南京藝術(shù)學(xué)院校園網(wǎng)解決方案探析

年5月29日南京藝術(shù)學(xué)院校園網(wǎng)解決方案探析文檔僅供參考更多企業(yè)學(xué)院:<中小企業(yè)管理全能版>183套講座+89700份資料<總經(jīng)理、高層管理>49套講座+16388份資料<中層管理學(xué)院>46套講座+6020份資料

<國(guó)學(xué)智慧、易經(jīng)>46套講座<人力資源學(xué)院>56套講座+27123份資料<各階段員工培訓(xùn)學(xué)院>77套講座+324份資料<員工管理企業(yè)學(xué)院>67套講座+8720份資料<工廠生產(chǎn)管理學(xué)院>52套講座+13920份資料<財(cái)務(wù)管理學(xué)院>53套講座+17945份資料

<銷售經(jīng)理學(xué)院>56套講座+14350份資料<銷售人員培訓(xùn)學(xué)院>72套講座+4879份資料更多企業(yè)學(xué)院:<中小企業(yè)管理全能版>183套講座+89700份資料<總經(jīng)理、高層管理>49套講座+16388份資料<中層管理學(xué)院>46套講座+6020份資料

<國(guó)學(xué)智慧、易經(jīng)>46套講座<人力資源學(xué)院>56套講座+27123份資料<各階段員工培訓(xùn)學(xué)院>77套講座+324份資料<員工管理企業(yè)學(xué)院>67套講座+8720份資料<工廠生產(chǎn)管理學(xué)院>52套講座+13920份資料<財(cái)務(wù)管理學(xué)院>53套講座+17945份資料

<銷售經(jīng)理學(xué)院>56套講座+14350份資料<銷售人員培訓(xùn)學(xué)院>72套講座+4879份資料南京藝術(shù)學(xué)院校園網(wǎng)解決方案12月30日

目錄

項(xiàng)目概況南京藝術(shù)學(xué)院當(dāng)前的網(wǎng)絡(luò)設(shè)施和服務(wù)器基本于購(gòu)買。當(dāng)時(shí)添置了1臺(tái)MatrixN7核心交換機(jī),1臺(tái)Netscreen204防火墻,1臺(tái)Dell1750服務(wù)器,10臺(tái)Dell2650服務(wù)器,1臺(tái)EMCCX4001TSAN存儲(chǔ),底,新購(gòu)置了一臺(tái)NetscreenISG防火墻。隨著網(wǎng)絡(luò)應(yīng)用的不斷深入,部分網(wǎng)絡(luò)設(shè)備老化不能滿足校園網(wǎng)絡(luò)應(yīng)用的需求,本次校園網(wǎng)絡(luò)的升級(jí)改造本著為了校園網(wǎng)絡(luò)發(fā)展的需要,準(zhǔn)備升級(jí)原有NetscreenISG防火墻,購(gòu)買核心交換機(jī)、出口交換機(jī)、流控產(chǎn)品、防毒墻、網(wǎng)絡(luò)版服務(wù)器殺毒軟件、刀片服務(wù)器、存儲(chǔ)、計(jì)費(fèi)網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備以及辦公自動(dòng)化及校園網(wǎng)站集群系統(tǒng),加快數(shù)字化校園的建設(shè),滿足廣大師生日益增長(zhǎng)的信息化需求。設(shè)計(jì)原則早期的高校校園網(wǎng)主要是共用內(nèi)部教育系統(tǒng)主機(jī)資源,共享簡(jiǎn)單數(shù)據(jù)庫(kù),多以二層交換為主,很少有三層應(yīng)用,存在安全、可管理性較差、無(wú)業(yè)務(wù)增值能力等方面的問(wèn)題?，F(xiàn)在南京藝術(shù)學(xué)院校園網(wǎng)建設(shè)要實(shí)現(xiàn)內(nèi)部全方位的數(shù)據(jù)共享,應(yīng)用三層交換,提供全面的QoS保障服務(wù),使網(wǎng)絡(luò)安全可靠,從而實(shí)現(xiàn)教育管理、多媒體教學(xué)自動(dòng)化,將來(lái)還要經(jīng)過(guò)Internet實(shí)現(xiàn)遠(yuǎn)程教學(xué),提供可增值可管理的業(yè)務(wù),因此必須具備高性能、高安全性、高可靠性,可管理、可增值特性以及開(kāi)放性、兼容性、可擴(kuò)展性。南京藝術(shù)學(xué)院校園網(wǎng)絡(luò)建設(shè)遵循以下基本原則:高帶寬南京藝術(shù)學(xué)院校園網(wǎng)絡(luò)是一個(gè)龐大而且復(fù)雜的網(wǎng)絡(luò),為了保障全網(wǎng)的高速轉(zhuǎn)發(fā),校園網(wǎng)全網(wǎng)的組網(wǎng)設(shè)計(jì)的無(wú)瓶頸性,要求方案設(shè)計(jì)的階段就要充分考慮到,同時(shí)要求核心交換機(jī)具有高性能、高帶寬的特,整網(wǎng)的核心交換要求能夠提供無(wú)瓶頸的數(shù)據(jù)交換?？稍鲋敌阅暇┧囆g(shù)學(xué)院校園網(wǎng)絡(luò)的建設(shè)、使用和維護(hù)需要投入大量的人力、物力,因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。因此在建設(shè)時(shí)要充分考慮業(yè)務(wù)的擴(kuò)展能力,能針對(duì)不同的用戶需求提供豐富的寬帶增值業(yè)務(wù),使網(wǎng)絡(luò)具有自我造血機(jī)制,實(shí)現(xiàn)以網(wǎng)養(yǎng)網(wǎng)?？蓴U(kuò)充性考慮到南京藝術(shù)學(xué)院校園用戶數(shù)量和業(yè)務(wù)種類發(fā)展的不確定性,要求對(duì)于核心交換機(jī)與匯聚交換機(jī)具有強(qiáng)大的擴(kuò)展功能,南京藝術(shù)學(xué)院校園網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴(kuò)充的彈性網(wǎng)絡(luò)平臺(tái),能夠隨著需求變化,充分留有擴(kuò)充余地。開(kāi)放性技術(shù)選擇必須符合相關(guān)國(guó)際標(biāo)準(zhǔn)及國(guó)內(nèi)標(biāo)準(zhǔn),避免個(gè)別廠家的私有標(biāo)準(zhǔn)或內(nèi)部協(xié)議,確保網(wǎng)絡(luò)的開(kāi)放性和互連互通,滿足信息準(zhǔn)確、安全、可靠、優(yōu)良交換傳送的需要;開(kāi)放的接口,支持良好的維護(hù)、測(cè)量和管理手段,提供網(wǎng)絡(luò)統(tǒng)一實(shí)時(shí)監(jiān)控的遙測(cè)、遙控的信息處理功能,實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。安全可靠性設(shè)計(jì)應(yīng)充分考慮整個(gè)網(wǎng)絡(luò)的穩(wěn)定性,支持網(wǎng)絡(luò)節(jié)點(diǎn)的備份和線路保護(hù),提供網(wǎng)絡(luò)安全防范措施。

整體設(shè)計(jì)IP校園網(wǎng)絡(luò)平臺(tái)南京藝術(shù)學(xué)院校園網(wǎng)絡(luò)解決方案總體設(shè)計(jì)以高性能、高可靠性、高安全性、良好的可擴(kuò)展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)及可靠組播為原則,以及考慮到技術(shù)的先進(jìn)性、成熟性,并采用模塊化的設(shè)計(jì)方法。組網(wǎng)圖如下所示:層次化設(shè)計(jì):在校園園區(qū)網(wǎng)絡(luò)整體設(shè)計(jì)中,采用層次化、模塊化的網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu),并嚴(yán)格定義各層功能模型,不同層次關(guān)注不同的特性配置。典型的校園園區(qū)網(wǎng)絡(luò)結(jié)構(gòu)能夠分成三層:接入層、匯聚層、核心層。1)接入層:提供網(wǎng)絡(luò)的第一級(jí)接入功能,完成簡(jiǎn)單的二交換,安全、Qos和POE功能都位于這一層。對(duì)于校園園區(qū)網(wǎng)的接入層設(shè)備,建議采用百兆二層接入交換機(jī),應(yīng)該具有線速二層交換、QoS策略等功能。2)匯聚層:匯聚來(lái)自接入層的流量和執(zhí)行策略;對(duì)于校園園區(qū)網(wǎng)的匯聚層設(shè)備,應(yīng)該能夠承載校園園區(qū)的多種融合業(yè)務(wù),能夠融合網(wǎng)絡(luò)安全等多種業(yè)務(wù),能夠承載校園園區(qū)融合業(yè)務(wù)的需求。3)核心層:網(wǎng)絡(luò)的骨干,能夠提供高速數(shù)據(jù)交換和路由快速收斂,具有較高的可靠性、穩(wěn)定性和易擴(kuò)展性等。對(duì)于校園園區(qū)網(wǎng)核心層,必須提供高性能、高可靠的網(wǎng)絡(luò)結(jié)構(gòu)。對(duì)于校園園區(qū)網(wǎng)核心層設(shè)備,應(yīng)該在提供大容量、高性能L2/L3交換服務(wù)基礎(chǔ)上,能夠進(jìn)一步融合了硬件IPv6、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)業(yè)務(wù)分析等智能特性,可為校園園區(qū)構(gòu)建融合業(yè)務(wù)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái),進(jìn)而幫助用戶實(shí)現(xiàn)IT資源整合的需求。核心層與匯聚層交換機(jī)經(jīng)過(guò)雙鏈路上聯(lián)提供冗余鏈路,經(jīng)過(guò)MSTP+VRRP協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)冗余與負(fù)載分擔(dān)技術(shù),從而提供穩(wěn)定可靠的網(wǎng)絡(luò)傳輸核心,為整個(gè)網(wǎng)絡(luò)提供不間斷的服務(wù)。全分布式轉(zhuǎn)發(fā)體系結(jié)構(gòu),提供高密度接口板,并全部支持線速轉(zhuǎn)發(fā)。設(shè)備基于逐包轉(zhuǎn)發(fā)的機(jī)制,能夠有效抵御宏病毒及沖擊波病毒的攻擊,網(wǎng)絡(luò)安全性及可靠性高。3)出口路由器:網(wǎng)絡(luò)的出口,用來(lái)連接教育網(wǎng)和電信出口。整網(wǎng)采用千兆骨干、百兆到桌面的設(shè)計(jì)理念,拓?fù)浣Y(jié)構(gòu)采用雙星型的拓?fù)浣Y(jié)構(gòu)。采用高吞吐量,線速轉(zhuǎn)發(fā)的核心路由器交換機(jī),所有關(guān)鍵器件的冗余,包括主控板、交換網(wǎng)板、電源等,支持板件的熱插拔技術(shù),保證網(wǎng)絡(luò)的高效運(yùn)轉(zhuǎn)。在骨干網(wǎng)絡(luò)核心層經(jīng)過(guò)骨干千兆光纖線路分別下聯(lián)各單體樓匯聚。從而形成如上圖所示的骨干網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),整網(wǎng)結(jié)合OSPF動(dòng)態(tài)路由選擇協(xié)議,為校園網(wǎng)絡(luò)提供穩(wěn)定、高速的數(shù)據(jù)轉(zhuǎn)發(fā)和處理。校園智能管理中心校園網(wǎng)管理是隨著校園網(wǎng)絡(luò)的發(fā)展歷程而變遷的。校園網(wǎng)的發(fā)展經(jīng)歷了最初的計(jì)算機(jī)房、萬(wàn)兆校園網(wǎng)、數(shù)字化校園網(wǎng)等幾個(gè)階段,校園網(wǎng)絡(luò)的管理也從最初的設(shè)備管理時(shí)代、發(fā)展到網(wǎng)絡(luò)管理時(shí)代,再到用戶和業(yè)務(wù)管理時(shí)代。H3C數(shù)字化校園的管理針對(duì)網(wǎng)絡(luò)平臺(tái)資源、用戶資源、數(shù)據(jù)資源、媒體資源進(jìn)行統(tǒng)一配置與控制。智能管理中心主要面向四個(gè)類別的資源進(jìn)行統(tǒng)籌管理。H3C校園智能管理中心方案特點(diǎn)IToIP數(shù)字化校園解決方案的整體優(yōu)勢(shì)實(shí)現(xiàn)校園統(tǒng)一系統(tǒng)標(biāo)準(zhǔn)——利用統(tǒng)一信息標(biāo)準(zhǔn)、統(tǒng)一應(yīng)用標(biāo)準(zhǔn)、統(tǒng)一集成標(biāo)準(zhǔn),解決重建設(shè)輕標(biāo)準(zhǔn)、缺乏IT系統(tǒng)的標(biāo)準(zhǔn)化和集成整和的問(wèn)題,解決異構(gòu)IT資源難以整合的問(wèn)題;實(shí)現(xiàn)校園數(shù)字業(yè)務(wù)定制——建設(shè)統(tǒng)一數(shù)據(jù)中心、建立統(tǒng)一業(yè)務(wù)中心、構(gòu)建隨需而動(dòng)的智能系統(tǒng),解決數(shù)字化校園重網(wǎng)絡(luò)輕應(yīng)用-路多車少的問(wèn)題實(shí)現(xiàn)統(tǒng)一校園IT資源管理——建設(shè)智能管理中心、整合IT資源統(tǒng)一管理,建立靈活完善的數(shù)據(jù)管理能力、建立完整網(wǎng)絡(luò)資源管理、建立統(tǒng)一媒體管理。