电子政务网建设方案.doc

电子政务网建设 技术建议书 目 录 1 前 言 4 2 网络平台需求分析 5 2 1 网络建设目标 6 2 2 网络建设原则 8 3 网络平台基础建设 9 3 1 网络整体结构 9 3 2 电子政务内网解决方案 11 3 3 电子政务外网解决方案 13 3 4 电子政务安全解决方案 15 4 网络平台 QOS 保障 19 4 1 QOS 及其功能 19 4 2 电子政务网络 QOS设计原则 20 4 3 体系结构的选择 20 4 4 H3C路由器 DIFFSERV模型 21 4 5 H3C路由器 QOS实现机制 23 4 5 1 流分类 23 4 5 2 流量监管 23 4 5 3 DHCP标记 重标记 24 4 5 4 队列管理 24 4 5 5 队列调度和流量整形 25 4 6 QOS配置和管理 25 5 网络管理平台解决方案 27 5 1 网管实施方案 27 5 2 运维建议 27 5 2 1 网管运维建议 27 5 2 2 网管安全措施 28 5 2 3 路由器 交换机相关参数设置 28 6 网络流量分析解决方案 29 6 1 NETSTREAM技术 29 6 2 方案逻辑组成 30 6 3 H3C IMC NTA解决方案功能特点 31 7 用户行为审计解决方案 37 7 1 用户行为审计技术 37 7 2 H3C UBAS用户行为审计解决方案 38 8 网络内部控制解决方案 42 8 1 网络内部控制的重要性 42 8 2 H3C EAD端点准入方案简介 42 8 3 H3C EAD端点准入方案部署 46 8 4 H3C EAD解决了哪些问题 46 1 前 言 政府及事业单位一直是中国信息化的先行者 政府网络的建设已经比较完善 随着 电 子政务 建设的进一步深入 政府信息化建设重点变化明显 电子政务业务系统的受重视程 度继续加强 而办公自动化 信息安全和政府门户网站建设的受重视程度显著加强 按照政府网络管理的要求 必须保障含有国家机密信息的 内网 不但要求的绝对安全 但随着电子政务 网上政府 政府自身的信息化业务系统等的发展 政府与自身各分支机构 外界相关单位信息交互的 外网 安全和互连互通就变得更为必要 此外网络的安全问题日 益显得尤为重要 2 网络平台需求分析 随着电子政务系统信息化的发展 电子政务内网网络平台逐渐从 分离的专网 向 统 一网络平台 转化 成为主流的建网思路 其基本思想都是在一个统一的网络平台上为各种 业务系统提供传输通道 以及方便地实现流程整合 统一网络平台解决了业务专网建设思路存在的问题 其优势如下 利于网络扩展 当增加新的业务系统时不需要建设新的专网 而是由网络平台统一分配 网络资源 当业务专网扩容时不需要单独扩容 首先通过统一网络平台扩展其容量 当统一 网络平台容量不足时再考虑对整个平台进行扩容 管理成本低 统一网络平台由专门的部门统一维护 不需要每个业务部门都设置网络管 理员及网管 极大地降低了管理成本 网络资源利用率高 由于各业务系统对网络资源 如带宽 的需求由统一网络平台来满 足 可以根据各业务系统实际的流量动态调整带宽 充分利用网络资源 利于业务系统之间的信息共享和流程整合 由于各业务系统采用统一的网络平台 相互 之间很容易实现互访 为在将来进行信息共享及业务横向提供了良好的基础 为充分满足电子政务系统信息化发展的要求 统一网络平台还需要满足以下的关键业务 需求 部门系统之间的安全隔离 不同部门系统之间需要提供安全隔离 避免非法访问 电子政务系统业务系统之间的互访 部分业务系统 如领导决策公文下发数据 政策公 布 业务数据上报业务等之间有相互访问的需求 随着业务纵向整合的开展各单位系统之间 需要更加紧密地联系在一起 网络平台必须满足各单位系统互访的要求及安全性 不同业务系统的差别服务 COS 不同业务系统 需要网络平台提供差别服务 诸如 电子政务系统对 OA 办公和语音通话等有很大的需求 数据 视频和监控对带宽 实时性有 不同的要求 为业务系统提供灵活的网络拓扑 各应用系统的业务网络逻辑模型是不同的 有的业务 需要星型结构的网络 有的系统需要网状结构 电信级的可靠性 电子政务网是政府系统关键业务平台 其网络平台必须具有电信级的 可靠性 在设计中要充分考虑设备 链路 路由的冗余 以及快速自愈恢复能力 可管理 建议引入电信级的网络管理和业务管理方法 以确保网络和业务运行的稳定可 靠 可扩展 网络平台的设计应该是能够充分考虑可扩展性 包括链路带宽的扩展 设备容 量的扩展 以及拓朴的优化 可优化 可以将电子政务网承载的各单位系统业务看成是统一网络平台的一个 客户 网络平台需要对每一个客户 如监控 视频系统 等进行实时的监控 不断优化其网络资源 电子政务网方案本着先进性 现实性和经济性统一的原则进行设计 设计的网络具有高 性能 高可靠性 扩展性 标准化和可管理性的特点 能灵活地根据需求提供不同的服务等 级并保证服务质量 该网络将采用最先进的网络技术和高速设备 为电子政务等各类信息系 统提供统一的综合业务网络平台 与原有设备和网络实现良好的互通 降低管理成本和提高 管理效率 2 1 网络建设目标 电子政务内外网 主要包括所需要的路由器 交换机 网管 网络准入系统 防火墙 IPS等设备及工程所需要的配套设备等 工程功能可实现系统的内网办公 上联市一级电子 政务内网 访问 Internet等需求 网络的建设是为业务的发展服务 综合考虑几年内业务发展及现有网络状况 电子政务 内网建设要达到如下目标 电子政务内网业务数据由同一网络平台承载 电子政务网络的建设 应该考虑到网络的 扩展性 可靠性 安全性 IP 电话业务 监控和会议电视 为各部门工作的开展提供灵活 方便的手段 数据 语音等 后续将要运行的监控 视频 各类业务应用对网络的需求在实 时性 带宽需求 接入方式 安全性 数据分布特征等方面各有其特点 因此 在进行电子 政务内网的建设时 需要在网上开展 