《宽带数据城域网系统集成项目技术白皮书第一版24099.docx》由会员分享,可在线阅读,更多相关《宽带数据城域网系统集成项目技术白皮书第一版24099.docx(31页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、密级:普密系统集成技术白皮书之二:宽带数据城域网项目北京首信股份有限公司(北京邮电通信设备厂)宽带数据城城域网系系统集成成项目技术白皮书书(第一一版)北京首信股股份有限限公司数数据网络络事业部部技术支支持中心心二零零一年年七月目 录第一章 城城域网基基本概念念41.1 宽宽带城域域网概念念41.2 宽宽带城域域网建设设兴起的的原因5第二章 城城域网建建设分析析52.1.宽宽带城域域网建设设目标52.2.网网络承载载商可以以提供的的业务62.3.网网络运营营商可以以提供的的业务62.4 城城域网主主要大用用户7第三章 城城域网结结构、技技术和方方案73.1.城城域网的的网络构构成73.2.城城域
2、网网网络分层层结构83.3.城城域网数数据传输输技术简简介83.3.11.DPPT 技技术83.3.22.POOS 技技术93.3.33.ATTM 技术93.3.44.GiigaEEtheerneet 技技术103.4.城城域网骨骨干技术术选择的的考虑113.5 城城域网接接入技术术113.6.城城域网网网络设备备选型123.6.11.骨干干网络产产品设备备选型123.6.22.接入入网络产产品的选选择12第四章 城城域网管管理134.1宽带带城域网网网络管管理134.1 主主要的大大型网络络管理系系统14第五章 城城域网网网络安全全威胁165 .1 城域网网安全问问题以及及解决技技术手段段1
3、65.2 应应用平台台安全175.3 安安全部署署19第一章 城城域网基基本概念念1.1 宽宽带城域域网概念念 宽宽带业务务的兴起起,城域域范围内内的用户户和信息息流的独独立,运运营收入入的主要要来源的原因已已使城域域网从计计算机的的领域里里无足轻轻重的地地位发展展到当前前网络建建设的热点,城域域网是城城市的信信息基础础,城域域网的目目的是高高速有效效的将各各种媒体体信息送到用户身身边。 城城域网概概念是有有计算机机网络演演化而来来的,是是介入广广域网和和局域网网之间,在在城市及郊区区范围内内实现信信息传输输与交换换的一个个网络,这这里所说说的城域域网,由由于数据通讯和和电信技技术的发发展赋予
4、予了新的的含义,城城域网是是适用于于城市的的信息基基础设施,是国国家高速速信息公公路与城城市广大大用户的的中间环环节,建建造城域域网的目目的是:提供单一的的通用的的和公共共的网络络架构,用用以高速速有效传传输数据据、语音音、图象象和视频等信息息,满足足用户日日新月异异的需求求。目前前许多国国家,城城域网正正在和国国家信息高速公路路同步进进行发展展。城域域网的范范围大概概在800km 内,一一般局间间中继距距离大约在5-77 公里里。城域域网相关关的提法法还有宽宽带城域域网,IIP 城城域网,宽宽带IPP 城域域网,无无线城域域网等。宽宽带城域域网是一一个以IIP 和和ATMM 电信信技术为为基
5、础,集集数据、语语音、视视频服务务为一体体的高带带宽、多多功能、多多业务接接入的可可发展的的和开放放的多媒媒体通讯讯网络。1.2 宽宽带城域域网建设设兴起的的原因 宽带城域域网的建建设成为为我国的的热点主主要有以以下的原原因: 1 、城市市信息化化步划加加快 随随着网络络经济的的迅速崛崛起,各各种应用用相继推推出,电电子商务务、企业业上网、政政府上网网、智能能小区等等工程的的启动,到到目前的的信息港港、城域域网概念念的兴起起,政府府、学校校、企业业和用户户读数据据业务的的需求日日益旺盛盛,同时时,语音音、图象象等多媒媒体通信信的需求求也日益益增长,提提供宽带带多面体体的业务务,以成成为网络络运