實(shí)現(xiàn)統(tǒng)一信息安全管理——建立統(tǒng)一安全管理中心,完成網(wǎng)絡(luò)層、業(yè)務(wù)層、數(shù)據(jù)層、用戶層安全管理,解決重建設(shè)輕維護(hù)和缺乏整體安全部署方法的問(wèn)題IP校園網(wǎng)絡(luò)平臺(tái)一般,校園園區(qū)網(wǎng)絡(luò)規(guī)模比較大,接入節(jié)點(diǎn)數(shù)目比較多,各院系的數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸也必須保證端到端的安全,各院系、各部門間的業(yè)務(wù)隔離需求就顯得比較迫切,隨著各校園業(yè)務(wù)的快速增長(zhǎng),校園網(wǎng)絡(luò)的擴(kuò)展性也應(yīng)該比較強(qiáng)。針對(duì)校園園區(qū)網(wǎng)絡(luò)建設(shè)的這些特點(diǎn),H3C公司提出了校園園區(qū)的IP智能安全滲透網(wǎng)絡(luò)方案,該方案包括層次化設(shè)計(jì)、高可靠性設(shè)計(jì)。校園IP網(wǎng)絡(luò)平臺(tái)還包括網(wǎng)絡(luò)安全性設(shè)計(jì),我們將在后續(xù)章節(jié)重點(diǎn)闡述。IP地址及路由規(guī)劃IPv4地址規(guī)劃IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán),大型計(jì)算機(jī)網(wǎng)絡(luò)必須對(duì)ＩＰ地址進(jìn)行統(tǒng)一規(guī)劃并得到實(shí)施。IP地址規(guī)劃的好壞,影響到網(wǎng)絡(luò)路由協(xié)議算法的效率,影響到網(wǎng)絡(luò)的性能,影響到網(wǎng)絡(luò)的擴(kuò)展,影響到網(wǎng)絡(luò)的管理,也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。IP地址規(guī)劃必須考慮到今后和其它院系互聯(lián)后的地址沖突問(wèn)題,建議參考全校的統(tǒng)一地址規(guī)劃。IP地址分配原則IP地址空間分配,要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng),既要有效地利用地址空間,又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性,同時(shí)能滿足路由協(xié)議的要求,以便于網(wǎng)絡(luò)中的路由聚類,減少路由器中路由表的長(zhǎng)度,減少對(duì)路由器CPU、內(nèi)存的消耗,提高路由算法的效率,加快路由變化的收斂速度,同時(shí)還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時(shí)要遵循以下原則:唯一性:一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址;簡(jiǎn)單性:地址分配應(yīng)簡(jiǎn)單易于管理,降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性,簡(jiǎn)化路由表項(xiàng)連續(xù)性:連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合,大大縮減路由表,提高路由算法的效率可擴(kuò)展性:地址分配在每一層次上都要留有余量,在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址疊合所需的連續(xù)性靈活性:地址分配應(yīng)具有靈活性,以滿足多種路由策略的優(yōu)化,充分利用地址空間。主流的IP地址規(guī)劃方案分為純公網(wǎng)地址、純私網(wǎng)地址和混合網(wǎng)絡(luò)地址三種。當(dāng)校園網(wǎng)以私網(wǎng)地址分配或采用混合網(wǎng)絡(luò)地址接入時(shí),要求校園網(wǎng)提供地址變換功能,過(guò)濾掉私網(wǎng)地址。IP地址規(guī)劃方案地址編碼規(guī)范建議校園網(wǎng)的IP地址進(jìn)行嚴(yán)格的編碼,每位代表不同的含義。經(jīng)過(guò)地址標(biāo)識(shí)能夠清楚地區(qū)分出IP地址地來(lái)源,便于路由匯聚和訪問(wèn)控制。經(jīng)過(guò)我們的規(guī)劃,我們能從IP地址分析出IP地址的來(lái)源、用途等,這將為網(wǎng)絡(luò)的維護(hù)帶來(lái)方便。具體的IP地址定義將結(jié)合實(shí)際情況確定。中心交換機(jī)支持靜態(tài)或動(dòng)態(tài)的IP地址分配,并支持動(dòng)態(tài)IP地址分配方式下DHCP-Relay功能,DHCPSERVER可安放在園區(qū)內(nèi)部。對(duì)于固定IP地址用戶,需要針對(duì)標(biāo)識(shí)符(MAC地址)設(shè)定保留IP地址。IPv4路由規(guī)劃路由協(xié)議的規(guī)劃:整個(gè)骨干網(wǎng)絡(luò)采用OSPF路由協(xié)議,OSPF協(xié)議在整個(gè)骨干網(wǎng)中不會(huì)引起路由回環(huán),利于校園網(wǎng)骨干網(wǎng)的健壯性。在匯聚與核心交換機(jī)之間采用OSPF路由的方式,OSPF路由的方式能夠建設(shè)網(wǎng)絡(luò)中心人員對(duì)于校園網(wǎng)的維護(hù)量。OSPF在校園網(wǎng)中只在核心骨干中進(jìn)行運(yùn)行這樣大大減少了骨干節(jié)點(diǎn)之間OSPF協(xié)議的收斂周期,在實(shí)際的應(yīng)用的過(guò)程當(dāng)中能夠提高校園網(wǎng)的高穩(wěn)定性。內(nèi)置DHCPServer實(shí)現(xiàn)全網(wǎng)的DHCPServer的分散,避免單點(diǎn)故障。組播與QoS規(guī)劃組播業(yè)務(wù)經(jīng)過(guò)標(biāo)準(zhǔn)的組播協(xié)議完成用戶的組播管理,能夠支持豐富的組播協(xié)議,包括ICMP、PIM－SM、PIM－DM、MSDP等組播協(xié)議,可支持豐富的業(yè)務(wù),包括視頻點(diǎn)播、流媒體點(diǎn)播,可支持各種流媒體終端以及組播源的種類。并能夠并經(jīng)過(guò)HGMP協(xié)議將各樓道交換機(jī)也納入到組播實(shí)現(xiàn)中。經(jīng)過(guò)這種機(jī)制,使得整個(gè)網(wǎng)絡(luò)的流量做到最優(yōu),有效的保證了視頻點(diǎn)播、網(wǎng)絡(luò)電視、會(huì)議電視、視頻游戲等視頻業(yè)務(wù)的開(kāi)展,經(jīng)過(guò)組播實(shí)現(xiàn)的視頻業(yè)務(wù)有:會(huì)議電視:利用網(wǎng)絡(luò)和數(shù)字視像技術(shù)實(shí)現(xiàn)異地會(huì)議的交互傳輸和控制。付費(fèi)視頻:按節(jié)目收費(fèi)的視訊節(jié)目。視頻點(diǎn)播:交互式電視的一部分,它使用戶能夠隨意選擇所需的視訊節(jié)目,并可隨意地控制節(jié)目播出(如快進(jìn)、快倒、暫停等)。網(wǎng)絡(luò)教學(xué):使用視頻和通訊設(shè)備實(shí)現(xiàn)一點(diǎn)對(duì)多點(diǎn)或點(diǎn)對(duì)點(diǎn)的交互式異地遠(yuǎn)端教學(xué),實(shí)現(xiàn)學(xué)生和教師的實(shí)時(shí)交流,學(xué)生還可隨時(shí)進(jìn)行學(xué)習(xí)點(diǎn)播和查詢。對(duì)于IPv6的業(yè)務(wù)開(kāi)展,對(duì)于IPv6流媒體的訪問(wèn)同樣能夠采用IPv6組播協(xié)議進(jìn)行IPv6業(yè)務(wù)的開(kāi)展,經(jīng)過(guò)核心、匯聚IPv6協(xié)議的支持,能夠在全網(wǎng)開(kāi)展IPv6業(yè)務(wù),確保IPv6組播業(yè)務(wù)能夠很好的開(kāi)展,便于IPv6業(yè)務(wù)的豐富、提高。QoS優(yōu)化校園網(wǎng)絡(luò)的發(fā)展日新月異,IP融合是大勢(shì)所趨,校園網(wǎng)上語(yǔ)音、視訊等新應(yīng)用的不斷出現(xiàn),對(duì)校園網(wǎng)絡(luò)的服務(wù)質(zhì)量也提出了新的要求,例如VoIP等實(shí)時(shí)業(yè)務(wù)就對(duì)報(bào)文的傳輸延遲有較高要求,如果報(bào)文傳送延時(shí)太長(zhǎng),將是用戶所不能接受的(相對(duì)而言,E-Mail和FTP業(yè)務(wù)對(duì)時(shí)間延遲并不敏感)。為了支持具有不同服務(wù)需求的語(yǔ)音、視頻以及數(shù)據(jù)等業(yè)務(wù),要求網(wǎng)絡(luò)能夠區(qū)分出不同的通信,進(jìn)而為之提供相應(yīng)的服務(wù),QoS(QualityofService,服務(wù)質(zhì)量)技術(shù)的出現(xiàn)便致力于解決這個(gè)問(wèn)題?，F(xiàn)實(shí)情況是,大家都認(rèn)為QoS非常重要,卻極少在校園網(wǎng)中實(shí)施QoS,QoS已經(jīng)成為校園網(wǎng)中IP融合的技術(shù)瓶頸,一方面是以往校園網(wǎng)應(yīng)用遠(yuǎn)遠(yuǎn)沒(méi)有像今天這樣豐富,QoS部署的急迫性并沒(méi)有被大家所重視,另一方面是在傳統(tǒng)組網(wǎng)模式下,特別是在校園網(wǎng)這種復(fù)雜的網(wǎng)絡(luò)環(huán)境下,QoS整網(wǎng)部署并不那么容易。本文依據(jù)DiffServ模型,分析了在各類已建成的校園網(wǎng)中部署QoS的典型方案。QoS部署策略從已建成的各種類型的校園網(wǎng)的組網(wǎng)來(lái)看,最為典型的是核心層,匯聚層,接入層的組網(wǎng)模式,往上行的流量會(huì)比較大,帶寬較高,接入層和匯聚層設(shè)備眾多。在校園網(wǎng)中,結(jié)合DifferServ理論,我們針對(duì)業(yè)務(wù)的QOS功能有對(duì)應(yīng)的設(shè)計(jì)方法,報(bào)文的分類和標(biāo)識(shí):這是所有QOS的基礎(chǔ),報(bào)文分類的清晰度,直接影響后續(xù)QOS實(shí)現(xiàn)的功能需求,這是先決條件,當(dāng)然分類可根據(jù)基于IP的ACL五元組或是IP報(bào)文的TOS優(yōu)先級(jí),如IPPrecendence或是DSCP值,基于MPLS標(biāo)簽交換的還可使用MPLSEXP值來(lái)定義,或是經(jīng)過(guò)以太網(wǎng)技術(shù)中的802.1p優(yōu)先級(jí)。CAR(CommitedAccessRate),它根據(jù)報(bào)文的ToS或CoS值(對(duì)于IP報(bào)文是指IP優(yōu)先級(jí)或者DSCP,對(duì)于MPLS報(bào)文是指EXP域等等)、IP報(bào)文的五元組等信息進(jìn)行報(bào)文分類,完成報(bào)文的標(biāo)記和流量監(jiān)管。常見(jiàn)于對(duì)業(yè)務(wù)流進(jìn)行限速。流量整形(TrafficShaping)是一種主動(dòng)調(diào)整流量輸出速率的措施。流量整形與流量監(jiān)管的主要區(qū)別在于,流量整形對(duì)流量監(jiān)管中需要丟棄的報(bào)文進(jìn)行緩存——一般是將它們放入緩沖區(qū)或隊(duì)列內(nèi),整形可能會(huì)增加延遲,而監(jiān)管幾乎不引入額外的延遲。隊(duì)列技術(shù):PQ、CQ、WFQ、CBWFQ等隊(duì)列技術(shù)對(duì)擁塞的報(bào)文進(jìn)行緩存和調(diào)度,實(shí)現(xiàn)擁塞管理。主要應(yīng)用在轉(zhuǎn)發(fā)設(shè)備的出接口上,重點(diǎn)用于保證相應(yīng)的業(yè)務(wù)流的帶寬或是減少時(shí)延。擁塞避免(CongestionAvoidance),是指經(jīng)過(guò)監(jiān)視網(wǎng)絡(luò)資源(如隊(duì)列或內(nèi)存緩沖區(qū))的使用情況,在擁塞有加劇的趨勢(shì)時(shí),主動(dòng)丟棄報(bào)文,經(jīng)過(guò)調(diào)整網(wǎng)絡(luò)的流量來(lái)解除網(wǎng)絡(luò)過(guò)載的一種流控機(jī)制。與端到端的流控相比,這里的流控有更廣泛的意義,它影響到路由器中更多的業(yè)務(wù)流的負(fù)載。當(dāng)然,路由器在丟棄報(bào)文時(shí),并不排斥與源端的流控動(dòng)作比如TCP流控的配合,更好地調(diào)整網(wǎng)絡(luò)的流量到一個(gè)合理的負(fù)載狀態(tài)。好的丟包策略和源端流控機(jī)制的組合,總是追求網(wǎng)絡(luò)的吞吐量和利用效率最大化,而且使報(bào)文丟棄和延遲最小化。核心層:核心層在本地的交換接口為GE,這種情況下要求設(shè)備高速轉(zhuǎn)發(fā),而在DifferServ模型體系中,對(duì)高優(yōu)先級(jí)的IP報(bào)文,以太網(wǎng)交換機(jī)會(huì)實(shí)現(xiàn)優(yōu)先轉(zhuǎn)發(fā),高速接口上,對(duì)限速或是帶寬保證的意義已經(jīng)不大,QOS功能僅作為在核心基于控制的需要,可完成流量監(jiān)管,流量整形,隊(duì)列調(diào)度等QOS。經(jīng)過(guò)以上的設(shè)置和規(guī)劃,充分利用交換機(jī)硬件轉(zhuǎn)發(fā)的能力,對(duì)流分類時(shí)采用IPTOS值的定義,可有效地實(shí)現(xiàn)網(wǎng)絡(luò)中在需要部署QOS的設(shè)備或是線路上進(jìn)行控制,不需要時(shí)不用消耗網(wǎng)絡(luò)設(shè)備的資源,不用信令交互,根據(jù)數(shù)據(jù)業(yè)務(wù)的流向,實(shí)現(xiàn)端到端的QOS。同時(shí)為減輕相應(yīng)的業(yè)務(wù)流量,在校園網(wǎng)的應(yīng)用中,多采用組播技術(shù)也能有效地節(jié)省線路帶寬資源。

