《计算机论文-网络安全与功能.docx》由会员分享,可在线阅读,更多相关《计算机论文-网络安全与功能.docx(30页珍藏版)》请在三一办公上搜索。
1、吉林省高等教育自学考试毕 业 论 文论文题目:计算机网络安全与功能专 业:计算机软件准考证号:018308201711学生姓名:王继龙指导教师:2011年 03月11日摘 要 计算机网络:是指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统,网罗管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统。计算机网络的功能主要表现在硬件资源共享、软件资源共享和用户间信息交换两个个方面。硬件资源共享。可以在全网范围内提供对处理资源、存储资源、输入输出资源等昂贵设备的共享,使用户节省投资,也便于集中管理和均衡分担负荷。软件资源共享。允许互联网上
2、的用户远程访问各类大弄数据库,可以得到网络文件传送服务、远地进程管理服务和远程文件访问服务,从而避免软件研制上的重复劳动以及数据资源的重复存贮,也便于集中管理。关键词 设计原则 技术选型 总体网络设计 应用系统设计原则AbstractComputer network: refers to the geographic location of different functions with independent multiple computers and peripheral equipment, connected via communication lines in the netwo
3、rk operating system, recruited management software and network communications protocol management and coordination, resource sharing and The transmission of information computer systems.The main function of the performance of the computer network resource sharing in hardware, software, resource shar
4、ing and information exchange between the three aspects of the user.hardware resource sharing. Can be provided within the whole network of processing resources, storage resources, input and output resources, the sharing of expensive equipment, allowing users to save investment, but also easy to centr
5、ally manage and share the load balancing. software resources sharing. Allows remote access to users on the Internet get all kinds of large databases, network file transfer services can be obtained, remote process management services and remote file access service, thus avoiding duplication of work o
6、n software development and data storage resources, duplication, but also easy to focus on Management.Keywords overall network design principles design applications technology selection system design principles吉林大学计算机科学与技术学院 本科生毕业论文目 录摘 要 1第一章 引 言3第二章 网络建设方案4一、现状分析4二、 设计原则41 技术先进性、实用性原则42 协议开放性原则43 规
