南京師大附中校園網(wǎng)絡系統(tǒng)建設實施方案V6.0

南京師大附中校園網(wǎng)絡系統(tǒng)建設實施方案PAGE231PAGE46版權(quán)所有(C)江蘇金智科技股份有限公司，保留所有權(quán)利第頁南京師大附中校園網(wǎng)絡系統(tǒng)建設實施方案江蘇金智科技股份有限公司二○○八年四月

目錄1. 校園網(wǎng)絡系統(tǒng)現(xiàn)狀及分析 31.1. 校園網(wǎng)絡系統(tǒng)現(xiàn)狀 31.2. 校園網(wǎng)絡系統(tǒng)問題剖析 41.2.1. 核心設備沒有提供冗余 41.2.2. 匯聚設備已處于老化狀態(tài) 41.2.3. 出口網(wǎng)絡的功能和安全性有待增強 41.2.4. 網(wǎng)絡安全建設有待進一步深入 51.2.5. 校園網(wǎng)有線接入設備升級 52. 校園網(wǎng)絡系統(tǒng)升級規(guī)劃 72.1. 骨干網(wǎng)絡系統(tǒng)升級說明 72.2. 網(wǎng)絡出口升級說明 72.2.1. 出口鏈路 92.2.2. 帶寬管理 92.2.3. 一期多出口鏈路部署 172.2.4. 二期多出口鏈路負載均衡 183. Dr.COM2133計費系統(tǒng)介紹 303.1. 集成目標 303.2. 集成方案 303.2.1. 身份集成 303.2.2. 身份數(shù)據(jù)集成 303.2.3. 門戶集成 313.3. Dr.COM2133計費系統(tǒng)組成及原理 313.4. 服務流程 333.5. 產(chǎn)品功能 343.6. 功能優(yōu)勢 353.6.1. 防代理機制及IP盜用 353.6.2. 防用戶私建DHCP服務器 363.6.3. PPPoE防代理技術(shù) 363.6.4. 802.1x防代理技術(shù) 363.6.5. P2P協(xié)議限流 373.6.6. 帳號管理及控制策略 373.6.7. RADIUSSERBER/RADIUSCLIENT 383.6.8. 網(wǎng)絡安全 383.6.9. 身份認證 393.6.10. 詳盡用戶上網(wǎng)訪問日志 393.6.11. 802.1x認證 403.6.12. 豐富的計費策略 404. 億郵郵件系統(tǒng)方案 414.1. 集成目標 414.2. 集成方案 414.2.1. 用戶范圍和集成 414.2.2. 身份認證集成 414.2.3. 門戶集成 414.2.4. 數(shù)據(jù)集成 424.3. 億郵郵件系統(tǒng)設計 434.3.1. eYou郵件系統(tǒng)功能 464.3.2. 智能垃圾郵件攔截技術(shù) 534.3.3. 內(nèi)置的殺毒引擎 544.3.4. 基于用戶的多級管理 544.3.5. 可配置的高效MTA 564.3.6. 系統(tǒng)安全 574.3.7. 系統(tǒng)遵循的相關(guān)協(xié)議 574.3.8. 管理接口 584.4. 億郵郵件系統(tǒng)部署 585. 億郵郵件系統(tǒng)遷移方案 605.1. 綜述 605.2. 系統(tǒng)遷移技術(shù) 605.2.1. 對exchange系統(tǒng)數(shù)據(jù)的分析 605.3. 遷移方案選擇 605.4. 遷移過程 615.4.1. 遷移的前期準備工作 615.4.2. 前期測試 615.4.3. 發(fā)布遷移公告 625.4.4. 測試遷移程序 625.4.5. 停止現(xiàn)有郵件系統(tǒng)服務 625.4.6. 開始批量導入進程 635.4.7. 測試 635.4.8. 遷移可能出現(xiàn)的問題以及對策 635.4.9. 遷移進度表 645.5. 遷移方案圖 655.6. 億郵類似的遷移經(jīng)驗 656. 思科校園網(wǎng)WLAN建設方案 666.1. 網(wǎng)絡結(jié)構(gòu)設計概述 666.1.1. 無線網(wǎng)絡設計框架 677. 投資預算及實施計劃 88校園網(wǎng)絡系統(tǒng)現(xiàn)狀及分析校園網(wǎng)絡系統(tǒng)現(xiàn)狀南京師大附中校園網(wǎng)絡從建設到至今已運行了將近10年之久，基本形成了骨干千兆，百兆到桌面的基本格局，為學校在信息化平臺建設方面提供了良好的網(wǎng)絡硬件平臺支撐。目前校園網(wǎng)絡核心設備為一臺Catalyat6509交換機SUP2代引擎，負責整個網(wǎng)絡的核心數(shù)據(jù)集中轉(zhuǎn)發(fā)。辦公樓匯聚設備為兩臺Catalyst3512交換機，分別下聯(lián)辦公大樓東南兩側(cè)的Catalyst2924交換機。老高中樓匯聚設備為一臺Catalyst3508交換機，分別下聯(lián)樓內(nèi)Catalyst3524交換機。新高中樓匯聚設備為一臺港灣uH3548交換機，下聯(lián)樓內(nèi)港灣uH3524交換機。教學樓匯聚設備為一臺港灣uH5610交換機，分別下聯(lián)樓內(nèi)港灣uH3524交換機。實驗樓匯聚設備為一臺港灣uH5610交換機，分別下聯(lián)樓內(nèi)港灣uH3524交換機。圖書館匯聚設備為一臺港灣uH5610交換機，分別下聯(lián)樓內(nèi)港灣uH3524交換機。目前校園網(wǎng)絡出口帶寬為電信30Mbps，為校園內(nèi)部用戶提供了Internet訪問服務，出口安全設備為一臺FortiGata800防火墻，在校園網(wǎng)出口鏈路上構(gòu)建第一道安全防線。校園網(wǎng)絡系統(tǒng)問題剖析在第一期建設中，南京師大附中校園網(wǎng)絡系統(tǒng)已取得了不錯的成果，但隨著網(wǎng)絡新技術(shù)和新應用的不斷發(fā)展，一些新的問題又擺在了我們面前，需要我們認真地去面對和解決，才能保證整個校園網(wǎng)絡系統(tǒng)穩(wěn)定、高效、安全地運行。概括起來，有以下幾個方面：核心設備沒有提供冗余目前核心網(wǎng)絡交換機為一臺Catalyst6509設備，配置了單SUP二代引擎和一些模塊，負責整個校園網(wǎng)的數(shù)據(jù)集中轉(zhuǎn)發(fā)。Catalyst6509交換機的關(guān)鍵部件為引擎，當引擎出現(xiàn)故障后，Catalyst6509將不會正常工作，整個網(wǎng)絡也將面臨癱瘓。另外，Catatlyst6509SUP2引擎所提供的背板帶寬為256Gbps，包轉(zhuǎn)發(fā)速率為210Mpps，對未來新的業(yè)務需求和新的功能將無法滿足。匯聚設備已處于老化狀態(tài)目前圖書館、實驗樓、教學樓和新高中樓匯聚為港灣5610和3548交換機，老高中樓和辦公樓匯聚設備為Catalyst3508和3512設備。以上這些匯聚設備已處于老化狀態(tài)，質(zhì)保已經(jīng)過期，對于新的功能已無法支持，例如IPv6、DAI、DHCPSnooping，交換機的性能也無法滿足未來用戶增長及業(yè)務需求的發(fā)展。尤其像港灣設備，自從被華為收購后，相應的產(chǎn)品線已變更，原有港灣設備的售后服務已明顯減弱，所以建議本次對以上匯聚設備進行升級改造。出口網(wǎng)絡的功能和安全性有待增強出口網(wǎng)絡作為校園網(wǎng)和Internet的連接的橋梁，是整個網(wǎng)絡的重點區(qū)域。