中国政法大学骨干网升级改造建议方案

中国政法大学校园网骨干网升级改造建议方案中国政法大学校园网 骨干网升级改造建议方案神州数码网络有限公司2007年2月目 录第一章 中国政法大学校园网网络需求分析41.1中国政法大学校园网校园网现状41.2网络业务分析41.3网络流量分析41.3.1 网上数据流特点分析41.3.2 管理资源占用流量分析51.3.3校园网主干数据流量分析51.4网络管理需求分析61.5网络层次分析71.5.1 核心层需求分析71.5.2汇聚层需求分析7第二章 中国政法大学校园网网络设计原则92.1网络建设总体原则92.2设计实现的目的92.3网络标准化92.4运营级别的可管理性92.5解决投资保护问题102.6校园网络的先进性102.7打造网络的高可用性和可靠性112.8构筑高安全性网络112.9搭建多业务支持平台112.10具备后续可扩展性122.11总体设计实现的目的123 中国政法大学新骨干网络总体方案设计133.1总体设计133.1.1网络拓扑图133.1.2网络系统配置概述143.1.3网络系统可接入业务概述143.2设备选型设计143.3网络结构设计153.3.1核心层设计核心层性能设计 核心层可靠性设计核心层服务特性设计 核心层策略路由设计163.3.2汇聚层设计汇聚层设备性能设计汇聚层设备架构设计汇聚层扩展性设计汇聚层可靠性设计汇聚层智能万兆平台设计汇聚层拥塞控制以及差异化服务183.4网络路由规划203.4.1内部路由规划的关键因素203.4.2内部路由规划分析203.5网络安全规划213.5.1主机安全解决方案213.5.2网络设备安全分析213.6部分安全现状及其解决办法探讨223.6.1 防止利用共享介质进行网络、线路窃听223.6.2 恶意攻击之防止DHCP攻击223.6.3恶意攻击之防范DOS攻击233.6.4防止地址盗用、非授权访问、冒充合法用户243.6.5交换机主动防范病毒攻击253.6.6防范干扰系统正常运行283.6.7防范网络数据篡改283.6.8行政办公区域和教学科研区域的安全隔离294 运营级的网络服务质量304.1IPQoS的体系结构304.2IPQoS的实现机制314.3业务类型识别的实现324.4设备内部调度的实现324.5带宽保证的实现325 全网IPV6提升中国政法大学网络前瞻性33第一章 中国政法大学校园网网络需求分析1.1 中国政法大学校园网校园网现状请ningbin自行补充1.2 网络业务分析中国政法大学校园网网络作为中国政法大学统一规划的应用、业务、承载的平台，各院系可以在此平台上利用先进的网络技术建立各自的业务系统，网络能够实现信息资源共享和实时通信。全网要求具备较高的智能性、较强的安全性、完备的管理和运营能力，核心采用智能万兆交换机作为骨干，支持第三代智能万兆技术，汇聚接入采用万兆接入核心层，提供极高的可靠性，同时千兆到每个楼层设备。总之，中国政法大学校园网网络整体要求提供业界领先的网络产品搭建优秀的新骨干网络络承载系统，作为首都高教的重点工程、典范工程进行建网和管理。1.3 网络流量分析1.3.1 网上数据流特点分析由于中国政法大学校园网具有网络互联的广泛性和使用多样性等特点，广播包将对数据流产生较大的影响，中国政法大学校园网网络的数据并发性，一般是呈现波峰波谷的，绝大多数情况下，存在高并发性访问的因素，除了周末或者夜间学生晚自修之后的时间，某些特殊的应用也有可能对负荷有突发要求，如使用空间数据，大范围数据搜索，视频方面的应用等，这些突发的负荷有相当一部分转移到应用设备上。这些流量的转移对于网络设备提出了较高的要求，必须要求汇聚、核心设备均支持万兆技术，未来随着中国政法大学办学规模的扩大，可以平滑升级至高密度线速万兆平台；即使依据中国政法大学现在的学生规模，也是应该考虑万兆设备，这是因为:网络本身机制是存在突发的延时、抖动等多项不稳定特征的，而这些是属于网络固有的、潜在的隐患，一方面除了我们要选择相对智能的接入、汇聚、核心设备做好全网的策略规划之外，另外就是要提高网络的健壮性，增加网络总的可用带宽，将发生此类情况时候，可以作出对应策略，而这用万兆平台来进行解决是最直接和最有效的方法。1.3.2 管理资源占用流量分析中国政法大学校园网网络要实现有效和协同运行，必须要同时构建一套较为健全的管理体系，这个管理体系也依靠于网络，这就会在直接业务工作应用以外占据相当部分的网络带宽资源。1、网络管理系统。主要是网管占用的资源，网络监控节点或数据包在网络中的流量；2、安全保障系统。病毒防范、身份鉴别、入侵检测等要采用的任何手段都需要以开销大量的网络流量来支撑；3、资源和运行管理系统。全网的资源和运行管理如数据备份、目录管理、服务管理等都是依附于网络的工作；对以上的管理方面的工作，虽然可以通过分布式技术化解某些对网络带宽占用的因素，但整体上看还是一个比较大的量，可能要占每人网上实际工作流量1/4到1/5的比例。1.3.3校园网主干数据流量分析中国政法大学校园网网络主干流量的是基于业务工作在网上展开的情况分析，实际上对网络流量的需求是逐步提升的，特别是要协同体系出现后，干道的流量会大量的增加。