7、模可扩充性原则44 可靠性及安全性原则45 可管理性原则5三、 技术选型51 以太网技术52 网络分层53 网络结构64 TCP/IP协议7四、 总体网络设计71 核心层设计72 核心层设备选型83 汇聚层设计94 汇聚层设备选型95 接入层设计106 接入层设备选型117 网管设备产品选型118 认证计费系统解决方案139 认证计费系统解决应用16五、 网络拓扑图20第三章 应用系统建设子方案21一、 架构的开放性21二、 架构的稳定可靠性21三、 架构的其他性能22结 论23参考文献24谢 辞25题目:计算机网络安全与功能 第1章 引 言随着计算机技术的迅速发展,在计算机上处理的业务也由基
8、于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互联网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,整体的网络安全主要表现在以下几个方面:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。因此计算机安全问题,应该象每家每户的防火防盗问题一样,做到防范于未然。甚至不会想到你自己也会成为目标的时候,威胁就
9、已经出现了,一旦发生,常常措手不及,造成极大的损失。国外方面:1996年初,据美国旧金山的计算机安全协会与联邦调查局的一次联合调查统计,有53的企业受到过计算机病毒的侵害,42的企业的计算机系统在过去的12个月被非法使用过。而五角大楼的一个研究小组称美国一年中遭受的攻击就达25万次之多。1994年末,俄罗斯黑客弗拉基米尔利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上,向美国CITYBANK银行发动了一连串攻击,通过电子转帐方式,从CITYBANK银行在纽约的计算机主机里窃取1100万美元。1996年8月17日,美国司法部的网络服务器遭到黑客入侵,并将“ 美国司法部”的主页改为“美国不公正
10、部”,将司法部部长的照片换成了阿道夫?希特勒,将司法部徽章换成了纳粹党徽,并加上一幅色情女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国司法政策的文字。1996年9月18日,黑客又光顾美国中央情报局的网络服务器,将其主页由“中央情报局”改为“中央愚蠢局”。1996年12月29日,黑客侵入美国空军的全球网网址并将其主页肆意改动,其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象,且声称美国政府所说的一切都是谎言。迫使美国国防部一度关闭了其他80多个军方网址。国内方面:1997年初,北京某ISP被黑客成功侵入,并在清华大学“水木清华”BBS站的“黑客与解密”讨论区张贴有关如何免
11、费通过该ISP进入Internet的文章。1997年4月23日,美国德克萨斯州内查德逊地区西南贝尔互联网络公司的某个PPP用户侵入中国互联网络信息中心的服务器,破译该系统的shutdown帐户,把中国互联网信息中心的主页换成了一个笑嘻嘻的骷髅头。2010年,Google发布公告称讲考虑退出中国市场,而公告中称:造成此决定的重要原因是因为Google被黑客攻击。因此,构建一个安全的网络是非常必要的。第二章 网络建设方案一、现状分析从2000年至今,哈尔滨学院的校园网络架构已经建成,并且经过了三次的改造扩建,在网络应用、网络安全等方面已经趋于成熟。本次项目为哈尔滨学院校园网第四次改造,主要面向学生