IP视频业务 监控业务及会议电视等相关的业务 建 立统一的综合信息系统平台网络 按照业务的需要 建设骨干网络 统一全网的安全控制措 施和安全监测手段 集中网络管理 实施分级维护 进一步规范 IP地址的应用 积极开展 网络综合应用 将电子政务内外网建设成为一个综合 高性能的网络 综合性 为多种业务应用与信息网络提供统一的综合业务传送平台 支持 QOS 能根据业务的要求提供不同等级的服务并保证服务质量 提供资源预留 拥塞控制 报 文分类 流量整形等强大的 IP QOS功能 高可靠性 具有很高的容错能力 具有抵御外界环境和人为操作失误的能力 保证任何单点故障都 不影响整个网络的正常运作 高性能 在高负荷情况下仍然具有较高的吞吐能力和效率 延迟低 安全性 具有保证系统安全 防止系统被人为破坏的能力 支持 AAA功能 ACL IPSEC NAT ISPkeeper 路由验证 CHAP PAP CA MD5 DES 3DES 日志等安全 功能以及 MPLS VPN 扩展性 易于增加新设备 新用户 易于和各种公用网络连接 随系统应用的逐步成熟不断延伸 和扩充 充分保护现有投资利益 开放性 符合开放性规范 方便接入不同厂商的设备和网络产品 标准化 通讯协议和接口符合国际标准 实用性 具有良好的性能价格比 经济实用 拓扑结构和技术符合骨干网信息量大 信息流集中 的特点 易管理 为达到集中管理的目的 网络平台支持虚拟网络 并可与路由器 骨干和局域网交换机 配合 整个网络可以进行远程控制 集中网管具体方案参见网管部分的描述 有效性 保证 5年以内硬件设备无需升级 就可满足一般业务的需要 且运行稳定可靠 2 2 网络建设原则 为达到网络优化和将来扩展的目标要求 在电子政务内外网 应始终坚持以下建网原则 高可靠性 网络系统的稳定可靠是应用系统正常运行的关键保证 在网络设计中选用高可靠性网络 产品 合理设计网络架构 制订可靠的网络备份策略 保证网络具有故障自愈的能力 最大 限度地支持系统的正常运行 标准开放性 支持国际上通用标准的网络协议 如 TCP IP 国际标准的大型的动态路由协议 如 BGP OSPF 等开放协议 有利于以保证与其它网络之间的平滑连接互通 以及将来网络的扩 展 灵活性及可扩展性 根据未来业务的增长和变化 网络可以平滑地扩充和升级 减少最大程度的减少对网络 架构和现有设备的调整 可管理性 对网络实行集中监测 分权管理 并统一分配带宽资源 选用先进的网络管理平台 具 有对设备 端口等的管理 流量统计分析 及可提供故障自动报警 安全性 制订统一的骨干网安全策略 整体考虑网络平台的安全性 可以通过 VPN和 VLAN实现 各业务子网隔离 全网统一规划 IP地址 根据不同的业务划分不同的子网 subnet 相同 物理 LAN通过 VLAN的方式隔离 不同子网间的互通性由路由策略决定 保护现有投资 在保证网络整体性能的前提下 充分利用现有的网络设备或做必要的升级 对其他的设 备用作骨干网外联的接入设备 统一标准 统一平台 网络的互联及互通关键是对相同标准的遵循 在网络中 由于有多个网络并存 要使这 些网络能融合到一起 实现业务整合及数据集中等业务 就必须统一标准 在具体实施中 必须统一规划 IP地址及各种应用 采用开放的技术及国际标准 如路由协议 安全标准 接入标准和网络管理平台等 才能保证实现网络的统一 并确保网络的可扩展性 3 网络平台基础建设 3 1 网络整体结构 电子政务系统整个网络系统划分成内网和外网 两个物理隔离的网络 内网和整个电子 政务网络相连 承载上联上一级电子政务网 办公 OA等业务 外网主要负载一些对外业务 如访问 Internet 网站信息公示等 从政府系统行政管理和技术的角度来看 建议采用层次化的网络设计结构 这样既方便 了管理 也有利于扩展和灵活布置 采用层次性设计方案的优势 网络及路由层次清晰 分层网络结构 路由设计更清晰 可以尽量避免核心区域的路由受到边缘链路震荡的影 响 网络及业务扩展性好 降低建设成本 采用分层结构之后 在电子政务系统内网业务扩展 带宽扩展 节点扩展 时 可以通过 内网核心层扩展端口来实现 当增加一个部门或科室 直接在核心核心交换机上扩展端口 降低了投资成本 提高了网络的扩展性 分层结构在业务扩展时对网络核心层及路由规划没有影响 平滑过渡 而如果在核心交 换机上直接扩容需要更改大量骨干设备的配置及路由规划 网络可靠性高 采用分层结构之后 功能模块相互独立 如 FE GE 接入 N 2M 接入 核心转发由不 同的设备来完成 不会相互影响 提高了整个网络的可靠性 整个网络方案在路由备份 物理位置分离 局域网链路备份 虚拟路由备份 设备级可 靠性等方面做了比较充分的考虑 可有效保证电子政务网络的健壮性 便于维护 采用分层结构之后 功能模块相互独立 如 FE GE 接入 E1 接入 核心转发由不同的 设备来完成 设备的配置大大简化 便于维护 也便于网络故障定位 采用分层结构 在业务扩展时简单高效 极大降低了管理难度 基于上面对层次化设计 局域网技术和广域网技术的分析 设计了电子政务网络 在网 络的设计上主要考虑了网络的性能 可靠性 安全性以及结合国际上成熟可靠的设计思想而 提出的 整个电子政务系统的内外网设计采用层次结构 除了可以满足本身业务上和实现办公自 动化等的一些基本应用外 未来也可以实现远程监控 视频会议等一些增值的应用 下面介 绍一下网络的总体结构 3 2 电子政务内网解决方案 新建办公大楼共 23层 主机房位于第四层 分机房在 1 3 层部署一间 其余每隔 2层 部署一间机房 内网的建设对各项业务的运转至关重要 下面内网的拓扑图 整个内网的主要架构特点 1 电子政务内网采用核心 接入的扁平化两层架构 提高了访问速度 管理更方便 2 网络核心处采用一台高端交换机作为网络的核心 采用双引擎双电源 增强核心设备的 可靠性 同时保证数据在双引擎转发的负载分担 3 