电子政务网建设方案.doc

1、 1 电子政务网建设 技术建议书 目 录 电子政务 网建设技术建议书 2 1 前 言 3 2 网络平台需求分析 4 2.1 网络建设目标 6 2.2 网络建设原则 8 3 网络平台基础建设 9 3.1 网络整体结构 9 3.2 电子政务内网解决方案 10 3.3 电子政务外网解决方案 13 3.4 电子政务安全解决方案 15 4 网络平台 QOS 保障 . 19 4.1 QOS 及其功能 19 4.2 电子政务网络 QOS 设计原则 20 4.3 体系结构的选择 20 4.4 H3C 路由器 DIFFSERV 模型 . 21 4.5 H3C 路由器 QOS 实现机制 . 23 4.5.1 流分

2、类 . 23 4.5.2 流量监管 . 23 4.5.3 DHCP 标记 /重标记 24 4.5.4 队列管理 . 24 4.5.5 队列调度和流量整形 . 25 4.6 QOS 配置和管理 . 25 5 网络管理平台解决方案 27 5.1 网管实施方案 27 5.2 运维建议 27 5.2.1 网管运维建议 . 27 5.2.2 网管安全措施 . 28 5.2.3 路由器 /交换机相关参数设置 28 6 网络流量分析解决方案 29 6.1 NETSTREAM 技术 29 6.2 方案逻辑组成 30 6.3 H3C IMC NTA 解决方案功能特点 31 7 用户行为审计解决方案 37 7.1

3、 用户行为审计技术 37 7.2 H3C UBAS 用户行为审计解决方案 . 38 8 网络内部控制解决方案 42 8.1 网络内部控制的重要性 42 8.2 H3C EAD 端点准入方案简介 . 42 8.3 H3C EAD 端点准入方案部署 . 46 电子政务 网建设技术建议书 3 8.4 H3C EAD 解决了哪些问题 . 46 1 前 言 政府及事业单位一直是中国信息化的先行者，政府网络的建设已经比较完善。随着 “ 电子政务 ” 建设的进一步深入，政府信息化建设重点变化明显，电子政务业务系统的受重视程电子政务 网建设技术建议书 4 度继续加强；而办公自动化、信息安全和政府门户网站建设的

4、受重视程度显著加强。 按照政府网络管理的要求 ， 必须 保障含有国家机密信息的 “ 内网 ” 不但要求 的绝对安全。但随着电子政务、网上政府、政府自身的信息化业务系统等的发展，政府与自身各分支机构、外界相关单位信息交互的 “ 外网 ” 安全和互连互通就变得更为必要。 此外网络的安全问题日益显得尤为重要。 2 网络平台需求分析 随着 电子政务系统 信息化的发展，电子政务内网网络平台逐渐从“分离的专网”向“统一网络平台”转化，成为主流的建网思路。其基本思想都是在一个统一的网络平台上为各种业务系统提供传输通道，以及方便地实现流程整合。 统一网络平台解决了业务专网建设 思路存在的问题，其优势如下： 电

5、子政务 网建设技术建议书 5 利于网络扩展：当增加新的业务系统时不需要建设新的专网，而是由网络平台统一分配网络资源；当业务专网扩容时不需要单独扩容，首先通过统一网络平台扩展其容量，当统一网络平台容量不足时再考虑对整个平台进行扩容。 管理成本低：统一网络平台由专门的部门统一维护，不需要每个业务部门都设置网络管理员及网管，极大地降低了管理成本。 网络资源利用率高：由于各业务系统对网络资源（如带宽）的需求由统一网络平台来满足，可以根据各业务系统实际的流量动态调整带宽，充分利用网络资源。 利于业务系统之间的信息共享 和流程整合：由于各业务系统采用统一的网络平台，相互之间很容易实现互访，为在将来进行信息

6、共享及业务横向提供了良好的基础。 为充分满足 电子政务系统 信息化发展的要求，统一网络平台还需要满足以下的关键业务需求： 部门系统之间的安全隔离：不同部门系统之间需要提供安全隔离，避免非法访问。 电子政务系统 业务系统之间的互访：部分业务系统，如领导决策公文下发数据、政策公布、业务数据上报业务等之间有相互访问的需求，随着业务纵向整合的开展各单位系统之间需要更加紧密地联系在一起；网络平台必须满足各单位系统互访的要求及安全性。 不同 业务系统的差别服务（ COS）：不同业务系统，需要网络平台提供差别服务，诸如 电子政务系统 对 OA 办公和语音通话等有很大的需求，数据、视频和监控对带宽、实时性有不

