电子政务网建设方案文献

1、电子政务网建设技术建议书目录 TOC o 1-5 h z 前言 2 HYPERLINK l bookmark5 o Current Document 网络平台需求分析 2 HYPERLINK l bookmark7 o Current Document 网络建设目标 4 HYPERLINK l bookmark9 o Current Document 网络建设原则 5 HYPERLINK l bookmark11 o Current Document 网络平台基础建设 6 HYPERLINK l bookmark13 o Current Document 网络整体结构 6 HYPERLINK

2、l bookmark15 o Current Document 电子政务内网解决方案 8 HYPERLINK l bookmark17 o Current Document 电子政务外网解决方案 9 HYPERLINK l bookmark19 o Current Document 电子政务安全解决方案 10网络平台QO轴障 14 HYPERLINK l bookmark23 o Current Document QCS及其功能 14 HYPERLINK l bookmark25 o Current Document 电子政务网络 QOS设计原则 15 HYPERLINK l bookmark

3、27 o Current Document 体系结构的选择 15H3c路由器 DFFSERV莫型 16 HYPERLINK l bookmark29 o Current Document H3c路由器 QO敛现机制 17 HYPERLINK l bookmark31 o Current Document 流分类 17流量监管 18DHC琳记/重标记 18 HYPERLINK l bookmark33 o Current Document 队列管理 19 HYPERLINK l bookmark35 o Current Document 队列调度和流量整形 19 HYPERLINK l book

4、mark37 o Current Document QOSffi置和管理 19 HYPERLINK l bookmark39 o Current Document 网络管理平台解决方案 20 HYPERLINK l bookmark41 o Current Document 网管实施方案 21运维建议 21网管运维建议 21 HYPERLINK l bookmark46 o Current Document 网管安全措施 21 HYPERLINK l bookmark48 o Current Document 路由器/交换机相关参数设置 22 HYPERLINK l bookmark50 o

5、Current Document 网络流量分析解决方案 22 HYPERLINK l bookmark52 o Current Document NETSTREA皿术 23 HYPERLINK l bookmark54 o Current Document 方案逻辑组成 24 HYPERLINK l bookmark56 o Current Document H3CI MCNTA解决方案功能特点 24 HYPERLINK l bookmark58 o Current Document 用户行为审计解决方案 27 HYPERLINK l bookmark60 o Current Document

6、 用户行为审计技术 28 HYPERLINK l bookmark62 o Current Document H3C UBAS用户行为审计解决方案 29 HYPERLINK l bookmark64 o Current Document 网络内部控制解决方案 31 HYPERLINK l bookmark66 o Current Document 网络内部控制的重要性 31 HYPERLINK l bookmark68 o Current Document H3C EAD端点准入方案简介 32 HYPERLINK l bookmark70 o Current Document H3C EAD端

7、点准入方案部署 35 HYPERLINK l bookmark72 o Current Document H3CEAD解决了哪些问题 35政府及事业单位一直是中国信息化的先行者，政府网络的建设已经比较完善。随着“电子政务”建 设的进一步深入，政府信息化建设重点变化明显，电子政务业务系统的受重视程度继续加强；而办公自 动化、信息安全和政府门户网站建设的受重视程度显著加强。按照政府网络管理的要求，必须保障含有国家机密信息的“内网”不但要求的绝对安全。但随着电 子政务、网上政府、政府自身的信息化业务系统等的发展，政府与自身各分支机构、外界相关单位信息 交互的“外网”安全和互连互通就变得更为必要。此外

8、网络的安全问题日益显得尤为重要。2网络平台需求分析随着电子政务系统信息化的发展，电子政务内网网络平台逐渐从“分离的专网”向“统一网络平台”转化，成为主流的建网思路。其基本思想都是在一个统一的网络平台上为各种业务系统提供传输通道， 以及方便地实现流程整合。统一网络平台解决了业务专网建设思路存在的问题，其优势如下：利于网络扩展：当增加新的业务系统时不需要建设新的专网，而是由网络平台统一分配网络资源； 当业务专网扩容时不需要单独扩容，首先通过统一网络平台扩展其容量，当统一网络平台容量不足时再 考虑对整个平台进行扩容。管理成本低：统一网络平台由专门的部门统一维护，不需要每个业务部门都设置网络管理员及网

9、管， 极大地降低了管理成本。网络资源利用率高：由于各业务系统对网络资源（如带宽）的需求由统一网络平台来满足，可以根 据各业务系统实际的流量动态调整带宽，充分利用网络资源。利于业务系统之间的信息共享和流程整合：由于各业务系统采用统一的网络平台，相互之间很容易实现互访，为在将来进行信息共享及业务横向提供了良好的基础。为充分满足电子政务系统信息化发展的要求，统一网络平台还需要满足以下的关键业务需求：部门系统之间的安全隔离：不同部门系统之间需要提供安全隔离，避免非法访问。电子政务系统业务系统之间的互访：部分业务系统，如领导决策公文下发数据、政策公布、业务数据上报业务等之间有相互访问的需求，随着业务纵向

