学校技术建议方案
2017-11-29 50页 doc 1MB 13阅读
is_105949
暂无简介
举报
学校技术建议方案学校技术建议方案
某大学IP网 技术建议方案
安徽易科技术有限公司
2011年1月
安徽易科技术有限公司 www.aetc.com.cn
目 录
第1章 需求分析....................................................................................................................................................... 6 1.1 概述 .....................
学校技术建议方案
某大学IP网 技术建议方案
安徽易科技术有限公司
2011年1月
安徽易科技术有限公司 www.aetc.com.cn
目 录
第1章 需求分析....................................................................................................................................................... 6 1.1 概述 ................................................................................................................................................................. 6 1.2 项目背景.......................................................................................................................................................... 6 1.3 网络建设需求 .................................................................................................................................................. 6 第2章 设计原则....................................................................................................................................................... 8 2.1 某大学的校园网建设遵循以下基本原则: .................................................................................................... 8 2.1.1 高带宽 ...................................................................................................................................................... 8 2.1.2 可增值性 .................................................................................................................................................. 8 2.1.3 可扩充性 .................................................................................................................................................. 8 2.1.4 开放性 ...................................................................................................................................................... 9 2.1.5 安全可靠性............................................................................................................................................... 9 第3章 校园网基础网络规划设计 ...........................................................................................................................10 3.1 总体规划设计概述 .........................................................................................................................................10 3.2 核心层规划设计 .............................................................................................................................................12 3.3 汇聚层规划设计 .............................................................................................................................................14 3.4 接入层规划设计 .............................................................................................................................................14 3.5 网络出口规划设计 .........................................................................................................................................15 3.6 网络安全总体设计 .........................................................................................................................................16 3.7 IRF2智能堆叠介绍 ..........................................................................................................................................18 3.8 方案特点.........................................................................................................................................................20 第4章 无线网络规划设计 ......................................................................................................................................22 4.1 无线网络设计 .................................................................................................................................................22 4.2 802.11N技术....................................................................................................................................................22 4.3 规划 ................................................................................................................................................................23 4.4 部署WLAN覆盖方案 .......................................................................................................................................26 4.5 WLAN安全解决方案 .......................................................................................................................................27 4.6 业务增值服务 .................................................................................................................................................27 4.7 无线业务管理器管理......................................................................................................................................29 4.8 无线供电问 .................................................................................................................................................30 第5章 网络存储规划设计 ......................................................................................................................................31 5.1 存储架构分析 .................................................................................................................................................31 5.2 某大学存储系统需求......................................................................................................................................32 5.3 IP-SAN的方案设计 ........................................................................................................................................33 5.4 集中存储.........................................................................................................................................................34 5.4.1 方案特点 .................................................................................................................................................35 5.4.2 方案优势 .................................................................................................................................................36 5.5 CDP(持续数据保护)方案 ............................................................................................................................38 5.5.1 多种数据保护方案对比 ..........................................................................................................................38 5.5.2 总体方案描述 ..........................................................................................................................................40 2011-5-12 校园网工程方案 第2页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
5.5.3 CDP特点描述 ...........................................................................................................................................40 5.6 数据备份功能描述 .........................................................................................................................................42 5.6.1 数据备份介质选择 ..................................................................................................................................43 5.6.2 ......................................................................................................................................45 服务器系统保护
5.7 容灾方案描述 .................................................................................................................................................47 第6章 校园网安全系统规划设计 ...........................................................................................................................49 6.1 设计原则.........................................................................................................................................................61 6.2 网络插卡优势 .................................................................................................................................................62 6.2.1 防火墙插卡..............................................................................................................................................64 6.2.2 智能业务网关模块插卡 ..........................................................................................................................65 6.2.3 应用控制网关模块插卡 ..........................................................................................................................67 6.2.4 无线控制器(AC)插卡 ..........................................................................................................................67 6.2.5 入侵防御与检测 ......................................................................................................................................68 6.2.6 防病毒模块..............................................................................................................................................69 6.3 安全管理组件职能 .........................................................................................................................................71
...........................................................................................................................71 6.3.1 iMC智能管理中心平台
6.3.2 UBA用户行为审计组件 ...........................................................................................................................71
...........................................................................................................................74 6.3.3 UAM用户接入管理组件
6.3.4 EAD端点准入防御解决方案 ....................................................................................................................78 6.3.5 CAMS计费管理组件 .................................................................................................................................81 6.3.6 APM应用管理组件 ...................................................................................................................................81 6.3.7 WSM无线运营管理组件 ...........................................................................................................................86 6.4 H3C SECCENTER 安全管理中心 ..........................................................................................................................86 6.5 核心层网络安全规划设计 ..............................................................................................................................87 6.6 接入层网络安全规划......................................................................................................................................89 6.6.1 端口,IP,MAC地址的绑定: ................................................................................................................89 6.6.2 接入层防Proxy的功能 ..........................................................................................................................89 6.6.3 MAC地址盗用的防止 ...............................................................................................................................89 6.6.4 防止对DHCP服务器的攻击 .....................................................................................................................89 6.6.5 防止ARP的攻击 ......................................................................................................................................90 第7章 网络认证和计费管理及上网行为审计 ........................................................................................................92 7.1 用户管理认证和计费概述 ..............................................................................................................................92 7.2 业务认证、授权管理描述 ..............................................................................................................................93 7.3 CAMS对用户上网认证的管理 ........................................................................................................................96 7.3.1 用户需求分析 ..........................................................................................................................................96 7.3.2 CAMS解决方案 .........................................................................................................................................97 7.3.3 业务认证流程 ........................................................................................................................................ 108 MAC盗用的用户限制 ............................................................................................................................................. 108 MAC地址自学习功能 ............................................................................................................................................. 108 IP地址更改的用户限制 .......................................................................................................................................... 108 7.4 网络状况与用户行为的审计管理 ................................................................................................................ 109 7.4.1 用户行为审计技术 ................................................................................................................................ 110 2011-5-12 校园网工程方案 第3页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
7.4.2 H3C用户行为审计解决方案 .................................................................................................................. 111 7.5 网络认证客户端 ........................................................................................................................................... 114 7.5.1 产品概述 ............................................................................................................................................... 114 7.5.2 ............................................................................................................................................... 114 产品特点
7.5.3 .................................................................................................................................... 116 智能的安全准入
7.5.4 .................................................................................................................................... 116 简单易用的界面
7.5.5 ........................................................................................................................................ 117 良好的兼容性
7.6 IMC平台与第三方计费系统接口 .................................................................................................................. 117 第8章 大学校园IP监控规划设计 ........................................................................................................................ 119 8.1 监控系统发展趋势 ....................................................................................................................................... 119 8.2 需求分析....................................................................................................................................................... 120 8.3 监控系统功能要求 ....................................................................................................................................... 121 8.4 系统总体架构概述 ....................................................................................................................................... 122 IP智能监控方案体系架构图: .............................................................................................................................. 123 8.5 H3C IVS8000监控解决方案介绍 .................................................................................................................. 124 8.6 系统业务流程 ............................................................................................................................................... 130 GIS功能界面图 ....................................................................................................................................................... 134 8.7 日志管理....................................................................................................................................................... 137 8.8 轮切业务....................................................................................................................................................... 137 8.9 多画面业务 ................................................................................................................................................... 138 8.10 终端注册认证 ............................................................................................................................................. 138 8.11 时间同步 ..................................................................................................................................................... 139 8.12 集中管理和批量配置.................................................................................................................................. 139 8.13 整体方案设计特点 ..................................................................................................................................... 140 8.13.1 高清晰的图像质量 .............................................................................................................................. 140 8.13.2 专业可靠的海量存储 .......................................................................................................................... 140 8.13.3 智能便利的管理维护 .......................................................................................................................... 140 8.13.4 电信级的设备高可靠性....................................................................................................................... 141 8.13.5 国际的高锲合 .............................................................................................................................. 141 第9章 校园网络管理系统规划设计 ..................................................................................................................... 142 9.1 产品特性....................................................................................................................................................... 143 9.1.1 全面的基础资源管理 ............................................................................................................................ 143 9.1.2 灵活的拓扑功能 .................................................................................................................................... 144 9.1.3 智能的告警管理 .................................................................................................................................... 145 9.1.4 易用的性能管理 .................................................................................................................................... 146 9.1.5 强大的配置管理 .................................................................................................................................... 147 9.1.6 丰富的VLAN管理 .................................................................................................................................. 149 9.1.7 实用的IP/MAC管理 .............................................................................................................................. 150 9.1.8 专业的网络分级分权管理 ..................................................................................................................... 152 9.1.9 多种网管平台的集成能力 ..................................................................................................................... 153 9.1.10 IT资源深度管理的承载平台 .............................................................................................................. 153 9.2 网络集中监视 ............................................................................................................................................... 154 2011-5-12 校园网工程方案 第4页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
9.3 故障管理....................................................................................................................................................... 154 9.4 集群管理....................................................................................................................................................... 154 9.5 堆叠管理....................................................................................................................................................... 155 9.6 流量性能监控 ............................................................................................................................................... 155 9.7 故障定位与地址反查.................................................................................................................................... 156 9.8 与通用网管平台集成.................................................................................................................................... 156 9.9 行业用户网管解决方案 ................................................................................................................................ 156
9.10 RMON管理.................................................................................................................................................. 157
9.11 WEB特性 ...................................................................................................................................................... 157 第10章 方案优势总结 .......................................................................................................................................... 158 10.1 H3C是教育行业第一品牌 ........................................................................................................................... 158 10.2 H3C是唯一提供全面ITOIP数字校园解决方案的厂商 ............................................................................... 159 10.3 H3C是唯一真正全面具备IPV6建设经验与实践的厂商 ............................................................................ 159 10.4 H3C是唯一一家开放平台的监控厂商 ........................................................................................................ 160 10.5 H3C网络虚拟化技术保障数据中心高性能、高可靠 ................................................................................. 160 10.6 H3C所有网络设备支持全分布式交换 ........................................................................................................ 161 10.7 H3C安全设备融合设计,实现业务集成化................................................................................................. 161 10.8 H3C提供针对教育行业用户的贴心定制化服务 ......................................................................................... 161
2011-5-12 校园网工程方案 第5页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
第1章 需求分析
1.1 概述
进入二十一世纪,以知识和信息的生产、传播、应用为基础的知识经济占据着世界经济发展的主导地位,国家综合国力和国际竞争能力更是取决于教育、科学技术和知识创新的水平,教育在经济和社会发展进程中起着越来越重要的作用。随着现代信息技术的高速发展,信息化技术与教育相结合,正成为当今中国教育改革和发展的关键组成部分,改变着传统的教育模式。
随着科教兴国观念不断深入人心,高等教育已成为国家科技进步、经济发展的重要支撑,“实施全面素质教育”的教育理念不断推行,高等教育的办学模式在教育的时间、地点、方式等方面均面临变革,信息化已成为最引人注目的变革趋势之一。
信息技术的应用与普及,较早地在高校得以实现,而现代信息技术正在向高校教学、科研、管理的每一个环节渗透,将改变传统的教学模式并大幅度提高教育资源的利用效率。数字化校园、网上大学已被人们熟悉,高等教育正在走向全面的信息化。
为了能够顺应信息化社会的发展要求,建设一个高质量、高带宽、多服务、范围广的整体教育综合信息网络势在必行。建设先进、实用的教育信息化基础设施;普及现代信息技术及相关现代教育技术;使广大教育工作者和学生能够初步掌握在信息化环境下的教育教学规律,较好地利用现代信息技术从事管理、教学和科学研究等工作。
1.2 项目背景
大学校园网络信息综合建设,如何为数量众多的师生提供高速、安全、可靠的校园网络自然成为重中之重!
1.3 网络建设需求
, 满足在校师生数高达10000人的以上的上网办公需求
, 网络的具有先进、高效、稳定、易管理特性;提供全面、灵活、完善、精细
化的应用识别管理能力
, 有完善的认证计费系统,符合开放、融合、统一的标准,能与校园一卡通等结合
2011-5-12 校园网工程方案 第6页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
, 防范ARP欺骗,提供ARP入侵检测;防范DHCP服务器伪装攻击;防范多种病毒攻击,
投入运行的校园网络对安全接入、校园网络出口综合管理、用户行为审计等提供保
障。
, 网络边缘设备提供密集的端口,以减少网络延时。
, 数据中心数据要有进行持续数据保护,对数据的备份和容灾提供可供全面的整合保
护。
, 无线网线覆盖要对有线网络的补充和功能分担,同时无线网络要有可管可控易操作安
全接入与认证。
, 对学校未来IPV4/IPV6进行整合,与过渡的方案设计。
, 认证客户端需具有良好的兼容性,支持win2000、winxp、win2003、win2008、vista、
win7等;对认证客户实现页面推送功能
, 收集学生的上网行为数据,满足公安部82号令
2011-5-12 校园网工程方案 第7页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
第2章 设计原则
早期的高校校园网主要是共用内部教育系统主机资源,共享简单数据库,多以二层交换为主,很少有三层应用,存在 安全、可管理性较差、无业务增值能力 等方面的问题。
现在大学的校园网建设要实现内部全方位的数据共享,应用三层交换,提供全面的QoS保障服务,使网络安全可靠,从而实现教育管理、多媒体教学自动化,而且还要通过Internet实现远程教学,提供可增值可管理的业务,必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。
基于对校园网业务需求的深入理解,结合自身产品和技术特点,H3C公司推出了了业界最为完善的IToIP数字化校园网解决方案,从有线网络、无线、数据存储、数据与传输安全、校园大规模监控、业界领先网络技术支持、校园计费与上网行为审计管理、网络与安全设备管理、全网综合管理等,为用户提供“高扩展、多业务、高安全”的精品网络。 2.1 某大学的校园网建设遵循以下基本原则:
2.1.1 高带宽
某大学的校园网是一个庞大而且复杂的网络,为了保障全网的高速转发,校园网全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特,整网的核心交换要求能够提供无瓶颈的数据交换。
2.1.2 可增值性
某大学的校园网建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制,实现以网养网。
2.1.3 可扩充性
考虑到某大学的用户数量和业务种类发展的不确定性,要求对于核心交换机与汇聚交换机具有强大的扩展功能,某大学的校园网要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。
2011-5-12 校园网工程方案 第8页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
2.1.4 开放性
技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。
2.1.5 安全可靠性
设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。
2011-5-12 校园网工程方案 第9页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
第3章 校园网基础网络规划设计 3.1 总体规划设计概述
在校园园区网络整体设计中,采用层次化、模块化的网络设计结构,并严格定义各层功能模型,不同层次关注不同的特性配置。典型的校园园区网络结构可以分成三层:接入层、汇聚层、核心层(或者根据学校实际情况在网络结构上进行实际规划)。
1) 接入层:提供网络的第一级接入功能,完成简单的二、三层交换,安全、Qos和POE功能都位于这一层。对于校园园区网的接入层设备,建议采用准三层接入的方式,应该具有线速三层交换、IRF智能弹性堆叠技术以及高级QoS策略等功能。
2) 汇聚层:汇聚来自配线间的流量和执行策略,当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关;对于校园园区网的汇聚层设备,应该能够承载校园园区的多种融合业务,能够融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,能够承载校园园区融合业务的需求。
3) 核心层:网络的骨干,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。对于校园园区网核心层,必须提供高性能、高可靠的网络结构,推荐采用高可靠的RIF2结构或多设备冗余的网络结构。对于校园园区网核心层设备,应该在提供大容量、高性能L2/L3交换服务基础上,能够进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性,可为校园园区构建融合业务的基础网络平台,进而帮助用户实现IT资源整合的需求。
一般,校园园区网络规模比较大,接入节点数目比较多,各院系的数据在网络上的传输也必须保证端到端的安全,各院系、各部门间的业务隔离需求就显得比较迫切,随着各校园业务的快速增长,校园网络的扩展性也应该比较强。针对校园园区网络建设的这些特点,H3C公司提出了校园园区的IP智能安全渗透网络方案,该方案包括层次化设计、高可靠性设计。
本方案主要目的是将某大学校园网的网络的性能、带宽、主要网络业务进行全网的规划建设。网络规划设计主要包含高品质IP核心网模块、智能弹性接入网模块、安全渗透网络模块、网络系统综合管理、IPv4/v6地址与路由模块、组播与QoS优化模块等主要部分。
对于某大学的规划设计建议采用三层网络结构,接入、汇聚、核心层,增加了网络健壮度,易于配置和管理,为用户提供高性能桌面接入、支持语音和POE功能。接入、汇聚、核
2011-5-12 校园网工程方案 第10页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
心层设备都为机架式,可用多种不同端口类型的单板组合,使用灵活、可扩充性强,节省网络投资。整网带宽较高、稳定可靠、可满足多种业务的无阻塞交换。网络拓扑结构图(以实际需求为准)如下所示:
某大学的校园网解决方案总体规划设计是以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。
方案优势如下:
1. 采用三层网络结构,接入、汇聚、核心,增加了网络设备稳定性,易于配置和管理,也
降低因链路故障造成的网络瘫痪风险。
2. 核心设备采用H3C公司的新一代高端多业务路由交换机,配置1+1冗余电源、主控,保
障核心层设备可靠稳定的高性能运行。
3. 核心设备支持多种安全插卡模块,如防火墙和IPS入侵防御系统插卡模块,端点准入插
卡,应用控制网关、VPN安全插卡、负载均衡等,插卡模块与核心交换无缝融合,无需
独立部署安全盒式设备;避免了单点故障对整个网络的影响。
4. 在全网建设中,H3C提出了统一威胁管理设备、高端防火墙、防DDOS产品设备、负载均
2011-5-12 校园网工程方案 第11页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
衡产品安全等全面保护网络L2-L7层安全。
5. 接入层交换机具有全面的接入安全特性,满足校园网用户对于ARP欺骗,地址盗用等攻
击防御。
6. H3C独有的有线无线一体化管理,提出了AC+FIT AP 科学先进的无线组网方案,组校网
络增添了更多的活力与特色。
7. H3C 提出了校园的IP网络监控,充分利用校园IP网络优势来实现IP化的监控网络应用
与管理,使校园网络更具有国际化的先进水平。
8. 在网络架构中,H3C的网络设备支持IPV4/IPV6的升级,支持IPV6网络的安全与可管理
可控。
9. 强大的网络管理系统、用户身份认证计费系统和用户行为审计系统的部署使得校园网的
管理更加方便快捷,极大的降低了学校的网络维护运营成本。
3.2 核心层规划设计
对于某大学校园网的这样的大型园区网络,推荐采用双电源,双机通过万兆RIF堆叠,将两台设备虚拟化为一台逻辑设备。这样可以实现毫秒的故障检测时间以及业务倒换时间。核心层在可靠性、分布性和易管理性方面具有强大的优势可以做到故障切换时完全不影响正在进行的音频业务,完全满足电信级可靠性的要求。
某大学的核心层规划设计如下图所示:
2011-5-12 校园网工程方案 第12页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
如上图所示,某大学的核心层规划部署H3C公司的核心交换机作为该节点的核心交换机,采用双电源冗余设计。H3C核心交换机系列产品是H3C公司面向融合业务网络推出的新一代高端多业务路由交换机,该产品基于H3C自主知识产 权的Comware V5操作系统,融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,在提高用户生产 效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。且H3C 核心交换机符合“限制电子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。
方案核心层的规划设计具有以下优势: 本
1) 核心交换机采用无源背板设计,配置了1+1冗余电源、主控,无源背板设计极大降
低核心交换机的机箱故障率,而冗余电源的配置更加降低因核心设备故障而出现的
网络瘫痪风险。
2) 双机万兆RIF2堆叠,增强了设备的可靠性,提供毫秒级的链路收敛能力
3) 核心层交换机与防火墙和IPS的无缝融合,使得网络部署更加安全灵活。
2011-5-12 校园网工程方案 第13页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
3.3 汇聚层规划设计
汇聚层交换机和核心层交换机的作用与接入交换机不同,它们承担了网关和三层路由转发功能的重担。
某大学的接入层建议采用H3C 中高端系列交换机作为接入设备,实现IPv4/IPv6硬件双栈及线速转发,使客户能够从容应对即将带来的IPv6时代。H3C 中低端系列交换机是增强型IPv6强三层万兆以太网交换机产品,具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性,具有240G的以上背板交换容量,支持所有端口三层线速转发,满足了教育用户对高带宽的需求。支持最多4个万兆扩展接口。启用OSPF协议后提供更快的路由收敛时间。除此以外,其出色的安全性,可靠性和多业务支持能力使其成为大型校园网络和企业网的汇聚层的第一选择。
本方案汇聚层的规划设计具有以下优势:
1) 汇聚交换机启用OSPF、BGP等路由协议,收敛速度快,自身开销小。
2) 汇聚层交换机使得网络部署更加安全灵活,提供IPv6的限速转发。 3.4 接入层规划设计
接入层是直接与用户相连的设备,要求接入交换机具有高密度端口,线速的转发能力,良好的可扩展性,方便扩容,易于管理和维护。
2011-5-12 校园网工程方案 第14页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
某大学的接入层建议采用H3C教育网交换机作为接入设备,实现百兆到桌面,千兆上行。教育网交换支持千兆电口上行,支持最大16台堆叠,提供高密度的端口数。既保障了上行链路的高带宽,又避免了采用大量光接口汇聚的高昂费用。
H3C教育网交换机是H3C公司为满足教育行业构建高安全、高智能网络需求而专门设计的新一代以太网交换机产品,在满足校园网高性能、高密度的接入的基础上,提供更全面的安全接入策略和更强的网络管理维护易用性,是理想的校园网接入层交换机。H3C教育网交换机系列(H3C教育网以太交换机设备型号依据学校具体需求进行选择),具有19.2G的背板交换容量,支持所有端口线速转发,满足了教育用户对高带宽的需求。设备支持2/4个GE上行,采用固定电口和通用SFP的灵活千兆连接方式,在降低用户成本的同时,更好的考虑了用户后续升级的实际需求。H3C 教育网交换机采用专利技术允许交换机利用专用互联电缆实现多达16台设备的堆叠,最大扩展至768个10/100M端口,支持混合堆叠。具有即插即用、单一IP管理,同步升级的优点。同时大大降低系统扩展的成本,保护了用户投资。 3.5 网络出口规划设计
某大学网络出口包括,个,教育网出口和互联网出口。建议部署1台H3C 中高端开放多核路由器,作为整个校园网与互联网和教育网互联设备。H3C 中高端开放多核路由器通过1条千兆链路连接主节点的核心交换机。
H3C 中高端开放多核路由器系列产品是业界第一款基于多核多线程处理器技术架构的路由器产品,其全新的硬件平台和面向业务设计的理念全新诠释了数据通信业务汇聚/接入和企业网关的新型解决方案,更加充分的满足未来业务扩展的多元化应用需求,符合校园网IT建设的现状与发展趋势。H3C 中高端开放多核路由器系列路由器提供了丰富的可选配模块,
2011-5-12 校园网工程方案 第15页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
同时兼容中低端路由器的MIM接口卡,不仅充分保护了用户已有投资,而且能够最大限度的满足用户的各种组网需求。
考虑到公共网络的开放性、互连性等特征,致使网络易受黑客、病毒、恶意软件和其他不轨的攻击,随着对Internet访问的日益频繁,为保障整个校园的网络出口安全,建议在主节点的核心交换机上部署如SecBlade防火墙插卡、一块IPS入侵防御插卡、访问控制网关模场和端点准入组件等安全防护功能组件与模块。
3.6 网络安全总体设计
在校园网总体安全规划设计中,我们将按照安全风险防护与安全投资之间的平衡原则(主要包括层次化的综合防护原则和不同层次重点防护原则),提出以下的安全风险和防护措施,从而建立起全防御体系的信息安全框架。
, 首先,是对网络边界安全风险的防护
对于一个网络安全域(局域网网络内部相对来说认为是安全的)来说,其最大的安全风险则是来自网络边界的威胁,其中包括非授权访问、恶意探测和攻击、非法扫描等。
而对于大学校园网络来说,互联网及相对核心网的网络均为外网,它们的网络边界处存在着内部或外部人员的非授权访问、有意无意的扫描、探测,甚至恶意的攻击等安全威胁,
2011-5-12 校园网工程方案 第16页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
而防火墙系统则是网络边界处最基本的安全防护措施,而互联网出口更是重中之重,因此,建议在互联网出口处配置一台高性能千兆路由器。
, 其次,是建立网络内部入侵防御机制
在内网出口、DMZ区域等边界处利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙,网络安全还远远不够,还需要通过对网络入侵行为进行主动防护来加强网络的安全性。 因此,大学校园网络系统安全体系须建立一个智能化的实时攻击识别和响应系统,管理和降低网络安全风险,保证网络安全防护能力能够不断增强。
我公司建议部署一台入侵防御设安全设备,主动防御来自内外网的病毒和黑客的攻击,保护网络安全。
, 第三,建立端点准入控制系统
网络安全问题的解决,三分靠技术,七分靠管理,严格管理是大学校园网络用户免受网络安全问题威胁的重要措施。事实上,用户终端都缺乏有效的制度和手段管理网络安全。网络用户不及时升级系统补丁、升级病毒库的现象普遍存在;随意接入网络、私设代理服务器、私自访问保密资源等行为在企业网中也比比皆是。管理的欠缺不仅会直接影响用户网络的正常运行,还可能使用户蒙受巨大的损失。
为了解决现有网络安全管理中存在的不足,应对网络安全威胁,网络需要从用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及防病毒软件产品、软件补丁管理产品的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,可以加强用户终端的主动防御能力,大幅度提高网络安全。
, 第四,是构建完善的病毒防范机制
对于建立完善的防病毒系统来说,同样也是当务之急的,必须配备网络版的防病毒系统进行文件病毒的防护。另外,对于网络病毒来说,如果能够做到在网络出口处就将其封杀、截留的话,不仅能够降低病毒进入网络内部所造成的安全损失风险,更重要的是防止了病毒进入内部所带来的带宽阻塞或损耗,有效地保护了网络带宽的利用率。因此,这种前提下,可以在互联网出口处配置硬件病毒网关或者基于应用的入侵防御系统的方式进行解决。特别是,对于消耗网络带宽,造成网络通信中断的蠕虫病毒是一个十分有效的措施。
, 第五,是加强网络的抗攻击能力
2011-5-12 校园网工程方案 第17页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
拒绝服务攻击是一种对网络危害巨大的恶意攻击。其中,具有代表性的攻击手段包括 SYN flood、ICMP flood、DP flood等其原理是使用大量的伪造的连接请求报文攻击网络服务所在的端口,比如 80(WEB), 造成服务器的资源耗尽,系统停止响应甚至崩溃。而连接耗尽攻击这种攻击则使用真实的IP地址,发起针对网络服务的大量的真实连接来抢占带宽,也可以造成 WEB Server 的资源耗尽,导致服务中止。
, 第六,建立网络系统漏洞的评估分析机制
最后,网络安全的建设是一个动态的、可持续的过程,当网络中增加了新的网络设备、主机系统或应用系统,能够及时发现并迅速解决相关的安全风险和威胁,实施专门地安全服务评估扫描工具是很有必要的。
通过专业的网络漏洞扫描系统对整个网络中的网络设备、信息资产、应用系统、操作系统、人员以及相关的进行评估分析,找出相关弱点,并及时提交相关解决方法,使得网络的安全性得到动态的、可持续的发展,保证了整个网络的安全性。
, 总体安全规划建设完成后的效果
通过在总体安全规中包括的几个重要方面的安全防护建设,包括构建完善的网络边界防范措施、网络内部入侵防御机制、移动用户远程安全访问机制、完善的防病毒机制、增强的网络抗攻击能力以及网络系统漏洞安全评估分析机制等,最终可以使大学校园网络初步具备较高的抗黑客入侵能力,全面的防毒、查杀毒能力以及对整网漏洞的评估分析能力,从而建立起全防御体系的信息安全框架。
3.7 IRF2智能堆叠介绍
产生背景
目前,网络中主要存在两种形态的通信设备:盒式设备和框式分布式设备。将它们进行比较,我们会发现:
, 盒式设备成本低廉,但是没有高可用性支持,缺乏不中断的业务保护,无法应用于重要的场合(例如核心层、汇聚层、生产网络、数据中心等);在复杂的组网环境中,盒式设备扩展性差的缺点表现的非常明显,用户不得不维护更多的网络设备,并且为了增加这些设备还不得不修改早期的组网结构;
, 框式分布式设备具有高可用性、高性能、高端口密度的优点,因此经常被应用于一些重要场合(例如核心层、汇聚层、生产网络、数据中心等)。但它相比盒式交换机也有一些
2011-5-12 校园网工程方案 第18页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
缺点,比如首次投入成本高、单端口成本高等。
针对盒式设备与框式分布式设备的这些特点,一种结合了两种设备优点的IRF虚拟化技术应运而生。IRF就是将多台设备通过IRF端口连接起来形成一台虚拟的逻辑设备,如图1所示。用户对这台虚拟设备进行管理,来实现对虚拟设备中的所有物理设备的管理。这种虚拟设备既具有盒式设备的低成本优点,又具有框式分布式设备的扩展性以及高可靠性优点。
从提出虚拟化理念开始,虚拟化技术在不断发展、变化中,不同厂商的技术实现也不尽相同,但普遍存在以下问题:
, 支持的功能少。大部分厂商在虚拟化技术实现时采用了全新的系统架构,导致在其它设备上很普通很成熟的技术,在虚拟设备上都必须进行单独的支持,而多年的技术积累很难在短时间内重新实现,因此只能保证虚拟设备首先支持基本功能,而大量的增值服务可能缺失。
, 功能支持与其它产品有差异。由于基本架构的不同,很多功能在支持虚拟化的产品上的实现不同于任何已有产品,用户在使用此类产品前必须熟悉这些差异。而在与其它产品混合组网时,更需要了解各产品的不同,给用户的管理和维护带来了很大的不便,增加了维护成本。
, 技术不成熟造成运行不稳定。这里说的技术不成熟不是指技术本身,而是技术应用在虚拟化环境不成熟。例如虚拟化的一个特点是每个成员都有独立的控制能力,如何协调各成员的控制就是一个问题。再比如成员的地位相互平等,每个成员又都有与其他成员交互的能力,那么随着成员个数的增加,成员间的交互将成几何级数增加,这就是通常所说的N平方问题,虚拟化必须要很好的考虑解决这个问题。总之这些系统相关的问题对各种特性来说都需要新的技术加以解决。而这些全新技术的不成熟,会直接影响产品的性能以至运行的可靠。
H3C也一直致力于IRF技术的研发和优化,继推出IRF1.0之后,现又推出了具有更加完善功能的通用虚拟化技术IRF2.0。如无特殊说明,下文中的IRF特指IRF2.0,以下将描述IRF2.0的技术实现和典型应用。
技术优点
IRF具有以下主要优点:
, 简化管理。IRF形成之后,用户通过任意成员设备的任意端口均可以登录IRF系统,对IRF内所有成员设备进行统一管理。而不用物理连接到每台成员设备上分别对它们进行配置和管理。
2011-5-12 校园网工程方案 第19页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
, 简化网络运行。IRF形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算。这样省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。IRF技术的这一特性是常见的集群技术所不具备的,后者仅仅能完成设备管理上的统一,而集群中的设备在网络中仍然分别作为独立节点运行。
, 低成本:IRF技术是将一些较低端的设备虚拟成为一个相对高端的设备使用,从而具有高端设备的端口密度和带宽,以及低端设备的成本。比直接使用高端设备具有成本优势。
, 强大的网络扩展能力。通过增加成员设备,可以轻松自如的扩展IRF系统的端口数、带宽和处理能力。
, 保护用户投资。由于具有强大的扩展能力,当用户进行网络升级时,不需要替换掉原有设备,只需要增加新设备既可。很好的保护了用户投资。
, 高可靠性。IRF的高可靠性体现在多个方面,例如:成员设备之间IRF物理端口支持聚合功能,IRF系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了IRF系统的可靠性;IRF系统由多台成员设备组成,Master设备负责IRF系统的运行、管理和维护,Slave设备在作为备份的同时也可以处理业务,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过IRF系统的业务不中断,从而实现了设备的1:N备份。IRF是网络可靠性保障的最优解决方案。
, 高性能。由于IRF系统是由多个支持IRF特性的单机设备虚拟化而成的,IRF系统的交换容量和端口数量就是IRF内部所有单机设备交换容量和端口数量的总和。因此,IRF技术能够通过多个单机设备的虚拟化,轻易的将设备的核心交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。
, 丰富的功能。IRF支持包括IPv4、IPv6、MPLS、安全特性、OAA插卡、高可用性等全部交换机特性,并且能够高效稳定地运行这些功能,大大扩展了IRF设备的应用范围。
, 广泛的产品支持。IRF技术作为一种通用的虚拟化技术,对不同形态产品的虚拟化一体化的实现,使用同一技术,同时支持盒式设备的虚拟化,以及框式分布式设备的虚拟化。
3.8 方案特点
H3C规划设计基于纯IP技术的网络平台来满足高校校园网的需求变化。面向网络资源的有效、高效利用,从网络架构方面提供优化方案,使得校园核心网、接入网具有更高的可靠
2011-5-12 校园网工程方案 第20页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
性和可控性,同时使得网络结构与布局在结合实际业务分布的前提下更加合理。不论是对校园网的优化还是对校园网业务的横向拓展,都是基于校园网是安全有序的。需要从纵向三个维度对所有影响校园安全的隐患、非法行为进行渗透防御与控制。
H3C IP 校园网络平台方案特点
2011-5-12 校园网工程方案 第21页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
第4章 无线网络规划设计
4.1 无线网络设计
伴随着校园信息化水平的提高,学校的老师和学生对随时随地接入网络进行教学和科研的需求越来越普遍;与此同时,无线技术迅速发展,WLAN已经由最初只支持11Mbps速率的802.11b标准发展到支持54Mbps速率的802.11a和802.11g标准,目前支持300Mbps速率的802.11n产品也已经成熟商用;无线终端日渐普及,伴随着笔记本电脑的普及,无线网卡成为笔记本电脑的标准配置之一;WLAN技术和学校需求相结合,推动了无线校园网技术的发展,根据权威机构调查,目前国内超过75%的985高校已经规模建设无线校园网,超过30%普通高校也已经完成无线校园网的规模部署。
相比目前其它几种无线通信技术,Wi-Fi技术优势非常明显,和2G/3G等技术相比,Wi-Fi带宽是3G的10倍以上,而布网成本比3G便宜10倍,而WiMax技术虽然先进,但终端价格居高不下,牌照政策迟迟不能明朗,都制约了其发展;因此Wi-Fi做为3G数据业务的补充是一个明智的选择,国内外各大运营商纷纷加大WLAN的投入,掀起了热点、热区甚至无线城市建设的热潮。
4.2 802.11n技术
802.11n技术标准以其高达300,600Mbps的速率引来众多用户关注,但相较于已成熟商用7年有余的802.11g技术,无线新贵11n技术方案是否能够足够优秀、稳定,已然成为摆在用户面前的现实问题。
作为国内率先发布企业级802.11n产品的厂家,H3C一直在该领域保持着业界领先的水平。自从2008年初发布第一款企业802.11n产品以来,H3C不断充实其802.11n产品线,现在已经形成了业界最完整的系列解决方案,不仅能提供室内室外各种AP,还能提供802.11n网卡、千兆PoE交换机、万兆高性能AC、智能无线网管、无线终端准入系统等配套产品。此外,在无线传输领域,H3C更拥有专业的室外网桥/Mesh设备。
鉴于自身的实力,H3C 802.11n产品成为众多用户首选的WLAN品牌。迄今为止,H3C 802.11n系列AP出货量已逾5万,广泛遍布于各个行业。国内顶尖一流高校,如香港大学、清华大学、复旦大学等众多名校外,企业界翘楚,如美的集团、用友软件,运营商市场代表如中国移动、中国电信等均采用了H3C的一体化802.11n解决方案,H3C已经全面领跑802.11n时代。
2011-5-12 校园网工程方案 第22页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
4.3 规划
WLAN的前期规划需要考虑用户需求、覆盖范围、用户密度、建筑结构、用户业务等各方
面的需求,才能做出合理的WLAN规划。
首先H3C采用无线控制器+瘦AP的架构,由无线控制器实现无线AP的管理和控制,无线AP
实现无线信号的加密解密;这种组网方式具有组网灵活,业务开展能力强等特点,瘦AP组网
方案和传统的胖AP解决方案对比如下:
网络性能对比分析:
FAT AP FIT AP
网安全AP单独配置,无法协调工作,不AC支持集中管理安全策略,如络性
支持非法AP检测等功能. 802.1x,WPA2和WAPI等 性
能 各种动态管理功能的基础,是基于AC
的各种无线检测功能,同时也是未来
其他增强功能甚至业务开发的基础
例如非法AP检测和处理机制。
业务不支持三层漫游等功能,无法基于AC的集中管理及AC间信令交互,
支撑
满足移动切换,语音视频等业支持三层漫游,使得类似于移动网的
务需求. 无缝切换漫游成为可能;层级控制机
制使得用户可以在AP之间自由移动,
只需要快速重新关联,而无需重新认
证,可完成业务保持,极大提高用户
感受.为TD+WLAN业务开展提供保障.