7、同的要求。 为业务系统提供灵活的网络拓扑：各应用系统的业务网络逻辑模型是不同的，有的业务需要星型结构的网络，有的系统需要网状结构。 电信级的可靠性：电子政务网是 政府系统 关键业务平台，其网络平台必须具有电信级的可靠性，在设计中要充分考虑设备、链路、路由的冗余，以及快速自愈恢复能力。 可管理：建议引入电信级的网络管理和业务管理方法，以确保网络和业务运行的稳定 可靠。 可扩展：网络平台的设计应该是能够充分考虑可扩展性，包括链路带宽的扩展、设备容电子政务 网建设技术建议书 6 量的扩展，以及拓朴的优化。 可优化：可以将电子政务网承载的各单位系统业务看成是统一网络平台的一个“客户”。网络平台需要对每

8、一个客户（如监控、视频系统）等进行实时的监控，不断优化其网络资源。 电子政务网 方案本着先进性、现实性和经济性统一的原则进行设计，设计的网络具有高性能、高可靠性、扩展性、标准化和可管理性的特点，能灵活地根据需求提供不同的服务等级并保证服务质量。该网络将采用最先进的 网络 技术和高速设备，为 电子政务等 各类信息系统 提供统一的综合业务网络平台，与原有设备和网络实现良好的互通，降低管理成本和提高管理效率。 2.1 网络建设目标 电子政务内外网，主要包括所需要的路由器、交换机、网管、网络准入系统、防火墙、IPS 等设备及工程所需要的配套设备等。工程功能可实现系统的内网办公、上联市一级电子政务内网、

9、访问 Internet 等需求。 网络的建设是为业务的发展服务，综合考虑几年内业务发展及现有网络状况， 电子政务内网建设 要达到如下目标 ： 电子政务内网业务数据由同一网络平台承载，电子政务网络的建设，应该考虑到网络的扩展性、可靠性、安全性。 IP 电话 业务、监控和会议电视，为各部门工作的开展提供灵活方便的手段。数据、语音等（后续将要运行的监控、视频）各类业务应用对网络的需求在实时性、带宽需求、接入方式、安全性、数据分布特征等方面各有其特点。因此，在进行电子政务内网的建设时，需要在网上开展 IP 视频业务、监控业务及会议电视等相关的业务。 建立统一的综合 信息系统 平台网络。按照业务的需要，

10、 建设 骨干网络 ， 统一全网的安全控制措施和安全监测手段。集中网络管理，实施分级维护；进一步规范 IP 地址的应用；积极开展网络综合应用。将 电子政务内外网 建设成为一个综合、高性能的网络 ： 综合性 为多种业务应用与信息网络提供统一的综合业务传送平台。 支持 QOS 电子政务 网建设技术建议书 7 能根据业务的要求提供不同等级的服务并保证服务质量，提供资源预留，拥塞控制，报文分类，流量整形等强大的 IP QOS 功能。 高可靠性 具有很高的容错能力，具有抵御外界环境和人为操作失误的能力，保证任何单点故障都不影响整个网络的正常运作。 高性能 在高负荷情况下仍然具有较高的吞吐能力和效率，延迟低

11、。 安全性 具有保证系统安全，防止系统被人为破坏的能力。支持 AAA 功能、 ACL、 IPSEC、 NAT、ISPkeeper、路由验 证、 CHAP、 PAP、 CA、 MD5、 DES、 3DES、日志等安全功能以及 MPLS VPN。 扩展性 易于增加新设备、新用户，易于和各种公用网络连接，随系统应用的逐步成熟不断延伸和扩充，充分保护现有投资利益。 开放性 符合开放性规范，方便接入不同厂商的设备和网络产品。 标准化 通讯协议和接口符合国际标准。 实用性 具有良好的性能价格比，经济实用，拓扑结构和技术符合骨干网信息量大、信息流集中的特点。 易管理 为达到集中管理的目的，网络平台支持虚拟网

12、络，并可与路由器、骨干和局域网交换机配合，整 个网络可以进行远程控制。集中网管具体方案参见网管部分的描述。 电子政务 网建设技术建议书 8 有效性 保证 5 年以内硬件设备无需升级，就可满足一般业务的需要，且运行稳定可靠。 2.2 网络建设原则 为达到网络优化 和将来扩展 的目标要求， 在电子政务内外网， 应始终坚持以下建网原则 : 高可靠性 网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。 标准开放性 支持国际上通用标准的网络协议 (如 TCP/IP)、国际标