各楼宇的接入交换机通过千兆光纤链路上行 与核心交换机相连 整个网络千兆骨干 百兆到桌面 数据传输在链路上没有拥塞 4 每个分机房部署一台 48 口的接入交换机 接入各层的信息点 5 内部局域网安全隐患远远高于外部 在某些 PC 终端在感染了攻击性病毒后 会不停的 对网络中的其他 PC 终端和服务器发动网络攻击 轻者导致一些用户不能正常上网 重 者导致服务器和网络瘫痪 因为网络中所有数据都通过核心交换机进行转发 只要在核 心交换机上扩展一块内置防火墙模块 其功能就相当于在核心交换机上的每条链路都部 署了一台高性能防火墙 通过这种方式来防御下面终端的攻击 而且防火墙模块可以对 不同的部门进行访问权限的划分 控制各种用户访问权限 6 为防御外部和内部的 4 7 层的网络攻击 特别是一些恶性病毒 如木马 蠕虫病毒等 建议在网络中部署 IPS 系统 但把 IPS 设备部署到网络前端时 会出现路由器 IPS 防 火墙等串行单点部署的情况 整个内网运转时一旦一台设备出现故障 会导致整个网络 出口中断 后果不堪设想 我们建议将单独的 IPS 设备替换成一块能在核心交换机上扩 展的 IPS 模块 不但能有效的解决串行单点部署的情况 而且因为它部署在核心交换机 上 所有经过核心交换机的数据都能经过 IPS 模块过滤 对数据中心的服务器进行应用 层保护 可以有效的防止 DDOS 攻击 和数据库数据更改等黑客行为 整网安全性进一 步提高 7 服务器均以千兆链路直接连接核心交换机 提高服务器的访问速度 8 在网络的出口处 部署一台高性能的路由器 承担数据的路由转发功能 上联上一级电 子政务网 在同时对内网地址做 NAT 地址转换 NAT 地址转换的功能也可以放在核心 交换机的防火墙模块上 9 为有效防范非法计算机接入到上下级电子政务网内部网络中 和防范合法计算机在安全 状态不满足要求的情况接入到网络中 并根据不同用户享有不同网络使用权限 10 内网承载的业务多为重要的业务 需要信息中心工作人员对整网的安全事件时刻关注 且网络的安全状况通常是根据各种网络设备的日志来进行分析的 为方便网络管理员对 整网安全事件进行统一管理 建议在服务器区配置一台安全管理中心 SecCenter 对整 网设备的安全日志进行统一收集并分析 并可生成各种形式的报告 方便向上级领导汇 报 11 为避免多个业务系统采用不同网管软件给管理员带来的麻烦和困扰 建议对整网网络设 备 业务 用户进行综合管理 方便管理员进行统一管理 12 为帮助管理员方便的对设备配置文件和软件文件进行集中管理 包括配置文件的备份 恢复以及批量更新 设备软件的备份和升级等功能 在 iMC 上附送了一个中心业务组件 iCC 13 为帮助管理员对整个网络流量进行有效监控 如可以统计设备接口 接口组 IP 地址组 多链路接口的 准 实时流量信息 包括流入 流出速率以及当前速率相对于链路最大 速率的比例等 建议配置一套网络流量分析系统 包括在核心交换机上扩展一块网络流 量分析模块 和在智能管理中枢 iMC 上配置一个网络流量分析组件 NTA 3 3 电子政务外网解决方案 外网上运行的业务相对内网而言 虽然承载的业务重要性要低些 但在网络设计和设备 选型不能降低标准 下面是电子政务外网拓扑图 整个外网的主要架构特点 1 网络核心处采用一台高性价比交换机作为网络的核心 配置双电源 2 各楼宇的接入交换机通过千兆光纤链路上行 与核心交换机相连 3 整个网络千兆骨干 百兆到桌面 数据传输在链路上没有拥塞 4 服务器均以千兆链路直接连接核心交换机 提高服务器的访问速度 5 在网络的出口处 部署一台高扩展性的路由器 承担数据的路由转发功能 6 每个分机房部署一台 48 口的接入交换机 接入各层的信息点 7 在路由器的后端部署一台防火墙 对外网数据进行过滤 并对内网地址做 NAT 地址转 换 此种组网方式避免了出口的单点故障 一旦防火墙模块出现问题 也不会出现断网 情况 路由器本身有较强的 NAT 地址转换功能 可接替防火墙的职责 8 为避免多个业务系统采用不同网管软件给管理员带来的麻烦和困扰 建议对整网网络设 备 业务 用户进行综合管理 方便管理员进行统一管理 9 为帮助管理员方便的对设备配置文件和软件文件进行集中管理 包括配置文件的备份 恢复以及批量更新 设备软件的备份和升级等功能 在 iMC 上附送了一个中心业务组件 iCC 10 为方便管理员对终端用户的上网行为进行事后审计 追查用户的网络行为 满足相关部 门对用户网络访问日志进行审计的硬性要求 建议配置一套网络行为审计系统 包括在 智能管理中枢 iMC 上配置一个网络用户行为审计组件 UBAS 和一个能生成七层日志的 DIG 探针 11 建议在外网上部署一套无线系统 无线平台将依托电子政务外网平台 采用集中控制 分布式部署的模式来建设 在电子政务外网上扩展无线插卡来实现对于全网无线系统的 统一管理和配置 对前端的无线 AP进行统一的配置管理及认证管理 由于外网接入层 设备能够支持较好的 POE功能 所以在无线网络部署时 不需要考虑其电源位置 使无 线 AP能够更加灵活的部署 3 4 电子政务安全解决方案 网络安全问题已成为信息时代企业和个人共同面临的挑战 电子政务网络安全状态也很 严峻 现在计算机系统受病毒感染和破坏的情况相当严重 电脑黑客活动已形成重要威胁 信息基础设施面临网络安全的挑战 信息系统在预测 反应 防范和恢复能力方面存在许多 薄弱环节 本次方案设计的 H3C的网络设备提供很高的安全性 通过这些安全特性可用构成一个安 全的网络环境 1 端口 IP MAC 地址的绑定 用户上网的安全性非常重要 端口 IP MAC 地址的绑定关系 H3C 交换机可以支持基于 MAC地址的 802 1X认证 整机最多支持 1K个下挂用户的认证 MAC 地址的绑定可以直接实 现用户对于边缘用户的管理 提高整个网络的安全性 可维护性 如 每个用户分配一个端 口 并与该用户主机的 MAC