目前在校園網(wǎng)絡出口鏈路上使用一臺FortiGata800防火墻，該設備主要實現(xiàn)的是ACL和提供NAT能力。由于該防火墻設備已處于老化狀態(tài)，設備自身的性能已無法滿足未來業(yè)務發(fā)展的需求。另外校園內(nèi)用戶大量的P2P應用（如迅雷下載）所帶來的帶寬和連接數(shù)等資源的濫用。因此有必要在出口鏈路上增加專門的硬件設備來提供流量監(jiān)控和管理，從而必要日益泛濫的P2P應用對寶貴的帶寬等資源的濫用。校園網(wǎng)出口鏈路上的防火墻設備雖然可以提供一定的安全防護能力，但由于該設備本身工作層次的限制，只能在OSI模型的三、四層提供訪問控制的功能，但是面對當前日益增多的應用層的攻擊如蠕蟲、病毒、木馬等卻無能為力，因此一旦發(fā)生這樣的攻擊，就將校園網(wǎng)內(nèi)部用戶直接暴露在Internet上。為降低內(nèi)部用戶遭受來自Internet的應用層次的攻擊，建議在校園網(wǎng)出口處部署思科的ASA可擴展IPS功能的防火墻，可以對校園網(wǎng)核心區(qū)域提供應用層的防護能力。網(wǎng)絡安全建設有待進一步深入網(wǎng)絡的安全建設是一個長期而艱巨的任務。學校通過防火墻和防病毒系統(tǒng)等建設，已經(jīng)具備一定的安全防護能力，但卻沒有解決整個面上的問題，不能解決上網(wǎng)終端設備的安全問題，不能有效的遏制校園網(wǎng)內(nèi)部蠕蟲病毒的爆發(fā)和傳播，而這些問題一旦發(fā)生卻可能引發(fā)網(wǎng)絡整體中斷的災難后果。另外該安全體系著重于防范，缺乏有效的系統(tǒng)預警機制，即在系統(tǒng)正常使用的狀態(tài)下，難以發(fā)現(xiàn)系統(tǒng)運行的隱患，隨著對系統(tǒng)安全和穩(wěn)定性能要求的提高，這一點對于保證系統(tǒng)的正常運行將至關(guān)重要。因此，有必要在系統(tǒng)中增加合適的安全監(jiān)控和分析軟件，對系統(tǒng)運行狀況進行實時分析，并建立有效的系統(tǒng)運行安全預警機制。建議部署思科公司的NAC網(wǎng)絡準入控制系統(tǒng)，以解決上網(wǎng)終端設備的安全問題，并有效的遏制校園網(wǎng)內(nèi)部蠕蟲病毒的爆發(fā)和傳播。建議部署思科公司的MARS安全監(jiān)控分析和響應系統(tǒng)，以提供對眾多網(wǎng)絡和安全設備的安全事件和流量進行集中的監(jiān)控和管理。校園網(wǎng)有線接入設備升級接入層設備在網(wǎng)絡中扮演著越來越承擔重要的角色，同時也面臨著越來越大的挑戰(zhàn)，很大的挑戰(zhàn)在安全接入部分。當網(wǎng)絡接入計算機時需要面臨兩個問題，一是計算機是不是合法的接入網(wǎng)絡，也就是所謂的身份問題；二是這臺計算機是不是一個安全干凈的計算機，也就是檢查計算機當前的狀態(tài)是否有感染蠕蟲、病毒或木馬等。另外對接入層設備本身做一些安全設置也具有自防御系統(tǒng)，比如可以防止MAC/CAM攻擊、DHCP攻擊、ARP欺騙、IP/MAC欺騙等，并不是所有的廠商的設備都支持這些特性，所以建議在選擇接入層設備時，要考慮具有防護以上這些攻擊的特性。對接入層網(wǎng)絡設備進行升級主要應從以下幾點考慮：1、建議接入層網(wǎng)絡設備采用堆疊或千兆級聯(lián)方式連接，提高數(shù)據(jù)轉(zhuǎn)發(fā)的速率，其中在一個堆疊組中任意一臺設備出現(xiàn)故障，不會影響這個堆疊組的其他計算機網(wǎng)絡中斷；2、建議接入層設備支持DHCPSnooping，它可以防止下面用戶私接DHCP服務，避免用戶獲得錯誤的IP無法正常上網(wǎng)；3、建議接入層設備支持端口安全特性，避免對接入層交換機CAM表的攻擊；4、建議接入層設備盡可能使用統(tǒng)一廠商設備，以便于對網(wǎng)絡準入控制的部署和管理。校園網(wǎng)絡系統(tǒng)升級規(guī)劃骨干網(wǎng)絡系統(tǒng)升級說明在整個網(wǎng)絡核心規(guī)劃中，我們共分為兩個階段，主要分為骨干網(wǎng)絡架構(gòu)改造和網(wǎng)絡安全建設。我們建議在核心區(qū)域新增了一臺Catalyst6509設備，并配置SUP720單引擎，雙電源，與原有Catalyst6509形成雙核心互為備份，以保證核心區(qū)域網(wǎng)絡系統(tǒng)穩(wěn)定、高效的運行。考慮到目前大部分匯聚設備已處于老化狀態(tài)，質(zhì)保已經(jīng)過期，對于新的功能已無法支持，例如IPv6、DAI、DHCPSnooping，交換機的性能也無法滿足未來用戶增長及業(yè)務需求的發(fā)展。尤其像港灣設備，自從被華為收購后，相應的產(chǎn)品線已變更，原有港灣設備的售后服務已明顯減弱，所以建議逐步將匯聚設備進行升級改造。網(wǎng)絡出口升級說明網(wǎng)絡出口是整個網(wǎng)絡校園網(wǎng)絡當中安全等級風險最高的區(qū)域，也是網(wǎng)絡頻繁發(fā)生問題的區(qū)域，所以要在安全控制和管理上應重點部署。在校園網(wǎng)絡出口處我們建議部署一臺AceNetAG1000帶寬管理設備，用來提供QOS保證、服務控制和安全控制等功能，使關(guān)鍵數(shù)據(jù)能夠順暢的通過網(wǎng)絡，并可以滿足公安部82號令的需求，記錄用戶上網(wǎng)訪問Internet日志功能，在談到網(wǎng)絡安全時，我們主要的設計理念是外洗、內(nèi)控、中隔離。外洗是指防火墻設備，思科現(xiàn)有防火墻分為PIX、ASA和防火墻模塊三種，從性能上來講防火墻模塊最高，可以達到5.5Gbps的吞吐量；從功能上講三種產(chǎn)品都具有防火墻的功能；從可擴展性講ASA系列屬于PIX的升級版，為降低內(nèi)部用戶遭受來自Internet的應用層次的攻擊，可以在ASA上擴展IPS和防垃圾的模塊。所以建議用戶在校園網(wǎng)出口處部署思科的ASA5520加可擴展IPS功能的防火墻，可以對校園網(wǎng)核心區(qū)域提供應用層的防護能力和出口鏈路的一道安全防線，對進出校園網(wǎng)的流量進行嚴格控制，在網(wǎng)絡層高效抵御各種非法訪問。內(nèi)控是指思科的MARS系統(tǒng)，我們可以通過MARS系統(tǒng)收集交換機設備的Log信息，可以有效的防止ARP欺騙的攻擊。通過收集交換機設備的Netflow流量信息，可以對各種病毒的PC機進行遏制。對于SQL病毒、DDos攻擊等，可以通過收集IPS的安全事件信息，有效的保證網(wǎng)絡安全。中隔離是指IPS入侵防御系統(tǒng)，我們可以通過思科ASA5520的可擴展IPS模塊設備監(jiān)控多個重要的網(wǎng)段，將信息遞交給MARS進行分析。通過CS-MARS-20-K9來分析設備的log信息和IPS的事件信息及netflow信息，這樣便可以形成一個防護整體，保護南京師大附中校園網(wǎng)絡。在校園網(wǎng)絡出口處，目前使用了一個電信30Mbps網(wǎng)絡。但隨著學校各種業(yè)務應用不斷的出現(xiàn)，今后用戶可能選擇多ISP網(wǎng)絡出口，為了使用戶能夠更充分利用ISP網(wǎng)絡，我們建議選擇以色列RadwareLinkProof1000設備為校園網(wǎng)絡出口提供鏈路的負載均衡，以提高出口帶寬的使用效率。