吉林市聯(lián)通網(wǎng)絡(luò)方案建議書

吉林市聯(lián)通公司網(wǎng)絡(luò)建設(shè)技術(shù)建議書杭州華三通信技術(shù)有限公司

目錄目錄 2第一章概述 31.1吉林市聯(lián)通網(wǎng)絡(luò)建設(shè)需求分析 31.1.1一般建網(wǎng)需求 31.2.2吉林市聯(lián)通公司建網(wǎng)需求 51.3整體建網(wǎng)原則 5第二章總體網(wǎng)絡(luò)設(shè)計(jì) 62.1核心組網(wǎng)描述 62.2網(wǎng)絡(luò)層次介紹： 8第三章．WLAN的設(shè)計(jì) 9第四章．網(wǎng)絡(luò)業(yè)務(wù)設(shè)計(jì) 94.1認(rèn)證方式的選擇 94.2S7500匯聚層交換機(jī)萬兆的支持 94.3H3C吉林市聯(lián)通公司解決方案特點(diǎn)： 104.3.1完全的分布式的處理方式 104.3.2良好的互通性 114.3.3核心交換機(jī)先進(jìn)的體系架構(gòu)設(shè)計(jì) 114.3.4基于流攻擊的防止。 114.4網(wǎng)管解決方案 11第五章．吉林市聯(lián)通公司用戶管理及安全方案 145.1網(wǎng)絡(luò)用戶認(rèn)證管理需求分析 145.2網(wǎng)絡(luò)用戶管理認(rèn)證方案概述 155.3認(rèn)證選擇設(shè)計(jì)－802.1X 165．4CAMS對用戶上網(wǎng)認(rèn)證的管理 195.4.1用戶需求分析 195.4.2CAMS解決方案 205.4.3業(yè)務(wù)認(rèn)證流程 32第六章．核心網(wǎng)安全設(shè)計(jì) 346.1多元綁定技術(shù)對吉林市聯(lián)通公司安全的應(yīng)用 346.1.1現(xiàn)有網(wǎng)絡(luò)的安全特征： 346.2綁定技術(shù)為吉林市聯(lián)通公司規(guī)劃高安全的網(wǎng)絡(luò)。 356.3惡意用戶追查 396.4防病毒攻擊 396.6網(wǎng)絡(luò)管理安全設(shè)計(jì) 406.7組網(wǎng)安全性設(shè)計(jì) 43第七章．組網(wǎng)核心設(shè)備介紹 437.1H3CS7500系列高端多業(yè)務(wù)交換機(jī) 437.2H3CS3600-SI系列以太網(wǎng)交換機(jī) 487.3網(wǎng)管系統(tǒng)QuidView 577.6CAMS綜合訪問管理服務(wù)器 62第八章H3C公司售后保障體系 658.1兩小時(shí)廠家上門服務(wù) 658.2服務(wù)組織結(jié)構(gòu) 658.3服務(wù)及時(shí)性保障 678.4服務(wù)有效性保障 688.4.17×24小時(shí)熱線技術(shù)支持電話 688.4.2區(qū)域技術(shù)支持平臺 688.4.3網(wǎng)上問題處理系統(tǒng) 698.4.4完善的實(shí)驗(yàn)平臺 698.4.5高效快捷的備件系統(tǒng) 698.4.6技術(shù)支持網(wǎng)站與技術(shù)支持論壇 708.4.7完備的技術(shù)支持資料開發(fā)系統(tǒng) 70第一章概述1.1吉林市聯(lián)通網(wǎng)絡(luò)建設(shè)需求分析1.1.1一般建網(wǎng)需求根據(jù)吉林市聯(lián)通公司的需求，需要建設(shè)一個(gè)支持辦公數(shù)字化、網(wǎng)絡(luò)化、自動化的國內(nèi)先進(jìn)的基礎(chǔ)網(wǎng)絡(luò)平臺，滿足數(shù)字化辦公建設(shè)的需要，也滿足辦公信息化建設(shè)的長期要求。網(wǎng)絡(luò)平臺具有較好的服務(wù)質(zhì)量、較高安全性、便于管理和維護(hù)，能夠支持各種應(yīng)用，也支持移動辦公、信息發(fā)布等。接入層支持百兆到桌面，核心層支持全千兆并且具有向萬兆速率平滑擴(kuò)容的能力。網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)能夠冗余熱備保障系統(tǒng)連續(xù)穩(wěn)定運(yùn)行。具有高帶寬、高可靠、高性能、高安全的特性。聯(lián)通公司網(wǎng)絡(luò)建設(shè)從網(wǎng)絡(luò)流量模型上看和企業(yè)網(wǎng)的流量模型相似，用戶相對使用的時(shí)段比較集中而網(wǎng)絡(luò)流量大，但實(shí)際應(yīng)用上還存在許多和企業(yè)網(wǎng)不同的地方。主要特點(diǎn)如下：核心的高保障需求：辦公網(wǎng)絡(luò)組建投入使用以后是一個(gè)營業(yè)的環(huán)境，對網(wǎng)絡(luò)的穩(wěn)定性要求相當(dāng)?shù)母撸绻f一出現(xiàn)網(wǎng)絡(luò)中斷的想象，有可能就會對醫(yī)院造成損失，所以為保證網(wǎng)絡(luò)的穩(wěn)定、可靠、高效都是才用雙核心。2、用戶管理的需求：使用方便，存在WEB認(rèn)證需求。要求能做到基于WEB的身份認(rèn)證、帶寬動態(tài)調(diào)整（隱性需求）、多WEB界面（隱性需求）等。需要解決賬號和端口綁定問題。通過此種方式限制賬號的使用區(qū)域。能夠?qū)崿F(xiàn)全網(wǎng)的安全管理，包括：IP、MAC的盜用問題、防止接入用戶的非法DHCPServer、Proxy等用戶。對于用戶的上網(wǎng)行為能夠?qū)崿F(xiàn)實(shí)時(shí)的跟蹤以及時(shí)候的追查。解決安全認(rèn)證體系的問題，由于醫(yī)院采用數(shù)字化電子病例都先進(jìn)的管理體系，這樣關(guān)于患者隱私的一些文件就非常敏感，所以對于使用者身份的鑒別就特別重要。3、安全管理的需求：由于聯(lián)通公司內(nèi)部有許多敏感性數(shù)據(jù)，因此運(yùn)營商的辦公網(wǎng)絡(luò)也成為黑客最多的場所之一，如何保障網(wǎng)絡(luò)的安全成為建網(wǎng)時(shí)不得不考慮的問題，目前主要攻擊手段有DOS，DDOS等上網(wǎng)日志的需求，主要是作日后的審核和查驗(yàn)。4、組播業(yè)務(wù)的需求，特別是可控組播的需求將隨著網(wǎng)絡(luò)信息化的深入而體現(xiàn)出來。1.2.2吉林市聯(lián)通公司建網(wǎng)需求本次工程的總體任務(wù)如下：充分考慮信息化工作的新需要、新應(yīng)用，按照相關(guān)系統(tǒng)的國家標(biāo)準(zhǔn)，設(shè)計(jì)出符合本工程實(shí)際的建設(shè)方案。方案應(yīng)以“先進(jìn)、實(shí)用、經(jīng)濟(jì)、合理，用管兩便、安全可靠，易于擴(kuò)展”的指導(dǎo)思想為原則，采用先進(jìn)成熟的主流技術(shù)，充分考慮新建系統(tǒng)的可擴(kuò)充性和與原有系統(tǒng)的兼容性，并體現(xiàn)科學(xué)規(guī)劃、合理布局、預(yù)留充分、應(yīng)用方便的特點(diǎn)，達(dá)到現(xiàn)代化、高效、舒適、安全、節(jié)能的人文辦公環(huán)境的要求。在提出完整可行的建設(shè)方案的前提下，有效地組織施工，完成整個(gè)醫(yī)院信息化系統(tǒng)的建設(shè)。同時(shí)對于網(wǎng)絡(luò)的系統(tǒng)建設(shè)還應(yīng)該符合一下的原則：1.3整體建網(wǎng)原則吉林市聯(lián)通公司網(wǎng)絡(luò)建設(shè)遵循以下基本原則：高帶寬吉林市聯(lián)通公司網(wǎng)絡(luò)是一個(gè)規(guī)模較大同時(shí)相對復(fù)雜的網(wǎng)絡(luò)，為了保障全網(wǎng)的高速轉(zhuǎn)發(fā)，全網(wǎng)的組網(wǎng)設(shè)計(jì)的無瓶頸性，要求方案設(shè)計(jì)的階段就要充分考慮到，同時(shí)要求核心交換機(jī)具有高性能、高帶寬的特，整網(wǎng)的核心交換要求能夠提供無瓶頸的數(shù)據(jù)交換?？稍鲋敌约质新?lián)通公司網(wǎng)絡(luò)的建設(shè)、使用和維護(hù)需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。所以在建設(shè)時(shí)要充分考慮業(yè)務(wù)的擴(kuò)展能力，能針對不同的用戶需求提供豐富的增值業(yè)務(wù)，使網(wǎng)絡(luò)具有自我造血機(jī)制，實(shí)現(xiàn)以網(wǎng)養(yǎng)網(wǎng)?？蓴U(kuò)充性考慮到吉林市聯(lián)通公司用戶數(shù)量和業(yè)務(wù)種類發(fā)展的不確定性，要求對于核心交換機(jī)與匯聚交換機(jī)具有強(qiáng)大的擴(kuò)展功能，吉林市聯(lián)通公司網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴(kuò)充的彈性網(wǎng)絡(luò)平臺，能夠隨著需求變化，充分留有擴(kuò)充余地。開放性技術(shù)選擇必須符合相關(guān)國際標(biāo)準(zhǔn)及國內(nèi)標(biāo)準(zhǔn)，避免個(gè)別廠家的私有標(biāo)準(zhǔn)或內(nèi)部協(xié)議，確保網(wǎng)絡(luò)的開放性和互連互通，滿足信息準(zhǔn)確、安全、可靠、優(yōu)良交換傳送的需要；開放的接口，支持良好的維護(hù)、測量和管理手段，提供網(wǎng)絡(luò)統(tǒng)一實(shí)時(shí)監(jiān)控的遙測、遙控的信息處理功能，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。安全可靠性設(shè)計(jì)應(yīng)充分考慮整個(gè)網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點(diǎn)的備份和線路保護(hù)，提供網(wǎng)絡(luò)安全防范措施。第二章總體網(wǎng)絡(luò)設(shè)計(jì)2.1核心組網(wǎng)描述吉林市聯(lián)通公司核心層解決方案總體設(shè)計(jì)以高性能、高可靠性、高安全性、良好的可擴(kuò)展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)及可靠組播為原則，以及考慮到技術(shù)的先進(jìn)性、成熟性，并采用模塊化的設(shè)計(jì)方法。組網(wǎng)圖如下所示：如圖所示，吉林市聯(lián)通公司的網(wǎng)絡(luò)建設(shè)是要建成一個(gè)高效、安全的網(wǎng)絡(luò)，網(wǎng)絡(luò)整體分為三個(gè)層次：核心層、接入層。