12、宿舍楼的综合布线及学生上网认证及行为管理,监理日志系统及单独的管理学生宿舍的系统,为学生学习、生活、娱乐等方面创造良好的环境。二、设计原则(一)、技术先进性、实用性原则对哈尔滨学院网络集成及布线项目,不仅仅是建立学生宿舍系统,该网络不仅要求能满足现有的TCP/IP应用,并满足未来发展的需要。这就要求网络的规划设计必须考虑到技术的可行性和先进性,同时要考虑到前瞻性。在网络设备、线路、带宽、传输协议选择,以及重要网络节点的内部结构设计时,都需要权衡现有需求和未来发展需要之间、现有技术的可获得性和未来技术发展方向之间的矛盾。网络系统结构设计在满足以上要求的同时还必须做到经济实用,以节约投资,必须以有
13、限的投资获得较高的性能,即系统应该具有较高的性能价格比。综上所述,必须将对哈尔滨学院网络集成及布线项目建成为一个高性能计算机网络平台,在技术水平上有一定的前瞻性、先进性,而又经济实用的网络。(二)、协议开放性原则开放性是进行系统互连、数据交互的必然要求,也是提高系统易维护性的重要前提。在网络协议上应该采用广为使用、开放的TCP/IP协议。采用符合国际和国内工业标准的协议和接口,实现与其他网络和信息资源的互连互通。(三)、规模可扩充性原则易扩展性是业务发展的需要。随着网络用户的不断增加,业务的不断扩展,网络规模也迅速膨胀。为了保护现有投资,也为了满足用户的需要,提供优质服务,必须保证组建的系统很
14、容易扩展。在客户数量剧增的情况下依然能够提供优质服务,这就要求我们的系统具有良好的可扩展性。网络可扩展性主要考虑网络容量的扩展、网络带宽的扩展、网络用户的扩展、网络数据库的扩展等。提高扩展性有两种途径,一种是采用的设备很容易通过增加模块扩展系统,另一种是设计的系统必须很容易通过增加设备来进行扩展。(四)、可靠性及安全性原则对哈尔滨学院网络集成及布线项目是对哈尔滨学院办公、管理信息化、对外业务信息化和内部信息服务的网络。这就要求在网络规划、设计时,必须充分考虑系统的高可靠性、高可用性等问题。解决好系统的性能冗余问题,网络平台结构应力求消除单点故障;建设一个“具有自愈能力”的强壮的网络平台。安全性
15、对整个系统的正常运作起着至关重要的作用,提高系统的安全性不仅要从技术上考虑,通过防火墙、加密、认证等技术保证系统的安全性,而且要从管理上着手,堵住管理上的安全漏洞,这样才能使系统真正做到安全可靠。(五)、可管理性原则网络系统的管理维护是一项繁重的工作,代价也极高。可以说,一个系统的易维护性决定了该系统的寿命,也决定了该系统的实际运行成本,同时,如果一个系统容易维护,则发生错误的概率就会大大降低。系统的管理易维护性体现在软硬件两个方面。硬件易维护性主要指安装、升级简单方便,后备配件充足。软件易维护性主要指体系结构清楚,易理解,同时,管理界面友好,易操作。3、 技术选型(一)、以太网技术交换以太网
16、是新近发展起来的先进网络技术。它在保证与以太网协议兼容的前提下,提高网络利用率,减少网络资源争夺造成的冲突,使网络性能大幅度提高,以满足各类数据信息传输的要求。因此此次网络主干仍将采用交换以太网技术以保证网络整体的优越性能。以太网还具有价格低、可靠性高、可扩展性好、易于管理等优点,当前使用的主要有10M位共享式以太网、100M快速以太网及千兆位以太网等三个版本。根据应用的实际情况,建议选择带有三层路由功能的高速10000M核心交换机,100兆交换到用户桌面的接入交换机,确保整个网络交换速率及吞吐量。(二)、网络分层我们建议从逻辑上采用分层的建网思路,这样可使网络结构明晰,各层功能实体之间的作用
17、定位清楚,接口开放,标准。根据网络不同的规模,可分为核心层(骨干层)、汇聚层和接入层。如图2-1所示网络分层结构。我们根据不同的区域有各不想同的特点,有针对性的选择使用三层结构或者二层结构。图2-1 网络分层结构核心层:主要完成的功能是给各业务汇接节点提供高带宽的IP业务承载交换通道;一般采用背板交换带宽比较高的网络设备,提供高交换能力。汇聚层:主要完成的功能是给各业务接入节点提供业务的汇聚、管理和分发处理。一般采用带有三层功能的交换机,提供路由功能。接入层:主要利用多种接入技术,迅速覆盖用户,进行带宽和业务分配,实现用户的接入,接入节点设备完成多业务的复用和传输,并且利用光纤,双绞线、同轴电