校園安全滲透網(wǎng)絡(luò)設(shè)計(jì)在規(guī)劃南京藝術(shù)學(xué)院校園網(wǎng)絡(luò)安全系統(tǒng)時(shí),我們將遵循以下原則,以這些原則為基礎(chǔ),提供完善的體系化的整體網(wǎng)絡(luò)安全解決方案:體系化設(shè)計(jì)原則經(jīng)過(guò)分析信息網(wǎng)絡(luò)的網(wǎng)絡(luò)層次關(guān)系、安全需求要素以及動(dòng)態(tài)的實(shí)施過(guò)程,提出科學(xué)的安全體系和安全模型,并根據(jù)安全體系和安全模型分析網(wǎng)絡(luò)中可能存在的各種安全風(fēng)險(xiǎn),針對(duì)這些風(fēng)險(xiǎn)以動(dòng)態(tài)實(shí)施過(guò)程為基礎(chǔ),提出整體網(wǎng)絡(luò)安全解決方案,從而最大限度地解決可能存在的安全問(wèn)題。全局性、均衡性原則安全解決方案的設(shè)計(jì)從全局出發(fā),綜合考慮信息資產(chǎn)的價(jià)值、所面臨的安全風(fēng)險(xiǎn),平衡兩者之間的關(guān)系,根據(jù)信息資產(chǎn)價(jià)值的大小和面臨風(fēng)險(xiǎn)的大小,采取不同強(qiáng)度的安全措施,提供具有最優(yōu)的性能價(jià)格比的安全解決方案?？蓜?dòng)態(tài)演進(jìn)的原則方案應(yīng)該針對(duì)南京藝術(shù)學(xué)院校園制定統(tǒng)一技術(shù)和管理方案,采取相同的技術(shù)路線,實(shí)現(xiàn)統(tǒng)一安全策略的制定,并能實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)從基本防御的網(wǎng)絡(luò),向深度防御的網(wǎng)絡(luò)以及智能防御的網(wǎng)絡(luò)演進(jìn),形成一個(gè)閉環(huán)的動(dòng)態(tài)演進(jìn)網(wǎng)絡(luò)安全系統(tǒng)。核心交換機(jī)強(qiáng)大內(nèi)置安全特性逐包轉(zhuǎn)發(fā)機(jī)制防止病毒沖擊核心交換機(jī)是采用了逐包轉(zhuǎn)發(fā)的機(jī)制,它和傳統(tǒng)的流轉(zhuǎn)發(fā)機(jī)制在安全性方面有著根本的差異。流轉(zhuǎn)發(fā)主要存在下面兩個(gè)問(wèn)題:(1)、在網(wǎng)絡(luò)拓?fù)漕l繁變化時(shí),設(shè)備的適應(yīng)性差,轉(zhuǎn)發(fā)性能下降嚴(yán)重;(2)存在一定安全隱患問(wèn)題,特別在網(wǎng)絡(luò)遭受到類似”紅色代碼”這類病毒攻擊時(shí)問(wèn)題尤為嚴(yán)重。流轉(zhuǎn)發(fā)為一次路由多次交換,它的特點(diǎn)是一旦查找一次路由后,就把查找結(jié)果存放在CACHE里,以后同樣目的地址的包就不用重新查找,直接采用類似二層交換的技術(shù),直接轉(zhuǎn)發(fā)到目的端口去。如果路由表項(xiàng)幾乎不變化,則可經(jīng)過(guò)上面所述的硬件精確匹配的方式能夠很快的速度進(jìn)行查表轉(zhuǎn)發(fā)?？墒侨绻麘?yīng)用的情況為路由表項(xiàng)經(jīng)常出現(xiàn)變更的情況,就會(huì)導(dǎo)致無(wú)法經(jīng)過(guò)硬件的精確匹配的方式查找到路由,這時(shí)三層以太網(wǎng)交換機(jī)的就會(huì)轉(zhuǎn)為經(jīng)過(guò)CPU軟件進(jìn)行路由查找,查表和轉(zhuǎn)發(fā)速度就會(huì)急劇下降。這是工作基本上是處于靠CPU軟件進(jìn)行路由的”多次慢路由”的情況。也就是說(shuō)三層交換機(jī)在進(jìn)行數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)時(shí)主要根據(jù)數(shù)據(jù)報(bào)文的五元組特征進(jìn)行精確命中數(shù)據(jù)轉(zhuǎn)發(fā),對(duì)于”紅色代碼”病毒攻擊時(shí)由于其病毒報(bào)文的端口號(hào)是頻繁進(jìn)行變換,其五元組信息始終處于一個(gè)不停變換階段,這樣導(dǎo)致三層交換機(jī)CPU不停進(jìn)行路由查找,由于這類報(bào)文另外一個(gè)特征就是短時(shí)間內(nèi)產(chǎn)生大量報(bào)文,從而最終導(dǎo)致三層交換機(jī)CPU在轉(zhuǎn)發(fā)過(guò)程中癱機(jī),同時(shí)這臺(tái)交換機(jī)下掛的三層交換機(jī)同樣接收到大量病毒報(bào)文,基于上述原因其CPU轉(zhuǎn)發(fā)引擎也將癱機(jī)。與此同時(shí)當(dāng)上層交換機(jī)從轉(zhuǎn)發(fā)報(bào)文中緩解過(guò)來(lái)時(shí)而下層交換機(jī)又處于癱機(jī)中,這樣網(wǎng)絡(luò)路由必然就會(huì)出現(xiàn)較大振蕩,交換機(jī)轉(zhuǎn)發(fā)性能急劇下降,最終導(dǎo)致所有交換機(jī)癱機(jī),整個(gè)網(wǎng)絡(luò)不可用。對(duì)于采用網(wǎng)絡(luò)拓?fù)潋?qū)動(dòng)的路由交換機(jī)而言由于采用逐包轉(zhuǎn)發(fā),進(jìn)行的是最大匹配方式路由查找,當(dāng)數(shù)據(jù)報(bào)文端口號(hào)進(jìn)行變換的情況下,對(duì)路由器轉(zhuǎn)發(fā)不造成影響,因此一旦遭受”紅色代碼”病毒攻擊時(shí)沒(méi)有任何問(wèn)題?；鶎泳W(wǎng)絡(luò)安全端口＋I(xiàn)P＋MAC地址的綁定:用戶上網(wǎng)的安全性非常重要,H3CE100系列能夠做到,端口+IP+MAC地址的綁定關(guān)系,H3CE100系列交換機(jī)能夠支持基于MAC地址的802.1X認(rèn)證,整機(jī)最多支持1K個(gè)下掛用戶的認(rèn)證。MAC地址的綁定能夠直接實(shí)現(xiàn)用戶對(duì)于邊緣用戶的管理,提高整個(gè)網(wǎng)絡(luò)的安全性、可維護(hù)性。如:每個(gè)用戶分配一個(gè)端口,并與該用戶主機(jī)的MAC、IP、VLAN等進(jìn)行綁定,當(dāng)用戶經(jīng)過(guò)802.1X客戶端認(rèn)證經(jīng)過(guò)以后用戶便能夠?qū)崿F(xiàn)MAC地址＋端口＋I(xiàn)P＋用戶ID的綁定,這種方式具有很強(qiáng)的安全特性:防D.O.S的攻擊,防止用戶的MAC地址的欺騙,對(duì)于更改MAC地址的用戶(MAC地址欺騙的用戶)能夠?qū)崿F(xiàn)強(qiáng)制下線。接入層防Proxy的功能考慮到大學(xué)用戶的技術(shù)性較強(qiáng),在實(shí)際的應(yīng)用的過(guò)程當(dāng)中應(yīng)當(dāng)充分考慮到Proxy的使用,對(duì)于Proxy的防止,H3C公司交換機(jī)配合H3C公司的802.1X的客戶端,一旦檢測(cè)到用戶PC機(jī)上存在兩個(gè)活動(dòng)的IP地址(不論是單網(wǎng)卡還是雙網(wǎng)卡),交換機(jī)將會(huì)下發(fā)指令將該用戶直接踢下線。MAC地址盜用的防止在校園網(wǎng)的應(yīng)用當(dāng)中IP地址的盜用是最為經(jīng)常的一種非法手段,用戶在認(rèn)證經(jīng)過(guò)以后將自己的MAC地址進(jìn)行修改,然后在進(jìn)行一些非法操作,網(wǎng)絡(luò)設(shè)計(jì)當(dāng)中我們針對(duì)該問(wèn)題,在接入層交換機(jī)上提供防止MAC地址盜用的功能,用戶在更改MAC地址后,交換機(jī)對(duì)于與綁定MAC地址不相符的用戶直接將下線,其下線功能是由交換機(jī)來(lái)實(shí)現(xiàn)的。防止對(duì)DHCP服務(wù)器的攻擊使用DHCPServer動(dòng)態(tài)分配IP地址會(huì)存在兩個(gè)問(wèn)題:一是DHCPServer假冒,用戶將自己的計(jì)算機(jī)設(shè)置成DHCPServer后會(huì)與局方的DHCPServer沖突;二是用戶DHCPSmurf,用戶使用軟件變換自己的MAC地址,大量申請(qǐng)IP地址,很快將DHCP的地址池耗光。H3C系列交換機(jī)能夠支持多種禁止私設(shè)DHCPServer的方法。PrivateVLAN解決這個(gè)問(wèn)題的方法之一是在桌面交換機(jī)上啟用PrivateVLAN的功能。但在很多環(huán)境中這個(gè)功能的使用存在局限,或者不會(huì)為了私設(shè)DHCP服務(wù)器的緣故去改造網(wǎng)絡(luò)。訪問(wèn)控制列表對(duì)于有三層功能的交換機(jī),能夠用訪問(wèn)列表來(lái)實(shí)現(xiàn)。就是定義一個(gè)訪問(wèn)列表,該訪問(wèn)列表禁止sourceport為67而destinationport為68的UDP報(bào)文經(jīng)過(guò)。之后把這個(gè)訪問(wèn)列表應(yīng)用到各個(gè)物理端口上。當(dāng)然往端口一個(gè)個(gè)去添加訪問(wèn)控制組比較麻煩,能夠結(jié)合interfacerange命令來(lái)減少命令的輸入量。新的命令因?yàn)樗娜忠饬x,也為了突出該安全功能,建議有如下單條命令的配置:servicedhcp-offerdeny[excludeinterfaceinterface-typeinterface-number][interfaceinterface-typeinterface-numbert|none]如果輸入不帶選項(xiàng)的命令nodhcp-offer,那么整臺(tái)交換機(jī)上連接的DHCP服務(wù)器都不能提供DHCP服務(wù)。excludeinterfaceinterface-typeinterface-number:是指合法DHCP服務(wù)器或者DHCPrelay所在的物理端口。除了該指定的物理端口以外,交換機(jī)會(huì)丟棄其它物理端口的in方向的DHCPOFFER報(bào)文。interfaceinterface-typeinterface-numbert|none:當(dāng)明確知道私設(shè)DHCP服務(wù)器是在哪個(gè)物理端口上的時(shí)候,就能夠選用這個(gè)選項(xiàng)。當(dāng)然如果該物理端口下面僅僅下聯(lián)該私設(shè)DHCP服務(wù)器,那么能夠直接disable該端口。該選項(xiàng)用于私設(shè)DHCP服務(wù)器和其它的合法主機(jī)一起經(jīng)過(guò)一臺(tái)不可網(wǎng)管的或不支持關(guān)閉DHCPOffer功能的交換機(jī)上聯(lián)的情況。選擇none就是放開(kāi)對(duì)dhcp-offer的控制。防止ARP的攻擊隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和用戶數(shù)目的增多,網(wǎng)絡(luò)安全和管理越發(fā)顯出它的重要性。由于校園網(wǎng)用戶具有很強(qiáng)的專業(yè)背景,致使網(wǎng)絡(luò)黑客攻擊頻繁發(fā)生,地址盜用和用戶名仿冒等問(wèn)題屢見(jiàn)不鮮。因此,ARP攻擊、地址仿冒、MAC地址攻擊、DHCP攻擊等問(wèn)題不但令網(wǎng)絡(luò)中心的老師頭痛不已,也對(duì)網(wǎng)絡(luò)的接入安全提出了新的挑戰(zhàn)。ARP攻擊包括中間人攻擊(ManInTheMiddle)和仿冒網(wǎng)關(guān)兩種類型:中間人攻擊:按照ARP協(xié)議的原理,為了減少網(wǎng)絡(luò)上過(guò)多的ARP數(shù)據(jù)通信,一個(gè)主機(jī),即使收到的ARP應(yīng)答并非自己請(qǐng)求得到的,它也會(huì)將其插入到自己的ARP緩存表中,這樣,就造成了”ARP欺騙”的可能。如果黑客想探聽(tīng)同一網(wǎng)絡(luò)中兩臺(tái)主機(jī)之間的通信(即使是經(jīng)過(guò)交換機(jī)相連),她會(huì)分別給這兩臺(tái)主機(jī)發(fā)送一個(gè)ARP應(yīng)答包,讓兩臺(tái)主機(jī)都”誤”認(rèn)為對(duì)方的MAC地址是第三方的黑客所在的主機(jī),這樣,雙方看似”直接”的通信連接,實(shí)際上都是經(jīng)過(guò)黑客所在的主機(jī)間接進(jìn)行的。黑客一方面得到了想要的通信內(nèi)容,另一方面,只需要更改數(shù)據(jù)包中的一些信息,成功地做好轉(zhuǎn)發(fā)工作即可。在這種嗅探方式中,黑客所在主機(jī)是不需要設(shè)置網(wǎng)卡的混雜模式的,因?yàn)橥ㄐ烹p方的數(shù)據(jù)包在物理上都是發(fā)送給黑客所在的中轉(zhuǎn)主機(jī)的。仿冒網(wǎng)關(guān):攻擊者冒充網(wǎng)關(guān)發(fā)送免費(fèi)ARP,其它同一網(wǎng)絡(luò)內(nèi)的用戶收到后,更新自己的ARP表項(xiàng),后續(xù),受攻擊用戶發(fā)往網(wǎng)關(guān)的流量都會(huì)發(fā)往攻擊者。此攻擊導(dǎo)致用戶無(wú)法正常和網(wǎng)關(guān)通信。