13、准的 大型的动态路由协议 (如BGP,OSPF)等开放协议，有利于以保证与其它网络之间的平滑连接互通，以及将来网络的扩展。 灵活性及可扩展性 根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。 可管理性 对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。 安全性 制订统一的骨干网安全策略，整体考虑网络平台的安全性。可以通过 VPN 和 VLAN 实现各业务子网隔离，全网统一规划 IP 地址，根据不同的业务划分不同的子网 (subnet)，相同物理LAN 通过 V

14、LAN 的方式隔离，不同子网间的互通性由路由策略决定。 保护现有投资 在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级，对其他的设电子政务 网建设技术建议书 9 备用作骨干网外联的接入设备。 统一标准、统一平台 网络的互联及互通关键是对相同标准的遵循，在网络中，由于有多个网络并存，要使这些网络能融合到一起，实现业务整合及数据集中等业务，就必须统一标准。在具体实施中，必须统一规划 IP 地址及各种应用，采用开放的技术及国际标准，如路由协议、安全标准、 接入标准和网络管理平台等，才能保证实现网络的统一，并确保网络的可扩展性。 3 网络平台基础建设 3.1 网络整体结构 电子政务系统

15、整个网络系统划分成内网和外网，两个物理隔离的网络。内网和整个电子政务网络相连，承载上联上一级电子政务网 、 办公 OA 等业务 。外网主要负载一些对外业务，如访问 Internet、网站信息公示等。 从 政府系统 行政管理和技术的角度来看，建议采用层次化的网络设计结构，这样既方便了管理，也有利于扩展和灵活布置。 采用层次性设计方案的优势 : 网络及路由层次清晰 : 分层网络结构，路由设计更清晰， 可以尽量避免核心区域的路由受到边缘链路震荡的影电子政务 网建设技术建议书 10 响。 网络及业务扩展性好，降低建设成本 : 采用分层结构之后，在电子政务系统内网业务扩展 (带宽扩展、节点扩展 )时，可

16、以通过内网核心层扩展端口来实现。当增加一个部门或科室，直接在核心核心交换机上扩展端口，降低了投资成本，提高了网络的扩展性。 分层结构在业务扩展时对网络核心层及路由规划没有影响，平滑过渡。而如果在核心交换机上直接扩容需要更改大量骨干设备的配置及路由规划。 网络可靠性高 : 采用分层结构之后，功能模块相互独立，如 FE/GE 接入、 N 2M 接入、核心转 发由不同的设备来完成，不会相互影响，提高了整个网络的可靠性。 整个网络方案在路由备份、物理位置分离、局域网链路备份、 虚拟路由备份、设备级可靠性等方面做了比较充分的考虑，可有效保证电子政务网络的健壮性。 便于维护 采用分层结构之后，功能模块相互

17、独立，如 FE/GE 接入、 E1 接入、核心转发由不同的设备来完成，设备的配置大大简化，便于维护，也便于网络故障定位。 采用分层结构，在业务扩展时简单高效，极大降低了管理难度。 基于上面对层次化设计、局域网技术和广域网技术的分析，设计了 电子政务网络 。在网络的设计上主要考虑 了网络的性能、可靠性、安全性以及结合国际上成熟可靠的设计思想而提出的。 整个 电子政务系统 的内外网设计采用层次结构，除了可以满足本身业务上和实现办公自动化等的一些基本应用外，未来也可以实现远程监控、视频会议等一些增值的应用。下面介绍一下网络的总体结构。 3.2 电子政务内网解决方案 新建办公大楼共 23 层，主机房位

18、于第四层，分机房在 1 3 层部署一间，其余每隔 2 层电子政务 网建设技术建议书 11 部署一间机房，内网的建设对各项业务的运转至关重要。 下面内网的拓扑图： 整个内网的主要架构特点： 1) 电子政务内网采用核心、接入的扁平化两层架构，提高了访问速度 ，管理更方便。 2) 网络核心处采用一台高端交换机作为网络的核心，采用双引擎双电源，增强核心设备的可靠性，同时保证数据在双引擎转发的负载分担。 3) 各楼宇的接入交换机通过千兆光纤链路上行，与核心交换机相连。整个网络千兆骨干、百兆到桌面，数据传输在链路上没有拥塞。 4) 每个分机房部署一台 48 口的接入交换机，接入各层的信息点。 5) 内部局

