洪桐廣電寬帶接入項(xiàng)目PAGEPAGE2山西三星華訊通訊技術(shù)有限公司目錄TOC\o"1-3"\h\z第一章洪桐廣電寬帶接入系統(tǒng)設(shè)計(jì)原則及思想 2一、采用先進(jìn)穩(wěn)定及成熟的系統(tǒng)技術(shù) 2二、采用Intranet技術(shù)及設(shè)計(jì)思想 5第二章洪桐廣電寬帶接入系統(tǒng)網(wǎng)絡(luò)設(shè)計(jì) 6一、拓?fù)浣Y(jié)構(gòu) 7二、網(wǎng)絡(luò)設(shè)備配置 7三、網(wǎng)絡(luò)系統(tǒng)的其他設(shè)置 9第三章洪桐廣電寬帶接入系統(tǒng)的郵件、RADIUS、計(jì)費(fèi)服務(wù) 16一、郵件服務(wù) 16二、RADIUS、計(jì)費(fèi)系統(tǒng) 17第四章主機(jī)系統(tǒng)設(shè)計(jì) 27一、洪桐廣電寬帶接入主機(jī)系統(tǒng)設(shè)計(jì)原則 27二、主機(jī)配置選擇方案 28三、主機(jī)操作系統(tǒng)選擇 30四、主機(jī)設(shè)備簡(jiǎn)介 31第五章洪桐廣電寬帶接入系統(tǒng)網(wǎng)絡(luò)安全及病毒的防護(hù) 34一、防火墻設(shè)計(jì) 34二、病毒的防護(hù) 42第六章網(wǎng)絡(luò)設(shè)備產(chǎn)品說明 47一、Quidway?S8016千兆核心多層交換機(jī)產(chǎn)品概述 47二、Quidway?NetEngine05高端路由器 56三、Quidway?S2403H邊緣接入交換機(jī) 60四、Quidway?S3026EF系列快速以太網(wǎng)交換機(jī) 61第七章網(wǎng)絡(luò)支持與服務(wù) 63一、售后服務(wù)以及設(shè)備保修 63二、山西三星華訊通信有限公司簡(jiǎn)介 64

第一章洪桐廣電寬帶接入系統(tǒng)設(shè)計(jì)原則及思想一、采用先進(jìn)穩(wěn)定及成熟的系統(tǒng)技術(shù)1、系統(tǒng)的可靠性與穩(wěn)定性由于本系統(tǒng)面對(duì)的是洪桐縣的寬帶上網(wǎng)，整個(gè)系統(tǒng)長(zhǎng)期可靠的運(yùn)行，對(duì)保證用戶的正常上網(wǎng)具有重大的意義。因此，精確、不間斷的數(shù)據(jù)傳輸十分重要。為了確保系統(tǒng)運(yùn)行的可靠性，系統(tǒng)應(yīng)具有強(qiáng)大的容錯(cuò)能力，主要表現(xiàn)在以下幾個(gè)方面：*采用高可靠性的服務(wù)器。服務(wù)器大部分部件應(yīng)可熱插拔。*服務(wù)器本身及數(shù)據(jù)庫(kù)系統(tǒng)支持磁盤鏡像。*采用高可靠性的網(wǎng)絡(luò)設(shè)備。*如果資金允許，在網(wǎng)絡(luò)設(shè)備及通訊線路上也同樣應(yīng)具有備份形式。通過以上分析，在該網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)中要充分考慮所選用服務(wù)器及網(wǎng)絡(luò)設(shè)備產(chǎn)品的性能的穩(wěn)定性、數(shù)據(jù)的備份、網(wǎng)絡(luò)設(shè)備的備份、通訊線路的備份等幾個(gè)方面的因素，則可以將該網(wǎng)絡(luò)系統(tǒng)建成一個(gè)極為安全可靠的寬帶接入系統(tǒng)。本方案中無論從主機(jī)、網(wǎng)絡(luò)及數(shù)據(jù)庫(kù)，都能體現(xiàn)系統(tǒng)設(shè)計(jì)的可靠性與穩(wěn)定性。2、系統(tǒng)的可管理性由于系統(tǒng)是運(yùn)行在整個(gè)洪桐縣，因此需要對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行有效的控制和管理。網(wǎng)絡(luò)管理員可隨時(shí)監(jiān)測(cè)系統(tǒng)中的所有網(wǎng)絡(luò)設(shè)備運(yùn)行狀況，并應(yīng)能在不改變系統(tǒng)運(yùn)行的情況下對(duì)網(wǎng)絡(luò)進(jìn)行修改，不管網(wǎng)絡(luò)設(shè)備的物理位置在何處，網(wǎng)絡(luò)都應(yīng)該是可以控制的。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的管理功能一般包括四部分內(nèi)容：失效管理失效管理是最基本的網(wǎng)絡(luò)管理功能。它負(fù)責(zé)檢測(cè)網(wǎng)絡(luò)中的各種故障，主要包括網(wǎng)絡(luò)結(jié)點(diǎn)和通信線路兩種故障。在大型計(jì)算機(jī)系統(tǒng)中，發(fā)現(xiàn)失效故障時(shí)，往往不能具體確定故障所在的具體位置。有時(shí)候，所發(fā)現(xiàn)的故障是隨機(jī)性的，需要經(jīng)過很長(zhǎng)時(shí)間的跟蹤和分析，才能找到其產(chǎn)生的原因。這就需要有一個(gè)故障管理系統(tǒng)科學(xué)地管理網(wǎng)絡(luò)所發(fā)現(xiàn)的所有故障，具體記錄每一個(gè)故障的產(chǎn)生，跟蹤分析，以至最后確定并改正故障的全過程。配置管理一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是由多種多樣的設(shè)備連接而成的。這些設(shè)備組成網(wǎng)絡(luò)的各種物理結(jié)構(gòu)和邏輯結(jié)構(gòu)，這些結(jié)構(gòu)中的設(shè)備有許多參數(shù)、狀態(tài)和名字等至關(guān)重要的信息。另外，上述網(wǎng)絡(luò)設(shè)備及其互連和互操作的信息可能是經(jīng)常變化的，這就需要有一個(gè)全網(wǎng)的設(shè)備配置管理系統(tǒng)，統(tǒng)一科學(xué)地管理上述信息，以便利用這些信息使網(wǎng)絡(luò)更有效地工作。性能管理一個(gè)計(jì)算機(jī)系統(tǒng)運(yùn)行的性能如何，是網(wǎng)絡(luò)建設(shè)首先要考慮的問題。但是，由于網(wǎng)絡(luò)規(guī)模的龐大和影響網(wǎng)絡(luò)性能的不定因素太多，加大了運(yùn)行性能好的大型網(wǎng)絡(luò)的設(shè)計(jì)難度。提高網(wǎng)絡(luò)性能的一般方法是，先設(shè)計(jì)并建設(shè)網(wǎng)絡(luò)，在網(wǎng)絡(luò)的運(yùn)行過程中，對(duì)網(wǎng)絡(luò)性能進(jìn)行靜態(tài)和動(dòng)態(tài)統(tǒng)計(jì)分析，根據(jù)分析結(jié)果，對(duì)網(wǎng)絡(luò)配置和參數(shù)進(jìn)行調(diào)整，逐步達(dá)到最佳。安全管理安全管理的功能涉及一個(gè)計(jì)算機(jī)系統(tǒng)的安全管理政策，根據(jù)這一政策設(shè)計(jì)和實(shí)現(xiàn)的網(wǎng)絡(luò)安全管理系統(tǒng)，可以管理網(wǎng)絡(luò)結(jié)構(gòu)的不同層次，從基本網(wǎng)絡(luò)訪問功能到網(wǎng)絡(luò)應(yīng)用系統(tǒng)功能。3、系統(tǒng)的超前性超前性和先進(jìn)性是每一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)建設(shè)期望達(dá)到的目標(biāo)，但是隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的發(fā)展，先進(jìn)的、新的網(wǎng)絡(luò)技術(shù)面臨著技術(shù)和產(chǎn)品上不十分成熟的問題，而原有的成熟的網(wǎng)絡(luò)技術(shù)和產(chǎn)品又勢(shì)必被新的技術(shù)所取代，是采用原有的成熟的網(wǎng)絡(luò)技術(shù)而承擔(dān)投資保護(hù)的風(fēng)險(xiǎn)，還是直接采用最新的技術(shù)而冒著產(chǎn)品不成熟、標(biāo)準(zhǔn)不統(tǒng)一的風(fēng)險(xiǎn)是網(wǎng)絡(luò)設(shè)計(jì)人員一直所爭(zhēng)論的焦點(diǎn)。所謂網(wǎng)絡(luò)設(shè)計(jì)的超前性是將網(wǎng)絡(luò)系統(tǒng)看成一個(gè)系統(tǒng)工程，不但要設(shè)計(jì)到它的產(chǎn)生還要設(shè)計(jì)它的發(fā)展和未來，將著眼點(diǎn)放在目前的應(yīng)用系統(tǒng)及現(xiàn)有的技術(shù)并考慮以最小的代價(jià)來適應(yīng)網(wǎng)絡(luò)技術(shù)的不斷的發(fā)展，使現(xiàn)有系統(tǒng)增長(zhǎng)，在系統(tǒng)規(guī)模急驟擴(kuò)張中亦不需要重新進(jìn)行系統(tǒng)規(guī)劃與設(shè)計(jì)，并能夠順利、平穩(wěn)地向更新能夠與業(yè)務(wù)需求同步的技術(shù)過渡。本方案所選設(shè)備都是業(yè)界知名廠商的主流產(chǎn)品，整個(gè)設(shè)計(jì)充分考慮到了系統(tǒng)的先進(jìn)性，至少可以保持3-4年的先進(jìn)性。4、系統(tǒng)的擴(kuò)展性網(wǎng)絡(luò)的擴(kuò)展能力包括兩方面內(nèi)容，即網(wǎng)絡(luò)處理能力的擴(kuò)展和網(wǎng)絡(luò)技術(shù)向更新的技術(shù)的升級(jí)。隨著該網(wǎng)絡(luò)系統(tǒng)的不斷發(fā)展與完善，應(yīng)可以隨時(shí)增加網(wǎng)絡(luò)設(shè)備來擴(kuò)展整個(gè)網(wǎng)絡(luò)。例如接入規(guī)模的擴(kuò)大。另外由于所選所有路由器產(chǎn)品應(yīng)都能夠支持從低到高多種通迅協(xié)議，用戶可以不增加任何投資通過選擇通迅協(xié)議和通信速率來提高網(wǎng)絡(luò)傳輸速度，降低系統(tǒng)運(yùn)行費(fèi)用。另外，在用戶端應(yīng)選用可堆疊或模塊化產(chǎn)品具有很好的開放性，可以十分方便的擴(kuò)充網(wǎng)絡(luò)的容量。在洪桐廣電寬帶接入系統(tǒng)的設(shè)計(jì)中，從主機(jī)到網(wǎng)絡(luò)，從硬件到軟件，整個(gè)系統(tǒng)的可擴(kuò)展性都是經(jīng)過了精密的設(shè)計(jì)。5、系統(tǒng)的開放性*支持多種通訊協(xié)議所選擇的網(wǎng)絡(luò)設(shè)備應(yīng)支持多種網(wǎng)絡(luò)協(xié)議，局域網(wǎng)應(yīng)具備從以太網(wǎng)—交換式以太網(wǎng)—高速以太網(wǎng)（或ATM）順利過度的途徑，在廣域網(wǎng)上應(yīng)具備不增加任何投資實(shí)現(xiàn)PSTN、X.25、DDN、FrameRelay、ISDN、E1等通訊協(xié)議的轉(zhuǎn)換和提升。同時(shí)，支持多種協(xié)議軟件功能在網(wǎng)絡(luò)上的穩(wěn)定實(shí)現(xiàn)。*支持多種傳輸介質(zhì)本網(wǎng)絡(luò)系統(tǒng)是一個(gè)多傳輸介質(zhì)的網(wǎng)絡(luò)，應(yīng)能夠適應(yīng)非屏蔽雙絞線(UTP)、單多模光纖等多種傳輸介質(zhì)，通過這些介質(zhì)形成一個(gè)統(tǒng)一完善的接入網(wǎng)絡(luò)。*支持多種主機(jī)互連系統(tǒng)互連應(yīng)全部采用國(guó)際標(biāo)準(zhǔn)的網(wǎng)絡(luò)層通訊協(xié)議TCP/IP，使網(wǎng)絡(luò)具有良好的開放性。