另外，出口處不需要再配置思科7606邊界路由，從網(wǎng)絡架構(gòu)設計上來看不具有實際意義。邊界路由主要實現(xiàn)兩大功能，其一是路由功能，其二是NAT轉(zhuǎn)換功能。以上邊界路由所實現(xiàn)的兩大功能完全可以使用出口鏈路負載均衡設備來實現(xiàn)，而且使用出口鏈路負載均衡設備的SmartNAT技術(shù)可以更好的在多鏈路環(huán)境下使用網(wǎng)絡。顯然配置邊界路由7606所實現(xiàn)的功能和出口鏈路負載均衡設備所實現(xiàn)的功能是重疊的，所以建議用戶選擇出口鏈路負載均衡設備來靈活的部署出口網(wǎng)絡。出口鏈路隨著學校各種業(yè)務應用不斷的出現(xiàn)，目前校園網(wǎng)僅有的一條電信30MbpsISP出口線路將無法滿足未來業(yè)務增長需求，學校可根據(jù)應用業(yè)務的增加來調(diào)整出口帶寬。帶寬管理隨著P2P技術(shù)應用的不斷擴展，特別是基于P2P系統(tǒng)的文件共享業(yè)務不斷壯大，P2P系統(tǒng)本身潛在的安全問題和對資源，特別是網(wǎng)絡帶寬資源的濫用，已經(jīng)受到各個網(wǎng)絡運營商和學校網(wǎng)絡管理者的高度重視。在教育網(wǎng)內(nèi)部迅雷應用非常廣泛。據(jù)統(tǒng)計，P2P應用已占ISP業(yè)務總量的60%～80%，躍然成為網(wǎng)絡帶寬最大的消費者。再加上Internet重要性的日益提高和網(wǎng)絡結(jié)構(gòu)的日益復雜，網(wǎng)絡的安全性、可管理性及傳統(tǒng)應用的可用性受到了挑戰(zhàn)。為了實現(xiàn)P2P流量的快速識別與管理，AceNET、Cisco、P-CubeCaspian、Cachelogic、AllotPacketeer等公司紛紛推出相關(guān)產(chǎn)品。在校園網(wǎng)絡出口處我們建議部署一臺AceNetAG1000帶寬管理設備，用來提供QOS保證、服務控制和安全控制等功能。主要包括限制P2P總體流量、限制P2P上行流量、根據(jù)一天中其他應用的流量變化規(guī)律在不同的時間內(nèi)進行不同的流量控制、一段時間內(nèi)的流量定額等。使關(guān)鍵數(shù)據(jù)能夠順暢的通過網(wǎng)絡，并可以滿足公安部82號令的需求，記錄用戶上網(wǎng)訪問Internet日志功能。AceNet產(chǎn)品主要優(yōu)勢部署的方式比較多樣化，可以選用透明、nat、route方式；管理方式是基于web管理，不像有些產(chǎn)品需要安裝policyserver，這樣的管理方式，可能會由于policyserver的不穩(wěn)定，導致policy無法正常下發(fā)；具有黑名單功能，可以設置用戶可用帶寬總量的上限，如果超過上限，就把客戶扔到黑名單，使其無法上網(wǎng)，或壓縮其帶寬session等；可記錄的日志有http，ftp，email，聊天這些協(xié)議里的具體內(nèi)容，很方便做審計；目前是業(yè)界唯一asic架構(gòu)的流控設備，像其他設備大多為x86的架構(gòu)，通常x86架構(gòu)只能做到200m的吞吐量，雖然指標都寫得很高，但在很多地方看到x86平臺的設備在200-300m以上的環(huán)境中都無法正常運行。AceNet設備目前在線運行的最高帶寬可達到2Gbps，而且cpu和內(nèi)存占用率都很低。AceNet功能概述AceNet公司的產(chǎn)品采用自有的SSPP（ServiceSessionPolicyProcessor）專用網(wǎng)絡芯片，它可以深層次的分析報文內(nèi)容，進行基于狀態(tài)的會話控制，多層次的P2P流量管理控制以及用戶接入認證管理、訪問授權(quán)等多種技術(shù)。芯片中還內(nèi)嵌有強大的Firewall模塊和線速的多鏈路負載均衡功能，可以全方位的保護現(xiàn)有網(wǎng)絡，迅速提升網(wǎng)絡的有效可靠性和安全可控性。AceNet的通過高速的應用層識別等一系列的關(guān)鍵技術(shù)，可以一方面能夠?qū)Ω鞣N網(wǎng)絡應用進行2~7層的識別，一方面又能夠保證所有的應用流量的線速轉(zhuǎn)發(fā)，從而突破上述傳統(tǒng)解決方案的局限性，能夠?qū)W(wǎng)絡流量進行精確識別進而達到控制的目的。AceNet是業(yè)務流識別分析和安全組合控制技術(shù)領(lǐng)先的的設備供應商，提供基于狀態(tài)的數(shù)據(jù)流控制和安全管理控制。AceNet采用自有的SSPPTM專用網(wǎng)絡芯片，能夠以10Gbps的速率深層次的分析報文內(nèi)容，直接解決用戶現(xiàn)有的P2P應用所帶來的流量控制和數(shù)據(jù)安全威脅問題。隨著學校網(wǎng)內(nèi)部的信息化程度的提高，VOIP，視頻會議在學校內(nèi)部使用，ERP等應用系統(tǒng)的部署，學校網(wǎng)內(nèi)業(yè)務流量不斷增加。同時，不受控的網(wǎng)絡下載，P2P使用，以及蠕蟲等都對網(wǎng)絡有效帶寬利用構(gòu)成很大的沖擊，直接影響業(yè)務的開展。不采取有效的優(yōu)化控制措施，單純增加網(wǎng)絡帶寬不能起到很好的效果，反而提高學校運營成本。AceNet的AG產(chǎn)品部署在專網(wǎng)出口，網(wǎng)段出口，或網(wǎng)絡的關(guān)鍵鏈路，能夠提高業(yè)務數(shù)據(jù)優(yōu)先級，控制無價值數(shù)據(jù)占用的帶寬，從而確保學校業(yè)務的正常運轉(zhuǎn)，降低學校運行成本。P2P流量控制和IM管理IM(InstantMessage),P2P(PeertoPeer),RTSP,MMS和網(wǎng)絡游戲在現(xiàn)在的Internet上的使用非常普遍和頻繁,因為IM造成的泄密和影響工作,P2P軟件對有限帶寬的肆意濫用,以及各種流媒體軟件和網(wǎng)絡游戲的泛濫,造成了現(xiàn)有網(wǎng)絡的管理非常困難,而且?guī)砹撕芏喟踩[患.P2P流量管理以BT為代表的P2P(點對點)互聯(lián)網(wǎng)文件傳輸協(xié)議，由于其傳輸速度快，匿名與及文件查找方便等特點，成為了互聯(lián)網(wǎng)用戶傳輸和共享大容量文件（尤其是影音文件）的首選。但P2P的使用，不但占用巨大網(wǎng)絡帶寬和連接資源，嚴重影響其他用戶的正常網(wǎng)絡使用。另外，P2P的使用還加劇了非授權(quán)文件或版權(quán)文件的擴散，對學校用戶和版權(quán)作者帶來了嚴重的安全問題和損失。為了幫客戶應對日益嚴重的P2P帶來的問題，AG-Series設備提供完備的P2P的管理功能：P2P全局、組、用戶等的限制與允許；P2P全局、組、用戶等的帶寬控制；P2P完善的流量統(tǒng)計；P2P全局、組、用戶等的日志記錄；P2P的日志信息在事件日志中查詢；P2P的流量信息可以在Trafficlog中查詢。特色功能AceNet對P2P采用組合管理控制的方式，可以制定策略進行每個用戶數(shù)據(jù)帶寬監(jiān)控，每個用戶會話數(shù)控制，以及應用層的識別控制。除了對P2P數(shù)據(jù)流進行有效控制外，違反策略的用戶還將直接進入黑名單，管理員可以迅速發(fā)現(xiàn)P2P的使用者，提高網(wǎng)絡的有效利用率，降低學校安全風險。