另外目前网络骨干和汇聚链路都使用1000M带宽，考虑到用户同时在线的收敛比，每5个用户中只有一个用户同时在线，那么目前基本不存在带宽收敛。但是后续考虑扩容和技术的前瞻和发展，中国政法大学校园网应具备极高的伸缩能力，以满足其很强的扩展性要求。随着网络业务的发展中国政法大学校园网的主干的总流量会逐渐增大，网络主干链路需平滑过渡到10G（10000M），且支持万兆的捆绑技术，此次神州数码核心和汇聚交换机均属于万兆交换机，具有高密度线速万兆端口。总之，建成的网络系统应从目前中国政法大学的应用出发，从技术上保证目前及未来应用的需求。1.4 网络管理需求分析网络管理中心是整个网络的核心，一个完善的网络管理系统是网络能够稳定可靠运行的保证。中国政法大学的业务是基于新骨干网络的，所以网络管理对于我们的网络来说是至关重要的。好的网络管理平台能够确保生产和业务不致中断，这对于网络系统是至关重要的；高性能的网络有助于提高工作效率和学校的竞争力，网络管理员必须确保这些网络应用能顺利运行；可以确保网络的规模和性能随业务的扩展而增长，不致于拖业务的后腿；可以确保学校数据的安全性和一致性；另外可以降低网络维护的成本。 中国政法大学校园网作为业务信息化的服务平台需要接入各自规划中的未建和已建网络，随着网络的逐渐融合及扩容，网络中会包含大量的各类设备，这就要本次项目的网络管理系统是一个统一的网管平台。另外为了分担网络的维护工作量和网络管理的安全性，中国政法大学校园网网络需要分级分权的能力。网管系统应具有对设备的故障管理、性能管理、配置管理和安全管理等四大基本功能。（1）故障管理智能故障分析。容错运行（备份链路）管理，并说明无缝切换能力。提供多种告警方式，并建立详细的记录，告警可通过多种方式向其它设备输出。（2）性能管理性能管理包括报告运行情况，建立历史记录。实时或定时监视用户信息、设备信息及链路故障信息，并说明故障告警手段。性能评价及测试。流量控制、带宽限制、带宽预留、拥塞管理。（3）配置管理可支持集中网管及分布式网管，并说明其实现形式，支持多种网管操作权限。发现管理与布局管理；管理自动发现的网络信息，以图形化显示。可以带内或带外方式改变设备配置。自动对用户终端设备升级，投标方应说明今后系统软、硬件升级方法。（4）安全管理安全管理包括：授权设施、接入控制、认证、安全记录。1.5 网络层次分析根据网络需求分析网络应包括网络核心层、汇聚接入层，其中：1.5.1 核心层需求分析目标：高速运送流量，主要工作是交换IPv4和IPv6数据包。高可靠性及冗余性提供故障隔离具有高密度10GE接口交换能力较少的时延和好的可管理性良好的策略路由支持能力在中国政法大学校园网中骨干设备担负着连接各个汇聚设备和部分接入的工作，同时通过骨干设备的互联，将分布在各物理位置的校园教学科研网、校园行政办公网络连接在一起形成一套完整的网络。由于骨干层设备担负着整个网络的流量。骨干设备和链路的稳定性将直接影响整个网络的可靠运行。骨干光纤链路和骨干设备可以组成光纤环网，能够提供光纤环的自动保护，当某段光纤链路出现故障时，要求具有快速自愈的能力。由于骨干设备在网络中核心的位置需要高性能，所有的功能部件(电源、系统总线、处理器模块、网络接口模块等)均可以热插拔和冗余热备份等特性。完成网络骨干层高速数据交换、转发以及稳定性的要求。骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种业务的高质量传输，才能使网络不成为宿舍网业务开展的瓶颈。1.5.2汇聚层需求分析IPv4和IPv6接入隔离拓扑结构的变化控制路由表的大小访问流量及端口的收敛较好的双归上联属性提供较高的可靠性在中国政法大学校园网网络中汇聚设备担负着最终接入用户和骨干设备的连接，网络汇聚层有着承上启下的重要任务。汇聚设备不但要完成接入用户的链路汇聚和流量汇聚还要完成本地数据的交换以及接入和骨干之间的数据转发。作为骨干层的入口和接入用户的出口，汇聚层的身份如同关卡。为保证整个网络良好运行在汇聚层同样需要高性能、高可靠性等特性，另外要求汇聚设备的有高端口密度千兆电接口可以直接连接各楼层未来可能的大量的二层设备，提供更好的新校园网络品质。第二章 中国政法大学校园网网络设计原则2.1 网络建设总体原则目前中国政法大学计划建设一流的新骨干网络。这是一个IP网络，以顺应网络的发展趋势，提供对绝大部分新纪元通讯业务即IP业务的直接支持；这还必须是一个服务性营运级的网络，在稳定可靠性、服务质量QoS、业务类别、安全等方面有较高保障，从而对全校校园网用户提供丰富、易用、可靠的服务，并对其它相关服务网络提供可靠连接，而随着CERNET2的大力推进，新骨干网络全网IPv6也成了必然选择。2.2 设计实现的目的本节是对网络的设计进行一个概述，对于技术方案设计的概述围绕以下几点设计原则展开描述。最后对实现的目标进行简单的陈述。