IP VLAN 等进行绑定 当用户通过 802 1X 客户端认证通过以 后用户便可以实现 MAC地址 端口 IP 用户 ID的绑定 这种方式具有很强的安全特性 防 D O S的攻击 防止用户的 MAC地址的欺骗 对于更改 MAC地址的用户 MAC 地址欺骗的 用户 可以实现强制下线 2 接入层防 Proxy的功能 考虑到政府系统用户的技术性较强 在实际的应用的过程当中应当充分考虑到 Proxy的 使用 对于 Proxy的防止 H3C 公司交换机配合 H3C公司的 802 1X的客户端 一旦检测到 用户 PC机上存在两个活动的 IP地址 不论是单网卡还是双网卡 H3C 系列交换机将会下 发指令将该用户直接踢下线 3 MAC 地址盗用的防止 在网络的应用当中 IP地址的盗用是最为经常的一种非法手段 用户在认证通过以后将 自己的 MAC地址进行修改 然后在进行一些非法操作 网络设计当中我们针对该问题 在接 入层交换机上提供防止 MAC地址盗用的功能 用户在更改 MAC地址后 交换机对于与绑定 MAC地址不相符的用户直接将下线 其下线功能是由接入系列交换机来实现的 4 防止对 DHCP服务器的攻击 使用 DHCP Server动态分配 IP地址会存在两个问题 一是 DHCP Server假冒 用户将 自己的计算机设置成 DHCP Server后会与局方的 DHCP Server冲突 二是用户 DHCP Smurf 用户使用软件变换自己的 MAC地址 大量申请 IP地址 很快将 DHCP的地址池耗光 H3C交换机可以支持多种禁止私设 DHCP Server的方法 5 Private VLAN 解决这个问题的方法之一是在桌面交换机上启用 Private VLAN的功能 但在很多环境 中这个功能的使用存在局限 或者不会为了私设 DHCP服务器的缘故去改造网络 6 访问控制列表 对于有三层功能的交换机 可以用访问列表来实现 就是定义一个访问列表 该访问列表禁止 source port为 67而 destination port为 68的 UDP报文通过 之后把这个访问列表应用到各个物理端口上 当然往端口一个个去添 加访问控制组比较麻烦 可以结合 interface range命令来减少命令的输入量 新的命令 因为它的全局意义 也为了突出该安全功能 建议有如下单条命令的配置 service dhcp offer deny exclude interface interface type interface number interface interface type interface numbert none 如果输入不带选项的命令 no dhcp offer 那么整台交换机上连接的 DHCP服务器都不 能提供 DHCP服务 exclude interface interface type interface number 是指合法 DHCP服务器或者 DHCP relay所在的物理端口 除了该指定的物理端口以外 交换机会丢弃其他物理端口的 in方向的 DHCP OFFER报文 interface interface type interface numbert none 当明确知道私设 DHCP服务器 是在哪个物理端口上的时候 就可以选用这个选项 当然如果该物理端口下面仅仅下联该私 设 DHCP服务器 那么可以直接 disable该端口 该选项用于私设 DHCP服务器和其他的合法 主机一起通过一台不可网管的或不支持关闭 DHCP Offer功能的交换机上联的情况 选择 none就是放开对 dhcp offer的控制 7 防止 ARP的攻击 随着网络规模的扩大和用户数目的增多 网络安全和管理越发显出它的重要性 由于现 在用户具有很强的专业背景 致使网络黑客攻击频繁发生 地址盗用和用户名仿冒等问题屡 见不鲜 因此 ARP 攻击 地址仿冒 MAC 地址攻击 DHCP 攻击等问题不仅令网络中心的管 理人员头痛不已 也对网络的接入安全提出了新的挑战 ARP攻击包括中间人攻击 Man In The Middle 和仿冒网关两种类型 中间人攻击 按照 ARP 协议的原理 为了减少网络上过多的 ARP 数据通信 一个主机 即使收到的 ARP 应答并非自己请求得到的 它也会将其插入到自己的 ARP 缓存表中 这样 就造成了 ARP 欺骗 的可能 如果黑客想探听同一网络中两台主机之间的通信 即使是通过交换 机相连 他会分别给这两台主机发送一个 ARP 应答包 让两台主机都 误 认为对方的 MAC 地址是第三方的黑客所在的主机 这样 双方看似 直接 的通信连接 实际上都是通 过黑客所在的主机间接进行的 黑客一方面得到了想要的通信内容 另一方面 只需要更改 数据包中的一些信息 成功地做好转发工作即可 在这种嗅探方式中 黑客所在主机是不需 要设置网卡的混杂模式的 因为通信双方的数据包在物理上都是发送给黑客所在的中转主机 的 仿冒网关 攻击者冒充网关发送免费 ARP 其它同一网络内的用户收到后 更新自己的 ARP表项 后续 受攻击用户发往网关的流量都会发往攻击者 此攻击导致用户无法正常和网关通信 而攻击者可以凭借此攻击而独占上行带宽 在 DHCP的网络环境中 使能 DHCP Snooping功能 交换机会记录用户的 IP和 MAC信息 形成 IP MAC Port VLAN的绑定记录 H3C 交换机利用该绑定信息 可以判断用户发出的 ARP 报文是否合法 使能对指定 VLAN内所有端口的 ARP检测功能 即对该 VLAN内端口收到的 ARP报文的源 IP或源 MAC进行检测 只有符合绑定表项的 ARP报文才允许转发 如果端口 接收的 ARP报文的源 IP或源 MAC不在 DHCP Snooping动态表项或 DHCP Snooping静态表项 中 则 ARP报文被丢弃 这样就有效的防止了非法用户的 ARP攻击 本次方案设计的华三核心设备都是支持专业的安全板卡 