平原大学新校区网络规划方案

中原大学新校区

网络技术方案建议书华为3com华为3com技术有限公司

二零零六年三月TOC\o"1-5"\h\z\o"CurrentDocument"第一章用户需求分析 1\o"CurrentDocument"项目概述 1\o"CurrentDocument"总体目标 2\o"CurrentDocument"中原大学新校区网络模型 3\o"CurrentDocument"应用业务要求 3\o"CurrentDocument"第二章组网方案规划 4\o"CurrentDocument"整体设计规划思路 4\o"CurrentDocument"总体结构规划 5\o"CurrentDocument"网络规划 5\o"CurrentDocument"可靠性设计 7\o"CurrentDocument"第三章IP地址规划 8\o"CurrentDocument"IP地址规划的原则 8\o"CurrentDocument"IP地址规划方案 9\o"CurrentDocument"IP地址管理 9\o"CurrentDocument"第四章路由规划 11\o"CurrentDocument"路由协议的选择 11\o"CurrentDocument"IGP协议规划 12\o"CurrentDocument"第五章网络管理规划 13\o"CurrentDocument"网管系统需求 13\o"CurrentDocument"统一网管设计 13\o"CurrentDocument"Quidview网络管理软系统 17\o"CurrentDocument"网管系统实施步骤 23\o"CurrentDocument"网管安全措施 23\o"CurrentDocument"第六章网络安全规划 24\o"CurrentDocument"承载网网络安全概述 24\o"CurrentDocument"华为3Com网络设备安全技术介绍 24\o"CurrentDocument"CallBack技术 25\o"CurrentDocument"AAA 25\o"CurrentDocument"CA技术 26\o"CurrentDocument"包过滤技术 26\o"CurrentDocument"地址转换 27\o"CurrentDocument"VPN技术 28\o"CurrentDocument"加密与密钥交换技术 28\o"CurrentDocument"智能防火墙(IntelligentFirewall) 30\o"CurrentDocument"安全管理 32\o"CurrentDocument"其他安全措施 33\o"CurrentDocument"对中原大学网络建设安全的具体建议 33\o"CurrentDocument"身份认证 34\o"CurrentDocument"访问控制 34\o"CurrentDocument"数据加密 34\o"CurrentDocument"应用级安全 34\o"CurrentDocument"系统级安全策略一综合访问认证系统 40\o"CurrentDocument"第七章用户认证和管理规划 41\o"CurrentDocument"用户管理需求分析 41\o"CurrentDocument"用户管理解决方案概述 41\o"CurrentDocument"行为审计和监控规划 49XLOG概述 49XLOG在中原大学的应用 51\o"CurrentDocument"端点准入EAD解决方案 52\o"CurrentDocument"第八章QOS规划 56\o"CurrentDocument"QOS实施规划 56\o"CurrentDocument"中原大学QOS解决 61上行业务QOS保证 61下行业务QoS保证 62流分类实施： 62\o"CurrentDocument"第九章网络流量分析 64\o"CurrentDocument"NetStream主要应用 64\o"CurrentDocument"NetStream的架构 65\o"CurrentDocument"部署方案 66\o"CurrentDocument"第十章IPV6规划 67第一章用户需求分析21世纪是信息时代，全球信息化的浪潮对社会、经济、生活产生了重大影响。面对新形势，迫切需要具备支持高效、多业务、性能可靠的网络互连，为在中原大学新校区提供迅捷、高效的办公、教学业务平台。项目概述为了规划和实施数字校园建设，从数字校园层次化、整体化的的观念出发，结合校园网络的实际情况，利用先进的网络信息技术在传统校园的基础上构建一个数字空间，以拓展现实校园的时间和空间维度，从而提高传统校园的教学效率,扩展传统校园的综合功能，以最终实现教育过程的全面信息化。将现代教育思想和现代信息技术结合了起来，为中原大学新校区的数字化建设提出了切实可行的建设方案。“数字校园”是用层次化、整体的观点来实施校园信息化建设，将校园网上的信息进行系统的组织和分类，让用户在网上快速发现自己需求的信息。为师生提供网上信息交流环境，让管理人员科学地、规范地管理自己的数据信息，并将这些信息方便地发布出去。它是在传统校园的基础上，以网络为基础，利用先进的信息化手段和工具，实现从环境、资源到活动的全部数字化。在传统校园的基础上构建一个既对应又有本质不同的数字空间，拓展现实校园的时间和空间维度，从而提升传统校园的教学管理效率，最终实现电子校务、教育资源、虚拟社区、网络服务与网络安全为一体的数字化教育环境。目前，比较一致的认识是：数字校园由网络基础设施层、网络基本服务层、应用支撑系统层、信息服务系统层、综合信息门户层5大系统构成。校园网应用支撑系统和信息服务系统是数字校园的上述构成中的核心内容。•网络基础设施（数字传输载体、交换设备、服务器群、存储（NAS）设备，入侵检测（IDS）、防病毒（AntiVirus）,SAN备份系统、计算机终端等）•综合信息门户（统一身份认证、统一访问接口、个性化用户界面）•信息服务系统（信息发布、信息查询与交换、网站（主页集中）管理、搜索引擎）应用支撑系统（办公系统、数字图书馆、教务管理信息系统、网络教学系统、一卡通系统、后勤服务系统）网络基础服务（电子邮件、BBS服务、文件传输、视频会议、目录服务、公共数据库、虚拟主机、代理服务、VOD、网络电视）校园网网络基础设施整体建网基本原则：安全性：安全是一个网络的最基本要求。可管理：可管理性体现在硬件设备和软件的可管理两个方面。网络管理系统软件实现集中式的智能化管理。可升级：在建设网络时必须考虑到网络未来的升级需求，以保护宝贵的教育投资，保证升级能够方便和平滑地进行。稳定可靠：网络的稳定体现在设备的稳定和网络的冗余设计两个方面。•高服务质量（QOS）要求：网上实现E-maik网络论坛、网络图书馆、网上聊天、处理与查询等功能，以及视频点播（VOD）、实时远程教学、网络学校等众多的应用。•可运营：与企业网不同，校园网普遍存在运营管理的要求。1.2总体目标根据学校新区数字校园建设的指导思想，在1—2年内将建设一个先进的数字校园，通过把教师、学生、管理人员等角色和学校的组织与校园计算机网络系统有机的联系在一起，以统一身份认证、综合信息门户的方式提供集成化、智能化、共享型、开放型的数字教育教学环境。