另外AG系統(tǒng)還可以針對一些特殊的網(wǎng)絡應用進行識別和管理:RTSP(RealTimeStreamingProtoco)，MMS(MultimediaMessagingService),以及FLASHGET等。AceNet對P2P采用組合管理控制的方式，可以制定策略進行每個用戶數(shù)據(jù)帶寬監(jiān)控，每個用戶會話數(shù)控制，以及應用層的識別控制。除了對P2P數(shù)據(jù)流進行有效控制外，違反策略的用戶還將直接進入黑名單，管理員可以迅速發(fā)現(xiàn)P2P的使用者，提高網(wǎng)絡的有效利用率，降低學校安全風險。AG-series是采用ASIC芯片直接進行P2P和IM協(xié)議的內(nèi)容識別，然后配合AceNet獨創(chuàng)的行為判斷引擎，支持業(yè)內(nèi)最為廣泛的P2P協(xié)議，并可以對各種P2P流量和會話進行控制和統(tǒng)計。P2P-TV和實時流媒體應用管理由于P2P軟件的廣泛應用，當今網(wǎng)絡上流行的多媒體業(yè)務和流媒體軟件也都采用了這個P2P的形式，這些流量因為是實時的而且要求的帶寬更高，所以比P2P更加搶占和濫用網(wǎng)絡的有效帶寬，AG系列產(chǎn)品根據(jù)這種網(wǎng)絡應用需求，專門設定了針對P2P-TV等P2P流媒體的管理和控制。AG-series可以支持多種P2P實時流媒體網(wǎng)絡應用的管理和控制：IM（即時消息）在IM日益成為一個難以替代的交流工具的同時，這項技術(shù)也承受著安全方面的考驗。非授權(quán)的IM使用不但會降低學校的生產(chǎn)率，也可能會造成機密文件的泄漏。更為嚴重的是IM漏洞、木馬和病毒層出不窮，給學校用戶的資料安全帶來嚴重威脅。AG-Series可以非常精細地控制IM的每個會話，提供了細致的IM控制功能。IM部分功能限制使用（例如，僅對MSN,ICQ/AIM/Yahoo!有效）IM全局、組、用戶等的限制與允許IM全局、組、用戶等完善的日志記錄當啟用IM的日志功能后，可以記錄用戶使用IM軟件的一些信息，包括：登錄某種IM軟件的時間傳輸文件的時間和文件名傳輸語音/視頻的時間登錄信息在事件日志中查詢，傳輸信息在流量日志中查詢AG系列產(chǎn)品可以支持廣泛的IM協(xié)議，如下圖所示:策略化控制通過AG-series設備基于ASIC的IM/P2P/L7安全管理控制功能,用戶可以根據(jù)安全策略定義網(wǎng)絡中哪些用戶,流量和服務可以使用IM/P2P/L7,同時也可以進行這些流量的記錄,監(jiān)控,帶寬限制等高級應用.實現(xiàn)網(wǎng)絡的全面優(yōu)化,并消除網(wǎng)絡安全隱患.用戶流量帶寬的管理控制由于P2P應用占用了較大的帶寬，數(shù)據(jù)流量也比較大，具體表現(xiàn)為某個用戶的流量很大并且維持較長的時間。這樣，通過對網(wǎng)絡用戶的數(shù)據(jù)流量的監(jiān)控和管理來達到控制的目的。在具體實踐中，需要用戶數(shù)據(jù)流量分析設備或軟件不斷的監(jiān)測用戶的數(shù)據(jù)流，找出可能的P2P使用者，然后采取限流措施。采用這種方式，檢測每個用戶的流量比較容易，然而在不影響性能的情況下，在現(xiàn)有網(wǎng)絡設備上控制每個用戶的流量不是很容易實現(xiàn)。并且，限制用戶流量也同時影響了用戶其他的應用數(shù)據(jù)傳輸。通過AceNetAG系列產(chǎn)品，基于策略的配置,可以非常輕松的實現(xiàn)基于各種服務業(yè)務的帶寬和服務優(yōu)先級的控制,可以根據(jù)每種網(wǎng)絡應用服務的不同,制定不同的流量管理策略.用戶會話數(shù)的控制P2P應用的另外一個特點就是建立大量的并發(fā)連接，占用大量網(wǎng)絡帶寬，即使每個連接的數(shù)據(jù)傳輸量不是很大，累計起來就非常可觀。而在正常網(wǎng)絡使用情況下，用戶的Session會話數(shù)是在一個比較有限的范圍內(nèi)，有時會有一個突發(fā)值，但是會很快恢復到正常范圍內(nèi)。如果某個用戶的數(shù)據(jù)流長時間存在大量的session會話數(shù)，這個用戶使用P2P的可能性很大。通過分析控制用戶的Session會話數(shù)方式可以比較有效的控制P2P應用，并且可以適用于所有具有此機制特性的數(shù)據(jù)流，如網(wǎng)絡蠕蟲，惡意網(wǎng)絡掃描等。用戶Session會話數(shù)的分析控制需要設備支持基于狀態(tài)的統(tǒng)計和分析控制，并且可以對每一個用戶的并發(fā)連接數(shù)進行統(tǒng)計分析。目前網(wǎng)絡路由設備都不支持此功能。P2P應用層的控制對P2P的應用層進行分析，并采取控制的方式是當前控制方式最新的一個亮點。這種應用方式需要對應用協(xié)議進行深層次分析，并識別出應用種類，然后進行控制。這種識別通果對P2P的內(nèi)容進行分析，然后作出相應的控制策略，禁止，限速或者放行。具體實現(xiàn)中，如果采用軟件來分析，會立即構(gòu)成網(wǎng)絡的瓶頸，使網(wǎng)絡的實際可用帶寬大為下降。采用硬件來識別控制需要較高的技術(shù)能力。目前有許多產(chǎn)品可以進行P2P應用層的識別和控制，而實際上采用硬件方式不影響網(wǎng)絡性能的產(chǎn)品并不很多。這些采用硬件實現(xiàn)的產(chǎn)品中，許多也不能支持國內(nèi)的P2P應用，如PP點點通等。同時，P2P應用層的控制方法需要針對每一種，如果需要對新的P2P應用進行控制，需要進行升級來識別。以上的四個方面的控制各有利弊，協(xié)議端口封閉最容易實現(xiàn)，然而使用起來不靈活，不能進行流量的優(yōu)化及精細控制，當應用程序改變端口后便失去效果，在不允許端口封閉的環(huán)境下不能使用。用戶流量帶寬控制實際使用時沒有針對性，沒有區(qū)分業(yè)務數(shù)據(jù)和P2P數(shù)據(jù)，并且在現(xiàn)有的設備下，對每一個用戶的流量帶寬都進行控制而不影響性能也不容易實現(xiàn)。用戶數(shù)據(jù)流行為控制的方式比較有效并且可以阻止用戶對網(wǎng)絡的濫用，然而它不是針對P2P的控制，所有構(gòu)成大量并發(fā)連接的使用行為都會被發(fā)現(xiàn)和控制，包括蠕蟲等。能否識別P2P行為能否識別P2P類型執(zhí)行P2P流量限速執(zhí)行P2P應用阻止新P2P應用的支持現(xiàn)有通用設備實施難易度P2P專用控制設備AceNetP2P控制設備協(xié)議端口控制否否否曾經(jīng)起過作用無易無有每用戶會話數(shù)控制一定程度可以否否否有效難通常無有每用戶帶寬控制否否不能針對P2P流量限速否有效難無有應用層識別控制能能能能需升級難有有從以上表格可以看到，四種控制方式都可以起到一定作用，其中每用戶會話控制和每用戶帶寬控制對所有具有P2P高流量特性的數(shù)據(jù)流控制都有一定效果。P2P應用層識別控制是當前最有效并且控制效率最高的方式，然而它對新的P2P應用需要立即升級才能識別。采用組合控制是更有效，更可控的P2P管理方式，通過每用戶帶寬控制和每用戶會話數(shù)控制可以及時發(fā)現(xiàn)P2P的疑似使用者，采用應用層識別控制可以精確控制已知的應用。強大的流量分析統(tǒng)計、報告功能，提供更好的報表

