電子政務(wù)網(wǎng)建設(shè)方案文獻(xiàn)

1、電子政務(wù)網(wǎng)建設(shè)技術(shù)建議書目錄 TOC o 1-5 h z 前言 2 HYPERLINK l bookmark5 o Current Document 網(wǎng)絡(luò)平臺(tái)需求分析 2 HYPERLINK l bookmark7 o Current Document 網(wǎng)絡(luò)建設(shè)目標(biāo) 4 HYPERLINK l bookmark9 o Current Document 網(wǎng)絡(luò)建設(shè)原則 5 HYPERLINK l bookmark11 o Current Document 網(wǎng)絡(luò)平臺(tái)基礎(chǔ)建設(shè) 6 HYPERLINK l bookmark13 o Current Document 網(wǎng)絡(luò)整體結(jié)構(gòu) 6 HYPERLINK

2、l bookmark15 o Current Document 電子政務(wù)內(nèi)網(wǎng)解決方案 8 HYPERLINK l bookmark17 o Current Document 電子政務(wù)外網(wǎng)解決方案 9 HYPERLINK l bookmark19 o Current Document 電子政務(wù)安全解決方案 10網(wǎng)絡(luò)平臺(tái)QO軸障 14 HYPERLINK l bookmark23 o Current Document QCS及其功能 14 HYPERLINK l bookmark25 o Current Document 電子政務(wù)網(wǎng)絡(luò) QOS設(shè)計(jì)原則 15 HYPERLINK l bookmark

3、27 o Current Document 體系結(jié)構(gòu)的選擇 15H3c路由器 DFFSERV莫型 16 HYPERLINK l bookmark29 o Current Document H3c路由器 QO斂現(xiàn)機(jī)制 17 HYPERLINK l bookmark31 o Current Document 流分類 17流量監(jiān)管 18DHC琳記/重標(biāo)記 18 HYPERLINK l bookmark33 o Current Document 隊(duì)列管理 19 HYPERLINK l bookmark35 o Current Document 隊(duì)列調(diào)度和流量整形 19 HYPERLINK l book

4、mark37 o Current Document QOSffi置和管理 19 HYPERLINK l bookmark39 o Current Document 網(wǎng)絡(luò)管理平臺(tái)解決方案 20 HYPERLINK l bookmark41 o Current Document 網(wǎng)管實(shí)施方案 21運(yùn)維建議 21網(wǎng)管運(yùn)維建議 21 HYPERLINK l bookmark46 o Current Document 網(wǎng)管安全措施 21 HYPERLINK l bookmark48 o Current Document 路由器/交換機(jī)相關(guān)參數(shù)設(shè)置 22 HYPERLINK l bookmark50 o

5、Current Document 網(wǎng)絡(luò)流量分析解決方案 22 HYPERLINK l bookmark52 o Current Document NETSTREA皿術(shù) 23 HYPERLINK l bookmark54 o Current Document 方案邏輯組成 24 HYPERLINK l bookmark56 o Current Document H3CI MCNTA解決方案功能特點(diǎn) 24 HYPERLINK l bookmark58 o Current Document 用戶行為審計(jì)解決方案 27 HYPERLINK l bookmark60 o Current Document

6、 用戶行為審計(jì)技術(shù) 28 HYPERLINK l bookmark62 o Current Document H3C UBAS用戶行為審計(jì)解決方案 29 HYPERLINK l bookmark64 o Current Document 網(wǎng)絡(luò)內(nèi)部控制解決方案 31 HYPERLINK l bookmark66 o Current Document 網(wǎng)絡(luò)內(nèi)部控制的重要性 31 HYPERLINK l bookmark68 o Current Document H3C EAD端點(diǎn)準(zhǔn)入方案簡(jiǎn)介 32 HYPERLINK l bookmark70 o Current Document H3C EAD端

7、點(diǎn)準(zhǔn)入方案部署 35 HYPERLINK l bookmark72 o Current Document H3CEAD解決了哪些問題 35政府及事業(yè)單位一直是中國(guó)信息化的先行者，政府網(wǎng)絡(luò)的建設(shè)已經(jīng)比較完善。隨著“電子政務(wù)”建 設(shè)的進(jìn)一步深入，政府信息化建設(shè)重點(diǎn)變化明顯，電子政務(wù)業(yè)務(wù)系統(tǒng)的受重視程度繼續(xù)加強(qiáng)；而辦公自 動(dòng)化、信息安全和政府門戶網(wǎng)站建設(shè)的受重視程度顯著加強(qiáng)。按照政府網(wǎng)絡(luò)管理的要求，必須保障含有國(guó)家機(jī)密信息的“內(nèi)網(wǎng)”不但要求的絕對(duì)安全。但隨著電 子政務(wù)、網(wǎng)上政府、政府自身的信息化業(yè)務(wù)系統(tǒng)等的發(fā)展，政府與自身各分支機(jī)構(gòu)、外界相關(guān)單位信息 交互的“外網(wǎng)”安全和互連互通就變得更為必要。此外

8、網(wǎng)絡(luò)的安全問題日益顯得尤為重要。2網(wǎng)絡(luò)平臺(tái)需求分析隨著電子政務(wù)系統(tǒng)信息化的發(fā)展，電子政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)平臺(tái)逐漸從“分離的專網(wǎng)”向“統(tǒng)一網(wǎng)絡(luò)平臺(tái)”轉(zhuǎn)化，成為主流的建網(wǎng)思路。其基本思想都是在一個(gè)統(tǒng)一的網(wǎng)絡(luò)平臺(tái)上為各種業(yè)務(wù)系統(tǒng)提供傳輸通道， 以及方便地實(shí)現(xiàn)流程整合。統(tǒng)一網(wǎng)絡(luò)平臺(tái)解決了業(yè)務(wù)專網(wǎng)建設(shè)思路存在的問題，其優(yōu)勢(shì)如下：利于網(wǎng)絡(luò)擴(kuò)展：當(dāng)增加新的業(yè)務(wù)系統(tǒng)時(shí)不需要建設(shè)新的專網(wǎng)，而是由網(wǎng)絡(luò)平臺(tái)統(tǒng)一分配網(wǎng)絡(luò)資源； 當(dāng)業(yè)務(wù)專網(wǎng)擴(kuò)容時(shí)不需要單獨(dú)擴(kuò)容，首先通過統(tǒng)一網(wǎng)絡(luò)平臺(tái)擴(kuò)展其容量，當(dāng)統(tǒng)一網(wǎng)絡(luò)平臺(tái)容量不足時(shí)再 考慮對(duì)整個(gè)平臺(tái)進(jìn)行擴(kuò)容。管理成本低：統(tǒng)一網(wǎng)絡(luò)平臺(tái)由專門的部門統(tǒng)一維護(hù)，不需要每個(gè)業(yè)務(wù)部門都設(shè)置網(wǎng)絡(luò)管理員及網(wǎng)

9、管， 極大地降低了管理成本。網(wǎng)絡(luò)資源利用率高：由于各業(yè)務(wù)系統(tǒng)對(duì)網(wǎng)絡(luò)資源（如帶寬）的需求由統(tǒng)一網(wǎng)絡(luò)平臺(tái)來滿足，可以根 據(jù)各業(yè)務(wù)系統(tǒng)實(shí)際的流量動(dòng)態(tài)調(diào)整帶寬，充分利用網(wǎng)絡(luò)資源。利于業(yè)務(wù)系統(tǒng)之間的信息共享和流程整合：由于各業(yè)務(wù)系統(tǒng)采用統(tǒng)一的網(wǎng)絡(luò)平臺(tái)，相互之間很容易實(shí)現(xiàn)互訪，為在將來進(jìn)行信息共享及業(yè)務(wù)橫向提供了良好的基礎(chǔ)。為充分滿足電子政務(wù)系統(tǒng)信息化發(fā)展的要求，統(tǒng)一網(wǎng)絡(luò)平臺(tái)還需要滿足以下的關(guān)鍵業(yè)務(wù)需求：部門系統(tǒng)之間的安全隔離：不同部門系統(tǒng)之間需要提供安全隔離，避免非法訪問。電子政務(wù)系統(tǒng)業(yè)務(wù)系統(tǒng)之間的互訪：部分業(yè)務(wù)系統(tǒng)，如領(lǐng)導(dǎo)決策公文下發(fā)數(shù)據(jù)、政策公布、業(yè)務(wù)數(shù)據(jù)上報(bào)業(yè)務(wù)等之間有相互訪問的需求，隨著業(yè)務(wù)縱向

10、整合的開展各單位系統(tǒng)之間需要更加緊密地聯(lián)系在一起；網(wǎng)絡(luò)平臺(tái)必須滿足各單位系統(tǒng)互訪的要求及安全性。不同業(yè)務(wù)系統(tǒng)的差別服務(wù)（COS） ：不同業(yè)務(wù)系統(tǒng)，需要網(wǎng)絡(luò)平臺(tái)提供差別服務(wù)，諸如電子政務(wù)系統(tǒng)對(duì)OA辦公和語(yǔ)音通話等有很大的需求，數(shù)據(jù)、視頻和監(jiān)控對(duì)帶寬、實(shí)時(shí)性有不同的要求。為業(yè)務(wù)系統(tǒng)提供靈活的網(wǎng)絡(luò)拓?fù)洌焊鲬?yīng)用系統(tǒng)的業(yè)務(wù)網(wǎng)絡(luò)邏輯模型是不同的，有的業(yè)務(wù)需要星型結(jié)構(gòu)的網(wǎng)絡(luò)，有的系統(tǒng)需要網(wǎng)狀結(jié)構(gòu)。電信級(jí)的可靠性：電子政務(wù)網(wǎng)是政府系統(tǒng)關(guān)鍵業(yè)務(wù)平臺(tái)，其網(wǎng)絡(luò)平臺(tái)必須具有電信級(jí)的可靠性，在設(shè)計(jì)中要充分考慮設(shè)備、鏈路、路由的冗余，以及快速自愈恢復(fù)能力?？晒芾恚航ㄗh引入電信級(jí)的網(wǎng)絡(luò)管理和業(yè)務(wù)管理方法，以確保網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)

