武漢熱線二期擴(kuò)容網(wǎng)絡(luò)結(jié)構(gòu)實(shí)施方案 (２）

1、 武漢熱線二期擴(kuò)容網(wǎng)絡(luò)結(jié)構(gòu)實(shí)施方案1 網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì)目的和總體要求： 整個(gè)工程中要求網(wǎng)絡(luò)技術(shù)與國(guó)際同步，在拓?fù)浣Y(jié)構(gòu)上具有開放性和可擴(kuò)展性，同時(shí)簡(jiǎn)明清晰；在穩(wěn)定性方面，要求對(duì)關(guān)鍵網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)路由具有冗余，無結(jié)構(gòu)上的單點(diǎn)故障點(diǎn)，骨干上要有較強(qiáng)的承載能力；在功能上應(yīng)滿足基本的互連互通及漫游。11廣域網(wǎng)設(shè)計(jì)網(wǎng)絡(luò)現(xiàn)狀 “武漢熱線”目前的骨干網(wǎng)是指由洪山、漢口和魯巷三個(gè)節(jié)點(diǎn)組成的核心廣域連接。目前這三個(gè)節(jié)點(diǎn)分別由兩臺(tái)cisco7513和cisco7507骨干路由器組成骨干連接，在三個(gè)路由設(shè)備上插atm卡并利用oc-3互連，中繼線速率為155mbps（可參看網(wǎng)絡(luò)拓?fù)鋱D）。此次骨干網(wǎng)擴(kuò)容將針對(duì)目前網(wǎng)絡(luò)存在的

2、問題，提供層次化的擴(kuò)容設(shè)計(jì)方案，在解決目前網(wǎng)絡(luò)瓶頸、提供高質(zhì)量服務(wù)和可靠性服務(wù)的同時(shí)，既能保護(hù)現(xiàn)有投資，最大限度地利用現(xiàn)有設(shè)備；同時(shí)提高骨干傳輸速率并平滑過渡、升級(jí)到未來寬帶網(wǎng)絡(luò)。112 網(wǎng)絡(luò)設(shè)計(jì)方案 研究了目前武漢熱線網(wǎng)絡(luò)所遇到的問題，充分考慮到武漢熱線未來的 發(fā)展，我們認(rèn)為武漢熱線的骨干網(wǎng)絡(luò)必須具備以下特點(diǎn)：1) 骨干網(wǎng)絡(luò)的高可靠性 (high availability)2) 骨干網(wǎng)絡(luò)的高性能 (high performance)3) 骨干網(wǎng)絡(luò)的高可擴(kuò)展性 (high scalability) 4) 骨干網(wǎng)絡(luò)的高品質(zhì)的網(wǎng)絡(luò)服務(wù)質(zhì)量 (qos)基于上述考慮，我們建議在保護(hù)現(xiàn)有投資的前提下，對(duì)

3、武漢熱線主干網(wǎng)絡(luò)采用較大幅度的網(wǎng)絡(luò)重構(gòu)。最終網(wǎng)絡(luò)拓?fù)淙缦聢D所示。 在上圖所描述的網(wǎng)絡(luò)結(jié)構(gòu)中 ： 我們建議采用cisco 最新一代第三層大型交換路由器gigabit switch router (gsr) 代替原有的cisco 7513來組成主干核心網(wǎng)絡(luò)。建議漢口、武昌各放兩臺(tái)gsr12012, 同時(shí)漢口、武昌gsr用光纖直接連接。我們?cè)谶@里建議采用gsr12012是基于分布式路由結(jié)構(gòu)的、提供第三層千兆位交換能力的大型交換路由器。提供12 槽口，背板交換帶寬為15gbps - 60gbps?？梢酝ㄟ^增加背板交換矩陣，使得背板交換能力達(dá)到60gbps。 根據(jù)設(shè)計(jì)，背板的交換能力將來可以擴(kuò)充到240

4、gbps。 gsr12012 能支持多達(dá)44個(gè)155mb stm-1 或者11個(gè)622mb stm-4的接口同時(shí)支持atm和packet over sonet/sdh(pos)技術(shù)。鑒于武漢地區(qū)的地理和網(wǎng)絡(luò)用戶分布的特點(diǎn)，結(jié)合具體的網(wǎng)絡(luò)硬件和人員條件，我們建議改變?cè)械娜h(huán)核心結(jié)構(gòu)，將武昌洪山和漢口作為兩個(gè)核心節(jié)點(diǎn)，在兩點(diǎn)間用gsr高速骨干相連，數(shù)據(jù)中心（網(wǎng)絡(luò)中心）仍設(shè)在武昌洪山，pop（網(wǎng)絡(luò)用戶接入點(diǎn)）分布于漢口和洪山，gsr以下均通過catalyst8500系列三層交換機(jī)以千兆方式接入;魯巷作為一個(gè)icp（信息制作中心）用catalyst8510以千兆以太網(wǎng)接入洪山catalyst8540

5、主交換機(jī)。三、 為保證骨干網(wǎng)絡(luò)的可靠性，我們建議所有節(jié)點(diǎn)都采用雙連。兩個(gè)核心節(jié)點(diǎn)各采用兩臺(tái)gsr避免單點(diǎn)故障。漢口的pop節(jié)點(diǎn)分別連到漢口2 臺(tái)gsr 上，武昌各點(diǎn)也分別連到武昌的2臺(tái)gsr上，這樣確保網(wǎng)絡(luò)的冗余可靠性。cisco 路由器支持hsrp協(xié)議，可以以每個(gè)節(jié)點(diǎn)的兩臺(tái)交換機(jī)互為備份， 當(dāng)一臺(tái)出現(xiàn)故障 時(shí)，其支持的應(yīng)用很快轉(zhuǎn)移到另一臺(tái)交換機(jī)上；而該交換機(jī)恢復(fù)工作時(shí)，系統(tǒng)又能很快的恢復(fù)負(fù)載平衡。 四、 以pos技術(shù)代替atm 技術(shù)作為主干網(wǎng)絡(luò)連接。四臺(tái)gsr之間通過光纖實(shí)現(xiàn)pos連接，連接帶寬可以用622mbps oc12鏈路。武漢 online 原來所有的7513和7507均退到邊緣用于

