宽带数据城域网系统集成项目策划技术汇编

1、北京首信股份有限公司（北京邮电通信设备厂）宽带数据城域网系统集成项目技术白皮书（第一版）北京首信股份有限公司数据网络事业部技术支持中心二零零一年七月目 录 TOC o 1-3 第一章 城域网差不多概念 PAGEREF _Toc476179633 h 41.1 宽带城域网概念 PAGEREF _Toc476179634 h 41.2 宽带城域网建设兴起的缘故 PAGEREF _Toc476179635 h 5第二章 城域网建设分析 PAGEREF _Toc476179636 h 52.1.宽带城域网建设目标 PAGEREF _Toc476179637 h 52.2.网络承载商能够提供的业务 PA

2、GEREF _Toc476179638 h 62.3.网络运营商能够提供的业务 PAGEREF _Toc476179639 h 62.4 城域网要紧大用户 PAGEREF _Toc476179640 h 7第三章 城域网结构、技术和方案 PAGEREF _Toc476179641 h 73.1.城域网的网络构成 PAGEREF _Toc476179642 h 73.2.城域网网络分层结构 PAGEREF _Toc476179643 h 83.3.城域网数据传输技术简介 PAGEREF _Toc476179644 h 83.3.1.DPT 技术 PAGEREF _Toc476179645 h 8

3、3.3.2.POS 技术 PAGEREF _Toc476179646 h 93.3.3.ATM 技术 PAGEREF _Toc476179647 h 93.3.4.GigaEthernet 技术 PAGEREF _Toc476179648 h 103.4.城域网骨干技术选择的考虑 PAGEREF _Toc476179649 h 113.5 城域网接入技术 PAGEREF _Toc476179650 h 113.6.城域网网络设备选型 PAGEREF _Toc476179651 h 123.6.1.骨干网络产品设备选型 PAGEREF _Toc476179652 h 123.6.2.接入网络产品

4、的选择 PAGEREF _Toc476179653 h 12第四章 城域网治理 PAGEREF _Toc476179654 h 134.1宽带城域网网络治理 PAGEREF _Toc476179655 h 134.1 要紧的大型网络治理系统 PAGEREF _Toc476179656 h 14第五章 城域网网络安全威胁 PAGEREF _Toc476179657 h 165 .1 城域网安全问题以及解决技术手段 PAGEREF _Toc476179658 h 165.2 应用平台安全 PAGEREF _Toc476179659 h 175.3 安全部署 PAGEREF _Toc47617966

5、0 h 19第一章 城域网差不多概念1.1 宽带城域网概念 宽带业务的兴起，城域范围内的用户和信息流的独立，运营收入的要紧来源的缘故已使城域网从计算机的领域里无足轻重的地位进展到当前网络建设的热点，城域网是都市的信息基础，城域网的目的是高速有效的将各种媒体信息送到用户周围。 城域网概念是有计算机网络演化而来的，是介入广域网和局域网之间，在都市及郊区范围内实现信息传输与交换的一个网络，那个地点所讲的城域网，由于数据通讯和电信技术的进展给予了新的含义，城域网是适用于都市的信息基础设施，是国家高速信息公路与都市宽敞用户的中间环节，建筑城域网的目的是：提供单一的通用的和公共的网络架构，用以高速有效传输

6、数据、语音、图象和视频等信息，满足用户日新月异的需求。目前许多国家，城域网正在和国家信息高速公路同步进行进展。城域网的范围大概在80km 内，一般局间中继距离大约在5-7 公里。城域网相关的提法还有宽带城域网，IP 城域网，宽带IP 城域网，无线城域网等。宽带城域网是一个以IP 和ATM 电信技术为基础，集数据、语音、视频服务为一体的高带宽、多功能、多业务接入的可进展的和开放的多媒体通讯网络。1.2 宽带城域网建设兴起的缘故 宽带城域网的建设成为我国的热点要紧有以下的缘故： 1 、都市信息化步划加快 随着网络经济的迅速崛起，各种应用相继推出，电子商务、企业上网、政府上网、智能小区等工程的启动，