19、域网安全隐患远远高于外部，在某些 PC 终端在感染了攻击性病毒后，会不停的对网络中的其他 PC 终端和服务器发动网络攻击，轻者导致一些用户不能正常上网，重者导致服务器和网络瘫痪。因为网络中所有数据都通过 核心交换机进行转发，只要在核心交换机上扩展一块内置防火墙模块，其功能就相当于在核心交换机上的每条链路都部署了一台高性能防火墙，通过这种方式来防御下面终端的攻击。而且防火墙模块可以对不同的部门进行访问权限的划分，控制各种用户访问权限。 电子政务 网建设技术建议书 12 6) 为防御外部和内部的 4 7 层的网络攻击，特别是一些恶性病毒，如木马、蠕虫病毒等，建议在网络中部署 IPS 系统。但把 I

20、PS 设备部署到网络前端时，会出现路由器、 IPS、防火墙等串行单点部署的情况，整个内网运转时一旦一台设备出现故障，会导致整个网络出口中断，后果不堪设想。我们建议将单独的 IPS 设备替换成一块能在核心交换机上扩展的 IPS 模块，不但能有效的解决串行单点部署的情况，而且因为它部署在核心交换机上，所有经过核心交换机的数据都能经过 IPS 模块过滤， 对数据中心的服务器进行应用层保护，可以有效的 防止 DDOS 攻击，和数据库数据更改等黑客行为，整网安全性进一步提高。 7) 服务器均以千兆链路直接连接核心交换机，提高服务器的访问速度。 8) 在网络的出口处，部署一台高性能的路由器，承担数据的路由

21、转发功能，上联上一级电子政务网。在同时对内网地址做 NAT 地址转换（ NAT 地址转换的功能也可以放在核心交换机的防火墙 模块上）。 9) 为有效防范非法计算机接入到 上下级电子政务网 内部网络中，和防范合法计算机在安全状态不满足要求的情况接入到网络中，并根据不同用户享有不同网络使用权限。10) 内网承载的业务多为重要的业务，需要信息中心工作人员对整网的安全事件时刻关注，且网络的安全状况通常是根据各种网络设备的日志来进行分析的，为方便网络管理员对整网安全事件进行统一管理，建议在服务器区配置一台安全管理中心 SecCenter，对整网设备的安全日志进行统一收集并分析。并可生成各种形式的报告，方

22、便向上级领导汇报。 11) 为避免多个业务系统采用不同网管软 件给管理员带来的麻烦和困扰，建议对整网网络设电子政务 网建设技术建议书 13 备、业务、用户进行综合管理，方便管理员进行统一管理。 12) 为帮助管理员方便的对设备配置文件和软件文件进行集中管理，包括配置文件的备份、恢复以及批量更新、设备软件的备份和升级等功能，在 iMC 上附送了一个中心业务组件iCC。 13) 为帮助管理员对整个网络流量进行有效监控，如 可以统计设备接口、 接口组 、 IP 地址组、多链路接口 的（准）实时流量信息，包括流入、流出速率以及当前速率相对于链路最大速率的比例 等，建议配置一套网络流量分析系统，包括在核

23、心交换机上扩展一块网络流量分析模块，和在智能管理中枢 iMC 上配置一个网络流量分析组件 NTA。 3.3 电子政务外网解决方案 外网上运行的业务相对内网而言，虽然承载的业务重要性要低些，但在网络设计和设备选型不能降低标准。下面是电子政务外网拓扑图： 整个外网的主要架构特点： 1) 网络核心处采用 一台高性价比交换机作为网络的核心，配置双电源。 电子政务 网建设技术建议书 14 2) 各楼宇的接入交换机通过千兆光纤链路上行，与核心交换机相连， 3) 整个网络千兆骨干、百兆到桌面，数据传输在链路上没有拥塞。 4) 服务器均以千兆链路直接连接核心交换机，提高服务器的访问速度。 5) 在网络的出口处

24、，部署一台高扩展性的路由器，承担数据的路由转发功能。 6) 每个分机房部署一台 48 口的接入交换机，接入各层的信息点。 7) 在路由器的后端部署一台防火墙，对外网数据进行过滤，并对内网地址做 NAT 地址转换。此种组网方式避免了出口的单点故障，一旦防火墙模块出现问题，也不会出现断网情况 ，路由器本身有较强的 NAT 地址转换功能，可接替防火墙的职责。 8) 为避免多个业务系统采用不同网管软件给管理员带来的麻烦和困扰，建议对整网网络设备、业务、用户进行综合管理，方便管理员进行统一管理。 9) 为帮助管理员方便的对设备配置文件和软件文件进行集中管理，包括配置文件的备份、恢复以及批量更新、设备软件