11、行的穩(wěn)定可靠。可擴(kuò)展：網(wǎng)絡(luò)平臺(tái)的設(shè)計(jì)應(yīng)該是能夠充分考慮可擴(kuò)展性，包括鏈路帶寬的擴(kuò)展、設(shè)備容量的擴(kuò)展，以及拓樸的優(yōu)化?？蓛?yōu)化： 可以將電子政務(wù)網(wǎng)承載的各單位系統(tǒng)業(yè)務(wù)看成是統(tǒng)一網(wǎng)絡(luò)平臺(tái)的一個(gè) “客戶” 。 網(wǎng)絡(luò)平臺(tái)需 要對(duì)每一個(gè)客戶（如監(jiān)控、視頻系統(tǒng)）等進(jìn)行實(shí)時(shí)的監(jiān)控，不斷優(yōu)化其網(wǎng)絡(luò)資源。電子政務(wù)網(wǎng)方案本著先進(jìn)性、現(xiàn)實(shí)性和經(jīng)濟(jì)性統(tǒng)一的原則進(jìn)行設(shè)計(jì)，設(shè)計(jì)的網(wǎng)絡(luò)具有高性能、高可靠性、擴(kuò)展性、標(biāo)準(zhǔn)化和可管理性的特點(diǎn)，能靈活地根據(jù)需求提供不同的服務(wù)等級(jí)并保證服務(wù)質(zhì)量。該網(wǎng)絡(luò)將采用最先進(jìn)的網(wǎng)絡(luò)技術(shù)和高速設(shè)備，為電子政務(wù)等各類信息系統(tǒng)提供統(tǒng)一的綜合業(yè)務(wù)網(wǎng)絡(luò)平臺(tái)，與原有設(shè)備和網(wǎng)絡(luò)實(shí)現(xiàn)良好的互通，降低管理成本和提

12、高管理效率。2.1 網(wǎng)絡(luò)建設(shè)目標(biāo)電子政務(wù)內(nèi)外網(wǎng)，主要包括所需要的路由器、交換機(jī)、網(wǎng)管、網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)、防火墻、IPS 等設(shè)備及工程所需要的配套設(shè)備等。工程功能可實(shí)現(xiàn)系統(tǒng)的內(nèi)網(wǎng)辦公、上聯(lián)市一級(jí)電子政務(wù)內(nèi)網(wǎng)、訪問 Internet網(wǎng)絡(luò)的建設(shè)是為業(yè)務(wù)的發(fā)展服務(wù)，綜合考慮幾年內(nèi)業(yè)務(wù)發(fā)展及現(xiàn)有網(wǎng)絡(luò)狀況，電子政務(wù)內(nèi)網(wǎng)建設(shè)要達(dá)到如下目標(biāo)：電子政務(wù)內(nèi)網(wǎng)業(yè)務(wù)數(shù)據(jù)由同一網(wǎng)絡(luò)平臺(tái)承載，電子政務(wù)網(wǎng)絡(luò)的建設(shè)，應(yīng)該考慮到網(wǎng)絡(luò)的擴(kuò)展性、可靠性、安全性。IP 電話業(yè)務(wù)、監(jiān)控和會(huì)議電視，為各部門工作的開展提供靈活方便的手段。數(shù)據(jù)、語(yǔ)音等（后續(xù)將要運(yùn)行的監(jiān)控、視頻）各類業(yè)務(wù)應(yīng)用對(duì)網(wǎng)絡(luò)的需求在實(shí)時(shí)性、帶寬需求、接入方式、安全性、數(shù)據(jù)

13、分布特征等方面各有其特點(diǎn)。因此，在進(jìn)行電子政務(wù)內(nèi)網(wǎng)的建設(shè)時(shí)，需要在網(wǎng)上開展IP 視頻業(yè)務(wù)、監(jiān)控業(yè)務(wù)及會(huì)議電視等相關(guān)的業(yè)務(wù)。建立統(tǒng)一的綜合信息系統(tǒng)平臺(tái)網(wǎng)絡(luò)。按照業(yè)務(wù)的需要，建設(shè)骨干網(wǎng)絡(luò)， 統(tǒng)一全網(wǎng)的安全控制措施和安全監(jiān)測(cè)手段。集中網(wǎng)絡(luò)管理，實(shí)施分級(jí)維護(hù)；進(jìn)一步規(guī)范IP 地址的應(yīng)用；積極開展網(wǎng)絡(luò)綜合應(yīng)用。將電子政務(wù)內(nèi)外網(wǎng)建設(shè)成為一個(gè)綜合、高性能的網(wǎng)絡(luò)：綜合性為多種業(yè)務(wù)應(yīng)用與信息網(wǎng)絡(luò)提供統(tǒng)一的綜合業(yè)務(wù)傳送平臺(tái)。支持 QOS能根據(jù)業(yè)務(wù)的要求提供不同等級(jí)的服務(wù)并保證服務(wù)質(zhì)量，提供資源預(yù)留，擁塞控制，報(bào)文分類，流量整形等強(qiáng)大的IP QOS功能。高可靠性具有很高的容錯(cuò)能力，具有抵御外界環(huán)境和人為操作失誤的能

14、力，保證任何單點(diǎn)故障都不影響整個(gè)網(wǎng)絡(luò)的正常運(yùn)作。高性能在高負(fù)荷情況下仍然具有較高的吞吐能力和效率，延遲低。安全性具有保證系統(tǒng)安全，防止系統(tǒng)被人為破壞的能力。支持AAA功能、ACL IPSEC NAT ISPkeeper、路由驗(yàn)證、CHAP PAP CA MD5 DES 3DES日志等安全功能以及 MPLS VPN擴(kuò)展性易于增加新設(shè)備、新用戶，易于和各種公用網(wǎng)絡(luò)連接，隨系統(tǒng)應(yīng)用的逐步成熟不斷延伸和擴(kuò)充，充分保護(hù)現(xiàn)有投資利益。開放性符合開放性規(guī)范，方便接入不同廠商的設(shè)備和網(wǎng)絡(luò)產(chǎn)品。標(biāo)準(zhǔn)化通訊協(xié)議和接口符合國(guó)際標(biāo)準(zhǔn)。實(shí)用性具有良好的性能價(jià)格比，經(jīng)濟(jì)實(shí)用，拓?fù)浣Y(jié)構(gòu)和技術(shù)符合骨干網(wǎng)信息量大、信息流集中的

15、特點(diǎn)。易管理為達(dá)到集中管理的目的，網(wǎng)絡(luò)平臺(tái)支持虛擬網(wǎng)絡(luò)，并可與路由器、骨干和局域網(wǎng)交換機(jī)配合，整個(gè)網(wǎng)絡(luò)可以進(jìn)行遠(yuǎn)程控制。集中網(wǎng)管具體方案參見網(wǎng)管部分的描述。有效性保證 5 年以內(nèi)硬件設(shè)備無需升級(jí)，就可滿足一般業(yè)務(wù)的需要，且運(yùn)行穩(wěn)定可靠。2.2 網(wǎng)絡(luò)建設(shè)原則為達(dá)到網(wǎng)絡(luò)優(yōu)化和將來擴(kuò)展的目標(biāo)要求，在電子政務(wù)內(nèi)外網(wǎng)，應(yīng)始終堅(jiān)持以下建網(wǎng)原則:高可靠性網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的正常 運(yùn)行。標(biāo)準(zhǔn)開放性支持國(guó)際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議（如TCP/IP）、國(guó)際標(biāo)準(zhǔn)的大型的

16、動(dòng)態(tài)路由協(xié)議（如BGPQSPF等開放 協(xié)議，有利于以保證與其它網(wǎng)絡(luò)之間的平滑連接互通，以及將來網(wǎng)絡(luò)的擴(kuò)展。靈活性及可擴(kuò)展性根據(jù)未來業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)充和升級(jí)，減少最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整?？晒芾硇詫?duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)、分權(quán)管理，并統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，具有對(duì)設(shè)備、 端口等的管理、流量統(tǒng)計(jì)分析，及可提供故障自動(dòng)報(bào)警。安全性制訂統(tǒng)一的骨干網(wǎng)安全策略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性。可以通過VPN和VLAN實(shí)現(xiàn)各業(yè)務(wù)子網(wǎng)隔離，全網(wǎng)統(tǒng)一規(guī)劃IP地址，根據(jù)不同的業(yè)務(wù)劃分不同的子網(wǎng)（subnet）,相同物理LAN通過VLAN的方式隔離，不同子網(wǎng)間的互通性由路由策

