳技术 16 第三章第三章 方案方案设计设计 18 3 1 设计思想 18 3 2 组网方案 19 3 3 网络主干 20 3 4 边缘节点 POP 设计 21 3 4 1 以太网接入 25 3 4 2 Cable Modem接入 26 3 5 总前端节点设计 33 3 6 方案特点与优点 34 3 6 1 GSR DPT方案的特点与优点 34 3 6 2 L3 GE方案的问题 35 3 6 2 1 网络拓扑结构问题 36 3 6 2 2 路由表重算和收敛问题 37 3 6 2 3 三层交换实现方式问题 37 3 6 2 4 网络规模的扩展性问题 38 3 6 2 5 MPLS 的支持问题 38 3 6 2 6 VPN 的实现问题 38 3 7 路由策略 39 3 7 1 IGP路由设计 39 3 7 2 Internet路由设计 43 3 7 3 用户路由设计 44 3 7 4 互连IP网络路由设计 45 3 7 5 组播路由设计 45 3 8 IP 地址规划 46 3 9 IP 地址介绍 46 3 10 IP 地址规划方法 48 第四章第四章 业务实现业务实现 50 4 1 VPN 业务 50 4 1 1 本网络VPN业务要求 51 4 1 2 VPN实现 52 4 1 2 1 基于 IP Tunnel 的 VPN 53 4 1 2 2 MPLS VPN 55 4 1 2 2 1 MPLS VPN 的 QoS 56 4 1 2 2 2 MPLS VPN 的安全 58 4 1 2 2 3 MPLS VPN 的管理 60 4 2 VOIP 业务 60 4 2 1 方式一 61 4 2 2 方式二 62 4 2 3 两种方式的比较 64 4 3 INTERNET接入业务 65 第五章第五章 网管网管设计设计 68 5 1 CISCO INFO CENTER 69 5 2 CISCO IP MANAGER 73 5 3 CISCO VPN SOLUTION CENTER 75 5 4 CONCORD HEALTH 79 5 4 1 Concord 全套解决方案 80 5 4 1 1 综合的性能报告 80 5 4 1 2 广泛的自动机制 81 5 4 1 3 主要模块 82 5 4 2 主要特点 83 第六章第六章 安全性安全性设计设计 84 6 1 安全威胁 84 6 2 安全需求分析 85 6 3 身份认证 86 6 4 防火墙系统 89 6 4 1 防火墙技术介绍 89 6 4 2 CheckPoint技术介绍 90 6 4 3 防火墙功能总结 91 6 5 常见攻击的防护 92 6 6 扫描软件 93 6 7 记录软件 94 6 8 安全产品配置 95 第七章第七章 计费计费和和营业营业系系统统 96 7 1 数据采集 96 7 2 杭州广电网络业务管理系统体系结构 99 7 3 软件模块划分 99 7 4 软件设计特点 99 第一章第一章 需求分析需求分析 1 1 项项目背景目背景 随着信息时代的发展 有线电视公司仅仅提供传统的模拟广播业务已经难以 满足社会各界的需求 有线电视公司拥有的大批基础设施资源和信息资源将成 为有线电视公司加入信息服务竞争的有力优势 当前 我国有线电视业全面的产业化过程已经启动 全国各省市广电系统纷 纷大力投入数据网络基础设施的建设 建设城市宽带网络 为个人和商业用户提 供接入和增值服务 并逐步与因特网接轨 成为信息服务网络供应领域的有力竞 争者 在这种大环境的影响下 杭州有线对现有数据通信状况进行了详细的调查研 究 并认为目前是介入数据通信业务的大好良机 准备依托现有的网络体系 提 供完整的数据通信服务体系 随着计算机网络技术尤其是 TCP IP 技术的进步 电信网络的所有传统业务 和新型业务都将在以 IP 技术为主的数据网中传输 使投资和营运成本大为下降 并进一步推动各种宽带多媒体业务进入社会和普通家庭 这些变化使人们的工 作 生活 学习和娱乐方式将发生重大变革 1 2 网网络现络现状状 目前 杭州七县一市已建成 SDH 主干传输网 杭州市区已建成六纵七横的网 格状有线电视光纤骨干网 目前城区的光纤骨干网采用 48 芯光缆 郊区光纤骨 干网采用 24 芯光缆 纵向 大关山 教工路 莫干山路 环城西路 浣纱路 上塘路 中河路 东新路 建国路 石桥路 秋涛路 古敦路 横向 文一路 德胜路 文华路 文二路 潮王路 文三路 文晖路 天母山路 环城北路 艮山路 青春路 航海路 西湖大路 河坊路 望江路 在六纵七横的网格骨干网的相交点 确定 16 个市区分中心机房作为模拟电 视的分前端和数据业务的交换中心 同时考虑到发展数据业务必须从杭州市整 体规划出发 通过对周边乡镇分布情况的分析 另确定外围乡镇 6 个分中心机房 作为模拟电视的分前端和数据业务的交换中心 1 3 用用户户需求需求 杭州有线 IP 宽带网络在技术上定位为 IP 优化的光学网络 以光纤为主要传 输介质 以 IP 为主要通信协议 IP 优化至少包括包括如下几个要素 网络结构的 IP 优化 网络体系结构以 IP 为设计基础 体现在网络层的 层次化体系结构 可以减少对传统传输体系的依赖 IP 路由协议的优化 