10、整合的开展各单位系统之间需要更加紧密地联系在一起；网络平台必须满足各单位系统互访的要求及安全性。不同业务系统的差别服务（COS） ：不同业务系统，需要网络平台提供差别服务，诸如电子政务系统对OA办公和语音通话等有很大的需求，数据、视频和监控对带宽、实时性有不同的要求。为业务系统提供灵活的网络拓扑：各应用系统的业务网络逻辑模型是不同的，有的业务需要星型结构的网络，有的系统需要网状结构。电信级的可靠性：电子政务网是政府系统关键业务平台，其网络平台必须具有电信级的可靠性，在设计中要充分考虑设备、链路、路由的冗余，以及快速自愈恢复能力。可管理：建议引入电信级的网络管理和业务管理方法，以确保网络和业务运

11、行的稳定可靠。可扩展：网络平台的设计应该是能够充分考虑可扩展性，包括链路带宽的扩展、设备容量的扩展，以及拓朴的优化。可优化： 可以将电子政务网承载的各单位系统业务看成是统一网络平台的一个 “客户” 。 网络平台需 要对每一个客户（如监控、视频系统）等进行实时的监控，不断优化其网络资源。电子政务网方案本着先进性、现实性和经济性统一的原则进行设计，设计的网络具有高性能、高可靠性、扩展性、标准化和可管理性的特点，能灵活地根据需求提供不同的服务等级并保证服务质量。该网络将采用最先进的网络技术和高速设备，为电子政务等各类信息系统提供统一的综合业务网络平台，与原有设备和网络实现良好的互通，降低管理成本和提

12、高管理效率。2.1 网络建设目标电子政务内外网，主要包括所需要的路由器、交换机、网管、网络准入系统、防火墙、IPS 等设备及工程所需要的配套设备等。工程功能可实现系统的内网办公、上联市一级电子政务内网、访问 Internet网络的建设是为业务的发展服务，综合考虑几年内业务发展及现有网络状况，电子政务内网建设要达到如下目标：电子政务内网业务数据由同一网络平台承载，电子政务网络的建设，应该考虑到网络的扩展性、可靠性、安全性。IP 电话业务、监控和会议电视，为各部门工作的开展提供灵活方便的手段。数据、语音等（后续将要运行的监控、视频）各类业务应用对网络的需求在实时性、带宽需求、接入方式、安全性、数据

13、分布特征等方面各有其特点。因此，在进行电子政务内网的建设时，需要在网上开展IP 视频业务、监控业务及会议电视等相关的业务。建立统一的综合信息系统平台网络。按照业务的需要，建设骨干网络， 统一全网的安全控制措施和安全监测手段。集中网络管理，实施分级维护；进一步规范IP 地址的应用；积极开展网络综合应用。将电子政务内外网建设成为一个综合、高性能的网络：综合性为多种业务应用与信息网络提供统一的综合业务传送平台。支持 QOS能根据业务的要求提供不同等级的服务并保证服务质量，提供资源预留，拥塞控制，报文分类，流量整形等强大的IP QOS功能。高可靠性具有很高的容错能力，具有抵御外界环境和人为操作失误的能

14、力，保证任何单点故障都不影响整个网络的正常运作。高性能在高负荷情况下仍然具有较高的吞吐能力和效率，延迟低。安全性具有保证系统安全，防止系统被人为破坏的能力。支持AAA功能、ACL IPSEC NAT ISPkeeper、路由验证、CHAP PAP CA MD5 DES 3DES日志等安全功能以及 MPLS VPN扩展性易于增加新设备、新用户，易于和各种公用网络连接，随系统应用的逐步成熟不断延伸和扩充，充分保护现有投资利益。开放性符合开放性规范，方便接入不同厂商的设备和网络产品。标准化通讯协议和接口符合国际标准。实用性具有良好的性能价格比，经济实用，拓扑结构和技术符合骨干网信息量大、信息流集中的

15、特点。易管理为达到集中管理的目的，网络平台支持虚拟网络，并可与路由器、骨干和局域网交换机配合，整个网络可以进行远程控制。集中网管具体方案参见网管部分的描述。有效性保证 5 年以内硬件设备无需升级，就可满足一般业务的需要，且运行稳定可靠。2.2 网络建设原则为达到网络优化和将来扩展的目标要求，在电子政务内外网，应始终坚持以下建网原则:高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常 运行。标准开放性支持国际上通用标准的网络协议（如TCP/IP）、国际标准的大型的

16、动态路由协议（如BGPQSPF等开放 协议，有利于以保证与其它网络之间的平滑连接互通，以及将来网络的扩展。灵活性及可扩展性根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。可管理性对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、 端口等的管理、流量统计分析，及可提供故障自动报警。安全性制订统一的骨干网安全策略，整体考虑网络平台的安全性。可以通过VPN和VLAN实现各业务子网隔离，全网统一规划IP地址，根据不同的业务划分不同的子网（subnet）,相同物理LAN通过VLAN的方式隔离，不同子网间的互通性由路由策

17、略决定。保护现有投资在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级，对其他的设备用作骨干网外联的接入设备。统一标准、统一平台网络的互联及互通关键是对相同标准的遵循，在网络中，由于有多个网络并存，要使这些网络能融合到一起，实现业务整合及数据集中等业务，就必须统一标准。在具体实施中，必须统一规划IP 地址及各种应用，采用开放的技术及国际标准，如路由协议、安全标准、接入标准和网络管理平台等，才能保证实现网络的统一，并确保网络的可扩展性。3 网络平台基础建设3.1 网络整体结构电子政务系统整个网络系统划分成内网和外网，两个物理隔离的网络。内网和整个电子政务网络相连，承载上联上一级电子