7、到目前的信息港、城域网概念的兴起，政府、学校、企业和用户读数据业务的需求日益旺盛，同时，语音、图象等多媒体通信的需求也日益增长，提供宽带多面体的业务，以成为网络运营赏开拓市场的新的空间，宽带城域网以成为信息高速公路建设的重要部分。 2 、我国宽带市场竞争激烈信息服务市场开放程度进一步加大；建设宽带城域网，开拓信息服务新空间；全面满足客户多层次的业务需求；提供新的开拓手段；满足高速增长的宽带业务需求；宽带业务市场将加速运营商格局的变化；竞争主体将多样化。第二章 城域网建设分析2.1.宽带城域网建设目标 目标确实是：以最少的资金（幸免ATM 和IP 多网的重复建设）建设一个先进的（采纳最新的信息技

8、术）、满足综合业务（使的新技术能和旧技术融合、宽带业务和窄带业务融合、有线和无线融合、移动和固定融合）的城域网平台。能为用户提供各种差不多业务（数据、语音和视频）以及增值业务（虚拟专网、IP电话、远程教育），并能迅速获得理由的回报（收回投资的周期短），一进一步扩大市场的占有和提供市场的竞争力。 建设先进的宽带城域网是新一代网络进展的方向。城域网具有必须支持各种不同业务，结构上变化较大，且随着用户的不同而不同，投资量大，接入技术多样，接入方式灵活的特点。总之，城域网是多种技术、产品、网络的融合体，需要以业务需求为主导建设网络。2.2.网络承载商能够提供的业务 随着通信技术的进展，通信运营商将逐渐

9、分为两类主体：承载网络运营商和业务提供商。具有网络资源的运营商，通过带宽的批发占有市场，而更多的业务提供商，将通过提供不同的业务，来实现市场的定位。按业务的分类，城域网能够提供以下的业务： 1 、传统的TDM 业务，包括N*64kbit ，N*2Mbit/s ，N*34Mbit/s,N*45Mbit/s,N*140Mbit/s,N*155Mbit/s,N*622Mbit/s直到10Gbit/s ，既有交换机中继线，基站业务，也有传送34/45M 的接口； 2 、ATM 业务，ATM 业务既能够是34/45Mbit/s，155Mbit/s 借口，也能够是VC4-XC 级接口，或者是IP OVER

10、 ATM OVER SDH 方式； 3 、IP 业务，一般是10/100/1000Mbit/s 为主。按照用户的分类，可分为企业集团用户、行业集团用户、SOHO 和写字楼用户、智能化小区、出租业务等；2.3.网络运营商能够提供的业务目前城域网起步初期要求能够满足两类业务的需求： 1 、QOS 要求较高的互连业务和实时视频业务：基于IP 的语音业务、电子商务、虚拟专网、远程教育、协同设计、协同实验、数字图书馆、电视会议、可视电话、视频广播、食品点播、新闻、广告、虚拟现实、交互式游戏，宽带因特网接入、宽带字能化社区等多种； 2 、QOS 要求较低的INTERNET 上的业务：E-MAIL，FTP

11、、TELNET 等。一般而言，企业互连、实时食品、VOIP 等业务，流量适中，但对服务品质有较高的要求，收费的标准可依照用户的SLAs，按带宽、流量、时延优先级等服务级不来划分，这部分运营收入稳定，价格高，容易产生增殖利润。另一类INTERNET 业务量较大，用户分散，是不能忽视的巨大的潜在消费群体，这部分用户对价格敏感，但对上网的速度和带宽要求较高。2.4 城域网要紧大用户1 、政府上网 目前我国政府办公治理工作的手续登记、请示汇报、公文和会议繁多，而且在相互通信、相互合作及工作协调方面效率较低，建立办公自动化系统是提高政府办公效率的重要手段。确实是实现市政府办公自动化系统，提高市政府各部门