而攻擊者能夠憑借此攻擊而獨(dú)占上行帶寬。認(rèn)證模式ARP攻擊防御原理801.1X認(rèn)證模式示意圖接入交換機(jī)綁定用戶PC的IP-MAC映射在用戶進(jìn)行802.1X認(rèn)證的過(guò)程中,經(jīng)過(guò)擴(kuò)展802.1X協(xié)議報(bào)文,在eapol的response報(bào)文(code=1、type=2)中攜帶用戶PC的IP地址(iNode客戶端需選定”上傳IP地址”選項(xiàng),且推薦客戶PC上手工配置IP地址及網(wǎng)關(guān)),接入交換機(jī)經(jīng)過(guò)監(jiān)聽(tīng)802.1X認(rèn)證過(guò)程的協(xié)議報(bào)文,將用戶PC的IP地址、MAC地址和接入端口形成綁定關(guān)系,在接入交換機(jī)上建立IP-MAC-Port映射表項(xiàng),并據(jù)此對(duì)用戶發(fā)送的ARP/IP報(bào)文進(jìn)行檢測(cè),從而有效防止用戶的非法ARP/IP報(bào)文進(jìn)入網(wǎng)絡(luò)。用戶PC上綁定網(wǎng)關(guān)的IP-MAC映射在用戶進(jìn)行802.1X認(rèn)證的過(guò)程中,經(jīng)過(guò)CAMS服務(wù)器下發(fā)預(yù)定的網(wǎng)關(guān)IP-MAC映射到iNode客戶端,iNode客戶端在用戶PC上針對(duì)所有網(wǎng)卡查找匹配的網(wǎng)關(guān),并將匹配網(wǎng)關(guān)的IP-MAC映射關(guān)系在PC上形成靜態(tài)ARP綁定,從而有效防止針對(duì)主機(jī)的網(wǎng)關(guān)仿冒ARP攻擊。DHCP監(jiān)控模式ARP攻擊防御原理DHCPSnooping模式示意圖接入交換機(jī)經(jīng)過(guò)監(jiān)聽(tīng)客戶PC動(dòng)態(tài)IP地址獲取過(guò)程中的DHPCrequest和ack報(bào)文,取得客戶PC合法的IP-MAC映射關(guān)系與客戶PC的接入端口形成綁定關(guān)系并建立表項(xiàng);接入交換機(jī)依據(jù)這些IP-MAC-Port表項(xiàng)過(guò)濾掉所有不匹配綁定關(guān)系的ARP/IP報(bào)文,防止非法報(bào)文進(jìn)入網(wǎng)絡(luò)造成損害。網(wǎng)絡(luò)層安全解決方案全面網(wǎng)絡(luò)基礎(chǔ)設(shè)施可靠性保證措施首先,可取采取的措施為多種冗余備份能力,包括網(wǎng)絡(luò)線路的多層次冗余、網(wǎng)絡(luò)設(shè)備的多節(jié)點(diǎn)冗余、網(wǎng)絡(luò)設(shè)備自身組件的冗余,經(jīng)過(guò)這些冗余能力,實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)全面的可靠性保證。網(wǎng)絡(luò)線路冗余主要包括如采用網(wǎng)狀或者盡量網(wǎng)狀連接來(lái)代替星形、樹(shù)形的連接結(jié)構(gòu),在南京藝術(shù)學(xué)院校園的網(wǎng)絡(luò)改造建議方案中,我們?cè)O(shè)計(jì)了足夠的線路冗余能力。網(wǎng)絡(luò)設(shè)備多節(jié)點(diǎn)冗余主要是指在網(wǎng)絡(luò)中同一個(gè)設(shè)備節(jié)點(diǎn)部署雙機(jī)設(shè)備,經(jīng)過(guò)雙機(jī)進(jìn)行實(shí)現(xiàn)相互備份和負(fù)載均衡,在南京藝術(shù)學(xué)院校園的網(wǎng)絡(luò)改造建議方案中,我們?cè)陉P(guān)鍵的節(jié)點(diǎn)都進(jìn)行了雙機(jī)配置。網(wǎng)絡(luò)設(shè)備能夠采取的冗余配置措施主要包括冗余電源配置、冗余模塊配置、冗余引擎配置等,基于H3C網(wǎng)絡(luò)設(shè)備豐富的冗余特性,能夠有效的實(shí)現(xiàn)這些冗余配置模式。其次,采取高安全性的網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)與安全的融合是未來(lái)網(wǎng)絡(luò)發(fā)展的必然趨勢(shì),隨著網(wǎng)絡(luò)設(shè)備特性的不斷更新,H3C系列網(wǎng)絡(luò)設(shè)備自身具備的安全能力也在不斷加強(qiáng)。H3C系列網(wǎng)絡(luò)設(shè)備包括路由器、交換機(jī),都統(tǒng)一采用H3C自主研發(fā)的Comware軟件平臺(tái)。除了上述豐富的基本安全特性,H3C網(wǎng)絡(luò)設(shè)備具備非常豐富的動(dòng)態(tài)安全特性,主要包括動(dòng)態(tài)VLAN的下發(fā)和動(dòng)態(tài)ACL的下發(fā),H3C系列網(wǎng)絡(luò)設(shè)備不但支持標(biāo)準(zhǔn)的802.1QVLAN,而且提供端口隔離功能,只允許用戶端口與上行端口轉(zhuǎn)發(fā)報(bào)文,從而阻斷下掛各個(gè)用戶私有網(wǎng)絡(luò)之間的互相訪問(wèn),從鏈路層保障用戶轉(zhuǎn)發(fā)數(shù)據(jù)的安全;經(jīng)過(guò)啟用802.1x和Web認(rèn)證后下發(fā)動(dòng)態(tài)VLAN及ACL,實(shí)現(xiàn)用戶的動(dòng)態(tài)隔離,保證用戶數(shù)據(jù)的隱私,杜絕內(nèi)部攻擊,與其它安全防護(hù)設(shè)備進(jìn)行聯(lián)動(dòng),構(gòu)建全局的、立體的、動(dòng)態(tài)安全防護(hù)體系。最后,采取具備豐富的安全管理特性的網(wǎng)管系統(tǒng),在網(wǎng)絡(luò)系統(tǒng)中,整個(gè)網(wǎng)絡(luò)的安全首先要確保網(wǎng)絡(luò)設(shè)備的安全:非授權(quán)用戶不能訪問(wèn)任一臺(tái)服務(wù)器、路由器、交換機(jī)或防火墻等網(wǎng)絡(luò)設(shè)備,采用網(wǎng)絡(luò)管理系統(tǒng)是一種有效的解決方法,經(jīng)過(guò)網(wǎng)絡(luò)管理管理系統(tǒng)提供的配置管理、性能管理、失效管理和安全管理功能,能夠?qū)崿F(xiàn)網(wǎng)絡(luò)設(shè)備安全有效的配置,為整個(gè)網(wǎng)絡(luò)系統(tǒng)提供安全運(yùn)行的基石。網(wǎng)關(guān)系統(tǒng)的基本功能描述如下:配置管理:主要包括設(shè)備監(jiān)控、遠(yuǎn)程控制、遠(yuǎn)程維護(hù)、自動(dòng)搜索等;性能管理:主要包括性能數(shù)據(jù)可視化、閾值設(shè)置和報(bào)警、性能分析和預(yù)測(cè)、性能策略支持等;失效管理:主要包括故障定位、故障報(bào)警、故障恢復(fù)等;安全管理:訪問(wèn)認(rèn)證和授權(quán)、網(wǎng)絡(luò)隔離、遠(yuǎn)程訪問(wèn)控制、應(yīng)用訪問(wèn)控制等。組合豐富的VLAN功能進(jìn)行業(yè)務(wù)隔離大部分網(wǎng)絡(luò)設(shè)備都能夠提供對(duì)VLAN功能的完善的支持,經(jīng)過(guò)VLAN的劃分,能夠區(qū)分不同的業(yè)務(wù),靈活的根據(jù)端口、MAC等進(jìn)行VLAN的劃分,實(shí)現(xiàn)對(duì)各種業(yè)務(wù)的有效的隔離。同時(shí),經(jīng)過(guò)各種特性VLAN的部署,能夠更加靈活的實(shí)現(xiàn)網(wǎng)絡(luò)流量和業(yè)務(wù)的隔離,比如,經(jīng)過(guò)PVLAN技術(shù),能夠?qū)崿F(xiàn)同一個(gè)VLAN內(nèi)部服務(wù)器之間相互訪問(wèn)的隔離;經(jīng)過(guò)動(dòng)態(tài)VLAN的部署,能夠?qū)崿F(xiàn)用戶在任何位置接入網(wǎng)絡(luò)都能被隔離到自己所屬的VLAN中。配置防火墻進(jìn)行網(wǎng)絡(luò)區(qū)域的隔離防火墻是網(wǎng)絡(luò)層的核心防護(hù)措施,它能夠?qū)φ麄€(gè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)區(qū)域分割,提供基于IP地址和TCP/IP服務(wù)端口等的訪問(wèn)控制;對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊方式,如拒絕服務(wù)攻擊(pingofdeath,land,synflooding,pingflooding,teardrop,…)、端口掃描(portscanning)、IP欺騙(ipspoofing)、IP盜用等進(jìn)行有效防護(hù);并提供NAT地址轉(zhuǎn)換、流量限制、用戶認(rèn)證、IP與MAC綁定等安全增強(qiáng)措施。在南京藝術(shù)學(xué)院校園網(wǎng)絡(luò)中,能夠在以下位置部署防火墻和IPS產(chǎn)品:數(shù)據(jù)中心需要經(jīng)過(guò)防火墻進(jìn)行有效的隔離,網(wǎng)絡(luò)安全隔離一直是Internet技術(shù)發(fā)展的重要研究課題。以太網(wǎng)技術(shù)如何和安全隔離技術(shù)融合,提供給南京藝術(shù)學(xué)院校園用戶一個(gè)安全、可靠的網(wǎng)絡(luò)環(huán)境是以太網(wǎng)交換機(jī)在組網(wǎng)應(yīng)用中一個(gè)常見(jiàn)的問(wèn)題。為了能夠確保用戶的安全需求,并提供一體化的解決思路,在,能夠根據(jù)用戶對(duì)于安全防護(hù)的考慮,將SecureVLAN技術(shù)融入到VLA技術(shù)中,能夠?qū)崿F(xiàn)對(duì)內(nèi)網(wǎng),DMZ多個(gè)區(qū)域的保護(hù),能夠用于內(nèi)網(wǎng)的VLAN跨區(qū)域保護(hù)。另外數(shù)據(jù)中心集中了大量的服務(wù)器,小型機(jī)和數(shù)據(jù)庫(kù)系統(tǒng),她們是整個(gè)網(wǎng)絡(luò)的大腦,為網(wǎng)絡(luò)提供各種應(yīng)用,對(duì)于數(shù)據(jù)中心服務(wù)器安全的保障方面H3C提供的虛擬補(bǔ)丁功能能夠提供用戶對(duì)各類操作系統(tǒng)的免安裝補(bǔ)丁服務(wù),高性能的入侵防御系統(tǒng)能作為虛擬軟件補(bǔ)丁,保護(hù)網(wǎng)絡(luò)中尚未安裝補(bǔ)丁、具有漏洞的計(jì)算機(jī)免于遭受侵害。在惡意程序?qū)︻A(yù)定目標(biāo)進(jìn)行攻擊時(shí),虛擬補(bǔ)丁程序就會(huì)立即”現(xiàn)身”—確定并阻擋發(fā)送來(lái)的惡意通訊。這種虛擬補(bǔ)丁程序之因此如此有效,是因?yàn)樗捎昧烁呔_的漏洞過(guò)濾器技術(shù)。這種專門設(shè)計(jì)的過(guò)濾器可應(yīng)對(duì)最大范圍的攻擊和應(yīng)對(duì)最大彈性的規(guī)避。Internet邊界防火墻部署:南京藝術(shù)學(xué)院校園網(wǎng)絡(luò)出口包括多個(gè)應(yīng)用安全區(qū)域:基本可分為互連網(wǎng)出口區(qū),對(duì)外服務(wù)區(qū),內(nèi)網(wǎng)區(qū)域,我們建議在核心交換機(jī)Internet路由器之間配置防火墻,在實(shí)現(xiàn)安全控制的同時(shí)保證線路的可靠性;此防火墻的配置策略我們建議如下:? 配置防火墻防DOS/DDOS功能,對(duì)Land、Smurf、Fraggle、PingofDeath、TearDrop、SYNFlood、ICMPFlood、UDPFlood等拒絕服務(wù)攻擊進(jìn)行防范;? 配置防火墻全面安全防范能力,包括ARP欺騙攻擊的防范,提供ARP主動(dòng)反向查詢、TCP報(bào)文標(biāo)志位不合法攻擊防范、超大ICMP報(bào)文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達(dá)報(bào)文控制功能、Tracert報(bào)文控制功能、帶路由記錄選項(xiàng)IP報(bào)文控制功能等;? 防火墻設(shè)置為默認(rèn)拒絕工作方式,保證所有的數(shù)據(jù)包,如果沒(méi)有明確的規(guī)則允許經(jīng)過(guò),全部拒絕以保證安全;由外往內(nèi)的訪問(wèn)控制規(guī)則:? 在防火墻上設(shè)置允許VPN協(xié)議數(shù)據(jù)包穿越防火墻,滿足移動(dòng)用戶經(jīng)過(guò)IPSecVPN和分支機(jī)構(gòu)VPN網(wǎng)關(guān)訪問(wèn)內(nèi)網(wǎng)的需求;? 經(jīng)過(guò)防火墻的訪問(wèn)控制策略,拒絕任何來(lái)自Internet對(duì)內(nèi)網(wǎng)的訪問(wèn)數(shù)據(jù),保證任何Internet數(shù)據(jù)都不能主動(dòng)進(jìn)入內(nèi)部網(wǎng),屏蔽所有來(lái)自Internet的攻擊行為;由內(nèi)往外的訪問(wèn)控制規(guī)則:? 經(jīng)過(guò)防火墻的訪問(wèn)控制策略,對(duì)內(nèi)部用戶訪問(wèn)Internet進(jìn)行基于IP地址的控制,初步實(shí)現(xiàn)控制內(nèi)部用戶能否訪問(wèn)Internet,能夠訪問(wèn)什么樣的Inertnet資源;? 