18、政务网、办公OA等业务。外网主要负载一些对外业务，如访问 Internet 、网站信息公示等。从政府系统行政管理和技术的角度来看，建议采用层次化的网络设计结构，这样既方便了管理，也有利于扩展和灵活布置。 TOC o 1-5 h z 采用层次性设计方案的优势:网络及路由层次清晰:分层网络结构，路由设计更清晰，可以尽量避免核心区域的路由受到边缘链路震荡的影响。网络及业务扩展性好，降低建设成本:采用分层结构之后，在电子政务系统内网业务扩展（ 带宽扩展、节点扩展） 时，可以通过内网核心层扩展端口来实现。当增加一个部门或科室，直接在核心核心交换机上扩展端口，降低了投资成本，提高了网络的扩展性。分层结构在

19、业务扩展时对网络核心层及路由规划没有影响，平滑过渡。而如果在核心交换机上直接扩容需要更改大量骨干设备的配置及路由规划。网络可靠性高:采用分层结构之后，功能模块相互独立，如FE/GE接入、NX 2M接入、核心转发由不同的设备来完成，不会相互影响，提高了整个网络的可靠性。整个网络方案在路由备份、物理位置分离、局域网链路备份、虚拟路由备份、设备级可靠性等方面做了比较充分的考虑，可有效保证电子政务网络的健壮性。便于维护采用分层结构之后，功能模块相互独立，如FE/GE接入、E1接入、核心转发由不同的设备来完成，设备的配置大大简化，便于维护，也便于网络故障定位。采用分层结构，在业务扩展时简单高效，极大降低

20、了管理难度。基于上面对层次化设计、局域网技术和广域网技术的分析，设计了电子政务网络。在网络的设计上 主要考虑了网络的性能、可靠性、安全性以及结合国际上成熟可靠的设计思想而提出的。整个电子政务系统的内外网设计采用层次结构，除了可以满足本身业务上和实现办公自动化等的一些基本应用外，未来也可以实现远程监控、视频会议等一些增值的应用。下面介绍一下网络的总体结构。3.2 电子政务内网解决方案新建办公大楼共23 层，主机房位于第四层，分机房在1 3 层部署一间，其余每隔2 层部署一间机房，内网的建设对各项业务的运转至关重要。下面内网的拓扑图：整个内网的主要架构特点：电子政务内网采用核心、接入的扁平化两层架

21、构，提高了访问速度，管理更方便。网络核心处采用一台高端交换机作为网络的核心，采用双引擎双电源，增强核心设备的可靠性，同时保证数据在双引擎转发的负载分担。各楼宇的接入交换机通过千兆光纤链路上行，与核心交换机相连。整个网络千兆骨干、百兆到桌面，数据传输在链路上没有拥塞。每个分机房部署一台48 口的接入交换机，接入各层的信息点。5)内部局域网安全隐患远远高于外部，在某些PC终端在感染了攻击性病毒后，会不停的对网络中的其他PC终端和服务器发动网络攻击，轻者导致一些用户不能正常上网，重者导致服务器和网络瘫痪。因为网络中所有数据都通过核心交换机进行转发，只要在核心交换机上扩展一块内置防火墙模块，其功能就相

22、当于在核心交换机上的每条链路都部署了一台高性能防火墙，通过这种方式来防御下面终端的攻击。而且防火墙模块可以对不同的部门进行访问权限的划分，控制各种用户访问权限。为防御外部和内部的4 7 层的网络攻击，特别是一些恶性病毒，如木马、蠕虫病毒等，建议在网络中部署IPS系统。但把IPS设备部署到网络前端时，会出现路由器、 IPS、防火墙等串行单点部署的情况，整个内网运转时一旦一台设备出现故障，会导致整个网络出口中断，后果不堪设想。我们建议将单独的IPS 设备替换成一块能在核心交换机上扩展的IPS 模块，不但能有效的解决串行单点部署的情况，而且因为它部署在核心交换机上，所有经过核心交换机的数据都能经过I

23、PS 模块过滤，对数据中心的服务器进行应用层保护，可以有效的防止DDO敛击，和数据库数据更改等黑客行为，整网安全性进一步提高。服务器均以千兆链路直接连接核心交换机，提高服务器的访问速度。在网络的出口处，部署一台高性能的路由器，承担数据的路由转发功能，上联上一级电子政务网。在同时对内网地址做 NAT地址转换（NAT地址转换的功能也可以放在核心交换机的防火墙模块上） 9）为有效防范非法计算机接入到上下级电子政务网内部网络中，和防范合法计算机在安全状态不满足要求的情况接入到网络中，并根据不同用户享有不同网络使用权限。你安全吗?接入请求身份认证合法用户安全认证你是证?:非法用户:拒也-强制加固隔离区动

24、态授杈合格用户行为审”不日用户享 受不日的阿 络使用楹限侑:可以做 什义？你在做 什幺?：不告搭：边人隔离区电子政基平台10）内网承载的业务多为重要的业务，需要信息中心工作人员对整网的安全事件时刻关注，且网络的安 全状况通常是根据各种网络设备的日志来进行分析的，为方便网络管理员对整网安全事件进行统一管理，建议在服务器区配置一台安全管理中心 SecCenter ,对整网设备的安全日志进行统一收集并分析。并可生成各种形式的报告，方便向上级领导汇报。11）为避免多个业务系统采用不同网管软件给管理员带来的麻烦和困扰，建议对整网网络设备、业务、用户进行综合管理，方便管理员进行统一管理。12）为帮助管理员

