《【2012年】XXX教育城域網(wǎng)技術(shù)建議書》由會員分享，可在線閱讀，更多相關(guān)《【2012年】XXX教育城域網(wǎng)技術(shù)建議書（81頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、 Xxx教育城域網(wǎng)技術(shù)建議書 杭州華三通信技術(shù)有限公司 目錄 1. 教育城域網(wǎng)建設(shè)需求 5 1.1. 教育城域網(wǎng)建設(shè)背景 5 1.2. 教育城域網(wǎng)業(yè)務(wù)需求分析 6 1.3. 教育城域網(wǎng)建設(shè)內(nèi)容 7 2. 教育城域網(wǎng)建設(shè)原則 7 3. H3C IToIP教育城域網(wǎng)整體解決方案 9 4. 基礎(chǔ)網(wǎng)絡(luò)平臺建設(shè)方案 11 4.1. 組網(wǎng)概述 11 4.2. 組建高可靠RPR環(huán)網(wǎng) 12 4.2.1. RPR技術(shù)介紹 12 4.2.2. RPR技術(shù)在教育城域網(wǎng)中的應(yīng)用 19 4.2.3. 組網(wǎng)方案對比分析 20 4.3. 組建路由型核心網(wǎng) 21 4.4. 中小學(xué)校園接入網(wǎng)

2、 23 4.4.1. 組網(wǎng)拓?fù)?24 4.4.2. 組網(wǎng)簡介 24 4.5. 核心網(wǎng)關(guān)鍵設(shè)備介紹 25 4.5.1. 城域網(wǎng)骨干路由器 25 4.5.2. 中小學(xué)校園網(wǎng)核心交換機(jī) 26 4.5.3. 中小學(xué)校園網(wǎng)接入交換機(jī) 29 4.5.4. 千兆防火墻 31 5. 數(shù)據(jù)中心建設(shè)方案 31 5.1. 概述 31 5.2. 需求分析 32 5.3. 方案設(shè)計 33 5.3.1. H3C多服務(wù)器集中存儲解決方案 33 5.3.2. D2D備份解決方案 35 5.3.3. 應(yīng)用系統(tǒng)保護(hù)/恢復(fù)解決方案 36 5.3.4. 數(shù)據(jù)遠(yuǎn)程容災(zāi)備份 37 6. 城域網(wǎng)多媒體通訊建

3、設(shè)方案 38 6.1. 組網(wǎng)拓?fù)?38 6.2. 組網(wǎng)簡介 39 6.3. 方案配置及技術(shù)優(yōu)勢 39 6.3.1. 控制中心： 39 6.3.2. 會場終端： 41 6.3.3. 技術(shù)優(yōu)勢 42 7. 城域網(wǎng)綜合安全建設(shè)方案 43 7.1. 網(wǎng)絡(luò)安全風(fēng)險分析 43 7.2. 統(tǒng)一安全設(shè)計原則 46 7.3. 網(wǎng)絡(luò)層安全解決方案 48 7.3.1. 全面網(wǎng)絡(luò)基礎(chǔ)設(shè)施可靠性保證措施 48 7.3.2. 骨干網(wǎng)關(guān)鍵設(shè)備SR8800強(qiáng)大的安全特性 49 7.3.3. 配置防火墻和IPS進(jìn)行網(wǎng)絡(luò)區(qū)域的隔離 54 7.3.4. 內(nèi)網(wǎng)機(jī)密信息安全訪問解決方案 57 7.3.5.

4、 城域網(wǎng)流量清洗解決方案 58 7.3.6. 城域網(wǎng)出口行為監(jiān)管解決方案 59 7.3.7. 教育城域網(wǎng)數(shù)據(jù)中心防護(hù)解決方案 60 7.4. 用戶層解決方案 60 7.4.1. 配置全面的網(wǎng)絡(luò)防病毒系統(tǒng) 60 7.5. 業(yè)務(wù)層解決方案 62 7.5.1. 設(shè)備冗余及網(wǎng)絡(luò)存儲配置建議 62 7.5.2. 漏洞掃描及安全評估系統(tǒng)的配置 63 7.5.3. 應(yīng)用系統(tǒng)開發(fā)中加強(qiáng)安全機(jī)制 63 8. 教育城域網(wǎng)管理中心設(shè)計 63 8.1. 集成化管理平臺 63 8.1.1. 系統(tǒng)安全管理 65 8.1.2. 資源管理 67 8.1.3. 拓?fù)涔芾?68 8.1.4. 故障（告

5、警/事件）管理 71 8.1.5. 告警深度關(guān)聯(lián)分析與統(tǒng)計 72 8.1.6. 性能管理 75 8.1.7. 設(shè)備管理組件 78 8.2. 校園網(wǎng)絡(luò)全局安全關(guān)聯(lián)分析管理 79 9. IP地址及路由規(guī)劃 84 9.1. IPv4地址規(guī)劃 84 9.1.1. IPv6地址規(guī)劃 85 9.1.2. IPv4路由規(guī)劃 86 9.1.3. IPv6網(wǎng)絡(luò)規(guī)劃 86 9.1.4. IPv6路由規(guī)劃 87 10. 組播與QoS規(guī)劃 90 10.1. 組播業(yè)務(wù) 90 10.2. QoS優(yōu)化 91 11. 教育城域網(wǎng)服務(wù)方案（略） 92 12. 教育城域網(wǎng)成功應(yīng)用案例 92 12.

6、1. 宣武區(qū)教育城域網(wǎng) 92 12.2. 北京崇文區(qū)教育城域網(wǎng) 94 12.3. 太原教育城域網(wǎng) 95 12.4. 重慶教育城域網(wǎng) 95 1. 教育城域網(wǎng)建設(shè)目標(biāo) 1.1. 教育城域網(wǎng)建設(shè)背景 以知識和信息的生產(chǎn)、傳播、應(yīng)用為基礎(chǔ)的知識經(jīng)濟(jì)占據(jù)著世界經(jīng)濟(jì)發(fā)展的主導(dǎo)地位，國家綜合國力和國際競爭能力更是取決于教育、科學(xué)技術(shù)和知識創(chuàng)新的水平，教育在經(jīng)濟(jì)和社會發(fā)展進(jìn)程中起著越來越重要的作用。隨著現(xiàn)代信息技術(shù)的高速發(fā)展，信息化技術(shù)與教育相結(jié)合，正成為當(dāng)今中國教育改革和發(fā)展的關(guān)鍵組成部分，改變著傳統(tǒng)的教育模式。 “育人為本、改革創(chuàng)新、促進(jìn)公平、提高質(zhì)量”是十二五教育改革和發(fā)展的工作方

7、針，教育城域網(wǎng)利用多媒體技術(shù)、網(wǎng)絡(luò)技術(shù)等手段，將本地區(qū)的教育機(jī)構(gòu)、研究機(jī)構(gòu)全部通過網(wǎng)絡(luò)互聯(lián)，使教育資源整合、開放、共享，達(dá)到整體信息化的集成運(yùn)用的寬帶網(wǎng)絡(luò)，最終形成的一個區(qū)域性的互聯(lián)、互動、信息交換、資源共享和遠(yuǎn)程教育的基礎(chǔ)架構(gòu)，為教育行業(yè)實現(xiàn)再次飛躍提供了新的思路和發(fā)展方向。 1.2. 教育城域網(wǎng)業(yè)務(wù)分析 結(jié)合當(dāng)前教育信息化現(xiàn)狀，確保教育城域網(wǎng)最大程度地服務(wù)于教育信息化改革和提高教學(xué)質(zhì)量，教育城域網(wǎng)必須滿足以下功能： 實現(xiàn)IT資源的集中部署和分發(fā) 傳統(tǒng)各個學(xué)校自行購買服務(wù)器、存儲、軟件的方式構(gòu)建的IT系統(tǒng)，無法實現(xiàn)有效的整合。軟件系統(tǒng)本身之間完全割裂，形成孤島資源；而硬件系統(tǒng)的割

8、裂則無法充分發(fā)揮硬件的利用率，往往造成資源的浪費(fèi)。城域網(wǎng)可成為資源的共享平臺。通過集中部署硬件系統(tǒng)和軟件系統(tǒng)，實現(xiàn)資源池化，通過城域網(wǎng)分發(fā)到各個學(xué)校，達(dá)到最大限度的資源利用。 建成寬帶、先進(jìn)、專業(yè)的高度信息共享的教育城域網(wǎng)系統(tǒng) 教育城域網(wǎng)絡(luò)建設(shè)項目的建設(shè)目標(biāo)是將各個教育機(jī)構(gòu)全部聯(lián)到網(wǎng)絡(luò)中，最終形成一個區(qū)域性的互聯(lián)、互動、信息交換、資源共享和遠(yuǎn)程教育的基礎(chǔ)構(gòu)架。以教育信息網(wǎng)絡(luò)管理中心為中心的虛擬閉合網(wǎng)絡(luò)，實現(xiàn)了 “校校通”。教育信息網(wǎng)絡(luò)中心具有先進(jìn)的交換設(shè)備和海量的數(shù)據(jù)存貯能力，在實現(xiàn)軟件和應(yīng)用資源共享的同時，還能為各校提供硬件共享服務(wù)。通過城域網(wǎng)內(nèi)統(tǒng)一的網(wǎng)絡(luò)平臺，統(tǒng)一的網(wǎng)絡(luò)出入口，還能最大

9、限度地限制各種不良網(wǎng)站的入侵。教育城域網(wǎng)絡(luò)系統(tǒng)統(tǒng)一的網(wǎng)絡(luò)平臺，統(tǒng)一的網(wǎng)絡(luò)出入口，實現(xiàn)軟件和應(yīng)用資源共享，還為各校提供硬件共享服務(wù)。 實現(xiàn)高度共享的免費(fèi)教育教學(xué)多媒體資源 ? 通過教育城域網(wǎng)系統(tǒng)實時點播或高速下載，師生可以利用教育城域網(wǎng)絡(luò)系統(tǒng)的教育教學(xué)資源進(jìn)行輔助教學(xué)和輔助學(xué)習(xí)。 ? 教育教學(xué)資源內(nèi)容覆蓋中小學(xué)階段十幾個學(xué)科相關(guān)的知識點，當(dāng)中包括文本、圖形圖像、音頻、視頻、動畫、課件、課案、課例等素材內(nèi)容。 ? 教育資源和網(wǎng)絡(luò)技術(shù)的應(yīng)用與推廣，將促進(jìn)信息技術(shù)與學(xué)科課程的整合，建立網(wǎng)絡(luò)環(huán)境下的龍崗中小學(xué)教育新模式。 實現(xiàn)普教系統(tǒng)高效率的教育政務(wù)網(wǎng) ? 日常行政辦公中心處理教育日常事務(wù)，