因?yàn)樗械闹鳈C(jī)系統(tǒng)生產(chǎn)廠商都努力使自己的產(chǎn)品遵循TCP/IP標(biāo)準(zhǔn)，所以可以很方便的實(shí)現(xiàn)多種主機(jī)的互連。6、系統(tǒng)的靈活性考慮到系統(tǒng)將來可能需要提供的更多增值服務(wù)，系統(tǒng)的靈活性主要表現(xiàn)在能支持應(yīng)用的靈活性已經(jīng)硬件升級(jí)擴(kuò)容等方面，交換機(jī)產(chǎn)品與路由器產(chǎn)品支持的最先進(jìn)的虛擬網(wǎng)絡(luò)技術(shù),隔離不同用戶數(shù)據(jù)，根本上保證不用用戶數(shù)據(jù)的安全性以及數(shù)據(jù)傳輸?shù)男阅堋?、系統(tǒng)的安全性根據(jù)本網(wǎng)絡(luò)的特點(diǎn)，防止外界非法侵入，有效地保護(hù)用戶數(shù)據(jù)資料已成為系統(tǒng)設(shè)計(jì)中十分重要的問題。在系統(tǒng)中對(duì)外來侵入的控制應(yīng)由路由器配合操作系統(tǒng)及數(shù)據(jù)庫(kù)平臺(tái)來完成，采用多級(jí)用戶權(quán)限管理，具有C2級(jí)安全標(biāo)準(zhǔn)或超過C2級(jí)標(biāo)準(zhǔn)。通過網(wǎng)絡(luò)管理軟件有效地利用路由器的“防火墻”功能強(qiáng)化安全管理。設(shè)置必要權(quán)限，以提供安全保障。在應(yīng)用軟件系統(tǒng)中也應(yīng)提供充分的資格審查與權(quán)限控制。二、采用Intranet技術(shù)及設(shè)計(jì)思想Intranet是目前計(jì)算機(jī)應(yīng)用領(lǐng)域中人們非常關(guān)注的熱門話題，同時(shí)也給各企事業(yè)單位的計(jì)算機(jī)應(yīng)用提供了新的應(yīng)用模式和解決方案。Intranet以其安全、廉價(jià)、方便等優(yōu)點(diǎn)越來越得到了人們的認(rèn)可，也成為當(dāng)今企業(yè)自動(dòng)化建設(shè)所追求的目標(biāo)。Internet實(shí)質(zhì)上是Internet在企業(yè)內(nèi)部的實(shí)現(xiàn)，是Internet的Web技術(shù)、放火墻技術(shù)及基于WWW和數(shù)據(jù)庫(kù)的內(nèi)部信息管理技術(shù)等的完美結(jié)合。Intranet給企業(yè)帶來很多好處，首先是安全，Internet是不安全的，而大多網(wǎng)絡(luò)系統(tǒng)需要保護(hù)內(nèi)部的重要數(shù)據(jù)和資源，防止外來的非法訪問和破壞，Intranet利用防火墻來達(dá)到這個(gè)目的，對(duì)于Intranet用戶來講它可以訪問Internet，但I(xiàn)nternet上的用戶看不到它，這種單向性確保了內(nèi)部網(wǎng)絡(luò)的信息安全。其次是廉價(jià)性，Intranet利用Internet已有的技術(shù)和應(yīng)用，吸收了Internet的優(yōu)點(diǎn)和長(zhǎng)處，如應(yīng)用的豐富和互連時(shí)的強(qiáng)大功能，及基于Client/Server的計(jì)算和TCP/IP協(xié)議的標(biāo)準(zhǔn)性等。其中很多資源和技術(shù)都是免費(fèi)或廉價(jià)的，對(duì)于企業(yè)來講節(jié)省了大量大型應(yīng)用軟件的投資，比如工作組軟件所需的開銷。Intranet還具有易于管理的特點(diǎn)，網(wǎng)上的所有活動(dòng)均有詳細(xì)的記錄和日志文件，便于進(jìn)行分析和檢查；此外Intranet的大部分應(yīng)用均基于Web進(jìn)行，用戶界面統(tǒng)一和簡(jiǎn)單，使用方便?；谏鲜龇治觯搶拵Ы尤胂到y(tǒng)無論在設(shè)計(jì)和實(shí)施過程中都應(yīng)體現(xiàn)Intranet的實(shí)現(xiàn)思想，采用Intranet技術(shù)，將該網(wǎng)絡(luò)系統(tǒng)建設(shè)成一個(gè)安全、廉價(jià)、方便的寬帶接入網(wǎng)絡(luò)。第二章洪桐廣電寬帶接入系統(tǒng)網(wǎng)絡(luò)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)在采用星型拓?fù)洹Ｔ诮尤刖W(wǎng)中，我們可以將整個(gè)網(wǎng)絡(luò)劃分為核心、匯聚和接入3層。核心層、分布層考慮的用戶投資以及工程本身特點(diǎn)，核心層與分布層合為一層。完成IP包的快速交換。接入層接入層完成最終用戶的IP接入，向用戶提供獨(dú)享的10/100BaseT接入，同時(shí)能夠?qū)⒉煌脩魯?shù)據(jù)相互隔離，達(dá)到最大的安全性。一、拓?fù)浣Y(jié)構(gòu)主干網(wǎng)采用星形拓?fù)浣Y(jié)構(gòu)，層次結(jié)構(gòu)清晰，具有較強(qiáng)的靈活性和可擴(kuò)充能力，同時(shí)，這種集中式連接方式有利于系統(tǒng)及網(wǎng)絡(luò)管理人員對(duì)整個(gè)系統(tǒng)進(jìn)行管理和維護(hù)。二、網(wǎng)絡(luò)設(shè)備配置1、中心交換機(jī)配置在網(wǎng)絡(luò)中心選用一臺(tái)Quidway?S8016千兆核心多層交換機(jī)作為高檔主干網(wǎng)絡(luò)交換機(jī)設(shè)備。骨干層的Quidway?S8016配置1塊16路百兆以太網(wǎng)單模光接口線路板模塊和1塊4路千兆以太網(wǎng)多模500mMTRJ光接口線路板,通過百兆模塊設(shè)置實(shí)現(xiàn)與接入層建立百兆連接,通過千兆模塊建立與應(yīng)用服務(wù)器的高速無阻塞連接，形成高速主干網(wǎng)。配置16路百兆以太網(wǎng)電接口線路板以連接網(wǎng)絡(luò)中心網(wǎng)管主機(jī)等設(shè)備。配置雙電源，實(shí)現(xiàn)電源冗余。配置交換網(wǎng)板，通過多層路由引擎實(shí)現(xiàn)三層功能。核心以太網(wǎng)交換機(jī)S80161路由交換機(jī)總裝機(jī)柜RS-B-801612核心路由器母板插框組件CR-K0801113主控處理單元RS-MPUB24交換網(wǎng)板RS-SFCB25配電插框-W1451ZB/X1-NE80AC電源系統(tǒng)配電插框W1451ZB/X116電源模塊-220VAC-48V/15AS2W4M2Z57監(jiān)控模塊-M3451Z-PSM-B2A-NE80AC電源系統(tǒng)監(jiān)控模塊M3451Z184路千兆以太網(wǎng)多模500mMTRJ光接口線路板RS-E4GP1916路百兆以太網(wǎng)單模光接口線路板（15km，MTRJ）RS-EGFS11016路百兆以太網(wǎng)電接口線路板（100m，RJ45）RS-EGFE111主機(jī)軟件SWP-RS-S8016112成套資料DOC-RS-S801612、出口路由器配置連接INTERNET的出口路由器可以選用路由器設(shè)備Quidway?NetEngine05同內(nèi)部主干交換機(jī)建立100M高速連接，在Quidway?NetEngine05設(shè)置NAT，可方實(shí)現(xiàn)內(nèi)部保留IP地址訪問外網(wǎng)。骨干路由器NE051NE05機(jī)箱-雙交流電源模塊配置RT-NE05CHASSIS/2AC12系統(tǒng)監(jiān)控管理單元RT-NE-ALUA13路由交換單元前處理板-128M內(nèi)存RT-NE-RSUA14路由交換熱插拔控制單元RT-NE-RSHC15通用接口單元前處理板-128M內(nèi)存RT-NE-VIUA161端口百兆以太網(wǎng)接口前處理卡RT-NE-ETPA13、接入交換機(jī)接入交換機(jī)建議選用華為2403H交換機(jī),該交換機(jī)每個(gè)端口提供獨(dú)享10/100M帶寬，可以形成完全的10/100M到桌面。同時(shí)可以同匯接層交換機(jī)建立100M的連接。每個(gè)端口間互相通過vlan隔離，它可以保證用戶之間不可互相訪問,提高安全性。4、匯接交換機(jī)在某些小區(qū)中，因樓宇多，一個(gè)小區(qū)需要放置多臺(tái)接入交換機(jī)，如果直接將接入交換機(jī)通過光纖連接至中心核心交換機(jī)，則浪費(fèi)了寶貴的端口資源和線路資源，此時(shí)需要設(shè)置匯接交換機(jī)，將地理上相鄰的接入交換機(jī)匯接起來，通過一條光纖鏈路連接至中心交換機(jī)。在本方案的匯接交換機(jī)中,我們建議選用華為3026FM或者3026FS.5、網(wǎng)絡(luò)管理在本系統(tǒng)中,由于接入和匯接交換機(jī)等設(shè)備不在網(wǎng)絡(luò)中心,如果沒有一套網(wǎng)絡(luò)管理軟件對(duì)這些設(shè)備進(jìn)行遠(yuǎn)程監(jiān)測(cè)的話,網(wǎng)絡(luò)出現(xiàn)故障的處理會(huì)變得十分復(fù)雜,在這種情況下,需要配置一套網(wǎng)絡(luò)設(shè)備廠商特定的網(wǎng)絡(luò)設(shè)備管理軟件,在本系統(tǒng)中,我們采用華為iManagerQuidviewIP網(wǎng)管應(yīng)用軟件.三、網(wǎng)絡(luò)系統(tǒng)的其他設(shè)置1、IP地址分配Internet的地址分為三大類：A類、B類、C類，每個(gè)IP地址的長(zhǎng)度為32位，IP把它的32位地址分成兩個(gè)部分，即網(wǎng)絡(luò)數(shù)和節(jié)點(diǎn)數(shù)，因?yàn)槭怯邢迶?shù)目的網(wǎng)絡(luò)地址，并且每個(gè)網(wǎng)絡(luò)必須作唯一標(biāo)識(shí)，則最終會(huì)產(chǎn)生組織結(jié)構(gòu)使用它們的網(wǎng)絡(luò)中發(fā)覺缺少的問題。在這種情況下子網(wǎng)掩碼(SubnetMask)就可以起到作用。通過改變子網(wǎng)掩碼我們可以擴(kuò)展網(wǎng)絡(luò)的地址。對(duì)于內(nèi)部網(wǎng)來說，子網(wǎng)掩碼的作用主要不是節(jié)省地址空間，而是為了保證IP地址分配的層次性和擴(kuò)展性，并有效地減少路由表，減輕路由器的負(fù)荷，同時(shí)有利于維護(hù)和管理網(wǎng)絡(luò)系統(tǒng)。針對(duì)本系統(tǒng)，建議采用：內(nèi)部網(wǎng)系統(tǒng)使用私有IP地址，可劃分為一個(gè)子網(wǎng)或多個(gè)子網(wǎng)。在系統(tǒng)運(yùn)行初期，系統(tǒng)內(nèi)的工作站點(diǎn)不是很多的情況下，可采用此方法。但隨著工作站點(diǎn)越來越多，整個(gè)系統(tǒng)處于這種平面結(jié)構(gòu)，將導(dǎo)致系統(tǒng)性能和管理上的很多問題。通過上述子網(wǎng)掩碼技術(shù)將系統(tǒng)分成多個(gè)子網(wǎng)，每個(gè)子網(wǎng)對(duì)應(yīng)一個(gè)小區(qū)或樓宇。這樣使整個(gè)系統(tǒng)構(gòu)成有層次的結(jié)構(gòu)，便于進(jìn)行系統(tǒng)管理，提高系統(tǒng)性能。這時(shí)子網(wǎng)之間的通訊可采用路由技術(shù)。內(nèi)部網(wǎng)私有IP地址的劃分應(yīng)作到留有余地，并利于地址聚合。2、路由協(xié)議路由協(xié)議用來完成在一個(gè)互聯(lián)網(wǎng)上進(jìn)行通信時(shí)的路由選擇。它確定數(shù)據(jù)包在網(wǎng)內(nèi)或網(wǎng)間傳輸所經(jīng)的路徑，路由協(xié)議總的分為靜態(tài)和動(dòng)態(tài)兩大類。靜態(tài)路由唯一確定地選擇一條路徑，不能自動(dòng)去適應(yīng)網(wǎng)絡(luò)的變化。