25、方便的对设备配置文件和软件文件进行集中管理，包括配置文件的备份、恢复以及批量更新、设备软件的备份和升级等功能，在iMC上附送了一个中心业务组件 iCCo13）为帮助管理员对整个网络流量进行有效监控，如可以统计设备接口、接口组、IP地址组、多链路接口的（准）实时流量信息，包括流入、流出速率以及当前速率相对于链路最大速率的比例等，建议配置一套网络流量分析系统，包括在核心交换机上扩展一块网络流量分析模块，和在智能管理中枢iMC上配置一个网络流量分析组件 NTA3.3电子政务外网解决方案外网上运行的业务相对内网而言，虽然承载的业务重要性要低些，但在网络设计和设备选型不能降 低标准。下面是电子政务外网拓

26、扑图： 整个外网的主要架构特点:网络核心处采用一台高性价比交换机作为网络的核心，配置双电源。各楼宇的接入交换机通过千兆光纤链路上行，与核心交换机相连，整个网络千兆骨干、百兆到桌面，数据传输在链路上没有拥塞。服务器均以千兆链路直接连接核心交换机，提高服务器的访问速度。在网络的出口处，部署一台高扩展性的路由器，承担数据的路由转发功能。每个分机房部署一台48 口的接入交换机，接入各层的信息点。7)在路由器的后端部署一台防火墙，对外网数据进行过滤，并对内网地址做NAT地址转换。此种组网方式避免了出口的单点故障，一旦防火墙模块出现问题，也不会出现断网情况，路由器本身有较强的NAT地址转换功能，可接替防火

27、墙的职责。为避免多个业务系统采用不同网管软件给管理员带来的麻烦和困扰，建议对整网网络设备、业务、用户进行综合管理，方便管理员进行统一管理。为帮助管理员方便的对设备配置文件和软件文件进行集中管理，包括配置文件的备份、恢复以及批量更新、设备软件的备份和升级等功能，在iMC 上附送了一个中心业务组件iCC。为方便管理员对终端用户的上网行为进行事后审计，追查用户的网络行为，满足相关部门对用户网络访问日志进行审计的硬性要求，建议配置一套网络行为审计系统，包括在智能管理中枢iMC上配置一个网络用户彳T为审计组件UBAS和一个能生成七层日志的DIG探针。建议在外网上部署一套无线系统，无线平台将依托电子政务外

28、网平台，采用集中控制、分布式部署的模式来建设。在电子政务外网上扩展无线插卡来实现对于全网无线系统的统一管理和配置，对前端的无线AP进行统一的配置管理及认证管理。由于外网接入层设备能够支持较好的PO助能，所以在无线网络部署时，不需要考虑其电源位置，使无线AP能够更加灵活的部署。电子政务安全解决方案网络安全问题已成为信息时代企业和个人共同面临的挑战，电子政务网络安全状态也很严峻。现在计算机系统受病毒感染和破坏的情况相当严重，电脑黑客活动已形成重要威胁，信息基础设施面临网络安全的挑战，信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。本次方案设计的H3c的网络设备提供很高的安全性，通过这些安

29、全特性可用构成一个安全的网络环 境。(1)端口+ IP+MACM址的绑定用户上网的安全性非常重要，端口+IP+MAC地址的绑定关系，H3c交换机可以支持基于 MACM址的802.1X认证，整机最多支持1K个下挂用户的认证。MACM址的绑定可以直接实现用户对于边缘用户的管理，提高整个网络的安全性、可维护性。如：每个用户分配一个端口，并与该用户主机的MAc、 IP、 VLAN等进行绑定，当用户通过802.1X客户端认证通过以后用户便可以实现 MACM址+端口+ IP+用户ID的 绑定，这种方式具有很强的安全特性：防D.O.S的攻击，防止用户的 MACM址的欺骗，对于更改 MAO址的用户（MACM址

30、欺骗的用户）可以实现强制下线。（ 2）接入层防Proxy 的功能考虑到政府系统用户的技术性较强，在实际的应用的过程当中应当充分考虑到Proxy 的使用，对于Proxy的防止，H3c公司交换机配合 H3c公司的802.1X的客户端，一旦检测到用户 PC机上存在两个活动 的IP地址（不论是单网卡还是双网卡），H3c系列交换机将会下发指令将该用户直接踢下线。（3） MAC%址盗用的防止在网络的应用当中IP 地址的盗用是最为经常的一种非法手段，用户在认证通过以后将自己的MAc地址进行修改，然后在进行一些非法操作，网络设计当中我们针对该问题，在接入层交换机上提供防止MACM址盗用的功能，用户在更改MAC