為實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的高速互聯(lián)，核心層分別由2個(gè)核心節(jié)點(diǎn)組成，采用兩臺S7506R，承擔(dān)著核心節(jié)點(diǎn)下所接入的數(shù)據(jù)信息，考慮到服務(wù)器群相對接入信息點(diǎn)數(shù)量較多，服務(wù)器DMZ區(qū)域包括，CAMS服務(wù)器，同時(shí)負(fù)責(zé)網(wǎng)絡(luò)的認(rèn)證和計(jì)費(fèi)功能，同時(shí)還有防病毒服務(wù)器、補(bǔ)丁服務(wù)器、web服務(wù)器、郵件服務(wù)器等，因此建議采用S7506R萬兆交換機(jī)。核心的S7506R交換機(jī)為雙主控、三電源設(shè)計(jì)，保證系統(tǒng)工作的穩(wěn)定性和安全性，接入層就是每個(gè)樓的接入交換機(jī)，接入層交換機(jī)的選擇仍然非常重要，考慮到接入層交換機(jī)的對于終端用戶接入的控制起著非常重要的作用，因此建議采用安全性、控制性較高的設(shè)備，我們在此建議采用H3CS3600P接入交換機(jī)作為樓層接入交換機(jī)，H3CS3600系列交換機(jī)是H3C公司基于IToIP理念設(shè)計(jì)和開發(fā)的智能彈性以太網(wǎng)交換機(jī)。系統(tǒng)采用創(chuàng)新的IRF技術(shù)，在安全可靠、多業(yè)務(wù)融合、易管理和維護(hù)等方面為用戶提供全新的技術(shù)特性和解決方案，是理想的辦公網(wǎng)、業(yè)務(wù)網(wǎng)和駐地網(wǎng)的匯聚、接入交換機(jī)以及中小企業(yè)、分支機(jī)構(gòu)的核心交換機(jī)。2.2網(wǎng)絡(luò)層次介紹：在核心層，核心層主要選配1臺S7506R交換機(jī)，網(wǎng)絡(luò)中心核心交換機(jī)同時(shí)提供服務(wù)器接入?yún)^(qū)域，重要的服務(wù)器例如CAMS服務(wù)器、日志服務(wù)器、防病毒服務(wù)器和補(bǔ)丁服務(wù)器，同時(shí)提供網(wǎng)絡(luò)的認(rèn)證、計(jì)費(fèi)、審計(jì)、網(wǎng)管等功能區(qū)域。，同時(shí)華為S7506R萬兆交換機(jī)其背板容量1.6T，交換容量768G，包轉(zhuǎn)發(fā)率432Mpps，具有7個(gè)插槽，包括6個(gè)業(yè)務(wù)插槽，雙主控板，進(jìn)一步滿足大型節(jié)點(diǎn)高數(shù)據(jù)量轉(zhuǎn)發(fā)的特點(diǎn)完全滿足骨干節(jié)點(diǎn)的需求，S7506R萬兆核心交換機(jī)H3CS7500系列交換機(jī)采用先進(jìn)的全分布式體系結(jié)構(gòu)設(shè)計(jì)，通過主引擎和分布式高速業(yè)務(wù)接口板上內(nèi)置的Crossbar交換網(wǎng)芯片實(shí)現(xiàn)板內(nèi)、板間二、三層流量的線速分布式轉(zhuǎn)發(fā)，通過分布式高速業(yè)務(wù)接口板上內(nèi)置的高性能CPU與位于主控引擎上的CPU協(xié)同工作，實(shí)現(xiàn)ACL、流分類、QOS、組播等業(yè)務(wù)的全分布式處理。在核心層的兩臺S7506R之間采用雙千兆連接，保證穩(wěn)定性，和接入層交換機(jī)、服務(wù)器群、出口的防火墻都采用雙規(guī)接入，保證鏈路的可靠性。在接入層，接入層是直接與用戶相連的設(shè)備，因此，在實(shí)際的應(yīng)用的過程當(dāng)中我們建議采用H3C的S3600P產(chǎn)品，H3CS3600P提供高密度的24個(gè)10/100Base-T以太網(wǎng)端口，是百兆接入高性價(jià)比的理想選擇；端口安全機(jī)制提高了系統(tǒng)安全性和可管理性；端口聚合功能提供簡單廉價(jià)的方式來擴(kuò)展交換機(jī)端口的帶寬；支持JUMBOFrame加速了大文件傳輸服務(wù)；為網(wǎng)絡(luò)提供了豐富的智能特性，如基于端口的二三層優(yōu)先級自動映射，基于VLAN/MAC地址/端口的鏡像以及遠(yuǎn)程端口鏡像；集成了簡單靈活的管理方式。在S3600上作為WAP的有線接入點(diǎn)，本工程是在有線網(wǎng)的基礎(chǔ)上加以無線擴(kuò)充（即采用AP將無線網(wǎng)絡(luò)接入到有線網(wǎng)絡(luò)）用戶認(rèn)證、計(jì)費(fèi)管理：出口處采用H3C專業(yè)用戶認(rèn)證計(jì)費(fèi)軟件CAMS作為全網(wǎng)出口計(jì)費(fèi)設(shè)備，CAMS具有強(qiáng)大的認(rèn)證功能，可以實(shí)現(xiàn)按流量計(jì)費(fèi)、支持多種計(jì)費(fèi)策略，同時(shí)可以實(shí)現(xiàn)監(jiān)控全網(wǎng)的出口流量，同時(shí)其旁掛式的方式大大提高了網(wǎng)絡(luò)的安全性，避免了在出口產(chǎn)生流量瓶頸的問題，本次組網(wǎng)采用CAMS綜合管理軟件實(shí)行全網(wǎng)的用戶認(rèn)證和計(jì)費(fèi)管理。詳細(xì)介紹參加第五章。網(wǎng)管平臺：為提高網(wǎng)絡(luò)管理的效率，減輕網(wǎng)絡(luò)維護(hù)的壓力，本次組網(wǎng)采用Quidview網(wǎng)管系統(tǒng)進(jìn)行全網(wǎng)設(shè)備的統(tǒng)一管理。Quidview網(wǎng)絡(luò)管理軟件是H3C公司對數(shù)據(jù)通信設(shè)備如路由器、交換機(jī)等進(jìn)行統(tǒng)一管理和維護(hù)的網(wǎng)管產(chǎn)品，位于網(wǎng)絡(luò)解決方案的管理層，能夠?qū)崿F(xiàn)網(wǎng)元管理和網(wǎng)絡(luò)管理的功能。Quidview網(wǎng)絡(luò)管理軟件基于靈活的組件化結(jié)構(gòu)，包括網(wǎng)元管理平臺、廣域網(wǎng)管理系統(tǒng)、局域網(wǎng)管理系統(tǒng)、資源管理系統(tǒng)等，用戶可以根據(jù)自己的管理需要和網(wǎng)絡(luò)情況靈活選擇自己需要的組件，真正實(shí)現(xiàn)“按需建構(gòu)”。第三章．WLAN的設(shè)計(jì)第四章．網(wǎng)絡(luò)業(yè)務(wù)設(shè)計(jì)4.1認(rèn)證方式的選擇配合H3C接入交換機(jī)或BAS設(shè)備，結(jié)合802.1x認(rèn)證方式實(shí)現(xiàn)對接入用戶的端點(diǎn)準(zhǔn)入控制。這種組網(wǎng)方案對不符合安全策略的用戶隔離嚴(yán)格，可以有效防止來自網(wǎng)絡(luò)內(nèi)部的安全威脅。也可以配合路由器、高端交換機(jī)等設(shè)備，結(jié)合Porta認(rèn)證方式在匯聚層實(shí)現(xiàn)對網(wǎng)絡(luò)用戶的端點(diǎn)準(zhǔn)入控制。這種組網(wǎng)方案具有適應(yīng)性廣的特點(diǎn)，可以應(yīng)用與吉林聯(lián)通網(wǎng)絡(luò)出口、分支機(jī)構(gòu)入口、關(guān)鍵區(qū)域保護(hù)等多種應(yīng)用場景。根據(jù)吉林市聯(lián)通公司的用戶特點(diǎn)，考慮到網(wǎng)絡(luò)中心的維護(hù)工作量，這里我們建議采用802.1x認(rèn)證方式。4.2S7500匯聚層交換機(jī)萬兆的支持 從網(wǎng)絡(luò)的整體結(jié)構(gòu)上我們可以看出整個(gè)網(wǎng)絡(luò)的設(shè)計(jì)是采用核心千兆網(wǎng)，核心與接入之間均采用千兆的方式，接入與最終用戶之間采用百兆的方式進(jìn)行互通，整個(gè)網(wǎng)絡(luò)的瓶頸在核心與匯聚之間的連接存在瓶頸，隨著網(wǎng)絡(luò)接入用戶的不斷擴(kuò)大，匯聚與接入之間可以采用萬兆的方式進(jìn)行互聯(lián)。H3CS7500匯聚層交換機(jī)，背板容量≥1.6Tbps，三代引擎板提供Salience?III768G,可支持1~4個(gè)萬兆接口上行，用戶無需任何投資，可以直接購買10GE模塊，可直接插到匯聚層S7500交換機(jī)上就可以實(shí)現(xiàn)萬兆帶寬的升級，原上聯(lián)GE接口可以作為下聯(lián)接口用。 核心與匯聚層之間直接采用萬兆的帶寬將匯聚層存在的帶寬瓶頸問題徹底解決，S7500匯聚層萬兆交換機(jī)可為用戶提前做好萬兆升級的準(zhǔn)備，減少用戶投資。4.3H3C吉林市聯(lián)通公司解決方案特點(diǎn)：H3C吉林市聯(lián)通公司組網(wǎng)解決方案的優(yōu)點(diǎn)有以下幾點(diǎn)：4.3.1完全的分布式的處理方式S7500為用戶提供完全的分布式的處理方式，吉林市聯(lián)通公司的辦公網(wǎng)內(nèi)部的數(shù)據(jù)量是非常大的，因此主交換機(jī)是否能夠做到線速關(guān)系到整個(gè)網(wǎng)絡(luò)的是否會發(fā)生擁塞。華為S7500背板交換容量1.6T夠做到所有GE接口的雙向的線速，H3C公司的S7500的性能指標(biāo)是經(jīng)過完整的測試，而業(yè)界廠家在指標(biāo)宣稱上面往往與給最終提供給用戶的不一致。而用戶又由于測試儀器的限制無法確認(rèn)實(shí)際配置的性能，這一點(diǎn)在H3C公司是絕對不會出現(xiàn)的。再次,分布式的轉(zhuǎn)發(fā)，對于S7500路由查找是非常有益的補(bǔ)充。因?yàn)镾7500的路由查找模式為最長匹配。這樣就可以避免網(wǎng)內(nèi)外的非法用戶利用專門的攻擊軟件來攻擊中心交換機(jī)，因?yàn)檫@種攻擊是通過不斷變換自己的本網(wǎng)斷內(nèi)的IP地址，來不斷消耗主控處理板的CPU處理能力，直到徹底使主控處理板的CPU喪失處理能力，整個(gè)機(jī)器癱掉。但是S7500是根據(jù)最長匹配來查找路由的，是針對網(wǎng)斷進(jìn)行路由的。所以當(dāng)攻擊者進(jìn)行攻擊時(shí)，S7500只能造成該接口板的業(yè)務(wù)能力處理下降，但是對于整機(jī)沒有多大影響。這是我們選則S7500的作為核心交換的非常重要的原因。4.3.2良好的互通性 S7500具有良好的互通性，S7500支持標(biāo)準(zhǔn)的路由協(xié)議，包括OSPF、BGP4、ISIS、RIP等路由協(xié)議，在實(shí)際的開局中與Foundry、思科、Exreme等多種廠家均能夠?qū)崿F(xiàn)互通，在吉林大學(xué)、山東大學(xué)附屬醫(yī)院等用戶都得到實(shí)際的應(yīng)用驗(yàn)證。