10、如文件收發(fā)、公文審批、會議通知等工作。 ? 教育數(shù)據(jù)管理中心分為學(xué)校概況、教工管理、學(xué)生管理、校產(chǎn)管理、教育科研、綜合查詢等七大模塊，匯集了學(xué)校、教師、學(xué)生的基本數(shù)據(jù)信息。 ? 項目行政服務(wù)中心可以對學(xué)校、教師、學(xué)生等有關(guān)的行政辦公事務(wù)進(jìn)行自動辦理或輔助辦理。 實現(xiàn)信息化課程開發(fā) ? 小學(xué)及中學(xué)、師范學(xué)校、職業(yè)學(xué)校、成人中專的學(xué)生全面接受信息技術(shù)教育。信息技術(shù)課程做到三個統(tǒng)一：統(tǒng)一教材、統(tǒng)一教綱、統(tǒng)一考核。 ? 組織編寫并統(tǒng)一使用以計算機(jī)操作和信息處理為主線，突出互聯(lián)網(wǎng)應(yīng)用的中小學(xué)信息技術(shù)教材，并定為中小學(xué)信息技術(shù)教育實驗教材。 實現(xiàn)多媒體網(wǎng)絡(luò)遠(yuǎn)程教學(xué) 通過教育城域網(wǎng)絡(luò)系統(tǒng)著眼于

11、教學(xué)、科研、管理的實際需要，用有限的資金優(yōu)先解決工作急需的問題。設(shè)備易于使用和維護(hù)。為科學(xué)研究提供先進(jìn)平臺，例如可視化計算，計算機(jī)協(xié)同作業(yè)，虛擬網(wǎng)絡(luò)，虛擬現(xiàn)實，計算機(jī)仿真，遠(yuǎn)程計算機(jī)與數(shù)據(jù)處理等。建設(shè)支持寬帶多媒體業(yè)務(wù)，例如遠(yuǎn)程教學(xué)、多媒體網(wǎng)絡(luò)教室、會議電視。 1.3. 教育城域網(wǎng)建設(shè)內(nèi)容 未來五年，xxx教育信息網(wǎng)建設(shè)工作的主要內(nèi)容是： 1、引入云計算思想，將資源池化，搭建一個數(shù)據(jù)中心； 2、采用先進(jìn)設(shè)備，搭建一個安全、穩(wěn)定、先進(jìn)、健康的教育城域網(wǎng)絡(luò)。 3、采用先進(jìn)技術(shù)，形成一個既滿足教育需求，又極具特色的資源應(yīng)用平臺。 4、采用科學(xué)管理，建立一支技術(shù)過硬，水平較高，具有建設(shè)性和

12、穩(wěn)定性的系統(tǒng)管理維護(hù)隊伍。 5、采用科學(xué)理念，將信息化深入到每個教育教學(xué)過程中，形成每位教師能用、會用信息技術(shù)手段，并不斷創(chuàng)新和融合教育信息資源的新局面。 2. 教育城域網(wǎng)建設(shè)原則 ×××教育城域網(wǎng)連接了其下屬中小學(xué)內(nèi)包括教學(xué)樓、辦公樓、實驗樓、圖書館等大量的信息點，學(xué)校管理、教育科研、電子教學(xué)、遠(yuǎn)程教育和互聯(lián)網(wǎng)的引入以及對外技術(shù)交流與合作服務(wù)等大量業(yè)務(wù)的開展，要求網(wǎng)絡(luò)必須是一個實用的、高可靠、高效率、高擴(kuò)展性、高安全性系統(tǒng)。 為實現(xiàn)校園網(wǎng)絡(luò)高質(zhì)、高效互聯(lián)的目標(biāo)要求，在網(wǎng)絡(luò)設(shè)計構(gòu)建中，應(yīng)始終堅持以下建網(wǎng)原則： 高可靠性――網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計中選

13、用高可靠性網(wǎng)絡(luò)產(chǎn)品，設(shè)備充分考慮冗余、容錯能力；合理設(shè)計網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運(yùn)行。網(wǎng)絡(luò)設(shè)備在出現(xiàn)故障時應(yīng)便于診斷和排除，充分體現(xiàn)計算機(jī)網(wǎng)絡(luò)的高可靠性。 獨立性――教育網(wǎng)是基于各學(xué)校為網(wǎng)元構(gòu)建起來的面向教育系統(tǒng)的大型網(wǎng)絡(luò)，獨立性是教育網(wǎng)需要考慮的一個基本特性。獨立性在教育網(wǎng)中體現(xiàn)在兩個方面：一是整個教育網(wǎng)網(wǎng)絡(luò)對于外部網(wǎng)絡(luò)而言是一個物理上的獨立實體，單獨并唯一的實現(xiàn)對整個教育網(wǎng)的統(tǒng)一網(wǎng)絡(luò)管理；二是各學(xué)校做為教育網(wǎng)的基本網(wǎng)元在物理上也應(yīng)該具有一定的獨立性，這一方面是為了教育網(wǎng)網(wǎng)絡(luò)的穩(wěn)定而做的考慮，網(wǎng)絡(luò)各層次之間的依賴關(guān)系越低整個網(wǎng)絡(luò)

14、的穩(wěn)定性也就越強(qiáng)；同時也為以后各學(xué)校結(jié)合自身特點開展獨立的特色打好基礎(chǔ)。 技術(shù)先進(jìn)性和實用性――在保證滿足校園業(yè)務(wù)、應(yīng)用系統(tǒng)業(yè)務(wù)的同時，要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來，充分考慮網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來發(fā)展趨勢。 高性能――骨干網(wǎng)絡(luò)性能是整個網(wǎng)絡(luò)良好運(yùn)行的基礎(chǔ)，設(shè)計中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)、圖象）的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為業(yè)務(wù)開展的瓶頸。 標(biāo)準(zhǔn)開放性――支持國際上通用的網(wǎng)絡(luò)協(xié)議、路由協(xié)議等開放的協(xié)議標(biāo)準(zhǔn)，有利于保證與其它網(wǎng)絡(luò)(如中國教育網(wǎng)、公共數(shù)據(jù)網(wǎng)、學(xué)校之間等其它網(wǎng)絡(luò))之間的平滑連接互通，以及將來網(wǎng)絡(luò)的擴(kuò)展。

15、 靈活性及可擴(kuò)展性――根據(jù)未來業(yè)務(wù)的增長和變化，網(wǎng)絡(luò)可以平滑地擴(kuò)充和升級，最大程度的減少對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。 可管理性――對網(wǎng)絡(luò)實行集中監(jiān)測、分權(quán)管理，并統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺，具有對設(shè)備、端口等的管理、流量統(tǒng)計分析，及可提供故障自動報警。 強(qiáng)QOS、強(qiáng)組播特性――教育網(wǎng)因為對視頻、音頻等多媒體業(yè)務(wù)的需求較大，所以整個網(wǎng)絡(luò)具有較完善的QOS特性對教育網(wǎng)而言就顯得尤為重要。能不能對關(guān)鍵業(yè)務(wù)進(jìn)行帶寬優(yōu)先保證尤其是那些對時延敏感的業(yè)務(wù)進(jìn)行保證是教育網(wǎng)必須考慮的一個重點，為實現(xiàn)區(qū)別服務(wù)，整網(wǎng)端到端的QOS特性機(jī)制是優(yōu)質(zhì)網(wǎng)絡(luò)業(yè)務(wù)的保證。另外組播特性對于有效的保證多媒體流傳

16、輸性能和節(jié)省帶寬也有非常重要的意義，基于組播的控制特性也會進(jìn)一步保證組播流的控制、管理和安全，從而為實現(xiàn)教育城域網(wǎng)的多業(yè)務(wù)支持提供保障。 安全性――制訂統(tǒng)一的網(wǎng)絡(luò)安全策略，整體考慮網(wǎng)絡(luò)平臺的安全性。保證關(guān)鍵數(shù)據(jù)不被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的可信性。 兼容性和經(jīng)濟(jì)性――兼容性，能夠最大限度地保證學(xué)?，F(xiàn)有各種計算機(jī)軟、硬件資源的可用性和連續(xù)性，為不同的現(xiàn)存網(wǎng)絡(luò)提供互聯(lián)和升級的手段（如現(xiàn)有的雙向教學(xué)系統(tǒng)），保證各種在用計算機(jī)系統(tǒng)（包括工作站、服務(wù)器和微機(jī)等設(shè)備）的互連入網(wǎng)，充分利用現(xiàn)有網(wǎng)絡(luò)資源，發(fā)揮主干網(wǎng)的優(yōu)勢。經(jīng)濟(jì)性，就是在充分利用現(xiàn)有資源的情況下，最大限度地降低網(wǎng)絡(luò)系統(tǒng)的總體投資

17、，有計劃、有步驟地實施，在保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有設(shè)備或做必要的升級。 3. H3C IToIP教育城域網(wǎng)整體解決方案 H3C教育城域網(wǎng)IToIP整體解決方案是以IP通信平臺為基礎(chǔ)，實現(xiàn)環(huán)境(特別是重點、敏感區(qū)域的視頻監(jiān)控)、資源（網(wǎng)絡(luò)資源、存儲資源、計算資源）、到活動（網(wǎng)絡(luò)的開放架構(gòu)對定制業(yè)務(wù)的支持）的全部數(shù)字化，利用標(biāo)準(zhǔn)的ITOIP解決方案，以IP技術(shù)為標(biāo)準(zhǔn)技術(shù)，利用SOA開放架構(gòu)實現(xiàn)對整體IT平臺的統(tǒng)一集成支撐。 H3C教育城域網(wǎng)解決方案包括校園接入、區(qū)域信息中心、城域網(wǎng)出口、IP考場監(jiān)控、智能管理中心等多個子系統(tǒng)。相應(yīng)的，H3C教育城域網(wǎng)整體解決方案由五個平臺組