31、M址后，交换机对于与绑定MACM址不相符的用户直接将下线，其下线功能是由接入系列交换机来实现的。（4）防止对DHCPI艮务器的攻击使用 DHcPServer 动态分配IP 地址会存在两个问题：一是DHcPServer 假冒，用户将自己的计算机设置成DHCP Server后会与局方的 DHCP Server冲突；二是用户 DHCP Smurf用户使用软件变换自己的 MACM址，大量申请IP地址，很快将 DHCP勺地址池耗光。H3c交换机可以支持多种禁止私设DHCP Server的方法。（ 5） Private VLAN解决这个问题的方法之一是在桌面交换机上启用Private VLAN的功能。但在

32、很多环境中这个功能的使用存在局限，或者不会为了私设DHCP艮务器的缘故去改造网络。（ 6）访问控制列表对于有三层功能的交换机，可以用访问列表来实现。就是定义一个访问列表，该访问列表禁止source port为67而destination port为68的UD田艮文通过。之后把这个访问列表应用到各个物理端口上。当然往端口一个个去添加访问控制组比较麻烦，可 以结合 interface range 命令来减少命令的输入量。新的命令因为它的全局意义，也为了突出该安全功能，建议有如下单条命令的配置：service dhcp-offer deny exclude interface interface-t

33、ype interface-number interface interface-type interface-numbert | none如果输入不带选项的命令no dhcp-offer ,那么整台交换机上连接的DHC用艮务器都不能提供DHCP服务。exclude interface interface-type interface-number:是指合法 DHCP1艮务器或者 DHCP relay所在的物理端口。除了该指定的物理端口以外，交换机会丢弃其他物理端口的in方向的DHCP OFFERS文。interface interface-type interface-numbert | n

34、one:当明确知道私设 DHCPI艮务器是在哪个物理端口上的时候， 就可以选用这个选项。当然如果该物理端口下面仅仅下联该私设DHC用艮务器，那么可以直接disable该端口。该选项用于私设DHCFW务器和其他的合法主机一起通过一台不可网管的或不支 持关闭 DHCP Offer 功能的交换机上联的情况。选择none 就是放开对dhcp-offer 的控制。(7)防止ARP的攻击随着网络规模的扩大和用户数目的增多，网络安全和管理越发显出它的重要性。由于现在用户具有很强的专业背景，致使网络黑客攻击频繁发生，地址盗用和用户名仿冒等问题屡见不鲜。因此，ARP攻击、地址仿冒、MAG&址攻击、DHCPC击等

35、问题不仅令网络中心的管理人员头痛不已，也对网络的接入 安全提出了新的挑战。ARP攻击包括中间人攻击(Man In The Middle)和仿冒网关两种类型：中间人攻击：按照 ARP 协议的原理，为了减少网络上过多的ARP 数据通信，一个主机，即使收到的ARP 应答并非自己请求得到的，它也会将其插入到自己的ARP 缓存表中，这样，就造成了“ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连)， 他会分别给这两台主机发送一个 ARP 应答包，让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所

36、在的主机间接进行的。黑客一方面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成功地做好转发工作即可。在这种嗅探方式中，黑 客所在主机是不需要设置网卡的混杂模式的，因为通信双方的数据包在物理上都是发送给黑客所在的中 转主机的。仿冒网关：攻击者冒充网关发送免费ARP其它同一网络内的用户U到后，更新自己的ARP表项，后续，受攻击用户发往网关的流量都会发往攻击者。此攻击导致用户无法正常和网关通信。而攻击者可以凭借此攻 击而独占上行带宽。在DHCP的网络环境中，使能 DHCP Snooping功能，交换机会记录用户的IP和MAC信息，形成IP+MAC+Port+VLAN的绑定记录。H3c

37、交换机利用该绑定信息，可以判断用户发出的AR用艮文是否合法。使能对指定VLAN内所有端口的 ARP检测功能，即对该VLAN内端口收到的 AR用艮文白源IP或源MACS行 检测，只有符合绑定表项的ARP报文才允许转发；如果端口接收的ARP报文的源IP或源MA怀在DHCPSnooping动态表项或 DHCPSnooping静态表项中，则 AR用艮文被丢弃。这样就有效的防止了非法用户的 ARP攻击。本次方案设计的华三核心设备都是支持专业的安全板卡，可以在保护用户投资的情况下，增加这些板卡让网络具有更高的安全性。如果硬件安全板卡的性能不能满足流量的要求的时候，可以通过增加多 个板卡起到动态扩容，负载分

38、担的作用。4网络平台QO乘隙QoS 及其功能在传统的IP 网络中，所有的报文都被无区别的等同对待，每个路由器对所有的报文均采用先入先出FIFO 的策略进行处理，它尽最大的努力Best-Effort 将报文送到目的地，但对报文传送的可靠性、传送延迟等性能不提供任何保证。网络发展日新月异，随着IP 网络上新应用的不断出现，对IP 网络的服务质量也提出了新的要求，例如IP 监控等实时业务就对报文的传输延迟提出了较高要求，如果报文传送延时太长，将是用户所不能接受的（相对而言E-Mail和FTP业务对时间延迟并不敏感）。为了支持具有不同服务需求的监控、视频以及数据等业务，要求网络能够区分出不同的通信进而