IP 包转发的优化 适合大型 高速宽带网络和下一代因特网的特征 提 供高速路由查找和包转发机制 带宽优化 在合理的 QoS 控制下 最大限度的利用光纤的带宽 稳定性优化 最大限度的利用光传输在故障恢复方面快速切换的能力 快速恢复网络连接 避免路由表颤动引起的整网震荡 提供符合高速宽 带网络要求的可靠性和稳定性 杭州有线 IP 宽带网信息服务系统的目标是面向全市的公共信息服务平台 本网络为营用级的宽带 IP 网络 与杭州有线 ATM SDH 网融合为杭州市公共信 息平台 首先 杭州有线 IP 宽带网络是一个 IP 网络 以顺应数据网络的发展趋势 提 供对绝大部分数据业务即 IP 业务的直接支持 杭州有线 IP 宽带网络又必须是一个宽带网络 以满足网络数据流量的迅速 增长 提供大容量高速传输的能力 符合其服务平台的角色 同时 杭州有线 IP 宽带网络还必须是一个服务性营运级的网络 以区别于供 企业自用为主的企业级网络 而在可靠性 服务质量 QoS 业务类别方面有较高 保障 从而对公众提供丰富 易用 可靠的服务 并对二级服务网络提供可靠连 接 因此 杭州有线 IP 宽带网络是一个以以 TCP IP 协议为协议为基基础础 具有大容量高速 具有大容量高速 传输传输能力的 可靠能力的 可靠稳稳定保定保证证服服务质务质量的量的营营运运级宽带级宽带 IP 网网络络 1 4 设计设计原原则则 杭州有线 IP 宽带网作为一个营用级的 IP 网络 在总体上需满足以下几个原 则 先先进进性 性 本网络方案计划采用世界先进的千兆 IP 线速路由器 交换机 能与 ATM SDH 宽带传输交换平台充分互联 能够承载和交换各种信息并将其接入公 众用户 当今世界 通信技术和计算机技术的发展日新月异 本方案适应新技术 发展的潮流 既兼顾了技术上的成熟性 同时也保证了系统的先进性 网络系统有足够的带宽 没有任何瓶颈 采用先进的网络技术 能适应目前网络技术的发展和设计时所能看到的最大需求 所采用的技术都是目前成熟并可靠的技术 实实用性 用性 本网络考虑到杭州公众用户的实际情况 以相应的可接受的价格向 用户提供不同接入服务的方法 本方案所采用的骨干和接入技术皆为已实际得 到广泛使用的实用技术 扩扩展性 展性 本网络方案随着需求的变化 充分留有扩充余地 所有设备均可满足用户的目前需求 又能扩展以保障用户的将来升级 在基本网络框架下的网络 端口 服务器等的可扩展性 应用系统部件化扩充性 信息资源的可链接性 安全性 安全性 杭州有线 IP 宽带网络是杭州公众宽带网络 本方案设计时充分考虑 到这一点 保证整个系统的可管理性和整个系统的安全性 可靠性 方案不但保 证理论上可行 更重要的是实际上可用 充分考虑具体情况 使网络系统有足够 的隔离和安全机制 为了使系统可靠地运行 本方案选用了高品质 高性能价格 比的产品 把故障率降到最低 经济经济性 性 本方案充分考虑到杭州有线 IP 宽带网络为一个营用的网络 采用的 都为高性价比的产品 本网络建成后能够最大效率的发挥它的经济效益 互通性 互通性 本网络的目标是成为杭州公共信息平台 本方案设计充分保证了杭 州有线 IP 宽带网络与杭州有线 ATM SDH 网络的互连 保证了杭州有线 IP 宽带 网络与其它 IP 网络的完全互连 本网络方案在设计时均采用国际标准协议 网络管理基于 SNMP 随着网络标准和软件版本的更新 现有的技术和设备能够向上兼容 能进行多种数据库的互操作 能支持多种介质联接 支持多种网络技术 如 ATM FR 电路等 支持多种端口类型 如 V35 BNC 光纤 SC 快速以太等 能实现高速网络和低速网络的无缝连接 灵活和完整的灵活和完整的业务业务和和帐务帐务管理 管理 一个营用网络必须具备一个优秀的业务和帐 务管理系统 本方案 提供完整的业务受理平台和帐务计费平台 通过调查国内业务状况 提 供尽可能多的业务选项 保证用户服务和业务的完整性 有能力根据用户需求灵活地添加新业务 修改业务和计费功能 保证用 户业务的灵活性 从而提供更大的竞争优势 保证大容量和高可扩展性 在容量不断增加的情况下保证实时的计费 与网络管理系统相结合 第二章第二章 宽带宽带技技术选择术选择 2 1 宽带宽带技技术术介介绍绍 选择合理的网络主干技术对于一个营运网络来说十分重要 因为它关系到 网络的服务品质和可持续发展的特性 网络主干包括主干网设备之间及其与汇 聚点核心设备之间的连接 宽带 IP 网络的主干必须选用相应的宽带主干技术 目前 可供选择的宽带技术包括以下几种 千兆以太网技千兆以太网技术术 GE 最高传输速率为 1Gbps 与以太网技术 快速以太 网技术向下兼容 异步异步转转移模式移模式 ATM 技技术术 采用信元传输和交换技术 减少处理时延 保障服务质量 使其端口可以支持从 E1 2Mbps 到 STM 1 155 Mbps STM 4 622Mbps STM 16 2 4Gbps STM 64 10Gbps 的传输速率 SDH 技技术术 或或 IP over SDH 技技术术 采用高速光纤传输 以点对点方式提 供从 STM1 到 STM64 甚至更高的传输速率 其中 IP over