而動(dòng)態(tài)路由則根據(jù)算法來確定選擇路徑，并維持著一個(gè)定期刷新的路由表。動(dòng)態(tài)路由協(xié)議適用于比較復(fù)雜的大型網(wǎng)絡(luò)。動(dòng)態(tài)路由協(xié)議又分為兩大類，一類是內(nèi)部網(wǎng)關(guān)協(xié)議，如RIP，IGRP，OSPF，ISIS等，適用于域內(nèi)路由；另一類是外部網(wǎng)關(guān)協(xié)議，如BGP，EGP等，適用于域間路由。各種動(dòng)態(tài)路由協(xié)議之間的一個(gè)主要不同之處在于算法不同。路由算法使用不同因素作參數(shù)來決定最佳路由。這些因素叫metric，常用的有：步長(zhǎng)(PathLength)可靠性(Reliability)對(duì)延(Delay)帶寬(Bandwidth)負(fù)載(Load)通信開銷(CommunicationCost)路由的決定是由綜合以上某些項(xiàng)參數(shù)進(jìn)行計(jì)算后作出的。由于本系統(tǒng)涉及的三層設(shè)備不多，總體層次比較單一，在滿足實(shí)際需要的情況下，考慮路由的安全性和更好優(yōu)化帶寬，建議采用靜態(tài)路由協(xié)議；如果增加一定數(shù)目的網(wǎng)絡(luò)節(jié)點(diǎn)后，達(dá)到比較大數(shù)目的時(shí)候，可以考慮采用動(dòng)態(tài)路由協(xié)議，本寬帶接入網(wǎng)的設(shè)計(jì)中使用靜態(tài)路由和默認(rèn)路由達(dá)到節(jié)省帶寬的目的。3、虛擬網(wǎng)（VLAN）和三層交換技術(shù)一個(gè)站點(diǎn)很多的網(wǎng)絡(luò)系統(tǒng)，不能只設(shè)一個(gè)網(wǎng)段，否則會(huì)引起嚴(yán)重的網(wǎng)絡(luò)問題：網(wǎng)絡(luò)通信量太大、網(wǎng)絡(luò)沖突、網(wǎng)絡(luò)資源占用多、各戶之間數(shù)據(jù)不安全等等。劃分子網(wǎng)的好處是將通信量限制在各自的子網(wǎng)內(nèi)，并保證網(wǎng)絡(luò)的安全。按照這個(gè)原則，對(duì)于規(guī)模較大的網(wǎng)絡(luò)，必須按需要?jiǎng)澐殖啥鄠€(gè)子網(wǎng)。如每個(gè)小區(qū)或樓宇自成一個(gè)子網(wǎng)，這樣就把大量不必要的廣播信息限制在本地，大大減少骨干網(wǎng)上的信息流量，提高骨干網(wǎng)的帶寬利用率，并且能保證各用戶數(shù)據(jù)的安全性。在規(guī)模較大的網(wǎng)絡(luò)系統(tǒng)中需要采用虛擬網(wǎng)（VLAN）技術(shù)，針對(duì)本系統(tǒng)本身特點(diǎn)，接入交換機(jī)的每個(gè)端口劃分到不同vlan，可以使各個(gè)獨(dú)立用戶之間互相不可見，從根本上保證用戶數(shù)據(jù)的安全。虛擬網(wǎng)技術(shù)實(shí)現(xiàn)是最近一兩年的事情。虛擬網(wǎng)其具有以下特征：虛擬網(wǎng)是一個(gè)有限范圍的廣播域，一個(gè)虛擬網(wǎng)的成員只能收到同一虛擬網(wǎng)的成員發(fā)出的廣播報(bào)文，其它虛擬網(wǎng)的廣播報(bào)文是收不到的。此特征提高了網(wǎng)絡(luò)帶寬的利用率。一個(gè)虛擬網(wǎng)的所有成員邏輯的組成一個(gè)廣播域，跟它們的物理位置無關(guān)。在一個(gè)虛擬網(wǎng)里增加、移動(dòng)和改變一個(gè)成員可通過軟件實(shí)現(xiàn)，減少網(wǎng)絡(luò)管理的時(shí)間及費(fèi)用。在同一個(gè)虛擬網(wǎng)里是不需要路由的。在企業(yè)網(wǎng)絡(luò)系統(tǒng)中，可以根據(jù)業(yè)務(wù)或者應(yīng)用部門的需求劃分VLAN，更好的保證安全性和提高網(wǎng)絡(luò)使用效率。在本系統(tǒng)中提供的個(gè)系列網(wǎng)絡(luò)產(chǎn)品均支持VLAN，優(yōu)化網(wǎng)絡(luò)帶寬。同時(shí)也可以加強(qiáng)網(wǎng)絡(luò)信息的安全性。4、服務(wù)質(zhì)量（QOS）華為通用路由平臺(tái)軟件是一個(gè)提供網(wǎng)絡(luò)服務(wù)，使網(wǎng)絡(luò)應(yīng)用滿足連接性、安全性、可靠性、可擴(kuò)展性、可管理性的要求的平臺(tái)，并支持先進(jìn)的應(yīng)用程序，如IBM、多媒體、語(yǔ)音和QoS服務(wù)等。QoS服務(wù)由三個(gè)關(guān)鍵組件構(gòu)成：一個(gè)快速發(fā)展的構(gòu)件和功能集；一個(gè)高度靈活、用于執(zhí)行策略的工具，它利用構(gòu)件控制網(wǎng)絡(luò)資源的分配，以支持網(wǎng)絡(luò)客戶和應(yīng)用程序的要求；一個(gè)功能分布組件，它優(yōu)化了網(wǎng)絡(luò)所有者(企業(yè)或Internet服務(wù)商)在服務(wù)配置和帶寬/容量方面的可擴(kuò)展性要求。用于業(yè)務(wù)分類的IP優(yōu)先權(quán)：優(yōu)先權(quán)提供了將業(yè)務(wù)劃分為多個(gè)服務(wù)類的功能。網(wǎng)絡(luò)管理員可以定義多達(dá)六個(gè)服務(wù)類，并利用擴(kuò)展訪問控制列表(擴(kuò)展ACL)，為每個(gè)服務(wù)類定義擁塞處理和帶寬分配策略。IP優(yōu)先權(quán)功能利用在IP頭上用于標(biāo)識(shí)服務(wù)類型(Type-of-Service)的三個(gè)比特位，確定每個(gè)分組的服務(wù)類。IP優(yōu)先權(quán)功能為預(yù)定分配提供了相當(dāng)?shù)撵`活性，包括客戶分配(如根據(jù)應(yīng)用程序和訪問服務(wù)器)和基于IP或MAC地址、物理端口或應(yīng)用程序的網(wǎng)絡(luò)分配。IP優(yōu)先權(quán)功能既可采用被動(dòng)模式(接收客戶分配的優(yōu)先權(quán))，也可采用主動(dòng)模式，此時(shí)，網(wǎng)絡(luò)根據(jù)預(yù)先定義的策略設(shè)置優(yōu)先權(quán)或超越客戶分配的優(yōu)先權(quán)。IP優(yōu)先權(quán)可被映射到鄰接技術(shù)(如標(biāo)記交換、幀中繼或ATM)，在非均勻網(wǎng)絡(luò)環(huán)境下提供端到端的QoS策略。在不改變現(xiàn)有應(yīng)用程序，不需要復(fù)雜化網(wǎng)絡(luò)信令的前提下，僅利用IP優(yōu)先權(quán)功能就可建立服務(wù)類。允許訪問速率(CAR)：用允許訪問速率(CommittedAccessRate-CAR)管理訪問帶寬CAR為網(wǎng)絡(luò)管理員提供了一個(gè)為業(yè)務(wù)目的地分配帶寬，并制定超過帶寬分配額度時(shí)的業(yè)務(wù)處理策略的工具。CAR既可以用于網(wǎng)絡(luò)入口也可以用于網(wǎng)絡(luò)出口。CAR閾值可根據(jù)訪問端口、IP地址和應(yīng)用程序設(shè)定。CAR測(cè)量業(yè)務(wù)負(fù)載，限制帶寬資源分配，能適應(yīng)IP業(yè)務(wù)固有的流量突增特點(diǎn)。CAR利用擴(kuò)展ACL對(duì)超出分配帶寬的業(yè)務(wù)制定處理策略，包括重新定義帶寬可用閾值、修改分組的優(yōu)先級(jí)、制定分組丟棄原則等。CAR策略的選擇包括：FirmCAR-丟棄超過分配帶寬的分組CAR+Premium-為分組重新定義更高或更低的優(yōu)先級(jí)CAR+BestEffort-丟棄之前先為其分配一個(gè)極大的閾值PerApplicationCAR-為不同的應(yīng)用程序制定不同的策略用于擁塞管理的隨機(jī)早期預(yù)測(cè)(RED)：RED為網(wǎng)絡(luò)管理員提供了靈活制定流量控制策略的能力，使其能在擁塞情況下保持盡可能大的吞吐量。RED與抗干擾的傳輸協(xié)議(如TCP)協(xié)同工作，可根據(jù)如下的實(shí)現(xiàn)算法智能化地避免網(wǎng)絡(luò)擁塞：區(qū)分網(wǎng)絡(luò)可適應(yīng)的臨時(shí)性流量爆炸和將耗盡網(wǎng)絡(luò)資源的極度超載。提供公平的帶寬遞減策略，按比例減少帶寬的可用額度。RED和TCP協(xié)同工作，在大流量出現(xiàn)時(shí)，能預(yù)先控制擁塞，并用丟棄分組的方式，保持大吞吐量。同時(shí)，RED也為網(wǎng)絡(luò)管理員提供了相當(dāng)靈活的參數(shù)設(shè)置手段，包括調(diào)整隊(duì)列長(zhǎng)度閾值的最大值和最小值、分組丟棄幾率和MIB，分組交換和分組丟棄的管理策略等。加權(quán)RED，基于服務(wù)類的擁塞管理：WRED結(jié)合了IP優(yōu)先權(quán)和RED功能，為不同類別的服務(wù)提供不同的性能--對(duì)優(yōu)先權(quán)較高的分組優(yōu)先處理。WRED在擁塞情況下仍能進(jìn)行優(yōu)先處理，而且不會(huì)加劇擁塞。網(wǎng)絡(luò)管理員可以靈活地為不同的服務(wù)類定義排隊(duì)長(zhǎng)度最大和最小閾值以及分組丟棄率。系統(tǒng)還為每個(gè)服務(wù)級(jí)別提供MIB，以實(shí)現(xiàn)網(wǎng)絡(luò)管理的可見性。根據(jù)服務(wù)類別加權(quán)公平排隊(duì)(WFQ)：WFQ提供了這樣一種能力，在為較低優(yōu)先級(jí)業(yè)務(wù)公平分配現(xiàn)有帶寬的同時(shí)，保證要求低延時(shí)的高優(yōu)先級(jí)和低優(yōu)先級(jí)流。高優(yōu)先級(jí)流立即得到處理，低優(yōu)先級(jí)流則插入隊(duì)列，按比例共享現(xiàn)存帶寬。在出現(xiàn)擁塞時(shí)，低優(yōu)先級(jí)流的分組可能被丟棄。QoS服務(wù)提供了基于服務(wù)類型的分布式WFQ，從而提高了性能和可擴(kuò)展性。由此可見，通過Qos服務(wù)的提供，網(wǎng)絡(luò)在提高隊(duì)多媒體，視頻等先進(jìn)的應(yīng)用程序的同時(shí)，并不犧牲網(wǎng)絡(luò)的性能。為應(yīng)用，特別使多媒體應(yīng)用提供了良好的保障。在本方案中所選用的網(wǎng)絡(luò)產(chǎn)品，都包括隊(duì)QOS的支持。5、NAT技術(shù)隨著Internet的飛速發(fā)展，網(wǎng)上豐富的資源產(chǎn)生著巨大的吸引力。接入Internet、訪問Internet成為當(dāng)今信息業(yè)最為迫切的需求。但這受到IP地址的許多限制。首先，許多局域網(wǎng)在未聯(lián)入Internet之前，就已經(jīng)運(yùn)行許多年了，局域網(wǎng)上有了許多現(xiàn)成的資源和應(yīng)用程序，但它的IP地址分配不符合Internet的國(guó)際標(biāo)準(zhǔn)，因而需要重新分配局域網(wǎng)的IP地址，這無疑是勞神費(fèi)時(shí)的工作；其二，隨著Internet的膨脹式發(fā)展，其可用的IP地址越來越少，要想在ISP處申請(qǐng)一個(gè)新的IP地址已不是很容易的事了。這不僅僅是費(fèi)用的問題，而是IP地址的現(xiàn)行標(biāo)準(zhǔn)IPv4決定的。當(dāng)然，隨著IPv6的出臺(tái)，這個(gè)問題應(yīng)當(dāng)能夠得到解決。但從IPv4到IPv6的升級(jí)不是一兩天就能完成的。NAT（網(wǎng)絡(luò)地址翻譯）能解決不少令人頭疼的問題。它解決問題的辦法是：在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過NAT把內(nèi)部地址翻譯成合法的IP地址，在Internet上使用。