39、为之提供相应的服务传统IP 网络的尽力服务不可能识别和区分出网络中的各种通信类别而具备通信类别的区分能力正是为不同的通信提供不同服务的前提所以说传统网络的尽力服务模式已不能满足应用的需要QoS。Quality of Service 服务质量技术的出现便致力于解决这个问题。QoS 旨在针对各种应用的不同需求为其提供不同的服务质量例如提供专用带宽减少报文丢失率降低报文传送时延及时延抖动等为实现上述目的QoS提供了下述功能：报文分类和着色网络拥塞管理网络拥塞避免流量监管和流量整形如果随着电子政务网络的扩展出现拥塞，可采用的QO豉术有：IP优先级分类、CARWRED WFQ CBWFQ ATM CO驿

40、。QO觉一个需要消耗很多处理器资源的应用，为了达到全网最好的使用效率，建议无论是采用VLAN+AC方案，还是采用 MPLS BGP VPN案，建议均采用 DiffServ 机制。在充分计算了各类业务流量的前提下，在接入路由器上采用CAR技术对各类业务流做流量限定、设定IP优先级；在路由器广域网接口上采用CBWF皎术为每一类业务提供确定带宽；通过上述技术可实现QoS。电子政务网络QO毁计原则建议QoS设计符合下面的原则：差异性：为不同的业务提供不同的QoS保证；可管理 : 灵活的带宽控制策略；经济性：有效利用网络资源，包括带宽、VLAN端口等；高可用性: 设计备份路径，采用具备热备份、热插拔能力

41、的设备，并对关键的网络节点进行冗余备份；可扩展性: 采用能够在带宽、业务种类增加时平滑扩容、升级的设备。体系结构的选择为了在 IP 网络上提供QoS， IETF 提出了许多服务模型和协议，其中比较突出的有IntServ (Integrated Services) 模型和 DiffServ (Differentiated Services)模型。IntServ 模型要求网络中的所有节点( 包括核心节点)都记录每个经过的应用流的资源预留状态，需要通过IP包头识别出所有白用户应用流(进彳T MF分类)，同时为每个经过的应用流设置单独的内部队列以分别进行监管(Policing) 、 调度 (Sched

42、uling) 、 整形 (Shaping)等操作。对于现在大型运营网络中的节点，这种应用流( 活动的 ) 的数量非常庞大，会远远超出节点设备所能够处理的能力，而且可扩展性差，仅适合在小规模网络中使用。DiffServ 模型的基本原理是将网络中的流量分成多个类，每个类接受不同的处理，尤其是网络出现拥塞时不同的类会享受不同的优先处理，从而得到不同的丢弃率、时延以及时延抖动。在DiffServ 的体系结构下，IETF 已经定义了EF(Expedite Forwarding) 、AF1-AF4(Assured Forwarding) 、 BE(Best Effort) 等六种标准PHB(Per-hop

43、 Behavior) 及业务。此外，有些厂商实现了基于TOS的分类服务(COS),并且这类设备已经应用在一些现有的运营网络。CO庄口 DiffServ 类似，不过比 DiffServ 更简单，并且不象 DiffServ 那样定 义了一组标准的业务。DiffServ 对聚合的业务类提供 QoS保证，可扩展性好，便于在大规模网络中使用。本次工程推荐使用DeffServ 机制实现QOS。DiffServ 域将设备分为两类，边缘设备和核心设备，其中边缘设备承担了较多的工作，如流分类、标记、带宽限制、拥塞管理、拥塞避免、流量整形等。如果由单一设备全部处理，开销较大，容易形成网络瓶颈，因此需要将这些功能分

44、布到不同的设备上去，如流分类功尽量在边缘实现。在现有网络中，建议在 Access Network 中进行流分类，并通过VLAN、.1p等进行标记，在 POP点进行带宽限制(CAR)和拥塞避免(RED),在所有节点上基于优 先级采用优先级队列调度，实现拥塞管理。如果在整个 Access Network中，通过在业务流经的所有二、三层设备上部署CAR队列机制，这样能够基于VLAN、 802.1p 等信息保证每个用户，每个业务的带宽，实际上就实现了一种类似IntServ 的机制，只不过这时源还是用户，而目的不是远程用户，而是POP点(干线节点及边沿节点)。在POP点和骨干网中根据/继承802.1p标

45、记进行DiffServ 处理， 可以看作是IntServ同DiffServ 的一种结合。这种机制为用户提供了虚拟专线，其QoS可同真正的专线相媲美。H3c路由器DiffServ 模型H3c路由器提供基于 DiffServ 的QOS莫型如下图所示：采用 Diffserv/CoS 的方法需要对所有的IP 包在网络边缘或用户侧进行流分类，打上Diffserv 或CoS标识。DS域内的路由器根据优先级进行转发，保证高优先级业务的Qo艘求。骨干网络实施 Diffserv/CoS ,需要所有相关设备支持，特别对边沿节点有很强QOSfB力需求。在边沿结点的Ingress 方向， 路由器通常需要进行基于MF(

46、Multi-field) 的流分类、基于用户流的流量监管、DSC所记和重标记、队列管理和队列调度、流量整形。基于MF的流分类能力是DiffServ 边沿路由器最重要的考虑因素，主要体现在允许参与流分类的报文的域 (Field) 的丰富程度( 决定路由器识别用户流量的灵活度) 、可配置的流分类规则数的多少( 决定路由器识别用户流量的精细度) 、 流分类处理性能。Ingress 方向的流量监管需要对每个用户流分别进行监管，因此需要路由器具有对大量用户流进行监管的能力。队列管理涉 及 Buffer 管理和拥塞控制功能。在边?目的Egress方向，路由器需要进行基于DSCP勺流分类、DSC通标记/TO