17、略決定。保護(hù)現(xiàn)有投資在保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級(jí)，對(duì)其他的設(shè)備用作骨干網(wǎng)外聯(lián)的接入設(shè)備。統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一平臺(tái)網(wǎng)絡(luò)的互聯(lián)及互通關(guān)鍵是對(duì)相同標(biāo)準(zhǔn)的遵循，在網(wǎng)絡(luò)中，由于有多個(gè)網(wǎng)絡(luò)并存，要使這些網(wǎng)絡(luò)能融合到一起，實(shí)現(xiàn)業(yè)務(wù)整合及數(shù)據(jù)集中等業(yè)務(wù)，就必須統(tǒng)一標(biāo)準(zhǔn)。在具體實(shí)施中，必須統(tǒng)一規(guī)劃IP 地址及各種應(yīng)用，采用開放的技術(shù)及國(guó)際標(biāo)準(zhǔn)，如路由協(xié)議、安全標(biāo)準(zhǔn)、接入標(biāo)準(zhǔn)和網(wǎng)絡(luò)管理平臺(tái)等，才能保證實(shí)現(xiàn)網(wǎng)絡(luò)的統(tǒng)一，并確保網(wǎng)絡(luò)的可擴(kuò)展性。3 網(wǎng)絡(luò)平臺(tái)基礎(chǔ)建設(shè)3.1 網(wǎng)絡(luò)整體結(jié)構(gòu)電子政務(wù)系統(tǒng)整個(gè)網(wǎng)絡(luò)系統(tǒng)劃分成內(nèi)網(wǎng)和外網(wǎng)，兩個(gè)物理隔離的網(wǎng)絡(luò)。內(nèi)網(wǎng)和整個(gè)電子政務(wù)網(wǎng)絡(luò)相連，承載上聯(lián)上一級(jí)電子

18、政務(wù)網(wǎng)、辦公OA等業(yè)務(wù)。外網(wǎng)主要負(fù)載一些對(duì)外業(yè)務(wù)，如訪問 Internet 、網(wǎng)站信息公示等。從政府系統(tǒng)行政管理和技術(shù)的角度來看，建議采用層次化的網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu)，這樣既方便了管理，也有利于擴(kuò)展和靈活布置。 TOC o 1-5 h z 采用層次性設(shè)計(jì)方案的優(yōu)勢(shì):網(wǎng)絡(luò)及路由層次清晰:分層網(wǎng)絡(luò)結(jié)構(gòu)，路由設(shè)計(jì)更清晰，可以盡量避免核心區(qū)域的路由受到邊緣鏈路震蕩的影響。網(wǎng)絡(luò)及業(yè)務(wù)擴(kuò)展性好，降低建設(shè)成本:采用分層結(jié)構(gòu)之后，在電子政務(wù)系統(tǒng)內(nèi)網(wǎng)業(yè)務(wù)擴(kuò)展（ 帶寬擴(kuò)展、節(jié)點(diǎn)擴(kuò)展） 時(shí)，可以通過內(nèi)網(wǎng)核心層擴(kuò)展端口來實(shí)現(xiàn)。當(dāng)增加一個(gè)部門或科室，直接在核心核心交換機(jī)上擴(kuò)展端口，降低了投資成本，提高了網(wǎng)絡(luò)的擴(kuò)展性。分層結(jié)構(gòu)在

19、業(yè)務(wù)擴(kuò)展時(shí)對(duì)網(wǎng)絡(luò)核心層及路由規(guī)劃沒有影響，平滑過渡。而如果在核心交換機(jī)上直接擴(kuò)容需要更改大量骨干設(shè)備的配置及路由規(guī)劃。網(wǎng)絡(luò)可靠性高:采用分層結(jié)構(gòu)之后，功能模塊相互獨(dú)立，如FE/GE接入、NX 2M接入、核心轉(zhuǎn)發(fā)由不同的設(shè)備來完成，不會(huì)相互影響，提高了整個(gè)網(wǎng)絡(luò)的可靠性。整個(gè)網(wǎng)絡(luò)方案在路由備份、物理位置分離、局域網(wǎng)鏈路備份、虛擬路由備份、設(shè)備級(jí)可靠性等方面做了比較充分的考慮，可有效保證電子政務(wù)網(wǎng)絡(luò)的健壯性。便于維護(hù)采用分層結(jié)構(gòu)之后，功能模塊相互獨(dú)立，如FE/GE接入、E1接入、核心轉(zhuǎn)發(fā)由不同的設(shè)備來完成，設(shè)備的配置大大簡(jiǎn)化，便于維護(hù)，也便于網(wǎng)絡(luò)故障定位。采用分層結(jié)構(gòu)，在業(yè)務(wù)擴(kuò)展時(shí)簡(jiǎn)單高效，極大降低

20、了管理難度?；谏厦鎸?duì)層次化設(shè)計(jì)、局域網(wǎng)技術(shù)和廣域網(wǎng)技術(shù)的分析，設(shè)計(jì)了電子政務(wù)網(wǎng)絡(luò)。在網(wǎng)絡(luò)的設(shè)計(jì)上 主要考慮了網(wǎng)絡(luò)的性能、可靠性、安全性以及結(jié)合國(guó)際上成熟可靠的設(shè)計(jì)思想而提出的。整個(gè)電子政務(wù)系統(tǒng)的內(nèi)外網(wǎng)設(shè)計(jì)采用層次結(jié)構(gòu)，除了可以滿足本身業(yè)務(wù)上和實(shí)現(xiàn)辦公自動(dòng)化等的一些基本應(yīng)用外，未來也可以實(shí)現(xiàn)遠(yuǎn)程監(jiān)控、視頻會(huì)議等一些增值的應(yīng)用。下面介紹一下網(wǎng)絡(luò)的總體結(jié)構(gòu)。3.2 電子政務(wù)內(nèi)網(wǎng)解決方案新建辦公大樓共23 層，主機(jī)房位于第四層，分機(jī)房在1 3 層部署一間，其余每隔2 層部署一間機(jī)房，內(nèi)網(wǎng)的建設(shè)對(duì)各項(xiàng)業(yè)務(wù)的運(yùn)轉(zhuǎn)至關(guān)重要。下面內(nèi)網(wǎng)的拓?fù)鋱D：整個(gè)內(nèi)網(wǎng)的主要架構(gòu)特點(diǎn)：電子政務(wù)內(nèi)網(wǎng)采用核心、接入的扁平化兩層架

21、構(gòu)，提高了訪問速度，管理更方便。網(wǎng)絡(luò)核心處采用一臺(tái)高端交換機(jī)作為網(wǎng)絡(luò)的核心，采用雙引擎雙電源，增強(qiáng)核心設(shè)備的可靠性，同時(shí)保證數(shù)據(jù)在雙引擎轉(zhuǎn)發(fā)的負(fù)載分擔(dān)。各樓宇的接入交換機(jī)通過千兆光纖鏈路上行，與核心交換機(jī)相連。整個(gè)網(wǎng)絡(luò)千兆骨干、百兆到桌面，數(shù)據(jù)傳輸在鏈路上沒有擁塞。每個(gè)分機(jī)房部署一臺(tái)48 口的接入交換機(jī)，接入各層的信息點(diǎn)。5)內(nèi)部局域網(wǎng)安全隱患遠(yuǎn)遠(yuǎn)高于外部，在某些PC終端在感染了攻擊性病毒后，會(huì)不停的對(duì)網(wǎng)絡(luò)中的其他PC終端和服務(wù)器發(fā)動(dòng)網(wǎng)絡(luò)攻擊，輕者導(dǎo)致一些用戶不能正常上網(wǎng)，重者導(dǎo)致服務(wù)器和網(wǎng)絡(luò)癱瘓。因?yàn)榫W(wǎng)絡(luò)中所有數(shù)據(jù)都通過核心交換機(jī)進(jìn)行轉(zhuǎn)發(fā)，只要在核心交換機(jī)上擴(kuò)展一塊內(nèi)置防火墻模塊，其功能就相

22、當(dāng)于在核心交換機(jī)上的每條鏈路都部署了一臺(tái)高性能防火墻，通過這種方式來防御下面終端的攻擊。而且防火墻模塊可以對(duì)不同的部門進(jìn)行訪問權(quán)限的劃分，控制各種用戶訪問權(quán)限。為防御外部和內(nèi)部的4 7 層的網(wǎng)絡(luò)攻擊，特別是一些惡性病毒，如木馬、蠕蟲病毒等，建議在網(wǎng)絡(luò)中部署IPS系統(tǒng)。但把IPS設(shè)備部署到網(wǎng)絡(luò)前端時(shí)，會(huì)出現(xiàn)路由器、 IPS、防火墻等串行單點(diǎn)部署的情況，整個(gè)內(nèi)網(wǎng)運(yùn)轉(zhuǎn)時(shí)一旦一臺(tái)設(shè)備出現(xiàn)故障，會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)出口中斷，后果不堪設(shè)想。我們建議將單獨(dú)的IPS 設(shè)備替換成一塊能在核心交換機(jī)上擴(kuò)展的IPS 模塊，不但能有效的解決串行單點(diǎn)部署的情況，而且因?yàn)樗渴鹪诤诵慕粨Q機(jī)上，所有經(jīng)過核心交換機(jī)的數(shù)據(jù)都能經(jīng)過I