18、缆等连接到用户。一般采用二层的接入交换机。(三)、网络结构网络拓扑结构是抛开网络电缆的物理连接来讨论网络系统的连接形式,是指网络电缆构成的几何形状,它能表示出网络服务器、工作站的网络配置和互相之间的连接。一般包括总线型、星型、树型和网型。总线型由于具有无法应用交换技术;网络无法采用分层结构;网络易瘫痪这些致命的缺点,因此本方案中不予考虑。网型拓扑由于造价较高,性价比低,因此在电子政务信息系统工程中也不予考虑。故我们主要针对星状拓扑结构和树状拓扑结构进行分析选择:图2-2 星状网络特点:使用点到点的链路接到中心节点,有唯一的转发节点。优点:结构简单,利用中心节点可以方便的提供服务和配置网络、单点
19、故障不影响整个网络、易于检测和隔离故障,便于维护;缺点:每个站点直接与中心节点相连,需要大量的电缆,线路费用高、中心节点压力大,中心节点一旦故障,所有的三层机制均瘫痪,譬如Vlan之间无法通信,全网将无法工作。适用范围:星状结构网络适合中小型网络的普遍拓扑形式。树状结构网络。如图2-3所示树状网络。图2-3 树状网络特点:星状结构网络层次化扩展就形成了树型网络结构。优点:可靠性好,二级中心节点的故障不会导致整个网络的瘫痪、分级接入网络,线路费用低。缺点:大区节点单点故障压力、中心节点也有压力。适用范围:大型网络的骨干网。因此我们建议哈尔滨学院学生宿舍系统采用树型拓扑结构,同时利用核心交换机本身
20、的能力来达到提高稳定性,弥补拓扑结构上的不足。(四)、TCP/IP协议在TCP/IP协议簇里,TCP提供可靠的面向连接的全双工数据流,IP提供无连接的报文分组服务。因此,使用TCP/IP可方便地进行网络互联,是目前计算机通信行业开放系统互联的事实标准,提供最高程度的可互操作性,拥有最广泛的厂商系列产品和覆盖面。TCP/IP是目前实现异种机、异种操作系统及异种网互连、互通比较切实可行的途径,具有强大的联网能力和适应多种应用环境的能力。因此我们选择TCP/IP协议作为哈尔滨学院网络集成及布线项目的主要网络协议。4、 总体网络设计哈尔滨学院网络方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性
21、、可管理性和统一的网管系统为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法,构建三层交换技术的园区IP主干网络。整个校区园区网拟分为如下几个层次:核心层、汇聚层、接入层。(一)、核心层设计核心层总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。核心交换机,从网络设备的可靠性上我们选择可靠性可以达到99.999%的电信级产品,其关键部件可支持冗余配置,比如电源、风扇、管理引擎。从方案的角度设计,由于核心交换机双机热备方式,接入层交换机双线路接入到核心交换机,整个网络拓扑具有极强的稳
22、定性。核心交换机建议采用先进的Crossbar接口板内Crossbar共享内存包处理器组成的三级分布式交换结构。这种分布式的业务处理和交换架构不但提高了系统交换容量的可扩展性、业务可扩展性,同时也避免了业务过分集中和依赖于某种单板,消除了业务处理的瓶颈,有效地隔离网络故障,极大提高了系统的可靠性。核心交换机建议采用双电源冗余。当配置两个电源模块时,两个模块工作在均流模式(负荷分担),当其中一个电源模块故障,会自动隔离,正常的电源模块负责给整个系统供电。电源模块支持双路电源供电。核心交换机建议采用多个风扇框,单个风扇的损坏不影响整个系统的散热性能,同时系统进行报警信号,以便及时更换。系统实时监测
23、各单板温度,自动控制风扇转速,风扇转速分为100、75、50三档。当设备温度较低时,系统自动把风扇转速降低,这样不仅延长了风扇寿命、提高系统的可靠性,也显著降低了设备噪声。核心交换机建议的背板主要由PCB、信号连接器和电源连接器组成,为100无源设计,避免单点故障,大大提高系统可靠性。所有单板、电源模块、风扇框均支持热插拔(Hot swapping)核心交换机应该支持IEEE 802.3ad 链路聚合(Link Aggregation),不但支持板内链路聚合,也支持跨板链路聚合。对于可靠性要求高的链路,可以配置成跨板链路聚合,这样同时实现了链路冗余保护和单板冗余保护,消除了单点故障。核心交换机