12、通信、协作和协调能力，改善办公环境，提高办公效率和决策水平。2 、大集团用户 建设企业内部的主干网，采纳先进的Internet/Intranet 技术，能够建立一个先进的集团公司虚拟企业网，满足大企业内部信息治理及国内外信息交流的需要。3 、高校 把校园网建成先进的多媒体网络，完成包括图书情报信息、学校行政办工等综合业务信息治理系统，为宽敞教职工、科研人员和学生提供一个在Internet环境下进行教学和科研工作的先进平台。4 、智能小区 建设一个比较完善的数字社区和数字大厦信息服务平台。建设目标是建立基于宽带通信网络的数字社区信息服务平台，基于空间多媒体数据库，为社区用户提供智能信息导航、VO

13、D 多媒体信息服务、WebGIS 服务和电子商务等服务和应用，探究实现中国式的电子商务和社区服务，同时实现技术创新和商业模式创新，实现服务增值和利益回报。第三章 城域网结构、技术和方案3.1.城域网的网络构成 一个城域网应该包括三个方面的综合：基础设施、应用系统和信息。包括数据交换设备、城域网传输设备、接入设备和业务平台设备。城域网的基础设施有主干网络和接入网组成，提供一条覆盖整个都市范围的都市信息高速公路。 城域网的网络能够从分层、分割、分层和分割想结合的角度来分析：城域网网络结构分为若干交换节点组成主干网络（backbone），有若干接入点组成接入网（access subnetwork），

14、以及连接他们的传输网络三部分组成。有将城域网划分为核心层、汇接层和接入层，有的将城域网划分为业务/操纵层、骨干层和核心层。3.2.城域网网络分层结构 在城域网络设计中，可分为三层设计，分不为核心层、分布层以及接入层，各个层次的功能分不如下： 核心骨干层是一个高速的交换主干，为应用提供尽可能高的包交换速度，因此，在这一层上仅可能简化数据的处理，例如：尽量少使用访问操纵列表以及包过滤，这一层要紧的功能是：路径的优化、执行流量的优化，提供QoS 服务、在多条可能的链路上实现负载均衡、交换式的处理能力，如：使用多协议标记交换等。 网络分布层的功能是提供核心层和接入的分界，其要紧提供以下几个功能：多个域

15、的聚合、广播或多播域的操纵、各个网段的路由、传输媒体之间的转换、安全操纵、流量限制及流量分类，为主干提供带宽治理、 接入层的功能确实是最终用户接入网络的能力，这一层能够使用访问操纵过滤和优化用户的需要，其要紧包括以下几个功能：共享的带宽分配、交换的带宽分配、第二层的过滤、多域的微段化、多种接入方式的实现。3.3.城域网数据传输技术简介3.3.1.DPT 技术 DPT 技术是思科公司研发的、基于IP光网络的创新技术，它集成了IP 的智能化和光纤环形网络的高带宽效率。DPT 技术通过直接将IP 和光纤相连，减少了不必要的设备层。从而在现有的解决方案上，为网络营运商提供了性能价格比极好和功能极丰富的

16、解决方案. DPT 的结构是沿相反方向传输包的一对光纤环，一个环称为内环，另一环称外环，它们能够同时用作传输数据流和操纵流；内环和外环将每一个节点相连接，DPT 用一个环在某一方向上传送数据（下行），用另一环在相反方向上传送回送的操纵包（上行）。如此，DPT 能够同时利用两根光纤，使包传送带宽最大化，加速自适应带宽利用和自愈等操纵信号的传播。 到现在为止，只有CISCO 的高端产品支持DPT 卡，同时，该技术还未成为一个行业的标准。3.3.2.POS 技术 IP over SDH 是直接以SDH 网络作为IP 数据网络的物理传输网络。它在数据链路层以PPP 协议对IP 数据包进行封装，把IP

17、分组依照RFC1662 规范简单地插入到PPP 帧中的信息段。然后再由SDH 通道层的业务适配器把封装后的IP数据包映射到SDH 的同步净荷中，然后向下，通过SDH 传输层和段层，加上相应的开销，把净荷装入一个SDH 帧中，最后到达光层，在光纤中传输。IP overSDH，也称Pacdket over SDH（PoS）。它保留了IP 面向无连接的特征。75XX POS 与ATM 的比较就这种业务来讲，POS 相关于ATM 有如下的几个优点：(1)实施简易快捷，总体拥有成本低，收回投资周期短。(2)提高线路利用率。IP 应用目前并不能直接在ATM 上运行，关于昂贵的长途广域网线路来讲，POS 技