根据目前的需求和未来的发展，神州数码网络公司将本着以下的原则：2.3 网络标准化计算机管理系统就是要实现网络信息及设备资源的共享，完成不同厂商的设备和计算机软件的互连。在一个复杂的大型网络系统里，必然有多个厂商的硬件及软件，为了保证用户的网络系统具有互操作性，可用性，可靠性，可扩充性，可管理性，应建立一个开放式，遵循国际标准的网络系统。对于所有所用到的网络协议，以及接口的电器标准。都将完全符合在中国所应用的国际标准。为将来的扩展消除任何不必要的产品障碍。而且中国政法大学老网络前期工程中已经有了一些厂家的设备,那么后续的扩容设备必须需要考虑和前期设备的互联互通的问题,例如与前期的校园办公网络互联互通，以及国际电信标准的支持程度。2.4 运营级别的可管理性网络的管理主要分为两个层面：（1）搭建网络的基础设备（交换机和路由器）：随着中国政法大学网络规模和复杂程度的增加，管理和故障排除就越来越困难，我们建议网络系统需具有服务质量的控制机制，以保证多媒体业务在网络传输时具有较高优先级。神州数码公司全系列交换机均支持SNMP、RMON II、HTTP、WEB,CLI等网管方式来对整网实施有效的管理，（2）接入网络的用户：对于接入网络的用户的管理主要焦点之一在于对网络用户帐号、网络密码的管理，其管理方式建议考虑要求具备高度的唯一性、安全性和灵活性，例如帐号只能唯一对应某一个学生使用，坚决杜绝多人共享帐号上网的方式；帐号密码等可以由用户在自理界面上进行部分自主管理，例如随时自行修改密码等操作；收费等考虑可以支持多重收费方式，包月、计时、流量等；主要焦点之二在于可以整体依靠神州数码系列交换机的扩展性802.1X以及绑定技术对于网络非法攻击者、网络黑客的准确定位，以及其接入端口的管理，采取隔离或者关闭手段，例如告警后关闭，或者强行关闭等模式。2.5 解决投资保护问题对于投资的保护，是每个用户都关心的问题。每个设备都进行严格的选型，在满足设计原则的功能前提下，提供最具性价比的设备配置方案。成功的网络投资者注重的是投入收益比，而很好的投入产出比要求网络的高性能价格比和强兼容性。对不同技术和设备的兼容在很大程度上保护了用户的投资。“用最少的投入获得最高的网络性能，同时保证投入最长的生命期”是投资保护的最重要的原则。神州数码公司推荐中国政法大学使用的产品DCRS-7600、DCRS-6800系列均属于高密度万兆平台设备，即使中国政法大学后续扩容，也是可以平滑升级到更高密度线速万兆接口，合理而且有效的保护了中国政法大学的投资。同时，神州数码公司做为国内唯一一家全线路由、交换产品均通过IPV6 ready金牌认证的厂家，此次在中国政法大学骨干网改造建设中选择的核心和汇聚交换机均支持IPV6，也极大的保护了用户的投资成本。2.6 校园网络的先进性当今世界，通信和计算机技术发展日新月异。我们的方案要适应新技术发展的潮流。既要保证中国政法大学网络的先进性，同时也要兼顾技术的成熟性。一个大型网络光是能用还不够，必须优化设计才能这真正发挥网络的功能。在中国政法大学校园网交换机的选择上，我们都选用了业界最具竞争力的方案应用在本次建设上，并且对将来的功能扩展也有考虑的。完全满足一个具有先进性的中国政法大学校园网网络方案建议。2.7 打造网络的高可用性和可靠性我们的方案对于网络的重要应用完全支持采用冗余的设计，整网具备良好的健壮性，支持对于重要交换机之间的连接支持采用多条物理链路交换机之间做标准的802.1ad的捆绑，进行逻辑Trunk的链接，既能充分利用网络端口实现成倍的带宽，同时也达到了一个负载均衡和链路备份的目的。对于服务器的可用性实现，我们的基本思想是配置多口网卡，可以支持多个网络的访问，这样就在同一台服务器上可以实现不同类型的业务并且相互隔离对于网络就像多台服务器一样。另外一方面我们对服务器也支持采用备份的链路与备份数据库的链接来完成前台数据库的备份。2.8 构筑高安全性网络对于安全性我们将通过对政法大学用户的区域划分，和对应用层的划分来逐级实现网络的安全性。对内的安全实施包括用交换机进行VLAN的划分，在路由中创建访问控制列表，如此可对一些网络用户实行可控的安全级别。对于业务主机，例如服务器将通过用户权限的认证，实现用户与业务的隔离，避免非法用户的侵入。对重要数据库采取安全备份的机制，避免突发事件造成重要数据的丢失。通过防火墙对外部网络的非法访问进行过滤，防范于未然。2.9 搭建多业务支持平台业务可以说是网络的灵魂，中国政法大学校园网网络到底是否可以实现顺利运营？宽带绝对不仅仅是上网的宽带化而应该是一个多业务的承载网，每个人对宽带的理解和应用都不一样，如何满足各种各样的业务需求。信息的数字化已然成为不可逆转的趋势，成为了学生工作、学习、生活、娱乐不可或缺的一部分，比如正方兴未艾的视频点播、组播，网络可视电话，远程网络会议等等，这些业务对网络设备和带宽的要求非常苛刻。神州数码公司全系列交换机采用基于高性能的ASIC，采用 Crossbar的无阻塞交换结构，提供完全的线速交换能力,并支持IGMP Snooping、DVMRP、PIM-DM等协议，为未来的语音、视频等业务的开展保驾护航。