不支持基于用户数量和流量的支持用户数量和流量负载均衡,合理
负载均衡. 调配网络资源.
若有新的业务需求,FAT 升级AC对AP进行的是底层信令交互,根据
需要逐个进行或者通过网管实业务需求可以方便地通过软件升级
现,网管系统又增加新的负载. 向网管开放更多管理和性能数据.
目前比较有潜力新功能有:基于AP
覆盖和用户接入判断的业务,基于AC2011-5-12 校园网工程方案 第23页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
实现远较基于网管实现优越。
可扩受限于自身硬件体系和制造成AC主要完成用户验证、安全管理、移
展性
本,无法满足更加复杂算法. 动管理,RF管理等通过,不仅可以通
过更强的硬件平台实现更复杂算法,
并使得多AP协同的优化算法实现成
为可能,可以有效提高系统的功能和
性能。
若业务需求超出现有无线网络两级计算体系,若根据业务需求需要
的承载能力时,需要整体更换
进行整体网络改时,更换高性能AC即AP.
可。
部署维护对比分析:
FAT AP FIT AP
部网络前期使用的胖AP,均需要配置公网而FIT AP架构中,AP侧可以配署部署
IP地址进行管理;容易造成IP地址置私网地址由AC统一管理。 维
护 紧张.
FAT AP部署对现有网络改造较大,FIT AP对现有网管改造较少,
若增加SSID,需要对AP,接入层交对于新增加SSID,只需要在AC
换机,汇聚交换机等进行VLAN设上配置相关VLAN即可.
置,工作繁琐.
每台FAT AP都只支持单独进行配FIT AP即插即用和零配置使
置,组建大型网络对于AP的配置工用;支持基于L2/L3的多种自动
作量巨大。FAT AP无法即插即用,发现方式,便于跨各层网络灵
新增AP可能会对现网设备进行大活组网.
量的配置更改.
FAT AP的配置都保存在AP上,AP设FIT AP零配置功能不保存任何
备部署区域分散,若AP丢失可造成文件,安全性高.
系统配置的泄露.
随着网络规模的变大,网络自身需FIT AP支持自动信道分配和选
2011-5-12 校园网工程方案 第24页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
要支持更多的高级功能,这些功能择和自动功率调整等功能.可
需要网络内的AP协同工作(非法用降低AP之间的互干扰,提高网
户和非法AP的检测等),FAT AP很络动态覆盖特性.同时降低部
难完成这类工作. 署工作量.
FAT AP不支持远程升级功能,由于FIT AP支持远程升级,维护方
AP部署区域广泛,升级工程量巨便.
大.
网络FAT AP的软件都保存在AP上,软件FIT AP支持自动版本更新升优化
升级时需要逐台升级,维护工作量级,不需要人为配置.
大.
网络大规模部署FAT AP,网管系统易受管理节点上移后,运维数据采管理
限于AP处理能力和性能的而造成. 集将针对AC而非AP,网管系统
受限于AP处理能力和性能的问
题得以解决,更复杂的管理逻
辑成为可能.
FAT AP可单独工作,不法分子偷盗FIT AP必须配合控制器使用,
后可直接使用,具有偷盗价值.给不具备偷盗价值.
网络管理造成麻烦.
网络因现网的BAS都不支持WAPI,AC支持WAPI和802.11i等,认证维护
802.11i,认证点只能在FAT AP上,点集中,维护容易.
造成认证点过于分散(需要和
radius建立大量的连接,现网的
radius基本无法支持),维护困难.
FAT AP热点故障,需要专业维修人由于FIT AP支持零配置功能,
员现场调试修理.
普通员工即可更换维护.
建设成本对比分析:
目前业界的AP分为三类:FIT AP, FAT AP和FIT/FAT AP(FAT 和FIT 可切换). 其中H3C
是能提供全系列AP的极少数厂家之一。
2011-5-12 校园网工程方案 第25页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
业界对于AC的定义,能支持管理的AP数量是一个极其重要的参考指标,根据使用的AP数目不一样,选择的AC也不一样.除此之外,由于FAT AP不支持零配置等功能,后期维护成本很高,这也是前期规模部署FAT AP的运营商开始大规模升级成为FIT AP的主要原因之一比如江苏电信,浙江电信,云南电信,江西电信等等.
FAT AP FIT AP
部署成本 高,AP需要人为配置规划频率低,自动配置功率和频率
功率等 等
WAPI部署<注> 高, 总费用=单个AP* WPAI证低,总费用=单个AC* WPAI
书单价 证书单价
维护成本 高,需要专业人员 低,一般工作人员
升级成本 高,逐台升级. 低,AC统一配置下发.
总计成本 高 低
注:WAPI认证技术为了提高网络安全性,对网络设备也进行证书认证.若采用FAT AP,每个FAT AP都需要向WAPI产业联盟购买设备证书,大规模部署时,费用不菲;而采用FIT AP架构,只需要对AC购买WAPi设备证书即可完成WAPI认证。
4.4 部署WLAN覆盖方案
WLAN的部署需要根据不同的目标区域提供不同的WLAN覆盖方案,根据覆盖区域和用户要求的不同,H3C可以采用室内直接覆盖、室内分布式覆盖、室外覆盖室内、室外覆盖等多种覆盖方案。
室内直接覆盖方案适用于用户密度高,信号衰减小的区域,如图书馆、学术厅、教室等区域;室内分布式覆盖方案适用于用户密度不高,信号衰减大的区域,如办公楼、学生宿舍等区域;室外覆盖方案适合于操场、广场、迎新大道等室外开阔区域;室外覆盖室内方案适合学生宿舍、家属楼等区域的补点。
同时H3C无线校园解决方案能够实现自学习的、智能的、实时的无线资源管理功能,能够动态管理所有AP的功率、信道等参数并实现AP间的负载均衡,从而在实现无线信号覆盖的同时,将信号干扰降到最低,保证无线覆盖质量。智能射频管理模型如下:
2011-5-12 校园网工程方案 第26页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
4.5 WLAN安全解决方案
4.6 认证方式及认证点选择
本方案主要采用802.1x认证,WA2110与无线控制器板卡通过二层隧道协议通信,无线用户的认证点都是放置于控制器设备上,管理中心的计费系统作为用户鉴权点。
鉴于目前无线网络规模较小,从网络支撑能力的角度来看,目前需要1块无线控制器板卡即可实现,当无线网络规模扩大时,通过平滑扩展多个无线控制器,可实现整个无线域的集中管理。
无线安全
学院无线局域网络主要服务于学校的学生,也是规模的公众型网络,同时由于学生出于技术的研究兴趣,会对网络发起各种各样的攻击行为,此时网络安全问题在建网时必须考虑问题,安全方式主要侧重几个方面:用户安全、网络安全,而在校园网络中主要依附于用户实体的属性主要包括用户使用的信息终端二层属性(诸如:MAC地址)及用户的帐号、密码,而对于学校学生用户来,帐号信息都是一个实名原则,与学生的学藉进行关联的,这样本无线网络中着重考虑使用无线网络的空口信息的安全机制,同时也要考虑与无线相关的有线网络的安全问题,对于原有有线网络的安全问题,在本技术建议书中不作相应的考虑; 1) 无线网络安全部分主要包括以下方面的内容:
2) MAC地址过滤:目前支持基于MAC地址的过滤,限制具有某种类型的MAC地址特征的
终端才能进入网络中;
2011-5-12 校园网工程方案 第27页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
3) SSID管理:是一种网络标识的方案,将网络进行一个逻辑化标识,对终端上发的报文都
要求进行上带SSID,如果没有SSID标识则不能进入网络;
4) WEP加密:WEP加密是一种静态加密的机制,通信双方具有一个共同的密钥,终端发送
的空口信息报文必须使用共同的密钥进行加密;
5) 支持AES加密,AES安全机制是一种动态密钥管理机制,同时密钥生成也基于不对称密
钥机制来实现的,同时密钥的管理也定期更新,具有体的时间由系统可以设定,一般情
况都设定为5分钟左右,这样非法用户要想在5分钟之内进行获取足够数量的报文进行
匹配出密钥出来,从无线空口的流理来看,基本上是不可能的;
6) 无线方案中可根据用户名来划分权限,即相同用户在不同地点接入无线网络其权限保持
一致;密钥设置可能根据SSID信息与用户信息进行组合,即不同的SSID下不同的用户
的密钥生成可以不一样,这样一定程度上保证用户之间串号问题产生,从而保护投资,
以达到营维平衡;
H3C 能够提供全面的WLAN安全解决方案,实现从链路层到应用层的安全防护和策略下发,能够发现和防护常用的无线攻击,确保无线信号传输过程中的安全性。
在链路层,H3C解决方案结合802.1X认证,能够防范针对802.11报文的Flood、Null Data,Weak IV等常见攻击。H3C在支持标准的802.11i安全机制的同时,在国内率先支持中国WLAN安全标准WAPI,确保了WLAN数据传输的安全性。此外,H3C瘦AP架构能够很好的发现和防范非法AP,确保用户不会连接到非法AP上而导致泄密。
在应用层H3C解决方案能够全面防护ARP攻击,避免ARP病毒爆发而导致无线网络不可用。H3C还在业内首创,提供无线EAD终端准入控制方案,在无线网络上实现安全准入控制功能,确保接入无线网络的用户满足安全标准。
2011-5-12 校园网工程方案 第28页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
H3C无线控制器能够集成高性能IPS、FW、防病毒、ACG等专业安全插卡,实现对高层攻击的全面防护。
总之,H3C 运营级无线校园网解决方案能够提供全方位的WLAN安全解决方案,为无线网络的稳定可靠运营保驾护航。
4.7 业务增值服务
传统的Internet接入已经不能满足学校日常教学和科研的需求,迫切需要发挥WLAN可移动性的优势,提供更多的业务,为学校教育科研提供更多的增值服务。
H3C运营级无线校园网全面支持802.11e协议,能够提供端到端的QoS保障,为WLAN承载语音、视频等多媒体业务打下良好的基础。同时,AP之间可以实现50ms快速漫游,确保漫游过程中对业务的影响降到最低。
H3C运营级无线校园网解决方案除了提供Internet接入应用,还提供基于位置的页面推送,VoWiFi,VOD,即拍即传等多种增值应用;同时,依托于H3C功能强大的操作系统平台,H3C无线校园网解决方案能够全面支持IPv6和802.11n,体现出良好的后向兼容性。
4.8 无线业务管理器管理
H3C使用WSM无线业务管理器应能对无线网络中的AP、AC等设备作到统一管理。WSM无线业务管理器依托iMC智能管理平台,实现有线无线一体化的管理,在iMC系统全面的有线网络管理的基础上,为用户提供无线网络管理能力。用户无需重新搭建IT管理平台,即可在原有的
2011-5-12 校园网工程方案 第29页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
有线网络管理系统中增加无线管理功能,与有线管理平台统一部署,节省用户投入,节约维护成本。
iMC智能管理中心采用分布式、组件化、跨平台的开放体系结构。通过选择安装WSM无线业务管理器,用户可以获得全面的无线业务管理能力,实现AC设备、FAT AP设备、FIT AP设备、移动终端等无线设备的集中管理,轻松实现设备配置管理功能,并提供资源分组、无线拓扑功能,对全网无线设备进行直观有效的组织,对网络部署和设备状态一目了然,策略模板等功能实现网络和设备的批量配置,提升效率,降低维护工作量,降低维护成本。基于Web的管理系统,为无线业务管理者提供了简便、友好的管理平台。
与iMC智能管理平台及其它组件配合,还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理、用户认证管理等功能,并可对网络中的其它设备进行统一管理,真正实现有线无线一体化管理。
另外,H3C的所有设备均内置WEB网管,可以满足对SNMP要求不高的应用场景。 4.9 无线供电问题
由于本次无线网中AP设备数量较多,AP布放位置根据实际覆盖效果而调整,在已建设完成的建筑物上较难进行本地供电,可以采用基于标准的802.3af实现对AP的供电。通过采用校园网POE交换机通过以太网线在传输数据同时给AP供电,供电距离达100米,满足实际组网的要求。
2011-5-12 校园网工程方案 第30页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
第5章 网络存储规划设计 5.1 存储架构分析
我们认为,在信息日益膨胀的今天,存储系统应该得到和主机、网络、应用一样的重视。未来的信息系统规划和建设,必须从主机、存储和网络这三个方面入手,取得最佳的均衡,从而得到功能强大、扩展性强、易于管理、高投入产出的信息系统。
反观大学的信息系统,我们可以看到存储系统还是处于依附于服务器的从属设备的地位,如数据库服务器、OA服务器都直接使用本级的内置硬盘进行存储数据。
由于在信息系统建设之初,并没有针对存储系统做一整体规划,所以存储系统是伴随着应用系统的建设、服务器个数的增加而无序的发展着,存在着资源分散,管理繁琐等问题。存储系统的现状既不能满足某某大学对信息系统的要求,也不符合当前存储技术发展的趋势。经过详细的调研和分析,我们认为主要面临以下问题和困难:
1、存储容量不足
目前,存储系统的容量已经不能支撑信息系统的正常运行,需要对存储容量进行扩展。
2、 扩展能力差
磁盘阵列和服务器内置硬盘的存储方式受空间和接口数量的限制基本不具备扩展能力,要增加存储空间,必须更新或增加服务器和存储设备。
3、 空间利用率低
存储资源内置和直接连接的方式都严重制约了存储空间的共享能力,即使存储设备有多余的空间也很难提供给其他服务器直接使用。
4、 管理复杂繁琐
存储系统体系架构的落后,导致了存储设备重复投资较明显,每当有新的应用系统上线就需要为之配备单独的存储设备,多年下来必然导致多种类型的设备共存,各自的特性和管理方式都不相同,直接增加了管理和维护工作的难度;
5、 大量的服务器运行在无系统保护的环境中
某某大学有大量的WINDOWS服务器,大部分数据单机运行,没有配置成双机的高可靠环境。这样一来,任何软硬件故障、病毒都会导致服务器宕机,业务停顿。
2011-5-12 校园网工程方案 第31页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
通过上述分析我们可以看出,某某大学信息系统的应用系统和数据的数量已经累积到了一定的水平,必须在存储系统的体系架构层次上做出合理的调整。如果还仅仅通过增加更多的硬盘、购买更多的存储设备来实现空间的扩展,只能是“头痛医头”,不但不能从根本上解决问题,还会为今后整个系统的发展带来更大的困难。我们建议首先采用先进的IP-SAN架构的存储设备来增加存储系统容量时,然后把相关的存储设备进行整合,最后将分散在各种存储设备的数据整合到一个统一的平台之上,进行统一管理。
5.2 某大学存储系统需求
集中存储
为了满足应用系统对于存储的需求,并考虑到性能、扩展性、可靠性等因素。某某大学建设存储区域网络(SAN),来统一为应用系统提供存储服务。这样即可以有效的提高整套系统的存储利用率,简化管理和维护的工作量,并且有利于实现数据的集中备份;同时利用SAN,存储局域网的融合性和可扩展性,实现“服务器群,SAN网络,存储池”新一代IT架构,保护用户投资,降低用户的总拥有成本(TCO,Total Cost of Ownership)。
某某大学的服务器的操作系统包括AIX\Solaris\Linux\Windows等主流的操作系统,SAN需要能够支持这些异构的环境。并且在整合的时候要充分考虑到成本的因素,如交换机、主
)等。 机适配器(HBA
1、简化管理
存储设备在一个企业中的异构化现象十分普遍,为保证存储空间的可管理性和减少SAN结构的复杂性,方案应采用先进、简便的IP-SAN技术和相应的管理软件,保证大数据量简便管理并能够充分发挥系统性能。
2、存储容量的需求
综合考虑到各类存储需求,将某某大学的存储需求进行先预计性的规划,第一期整体需要存储空间为**TB。其中重要的在线数据为**TB,需要提供网络硬盘功能实现存储资源的**TB。在在线数据中,有**TB的重要的数据库信息需要系统提供高等级的数据保护。(注:具体的存储空间以实际需求规划为主)
3、存储容量扩展
随着业务的发展,数据库和各种应用系统也需要越来越多的存储空间。这就要求存储系统能够方便的扩充存储空间。
4、完善数据管理
2011-5-12 校园网工程方案 第32页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
某某大学承担着繁重的科研和学术教育研究等工作,为了保障科研工作的顺利进行,有必要完善数据管理工作,实现更好的数据存储和保护。
5、系统实施规划
在系统实施规划上,某某大学可以按照存储设备的规划,分步实施整个系统。 5.3 IP-SAN的方案设计
在IP-SAN的方案设计中,共分为四个部分,分别是集中存储、持续数据保护(CDP)、数据备份以及灾难恢复。
集中存储将要搭建IP SAN的存储架构,提供一定TB的可用容量。其中留用一定TB重要的业务数据存储在H3C的Neocean 存储产品的高速SAS磁盘中,采用SATA磁盘,为影像资料等提供一定TB空间。同时,配置一台虚拟化平台,用于对异构存储设备的兼容管理。
采用备份软件建设统一的备份环境,完成分散的多台服务器数据备份。
应用服务器系统保护能够实现对应用服务器数据和系统的“克隆”,一旦出现数据损坏、系统崩溃的情况,能够快速地进行恢复,保证系统的正常运行。
在学院路校区的灾备中心中,采用一台H3C的Neocean 存储产品作为灾备存储,配置3磁盘,为主校区的全部数据提供灾难备份。
在集中存储中,以H3C的Neocean 存储产品为核心存储系统,支持采用多块网卡的高可靠性设计,完全能够满足数据库服务器等关键业务对于存储区域网络的性能和可靠性的要求。
所有需要连接H3C的Neocean 存储产品的服务器,如数据库服务器,只要安装千兆网卡,并安装软件的iSCSI Initiator,就可以通过以太网获得存储设备,从而不需要购置价格昂贵的HBA卡。主流的操作系统AIX\Solaris\Linux\Windows都支持这种千兆网卡加软件的iSCSI Initiator的实现方式。对于那些对于CPU负荷比较重的服务器,可以安装通过iSCSI的HBA卡的方式连接到系统,将部分存储运算交给HBA卡完成,从而减轻主机CPU的负荷。
能够利用多种集群某某大学将会采购多种服务器邮件等应用,H3C的Neocean 存储产品
软件实现双机热备。例如IBM集群软件HACMP,ROSE等,保证Oracle数据库等系统的高可用性。H3C的Neocean 存储产品还可以通过DynaPath为应用主机提供多链路负载均衡和故障切换功能。为了实现多链路冗余,数据库服务器需要在原有2块网口的基础上,增加新的网卡,或者增加iSCSI的HBA卡。
2011-5-12 校园网工程方案 第33页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
日后如果需要扩展应用服务器的存储,可以随时安装操作系统所对应的iSCSI Initiator,配合以太网卡连接到存储系统。H3C的Neocean 存储产品通过划分不同的卷,以保证各个应用系统互不干扰。
除了作为主存储设备的H3C的Neocean 存储产品以外,H3C建议选购一台IV虚拟化存储设备,用于存储设备的整合和管理,如果后期采购中,购置了其他厂商的存储设备,可以通过IV数据管理平台整合全部存储设备,进行统一的配置管理
为了保护重要应用系统的数据安全,提供快捷的恢复方式,采用持续数据保护(CDP)。把H3C的Neocean 存储产品上的文件数据按照一定的策略以异步的方式复制到近线存储设备上。
还有很多应用服务器处于单机运行的状态,推荐采用备份软件对这些服务器进行数据备份,考虑到数据存储的可靠和方便,建议将数据备份到虚拟磁带库上。
此外,为了保护应用服务器(微软系列操作系统)的正常运行,还在应用服务器上部署DiskSafe,能够应用服务器的操作系统和业务数据备份到后台的H3C的Neocean 存储产品上;在应用服务器出现故障的情况下,可以快速恢复或者远程启动(需要相关硬件支持),从而实现系统级的备份和保护。
作为数据保护的最后一道屏障,H3C还能够在现有本地保护的基础上,建设远程灾难恢复系统,实现对灾难的防护。
5.4 数据的集中存储
方案中,我们建议采用IP SAN集中存储方式,这样可以将每个虚拟机的文件系统创建在共享的IP SAN集中存储阵列上,VMware VMFS 虚拟机文件系统,是一种高性能的群集文件系统,允许多个ESX Server 安装同时访问同一虚拟机存储。支持通过 VMware VirtualCenter、VMware VMotion? 技术、VMware DRS 和 VMware HA 提供的基于虚拟化的分布式基础结构服务。由于VMware的虚拟架构系统中的虚拟机实际上是被封装成了一个档案文件和若干相关环境配置文件,通过将这些文件放在SAN存储阵列上的VMFS文件系统中,可以让不同服务器上的虚拟机都可以访问到该文件,从而消除了单点故障。
2011-5-12 校园网工程方案 第34页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
H3C公司推出的全新中高端网络存储产品,定位于性能要求高、业务需求丰富的各种数据应用,是高性能、高品质、高智能的IP存储系统。
中高端网络存储产品系列采用先进的设计理念和体系架构,融入SAS、多核处理器、缓存镜像、多协议负载均衡等多项先进的数据处理和传输技术,保证了系统的高可靠性、高性能和强大的扩展能力。中高端网络存储产品系列还提供丰富的软件功能,提供从在线到近线、从本地到远程的全面可靠的数据保护,轻松实现存储容量动态扩展、连续数据保护、远程数据灾备和海量数据迁移,与Neocean全系列存储产品配合,为用户提供多层次、跨地域的存储解决方案,满足用户对于数据管理的各种需求。
中高端网络存储产品具有不少于8个前端千兆网口,支持224-336块磁盘,满足较重负荷的电子邮件/即时消息、大中型数据库、WEB服务等应用的存储需要、满足高性能应用、IO操作频繁的OLTP 或电子邮件以及其他高要求应用领域的存储需求。 5.4.1 方案特点
H3C 中高端存储系列在产品技术架构上具有四大特点:
高带宽存储交换平台
H3C 中高端存储系列从结构上基于先进的SAS总线技术,在12Gb/s的SAS总线上,具备高性能低延迟、数据管理、设备管理等特点,从而突破了传统控制器到磁盘的环路瓶颈,单台设备最大支持48-72Gb/s的背板交换带宽。
高性能存储控制模块集群
2011-5-12 校园网工程方案 第35页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
H3C 中高端存储系列的存储控制模块采用了最新的数据流集群技术(Cluster)、多核计算技术、IOAT和存储控制负载均衡技术,X3040的存储控制模块能够充分发挥控制器集群的高性能和高可靠性,实现业务不间断的控制器添加和减少,大大提高了存储作为IT基础平台对应用的性能和业务连续性的支撑。
多端口汇聚主机接口
为提高存储系统的主机连接能力,降低用户在布署存储系统时的集成和管理成本,H3C 中高端存储系列对存储控制模块出口进行了汇聚和统一管理,共提供32*GE主机接口。在不增加其他交换机的情况下,可支持32台主机直接接入H3C 中高端存储系列,是服务器集中和数据集中的理想选择。
5.4.2 方案优势
由于H3C 中高端存储系列在充分利用IP技术的高性能、低成本、标准化的特性基础上进行构建,使H3C 中高端存储系列大大超越了传统存储产品的各种结构局限和应用困境,在应用上体现出卓然超群的特性:
成熟标准高可靠
IP技术是迄今为止IT世界中应用最广泛、支持最普遍、成本最低、成熟度最高的数据传输标准。H3C 中高端存储系列的丰富特点,完全是基于H3C全球领先的IP技术构建的。因此,H3C 中高端存储系列先天具备了IP技术成熟、通用的特征,在设计上充分运用了控制器负载均衡、IRF存储交换平台、基于IP的网络镜像、2+1高功率冗余UPS等产品和技术,完全克服了传统存储产品磁盘、电源、控制器三大主要故障源容错设计不足的缺陷,大大提高了H3C 中高端存储系列的系统可靠性,达到99.999%的可靠性。H3C 中高端存储系列应用IP技术的标准性,彻底消除了用户采购传统存储系统带来的兼容性和集成管理问题,带来了灵活、方便、标准化和低成本的系统部署和管理体验。
结构开放,无限扩展
H3C 中高端存储系列基于IP的存储交换平台打开了存储功能和性能扩展的大门,使数据的流动和管理不再受到传统存储系统僵化结构的制约,无论从性能、功能、容量上都获得了近乎无限的扩展能力。例如在性能扩展方面:
H3C 中高端存储系列超群的扩展能力,使“保护用户投资”真正成为一个坚实的承诺,让“按需使用”成为现实。用户完全可以根据最迫切的需求购买产品,并随着业务发展的要求不断地、持续地扩展下去。不再担心标准的升级、更换和过时~
全面提供各种数据管理功能
2011-5-12 校园网工程方案 第36页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
H3C 中高端存储系列性能卓越、灵活可靠的硬件平台,为用户提供了丰富多彩的数据管理功能。
硬件能力的释放,使得用户不用再担心功能附加对存储系统数据处理能力的影响,数据管理功能效率也大幅度提升。
基于标准化IP的存储交换平台使得各种数据管理功能能够像电器插入电源插座一样,轻易地进行部署应用。标准化平台,使得用户彻底摆脱只能在单一厂商产品间应用数据功能的尴尬局面。IP技术中的端口镜像、组播、路由、VLAN、IPSEC等应用于存储数据管理,使H3C 中高端存储系列在数据的安全性、数据管理能力和功能性方面产生了质的飞跃。
全面整合FC/SCSI/NAS等其他存储资源。提供主机系统平台无关(即兼容各种系统)和系统现有存储产品无关(即兼容各种存储产品)的整合能力。
IP存储从IP网络获得的一个巨大能量源,就是使存储获得了广域运用的能力。H3C 中高端存储系列突破的传统存储仅能在局域环境使用和管理的困境,为数据管理和数据服务插上了Internet的翅膀。对于各种广域文件分发、远程数据集中、远程复制/容灾、加密/压缩数据传输、远程数据共享、WAN Cache应用、WAFS应用等提供直接支持,无须任何昂贵的协议转换设备或专用光纤进行铺设。
真正的信息生命周期管理
信息生命周期的原理,是用户针对不同数据的价值,采用不同的存储手段进行存储和管理,并能够在各种存储“容器”间透明自由流动。传统存储系统因为平台的限制,往往需要多台不同规格和不同架构的产品才能够实现以上功能,同时缺乏对其他厂商产品和广域功能的支持。H3C 中高端存储系列在先进的IP存储交换平台支持下,既能够在同一平台中支持不同的存储介质,还能够通过超强的扩展和整合能力支持不同带宽、不同存储处理能力、不同应用功能、甚至不同地理位置的存储资源调配与数据管理~例如,H3C 中高端存储系列可以在统一的平台上,集中整合SATA/SAS介质,整合在线、VTL近线、远程存储三种资源为一体,整合FC/SCSI/GE/10GE等不同架构的存储平台资源。
使用简单易于管理
传统存储系统的管理难题来自于专用协议、专用设备、厂商私有规格标准造成的混乱和人为造成的管理障碍。同时,由于缺乏专门人才,使用户在采购传统存储系统后,往往都要面对维护乏力、管理成本高昂,还不得不一再向厂商购买各种存储服务。
H3C 中高端存储系列完全基于设备和系统可视化、IP标准化进行管理。只要具备基础IP网络管理知识的人员,都几乎可以无须培训即掌握H3C 中高端存储系列的管理和维护。从使用上,由于省去了各种特殊交换设备、特殊连接卡设备,使得H3C 中高端存储系列的
2011-5-12 校园网工程方案 第37页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
安装、使用和部署非常简单方便。同时,H3C 中高端存储系列的系统管理已完全与H3C著名的QuidView网络管理系统集成,通过统一的管理界面,QuidView能够对分布在遍及广域的多台H3C 中高端存储系列进行集中统一的管理和维护。
5.5 CDP(持续数据保护)方案
某某大学对于数据的保护和恢复有较高的要求。我司为了满足某某大学对于数据保护的要求,提供了CDP(持续数据保护)方案来取代传统的磁带备份方式。CDP是备份和容灾的结合,很好的满足了
5.5.1 多种数据保护方案对比
磁带传统的备份方式,在过去相当长的一段时期内,磁带备份为人们提供了值得信赖的数据备份和归档保存的场所,也使得许多用户在数据丢失的灾难中得到了保护。备份服务器与磁带库直接连接,并安装备份软件服务器端,应用服务器安装备份软件客户端,与备份服务器通讯,备份数据流通过前端以太网或后端存储网络传输,最终数据备份到磁带或磁带库中。
采用传统磁带来实现数据备份的方案在多年的实践中带来了无法克服的诸多困难,它的诸多弊端已使其远远落后于形势的发展和现实的需求:
, 数据备份/恢复性能低,任务并行度低
, 可靠性差,兼容性差
, 可扩展性差
, 数据备份流程可管理性差
, 维护管理成本高
VTL虚拟磁带库是把磁盘虚拟成磁带库,带库的外部特征有三大要素:接口、驱动器和磁带槽位,内部特征是能进行顺序读写的指令集,VTL的优势:
, 无缝融入用户当前环境,无须更新备份软件或改变备份策略,保护用户投资;
, 加快了读写的速度,缩短了备份窗口,轻松应对备份窗;
, 能在不修改备份软件的前途下,利用磁盘进行备份;
, 多种RAID级别的磁盘阵列冗余,提供稳固可靠的数据保护;
, 备份数据可策略性地导出到物理磁带上离线存储;
2011-5-12 校园网工程方案 第38页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
, 支持备份数据的远程复制;
VTL的缺点:
, VTL模拟磁带顺序读写方式,不能充分发挥磁盘的效率。
, VTL的效率要受到虚拟驱动个数的限制;
, VTL的备份策略设置与磁带库完全一样,比较复杂。
D2D(磁盘到磁盘备份)是把磁盘直接作为备份介质来使用的,本质是就是写文件系统,但并不是用原文件的格式和普通的写方法,把备份文件以大块为单位放在一个大文件中。D2D技术采用了带索引的写入方法,从而实现了中断重起、动态容量扩充、跨卷、网格存储等高级功能。D2D的优点和缺点如下:
D2D(磁盘到磁盘备份)的优点:
, 充分利用了磁盘的随机读写性能;
, 充分利用了文件系统的多线程技术,在多个备份任务情况下,不象VTL要受虚拟驱
动器的限制,效率很高;
, D2D与备份软件集成,不需要花双倍的费用,管理十分简单;
, D2D能实现许多高级功能:中断重起、动态容量扩充、跨卷、网格存储等。这些高级
功能在大型网络或广域网上备份,非常有用,能极大提高备份的可靠性和成功率。
, D2D并不是把磁盘当备份的中介环节来设计的,与备份Cache有本质的区别,它能让
数据在磁盘上作长期保存。在保存数据的能力上
D2D(磁盘到磁盘)的缺点:
, D2D没有统一的标准,只能与备份软件紧密地集成;
, D2D难以满足多台服务器数据备份的需求;
, D2D在UNIX SAN环境下的LAN Free备份,如要把数据集中存放在统一卷下,需要共
享卷软件来支持,会提高使用成本。
, D2D对异构平台环境的支持度较差;
是一种有别于传统利用快照、复制和镜像等手段来进行数据保护的前沿技术,可在数据发生任何变化时将所有数据很好地保护起来。CDP既不完全是备份技术,也不完全是归档技术,它是一种集备份和归档为一体的技术,CDP将传统着眼于“备份”的备份技术,推进到着眼于快速恢复、最少数据丢失的数据保护新阶段。其最大的技术优势就在于可进行任意时间点的数据恢复。当数据丢失的损失以分钟(或更小的时间单位)来计算时,部署CDP方案就显得十分必要。同时,对于系统的企业来说,CDP技术能减少从灾难发生到数据恢复所需要的时间,满足系统可靠性需达到99.999%的严苛要求。
2011-5-12 校园网工程方案 第39页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
5.5.2 总体方案描述
根据某某大学目前的业务需求和未来的发展需要,我们建议某某大学存储系统采用的整体规划如下:
数据中心在线存储系统建设:
建议选用1台H3C 中高端存储系列高端磁盘阵列做整个某大学的在线存储。
采用2台H3C公司的虚拟化数据管理平台将H3C 中高端存储系列纳入统一管理,两台虚拟化数据管理平台通过active,active方式运行,保证系统的高可用性。主中心H3C 中高端存储系列上的数据通过数据管理平台的Adaptive Replication选项进行连续的数据复制到近线系统的H3C 中高端存储系列存储系统上。
为了保证工作环境中的文件共享服务,也可以选用H3C公司IV5000虚拟化引擎自带的NAS选项,实现SAN和NAS的统一管理。NAS和SAN可以共享H3C 中高端存储系列上的空间,可以通过IV5000虚拟化引擎的管理平台进行统一管理。
近线备份中心建设:
建议选用H3C公司的H3C 中高端存储系列/H3C 中高端存储系列做为近线备份中心或远程容灾中心的存储系统。把H3C 中高端存储系列放在本地机房,该系统就可以作为在线存储的备份中心。H3C 中高端存储系列自带了标准版的虚拟化引擎。建议选择H3C的TimeMark功能选项,对从在线存储复制过来的重要数据进行持续数据保护。
近线连续数据保护CDP解决方案特点:
, 通过CDP连续数据保护方案彻底解决传统备份方式的弊端,节省备份投资 , 快速恢复,10分钟内可以恢复。RP0、RTO最少可达到零损失
, 实现了最全面的数据容灾,对各种灾难都有有效的恢复措施
, 基于网络层的数据容灾,支持异构设备、对主机零干扰,能确保数据的完整性 , 信息系统能够实现一定时间间隔下的各版本数据保存,解决软错误(人为故障、病毒等)
的故障难题
5.5.3 CDP特点描述
, 用更先进的持续数据保护(CDP)技术替代了陈旧的磁带库备份方式
通过近线设备中的TimeMark时间标记功能实现了对重要数据的持续数据保护,用户可以选择在出现灾难后恢复到前面保存过的任何时间点的状态。支持对“软灾难”(如:人为操作错误、应用自身错误、系统溢出、病毒侵袭及黑客入侵等)的保护和恢复。
2011-5-12 校园网工程方案 第40页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
传统的磁带库备份只能防止部分硬件故障,但是不能有效的防止自然灾难(地震、雷击、洪水等)、大型基础设施灾难(机房火灾、电力故障等)和软灾难(病毒、软件BUG、人为操作错误、黑客等) 在该方案中,我们采用远程容灾和持续数据保护相结合的一体化手段有效的防止了自然灾难、大型基础设施灾难和软灾难的发生,并且针对每一种灾难都有由针对性的恢复措施。
使用传统的磁带库备份一般一天只能做1次备份,而采用持续数据保护每天都可以按照用户设定的策略对数据进行时间点备份,并且备份过程对应用基本没有影响。
使用磁带库备份经常遇到磁带失效和恢复失效等问题,而采用持续数据保护则不会出现类似的问题,并且用户可以实现可视化的恢复,用户可用选择将数据恢复到前面备份过的任何一个时间点的状态。
持续数据保护完全可以替代传统的磁带库备份手段,节省了磁带库和备份软件的投资。
持续数据保护技术管理简单,备份工作完全可以按照设定的工作自动执行。 , 明确的RPO(数据恢复点目标)和RTO(数据恢复时间目标)
通过TimeMark等技术实现了按照策略的、自动的时间点备份,两次备份中间的时间间隔可控,用户可以明确的知道万一灾难发生我最多能损失多少数据,有明确的数据恢复点目标。