18、成，包括基礎(chǔ)網(wǎng)絡(luò)平臺、綜合安全平臺、多媒體通訊和監(jiān)控平臺、信息中心存儲平臺和智能網(wǎng)絡(luò)管理平臺。 建立數(shù)據(jù)服務(wù)中心優(yōu)化整合現(xiàn)有數(shù)據(jù)信息資源 ? 解決教學(xué)、科研、辦公業(yè)務(wù)數(shù)據(jù)海量增長，數(shù)據(jù)無法整合管理的問題 ? 解決數(shù)據(jù)爆炸性增長，成本要求不斷降低的問題 ? 解決各種災(zāi)難對信息系統(tǒng)影響的問題 ? 解決跨廣域的數(shù)據(jù)訪問的問題 ? 解決跨系統(tǒng)數(shù)據(jù)遷移和災(zāi)難備份困難的問題 ? 解決借助廠家提供專業(yè)的存儲咨詢和服務(wù)的問題 建設(shè)安全可靠的網(wǎng)絡(luò)平臺 ? 具備網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化能力——整體架構(gòu)具備更有效的容災(zāi)能力，以應(yīng)對故障節(jié)點、故障鏈路、路由震蕩所帶來對業(yè)務(wù)的影響； ? 具備網(wǎng)絡(luò)業(yè)務(wù)拓展能力——

19、可平滑向下一代網(wǎng)絡(luò)遷移，向IPv6遷移兼容現(xiàn)有組網(wǎng)環(huán)境，IPv6完全由分布式硬件完成，保護(hù)投資；可以隨時隨地使用，可以基于移動漫游環(huán)境，移動漫游環(huán)境無需管理者手工干預(yù) ? 具備安全滲透防御能力——具備攻擊、非法業(yè)務(wù)的隔離、控制，具備在線主動抵御的能力；核心網(wǎng)絡(luò)自身集成安全防御能力，縮小攻擊、病毒影響范圍；用戶接入網(wǎng)絡(luò)屏蔽用戶非法操作，隔離網(wǎng)絡(luò)攻擊 實現(xiàn)整個教育城域網(wǎng)網(wǎng)絡(luò)的集中統(tǒng)一智能化管理 教育城域網(wǎng)是建立在一系列IT資源的基礎(chǔ)上，諸如帶寬資源、教學(xué)辦公數(shù)據(jù)的資源、計算資源、網(wǎng)絡(luò)多媒體通信資源等，針對這些資源需要關(guān)聯(lián)化的管理，資源的整合，才能將利用IT系統(tǒng)服務(wù)校園信息化的價值最大化。

20、4. 云計算數(shù)據(jù)中心建設(shè)方案 4.1. 數(shù)據(jù)中心對于城域網(wǎng)的戰(zhàn)略意義 城域網(wǎng)數(shù)據(jù)中心是數(shù)據(jù)大集中而形成的集成IT應(yīng)用環(huán)境，它是各種IT業(yè)務(wù)和應(yīng)用服務(wù)的提供中心，是數(shù)據(jù)運(yùn)算/交換/存儲的中心，實現(xiàn)對用戶的數(shù)據(jù)、應(yīng)用程序、物理構(gòu)架的全面或部分進(jìn)行整合和集中管理。數(shù)據(jù)中心的建設(shè)中，存儲系統(tǒng)的建設(shè)和完善貫穿始終，這和當(dāng)前應(yīng)用系統(tǒng)建設(shè)的重點是相一致的。不論是各種數(shù)字資源，還是需要備份保存的業(yè)務(wù)數(shù)據(jù)，其中心內(nèi)容都是對于信息（數(shù)據(jù)）的管理和使用。 4.2. 數(shù)據(jù)中心規(guī)劃的要點 高可用――網(wǎng)絡(luò)作為數(shù)據(jù)中心的基礎(chǔ)設(shè)施，網(wǎng)絡(luò)的高可用直接影響到業(yè)務(wù)系統(tǒng)的可用性。網(wǎng)絡(luò)層的高可用至少包括高可靠、高安全和先進(jìn)性三

21、個方面： u 高可靠：應(yīng)采用高可靠的產(chǎn)品和技術(shù)，充分考慮系統(tǒng)的應(yīng)變能力、容錯能力和糾錯能力，確保整個網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行穩(wěn)定、可靠。當(dāng)今，關(guān)鍵業(yè)務(wù)應(yīng)用的可用性與性能要求比任何時候都更為重要。 u 高安全：網(wǎng)絡(luò)基礎(chǔ)設(shè)計的安全性，涉及到XX業(yè)務(wù)的核心數(shù)據(jù)安全。應(yīng)按照端到端訪問安全、網(wǎng)絡(luò)L2-L7層安全兩個維度對安全體系進(jìn)行設(shè)計規(guī)劃，從局部安全、全局安全到智能安全，將安全理念滲透到整個數(shù)據(jù)中心網(wǎng)絡(luò)中。 u 先進(jìn)性：數(shù)據(jù)中心將長期支撐XX集團(tuán)的業(yè)務(wù)發(fā)展，而網(wǎng)絡(luò)又是數(shù)據(jù)中心的基礎(chǔ)支撐平臺，因此數(shù)據(jù)中心網(wǎng)絡(luò)的建設(shè)需要考慮后續(xù)的機(jī)會成本，采用主流的、先進(jìn)的技術(shù)和產(chǎn)品（如數(shù)據(jù)中心級設(shè)備、CEE、FCoE、虛

22、擬化支持等），保證基礎(chǔ)支撐平臺5～10年內(nèi)不會被淘汰，從而實現(xiàn)投資的保護(hù)。 易擴(kuò)展――XX集團(tuán)的業(yè)務(wù)目前已向多元化發(fā)展，未來的業(yè)務(wù)范圍會更多更廣，業(yè)務(wù)系統(tǒng)頻繁調(diào)整與擴(kuò)展再所難免，因此數(shù)據(jù)中心網(wǎng)絡(luò)平臺必須能夠適應(yīng)業(yè)務(wù)系統(tǒng)的頻繁調(diào)整，同時在性能上應(yīng)至少能夠滿足未來5～10年的業(yè)務(wù)發(fā)展。對于網(wǎng)絡(luò)設(shè)備的選擇和協(xié)議的部署，應(yīng)遵循業(yè)界標(biāo)準(zhǔn)，保證良好的互通性和互操作性，支持業(yè)務(wù)的快速部署。 易管理――數(shù)據(jù)中心是IT技術(shù)最為密集的地方，數(shù)據(jù)中心的設(shè)備繁多，各種協(xié)議和應(yīng)用部署越來越復(fù)雜，對運(yùn)維人員的要求也越來越高，單獨依賴運(yùn)維人員個人的技術(shù)能力和業(yè)務(wù)能力是無法保證業(yè)務(wù)運(yùn)行的持續(xù)性的。因此數(shù)據(jù)中心需要提供完善

23、的運(yùn)維管理平臺，對數(shù)據(jù)中心IT資源進(jìn)行全局掌控，減少日常的運(yùn)維的人為故障。同時一旦出現(xiàn)故障，能夠借助工具直觀、快速定位。 4.3. 數(shù)據(jù)中心規(guī)劃部署 4.3.1. 數(shù)據(jù)中心前端網(wǎng)絡(luò)的分層模塊化設(shè)計 汲取園區(qū)網(wǎng)設(shè)計的理念，數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)也做層次化的設(shè)計，分成數(shù)據(jù)中心核心層、服務(wù)器匯聚層、服務(wù)器接入層。 數(shù)據(jù)中心核心層： 需要說明的是，考慮到學(xué)校的實際情況，本次把數(shù)據(jù)中心核心層和園區(qū)網(wǎng)核心層合二為一，主要用來實現(xiàn)高速的數(shù)據(jù)交換。 服務(wù)器匯聚層主要要求： 匯聚服務(wù)器群接入交換機(jī) 多槽位、線速多端口萬兆交換機(jī) 集成FW、IPS安全與服務(wù)器負(fù)載均衡應(yīng)用優(yōu)化業(yè)務(wù)模塊 服務(wù)器接入層

24、主要要求： 通過高密GE Top of Rack或者高密GE End/Middle of Row 實現(xiàn)大規(guī)模的服務(wù)器接入。 4.3.2. 數(shù)據(jù)中心后端網(wǎng)絡(luò)設(shè)計 對于服務(wù)器數(shù)據(jù)的可靠性存儲，在數(shù)據(jù)中心的設(shè)計中，通過專門的存儲區(qū)域來實現(xiàn)，通過在服務(wù)器群后面配置存儲交換機(jī)，連接服務(wù)器和存儲設(shè)備，本次方案中考慮用萬兆IP交換機(jī)實現(xiàn)服務(wù)器和萬兆IP存儲的數(shù)據(jù)交換。 通過數(shù)據(jù)中心前后端網(wǎng)絡(luò)平臺的搭建建設(shè)已一個全萬兆線速數(shù)據(jù)轉(zhuǎn)發(fā)的數(shù)據(jù)中心交換系統(tǒng)。 4.3.3. 數(shù)據(jù)中心按功能區(qū)的模塊化設(shè)計 構(gòu)建一個開放架構(gòu)數(shù)據(jù)中心時應(yīng)采用一種模塊化的設(shè)計方法，在數(shù)據(jù)中心中劃分不同的功能區(qū)域，用于部署不