47、S标记、流量整形、队列管理和调度。如果下游域还是DiffServ 域，业务流量出口前根据 ISP双方的SLA可能需要进行 DSCP勺重标记；如果下游域是COSM,便需要进行 TO的记。Egress方向的流量整形使发出到下游域的业务流量的带宽和突发流量属性符合同下游域的运营者 所签订的SLA。核心结点需要完成基于 DSCP勺流分类、队列管理和队列调度，任务简单却要求在高速 接口( 如 2.5G) 时的线速处理性能。H3c路由器QO酸现机制H3CMS蝠由器是针对运营商或者企业网网络骨干及边缘应用的开放多业务路由器，设计并实现了承载包括实时业务在内的综合业务的QoS特性，尤其对DiffServ提供了

48、基于标准的完善支持，包括流分类、流量监管(Policing) 、流量整形(Shaping) 、队列管理、队列调度(Scheduling) 等，完整实现了标准中定义的EF、AF1-AF4、BE等六组PHB及业务。流分类MSR由器允许根据报文头中的控制域信息进行流分类，具体可以包括下面描述的报文1 、 2、 3、 4层的控制信息域。首先输入端口号可以作为重要的分类依据，它可以单独使用，也可以结合报文的其他信息对流分类。二层的重要控制域就是源 MACM址。三层可以参与分类的控制域包括：源和目的IP地址、TOS/DSC叼节、Protocol(协议 ID)、分段标志、ICMP报文类型。四层的源和目的端口

49、号、TCP SYN标志也是允许参与流分类的重要信息域。MSR由器可以对用户报文的几乎全部控制域或这些域的组合进行流分类，可以通过灵活的流分类手段精确地识别大量进入的用户业务流，充分满足组建大型骨干QoS 网络时边沿结点的要求。流量监管流量监管也就是通常所说的CAR是流分类之后的动作之一。通过CAR运营商可以限制从网络边沿进入的各类业务的最大流量，控制网络整体资源的使用，从而保证网络整体白Q QoS运营商合用之间都签有服务水平协议（SLA）,其中包含每种业务流的承诺速率、峰值速率、承诺突发流量、峰值突发流量等流量参数，对超出SLA 约定的流量报文可指定给予pass（通过）、drop（直接丢弃）或

50、markdown（降级）等处理，此处降级是指提高丢弃的可 能性（标记为丢弃优先级降低），降级报文在网络拥塞时将被优先丢弃，从而保证在SLA约定范围之内的报文享受到SLA预定的服务。DHC和记/重标记标记/重标记是是流分类之后的动作之一。所谓标记就是根据SLA以及流分类的结果对业务流打上类别标记。目前RFC定义了六类标准业务即：EF、AF1-AF4、BE,并且通过定义各类业务的PHB （Per-hop Behavior） 明确了这六类业务的服务实现要求，即设备处理各类业务的具体实现要求。从业务的外在表现看，基本上可认为EF流要求低时延、低抖动、低丢包率，对应于实际应用中的Video 、语音、会议

51、电视等实时业务；AF 流要求较低的延迟、低丢包率、高可靠性，对应于数据可靠性要求高的业务如电子商务、企业VPN 等；对 BE流则不保证最低信息速率和时延，对应于传统Internet 业务。在某些情况下需要重标记 DSCP例如在Ingress点业务流量进入以前已经有了 DSC刖 记（如上游域是DSCPM的情形，或者用户自己进行了 DSCP勺标记），但是根据SLA,又需要 对DSCP行重新标记。H3C路由器和交换机支持 RFC定义的标准的 DSCP DS COD E还支持现在有些网上可能 使用的COS CO配以TOS的前三比特作为业务区分点，总共可分8个业务等级，对每一种业务等级均有特定的定义。队

52、列管理队列管理的主要目的就是通过合理控制Buffer 的使用，对可能出现的拥塞进行控制。其常用的方法是采用 RED/WRE境法，在Buffer的使用率超过一定门限后对部分级别较低的报文进行早期丢弃，以避免在拥塞时直接进行末尾丢弃引起著名的TCP 全局同步问题，同时保护级别较高的业务不受拥塞的影响。队列调度和流量整形对于时延要求严格的实时业务等，可以利用内部特有的低时延调度算法满足业务要求；对于带宽要求的业务，带宽保证算法可以实现严格的带宽保证。应用时用户不必关心内部抽象的调度算法，只需要描述业务的流量特征，比如保证多少兆的带宽、峰值最多多少兆的带宽、要占剩余带宽的比例权重等H3c路由器内部将自

53、动采用如下的一种或几种算法来调度：LLS 低时延带宽保证算法，基于时间片的调度；NLS 一般时延带宽保证算法，基于时间片的调度；PBS 峰值带宽保证算法，基于时间片的调度WFQ算法，基于weight值的调度上述算法在完成队列调度的同时，也通过带宽分配和保证实现了流量整形。对于 DiffServ 模型，系统为每个端口预留6 个业务队列，分别对应BE、 AF1-AF4、 EF等业务类别，对 AF1AF4以及EF队列用户可配置其流量参数，数据报文根据由流分类得到的业务类别进入不同的队列，队列根据所配置的流量参数采用不同的调度算法调度报文。QO第已置和管理QoS配置管理中配置、管理QoS分为上行和下行