4.3.3核心交換機(jī)先進(jìn)的體系架構(gòu)設(shè)計(jì)網(wǎng)絡(luò)的背板技術(shù)經(jīng)歷了共享式、緩存式等發(fā)展，Crossbar技術(shù)被公認(rèn)為最為完美的一種設(shè)計(jì)方式，H3C公司S7500交換機(jī)采用背板采用分布式Crossbar的技術(shù)，整機(jī)的轉(zhuǎn)發(fā)不存在任何的瓶頸問題，同時(shí)，S7500可實(shí)現(xiàn)背板容量的平滑升級，除背板采用Crossbar的方式，在接口板上，H3C公司S7500核心交換機(jī)采用分布式Crossbar的技術(shù)，即在每個(gè)業(yè)務(wù)單板上面也同樣采用Crossbar的技術(shù)，端口與端口之間的轉(zhuǎn)發(fā)均有可直達(dá)的端到端轉(zhuǎn)發(fā)通道，使得端口之間的轉(zhuǎn)發(fā)不存在在任何瓶頸，大大提高了核心交換機(jī)的整機(jī)轉(zhuǎn)發(fā)性能。4.3.4基于流攻擊的防止。H3C所采用產(chǎn)品S7500等三層轉(zhuǎn)發(fā)模式均為最長路由匹配技術(shù)。這樣就可以避免網(wǎng)內(nèi)外的非法用戶利用專門的攻擊軟件進(jìn)行的一些基于流的共計(jì)，因?yàn)檫@種攻擊是通過不斷變換自己的本網(wǎng)斷內(nèi)的IP地址，來不斷消耗主控處理板的CPU處理能力，直到徹底使主控處理板的CPU喪失處理能力，整個(gè)機(jī)器癱掉。S7500是根據(jù)最長匹配來查找路由的，是針對網(wǎng)斷進(jìn)行路由的。所以當(dāng)攻擊者進(jìn)行攻擊時(shí)，不會造成S7500業(yè)務(wù)能力處理下降，對于整機(jī)沒有影響影響。這是我們選則S7500的作為核心交換的非常重要的原因。4.4網(wǎng)管解決方案根據(jù)網(wǎng)絡(luò)實(shí)際情況可采用華為Quidview網(wǎng)管系統(tǒng)。特性該系統(tǒng)采用開放式結(jié)構(gòu)設(shè)計(jì)，嚴(yán)格遵守標(biāo)準(zhǔn)的SNMP協(xié)議（RFC1157），主要使用RFC1213定義的MIB信息，具有投資省、使用靈活、易于移植等特點(diǎn)：使用靈活QuidView系統(tǒng)的使用方式非常靈活，既可以作為設(shè)備級的應(yīng)用程序集成到已有的網(wǎng)管平臺（如：HPOpenView、RadiumsNMS、SNMPC、NetManager）中進(jìn)行網(wǎng)絡(luò)級管理，又可以作為獨(dú)立的應(yīng)用程序執(zhí)行進(jìn)行設(shè)備級管理。同時(shí)可以根據(jù)用戶需求進(jìn)行接口的開放。支持WEB方式基于WEB的管理是網(wǎng)管方式的一次革命，其主要優(yōu)勢在于：基于WEB的管理允許網(wǎng)絡(luò)管理人員使用任一種瀏覽器在網(wǎng)絡(luò)的任何節(jié)點(diǎn)上方便迅速地配置、控制及監(jiān)視網(wǎng)絡(luò)。在WebServer上安裝了網(wǎng)管軟件后，其它網(wǎng)管機(jī)器不用預(yù)裝網(wǎng)管軟件，只須安裝了WEB瀏覽器并且設(shè)備能上網(wǎng)，就能使用QuidView系統(tǒng)管理。成本低QuidView不像大型網(wǎng)管系統(tǒng)那樣系統(tǒng)龐大，它將網(wǎng)管人員最為關(guān)心的網(wǎng)絡(luò)信息直觀而濃縮地呈現(xiàn)于網(wǎng)管人員面前，使其方便地了解設(shè)備各端口的運(yùn)行情況以及主要的設(shè)備性能指標(biāo)。支持多種操作系統(tǒng)平臺純Java的實(shí)現(xiàn)，保證QuidView無須修改便能運(yùn)行于當(dāng)前主流的各種平臺之上。除此以外，QuidView系統(tǒng)使用全新的JFC類庫，所有控件均支持LookandFeel特性，該特性使得QuidView既可以在不同平臺上呈現(xiàn)出統(tǒng)一的顯示風(fēng)格，也能夠使控件的風(fēng)格與操作系統(tǒng)相一致。功能功能描述路由器設(shè)備視圖設(shè)備端口的配置情況：端口個(gè)數(shù)、端口種類、端口當(dāng)前狀態(tài)等故障管理對全網(wǎng)設(shè)備的告警信息和運(yùn)行信息進(jìn)行實(shí)時(shí)監(jiān)控，查詢和統(tǒng)計(jì)設(shè)備的告警信息。主要功能包括：支持告警相關(guān)性分析；能按照用戶設(shè)置的條件對告警信息進(jìn)行統(tǒng)計(jì)和查詢；提供告警拓?fù)涠ㄎ唬恢С指婢疶rap規(guī)則定義等。路由器設(shè)備整體配置信息支持拓?fù)渥詣影l(fā)現(xiàn)功能，系統(tǒng)信息（系統(tǒng)描述、系統(tǒng)標(biāo)識、重啟時(shí)間、所在地、設(shè)備名、聯(lián)絡(luò)方式）、地址轉(zhuǎn)換表、接口表、IP表、IP路由表、TCP聯(lián)接表。性能管理提供對設(shè)備實(shí)時(shí)性能數(shù)據(jù)的查看功能，使用戶了解當(dāng)前網(wǎng)絡(luò)運(yùn)行的基本情況和性能狀態(tài)，從而預(yù)防網(wǎng)絡(luò)事故的發(fā)生，預(yù)測網(wǎng)絡(luò)運(yùn)行狀態(tài)，幫助用戶對網(wǎng)絡(luò)的管理運(yùn)營進(jìn)行合理的規(guī)劃。同時(shí)可以支持對于網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備利用率、CPU利用率、故障率、線路流量統(tǒng)計(jì)、網(wǎng)絡(luò)時(shí)延統(tǒng)計(jì)、歷史告警信息等進(jìn)行統(tǒng)計(jì)記錄，并可以實(shí)現(xiàn)網(wǎng)絡(luò)流量配置。設(shè)備日志和告警管理在系統(tǒng)獨(dú)立運(yùn)行時(shí)，設(shè)備日志管理完成接收設(shè)備發(fā)送到網(wǎng)管的Syslog日志報(bào)文，直接保存到文件中；設(shè)備告警管理完成接收設(shè)備發(fā)送到網(wǎng)管的告警報(bào)文，將該Trap進(jìn)行解析并保存到文件中。路由器設(shè)備整體運(yùn)行狀態(tài)CPU負(fù)載、系統(tǒng)溫度、風(fēng)扇狀態(tài)、VOS內(nèi)存空閑率、Non-Volatile空閑率、內(nèi)存分布錯(cuò)誤次數(shù)、內(nèi)存分配不足引起的分配錯(cuò)誤輸入IP報(bào)文、表頭錯(cuò)誤的輸入IP報(bào)文、地址錯(cuò)誤IP報(bào)文、未知協(xié)議數(shù)據(jù)報(bào)、緩沖溢出輸入IP報(bào)文、緩沖溢出的輸出IP報(bào)文、轉(zhuǎn)發(fā)的IP報(bào)文、無路由的輸出IP報(bào)文、成功重組的IP報(bào)文安全日志管理安全管理功能主要有以下幾個(gè)方面：操作日志管理，用戶管理，用戶組管理，設(shè)備集管理，操作集管理，權(quán)限管理，用戶登錄管理。路由器設(shè)備端口配置信息接口描述、接口類型、最大傳輸單元、接口速率、物理地址、管理狀態(tài)、操作狀態(tài)、持續(xù)運(yùn)行時(shí)間、本地描述路由器設(shè)備端口運(yùn)行狀態(tài)接口使用率、輸入包誤碼率、輸出包誤碼率、輸入包丟棄率、輸出包丟棄率、輸入包未知協(xié)議率下圖是該產(chǎn)品的界面示例：

第五章．吉林市聯(lián)通公司用戶管理及安全方案5.1網(wǎng)絡(luò)用戶認(rèn)證管理需求分析隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，用戶不斷的增加，網(wǎng)絡(luò)使用中出現(xiàn)了不少不和諧的聲音：賬戶盜用，惡意連接，黑客攻擊，反動言論等。這些不和諧的行為影響了正常的網(wǎng)絡(luò)使用，造成了許多安全隱患。為了消除這些隱患，我們需要引入網(wǎng)絡(luò)認(rèn)證管理技術(shù)，規(guī)范網(wǎng)絡(luò)使用，在提供體現(xiàn)公平、共享原則的同時(shí)保護(hù)絕大多數(shù)用戶的權(quán)利。在提出解決方案之前我們將相關(guān)需求做一簡單分析：準(zhǔn)確的用戶身份確認(rèn)對于吉林市聯(lián)通公司網(wǎng)絡(luò)的用戶分為兩類，一類是準(zhǔn)許訪問internet的，另一類是不訪問internet。但是為提高網(wǎng)絡(luò)的安全性能無論是否要訪問internet我們都需要對其身份進(jìn)行準(zhǔn)確的識別。這是網(wǎng)絡(luò)安全的需要。但是如何進(jìn)行用戶身份確認(rèn)呢？這就需要通過認(rèn)證技術(shù)來實(shí)現(xiàn)。目前認(rèn)證技術(shù)有許多，如WEB認(rèn)證，802.1x認(rèn)證，PPPOE認(rèn)證。這些認(rèn)證技術(shù)各有千秋，PPPOE技術(shù)被廣泛的應(yīng)用在寬帶小區(qū)，WEB認(rèn)證被應(yīng)用在一些信息系統(tǒng)內(nèi)，而802.1x認(rèn)證被應(yīng)用在廣大的網(wǎng)絡(luò)內(nèi)。這是因?yàn)?02.1x認(rèn)證具最大的特點(diǎn)是簡單，無需特殊的設(shè)備支持，同時(shí)支持任何網(wǎng)絡(luò)應(yīng)用。正是這一點(diǎn)打動許多網(wǎng)絡(luò)管理員的心。本方案將以802.1x認(rèn)證用戶身份確認(rèn)技術(shù)。全方位的用戶管理方案用戶的管理隨著網(wǎng)絡(luò)的擴(kuò)大逐步顯得更加的重要，從目前的網(wǎng)絡(luò)的建設(shè)來看，不同的單位有著不同的網(wǎng)絡(luò)的管理方式，如：MAC綁定、IP地址的綁定、卡號密碼的綁定等，不同方式各有千秋。在吉林市聯(lián)通公司的網(wǎng)絡(luò)認(rèn)證管理方面，其我們用戶建議采用MAC地址＋端口的綁定技術(shù)來作為整個(gè)網(wǎng)絡(luò)管理的主要方式，H3C的核心交換機(jī)S3600P支持多種綁定技術(shù)，同樣支持MAC地址＋端口的綁定方式，這樣對于用戶可以直接做到端到端的綁定方式。5.2網(wǎng)絡(luò)用戶管理認(rèn)證方案概述 認(rèn)證管理方案是一個(gè)整體的方案在網(wǎng)絡(luò)內(nèi)實(shí)施相應(yīng)的管理措施。綜合考慮，H3C公司在實(shí)際的在建網(wǎng)的過程當(dāng)中遵循了以下幾點(diǎn)要求：認(rèn)證交換機(jī)。本次方案所采用的所有交換機(jī)都支持802.1x認(rèn)證。考慮認(rèn)證的效率，本次認(rèn)證主要由接入層S3600P交換機(jī)來完成。