6、营赏赏开拓市市场的新新的空间间,宽带带城域网网以成为为信息高高速公路路建设的的重要部部分。 22 、我我国宽带带市场竞竞争激烈烈信息服务市市场开放放程度进进一步加加大;建设宽带城城域网,开开拓信息息服务新新空间;全面满足客客户多层层次的业业务需求求;提供新的开开拓手段段;满足高速增增长的宽宽带业务务需求;宽带业务市市场将加加速运营营商格局局的变化化;竞争主体将将多样化化。第二章 城城域网建建设分析析2.1.宽宽带城域域网建设设目标 目目标就是是:以最最少的资资金(避避免ATTM 和和IP 多网的的重复建建设)建建设一个个先进的(采用最最新的信信息技术术)、满满足综合合业务(使使的新技技术能和和
7、旧技术术融合、宽宽带业务和窄带带业务融融合、有有线和无无线融合合、移动动和固定定融合)的的城域网网平台。能能为用户提供供各种基基本业务务(数据据、语音音和视频频)以及及增值业业务(虚虚拟专网网、IPP电话、远程程教育),并并能迅速速获得理理由的回回报(收收回投资资的周期期短),一一进一步步扩大市场的的占有和和提供市市场的竞竞争力。 建建设先进进的宽带带城域网网是新一一代网络络发展的的方向。城城域网具具有必须须支持各各种不同业务务,结构构上变化化较大,且且随着用用户的不不同而不不同,投投资量大大,接入入技术多样,接接入方式式灵活的的特点。总总之,城城域网是是多种技技术、产产品、网网络的融融合体,
8、需要以以业务需需求为主主导建设设网络。2.2.网网络承载载商可以以提供的的业务 随随着通信信技术的的发展,通通信运营营商将逐逐渐分为为两类主主体:承承载网络络运营商商和业务提供供商。具具有网络络资源的的运营商商,通过过带宽的的批发占占有市场场,而更更多的业务提供商商,将通通过提供供不同的的业务,来来实现市市场的定定位。按按业务的的分类,城城域网可可以提供供以下的的业务: 1 、传统统的TDDM 业业务,包包括N*64kkbitt ,N*22Mbiit/ss ,N*334Mbbit/s,NN*455Mbiit/ss,N*1400Mbiit/ss,N*1555Mbiit/ss,N*6222Mbii
9、t/ss直到10GGbitt/s ,既有有交换机机中继线线,基站站业务,也也有传送送34/45MM 的接接口; 2 、ATMM 业务务,ATTM 业业务既可可以是334/445Mbbit/s,1555Mbiit/ss 借口口,也可可以是VC4-XC 级接口口,或者者是IPP OVVER ATMM OVVER SDHH 方式式; 3 、IP 业务,一一般是110/1100/10000Mbbit/s 为为主。按按照用户户的分类类,可分分为企业集团用用户、行行业集团团用户、SOHO 和写字楼用户、智能化小区、出租业务等;2.3.网网络运营营商可以以提供的的业务目前城域网网起步初初期要求求能够满满足两
10、类类业务的的需求: 1 、QOSS 要求求较高的的互连业业务和实实时视频频业务:基于IIP 的的语音业业务、电电子商务、虚拟拟专网、远远程教育育、协同同设计、协协同实验验、数字字图书馆馆、电视视会议、可视电话、视视频广播播、食品品点播、新新闻、广广告、虚虚拟现实实、交互互式游戏戏,宽带带因特网接入入、宽带带字能化化社区等等多种; 2 、QOSS 要求求较低的的INTTERNNET 上的业业务:EE-MAAIL,FTPP 、TELLNETT 等。一一般而言言,企业业互连、实实时食品品、VOOIP 等业务务,流量量适中,但但对服务务品质有有较高的的要求,收收费的标标准可根根据用户户的SLLAs,按
11、按带宽、流流量、时时延优先先级等服服务级别别来划分分,这部部分运营营收入稳稳定,价价格高,容容易产生生增殖利利润。另另一类IINTEERNEET 业业务量较较大,用用户分散散,是不不能忽视视的巨大大的潜在在消费群群体,这这部分用用户对价价格敏感感,但对对上网的的速度和和带宽要要求较高高。2.4 城城域网主主要大用用户1 、政府府上网 目前前我国政政府办公公管理工工作的手手续登记记、请示示汇报、公公文和会会议繁多多,而且在相互通通信、相相互合作作及工作作协调方方面效率率较低,建建立办公公自动化化系统是是提高政府办公公效率的的重要手手段。就就是实现现市政府府办公自自动化系系统,提提高市政政府各部门