通过把复制链中的从设备提升为主设备使用等手段可以快速的恢复业务,保证了明确的恢复时间目标。
, 整个系统设计支持系统性能、容量、距离和功能四个纬度的可扩展
H3C 中高端存储系列支持1到8控制器连续扩展,性能不断提升,容量可以扩展到320T,并且性能和容量都可以独立扩展,互不影响;
H3C 中高端存储系列支持容量和性能随着台数同步扩展。
在高度灵活、功能强大的虚拟化引擎的支持下,整个系统的功能可以不断的按需扩展。
由于整个存储系统采用了IP技术构建,存储网络的规模和距离可以无限扩展。适应了存储网络广域化的需求。
, 能感知应用,确保数据完整性的机制
通过各种数据库代理模块,能确保对在线运行的数据库实施备份、复制等操作情况下的数据的完整性。不需要在灾难发生后手工的恢复数据库的完整性。
, 管理简单、实施方便
由于整个系统采用了开放的、符合国际标准的IP技术实现,技术的普及性比较高,管理人员不需要再学习封闭的技术和标准。
2011-5-12 校园网工程方案 第41页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
整个系统的管理和使用界面都是基于JAVA的图形式、向导是界面,管理和使用非常简单、方便,避免了传统数据备份和容灾所带来的极大管理负担。
另外,H3C公司还为用户准备了全面的技术培训。
, 彻底消除了封闭技术带来的不兼容和后期品牌锁定
统一管理和虚拟化平台的引入,可以让用户在后期存储系统升级和扩容的时候不必再担心不同厂商的存储产品的不兼容和不能统一管理等问题,消除了品牌锁定陷阱,充分拥有了自主权,最终可以大大降低系统的采购和维护成本。
5.6 数据D2D备份功能描述
备份软件包括的各个功能模块可独立运行在不同的计算机上,各个模块功能大致描述如下:
, 前端管理程序
主要用于制定备份(恢复)作业、管理设备和介质,制订备份作业制订恢复作业创建自动备份策略管理设备和介质管理备份日志记录管理备份告警等
, 备份服务器
主要用于备份(恢复)作业的调度和执行。备份和恢复作业的调度管理介质和设备,向管理界面发警报生成日志备份,恢复作业的调度和执行发送备份告警等。
, 介质服务器
主要实现备份介质的读取和写入。接收备份数据,并写入磁带、硬盘、光介质,数据恢复时从磁带、硬盘、光介质读取数据,发送给备份客户端代理。
, 客户端代理
安装于被备份的机器上,执行备份服务器程序对远程服务器和工作站的查询,使备份服务器能访问工作站的目录和驱动器。具体执行服务器和工作站的文件系统备份和恢复任务,执行备份数据压缩和恢复数据解压缩功能接收数据库备份指令,并发送到相应数据库代理和其它代理程序通信并传递备份和恢复的数据。
, 应用代理
与备份客户端代理安装在同一台计算机上,主要功能包括:通过数据源的备份接口获取需要备份的数据,通过数据源的备份接口恢复数据,与备份客户端代理通信并接收备份和恢复指令和数据流。
2011-5-12 校园网工程方案 第42页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
5.6.1 数据备份介质选择
, 磁带备份的困扰
从1952年IBM发布了第一款磁带机开始,磁带技术就一直占据着数据备份/恢复领域的重要地位。随着全球信息化脚步的不断加快,企业发展与IT系统建设的关系越来越紧密,企业数据的安全性越来越被重视,“有备无患”已经成为IT管理者的基本观念。在部署与管理任何信息服务时,数据备份与恢复必然是要纳入的重要环节。磁带备份作为一种传统的数据离线保护方式,在IT系统中得到了广泛的应用。
虽然基于磁带的备份和恢复技术是广泛应用的数据保护手段,但长期以来,磁带备份的性能和可靠性方面存在的缺陷一直困扰着IT管理员:
, 高故障率和高维护成本
磁带介质比较脆弱,容易受到温度、湿度以及粉尘、电磁等的影响,虽然磁带的理论使用寿命很长,但实际操作中卡带、绞带是频发的问题;长时间存放的磁带必须按时回带,磁带机的读写头也得按时清洗,确保万一需要复原时,磁带能正常被读取。
磁带库的机械手和磁带机等精密机械组件的可靠性无法保障,磁带库频发的设备故障,经常导致备份过程的长期中断甚至备份数据丢失。
使用磁带的过程需要过多人工因素的参与,不但导致高昂的人工成本,也引入了诸多人为的不安全因素。
根据美国存储杂志的统计,磁带备份中,40%~60%是失效的,其中大部分原因是人为因素和机械故障造成的。这就直接导致了磁带备份的高额维护成本。根据业内人员的统计,每年维护费用要超过购买费用的10%以上,几年下来相当于重新购买一台设备。 , 磁带备份和恢复的速度较慢
数据备份中的一个重要概念是备份窗口。备份窗口(Backup Window),是一个时间概念,即一个工作周期内留给备份系统进行备份的时间长度,也就是应用所允许的完成数据备份作业时间。数据备份需要应用系统的参与,备份过程中应用系统的性能、带宽等都会受影响,因此备份需要在业务量较小的时候(比如夜间或假日)进行,甚至可能需要应用系统停机。随着数据量不断膨胀,备份所需的时间越来越长,但业务连续性的要求却越来越高,备份窗口要求越来越小。备份管理员发现传统磁带的速度实在太慢,已经不能在既定时间内完成工作。
2011-5-12 校园网工程方案 第43页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
备份的目的是为了恢复,数据恢复的速度更为重要。近年来,磁带的读取技术在不断的改进,磁带数据的恢复速度已经有了很大的提高。但是在面临大量数据恢复时,磁带的恢复速度仍然无法令人满意。在读取数据时,物理磁带还需要挂载、倒带、寻道等一系列初始化过程,这往往需要数分钟的时间;如果是跨越多个磁带进行数据恢复,就需要更长的时间。所以在进行海量数据的恢复时,往往需要花费十几个小时甚至几天的时间。
如何加快数据备份和恢复的速度,提高备份数据的可靠性,已经成为备份管理员关心的焦点。在过去的几年中,业内人员提出采用磁盘来进行数据备份和恢复,希望能够解决磁带备份的固有问题。但是磁盘备份的高昂成本,还是令大多数的用户望而却步。 , 基于磁盘的备份
近年来,磁盘技术有了长足的进步,磁盘的容量在不断的加大,成本却在不断的降低。从传统IDE磁盘发展而来的SATA磁盘,在继承了其前辈大容量、低成本特性的同时,在性能方面也有了巨大的进步,目前SATAII接口的速率已经达到了300MB/s。基于高性能、大容量、低成本的SATA磁盘的备份和恢复,已经开始成为一种高性价比的备份方案。 , D2D 备份
传统的备份软件/硬件的供应商很快认识到了磁盘备份的潜力,纷纷推出了基于磁盘的备份和恢复功能。这种磁盘到磁盘的备份手段称之为D2D(Disk To Disk)备份。
磁盘本身的性能就优于磁带,在采用RAID技术之后,还可以将读写数据流同时分布到多个磁盘上,用户得到的就是一个磁盘组的性能。因此,D2D的备份方案大大提高了备份和恢复的速度。
磁盘是密闭的电子设备,其本身的可靠性就大大高于磁带。在取消了机械手、磁带机等机械设备后,D2D备份的可靠性得到了进一步的加强。磁盘RAID技术的采用,在提高读写性能的同时,也保证了备份数据的安全性。D2D备份有效解决了磁带备份在可靠性和性能方面的固有问题。
虽然D2D备份具有相当的吸引力,但是其也存在诸多的不足。
第一,采用D2D备份,备份服务器看到的存储介质是磁盘和文件系统。随着备份数据的增加,文件系统的碎片越来越多,影响到备份的性能。而且不同的操作系统采用不同的文件系统,在面临多操作系统备份时,无法有效的做到备份资源共享。此外,因为采用了文件系统,因为病毒入侵和文件误删除操作导致备份数据失效的情况也时有发生。
第二,也是最重要的原因,领导者和备份管理员仍不愿意放弃磁带备份策略。对于现有的任何规模的IT环境,从磁带结构转变到基于磁盘的策略都不是一件容易的事情。而且大多数企业和组织已经大笔投资建立了磁带备份系统,并正运用现有的磁带技术,努力达到最佳
2011-5-12 校园网工程方案 第44页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
的备份效果。如果放弃已有的备份投入,破坏现有的备份环境,改用D2D备份,对于领导者和管理员而言,都是一个艰难的抉择。
所以,D2D要想成功代替磁带备份,必须以一种不破坏现存环境,并有效保护企业备份投入的方式来实现。虚拟磁带库的出现,有效的解决了这个问题。
, VTL备份
虚拟磁带库(Virtual Tape Library,简称VTL)是在D2D备份的基础上发展而来的。它采用磁盘技术来模拟磁带备份,同时具有D2D备份和磁带库备份的优点,去除了二者的不足,实现了磁带技术和磁盘技术的最佳融合。
VTL采用磁盘作为备份介质,将磁盘仿真为一种或者多种磁带库和磁带。仿真后的磁带/磁带机在备份服务器上显示为真实的物理磁带/磁带机,整个备份和恢复的过程和物理磁带库完全一致。因此,VTL可以无缝地整合到现有的IT环境中,无需更改现有的备份软件配置和备份管理策略,存储管理员的经验和技术不会被浪费,备份投资也能得到有效的保护。
相比磁带备份,VTL采用了磁盘备份介质,具备了磁盘备份/恢复的高性能和高可靠性,有效缩短了备份时间,提高了数据的安全性。相比D2D备份,VTL提供的是磁带格式的备份介质,不存在文件系统性能下降、病毒感染等问题,也不需要改变已有的备份环境,有效的保护已有的备份投资。
VTL作为一个优秀的备份恢复解决方案,正越来越受到用户的欢迎。 5.6.2 服务器/WINDWOS系统保护
随着应用环境越来越复杂,关键应用和关键数据受到侵害的可能性越来越大,软灾难发生的情况更加普遍,包括病毒侵害、黑客攻击、误操作、OS受损,给客户的系统造成的风险很高。
我们了解到某某大学的大量服务器都是基于WINDOWS系统平台的设备,可以针对这些设备:
1、由于WINDOWS系统平台的特性,系统可能存在多处隐形漏洞,给黑客和病毒的侵害提供了条件,就IDC评测,每年由于黑客攻击和病毒侵害给客户造成的损失高达数百亿美元。
2、OS受损,导致瘫痪,数据没办法读出,此时对于系统恢复和关键数据的处理是非常棘手的难题。
3、由于误操作给系统造成的影响也不可忽视,重要文件被删除,由于是关键数据可能只保存在一台机器上,数据将不可恢复。
2011-5-12 校园网工程方案 第45页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
4、数据保存在硬盘上,由于硬件故障,同样可能造成的数据的不可恢复。
对于关键系统和数据所造成的损坏,不仅仅表现为经济方面的损失,同时影响关键部门的运转以及可能造成不良的社会影响等。由此服务器系统保护解决方案就应运而生。
H3C 服务器系统保护如下所示:
以上的拓扑图是拓扑图的一部分。说明那些没有使用H3C 中高端存储系列集中存储,进行CDP数据保护的服务器的系统保护方案。此方案以H3C Neocean中高端存储系列存储产品为核心, 在每台应用主机(微软操作系统)上安装一套存储数据复制软件——DiskSafe,将主机数据或系统直接复制到H3C 中高端存储系列存储设备中,实现数据的集中管理,在复制过程中可以选择连续复制或周期性复制两种机制。而且H3C 中高端存储系列存储设备附加了时间标记功能,为保护的数据提供数据版本管理,快速恢复已损失的服务器系统或数据。复制软件和TimeMark功能与其内建的应用感知代理能配合,可以确保存储池中每一个数据版本的数据一致性,当任一时间点数据版本临时需要使用时,可以快速的被打开使用。当业务数据受损时,根据受损的情况有不同的快速恢复方法。
全部数据/部分数据受损时的恢复:通过TimeMark功能中提供的TimeView功能,可以在线将某一时间点的数据提取出来,提供给查询机或测试机等进行数据验证、备份或查询。当发现业务数据受损时,只需将某一个时间点的数据提取出来,查找验证受损的数据后,将状态良好的数据直接拷贝到当前业务处理的主机中,快速恢复受损的数据。系统崩溃或硬盘损坏时的恢复:直接通过IP网络远程启动系统,
2011-5-12 校园网工程方案 第46页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
快速恢复业务应用。当本地硬盘修复后,在线的将系统恢复到已修复好的硬盘上,以恢复本地系统的运行。当不能直接远程启动时,可通过Recovery光盘将存储池中的系统数据恢复到本地修复好的硬盘中,当恢复完成后,业务主机就可以启动恢复应用。
服务器系统保护解决方案特点:
, 简化存储管理,附加快照等高级存储功能,能快速恢复服务器操作系统以及应用数据
到任意时间点;
, 保护数据的渐变式灾难(渐变式灾难如:人为操作错误、应用自身错误、系统溢出、
病毒侵袭及黑客入侵等)
, 近线数据灾难保护
, 能感知应用,确保数据完整性的机制
, 可支持远程启动,实现最优的RPO及RTO
5.7 容灾方案描述
某某大学数据中心对于数据的保护和恢复有较高的要求。我司为了满足某某大学数据中心对于数据保护的要求,提供了容灾方案来实现数据异地存储的要求。
数据中心采用H3C公司的中高端存储系列做为在线存储系统,采用H3C公司的中高端存储系列作为远程容灾系统,每台H3C 中高端存储系列都内置1套NeoStor虚拟化数据管理系统对H3C 中高端存储系列进行管理。
为了保证对在线存储中重要数据的容灾,建议采用H3C公司NeoStor数据管理平台提供的IP-based Replication远程复制模块将现有存储设备中的数据按照事先设定的策略通过现有的IP网络线路传输到远程容灾存储系统NeoStor所管理的存储池中。为了降低带宽占用,每次数据复制只将上一次复制后的变量数据复制到远程容灾中心。由于采用了先进的块增量扫描技术,数据变量不是基于文件级的变量,而是更小单位的基于磁盘块的变量,这样可以保障数据增量最小,对网络带宽的占用最低。数据直接通过NeoStor传输到远程,不经过应用服务器,因此是对应用服务器零干扰的数据远程复制。
传统的磁带备份方式很难应对病毒、人为操作失误等“软灾难”造成的数据不可恢复,为了应对软灾难,我们建议用户在远程容灾中心配备H3C公司的TimeMark时间点连续数据保护功能,对容灾中心存储设备中的数据按照事先设定的策略进行连续的时间点备份,保存数据在不同时间点的多个版本,在数据中心存储系统出现故障或人为操作失误、病毒等渐变式
2011-5-12 校园网工程方案 第47页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
灾难的时候可以通过TimeView时间点视图模块打开不同版本的数据进行检查,可以把数据恢复到发生错误之前最近的时间点。
每台服务器的每个iSCSI端口要连接NeoStor虚拟化管理系统都需要配备1个SAN Client客户端。
利用NeoStor实施数据的容灾,最重要的一点就是要能够基于应用感知,也就是对数据进行高级功能保护时,能够感知应用,确保数据信息系统数据的一致性,以确保当灾难发生时的灵活快速恢复,NeoStor附加的高级存储功能中大部分都是基于应用感知的,也就是对磁盘数据进行操作时都会与应用系统会话,因此,需要在应用主机安装H3C提供的应用系统代理程序,如数据库代理模块。当NeoStor对信息系统的数据盘进行高级功能操作时,则会透过代理程序将应用系统暂时置成静止或备份模式状态,使得应用系统将主机内存的已提交但还未写到磁盘中的数据刷入到磁盘中,保证此时存放在磁盘中的数据是一致的,NeoStor会执行快照动作,生成一个基于时间点的完整数据快照视图,等执行完快照动作后,马上会通知代理程序快速将应用系统恢复到正常的工作模式,等待下次快照动作的执行。因此,利用NeoStor实施数据容灾,可以确保数据和一致性。建议用户为每个需要保护的数据库系统配备1个SnapShot主机快照代理。
方案详细配置:
数据中心在线存储配备了1台H3C 中高端存储系列和1个IP-based Replication远程复制模块。
容灾中心存储配备了1台H3C IX系列中高端存储设备、1个IP-based Replication远程复制模块和1个TimeMark时间点连续数据保护功能。
容灾中心存储设备
在主机端配备了N个SAN Client客户端软件。
为了对数据库实现在线的备份或复制,并保证数据完整性,配备了M个SnapShot Agent主机端快照代理。
服务器后台的专用存储网络SAN采用了1台H3C全千兆接入,万兆上行的交换机进行连接。这个专用的存储网络与服务器前端的局域网LAN完全隔离,充分保证了整个存储系统的性能。
2011-5-12 校园网工程方案 第48页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
第6章 网络虚拟化设计
随着网络规模的不断增大,其应用和复杂度也在不断增加。对一个包括很多不同的公司/部门/群组在同时使用的大型网络中,网络上承载着各种不同的复杂应用。很多时候,需要对这些不同部门/群组用户的访问权限进行控制、不同业务间的网络传输也需要安全隔离,这种隔离指的是访问、传输、应用端到端的隔离。
对于有业务和应用隔离需求的用户来说,传统的物理网络隔离方案已无法满足需求:网络重复建设、分散管理、安全策略难部署、无法提供统一的应用服务等,都大大增加了用户在网络投资、建设和运维、管理方面的负担。
H3C虚拟园区网解决方案很好地解决了这个问题。其把共用的一套物理网络、客户端、服务器资源虚拟出多套逻辑资源,供不同的群组/部门、业务使用,实现根据业务和应用划分访问权限和业务流向,进行横向安全隔离,同时也能根据需要提供灵活的互访控制。
虽然本方案名称为虚拟园区网解决方案,但是却不局限在企业中。H3C虚拟园区网解决方案已经广泛的应于与政府、校园、科研、制造、校园等众多行业。
6.1 解决方案概述
H3C完整的园区虚拟化解决方案包括接入控制、通道隔离、统一应用三个部分,实现对整个园区网络、应用资源的虚拟化,提高资源的利用效率、降低管理的复杂度,并且满足了网络的安全性和灵活办公的需要。
2011-5-12 校园网工程方案 第49页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
接入控制:接入控制能够保证网络访问的安全和接入用户正确获得访问相关资源的权限。园区虚拟化解决方案接入控制采用H3C的EAD认证系统,对通过认证的用户动态下发VPN和对应的资源访问和使用权限。通过中央服务器和客户端的配合,还可以监控接入用户的安全状态,拒绝非法接入网络,防止终端ARP欺骗和攻击,进一步加强了整网的稳定和安全。
通道隔离:通过MPLS VPN技术对不同的应用、业务和群组用户进行安全隔离,把不同用户、不同应用的数据横向隔离开来,保证数据传输的私密性和安全性。
统一应用:应用服务区通过计算虚拟化、存储虚拟化、虚拟安全等技术,为整网的隔离用户提供统一的安全策略部署、数据中心服务、流量监控、Internet/WAN访问服务等。
通过MPLS VPN与EAD联动,H3C虚拟园区网为用户提供端到端的VPN隔离能力。用户在任何地方接入网络,通过EAD认证后都会获得相同的VPN归属和访问权限;同时,也可以在园区网中部署各部门/公司共享的共用视频会议厅、新闻发布厅等公共办公区域,从而做到真正的“虚拟化”灵活办公。
结合H3C数据中心虚拟化解决方案,更能提供用户、园区网络、数据中心网络、数据中心服务器的一体化端到端虚拟化,既满足资源的整合需求,又满足了用户、业务的隔离和访问控制要求。
6.2 隔离技术概述
网络内部各个部门均有独立业务,而且各职能体系之间存在信息安全、保密的实际需要,
2011-5-12 校园网工程方案 第50页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
因此在建基础网络平台的同时需要考虑如何将各种业务进行逻辑隔离,确保各部门业务的独立性,并且需要考虑在部署了业务隔离之后,如何对部分数据进行共享,如何与各业务部门的原有专网进行对接。
6.2.1 VPN技术
VPN(Virtual Private Network,虚拟私有网)是一种基于三层的隔离技术,在20世纪90年代中期兴起,旨在通过公用网络设施实现类似专线的私有连接。其原理是在三层转发设备(路由器或三层交换机)上为每个VPN建立专用的VRF(Virtual Route Forwarding)表,各VRF表相互独立,具有特殊的标记,通过专用的隧道(GRE、MPLS、TE、IPSec、L2TP)将各VPN数据在公共网络上进行转发。通过特殊的标记,VPN数据在VRF和专用隧道中相互隔离,保证VPN数据的隐密性。
VPN隔离技术分析
VPN是一种基于三层的隔离技术,不需要ACL的控制,直接在IP层将各个VPN通过专用的VRF进行隔离,每个VRF维护一套独立的路由转发表,一个VRF的报文不会进入到其他VRF中进行转发,从而达到各VPN安全隔离的目的。如果VPN之间有互访需求,则可以通过控制VRF间路由的引入来实现。VPN间路由的引入是可控和易于查看的,便于管理员的维护和部署。
通过将VPN与VLAN映射,可以实现端到端的安全隔离。
2011-5-12 校园网工程方案 第51页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
如上图所示,对接入的用户所在的VLAN与VPN进行映射,从而无须额外的ACL控制,即可将VLAN的隔离延伸到三层VPN,建立端到端的虚拟转发通道,实现数据的安全隔离和传输。VPN隔离方式解决了传统VLAN+ACL隔离方式的不足,适合于对网络安全性要求更高和更大规模网络的应用:
1. 业务隔离性高。通过端到端的VRF隔离,实现业务数据整网的虚拟通道转发,同时网络部署中极大减少了ACL策略的控制,降低了出错的可能性和安全漏洞,安全性高。
2. 扩展性、可管理为核心高。每个VPN维护独立的虚拟路由转发表,允许各VPN的IP地址重叠,对网络IP地址规划要求低,配置管理简单,能够满足大型网络的应用。 6.3 灵活业务访问
6.3.1 灵活业务访问需求分析
1) 现有实现模式
在虚拟园区网解决方案中,实现了对接入用户身份的识别和动态访问权限的下发,从而使用一套物理网络为多个部门/业务的用户提供不同的安全访问级别服务。如图所示:
2011-5-12 校园网工程方案 第52页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
图 基于用户身份识别的动态访问权限下发
用户与接入交换机连接后,在通过认证之前,交换机的受控端口属于非授权状态,端口被关闭,此时用户不能访问网络资源。用户通过身份认证后,端口进入授权状态,并通过认证服务器下发受控端口的所属VLAN和安全策略,实现基于身份识别的动态访问权限下发。必要时还可以将该VLAN与VPN进行绑定,实现更高级别的逻辑隔离和虚拟化。
2) 用户需求分析
在园区虚拟化解决方案部署实施中,有些用户在将接入终端根据部门/业务进行隔离、下发不同的安全访问策略的同时,还需要更加灵活的访问权限控制功能。
如下图所示:
2011-5-12 校园网工程方案 第53页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
图 灵活业务访问模式示意图
假设用户A、B、C和D分属于4个不同的部门,在访问内部办公网络时需要安全隔离。同时,用户A、B、C和D也都有访问Internet的需要,但出于安全的需要,用户访问内部办公网和访问Internet的流量是逻辑隔离的。
具体来讲,例如用户A,访问Internet时,不能访问办公网络;当用户A希望切换到办公网络时,可以通过身份认证获得特定的访问权限,访问特定的办公网络资源,但不能再与Internet互访。用户B、C、D类似。在整个网络中,A与B、C、D相互隔离。 6.3.2 灵活业务访问接入实现
对上述需求进行分析,不仅不同的用户需要隔离和下发不同的访问权限,同一个用户在不同的情况下也需要下发不同的访问权限,我们称之为用户灵活业务访问模式。针对该需求,结合H3C 交换机和EAD的相关特性,可以通过两种方式来实现:Guest VLAN 方式和EAD多服务认证方式。
1) Guest VLAN方式
Guest VLAN是指客户认证端口在认证之前应该属于一个缺省VLAN,用户访问该VLAN内的资源不需要认证,但此时不能够访问其他资源。用户经过802.1X认证成功后,又属于用户
2011-5-12 校园网工程方案 第54页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
配置的VLAN,此时用户可以访问其他的网络资源。通过对网络的初始配置,可以限定用户在Guest VLAN中所能访问的资源,例如获取客户端,用户升级程序,或仅访问Internet。用户如果需要访问其他资源,必须通过认证。
图 Guest VLAN访问方式—认证前
如上图所示,接入交换机配置Guest VLAN,Guest Vlan与Internet互通。用户无须通过认证,默认情况下属于Guest VLAN,可访问Internet资源。
用户通过认证后,访问策略服务器向接入交换机下发动态VLAN和特定访问权限,用户与Internet隔离,可访问办公网络的特定资源。
对于用户A、B、C和D,可以通过在接入和核心/汇聚交换机采用访问策略或VPN隔离技术,控制用户之间的互访。
2011-5-12 校园网工程方案 第55页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
图 Guest VLAN访问方式—认证后
使用Guest VLAN需要注意的问题是,每个交换机只支持一个Guest VLAN,并且端口上不要启用dot1x dhcp-launch。此外,认证端口加入Guest VLAN后,如果Guest VLAN可以通过路由与其他VLAN互通,则此时Guest VLAN中的用户不通过认证也可以通过路由访问其他网络资源。所以要保证用户在Guest VLAN中不认证只能访问Guest VLAN中的内容,应该通过用户其他配置保证Guest VLAN与其他VLAN不能路由互通,例如ACL控制、VRF/VPN划分等。
2) EAD多服务认证方式
EAD具有多服务认证的特性。对于一个需要跨应用访问网络资源的用户,网络管理者需要为他们在不同的业务网络中制定相应的安全策略,这通常是在策略服务器上配置多个服务来实现的。每个服务配置独立的安全检查项,以及下发的ACL或VLAN,因此每个服务可对应一个业务网络。
网络管理员为每个接入用户分配一个用于标识身份的用户标识,分配一个或多个域后缀作为服务标识。用户标识和服务标识两部分共同构成了一个完整的用户名。例如用户名为:
zhansan@Internet
zhangsan即为该用户的用户标识,Internet即为服务标识,用户标识与服务标识间采用
2011-5-12 校园网工程方案 第56页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
“@”符进行分割。
用户认证时,输入带服务标识的完整用户名,用户标识和服务标识匹配正确,则能够通过认证,策略服务器下发该服务特定的访问权限(VLAN/ACL)。
图 EAD多服务访问方式
如上图所示,用户A使用“@Internet”域后缀通过认证后,从属于动态VLAN 10,能够访问Internet资源,不能访问办公网络资源。用户A需要访问办公网络资源时,使用“@shuiwu”域后缀重新发起认证,认证通过后,从属于动态VLAN 110,具有“税务网络”的访问权限,不能再访问Internet。用户D使用“@caizheng”域后缀通过认证,从属于动态VLAN 140,具有“财政网络”的访问权限,不能访问Internet,也不能访问“税务网络”。 6.3.3 灵活业务访问隔离实现
通过Guest VLAN或EAD多服务认证,能够根据接入和认证的方式,将某个用户归属于接入交换机不同的VLAN中,赋予多个不同的访问权限。但要在整网确保这种访问权限,并控制用户之间的访问,还需要考虑用户之间的隔离和互访部署。
网络组网模式的不同,用户之间的隔离和互访也有不同的实现方式,总体上有两种:物理隔离方式、逻辑隔离方式。
2011-5-12 校园网工程方案 第57页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
1) 物理隔离方式
物理隔离方式是多个业务的承载网络之间物理隔离,用户通过认证后,根据所访问的业务,分别进入到对应业务的网络,不能访问其他业务的网络。如下图所示:
图 业务网络物理隔离方式
网络中有两种业务:Internet服务和办公网络服务,与两台核心交换机分别连接,核心交换机之间物理隔离。接入交换机做二层转发,有两条上连链路,通过不同的VLAN分别连接到两台核心交换机。例如左侧的接入交换机,通过VLAN 10与Internet核心交换机连接,通过VLAN 110与办公网络核心交换机连接。对于Guest VLAN方式,VLAN 10 即为Guest VLAN;对于多服务认证方式,VLAN 10 为对应Internet服务的动态VLAN。VLAN 110为对应办公网络服务的动态VLAN。
用户A若希望访问Internet,则接入网络(Guest VLAN方式)或通过认证(多服务认证方式)后,即属于VLAN 10,只能与Internet交换机通信,与办公网络交换机隔离,不能访问办公网络资源。用户A切换到办公网络后,属于VLAN 110,只能与办公网络交换机通信,不能访问Internet交换机。
类似的,若办公网络中有多个关键的业务,也可以根据实际业务应用部署多套分离的物理网络。
2) 虚拟化隔离方式
2011-5-12 校园网工程方案 第58页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
出于投资成本、组网灵活性、维护复杂度等的考虑,用户希望在一张物理网络上承载多个服务,同时希望通过隔离技术对接入用户之间实行安全隔离和受控互访。如下图所示:
图 业务网络逻辑隔离方式
因为Internet核心交换机和办公网络核心交换机之间连通,用户A访问办公网络的流量有可能通过Internet交换机再到办公网络交换机,反之访问Internet的流量也可能会通过办公网络交换机,这样用户与用户、Internet与办公网络通过路由在IP层面上事实上已经连通。因此,隔离和控制用户、业务之间的访问流量就成为网络规划必须要着重考虑的问题,这需要使用逻辑隔离技术。
逻辑隔离网络的隔离和互访控制主要有两种实现方式:
, VLAN+ACL
, 虚拟化(VLAN+VPN、VRF+VPN)
1. VLAN+ACL
VLAN的安全隔离仅限于L2网络,但纯粹L2网络在可扩展性、性能和故障排除方面有一定局限性,因此园区网中核心和汇聚执行L3交换得到了普遍的应用。网络中存在L3转发设备时,除了使用VLAN将用户和业务进行隔离外,还必须考虑在L3设备上对用户的互访进行控制,即部署ACL访问策略。
2011-5-12 校园网工程方案 第59页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
ACL控制三层互访的方式破坏了二层VLAN虚拟化隔离的部署,不能满足某些业务安全隔离的需求。ACL控制的方式更适合于小型网络。对于大型网络,随着网络规模的增大和网络业务的增加,会极大提高部署的复杂度和难度,增加网络管理员设计不全面以及配置错误的导致潜在安全漏洞的可能,以及降低灵活性、扩展性和可管理性。
2. VPN
VPN是一种基于三层的隔离技术,不需要ACL的控制,直接在IP层将各个VPN通过专用的VRF进行隔离,每个VRF维护一套独立的路由转发表,一个VRF的报文不会进入到其他VRF中进行转发,从而达到各VPN安全隔离的目的。如果VPN之间有互访需求,则可以通过控制VRF间路由的引入来实现。VPN间路由的引入是可控和易于查看的,便于管理员的维护和部署。
通过将VPN与VRF、VLAN映射,可以实现端到端的安全隔离。VPN隔离方式适合于对网络安全性要求更高和更大规模网络的应用,并且具有更高的业务隔离安全性和更好的扩展性、可管理性。使用VPN技术,为诸如政府中不同的部门、企业中不同的业务建立专门的转发通道,实现部门、业务之间的安全隔离,已经逐步得到用户的认同。
6.4 方案优势
H3C园区虚拟化解决方案是一种真正的面向应用网络架构设计方案,该方案能够为用户带来的好处包括:
, 降低网络投资、减少重复建设。避免了业务、数据物理隔离需要重复建设、应用服务
器、安全设备重复采购的缺点,提高了整体资源的利用率;
, 端到端的业务安全隔离。通过接入访问控制、MPLS VPN隔离、应用虚拟化技术为用
户业务提供端到端的安全隔离,同时能够实现灵活的互访和网络扩展。结合H3C虚
拟化数据中心,实现一体化的园区网虚拟化解决方案。
, 终端接入灵活、安全。认证客户端能够杜绝非法终端接入网络,并且让合法终端在任
意位置接入网络均获得相同的VPN归属和访问权限。方便做到灵活办公和公用办公,
真正实现网络虚拟化。
, 降低管理难度、提高管理效率。通过iMC专业管理平台对整网资源进行统一的管理和
部署,提高管理效率。
2011-5-12 校园网工程方案 第60页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
第7章 校园网安全系统规划设计 7.1 整体安全
首先,可取采取的措施为多种冗余备份能力,包括网络线路的多层次冗余、网络设备的多节点冗余、网络设备自身组件的冗余,通过这些冗余能力,实现整个网络全面的可靠性保证。网络线路冗余主要包括如采用网状或者尽量网状连接来代替星形、树形的连接结构,在学院的网络改造建议方案中,我们设计了足够的线路冗余能力。网络设备多节点冗余主要是指在网络中同一个设备节点部署双机设备,通过双机进行实现相互备份和负载均衡,在学院的网络改造建议方案中,我们在关键的节点都进行了双机配置。网络设备可以采取的冗余配置措施主要包括冗余电源配置、冗余模块配置、冗余引擎配置等,基于H3C网络设备丰富的冗余特性,可以有效的实现这些冗余配置模式。
其次,采取高安全性的网络设备,网络与安全的融合是未来网络发展的必然趋势,随着网络设备特性的不断更新,H3C系列网络设备自身具备的安全能力也在不断加强。H3C系列网络设备包括路由器、交换机,都统一采用H3C自主研发的Comware软件平台。
除了上述丰富的基本安全特性,H3C网络设备具备非常丰富的动态安全特性,主要包括动态VLAN的下发和动态ACL的下发,H3C系列网络设备不仅支持标准的802.1Q VLAN,而且提供端口隔离功能,只允许用户端口与上行端口转发报文,从而阻断下挂各个用户私有网络之间的互相访问,从链路层保障用户转发数据的安全;通过启用802.1x和Web认证后下发动态VLAN及ACL,实现用户的动态隔离,保证用户数据的隐私,杜绝内部攻击,与其他安全防护设备进行联动,构建全局的、立体的、动态安全防护体系。
最后,采取具备丰富的安全管理特性的网管系统,在网络系统中,整个网络的安全首先要确保网络设备的安全:非授权用户不能访问任一台服务器、路由器、交换机或防火墙等网络设备,采用网络管理系统是一种有效的解决方法,通过网络管理管理系统提供的配置管理、性能管理、失效管理和安全管理功能,可以实现网络设备安全有效的配置,为整个网络系统提供安全运行的基石。
网关系统的基本功能描述如下:配置管理:主要包括设备监控、远程控制、远程维护、自动搜索等;性能管理:主要包括性能数据可视化、阈值设置和报警、性能分析和预测、性能策略支持等;失效管理:主要包括故障定位、故障报警、故障恢复等;安全管理:访问认证和授权、网络隔离、远程访问控制、应用访问控制等。
2011-5-12 校园网工程方案 第61页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
7.2 设计原则
在规划某大学的网络安全系统时,我们将遵循以下原则,以这些原则为基础,提供完善的体系化的整体网络安全解决方案:
, 体系化设计原则