并能夠提供強(qiáng)大的業(yè)務(wù)功能：如：MAC地址綁定等功能。網(wǎng)管平臺。網(wǎng)管軟件對于用戶來說是維護(hù)網(wǎng)絡(luò)的重要工具，H3C公司Quidview網(wǎng)管平臺可以為用戶提供強(qiáng)大的維護(hù)功能，同時(shí)可以對所管理的接入層交換機(jī)進(jìn)行批量配置，避免用戶繁瑣的工作，同時(shí)Quidview可以對端口流量進(jìn)行設(shè)置閥值告警，發(fā)現(xiàn)用戶端口流量較大（如：病毒攻擊），可以通過網(wǎng)管將端口關(guān)閉避免大量垃圾報(bào)文，維護(hù)網(wǎng)絡(luò)安全。5.3認(rèn)證選擇設(shè)計(jì)－802.1X認(rèn)證管理是接入層交換機(jī)和認(rèn)證軟件平臺重要的特性，本次我們建議采用802.1X的認(rèn)證方式作為接入認(rèn)證的方式。802.1X協(xié)議是IEEE在2001.6通過的正式標(biāo)準(zhǔn)，標(biāo)準(zhǔn)的起草者包括Microsoft，Cisco，Extreme，Nortel等；802.1X定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議（portbasednetworkaccesscontrol），該協(xié)議適用于接入設(shè)備與接入端口間點(diǎn)到點(diǎn)的連接方式，其中端口既可以是物理端口，也可以是邏輯端口。H3C公司的網(wǎng)絡(luò)設(shè)備對802.1x做了擴(kuò)充，使其可以基于MAC地址進(jìn)行網(wǎng)絡(luò)接入控制。IEEE802.1X的體系結(jié)構(gòu)中包括三個(gè)部分：(1)SupplicantSystem--用戶接入設(shè)備(2)AuthenticatorSystem--接入控制單元(3)AuthenticationSeverSystem--認(rèn)證服務(wù)器接入層LANSWITCH設(shè)備需要實(shí)現(xiàn)802.1X的認(rèn)證系統(tǒng)部分Authenticator；用戶接入設(shè)備(PC)需要有802.1x的客戶端軟件；認(rèn)證服務(wù)器可以是802.1x的服務(wù)器，也可以是傳統(tǒng)的Radius服務(wù)器；傳輸介質(zhì)為點(diǎn)對點(diǎn)以太網(wǎng)（即PC直接通過網(wǎng)線連接到LSW的端口），如果是共享式以太網(wǎng)，則需要采用加密的方式（MD5）傳遞認(rèn)證信息。概念解釋：PAE，即portaccessentity之縮寫，意為端口接入實(shí)體SupplicantPAE：發(fā)起接入請求的PAE，指一般PCAuthenticatorPAE：駐留在接入設(shè)備上的驗(yàn)證模塊PAE受控端口是802.1X系統(tǒng)的核心概念(1)Authenticator內(nèi)部有受控端口（ControlledPort）和非受控端口（UncontrolledPort）。(2)非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPOL協(xié)議幀，可保證Supplicant始終可以發(fā)出或接受認(rèn)證。受控端口只有在認(rèn)證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。(3)受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應(yīng)不同的應(yīng)用環(huán)境。輸入受控應(yīng)用在集中桌面管理的應(yīng)用場合,例如管理員即使在客戶端關(guān)機(jī)的情況下也能將通過受控端口向用戶計(jì)算機(jī)發(fā)送遠(yuǎn)程開機(jī)命令。(4)H3C公司的VRP平臺的802.1X子系統(tǒng)擴(kuò)展了多種受控端口類型,以支持復(fù)雜的應(yīng)用環(huán)境。802.1X的認(rèn)證模式：端口認(rèn)證模式：ForceAuthorized：常開模式。端口一直維持授權(quán)狀態(tài)，設(shè)備端不主動發(fā)起認(rèn)證；ForceUnauthorized：常關(guān)模式。端口一直維持非授權(quán)狀態(tài)，忽略所有客戶端發(fā)起的認(rèn)證請求；Auto：協(xié)議控制模式。設(shè)置端口初始狀態(tài)為非授權(quán)狀態(tài)，使端口僅允許EAPOL報(bào)文收發(fā)，如果認(rèn)證流程通過，端口切換到授權(quán)狀態(tài)；VRP的802.1X子系統(tǒng)允許一個(gè)物理端口下有多個(gè)受控端口，在一個(gè)物理端口下的所有受控端口只能配置成相同的端口認(rèn)證模式，這種限制是為了方便管理員配置。802.1x協(xié)議定義了一種基于port的認(rèn)證方法，在協(xié)議中允許允許一個(gè)物理端口下有多個(gè)受控端口，應(yīng)該是為了便于實(shí)現(xiàn)對802.1x的擴(kuò)充，如在物理端口下開發(fā)基于MAC地址的認(rèn)證，每個(gè)MAC地址將有一個(gè)動態(tài)的邏輯端口，邏輯端口的狀態(tài)是受控的。也可以開發(fā)基于VLAN的認(rèn)證，等等。端口類型：(1)邏輯端口(默認(rèn))：一個(gè)邏輯端口對應(yīng)一個(gè)物理端口，對應(yīng)一個(gè)AuthenticatorPAE狀態(tài)機(jī)實(shí)體。這種端口類型的802.1x認(rèn)證與PPPoE和WEB認(rèn)證方式相比，有缺陷，無法靈活地應(yīng)用到運(yùn)營商的寬帶城域網(wǎng)(可參考華為技術(shù)報(bào)上的<<802.1x認(rèn)證技術(shù)>>一文)。(2)邏輯端口＋源MAC：這種類型的受控端口為每一個(gè)客戶端創(chuàng)建一個(gè)AuthenticatorPAE狀態(tài)機(jī)實(shí)體。每個(gè)物理端口上受控端口的個(gè)數(shù)是有限制的(可配置)，當(dāng)有客戶端發(fā)送EAPOL-Start請求認(rèn)證報(bào)文時(shí)提取客戶端源MAC地址，做為受控端口的標(biāo)識。客戶端注銷時(shí)對應(yīng)的受控端口資源被釋放。(3)邏輯端口＋VLANID+源MAC：這種擴(kuò)展的受控端口類型,主要是配合S3000+LANSWITCH方式組網(wǎng),SS3000上實(shí)現(xiàn)的802.1X受控端口類型，邏輯端口+VLANID可以定位到下層LANSWITCH的物理和邏輯端口，源MAC地址可以區(qū)分到客戶端。H3C公司網(wǎng)絡(luò)產(chǎn)品支持以下的基本認(rèn)證方式：本地認(rèn)證：接入設(shè)備根據(jù)用戶名在本設(shè)備的數(shù)據(jù)庫查找，若存在相同的用戶名和密碼則驗(yàn)證通過,否則驗(yàn)證失敗。Radius認(rèn)證：接入設(shè)備通過Radius報(bào)文與Radius服務(wù)器交互報(bào)文，由Radius服務(wù)器完成對用戶身份合法性的驗(yàn)證。PAP認(rèn)證：PasswordAuthenticationProtocol，用戶以明文的形式把用戶名和他的密碼傳遞給接入設(shè)備的驗(yàn)證方式。CHAP認(rèn)證：ChallengeHandshakeAuthenticationProtocol，當(dāng)用戶請求上網(wǎng)時(shí)，接入設(shè)備生成一個(gè)16字節(jié)的隨機(jī)碼給用戶，同時(shí)還有一個(gè)ID號及接入設(shè)備的hostname?？蛻舳说玫竭@個(gè)包后使用自己獨(dú)用的設(shè)備或軟件對傳來的各域進(jìn)行加密，生成一個(gè)response傳給接入設(shè)備，接入設(shè)備根據(jù)用戶名在本端或Radius服務(wù)器查找，得到和用戶端進(jìn)行加密所用的一樣的密碼，然后根據(jù)原來的16字節(jié)的隨機(jī)碼進(jìn)行加密，將其結(jié)果與Response作比較，若相同表明驗(yàn)證通過，否則驗(yàn)證失敗。CHAP認(rèn)證時(shí)，密碼經(jīng)過了MD5算法加密處理，防止報(bào)文被截獲。吉林市聯(lián)通公司802.1X的認(rèn)證過程首先吉林市聯(lián)通公司的端口模式采用網(wǎng)關(guān)模式，首先上網(wǎng)終端通過802.1X的客戶端收入用戶名、密碼后客戶端發(fā)起EAP報(bào)文至802.1Xserver（S3600P），在S7506R上終結(jié)EAP報(bào)文，然后從S3600P再次發(fā)起Raduis報(bào)文至認(rèn)證服務(wù)器RaduisSver，由RaduisServer來驗(yàn)證用戶名、密碼是否匹配，在認(rèn)證通過以后由認(rèn)證服務(wù)器下發(fā)Raduis報(bào)文至S3600P通知該用戶認(rèn)證通過，S3600P再將相對應(yīng)的端口打開，允許學(xué)習(xí)MAC地址，允許用戶上網(wǎng)。802.1X的認(rèn)證方式最為主要的三點(diǎn)是：1.認(rèn)證的802.1X的客戶端的功能。2.認(rèn)證的802.1XServer；3.與認(rèn)證服務(wù)器的配合。H3C公司自主開發(fā)的802.1X客戶端以及認(rèn)證服務(wù)器，在實(shí)際的應(yīng)用中配合華為的接入層交換機(jī)S5100最終完成802.1X的認(rèn)證。5．4CAMS對用戶上網(wǎng)認(rèn)證的管理5.4.1用戶需求分析吉林市聯(lián)通公司網(wǎng)的管理基本上分為以下幾個(gè)方面：用戶信息的搜集用戶信息的搜集是網(wǎng)絡(luò)開通前網(wǎng)管人員的首要任務(wù)，此時(shí)需要搜集的信息可能包含有：用戶的編號、用戶主機(jī)的MAC地址、用戶接入的端口、分給用戶的IP地址、用戶的性別、用戶的房間號、或是我們需要用戶提供的相關(guān)特性。此過程可能是用戶工作量最大的一個(gè)過程。用戶的開戶開戶的過程是網(wǎng)絡(luò)人員的針對用戶的需求進(jìn)行開戶，用戶把錢交給網(wǎng)絡(luò)中心為用戶提供開戶業(yè)務(wù)，提供給用戶網(wǎng)絡(luò)資源。網(wǎng)絡(luò)安全控制該過程是網(wǎng)管人員對上網(wǎng)用戶進(jìn)行實(shí)時(shí)檢測的過程，網(wǎng)管人員要確保網(wǎng)絡(luò)的安全，要對用戶上網(wǎng)的動作進(jìn)行監(jiān)控，并有效的防止網(wǎng)絡(luò)當(dāng)中存在的各種非法操作用戶?！傊?