18、术比ATM 提高25%30%的线路利用率。(3)减少设备重复投资。(4)进一步扩大带宽的潜力专门大。(5)符合当今网络的业务特征。3.3.3.ATM 技术 ATM(异步传输模式)，是一种面向连接的快速分组交换技术，建立在硬件交换的基础上。它能够为每个工作站分配专用带宽。每个交换机的端口都特定于某一单个节点，同时在ATM 网络中不存在共享的访问方式。信元交换是和ATM相关联的一般性讲法，现有的LAN 能实现到ATM 网的逐步的过渡，需要一种能使LAN 和ATM 自然集成的方法。为此，ATM 标准的两大机构都提出了自己的方案。 IETF 的方案是Classical IP and ARP over

19、ATM，它将ATM 网络实现为一个新的数据链路层，直接将IP 地址映射为ATM 地址。它的优点是效率专门高，但缺点是只针对TCP/IP，假如还有其他网络协议，就必须修改所有的协议ATM 论坛（ATM Forum）的方案是局域网仿真（LAN Emulation），它实际能够被看成是原LAN 层次中MAC 层在ATM 上的虚拟网络技术。由于ATM 是面向连接的技术，因此ELAN 内部的通讯流量只有其成员才有可能收到，具有相当高的安全性，而且ELAN 与传统LAN 相比具有高度灵活、无拥塞和吞吐量大等独特的优点。IP Over ATM 传输模型有以下的两种方式：1 、IP 在ATM 上传输的叠加模型

20、 IP 在ATM 上传输的叠加模型是最早的解决IP 在ATM 上实现传输的方式，其要紧采纳的技术为Classic IP Over ATM，LANE，MPOA 。这些技术实际上是介于IP 层与ATM 层间的中介技术关于IP 在ATM 的传输采纳语言翻译的方式进行实施。2 、IP 在ATM 上传输的集成模型 关于IP 在ATM 上传输的最佳方式即为采纳MPLS(标记交换)的集成模型：其区不与叠加模型的全然点在于抛开中介技术，使ATM 交换机自身具有真正的了解IP 应用的智能化。3.3.4.GigaEthernet 技术 GEN 是IEEE 最新通过的以太网标准（802.1z），该标准能够在铜线、单

21、（多）模光纤上以1000Mbps 的速率传输数据，是在100M 以太网后新一代的主干网络技术。千兆位以太网标准与近1 亿个以太网节点的安装基础保持兼容，使目前的以太网用户能够充分利用他们在产品和知识的投资。千兆位以太网沿用以太网最初标准中的带有检测冲突的载波侦听多路存取(CSMA/CD)访问方法，并包含全双工以及半双工操作模式。千兆以太网技术将显著提高用户所获得的用以访问服务器和应用程序的带宽。3.4.城域网骨干技术选择的考虑 POS 技术和DTP 技术在用户差不多有SDH 设备或能廉价使用SDH 设施以及传输距离专门远的时候，建议采纳POS 技术和DPT 技术。在DPT 技术和POS 技术中

22、，建议采纳DPT 技术假如在用户的SDH 设备无法组成环型结构时，可采纳POS 技术。ATM 技术在用户差不多有SDH 设备或能廉价使用SDH 设施，同时，用户建设网络基础设施时考虑到需要兼顾传统业务，如传统的专线业务以及传统的Frame-Relay 业务。在这种情况下，ATM 主干是唯一选择。关于GE 技术，在传输距离不远，用户没有SDH 设备或无法廉价使用SDH 传输设备的时候，使用GE 技术可部分的减少用户的投资。3.5 城域网接入技术现时期的接入技术只要包括PSTN 接入、ISDN 接入、ADSL 接入、Cable 接入、Wireless 接入以及LAN 接入几种方式。PSTN 接入：