12、通信、协协作和协协调能力力,改善善办公环环境,提提高办公公效率和和决策水水平。2 、大集集团用户户 建设企企业内部部的主干干网,采采用先进进的Innterrnett/Inntraanett 技术术,可以以建立一个先进的的集团公公司虚拟拟企业网网,满足足大企业业内部信信息管理理及国内内外信息息交流的需要。3 、高校校 把把校园网网建成先先进的多多媒体网网络,完完成包括括图书情情报信息息、学校校行政办办工等综合业务务信息管管理系统统,为广广大教职职工、科科研人员员和学生生提供一一个在IInteerneet环境下进行行教学和和科研工工作的先先进平台台。4 、智能能小区 建建设一个个比较完完善的数字社
13、社区和数字大大厦信息服服务平台台。建设设目标是是建立基于宽宽带通信信网络的的数字社社区信息服服务平台台,基于于空间多多媒体数数据库,为社区用户户提供智智能信息息导航、VOD 多媒体信息服务、WebGIS 服务和电子商务等服务和应应用,探探索实现现中国式式的电子子商务和和社区服服务,同同时实现现技术创创新和商业模式创创新,实实现服务务增值和和利益回回报。第三章 城城域网结结构、技技术和方方案3.1.城城域网的的网络构构成 一个个城域网网应该包包括三个个方面的的综合:基础设设施、应应用系统统和信息息。包括括数据交换设设备、城城域网传传输设备备、接入入设备和和业务平平台设备备。城域网的基基础设施施有
14、主干干网络和和接入网网组成,提提供一条条覆盖整整个城市市范围的城市信息息高速公公路。 城城域网的的网络可可以从分分层、分分割、分分层和分分割想结结合的角角度来分分析:城城域网网络结构构分为若若干交换换节点组组成主干干网络(backbone),有若干接入点组成接入网(acccesss ssubnnetwworkk),以以及连接接他们的的传输网网络三部部分组成成。有将将城域网划分为核核心层、汇汇接层和和接入层层,有的的将城域域网划分分为业务务/控制层层、骨干干层和核心层。3.2.城城域网网网络分层层结构 在城城域网络络设计中中,可分分为三层层设计,分分别为核核心层、分分布层以以及接入入层,各个层次
15、的的功能分分别如下下: 核心心骨干层层是一个个高速的的交换主主干,为为应用提提供尽可可能高的的包交换换速度,因此,在这这一层上上仅可能能简化数数据的处处理,例例如:尽尽量少使使用访问问控制列列表以及包过滤,这这一层主主要的功功能是:路径的的优化、执执行流量量的优化化,提供供QoSS 服务、在多条条可能的的链路上上实现负负载均衡衡、交换换式的处处理能力力,如:使用多多协议标记交换等等。 网络络分布层层的功能能是提供供核心层层和接入入的分界界,其主主要提供供以下几几个功能能:多个域的聚聚合、广广播或多多播域的的控制、各各个网段段的路由由、传输输媒体之之间的转转换、安全控制、流流量限制制及流量量分类
16、,为为主干提提供带宽宽管理、 接接入层的的功能就就是最终终用户接接入网络络的能力力,这一一层可以以使用访访问控制制过滤和优化用用户的需需要,其其主要包包括以下下几个功功能:共共享的带带宽分配配、交换换的带宽宽分配、第第二层的的过滤、多多域的微微段化、多多种接入入方式的的实现。3.3.城城域网数数据传输输技术简简介3.3.11.DPPT 技技术 DDPT 技术是是思科公公司研发发的、基基于IPP光网网络的创创新技术术,它集集成了IIP 的的智能化和光光纤环形形网络的的高带宽宽效率。DPT 技术通过直接将IP 和光纤相连,减少了不必要要的设备备层。从从而在现现有的解解决方案案上,为为网络营营运商提
17、提供了性性能价格比极好和和功能极极丰富的的解决方方案. DDPT 的结构构是沿相相反方向向传输包包的一对对光纤环环,一个个环称为为内环,另一一环称外环环,它们们可以同同时用作作传输数数据流和和控制流流;内环环和外环环将每一一个节点相连接,DPT 用一个环在某一方向上传送数据(下行),用另一环在相反方向上传送回送送的控制制包(上上行)。这这样,DDPT 可以同同时利用用两根光光纤,使使包传送送带宽最大化,加加速自适适应带宽宽利用和和自愈等等控制信信号的传传播。 到现现在为止止,只有有CISSCO 的高端端产品支支持DPPT 卡卡,同时时,该技技术还未未成为一个行业的的标准。3.3.22.POOS