24、应该支持的域内OSPF、域间BGP路由协议,支持多达等价路由的负载均衡(ECMP),且要求收敛速度快,这样才能保证了网络路由的稳定性和可靠性。核心交换机应该支持MSTP,MSTP可以将不同的流映射到不同的生成树中,避免流量间干扰,便于网络维护,MSTP实现基于VLAN的负载均衡和冗余备份,MSTP可以与VRRP配合使用,同时实现VLAN网关备份与流量分担,根保护和双根冗余:MSTP支持BPDU保护、根保护,从而增强网络稳定性,防止非法BPDU报文攻击。VRRP实现三层的负载均衡和冗余备份,当主机的主接口路由器坏掉时,可以及时由备用接口路由器来代替,从而确保通讯的连续性和可靠性。VRRP组对外虚
25、拟同一个IP地址&同一个MAC地址。不中断业务的平滑升级。核心交换机应该支持对OS软件进行不中断业务的平滑升级(Up-gradable /Down-gradable)。当需要升级时,可以按照以下步骤进行:1. 先升级备用主控板(不妨称作MPU-B)的OS软件(该备用板在此过程中处于Standby状态);2. 进行主备倒换,将OS已升级的主控板MPU-B升为主用(Active),原来主用的主控板(称作MPU-A)变为备用;3. 检查系统和业务是否正常,如果正常,则升级MPU-A的OS软件(此时处于Standby状态),实现平滑升级;4. 如果升级MPU-B后出现异常,则可重新让尚未升级的MPU-
26、A升为主用,退回到原来的OS版本,然后把MPU-B的OS软件也退回到升级前的版本,从而避免升级造成的系统崩溃和业务中断。由于病毒广泛流传于网络当中,所以网络设备应该有自我防蠕虫病毒攻击的功能,核心交换机应该是采用分布式的转发,路由查找模式为最长匹配。这样就可以避免网内、网外的非法用户利用专门的攻击软件来攻击中心交换机,因为这种攻击是通过不断变换自己的本网断内的IP地址,来不断消耗主控处理板的CPU处理能力,直到彻底使主控处理板的CPU丧失处理能力,整个机器瘫掉。根据最长匹配来查找路由的,是针对网断进行路由的。所以当攻击者进行攻击时,只能造成该接口板的业务能力处理下降,但是对于整机没有多大影响。
27、网络的背板技术经历了共享式、缓存式等发展,Crossbar技术被公认为最为完美的一种设计方式,这样整机的转发不存在任何的瓶颈问题,在每个业务单板上面也同样采用Crossbar的技术,端口与端口之间的转发均有可直达的端到端转发通道,使得端口之间的转发不存在在任何瓶颈,大大提高了核心交换机的整机转发性能。(2) 、核心层设备选型综合上面的阐述,我们建议核心交换机采用锐捷RGS8614高密度多业务IPv6核心路由交换机,主要参数如下:1. 千兆光口12个;千兆光电复用口12个;管理引擎2块;每个引擎内存1GMB;电源模块2块。2. 配置4个千兆多模光接口模块,6个千兆单模光接口模块。3. 背板带宽3
28、T;交换容量2T;包转发率1500Mpps。4. 支持100G扩展,每业务板与背板交换带宽200G。5. 整机插槽数14个;支持电源1+1冗余。6. 硬件方式实现CPU保护技术,须提供信息产业部相关测试报告。7. MAC地址表容量128K;路由表容量512K。8. 主机自带显示屏,可直接显示设备当前运行状态等信息,主控引擎支持USB接口,便于网管。9. 支持IEEE 802.1Q VLAN、支持多组一对多的端口镜像、支持跨线卡链路聚合。10. 支持Jumbo帧、支持IEEE 802.1x、支持QinQ、支持单向链路检测。11. 支持RIPv1/v2、OSPF、BGP、VRRP、硬件方式实现策略
29、路由。12. 支持IGMPv1/v2/v3、支持PIM(SM、DM)、支持ARP Proxy。 13. 支持MPLS;要求实现万兆线速,二层支持Matini、三层支持MPLS VPN,须提供信息产业部相关测试报告。 14. 支持IPv6,要求实现万兆线速转发,须提供信息产业部相关测试报告。15. 支持硬件IPv6数据处理和转发,支持IPv6单播路由、ACL for IPv6、ICMPv6、DHCPv6等。16. 支持IPv6过渡技术:手工隧道、ISATAP、6to4隧道。17. 支持SP、RR、WRR、DRR、SP+WRR、SP+DRR等多种QoS队列调度算法;支持802.1d/w/s、支持E