可以在保护用户投资的情况 下 增加这些板卡让网络具有更高的安全性 如果硬件安全板卡的性能不能满足流量的要求 的时候 可以通过增加多个板卡起到动态扩容 负载分担的作用 4 网络平台 QOS 保障 4 1 QoS 及其功能 在传统的 IP网络中 所有的报文都被无区别的等同对待 每个路由器对 所有的报文均采用先入先出 FIFO 的策略进行处理 它尽最大的努力 Best Effort 将报文送到目的地 但对报文传送的可靠性 传送延迟等性能不提供 任何保证 网络发展日新月异 随着 IP网络上新应用的不断出现 对 IP网络的服务 质量也提出了新的要求 例如 IP监控等实时业务就对报文的传输延迟提出了 较高要求 如果报文传送延时太长 将是用户所不能接受的 相对而言 E Mail 和 FTP业务对时间延迟并不敏感 为了支持具有不同服务需求的监控 视频 以及数据等业务 要求网络能够区分出不同的通信进而为之提供相应的服务传 统 IP网络的尽力服务不可能识别和区分出网络中的各种通信类别而具备通信 类别的区分能力正是为不同的通信提供不同服务的前提所以说传统网络的尽力 服务模式已不能满足应用的需要 QoS Quality of Service 服务质量技术的出现便致力于解决这个问题 QoS旨在针对各种应用的不同需求为其提供不同的服务质量例如提供专用 带宽减少报文丢失率降低报文传送时延及时延抖动等为实现上述目的 QoS提供 了下述功能 报文分类和着色 网络拥塞管理 网络拥塞避免 流量监管和流量整形 如果随着电子政务网络的扩展出现拥塞 可采用的 QOS技术有 IP 优先级 分类 CAR WRED WFQ CBWFQ ATM COS 等 QOS是一个需要消耗很多处理器资源的应用 为了达到全网最好的使用效 率 建议无论是采用 VLAN ACL方案 还是采用 MPLS BGP VPN方案 建议均采 用 DiffServ机制 在充分计算了各类业务流量的前提下 在接入路由器上采用 CAR技术对各 类业务流做流量限定 设定 IP优先级 在路由器广域网接口上采用 CBWFQ技 术为每一类业务提供确定带宽 通过上述技术可实现 QoS 4 2 电子政务网络 QOS设计原则 建议 QoS设计符合下面的原则 差异性 为不同的业务提供不同的 QoS保证 可管理 灵活的带宽控制策略 经济性 有效利用网络资源 包括带宽 VLAN 端口等 高可用性 设计备份路径 采用具备热备份 热插拔能力的设备 并 对关键的网络节点进行冗余备份 可扩展性 采用能够在带宽 业务种类增加时平滑扩容 升级的设备 4 3 体系结构的选择 为了在 IP网络上提供 QoS IETF 提出了许多服务模型和协议 其中比较 突出的有 IntServ Integrated Services 模型和 DiffServ Differentiated Services 模型 IntServ模型要求网络中的所有节点 包括核心节点 都记录每个经过的应 用流的资源预留状态 需要通过 IP包头识别出所有的用户应用流 进行 MF分 类 同时为每个经过的应用流设置单独的内部队列以分别进行监管 Policing 调度 Scheduling 整形 Shaping 等操作 对于现在大型运营网络中的节点 这种应用流 活动的 的数量非常庞大 会远远超出节点设备所能够处理的能力 而且可扩展性差 仅适合在小规模网络中使用 DiffServ模型的基本原理是将网络中的流量分成多个类 每个类接受不同 的处理 尤其是网络出现拥塞时不同的类会享受不同的优先处理 从而得到不 同的丢弃率 时延以及时延抖动 在 DiffServ的体系结构下 IETF 已经定义 了 EF Expedite Forwarding AF1 AF4 Assured Forwarding BE Best Effort 等六种标准 PHB Per hop Behavior 及业务 此外 有些厂商实现了基于 TOS的分类服务 COS 并且这类设备已经应 用在一些现有的运营网络 COS 和 DiffServ类似 不过比 DiffServ更简单 并且不象 DiffServ那样定义了一组标准的业务 DiffServ对聚合的业务类提供 QoS保证 可扩展性好 便于在大规模网络 中使用 本次工程推荐使用 DeffServ机制实现 QOS DiffServ域将设备分为两类 边缘设备和核心设备 其中边缘设备承担了 较多的工作 如流分类 标记 带宽限制 拥塞管理 拥塞避免 流量整形等 如果由单一设备全部处理 开销较大 容易形成网络瓶颈 因此需要将这些功 能分布到不同的设备上去 如流分类功尽量在边缘实现 在现有网络中 建议 在 Access Network中进行流分类 并通过 VLAN 802 1p 等进行标记 在 POP 点进行带宽限制 CAR 和拥塞避免 RED 在所有节点上基于优先级采用优先级 队列调度 实现拥塞管理 如果在整个 Access Network中 通过在业务流经的所有二 三层设备上 部署 CAR 队列机制 这样能够基于 VLAN 802 1p 等信息保证每个用户 每个 业务的带宽 实际上就实现了一种类似 IntServ的机制 只不过这时源还是用 户 而目的不是远程用户 而是 POP点 干线节点及边沿节点 在 POP点和骨 干网中根据 继承 802 1p标记进行 DiffServ处理 可以看作是 IntServ同 DiffServ的一种结合 这种机制为用户提供了虚拟专线 其 QoS可同真正的专 线相媲美 4 4 H3C路由器 DiffServ模型 H3C路由器提供基于 DiffServ的 QOS模型如下图所示 接 收 报 文 分 类 Que0e1Que2QueNREDW拥 塞 检 测 避 免 队 列FIOPQCFBW 令 牌流 量 整 形丢 弃 丢 弃 继 续 发 送入队 出队 令 牌 筒 出 接 口入 接 口 GTS 源 地 址目 的 地 址 源 端 口目 的 端 口 