通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程,提出科学的安全体系和安全模型,并根据安全体系和安全模型分析网络中可能存在的各种安全风险,针对这些风险以动态实施过程为基础,提出整体网络安全解决方案,从而最大限度地解决可能存在的安全问题。
, 全局性、均衡性原则
安全解决方案的设计从全局出发,综合考虑信息资产的价值、所面临的安全风险,平衡两者之间的关系,根据信息资产价值的大小和面临风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解决方案。
, 可行性、可靠性原则
在采用全面的网络安全措施之后,应该不会对某大学原有的网络,以及运行在此网络上的应用系统有大的影响,实现在保证网络和应用系统正常运转的前提下,有效的提高网络及应用的安全强度,保证整个信息资产的安全。
, 可动态演进的原则
方案应该针对某大学制定统一技术和管理方案,采取相同的技术路线,实现统一安全策略的制定,并能实现整个网络从基本防御的网络,向深度防御的网络以及智能防御的网络演进,形成一个闭环的动态演进网络安全系统。
7.3 网络插卡优势
, 高性能
所有的 SecBlade业务模块都采用了业界最领先的多核CPU +ASIC +FPGA的高性能硬件架构。这种分布式的硬件架构保证了所有的业务能在第一时间进行并行处理。对于现在大量的应用层安全攻击,由于需要进行深入的报文分析,只有这种多核CPU的硬件架构才能真正
2011-5-12 校园网工程方案 第62页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
实现对数据报文的实时处理,不会造成传输延迟。
除此之外,由于交换机对数据报文采用分布式转发的模式,这样SecBlade插卡就能巧妙地利用高端交换机的背板总线技术,确保安全插卡也能实现与万兆网络设备的无缝对接。
, 高可靠性
基于交换机的无阻塞技术,各种插卡通过背板总线进行数据交换。任何一块插卡出现故障,通过专利的ACFP技术,能够确保流量都会自动避开它,通过Bypass方式保证业务正常运行。
由于SecBlade插卡是部署在交换机上。而交换机的各种关键部件,包括电源、引擎、接口板、业务板等都可以冗余部署,这就大大提高了整体的可靠性。当所有的关键部件都进行冗余部署的时候,实际上就是两台设备在同时工作,并可以进行负载分担。
此外,由于所有的插卡都可以进行热插拔,这也大大降低出现故障时更换设备的时间。
, 易扩展
SecBlade插卡可以插到高端交换机的任何业务槽位上,通过插卡数量的扩展可以实现总体处理性能数倍的提升,组成多功能、高密度、高安全的核心交换机。
此外,多种SecBlade插卡的组合使用,可以实现安全交换机的模块化设计。用户可以根据需求任意选择所需的业务模块,实现安全功能的平滑升级。
, 方便的管理和配置
在SecBlade插卡上,单独有外带的网络管理口和串口(Console),可以通过Web界面实现对SecBlade插卡的管理和配置,也可以通过网口接入到交换机的网管系统,利用网管软件实现对SecBlade的配置。
每个SecBlade插卡的安全日志信息也能统一上报给的安全管理平台SecCenter。通过SecCenter的统一安全信息收集和筛选,提取相关的关联信息,然后进行统一管理,真正做到安全联动。
, 无限的接口
相对一般盒式安全设备只能提供数量很少的接口而言,SecBlade插卡可提供无限制的接口,这是因为交换机中所有接口的数据都可以转发到SecBlade插卡上进行处理。同时,通过插卡的虚拟化技术,可以将同一块物理业务板卡在逻辑上划分为相互独立的多个板卡,每个逻辑板卡拥有完全独立的资源和策略。 而且,除了普通的以太网电口和光口外,基于交换机SecBlade插卡,还可以实现与各种POS接口、ATM接口、E1/T1口等其他接口进行对接。
, 丰富的功能
2011-5-12 校园网工程方案 第63页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
目前的SecBlade插卡包括万兆防火墙模块、IPS入侵防御模块、LB负载均衡模块、NetStream网络流量分析模块、SSL VPN模块、ACG应用控制网关业务模块以及AFC流量清洗模块等。这些插卡不但覆盖了从远程安全接入、专业DDoS攻击防御、2-7层深度安全防护一直到服务器访问性能优化等各个应用层面,覆盖了整个主流的网络安全应用需求,能为用户提供最全面的安全保护。
7.3.1 防火墙插卡
H3C SecBlade FW是业内第一款万兆高性能防火墙模块,可应用于H3C S5800/S7500E
/S9500E/S12500交换机以及SR6600/SR8800路由器。SecBlade FW集成防火墙、VPN、内容过滤和NAT地址转换等功能,提升了网络设备的安全业务能力,为用户提供全面的安全防护。
H3C SecBlade FW能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能,有效的保证网络的安全。采用H3C ASPF(Application Specific Packet Filter)应用状态检测技术,实时检测应用层连接状态,实现3-7层安全防护。提供邮件告警、攻击日志、流日志和网络管理监控等功能,协助用户进行网络管理。
SecBlade FW模块与基础网络设备融合,具有即插即用、扩展性强的特点,降低了用户管理难度,减少了维护成本。
此方案中防火墙插卡启用的功能主要有网络地址转换(NAT),内外网分域2大功能。在网络出口处启用NAT功能,将私有(保留)地址转化为合法的公网IP地址,是各种类型Internet接入方式中应用最广泛的一种。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
防火墙分域主要是使用访问控制功能。它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。主要技术有:包过滤技术,应用网关技术,代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。
, SecBlade采用H3C电信级硬件平台,通过多内核系统实现核心企业用户对安全设
备线性处理能力的需求。
, SecBlade 通过先进的OAA结构,实现与H3C 公司的路由、交换设备无缝融合,
通过硬件平台直接互联,实现了用户网络安全的深度防护。
, 增强型状态安全过滤:支持虚拟防火墙技术,支持安全区域间默认访问控制;支
持基础、扩展和基于接口的状态检测包过滤技术,支持按照时间段进行过滤;支持H3C
2011-5-12 校园网工程方案 第64页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
特有ASPF应用层报文过滤(Application Specific Packet Filter)协议,支持对每一
个连接状态信息的维护监测并动态地过滤数据包,支持对FTP、HTTP、SMTP、RTSP、H.323
(包括Q.931,H.245, RTP/RTCP等)应用层协议的状态监控,支持TCP/UDP应用的状
态监控。
, 抗攻击防范能力:包括多种DoS/DDoS攻击防范(CC、SYN flood、DNS Query Flood
等)、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、
超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、
Tracert报文控制功能、带路由记录选项IP报文控制功能;静态和动态黑名单功能;MAC
和IP绑定功能;支持智能防范蠕虫病毒技术。
, 应用层内容过滤:可以有效的识别和控制网络中的各种P2P模式的应用,并且对
这些应用采取限流的控制措施,有效保护网络带宽;能够识别和控制IM协议,如QQ、MSN
等;支持邮件过滤,提供SMTP邮件地址、标题、附件和内容过滤;支持网页过滤,提供
HTTP URL和内容过滤;支持应用层过滤,提供Java/ActiveX Blocking和SQL注入攻击
防范。
, 全面NAT应用支持:提供多对一、多对多、静态网段、双向转换 、Easy IP和
DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT
等NAT ALG功能;支持无限NAT转换。
, 支持IPSec VPN业务模式。
, 智能网络集成:支持路由、透明及混合运行模式;支持静态路由协议、路由策略
及策略路由;支持RIP v1/2、OSPF、BGP动态路由协议;支持基于802.1q VLAN;支持
DHCP Client/Server/Relay。
7.3.2 智能业务网关模块插卡
H3C IAG(Intelligent Application Gateway)是H3C公司面向运营商、企业、教育等用户开发的智能业务网关模块,具有完善的接入、认证、授权和计费功能。H3C IAG模块基于强大的多核、多线程处理器硬件平台,集BRAS业务网关和终端准入控制(EAD,End user Admission Domination)解决方案网关的功能于一体,提供大容量用户的终端安全接入、高密度端口、电信级可靠性、线速转发性能、完整的QoS机制、丰富的业务处理能力,是运营商宽带数据接入和业务运营方案的理想产品。
产品特点
2011-5-12 校园网工程方案 第65页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
, 灵活的用户接入认证方式
支持强大的PPPoE拨号、Portal认证、DHCP opt82认证、端口绑定等接入认证方式,提供高密度GE业务端口,可针对不同端口制定相应的某种或多种接入方式;同时支持免客户端认证方式以及免费IP访问功能;提供本地认证以及远程Radius认证方式。
, 丰富的计费策略
能够准确地采集用户的计费信息,包括用户上网时长和流量,并可向指定服务器抄送计费信息,提供计费保护机制;同时,支持不计费、一次性付费、后付费、基于时长或流量的预付费等多种计费策略,提供在指定时间内无流量时强制切断的功能。
, 大容量的用户策略
具有大容量的用户控制策略,通过与灵活的QoS机制、基于用户的策略下发功能进行配合,可实现对带宽资源、IP地址资源、会话资源等网络资源进行保护,大大增强了业务的灵活性、丰富性与安全性。
, 完善的QoS机制
支持高性能、高灵活度的QoS解决方案,提供先进的队列调度、拥塞避免、流量监管、流量整形、优先级标记等功能,可对各类终端所承载的各类业务进行控制,包括带宽CAR限制、访问权限控制、不同终端之间的互访权限控制等,可精确保证不同业务的带宽、时延、抖动和丢包率,满足不同用户、不同业务等级的“区分服务”。
, 丰富的路由能力
支持丰富的路由协议,包括静态路由、RIP、OSPF等各种路由协议,可提供大容量的路由表项。
, 易部署、易实施
通过使用IAG智能业务网关模块,可利于运营商网络的快速部署、简单实现,在企业异构网络环境中实现对网络改造、网络建设与升级的部署和实施,在高性能地实现大容量用户接入、保证网络安全性的同时,大大节省了网络改造带来的资产浪费和工作量。
, 运营商级高可靠
IAG智能业务网关模块按照电信级标准进行设计,作为业务插卡嵌入H3C WX6103/WX7300
设备中,降低了单点故障,保证了网络的高可靠性;并通过IGP快速收敛、VRRP、FRB快速路由备份等各种软件设计,可保障IAG智能业务网关在链路层和网络层的高可靠性,确保业务的不中断运行。
2011-5-12 校园网工程方案 第66页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
考虑到大学用户的技术性较强,在实际的应用的过程当中应当充分考虑到Proxy的使用,对于Proxy的防止,H3C公司针对教育系列交换机配合H3C公司的802.1X的客户端,一旦检测到用户PC机上存在两个活动的IP地址(不论是单网卡还是双网卡),教育系列系列交换机将会下发指令将该用户直接踢下线。
7.3.3 应用控制网关模块插卡
应用控制网关模块是全球唯一应用控制与行为监管模块。是业界第一款千兆高性能应用
00系列交换机和SR6600系列路由器,创新性控制模块,可应用于H3C S7500E/S9500E/S125
的将应用监控、审计与网络进行无缝融合。SecBlade ACG能对网络中的P2P/IM/VoIP带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制;同时,根据对网络流量、用户上网行为进行深入分析与全面的事后审计,并具有强大的URL过滤功能,进而全面了解网络应用模型和流量趋势,大大提升网络的业务控制能力,帮助用户优化其网络资源,为用户打造一个和谐、有序的网络环境。
SecBlade ACG模块与基础网络设备融合,具有即插即用、扩展性强的特点,降低了用户管理难度,减少了维护成本。
此方案中ACG插卡功能特点如下:
对P2P/IM/网游/媒体流等协议和应用的能够识别分类并进行灵活控制;使nternet出口使用可视化;规范内部学生上网行为,提高带宽的使用效率。
在校园网的应用当中IP地址的盗用是最为经常的一种非法手段,用户在认证通过以后将自己的MAC地址进行修改,然后在进行一些非法操作,网络设计当中我们针对该问题,在接入层交换机上提供防止MAC地址盗用的功能,用户在更改MAC地址后,教育系列交换机对于与绑定MAC地址不相符的用户直接将下线,其下线功能是由教育系列交换机来实现的。
7.3.4 无线控制器(AC)插卡
无线控制器业务插卡是安徽易科技术有限公司(以下简称H3C公司)自主研发的系列无线控制器(AC,Access Controller)。具有大容量、高可靠性、业务类型丰富等特点,具有丰富的有线数据和无线数据的处理功能,集精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS及IPv4&IPv6等多功能于一体,提供强大的WLAN接入控制功能。配合H3C公司自主研发的Fit AP,可以方便的部署于任何现有的二层网络或三层网络之中,控制
2011-5-12 校园网工程方案 第67页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
器和AP通过IETF制定的CAPWAP协议进行互联而无需针对现在有网络进行重新配置。
H3C公司使用创新的基于认证的组网来提供网络服务,这种方法基于用户身份而非端口或设备,以便跨越整个网络实现移动性和安全性。当用户漫游网络时,通过WLAN网络范围内无线控制器的信息交换,以实现在整个网络范围内执行一致的访问和安全策略。同时采用WPA/WPA2和802.1X认证结合的AES、TKIP以及WEP加密等功能增强了网络安全。
此方案中AC插卡能够对802.11n设备提供统一管理,对接入用户提供Portal认证和WAPI认证。提供多AP间的智能负载分担与信道智能切换功能。平滑支持IPv6,满足校园网组网需求。
7.3.5 入侵防御与检测
SecPath IPS(Intrusion Prevention System)集成入侵防御与检测、病毒过滤、带宽管理和URL过滤等功能,是业界综合防护技术最领先的入侵防御/检测系统。通过深入到7层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、DDoS等攻击和恶意行为,并对分布在网络中的各种P2P、IM等非关键业务进行有效管理,实现对网络应用、网络基础设施和网络性能的全面保护;领先的多核架构及分布式搜索引擎,确保SecPath IPS在各种大流量、复杂应用的环境下,仍能具备线速深度检测和防护能力,仅有微秒级时延,保证用户业务的不间断正常运行;支持透明模式,即插即用,支持在线或IDS旁路方式部署,融合了丰富的网络特性,可在MPLS、802.1Q、QinQ、GRE等各种复杂的网络环境中灵活组网;H3C专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告,经过分析、验证所有这些威胁,生成保护操作系统、应用系统以及数据库漏洞的特征库;同时,通过部署于全球的蜜罐系统,实时掌握最新的攻击技术和趋势,以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并自动或手动地分发到IPS设备中,使用户的IPS设备在漏洞被公布的同时立刻具备防御零时差攻击的能力;SecPath IPS是业界唯一集成漏洞库、专业病毒库、应用协议库的IPS产品,配合H3C FIRST(Full Inspection with Rigorous State Test)专有引擎技术,能精确识别并实时防范各种网络攻击和滥用行为。
, 强大的入侵抵御能力:SecBlade IPS是业界唯一集成漏洞库、专业病毒库、应用
协议库的IPS模块。配合H3C FIRST(Full Inspection with Rigorous State Test)专
有引擎技术,能精确识别并实时防范各种网络攻击和滥用行为。
, 专业的病毒查杀:SecBlade IPS集成卡巴斯基防病毒引擎和病毒库。采用第二代
启发式代码分析、iChecker实时监控和独特的脚本病毒拦截等多种最尖端的反病毒技术,
2011-5-12 校园网工程方案 第68页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
能实时查杀各种文件型、网络型和混合型病毒;并采用新一代虚拟脱壳和行为判断技术,
准确查杀各种变种病毒、未知病毒。
, 时差的应用保护:H3C专业安全团队密切跟踪全球知名安全组织和厂商发布的安
全漏洞公告,通过准确的分析,快速生成保护操作系统、应用系统以及数据库漏洞的特
征库;同时,通过部署于全球的蜜罐系统,实时掌握最新的攻击技术和趋势,以定期(每
周)和紧急(当重大安全漏洞被发现)两种方式发布,并自动或手动地分发到SecBlade IPS
模块中,使用户的SecBlade IPS模块快速具备防御零时差攻击的能力。
, 网络基础设施保护:SecBlade IPS具有强大的攻击防护和流量模型自学习能力,
当攻击发生、或者短时间内大规模爆发的病毒导致网络流量激增时,能自动发现并阻断
攻击和异常流量,以保护路由器、交换机、VoIP系统、DNS服务器等网络基础设施免遭
各种恶意攻击,保证关键业务的通畅。
, 灵活的组网模式:透明模式,即插即用,支持在线或IDS旁路方式部署;融合了
丰富的网络特性,可在MPLS、802.1Q、QinQ、GRE等各种复杂的网络环境中灵活组网。
, 高性能高可靠性:领先的多核架构及分布式搜索引擎,确保SecBlade IPS在各
种大流量、复杂应用的环境下,仍能具备线速深度检测和防护能力,仅有微秒级时延。
IPS模块通过嵌入到交换机中,可以有效降低单点故障,即使在SecBlade IPS出现故障
时也能保证数据业务的正常转发。除了在线部署,SecBlade IPS模块还可以采用旁路部
署的模式,实现IDS入侵检测的功能。
, 降低运营成本:直接在H3C S5800/核心交换机/ S9500E系列交换机中增加
SecBlade IPS模块,即可实现交换机应用层安全防护功能的扩展。通过与交换机共用管
理平台,降低了管理难度。并且交换机的任何端口都可以作为IPS端口使用,从而降低
用户首次和后续扩容的投入成本。
7.3.6 防病毒模块
防病毒模块ASM是应用于H3C SecPath防火墙/MSR路由器中的防病毒安全模块,具有查杀毒能力强、易部署、成本低、配置管理方便等特点。ASM防病毒模块可以快速有效的阻断蠕虫王、冲击波、麦托、尼姆达、震荡波和高波等网络蠕虫病毒的渗透,防御外部网络的蠕虫病毒、后门木马和垃圾邮件侵袭;采用面向对象的高稳定性设计和高应变型智能引擎,可以识别和处理未知病毒,降低网络风险;支持在线实时升级功能,能够实时升级病毒特征库及病毒引擎;支持对知名协议和文件的识别、处理,并且可以定制相应病毒防范策略。
2011-5-12 校园网工程方案 第69页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
一体化的安全保护
ASM嵌入防火墙/路由器中,在不改变原组网结构的情况下,与防火墙/路由器配合完成查杀病毒的工作,为用户提供一体化的安全保护。
先进的系统架构
先进的H3C OAA开放应用架构,确保ASM在各种情况下都不会影响防火墙/路由器的正常业务。独立的操作系统、CPU、内存和硬盘等计算资源,提供了高性能病毒查杀能力;动态的检测技术,有效规避了单点故障。
全面病毒防御
通过报文深度检查、识别应用层信息、协议命令入侵检测和阻断、蠕虫病毒防护以及先进的数据包验证机制,可以控制各种蠕虫网络攻击、后门木马和垃圾邮件扫描,并且阻断来自内部的数据攻击以及垃圾数据流的泛滥。
完备防御模式
ASM支持“变种共性特征比对”技术,可以实现对各种未知病毒的防御,最大程度降低用户损失。支持对各类文件类型进行病毒防御,可以设置多种防范策略。 强大日志审计
可按照用户设置的最长时间进行滚动保存;支持Syslog和Mysql日志记录格式,提供日志实时备份模块,能够实现日志异地存储。提供各种日志功能、流量统计和分析功能、事件监控和统计功能、邮件告警功能。当户的邮件中含有病毒时,ASM会把病毒信息清除后的邮件发送给收件人,并在邮件中标明该邮件感染过何种类型的病毒。
高效的流引擎
当用户访问网络时,防病毒功能实时检查传输流量,如果在流量中发现病毒,ASM将主动断开与客户端的连接,防止病毒信息对用户环境造成破坏。
友好的配置
ASM提供Web和命令行访问方式,具有友好、灵活和直观的操作界面,降低管理人员的配置工作。
2011-5-12 校园网工程方案 第70页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
7.4 安全管理组件职能
7.4.1 iMC智能管理中心平台
随着网络建设的不断深入发展,除了单纯的追求高带宽、高速率外,安全的网络、高效的网络和可运营的网络成为越来越多的用户关注的焦点,网络精细化管理也越来越深入人心,一套好的管理软件无疑对网络的精细化管理起到至关重要的作用。
基于多年的积累和对用户网络的深入理解,H3C智能管理中心(intelligence Management
Center,iMC)平台(以下简称iMC平台)为用户提供了实用、易用的网络管理功能,在网络资源的集中管理基础上,实现拓扑、故障、性能、配置、安全等管理功能,不仅提供功能,更通过流程向导的方式告诉用户如何使用功能满足业务需求,为用户提供了网络精细化管理最佳的工具软件。对于设备数量较多、分布地域较广并且又相对较为集中的网络,iMC平台提供分级管理的功能,有利于对整个网络进行清晰分权管理和负载分担。iMC平台除了涵盖网络管理功能外,还是其他业务管理组件的承载平台,共同实现了管理的深入融合联动。
其余软件均为IMC平台的组件进行部署和安装。(在第九章校园管理)
7.4.2 UBA用户行为审计组件
iMC UBA用户行为审计组件通过与多种网络设备共同组网,用来对终端用户的上网行为进行事后审计,追查用户的非法网络行为,满足相关部门对用户网络访问日志进行审计的硬性要求。
UBA用户行为审计组件提供NAT1.0日志、FLOW1.0日志、NetStream V5日志、DIG日志的查询审计功能,网络管理员可以根据网络日志对上网用户的网络行为进行审计。
全面的日志采集
UBA用户行为审计组件可支持多种网络日志的采集(包括NAT1.0、FLOW1.0、NetStream V5),对于不支持上述日志的设备,可以通过设备的镜像端口或TAP分流器采集网络流量生成DIG格式的日志。
, 分布式部署
UBA用户行为审计组件采用分布式的体系结构,支持多点采集,统一Web界面审计分析,可以同时采集多个设备的日志信息,为网络管理员监控网络提供了灵活有效的支持。
2011-5-12 校园网工程方案 第71页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
, 强大的日志审计功能
UBA用户行为审计组件可根据用户需要,通过接入用户名、上网时间、用户访问网页的URL、ftp操作文件及发送邮件的主题等各种条件的组合对网络日志进行快速审计,并对审计结果提供灵活的排序、分组、保存等功能。
网络管理员可以从海量的网络日志中精确审计终端用户的上网行为。终端用户何时访问了某网站、何时访问了某网页、发送了哪些Email、向外发送了哪些文件等信息均可通过日志审计得出结果,日志审计包括:
, 通用日志审计:审计内容包括接入用户名、用户上网起止时间、来源/目
的IP地址、来源/目的端口、使用的协议及应用名。
, Web访问审计:审计内容包括接入用户名、用户上网起止时间、来源/目
的IP地址、端口、用户访问的站点、用户访问的网页等。
, 文件传输审计:审计内容包括接入用户名、用户传输文件起止时间、来源
/目的IP地址、端口、ftp用户名、传输文件名、传输方式(上传/下载)
等。
, 邮件审计:审计内容包括接入用户名、邮件发送时间、来源/目的IP地址、
发件人、收件人、邮件主题等。
, 地址转换审计:审计内容包括接入用户名、用户上网起止时间、来源/目
的IP地址、来源/目的端口、使用的协议及应用名、NAT转换后IP地址/
端口等。
图1-1 日志审计界面
2011-5-12 校园网工程方案 第72页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
, 基于用户的行为审计
结合EAD端点准入解决方案,UBA用户行为审计组件可高效地管理网络用户,建立详细的用户访问互联网的日志,提供行之有效的网络管理和用户行为跟踪审计策略,帮助管理员分析用户的上网行为。
, 七层应用审计
端口不固定的应用,如P2P等应通过报文应用层数据的特征进行识别。基于七层应用的识别和分类,UBA可基于用户全面审计网络中的七层应用使用信息。
组件已经将大部分常见的端口不固定的应用设定为组件预定义的应用,如:BT、DC、eDonkey、Gnutella、 Kazaa、MSN、QQ、AIM等。用户可根据需要,定义其它的应用识别。七层应用识别只对DIG日志有效,对其他类型的日志无效。
, 任务式审计
UBA用户行为审计组件提供基于任务的自动跟踪审计功能,可以根据接入用户名、用户访问网页的URL等各种查询审计条件灵活制定审计任务。任务一旦制定,组件将自动跟踪审计当前时间段内满足查询条件的所有用户及日志信息。审计任务 包括:地址转换、Web访问、文件传输、邮件、通用等多种类型。
, 日志转储
UBA用户行为审计组件支持对海量日志进行转储。用户可以将敏感日志和由于数据库空间限制无法存储的日志定时导出到数据文件中进行异地保存,同时组件提供转储日志查询工具,用户可直接对转储日志进行查询操作。
, 审计报表
UBA系统提供专业的报表,包括访问站点、会话数、应用分布、未知应用的TopN报表,SMTP、HTTP、FTP的应用分析报表,每种报表都可以按照天、周等周期和图形、列表等形式输出。通过使用这些自带的报表,管理员可以非常清楚的了解当前用户对网络的使用情况。
2011-5-12 校园网工程方案 第73页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
图1-2 用户访问站点TopN日报表
7.4.3 UAM用户接入管理组件
业界传统的网络管理、用户管理软件各自发展已经较为完善,网络管理系统关注于网络基础资源的管理,包括路由器、交换机、服务器等,而用户管理则关注于对当前正在使用网络基础资源的用户的管理,包括对用户身份的认证、对用户信息的组织管理等,但实际上网络和用户是有机融合的整体,需要统一集中管理。
iMC智能管理中心的平台组件实现了完善的网络设备管理功能,在此的基础上,iMC智能管理中心用户管理组件将管理的范畴从网络设备延展到了网络用户的管理,通过网络设备管理和用户管理的深度融合和联动,在统一的平台上实现了用户、网络的集中管理。
2011-5-12 校园网工程方案 第74页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
, 集中化的设备资源和用户资源管理
, 除对网络设备的统一管理外,iMC也对用户基本信息进行集中维护,包括用户姓名、
证件号码、通讯地址、电话、电子邮件、用户分组;并提供用户附加信息管理功能,
管理员可根据网络运营的习惯进行用户信息定制,如学校可以定制学号、年级等信息,
企业可以定制部门、职务等信息。
, 设备和用户的统一分组管理
, 支持设备和用户分组功能,通过对设备资源和用户进行分组管理,系统管理员方便的分
配其他管理员的管理权限,便于职责分离。
, 接入业务服务和用户分组可灵活对应,使得特定分组用户才能配置对应的特定服务,便
于管理员进行接入业务管理。
, 用户管理与网络设备管理相融合,用户管理操作更简单
, 接入设备列表中可以直接看到用户相关信息,提高了操作员日常维护的效率。 , 设备选定后可直接对其进行用户操作,比如,针对某个接入设备,将其所挂的用户全部
下线处理等。
, 在线用户列表中提供接入设备查看入口,可查看当前在线用户所对应的接入设备的详细
信息,比如,对应的基本信息、告警、性能状况等。
, 网络设备管理和用户管理的全面融和,使得操作更友好,全面提升操作员操作体验。
2011-5-12 校园网工程方案 第75页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
, 支持多种接入及认证方式,适合多种接入组网场景及应用场景 , 支持802.1x、VPN接入等多种认证接入方式。
, 支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多种身份验证方式,适应不同安全要
求的应用场景。
, 支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定
认证,增强用户认证的安全性,防止帐号盗用和非法接入。
, 支持与Windows域管理器、第三方邮件系统(必须支持LDAP协议)的统一认证,避免
用户记忆多个用户名和密码。
, 支持终端准入控制(EAD)解决方案,确保所有接入网络的用户终端符合企业的安全策
略。
, 严格的权限控制手段,强化用户接入控制管理
, 基于用户的权限控制策略,可以为不同用户定制不同网络访问权限。 , 可以控制用户的上网带宽(QoS;802.1x认证支持)、限制用户同时在线数、禁止用户
设置和使用代理服务器,有效防止个别用户对网络资源的过度占用。 , 支持最大闲置时长限制。
, 可以实现对用户ACL、VLAN的控制,限制用户对内部敏感服务器和外部非法网站的访
问(802.1x认证支持)。
2011-5-12 校园网工程方案 第76页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
, 可以限制用户IP地址分配策略,防止IP地址盗用和冲突。
, 可以限制用户的接入时段和接入区域,用户只能在允许的时间和地点上网。 , 可以限制终端用户使用多网卡和拨号网络,防止内部信息泄露。
, 可以限制用户必须使用专用安全客户端,并强制自动升级,确保认证客户端的安全性。
, 详尽的用户监控,强化对终端用户的监视控制
, iMC用户管理组件提供强大的“黑名单”管理,可以将恶意猜测密码的用户加入黑名单,
并可按MAC、IP地址跟踪非法行为的来源。
, 管理员可以实时监控在线用户,强制非法用户下线。
, 支持消息下发,管理员可以向上网用户发布通知消息,如“系统升级,网络将在10分
中后切断”、“您的密码遭恶意试探,请注意保护密码安全”等。 , iMC用户管理组件记录认证失败日志,便于方便定位用户无法认证通过的原因。
, 集中方便的接入业务用户管理,简化管理员维护操作
, 基于服务的用户分类管理,用户的认证绑定策略、安全策略、访问权限均封装于服务中,
简化管理员的操作,保证网络管理模式的统一。
, 接入用户相关的管理动作集中化,界面对操作员来说更友好、更美观易用。 , 接入用户可使用自助服务,帐号申请、查询、修改都通过自助服务页面完成,既提高效
率,又减轻管理员的工作量。
, 灵活的业务及运行环境参数调整,适应不同的运行及应用环境 , 系统参数配置,提供业务相关的常用参数信息配置功能。
, 策略服务器参数配置,提供策略服务器及安全管理相关的参数信息配置功能。 , 运行参数配置,提供系统运行环境相关的路径、数据库属性等基本信息的能。 , 证书文件配置,提供证书认证配置信息功能。
, 用户提示信息配置,提供给用户的相关提示信息配置功能。
, 客户端自动运行任务配置,提供配置客户端认证后自动运行相关程序的配能。 , 用户密码控制策略配置,提供配置用户密码的控制策略配置功能。
, 融合的接入设备管理,操作简单、管理方便
2011-5-12 校园网工程方案 第77页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
接入设备配置与iMC ACL Manager解决方案的协同,选定接入设备后,可直接为此设备进行ACL配置;同时,在接入设备列表中,可查看其对应的ACL部署信息,便于快速部署及开通业务接入业务。
, 为接入设备提供查询设备明细信息的链接,可通过简单的鼠标点击看到接入设备的详细
信息,比如对应的基本信息、告警、性能状况等。
, 接入设备管理与拓扑管理的融合,拓扑中可以清晰的显示出接入设备,查看接入设备相
关信息,并可通过鼠标点击方式,将此接入设备设置为非接入设备。
, 智能的广告推送,适应不同网络运营方需求
, iMC UAM组件可以配合iMC管理平台,针对不同用户身份/接入位置进行不同的广告推
送业务,协助接入用户最快获取最需要的信息,从而可与第三方广告平台配合,适应不
同网络运营方需求,达成广告平台、网络运营方以及接入用户的三赢。
7.4.4 EAD端点准入防御解决方案
目前,在企业网络中,用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是,脆弱的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散,进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证企业网络安全运行的前提,也是目前企业急需解决的问题。
网络安全从本质上讲是管理问题。H3C端点准入防御(EAD,Endpoint Admission Defense)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。
对于要接入安全网络的用户,EAD解决方案首先要对其进行身份认证,通过身份认证的用户进行终端的安全认证,根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查,根据检查的结果,EAD对用户网络准入进行授权和控制。通过安全认证后,用户可以正常使用网络,与此同时,EAD可以对用户终端运行情况和网络使用情况进行审计和监控。
2011-5-12 校园网工程方案 第78页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
, 严格的身份认证
除基于用户名和密码的身份认证外,EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定,支持智能卡、数字证书认证,增强身份认证的安全性。
, 完备的安全状态评估
根据管理员配置的安全策略,用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置、资产管理、软件分发、U盘外设管理、远程协助等;为了更好的满足客户的需求,EAD客户端支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、Ahn等国内外主流病毒厂商联动,支持和微软SMS、LANDesk、BigFix等业界桌面管理产品的配合使用。