經(jīng)過(guò)配置防火墻提供的IP/MAC地址綁定功能,以及身份認(rèn)證功能,提供對(duì)內(nèi)部用戶訪問(wèn)Internet的更嚴(yán)格有效的控制能力,加強(qiáng)內(nèi)部用戶訪問(wèn)Internet控制能力;? 經(jīng)過(guò)配置防火墻提供的SMTP郵件過(guò)濾功能和HTTP內(nèi)容過(guò)濾,實(shí)現(xiàn)對(duì)用戶訪問(wèn)Internet的細(xì)粒度的訪問(wèn)控制能力,實(shí)現(xiàn)基本的用戶訪問(wèn)Internet的行為管理;防火墻是以網(wǎng)絡(luò)層為核心的防護(hù)措施,它能夠?qū)φ麄€(gè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)區(qū)域分割,提供基于IP地址和TCP/IP服務(wù)端口等的訪問(wèn)控制;對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊方式,如拒絕服務(wù)攻擊(pingofdeath,land,synflooding,pingflooding,teardrop,…)、端口掃描(portscanning)、IP欺騙(ipspoofing)、IP盜用等進(jìn)行有效防護(hù);并提供NAT地址轉(zhuǎn)換、流量限制、用戶認(rèn)證、IP與MAC綁定等安全增強(qiáng)措施。用戶層解決方案網(wǎng)絡(luò)環(huán)境下的防病毒必須層層設(shè)防,逐層把關(guān),堵住病毒傳播的各種可能途徑,為南京藝術(shù)學(xué)院校園網(wǎng)絡(luò)系統(tǒng)提供一個(gè)穩(wěn)定高效、技術(shù)一流、方便管理、服務(wù)周全的網(wǎng)絡(luò)病毒防護(hù)體系,網(wǎng)絡(luò)防病毒體系主要包括:網(wǎng)關(guān)防病毒:Internet是現(xiàn)在病毒傳播的一個(gè)最主要的路徑,訪問(wèn)Internet網(wǎng)站可能會(huì)感染蠕蟲(chóng)病毒,從Internet下載軟件和數(shù)據(jù)可能會(huì)同時(shí)把病毒、黑客程序都帶進(jìn)來(lái),對(duì)外開(kāi)放的WEB服務(wù)器也可能在接受來(lái)自Internet的訪問(wèn)時(shí)被感染上病毒。因此需要在南京藝術(shù)學(xué)院校園與Internet接口處重點(diǎn)防范病毒的傳播。郵件防病毒:郵件附件是當(dāng)前網(wǎng)絡(luò)病毒傳播的一個(gè)重要途徑,因此要在郵件服務(wù)器上配置郵件防病毒軟件,檢查所有從郵件服務(wù)器發(fā)送和接收的郵件,特別是其郵件附件。另一方面,防范郵件病毒傳播要加強(qiáng)對(duì)用戶的安全教育,對(duì)于所有來(lái)源不明的郵件不要輕易打開(kāi),特別是其附帶的郵件附件。在打開(kāi)郵件之前,最好打電話與發(fā)件人確認(rèn),因?yàn)楹芏噜]件病毒是自動(dòng)從通訊錄中查找收件人的。發(fā)送郵件時(shí),最好不要使用復(fù)雜的格式,能夠直接使用純文本格式,這樣郵件帶病毒傳播的機(jī)會(huì)就很小了。服務(wù)器防病毒:對(duì)重要的服務(wù)器,配置服務(wù)器防病毒軟件,南京藝術(shù)學(xué)院校園包含了大量復(fù)雜的應(yīng)用系統(tǒng),需要大量的不同平臺(tái)的服務(wù)器,我們建議對(duì)這些服務(wù)器分別安裝防病毒系統(tǒng),加強(qiáng)這些重點(diǎn)服務(wù)器的病毒防范能力。主機(jī)防病毒:網(wǎng)絡(luò)中的主要用戶使很多主機(jī)終端,因此必須為所有的單機(jī),特別是一些處理關(guān)鍵業(yè)務(wù)的用戶機(jī)配置主機(jī)防病毒軟件。集中控管能力:防病毒需要具有集中控管能力,對(duì)所有的防病毒產(chǎn)品模塊提供一個(gè)集中的管理機(jī)制,監(jiān)控各個(gè)防毒產(chǎn)品的防殺狀態(tài),病毒碼及殺毒引擎的更新升級(jí)等,并在各個(gè)防毒產(chǎn)品上收集病毒防護(hù)情況的日志,并進(jìn)行分析報(bào)告。設(shè)備選型建議:我們建議選擇瑞星的網(wǎng)絡(luò)防病毒解決方案業(yè)務(wù)層解決方案設(shè)備冗余及網(wǎng)絡(luò)存儲(chǔ)配置建議業(yè)務(wù)系統(tǒng)的可靠性和可用性是網(wǎng)絡(luò)安全的一個(gè)很重要的特性,可靠性與可用性的重要基礎(chǔ)是各種設(shè)備的冗余配置,下面我們對(duì)業(yè)務(wù)系統(tǒng)的涉及到的設(shè)備(主要是服務(wù)器和存儲(chǔ)系統(tǒng))進(jìn)行分析,并給出建議性的配置方案,主要包括:服務(wù)器能夠采用的冗余配置主要包括冗余電源、冗余CPU、冗余網(wǎng)卡等重要的配件的冗余配置,對(duì)于核心服務(wù)器能夠采用雙機(jī)熱備措施來(lái)保證服務(wù)的不間斷性,現(xiàn)在有很成熟的系統(tǒng)支持這種應(yīng)用模式。存儲(chǔ)系統(tǒng)的冗余配置是最重要的,因?yàn)閿?shù)據(jù)安全才是整個(gè)安全系統(tǒng)的根本目的,數(shù)據(jù)的可靠性和可用性是數(shù)據(jù)安全的根本。存儲(chǔ)系統(tǒng)主要的冗余配置模式是磁盤陣列系統(tǒng),現(xiàn)在磁盤陣列技術(shù)已經(jīng)發(fā)展得很完善了,各種現(xiàn)有的存儲(chǔ)設(shè)備對(duì)磁盤陣列的技術(shù)的支持也已經(jīng)完善了,另外在磁盤陣列的基礎(chǔ)上發(fā)展起來(lái)的網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)(SAN、SNA),提供了更高的存儲(chǔ)性能和可靠性。漏洞掃描及安全評(píng)估系統(tǒng)的配置為了事先發(fā)現(xiàn)網(wǎng)絡(luò)中各種操作系統(tǒng)和應(yīng)用平臺(tái)的安全性,能夠采用漏洞掃描系統(tǒng)對(duì)重要的服務(wù)器先進(jìn)行掃描,以發(fā)現(xiàn)系統(tǒng)中可能存在的安全漏洞和安全薄弱環(huán)節(jié),經(jīng)過(guò)漏洞掃描系統(tǒng)能夠解決我們前面分析的操作系統(tǒng)以及服務(wù)平臺(tái)的安全隱患。漏洞掃描系統(tǒng)在網(wǎng)絡(luò)當(dāng)中并不是一個(gè)實(shí)時(shí)啟動(dòng)的系統(tǒng),只需要定期掛接到網(wǎng)絡(luò)中,對(duì)當(dāng)前網(wǎng)段上的重點(diǎn)服務(wù)器(如WEB服務(wù)器、郵件服務(wù)器、DNS服務(wù)器、主域服務(wù)器等)以及主機(jī)進(jìn)行一次掃描,即可得到當(dāng)前系統(tǒng)中存在的各種安全漏洞,并會(huì)針對(duì)性地提出補(bǔ)救措施。應(yīng)用系統(tǒng)開(kāi)發(fā)中加強(qiáng)安全機(jī)制我們建議南京藝術(shù)學(xué)院校園在應(yīng)用系統(tǒng)開(kāi)發(fā)時(shí),要在應(yīng)用程序中加強(qiáng)對(duì)程序代碼的控制,提高應(yīng)用系統(tǒng)自身的安全性,在開(kāi)發(fā)應(yīng)用系統(tǒng)時(shí),有以下幾個(gè)方面要特別注意:要加強(qiáng)對(duì)輸入的判斷,除了在瀏覽器端要進(jìn)行簡(jiǎn)單的判斷之外,更主要的是要在服務(wù)器端做相應(yīng)的判斷:一要檢查輸入值的長(zhǎng)度和大小;二要檢查輸入值中是否帶有非法字符,特別是在WEB應(yīng)用中的單引號(hào)和一些控制字符。在調(diào)用數(shù)據(jù)庫(kù)資源時(shí),要使用類似ODBC的接口,不要把數(shù)據(jù)庫(kù)對(duì)象、對(duì)數(shù)據(jù)庫(kù)具有操作權(quán)限的用戶名、帳號(hào)等信息泄漏在WEBCGI程序中。很多數(shù)據(jù)庫(kù)在安裝之后會(huì)有一個(gè)缺省的管理員帳號(hào),且其口令一般為空或是通用口令,數(shù)據(jù)庫(kù)管理員要及時(shí)更改這些帳號(hào),而且設(shè)置高強(qiáng)度的口令字。在WEB服務(wù)器上,要檢查每一個(gè)目錄、文件上的權(quán)限是否合適,如是否能夠列表、讀取、執(zhí)行等,源程序或腳本是否可下載等。校園管理中心設(shè)計(jì)數(shù)字化校園管理綜述”十五”期間數(shù)字化校園信息化建設(shè)取得了輝煌成果,基本實(shí)現(xiàn)了高帶寬、廣覆蓋、可運(yùn)營(yíng)、可管理的數(shù)字化校園硬件平臺(tái),完成了學(xué)校基本的教學(xué)、科研、管理和服務(wù)系統(tǒng)的信息化建設(shè)。具體來(lái)說(shuō),在基礎(chǔ)設(shè)施建設(shè)方面,完成了校園網(wǎng)改造、升級(jí),解決了骨干帶寬、出口帶寬的問(wèn)題;大規(guī)模的建設(shè)了學(xué)生宿舍區(qū)和校區(qū)的網(wǎng)絡(luò),實(shí)現(xiàn)了校園網(wǎng)絡(luò)的大范圍覆蓋問(wèn)題;開(kāi)展了認(rèn)證、計(jì)費(fèi)、管理和網(wǎng)絡(luò)安全方面的建設(shè)。在應(yīng)用系統(tǒng)建設(shè)方面,實(shí)現(xiàn)了網(wǎng)絡(luò)教學(xué)系統(tǒng)、數(shù)字化圖書(shū)館系統(tǒng)和網(wǎng)絡(luò)實(shí)驗(yàn)室系統(tǒng)等面向教學(xué)和科研的應(yīng)用系統(tǒng);在校園管理信息系統(tǒng)、辦公自動(dòng)化系統(tǒng)、社區(qū)服務(wù)系統(tǒng)、一卡通系統(tǒng)等方面也取得了一定的成績(jī)。但當(dāng)前數(shù)字校園網(wǎng)絡(luò)還面臨許多挑戰(zhàn),在解決了帶寬和覆蓋問(wèn)題的同時(shí),校園網(wǎng)絡(luò)需要進(jìn)一步優(yōu)化,校園網(wǎng)管理需要更加智能和易用。隨著信息技術(shù)的發(fā)展,為提高辦公效率及改進(jìn)教學(xué)環(huán)境,當(dāng)前的學(xué)校越來(lái)越多地應(yīng)用了信息技術(shù),對(duì)于網(wǎng)絡(luò)的依賴性也越來(lái)越大,學(xué)生需要上網(wǎng)查閱資料、吸收新知識(shí)、接受網(wǎng)上教學(xué),老師需要借此了解最新科研進(jìn)展。校園網(wǎng)絡(luò)上一般承載著學(xué)校的辦公系統(tǒng)、教學(xué)系統(tǒng)及學(xué)生宿舍網(wǎng)絡(luò)系統(tǒng),網(wǎng)絡(luò)如果發(fā)生問(wèn)題,會(huì)對(duì)學(xué)校的正常運(yùn)作產(chǎn)生嚴(yán)重的影響。隨著網(wǎng)絡(luò)基礎(chǔ)架構(gòu)日趨復(fù)雜,傳統(tǒng)的設(shè)備命令行、簡(jiǎn)單的管理工具已經(jīng)不能夠滿足網(wǎng)絡(luò)管理的需求。業(yè)界的經(jīng)驗(yàn)證明,選擇一個(gè)優(yōu)秀的網(wǎng)絡(luò)管理系統(tǒng)是保證網(wǎng)絡(luò)最大可用性的有效手段。集成化管理平臺(tái)H3C專注于IP產(chǎn)品與相關(guān)技術(shù)的研發(fā)、生產(chǎn)和銷售,具備完善的產(chǎn)品技術(shù)、客戶服務(wù)、渠道、認(rèn)證培訓(xùn)體系,為您提供客戶化、特性豐富、性價(jià)比高的網(wǎng)絡(luò)產(chǎn)品與解決方案。作為業(yè)界領(lǐng)先的網(wǎng)絡(luò)設(shè)備與解決方案供應(yīng)商,H3C提供包括網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理等全面的管理解決方案:H3C智能管理中心(H3CIntelligentManagementCenter,以下簡(jiǎn)稱H3CiMC)。H3CiMC是H3CIToIP解決方案的統(tǒng)一管理中心,基于SOA架構(gòu),采用靈活的組件化結(jié)構(gòu),支持與HPOpenview、SNMPc等通用網(wǎng)管平臺(tái)的集成,支持集成各多廠家設(shè)備管理系統(tǒng),與H3C的數(shù)據(jù)通信設(shè)備產(chǎn)品一起為用戶提供全網(wǎng)解決方案,幫助客戶真正實(shí)現(xiàn)網(wǎng)絡(luò)的按需構(gòu)建。H3CiMC在IToIP解決方案中的位置H3CiMC作為IToIP解決方案核心管理系統(tǒng),為用戶提供了靈活的組件化結(jié)構(gòu),包括智能管理平臺(tái)、智能配置中心(iCC)、ACL管理、MPLSVPN管理、用戶接入管理、EAD解決方案、無(wú)線管理、EPON管理等業(yè)務(wù)組件,用戶能夠根據(jù)自己的管理需要和網(wǎng)絡(luò)情況靈活選擇需要的組件,真正實(shí)現(xiàn)”按需建構(gòu)”。H3C智能管理中心解決方案架構(gòu)如下圖所示:H3CiMC解決方案架構(gòu)由上圖能夠看出H3CiMC管理系統(tǒng)由智能管理平臺(tái)以及各個(gè)業(yè)務(wù)組件組成,管理平臺(tái)提供網(wǎng)絡(luò)管理的一些基礎(chǔ)功能,比如故障管理、性能管理、資源和拓?fù)涔芾?、用戶管理?