SDH 技术也简 称为 POS 技术 也就是将 IP 包直接封装到 SDH 帧中 提高了传输的效 率 动态动态 IP 光光纤传输纤传输技技术术 DPT 定义了一种全新的传输方法 IP 优化的光 学传输技术 这种技术提供了带宽使用的高效率 服务类别的丰富性以 及网络的高级自愈功能 从而在现有的一些解决方案基础上 为网络营 运商提供了性能价格比极好和功能极其丰富的更先进的解决方案 GE 技术 ATM 技术 POS 技术都各有优点和缺点 其中 GE 技术的最大问 题是缺乏足够的可靠性机制 也缺乏足够的扩展性机制 例如其单端口最高带宽 限于 1Gbps ATM 技术的最大问题是协议过于复杂和太多的信头开销 而 POS 技术虽然具有很多的优点 是一种相当不错的宽带主干网技术 但它的最大缺点 是带宽分配不够灵活 基于点对点传输 且最低速率为 155M DPT 技术吸取了 POS 技术的精华 而克服了它的缺点 其关键在于提供了 一种对带宽的空间复用 SRP 机制 使带宽可以进行动态分配 2 2 动态动态 IP 光光纤传输纤传输技技术术 动态 IP 光纤传输技术 DPT 即 Dynamic Packet Transport 采用了一种全新 的机制 在光纤上直接传输 IP 包 而其 MAC 层地址采用空间复用 MAC 地址 空间复用协议 SRP 即 Spatial Reuse Protocol 是一种与媒体无关的 MAC 层协议 可以用于各种物理层技术之上 典型的用法是由两根反向光纤组成 SRP 环 其中每一根光纤都可以用来传输数据和传输反方向的控制信号 其工作原理 如下图所示 75XX GSR GSR 75XX 75XX 75XX 75XX outer ring inner ring outer ring data outer ring control inner ring data inner ring control 为了区分两个环 不妨将一个叫作内环 另一个叫作外环 SRP 运行时 在一 个方向发送数据 下行流 而在反方向的另一根光纤上传输控制信号 上行流 两根光纤互为控制 因此共有两个上行流和两个下行流 这样 SRP 便能最大限 度地利用光纤的传输带宽 同时 由于控制信号不受数据流干扰 例如排队 突发 拥塞等 能够快速传输 从而为带宽的进一步优化和网络的高速自愈提供了保 障 由于 SRP 的媒体无关特性 DPT 技术可以透明地运行在现有的各种重要光 纤基础设施上 裸光纤 波分复用 WDM SDH 点对点或环 媒体的无关特性还能使 DPT 运行在上述介质的混合环境中 从而提供了一 种向纯 IP 优化光纤网络平滑过渡的解决方案 动态 IP 光纤传输技术 DPT 具有如下特点 空空间间复用 复用 一根光纤环可以分段传输数据 所以至少可以提供两倍的带 宽提升因子 双双环结环结构 构 两根光纤同时传输数据 使带宽得到两倍的提高 公平机制 公平机制 所有节点对带宽具有同等的控制权 从而为带宽的统计复用 提供了最佳的保障 统计统计复用 复用 网络带宽分段使用 且任意节点间富余的带宽可以被其他节 点所使用 以成倍提高可用带宽 如下图所示 扩扩展性 展性 一个环上的节点数可以最高至 128 单端口速率可以最高至 10Gbps 地理范围可以像 SDH 一样扩展到足够的程度 可靠性 可靠性 可以提供比 SDH 的自动保护交换 APS 更好的网络自愈功能 不仅可以在 50ms 内切换光纤 而且由于它是 IP Aware 的 可以在 50ms 内恢复 IP 业务 不需要路由表的重新收敛 IP 业务业务映射 映射 可以直接映射和支持 IP 包的优先级 直接支持 IP 包的广 播以及其他 IP 业务控制功能 即插即用 即插即用 简单的环形结构和自动发现机制使网络设备的配置变得十分 简单 例如 在一个网状网中 增加一个节点需配置 2N 个端口 而在一 个环形网中 增加一个节点最多只需要配置一对端口 统统一网管 一网管 从物理层到链路层到网络层全部三层的网络管理不再需要不 同的网管系统 高性能价格比 高性能价格比 一个 SRP 环上的每个设备永远只需要一对 SRP 端口 而 点对点网状网中 每节点需 N2 个端口 从而使网络扩容时不再需要增 加端口 大大降低了网络成本 同时 DPT 的高可靠性还大大降低了运 行维护成本 并提高了生产效率 2 3 各种各种宽带宽带技技术术的比的比较较 DPT 技术与 POS 技术相比 其优点主要在于可以动态使用带宽 使带宽的 利用率得到大大的提高 并避免了点对点连接的限制 减少了端口数的需要 DPT 技术还与 POS 技术一样 避免了 ATM 技术的协议复杂性 信令系统和 过高的信头开销 并且由于直接支持 IP 无需 IP 包的拆分和重组 从而大大提高 了交换机的处理能力 并降低了设备的价格 千兆以太网技术与上述几种技术相比 则在可靠性 扩展性等方面不能满足 大型服务性营运商网络的需求 原因在于 其技术路线的核心为简单地提高传输 带宽和交换容量 而在其他方面较少突破 千兆以太网技术的主干可靠性一般由 所谓的 TRUNK 技术 在 Cisco 即 GEC 技术 来提供 不仅耗费更多的端口 而且 