6、專線接入; 各pop服務(wù)網(wǎng)絡(luò)通過兩臺(tái)catalyst8500系列的交換機(jī)以千兆于gsr 相連。這樣,整個(gè)武漢online 的骨干網(wǎng)就形成了以gsr為中心的基于pos的骨干網(wǎng)。pos 技術(shù)將ip報(bào)直接封裝于sdh 幀中，是更加適合于isp 提供高速ip 服務(wù)的一種新的寬帶技術(shù)。對(duì)于ip業(yè)務(wù)來說 ，pos 相對(duì)于atm技術(shù)有如下幾個(gè)優(yōu)點(diǎn)：(1) 實(shí)施簡(jiǎn)單快捷，總體擁有成本低，收回投資周期短；(2)節(jié)省信頭開銷，線路利用率高；(3) 網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單，減少設(shè)備重復(fù)投資；(4)進(jìn)一步提高帶寬的潛力很大；(5)符合internet 的業(yè)務(wù)特征，減輕網(wǎng)絡(luò)設(shè)備的額外負(fù)擔(dān)。同時(shí)，pos技術(shù)提供高的qos和高可靠性

7、。 五 、 在主干網(wǎng)絡(luò)中，建議結(jié)合使用ospf和bgp4 路由協(xié)議，使得網(wǎng)絡(luò)路由迅速收斂，也保證一條網(wǎng)絡(luò)鏈路斷掉后，會(huì)迅速找到另外一條網(wǎng)絡(luò)鏈路，使網(wǎng)絡(luò)中斷時(shí)間最少。稍后將詳細(xì)論述主干網(wǎng)的路由協(xié)議規(guī)劃。 骨 干 網(wǎng) 絡(luò) 性 能 分 析 l 整個(gè)網(wǎng)絡(luò)的qos 上述建議的網(wǎng)絡(luò)能很好地滿足qos的要求，因?yàn)閺木W(wǎng)絡(luò)中心講，gsr 的帶寬將是足夠的。可以從目前的622mb ，上升到oc48 2.4gb , oc192的9.6gb這樣大的backbone 帶寬 ，足以滿足各種突發(fā)的傳輸要求 ，從而確保 qos 。 從分中心端點(diǎn)看，7513和7507 能通過ciscocommited access rate(

8、car)軟件 機(jī) 制 很好地確保網(wǎng)絡(luò)的qos,car可以完成 qos的方式是帶寬管理機(jī)制 ，即可以限制通過路由器某一端口的流量，當(dāng)某些流量在設(shè)定之內(nèi)，就可以被傳輸 ，否則被拋棄。這樣，無論從網(wǎng)絡(luò)中心到各分中心，都能提供良好的qos 保障。l 高的網(wǎng)絡(luò)性能 整個(gè)網(wǎng)絡(luò)采用packet over sonet/sdh 技術(shù)，使網(wǎng)絡(luò)性能從設(shè)計(jì)角度較大的提高。正如大家所知道，atm 在傳輸大容量數(shù)據(jù)方面是有一定缺陷的，因?yàn)閍tm采用的是定長(zhǎng)cell的傳輸模式，而數(shù)據(jù)傳輸通常是變長(zhǎng)的packets ，atm在每次傳輸packet的時(shí)候，都先將packets sar 成cells 。且每一個(gè)cells 都要附

9、加一個(gè)header，這樣 使的網(wǎng)絡(luò)帶寬實(shí)際利用率降低，從而也浪費(fèi)了一些 寶貴的網(wǎng)絡(luò)帶寬資源 。而packet over sonet，則完全克服了atm 傳輸數(shù)據(jù)傳輸弊端，不需將packets sar 成cells ，也無需將傳統(tǒng)的ip packets 進(jìn)行封裝，這樣既有效地利用了網(wǎng)絡(luò)帶寬 ，又增加了網(wǎng)絡(luò)傳輸?shù)乃俣?，一般統(tǒng)計(jì)，155mb atm傳輸帶寬，真正有效的數(shù)據(jù)傳輸只有20mb 120mb，而 155mb oc-3/stm-1的packet over sonet/sdh ,真正有效的數(shù)據(jù)傳輸在120mb-148mb之間，因?yàn)閜acket over sonet/sdh是直接將數(shù)據(jù)的packe

10、ts 在光纖上傳輸?？梢姡琾acket over sonet/sdh ，在傳輸數(shù)據(jù)方面要優(yōu)于atm。所以，采用上述以packet over sonet/sdh的網(wǎng)絡(luò)結(jié)構(gòu)一定會(huì)比現(xiàn)存的網(wǎng)絡(luò)結(jié)構(gòu)性能快很多。l 網(wǎng)絡(luò)的可擴(kuò)展性 在中心采用gsr12012，對(duì)武漢online講，網(wǎng)絡(luò)擴(kuò)展性將非常可觀。因?yàn)間sr12012 ，提供12個(gè)槽口，最多可提供44個(gè)155mb pos/atm，或11個(gè)622mb posip/atm，完全可以滿足主干網(wǎng)絡(luò)將來的進(jìn)一步擴(kuò)展。將來，pos技術(shù)將支持在wdm光纖網(wǎng)上傳輸，將光纖的傳輸能力提高幾十倍。 區(qū)域級(jí)網(wǎng)絡(luò)結(jié)構(gòu) 在每一個(gè)pop節(jié)點(diǎn)，都有兩臺(tái)交換機(jī)以千兆以太網(wǎng)與主干網(wǎng)

11、gsr連接。邏輯上武昌與漢口兩個(gè)核心節(jié)點(diǎn)也是區(qū)域網(wǎng)pop節(jié)點(diǎn)之一，所以一共有兩個(gè)pop節(jié)點(diǎn)與主干網(wǎng)相連。為了避免太大的路由表以及路由廣播信息地?cái)U(kuò)散，在路由協(xié)議的設(shè)計(jì)上要仔細(xì)考慮。 在除了核心節(jié)點(diǎn)外的每一個(gè)pop節(jié)點(diǎn)，都設(shè)計(jì)用兩臺(tái)局域網(wǎng)交換機(jī)catalyst8510 作為本地交換機(jī)，以快速以太網(wǎng)提供足夠的帶寬。交換機(jī)與路由器和接入服務(wù)器分別進(jìn)行交叉連接，保證性能且避免單點(diǎn)故障。兩臺(tái)交換機(jī)的性能還可以滿足未來企業(yè)用戶接入的需求。將中心機(jī)房已有的catalyst5000移至防火墻后， 來 構(gòu) 筑 武 漢 熱 線 自 己 內(nèi) 部 的， 安 全 性 要 求 較 高 的 局 域 網(wǎng) 絡(luò) ， 例 如 計(jì) 費(fèi)