而業(yè)務(wù)組件提供了相應(yīng)的業(yè)務(wù)管理功能;各個(gè)業(yè)務(wù)組件相對(duì)獨(dú)立,并能夠無(wú)縫的集成在管理平臺(tái)中,使得整個(gè)系統(tǒng)具有很強(qiáng)的可擴(kuò)展性。H3CiMC智能管理平臺(tái)實(shí)現(xiàn)網(wǎng)絡(luò)資源、用戶和業(yè)務(wù)的融合管理,提供基本的網(wǎng)絡(luò)資源管理、拓?fù)涔芾怼⒐收瞎芾?、性能管理、用戶管理及系統(tǒng)安全管理,基于B/S架構(gòu),能夠與H3CiMC其它業(yè)務(wù)組件有效集成,形成多種解決方案。H3CiMC智能管理平臺(tái)不但能夠?qū)崿F(xiàn)H3C全線數(shù)據(jù)通信產(chǎn)品的管理,也可經(jīng)過(guò)標(biāo)準(zhǔn)mib實(shí)現(xiàn)對(duì)Cisco、等各主流廠商的數(shù)據(jù)通信設(shè)備管理。系統(tǒng)安全管理系統(tǒng)安全管理功能主要有包括:操作日志管理、操作員管理、分組分級(jí)與權(quán)限管理、操作員登錄管理等。所包含的主要功能有:操作員登錄管理管理員經(jīng)過(guò)制定登錄安全策略約束操作員的登錄鑒權(quán),實(shí)現(xiàn)操作員登錄的安全性,經(jīng)過(guò)訪問(wèn)控制模板約束操作員能夠登錄的終端機(jī)器的IP地址范圍,避免惡意嘗試另人密碼進(jìn)行登錄的行為存在,經(jīng)過(guò)密碼控制策略,約束操作員密碼組成要求,包括密碼長(zhǎng)度、密碼復(fù)雜性要求、密碼有效期等,以約束操作員定期修改密碼,并對(duì)密碼復(fù)雜性按要求設(shè)置。操作員密碼管理管理員為操作員制定密碼控制策略,操作員僅能按照指定的策略定期修改密碼,以保證訪問(wèn)iMC系統(tǒng)的安全性。分組分級(jí)權(quán)限管理管理員經(jīng)過(guò)設(shè)備分組、用戶分組的設(shè)置,能夠?yàn)椴僮鲉T指定能夠管理的指定設(shè)備分組和用戶分組,并指定其管理權(quán)限和角色,包括管理員、維護(hù)員和查看員,實(shí)現(xiàn)按角色、分權(quán)限、分資源(設(shè)備和用戶)的多層權(quán)限控制;同時(shí)經(jīng)過(guò)設(shè)置下級(jí)網(wǎng)絡(luò)管理權(quán)限,能夠經(jīng)過(guò)限制登錄下級(jí)網(wǎng)絡(luò)管理系統(tǒng)的操作員和密碼,保證訪問(wèn)下級(jí)網(wǎng)絡(luò)管理系統(tǒng)的安全性。操作日志管理對(duì)于操作員的所有操作,包括登錄、注銷的時(shí)間、登錄IP地址以及登錄期間進(jìn)行的任何可能修改系統(tǒng)數(shù)據(jù)的操作,都會(huì)記錄詳細(xì)的日志。提供豐富的查詢條件,管理員能夠?qū)徲?jì)任何操作員的歷史操作記錄,界定網(wǎng)絡(luò)操作錯(cuò)誤的責(zé)任范圍。操作員在線監(jiān)控和管理系統(tǒng)管理員經(jīng)過(guò)”在線操作員”能夠?qū)崟r(shí)監(jiān)控當(dāng)前在線聯(lián)機(jī)登錄的操作員信息,包括登錄的主機(jī)IP地址、登錄時(shí)間等,同時(shí),系統(tǒng)管理員能夠?qū)⒃诰€操作員強(qiáng)制注銷、禁用/取消禁用當(dāng)前IP地址等控制操作。資源管理iMC資源管理與拓?fù)涔芾碜鳛檎w共同為用戶提供網(wǎng)絡(luò)資源的管理。本節(jié)講解iMC的資源管理,下節(jié)講解iMC的拓?fù)涔芾?。?jīng)過(guò)資源管理能夠:網(wǎng)絡(luò)自動(dòng)發(fā)現(xiàn)能夠經(jīng)過(guò)設(shè)置種子的簡(jiǎn)易方式、路由方式、ARP方式、IPSecVPN、網(wǎng)段方式等五種自動(dòng)發(fā)現(xiàn)方式自學(xué)習(xí)網(wǎng)絡(luò)資源及網(wǎng)絡(luò)拓?fù)?自動(dòng)識(shí)別包括:路由器、交換機(jī)、安全網(wǎng)關(guān)、存儲(chǔ)設(shè)備、監(jiān)控設(shè)備、無(wú)線設(shè)備、語(yǔ)音設(shè)備、打印機(jī)、UPS、服務(wù)器、PC在內(nèi)的多種類型網(wǎng)絡(luò)設(shè)備;多種自動(dòng)發(fā)現(xiàn)方式自動(dòng)識(shí)別多種設(shè)備類型網(wǎng)絡(luò)手工管理能夠手工添加、刪除網(wǎng)絡(luò)設(shè)備,能夠批量導(dǎo)入、導(dǎo)出網(wǎng)絡(luò)設(shè)備,批量配置Telnet、SNMP參數(shù),以及批量校驗(yàn)Telnet參數(shù)等輔助功能;網(wǎng)絡(luò)視圖管理支持IP視圖、設(shè)備視圖、自定義視圖、下級(jí)網(wǎng)絡(luò)管理視圖等多種管理視圖,用戶能夠從不同角度實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的管理;網(wǎng)絡(luò)設(shè)備的管理從任何一種網(wǎng)絡(luò)視圖入口,都能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的管理,包括:支持對(duì)設(shè)備的管理/去管理、接口的管理/去管理、設(shè)備的詳細(xì)信息顯示和接口詳細(xì)信息顯示、設(shè)備和接口實(shí)時(shí)告警狀態(tài)、設(shè)備和接口的實(shí)時(shí)性能狀態(tài)、實(shí)時(shí)檢測(cè)存在故障的設(shè)備等,用戶能夠方便的實(shí)現(xiàn)所有設(shè)備的管理;設(shè)備及業(yè)務(wù)管理系統(tǒng)的集成管理支持對(duì)H3C、CISCO、等主要廠家設(shè)備的管理,支持手工添加設(shè)備廠商、設(shè)備系列及設(shè)備型號(hào);支持設(shè)備面板管理的動(dòng)態(tài)注冊(cè)機(jī)制,實(shí)現(xiàn)與各廠家設(shè)備管理系統(tǒng)的有效集成;支持拓?fù)涠ㄎ弧CL、VLAN、QoS等業(yè)務(wù)管理系統(tǒng)的集成,實(shí)現(xiàn)設(shè)備資源的統(tǒng)一管理;設(shè)備分組權(quán)限管理支持設(shè)備分組功能,經(jīng)過(guò)對(duì)設(shè)備資源進(jìn)行分組管理,系統(tǒng)管理員方便的分配其它管理員的管理權(quán)限,便于職責(zé)分離;拓?fù)涔芾韎MC拓?fù)涔芾韽木W(wǎng)絡(luò)拓?fù)涞慕鉀Q直觀的提供給用戶對(duì)整個(gè)網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備資源的管理。拓?fù)涔芾戆?拓?fù)渥詣?dòng)發(fā)現(xiàn)H3CiMC能夠自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),支持全網(wǎng)設(shè)備的統(tǒng)一拓?fù)湟晥D,經(jīng)過(guò)視圖導(dǎo)航樹(shù)提供視圖間的快速導(dǎo)航。經(jīng)過(guò)自動(dòng)發(fā)現(xiàn)能夠發(fā)現(xiàn)網(wǎng)絡(luò)中的所有設(shè)備及網(wǎng)絡(luò)結(jié)構(gòu)(具體參見(jiàn)資源管理),而且能夠?qū)⒎荢NMP設(shè)備發(fā)現(xiàn)出來(lái),只要設(shè)備能夠ping通即可。這樣就能夠?qū)⑺芯W(wǎng)絡(luò)設(shè)備都列入其管理范圍(只要設(shè)備IP可達(dá))。同時(shí)支持自動(dòng)的拓?fù)鋱D呈現(xiàn)和自定義拓?fù)?。自?dòng)拓?fù)淠軌蜃詣?dòng)將網(wǎng)絡(luò)中的邏輯連接關(guān)系顯示出來(lái),同時(shí)能夠保存為自定義拓?fù)鋱D并可根據(jù)具體情況進(jìn)行修改以便于網(wǎng)管員對(duì)整個(gè)網(wǎng)絡(luò)設(shè)備的監(jiān)控。支持對(duì)全網(wǎng)設(shè)備和連接定時(shí)輪詢和狀態(tài)刷新,實(shí)時(shí)了解整個(gè)網(wǎng)絡(luò)的運(yùn)行情況,而且刷新周期是可定制(刷新周期:60～7200秒),同時(shí)也支持對(duì)多個(gè)設(shè)備的刷新周期進(jìn)行批量配置的功能。支持自定義拓?fù)鋫鹘y(tǒng)的網(wǎng)絡(luò)管理軟件大多支持自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)涞墓δ?可是自動(dòng)發(fā)現(xiàn)后的網(wǎng)絡(luò)拓?fù)渫呛芏嘣O(shè)備圖標(biāo)的簡(jiǎn)單排放,不能突出重點(diǎn)設(shè)備和網(wǎng)絡(luò)層次,使網(wǎng)絡(luò)管理人員感覺(jué)無(wú)從下手。針對(duì)這種情況,H3CiMC的拓?fù)涔δ苤С朱`活的自定義功能,管理人員能夠根據(jù)網(wǎng)絡(luò)的實(shí)際組網(wǎng)情況和設(shè)備重要性的不同靈活定制網(wǎng)絡(luò)拓?fù)?可對(duì)拓?fù)鋱D進(jìn)行增、刪、改等編輯操作,使網(wǎng)絡(luò)拓?fù)淠軌蚯逦爻尸F(xiàn)整個(gè)南京藝術(shù)學(xué)院校園大學(xué)的網(wǎng)絡(luò)結(jié)構(gòu)以及IT資源分布。H3CiMC支持靈活定制拓?fù)鋱D,使網(wǎng)絡(luò)拓?fù)涓兄攸c(diǎn)和層次感。管理員能夠按照關(guān)注設(shè)備不同,管理角度不同定義多種拓?fù)?并能夠針對(duì)拓?fù)洳煌x擇不同的背景圖;管理員能夠根據(jù)網(wǎng)絡(luò)設(shè)備的重要性不同,鏈路速率不同采用合適的圖標(biāo)顯示。例如:對(duì)于校園網(wǎng),用戶能夠定制校園分布圖、辦公樓內(nèi)網(wǎng)絡(luò)分布圖、宿舍樓內(nèi)網(wǎng)絡(luò)分布圖等等。自動(dòng)識(shí)別各種網(wǎng)絡(luò)設(shè)備和主機(jī)的類型H3CiMC能夠自動(dòng)識(shí)別H3C、H3C、Cisco、等廠商的設(shè)備、Windows、Solaris的PC和工作站、其它SNMP設(shè)備和ping設(shè)備,而且以樹(shù)形方式組織,以不同的圖標(biāo)顯示區(qū)分。在拓?fù)鋱D上更可進(jìn)一步對(duì)設(shè)備的類型進(jìn)行區(qū)分,如區(qū)分路由器、交換機(jī)、安全網(wǎng)關(guān)、存儲(chǔ)設(shè)備、監(jiān)控設(shè)備、無(wú)線設(shè)備、語(yǔ)音設(shè)備、打印機(jī)、UPS、服務(wù)器、PC等等。設(shè)備狀態(tài)、連接狀態(tài)、告警狀態(tài)等信息在拓?fù)鋱D上的直觀顯示H3CiMC的拓?fù)涔δ芘c故障管理和性能管理緊密融合,使拓?fù)鋱D能夠清晰地看到南京藝術(shù)學(xué)院校園IT資源的狀態(tài),包括運(yùn)行是否正常、網(wǎng)絡(luò)帶寬、接口連通、配置變化都能一目了然。多種顏色區(qū)分不同級(jí)別故障,根據(jù)節(jié)點(diǎn)圖標(biāo)顏色反映設(shè)備狀態(tài)。拓?fù)淠芴峁┰O(shè)備管理便捷入口H3CiMC拓?fù)淠軌蛱峁?duì)設(shè)備管理的便捷入口,管理員只需經(jīng)過(guò)右鍵點(diǎn)擊拓?fù)鋱D中的設(shè)備圖標(biāo)即可啟動(dòng)設(shè)備管理各項(xiàng)功能,實(shí)現(xiàn)對(duì)設(shè)備的面板管理等各項(xiàng)功能配置。故障(告警/事件)管理故障管理,即告警/事件管理,是H3CiMC的核心模塊,是iMC智能管理平臺(tái)及其它業(yè)務(wù)組件統(tǒng)一的告警中心。如下圖所示,以故障管理流程為引導(dǎo),介紹H3CiMC強(qiáng)大的故障管理能力:告警發(fā)現(xiàn)和上報(bào)iMC告警中心能夠按收各種告警源的告警事件,包括設(shè)備告警、本級(jí)網(wǎng)管站及下級(jí)網(wǎng)管站告警、網(wǎng)絡(luò)性能監(jiān)視告警、網(wǎng)絡(luò)配置監(jiān)視告警、網(wǎng)絡(luò)流量異常監(jiān)視告警、終端安全異常告警等;同時(shí)經(jīng)過(guò)支持對(duì)設(shè)備定時(shí)輪詢,實(shí)現(xiàn)通斷告警、響應(yīng)時(shí)間告警等,以告警事件的方式上報(bào)給H3CiMC告警中心;設(shè)備告警包括電源電壓、設(shè)備溫度、風(fēng)扇等告警事件,設(shè)備冷啟動(dòng)、熱啟動(dòng)、接口linkdown等重要告警事件,路由信息事件(OSPF,BGP)變化,熱備份路由(HSRP)狀態(tài)變化等告警事件,支持對(duì)H3C、CISCO、H3C、等多廠商設(shè)備告警的識(shí)別和解析;網(wǎng)管站告警指包括本級(jí)iMC系統(tǒng)集群服務(wù)器的異常告警,包括CPU利用率、內(nèi)存使用率、iMC服務(wù)程序運(yùn)行狀態(tài)等以及下級(jí)iMC系統(tǒng)上報(bào)的告警事件;網(wǎng)絡(luò)性能監(jiān)視包括CPU利用率,內(nèi)存使用率,以及RMON告警的故障管理。