25、的备份和升级等功能，在 iMC 上附送了一个中心业务组件iCC。 10) 为方便管理员 对终端用户的上网行为进行事后审计，追查用户的网络行为，满足相关部门对用户网络访问日志进行审计的硬性要求 ，建议配置一套网络行为审计系统，包括在智能 管理中枢 iMC 上配置一个网络用户行为审计组件 UBAS，和一个能生成七层日志的DIG 探针。 11) 建议在外网上部署一套无线系统， 无线平台将依托电子政务外网平台，采用集中控制、分布式部署的模式来建设。在电子政务外网上扩展无线插卡来实现对于全网无线系统的统一管理和配置，对前端的无线 AP 进行统一的配置管理及认证管理。由于外网接入层设备能够支持较好的 PO

26、E 功能，所以在无线网络部署时，不需要考虑其电源位置，使无线AP 能够更加灵活的部署。 电子政务 网建设技术建议书 15 3.4 电子政务安全解决方案 网络安全问题已成为信息时代企业和个人共同面临的挑战，电子政务 网络安全状态也很严峻。现在计算机系统受病毒感染和破坏的情况相当严重，电脑黑客活动已形成重要威胁，信息基础设施面临网络安全的挑战，信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。 本次方案设计的 H3C 的网络设备提供很高的安全性，通过这些安全特性可用构成一个安全的网络环境。 （ 1）端口 IP MAC 地址的绑定 用户上网的安全性非常重要，端口 +IP+MAC 地址的绑定关

27、系， H3C 交换机可以支持基于MAC 地址的 802.1X 认证，整机最多支持 1K 个下挂用户的认证。 MAC 地址的绑定可以直接实现用户对于边缘用户的 管理，提高整个网络的安全性、可维护性。如：每个用户分配一个端口，电子政务 网建设技术建议书 16 并与该用户主机的 MAC、 IP、 VLAN 等进行绑定，当用户通过 802.1X 客户端认证通过以后用户便可以实现 MAC地址端口 IP用户 ID的绑定，这种方式具有很强的安全特性：防 D.O.S的攻击，防止用户的 MAC 地址的欺骗，对于更改 MAC 地址的用户（ MAC 地址欺骗的用户）可以实现强制下线。 （ 2）接入层防 Proxy

28、的功能 考虑到政府系统用户的技术性较强，在实际的应用的过程当中应当充分考虑到 Proxy 的使用，对于 Proxy 的防止， H3C 公司交换机配 合 H3C 公司的 802.1X 的客户端，一旦检测到用户 PC 机上存在两个活动的 IP 地址（不论是单网卡还是双网卡）， H3C 系列交换机将会下发指令将该用户直接踢下线。 （ 3） MAC 地址盗用的防止 在网络的应用当中 IP 地址的盗用是最为经常的一种非法手段，用户在认证通过以后将自己的 MAC 地址进行修改，然后在进行一些非法操作，网络设计当中我们针对该问题，在接入层交换机上提供防止 MAC 地址盗用的功能，用户在更改 MAC 地址后，

29、交换机对于与绑定 MAC地址不相符的用户直接将下线，其下线功能是由接入系列交换机来实现的。 （ 4）防止对 DHCP 服务器的攻击 使用 DHCP Server 动态分配 IP 地址会存在两个问题：一是 DHCP Server 假冒，用户将自己的计算机设置成 DHCP Server 后会与局方的 DHCP Server 冲突；二是用户 DHCP Smurf，用户使用软件变换自己的 MAC 地址，大量申请 IP 地址，很快将 DHCP 的地址池耗光。 H3C 交换机可以支持多种禁止私设 DHCP Server 的方法。 （ 5） Private VLAN 解决这个问题的方法之一是在桌面交换机上启

30、用 Private VLAN 的功能。但在很多环境中这个功能的使用存在 局限，或者不会为了私设 DHCP 服务器的缘故去改造网络。 （ 6）访问控制列表 对于有三层功能的交换机，可以用访问列表来实现。 就是定义一个访问列表，该访问列表禁止 source port 为 67 而 destination port 为 68的 UDP 报文通过。之后把这个访问列表应用到各个物理端口上。当然往端口一个个去添加访电子政务 网建设技术建议书 17 问控制组比较麻烦，可以结合 interface range 命令来减少命令的输入量。 新的命令 因为它的全局意义，也为了突出该安全功能，建议有如下单条命令的配置

31、： service dhcp-offer deny exclude interface interface-type interface-number interface interface-type interface-numbert | none 如果输入不带选项的命令 no dhcp-offer，那么整台交换机上连接的 DHCP 服务器都不能提供 DHCP 服务。 exclude interface interface-type interface-number ：是指合法 DHCP 服务器或者DHCP relay 所在的物理端口。除了该指定的物理端口 以外，交换机会丢弃其他物理端口的