在切换时间 网络自愈等方面远远不能用足光纤网络的潜力 不能满足大型营运 级 IP 网络的要求 换而言之 千兆以太网技术以其低价 简单的技术路线 更适 合于园区网主干 或者小型服务商的中小型城域网主干 下面的表格简单地描述了这些技术的特点 值得指出的是 在一个小型 简 单的网络中 采用 GE 技术组网的性能价格比确实较高 但在一个大型 复杂的 网络中 采用 DPT 技术组网的性价比则最高 原因在于 SRP 环形结构对端口数 的需求很少 DPTPOSATMGE 可靠性高高中低 弹性和可扩展性高高高低 带宽使用效率高中低中 QoS 和 IP 业务增强高中高中 小型网络低中低高 性价比 大型网络高中低低 2 4 DPT 是是满满足足营营用用级级网网络络要求的最佳技要求的最佳技术术 对于杭州广电这新一代的网络营运商来说 动态 IP 光纤传输技术 DPT 是一 种新纪元网络基础构架的极其重要的技术 DPT 各种技术特性的设计都是为了 营运商能够在保证高品质服务的前提下 进一步减少投资和营运成本 而提高生 产效率 综合起来 DPT 技术为网络营运商带来了如下一些利益 有效投有效投资资 IP 光纤环的组建 使营运商在投资结构上发生了根本性的变 化 大大提高了投资效率 例如 营运商不再需要在昂贵的时分复用 TDM 设备 如 SDH 设备 上进行投资 却能获得同样的带宽 同时 又能 采用空间复用和统计复用技术最有效地使用这些带宽而获得更高的效益 再如 从物理层到 IP 层的集成网络管理方式 不仅大大降低了营运成本 也大大提高了生产效率 增增强强 IP 业务业务 DPT 技术直接支持和增强各种 IP 业务 例如 VoIP VPN 等业务 而且更加稳定可靠 为经营者带来更丰厚的增值服务利润 网网络络的健壮性 的健壮性 由于提供了先期的性能监测 错误监测 错误定位 以及 智能保护交换机制 IPS 网络具备高级的自愈功能 使 IP 业务稳定可靠 可靠性是高速光纤网络的重要特性 这正如高速公路的修建 在减少交 叉 减少红绿灯 平整路面以提高车速和扩展通车能力的同时 交通规则 却更加严格 更远的安全车距 严禁行人穿越等 并增设应急车道提高可 靠性 没有足够的可靠性保障 网络与公路一样不能 提速 否则 会潜 伏灾难性的后果 充分的充分的扩扩展性 展性 作为通信新纪元的关键的 IP 优化光学技术 DPT 以新的 更稳定可靠的网络体系结构为网络提供了持续发展的道路 已经走过的 技术路线如下图所示 简化是核心 可靠则是关键 IPIP ATMATM OpticalOptical IPIP OpticalOptical IPIP SONET SDHSONET SDH OpticalOptical ATMATM SONET SDHSONET SDH IPIP OpticalOptical Lower cost complexity and overheadLower cost complexity and overhead Multiplexing protection and management at every layerMultiplexing protection and management at every layer 1 2 3 4 动态 IP 光纤传输技术 DPT 为杭州广电带来的上述利益完全符合如第一章 所述的杭州广电 IP 宽带网络设计的总体要求 是杭州广电 IP 网络可以选择的最 佳主干技术 目前 AT 第 4 行指明了要使用 RADIUS 等安全控制协议 第 5 6 7 行给出了通过不同方式登录上网时鉴别机制的使用方法和来源 第 8 9 行给出了达到不同授权级别的控制方式 第 10 11 行给出了对数据流进行统计所用方法 专业的授权服务器不仅仅用于对远程用户访问的认证授权 它可以利用其 安全政策和业务规则中央数据库来确定授权 这种业务规则可权衡一个特定用 户对于那些需要运行一种特定应用或进行交易的人所具有的权限 一个典型的 规则可能给用户对应用的访问许可限制在一天中的某几个小时 一周之内的某 些天 并限定其交易额 由于安全需求变得更为复杂 在各个应用中分别植入和维护安全政策已经 不现实了 集中的基于政策的系统将有更好的一致性 且易于管理 我们建议可配置一台专用 Radius 服务器作为身份验证和安全控制用 6 4 防火防火墙墙系系统统 6 4 1 防火墙技术介绍防火墙技术介绍 目前 业界出现的安全控制系统 防火墙 主要可以包括三类 分别是 以 Netscape Proxy Server 为代表的代理服务器软件 通过中间代理机制为每 个用户的访问请求建立源到代理和代理到目标的两次连接 并可以从中控制数 据包的传递 代理服务器的一个明显缺点是效率很低 主机的建立连接能力毕竟 有限 同时不能处理面向无连接 基于 UDP 的数据包 而且 代理服务器将其所 有相关端口全部暴露在外部网络上 因此极易受黑客攻击 以 Cisco PIX 为代表的硬件防火墙 PIX 是代理服务器的一个增强和改进 通过直通代理机制 PIX 可以大大提高效率 但是 PIX 仍然不能解决面向无连 接的问题 另外专用硬件防火墙也面临不易升级和维护等问题 