25、同的應(yīng)用，使得整個數(shù)據(jù)中心的架構(gòu)具備可伸縮性、靈活性、和高可用性。數(shù)據(jù)中心中的服務(wù)器將會根據(jù)服務(wù)器上應(yīng)用的用戶訪問特性和應(yīng)用的核心功能分成不同組部署在不同的區(qū)域中，但是由于整個數(shù)據(jù)中心的很多服務(wù)是統(tǒng)一提供的，例如數(shù)據(jù)備份和系統(tǒng)管理，所以為保持架構(gòu)的統(tǒng)一性，避免資源不必要的重復(fù)浪費(fèi)，一些功能相似的服務(wù)將統(tǒng)一部署在特定的功能區(qū)域內(nèi)，例如與管理相關(guān)的服務(wù)器將被部署在管理區(qū)。 采用模塊化的架構(gòu)設(shè)計方法可以在數(shù)據(jù)中心中清晰區(qū)分不同的功能區(qū)域，應(yīng)用不同的設(shè)計方法，可以根據(jù)不同區(qū)域和層次的功能需求進(jìn)行建設(shè)和操作。對于區(qū)域而言，我們可以從各個區(qū)域的功能來預(yù)知這個區(qū)域?qū)蓴U(kuò)展性等的要求，例如，部署業(yè)務(wù)應(yīng)用的區(qū)

26、域可能會需要更高的可擴(kuò)展性和可用性，而Internet區(qū)將更注重安全性。 4.3.4. 數(shù)據(jù)中心高可用性 本次方案設(shè)計中對于如何滿足數(shù)據(jù)中心的高可用性，從四個層面進(jìn)行了設(shè)計，如上圖中的右邊的5個字符框中的內(nèi)容： 1、等價路由冗余設(shè)計 2、服務(wù)器匯聚交換機(jī)支持跨設(shè)備鏈路聚合虛擬化技術(shù)提高可靠性，避免再通過MSTP/VRRP技術(shù)滿足數(shù)據(jù)中心的可靠性要求。跨設(shè)備鏈路聚合虛擬化技術(shù)詳見第三章核心層設(shè)計說明。 3、接入交換機(jī)支持跨設(shè)備鏈路聚合虛擬化技術(shù)提高可靠性 4、通過在服務(wù)器實施NIC Teaming提高服務(wù)器連接接入交換機(jī)的可靠性要求。 4.3.5. 數(shù)據(jù)中心安全與應(yīng)用優(yōu)化 本

27、次在數(shù)據(jù)中心的設(shè)計中，為了降低數(shù)據(jù)中心建設(shè)和將來維護(hù)的成本采用了交換機(jī)集成安全措施的解決方案，這種方式可以： 1、簡化數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu) 2、簡化數(shù)據(jù)中心機(jī)房布線 3、提高數(shù)據(jù)中心空間利用率 4、降低網(wǎng)絡(luò)設(shè)備電力消耗 5、提高網(wǎng)絡(luò)的管理、維護(hù)效率 并且這種集成化技術(shù)中，本次方案設(shè)計中的FW和IPS通過虛擬化技術(shù)，嚴(yán)格的對數(shù)據(jù)中心內(nèi)的不同業(yè)務(wù)系統(tǒng)，提供2～7層靈活的安全訪問控制策略，滿足不同數(shù)據(jù)中心區(qū)域有不同的安全等級要求。 當(dāng)前在數(shù)據(jù)中心的應(yīng)用中面臨著三大重要的問題： 需求一：某一業(yè)務(wù)訪問量大，很容易造成網(wǎng)絡(luò)擁塞，需要應(yīng)用優(yōu)化 需求二：某一業(yè)務(wù)訪問延時長，用戶不耐煩 需求

28、三：服務(wù)器資源利用不合理 那么本次方案中，就是通過在服務(wù)器匯聚交換機(jī)部署流量負(fù)載均衡設(shè)備來解決上述問題。LB負(fù)載均衡板卡實施服務(wù)器的業(yè)務(wù)負(fù)載均衡；通過TCP和連接管理方式實施應(yīng)用加速，提供業(yè)務(wù)的訪問速度，提高用戶響應(yīng)度；通過內(nèi)容加密來對重要的業(yè)務(wù)內(nèi)容實施可靠性的安全訪問；通過實施業(yè)務(wù)數(shù)據(jù)壓縮，可以極大的減輕服務(wù)器壓縮負(fù)擔(dān)?？傮w而言提供用戶的感受度。 4.3.6. 數(shù)據(jù)中心的虛擬化 數(shù)據(jù)中心虛擬化的目的是通過把資源（網(wǎng)絡(luò)、計算、存儲）更有效的管理、更有效的利用，來提高擴(kuò)展降低成本。數(shù)據(jù)中心當(dāng)前面臨的一個重要問題是能耗過大，數(shù)據(jù)的大集中帶來的不僅是管理水平的提升，同時也帶來了的高能耗。虛擬化

29、技術(shù)實現(xiàn)了通過獨立于硬件平臺的邏輯實例來使用各種資源（網(wǎng)絡(luò)、計算、存儲）的方法，最大化的實現(xiàn)了對資源的利用與共享，成為降低數(shù)據(jù)中心能耗的最有效手段。 4.3.7. 數(shù)據(jù)中心數(shù)據(jù)容災(zāi)的部署 數(shù)據(jù)中心為園區(qū)的各種應(yīng)用提供了集約化的基礎(chǔ)設(shè)施，然而數(shù)據(jù)的集中也對發(fā)生災(zāi)難時的數(shù)據(jù)安全提出了更高要求，將雞蛋放在了一個籃子里就要把籃子做的無比堅固。數(shù)據(jù)容災(zāi)的基礎(chǔ)是備份，是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失，而將全部或部分?jǐn)?shù)據(jù)集合從應(yīng)用主機(jī)的硬盤或陣列復(fù)制到其它的存儲介質(zhì)的過程。 容災(zāi)的方式有四種：數(shù)據(jù)庫級容災(zāi)、卷管理級容災(zāi)、網(wǎng)絡(luò)級容災(zāi)、存儲設(shè)備級容災(zāi)，各種方式的差異如下圖： 比較

30、項 數(shù)據(jù)庫級容災(zāi) 卷管理級容災(zāi) 網(wǎng)絡(luò)級容災(zāi) 存儲設(shè)備容災(zāi) 理想距離 <1000km <100km（同步） <1000km（異步） 無要求 <100km（同步） <1000km（異步） 鏈路要求 已有FC/普通IP網(wǎng)絡(luò) 專用鏈路 已有FC/普通IP網(wǎng)絡(luò) 專用鏈路 對軟件的要求 專用軟件 專用軟件 無 無 對應(yīng)用系統(tǒng)性能的影響 很大 很大 無 無 是否需要專用存儲系統(tǒng) 否 否 否 是 實施簡單性 復(fù)雜 復(fù)雜 簡單 復(fù)雜 維護(hù)簡單性 復(fù)雜 復(fù)雜 簡單 復(fù)雜 成本 軟件成本較高 軟件成本較高 低 硬件成本、部署

31、成本較高 容災(zāi)方式對比 XXX城域網(wǎng)建立備份或容災(zāi)中心，可以分期規(guī)劃，逐步部署。數(shù)據(jù)中心容災(zāi)的建設(shè)最終目標(biāo)是“兩地三中心”，即本地主中心、本地備份中心和異地災(zāi)備中心，拓?fù)涫疽馊缦拢? 備份中心和災(zāi)備中心可以根據(jù)允許丟失的數(shù)據(jù)量、允許的恢復(fù)時間級別進(jìn)行容災(zāi)方案的選擇，主要技術(shù)有三種： （1）遠(yuǎn)程數(shù)據(jù)備份業(yè)務(wù)（Remote Data Backup）：該模式主要針對那些對數(shù)據(jù)業(yè)務(wù)恢復(fù)的RPO和RTO要求不高的小型客戶，一般只要求對關(guān)鍵數(shù)據(jù)進(jìn)行災(zāi)備，對業(yè)務(wù)連續(xù)性沒有太多要求。 （2）高級數(shù)據(jù)備份和恢復(fù)業(yè)務(wù)（Advanced Data Backup and Recovery）：該模式主要針對

32、那些即對關(guān)鍵數(shù)據(jù)有災(zāi)備要求，且對業(yè)務(wù)連續(xù)性有一定要求的中小型客戶。 （3）持續(xù)性數(shù)據(jù)保護(hù)業(yè)務(wù)（Continued Data Protected）：該模式主要針對對業(yè)務(wù)連續(xù)性要求較高的大中型客戶。 XXX學(xué)院網(wǎng)絡(luò)是一個可運(yùn)營的網(wǎng)絡(luò)，除了提供網(wǎng)絡(luò)運(yùn)營服務(wù)以外，今后建立備份中心或災(zāi)備中心后，還可以利用統(tǒng)一建立的災(zāi)備網(wǎng)絡(luò)和存儲資源，為各院系或其他單位提供共享容災(zāi)運(yùn)營服務(wù)，從而為沒有能力建設(shè)災(zāi)備中心而又需要保護(hù)某些關(guān)鍵數(shù)據(jù)和業(yè)務(wù)的用戶提供災(zāi)備服務(wù)，并針對不同的用戶提供不同的服務(wù)級別。 5. 基礎(chǔ)網(wǎng)絡(luò)平臺建設(shè)方案 5.1. 組網(wǎng)概述 根據(jù)×××教育城域網(wǎng)的建設(shè)要求，教育城域網(wǎng)將分為骨干層、匯聚層

33、、校園網(wǎng)三級，整個教育城域網(wǎng)具有可運(yùn)營、可管理的開放式結(jié)構(gòu)。 在骨干層（市級），考慮到教育骨干網(wǎng)的高穩(wěn)定性、高安全的特性，建議采用H3C RPR的組網(wǎng)方案，網(wǎng)絡(luò)的核心層由3~4個骨干節(jié)點構(gòu)成環(huán)網(wǎng)，選用H3C公司SR8800系列骨干路由器，4個骨干節(jié)點之間相連構(gòu)成環(huán)網(wǎng)，從而進(jìn)一步確保網(wǎng)絡(luò)的可靠性以及安全性，SR8800路由器具有強(qiáng)大的性能以及穩(wěn)定性完全可以勝任骨干節(jié)點的勝任。 在匯聚層（區(qū)級），采用大容量多業(yè)務(wù)路由交換機(jī)S7500E作為各區(qū)域本地教學(xué)單位、機(jī)構(gòu)流量的上行匯聚，且將區(qū)教育局，以及幾所重點學(xué)校之間通過RRPP技術(shù)進(jìn)行環(huán)網(wǎng)互聯(lián)，其他學(xué)校就近接入城域網(wǎng)，實現(xiàn)低成本的環(huán)網(wǎng)建設(shè)，提升