32、in方向的 DHCP OFFER 报文。 interface interface-type interface-numbert | none：当明确知道私设 DHCP 服务器是在哪个物理端口上的时候，就可以选用这个选项。当然如果该物理端口下面仅仅下联该私设 DHCP 服务器，那么可以直接 disable 该端口。该选项用于私设 DHCP 服务器和其他的合法主机一起通过一台不可网管的或不支持关闭 DHCP Offer 功能的交换机上联的情况。选择 none就是放开对 dhcp-offer 的控制。 （ 7）防 止 ARP 的攻击 随着网络规模的扩大和用户数目的增多，网络安全和管理越发显出它的重要

33、性。由于 现在 用户具有很强的专业背景，致使网络黑客攻击频繁发生，地址盗用和用户名仿冒等问题屡见不鲜。因此， ARP 攻击、地址仿冒、 MAC 地址攻击、 DHCP 攻击等问题不仅令网络中心的 管理人员头 痛不已，也对网络的接入安全提出了新的挑战。 ARP 攻击包括中间人攻击 (Man In The Middle)和仿冒网关 两种类型 ： 中间人攻击： 按照 ARP 协议的原理，为了减少网络上过多的 ARP 数据通信，一个主机，即使收到的 ARP 应答并 非自己请求得到的，它也会将其插入到自己的 ARP 缓存表中，这样，就造成了“ ARP 欺骗 ” 的可能。如果黑客想探听同一网络中两台主机之间

34、的通信（即使是通过交换机相连），他会分别给这两台主机发送一个 ARP 应答包，让两台主机都 “ 误 ” 认为对方的 MAC 电子政务 网建设技术建议书 18 地址是第三方的黑客所在的主机，这样，双方看似 “ 直接 ” 的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成功地做好转发工作即可。在这种嗅探方式中，黑客所在主机是不需要设置网卡的混杂模式的， 因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。 仿冒网关： 攻击者冒充网关发送免费 ARP，其它同一网络内的用户收到后，更新自己的 ARP 表项，后续，受攻击

35、用户发往网关的流量都会发往攻击者。此攻击导致用户无法正常和网关通信。而攻击者可以凭借此攻击而独占上行带宽。 在 DHCP 的网络环境中，使能 DHCP Snooping 功能，交换机会记录用户的 IP 和 MAC 信息，形成 IP+MAC+Port+VLAN 的绑定记录。 H3C 交换机利用该绑定信息，可以判断用户发出的 ARP报文是否合法。使能对指定 VLAN 内所有端 口的 ARP 检测功能，即对该 VLAN 内端口收到的 ARP报文的源 IP 或源 MAC 进行检测，只有符合绑定表项的 ARP 报文才允许转发；如果端口接收的ARP 报文的源 IP 或源 MAC 不在 DHCP Snoop

36、ing 动态表项或 DHCP Snooping 静态表项中，则 ARP报文被丢弃。这样就有效的防止了非法用户的 ARP 攻击。 本次方案设计的华三核心设备都是支持专业的安全板卡，可以在保护用户投资的情况下，增加这些板卡让网络具有更高的安全性。如果硬件安全板卡的性能不能满足流量的要求的时候，可以通过增加多个板卡起到动态扩容，负载分担的 作用。 电子政务网建设技术建议书 19 4 网络平台 QOS 保障 4.1 QoS 及其功能 在传统的 IP 网络中，所有的报文都被无区别的等同对待，每个路由器对所有的报文均采用先入先出 FIFO 的策略进行处理，它尽最大的努力 Best-Effort 将报文送到

37、目的地，但对报文传送的可靠性、传送延迟等性能不提供任何保证。 网络发展日新月异，随着 IP 网络上新应用的不断出现，对 IP 网络的服务质量也提出了新的要求，例如 IP 监控等实时业务就对报文的传输延迟提出了较高要求，如果报文传送延时太长，将是用户所不能接受的（相对而言 E-Mail 和FTP 业务对时间延迟并不敏感） 。为了支持具有不同服务需求的监控、视频以及数据等业务，要求网络能够区分出不同的通信进而为之提供相应的服务传统 IP网络的尽力服务不可能识别和区分出网络中的各种通信类别而具备通信类别的区分能力正是为不同的通信提供不同服务的前提所以说传统网络的尽力服务模式已不能满足应用的需要 Qo