其具體的做法是把IP包內(nèi)的地址域用合法的IP地址來替換。NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨(dú)的NAT設(shè)備中。NAT設(shè)備維護(hù)一個(gè)狀態(tài)表，用來把非法的IP地址映射到合法的IP地址上去。每個(gè)包在NAT設(shè)備中都被翻譯成正確的IP地址發(fā)往下一級(jí)，這意味著給處理器帶來了一定的負(fù)擔(dān)。但這對(duì)于一般的網(wǎng)絡(luò)來說是微不足道的，除非是有許多主機(jī)的大型網(wǎng)絡(luò)。需要注意的是，NAT并不是一種有安全保證的方案，它不能提供類似防火墻、包過濾、隧道等技術(shù)的安全性，僅僅在包的最外層改變IP地址。這使得黑客可以很容易地竊取網(wǎng)絡(luò)信息，危及網(wǎng)絡(luò)安全。NAT有三種類型：靜態(tài)NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）。靜態(tài)NAT設(shè)置起來最為簡(jiǎn)單，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。而NAT池則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。PAT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。根據(jù)不同的需要，各種NAT方案都是有利有弊。使用NAT池使用NAT池，可以從未注冊(cè)的地址空間中提供被外部訪問的服務(wù)，也可以從內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)，而不需要重新配置內(nèi)部網(wǎng)絡(luò)中的每臺(tái)機(jī)器的IP地址。例如，建立在NT＋I(xiàn)IS服務(wù)器上的內(nèi)部試驗(yàn)子網(wǎng)192．168．0．0，其網(wǎng)絡(luò)地址屬于C類保留地址。作為企業(yè)網(wǎng)的一個(gè)子網(wǎng)，其IP地址不分配給企業(yè)網(wǎng)上的設(shè)備而僅僅局限在試驗(yàn)子網(wǎng)的設(shè)備上。為了使企業(yè)網(wǎng)能訪問到這個(gè)內(nèi)部網(wǎng)，在網(wǎng)絡(luò)上增加一條靜態(tài)路徑，使信息能回傳給Cisco4700路由器。其中的路由器可以把內(nèi)部網(wǎng)和企業(yè)網(wǎng)連接起來，使之能相互訪問。在內(nèi)部網(wǎng)中不要使用RIP協(xié)議，因?yàn)槭褂肦IP后，內(nèi)部網(wǎng)絡(luò)相對(duì)外部來說變得不可見了。這樣，本地信息可以相互訪問了，但由于192．168．0．0屬于保留地址，故不能直接訪問Internet。所以在路由器中設(shè)置一個(gè)NAT池，用來翻譯來自內(nèi)部網(wǎng)絡(luò)的IP包，把它的IP地址映射成地址池（pooledaddresses）中的合法IP地址。那么，內(nèi)部網(wǎng)可以訪問Internet上的任何服務(wù)器，Internet上的任何主機(jī)也能通過TCP或UDP訪問到內(nèi)部網(wǎng)。采用NAT池意味著可以在內(nèi)部網(wǎng)中定義很多的內(nèi)部用戶，通過動(dòng)態(tài)分配的辦法，共享很少的幾個(gè)外部IP地址。而靜態(tài)NAT則只能形成一一對(duì)應(yīng)的固定映射方式。NAT池提供很大靈活性的同時(shí)，也影響到網(wǎng)絡(luò)原有的一些管理功能。例如，SNMP管理站利用IP地址來跟蹤設(shè)備的運(yùn)行情況。但使用NAT之后，意味著那些被翻譯的地址對(duì)應(yīng)的內(nèi)部地址是變化的，今天可能對(duì)應(yīng)一臺(tái)工作站，明天就可能對(duì)應(yīng)一臺(tái)服務(wù)器。這給SNMP管理帶來了麻煩。一個(gè)可行的解決方案就是把劃分給NAT池的那部分地址在SNMP管理平臺(tái)上標(biāo)記出來，對(duì)于這些不響應(yīng)管理信號(hào)的地址不予報(bào)警，如同它們被關(guān)掉了一樣。使用PATPAT在遠(yuǎn)程訪問產(chǎn)品中得到了大量的應(yīng)用，特別是在遠(yuǎn)程撥號(hào)用戶使用的設(shè)備中。PAT可以把內(nèi)部的TCP／IP映射到外部一個(gè)注冊(cè)IP地址的多個(gè)端口上。PAT可以支持同時(shí)連接64500個(gè)TCP／IP、UDP／IP，但實(shí)際可以支持的工作站個(gè)數(shù)會(huì)少一些。因?yàn)樵S多Internet應(yīng)用如HTTP，實(shí)際上由許多小的連接組成。在Internet中使用PAT時(shí)，所有不同的TCP和UDP信息流看起來仿佛都來源于同一個(gè)IP地址。這個(gè)優(yōu)點(diǎn)在小型辦公室（SOHO）內(nèi)非常實(shí)用，通過從ISP處申請(qǐng)的一個(gè)IP地址，將多個(gè)連接通過PAT接入Internet。實(shí)際上，許多SOHO遠(yuǎn)程訪問設(shè)備支持基于PPP的動(dòng)態(tài)IP地址。這樣，ISP甚至不需要支持PAT，就可以做到多個(gè)內(nèi)部IP地址共用一個(gè)外部IP地址上Internet。雖然這樣會(huì)導(dǎo)致信道的一定擁塞，但考慮到節(jié)省的ISP上網(wǎng)費(fèi)用和易管理的特點(diǎn)，用PAT還是很值得的。建議本網(wǎng)絡(luò)在出口路由器中設(shè)置NAT。6、流量分析本寬帶接入網(wǎng)絡(luò)中流量大致分布為以下幾部分：1）、各戶到DMZ區(qū)訪問DMZ區(qū)服務(wù)器的流量；2）、各戶到INTERNET的流量；3）、將來提供增值服務(wù)造成的流量（比如提供視頻點(diǎn)播等服務(wù)）。整個(gè)網(wǎng)絡(luò)的設(shè)計(jì)及網(wǎng)絡(luò)設(shè)備的選型都是基于對(duì)網(wǎng)絡(luò)可能的流量進(jìn)行設(shè)計(jì)的。可以保證充分滿足該系統(tǒng)的需求

第三章洪桐廣電寬帶接入系統(tǒng)的郵件、RADIUS、計(jì)費(fèi)服務(wù)一、郵件服務(wù)我們選用免費(fèi)Sendmail高性能信息傳遞來實(shí)現(xiàn)本網(wǎng)絡(luò)中的郵件服務(wù)。特性概述Sendmail是由美國(guó)加州大學(xué)開發(fā)的一個(gè)基于UNIX的共享SMTP服務(wù)器軟件，它支持多種UNIX的CLONE平臺(tái)，如Solaris、Linux等，并且兼容很多其他類型的電子郵件系統(tǒng)，如UUCP等。Sendmail模型如圖2所示。圖2Sendmail模型圖2中，客戶方sender與SMTP服務(wù)器Sendmail建立連接，將郵件送交Sendmail服務(wù)器；Sendmail按照郵件的不同類型，送交不同的郵件發(fā)送程序(稱之為mailer)進(jìn)行發(fā)送，例如SMTPmailer，UUCPmailer等等。Sendmail提供一種Localmailer程序mail.local，對(duì)郵件目標(biāo)地址進(jìn)行認(rèn)證，若合法則將郵件寫入用戶的郵箱，否則將郵件退回。通過集中式管理的高性能消息存儲(chǔ)器與集成化目錄服務(wù)，提供現(xiàn)成可用的服務(wù)基礎(chǔ)結(jié)構(gòu)。允許在系統(tǒng)處于聯(lián)機(jī)狀態(tài)時(shí)，執(zhí)行諸如聯(lián)機(jī)配置、容量擴(kuò)充以及備份等管理功能。通過集中式管理降低管理成本。提供基于部件的大規(guī)?？缮炜s體系結(jié)構(gòu)，以適應(yīng)數(shù)以百萬計(jì)的用戶擴(kuò)展需求。可伸縮性Sendmail為商務(wù)級(jí)信息傳遞提供需求的高度可伸縮性與可靠性。多線程多進(jìn)程體系結(jié)構(gòu)的宗旨，是在多處理器系統(tǒng)實(shí)現(xiàn)垂直可伸縮性。功能強(qiáng)大的高速緩存技術(shù)，將進(jìn)一步減少目錄服務(wù)的負(fù)荷。通過多種信息存儲(chǔ)服務(wù)器，可以實(shí)現(xiàn)水平可伸縮性。通用訪問Sendmail為通過通用電子郵件、語(yǔ)音郵件和傳真存儲(chǔ)器，實(shí)現(xiàn)統(tǒng)一的信息傳遞服務(wù)奠定了基礎(chǔ)?？梢酝ㄟ^電話和個(gè)人數(shù)字助理等多種設(shè)備，訪問消息存儲(chǔ)器?；谡叩南⒋鎯?chǔ)器管理，以自動(dòng)化方式執(zhí)行預(yù)定規(guī)則，進(jìn)而顯著地簡(jiǎn)化管理工作。預(yù)定規(guī)則政策，可以包括用戶文件夾的老化政策以及整個(gè)系統(tǒng)和用戶的郵箱配額政策。高可用性諸如消息存儲(chǔ)器容量擴(kuò)充、用戶文件夾備份與恢復(fù)以及配置管理等服務(wù)器管理功能，可以在不關(guān)閉服務(wù)器的條件下，采用聯(lián)機(jī)方式予以實(shí)現(xiàn)。Sendmail的宗旨，就是要跟高可用集群軟件實(shí)現(xiàn)集成。防止無用郵件先進(jìn)的IMAP功能諸如集中管理的共享文件夾和脫機(jī)訪問等先進(jìn)的IMAP功能，允許服務(wù)提供商采用內(nèi)聯(lián)網(wǎng)信息傳遞系統(tǒng)的豐富特性，交付托管信息傳遞服務(wù)?；诓考捏w系結(jié)構(gòu)基于部件的體系結(jié)構(gòu)，允許部署中繼、目錄以及消息存儲(chǔ)器等諸如此類的信息傳遞服務(wù)，以此作為單獨(dú)部件，從而優(yōu)化性能，并以最佳方式分配硬件資源。高性能與可伸縮性采用多線程多進(jìn)程體系結(jié)構(gòu)，以實(shí)現(xiàn)高度可伸縮特性。通過使用MailMultiplexor，實(shí)現(xiàn)水平可伸縮性。二、RADIUS、計(jì)費(fèi)系統(tǒng)1、計(jì)費(fèi)系統(tǒng)配置洪桐寬帶接入系統(tǒng)是一個(gè)商業(yè)運(yùn)營(yíng)系統(tǒng),必須對(duì)用戶身份進(jìn)行驗(yàn)證，防止非授權(quán)用戶非法訪問網(wǎng)絡(luò)，并且需要對(duì)接入該系統(tǒng)的用戶按時(shí)間、流量或者包月等形式收費(fèi)，對(duì)此我們采用安騰公司的eFlowD-BrAS產(chǎn)品，eFlowD-BrAS可以和RADIUS服務(wù)器互相配合，完成驗(yàn)證用戶身份，計(jì)費(fèi)等功能。考慮到洪桐廣電現(xiàn)階段的接入需求，建議先使用支持1024并發(fā)用戶的D_BrAS寬帶接入服務(wù)器和5000用戶版本的RADIUS計(jì)費(fèi)系統(tǒng)以節(jié)約開支，在系統(tǒng)升級(jí)時(shí)，這些系統(tǒng)可以很方便的進(jìn)行對(duì)應(yīng)的升級(jí)，支持更多的并發(fā)用戶。D_BrAS寬帶接入服務(wù)器（1024個(gè)并發(fā)）eflowD_BrASⅢ1RadiusAAA計(jì)費(fèi)系統(tǒng)（5000用戶版）RadiusServer12、eFlowD-BrAS產(chǎn)品介紹eFlowD-BrAS系列產(chǎn)品應(yīng)用了DHCP（Plug&Play）+WebPortal+Radius的接入和認(rèn)證技術(shù)。采用DHCP+WebPortal+Radius的寬帶接入環(huán)境里，用戶的IP地址可以通過DHCP獲得或者由運(yùn)營(yíng)商分配固定IP地址，用戶的認(rèn)證則是通過用戶瀏覽器來完成的，不需要另外再安裝客戶端軟件。