12、 系 統(tǒng) ， 網(wǎng) 管 系 統(tǒng) 等 等 。結(jié)構(gòu)圖參見下節(jié)中核心節(jié)點(diǎn)論述。 在這里，主要論述企業(yè)網(wǎng)絡(luò)接入的解決方案。為了充分利用現(xiàn)有的atm 模塊 和現(xiàn)有的atm 網(wǎng)絡(luò)，可以利用atm 網(wǎng)絡(luò)較大的覆蓋性，提供企業(yè)網(wǎng)絡(luò)的接入。 atm接入形式保證了用戶可以充分利用將來武漢熱線提供的多媒體業(yè)務(wù)，使用戶真正享受到武漢熱線豐富的網(wǎng)絡(luò)資源。 利用上述現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)，我們可以擴(kuò)大用戶的網(wǎng)絡(luò)接入形式，同時(shí)可以大量減少ddn 專線用戶，使得 pop 內(nèi)的路由器的可擴(kuò)展性大大增強(qiáng)，另一方面，用frame relay 替代ddn可以降低用戶的接入費(fèi)用，從而吸引更多的商業(yè)用戶。路由協(xié)議規(guī)劃 對(duì)武漢online 這樣大i

13、sp 網(wǎng)絡(luò)來說，合理地規(guī)劃網(wǎng)絡(luò)自治域，選擇恰當(dāng)?shù)穆酚蓞f(xié)議，是一件艱苦但非常重要的工作。隨著網(wǎng)絡(luò)規(guī)模的逐步擴(kuò)大，及早給出一個(gè)長(zhǎng)遠(yuǎn)而合理的規(guī)劃，可以避免積累的問題給網(wǎng)絡(luò)的性能帶來影響。 cisco路由器支持非常豐富的路由協(xié)議，因而可以靈活的按照網(wǎng)絡(luò)結(jié)構(gòu)和實(shí)際需求對(duì)路由器協(xié)議進(jìn)行設(shè)置，有效的對(duì)網(wǎng)絡(luò)進(jìn)行優(yōu)化。 首先，對(duì)于域內(nèi)的內(nèi)部網(wǎng)關(guān)路由協(xié)議的選擇來說，開放式最短路徑路由協(xié)議ospf的分層體系是一個(gè)合理的結(jié)構(gòu)。ospf是一個(gè)具有高度擴(kuò)展性的路由協(xié)議，目前武漢熱線已經(jīng)采用了ospf 協(xié)議，因而繼續(xù)采用ospf 協(xié)議有利于網(wǎng)絡(luò)的平滑升級(jí)。但現(xiàn)行網(wǎng)絡(luò)的ospf 規(guī)劃中，所有設(shè)備處于一個(gè)自治域內(nèi)，不利于網(wǎng)絡(luò)的

14、擴(kuò)展。我們建議將主干4 個(gè)gsr 路由器設(shè)為area 0 ，而武昌部分和漢口部分的pop 路由器則分別設(shè)為area1和area 2 ，形成真正的分層結(jié)構(gòu) 。隨著將來pop節(jié)點(diǎn)的進(jìn)一步發(fā)展，可以劃出新的ospf自治域。這種分層構(gòu)架的ospf體系結(jié)構(gòu)為網(wǎng)絡(luò)的擴(kuò)展提供了較高的能力。 對(duì)外部網(wǎng)關(guān)路由協(xié)議的規(guī)劃來說，接入chinanet的兩臺(tái)路由器端口可以沿用現(xiàn)在的default gateway 方式，也可采用bgp4協(xié)議。核心節(jié)點(diǎn)局域網(wǎng)設(shè)計(jì)：121 局域網(wǎng)絡(luò)現(xiàn)狀： 現(xiàn)有“武漢熱線”網(wǎng)絡(luò)結(jié)構(gòu)中，局域網(wǎng)交換機(jī)catalyst5000成為網(wǎng)絡(luò)核心設(shè)備。既與cisco7513上連作為全網(wǎng)絡(luò)流量出口，又連接局域

15、網(wǎng)內(nèi)各種服務(wù)器設(shè)備，同時(shí)又與169網(wǎng)關(guān)設(shè)備連接，另外提供專線用戶的路由器也連接其上。在大用戶量的情況下，其流量交換的負(fù)荷相當(dāng)大，同時(shí)無法保證其可靠性，如果這臺(tái)設(shè)備出現(xiàn)故障，全網(wǎng)即可癱瘓。本次擴(kuò)容工程設(shè)計(jì)方案將考慮采用包交換能力（pps）大的局域網(wǎng)交換機(jī)設(shè)備，以提高數(shù)據(jù)交換能力；同時(shí)采用雙交換機(jī)結(jié)構(gòu)，減輕單臺(tái)設(shè)備的負(fù)荷，同時(shí)提供網(wǎng)絡(luò)內(nèi)部部分重要設(shè)備的路由備份；保證網(wǎng)絡(luò)的高可靠性連接，一旦一臺(tái)局域網(wǎng)交換機(jī)出現(xiàn)故障，各種業(yè)務(wù)服務(wù)器仍可通過運(yùn)行正常的交換機(jī)進(jìn)行數(shù)據(jù)交換。調(diào)整各子網(wǎng)內(nèi)部設(shè)備組成，以減少vlan之間的互通流量。具體實(shí)施方案中，考慮到網(wǎng)絡(luò)將來向?qū)拵Х较虻陌l(fā)展，確保網(wǎng)絡(luò)數(shù)據(jù)的高速傳輸，同時(shí)又兼

16、顧到現(xiàn)有設(shè)備的利舊因素,而性能與安全常常成為互相矛盾的一對(duì)要求 。本期工程將采用綜合性的方案來解決安全性問題而保證網(wǎng)絡(luò)的總體性能。武漢熱線在武昌設(shè)數(shù)據(jù)中心點(diǎn)。在網(wǎng)絡(luò)中心要解決以下問題 ：）高可靠性局域網(wǎng)）高可靠性服務(wù))接入模塊）中心網(wǎng)絡(luò)結(jié)構(gòu)和安全1） 高可靠性局域網(wǎng)： 鑒于目前局域網(wǎng)設(shè)備的非可靠性狀況，本次擴(kuò)容建議做可靠性設(shè)計(jì)方案，對(duì)洪山和漢口合作路兩個(gè)網(wǎng)絡(luò)數(shù)據(jù)中心及pop接入點(diǎn)作較為完善的規(guī)劃，同時(shí)考慮現(xiàn)有設(shè)備的利用：由于catalyst5000設(shè)備的總線帶寬為1.2gb，包交換能力只有1mpps，而其插槽數(shù)量較少（4個(gè)slot），不利于將來網(wǎng)絡(luò)的進(jìn)一步擴(kuò)展。建議將此設(shè)備用做撥號(hào)用戶的接入設(shè)