23、PS 模塊過濾，對(duì)數(shù)據(jù)中心的服務(wù)器進(jìn)行應(yīng)用層保護(hù)，可以有效的防止DDO斂擊，和數(shù)據(jù)庫(kù)數(shù)據(jù)更改等黑客行為，整網(wǎng)安全性進(jìn)一步提高。服務(wù)器均以千兆鏈路直接連接核心交換機(jī)，提高服務(wù)器的訪問速度。在網(wǎng)絡(luò)的出口處，部署一臺(tái)高性能的路由器，承擔(dān)數(shù)據(jù)的路由轉(zhuǎn)發(fā)功能，上聯(lián)上一級(jí)電子政務(wù)網(wǎng)。在同時(shí)對(duì)內(nèi)網(wǎng)地址做 NAT地址轉(zhuǎn)換（NAT地址轉(zhuǎn)換的功能也可以放在核心交換機(jī)的防火墻模塊上） 9）為有效防范非法計(jì)算機(jī)接入到上下級(jí)電子政務(wù)網(wǎng)內(nèi)部網(wǎng)絡(luò)中，和防范合法計(jì)算機(jī)在安全狀態(tài)不滿足要求的情況接入到網(wǎng)絡(luò)中，并根據(jù)不同用戶享有不同網(wǎng)絡(luò)使用權(quán)限。你安全嗎?接入請(qǐng)求身份認(rèn)證合法用戶安全認(rèn)證你是證?:非法用戶:拒也-強(qiáng)制加固隔離區(qū)動(dòng)

24、態(tài)授杈合格用戶行為審”不日用戶享 受不日的阿 絡(luò)使用楹限侑:可以做 什義？你在做 什幺?：不告搭：邊人隔離區(qū)電子政基平臺(tái)10）內(nèi)網(wǎng)承載的業(yè)務(wù)多為重要的業(yè)務(wù)，需要信息中心工作人員對(duì)整網(wǎng)的安全事件時(shí)刻關(guān)注，且網(wǎng)絡(luò)的安 全狀況通常是根據(jù)各種網(wǎng)絡(luò)設(shè)備的日志來進(jìn)行分析的，為方便網(wǎng)絡(luò)管理員對(duì)整網(wǎng)安全事件進(jìn)行統(tǒng)一管理，建議在服務(wù)器區(qū)配置一臺(tái)安全管理中心 SecCenter ,對(duì)整網(wǎng)設(shè)備的安全日志進(jìn)行統(tǒng)一收集并分析。并可生成各種形式的報(bào)告，方便向上級(jí)領(lǐng)導(dǎo)匯報(bào)。11）為避免多個(gè)業(yè)務(wù)系統(tǒng)采用不同網(wǎng)管軟件給管理員帶來的麻煩和困擾，建議對(duì)整網(wǎng)網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)、用戶進(jìn)行綜合管理，方便管理員進(jìn)行統(tǒng)一管理。12）為幫助管理員

25、方便的對(duì)設(shè)備配置文件和軟件文件進(jìn)行集中管理，包括配置文件的備份、恢復(fù)以及批量更新、設(shè)備軟件的備份和升級(jí)等功能，在iMC上附送了一個(gè)中心業(yè)務(wù)組件 iCCo13）為幫助管理員對(duì)整個(gè)網(wǎng)絡(luò)流量進(jìn)行有效監(jiān)控，如可以統(tǒng)計(jì)設(shè)備接口、接口組、IP地址組、多鏈路接口的（準(zhǔn)）實(shí)時(shí)流量信息，包括流入、流出速率以及當(dāng)前速率相對(duì)于鏈路最大速率的比例等，建議配置一套網(wǎng)絡(luò)流量分析系統(tǒng)，包括在核心交換機(jī)上擴(kuò)展一塊網(wǎng)絡(luò)流量分析模塊，和在智能管理中樞iMC上配置一個(gè)網(wǎng)絡(luò)流量分析組件 NTA3.3電子政務(wù)外網(wǎng)解決方案外網(wǎng)上運(yùn)行的業(yè)務(wù)相對(duì)內(nèi)網(wǎng)而言，雖然承載的業(yè)務(wù)重要性要低些，但在網(wǎng)絡(luò)設(shè)計(jì)和設(shè)備選型不能降 低標(biāo)準(zhǔn)。下面是電子政務(wù)外網(wǎng)拓

26、撲圖： 整個(gè)外網(wǎng)的主要架構(gòu)特點(diǎn):網(wǎng)絡(luò)核心處采用一臺(tái)高性價(jià)比交換機(jī)作為網(wǎng)絡(luò)的核心，配置雙電源。各樓宇的接入交換機(jī)通過千兆光纖鏈路上行，與核心交換機(jī)相連，整個(gè)網(wǎng)絡(luò)千兆骨干、百兆到桌面，數(shù)據(jù)傳輸在鏈路上沒有擁塞。服務(wù)器均以千兆鏈路直接連接核心交換機(jī)，提高服務(wù)器的訪問速度。在網(wǎng)絡(luò)的出口處，部署一臺(tái)高擴(kuò)展性的路由器，承擔(dān)數(shù)據(jù)的路由轉(zhuǎn)發(fā)功能。每個(gè)分機(jī)房部署一臺(tái)48 口的接入交換機(jī)，接入各層的信息點(diǎn)。7)在路由器的后端部署一臺(tái)防火墻，對(duì)外網(wǎng)數(shù)據(jù)進(jìn)行過濾，并對(duì)內(nèi)網(wǎng)地址做NAT地址轉(zhuǎn)換。此種組網(wǎng)方式避免了出口的單點(diǎn)故障，一旦防火墻模塊出現(xiàn)問題，也不會(huì)出現(xiàn)斷網(wǎng)情況，路由器本身有較強(qiáng)的NAT地址轉(zhuǎn)換功能，可接替防火

27、墻的職責(zé)。為避免多個(gè)業(yè)務(wù)系統(tǒng)采用不同網(wǎng)管軟件給管理員帶來的麻煩和困擾，建議對(duì)整網(wǎng)網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)、用戶進(jìn)行綜合管理，方便管理員進(jìn)行統(tǒng)一管理。為幫助管理員方便的對(duì)設(shè)備配置文件和軟件文件進(jìn)行集中管理，包括配置文件的備份、恢復(fù)以及批量更新、設(shè)備軟件的備份和升級(jí)等功能，在iMC 上附送了一個(gè)中心業(yè)務(wù)組件iCC。為方便管理員對(duì)終端用戶的上網(wǎng)行為進(jìn)行事后審計(jì)，追查用戶的網(wǎng)絡(luò)行為，滿足相關(guān)部門對(duì)用戶網(wǎng)絡(luò)訪問日志進(jìn)行審計(jì)的硬性要求，建議配置一套網(wǎng)絡(luò)行為審計(jì)系統(tǒng)，包括在智能管理中樞iMC上配置一個(gè)網(wǎng)絡(luò)用戶彳T為審計(jì)組件UBAS和一個(gè)能生成七層日志的DIG探針。建議在外網(wǎng)上部署一套無線系統(tǒng)，無線平臺(tái)將依托電子政務(wù)外

28、網(wǎng)平臺(tái)，采用集中控制、分布式部署的模式來建設(shè)。在電子政務(wù)外網(wǎng)上擴(kuò)展無線插卡來實(shí)現(xiàn)對(duì)于全網(wǎng)無線系統(tǒng)的統(tǒng)一管理和配置，對(duì)前端的無線AP進(jìn)行統(tǒng)一的配置管理及認(rèn)證管理。由于外網(wǎng)接入層設(shè)備能夠支持較好的PO助能，所以在無線網(wǎng)絡(luò)部署時(shí)，不需要考慮其電源位置，使無線AP能夠更加靈活的部署。電子政務(wù)安全解決方案網(wǎng)絡(luò)安全問題已成為信息時(shí)代企業(yè)和個(gè)人共同面臨的挑戰(zhàn)，電子政務(wù)網(wǎng)絡(luò)安全狀態(tài)也很嚴(yán)峻?，F(xiàn)在計(jì)算機(jī)系統(tǒng)受病毒感染和破壞的情況相當(dāng)嚴(yán)重，電腦黑客活動(dòng)已形成重要威脅，信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn)，信息系統(tǒng)在預(yù)測(cè)、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)。本次方案設(shè)計(jì)的H3c的網(wǎng)絡(luò)設(shè)備提供很高的安全性，通過這些安

29、全特性可用構(gòu)成一個(gè)安全的網(wǎng)絡(luò)環(huán) 境。(1)端口+ IP+MACM址的綁定用戶上網(wǎng)的安全性非常重要，端口+IP+MAC地址的綁定關(guān)系，H3c交換機(jī)可以支持基于 MACM址的802.1X認(rèn)證，整機(jī)最多支持1K個(gè)下掛用戶的認(rèn)證。MACM址的綁定可以直接實(shí)現(xiàn)用戶對(duì)于邊緣用戶的管理，提高整個(gè)網(wǎng)絡(luò)的安全性、可維護(hù)性。如：每個(gè)用戶分配一個(gè)端口，并與該用戶主機(jī)的MAc、 IP、 VLAN等進(jìn)行綁定，當(dāng)用戶通過802.1X客戶端認(rèn)證通過以后用戶便可以實(shí)現(xiàn) MACM址+端口+ IP+用戶ID的 綁定，這種方式具有很強(qiáng)的安全特性：防D.O.S的攻擊，防止用戶的 MACM址的欺騙，對(duì)于更改 MAO址的用戶（MACM址