具体建设目标根据学校新校区基建工程建设、网络设备换代等实际情况，增加网络基础设施、扩充并更新相关设备，实现万兆核心交换机与楼宇千兆交换机千兆光纤连接，并可平滑升级到万兆互连。配套完成新建办公楼、教师宿舍区、教学区网络工程。新区学生宿舍网络工程。建设无线网络接入系统，实现校区内主要场所的移动上网。建设学校数据中心，支持海量数据的存储与查询。1.4中原大学新校区网络模型为了实现网络的组织和规划，我公司建议中原大学新校区网络建设采用层次化建设方案，层次结构如下：核心层一一由网络中心的核心节点构成汇聚层一一由各主要建筑楼群汇聚节点构成接入层一一由各个楼层接入层交换机构成中原大学新校区网络是由核心层节点、汇聚节点及接入节点构成的物理平面网络。1.4应用业务要求建成后的中原大学新校区网络将满足以下主要业务需求：新校区以万兆核心交换机、千兆骨干网规划网络基础设施系统，统一规划与管理，建立起先进的数字校园硬件支撑环境。建立数字校园公共数据库和综合信息门户平台，实现统一身份认证访问接口、数据共享以及学校历史数据的存储、整理，实现信息网站的集中存放、维护。实现网上网络办公，建立基于网络的信息发布、办公邮件系统、公文流转和决策支持系统。建立集成的管理信息系统，提供全面、准确、权威的数据。实现高质量教学资源、信息资源和智力资源的共享与传播。实现数字图书馆，提供网上专业资源的链接和专业数据库的开放使用。建立校园网络及其应用系统安全体系。建立校园一卡通系统。建立智能化校园管理系统：水电智能控制、门禁系统、安防消防系统等。第二章组网方案规划整体设计规划思路本方案采用华为3com路由器和交换机构建统一的IP网络平台，网络骨干带宽1000M,并在保护用户投资的前提下，可平滑升级到万兆。同时由于全网采用统一TP网络平台，方便实现统一网管，提高管理效率，Quidview网络管理软件是华为3Com公司对全线数据通信设备进行统一管理和维护的网管产品，位于网络解决方案的管理层，能够实现网元管理、网络管理的功能。Quidview与华为3Com公司的数据通信设备产品一起为用户提供全网解决方案。Bmn为了达到可运营的网络要求，采用华为3Com公司推出的综合接入管理服务器CAMS(ComprehensiveAccessManagementServer),可以配合华为3Com网络设备组网，完成对用户上网过程的认证、授权和计费。CAMS作为网络中的用户管理核心，在基本的AAA(Authorization、AuthenticationandAccounting)功能之上，提供了强大的管理、维护和安全控制平台，可与企业现有系统平滑对接，实现网络的可管理、可运营和高安全。伴随着信息技术的飞速发展和企业信息化程度的不断提高，多业务融合的宽带网络已经成为企业正常运营的重要保障。为了确保一个稳定、安全、高效的网络运营环境，管理员不得不常常面临以下问题——如何监控用户的网络应用行为？如何跟踪网络应用资源的使用情况？如何识别网络中的异常流量和性能瓶颈？如何有效的规划和部署网络资源？这些问题的解决依赖于管理员对网络运行详细状况的及时获取，为此，华为3com公司推出了XLog网络日志审计系统(NetworkLogAuditSystem,XLog),可以与路由器、交换机、BAS等网络设备共同组网，根据用户要求采集不同类型的网络流量信息，并通过聚合、分析与统计，为网络管理员提供用户行为审计、流量异常监控和网络部署优化的数据基础和决策依据。XLog是一种低成本、可扩展的网络日志信息审计与分析系统，能够与路由器、以太网交换机、BAS设备等共同组网，完成对NAT、FLOW、DIG等多种网络日志的采集、统计与分析，可以追溯网络使用行为，监视异常活动，为合理的网络规划提供重要参考。为保证视频、话音、数据基于IP技术三网融合，采用统一的IP传输平台，所以要求IP网络平台具备提供保障视频、话音等实时业务的QOS保障能力；总体结构规划建议中原大学新校区网络总体结构如下：1、以区域为中心布局。新校区网络主干网构成分为中心节点（网络中心）、汇聚层节点和接入层节点，全校设1个中心节点，若干个汇聚节点，若干个楼层接入节点。中心节点为整个网络的核心，为整个网络提供可靠的高带宽核心交换路由，汇聚层节点完成各区域业务的汇集,接入节点负责各楼层网络业务的接入。2、三级网络结构。采用统•中心，星型结构，中心采用核心路由交换机构建，以提供高可靠性的网络核心。各汇聚层节点到中心节点采用千兆光纤互连，对于网络接入业务特别多的区域（如学生宿舍区），采用链路汇聚的方式，捆绑多条光纤链路以提供足够的带宽互连中心节点。各楼层接入层交换机到各汇聚层节点的联接方式采用百兆铜缆或光纤互连。3、扩展性考虑。在充分满足应用的情况下，中原大学新校区的网络建设需同时考虑经济实用性及先进性，因为随着各项应用的不断成熟，网络的规模及流量将不断扩大，因此要充分考虑网络的可扩展性及平滑扩容。网络规划中原大学新校区网络主要包括一个核心节点和若干个汇聚节点和相应的建筑物内的楼层接入交换机。由于核心节点和汇聚层节点是整个新校区的骨干网，所有的业务全部是通过骨干网来运行，因此骨干网络的性能直接关系着整个新校区网络的性能。因此在组建中原大学骨干网时，对于骨干设备的选择要从以下几方面进行考虑，即要考虑到设备的可靠性、稳定性、安全性和处理能力，同时还要考虑到现在选择的设备不但要能充分满足现有数据的处理，而且可以满足未来几年内业务的发展所带来得更大量的数据的处理。核心交换机和各个汇聚节点的汇聚层交换机需要高速运送整个校园网络的流量，设备承载的压力较大。因此骨干网络的建设，通常必须遵循以下儿个原则：1、必须具备高可靠性及高冗余性；2、必须能够提供故障隔离功能；3、必须具有迅速升级能力；4、必须具有较少的时延和好的可管理性。根据以上的业务分析，建议在核心节点配置一台核心交换机S8505,各个汇聚层节点采用S6500系列交换机，视各个汇聚节点区域网络接入业务量的大小分别选用不同档次的S6500系列交换机，在业务量大的区域采用S6506,在业务小的汇聚节点采用S6503,各个汇聚层节点分别和核心交换机采用单模光纤链路上行，以提供链路和网络设备的冗余特性。整个结构如下图所示：如上图所示，我们在核心节点上配置了一台核心交换机S8505,在各个汇聚节点各配置了1台汇聚交换机S6500,在业务量大的区域采用S6506,在业务量小的区域采用S6503,对于家属区，由于接入节点少，建议直接将S3928TP-SI通过光纤链路互连到核心交换机上。每个建筑物楼层内的接入层交换机采用S3900TP-SI系列交换机和S2403H-EI交换机，S3900TP-SI采用1000M以太网光口或电口的方式与各个区域的汇聚层交换机连接，S2403H-EI采用百兆以太网线上心连接到S3900TP-SI交换机器。整网的层次清晰，结构合理，核心层的S8505负责接入汇聚层的S6500,完成快速转发的功能，同时作为完成各个服务器的接入。各个汇聚节点的汇聚交换机作为各个区域网络的中心交换设备，负责接入各个建筑屋内的楼层接入层交换机设备。全网采用高可靠，高性能，高密度的设备，从而避免了网络上的性能瓶颈，骨干网的带宽及性能可以满足未来儿年的应用，从而可以较好的避免日后对骨干网的改造，减小对整个校园网络的冲击。