34、可靠性的同時節(jié)省光纖資源。 在校園網(wǎng)，×××教育城域網(wǎng)的建設(shè)是由多個校園網(wǎng)單個獨體構(gòu)成，校園網(wǎng)作為各個接入點，采用就近的方式接入?yún)R聚交換機(jī)，再由匯聚交換機(jī)統(tǒng)一匯總至骨干節(jié)點，針對各個接入點的數(shù)量不同以及數(shù)據(jù)量不一致等情況，可以靈活選擇不同數(shù)量的接入點匯聚至核心。 5.2. 組建高可靠環(huán)網(wǎng) 5.2.1. RPR技術(shù)介紹 以太網(wǎng)技術(shù)以其成本低、簡潔、易擴(kuò)展、適合于IP 包的傳輸和處理等特點，廣泛應(yīng)用于局域網(wǎng)，但是如果直接將以太網(wǎng)應(yīng)用于城域網(wǎng)或廣域網(wǎng)中，仍然存在問題，它在網(wǎng)絡(luò)規(guī)模、端到端業(yè)務(wù)建立、QOS質(zhì)量保證、可管理性、可靠性等方面還存在不少需要克服的難題。 能否在原有SONET/SDH

35、的基礎(chǔ)上加入對數(shù)據(jù)業(yè)務(wù)層的處理，如具有高帶寬分發(fā)能力和粒度擴(kuò)展能力，以及廣泛應(yīng)用于局域網(wǎng)的以太網(wǎng)的二層處理、ATM的統(tǒng)計復(fù)用和QOS等功能，使其更適合數(shù)據(jù)業(yè)務(wù)的傳送，取長補(bǔ)短，以一種新型技術(shù)，來組建以數(shù)據(jù)為中心的網(wǎng)絡(luò)，為各行業(yè)提供高彈性、高可靠性、帶寬可管理、高性價比、多業(yè)務(wù)傳輸?shù)慕鉀Q方案？于是出現(xiàn)了一種新的標(biāo)準(zhǔn)化技術(shù)，即IP環(huán)網(wǎng)RPR技術(shù)。 RPR國際標(biāo)準(zhǔn) 由于看到目前SONET/SDH的高市場占有率以及城域網(wǎng)傳輸?shù)木薮鬂摿?，許多公司將以太網(wǎng)技術(shù)和SONET/SDH技術(shù)結(jié)合，各自競相推出了自己的IP環(huán)網(wǎng)技術(shù)，以期在激烈的市場競爭中占得先機(jī)。如Cisco的DPT、Nortel的IPT、

36、以及Luminous的RPT等等，但是由于實現(xiàn)的機(jī)制不同，產(chǎn)品互通等方面存在問題。IP環(huán)網(wǎng)要繼續(xù)發(fā)展和推廣，急需標(biāo)準(zhǔn)化并進(jìn)行統(tǒng)一，彈性分組環(huán)即RPR就是IP環(huán)網(wǎng)標(biāo)準(zhǔn)化的結(jié)果。 RPR的標(biāo)準(zhǔn)由IEEE802.17小組負(fù)責(zé)進(jìn)行標(biāo)準(zhǔn)化，主要完成MAC層協(xié)議、傳輸通道和公平管理、拓?fù)浒l(fā)現(xiàn)、保護(hù)倒換、不同物理層的適配、以及與802系列標(biāo)準(zhǔn)的適應(yīng)性、管理等標(biāo)準(zhǔn)的制定工作。IEEE 802.17 工作組和RPR 聯(lián)盟致力于將以太技術(shù)、SONET/SDH兩者的優(yōu)點合而為一，研究并規(guī)范化一種環(huán)網(wǎng)拓?fù)渖鲜褂玫腗AC 層協(xié)議－RPR，滿足面向數(shù)據(jù)優(yōu)化網(wǎng)絡(luò)的需求。同時IETF也有一個工作組叫做IP over RP

37、R （IPoRPR），對基于RPR組網(wǎng)的業(yè)務(wù)應(yīng)用提出標(biāo)準(zhǔn)化建議，負(fù)責(zé)IP和MPLS在RPR上的運(yùn)行，以及RPR的MIB信息方面的工作，涉及到網(wǎng)絡(luò)層和傳輸層。另外，由國際電信聯(lián)盟ITU和ANSI組織負(fù)責(zé)RPR下一些物理層方面的標(biāo)準(zhǔn)的制定。 RPR主要技術(shù)特點 RPR（Resilient Packet Ring）－－彈性分組數(shù)據(jù)環(huán)技術(shù)集IP的智能化、以太網(wǎng)的經(jīng)濟(jì)性和SONET/SDH光纖環(huán)網(wǎng)的高可靠性于一體，為寬帶IP城域網(wǎng)運(yùn)營商和各行業(yè)專網(wǎng)提供了一個良好的組網(wǎng)方案，在提供SONET/SDH級網(wǎng)絡(luò)生存性的同時降低了傳送費(fèi)用。 RPR和SONET/SDH和以太網(wǎng)的比較如表1所示： RPR和S

38、ONET/SDH和以太網(wǎng)的比較 RPR是工作在OSI協(xié)議棧第二層MAC子層的協(xié)議，但是其有別于傳統(tǒng)MAC最吸引人的特點是具有電信級的可靠性，使其不僅僅只是局限于處理面向數(shù)據(jù)的業(yè)務(wù)傳送需求，同時可以形成處理多業(yè)務(wù)傳送的綜合傳輸解決方案，可以實現(xiàn)在光纖介質(zhì)上通過不同的物理層直接承載IP和TDM業(yè)務(wù)。RPR的設(shè)計宗旨就是網(wǎng)絡(luò)要適合IP數(shù)據(jù)業(yè)務(wù)，具有高可靠性，并且可運(yùn)營可管理，從而可為城域網(wǎng)提供低成本、高性能的解決方案。 RPR環(huán)網(wǎng)是由逆向雙環(huán)組成，一個為順時針方向，一個為逆時針方向，雙環(huán)都可以同時傳輸數(shù)據(jù)和控制信息，其中內(nèi)環(huán)的控制信息控制外環(huán)的數(shù)據(jù)，外環(huán)的控制信息控制內(nèi)環(huán)上的數(shù)據(jù)。 在

39、RPR定義的MAC層的結(jié)構(gòu)中，MAC層向下通過適配子層同物理層相連，向上提供對業(yè)務(wù)層的支持。RPR主要包括MAC層和MAC控制層。其中MAC層主要處理數(shù)據(jù)的傳輸處理、報文頭處理以及報文錯誤校驗。MAC控制層實現(xiàn)RPR的公平控制、保護(hù)倒換、環(huán)路選擇、拓?fù)浒l(fā)現(xiàn)、OAM管理等方面的工作。另外還有MAC管理層，主要處理MAC層的MIB信息，完成MAC的操作和性能管理等等。 可以看出，RPR 技術(shù)吸收了千兆以太網(wǎng)的經(jīng)濟(jì)性，吸收了SONET/SDH 對延遲和抖動嚴(yán)格保障、50ms快速保護(hù)倒換特性。RPR 采用類似以太網(wǎng)的幀格式，基于MAC進(jìn)行高速交換，簡化IP 前傳。RPR定義了一個閉合環(huán)路、點到點

40、、基于MAC層的邏輯環(huán)狀拓?fù)?，對于物理層來說，RPR 就是一組點到點的鏈路，而對于數(shù)據(jù)鏈路層來說，RPR 就像是一個類似于以太網(wǎng)的廣播介質(zhì)網(wǎng)絡(luò)。RPR 內(nèi)外環(huán)上可同時傳輸數(shù)據(jù)包和控制信息，以及基于目的地剝離的特性可有效地提高帶寬資源的利用率，保護(hù)機(jī)制繼承了SONET/SDH的特點，同時也克服了冗余資源預(yù)留的弱點。多種速率和多物理層支持，使得很容易擴(kuò)展。 RPR簡化了IP網(wǎng)絡(luò)結(jié)構(gòu)和層次，提高了效率，也使得IP統(tǒng)一網(wǎng)絡(luò)業(yè)務(wù)平臺成為可能。 1）多物理層的支持 由于RPR是鏈路層MAC層的協(xié)議，與物理層介質(zhì)無關(guān)，因此可支持多種物理層，目前定義的物理層包括SONET/SDH和以太網(wǎng)，其中SONET

41、/SDH支持POS封裝和ITU新定義的GFP封裝，以太網(wǎng)支持GE和10GE接口，RPR通過適配子層同物理層相連。 2）帶寬的高利用率 帶寬利用率高是RPR的重要特點，主要由以下幾個方面： ? 雙環(huán)同時傳送數(shù)據(jù)和控制信息，與SONET/SDH上不一樣，不存在光纖空閑備份的情況，光纖利用率高。 ? 基于帶寬共享和統(tǒng)計復(fù)用，RPR報文也是分插復(fù)用ADM的結(jié)構(gòu)，具有空間重用的特點，環(huán)網(wǎng)節(jié)點之間數(shù)據(jù)傳輸互不影響，同時支持不同節(jié)點間獨立的并發(fā)傳輸和相同節(jié)點重疊的并發(fā)傳輸，使得環(huán)網(wǎng)的資源可以分段使用，使整個環(huán)網(wǎng)的累積帶寬大于單個鏈路的帶寬容量，也大大提高了帶寬的利用率。 ? 單播報文采用目的剝離的

42、方式，報文一旦到達(dá)目的地，就不再在環(huán)上繼續(xù)傳送，提高了環(huán)網(wǎng)的利用率。 ? 環(huán)網(wǎng)節(jié)點數(shù)據(jù)處理一般包括轉(zhuǎn)發(fā)、發(fā)送和接受，環(huán)網(wǎng)上大量的轉(zhuǎn)發(fā)數(shù)據(jù)處理是在MAC層完成，不需要到IP層進(jìn)行處理，而且數(shù)據(jù)轉(zhuǎn)發(fā)可使用存儲轉(zhuǎn)發(fā)store-and-forward和直通cut-through方式，其中直通的方式處理速度快，性能高。 3）快速的保護(hù)倒換 RPR的設(shè)計目標(biāo)是提供50ms的電信級的保護(hù)，RPR提供兩種不同的倒換方式，即源路由（Steering）和回繞（Wrapping）方式，其中源路由方式必須支持，回繞方式可選支持。 兩種倒換方式的示意圖： RPR的保護(hù)倒換 回繞方式的倒換： 這種