协 议 类 型TOSACLCA流量监管 采用 Diffserv CoS的方法需要对所有的 IP包在网络边缘或用户侧进行流 分类 打上 Diffserv或 CoS标识 DS 域内的路由器根据优先级进行转发 保 证高优先级业务的 QoS要求 骨干网络实施 Diffserv CoS 需要所有相关设备 支持 特别对边沿节点有很强 QOS能力需求 在边沿结点的 Ingress方向 路由器通常需要进行基于 MF Multi field 的流分类 基于用户流的流量监管 DSCP 标记和重标记 队列管理和队列调度 流量整形 基于 MF的流分类能力是 DiffServ边沿路由器最重要的考虑因素 主要体现在允许参与流分类的报文的域 Field 的丰富程度 决定路由器识别用 户流量的灵活度 可配置的流分类规则数的多少 决定路由器识别用户流量的 精细度 流分类处理性能 Ingress 方向的流量监管需要对每个用户流分别进 行监管 因此需要路由器具有对大量用户流进行监管的能力 队列管理涉及 Buffer管理和拥塞控制功能 在边沿的 Egress方向 路由器需要进行基于 DSCP的流分类 DSCP 重标记 TOS标记 流量整形 队列管理和调度 如果下游域还是 DiffServ域 业务 流量出口前根据 ISP双方的 SLA可能需要进行 DSCP的重标记 如果下游域是 COS域 便需要进行 TOS标记 Egress 方向的流量整形使发出到下游域的业务 流量的带宽和突发流量属性符合同下游域的运营者所签订的 SLA 核心结点需要完成基于 DSCP的流分类 队列管理和队列调度 任务简单 却要求在高速接口 如 2 5G 时的线速处理性能 4 5 H3C路由器 QOS实现机制 H3C MSR路由器是针对运营商或者企业网网络骨干及边缘应用的开放多业 务路由器 设计并实现了承载包括实时业务在内的综合业务的 QoS特性 尤其 对 DiffServ提供了基于标准的完善支持 包括流分类 流量监管 Policing 流量整形 Shaping 队列管理 队列调度 Scheduling 等 完整实现了标准 中定义的 EF AF1 AF4 BE 等六组 PHB及业务 4 5 1 流分类 MSR路由器允许根据报文头中的控制域信息进行流分类 具体可以包括下 面描述的报文 1 2 3 4 层的控制信息域 首先输入端口号可以作为重要的分类依据 它可以单独使用 也可以结合 报文的其他信息对流分类 二层的重要控制域就是源 MAC地址 三层可以参与分类的控制域包括 源和目的 IP地址 TOS DSCP 字节 Protocol 协议 ID 分段标志 ICMP 报文类型 四层的源和目的端口号 TCP SYN 标志也是允许参与流分类的重要信息域 MSR路由器可以对用户报文的几乎全部控制域或这些域的组合进行流分类 可以通过灵活的流分类手段精确地识别大量进入的用户业务流 充分满足组建 大型骨干 QoS网络时边沿结点的要求 4 5 2 流量监管 流量监管也就是通常所说的 CAR 是流分类之后的动作之一 通过 CAR 运营商可以限制从网络边沿进入的各类业务的最大流量 控制网络整体资源的 使用 从而保证网络整体的 QoS 运营商合用之间都签有服务水平协议 SLA 其中包含每种业务流的承诺速率 峰值速率 承诺突发流量 峰值突发流量 等流量参数 对超出 SLA约定的流量报文可指定给予 pass 通过 drop 直接 丢弃 或 markdown 降级 等处理 此处降级是指提高丢弃的可能性 标记为丢弃 优先级降低 降级报文在网络拥塞时将被优先丢弃 从而保证在 SLA约定范 围之内的报文享受到 SLA预定的服务 4 5 3 DHCP标记 重标记 标记 重标记是是流分类之后的动作之一 所谓标记就是根据 SLA以及流 分类的结果对业务流打上类别标记 目前 RFC定义了六类标准业务即 EF AF1 AF4 BE 并且通过定义各类业务的 PHB Per hop Behavior 明确了 这六类业务的服务实现要求 即设备处理各类业务的具体实现要求 从业务的 外在表现看 基本上可认为 EF流要求低时延 低抖动 低丢包率 对应于实 际应用中的 Video 语音 会议电视等实时业务 AF 流要求较低的延迟 低 丢包率 高可靠性 对应于数据可靠性要求高的业务如电子商务 企业 VPN 等 对 BE流则不保证最低信息速率和时延 对应于传统 Internet业务 在某些情况下需要重标记 DSCP 例如在 Ingress点业务流量进入以前已经 有了 DSCP标记 如上游域是 DSCP域的情形 或者用户自己进行了 DSCP的标记 但是根据 SLA 又需要对 DSCP进行重新标记 H3C路由器和交换机支持 RFC定义的标准的 DSCP DS CODE 还支持现在有 些网上可能使用的 COS COS 是以 TOS的前三比特作为业务区分点 总共可分 8个业务等级 对每一种业务等级均有特定的定义 4 5 4 队列管理 队列管理的主要目的就是通过合理控制 Buffer的使用 对可能出现的拥 塞进行控制 其常用的方法是采用 RED WRED算法 在 Buffer的使用率超过一 定门限后对部分级别较低的报文进行早期丢弃 以避免在拥塞时直接进行末尾 丢弃引起著名的 TCP全局同步问题 同时保护级别较高的业务不受拥塞的影响 4 5 5 队列调度和流量整形 对于时延要求严格的实时业务等 可以利用内部特有的低时延调度算法满 足业务要求 对于带宽要求的业务 带宽保证算法可以实现严格的带宽保证 应用时用户不必关心内部抽象的调度算法 只需要描述业务的流量特征 比如 保证多少兆的带宽 峰值最多多少兆的带宽 要占剩余带宽的比例权重等 H3C路由器内部将自动采用如下的一种或几种算法来调度 LLS 低时延带宽保证算法 基于时间片的调度 NLS 一般时延带宽保证算法 基于时间片的调度 PBS 峰值带宽保证算法 基于时间片的调度 WFQ 算法 基于 weight值的调度 