23、利用传统的电话网络，采纳模拟调制解调技术传输数据，其最高的上行传输速度为56Kbps，最高的下行速度为33.6KbpsISDN 接入：采纳新型的电信ISDN 网络，采纳数字调治技术传输数据，ISDNBRI 最大可支持两个B 通道，最大128Kbps 的上下行传输速度。 ADSL 接入技术是在现有电话传输线路上的一种新型数字调治解调方式，他可达到8Mbps 的下行速度以及1Mbps 的上行速度。Cable 技术是对传统的有线电视网络进行改造，利用电缆调制解调器(CableModem)和同轴/光纤混合网(HFC)高速传输数据的一种接入层数据通信方式，在有线电视的频段上划分出一个上行和下行频道由于上

24、下行数据传输。以太接入技术，采纳传统的LAN 接入方式，每个网段为一个广播域，每个广播域的用户共享一个网络地址段。Wireless 接入方式，Wireless 采纳802.11 协议，采纳直接调频或跳频调制技术调制数据，其典型拓扑结构为1 个访问点和多个移动用户组成Wireless接入网络以及由Wireless 桥接器组成一般以太网通过Wireless 组成的桥接网络。3.6.城域网网络设备选型3.6.1.骨干网络产品设备选型 在城域网设计中，关于主干网络设备的选择重要是依照其性能、端口密度、支持的主干技术等方面来做出选择： 关于采纳POS 技术的骨干网络：可供选择的设备有Cisco GSR1

25、2000 路由交换机产品、Cisco 7500 系列高端路由器产品、Juniper M10 、M40 、M80 骨干路由器产品。 关于采纳DPT 技术的骨干网络：可供选择的设备有Cisco GSR12000 路由交换机产品、Cisco 7500 系列高端路由器产品。 关于采纳ATM 技术的骨干网络：可供选择的设备有Cisco 8540MSR ATM/第三层一体化交换机，以及Cisco GSR12000 路由交换机器、Cisco 7500 系列路由器以及Juniper M10 、M40 、M80 骨干路由器产品，需要注意的是那个地点面产品除了8540MSR 外，其他都不做ATM 交换处理，只能做

26、ATM 和IP 之间的转换，即ATM 边缘设备。关于ATM 接入、CES（电路仿真）以及帧中继可使用CiscoLightStream 1010 、Catalyst 8510MSR 、Cisco MGX8800 系列多服务交换机等产品。 关于采纳GE 技术的骨干网络：可供选择的设备有Cisco Catalyst 6500 系列多层换机产品、Cisco GSR12000 路由交换机产品、Cisco 7500 系列高端路由器产品、Juniper M10 、M40 、M80 骨干路由器产品。3.6.2.接入网络产品的选择 关于ISDN/PSTN 的接入方式：可供选择的产品有Cisco 5300 、Ci

27、sco 5400 、Cisco 5800 系列访问服务器产品。关于LAN 接入方式，可供选择的产品有Cisco Catalyst 1900 、CiscoCatalyst 2900 、Cisco Catalyst 3500 、Cisco Catalyst 4000 、Cisco Catalyst6000/6500 系列多层交换机产品，假如采纳PPPOE 工作方式，可配置Cisco 7200路由器作为PPPOE 会话的终结。 关于HFC 接入方式，可供选择的产品有Cisco UBR7200 系列以及Cisco 900系列Cable 路由器产品。需要注意的是，Csico UBR 7200 系列用于有

28、线电视头端，而Cisco 900 系列Cable 路由器用于用户端。 关于ADSL 接入方式，可供选择的设备有局端采纳Cisco 6200 系列ADSL集中器，PPPOE 或PPPOA 会话的终结采纳Cisco 6400 通用访问集中妻，客户端采纳Cisco 600 系列ADSL 路由器/桥接器产品 关于无线接入方式，也选择的产品有Cisco Aironet 340 系列桥接器、访问点以及各种PC 网络适配卡。第四章 城域网治理4.1宽带城域网网络治理宽带城域网网络实现以下治理：性能治理故障治理配置治理安全治理记帐治理1 、性能治理依照ISO，性能治理衡量网络的活动和效果。性能治理包括检查检查