，整個(gè)網(wǎng)絡(luò)的開通、運(yùn)行、維護(hù)是一個(gè)持續(xù)、巨大工作量的過程，網(wǎng)管人員是這些任務(wù)的承擔(dān)者。5.4.2CAMS解決方案下面我們再來看一下CAMS是如何解決用戶的相關(guān)問題。用戶相關(guān)信息的搜集CAMS的“用戶預(yù)注冊”解決網(wǎng)管人員搜集用戶信息中遇到的問題，傳統(tǒng)的方式是通過網(wǎng)管人員的信息錄入來搜集客戶的信息，這種方式使得網(wǎng)管人員的工作量劇增。舉例來說，一個(gè)5000用戶的開戶工作，我們假設(shè)1個(gè)用戶的錄入工作需要2分鐘（包括檢查用戶提供的信息是否正確）,5000用戶需要的工作量就是5000×2＝10000分鐘，共計(jì)166小時(shí)，按照一天8小時(shí)工作時(shí)間計(jì)算，共需要21天，這樣的工作量對網(wǎng)管人員來說是不可忍受的，CAMS支持用戶預(yù)注冊功能，所有的用戶名密碼等信息都由用戶自己輸入，而且用戶如果我們還需要部分信息還可以進(jìn)行定制。用戶預(yù)注冊：用戶預(yù)注冊可以幫助用戶在開戶前的相關(guān)信息的搜集，用戶可以通過固定的網(wǎng)上申請用戶名、密碼等相關(guān)信息，而且網(wǎng)管人員需要搜集的信息可以在“用戶附加信息”中進(jìn)行自行定義，定義的方式也是可選的，可以是下拉菜單方式的、也可以是輸入的，為了避免用戶輸錯(cuò)，可規(guī)定輸入文檔的格式，詳見“用戶附加信息”。我們可以在用戶預(yù)注冊的時(shí)候要求用戶輸入我們要搜集的相關(guān)MAC、工號、單位等信息。 用戶附加信息： 用戶附加信息是為了給網(wǎng)管人員自助定義用戶信息的工具，每個(gè)網(wǎng)管人員標(biāo)識用戶的方法、種類可能各不相同，用戶附加信息如下所示： 網(wǎng)管人員可以在用戶附加信息選項(xiàng)中靈活定義需要用戶輸入的信息，同時(shí)可以選擇這些字段是否在用戶預(yù)注冊時(shí)必須輸入。這樣用戶信息的搜集就由網(wǎng)管人員主動搜集變?yōu)橛脩糁鲃由蠄?bào)，網(wǎng)管人員需要作的更多的是用戶開戶時(shí)信息的確認(rèn)。開戶過程我們剛才講了用戶通過預(yù)注冊的功能可以實(shí)現(xiàn)在網(wǎng)上進(jìn)行預(yù)注冊，那接下來應(yīng)該做些什么呢？接下來網(wǎng)管人員要在CAMS上先定義用戶群的服務(wù)（即：計(jì)費(fèi)策略及管理策略），如：用戶群體A，采用包月的方式；用戶群體B采用按時(shí)長收費(fèi)的方式；用戶群體C……。服務(wù)策略的配置：服務(wù)的配置當(dāng)中含有多種的策略，包括：計(jì)費(fèi)策略、綁定策略、安全策略等等。如圖所示：在服務(wù)策略中，我們可以講用戶的IP、MAC、交換機(jī)端口、VALN、賬號等多種元素進(jìn)行綁定，也可以選擇性的進(jìn)行綁定；計(jì)費(fèi)策略中我們可以規(guī)定按時(shí)長收費(fèi)還是包月收費(fèi)；同時(shí)CAMS也是配置是否對客戶端的Proxy檢測啟用安全策略，對于Proxy的防止同樣也是多種方式的；同時(shí)CAMS可以實(shí)現(xiàn)用戶的獲取IP地址方式的定義。 用戶繳費(fèi)開戶（三“點(diǎn)”一“輸入”） 用戶繳費(fèi)開戶對于CAMS來說再簡單不過了，一個(gè)用戶的開戶只需要進(jìn)行鼠標(biāo)輕輕的點(diǎn)擊三下、輸入一次，就可以實(shí)現(xiàn)。具體的步驟如下：首先，在用戶預(yù)注冊清單中找到用戶提交的預(yù)注冊信息：我們在預(yù)注冊用戶管理中找到了剛才剛剛預(yù)注冊的用戶名為“xulixian”的用戶，下面我們來進(jìn)行所謂的“三點(diǎn)一輸入”來進(jìn)行開戶。 正式注冊：一點(diǎn)擊“正式注冊”一輸入用戶的繳費(fèi)信息，二點(diǎn)擊用戶的服務(wù)（用戶包月），三點(diǎn)擊確定。一個(gè)用戶的開戶過程就是如此簡單，加上用戶預(yù)注冊中的相關(guān)信息的檢查，一個(gè)用戶10秒鐘就可以輕松的開戶，5000用戶的網(wǎng)絡(luò)10幾個(gè)小時(shí)就可以完成開戶工作，大大減少了網(wǎng)管人員的額工作量。自定義開戶。用戶的開戶還可以通過CAMS進(jìn)行自定義的開戶，也就是每個(gè)賬號是由網(wǎng)管人員進(jìn)行開戶的，所有的信息都時(shí)網(wǎng)管人員自己錄入，當(dāng)然，網(wǎng)管人員可以通過CAMS進(jìn)行批量的用戶開戶，或是采用與原有的數(shù)據(jù)庫批量導(dǎo)入。這種方式與用戶預(yù)注冊的方式相比就顯得有些麻煩。網(wǎng)絡(luò)安全控制CAMS除了可以大大減少用戶的工作量以外，還可以給用戶提供強(qiáng)大的安全管理措施。元素的綁定技術(shù)。CAMS可以實(shí)現(xiàn)通過AAA服務(wù)器的IP、MAC、VLAN地址等綁定技術(shù)，在實(shí)際應(yīng)用的過程當(dāng)中，CAMS可以對接入用戶的各種元素進(jìn)行綁定對于各種元素的靈活綁定可以實(shí)現(xiàn)各種接入方式，如：綁定MAC與賬號，就可以實(shí)現(xiàn)賬號與主機(jī)的對應(yīng)；綁定IP、MAC、端口、VLAN、賬號，就可規(guī)定用戶采用自己的主機(jī)、規(guī)定的IP、從規(guī)定的端口進(jìn)行接入。元素的綁定技術(shù)對于網(wǎng)絡(luò)的管理安全起了重要的作用，通過元素的綁定技術(shù)可以大大提高網(wǎng)絡(luò)的安全性。訪問時(shí)間的控制。CAMS可以實(shí)現(xiàn)對接入用戶的上網(wǎng)時(shí)間的規(guī)定，網(wǎng)管人員可以規(guī)定用戶允許接入的時(shí)間段，如：上午6：00—晚上12：00，在這段時(shí)間內(nèi)允許用戶接入網(wǎng)絡(luò)，其余時(shí)間，禁止接入。Proxy用戶的禁止。CAMS可以對接入層用戶進(jìn)行有效的控制，配合H3C的802.1X客戶端可對各種Proxy用戶進(jìn)行禁止。屏蔽非華為客戶端，可以實(shí)現(xiàn)對于非華為客戶端的用戶禁止接入；屏蔽IE代理，對于在IE中設(shè)置代理的用戶可以實(shí)時(shí)進(jìn)行檢測，一旦發(fā)見，禁止用戶進(jìn)行上網(wǎng)操作；屏蔽雙網(wǎng)卡，對于存在兩個(gè)活動網(wǎng)卡的用戶，CAMS可以通知用戶存在兩個(gè)活動的網(wǎng)卡，用戶必須對其中的一個(gè)網(wǎng)卡進(jìn)行禁用才能夠接入網(wǎng)絡(luò)；對于任何形式代理的禁止，CAMS可以實(shí)現(xiàn)對任何形式的Proxy用戶的禁止，無論用戶采用何種Proxy的方式，如果不產(chǎn)生Proxy動作就不進(jìn)行操作，當(dāng)用戶一旦發(fā)生了Proxy的動作，CAMS就下發(fā)下線通知，強(qiáng)制用戶下線，對于以上的Proxy禁止方式，是可以進(jìn)行靈活選擇，滿足不同組網(wǎng)需要。黑名單。CAMS支持對用戶的非法動作進(jìn)行判斷，屏蔽的功能，當(dāng)某用戶通過自己的主機(jī)驗(yàn)證別人的用戶名、密碼時(shí)，當(dāng)其三次認(rèn)證不通過就將自動屏蔽該用戶在這臺主機(jī)的認(rèn)證，只有第二天才能夠重新認(rèn)證，認(rèn)證的同時(shí)并將該用戶賬號以及對應(yīng)驗(yàn)證主機(jī)的MAC地址進(jìn)行記錄，便于事后的追查。靈活、開放的計(jì)費(fèi)策略CAMS系統(tǒng)采用開放、抽象的計(jì)費(fèi)模型，具有良好的適應(yīng)性和擴(kuò)充性，能夠滿足不同應(yīng)用場合的計(jì)費(fèi)需求，用戶可以根據(jù)運(yùn)營的需要輕松定制計(jì)費(fèi)方式和費(fèi)率。支持純包月、包月限時(shí)、包月限流量等易于管理的包月型計(jì)費(fèi)方式。支持包月暫停的功能，可以使用戶的包月截止日期順延，并支持用戶認(rèn)證上網(wǎng)自動取消暫停。包月計(jì)費(fèi)。CAMS可以實(shí)現(xiàn)包月計(jì)費(fèi)的策略，對于用戶來說可以實(shí)現(xiàn)包月計(jì)費(fèi)策略，同時(shí)CAMS可以支持包月暫停功能，用戶可以自助登陸到自助服務(wù)頁面，點(diǎn)擊“暫?！?，便可以實(shí)現(xiàn)用戶的包月暫停，無需通過網(wǎng)管中心工作人員，大大減輕了工作人員的工作量。CAMS可以實(shí)現(xiàn)按流量計(jì)費(fèi)的策略，CAMS與MA5200或MA5200配合可以實(shí)現(xiàn)用戶按流量收費(fèi)的計(jì)費(fèi)策略，同樣可以限制用戶的流量，即包月限流量，當(dāng)用戶的流量達(dá)到包月數(shù)值時(shí)，CAMS可強(qiáng)制用戶下線。支持按使用量分檔計(jì)費(fèi)和獎(jiǎng)勵(lì)：對不同的使用量設(shè)置不同的費(fèi)率，用的越多越便宜。支持時(shí)段優(yōu)惠：在正常費(fèi)率的基礎(chǔ)上對在某些時(shí)段的接入給予一定的折扣優(yōu)惠，如周末優(yōu)惠、假日優(yōu)惠等?；诓煌康腎P地址的流量計(jì)費(fèi)策略。CAMS可以實(shí)現(xiàn)基于不同目的IP或源IP地址采用不同計(jì)費(fèi)策略的方式，滿足用戶的不同需求。不同賬號不同網(wǎng)段訪問權(quán)的策略。CAMS可以根據(jù)用戶需求，與BAS配合實(shí)現(xiàn)對于不同賬號對應(yīng)不同目的訪問權(quán)的功能，用戶的賬號可以分為多種權(quán)限賬號進(jìn)行設(shè)定。批量操作功能為了減少用戶的工作量，CAMS可以支持賬號的批量配置，網(wǎng)管人員可以通過網(wǎng)絡(luò)對用戶進(jìn)行批量的賬號續(xù)費(fèi)、批量的賬號注冊、批量的時(shí)間補(bǔ)償、加入黑名單等工作，大大減少了用戶的工作量，提高了工作效率。完善的用戶行為監(jiān)控CAMS提供強(qiáng)大的“黑名單”管理策略，可以將惡意猜測密碼的用戶加入黑名單，并可按MAC、IP地址跟蹤非法行為的來源。管理員可以實(shí)時(shí)監(jiān)控在線用戶，強(qiáng)制非法用戶下線。支持消息下發(fā)，管理員可以通過CAMS向上網(wǎng)用戶發(fā)布通知消息，如“系統(tǒng)升級，網(wǎng)絡(luò)將在10分中后切斷”、“您的密碼遭惡意試探，請注意保護(hù)密碼安全”等。CAMS記錄認(rèn)證失敗日志、并可以全面跟蹤用戶上網(wǎng)流程，方便定位與解決用戶無法接入、異常斷線等問題。與硬件平臺無關(guān)。