上述算法在完成队列调度的同时 也通过带宽分配和保证实现了流量整形 对于 DiffServ模型 系统为每个端口预留 6个业务队列 分别对应 BE AF1 AF4 EF 等业务类别 对 AF1 AF4以及 EF队列用户可配置其流量参数 数据报文根据由流分类得到的业务类别进入不同的队列 队列根据所配置的流 量参数采用不同的调度算法调度报文 4 6 QOS配置和管理 QoS配置管理中配置 管理 QoS分为上行和下行两个阶段 在上行首先对 报文进行分类 方法有两种 一是在 Diffserv域中 根据报文的服务等级标 识 DSCP作简单映射得到相应的 QoS参数 二是在边缘 根据报文的链路层 网络层 传输层信息对报文进行复杂流分类 对匹配某条规则的流执行相应动 作 动作可以分为过滤动作 或给报文加上 DSCP 对流的接入速率进行控制 将流重定向到本地或指定下一跳或 MPLS的 LSP 然后还要根据分类的服务级别 采用 RED算法对报文进行流量控制 在下行输出时 根据上行分出的服务等级 入相应队列保证输出带宽 同 时也要进行流量控制 在不需要 QoS保证不进行流分类的情况下 或者报文通 过流分类没有相匹配的规则时 对报文作尽力转发 BestEffort 处理 以下根据配置的相关性分 Diffserv的配置 复杂流分类的配置和流控算 法的配置三部分描述配置方法 QoS 配置管理的内容主要包括 ACL配置 ACL 应用配置 行为聚集表配置 上下流控配置 队列配置 采用配置管理 采样 数据浏览 ACL配置包括 规则配置 动作配置 时间段配置 规则的配置主要涉及到 链路组配置 动作的配置主要涉及到流量参数配置 队列配置主要涉及到流量 参数配置 因此在配置设备 ACL应用时必须顺序完成以下几个步骤 链路组配置 流 量参数配置 规则配置 动作配置 时间段配置 ACL 配置 最后将一条 ACL 应用到对应的接口上 或进行全局应用 在 QoS管理中 可以完成下面性能数据的统计 流队列转发字节记数 流 队列包转发记数 流队列尾丢弃字节记数 流队列颜色丢弃字节记数 规则匹 配记数 监管绿色包个数 监管黄色包个数 监管红色包个数等 5 网络管理平台解决方案 信息化的深入对各行各业都产生了及其深远的影响 政府行业也不例外 信息化对政府行业的影响 毫无疑问是向着正面方向发展 信息化在政府行业 中起着越来越重要的作用 随着网络基础架构日趋复杂 传统的设备命令行 简单的管理工具已经不能够满足网络管理的需求 业界的经验证明 选择一个 优秀的网络管理系统是保证网络最大可用性的有效手段 5 1 网管实施方案 在电子政务内外网各配置一套全网网管中心系统 对整个网络的设备及链 路进行监控管理 全网网管中心全面负责全网设备的管理 能对全网所有设 备进行监视和控制 5 2 运维建议 5 2 1 网管运维建议 根据上下级网管中心的操作职能 建议将网管人员分为以下几种角色 网管中心系统管理员 维护人员 业务发放人员 各个角色的权限不同 分别为 角色名称 主要工作职能 技术等级 网管中心系统 管理员 1 监控全网运行状况 2 分析网络性能 高 3 组织网络规划 网管维护人员 1 监控本地网运行状况 2 负责日常设备具体维护 3 分析处理突发故障 中 业务发放人员 发放具体业务 一般 5 2 2 网管安全措施 网管的安全管理 操作员的帐号与 IP 地址 登录时间等进行绑定 在一 定范围限定非法入侵 进行网管组网设计时 设备的业务网段与网管的管理网段进行隔离 例如 采用 VLAN 隔离的方式 业务用户无法访问网管网 网管增加登录 命令操作等方面的日志功能 5 2 3 路由器 交换机相关参数设置 SNMP 相关版本设置 SNMP 协议的相应版本统一 SNMP 设置团体名 SNMP 采用团体名认证 与设备认可的团体名不符的 SNMP 报文将被丢弃 可将对应省调的团体设置为读写 read write 访问模式 而将对应各地调的团 体设置为只读 read only 模式 不同地区的团体名设置成不同 具有只读权 限的团体只能对设备信息进行查询 而具有读写权限的团体还可以对设备进行 配置 Trap 报文相关属性设置 允许被管理设备主动向区网管工作站发送 Trap 报文 所属设备也向网管 工作站发送 Trap 报文 设置被管理设备发送 Trap 的源地址为该设备的 loopback 地址 路由器 或管理地址 交换机 6 网络流量分析解决方案 因为网络中承载的业务非常丰富 管理员需要及时的了解到网络中承载的 业务 及时的掌握网络流量特征 以便使网络带宽配置最优化 及时解决网络 性能问题 目前业务专网在管理网络当中普遍遭遇到了如下的问题 1 网络的可视性 网络利用率如何 什么样的程序在网络中运行 主要用户 有哪些 网络中是否产生异常流量 有没有长期的趋势数据用作网络带宽 规划 2 应用的可视性 当前网内有哪些应用 分别产生了多少流量 网络中应用 使用的模式是什么 电子政务系统内部重要应用执行状况如何 3 用户使用网络模式的可视性 哪些用户产生的流量最多 哪些服务器接收 的流量最多 哪些会话产生了流量 分别使用了哪些应用 6 1 NetStream技术 NetStream 技术是基于 流 的 IP 信息收集方案 一个流是指来自相同的 子接口 有相同的源和目的 IP 地址 协议类型 相同的源和目的协议端口号 以及相同的 ToS 的报文 例如 下图中就包括四条流 从 Client A 到 WWW Server 的 HTTP 请求流 从 WWW Server 到 Client A 的 HTTP 应答流 从 Client B 到 FTP Server 的 FTP 请求流 从 FTP Server 到 Client B 的 FTP 应答流 从上例中可以很容易地理解 流是单向的 同时流也是基于协议的 形象 地说 通过 NetStream 流可以记录下来网络中 who what when where how