, 用户管理与网络设备管理的融合
接入设备列表中可以直接看到用户相关信息,操作简单方便,提高了操作员日常维护的效率。 , 可针对选定的接入设备进行用户操作,比如,针对某个接入设备,将其所挂的用户全
部下线处理等。
, 可在在线用户列表中通过点击接入设备,直接查看当前在线用户所对应的接入设备的
详细信息,比如对应的基本信息、告警、性能状况等。操作更友好,全面提升操作员的操
作体验。
, 用户管理与网络拓扑管理的融合
在拓扑上可以直观的操作接入设备、接入终端相关的用户管理功能。比如查看用户信息、强制用户下线、执行安全检查等。使终端用户的管理更加直观清晰。
2011-5-12 校园网工程方案 第79页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
, 基于角色的网络授权
在用户终端通过病毒、补丁等安全信息检查后,EAD可基于终端用户的角色,向安全联动设备下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一配置实施。
, 全面的ARP攻击防御
EAD解决方案通过ARP网关地址自动下发、自动绑定的功能,使终端用户免受ARP欺骗攻击的影响,同时提供了ARP攻击报文过滤、ARP异常流量检测等控制措施,杜绝恶意用户的ARP攻击行为。
, 桌面资产管理
EAD解决方案实现了对终端资产全方位的监控和管理,可以对终端软硬件使用情况、变更情况进行监控,同时还支持终端资产的配置管理和软件的统一分发、远程协助、桌面防火墙管理,帮助客户更有效地管理企业的桌面资产。
, U盘审计及外设管理
EAD解决方案可以对U盘和外设的访问过程进行监控,可以查看重要文件通过U盘拷贝时,有无存在不当使用行为。EAD还提供了对U盘和其他外设的管理功能,可以对终端用户的各种外设进行控制,有效防止重要信息的泄密,而且在离线状态下依然生效。
2011-5-12 校园网工程方案 第80页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
, 扩展开放的解决方案
EAD解决方案为客户提供了一个扩展、开放的结构框架,最大限度的保护了用户已有的投资。EAD广泛、深入的和国内外防病毒、操作系统、桌面安全等厂商展开合作,融合各家所长;EAD与第三方认证服务器、安全联动设备等之间的交互基于标准、开放的协议架构和规范,易于互联互通。
, 灵活方便的部署方式
EAD方案部署灵活,维护方便。EAD按照网络管理员配置的安全策略区别对待不同身份的用户,定制不同的安全检查和处理模式,包括监控模式、提醒模式、隔离模式和下线模式;此外,EAD还支持灵活的旧网改造方案和客户端静默安装等特性。
7.4.5 CAMS计费管理组件
网络早已融入到人们生活的方方面面,人们对网络的依赖性也日益增加。为了保护网络使用者的合法权益,也为了增加网络运营者的收益,需要对网络的使用进行收费。在实际生活中,需要进行计费管理的网络普遍存在,如:由运营商布设的商用网络,学校、小区宽带等园区网络,网吧等小型运营网络等,都是网络计费运营的典型例子。这些网络都有偿地提供服务,人们在获取网络资源的同时,还需要支付相应的费用。
依托iMC智能管理中心及UAM用户接入管理组件,iMC还提供了功能强大的CAMS计费管理组件。它可以稳定、高效地完成对网络接入用户的账务管理、计费管理等功能,满足各种网络可运营、可管理的需求。同时,它还提供丰富而开放的第三方接口,帮助管理员快速有效地与第三方系统进行对接。
在iMC平台可灵活扩展的基础上,CAMS计费管理组件还可以与EAD终端准入控制组件以及UBA用户行为审计组件进行很好的融合,为管理员提供从认证、计费到控制、审计全流程的具有强大竞争力的用户终端管理解决方案。
(将在第7章详细介绍)
7.4.6 APM应用管理组件
随着Web2.0、云计算、数据中心等信息技术的不断发展,企业的各种业务已经越来越紧密地与Internet结合在一起,由服务器、数据库、中间件等组成的应用信息系统也变得越来越复杂,对IT技术人员的要求变得越来越高,各种突发故障排除起来也越来越困难。因此,
2011-5-12 校园网工程方案 第81页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
企业急需一套经济实用、易于部署、功能全面、扩展灵活的IT运维管理解决方案,满足其不同层次的应用管理需求。
iMC应用管理组件(iMC Applications Manager,iMC APM)是为了帮助企业各种业务的监控管理需求而提供的应用监控管理解决方案,它提供了强大的系统与应用监控管理能力,可以对不同的业务系统、应用和网络服务(如服务器、操作系统、数据库、Web服务、中间件、邮件、其他关键应用等),进行远程监控和管理,从而充分满足金融、电力、政府、烟草、大企业等用户对各种关键业务和数据中心的监控管理需求。
iMC APM采用易于部署的Web架构,并提供友好的安装向导,即使是不熟悉相关技术的维护人员,也可以在半小时内安装完毕,并初步搭建起对企业各种应用提供监控的管理平台。iMC APM采用了agentless(无监控代理)的最新技术,不需要在被监控的服务器上安装监控代理,就可以通过Telnet、命令行等方式,对关键应用或资源进行远程监控,避免安装监控代理后对服务器造成的影响。APM为用户的整个业务基础架构提供各种视图,如Google视图等,可以从多个角度、多个层次,更清晰地监视各种应用程序和服务器的运行情况。iMC APM同时还提供自定义的监视器功能,允许用户对特殊应用进行定制化监控,满足用户的个性化需求。
iMC APM是一款基于Web的综合应用监控解决方案。它具有友好的中文图形化界面,给用户提供一个简单易用的应用管理控制台,同时具备智能化的中文安装及配置向导,帮助用户轻松实现软件安装及配置。iMC APM的界面友好,图形精美,操作简便,功能强大,可以让网管人员在短时间内掌握产品的使用,提高操作人员工作效率。APM具有以下特点: , 简便灵活的web架构,易于部署和使用
iMC APM基于B/S架构,安装过程非常简单,界面简洁明了,一般管理人员在短时间内就可以掌握,降低了部署和使用成本。一般情况下,用户不需要在服务器上安装专用的监控代理,只通过浏览器就可以使用APM的全部功能,方便管理和维护。
2011-5-12 校园网工程方案 第82页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
, 全方位的监视功能,更清晰地展示各种信息
iMC APM可以监视各种应用程序和服务器,包括应用服务器、数据库、操作系统、邮件服务器、Web服务器、各种服务以及自定义的监视器,可以为整个业务基础架构提供统一的视图。APM还提供监视器分组功能,可以将相关的设备关联到一个监视器组中,方便管理。APM提供Google地图视图功能,全球范围的所有监视组的状态都可以直观地表示出来。
, 故障根源分析,协助管理人员快速解决问题
APM可以对被监视参数设置阈值,在严重故障发生之前就发现问题,产生告警,从而实现主动的监控,大大提高了服务的可用性。iMC APM通过智能事件-告警关联分析技术,在产生告警的同时生成根本原因分析,协助管理人员对故障进行处理,减少了故障时间。iMC APM
2011-5-12 校园网工程方案 第83页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
支持各种标准的通知方式,如发送电子邮件、短信、SNMP TRAP、记录工单,也可执行自定义的程序来自行修复故障,使用户不需要坐在电脑前,就可以获得告警信息,从而能够及时地解决问题。APM用不同的颜色来表示不同重要度的警报,让管理人员一目了然,快速掌握整个业务基础架构的情况。管理人员还可以对告警添加注释,为今后的故障处理提供了参考。
, 丰富的报表功能,便于工作总结和
iMC APM为所有的监视器及其重要参数提供了内置报表,通过报表用户可以查看这些监视对象一段时间内的变化趋势。iMC APM可以提供日报表、周报表、月报表、年报表、自定义时间报表还有排行报表,报表可以导出为pdf、csv格式,打印报表,也可以通过E-mail发送报表。iMC APM还提供日程报表,可以计划需要生成报表的时间,并发送到指定的邮箱中。
2011-5-12 校园网工程方案 第84页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
, SLA水平测量,服务质量更有保障
iMC APM可以帮助管理员创建服务级别协议(SLA),当资源的总停机时间、可用性(,)、平均修复时间、平均故障间隔时间、故障数等指标没有达到服务协议的要求时,可自动通过电子邮件逐步进行警告和升级。
, 应用与拓扑融合管理,IP与IT的完美结合
iMC APM与iMC智能管理平台实现了完美的融合,不仅可以从业务的角度进行管理,也可以从网络的角度直接监控业务。在iMC管理平台的拓扑图中可以选择被监控的服务器,直接查看被监控的各种业务系统的运行信息。也可调用APM的应用监控功能,查看进一步的应用名称、应用类型、可用性状态和健康状况。
2011-5-12 校园网工程方案 第85页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
7.4.7 WSM无线运营管理组件
近几年来,网络已经融入到人类生活的方方面面,生产办公、交通运输、医疗卫生、休闲娱乐无一不在使用网络,随着网络的快速发展,网络业务层出不穷,人们越来越多地需要时时刻刻地能够接入网络,于是笔记本电脑用户日渐增多,手机、PDA不断普及,更多的便携式网络接入设备进入人们的视线,而无线网络以其施工简单、接入方便逐渐被人们所喜爱。这种情况下,传统的有线网络连接形式已经无法应付新的生活方式所带来的挑战。
作为接入层网络,无线网络维护工作量较大,加之无线网络的灵活性和不可见性,对无线网络的管理需求也较有线网络更加强烈。无线网络直接面对最终用户,对管理系统稳定性、实时性、有效性要求都较高。
WSM无线运营管理组件依托iMC智能管理平台,实现有线无线一体化的管理,在iMC系统全面的有线网络管理的基础上,为管理员提供无线网络管理能力。管理员无需重新搭建IT管理平台,即可在原有的有线网络管理系统中增加无线管理功能,与有线管理平台统一部署,节省用户投入,节约维护成本。
(将在第9章详细介绍)
7.5 H3C SecCenter 安全管理中心
H3C SecCenter是业界管理功能最强大的软硬件一体化安全管理中心,能对各类网络、安全产品进行统一管理,提供超过1000种网络安全状况与政策符合性审计报告。
H3C SecCenter基于先进的深度挖掘及分析技术,集安全事件收集、分析、响应等功能为一体,解决了网络与安全设备相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位困难等问题,使IT及安全管理员脱离繁琐的管理工作,极大提高工作效率,能够集中精力关注核心业务。
管理功能业界最强
集成日志采集器、数据库、大容量存储、日志分析、审计、报表等功能部件,可对H3C ACG、AFC、IPS、UTM等安全设备进行集中管理,利于网络的快速部署、全面了解设备的运维信息,是业界唯一能同时支持NetStream、NetFlow、cFlow、Syslog、Windows WMI、ODBC等国内外
2011-5-12 校园网工程方案 第86页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
主流日志采集方式的安全管理中心,并对各类网络、安全产品进行统一安全信息与事件管理,能实时、全面地了解全网安全状况。
智能分析与联动
对来自于网络、安全、操作系统、数据库、存储等设施的安全信息与事件进行分析,关联和聚类常见的安全问题,过滤重复信息,发现隐藏的安全问题,使管理员能够轻松了解突发事件的起因、发生位置、被攻击设备和端口,并能根据预先制定的策略做出快速的响应,保障网络安全。
强大的日志管理
采用主动收集、被动接收等多种方式,提供有价值的集中化日志管理,并对不同类型格式的日志进行归一化处理。同时,采用高聚合压缩技术对海量事件进行存储,并可通过自动压缩、加密和保存日志文件到DAS、NAS或SAN等外部存储系统,避免重要安全事件的丢失。
完善的报告
提供设备、主机、应用系统、漏洞、网络流量、主机资产、法规遵从(如SOX、HIPAA、GLBA、FISMA等法案和条例)七大类报告,基本覆盖了所有安全相关的信息,并支持以PDF、HTML、WORD、TXT等多种格式输出;同时可通过Web界面进行定制报告,定制内容包括数据的时间范围、数据的来源设备、生成周期、输出类型等。
业界领先的处理性能
超过10000条/秒的事件处理能力和15000条/秒的流日志处理能力,业界领先。
7.6 核心层网络安全规划设计
核心交换机支持多种安全业务插卡可以进行有效的网络区域隔离
考虑到数据中心服务器群的数据安全和网络服务的重要性,利用在主节点核心交换机配置的相关安全插卡可以实现有效的网络隔离。如通过以下案例进行分析:
2011-5-12 校园网工程方案 第87页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
防火墙是网络层的核心防护措施,它可以对整个网络进行网络区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制;对常见的网络攻击方式,如拒绝服务攻击(ping of death, land, syn flooding, ping flooding, tear drop, …)、端口扫描(port scanning)、IP欺骗(ip spoofing)、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。
IPS入侵防御是通过深达7层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为,并实现对网络基础设施、网络应用和性能的全面保护。
数据中心需要通过防火墙进行有效的隔离,网络安全隔离一直是Internet技术发展的重要研究课题。以太网技术如何和安全隔离技术融合,提供给某大学用户一个安全、可靠的网络环境是以太网交换机在组网应用中一个常见的问题。为了能够确保用户的安全需求,并提供一体化的解决思路,可以根据用户对于安全防护的考虑,将Secure VLAN技术融入到VLA技术中,可以实现对内网,DMZ多个区域的保护,可以用于内网的VLAN跨区域保护。
2011-5-12 校园网工程方案 第88页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
7.7 接入层网络安全规划
7.7.1 端口,IP,MAC地址的绑定:
用户上网的安全性非常重要,H3C E126A系列可以做到,端口+IP+MAC地址的绑定关系,H3C E126A系列交换机可以支持基于MAC地址的802.1X认证,整机最多支持1K个下挂用户的认证。MAC地址的绑定可以直接实现用户对于边缘用户的管理,提高整个网络的安全性、
、IP、VLAN等进行绑定,当可维护性。如:每个用户分配一个端口,并与该用户主机的MAC
用户通过802.1X 客户端认证通过以后用户便可以实现MAC地址,端口,IP,用户ID的绑定,这种方式具有很强的安全特性:防D.O.S的攻击,防止用户的MAC地址的欺骗,对于更改MAC地址的用户(MAC地址欺骗的用户)可以实现强制下线。
7.7.2 接入层防Proxy的功能
考虑到大学用户的技术性较强,在实际的应用的过程当中应当充分考虑到Proxy的使用,对于Proxy的防止,H3C公司E126A系列交换机配合H3C公司的802.1X的客户端,一旦检测到用户PC机上存在两个活动的IP地址(不论是单网卡还是双网卡),E126A系列交换机将会下发指令将该用户直接踢下线。
7.7.3 MAC地址盗用的防止
在校园网的应用当中IP地址的盗用是最为经常的一种非法手段,用户在认证通过以后将自己的MAC地址进行修改,然后在进行一些非法操作,网络设计当中我们针对该问题,在接入层交换机上提供防止MAC地址盗用的功能,用户在更改MAC地址后,E126A系列交换机对于与绑定MAC地址不相符的用户直接将下线,其下线功能是由E126A系列交换机来实现的。
7.7.4 防止对DHCP服务器的攻击
使用DHCP Server动态分配IP地址会存在两个问题:一是DHCP Server假冒,用户将自己的计算机设置成DHCP Server后会与局方的DHCP Server冲突;二是用户DHCP Smurf,用户使用软件变换自己的MAC地址,大量申请IP地址,很快将DHCP的地址池耗光。
H3C E126A系列交换机可以支持多种禁止私设DHCP Server的方法。
2011-5-12 校园网工程方案 第89页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
Private VLAN
解决这个问题的方法之一是在桌面交换机上启用Private VLAN的功能。但在很多环境中这个功能的使用存在局限,或者不会为了私设DHCP服务器的缘故去改造网络。
访问控制列表
对于有三层功能的交换机,可以用访问列表来实现。
就是定义一个访问列表,该访问列表禁止source port为67而destination port为68的UDP报文通过。之后把这个访问列表应用到各个物理端口上。当然往端口一个个去添加访问控制组比较麻烦,可以结合interface range命令来减少命令的输入量。
新的命令
因为它的全局意义,也为了突出该安全功能,建议有如下单条命令的配置:
service dhcp-offer deny [exclude interface interface-type
interface-number ][ interface interface-type interface-numbert | none]
如果输入不带选项的命令no dhcp-offer,那么整台交换机上连接的DHCP服务器都不能提供DHCP服务。
exclude interface interface-type interface-number :是指合法DHCP服务器或者DHCP relay所在的物理端口。除了该指定的物理端口以外,交换机会丢弃其他物理端口的in方向的DHCP OFFER报文。
interface interface-type interface-numbert | none:当明确知道私设DHCP服务器是在哪个物理端口上的时候,就可以选用这个选项。当然如果该物理端口下面仅仅下联该私设DHCP服务器,那么可以直接disable该端口。该选项用于私设DHCP服务器和其他的合法主机一起通过一台不可网管的或不支持关闭DHCP Offer功能的交换机上联的情况。选择none就是放开对dhcp-offer的控制。
7.7.5 防止ARP的攻击
随着网络规模的扩大和用户数目的增多,网络安全和管理越发显出它的重要性。由于校园网用户具有很强的专业背景,致使网络黑客攻击频繁发生,地址盗用和用户名仿冒等问题屡见不鲜。因此,ARP攻击、地址仿冒、MAC地址攻击、DHCP攻击等问题不仅令网络中心的老师头痛不已,也对网络的接入安全提出了新的挑战。
ARP攻击包括中间人攻击(Man In The Middle)和仿冒网关两种类型:
中间人攻击:
2011-5-12 校园网工程方案 第90页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
按照 ARP 协议的原理,为了减少网络上过多的 ARP 数据通信,一个主机,即使收到的 ARP 应答并非自己请求得到的,它也会将其插入到自己的 ARP 缓存表中,这样,就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个 ARP 应答包,让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。
仿冒网关:
攻击者冒充网关发送免费ARP,其它同一网络内的用户收到后,更新自己的ARP表项,后续,受攻击用户发往网关的流量都会发往攻击者。此攻击导致用户无法正常和网关通信。而攻击者可以凭借此攻击而独占上行带宽。
在DHCP的网络环境中,使能DHCP Snooping功能,E126A交换机会记录用户的IP和MAC信息,形成IP+MAC+Port+VLAN的绑定记录。E126A交换机利用该绑定信息,可以判断用户发出的ARP报文是否合法。使能对指定VLAN内所有端口的ARP检测功能,即对该VLAN内端口收到的ARP报文的源IP或源MAC进行检测,只有符合绑定表项的ARP报文才允许转发;如果端口接收的ARP报文的源IP或源MAC不在DHCP Snooping动态表项或DHCP Snooping静态表项中,则ARP报文被丢弃。这样就有效的防止了非非法用户的ARP攻击。
2011-5-12 校园网工程方案 第91页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
第8章 网络认证和计费管理及上网行为审计
某大学的网络规模非常庞大,用户数量众多,网络使用中免不了出现很多不和谐的声音:账户盗用,恶意欠费,黑客攻击,反动言论等。这些不和谐的行为影响了正常的网络使用,造成了许多安全隐患。为了消除这些隐患,我们需要引入网络认证管理技术,规范网络使用,在提供体现公平、共享原则的同时保护绝大多数用户的权利。在提出解决方案之前我们将相关需求做一简单分析:
准确的用户身份确认
校园网计费用户分为两类,一类是不计费,另一类是计费。但是无论是计费还是不计费我们都需要对其身份进行准确的识别。这是网络安全的需要,同时也是做到准确计费的需要。但是如何进行用户身份确认呢,这就需要通过认证技术来实现。目前认证技术有许多,如WEB认证,802.1x认证,PPPOE认证。这些认证技术各有千秋,PPPOE技术被广泛的应用在宽带小区,WEB认证被应用在一些信息系统内,而802.1x认证被应用在广大的校园内。这是因为802.1x认证具最大的特点是简单,无需特殊的设备支持,同时支持任何网络应用。正是这一点打动许多学校老师的心。本方案将以802.1x认证用户身份确认技术。
全方位的用户管理方案
用户的管理随着网络的扩大逐步显得更加的重要,从目前的校园网的建设来看,不同的学校有着不同的网络的管理方式,如:MAC绑定、IP地址的绑定、卡号密码的绑定等,不同方式各有千秋。在某大学的网络认证管理方面,其我们用户建议采用MAC地址,端口的绑定技术来作为整个校园网管理的主要方式,H3CE126A/E152系列接入层交换机支持多种绑定技术,同样支持MAC地址,端口的绑定方式,这样对于用户可以直接做到端到端的绑定方式。
H3C IMC智能管理中心通过组件化的形式进行部署,可以依据实际应用进行部署管理,它除了拥有强大的设备管理功能,还拥有丰富成熟的终端管理功能、网络接入认证和计费管理功能,并且支持大用户量的在线用户,同时支持分权分布式管理。
8.1 用户管理认证和计费概述
认证管理方案是一个整体的方案,因此本次主要在新建校园网内实施相应的管理措施。而且从校园网实际使用情况看,学生宿舍区的网络建设中认证管理是最为突出的问题,考虑到学生的技术水平较高、学校内喜欢攻击网络的学生较多,在实际的建网过程当中应当充分
2011-5-12 校园网工程方案 第92页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
考虑到这些因素可能会带来的相关问题,在组网建设过程当中避免。综合考虑,H3C公司在实际的在建网的过程当中遵循了以下几点要求:
认证交换机
本次方案所采用的所有交换机都支持802.1x认证。考虑认证的效率,本次认证主要由接入层H3C E126A/E152系列交换机来完成。并能够提供强大的业务功能:如:MAC地址绑定等功能。
网管平台
网管软件对于用户来说是维护网络的重要工具,H3C公司 IMC网管平台可以为用户提供强大的维护功能,同时可以对所管理的接入层交换机进行批量配置,避免用户繁琐的工作,同时IMC可以对端口流量进行设置阀值告警,发现用户端口流量较大(如:病毒攻击),可以通过网管将端口关闭避免大量垃圾报文,维护网络安全。
8.2 业务认证、授权管理描述
认证管理是接入层交换机和认证软件平台重要的特性,本次我们建议采用802.1X的认证方式作为接入认证的方式。
802.1X协议是IEEE在2001.6通过的正式标准,标准的起草者包括Microsoft,Cisco,Extreme,Nortel等;802.1X定义了基于端口的网络接入控制协议(port based network
access control),该协议适用于接入设备与接入端口间点到点的连接方式,其中端口既可以是物理端口,也可以是逻辑端口。H3C公司的网络设备对802.1x做了扩充,使其可以基于MAC地址进行网络接入控制。IEEE 802.1X的体系结构中包括三个部分:
(1) Supplicant System--用户接入设备
(2) Authenticator System--接入控制单元
(3) Authentication Sever System--认证服务器
802.1X的认证系统部分Authenticator;用户接入设备接入层LANSWITCH设备需要实现
(PC)需要有802.1x的客户端软件;认证服务器可以是802.1x的服务器,也可以是传统的Radius服务器;
2011-5-12 校园网工程方案 第93页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
Supplicant PAELAN
授权/非授权通断开关
PAEService by
AuthenticatorAuthenticator
Authentication Srv
传输介质为点对点以太网(即PC直接通过网线连接到LSW的端口),如果是共享式以太网,则需要采用加密的方式(MD5)传递认证信息。
概念解释:PAE,即port access entity之缩写,意为端口接入实体
Supplicant PAE:发起接入请求的PAE,指一般PC
Authenticator PAE:驻留在接入设备上的验证模块PAE
受控端口是802.1X系统的核心概念
(1) Authenticator 内部有受控端口(Controlled Port)和非受控端口(Uncontrolled Port)。
(2) 非受控端口始终处于双向连通状态,主要用来传递 EAPOL 协议帧,可保证 Supplicant 始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
(3) 受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。输入受控应用在集中桌面管理的应用场合,例如管理员即使在客户端关机的情况下也能将通过受控端口向用户计算机发送远程开机命令。
(4) H3C公司的COMWARE平台的802.1X子系统扩展了多种受控端口类型,以支持复杂的应用环境。
802.1X的认证模式:端口认证模式:
ForceAuthorized:常开模式。端口一直维持授权状态,设备端不主动发起认证;
ForceUnauthorized:常关模式。端口一直维持非授权状态,忽略所有客户端发起的认证请求;
Auto:协议控制模式。设置端口初始状态为非授权状态,使端口仅允许EAPOL报文收发,如果认证流程通过,端口切换到授权状态;
COMWARE的802.1X子系统允许一个物理端口下有多个受控端口,在一个物理端口下的所有受控端口只能配置成相同的端口认证模式,这种限制是为了方便管理员配置。802.1x协议定义了一种基于port的认证方法,在协议中允许允许一个物理端口下有多个受控端口,应该
2011-5-12 校园网工程方案 第94页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
是为了便于实现对802.1x的扩充,如在物理端口下开发基于MAC地址的认证,每个MAC地址将有一个动态的逻辑端口,逻辑端口的状态是受控的。也可以开发基于VLAN的认证,等等。
端口类型:
(1) 逻辑端口(默认):一个逻辑端口对应一个物理端口,对应一个Authenticator PAE状态机实体。这种端口类型的802.1x认证与PPPoE和WEB认证方式相比,有缺陷,无法灵活地应用到运营商的宽带城域网(可参考H3C技术报上的<<802.1x认证技术>>一文)。
(2) 逻辑端口,源MAC: 这种类型的受控端口为每一个客户端创建一个Authenticator PAE状态机实体。每个物理端口上受控端口的个数是有限制的(可配置),当有客户端发送EAPOL-Start请求认证报文时提取客户端源MAC地址,做为受控端口的标识。客户端注销时对应的受控端口资源被释放。
(3) 逻辑端口,VLANID+源MAC: 这种扩展的受控端口类型,主要是配合S3000+LANSWITCH方式组网, S3000上实现的802.1X受控端口类型,逻辑端口+VLANID可以定位到下层LANSWITCH的物理和逻辑端口,源MAC地址可以区分到客户端。
H3C公司网络产品支持以下的基本认证方式:
本地认证:接入设备根据用户名在本设备的数据库查找,若存在相同的用户名和密码则验证通过,否则验证失败。
Radius认证:接入设备通过Radius报文与Radius服务器交互报文,由Radius服务器完成对用户身份合法性的验证。
PAP认证:Password Authentication Protocol,用户以明文的形式把用户名和他的密码传递给接入设备的验证方式。
CHAP认证:Challenge Handshake Authentication Protocol,当用户请求上网时,接入设备生成一个16字节的随机码给用户,同时还有一个ID号及接入设备的host name。客户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密,生成一个response传给接入设备,接入设备根据用户名在本端或Radius服务器查找,得到和用户端进行加密所用的一样的密码,然后根据原来的16字节的随机码进行加密,将其结果与Response作比较,若相同表明验证通过,否则验证失败。 CHAP认证时,密码经过了MD5算法加密处理,防止报文被截获。
某大学学院802.1X的认证过程
2011-5-12 校园网工程方案 第95页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
首先某大学学院的端口模式采用常关模式,首先上网学生通过802.1X的客户端收入用户名、密码后客户端发起EAP报文至802.1X serverE126A/E152系列,在E126A/E152系列上终结EAP报文,然后从E126A/E152系列再次发起Raduis报文至认证服务器Raduis Sver,由Raduis Server来验证用户名、密码是否匹配,在认证通过以后由认证服务器下发Raduis报文至E126A/E152系列通知该用户认证通过,E126A/E152系列再将相对应的端口打开,允许学习MAC地址,允许用户上网。
802.1X 的认证方式最为主要的三点是:1.认证的802.1X的客户端的功能。2.认证的802.1XServer;3.与认证服务器的配合。H3C公司自主开发的802.1X客户端以及认证服务器,在实际的应用中配合H3C的接入层交换机E126A/E152系列最终完成802.1X的认证。 8.3 CAMS对用户上网认证的管理
8.3.1 用户需求分析
某大学校园网的管理基本上分为以下几个方面:
用户信息的搜集
用户信息的搜集是网络开通前网管人员的首要任务,此时需要搜集的信息可能包含有:学生的学号、用户主机的MAC地址、用户接入的端口、分给用户的IP地址、用户的性别、用户的宿舍号、用户的学院、或是我们需要用户提供的相关特性。此过程可能是用户工作量最大的一个过程。
学生用户的开户
开户的过程是网络人员的针对用户的需求进行开户,用户把钱交给网络中心为用户提供开户业务,提供给用户网络资源。
网络安全控制
该过程是网管人员对上网用户进行实时检测的过程,网管人员要确保网络的安全,要对用户上网的动作进行监控,并有效的防止网络当中存在的各种非法操作用户。
„„
总之,整个网络的开通、运行、维护是一个持续、巨大工作量的过程,网管人员是这些任务的承担者。
2011-5-12 校园网工程方案 第96页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
8.3.2 CAMS解决方案
下面我们再来看一下CAMS是如何解决用户的相关问题。
用户相关信息的搜集
CAMS的“用户预注册”解决网管人员搜集用户信息中遇到的问题,传统的方式是通过网管人员的信息录入来搜集客户的信息,这种方式使得网管人员的工作量剧增。举例来说,一个5000用户的开户工作,我们假设1个用户的录入工作需要2分钟(包括检查用户提供的信息是否正确),5000用户需要的工作量就是5000×2,10000分钟,共计166小时,按照一天8小时工作时间计算,共需要21天,这样的工作量对网管人员来说是不可忍受的,CAMS支持用户预注册功能,所有的用户名密码等信息都由用户自己输入,而且用户如果我们还需要部分信息还可以进行定制。
用户预注册:
用户预注册可以帮助用户在开户前的相关信息的搜集,用户可以通过固定的网上申请用户名、密码等相关信息,而且网管人员需要搜集的信息可以在“用户附加信息”中进行自行定义,定义的方式也是可选的,可以是下拉菜单方式的、也可以是输入的,为了避免用户输错,可规定输入文档的格式,详见“用户附加信息”。我们可以在用户预注册的时候要求用户输入我们要搜集的相关MAC、学号、学院等信息。
用户附加信息:
用户附加信息是为了给网管人员自助定义用户信息的工具,每个网管人员标识用户的方法、种类可能各不相同,用户附加信息如下所示:
2011-5-12 校园网工程方案 第97页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
网管人员可以在用户附加信息选项中灵活定义需要用户输入的信息,同时可以选择这些字段是否在用户预注册时必须输入。这样用户信息的搜集就由网管人员主动搜集变为用户主动上报,网管人员需要作的更多的是用户开户时信息的确认。
1) 开户过程
我们刚才讲了用户通过预注册的功能可以实现在网上进行预注册,那接下来应该做些什么呢,接下来网管人员要在CAMS上先定义用户群的服务(即:计费策略及管理策略),如:用户群体A,采用包月的方式;用户群体B采用按时长收费的方式;用户群体C „„。
服务策略的配置:
服务的配置当中含有多种的策略,包括:计费策略、绑定策略、安全策略等等。如图所示:
2011-5-12 校园网工程方案 第98页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
在服务策略中,我们可以讲用户的IP、MAC、交换机端口、VALN、账号等多种元素进
行绑定,也可以选择性的进行绑定;计费策略中我们可以规定按时长收费还是包月收费;
同时CAMS也是配置是否对客户端的Proxy检测启用安全策略,对于Proxy的防止同样也
是多种方式的;同时CAMS可以实现用户的获取IP地址方式的定义。
用户缴费开户(三“点”一“输入”)
用户缴费开户对于CAMS来说再简单不过了,一个用户的开户只需要进行鼠标轻轻的点击三下、输入一次,就可以实现。具体的步骤如下:
首先,在用户预注册清单中找到用户提交的预注册信息:
我们在预注册用户管理中找到了刚才刚刚预注册的用户名为“xulixian”的用户,下面我们来进行所谓的“三点一输入”来进行开户。
正式注册:
一点击“正式注册”
2011-5-12 校园网工程方案 第99页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
一输入用户的缴费信息,二点击用户的服务(学生包月),三点击确定。一个用户的开户过程就是如此简单,加上用户预注册中的相关信息的检查,一个用户10秒钟就可以轻松的开户,5000用户的网络10几个小时就可以完成开户工作,大大减少了网管人员的额工作量。
自定义开户。
用户的开户还可以通过CAMS进行自定义的开户,也就是每个账号是由网管人员进行开户的,所有的信息都时网管人员自己录入,当然,网管人员可以通过CAMS进行批量的用户开户,或是采用与原有的数据库批量导入。这种方式与用户预注册的方式相比就显得有些麻烦。 2) 网络安全控制
CAMS除了可以大大减少用户的工作量以外,还可以给用户提供强大的安全管理措施。
元素的绑定技术。CAMS可以实现通过AAA服务器的IP、MAC、VLAN地址等绑定技术,在实际应用的过程当中,CAMS可以对接入用户的各种元素进行绑定对于各种元素的灵活绑定可以实现各种接入方式,如:绑定MAC与账号,就可以实现账号与主机的对应;绑定IP、MAC、端口、VLAN、账号,就可规定用户采用自己的主机、规定的IP、从规定的端口进行接入。元素的绑定技术对于网络的管理安全起了重要的作用,通过元素的绑定技术可以大大提高网络的安全性。
2011-5-12 校园网工程方案 第100页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
访问时间的控制
CAMS可以实现对接入用户的上网时间的规定,网管人员可以规定用户允许接入的时间段,如:上午6:00—晚上12:00,在这段时间内允许用户接入网络,其余时间,禁止接入。
Proxy用户的禁止
CAMS可以对接入层用户进行有效的控制,配合H3C的802.1X客户端可对各种Proxy用户进行禁止。屏蔽非H3C客户端,可以实现对于非H3C客户端的用户禁止接入;屏蔽IE代理,对于在IE中设置代理的用户可以实时进行检测,一旦发见,禁止用户进行上网操作;屏蔽双网卡,对于存在两个活动网卡的用户,CAMS可以通知用户存在两个活动的网卡,用户必须对其中的一个网卡进行禁用才能够接入网络;对于任何形式代理的禁止,CAMS可以实现对任何形式的Proxy用户的禁止,无论用户采用何种Proxy的方式,如果不产生Proxy动作就不进行操作,当用户一旦发生了Proxy的动作,CAMS就下发下线通知,强制用户下线,对于以上的Proxy禁止方式,是可以进行灵活选择,满足不同组网需要。
黑名单
CAMS支持对用户的非法动作进行判断,屏蔽的功能,当某用户通过自己的主机验证别人的用户名、密码时,当其三次认证不通过就将自动屏蔽该用户在这台主机的认证,只有第二天才能够重新认证,认证的同时并将该用户账号以及对应验证主机的MAC地址进行记录,便于事后的追查。
3) 灵活、开放的计费策略
CAMS系统采用开放、抽象的计费模型,具有良好的适应性和扩充性,能够满足不同应用场合的计费需求,用户可以根据运营的需要轻松定制计费方式和费率。
支持纯包月、包月限时、包月限流量等易于管理的包月型计费方式。
支持包月暂停的功能,可以使用户的包月截止日期顺延,并支持用户认证上网自动取消暂停。
包月计费。
CAMS可以实现包月计费的策略,对于用户来说可以实现包月计费策略,同时CAMS可以支持包月暂停功能,用户可以自助登陆到自助服务页面,点击“暂停”,便可以实现用户的包月暂停,无需通过网管中心工作人员,大大减轻了工作人员的工作量。
CAMS可以实现按流量计费的策略,CAMS与MA5200或MA5200配合可以实现用户按流量收费的计费策略,同样可以限制用户的流量,即包月限流量,当用户的流量达到包月数值时,CAMS可强制用户下线。
2011-5-12 校园网工程方案 第101页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
支持按使用量分档计费和奖励:对不同的使用量设置不同的费率,用的越多越便宜。
支持时段优惠:在正常费率的基础上对在某些时段的接入给予一定的折扣优惠,如周末优惠、假日优惠等。
基于不同目的IP地址的流量计费策略。CAMS可以实现基于不同目的IP或源IP地址采用不同计费策略的方式,满足用户的不同需求。
不同账号不同网段访问权的策略。CAMS可以根据用户需求,与BAS配合实现对于不同账号对应不同目的访问权的功能,用户的账号可以分为多种权限账号进行设定。
4) 批量操作功能
为了减少用户的工作量,CAMS可以支持账号的批量配置,网管人员可以通过网络对
用户进行批量的账号续费、批量的账号注册、批量的时间补偿、加入黑名单等工作,大
大减少了用户的工作量,提高了工作效率。
2011-5-12 校园网工程方案 第102页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
5) 完善的用户行为监控
CAMS提供强大的“黑名单”管理策略,可以将恶意猜测密码的用户加入黑名单,并可按MAC、IP地址跟踪非法行为的来源。
管理员可以实时监控在线用户,强制非法用户下线。
支持消息下发,管理员可以通过CAMS向上网用户发布通知消息,如“系统升级,网络将在10分中后切断”、“您的密码遭恶意试探,请注意保护密码安全”等。
CAMS记录认证失败日志、并可以全面跟踪用户上网流程,方便定位与解决用户无法接入、异常断线等问题。
2011-5-12 校园网工程方案 第103页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
6) 与硬件平台无关
CAMS基于linux操作系统,并可实现基于不同的硬件平台,Linux操作平台可以实现对各
种基于Windows平台的病毒进行屏蔽,更大程度上满足了网络的高安全性要求。
7) 准确、实用的账务处理
CAMS系统采用开放、抽象的计费模型,具有良好的适应性和扩充性,能够满足不同应用场合的计费需求,用户可以根据运营的需要轻松定制计费方式和费率。
支持实时预付费和后付费两种付费方式,满足不同用户群的消费习惯
支持营业厅缴费、充值卡缴费以及批量缴费,简化管理员和用户的续费操作。
支持手工出账及自动出账,便于及时对临时性用户(比如酒店客户)进行费用结算。
CAMS记录详尽的用户上网明细、账单和缴费信息,提供查询与打印功能,有效避免
账务纠纷。
用户欠费、余额不足或包月即将到期时,CAMS可以通过邮件和认证客户端进行费用
催缴。
CAMS支持用户信息、上网明细、用户账单和缴费记录的手工和自动导出,方便与第
三方账务管理系统的对接。
2011-5-12 校园网工程方案 第104页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
8) 简单、易用的管理平台
CAMS提供了基于WEB的管理界面和帮助系统,管理员无需安装任何客户端软件,就可以通过浏览器完成系统管理工作,为管理员提供了最大程度的方便性。
9) 集中、方便的用户管理
基于服务的用户分组管理,用户的认证绑定策略、访问权限、计费策略均封装于服务
中,简化管理员的操作,保证网络管理模式的统。
丰富的批量操作,提供批量开户、批量续费、批量销户、批量修改等功能,便于用户
数据的集中维护。
2011-5-12 校园网工程方案 第105页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
自定制的用户信息管理,管理员可根据网络运营的习惯进行用户信息定制:如学校可
以定制学号、年级等信息,XXX学院可以定制部门、职务等信息。
基于WEB的用户预注册,用户可以先通过WEB填写用户信息后,再到营业厅正式开通
账号,保证用户信息的准确性,减轻管理员的维护工作量。
提供卡号管理功能,与一般的上网卡类似,卡号可以批量生成和发布,降低管理成本。 10) 丰富、直观的统计报表
CAMS提供了丰富的图形和表格样式的报表,可以方便的生成、导出和打印。统计报表的主要用途包括:
统计每小时平均在线用户数,发现繁忙时段
统计每天(月)的上网流量和时长,掌握网络使用情况。
统计用户每月的消费情况,发现重要客户。
统计系统注册用户和新注册用户数,掌握业务发展状况。
统计操作员收费情况,了解网络的运营收益。
11) 完备的系统管理与监控
灵活的业务运行参数配置,管理员可根据组网和运营环境进行功能定制。
操作级的管理员权限控制,可为不同管理员设置基于角色的操作权限,如系统管理员、
账务管理员、前台营业员等;此外,系统提供详细的操作员操作日志,便于对管理员
的操作进行跟踪。
CAMS能对自身运行状况进行实时监控,并且可以通过邮件将系统告警发给管理员,
便于管理员及时了解系统运行状况,采取响应措施。
2011-5-12 校园网工程方案 第106页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
12) 内置DHCP功能
CAMS内置了DHCP服务器,可以为用户指定DHCP分配策略,将用户与IP地址或地址池的绑定,为用户动态分配固定IP地址,实现基于用户的IP地址统一管理,既减少了管理员的维护工作量,又可以有效防止IP地址冲突。
13) 基于WEB的用户自助
CAMS提供终端用户自助服务,用户登录到指定的WEB网站,即可查询个人信息、上网明细、费用余额、缴费记录,修改上网密码和个人信息,自助充值,暂停或恢复包月。忘记密码时,用户还可以通过自助页面取回密码。此外,用户还可以通过CAMS认证客户端修改上网密码,方便用户操作。CAMS可直接实现制卡功能,用户可以根据需要进行制卡,学生可以通过自助平台输入卡号/密码进行充值,进而完成上网充值。
14) 友好的开放性
2011-5-12 校园网工程方案 第107页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
CAMS可以根据用户需求提供特性功能的开发,H3C可以针对用户需求为用户进行CAMS
功能的开发,同时可以为用户提供对接以及开发接口,用户可以根据自己需求灵活开发,
满足自己的需求。
8.3.3 业务认证流程
在某大学学院网络建设当中我们建议采用自动绑定MAC地址,IP,端口的绑定技术来作为认证管理方式,将每个学生的计算机与交换机上的每个端口进行一一绑定,这样对于学生来说只能够在自己的计算机上,并接到自己的端口上才能够实现上网,同时,对于维护人员来说也可以做到到端口的管理。自动绑定技术可以大大减少用户的工作量同时提高用户的
如图所示H3C 公司E126A/E152系列交换机对于多种的用户接入方式均可以灵活的实现控制,设计如下:
防止Proxy用户
对于接入层用户采用Proxy(单双、网卡)的方式进行接入的,E126A/E152系列交换机可以配合802.1X客户端来了解用户的目前状态,当了解到用户具有两个活动的IP地址时,可以强制接入用户下线。
MAC盗用的用户限制
对于上网用户更改自己的MAC地址的方式,H3C E126A/E152系列交换机可以实现端口,MAC地址的绑定,当用户更改自己的MAC地址的时候,交换机会自动检测,发现与绑定MAC地址不相符就可以直接强制用户下线。
MAC地址自学习功能
对于学校的网络管理中心来说,对于做MAC地址绑定的方式要对全校的上网用户进行MAC地址统计,并对统计上来的MAC地址进行核对,H3CIMC网管软件可以实现MAC地址的批量自学习的功能,用户在第一次上网的时候E126A/E152系列交换机可以直接将用户的MAC地址上传到网管软件上,网管可以直接记录用户的MAC地址,通过网管可批量下发绑定命令,直接实现接入层交换机的MAC地址,端口的绑定,可以大大节省维护人员的工作量。 新增用户的批量配置
对于新增用户的管理,学校每个月将会有部分的新增用户,对于新增用户的MAC地址绑定是一件工作量较大的工作,H3C iMC网管软件可以直接实现对于用户的批量配置工作,维护人员将新增用户的MAC地址、端口以及物理位置(交换机的端口)形成文件,通过Qduiview可以直接进行批量的配置,进而减少用户的工作量。
IP地址更改的用户限制
2011-5-12 校园网工程方案 第108页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
对于上网用户更改自己的IP地址的方式,由于用户在上网时已经实现了IP地址,端口的绑定,所以一旦用户更改IP地址,E126A/E152系列将强制用户下线
移动用户的认证管理
学校存在着一定数量的移动用户,对于移动用户的认证管理对于学校来说也是至关重要的,H3C E126A/E152系列交换机可以支持动态VLAN的技术,即VLAN与MAC地址相对应,对于用户虽然在不同的物理位置只要其对应的VLAN(MAC地址)是绑定的VLAN即可以实现上网,这样即方便了移动用户,又实现了对移动用户的管理。
8.4 网络状况与用户行为的审计管理
近十年来,我国校园网建设发展迅速,上网人数快速增长,校园网在学校日常工作、生活中的作用也日益重要。随着网络技术的普及和校园网用户应用水平的不断提高,校园网运营过程中也出现了很多难以监控与管理的用户行为:
盗用上网账号。尽管很多学校使用AAA服务器来对上网用户进行认证管理,但盗用他人账号密码和IP地址的行为仍然时有发生。
安装非法软件、入侵校内服务器。在校园网中,安装黑客软件,入侵校内服务器,私设DHCP服务器等行为屡禁不止,给校园网带来了严重的安全威胁。
访问非法站点,散布不当言论。由于学校没有有效的技术手段追查非法网站的访问者和不当言论的传播人,此类行为往往难以治理。
滥用网络资源。学生之间常常共享和传播视频、音频文件和工具软件等信息资源,占用大量校园网的带宽。严重时,甚至影响到了学校教学、科研工作的正常运行。
受到技术和管理条件的限制,校园网络的管理者目前还无法完全防止上述行为的发生。因此,为了确保校园网络安全、稳定、高效的运营,每一个管理者都希望能够掌握盗用账号、从事非法入侵、传播不当言论等行为的证据或线索,从而对用户的上网行为进行必要的规范。这就要求我们必须通过有效的技术手段对用户的上网行为进行审计——收集用户上网数据,分析用户上网行为,掌握网络运行的状态,追查相关行为的责任人,这种技术手段就是通常所说的用户行为审计技术。
2011-5-12 校园网工程方案 第109页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
8.4.1 用户行为审计技术
简单地说,用户行为审计技术是一种对用户上网行为进行记录和分析的方法,包括用户上网数据的采集和用户上网数据的分析两方面的内容。这个看似简单的数据记录与分析过程在实际应用中却面临着多方面的挑战,其主要原因是用户行为的审计必须解决以下三个相互关联的技术难点:
数据采集技术
网络中的信息流是纷繁复杂且稍纵即逝的,用户上网行为数据就蕴含在包括各种应用协议报文(如WEB页面、电子邮件、文件传输等)的巨大网络流量中。为了及时从中获取能有效监控和审计用户行为的数据,我们必须综合利用网络中的各种数据来源。流经网络设备的报文数据记录了每一个网络连接的详细信息,是用户上网行为的直接反映;路由器中的NAT信息包含了校园网中内外网络的地址转换信息,是用户访问外部网络的凭据;用户接入网络时的认证、计费信息则记录了用户的上网时间、流量和认证记录。只有对这些信息进行全面的记录,才能为分析审计用户的上网行为、加强对用户的监控与管理提供第一手资料。
数据清理技术
即使我们通过各种技术手段采集到了来自网络中的各种网络访问信息,却不得不面对这样一个无法回避的实事:信息量太庞大了,足以使任何一个校园网络管理者淹没在数据的海洋里。我们必须能够提取出反映用户上网行为特征的关键数据,而又不应丢失数据中的有效信息。在以审计用户上网行为为目的的前提下,对各种用户网络访问信息进行相应剪裁、过滤和聚合是获取关键数据的必要手段。这也就是所谓的数据“清理”技术——剔除重复的、冗余的、无效的和细枝末节的数据,将无序的、杂乱的数据整理成有序的、完备的数据,为审计用户行为奠定坚实的数据基础。
数据分析技术
单纯的数据是孤立的、静态的,如果不通过精心设计的分析手段对数据进行关联、统计与挖掘,我们辛苦采集和整理的数据也只不过是一条条枯燥、乏味的数字列表,不能给校园网络的管理则带来任何决策上的指导。谁访问了不法网站,谁发表了不当言论,谁盗用了他人账号,哪些网站最受学生欢迎,哪里的网络经常拥塞,„„我们必须对数据进行有目的的分析与挖掘,并辅以直观的展示形态,才能使校园网络的管理者清晰、明了地找到以上问题的答案,并采取相应的解决措施。
2011-5-12 校园网工程方案 第110页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
由此可见,用户行为审计技术决不仅仅是简单的数据记录和查询,只有广泛采集网络信息,对数据进行剪裁、过滤、聚合、统计与分析,并以直观的形态展示,才能使用户行为审计技术真正成为校园网络管理者的决策助手。H3C在认真总结校园网实际运营情况的基础上,以校园网络管理者的需求为出发点,结合公司多年来在校园网建设和管理领域与各大高校合作的经验,提出了完整的用户行为审计解决方案,为校园网用户行为审计提供了技术上的保障。
8.4.2 H3C用户行为审计解决方案
H3C用户行为审计解决方案的核心是XLog日志分析系统。与用户行为审计技术的技术难点相对应,XLog日志分析系统由数据采集器、数据处理器和数据分析器三个部件组成,分别解决用户行为审计中的数据采集、数据清理与数据分析问题,为校园网络的管理者提供了丰富、直观的查询、统计和分析报表,是对校园网用户进行行为审计和管理的技术保障。
XLog日志分析系统在校园网中的组网结构如图所示,以下我们将从用户上网行为数据的采集、清理和分析三个方面介绍H3C用户行为审计解决方案的特点。
数据采集
XLog日志分析系统的采集器专门用于采集各种类型的用户上网行为数据,可以全面采集用户的上网日志、访问明细日志和NAT转换日志,为分析审计用户的上网行为提供详尽的第一手资料。
1、用户上网日志
XLog 数据采集器可以采集H3C三层交换机设备中记录和发送的用户上下线日志,准确记录用户在何时上网、何时下线以及使用的IP地址。此外,XLog 在H3C CAMS(AAA认证服务器)的配合下,还可以更进一步的定位用户上网时使用的接入设备、接入端口和MAC地址。这些信息能够帮助日志分析系统标识和定位上网用户。
2011-5-12 校园网工程方案 第111页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
NATNAT日志日志
XLogXLog日志分析系统日志分析系统
FlowFlow日志日志上线日志上线日志
网络中心网络中心
CAMSCAMS
流量镜像流量镜像
教学教学区区
宿舍区宿舍区
实验区实验区
办公区办公区
2、访问明细日志
用户访问明细志主要是对用户访问的目的站点、端口号、访问时长和流量等信息的详细记录。XLog 数据采集器可以通过H3C三层交换机中记录的FLOW日志获取这些信息。此外,还可以通过网络流量镜像方式来进一步获取更加详尽的、包括应用层协议信息(如发送的Email的信息、FTP下载信息等)的用户日志。这些信息是监控用户是否访问了不法网站、追查发表不当言论的用户、分析网络流量变化趋势的基础。
3、NAT转换日志
NAT是校园网常用的一种用于节约IP地址空间、提高内网安全的地址转换技术。NAT转换屏蔽了内网的IP地址,造成用户访问外网的源IP地址丢失,给跟踪和定位用户带来了困难。XLog采集器可以通过采集H3C路由器中记录和发送的NAT日志,详细记录用户的内网IP地址、访问外网时转换的IP地址和端口号等信息,为校园网络管理者按照公网监管部门的审计信息准确定位用户提供依据。
数据清理
XLog日志分析系统具有独特的数据清理技术,通过剪裁、过滤、聚合等技术手段,有效地剔除了重复的、冗余的和细枝末节的数据,在确保用户上网行为关键信息不丢失的前提下,将庞杂、无序的各种网络日志组合成完备、紧凑的用户上网行为数据,可以最大程度地减少数据存储的空间,提高分析效率。
1、剪裁
2011-5-12 校园网工程方案 第112页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
XLog采集器在采集网络流量和各种日志信息时,可以针对用户行为审计的目的和不同数据的特点,对网络流量和日志信息进行自定义剪裁,从海量的网络流量和日志中提取必要的数据,最大程度的减少无效信息。
2、过滤
经过剪裁的用户上网行为数据中仍然存在大量对特定审计需求不必要的冗余记录。XLog采集器和处理器提供了可灵活自定义的、细粒度的过滤策略,通过精心设计的算法,可以高效、准确地对用户上网数据进行处理,使得校园网络的管理者可以依据审计需求灵活地选择按照上网时间、目的站点、协议类型等进行数据过滤。
3、聚合
在用户上网行为日志中的大量数据可能只反映了同一种上网行为,比如用户访问非法站点时可能产生大量的访问日志,但对管理者来说,只要其中一条日志就可以满足其查找访问非法站点行为的需求。针对用户上网行为数据的这个特点,XLog采集器和处理器提供了多条件的聚合策略,可以按源IP、目的IP、协议类型、时间段等对日志记录进行聚合。
数据分析
数据分析可以说是用户行为审计技术的核心,XLog日志分析系统通过自动分析引擎和丰富的统计报表,为校园网络的管理者提供了清晰、直观的用户上网行为展示。通过自定义的统计分析和报表引擎,可根据用户需求灵活定制分析策略,为校园网络的管理者提供不同层面的决策支持。
1、可以掌握用户上网的时间、地点、IP地址、MAC地址等信息,有效地防止用户账号盗用。
2、可以直观地监控用户在上网过程中所访问的URL、发送Email的记录,追查访问不法站点和发表不当言论的用户。
3、利用各种日志分析统计报表,网络管理员可以追踪发起网络攻击的攻击源,采取有效的防范和治理措施。
4、通过对日志信息中包含的协议类型的分析,可以实现对网络中非法服务的跟踪,有效防止私设DHCP服务器等影响校园网正常运行的行为。
5、通过XLog提供的丰富多样的统计报表,可以获知校园网中不同节点的网络流量、用户访问热点、用户下载热点等信息,全面了解校园网络的运行状况,为校园网络的结构优化提供坚实的数据基础。
2011-5-12 校园网工程方案 第113页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
用户行为审计技术在校园网中的应用,可以将校园网络的管理提高到一个新的层次。在用户行为审计技术提供的各种分析数据基础上,校园网管理者可以根据网络使用状况及时调整网络结构,对网络安全、用户行为进行有效的监控和管理。随着校园网管理工作的不断细化与提高,用户行为审计技术必将在校园网络管理中得到广泛应用,为校园网的有效监管和优化提供技术保障。
8.5 网络认证客户端
8.5.1 产品概述
认证客户端采用H3C公司自行设计开发的基于Windows的多业务接入客户端软件,提供802.1x、Portal、VPN等多种认证方式,可以与H3C以太网交换机、路由器、VPN网关等网络设备共同组网,实现对宽带接入、VPN接入和无线接入的用户认证,是对用户终端进行身份验证、安全状态评估以及安全策略实施的主体,可以按照企业接入安全策略的要求,实现基于角色/身份的权限和安全控制。
iNode智能客户端采用开放的平台化设计,可在多业务安全认证的基础上提供与H3C接入设备以及第三方终端安全软件的智能联动,实现对用户终端的防病毒软件、病毒库版本、补丁安装状态、软件使用情况、网络配置状态的协同控制;通过对接入终端的集中管理和监控,确保只有符合企业安全策略的用户终端才能接入网络,从而大幅度提高网络的整体安全。
8.5.2 产品特点
做为一款融合客户端产品,iNode客户端可同时配合H3C公司EAD解决方案与VPN网关产品实现EAD认证和VPN移动用户认证。
iNode客户端可以使用户终端通过多种方式与H3C公司的网络设备(包括交换机、路由器和VPN网关等产品) 进行用户接入身份认证。支持802.1x、Portal和VPN等多种认证方式。
iNode客户端具备丰富的安全认证功能,是EAD解决方案中用户安全状态的感知点,可以采集用户终端的安全状态信息并上报安全策略服务器进行安全状态评估,同时接收安全策略服务器的控制指令,提醒或强制用户进行系统补丁升级、卸载非法软件等。iNode客户端可以
2011-5-12 校园网工程方案 第114页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
与第三方防病毒客户端进行联动,根据安全策略的定义,提醒或自动对用户终端实施查杀病毒、版本升级和病毒库更新等安全操作。
面向企业的多业务支持
iNode智能客户端提供多种认证方式,可以与H3C以太网交换机、路由器、VPN网关共同组网,用户可以根据应用场景的区别,灵活选择适合的接入方式。
, 支持802.1x、Portal等LAN/WLAN接入认证;
, 支持L2TP/IPSec VPN认证。
严格的身份安全
iNode智能客户端提供了强大的安全策略,保证认证报文在网络上传输时的私有性、完整性、真实性,同时支持智能卡(USB Key)、数字证书认证,可以加强身份认证的安全强度,减少用户身份信息被盗用的风险。
, 支持PAP和CHAP验证协议;
, 支持EAP-MD5、EAP-TLS、PEAP认证方式;
, 支持IPSec/IKE加密;
, 支持基于智能卡的身份认证;
, 支持基于PKI的证书认证功能;
, 支持与Windows域管理器/LDAP服务器统一认证。
灵活的权限控制
iNode智能客户端配合H3C接入设备可以实现基于用户身份的网络访问权限管理,提高用户网络访问的安全性和网络的利用效率。
2011-5-12 校园网工程方案 第115页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
, 支持用户与用户IP地址、MAC地址和接入设备端口等硬件信息的绑定认证,增强用户
认证的安全性,防止帐号盗用和非法接入;
, 可以限制用户IP地址分配策略,防止IP地址盗用和冲突;
, 可以限制终端用户使用多网卡和拨号网络,防止内部信息泄露; , 支持限制用户使用和设置代理服务器,有效防止资源滥用和运营损失。 8.5.3 智能的安全准入
iNode智能客户端软件支持对用户终端操作系统版本、系统补丁、应用软件、防病毒软件的检查和控制,可以在终端接入层面帮助管理员统一实施企业安全策略。 , 支持用户终端操作系统版本、热补丁检测,并提供补丁的自动升级功能,实现对操
作系统以及系统软件版本、系统补丁的统一管理;
, 支持与国内外主流防病毒软件配合实现防病毒软件安装运行状态、病毒库版本检测,
使防病毒软件的价值得到提升,从单点防御转化为整体防御;
, 支持用户终端应用软件的统一管理,通过客户端可以对终端安装或运行的软件进行
监控和限制;
, 支持客户端的桌面安全状态检测功能,支持对在线用户终端的运行进程、共享目录、
分区表、屏保设置、系统服务列表等信息的集中审计。
8.5.4 简单易用的界面
iNode智能客户端软件操作简单,界面友好,支持多操作系统,支持自动升级,支持用户界面定制功能,极大地方便了用户的使用和管理。
, 适用于Windows 2000/XP/Server 2003/Vista等多种操作系统;
, 提供中英文版本,可以根据用户需求选择不同的界面语言;
, 提供客户端版本检测以及版本自动升级功能,管理员可以轻松实现客户端统一升级; , 提供自动认证功能,用户登录操作系统后客户端自动发起认证,无需手工干预; , 提供匿名认证功能,用户不需要输入用户名、密码即可完成身份认证和安全认证; , 支持欠费信息、余额信息、通知信息的显示,用户可以及时了解帐户消费情况,并
可以实时了解管理员发布的通知消息;
2011-5-12 校园网工程方案 第116页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
, 支持用户接入状态、接入时长等信息的直观显示,网络链接信息一目了然。
8.5.5 良好的兼容性
iNode智能客户端兼容目前所有主流windows操作平台,包括win2000、winXP、win2003、win2008、vista、win7等。
8.6 iMC平台与第三方计费系统接口
以上介绍的是校园网基本运营管理的功能,在实际使用中,需要iMC与运营商侧的第三方系统对接,主要集中在IMC系统与其他系统实现用户数据同步、与其他系统(如一卡通)配合进行缴费、利用iMC系统数据进行统计分析几方面。
目前最为普遍的需求是iMC与一卡通系统对接的需求,为了学院财务管理的便捷和统一,可以将校园网上网收费系统与一卡通系统实现统一,这样的对接功能可以使用CSI接口实现。
H3C iMC CSI 3.0是用于进行iMC产品二次开发的Web Service标准接口。它支持外部软件系统通过SOAP协议调用iMC提供的二次开发接口,实现与iMC系统的无缝对接。外部软件系统只要遵循标准SOAP协议就可以实现和iMC系统进行对接。
CSI 3.0提供了标准、通用的基于Web Service二次开发接口,经过简单的二次开发工作,客户可以轻松将iMC系统集成到现有运营管理系统中,如运营商原有的账号管理系统,学院中的学籍管理系统等,极大的减轻了管理员学习和维护CAMS的工作量。
2011-5-12 校园网工程方案 第117页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
校园一卡通等计费系统与iMC系统对接也是校园网发展的一大趋势,有了iMC CSI 3.0就能够轻易实现通过一卡通系统对iMC进行开户、缴费等功能,满足校园财务统一的需求。
2011-5-12 校园网工程方案 第118页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
第9章 大学校园IP监控规划设计 9.1 监控系统发展趋势
随着经济的发展和社会的进步,视频监控越来越深入到每个行业每个人的生活中,视频监控系统为关键、敏感场所提供实时视频监控和录像的功能,通过实时监控可以及时发现或阻止违规、违法事件的发生,同时为管理职能部门提供事后取证的重要依据,能够大大提高被监控区域的安全性。
如何利用最少的人力、物力资源去实现有效管理的最大化已经成为摆在相关职能部门面前的一个新课题。传统的模拟视频监控系统多采用光端机、矩阵、DVR的系统集成方案,单级系统易实现,视频质量较好。但传统以矩阵为中心的模拟监控系统存在安装、维护复杂、费用高,信号传输距离受限,系统可扩展性差等一系列问题,很难进行大规模部署和应用,难以适应监控系统规模和范围越来越大,管理越来越复杂、灵活的需要。在信息技术飞速发展的今天,模拟技术向数字技术的转变已经成为一种主流趋势,各种媒体信息经过数字化后,可以通过网络方便的传输和管理。与此同时,随着广大用户、企事业单位对生产、管理和生活的安全和防范需求的提高,迫切需要一个统一、集中的解决方案,能为所有的分支机构、办公区、建筑物提供高质量的视频监控服务。
随着数字技术和以IP技术为核心的网络技术的发展,改变了包括监控系统在内的各种IT系统的架构,原本封闭的监控系统逐渐转向开放和标准,监控系统已经开始从模拟监控系统向数字监控、IP智能监控系统发展。当前监控系统的解决方案主要包括模拟数字技术相结合的模数方案和初级的网络监控方案两类,受限于系统架构和原有厂商的技术能力的局限性,这两类方案已经难以适应监控系统规模和范围越来越大、管理越来越复杂的需要。
如何“化繁为简”,利用最少的人力、物力资源有效的实现监控系统各种应用的融合和开放,已经成为各行各业使用单位面前的一个新课题。顺应技术发展的趋势,安徽易科技术有限公司(H3C)基于在IP网络、IP视频应用及IP SAN存储等领域长期的技术积累,在H3C公司IToIP解决方案理念指导下,推出iVS(IP Video Surveillance)IP智能监控解决方案 ,以标准、开放、高质和高度融合的IP技术,有效解决用户面临的新课题,让“监控变得简单”。
2011-5-12 校园网工程方案 第119页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
9.2 需求分析
大学校园监控将建成一套以大学校周界监控及办公楼、住宿楼、图书馆、学校重要档案室、禁止参考室等相应位为监控目标的视频监控系统;视频监控在大市场重点场所、重要路口等公共区域设立视频监控点。通过对图像的浏览、记录等方式,使监控中心和各授权的用户直观地了解和掌握监控区域的治安及人流动态,有效提高大学校园治安管理水平。建成后的视频监控系统作为提高治安监控信息化管理的重要手段,将在一定程度上提高经营管理、快速反应、以及安全保卫的科技防范水平。
整体工程按照统一规划,分步实施的原则,监控系统采用网络监控模式,监控布点位置主要分布在大学校园周边围墙以及办公楼、住宿楼、图书馆、学校重要档案室、禁止参考室等监控点,系统的供电采用分区供电方式。
安防系统实现的总体要求:
, 摄像机满足夜间低照度摄录需要,并增加辅助光源,保证摄录图像清晰能有
效识别车辆及车牌、人像等拍摄效果;主要路口:采用枪机辅助光源(光源设置时间
继电器,分昼夜时段目动启闭)。
, 能实现远程登录实时查看或调用视频资料的功能;视频资料采用集中存储管
理方式,存储时间不少于15天;
, 要预留以下功能接口:电子地图、报警服务、语音对讲功能以便后期根据需
要增设;
, 为保证图像回放质量,要求支持D1分辨率;采用H 264压缩标准。图像参数
独立设置,支持D1、DCIF、2CIF、ClF、QCIF分辨率,不仅支持定码率、变码率,
还支持变帧率(PAL:?25帧),根据带宽状况可动态设置码流、图像质量或帧率。
, 为保证监控系统的有效管理,采用集群管理软件,软件模块包括网络管理平
台软件,电子地图,WEB服务器软件,报警服务器软件,存储服务器,数字矩阵服务
器,客户端软件;
, 系统采用分区设置电源点分别供电方式,监控系统前端摄像机配置电子防雷
器(视频、电源、控制)。
, 为监控系统搭建一个专用IP网络,为保证监控视频图像的流畅传输,IP网
2011-5-12 校园网工程方案 第120页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
络主干为千兆,百兆接入;
, 监控系统设备采用国际主流的嵌入式平台,保证了设备的稳定性、成熟性,
产品的升级保持向下兼容,保护用户的投资。
, 监控网络支持多播、点播及IE浏览等方式预览现场图像,监听现场声音,并
提供了强大的并发处理功能,编码、录像、网传、报警等进程实现合理的任务调度。 9.3 监控系统功能要求
视频监控系统通过对图像的浏览、记录等方式,使监控中心和各授权的用户直观地了解和掌握监控区域的治安及人流动态,有效提高生产和治安管理水平。建成后的视频监控系统作为提高治安监控信息化管理的有效途径之一,其建设的力度、程度、广度将在一定程度上提高经营管理、快速反应、以及安全保卫的科技防范水平,视频监控系统建成后应该具备以下功能要求:
1. 实时图像点播:应能按照指定设备、指定通道进行图像的实时点播,支持点播图像的显示、缩放、抓拍和录像,支持多用户对同一图像资源的同时点播。
2. 远程控制:应能通过手动或自动操作,对前端设备的各种动作进行遥控;应能设定控制优先级,对级别高的用户请求应有相应措施保证优先响应。
3. 存储和备份:监控控制平台的数据库在记录图像信息的同时还应记录与图像信息相关的检索信息,如设备、通道、时间、报警信息等。平台应能存储视音频信息并保持7天;对需要长期保存的信息可配置专用存储设备备份。
4. 历史图像的检索和回放:应能按照指定设备、通道、时间、报警信息等要素检索历史图像资料并回放和下载;回放应支持正常播放、快速播放、慢速播放、逐帧进退、画面暂停、图像抓拍等;支持回放图像的缩放显示。