30、欺騙的用戶）可以實(shí)現(xiàn)強(qiáng)制下線。（ 2）接入層防Proxy 的功能考慮到政府系統(tǒng)用戶的技術(shù)性較強(qiáng)，在實(shí)際的應(yīng)用的過程當(dāng)中應(yīng)當(dāng)充分考慮到Proxy 的使用，對(duì)于Proxy的防止，H3c公司交換機(jī)配合 H3c公司的802.1X的客戶端，一旦檢測(cè)到用戶 PC機(jī)上存在兩個(gè)活動(dòng) 的IP地址（不論是單網(wǎng)卡還是雙網(wǎng)卡），H3c系列交換機(jī)將會(huì)下發(fā)指令將該用戶直接踢下線。（3） MAC%址盜用的防止在網(wǎng)絡(luò)的應(yīng)用當(dāng)中IP 地址的盜用是最為經(jīng)常的一種非法手段，用戶在認(rèn)證通過以后將自己的MAc地址進(jìn)行修改，然后在進(jìn)行一些非法操作，網(wǎng)絡(luò)設(shè)計(jì)當(dāng)中我們針對(duì)該問題，在接入層交換機(jī)上提供防止MACM址盜用的功能，用戶在更改MAC

31、M址后，交換機(jī)對(duì)于與綁定MACM址不相符的用戶直接將下線，其下線功能是由接入系列交換機(jī)來實(shí)現(xiàn)的。（4）防止對(duì)DHCPI艮務(wù)器的攻擊使用 DHcPServer 動(dòng)態(tài)分配IP 地址會(huì)存在兩個(gè)問題：一是DHcPServer 假冒，用戶將自己的計(jì)算機(jī)設(shè)置成DHCP Server后會(huì)與局方的 DHCP Server沖突；二是用戶 DHCP Smurf用戶使用軟件變換自己的 MACM址，大量申請(qǐng)IP地址，很快將 DHCP勺地址池耗光。H3c交換機(jī)可以支持多種禁止私設(shè)DHCP Server的方法。（ 5） Private VLAN解決這個(gè)問題的方法之一是在桌面交換機(jī)上啟用Private VLAN的功能。但在

32、很多環(huán)境中這個(gè)功能的使用存在局限，或者不會(huì)為了私設(shè)DHCP艮務(wù)器的緣故去改造網(wǎng)絡(luò)。（ 6）訪問控制列表對(duì)于有三層功能的交換機(jī)，可以用訪問列表來實(shí)現(xiàn)。就是定義一個(gè)訪問列表，該訪問列表禁止source port為67而destination port為68的UD田艮文通過。之后把這個(gè)訪問列表應(yīng)用到各個(gè)物理端口上。當(dāng)然往端口一個(gè)個(gè)去添加訪問控制組比較麻煩，可 以結(jié)合 interface range 命令來減少命令的輸入量。新的命令因?yàn)樗娜忠饬x，也為了突出該安全功能，建議有如下單條命令的配置：service dhcp-offer deny exclude interface interface-t

33、ype interface-number interface interface-type interface-numbert | none如果輸入不帶選項(xiàng)的命令no dhcp-offer ,那么整臺(tái)交換機(jī)上連接的DHC用艮務(wù)器都不能提供DHCP服務(wù)。exclude interface interface-type interface-number:是指合法 DHCP1艮務(wù)器或者 DHCP relay所在的物理端口。除了該指定的物理端口以外，交換機(jī)會(huì)丟棄其他物理端口的in方向的DHCP OFFERS文。interface interface-type interface-numbert | n

34、one:當(dāng)明確知道私設(shè) DHCPI艮務(wù)器是在哪個(gè)物理端口上的時(shí)候， 就可以選用這個(gè)選項(xiàng)。當(dāng)然如果該物理端口下面僅僅下聯(lián)該私設(shè)DHC用艮務(wù)器，那么可以直接disable該端口。該選項(xiàng)用于私設(shè)DHCFW務(wù)器和其他的合法主機(jī)一起通過一臺(tái)不可網(wǎng)管的或不支 持關(guān)閉 DHCP Offer 功能的交換機(jī)上聯(lián)的情況。選擇none 就是放開對(duì)dhcp-offer 的控制。(7)防止ARP的攻擊隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和用戶數(shù)目的增多，網(wǎng)絡(luò)安全和管理越發(fā)顯出它的重要性。由于現(xiàn)在用戶具有很強(qiáng)的專業(yè)背景，致使網(wǎng)絡(luò)黑客攻擊頻繁發(fā)生，地址盜用和用戶名仿冒等問題屢見不鮮。因此，ARP攻擊、地址仿冒、MAG&址攻擊、DHCPC擊等

35、問題不僅令網(wǎng)絡(luò)中心的管理人員頭痛不已，也對(duì)網(wǎng)絡(luò)的接入 安全提出了新的挑戰(zhàn)。ARP攻擊包括中間人攻擊(Man In The Middle)和仿冒網(wǎng)關(guān)兩種類型：中間人攻擊：按照 ARP 協(xié)議的原理，為了減少網(wǎng)絡(luò)上過多的ARP 數(shù)據(jù)通信，一個(gè)主機(jī)，即使收到的ARP 應(yīng)答并非自己請(qǐng)求得到的，它也會(huì)將其插入到自己的ARP 緩存表中，這樣，就造成了“ARP 欺騙”的可能。如果黑客想探聽同一網(wǎng)絡(luò)中兩臺(tái)主機(jī)之間的通信(即使是通過交換機(jī)相連)， 他會(huì)分別給這兩臺(tái)主機(jī)發(fā)送一個(gè) ARP 應(yīng)答包，讓兩臺(tái)主機(jī)都“誤”認(rèn)為對(duì)方的 MAC 地址是第三方的黑客所在的主機(jī)，這樣，雙方看似“直接”的通信連接，實(shí)際上都是通過黑客所

36、在的主機(jī)間接進(jìn)行的。黑客一方面得到了想要的通信內(nèi)容，另一方面，只需要更改數(shù)據(jù)包中的一些信息，成功地做好轉(zhuǎn)發(fā)工作即可。在這種嗅探方式中，黑 客所在主機(jī)是不需要設(shè)置網(wǎng)卡的混雜模式的，因?yàn)橥ㄐ烹p方的數(shù)據(jù)包在物理上都是發(fā)送給黑客所在的中 轉(zhuǎn)主機(jī)的。仿冒網(wǎng)關(guān)：攻擊者冒充網(wǎng)關(guān)發(fā)送免費(fèi)ARP其它同一網(wǎng)絡(luò)內(nèi)的用戶U到后，更新自己的ARP表項(xiàng)，后續(xù)，受攻擊用戶發(fā)往網(wǎng)關(guān)的流量都會(huì)發(fā)往攻擊者。此攻擊導(dǎo)致用戶無法正常和網(wǎng)關(guān)通信。而攻擊者可以憑借此攻 擊而獨(dú)占上行帶寬。在DHCP的網(wǎng)絡(luò)環(huán)境中，使能 DHCP Snooping功能，交換機(jī)會(huì)記錄用戶的IP和MAC信息，形成IP+MAC+Port+VLAN的綁定記錄。H3c

37、交換機(jī)利用該綁定信息，可以判斷用戶發(fā)出的AR用艮文是否合法。使能對(duì)指定VLAN內(nèi)所有端口的 ARP檢測(cè)功能，即對(duì)該VLAN內(nèi)端口收到的 AR用艮文白源IP或源MACS行 檢測(cè)，只有符合綁定表項(xiàng)的ARP報(bào)文才允許轉(zhuǎn)發(fā)；如果端口接收的ARP報(bào)文的源IP或源MA懷在DHCPSnooping動(dòng)態(tài)表項(xiàng)或 DHCPSnooping靜態(tài)表項(xiàng)中，則 AR用艮文被丟棄。這樣就有效的防止了非法用戶的 ARP攻擊。本次方案設(shè)計(jì)的華三核心設(shè)備都是支持專業(yè)的安全板卡，可以在保護(hù)用戶投資的情況下，增加這些板卡讓網(wǎng)絡(luò)具有更高的安全性。如果硬件安全板卡的性能不能滿足流量的要求的時(shí)候，可以通過增加多 個(gè)板卡起到動(dòng)態(tài)擴(kuò)容，負(fù)載分

38、擔(dān)的作用。4網(wǎng)絡(luò)平臺(tái)QO乘隙QoS 及其功能在傳統(tǒng)的IP 網(wǎng)絡(luò)中，所有的報(bào)文都被無區(qū)別的等同對(duì)待，每個(gè)路由器對(duì)所有的報(bào)文均采用先入先出FIFO 的策略進(jìn)行處理，它盡最大的努力Best-Effort 將報(bào)文送到目的地，但對(duì)報(bào)文傳送的可靠性、傳送延遲等性能不提供任何保證。網(wǎng)絡(luò)發(fā)展日新月異，隨著IP 網(wǎng)絡(luò)上新應(yīng)用的不斷出現(xiàn)，對(duì)IP 網(wǎng)絡(luò)的服務(wù)質(zhì)量也提出了新的要求，例如IP 監(jiān)控等實(shí)時(shí)業(yè)務(wù)就對(duì)報(bào)文的傳輸延遲提出了較高要求，如果報(bào)文傳送延時(shí)太長(zhǎng)，將是用戶所不能接受的（相對(duì)而言E-Mail和FTP業(yè)務(wù)對(duì)時(shí)間延遲并不敏感）。為了支持具有不同服務(wù)需求的監(jiān)控、視頻以及數(shù)據(jù)等業(yè)務(wù)，要求網(wǎng)絡(luò)能夠區(qū)分出不同的通信進(jìn)而