2.10 具备后续可扩展性由于计算机通讯和多媒体应用的不断发展，网络系统必然随之不断扩大。因此，目前的网络设计必须为今后的扩充留有足够的余地，以保护用户的投资，保证用户今后三到五年的网络扩充升级能力。没有人敢说“我的网够用了”。数据网络的速度从从10M到100M、100M到1000M，到10000M，用户的数据传输需求从1K到现在的整个硬盘；网络速度在以指数级的发展，而网络需求也以指数级增长。一个成功的高校网络会具备很强的扩展能力，无论在支持的用户数量方面、对目前各种网络标准的支持还是在对未来新型技术、新业务的支持上都做好了充分的准备，从而会使它的拥有者会自豪的说“我的网准备好了！”。2.11 总体设计实现的目的我们的设计是根据所需的功能要求与将来能支持扩展功能为依据，通过我们对网络的设计，实现的信息化、自动化。本次建议书设计实现的目的，一方面是建设一个完整的基础信息平台，使网络运行流畅，为应用提供一个最适合的逻辑结构。另一方面进一步发展网络的优势来开展各种丰富的业务提高管理与服务的质量与效率。3 中国政法大学新骨干网络总体方案设计3.1 总体设计3.1.1网络拓扑图3.1.2网络系统配置概述根据这次中国政法大学校园网网络的网络需求分析，网络应包括核心层、汇聚层两个层次，其中核心层由神州数码DCRS-7608万兆IPV6核心路由交换机组成，汇聚层设备均采用全千兆硬件支持IPV6交换机DCRS-5950-28T。 3.1.3网络系统可接入业务概述此构造可满足数据、语音、视频的多服务开放性网络，实现任务到任务的通信、远程数据库访问、视频会议、文件传输、虚拟终端、远方作业、内部Web浏览、电子邮件、网络管理等应用。3.2 设备选型设计根据本次中国政法大学校园网网络的设备要求，我们建议：l 核心层推荐选择2台国内第一家的通过IPv6 Ready 金牌认证的DCRS-7608核心交换机，同时此次全部选用硬件ASIC支持IPv6的业务板卡完成中国政法大学两个校区的各种业务的转发及全网的IPv6和IPv4路由。保证核心层的安全性、稳定性、高带宽，两台核心设备间采用10000M以太网连接。核心交换机DCRS7608通过万兆单模光纤与分布在两个校区的4台万兆汇聚交换机相连。l 楼宇汇聚层设备推荐选择神州数码公司DCRS-5950-28T（支持万兆上联，ASIC芯片支持IPV6），根据中国政法大学校园网网络工程的具体情况，在保证网络的安全性和稳定性的前提下，汇聚交换机到所有楼层设备间均提供千兆以太网电接口接入，并支持IPv6和IPv4线速路由转发。3.3 网络结构设计3.3.1 核心层设计核心层性能设计DCRS-7608核心路由交换机采用高性能的可编程ASIC架构以应对各种复杂业务数据流的冲击，这种优化的转发结构可以适应日益增长的网络流量对核心设备的冲击，保障在复杂的应用环境下转发引擎仍然具备对高速接口的线速处理能力，保证核心设备处理性能不降低。其管理模块、电源模块支持冗余备份，支持交流电源和直流电源两种供电方式，板卡、电源、风扇均支持热插拔，可以随时监控各个部件的工作温度，再加上强大MVTE特性以及各种HA特性为DCRS-7600系列提供了电信运营商级的可靠性。柔性化智能化的交换机资源调度技术FlexResource，为核心设备支撑更大规模的网络提供了强有力的保障。极具特色的安全功能，增强ACL-X功能，应用层安全机制SecApp，各种防攻击、防病毒手段如S-ARP、S-ICMP、S-Buffer、Anti-Sweep、CPU核心保护机制和绿色通道机制等，共同构建起强大的安全核心。 核心层可靠性设计（1）卓越的分布式体系结构，数据转发在Crossbar交换平面和独立的线路板转发引擎之间进行，保证每个线路板的线速转发。（2）多平面并行交换网板技术，多个交换网采用负载分担方式并行工作，实现交换容量最大化，支持高密度高速端口的线速转发。单个交换网故障无交换网切换操作，业务不受影响，充分保障核心设备的稳定性和可靠性。核心层服务特性设计l “交换引擎CPU核心保护”：可有效防止各类非法协议攻击导致核心设备交换引擎瘫痪；l “关键协议绿色通道” 功能：可保障正常、合法、速度合理的关键控制报文（STP、MSTP、RIP、OSFP、BGP、组播协议、双引擎板间心跳等）在大流量业务下不被淹没，快速处理不中断；l 先进的LPM技术：可抵抗“冲击波”病毒、“zero day”病毒、“SQL slammer warm”病毒等；l 端口信任模式：则可检测非法DHCP Server、非法Radius Server等，只在信任端口才能接入这些设备，从而保障网络的安全。影响交换机性能的因素有很多：CPU、内存、MAC表、IP地址表、路由表、背板带宽、交换容量等等。这些资源都是有代价的，它们是交换机成本的重要组成部分。所以说，能不能在有限的成本范围内，最大限度地提高交换机资源的利用率，就成为提升性能的有效之道！针对这个用户需求，神州数码网络在7600系列上推出了FlexResource柔性资源调度。