43、倒換方式比較簡單，當(dāng)環(huán)路上的某個地方發(fā)生故障時，在發(fā)生故障附近的節(jié)點處自動環(huán)回，即把內(nèi)環(huán)和外環(huán)連在一起，通過協(xié)議在相鄰失效節(jié)點之間進(jìn)行?；乩@方式的特點是倒換速度快，基本沒有數(shù)據(jù)丟失，但是缺點就是浪費(fèi)環(huán)網(wǎng)的帶寬，使得數(shù)據(jù)流走很多彎路。 源路由方式的倒換： 當(dāng)環(huán)路上的某個地方發(fā)生故障時，數(shù)據(jù)流不需要從發(fā)生故障的的地方環(huán)回，該故障點和類型的信息會發(fā)送到每個節(jié)點，拓?fù)湟蚕鄳?yīng)更改，源節(jié)點只需要直接按新的拓?fù)溥M(jìn)行路徑選擇，并根據(jù)新的路由發(fā)送數(shù)據(jù)給目的節(jié)點，已經(jīng)發(fā)出的小部分?jǐn)?shù)據(jù)將在故障點被丟棄。源路由方式的特點是帶寬利用率高，但是倒換的速度慢，在計算路由時會造成數(shù)據(jù)的丟失。 H3C根據(jù)兩種倒換方式的特

44、點，提出一種新的倒換方式，綜合了二者的優(yōu)點，倒換時先使用回繞的方式，盡量保證數(shù)據(jù)不丟失，同時進(jìn)行拓?fù)湫畔⒌膫鬟f和更新，計算出新的路由，并切換到源路由的方式，以充分利用帶寬，使系統(tǒng)達(dá)到最優(yōu)的性能。 需要說明的是，所有的保護(hù)倒換都是基于雙向出錯的，包括單光纖故障、雙光纖故障、節(jié)點故障、斷開節(jié)點以增加新節(jié)點等，對于環(huán)網(wǎng)來說，都會認(rèn)為環(huán)網(wǎng)出錯并在出錯處的節(jié)點進(jìn)行倒換。另外，同一個環(huán)網(wǎng)內(nèi)的節(jié)點應(yīng)該采用相同的倒換方式。 4）帶寬管理的公平性 帶寬公平管理是RPR環(huán)網(wǎng)的一個特點，由于RPR環(huán)網(wǎng)的帶寬資源在節(jié)點之間是共享的，不允許單個節(jié)點獨占總的帶寬，以免造成系統(tǒng)的阻塞，因此它提供一種環(huán)網(wǎng)級別的全

45、局公平算法，以保證各節(jié)點公平享用帶寬，同時又能夠最大限度提高帶寬的利用率。如圖所示： 公平算法RPR-fa是通過在環(huán)網(wǎng)節(jié)點設(shè)置權(quán)重，并監(jiān)測自身帶寬資源的使用情況，同時在節(jié)點間提供顯式的反饋機(jī)制，該反饋信息通告發(fā)送源網(wǎng)絡(luò)當(dāng)前的可用能力，以使之調(diào)整流量，最終實現(xiàn)全網(wǎng)的公平。當(dāng)一個節(jié)點有擁塞發(fā)生，它將通過與傳送數(shù)據(jù)相反方向的節(jié)點發(fā)送擁塞公告，告知一個公告速率，上游節(jié)點利用這個公告速率來調(diào)整自己允許上環(huán)的速率，以使得不超過擁塞節(jié)點公告速率，如果該節(jié)點也發(fā)生了擁塞，就同樣計算其公告速率發(fā)送到其上游節(jié)點。 公平算法是全局的，在公平算法中，節(jié)點首先要確定擁塞門限，并根據(jù)擁

46、塞的情況，確定向上反饋的公告速率以及確定本節(jié)點允許向環(huán)上發(fā)送的速率。在RPR環(huán)網(wǎng)的結(jié)構(gòu)中，數(shù)據(jù)分為發(fā)送數(shù)據(jù)和轉(zhuǎn)發(fā)數(shù)據(jù)，大量的轉(zhuǎn)發(fā)數(shù)據(jù)不需要經(jīng)過節(jié)點的處理，直接在環(huán)上傳遞，節(jié)點的發(fā)送數(shù)據(jù)根據(jù)提供的不同的隊列和優(yōu)先級加入到環(huán)網(wǎng)上，通過帶寬管理和反饋機(jī)制來保證網(wǎng)絡(luò)無阻塞以及帶寬的公平使用。 在RPR網(wǎng)絡(luò)中，具有很好的QOS保證，這是通過帶寬預(yù)留、優(yōu)先級隊列機(jī)制和公平算法等來實現(xiàn)的。 正是由于RPR有帶寬預(yù)留和公平機(jī)制，RPR可為用戶提供多種SLA服務(wù)，為服務(wù)商提供靈活的業(yè)務(wù)。服務(wù)商可根據(jù)用戶付費(fèi)的情況，確定時提供保證速率業(yè)務(wù)還是突發(fā)業(yè)務(wù)，對于保證速率的業(yè)務(wù)，也可以根據(jù)付費(fèi)的多少，提供不同的帶寬。

47、這些都可以由服務(wù)商方便地控制和管理，真正實現(xiàn)可運(yùn)營可管理。 5）組播的有效支持 RPR支持組播是其優(yōu)于SONET/SDH的又一大優(yōu)點，環(huán)網(wǎng)提供對組播和廣播報文的支持，相應(yīng)的數(shù)據(jù)包在環(huán)網(wǎng)上只有一份拷貝。組播和廣播是基于源剝離的，即目的節(jié)點將接收數(shù)據(jù)包并轉(zhuǎn)發(fā)，而源節(jié)點則負(fù)責(zé)將組播包和廣播包從環(huán)網(wǎng)上剝離。 由于RPR環(huán)網(wǎng)的報文結(jié)構(gòu)與以太網(wǎng)很相似，僅增加環(huán)網(wǎng)頭和部分其他的字段，利用現(xiàn)有的MAC地址編碼技術(shù)就可以有效地表示組播和廣播報文，同時也使得相關(guān)的協(xié)議不需要大的改動，具有很好的延續(xù)性。 6）自動拓?fù)浒l(fā)現(xiàn)支持即插即用 在環(huán)網(wǎng)RPR的MAC控制中，提供自動拓?fù)浒l(fā)現(xiàn)的功能，拓?fù)浒l(fā)現(xiàn)是

48、通過拓?fù)浣Y(jié)構(gòu)發(fā)現(xiàn)報文在環(huán)上傳送一周來完成，每經(jīng)過一個節(jié)點該節(jié)點會附加本節(jié)點的MAC地址，最終每個節(jié)點就獲得了整個環(huán)網(wǎng)的拓?fù)浣Y(jié)構(gòu)信息。網(wǎng)絡(luò)拓?fù)湫畔⒖捎糜诎l(fā)送路由和內(nèi)外環(huán)的選擇，自動拓?fù)浒l(fā)現(xiàn)除定時進(jìn)行外，當(dāng)檢測到光纖故障、插入新節(jié)點、接收到保護(hù)倒換信息時也會進(jìn)行，另外，為了網(wǎng)絡(luò)的可靠性和穩(wěn)定性，只有接收到兩個完全一致的新的拓?fù)浔頃r，才進(jìn)行拓?fù)涞母?，以防止短暫的拓?fù)渥兓挠绊憽? 自動拓?fù)浒l(fā)現(xiàn)的一個主要的特點就是RPR環(huán)網(wǎng)能夠?qū)崿F(xiàn)即插即用。在傳統(tǒng)的傳輸中，如果增加一個新節(jié)點，需要對該節(jié)點以及與其有業(yè)務(wù)關(guān)系的節(jié)點進(jìn)行復(fù)雜的配置，存在N平方的問題，也使得增加新業(yè)務(wù)不靈活，開通時間慢。而在RPR網(wǎng)絡(luò)中，

49、由于有自動拓?fù)浒l(fā)現(xiàn)功能，增加新節(jié)點無需復(fù)雜的配置，大部分工作由系統(tǒng)自動完成，這樣，使得網(wǎng)絡(luò)初期規(guī)劃簡單，增加新業(yè)務(wù)簡單快捷。 7）TDM業(yè)務(wù)的支持 RPR提供多業(yè)務(wù)的支持，可提供較強(qiáng)的數(shù)據(jù)業(yè)務(wù)處理能力，而對TDM 業(yè)務(wù)的處理能力相對較弱，可以在語音業(yè)務(wù)不大時得以應(yīng)用。由于RPR具有很好的QOS保證，可利用保留的帶寬進(jìn)行主從節(jié)點的同步傳輸，實現(xiàn)時間的精確同步，另外將TDM語音業(yè)務(wù)直接封裝在RPR報文中，使用高優(yōu)先級傳輸，以提供低延時抖動的保障。 8）OAM管理的支持 RPR環(huán)網(wǎng)提供OAM管理特性，主要用于錯誤管理、性能管理和配置管理。 錯誤管理實現(xiàn)遠(yuǎn)程錯誤指示RDI、連續(xù)性檢

50、測CC、環(huán)回檢測LB、啟動/關(guān)閉連續(xù)性檢測A/D等功能。通過連續(xù)性檢測和遠(yuǎn)端錯誤指示可以進(jìn)行環(huán)網(wǎng)上錯誤節(jié)點的探測，通過環(huán)回檢測，可以進(jìn)行環(huán)網(wǎng)錯誤節(jié)點的定位和測試。 在性能管理方面，可提供系統(tǒng)性能和服務(wù)質(zhì)量等方面信息的監(jiān)控和統(tǒng)計。 5.2.2. RPR技術(shù)在教育城域網(wǎng)中的應(yīng)用 RPR技術(shù)是眾多環(huán)網(wǎng)技術(shù)中的一種，而且是比較優(yōu)秀的一種，在具備充分保護(hù)倒換功能的情況下，不需要冗余帶寬備份，提供高可靠性、高帶寬、高利用率。RPR技術(shù)是一種物理層無關(guān)協(xié)議，可支持Ethernet、 DWDM 、 SDH/SONET等物理介質(zhì)，從物理介質(zhì)來看，RPR技術(shù)完全可以應(yīng)用于園區(qū)網(wǎng)/校園網(wǎng)、城域網(wǎng)、IDC甚至是