18、 技技术 IPP ovver SDHH 是直直接以SSDH 网络作作为IPP 数据据网络的的物理传传输网络络。它在在数据链路层以以PPPP 协议议对IPP 数据据包进行行封装,把把IP 分组根根据RFFC16662 规范简简单地插入到PPPP 帧中的的信息段段。然后后再由SSDH 通道层层的业务务适配器器把封装装后的IIP数据包映射射到SDDH 的的同步净净荷中,然然后向下下,经过过SDHH 传输输层和段段层,加加上相应的开销,把把净荷装装入一个个SDHH 帧中中,最后后到达光光层,在在光纤中中传输。IP overSDH,也也称Paacdkket oveer SSDH(PoSS)。它它保留了了
19、IP 面向无无连接的的特征。75XX POOS 与与ATMM 的比比较就这这种业务务来说,POS 相对于ATM 有如下的几个优点:(1)实施施简易快快捷,总总体拥有有成本低低,收回回投资周周期短。(2)提高高线路利利用率。IP 应用目前并不能直接在ATM 上运行,对于昂贵的长途广域网网线路来来说,PPOS 技术比比ATMM 提高高25%300%的线线路利用用率。(3)减少少设备重重复投资资。(4)进一一步扩大大带宽的的潜力很很大。(5)符合合当今网网络的业业务特征征。3.3.33.ATTM 技技术 ATTM(异异步传输输模式),是一一种面向向连接的的快速分分组交换换技术,建建立在硬硬件交换的基
20、础上上。它可可以为每每个工作作站分配配专用带带宽。每每个交换换机的端端口都特特定于某一单个节节点,并并且在AATM 网络中中不存在在共享的的访问方方式。信信元交换换是和AATM相关联的一一般性说说法,现现有的LLAN 能实现现到ATTM 网网的逐步步的过渡渡,需要要一种能能使LAAN 和和ATMM 自然然集成的的方法。为为此,AATM 标准的的两大机机构都提提出了自自己的方方案。 IEETF 的方案案是Cllasssicaal IIP aand ARPP ovver ATMM,它将将ATMM 网络络实现为为一个新新的数据据链路层层,直接接将IPP 地址址映射为为ATMM 地址址。它的的优点是是
21、效率很很高,但但缺点是是只针对对TCPP/IPP,如果果还有其其他网络络协议,就就必须修修改所有有的协议议ATMM 论坛坛(ATTM FForuum)的的方案是是局域网网仿真(LAN Emulation),它实际可以被看成是原LAN 层次中MAC 层在ATM 上的虚拟网络技术。由于ATM 是面向连接的技术,因此ELAN 内部的通讯流量只有其成员才有可能收到,具有相当高的安全性,而且ELAN 与传统LAN 相比具有高度灵活、无拥塞和吞吐量大等独特的优点。IP Ovver ATMM 传输输模型有有以下的的两种方方式:1 、IPP 在ATMM 上传传输的叠叠加模型型 IPP 在ATM 上传输输的叠加
22、加模型是是最早的的解决IIP 在在ATMM 上实实现传输输的方式式,其主主要采用用的技术术为Cllasssic IP Oveer AATM,LANNE,MPOOA 。这这些技术术实际上上是介于于IP 层与ATTM 层层间的中中介技术术对于IIP 在在ATMM 的传传输采用用语言翻翻译的方方式进行行实施。2 、IPP 在ATMM 上传传输的集集成模型型 对于于IP 在ATMM 上传传输的最最佳方式式即为采采用MPPLS(标记交交换)的集成成模型:其区别别与叠加加模型的的根本点点在于抛抛开中介介技术,使使ATMM 交换换机自身身具有真真正的了了解IPP 应用用的智能能化。3.3.44.GiigaE
23、Etheerneet 技术 GEEN 是是IEEEE 最最新通过过的以太太网标准准(8002.11z),该该标准可可以在铜铜线、单单(多)模模光纤上上以10000MMbpss 的速速率传输输数据,是是在1000M 以太网网后新一一代的主主干网络络技术。千千兆位以以太网标标准与近近1 亿个个以太网网节点的的安装基基础保持持兼容,使使目前的的以太网网用户能能够充分分利用他他们在产产品和知知识的投投资。千千兆位以以太网沿沿用以太太网最初初标准中中的带有有检测冲冲突的载载波侦听听多路存存取(CCSMAA/CDD)访问问方法,并并包含全双工以及及半双工工操作模模式。千千兆以太太网技术术将显著著提高用用户