38、S。 Quality of Service 服务质量技术的出现便致力于解决这个问题。 QoS 旨在针对各种应用的不同需求为其提供不同的服务质量例如提供专用带宽减少报文丢失率降低报文传送时延及时延抖动等为实现上述目的 QoS 提供了下述功能： 报 文分类和着色 网络拥塞管理 网络拥塞避免 流量监管和流量整形 如果随着电子政务网络的扩展出现拥塞，可采用的 QOS 技术有： IP 优先级分类、 CAR、 WRED、 WFQ、 CBWFQ、 ATM COS 等。 电子政务网建设技术建议书 20 QOS 是一个需要消耗很多处理器资源的应用，为了达到全网最好的使用效率，建议无论是采用 VLAN+ACL 方

39、案，还是采用 MPLS BGP VPN 方案，建议均采用 DiffServ 机制。 在充分计算了各类业务流量的前提下，在接入路由器上采用 CAR 技术对各类业务流做流量限定、设定 IP 优先级；在路由器广域网接口上采用 CBWFQ 技术为每一类业务提供确定带宽；通过上述技术可实现 QoS。 4.2 电子政务网络 QOS 设计原则 建议 QoS 设计符合下面的原则 : 差异性 :为不同的业务提供不同的 QoS 保证； 可管理 :灵活的带宽控制策略； 经济性 :有效利用网络资源，包括带宽、 VLAN、端口等； 高可用性 :设计备份路径，采用具备热备份、热插拔能力的设备，并对关键的网络节点进行冗余备

40、份； 可扩展性 :采用能够在带宽、业务种类增加时平滑扩容、升级的设备。 4.3 体系结构的选择 为了在 IP 网络上提供 QoS， IETF 提出了许多服务模型和协议，其中比较突出的有 IntServ (Integrated Services)模型和 DiffServ (Differentiated Services)模型。 IntServ 模型要求网络中的所有节点 (包括核心节点 )都记录每个经过的应用流的资源预留状态，需要通过 IP 包头识别出所有的用户应用流 (进行 MF 分类 )，同时为每个经过的应用流设置单独的内部队列以分别进行监管(Policing)、调度 (Scheduling)

41、、整形 (Shaping)等操作。对于现在大型运营网络中的节点，这种应用流 (活动的 )的数量非常庞大，会远远超出节点设备所能够处理的能力，而 且可扩展性差，仅适合在小规模网络中使用。 电子政务网建设技术建议书 21 DiffServ 模型的基本原理是将网络中的流量分成多个类，每个类接受不同的处理，尤其是网络出现拥塞时不同的类会享受不同的优先处理，从而得到不同的丢弃率、时延以及时延抖动。在 DiffServ 的体系结构下， IETF 已经定义了EF(Expedite Forwarding)、 AF1-AF4(Assured Forwarding)、 BE(Best Effort)等六种标准 P

42、HB(Per-hop Behavior)及业务。 此外，有些厂商实现了基于 TOS 的分类服务 (COS)， 并且这类设备已经应用在一些现有的运营网络。 COS 和 DiffServ 类似，不过比 DiffServ 更简单，并且不象 DiffServ 那样定义了一组标准的业务。 DiffServ 对聚合的业务类提供 QoS 保证，可扩展性好，便于在大规模网络中使用。本次工程推荐使用 DeffServ 机制实现 QOS。 DiffServ 域将设备分为两类，边缘设备和核心设备，其中边缘设备承担了较多的工作，如流分类、标记、带宽限制、拥塞管理、拥塞避免、流量整形等。如果由单一设备全部处理，开销较大

43、，容易形成网络瓶颈，因此需要将这些功能分布到不同的设 备上去，如流分类功尽量在边缘实现。在现有网络中，建议在 Access Network 中进行流分类，并通过 VLAN、 802.1p 等进行标记，在 POP点进行带宽限制 (CAR)和拥塞避免 (RED)，在所有节点上基于优先级采用优先级队列调度，实现拥塞管理。 如果在整个 Access Network 中，通过在业务流经的所有二、三层设备上部署 CAR、队列机制，这样能够基于 VLAN、 802.1p 等信息保证每个用户，每个业务的带宽，实际上就实现了一种类似 IntServ 的机制，只不过这时源还是用户，而目的不是远程用户，而是 POP

44、 点 (干线节点及边沿节点 )。在 POP 点和骨干网中根据 /继承 802.1p 标记进行 DiffServ 处理，可以看作是 IntServ 同 DiffServ的一种结合。这种机制为用户提供了虚拟专线，其 QoS 可同真正的专线相媲美。 4.4 H3C 路由器 DiffServ 模型 H3C 路由器提供基于 DiffServ 的 QOS 模型如下图所示 : 电子政务网建设技术建议书 22 采用 Diffserv/CoS 的方法需要对所有的 IP 包在网络边缘或用户侧进行流分类，打上 Diffserv 或 CoS 标识。 DS 域内的路由器根据优先级进行转发，保证高优先级业务的 QoS 要