可靠性设计可靠性和自愈能力包括链路冗余、模块冗余、设备冗余、路由冗余等要求：(1)模块冗余。主要设备的所有模块和环境部件应具备1+1或1：N热备份的功能。所有模块具备热插拔的功能,核心层设备对主控模块及关键部件采取了1+1的冗余。(2)链路冗余。在汇聚层和核心之间采用多链路捆绑的方式上连到核心层。以实现流量的负载分担。这种流量的负载分担特性应不会引起业务的瞬间质量恶化，更不会引起业务的中断。(3)设备冗余。提供由两台或两台以上设备组成一个虚拟设备的能力。当其中一个设备因故障停止工作时，另一台设备自动接替其工作，并且不引起其它节点的路由表重新计算，从而提高网络的稳定性,在核心层建议采用设备冗余的方式。(4)路由冗余。网络的结构设计应提供足够的路由冗余功能，在上述冗余特性仍不能解决问题时，数据流应能寻找其它路径到达目的地址。在本网络环境中,全网运行OSPF协议并提供路由的冗余功能。第三章IP地址规划IP地址规划的原则ip地址是被用来唯一地标识网络中主机及设备位置的一个属性，是ip报文转发及寻址的依据。ip地址也是最重要的网络资源之一。ip地址的分配及规划，直接关系着校园网的建设及维护工作量，同时也会影响业务应用的正常开展。所以，必须对ip规划给予足够的重视。ip地址空间的分配，要与网络层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。满足这些要求的ip地址分配技术有：可变长子网掩码技术(VLSM—Variable-LengthSubnetMask)和路径叠合(汇聚)技术(RouteSummarization)。总的来说，IP地址规划应该遵循以下原则：1连续性IP地址分配要尽量分配连续的IP地址空间；相同的业务和功能尽量分配连续的IP地址空间，有利于路由聚合以及安全控制；2可扩充性IP地址分配处理要考虑到连续外，又要能做到具有可扩充性.，并为将来的网络扩展预留一定的地址空间；3IP地址的分配必须采用VLSM技术，保证IP地址的利用率；采用CIDR技术，可减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小。4在公有地址有保证的前提下，尽量使用公有地址，主要包括设备loopback地址、设备间互连地址。在校园网中，由于很多部门都已经有了现成的网络，但是各部门网络的采用IP的地址未进行统一规划，很多部门网络采用了IETF建议的私有地址空间，如/8,存在着事实上的地址空间重叠或冲突等问题。所以，在进行网络的IP地址规划时，必须充分考虑现有网络的过渡及改造。为了利于整个校园网的统一管理及各种应用(如不同部门之间共享部分网络资源）的顺利开展。建议在对整个校园网的IP地址进行统一规划，并在此前提下，兼顾现有网络，以减少对原有各部门网络的影响。IP地址规划方案由于中原大学为教育网络，有与教育网的互通需求，所以整网可以通过申请教育网ip地址段来规划各级ip地址范围，如果申请的ip地址数量不充足，也可以考虑采用私有网络ip地址进行规划。按照前面介绍的路由规划的策略，地址规划应该配合路由规划策略，应该从下面几个方面来考虑ip地址的规划（下面的ip地址规划采用私有ip地址为例）。骨干互联部分：骨干部分为一台核心设备和若干个汇聚层设备，属于整个网络的最高层，由于整网采用私有地址具备足够的地址空间，建议骨干部分的ip地址采用A类地址，比如/8、/8等，下属汇聚层的节点采用路由汇聚的策略把各自己的IP路由汇聚到这些A类地址空间内。各汇聚层设备采用B类地址做为下属接入层部门的网关地址，比如/16、/16等，在发布路由时采用路由汇聚策略对多个B类地址进行路由合并（当A类地址足够多时，也可以全部采用A类地址）。各单位内部地址：各单位内部的各个部门统一分配C类地址（当A类地址足够多时，也可以全部采用A类地址）。由于采用带内网管的网管策略，所以设备的管理IP可以与loopback地址合二为一。具体的IP地址方案需参照实际情况制定，以上为IP地址的规划原则，可作为IP地址规划参考。IP地址管理ip地址的管理和分配采用动态及静态结合的方式。普通用户的ip地址由DHCP服务器动态分配；服务器、设备管理地址等需要固定IP地址，由网络管理部门静态分配。IP地址管理是用户管理的重要内容，也是构件完整的安全架构中不可或缺的一部分，应该在网络设计初期就对网络多种用户的IP地址分配方式进行统一规划。普通用户建议采用动态获取IP地址的地址分配方式，可以减少IP地址分配的复杂度同时防止IP地址重叠的情况发生。为了防止动态IP地址用户私自配置静态IP地址以及恶意假冒他人IP地址可以启用DHCP+特性，限制用户获取IP地址的方式只能为动态获取，私自配置的静态IP地址将无法正常接入网络。同时为了对用户的身份进行合法性验证可以在网络的汇聚层对用户的身份进行验证，验证方式可以根据实际情况进行选择，可以采用强制PORTAL认证、802.lx认证等多种认证方式。重要用户以及特殊用户（比如网管系统）可以配置静态IP地址并在用户接入的网络设备上静态添加用户的IP地址并且实现IP+MAC+端口的绑定，一方面保证了用户IP地址的固定配置，另一方面也防止了其他恶意用户的地址假冒。重要用户及特殊用户可以不用身份验证而直接接入网络。第四章路由规划路由协议的选择对于IGP协议，我们建议采用OSPF,因为OSPF的适应性好，功能完善，当核心层设备在20台以内的时候，我们建议只运行一个骨干域“0”，这样网络规划简单、维护方便，并且有利于今后骨干层网络的扩展。对于各个汇聚层节点，最普遍应用的就是OSPF、直连路由，将直连路由汇聚后再引入到OSPF路由协议中，只要准循上面提到的IP地址分配原则，各汇聚节点的路由都可以汇聚成一条或者数目较少的儿条，这时应用最简单、最高效,而且网络的维护非常方便。OSPF是OpenShortestPathFirst（开放最短路由优先协议）的缩写。它是IETF组织开发的一个基于链路状态的自治系统内部路由协议。非常适合类似这种中、大型校园网网络。综上，在本期工程中，我们建议的路由协议类型就是：骨干层OSPF、汇聚层节点采用直连路由并引入到OSPF中。这样对整个网络中的设备要求不是太高并且便于进行维护。OSPF具有如下特点：1、快速收敛一在网络的拓扑结构发生变化后立即发送更新报文，使这一变化在自治系统中同步。可以迅速反应网络拓朴的变化，提高全网对网络故障和网络改造的反应速度。2、无自环一OSPF根据收集到的链路状态用最短路径树算法计算路由，从算法上本身保证了不会生成自环路由。从而避免校园网因路由环造成的带宽浪费。3、区域划分一允许自治系统的网络被划分成区域来管理，区域间传送的路由信息被进一步抽象，从而减少了占用的网络带宽。通过合理的区域划分策略,可以有效减少参与OSPF路由计算的网络规模，降低由于路由计算造成的路由器CPU的开销开销，避免由于动态路由协议的引用，造成的路由器转发性能的过渡下降。4、其他路由的引入能力一OSPF具有将其他路由协议发现的路由和静态路由引入到系统中的能力，从而可以在校园网中根据各级网络设备的网络层次，灵活采用OSPF与静态路由、RIP等动态路由协议相结合的方式，在保证系统畅通的情况下，有效减少设备负载。5、路由聚合能力--OSPF可以按照指定的聚合策略，聚合区域边界路由器向外发布的路由，减少发布的路由条数，从而减少全系统的路由表规模，降低整个校园网路由器的资源损耗，提高全系统的数据转发能力。