24、所获获得的用用以访问服务器和和应用程程序的带带宽。3.4.城城域网骨骨干技术术选择的的考虑 POSS 技术术和DTTP 技技术在用用户已经经有SDDH 设设备或能能廉价使使用SDDH 设设施以及及传输距距离很远远的时候候,建议议采用PPOS 技术和和DPTT 技术术。在DDPT 技术和和POSS 技术术中,建建议采用用DPTT 技术术如果在在用户的的SDHH 设备备无法组组成环型型结构时时,可采采用POOS 技技术。AATM 技术在在用户已已经有SSDH 设备或或能廉价价使用SSDH 设施,同同时,用用户建设设网络基基础设施施时考虑虑到需要要兼顾传传统业务务,如传传统的专专线业务务以及传传统的
25、FFramme-RRelaay 业业务。在在这种情情况下,ATM 主干是唯一选择。对于GE 技术,在传输距离不远,用户没有SDH 设备或无法廉价使用SDH 传输设备的时候,使用GE 技术可部分的减少用户的投资。3.5 城城域网接接入技术术现阶段的接接入技术术只要包包括PSSTN 接入、IISDNN 接入入、ADDSL 接入、CCablle 接接入、WWireelesss 接接入以及及LANN 接入入几种方方式。PSTN 接入:利用传传统的电电话网络络,采用用模拟调调制解调调技术传传输数据据,其最最高的上上行传输输速度为为56KKbpss,最高高的下行行速度为为33.6KbbpsIISDNN 接
26、入入:采用用新型的的电信IISDNN 网络络,采用用数字调调治技术术传输数数据,IISDNNBRII 最大大可支持持两个BB 通道道,最大大1288Kbpps 的的上下行行传输速速度。 AADSLL 接入入技术是是在现有有电话传传输线路路上的一一种新型型数字调调治解调调方式,他他可达到8MMbpss 的下下行速度度以及11Mbpps 的的上行速速度。Cablee 技术术是对传传统的有有线电视视网络进进行改造造,利用用电缆调调制解调调器(CCablleMoodemm)和同同轴/光纤混混合网(HFCC)高速速传输数数据的一一种接入入层数据据通信方方式,在在有线电电视的频频段上划划分出一一个上行行和
27、下行行频道由由于上下下行数据据传输。以以太接入入技术,采采用传统统的LAAN 接接入方式式,每个个网段为为一个广广播域,每每个广播播域的用用户共享享一个网网络地址址段。Wirellesss 接入入方式,Wireless 采用802.11 协议,采用直接调频或跳频调制技术调制数据,其典型拓扑结构为1 个访问点和多个移动用户组成Wireless接入网络以及由Wireless 桥接器组成普通以太网通过Wireless 组成的桥接网络。3.6.城城域网网网络设备备选型3.6.11.骨干干网络产产品设备备选型 在城城域网设设计中,对对于主干干网络设设备的选选择重要要是根据据其性能能、端口口密度、支支持的
28、主主干技术术等方面面来做出出选择: 对于于采用PPOS 技术的的骨干网网络:可可供选择择的设备备有Ciiscoo GSSR1220000 路由由交换机机产品、Cisco 7500 系列高端路由器产品、Juniper M10 、M40 、M80 骨干路由器产品。 对于于采用DDPT 技术的的骨干网网络:可可供选择择的设备备有Ciiscoo GSSR1220000 路由由交换机产品、Cisco 7500 系列高端路由器产品。 对于于采用AATM 技术的的骨干网网络:可可供选择择的设备备有Ciiscoo 85540MMSR ATMM/第三层一体化化交换机机,以及及Cissco GSRR120000
29、路由交交换机器器、Ciiscoo 75500 系列路路由器以及JJuniiperr M110 、M400 、M800 骨干干路由器器产品,需需要注意意的是这这里面产产品除了了85440MSSR 外外,其他他都不做做ATMM 交换换处理,只只能做AATM 和IP 之间的的转换,即即ATMM 边缘缘设备。对对于ATTM 接接入、CCES(电电路仿真真)以及及帧中继继可使用用CisscoLighttStrreamm 10010 、Cattalyyst 85110MSSR 、Cissco MGXX88000 系系列多服服务交换换机等产产品。 对于于采用GGE 技技术的骨骨干网络络:可供供选择的的设备有