29、网络应用程序和协议活动，分析可达性，测量响应时刻，记录网络路由变化。性能治理能够优化网络，满足服务协议和扩展规划。监控性能包括收集数据，处理部分或全部数据，显示处理数据。可为用户提供性能治理和分析的直观工具。2 、故障治理故障治理指检测、隔离、诊断、和修正错误。它还包括向端用户和治理者。报告问题的过程，以及跟踪相关问题的趋势等。在有些情况下，故障治理的含义是研究工作区域直到修正问题为止3 、配置治理配置治理关心网络治理者跟踪网络设备和保存设备的配置信息。使用配置治理，网络治理者能够为相似的设备配置并保存确省，为特定的设备修改缺省，为特定的色后备修改缺省配置而后在设备上装入配置信息。配置治理还同

30、意治理者维护网络财产的清单，进行版本注册等一系列工作。4 、安全治理安全治理同意网络治理者维护和公布口令以及其他认证和授权信息。安全治理还包括生成、公布和存储加密密钥的处理。安全治理的一个重要的方面是对收集、存储和检查安全审计日志的处理。5 、记帐治理记帐治理用于治理用户帐单，如此能够向独立的部门或用户按其所使用的网络服务进行收费。即使在免费的情况下，使用网络记帐关于捕获滥用网络资源的。4.1 要紧的大型网络治理系统 在此要紧对IBM（Tivoli）、HP（OpenView）、SunConnect（SunNet Manager，Encompass）CISCO（CISCOWorks）等的产品加以

31、讨论。一、IBM 公司的Tivoli 支持SNMP 协议，内置MIB Browser/Compiler,能够采集实时数据，也可以生成log 文件，并提供了与多种关系数据库产品的接口。此外，该系统还具有以下特性：1具有拓扑结构自动发觉功能；2数据采集与存储功能；3提供了Filter 和Threshold 机制4基于XMotif 的图形用户界面；5提供了简单的Report Generator（包括图形化的工具和表格）；6提供了二次开发的API； 7无法分辨网络故障之间的依靠关系； 8无性能预测能力。二、HP 公司的OpenView 网络拓扑自动发觉：OpenView 的自动发觉功能专门好。启动后即

32、能自动发觉本网段的节点。不能在运行时手工加入与本网段非直连的治理对象，但能够在ShutDown 网络监控守护进程之后通过Seed File 实现。 性能分析：没有流量和带宽利用率的分析功能 ，但提供了另外的产品（HPLAN Probe）来实现它。能够通过SNMP MIB I 和 II 查询来监视网络接口的错误,但不能对错误分类。相应也提供了PC-based ProbeView 和HP LAN Probe I等产品实现这一功能。 ALARMS /TRAPS：提供了GUI 方式的Alarm/trap 配置。Alarms/traps 来自网上的SNMP 设备。收到Alarms/traps 后不做处理

33、，仅记录（Log）下来。协议分析：OpenView 没有实现这一功能，可利用ProbeView/HP LAN Probe产品。历史数据分析：能够实时以图形方式显示数据报表和数据元素，也能够显示历史数据。 对第三方的兼容性：能够在运行时加载其它厂商定义的MIB 。三、SunNet Manager SunNet Manager (SNM)系统本身没有配备有用程序，用户不得不依靠于第三方应用软件。但SunNet Manager 可支持分布式网管（由RPC 实现）。 网络拓扑自动发觉：仅能发觉IP 网络设备 ，能推断SNMP (TCP socket 161)是否处于active 状态以及网络设备是否有

34、多个端口(router).不能发觉Netware 或非IP 设备。 性能分析：简单的流量和带宽利用率的分析功能，只能监测本地和本网段且图形显示粗糙，数据单位只能是packet 。不能通过SNMP MIB I or II 查询来监视冲突。能够图示错误 ，但未做分类（runt,giant,FCS,CRC）。SunNetManager 捆绑了两个软件包：NetMetrix （Metrix,Inc.）和TRENDsystem（DeskTalk,Inc.），NetMetrix 具有流量分析能力，是 RMON 产品；TRENDsystem用 SyBase DBMS 治理SNM 的报告文件,提供了优秀的MI