對(duì)于移動(dòng)場(chǎng)所的用戶（例如酒店），eFlowD-BrAS系列產(chǎn)品實(shí)現(xiàn)了即插即用（Plug&Play），用戶無需改變自己的網(wǎng)絡(luò)配置，與網(wǎng)絡(luò)物理連接后，可以象DHCP或固定分配地址的用戶一樣，直接通過認(rèn)證上網(wǎng)。具體的上網(wǎng)過程是：用戶獲得IP地址后，隨便在瀏覽器里輸入一個(gè)要訪問的合法URL（可解析的域名或者任意IP地址），該URL請(qǐng)求都會(huì)被D-BrAS捕獲然后重定向到一個(gè)運(yùn)營(yíng)商可定制的認(rèn)證頁(yè)面，之后用戶輸入帳號(hào)、密碼通過認(rèn)證后就可以正常上網(wǎng)了，用戶通過認(rèn)證后訪問的第一個(gè)頁(yè)面可以由運(yùn)營(yíng)商來指定，也就是通常所說的運(yùn)營(yíng)商Portal頁(yè)面。eFlowD-BrAS系列與之前的PPPoE寬帶接入服務(wù)器系列相比，保留了Radius認(rèn)證和計(jì)費(fèi)采集接口，但是在用戶接入方式上可以采用DHCP（RELAY）或者固定IP，用戶不需要另外安裝客戶端軟件，用戶和接入服務(wù)器之間可以有三層設(shè)備，因此特別適用于一些已經(jīng)采用DHCP或者固定IP接入方式運(yùn)營(yíng)但是又有用戶認(rèn)證和計(jì)費(fèi)需求的網(wǎng)絡(luò)環(huán)境，比如有線CABLE用戶接入和酒店移動(dòng)用戶接入。 以下是一個(gè)采用D-BrAS接入和認(rèn)證的簡(jiǎn)單示例，用戶在瀏覽器里輸入一個(gè)合法URL請(qǐng)求后被重定向到D-BrAS的認(rèn)證頁(yè)面（該頁(yè)面可由運(yùn)營(yíng)商根據(jù)需要定制）：用戶認(rèn)證成功后被重定向到運(yùn)營(yíng)商的Portal頁(yè)面，同時(shí)一個(gè)浮動(dòng)窗口被打開，在該窗口內(nèi)用戶可以看到自己的上網(wǎng)時(shí)間，預(yù)付時(shí)長(zhǎng)的用戶可以看到自己的剩余可用時(shí)長(zhǎng)，用戶可以通過該窗口斷開上網(wǎng)服務(wù)（用戶主動(dòng)按斷開按鈕或者可用時(shí)長(zhǎng)耗盡），該頁(yè)面也是可以定制的，運(yùn)營(yíng)商可以在該頁(yè)面內(nèi)做一些廣告或者通知用戶一些新的服務(wù)項(xiàng)目：3、eFlowD-BrAS產(chǎn)品技術(shù)特點(diǎn)實(shí)現(xiàn)技術(shù)eFlowD-BrAS采用專用的實(shí)時(shí)操作系統(tǒng)實(shí)現(xiàn)，直接基于系統(tǒng)的內(nèi)核實(shí)現(xiàn)，在大量用戶接入時(shí)仍然可以保障其網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)發(fā)的實(shí)時(shí)性；作為地址分配的主要手段，eFlowD-BrAS內(nèi)置實(shí)現(xiàn)了標(biāo)準(zhǔn)的DHCP服務(wù)，可以直接接受DHCP客戶的請(qǐng)求，也可以接受下面設(shè)備中繼過來的DHCP請(qǐng)求，并且可以根據(jù)中繼設(shè)備的地址分配不同網(wǎng)段的IP地址。作為DHCP服務(wù)的一部分，eFlowD-BrAS也可以作為DHCP中繼設(shè)備，向上層的DHCP服務(wù)器中繼DHCP的請(qǐng)求；支持用戶的即插即用，移動(dòng)場(chǎng)所的用戶可以不改變自己的網(wǎng)絡(luò)配置，直接申請(qǐng)上網(wǎng)；運(yùn)營(yíng)管理支持自動(dòng)捕獲瀏覽器請(qǐng)求并導(dǎo)向認(rèn)證頁(yè)面，用戶不用安裝任何客戶端認(rèn)證軟件，也不需要用戶自己輸入認(rèn)證也面的URL進(jìn)行認(rèn)證。沒有認(rèn)證過的用戶，只要輸入任何一個(gè)合法的URL請(qǐng)求（80/TCP端口），瀏覽器都會(huì)被自動(dòng)導(dǎo)向到認(rèn)證頁(yè)面，提示用戶輸入用戶名和密碼；用戶認(rèn)證通過后，瀏覽器被導(dǎo)向到運(yùn)營(yíng)商指定Portal頁(yè)面；可以通過串行口對(duì)設(shè)備進(jìn)行配置，也支持遠(yuǎn)程管理，管理員可以通過Telnet或者標(biāo)準(zhǔn)的網(wǎng)管軟件進(jìn)行管理；軟件升級(jí)過程簡(jiǎn)易，支持標(biāo)準(zhǔn)的TFTP形式的軟件升級(jí)；支持專線用戶，即可以根據(jù)IP地址設(shè)置部分用戶無需認(rèn)證即可上網(wǎng)，對(duì)專線用戶可以進(jìn)行流量計(jì)費(fèi)。安全性考慮由于以太網(wǎng)絡(luò)是一個(gè)廣播環(huán)境，為保證用戶的帳號(hào)和密碼的安全，用戶瀏覽器認(rèn)證請(qǐng)求的傳送采用PPP的CHAP算法加密，使得運(yùn)營(yíng)商即使在采取HUB接入的環(huán)境里仍能夠保障用戶的帳號(hào)口令不被監(jiān)聽；用戶認(rèn)證通過后為用戶打開一個(gè)連接狀態(tài)頁(yè)面，記錄用戶上網(wǎng)的時(shí)長(zhǎng)，同時(shí)也方便用戶主動(dòng)斷線，同時(shí)可以保證盜用別人地址上網(wǎng)的用戶在一定的時(shí)間內(nèi)被斷掉，保障合法用戶的權(quán)益；內(nèi)置網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的功能，包括動(dòng)態(tài)NAT和靜態(tài)NAT。由于DHCP用戶一開機(jī)就要占用IP地址資源，因此采用DHCP運(yùn)營(yíng)的環(huán)境中不可避免地要用到NAT，節(jié)省有限的公網(wǎng)地址資源，也可以讓用戶的地址不外泄，保證用戶上網(wǎng)機(jī)器的安全；內(nèi)置的IP包過濾功能。使運(yùn)營(yíng)商能夠在接入點(diǎn)就卡斷不希望出現(xiàn)的數(shù)據(jù)流，優(yōu)化運(yùn)營(yíng)商的主干網(wǎng)絡(luò)環(huán)境，減輕出口路由的壓力。也可以進(jìn)行訪問控制，限制用戶對(duì)一些不良站點(diǎn)的訪問，同時(shí)可以防止外來的惡意破壞；基于WEB應(yīng)用層的KEEP-ALIVE機(jī)制使得D-BrAS和用戶之間保持定時(shí)的連接狀態(tài)監(jiān)測(cè)，一方面有利于較準(zhǔn)確的時(shí)長(zhǎng)計(jì)費(fèi)，同時(shí)也防止在沒有IP和MAC地址綁定的環(huán)境中，用戶非正常斷線后IP地址被其他用戶盜取繼續(xù)使用，保障運(yùn)營(yíng)商的利益；計(jì)費(fèi)支持支持標(biāo)準(zhǔn)的Radius協(xié)議，可以和Radius服務(wù)器互相通信。除了標(biāo)準(zhǔn)的Radius屬性外，還擴(kuò)展了一些屬性，作為對(duì)計(jì)費(fèi)和認(rèn)證的補(bǔ)充；支持RadiusClient，能提供詳細(xì)的計(jì)費(fèi)數(shù)據(jù)，包括用戶每次接入選擇的服務(wù)、接入時(shí)長(zhǎng)和進(jìn)出字節(jié)以及包流量；認(rèn)證時(shí)可以實(shí)現(xiàn)MAC地址和用戶帳號(hào)的綁定，防止非法用戶的盜用行為；可以實(shí)現(xiàn)用戶帳號(hào)與IP地址的綁定。結(jié)合Radius實(shí)現(xiàn)集中式的用戶認(rèn)證、授權(quán)和計(jì)費(fèi)，方便運(yùn)營(yíng)商統(tǒng)一規(guī)劃網(wǎng)絡(luò)、統(tǒng)一管理用戶和對(duì)用戶計(jì)費(fèi)，實(shí)現(xiàn)電信級(jí)的運(yùn)營(yíng)；支持多Radius同時(shí)計(jì)費(fèi)，同時(shí)也可以支持主備方式的Radius認(rèn)證計(jì)費(fèi)認(rèn)證，當(dāng)主Radius出現(xiàn)意外時(shí)，可以自動(dòng)切換到備用Radius進(jìn)行認(rèn)證；結(jié)合Radius可實(shí)現(xiàn)對(duì)最小單位為32kbps的帶寬控制，實(shí)現(xiàn)簡(jiǎn)單的QoS服務(wù)；結(jié)合Radius可實(shí)現(xiàn)靈活的計(jì)費(fèi)策略控制，包括預(yù)付費(fèi)（時(shí)長(zhǎng)）和按時(shí)長(zhǎng)、流量的后付費(fèi)和移動(dòng)用戶計(jì)費(fèi)；4、eFlowD-BrAS產(chǎn)品功能特性采用專用的實(shí)時(shí)操作系統(tǒng)實(shí)現(xiàn)，在大量用戶接入時(shí)仍然可以保障其網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)發(fā)的實(shí)時(shí)性，按設(shè)備不同型號(hào)可支持并發(fā)在線用戶128~2048用戶；轉(zhuǎn)發(fā)效率高，100M端口利用率>90%；支持DHCPSERVER；支持DHCPRELAY，方便采用DHCP接入的運(yùn)營(yíng)商集中IP分配和管理；自動(dòng)捕獲未認(rèn)證用戶瀏覽器請(qǐng)求并導(dǎo)向認(rèn)證頁(yè)面，用戶不用安裝任何客戶端認(rèn)證軟件，也不需要用戶自己在瀏覽器里主動(dòng)輸入認(rèn)證頁(yè)面的URL。沒有認(rèn)證過的用戶，只要輸入任何一個(gè)合法的URL請(qǐng)求（80/TCP端口），瀏覽器都會(huì)被自動(dòng)導(dǎo)向到認(rèn)證頁(yè)面，提示用戶輸入用戶名和密碼；支持即插即用接入，用戶主機(jī)可不改變?cè)械腎P配置直接連線即可上網(wǎng)，特別適合于酒店等應(yīng)用場(chǎng)所；用戶瀏覽器認(rèn)證請(qǐng)求的傳送采用PPP的CHAP算法對(duì)用戶口令進(jìn)行MD5加密，認(rèn)證過程不直接傳輸用戶密碼明文；有效防范惡意用戶的SYNFLOOD攻擊和大量模擬WEB請(qǐng)求猜測(cè)密碼的攻擊；用戶認(rèn)證通過后，瀏覽器被導(dǎo)向到運(yùn)營(yíng)商指定Portal頁(yè)面；用戶認(rèn)證通過后為用戶打開一個(gè)連接狀態(tài)頁(yè)面，記錄用戶上網(wǎng)的時(shí)長(zhǎng)，同時(shí)也方便用戶主動(dòng)斷線；基于WEB應(yīng)用層的KEEP-ALIVE機(jī)制使得D-BrAS和用戶之間保持定時(shí)的連接狀態(tài)監(jiān)測(cè)，一方面有利于較準(zhǔn)確的時(shí)長(zhǎng)計(jì)費(fèi)，同時(shí)也防止在沒有IP和MAC地址綁定的環(huán)境中或者普通跨三層應(yīng)用中的IP盜用，保障用戶和運(yùn)營(yíng)商的利益；多服務(wù)支持，不同服務(wù)可包含不同的IP地址過濾規(guī)則集合，實(shí)現(xiàn)運(yùn)營(yíng)商對(duì)不同用戶組別的不同訪問權(quán)限的控制；支持802.1Q，配合運(yùn)營(yíng)商二層隔離用戶，增強(qiáng)網(wǎng)絡(luò)安全；內(nèi)置網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的功能，包括動(dòng)態(tài)NAT和靜態(tài)NAT。由于DHCP用戶一開機(jī)就要占用IP地址資源，因此采用DHCP運(yùn)營(yíng)的環(huán)境中經(jīng)常性地要用到NAT，節(jié)省有限的公網(wǎng)地址資源；IP包過濾功能。