30、有Cissco Cattalyyst 65000 系系列多层换机机产品、Cisco GSR12000 路由交换机产品、Cisco 7500 系列高端路由器产品、Juniper M10 、M40 、M80 骨干路由器产品。3.6.22.接入入网络产产品的选选择 对于于ISDDN/PPSTNN 的接接入方式式:可供供选择的的产品有有Cissco 53000 、Cissco 54000 、Ciscoo 58800 系列访访问服务务器产品品。对于于LANN 接入入方式,可可供选择择的产品品有Ciiscoo Caatallystt 19900 、CisscoCCataalysst 229000 、Cis
31、sco Cattalyyst 35000 、Cissco Cattalyyst 40000 、Cissco Cattalyyst660000/65500 系列多多层交换换机产品品,如果果采用PPPPOOE 工工作方式式,可配配置Ciiscoo 72200路路由器作作为PPPPOEE 会话话的终结结。 对于于HFCC 接入入方式,可可供选择择的产品品有Ciiscoo UBBR72200 系列以以及Ciiscoo 9000系列Cabble 路由器器产品。需需要注意意的是,Csico UBR 7200 系列用于有线电视头端,而Ciiscoo 9000 系系列Caablee 路由由器用于于用户端端。
32、对于于ADSSL 接接入方式式,可供供选择的的设备有有局端采采用Ciiscoo 62200 系列ADDSL集中器,PPPPOOE 或或PPPPOA 会话的的终结采采用Ciiscoo 64400 通用访访问集中中妻,客客户端采用CCiscco 6600 系列ADDSL 路由器器/桥接器器产品 对于于无线接接入方式式,也选选择的产产品有CCiscco AAiroonett 3440 系系列桥接接器、访访问点以及各各种PCC 网络络适配卡卡。第四章 城城域网管管理4.1宽带带城域网网网络管管理宽带城域网网网络实实现以下下管理:性能管理故障管理配置管理安全管理记帐管理1 、性能能管理根据ISOO,性能
33、能管理衡衡量网络络的活动动和效果果。性能能管理包包括检查查检查网网络应用程序和和协议活活动,分分析可达达性,测测量响应应时间,记记录网络络路由变变化。性性能管理理可以优优化网络络,满足足服务协协议和扩扩展规划划。监控控性能包包括收集集数据,处处理部分分或全部部数据,显显示处理理数据。可可为用户户提供性性能管理理和分析析的直观观工具。2 、故障障管理故障管理指指检测、隔隔离、诊诊断、和和修正错错误。它它还包括括向端用用户和管管理者。报报告问题题的过程程,以及及跟踪相相关问题题的趋势势等。在在有些情情况下,故故障管理理的含义是研究工工作区域域直到修修正问题题为止3 、配置置管理配置管理帮帮助网络络
34、管理者者跟踪网网络设备备和保存存设备的的配置信信息。使使用配置置管理,网网络管理理者可以以为相似似的设备备配置并并保存确确省,为为特定的的设备修修改缺省省,为特特定的色色后备修修改缺省省配置而而后在设设备上装装入配置置信息。配配置管理理还允许许管理者者维护网网络财产产的清单单,进行行版本注注册等一一系列工工作。4 、安全全管理安全管理允允许网络络管理者者维护和和发布口口令以及及其他认认证和授授权信息息。安全全管理还包括括生成、发发布和存存储加密密密钥的的处理。安安全管理理的一个个重要的的方面是是对收集、存存储和检检查安全全审计日日志的处处理。5 、记帐帐管理记帐管理用用于管理理用户帐帐单,这这
35、样可以以向独立立的部门门或用户户按其所所使用的网络服务务进行收收费。即即使在免免费的情情况下,使使用网络络记帐对对于捕获获滥用网网络资源的。4.1 主主要的大大型网络络管理系系统 在此此主要对对IBMM(Tivvolii)、HPP(OpeenViiew)、SuunCoonneect(SunnNett Maanagger,Encommpasss)CISSCO(CISSCOWWorkks)等等的产品品加以讨讨论。一、IBMM 公司司的Tiivolli 支持持SNMMP 协协议,内内置MIIB BBrowwserr/Coompiilerr,可以以采集实实时数据据,也可可以生成loog 文文件,并并提