45、求。骨干网络实施 Diffserv/CoS，需要所有相关设备支持，特别对边沿节点有很强 QOS 能力需求。 在边沿结点的 Ingress 方向，路由器通常需要进行基于 MF(Multi-field)的流分类、基于用户流的流量监管、 DSCP 标记和重标记、队列管理和队列调度、流量整形。基于 MF 的流分类能力是 DiffServ 边沿路由器最重要的考虑因素，主要体现在允许参与流分类的报文的域 (Field)的丰富程度 (决定路由器识别用户流量的灵活度 )、可配置的流分类规则数的多少 (决定路由器识别用户流量的精细度 )、流分类处理性能。 Ingress 方向的流量 监管需要对每个用户流分别进行

46、监管，因此需要路由器具有对大量用户流进行监管的能力。队列管理涉及Buffer 管理和拥塞控制功能。 在边沿的 Egress 方向，路由器需要进行基于 DSCP 的流分类、 DSCP 重标记/TOS 标记、流量整形、队列管理和调度。如果下游域还是 DiffServ 域，业务流量出口前根据 ISP 双方的 SLA 可能需要进行 DSCP 的重标记；如果下游域是 COS域，便需要进行 TOS 标记。 Egress 方向的流量整形使发出到下游域的业务流量的带宽和突发流量属性符合同下游域的运营者所签订的 SLA。 核心结点需要完成基 于 DSCP 的流分类、队列管理和队列调度，任务简单却要求在高速接口

47、(如 2.5G)时的线速处理性能。 电子政务网建设技术建议书 23 4.5 H3C 路由器 QOS 实现机制 H3C MSR 路由器 是针对运营商 或者企业网 网络骨干及边缘应用的 开放多业务路由器 ，设计并实现了承载包括实时业务在内的综合业务的 QoS 特性，尤其对DiffServ 提供了基于标准的完善支持，包括流分类、流量监管 (Policing)、流量整形 (Shaping)、队列管理、队列调度 (Scheduling)等，完整实现了标准中定义的 EF、 AF1-AF4、 BE 等六组 PHB 及业务。 4.5.1 流分类 MSR 路 由器 允许根据报文头中的控制域信息进行流分类，具体可

48、以包括下面描述的报文 1、 2、 3、 4 层的控制信息域。 首先输入端口号可以作为重要的分类依据，它可以单独使用，也可以结合报文的其他信息对流分类。 二层的重要控制域就是源 MAC 地址。 三层可以参与分类的控制域包括 :源和目的 IP 地址、 TOS/DSCP 字节、Protocol(协议 ID)、分段标志、 ICMP 报文类型。 四层的源和目的端口号、 TCP SYN 标志也是允许参与流分类的重要信息域。 MSR 路由器 可以对用户报文的几乎全部控制域或这些域的组合进行流分类，可以通过灵活 的流分类手段精确地识别大量进入的用户业务流，充分满足组建大型骨干 QoS 网络时边沿结点的要求。

49、4.5.2 流量监管 流量监管也就是通常所说的 CAR，是流分类之后的动作之一。 通过 CAR，运营商可以限制从网络边沿进入的各类业务的最大流量，控制网络整体资源的使用，从而保证网络整体的 QoS。运营商合用之间都签有服务水平协议 (SLA) ，其中包含每种业务流的承诺速率、峰值速率、承诺突发流量、峰值突发流量等流量参数，对超出 SLA 约定的流量报文可指定给予 pass(通过 )、 drop(直接丢弃 )电子政务网建设技术建议书 24 或 markdown(降级 )等处理，此处降 级是指提高丢弃的可能性 (标记为丢弃优先级降低 )，降级报文在网络拥塞时将被优先丢弃，从而保证在 SLA 约定范围之内的报文享受到 SLA 预定的服务。 4.5.3 DHCP 标记 /重标记 标记 /重标记是是流分类之后的动作之一。所谓标记就是根据 SLA 以及流分类的结果对业务流打上类别标记。目前 RFC 定义了六类标准业务即 :EF、 AF1-AF4、BE，并且通过定义各类业务的 PHB (Per-hop Behavior)明确了这六类业务的服务实现要求，即设备处理各类业务的具体实现要求。从业务的