NetStream 是 H3C 公司基于 流 的概念 定义的一种用于路由器 交换机输 出网络流量的统计数据方法 路由器 交换机对通过其的 IP 数据包进行统计和 分析 并上报给数据采集机 采集机把搜集的数据包及统计数据传送到中心服 务器 经合并处理后存入数据库 并进行进一步的分析处理 通过对上述原始 详细的基本 IP 数据流进行分析 准确把握网络运行状态 准实时发现网络异常 情况并进行处理 也能支持面对业务应用的精细管理和计费 NetStream 技术 可利用网络中数据流创造价值 并可在最大限度减小对路由器 交换机性能的影 响的前提下提供详细的数据流统计信息 6 2 方案逻辑组成 iMC NTA 解决方案包括 网络设备 DIG 日志采集器 可选 iMC NTA 网络流量分析组件 三部分之间的关系如下图所示 1 网络设备 提供 NetStream 技术接口的网络设备 负责对设备各个端口进出的网络报 文进行流分类统计 然后打包输出 2 DIG 日志采集器 适用于配合不支持 NetStream 技术的网络设备进行流量分析的组网环境 DIG日志采集器过滤和统计 DIG日志报文 形成 DIG日志输出 DIG 采集器有 以下两种方式对网络设备端口的数据报文进行采集 1 从镜像端口采集 对于支持镜像端口的交换机 路由器设备 可以将镜像端口直接同 DIG日 志探针组件的采集网卡相连 实现数据采集 此类采集方式 需要设置设 备镜像端口 保证镜像端口和采集网卡的类型匹配 带宽匹配 2 分流器采集 在设备不支持镜像端口的情况下 为了不影响设备性能 比较专业的采集 方案是采用分流器 从设备端口接收网络数据报文 此方案通常应用于光 纤链路 3 iMC NTA 网络流量分析组件 iMC NTA 网络流量分析组件是本方案的核心 其根据不同应用对采集来的 流量数据进行详细的分析处理 使用分布式数据集中和分析的方法 具备高效 的分析样本以及细化的统计粒度 为便于网络管理人员的操作 采用基于 Web 的直观的 图形化的管理界面 6 3 H3C iMC NTA解决方案功能特点 多角度的网络流量分析 NTA 网络流量分析系统可以统计设备接口 接口组 IP 地址组 多链路接 口的 准 实时流量信息 包括流入 流出速率以及当前速率相对于链路最大 速率的比例 NTA 网络流量分析系统可以从多个角度对网络流量进行分析 并生成报表 包括基于接口的总体流量趋势分析报表 应用流量分析报表 节点 包括源 目的 IP 流量报表 会话流量报表等几大类报表 总体流量趋势分析 总体流量趋势报表可反映被监控对象 如一个接口 接口组 IP 地址组 的入 出流量随时间变化的趋势 图形化的统计一览表提供了指定时间段内总流量 采样点速率最大值 采样点 速率最小值和平均速率的信息 对于设备接口 还可提供带宽资源利用率的统 计 支持按主机统计流量 Top5 显示给定时间段内的流量使用在在前 5 名的主机流 量统计情况 以及每个主机使用的前 5 名的应用流量统计 同时还支持流量明细报表 可提供各采样时间点上的流量和平均速率值 应用流量分析 应用流量分析报表反映被考察对象 如一个接口 的流入 或流出 方向 上 带宽被各种网络应用占用的比例随时间变化的趋势 包含报表统计时间内 的该应用的总流量 平均流速和占所有应用总流量的百分比等 同时还支持对该应用的流量信息进一步的数据挖掘 分析使用该应用流量 的最大来源和目的地址 TopN 列表 来源 目的 会话流量分析 来源 目的 会话流量分析报表反映被考察对象 如一个接口 的流入 或流 出 方向上 在指定时间范围内总流量最大的网络节点 源 目的 以及网 络节点间会话的排名 同时还支持对节点 会话流量进行进一步的数据挖掘 分析节点流量中使用最 多的应用和与该节点通讯最多的节点 分析会话流量中双方节点使用应用的排 名信息 未知应用流量分析 未知应用流量分析对系统中没有定义的 TCP UDP 应用进行了深入的分析 提供按照端口号 源 IP 和目的 IP 分组的未知应用流量信息 并可查看到某一 个端口 源 IP 和目的 IP 的详细通信信息 提供按源 目的分类的流量 TopN 情况 可以按协议和端口将统计到的位置应用定义为已知应用 七层应用流量分析 端口不固定的应用 如 P2P BT eDonkey 等应通过报文应用层数据的特 征进行识别 基于七层应用的识别和分类 NTA 可针对百兆链路提供对常见 P2P BT eDonkey 等应用的网络占用带宽趋势图和流量趋势图及应用的详细 信息列表等报表 实现对此类应用流量的监控 系统已经将大部分常见的端口不固定的应用设定为系统预定义的应用 如 BT DC eDonkey Gnutella Kazaa MSN QQ AIM 等 用户可根据需 要 定义其它的应用识别 七层应用识别只对 DIG 日志有效 对其他类型的日志无效 主机识别 系统提供了根据 IP 地址获取对应的主机名称 域名和 MAC 地址的功能 并 可与用户接入管理进行联动 获取特定时间段内使用该 IP 地址的用户上网明细 信息 流量审计 通过流量原始日志对特定节点 协议 端口 时间范围内的流量趋势 来 源 目的和会话进行审计 给出对应的通信明细 包括流量 包数 包长等 并可根据来源 IP 目的 IP 端口等进行分类统计 以便跟踪解决网络流量异常 问题 结合拓扑 设备管理直观展示网络流量 在拓扑中增加网流分析功能的菜单入口 对设备 接口等对象直观的展示 其相关流量的分析报表 设备管理页面中也能融合管理网络流量 网络应用自定义 支持网络应用的自定义 通常情况下 网络应用由一组 或多组 固定的 网络协议和通讯端口的组合进行标识 如 http 应用对应 TCP 协议和 80 端口 网络流量分析系统会预设近三百种常用应用定义 管理员可以直接使用 根据 网络的实际使用情况 管理员也可以自定义关心的应用来进行数据的统计分析 例如将 FTP 应用定义为 TCP 21 和 UDP 2