17、備，可提供較為充裕的以太網(wǎng)端口，以減少占用骨干局域網(wǎng)交換機(jī)的端口，對(duì)魯巷的catalyst5000建議加上一塊rsm交換模塊，增加第三層交換功能,同時(shí)于catalyst8510相結(jié)合,增加其接入以太網(wǎng)端口。采用較強(qiáng)的包交換能力（pps）和具有第三層交換能力的局域網(wǎng)交換機(jī)： 在洪山、漢口兩節(jié)點(diǎn)pop及洪山數(shù)據(jù)中心分別采用兩臺(tái)具有第三層交換功能的局域網(wǎng)交換機(jī)，建議用cisco 公司的 catalyst8510核心交換機(jī)，其可利用插槽數(shù)量為5個(gè)，提供pos和atm的接入，將來還可提供gigabit以太網(wǎng)連接能力，直接連入核心gsr。采用上述設(shè)備可做到： . 部分設(shè)備負(fù)載分擔(dān)，可減輕局域網(wǎng)核心交換機(jī)的

18、負(fù)荷； . 交換機(jī)的冗余性，同時(shí)支持硬件和網(wǎng)絡(luò)冗余。電源和線路模塊均可帶電熱插拔。另外cisco ios提供軟件冗余性能結(jié)合server和核心路由的備份冗余保證全網(wǎng)無單點(diǎn)故障。 . 可保證每個(gè)子網(wǎng)vlan有高速上行鏈路，能夠提供大型網(wǎng)絡(luò)所需的帶寬和擴(kuò)展性。做到高可靠性、容錯(cuò)設(shè)計(jì)； . 提供第三層交換功能，減輕核心路由器的路由負(fù)擔(dān)； . 提供多種連接方式，如fastethernet、fastetherchannel、千兆以太網(wǎng)、atm、pos(packet over sonet); 原cisco7513退下作為pop節(jié)點(diǎn)的接入設(shè)備，提供豐富的專線接入手段。2）高可靠性服務(wù)：2.1 用戶管理、計(jì)費(fèi)

19、服務(wù)器和www/db服務(wù)器是全網(wǎng)重要的設(shè)備，需采用高可靠性設(shè)計(jì)方案如ha，以確保所提供服務(wù)的高可靠性； -建議用戶管理、計(jì)費(fèi)服務(wù)器采用原方案設(shè)計(jì)，即兩臺(tái)sun e3000帶磁盤陣列， 采用ha的方式，保證在一臺(tái)設(shè)備出故障的情況下能自動(dòng)切換到另一臺(tái)； -www/db仍采用上述ha方式；-原設(shè)備sun e3000均為單cpu、167mhz，建議本次工程增加cpu的數(shù)量和主頻，建議主頻升為336mhz，cpu暫升為四個(gè)； 為保證用戶快速訪問www信息，減少出口中繼流量，設(shè)置cache server； -數(shù)據(jù)中心（洪山節(jié)點(diǎn)）設(shè)置cache server，并采用主備方式，以滿足大用戶量下用戶訪問www站

20、點(diǎn)，節(jié)省出口帶寬；-配置性能相對(duì)較高的硬件設(shè)備以更好的實(shí)現(xiàn)proxy或cache server功能要求；2.2 cacheengine cacheengine 在 局 部 的 網(wǎng) 絡(luò) 上 或 pop 處 實(shí) 現(xiàn) 了 web 內(nèi) 容 的 網(wǎng) 絡(luò) 緩 存 共 享 ， 從 而 消 除 了 同 一 內(nèi) 容 在 廣 域 網(wǎng) 上 的 重 復(fù) 傳 輸 ， 有 效 利 用 帶 寬 并 減 少 web 服 務(wù) 器 的 負(fù) 載 。 在 cisco 提 供 該 產(chǎn) 品 之 前 ， isp 早 就 注 意 到 了 網(wǎng) 絡(luò) 緩 存 的 重 要 性 并 通 常 采 用 proxy server 來 用 作 頁(yè) 面 的 緩

21、 存 ， 這 種 方 法 為 internet帶 來 了 很 大 的 好 處 ， 但 也 給 用 戶 帶 來 了 一 些 不 便 ， 因 為 用 戶 必 須 知 道 、 記 住 這 些 proxy server 的 名 字 和 有 關(guān) 的 端 口 號(hào) ， 對(duì) 于 不 同 的 網(wǎng) 址 ，也 許 還 需 要 重 新 配 置 不 同 的 proxy server， 非 常 麻 煩 。 這 種 緩 存 方 式 在 可 靠 性 方 面 也 存 在 不 少 缺 陷 。 cacheengine 則 作 為 專 門 的 網(wǎng) 絡(luò) 緩 存 ， 具 有 許 多 的 技 術(shù) 優(yōu) 勢(shì) 。 cacheengine 通 過

22、 快 速 以 太 網(wǎng) 與 路 由 器 連 接 。 在 運(yùn) 行 過 程 中 ， 當(dāng) 用 戶 訪 問 某 一 頁(yè) 面 時(shí) ， 路 由 器 根 據(jù) 緩 存 控 制 協(xié) 議 ， 將 web 請(qǐng) 求 重 定 向 到 cacheengine 上 ， 如 果 cacheengine中 有 該 頁(yè) 面 內(nèi) 容 ， 則 直 接 將 該 頁(yè) 面 送 給 用 戶 ， 若 沒 有 ， 路 由 器 再 將 請(qǐng) 求 傳 給 相 應(yīng) 的 web 服 務(wù) 器 ， 并 在 web 服 務(wù) 器 返 回 頁(yè) 面 給 用 戶 時(shí) ， 同 時(shí) 將 該 頁(yè) 面 傳 給 cacheengine 以 備 下 一 次 或 下 一 位 用 戶

23、同 樣 請(qǐng) 求 時(shí) 使 用 。 cacheengine 支 持 三 種 數(shù) 據(jù) 刷 新 方 式 ： 強(qiáng) 行 刷 新 、 定 時(shí) 刷 新 、 和 相 對(duì) 時(shí) 間 刷 新 。 web 服 務(wù) 器 對(duì) 于 實(shí) 時(shí) 數(shù) 據(jù) (如 股 票 信 息 )可 以 規(guī) 定 不 準(zhǔn) 進(jìn) 行 緩 存 而 強(qiáng) 行 刷 新 每 次 數(shù) 據(jù) 。 在 定 時(shí) 刷 新 模 式 下 ， 服 務(wù) 器 對(duì) 準(zhǔn) 實(shí) 時(shí) 數(shù) 據(jù) (如 氣 象 消 息 )則 規(guī) 定 刷 新 時(shí) 間 ， cacheengine將 根 據(jù) 該 時(shí) 間 要 求 刷 新 數(shù) 據(jù) 。 若 web 頁(yè) 面 沒 有 對(duì) 次 作 出 任 何 規(guī) 定 ， 則 進(jìn) 入 相