IGP协议规划各核心交换机和汇聚层交换机只在内部互联端口运行OSPF,使用一个Area0进行路由交换。为访问Internet,在核心节点设备上通过OSPF发布缺省路由。在各汇聚层的设备上，通过Network命令将汇聚层设备的loopback地址和互连端口地址引入到OSPF协议中去。为了便于控制路由的规模，采用redistribute命令引入直连链路的路由并进行路由的汇聚。第五章网络管理规划网管系统需求网络管理包括有三个部分：网管平台、设备管理系统、业务网管。网管平台则需要对全网进行管理，要有拓扑发现功能等，它力求全面地覆盖企业IT业务的各个方面。网元管理系统一般均由设备原厂商提供，实现对网络设备的故障管理、配置管理和性能管理、故障管理等。统一网管设计通过在网络中心安装集中网管系统，通过带内的方式实现对整网设备的统一管理，提供集中、统一、分级、分权的网元管理、网络管理功能，并实现部分业务供给功能。网管系统采用先进的组件化结构，可以对全网设备集中管理。在新老公安网中提供分级的网管中心，提供不同的管理权限，每个地市网的网管仅能管理本地市的网络设备。对于全网设备可以设置一个中心一级的网管中心，对所有网络设备进行管理。网管系统对所有设备的管理采用带内方式，通过SNMP协议由网管中心服务器发出管理信息报文，各宽带网络设备上的网管代理进行本设备运行状态，数据信息的收集，然后通过SNMP协议将本网络设备的网管信息上报给网管中心服务器，由网管中心服务器统一对上报的网管信息进行处理和分析，然后通过SNMP协议下发控制命令，由各设备网管代理接收控制命令后，完成对本设备的管理和控制。分级网管的设置可根据要求灵活设置，可将分级网管服务器放置于各地市一个局域网内（最好各地市选择一个网络管理中心同时作为本地市网络的信息资源共享中心），也可采用UNIX远程客户端的方式将网管终端放置在远程，此时网管终端与网管服务器之间的信息交流也是通过带内通道完成的。综合网管系统应该能提供如下管理能力：拓扑管理拓扑管理用于构造并管理整个通信网络的网络拓扑结构，通过自动上载网络设备的拓扑数据形成与实际网络拓扑结构相同的网络拓扑视图。运行中通过对网络设备进行定时（根据用户设定的每•设备的状态与配置轮询间隔时间）的轮循监视与设备上报TRAP或告警处理，保证显示网络视图与实际网络拓扑一致，用户可通过浏览网络视图来实时了解整个网络的运行情况。网管系统的拓扑视图是采用分层结构的，其中拓扑顶层显示的子图称为视图，根据被管对象的种类和实际需求抽象出了儿种视图显示在拓扑的顶层，目前包含了三个逻辑视图（IP设备视图、交换设备视图和接入设备视图）和一个物理视图。在这些视图下是子网，它是具有相同属性的设备的集合，在子网下就是具体的网络设备，子网也可以再包含子网。其中逻辑视图中只包含了各自类型的网络设备，它反映了网络设备之间的逻辑关系，而物理视图中的子图和设备是用户自己设定的，用户可以根据地理位置去创建物理子图并定义它们之间的连接关系。IP视图用于IP层网络拓扑的管理，描述整个基于IP路由器的IP网络的网络层拓扑结构，主要包括路由器、LANSwitch、接入服务器和计算机等IP设备。基于IP路由器的网络拓扑结构分成两层，上层由路由器和IP子网组成，IP子网表示某一传输类型的物理网络，如以太网，FrameRelay网等，在同一IP子网下的所有设备具有同样的IP子网地址设置；路由器和IP子网之间通过路由器端口连接，如以太网口，FrameRelay广域网口等。路由器和路由器之间的连接有两种：一是通过IP子网连接，如两路由器通过以太网或FrameRelay网互连；二是直接的点到点连接，如PPP连接等。物理视图用于反映网络设备之间的物理关系和连接，用户可以自由创建物理子网，在物理子网中加入逻辑子网中已经存在的设备，建立它们之间的连接关系。拓扑管理主要操作有增删设备或子网，查看节点、链路或子网的状态，通过定时轮询或手动启动对任一设备的状态或配置数据轮询，实时刷新拓扑显示数据。拓扑管理还具有改变背景图象、设置网络对象属性、保存拓扑视图修改、查找网络对象、显示网络对象信息、拓扑视图显示效果设置等功能。用户可对每个子网设置背景图象（gif）格式，背景图象的大小根据窗口大小自动调整。配置管理网管系统提供全网浏览树和设备面板图对配置进行维护。全网浏览树把网络中的所有设备按不同的分组方式组织在一个树形结构中,操作者可灵活切换要进行配置操作的设备。对所有设备和设备组件的操作都通过右键菜单来完成。用户右键点中待管理的对象，系统将自动弹出该设备或设备组件所对应的管理菜单，所有设备和设备组件（如端口等）的配置、实时性能管理功能都可通过该右键菜单完成。本浏览树可装载并显示所有路由器，以及其它支持SNMP协议的设备端口数据，在浏览树中的端口显示数据包括：端口状态，端口索引，端口类型，IP地址，掩码设置（如设置有），用户右键点中该端口即可弹出该端口所对应的配置菜单。通过在拓扑图上双击拓扑设备节点启动设备面板图，在面板视图上对设备进行配置；设备面板图和全网浏览树所提供的配置功能是完全一样的。在面板上进行配置显得更直观，提供设备的机架视图，实时显示各单板的状态和告警信息，对于面板中的每个单板节点，提供右键弹出菜单，该菜单是针对该单板的一系列的应用，包括配置，性能、维护管理等；而全网浏览树则是提供了一种对全网设备进行管理的手段，在配置较多的设备时比较方便。故障管理故障管理主要包括对全网设备的告警信息和运行信息进行实时监控，查询设备的历史告警信息和运行信息，定义发送过来的SNMPTrap,查询和配置设备的告警表。故障管理系统收集和处理设备告警。设备告警包括SnmpTrap和MML格式的告警，前者告警来源为SNMP设备，大部分数据通信设备支持SNMP。Trap和Alarm可以同屏显示也可以分屏显示。（以下叙述中“告警”如无特殊说明包括SnmpTrap和MMLAlarm）o故障管理系统包括故障管理后台、实时告警显示、历史告警显示、Trap规则定义工具，故障监视面板和当前故障窗口。故障管理后台接收设备告警、写数据库、发送给实时告警前台显示，如果有其他应用关心某些类型的告警，还要上报给该应用。实时告警显示从故障后台实时接收设备告警并显示；历史告警显示从数据库检索告警并显示；实时告警显示和历史告警显示都支持过滤条件，可以检索指定设备（一个或多个）的告警，也可以按类别检索指定类型的告警。Tr叩规则定义工具主要是定义SnmpTrap的描述信息。因为SnmpTrap是二进制编码,Trap规则定义了该二进制流中各字段的描述信息。故障管理后台接收设备发送的Trap后根据当前的Trap规则定义对Trap进行解释，将解释后得到的告警数据写入历史告警库，并发送给前台程序。MMLAlarm本身是ASCII字符流，故障后台经过适当的字段定位后直接入库和发送给前台进程。故障监视面板为您提供了一个直观的了解设备故障情况的工具，它可以提供单个设备或所有设备的告警状态数据，实时刷新状态数据，并可以通过激活当前告警窗口为您提供告警的详细数据。它由六个代表不同级别故障的告警灯来显示设备故障状态，当有未恢复且并未被确认的情况下告警灯转亮，在没有该级别告警或所有该级别告警已经被确认的情况下变为灰色。