可利用路由汇聚、LPM、主机状态感知和资源智能配置、移动主机感知和资源智能配置这几项技术，动态调整、回收和再分配交换机资源。这样，成倍地提高了核心交换机资源的利用率，支撑起更大规模的网络。 核心层策略路由设计DCRS7608可以支持基于标准和扩展访问控制列表，也可以基于报文的长度；而转发策略则更加灵活，可以基于源地址路由、目的地址路由、协议类型路由，服务类型（TOS）路由，报文入接口路由等等方式的策略路由，是对传统IP路由机制的有效增强。通过策略路由，可以实现负载分担等功能。3.3.2 汇聚层设计汇聚层设备性能设计DCRS-5950交换机均支持10G以太网和具有大容量交换背板，并且背板采用无源背板技术，加上CrossBar交换网架构，实现了汇聚设备的无阻塞交换特性，完全分布式交换处理能力有效降低校园网核心设备的转发引擎处理压力，支持高速包转发，充分满足千兆汇聚业务应用对高端汇聚交换机性能的要求。针对此次中国政法大学的要求，完全可以实现端口捆绑。 分布式L2/3/4层交换机处理应用流（视频、话音、数据）、重要用户的优先级，支持策略路由等应用；支持基于端口、MAC、vlan、IP、应用类型等多种QOS；支持8个优先级队列和WRED、WRR、PQ、WFQ、FIFO等流分类、排队、调度和整形机制。赋予交换机高度的智能性，高效支持各种应用业务。支持全线速IPv6硬件转发，能够为所负责汇聚范围内所有用户提供高速的IPv6接入服务。汇聚层设备架构设计 高端交换机背板技术决定了核心产品性能，当其用于网络核心时候甚至直接决定了全网的性能。其技术经历了四代的发展：（1）共享总线技术（2）共享内存技术（3）Crosspoint架构（4）CrossBar架构。CrossBar架构采用无阻塞架构设计，完全解决了第三代技术所不能完全解决1，2代技术带来的CSMACD冲突检测机制交换效率不高的弊端，目前国内外只有少数主流厂家才能实现自主研发该项技术，DCRS-5950系列等产品属于国内领先的具备该项技术的专利产品；这样就从整体构造了一个良好的无阻塞网络平台并提升了中国政法大学网络形象。汇聚层扩展性设计 DCRS-5950系列交换机可以进行专用环形拓扑堆叠，堆叠带宽高达96G，最高可堆叠9台，在单个配线间提供高达432个千兆电口，完全完全满足将来中国政法大学所有配线间的接入点数要求，保证了汇聚设备的扩展性，保证整体设备的高性价比。汇聚层可靠性设计DCRS-5950系列交换机支持双机热备份VRRP协议时候表现优异，业界同类设备中测试切换不丢包，不会造成业务中断。DCRS-5950系列还具有非常出色的安全性功能设计，可有效地防止攻击和病毒，更适合大规模、多业务、复杂流量访问的网络。S-ARP（安全ARP）功能可有效防止ARP-DOS攻击；Anti-Sweep（防扫描）功能可自动监测各种恶意扫描行为，发现该行为后实施报警或者采取其他安全措施，如禁止网络访问等，此特性可将很多未知的新型病毒扼制在大规模爆发之前；S-ICMP（安全ICMP）功能可有效防止PING-DOS攻击，灵活防止黑客利用ICMP Unreachable攻击第三方的行为；安全智能的S-Buffer功能和软件IP流量抗冲击功能可防止分布式DOS攻击（DDOS攻击），并通过智能监控并调整报文数据Buffer和冲向CPU的IP报文队列流量，使得核心交换机在DDOS攻击下，安然无恙。DCRS-5950系列拥有着增强的可扩展安全性 ACL-X。其中，DCRS-5950系列可基于时间段设置安全策略，安全设置随时间而动，在不同的时间段自动切换为不同的策略；智能化流量控制，可基于ACL进行流量分类，比起传统的基于交换机端口、ToS、DCSP、CoS、802.1P的分类方式，ACL-X更加精细和贴近业务分类；而安全策略分发更加灵活，可配置到任意端口、VLAN、VLAN接口，极为灵活。汇聚层智能万兆平台设计本次所配置的所有单台汇聚交换机均带有两个万兆上联模块插槽，将来只需要添加价格低廉的万兆模块就可以升级到万兆上联。即使在线速万兆接口的情况下仍能有效支持分布式L2/3/4层接口板处理应用流（视频、话音、数据）、重要用户的优先级，支持NAT、MPLS、VPN、策略路由等应用；支持基于端口、MAC、vlan、IPv4、IPv6应用类型等多种QOS；支持8个优先级队列和WRR、SP、SWRR、WFQ、CBWFQ、PQ、WRED等流分类、排队、调度和整形机制。赋予交换机高度的智能性，高效支持各种应用业务。汇聚层拥塞控制以及差异化服务DCRS-5950全系列交换机提供了很好的拥塞控制功能，支持半双工模式下的背压技术，和全双工模式下的IEEE 802.3x流量控制技术，并且对每个端口的缓冲区都采用动态智能分配方式，智能排队技术，多达8个队列，可有效支持采用漏桶算法等提高拥塞控制管理的能力，其拥塞控制能力属于最新第三代智能万兆的第一款产品，远远高于业界同类型产品，能提供更好的拥塞控制功能。全线交换机可以统一部署针对每一类用户的服务策略，然后针对策略进行排队、处理、转发；多年来，QoS一直是宽带网络的关键需求。