使運(yùn)營(yíng)商能夠在接入點(diǎn)就卡斷不希望出現(xiàn)的數(shù)據(jù)流，優(yōu)化運(yùn)營(yíng)商的主干網(wǎng)絡(luò)環(huán)境，減輕出口路由的壓力；支持RadiusClient，能提供詳細(xì)的計(jì)費(fèi)數(shù)據(jù)，包括用戶每次接入選擇的服務(wù)、接入時(shí)長(zhǎng)和進(jìn)出字節(jié)以及包流量；支持主備Radius切換；支持雙Radius并發(fā)記帳，適合于有對(duì)帳需求的應(yīng)用場(chǎng)合；結(jié)合Radius實(shí)現(xiàn)集中式的用戶認(rèn)證、授權(quán)和計(jì)費(fèi)，方便運(yùn)營(yíng)商統(tǒng)一規(guī)劃網(wǎng)絡(luò)、統(tǒng)一管理用戶和對(duì)用戶計(jì)費(fèi)，實(shí)現(xiàn)電信級(jí)的運(yùn)營(yíng)；結(jié)合Radius可實(shí)現(xiàn)對(duì)用戶最小單位為32kbps的帶寬控制結(jié)合Radius可實(shí)現(xiàn)靈活的計(jì)費(fèi)策略控制，包括預(yù)付費(fèi)（時(shí)長(zhǎng)）和按時(shí)長(zhǎng)、流量的后付費(fèi)和移動(dòng)用戶計(jì)費(fèi)；支持遠(yuǎn)程管理，包括telnet和SNMPv1,v2；軟件升級(jí)過程簡(jiǎn)易，支持標(biāo)準(zhǔn)的TFTP形式的軟件升級(jí)；TFTP形式配置備份和更新；TFTP形式WEB頁(yè)面更新，運(yùn)營(yíng)商可以自己定制頁(yè)面；VLANPORTAL功能，可按用戶所處不同的VLAN范圍導(dǎo)向不同的認(rèn)證頁(yè)面；支持與第三方的Portal服務(wù)器對(duì)接，實(shí)現(xiàn)從核心PORTAL服務(wù)器認(rèn)證對(duì)DBRAS的屬性回傳并對(duì)接入用戶的控制。5、EflowD-BrAS產(chǎn)品運(yùn)營(yíng)特性EflowD-BrAS產(chǎn)品內(nèi)嵌DHCPServer支持DHCP地址分配，支持DHCPReley、Agent，方便運(yùn)營(yíng)商無縫割接網(wǎng)絡(luò)，保持網(wǎng)絡(luò)的正常運(yùn)行。EflowD-BrAS產(chǎn)品內(nèi)嵌WebServer，支持WebLogin、WebLogout，可強(qiáng)制推送運(yùn)營(yíng)商門戶，有效的方便運(yùn)營(yíng)商與客戶的溝通。EflowD-BrAS產(chǎn)品支持Web應(yīng)用層keepalive探測(cè)機(jī)制，有效的防范IP地址的仿冒，Keepalive探測(cè)機(jī)制更加有效的保證用戶非正常斷線的時(shí)長(zhǎng)計(jì)費(fèi)的準(zhǔn)確性。EflowD-BrAS支持對(duì)用戶Tcpsession數(shù)的控制，有效的杜絕用戶私自作代理接更多用戶現(xiàn)象。eFlowD-BrAS可為用戶提供多種服務(wù)，與運(yùn)營(yíng)商的管理需求和eFlow用戶認(rèn)證管理系統(tǒng)結(jié)合，可為每用戶定制不同的服務(wù)級(jí)別，包括上下行帶寬的分配，固定或動(dòng)態(tài)IP地址。計(jì)費(fèi)策略靈活方便，eFlow用戶管理和計(jì)費(fèi)系統(tǒng)可根據(jù)運(yùn)營(yíng)商提供的不同服務(wù)定制靈活的計(jì)費(fèi)策略，選擇合理的計(jì)費(fèi)方式，比如流量，時(shí)長(zhǎng)和包月，還可由用戶的特殊服務(wù)設(shè)置其它附加的計(jì)費(fèi)策略，比如固定IP或者額外分配帶寬的附加費(fèi)用?？山鉀QIP地址短缺問題，對(duì)于用戶較多的大樓和小區(qū)，運(yùn)營(yíng)商可能沒有相應(yīng)數(shù)量的合法IP地址滿足大量用戶同時(shí)上網(wǎng)的需要，因此運(yùn)營(yíng)商可能希望給用戶分配內(nèi)部網(wǎng)IP地址(10.x.x.x、192.168.x.x、172.16-31.x.x)。eFlowD-BrAS內(nèi)帶NAT（NetworkAddressTranslating）功能模塊，可方便運(yùn)營(yíng)商分配內(nèi)部網(wǎng)IP地址給上網(wǎng)用戶再通過eFlowD-BrAS進(jìn)行IP地址翻譯成合法IP地址上公網(wǎng)，免卻運(yùn)營(yíng)商因?yàn)镮P地址短缺需要另外購(gòu)買專用NAT設(shè)備的麻煩。eFlowD-BrAS可對(duì)用戶進(jìn)行以32kbps為單位的速率控制，提供了保證用戶服務(wù)質(zhì)量的手段。解決了以太網(wǎng)應(yīng)用D-BrAS接入時(shí)產(chǎn)生的第二層的廣播問題。對(duì)VLAN大用戶量的交換網(wǎng)絡(luò)，如果運(yùn)營(yíng)商未劃分VLAN，用戶接入D-BrAS服務(wù)器時(shí)可能造成廣播風(fēng)暴，影響整個(gè)交換網(wǎng)絡(luò)的運(yùn)營(yíng)狀況；如果運(yùn)營(yíng)商已劃分VLAN，則可能需要較多的配置改動(dòng)，使所有的用戶都能訪問到D-BrAS接入服務(wù)器。為此我們?yōu)閑FlowD-BrAS增加了對(duì)802.1q的標(biāo)準(zhǔn)trunk封裝的支持，可實(shí)現(xiàn)D-BrAS接入服務(wù)器接入端口與以太網(wǎng)交換機(jī)之間的trunk連接，使D-BrAS接入服務(wù)器能方便地集成進(jìn)已劃分VLAN的大型交換網(wǎng)絡(luò)，只要在與之連接的交換機(jī)上做很少的配置改動(dòng)即可讓所有允許VLAN的用戶訪問到D-BrAS接入服務(wù)器。可以說eFlowD-BrAS的trunk功能大大降低了管理開銷同時(shí)也消除了采用D-BrAS接入方式對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)帶來的廣播影響。6、EflowD-BrAS在以太網(wǎng)社區(qū)應(yīng)用目前新興的駐地網(wǎng)運(yùn)營(yíng)商主要為以太網(wǎng)方式接入，安騰EflowD-BrAS主要是針對(duì)以太網(wǎng)用戶的接入認(rèn)證、計(jì)費(fèi)。以太網(wǎng)社區(qū)運(yùn)營(yíng)目前在技術(shù)上主要傾向與DHCP＋Web,DHCP＋WEBBRAS在運(yùn)營(yíng)上客戶端免去裝客戶端軟件，直接以IE方式認(rèn)證，方便運(yùn)營(yíng)商運(yùn)營(yíng)。以下如圖是安騰EflowD-BrAS產(chǎn)品在以太網(wǎng)社區(qū)接入情況，EflowD-BrAS與安騰RadiusAAA系統(tǒng)配合能對(duì)用戶完成認(rèn)證、管理與計(jì)費(fèi)，有效為運(yùn)營(yíng)商提供對(duì)用戶控制的手段。使運(yùn)營(yíng)商在運(yùn)營(yíng)上更加趨向有序化、規(guī)范化。7、EflowD-BrAS實(shí)現(xiàn)分布接入，集中認(rèn)證、計(jì)費(fèi)與管理。EflowD-BrAS產(chǎn)品支持標(biāo)準(zhǔn)協(xié)議的RadiusClient，可實(shí)現(xiàn)設(shè)備分布社區(qū)或PoP點(diǎn)的接入，與核心機(jī)房的RadiusAAA認(rèn)證、計(jì)費(fèi)服務(wù)器對(duì)接，有效的完成對(duì)全城用戶的寬帶接入與認(rèn)證、計(jì)費(fèi)與管理。安騰的EflowD-BrAS支持與第三方的RadiusServer對(duì)接。

第四章主機(jī)系統(tǒng)設(shè)計(jì)一、洪桐廣電寬帶接入主機(jī)系統(tǒng)設(shè)計(jì)原則洪桐廣電的服務(wù)器不僅要滿足現(xiàn)有的業(yè)務(wù)的需要，更要能夠適應(yīng)將來快速發(fā)展的需要，因此在主機(jī)選型時(shí)首要目標(biāo)是高的性能起點(diǎn)和高的性能擴(kuò)展能力，同時(shí)兼顧機(jī)型的先進(jìn)性和投資保護(hù)能力。在大型信息系統(tǒng)的建設(shè)中，服務(wù)器和操作系統(tǒng)的選擇應(yīng)綜合考慮多方面的因素，應(yīng)該堅(jiān)持的原則有：先進(jìn)性、開放性、高效性、高可靠性、可擴(kuò)展性另外應(yīng)考慮投資的經(jīng)濟(jì)性。每個(gè)應(yīng)用系統(tǒng)的建設(shè)過程中，都應(yīng)堅(jiān)持以上的原則。但如果要求每項(xiàng)指標(biāo)都達(dá)到最佳，其投資是不可想象的，對(duì)于特定的系統(tǒng)來說，應(yīng)該突出其中的幾點(diǎn)原則。高可靠性對(duì)于WWW、MAIL、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)，高可靠性是系統(tǒng)成功的關(guān)鍵。大型的系統(tǒng)要求主機(jī)保持24小時(shí)連續(xù)的運(yùn)轉(zhuǎn)，加上大量的軟件應(yīng)用、各種信息查詢均在主機(jī)上高速的運(yùn)行，對(duì)主機(jī)的可靠性是嚴(yán)峻的考驗(yàn)。一旦系統(tǒng)出現(xiàn)故障，造成關(guān)鍵數(shù)據(jù)丟失、業(yè)務(wù)中斷，不僅會(huì)造成直接的損失，還會(huì)給整個(gè)系統(tǒng)的建設(shè)帶來負(fù)面的影響。因此，選擇主機(jī)設(shè)備時(shí)，應(yīng)充分考慮系統(tǒng)的可靠性和穩(wěn)定性，保證應(yīng)用軟件在安全可靠的硬件系統(tǒng)上運(yùn)行。可擴(kuò)充性作為一個(gè)面向新世紀(jì)的信息系統(tǒng)，在系統(tǒng)設(shè)計(jì)的過程中，除了考慮滿足當(dāng)前的業(yè)務(wù)需求外，還必須考慮今后一段時(shí)期內(nèi)業(yè)務(wù)量的增長(zhǎng)。因此，選擇主機(jī)設(shè)備時(shí)，應(yīng)充分考慮系統(tǒng)的可擴(kuò)展性，確保在業(yè)務(wù)量明顯增加后，系統(tǒng)不需要大量設(shè)備。應(yīng)該選擇產(chǎn)品系列齊全，售后服務(wù)好，有良好擴(kuò)充性的產(chǎn)品，可以通過增加節(jié)點(diǎn)機(jī)、處理器數(shù)目、內(nèi)存容量、外部存儲(chǔ)空間等方式方便地進(jìn)行擴(kuò)充升級(jí)，保護(hù)現(xiàn)有投資并保證整個(gè)系統(tǒng)建設(shè)的連貫性。綜上所述，同時(shí)結(jié)合用戶對(duì)主機(jī)的運(yùn)行指標(biāo)的選擇分析，在推薦方案中我們的原則是：原則一：主機(jī)應(yīng)選用產(chǎn)品系列齊全，售后服務(wù)好，有良好擴(kuò)充性的產(chǎn)品。原則二：關(guān)鍵主機(jī)采用高可用雙機(jī)熱備，保證系統(tǒng)的不間斷運(yùn)行；必須具有足夠的CPU處理能力、內(nèi)存、外存容量原則三：CPU數(shù)量、內(nèi)存、內(nèi)置/外置硬盤容量、I/O及系統(tǒng)本身都有能滿足未來要求的擴(kuò)展能力，以適應(yīng)處理大數(shù)據(jù)量及系統(tǒng)發(fā)展需要。原則四：數(shù)據(jù)的存放采用高可靠性的數(shù)據(jù)存儲(chǔ)管理系統(tǒng)，并對(duì)重要的數(shù)據(jù)有磁帶或光盤備份機(jī)制，硬盤應(yīng)具有工業(yè)標(biāo)準(zhǔn)的熱插拔功能，保證更換硬盤時(shí)系統(tǒng)仍能繼續(xù)正常運(yùn)行。