每个告警灯的下方分别列出该级别故障的总数和已经被确认的记录数。当前故障窗口反映了设备的当前故障数据，缺省状态进入时会显示所有设备当前时刻所有未恢复的告警。并随时实时刷新数据。在故障监视面板中选取当前设备告警明细表功能也可以激活当前告警窗口。性能管理用户可以获得网络的各种当前性能数据，并可以设置性能的门限值，当性能超过门限时，网络以告警的方式通知网管系统。用户也可以收集一定时间段内的性能数据，并保存在数据库中，以做进一步的分析。该应用提供三种方式对采集来的数据进行显示：折线图方式、直方图方式和饼图方式。折线图方式在一个窗口内可显示一定时间范围内的各个对象表达式的值；直方图方式在一个窗口内只显示某一采集时间点的各个对象表达式的值；饼图方式显示的是某一数据采集点各个对象表达式之间的比例值。用户在此应用中还可以设置对性能数据轮循的间隔，采集数据的显示比例和显示颜色。安全管理安全管理完成网管系统本身的安全控制，包括下列内容：用户管理、操作日志管理、用户登录/退出管理。系统安全主要通过网管用户权限进行控制，用户在启动网管客户端后，需用已经建立的网管用户登录，并且只能以用户属性中设定的读写权限执行该用户指定可以执行的网管应用。网管系统各管理应用对用户执行的敏感操作进行记录，管理员可通过浏览用户操作日志取得系统的所有管理操作信息。Quidview网络管理软系统Quidview是华为3Com公司自行设计开发的适合于中、小规模的网络管理的网管软件，主要用于管理华为公司生产的Quidway®系列路由器和校园网交换机。它是一个简洁的网络管理工具，充分利用设备自己的管理信息库完成设备配置、浏览设备配置信息、监视设备运行状态等网管功能，并且还能集成到SNMPc、HPOpenviewNNM等一些通用的网管平台上，实现从网络级到设备级全方位的网络管理。力求帮助用户在降低产品成本的同时满足更丰富的功能需求。Quidview网络管理软件采用组件化结构设计，通过安装不同的业务组件实现了设备管理、VPN监视与部署、软件升级管理、配置文件管理、告警和性能管理等功能。支持多种操作系统平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理。网络集中监视Quidview网络管理软件提供统一拓扑发现功能，实现全网监控，可以实时监控所有设备的运行状况，并根据网络运行环境变化提供合适的方式对网络参数进行配置修改，保证网络以最优性能正常运行。全网设备的统一拓扑视图；拓扑自动发现，拓扑结构动态刷新；可视化操作方式：拓扑视图节点直接点击进入设备操作面板；在网络、设备状态改变时，改变节点颜色，提示用户；对网络设备进行定时（轮询间隔时间可配置）的轮循监视和状态刷新并表现在网络视图上；支持拓扑过滤，让用户关注所关心的网络设备情况；支持快速查找拓扑对象，并在导航树和拓扑视图中定位该拓扑对象;

故障管理故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控，查询和统计设备的告警信息。告警实时监视，提供告警声光提示；支持告警转到Email、手机短信；支持告警过滤，让用户关注重要的告警，查询结果可生成报表；支持告警级别重新定义，支持告警转存，保证系统的运行效率和稳定性;支持告警拓扑定位，将显示的焦点定位到产生选定告警的拓扑对象；支持告警相关性分析，包括屏蔽重复告警、屏蔽闪断告警等。

1浏荒管.口向□过送后雷害■认a»i*WlBi事件20040S-251012301015321169Th*device10153893()statusiscntical▲2004-09-251012301015321163Thedevice10153893()statustscntical事件2004-09-251013021015321163Thedevice10153893()statusisnormal2004-09-251047181015321163Thedevice10153893()statusisminor2004-09-2511491910.15321163Thedevice101538935<)statusiscritical事件2004-09-251149191015321163Thedevice10153893()statusiscntical2004-09-251149191015321163Thedevice10153893()statusiscntical事件2004-09-251149521015321163Thedevice101538935<)statusi$normal2004-09-251149521015321163Thedevice10153893()statusisnormal2004-09-2512.47.38 .10.153^1.163Thedevice10.153J9.3Ostatusisminor▼所有吉鲁a»j舍鲁未思班与2004-09-25101230101S321169Thedevice1015389X)statusiscritical*歹2004-09-251012301015321163Thedevice10153893()statusiscrwcaiR事件20G409-251013021015321163The(tovice10153893()statusisnormal2004-09-251047181015321163Thedevice10153893()statusisminor2004-09-251149191015321.163Thedevice101538935()statusiscritical▼新有481-$•2219 244 462)性能监控Quidview网管系统提供丰富的性能管理功能，同时以直观的方式显示给用户。通过性能任务的配置，可自动获得网络的各种当前性能数据，并支持设置性能的门限，当性能超过门限时，可以以告警的方式通知网管系统。通过统计不同线路、不同资源的利用情况，为优化或扩充网络提供依据。管理多厂商设备Quidview可管理所有支持标准SNMP网管协议的网络设备，为多厂商设备共存的网络提供了统一的管理方式。拓扑图自动发现多厂商设备，如华为、3com、Cisco等；可以对设备进行性能监视，包括接口的流量监视，利用率监视等；可以接收设备告警，并进行告警信息显示.服务器监视管理服务器是企业IP架构中的重要组成部分，通过Quidview,可实现服务器与设备设备的统一管理。支持对CPU、内存资源消耗的监视；支持对硬盘使用情况的监视；支持运行进程的资源监视；支持对服务的资源监视；集群管理针对大量二层交换机设备的应用环境，Quidview网络管理软件提供集群管理功能，通过一个指定公网IP的设备（称作命令交换机）对网络进行管理。节省公网IP地址资源；实现对一组设备统一、集中、批量配置管理;实现设备的集中维护管理；网络拓扑信息自动收集、维护，动态更新;•实现方便的软件升级、配置数据备份、配置数据恢复;