39、為之提供相應(yīng)的服務(wù)傳統(tǒng)IP 網(wǎng)絡(luò)的盡力服務(wù)不可能識(shí)別和區(qū)分出網(wǎng)絡(luò)中的各種通信類別而具備通信類別的區(qū)分能力正是為不同的通信提供不同服務(wù)的前提所以說傳統(tǒng)網(wǎng)絡(luò)的盡力服務(wù)模式已不能滿足應(yīng)用的需要QoS。Quality of Service 服務(wù)質(zhì)量技術(shù)的出現(xiàn)便致力于解決這個(gè)問題。QoS 旨在針對(duì)各種應(yīng)用的不同需求為其提供不同的服務(wù)質(zhì)量例如提供專用帶寬減少報(bào)文丟失率降低報(bào)文傳送時(shí)延及時(shí)延抖動(dòng)等為實(shí)現(xiàn)上述目的QoS提供了下述功能：報(bào)文分類和著色網(wǎng)絡(luò)擁塞管理網(wǎng)絡(luò)擁塞避免流量監(jiān)管和流量整形如果隨著電子政務(wù)網(wǎng)絡(luò)的擴(kuò)展出現(xiàn)擁塞，可采用的QO豉術(shù)有：IP優(yōu)先級(jí)分類、CARWRED WFQ CBWFQ ATM CO驛

40、。QO覺一個(gè)需要消耗很多處理器資源的應(yīng)用，為了達(dá)到全網(wǎng)最好的使用效率，建議無論是采用VLAN+AC方案，還是采用 MPLS BGP VPN案，建議均采用 DiffServ 機(jī)制。在充分計(jì)算了各類業(yè)務(wù)流量的前提下，在接入路由器上采用CAR技術(shù)對(duì)各類業(yè)務(wù)流做流量限定、設(shè)定IP優(yōu)先級(jí)；在路由器廣域網(wǎng)接口上采用CBWF皎術(shù)為每一類業(yè)務(wù)提供確定帶寬；通過上述技術(shù)可實(shí)現(xiàn)QoS。電子政務(wù)網(wǎng)絡(luò)QO毀計(jì)原則建議QoS設(shè)計(jì)符合下面的原則：差異性：為不同的業(yè)務(wù)提供不同的QoS保證；可管理 : 靈活的帶寬控制策略；經(jīng)濟(jì)性：有效利用網(wǎng)絡(luò)資源，包括帶寬、VLAN端口等；高可用性: 設(shè)計(jì)備份路徑，采用具備熱備份、熱插拔能力

41、的設(shè)備，并對(duì)關(guān)鍵的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行冗余備份；可擴(kuò)展性: 采用能夠在帶寬、業(yè)務(wù)種類增加時(shí)平滑擴(kuò)容、升級(jí)的設(shè)備。體系結(jié)構(gòu)的選擇為了在 IP 網(wǎng)絡(luò)上提供QoS， IETF 提出了許多服務(wù)模型和協(xié)議，其中比較突出的有IntServ (Integrated Services) 模型和 DiffServ (Differentiated Services)模型。IntServ 模型要求網(wǎng)絡(luò)中的所有節(jié)點(diǎn)( 包括核心節(jié)點(diǎn))都記錄每個(gè)經(jīng)過的應(yīng)用流的資源預(yù)留狀態(tài)，需要通過IP包頭識(shí)別出所有白用戶應(yīng)用流(進(jìn)彳T MF分類)，同時(shí)為每個(gè)經(jīng)過的應(yīng)用流設(shè)置單獨(dú)的內(nèi)部隊(duì)列以分別進(jìn)行監(jiān)管(Policing) 、 調(diào)度 (Sched

42、uling) 、 整形 (Shaping)等操作。對(duì)于現(xiàn)在大型運(yùn)營(yíng)網(wǎng)絡(luò)中的節(jié)點(diǎn)，這種應(yīng)用流( 活動(dòng)的 ) 的數(shù)量非常龐大，會(huì)遠(yuǎn)遠(yuǎn)超出節(jié)點(diǎn)設(shè)備所能夠處理的能力，而且可擴(kuò)展性差，僅適合在小規(guī)模網(wǎng)絡(luò)中使用。DiffServ 模型的基本原理是將網(wǎng)絡(luò)中的流量分成多個(gè)類，每個(gè)類接受不同的處理，尤其是網(wǎng)絡(luò)出現(xiàn)擁塞時(shí)不同的類會(huì)享受不同的優(yōu)先處理，從而得到不同的丟棄率、時(shí)延以及時(shí)延抖動(dòng)。在DiffServ 的體系結(jié)構(gòu)下，IETF 已經(jīng)定義了EF(Expedite Forwarding) 、AF1-AF4(Assured Forwarding) 、 BE(Best Effort) 等六種標(biāo)準(zhǔn)PHB(Per-hop

43、 Behavior) 及業(yè)務(wù)。此外，有些廠商實(shí)現(xiàn)了基于TOS的分類服務(wù)(COS),并且這類設(shè)備已經(jīng)應(yīng)用在一些現(xiàn)有的運(yùn)營(yíng)網(wǎng)絡(luò)。CO莊口 DiffServ 類似，不過比 DiffServ 更簡(jiǎn)單，并且不象 DiffServ 那樣定 義了一組標(biāo)準(zhǔn)的業(yè)務(wù)。DiffServ 對(duì)聚合的業(yè)務(wù)類提供 QoS保證，可擴(kuò)展性好，便于在大規(guī)模網(wǎng)絡(luò)中使用。本次工程推薦使用DeffServ 機(jī)制實(shí)現(xiàn)QOS。DiffServ 域?qū)⒃O(shè)備分為兩類，邊緣設(shè)備和核心設(shè)備，其中邊緣設(shè)備承擔(dān)了較多的工作，如流分類、標(biāo)記、帶寬限制、擁塞管理、擁塞避免、流量整形等。如果由單一設(shè)備全部處理，開銷較大，容易形成網(wǎng)絡(luò)瓶頸，因此需要將這些功能分

44、布到不同的設(shè)備上去，如流分類功盡量在邊緣實(shí)現(xiàn)。在現(xiàn)有網(wǎng)絡(luò)中，建議在 Access Network 中進(jìn)行流分類，并通過VLAN、.1p等進(jìn)行標(biāo)記，在 POP點(diǎn)進(jìn)行帶寬限制(CAR)和擁塞避免(RED),在所有節(jié)點(diǎn)上基于優(yōu) 先級(jí)采用優(yōu)先級(jí)隊(duì)列調(diào)度，實(shí)現(xiàn)擁塞管理。如果在整個(gè) Access Network中，通過在業(yè)務(wù)流經(jīng)的所有二、三層設(shè)備上部署CAR隊(duì)列機(jī)制，這樣能夠基于VLAN、 802.1p 等信息保證每個(gè)用戶，每個(gè)業(yè)務(wù)的帶寬，實(shí)際上就實(shí)現(xiàn)了一種類似IntServ 的機(jī)制，只不過這時(shí)源還是用戶，而目的不是遠(yuǎn)程用戶，而是POP點(diǎn)(干線節(jié)點(diǎn)及邊沿節(jié)點(diǎn))。在POP點(diǎn)和骨干網(wǎng)中根據(jù)/繼承802.1p標(biāo)

45、記進(jìn)行DiffServ 處理， 可以看作是IntServ同DiffServ 的一種結(jié)合。這種機(jī)制為用戶提供了虛擬專線，其QoS可同真正的專線相媲美。H3c路由器DiffServ 模型H3c路由器提供基于 DiffServ 的QOS莫型如下圖所示：采用 Diffserv/CoS 的方法需要對(duì)所有的IP 包在網(wǎng)絡(luò)邊緣或用戶側(cè)進(jìn)行流分類，打上Diffserv 或CoS標(biāo)識(shí)。DS域內(nèi)的路由器根據(jù)優(yōu)先級(jí)進(jìn)行轉(zhuǎn)發(fā)，保證高優(yōu)先級(jí)業(yè)務(wù)的Qo艘求。骨干網(wǎng)絡(luò)實(shí)施 Diffserv/CoS ,需要所有相關(guān)設(shè)備支持，特別對(duì)邊沿節(jié)點(diǎn)有很強(qiáng)QOSfB力需求。在邊沿結(jié)點(diǎn)的Ingress 方向， 路由器通常需要進(jìn)行基于MF(

46、Multi-field) 的流分類、基于用戶流的流量監(jiān)管、DSC所記和重標(biāo)記、隊(duì)列管理和隊(duì)列調(diào)度、流量整形?；贛F的流分類能力是DiffServ 邊沿路由器最重要的考慮因素，主要體現(xiàn)在允許參與流分類的報(bào)文的域 (Field) 的豐富程度( 決定路由器識(shí)別用戶流量的靈活度) 、可配置的流分類規(guī)則數(shù)的多少( 決定路由器識(shí)別用戶流量的精細(xì)度) 、 流分類處理性能。Ingress 方向的流量監(jiān)管需要對(duì)每個(gè)用戶流分別進(jìn)行監(jiān)管，因此需要路由器具有對(duì)大量用戶流進(jìn)行監(jiān)管的能力。隊(duì)列管理涉 及 Buffer 管理和擁塞控制功能。在邊?目的Egress方向，路由器需要進(jìn)行基于DSCP勺流分類、DSC通標(biāo)記/TO