24、 對(duì) 時(shí) 間 刷 新 狀 態(tài)，cacheengine 將 根 據(jù) 文 件 最 后 修 改 時(shí) 間 的 長(zhǎng) 短 決 定 何 時(shí) 對(duì) 數(shù) 據(jù) 進(jìn) 行 刷 新 。 cacheengine 利 用 一 個(gè) 專 門 為 緩 存 系 統(tǒng) 設(shè) 計(jì) 的 高 性 能 文 件 系 統(tǒng) ， 避 免 產(chǎn) 生 文 件 碎 片 和 通 用 文 件 系 統(tǒng) 造 成 的 長(zhǎng) 時(shí) 間 目 錄 搜 索 。 cacheengine安 全 、 實(shí) 時(shí) 的 內(nèi) 嵌 操 作 系 統(tǒng) 還 免 除 了 通 用 文 件 系 統(tǒng) 相 對(duì) 較 高 的 上 下 處 理 負(fù) 擔(dān) 。 cacheengine 支 持 基 于 對(duì) 象 文 件 的 緩 存

25、， 即 可 以 在 頁(yè) 面 數(shù) 據(jù) 更 新 的 情 況 下 ， 緩 存 部 分 不 變 的 內(nèi) 容 ， 如 一 些 固 定 的 圖 標(biāo) 。多 個(gè) cacheengine 可 以 組 成 緩 存 場(chǎng) ， 每 個(gè) 新 增 的 cacheengine 將 增 加 24gb的 存 儲(chǔ) 量 。 一 個(gè) 緩 存 場(chǎng) 至 多 能 包 括 32 個(gè) cacheengine， 存 儲(chǔ) 768gb的 信 息 并 同 時(shí) 支 持 28800個(gè) 會(huì) 話 。 結(jié) 合 上 述 原 理 ， 不 難 理 解 cacheengine 具 有 如 下 特 點(diǎn) ： 對(duì) web 瀏 覽器透明：ciscoios路由器將與cacheen

26、gine配 合 完 成 全 部 工 作 ， 而 用 戶 的 web 瀏 覽 器 無 需 做 任 何 配 置 ， 可 以 關(guān) 閉 任 何 proxy server 功 能 。 盡 管 網(wǎng) 絡(luò) 中 可 能 有 多 個(gè) cacheengine ， 它 們 也 可 能 負(fù) 責(zé) 不 同 的 內(nèi) 容 ， 但 用 戶 完 全 不 用 關(guān) 心 它 們 的 存 在 ， 更 不 用 去 記 住 portnumber 之 類 的 參 數(shù) 。 可 伸 縮 和 高 性 能：可 以 根 據(jù) 需 要 增 加 緩 存 空 間 ， 線 性 提 高 性 能 。 專 門 的 緩 存 文 件 系 統(tǒng) 也 提 供 了 高 性 能 的

27、操 作 。 容 錯(cuò) 性：一 個(gè) 緩 存 場(chǎng) 的 所 有 cacheengine 之 間 可 以 作 負(fù) 載 均 衡 與 相 互 備 份 。 即 使 所 有 cacheengine 都 失 效 ， 路 由 器 也 能 自 動(dòng) 識(shí) 別 并 取 消 緩 存 功 能 但 繼 續(xù) 提 供 web 訪 問 服 務(wù) ， 避 免 了 從 前 proxy server 死 機(jī) 導(dǎo) 致 配 置 了 該 proxy server 的 用 戶 不 可 訪 問 網(wǎng) 絡(luò) 的 問 題 。 為 了 進(jìn) 一 步 減 少 昂 貴 的 國(guó) 際 線 路 的 壓 力 ， 以 及 考 慮 到 核 心 節(jié) 點(diǎn) 接 入 的 icp較 多 ，

28、 建 議 在 洪山節(jié) 點(diǎn)配 置 兩 臺(tái) cacheengine。 兩 臺(tái) 緩 存 還 可 以 互 為 備 份 。 兩 臺(tái) 緩 存 處 于 同 一 網(wǎng) 段 中 ， 與 路 由 器 的 一 個(gè) 端 口 相 連 ， 節(jié) 點(diǎn) 網(wǎng) 絡(luò) 圖 如 下 。 目 前 武 漢 熱 線 到 chinanet的 出 口 已 出 現(xiàn) 嚴(yán) 重 阻 塞 ，忙 時(shí) 出 現(xiàn) 丟 包 。 除 了 增 加 帶 寬 的 解 決 方 案 外 ， cacheengine 也 將 很 好 的 幫 助 解 決 問 題 。 cacheengine 的 擴(kuò) 展 非 常 靈 活 。 當(dāng) 發(fā) 現(xiàn) 其 容 量 不 夠 時(shí) ，增 加 cacheengi

29、ne十非 常 容 易 ， 不 會(huì) 影 響 網(wǎng) 絡(luò) 的 正 常 運(yùn) 行 狀 態(tài) 。 2.3 大用戶量radius數(shù)據(jù)備份和負(fù)載分擔(dān) 如何提高大用戶量下用戶上網(wǎng)的身份驗(yàn)證速度、確保用戶接入的負(fù)載分擔(dān)，同時(shí)能做到用戶數(shù)據(jù)的可靠性備份，也是影響網(wǎng)絡(luò)運(yùn)營(yíng)服務(wù)質(zhì)量的關(guān)鍵因素。本期擴(kuò)容工程建議采用下述設(shè)計(jì)方案：-全網(wǎng)設(shè)置兩個(gè)radius服務(wù)器e3000（設(shè)在洪山數(shù)據(jù)中心），采用互為主備工作方式。radius1主要負(fù)責(zé)洪山節(jié)點(diǎn)的pstn用戶接入驗(yàn)證，radius2主要負(fù)責(zé)漢口節(jié)點(diǎn)的接入驗(yàn)證，radius1和radius2間采用雙機(jī)冗余，互為彼此的備份；-在洪山節(jié)點(diǎn)內(nèi)部采用負(fù)載分擔(dān)的工作方式，即分別設(shè)置radi