堆叠管理Quidview网络管理软件通过堆叠管理，可以集中管理较大量的低端设备，并且为用户提供统一的网管界面，方便用户对大量设备的统一管理维护。♦PQukMewt*110Mt3(S3CtaiioM口口口口口口口口口tenoMm(eltenoMer(83(1•2001HtMbJ■akDt*110Mt3(S3CtaiioM口口口口口口口口口tenoMm(eltenoMer(83(1•2001HtMbJ■akD・•&)xm(dc®%一口品金・⑥ (tack_OB}OM182O01故障定位与地址反查针对最为常见的端口故障，Quidview网络管理软件提供了便捷的定位检测工具一路径跟踪和端口环回测试；当用户报告网络端口使用异常时，网络管理员可以通过网管对指定用户端口做环回测试，直接定位端口故障。Quidview提供的端口反查功能支持两种方式的查找定位功能：MAC地址端口反查和IP地址端口反查，使用时分别输入终端用户的MAC地址或IP地址，能够定位该终端用户连接的交换机及交换机的端口，帮助网络管理员及早定位非法报文接入网络的原始端口，及时关闭端口，防止一些违规用户进行非法操作比如滥发报文、访问非法站点等，危害网络安全。

RMON管理RMON管理根据RFC1757定义的标准RMON-MIB及华为3com自定义告警扩展MIB对主机设备进行远程监视管理。Quidview网络管理软件的RMON管理包含的功能如下：统计组的配置及数据浏览；历史组的配置及数据浏览；告警组的配置及浏览；事件组的配置及浏览；扩展告警组的配置及浏览；HO991141610 ；815195882o -W 镰计・HO991141610 ；815195882o -W 镰计・I历虹|«M|*er«|««rne|as|EthetniH&4网管系统实施步骤完成网络设备安装和链路连通；完成网络设备IP地址、路由等配置，网络设备统一使能为SNMPv3版本。设置网络设备的Trap目标工作站的地址为网管工作站的地址；设置被管理设备发送Trap的源地址为该设备的loopback地址或管理地址；在网络中心安装一套QuidView网管系统，搜索发现所有网上设备，可以完成对网上多种厂家的设备进行统一的网络管理与维护。网管安全措施Quidview网管系统可以通过下面的一些措施，保证网管系统的安全性，防止非法用户进行访问；在设备与网管服务器之间增加防火墙；网管的安全管理，操作员的帐号与IP地址、登录时间等进行绑定，在一定范围限定非法入侵；进行网管组网设计时，设备的业务网段与网管的管理网段进行隔离，例如：采用VLAN隔离的方式，业务用户无法访问网管网；网管增加登录、命令操作等方面的日志功能。第六章网络安全规划承载网网络安全概述网络安全成为目前必须面对的一个实际问题。网络上存在着各种类型的攻击方式，包括窃听报文、ip地址欺骗、源路由攻击、端口扫描、拒绝服务攻击应用层攻击等。另外，网络本身的可靠性与线路安全也是值得关注的问题。6.2华为3Com网络设备安全技术介绍针对网络存在各种安全隐患，安全路由器必须具有如下的安全特性：可靠性与线路安全、身份认证、访问控制、信息隐藏、数据加密、攻击探测和防范、安全管理等方面的内容。Quidway系列网络设备提供一个全面的网络安全解决方案，包括线路可靠、用户验证、授权、数据保护、智能访问控制等等。所采用的安全技术包括：CallBack技术备份中心AAACA技术包过滤技术地址转换VPN技术加密与密钥交换技术智能防火墙安全管理VLAN戈ij分其他安全技术与措施CallBack技术CallBack技术即p］呼技术，最初由Client端发起呼叫，耍求Server端向本端回呼；而Server端接受呼叫，并决定是否向Client端发起回呼。利用CallBack技术可增强安全性。回呼处理中，Server端根据本端配置的呼叫号码呼叫Client端，从而可避免因用户名、口令失密而导致的不安全性。另外，Server端还可根据本端的配置，对呼入请求进行分类，即拒绝呼叫、接收呼叫（不回呼）或接收回呼，从而可以对不同的Client端实施不同的限制，并且Server端在外部呼入时可以实现资源访问的主动性。备份中心为了提高网络的可靠性,Quidway系列路由器提出了特有的备份中心的概念，实现完善的备份功能。备份中心具有如下特点：可为路由器上除拨号口以外的任意接口提供备份接口。路由器上的任一接口可以作为其它接口（或逻辑链路）的备份接口。可对接口上的某条逻辑链路提供备份。备份接口可以是一个接口，也可以是接口上的某条逻辑通道（这里所指的逻辑通道可以是X.25、帧中继、ATM或ADSL的虚电路，也可以是拨号口的某一条dialermap）。对--个主接口，可为它提供多个备份接口。当主接口出现故障时，多个备份接口可以根据优先级来决定使用顺序。对于具有多个物理通道的接口（如BRI和PRI接口），可为多个主接口提供备份。主接口和备份接口可以进行负载分担。当主接口的流量达到设定的门限时，启动备份接口；当主接口和备份接口的流量和小于设定的另一门限时，关闭备份接口。AAAAAA提供了对用户的验证、授权及记帐功能。验证一用户（包括Login用户、PPP接入用户等）在被允许访问网络资源之前需要先经过验证，验证时可以选择是采用路由器本身维护的用户数据库，还是采用RADIUS服务器所维护的用户数据库对用户进行验证。授权一通过定义一组属性来描述用户的权限信息，用以决定用户的实际访问权限。这些信息存储在RADIUS所维护的数据库中。对于接入用户，还可以由用户的"filterlD"属性来确定采用哪类规则对用户的报文进行过滤。记帐一AAA的计费功能允许对用户的访问网络资源等情况进行跟踪审计。当AAA的计费功能打开后，网络接入服务器按照一定的计费格式向RADIUS服务器发送用户的活动信息，这些信息被储存在服务器上，可以用来进行网络运行情况的分析、用户帐单的生成等。AAA网络安全服务提供了一个实现身份认证以及访问控制的主框架。AAA使用RADIUS>TACACS+、Kerberos等协议来实现对网络的访问控制。Quidway系列安全路由器实现时采用了使用最广泛的RADIUS协议。CA技术CA技术是安全认证技术的一种，它基于公开密钥体系通过安全证书来实现。安全证书采用国际标准的X.509证书格式，主要包括证书的版本号、发证CA的身份信息、持证用户的身份信息、持证用户的公钥、证书的有效期以及其他一些附加信息。并且证书是由发证CA数字签名的，保证了证书不可伪造并且不能被更改。安全证书由CA中心分发并维护。Quidway系列路由器对CA中心的支持，包含两方面的内容，其一是针对CA中心的管理功能完成与CA中心的交互；其二即是路由器作为通信实体的认证功能。-一般来说，安全证书的操作采取离线分发、本地验证的方式。包过滤技术IP报文的IP报头及所承载的上层协议（如TCP）报头的每个域包含了可以由路由器进行处理的信息。包过滤通常用到IP报文的以下属性：IP的源、目的地址及协议域；TCP或UDP的源、目的端口；ICMP码、ICMP的类型域；TCP的标志域表示请求连接的单独的SYN表示连接确认的SYN/ACK表示正在使用的一个会话连接表示连接终断的FIN可以由这些域的各式各样的组合形成不同的规则。比如，要禁止从主机到主机2.222的FTP连接，包过滤可以创建这样的规则用于丢弃相应的报文：IP目的地址=222.2IP源地址=1.1,1.1IP的协议域=6(TCP)目的端口=21(FTP)其他的域一般情况下不用考虑。同样，在NovellIPX和AppleAppleTalk协议中，也可相应地设置各自的包过滤规则。