AceNet公司的產(chǎn)品收集每個會話的流量數(shù)據(jù)，從而獲得關(guān)于源地址、目的地址、應用類型和策略的信息。同時針對收集的數(shù)據(jù)來創(chuàng)建表格和圖片報告，一以便進行性能規(guī)劃和資源管理。如可以分析每個IP地址的應用和每種應用的用戶使用情況以及分析每種應用所占用的帶寬比例情況。通過AceNet公司產(chǎn)品提供的各種圖表，使得管理人員管理人員不僅能夠直觀地了解各種應用及各個用戶的當前網(wǎng)絡流量，而且能夠?qū)Ω饔脩?、應用、策略等項目的統(tǒng)計數(shù)據(jù)進行歷史查詢，并對上述流量數(shù)據(jù)進行排名。簡便的管理方式管理員可以通過任何標準的WEB流量器來訪問AceNet產(chǎn)品，或制定策略，從而對網(wǎng)絡流量管理；同時AceNet產(chǎn)品的配置界面支持中英文界面，方便管理員的配置管理操作。一期多出口鏈路部署網(wǎng)絡出口是整個網(wǎng)絡校園網(wǎng)絡當中安全等級風險最高的區(qū)域，也是網(wǎng)絡頻繁發(fā)生問題的區(qū)域，所以要在安全控制和管理上應重點部署。在談到網(wǎng)絡安全時，我們主要的設計理念是外洗、內(nèi)控、中隔離。外洗是指防火墻設備。為降低內(nèi)部用戶遭受來自Internet的網(wǎng)絡層的攻擊，所以建議用戶在校園網(wǎng)出口處部署思科的ASA5520防火墻，可以對校園網(wǎng)核心區(qū)域提供出口鏈路的一道安全防線，對進出校園網(wǎng)的流量進行嚴格控制，在網(wǎng)絡層高效抵御各種非法訪問。內(nèi)控是指思科的MARS系統(tǒng)，我們可以通過CS-MARS-20-K9系統(tǒng)收集交換機設備的Log信息，這樣便可以形成一個防護整體，保護南京師大附中校園網(wǎng)絡。可以有效的防止ARP欺騙的攻擊。通過收集交換機設備的Netflow流量信息，可以對各種病毒的PC機進行遏制。對于SQL病毒、DDos攻擊等，可以通過收集IPS的安全事件信息，有效的保證網(wǎng)絡安全。中隔離是指IPS入侵防御系統(tǒng)，我們可以通過思科ASA5520的可擴展IPS模塊設備監(jiān)控多個重要的網(wǎng)段，將信息遞交給MARS進行分析。從而降低內(nèi)部用戶遭受來自Internet的應用層的攻擊，可以對校園網(wǎng)核心區(qū)域提供應用層的防護能力。在校園網(wǎng)絡出口處，目前使用了一個電信30Mbps網(wǎng)絡，但隨著學校各種業(yè)務應用不斷的出現(xiàn)，今后用戶將增加教育網(wǎng)和中教網(wǎng)出口鏈路。但目前使用防火墻設備部署在多出口時，只能使用靜態(tài)路由來手工的指定，無法實現(xiàn)動態(tài)的負載均衡。為了使用戶能夠更充分利用ISP網(wǎng)絡，我們建議選擇以色列RadwareLinkProof1000設備為校園網(wǎng)絡出口提供鏈路的負載均衡，以提高出口帶寬的使用效率。二期多出口鏈路負載均衡針對以上的問題和挑戰(zhàn)，全球鏈路負載均衡領(lǐng)導廠商以色列Radware公司創(chuàng)造性的提出了LinkProof鏈路負載均衡解決方案。LinkProof采用SmartNAT技術(shù)，消除了多宿主網(wǎng)絡設計中固有的復雜性，提供了一個易于管理、智能優(yōu)化和利用所有Internet鏈路的解決方案。LinkProof的多宿主解決方案具有以下功能和優(yōu)點：智能管理不同ISP提供的IP地址網(wǎng)段；保證優(yōu)化所有的ISP鏈路，即通過智能負載均衡所有通過可用鏈路的流量；使用Radware特有的就近性檢測算法來選擇用于輸出流量的最佳ISP；確保兩個ISP鏈路同時應用與所有的流入流量，保證Internet連接的暢通；使用Radware特有的就近性檢測算法來選擇用于流入流量的最佳ISP。整個校園網(wǎng)絡部署方式如下圖所示：下圖是一個典型的LinkProof解決方案的應用案例。LinkProof解決方案就是在內(nèi)部交換機和連接ISP的路由器之間，跨接一臺LinkProof智能交換機，所有的地址處理和Internet鏈路優(yōu)化全部由LinkProof智能交換機來完成。流出（Outbound）流量處理LinkProof主要采用以下集中方式來處理流出流量。SmartNAT對于流出流量的智能地址管理，LinkProof使用了稱為SmartNAT的算法。當選定一個路由器（某一個ISP）傳送流出流量時，LinkProof將選擇該ISP提供的地址。在下圖中，如果LinkProof選擇ISP1作為流出流量的路徑，則它將把內(nèi)部的主機地址192.168.2.A/24翻譯為100.1.1.A/24，并作為流出數(shù)據(jù)包的源地址。同樣，如果LinkProof選擇ISP2作為流出流量的路徑，則它將把內(nèi)部的主機地址192.168.2.A/24翻譯為200.1.1.A/24，并作為流出數(shù)據(jù)包的源地址。LinkProof支持dynamic、static、basic三種NAT方式，分別實現(xiàn)一對多、一對一、多對多的地址翻譯。負載均衡LinkProof能根據(jù)不同的情況選擇不同的負載均衡算法分發(fā)流量。具體算法有：輪詢，不考慮鏈路情況，直接把流量循環(huán)分發(fā)到不同的鏈路上；最少連接，查詢LinkProof客戶表上的信息，把數(shù)據(jù)流量分發(fā)到連接數(shù)最少的鏈路；最少流量，包括最少字節(jié)數(shù)或最少數(shù)據(jù)包數(shù)。最少字節(jié)數(shù)，查詢鏈路的使用情況，根據(jù)鏈路上數(shù)據(jù)字節(jié)的情況把新的數(shù)據(jù)流量分發(fā)到字節(jié)較少的鏈路；最少數(shù)據(jù)包數(shù)，查詢鏈路的使用情況，根據(jù)鏈路上數(shù)據(jù)包的情況把新的數(shù)據(jù)流量分發(fā)到數(shù)據(jù)包較少的鏈路；最短響應時間，根據(jù)鏈路的響應時間把流量分發(fā)到響應較快的鏈路；客戶定制的SNMP算法；哈希；WindowsNT代理。流量分組對于流出的流量，可以根據(jù)源地址、目的地址或者應用類型（端口號碼）指定其中一條鏈路作為主用鏈路，其他鏈路作為備份鏈路。當主用鏈路正常工作時，流量都通過主用鏈路進行處理，只有在主用鏈路不可用時，流量才會由備份鏈路進行處理。在許多情況下，用戶需要特定流量分配到相應的ISP鏈路，并且在這些鏈路中實現(xiàn)負載均衡。例如：公司希望將VPN流量通過特定的鏈路，因為他們不想重新配置防火墻的策略來允許新ISP地址通過它；管理員喜歡將郵件流量分配到指定的幾個ISP鏈路連接到Internet。流量分組使得LinkProof可以根據(jù)不同類型的流量而選擇不同的鏈路。網(wǎng)絡管理員可以根據(jù)目標地址、源地址和應用類型定義流量組。這使得流量分配更加靈活和方便。下圖是根據(jù)應用流量分組的示意圖。Grouping–ApplicationGrouping–ApplicationLocalNetworkCRMRouter1Router2and3Web當用戶訪問Web應用時，通過Router1去往ISP1鏈路。當用戶訪問CRM應用時，LP將用戶請求轉(zhuǎn)向ISP2和ISP3，在它們當中實現(xiàn)負載均衡。就近性路由為了優(yōu)化流出的流量，LinkProof還為流出的流量實施就近性運算。如果內(nèi)部主機要訪問某一Internet站點，可能通過一個ISP的路徑比通過其他ISP的路徑有效。因此，LinkProof可以提供就近性算法，為流出到某一個站點的流量選擇最佳的ISP路徑，保證所需內(nèi)容最快到達目的地，提高服務的品質(zhì)。LinkProof考慮路由的跳數(shù)、路徑的延遲和負載狀況來進行對每個目的地的就近性運算，選擇最佳的流出流量傳輸路徑。流入（Inbound）流量處理LinkProof不僅需要管理流出的流量，還必須管理來自Internet的訪問，即流入（InBound）流量。假設下圖中的Server1是Web服務器，Internet主機名為，地址為私有IP：00/24。SmartNAT針對采用域名方式實現(xiàn)訪問的應用，SmartNAT功能和LinkProof上集成的DNS代理結(jié)合在一起，即能夠完成流入流量的負載均衡。如圖所示，在DNS服務器上注冊兩筆NS記錄，指向LinkProof： NSwww.R NSwww.R 而在LinkProof上設置URL與內(nèi)部主機地址的對應關(guān)系： 00而在LinkProof上設置靜態(tài)的地址翻譯： 00 00當有Internet用戶訪問是時，DNS服務器回應給用戶由LinkProof來完成最終地址解析。LinkProof根據(jù)具體設置來選定適當?shù)腎SP線路，如果選擇ISP1，則將地址解析為。