以 CheckPoint FireWall 1 为代表的软件网络防火墙 通过一种 状态监测 机 制 FireWall 1 可以实现全部基于 7 层的过滤 同时 FireWall 1 还通过其建立的 OPSEC 联盟吸引多家专业软件厂商开发与其的接口 其中包括 SecurID 认证系 统以及多家网络病毒防范系统等 综合上述比较 我们推荐采用基于通用主机的 CheckPoint FireWall 1 软件网 络防火墙 基于主机的防火墙通常指在高可用性的主机上加装防火墙软件的方式实现 防火墙的功能 基于主机的防火墙通常放置在需要隔离的两个网络之间 通过检 查流经该主机的数据包实现多种安全控制功能 与其他各类防火墙产品相比 基 于主机的防火墙具有功能全面 高连接和通过能力 开放并因此获得多家第三方 厂商支持 易于管理和升级等明显的优势 因此已经成为防火墙市场的主流 基 于主机的防火墙厂商主要包括 CheckPoint TISX RAPT SCUR 等四家 其中 CheckPoint 以其 44 的同类市场占有率高居榜首 下面主要介绍其推出的防火 墙产品 FireWall 1 6 4 2 CheckPoint 技术介绍技术介绍 CheckPointTM FireWall 1 的状态监控技术体系结构 采用其公司的专利产 品监测引擎 INSPECT Engine 因为 INSPECT Engine 能检查所有通讯层 根据 用户定义的策略需要 可以只抽取相关的数据信息 因而能提供极高的效率 每 秒钟可以监测 80MB 以上的数据包 同时支持 160 多种预定义的协议和应用 对 新的应用和服务极易扩展 INSPECT Engine 可以通过 INSPECT Language 编程 无需增新软件 就可以 提供重要系统的扩展 同时允许第三方合作伙伴 最终用户增加新的应用 服务 协议 对于大多数新的应用 包括最终用户定制的应用 其源于通讯的相关信息 特性 只需利用 GUI 通过简单的修改 FireWall 1 内置的脚本模板 即可集成到防 火墙系统中来 对复杂的应用也可以通过 INSPECT Language 快速增加 该系统 同时提供支持第三方开发商的 API 接口 对新增加的应用 INSPECT 脚本可在 CheckPointTM 公司的 Web 站点 中获得 INSPECT Engine 动态加载到操作系统的内核中 插入数据链路层和网络层 之间 起到控制网络流量的作用 因数据链路层实质上就是网络接口卡 属于硬 件设备 故 FireWall 1 位于软件层中的最低层 这样就能确保 INSPECT Engine 能够截获和检查进出所有网络接口的数据包 INSPECT Engine 可以访问原始信息 Raw Massage 可以检查数据包中的 所有内容 包括与高层相关的信息和信息的本身 INSPECT Engine 可以检查 IP 地址 端口号 以及任何与实施用户定义的安全策略而需要的相关信息 INSPECT Engine 能理解 IP 协议簇的内部结构和其上的应用 因而对于象 UDP RPC 这种无连接的协议 同样能够创建 保存相关状态数据 以保持 UDP RPC 通信的一个虚连接 INSPECT Engine 同时支持对数据包内任何部分 的逻辑或数学运算表达式 允许用户自动编写基于数据包中任何部分的策略表 达式 Check Point 的 FireWall 1 是建立在一种叫做 SMLI Stateful Multi Layer Inspection 技术的开创性的结构 它在网络层上实施 满足了防火墙所需要的全 部功能 它的主要特点是 FireWall 1 的 Inspection Module 可以对所有七层通信数据进行访问并分析 通信的 状态 和 相关 数据被储存并动态更新 用以监控应用 包括 UDP 或 RPC 的应用 汇集的数据 例如通信 应用的状态 网络设置 安全规则 可用以产生适当 的动作 即接受 拒绝或对通信加密 任何信息交通都将按照指定的规则加以处理或产生实时的告警 提供全面的网络状态数据或显示 第三方产品可与防火墙完美配合以实现内容扫描及更为可靠的外部认证 6 4 3 防火墙功能总结防火墙功能总结 从网络安全的需求上来看 可以把 FireWall 1 的主要功能分为三大类 第一 类为安全性类 包括访问控制 授权论证 加密 内容安全等 第二类是管理和记 帐 包括安全策略管理 路由器安全管理 记帐 监控等 第三类为连接控制 主 要为企业消息发布的服务器提供可靠的连接服务 包括负载均衡 高可靠性等 利用 CheckPoint FireWall 1 防火墙 我们可以实现 对于防火墙内任意局域设备的基于端口 协议 目标和源 IP 地址以及时间 段的的访问许可设定 并在此基础上限制单向传输 对于防火墙内任意局域设备和主机的访问用户认证 并且可以结合下述 ACE Server 实现一次性随机口令 通过地址翻译实现对关键主机的地址屏蔽 对于所有访问的轨迹记录 与多家第三方产品配合实现网络病毒防范等功能 6 5 常常见见攻攻击击的防的防护护 网络中的常见攻击有多种方式 其中包括黑客 hacker 