30、us1和radius2服務(wù)器，由accessserver 分別指定primary和secondary radius，從而實(shí)現(xiàn)大用戶量下用戶身份驗(yàn)證的負(fù)載分擔(dān)；-用戶數(shù)據(jù)可做到全網(wǎng)同步，即一次用戶數(shù)據(jù)可同時(shí)寫入兩個(gè)radius；- radius服務(wù)器選型建議采用sun e3000，在硬件上提高用戶驗(yàn)證處理能力；-對(duì)accessserver同樣可做到負(fù)載分擔(dān)； 圖：radius數(shù)據(jù)同步、備份和分擔(dān) 2個(gè)radius服務(wù)器的用戶數(shù)據(jù)應(yīng)與user database用戶數(shù)據(jù)持同步。這樣在用戶的接入方面形成備份和負(fù)荷分擔(dān)，如果radius1出現(xiàn)重大故障，“武漢熱線”的用戶仍然可以通過radius2進(jìn)行接入

31、驗(yàn)證2.4 load balance隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展，用戶數(shù)量的增多，對(duì)網(wǎng)絡(luò)中作為信息源的web服務(wù)器、用戶的e-mail服務(wù)器等的要求也大大提高，流量過大將導(dǎo)致服務(wù)器的失效。一種改進(jìn)方法是提高服務(wù)器的性能，增加存儲(chǔ)量，但這種方法僅僅適用較小的網(wǎng)址，不適用于大用戶流量的、提供相對(duì)重要服務(wù)的的主機(jī)。對(duì)于這類網(wǎng)址我們希望多臺(tái)服務(wù)器共同分擔(dān)對(duì)此站點(diǎn)的請(qǐng)求，如何在幾臺(tái)服務(wù)器之間進(jìn)行協(xié)調(diào)呢，最好的解決方案是在網(wǎng)絡(luò)上為服務(wù)器加裝load balancer。load balancer就是為它所連接的多臺(tái)服務(wù)器提供流量分配的裝置，同時(shí)它還可以對(duì)所連接的服務(wù)器狀態(tài)進(jìn)行監(jiān)測(cè)。所有連接在load balancer

32、的服務(wù)器共同具有一個(gè)唯一的ip地址叫作虛（virtual）ip地址，對(duì)于訪問此網(wǎng)址的用戶來說，他們所需要知道的只是這個(gè)虛（virtual）ip地址，在load balancer的內(nèi)部有一個(gè)地址對(duì)應(yīng)表，引導(dǎo)訪問請(qǐng)求到后端的服務(wù)器。load balancer對(duì)流量進(jìn)行分配的方法有很多種，包括roundrabin, least connections, weighted roundrabin, weighted least conns, 以及一些更為高級(jí)的算法，目的只有一個(gè)，就是將為進(jìn)來的請(qǐng)求找一個(gè)合適的服務(wù)器cisco 的localdirctor提 供 了 一 種 智 能 的 、 基 于 一 種

33、叫 作 會(huì) 話 分 布 算 法 的 機(jī) 制 ， 能 夠 發(fā) 現(xiàn) 服 務(wù) 器 場(chǎng) 中 各 臺(tái) 服 務(wù) 器 當(dāng) 前 的 狀 態(tài) ，從 而 選 擇 一 臺(tái) 可 用 資 源 最 高 (最 空 閑 ) 的 服 務(wù) 器 接 受 當(dāng) 前 的 查 詢 。 localdirector 本 身 則 充 當(dāng) 虛 擬 服 務(wù) 器 的 角 色 ， 接 受 所 有 相 關(guān) 的 查 詢 。 localdirector同 時(shí) 支 持 700000 個(gè) tcp會(huì) 話 ， 完 全 透 明 的 支 持 web、 ftp、 telnet、 smtp等 協(xié) 議 。 并 提 供 待 機(jī) 自 動(dòng) 恢 復(fù) 功 能 。 localdirect

34、or支 持 服 務(wù) 器 的 動(dòng) 態(tài) 加 入 。 在 這 種 基 于 最 優(yōu) 化 策 略 的 服 務(wù) 器 選 擇 方 法 中 ， 業(yè) 務(wù) 流 量 不 會(huì) 盲 目 的 輪 流 使 用 服 務(wù) 器 而 不 管 此 時(shí) 服 務(wù) 器 的 實(shí) 際 負(fù) 載 如 何 。負(fù) 載 較 重 的 服 務(wù) 器 業(yè) 務(wù) 處 理 能 力 相 對(duì) 較 差 ， 但 在 輪 流 服 務(wù) 方 式 下 ， 高 峰 時(shí) 業(yè) 務(wù) 流 將 會(huì) 仍 仍 然 源 源 不 斷 的 送 來 ， 使 其 處 理 能 力 更 差 ， 形 成 惡 性 循 環(huán) ； 而 負(fù) 擔(dān) 較 輕 的 服 務(wù) 器 則 一 直 處 于 比 較 空 閑 的 狀 態(tài) ， 設(shè)

35、 備 不 能 得 到 有 效 的 利 用 。 事 實(shí) 上 ， 在 這 種 機(jī) 制 中 ， isp很 難 用 不 同 性 能 的 設(shè) 備 進(jìn) 行 負(fù) 載 分 擔(dān) ， 在 進(jìn) 行 網(wǎng) 絡(luò) 擴(kuò) 容 時(shí) ， 舊 的 設(shè) 備 往 往 成 了 嚼 之 無 味 棄 之 可 惜 的 雞 肋 。 顯 然 ， localdirector則 避 免 了 這 種 情 況 ， 使 isp 的 擴(kuò) 容 工 作 輕 松 自 如 。 由于武漢熱線的許多服務(wù)器現(xiàn)已趨于飽和，要提供更大規(guī)模的服務(wù)，又要保護(hù)現(xiàn)有投資 ，勢(shì)必在增加新的服務(wù)器的同時(shí)需要保持原有服務(wù)器的功能。如果配以功能強(qiáng)大的localdirector，則可以進(jìn)一步保護(hù)

36、投資，有效利用所有的服務(wù)器。 由于現(xiàn)在的dns服務(wù)分別有三臺(tái)不同用途、不同檔次的服務(wù)器負(fù)擔(dān)，為了便于管理和用戶使用，本期工程考慮在dns配 備 兩 臺(tái)localdirector(冗 余 備 份 )，技術(shù)，實(shí)現(xiàn)dns服務(wù)器的負(fù)載分擔(dān)和一致性。3）接入模塊 根據(jù)2000年用戶發(fā)展需求，針對(duì)“武漢熱線”100，000用戶量，建議擴(kuò)容工程采用節(jié)點(diǎn)分布接入、本地負(fù)載分擔(dān)的方式，以滿足大用戶量下對(duì)系統(tǒng)的要求： -洪山、漢口分別提供用戶接入（撥號(hào)用戶和專線用戶）； -用戶數(shù)量分布按6：4比例，即洪山承擔(dān)60，000用戶，漢口接入40，000用戶量； -接入服務(wù)器亦按上述比例分節(jié)點(diǎn)提供接入，考慮到接入服務(wù)器會(huì)