原則五：操作系統(tǒng)必須，運(yùn)行穩(wěn)定可靠，支持大規(guī)模數(shù)據(jù)庫(kù)系統(tǒng)，界面友好，方便管理維護(hù)和應(yīng)用軟件開發(fā)，并保證應(yīng)用軟件有良好的可移植。根據(jù)以上闡述的原則，綜合考慮各方面的因素以及系統(tǒng)選型依據(jù)，并結(jié)合招標(biāo)方的實(shí)際情況,經(jīng)過詳細(xì)論證，我們提供了關(guān)鍵服務(wù)器系統(tǒng)的解決方案，主機(jī)系統(tǒng)選用IBMxSeries255服務(wù)器。二、主機(jī)配置選擇方案我們綜合以往建設(shè)同等規(guī)模網(wǎng)絡(luò)的經(jīng)驗(yàn)，在應(yīng)用服務(wù)器的選型過程中，我們選用業(yè)界知名廠商的服務(wù)器，組成高可靠、高性能的處理系統(tǒng)。根據(jù)我們對(duì)計(jì)算機(jī)系統(tǒng)的應(yīng)用分析，在本方案中我們選擇IBMxSeries255作為系統(tǒng)應(yīng)用服務(wù)器。1、郵件，F(xiàn)TP服務(wù)器配置說明本系統(tǒng)中的郵件、FTP服務(wù)器選擇IBMxSeries255，采用IntelXeonMP1.5GHz處理器/1MB緩存,配置1G內(nèi)存,48x光盤驅(qū)動(dòng)器，硬盤設(shè)計(jì)容量為36.4GB*8,通過采用RAID5技術(shù),實(shí)際可用硬盤容量為36.4GB*7,硬盤選用10KrpmUltra160SCSI熱插拔薄型硬盤,另配ServeRAID-4MxUltra160SCSI控制器，考慮到郵件系統(tǒng)本身數(shù)據(jù)的重要性，配置40/80GBDLT內(nèi)置SCSI磁帶驅(qū)動(dòng)器以進(jìn)行磁帶備份。服務(wù)器配置清單如下：郵件，F(xiàn)TP服務(wù)器1xSeries2551.5GHz/1MB，XeonMP，512MBECC，開放式，48x8685-41X12512MBPC1600ECCDDRSDRAMRDIMM33L328313ServeRAID-4MxUltra160SCSI控制器06P57361440/80GBDLT內(nèi)置SCSI磁帶驅(qū)動(dòng)器00N79901536.4GB10KrpmUltra160SCSI熱插拔薄型硬盤06P575582、WWW服務(wù)器配置說明本系統(tǒng)中的WWW服務(wù)器選擇IBMxSeries255，采用IntelXeonMP1.5GHz處理器/1MB緩存,配置1G內(nèi)存,48x光盤驅(qū)動(dòng)器，硬盤設(shè)計(jì)容量為18.2GB*3,通過采用RAID5技術(shù),實(shí)際可用硬盤容量為18.2GB*2,硬盤選用10KrpmUltra160SCSI熱插拔薄型硬盤,另配ServeRAID-4MxUltra160SCSI控制器。WWW服務(wù)器配置清單如下：WWW服務(wù)器1xSeries2551.5GHz/1MB，XeonMP，512MBECC，開放式，48x8685-41X12512MBPC1600ECCDDRSDRAMRDIMM33L328313ServeRAID-4MxUltra160SCSI控制器06P57361418.2GB10KrpmUltra160SCSI熱插拔薄型硬盤06P575433、DNS服務(wù)器配置說明本系統(tǒng)中的DNS服務(wù)器選擇IBMxSeries255，采用IntelXeonMP1.5GHz處理器/1MB緩存,配置1G內(nèi)存,48x光盤驅(qū)動(dòng)器，硬盤設(shè)計(jì)容量為18.2GB*2,通過采用RAID5技術(shù),實(shí)際可用硬盤容量為18.2GB*1,硬盤選用10KrpmUltra160SCSI熱插拔薄型硬盤,另配ServeRAID-4MxUltra160SCSI控制器。DNS服務(wù)器配置清單如下:DNS服務(wù)器1XSeries2551.5GHz/1MB，XeonMP，512MBECC，開放式，48x8685-41X12512MBPC1600ECCDDRSDRAMRDIMM33L328313ServeRAID-4MxUltra160SCSI控制器06P57361418.2GB10KrpmUltra160SCSI熱插拔薄型硬盤06P575424、RADIUS服務(wù)器配置說明本系統(tǒng)中的RADIUS服務(wù)器選擇IBMxSeries255，采用IntelXeonMP1.5GHz處理器/1MB緩存,配置1G內(nèi)存,48x光盤驅(qū)動(dòng)器，硬盤設(shè)計(jì)容量為36.4GB*4,通過采用RAID5技術(shù),實(shí)際可用硬盤容量為36.4GB*3,硬盤選用10KrpmUltra160SCSI熱插拔薄型硬盤,另配ServeRAID-4MxUltra160SCSI控制器,考慮到認(rèn)證系統(tǒng)本身數(shù)據(jù)的重要性，配置40/80GBDLT內(nèi)置SCSI磁帶驅(qū)動(dòng)器以進(jìn)行磁帶備份。RADIUS服務(wù)器配置清單如下:RADIUS服務(wù)器1xSeries2551.5GHz/1MB，XeonMP，512MBECC，開放式，48x8685-41X12512MBPC1600ECCDDRSDRAMRDIMM33L328313ServeRAID-4MxUltra160SCSI控制器06P57361440/80GBDLT內(nèi)置SCSI磁帶驅(qū)動(dòng)器00N79901536.4GB10KrpmUltra160SCSI熱插拔薄型硬盤06P57554三、主機(jī)操作系統(tǒng)選擇在服務(wù)器操作系統(tǒng)的選型中，主要應(yīng)從以下幾個(gè)方面考慮：提供良好的用戶界面，具有使用方便，功能齊全，清晰而靈活，易于擴(kuò)充和修改等特點(diǎn)。支持樹形結(jié)構(gòu)的文件系統(tǒng)。能夠?qū)⑽募?、文件目錄和設(shè)備統(tǒng)一處理，進(jìn)行順序或隨機(jī)存取，并使得文件、文件目錄和設(shè)備具有相同的語(yǔ)法語(yǔ)義和相同的保護(hù)機(jī)制。包含有非常豐富的語(yǔ)言處理程序，實(shí)用程序和開發(fā)軟件用的工具性軟件。向用戶提供了非常完備的軟件開發(fā)環(huán)境。操作系統(tǒng)必須易于理解、擴(kuò)充，并具有非常好的可移植性。操作系統(tǒng)還必須提供進(jìn)程間的通信功能，及具有C2級(jí)的安全防護(hù)措施，可以有效地防止非法侵入，保證數(shù)據(jù)安全，并有強(qiáng)大的防病毒能力。服務(wù)器操作系統(tǒng)與網(wǎng)絡(luò)操作系統(tǒng)保持高度的一致，可以很方便地通過網(wǎng)絡(luò)實(shí)現(xiàn)資源與數(shù)據(jù)共享。具有良好的開放性、可伸縮性和互操作性。目前，主要的服務(wù)器操作系統(tǒng)有：UNIX、NETWARE、WINDOWSNT和OS/2。對(duì)于洪桐廣電的主機(jī)系統(tǒng)，我們建議對(duì)www服務(wù)器操作系統(tǒng)選用WindowsNT（Windows2000），Mail服務(wù)器操作系統(tǒng)為L(zhǎng)INUX四、主機(jī)設(shè)備簡(jiǎn)介IBMxSeries255是高性能的4路基于Intel處理器的服務(wù)器，設(shè)計(jì)用于滿足不斷增長(zhǎng)的商業(yè)環(huán)境以運(yùn)行關(guān)鍵商務(wù)應(yīng)用程序。該技術(shù)特性使xSeries255服務(wù)器成為企業(yè)電子郵件消息和工作組協(xié)作解決方案以及數(shù)據(jù)挖掘、數(shù)據(jù)倉(cāng)庫(kù)和其它需要大量計(jì)算處理的商業(yè)分析環(huán)境的理想選擇。xSeries255服務(wù)器為IT部門提供更高的處理性能，采用桌側(cè)系統(tǒng)配置并可以在數(shù)分鐘內(nèi)安置在滿足行業(yè)標(biāo)準(zhǔn)要求的機(jī)柜中。支持高達(dá)73.6GB×12個(gè)的內(nèi)部磁盤數(shù)據(jù)存儲(chǔ)容量和多磁帶備份功能，使系統(tǒng)擴(kuò)展和數(shù)據(jù)備份更加容易。Intel?XeonMP1.4/1.5/1.6GHz處理器

熱插拔硬盤驅(qū)動(dòng)器

超級(jí)可靠的ChipkillTM內(nèi)存

ActivePCI-XxSeries255服務(wù)器可按照您的需要進(jìn)行擴(kuò)展。支持高達(dá)12GB的頂級(jí)可靠Chipkill內(nèi)存、集成Ultra160磁盤控制器；可選ServeRAID系列的Ultra160SCSIRAID控制器，所有上述特性更容易擴(kuò)展系統(tǒng)存儲(chǔ)功能。7個(gè)PCI插槽中有6個(gè)是ActivePCI-X（熱插拔）插槽，輕松擴(kuò)展系統(tǒng)。xSeries255服務(wù)器靈活的機(jī)械設(shè)計(jì)特性，可以簡(jiǎn)單安裝或擴(kuò)展－可以配置為機(jī)柜安裝或塔型服務(wù)器。ServerGuide幫助你的系統(tǒng)啟動(dòng)并快速運(yùn)行。IBMDirector系統(tǒng)管理軟件，三年有效的保修，以及技術(shù)服務(wù)和技術(shù)支持特性使系統(tǒng)操作和維護(hù)更加容易。xSeries255服務(wù)器具有大型機(jī)具備的X架構(gòu)特性，提供熱交換冗余電源、熱交換冗余冷卻風(fēng)扇、熱交換硬盤、熱交換／熱插入PCI-X以及更強(qiáng)大的系統(tǒng)管理控制能力。處理器1.4GHz1、1.5GHz、1.6GHz或1.5GHz、1.9GHz、2.0GHzIntelXeonMP處理器（處理器隨服務(wù)器型號(hào)不同而不同），具有超線程（Hyper-Threading）技術(shù)、集成化的3級(jí)高速緩存架構(gòu)和IntelNetBurst?微架構(gòu)可提供多功能、高性能、高價(jià)值和高可靠性。內(nèi)存系統(tǒng)出廠配置512MB或1GB的PC1600100MHzECCDDR系統(tǒng)內(nèi)存——最高可達(dá)12GB，可以提供256MB、512MB和1GB的DIMM容量，具有熱互備（HotSpare）功能或鏡像功能（根據(jù)機(jī)型不同）I/O插槽7個(gè)空閑的全長(zhǎng)PCI-X/PCI插槽：6個(gè)Active64位／100MHzPCI-X熱插拔插槽以及1個(gè)32位／33MHzPCI（非熱插拔）備用插槽存儲(chǔ)子系統(tǒng)雙通道Ultra160控制器網(wǎng)絡(luò)集成10/100/1000以太網(wǎng)托架16個(gè)驅(qū)動(dòng)器托架——1個(gè)標(biāo)準(zhǔn)的磁盤驅(qū)動(dòng)器托架；1個(gè)48X-20X2CD-ROM托架；12個(gè)熱交換硬盤托架；2個(gè)5.25英寸磁帶機(jī)半高托架。I/O端口1個(gè)串行端口（兼容16550A）、4個(gè)熱插拔USB、2個(gè)RS-485系統(tǒng)管理端口、鼠標(biāo)和鍵盤端口電源標(biāo)準(zhǔn)配置兩套370瓦熱插拔冗余電源——可選用第三和第四套熱交換電源以使之更為強(qiáng)勁硬盤高達(dá)1.7TB3并可選第2塊底板的熱交換硬盤存儲(chǔ)器顯示適配器ATIRageXL視頻控制器有限保修IBM提供的三年現(xiàn)場(chǎng)保修服務(wù)在出現(xiàn)問題時(shí)可保護(hù)您的投資。服務(wù)在接到報(bào)告后第2個(gè)工作日提供支持操作系統(tǒng)NetWare和6.0NetWare5.和1NetWare5.0MicrosoftWindowsNT?Server4.0

MicrosoftWindowsNTServer4.0EE

MicrosoftWindows?2000Server

MicrosoftWindows2000AdvancedServerRedHatLinux?7.2和SuSE7.3