带宽、延迟和延迟变化的需求都是广域网中优先考虑的内容，对于宽带接入网更是如此，能满足不同用户QoS的需求，由于内部网和外部网应用的快速发展对整个网络提出了更高要求，端到端QoS的重要性也在不断增长。QoS可以保护关键任务应用免受多媒体、网络广播及实时视频服务等需要极大带宽的应用的干扰。神州数码网络宽带操作系统DCNOS软件中的QoS机制可以帮助网络对各种网络应用和信息类型进行控制和服务。DCNOS软件的部分关键QoS功能包括但不限于以下：1、加权随机早期检测(WRED)：避免网络流量的振荡。网络管理员可根据信息流量类型的不同而制订不同的RED政策，WRED可以在网络发生拥挤时对重要的信息类型给予优先处理，而对低优先级的数据，在拥塞发生前就有意的有控制的丢弃一些包。2、加权平衡排队(WFQ)：WFQ将信息包分成若干列或类别，然后对信息包的输出进行排程，以满足其带宽分配及延迟要求。WEQ类可根据IP优先权、应用端口、IP协议或引入接口进行指定。3、资源保留协议(RSVP)：应用可以使用RSVP对必需的网络资源进行动态的请求和保留，从而满足其特定的QoS要求。通过代理RSVP功能，Cisco的路由器可使用RSVP代表那些无RSVP功能的应用对资源发出请求。4、IP优先：通过使用现有的IP优先排队机制(如WFQ,WRED等)，IP优先信号在网络中区分QoS。5、基于政策的路由选择(PBR)：PBR根据源地址和应用端口等标准为所选的信息包提供了定制的路由路径，并可经由IP优先权对信息包分类并作出标记，这使得主干网路由器可以在拥挤时给予其优先权。6、端口速率限止(CAR) 在相应端口设置CAR，可以较好地限止接入端的访问速率，使得网络中心带宽合理分配。3.4 网络路由规划中国政法大学学生校园网网络是一个大型的园区网络，为了较好的隔离路由的广播范围，建议采用路由协议进行辅助网络规划。在本次中国政法大学校园网网络项目中核心层选择运行OSPF路由协议，并放置在OSPF AREA 0中。OSPF清晰的域规划，分层概念，限制路由广播范围，适用于大型网络，这样可增强路由的稳定性，也即增强了中国政法大学网络的稳定性。3.4.1内部路由规划的关键因素我们在做中国政法大学校园网路由规划时主要考虑以下的关键因素：l 网络规划和后期维护l 网络系统的升级和网络系统的稳定性3.4.2内部路由规划分析中国政法大学校园网网络络路由规划主要是网络稳定的角度出发，因为传统网络中由于链路和设备的问题会经常导致网络中某个路由发生改变。如何避免路由动荡对网络带来影响是路由规划中最首要考虑的问题。正确的网络规划可以大幅度降低网络路由动荡产生的几率。从规划角度考虑降低路由动荡的产生几率主要是IP地址规划和网络路由实现方式。建议此次采用OSPF路由协议，这是路由协议的选择对中国政法大学新骨干网络工程的稳定性、可靠性与速度有着重要的关系。我们推荐中国政法大学新骨干网络工程建设采用OSPF为路由协议，该协议最主要的几个有点如下：大量节省网络带宽：OSPF属于链路状态协议，只有当网络连接状态发生变化时才彼此更新变化了的拓扑信息，而且每次交换的是自己周围的拓扑结构，而不是所有的路由表项，从而大大节省了网络带宽，这对于中国政法大学这样大型的网络来说很重要。富有层次感的网络结构：网络设计人员可以把一个大型OSPF网络分成若干域(Area)，其中一个是主干0域，例如这次可以将核心环网作为0域，其它则规划为非主干域。同时OSPF还引入了外部路由(external routes)及ASBR (Autonomous System Boundary Router)概念，非OSPF路由均视为外部路由，由ASBR注入到OSPF域。消除路由环路：OSPF属于链路状态路由协议，是基于开放式的最短路径优先的算法，没有环路问题，不会出现类似RIP等协议的分割问题带来的效率影响后果。3.5 网络安全规划在本节中描述的网络安全主要是核心层、汇聚层设备本身从主机安全、网络设备安全、链路安全三个方面着手分析。3.5.1主机安全解决方案对于主机安全的主要问题是如何控制用户对主机的非法访问和病毒攻击，通常对于网外用户主要使用防火墙、IDS系统来进行控制，对于网内用户主要通过内部接入设备以及汇聚、骨干汇聚、核心设备一起提供的整体ACL、VLAN、CAR等解决方案。对于普通病毒主要通过杀毒软件进行控制，而对于网络病毒主要是防止其在网络上大规模传播，塞死网络设备和主机，因此需要对网络病毒的网上传播进行控制，这种控制通常是通过交换设备的ACL访问控制方式进行的。具体对网络病毒保护可见下文。3.5.2网络设备安全分析网络设备的安全，主要包括一下几个方面：第一，网络中的网络设备一直处于高速的数据转发过程中，网络的路由动荡、突发性数据和网络病毒的冲击均对网络设备造成稳定性影响，因此很好的进行网络规划是保证网络设备安全最为重要的工作。第二，电力供应，设备老化也会对设备造成损坏性影响，因此提供关键部件的保护是保护设备安全必须考虑的问题。