同樣，如果選擇ISP2，則將地址解析為。從而完成流入流量的負載均衡。針對直接采用地址實現(xiàn)訪問的應用，LinkProof通過靜態(tài)NAT將服務的內(nèi)部地址一對一地轉(zhuǎn)換為公網(wǎng)地址。過程示意圖如下：LinkProofSmartNATInboundLinkProofSmartNATInboundWebS00RadwareLinkProofExternalU?User’sLocalDNSServerAuthoritativeDNSFor?3-GoAskNS1orNS2(LinkProof)!6-=4-?5-TellyourclientIP=LinkProofSmartNATsfor:forISP1forISP2用戶會話表的操作通常對于出向流量，當本地用戶發(fā)起請求訪問遠程服務器，LinkProof會創(chuàng)建一條會話記錄，記錄了用戶通過哪一個ISP鏈路(LinkProof稱為NHR)連接Internet服務器，當服務器響應時，LinkProof根據(jù)剛才記錄的會話記錄，將地址正確轉(zhuǎn)換后響應給用戶。對于入向流量，遠程用戶先發(fā)起連接請求，訪問本地的服務器，LinkProof如何保證進和出的流量通過同一條鏈路呢？與出向流量類似，LinkProof會創(chuàng)建一條“反向”的會話記錄。記錄了遠程用戶通過哪一個NHR進來訪問的。從而保證的會話的一致性。以下是LinkProof的會話表條目，Dir是會話的方向，TO和FR(From)正好相反，即出向和入向。ClientAddrDstAddrNHRAddrSrcPDstPAttchTimeTDir30674442804566013DNTO0543426214562192DNTO301078018814564984DNFR就近性路由對于流入的流量，LinkProof使用就近性判斷機制。就近性機制分為靜態(tài)和動態(tài)兩種方式：靜態(tài)就近性：針對已知的用戶范圍和網(wǎng)絡的就近性（例如網(wǎng)通用戶應采用網(wǎng)通線路，電信用戶使用電信線路），LinkProof上可以設置靜態(tài)就近性表，要求用戶嚴格按照該表來選擇線路；動態(tài)就近性：考慮路由的跳數(shù)、路徑的延遲和負載狀況來進行對每個訪問發(fā)起點的就近性運算，選擇最佳的流入流量傳輸路徑，進行最終的解析地址。這個“近”其實是“最佳”的概念，因為往往物理上最近的線路不見得就是當時最佳的路徑，將Latency，Hop，Load參數(shù)通盤考慮選優(yōu)是Radware獨有的技術(shù)并已獲取專利，能夠準確有效地選擇最佳路徑。Radware的就近性檢測方法利用了就近性檢測試探、由就近性標準構(gòu)成的動態(tài)表以及由管理員配置的參數(shù)構(gòu)成的靜態(tài)表。當WSD-NP或LinkProof提供前往某個網(wǎng)絡的服務時，如果該網(wǎng)絡不在任何一個表中，這些設備將權(quán)衡前往該網(wǎng)絡的就近性。就近性表中的所有網(wǎng)絡記錄都使用了C類網(wǎng)絡的形式。進行測量時，Radware啟動就近性檢測試探過程，它會向目標網(wǎng)絡發(fā)送幾個數(shù)據(jù)包（最多4個），然后通過就近性檢測試探的結(jié)果了解中繼段數(shù)和延時情況。為了實現(xiàn)最準確的測量結(jié)果，就近性檢測包括了IP、TCP和應用層的試探（比如TCP確認測試和ICMP回顯請求測試）?；貜筒煌夂鮾煞N情況，一是對ICMP回顯(PING)請求的響應，二是由遠程網(wǎng)絡作為對其他就近性檢測試探數(shù)據(jù)包的響應而生成的錯誤消息。一旦設備了解了它所在的網(wǎng)絡同客戶端網(wǎng)絡之間的中繼段數(shù)和延時情況，就會將最佳的3個內(nèi)容傳輸路徑記錄到動態(tài)表中。這些數(shù)據(jù)在動態(tài)表中的存儲時間由管理員定義。掌握了就近性信息后，Radware設備就可以基于該信息復位向來自已知網(wǎng)絡的客戶端。借此，管理員可使用延時問題最輕、中繼段數(shù)最少的路徑為最終用戶傳遞內(nèi)容。管理員甚至還可以通過設置靜態(tài)就近性表來配置復位向決定。Radware設備在檢查動態(tài)表中的客戶端C類網(wǎng)絡之前會首先檢查靜態(tài)表。以這種方式，Radware設備可將某些客戶端自動復位向到所配置的最佳路徑，另外還可以在靜態(tài)表中定義第二和第三最佳路徑。優(yōu)化就近性檢測方法使用Radware提供的多種參數(shù)，可根據(jù)各個環(huán)境的獨特需要方便地自定義就近性檢測方法。這種自定義包括多種操作，比如增加分配給動態(tài)就近性表的內(nèi)存、更改動態(tài)就近性表的內(nèi)容有效期、為Radware就近性設備提供DNS名稱以及僅使用靜態(tài)就近性表等。調(diào)整動態(tài)表的超時和內(nèi)存分配等參數(shù)，可以調(diào)整網(wǎng)絡就近性探測的頻度。通過調(diào)整并且考慮每個環(huán)境的獨特需求，可以在探測頻度和數(shù)據(jù)時效性之間尋求適當平衡。這在某些環(huán)境中可能非常重要，因為Radware的網(wǎng)絡就近性試探過程利用了ICMP回顯請求（作為探測方法之一），而客戶端很少會注意到這種就近性檢查。為了盡量減少任何客戶端問題的一個方法是，為Radware設備提供諸如“”、“quality-of-servicedevice.”或“”等的DNS名稱。一旦客戶端檢測到就近性檢測資料包，它們可以進行反向DNS查詢，從而了解探測數(shù)據(jù)包的本意和來源。另外，還可以為客戶提供一封簡信，以說明這些探測數(shù)據(jù)包的目的。附錄A顯示了一個樣本。如果能有效利用靜態(tài)就近性表，已知網(wǎng)絡中的客戶端將可以被直接復位向到適當資源，同時盡量減少網(wǎng)絡就近性探測數(shù)據(jù)包的數(shù)量。借助靜態(tài)表，可以基于多種條件來復位向客戶端，比如IANA（Internet指定編號機構(gòu)）分配的IP地址。對全球分布性站點而言，這可能是一個解決方法，因為IP地址分配是由三個主要機構(gòu)負責的，每個機構(gòu)都有自己的管轄區(qū)域。有關(guān)IP地址和組織區(qū)域劃分的詳細信息，請訪問“InternetProtocolAddressSpace”（Internet協(xié)議地址空間）表，相應網(wǎng)址為：/assignments/ipv4-address-space另外還可以使用已知的客戶端位址范圍配置靜態(tài)表，并且設置三個最佳的內(nèi)容訪問路由。這種方法極其適用于大型的Extranet和Intranet。要適當調(diào)整Radware就近性檢測方法，其過程相當簡單，但對于不同的環(huán)境會有不同的要求。Radware的項目團隊具有豐富的Internet、Intranet和Extranet環(huán)境經(jīng)驗，可幫助客戶獲得理想的結(jié)果，從而確保能通過最優(yōu)化的路徑傳輸內(nèi)容，并且符合技術(shù)和業(yè)務上的目標。有時候，IDS（入侵檢測系統(tǒng)）可能將就近性檢查數(shù)據(jù)包誤認為是對IDS之后的設備進行攻擊的數(shù)據(jù)包。為了盡量減少這些誤報，LinkProof和WebServerDirector均允許用戶配置每種檢查，以確定是用于入站就近性、出站就近性，還是同時用于二者，或者二者都不是。就近性檢測示意圖：ProximityProximityLocalnetworkLinkP?120ms60ms30msProximityforFirstPath=ISP3SecondPath=ISP2ThirdPath=ISP1其它重要功能全路徑健康檢查LinkProof在多宿主網(wǎng)絡中的一個主要作用是檢測ISP鏈路的可用性，即健康狀況。而一條訪問鏈路的健康狀況不僅僅是由ISP的路由器的狀況決定的。因此，LinkProof提供了全路徑健康檢查的功能，最多能夠完成10跳路由健康的檢測，從而保證整條數(shù)據(jù)鏈路的通常，提高服務質(zhì)量。注：該方法要求ISP的鏈路對ICMP開放。健康檢查模塊LinkProof的健康檢查模塊提供更為健全和靈活的判斷機制。當ICMP的數(shù)據(jù)包出于安全原因而被ISP禁止時，該方法了優(yōu)勢就有了更充分的體現(xiàn)。此時，可以通過多個Internet站點的可達性，來共同判斷一條鏈路的狀況。例如，通過電信線路檢查、、以及的TCP80端口，并對檢查結(jié)果做“或”運算。這樣，只要其中一個站點可達，即可表明鏈路狀態(tài)良好。該方法即避免了ICMP檢查的局限性，也避免了單一站點檢查帶來的單點失誤。該方法為LinkProof獨有。 