30、CMP、WCMP扩展路由技术。 18. 支持管理引擎冗余、支持双引擎热备切换保证业务不间断,须提供信息产业部相关测试报告。19. 本机繁忙或端口邻居繁忙的情况下,保证STP和VRRP不震荡。 20. 支持以太网环快速收敛,在万兆线速转发时收敛时间50ms,须提供信息产业部相关测试报告。21. 硬件防畸形TCP报文、LAND攻击、防IP扫描 (PingSweep) 、硬件防源IP地址欺骗 (Source IP Spoofing),可以对网络攻击有自动防御功能,须提供信息产业部相关测试报告。22. 硬件支持多种ACL访问控制策略,支持配置大量ACL情况时不影响交换机性能,可以万兆线速转发,须提供信
31、息产业部相关测试报告。23. 支持SNTP、NTP、Syslog,CLI需兼容业界主流标准。 24. 支持IPFIX流量分析技术,可以实现万兆流量监控,须提供信息产业部相关测试报告。(3) 、 汇聚层设计聚交换机可以参考核心交换机选择的综合考虑因素:汇聚交换机负责各楼宇接入要满足一定的高速数据交换在需要,所以应具有较高的包转发能力;系统需要进一步扩容时,汇聚交换机应该还有一定的扩展能力。稳定性、可靠性要求,在需要时可实现一些主要部件冗余;核心交换机可以提供较多1000M光纤接口;核心交换机应该支持VLAN功能、QOS、ACL等功能;需要支持第三层交换技术。还必须要具有可管理性,要能支持远程对网
32、络设备进行检测、配置、故障排错的能力。(4) 、汇聚层设备选型综合上面的阐述,我们建议采用锐捷RG-S7604多业务IPv6核心路由交换机和RG-S5750-24GT/12SFP安全智能万兆多层交换机。RG-S7604多业务IPv6核心路由交换机主要参数为:1.背板带宽1T;交换容量400G;包转发率276Mpps;整机插槽数4个。2. 千兆电口数24;千兆光电复用口6个。3. 管理引擎1块;电源模块2块。4. MAC地址表容量64K;路由表容量64K。5. 硬件方式实现CPU保护技术,须提供信息产业部相关测试报告。支持IEEE 802.1Q VLAN、支持多组一对多的端口镜像、支持跨线卡链路
33、聚合。支持Jumbo帧、支持IEEE 802.1x、支持QinQ、支持单向链路检测。6. 支持RIPv1/v2、OSPF、BGP、VRRP、硬件方式实现策略路由。7. 支持IGMPv1/v2/v3、支持PIM(SM、DM)、支持DVMRP、支持ARP Proxy。8. 支持硬件IPv6数据处理和转发,支持IPv6单播路由、ACL for IPv6、ICMPv6、DHCPv6等。9. 支持IPv6过渡技术:手工隧道、ISATAP、6to4隧道,隧道数量128。10. 支持SP、RR、WRR、DRR、SP+WRR、SP+DRR等多种QoS队列调度算法。支持802.1d/w/s、支持ECMP、WCM
34、P扩展路由技术。11. 支持电源冗余,单个电源功率240W。本机繁忙或端口邻居繁忙的情况下,保证STP和VRRP不震荡。12. 硬件防畸形TCP报文、LAND攻击、防IP扫描 (PingSweep) 、硬件防源IP地址欺骗 (Source IP Spoofing)。13. 防ARP攻击,须提供信息产业部相关测试报告。14. 硬件支持多种ACL访问控制策略,支持管理员登陆交换机的RADIUS远程认证。15. 支持Telnet、Console、Web、RMON、SSHv2、SNMPv1/v2/v3等管理方式。16. 支持SNTP、NTP、Syslog,CLI需兼容业界主流标准。17. 提供IPv6
35、Ready第二阶段认证证书。18. 同时要求以上业务端口和引擎采用分离式设计,以保障整机稳定性。19. 需要配置4个千兆多模光接口模块,4个千兆单模光接口模块,2个千兆电口接口模块。RG-S5750-24GT/12SFP安全智能万兆多层交换机主要参数为:1. 整机固化千兆电口12; 固化千兆光电复用接口数12。2. 交换容量200G;扩展槽2。3. 支持基于模块化的堆叠;支持万兆堆叠。4. IPv4/IPv6线速转发。5. 支持STP、RSTP、MSTP,其中MSTP实例数32。6. 支持XFP和XENPAK 2种万兆接口标准的模块。7. 支持端口环路检测,单向链路检测,双向链路检测。8. 要