Quidway系列安全路由器提供了基于接口的包过滤，即可以在一个接口的进出两个方向上对报文进行过滤。同时还提供了基于时间段的包过滤，可以规定过滤规则发生作用的时间范围，比如上例中可设置每周一的8:00至20:00允许FTP报文进入以完成必要的服务，而其余时间则禁止FTP连接。在时间段的设置上,可以采用绝对时间段和周期时间段以及连续时间段和离散时间段配合使用，在应用上具有极大的灵活性。并且这样的时间段可以方便地提供给其他的功能模块使用，如地址转换、IPSec等。地址转换地址转换，用来实现私有网络地址与公有网络地址之间的转换。地址转换的优点在于屏蔽了内部网络的实际地址；外部网络基本上不可能穿过地址代理来直接访问内部网络。Quidway系列安全路由器实现的地址转换能够将网内用户发出的报文的源地址全部映射成一个接口的地址。与按需拨号相结合，使局域网内用户通过一台路由器即可轻松上网。Quidway系列安全路由器支持带访问控制列表的地址转换。通过配置，用户可以指定能够通过地址转换的主机，以有效地控制内部网络对外部网络的访问。结合地址池，还可以支持多对多的地址转换，更有效地利用用户的合法IP地址资源。Quidway系列安全路由器可以提供灵活的内部服务器的支持，对外提供WEB,FTP、SMTP等必要的服务。而这些服务器放置在内部网络中，既保证了安全，又可方便地进行服务器的维护。VPN技术虚拟私有网(VirtualPrivateNetwork)简称为VPN,是近年来随着Internet的发展而迅速发展起来的一种技术。现代企业越来越多地利用Internet资源来进行促销、销售、售后服务、培训和合作等活动。许多企业趋向于利用Internet来替代它们的私有数据网络。相对于企业原有的Intranet,这种利用Internet的虚拟链路来传输私有信息而形成的逻辑网络就称为虚拟私有网。在二层支持这种tunneling技术的协议有PPTP(PointtoPointTunnelingProtocol,点对点通道协议)，L2F(Layer2Forwarding,二层转发协议)和L2Tp(Layer2TunnelingProtocol,二层隧道协议)。L2Tp结合了前两个协议的优点，为众多公司所接受。三层的tunneling技术有IPSec和GRE。其中IPSec通过加密能够保证传输的私有信息的数据安全性。将在下一节具体介绍。Quidway系列路由器支持L2TP,IPSec和GRE。加密与密钥交换技术Quidway系列路由器提供对标准的三层隧道加密协议IPSec和密钥交换协议IKE的支持，支持硬件和软件加密算法,为用户提供了在Internet上构建安全VPN的解决方案。IPSecIPSec(IPSecurity)是一组开放协议的总称，特定的通信方之间在IP层通过加密与数据源验证，以保证数据包在Internet网上传输时的私有性、完整性和真实性。IPSec通过AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)这两个安全协议来实现。而且此实现不会对用户、主机或其它Internet组件造成影响，用户还可以选择不同的硬件会软件加密算法，而不会影响其它部分的实现。IPSec提供以下儿种网络安全服务：私有性一IPSec在传输数据包之前将其加密.以保证数据的私有性；完整性一IPSec在目的地要验证数据包，以保证该数据包在传输过程中没有被修改；真实性一IPSec端要验证所有受IPSec保护的数据包；防重放一IPSec防止了数据包被捕捉并重新投放到网上，即目的地会拒绝老的或重复的数据包，它通过报文的序列号实现。IPSec在两个端点之间通过建立安全联盟(SecurityAssociation)进行数据传输。安全联盟定义了数据保护中使用的协议和算法以及安全联盟的有效时间等属性。IPSec在转发加密数据时产生新的AH和/或ESP附加报头，用于保证IP数据包的安全性。IPSec有隧道和传输两种工作方式。在隧道方式中，用户的整个IP数据包被用来计算附加报头，且被加密，附加报头和加密用户数据被封装在一个新的IP数据包中；在传输方式中，只是传输层(如TCP、UDP、ICMP)数据被用来计算附加报头，附加报头和被加密的传输层数据被放置在原IP报头后面。AH和ESP可以单独使用，也可以同时使用。使用IPSec,数据就可以在公网上传输，而不必担心数据被监视、修改或伪造。IPSec提供了两个主机之间、两个安全网关之间或主机和安全网关之间的数据保护。IPSec的安全联盟可以通过手工配置的方式建立，但是当网络中结点增多时,手工配置将非常困难，而且难以保证安全性。这时就要使用IKE自动地进行安全联盟建立与密钥交换的过程。IKEInternet密钥交换协议(IKE)用于通信双方协商和建立安全联盟，交换密钥。IKE定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE的精髓在于它永远不在不安全的网络上直接传送密钥，而是通过一系列数据的交换，通信双方最终计算出共享的密钥，并且即使第三方截获了双方用于计算密钥的所有交换数据，也不足以计算出真正的密钥。其中的核心技术就是DH（DiffieHeilman）交换技术。智能防火墙（IntelligentFirewall）Quidway系列安全路由器提供基于报文内容的访问控制，即智能防火墙，能够对应用层的一部分攻击加以检测和防范，包括对于SMTP命令的检测、SYNflooding、PacketInjection的检测。智能防火墙不但对报文的网络层的信息进行检测，还对应用层的协议信息（如FTP）进行检测。智能防火墙根据连接的状态动态的创建和删除暂时的连接,这靠动态的修改访问列表规则来实现。智能防火墙在自己的数据结构中维护着连接的状态信息，并利用这些信息来创建暂时的入口（规则）。智能防火墙保存着不能由访问列表规则保存的重要的状态信息。防火墙检验数据流中的每一个报文，确保报文的状态与报文本身符合用户所定义的安全规则。连接状态信息用于智能的允许/禁止报文。当一个会话终止时，暂时的访问规则也将被删除，防火墙中的会话也将被关闭。智能防火墙使得Quidway系列安全路由器能够支持一个控制连接上存在多个数据连接的协议。许多应用协议，如Telnet、SMTP使用标准的或已约定的端口地址来进行通信，但大部分多媒体应用协议（如H.323）及FTP、RPC等协议使用约定的端口来初始化一个控制连接，再动态的选择端口用于数据传输。而端口的选择是不可预测的，其中的某些应用甚至可能要同时用到多个端口。标准防火墙只有阻止类似的应用传输，以免内部网络遭受攻击。有时仅阻止了一些使用固定端口的应用，而留下了许多安全隐患。智能防火墙监听每一个应用的每一个连接所使用的端口，打开合适的通道让会话中的数据能够出入防火墙，在会话结束时关闭该通道，从而能够对使用动态端口的应用实施有效的访问控制。当报文通过路由器时，智能防火墙将对报文与指定的访问规则进行比较，如果规则允许，报文将接受检查，否则报文直接被丢弃。如果该报文是用于打开一个新的控制或数据连接，智能防火墙将动态的修改或创建规则，同时更新状态表以允许与新创建的连接相关的报文。对于回来的报文只有是属于一个已经存在的有效的连接，才会被允许通过防火墙。