第三，目前网络上出现DoS/DDoS攻击会对网络设备安全产生非常大的影响，容易在这种攻击下瘫痪，因此如何防护DoS/DDoS攻击也是我们必须要考虑的问题，神州数码公司的设备通过对特定IP包结构进行速率控制，防止UDP报文在网络上泛滥等组合方式可以提供一定的DoS/DDoS防攻击能力，具体对DoS/DDoS的攻击保护的实现方式见附录2。第四，用户通过网络设备提供Telnet管理的方式猜解设备密码，对设备进行从新配置等方式对其进行攻击。对于这种方式可以在设备上通过ACL的配置实现仅有网络中心可以对设备进行Tlenet维护，以保证设备的密码安全。第五，链路安全是网络设计过程中需要重点考虑的问题之一，70以上的网络问题出自于链路故障。因此考虑在某条链路出现故障的情况下仍能保持全部网络或部分重点网络的正常运行是非常重要的。3.6 部分安全现状及其解决办法探讨3.6.1 防止利用共享介质进行网络、线路窃听在接入网中，用户之间的互访流量比较少，大部分的通信流量都发生在用户和网络中心之间，如：用户和视频点播服务器之间的通信流量，用户通过中心交换机访问Internet的通信流量等，大部分的通信流量都涉及用户的私人信息。为了防止非法用户利用共享介质进行网络窃听，最有效的方式就是隔离每个用户的通信端口，使其相互之间在二层不能够进行互访，如果要实现互访则到三层进行控制。隔离用户端口主要可以采取VLAN隔离的方式。在利用VLAN方式实现用户隔离中，给每个用户端口都划分一个VLAN，则用户端口之间阻断广播流量，不能互访，用户端口只能与上行端口进行通讯。3.6.2 恶意攻击之防止DHCP攻击对于DHCP攻击的防犯，802.1x认证可以起到很好的防范作用。因为802.1x认证机制是先通过认证，后给用户分配IP地址。当合法用户通过认证后，才有DHCP的请求过程，并且用户的MAC地址、IP地址等信息会记录在后台信息库上因为其个人信息会记录在案，如果发生攻击可以很好的追查到用户。3.6.3恶意攻击之防范DOS攻击尽管全球网络安全专家都在着力开发抗DoS攻击的办法，但收效不大，因为DoS攻击利用了TCP协议本身的弱点。在交换机上进行设置，并安装专门的DoS识别和预防工具，能最大限度地减少DoS攻击造成的损失。 利用三层交换建立全面的网络安全体系，其基础必须是以三层交换和路由为核心的智能型网络，有完善的三层以上的安全策略管理工具。同时，在网络的设计阶段，就应该进行合理布置。 局域网层 在局域网层上，网管员可采取很多预防措施。例如，尽管完全消除IP分组假冒现象几乎不可能，但网管员可构建过滤器，如果数据带有内部网的信源地址，则通过限制数据输入流量，可有效降低内部假冒IP攻击。过滤器还可限制外部IP分组流，防止假冒IP的DoS攻击被当作中间系统。 其他方法还有：关闭或限制特定服务，如限定UDP服务只允许于内部网中用于网络诊断目的。 遗憾的是，这些限制措施可能给合法应用（如采用UDP作为传输机制的RealAudio）带来负面影响。如果攻击者能胁迫受害者不使用IP服务或其他合法应用，那么这些黑客已经达到了DoS攻击的目的。 网络传输层 以下对网络传输层的控制可对以上不足进行补充。 1、独立于层的线速服务质量(QoS)和访问控制 带有可配置智能软件、独立于层的QoS和访问控制功能的线速多层交换机的出现，改善了网络传输设备保护数据流完整性的能力。 在传统路由器中，认证机制（如滤除带有内部地址的假冒分组）要求流量到达路由器边缘，并与特定访问控制列表中的标准相符。但维护访问控制列表不仅耗时，而且极大增加了路由器开销。相比之下，线速多层交换机可灵活实现各种基于策略的访问控制。这种独立于层的访问控制能力把安全决策与网络结构决策完全分开，使网管员在有效部署了DoS预防措施的同时，不必采用次优的路由或交换拓扑。结果，网管员和服务供应商能把整个城域网、数据中心或企业网环境中基于策略的控制标准无缝地集成起来，而不管其采用的是复杂的基于路由器的核心服务，还是相对简单的第二层交换。此外，线速处理数据认证可在后台执行，基本没有性能延迟。 2可定制的过滤和“信任邻居”机制 智能多层访问控制的另一优点是，能简便地实现定制过滤操作，如根据特定标准定制对系统响应的控制粒度。多层交换可把分组推送到指定的最大带宽限制的特定QoS配置文件上，而不是对可能是DoS攻击的组制订简单的“通过”或“丢弃”决策。这种方式，既可防止DoS攻击，也可降低丢弃合法数据包的危险。另一个优点是能定制路由访问策略，支持具体系统之间的“信任邻居”关系，防止未经授权使用内部路由。以神州数码网络有限公司的DCNOS套装软件为例，它映射和覆盖了IEEE 802.1p和DiffServ标记，使所有交换机都能忽略、观察或处理从“不信任邻居”发来的任何DiffServ标记。这些机制，可使系统管理员根据来自特定邻居的流量调整内部路由策略。 3定制网络登录配置 网络登录采用惟一的用户名和口令，在用户获准进入前认证身份。网络登录由用户的浏览器把动态主机配置协议（DHCP）递交到交换机上，交换机捕获用户身份，向RADIUS服务器发送请求，进行身份认证，只有在认证之后，交换机才允许该用户发出的分组流量流经网络。