36、求支持IGMP V1/2/3 、PIM-SM、PIM-DM、PIM-SSM、组播路由表1K。9. 支持802.1p和DSCP优先级分类;支持SP、WRR队列调度机制;每个输出端口支持优先级队列8个;提供IPv6Ready第二阶段认证证书。10. 支持RIP v1/v2、OSPF V1/2、静态路由、策略路由、VRRP,ECMP,WCMP。11. 要求支持SNMP(v1,v2C,v3)、Web、CLI、RMON(1、2、3、9)、NTP/SNTP、Syslog。12. 支持ARP防网关欺骗;交换机对CPU有自保护功能。13. 要求支持IP标准ACL;扩展IP ACL; 时间ACL; 单向ACL;
37、 IPV6 ACL。14. 每台设备需要配置1个千兆多模光接口模块,2个千兆单模光接口模块。(5) 、接入层设计接入层交换机考虑到接入方式灵活,能够通过千兆(光口或是电口)连接到核心层,提供密度丰富的10/100M或1000M到用户端;通过支持堆叠,方便设备的管理维护;支持一些ACL、Qos以及MAC、PORT、IP的绑定功能。传统的100M二层到桌面接入方式已经不能满足现有的应用需求,需要能对接入网主要实现业务的导入、业务感知、驱动网络资源分配和策略部署。首先,业务进入网络之后需要进行身份认证及终端安全状态检查,合法而安全的用户及终端可以允许访问网络资源;随后,网络会根据用户的权限为用户分配
38、网络资源,包括IP地址、VLAN,以及安全及QOS策略,这些策略都是动态生成的。对于安全性要求比较高的网络,可以采用PSPT(为每个业务分配不同的隧道)技术,与核心网的VPN技术相配合,实现端到端的业务隔离。随着关键应用的增多,接入网的可靠性显得越来越重要,采用的技术有如堆叠、STP收敛、端口汇聚、快速路由收敛等方法。(6) 、接入层设备选型综合上面的阐述,我们建议采用锐捷RG-S2628G和RG-S2652G,其主要参数为:1. 交换容量37.6G。2. 固化百兆电口数24/48;固化千兆电口数2固化千兆光口数2。3. 最大扩展千兆电口数4;最大扩展千兆光口个数4。4. 扩展槽1;包转发率1
39、3.2Mpps。5. 支持同系列产品混合堆叠;堆叠带宽2.4G。6. 支持IEEE 802.1x;VLAN 4k;Private VLAN;QinQ;端口镜像。7. IGMP Snooping v1/v2/v3;生成树协议支持(STP/RSTP/MSTP)。8. DHCP Relay;DHCP Snooping。9. QoS优先级(802.1p,IP ToS,端口缺省的CoS,DSCP优先级分类);QoS队列(每个输出端口支持8个优先级队列)。10. 支持硬件CPU保护技术, 须提供信息产业部相关测试报告。11. 能检测出攻击报文,并对攻击报文采取隔离措施, 须提供信息产业部相关测试报告。12
40、. 能防止网络拓扑的震荡;支持IPv6 ACL,须提供信息产业部相关测试报告。13. 大容量的IPv6 ACL不影响交换机性能,须提供信息产业部相关测试报告。14. 可动态/静态分配IP环境下防ARP欺骗。15. 可以根据以太网类型,VLAN号,源/目的IP,源/目的MAC,TCP/UDP端口号,时间,协议类型等之间的任意组合的ACL。16. 支持可控组播,须提供信息产业部相关测试报告。17. 支持单向ACL;可以根据报文的前80个字节进行访问控制;端口隔离;端口实现IP和MAC的绑定。18. CLI命令行管理,SNMP v1/v2/v3、SSH、Syslog、SNTP等协议支持。19. 48
41、口设备功耗40W;设备内部具有风扇设计。(7) 、网管设备产品选型锐捷RG-eNM网管软件系统(以下简称RG-eNM)是按照国际成熟的网络管理规范和相关行业的网络管理特点及应用经验开发的的网络管理系统。它采用B/S架构,为广大用户提供了一整套灵活使用、功能强大的网络管理解决方案。RG-eNM具有如下特点RG-eNM是建立于如EJB、JFC、JDBC、HTTP、XML、RMI、SNMP、JMX等标准技术上的,模块化的体系架构令产品更加稳定,性能更为高效,具有良好的跨平台性和灵活性,适应于多种管理模式和管理规模。1、高可靠性:充分利用J2EE框架的公开,易维护,可扩展,伸缩性好的特性来保证服务器发