37、占用較多的交換機(jī)端口，建議單獨(dú)上連至catalyst8510交換機(jī)或直連到核心gsr，以較高的可擴(kuò)展性滿足大用戶量增長(zhǎng)需求；根據(jù)用戶發(fā)展的實(shí)際變化，局方只需連入接入服務(wù)器即可，同時(shí)便于擴(kuò)展； -本地接入服務(wù)器亦可做到負(fù)載分擔(dān)； -專線接入可用從核心退下的cisco7513提供。 -為加強(qiáng)各種寬帶業(yè)務(wù)的發(fā)展,可直接在gsr上插atm卡進(jìn)行atm接入,滿足adsl等多種運(yùn)用。4）數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)和安全4.1 局域網(wǎng)的劃分 根據(jù)網(wǎng)絡(luò)大用戶量設(shè)計(jì)方案，同時(shí)考慮現(xiàn)有設(shè)備及子網(wǎng)劃分情況，建議局域網(wǎng)的網(wǎng)段重新劃分，各個(gè)vlan設(shè)備情況如下：vlan1：用戶接入子網(wǎng)，包括用戶接入服務(wù)器、用于用戶身份驗(yàn)證的2臺(tái)

38、radius服務(wù)器（負(fù)載分擔(dān)方式），其中由于接入服務(wù)器占用較多的交換機(jī)端口，同時(shí)隨用戶數(shù)量的增加便于擴(kuò)展（模塊化設(shè)計(jì)），建議利用現(xiàn)有的catalyst5000接入并上連至局域網(wǎng)交換機(jī)；vlan2：用戶e-mail子網(wǎng)，包括smtp服務(wù)器、pop3服務(wù)器和滿足60，000用戶郵件需求的磁盤陣列（容量120gb）；vlan3：信息子網(wǎng)包括采用ha設(shè)計(jì)的www服務(wù)器和全網(wǎng)主域名服務(wù)器dns；vlan4：包括用戶管理、計(jì)費(fèi)服務(wù)器，此子網(wǎng)放置在軟件防火墻后；vlan5: 全網(wǎng)網(wǎng)管服務(wù)器nms，此子網(wǎng)放置在軟件防火墻后；考慮到服務(wù)器的備份路由設(shè)置，可采用預(yù)留交換機(jī)端口的方式，即在兩臺(tái)lan 交換機(jī)上分別劃

39、分5個(gè)valn，如果一臺(tái)局域網(wǎng)交換機(jī)出現(xiàn)故障，則可方便的切換到另一臺(tái)交換機(jī)上，從而保證服務(wù)的可靠性；同時(shí)，vlan4和vlan5的防火墻也互為冗余備份，避免意外事故的發(fā)生。 4.2 網(wǎng)絡(luò)安全 在網(wǎng)絡(luò)主要服務(wù)器網(wǎng)段設(shè)置防火墻及相應(yīng)安全技術(shù)，以確保用戶管理/計(jì)費(fèi)服務(wù)器、網(wǎng)管服務(wù)器和系統(tǒng)的安全；根據(jù)對(duì)安全技術(shù)的研究和實(shí)踐經(jīng)驗(yàn)，我們建議采用如下的基本防范措施： 4.2.1 在用戶管理、計(jì)費(fèi)、網(wǎng)管vlan及重要服務(wù)vlan配置防火墻設(shè)備 由于防火墻會(huì)對(duì)網(wǎng)絡(luò)的效率造成影響，因此為了提高效率，減小由于增加防火墻結(jié)構(gòu)對(duì)系統(tǒng)訪問速度的影響，可以采用效率較高的硬件防火墻（cisco公司的pix firewall、

40、pix10000等），把主要的服務(wù)器放在防火墻內(nèi)部，把較次要的服務(wù)器放在防火墻外部以提供網(wǎng)絡(luò)的運(yùn)行效率。為了提高防火墻的可靠性，還可以對(duì)pix采用冗余備份。 cisco的pix是一種防火墻設(shè)備。pix有效地對(duì)internet網(wǎng)上“黑客”隱蔽客戶地址。它的核心是基于適應(yīng)安全算法（asa：adaptive security algorithm）保護(hù)模式。狀態(tài)化的面向asa連接的安全方法根據(jù)源和目的地址、tcp包序號(hào)、端口號(hào)和其它tcp標(biāo)幟建立會(huì)話流。這些信息存儲(chǔ)在一個(gè)表中，并且對(duì)所有進(jìn)入的包跟表中相應(yīng)項(xiàng)進(jìn)行比較，只有在有效通道上的合適連接的訪問是允許通過pix防火墻的。這種設(shè)置讓內(nèi)部用戶和未認(rèn)證的

41、外部用戶透明地訪問您的內(nèi)部網(wǎng)絡(luò)的同時(shí)防止對(duì)內(nèi)部網(wǎng)絡(luò)的非授權(quán)訪問。 基于軟件的防火墻設(shè)計(jì) 隨著網(wǎng)絡(luò)防火墻技術(shù)的不斷發(fā)展，軟件防火墻已成為目前網(wǎng)絡(luò)安全戰(zhàn)略的重要技術(shù)?；谲浖姆阑饓哂休^強(qiáng)的可擴(kuò)展性，數(shù)據(jù)傳輸效率有很大提高，同時(shí)軟件防火墻具有詳盡的記錄和更多的安全控制，可以在限制用戶防問權(quán)限的同時(shí)跟蹤異常訪問的源地址，這些優(yōu)點(diǎn)在對(duì)web服務(wù)及郵件服務(wù)的防護(hù)上具有特別的意義，而且有于系統(tǒng)管理人員更好地維護(hù)。建議采用一些成熟的軟件防火墻產(chǎn)品，如checkpoint、sun firewall-1、tis gauntlet等。上述兩種方案各有優(yōu)劣，基于硬件的防火墻效率較高，操作配置簡(jiǎn)單，用戶管理和維護(hù)方

42、便，但可擴(kuò)展性不強(qiáng)，不能隨著應(yīng)用變化而有效可靠地防范；基于軟件的防火墻雖然對(duì)網(wǎng)管員要求較高，配置相對(duì)復(fù)雜，但具有較強(qiáng)的可擴(kuò)展性，防火墻設(shè)計(jì)靈活，數(shù)據(jù)傳輸效率也較高，對(duì)硬件要求相對(duì)不高，建議本期工程采用軟件防火墻結(jié)構(gòu)，通過對(duì)現(xiàn)在通用的防火墻產(chǎn)品的比較和選型，我們建議用目前國(guó)際上最流行的軟件防火墻產(chǎn)品checkpoint firewall。 checkpoint firewall防火墻所起的主要功能1 定義和強(qiáng)制安全策略，實(shí)施常見服務(wù)的代理和路由過濾。2 能有效的記錄網(wǎng)絡(luò)活動(dòng)，產(chǎn)生監(jiān)控報(bào)警，便于實(shí)施對(duì)入侵行為的追蹤。3 能有效地屏蔽內(nèi)部網(wǎng)的信息，增加網(wǎng)絡(luò)的安全。待添加的隱藏文字內(nèi)容3防火墻配置說明