47、S標(biāo)記、流量整形、隊(duì)列管理和調(diào)度。如果下游域還是DiffServ 域，業(yè)務(wù)流量出口前根據(jù) ISP雙方的SLA可能需要進(jìn)行 DSCP勺重標(biāo)記；如果下游域是COSM,便需要進(jìn)行 TO的記。Egress方向的流量整形使發(fā)出到下游域的業(yè)務(wù)流量的帶寬和突發(fā)流量屬性符合同下游域的運(yùn)營(yíng)者 所簽訂的SLA。核心結(jié)點(diǎn)需要完成基于 DSCP勺流分類、隊(duì)列管理和隊(duì)列調(diào)度，任務(wù)簡(jiǎn)單卻要求在高速 接口( 如 2.5G) 時(shí)的線速處理性能。H3c路由器QO酸現(xiàn)機(jī)制H3CMS蝠由器是針對(duì)運(yùn)營(yíng)商或者企業(yè)網(wǎng)網(wǎng)絡(luò)骨干及邊緣應(yīng)用的開放多業(yè)務(wù)路由器，設(shè)計(jì)并實(shí)現(xiàn)了承載包括實(shí)時(shí)業(yè)務(wù)在內(nèi)的綜合業(yè)務(wù)的QoS特性，尤其對(duì)DiffServ提供了

48、基于標(biāo)準(zhǔn)的完善支持，包括流分類、流量監(jiān)管(Policing) 、流量整形(Shaping) 、隊(duì)列管理、隊(duì)列調(diào)度(Scheduling) 等，完整實(shí)現(xiàn)了標(biāo)準(zhǔn)中定義的EF、AF1-AF4、BE等六組PHB及業(yè)務(wù)。流分類MSR由器允許根據(jù)報(bào)文頭中的控制域信息進(jìn)行流分類，具體可以包括下面描述的報(bào)文1 、 2、 3、 4層的控制信息域。首先輸入端口號(hào)可以作為重要的分類依據(jù)，它可以單獨(dú)使用，也可以結(jié)合報(bào)文的其他信息對(duì)流分類。二層的重要控制域就是源 MACM址。三層可以參與分類的控制域包括：源和目的IP地址、TOS/DSC叼節(jié)、Protocol(協(xié)議 ID)、分段標(biāo)志、ICMP報(bào)文類型。四層的源和目的端口

49、號(hào)、TCP SYN標(biāo)志也是允許參與流分類的重要信息域。MSR由器可以對(duì)用戶報(bào)文的幾乎全部控制域或這些域的組合進(jìn)行流分類，可以通過靈活的流分類手段精確地識(shí)別大量進(jìn)入的用戶業(yè)務(wù)流，充分滿足組建大型骨干QoS 網(wǎng)絡(luò)時(shí)邊沿結(jié)點(diǎn)的要求。流量監(jiān)管流量監(jiān)管也就是通常所說的CAR是流分類之后的動(dòng)作之一。通過CAR運(yùn)營(yíng)商可以限制從網(wǎng)絡(luò)邊沿進(jìn)入的各類業(yè)務(wù)的最大流量，控制網(wǎng)絡(luò)整體資源的使用，從而保證網(wǎng)絡(luò)整體白Q QoS運(yùn)營(yíng)商合用之間都簽有服務(wù)水平協(xié)議（SLA）,其中包含每種業(yè)務(wù)流的承諾速率、峰值速率、承諾突發(fā)流量、峰值突發(fā)流量等流量參數(shù)，對(duì)超出SLA 約定的流量報(bào)文可指定給予pass（通過）、drop（直接丟棄）或

50、markdown（降級(jí)）等處理，此處降級(jí)是指提高丟棄的可 能性（標(biāo)記為丟棄優(yōu)先級(jí)降低），降級(jí)報(bào)文在網(wǎng)絡(luò)擁塞時(shí)將被優(yōu)先丟棄，從而保證在SLA約定范圍之內(nèi)的報(bào)文享受到SLA預(yù)定的服務(wù)。DHC和記/重標(biāo)記標(biāo)記/重標(biāo)記是是流分類之后的動(dòng)作之一。所謂標(biāo)記就是根據(jù)SLA以及流分類的結(jié)果對(duì)業(yè)務(wù)流打上類別標(biāo)記。目前RFC定義了六類標(biāo)準(zhǔn)業(yè)務(wù)即：EF、AF1-AF4、BE,并且通過定義各類業(yè)務(wù)的PHB （Per-hop Behavior） 明確了這六類業(yè)務(wù)的服務(wù)實(shí)現(xiàn)要求，即設(shè)備處理各類業(yè)務(wù)的具體實(shí)現(xiàn)要求。從業(yè)務(wù)的外在表現(xiàn)看，基本上可認(rèn)為EF流要求低時(shí)延、低抖動(dòng)、低丟包率，對(duì)應(yīng)于實(shí)際應(yīng)用中的Video 、語(yǔ)音、會(huì)議

51、電視等實(shí)時(shí)業(yè)務(wù)；AF 流要求較低的延遲、低丟包率、高可靠性，對(duì)應(yīng)于數(shù)據(jù)可靠性要求高的業(yè)務(wù)如電子商務(wù)、企業(yè)VPN 等；對(duì) BE流則不保證最低信息速率和時(shí)延，對(duì)應(yīng)于傳統(tǒng)Internet 業(yè)務(wù)。在某些情況下需要重標(biāo)記 DSCP例如在Ingress點(diǎn)業(yè)務(wù)流量進(jìn)入以前已經(jīng)有了 DSC刖 記（如上游域是DSCPM的情形，或者用戶自己進(jìn)行了 DSCP勺標(biāo)記），但是根據(jù)SLA,又需要 對(duì)DSCP行重新標(biāo)記。H3C路由器和交換機(jī)支持 RFC定義的標(biāo)準(zhǔn)的 DSCP DS COD E還支持現(xiàn)在有些網(wǎng)上可能 使用的COS CO配以TOS的前三比特作為業(yè)務(wù)區(qū)分點(diǎn)，總共可分8個(gè)業(yè)務(wù)等級(jí)，對(duì)每一種業(yè)務(wù)等級(jí)均有特定的定義。隊(duì)

52、列管理隊(duì)列管理的主要目的就是通過合理控制Buffer 的使用，對(duì)可能出現(xiàn)的擁塞進(jìn)行控制。其常用的方法是采用 RED/WRE境法，在Buffer的使用率超過一定門限后對(duì)部分級(jí)別較低的報(bào)文進(jìn)行早期丟棄，以避免在擁塞時(shí)直接進(jìn)行末尾丟棄引起著名的TCP 全局同步問題，同時(shí)保護(hù)級(jí)別較高的業(yè)務(wù)不受擁塞的影響。隊(duì)列調(diào)度和流量整形對(duì)于時(shí)延要求嚴(yán)格的實(shí)時(shí)業(yè)務(wù)等，可以利用內(nèi)部特有的低時(shí)延調(diào)度算法滿足業(yè)務(wù)要求；對(duì)于帶寬要求的業(yè)務(wù)，帶寬保證算法可以實(shí)現(xiàn)嚴(yán)格的帶寬保證。應(yīng)用時(shí)用戶不必關(guān)心內(nèi)部抽象的調(diào)度算法，只需要描述業(yè)務(wù)的流量特征，比如保證多少兆的帶寬、峰值最多多少兆的帶寬、要占剩余帶寬的比例權(quán)重等H3c路由器內(nèi)部將自

53、動(dòng)采用如下的一種或幾種算法來調(diào)度：LLS 低時(shí)延帶寬保證算法，基于時(shí)間片的調(diào)度；NLS 一般時(shí)延帶寬保證算法，基于時(shí)間片的調(diào)度；PBS 峰值帶寬保證算法，基于時(shí)間片的調(diào)度WFQ算法，基于weight值的調(diào)度上述算法在完成隊(duì)列調(diào)度的同時(shí)，也通過帶寬分配和保證實(shí)現(xiàn)了流量整形。對(duì)于 DiffServ 模型，系統(tǒng)為每個(gè)端口預(yù)留6 個(gè)業(yè)務(wù)隊(duì)列，分別對(duì)應(yīng)BE、 AF1-AF4、 EF等業(yè)務(wù)類別，對(duì) AF1AF4以及EF隊(duì)列用戶可配置其流量參數(shù)，數(shù)據(jù)報(bào)文根據(jù)由流分類得到的業(yè)務(wù)類別進(jìn)入不同的隊(duì)列，隊(duì)列根據(jù)所配置的流量參數(shù)采用不同的調(diào)度算法調(diào)度報(bào)文。QO第已置和管理QoS配置管理中配置、管理QoS分為上行和下行