51、廣域網(wǎng)。 RPR網(wǎng)絡(luò)可通過裸光纖直接相連，簡化網(wǎng)絡(luò)結(jié)構(gòu)，節(jié)省用戶對傳輸網(wǎng)絡(luò)的投資；網(wǎng)絡(luò)具有高的可靠性，可提供50ms電信級的快速保護(hù)倒換；同時RPR環(huán)網(wǎng)可提供高的速率，以及很高的帶寬利用率，滿足城域網(wǎng)骨干的需要。如下圖所示： RPR在城域網(wǎng)骨干的應(yīng)用 RPR已經(jīng)成為教育城域網(wǎng)的主流組網(wǎng)方案之一，包括西安教育城域網(wǎng)、貴陽市教育城域網(wǎng)、昆明教育城域網(wǎng)、銀川教育城域網(wǎng)、西寧教育城域網(wǎng)、烏魯木齊教育城域網(wǎng)、北京西城區(qū)教育城域網(wǎng)，均采取RPR環(huán)網(wǎng)組網(wǎng)。 5.2.3. 組網(wǎng)方案對比分析 RPR環(huán) 千兆環(huán)/萬兆環(huán) 數(shù)據(jù)轉(zhuǎn)發(fā) 非本節(jié)點接受數(shù)據(jù)直接由硬件二層快速轉(zhuǎn)發(fā) 本節(jié)點和

52、非本節(jié)點接受數(shù)據(jù)均做三層轉(zhuǎn)發(fā) 保護(hù)倒換 基于IPS技術(shù)，50ms保護(hù)倒換 路由收斂，重新選擇最佳路由，保護(hù)倒換時間幾十秒級別 帶寬 5G 1GE/10GE 二層Qos能力 除鏈路間的Qos保證外，具有二層的雙隊列的保證，保證實施業(yè)務(wù)的抖動和時延 只有鏈路間的Qos能力 公平算法 環(huán)上各個節(jié)點流量通過公平算法共享所有鏈路 沒有公平算法，可能出現(xiàn)某些鏈路被獨占的情況 全連接、擴(kuò)展能力 即插即用，拓?fù)渥詣影l(fā)現(xiàn)，具備良好的擴(kuò)展能力；環(huán)上所有節(jié)點全連接，增加節(jié)點后，新增節(jié)點和其他所有節(jié)點全連接。鏈路的可靠性大大增加。如果某設(shè)備失效，RPR節(jié)點可以進(jìn)入pass_through狀

53、態(tài)，仍然可以保證整個環(huán)路的連接 每臺設(shè)備只和相鄰設(shè)備連接，可靠性差不； 不具備即插即用的能力 二層多播能力 二層支持多播，多播的處理在二層芯片完成，不占用接口和交換芯片處理能力 需要占用接口和交換芯片處理能力 業(yè)務(wù)能力 很好地適應(yīng)數(shù)據(jù)業(yè)務(wù)、語音業(yè)務(wù)、視頻業(yè)務(wù) 主要適應(yīng)數(shù)據(jù)業(yè)務(wù) 6. 城域網(wǎng)綜合安全建設(shè)方案 6.1. 網(wǎng)絡(luò)安全風(fēng)險分析 一般說來，計算機(jī)網(wǎng)絡(luò)存在著以下的安全風(fēng)險及需要采取的安全對策： 風(fēng)險 安全對策 用戶風(fēng)險 身份假冒 身份認(rèn)證 身份竊取 身份認(rèn)證 非授權(quán)訪問 訪問授權(quán)管理 重放攻擊 鑒別、記錄、預(yù)警 否認(rèn) 審計、記錄 深度入侵

54、預(yù)警、阻斷 數(shù)據(jù)風(fēng)險 竊取 實體安全、加密 篡改 完整性檢驗 毀壞 災(zāi)難恢復(fù) 有害數(shù)據(jù)侵入(包括病毒等)所造成的破壞 檢測、過濾、分析、捕獲 應(yīng)用和服務(wù)風(fēng)險 非授權(quán)訪問 訪問授權(quán) 身份假冒 身份認(rèn)證 密鑰管理漏洞 CA、KDC、PKI 數(shù)據(jù)庫自身的漏洞 檢測、打補(bǔ)丁、升級 操作系統(tǒng)自身的漏洞 漏洞檢測、打補(bǔ)丁、升級 服務(wù)的脆弱性及漏洞 檢測、打補(bǔ)丁、更新 應(yīng)用系統(tǒng)自身的缺陷 更新完善 服務(wù)器風(fēng)險 入侵探測 實時監(jiān)測、預(yù)警、回火 非授權(quán)訪問 訪問控制 策略漏洞 策略管理、檢查 系統(tǒng)配置缺陷 系統(tǒng)版本 檢測、更新 系統(tǒng)平

55、臺 評測、選擇 實體安全缺陷 防輻射、防橇、防雷擊 服務(wù)器所存在的陷門和隱通道 尚無相應(yīng)的解決技術(shù)及產(chǎn)品 網(wǎng)絡(luò)風(fēng)險 入侵探測 檢測、預(yù)警、回火 設(shè)備攻擊 實時監(jiān)測、管理、維護(hù) 通道保密強(qiáng)度 采用高強(qiáng)度加密產(chǎn)品 網(wǎng)絡(luò)設(shè)備配置缺陷 定期檢測、加強(qiáng)配置管理、日志、審計 網(wǎng)絡(luò)設(shè)備物理安全缺陷 更新 網(wǎng)絡(luò)設(shè)備存在的陷門和隱通道 尚無相應(yīng)的解決技術(shù)及產(chǎn)品 網(wǎng)絡(luò)設(shè)備實體的安全 防盜、防輻射、防雷擊 Xxx教育城域網(wǎng)在現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)及應(yīng)用模式下，可能存在的主要安全風(fēng)險： 1) 網(wǎng)絡(luò)設(shè)備節(jié)點自身安全風(fēng)險： u 網(wǎng)絡(luò)設(shè)備安全有效配置、管理和維護(hù)的

56、風(fēng)險：網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)暮诵?，是整個網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，各種網(wǎng)絡(luò)設(shè)備本身的安全與可靠性以及這些設(shè)備上應(yīng)用策略的安全都需要進(jìn)行合理的配置才能夠保證； u 網(wǎng)絡(luò)設(shè)備提供安全特性合理有效的利用風(fēng)險：網(wǎng)絡(luò)設(shè)備由于處于網(wǎng)絡(luò)系統(tǒng)中基礎(chǔ)設(shè)施的特性，網(wǎng)絡(luò)設(shè)備選擇是必須考慮能夠提供足夠的網(wǎng)絡(luò)安全防范特性，以實現(xiàn)在網(wǎng)絡(luò)基礎(chǔ)設(shè)施層就能提供一定的安全特性； 2) 網(wǎng)絡(luò)結(jié)構(gòu)及線路冗余的風(fēng)險： u 隨著網(wǎng)絡(luò)節(jié)點間的連接密度的增加，整個網(wǎng)絡(luò)提供的線路冗余能力也會增加，提供的網(wǎng)絡(luò)數(shù)據(jù)的流動模式會更靈活，整個網(wǎng)絡(luò)可靠性和可用性也會大大的增加； 3) 網(wǎng)絡(luò)層有效的訪問控制的風(fēng)險： u 網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜，接入網(wǎng)絡(luò)的用

57、戶也越來越多，必須能夠在不同的網(wǎng)絡(luò)區(qū)域之間采取一定的控制措施，有效控制不同的網(wǎng)絡(luò)區(qū)域之間的網(wǎng)絡(luò)通信，以此來控制網(wǎng)絡(luò)元素間的互訪能力，避免網(wǎng)絡(luò)濫用，同時實現(xiàn)安全風(fēng)險的有效的隔離，把安全風(fēng)險隔離在相對比較獨立以及比較小的網(wǎng)絡(luò)區(qū)域。 u 為了實現(xiàn)對網(wǎng)絡(luò)應(yīng)用的有效管理，必須加強(qiáng)對網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)應(yīng)用能力控制，首先，需要對用戶接入網(wǎng)絡(luò)的能力進(jìn)行控制，嚴(yán)格控制只有經(jīng)過認(rèn)證的用戶才能接入網(wǎng)絡(luò)；同時，需要更細(xì)粒度的訪問控制，尤其是對Internet資源的訪問控制，應(yīng)該能夠控制內(nèi)部用戶訪問Internet的什么網(wǎng)站，實現(xiàn)一定程度的用戶應(yīng)用行為的管理。 4) 網(wǎng)絡(luò)攻擊行為檢測和防范的風(fēng)險： u 由于TCP/I

58、P協(xié)議的開放特性，帶來了非常大的安全風(fēng)險，常見的IP地址竊取、IP地址假冒，網(wǎng)絡(luò)端口掃描以及危害非常大的拒絕服務(wù)攻擊（DOS、DDOS）等，必須能夠提供對這些攻擊行為有效的檢測和防范能力的措施； u 由于操作系統(tǒng)平臺、網(wǎng)絡(luò)應(yīng)用平臺以及應(yīng)用系統(tǒng)本身存在的很多安全漏洞，必須能夠有效的檢測到基于這些漏洞的病毒、木馬、蠕蟲和其他各種應(yīng)用層攻擊，同時能夠組合已有的網(wǎng)絡(luò)設(shè)備和安全設(shè)備，針對這些攻擊行為，提供有效的防范能力； 5) 網(wǎng)絡(luò)數(shù)據(jù)傳輸中存在的安全風(fēng)險： 網(wǎng)絡(luò)數(shù)據(jù)在傳輸?shù)倪^程中，很可能被通過各種方式竊取，因此在提供我們上面描述的網(wǎng)絡(luò)數(shù)據(jù)傳輸能力的前提下，必須能夠保證數(shù)據(jù)在傳輸?shù)倪^程中機(jī)密性（保