43、根據(jù)武漢熱線網(wǎng)絡(luò)現(xiàn)狀，我們建議在重要服務(wù)子網(wǎng)絡(luò)配置防火墻，將記費(fèi)子網(wǎng)絡(luò)（主要是認(rèn)證計(jì)費(fèi)和網(wǎng)管子網(wǎng)絡(luò)）通過防火墻與骨干internet隔離。記費(fèi)子網(wǎng)配置雙防火墻，運(yùn)行熱切換軟件實(shí)現(xiàn)當(dāng)單機(jī)故障時(shí)熱切換。防火墻主機(jī)硬件平臺(tái)建議采用sun 工作站，每臺(tái)防火墻均配置四塊網(wǎng)卡，分別用于連接internet、連接熱切換防火墻、連接認(rèn)證計(jì)費(fèi)網(wǎng)段、連接網(wǎng)管網(wǎng)段。將認(rèn)證計(jì)費(fèi)網(wǎng)段和網(wǎng)管網(wǎng)段隔離的目的是加強(qiáng)系統(tǒng)的安全，以避免不同級(jí)別的系統(tǒng)管理人員對(duì)無關(guān)網(wǎng)段主機(jī)的操作。我們建議配置的防火墻模塊包括：v esc模塊。用于實(shí)現(xiàn)對(duì)全網(wǎng)中所有防火墻的集中管理，其中包括策略制定、集中監(jiān)控、集中日志等。建議為市局中心子網(wǎng)配置一個(gè)e

44、sc模塊，安裝在中心子網(wǎng)內(nèi)的一臺(tái)主機(jī)上。其他子網(wǎng)不再安裝此模塊。v fw模塊。此模塊是checkpoint防火墻的核心模塊，包含了安全控制、集中認(rèn)證、內(nèi)容安全接口等功能。建議為兩臺(tái)防火墻均配置此模塊。v em加密模塊。主要實(shí)現(xiàn)在fw模塊之間數(shù)據(jù)傳遞時(shí)的加密和解密功能。通過此模塊，防火墻間可以安全地在internet上傳遞網(wǎng)管、用戶等數(shù)據(jù)。建議為兩臺(tái)防火墻均配置此模塊。v connect control模塊。主要實(shí)現(xiàn)多臺(tái)主機(jī)（如認(rèn)證服務(wù)器）之間的負(fù)載均衡。建議兩臺(tái)防火墻配置此模塊。v seos安全模塊。主要用于加強(qiáng)作為防火墻的sun工作站的安全。seos安全模塊是checkpoint的伙伴公司產(chǎn)

45、品，作為操作系統(tǒng)的補(bǔ)丁，可以彌補(bǔ)sun solaris中的安全漏洞。建議為兩臺(tái)防火墻主機(jī)均配置此模塊。v rsc模塊。主要用于通過gui界面實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中的路由器的訪問控制列表（access list）的統(tǒng)一設(shè)置。目前rsc模塊支持的路由器包括cisco和bay等。通過友善的界面，系統(tǒng)管理員可以非常方便的進(jìn)行統(tǒng)一設(shè)置并下載到網(wǎng)絡(luò)中的多臺(tái)路由器中去。建議在市局中心配置一套此模塊，用于全網(wǎng)集中管理。v stonebeat模塊。這是checkpoint伙伴公司的產(chǎn)品，用于提供兩臺(tái)防火墻之間的故障熱切換。當(dāng)其中一臺(tái)（主）防火墻發(fā)生故障時(shí)，通過此模塊可以自動(dòng)切換到另外一臺(tái)（從）防火墻，而ip地址、mac地

46、址等均能由其自動(dòng)接管。4.2.2 基于主機(jī)的保護(hù)1）iss產(chǎn)品iss是目前業(yè)界領(lǐng)先的安全掃描和實(shí)時(shí)監(jiān)測(cè)產(chǎn)品廠商。我們建議采用iss部分產(chǎn)品模塊實(shí)現(xiàn)對(duì)武漢熱線主機(jī)的安全掃描以及實(shí)時(shí)攻擊和非法操作監(jiān)測(cè)。我們建議的iss模塊包括：v realsecure模塊。用于實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)中的攻擊和非法操作并按照預(yù)先設(shè)置進(jìn)行響應(yīng)。根據(jù)realsecure的運(yùn)行模式，需要對(duì)每個(gè)網(wǎng)段配置一套，而且局域網(wǎng)的hub或交換機(jī)必須支持監(jiān)控方式（sniffer方式），realsecure可以實(shí)時(shí)監(jiān)測(cè)同網(wǎng)段上的tcp/ip包和各種服務(wù)請(qǐng)求，并按安全管理員定義的策略進(jìn)行審計(jì)和告警，同時(shí)可與防火墻結(jié)合起來中斷危險(xiǎn)的網(wǎng)絡(luò)連接。建議配置3套realsecure用于保護(hù)3個(gè)局域子網(wǎng)（認(rèn)證計(jì)費(fèi)網(wǎng)段、網(wǎng)管網(wǎng)段，多媒體制作網(wǎng)段）。v sss模塊。用于掃描局域網(wǎng)絡(luò)中的主機(jī)的安全漏洞，包括不安全的口令、不安全的文件屬性等。建議配置一套50個(gè)節(jié)點(diǎn)的模塊，可以對(duì)指定50個(gè)ip地址對(duì)應(yīng)的主機(jī)進(jìn)行掃描。v fs模塊。用于掃描網(wǎng)絡(luò)中的防火墻的設(shè)置漏洞，包括防火墻所在主機(jī)的漏洞、防火墻策略的漏洞等。建議配置一套3個(gè)節(jié)點(diǎn)的模塊，可以對(duì)3個(gè)指定ip地址的防火墻進(jìn)行掃描。v ws模塊。用于掃描web服務(wù)器的設(shè)置漏洞，包括web服務(wù)器軟件中的一些設(shè)置“backdoor”等。建議配置一套10個(gè)節(jié)點(diǎn)的模塊，可以對(duì)10個(gè)指定ip地址的web服務(wù)器進(jìn)行掃描。