網(wǎng)絡(luò)配置監(jiān)視告警包括設(shè)備軟件版本、配置信息變更等告警事件,并經(jīng)過(guò)iMC智能配置中心組件(iMCiCC)實(shí)現(xiàn)配置文件定期檢查,實(shí)現(xiàn)配置變更告警事件。網(wǎng)絡(luò)流量異常監(jiān)視告警經(jīng)過(guò)iMC網(wǎng)絡(luò)流量分析組件(iMCNTA)實(shí)現(xiàn)網(wǎng)絡(luò)中異常流量告警,包括對(duì)設(shè)備及接口異常流量、主機(jī)IP地址異常流量和應(yīng)用異常流量的告警,支持二級(jí)閾值告警定義;終端安全異常告警經(jīng)過(guò)iMC端點(diǎn)準(zhǔn)入防御組件(iMCEAD)實(shí)現(xiàn)對(duì)終端用戶安全異常的告警,包括ARP攻擊告警、終端異常流量告警及其它終端不安全告警;iMC定期輪詢告警指經(jīng)過(guò)iMC的資源管理模塊對(duì)設(shè)備接口信息定時(shí)進(jìn)行輪循,并及時(shí)上報(bào)通斷告警、響應(yīng)時(shí)間告警等告警事件。告警深度關(guān)聯(lián)分析與統(tǒng)計(jì)iMC告警中心根據(jù)告警腳本中的告警事件定義,接收并解析上報(bào)的告警事件;H3CiMC對(duì)接收到的告警事件進(jìn)行深度關(guān)聯(lián)分析,系統(tǒng)缺省支持重復(fù)事件閾值告警、閃斷事件閾值告警、未知事件閾值告警、未管理設(shè)備告警閾值告警,并能在故障恢復(fù)時(shí)自動(dòng)確認(rèn)相關(guān)告警;同時(shí)用戶能夠根據(jù)自己的需要確定事件的告警規(guī)則,以適應(yīng)網(wǎng)絡(luò)管理需要。重復(fù)事件閾值告警:屏蔽重復(fù)接收到的相同事件,并可在達(dá)到閾值條件時(shí)產(chǎn)生新告警通知用戶。閃斷事件閾值告警:分析接收到的閃斷事件,并可在達(dá)到閾值條件時(shí)產(chǎn)生新告警通知用戶。未知事件閾值告警:屏蔽接收到的未知事件,并可在達(dá)到閾值條件時(shí)產(chǎn)生新告警通知用戶。未管理設(shè)備告警閾值告警:屏蔽接收到的未管理設(shè)備事件,并可在達(dá)到閾值條件時(shí)產(chǎn)生新告警通知用戶。自定義事件過(guò)濾規(guī)則:用戶自定義的事件過(guò)濾規(guī)則,用戶可指定在什么時(shí)間范圍內(nèi)、對(duì)什么樣的告警進(jìn)行過(guò)濾。iMC系統(tǒng)預(yù)定義缺省支持各類深度分析后告警事件關(guān)聯(lián)升級(jí)為告警的生成規(guī)則,同時(shí),管理員能夠自定義由告警事件升級(jí)為告警的規(guī)則,可從事件、事件關(guān)鍵字、事件源、時(shí)間范圍四個(gè)方面進(jìn)行規(guī)則定義,一旦定義事件升級(jí)為告警規(guī)則后,iMC告警中心會(huì)根據(jù)定義的規(guī)則關(guān)聯(lián)分析后生成不同級(jí)別的告警(告警共分成緊急、重要、次要、警告、事件5個(gè)級(jí)別;在瀏覽數(shù)據(jù)窗口,分別以紅色、橙色、黃色、藍(lán)色、灰色五種顏色進(jìn)行顯示),將管理員從繁多的告警事件中解脫出來(lái),避免產(chǎn)生告警風(fēng)暴,讓管理員能專心關(guān)注告警的根源。實(shí)時(shí)告警H3CiMC提供多種方式將告警通知給管理員,包括:實(shí)時(shí)遠(yuǎn)程告警:經(jīng)過(guò)手機(jī)短信或Email郵件的方式,將告警及時(shí)通知管理員,實(shí)現(xiàn)遠(yuǎn)程網(wǎng)絡(luò)的監(jiān)控和管理;分類、聲光告警板,按故障類別及等級(jí)實(shí)時(shí)告警,讓管理員經(jīng)過(guò)告警板不但及時(shí)知道告警產(chǎn)生,同時(shí)能夠了解產(chǎn)生的告警的類別和等級(jí):實(shí)時(shí)告警瀏覽和確認(rèn),經(jīng)過(guò)告警首頁(yè)對(duì)當(dāng)前故障未排除的告警實(shí)時(shí)刷新并提供故障排除確認(rèn)的入口:提供系統(tǒng)快照,實(shí)時(shí)報(bào)告網(wǎng)絡(luò)、下級(jí)網(wǎng)絡(luò)及設(shè)備的狀態(tài)]經(jīng)過(guò)拓?fù)鋵?shí)現(xiàn)報(bào)告網(wǎng)絡(luò)及設(shè)備狀態(tài)故障解決H3CiMC對(duì)各種故障警均提供”修復(fù)建議”,管理員能夠參考修復(fù)建議對(duì)故障進(jìn)行處理。在故障得到解決后,經(jīng)過(guò)對(duì)告警的確認(rèn)完成故障的恢復(fù)確認(rèn)。固化經(jīng)驗(yàn)H3CiMC提供告警知識(shí)庫(kù)。告警知識(shí)是用戶在維護(hù)過(guò)程中的經(jīng)驗(yàn)總結(jié),將這些經(jīng)驗(yàn)輸入系統(tǒng),下次再出現(xiàn)同樣的故障時(shí),能夠作為參考。用戶選中一條告警記錄,系統(tǒng)根據(jù)用戶選中的告警記錄,從告警知識(shí)庫(kù)中查詢出該條告警記錄的維護(hù)經(jīng)驗(yàn),供用戶進(jìn)行告警處理進(jìn)行參考。用戶將自己的日常處理經(jīng)驗(yàn)以及業(yè)務(wù)信息及時(shí)寫(xiě)入數(shù)據(jù)庫(kù)、更新告警知識(shí)庫(kù)對(duì)以后的故障診斷與排除非常有益。性能管理H3CiMC網(wǎng)管系統(tǒng)提供豐富的性能管理功能,同時(shí)以直觀的方式顯示給用戶。例如:能夠提供折線圖、方圖、餅圖等多種顯示方式并能生成相應(yīng)的報(bào)表。經(jīng)過(guò)性能任務(wù)的配置,可自動(dòng)獲得網(wǎng)絡(luò)的各種當(dāng)前性能數(shù)據(jù),并支持設(shè)置性能的閾值,當(dāng)性能超過(guò)閾值時(shí),網(wǎng)絡(luò)以告警的方式通知告警中心:支持AtaGlance、TopN功能,用戶能夠?qū)PU利用率、流量等關(guān)鍵指標(biāo)一目了然;提供各類常見(jiàn)性能指標(biāo)的缺省采集模板;支持實(shí)時(shí)性能監(jiān)視,支持二級(jí)閾值告警設(shè)置,當(dāng)鏈路或端口的流量超過(guò)閾值,系統(tǒng)將會(huì)發(fā)送性能告警,使網(wǎng)絡(luò)管理人員能夠能夠及時(shí)了解網(wǎng)絡(luò)中的隱患,及時(shí)消除隱患。同時(shí)為故障定位提供手段;提供基于歷史數(shù)據(jù)的分析,為用戶擴(kuò)容網(wǎng)絡(luò)、及早發(fā)現(xiàn)網(wǎng)絡(luò)隱患提供保障;支持餅圖、折線圖、曲線圖等多種圖形方式,直觀地反映性能指標(biāo)的變化趨勢(shì);提供靈活的組合條件統(tǒng)計(jì)和查詢;性能報(bào)表支持導(dǎo)出Html、Txt、Excel、Pdf格式文件:設(shè)備管理組件現(xiàn)有的南京藝術(shù)學(xué)院校園網(wǎng)絡(luò)中,由于缺乏有效的設(shè)備管理軟件,網(wǎng)絡(luò)管理人員往往只能經(jīng)過(guò)”徒手”進(jìn)行設(shè)備管理。管理人員往往只能經(jīng)過(guò)遠(yuǎn)程登錄查看設(shè)備工作狀態(tài),了解設(shè)備運(yùn)行情況。H3CiMC提供的設(shè)備管理功能使這種情況成為”過(guò)去”。H3CiMC支持對(duì)H3C全系列IP產(chǎn)品進(jìn)行設(shè)備管理,提供豐富的管理功能。經(jīng)過(guò)面板管理,網(wǎng)絡(luò)管理人員能夠直觀地看到設(shè)備、板卡、端口的工作狀態(tài),經(jīng)過(guò)設(shè)備信息瀏覽監(jiān)視,管理人員能夠了解設(shè)備的運(yùn)行情況,實(shí)時(shí)監(jiān)視CPU利用率、端口利用率等重要信息。同時(shí),H3CiMC提供圖形化的配置方式,使設(shè)備功能配置不再?gòu)?fù)雜。H3CiMC向用戶提供了完善的網(wǎng)元管理功能,經(jīng)過(guò)逼真的面板圖片,直觀地反映了設(shè)備運(yùn)行情況。經(jīng)過(guò)面板圖標(biāo)直觀地反映設(shè)備的框、架、槽、卡、風(fēng)扇、CPU、端口等關(guān)鍵部件的運(yùn)行狀態(tài);能夠查看、設(shè)置設(shè)備端口狀態(tài);能夠查看路由、VLAN等配置信息;能夠查看端口流量、丟包率、錯(cuò)包率等關(guān)鍵統(tǒng)計(jì)數(shù)據(jù);支持對(duì)H3C交換機(jī)堆疊能力的管理;經(jīng)過(guò)Ping、Traceroute等功能測(cè)試當(dāng)前網(wǎng)絡(luò)鏈路的健康狀況;支持從設(shè)備列表、設(shè)備詳細(xì)信息、拓?fù)涞榷鄠€(gè)入口打開(kāi)設(shè)備面板。針對(duì)用戶身份權(quán)限和計(jì)費(fèi)運(yùn)營(yíng)的管理校園網(wǎng)用戶認(rèn)證管理需求分析隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大,用戶不斷的增加,網(wǎng)絡(luò)使用中出現(xiàn)了不少不和諧的聲音:賬戶盜用,惡意欠費(fèi),黑客攻擊,反動(dòng)言論等。這些不和諧的行為影響了正常的網(wǎng)絡(luò)使用,造成了許多安全隱患。為了消除這些隱患,我們需要引入網(wǎng)絡(luò)認(rèn)證管理技術(shù),規(guī)范網(wǎng)絡(luò)使用,在提供體現(xiàn)公平、共享原則的同時(shí)保護(hù)絕大多數(shù)用戶的權(quán)利。在提出解決方案之前我們將相關(guān)需求做一簡(jiǎn)單分析:準(zhǔn)確的用戶身份確認(rèn)校園網(wǎng)用戶分為兩類,一類是不計(jì)費(fèi),另一類是計(jì)費(fèi)。可是無(wú)論是計(jì)費(fèi)還是不計(jì)費(fèi)我們都需要對(duì)其身份進(jìn)行準(zhǔn)確的識(shí)別。這是網(wǎng)絡(luò)安全的需要,同時(shí)也是做到準(zhǔn)確計(jì)費(fèi)的需要。可是如何進(jìn)行用戶身份確認(rèn)呢?這就需要經(jīng)過(guò)認(rèn)證技術(shù)來(lái)實(shí)現(xiàn)。當(dāng)前認(rèn)證技術(shù)有許多,如WEB認(rèn)證,802.1x認(rèn)證,PPPOE認(rèn)證。這些認(rèn)證技術(shù)各有千秋,PPPOE技術(shù)被廣泛的應(yīng)用在寬帶小區(qū),WEB認(rèn)證被應(yīng)用在一些信息系統(tǒng)內(nèi),而802.1x認(rèn)證被應(yīng)用在廣大的校園內(nèi)。這是因?yàn)?02.1x認(rèn)證具最大的特點(diǎn)是簡(jiǎn)單,無(wú)需特殊的設(shè)備支持,同時(shí)支持任何網(wǎng)絡(luò)應(yīng)用。正是這一點(diǎn)打動(dòng)許多學(xué)校老師的心。本方案將以802.1x認(rèn)證用戶身份確認(rèn)技術(shù)。全方位的用戶管理方案用戶的管理隨著網(wǎng)絡(luò)的擴(kuò)大逐步顯得更加的重要,從當(dāng)前的校園網(wǎng)的建設(shè)來(lái)看,不同的學(xué)校有著不同的網(wǎng)絡(luò)的管理方式,如:MAC幫的、IP地址的綁定、卡號(hào)密碼的綁定等,不同方式各有千秋。在南京藝術(shù)學(xué)院校園的網(wǎng)絡(luò)認(rèn)證管理方面,其我們用戶建議采用MAC地址＋端口的綁定技術(shù)來(lái)作為整個(gè)校園網(wǎng)管理的主要方式,接入層交換機(jī)支持多種綁定技術(shù),同樣支持MAC地址＋端口的綁定方式,這樣對(duì)于用戶能夠直接做到端到端的綁定方式。校園網(wǎng)用戶管理認(rèn)證方案概述認(rèn)證管理方案是一個(gè)整體的方案,因此本次主要在新建校園網(wǎng)內(nèi)實(shí)施相應(yīng)的管理措施。而且從校園網(wǎng)實(shí)際使用情況看,學(xué)生宿舍區(qū)的網(wǎng)絡(luò)建設(shè)中認(rèn)證管理是最為突出的問(wèn)題,考慮到學(xué)生的技術(shù)水平較高、學(xué)校內(nèi)喜歡攻擊網(wǎng)絡(luò)的學(xué)生較多,在實(shí)際的建網(wǎng)過(guò)程當(dāng)中應(yīng)當(dāng)充分考慮到這些因素可能會(huì)帶來(lái)的相關(guān)問(wèn)題,在組網(wǎng)建設(shè)過(guò)程當(dāng)中避免。綜合考慮,H3C公司在實(shí)際的在建網(wǎng)的過(guò)程當(dāng)中遵循了以下幾點(diǎn)要求:認(rèn)證交換機(jī)。本次方案所采用的所有交換機(jī)都支持802.1x認(rèn)證?？紤]認(rèn)證的效率,本次認(rèn)證主要由接入層交換機(jī)來(lái)完成。并能夠提供強(qiáng)大的業(yè)務(wù)功能:如:MAC地址綁定等功能。網(wǎng)管平臺(tái)。網(wǎng)管軟件對(duì)于用戶來(lái)說(shuō)是維護(hù)網(wǎng)絡(luò)的重要工具,H3C公司IMC網(wǎng)管平臺(tái)能夠?yàn)橛脩籼峁?qiáng)大的維護(hù)功能,同時(shí)能夠?qū)λ芾淼慕尤雽咏粨Q機(jī)進(jìn)行批量配置,避免用戶繁瑣的工作,同時(shí)IMC能夠?qū)Χ丝诹髁窟M(jìn)行設(shè)置閥值告警,發(fā)現(xiàn)用戶端口流量較大(如:病毒攻擊),能夠經(jīng)過(guò)網(wǎng)管將端口關(guān)閉避免大量垃圾報(bào)文,維護(hù)網(wǎng)絡(luò)安全。