非法入侵者 Vandal 病毒等等 对于网络中的黑客的攻击可以采用 NAI 公司的 Web stalker Pro 软件来实现 Web stalker Pro 软件包包括 Manager 和 Agent 其中 Agent 可以安装在热和一台 需要保护的 Web Server 上 特别的 Web stalker Pro 还可以和 CheckPoint 等防火 墙配合以完整记录黑客的攻击并且在防火墙中记录下黑客的 IP 地址从而禁止该 地址的连接 对于网络中的病毒传播我们可以有两种软件产品进行防范 对于没有配置防火墙的网络节点局域中的主机 我们可以采用 Trend Micro 公司的 InterScan Virus Wall 病毒防火墙软件 具体的配置方法是在每一台业务 主机上配置一套该软件 以发现并清除向该主机的 HTTP 和 FTP 请求中以及该 主机作为 SMTP 网关转发的 SMTP 包中的病毒 InterScan Virus Wall 可以支持 的平台包括 SUN Solaris HP UX 和 NT 等等 对于配置了防火墙的网络节点局域网 我们可以采用 esafe 公司的 ViruSafe FireWall 病毒防火墙软件 这时 我们只需要为局域网配置一套该软件 该软件 安装在 NT 上 与安装在热和平台的 CheckPoint FireWall 1 配合搜索通过防火墙 的 email HTTP 和 FTP 包中的病毒 并由此实现对全部局域中的主机的安全保 护 特别的是 ViruSafe Fire Wall 还可以监测并防范 Vandal 的入侵 对于网络中的 Vandal 的入侵 我们可以采用 esafe 公司的 ViruSafe FireWall 软件进行防范 Vandal 类似 特洛伊木马 是从网络中下载的可以自动执行并可 能潜伏在网络节点中以造成破坏的 ActiveX 或 Java 小程序 Vandal 因其隐蔽性 可以逃过普通网络防火墙和病毒防火墙的监测和拦截 ViruSafe FireWall 是目前 唯一能同时防范病毒和 Vandal 的软件 此时 ViruSafe FireWall 的配置方法类似 于用于病毒防范时 6 6 扫扫描描软软件件 即使我们为网络安全准备了多种措施 例如安装网络防火墙和防止黑客 Vandal 等攻击的软件 网络中的安全隐患还是会存在的 其中包括防火墙中安全 策略制定的不尽合理 网络中主机等节点设置上的安全漏洞 以及黑客利用防火 墙后开放的节点主机作为跳板对关键业务主机的攻击等等 所有这些 我们必须 采用一种扫描软件以便随时检查网络和主机节点 即时发现漏洞 我们推荐采用 ISS Internet Security System 公司的相应产品来实现上述功能 关于主机节点隐患检查的软件 我们可以选用 ISS Internet Security Scanner 公司的 System Security Scanner System Security Scanner 是个功能强大的服务器 平台检测工具 可以发现 UNIX 服务器上的各种安全漏洞和隐患 其中包括系统 配置上的漏洞 属主 权限等 网络服务配置上的漏洞 用户环境上的隐患 不 安全的口令 例如与登录名类似或采用常用词汇 以及可能存在的黑客注册等等 System Security Scanner 可以支持的平台非常广泛 其中包括 SUN Solaris HP UX IBM AIX Linux 等等 关于全网的安全漏洞检查 我们可以采用 ISS 公司的 Internet Scanner 套件 Internet Scanner 套件包括三个集成的模块 分别是 Intranet Scanner Firewall Scanner Web Security Scanner 分别实现对局域网络 防火墙和 Web 站点的安全 检查 以及早发现漏洞 对网络的检查主要包括对网络文件系统 匿名 FTP 强 制攻击 TFTP rlogin 等与网络相关的各种危险动作的检查 对防火墙的检查包 括对服务器过滤策略设置 代理机制等的监测和包括限制连接次数 设置连接延 时在内的对防火墙受强制攻击的管理以及同步风暴 数据洪水 Data Flood 等对 防火墙性能的测试 对 Web 站点的检查包括对 Web 站点服务器的检查 对 Web 服务器软件的检查和其上的 CGI 脚本的检查等等 这三个模块可以打包成为一 个全面的网络漏洞扫描方案 也可以单独成为针对某种特定用途的专用软件 通过 ISS 的 Internet Scanner 和 System Security Scanner 等安全解决方案 我 们可以全面排查网络中的安全漏洞 以加强网络安全 6 7 记录软记录软件件 可以这样认为 无论采用任何安全解决方案 也没有 100 安全的系统 这 时 我们就需要采用一种 审计 机制来作为网络安全系统的补充 审计 可以记录 所有对网络的访问 攻击 无论成功与否 从而提供一种事后进行检索查询以进 行监督的手段 我们可以有多种记录访问的方法 首先 我们可以在防火墙上进行设置 从而记录所有通过防火墙的流的源 IP 目标 IP 