36、供了了与多种种关系数数据库产产品的接接口。此此外,该该系统还还具有以下特性性:1具有拓拓扑结构构自动发发现功能能;2数据采采集与存存储功能能;3提供了了Fillterr 和Thrreshholdd 机制制4基于XXMottif 的图形形用户界界面;5提供了了简单的的Repoort Genneraatorr(包括括图形化化的工具具和表格格);6提供了了二次开开发的AAPI; 7无无法分辨辨网络故故障之间间的依赖赖关系; 8无无性能预预测能力力。二、HP 公司的的OpeenViiew 网网络拓扑扑自动发发现:OOpennVieew 的的自动发发现功能能很好。启启动后即即能自动动发现本网段的节节点。
37、不不能在运运行时手手工加入入与本网网段非直直连的管管理对象象,但可可以在ShutDDownn 网络络监控守守护进程程之后通通过Seeed Fille 实实现。 性性能分析析:没有有流量和和带宽利利用率的的分析功功能 ,但提提供了另另外的产产品(HHPLAN PProbbe)来来实现它它。可以以通过SSNMPP MIIB II 和 III 查询询来监视视网络接接口的错错误,但不能能对错误误分类。相相应也提提供了PPC-bbaseed PProbbeViiew 和HP LANN Prrobee I等等产品实实现这一一功能。 AALARRMS /TRRAPSS:提供供了GUUI 方方式的AAlarr
38、m/ttrapp 配置置。Allarmms/ttrapps 来来自网上的SSNMPP 设备备。收到到Alaarmss/trrapss 后不不做处理理,仅记记录(LLog)下下来。协议分析:OpeenViiew 没有实实现这一一功能,可可利用PProbbeViiew/HP LANN Prrobee产品。历史史数据分分析:可可以实时时以图形形方式显显示数据据报表和和数据元元素,也也可以显显示历史史数据。 对第第三方的的兼容性性:可以以在运行行时加载载其它厂厂商定义义的MIIB 。三、SunnNett Maanagger SSunNNet Mannageer (SNMM)系统统本身没没有配备备实用程
39、程序,用用户不得得不依赖赖于第三方应用软软件。但但SunnNett Maanagger 可支持持分布式式网管(由由RPCC 实现现)。 网网络拓扑扑自动发发现:仅仅能发现现IP 网络设设备 ,能判判断SNNMP (TCCP ssockket 1611)是否处于aactiive 状态以以及网络络设备是是否有多多个端口口(roouteer).不能发发现Netwaare 或非IPP 设备备。 性性能分析析:简单单的流量量和带宽宽利用率率的分析析功能,只只能监测测本地和和本网段段且图形显示示粗糙,数数据单位位只能是是pacckett 。不不能通过过SNMMP MMIB I oor III 查查询来监视
40、冲突突。可以以图示错错误 ,但未未做分类类(ruunt,giaant,FCSS,CRRC)。SuunNeetMaanagger 捆绑了了两个软软件包:NettMettrixx (Mettrixx,Innc.)和和TREENDssysttem(DesskTaalk,Incc.),NeetMeetriix 具具有流量量分析能能力,是是 RMMON 产品;TREENDssysttem用 SyBBasee DBBMS 管理SNNM 的的报告文文件,提供了了优秀的的MIBB 浏览览功能,要求被被管设备备支持 RMOON MMIB 。 ALAARMSS /TTRAPPS:可可以很好好地处理理SNMM 生成
41、成的thhresshollds 超界报报告,也也能处理理其它平平台的 alaarmss/trrapss(HP)。收收到一个个alaarm/traap 后后,根据据配置向向管理员员通报错错误。缺缺点是所所有trrap 放入了了一个文文件,且且未提供供浏览工工具。SSNM可可以把SSNMPP Trrapss 转给给其它SSNMPP 网管管服务器器。数目目不限。SNM 不支持协议分析。 历历史数据据分析工工具:可可以以图图形方式式显示实实时数据据,也可可以存储储并显示示历史数据,数数据文件件以ASSCIII 格式式存放。图图形画的的较粗糙糙。但其其优点是是支持图图形合并。与第第三方产产品的兼兼容性:
42、可以载载入标准准的和厂厂商自定定义的MMIB 。用miib2sscheema 编译。四、CisscoWWorkks 网络络拓扑自自动发现现:CiiscooWorrks 使用 SSunNNet Mannageer 的的mapppinng/ddisccoveery 工具。用用Synnc ww/SyyBasse 模模块扫描描SunnNett Maanagger 的数据据库来寻寻找Ciiscoo 设备相相关的信信息。相相应结果果写入 SyBBasee daatabbasee 。 性能能分析:从路由由器查询询特定类类型的信信息,写写入SYYBASSE 数数据库。ALARMS /TRAPS:通过配置,使C
43、isco 路由器使用snmp-server host IP-Address Write Community命令发送SNMP-Trap,信息通过 CiscoWorks 的相应守护程序存入SyBase 数据库。CiscoWorks 不支持协议分析。 历历史数据据分析:可以显显示Reeal-Timme 图图形,可可以显示示历史数数据。 对对第三方方产品的的兼容性性:仅支支持Ciiscoo 公司司自己的的网络设设备。第五章 城城域网网网络安全全威胁 信息系系统可能能存在的的安全威威胁来自自以下方方面:操操作系统统的安全全性,防火墙墙的安全性,来自内内部网用用户的安安全威胁胁,缺乏有有效的手手段监视视、
44、评估估网络系系统的安全性。采采用的TTCP/IP 协议族族软件,本本身缺乏乏安全性性,电子邮邮件夹带带的病毒毒及Web 浏浏览可能能存在的的Javva/AActiiveXX 控件件进行有有效控制制。5 .1 城域网网安全问问题以及及解决技技术手段段 网络络安全技技术发展展到今天天,已经经有成熟熟的方案案来对付付来自各各方面的的安全威威胁。信信息技术术的安全全体系必必须集成成多种安安全技术术实现。如如虚拟网网技术、防防火墙技技术、入入侵监控控技术、安安全漏洞洞扫描技技术、加加密技术术、认证证和数字字签名技技术等。1.虚拟网网技术 虚拟拟网技术术主要基基于近年年发展的的局域网网交换技技术(AATM
45、 和以太太网交换换)。交交换技术术将传统统的基于于广播的的局域网网技术发发展为面面向连接接的技术术。因此此,网管管系统有有能力限限制局域域网通讯讯的范围围而无需需通过开开销很大大的路由由器。由由以上运运行机制制带来的的网络安安全的好好处是显显而易见见的:信信息只到到达应该该到达的的地点。因因此,防防止了大大部分基基于网络络监听的的入侵手手段。通通过虚拟拟网设置置的访问问控制,使使在虚拟拟网外的的网络节节点不能能直接访访问虚拟拟网内节节点。但但是,虚虚拟网技技术也带带来了新新的安全全问题:执行虚虚拟网交交换的设设备越来来越复杂杂,从而而成为被被攻击的的对象。基基于网络络广播原原理的入入侵监控控技
46、术在在高速交交换网络络内需要要特殊的的设置。基基于MAAC 的的VLAAN 不不能防止止MACC 欺骗骗攻击。2.防火墙墙技术 防火火墙是近近年发展展起来的的重要安安全技术术,其主主要作用用是在网网络入口口点检查查网络通通讯,根根据客户户设定的的安全规规则,在在保护内内部网络络安全的的前提下下,提供供内外网网络通讯讯。3.入侵检检测技术术 入侵侵检测系系统是近近年出现现的新型型网络安安全技术术,目的的是提供供实时的的入侵检检测及采采取相应应的防护护手段,如如记录证证据用于于跟踪和和恢复、断断开网络络连接等等。 实时入入侵检测测能力之之所以重重要首先先它能够够对付来来自内部部网络的的攻击,其其次它能能够缩短短hacckerr 入侵侵的时间间。4.安全扫扫描技术术 安全全扫描工工具源于于Hacckerr 在入入侵网络络系统时时采用的的工具。 基于服务器的扫描器主要扫描服务器相关的安全漏洞,通常与相应的服务器操作系统紧密相关。 基于网络的安全扫描器主要扫描设定网络.安全扫描器不能实时监视网络上的入侵,但是能够测试和评价系统的安