業(yè)務(wù)認(rèn)證、授權(quán)管理描述認(rèn)證管理是接入層交換機(jī)和認(rèn)證軟件平臺(tái)重要的特性,本次我們建議采用802.1X的認(rèn)證方式作為接入認(rèn)證的方式。802.1X協(xié)議是IEEE在.6經(jīng)過(guò)的正式標(biāo)準(zhǔn),標(biāo)準(zhǔn)的起草者包括Microsoft,Cisco,Extreme,Nortel等;802.1X定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議(portbasednetworkaccesscontrol),該協(xié)議適用于接入設(shè)備與接入端口間點(diǎn)到點(diǎn)的連接方式,其中端口既能夠是物理端口,也能夠是邏輯端口。H3C公司的網(wǎng)絡(luò)設(shè)備對(duì)802.1x做了擴(kuò)充,使其能夠基于MAC地址進(jìn)行網(wǎng)絡(luò)接入控制。IEEE802.1X的體系結(jié)構(gòu)中包括三個(gè)部分:(1)SupplicantSystem--用戶接入設(shè)備(2)AuthenticatorSystem--接入控制單元(3)AuthenticationSeverSystem--認(rèn)證服務(wù)器接入層LANSWITCH設(shè)備需要實(shí)現(xiàn)802.1X的認(rèn)證系統(tǒng)部分Authenticator;用戶接入設(shè)備(PC)需要有802.1x的客戶端軟件;認(rèn)證服務(wù)器能夠是802.1x的服務(wù)器,也能夠是傳統(tǒng)的Radius服務(wù)器;傳輸介質(zhì)為點(diǎn)對(duì)點(diǎn)以太網(wǎng)(即PC直接經(jīng)過(guò)網(wǎng)線連接到LSW的端口),如果是共享式以太網(wǎng),則需要采用加密的方式(MD5)傳遞認(rèn)證信息。概念解釋:PAE,即portaccessentity之縮寫(xiě),意為端口接入實(shí)體SupplicantPAE:發(fā)起接入請(qǐng)求的PAE,指一般PCAuthenticatorPAE:駐留在接入設(shè)備上的驗(yàn)證模塊PAE受控端口是802.1X系統(tǒng)的核心概念(1)Authenticator內(nèi)部有受控端口(ControlledPort)和非受控端口(UncontrolledPort)。(2)非受控端口始終處于雙向連通狀態(tài),主要用來(lái)傳遞EAPOL協(xié)議幀,可保證Supplicant始終能夠發(fā)出或接受認(rèn)證。受控端口只有在認(rèn)證經(jīng)過(guò)的狀態(tài)下才打開(kāi),用于傳遞網(wǎng)絡(luò)資源和服務(wù)。(3)受控端口可配置為雙向受控、僅輸入受控兩種方式,以適應(yīng)不同的應(yīng)用環(huán)境。輸入受控應(yīng)用在集中桌面管理的應(yīng)用場(chǎng)合,例如管理員即使在客戶端關(guān)機(jī)的情況下也能將經(jīng)過(guò)受控端口向用戶計(jì)算機(jī)發(fā)送遠(yuǎn)程開(kāi)機(jī)命令。(4)H3C公司的COMWARE平臺(tái)的802.1X子系統(tǒng)擴(kuò)展了多種受控端口類型,以支持復(fù)雜的應(yīng)用環(huán)境。802.1X的認(rèn)證模式:端口認(rèn)證模式:ForceAuthorized:常開(kāi)模式。端口一直維持授權(quán)狀態(tài),設(shè)備端不主動(dòng)發(fā)起認(rèn)證;ForceUnauthorized:常關(guān)模式。端口一直維持非授權(quán)狀態(tài),忽略所有客戶端發(fā)起的認(rèn)證請(qǐng)求;Auto:協(xié)議控制模式。設(shè)置端口初始狀態(tài)為非授權(quán)狀態(tài),使端口僅允許EAPOL報(bào)文收發(fā),如果認(rèn)證流程經(jīng)過(guò),端口切換到授權(quán)狀態(tài);COMWARE的802.1X子系統(tǒng)允許一個(gè)物理端口下有多個(gè)受控端口,在一個(gè)物理端口下的所有受控端口只能配置成相同的端口認(rèn)證模式,這種限制是為了方便管理員配置。802.1x協(xié)議定義了一種基于port的認(rèn)證方法,在協(xié)議中允許允許一個(gè)物理端口下有多個(gè)受控端口,應(yīng)該是為了便于實(shí)現(xiàn)對(duì)802.1x的擴(kuò)充,如在物理端口下開(kāi)發(fā)基于MAC地址的認(rèn)證,每個(gè)MAC地址將有一個(gè)動(dòng)態(tài)的邏輯端口,邏輯端口的狀態(tài)是受控的。也能夠開(kāi)發(fā)基于VLAN的認(rèn)證,等等。端口類型:(1)邏輯端口(默認(rèn)):一個(gè)邏輯端口對(duì)應(yīng)一個(gè)物理端口,對(duì)應(yīng)一個(gè)AuthenticatorPAE狀態(tài)機(jī)實(shí)體。這種端口類型的802.1x認(rèn)證與PPPoE和WEB認(rèn)證方式相比,有缺陷,無(wú)法靈活地應(yīng)用到運(yùn)營(yíng)商的寬帶城域網(wǎng)(可參考H3C技術(shù)報(bào)上的<<802.1x認(rèn)證技術(shù)>>一文)。(2)邏輯端口＋源MAC:這種類型的受控端口為每一個(gè)客戶端創(chuàng)立一個(gè)AuthenticatorPAE狀態(tài)機(jī)實(shí)體。每個(gè)物理端口上受控端口的個(gè)數(shù)是有限制的(可配置),當(dāng)有客戶端發(fā)送EAPOL-Start請(qǐng)求認(rèn)證報(bào)文時(shí)提取客戶端源MAC地址,做為受控端口的標(biāo)識(shí)?？蛻舳俗N時(shí)對(duì)應(yīng)的受控端口資源被釋放。(3)邏輯端口＋VLANID+源MAC:這種擴(kuò)展的受控端口類型,主要是配合S3000+LANSWITCH方式組網(wǎng),S3000上實(shí)現(xiàn)的802.1X受控端口類型,邏輯端口+VLANID能夠定位到下層LANSWITCH的物理和邏輯端口,源MAC地址能夠區(qū)分到客戶端。H3C公司網(wǎng)絡(luò)產(chǎn)品支持以下的基本認(rèn)證方式:本地認(rèn)證:接入設(shè)備根據(jù)用戶名在本設(shè)備的數(shù)據(jù)庫(kù)查找,若存在相同的用戶名和密碼則驗(yàn)證經(jīng)過(guò),否則驗(yàn)證失敗。Radius認(rèn)證:接入設(shè)備經(jīng)過(guò)Radius報(bào)文與Radius服務(wù)器交互報(bào)文,由Radius服務(wù)器完成對(duì)用戶身份合法性的驗(yàn)證。PAP認(rèn)證:PasswordAuthenticationProtocol,用戶以明文的形式把用戶名和她的密碼傳遞給接入設(shè)備的驗(yàn)證方式。CHAP認(rèn)證:ChallengeHandshakeAuthenticationProtocol,當(dāng)用戶請(qǐng)求上網(wǎng)時(shí),接入設(shè)備生成一個(gè)16字節(jié)的隨機(jī)碼給用戶,同時(shí)還有一個(gè)ID號(hào)及接入設(shè)備的hostname。客戶端得到這個(gè)包后使用自己獨(dú)用的設(shè)備或軟件對(duì)傳來(lái)的各域進(jìn)行加密,生成一個(gè)response傳給接入設(shè)備,接入設(shè)備根據(jù)用戶名在本端或Radius服務(wù)器查找,得到和用戶端進(jìn)行加密所用的一樣的密碼,然后根據(jù)原來(lái)的16字節(jié)的隨機(jī)碼進(jìn)行加密,將其結(jié)果與Response作比較,若相同表明驗(yàn)證經(jīng)過(guò),否則驗(yàn)證失敗。CHAP認(rèn)證時(shí),密碼經(jīng)過(guò)了MD5算法加密處理,防止報(bào)文被截獲。南京藝術(shù)學(xué)院校園802.1X的認(rèn)證過(guò)程首先南京藝術(shù)學(xué)院校園的端口模式采用常關(guān)模式,首先上網(wǎng)學(xué)生經(jīng)過(guò)802.1X的客戶端收入用戶名、密碼后客戶端發(fā)起EAP報(bào)文至802.1Xserver,在接入交換機(jī)上終結(jié)EAP報(bào)文,然后從接入交換機(jī)再次發(fā)起Raduis報(bào)文至認(rèn)證服務(wù)器RaduisSver,由RaduisServer來(lái)驗(yàn)證用戶名、密碼是否匹配,在認(rèn)證經(jīng)過(guò)以后由認(rèn)證服務(wù)器下發(fā)Raduis報(bào)文至接入交換機(jī)上通知該用戶認(rèn)證經(jīng)過(guò),接入交換機(jī)上再將相對(duì)應(yīng)的端口打開(kāi),允許學(xué)習(xí)MAC地址,允許用戶上網(wǎng)。802.1X的認(rèn)證方式最為主要的三點(diǎn)是:1.認(rèn)證的802.1X的客戶端的功能。2.認(rèn)證的802.1XServer;3.與認(rèn)證服務(wù)器的配合。H3C公司自主開(kāi)發(fā)的802.1X客戶端以及認(rèn)證服務(wù)器,在實(shí)際的應(yīng)用中配合H3C的接入層交換機(jī)最終完成802.1X的認(rèn)證。CAMS對(duì)用戶上網(wǎng)認(rèn)證的管理用戶需求分析南京藝術(shù)學(xué)院校園校園網(wǎng)的管理基本上分為以下幾個(gè)方面:用戶信息的搜集用戶信息的搜集是網(wǎng)絡(luò)開(kāi)通前網(wǎng)管人員的首要任務(wù),此時(shí)需要搜集的信息可能包含有:學(xué)生的學(xué)號(hào)、用戶主機(jī)的MAC地址、用戶接入的端口、分給用戶的IP地址、用戶的性別、用戶的宿舍號(hào)、用戶的學(xué)院、或是我們需要用戶提供的相關(guān)特性。此過(guò)程可能是用戶工作量最大的一個(gè)過(guò)程。學(xué)生用戶的開(kāi)戶開(kāi)戶的過(guò)程是網(wǎng)絡(luò)人員的針對(duì)用戶的需求進(jìn)行開(kāi)戶,用戶把錢交給網(wǎng)絡(luò)中心為用戶提供開(kāi)戶業(yè)務(wù),提供給用戶網(wǎng)絡(luò)資源。網(wǎng)絡(luò)安全控制該過(guò)程是網(wǎng)管人員對(duì)上網(wǎng)用戶進(jìn)行實(shí)時(shí)檢測(cè)的過(guò)程,網(wǎng)管人員要確保網(wǎng)絡(luò)的安全,要對(duì)用戶上網(wǎng)的動(dòng)作進(jìn)行監(jiān)控,并有效的防止網(wǎng)絡(luò)當(dāng)中存在的各種非法操作用戶?！傊?整個(gè)網(wǎng)絡(luò)的開(kāi)通、運(yùn)行、維護(hù)是一個(gè)持續(xù)、巨大工作量的過(guò)程,網(wǎng)管人員是這些任務(wù)的承擔(dān)者。CAMS解決方案下面我們?cè)賮?lái)看一下CAMS是如何解決用戶的相關(guān)問(wèn)題。用戶相關(guān)信息的搜集CAMS的”用戶預(yù)注冊(cè)”解決網(wǎng)管人員搜集用戶信息中遇到的問(wèn)題,傳統(tǒng)的方式是經(jīng)過(guò)網(wǎng)管人員的信息錄入來(lái)搜集客戶的信息,這種方式使得網(wǎng)管人員的工作量劇增。舉例來(lái)說(shuō),一個(gè)5000用戶的開(kāi)戶工作,我們假設(shè)1個(gè)用戶的錄入工作需要2分鐘(包括檢查用戶提供的信息是否正確),5000用戶需要的工作量就是5000×2＝10000分鐘,共計(jì)166小時(shí),按照一天8小時(shí)工作時(shí)間計(jì)算,共需要21天,這樣的工作量對(duì)網(wǎng)管人員來(lái)說(shuō)是不可忍受的,CAMS支持用戶預(yù)注冊(cè)功能,所有的用戶名密碼等信息都由用戶自己輸入,而且用戶如果我們還需要部分信息還能夠進(jìn)行定制。用戶預(yù)注冊(cè):用戶預(yù)注冊(cè)能夠幫助用戶在開(kāi)戶前的相關(guān)信息的搜集,用戶能夠經(jīng)過(guò)固定的網(wǎng)上申請(qǐng)用戶名、密碼等相關(guān)信息,而且網(wǎng)管人員需要搜集的信息能夠在”用戶附加信息”中進(jìn)行自行定義,定義的方式也是可選的,能夠是下拉菜單方式的、也能夠是輸入的,為了避免用戶輸錯(cuò),可規(guī)定輸入文檔的格式,詳見(jiàn)”用戶附加信息”。我們能夠在用戶預(yù)注冊(cè)的時(shí)候要求用戶輸入我們要搜集的相關(guān)MAC、學(xué)號(hào)、學(xué)院等信息。 用戶附加信息: 用戶附加信息是為了給網(wǎng)管人員自助定義用戶信息的工具,每個(gè)網(wǎng)管人員標(biāo)識(shí)用戶的方法、種類可能各不相同,用戶附加信息如下所示: 網(wǎng)管人員能夠在用戶附加信息選項(xiàng)中靈活定義需要用戶輸入的信息,同時(shí)能夠選擇這些字段是否在用戶預(yù)注冊(cè)時(shí)必須輸入。這樣用戶信息的搜集就由網(wǎng)管人員主動(dòng)搜集變?yōu)橛脩糁鲃?dòng)上報(bào),網(wǎng)管人員需要作的更多的是用戶開(kāi)戶時(shí)信息的確認(rèn)。開(kāi)戶過(guò)程我們剛才講了用戶經(jīng)過(guò)預(yù)注冊(cè)的功能能夠?qū)崿F(xiàn)在網(wǎng)上進(jìn)行預(yù)