35、B 扫瞄功能,要求被管设备支持 RMON MIB 。 ALARMS /TRAPS：能够专门好地处理SNM 生成的thresholds 超界报告，也能处理其它平台的 alarms/traps（HP）。收到一个alarm/trap 后，依照配置向治理员通报错误。缺点是所有trap 放入了一个文件，且未提供扫瞄工具。SNM能够把SNMP Traps 转给其它SNMP 网管服务器。数目不限。SNM 不支持协议分析。 历史数据分析工具：能够以图形方式显示实时数据，也能够存储并显示历史数据，数据文件以ASCII 格式存放。图形画的较粗糙。但其优点是支持图形合并。与第三方产品的兼容性：能够载入标准的和厂商自

36、定义的MIB 。用mib2schema 编译。四、CiscoWorks 网络拓扑自动发觉：CiscoWorks 使用 SunNet Manager 的mapping/discovery 工具。用Sync w/SyBase 模块扫描SunNet Manager 的数据库来查找Cisco 设备相关的信息。相应结果写入 SyBase database 。 性能分析：从路由器查询特定类型的信息，写入SYBASE 数据库。ALARMS /TRAPS：通过配置，使Cisco 路由器使用snmp-server host IP-Address Write Community命令发送SNMP-Trap，信息通过

37、 CiscoWorks 的相应守护程序存入SyBase 数据库。CiscoWorks 不支持协议分析。 历史数据分析：能够显示Real-Time 图形，能够显示历史数据。 对第三方产品的兼容性：仅支持Cisco 公司自己的网络设备。第五章 城域网网络安全威胁 信息系统可能存在的安全威胁来自以下方面：操作系统的安全性,防火墙的安全性,来自内部网用户的安全威胁,缺乏有效的手段监视、评估网络系统的安全性。采纳的TCP/IP 协议族软件，本身缺乏安全性,电子邮件夹带的病毒及Web 扫瞄可能存在的Java/ActiveX 控件进行有效操纵。5 .1 城域网安全问题以及解决技术手段 网络安全技术进展到今天

38、，差不多有成熟的方案来应付来自各方面的安全威胁。信息技术的安全体系必须集成多种安全技术实现。如虚拟网技术、防火墙技术、入侵监控技术、安全漏洞扫描技术、加密技术、认证和数字签名技术等。1.虚拟网技术 虚拟网技术要紧基于近年进展的局域网交换技术（ATM 和以太网交换）。交换技术将传统的基于广播的局域网技术进展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销专门大的路由器。由以上运行机制带来的网络安全的好处是显而易见的：信息只到达应该到达的地点。因此，防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问操纵，使在虚拟网外的网络节点不能直接访问虚拟网内节点。然而，虚拟网技术

39、也带来了新的安全问题：执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。基于网络广播原理的入侵监控技术在高速交换网络内需要专门的设置。基于MAC 的VLAN 不能防止MAC 欺骗攻击。2.防火墙技术 防火墙是近年进展起来的重要安全技术，其要紧作用是在网络入口点检查网络通讯，依照客户设定的安全规则，在爱护内部网络安全的前提下，提供内外网络通讯。3.入侵检测技术 入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。 实时入侵检测能力之因此重要首先它能够应付来自内部网络的攻击，其次它能够缩短hacker 入侵的时刻。4.安全扫描技术 安全扫描工具源于Hacker 在入侵网络系统时采纳的工具。 基于服务器的扫描器要紧扫描服务器相关的安全漏洞，通常与相应的服务器操作系统紧密相关。 基于网络的安全扫描器要紧扫描设定网络.安全扫描器不能实时监视网络上的入侵，然而能够测试和评价系统的安全性，并及时发觉安全漏洞。5.2 应用平台安全1.域名服务 域名服务通常为hacker 提供了入侵网络的有用信息，如服务器的IP 、操作系统信息、推导出可能的网络结构等。同时，新发觉的针对BIND-DNS 实现的安全漏洞也开始发觉，而绝大多数