在IEEE 802.1草案中已规定，网络登录机制可控制用户对交换机的访问，最大限度地降低直接DoS攻击的危险。同时，网络登录为管理和跟踪内部用户提供了一种强健的机制。3.6.4防止地址盗用、非授权访问、冒充合法用户对于此类非法操作可以采用绑定技术来解决。要防止IP地址的盗用，可以在交换机中将IP地址和MAC地址绑定在一起，以此来限制用户在登录网络时，只有IP和MAC地址同时满足预定义的参数时才可以访问网络。要防止MAC地址被盗用，需要使用端口绑定技术，就是只有当用户的IP地址或MAC地址与交换机的物理连接端口同时满足预定义时，用户才可以享用网络的资源。绑定技术将用户进入网络的判断依据从单一的IP地址扩展成IP地址、MAC地址、交换机物理端口、网络协议等多个条件同时满足，可以因此彻底杜绝地址盗用的问题。而目前神州数码公司的超强绑定功能，包括：帐号、密码、帐号状态、失效日期、MAC地址、IP地址、NAS IP地址、NAS 端口。3.6.5交换机主动防范病毒攻击传统的安全防范方式基本采用防火墙来保护网络，这种是一种对特定部分网络或者特定主机进行保护的被动式防范措施，这种方式主要的思想是防范外部的攻击、保护特定的主机。但目前的现实情况是没有攻不破的主机，没有攻不进的网络。这种方式的投入都比较高昂，并且基本无法防范内部的攻击。利用神州数码公司提供的接入交换机结合神州数码IDS入侵检测系统、神州数码DCBI3000认证计费软件等，可以实现3D-SMP解决方案（见附件），真正实现网络设备的动态防御机制。目前的病毒从对用户的影响可以分为：侵占或破坏主机资源的病毒，侵占网络资源（网络带宽、网络设备）的病毒。这几年侵占网络资源的病毒逐渐呈上升趋势。案例1：通过接入层交换机的基于五元组的访问控制功能做到对蠕虫病毒的防范：从1月25日开始一种新的利用MSSQL Server 2000漏洞转播的攻击性蠕虫病毒大规模爆发，这种病毒转播的手段和去年的红色代码和NIMUDA病毒非常相似都是利用系统自身的漏洞进行感染后，后台开大线程在网络中以随机的IP地址为目标进行传播，由于大量的UDP包采用随机地址转播给网关设备路由器等造成了负载压力过大，导致众多网络速度减慢直至瘫痪停止响应。 分析： 该蠕虫本身非常小，仅仅是一段376个字节的数据。利用的安全漏洞是“Microsoft SQL Server 2000 Resolution服务远程栈缓冲区溢出漏洞”（/index.php?act=sec_bug&do=view&bug_id =3148）。 该蠕虫利用的端口是UDP/1434，该端口是SQL Server Resolution服务。Microsoft SQL Server 2000支持在单个物理主机上伺服多个SQL服务器的实例，每个实例操作需要通过单独的服务，不过多个实例不能全部使用标准SQL服务会话会话端口(TCP 1433)，所以SQL Server Resolution服务操作监听在UDP 1434端口，提供一种使客户端查询适当的网络末端用于特殊的SQL服务实例的途径。当SQL Server Resolution服务在UDP 1434端口接收到第一个字节设置为0x04的UDP包时，SQL监视线程会获取UDP包中的数据并使用此用户提供的信息来尝试打开注册表中的某一键值，如发送x04x41x41x41x41类似的UDP包，SQL服务程序就会打开如下注册表键：HKLMSoftwareMicrosoftMicrosoft SQL ServerAAAAMSSQLServerCurrentVersion攻击者可以通过在这个UDP包后追加大量字符串数据，当尝试打开这个字符串相对应的键值时，会发生基于栈的缓冲区溢出，通过包jmp esp或者call esp指令的地址覆盖栈中保存的返回地址，可导致以SQL Server进程的权限在系统中执行任意指令。 就开始向随机IP地址发送自身，由于这是一个死循环的过程，发包密度仅和机器性能和网络带宽有关，所以发送的数据量非常大。该蠕虫对被感染机器本身并没有进行任何恶意破坏行为，也没有向硬盘上写文件。对于感染的系统，重新启动后就可以清除蠕虫，但是仍然会重复感染。由于发送数据包占用了大量系统资源和网络带宽，形成Udp Flood，感染了该蠕虫的网络性能会极度下降。一个百兆网络内只要有一两台机器感染该蠕虫就会导致整个网络访问阻塞。传统的解决方案：立即在防火墙或者路由器上阻塞外部对内和内部对外的UDP/1434端口的访问，这个端口的禁止对内部的SQL SERVER的服务没有直接影响。如果该步骤实现有困难可使用系统上的TCP-IP筛选来阻塞对本机UDP/1434端口的访问。解决方案缺陷：如果内部已经有其他主机感染，防火墙则无能为力。采用神州数码交换机的解决方案：在除了需要使用UDP/1434端口的访问服务的主机所连端口之外的所有端口上利用访问控制功能阻塞外部对内和内部对外的UDP/1434端口的访问。做到这种病毒在网络内部的传播。而且非常容易定位