54、兩個(gè)階段。在上行首先對(duì)報(bào)文進(jìn)行分類,方法有兩種，一是在 Diffserv 域中，根據(jù)報(bào)文的服務(wù)等級(jí)標(biāo)識(shí)DSCP乍簡(jiǎn)單映射得到相應(yīng)的 QoS 參數(shù)；二是在邊緣，根據(jù)報(bào)文的鏈路層、網(wǎng)絡(luò)層、傳輸層信息對(duì)報(bào)文進(jìn)行復(fù)雜流分類，對(duì)匹配某條規(guī)則的流執(zhí)行相應(yīng)動(dòng)作，動(dòng)作可以分為過濾動(dòng)作，或給報(bào)文加上DSCP對(duì)流的接入速率進(jìn)行控制、將流重定向到本地或指定下一跳或MPLS的LSP。然后還要根據(jù)分類的服務(wù)級(jí)別，采用 REDf法對(duì)報(bào)文進(jìn)行流量控制。在下行輸出時(shí)，根據(jù)上行分出的服務(wù)等級(jí)，入相應(yīng)隊(duì)列保證輸出帶寬，同時(shí)也要進(jìn)行流量控制。在不需要QoS保證不進(jìn)行流分類的情況下，或者報(bào)文通過流分類沒有相匹配的規(guī)則時(shí)，對(duì)報(bào)文作盡力

55、轉(zhuǎn)發(fā)(BestEffort) 處理。以下根據(jù)配置的相關(guān)性分Diffserv 的配置、復(fù)雜流分類的配置和流控算法的配置三部分描述配置方法。QoS配置管理的內(nèi)容主要包括ACL配置，ACL應(yīng)用配置，行為聚集表配置，上下流控配置，隊(duì)列配置，采用配置管理，采樣數(shù)據(jù)瀏覽。ACL配置包括：規(guī)則配置，動(dòng)作配置，時(shí)間段配置。規(guī)則的配置主要涉及到鏈路組配置。動(dòng)作的配置主要涉及到流量參數(shù)配置。隊(duì)列配置主要涉及到流量參數(shù)配置。因此在配置設(shè)備 ACL應(yīng)用時(shí)必須順序完成以下幾個(gè)步驟：鏈路組配置，流量參數(shù)配置，規(guī)則配置，動(dòng)作配置，時(shí)間段配置，ACL配置，最后將一條 ACL應(yīng)用到對(duì)應(yīng)的接口上，或進(jìn)行全局應(yīng)用。在 QoS 管理

56、中，可以完成下面性能數(shù)據(jù)的統(tǒng)計(jì)： 流隊(duì)列轉(zhuǎn)發(fā)字節(jié)記數(shù)、流隊(duì)列包轉(zhuǎn)發(fā)記數(shù)、流隊(duì)列尾丟棄字節(jié)記數(shù)、流隊(duì)列顏色丟棄字節(jié)記數(shù)、規(guī)則匹配記數(shù)、監(jiān)管綠色包個(gè) 數(shù)、監(jiān)管黃色包個(gè)數(shù)、監(jiān)管紅色包個(gè)數(shù)等。網(wǎng)絡(luò)管理平臺(tái)解決方案信息化的深入對(duì)各行各業(yè)都產(chǎn)生了及其深遠(yuǎn)的影響，政府行業(yè)也不例外。信息化對(duì)政府行業(yè)的影響，毫無疑問是向著正面方向發(fā)展，信息化在政府行業(yè)中起著越來越重要的作用。隨著網(wǎng)絡(luò)基礎(chǔ)架構(gòu)日趨復(fù)雜，傳統(tǒng)的設(shè)備命令行、簡(jiǎn)單的管理工具已經(jīng)不能夠滿足網(wǎng)絡(luò)管理的需求。業(yè)界的經(jīng)驗(yàn)證明，選擇一個(gè)優(yōu)秀的網(wǎng)絡(luò)管理系統(tǒng)是保證網(wǎng)絡(luò)最大可用性的 有效手段。網(wǎng)管實(shí)施方案在電子政務(wù)內(nèi)外網(wǎng)各配置一套全網(wǎng)網(wǎng)管中心系統(tǒng)（對(duì)整個(gè)網(wǎng)絡(luò)的設(shè)備及鏈

57、路進(jìn)行監(jiān)控管理）。全網(wǎng)網(wǎng)管中心全面負(fù)責(zé)全網(wǎng)設(shè)備的管理，能對(duì)全網(wǎng)所有設(shè)備進(jìn)行監(jiān)視和控制。運(yùn)維建議網(wǎng)管運(yùn)維建議根據(jù)上下級(jí)網(wǎng)管中心的操作職能，建議將網(wǎng)管人員分為以下幾種角色。網(wǎng)管中心系統(tǒng)管理員 維護(hù)人員業(yè)務(wù)發(fā)放人員各個(gè)角色的權(quán)限不同，分別為:角色名稱主要，作職能技術(shù)等級(jí)網(wǎng)管中心系統(tǒng)管理員.監(jiān)控全網(wǎng)運(yùn)行狀況.分析網(wǎng)絡(luò)性能.組織網(wǎng)絡(luò)規(guī)劃高網(wǎng)管維護(hù)人員.監(jiān)控本地網(wǎng)運(yùn)行狀況.負(fù)責(zé)日常設(shè)備具體維護(hù).分析處理突發(fā)故障中業(yè)務(wù)發(fā)放人員發(fā)放具體業(yè)務(wù)網(wǎng)管安全措施網(wǎng)管的安全管理，操作員的帳號(hào)與ip地址、登錄時(shí)間等進(jìn)行綁定，在一定范圍限定非法入侵。進(jìn)行網(wǎng)管組網(wǎng)設(shè)計(jì)時(shí)， 設(shè)備的業(yè)務(wù)網(wǎng)段與網(wǎng)管的管理網(wǎng)段進(jìn)行隔離，例如：采用VL

58、AN隔離的方式，業(yè)務(wù)用戶無法訪問網(wǎng)管網(wǎng)。網(wǎng)管增加登錄、命令操作等方面的日志功能。路由器 /交換機(jī)相關(guān)參數(shù)設(shè)置SNMP1關(guān)版本設(shè)置SNM劭、議的相應(yīng)版本統(tǒng)一。SNM股置團(tuán)體名SNM睬用團(tuán)體名認(rèn)證，與設(shè)備認(rèn)可的團(tuán)體名不符的SNM可艮文將被丟棄?？蓪?duì)應(yīng)省調(diào)的團(tuán)體設(shè)置為讀寫(read-write )訪問模式，而將對(duì)應(yīng)各地調(diào)的團(tuán)體設(shè)置為只讀( read-only )模式，不同地區(qū)的團(tuán)體名設(shè)置成不同。具有只讀權(quán)限的團(tuán)體只能對(duì)設(shè)備信息進(jìn)行查詢，而具有讀寫權(quán)限的團(tuán)體還可以對(duì)設(shè)備進(jìn)行配置。Trap 報(bào)文相關(guān)屬性設(shè)置允許被管理設(shè)備主動(dòng)向區(qū)網(wǎng)管工作站發(fā)送Trap 報(bào)文，所屬設(shè)備也向網(wǎng)管工作站發(fā)送Trap 報(bào)文。設(shè)

59、置被管理設(shè)備發(fā)送Trap 的源地址為該設(shè)備的loopback 地址(路由器)或管理地址(交換機(jī))。網(wǎng)絡(luò)流量分析解決方案因?yàn)榫W(wǎng)絡(luò)中承載的業(yè)務(wù)非常豐富，管理員需要及時(shí)的了解到網(wǎng)絡(luò)中承載的業(yè)務(wù)，及時(shí)的掌握網(wǎng)絡(luò)流量特征，以便使網(wǎng)絡(luò)帶寬配置最優(yōu)化，及時(shí)解決網(wǎng)絡(luò)性能問題。目前業(yè)務(wù)專網(wǎng)在管理網(wǎng)絡(luò)當(dāng)中普遍遭遇到了如下的問題：網(wǎng)絡(luò)的可視性：網(wǎng)絡(luò)利用率如何？什么樣的程序在網(wǎng)絡(luò)中運(yùn)行？主要用戶有哪些？網(wǎng)絡(luò)中是否產(chǎn)生異常流量？有沒有長(zhǎng)期的趨勢(shì)數(shù)據(jù)用作網(wǎng)絡(luò)帶寬規(guī)劃？應(yīng)用的可視性：當(dāng)前網(wǎng)內(nèi)有哪些應(yīng)用？分別產(chǎn)生了多少流量？網(wǎng)絡(luò)中應(yīng)用使用的模式是什么？電子政務(wù)系統(tǒng)內(nèi)部重要應(yīng)用執(zhí)行狀況如何？用戶使用網(wǎng)絡(luò)模式的可視性：哪些用戶產(chǎn)

60、生的流量最多？哪些服務(wù)器接收的流量最多？哪些會(huì)話產(chǎn)生了流量？分別使用了哪些應(yīng)用？1 NetStream 技術(shù)NetStream技術(shù)是基于“流”的IP信息收集方案，一個(gè)流是指來自相同的子接口，有相同的源和目的IP地址，協(xié)議類型，相同的源和目的協(xié)議端口號(hào)，以及相同的ToS的報(bào)文。例如，下圖中就包括四條流：從Client A 至U WWW Serve由勺HTTP青求流 從 WWW Server!U Client A 的 HTT的答流 從 Client B 到 FTP Server 的 FTP請(qǐng)求流 從 FTP Server 至U Client B 的 FTP應(yīng)答流從上例中可以很容易地理解，流是單向的