5. 报警管理:报警的接收和分发,应能接收报警源发送过来的报警信息,根据报警处置策略将报警信息分发给相应的系统、设备进行处理。报警源包括前端报警(探测)设备/报警子系统、监控设备的视频移动侦测输出和现有公共网络报警系统的联动输出。
6. 报警联动:若报警位置存在监控设备,报警发生时应能通过预设方式自动调用视频或声音信息进行报警复核,并触发录音录像,系统应支持与其它警用业务系统进行报警联动。
2011-5-12 校园网工程方案 第121页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
7. 报警记录:当发生报警时,监控中心应记录报警的详细信息,如报警地址、报警所属组织、报警级别、报警类型、报警时间等。
8. 与其它系统的接口:系统可提供与其它信息系统的互联接口,能与报警系统相互集成。
9. 语音双向对讲:根据应用需要(如安全防护等),能支持在监控点和监控中心以及各监控中心之间实现语音双向对讲功能。
10. 系统的人机交互:应具有直观、友好、简洁的人机交互界面;应具有视频画面分割显示、信息提示等处理功能;应能反映自身的运行情况,对正常、报警、故障等状态给出指示。
11. 用户与权限管理:监控中心应具有对接入的用户进行授权和认证的功能。用户及权限管理可由各监控中心独立执行,也可集中执行。用户及权限管理模块应定义用户对设备的操作权限、访问数据的权限和使用程序的权限。
12. 网络与设备管理:应能在监控管理平台范围内对系统设备、网络进行管理,收集、监测网络内的监控设备、相关服务器的运行情况;对有权限调用访问本级监控中心的用户应能进行监控;在联网系统内部应能实现实时工作时钟同步。
两种,运行日志应能记录系统内设备启动、13. 日志管理:日志包括运行日志和操作日志
自检、异常、故障、恢复、关闭等状态及发生时间;操作日志应能记录操作人员进入、退出系统的时间和主要操作情况。支持日志信息的查询和报表制作等功能。
14. 系统图像质量:应保证图像信息的原始完整性,即在色彩还原性、图像轮廓还原性(灰度级)、事件后继性等方面均与现场场景保持最大相似性。系统的最终显示图像应达到四级(含四级)以上图像质量等级,对于电磁环境特别恶劣的现场,图像质量应不低。
9.4 系统总体架构概述
大学校园监控系统将采用先进IP智能监控解决方案,以满足大学校园监控的业务需求和技术要求。IP智能监控方案充分整合了IP网络、视频、存储、信令等领域的技术,采用开放的架构,标准的技术实现。将信令控制与媒体流交换分离的先进理念引入视频监控系统。系统中视频流并不在监控中心上集中处理,而是通过网络的路由交换以分布式的形式分发出
2011-5-12 校园网工程方案 第122页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
去,避免了由于媒体流处理的性能压力而造成的瓶颈问题,从而可以实现监控规模的无限制扩展。
IP智能监控方案体系架构图:
, 监控接入层
负责视频信号和控制信号的接入功能,包括摄像机、语音对讲设备、报警设备、视频编解码器等组成。视频编码器把模拟的视频、音频信号进行数字化和压缩编码,形成IP数据包,利用IP网络传送到显示系统和存储系统,既可实现实时查看和图像存储。
, 承载交换层
实现视频信息和控制信息的传送及交换功能,包括路由器、交换机、传输链路等。为了构建高品质的监控IP专网,针对网络监控特性对安全接入、QoS保障和组播支持进行优化,可实现视频流的无阻塞交换,确保图像的清晰度和实时性,并具备高度的安全性、天然的可扩展能力和灵活性。
由于IP技术的标准化程度高,应用广泛,部署简单。以IP网络代替传统的光端机传输是必然趋势。
, 控制管理层
2011-5-12 校园网工程方案 第123页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
负责对所有监控设备,业务流程的管理及控制,是IP智能监控系统的管理中心和控制中心。包括视频管理服务器VM和数据管理服务器DM。VM的授权用户可以在任意一台PC管理终端上完成全网的设备管理、业务配置、资源调度和云台控制。DM是存储设备的管理者,负责存储设备、存储资源和音视频数据的管理,实现对监控系统存储资源的动态分配和透明使用。
, 网络视频存储
实现海量视频可靠存储,高效管理和利用,基于iSCSI标准的IP SAN技术和强大的数据管理服务器构建完善的网络存储系统,存储资源可以根据需求分布式部属并加以统一资源管理和调度,支持动态存储资源管理、在线部属,可以基于统一平台满足不同存储质量、容量和服务质量的客户需求,可以提供完善的备份和存储生命周期管理功能。提供不同性能的IP SAN盘阵,同时支持NAS备份功能。
, 视频应用层
负责视频信号的解码及输出显示,完成视音频数据的存储等功能,包括视频解码器、视频客户端、存储设备、流媒体服务器等。视频解码器将接收的IP视频媒体流还原成模拟视频信号后输入到电视墙、大屏幕、调音台、功放等模拟视音频设备。存储设备将监控的视频数据流存储起来;向客户端提供监控信息查询,历史视频回放。流媒体服务器提供实际的VOD点播视频流数据流和视频数据下载服务。
9.5 H3C iVS8000监控解决方案介绍
iVS8000解决方案是H3C公司针对各种应用规模较大、要求高可靠海量存储、定制与集成需求繁多的行业(专业)市场推出的网络视频监控解决方案。通过和各种认证合作伙伴的合作,iVS8000解决方案可以扩展应用到各行各业的综合监控系统中。
这类项目的特征包括:新建和升级项扩容目均有,以管理H3C的系列编解码器为主,同时要求保护用户原有投资,兼容原有模拟和数字图像设备,并发访问、存储的规模都较大,对图像品质、实时性、存储可靠性要求较高,大多具有结合行业业务特性进行定制开发的潜在需求。适用的范围包括平安工程、轨道交通、机场、公路、教育、医疗、金融、电力、监狱、环保、大型园区等的联网监控。
针对这类市场需求,传统的方案包括模数结合方案和网络监控方案两类。
2011-5-12 校园网工程方案 第124页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
1) 模数结合方案利用模拟光端机、矩阵等设备完成图像、报警等信息的采集、传输、显示和控制,利用数字系统完成编解码、存储、分析应用和网络分发共享。虽然从功能上可以满足客户的一般需求,但是管理和融合模数两套完全异构的平台会导致整个系统的架构异常复杂,部署、安装、维护困难,标准化差,系统可扩展性差等一系列问题,很难进行大规模部署和定制开发应用,难以适应监控系统规模和范围越来越大,管理越来越复杂、灵活的需要。
2) 而传统的网络监控方案由于厂商往往只能提供网络监控中的某一个组件,设备厂商和集成商没有能力从整体架构的角度规划整个系统,无法实现网络监控各个组件的充分融和,各子系统标准化仍然很差,由软件生硬的实现各子系统的融和,没有发挥各组件相互融和的潜力,本质上仍然是异构的平台,无法充分发挥网络和IP技术开放、标准和融合性好的天然优势,系统的可扩展性较差,增值应用比较困难,总体上处于网络监控的初级阶段。
iVS8000解决方案通过网络监控各组件的高度融和和统一架构,可以有效的解决传统监控方案面临的问题。
H3C iVS8000解决方案的核心是H3C自主开发的标准、开放、高质和高度融合的基础网络视频监控平台,包括了编解码器、存储系统、网络系统和管理平台四大基础组件。这其中,iVS8000解决方案有别于iVS3000解决方案的核心是iVS8000管理平台,含扩VM视频管理服务器、DM数据管理服务器、MS媒体交换服务器和VC客户端等,该平台可以实现IP视频监控系统的统一管理、统一控制、统一存储、统一媒体转发调度。软件系统各部件之间采用标准的信令、媒体、存储和视频编解码协议,可以实现各功能部件的灵活部署,系统容量可弹性扩展。软件平台各部件通过双机热备和负载均衡设计,实现电信级的高可靠性保证,满足高端行业应用的可靠性要求。
整个iVS8000管理平台最大可以管理前端3000台编码器、10000路摄像机的能力,同时最大管理128台基于IPSAN技术的NVR网络视频录像机,单机支持16个盘位(12TB)的存储空间,这样整个iVS8000管理平体可以为前端编码器提供1536TB的网络存储空间。结合H3C的网络产品和iVS8000管理平体的多级多域管理能力,iVS8000解决方案可以适应局域网、广域网、VPN和多级多域扩容联网等多种组网方式,满足不同客户灵活组网需求。
基于这个高度融和的iVS8000网络监控基础平台,通过结合H3C公司其它自主研发的IP电话、IP会议电视、信息安全产品,以及发展和认证互补性的厂商联盟合作伙伴和软件增值
2011-5-12 校园网工程方案 第125页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
应用合作伙伴(SVAP),H3C可以提供各种行业含扩视频监控、专业报警、门禁监控消防监控、环境设备监控、信息安全、集成通信等诸多应用和基础网络与存储平台的综合安防监控系统,代表了网络监控的发展趋势。
iVS8000基本网络视频监控系统的组成图如下:
iVS8000基本网络视频监控系统组网图
一个典型的iVS8000基本网络视频监控系统的组成和基本功能如下:
1)前端系统:
包括摄像机、监听头、对讲设备、报警探头和编解码器组成,其中编解码器由H3C提供。当前端到中心大带宽足够,允许中心存储时,前端配置EC编码器;当带宽有限无法中心存储时,采用支持前端存储的ECR系列编码器;当前端需要解码还原图像时配置DC系列解码器。
, EC编码器
支持接入摄像机和监听的视音频信号,并将其转换压缩为数字信号传送到监控中心。EC支持移动帧测报警,支持通过RS485口对云台、球机的控制,支持接入对讲设备和报警输出输出设备,满足监视监听、云镜控制、对讲和报警接收联动的基本需求。EC支持实时流和存储流双流输出,支持端到端的IPSAN架构网络存储,同时支持本地缓存,当网络故障时可以保存图像信息。根据室内室外、接入通道、报警通道、图像清晰度等要求的不同,H3C提供了多款EC系列编码器,详见后文产品介绍。
2011-5-12 校园网工程方案 第126页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
需要特别的是,H3C的EC1001编码器支持两个电口、SFP光接口和EPON无源光网络接口,多种接口非常方便组网和接入本地网络设备,EPON无源光网络支持在一根光纤下接入多个支持EPON接口的编码器,大大节约了光纤数量,降低了施工和线路租用费用,详见H3C EPON相关技术说明材料。
, ECR编码器
同样支持接入摄像机和监听的视音频信号,并将其转换压缩为数字信号传送到监控中心。ECR支持通过RS485口对云台、球机的控制,支持接入对讲设备和报警输出输出设备。内置最大8个盘位和支持RAID5的NAS盘阵,可以提供高可靠的本地存储,ECR还可以为局域网环境下的其它EC编码器提供NAS存储服务,通过EC编码器扩展ECR的编码能力。通过根据接入通道和图像清晰的要求不同,H3C提供多款ECR系列编码器,详见后文产品介绍。
, DC解码器
用于接收中心指令,将系统中任何一路编码的图像解码还原成模拟的视频音频信号接入现场电视机或其它影音设备,可用于用户展示实时视频信息或用于视频指挥。
所有编解码器都可以被监控中心的VM视频管理服务器主机统一配置、认证和网管,维护使用方便。
2)网络系统
所有前端编解码器通过网络系统和监控中心相连,实现各种信息的传递。H3C提供了丰富的网络设备,包括接入交换机、汇聚交换机、核心交换机和路由器,这些设备内嵌了丰富的安全特性并针对监控的需求对组播等应用进行了优化,同时还可以为广域网组网提供完善的VPN解决方案,从而为监控系统提供了一个安全、可靠、灵活和高性能的基础网络平台,详细介绍请参照H3C网络产品相关资料。
3)监控中心
监控中心的核心是iVS8000管理平台,含扩VM8000视频管理服务器、DM8000数据管理服务器、VM5000视频管理服务器,MS8000媒体交换服务器和VC客户端等,其中VM5000视频管理服务器集成了VM8000和DM8000的功能,但性能是采用分立设计服务器的一半。除此之外,监控中心还可以分布式部署基于H3C IPSAN技术的NVR网络视频录像系统和电视墙控制设备。具体实现原理如下:
, iVS8000管理平台
, 视频管理服务
监控中心的核心管理设备首先是VM管理服务器,作为整个系统的核心信令管理服务器,分为AS视频监控应用服务模块(以下简称AS)和CC呼叫控制服模块(以下简称CC)两个
2011-5-12 校园网工程方案 第127页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
基本组件。AS负责视频监控业务的调度、设备配置、设备保活和用户权限认证信息的管理。CC负责接受AS业务信令,将报警信息、云镜控制、解码器输出控制指令转发到相关设备。
包括VM8000和VM5000两个组件,VM8000支持10000路视频和3000台编解码设备的管理,VM5000只支持5000路视频和1500台编解码设备的管理,但VM5000集成了DM数据管理服务的功能。
, 数据管理服务
作为监控中心另外一个核心管理设备DM8000(同样也是VM5000的内嵌组件)数据管理服务器,主要功能为对全系统分布式部署的NVR网络视频存储设备(基于H3C IPSAN技术)进行统一的资源管理,包括存储资源的动态分配,提供快速精确的视频数据检索服务,控制数据访问权限,保证数据的安全性等。DM8000内置Web服务器,用户可通过Web界面非常直观方便地管理和维护设备。
DM8000还可以提供数据备份功能,可通过简单的操作完成对重要数据的备份工作。在备份的同时,可指定数据的描述信息。用户通过描述信息可快速找到匹配的数据。
单域内的一台DM8000支持管理128台NVR(IPSAN盘阵),最大管理容量1536TB,DM作为VM5000的一个组件时最大管理100台NVR(IPSAN盘阵),最大管理容量1200TB。
, C/S客户端
各级中心最主要的人机界面通过iVS800管理平台中的C/S架构客户端软件,VC8000实现。VC8000视频管理客户端包括管理员版、用户版和告警台三部分。
VC8000 管理员版主要提供给系统管理员使用,可以通过VM视频管理服务器配置管理IP视频监控网络中的设备,如编码器、解码器、视频管理服务器、媒体服务器等。还可以配置管理系统中的用户,并且可以对用户做多样化的权限控制,分配不同的操作权限和系统权限,对权限进行分级、分域、分设备控制,合理的管理权限划分大大降低了系统的维护工作量和复杂度,为IP视频监控系统提供了完善的安全保护机制。
而VC8000用户版是一套图形化用户界面的客户端软件,提供给日常操作人员使用。通过它可以方便的实现实时监控、点播回放、数字矩阵、本地录像和抓拍、远程云台控制、对讲等功能,还内嵌GIS(地理信息系统)电子地图,点击地图上的摄像机图标即可打开实时监控窗口开始监控业务,操作更加直观。作为用户操作界面,VC支持双显示器、专业键盘接入和对讲设备接入。
2011-5-12 校园网工程方案 第128页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
VC8000 告警台可以实时接收系统中的各种告警事件,支持以弹出消息或者声音提示等方式通知用户告警事件的发生,用户还可以设置各种不同的告警级别,以不同的颜色显示、选择不同的提示声音,对各种告警信息做分类处理。
, 基于软件的流媒体交换服务
根据项目需求,iVS8000管理平台可以提供MS8000流媒体交换服务器组件,该服务器主要提供实时音视频流的转发、分发功能和音视频历史数据的VOD点播功能。
实时音视频流的转发:MS8000能够将接收到的组播媒体流转换成单播媒体流,特别适合监控网内采用组播组网而外网访问采用单播组网时的码流转换,方便系统组网。
实时音视频流的分发:当系统不支持组播接入时,MS8000可把接收到的一路单播媒体流分发给多个客户端或解码器进行解码播放,即使编码器的上行接入带宽不足,也可实现多用户同时浏览同一路视频源。同时降低现场编码器同时相应多路访问的负荷。单台MS8000的分发能力可以达到1Gbps,系统支持多台MS8000做负载分担。
音视频历史数据VOD点播:由于许多远程客户端不支持采用IPSAN架构直接对NVR进行历史数据访问,MS8000可以将NVR中的数据转换为适合网络点播的数据,可以使用标准的RTSP协议进行播放过程控制,单台MS8000的点播能力可以达到500Mbps。
, 基于硬件的流媒体转发分发服务
需要特别说明的是,在单播组网环境中,针对流媒体交换服务中负载最重,性能要求最高的流媒体分发和转发服务,H3C创造性的开发了硬件级的UMS9005通用媒体交换机,基于H3C的9500高性能路由交换平台,通过开发专用分发业务板实现大容量视频分发和转发服务,具有高可靠、大容量、低时延等特点,是H3C公司面向运营商市场和高端行业市场开发的高性能媒体交换机。
其分发转发能力在单业务板下支持8Gbps的分发能力,最大支持4块业务板32Gbps的分发转发能力,相当台32台流媒体交换服务器的性能,其整体性能、可靠性和性价比远高传统流媒体交换服务器。
UMS9000系列媒体交换机目前只有一款产品型号,即UMS9005,支持双主控、双电源、提供5个业务板和接口板插槽。接口板可以是24口千兆以太网电口接口板,可以用于接入中心各种设备。
, NVR网络视频录像
H3C创造性的将IPSAN技术引入NVR网络视频录像系统中,基于IPSAN技术的NVR系统比传统系统更可靠、开放和标准,前端H3C系列编码器应该可以直接通过iSCSI协议将压缩
2011-5-12 校园网工程方案 第129页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
的数字视频信息以裸数据块的方式写入NVR的IPSAN盘阵中,实现端到端的IPSAN架构,相比传统方案中的流媒体服务器转存方式,系统架构更加简洁高效和可靠。
NVR作为专业存储设备,支持持完善的硬盘冗余技术(RAID0/1/5),支持支持点对点的交换架构,支持SAN加NAS存储结构,同时满足实时存储和备份存储的需求。同时,NVR存储设备可以和数据管理服务器、视频管理服务器无缝集成,可以在数据管理服务器中对IP SAN进行认证、注册、配置管理和实时存储状态检测。
EX1000S是H3C公司为监控解决方案量身定制的具备极高性价比的NVR存储产品,能够提供IP SAN/NAS一体化访问特性,单机最大支持128路最高8Mbps码流的存储写入操作。
, 电视墙
中心可以配置H3C DC1001FF解码器和用于安装解码器的插箱,接收VC8000客户端通过VM管理服务器发来的指令,实现将前端各种格式H3C系列编码器传送过来的压缩图像还原解码成模拟图像接入中心电视墙,通过客户端的灵活控制和系统报警联动,实现数字矩阵的功能。
, 远程访问
远程监控中心可以通过VC客户端访问监控中心的资源,在授权范围内实现基本监控功能,同时远程监控中心还可以是另外一套iVS8000管理平台,通过过多级多域架构实现系统扩容和多级监控。
9.6 系统业务流程
1(实时图像点播:
实时图像点播业务包括视频采集、传输交换、控制和显示四个主要环节。
在管理员的控制下,将摄像头的图像实时在视频监控客户端和解码器后的电视上播放出来的业务流程如下。
2011-5-12 校园网工程方案 第130页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
控制环节:首先管理员通过视频监控客户端的业务控制界面,选定编码器下的摄像机为视频源,视频管理客户端播放软件和解码器下的电视为显示设备。业务申请提交之后,视频管理服务器通过SIP通信协议,向编码器下发指令:按照指定格式编码后将媒体流发送到某地址上;向视频管理客户端播放软件和解码器发送指令,接收媒体流,交换机上即刻建立转发表,用于报文的转发。
视频采集:摄像头采集图像后,以模拟视频信号方式传送给编码器;编码器进行A/D(模拟到数字)转换,使用内部的专用芯片,编码压缩为视频媒体流数据,使用IP报文的形式发送到网络;
传输环节:经过解码器的解码,然后进行D/A转换,就可以将现场图像实时的还原到监视器上。如果不使用解码器,也可以通过客户端软件,接收媒体流,通过计算机的软解码,直接显示到计算机的显示器上。
显示环节:解码器接受到流媒体报文,使用内部专用解码芯片将压缩过的视频信息解码,并进行D/A(数字到模拟)转换,将高效还原后的模拟图像实时送到监视器上显示出来。视频监控客户端软件接收到流媒体报文后,调用高效的软件解码软件,利用CPU的多媒体处理功能将压缩后的视频信息解码,将模拟图像通过显卡的数字VGA接口输出到显示器上显示出来。在实时播放的过程中,支持图像的缩放、抓拍、录像,并可以将本地抓拍和录像上传到存储设备中。
2011-5-12 校园网工程方案 第131页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
2(远程控制
视频监控客户端软件选择一个具有控制功能的摄像头后,可以进行远程控制。首先系统会判断用户对摄像头是否有控制权限,如果没有,视频管理服务器会拒绝用户的控制请求,并在视频监控客户端上提示出来。
用户对摄像头控制有三种手段:通过串口接入PC的专业键盘,PC键盘快捷键(支持用户自定义),或者用鼠标的点击图形化的控制面板。
监控客户端将控制指令以PALCO-D的信令格式,以SIP协议的方式发送给视频管理服务器,如果云台使用PALCO-D协议,视频管理服务器直接将控制报文转发给编码器;如果云台
i文件的描述,进行协议转换,再转发给编码使用非PALCO-D协议,视频管理服务器根据in
器。编码器收到云台控制指令后,通过RS485总线将PALCO-D协议发送到云台。
全部用户对云台的控制权限分为9个等级,高优先级的用户可以抢占低优先级用户的控制权限;如果一个用户正在进行重要的操纵,可以选择锁定云台,此时高优先级客户也无法抢占,操纵完成后,用户释放云台,其他用户才可以进行操作和抢占。因为所有云台控制都是通过IP网络,经由视频管理服务器进行中转,因此可以实现全网的云台控制权限的统一分配;云台控制只有信令部分,数据量非常小,对视频管理服务器的性能没有影响。
云台控制界面
3(图像检索和回放
VM8000视频管理服务器上的数据库中记录了设备、通道、时间、报警同图像存储物理位置的对应关系,通过设备、通道号和时间段(可选),或通过报警信息,用户可以检索到已经录制的历史图像列表,双击即可播放。
在监控客户端上可以用图形化方式显示存储计划执行情况,正常录制、没有录制、无需录制等各种信息通过不同的颜色以柱状图的方式显示出来,对正常录制的部分双击即可播放。
2011-5-12 校园网工程方案 第132页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
选取到要回放的历史图像之后,通过iSCSI协议,从IP-SAN读取录制的历史图像,解码后播放出来。
在视频监控客户端上,可以对回放进行正常播放、快速播放、慢速播放、逐帧播放、暂停抓拍、录像下载等操作。可以控制图像的缩放显示,分屏显示和全屏显示。
历史图像除了可以在视频监控客户端上播放,也可以通过解码器在电视等显示设备上播放,当两者同时播放时,可以实现两者的视频同步。
图像回放的过程中,只对解码器和客户端授予“读”的权限,防止重要的录像信息被恶意或无意的篡改。
历史图像回放界面
4(报警管理
当应急救援指挥系统启动布防时,一旦编码器检测到告警检测装置的开关量输入,系统将有如下的报警联动:
, 图像输出到指定解码器或视频监控客户端;
, 系统按照预定义的方式使用视频和音频方式提醒管理员进行报警复核;
2011-5-12 校园网工程方案 第133页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
, 触发摄像头打到预制位;
, 触发存储和客户端上的录像、抓拍功能,同时记录报警的地址、级别、类型、时间,
处警的组织、结果、时间等信息;
, 将告警信号通过凤凰箝位电路输出到告警终端,触发专业报警器的生光报警;
, GIS地图上以醒目的图标显示报警的摄像头位置;
, 将告警信息通过高级业务接口输出给网管或其他业务系统,触发更高层面的告警联
动,例如三台合一系统、调度系统、OA办公系统等;
5(人机交互界面
视频监控客户端支持图形化的配置界面,所有的增删改查操作全部可以通过图形化的操作完成,所见即所得。系统对设备、监控关系、报警、巡检结果等提供报表功能,整网设备运行情况一幕了然。
系统支持GIS功能,支持通过导航地图快速定位关注的区域,在电子地图上可以直观的显示摄像头的分布和各种详细信息,例如类型、状态、经纬度,通过对电子地图上的摄像头点击操作,在导航栏上输入摄像头信息,GIS地图会将摄像头居中显示,可以便捷的提供实时播放、点播回放。
GIS功能界面图
2011-5-12 校园网工程方案 第134页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
监控客户端支持双屏显示功能,配置管理界面和回放界面分别在两个显示器上,增加了信息量。
双屏方式显示控制与回放界面:
当终端运行异常时,根据级别的不通,系统以多种方式通过告警台提示管理员确认问题,改变了传统监控系统中要靠人去一一确认设备是否正常运行,大大减轻了系统维护管理的工作量。
系统支持批量配置,当终端和摄像头数目超过一定数量级别时,批量配置是系统中必不可少的功能。
2011-5-12 校园网工程方案 第135页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
配置界面
6(用户与权限管理
系统支持域管理
, 最多7层,呈树型组网,对应某一级行政区划
, 各种设备都归属在一个域下
, 每个域可以有自己的管理员和操作员
用户管理
, 支持多级用户管理,每个用户有用户名和密码,通过MD5加密的方式到服务器上
进行验证,保证可靠性
, 整个系统有一或多个系统管理员,对全网的用户有配置权限,可选的对设备有操
作权限。
, 域管理员用户,可以对域内的编解码器、图像采集和显示设备进行增、删、改、
查,为云台设置预置位,新增域和子域的新用户
2011-5-12 校园网工程方案 第136页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
, 普通用户对摄像头和显示器的权限包括:查看配置信息,看实时监控,远遥,看
回放,下载录像,配置轮切计划;管理员可以指定某用户对于某摄像头或显示器具有
某种权限;为配置方便,也可以指定某用户对于某域内的所有摄像头或显示器具有某
种权限(权限的批量配置)。
, 当某用户需要临时访问非管辖区域内的历史或实时图像时,可以向管理员申请授
权。
云台控制冲突
, 用户分为9个云台控制的优先级
, 同级或高级用户可以抢夺控制权
, 用户获得控制权后,可以选择锁定。锁定后不能再被抢夺。
9.7 日志管理
整个系统的日志管理分为三类:系统运行日志、操作日志和告警日志
, 系统运行日志包括:设备启动、保活失败、配置不同步、故障和故障恢复等信息
(设备ID、状态变化、时间)
, 系统操作日志包括:某用户的登入、退出、对系统配置的修改、控制等
, 告警日志包括:温度过高、视频丢失报警、遮挡报警、运动检测告警、外部告警、
设备离线等。
, 系统支持针对各种告警信息提供统计报表,基于报表,提供基于告警类型和告警
时间等的查询功能。
9.8 轮切业务
轮切业务基于实时监控,是对多路实况进行轮流查看的业务。
首先通过视频监控客户端配置轮切计划,确定被显示的摄像头列表,以及每个摄像头的图像在播放中需要逗留的时间。确定了轮切方案,在执行之前还需要为方案选择一个显示设备。
2011-5-12 校园网工程方案 第137页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
轮切方案被提交到视频管理服务器之后,服务器通过SIP信令周期性的控制编解码器,
从而在监视设备上周期性的循环显示各个摄像头的实时监控信息。
9.9 多画面业务
视频监控客户端上,可以实现多画面的显示,多个画面之间的操作相互独立,比如:可
以显示多路实况,可以显示多路回放,也可以部分画面显示实况、部分画面显示回放。视频
监控客户端根据所配置的计算机性能的不同,可以支持4画面、6画面、9画面等显示方式。
视频监控客户端的业务控制与媒体播放
实时监控窗口(通道实时监控窗口(通道00))实时监控窗口实时监控窗口
(通道(通道11))菜单栏菜单栏
工具栏工具栏
查找区查找区
摄像机摄像机
列表框列表框
监视器监视器
列表框列表框
状态栏状态栏视频快捷工具栏视频快捷工具栏
9.10 终端注册认证
编解码器和监控客户端启动后,必须向视频管理服务器发起注册,在注册过程中利用SIP
协议(RFC3261)的安全性机制审计终端的合法性。只有完成了注册过程,终端才能接入到视
频监控专网,开展业务。
2011-5-12 校园网工程方案 第138页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
在运行的过程中,如果终端实时检测到异常,将信息保存到本地,上报到视频管理服务器,在客户端管理界面的告警台上提示给系统管理员。当视频管理服务器管理的域内的服务器类设备(例如数据管理服务器、流媒体服务器、IP-SAN,也包括视频管理服务器自身)出现故障时,视频管理服务器也会及时将告警信息推送到客户端上,并以稍高级别的告警提示管理员。
终端注册成功后,需要周期性的向视频管理服务器发送保活。保活是为了保证终端与视频管理服务器之间的通讯正常,采用的一种心跳检测机制。各种服务器同数据管理服务器之间也有同样的保活机制。一旦设备检测到心跳断开,说明对端设备出现了问题,此时除了发送告警信息,系统将同时按照预先设定的方案采取措施,例如将业务切换到备份设备上,在数据管理服务器和视频管理服务器进行业务切换的过程中,所有已经建立的实时监控业务和历史回放业务都不受影响。保活的默认周期是10s(推荐),有时为了提高系统在故障时的恢复速度,也可以将周期适当缩短。
视频管理服务器主动发起的配置轮询,是为了保证服务器上记录的配置与下发到编解码器上实际的配置一致。配置轮询的时候,如果出现配置不一致,将以视频管理服务器记录的配置为准,自动启动配置下发,强制终端更新的配置。同时视频管理服务器将记录日志,并启动告警提示。
9.11 时间同步
实时图像监控、历史图像时间索引、回放检索等都要求系统具有准确一致的时钟信息,监控网络中的大量服务器和终端设备都需要进行时钟同步,手工一一同步在精度上和工作量上都不能满足需要,因此一个健壮可靠的监控系统必须提供自动的时钟同步机制。
H3C视频监控系统支持域内全部设备均使用标准NTP服务器作为时间同步来源的配置,也支持域内设备根据视频管理服务器的系统时间进行域内设备进行自动时间同步。 9.12 集中管理和批量配置
当系统内存在大量终端设备时,管理员不可能分别登陆到每个设备上配置各种参数。H3C视频监控系统提供了集中的配置管理功能,管理员在权限范围内,可以对所有终端进行集中的配置,同时支持批量配置管理,提供了电信级的可维护性,减轻了管理员的工作量。
2011-5-12 校园网工程方案 第139页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
9.13 整体方案设计特点
9.13.1 高清晰的图像质量
本监控方案采用最新的专业图像技术,可提供CIF图像分辨率,支持H.264标准,编码带宽最高可达1M,尤其是在高动态图像监控场合,可以为用户提供广播级的高清图像质量,满足园区视频监控的要求。
9.13.2 专业可靠的海量存储
高可靠的数据存储设备:具备专业级的高可靠性,RAID 5技术(磁盘热备技术)确保重要数据不丢失。
高效的数据检索技术和数据管理:直接采用块方式进行视频数据的读写,保证写入、查询、读取等各种操作的高效,同时具备最佳的系统稳定性。
存储资源利用率高:可动态调解IP SAN存储资源,提高资源利用率,可实现存储空间的运营;存储空间可无限扩展,确保海量视频信息的真实还原。
数据存储管理上的安全保障:基与 IP,SAN技术的NVR (Network Video RecordECR):可实现分布部署也可实现集中部署。同时可实现集中管理。
可以在监控系统中任意布置存储设备:在以较低的代价实现异地存储。实现内防内控。通过专利技术提高安全性并且不损失性能――
视频编码设备直接写入存储方案:编码设备支持iSCSI协议,裸数据方式直接写入盘阵。
裸数据同时支持windows文件系统和LINUX文件系统读取,具备很好的兼容性。
管理服务器(DM)可通过特殊技术手段在数据写入过程中实施监控数据写入过程,可完成视频数据实施刷新,和存储装态实施监控。
9.13.3 智能便利的管理维护
将IP网管及业务控制平台的技术应用至IP监控系统,彻底改变传统监控只能依靠人工进行系统管理和维护的局面,实现编解码、存储、网络传输和业务软件(服务器)四大平台的统一管理。支持分级分域的管理、灵活的用户权限管理、自动的设备批量配置、全网设备
2011-5-12 校园网工程方案 第140页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
的统一拓扑视图、拓扑自动发现管理、全网设备状态管理、故障自动告警及定位管理和GIS地图功能。
对大量前端编码器管理:管理平台批量下发设备的配置;定期对设备配置进行巡检,必要时可自动纠正设备配置;新加入的设备自动通知管理平台
对图像存储管理:实时监视所有网络存储IP SAN设备工作状态;动态分配存储空间;禁止非法篡改以保证数据安全;控制访问权限,日志保留所有访问记录确保图像隐私不被非法获取。
故障管理:故障发现并告警(告警灯、声音、Email、短信),故障识别、定位、并且自动修复。
9.13.4 电信级的设备高可靠性
采用电信级器件和制造工艺,充分满足高风险等级场所的高可靠性监控需求。编码器产品针对室外恶劣环境使用设计,温度范围广,长时间工作范围-0,65 ?。防雷等级达到了正负4KV,冲击电流3KA的通流量要求,静电达到了正负8KV的要求,平均无故障间隔时间(MTBF) > 500,000小时,指标远远高于一般厂商产品。支持醇酸树脂绝缘涂覆保护技术,达到防潮、防霉、防盐雾侵蚀的1级户外防护等级要求,提高产品的可靠性
9.13.5 国际标准的高锲合
设备控制信令完全符合IETF SIP标准(会话初始协议),SIP协议是公安部《监控报警联网系统通用技术要求》推荐信令,可以方便的和其它多媒体系统互通。图像编码完全符合国际标准,包括H.264 BaseLine Profile和H.264 MainProfile,图像格式标准化完全通过国际通行的第三方公司Tektronix测试仪器的严格测试 。存储技术完全符合国际iSCSI标准,充分支持端到端的网络视频IP SAN存储。通过开放的API,业务生成和支持方式标准化。各项标准技术的采用可以最大程度的保护用户的投资。
2011-5-12 校园网工程方案 第141页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
第10章 校园网络管理系统规划设计
“十二五”期间数字化校园信息化建设取得了辉煌成果,基本实现了高带宽、广覆盖、可运营、可管理的数字化校园硬件平台,完成了学校基本的教学、科研、管理和服务系统的信息化建设。具体来说,在基础设施建设方面,完成了万兆校园网改造、升级,解决了骨干带宽、出口带宽的问题;大规模的建设了学生宿舍区和新校区的网络,实现了校园网络的大范围覆盖问题;开展了认证、计费、管理和网络安全方面的建设。在应用系统建设方面,实现了网络教学系统、数字化图书馆系统和网络实验室系统等面向教学和科研的应用系统;在校园管理信息系统、办公自动化系统、社区服务系统、一卡通系统等方面也取得了一定的成绩。