在处理回来的报文时，状态表也需要更新。当一个连接被关闭或超时后，该连接对应的状态表将被删除。动态生成的规则不会被存储到FLASH或NVRAM中，确保未经授权的报文不能随便透过防火墙。UDP是无连接的报文，所以也没有真正的UDP"连接"。因为智能防火墙是基于连接的，它将对UDP报文的源、目的IP地址、端口进行检查，通过判断该报文是否与所设定的时间段内的其他UDP报文相类似，而近似判断是否存在一个连接。智能防火墙还可以提供对拒绝服务攻击的检测和防范。拒绝服务攻击和其他类型的攻击不大一样，攻击者并不是去寻找进入内部网络的入口，而是去阻止合法的用户访问资源或路由器。智能防火墙增强了对拒绝服务的检测和防范以抵御SYNflooding和packetinjection□SYNflooding-用许多的SYN位置位的报文将网络的资源耗尽。这个攻击方法采用创建许多的SYN报文，在很短的时间内将特定目标的内存或其他资源消耗殆尽；或者通过发送一系列的报文来判定防火墙通过哪些端口提供服务。这种攻击使得特定的网络上的HTTP或FTP服务器保持大量的会话连接，从而让合法的用户不能访问该资源；这种攻击也可以是发送大量的不期望的、无用的报文使得整个网络的性能下降；或者是提供网络的错误的状态信息。Packetinjection-攻击者有可能通过发送一些特定报文以打断正在使用中的连接。通过发送相应的ICMP报文可以经常奏效；或者是伪造一些符合正在使用的会话连接上流控序号的报文。智能防火墙通过两种途径来进行攻击的检测：对创建新连接的请求的数目、速率和已打开的半连接的数目进行比较来检测SYNfloodingo如果路由器检测到一个不正常对新连接的请求的速率，将发送一个告警信息，并采取一些行动。对所有的TCP连接进行报文的序列号检查以检测packetinjectingo如果序列号不在预期的可接受的范围之内，则扔掉相应的报文。通过以下两种方法防止拒绝服务攻击:丢弃过时的TCP半连接以防止系统资源的损耗。通知相应主机清除过时的连接以防止系统过载。管理员可以对最大可接收的半连接的数目和半连接的超时时间进行设置。这对低速连接有效（512kbps或以下）。暂时禁止所有的SYN报文进入受攻击的主机。这个暂时的限制并不对已经存在的连接产生影响。管理员可以对恢复接收SYN报文的时间间隔进行设置。这对高速连接有效（521kbps以上）。智能防火墙还提供了增强的跟踪审计功能。可以对所有的连接进行记录，包括：记录连接的时间、源地址、目的地址、使用的端口和传输的字节数。安全管理（1）信息中心Quidway安全路由器提供以下几种系统信息的记录功能：access-list的log功能:在配置access-list时加入log关键字，可以在路由器处理相应的报文时，记录报文的关键信息；关键事件的日志记录：对于如接口的UP、DOWN以及用户登录成功、失败等信息可以作记录；Debug信息：用来对网络运行出现的问题进行分析。各信息按重要性程度由高到低分为0〜7级。（2）安全策略分析与管理因为越来越高的网络安全性要求，使得安全产品也日益复杂。路由器也不例外，由最初的包过滤、地址转换发展到今天的智能防火墙、IPSec等功能。然而为了有效地设定各种功能下的安全策略，用户面对的是越来越复杂的配置。虽然可以通过图形化配置方式弥补命令行方式的一些缺点，但这是远远不够的。这就需要更高级的安全策略分析与管理，以简化用户的使用，保证网络的安全性。成熟的安全策略分析与管理将基于策略数据库实现，并且在需要的地方可设置安全策略服务器，包含以下功能：策略生成-用户仅需形象化地设定一些安全需求，而由策略管理中心自动完成策略的配置，并把策略下载到相应的设备上。策略模板-引导用户--步一步地配置所需的安全策略。策略跟踪-在用户更新配置时，能根据以前的配置信息给出相关的建议或提示信息。策略冲突分析-分析用户配置的各种策略是否存在矛盾或冲突，而使策略变得实际上不可行。安全策略分析与管理是Quidway系列路由器在安全方面的一个新的发展方向。其他安全措施路由器依据路由信息表来发送报文。动态路由协议负责接收其他路由器传送来的路由信息，并发送自己维护的路由信息。在接受任何路由变化的信息之前，需要对此路由信息的发送方进行验证，以保证收到的是由信任的源发送的合法的路由信息。需要对邻接路由器进行验证的路由协议有BorderGatewayProtocol(BGP)OpenShortestPathFirst(OSPF)RoutingInformationProtocol(RIP)version2如果运行了这些路由协议中的一个或多个协议，并且有可能接收到虚假的路由信息的话，则有必要配置对邻接路由器的验证。6.3对中原大学网络建设安全的具体建议本次中原大学网络的建设，为校园网的内部办公和对外服务提供了极大的便利。但由于构成Internet的TCP/IP协议本身缺乏安全性，电子政务的网络安全成为必须面对的一个实际问题。在网络上存在着各种类型的攻击方式，包括网络层攻击、应用级攻击和系统级攻击。网络构建及组成中，网络设备仅完成网络级安全的防范。针对以上提到的各种安全隐患，安全网络设备必须具有如下的安全特性：可靠性与线路安全、身份认证、访问控制、信息隐藏、数据加密、攻击探测和防范、安全管理等方面的内容。针对本次网络建设存在以上各种安全隐患，建议采取如下的网络级、应用级和系统级安全措施来保证网络的安全。身份认证只有网络管理员才有权访问网络设备，所以对访问设备的用户需要进行身份认证。用户访问路由器存在多种方式：直接从console口登录进行配置；telnet登录配置；通过SNMP进行配置；通过modem远程配置等等。对于这些访问方式，都需要输入密码和口令，经过RADIUS服务器或相应的身份认证获得访问设备的权限。访问控制为了保护本次公安网设备的配置，对设备的访问权限需要进行口令的分级保护。只有持有网络管理员相应口令的特权用户才能对路由器进行配置；一般用户只有查看普通信息的权力。633数据加密在本次校园网络建设中，如需要对所传送的重要数据进行加密，可以通过华为公司的Quidway系列路由器进行手工配置或自动协商密钥两种方式建立IPSEC,在传输或隧道模式下能够单独或组合应用AH（AuthenticationHeader,认证报头）和ESP（ExtendedServicesProcessor,扩展业务处理器）安全协议，可以实现对整个IP报文或数据载荷内容进行不同粒度级别的加密和认证，从而提供验证数据源、校验数据完整性和防止报文重放等（ESP还提供加密）功能，结合ACL访问控制列表共同确保数据信息在公安网络上传送的安全保密性。应用级安全在本次推荐的方案中，可以提供ASPF（ApplicationSpecificPacketFilter,基于应用层规范的包过滤）特性和TippingPoint入侵防御系统。ASPF是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据报文是否被允许通过防火墙或丢弃。通过ASPF的检测，可以保证所有建立的连接都是合法连接，防止地址欺骗、身份伪造等恶意攻击行为。TippingPoint隶属于3Com公司，自2002年发布第-一个入侵防御系统以来已迅速成为提供基于网络的入侵防御系统的领先厂商。Tipping