故障恢復和預熱定時器如果ISP連接狀況不穩(wěn)定，則最好不要通過它發(fā)送任何流量，知道它在預定時間內(nèi)能夠維持穩(wěn)定。LinkProof提供故障恢復和預熱定時器，用戶可以自定義定時器的延遲時間，從而確保將會話定向到穩(wěn)定的ISP鏈路。一旦ISP恢復正常，LinkProof能逐漸增加發(fā)送到該ISP的流量。備份路由器可以在LinkProof上設置，如果其它ISP的鏈路沒有中斷，則不能使用某個ISP鏈路。設備管理所有Radware應用交換機的設備管理方式相同。針對智能交換機LinkProof，網(wǎng)絡管理人員可利用如下方式對其進行管理：SNMP網(wǎng)絡管理系統(tǒng)APSoluteInsite標準的網(wǎng)絡瀏覽器使用Telnet命令CLI命令行控制方式(需要與LinkProof智能交換機通過控制臺接口直接連接)SSH管理手段其中，通過使用APSoluteInsite管理每個站點中的所有LinkProof設備，可以實現(xiàn)性能控制和監(jiān)視。APSoluteInsite是業(yè)內(nèi)首個針對整個站點的軟件管理工具。通過它可在企業(yè)范圍內(nèi)實現(xiàn)對IP應用性能的統(tǒng)一管理、監(jiān)視和控制?；谝子谑褂玫恼军c地圖界面，APSoluteInsite使得企業(yè)可以繪制他們的整個網(wǎng)絡，包括各種LinkProof設備以及各自的路由器。APSoluteInsite的統(tǒng)計模塊提供了有關(guān)實際應用性能的實時視圖和歷史視圖，借此可監(jiān)視站點范圍的操作，并能輕易地找到隱患和故障，從而實現(xiàn)了對所有Internet鏈路性能的完全監(jiān)視和控制。RadwareLinkProof優(yōu)勢RadwareLinkProof是目前業(yè)界最早推出鏈路負載均衡并一直專注在這個市場的廠商，擁有多項專利，包括動態(tài)就近性等。Radware推出全球首個ISP負載均衡解決方案-LinkProof，到目前LinkProof已經(jīng)有近6年的現(xiàn)場實施經(jīng)驗，全世界安裝超過5000臺，安裝數(shù)量遠遠高于其他任何一個多鏈路解決方案廠商。Radware的動態(tài)就近性算法幫助客戶解決了外部網(wǎng)絡IP地址無法完全枚舉的問題，解決了通過靜態(tài)方式設置策略路由需要進行的大量手工調(diào)整和IP地址塊改動的問題。Radware作為鏈路負載均衡市場的領(lǐng)導者，深刻了解客戶在鏈路負載均衡反面的需求，因而開發(fā)了一些補充功能來優(yōu)化鏈路的使用，比如Radware可以設置當A鏈路的流量達到鏈路帶寬的一定比例，就更多分配流量到另外的鏈路。Dr.COM2133計費系統(tǒng)介紹網(wǎng)絡計費軟件是負責校內(nèi)學生上網(wǎng)計費管理的系統(tǒng)，主要功能包括：計費模塊（用于校外網(wǎng)服務計費）、自服務模塊（用于查詢登錄記錄/個人帳單、繳費記錄）。集成目標實現(xiàn)校內(nèi)的教職工用戶、學生用戶、客戶端用戶、臨時用戶在使用計費登錄、自服務查詢時共用校內(nèi)統(tǒng)一身份的帳號進行登錄。集成方案身份集成方式一：計費程序調(diào)用統(tǒng)一身份認證平臺LDAP接口認證，從統(tǒng)一身份認證平臺中取得權(quán)威用戶的信息，對于不在集成用戶范圍內(nèi)的臨時用戶，仍采用原計費系統(tǒng)中的認證方式。方式二：采用基于IDStar認證接口（JAVA接口）的集成方式，實現(xiàn)單點登錄（只要登錄一次到數(shù)字化校園平臺，進入計費平臺無需登錄）。身份數(shù)據(jù)集成方式一：計費系統(tǒng)管理員手工訂閱人員更新信息，共享庫提供excel格式數(shù)據(jù)下載，由計費系統(tǒng)管理員手工導入計費系統(tǒng)中，實現(xiàn)用戶信息同步。方式二： 修改計費程序的用戶信息的存放方式，直接采用統(tǒng)一身份認證平臺的存儲有用戶信息的LDAP目錄中去用戶信息，進行認證。門戶集成1. 通過iframe集成自服務模板登錄后的操作頁面。為考慮美觀，需要計費軟件方生成一個新的操作頁面，該操作頁面是由原有的操作頁面去掉頁頭的logo后生成的新頁面，頁面的樣式調(diào)用門戶的通用CSS樣式單，以適應門戶個性模板的變化。2. 在信息門戶中添加“網(wǎng)絡計費”頁，該頁下只放置一個欄目來顯示集成后的自服務板塊頁面。用戶的操作方式與集成前一致。Dr.COM2133計費系統(tǒng)組成及原理Dr.COM計費服務器是由IP接入服務器（2133B-RAS）和后臺計費軟件（2133Billingware）組成：硬件是2133B-RAS寬帶接入服務器；軟件包括管理員、操作員、統(tǒng)計員、數(shù)據(jù)庫自動刷新程序、數(shù)據(jù)庫和客戶端。硬件是網(wǎng)關(guān)型的設備，安裝在網(wǎng)絡的出口，負責用戶的認證，授權(quán)和計費，數(shù)據(jù)采集、實時控制和執(zhí)行各種網(wǎng)絡和計費策略，并將數(shù)據(jù)傳送到后臺進行處理，軟件是對硬件進行參數(shù)設置和狀態(tài)監(jiān)控，為用戶提供營運平臺和數(shù)據(jù)分析。沒有身份驗證的計費結(jié)果是不能令人信服的。基于網(wǎng)管的計費利用SNMP、RMON等網(wǎng)管協(xié)議獲取網(wǎng)絡硬件設備上MAC或IP的流量，并僅就此進行統(tǒng)計并不適用于寬帶網(wǎng)絡。在寬帶網(wǎng)絡的環(huán)境中，IP地址、MAC地址、VC、交換機端口等參數(shù)都在一定程度上代表用戶，但又都不能唯一確定用戶的身份。用戶身份驗證的目的就是把其中的一個參數(shù)與用戶的賬戶進行綁定。驗證是一個交互的契約過程，對運營商和用戶都有必要。交換機端口、MAC地址等物理層和鏈路層的參數(shù)，隨網(wǎng)絡硬件的不同差異性很大，再加上本身的無序性、不可被路由、和實際操作的困難，很難拿來與賬戶綁定。Dr.COM的做法是把用戶賬戶與IP地址綁定，并實時地進行唯一性檢查，杜絕IP地址或賬戶盜用。這是Dr.COM2133B-RAS寬帶接入服務器的核心技術(shù)。2133B-RAS使得寬帶計費不再拘泥于網(wǎng)絡第二層技術(shù)和設備，適用于Ethernet、ADSL、HFC、HomePNA、Wireless等所有寬帶環(huán)境。Dr.COM計費系統(tǒng)既可在用戶開戶時實施靜態(tài)的綁定，也可在用戶登錄時實施動態(tài)的綁定。靜態(tài)綁定適合于需要對用戶作較多限制的場合，動態(tài)綁定給予用戶較大的自由度，用戶賬戶可在網(wǎng)內(nèi)漫游。有些代理服務器軟件也能做身份驗證，表面看來與似乎與Dr.COM的做法一樣，但實質(zhì)上有很大的區(qū)別。2133B-RAS是在IP層做綁定，而Proxy是在應用層做綁定（對不同的應用分別綁定或驗證）。基于Proxy的計費系統(tǒng)至少有如下幾個缺點：不全面，有漏失。因為許多IP應用不通過代理服務器或不可被代理，這些IP包顯然無法被統(tǒng)計和計費。不準確。從應用層推算IP層的流量，就像拿一把本身刻度就不準的尺去量長度一樣，其誤差是顯而易見的。效率低。Proxy大部份運行在WIN/NT、LINUX或Solaris操作系統(tǒng)平臺上。Proxy和這些操作系統(tǒng)對系統(tǒng)的開銷很大，再加上數(shù)據(jù)庫和計費軟件的開銷，結(jié)果是隨著用戶數(shù)和流量的增加，系統(tǒng)越來越慢，甚至崩潰。無法杜絕多人共用同一賬號上網(wǎng)。因此我們就不難理解，為什么所有基于Proxy的計費軟件的計算結(jié)果誤差大；僅統(tǒng)計WEB和Email流量；系統(tǒng)就不穩(wěn)定或死機的原因了。即使是一些基于防火墻的計費軟件，也難逃低效和不穩(wěn)定的厄運。由于大部份防火墻的核心仍是基于LINUX平臺上的包處理軟件，這種操作系統(tǒng)的最高優(yōu)先級別響應和內(nèi)存請求是來自內(nèi)核的請求，既然通用，必然考慮到來自多種設備和界面的需求，所以對于實時性響應一定不如專用系統(tǒng)，再加上防火墻安全策略對系統(tǒng)資源的巨大開銷，使得這些計費軟件的性能受用戶數(shù)和流量的影響很大，或者說性能對用戶數(shù)和流量的影響很大。而Dr.COM2133B-RAS是專為寬帶IP計費而設計的，它直接對IP第3層和第4層操作，其全面性和準確性不容置疑。在內(nèi)核的設計上它摒棄了所有操作系統(tǒng)，代之以直接的源代碼。軟硬件系統(tǒng)的所有資源都用在包的過濾和轉(zhuǎn)發(fā)上，以線速度轉(zhuǎn)發(fā)網(wǎng)絡多層數(shù)據(jù)。更詳細的介紹請參照《Dr.COM2133BillingWare用戶使用手冊》服務流程用戶登錄過程