第五章洪桐廣電寬帶接入系統(tǒng)網(wǎng)絡(luò)安全及病毒的防護(hù)一個(gè)現(xiàn)代化網(wǎng)絡(luò)中含有大量的應(yīng)用、各種應(yīng)用中都有重要的數(shù)據(jù)，在本系統(tǒng)中需要保護(hù)接入用戶的數(shù)據(jù)安全和系統(tǒng)本身諸如WWW、MAIL、FTP等應(yīng)用的安全，為了保護(hù)數(shù)據(jù)，不被人為或非人為的原因損壞，設(shè)計(jì)網(wǎng)絡(luò)防火墻及防病毒軟件防護(hù)網(wǎng)絡(luò)數(shù)據(jù)安全。一、防火墻設(shè)計(jì)防火墻技術(shù)的核心思想是在不安全的網(wǎng)間網(wǎng)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。由于防火墻技術(shù)的針對(duì)性很強(qiáng)，它已成為實(shí)現(xiàn)Internet網(wǎng)絡(luò)安全的重要保障之一。目前防火墻技術(shù)的實(shí)現(xiàn)主要有兩種手段：一種是基于分組過濾技術(shù)(Packetfiltering)；一種是基于代理技術(shù)(Proxy)。清華得實(shí)NetST?硬件防火墻綜合了包過濾和應(yīng)用代理服務(wù)器兩類防火墻的優(yōu)點(diǎn)，在提供根據(jù)數(shù)據(jù)包地址或端口進(jìn)行過濾處理的同時(shí)還可實(shí)現(xiàn)對(duì)常用協(xié)議的內(nèi)容過濾，即具備了包過濾類型防火墻的速度，又具備代理類型防火墻的安全。在本系統(tǒng)中，我們選用清華得實(shí)Netst2103防火墻，它支持120000并發(fā)連接，包括內(nèi)網(wǎng)、外網(wǎng)和DMZ區(qū)3個(gè)100M端口一太網(wǎng)端口1、NetST?防火墻的設(shè)計(jì)原則安全的網(wǎng)絡(luò)結(jié)構(gòu)NetST2104防火墻提供了4個(gè)網(wǎng)絡(luò)接口，即內(nèi)部網(wǎng)（Internal）、外部網(wǎng)(External)和DMZ，其中外部網(wǎng)為非安全網(wǎng)卡，其他為安全網(wǎng)卡。內(nèi)部網(wǎng)是不對(duì)外開放的區(qū)域，它不對(duì)外提供任何服務(wù)，外部網(wǎng)用戶看不到內(nèi)部網(wǎng)的IP地址，保證內(nèi)部網(wǎng)的安全性。DMZ是非軍事化區(qū)，它對(duì)外提供服務(wù)，所以具有開放性，容易受到外部的攻擊，但與內(nèi)部網(wǎng)是隔離的，因此不會(huì)影響到內(nèi)部網(wǎng)。用戶可以根據(jù)自己的需要，使用三個(gè)網(wǎng)絡(luò)接口，配置防火墻。安全的網(wǎng)絡(luò)體系結(jié)構(gòu)NetST2104防火墻以TCP/IP協(xié)議和相關(guān)的應(yīng)用協(xié)議為基礎(chǔ)，可以對(duì)網(wǎng)絡(luò)開放式系統(tǒng)互連通信模型中的應(yīng)用層、網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層的IP包進(jìn)行檢測(cè)，以保證防火墻的安全。主要技術(shù)指標(biāo)與支持標(biāo)準(zhǔn)1．狀態(tài)檢測(cè)防火墻引擎清華得實(shí)NetST防火墻引擎采用國(guó)際先進(jìn)的狀態(tài)檢測(cè)包過濾技術(shù)，實(shí)時(shí)在線監(jiān)測(cè)當(dāng)前內(nèi)外網(wǎng)絡(luò)的TCP連接狀態(tài)，根據(jù)連接狀態(tài)動(dòng)態(tài)配置規(guī)則，對(duì)異常的連接狀態(tài)進(jìn)行阻斷，實(shí)現(xiàn)入侵檢測(cè)并及時(shí)報(bào)警。NetST?防火墻支持對(duì)目前國(guó)際上主要的網(wǎng)絡(luò)攻擊方法的判別，并且進(jìn)行有效阻斷。作為包過濾型防火墻，清華得實(shí)NetST?防火墻為用戶提供強(qiáng)大的包過濾功能。支持各種主流網(wǎng)絡(luò)協(xié)議，不僅可以根據(jù)網(wǎng)絡(luò)流量的類型、網(wǎng)絡(luò)地址、應(yīng)用服務(wù)等條件進(jìn)行過濾，并且可以對(duì)多種網(wǎng)絡(luò)入侵進(jìn)行辨別和有效阻斷，同時(shí)實(shí)時(shí)進(jìn)行記錄和報(bào)警。2.專業(yè)VPN功能·連接：符合IPSec標(biāo)準(zhǔn)，支持隧道模式的AH、ESP安全連接；·支持的加密算法：獨(dú)特的高強(qiáng)度加解密算法加速設(shè)計(jì)與配置；·用戶認(rèn)證：采用MD5和SHA-1驗(yàn)證方案，支持證書管理；·密鑰管理：自動(dòng)IKE密鑰管理與手動(dòng)IPSEC相結(jié)合。3．全面安全防護(hù)NetST?防火墻具備抵御多種外來惡意攻擊的能力：DoS、IP欺騙、端口掃描、IP盜用等。4．全面內(nèi)容過濾清華得實(shí)NetST?防火墻支持對(duì)最常用的應(yīng)用層協(xié)議進(jìn)行內(nèi)容過濾，使用戶可以根據(jù)網(wǎng)絡(luò)傳輸?shù)膬?nèi)容進(jìn)行管理和控制，從而使企業(yè)網(wǎng)絡(luò)運(yùn)行更加快速有效。5．高性能、高可靠清華得實(shí)NetST?防火墻提供了包過濾類型防火墻的速度性，又具備代理類型防火墻的安全性。系統(tǒng)采用工業(yè)級(jí)硬件系統(tǒng)，可靠的專用安全操作系統(tǒng)、穩(wěn)定的防火墻引擎，具有快速的包過濾轉(zhuǎn)發(fā)能力，令整個(gè)系統(tǒng)具有良好的健壯性，保證企業(yè)網(wǎng)絡(luò)的不間斷運(yùn)行。6．方便靈活的網(wǎng)絡(luò)監(jiān)控管理清華得實(shí)NetST?防火墻支持帶內(nèi)、帶外管理控制，均可以通過終端命令行和遠(yuǎn)程Java控制臺(tái)兩種方式進(jìn)行配置管理，用戶可以快捷有效地制定安全策略、輕松實(shí)現(xiàn)布署，降低用戶的綜合使用成本。7．基于用戶身份的安全策略NetST?防火墻支持基于用戶身份的網(wǎng)絡(luò)訪問控制，不僅具有內(nèi)置的用戶管理及認(rèn)證接口，同時(shí)也支持用戶進(jìn)行外部身份認(rèn)證；防火墻可以根據(jù)用戶認(rèn)證的情況動(dòng)態(tài)地調(diào)整安全策略，實(shí)現(xiàn)用戶對(duì)網(wǎng)絡(luò)的授權(quán)訪問。8．實(shí)時(shí)在線監(jiān)視和詳細(xì)記錄分析清華得實(shí)NetST?防火墻具有實(shí)時(shí)在線監(jiān)視內(nèi)外網(wǎng)絡(luò)間TCP連接的各種狀態(tài)以及UDP協(xié)議包能力，用戶可以隨時(shí)掌握網(wǎng)絡(luò)中發(fā)生的各種情況。在日志中記錄所有對(duì)防火墻的配置操作、異常的連接、拒絕的連接、可能的入侵等信息，并提供友好的管理界面進(jìn)行管理。2、NetST?

防火墻的安全技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換——網(wǎng)絡(luò)地址轉(zhuǎn)換也稱為地址共享器（AddressSharer）或地址映射器，設(shè)計(jì)它的初衷是為了解決IP地址不足，現(xiàn)多用于網(wǎng)絡(luò)安全。內(nèi)部主機(jī)向外部主機(jī)連接時(shí)，使用同一個(gè)IP地址；相反地，外部主機(jī)要向內(nèi)部主機(jī)連接時(shí)，必須通過網(wǎng)關(guān)映射到內(nèi)部主機(jī)上。它使外部網(wǎng)絡(luò)看不到內(nèi)部網(wǎng)絡(luò)，從而隱藏內(nèi)部網(wǎng)絡(luò)，達(dá)到保密作用，使系統(tǒng)的安全性提高，并且節(jié)約從ISP得到的外部IP地址。NetST@防火墻系統(tǒng)支持動(dòng)態(tài)、靜態(tài)、雙向網(wǎng)絡(luò)地址轉(zhuǎn)換（Bi-directionalNAT）。NetST@防火墻提供了靜態(tài)NAT和動(dòng)態(tài)NAT兩種方法，源NAT和目的NAT兩種NAT方式。動(dòng)態(tài)地址轉(zhuǎn)換又稱為IP地址隱藏，主要用于服務(wù)采用內(nèi)部IP地址的情況，它是將多個(gè)內(nèi)部IP地址轉(zhuǎn)換為一個(gè)合法的IP地址。這種地址轉(zhuǎn)換方法主要依靠動(dòng)態(tài)指定端口號(hào)的方法區(qū)分不同的內(nèi)部IP地址。靜態(tài)地址轉(zhuǎn)換是把一個(gè)內(nèi)部IP地址轉(zhuǎn)換為一個(gè)相對(duì)應(yīng)的合法的IP地址。源NAT是允許內(nèi)網(wǎng)訪問外網(wǎng)，目的NAT是允許外網(wǎng)訪問內(nèi)網(wǎng)。靜態(tài)NAT無論是在源NAT方式還是目的NAT方式下，都有“一對(duì)一”、“多對(duì)一”和“多對(duì)多”三種映射。這樣的映射方式，一方面隱藏了內(nèi)網(wǎng)的IP地址（源NAT方式下），另一方面也解決了外網(wǎng)訪問內(nèi)網(wǎng)的負(fù)載均衡（目的NAT方式下的“多對(duì)多”映射）與端口映射等問題。協(xié)議過濾NetST?防火墻系統(tǒng)支持現(xiàn)有的95種通信協(xié)議和730種應(yīng)用服務(wù)，包括WWW、FTP、POP3、數(shù)據(jù)庫(kù)服務(wù)、多媒體服務(wù)、Microsoft網(wǎng)絡(luò)服務(wù)等等。用戶不必?fù)?dān)心使用了防火墻后出現(xiàn)某些服務(wù)失效的副作用。協(xié)議過濾是對(duì)無論是從內(nèi)網(wǎng)還是從外網(wǎng)進(jìn)入防火墻的數(shù)據(jù)包，都要進(jìn)行檢查。對(duì)協(xié)議的過濾行為有丟棄（“drop”，拒絕數(shù)據(jù)包通過）、接受（“accept”，允許數(shù)據(jù)包通過）和進(jìn)行內(nèi)容過濾（“content”，進(jìn)行數(shù)據(jù)包的內(nèi)容檢查）三種，網(wǎng)絡(luò)中常用的協(xié)議有tcp、udp、icmp等。IP地址過濾IP地址過濾是指定為某些IP地址的計(jì)算機(jī)提供相關(guān)服務(wù)。端口過濾端口過濾，即指定為某些端口提供服務(wù)，如允許WWW瀏覽的端口為80，允許ftp服務(wù)的端口為21，郵件發(fā)送（smtp）服務(wù)端口為25，郵件接收服務(wù)（pop3）端口110等。HTTP協(xié)議內(nèi)容過濾在進(jìn)行www訪問時(shí)，人們總會(huì)擔(dān)心遭到病毒或惡意代碼的攻擊，這就需要進(jìn)行內(nèi)容檢查。這些病毒可以通過用戶下載的Jave和ActiveX小程序（Applet）進(jìn)行傳播。帶病毒的Applet激活后，又可能下載別的Applet。防火墻能夠監(jiān)控Applet的運(yùn)行，或者給Applet加上標(biāo)簽，讓用戶知道他們的來源。NetST?防火墻通過創(chuàng)建規(guī)則來指定數(shù)據(jù)包的來源、目標(biāo)和傳送到內(nèi)容過濾服務(wù)器。NetST?防火墻支持腳本、代碼過濾，可使HTML頁(yè)面中的各種腳本和Java小程序失效，可以避免可能的惡意代碼所造成的損失。NetST?防火墻還支持各種多媒體類型數(shù)據(jù)的過濾，包括圖像、聲頻、視頻等，以提高網(wǎng)絡(luò)帶寬的有效利用率，提高企業(yè)員工的