CAMS基于linux操作系統(tǒng)，并可實(shí)現(xiàn)基于不同的硬件平臺，Linux操作平臺可以實(shí)現(xiàn)對各種基于Windows平臺的病毒進(jìn)行屏蔽，更大程度上滿足了網(wǎng)絡(luò)的高安全性要求。同時(shí)CAMS現(xiàn)在也有windows系統(tǒng)的版本。準(zhǔn)確、實(shí)用的賬務(wù)處理CAMS系統(tǒng)采用開放、抽象的計(jì)費(fèi)模型，具有良好的適應(yīng)性和擴(kuò)充性，能夠滿足不同應(yīng)用場合的計(jì)費(fèi)需求，用戶可以根據(jù)運(yùn)營的需要輕松定制計(jì)費(fèi)方式和費(fèi)率。支持實(shí)時(shí)預(yù)付費(fèi)和后付費(fèi)兩種付費(fèi)方式，滿足不同用戶群的消費(fèi)習(xí)慣支持營業(yè)廳繳費(fèi)、充值卡繳費(fèi)以及批量繳費(fèi)，簡化管理員和用戶的續(xù)費(fèi)操作。支持手工出賬及自動出賬，便于及時(shí)對臨時(shí)性用戶（比如酒店客戶）進(jìn)行費(fèi)用結(jié)算。CAMS記錄詳盡的用戶上網(wǎng)明細(xì)、賬單和繳費(fèi)信息，提供查詢與打印功能，有效避免賬務(wù)糾紛。用戶欠費(fèi)、余額不足或包月即將到期時(shí)，CAMS可以通過郵件和認(rèn)證客戶端進(jìn)行費(fèi)用催繳。CAMS支持用戶信息、上網(wǎng)明細(xì)、用戶賬單和繳費(fèi)記錄的手工和自動導(dǎo)出，方便與第三方賬務(wù)管理系統(tǒng)的對接。簡單、易用的管理平臺CAMS提供了基于WEB的管理界面和幫助系統(tǒng)，管理員無需安裝任何客戶端軟件，就可以通過瀏覽器完成系統(tǒng)管理工作，為管理員提供了最大程度的方便性。集中、方便的用戶管理基于服務(wù)的用戶分組管理，用戶的認(rèn)證綁定策略、訪問權(quán)限、計(jì)費(fèi)策略均封裝于服務(wù)中，簡化管理員的操作，保證網(wǎng)絡(luò)管理模式的統(tǒng)。豐富的批量操作，提供批量開戶、批量續(xù)費(fèi)、批量銷戶、批量修改等功能，便于用戶數(shù)據(jù)的集中維護(hù)。自定制的用戶信息管理，管理員可根據(jù)網(wǎng)絡(luò)運(yùn)營的習(xí)慣進(jìn)行用戶信息定制：如學(xué)校可以定制學(xué)號、年級等信息，企業(yè)可以定制部門、職務(wù)等信息?；赪EB的用戶預(yù)注冊，用戶可以先通過WEB填寫用戶信息后，再到營業(yè)廳正式開通賬號，保證用戶信息的準(zhǔn)確性，減輕管理員的維護(hù)工作量。提供卡號管理功能，與一般的上網(wǎng)卡類似，卡號可以批量生成和發(fā)布，降低管理成本。豐富、直觀的統(tǒng)計(jì)報(bào)表CAMS提供了豐富的圖形和表格樣式的報(bào)表，可以方便的生成、導(dǎo)出和打印。統(tǒng)計(jì)報(bào)表的主要用途包括：統(tǒng)計(jì)每小時(shí)平均在線用戶數(shù)，發(fā)現(xiàn)繁忙時(shí)段統(tǒng)計(jì)每天（月）的上網(wǎng)流量和時(shí)長，掌握網(wǎng)絡(luò)使用情況。統(tǒng)計(jì)用戶每月的消費(fèi)情況，發(fā)現(xiàn)重要客戶。統(tǒng)計(jì)系統(tǒng)注冊用戶和新注冊用戶數(shù)，掌握業(yè)務(wù)發(fā)展?fàn)顩r。統(tǒng)計(jì)操作員收費(fèi)情況，了解網(wǎng)絡(luò)的運(yùn)營收益。完備的系統(tǒng)管理與監(jiān)控靈活的業(yè)務(wù)運(yùn)行參數(shù)配置，管理員可根據(jù)組網(wǎng)和運(yùn)營環(huán)境進(jìn)行功能定制。操作級的管理員權(quán)限控制，可為不同管理員設(shè)置基于角色的操作權(quán)限，如系統(tǒng)管理員、賬務(wù)管理員、前臺營業(yè)員等；此外，系統(tǒng)提供詳細(xì)的操作員操作日志，便于對管理員的操作進(jìn)行跟蹤。CAMS能對自身運(yùn)行狀況進(jìn)行實(shí)時(shí)監(jiān)控，并且可以通過郵件將系統(tǒng)告警發(fā)給管理員，便于管理員及時(shí)了解系統(tǒng)運(yùn)行狀況，采取響應(yīng)措施。內(nèi)置DHCP功能CAMS內(nèi)置了DHCP服務(wù)器，可以為用戶指定DHCP分配策略，將用戶與IP地址或地址池的綁定，為用戶動態(tài)分配固定IP地址，實(shí)現(xiàn)基于用戶的IP地址統(tǒng)一管理，既減少了管理員的維護(hù)工作量，又可以有效防止IP地址沖突?；赪EB的用戶自助CAMS提供終端用戶自助服務(wù)，用戶登錄到指定的WEB網(wǎng)站，即可查詢個(gè)人信息、上網(wǎng)明細(xì)、費(fèi)用余額、繳費(fèi)記錄，修改上網(wǎng)密碼和個(gè)人信息，自助充值，暫?；蚧謴?fù)包月。忘記密碼時(shí)，用戶還可以通過自助頁面取回密碼。此外，用戶還可以通過CAMS認(rèn)證客戶端修改上網(wǎng)密碼，方便用戶操作。CAMS可直接實(shí)現(xiàn)制卡功能，用戶可以根據(jù)需要進(jìn)行制卡，學(xué)生可以通過自助平臺輸入卡號/密碼進(jìn)行充值，進(jìn)而完成上網(wǎng)充值。友好的開放性CAMS可以根據(jù)用戶需求提供特性功能的開發(fā)，H3C可以針對用戶需求為用戶進(jìn)行CAMS功能的開發(fā)，同時(shí)可以為用戶提供對接以及開發(fā)接口，用戶可以根據(jù)自己需求靈活開發(fā)，滿足自己的需求。5.4.3業(yè)務(wù)認(rèn)證流程在吉林市聯(lián)通公司網(wǎng)絡(luò)建設(shè)當(dāng)中我們建議采用自動綁定MAC地址＋I(xiàn)P＋端口的綁定技術(shù)來作為認(rèn)證管理方式，將每個(gè)用戶的計(jì)算機(jī)與交換機(jī)上的每個(gè)端口進(jìn)行一一綁定，這樣對于用戶來說只能夠在自己的計(jì)算機(jī)上，并接到自己的端口上才能夠?qū)崿F(xiàn)上網(wǎng)，同時(shí)，對于維護(hù)人員來說也可以做到到端口的管理。自動綁定技術(shù)可以大大減少用戶的工作量同時(shí)提高用戶的如圖所示華為3com公司S5100-24P交換機(jī)對于多種的用戶接入方式均可以靈活的實(shí)現(xiàn)控制，設(shè)計(jì)如下：防止Proxy用戶。對于接入層用戶采用Proxy（單雙、網(wǎng)卡）的方式進(jìn)行接入的，S5100-24P交換機(jī)可以配合802.1X客戶端來了解用戶的目前狀態(tài)，當(dāng)了解到用戶具有兩個(gè)活動的IP地址時(shí)，可以強(qiáng)制接入用戶下線。MAC盜用的用戶限制。對于上網(wǎng)用戶更改自己的MAC地址的方式，H3CS5100-24P交換機(jī)可以實(shí)現(xiàn)端口＋MAC地址的綁定，當(dāng)用戶更改自己的MAC地址的時(shí)候，交換機(jī)會自動檢測，發(fā)現(xiàn)與綁定MAC地址不相符就可以直接強(qiáng)制用戶下線。MAC地址自學(xué)習(xí)功能。對于網(wǎng)絡(luò)管理中心來說，對于做MAC地址綁定的方式要對全網(wǎng)的上網(wǎng)用戶進(jìn)行MAC地址統(tǒng)計(jì)，并對統(tǒng)計(jì)上來的MAC地址進(jìn)行核對，H3CQuidview網(wǎng)管軟件可以實(shí)現(xiàn)MAC地址的批量自學(xué)習(xí)的功能，用戶在第一次上網(wǎng)的時(shí)候S5100-24P交換機(jī)可以直接將用戶的MAC地址上傳到網(wǎng)管軟件上，網(wǎng)管可以直接記錄用戶的MAC地址，通過網(wǎng)管可批量下發(fā)綁定命令，直接實(shí)現(xiàn)接入層交換機(jī)的MAC地址＋端口的綁定，可以大大節(jié)省維護(hù)人員的工作量。新增用戶的批量配置。對于新增用戶的管理，對于新增用戶的MAC地址綁定是一件工作量較大的工作，H3CQuidView網(wǎng)管軟件可以直接實(shí)現(xiàn)對于用戶的批量配置工作，維護(hù)人員將新增用戶的MAC地址、端口以及物理位置（交換機(jī)的端口）形成文件，通過Qduiview可以直接進(jìn)行批量的配置，進(jìn)而減少用戶的工作量。IP地址更改的用戶限制。對于上網(wǎng)用戶更改自己的IP地址的方式，由于用戶在上網(wǎng)時(shí)已經(jīng)實(shí)現(xiàn)了IP地址＋端口的綁定，所以一旦用戶更改IP地址，S5100-24P將強(qiáng)制用戶下線DHCPSERVER管理。S7500存在內(nèi)置的DHCPServer，對于接入用戶，可以實(shí)現(xiàn)接入用戶的動態(tài)的IP地址在匯聚層交換機(jī)S7500上來實(shí)現(xiàn)，每個(gè)匯聚層交換機(jī)負(fù)責(zé)所轄用戶的動態(tài)IP地址的分配，從而減輕用戶的維護(hù)工作量。移動用戶的認(rèn)證管理。醫(yī)院內(nèi)部可能存在著一定數(shù)量的移動用戶，對于移動用戶的認(rèn)證管理對于學(xué)校來說也是至關(guān)重要的，H3CS5100-24P交換機(jī)可以支持動態(tài)VLAN的技術(shù)，即VLAN與MAC地址相對應(yīng)，對于用戶雖然在不同的物理位置只要其對應(yīng)的VLAN（MAC地址）是綁定的VLAN即可以實(shí)現(xiàn)上網(wǎng)，這樣即方便了移動用戶，又實(shí)現(xiàn)了對移動用戶的管理。第六章．核心網(wǎng)安全設(shè)計(jì)6.1多元綁定技術(shù)對吉林市聯(lián)通公司安全的應(yīng)用“安全”是網(wǎng)絡(luò)當(dāng)中用戶最為關(guān)注的問題，其主要的原因是現(xiàn)有的網(wǎng)絡(luò)用戶群體是一個(gè)好奇心強(qiáng)，現(xiàn)有的攻擊手段越來越多，技術(shù)消息互通迅速。因此，網(wǎng)絡(luò)建設(shè)當(dāng)中，如何解決安全問題是每一個(gè)網(wǎng)絡(luò)設(shè)計(jì)師最為頭痛的問題。6.1.1現(xiàn)有網(wǎng)絡(luò)的安全特征：MAC地址的盜用MAC地址的盜用是指網(wǎng)絡(luò)用戶通過各種軟件（實(shí)際上是通過修改注冊表）將自己的MAC地址進(jìn)行修改，改為一個(gè)未知的MAC地址或是改為別人的MAC地址。MAC地址的盜用可對整個(gè)網(wǎng)絡(luò)帶來巨大的隱患：接入交換機(jī)MAC地址表溢出。