但当前数字校园网络还面临许多挑战,在解决了带宽和覆盖问题的同时,校园网络需要进一步优化,校园网管理需要更加智能和易用。随着信息技术的发展,为提高办公效率及改善教学环境,当前的学校越来越多地应用了信息技术,对于网络的依赖性也越来越大,学生需要上网查阅资料、吸收新知识、接受网上教学,老师需要借此了解最新科研进展。校园网络上通常承载着学校的办公系统、教学系统及学生宿舍网络系统,网络如果发生问题,会对学校的正常运作产生严重的影响。随着网络基础架构日趋复杂,传统的设备命令行、简单的管理工具已经不能够满足网络管理的需求。业界的经验证明,选择一个优秀的网络管理系统是保证网络最大可用性的有效手段。
在整个某大学的校园网的管理上,建议采用H3C公司iMC智能管理中心平台来作为整个网络的管理工具。可以将所有设备的网管信息通过SNMP协议传至网管中心,实现集中管理,同时便于网管人员的集中维护和故障定位。
H3C智能管理中心(intelligence Management Center,iMC)平台(简称iMC平台)为用户提供了实用、易用的网络管理功能,在网络资源的集中管理基础上,实现拓扑、故障、性能、配置、安全等管理功能,不仅提供功能,更通过流程向导的方式告诉用户如何使用功能满足业务需求,为用户提供了网络精细化管理最佳的工具软件。对于设备数量较多、分布地域较广并且又相对较为集中的网络,iMC平台提供分级管理的功能,有利于对整个网络进行清晰分权管理和负载分担。iMC平台除了涵盖网络管理功能外,还是其他业务管理组件的承载平台,共同实现了管理的深入融合联动。
作为数据通信网管整体解决方案之一,H3C IMC网络管理软件为用户提供了灵活的组件化结构,包括网元管理平台、广域网管理系统、局域网管理系统、网络管理工具、多媒体管
2011-5-12 校园网工程方案 第142页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
理系统等,用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件,真正实现“按需建构”。
10.1 产品特性
10.1.1 全面的基础资源管理
?更多的管理设备类型:除了传统的路由器、交换机外,更能对网络中的无线、安全、语音、存储、监控、服务器、打印机、UPS等设备进行管理,实现设备资源的集中化管理。
?多厂家设备的统一管理:除了对H3C的网络设备管理外,iMC平台还实现了对业界其他主流厂家网络设备的管理。
?灵活快捷的自动发现算法:基于H3C专利的发现算法,iMC平台不仅提供了快速自动发现方式,还提供了四种高级自动发现方式,包括路由方式、ARP方式、IPSec VPN方式、网段方式等,能快速、准确地发现网络资源。
?直观的设备面板管理:支持设备面板管理,所见即所得的显示设备的资产组成和运行状态。
2011-5-12 校园网工程方案 第143页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
?清晰的网络设备资产管理:在将iMC平台中管理的设备增加到网络资产管理的同时,系统还会自动发现该设备上可以管理的配件信息,并将这些配件加入到网络资产中进行管理,管理员可以对网络资产信息进行修改,还可以查看该资产的子模块信息、接口信息以及变更审计历史信息。
10.1.2 灵活的拓扑功能
?多种网络拓扑视图:除传统的IP拓扑视图外,iMC平台还提供全网络的拓扑视图和自定义拓扑视图,使用户可以根据自己的组织结构、地域情况、甚至楼层情况清晰灵活地绘制出客户化的网络拓扑。在全网络拓扑视图中,用户可以随意组织和定制子图。
2011-5-12 校园网工程方案 第144页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
?增强的二层拓扑:传统实现的拓扑都是基于IP的三层拓扑,iMC平台在此基础上更支持二层拓扑,实现了同一个VLAN或者网段内部PC与网络设备、二层网络设备之间的互连关系,更方便直观的体现了网络中设备的互联关系。
?数据中心机房、机架拓扑:iMC平台支持按设备物理位置进行组织的数据中心机房和机架拓扑。通过此拓扑视图,用户可以很方便的找到设备在机房中所处位置,进而对设备物理实体进行管理维护。
10.1.3 智能的告警管理
?直观的故障列表:H3C智能管理中心能自动汇总全网中故障设备,形成故障设备列表,使管理员能快速、清晰的找到需要关注的故障设备。
?智能的告警关联:提供对重复告警、突发的大流量告警、未知告警的自动过滤,用户还可以自定义过滤规则,以有效压缩海量网络告警,使得管理员直接关注真正的网络故障。
2011-5-12 校园网工程方案 第145页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
?告警根源分析和影响度分析:提供基于拓扑的区域告警根源分析,提供告警关联分析,提供告警分组分析,有效屏蔽故障引起的海量表象告警,方便用户快速定位、查找故障根源,确认故障影响的范围。
?告警定义和Mib导入:在支持标准Trap以及H3C、华为、Cisco等主流厂商私有Trap基础上,还提供新增及通过Mib导入Trap定义功能,方便快速地支持各厂商新Trap。 ?丰富的告警转发机制:除提供告警声光提示、转Email、转短信等方式外,还可以针对不同的告警定义不同的提示内容以及对应维护参考,当再次出现同类告警后能直接对应到相应的维护参考。
?结合拓扑直观的设备故障状态监控:与传统的网管告警和拓扑状态互相分离做法不同,使用显著的颜色把故障状态直观的反映在拓扑中的设备和链路图标上,用户仅需要查看拓扑,即可知道网络的整体运行状态。
?Syslog接收与分析:iMC平台支持多厂商设备的Syslog原始报文接收,提供日志浏览、查询、导出及自动转储功能。并且可以根据预定义及用户自定义规则对Syslog报文进行分析,将关键事件升级为告警,有效地帮助用户在海量Syslog报文中及时发现网络关键事件。 ?安全事件联动:iMC平台对多厂商设备的Syslog报文进行分析,提取安全相关的关键信息(比如攻击事件类型、攻击源、攻击目的),并根据安全控制策略,采取匹配的安全动作,比如关闭攻击源网络端口等。
10.1.4 易用的性能管理
?一目了然的网络TopN性能指标:CPU利用率、内存利用率、带宽利用率、设备响应性能、设备不可达等是网络性能管理中用户最关注的几项,iMC平台通过TopN列表,使用户能一目了然当前网络中的性能瓶颈问题。
2011-5-12 校园网工程方案 第146页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
?性能视图:用户可灵活定制性能数据浏览视图,分析网络运行趋势。性能视图支持多指标多实例数据组合的展示,支持TopN明细表格、TopN柱图、折线图、柱状图、面积图、汇总数据多种性能监控数据展示方式。
?性能与告警的深度结合:iMC平台支持对每一个性能指标设置两级阈值,发送不同级别的告警。用户可以根据告警信息直接了解到设备监视指标的性能情况,有助于用户随时了解网络的运行状态,预测流量发展趋势,合理优化网络。
?详实的性能统计报表:利用采集到的性能数据信息,iMC平台能对关键的性能监控内容形成实用、详实的统计报表,用户可以直接打印这些报表,也可以将报表导成Excel、Html、PDF、Word等形式的文件。
?丰富的拓扑性能指标实时展示:iMC平台支持在的拓扑中展示设备和链路性能监控数据,用户可为不同设备和链路定制不同展示指标。
10.1.5 强大的配置管理
?资源化的配置和软件管理: iMC平台以资源管理的角度提供了配置模板库和设备软件库的管理。配置模板库维护网络设备配置模板文件、用户常用的配置模板片段两种资源;配置模板文件可部署为设备的启动配置或者运行配置;配置模板片断可部署为设备的运行配置,也
2011-5-12 校园网工程方案 第147页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
可通过启用“下发命令后将设备运行配置保存为启动配置”选项部署为启动配置,并且配置内容可以带有参数,在部署时根据设备的差异设置不同的值。
设备软件库维护各类软件文件。除了管理设备的版本软件,还支持设备上各种业务的软件管理(目前包括ONU软件、ONU算法等设备软件资源),从而实现设备软件文件的统一管理。用户可以将配置模板、设备软件文件从系统中导出到本地系统,建立本地的配置、软件文件资源备份;反过来也可以从本地文件中导入到iMC平台中。
?集中化的设备配置和软件信息展示:提供全网设备的配置文件、软件版本信息集中式展示,包括设备的当前软件版本、最新可用于升级的软件版本、最近备份时间、是否已加入自动备份计划等信息;可提供管理员对设备的集中操作包括设备配置部署、设备配置备份与恢复、设备软件升级与恢复、设备空间管理、设备软件基线化管理功能,极大的方便了管理员直观的掌握当前网络的配置和软件版本。
?基线化的设备配置变更审计:通过配置备份历史和软件升级历史的管理,实现基线化的设备配置变更审计功能,使配置文件管理和软件升级管理具有了可回溯性。提供设备运行配置
2011-5-12 校园网工程方案 第148页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
和启动配置的基线化版本管理,将每个设备相关的配置文件划分为三种版本:基线、普通、草稿。便于管理员识别、管理。并可快速恢复至基线配置。提供设备软件基线化版本管理,每个设备可以指定一个基线版本,提供基线审计及快速恢复至基线版本功能。
?自动化的建立可追溯的网络配置:通过启动自动备份功能,帮助管理员周期性自动地完成设备配置的历史备份,为用户自动建立起可追溯的网络配置。用户可以针对不同的设备设置不同的备份周期和备份时间点,支持按天、周、月周期备份。支持网络运行设备的配置变化检查,一旦配置发生变化,立刻以告警方式通知管理员关注。
10.1.6 丰富的VLAN管理
iMC平台的VLAN管理的功能包括:全网VLAN管理、 VLAN设备管理、VLAN拓扑、VLAN批量部署等,同时提供详细的VLAN操作结果报告,方便网管员跟踪VLAN配置的历史记录。 ?全网VLAN管理:通过全网VLAN管理功能,管理员可以很方便的在全网范围内增加、修改和删除VLAN,查看VLAN具体的不属于哪些设备,并能够方便地对VLAN内的设备进行管理。 ?VLAN设备管理:iMC平台提供了对单个设备上VLAN相关资源的管理,比如对VLAN、路由虚接口、Access、Trunk、Hybrid的创建、删除和修改。
2011-5-12 校园网工程方案 第149页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
?VLAN拓扑:在VLAN拓扑中,通过节点或链路加亮的方式显示是否允许当前VLAN通过,这对于判断VLAN的连通性非常方便;同时允许管理员直接基于拓扑图进行配置,使当前VLAN在某节点和链路上允许通过,相对传统的配置方式较为直观。
?VLAN批量部署:采用向导方式,提供对全网内的VLAN资源进行批量配置,包括批量部署Access口、批量部署Trunk口、批量部署Hybrid口、批量部署VLAN等。
10.1.7 实用的IP/MAC管理
?IP地址分配:将IP地址作为网络中的一种资源,进行统一分配和管理。管理员可以通过自动扫描,快速的查找网络中正在使用的IP地址,从而进行方便快速的分配。除了自动扫描外,管理员也可以根据情况,手工设置要分配的IP地址。使用划分IP地址段功能,管理员还可以按照部门、办公区等方式,将多个IP地址划分到一个IP地址段中,以便对IP地址进行更方便的管理。IP地址完成分配以后,管理员能够通过详细的IP地址分配情况统计图表和各类查询条件,直观的了解和掌握整个网络的IP地址资源使用情况。
2011-5-12 校园网工程方案 第150页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
?IP/MAC绑定:IP/MAC绑定可以将IP地址与MAC地址进行绑定,这种方式的好处在于可以防止用户随意修改IP地址,做到IP地址的统一管理,避免安全隐患。通过IP/MAC绑定功能,iMC平台将对操作员配置的IP/MAC绑定关系进行管理,当用户使用错误的IP/MAC配置接入网络时,iMC平台将发送告警通知管理员,以便管理员能够及时发现安全隐患。IP/MAC绑定功能,不会下发数据到设备,而是将IP/MAC绑定关系放在网管中维护,与设备上支持的绑定功能实现不同。网络管理员可以根据自己的管理需要,可以通过自动扫描来发现当前网络中已经使用的IP地址和MAC地址的关联关系来进行绑定,也可以通过新增的方式来创建IP/MAC绑定关系。IP/MAC绑定信息包括IP地址、MAC地址、机器名称和机器类型信息。 ?MAC/接口绑定:MAC/接口绑定可以将终端MAC地址与接入设备上的接口进行绑定,这种方式的好处在于可以防止未授权的终端MAC地址接入到接入设备上的特定接口,及时发现非法接入网络的安全隐患,避免造成的网络流量异常等网络问题。通过MAC/接口绑定功能,iMC平台将对操作员配置的MAC/接口绑定关系进行管理,当未授权的MAC接入到接入设备的接口时,iMC网管将发送出告警通知管理员,以便管理员能够及时发现安全隐患。管理员可以通过自动扫描来发现当前网络中已经使用的MAC地址和接口信息的对应关系并对其进行绑定,也可以通过新增的方式来创建MAC/接口绑定关系。MAC/接口绑定信息包括MAC地址、IP地址、
2011-5-12 校园网工程方案 第151页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
机器名称、机器类型、接口描述以及接口所在设备IP信息。
?IP接入定位:IP接入定位用于查看网络中某个客户端与设备之间的接入关系,即根据客户端的IP地址或MAC地址,查看该客户端是通过哪台设备的哪个接口在何时接入到网络的。 使用IP接入定位功能,可以帮助网络管理员迅速定位网络中存在安全隐患的客户端,并将其隔离,以保证网络的正常运行。
?IP/MAC学习查询:查询某台交换机或者交换机的某个接口学习到的所有IP/MAC地址信息,用于确定某台网络设备大概所在的位置。学习到的IP/MAC信息包括:交换机IP、交换机接口描述、VLAN ID、IP地址、MAC地址。
10.1.8 专业的网络分级分权管理
对于大型网络和业务管理的需要,iMC平台提供分级分权管理功能。通过权限管理,可为不同的iMC操作人员规划不同的权限,不同的权限对应不同的设备分组,从而实现精细化分权管理能力。分级管理功能是将整个网管分为上、下级两层(或更多层),其中专业版iMC平台为上级网管,其他的iMC平台(专业版或标准版)为下级网管。用户可以通过上级网管直接对下级网管及其管理的设备进行管理。下级iMC的重要设备、重要告警的告警信息可以通过分级网管的告警功能通知上级iMC的管理人员。可以在上级iMC的“下级网管视图”中管理下级iMC及其管理的设备。“下级网管视图”用来展示当前服务器作为上级网管服务器所管理的下级网管服务器的信息,同时也是增加、修改、删除、登录下级网管等操作的入口。
2011-5-12 校园网工程方案 第152页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
同时,上级网管可通过系统预置报表模板和自定义报表模板,立即、周期性生成下级网络运行状态报表,全面了解全网运行状况。
10.1.9 多种网管平台的集成能力
iMC平台的集成插件支持与OpenView,SNMPc和NetView等网管平台集成,集成后的第三方网管平台可以识别H3C设备、显示H3C设备图标,并且用户可以通过第三方网管平台上的菜单项,直接调用iMC打开H3C设备面板、查看和管理该设备。iMC平台还提供了一种特殊的用户,该用户只能是维护员或查看员,并且仅能使用网元组件的相关功能。
10.1.10 IT资源深度管理的承载平台
除了网络管理功能外,iMC平台更是IT资源深度管理的承载平台,在此基础上用户可以增加H3C智能管理中心“NTA网络流量分析”、“MPLS VPN管理”“EAD终端准入控制”、“UBA用户行为审计”等组件,同时基于SOA的软件架构也能方便集成用户原有管理系统。
2011-5-12 校园网工程方案 第153页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
10.2 网络集中监视
H3C IMC网络管理软件提供统一拓扑发现功能,实现全网监控,可以实时监控所有设备的运行状况,并根据网络运行环境变化提供合适的方式对网络参数进行配置修改,保证网络以最优性能正常运行。
全网设备的统一拓扑视图
拓扑自动发现,拓扑结构动态刷新
可视化操作方式:拓扑视图节点直接点击进入设备操作面板
在网络、设备状态改变时,改变节点颜色,提示用户
对网络设备进行定时(轮询间隔时间可配置)的轮循监视和状态刷新并表现在网络视
图上
支持拓扑过滤,让用户关注所关心的网络设备情况
支持快速查找拓扑对象,并在导航树和拓扑视图中定位该拓扑对象 10.3 故障管理
故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控,查询和统计设备的告警信息。
告警实时监视,提供告警声光提示,支持外接告警箱
支持告警转到Email、手机短信
支持告警过滤,让用户关注重要的告警,查询结果可生成报表
支持告警基级别重新定义,支持告警转存,保证系统的运行效率和稳定性
支持告警拓扑定位,将显示的焦点定位到产生选定告警的拓扑对象
支持告警相关性分析,包括屏蔽重复告警、屏蔽闪断告警、屏蔽root-cause告警等 10.4 集群管理
针对大量二层交换机等低端设备的应用环境,H3C IMC网络管理软件提供集群管理功能,通过一个指定公网IP的设备(称作命令交换机)对网络进行管理。
实现对一组设备统一、集中、批量配置管理;
实现设备的集中维护管理;
2011-5-12 校园网工程方案 第154页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
网络拓扑信息自动收集、维护,动态更新;
节省公网IP地址资源;
实现方便的软件升级、配置数据备份、配置数据恢复;
10.5 堆叠管理
堆叠是由一组交换机组成的一个管理域,其中包括一个主交换机和若干个堆叠成员交换机(从交换机),利用一个公有IP地址可以实现堆叠内所有交换机的管理。
H3C IMC网络管理软件通过堆叠管理,可以集中管理较大量的低端设备,并且为用户提供统一的网管界面,方便用户对大量设备的统一管理维护。其中,主交换机提供了对整个堆叠的管理接口:主交换机在从交换机加入堆叠时,自动给从交换机分配可用的IP地址,网管站通过此IP地址实现对从交换机的管理和维护。
10.6 流量性能监控
H3C IMC网络管理软件可以统计不同线路的利用情况,不同资源的利用情况,为优化或扩充网络提供依据。H3C IMC提出了层次化性能监控的概念,针对不同的侧重点,提供不同的性能监控工具。
H3C IMC网络管理软件提供Traffic View工具,能够检测网络设备端口流量变化,它使得网络管理者能够直观地观测设备流量的变化,从而对网络设备进行有效的管理。
针对用户关注的业务性能,H3C IMC网络管理软件提供了基于报文流七元组信息的流量工具——NSC&NDA,它是网流的收集和分析工具。其中,网流收集器(NSC,NetStream Collector)提供快速的网流设备数据收集工具,包含的功能:
收集多个网流设备输出的网流统计数据;
通过配置过滤器过滤掉不必要的数据;
通过聚合减少统计数据的磁盘空间占用量;
分层次存储数据(便于客户端应用程序获取数据);
网流数据分析器(NDA,NetStream Data Analyzer)可以分析由NSC生成的所有数据
文件,对数据文件中的数据进行进一步的聚合、排序,并将分析的结果以各种图形方
式(如柱状图、饼图和趋势图等)显示出来,提供如下功能:
详细自治域矩阵数据查询功能
2011-5-12 校园网工程方案 第155页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
网流分布的图形化分析
详细自治域矩阵流量分析功能
10.7 故障定位与地址反查
针对最为常见的端口故障,H3C IMC网络管理软件提供了便捷的定位检测工具——路径跟踪和端口环回测试;当用户报告网络端口使用异常时,网络管理员可以通过网管对指定用户端口做环回测试,直接定位端口故障。
为了网管工作自动化,网络设备内嵌智能Agent,对需要经过复杂计算的性能数据主动进行监视,在超出阈值时自动上报告警,并转发到Email、BP、手机短信及时通知网络管理员,让网络管理员随时随地监控网络运行状况。
端口反查功能支持两种方式的查找定位功能:MAC地址端口反查和IP地址端口反查,使用时分别输入终端用户的MAC地址或IP地址,能够定位该终端用户连接的交换机及交换机的端口,帮助网络管理员及早定位非法报文接入网络的原始端口,及时关闭端口,防止一些违规用户进行非法操作比如滥发报文、访问非法站点等,危害网络安全。 10.8 与通用网管平台集成
H3C IMC网络管理软件支持与业界通用的网络管理系统包括(HP OpenView、IBM NetView、What's Up Gold、SNMPc等)相集成,提供统一管理解决方案,H3C IMC网络管理软件可以适应多种操作系统(包括Windows 2000/NT、SUN Solaris、IBM AIX、HP UX)、组网灵活,能够有效减少客户重复投资,节约客户成本。
10.9 行业用户网管解决方案
针对行业用户,H3C IMC网络管理软件提供完善的解决方案:
针对教育、公安、政府、企业行业特点,提供了对接入用户的访问记录功能,为用户提供详细的网络访问统计信息和一个完整的用户访问跟踪记录,便于追踪非法用户。
针对校园网的特点,提供了丰富的业务管理功能,可以完成DLSw,终端接入,POS接入等业务配置管理。
IP语音(VOIP)管理功能,提供呼叫跟踪、呼叫状态监控、历史呼叫信息统计功能。
2011-5-12 校园网工程方案 第156页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
10.10 RMON管理
RMON管理根据RFC1757定义的RMON-MIB及华为自定义告警扩展MIB对主机设备进行远程监视管理。H3C IMC网络管理软件的RMON管理包含的功能如下:
统计组的配置及数据浏览;历史组的配置及数据浏览;告警组的配置及浏览;事件组的配置及浏览;扩展告警组的配置及浏览
10.11 Web特性
提供Web特性,具有完善的安全机制,用户可随时随地管理网络,降低管理网络的难度与强度,使网络运维过程流程化,能够灵活地组织设备集合,快捷地获得设备各类信息。
提供设备日志分析工具,使用户及时了解网络中设备运行状况。
通过定期轮询机制,帮助用户及时了解网络关键设备的在线情况。
提供批量配置功能,将用户从烦琐,重复的配置工作中解脱。
提供设备配置文件管理功能,帮助用户建立配置文件版本管理机制,减少灾难情况下
网络的恢复时间。
具有完善的报表功能,让用户对网络运行情况一目了然。
提供统一的任务机制,使用户对网络运维管理能够统一流程。
下图是该产品的界面示例:
2011-5-12 校园网工程方案 第157页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
第11章 方案优势总结
11.1 H3C是教育行业第一品牌
2002年开始进入教育行业,08年教育行业销售5.3亿,远远超过其它业界友商。无论从
销售额、品牌地位还是市场覆盖,都是教育行业无可争议的第一品牌。
, 2008年, H3C合同销售额近100亿人民币。缴纳各项税费近8亿元人民币。 H3C
纳税额等于小型IT公司全年销售额。
, H3C在中国IP通信市场全面领先:
, 以太网交换机端口数市场份额32.7%,排名第一(IDC, 2009.3);
, 企业级路由器台数市场份额50.4%,排名第一(IDC, 2009.3);
, 运营商WLAN设备市场份额25.7%,排名第一(IDC,2009.3);
, 网络安全设备市场份额13.4% ,排名第一(赛迪顾问,2009.1);
, 终端准入控制(EAD)解决方案终端部署份额38.8%,排名第一(赛迪顾
问,2009.1);
,H3C在中国IP存储 市场, 2008年中国IP存储市场用户投资额同比增长74.4%
用户投资额的份额达44.8%,连续9个季度排名第一(IDC, 2009.3 );
, 在视频监控市场,编解码设备销售额市场份额达20.4%,排名第一(IDC, 2008) ;
, IP智能监控成为平安工程第一品牌,截至08年底承建超过120个平安城市项目;
, 在城市应急联动系统市场领域,综合竞争力排名第一(赛迪顾问,2009.1)。 , H3C在教育信息化中是首选合作伙伴
, 2003年的‘西部大学校园计算机网络建设工程’,H3C参与全部152所高校中的 124 个校园网建设;
, 2004年作为主流设备供应商,承建中国教育下一代互联网工程 Cernet 2;
, H3C的网络产品已经覆盖 90, 以上的211’高校‘;
, H3C承建超过 80, 的新建教育城域网项目;
, 近三年的外资教育贷款项目中,90, 由H3C承建;
, 迄今为止,H3C已经参与了1500 余所高校的网络建设;承建超过 1200 所高校的核心网项目;
, 承建120 多个大学城、普教城域网及校校通工程;建设超过16000 余个中小学2011-5-12 校园网工程方案 第158页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
校园网;
, 在IPv6试商业项目中,综合市场占有率达到 60,。
11.2 H3C是唯一提供全面IToIP数字校园解决方案的厂商
教育一直作为H3C的战略市场在重点投入,是业界产品线最全,最贴近高校信息化建设需求的解决方案供应商。
H3C多年在教育信息化中的实践经验,深刻理解教育信息化的需求与发展趋势,至今为止,已经为广大院校提供数十个以上的细化解决方案,并将其创新性的系统化为采用一个平台、三个中心架构。这就是H3C IToIP数字化校园解决方案。此外,H3C基于标准开放的IP 架构,整合校园网络技术、多媒体通信技术、存储技术、管理技术,将用户网络建设成本、运营维护成本降至最低。此外,H3C提供更多的IT系统开放能力,在教育行业寻求更多的开发合作伙伴,共同为学校作出定制化的、与校园上层业务紧密结合的合作方案,形成多方共赢
,为广泛的行业用户提供专业、快捷、的价值链。在服务方面,依靠专业服务品牌——H3Care
规范的服务,在全国建立了30个区域服务中心和区域备件系统,技术服务体系的专职人员规模超过400人;对于教育行业,H3C结合行业特点,优化服务内容,使用户得到更有针对性的保障与服务。
11.3 H3C是唯一真正全面具备IPv6建设经验与实践的厂商
按照目前的教育信息化发展趋势,校舍安全系统必须满足IPv6环境下的使用要求,目前H3C是唯一真正全面具备IPv6建设经验与实践的厂商。
, CERNET2骨干网25台高端IPv6路由器应用(近50%份额);
, CERNET2驻地网39台接入IPv6交换机(55%份额)
, 包括北京邮电大学、中国政法大学等高校,至2008年10月已有57所高校整体
采用H3C系统开通IPv6业务(自行开通的高校未计算在内)
, “IPv6试商用项目”通过出色的入围测试效果与服务承诺,取得了入围率87.5%
的第一排名;
华三对教育行业CNGI项目全面参与并取得了优异的成绩,在教育行业用户IPv6需求的理解上是经过了最长时间积累的,也是研发投入时间最长的。而这些基于用户业务充分理解的产品与方案,在5年的实践中,也充分得到了验证,在5年中最广泛的用户帮助我们不断
2011-5-12 校园网工程方案 第159页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
完善和成长。H3C数以十万记的产品经过了5年以上的时间在包括教育行业用户在内的广大用户中充分得到了验证。
11.4 H3C是唯一一家开放平台的监控厂商
H3C是唯一一家开放平台的监控厂家, 对于有开发实力的渠道,便于做二次开发,节省工作量。
H3C是唯一一家提供包括管理、编解码、存储、传输整体解决方案的设备厂商,降低了渠道的方案设计以及后期维护的工作量,
, H3C提供了一个完整的联网解决方案之道:从标准的制定、到方案设计、到分步实施过程中的长期技术支持
, H3C独特的技术优势:
唯一能提供包括管理、编解码、存储、传输整体解决方案的设备厂商;
在信令,传输,存储,管理,视频/音频算法等方面都完全具备原厂商能力。
H3C是唯一一家提供平台级开放接口的厂商,可以兼容原有监控
, H3C在国内大量的案例:
IDC,,年报告,,,,网络监控中网络,存储,编解码器市场占有率都排名第一
在国内市场,尤其是大联网联控中,H3C积累了大量的经验。这些经验可以充分利用到普教联网的项目实施中,避免重走弯路。
浙江省公安厅共享平台,中国铝业生产救援视频监控联网系统,中石化生产调度联网系统,国办应急指挥,新华社联网监控,深圳工行联网监控,多个公安应急平台,多个监狱管理局。 11.5 H3C网络虚拟化技术保障数据中心高性能、高可靠
H3C提供IRF(智能弹性架构)技术实现网络的虚拟化。它是一种将多个网络设备虚拟成一台(系统)设备的技术;
, 虚拟成一个系统,可以将系统性能实现叠加、翻番;
, 虚拟成一个系统,可以将每个成员的资源、能力统筹调用;
, 虚拟成一个系统,可以实现毫秒级的超快收敛;
, 虚拟成一个系统,可以避免聚合组内的单点故障问题;
, 虚拟成一个系统,可以只管理一个对象而不是N个;
2011-5-12 校园网工程方案 第160页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
11.6 H3C所有网络设备支持全分布式交换
H3C的高端路由、交换产品均支持并实配了全分布式交换。与集中式交换架构不同,全分布式交换可以极大的提升系统性能,消除流量阻塞隐患。
集中式转发架构的特点是:
, 主控引擎承担整机的查表转发与ACL等工作;
, 接口板只单纯完成报文上送引擎的工作,而不需要对报文做任何处理;
, 性能低,扩展越多能力越差、成本也极低(接口板为“光板”等原因);
, 台湾地区一些小厂家2000-2002年产品的普遍形态
分布式式转发架构的特点是:
, 接口板上具有独立的交换芯片是最大区别,也是分布式的关键;
, 接口板能够独立处理查表转发等工作,主控完成跨板交换与协议计算和管理等;
, 性能高,扩展能力强
11.7 H3C安全设备融合设计,实现业务集成化
H3C提供融合的安全技术,所有安全设备以SecBlade板卡的方式集成在数据中心交换机中。SecBlade是一种具备业务管控能力的硬件设备;是一种核心交换的插卡模块化技术;是一种让平安工程省级数据中心的交换机集成防火墙、IPS、流控、负载均衡的技术。
这样做的好处是交换机所有接口均可用于SecBlade模块,并且交换机能够同时部署多块SecBlade模块,实现很方便的平滑升级,扩容方便,性能成倍增长。此外,业务集成化方案部署简单,减少设备占用空间和布线难度,代表了数据中心网络安全设计方案的最新发展趋势。
11.8 H3C提供针对教育行业用户的贴心定制化服务
全国31个省市自治区都设有办事处,每个办事处有专人负责教育行业市场,36名教育行业销售代表。建立了完善的售后服务队伍。全国总共有2000多家合作渠道,其中有200多家从事教育行业。
, 完备的售后支撑体系,提供端到端的技术支持
, 遍布全国30个区域办事处的教育行业技术服务专家
, 完善的服务交付流程、服务规范、交付标准
2011-5-12 校园网工程方案 第161页, 共162页
安徽易科技术有限公司 www.aetc.com.cn
, 展开全国范围内教育行业网络巡检服务
, 掌握网络运行情况第一手资料,最大限度降低网络运营风
, 发现全国高校共性网络问题,提供行业专家级服务
, 灵活响应突发性问题,快速推出定制化服务解决方案
, 防范ARP攻击服务解决方案
, Ipv6升级服务解决方案
, 教育培训服务,弘扬企业社会责任感
, H3C网络学院
, 举行网络夏令营活动
止了非法用户的ARP攻击。
2011-5-12 校园网工程方案 第162页, 共162页
/
本文档为【学校技术建议方案】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
相关资料
- 园林绿化单位(子单位)工程质量竣工验收报告
- 2010年国际贸易术语解释通则(中文完全版)
- 宝鸡文理学院2014届毕业生就业信息推荐表
- 硬盘安装【win7 32位精品】ghost win7 sp1 纯净版 v61 教程
- (浙江)高考语文二轮复习 专项训练(九) 语言基础知识 诗歌鉴赏配套作业(解析版)
- 【大学课件】阳模吸塑与阴模吸塑工艺的区别
- 公共管理学课件(人大,张成福)3
- 2016微课11
- 中国制造2025心得体会
- 七年级道德与法治下册教学计划
- 2018区移民办工作总结
- 2019-2020学年高二数学上学期第三次月考试题文(V)
- 德尔格呼吸机技术讲解
- UIC615-4-2003_20OR_20转向架构架结构强度试验规程.
- 机械安全注安教材_PPT课件
- 华侨大学第31届田径运动会(泉州校区)竞赛规程
- 电气抗震设计说明
- 国标GB_工业芳烃铜片腐蚀试验法
- 占察法门(04)感应事迹感应事例(05)
- 不在厨房玩活动反思
热门搜索
- 内部审计实务指南第1号--建设项目内部审计
- 作为诗歌手段的中国文字
- 大客户销售策略和技巧.
- 淄博市农村不动产确权登记指导意见
- 《链条及其标准化》PPT课件
- 地质勘查资质监督管理办法
- 标志设计说明书
- 丁武老师的故事
- 北京市主要道路交通双语标识英文译法实施指南
- 3篇小学生期末通知书
- 纳米金和黄金的区别
- 叠片机说明书
- 2020版北京刑事诉讼格式文书六 律师事务所函(担任申诉代理人适用)
- 2010年本科院校学报投稿邮箱和联系方式地址汇集
- 内部审计实务指南第1号--建设项目内部审计
- 作为诗歌手段的中国文字
- 大客户销售策略和技巧.
- 淄博市农村不动产确权登记指导意见
- 《链条及其标准化》PPT课件
- 地质勘查资质监督管理办法
- 标志设计说明书
- 丁武老师的故事
- 北京市主要道路交通双语标识英文译法实施指南
- 3篇小学生期末通知书
- 纳米金和黄金的区别
- 叠片机说明书
- 2020版北京刑事诉讼格式文书六 律师事务所函(担任申诉代理人适用)
- 2010年本科院校学报投稿邮箱和联系方式地址汇集
你可能还喜欢
- 花体字
- 氩气安装具体技术方案
- 新职员员工三级安全教育考试试题及答案
- 光发送机与光接收机(共53张PPT)精选
- 维京师豹子的最后一战(The last battle of the Wiking leopard)
- [整理版]唐山市人才交换中间简介
- DWI和MRS在颅脑疾病鉴别诊断中的应用
- [合同协议]第5章 合同专用条款-英文
- 保卫萝卜2存档下载 水晶萝卜完美通关
- 弱电统一理论的新方案
- 芜湖市电梯定期检验收费标准
- 全球著名物流公司名称中英对照表
- 幼儿园入户指导记录
- 多发性骨髓瘤完整版本
- 汉译圣经的新实践_冯象译摩西五经
- MegaRAIDStorageManager(MSM)安装使用教程
- 如意测字—— 假借测字法
- 如意测字—— 假借测字法
- 如意测字—— 假借测字法
- 如意测字—— 假借测字法
浙公网安备 33021202002483