59、證數(shù)據(jù)傳遞的信息不被第三方獲得）和完整性（保證數(shù)據(jù)在傳遞過程中不被人修改），尤其是在網(wǎng)絡(luò)傳遞的信息價值不斷提高情況下。 6）應(yīng)用層威脅 2000年以前，當(dāng)我們談及網(wǎng)絡(luò)安全的時候，還主要指防火墻，因為那時候的安全還主要以網(wǎng)絡(luò)層的訪問控制為主。的確，防火墻就像一個防盜門，給了我們基本的安全防護(hù)。但是，就像今天最好的防盜門也不能阻止“禽流感”病毒傳播一樣，防火墻也不能阻擋今天的網(wǎng)絡(luò)威脅的傳播。今天的網(wǎng)絡(luò)安全現(xiàn)狀和2000年以前相比，已經(jīng)發(fā)生了很大的改變，我們已經(jīng)進(jìn)入了一個“應(yīng)用層威脅”泛濫的時代。 今天，各種蠕蟲、間諜軟件、網(wǎng)絡(luò)釣魚等應(yīng)用層威脅和EMAIL、移動代碼結(jié)合，形成復(fù)合型威脅，使威脅

60、更加危險和難以抵御。這些威脅直接攻擊企業(yè)核心服務(wù)器和應(yīng)用，給企業(yè)帶來了重大損失；攻擊終端用戶計算機(jī)，給用戶帶來信息風(fēng)險甚至財產(chǎn)損失；對網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行DoS/DDoS攻擊，造成基礎(chǔ)設(shè)施的癱瘓；更有甚者，像電驢、BT等P2P應(yīng)用和MSN、QQ等即時通信軟件的普及，企業(yè)寶貴帶寬資源被業(yè)務(wù)無關(guān)流量浪費(fèi)，形成巨大的資源損失。面對這些問題，傳統(tǒng)解決方案最大的問題是，防火墻工作在TCP/IP 3～4層上，根本就“看”不到這些威脅的存在，而IDS作為一個旁路設(shè)備，對這些威脅又“看而不阻”，因此我們需要一個全新的安全解決方案。 6.2. 統(tǒng)一安全設(shè)計原則 在規(guī)劃XXX教育城域網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)時，我們將遵循以

61、下原則，以這些原則為基礎(chǔ)，提供完善的體系化的整體網(wǎng)絡(luò)安全解決方案： l 體系化設(shè)計原則 通過分析信息網(wǎng)絡(luò)的網(wǎng)絡(luò)層次關(guān)系、安全需求要素以及動態(tài)的實施過程，提出科學(xué)的安全體系和安全模型，并根據(jù)安全體系和安全模型分析網(wǎng)絡(luò)中可能存在的各種安全風(fēng)險，針對這些風(fēng)險以動態(tài)實施過程為基礎(chǔ)，提出整體網(wǎng)絡(luò)安全解決方案，從而最大限度地解決可能存在的安全問題。 l 全局性、均衡性原則 安全解決方案的設(shè)計從全局出發(fā)，綜合考慮信息資產(chǎn)的價值、所面臨的安全風(fēng)險，平衡兩者之間的關(guān)系，根據(jù)信息資產(chǎn)價值的大小和面臨風(fēng)險的大小，采取不同強(qiáng)度的安全措施，提供具有最優(yōu)的性能價格比的安全解決方案。 l 可行性、可靠性原則

62、 在采用全面的網(wǎng)絡(luò)安全措施之后，應(yīng)該不會對原有的網(wǎng)絡(luò)，以及運(yùn)行在此網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)有大的影響，實現(xiàn)在保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運(yùn)轉(zhuǎn)的前提下，有效的提高網(wǎng)絡(luò)及應(yīng)用的安全強(qiáng)度，保證整個信息資產(chǎn)的安全。 l 可動態(tài)演進(jìn)的原則 方案制定統(tǒng)一技術(shù)和管理方案，采取相同的技術(shù)路線，實現(xiàn)統(tǒng)一安全策略的制定，并能實現(xiàn)整個網(wǎng)絡(luò)從基本防御的網(wǎng)絡(luò)，向深度防御的網(wǎng)絡(luò)以及智能防御的網(wǎng)絡(luò)演進(jìn)，形成一個閉環(huán)的動態(tài)演進(jìn)網(wǎng)絡(luò)安全系統(tǒng)。 6.3. 網(wǎng)絡(luò)層安全解決方案 6.3.1. 全面網(wǎng)絡(luò)基礎(chǔ)設(shè)施可靠性保證措施 首先，可取采取的措施為多種冗余備份能力，包括網(wǎng)絡(luò)線路的多層次冗余、網(wǎng)絡(luò)設(shè)備的多節(jié)點冗余、網(wǎng)絡(luò)設(shè)備自身組件的

63、冗余，通過這些冗余能力，實現(xiàn)整個網(wǎng)絡(luò)全面的可靠性保證。網(wǎng)絡(luò)線路冗余主要包括如采用網(wǎng)狀或者盡量網(wǎng)狀連接來代替星形、樹形的連接結(jié)構(gòu)，在網(wǎng)絡(luò)改造建議方案中，我們設(shè)計了足夠的線路冗余能力。網(wǎng)絡(luò)設(shè)備多節(jié)點冗余主要是指在網(wǎng)絡(luò)中同一個設(shè)備節(jié)點部署雙機(jī)設(shè)備，通過雙機(jī)進(jìn)行實現(xiàn)相互備份和負(fù)載均衡，在網(wǎng)絡(luò)改造建議方案中，我們在關(guān)鍵的節(jié)點都進(jìn)行了雙機(jī)配置。網(wǎng)絡(luò)設(shè)備可以采取的冗余配置措施主要包括冗余電源配置、冗余模塊配置、冗余引擎配置等，基于H3C網(wǎng)絡(luò)設(shè)備豐富的冗余特性，可以有效的實現(xiàn)這些冗余配置模式。 其次，采取高安全性的網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)與安全的融合是未來網(wǎng)絡(luò)發(fā)展的必然趨勢，隨著網(wǎng)絡(luò)設(shè)備特性的不斷更新，H3C系列網(wǎng)絡(luò)

64、設(shè)備自身具備的安全能力也在不斷加強(qiáng)。H3C系列網(wǎng)絡(luò)設(shè)備包括路由器、交換機(jī)，都統(tǒng)一采用H3C自主研發(fā)的Comware軟件平臺。 6.3.2. 骨干網(wǎng)關(guān)鍵設(shè)備SR8800強(qiáng)大的安全特性 地址掃描攻擊防護(hù)能力 地址掃描攻擊是攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的目的地址不斷變化的IP報文。當(dāng)攻擊者掃描網(wǎng)絡(luò)設(shè)備的直連網(wǎng)段時，網(wǎng)絡(luò)設(shè)備會給該網(wǎng)段下的每個地址發(fā)送ARP報文，地址不存在的話，還需要發(fā)送目的主機(jī)不可達(dá)報文。如果直連網(wǎng)段較大，攻擊流量足夠大時，會消耗網(wǎng)絡(luò)設(shè)備較多的CPU和內(nèi)存資源，可能引起網(wǎng)絡(luò)中斷。 SR8800實現(xiàn)了地址掃描攻擊的防護(hù)能力。當(dāng)SR8800交換機(jī)收到目的IP是直連網(wǎng)段的報文時

65、，如果該目的地址的路由不存在，會發(fā)送一個ARP請求報文，并針對目的地址下一條丟棄表項，以防止后續(xù)報文持續(xù)沖擊CPU。如果有ARP應(yīng)答，則立即刪除相應(yīng)的丟棄表項，并添加正常的路由表項。否則，經(jīng)過一段時間后丟棄表項自動老化。這樣，既防止直連網(wǎng)段掃描攻擊對交換機(jī)造成影響，又保證正常業(yè)務(wù)流程的暢通。 SR8800還提供了相應(yīng)的配置命令，用于控制地址掃描攻擊防護(hù)功能是否啟用。 DoS/DDoS攻擊防護(hù)能力 DoS攻擊，即拒絕服務(wù)攻擊（DoS，Denial of Service），是指向設(shè)備發(fā)送大量的連接請求，占用設(shè)備本身的資源，嚴(yán)重的情況會造成設(shè)備癱機(jī)，一般情況下也會使設(shè)備的功能無法正常運(yùn)行。因為

66、主要是針對服務(wù)器的，目的是使服務(wù)器拒絕合法用戶的請求，所以叫拒絕服務(wù)攻擊。 隨著攻擊技術(shù)的發(fā)展，Dos攻擊也出現(xiàn)了升級，攻擊者控制多臺主機(jī)同時發(fā)起DoS攻擊，也就是所謂的分布式拒絕服務(wù)攻擊（DDoS，Distributed Denial of Service）攻擊，它的規(guī)模更大，破壞性更強(qiáng)。 SR8800能夠抵御IP Spoofing、Land、Smurf等常見DoS攻擊，確保某種協(xié)議遭受攻擊時不會影響到其他協(xié)議的正常運(yùn)行和業(yè)務(wù)的正常轉(zhuǎn)發(fā)。同時，當(dāng)攻擊源對下掛在網(wǎng)絡(luò)設(shè)備的服務(wù)器進(jìn)行DoS攻擊時，可以利用SR8800的ACL功能，下發(fā)特定的ACL規(guī)則對攻擊報文進(jìn)行過濾，保障下掛的主機(jī)和服務(wù)器正常運(yùn)行。 廣播/組播報文速率限制 網(wǎng)絡(luò)中存在大量的廣播或者組播報文，會占用寶貴的網(wǎng)絡(luò)帶寬，從而嚴(yán)重影響網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)性能。而且當(dāng)網(wǎng)絡(luò)中某臺設(shè)備存在環(huán)路時，廣播和組播報文會在網(wǎng)絡(luò)中泛濫，導(dǎo)致整網(wǎng)的癱瘓。 SR8800具有強(qiáng)大的廣播和組播報文過濾功能?？梢园凑战^對數(shù)值限制端口允許通過的廣播和組播報文速率，也可以按照端口速率的百分比來限制端口允許通過的廣播和組播報文速率。同時，還可以通過ACL規(guī)