由于二層交換機(jī)內(nèi)部有一張維護(hù)的MAC地址表，當(dāng)非法用戶通過各種手段將自己報(bào)文中的源MAC地址更改時(shí)，就會導(dǎo)致交換機(jī)內(nèi)的MAC地址表項(xiàng)越來越多，最終使得MAC地址表塞滿，當(dāng)新的用戶通過交換機(jī)上網(wǎng)的時(shí)候，由于交換機(jī)內(nèi)部的MAC地址表已經(jīng)塞滿，而且新的非法報(bào)文的源MAC地址將會不斷的刷新交換機(jī)中的MAC地址表。這樣的攻擊將導(dǎo)致合法用戶無法接入，（新增合理用戶的MAC地址表項(xiàng)將會不斷被非法用戶的MAC地址覆蓋），嚴(yán)重時(shí)可以直接導(dǎo)致接入交換機(jī)癱瘓。隱藏自身MAC地址或盜取其他用戶的MAC地址。當(dāng)非法用戶更改的MAC地址是預(yù)先知道的某個(gè)合法用戶的MAC地址時(shí)，合法用戶就無法通過二層交換機(jī)上網(wǎng)，因?yàn)樵诮粨Q機(jī)的MAC地址表是不允許存在兩個(gè)相同的MAC在同一張MAC地址表中存在。如果我們對該非法用戶依據(jù)其MAC地址進(jìn)行了跟蹤記錄，那么這條記錄追查到的結(jié)果一定是錯(cuò)誤的。MAC地址盜用給用戶所帶來的影響遠(yuǎn)遠(yuǎn)不止這些，以上只是列舉了一下網(wǎng)絡(luò)之中常見的幾種MAC地址盜用問題。IP地址盜用IP地址盜用帶來的問題與MAC地址的盜用來說有過之而無不及，IP地址對于用戶來說更加直觀，用戶更改IP地址比更改MAC地址更加的方便，這使得IP地址盜用比MAC地址盜用更加普遍。常見的IP地址盜用存在以下幾種常見情況：私自更改自己的IP地址。對于用戶來說有些用戶出于好奇或是其他的各種想法，手工更改自己的IP地址，這使得原本分到該IP地址的合法用戶無法正常上網(wǎng)，同時(shí)也將導(dǎo)致整個(gè)網(wǎng)絡(luò)的IP地址管理混亂。通過各種軟件進(jìn)行基于IP的攻擊。Dos是最常見的一種基于IP的攻擊方式，其原理是非法用戶向被攻擊的主機(jī)發(fā)出大量的攻擊包，同時(shí)將報(bào)文中的源IP地址進(jìn)行修改以掩藏自己真實(shí)的IP，這樣就可以逃避網(wǎng)管的追查，“堂而皇之”的攻擊對方了。端口的不固定性雖然大家為了提高整個(gè)網(wǎng)絡(luò)的正常運(yùn)作出了各種各樣的努力，但是網(wǎng)絡(luò)當(dāng)中終究還是會出現(xiàn)各種各樣的安全問題，這就需要對已發(fā)生的問題進(jìn)行完整的記錄以及徹底的追查，“端口的固定”就成為了網(wǎng)絡(luò)管理員們關(guān)心的問題。網(wǎng)絡(luò)的搗亂分子往往在不同的位置上網(wǎng)，同時(shí)在網(wǎng)上留下大量的“劣跡”，由于非法用戶在非固定的端口進(jìn)行的動作，因此，對于網(wǎng)絡(luò)的管理員來說，要找出他們就如同“大海撈針”。賬號的盜用賬號的盜用實(shí)際上是由網(wǎng)絡(luò)的管理角度延伸出來的一種“盜用”方式，我們這里所說的賬號的盜用更多的是指“賬號的共享”，對于網(wǎng)絡(luò)的管理來說，如果沒有對賬號做好“處理”，一個(gè)賬號很有可能被多個(gè)用戶使用，對于我們采用對身份與帳號一一對應(yīng)的情況，一個(gè)賬號多個(gè)用戶使用意味著將會給我的身份認(rèn)證代理巨大的麻煩，我們的網(wǎng)絡(luò)根本達(dá)不到真正意義上“認(rèn)證”。賬號的混亂使得我們根本無法做到“網(wǎng)絡(luò)管理到人”的目的。6.2綁定技術(shù)為吉林市聯(lián)通公司規(guī)劃高安全的網(wǎng)絡(luò)。 眾多的盜用問題使得我們想：如果限制用戶只能用自己的賬號、采用自己的密碼、采用自己的主機(jī)、采用分給他的IP地址、采用固定的物理端口進(jìn)行接入，如果其中的一項(xiàng)不相符，認(rèn)證就不允許通過。這樣，多元素的綁定技術(shù)就誕生了。由于用戶的接入是通過二層交換機(jī)來實(shí)現(xiàn)的，而原來的二層交換機(jī)是并沒有IP的概念（IP是三層的概念），這就需要二層交換機(jī)提高自己的業(yè)務(wù)特性以適應(yīng)人們的要求。我們上面所說的用戶賬號、密碼、用戶的主機(jī)（MAC地址）、分配的IP地址、對應(yīng)的交換機(jī)端口五個(gè)元素進(jìn)行綁定，為了限制用戶的VLAN間的漫游在綁定的過程當(dāng)中同樣可以將VLAN作為其中的一個(gè)綁定元素進(jìn)行綁定，這樣就成了6元組的綁定。但如果我們分配每個(gè)端口一個(gè)單獨(dú)的VLAN，VLAN的綁定實(shí)際上就成了端口的綁定。 實(shí)際上綁定的技術(shù)可以通過兩種方式來進(jìn)行實(shí)現(xiàn)：AAA（CAMS）服務(wù)器的綁定、接入層交換機(jī)的綁定，下面我們分別來進(jìn)行介紹。AAA（CAMS）服務(wù)器的綁定： 我們來看，通過AAA（CAMS）服務(wù)器作綁定主要是在AAA（CAMS）的服務(wù)器中都存在有我們對于每一個(gè)接入用戶的元素信息，我們舉例來說，用戶A在發(fā)起認(rèn)證的時(shí)候，首先要到AAA（CAMS）服務(wù)器上進(jìn)行身份認(rèn)證，AAA（CAMS）服務(wù)器會檢驗(yàn)用戶認(rèn)證信息中攜帶的元素是否與服務(wù)器中預(yù)先存有的信息一致（賬號A&賬號&MACA&IPA&端口A&VLANA），如果一致則認(rèn)證通過，否則，就認(rèn)為該用戶為非法用戶，嚴(yán)禁接入。當(dāng)用戶通過了認(rèn)證以后，接入層交換機(jī)與認(rèn)證客戶端（802.1X客戶端）之間還會不間斷的通過檢測報(bào)文（Hello）進(jìn)行檢測，一旦用戶在通過認(rèn)證之后更改自己的IP，客戶端會通知交換機(jī)，交換機(jī)再上報(bào)至AAA（CAMS）服務(wù)器，AAA（CAMS）服務(wù)器會強(qiáng)制用戶下線，這種方式可以實(shí)現(xiàn)對用戶有效的控制。接入層交換機(jī)的綁定： AAA（CAMS）服務(wù)器可以實(shí)現(xiàn)多元素的綁定，但是我們也可以看的出來，這種綁定技術(shù)并不是所有的AAA（CAMS）服務(wù)器都可以實(shí)現(xiàn)的，同時(shí)，部分的元素綁定還要通過接入層交換機(jī)與AAA（CAMS）服務(wù)之間進(jìn)行友好的配合才能夠?qū)崿F(xiàn)，所以此種方式往往是在新建統(tǒng)一品牌的校園網(wǎng)當(dāng)中可以采用。實(shí)際上除了AAA（CAMS）服務(wù)器能夠?qū)崿F(xiàn)對于用戶的多元素的綁定，通過接入層交換機(jī)同樣可以實(shí)現(xiàn)對于多元素的綁定，而接入層交換機(jī)的綁定技術(shù)大致如下：靜態(tài)技術(shù)。靜態(tài)綁定在綁定技術(shù)當(dāng)中最為簡單，網(wǎng)管管理人員只需要將對應(yīng)交換機(jī)下的接入用戶相關(guān)元素進(jìn)行搜集，并在該交換機(jī)上進(jìn)行配置即可實(shí)現(xiàn)對每個(gè)用戶的控制。如圖所示，當(dāng)接入用戶的相關(guān)元素與接入交換機(jī)ACL列表中的對應(yīng)關(guān)系不相符時(shí)，交換機(jī)認(rèn)為該用戶為非法用戶，禁止接入。這種方式可以有效的對用戶進(jìn)行控制，用戶的MAC、IP、物理位置、VLAN成為用戶上網(wǎng)的鑰匙。靜態(tài)綁定技術(shù)不需要依靠其他任何的設(shè)備，如：AAA（CAMS）服務(wù)器等。但是如果網(wǎng)絡(luò)較大、接入交換機(jī)數(shù)量較多，這種綁定方式會給用戶帶來的一些不便，如：用戶的網(wǎng)卡更換、物理位置的更換、IP地址重新分配等等。因?yàn)檫@些變化會產(chǎn)生對應(yīng)接入交換機(jī)的進(jìn)行配置更改。 兩種技術(shù)的綜合 綜合上述的綁定技術(shù)，在吉林市聯(lián)通公司網(wǎng)絡(luò)改造的項(xiàng)目當(dāng)中我們建議采用兩種技術(shù)的結(jié)合的方式來實(shí)現(xiàn)對于用戶的安全、控制。 防止DOS等攻擊。采用AAA（CAMS）服務(wù)器的綁定方式可以實(shí)現(xiàn)對在線用戶IP地址更改強(qiáng)制下線，但是在像Dos攻擊等非法操作面前卻束手無策。如圖所示，是Dos攻擊是通過更改發(fā)送報(bào)文的源IP地址的方式進(jìn)行攻擊，非法用戶通過將發(fā)送報(bào)文的源IP地址改為被攻擊用戶的IP地址，由于AAA（CAMS）服務(wù)器并不檢測用戶發(fā)送的報(bào)文，而只是檢測接入用戶PC主機(jī)的IP地址或是MAC地址，也就是說非法用戶A雖然在做非法操作，由于其本身主機(jī)的IP地址以及MAC地址并沒有改變，所以AAA（CAMS）服務(wù)器認(rèn)為其為合法用戶，不會采取任何操作。那我們?nèi)绾蝸斫鉀Q這種問題呢？AAA（CAMS）服務(wù)器綁定＋交換機(jī)自動綁定、釋放技術(shù)可以完美的解決這種問題。如圖所示，首先用戶A認(rèn)證的時(shí)候，AAA（CAMS）服務(wù)器首先要確認(rèn)A、B用戶的MAC、賬號、密碼、VLAN、端口、IP等信息是否與服務(wù)器內(nèi)保存的信息相符，這一步是用來確認(rèn)用戶合法身份的。當(dāng)用戶認(rèn)證通過之后，由于接入層交換機(jī)啟用了自動綁定技術(shù)，這樣在A、B用戶對應(yīng)的端口將會產(chǎn)生各自的綁定元素，即IP＋端口＋MAC元素的綁定，此時(shí)一旦用戶在線更改任意元素將會直接下線。對于Dos攻擊來說，如果A用戶更改了自己的發(fā)出報(bào)文的源IP地址的話，由于用戶的所有報(bào)文都是要通過其接入的交換機(jī)的，當(dāng)接入交換機(jī)的源IP、MAC地址與交換機(jī)端口綁定的不相符時(shí)，交換機(jī)端口就會將非法報(bào)文丟棄，確保整個(gè)網(wǎng)絡(luò)的安全穩(wěn)定?？偟膩碚f，AAA（CAMS）是認(rèn)證時(shí)確認(rèn)用戶的合法性，接入交換機(jī)是認(rèn)證后監(jiān)視用戶操作的合法。綜上所述，自動綁定技術(shù)＋AAA（CAMS）服務(wù)器的綁定可以確保用戶的認(rèn)證安全、合法，同時(shí)其簡單的操作性可以確保網(wǎng)管人員工作量減輕，提高網(wǎng)絡(luò)的維護(hù)效率。6.3惡意用戶追查對每個(gè)用戶分配一個(gè)賬戶，使用CAMS管理用戶。由CAMS記錄用戶每次上網(wǎng)的用戶名，源IP地址，上網(wǎng)開始和結(jié)束時(shí)間。然后通過H3C管理系統(tǒng)Quidview的MAC地址和IP地址的反向查找功能，就可以根據(jù)源IP或源MAC在Quidview網(wǎng)管上查到該用戶所在的交換機(jī)以及在該交換機(jī)上所接的端口，通過這種方式可以立刻定位用戶，方便對于大型網(wǎng)絡(luò)的管理，能夠方便快捷的防止惡意用戶的攻擊。