54、两个阶段。在上行首先对报文进行分类,方法有两种，一是在 Diffserv 域中，根据报文的服务等级标识DSCP乍简单映射得到相应的 QoS 参数；二是在边缘，根据报文的链路层、网络层、传输层信息对报文进行复杂流分类，对匹配某条规则的流执行相应动作，动作可以分为过滤动作，或给报文加上DSCP对流的接入速率进行控制、将流重定向到本地或指定下一跳或MPLS的LSP。然后还要根据分类的服务级别，采用 REDf法对报文进行流量控制。在下行输出时，根据上行分出的服务等级，入相应队列保证输出带宽，同时也要进行流量控制。在不需要QoS保证不进行流分类的情况下，或者报文通过流分类没有相匹配的规则时，对报文作尽力

55、转发(BestEffort) 处理。以下根据配置的相关性分Diffserv 的配置、复杂流分类的配置和流控算法的配置三部分描述配置方法。QoS配置管理的内容主要包括ACL配置，ACL应用配置，行为聚集表配置，上下流控配置，队列配置，采用配置管理，采样数据浏览。ACL配置包括：规则配置，动作配置，时间段配置。规则的配置主要涉及到链路组配置。动作的配置主要涉及到流量参数配置。队列配置主要涉及到流量参数配置。因此在配置设备 ACL应用时必须顺序完成以下几个步骤：链路组配置，流量参数配置，规则配置，动作配置，时间段配置，ACL配置，最后将一条 ACL应用到对应的接口上，或进行全局应用。在 QoS 管理

56、中，可以完成下面性能数据的统计： 流队列转发字节记数、流队列包转发记数、流队列尾丢弃字节记数、流队列颜色丢弃字节记数、规则匹配记数、监管绿色包个 数、监管黄色包个数、监管红色包个数等。网络管理平台解决方案信息化的深入对各行各业都产生了及其深远的影响，政府行业也不例外。信息化对政府行业的影响，毫无疑问是向着正面方向发展，信息化在政府行业中起着越来越重要的作用。随着网络基础架构日趋复杂，传统的设备命令行、简单的管理工具已经不能够满足网络管理的需求。业界的经验证明，选择一个优秀的网络管理系统是保证网络最大可用性的 有效手段。网管实施方案在电子政务内外网各配置一套全网网管中心系统（对整个网络的设备及链

57、路进行监控管理）。全网网管中心全面负责全网设备的管理，能对全网所有设备进行监视和控制。运维建议网管运维建议根据上下级网管中心的操作职能，建议将网管人员分为以下几种角色。网管中心系统管理员 维护人员业务发放人员各个角色的权限不同，分别为:角色名称主要，作职能技术等级网管中心系统管理员.监控全网运行状况.分析网络性能.组织网络规划高网管维护人员.监控本地网运行状况.负责日常设备具体维护.分析处理突发故障中业务发放人员发放具体业务网管安全措施网管的安全管理，操作员的帐号与ip地址、登录时间等进行绑定，在一定范围限定非法入侵。进行网管组网设计时， 设备的业务网段与网管的管理网段进行隔离，例如：采用VL

58、AN隔离的方式，业务用户无法访问网管网。网管增加登录、命令操作等方面的日志功能。路由器 /交换机相关参数设置SNMP1关版本设置SNM劭、议的相应版本统一。SNM股置团体名SNM睬用团体名认证，与设备认可的团体名不符的SNM可艮文将被丢弃。可将对应省调的团体设置为读写(read-write )访问模式，而将对应各地调的团体设置为只读( read-only )模式，不同地区的团体名设置成不同。具有只读权限的团体只能对设备信息进行查询，而具有读写权限的团体还可以对设备进行配置。Trap 报文相关属性设置允许被管理设备主动向区网管工作站发送Trap 报文，所属设备也向网管工作站发送Trap 报文。设

59、置被管理设备发送Trap 的源地址为该设备的loopback 地址(路由器)或管理地址(交换机)。网络流量分析解决方案因为网络中承载的业务非常丰富，管理员需要及时的了解到网络中承载的业务，及时的掌握网络流量特征，以便使网络带宽配置最优化，及时解决网络性能问题。目前业务专网在管理网络当中普遍遭遇到了如下的问题：网络的可视性：网络利用率如何？什么样的程序在网络中运行？主要用户有哪些？网络中是否产生异常流量？有没有长期的趋势数据用作网络带宽规划？应用的可视性：当前网内有哪些应用？分别产生了多少流量？网络中应用使用的模式是什么？电子政务系统内部重要应用执行状况如何？用户使用网络模式的可视性：哪些用户产

60、生的流量最多？哪些服务器接收的流量最多？哪些会话产生了流量？分别使用了哪些应用？1 NetStream 技术NetStream技术是基于“流”的IP信息收集方案，一个流是指来自相同的子接口，有相同的源和目的IP地址，协议类型，相同的源和目的协议端口号，以及相同的ToS的报文。例如，下图中就包括四条流：从Client A 至U WWW Serve由勺HTTP青求流 从 WWW Server!U Client A 的 HTT的答流 从 Client B 到 FTP Server 的 FTP请求流 从 FTP Server 至U Client B 的 FTP应答流从上例中可以很容易地理解，流是单向的