42、生故障不影响或少影响现有被管系统的正常运行,整个系统加入自检功能,能监测系统各功能模块的运行情况,随时发现系统自身的问题。2、可用性:按照本系统的设计构架,系统设备能支持7x24 小时连续不间断工作;系统数据采集不影响被管系统的稳定性,也不明显影响被管系统的性能。3、可维护性:本系统,提供了完整的系统管理流程和管理跟踪纪录日志,对系统的管理落实的每一步,并和具体人员挂钩,完全满足对处理的可追踪性。产品本身是标准安装程序。提供详细的操作维护手册及技术手册、并提供需要的培训。当进行版本升级时,提供版本差异的详细说明等等一系列从客户角度出发的人性化服务。4、可扩展性:由于采用了模块化的设计和先进的三
43、层体系架构设计,因而具有良好的拓展性,可适应用户网络的发展而进行相应的拓展。5、数据的存储与恢复:对数据的维护,本方案提供了强大的模块和工具。能以集中的方式,灵活地支持系统数据的存储和恢复。操作员能灵活地设置系统数据的存储和恢复,操作员能在每次数据恢复后进行数据的一致性和兼容性的检测。6、实用性:RG-eNM充分考虑网络管理的实际需求,结合国内网络管理的实际,进行实用化的功能设计,可满足各企事业单位的实际网管需求。7、易用性:RG-eNM 拥有友好的全中文图形化界面,给用户提供一个简单易用的网管控制台。安装简便,配置简单:智能化的全中文安装及配置向导,轻松实现软件安装及配置; 界面友好,图形精
44、美:符合中国广大用户的审美观; 操作简便,功能强大:符合中国广大用户的使用习惯。可以让网管人员在短时间内。8、RG-eNM具有极高的性价比,是面向政府、学校、企业、医疗、金融、证券、电力等行业的理想的网络管理解决方案。(8) 、认证计费系统解决方案认证又称为AAA,它包含三个方面内容:Authentication(鉴别)、Authorization(授权)、Accounting(计费)。Radius协议是目前应用最广泛,并已发展成为事实上的AAA标准协议。使用Radius协议实现认证时,涉及到的环节如下:用户主机- 网络设备- AAA Server-计费软件用户主机与网络设备的通信方式:大致可
45、分PPPoE、DHCP/DHCP+、WEB、802.1X等方式;后面会专门介绍这几种方式。网络设备与AAA Server的通信协议:采用标准的Radius协议,为实现增强功能,可采用扩展的Radius协议,俗称Radius+;网络设备的具体形态在窄带拨号中是接入服务器NAS,在宽带网络当中就是宽带接入服务器BAS。AAA Server与计费软件间的通信方式:采用内部协议。AAA Server给出详细的原始计费信息,计费对这些数据进行处理,输出话单。在授权阶段,计费软件还要完成根据用户余额,当前时间,费率,优惠时段等反算出用户的上网时间,通过AAA Server送给网络设备。网络设备与AAA S
46、erver通过Radius协议的认证的简要过程如下:1、网络设备向AAA Server发出Access Request包,其中包含用户的帐号、密码、端口号、端口类型等;2、AAA Server向网络设备回送Access Response包,其中包含用户的合法性和用户的一些设置,如IP地址,掩码,DNS server,上网带宽,上网时段等;3、网络设备不断向AAA Server发送计费消息包,这些消息包可以反映出上网开始时间,上网结束时间,输入输出流量,Session ID、帐号等;几种宽带认证技术的分析在宽带接入中,常见认证分为以下几种:PPPoE、802.1X、Web认证、VLAN认证。以下对这种认证方式进行分析:PPPoE认证:通过PPPoE(Point-to-Point Protocol over Ethernet)协议,服务提供商可以在以太网上实现PPP协议的主要功能,采用各种灵活的方式管理用户。PPPoE协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。PPPoE的建立需要两个阶段,分别是搜寻阶段(Discovery stage)和点对点对话阶段(PPP Session stage)。当一台主机希望启动一个PPPoE对话,