6.4防病毒攻擊6.4.1防止DOS攻擊。由于在吉林市聯(lián)通公司項(xiàng)目當(dāng)中我們建議采用自動綁定技術(shù)的802.1X認(rèn)證方式來實(shí)現(xiàn)網(wǎng)絡(luò)的管理方式，自動綁定技術(shù)當(dāng)用戶認(rèn)證通過之后可以實(shí)現(xiàn)相關(guān)元素的交換機(jī)側(cè)綁定，這樣對于DOS攻擊可以直接在綁定的交換機(jī)上進(jìn)行屏蔽，進(jìn)而實(shí)現(xiàn)網(wǎng)絡(luò)的安全防護(hù)。6.4.2防止基于流的攻擊特性H3C核心交換機(jī)S7500均采用最長路由匹配技術(shù)，與傳統(tǒng)的基于流轉(zhuǎn)發(fā)的方式相比，更具有強(qiáng)大的安全特性，對于如：紅色代碼等病毒可具有較高的抗攻擊能力，可確保網(wǎng)絡(luò)的安全、穩(wěn)定6.4.3方式病毒的廣播傳遞。H3CS5100－24P可實(shí)現(xiàn)廣播報(bào)文的計(jì)數(shù)累計(jì)功能，往往一臺主機(jī)受病毒時(shí)會發(fā)出大量的廣播報(bào)文，S5100－24P可實(shí)現(xiàn)對與進(jìn)入報(bào)文的計(jì)數(shù)累計(jì)，廣播病毒一般會在短時(shí)間內(nèi)產(chǎn)生大量的廣播包，S5100－24P可設(shè)置廣播包的閥值，當(dāng)達(dá)到一定的廣播保文的數(shù)量時(shí)端口可是直接關(guān)閉，確保網(wǎng)絡(luò)的安全、穩(wěn)定。6.6網(wǎng)絡(luò)管理安全設(shè)計(jì)H3C公司的Quidview網(wǎng)絡(luò)管理軟件使用靈活的組件技術(shù)，支持多種操作平臺，并能夠與多種通用網(wǎng)管平臺集成，實(shí)現(xiàn)從設(shè)備級到網(wǎng)絡(luò)級全方位的網(wǎng)絡(luò)管理。1、網(wǎng)絡(luò)集中監(jiān)視Quidview網(wǎng)絡(luò)管理軟件提供統(tǒng)一拓?fù)浒l(fā)現(xiàn)功能，實(shí)現(xiàn)全網(wǎng)監(jiān)控，可以實(shí)時(shí)監(jiān)控所有設(shè)備的運(yùn)行狀況，并根據(jù)網(wǎng)絡(luò)運(yùn)行環(huán)境變化提供合適的方式對網(wǎng)絡(luò)參數(shù)進(jìn)行配置修改，保證網(wǎng)絡(luò)以最優(yōu)性能正常運(yùn)行。? 全網(wǎng)設(shè)備的統(tǒng)一拓?fù)湟晥D? 拓?fù)渥詣影l(fā)現(xiàn)，拓?fù)浣Y(jié)構(gòu)動態(tài)刷新? 可視化操作方式：拓?fù)湟晥D節(jié)點(diǎn)直接點(diǎn)擊進(jìn)入設(shè)備操作面板? 在網(wǎng)絡(luò)、設(shè)備狀態(tài)改變時(shí)，改變節(jié)點(diǎn)顏色，提示用戶? 對網(wǎng)絡(luò)設(shè)備進(jìn)行定時(shí)（輪詢間隔時(shí)間可配置）的輪循監(jiān)視和狀態(tài)刷新并表現(xiàn)在網(wǎng)絡(luò)視圖上? 支持拓?fù)溥^濾，讓用戶關(guān)注所關(guān)心的網(wǎng)絡(luò)設(shè)備情況? 支持快速查找拓?fù)鋵ο?，并在?dǎo)航樹和拓?fù)湟晥D中定位該拓?fù)鋵ο?、故障管理故障管理主要功能是對全網(wǎng)設(shè)備的告警信息和運(yùn)行信息進(jìn)行實(shí)時(shí)監(jiān)控，查詢和統(tǒng)計(jì)設(shè)備的告警信息。? 告警實(shí)時(shí)監(jiān)視，提供告警聲光提示，支持外接告警箱? 支持告警轉(zhuǎn)到Email、手機(jī)短信? 支持告警過濾，讓用戶關(guān)注重要的告警，查詢結(jié)果可生成報(bào)表? 支持告警基級別重新定義，支持告警轉(zhuǎn)存，保證系統(tǒng)的運(yùn)行效率和穩(wěn)定性? 支持告警拓?fù)涠ㄎ?，將顯示的焦點(diǎn)定位到產(chǎn)生選定告警的拓?fù)鋵ο? 支持告警相關(guān)性分析，包括屏蔽重復(fù)告警、屏蔽閃斷告警、屏蔽root-cause告警等3、集群管理針對本次組網(wǎng)中大量二層交換機(jī)等低端設(shè)備的應(yīng)用環(huán)境，Quidview網(wǎng)絡(luò)管理軟件提供集群管理功能，通過一個(gè)指定公網(wǎng)IP的設(shè)備（稱作命令交換機(jī)）對網(wǎng)絡(luò)進(jìn)行管理。? 實(shí)現(xiàn)對一組設(shè)備統(tǒng)一、集中、批量配置管理；? 實(shí)現(xiàn)設(shè)備的集中維護(hù)管理；? 網(wǎng)絡(luò)拓?fù)湫畔⒆詣邮占⒕S護(hù)，動態(tài)更新；? 節(jié)省公網(wǎng)IP地址資源；? 實(shí)現(xiàn)方便的軟件升級、配置數(shù)據(jù)備份、配置數(shù)據(jù)恢復(fù)；4、流量性能監(jiān)控Quidview網(wǎng)絡(luò)管理軟件可以統(tǒng)計(jì)不同線路的利用情況，不同資源的利用情況，為優(yōu)化或擴(kuò)充網(wǎng)絡(luò)提供依據(jù)。Quidview提出了層次化性能監(jiān)控的概念，針對不同的側(cè)重點(diǎn)，提供不同的性能監(jiān)控工具。Quidview網(wǎng)絡(luò)管理軟件提供TrafficView工具，能夠檢測網(wǎng)絡(luò)設(shè)備端口流量變化，它使得網(wǎng)絡(luò)管理者能夠直觀地觀測設(shè)備流量的變化，從而對網(wǎng)絡(luò)設(shè)備進(jìn)行有效的管理。針對用戶關(guān)注的業(yè)務(wù)性能，Quidview網(wǎng)絡(luò)管理軟件提供了基于報(bào)文流七元組信息的流量工具——NSC&NDA，它是網(wǎng)流的收集和分析工具。其中，網(wǎng)流收集器（NSC，NetStreamCollector）提供快速的網(wǎng)流設(shè)備數(shù)據(jù)收集工具，包含的功能：? 收集多個(gè)網(wǎng)流設(shè)備輸出的網(wǎng)流統(tǒng)計(jì)數(shù)據(jù)；? 通過配置過濾器過濾掉不必要的數(shù)據(jù)；? 通過聚合減少統(tǒng)計(jì)數(shù)據(jù)的磁盤空間占用量；? 分層次存儲數(shù)據(jù)（便于客戶端應(yīng)用程序獲取數(shù)據(jù)）；網(wǎng)流數(shù)據(jù)分析器（NDA，NetStreamDataAnalyzer）可以分析由NSC生成的所有數(shù)據(jù)文件，對數(shù)據(jù)文件中的數(shù)據(jù)進(jìn)行進(jìn)一步的聚合、排序，并將分析的結(jié)果以各種圖形方式（如柱狀圖、餅圖和趨勢圖等）顯示出來，提供如下功能：? 詳細(xì)自治域矩陣數(shù)據(jù)查詢功能? 網(wǎng)流分布的圖形化分析? 詳細(xì)自治域矩陣流量分析功能5、故障定位與地址反查針對最為常見的端口故障，Quidview網(wǎng)絡(luò)管理軟件提供了便捷的定位檢測工具——路徑跟蹤和端口環(huán)回測試；當(dāng)用戶報(bào)告網(wǎng)絡(luò)端口使用異常時(shí)，網(wǎng)絡(luò)管理員可以通過網(wǎng)管對指定用戶端口做環(huán)回測試，直接定位端口故障。為了網(wǎng)管工作自動化，網(wǎng)絡(luò)設(shè)備內(nèi)嵌智能Agent，對需要經(jīng)過復(fù)雜計(jì)算的性能數(shù)據(jù)主動進(jìn)行監(jiān)視，在超出閾值時(shí)自動上報(bào)告警，并轉(zhuǎn)發(fā)到Email、BP、手機(jī)短信及時(shí)通知網(wǎng)絡(luò)管理員，讓網(wǎng)絡(luò)管理員隨時(shí)隨地監(jiān)控網(wǎng)絡(luò)運(yùn)行狀況。端口反查功能支持兩種方式的查找定位功能：MAC地址端口反查和IP地址端口反查，使用時(shí)分別輸入終端用戶的MAC地址或IP地址，能夠定位該終端用戶連接的交換機(jī)及交換機(jī)的端口，幫助網(wǎng)絡(luò)管理員及早定位非法報(bào)文接入網(wǎng)絡(luò)的原始端口，及時(shí)關(guān)閉端口，防止一些違規(guī)用戶進(jìn)行非法操作比如濫發(fā)報(bào)文、訪問非法站點(diǎn)等，危害網(wǎng)絡(luò)安全。6、Quidview網(wǎng)絡(luò)管理軟件提供完善的用戶管理解決方案：? 針對本次教育網(wǎng)中用戶的管理需求，提供了對接入用戶的訪問記錄功能，為用戶提供詳細(xì)的網(wǎng)絡(luò)訪問統(tǒng)計(jì)信息和一個(gè)完整的用戶訪問跟蹤記錄，便于追蹤非法用戶。? 7、Web日志追蹤查詢提供Web特性，具有完善的安全機(jī)制，用戶可隨時(shí)隨地管理網(wǎng)絡(luò)，降低管理網(wǎng)絡(luò)的難度與強(qiáng)度，使網(wǎng)絡(luò)運(yùn)維過程流程化，能夠靈活地組織設(shè)備集合，快捷地獲得設(shè)備各類信息。? 提供設(shè)備日志分析工具，使用戶及時(shí)了解網(wǎng)絡(luò)中設(shè)備運(yùn)行狀況。? 通過定期輪詢機(jī)制，幫助用戶及時(shí)了解網(wǎng)絡(luò)關(guān)鍵設(shè)備的在線情況。? 提供批量配置功能，將用戶從煩瑣，重復(fù)的配置工作中解脫。? 提供設(shè)備配置文件管理功能，幫助用戶建立配置文件版本管理機(jī)制，減少災(zāi)難情況下網(wǎng)絡(luò)的恢復(fù)時(shí)間。? 具有完善的報(bào)表功能，讓用戶對網(wǎng)絡(luò)運(yùn)行情況一目了然。提供統(tǒng)一的任務(wù)機(jī)制，使用戶對網(wǎng)絡(luò)運(yùn)維管理能夠統(tǒng)一流程6.7組網(wǎng)安全性設(shè)計(jì)網(wǎng)絡(luò)當(dāng)中，線路的備份非常重要，吉林市聯(lián)通公司的網(wǎng)絡(luò)的設(shè)計(jì)當(dāng)中，我們在核心層采用雙千兆的方式進(jìn)行組網(wǎng)，這樣可以在采用擴(kuò)大帶寬的同時(shí)實(shí)現(xiàn)線路上的備份，當(dāng)其中一條線路出現(xiàn)故障，可以實(shí)現(xiàn)線路的接替。這樣大大提高了網(wǎng)絡(luò)組網(wǎng)的可靠性，進(jìn)而提高全網(wǎng)的可靠性。第七章．組網(wǎng)核心設(shè)備介紹7.1H3CS7500系列高端多業(yè)務(wù)交換機(jī)