协议类型等等 从而记录所有访问 其次 我们推荐的网络攻击防护软件均可以记录对网络和节点的攻击 包括 病毒传播 Vandal 入侵 黑客攻击等等 所有这些攻击可以由相应软件自行记录 也可以全部转交 CheckPoint FireWall 1 来集中记录 再三 对于应用层的记录需求 例如操作命令 我们可以利用 FireWall 1 提 供的开发接口自行实现 CheckPoint FireWall 1 提供开放的 CVP 接口 我们可以 利用此接口实现自编制的应用层记录软件与防火墙的信息传递 我们可以设置 防火墙截获所有需要记录的数据包 如 TELNET 包 然后转发至自行编制的应 用程序进行识别和记录 然后交还其目的主机 这样 应用层记录软件就可以完 整记录所有操作 6 8 安全安全产产品配置品配置 我们建议防火墙硬件平台选用 SUN Ultra60 工作站 防火墙软件和安全记录 软件选用 CheckPoint Firewall 1 防病毒软件选用 esafe 的 Virusafe 软件 扫描软 件选用 ISS 公司的 System Security Scanner 和 Internet Scanner 软件 第七章第七章 计费计费和和营业营业系系统统 7 1 数据采集数据采集 对于一般人而言 往往容易忽略计费系统在网络运营中的重要性和存在 其 实 对于网络运营商而言 计费系统是支撑他们业务正常 高效运作的关键性系统 而且由于其任务的特殊性和复杂性 在技术实现上一直是一个难点 这一点 从最 近的电信资费调整中即可看出 由于修改计费软件的复杂性 导致一些费用调整不 能立即实现 目前 对于专线用户的计费大致有如下几种模式 包月收费 按端口流量计费 和按子网 IP 流量计费 包月计费这种合同方式对于计费系统的依赖程度最小 计费系统只对其提供 一般的管理功能 端口计费这种合同方式 端口的流量数据基本已由路由器提供 专线计费软件只要如实将其记录下来 对端口数据溢出要作相应处理 这种计费 方式采样数据量小 处理过程简单 对专线计费系统的技术要求不高 在实际运营 中 由于受网络扩展规模和采集点的限制 采用端口计费的客户并不多 基于子 网 IP 流量计费是专线计费领域中最为复杂 对计费系统技术要求最为严格的一 种合同方式 也是当前普遍采用的一种专线计费方式 按 IP 流量计费的复杂性是 由它的数据采集方式决定的 路由器对于流经自己的 IP 包都会记录在 IP Accounting 表中 这个表的状态会随流量的到来不断变化 除了性能的考虑之外 专线计费还需要为不同的合同类型提供全面的费用计算模型 下面列出的是几 个方面 折扣时段的设置 按合同需要为不同的用户设置不同的折扣时段 IP 分区域计费 例如国际国内流量分计 或是内网外网的流量分计 多路由器并发数据采集和统计 目前数据采集主要有三种方式 一种是基于 SNMP 协议 一种是基于 Telnet 用 show ip accounting 命令获取数据 第三种是利用 Cisco 的 Netflow 技术 前两 种方式已得到普遍应用 我们下面简单介绍第三种方式 Netflow 技术 Netflow 一词是从 network flow 而来 一个 network flow 是一个在给定源节 点与目的节点之间单向的数据包流 一个 network flow 可根据源 目的节点的 IP 地址 源 目的节点的 TCP UDP 端口号 数据包输入接口及数据报的 TOS 等来划 分 当用户 A 访问 Internet 主机 B 时 如为 Non NetFlow 交换 则路由器对通过 的每一个数据包都要进行 Switching Security Service and Traffic 管理等任务的 处理 如为 NetFlow 交换 则路由器只需对第一个数据包进行 Switching Security Service and Traffic 管理等任务的处理 然后形成一个 network flow 以后的数据包直接以流 flow 的方式处理 路由器内部有一个 flow cache 结构 各个 network flow 的信息都存储在 flow cache 中 路由器每过一定时 间 大约 1 秒 向外发送 UDP 数据报 其中包括了多个 flow 的信息数据 NetFlow Flow 包括以下内容 Table 1 NetFlow Flow Record Contents Contents V1 V5 V7 Source IP addressYY y zero in case of destination only1 flows destination IP addressYY Y source TCP UDP application port YY y zero in case of source destination2 flows or destination only flows destination TCP UDP application port YY y zero in case of source destination flows or destination