用戶登錄，輸入賬號和密碼，賬號和密碼加密傳送到2133B-RAS計費服務器。查詢用戶過程

向后臺數(shù)據(jù)庫查詢用戶資料。確認用戶過程

計費服務器向后臺查詢用戶的資料和授權(quán)設置，確認用戶的身份。如果身份合法，允許用戶使用；否則登錄失敗，無法使用服務。用戶授權(quán)過程

根據(jù)用戶的授權(quán)設置，對使用的功能進行授權(quán)，包括時間授權(quán)、功能授權(quán)、帶寬授權(quán)、訪問限制授權(quán)、過濾授權(quán)和信用授權(quán)，按照該用戶的收費費率進行計費。監(jiān)控用戶過程

實時監(jiān)控用戶的使用情況，并根據(jù)每個用戶的授權(quán)進行判斷是否接受或拒絕用戶所要求的服務，并將用戶使用情況送到后臺數(shù)據(jù)庫進行紀錄。保存用戶訪問紀錄過程

將用戶的使用過程中產(chǎn)生的紀錄文件送到后臺數(shù)據(jù)庫保存。終止授權(quán)過程

用戶的使用權(quán)限超過預先設定的閥值（如累計時間、流量、信用等參數(shù)）后，將給用戶警告，并且終止對用戶授權(quán)，強制結(jié)束服務。用戶注銷過程

用戶要去退出服務，注銷用戶的授權(quán)。保存用戶連接紀錄過程

將用戶連接紀錄包括登錄時間、結(jié)束時間、流量、服務內(nèi)容紀錄和產(chǎn)生費用等資料紀錄在數(shù)據(jù)庫內(nèi)。用戶登錄過程

用戶登錄，輸入賬號和密碼，賬號和密碼加密傳送到2133B-RAS計費服務器。查詢用戶過程

向后臺數(shù)據(jù)庫查詢用戶資料。確認用戶過程

計費服務器向后臺查詢用戶的資料和授權(quán)設置，確認用戶的身份。如果身份合法，允許用戶使用；否則登錄失敗，無法使用服務。用戶授權(quán)過程

根據(jù)用戶的授權(quán)設置，對使用的功能進行授權(quán)，包括時間授權(quán)、功能授權(quán)、帶寬授權(quán)、訪問限制授權(quán)、過濾授權(quán)和信用授權(quán)，按照該用戶的收費費率進行計費。監(jiān)控用戶過程

實時監(jiān)控用戶的使用情況，并根據(jù)每個用戶的授權(quán)進行判斷是否接受或拒絕用戶所要求的服務，并將用戶使用情況送到后臺數(shù)據(jù)庫進行紀錄。保存用戶訪問紀錄過程

將用戶的使用過程中產(chǎn)生的紀錄文件送到后臺數(shù)據(jù)庫保存。終止授權(quán)過程

用戶的使用權(quán)限超過預先設定的閥值（如累計時間、流量、信用等參數(shù)）后，將給用戶警告，并且終止對用戶授權(quán)，強制結(jié)束服務。用戶注銷過程

用戶要去退出服務，注銷用戶的授權(quán)。保存用戶連接紀錄過程

將用戶連接紀錄包括登錄時間、結(jié)束時間、流量、服務內(nèi)容紀錄和產(chǎn)生費用等資料紀錄在數(shù)據(jù)庫內(nèi)。產(chǎn)品功能Dr.COM2133B-RAS由北京城市熱點資訊有限公司基于IP核心技術(shù)開發(fā)并擁有自主知識產(chǎn)權(quán)，具有先進而成熟的自有源代碼的網(wǎng)絡操作系統(tǒng)。它開創(chuàng)性地將IP多層交換技術(shù)與計費軟件結(jié)合在一起。Dr.COM2133B-RAS是目前國內(nèi)寬帶接入計費服務器行業(yè)內(nèi)性能最高的型號，據(jù)多個權(quán)威機構(gòu)測試，該設備能真正實現(xiàn)百兆下64字節(jié)包線性轉(zhuǎn)發(fā)，千兆型號2133B-RAS千兆下能從500字節(jié)包開始實現(xiàn)線性轉(zhuǎn)發(fā)（據(jù)統(tǒng)計，目前互聯(lián)網(wǎng)應用平均字節(jié)包在500字節(jié)左右），并且通過了信息產(chǎn)業(yè)部電信入網(wǎng)許可證，是寬帶接入計費行業(yè)首家擁有此認證的產(chǎn)品。功能優(yōu)勢北京城市熱點資訊有限公司從1999年就開始從廣電城域網(wǎng)進入寬帶接入計費市場，對大型園區(qū)網(wǎng)、城域網(wǎng)的寬帶接入運營具有豐富的經(jīng)驗。由于產(chǎn)品包括硬件和軟件的所有部分都自主開發(fā)，并具有知識產(chǎn)權(quán)和信息產(chǎn)業(yè)部的入網(wǎng)許可證，所以城市熱點能夠很快能夠根據(jù)用戶的需求和市場的變化不斷完善產(chǎn)品，使產(chǎn)品能夠體現(xiàn)專業(yè)化，真正滿足各行各業(yè)具體的需求。針對于校園網(wǎng)寬帶接入目前的現(xiàn)狀：私接代理嚴重、訪問記錄要求大、BT流量大等等。城市熱點利用產(chǎn)品操作系統(tǒng)的高性能的特點，開發(fā)了一系列的新技術(shù)，有效解決了以上問題，為學校提供了完善的校園寬帶網(wǎng)的解決方案。防代理機制及IP盜用Dr.COM2133B-RAS利用獨有的客戶端封裝技術(shù)，使登錄成功后的用戶發(fā)出的TCP包都加上Dr.COM驗證封裝，該封裝只有2133B-RAS才能解開，這樣用戶不能與代理服務器正常通訊（不管是軟件代理還是硬件代理），同時能防止非法用戶盜用MAC和IP，因為非法用戶發(fā)出的包沒有驗證封裝。該技術(shù)相對于其他廠家基于流量、端口、多IP的方式防代理解決方案，更為有效和科學性，Dr.COM封裝技術(shù)能夠有效解決單網(wǎng)卡代理、NAT寬帶路由器等其他廠商不能解決的代理方式，是目前國內(nèi)最為有效的防代理解決方案。封裝設置還可根據(jù)學校的需求，按組、按用戶、按網(wǎng)段來靈活配置，使學校能夠根據(jù)老師、學生、辦公教學的不同情況靈活配置，使網(wǎng)絡資源能夠得到最大程度的合理應用。啟用封裝設置后，對Dr.COM2133B-RAS性能少于1％，不會對用戶造成影響。另外，也可以將用戶帳號和用戶IP、MAC進行綁定，對IP的盜用也起到很好的效果。防用戶私建DHCP服務器指定DHCP服務器，來解決內(nèi)部非法DHCP服務器干擾，啟動該功能后，只要用戶正常獲得合法IP后，客戶端會自動記錄合法的DHCP服務器，以后就不會再獲得非法的DHCP發(fā)出的IP。PPPoE防代理技術(shù)Dr.COMPPPoE防代理的工作環(huán)境是指Dr.COM2133/2033寬帶接入服務器做PPPoE終結(jié)而言的。這里用戶做代理的判斷標志是，用戶在PPPoE登錄后電腦存在一個以上IP。用戶如果在PPPoE登錄后有多個IP，則可視為充當代理服務器，或者接入在一個LAN里。Dr.COM在這里限制的是個體用戶使用代理，如果用戶需要在一個LAN里進行PPPoE登錄的，可視為集團用戶或商業(yè)用戶，此類型用戶需要向運營商聲明，否則無法上網(wǎng)。工作機制：用戶安裝標準的PPPoE撥號軟件后，同時需要安裝Dr.COMv3.06客戶端軟件，這個客戶端不是用于登錄驗證用的，而是用來檢查用戶的IP配置情況，Dr.COM2133/2033寬帶接入服務器會定時與Dr.COMv3.06客戶端軟件通訊，以確認用戶電腦上的IP只有一個，如果多于一個，Dr.COM2133/2033寬帶接入服務器會將用戶強制下線。Dr.COMv3.06客戶端軟件安裝后會自動添加到windows啟動菜單內(nèi)。該程序?qū)τ谟脩羧粘Ｊ褂枚允峭该鞯摹?02.1x防代理技術(shù)Dr.COM802.1x防代理的工作環(huán)境是指Dr.COM2133/2033寬帶接入服務器做RADIUSSERVER而言的，通過Dr.COM的私有協(xié)議，需要配合Dr.COM最新的Dr.COM客戶端可以實現(xiàn)該功能。P2P協(xié)議限流BT、電驢等點對點傳輸應用是