only flows next hop router IP addressYY y always zero input physical interface index YY y always zero output physical interface index YY Y Packet count for this flowYY Y byte count for this flowYY Y start of flow timestampYY Y end of flow timestampYY Y IP Protocol for example TCP 6 UDP 17 YY y zero in case of source destination flows or destination only flows Type of Service ToS byteYY y switch sets it to ToS of first packet in flow TCP Flags cumulative OR of TCP flags YY y always zero Source AS numberY y always zero destination AS numberY y always zero Source subnet maskY y always zero destination subnet maskY y always zero flags indicates among other things which flows are invalid Y shortcut router IP address3Y 从上边表格可以看出 Netflow Flow 中包括了计费的所有信息 并且 路由 器可以在内部将 NetFlow 数据根据不同信息进行分类汇聚 即将 flow cache 中的 信息存放在 aggregation cache 中 然后向外传送 下表表示路由器可根据何种信 息分类汇聚 Netflow 数据 Table 2 Router Based Aggregation Schemes NetFlow v8 Flow Record Contents AS ProtocolPort SourcePrefix DestinationPrefix Prefix Source PrefixYY Source Prefix MaskYY Destination PrefixYY Destination Prefix MaskYY Source App PortY Destination App PortY Input InterfaceYYY Output InterfaceYYY IP ProtocolY Source ASYYY Destination ASYYY First TimestampYYYYY Last TimestampYYYYY of FlowsYYYYY of PacketsYYYYY of BytesYYYYY Cisco 提供了 network flow 数据收集软件 FlowCollectors 它接收从具有 netflow 功能的设备中发送出的 UDP 数据包 包含 netflow 信息 NetFlow Server 可收集多个 NetFlow FlowCollectors Export 然后将数据转发给 NetFlow FlowAnalyzer 和其他第三方软件 如计费软件等 NetFlow 的所有数据格式都是 公开的 FlowCollectors NetFlow Server FlowAnalyzer 等软件皆也提供开放接口 open API 所有这些都为用户开发计费软件提供了基础 7 2 杭州广杭州广电电网网络业务络业务管理系管理系统统体系体系结结构构 在本网建设初期 由于规模较小 业务相对简单 从软件系统布置的复杂程 度和实现的代价角度考虑我们建议可以采用传统的 C S 结构来实现本网的业务 管理系统 等将来业务发展后 再改造成为三层或四层的 WB WS AS DS 结构 届时可以同时提供诸如网络受理等更多的功能 我们建议采用一台工作站或高档服务器作为业务管理系统的数据库服务器 数据库平台采用 ORACLE 该服务器中集中保存全部营业系统的业务数据 为服 务器配置磁带机以实现操作系统和数据库的定期多级备份 建议配置若干台 PC 机作为客户端 采用 PowerBuilder 作为前端开发工具 所有的应用软件集中于客户端实现 7 3 软软件模件模块块划分划分 根据杭州广电的业务需求 我们建议将本网的业务管理系统软件划分为以下 三个主要的分系统 用户管理分系统 在营业厅提供 负责实现对用户开户 变更 终止 查 询 边界设备销售 帐务收费等业务的受理和处理 营业厅的变更和查询将直 接调用中心服务器中的原有数据 而帐务收费将直接访问中心服务器中由计费 帐务分系统生成的帐单等数据 经营业厅分系统录入和处理的数据也将直接保 存或修改在中心数据库服务器中 计费帐务分系统 在计费帐务中心提供 负责实现对用户计费数据的采集 入库 计费 优惠 处理 针对用户特性的